第一部分:H3C SecPath F1000-AI 防火墙配置
防火墙的主要任务是作为网关,并为两个WAN口配置正确的路由。
# --- 进入系统视图 ---
system-view
sysname FW-H3C
# --- 1. 配置与核心交换机互联的接口 (GE_0/2) ---
interface GigabitEthernet 0/2
description Link_to_Core_Switch
ip address 192.168.100.254 255.255.255.0
# 将接口加入Trust区域
security-zone name Trust
import interface GigabitEthernet 0/2
quit
# --- 2. 配置电信WAN口 (假设使用 GE_0/1) ---
interface GigabitEthernet 0/1
description WAN_Engineering
ip address 10.0.0.2 255.255.255.252
# 将接口加入Untrust区域
security-zone name Untrust
import interface GigabitEthernet 0/1
quit
# --- 3. 配置联通WAN口 (假设使用 GE_0/3) ---
interface GigabitEthernet 0/3
description WAN_Unicom
ip address 20.0.0.2 255.255.255.252
# 将接口加入Untrust区域
security-zone name Untrust
import interface GigabitEthernet 0/3
quit
# --- 4. 配置到内网的静态路由 ---
# 告诉防火墙,所有内网网段的数据包,都发给核心交换机(192.168.100.253)
ip route-static 192.168.10.0 255.255.255.0 192.168.100.253
ip route-static 192.168.20.0 255.255.255.0 192.168.100.253
ip route-static 192.168.50.0 255.255.255.0 192.168.100.253
ip route-static 192.168.60.0 255.255.255.0 192.168.100.253
# --- 5. 配置默认路由 (关键步骤) ---
# 这两条默认路由优先级相同,如果没有更具体的路由,它们会形成负载分担。
# 但我们的PBR会覆盖这个行为。
ip route-static 0.0.0.0 0.0.0.0 10.0.0.1 preference 60 # 电信默认路由,设置一个较低的preference值
ip route-static 0.0.0.0 0.0.0.0 20.0.0.1 preference 60 # 联通默认路由
# --- 6. 配置NAT (上网必备) ---
# 配置地址组,包含所有内网用户网段
nat address-group 0
section 0
mode pat
easy-ip
quit
quit
# 配置安全策略,允许Trust区域访问Untrust区域
security-policy
rule name Allow_Internal_To_Internet
source-zone trust
destination-zone untrust
action permit
quit
# 配置NAT策略,对允许访问互联网的流量进行SNAT
nat-policy
rule name NAT_Allow_Internal
source-zone trust
destination-zone untrust
source-address 192.168.10.0 24
source-address 192.168.20.0 24
source-address 192.168.50.0 24
source-address 192.168.60.0 24
action source-nat address-group 0
quit
# --- 7. 保存配置 ---
save force
第二部分:H3C S5560 核心交换机配置
交换机的核心任务是配置VLAN、SVI接口,并实施策略路由。
# --- 进入系统视图 ---
system-view
sysname SW-Core
# --- 1. 配置与防火墙互联的接口 (GE_0/1) ---
# 此接口需要承载多个VLAN,因此配置为Trunk端口
interface GigabitEthernet 0/1
port link-type trunk
port trunk permit vlan all
# 可选:关闭生成树以防止环路问题,如果网络简单无其他交换机
undo stp enable
quit
# --- 2. 配置下联PC的Access端口 ---
interface GigabitEthernet 0/2
port link-type access
port access vlan 10
undo stp enable
quit
interface GigabitEthernet 0/3
port link-type access
port access vlan 20
undo stp enable
quit
interface GigabitEthernet 0/4
port link-type access
port access vlan 50
undo stp enable
quit
interface GigabitEthernet 0/5
port link-type access
port access vlan 60
undo stp enable
quit
# --- 3. 创建VLAN并配置对应的SVI接口 (作为PC的网关) ---
vlan 10
quit
interface Vlan-interface 10
ip address 192.168.10.253 255.255.255.0
quit
vlan 20
quit
interface Vlan-interface 20
ip address 192.168.20.253 255.255.255.0
quit
vlan 50
quit
interface Vlan-interface 50
ip address 192.168.50.253 255.255.255.0
quit
vlan 60
quit
interface Vlan-interface 60
ip address 192.168.60.253 255.255.255.0
quit
# --- 4. 配置策略路由 (PBR) - 核心步骤 ---
# 第一步:定义ACL,匹配需要特殊处理的源IP地址
acl advanced 3000
rule 0 permit ip source 192.168.10.0 0.0.0.255 # 匹配VLAN10
rule 5 permit ip source 192.168.20.0 0.0.0.255 # 匹配VLAN20
rule 10 deny ip source 192.168.50.0 0.0.0.255 # 拒绝VLAN50 (用于下面的策略)
rule 15 deny ip source 192.168.60.0 0.0.0.255 # 拒绝VLAN60 (用于下面的策略)
quit
acl advanced 3001
rule 0 permit ip source 192.168.50.0 0.0.0.255 # 匹配VLAN50
rule 5 permit ip source 192.168.60.0 0.0.0.255 # 匹配VLAN60
quit
# 第二步:创建流分类 (Traffic Classifier),关联ACL
traffic classifier c_class_telecom operator or
if-match acl 3000
quit
traffic classifier c_class_unicom operator or
if-match acl 3001
quit
# 第三步:创建流行为 (Traffic Behavior),定义动作
# 对于电信(Vlan10/20),动作为重定向到电信网关
traffic behavior b_behavior_telecom
redirect ip-nexthop 10.0.0.1
quit
# 对于联通(Vlan50/60),动作为重定向到联通网关
traffic behavior b_behavior_unicom
redirect ip-nexthop 20.0.0.1
quit
# 第四步:创建流策略 (Traffic Policy),将分类和行为绑定
traffic policy p_policy_pbr
classifier c_class_telecom behavior b_behavior_telecom
classifier c_class_unicom behavior b_behavior_unicom
quit
# 第五步:在VLAN接口的入方向应用流策略
# 这是最关键的一步,它告诉交换机:“当这些VLAN的用户发送数据包进来时,请先检查这个策略!”
interface Vlan-interface 10
traffic-policy p_policy_pbr inbound
quit
interface Vlan-interface 20
traffic-policy p_policy_pbr inbound
quit
interface Vlan-interface 50
traffic-policy p_policy_pbr inbound
quit
interface Vlan-interface 60
traffic-policy p_policy_pbr inbound
quit
# --- 5. 配置默认路由 ---
# 交换机只需要一条指向防火墙的默认路由即可,因为PBR已经决定了数据包的出口
ip route-static 0.0.0.0 0.0.0.0 192.168.100.253
# --- 6. 保存配置 ---
save force
使用策略路由实现
以下是策略路由的配置举例:
1.6.4 基于报文源地址的转发策略路由配置举例
1. 组网需求
Router A分别与Router B和Router C直连(保证Router B和Router C之间路由完全不可达)。通过策略路由控制从Router A的以太网接口GigabitEthernet1/0/1接收的报文:
· 源地址为192.168.10.2的报文以4.1.1.2/24作为下一跳IP地址;
· 其它源地址的报文以5.1.1.2/24作为下一跳IP地址。
2. 组网图
图1-4 基于报文源地址的转发策略路由的配置举例组网图
3. 配置步骤
配置前请确保Router B和Host A/Host B,Router C和Host A/Host B之间路由可达。
(1) 配置Router A
# 配置接口GigabitEthernet1/0/2和GigabitEthernet1/0/3的IP地址。
<RouterA> system-view
[RouterA] interface gigabitethernet 1/0/2
[RouterA-GigabitEthernet1/0/2] ip address 4.1.1.1 24
[RouterA-GigabitEthernet1/0/2] quit
[RouterA] interface gigabitethernet 1/0/3
[RouterA-GigabitEthernet1/0/3] ip address 5.1.1.1 24
[RouterA-GigabitEthernet1/0/3] quit
# 定义访问控制列表ACL 2000,用来匹配源地址为192.168.10.2的报文。
[RouterA] acl basic 2000
[RouterA-acl-ipv4-basic-2000] rule 10 permit source 192.168.10.2 0
[RouterA-acl-ipv4-basic-2000] quit
# 定义0号节点,指定所有源地址为192.168.10.2的报文的下一跳为4.1.1.2。
[RouterA] policy-based-route aaa permit node 0
[RouterA-pbr-aaa-0] if-match acl 2000
[RouterA-pbr-aaa-0] apply next-hop 4.1.1.2
[RouterA-pbr-aaa-0] quit
[RouterA] policy-based-route aaa permit node 1
[RouterA-pbr-aaa-1] apply next-hop 5.1.1.2
[RouterA-pbr-aaa-1] quit
# 在以太网接口GigabitEthernet1/0/1上应用转发策略路由,处理此接口接收的报文。
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] ip address 192.168.10.1 24
[RouterA-GigabitEthernet1/0/1] ip policy-based-route aaa
[RouterA-GigabitEthernet1/0/1] quit
4. 验证配置
从Host A上ping Router B,结果成功。
从Host B上ping Router B,结果失败。
从Host A上ping Router C,结果失败。
从Host B上ping Router C,结果成功。
以上结果可证明:从Router A的以太网接口GigabitEthernet1/0/1接收的源地址为192.168.10.2的报文的下一跳为4.1.1.2,所以Host A能ping通Router B,源地址为192.168.10.3的下一跳5.1.1.2,所以Host B能ping通Router C,由此表明策略路由设置成功。
暂无评论
---
一、核心S5560配置
1. 基础配置
vlan 10 20 50 60 100
dhcp enable
各业务VLAN配置网关、DHCP,以VLAN10为例,其余同理
interface Vlan-interface10
ip address 192.168.10.254 255.255.255.0
dhcp select interface
dhcp server dns-list 223.5.5.5 114.114.114.114
互联防火墙的三层VLAN
interface Vlan-interface100
ip address 192.168.100.2 255.255.255.0
2. 接口配置:下联端口放通对应业务VLAN,连防火墙的端口设为access加入VLAN100
3. 默认路由:ip route-static 0.0.0.0 0 192.168.100.1
---
二、SecPath F1000-AI配置
1.
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论