H3C Firewall 配置实例

防火墙作为出口网关，联通光纤、电信光纤、电信ADSL出口，防火墙接H3C二层交换机，H3C二层交换机接内网服务器和下面的二层交换机（内网用户都接这里）。

由于客户是静态设置地址，所以这里是没有DHCP配置的。

一、上网设置：

#域配置

zone name Management id 0

priority 100

import interface GigabitEthernet0/0

zone name Local id 1

priority 100

zone name Trust id 2

priority 85

import interface GigabitEthernet0/2

zone name DMZ id 3

priority 50

zone name Untrust id 4

priority 5

import interface Dialer1

import interface GigabitEthernet0/3

import interface GigabitEthernet0/4

import interface GigabitEthernet0/5

#内网网关

interface GigabitEthernet0/2

ip address 192.168.100.254 255.255.0.0 port link-mode route

nat outbound 3090

#电信出口

interface GigabitEthernet0/3

port link-mode route

ip address 219.137.182.2xx 255.255.255.248

nat outbound 2000 address-group 1

#联通出口

interface GigabitEthernet0/4

port link-mode route

ip address 218.107.10.xx 255.255.255.248 nat outbound 2000 address-group 2

#PPPOE电信ADSL

interface GigabitEthernet0/5

port link-mode route

pppoe-client dial-bundle-number 1

#设定拨号访问组的拨号控制列表

dialer-rule 1 ip permit

#PPPOE配置

interface Dialer1

nat outbound 2000

link-protocol ppp

ppp chap user gzDSLxxxxxxxx@163.gd

ppp chap password cipher

$c$3$cft8cT2sYcO4XYUDKRgfw0R0HOSTSDh69HbN

ppp pap local-user gzDSLxxxxxxxx@163.gd password cipher $c$3$mXUOjqFP3BKfa52muz92y7JBlMMsjjNzxGVL

ppp ipcp dns request

ip address ppp-negotiate

dialer user pppoeclient

dialer-group 1

dialer bundle 1

#DNS服务器

dns resolve

dns proxy enable

dns server 202.96.128.166

dns server 8.8.8.8

#NAT动态地址池

nat address-group 1 219.137.182.2xx 219.137.182.206 level 1 nat address-group 2 218.107.10.xx 218.107.10.xy level 1

#NAT使用的ACL

acl number 2000

rule 0 permit source 192.168.0.0 0.0.255.255

#出口路由

ip route-static 0.0.0.0 0.0.0.0 Dialer1

ip route-static 0.0.0.0 0.0.0.0 219.137.182.201

ip route-static 0.0.0.0 0.0.0.0 218.107.10.41 preference 100二、策略路由

#策略路由使用的ACL

acl number 3088 //匹配内部服务器地址

rule 0 permit ip source 192.168.16.39 0

rule 1 permit ip source 192.168.100.1 0

rule 2 permit ip source 192.168.100.161 0

rule 3 permit ip source 192.168.100.162 0

rule 4 permit ip source 192.168.100.164 0

rule 101 deny ip

acl number 3089 //匹配内网用户地址段

rule 0 permit ip source 192.168.0.0 0.0.255.255

rule 101 deny ip

#新建策略路由

policy-based-route wan permit node 10

if-match acl 3088

apply ip-address next-hop 219.137.182.201 //服务器走电信出口policy-based-route wan permit node 11

if-match acl 3089

apply ip-address next-hop 218.107.10.41 //内网用户走联通出口#策略路由的应用

interface GigabitEthernet0/2

ip policy-based-route wan

三、外网访问内部服务器NAT

interface GigabitEthernet0/3

nat server protocol tcp global 219.137.182.2xx 5872 inside 192.168.100.164 5872

nat server protocol tcp global 219.137.182.2xx 81 inside 192.168.100.164 81

nat server protocol tcp global 219.137.182.2xx 89 inside 192.168.100.1 89

nat server protocol tcp global 219.137.182.2xx 5366 inside 192.168.100.162 5366

nat server 1 protocol tcp global current-interface 8081 inside 192.168.100.162 8081

nat server protocol tcp global 219.137.182.2xx 8088 inside 192.168.100.1 8088

ip address 219.137.182.2xx 255.255.255.248

#

interface GigabitEthernet0/4

nat server protocol tcp global 218.107.10.xx 8088 inside 192.168.100.1 8088

nat server protocol tcp global 218.107.10.xx 81 inside

192.168.100.164 81

nat server protocol tcp global 218.107.10.xx 5872 inside 192.168.100.164 5872

nat server 1 protocol tcp global current-interface 89 inside 192.168.100.1 89

nat server 2 protocol tcp global current-interface 5366 inside 192.168.100.162 5366

nat server 3 protocol tcp global current-interface 8081 inside 192.168.100.162 8081

#允许Untrust区域访问内网服务器地址组地址

interzone source Untrust destination Trust

rule 0 permit

source-ip any_address

destination-ip server_group

service any_service

rule enable

四、内网用户通过公网地址访问内部服务器NAT

#公网地址访问内网服务器NAT使用的ACL

acl number 3090

rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.16.39 0

rule 1 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.100.1 0

rule 2 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.100.161 0

rule 3 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.100.162 0

rule 4 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.100.164 0

acl number 3091

rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.16.39 0

rule 1 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.100.1 0

rule 2 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.100.161 0

rule 3 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.100.162 0

rule 4 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.100.164 0

rule 5 permit ip source 192.168.16.39 0 destination 192.168.0.0 0.0.255.255

rule 6 permit ip source 192.168.100.1 0 destination 192.168.0.0 0.0.255.255

rule 7 permit ip source 192.168.100.161 0 destination 192.168.0.0 0.0.255.255

rule 8 permit ip source 192.168.100.162 0 destination 192.168.0.0 0.0.255.255

rule 9 permit ip source 192.168.100.164 0 destination 192.168.0.0 0.0.255.255

interface GigabitEthernet0/2

nat outbound 3090

nat server protocol tcp global 219.137.182.2xx 8088 inside 192.168.100.1 8088

nat server protocol tcp global 218.107.10.xx 8088 inside 192.168.100.1 8088

nat server protocol tcp global 218.107.10.xx 81 inside

192.168.100.164 81

nat server protocol tcp global 219.137.182.2xx 81 inside 192.168.100.164 81

#匹配源地址为内网服务器目的地址为内网用户地址的数据包不作下一跳修改

policy-based-route wan deny node 9

if-match acl 3091

五、IPSec VPN

#IPSec匹配流量

acl number 3501

rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 192.160.10.0 0.0.0.255

acl number 3502

rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 192.160.55.0 0.0.0.255

#IKE本端名称

ike local-name f100

#健康检测

ike dpd to_fg100_dpd

time-out 3

#第一阶段ike提议

ike proposal 1

encryption-algorithm 3des-cbc

dh group2

authentication-algorithm md5

#

ike proposal 2

encryption-algorithm 3des-cbc

dh group2

#第一阶段 IKE对等体

预共享密钥野蛮模式

ike peer to_fg100_peer

exchange-mode aggressive

pre-shared-key cipher

$c$3$UqO8Is+AdX579TINNmJkYll+lArkiRBOjfzzAg==

id-type name

remote-name fg100

nat traversal

dpd to_fg100_dpd

#第二阶段IPSec安全提议

ipsec transform-set to_fg100_prop encapsulation-mode tunnel

transform esp

esp authentication-algorithm md5

esp encryption-algorithm 3des

#第二阶段IPSec模板

ipsec policy-template to_fg100_temp 1 security acl 3502

ike-peer to_fg100_peer

transform-set to_fg100_prop

sa duration traffic-based 1843200

sa duration time-based 3600

#创建一个policy

ipsec policy to_fg100_poli 1 isakmp template to_fg100_temp #把policy挂在G0/3上

interface GigabitEthernet0/3

ipsec policy to_fg100_poli

六、SSL VPN

#SSL使用的PKI证书

pki entity ssl

common-name ssl

#

pki domain default

crl check disable

#

pki domain domain

ca identifier domain

certificate request from ra

crl check disable

#SSL VPN配置

ssl server-policy default

pki-domain default

ssl server-policy access-policy

pki-domain domain

ssl server-policy h3c

pki-domain h3c

ssl server-policy sslvpn

pki-domain domain

#开启SSL VPN

ssl-vpn server-policy access-policy

ssl-vpn enable

七、其他设置

#管理口

interface GigabitEthernet0/0

port link-mode route

ip address 192.168.0.1 255.255.255.0

#开启telnet

telnet server enable

#web管理页面超时

web idle-timeout 50

#时间表

time-range office 07:00 to 19:00 daily

#配置TFTP客户端的源地址（从PC导入ssl vpn证书）tftp client source interface GigabitEthernet0/0

八、默认设置

version 5.20, Release 5140

#

sysname H3C

#

ftp server enable

#

undo voice vlan mac-address 00e0-bb00-0000

#

vd Root id 1

#

#本地用户

local-user admin

password cipher $c$3$oGb5I9jYxOTH14goQ9eyldWLEVvfRG8M authorization-attribute level 3

service-type telnet

service-type web

#允许来宾用户管理员在Web页面上创建的来宾用户加入该用户组user-group system

group-attribute allow-guest

#

interface NULL0

#

vlan 1

#

qos policy 11

qos policy 1

#取消指定协议的ALG功能

undo alg dns

undo alg rtsp

undo alg h323

undo alg sip

undo alg sqlnet

undo alg pptp

undo alg ils

undo alg nbt

undo alg msn

undo alg qq

undo alg tftp

undo alg sccp

undo alg gtp

#命令用来使能会话双机热备功能session synchronization enable #使能密码恢复功能（默认使能）password-recovery enable

华为单臂路由配置实例

华为路由器单臂路由实例 需求:在局域网中,通过交换机上配置VLAN可以减少主机通信广播域的范围,当VLAN之间有部分主机需要通信,但交换机不支持三层交换时,可以采用一台支持802.1Q的路由器实现VLAN的互通。这需要在以太口上建立子接口,分配IP地址作为该VLAN的网关,同时启动802.1Q. 组网:路由器E0端口与交换机的上行trunk端口(第24端口)相连,交换机下行口划分3个VLAN,带若干主机. 拓扑图如下： 1.路由器的配置 [Router] [Router]inter e0 [Router-Ethernet0]ip add 10.0.0.1 255.255.255.0 [Router-Ethernet0]inter e0.1 //定义子接口E0.1 [Router-Ethernet0.1]ip add 172.16.1.1 255.255.255.0 [Router-Ethernet0.1]vlan-type dot1q vid 1 //指定以太网子接口属于VLAN1,此命令应用在以太网子接口上。只有配置了该命令之后，以太网子接口才会根据配置的VLAN ID 号在以太网帧头中嵌入VLAN 标签，与该网口相连的交换机接口才能正确处理接收到的帧。 [Router-Ethernet0.1]inter e0.2 //定义子接口E0.2 [Router-Ethernet0.2]ip add 172.16.2.1 255.255.255.0

[Router-Ethernet0.2]vlan-type dot1q vid 2 //指定以太网子接口属于VLAN2 [Router-Ethernet0.2]inter e0.3 //定义子接口E0.3 [Router-Ethernet0.3]ip add 172.16.3.1 255.255.255.0 [Router-Ethernet0.3]vlan-type dot1q vid 3 //指定以太网子接口属于VLAN3 [Router-Ethernet0.3]inter e0 [Router-Ethernet0]undo shut % Interface Ethernet0 is up [Router-Ethernet0] //用网线将E0端口连到S3026第24端口 %19:46:32: Interface Ethernet0 changed state to UP %19:46:32: Line protocol ip on interface Ethernet0, changed state to UP %19:46:32: Line protocol ip on interface Ethernet0.1, changed state to UP %19:46:32: Line protocol ip on interface Ethernet0.2, changed state to UP %19:46:32: Line protocol ip on interface Ethernet0.3, changed state to UP 2.交换机的配置 sys Enter system view , return user view with Ctrl+Z. [Quidway]vlan 1 [Quidway-vlan1]vlan 2 [Quidway-vlan2]port ethernet 0/17 to eth 0/19 eth 0/22 //将第17至19端口，和第22端口加入VLAN2 [Quidway-vlan2]vlan 3 [Quidway-vlan3]port eth 0/21 //将第21端口加入VLAN2 [Quidway-vlan3]inter e0/24

单臂路由配置实例

一、单臂路由实例 第一步：交换机SW1的配置： (1)在SW1上创建vlan2 SW1(config)#vlan2 SW1(config-vlan)#exit (2)将SW1的f0/1和f0/2模式设置为access，并分别加入valn1和vlan2 SW1(config)#int f0/1 SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 1 SW1(config)#int f0/2 SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 2 (3)将f0/3的模式设置为trunk并封dot1q SW1(config)#int f0/3 SW1(config-if)#switchport trunk encapulation dot1q SW1(config-if)#switchport mode trunk 第二步：在路由器R1上的配置： R1(config)#int f0/0 R1(config-if)#no shut R1(config)#int f0/0.1

R1(config-subif)#encapulation dot1q 1 R1(config-subif)#ip add 192.168.1.1 255.255.255.0 R1(config)#int f0/0.2 R1(config-subif)#encapulation dot1q 2 R1(config-subif)#ip add 192.168.2.1 255.255.255.0 第三步：PC机的配置： .PC1：IP：192.168.1.2 netmask：255.255.255.0 gateway：192.168.1.1 PC2：IP：192.168.2.2 netmask：255.255.255.0 gateway：192.168.2.1

三层交换机与路由器的配置_实例(图解)

三层交换机与路由器的配置实例（图解） 目的：学会使用三层交换与路由器让处于不同网段的网络相互通信 实验步骤：一：二层交换机的配置： 在三个二层交换机上分别划出两VLAN，并将二层交换机上与三层交换或路由器上的接线设置为trunk接口 二：三层交换机的配置： 1：首先在三层交换上划出两个VLAN，并进入VLAN为其配置IP，此IP将作为与他相连PC的网关。 2：将与二层交换机相连的线同样设置为trunk接线，并将三层交换与路由器连接的线设置为路由接口（no switchsport） 3：将路由器和下面的交换机进行单臂路由的配置 实验最终结果：拓扑图下各个PC均能相互通信

交换机的配置命令： SW 0: Switch> Switch>en Switch#conf Configuring from terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#vlan 2 Switch(config-vlan)#exit Switch(config)#int f0/2 Switch(config-if)#switchport access vlan 2 Switch(config-if)#no shut Switch(config-if)#int f0/3 Switch(config-if)#switchport mode trunk %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to up Switch(config-if)#exit Switch(config)# SW 1: Switch>en Switch#conf Configuring from terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#int f0/2 Switch(config-if)#switchport access vlan 2 % Access VLAN does not exist. Creating vlan 2 Switch(config-if)#no shut Switch(config-if)#exit Switch(config)#int f0/3 Switch(config-if)#switchport mode trunk %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to up Switch(config-if)# SW 2: Switch>en Switch#conf Configuring from terminal, memory, or network [terminal]?

单臂路由实验

单臂路由和vlan 目标：通过路由器进行多个VLAN互联 环境：1. 交换机为二层交换机，支持VLAN划分；2. 路由器只有1个Ethernet接口实施：采用单臂路由，即在路由器上设置多个逻辑子接口，每个子接口对应于一个VLAN。由于物理路由接口只有一个，各子接口的数据在物理链路上传递要进行标记封装。Cisco设备支持ISL和802.1q协议。华为设备只支持802.1q。 单臂路由的配置实例（略） --------------------------------------------------------------------- 在学习单臂路由的配置之前，建议大家先学好VLAN，起码要知道VLAN是怎么配置的，这样学单臂路由就轻松多了。 先来了解一下什么是单臂路由，为什么要用到单臂路由。VLAN（虚拟局域网）技术是路由交换中非常基础的技术。在网络管理实践中，通过在交换机上划分适当数目的vlan，不

仅能有效隔离广播风暴，还能提高网络安全系数及网络带宽的利用效率。划分vlan之后，vlan与vlan之间是不能通信的，只能通过路由或三层交换来实现。我们知道路由器实现路由功能通常是数据报从一个接口进来然后另一个接口出来，现在路由器与交换机之间通过一条主干现实通信或数据转发，也就是说路由器仅用一个接口实现数据的进与出，因为我们形象地称它为单臂路由。单臂路由是解决vlan间通信的一种廉价而实用的解决方案。 下面请看图，PC-A和PC-B分别属于vlan10和vlan20，Switch2950是一个cisco的二层交换机，型号2950，欲实现vlan10和vlan20的通信，我们要增加一个路由器来转发vlan之间的数据包，路由器与交换机之间使用单条链路相连（图中画红线），这条链路也叫主干，所有数据包的进出都要通过路由器2600的f0/0端口来现实数据转发。 接下来，结合以上网络拓扑探讨一下单臂路由的配置。图中路由器是cisco的2600系列，交换机采用cisco的2950. 一、配置交换机

VLAN间通信单臂路由实验

VLAN间通信单臂路由 目标：通过路由器进行多个VLAN互联 环境：1. 交换机为二层交换机，支持VLAN划分；2. 路由器只有1个Ethernet接口 实施：采用单臂路由，即在路由器上设置多个逻辑子接口，每个子接口对应于一个VLAN。由于物理路由接口只有一个，各子接口的数据在物理链路上传递要进行标记封装。Cisco设备支持ISL和802.1q协议。华为设备只支持802.1q。 单臂路由的配置实例（略） --------------------------------------------------------------------- 在学习单臂路由的配置之前，建议大家先学好VLAN，起码要知道VLAN是怎么配置的，这样学单臂路由就轻松多了。 先来了解一下什么是单臂路由，为什么要用到单臂路由。VLAN（虚拟局域网）技术是路由交换中非常基础的技术。在网络管理实践中，通过在交换机上划分适当数目的vlan，不

仅能有效隔离广播风暴，还能提高网络安全系数及网络带宽的利用效率。划分vlan之后，vlan与vlan之间是不能通信的，只能通过路由或三层交换来实现。我们知道路由器实现路由功能通常是数据报从一个接口进来然后另一个接口出来，现在路由器与交换机之间通过一条主干现实通信或数据转发，也就是说路由器仅用一个接口实现数据的进与出，因为我们形象地称它为单臂路由。单臂路由是解决vlan间通信的一种廉价而实用的解决方案。 下面请看图，PC-A和PC-B分别属于vlan10和vlan20，Switch2950是一个cisco的二层交换机，型号2950，欲实现vlan10和vlan20的通信，我们要增加一个路由器来转发vlan之间的数据包，路由器与交换机之间使用单条链路相连（图中画红线），这条链路也叫主干，所有数据包的进出都要通过路由器2600的f0/0端口来现实数据转发。 接下来，结合以上网络拓扑探讨一下单臂路由的配置。图中路由器是cisco的2600系列，交换机采用cisco的2950. 一、配置交换机

华为设备单臂路由配置简单实例

华为设备单臂路由配置实例： 拓扑图注：实验在华为模拟器eNSP内模拟进行。 1、交换机配置 sys [Huawei]sys S1 [S1]vlan 10 [S1-vlan10]vlan 20 [S1-vlan20]int e0/0/1 [S1-Ethernet0/0/1]port link-type access

[S1-Ethernet0/0/1]port default vlan 10 [S1-Ethernet0/0/1] int e0/0/2 [S1-Ethernet0/0/2]port link-type access [S1-Ethernet0/0/2]port default vlan 20 [S1-Ethernet0/0/2] int g0/0/1 [S1-GigabitEthernet0/0/1]port link-type trunk [S1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 [S1-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1 //可省了此处，根据实际需要配置。 2、路由器配置 sys [Huawei]sys R1 [R1]int g0/0/1.1 [R1-GigabitEthernet0/0/1.1]ip add 10.0.1.254 24 [R1-GigabitEthernet0/0/1.1]dot1q termination vid 10 [R1-GigabitEthernet0/0/1.1]arp broadcast enable [R1-GigabitEthernet0/0/1.1]int g0/0/1.2 [R1-GigabitEthernet0/0/1.2]ip add 10.0.2.254 24 [R1-GigabitEthernet0/0/1.2]dot1q termination vid 20 [R1-GigabitEthernet0/0/1.2]arp broadcast enable

单臂路由实例

华为路由器单臂路由实例 华为路由器单臂路由实例 需求:在局域网中,通过交换机上配置VLAN可以减少主机通信广播域的范围,当VLAN之间有部分主机需要通信,但交换机不支持三层交换时,可以采用一台支持802.1Q的路由器实现VLAN的互通。这需要在以太口上建立子接口,分配IP地址作为该VLAN的网关,同时启动802.1Q. 组网:路由器E0端口与交换机的上行trunk端口(第24端口)相连,交换机下行口划分3个VLAN,带若干主机. 拓扑图如下：(附件附带) 1.路由器的配置 [Router] [Router]inter e0 [Router-Ethernet0]ip add 10.0.0.1 255.255.255.0 [Router-Ethernet0]inter e0.1 //定义子接口E0.1 [Router-Ethernet0.1]ip add 172.16.1.1 255.255.255.0 [Router-Ethernet0.1]vlan-typedot1q vid 1//指定以太网子接口属于VLAN1,此命令应用在以太网子接口上。只有配置了该命令之后，以太网子接口才会根据配置的VLAN ID号在以太网帧头中嵌入VLAN 标签，与该网口相连的交换机接口才能正确处理接收到的帧。 [Router-Ethernet0.1]inter e0.2 //定义子接口E0.2 [Router-Ethernet0.2]ip add 172.16.2.1 255.255.255.0 [Router-Ethernet0.2]vlan-type dot1q vid 2 //指定以太网子接口属于VLAN2 [Router-Ethernet0.2]inter e0.3 //定义子接口E0.3

单臂路由的配置 举例

单臂路由的配置举例 （1）pc1与pc2的配置 配置pc1的ip地址

配置pc2的ip地址 （2）配置交换机 配交换机名 en conf t hostname fanyouhe

exit （3）创建vlan2 和vlan3 vlan database vlan 2 name vlan2 vlan 3 name vlan3 exit （4）划分端口 conf t int f0/1 switch mode access switch access vlan 2 exit int f0/2 switch mode access

switch access vlan 3 exit int f0/3 switch mode trunk exit （5）配置路由器 配路由器名 en conf t hostname fanyouhe_r int f0/0 no shutdown exit int f0/0.1 encap dot1q 2 ip address 192.168.2.4 255.255.255.0

ip address 192.168.2.4 255.255.255.0 (这个命令输入2次。因为有时，一次路由器不接受) exit int f0/0.2 encap dot1q 3 ip address 192.168.2.4 255.255.255.0 ip address 202.15.37.4 255.255.255.0 (这个命令输入2次。因为有时，一次路由器不接受) exit 打开端口 （6）封装协议及配置默认网关

单臂路由

单臂路由编辑 单臂路由（router-on-a-stick）是指在路由器的一个接口上通过配置子接口（或―逻辑接口‖，并不存在真正物理接口）的方式，实现原来相互隔离的不同VLAN（虚拟局域网）之间的互联互通。 中文名 单臂路由 外文名 Single arm routing 性质 在路由器的一个接口上配置子接口 目的 实现原来不同VLAN之间的互联互通 优点 实现不同vlan之间的通信 缺点 容易成为网络单点故障 目录 1简介 ?单臂路由的概念 ?优缺点 ?实验手册 ?单臂路由的配置实例 2华为单臂路由 ?路由器的配置 ?交换机的配置 3vlan下的设置 ?设置Ip地址 ?设置ip地址 ?可通性 ?去掉联接线 ?交换机的情况 4故障排查 1简介编辑 单臂路由的概念 由于从拓扑结构图上看，在交换机与路由器之间，数据从一条线路进去，又从一个线路出来，

两条线路重合，故形象的称之为―单臂路由‖（右图中黑色线路）[1] 。 在Cisco网络认证体系中，单臂路由是一个重要的学习知识点。通过单臂路由的学习，能够深入的了解VLAN（虚拟局域网）的划分、封装和通信原理，理解路由器子接口、ISL协议和802.1Q协议，是CCNA考试中经常考察。 优缺点 VLAN能有效分割局域网，实现各网络区域之间的访问控制。但现实中，往往需要配置某些VLAN之间的互联互通。比如，你的公司划分为领导层、销售部、财务部、人力部、科技部、审计部，并为不同部门配置了不同的VLAN，部门之间不能相互访问，有效保证了各部门的信息安全。但经常出现领导层需要跨越VLAN访问其他各个部门，这个功能就由单臂路由来实现。 优点：实现不同vlan之间的通信，有助理解、学习VLAN原理和子接口概念。 缺点：容易成为网络单点故障，配置稍有复杂，现实意义不大。 实验手册 实验名称：单臂路由实验 目标：通过一个路由器进行多个VLAN互联 环境：1. 交换机为二层交换机，支持VLAN划分；2. 路由器只有1个Ethernet接口 实施：采用单臂路由，即在路由器上设置多个逻辑子接口，每个子接口对应于一个VLAN。由于物理路由接口只有一个，各子接口的数据在物理链路上传递要进行标记封装。Cisco设备支持ISL和802.1q协议。华为设备只支持802.1q。 单臂路由的配置实例 实验设备：一台CISCO路由器（R1），一台二层交换机（S1），两台PC机（pc2和pc3） 实验拓扑 PC的配置如下： pc2的IP：192.168.2.10 网关：192.168.2.1 pc3的IP：192.168.3.10 网关：192.168.3.1 交换机S1的配置如下： Switch>enable Switch#vlan database Switch(vlan)#vlan 2 name test01 VLAN 2 added: Name: test01 Switch(vlan)#vlan 3 name test02 VLAN 3 added: Name: test02 →设置好vlan ，这里只简单设置两个。 Switch(vlan)#exit APPL Y completed. Exiting.... Switch#config

华为路由器交换机实现单臂路由的方法

华为路由器交换机实现单臂路由的方法 连接如上图,ROUTET的F1/0与SWITCH的F0/24相连,SWITCH的F0/1,F0/2,F0/11分别与PC1,PC2,PC3相连接,PC1,PC2分到VLAN2, PC3分到VLAN 3 1.路由器的配置 [Router][Router]inter e0[Router-Ethernet0]inter e 0.1 //定义子接口E0.1[Router-Ethernet0.1]ip ad d 192.168.1.254 255.255.255.0[Router-Ethernet0.1]vlan-type dot1q vid 2 //指定以太网子接口属于VLAN 2,此命令应用在以太网子接口上。[Router-Ethernet0.1]inter e0.2 //定义子接口E0.2 [Router-Ethernet0.2]ip add 192.168.2.254 255.255.255.0[Router-Ethernet0.2]vlan-type dot1q vid 3 //指定以太网子接口属于VLAN3[Router-Ethernet0.3]inter e0[Router-Ethernet0]undo shut 2.交换机的配置 sys Enter system view , return user view with Ctrl Z. [Quidway]vlan 2[Quidway-vlan2]port ethernet 0/1 to eth 0/2 eth 0/22 //将第1至2端口，加入到VLA N2 [Quidway-vlan2]vlan 3[Quidway-vlan3]port eth 0/11 //将第11端口加入VLAN3[Quidway-vlan3]i nter e0/24[Quidway-Ethernet0/24]port link-type trunk //将第24端口设为trunk口[Quidway-Ethernet0 /24]port trunk permit vlan all//允许所有VLAN流量通过,这里与CISCO的交换机有所不同的是CISCO交换机默认是允许所有VLAN的流里通过Please wait........................................... Done.

ASA防火墙单臂路由配置实例

ASA防火墙vlan子接口互相通讯配置实例 实例需求：Cisco ASA 5520 防火墙用于内部多个vlan之间互相通讯。拓扑图： 配置实例： [asa防火墙配置] : Saved : ASA Version 7.0(7) ! hostname ***** enable password GSk/3FjsRAiPoooi encrypted names dns-guard ! interface GigabitEthernet0/0 shutdown nameif outside security-level 0 no ip address ! interface GigabitEthernet0/1 no nameif

no security-level no ip address ! interface GigabitEthernet0/1.1 // 启用子接口连接vlan 10，安全及别99，分配地址 vlan 10 nameif Test1 security-level 99 ip address 10.8.128.254 255.255.255.0 ! interface GigabitEthernet0/1.2 // 启用子接口连接vlan 20，安全及别98，分配地址 vlan 20 nameif Test2 security-level 98 ip address 10.8.129.254 255.255.255.0 ! interface GigabitEthernet0/1.3 // 启用子接口连接vlan 30，安全及别97，分配地址 vlan 30 nameif Test3 security-level 97 ip address 10.8.130.254 255.255.255.0 ! interface GigabitEthernet0/2 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/3 description LAN Failover Interface ! interface Management0/0 nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 management-only ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive access-list acl_Test1 extended permit icmp any any // 设置访问列表，允许全通过，为了测试方便access-list acl_Test1 extended permit ip any any access-list acl_Test2 extended permit icmp any any access-list acl_Test2 extended permit ip any any access-list acl_Test3 extended permit icmp any any access-list acl_Test3 extended permit ip any any

单臂路由的配置实验报告

洛阳理工学院实验报告学院计算机学院班级学号姓名 课程名称计算机网络实验日期2016.11.8 实验名称单臂路由的配置成绩 实验目的： 1.进一步理解路由器配置的基本原理； 2.掌握vlan间路由单臂路由的配置； 3.掌握路由器子接口的基本命令配置。 实验条件： 软件：windows 7 操作系统、cisco packet软件。 实验内容： 1. 绘制单臂路由的拓扑图。 2.配置VLAN。

3.对交换机F 0/5进行switchport mode trunk配置，对路由器进行建立子接口配置。配置路由器的route。 Router>en Router#conf t Router(config)#interface f0/0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface f0/0.1 Router(config-subif)#encapsulation dot1Q 10 Router(config-subif)#ip add Router(config-subif)#ip address 192.228.10.254 255.255.255.0 Router(config-subif)#exit Router(config)#interface f0/0.20 Router(config-subif)#encapsulation dot1Q 20 Router(config-subif)#ip add Router(config-subif)#ip address 192.228.20.254 255.255.255.0 Router(config-subif)#exit Router(config)#exit 4.测试是否能ping通。 Ping 192.228.10.1

cisco2811&2960单臂路由及vlan配置实例

本文转载自https://www.360docs.net/doc/0718456541.html,/configure/849279.html 未加任何修改，仅供学习参考 //实现：通过单臂路由实现不同VLAN间相互通信。 //环境： Router 2811 Cisco 2960 VLAN2-PC01 VLAN3-PC02 //拓扑：如图 //配置Cisco 2960 Cisco 2960>enable Cisco 2960#configure terminal Cisco 2960(config)#vlan 2 Cisco 2960(config-vlan)#exit Cisco 2960(config)#vlan 3 Cisco 2960(config-vlan)#exit Cisco 2960(config)#interface fastEthernet 0/1 Cisco 2960(config-if)#switchport access vlan 2 Cisco 2960(config-if)#exit Cisco 2960(config)#interface fastEthernet 0/2 Cisco 2960(config-if)#switchport access vlan 3 Cisco 2960(config-if)#exit Cisco 2960(config)#interface fastEthernet 0/24 Cisco 2960(config-if)#switchport mode trunk //设置TRUNK Cisco 2960(config-if)#exit Cisco 2960#write //配置Router 2811 Router 2811>enable

最新H3C单臂路由配置实例

H3C单臂路由配置 H3c交换机配置 system-view [H3C]vlan 10 //创建VLAN 10 [H3C-vlan10]port e1/0/1 //把端口e1/0/1划给VLAN 10 [H3C-vlan10]quit [H3C]vlan 20 //创建VLAN 10 [H3C-vlan20]port e1/0/2 //把端口e1/0/1划给VLAN 10 [H3C]int e1/0/3 [H3C-Ethernet1/0/3]port link-type trunk //设置e1/0/3端口为Trunk口 [H3C-Ethernet1/0/3]port trunk permit vlan all //允许所有VLAN通过 路由器配置 system-view [H3C]int g0/0.1 //进入g0/0子接口1 [H3C-GigabitEthernet0/0.1]ip address 192.168.10.1 255.255.255.0 //配置子接口IP地址 [H3C-GigabitEthernet0/0.1]vlan-type dot1q vid 10 //子接口封装为dot1q协议并分配给VLAN 10 [H3C-GigabitEthernet0/0.1]quit [H3C]int g0/0.2 [H3C-GigabitEthernet0/0.2]vlan-type dot1q vid 20 [H3C-GigabitEthernet0/0.2]ip address 192.168.20.1 255.255.255.0

第一章 PLC的硬件与工作原理 5、手持式编程器可以为PLC编写语句表方式的程序。 6、PLC一般能（能，不能）为外部传感器提供24V直流电源。 7、PLC的输出接口类型有继电器，晶闸管与场效应晶体管。 8、PLC的软件系统可分为系统程序和用户程序两大部分。 10、PLC采用_循环扫描_工作方式，其过程可分为五个阶段：_自诊断检查__， 通信处理，输入采样，_执行用户程序_和_输出改写_，称为一个扫描周期。

Cisco单臂路由实现配置案例

Cisco单臂路由实现配置案例 在从事网络工作的工程师眼里单臂路由是一门必修课程，那么对于初学者来说就有些陌生，那么什么是单臂路由呢?即在路由器上设置多个逻辑子接口，每个子接口对应一个vlan。在每个子接口的数据在物理链路上传递都要标记封装。 Cisco设备支持ISL和802.1q（dot1Q）协议,下面我就与大家一起分享一下在模拟器上单臂路由的配置，以Cisco设备为例。 工具/原料 ?笔记本电脑 ?Cisco Packet Tracer模拟器（PC两台+Switch一台+Route一台）方法/步骤 1.1首先我们要具备Cisco Packet Tracer模拟器，如下图，如果没有可以到百 度搜索下载安装即可。 2. 2 第二步，我们要绘制单臂路由的拓扑图了。 3. 3 接下来给交换机配置Vlan，分别配置Vlan10 命名为caiwu，Vlan20 命名为jishu 。 Switch>en Switch#vlan database Switch(vlan)#vlan 10 name caiwu VLAN 10 modified: Name: caiwu Switch(vlan)#vlan 20 name jishu VLAN 20 modified: Name: jishu Switch(vlan)# 4. 将相应pc连接的端口加入相应的Vlan中（f0/23加入Vlan10，f0/24加入Vlan20），并且设置接口为access模式，设置f0/1为Trunk模式。 Switch>en Switch#conf t Switch(config)#interface f0/23 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 10 Switch(config-if)#no shutdown Switch(config-if)#exit Switch(config)#exit Switch# Switch#conf t Switch(config)#interface f0/24 Switch(config-if)#switchport mode access

多臂路由、单臂路由、交换路由配置

VLAN间路由 在上面的试验中VLAN之间是不能互访的，VLAN间的互访需要借助路由器或三层交换机来实现。 * 基于路由器物理接口的VLAN间路由 如下图所示,PC1和PC2连接在SW1上,PC的IP和网关配置如图所示，PC1属于VLAN2，PC2属于VLAN3，为了实现VLAN2能够和VLAN3通信，需要将SW1的Fa0/23划分到VLAN2中，将Fa0/24划分到VLAN3中，并且在R1上配置对应的网关IP地址。 SW1配置: 1 SW1(config)#vlan 2 /*创建VLAN*/ 2 SW1(config-vlan)#name vlan2 3 SW1(config-vlan)#vlan 3 4 SW1(config-vlan)#name vlan3 5 SW1(config-vlan)#int fa 0/1 /*将端口划分到VLAN*/ 6 SW1(config-if)#swi mod acc 7 SW1(config-if)#swiaccvlan 2 8 SW1(config-if)#int fa 0/2 9 SW1(config-if)#swi mod acc 10 SW1(config-if)#swiaccvlan 3 11 SW1(config-if)#int fa 0/23 12 SW1(config-if)#swi mod acc 13 SW1(config-if)#swiaccvlan 2 14 SW1(config-if)#int fa 0/24 15 SW1(config-if)#swi mod acc 16 SW1(config-if)#swiaccvlan 3 17 SW1(config-if)#end 18 SW1# R1配置: 1 R1(config)#int fa 0/0

单臂路由实现VLAN间通信

实验二十: 单臂实现VLAN间通信 一、网络拓扑图、接口设置及IP分配 图1 仿真实验拓扑图 二、配置命令及解析 1、配置VLAN 交换机配置 Switch>en Switch#conf t Switch(config)#vlan 10 Switch(config-vlan)#exit Switch(config)#vlan 20 Switch(config-vlan)#exit Switch(config)#int f0/1

Switch(config-if)#switchport access vlan 10 Switch(config-if)#exit Switch(config)#int f0/2 Switch(config-if)#switchport access vlan 10 Switch(config)#int f0/3 Switch(config-if)#switchport access vlan 20 Switch(config)#int f0/4 Switch(config-if)#switchport access vlan 20 Switch(config-if)#exit Switch(config)#int f0/24 Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk allowed vlan all Switch(config-if)# 2、路由器配置 Router>en Router#conf t Router(config)#int f0/0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#int f0/0.1 //Router1上fa 0/0接口的子接口fa 0/0.1 upRouter(config-subif)# Router(config-subif)#encapsulation dot1q 10//在子接口fa 0/0.1上封装vlan 10 Router(config-subif)#ip add 192.168.10.1 255.255.255.0 //给子接口fa 0/0.1配置IP地址Router(config-subif)#no shutdown //激活fa 0/0.1子接口 Router(config-subif)#exit Router(config)#int f0/0.2 //Router1上fa 0/0接口的子接口fa 0/0.2 upRouter(config-subif)# Router(config-subif)#encapsulation dot1q 20//在子接口fa 0/0.1上封装vlan 20 Router(config-subif)#ip add 192.168.20.1 255.255.255.0 //给子接口fa 0/0.1配置IP地址Router(config-subif)#no shutdown //激活fa 0/0.2子接口

单臂路由

华为单臂路由 众多中小企业内部网络结构都很简单，仅仅是用一台交换机将所有员工机以及服务器连接到一起，然后通过光纤访问internet而已。当然为了保证部分主机的安全性以及分割内部广播包提高网络传输速度，采取诸如划分VLAN，分配不同子网的方法来实现。通过划分VLAN可以让在同一台交换机不同端口的客户机不能互相访问，有效的隔离了网络。 通过VLAN划分网络固然可以解决安全和广播风暴的频繁出现，但是对于那些既希望隔离又希望对某些客户机进行互通的公司来说，划分VLAN的同时为不同VLAN建立互相访问的通道也是必要的。 众所周知可以使用三层交换机来实现，但是大多数情况企业网络搭建初期购买的仅仅是二层可管理型交换机，如果要购买三层交换机实现VLAN互通功能的话，以前的二层设备将被丢弃。这样就造成了极大的浪费。那么有没有什么办法在仍然使用二层设备的基础上，实现三层交换机的功能呢? 一、三层交换机的原理: 在告诉各位读者解决方法前我们需要首先了解三层交换机的工作原理。理论上讲一台三层交换机可以看做是一个二层交换机+一个路由模块，实际使用中各个厂商也是通过将路由模块内置于交换机中实现三层功能的。在传输数据包时先发向这个路由模块，由其提供路由路径然后再由交换机转发相应的数据包。

二、单臂路由原理: 既然仍然要使用以前的二层设备，那么我们可以通过添加一台路由器解决上面提到的企业网络升级问题。这台路由器就相当于三层交换机的路由模块，只是我们将其放到了交换机的外部。具体原理拓扑 router路由器 连接线路(负责多个vlan之间的的通信) switch交换机 大家可以看出在router路由器与交换机之间是通过外部线路连接的，这个外部线路只有一条，但是他在逻辑上是分开的，需要路由的数据包会通过这个线路到达路由器，经过路由后再通过此线路返回交换机进行转发。所以大家给这种拓扑方式起了一个形象的名字——单臂路由。说白了，单臂路由就是包从哪个口进去，又从哪个口出来，而不象传统网络拓扑中数据包从某个接口进入路由器又从另一个接口离开路由器。 那么什么时候要用到单臂路由呢?在企业内部网络中划分了VLAN，当VLAN 之间有部分主机需要通信,但交换机不支持三层交换，这时候可以采用一台支持802.1Q的路由器实现VLAN的互通。我们只需要在以太口上建立子接口，并分配IP地址作为该VLAN的网关，同时启动802.1Q协议即可。 小提示: 一个物理接口当成多个逻辑接口来使用时，往往需要在该接口上启用子接口。通过一个个的逻辑子接口实现物理端口以一当多的功能。 三、实战单臂路由: 笔者所在公司恰恰遇到了上面说的问题，原来使用交换机连接内部网，划分了VLAN。但是现在需要让这些VLAN实现互通，笔者购买了一台华为2621路由器来实施单臂路由解决此问题。具体拓扑图如图1所示。 交换机连接了多个网段，有 10.91.30.*/24， 10.83.224.*/24,10.83.225.*/24,10.83.226.*/24。每个网段都处在不同的VLAN中。所有数据包都通过光纤连接到核心设备。由于交换机上的光纤接口只对于10.91.30.*/24有效，所以其他网段的计算机在没有路由器的前提下都无法正常上网。这时我们就需要通过华为2621路由器为他们指明路由下一跳的地址，完成数据包的传输。 (1)交换机上配置: 交换机上划分VLAN以及将不同接口和网段加入不同VLAN的操作这里就不详