华为防火墙基本配置实例--688IT编程网

华为防⽕墙基本配置实例

实验背景：

⼀、trust区域：G1/0/0、G1/0/1接⼝下的设备划分到此区域

1、SW1与SW2做lacp链路聚合；

2、公司trust区域划分两个VLAN分别在交换层做MSTP，实现流量负载分担；

3、trust区域核⼼路由器层做双DHCP服务器做双备份，运⾏VRRP实现⽹关备份；

⼆、DMZ区域：G1/0/2接⼝下的设备划分到此区域

1、服务器做⽬的NAT允许untrust区域访问；

2、允许trust区域→DMZ区域的流量访问；

三、untrust区域：G1/0/3接⼝下的设备划分到此区域

1、允许trust区域→UNtrust区域的流量访问；

四、local区域：

1、出⼝做源NAT，类型为easy ip

配置开始：

⼀、⾸先搞定trust区域路由交换⽹络配置

1、交换⽹络配置

1、搞定LACP链路聚合：

SW1/SW2上：两台设备配置相同

lacp priority 100 // //此条配置仅在SW1配置，⽤于指定LACP主动端interface eth-trunk 1

mode lacp-static // //模式为静态LACP模式

max actuve-linknumber 2

least active-linknumber 2

lacp preempt enable

lacp preempt delay 20

load-balance src-dst-ip // //设置流量负载模式为源⽬IP

port link-type trunk // //配置ETH-trunk 1链路类型为trunk

port trunk allow-pass vlan 2 3

trunkport G0/0/4 // //相应接⼝加⼊ETH-trunk 1中

trunkport G0/0/5

trunkport G0/0/6

验证是否成功：

display eth-trunk 1

2、接下来把MSTP给配置上：

思路为SW1为实例1根桥让VLAN2流量⾛SW1，SW2为实例2根桥让VLAN3⾛SW2，SW1与SW2互为备份根。SW1/SW2上：

vlan batch vlan 2 3

port-group group-member G0/0/1 to G0/0/3 // //把各交换接⼝放⾏

port link-type trunk

port trunk allow-pass vlan 2 3

stp region-configuration // //开始配置MSTP

region-name m1

instance 1 vlan 2

instance 2 vlan 3

action region-configuration

SW1上：

stp instance 1 root primary // //设置SW1在实例1中为根桥在实例2中为备份根

stp instance 2 root secondary

SW2上：

stp instance 1 root secondary // //设置SW2在实例1中为备份根在实例2中为根桥stp instance 2 root primary

SW3/SW4上：

vlan batch vlan 2 3

port-group group-member G0/0/1 to G0/0/2 // //把各交换接⼝放⾏

port link-type trunk

port trunk allow-pass vlan 2 3

stp region-configuration // //开始配置MSTP

region-name m1

instance 1 vlan 2

instance 2 vlan 3

action region-configuration

SW3上：

intface e0/0/1 // //划分VLAN

port link-trpe access

port default vlan 2

intface e0/0/2

port link-trpe access

port default vlan 3

SW4上：

intface e0/0/1 // //划分VLAN

route add命令实例port link-trpe access

port default vlan 2

验证配置是否成功：

SW3/SW4上：

display stp brief

3、双DHCP配置：

AR1上：

dhcp enable

ip pool vlan2 // //创建地址池名称为vlan2，为vlan2分配地址network 172.16.2.0 mask 24

gateway-list 172.16.2.254

excluded-ip-address 172.16.2.100 172.16.2.253

// //摘除100-253地址，留出来给DHCP server2和VLANIF分配ip pool vlan3 // //创建地址池名称为vlan2，为vlan2分配地址network 172.16.3.0 mask 24

gateway-list 172.16.3.254

exculded-ip-address 172.16.3.100 172.16.2.253

// //摘除100-253地址，留出来给DHCP server2和VLANIF分配interface g0/0/1

ip add 10.0.0.1 24

dhcp select global

ip route-static 172.16.2.0 24 10.0.0.2

688IT编程网

华为防火墙基本配置实例

发表评论

推荐文章

negotiable certificates of deposits -回复

trandate翻译 -回复

tenoke翻译 -回复

避免合同倒签的方法

cut down the transaction cost

热门文章

cas regexregisteredservice 票根 -回复

SSD硬盘日常维护和Trim

truncate 函数

deployment删除流程

bankaccount类banktransaction -回复

Computer arrangement using non-refreshed dram

kotlin copyonwritearraylist -回复

PACKET LOSS TOLERANT RESHAPING METHOD

COMPUTING MECHANISM FOR PREVENTION OF COLUMN TRUNC

Chain-stopped unsaturated polyester resin

TruncateTable用法

[宝典]MSSQL数据库修复方法

翻译学习积累

命令翻译

专四词汇精讲讲义曲根

TD英文对照

Deployable truss having second order augmentation

托福词汇介绍之四胞胎quadruplets

物流行业术语的英文翻译概要

premature truncating mutations -回复

最新文章

trandate翻译 -回复

tenoke翻译 -回复

避免合同倒签的方法

cut down the transaction cost

pronoun-antecedent agreement -回复

recurring transaction authority -回复

标签列表