按照某企业要求,出口网关设备选择了华为路由器AR2240,中间是华为的硬件防火墙USG6330,然后是华为的三层交换机S5720,最下面一层是华为的二层交换机,或者直连PC。废话不多说,先上拓扑图:
华为AR2240路由器的关键配置如下:
interface GigabitEthernet0/0/0
ip address 222.92.XX.50 255.255.255.0 *为接口配置外网IP
interface GigabitEthernet0/0/1
ip address 100.1.2.2 255.255.255.0 *为接口配置内网IP
ip route-static 0.0.0.0 0.0.0.0 222.92.XX.49 *配置默认路由,指向运营商给的网关
ip route-static 192.168.10.0 255.255.255.0 100.1.2.1 *配置静态路由,指明到达内网的路径(因为防火墙是透明模式,所以当它不存在,这里直接配置为三层交换机上面的VLAN IP)
华为USG6330的防火墙配置如下:
1、将内网接口配置为交换模式,安全区域选择Trust,连接类型为Access,选择访问Vlan100;
2、将外网接口同样配置为交换模式,安全区域选择Untrust,连接类型为Access,选择访问Vlan100;
3、配置安全策略:允许内网用户访问internet互联网;
4、配置源NAT,即配置内网到外网的NAT策略;
华为三层交换机的的关键配置如下:
interface Vlanif10
ip address 192.168.10.1 255.255.255.0 *配置VLAN10的 IP地址
interface Vlanif100
ip address 100.1.2.1 255.255.255.0 *配置VLAN100的 IP地址
interface GigabitEthernet0/0/1 *配置端口模式及所在的VLAN
port link-type access
port default vlan 100
interface GigabitEthernet0/0/2 *配置端口模式及所在的VLAN
port link-type access
port default vlan 10
ip route-static 0.0.0.0 0.0.0.0 100.1.2.2 *配置默认路由,指向路由器的内网 IP(同样是当防火墙不存在,直接跳到路由器上)
电脑验证一下,配置是否生效:ping 路由器的外网IP,ping电信运营商的网关IP,都通了,表示配置正确。
——笔者为网络工程师,擅长计算机网络领域,创业多年,希望把自己的经验分享给大家,如有相同或者不同观点,欢迎评论。
