园区出口配置举例(防火墙旁路).doc

1、交换机在江湖-实战案例文档版本 () 华为专有和保密信息 版权所有 华为技术有限公司11 大型园区出口配置示例（防火墙旁路部署）1.1 配置注意事项 本举例中的交换机以华为公司的 S 系列框式交换机为例、防火墙以 USG 系列为例、路由器以 NE 系列为例。 本配置案例仅涉及企业网络出口相关配置，涉及企业内网的相关配置请参见华为S 系列园区交换机快速配置中的“大型园区组网场景”。 本例仅涉及防火墙与交换机的对接配置以及防火墙的双机热备配置。防火墙上的安全业务规划及园区安全策略、攻击防范、带宽管理、IPSec 等功能的配置示例请参见 防火墙配置案例集 。 本例仅涉及园区出口路由器与交换机的对接配

2、置。路由器在公网侧的配置示例请参见 NE 系列路由器配置指南 。1.2 组网需求在大型园区出口，核心交换机上行通过路由器访问外网。防火墙旁挂于核心交换机，对业务流量提供安全过滤功能。为了简化网络并提高可靠性，在核心层交换机通常部署集群。在防火墙上部署双机热备（主备模式） ，当其中一台故障时，业务可以平滑切换到另一台。核心交换机双归接入 2 台出口路由器，路由器之间部署 VRRP 确保可靠性。为提高链路可靠性，在核心交换机与出口路由器之间，核心交换机与防火墙之间，2 台防火墙之间均通过 Eth-Trunk 互连。如下图所示。交换机在江湖-实战案例文档版本 () 华为专有和保密信息 版权所有 华为

3、技术有限公司2图 1-1 园 区 出 口 组 网 图 （ 防 火 墙 旁 挂 ， 双 机 热 备 ）在一般的三层转发环境下，园区内外部之间的流量将直接通过交换机转发，不会经过FW1 或 FW2。当流量需要从交换机转发至 FW，经 FW 检测后再转发回交换机，就需要在交换机上配置 VRF 功能，将交换机隔离成两个相互独立的虚拟交换机 VRF-A 和根交换机 Public。Public 作为连接出口路由器的交换机。对于下行流量，它将外网进来的流量转发给 FW进行检测；对于上行流量，它接收经 FW 检测后的流量，并转发到路由器。VRF-A 作为连接内网侧的交换机。对于下行流量，它接收经 FW 检测后

4、的流量，并转发到内网；对于上行流量，它将内网的流量转发到 FW 去检测。根据上图中的流量转发路径可以将上图转换成如下所示的更容易理解的逻辑组网图。交换机在江湖-实战案例文档版本 () 华为专有和保密信息 版权所有 华为技术有限公司3图 1-2 交 换 机 与 路 由 器 、 防 火 墙 之 间 物 理 接 口 连 接 示 意 图交换机在江湖-实战案例文档版本 () 华为专有和保密信息 版权所有 华为技术有限公司4交换机在江湖-实战案例文档版本 () 华为专有和保密信息 版权所有 华为技术有限公司5本例所示核心交换机工作在三层模式，上图所示的逻辑组网图可以理解为防火墙上下行连接三层交换机的双机热

5、备组网。这种组网的特点是需要在防火墙的上下行业务接口上部署 VRRP 备份组，如下所示。交换机在江湖-实战案例文档版本 () 华为专有和保密信息 版权所有 华为技术有限公司6图 1-3 交 换 机 与 路 由 器 、 防 火 墙 之 间 三 层 口 连 接 示 意 图交换机在江湖-实战案例文档版本 () 华为专有和保密信息 版权所有 华为技术有限公司7如上图所示，内部用户访问外网的流量转发路径如下（上图中蓝色路径）：1. 当内部用户访问外网的流量到达 VRF-A 时，流量根据 VRF-A 上的静态路由（下一跳设置为防火墙下行 VRRP 的虚拟 IP 地址）被转发到防火墙。2. 防火墙完成对流量

6、的安全检测后，会根据静态路由（下一跳设置为 CSS 的VLANIF20）将流量转发到 Public 上。3. 最后，Public 通过到路由器的静态路由（下一跳设置为路由器 VRRP 的虚拟 IP 地址）将流量转发到路由器。外部用户访问内网的流量转发路径如下（上图中红色路径）：1. 当外部用户访问内网的流量到路由器时，流量根据 OSPF 路由表被转发到 Public上。2. 流量到达 Public 后，先根据 Public 上的静态路由（下一跳设置为防火墙上行VRRP 的虚拟 IP 地址）被转发到防火墙。3. 防火墙完成对流量的安全检测后，会根据静态路由（下一跳设置为 CSS 的VLANIF3

7、0）将流量转发到 VRF-A 上。4. VRF-A 通过 OSPF 路由表将流量转发汇聚交换机，最后由汇聚交换机将流量转发到业务网络。1.3 数据规划表 1-1 链 路 聚 合 接 口 规 划设备 接口编号成员接口 VLANIFIP 地址 对端设备 对端接口编号Router1Eth-trunk1.10010GE1/0/110GE1/0/2- 10.10.4.2/24 Switch 1Switch 2Eth-Trunk1Router2Eth-trunk1.10010GE1/0/110GE1/0/2- 10.10.4.3/24 Switch 1Switch 2Eth-Trunk2Router 1和

8、Router 2的VRRP- - - 10.10.4.100/24- -CSS（SwEth-trunk110GE1/4/0/0VLANIF1010.10.4.1/24 Router 1 Eth-Trunk1交换机在江湖-实战案例文档版本 () 华为专有和保密信息 版权所有 华为技术有限公司8设备 接口编号成员接口 VLANIFIP 地址 对端设备 对端接口编号10GE2/4/0/0Eth-trunk210GE1/4/0/110GE2/4/0/1VLANIF1010.10.4.1/24 Router 2 Eth-Trunk1Eth-trunk4GE1/1/0/7GE2/1/0/7VLANIF20

9、10.10.2.1/24 FW 1 Eth-Trunk4Eth-trunk5GE1/1/0/8GE2/1/0/8VLANIF3010.10.3.1/24 FW 1 Eth-Trunk5Eth-trunk6GE1/2/0/7GE2/2/0/7VLANIF2010.10.2.1/24 FW 2 Eth-Trunk6Eth-trunk7GE1/2/0/8GE2/2/0/8VLANIF3010.10.3.1/24 FW 2 Eth-Trunk7Eth-trunk8GE1/3/0/1GE2/3/0/1VLANIF10010.10.100.1/24业务网络 1 -（本案例不体现配置）itch 1 和Swi

10、tch 2）Eth-trunk9GE1/3/0/2GE2/3/0/2VLANIF20010.10.200.1/24业务网络 2 -（本案例不体现配置）Eth-trunk1GE2/0/0GE2/0/1- 10.1.1.1/24 FW2 Eth-Trunk1Eth-Trunk4GE1/0/0GE1/0/1- 10.10.2.2/24 Switch 1Switch 2Eth-Trunk4FW1Eth-Trunk5GE1/1/0GE1/1/1- 10.10.3.2/24 Switch 1Switch 2Eth-Trunk5Eth-trunk1GE2/0/0GE2/0/1- 10.1.1.2/24 FW

11、1 Eth-Trunk1FW2Eth- GE1/0/0 - 10.10.2.3/24 Switch 1 Eth-Trunk6交换机在江湖-实战案例文档版本 () 华为专有和保密信息 版权所有 华为技术有限公司9设备 接口编号成员接口 VLANIFIP 地址 对端设备 对端接口编号Trunk6 GE1/0/1 Switch 2Eth-Trunk7GE1/1/0GE1/1/1- 10.10.3.3/24 Switch 1Switch 2Eth-Trunk7FW 1 和FW 2 的VRRP1（上行）- - - 10.10.2.5/24 - -FW 1 和FW 2 的VRRP2（下行）- - - 10

12、.10.3.5/24 - -1.4 配置思路采用如下思路配置园区出口举例：1. 配置核心交换机集群 CSS。2. 配置交换机与防火墙、路由器之间的接口及 IP 地址。为提高链路可靠性，在交换机与防火墙、交换机与路由器之间配置跨框 Eth-Trunk接口。在防火墙的接口上配置安全区域。3. 在出口路由器上部署 VRRP。为了保证核心交换机与两个出口路由器之间的可靠性，在两个出口路由器之间部署 VRRP，VRRP 的心跳报文经过核心交换机进行交互。Router1 为 Master 设备，Router2 为 Backup 设备。4. 部署路由。交换机上配置 VRF 功能，将交换机隔离成两个相互独立的

13、虚拟交换机 VRF-A 和根交换机 Public，以隔离业务网段路由与公网路由。为了引导各设备的上行流量，在核心交换机上配置一条缺省路由，下一跳指向出口路由器 VRRP 的虚地址。交换机在江湖-实战案例文档版本 () 华为专有和保密信息 版权所有 华为技术有限公司10为了引导园区两个出口路由器的回程流量，在两个出口路由器和核心交换机之间部署 OSPF，核心交换机上将所有用户网段发布到 OSPF 里面，通告给两个出口路由器。为了将业务网络的上行流量引导至防火墙，在交换机上配置一条缺省路由，下一跳指向防火墙 VRRP VRID2 的虚拟 IP。为了将到业务网络 1 的下行流量引导至防火墙，在交换机

14、上配置一条缺省路由，下一跳指向防火墙 VRRP VRID1 的虚拟 IP。为了将到业务网络 2 的下行流量引导至防火墙，在交换机上配置一条缺省路由，下一跳指向防火墙 VRRP VRID1 的虚拟 IP。为了将业务网络的上行流量引导至交换机，在防火墙上配置一条缺省路由，下一跳指向交换机 VLANIF20 的 IP 地址。为了将到业务网络 1 的下行流量引导至交换机，在防火墙上配置一条缺省路由，下一跳指向交换机 VLANIF30 的 IP 地址。为了将到业务网络 2 的下行流量引导至交换机，在防火墙上配置一条缺省路由，下一跳指向交换机 VLANIF30 的 IP 地址。5. 配置防火墙双机热备。1

15、.5 操作步骤步骤 1 交换机：配置交换机集群。1. 连接集群卡的线缆。下图以 S12700 交换机的 EH1D2VS08000 集群卡连线为例。本例连线示意图中，S12700 主控板、交换网板和集群卡都是满配的情况。实际使用时，S12700 每框至少配置一块主控板和一块交换网板即可。推荐每框配置两块交换网板并插上两块集群卡。交换机在江湖-实战案例文档版本 () 华为专有和保密信息 版权所有 华为技术有限公司11图 1-5 集 群 卡 连 线 示 意 图 两框之间至少要连接一根集群线缆。 一块集群卡只能与对框一块集群卡相连，不能连接到多块集群卡，且不能与本框集群卡相连。 集群卡上组 1 的任意

16、接口只能与对框集群卡上组 1 的任意接口相连，组 2 的要求同组 1。 每块集群卡上连接集群线缆的数量相同（如果不相同会影响总的集群带宽） ，且两端按照接口编号的顺序对接。2. 在 Switch 1 上配置集群。# 集群连接方式为集群卡（缺省值，不需配置） 。集群 ID 采用缺省值 1（不需配置） 。优先级为 100。system-view HUAWEI set css mode css-card /设 备 缺 省 值 ， 不 需 再 执 行 命 令 配 置 ,此 步 骤 仅 用 作 示 范 命 令 。 HUAWEI set css id 1 /设 备 缺 省 值 ， 不 需 再 执 行 命

17、令 配 置 ,此 步 骤 仅 用 作 示 范 命 令 。 HUAWEI set css priority 100 /集 群 优 先 级 缺 省 为 1， 修 改 主 交 换 机 的 优 先 级 大 于 备 交 换 机 HUAWEI css enable Warning: The CSS configuration takes effect only after the system is rebooted. The next CSS mode is CSS-card. Reboot now? Y/N:y/重 启 交 换 机 3. 在 Switch 2 上配置集群。集群连接方式为集群卡（缺省值，

18、不需配置） 。集群 ID 为 2。优先级采用缺省值1（不需配置） 。system-view HUAWEI set css id 2 /集 群 ID缺 省 为 1， 修 改 备 交 换 机 的 ID为 2 HUAWEI css enable 交换机在江湖-实战案例文档版本 () 华为专有和保密信息 版权所有 华为技术有限公司12Warning: The CSS configuration takes effect only after the system is rebooted. The next CSS mode is CSS-card. Reboot now? Y/N:y/重 启 交 换

19、机 4. 交换机完成重启后，查看集群状态。 在集群系统的主交换机 Switch 1 上，主用主控板上的 CSS MASTER 灯绿色常亮。 （图 1） Switch 1 的两块主控板上编号为 1 的 CSS ID 灯绿色常亮， Switch 2 的两块主控板上编号为 2 的 CSS ID 灯绿色常亮。 （图 1） 集群卡上有集群线缆连接的端口 LINK/ALM 灯绿色常亮。 （图 2） 主框上所有集群卡的 MASTER 灯绿色常亮，备框上所有集群卡的 MASTER灯常灭。 （图 2）图 1-6 CSS 系 统 指 示 灯 示 意 图 集群建立后，后续交换机的配置都在主交换机（Switch 1）

20、上进行，数据会自动同步到备交换机（Switch 2） 。 在集群系统中，接口编号会变为 4 维，例如，10GE1/4/0/0。其中左边第一位表示集群 ID。步骤 2 配置 CSS 与 FW、路由器之间的跨框 Eth-Trunk 口，CSS 上的 VLANIF 口以及 IP 地址。1. 配置交换机与路由器之间的跨框 Eth-Trunk，VLANIF 以及 IP 地址。# 在 CSS 上创建 Eth-Trunk1，用于连接 Router1，并加入 Eth-Trunk 成员接口。system-view HUAWEI sysname CSS /给 集 群 系 统 重 新 命 名 。 CSS inter

21、face Eth-Trunk 1 CSS-Eth-Trunk1 quit 交换机在江湖-实战案例文档版本 () 华为专有和保密信息 版权所有 华为技术有限公司13CSS interface XGigabitethernet 1/4/0/0 /在 Eth-Trunk1中 加 入 主 交 换 机 上 的 成 员 接 口 CSS-XGigabitEthernet1/4/0/0 Eth-Trunk 1 CSS-XGigabitEthernet1/4/0/0 quit CSS interface XGigabitethernet 2/4/0/0 /在 Eth-Trunk1中 加 入 备 交 换 机 上

22、的 成 员 接 口 CSS-XGigabitEthernet2/4/0/0 Eth-Trunk 1 CSS-XGigabitEthernet2/4/0/0 quit # 在 CSS 上创建 Eth-Trunk2，用于连接 Router2，并加入 Eth-Trunk 成员接口。CSS interface Eth-Trunk 2 CSS-Eth-Trunk2 quit CSS interface XGigabitethernet 1/4/0/1 /在 Eth-Trunk2中 加 入 主 交 换 机 上 的 成 员 接 口 CSS-XGigabitEthernet1/4/0/1 Eth-Trunk

23、2 CSS-XGigabitEthernet1/4/0/1 quit CSS interface XGigabitethernet 2/4/0/1 /在 Eth-Trunk2中 加 入 备 交 换 机 上 的 成 员 接 口 CSS-XGigabitEthernet2/4/0/1 Eth-Trunk 2 CSS-XGigabitEthernet2/4/0/1 quit # 创建 VLANIF，并配置 IP 地址。CSS vlan batch 10 CSS interface Eth-Trunk 1 /将 Eth-Trunk1加 入 VLAN10 CSS-Eth-Trunk1 port link

24、-type trunk CSS-Eth-Trunk1 port trunk allow-pass vlan 10 CSS-Eth-Trunk1 quit CSS interface Eth-Trunk 2 /将 Eth-Trunk2加 入 VLAN10 CSS-Eth-Trunk2 port link-type trunk CSS-Eth-Trunk2 port trunk allow-pass vlan 10 CSS-Eth-Trunk2 quit CSS interface Vlanif 10 /创 建 VLANIF10， 用 于 CSS与 Router1、 Router2通 信 CSS-

25、Vlanif10 ip address 10.10.4.1 24 CSS-Vlanif10 quit 2. 配置交换机与 FW 之间的跨框 Eth-Trunk，CSS 上的 VLANIF 口以及 IP 地址。# 在 CSS 上创建 Eth-Trunk4，用于将 Pubilc 与 FW1 连接，并加入 Eth-Trunk 成员接口。CSS interface Eth-Trunk 4 CSS-Eth-Trunk4 quit CSS interface Gigabitethernet 1/1/0/7 /在 Eth-Trunk4中 加 入 主 交 换 机 上 的 成 员 接 口 CSS-Gigabit

26、ethernet1/1/0/7 Eth-Trunk 4 CSS-Gigabitethernet1/1/0/7 quit CSS interface Gigabitethernet 2/1/0/7 /在 Eth-Trunk4中 加 入 备 交 换 机 上 的 成 员 接 口 CSS-Gigabitethernet2/1/0/7 Eth-Trunk 4 CSS-Gigabitethernet2/1/0/7 quit # 在 CSS 上创建 Eth-Trunk5，用于将 VRF-A 与 FW1 连接，并加入 Eth-Trunk 成员接口。CSS interface Eth-Trunk 5 CSS-E

27、th-Trunk5 quit CSS interface Gigabitethernet 1/1/0/8 /在 Eth-Trunk5中 加 入 主 交 换 机 上 的 成 员 接 口 CSS-Gigabitethernet1/1/0/8 Eth-Trunk 5 交换机在江湖-实战案例文档版本 () 华为专有和保密信息 版权所有 华为技术有限公司14CSS-Gigabitethernet1/1/0/8 quit CSS interface Gigabitethernet 2/1/0/8 /在 Eth-Trunk5中 加 入 备 交 换 机 上 的 成 员 接 口 CSS-Gigabitether

28、net2/1/0/8 Eth-Trunk 5 CSS-Gigabitethernet2/1/0/8 quit # 在 CSS 上创建 Eth-Trunk6，用于将 Pubilc 与 FW2 连接，并加入 Eth-Trunk 成员接口。CSS interface Eth-Trunk 6 CSS-Eth-Trunk6 quit CSS interface Gigabitethernet 1/2/0/7 /在 Eth-Trunk6中 加 入 主 交 换 机 上 的 成 员 接 口 CSS-Gigabitethernet1/2/0/7 Eth-Trunk 6 CSS-Gigabitethernet1/

29、2/0/7 quit CSS interface Gigabitethernet 2/2/0/7 /在 Eth-Trunk6中 加 入 备 交 换 机 上 的 成 员 接 口 CSS-Gigabitethernet2/2/0/7 Eth-Trunk 6 CSS-Gigabitethernet2/2/0/7 quit # 在 CSS 上创建 Eth-Trunk7，用于将 VRF-A 与 FW2 连接，并加入 Eth-Trunk 成员接口。CSS interface Eth-Trunk 7 CSS-Eth-Trunk7 quit CSS interface Gigabitethernet 1/2/

30、0/8 /在 Eth-Trunk7中 加 入 主 交 换 机 上 的 成 员 接 口 CSS-Gigabitethernet1/2/0/8 Eth-Trunk 7 CSS-Gigabitethernet1/2/0/8 quit CSS interface Gigabitethernet 2/2/0/8 /在 Eth-Trunk7中 加 入 备 交 换 机 上 的 成 员 接 口 CSS-Gigabitethernet2/2/0/8 Eth-Trunk 7 CSS-Gigabitethernet2/2/0/8 quit # 创建 VLANIF，并配置 IP 地址。CSS vlan batch 2

31、0 30 CSS interface Eth-Trunk 4 /将 Eth-Trunk4加 入 VLAN20 CSS-Eth-Trunk4 port link-type trunk CSS-Eth-Trunk4 port trunk allow-pass vlan 20 CSS-Eth-Trunk4 quit CSS interface Eth-Trunk 6 /将 Eth-Trunk6加 入 VLAN20 CSS-Eth-Trunk6 port link-type trunk CSS-Eth-Trunk6 port trunk allow-pass vlan 20 CSS-Eth-Trunk

32、6 quit CSS interface Vlanif 20 /创 建 VLANIF20， 用 于 CSS的 Public连 接 FW1、 FW2 CSS-Vlanif20 ip address 10.10.2.1 24 CSS-Vlanif20 quit CSS interface Eth-Trunk 5 /将 Eth-Trunk5加 入 VLAN30 CSS-Eth-Trunk5 port link-type trunk CSS-Eth-Trunk5 port trunk allow-pass vlan 30 CSS-Eth-Trunk5 quit CSS interface Eth-Tr

33、unk 7 /将 Eth-Trunk7加 入 VLAN30 CSS-Eth-Trunk7 port link-type trunk CSS-Eth-Trunk7 port trunk allow-pass vlan 30 CSS-Eth-Trunk7 quit CSS interface Vlanif 30 /创 建 VLANIF30， 用 于 CSS的 VRF-A连 接 FW1、 FW2 CSS-Vlanif30 ip address 10.10.3.1 24 交换机在江湖-实战案例文档版本 () 华为专有和保密信息 版权所有 华为技术有限公司15CSS-Vlanif30 quit 3. 配

34、置交换机与业务网络之间的跨框 Eth-Trunk，VLANIF 以及 IP 地址。# 在 CSS 上创建 Eth-Trunk8，用于连接业务网络 1，并加入 Eth-Trunk 成员接口。CSS interface Eth-Trunk 8 CSS-Eth-Trunk8 quit CSS interface Gigabitethernet 1/3/0/1 /在 Eth-Trunk8中 加 入 主 交 换 机 上 的 成 员 接 口 CSS-Gigabitethernet1/3/0/1 Eth-Trunk 8 CSS-Gigabitethernet1/3/0/1 quit CSS interfac

35、e Gigabitethernet 2/3/0/1 /在 Eth-Trunk8中 加 入 备 交 换 机 上 的 成 员 接 口 CSS-Gigabitethernet2/3/0/1 Eth-Trunk 8 CSS-Gigabitethernet2/3/0/1 quit # 在 CSS 上创建 Eth-Trunk9，用于连接业务网络 2，并加入 Eth-Trunk 成员接口。CSS interface Eth-Trunk 9 CSS-Eth-Trunk9 quit CSS interface Gigabitethernet 1/3/0/2 /在 Eth-Trunk9中 加 入 主 交 换 机

36、上 的 成 员 接 口 CSS-Gigabitethernet1/3/0/2 Eth-Trunk 9 CSS-Gigabitethernet1/3/0/2 quit CSS interface Gigabitethernet 2/3/0/2 /在 Eth-Trunk9中 加 入 备 交 换 机 上 的 成 员 接 口 CSS-Gigabitethernet2/3/0/2 Eth-Trunk 9 CSS-Gigabitethernet2/3/0/2 quit # 创建 VLANIF，并配置 IP 地址。CSS vlan batch 100 200 CSS interface Eth-Trunk

37、8 /将 Eth-Trunk8加 入 VLAN100 CSS-Eth-Trunk8 port link-type trunk CSS-Eth-Trunk8 port trunk allow-pass vlan 100 CSS-Eth-Trunk8 quit CSS interface Vlanif 100 /创 建 VLANIF100， 用 于 CSS连 接 业 务 网 络 1 CSS-Vlanif100 ip address 10.10.100.1 24 CSS-Vlanif100 quit CSS interface Eth-Trunk 9 /将 Eth-Trunk9加 入 VLAN200

38、 CSS-Eth-Trunk9 port link-type trunk CSS-Eth-Trunk9 port trunk allow-pass vlan 200 CSS-Eth-Trunk9 quit CSS interface Vlanif 200 /创 建 VLANIF200， 用 于 CSS连 接 业 务 网 络 2 CSS-Vlanif200 ip address 10.10.200.1 24 CSS-Vlanif200 quit 步骤 3 路由器：配置路由器与 CSS 之间的接口# 配置 Router1，在 Router1 上创建 Eth-Trunk1，并加入成员接口。syste

39、m-view Huawei sysname Router1 Router1 interface Eth-Trunk 1 Router1-Eth-Trunk1 quit Router1 interface XGigabitethernet 1/0/1 Router1-XGigabitEthernet1/0/1 undo shutdown Router1-XGigabitEthernet1/0/1 Eth-Trunk 1 交换机在江湖-实战案例文档版本 () 华为专有和保密信息 版权所有 华为技术有限公司16Router1-XGigabitEthernet1/0/1 quit Router1 in

40、terface XGigabitethernet 1/0/2 Router1-XGigabitEthernet1/0/2 undo shutdown Router1-XGigabitEthernet1/0/2 Eth-Trunk 1 Router1-XGigabitEthernet1/0/2 quit # 配置 Dot1q 终结子接口，终结 VLAN10。并配置 IP 地址。Router1 interface Eth-Trunk 1.100 Router1-Eth-Trunk1.100 ip address 10.10.4.2 24 Router1-Eth-Trunk1.100 dot1q t

41、ermination vid 10 Router1-Eth-Trunk1.100 quit # Router2 上的配置步骤与 Router1 相同，仅接口 IP 地址有差别，请参照 Router1 完成Router2 的配置。步骤 4 防火墙：配置防火墙的接口与安全区# 配置 FW1 的接口与安全区。system-view USG sysname FW1 FW1 interface Eth-Trunk 4 /配 置 与 CSS连 接 的 接 口 及 IP地 址 FW1-Eth-Trunk4 ip address 10.10.2.2 24 FW1-Eth-Trunk4 quit FW1 int

42、erface Gigabitethernet 1/0/0 /在 Eth-Trunk4中 加 入 成 员 接 口 FW1-GigabitEthernet1/0/0 Eth-Trunk 4 FW1-GigabitEthernet1/0/0 quit FW1 interface Gigabitethernet 1/0/1 /在 Eth-Trunk4中 加 入 成 员 接 口 FW1-GigabitEthernet1/0/1 Eth-Trunk 4 FW1-GigabitEthernet1/0/1 quit FW1 interface Eth-Trunk 5 /配 置 与 CSS连 接 的 接 口 及

43、 IP地 址 FW1-Eth-Trunk5 ip address 10.10.3.2 24 FW1-Eth-Trunk5 quit FW1 interface Gigabitethernet 1/1/0 /在 Eth-Trunk5中 加 入 成 员 接 口 FW1-GigabitEthernet1/1/0 Eth-Trunk 5 FW1-GigabitEthernet1/1/0 quit FW1 interface Gigabitethernet 1/1/1 /在 Eth-Trunk5中 加 入 成 员 接 口 FW1-GigabitEthernet1/1/1 Eth-Trunk 5 FW1-

44、GigabitEthernet1/1/1 quit FW1 interface Eth-Trunk 1 /配 置 FW1与 FW2连 接 的 接 口 FW1-Eth-Trunk1 ip address 10.1.1.1 24 FW1-Eth-Trunk1 quit FW1 interface Gigabitethernet 2/0/0 /在 Eth-Trunk1中 加 入 成 员 接 口 FW1-GigabitEthernet2/0/0 Eth-Trunk 1 FW1-GigabitEthernet2/0/0 quit FW1 interface Gigabitethernet 2/0/1 /

45、在 Eth-Trunk1中 加 入 成 员 接 口 FW1-GigabitEthernet2/0/1 Eth-Trunk 1 FW1-GigabitEthernet2/0/1 quit FW1 firewall zone trust FW1-zone-trust add interface Eth-Trunk 5 /将 连 接 内 网 的 Eth-Trunk5加 入 安 全 区 域 FW1-zone-trust quit 交换机在江湖-实战案例文档版本 () 华为专有和保密信息 版权所有 华为技术有限公司17FW1 firewall zone untrust FW1-zone-untrust

46、add interface Eth-Trunk 4 /将 连 接 外 网 的 Eth-Trunk4加 入 非 安 全 区 域 FW1-zone-untrust quit FW1 firewall zone dmz FW1-zone-dmz add interface Eth-Trunk 1 /将 FW1、 FW2之 间 的 接 口 加 入 DMZ区 域 FW1-zone-dmz quit # 配置 FW2 的接口与安全区。system-view USG sysname FW2 FW2 interface Eth-Trunk 6 /配 置 与 CSS连 接 的 接 口 及 IP地 址 FW2-E

47、th-Trunk6 ip address 10.10.2.3 24 FW2-Eth-Trunk6 quit FW2 interface Gigabitethernet 1/0/0 /在 Eth-Trunk6中 加 入 成 员 接 口 FW2-GigabitEthernet1/0/0 Eth-Trunk 6 FW2-GigabitEthernet1/0/0 quit FW2 interface Gigabitethernet 1/0/1 /在 Eth-Trunk6中 加 入 成 员 接 口 FW2-GigabitEthernet1/0/1 Eth-Trunk 6 FW2-GigabitEthernet1/0/1 quit FW2 interface Eth-Trunk 7 /配 置 与 CSS连 接 的 接 口 及 IP地 址 FW2-Eth-Trunk7 ip address 10.10.3.3 24 FW2-Eth-Trunk7 quit FW2 interface Gigabitethernet 1/1/0 /在 Eth-Trunk7中 加 入 成 员 接 口 FW2-GigabitEthernet1/1/0 Eth-Trunk 7 FW2-GigabitEthernet1/1/0 qui