路由器防火墙交换机配置案例

三层交换机路由配置一、三层交换机VLAN间路由建立某公司有两个主要部门：技术部和销售部，分处于不同的办公室，为了安全和便于管理对两个部门的主机进行了VLAN划分，技术部和销售部分处于不同VLAN。

现由于业务需要销售部和技术部的主机能够相互访问，获得相应资源，两个部门的交换机通过一台三层交换机进行连接。

在交换机上建立2个Vlan：Vlan10分配给技术部及Vlan20分配给销售部。

为了实现两部门的主机能够相互访问，在三层交换机上开启路由功能，并在Vlan10中设置IP地址为192.168.10.1；在Vlan20中设置IP地址为192.168.20.1，查看三层交换机路由表，会发现在三层交换机路由表内有2条直连路由信息，实现在不同网络之间路由数据包，从而达到2个部门的主机可以相互访问，拓朴图如图所示。

第1步：开启三层交换机路由功能Switch#configure terminalSwitch(config)#hostname s3550S3550(conifg)#ip routing第2步：建立Vlan，并分配端口S3550(conifg)#vlan 10S3550(config-vlan)#name salesS3550(config-vlan)#exitS3550(conifg)#vlan 20S3550(config-vlan)#name technicalS3550(config-vlan)#exitS3550(conifg)#S3550(conifg)#interface fastethernet 0/10S3550(conifg-if)#switchport mode accessS3550(conifg-if)#switchport access vlan 10S3550(conifg-if)#exitS3550(conifg)# interface fastethernet 0/20S3550(conifg-if)#switchport mode accessS3550(conifg-if)#switchport access vlan 20S3550(config-vlan)#exitS3550(config)#第3步：配置三层交换机端口的路由功能S3550(config)#interface vlan 10S3550(conifg-if)#ip address 192.168.10.1 255.255.255.0 S3550(conifg-if)#no shutdownS3550(conifg-if)#exitS3550(config)#interface vlan 20S3550(conifg-if)#ip address 192.168.20.1 255.255.255.0S3550(conifg-if)#no shutdownS3550(conifg-if)#endS3550#第4步：查看路由表S3550#show ip route第5步：测试三层交换机Vlan间路由功能二、三层交换机与路由器间静态路由的建立某校园局域网由若干台交换机构成，现学校需要将校园网接入互联网，学校在出口使用一台路由器连接互联网。

2综合配置案例关于本章2.1 中小型园区/分支出口综合配置举例2.2 大型园区出口配置示例（防火墙直连部署）2.3 大型园区出口配置示例（防火墙旁路部署）2.4 校园敏捷网络配置示例2.5 轨道交通承载网快速自愈保护技术配置举例2.6 配置交换机上同时部署ACU2和NGFW的示例2.1 中小型园区/分支出口综合配置举例园区网出口简介园区网出口一般位于企业网内部网络与外部网络的连接处，是内部网络与外部网络之间数据流的唯一出入口。

对于中小型企业来说，考虑到企业网络建设的初期投资与长期运维成本，一般希望将多种业务部署在同一设备上。

企业网络用户一般同时需要访问Internet和私网VPN，而对于中小型企业来说考虑到建设及维护成本问题，一般租用运营商Internet网络组建私网VPN。

对于部分可靠性要求较高的园区网络，一般考虑部署两台出口路由器做冗余备份实现设备级可靠性，同时应用链路聚合、VRRP、主备路由等技术保证园区出口的可靠性。

华为AR系列路由器配合华为S系列交换机是中小型园区网出口设备的理想解决方案。

l园区出口设备需要具备NAT Outbound及NAT Server的功能，实现私网地址和公网地址之间的转换，以满足用户访问Internet或者Internet用户访问内网服务器的需求。

l园区出口设备需要具备通过Internet构建私网VPN的功能，以满足企业用户各个机构之间私网VPN互通的需求。

l园区出口设备需要具备数据加密传输的功能，以保证数据的完整性和机密性，保障用户业务传输的安全。

l中小型园区出口需要具备可靠性、安全性、低成本、易维护等特点。

配置注意事项l本配置案例适用于中小型企业园区/分支出口解决方案。

l本配置案例仅涉及企业网络出口相关配置，涉及企业内网的相关配置请参见华为S 系列园区交换机快速配置中的“中小园区组网场景”。

组网需求某企业总部和分支分别位于不同的城市，地域跨度较远，总部存在A、B两个不同的部门，分支只有一个部门。

H3C-配置案例大全-（内部分享）光纤链路排错经验一、组网：用户采用4台S5500作为接入交换机、1台S5500作为核心交换机组网，4台接入交换机分别在三个仓库以及门卫处与核心机房都是通过2根八芯单模光纤走地井连接，在这5个机房再通过跳纤来连接到交换上。

用户要求实现内网的用户主机访问公共服务器资源，并实现全网互通。

组网如下图所示：二、问题描述：PC现无法访问server服务器，进一步发现S5500光纤端口灯不亮，端口信息显示down状态。

在核心交换机端通过自环测试发现该端口以及光模块正常，接入交换机端也同样测试发现正常。

监控网络正常使用，再将网络接口转接到监控主干链路上，发现网络同样无法正常使用。

三、过程分析：想要恢复链路，首先要排查出故障点，根据故障点情况结合实际恢复链路通畅。

在这里主要分析光纤通路，光信号从接入交换机光口出来通过跳线，转接到主干光纤，然后再通过核心跳线转接到核心交换上。

由于该链路不通，首先要排除两端接口以及光模块问题，这里使用自环检测(如果是超远距离传输光纤线缆需要接光衰然后在自环，防止烧坏光模块)。

当检测完成发现无问题，再测试接入端的光纤跳纤：如果是多模光纤可以将一端接到多模光纤模块的tx口，检测对端是否有光；单模光纤如果没有光功率计可以使用光电笔检测(该方法只能检测出中间无断路，并不能检测出线路光衰较大的情况)。

最后再检测主线路部分，检测方式同跳线一样。

光路走向流程如图所示：四、解决方法：从上述的分析可以看出，只要保证了光信号一出一收两条路径都能正常就可以解决用户无法访问服务器的问题。

为了保证光路正常通路，最好的解决方法就是，通过使用光功率计来检测对端发射光在本端的光功率是否在光口可接受范围内。

由于用户组网使用了一些监控设备来接入该主干光缆，并且该光路现正常使用，通过将网络光纤转接到该监控主干光缆，发现网络光路仍然不通；并且两端端口自环检测正常。

由此可以判断出主要问题在两端的跳纤上。

路由与交换--路由器常⽤配置及其实验案例1 路由器常⽤配置命令1.1 路由信息协议 RIP（Routing Information Protocol ）可以通过不断的交换信息让路由器动态的适应⽹络连接的变化。

同⼀ AS 中的路由器每 30s 与相邻的路由器交换⼦信息，以动态的建⽴路由表。

这个过程可以是⼴播，也可以组播。

RIP 协议将“距离”（即“跳数”）定义为：从⼀路由器到直接连接的⽹络的距离定义为 1。

最⼤跳数超过 15 后被认为不可达。

180s 内没更新的路由条⽬被认为不可达，将被删除。

1.2 为接⼝分配 IP 地址、描述端⼝Router>enableRouter#conf tRouter(config)#interface e0Router(config-if)#ip add 192.168.1.1255.255.255.0//设置IP地址和⼦⽹掩码Router(config-if)#no shutdownRouter(config-if)#description to-pc1 //描述端⼝内容为“to-pc1”1.3 为⼀个接⼝分配多个 IP 地址Router(config)#interface e0Router(config-if)#ip add 192.168.1.1255.255.255.0//设置IP地址和⼦⽹掩码Router(config-if)#ip add 192.168.2.1255.255.255.0 secondary //假设e0接⼝已经分配了192.168.1.1~253，但此时还有主机要加⼊到⽹络中，则在接⼝添加⼀个辅助IP来适应⽹络扩张，此辅助地址指明另⼀个⼦⽹被关联到e0。

2 静态路由配置利⽤本地外出接⼝配置静态路由Router(config)#ip route 10.6.0.0255.255.0.0 s1 //⽬标⽹络⽬标⽹络掩码地址外出接⼝利⽤下⼀跳 IP 地址配置静态路由Router(config)#ip route 10.6.0.0255.255.0.010.5.0.1//⽬标⽹络⽬标⽹络掩码地址下⼀跳地址静态默认路由：转发的 IP 数据包中的⽬的地址找不到对应路由时，路由器就按照所指定的默认路由进⾏转发Router(config)#ip route 0.0.0.00.0.0.010.2.0.1//规定⽤0填充⽬的⽹络和⽬的⽹络掩码，10.2.0.1是指定的下⼀跳地址静态默认⽹络配置：配置⼀条到某个⽹络的路由，将其作为候选默认路由Router(config)#ip default-network 10.2.0.0//10.2.0.0是默认路由的⽹络号ip default-network 只能⽤于有类别的地址，但它⽐ ip route 0.0.0.0 0.0.0.0 更有灵活性，更加适⽤于复杂⽹络。

三层交换机路由配置一、三层交换机VLAN间路由建立某公司有两个主要部门：技术部和销售部，分处于不同的办公室，为了安全和便于管理对两个部门的主机进行了VLAN划分，技术部和销售部分处于不同VLAN。

现由于业务需要销售部和技术部的主机能够相互访问，获得相应资源，两个部门的交换机通过一台三层交换机进行连接。

在交换机上建立2个Vlan：Vlan10分配给技术部及Vlan20分配给销售部。

为了实现两部门的主机能够相互访问，在三层交换机上开启路由功能，并在Vlan10中设置IP地址为192.168.10.1；在Vlan20中设置IP地址为192.168.20.1，查看三层交换机路由表，会发现在三层交换机路由表内有2条直连路由信息，实现在不同网络之间路由数据包，从而达到2个部门的主机可以相互访问，拓朴图如图所示。

第1步：开启三层交换机路由功能Switch#configure terminalSwitch(config)#hostname s3550S3550(conifg)#ip routing第2步：建立Vlan，并分配端口S3550(conifg)#vlan 10S3550(config-vlan)#name salesS3550(config-vlan)#exitS3550(conifg)#vlan 20S3550(config-vlan)#name technicalS3550(config-vlan)#exitS3550(conifg)#S3550(conifg)#interface fastethernet 0/10S3550(conifg-if)#switchport mode accessS3550(conifg-if)#switchport access vlan 10S3550(conifg-if)#exitS3550(conifg)# interface fastethernet 0/20S3550(conifg-if)#switchport mode accessS3550(conifg-if)#switchport access vlan 20S3550(config-vlan)#exitS3550(config)#第3步：配置三层交换机端口的路由功能S3550(config)#interface vlan 10S3550(conifg-if)#ip address 192.168.10.1 255.255.255.0 S3550(conifg-if)#no shutdownS3550(conifg-if)#exitS3550(config)#interface vlan 20S3550(conifg-if)#ip address 192.168.20.1 255.255.255.0S3550(conifg-if)#no shutdownS3550(conifg-if)#endS3550#第4步：查看路由表S3550#show ip route第5步：测试三层交换机Vlan间路由功能二、三层交换机与路由器间静态路由的建立某校园局域网由若干台交换机构成，现学校需要将校园网接入互联网，学校在出口使用一台路由器连接互联网。

第1篇一、实验名称：网络设备调试与配置二、实验目的1. 熟悉网络设备的种类和功能。

2. 掌握网络设备的配置方法。

3. 学习网络故障排除的基本技能。

三、实验内容1. 网络设备种类及功能介绍2. 网络设备配置3. 网络故障排除四、实验器材1. 网络设备：路由器、交换机、网线等。

2. 计算机及操作系统：Windows、Linux等。

3. 网络调试工具：ping、tracert、netstat等。

五、实验步骤1. 网络设备种类及功能介绍（1）路由器：负责将数据包从源地址传输到目的地址，实现不同网络之间的互联。

（2）交换机：根据MAC地址转发数据帧，实现局域网内设备之间的通信。

（3）网线：用于连接网络设备，实现数据传输。

2. 网络设备配置（1）路由器配置1）连接路由器：将计算机通过网线连接到路由器的WAN口。

2）配置IP地址：在计算机上设置IP地址、子网掩码、默认网关等参数。

3）设置DHCP服务器：配置DHCP服务器，为局域网内设备自动分配IP地址。

4）配置NAT：设置NAT功能，实现局域网内设备访问公网。

（2）交换机配置1）连接交换机：将计算机通过网线连接到交换机。

2）配置VLAN：设置VLAN，实现不同VLAN之间的隔离。

3）配置端口安全：设置端口安全，防止未授权设备接入交换机。

3. 网络故障排除（1）使用ping命令测试网络连通性。

（2）使用tracert命令追踪数据包传输路径。

（3）使用netstat命令查看网络连接状态。

（4）根据故障现象，排除网络故障。

六、实验结果与分析1. 网络设备配置成功，计算机可以正常访问互联网。

2. 通过ping命令测试，局域网内设备之间可以互相通信。

3. 通过tracert命令追踪，数据包可以正常到达目的地址。

4. 通过netstat命令查看，网络连接状态正常。

七、实验总结1. 网络设备是计算机网络的重要组成部分，了解网络设备的种类和功能对网络维护和优化具有重要意义。

交换机和路由器基本配置正文：1.介绍本文档旨在提供交换机和路由器的基本配置指南。

通过本文档，读者将能够了解如何进行交换机和路由器的基本配置，以便能够正常运行和管理网络设备。

2.交换机基本配置2.1 连接交换机在进行交换机的基本配置之前，首先需要正确连接交换机。

将交换机与电源和网络中心进行连接，并确保连接稳定。

2.2 登录交换机使用一个终端设备（如电脑）通过串口或网络连接到交换机。

通过终端设备登录交换机的管理界面，输入正确的用户名和密码进行登录。

2.3 配置IP地质在交换机管理界面上，通过命令行方式配置交换机的IP地质。

为交换机分配一个唯一的IP地质，以确保其他设备可以与其进行通信。

2.4 VLAN配置根据网络需求，可以配置不同的虚拟局域网（VLAN）。

通过交换机的管理界面，创建和配置VLAN，为不同的设备和用户分配不同的VLAN。

2.5 STP配置配置树协议（STP）以防止网络环路。

通过交换机的管理界面，启用STP，并进行相应的配置。

2.6 端口配置根据网络需求，对交换机中的端口进行配置。

可以设置端口的速率和双工模式，还可以配置其他功能如端口安全、VLAN绑定等。

3.路由器基本配置3.1 连接路由器连接路由器与电源和网络中心。

确保连接稳定，并正确安装所需的模块和接口。

3.2 登录路由器使用一个终端设备通过串口或网络连接到路由器。

通过终端设备登录路由器的管理界面，输入正确的用户名和密码进行登录。

3.3 配置IP地质在路由器管理界面上，通过命令行方式配置路由器的IP地质。

为路由器分配一个唯一的IP地质，以确保其他设备可以与其进行通信。

3.4 配置接口根据网络需求，配置路由器的接口。

可以配置接口的IP地质和子网掩码，设置接口工作模式和速率。

3.5 配置路由根据网络需求，配置路由器的路由表。

添加静态路由，或者使用路由协议如OSPF或BGP来动态学习和更新路由表。

3.6 配置NAT如果需要，配置网络地质转换（NAT）以允许内部网络使用少量的公共IP地质与外部网络进行通信。

路由交换机综合案例配置，连MPLS、ISIS、路由等都涵盖了案例题目如下：1解题思路拿到任何题目，做任何事情，建议先整理思路，思路出来了，再一步一步去解决就好了。

1、先按给出的拓扑图，搭好ensp环境；2、先配置好各个设备的设备名、router id、直连接口ip、loopback接口ip等。

3、再跟题目配置好相应的路由协议；4、再跟每个需求去完成相应的配置。

2基础配置步骤1-2省略，像这些修改设备名、配置ip地址都是很基础的，若还有不会的，可参考往期其他文章或查阅相关书籍。

（或者点击“阅读原文”，下载配置文件。

）步骤3 配置好相应的路由协议R4和R5运行OSPF，配置如下：R4：R5：配置完，查看一下OSPF邻居表：R1、R2、R3运行IS-IS，R1为level 1，R2为level1-2，R3位level 2. R1配置：R2配置：在R2查看一下ISIS邻接表：3解决需求需求1运行BGP，邻居关系建议如下：R4分别于R5、R1建议邻居关系；R3分别和R1、R6建议邻居关系，R5和R6建立邻居关系。

（R2无任何BGP邻居）R4配置：R1配置：R3配置：R6配置：查看一下BGP邻居情况：R4、R3、R6上查看即可：R1与R3的bgp 邻居还没起来，暂时不用管，再后面的需求里解决。

需求2R6将6.6.6.6/32的路由采用network的方式进入BGP中；R4将10.1.1.1/32的OSPF路由引入到BGP中，并且路由引入时不能引入其他的OSPF路由。

第1个问题，比较简单，照着需求配即可。

第2个问题，使用ACL，再使用route-policy，引入的时候再关联一下route-policy即可。

R6没引入之前，我们先再其他路由器查看一下bgp路由：R5查看：R1查看：R3查看：现在，我们开始在R6配置：我们在其他路由器再次查看bgp路由：接下来，我们来完成R4上OSPF路由引入到BGP中：在R1上查看bgp路由，可以看到收到R4 引入的10.1.1.1/32的OSPF路由，其他OSPF路由没有被引入。

eth5为外网口指定IP为10.0.0.21 eth6为内网口指定IP为10.1.8.254其中外网网关为10.0.0.254，内网网关为
第一步：找根直通线连接VPN默认配置口eth0 192.168.1.254
配置网络管理-接口设置相应eth5 eth6
第二步：添加路由网络管理-路由-添加
添加所有的地址出口为外网出口eth5，从网关10.0.0.254 出去
第三步：资源管理-区域添加两个网口
第四步：
防火墙-访问控制-添加组
第五步：
防火墙-地址转换-添加
任意的10.1.8.0子网访问任意地址，都从eth5出去第六步：
网络管理-dhcp
看需求来添加是否需要自动获取IP
第七步：
系统管理-配置-开放服务
开放添加的两个端口的ping webui,外网开updata 内网开dhcp
到此，从eth6下面链接的电脑都可以自动分配IP（10.1.8.网段），且可以访问局域网内IP。

防火墙配置案例一、场景设定。

假设咱有一个小公司网络，里面有办公电脑、服务器，还有员工们的手机等设备都连着公司的网络。

我们希望做到的是，让内部员工能正常上网办公、访问公司内部服务器，同时防止外面那些不怀好意的网络攻击。

二、防火墙设备选择（简单假设下）我们就选一个常见的企业级防火墙设备，比如某品牌的防火墙，它就像一个网络的大闸门，能决定哪些流量能进来，哪些得被拒之门外。

三、基本配置步骤。

1. 接口配置。

防火墙有好几个接口呢。

我们把连接外部网络（比如互联网）的接口叫做WAN接口，就像房子的大门对着外面的大街一样。

这个接口要配置好公网的IP地址，这是网络世界里别人能找到咱们公司网络的“门牌号”。

然后，还有连接内部办公网络的接口，叫LAN接口。

这个接口的IP地址就设成咱们内部网络的网段，比如说192.168.1.1/24，这就相当于公司内部各个办公室的地址范围。

2. 访问控制策略（ACLs）允许内部员工访问互联网。

我们就像给内部员工发通行证一样，设置一条规则：源地址是内部网络（192.168.1.0/24），目的地址是任何（0.0.0.0/0），端口是常见的80（用于网页浏览）、443（用于安全网页浏览）等，动作是允许。

这就好比告诉防火墙，公司里的小伙伴们想出去看看网页是可以的。

限制外部对内部服务器的访问。

假设公司有个Web服务器，IP地址是192.168.1.10。

我们只希望外部的人能通过80端口（HTTP）和443端口（HTTPS）访问这个服务器。

那我们就设置一条规则：源地址是任何（0.0.0.0/0），目的地址是192.168.1.10，端口是80和443，动作是允许。

其他端口和对内部其他设备的非授权访问都统统拒绝，就像只给来谈生意的人开了特定的会议室门，其他门都锁着不让进。

阻止恶意流量。

比如说，那些来自某些已知的恶意IP地址段的流量，我们就像看到坏蛋就把他们赶跑一样。

设置规则：源地址是那些恶意IP段，目的地址是我们内部网络任何地址，动作是拒绝。