基於VLAN+NAT+DHCP+ZONE 三層交換機對接防火牆的企業網絡

2018-08-18 02:18:56 KB小網管

不知道今晚幾個朋友脫單成功了，先恭喜脫單成功的朋友^_^。

前幾篇文章裡有寫了NAT，有寫了防火牆，有寫了單臂路由。今天這篇將三者結合一下，也不要太複雜。有交換機有vlan，有防火牆有域策略，再加個NAT地址轉換。

如上圖，三層交換機S5700和防火牆USG5500對接，使用戶PC1和PC2可以實現上網功能。交換機是三層交換機，可以完成跨網段數據轉發。

配置思路：

1、交換機作為用戶的網關，實現三層轉發。同時作為DHCP服務器，為用戶分配IP地址。

2、防火牆通過NAT轉換，使用戶可以訪問外網。

交換機Switch配置文件：

sys

Enter system view, return user view with Ctrl+Z.

[Huawei]sysname Switch

[Switch]vlan batch 10 20

[Switch]int g0/0/2 //配置PC1相連端口

[Switch-GigabitEthernet0/0/2]port link-type access

[Switch-GigabitEthernet0/0/2]port default vlan 10

[Switch-GigabitEthernet0/0/2]quit

[Switch]int gigabitethernet0/0/3 //配置PC2連接端口

[Switch-GigabitEthernet0/0/3]port link-type access

[Switch-GigabitEthernet0/0/3]port default vlan 20

[Switch-GigabitEthernet0/0/3]quit

[Switch]int vlanif 10

[Switch-Vlanif10]ip address 192.168.10.1 24 //配置PC1網關

[Switch-Vlanif10]quit

[Switch]int Vlanif 20

[Switch-Vlanif20]ip address 192.168.20.1 24 //配置PC2網關

[Switch-Vlanif20]quit

[Switch]vlan batch 100

[Switch]int g0/0/1 //配置連接防火牆的接口和對應的VLANIF接口

[Switch-GigabitEthernet0/0/1]port link-type access

[Switch-GigabitEthernet0/0/1]port default vlan 100

[Switch-GigabitEthernet0/0/1]quit

[Switch]int vlanif 100

[Switch-Vlanif100]ip address 192.168.100.2 24

[Switch-Vlanif100]quit

[Switch]ip route-static 0.0.0.0 0.0.0.0 192.168.100.1 //配置缺省路由

[Switch]dhcp enable

[Switch]int vlanif 10

[Switch-Vlanif10]dhcp select int //使能DHCP服務

[Switch-Vlanif10]dhcp server dns-list 218.85.157.99 218.85.152.99 //自動分配的主從DNS服務器

[Switch-Vlanif10]quit

[Switch]int vlanif 20

[Switch-Vlanif20]dhcp select int

[Switch-Vlanif20]dhcp server dns-list 218.85.157.99 218.85.152.99

[Switch-Vlanif20]quit

防火牆USG配置文件：

system-view

[SRG]sysname USG

[USG]interface g0/0/1

[USG-GigabitEthernet0/0/1]ip address 192.168.100.1 255.255.255.0 //配置連接交換機的接口對應的IP地址

[USG-GigabitEthernet0/0/1]quit

[USG]interface g0/0/2

[USG-GigabitEthernet0/0/2]ip address 200.0.0.2 255.255.255.0 //配置連接公網的接口對應的IP地址

[USG-GigabitEthernet0/0/2]quit

[USG]ip route-static 0.0.0.0 0.0.0.0 200.0.0.1 //配置缺省路由

[USG]ip route-static 192.168.0.0 255.255.0.0 192.168.100.2 //配置回城路由

[[USG]firewall zone trust //配置Trust可信任域並開啟域間策略

[USG-zone-trust]add interface g0/0/1 //將防火牆的G0/0/1口加入Trust域

[USG-zone-trust]quit

[USG]firewall zone untrust //配置非可信任Untrust域並開啟域間策略

[USG-zone-untrust]add interface g0/0/2 //將防火牆的G0/0/2口加入Untrust域

[USG-zone-untrust]quit

[USG]firewall packet-filter default permit all //開啟所有域的域空間策略

Warning:Setting the default packet filtering to permit poses security risks. You

are advised to configure the security policy based on the actual data flows. Ar

e you sure you want to continue?[Y/N]y

[USG]nat address-group 1 200.0.0.2 200.0.0.2 //配置NAT地址池

[USG]nat-policy interzone trust untrust outbound

[USG-nat-policy-interzone-trust-untrust-outbound]policy 1

[USG-nat-policy-interzone-trust-untrust-outbound-1]policy source 192.168.0.0 0.0.255.255 //NAT轉換對象是192.168.0.0網段的內網IP地址

[USG-nat-policy-interzone-trust-untrust-outbound-1]action source-nat

[USG-nat-policy-interzone-trust-untrust-outbound-1]address-group 1

[USG-nat-policy-interzone-trust-untrust-outbound-1]quit

[USG-nat-policy-interzone-trust-untrust-outbound]quit

測試結果

PC1與PC2成功DHCP到所在VLAN的IP和DNS地址

PC1PC2成功ping通公網PC

分享到:

閱讀更多 KB小網管 的文章

關鍵字: IP地址 DNS 華為

沈巍先生雜談（358）說好的快手不倒，陪伴到老呢？個個都是戲精

轉念一想，這種看似不正常的狀態才是正常的，隨著時間的推移，很多過去迷迷糊糊的人慢慢就看清了，是進是退跟著內心走就好，別管什麼善始善終，不要被這種論調道德綁架，過段時間，你覺得可以，再回來就行，開關在你自己手裡，一秒鐘就能完成進退。

出海奮鬥是有膽識後浪的更優選項

東南亞11國，除去東帝汶，其他10國組成東盟。東南亞有多熱，從很多國際資本的快速湧入都有目共睹。養老產業：泰國、越南、菲律賓、馬來西亞、印尼都是大受歐美日韓退休人士歡迎的亞洲養老目的地。

甲有5套房，不上班，收房租；乙有1套房，上班賺工資；丙租房子.

每逢佳節被相親，單身青年看這裡！

“非常戰疫

為珠峰“量身高”，為啥要人上去？

6日，2020珠峰高程測量行動測量登山隊舉行出發儀式，30多名計劃登頂的測量登山隊員當日從海拔5200米的珠峰登山大本營向更高海拔出發，計劃抓住近日的天氣窗口，擇日登頂測量。如果成功，這將成為我國專業測繪人員首次登頂珠峰測高。

我省獲國家局通報表揚

湖南名字最尷尬的城市，90%的人都會想歪，當地人：思想有問題！

湖南省作為中國中南地區的一個省份，經濟強勁，地位獨特，有著十足的發展後勁。湖南經濟總量在全國排名第九。湖南也是華夏文明的發祥地，境內的炎帝陵，成為華夏兒女尋根祭祖的重要場所。南嶽衡山就在湖南衡陽。湖南張家界景區成為馳名中外的旅遊景點。湖南湘西鳳凰古鎮成為中國馳名十大古鎮之一。

超六成前浪點贊《後浪》，全球白手起家90後富豪人均財富190億

再不來一場精緻野餐，我就要被開除中產籍了

《新週刊》創刊於1996年8月18日，由南方出版傳媒股份有限公司主管、主辦，以“中國最新銳的生活方式週刊”為定位，推出過一系列極具影響力的專題報道，是中國期刊市場最具代表性和影響力的雜誌之一，享有“話題策源地”的美譽。

工程師我只服中國，曾經放生到三峽的1萬條魚，如今怎麼樣了？

每一個大項目其實都會面臨一個問題，那就是生態環境，因為所涉及的範圍實在太廣了，所以需要考慮的問題都是多方面的，三峽就是我國早期的一個超大體量的工程，而三峽所涉及的問題也很多。三峽其實一直都是我國的驕傲，但是關於三峽的質疑聲，其實也一點都不少，特別是關於三峽環境方面的質疑聲。

後疫情時代的五個營銷啟示

現象級白酒——李渡高粱酒，作為沉浸式/場景化營銷的開創者，早在幾年前就使用互聯網工具助力，疫情爆發後一系列的操作自然遊刃有餘了，銷量同比增加170%，線上銷量更是增加400%。

丘北縣雙龍營鎮人民政府普者黑村委會、矣則村委會太陽能路燈採購安裝項目競爭性談判公告

為什麼重量相同的金子，銀行賣得比金店還便宜？看完漲知識了

為什麼重量相同的金子，銀行賣得比金店還便宜？看完漲知識了金子一直是我們中國人比較喜歡投資的一個東西，黃金飾品也是中國女性非常喜歡購買的東西，大家都知道，金子具有保值的功能，所以很多人既喜歡在銀行購買金條用於投資，又喜歡去一些金店購買黃金飾品。

打雷的時候，到底要不要拔掉插頭，關閉電路呢？看完漲知識了

打雷的時候，到底要不要拔掉插頭，關閉電路呢？看完漲知識了大家都會知道，每到夏天，我們的沿海地區都是一個多風多雨的季節，這時候我們出門也是需要隨時帶上雨具，避免突然有暴風雨這些天氣的出現。

乘坐火車時，把車票弄丟了怎麼處理？看完可算知道了

乘坐火車時，把車票弄丟了怎麼處理？看完可算知道了每次一到假期，就非常害怕到達火車站，可以說是基本上都是人山人海的感覺。很多人會為了方便去選擇去乘坐動車和高鐵。現在我們無論是出差還是去旅遊也都是會選擇去坐動車，又快又方便，主要還會很舒服。

肖戰視頻專訪：眼裡帶著故事，請不要聽說他，這一次，請他說

這是肖戰春節後，經歷過這麼多事後首次參加採訪。視頻中他依然是面帶微笑，依舊是少年的樣子。但是眼裡到這故事，說話也變得小心謹慎，談吐措辭也是越來越嚴謹了。

秦山核電應急行動水平優化項目招標公告

從中國電力集採招標網（www.dljczb.

巴基斯坦SK水電站消防及火災報警系統設備採購招標招標公告

從中國電力集採招標網（www.dljczb.

中煤能源新疆鴻新煤業葦子溝煤礦瓦斯抽採機械設備採購招標公告

從中國電力集採招標網（www.dljczb.

縣域社區團購，在平臺發展上有哪些優勢？

社區團購的迅速發展，已經不再侷限於各大城市中的小區。漸漸的擴大範圍，發展到一些城市邊緣的縣城鄉鎮。像是興盛優選、十薈團、食享會、考拉精選、美家買菜等月流水上億的社區團購頭部企業，都很重視下沉市場的佈局和開拓。

和王為念離婚，與“假奶奶”常香玉對簿公堂，55歲小香玉生活如詩

戲曲是以古代故事以及現代經典故事為題材的藝術表演，也是歷史悠久的綜合舞臺藝術樣式，表演戲曲難度很高，但戲曲人才依舊人才輩出，說起在戲曲圈中的佼佼者，陳百玲必是其一。

眼力測試：由4字組成的白菜，1秒看出4個字的智商都很高

這是一幅白菜圖，由4字組成的，1秒看出4個字的智商都很高！你看出來了嗎？

看圖猜字：這個不簡單，你能猜對幾個？全猜對眼力非凡

這福圖上的圖你能猜對幾個？全猜對眼力非凡，猜對3個眼力160，猜對3個是近視眼！你能猜對幾個字？

眼力測試：火焰中藏了4個字，看出3個算達標，全看出眼力200

熊熊火焰中藏了4個字，看出3個算達標，全看出眼力200！你能全部看出來嗎？

小米硬剛德國雙立人，400年非洲灌木做家用砧板，不發黴砍不壞

民以食為天。

眼力測試：美女圖中藏了5個漢字，全部看出來的眼力超群

這幅美女圖中藏了5個漢字，你能不能看出來是哪幾個漢字呢？全部看出來的眼力超群！

最萌Hodler，剛出生就收到比特幣大學教育基金的寶寶

作為比特幣愛好者，Izabella的父母在她出生當日於《泰晤士報》刊登了一則附帶比特幣地址的小廣告，希望廣大讀者能夠捐出小部分比特幣給他們女兒作為大學教育基金。

《瞭望大灣區》：全國中高風險區域今日“清零”

《晨會解讀》：中山證券投資顧問楊立華：連續上漲過後注意把握好操作節奏

孫鬆峰：幸福生活唱出來

河南市場安全網訊（www.hnscjgw.com）

衡水：守護一湖碧水打造生態之城

長城網衡水訊（記者張梅勝

英國小夥第一次體驗中國網吧，就被電腦屏幕嚇到直言：這是個啥

網吧其實不管是對於哪個國家的人來說，都是極具吸引力的，而在中國對於八九四年的年輕人和學生來說，網吧簡直就是快樂源泉，但是也是老師家長中的眼中釘，肉中刺。相信很多人小時候可能都有過被家長從網吧裡揪出來的不甚美好的回憶。

微商到底多能吹牛！哈哈哈哈哈千萬別屏蔽，每天都是快樂源泉

雖然有的時候在朋友圈裡有很多微商不停的發朋友圈，讓大家覺得有些困擾和煩悶，有一種私生活被侵擾的感覺。但是不要忙著屏蔽他們，有的時候這些總是吹得天花亂墜的微商也能給人們帶來快樂的源泉。

2020珠峰高程複測出發儀式今日舉行小米10全程助力丈量世界新高度

5月6日，2020珠峰高程測量登山隊伍出發儀式正式舉行，30多名隊員當日從海拔5200米的登山大本營向更高海拔出發，開啟珠峰衝頂測量。隊員們力爭抓住近日的天氣窗口，擇日登頂測量。如果成功，這將是我國專業測繪人員首次登頂珠峰測高。

“十大沂蒙工匠”齊玉祥：鋼花璀璨照亮青春之路

一支焊槍、一面防護罩，鋼花白晝繁星，在刺耳的噪聲中點亮四壁，焊工齊玉祥用13年的青春，打磨出了人生最璀璨的鋼花。2007年，齊玉祥畢業後進入山東華源鍋爐有限公司工作。剛進公司沒多久，由於工作需要，他被分配到了焊接崗位。

日本的丈母孃，賣萌發嗲也是蠻有技術的

國內這點估計是比不過了

消費水平最高的5座城市，北上廣深均在列，另一座你知道是哪嗎？

我們都知道在地大物博的中國，擁有很多城市，而它們之間的等級劃分也都是不同的，等級越高，往往消費就會越高，那麼說起國內消費水平最高的幾座城市，夥伴們都知道是哪裡嗎？接下來就讓小編帶大家去了解一下吧，看看有沒有你心中的那個。

德國愛他美怎麼樣？"斷貨王"愛他美值得買嗎？

哈哈。每次都會用iGepir 姐姐推薦來的，小寶從6個月混養喝起，現在快1歲半了，一直喝愛他美，不上火，購入量大，也算全心全意支持國際媽咪了

廣東有望合併的3座城市：合併成功後，將誕生一座千萬人口的城市

相信大家都知道，目前廣東是中國經濟實力最強的城市，哪怕是國內富有的浙江和江蘇，在經濟上也被廣東牢牢按住。你要知道廣東可是中國唯一有一線城市的省份，而且還是兩座。光靠這一點就能讓全國所有的省份羨慕，但比較遺憾的是，廣東的經濟發展似乎並不平衡。

國外奶粉怎麼樣？去哪買靠譜？線下實體店一定比網店安全嗎？

之前買的一直是國際媽咪的海外倉，但是疫情的緣故怕被吧斷糧所以在海外倉直郵了一箱又在自貿倉補了一箱，反正奶粉是消耗品，不擔心吃不完hhh。自貿倉物流速遞還是很快的，重慶保稅區發貨，4天到達。

四川潛力大的城市：還是重要的恐龍化石產地，被譽為“恐龍之鄉”

對此有的網友說:很多人可能不知道，其實我們自貢還有飛機制造，汽車製造，新能源汽車，及新能源電池研發與製造產業，雖然剛起步，但未來可期!

00後，吾輩當自強

當記者採訪她時，她說了一句讓人永生難忘的話:“其實我們並不是什麼逆行者，只不過是一些普通人在堅守自己的使命。

“我來！”

十天，我應該可以讀完一本《百年孤獨》，應該可以學會用吉他彈一首歌，還應該可以追完一部電視劇《慶餘年》。

東北唯一新一線城市：被譽為“東方魯爾”，經濟卻不如省內地級市

眾所周知這幾年東北的經濟，確實沒有以前增長得那麼快了。原因相信大家也很清楚，簡單點說就是南方更適合發展經濟。因此中國的經濟重心向南移動，所以在未來的幾年甚至幾十年裡面，中國南方的經濟都會比北方強。特別是廣東省跟浙江省的經濟水平，目前已經超越世界上大部分國家了。

人生有尺，做人有度

“救命錢”變“唐僧肉” 扶貧最後一公里處“蠅貪”頻現！

家境殷實的90後海歸女為何“沉迷”偷快遞？

青春洋溢，不加過分修飾，真實的少女感，你喜歡嗎？

4名網友預謀綁架一董事長，匯合後劇情突變……

江蘇的第二個“蘇州”，並非南京和無錫，而是這座低調的城市

說起蘇州的大名，相信是無人不知，無人不曉的，作為我國名副其實的最強地級市，蘇州近些年屬實為人們帶來了很大驚喜，甚至在經濟發展上也已經遠超省會南京，而今天小編要為大家帶來的則是江蘇境內的“第二個蘇州”，發展潛力巨大，並非南京和無錫，而是這座十分低調的城市。

基於VLAN+NAT+DHCP+ZONE 三層交換機對接防火牆的企業網絡

配置思路：

交換機Switch配置文件：

防火牆USG配置文件：

測試結果

相關文章:

沈巍先生雜談（358）說好的快手不倒，陪伴到老呢？個個都是戲精

出海奮鬥是有膽識後浪的更優選項

甲有5套房，不上班，收房租；乙有1套房，上班賺工資；丙租房子.

每逢佳節被相親，單身青年看這裡！

為珠峰“量身高”，為啥要人上去？

我省獲國家局通報表揚

湖南名字最尷尬的城市，90%的人都會想歪，當地人：思想有問題！

超六成前浪點贊《後浪》，全球白手起家90後富豪人均財富190億

再不來一場精緻野餐，我就要被開除中產籍了

工程師我只服中國，曾經放生到三峽的1萬條魚，如今怎麼樣了？

後疫情時代的五個營銷啟示

丘北縣雙龍營鎮人民政府普者黑村委會、矣則村委會太陽能路燈採購安裝項目競爭性談判公告

為什麼重量相同的金子，銀行賣得比金店還便宜？看完漲知識了

打雷的時候，到底要不要拔掉插頭，關閉電路呢？看完漲知識了

乘坐火車時，把車票弄丟了怎麼處理？看完可算知道了

肖戰視頻專訪：眼裡帶著故事，請不要聽說他，這一次，請他說

秦山核電應急行動水平優化項目招標公告

巴基斯坦SK水電站消防及火災報警系統設備採購招標招標公告

中煤能源新疆鴻新煤業葦子溝煤礦瓦斯抽採機械設備採購招標公告

縣域社區團購，在平臺發展上有哪些優勢？

和王為念離婚，與“假奶奶”常香玉對簿公堂，55歲小香玉生活如詩

眼力測試：由4字組成的白菜，1秒看出4個字的智商都很高

看圖猜字：這個不簡單，你能猜對幾個？全猜對眼力非凡

眼力測試：火焰中藏了4個字，看出3個算達標，全看出眼力200

小米硬剛德國雙立人，400年非洲灌木做家用砧板，不發黴砍不壞

眼力測試：美女圖中藏了5個漢字，全部看出來的眼力超群

最萌Hodler，剛出生就收到比特幣大學教育基金的寶寶

《瞭望大灣區》：全國中高風險區域今日“清零”

《晨會解讀》：中山證券投資顧問楊立華：連續上漲過後注意把握好操作節奏

孫鬆峰：幸福生活唱出來

衡水：守護一湖碧水 打造生態之城

英國小夥第一次體驗中國網吧，就被電腦屏幕嚇到直言：這是個啥

微商到底多能吹牛！哈哈哈哈哈千萬別屏蔽，每天都是快樂源泉

2020珠峰高程複測出發儀式今日舉行 小米10全程助力丈量世界新高度

“十大沂蒙工匠”齊玉祥：鋼花璀璨照亮青春之路

日本的丈母孃，賣萌發嗲也是蠻有技術的

消費水平最高的5座城市，北上廣深均在列，另一座你知道是哪嗎？

德國愛他美怎麼樣？"斷貨王"愛他美值得買嗎？

廣東有望合併的3座城市：合併成功後，將誕生一座千萬人口的城市

國外奶粉怎麼樣？去哪買靠譜？線下實體店一定比網店安全嗎？

四川潛力大的城市：還是重要的恐龍化石產地，被譽為“恐龍之鄉”

00後，吾輩當自強

“我來！”

東北唯一新一線城市：被譽為“東方魯爾”，經濟卻不如省內地級市

人生有尺，做人有度

“救命錢”變“唐僧肉” 扶貧最後一公里處“蠅貪”頻現！

家境殷實的90後海歸女為何“沉迷”偷快遞？

青春洋溢，不加過分修飾，真實的少女感，你喜歡嗎？

4名網友預謀綁架一董事長，匯合後劇情突變……

江蘇的第二個“蘇州”，並非南京和無錫，而是這座低調的城市

你是怎樣和你很愛的那個人斷了聯繫的？

去年那麼多“商譽減值"，今年有多少？是不是每年都要計提？

貨幣貶值時最好的資產是什麼？

今年玉米收購進度怎麼樣？

有人說今年暖冬已成定局，控制小麥旺長的措施是什麼？還要澆封凍水嗎？

DNF史詩之路暗藏玄機，最少需要1600個精煉石，換來的卻是一堆“雞肋”，值得打嗎？

為什麼有些股票會秒漲停？

旭旭寶寶直播談DNF的未來，價值再高的賬號也沒人買，寧願毀掉也不賣，你有何看法？

如果手遊版地下城與勇士出來，能壓倒王者榮耀嗎？為什麼？

DNF手遊的第13次內測，你有哪些建議想對策劃說？

DNF史詩之路：星河裂縫開啟，你在史詩之路一條PL的戰績如何，爆率高嗎？

DNF手遊：在官網申請內測資格後，有誰接到電話了？具體說了什麼？

DNF戰令活動領取的“武器幻化禮盒”可以選擇哪些武器？鬼劍士幻化哪把好看？

DNF戰令活動領取的“武器幻化禮盒”可以選擇哪些武器？鬼劍士幻化哪把好看？

DNF漩渦辛苦肝半年，等於星河裂縫十分鐘，玩家一管疲勞直接畢業，你怎麼看？

股票交易中，不斷有大單買入，但股票還是跌，是不是莊家在對倒出貨？

DNF100級快要到來了，超界恐將不能升級，發票戰還會重現嗎？

DNF官方微博發文，公佈普雷團本外掛錄屏，各種花式外掛呈現，如何評價？

DNF玩家直言戰令系合成華麗徽章是最噁心的任務，合成華麗徽章真的有這麼難嗎？

DNF武器幻化有什麼用？

DNF史詩之路：星河裂縫爆的裝備不能分解，請問怎麼處理最好呢？

DNF新版的星河裂縫爆率疑似被暗改？第二天的史詩爆率突然大跌！你覺得呢？

DNF劍豪在普雷翻到了界巨劍，請問怎麼把+12的蒼穹光劍繼承到這上面？

DNF玩家為讓光兵能夠混普雷團打造最強混子套，這樣的裝備可以輕鬆混普雷高配團嗎？

衡水：守護一湖碧水打造生態之城

2020珠峰高程複測出發儀式今日舉行小米10全程助力丈量世界新高度