当前位置：首页 > article >正文

ENSP实验案例-企业局域网搭建实施设计方案（计算机毕业设计作品）

article 2025/3/18 2:22:29

企业局域网搭建实施设计方案

企业内部的网络拓扑设计，如下图：

图4-1拓扑设计图

该设计的具体内容包括以下五点：

1. 全网互通，保证所有接入终端正常通信。

2. 搭建DHCP服务器，使所有终端可以正常获取到IP地址。

3. 配置无线网络，使无线终端可以正常访问互联网。

4. 设置VRRP保证链路可靠性。

4.2 交换机和路由器部署与优化

每个部门划分一个VLAN，部门内互通，各部门根据ACL规则实现互通。内网使用私网IP，为每个部门分配一个24位掩码长度的私网段，实现上网。运行OSPF协议，提高收敛速度。而且OSPF可以适应拓扑变化，路由自动学习，防止路由环路，提高拓扑稳定性。出口采用光纤接入，汇聚层交换机进行链路聚合，提高网络带宽，实现运营商万兆接入，千兆到部门，百兆到桌面的体验。汇聚层交换机配置ACL控制访问技术，实现市场部和行政部不通，财务部只能和行政部互通，其他部门全互通的网络需求。校园主要使用OSPF路由协议，减轻工作量，在交换机中使用MSTP减轻VLAN广播域和设备的负担并且不会产生二层环路，保障工作效率。

4.2.1 划分VLAN和IP地址

在企业局域网中，通过划分VLAN（虚拟局域网）可以逻辑上隔离不同部门或功能区域的网络流量，提高安全性并减少广播风暴的影响。IP地址分配则依据VLAN划分，采用私有地址段，确保每个VLAN内的设备拥有唯一的IP地址，便于管理和访问控制。

[Huawei] system-view          # 进入系统视图

[Core-SW1] vlan batch 70 80 100 200 172  # 创建多个VLAN

Info: This operation may take a few seconds. Please wait for a moment...done.

[Core-SW1] interface Vlanif70  # 进入VLAN接口70的配置模式

[Core-SW1-Vlanif70] ip address 172.16.70.2 24  # 配置VLAN接口70的IP地址[Core-SW1-Vlanif70] quit

[Core-SW1] interface Vlanif80  # 进入VLAN接口80的配置模式

[Core-SW1-Vlanif80] ip address 172.16.80.2 24  # 配置VLAN接口80的IP地址[Core-SW1-Vlanif80] quit

[Core-SW1] interface Vlanif100  # 进入VLAN接口100的配置模式

[Core-SW1-Vlanif100] ip address 172.16.10.254 24  # 配置VLAN接口100的IP地址[Core-SW1-Vlanif100] quit

[Core-SW1] interface Vlanif200  # 进入VLAN接口200的配置模式

[Core-SW1-Vlanif200] ip address 172.16.20.2 24  # 配置VLAN接口200的IP地址[Core-SW1-Vlanif200] quit

[Core-SW1] interface Vlanif172  # 进入VLAN接口172的配置模式

[Core-SW1-Vlanif172] ip address 172.16.172.1 24  # 配置VLAN接口172的IP地址[Core-SW1-Vlanif172] quit

[Core-SW1] interface GigabitEthernet0/0/23  #进入物理接口GigabitEthernet0/0/23的配置模式

[Core-SW1-GigabitEthernet0/0/23] port link-type access  # 设置接口类型为接入模式[Core-SW1-GigabitEthernet0/0/23] port default vlan 70  # 将接口加入VLAN 70[Core-SW1-GigabitEthernet0/0/23] quit

[Core-SW1] interface GigabitEthernet0/0/24  # 进入物理接口GigabitEthernet0/0/24的配置模式

[Core-SW1-GigabitEthernet0/0/24] port link-type access  # 设置接口类型为接入模式[Core-SW1-GigabitEthernet0/0/24] port default vlan 80  # 将接口加入VLAN 80[Core-SW1-GigabitEthernet0/0/24] quit

[Core-SW1] interface GigabitEthernet0/0/2  # 进入物理接口GigabitEthernet0/0/2的配置模式[Core-SW1-GigabitEthernet0/0/2] port link-type access  # 设置接口类型为接入模式[Core-SW1-GigabitEthernet0/0/2] port default vlan 100  # 将接口加入VLAN 100[Core-SW1-GigabitEthernet0/0/2] quit

[Core-SW1] interface GigabitEthernet0/0/1  # 进入物理接口GigabitEthernet0/0/1的配置模式[Core-SW1-GigabitEthernet0/0/1] port link-type access  # 设置接口类型为接入模式[Core-SW1-GigabitEthernet0/0/1] port default vlan 200  # 将接口加入VLAN 200

[Core-SW1-GigabitEthernet0/0/1] quit

[Core-SW1] interface GigabitEthernet0/0/3  # 进入物理接口GigabitEthernet0/0/3的配置模式[Core-SW1-GigabitEthernet0/0/3] port link-type access  # 设置接口类型为接入模式[Core-SW1-GigabitEthernet0/0/3] port default vlan 172  # 将接口加入VLAN 172

[Core-SW1-GigabitEthernet0/0/3] quit

SW1

[Huawei] system-view          # 进入系统视图

[SW1] vlan batch 10 20 30 40 50 70 1000 2000  # 批量创建多个VLAN

[SW1] interface Vlanif10     # 进入VLAN接口10的配置模式

[SW1-Vlanif10] ip address 192.168.10.1 24     # 配置VLAN接口10的IP地址[SW1-Vlanif10] quit

[SW1] interface Vlanif20     # 进入VLAN接口20的配置模式

[SW1-Vlanif20] ip address 192.168.20.1 24     # 配置VLAN接口20的IP地址[SW1-Vlanif20] quit

[SW1] interface Vlanif30     # 进入VLAN接口30的配置模式

[SW1-Vlanif30] ip address 192.168.30.1 24     # 配置VLAN接口30的IP地址[SW1-Vlanif30] quit

[SW1] interface Vlanif40     # 进入VLAN接口40的配置模式

[SW1-Vlanif40] ip address 192.168.40.1 24     # 配置VLAN接口40的IP地址[SW1-Vlanif40] quit

[SW1] interface Vlanif50     # 进入VLAN接口50的配置模式

[SW1-Vlanif50] ip address 192.168.50.1 24     # 配置VLAN接口50的IP地址[SW1-Vlanif50] quit

[SW1] interface Vlanif1000   # 进入VLAN接口1000的配置模式

[SW1-Vlanif1000] ip address 192.168.100.1 24  # 配置VLAN接口1000的IP地址[SW1-Vlanif1000] quit

[SW1] interface Vlanif2000   # 进入VLAN接口2000的配置模式

[SW1-Vlanif2000] ip address 172.16.100.1 24   # 配置VLAN接口2000的IP地址[SW1-Vlanif2000] quit

[SW1] interface Vlanif70     # 进入VLAN接口70的配置模式

[SW1-Vlanif70] ip address 172.16.70.1 24      # 配置VLAN接口70的IP地址[SW1-Vlanif70] quit

[SW1] interface GigabitEthernet0/0/1  # 进入物理接口GigabitEthernet0/0/1的配置模式[SW1-GigabitEthernet0/0/1] port link-type trunk  # 设置接口类型为干道模式[SW1-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 1000 2000  # 允许指定VLAN通过[SW1-GigabitEthernet0/0/1] quit

[SW1] interface GigabitEthernet0/0/2  # 进入物理接口GigabitEthernet0/0/2的配置模式

[SW1-GigabitEthernet0/0/2] port link-type trunk  # 设置接口类型为干道模式[SW1-GigabitEthernet0/0/2] port trunk allow-pass vlan 20 30 1000 2000  # 允许指定VLAN通过[SW1-GigabitEthernet0/0/2] quit

[SW1] interface GigabitEthernet0/0/3  # 进入物理接口GigabitEthernet0/0/3的配置模式[SW1-GigabitEthernet0/0/3] port link-type trunk  # 设置接口类型为干道模式[SW1-GigabitEthernet0/0/3] port trunk allow-pass vlan 40 50 1000 2000  # 允许指定VLAN通过[SW1-GigabitEthernet0/0/3] quit

[SW1] interface GigabitEthernet0/0/23  # 进入物理接口GigabitEthernet0/0/23的配置模式[SW1-GigabitEthernet0/0/23] port link-type access  # 设置接口类型为接入模式[SW1-GigabitEthernet0/0/23] port default vlan 70  # 将接口加入VLAN 70[SW1-GigabitEthernet0/0/23] quit

SW2

[Huawei] system-view          # 进入系统视图

[SW2] vlan batch 10 20 30 40 50 80 1000 2000  # 批量创建多个VLAN

[SW2] interface Vlanif10     # 进入VLAN接口10的配置模式

[SW2-Vlanif10] ip address 192.168.10.2 24     # 配置VLAN接口10的IP地址[SW2-Vlanif10] quit

[SW2] interface Vlanif20     # 进入VLAN接口20的配置模式

[SW2-Vlanif20] ip address 192.168.20.2 24     # 配置VLAN接口20的IP地址[SW2-Vlanif20] quit

[SW2] interface Vlanif30     # 进入VLAN接口30的配置模式

[SW2-Vlanif30] ip address 192.168.30.2 24     # 配置VLAN接口30的IP地址[SW2-Vlanif30] quit

[SW2] interface Vlanif40     # 进入VLAN接口40的配置模式

[SW2-Vlanif40] ip address 192.168.40.2 24     # 配置VLAN接口40的IP地址[SW2-Vlanif40] quit

[SW2] interface Vlanif50     # 进入VLAN接口50的配置模式

[SW2-Vlanif50] ip address 192.168.50.2 24     # 配置VLAN接口50的IP地址[SW2-Vlanif50] quit

[SW2] interface Vlanif80     # 进入VLAN接口80的配置模式

[SW2-Vlanif80] ip address 172.16.80.1 24      # 配置VLAN接口80的IP地址[SW2-Vlanif80] quit

[SW2] interface Vlanif1000   # 进入VLAN接口1000的配置模式

[SW2-Vlanif1000] ip address 192.168.100.2 24  # 配置VLAN接口1000的IP地址[SW2-Vlanif1000] quit

[SW2] interface Vlanif2000   # 进入VLAN接口2000的配置模式

[SW2-Vlanif2000] ip address 172.16.100.2 24   # 配置VLAN接口2000的IP地址[SW2-Vlanif2000] quit

[SW2] interface GigabitEthernet0/0/1  # 进入物理接口GigabitEthernet0/0/1的配置模式[SW2-GigabitEthernet0/0/1] port link-type trunk  # 设置接口类型为干道模式[SW2-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 1000 2000  # 允许指定VLAN通过[SW2-GigabitEthernet0/0/1] quit

[SW2] interface GigabitEthernet0/0/2  # 进入物理接口GigabitEthernet0/0/2的配置模式[SW2-GigabitEthernet0/0/2] port link-type trunk  # 设置接口类型为干道模式[SW2-GigabitEthernet0/0/2] port trunk allow-pass vlan 20 30 1000 2000  # 允许指定VLAN通过

[SW2-GigabitEthernet0/0/2] quit

[SW2] interface GigabitEthernet0/0/3  # 进入物理接口GigabitEthernet0/0/3的配置模式[SW2-GigabitEthernet0/0/3] port link-type trunk  # 设置接口类型为干道模式[SW2-GigabitEthernet0/0/3] port trunk allow-pass vlan 40 50 1000 2000  # 允许指定VLAN通过[SW2-GigabitEthernet0/0/3] quit

[SW2] interface GigabitEthernet0/0/24  # 进入物理接口GigabitEthernet0/0/24的配置模式[SW2-GigabitEthernet0/0/24] port link-type access  # 设置接口类型为接入模式[SW2-GigabitEthernet0/0/24] port default vlan 80  # 将接口加入VLAN 80[SW2-GigabitEthernet0/0/24] quit

SW3

[Huawei] system-view          # 进入系统视图

[SW3] vlan batch 10 1000 2000  # 批量创建多个VLAN

[SW3] interface Ethernet0/0/1  # 进入物理接口Ethernet0/0/1的配置模式

[SW3-Ethernet0/0/1] port link-type access  # 设置接口类型为接入模式

[SW3-Ethernet0/0/1] port default vlan 10  # 将接口加入VLAN 10

[SW3-Ethernet0/0/1] quit

[SW3] interface Ethernet0/0/2  # 进入物理接口Ethernet0/0/2的配置模式

[SW3-Ethernet0/0/2] port link-type trunk  # 设置接口类型为干道模式

[SW3-Ethernet0/0/2] port trunk allow-pass vlan 2000 1000  # 允许指定VLAN通过[SW3-Ethernet0/0/2] port trunk pvid vlan 2000  # 设置默认VLAN ID为2000

[SW3-Ethernet0/0/2] quit

[SW3] interface Ethernet0/0/3  # 进入物理接口Ethernet0/0/3的配置模式

[SW3-Ethernet0/0/3] port link-type trunk  # 设置接口类型为干道模式

[SW3-Ethernet0/0/3] port trunk allow-pass vlan 10 1000 2000  # 允许指定VLAN通过[SW3-Ethernet0/0/3] quit

[SW3] interface Ethernet0/0/4  # 进入物理接口Ethernet0/0/4的配置模式

[SW3-Ethernet0/0/4] port link-type trunk  # 设置接口类型为干道模式

[SW3-Ethernet0/0/4] port trunk allow-pass vlan 10 1000 2000  # 允许指定VLAN通过[SW3-Ethernet0/0/4] quit

SW4

[Huawei] system-view          # 进入系统视图

[SW4] vlan batch 20 30 1000 2000  # 批量创建多个VLAN

[SW4] interface Ethernet0/0/1  # 进入物理接口Ethernet0/0/1的配置模式

[SW4-Ethernet0/0/1] port link-type access  # 设置接口类型为接入模式

[SW4-Ethernet0/0/1] port default vlan 20  # 将接口加入VLAN 20

[SW4-Ethernet0/0/1] quit

[SW4] interface Ethernet0/0/2  # 进入物理接口Ethernet0/0/2的配置模式

[SW4-Ethernet0/0/2] port link-type access  # 设置接口类型为接入模式

[SW4-Ethernet0/0/2] port default vlan 30  # 将接口加入VLAN 30

[SW4-Ethernet0/0/2] quit

[SW4] interface Ethernet0/0/3  # 进入物理接口Ethernet0/0/3的配置模式

[SW4-Ethernet0/0/3] port link-type trunk  # 设置接口类型为干道模式

[SW4-Ethernet0/0/3] port trunk allow-pass vlan 1000 2000  # 允许指定VLAN通过[SW4-Ethernet0/0/3] port trunk pvid vlan 2000  # 设置默认VLAN ID为2000

[SW4-Ethernet0/0/3] quit

[SW4] interface Ethernet0/0/4  # 进入物理接口Ethernet0/0/4的配置模式

[SW4-Ethernet0/0/4] port link-type trunk  # 设置接口类型为干道模式

[SW4-Ethernet0/0/4] port trunk allow-pass vlan 20 30 1000 2000  # 允许指定VLAN通过[SW4-Ethernet0/0/4] quit

[SW4] interface Ethernet0/0/5  # 进入物理接口Ethernet0/0/5的配置模式

[SW4-Ethernet0/0/5] port link-type trunk  # 设置接口类型为干道模式

[SW4-Ethernet0/0/5] port trunk allow-pass vlan 20 30 1000 2000  # 允许指定VLAN通过[SW4-Ethernet0/0/5] quit

SW5

[Huawei] system-view          # 进入系统视图

[SW5] vlan batch 40 50 1000 2000  # 批量创建多个VLAN

[SW5] interface Ethernet0/0/1  # 进入物理接口Ethernet0/0/1的配置模式

[SW5-Ethernet0/0/1] port link-type access  # 设置接口类型为接入模式

[SW5-Ethernet0/0/1] port default vlan 40  # 将接口加入VLAN 40

[SW5-Ethernet0/0/1] quit

[SW5] interface Ethernet0/0/2  # 进入物理接口Ethernet0/0/2的配置模式

[SW5-Ethernet0/0/2] port link-type access  # 设置接口类型为接入模式

[SW5-Ethernet0/0/2] port default vlan 50  # 将接口加入VLAN 50

[SW5-Ethernet0/0/2] quit

[SW5] interface Ethernet0/0/3  # 进入物理接口Ethernet0/0/3的配置模式

[SW5-Ethernet0/0/3] port link-type trunk  # 设置接口类型为干道模式

[SW5-Ethernet0/0/3] port trunk allow-pass vlan 1000 2000  # 允许指定VLAN通过[SW5-Ethernet0/0/3] port trunk pvid vlan 2000  # 设置默认VLAN ID为2000

[SW5-Ethernet0/0/3] quit

[SW5] interface Ethernet0/0/4  # 进入物理接口Ethernet0/0/4的配置模式

[SW5-Ethernet0/0/4] port link-type trunk  # 设置接口类型为干道模式

[SW5-Ethernet0/0/4] port trunk allow-pass vlan 40 50 1000 2000  # 允许指定VLAN通过[SW5-Ethernet0/0/4] quit

[SW5] interface Ethernet0/0/5  # 进入物理接口Ethernet0/0/5的配置模式

[SW5-Ethernet0/0/5] port link-type trunk  # 设置接口类型为干道模式

[SW5-Ethernet0/0/5] port trunk allow-pass vlan 40 50 1000 2000  # 允许指定VLAN通过[SW5-Ethernet0/0/5] quit

4.2.2 链路聚合配置

链路聚合是将两个或更多数据信道结合成一个单个的信道，该信道以一个单个的更高带宽的逻辑链路出现。链路聚合一般用来连接一个或多个带宽需求大的设备，例如连接骨干网络的服务器或服务器群。

在汇聚交换机之间配置链路聚合。其一提高网络带宽，两条线路聚合带宽成倍增加。其二增加线路稳定性，当一条线路损坏，流量转发不故障。其三汇聚交换机上行故障，流量通过汇聚层聚合链路转发数据，增加冗余性。

SW1

[SW1] interface Eth-Trunk1   # 进入Eth-Trunk接口配置模式

[SW1-Eth-Trunk1] trunkport GigabitEthernet 0/0/4 GigabitEthernet 0/0/5  # 将两个端口加入Eth-Trunk[SW1-Eth-Trunk1] port link-type trunk  # 设置Eth-Trunk接口为干道模式[SW1-Eth-Trunk1] port trunk allow-pass vlan 10 20 30 40 50 1000 2000  # 允许指定VLAN通过

[SW1-Eth-Trunk1] quit

SW2

[SW2] interface Eth-Trunk1   # 进入Eth-Trunk接口配置模式

[SW2-Eth-Trunk1] trunkport GigabitEthernet 0/0/4 GigabitEthernet 0/0/5  # 将两个端口加入Eth-Trunk

[SW2-Eth-Trunk1] port link-type trunk  # 设置Eth-Trunk接口为干道模式

[SW2-Eth-Trunk1] port trunk allow-pass vlan 10 20 30 40 50 1000 2000  # 允许指定VLAN通过

[SW2-Eth-Trunk1] quit

4.2.3 动态主机分配协议DHCP的配置

DHCP（动态主机配置协议）是一个局域网的网络协议。指的是由服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。默认情况下，DHCP作为Windows Server的一个服务组件不会被系统自动安装，还需要管理员手动安装并进行必要的配置。

为了实现内部终端主机的DHCP上网,需要配置DHCP服务器,这里DHCP服务器在VLAN100网段,配置如下.

DHCP

[Huawei] system-view          # 进入系统视图

[DHCP] interface GigabitEthernet 0/0/0  # 进入物理接口配置模式[DHCP-GigabitEthernet0/0/0] ip address 172.16.10.100 24  # 配置接口的IP地址[DHCP-GigabitEthernet0/0/0] quit

[DHCP] ip route-static 0.0.0.0 0 172.16.10.254  # 配置默认路由指向网关

[DHCP] ip pool vlan10  # 创建DHCP池

[DHCP-ip-pool-vlan10] network 192.168.10.0 mask 255.255.255.0  # 设置网络范围[DHCP-ip-pool-vlan10] gateway-list 192.168.10.254  # 设置网关

[DHCP-ip-pool-vlan10] dns-list 172.16.50.30  # 设置DNS服务器

[DHCP-ip-pool-vlan10] excluded-ip-address 192.168.10.1 192.168.10.2  # 排除特定IP地址[DHCP-ip-pool-vlan10] quit

[DHCP] ip pool vlan20

[DHCP-ip-pool-vlan20] gateway-list 192.168.20.254

[DHCP-ip-pool-vlan20] network 192.168.20.0 mask 255.255.255.0

[DHCP-ip-pool-vlan20] excluded-ip-address 192.168.20.1 192.168.20.2

[DHCP-ip-pool-vlan20] dns-list 172.16.50.30

[DHCP-ip-pool-vlan20] quit

[DHCP] ip pool vlan30

[DHCP-ip-pool-vlan30] gateway-list 192.168.30.254

[DHCP-ip-pool-vlan30] network 192.168.30.0 mask 255.255.255.0

[DHCP-ip-pool-vlan30] excluded-ip-address 192.168.30.1 192.168.30.2

[DHCP-ip-pool-vlan30] dns-list 172.16.50.30

[DHCP-ip-pool-vlan30] quit

[DHCP] ip pool vlan40

[DHCP-ip-pool-vlan40] gateway-list 192.168.40.254

[DHCP-ip-pool-vlan40] network 192.168.40.0 mask 255.255.255.0

[DHCP-ip-pool-vlan40] excluded-ip-address 192.168.40.1 192.168.40.2

[DHCP-ip-pool-vlan40] dns-list 172.16.50.30

[DHCP-ip-pool-vlan40] quit

[DHCP] ip pool vlan50

[DHCP-ip-pool-vlan50] gateway-list 192.168.50.254

[DHCP-ip-pool-vlan50] network 192.168.50.0 mask 255.255.255.0

[DHCP-ip-pool-vlan50] excluded-ip-address 192.168.50.1 192.168.50.2

[DHCP-ip-pool-vlan50] dns-list 172.16.50.30

[DHCP-ip-pool-vlan50] quit

[DHCP] ip pool vlan1000

[DHCP-ip-pool-vlan1000] gateway-list 192.168.100.254

[DHCP-ip-pool-vlan1000] network 192.168.100.0 mask 255.255.255.0

[DHCP-ip-pool-vlan1000] excluded-ip-address 192.168.100.1 192.168.100.2

[DHCP-ip-pool-vlan1000] dns-list 172.16.50.30

[DHCP-ip-pool-vlan1000] quit

[DHCP] ip pool vlan2000

[DHCP-ip-pool-vlan2000] gateway-list 172.16.100.254

[DHCP-ip-pool-vlan2000] network 172.16.100.0 mask 255.255.255.0

[DHCP-ip-pool-vlan2000] excluded-ip-address 172.16.100.1 172.16.100.2

[DHCP-ip-pool-vlan2000] dns-list 172.16.50.30

[DHCP-ip-pool-vlan2000] option 43 sub-option 3 ascii 172.16.20.1  # 配置Option 43（用于指向设备如打印机或服务器）

[DHCP-ip-pool-vlan2000] quit

[DHCP] interface GigabitEthernet 0/0/0  # 再次进入物理接口配置模式[DHCP-GigabitEthernet0/0/0] dhcp select global  # 启用全局DHCP功能[DHCP-GigabitEthernet0/0/0] quit

SW1

# 开启DHCP功能

[SW1] dhcp enable# 配置VLAN接口作为DHCP中继

[SW1] interface Vlanif10

[SW1-Vlanif10] dhcp select relay  # 选择DHCP中继模式

[SW1-Vlanif10] dhcp relay server-ip 172.16.10.100  # 指定DHCP服务器的IP地址[SW1-Vlanif10] quit

[SW1] interface Vlanif20

[SW1-Vlanif20] dhcp select relay

[SW1-Vlanif20] dhcp relay server-ip 172.16.10.100

[SW1-Vlanif20] quit

[SW1] interface Vlanif30

[SW1-Vlanif30] dhcp select relay

[SW1-Vlanif30] dhcp relay server-ip 172.16.10.100

[SW1-Vlanif30] quit

[SW1] interface Vlanif40

[SW1-Vlanif40] dhcp select relay

[SW1-Vlanif40] dhcp relay server-ip 172.16.10.100

[SW1-Vlanif40] quit

[SW1] interface Vlanif50

[SW1-Vlanif50] dhcp select relay

[SW1-Vlanif50] dhcp relay server-ip 172.16.10.100

[SW1-Vlanif50] quit

[SW1] interface Vlanif1000

[SW1-Vlanif1000] dhcp select relay

[SW1-Vlanif1000] dhcp relay server-ip 172.16.10.100

[SW1-Vlanif1000] quit

[SW1] interface Vlanif2000

[SW1-Vlanif2000] dhcp select relay

[SW1-Vlanif2000] dhcp relay server-ip 172.16.10.100

[SW1-Vlanif2000] quit

SW2

# 配置VLAN接口作为DHCP中继

[SW2] interface Vlanif10

[SW2-Vlanif10] dhcp select relay  # 选择DHCP中继模式

[SW2-Vlanif10] dhcp relay server-ip 172.16.10.100  # 指定DHCP服务器的IP地址[SW2-Vlanif10] quit

[SW2] interface Vlanif20

[SW2-Vlanif20] dhcp select relay[SW2-Vlanif20] dhcp relay server-ip 172.16.10.100[SW2-Vlanif20] quit

[SW2] interface Vlanif30

[SW2-Vlanif30] dhcp select relay[SW2-Vlanif30] dhcp relay server-ip 172.16.10.100[SW2-Vlanif30] quit

[SW2] interface Vlanif40

[SW2-Vlanif40] dhcp select relay[SW2-Vlanif40] dhcp relay server-ip 172.16.10.100[SW2-Vlanif40] quit

[SW2] interface Vlanif50

[SW2-Vlanif50] dhcp select relay[SW2-Vlanif50] dhcp relay server-ip 172.16.10.100[SW2-Vlanif50] quit

[SW2] interface Vlanif1000

[SW2-Vlanif1000] dhcp select relay[SW2-Vlanif1000] dhcp relay server-ip 172.16.10.100[SW2-Vlanif1000] quit

[SW2] interface Vlanif2000

[SW2-Vlanif2000] dhcp select relay[SW2-Vlanif2000] dhcp relay server-ip 172.16.10.100[SW2-Vlanif2000] quit

4.2.4 VRRP+MSTP冗余部署

VRRP中文名称虚拟路由器冗余协议，它是一种路由容错协——也可以叫做备份路由协议，通常一个网络内的主机都设置一个缺省路由VRRP的作用是充当网络中的一个默认网关，可以说PC定义的网关不生效的话，则整个网络都用不了，只能访问同一个VLAN内的。如果在没有部署VRRP之前，两台互相备份和负载分担的设备就设备了2个IP地址，都可以充当PC的网关，而PC又没有任务的检测机制来判断网关是否能出故障而进行切换。如果没有VRRP之前，则只能通过人工进行修改。

接入层和汇聚层交换机配置MSTP和VRRP技术，实现设备冗余、线路可靠、数据负载分担，能够保证主设备故障后，可以快速切换到备用设备，不影响业务转发。

配置VRRP虚拟组，SW1作为VLAN10 、20、1000、2000的主网关，作为VLAN30、40、50的备网关；SW2作为VLAN30、40、50的主网关，作为VLAN10 、20、1000、2000的备网关。MSTP同VRRP一样，SW1作为VLAN10 、20、1000、2000的主根桥，作为VLAN30、40、50的备用根桥。SW2作为VLAN30、40、50的主根桥，作为VLAN10 、20、1000、2000的备用根桥。

SW1

[Huawei] system-view          # 进入系统视图

[SW1] interface Vlanif10     # 进入VLAN接口10的配置模式

[SW1-Vlanif10] vrrp vr 10 virtual-ip 192.168.10.254  # 配置VRRP虚拟IP地址

[SW1-Vlanif10] vrrp vr 10 priority 110  # 设置VRRP优先级

[SW1-Vlanif10] quit

[SW1] interface Vlanif20     # 进入VLAN接口20的配置模式

[SW1-Vlanif20] vrrp vr 20 virtual-ip 192.168.20.254  # 配置VRRP虚拟IP地址

[SW1-Vlanif20] vrrp vr 20 priority 110  # 设置VRRP优先级

[SW1-Vlanif20] quit

[SW1] interface Vlanif1000   # 进入VLAN接口1000的配置模式

[SW1-Vlanif1000] vrrp vr 100 virtual-ip 192.168.100.254  # 配置VRRP虚拟IP地址[SW1-Vlanif1000] vrrp vr 100 priority 110  # 设置VRRP优先级

[SW1-Vlanif1000] quit[SW1] interface Vlanif2000   # 进入VLAN接口2000的配置模式[SW1-Vlanif2000] vrrp vr 200 virtual-ip 172.16.100.254  # 配置VRRP虚拟IP地址[SW1-Vlanif2000] vrrp vr 200 priority 110  # 设置VRRP优先级

[SW1-Vlanif2000] quit

[SW1] interface Vlanif30     # 进入VLAN接口30的配置模式

[SW1-Vlanif30] vrrp vr 30 virtual-ip 192.168.30.254  # 配置VRRP虚拟IP地址

[SW1-Vlanif30] quit

[SW1] interface Vlanif40     # 进入VLAN接口40的配置模式

[SW1-Vlanif40] vrrp vr 40 virtual-ip 192.168.40.254  # 配置VRRP虚拟IP地址

[SW1-Vlanif40] quit[SW1] interface Vlanif50     # 进入VLAN接口50的配置模式[SW1-Vlanif50] vrrp vr 50 virtual-ip 192.168.50.254  # 配置VRRP虚拟IP地址

[SW1-Vlanif50] quit

# 配置MSTP（多生成树协议）

[SW1] stp region-configuration  # 进入MSTP区域配置模式

[SW1-mst-region] region-name huawei  # 设置区域名称

[SW1-mst-region] instance 1 vlan 10 20 1000 2000  # 设置实例1关联的VLAN

[SW1-mst-region] instance 2 vlan 30 40 50  # 设置实例2关联的VLAN

[SW1-mst-region] active region-configuration  # 激活区域配置

[SW1-mst-region] quit 

# 设置生成树实例1为主根节点

[SW1] stp instance 1 root primary   

# 设置生成树实例2为主根节点

[SW1] stp instance 2 root secondary

SW2

[Huawei] system-view          # 进入系统视图

[SW2] interface Vlanif10     # 进入VLAN接口10的配置模式

[SW2-Vlanif10] vrrp vr 10 virtual-ip 192.168.10.254  # 配置VRRP虚拟IP地址

[SW2-Vlanif10] quit

[SW2] interface Vlanif20     # 进入VLAN接口20的配置模式

[SW2-Vlanif20] vrrp vr 20 virtual-ip 192.168.20.254  # 配置VRRP虚拟IP地址

[SW2-Vlanif20] quit

[SW2] interface Vlanif1000   # 进入VLAN接口1000的配置模式

[SW2-Vlanif1000] vrrp vr 100 virtual-ip 192.168.100.254  # 配置VRRP虚拟IP地址[SW2-Vlanif1000] quit

[SW2] interface Vlanif2000   # 进入VLAN接口2000的配置模式

[SW2-Vlanif2000] vrrp vr 200 virtual-ip 172.16.100.254  # 配置VRRP虚拟IP地址[SW2-Vlanif2000] quit

[SW2] interface Vlanif30     # 进入VLAN接口30的配置模式

[SW2-Vlanif30] vrrp vr 30 virtual-ip 192.168.30.254  # 配置VRRP虚拟IP地址

[SW2-Vlanif30] vrrp vr 30 priority 110  # 设置VRRP优先级

[SW2-Vlanif30] quit

[SW2] interface Vlanif40     # 进入VLAN接口40的配置模式

[SW2-Vlanif40] vrrp vr 40 virtual-ip 192.168.40.254  # 配置VRRP虚拟IP地址

[SW2-Vlanif40] vrrp vr 40 priority 110  # 设置VRRP优先级

[SW2-Vlanif40] quit

[SW2] interface Vlanif50     # 进入VLAN接口50的配置模式

[SW2-Vlanif50] vrrp vr 50 virtual-ip 192.168.50.254  # 配置VRRP虚拟IP地址

[SW2-Vlanif50] vrrp vr 50 priority 110  # 设置VRRP优先级

[SW2-Vlanif50] quit

# 配置MSTP（多生成树协议）

[SW2] stp region-configuration  # 进入MSTP区域配置模式

[SW2-mst-region] region-name huawei  # 设置区域名称

[SW2-mst-region] instance 1 vlan 10 20 1000 2000  # 设置实例1关联的VLAN

[SW2-mst-region] instance 2 vlan 30 40 50  # 设置实例2关联的VLAN

[SW2-mst-region] active region-configuration  # 激活区域配置

[SW2-mst-region] quit

# 设置生成树实例1为次根节点

[SW2] stp instance 1 root secondary

# 设置生成树实例2为主根节点

[SW2] stp instance 2 root primary

SW3

[SW3] stp region-configuration  # 进入MSTP区域配置模式

[SW3-mst-region] region-name huawei  # 设置区域名称

[SW3-mst-region] instance 1 vlan 10 20 1000 2000  # 设置实例1关联的VLAN

[SW3-mst-region] instance 2 vlan 30 40 50  # 设置实例2关联的VLAN

[SW3-mst-region] active region-configuration  # 激活区域配置

[SW3-mst-region] quit

SW4

[SW4] stp region-configuration  # 进入MSTP区域配置模式

[SW4-mst-region] region-name huawei  # 设置区域名称

[SW4-mst-region] instance 1 vlan 10 20 1000 2000  # 设置实例1关联的VLAN

[SW4-mst-region] instance 2 vlan 30 40 50  # 设置实例2关联的VLAN

[SW4-mst-region] active region-configuration  # 激活区域配置

[SW4-mst-region] quit

SW5

[SW5] stp region-configuration  # 进入MSTP区域配置模式

[SW5-mst-region] region-name huawei  # 设置区域名称

[SW5-mst-region] instance 1 vlan 10 20 1000 2000  # 设置实例1关联的VLAN

[SW5-mst-region] instance 2 vlan 30 40 50  # 设置实例2关联的VLAN

[SW5-mst-region] active region-configuration  # 激活区域配置

[SW5-mst-region] quit

4.2.5 OSPF协议的配置

OSPF支持层次化的网络结构设计，支持路由总结(RouteSummary)：OSPFABR（连接多个区域的设备）具有路由总结的功能。

边界路由器配置缺省外指。内网配置OSPF动态路由，实现网络互通。

FW1

[FW1] ip route-static 0.0.0.0 0 202.96.137.1  # 配置默认路由，下一跳为外部网关地址

[FW1] ospf 1 router-id 1.1.1.1  # 启动OSPF进程并指定路由器ID

[FW1-ospf-1] area 0  # 进入区域0配置模式

[FW1-ospf-1-area-0.0.0.0] network 172.16.172.0 0.0.0.255  # 宣告直连网络172.16.172.0/24

[FW1-ospf-1-area-0.0.0.0] quit

[FW1-ospf-1] default-route-advertise always  # 始终通告默认路由

[FW1-ospf-1] quit

Core-SW1

[Core-SW1] ospf 1 router-id 2.2.2.2  # 启动OSPF进程并指定路由器ID

[Core-SW1-ospf-1] area 0  # 进入区域0配置模式

[Core-SW1-ospf-1-area-0.0.0.0] network 172.16.172.0 0.0.0.255  # 宣告直连网络172.16.172.0/24

[Core-SW1-ospf-1-area-0.0.0.0] network 172.16.70.0 0.0.0.255  # 宣告直连网络172.16.70.0/24

[Core-SW1-ospf-1-area-0.0.0.0] network 172.16.80.0 0.0.0.255  # 宣告直连网络172.16.80.0/24

[Core-SW1-ospf-1-area-0.0.0.0] network 172.16.10.0 0.0.0.255  # 宣告直连网络172.16.10.0/24

[Core-SW1-ospf-1-area-0.0.0.0] network 172.16.20.0 0.0.0.255  # 宣告直连网络172.16.20.0/24

[Core-SW1-ospf-1-area-0.0.0.0] quit

[Core-SW1-ospf-1] quit

SW1

[SW1] ospf 1 router-id 3.3.3.3  # 启动OSPF进程并指定路由器ID

[SW1-ospf-1] area 0  # 进入区域0配置模式

[SW1-ospf-1-area-0.0.0.0] network 192.168.10.0 0.0.0.255  # 宣告直连网络192.168.10.0/24

[SW1-ospf-1-area-0.0.0.0] network 192.168.20.0 0.0.0.255  # 宣告直连网络192.168.20.0/24

[SW1-ospf-1-area-0.0.0.0] network 192.168.30.0 0.0.0.255  # 宣告直连网络192.168.30.0/24

[SW1-ospf-1-area-0.0.0.0] network 192.168.40.0 0.0.0.255  # 宣告直连网络192.168.40.0/24

[SW1-ospf-1-area-0.0.0.0] network 192.168.50.0 0.0.0.255  # 宣告直连网络192.168.50.0/24

[SW1-ospf-1-area-0.0.0.0] network 192.168.100.0 0.0.0.255  # 宣告直连网络192.168.100.0/24

[SW1-ospf-1-area-0.0.0.0] network 172.16.100.0 0.0.0.255  # 宣告直连网络172.16.100.0/24

[SW1-ospf-1-area-0.0.0.0] network 172.16.70.0 0.0.0.255  # 宣告直连网络172.16.70.0/24

[SW1-ospf-1-area-0.0.0.0] quit

[SW1-ospf-1] quit

SW2

[SW2] ospf 1 router-id 4.4.4.4  # 启动OSPF进程并指定路由器ID

[SW2-ospf-1] area 0  # 进入区域0配置模式

[SW2-ospf-1-area-0.0.0.0] network 192.168.10.0 0.0.0.255  # 宣告直连网络192.168.10.0/24

[SW2-ospf-1-area-0.0.0.0] network 192.168.20.0 0.0.0.255  # 宣告直连网络192.168.20.0/24

[SW2-ospf-1-area-0.0.0.0] network 192.168.30.0 0.0.0.255  # 宣告直连网络192.168.30.0/24

[SW2-ospf-1-area-0.0.0.0] network 192.168.40.0 0.0.0.255  # 宣告直连网络192.168.40.0/24

[SW2-ospf-1-area-0.0.0.0] network 192.168.50.0 0.0.0.255  # 宣告直连网络192.168.50.0/24

[SW2-ospf-1-area-0.0.0.0] network 192.168.100.0 0.0.0.255  # 宣告直连网络192.168.100.0/24

[SW2-ospf-1-area-0.0.0.0] network 172.16.100.0 0.0.0.255  # 宣告直连网络172.16.100.0/24

[SW2-ospf-1-area-0.0.0.0] network 172.16.80.0 0.0.0.255  # 宣告直连网络172.16.80.0/24

[SW2-ospf-1-area-0.0.0.0] quit

[SW2-ospf-1] quit

4.2.6 控制访问技术ACL配置

华为ACL（访问控制列表，Access Control List）是在华为网络设备上用于定义数据包过滤规则的工具，由一系列允许或拒绝条件构成，用于控制网络流量。它可以根据数据包的源地址、目标地址及端口号等信息进行匹配，从而实现对网络流量的安全控制。华为设备支持多种类型的ACL，包括基本ACL、高级ACL等，以满足不同的网络需求。

市场部、研发部、人力部互通，市场部不通行政部，行政部、研发部、人力部互通、财务部只能和行政部互通。

[SW1] acl number 3000  # 创建高级ACL 3000

[SW1-acl-adv-3000] rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.50.0 0.0.0.255  # 拒绝市场部与行政部之间的通信

[SW1-acl-adv-3000] rule 10 permit ip  # 允许所有其他流量

[SW1-acl-adv-3000] quit

[SW1] acl number 3001  # 创建高级ACL 3001

[SW1-acl-adv-3001] rule 1 deny ip source 192.168.40.0 0.0.0.255 destination 192.168.10.0 0.0.0.255  # 拒绝财务部与市场部之间的通信

[SW1-acl-adv-3001] rule 2 deny ip source 192.168.40.0 0.0.0.255 destination 192.168.20.0 0.0.0.255  # 拒绝财务部与研发部之间的通信

[SW1-acl-adv-3001] rule 3 deny ip source 192.168.40.0 0.0.0.255 destination 192.168.30.0 0.0.0.255  # 拒绝财务部与人力部之间的通信

[SW1-acl-adv-3001] rule 4 deny ip source 192.168.40.0 0.0.0.255 destination 192.168.100.0 0.0.0.255  # 拒绝财务部与其他部门之间的通信

[SW1-acl-adv-3001] rule 5 permit ip  # 允许所有其他流量

[SW1-acl-adv-3001] quit

[SW1] interface GigabitEthernet 0/0/1  # 进入物理接口配置模式

[SW1-GigabitEthernet0/0/1] traffic-filter inbound acl 3000  # 应用ACL 3000到入站流量[SW1-GigabitEthernet0/0/1] quit

[SW1] interface GigabitEthernet 0/0/3  # 进入另一个物理接口配置模式[SW1-GigabitEthernet0/0/3] traffic-filter inbound acl 3001  # 应用ACL 3001到入站流量[SW1-GigabitEthernet0/0/3] quit


[SW2] acl number 3000  # 在另一台交换机上创建高级ACL 3000

[SW2-acl-adv-3000] rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.50.0 0.0.0.255  # 拒绝市场部与行政部之间的通信

[SW2-acl-adv-3000] rule 10 permit ip  # 允许所有其他流量

[SW2-acl-adv-3000] quit

[SW2] acl number 3001  # 在另一台交换机上创建高级ACL 3001

[SW2-acl-adv-3001] rule 1 deny ip source 192.168.40.0 0.0.0.255 destination 192.168.10.0 0.0.0.255  # 拒绝财务部与市场部之间的通信

[SW2-acl-adv-3001] rule 2 deny ip source 192.168.40.0 0.0.0.255 destination 192.168.20.0 0.0.0.255  # 拒绝财务部与研发部之间的通信

[SW2-acl-adv-3001] rule 3 deny ip source 192.168.40.0 0.0.0.255 destination 192.168.30.0 0.0.0.255  # 拒绝财务部与人力部之间的通信

[SW2-acl-adv-3001] rule 4 deny ip source 192.168.40.0 0.0.0.255 destination 192.168.100.0 0.0.0.255  # 拒绝财务部与其他部门之间的通信

[SW2-acl-adv-3001] rule 5 permit ip  # 允许所有其他流量

[SW2-acl-adv-3001] quit

[SW2] interface GigabitEthernet 0/0/1  # 进入物理接口配置模式

[SW2-GigabitEthernet0/0/1] traffic-filter inbound acl 3000  # 应用ACL 3000到入站流量[SW2-GigabitEthernet0/0/1] quit

[SW2] interface GigabitEthernet 0/0/3  # 进入另一个物理接口配置模式[SW2-GigabitEthernet0/0/3] traffic-filter inbound acl 3001  # 应用ACL 3001到入站流量[SW2-GigabitEthernet0/0/3] quit

4.3 AP与AC部署优化

无线采用AC+AP的方式，AC旁挂在核心层交换机上，VLAN200作为AC的管理VLAN，VLAN2000作为AP的业务网段，VLAN1000作为无线接入终端的业务网段。

AC

[AC] vlan batch 200          # 创建VLAN 200

[AC] interface GigabitEthernet 0/0/1  # 进入物理接口配置模式

[AC-GigabitEthernet0/0/1] port link-type access  # 设置接口为接入模式[AC-GigabitEthernet0/0/1] port default vlan 200  # 设置默认VLAN为200[AC-GigabitEthernet0/0/1] quit

[AC] wlan                  # 进入WLAN视图

[AC-wlan-view] regulatory-domain-profile name wlan  # 配置监管域配置文件[AC-wlan-regulate-domain-wlan] country-code CN  # 设置国家代码为中国[AC-wlan-regulate-domain-wlan] quit

[AC-wlan-view] ap-group name ap  # 创建AP组

[AC-wlan-ap-group-ap] regulatory-domain-profile wlan  # 应用监管域配置文件[AC-wlan-ap-group-ap] quit

[AC] interface Vlanif200  # 进入VLAN接口200配置模式

[AC-Vlanif200] ip address 172.16.20.1 255.255.255.0  # 设置IP地址

[AC-Vlanif200] quit

[AC] capwap source-interface Vlanif200  # 设置CAPWAP源接口

[AC] interface Vlanif200  # 再次进入VLAN接口200配置模式

[AC-Vlanif200] ip address 172.16.20.1 255.255.255.0  # 确认IP地址设置

[AC-Vlanif200] quit

[AC] wlan                  # 再次进入WLAN视图

[AC-wlan-view] ap auth-mode mac-auth  # 设置AP认证模式为MAC认证

[AC-wlan-view] ap-id 1 ap-mac 00e0-fcd7-3f50  # 配置AP ID和MAC地址

[AC-wlan-ap-1] ap-group ap  # 将AP加入AP组

[AC-wlan-ap-1] ap-name ap1  # 设置AP名称

[AC-wlan-ap-1] quit

[AC-wlan-view] ap-id 2 ap-mac 00e0-fc26-6370  # 配置另一个AP ID和MAC地址[AC-wlan-ap-2] ap-group ap  # 将AP加入AP组

[AC-wlan-ap-2] ap-name ap2  # 设置AP名称

[AC-wlan-ap-2] quit

[AC-wlan-view] ap-id 3 ap-mac 00e0-fc6d-5330  # 配置第三个AP ID和MAC地址[AC-wlan-ap-3] ap-group ap  # 将AP加入AP组

[AC-wlan-ap-3] ap-name ap3  # 设置AP名称

[AC-wlan-ap-3] quit

[AC-wlan-view] security-profile name security  # 创建安全配置文件[AC-wlan-sec-prof-security] security wpa2 psk pass-phrase huawei@123 aes  # 设置WPA2加密方式

[AC-wlan-sec-prof-security] quit

[AC-wlan-view] ssid-profile name ssid  # 创建SSID配置文件

[AC-wlan-ssid-prof-ssid] ssid wifi  # 设置SSID名称

[AC-wlan-ssid-prof-ssid] quit

[AC-wlan-view] vap-profile name vap  # 创建VAP配置文件

[AC-wlan-vap-prof-vap] forward-mode tunnel  # 设置转发模式为隧道模式[AC-wlan-vap-prof-vap] service-vlan vlan-id 1000  # 设置服务VLAN

[AC-wlan-vap-prof-vap] security-profile security  # 应用安全配置文件

[AC-wlan-vap-prof-vac] ssid-profile ssid  # 应用SSID配置文件

[AC-wlan-vap-prof-vap] quit

[AC-wlan-ap-group-ap] vap-profile vap wlan 1 radio all  # 应用VAP配置文件到所有无线射频

[AC-wlan-ap-group-ap] quit

4.4 防火墙部署措施

防火墙优化的措施包括了：在防火墙中安全区域划分，接口区域和安全策略配置。

4.4.1 防火墙区域划分

防火墙安全区域划分，接口区域和IP配置

[Huawei] system-view          # 进入系统视图

[FW1] firewall zone trust    # 创建信任区域

[FW1-zone-trust] add interface GigabitEthernet1/0/0  # 将接口加入信任区域

[FW1-zone-trust] quit

[FW1] firewall zone untrust  # 创建非信任区域

[FW1-zone-untrust] add interface GigabitEthernet1/0/2  # 将接口加入非信任区域[FW1-zone-untrust] quit[FW1] firewall zone dmz      # 创建DMZ区域

[FW1-zone-dmz] add interface GigabitEthernet1/0/1  # 将接口加入DMZ区域

[FW1-zone-dmz] quit

[FW1] interface GigabitEthernet1/0/1  # 进入物理接口GigabitEthernet1/0/1的配置模式

[FW1-GigabitEthernet1/0/1] ip address 172.16.50.254 24  # 配置接口的IP地址[FW1-GigabitEthernet1/0/1] quit

[FW1] interface GigabitEthernet1/0/2  # 进入物理接口GigabitEthernet1/0/2的配置模式[FW1-GigabitEthernet1/0/2] ip address 202.96.137.88 24  # 配置接口的IP地址[FW1-GigabitEthernet1/0/2] quit

[FW1] interface GigabitEthernet1/0/0  # 进入物理接口GigabitEthernet1/0/0的配置模式[FW1-GigabitEthernet1/0/0] ip address 172.16.172.2 24  # 配置接口的IP地址[FW1-GigabitEthernet1/0/0] quit

运营商路由器接口IP配置

[Huawei] system-view          # 进入系统视图

[ISP] interface GigabitEthernet0/0/0  # 进入物理接口GigabitEthernet0/0/0的配置模式[ISP-GigabitEthernet0/0/0] ip address 202.96.137.1 24  # 配置接口的IP地址[ISP-GigabitEthernet0/0/0] quit

[ISP] interface GigabitEthernet0/0/1  # 进入物理接口GigabitEthernet0/0/1的配置模式[ISP-GigabitEthernet0/0/1] ip address 100.100.100.1 24  # 配置接口的IP地址[ISP-GigabitEthernet0/0/1] quit

4.4.2防火墙安全策略配置

放通trust到untrust的上网数据,放通trust到dmz访问服务器的数据,放通untrust到dmz的web服务器数据.

[FW1] security-policy  # 进入安全策略视图

[FW1-policy-security] rule name t-u  # 创建规则t-u

[FW1-policy-security-rule-t-u] source-zone trust  # 设置源安全区为信任区[FW1-policy-security-rule-t-u] destination-zone untrust  # 设置目的安全区为非信任区[FW1-policy-security-rule-t-u] action permit  # 允许该规则下的流量[FW1-policy-security-rule-t-u] quit

[FW1-policy-security] rule name t-d  # 创建规则t-d

[FW1-policy-security-rule-t-d] source-zone trust  # 设置源安全区为信任区[FW1-policy-security-rule-t-d] destination-zone dmz  # 设置目的安全区为DMZ区[FW1-policy-security-rule-t-d] action permit  # 允许该规则下的流量[FW1-policy-security-rule-t-d] quit

[FW1-policy-security] rule name u-d  # 创建规则u-d

[FW1-policy-security-rule-u-d] source-zone untrust  # 设置源安全区为非信任区[FW1-policy-security-rule-u-d] destination-zone dmz  # 设置目的安全区为DMZ区[FW1-policy-security-rule-u-d] destination-address 172.16.50.10 32  # 指定目标地址[FW1-policy-security-rule-u-d] destination-address 172.16.50.20 32  # 指定目标地址[FW1-policy-security-rule-u-d] service http ftp  # 允许HTTP和FTP服务[FW1-policy-security-rule-u-d] action permit  # 允许该规则下的流量[FW1-policy-security-rule-u-d] quit

[FW1-policy-security] quit

[FW1] nat server protocol tcp global 202.96.137.88 ftp inside 172.16.50.20 ftp  # 配置FTP服务器NAT Server

4.4.3 防火墙NAT部署

SNAT:应用于内网用户访问Internet时进行的地址转换将私网地址转为公网地址，这里我们采用easy-ip的NAT，保证公司上网采用出接口地址。

DNAT:使的外网用户能够访问内部服务器，用户访问202.96.137.88:8080时，防火墙将流量能够送给内网的WEB服务器。当用户访问202.96.137.88:21时防火墙将目的地址转换为172.16.50.20:21 访问公司的FTP服务器。

增加防火墙设备，设置安全区域，控制部门主机、服务器和外网设备的数据转发，保证公司网络的安全性。公司内部实现无线全覆盖，保障内部终端设备可以无线接入并上网。

NAT策略配置

[FW1] nat-policy  # 进入NAT策略视图

[FW1-policy-nat] rule name t-u-nat  # 创建NAT规则t-u-nat

[FW1-policy-nat-rule-t-u-nat] source-zone trust  # 设置源安全区为信任区[FW1-policy-nat-rule-t-u-nat] destination-zone untrust  # 设置目的安全区为非信任区[FW1-policy-nat-rule-t-u-nat] action source-nat easy-ip  # 使用easy-ip方式进行源NAT转换[FW1-policy-nat-rule-t-u-nat] quit

[FW1-policy-nat] quit

NAT Server配置

[FW1] nat server protocol tcp global 202.96.137.88 8080 inside 172.16.50.10 www  # 配置Web服务器NAT Server

查看全文

http://www.kler.cn/a/587606.html