H3C防火墙增设方案

H3C SecPath F100-A-G2 防火墙的透明模式和访问控制。

注意：安全域要在安全策略中执行。

URL 和其他访问控制的策略都需要在安全策略中去执 行。

安全策略逐条检索，匹配执行，不匹配执行下一条，直到匹配到最后，还没有的则丢弃。

配置的步骤如下：一、首先连接防火墙开启WEB 命令为： yssecurity-zone name Trustimport interface GigabitEthernet1/0/0 import interface GigabitEthernet1/0/1 interface GigabitEthernet1/0/0 port link-mode routeip address 100.0.0.1 255.255.255.0 acl advanced 3333 rule 0 permit ipzone-pair security source Trust destination local packet-filter 3333zone-pair security source local destination Trust packet-filter 3333local-user admin class manage password hash adminservice-type telnet terminal http https authorization-attribute user-role level-3authorization-attribute user-role network-admin ip http enable ip https enable详情：将接口划入到域中，例如将G1/0/2、G1/0/3 口变成二层口，并加入到="$=域中□mt1巨加 1出1*T1部世上田口 D 目的电北同声 IES1应用 1 SrfliS 1时向率1卡志^slwsjz I 氏为1倜由=ArvMy 0日n 乎any sn/any- 开启 音 - □ Tmsi rnjtf ［心•伊内部址 any 目的 a ❿ 孙-开启 e - 4 a□ Trust Tiufl 1 AfF芷有勘F访问1翻5 anyiW开启 E -□ Irusit Unlruat-any耐 any 3N 呻开启 舌-□ urenjKFruM0 ftHF any;3叮a 值a*-开售 3 -二、进入WEB ，将接口改为二层模式，在将二层模式的接口划到Trust 安全域中。

h3c路由器防火墙怎么样设置h3c路由器防火墙设置一：打开ie浏览器，在ie地址栏中输入192.168.0.1(不同品牌路由器可能登录的网关地址会有不同比如有的是192.168.1.1的网关，路由器底面的贴条上一般都注明，包括用户名和密码)。

，然后回车，出来一个用户名密码的登录小页面，初始用户名和密码默认都是admin，输入之后，点”确定“进入路由器设置界面。

在路由器设置界面左面菜单栏里有一项“快速设置”选项，点击该项，然后出来一个页面让选择上网方式(若联通或者电信，给的是账号密码就选择pppoe方式，若给的是一组ip地址，选择静态ip方式，静态ip方式下，填写上网宽带信息的时候，记得填上当地的dns)。

然后点击下一步，填写无线网账号和密码，点击保存，在路由器菜单栏最下面“系统工具”中有“重启路由器”选项，点击重启后就可以上网了。

h3c路由器防火墙设置二：内部电脑，是通过防火墙的端口进行nat转换上网的。

端口是可以全堵上，但是，你会发现好多东西用不了了。

上网行为我知道的有百络网警，但是用硬件比较好。

管理也方便。

如果人数多。

最好是架设一台专门的服务器，用域控来管理，再装上isa 的代理防火墙。

控制效果好。

硬件上网行为管理有多。

h3c路由器防火墙设置三：初始化配置〈h3c〉system-view开启防火墙功能，并默认允许所有数据包通过[h3c]firewall packet-filter enable[h3c]firewall packet-filter default permit分配端口区域(untrust外网，trust内网;端口号请参照实际情况)[h3c] firewall zone untrust[h3c-zone-untrust] add interface ethernet0/0[h3c] firewall zone trust[h3c-zone-trust] add interface ethernet0/1工作模式，默认为路由模式[h3c] firewall mode route开启所有防范功能[h3c] firewall defend all配置内网lan口ip(内网ip地址请参考实际情况)[h3c] interface ethernet0/1[h3c-interface] ip address 192.168.1.1 255.255.255.0 配置外网ip(也就是电信给你们的ip和子网掩码)[h3c] interface ethernet0/0[h3c-interface] ip address x.x.x.x x.x.x.x.x配置nat地址池(填写电信给你们的ip地址，填写两次)[h3c]nat address-group 1 x.x.x.x x.x.x.x.x配置默认路由(出外网的路由,字母代表的是电信分配你们的外网网关地址，不知道就问电信)[h3c]ip route-static 0.0.0.0 0.0.0.0 y.y.y.y preference 60配置访问控制列表(上网必须配置)[h3c]acl number 2001[h3c-acl]rule 1 permit source 192.168.1.0 0.0.0.255 应用访问控制列表到端口，并开启nat上网功能[h3c]interface ethernet1/0[h3c-interface]nat outbound 2001 address-group 1配置dhcp[h3c] dhcp enable[h3c-dhcp] dhcp server ip-pool 0[h3c-dhcp] network 192.1681.0 mask 255.255.255.0[h3c-dhcp] gateway-list 192.168.1.1[h3c-dhcp] dns-list x.x.x.x(配置你们这里的dns服务器地址)其它配置：允许网页配置[h3c] undo ip http shutdown添加web用户[h3c] local-user admin[h3c-luser-admin] password simple admin[h3c-luser-admin] service-type telnet[h3c-luser-admin] level 3配置telnet远程登录[h3c-vty] user-interface vty 0 4[h3c-vty] authentication-mode schem/password[h3c-vty] user privilage 3完成某项配置之后要回到[h3c] 提示符下面请按q再回车看了“h3c路由器防火墙怎么样设置”文章的。

平安区域之迟辟智美创作2.1.1 平安区域的概念平安区域（zone）是防火墙产物所引入的一个平安概念，是防火墙产物区别于路由器的主要特征. 对路由器，各个接口所连接的网络在平安上可以视为是平等的，没有明显的内外之分，所以即使进行一定水平的平安检查，也是在接口上完成的.这样，一个数据流双方向通过路由器时有可能需要进行两次平安规则的检查（入接口的平安检查和出接口的平安检查），以便使其符合每个接口上自力的平安宁义.而这种思路对防火墙来说不很适合，因为防火墙所承当的责任是呵护内部网络不受外部网络上非法行为的侵害，因而有着明确的内外之分. 当一个数据流通过secpath防火墙设备的时候，根据其发起方向的分歧，所引起的把持是截然分歧的.由于这种平安级别上的分歧，再采纳在接口上检查平安战略的方式已经不适用，将造成用户在配置上的混乱.因此，secpath防火墙提出了平安区域的概念. 一个平安区域包括一个或多个接口的组合，具有一个平安级别.在设备内部，平安级别通过0～100的数字来暗示，数字越年夜暗示平安级别越高，不存在两个具有相同平安级另外区域.只有当数据在分属于两个分歧平安级另外区域（或区域包括的接口）之间流动的时候，才会激活防火墙的平安规则检查功能.数据在属于同一个平安区域的分歧接口间流动时不会引起任何检查. 2.1.2secpath防火墙上的平安区域 1. 平安区域的划分 secpath 防火墙上保管四个平安区域： 1 非受信区（untrust）：初级的平安区域，其平安优先级为5. 2 非军事化区（dmz）：中度级另外平安区域，其平安优先级为50. 3 受信区（trust）：较高级另外平安区域，其平安优先级为85. 4 本地域域（local）：最高级另外平安区域，其平安优先级为100. 另外，如认为有需要，用户还可以自行设置新的平安区域并界说其平安优先级别. dmz（de militarized zone，非军事化区）这一术语起源于军方，指的是介于严格的军事管制区和松散的公共区域之间的一种有着部份管制的区域.防火墙引用了这一术语，指代一个逻辑上和物理上都与内部网络和外部网络分离的区域.通常布置网络时，将那些需要被公共访问的设备（例如，www server、ftp server 等）放置于此. 因为将这些服务器放置于外部网络则它们的平安性无法保证；放置于内部网络，外部恶意用户则有可能利用某些服务的平安漏洞攻击内部网络.因此，dmz区域的呈现很好地解决了这些服务器的放置问题. 2. 接口、网络与平安区域的关系除local区域以外，在使用其他所有平安区域时，需要将平安区域分别与防火墙的特定接口相关联，即将接口加入到区域. 系统不允许两个平安区域具有相同的平安级别；而且同一接口不成以分属于两个分歧的平安区域. 平安区域与各网络的关联遵循下面的原则： 1 内部网络应安插在平安级别较高的区域 2 外部网络应安插在平安级别最低的区域 3 一些可对外部提供有条件服务的网络应安插在平安级别中等的dmz区具体来说，trust所属接口用于连接用户要呵护的网络；untrust所属接口连接外部网络；dmz区所属接口连接用户向外部提供服务的部份网络；从防火墙设备自己发起的连接即是从local区域发起的连接.相应的所有对防火墙设备自己的访问都属于向local区域发起访问连接.区域之间的关系如下图所示：3. 入方向与出方向分歧级另外平安区域间的数据流动都将激发防火墙进行平安战略的检查，而且可以为分歧流动方向设置分歧的平安战略.域间的数据流分两个方向： 1 入方向（inbound）：数据由初级另外平安区域向高级另外平安区域传输的方向； 2 出方向（outbound）：数据由高级另外平安区域向初级另外平安区域传输的方向. 在secpath防火墙上，判断数据传输是出方向还是入方向，总是相对高平安级另外一侧而言.根据上图所示，可以获得如下结论： 1 从dmz区到untrust区域的数据流为出方向，反之为入方向； 2 从trust区域到dmz区的数据流为出方向，反之为入方向； 3 从trust区域到untrust区域的数据流为出方向，反之为入方向. 路由器上数据流动方向的判定是以接口为主：由接口发送的数据方向称为出方向；由接口接收的数据方向称为入方向.这也是路由器有别于防火墙的重要特征. 在防火墙中，当报文从高优先级区域向低优先级区域发起连接时，即从trust区域向untrust区域和dmz区发起数据连接，或dmz区域向untrust区域发起连接时，必需明确配置缺省过滤规则. 由防火墙本地（local区域）发起或终止的报文不进行状态检测，这类报文的过滤由包过滤机制来完成. 2.1.3 平安区域的配置平安区域的配置包括：创立平安区域并进入平安区域视图配置平安区域的平安优先级配置平安区域的隶属接口进入域间视图 1. 创立平安区域并进入平安区域视图系统缺省保管四个平安区域：本地域域（local）、受信区域（trust）、非军事化区（dmz）和非受信区域（untrust），这四个区域无需创立也不能删除. 创立新的平安区域时，需要使用name关键字；进入保管的或已建立的平安区域视图时则不需要使用该关键字. 请在系统视图下进行下列配置.缺省情况下，系统预界说了四个平安区域，即local、trust、dmz和untrust区域.系统最年夜支持16个平安区域（包括四个保管的区域）. 2. 配置平安区域的平安优先级只能为用户自己创立的平安区域才华配置平安优先级.系统保管四个平安区域本地域域（local）、受信区域（trust）、非军事化区（dmz）和非受信区域（untrust）的平安优先级分别是100、85、50和5，优先级不成以重新配置.同一系统中，两个平安区域不允许配置相同的平安优先级. 请在平安区域视图下进行下列配置.缺省情况下，用户自界说的平安区域优先级为0.平安区域优先级一旦设定后，不允许再更改. 3. 配置平安区域的隶属接口除local区域以外，使用其他所有平安区域时需要将平安区域分别与防火墙的特定接口相关联，即需要将接口加入到区域.该接口既可以是物理接口，也可以是逻辑接口.可屡次使用该命令为平安区域指定多个接口，一个平安区域能够支持的最年夜接口数量为1024. 请在平安区域视图下进行下列配置.缺省情况下，平安区域中不包括任何接口，所有隶属关系都需要通过该add interface命令手工配置. 4. 进入域间视图当数据流在平安区域之间流动时，才会激发secpath防火墙进行平安战略的检查，即secpath防火墙的平安战略实施都是基于域间（例如untrust区域和trust区域之间）的，分歧的区域之间可以设置分歧的平安战略（例如包过滤战略、状态过滤战略等等）.因此，为了在区域间设置分歧的平安战略，第一步就是要进入域间视图. 进入域间视图后的平安战略的设置将在后文的各章中逐一介绍. 请在系统视图下进行下列配置.2.1.4 平安区域的显示与调试在完成上述配置后，在所有视图下执行display命令可以显示平安区域的配置情况，通过检查显示信息验证配置的效果.2.1.5 平安区域的典范配置举例 1. 组网需求某公司以secpath防火墙作为网络边防设备，设置三个平安区域：公司内部网络布置在trust区域，secpath防火墙的以太网口ethernet 0/0/0与之相连；公司对外提供服务的www server、ftp server等布置在dmz区，secpath防火墙的以太网口ethernet 1/0/0与之相连；外部网络则属于untrust区域，由secpath防火墙的以太网口ethernet 2/0/0连接. 现需要对防火墙进行一些基本配置，以为后面的平安战略的设置做好准备. 2. 组网图 3. 配置步伐 # 配置防火墙接口ethernet 0/0/0. [secpath] interface ethernet 0/0/0 [secpath-ethernet0/0/0] ip address 192.168.1.1 255.255.255.0 [secpath-ethernet0/0/0] quit # 配置防火墙接口ethernet 1/0/0. [secpath] interface ethernet1/0/0 [secpath-ethernet1/0/0] ip address 202.1.0.1255.255.0.0 [secpath-ethernet1/0/0] quit # 配置防火墙接口ethernet 2/0/0. [secpath] interface ethernet 2/0/0 [secpath-ethernet2/0/0] ip address 210.78.245.1255.255.255.0 [secpath-ethernet2/0/0] quit # 配置接口ethernet 0/0/0加入防火墙trust区域. [secpath] firewall zone trust [secpath-zone-trust] add interface ethernet0/0/0 [secpath-zone-trust] quit # 配置接口ethernet 1/0/0加入防火墙dmz域. [secpath] firewall zone dmz [secpath-zone-dmz] add interface ethernet 1/0/0 [secpath-zone-dmz]quit # 配置接口ethernet2/0/0加入防火墙untrust区域. [secpath] firewall zone untrust [secpath-zone-untrust] add interface ethernet 2/0/0 [secpath-zone-untrust] quit # 进入域间视图（例如进入trust和untrust的域间视图）准备配置平安战略（注：平安战略的配置后文各章讲述，本处不进行举例）. [secpath] firewall interzone trustuntrust [secpath-interzone-trust-untrust]。

h3c web防火墙怎么样设置h3c web防火墙一：还要开启aspf，并应用于出接口，具体操作如下：防火墙管理----aspf----创建一个aspf策略1，勾选http，如下图，应用：进’接口策略”，按下图配置：再访问禁了的网站就打不开了。

h3c web防火墙二：商务最低：u200-a 自带6个千兆电口，两个扩展插槽;再配一个2光口的插槽，完全满足标书要求。

由于业界所有厂商的防火墙在官网都没有软件参数，所以如果不是自己运作的项目，要去冲标的话像吞吐量和并发连接数之类的东西可以不用考虑，所有的网安产品只需要考虑接口数就ok 了h3c web防火墙设置三：如果全都上不网。

那你就要看这个规则默认是不是deny，如果是允许，再看规则的范围，和规则本身，最后在看哈应用的端口。

如果检查没有什么问题，那最好重新来。

先确认网络正常，再用防火墙，测试网络通了，再设规则。

相关阅读：防火墙主要类型网络层防火墙网络层防火墙可视为一种 ip 封包过滤器，运作在底层的tcp/ip协议堆栈上。

我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙(病毒除外，防火墙不能防止病毒侵入)。

这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。

我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。

操作系统及网络设备大多已内置防火墙功能。

较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 ip地址、来源端口号、目的 ip 地址或端口号、服务类型(如http 或是 ftp)。

也能经由通信协议、ttl 值、来源的网域名称或网段...等属性来进行过滤。

应用层防火墙应用层防火墙是在 tcp/ip 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 ftp 时的数据流都是属于这一层。

应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。

H3C防火墙配置说明华三通信技术所有侵权必究All rights reserved相关配置方法：配置OSPF验证从安全性角度来考虑，为了避免路由信息外泄或者对OSPF路由器进行恶意攻击，OSPF提供报文验证功能。

OSPF路由器建立邻居关系时，在发送的报文中会携带配置好的口令，接收报文时进行密码验证，只有通过验证的报文才能接收，否则将不会接收报文，不能正常建立邻居。

要配置OSPF报文验证，同一个区域的所有路由器上都需要配置区域验证模式，且配置的验证模式必须相同，同一个网段的路由器需要配置相同的接口验证模式和口令。

表1-29 配置OSPF验证提高IS-IS 网络的安全性在安全性要求较高的网络中，可以通过配置IS-IS 验证来提高IS-IS网络的安全性。

IS-IS 验证特性分为邻居关系的验证和区域或路由域的验证。

配置准备在配置IS-IS 验证功能之前，需完成以下任务：•配置接口的网络层地址，使相邻节点网络层可达 •使能IS-IS 功能配置邻居关系验证配置邻居关系验证后，验证密码将会按照设定的方式封装到Hello 报文中，并对接收到的Hello 报文进行验证密码的检查，通过检查才会形成邻居关系，否则将不会形成邻居关系，用以确认邻居的正确性和有效性，防止与无法信任的路由器形成邻居。

两台路由器要形成邻居关系必须配置相同的验证方式和验证密码。

表1-37 配置邻居关系验证操作命令说明配置邻居关系验证方式和验证密码isis authentication-mode{ md5 | simple}[ cipher ] password [ level-1 | level-2 ] [ ip |osi ]必选缺省情况下，接口没有配置邻居关系验证，既不会验证收到的Hello报文，也不会把验证密码插入到Hello报文中参数level-1和level-2的支持情况和产品相关，具体请以设备的实际情况为准必须先使用isis enable命令使能该接口才能进行参数level-1和level-2的配置。

h3c防火墙怎么样设置好呢h3c防火墙设置方法一：配置http服务器使能http服务器secpath系列安全产品支持以http方式登录到系统中，并通过web管理界面对系统进行配置和管理。

在使用web界面登录到系统前，必须先使能http服务器功能。

请在系统视图下进行下列配置。

使能/关闭http服务器使能http服务器undo ip http shutdown关闭http服务器ip http shutdown缺省情况下，系统使能http服务器。

仅当登录用户具有telnet的服务类型时(service-type telnet)，才允许登录http服务器，且不同等级的用户在web界面中的可配置项也会不同。

h3c防火墙设置方法二：不需要把网段分开，除非你的ip不够用因此，按你的要求，3个部分，只需要分3个ip段就可以，例如：行政部：100-139，财务部：140-179，业务部：180-119，并在防火墙设置分组上网权限在防火墙上绑定每部电脑的网卡mac和ip，再给每个组设置规则h3c防火墙设置方法三：首先得确定内网里有到服务器外网地址的路由，还有服务器到内网地址的路由。

如果有路由直接在web界面里选防火墙----域间关系，加上一条原域服务器b所在的域目的域内网域源ip 服务器bip 目的ip 内网ip 端口允许通过的端口动作permit 然后使能，加一条原域内网域到服务器 b 所在域permit 的就可以了相关阅读：h3c软件介绍秉承“融合、智能、开放”的it管理理念，华三通信推出基于imc智能管理中心统一平台的全系列产品和解决方案，为客户提供端到端的管理业务流程，实现了业务、资源和用户的深度融合管理，使客户真正做到了“精细it、智能掌控”。

作为h3c ngip战略的重要组成部分，华三通信业务软件产品依托开放架构，以业务为导向，实现智能融合和协同联动，将各个业务模块进行端到端整合，提供端到端的精细化业务管理：数据中心管理领域，提供一体化、可视化的基础设施管理，虚拟化、自动化的资源管理，多纬度、新模型的应用和流量管理，规范化、可衡量的it运维流程管理，为数据中心资源的动态调配、最优化利用提供了保障;基础承载网络管理领域，提供从分级分权的基础资源管理，全面、易部署的终端准入控制，端到端的业务部署，可视化的流量性能优化以及可灵活定义的业务报表展示，确保基础承载网络的高效、可靠。

H3C防⽕墙基本配置防⽕墙基础配置# 修改设备名称sysname KL_HC_JT_FW_01# 账号密码修改以及服务权限local-user admin class managepassword simple KLL!@#2021service-type ssh terminal httpsauthorization-attribute user-role level-3authorization-attribute user-role network-adminauthorization-attribute user-role network-operatorpassword-control login-attempt 10 exceed lock-time 30# 开启远程ssh，关闭telnetssh server enableundo telnet server enable# 远程登录⾝份认证line vty 0 4authentication-mode schemeuser-role network-admin# 开启web界⾯登录ip https enableundo ip http enable# 开启lldplldp global enable# 配置管理⼝地址,如果出现故障可以直连管理⼝登录防⽕墙security-zone name Managementimport interface GigabitEthernet 1/0/1quit# 配置地址interface GigabitEthernet1/0/11ip address 192.168.0.1 24undo shutdown# 防⽕墙安全策略配置# 允许local到所有区域security-policy ip # IP策略rule 1 name local-any # 序号1，名称local-anyaction pass # 动作pass允许通过logging enable # 记录⽇志source-zone Local # 源安全区域destination-zone Any # ⽬的安全区域rule 2 name trust-untrust # 序号2action pass # 动作pass允许通过logging enable # 记录⽇志source-zone trust # 源安全区域destination-zone untrust # ⽬的安全区域# 移动安全区域顺序move rule rule-id before insert-rule-id # 移动安全策略到哪条安全策略之前# 保存配置save f。

h3c防火墙配置教程H3C防火墙是一种常见的网络安全设备，用于保护企业网络免受恶意攻击和未经授权的访问。

通过配置H3C防火墙，可以实现对网络流量进行监控和管理，提高网络的安全性和稳定性。

下面将为您介绍H3C防火墙的配置教程。

首先，我们需要连接到H3C防火墙的管理界面。

可以通过网线将计算机连接到防火墙的管理口上。

然后，打开浏览器，输入防火墙的管理IP地址，登录到防火墙的管理界面。

登录成功后，我们可以开始配置防火墙的策略。

首先，配置入方向和出方向的安全策略。

点击“策略”选项卡，然后选择“安全策略”。

接下来，我们需要配置访问规则。

点击“访问规则”选项卡，然后选择“新增规则”。

在规则配置页面，我们可以设置源地址、目的地址、服务类型等规则条件。

除了访问规则，我们还可以配置NAT规则。

点击“NAT规则”选项卡，然后选择“新增规则”。

在规则配置页面，我们可以设置源地址、目的地址、服务类型等规则条件，并设置相应的转换规则。

配置完访问规则和NAT规则后，我们还可以进行其他配置，如VPN配置、远程管理配置等。

点击对应的选项卡，然后根据实际需求进行配置。

配置完成后，我们需要保存配置并生效。

点击界面上的“保存”按钮，然后点击“应用”按钮。

防火墙将会重新加载配置，并生效。

最后，我们需要进行测试，确保防火墙的配置可以实现预期的效果。

可以通过给防火墙配置规则的源地址发送网络流量进行测试，然后查看防火墙是否根据配置对流量进行了相应的处理。

总结起来，配置H3C防火墙需要连接到防火墙的管理界面，配置安全策略、访问规则、NAT规则等，保存配置并生效，最后进行测试。

通过这些步骤，可以配置H3C防火墙以提高网络的安全性和稳定性。

希望以上的H3C防火墙配置教程对您有所帮助。

如果还有其他问题，可以随时向我提问。

h3c防火墙如何配置h3c防火墙配置好不好会影响到我们机器的使用，那么h3c防火墙该怎么样配置呢?下面由店铺给你做出详细的h3c防火墙配置介绍!希望对你有帮助!h3c防火墙配置一：ACL number ACL规则2000-2999 普通ACL规则 3000-3999 高级ACL规则所以你写2000也可以写2001也可以这个是你自己定义的普通不带端口定义高级可以既3000-3999规则可以带端口定义rule(策略)permit(准许)source (源地址)IP 反掩码NAT outbound 就是NAT方向为出方向应用的ACL规则是2001 整个意思就在接口下做NAT，方向是出。

准许的网段是192.168.2.0/24h3c防火墙配置二：int e3/0/0 接口界面下配置 ip addess 地址掩码 ;int e4/0/0 接口界面下配置 ip addess 192.168.2.254 24系统视图下配置ip route-static 0.0.0.0 0.0.0.0 下一跳地址(公网网关地址)ACL number 2001rule permit source 192.168.2.0 0.0.0.255返回接口E4/0/0下nat outbound 2001h3c防火墙配置三：这组网很简单。

1，首先。

你将防火墙作为出口设备，配置好外网。

接着下挂一个三层交换机，把业务网关(每个县pc的网关)放在这个三层交换机上，作为数据转发。

三层交换机上连防火墙，配置好路由就可以。

这个方案就是说把数据交换的核心放在交换机上，减少防火墙数据压力(防火墙背板带宽不如交换机大)。

2，防火墙下挂的交换机可以用二层或者三层，业务网关放在防火墙上，前提是你下面数据交换少相关阅读：h3c无线简介随着移动互联网趋势加快以及智能终端的快速普及，WLAN应用需求在全球保持高速增长态势。

华三通信作为业界领先的一体化移动网络解决方案提供商，自产品推出以来，稳步增长。

3. 配置步骤(1) 2630的配置#sysname Quidway#ike local-name client# //由于2630要与SecPath1与SecPath2都建立GRE连接，所以需要建立两个ike协商ike peer 1 //ike对等体的名字为1exchange-mode aggressivepre-shared-key 1 //配置身份验证字为1id-type name //使用name方式作为ike协商的ID类型remote-name 1 //指定对端的name，也就是SecPath1的nameremote-address 2.1.1.2 //指定对端的IP地址nat traversal#ike peer 2 //第二个ikeexchange-mode aggressivepre-shared-key 1id-type nameremote-name 2remote-address 3.1.1.2nat traversal#ipsec proposal 1 //配置一个安全提议，使用默认的安全提议参数#ipsec policy 1 1 isakmp //使用IKE创建第一个安全策略，第一个1是安全策略组的名字，第二个1是安全策略的序列号security acl 3000 //引用访问控制列表3000ike-peer 1 //引用ike对等体1，注意1是ike对等体的名字，而不是编号proposal 1 //引用安全提议1#ipsec policy 1 2 isakmp//使用IKE创建第二个安全策略，安全策略组的名字为1security acl 3001ike-peer 2proposal 1#controller T1 2/0#controller T1 2/1#interface Virtual-Template1 //l2tp配置使用虚拟模板用于配置动态创建的虚接口的参数ip address 172.31.4.1 255.255.255.0#interface Aux0async mode flowlink-protocol ppp#interface Dialer1 //创建一个共享式拨号接口1link-protocol ppp //拨号接口封装的链路层协议为PPPmtu 1450ip address ppp-negotiate //拨号接口的地址采用PPP协商方式得到dialer user test //配置呼叫对端的用户dialer bundle 1 //创建拨号接口池1ipsec policy 1#interface Ethernet0/0pppoe-client dial-bundle-number 1 //pppoe client配置在以太网接口上配置，也可以在virtual-ethernet上配置，此配置是配置pppoe会话，一个拨号接口对应创建一个pppoe会话#interface Tunnel0ip address 6.1.1.3 255.255.255.0source 192.168.0.4destination 192.168.0.1ospf cost 100#interface Tunnel1ip address 7.1.1.3 255.255.255.0source 192.168.0.4destination 192.168.0.2ospf cost 99#interface NULL0#interface LoopBack0 //这里配置loopback解决的目的是为了给tunnel接口配置源ip地址ip address 192.168.0.4 255.255.255.255#acl number 3000rule 0 permit ip source 192.168.0.4 0 destination 192.168.0.1 0acl number 3001rule 0 permit ip source 192.168.0.4 0 destination 192.168.0.2 0#ospf 1area 0.0.0.0network 6.1.1.0 0.0.0.255network 7.1.1.0 0.0.0.255network 172.31.4.0 0.0.0.255#ip route-static 0.0.0.0 0.0.0.0 Dialer 1 preference 60#user-interface con 0user-interface aux 0user-interface vty 0 4#return(2)3640的配置#sysname Quidway#ike local-name client#ike peer 1exchange-mode aggressivepre-shared-key 1id-type nameremote-name 1remote-address 2.1.1.2nat traversal#ike peer 2exchange-mode aggressivepre-shared-key 1id-type nameremote-name 2remote-address 3.1.1.2nat traversal#ipsec proposal 1#ipsec policy 1 1 isakmpsecurity acl 3000ike-peer 1proposal 1#ipsec policy 1 2 isakmpsecurity acl 3001ike-peer 2proposal 1#interface Virtual-Template1ip address 172.31.3.1 255.255.255.0 #interface Aux0async mode flowlink-protocol ppp#interface Dialer1link-protocol pppppp pap local-user 1 password simple 1 mtu 1450ip address ppp-negotiatedialer user testdialer bundle 1ipsec policy 1#interface Ethernet2/0pppoe-client dial-bundle-number 1#interface Ethernet2/1#interface Ethernet3/0#interface Serial0/0link-protocol ppp#interface Serial0/1clock DTECLK1link-protocol ppp#interface GigabitEthernet1/0#interface Tunnel0ip address 4.1.1.3 255.255.255.0source 192.168.0.3destination 192.168.0.1ospf cost 100#interface Tunnel1ip address 5.1.1.3 255.255.255.0source 192.168.0.3destination 192.168.0.2ospf cost 99#interface Tunnel9#interface NULL0#interface LoopBack0ip address 192.168.0.3 255.255.255.255#acl number 3000rule 0 permit ip source 192.168.0.3 0 destination 192.168.0.1 0 acl number 3001rule 0 permit ip source 192.168.0.3 0 destination 192.168.0.2 0 #ospf 1area 0.0.0.0network 4.1.1.0 0.0.0.255network 5.1.1.0 0.0.0.255network 172.31.3.0 0.0.0.255#ip route-static 0.0.0.0 0.0.0.0 Dialer 1 preference 60#user-interface con 0user-interface aux 0user-interface vty 0 4#return。