防火墙和交换机直连(防火墙毗连交换机)

[db:作者]

第2层交换机简介:
第二层交换机是指只能履行第二层转发，而不能履行第三层转发的交换机他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。也就是说只支持第二层功用，不支持路由品级三层功用的交换机他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
凡是，第2层交换机摆设在接入层，不能用感化户的网关他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
收集要求:
以下图所示，PC1和PC2位于分歧的网段，各个部分都有接入互联网的需求他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。现在要求用户经过二层交换机和防火墙拜候内部收集，要求防火墙作为用户的网关他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
设置思绪:
1.设置交换机按照接口分别VLAN，实现二层转发他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
2.将防火墙设置为用户的网关，经过子接口或VLANIF接口实现跨网段的三层转发他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
3.将防火墙设置为DHCP办事器，并将IP地址分派给用户PC他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
4.翻开防火墙域间平安战略，以便来自分歧域的消息可以相互转发他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
5.设置防火墙PAT功用，以便内部网用户可以拜候内部收集他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
操纵步调:
步调1:设置交换机他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
VLAN分别和高低行接口设置
系统
[华为]vlan批次2 3
【华为】接口千兆以太网0/0/2
[华为千兆以太网0/0/2]端口链路式接入
[华为千兆以太网0/0/2]端口默许vlan 2
[华为-千兆以太网0/0/2]退出
【华为】接口千兆以太网0/0/3
[华为千兆以太网0/0/3]端口链路式接入
[华为千兆以太网0/0/3]端口默许vlan 3
[华为-千兆以太网0/0/3]退出
【华为】接口千兆以太网0/0/1
[华为千兆以太网0/0/1]端口链路式中继
[华为千兆以太网0/0/1]端口中继答应经过vlan 2 3
[华为-千兆以太网0/0/1]退出
[华为]退出
救济
步调2:设置防火墙
设置防火墙有两种方式，一种是设置子接口，另一种是设置VLANIF接口他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
设置防火墙经过子接口端接VLAN，实现跨网段的三层转发他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
系统
[usg 6000v 1]接口千兆以太网1/0/1.1
[usg 6000v 1-千兆以太网1/0/1.1]vlan范例dot1q 2
[usg 6000v 1-千兆以太网1/0/1.1]ip地址192.168.2.1 24
[usg 6000v 1-千兆以太网1/0/1.1]退出
[usg 6000v 1]接口千兆以太网1/0/1.2
[usg 6000v 1-千兆以太网1/0/1.2]vlan范例dot1q 3
[usg 6000v 1-千兆以太网1/0/1.2]ip地址192.168.3.1 24
[usg 6000v 1-千兆以太网1/0/1.2]退出
[USG6000V1]dhcp启用
[usg 6000v 1]接口千兆以太网1/0/1.1
[usg 6000v 1-gigabit Ethernet 1/0/1.1]DHCP挑选接口
[usg 6000v 1-千兆以太网1/0/1.1]dhcp办事器DNS-列表114.114.114.114 223.5.5.5
[usg 6000v 1-千兆以太网1/0/1.1]退出
[usg 6000v 1]接口千兆以太网1/0/1.2
[usg 6000v 1-gigabit Ethernet 1/0/1.2]DHCP挑选接口
[usg 6000v 1-千兆以太网1/0/1.2]dhcp办事器DNS-列表114.114.114.114 223.5.5.5
[usg 6000v 1-千兆以太网1/0/1.2]退出
[usg 6000v 1]接口千兆以太网1/0/2
[usg 6000v 1-千兆以太网1/0/2]ip地址200.0.0.2 24
[usg 6000v 1-千兆以太网1/0/2]退出
[USG6000V1]ip路由-静态0 . 0 . 0 . 0 0 . 0 200.0.0.1
[usg 6000v 1]防火墙地区信赖
[usg 6000v 1-zone-trust]增加接口GigabitEthernet 1/0/1
[usg 6000v 1-zone-trust]增加接口GigabitEthernet 1/0/1.1
[usg 6000v 1-zone-trust]增加接口GigabitEthernet 1/0/1.2
[usg 6000v 1-zone-trust]退出
[usg 6000v 1]防火墙地区不成信
[usg 6000v 1-zone-untrust]增加接口GigabitEthernet 1/0/2
[usg 6000v 1-zone-untrust]退出
[usg 6000v 1]平安战略
[usg 6000v 1-战略-平安]法则称号战略1
[usg 6000v 1-战略-平安-法则-战略1]方针地区不成信
[usg 6000v 1-战略-平安-法则-战略1]源地址192.168.0.0掩码255.255.0.0
[usg 6000v 1-政策-平安-法则-政策1]行动答应
[usg 6000v 1-战略-平安-法则-战略1]退出
[usg 6000v 1-战略-平安]退出
[USG6000V1]nat地址-组地址组1
[usg 6000v 1-地址组-地址组1]形式pat
[usg 6000v 1-address-group-address group 1]路由启用
第0节200.0.0.2 200.0.0.2
[usg 6000v 1-address-group-address group 1]退出
[USG6000V1] nat战略
[USG6000V1-policy-nat]法则称号policy_nat1
[usg 6000v 1-policy-NAT-rule-policy _ NAT 1]源地区信赖
[usg 6000v 1-policy-NAT-rule-policy _ NAT 1]方针地区不成信
[usg 6000v 1-policy-NAT-rule-policy _ NAT 1]源地址192.168.0.0掩码255.255.0.0
[usg 6000v 1-policy-nat-rule-policy _ NAT 1]操纵源-NAT地址-组地址组1
[usg 6000v 1-policy-NAT-rule-policy _ NAT 1]退出
[usg 6000v 1-战略-NAT]退出
[usg 6000v 1]退出
步调3:设置路由器他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
系统
sysname互联网
[Internet]接口千兆以太网0/0/1
[互联网]ip地址200.0.0.1 255 . 255 . 255 . 0
[互联网]退出