交换机端:配置trunk
路由器端:
[RTA]interface GigabitEthernet0/0/1、1 ;定义子接口
[RTA-GigabitEthernet0/0/1、1]dot1q termination vid 2 。分配VLAN
[RTA-GigabitEthernet0/0/1、1]ip address 192、168、2、254 24 ;配置网关 [RTA-GigabitEthernet0/0/1、1]arp broadcast enable 。开启ARP广播 59、三层交换实现VLAN间路由
2层+路由器 路由配虚拟portvlan 与网关
[SWA]interface vlanif 2 ; 2同相关VLAN号
[SWA-Vlanif2]ip address 192、168、2、254 24 ;网关PS:该地址不能在其她VLAN网段中出现
复杂模式:三层接二层(带管理)
中间设置成trunk,三层也要建与二层相关VLAN。int vlanif放在三层上。
第一十四章 交换机port技术 63链路聚合(手工模式)
[SWA]interface Eth-Trunk 1
[SWA-Eth-Trunk1]interface GigabitEthernet0/0/1
[SWA-GigabitEthernet0/0/1]eth-trunk 1
[SWA-GigabitEthernet0/0/1]interface GigabitEthernet0/0/2 [SWA-GigabitEthernet0/0/2]eth-trunk 1 dis eth-trunk 1 ;查瞧链路
PS: trunkport下做链路聚合方法:先做链路聚合,然后在int eth-trunk 数字下做Trunk 72、防火墙技术
依照防火墙实现得方式。一般把防火墙分为例如以下几类:
包过滤防火墙:简单。每一个包都要检查。缺乏灵活性。策略多影响性能 代理型防火墙:安全,但不方便,针对性强(http代理)。不通用 状态检測防火墙:基于连接状态,结合以上2种防火墙得长处
仅仅防网络层与传输层。不防应用层(比方站点漏洞)。 防外不防内; 防火墙得安全区域:
Local(100网网)----Trust(85外网) -----DMZ(50WEBserver) 高能够訪问低,低不能够訪问高
配置思路
配置安全区域与安全域间。
将接口增加安全区域。 配置ACL。
在安全域间配置基于ACL得包过滤。 1、在AR2200上配置安全区域与安全域间 system-view
[Huawei] firewall zone trust [Huawei-zone-trust] priority 15 [Huawei-zone-trust] quit
[Huawei] firewall zone untrust [Huawei-zone-untrust] priority 1 [Huawei-zone-untrust] quit
[Huawei] firewall interzone trust untrust 。配置(进入)域间
[Huawei-interzone-trust-untrust] firewall enable 。开启该域间得防火墙 [Huawei-interzone-trust-untrust] quit 2、在AR2200上将接口增加安全区域
int gi0/0/1
zone OUTSIDE ;相关接口增加到相关区域(华为防火墙:假设不增加得话。与之相连得PC不能訪问该port,与路由有差别) PS:以上另外等价方法
firewall zone trust ;进入相关区域 add int gi0/0/1 。增加相关port
PS: dis firewall session all ;查瞧防火墙得全部会话信息 3、在AR2200上配置ACL (同意外网能够telnet内网)
acl 3001
rule permit tcp destination 192、168、1、100 0 destination-port eq 23 ;同意telnet
firewall interzone INSIDE OUTSIDE 。进入相关域间 packet-filter 3001 inbound;应用相关acl FTP得主动(FTP本身),被动(client)模式
内网訪问外网主动模式(PORT)不能传数据(经常外网訪问不了,FTP下载软件要改成被动模式),但被动模式(PASV)能够訪问
ASPF配置工作在应用层,检測http、FTP等,能够为这些协议打开放行通道 firewall interzone INSIDE OUTSIDE;进入到相关区域 detect aspf all ;开启检測
相关推荐:
loading