前言
大家好，云智能知識(shí)分享，幾乎稍有規(guī)模的網(wǎng)絡(luò)項(xiàng)目，都有交換機(jī)與防火墻，那么交換機(jī)與防火墻如何配置上網(wǎng)呢？各自在網(wǎng)絡(luò)中起什么作用呢？本期我們通過(guò)示例一起來(lái)詳細(xì)了解。
正文

配置示例：三層交換機(jī)與防火墻對(duì)接上網(wǎng)

我們上面了解到了防火墻與交換機(jī)的區(qū)別與功能，那么防火墻與交換機(jī)又是如何配合使用在項(xiàng)目中呢？這里面我們以華為配置為例。

一、組網(wǎng)網(wǎng)要求

某公司擁有多個(gè)部門(mén)且位于不同網(wǎng)段，各部門(mén)均有訪問(wèn)Internet的需求?，F(xiàn)要求用戶通過(guò)三層交換機(jī)和防火墻訪問(wèn)外部網(wǎng)絡(luò)，且要求三層交換機(jī)作為用戶的網(wǎng)關(guān)，使pc1與pc2都能夠訪問(wèn)外網(wǎng)。

二、三層交換機(jī)與防火墻對(duì)接上網(wǎng)組網(wǎng)圖

三、配置思路

• 配置交換機(jī)作為用戶的網(wǎng)關(guān)，通過(guò)VLANIF接口，實(shí)現(xiàn)跨網(wǎng)段用戶互訪。

• 配置交換機(jī)作為DHCP服務(wù)器，為用戶分配IP地址。

• 開(kāi)啟防火墻域間安全策略，使不同域的報(bào)文可以相互轉(zhuǎn)發(fā)。

• 配置防火墻PAT轉(zhuǎn)換功能，使用戶可以訪問(wèn)外部網(wǎng)絡(luò)。

四、配置步驟

1、配置交換機(jī)

配置連接用戶的接口和對(duì)應(yīng)的VLANIF接口。

<HUAWEI>system?view
[HUAWEI]sysname?Switch
[Switchlylan?batch?2?3
[Switch]?interface?gigabitethernet?0/0/2
[Switch-GigabitEthernet0/0/2]?port?link-type?access//配置接口接入類型為access
[Switch-GigabitEthernet0/0/2]?port?default?wlan?2//配置接口加入VAN?2
[Switch-GigabitEthernet0/0/2]?quit
[Switch]?interface?gigabitethernet?0/0/3
[Switch-GigabitEthernet0/0/3]?port?link?type?access
[Switch-GigabitEthernet0/0/3]]?port?default?ylan?3
[Switch-GigabitEthernet0/0/3]qwit
[Switch]?interface?wlanif?2
[Switch-vlanif2]?ip?address?192.168.1.1?24
[Switch-Vlanif2]?quit
[Switch]?interface?wlanif?3
[Switch-Vlanif3]?ip?address?192.168.2124
[Switch-Vlanif3]?quit


# 配置連接防火墻的接口和對(duì)應(yīng)的VLANIF接口。

# 配置缺省路由。

# 配置DHCP服務(wù)器。

現(xiàn)在交換機(jī)配置完全。

2、配置防火墻

# 配置連接交換機(jī)的接口對(duì)應(yīng)的IP地址。

# 配置連接公網(wǎng)的接口對(duì)應(yīng)的IP地址。

# 配置缺省路由和回程路由。

# 配置安全策略。

# 配置安全策略，允許域間互訪。

# 配置PAT地址池，開(kāi)啟允許端口地址轉(zhuǎn)換。

# 配置源PAT策略，實(shí)現(xiàn)私網(wǎng)指定網(wǎng)段訪問(wèn)公網(wǎng)時(shí)自動(dòng)進(jìn)行源地址轉(zhuǎn)換。

經(jīng)過(guò)配置后：

配置PC1的IP地址為192.168.1.2/24，網(wǎng)關(guān)為192.168.1.1；PC2的IP地址為192.168.2.2/24，網(wǎng)關(guān)為192.168.2.1。

配置外網(wǎng)PC的IP地址為200.0.0.1/24，網(wǎng)關(guān)為200.0.0.2。

配置完成后，PC1和PC2都可以Ping通外網(wǎng)的IP 200.0.0.1/24，PC1和PC2都可以訪問(wèn)Internet。