公司新建了一座工厂,我这边采购规划部署配置网络,三条电信1000M下行 100上行的宽带接入华为防火墙,防火墙万兆光口再连接核心交换机万兆口,核心上划分多个VLAN进行管理,刚好从零配置和记录,百人企业全流程界面实战操作。想起自己刚入门学习的时候在整个网上看不到一篇有用的教程,希望借此帮助到那些想使用华为设备的企业IT和网络管理人员。
所有设备均在京东采购
-
首先电脑网线接入防火墙的G0/0/0 口,电脑配置IP地址为192.168.0.10 ,掩码255.255.255.0。然后在电脑浏览器中输入https://192.168.0.1:8443,就可以连接登录华为防火墙配置界面
-
华为防火墙默认的登录用户名为 admin 密码为 [email protected]
-
网络里面,分公司三条拨号上网,我这边分别插到G0/0/1(我的光猫有问题,信息没有配)、G0/0/2 和 G0/0/3,因为三条电信网络现在都是1g下行,一共接入的带宽为3g,为保障宽带利用率最大,所以防火墙连接交换机用万兆的10g AOC。先设置防火墙接交换机光口端口。
-
因为接的是交换机内网,先设置安全区域为trust,静态IP随便设置一个防火墙在内网的IP地址。如防火墙为192.168.199.1,规划核心交换机IP为192.168.199.254。
-
设置接入的拨号上网或者专线的账户密码等信息。拨号上网选择PPPOE填写账户密码,专线选择静态IP填写固定IP和网关地址。接通网络以后就可以看到IP地址,初步设置好了。
-
配置多路的静态路由
先配置三条宽带,目的地址为0.0.0.0/0.0.0.0,出接口为刚刚配置网络的接口地址,比如G/0/0/1 G/0/0/2 G/0/0/3
下一跳为核心交换机地址,请务必记住。
-
勾选 防火墙默认的防病毒策略
-
华为针对固定IP的映射比较简单,但是针对拨号上网必须打开命令行,我列出命令行参考:
nat server 自定义名称 protocol tcp global interface dialer1 5000 5100 inside 192.168.10.13 5000 5100 no-reverse
-
核心交换机配置, 配置核心交换机上的光口(一端连接防火墙),设置该端口放行VLAN199,配置vlan 199,并通过这个VLAN,核心上配置静态路由静态路由:0.0.0.0 0.0.0.0 下一跳为防火墙网关192.168.199.1,至此整个网络就通了,内网可以随意划分配置其他VLAN进行管理。(真正搞网络,华为交换机基础命令必须要掌握的,所以没有零代码)
防火墙X0/0/0接核心上 X0/0/1 光口,用CONSOLE线连接进入核心交换机配置:
dh en #开启DHCP
st ro pri #设置核心为根
vl ba 2 to 20 199 #规划好局域网内需要配置多少业务VLAN,设置199为所有设备的管理VLAN
int vl 199 #进入管理VLAN
ip add 192.168.199.254 24 #设置核心管理地址
q
ip ro 0.0.0.0 0.0.0.0 192.168.199.1
int X0/0/1 #进入核心交换机上设置既然防火墙的光口
po li ac
po de vl 199
q
int vl 2 #设置一个内网2网段的VLAN 2
ip ad 192.168.2.254 24
dh se int
dh se le day 3
de se dns 114.114.114.114 8.8.8.8
int vl 3 #设置一个内网3网段的VLAN 3
ip ad 192.168.3.254 24
dh se int
dh se le day 3
de se dns 114.114.114.114 8.8.8.8
po v2 #创建一个名为v2的组
gr g0/0/1 to g0/0/12 #把交换机上1口到12口加入v2组
po li ac
po de vl 2
q
po v3 #创建一个名为v3的组
gr g0/0/13 to g0/0/24 #把交换机上13口到24口加入v3组
po li ac
po de vl 3
q
sa #保存配置,大功告成!
最后附赠一个公司实例部署的方案,下面的硬件稳定支撑了接近两千多人的网络使用需求,如果需要更高可用 和稳定性 核心层及以上可以使用双链路,当然不是银行等单位没必要使用双链路,个人觉得必要性很低,毕竟华为的交换机性能和稳定性已经非常高了。
