收藏
下载资源 加入VIP免费专享

园区出口配置举例(防火墙旁路).docx

上传人:李医生 文档编号:11663477 上传时间:2021-08-29 格式:DOCX 页数:39 大小:433.38KB
返回 下载 相关 举报
园区出口配置举例(防火墙旁路).docx_第1页
第1页 / 共39页
园区出口配置举例(防火墙旁路).docx_第2页
第2页 / 共39页
园区出口配置举例(防火墙旁路).docx_第3页
第3页 / 共39页
园区出口配置举例(防火墙旁路).docx_第4页
第4页 / 共39页
园区出口配置举例(防火墙旁路).docx_第5页
第5页 / 共39页
点击查看更多>>
资源描述

《园区出口配置举例(防火墙旁路).docx》由会员分享,可在线阅读,更多相关《园区出口配置举例(防火墙旁路).docx(39页珍藏版)》请在三一文库上搜索。

1、1 大型园区出口配置示例(防火墙旁路部署)1.1 配置注意事项本举例中的交换机以华为公司的S系列框式交换机为例、防火墙以USG系列为例、路由器以NE系列为例。本配置案例仅涉及企业网络出口相关配置,涉及企业内网的相关配置请参见华为S系列园区交换机快速配置中的“大型园区组网场景”。本例仅涉及防火墙与交换机的对接配置以及防火墙的双机热备配置。防火墙上的安全业务规划及园区安全策略、攻击防范、带宽管理、IPSec等功能的配置示例请参见防火墙配置案例集。本例仅涉及园区出口路由器与交换机的对接配置。路由器在公网侧的配置示例请 参见NE系列路由器配置指南。1.2 组网需求在大型园区出口,核心交换机上行通过路由

2、器访问外网。防火墙旁挂于核心交换机, 对业务流量提供安全过滤功能。为了简化网络并提高可靠性,在核心层交换机通常部署集群。在防火墙上部署双机热备(主备模式),当其中一台故障时,业务可以平滑切换到另一台。核心交换机双归接入 2台出口路由器,路由器之间部署VRRP确保可靠性。为提高链路可靠性,在核心交换机与出口路由器之间,核心交换机与防火墙之间,2台防火墙之间均通过 Eth-Trunk互连。如下图所示。图1-1园区出口组网图(防火墙旁挂,双机热备)Router 1VKKH VRID 1FW1FW2汇聚交换机I业务网络2业务网由1I汇聚交年生外网访问内网的 前景琳花而W内网访问外M团口Internet

3、 , 一 园区出【区域Ruuler 2双机热各在一般的三层转发环境下,园区内外部之间的流量将直接通过交换机转发,不会经过FW1或FW2。当流量需要从交换机转发至FW,经FW检测后再转发回交换机,就需要在交换机上配置 VRF功能,将交换机隔离成两个相互独立的虚拟交换机VRF-A和根交换机PublicPublic作为连接出口路由器的交换机。对于下行流量,它将外网进来的流量转发给FW进行检测;对于上行流量,它接收经FW检测后的流量,并转发到路由器。VRF-A作为连接内网侧的交换机。对于下行流量,它接收经FW检测后的流量,并转发到内网;对于上行流量,它将内网的流量转发到FW去检测。根据上图中的流量转发

4、路径可以将上图转换成如下所示的更容易理解的逻辑组网图。1-2 交换机与路由器、防火墙之间物理接口连接示意图外网访问内网区 旅信路径示例内网切向分网的 流51跖行示例业务M络1业务网络2Router 110GE1/O/1 tth-rrunk110GE1/Oz210GE1/0/10GE1/0/2Eth-Trunk-Elh-TrtnK1Fth-Trunk?1CGE1/4/0/010GE2/4 10GE1M/0/1IOGE2/4/0/1Router 2GE1/V07Switch 2Switch 1 (主)GE2/2/0/7Eth-Trunk4Eth Trunk6Eth-Trunk4GE1/(V0FW1

5、GE2i0 1GE 1 JOJO( GE2W。EtlTrunk6GE1/0/1FW2GE 1/1/0GE1/1/1Eth-Trunk7GE1/1/0Eth-Trunk5tfth-TrunkbEth-Trurk7GE2/1/0/8E1.2/0 8GE1/1/0/8GE2/2/Q/8Switcli 1(主):S 八Switch 2(品)GE1/3/0/1汇聚交狡机内网侧VRFA /1/32/2/GE2/3/0/1I Hth-Trunk8Fth-Tnink9GE2/3Q/2汇聚交换机本例所示核心交换机工作在三层模式,上图所示的逻辑组网图可以理解为防火墙上下行连接三层交换机的双机热备组网。这种组网的特

6、点是需要在防火墙的上下行业务接口上部署 VRRP 备份组,如下所示。图1-3交换机与路由器、防火墙之间三层口连接示意图Internet外同访可向网的戊二.登片j叫IK网上诃外网内航量端防例fRouter 1EttihTrunk 110.10.4,224R 川匕2Virinjil IP10.10.4.100/24OSPF100Area 0I runicHiPuHc/Fth-Trun k 1/10.10 4 3/2-fcss innni2尸H含路由 田距山希左路中3神态路由X二 th-TuM4Ffh-Tr jrkfiFW2内网剜VRRACSSVirtual IP 10LI 0 25/24V rtu

7、al F 产 10 10 3.5/24Tru$t bind runk?-0 10.3.3/24Untruat: Ch Tr RG10.102.1/24CSS Eth-TninkF Eth-TnjnK7 VLANIF30 10.10 31/24CSS Eth-TrunM Eth TrjEKG UL4WF 10.10,2.1/24Ku MRRP VRID 1FW 1Untrusi : -ri-1 u k10.10.2.24Eth-Trunkl V Elh-Tiunltl101.1.1410.1.1 2/24Trust ELITiunkS1010 3 2/24brVKRpTRID?bth-T run

8、k&hUi-T Tink/业务网络1业务网络2如上图所示,内部用户访问外网的流量转发路径如下(上图中蓝色路径)1 .当内部用户访问外网的流量到达VRF-A时,流量根据 VRF-A上的静态路由(下一跳设置为防火墙下行 VRRP的虚拟IP地址)被转发到防火墙。2 .防火墙完成对流量的安全检测后,会根据静态路由(下一跳设置为CSS的VLANIF20 )将流量转发到 Public上。3 .最后,Public通过到路由器的静态路由(下一跳设置为路由器VRRP的虚拟IP地址)将流量转发到路由器。外部用户访问内网的流量转发路径如下(上图中红色路径):1 .当外部用户访问内网的流量到路由器时,流量根据OSPF

9、路由表被转发到Public上。2 .流量到达Public后,先根据Public上的静态路由(下一跳设置为防火墙上行 VRRP的虚拟IP地址)被转发到防火墙。3 .防火墙完成对流量的安全检测后,会根据静态路由(下一跳设置为CSS的VLANIF30 )将流量转发到 VRF-A 上。4 . VRF-A通过OSPF路由表将流量转发汇聚交换机,最后由汇聚交换机将流量转发 到业务网络。1.3数据规划表1-1链路聚合接口规划设备接口编 号成员接口VLANIFIP地址对端设备对端接口编 号Rout er1Eth- trunk1.1 0010GE1/0/ 110GE1/0/ 2-10.10.4.2/24Swit

10、ch 1Switch 2Eth-Trunk1Rout er2Eth- trunk1.1 0010GE1/0/ 110GE1/0/ 2-10.10.4.3/24Switch 1Switch 2Eth-Trunk2Rout er 1和Rout er 2的VRR P-10.10.4.100/24-CSS (SwitEth- trunk110GE1/4/ 0/0VLANIF1010.10.4.1/24Router 1Eth-Trunk1设备接口编 号成员接口VLANIFIP地址对端设备对端接口编 号ch 1和Switc h 2)10GE2/4/ 0/0Eth- trunk210GE1/4/ 0/110

11、GE2/4/ 0/1VLANIF1010.10.4.1/24Router 2Eth-Trunk1Eth- trunk4GE1/1/0/ 7GE2/1/0/ 7VLANIF2010.10.2.1/24FW 1Eth-Trunk4Eth- trunk5GE1/1/0/ 8GE2/1/0/ 8VLANIF3010.10.3.1/24FW 1Eth-Trunk5Eth- trunk6GE1/2/0/ 7GE2/2/0/ 7VLANIF2010.10.2.1/24FW 2Eth-Trunk6Eth- trunk7GE1/2/0/ 8GE2/2/0/ 8VLANIF3010.10.3.1/24FW 2Et

12、h-Trunk7Eth- trunk8GE1/3/0/ 1GE2/3/0/ 1VLANI F10010.10.100.1/24业务网络1-(本案例不 体现配置)Eth- trunk9GE1/3/0/ 2GE2/3/0/ 2VLANIF20010.10.200.1/24业务网络2-(本案例不 体现配置)FW1Eth- trunklGE2/0/0GE2/0/1-10.1.1.1/24FW2Eth-Trunk1Eth-Trunk4GE1/0/0GE1/0/1-10.10.2.2/24Switch 1Switch 2Eth-Trunk4Eth-Trunk5GE1/1/0GE1/1/1-10.10.3.

13、2/24Switch 1Switch 2Eth-Trunk5FW2Eth- trunklGE2/0/0GE2/0/1-10.1.1.2/24FW1Eth-Trunk1Eth-GE1/0/0-10.10.2.3/24Switch 1Eth-Trunk6设备接口编 号成员接口VLANIFIP地址对端设备对端接口编 号Trunk6GE1/0/1Switch 2Eth-Trunk7GE1/1/0GE1/1/1-10.10.3.3/24Switch 1Switch 2Eth-Trunk7FW 1 和FW 2 的VRR P1 (上 行)-10.10.2.5/24-FW 1 和FW 2 的VRR P2 (下

14、 行)-10.10.3.5/24-1.4配置思路采用如下思路配置园区出口举例:1 .配置核心交换机集群 CSS。2 .配置交换机与防火墙、路由器之间的接口及IP地址。为提高链路可靠性,在交换机与防火墙、交换机与路由器之间配置跨框Eth-Trunk接口。在防火墙的接口上配置安全区域。3 .在出口路由器上部署 VRRP。为了保证核心交换机与两个出口路由器之间的可靠性,在两个出口路由器之间部 署VRRP, VRRP的心跳报文经过核心交换机进行交互。Routeri为Master设备,Router2 为 Backup 设备。4 .部署路由。交换机上配置 VRF功能,将交换机隔离成两个相互独立的虚拟交换机

15、VRF-A和根交换机Public,以隔离业务网段路由与公网路由。为了引导各设备的上行流量,在核心交换机上配置一条缺省路由,下一跳指向出 口路由器VRRP的虚地址。为了引导园区两个出口路由器的回程流量,在两个出口路由器和核心交换机之间部署OSPF,核心交换机上将所有用户网段发布到OSPF里面,通告给两个出口路由器。为了将业务网络的上行流量引导至防火墙,在交换机上配置一条缺省路由,下一为了将到业务网络 下一跳指向防火墙为了将到业务网络 下一跳指向防火墙跳指向防火墙VRRP VRID2 的虚拟 IP 。1 的下行流量引导至防火墙,在交换机上配置一条缺省路由,VRRP VRID1 的虚拟IP 。2 的

16、下行流量引导至防火墙,在交换机上配置一条缺省路由,VRRP VRID1 的虚拟IP 。为了将业务网络的上行流量引导至交换机,在防火墙上配置一条缺省路由,下一为了将到业务网络 下一跳指向交换机 为了将到业务网络 下一跳指向交换机跳指向交换机VLANIF20 的 IP 地址。1 的下行流量引导至交换机,在防火墙上配置一条缺省路由,VLANIF30 的 IP 地址。2 的下行流量引导至交换机,在防火墙上配置一条缺省路由,VLANIF30 的 IP 地址。5. 配置防火墙双机热备。1.5操作步骤步骤 1 交换机:配置交换机集群。1. 连接集群卡的线缆。下图以 S12700 交换机的 EH1D2VS08

17、000 集群卡连线为例。本例连线示意图中,S12700 主控板、交换网板和集群卡都是满配的情况。实际使用时, S12700 每框至少配置一块主控板和一块交换网板即可。推荐每框配置两块交换网板并插上两块集群卡。图1-4集群卡连线示意图匚二I组1翅2三三集群线缆说明两框之间至少要连接一根集群线缆。一块集群卡只能与对框一块集群卡相连,不能连接到多块集群卡,且不能与本框集群卡相连。集群卡上组1的任意接口只能与对框集群卡上组1的任意接口相连,组 2的要求同组1。每块集群卡上连接集群线缆的数量相同(如果不相同会影响总的集群带宽),且两端按照接口编号的顺序对接。2. 在Switch 1上配置集群。#集群连接

18、方式为集群卡(缺省值,不需配置)。集群ID采用缺省值1 (不需配置)。优先级为100。 system-viewHUAWEI set css mode css-card /设备缺省值,不需再执行命令配置,此步骤仅用作示范命令。HUAWEI set css id 1/设备缺省值,不需再执行命令配置,此步骤仅用作示范命令。HUAWEI set css priority 100/集群优先级缺省为1 ,修改主交换机的优先级大于备交换机HUAWEI css enableWarning: The CSS configuration takes effect only after the system is

19、rebooted.The next CSS mode is CSS-card. Reboot now? Y/N:y/重启交换机3. 在Switch 2上配置集群。集群连接方式为集群卡(缺省值,不需配置)。集群ID为2。优先级采用缺省值 1(不需配置)。 system-viewHUAWEI set css id 2/集群ID缺省为1 ,修改备交换机的ID为2HUAWEI css enableWarning: The CSS configuration takes effect only after the system is rebooted.The next CSS mode is CSS-c

20、ard. Reboot now? Y/N:y/重启交换机4. 交换机完成重启后,查看集群状态。- 在集群系统的主交换机 Switch 1上,主用主控板上的 CSS MASTER灯绿色常 亮。(图1)- Switch 1的两块主控板上编号为 1的CSS ID灯绿色常亮,Switch 2的两块主 控板上编号为2的CSS ID灯绿色常亮。(图1)- 集群卡上有集群线缆连接的端口LINK/ALM灯绿色常亮。(图2)- 主框上所有集群卡的 MASTER灯绿色常亮,备框上所有集群卡的MASTER灯常灭。(图2)图1-5 CSS系统指示灯示意图1234567BID CSS MASTER r京ri卸主控机指水

21、灯RUN/ALM MAS 止 R LINK/ALW1ill图2箧疆卡脂而灯说明集群建立后,后续交换机的配置都在主交换机( Switch 1 )上进行,数据会自动同步到备交 换机(Switch 2 )。在集群系统中,接口编号会变为4维,例如,10GE1/4/0/0。其中左边第一位表示集群ID步骤2配置CSS与FW、路由器之间的跨框Eth-Trunk 口,CSS上的VLANIF 口以及IP地址。1. 配置交换机与路由器之间的跨框 Eth-Trunk , VLANIF以及IP地址。#在CSS上创建Eth-Trunk1 ,用于连接 Router1 ,并加入 Eth-Trunk成员接口。 system-

22、viewHUAWEI sysname CSS /给集群系统重新命名。CSS interface Eth-Trunk 1CSS-Eth-Trunk1 quitCSS interface XGigabitethernet 1/4/0/0/ 在 Eth-Trunk1中加入主交换机上的成员接口CSS-XGigabitEthernet1/4/0/0Eth-Trunk 1CSS-XGigabitEthernet1/4/0/0quitCSS interface XGigabitethernet 2/4/0/0CSS-XGigabitEthernet2/4/0/0Eth-Trunk 1CSS-XGigabit

23、Ethernet2/4/0/0quit/ 在 Eth-Trunk1中加入备交换机上的成员接口# 在 CSS 上创建 Eth-Trunk2 ,用于连接Router2 ,并加入 Eth-Trunk 成员接口。CSS interface Eth-Trunk 2CSS-Eth-Trunk2 quitCSS interface XGigabitethernet 1/4/0/1/ 在 Eth-Trunk2中加入主交换机上的成员接口CSS-XGigabitEthernet1/4/0/1Eth-Trunk2CSS-XGigabitEthernet1/4/0/1quitCSS interface XGigabi

24、tethernet 2/4/0/1/ 在 Eth-Trunk2中加入备交换机上的成员接口CSS-XGigabitEthernet2/4/0/1Eth-Trunk2CSS-XGigabitEthernet2/4/0/1quit# 创建 VLANIF ,并配置 IP 地址。CSS vlan batch 10CSS interface Eth-Trunk 1/ 将 Eth-Trunk1CSS-Eth-Trunk1port link-type trunkCSS-Eth-Trunk1port trunk allow-passvlan 10CSS-Eth-Trunk1quitCSS interface E

25、th-Trunk 2/ 将 Eth-Trunk2CSS-Eth-Trunk2port link-type trunkCSS-Eth-Trunk2port trunk allow-passvlan 10CSS-Eth-Trunk2quitCSS interface Vlanif 10/ 创建 VLANIF10CSS-Vlanif10ip address 10.10.4.1 24CSS-Vlanif10quit加入 VLAN10加入 VLAN10CSS 与 Router1 、 Router2 通信2. 配置交换机与 FW 之间的跨框Eth-Trunk , CSS 上的 VLANIF 口以及 IP

26、地址。# 在 CSS 上创建 Eth-Trunk4 ,用于将 Pubilc 与 FW1 连接,并加入Eth-Trunk 成员接口。CSS interface Eth-Trunk 4CSS-Eth-Trunk4 quitCSSinterface Gigabitethernet 1/1/0/7/在Eth-Trunk4中加入主交换机上的成员接口CSS-Gigabitethernet1/1/0/7Eth-Trunk4CSS-Gigabitethernet1/1/0/7quitCSSinterface Gigabitethernet 2/1/0/7/在Eth-Trunk4中加入备交换机上的成员接口CSS

27、-Gigabitethernet2/1/0/7Eth-Trunk4CSS-Gigabitethernet2/1/0/7quit# 在 CSS 上创建 Eth-Trunk5 ,用于将 VRF-A 与 FW1 连接,并加入 Eth-Trunk 成 员接口。CSS interface Eth-Trunk 5CSS-Eth-Trunk5 quitCSS interface Gigabitethernet 1/1/0/8/ 在 Eth-Trunk5 中加入主交换机上的成员接口CSS-Gigabitethernet1/1/0/8Eth-Trunk 5CSS-Gigabitethernet1/1/0/8qu

28、itCSS interface Gigabitethernet 2/1/0/8/ 在 Eth-Trunk5 中加入备交换机上的成员接口CSS-Gigabitethernet2/1/0/8Eth-Trunk5CSS-Gigabitethernet2/1/0/8quit# 在 CSS 上创建 Eth-Trunk6 ,用于将 Pubilc 与 FW2 连接,并加入Eth-Trunk 成员接口。CSS interface Eth-Trunk 6CSS-Eth-Trunk6 quitCSS interface Gigabitethernet 1/2/0/7/ 在 Eth-Trunk6中加入主交换机上的成

29、员接口CSS-Gigabitethernet1/2/0/7Eth-Trunk6CSS-Gigabitethernet1/2/0/7quitCSS interface Gigabitethernet 2/2/0/7/ 在 Eth-Trunk6中加入备交换机上的成员接口CSS-Gigabitethernet2/2/0/7Eth-Trunk6CSS-Gigabitethernet2/2/0/7quit# 在 CSS 上创建 Eth-Trunk7 ,用于将 VRF-A 与 FW2 连接,并加入 Eth-Trunk 成 员接口。# 创建 VLANIF ,并配置 IP 地址。CSS vlan batch

30、20 30CSS interface Eth-Trunk 4/ 将 Eth-Trunk4CSS-Eth-Trunk4port link-type trunkCSS-Eth-Trunk4port trunk allow-pass vlan20CSS-Eth-Trunk4quitCSS interface Eth-Trunk 6/ 将 Eth-Trunk6CSS-Eth-Trunk6port link-type trunkCSS-Eth-Trunk6port trunk allow-pass vlan20CSS-Eth-Trunk6quitCSS interface Vlanif 20/ 创建 V

31、LANIF20CSS-Vlanif20ip address 10.10.2.1 24CSS-Vlanif20quitCSS interface Eth-Trunk 5/ 将 Eth-Trunk5CSS-Eth-Trunk5port link-type trunkCSS-Eth-Trunk5port trunk allow-pass vlan30CSS-Eth-Trunk5quitCSS interface Eth-Trunk 7/ 将 Eth-Trunk7CSS-Eth-Trunk7port link-type trunkCSS-Eth-Trunk7port trunk allow-pass

32、vlan30CSS-Eth-Trunk7quitCSS interface Vlanif 30/ 创建 VLANIF30加入 VLAN20加入 VLAN20CSS 的 Public 连接 FW1、 FW2加入 VLAN30加入 VLAN30CSS 的 VRF-A 连接FW1、 FW2CSS interface Eth-Trunk 7CSS-Eth-Trunk7 quitCSS interface Gigabitethernet 1/2/0/8CSS-Gigabitethernet1/2/0/8Eth-Trunk 7/ 在 Eth-Trunk7中加入主交换机上的成员接口CSS-Gigabitet

33、hernet1/2/0/8CSS interface Gigabitethernet 2/2/0/8quit/ 在 Eth-Trunk7中加入备交换机上的成员接口CSS-Gigabitethernet2/2/0/8Eth-Trunk 7CSS-Gigabitethernet2/2/0/8quitCSS-Vlanif30 ip address 10.10.3.1 24CSS-Vlanif30quit3. 配置交换机与业务网络之间的跨框 Eth-Trunk , VLANIF 以及 IP 地址。# 在 CSS 上创建 Eth-Trunk8 ,用于连接业务网络1,并加入 Eth-Trunk 成员接口。

34、CSS interface Eth-Trunk 8CSS-Eth-Trunk8 quitCSSinterface Gigabitethernet 1/3/0/1/在Eth-Trunk8中加入主交换机上的成员接口CSS-Gigabitethernet1/3/0/1Eth-Trunk8CSS-Gigabitethernet1/3/0/1quitCSSinterface Gigabitethernet 2/3/0/1/在Eth-Trunk8中加入备交换机上的成员接口CSS-Gigabitethernet2/3/0/1Eth-Trunk8CSS-Gigabitethernet2/3/0/1quit#

35、在 CSS 上创建 Eth-Trunk9 ,用于连接业务网络2,并加入Eth-Trunk 成员接口。CSS interface Eth-Trunk 9CSS-Eth-Trunk9 quitCSSinterface Gigabitethernet 1/3/0/2/在Eth-Trunk9中加入主交换机上的成员接口CSS-Gigabitethernet1/3/0/2Eth-Trunk9CSS-Gigabitethernet1/3/0/2quitCSSinterface Gigabitethernet 2/3/0/2/在Eth-Trunk9中加入备交换机上的成员接口CSS-Gigabitetherne

36、t2/3/0/2Eth-Trunk9CSS-Gigabitethernet2/3/0/2quit# 创建 VLANIF ,并配置 IP 地址。CSS vlan batch 100 200CSS interface Eth-Trunk 8/ 将 Eth-Trunk8 加入 VLAN100CSS-Eth-Trunk8port link-type trunkCSS-Eth-Trunk8port trunk allow-pass vlan100CSS-Eth-Trunk8quitCSS interface Vlanif 100/ 创建 VLANIF100 ,用于 CSS连接业务网络 1CSS-Vlan

37、if100ip address 10.10.100.1 24CSS-Vlanif100quitCSS interface Eth-Trunk 9/ 将 Eth-Trunk9 加入 VLAN200CSS-Eth-Trunk9portlink-type trunkCSS-Eth-Trunk9porttrunk allow-pass vlan 200CSS-Eth-Trunk9quitCSS interface Vlanif 200/ 创建 VLANIF200 ,用于 CSS连接业务网络 2CSS-Vlanif200ip address 10.10.200.1 24CSS-Vlanif200quit

38、步骤 3 路由器:配置路由器与CSS 之间的接口# 配置 Router1 ,在 Router1 上创建 Eth-Trunk1 ,并加入成员接口。 system-viewHuawei sysname Router1Router1interface Eth-Trunk 1Router1-Eth-Trunk1 quitRouter1interface XGigabitethernet 1/0/1undo shutdownEth-Trunk 1Router1-XGigabitEthernet1/0/1Router1-XGigabitEthernet1/0/1Router1-XGigabitEthern

39、et1/0/1quitRouter1 interface XGigabitethernet 1/0/2Router1-XGigabitEthernet1/0/2Router1-XGigabitEthernet1/0/2Router1-XGigabitEthernet1/0/2undo shutdown Eth-Trunk 1 quit# 配置 Dot1q 终结子接口,终结VLAN10 。并配置 IP 地址。Router1 interface Eth-Trunk 1.100Router1-Eth-Trunk1.100Router1-Eth-Trunk1.100Router1-Eth-Trunk1

40、.100ip address 10.10.4.2 24 dot1q termination vid 10 quit# Router2 上的配置步骤与Router1 相同,仅接口Router2 的配置。IP 地址有差别,请参照步骤 4 防火墙:配置防火墙的接口与安全区jx W3- cA/d 6An tzriz:# 配置 FW1 的接口与安全区。 system-viewUSG sysname FW1FW1 interface Eth-Trunk 4/ 配置与 CSS连接的接口及 IPFW1-Eth-Trunk4ip address 10.10.2.2 24FW1-Eth-Trunk4quitFW1

41、interface Gigabitethernet 1/0/0/ 在Eth-Trunk4FW1-GigabitEthernet1/0/0Eth-Trunk4FW1-GigabitEthernet1/0/0quitFW1interface Gigabitethernet 1/0/1/ 在Eth-Trunk4FW1-GigabitEthernet1/0/1Eth-Trunk4FW1-GigabitEthernet1/0/1quit地址中加入成员接口中加入成员接口FW1 interface Eth-Trunk 5/ 配置与 CSS连接的接口及 IPFW1-Eth-Trunk5ip address 1

42、0.10.3.2 24FW1-Eth-Trunk5quitFW1 interface Gigabitethernet 1/1/0/ 在Eth-Trunk5FW1-GigabitEthernet1/1/0Eth-Trunk5FW1-GigabitEthernet1/1/0quitFW1 interface Gigabitethernet 1/1/1/ 在Eth-Trunk5FW1-GigabitEthernet1/1/1Eth-Trunk5FW1-GigabitEthernet1/1/1quit地址中加入成员接口中加入成员接口FW1 interface Eth-Trunk 1/ 配置 FW1FW1-Eth

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 科普知识


经营许可证编号:宁ICP备18001539号-1