设为首页收藏本站
开启辅助访问

华三防火墙与交换机互通

 您所在的位置:网站首页 锐捷交换机清空端口配置命令 华三防火墙与交换机互通

华三防火墙与交换机互通

2023-07-10 09:13| 来源: 网络整理| 查看: 265

在这里插入图片描述

1、预期目标 如图所示,F1060为H3C防火墙,S6850是交换机,现在两台交换机连接到防火墙上,现需要配置网络使左右两侧网络互通。 配置方式采用两种办法,左边使用vlanif方式与防火墙连接,右边将交换机与防火墙连接端口设置为route模式,并配置IP。 左PC配置IP10.0.4.21 网关10.0.4.10 。右PC配置IP 10.0.5.21 网关10.0.5.10 2、实施配置 1、防火墙配置 将接口G1/0/0,G1/0/1配置为route模式,并配置10.0.4.1 24和10.0.3.1 24 IP 操作命令 int G1/0/0 port link-mode route ip add 10.0.4.1 24 int G1/0/1 port link-mode route ip add 10.0.3.1 24 qu 将G1/0/0~G1/0/1 端口加入到Trust 安全域,防火墙配置的地址默认再local域(详细请了解防火墙安全域) 操作命令 security-zone Trust import int G1/0/0 import int G1/0/1 qu 防火墙欲同交换机通信必须添加互通策略。security-policy 参数有IP IPv6等,常用的使IP 操作命令 security-policy IP rule 0 name local-trust action pass source-zone local destination-zone trust rule 1 name trust-local action pass source-zone trust destination-zone local

至此防火墙配置准备完成。 2、配置交换机 1、2号交换机(左侧)配置 创建vlan10,并将G1/0/1,G1/0/2加入到vlan10中,并配置vlanif10 ip为10.0.4.20 操作命令 vlan 10 qu int range G1/0/1 to G1/0/2 dis this #端口模式为bridge如果使route请修改为brideg >port link-mode beideg port access vlan 10 qu int valn 10 ip add 10.0.4.20 24 qu dis int brief #查看端口信息 dis ip routeing-table #查看路由表

此时可以ping通防火墙的10.0.4.1端口,但还无法ping通10.0.3.1。 2、3号交换机(右侧)配置 创建vlan10 ,将G1/0/1端口模式配置为route并配置10.0.3.10IP,将G1/0/2添加到vlan10,并配置vlanif10ip为10.0.5.10 配置命令 vlan 10 int G1/0/1 port link-mode route ip add 10.0.3.10 24 int G1/0/2 port access valn 10 qu int vlan10 ip add 10.0.5.10 24 qu

至此3号交换机能够ping通10.0.3.1,但不能够ping通10.0.4.1,也不能ping通另一个交换机。

3、解决两个交换机不能互通 两个交换机都能ping通防火墙对应端口IP,但跨网段就不能相通,这是因为安全规则导致的,需要添加trust-trust互通。 防火墙配置 security-policy ip rule 3 name trust-trust action pass source-zone trust destination-zone trust 此时10.0.3.0 和 10.0.4.0 网段就可以互通了,但是10.0.5.0还不能够与他们互通,这是因为在防火墙和交换机上还没有相关路由 表。 配置静态路由表 #防火墙 ip route-static 10.0.5.0 24 10.0.3.10 #左交换机 ip route-static 0.0.0.0 0 10.0.4.1 #右交换机 ip route-static 0.0.0.0 0 10.0.3.1

到此左右两侧网络就可以自由互通了。 3、配置命令汇总 防火墙配置 int G1/0/0 port link-mode route ip add 10.0.4.1 24 int G1/0/1 port link-mode route ip add 10.0.3.1 24 qu security-zone Trust import int G1/0/0 import int G1/0/1 qu security-policy IP rule 0 name local-trust action pass source-zone local destination-zone trust rule 1 name trust-local action pass source-zone trust destination-zone local

security-policy ip rule 3 name trust-trust action pass source-zone trust destination-zone trust

ip route-static 10.0.5.0 24 10.0.3.10 左交换机 vlan 10 qu int range G1/0/1 to G1/0/2 dis this #端口模式为bridge如果使route请修改为brideg >port link-mode beideg port access vlan 10 qu int valn 10 ip add 10.0.4.20 24 qu ip route-static 0.0.0.0 0 10.0.4.1 右交换机 vlan 10 int G1/0/1 port link-mode route ip add 10.0.3.10 24 int G1/0/2 port access valn 10 qu int vlan10 ip add 10.0.5.10 24 qu ip route-static 0.0.0.0 0 10.0.3.1



【本文地址】


今日新闻

推荐新闻

CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3