三层交换机VLAN不同网段怎么配置
- 0关注
- 1收藏,1854浏览
问题描述:
华3 5系的三层交换机。想划分3个不同网段的VLAN。三个不同网段互通。上层是防火墙。请问交换机用做什么配置吗?还是防火墙做什么配置。用写路由或者网关吗? 有几种方法。求解。
组网及组网描述:
- 2020-10-23提问
- 举报
-
(0)
最佳答案
大致如下配置
version 7.1.070, Release 1118P07
#
sysname S5560X-2
#
telnet server enable
#
dhcp enable
#
password-recovery enable
#
vlan 1
#
vlan 10
description TO_F1000-ak125
#
vlan 20
description TO_Switch
#
vlan 30
description TO_xitongguanli
#
vlan 80
description TO_guest_wifi
#
dhcp server ip-pool 172.16.30.0
gateway-list 172.16.30.1
network 172.16.30.0 mask 255.255.255.0
dns-list 61.139.2.69 202.98.96.68
expired day 0 hour 4
#
dhcp server ip-pool 172.16.80.0
gateway-list 172.16.80.1
network 172.16.80.0 mask 255.255.255.0
dns-list 61.139.2.69 202.98.96.68
expired day 0 hour 4
#
interface NULL0
#
interface Vlan-interface10
description router
ip address 172.16.10.2 255.255.255.0
#
interface Vlan-interface20
description switch
ip address 172.16.20.1 255.255.255.0
#
interface Vlan-interface30
description manager
ip address 172.16.30.1 255.255.255.0
#
interface Vlan-interface80
description Guest-AP
ip address 172.16.80.1 255.255.255.0
packet-filter 3001 outbound --限制vlan80访问其它vlan
#
interface GigabitEthernet1/0/1
port link-mode bridge
#
#
interface GigabitEthernet1/0/24
port link-mode bridge
description TO_f1000-ak125
port access vlan 10
combo enable copper
#
interface Ten-GigabitEthernet1/0/25
port link-mode bridge
port link-type trunk
port trunk permit vlan all
#
ip route-static 0.0.0.0 0 172.16.10.1 --防火墙上也需要写一条路由指向交换机:ip route-static 172.16.0.0 16 172.16.10.2
#
acl advanced 3001
rule 11 deny ip source 172.16.80.0 0.0.0.255 destination 172.16.20.0 0.0.0.255
rule 12 deny ip source 172.16.80.0 0.0.0.255 destination 172.16.30.0 0.0.0.255
rule 13 deny ip source 172.16.80.0 0.0.0.255 destination 172.16.40.0 0.0.0.255
rule 14 deny ip source 172.16.80.0 0.0.0.255 destination 172.16.50.0 0.0.0.255
rule 15 deny ip source 172.16.80.0 0.0.0.255 destination 172.16.60.0 0.0.0.255
rule 16 deny ip source 172.16.80.0 0.0.0.255 destination 172.16.70.0 0.0.0.255
#
ip http enable
ip https enable
#
return
- 2020-10-23回答
- 评论(0)
- 举报
-
(0)
交换机创建VLAN就行
配置步骤:
1 配置vlan1、2、100
//创建vlan1
[H3C S7500]vlan 1
//创建vlan2
[H3C S7500]vlan 2
//创建vlan3
[H3C S7500]vlan 100
2 将相关端口划到vlan中
// 将G3/0/1划入vlan1
[H3C S7500]vlan 1
[H3C S7500-vlan1]port GigabitEthernet 3/0/1
// 将G3/0/2划入vlan2
[H3C S7500]vlan 2
[H3C S7500-vlan2]port GigabitEthernet 3/0/2
// 将G3/0/8划入vlan100
[H3C S7500]vlan 100
[H3C S7500-vlan100]port GigabitEthernet 3/0/8
3 配置vlan1、2、100的IP地址
[H3C S7500]interface Vlan-interface 1
[H3C S7500-Vlan-interface1]ip address 192.168.1.254 24
[H3C S7500]interface Vlan-interface 2
[H3C S7500-Vlan-interface2]ip address 192.168.2.254 24
[H3C S7500]interface Vlan-interface 100
[H3C S7500-Vlan-interface100]ip address 192.168.100.1 24
4 配置缺省路由
[H3C S7500]ip route-static 0.0.0.0 0.0.0.0 192.168.100.2
Vlan1、vlan2下的PC网关应该设置为交换机的vlan-interface地址。
防火墙。上需要配置到192.168.1.0/24、192.168.2.0/24的路由。
- 2020-10-23回答
- 评论(0)
- 举报
-
(0)
暂无评论
您好,请知:
这要看防火墙是什么模式。
1、如果防火墙是透明模式,且网关在交换机上。防火墙需要给路由器和交换机的互联透传VLAN。路由器和交换机发布路由进行通信,剩下的就是交换机上VLAN的划分。
2、如果防火墙是路由模式,且网关在交换机上,防火墙与路由器、交换机配置三层互联及路由发布,剩下的就是交换机上VLAN的划分。
3、不管防火墙采用什么模式,需要将涉及到的端口、VLAN加入安全域并放通安全策略或域间策略。
- 2020-10-23回答
- 评论(0)
- 举报
-
(0)
暂无评论
方案一(三层交换机与防火墙路由互联)【推荐】:
在三层交换机配置三个VLAN,并在三层交换机上配置三个VLAN对应的网关IP地址,将连接不同网段的接入PC端口配置对应的VLAN,终端的IP地址可采用静态手工配置,也可在三层交换机上开启DHCP服务,自动分配IP。
防火墙上与三层交换机采用第四个VLAN进行互联,防火墙上需要配置关于终端所在的三个VLAN网段的静态路由
方案二(防火墙单臂路由):
在三层交换机上配置三个VLAN,将连接不同网段的接入PC端口配置对应的VLAN;
在防火墙上配置这三个VLAN的子接口,防火墙上三个VLAN子接口作为用户网段,防火墙也可开启DHCP为用户自动分配IP地址。
- 2020-10-23回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论