华为交换机综合配置案例-USB迷|专注于互联网分享

2024年1月10日发(作者：濮阳乐安)

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例2关于本章2.1 中小型园区/分支出口综合配置举例2.2 大型园区出口配置示例（防火墙直连部署）2.3 大型园区出口配置示例（防火墙旁路部署）2.4 校园敏捷网络配置示例2.5 轨道交通承载网快速自愈保护技术配置举例2.6 配置交换机上同时部署ACU2和NGFW的示例综合配置案例文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司2

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例2.1 中小型园区/分支出口综合配置举例园区网出口简介园区网出口一般位于企业网内部网络与外部网络的连接处，是内部网络与外部网络之间数据流的唯一出入口。对于中小型企业来说，考虑到企业网络建设的初期投资与长期运维成本，一般希望将多种业务部署在同一设备上。企业网络用户一般同时需要访问Internet和私网VPN，而对于中小型企业来说考虑到建设及维护成本问题，一般租用运营商Internet网络组建私网VPN。对于部分可靠性要求较高的园区网络，一般考虑部署两台出口路由器做冗余备份实现设备级可靠性，同时应用链路聚合、VRRP、主备路由等技术保证园区出口的可靠性。华为AR系列路由器配合华为S系列交换机是中小型园区网出口设备的理想解决方案。l园区出口设备需要具备NAT Outbound及NAT Server的功能，实现私网地址和公网地址之间的转换，以满足用户访问Internet或者Internet用户访问内网服务器的需求。园区出口设备需要具备通过Internet构建私网VPN的功能，以满足企业用户各个机构之间私网VPN互通的需求。园区出口设备需要具备数据加密传输的功能，以保证数据的完整性和机密性，保障用户业务传输的安全。中小型园区出口需要具备可靠性、安全性、低成本、易维护等特点。lll配置注意事项ll本配置案例适用于中小型企业园区/分支出口解决方案。本配置案例仅涉及企业网络出口相关配置，涉及企业内网的相关配置请参见华为S系列园区交换机快速配置中的“中小园区组网场景”。组网需求某企业总部和分支分别位于不同的城市，地域跨度较远，总部存在A、B两个不同的部门，分支只有一个部门。现在需要建设跨地域的企业园区网络，需要实现的需求如下：l总部和分支都需要实现用户访问Internet的需求。总部划分为A、B两个部门，其中A部门的用户可以访问Internet，但是B部门的用户不能访问Internet；分支所有用户都可以访问Internet。总部有Web服务器，对外提供WWW服务，外网用户可以访问内网服务器。总部和分支之间需要通过Internet进行私网VPN互通，通信内容需要有安全保护。总部园区出口可靠性要求较高，需要考虑链路级的可靠性和设备级的可靠性。分支可以适当降低可靠性要求。llll方案介绍根据用户需求，可以给出如图2-1所示的综合配置解决方案，该方案具备层次化、模块化、冗余性、安全性的特点，适用于中小型企业/分支的园区网络部署。文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司3

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例图2-1 中小型园区/分支出口综合配置组网图PC5Eth0/0/2GE0/0/1GE2/0/0PC6打印机3SwitchA企业分支GE1/0/0ARouterCInternetRouterERouterDBC企业总部RouterAEth-Trunk1GE1/0/0GE1/0/0OSPFArea 0RouterBEth-Trunk1Web服务器Eth-Trunk3GE0/0/5VRRP VRID1Eth-Trunk4COREEth-Trunk2Eth-Trunk1Eth-Trunk1Eth-Trunk1ACC1Eth0/0/2部门VLAN 10部门VLAN 20Eth0/0/2ACC2PC1PC2打印机1PC3PC4打印机2

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例lllllllll总部采用双AR出口冗余备份方式，保证设备级的可靠性。分支部署一台AR路由器做出口。总部核心交换机采用两台S5700交换机做堆叠，保证设备级的可靠性。总部接入交换机与核心交换机之间以及核心交换机与出口路由器之间采用Eth-Trunk方式组网，保证链路级的可靠性。总部每个部门业务划分到一个VLAN中，部门间的业务在核心交换机CORE上通过VLANIF三层互通。总部核心交换机作为用户及服务器网关，部署DHCP Server为用户分配IP地址。分支用户的网关直接部署在出口路由器上。总部两个出口路由器之间部署VRRP，保证可靠性。总部和分支之间通过Internet构建IPSec VPN进行私网互通，同时保证数据传输的安全性。总部两台出口路由器和核心交换机之间部署OSPF，用于发布用户路由，便于后期扩容及维护。配置思路采用如下思路部署中小型园区/分支出口综合配置举例：1.部署总部及分支园区内网总部：部署堆叠、链路聚合，配置各VLAN及IP地址、部署DHCP Server，实现园区内网互通。部门内部通过接入层交换机进行二层互通，部门间通过核心交换机CORE上的VLANIF进行三层互通。分支：配置接入层交换机及出口路由器的各接口VLAN及IP地址，部署DHCPServer，实现分支园区内网互通。2.部署VRRP为了保证总部核心交换机与两个出口路由器之间的可靠性，在两个出口路由器之间部署VRRP，VRRP的心跳报文经过核心交换机进行交互。RouterA为Master设备，RouterB为Backup设备。为了防止总部RouterA上行链路故障的时候业务断流，将VRRP状态与RouterA的上行口进行联动，保证上行链路故障时VRRP进行快速倒换。3.部署路由为了引导各设备的上行流量，在总部核心交换机上配置一条缺省路由，下一跳指向VRRP的虚地址，在总部及分支的出口路由器上各配置一条缺省路由，下一跳指向运营商网络设备的对接地址（公网网关）。为了引导总部两个出口路由器的回程流量，在两个出口路由器和核心交换机之间部署OSPF，核心交换机上将所有用户网段发布到OSPF里面，通告给两个出口路由器。为了引导外网用户访问Web服务器的流量，需要在总部的运营商路由器上配置两条目的地址为服务器公网地址的静态路由，下一跳分别指向两个出口路由器的上行口IP地址。并且为了保证路由和VRRP同步切换，设置下一跳为RouterA的这条路由优先，当这条路由失效的时候下一跳指向RouterB的路由生效。4.部署NAT Outbound为了使内网用户访问Internet，在两台出口路由器的上行口配置NAT，实现私网地址和公网地址之间的转换。通过ACL匹配A部门的源IP地址，从而实现A部门的用户可以访问Internet，而B部门的用户不能访问Internet。 Server华为专有和保密信息版权所有 © 华为技术有限公司5文档版本 13 (2017-01-10)

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例为了实现外网用户访问内网Web服务器，在两个出口路由器的上行口上配置NATServer，实现服务器公网地址和私网地址之间的映射。6.部署IPSec VPN为了实现总部和分支之间进行私网VPN互通，在总部出口路由器和分支出口路由器之间部署IPSec VPN，通过Internet构建IPSec VPN，实现总部和分支之间的安全通信。说明部署总部及分支园区内网所涉及的配置不在本例中给出，请参见华为S系列园区交换机快速配置中的“中小园区组网场景”。数据规划详细的数据规划如表2-1、表2-2、表2-3所示。表2-1 链路聚合接口规划设备RouterA聚合接口Eth-trunk1物理接口GE2/0/0GE2/0/1RouterBEth-trunk1GE2/0/0GE2/0/1COREEth-trunk1GE0/0/1GE1/0/1Eth-trunk2GE0/0/2GE1/0/2Eth-trunk3GE0/0/3GE1/0/3Eth-trunk4GE0/0/4GE1/0/4ACC1Eth-trunk1GE0/0/1GE0/0/2ACC2

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例表2-2 VLAN规划设备RouterA数据项Eth-trunk1.100：配置Dot1q终结子接口，终结VLAN100Eth-trunk1.100：配置Dot1q终结子接口，终结VLAN100Eth-trunk1：Trunk类型，透传VLAN10Eth-trunk2：Trunk类型，透传VLAN20GE0/0/5：Access类型，缺省VLAN为VLAN30Eth-trunk3：Trunk类型，透传VLAN100Eth-trunk4：Trunk类型，透传VLAN100ACC1Eth-trunk1：Trunk类型，透传VLAN10Ethernet0/0/2：Access类型，缺省VLAN为VLAN10ACC2Eth-trunk1：Trunk类型，透传VLAN20Ethernet0/0/2：Access类型，缺省VLAN为VLAN20RouterCGE2/0/0.200：配置Dot1q终结子接口，终结VLAN200GE0/0/1：Trunk类型，透传VLAN200Ethernet0/0/2：Access类型，缺省VLAN为VLAN200

备注用于和总部核心交换机CORE对接用于和总部核心交换机CORE对接用于和总部部门A对接用于和总部部门B对接用于连接总部Web服务器用于和总部出口路由器RouterA对接用于和总部出口路由器RouterB对接用于和总部CORE对接用于连接总部A部门的PC1用于和总部CORE对接用于连接总部B部门的PC3用于连接分支接入交换机SwitchA用于连接分支出口路由器RouterC用于连接分支PC5RouterBCORESwitchA文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司7

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例表2-3 IP地址规划设备RouterA数据项GE1/0/0：202.10.1.2/24Eth-trunk1.100：10.10.100.2/24RouterBGE1/0/0：202.10.2.2/24Eth-trunk1.100：10.10.100.3/24COREVLANIF10：10.10.10.1/24VLANIF20：10.10.20.1/24VLANIF30：10.10.30.1/24VLANIF100：10.10.100.4/24VLANIF10作为A部门的用户网关VLANIF20作为B部门的用户网关VLANIF30作为Web服务器的网关VLANIF100用于和出口路由器互联Web服务器IP地址：10.10.30.2/24默认网关：10.10.30.1PC1IP地址：10.10.10.2/24默认网关：10.10.10.1PC3IP地址：10.10.20.2/24默认网关：10.10.20.1RouterD接口B，编号：GigabitEthernet1/0/0，IP地址：202.10.1.1/24接口C，编号：GigabitEthernet2/0/0，IP地址：202.10.2.1/24RouterE接口A，编号：GigabitEthernet1/0/0，IP地址：203.10.1.1/24GE1/0/0：203.10.1.2/24GE2/0/0.200：10.10.200.1/24PC5

IP地址：10.10.200.2/24默认网关：10.10.200.1假设通过DHCP获取到的IP地址就是10.10.200.2/24该设备为运营商网络的设备，此处接口编号为假设，请以实际设备为准-通过NAT Server映射后的公网IP地址：202.10.100.3假设通过DHCP获取到的IP地址就是10.10.10.2/24假设通过DHCP获取到的IP地址就是10.10.20.2/24该设备为运营商网络的设备，此处接口编号为假设，请以实际设备为准备注GE1/0/0用于和运营商网络对接Eth-trunk1.100用于和总部核心交换机CORE对接-RouterC文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司8

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例操作步骤步骤1配置总部核心交换机CORE和两个出口路由器之间互联的Eth-Trunk# 配置核心交换机CORE。 system-view[HUAWEI] sysname CORE[CORE] interface eth-trunk 3[CORE-Eth-Trunk3] mode lacp[CORE-Eth-Trunk3] quit[CORE] interface eth-trunk 4[CORE-Eth-Trunk4] mode lacp[CORE-Eth-Trunk4] quit[CORE] interface gigabitethernet 0/0/3[CORE-GigabitEthernet0/0/3] eth-trunk 3[CORE-GigabitEthernet0/0/3] quit[CORE] interface gigabitethernet 1/0/3[CORE-GigabitEthernet1/0/3] eth-trunk 3[CORE-GigabitEthernet1/0/3] quit[CORE] interface gigabitethernet 0/0/4[CORE-GigabitEthernet0/0/4] eth-trunk 4[CORE-GigabitEthernet0/0/4] quit[CORE] interface gigabitethernet 1/0/4[CORE-GigabitEthernet1/0/4] eth-trunk 4[CORE-GigabitEthernet1/0/4] quit# 配置总部出口路由器RouterA。RouterB的配置与RouterA类似。 system-view[Huawei] sysname RouterA[RouterA] interface eth-trunk 1[RouterA-Eth-Trunk1] undo portswitch[RouterA-Eth-Trunk1] mode lacp-static[RouterA-Eth-Trunk1] quit[RouterA] interface gigabitethernet 2/0/0[RouterA-GigabitEthernet2/0/0] eth-trunk 1[RouterA-GigabitEthernet2/0/0] quit[RouterA] interface gigabitethernet 2/0/1[RouterA-GigabitEthernet2/0/1] eth-trunk 1[RouterA-GigabitEthernet2/0/1] quit步骤2配置各接口的所属VLAN及IP地址# 配置核心交换机CORE。[CORE] vlan 100[CORE] quit[CORE] interface Eth-Trunk 3[CORE-Eth-Trunk3] port link-type trunk[CORE-Eth-Trunk3] port trunk allow-pass vlan 100[CORE-Eth-Trunk3] quit[CORE] interface Eth-Trunk 4[CORE-Eth-Trunk4] port link-type trunk[CORE-Eth-Trunk4] port trunk allow-pass vlan 100[CORE-Eth-Trunk4] quit[CORE] interface vlanif 100[CORE-Vlanif100] ip address 10.10.100.4 24[CORE-Vlanif100] quit# 配置总部出口路由器RouterA。RouterB的配置与RouterA类似。[RouterA] interface Eth-Trunk 1.100[RouterA-Eth-Trunk1.100] ip address 10.10.100.2 24[RouterA-Eth-Trunk1.100] dot1q termination vid 100[RouterA-Eth-Trunk1.100] arp broadcast enable //使能接口可以处理ARP广播报文功能；AR3200系列路由器V200R003C01及之后的版本默认已经使能了该功能，无需配置。[RouterA-Eth-Trunk1.100] quit[RouterA] interface gigabitethernet 1/0/0文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司9

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例[RouterA-GigabitEthernet1/0/0] ip address 202.10.1.2 24[RouterA-GigabitEthernet1/0/0] quit2 综合配置案例# 配置分支出口路由器RouterC。 system-view[Huawei] sysname RouterC[RouterC] interface gigabitethernet 1/0/0[RouterC-GigabitEthernet1/0/0] ip address 203.10.1.2 24[RouterC-GigabitEthernet1/0/0] quit步骤3部署VRRP。在总部两个出口路由器RouterA和RouterB之间配置VRRP，RouterA为VRRP的Master，RouterB为VRRP的Backup# 配置RouterA。[RouterA] interface Eth-Trunk 1.100[RouterA-Eth-Trunk1.100] vrrp vrid 1 virtual-ip 10.10.100.1[RouterA-Eth-Trunk1.100] vrrp vrid 1 priority 120[RouterA-Eth-Trunk1.100] vrrp vrid 1 track interface GigabitEthernet1/0/0 reduced 40[RouterA-Eth-Trunk1.100] quit //为了防止RouterA的上行链路中断的时候数据流发送至VRRP的Master以后不能继续上行，配置VRRP的状态和RouterA的上行口进行联动，保证RouterA上行链路中断的时候VRRP状态迅速倒换。# 配置RouterB。[RouterB] interface Eth-Trunk 1.100[RouterB-Eth-Trunk1.100] vrrp vrid 1 virtual-ip 10.10.100.1[RouterB-Eth-Trunk1.100] quit配置完成后，RouterA和RouterB之间应该能建立VRRP的主备份关系，执行display vrrp命令可以看到RouterA和RouterB的VRRP状态。# 查看RouterA的VRRP状态为Master。[RouterA] display vrrp Eth-Trunk1.100 | Virtual Router 1 State : Master Virtual IP : 10.10.100.1 Master IP : 10.10.100.2 PriorityRun : 120 PriorityConfig : 120 MasterPriority : 120 Preempt : YES Delay Time : 0 s TimerRun : 1 s TimerConfig : 1 s Auth type : NONE Virtual MAC : 0000-5e00-0101 Check TTL : YES Config type : normal-vrrp Backup-forward : disabled Track IF : GigabitEthernet1/0/0 Priority reduced : 40 IF state : UP Create time : 2015-05-18 06:53:47 UTC-05:13 Last change time : 2015-05-18 06:54:14 UTC-05:13# 查看RouterB的VRRP状态为Backup。[RouterB] display vrrp Eth-Trunk1.100 | Virtual Router 1 State : Backup Virtual IP : 10.10.100.1 Master IP : 10.10.100.2 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 120 Preempt : YES Delay Time : 0 s TimerRun : 1 s TimerConfig : 1 s文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司10

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例 Auth type : NONE Virtual MAC : 0000-5e00-0101 Check TTL : YES Config type : normal-vrrp Backup-forward : disabled Create time : 2015-05-18 06:53:52 UTC-05:13 Last change time : 2015-05-18 06:57:12 UTC-05:132 综合配置案例步骤4部署路由1.部署缺省路由，用于引导各个设备的上行流量# 在核心交换机CORE上配置一条缺省路由，下一跳指向VRRP的虚地址。[CORE] ip route-static 0.0.0.0 0.0.0.0 10.10.100.1# 在总部及分支出口路由器上各配置一条缺省路由，下一跳指向运行商网络设备的对接地址（公网网关）。[RouterA] ip route-static 0.0.0.0 0.0.0.0 202.10.1.1[RouterB] ip route-static 0.0.0.0 0.0.0.0 202.10.2.1[RouterC] ip route-static 0.0.0.0 0.0.0.0 203.10.1.12.部署OSPF。在总部两个出口路由器RouterA、RouterB以及总部核心交换机CORE之间部署OSPF，用于两个出口路由器RouterA和RouterB学习用户网段的回程路由# 配置总部出口路由器RouterA。[RouterA] ospf 1 router-id 10.1.1.1[RouterA-ospf-1] area 0[RouterA-ospf-1-area-0.0.0.0] network 10.10.100.0 0.0.0.255[RouterA-ospf-1-area-0.0.0.0] quit# 配置总部出口路由器RouterB。[RouterB] ospf 1 router-id 10.2.2.2[RouterB-ospf-1] area 0[RouterB-ospf-1-area-0.0.0.0] network 10.10.100.0 0.0.0.255[RouterB-ospf-1-area-0.0.0.0] quit# 配置总部核心交换机CORE。[CORE] ospf 1 router-id 10.3.3.3[CORE-ospf-1] area 0[CORE-ospf-1-area-0.0.0.0] network 10.10.100.0 0.0.0.255[CORE-ospf-1-area-0.0.0.0] network 10.10.10.0 0.0.0.255 //将用户网段发布到OSPF里面[CORE-ospf-1-area-0.0.0.0] network 10.10.20.0 0.0.0.255 //将用户网段发布到OSPF里面[CORE-ospf-1-area-0.0.0.0] network 10.10.30.0 0.0.0.255 //将Web服务器网段发布到OSPF里面[CORE-ospf-1-area-0.0.0.0] quit# 配置完成后，RouterA、RouterB和Core之间应该建立OSPF邻居关系，执行display ospf peer命令可以查看OSPF邻居状态为Full，以CORE为例，OSPF邻居状态如下。[CORE] display ospf peer OSPF Process 1 with Router ID 10.3.3.3 Neighbors

Area 0.0.0.0 interface 10.10.100.4(Vlanif100)'s neighbors Router ID: 10.1.1.1 Address: 10.10.100.2

State: Full Mode:Nbr is Slave Priority: 1 DR: 10.10.100.4 BDR: 10.10.100.3 MTU: 0

Dead timer due in 40 sec

Retrans timer interval: 5

Neighbor is up for 00:26:37

Authentication Sequence: [ 0 ]

Router ID: 10.2.2.2 Address: 10.10.100.3

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例 State: Full Mode:Nbr is Slave Priority: 1 DR: 10.10.100.4 BDR: 10.10.100.3 MTU: 0

Dead timer due in 36 sec

Retrans timer interval: 5

Neighbor is up for 00:26:37

Authentication Sequence: [ 0 ]

2 综合配置案例3.配置外网到内网服务器公网地址的静态路由（回程路由）# 在和总部出口对接的运营商路由器RouterD上配置两条目的地址为服务器公网地址的静态路由，下一跳分别指向两个出口路由器RouterA、RouterB的上行口IP地址。为了保证路由和VRRP同步切换，设置下一跳为RouterA的这条路由优先，当这条路由失效的时候下一跳指向RouterB的路由生效。[RouterD] ip route-static 202.10.100.0 255.255.255.0 202.10.1.2 preference 40 //下一跳为RouterA的这条路由优先[RouterD] ip route-static 202.10.100.0 255.255.255.0 202.10.2.2当总部出口路由器RouterA的上行链路中断的时候会触发两个动作：a.b.两台总部出口路由器VRRP主备切换，这个通过VRRP状态联动总部出口路由器上行口状态来实现。和总部出口对接的运营商路由器RouterD到达内网服务器的路由进行主备切换，这个通过RouterD配置主备路由实现。这两个动作保证了当出口路由器RouterA的上行链路中断的时候内网VRRP状态和公网回程主备路由同时切换，保证了来回路径双向可靠性。步骤5部署NAT Outbound1.在总部及分支出口路由器上定义需要进行NAT转换的数据流总部仅部门A允许访问Internet，源IP地址是10.10.10.0/24；分支所有用户都允许访问Internet，源IP地址是10.10.200.0/24。# 配置总部出口路由器RouterA。RouterB的配置和RouterA类似。[RouterA] acl 3000[RouterA-acl-adv-3000] rule 5 deny ip source 10.10.10.0 0.0.0.255 destination 10.10.200.0

0.0.0.255 //需要IPSec保护的数据流[RouterA-acl-adv-3000] rule 10 deny ip source 10.10.20.0 0.0.0.255 destination 10.10.200.0

0.0.0.255 //需要IPSec保护的数据流[RouterA-acl-adv-3000] rule 15 permit ip source 10.10.10.0 0.0.0.255 //需要进行NAT转换的数据流[RouterA-acl-adv-3000] quit //对于华为AR3200系列路由器，如果接口上同时配置了IPSec和NAT，则先执行NAT。所以为了避免把IPSec保护的数据流进行NAT转换，需要NAT引用的ACL规则deny掉需要IPSec保护的数据流，即对“IPSec感兴趣的数据流”做NAT豁免。# 配置分支出口路由器RouterC。[RouterC] acl 3000[RouterC-acl-adv-3000] rule 5 deny ip source 10.10.200.0 0.0.0.255 destination 10.10.10.0

0.0.0.255[RouterC-acl-adv-3000] rule 10 deny ip source 10.10.200.0 0.0.0.255 destination 10.10.20.0

0.0.0.255[RouterC-acl-adv-3000] rule 15 permit ip source 10.10.200.0 0.0.0.255[RouterC-acl-adv-3000] quit //同样需要配置对“IPSec感兴趣的数据流”做NAT豁免2.在总部及分支出口路由器的上行口上配置NAT转换# 配置RouterA。RouterB及RouterC的配置与RouterA类似。[RouterA] interface GigabitEthernet1/0/0[RouterA-GigabitEthernet1/0/0] nat outbound 3000[RouterA-GigabitEthernet1/0/0] quit文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司12

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例3.检查配置结果# 配置完成后可以通过display nat outbound命令查看NAT转换的配置信息，以RouterA为例详细信息如下。[RouterA] display nat outbound NAT Outbound Information: -------------------------------------------------------------------------- Interface Acl Address-group/IP/Interface Type -------------------------------------------------------------------------- GigabitEthernet1/0/0 3000 202.10.1.2 easyip

-------------------------------------------------------------------------- Total : 1步骤6部署NAT Server总部有Web服务器，需在两个出口路由器RouterA和RouterB上都配置NAT Server，实现外网用户访问内网Web服务器。# 配置RouterA。[RouterA] interface GigabitEthernet1/0/0[RouterA-GigabitEthernet1/0/0] nat server protocol tcp global 202.10.100.3 www inside 10.10.30.2

8080[RouterA-GigabitEthernet1/0/0] quit# 配置RouterB。[RouterB] interface GigabitEthernet1/0/0[RouterB-GigabitEthernet1/0/0] nat server protocol tcp global 202.10.100.3 www inside 10.10.30.2

8080[RouterB-GigabitEthernet1/0/0] quit# 配置完成后可以通过display nat server命令查看NAT Server的配置信息，以RouterA为例详细信息如下。[RouterA] display nat server Nat Server Information: Interface : GigabitEthernet1/0/0 Global IP/Port : 202.10.100.3/80(www)

Inside IP/Port : 10.10.30.2/8080 Protocol : 6(tcp)

VPN instance-name : ----

Acl number : ---- Description : ---- Total : 1步骤7部署IPSec VPN，实现总部和分支之间通过Internet实现私网互通，并且数据通信具有安全保护1.配置ACL，定义需要IPSec保护的数据流# 配置总部出口路由器RouterA。[RouterA] acl 3001[RouterA-acl-adv-3001] rule 5 permit ip source 10.10.10.0 0.0.0.255 destination 10.10.200.0

0.0.0.255 //需要IPSec保护的数据流[RouterA-acl-adv-3001] rule 10 permit ip source 10.10.20.0 0.0.0.255 destination 10.10.200.0

0.0.0.255 //需要IPSec保护的数据流[RouterA-acl-adv-3001] quit# 配置总部出口路由器RouterB。[RouterB] acl 3001[RouterB-acl-adv-3001] rule 5 permit ip source 10.10.10.0 0.0.0.255 destination 10.10.200.0

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例[RouterB-acl-adv-3001] rule 10 permit ip source 10.10.20.0 0.0.0.255 destination 10.10.200.0

0.0.0.255[RouterB-acl-adv-3001] quit# 配置分支出口路由器RouterC。[RouterC] acl 3001[RouterC-acl-adv-3001] rule 5 permit ip source 10.10.200.0 0.0.0.255 destination 10.10.10.0

0.0.0.255[RouterC-acl-adv-3001] rule 10 permit ip source 10.10.200.0 0.0.0.255 destination 10.10.20.0

0.0.0.255[RouterC-acl-adv-3001] quit2.配置IPSec安全提议# 配置总部出口路由器RouterA。总部出口路由器RouterB以及分支出口路由器RouterC的配置和RouterA类似。[RouterA] ipsec proposal tran1[RouterA-ipsec-proposal-tran1] esp authentication-algorithm sha2-256 //设置ESP协议采用的认证算法[RouterA-ipsec-proposal-tran1] esp encryption-algorithm aes-128 //设置ESP协议采用的加密算法[RouterA-ipsec-proposal-tran1] quit3.配置IKE安全提议# 配置总部出口路由器RouterA。总部出口路由器RouterB以及分支出口路由器RouterC的配置和RouterA类似。[RouterA] ike proposal 5[RouterA-ike-proposal-5] encryption-algorithm aes-cbc-128[RouterA-ike-proposal-5] quit4.配置IKE对等体# 配置总部出口路由器RouterA。[RouterA] ike peer vpn v1[RouterA-ike-peer-vpn] pre-shared-key cipher huawei123[RouterA-ike-peer-vpn] ike-proposal 5[RouterA-ike-peer-vpn] dpd type periodic //配置周期性对等体存活检测[RouterA-ike-peer-vpn] dpd idle-time 10 //设置对等体存活检测空闲时间为10秒[RouterA-ike-peer-vpn] remote-address 203.10.1.2[RouterA-ike-peer-vpn] quit# 配置总部出口路由器RouterB。[RouterB] ike peer vpn v1[RouterB-ike-peer-vpn] pre-shared-key cipher huawei123[RouterB-ike-peer-vpn] ike-proposal 5[RouterB-ike-peer-vpn] dpd type periodic[RouterB-ike-peer-vpn] dpd idle-time 10[RouterB-ike-peer-vpn] remote-address 203.10.1.2[RouterB-ike-peer-vpn] quit# 配置分支出口路由器RouterC。[RouterC] ike peer vpnr1 v1[RouterC-ike-peer-vpnr1] pre-shared-key cipher huawei123[RouterC-ike-peer-vpnr1] ike-proposal 5[RouterC-ike-peer-vpnr1] dpd type periodic[RouterC-ike-peer-vpnr1] dpd idle-time 10[RouterC-ike-peer-vpnr1] remote-address 202.10.1.2[RouterC-ike-peer-vpnr1] quit[RouterC] ike peer vpnr2 v1[RouterC-ike-peer-vpnr2] pre-shared-key cipher huawei123[RouterC-ike-peer-vpnr2] ike-proposal 5[RouterC-ike-peer-vpnr2] dpd type periodic[RouterC-ike-peer-vpnr2] dpd idle-time 10文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司14

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例[RouterC-ike-peer-vpnr2] remote-address 202.10.2.2[RouterC-ike-peer-vpnr2] quit2 综合配置案例5.配置安全策略# 配置总部出口路由器RouterA。[RouterA] ipsec policy ipsec_vpn 10 isakmp[RouterA-ipsec-policy-isakmp-ipsec_vpn-10] security acl 3001[RouterA-ipsec-policy-isakmp-ipsec_vpn-10] ike-peer vpn[RouterA-ipsec-policy-isakmp-ipsec_vpn-10] proposal tran1[RouterA-ipsec-policy-isakmp-ipsec_vpn-10] quit# 配置总部出口路由器RouterB。[RouterB] ipsec policy ipsec_vpn 10 isakmp[RouterB-ipsec-policy-isakmp-ipsec_vpn-10] security acl 3001[RouterB-ipsec-policy-isakmp-ipsec_vpn-10] ike-peer vpn[RouterB-ipsec-policy-isakmp-ipsec_vpn-10] proposal tran1[RouterB-ipsec-policy-isakmp-ipsec_vpn-10] quit# 配置分支出口路由器RouterC。[RouterC] ipsec policy ipsec_vpn 10 isakmp[RouterC-ipsec-policy-isakmp-ipsec_vpn-10] security acl 3001[RouterC-ipsec-policy-isakmp-ipsec_vpn-10] ike-peer vpnr1[RouterC-ipsec-policy-isakmp-ipsec_vpn-10] proposal tran1[RouterC-ipsec-policy-isakmp-ipsec_vpn-10] quit[RouterC] ipsec policy ipsec_vpn 20 isakmp[RouterC-ipsec-policy-isakmp-ipsec_vpn-20] security acl 3001[RouterC-ipsec-policy-isakmp-ipsec_vpn-20] ike-peer vpnr2[RouterC-ipsec-policy-isakmp-ipsec_vpn-20] proposal tran1[RouterC-ipsec-policy-isakmp-ipsec_vpn-20] quit6.接口上引用安全策略组# 在总部出口路由器RouterA的接口上引用安全策略组。[RouterA] interface GigabitEthernet1/0/0[RouterA-GigabitEthernet1/0/0] ipsec policy ipsec_vpn[RouterA-GigabitEthernet1/0/0] quit# 在总部出口路由器RouterB的接口上引用安全策略组。[RouterB] interface GigabitEthernet1/0/0[RouterB-GigabitEthernet1/0/0] ipsec policy ipsec_vpn[RouterB-GigabitEthernet1/0/0] quit# 在分支出口路由器RouterC的接口上引用安全策略组。[RouterC] interface GigabitEthernet1/0/0[RouterC-GigabitEthernet1/0/0] ipsec policy ipsec_vpn[RouterC-GigabitEthernet1/0/0] quit7.检查配置结果# 配置完成后，可以执行display ike sa命令查看由IKE建立的安全联盟信息，以RouterC为例，由IKE建立的安全联盟信息如下。[RouterC] display ike sa Conn-ID Peer VPN Flag(s) Phase

--------------------------------------------------------------- 7 202.10.2.2 0 RD|ST 2

4 202.10.2.2 0 RD 2

2 202.10.2.2 0 RD 1

6 202.10.1.2 0 RD|ST 2

5 202.10.1.2 0 RD 2

3 202.10.1.2 0 RD 1

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例 RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP2 综合配置案例# 配置完成后，可以执行display ipsec sa命令查看安全联盟的相关信息，以RouterC为例，安全联盟信息如下。[RouterC] display ipsec sa===============================Interface: GigabitEthernet1/0/0 Path MTU: 1500=============================== ----------------------------- IPSec policy name: "ipsec_vpn" Sequence number : 10 Acl Group : 3001 Acl rule : 5 Mode : ISAKMP ----------------------------- Connection ID : 5 Encapsulation mode: Tunnel Tunnel local : 203.10.1.2 Tunnel remote : 202.10.1.2 Flow source : 10.10.200.0/255.255.255.0 0/0 Flow destination : 10.10.10.0/255.255.255.0 0/0 Qos pre-classify : Disable [Outbound ESP SAs]

SPI: 969156085 (0x39c425f5) Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128 SA remaining key duration (bytes/sec): 1887313920/1521 Max sent sequence-number: 8 UDP encapsulation used for NAT traversal: N [Inbound ESP SAs]

SPI: 1258341975 (0x4b00c657) Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128 SA remaining key duration (bytes/sec): 1887436080/1521 Max received sequence-number: 10 Anti-replay window size: 32 UDP encapsulation used for NAT traversal: N ----------------------------- IPSec policy name: "ipsec_vpn" Sequence number : 10 Acl Group : 3001 Acl rule : 10 Mode : ISAKMP ----------------------------- Connection ID : 6 Encapsulation mode: Tunnel Tunnel local : 203.10.1.2 Tunnel remote : 202.10.1.2 Flow source : 10.10.200.0/255.255.255.0 0/0 Flow destination : 10.10.20.0/255.255.255.0 0/0 Qos pre-classify : Disable [Outbound ESP SAs]

SPI: 4217384908 (0xfb602fcc) Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128 SA remaining key duration (bytes/sec): 1887283200/1522 Max sent sequence-number: 10 UDP encapsulation used for NAT traversal: N [Inbound ESP SAs]

SPI: 654720480 (0x27063de0) Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128 SA remaining key duration (bytes/sec): 1887436080/1522 Max received sequence-number: 10文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司16

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例 Anti-replay window size: 32 UDP encapsulation used for NAT traversal: N ----------------------------- IPSec policy name: "ipsec_vpn" Sequence number : 20 Acl Group : 3001 Acl rule : 5 Mode : ISAKMP ----------------------------- Connection ID : 4 Encapsulation mode: Tunnel Tunnel local : 203.10.1.2 Tunnel remote : 202.10.2.2 Flow source : 10.10.200.0/255.255.255.0 0/0 Flow destination : 10.10.10.0/255.255.255.0 0/0 Qos pre-classify : Disable [Outbound ESP SAs]

SPI: 240759500 (0xe59b2cc) Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128 SA remaining key duration (bytes/sec): 1887436800/1521 Max sent sequence-number: 0 UDP encapsulation used for NAT traversal: N [Inbound ESP SAs]

SPI: 3888073495 (0xe7bf4b17) Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128 SA remaining key duration (bytes/sec): 1887436800/1521 Max received sequence-number: 0 Anti-replay window size: 32 UDP encapsulation used for NAT traversal: N ----------------------------- IPSec policy name: "ipsec_vpn" Sequence number : 20 Acl Group : 3001 Acl rule : 10 Mode : ISAKMP ----------------------------- Connection ID : 7 Encapsulation mode: Tunnel Tunnel local : 203.10.1.2 Tunnel remote : 202.10.2.2 Flow source : 10.10.200.0/255.255.255.0 0/0 Flow destination : 10.10.20.0/255.255.255.0 0/0 Qos pre-classify : Disable [Outbound ESP SAs]

SPI: 2751917383 (0xa406ed47) Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128 SA remaining key duration (bytes/sec): 1887436800/1522 Max sent sequence-number: 0 UDP encapsulation used for NAT traversal: N [Inbound ESP SAs]

SPI: 739146604 (0x2c0e7b6c) Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128 SA remaining key duration (bytes/sec): 1887436800/1522 Max received sequence-number: 0 Anti-replay window size: 32 UDP encapsulation used for NAT traversal: N2 综合配置案例步骤8检查配置结果# 通过ping命令验证总部和分支之间的连通性。PC1>ping 10.10.200.2Ping 10.10.200.2: 32 data bytes, Press Ctrl_C to break文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司17

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例From 10.10.200.2: bytes=32 seq=1 ttl=126 time=140 msFrom 10.10.200.2: bytes=32 seq=2 ttl=126 time=235 msFrom 10.10.200.2: bytes=32 seq=3 ttl=126 time=266 msFrom 10.10.200.2: bytes=32 seq=4 ttl=126 time=140 msFrom 10.10.200.2: bytes=32 seq=5 ttl=126 time=141 ms--- 10.10.200.2 ping statistics --- 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 140/184/266 msPC3>ping 10.10.200.2Ping 10.10.200.2: 32 data bytes, Press Ctrl_C to breakFrom 10.10.200.2: bytes=32 seq=1 ttl=126 time=156 msFrom 10.10.200.2: bytes=32 seq=2 ttl=126 time=297 msFrom 10.10.200.2: bytes=32 seq=3 ttl=126 time=156 msFrom 10.10.200.2: bytes=32 seq=4 ttl=126 time=141 msFrom 10.10.200.2: bytes=32 seq=5 ttl=126 time=109 ms--- 10.10.200.2 ping statistics --- 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 109/171/297 ms2 综合配置案例可以看到，PC1和PC5、PC3和PC5之间都是可以互通的，公司总部和分支之间可以通过运营商网络组建的私网VPN进行互通。# 验证企业总部各部门与公网之间的连通性，以企业总部的公网网关202.10.1.1作为测试地址。PC1>ping 202.10.1.1Ping 202.10.1.1: 32 data bytes, Press Ctrl_C to breakFrom 202.10.1.1: bytes=32 seq=1 ttl=253 time=235 msFrom 202.10.1.1: bytes=32 seq=2 ttl=253 time=109 msFrom 202.10.1.1: bytes=32 seq=3 ttl=253 time=79 msFrom 202.10.1.1: bytes=32 seq=4 ttl=253 time=63 msFrom 202.10.1.1: bytes=32 seq=5 ttl=253 time=63 ms--- 202.10.1.1 ping statistics --- 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 63/109/235 msPC3>ping 202.10.1.1Ping 202.10.1.1: 32 data bytes, Press Ctrl_C to breakRequest timeout!Request timeout!Request timeout!Request timeout!Request timeout!--- 202.10.1.1 ping statistics --- 5 packet(s) transmitted 0 packet(s) received 100.00% packet loss可以看到，部门A（PC1）的用户可以访问公网，部门B（PC3）的用户不能访问公网。----结束文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司18

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例配置文件l总部核心交换机CORE的配置文件#sysname CORE#vlan batch 100#interface Vlanif100 ip address 10.10.100.4 255.255.255.0#interface Eth-Trunk3 port link-type trunk port trunk allow-pass vlan 100 mode lacp#interface Eth-Trunk4 port link-type trunk port trunk allow-pass vlan 100 mode lacp#interface GigabitEthernet0/0/3 eth-trunk 3#interface GigabitEthernet0/0/4 eth-trunk 4#interface GigabitEthernet1/0/3 eth-trunk 3#interface GigabitEthernet1/0/4 eth-trunk 4#ospf 1 router-id 10.3.3.3 area 0.0.0.0 network 10.10.100.0 0.0.0.255 network 10.10.10.0 0.0.0.255 network 10.10.20.0 0.0.0.255 network 10.10.30.0 0.0.0.255#ip route-static 0.0.0.0 0.0.0.0 10.10.100.1#returnl总部出口路由器RouterA的配置文件# sysname RouterA#acl number 3000

rule 5 deny ip source 10.10.10.0 0.0.0.255 destination 10.10.200.0 0.0.0.255

rule 10 deny ip source 10.10.20.0 0.0.0.255 destination 10.10.200.0 0.0.0.255

rule 15 permit ip source 10.10.10.0 0.0.0.255

acl number 3001

rule 5 permit ip source 10.10.10.0 0.0.0.255 destination 10.10.200.0 0.0.0.255

rule 10 permit ip source 10.10.20.0 0.0.0.255 destination 10.10.200.0 0.0.0.255

#ipsec proposal tran1 esp authentication-algorithm sha2-256

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例 dpd idle-time 10 remote-address 203.10.1.2#ipsec policy ipsec_vpn 10 isakmp security acl 3001 ike-peer vpn proposal tran1#interface Eth-Trunk1 undo portswitch mode lacp-static#interface Eth-Trunk1.100 dot1q termination vid 100 ip address 10.10.100.2 255.255.255.0

vrrp vrid 1 virtual-ip 10.10.100.1 vrrp vrid 1 priority 120 vrrp vrid 1 track interface GigabitEthernet1/0/0 reduced 40 arp broadcast enable#interface GigabitEthernet1/0/0 ip address 202.10.1.2 255.255.255.0

ipsec policy ipsec_vpn nat server protocol tcp global 202.10.100.3 www inside 10.10.30.2 8080 nat outbound 3000#interface GigabitEthernet2/0/0 eth-trunk 1#interface GigabitEthernet2/0/1 eth-trunk 1#ospf 1 router-id 10.1.1.1

area 0.0.0.0

network 10.10.100.0 0.0.0.255

#ip route-static 0.0.0.0 0.0.0.0 202.10.1.1#return2 综合配置案例l总部出口路由器RouterB的配置文件# sysname RouterB#acl number 3000

rule 5 deny ip source 10.10.10.0 0.0.0.255 destination 10.10.200.0 0.0.0.255

rule 10 deny ip source 10.10.20.0 0.0.0.255 destination 10.10.200.0 0.0.0.255

rule 15 permit ip source 10.10.10.0 0.0.0.255

acl number 3001

rule 5 permit ip source 10.10.10.0 0.0.0.255 destination 10.10.200.0 0.0.0.255

rule 10 permit ip source 10.10.20.0 0.0.0.255 destination 10.10.200.0 0.0.0.255

#ipsec proposal tran1 esp authentication-algorithm sha2-256

esp encryption-algorithm aes-128#ike proposal 5 encryption-algorithm aes-cbc-128#ike peer vpn v1 pre-shared-key cipher "@J*U2S*(7F,YWX*NZ55OA!! ike-proposal 5 dpd type periodic dpd idle-time 10 remote-address 203.10.1.2#ipsec policy ipsec_vpn 10 isakmp security acl 3001 ike-peer vpn proposal tran1文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司20

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例#interface Eth-Trunk1 undo portswitch mode lacp-static#interface Eth-Trunk1.100 dot1q termination vid 100 ip address 10.10.100.3 255.255.255.0

vrrp vrid 1 virtual-ip 10.10.100.1 arp broadcast enable#interface GigabitEthernet1/0/0 ip address 202.10.2.2 255.255.255.0

area 0.0.0.0

network 10.10.100.0 0.0.0.255

#ip route-static 0.0.0.0 0.0.0.0 202.10.2.1#return2 综合配置案例l分支出口路由器RouterC的配置文件# sysname RouterC#acl number 3000

rule 5 deny ip source 10.10.200.0 0.0.0.255 destination 10.10.10.0 0.0.0.255

rule 10 deny ip source 10.10.200.0 0.0.0.255 destination 10.10.20.0 0.0.0.255

rule 15 permit ip source 10.10.200.0 0.0.0.255

acl number 3001

rule 5 permit ip source 10.10.200.0 0.0.0.255 destination 10.10.10.0 0.0.0.255

rule 10 permit ip source 10.10.200.0 0.0.0.255 destination 10.10.20.0 0.0.0.255

#ipsec proposal tran1 esp authentication-algorithm sha2-256

esp encryption-algorithm aes-128#ike proposal 5 encryption-algorithm aes-cbc-128#ike peer vpnr1 v1 pre-shared-key cipher "@J*U2S*(7F,YWX*NZ55OA!! ike-proposal 5 dpd type periodic dpd idle-time 10 remote-address 202.10.1.2#ike peer vpnr2 v1 pre-shared-key cipher "@J*U2S*(7F,YWX*NZ55OA!! ike-proposal 5 dpd type periodic dpd idle-time 10 remote-address 202.10.2.2#ipsec policy ipsec_vpn 10 isakmp security acl 3001 ike-peer vpnr1 proposal tran1#ipsec policy ipsec_vpn 20 isakmp文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司21

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例 security acl 3001 ike-peer vpnr2 proposal tran1#interface GigabitEthernet1/0/0 ip address 203.10.1.2 255.255.255.0

ipsec policy ipsec_vpn nat outbound 3000#ip route-static 0.0.0.0 0.0.0.0 203.10.1.1#return2 综合配置案例l总部运营商路由器RouterD的配置文件# sysname RouterD#interface GigabitEthernet1/0/0 ip address 202.10.1.1 255.255.255.0

#interface GigabitEthernet2/0/0 ip address 202.10.2.1 255.255.255.0

#ip route-static 202.10.100.0 255.255.255.0 202.10.1.2 preference 40ip route-static 202.10.100.0 255.255.255.0 202.10.2.2#returnl分支运营商路由器RouterE的配置文件# sysname RouterE#interface GigabitEthernet1/0/0 ip address 203.10.1.1 255.255.255.0

#return2.2 大型园区出口配置示例（防火墙直连部署）组网需求如图2-2所示，在大型园区出口，核心交换机上行和防火墙进行直连，通过防火墙连接到出口网关，对出入园区的业务流量提供安全过滤功能，为网络安全提供保证，网络要求如下：llll内网用户使用私网IP地址，用户的IP地址使用DHCP自动分配。部门A用户能够访问Internet，部门B用户不能访问Internet。内外网用户都可以访问HTTP服务器。保证网络的可靠性，每个节点都进行冗余设计。文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司22

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例图2-2 大型园区出口组网图（防火墙直连）Internet接入点接入点GE0/0/2GE0/0/2Router 1GE0/0/1Router 2GE0/0/1OSPF 0GE1/0/1GE1/0/1GE1/0/7GE2/0/4GE2/0/3GE1/0/7GE2/0/4GE2/0/3FW 1FW 2Eth-Trunk 10Eth-Trunk 20Swich1(主)Swich2(备)CSSHTTP服务器Eth-Trunk100OSPF 1部门AAGG1Switch3(主)Switch4(备)部门BEth-Trunk200OSPF 2AGG2Switch5(主)Switch6(备)部署要点l路由部署：––––Router ID：为每台设备配置一个Loopback地址，作为设备的Router ID。出口路由器、防火墙、核心交换机作为OSPF骨干区域Area0，出口路由器作为ASBR，核心交换机为ABR。部门A和部门B的OSPF区域分别配置为Area 1和Area 2，并配置为NSSA区域，减少LSA在区域间的传播。为了引导各设备的上行流量，在核心交换机上配置一条缺省路由，下一跳指向防火墙，在防火墙上配置一条缺省路由，下一跳指向出口路由器，出口路华为专有和保密信息版权所有 © 华为技术有限公司23文档版本 13 (2017-01-10)

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例由器上配置一条缺省路由，下一跳指向运行商网络设备的对接地址（公网网关）。l可靠性部署：推荐使用CSS+iStack+Eth-trunk无环以太网技术，让可靠性变得简单。–––l––l在核心交换机部署集群（CSS），汇聚交换机部署堆叠（iStack），保证设备级可靠性。为提高链路可靠性、在核心交换机与防火墙之间、核心交换机和汇聚交换机之间、汇聚交换机和接入交换机之间均通过Eth-Trunk互连。在防火墙上部署双机热备，两台防火墙之间实现负载分担。核心交换机配置DHCP服务器，为用户自动分配IP地址。在汇聚交换机上配置DHCP Relay，保证能够通过DHCP服务为用户分配IP地址。为了使内网用户访问Internet，在两台出口路由器的上行口配置NAT，实现私网地址和公网地址之间的转换。通过ACL匹配部门A的源IP地址，从而实现部门A的用户可以访问Internet，而部门B的用户不能访问Internet。为了保证外网用户能够访问HTTP服务器，在两台出口路由器上配置NATServer。DHCP部署：NAT部署：––l安全部署：防火墙配置安全策略，对流量进行过滤，保证网络安全。设备规划设备类型路由器Router1、Router2防火墙FW1、FW2核心交换机做CSS汇聚交换机做iStack

设备型号华为AR3600系列路由器华为USG9000系列防火墙华为S7700/S9700/S12700交换机华为S5720EI系列交换机，使用业务口做堆叠数据规划设备Router1接口编号GE0/0/1GE0/0/2--成员接口VLANIF--IP地址10.1.1.1/24202.10.1.1/2410.2.1.1/24对端设备FW1对端接口编号GE1/0/1假设此接口用于连接运营商设备接口，IP地址为运营商分配的公网IP。FW2GE1/0/1Router2GE0/0/1--文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司24

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例设备接口编号GE0/0/2-成员接口VLANIF-IP地址202.10.2.1/2410.1.1.2/2410.10.1.1/2410.3.1.1/2410.2.1.2/2410.10.1.2/2410.4.1.1/2410.100.1.110.3.1.2/24对端设备对端接口编号假设此接口用于连接运营商设备接口，IP地址为运营商分配的公网IP。Router1FW2CSSGE0/0/1GE1/0/7Eth-Trunk10FW1GE1/0/1GE1/0/7Eth-Trunk10--GE2/0/3GE2/0/4--GE2/0/3GE2/0/4-GE1/1/0/3GE2/1/0/3---FW2GE1/0/1GE1/0/7Eth-Trunk20---Router2FW1CSSGE0/0/1GE1/0/7Eth-Trunk20CSSGE1/1/0/10Eth-Trunk10VLANIF300-HTTP服务器FW1以太网接口Eth-Trunk10Eth-Trunk20GE1/1/0/4GE2/1/0/4-10.4.1.2/24FW2Eth-Trunk20Eth-Trunk100GE1/2/0/3GE2/2/0/3GE1/2/0/4GE2/2/0/4GE1/0/1GE2/0/1VLANIF10010.5.1.1/24AGG1Eth-Trunk100Eth-Trunk200VLANIF20010.6.1.1/24AGG2Eth-Trunk200AGG1Eth-Trunk100VLANIF10010.5.1.2/24CSSEth-Trunk100文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司25

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例设备接口编号Eth-Trunk500成员接口GE1/0/5GE2/0/5GE1/0/1GE2/0/1GE1/0/5GE2/0/5-VLANIFVLANIF500VLANIF200VLANIF600-IP地址192.168.1.1/2410.6.1.2/24192.168.2.1/2410.100.1.10/24对端设备对端接口编号假设此接口用于连接部门A，并作为部门A用户的网关CSSAGG2Eth-Trunk100Eth-Trunk600假设此接口用于连接部门B，并作为部门B用户的网关CSSGE1/1/0/10HTTP服务器

以太网接口配置思路采用如下思路配置园区出口：步骤1配置思路1、核心交换机配置集群（CSS）2、汇聚交换机配置堆叠(iStack)涉及产品核心交换机Switch1和Switch2，汇聚交换机Switch3、Switch4、Switch5、Switch6核心交换机（CSS）、防火墙（FW1、FW2）、汇聚交换机（AGG1、AGG2）2配置接口，为提高链路可靠性1、核心交换机(CSS)和防火墙之间配置Eth-Trunk2、核心交换机(CSS)和汇聚交换机(AGG)之间配置Eth-Trunk3、汇聚交换机和接入交换机之间的Eth-Trunk3配置各接口IP地址1、配置Router上下行接口IP地址2、配置FW上下行接口IP地址3、配置核心交换机上下行接口IP地址4、配置汇聚交换机上下行接口IP地址路由器（Router1、Router2）、防火墙（FW1、FW2）、核心交换机（CSS）、汇聚交换机（AGG1、AGG2）文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司26

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例步骤4配置思路配置路由协议，内网使用OSPF协议1、路由器、防火墙、核心交换机上行接口配置为骨干区域Area 02、核心交换机下行接口、汇聚交换机配置为NSSA区域Area1、Area23、在核心交换机上配置一条缺省路由，下一跳指向防火墙，在防火墙上配置一条缺省路由，下一跳指向出口路由器，出口路由器上配置一条缺省路由，下一跳指向运行商网络设备的对接地址（公网网关）涉及产品路由器（Router1、Router2）、防火墙（FW1、FW2）、核心交换机（CSS）5配置防火墙各接口所属安全区域1、将连接外网的接口加入到Untrust区域2、将连接内网的接口加入到Trust区域3、将双机热备心跳线加入到DMZ区域防火墙（FW1、FW2）6配置双机热备1、配置VGMP监控上下行接口2、指定心跳线，启用双机热备3、使能快速备份功能，保证两台防火墙实现负载分担防火墙（FW1、FW2）7配置DHCP1、在核心交换机上配置DCHP服务器功能，指定地址池和网关2、在汇聚交换上配置是DHCP中继功能核心交换机(CSS)、汇聚交换机（AGG1、AGG2）8配置NAT1、在两台出口路由器上配置NAT，让部门A的用户可以访问Internet，部门B用户不能访问Internet2、在两台出口路由器上配置NAT Server，保证外部用户能够访问HTTP服务器出口路由器Router1、Router29配置攻击防范，在防火墙上开启SYNFlood、HTTP Flood攻击防范功能，保护内部服务器不受攻击防火墙

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例图2-3 集群连线图说明–––一块集群卡只能与对框一块集群卡相连，不能连接到多块集群卡，且不能与本框集群卡相连。集群卡上组1的任意接口只能与对框集群卡上组1的任意接口相连，组2的要求同组1。每块集群卡上连接集群线缆的数量相同（如果不相同会影响总的集群带宽），且两端按照接口编号的顺序对接。2.在Switch1上配置集群，集群连接方式为集群卡（缺省值，不需配置）。集群ID采用缺省值1（不需配置），优先级为100 system-view[HUAWEI] set css mode css-card //设备缺省值，不需再执行命令配置,此步骤仅用作示范命令[HUAWEI] set css id 1 //设备缺省值，不需再执行命令配置,此步骤仅用作示范命令[HUAWEI] set css priority 100 //集群优先级缺省为1，修改主交换机的优先级大于备交换机[HUAWEI] css enable

Warning: The CSS configuration takes effect only after the system is rebooted. The next CSS

mode is CSS-Card. Reboot now? [Y/N]:Y //重启交换机3.在Switch2上配置集群。集群连接方式为集群卡（缺省值，不需配置）。集群ID为2。优先级采用缺省值1（不需配置）。 system-view[HUAWEI] set css id 2 //集群ID缺省为1，修改备交换机的ID为2[HUAWEI] css enableWarning: The CSS configuration takes effect only after the system is rebooted. The next CSS

mode is CSS-Card. Reboot now? [Y/N]:Y //重启交换机4.交换机完成重启后，查看集群状态集群系统主的CSS MASTER灯绿色常亮，如图2-4所示。–––Switch1的两块主控板上编号为1的CSS ID灯绿色常亮，Switch2的两块主控板上编号为2的CSS ID灯绿色常亮。集群卡上有集群线缆连接的端口LINK/ALM灯绿色常亮。主框上所有集群卡的MASTER灯绿色常亮，备框上所有集群卡的MASTER灯常灭。华为专有和保密信息版权所有 © 华为技术有限公司28文档版本 13 (2017-01-10)

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例图2-4 主控板和集群卡指示灯说明集群建立后，后续交换机的配置都在主交换机上进行，数据会自动同步到备交换机。在集群系统中，接口编号会变为4维，例如，10GE1/1/0/9。其中左边第一位表示集群ID。步骤2汇聚交换机：配置堆叠（iStack），这里以S5720EI系列交换机为例，使用业务口做堆叠说明以Switch3和Swtich4为例，Switch5和Swtich6做堆叠类似，不做赘述。在配置堆叠前，先不要连线，等配置完成之后再连线1.配置逻辑堆叠端口并加入物理成员接口说明本端设备逻辑堆叠端口stack-port n/1里的物理成员端口只能与对端设备逻辑堆叠端口stack-port n/2里的物理成员端口相连。# 配置Switch3的业务口GE0/0/28为物理成员端口，并加入到相应的逻辑堆叠端口。[Switch3] interface stack-port 0/1[Switch3-stack-port0/1] port interface gigabitethernet 0/0/28 enableWarning: Enabling stack function may cause configuration loss on the interface, continue?[Y/N]:Y

Info: This operation may take a few seconds. Please wait for

[Switch3-stack-port0/1] quit# 配置Switch4的业务口GE0/0/28为物理成员端口，并加入到相应的逻辑堆叠端口。[Switch4] interface stack-port 0/2[Switch4-stack-port0/2] port interface gigabitethernet 0/0/28 enableWarning: Enabling stack function may cause configuration loss on the interface, continue?[Y/N]:Y

Info: This operation may take a few seconds. Please wait for

[Switch4-stack-port0/2] quit

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例[Switch3] stack slot 0 priority 200Warning: Please do not frequently modify Priority, it will make the stack split, continue?[Y/N]:Y

# 配置Switch3的堆叠ID为1。[Switch3] stack slot 0 renumber 1Warning: All the configurations related to the slot ID will be lost after the slot ID is

do not frequently modify slot ID, it will make the stack split. Continue?[Y/N]:YInfo: Stack configuration has been changed, and the device needs to restart to make the

configuration effective.# 配置Switch4的堆叠ID为2。[Switch4] stack slot 0 renumber 2Warning: All the configurations related to the slot ID will be lost after the slot ID is

do not frequently modify slot ID, it will make the stack split. Continue?[Y/N]:YInfo: Stack configuration has been changed, and the device needs to restart to make the

configuration 3、Switch4下电，使用SFP+电缆连接GE0/0/28接口做堆叠口。说明下电前，建议通过命令save保存配置。本设备的stack-port 0/1必须连接邻设备的stack-port 0/2，否则堆叠组建不成功。图2-5 堆叠连线图GE0/0/28Switch3iStack LinkGE0/0/28Switch44.设备上电如果用户希望某台交换机为主交换机可以先为其上电，例如：希望Switch3做为主设备，可以先给Switch3上电，再为Switch4上电。5.检查堆叠是否建立成功[Switch3] display stackStack topology type: LinkStack system MAC: 0018-82b1-6eb4MAC switch delay time: 2 minStack reserved vlan: 4093Slot of the active management port: --Slot Role Mac address Priority Device type------------------------------------------------------------- 1 Master 0018-82b1-6eb4 200 S5720-36C-EI-AC 2 Standby 0018-82b1-6eba 150 S5720-36C-EI-AC可以看到一主一备，堆叠建立成功。步骤3部署Eth-Trunk接口：配置CSS与FW、汇聚交换机之间的跨框Eth-Trunk口1.防火墙FW：配置和核心交换机CSS之间互联的Eth-Trunk接口# 在FW1上创建Eth-Trunk 10，用于连接核心交换机CSS，并加入Eth-Trunk成员接口。[FW1] interface eth-trunk 10 //创建Eth-Trunk10接口，和CSS对接[FW1-Eth-Trunk10] quit[FW1] interface gigabitethernet 2/0/3

[FW1-GigabitEthernet2/0/3] eth-trunk 10[FW1-GigabitEthernet2/0/3] quit[FW1] interface gigabitethernet 2/0/4[FW1-GigabitEthernet2/0/4] eth-trunk 10[FW1-GigabitEthernet2/0/4] quit文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司30

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例# 在FW2上创建Eth-Trunk 20，用于连接核心交换机CSS，并加入Eth-Trunk成员接口。[FW2] interface eth-trunk 20 //创建Eth-Trunk20接口，和CSS对接[FW2-Eth-Trunk20] quit[FW2] interface gigabitethernet 2/0/3[FW2-GigabitEthernet2/0/3] eth-trunk 20[FW2-GigabitEthernet2/0/3] quit[FW2] interface gigabitethernet 2/0/4

[FW2-GigabitEthernet2/0/4] eth-trunk 20[FW2-GigabitEthernet2/0/4] quit2.核心交换机CSS：配置CSS和FW之间、CSS和汇聚交换机的跨框Eth-Trunk# 在CSS上创建Eth-Trunk10，用于连接FW1，并加入Eth-Trunk成员接口。[CSS] interface eth-trunk 10 //创建Eth-Trunk10接口，和FW1对接[CSS-Eth-Trunk10] quit[CSS] interface gigabitethernet 1/1/0/3

[CSS-GigabitEthernet1/1/0/3] eth-trunk 10[CSS-GigabitEthernet1/1/0/3] quit[CSS] interface gigabitethernet 2/1/0/3[CSS-GigabitEthernet2/1/0/3] eth-trunk 10[CSS-GigabitEthernet2/1/0/3] quit# 在CSS上创建Eth-Trunk20，用于连接FW2，并加入Eth-Trunk成员接口。[CSS] interface eth-trunk 20 //创建Eth-Trunk20接口，和FW2对接[CSS-Eth-Trunk20] quit[CSS] interface gigabitethernet 1/1/0/4

[CSS-GigabitEthernet1/1/0/4] eth-trunk 20

[CSS-GigabitEthernet1/1/0/4] quit[CSS] interface gigabitethernet 2/1/0/4[CSS-GigabitEthernet2/1/0/4] eth-trunk 20[CSS-GigabitEthernet2/1/0/4] quit# 在CSS上创建Eth-Trunk 100，用于连接汇聚交换机AGG1，并加入Eth-Trunk成员接口。[CSS] interface eth-trunk 100 //创建Eth-Trunk100接口，和AGG1相连[CSS-Eth-Trunk100] quit[CSS] interface gigabitethernet 1/2/0/3[CSS-GigabitEthernet1/2/0/3] eth-trunk 100[CSS-GigabitEthernet1/2/0/3] quit[CSS] interface gigabitethernet 2/2/0/3[CSS-GigabitEthernet2/2/0/3] eth-trunk 100[CSS-GigabitEthernet2/2/0/3] quit# 在CSS上创建Eth-Trunk 200，用于连接汇聚交换机AGG2，并加入Eth-Trunk成员接口。[CSS] interface eth-trunk 200 //创建Eth-Trunk200接口，和AGG2相连[CSS-Eth-Trunk200] quit[CSS] interface gigabitethernet 1/2/0/4

[CSS-GigabitEthernet1/2/0/4] eth-trunk 200[CSS-GigabitEthernet1/2/0/4] quit[CSS] interface gigabitethernet 2/2/0/4

[CSS-GigabitEthernet2/2/0/4] eth-trunk 200[CSS-GigabitEthernet2/2/0/4] quit3.汇聚交换机：配置汇聚交换机AGG和核心交换机CSS、汇聚交换机和接入交换机之间互联的Eth-Trunk接口# 配置AGG1。[AGG1] interface eth-trunk 100 //创建Eth-Trunk100接口，和CSS相连[AGG1-Eth-Trunk100] quit[AGG1] interface gigabitethernet 1/0/1[AGG1-GigabitEthernet1/0/1] eth-trunk 100[AGG1-GigabitEthernet1/0/1] quit[AGG1] interface gigabitethernet 2/0/1

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例[AGG1-Eth-Trunk500] quit[AGG1] interface gigabitethernet 1/0/5[AGG1-GigabitEthernet1/0/5] eth-trunk 500[AGG1-GigabitEthernet1/0/5] quit[AGG1] interface gigabitethernet 2/0/5

[AGG1-GigabitEthernet2/0/5] eth-trunk 500[AGG1-GigabitEthernet2/0/5] quit2 综合配置案例# 配置AGG2。[AGG2] interface eth-trunk 200 //创建Eth-Trunk200接口，和CSS相连[AGG2-Eth-Trunk200] quit[AGG2] interface gigabitethernet 1/0/1[AGG2-GigabitEthernet1/0/1] eth-trunk 200[AGG2-GigabitEthernet1/0/1] quit[AGG2] interface gigabitethernet 2/0/1

[AGG2-GigabitEthernet2/0/1] eth-trunk 200[AGG2-GigabitEthernet2/0/1] quit[AGG2] interface eth-trunk 600 //创建Eth-Trunk600接口，和接入交换机相连[AGG2-Eth-Trunk600] quit[AGG2] interface gigabitethernet 1/0/5[AGG2-GigabitEthernet1/0/5] eth-trunk 600[AGG2-GigabitEthernet1/0/5] quit[AGG2] interface gigabitethernet 2/0/5

[AGG2-GigabitEthernet2/0/5] eth-trunk 600[AGG2-GigabitEthernet2/0/5] quit步骤4配置各接口IP地址# 配置Router1。[Router1] interface loopback 0[Router1-LoopBack0] ip address 1.1.1.1 32 //用来做Router ID[Router1-LoopBack0] quit[Router1] interface gigabitethernet 0/0/2[Router1-GigabitEthernet0/0/2] ip address 202.10.1.1 24 //配置和外网相连的接口的IP地址[Router1-GigabitEthernet0/0/2] quit[Router1] interface gigabitethernet 0/0/1[Router1-GigabitEthernet0/0/1] ip address 10.1.1.1 24 //配置和FW1相连的接口的IP地址[Router1-GigabitEthernet0/0/1] quit# 配置Router2。[Router2] interface loopback 0[Router2-LoopBack0] ip address 2.2.2.2 32 //用来做Router ID[Router2-LoopBack0] quit[Router2] interface gigabitethernet 0/0/2[Router2-GigabitEthernet0/0/2] ip address 202.10.2.1 24 //配置和外网相连的接口的IP地址[Router2-GigabitEthernet0/0/2] quit[Router2] interface gigabitethernet 0/0/1[Router2-GigabitEthernet0/0/1] ip address 10.2.1.1 24 //配置和FW2相连的接口的IP地址[Router2-GigabitEthernet0/0/1] quit# 配置FW1。[FW1] interface loopback 0[FW1-LoopBack0] ip address 3.3.3.3 32 //用来做Router ID[FW1-LoopBack0] quit[FW1] interface gigabitethernet 1/0/1[FW1-GigabitEthernet1/0/1] ip address 10.1.1.2 24 //配置和Router1相连的接口的IP地址[FW1-GigabitEthernet1/0/1] quit[FW1] interface gigabitethernet 1/0/7[FW1-GigabitEthernet1/0/7] ip address 10.10.1.1 24 //配置双机热备心跳线IP地址[FW1-GigabitEthernet1/0/7] quit[FW1] interface eth-trunk 10[FW1-Eth-Trunk10] ip address 10.3.1.1 24 //配置和CSS相连的Eth-Trunk接口的IP地址[FW1-Eth-Trunk10] quit# 配置FW2。[FW2] interface loopback 0[FW2-LoopBack0] ip address 4.4.4.4 32 //用来做Router ID[FW2-LoopBack0] quit[FW2] interface gigabitethernet 1/0/1文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司32

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例[FW2-GigabitEthernet1/0/1] ip address 10.2.1.2 24 //配置和Router2相连的接口的IP地址[FW2-GigabitEthernet1/0/1] quit[FW2] interface gigabitethernet 1/0/7[FW2-GigabitEthernet1/0/7] ip address 10.10.1.2 24 //配置双机热备心跳线IP地址[FW2-GigabitEthernet1/0/7] quit[FW2] interface eth-trunk 20[FW2-Eth-Trunk20] ip address 10.4.1.1 24 //配置和CSS相连的Eth-Trunk接口的IP地址[FW2-Eth-Trunk20] quit# 配置CSS。[CSS] interface loopback 0[CSS-LoopBack0] ip address 5.5.5.5 32 //用来做Router ID[CSS-LoopBack0] quit[CSS] interface eth-trunk 10[CSS-Eth-Trunk10] undo portswitch //缺少情况下，交换机的Eth-Trunk接口为二层模式，如果作为三层接口使用，需要首先使用undo portswitch命令将接口切换为三层模式[CSS-Eth-Trunk10] ip address 10.3.1.2 24 //配置和FW1相连的Eth-Trunk10接口的IP地址[CSS-Eth-Trunk10] quit[CSS] interface eth-trunk 20[CSS-Eth-Trunk20] undo portswitch //缺少情况下，交换机的Eth-Trunk接口为二层模式，如果作为三层接口使用，需要首先使用undo portswitch命令将接口切换为三层模式[CSS-Eth-Trunk20] ip address 10.4.1.2 24 //配置和FW2相连的Eth-Trunk20接口的IP地址[CSS-Eth-Trunk20] quit[CSS] vlan batch 100 200 300 //批量创建VLAN

[CSS] interface eth-trunk 100[CSS-Eth-Trunk100] port link-type hybrid[CSS-Eth-Trunk100] port hybrid pvid vlan 100[CSS-Eth-Trunk100] port hybrid untagged vlan 100[CSS-Eth-Trunk100] quit[CSS] interface vlanif 100

[CSS-Vlanif100] ip address 10.5.1.1 24 //配置和汇聚交换机AGG1相连的接口的IP地址[CSS-Vlanif100] quit[CSS] interface eth-trunk 200[CSS-Eth-Trunk200] port link-type hybrid[CSS-Eth-Trunk200] port hybrid pvid vlan 200[CSS-Eth-Trunk200] port hybrid untagged vlan 200[CSS-Eth-Trunk200] quit[CSS] interface vlanif 200

[CSS-Vlanif200] ip address 10.6.1.1 24 //配置和汇聚交换机AGG2相连的接口的IP地址[CSS-Vlanif200] quit[CSS] interface gigabitethernet 1/1/0/10 //进入连接HTTP服务器的接口[CSS-GigabitEthernet1/1/0/10] port link-type access[CSS-GigabitEthernet1/1/0/10] port default vlan 300 //以Access方式加入VLAN 300[CSS-GigabitEthernet1/1/0/10] quit[CSS] interface vlanif 300

[CSS-Vlanif300] ip address 10.100.1.1 24 //配置连接HTTP服务器接口的IP地址[CSS-Vlanif300] quit# 配置AGG1。[AGG1] interface loopback 0[AGG1-LoopBack0] ip address 6.6.6.6 32 //用来做Router ID[AGG1-LoopBack0] quit[AGG1] vlan batch 100 500[AGG1] interface eth-trunk 100[AGG1-Eth-Trunk100] port link-type hybrid[AGG1-Eth-Trunk100] port hybrid pvid vlan 100[AGG1-Eth-Trunk100] port hybrid untagged vlan 100[AGG1-Eth-Trunk100] quit[AGG1] interface vlanif 100

[AGG1-Vlanif100] ip address 10.5.1.2 24 //配置和CSS相连的接口的IP地址[AGG1-Vlanif100] quit[AGG1] interface eth-trunk 500[AGG1-Eth-Trunk500] port link-type hybrid[AGG1-Eth-Trunk500] port hybrid pvid vlan 500[AGG1-Eth-Trunk500] port hybrid untagged vlan 500[AGG1-Eth-Trunk500] quit[AGG1] interface vlanif 500

[AGG1-Vlanif500] ip address 192.168.1.1 24 //配置和接入交换机相连的接口的IP地址，并作为部门A的网关

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例# 配置AGG2。[AGG2] interface loopback 0[AGG2-LoopBack0] ip address 7.7.7.7 32 //用来做Router ID[AGG2-LoopBack0] quit[AGG2] vlan batch 200 600[AGG2] interface eth-trunk 200[AGG2-Eth-Trunk200] port link-type hybrid[AGG2-Eth-Trunk200] port hybrid pvid vlan 200[AGG2-Eth-Trunk200] port hybrid untagged vlan 200[AGG2-Eth-Trunk200] quit[AGG2] interface vlanif 200

[AGG2-Vlanif200] ip address 10.6.1.2 24 //配置和CSS相连的接口的IP地址[AGG2-Vlanif200] quit[AGG2] interface eth-trunk 600[AGG2-Eth-Trunk600] port link-type hybrid[AGG2-Eth-Trunk600] port hybrid pvid vlan 600[AGG2-Eth-Trunk600] port hybrid untagged vlan 600[AGG2-Eth-Trunk600] quit[AGG2] interface vlanif 600

[AGG2-Vlanif600] ip address 192.168.2.1 24 //配置和接入交换机相连的接口的IP地址，并作为部门B的网关

[AGG2-Vlanif600] quit步骤5防火墙：配置防火墙各接口所属安全区域和安全策略# 将各接口加入到安全区域。[FW1] firewall zone trust[FW1-zone-trust] add interface Eth-Trunk 10 //将连接内网的Eth-Trunk10加入安全区域[FW1-zone-trust] quit[FW1] firewall zone untrust[FW1-zone-untrust] add interface gigabitethernet 1/0/1 //将连接外网的GE1/0/1加入非安全区域[FW1-zone-untrust] quit[FW1] firewall zone dmz[FW1-zone-dmz] add interface gigabitethernet 1/0/7 //将心跳口GE1/0/7加入DMZ区域[FW1-zone-dmz] quit[FW2] firewall zone trust[FW2-zone-trust] add interface Eth-Trunk 20 //将连接内网的Eth-Trunk20加入安全区域[FW2-zone-trust] quit[FW2] firewall zone untrust[FW2-zone-untrust] add interface gigabitethernet 1/0/1 //将连接外网的GE1/0/1加入非安全区域[FW2-zone-untrust] quit[FW2] firewall zone dmz[FW2-zone-dmz] add interface gigabitethernet 1/0/7 //将心跳口GE1/0/7加入DMZ区域[FW2-zone-dmz] quit# FW1:配置安全策略[FW1] policy interzone local untrust inbound[FW1-policy-interzone-local-untrust-inbound] policy 2[FW1-policy-interzone-local-untrust-inbound-2] policy source 10.1.1.1 mask 24 //允许位于untrust区域的接入路由器访问防火墙[FW1-policy-interzone-local-untrust-inbound-2] action permit[FW1-policy-interzone-local-untrust-inbound-2] quit[FW1-policy-interzone-local-untrust-inbound] quit[FW1] policy interzone local trust outbound[FW1-policy-interzone-local-trust-outbound] policy 1[FW1-policy-interzone-local-trust-outbound-1] policy source 10.3.1.2 mask 24 //允许位于Trust区域的设备访问防火墙[FW1-policy-interzone-local-trust-outbound-1] policy source 10.5.1.1 mask 24 //允许位于Trust区域的设备访问防火墙[FW1-policy-interzone-local-trust-outbound-1] policy source 192.168.1.1 mask 24 //允许位于Trust区域的设备访问防火墙[FW1-policy-interzone-local-outbound-inbound-1] action permit[FW1-policy-interzone-local-outbound-inbound-1] quit[FW1-policy-interzone-local-outbound-inbound] quit[FW1] policy interzone trust untrust outbound[FW1-policy-interzone-trust-untrust-outbound] policy 4[FW1-policy-interzone-trust-untrust-outbound-4] policy source 192.168.1.1 mask 24 //允许192.168.1.0/24网段访问外网文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司34

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例[FW1-policy-interzone-trust-untrust-outbound-4] action permit[FW1-policy-interzone-trust-untrust-outbound-4] quit[FW1-policy-interzone-trust-untrust-outbound] quit[FW1] policy interzone trust untrust inbound[FW1-policy-interzone-trust-untrust-inbound] policy 3[FW1-policy-interzone-trust-untrust-inbound-3] policy source 10.1.1.1 mask 24 //允许10.1.1.1访问内网[FW1-policy-interzone-trust-untrust-inbound-3] action permit[FW1-policy-interzone-trust-untrust-inbound-3] quit[FW1-policy-interzone-trust-untrust-inbound] quit# FW2:配置安全策略[FW2] policy interzone local untrust inbound[FW2-policy-interzone-local-untrust-inbound] policy 2[FW2-policy-interzone-local-untrust-inbound-2] policy source 10.2.1.1 mask 24 //允许位于untrust区域的接入路由器访问防火墙[FW2-policy-interzone-local-untrust-inbound-2] action permit[FW2-policy-interzone-local-untrust-inbound-2] quit[FW2-policy-interzone-local-untrust-inbound] quit[FW2] policy interzone local trust outbound[FW2-policy-interzone-local-trust-outbound] policy 1[FW2-policy-interzone-local-trust-outbound-1] policy source 10.4.1.2 mask 24 //允许位于Trust区域的设备访问防火墙[FW2-policy-interzone-local-trust-outbound-1] policy source 10.6.1.1 mask 24 //允许位于Trust区域的设备访问防火墙[FW2-policy-interzone-local-trust-outbound-1] policy source 192.168.2.1 mask 24 //允许位于Trust区域的设备访问防火墙[FW2-policy-interzone-local-dmz-inbound-1] action permit[FW2-policy-interzone-local-dmz-inbound-1] quit[FW2-policy-interzone-local-dmz-inbound] quit[FW2] policy interzone trust untrust inbound[FW2-policy-interzone-trust-untrust-inbound] policy 3[FW2-policy-interzone-trust-untrust-inbound-3] policy source 10.2.1.1 mask 24 //允许10.2.1.1访问内网[FW2-policy-interzone-trust-untrust-inbound-3] action permit[FW2-policy-interzone-trust-untrust-inbound-3] quit[FW2-policy-interzone-trust-untrust-inbound] quit步骤6部署路由1.路由器、防火墙、核心交换机上行接口配置为骨干区域Area 0# 配置Router1[Router1] router id 1.1.1.1

[Router1] ospf 1 //配置OSPF[Router1-ospf-1] area 0 //配置为骨干区域[Router1-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255 //将连接FW1的网段发布到OSPF骨干区域[Router1-ospf-1-area-0.0.0.0] quit[Router1-ospf-1] quit# 配置Router2[Router2] router id 2.2.2.2[Router2] ospf 1 //配置OSPF[Router2-ospf-1] area 0 //配置为骨干区域[Router2-ospf-1-area-0.0.0.0] network 10.2.1.0 0.0.0.255 //将连接FW2的网段发布到OSPF骨干区域[Router2-ospf-1-area-0.0.0.0] quit[Router2-ospf-1] quit# 配置FW1[FW1] router id 3.3.3.3[FW1] ospf 1 //配置OSPF[FW1-ospf-1] area 0 //配置为骨干区域[FW1-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255 //将连接Router1的网段发布到OSPF骨干区域文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司35

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例[FW1-ospf-1-area-0.0.0.0] network 10.3.1.0 0.0.0.255 //将连接CSS的网段发布到OSPF骨干区域[FW1-ospf-1-area-0.0.0.0] quit[FW1-ospf-1] quit# 配置FW2[FW2] router id 4.4.4.4[FW2] ospf 1 //配置OSPF[FW2-ospf-1] area 0 //配置为骨干区域[FW2-ospf-1-area-0.0.0.0] network 10.2.1.0 0.0.0.255 //将连接Router2的网段发布到OSPF骨干区域[FW2-ospf-1-area-0.0.0.0] network 10.4.1.0 0.0.0.255 //将连接CSS的网段发布到OSPF骨干区域[FW2-ospf-1-area-0.0.0.0] quit[FW2-ospf-1] quit# 配置CSS[CSS] router id 5.5.5.5[CSS] ospf 1 //配置OSPF[CSS-ospf-1] area 0 //配置为骨干区域[CSS-ospf-1-area-0.0.0.0] network 10.3.1.0 0.0.0.255 //将连接FW1的网段发布到OSPF骨干区域[CSS-ospf-1-area-0.0.0.0] network 10.4.1.0 0.0.0.255 //将连接FW2的网段发布到OSPF骨干区域[CSS-ospf-1-area-0.0.0.0] network 10.100.1.0 0.0.0.255 //将连接HTTP服务器的网段发布到OSPF骨干区域[CSS-ospf-1-area-0.0.0.0] quit[CSS-ospf-1] quit2.核心交换机下行接口、汇聚交换机配置为NSSA区域Area1、Area2# 配置CSS[CSS] ospf 1 //配置OSPF[CSS-ospf-1] area 1 //配置为Area1[CSS-ospf-1-area-0.0.0.1] network 10.5.1.0 0.0.0.255 //将连接AGG1的网段发布到OSPF Area 1[CSS-ospf-1-area-0.0.0.1] nssa //将Area 1配置为NSSA区域[CSS-ospf-1-area-0.0.0.1] quit[CSS-ospf-1] area 2 //配置为Area2[CSS-ospf-1-area-0.0.0.2] network 10.6.1.0 0.0.0.255 //将连接AGG2的网段发布到OSPF Area 2[CSS-ospf-1-area-0.0.0.2] nssa //将Area 1配置为NSSA区域[CSS-ospf-1-area-0.0.0.2] quit[CSS-ospf-1] quit# 配置AGG1[AGG1] ospf 1 //配置OSPF[AGG1-ospf-1] area 1 //配置为Area 1[AGG1-ospf-1-area-0.0.0.1] network 10.5.1.0 0.0.0.255 //将连接CSS的网段发布到OSPF Area 1[AGG1-ospf-1-area-0.0.0.1] network 192.168.1.0 0.0.0.255 //将用户网段发布到OSPF Aea 1[AGG1-ospf-1-area-0.0.0.1] nssa //将Area 1配置为NSSA区域[AGG1-ospf-1-area-0.0.0.1] quit[AGG1-ospf-1] quit# 配置AGG2[AGG2] ospf 1 //配置OSPF[AGG2-ospf-1] area 2 //配置为Area 2[AGG2-ospf-1-area-0.0.0.2] network 10.6.1.0 0.0.0.255 //将连接CSS的网段发布到OSPF Area 2[AGG2-ospf-1-area-0.0.0.2] network 192.168.2.0 0.0.0.255 //将用户网段发布到OSPF Aea 1[AGG2-ospf-1-area-0.0.0.2] nssa //将Area 2配置为NSSA区域[AGG2-ospf-1-area-0.0.0.2] quit[AGG2-ospf-1] quit3.在核心交换机上配置一条缺省路由，下一跳指向防火墙，在防火墙上配置一条缺省路由，下一跳指向出口路由器，出口路由器上配置一条缺省路由，下一跳指向运行商网络设备的对接地址（公网网关）[Router1] ip route-static 0.0.0.0 0.0.0.0 202.10.1.2[Router2] ip route-static 0.0.0.0 0.0.0.0 202.10.2.2[FW1] ip route-static 0.0.0.0 0.0.0.0 10.1.1.1[FW2] ip route-static 0.0.0.0 0.0.0.0 10.2.1.1[CSS] ip route-static 0.0.0.0 0.0.0.0 10.3.1.1[CSS] ip route-static 0.0.0.0 0.0.0.0 10.4.1.1文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司36

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例4.检查配置结果在AGG上查看路由表，可以看到内网各网段都生成了路由，并且通过NSSA区域生成一条缺省路由，以AGG1为例：[AGG1] display ip routing-table

Route Flags: R - relay, D - download to fib------------------------------------------------------------------------------Routing Tables: Public Destinations : 14 Routes : 14

Destination/Mask Proto Pre Cost Flags NextHop Interface 0.0.0.0/0 O_NSSA 150 1 D 10.5.1.1 Vlanif100 6.6.6.6/32 Direct 0 0 D 127.0.0.1 LoopBack0 10.1.1.0/24 OSPF 10 3 D 10.5.1.1 Vlanif100 10.2.1.0/24 OSPF 10 3 D 10.5.1.1 Vlanif100 10.3.1.0/24 OSPF 10 2 D 10.5.1.1 Vlanif100 10.4.1.0/24 OSPF 10 2 D 10.5.1.1 Vlanif100 10.5.1.0/24 Direct 0 0 D 10.5.1.2 Vlanif100 10.5.1.2/32 Direct 0 0 D 127.0.0.1 Vlanif100 10.6.1.0/24 OSPF 10 2 D 10.5.1.1 Vlanif100 127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 192.168.1.0/24 Direct 0 0 D 192.168.1.1 Vlanif500 192.168.1.1/32 Direct 0 0 D 127.0.0.1 Vlanif500 192.168.2.0/24 OSPF 10 3 D 10.5.1.1 Vlanif100# 在CSS上查看路由表，可以看到到内网各网段都生成了路由，上行到防火墙的两条路Cost值都一样，说明采用负载负担方式上行。[CSS] display ip routing-table

Route Flags: R - relay, D - download to fib------------------------------------------------------------------------------Routing Tables: Public Destinations : 18 Routes : 19

Destination/Mask Proto Pre Cost Flags NextHop Interface 0.0.0.0/0 Static 60 0 RD 10.3.1.1 Eth-Trunk10 Static 60 0 RD 10.4.1.1 Eth-Trunk20 5.5.5.5/32 Direct 0 0 D 127.0.0.1 LoopBack0 10.1.1.0/24 OSPF 10 2 D 10.3.1.1 Eth-Trunk10 10.2.1.0/24 OSPF 10 2 D 10.4.1.1 Eth-Trunk20 10.3.1.0/24 Direct 0 0 D 10.3.1.2 Eth-Trunk10 10.3.1.2/32 Direct 0 0 D 127.0.0.1 Eth-Trunk10 10.4.1.0/24 Direct 0 0 D 10.4.1.2 Eth-Trunk20 10.4.1.2/32 Direct 0 0 D 127.0.0.1 Eth-Trunk20 10.5.1.0/24 Direct 0 0 D 10.5.1.1 Vlanif100 10.5.1.1/32 Direct 0 0 D 127.0.0.1 Vlanif100 10.6.1.0/24 Direct 0 0 D 10.6.1.1 Vlanif200 10.6.1.1/32 Direct 0 0 D 127.0.0.1 Vlanif200 10.100.1.0/24 Direct 0 0 D 10.100.1.1 Vlanif300 10.100.1.1/32 Direct 0 0 D 127.0.0.1 Vlanif300 127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 192.168.1.0/24 OSPF 10 2 D 10.5.1.2 Vlanif100 192.168.2.0/24 OSPF 10 2 D 10.6.1.2 Vlanif200步骤7核心交换机CSS、汇聚交换机AGG：配置DHCP# 在核心交换机CSS上配置DHCP服务器，自动为用户分配IP地址。[CSS] dhcp enable //使能DHCP[CSS] interface vlanif 100 //通过VLANIF100接口为部门A用户分配IP地址[CSS-Vlanif100] dhcp select global //配置全局DHCP服务器[CSS-Vlanif100] quit[CSS] interface vlanif 200 //通过VLANIF100接口为部门B用户分配IP地址[CSS-Vlanif200] dhcp select global //配置全局DHCP服务器[CSS-Vlanif200] quit[CSS] ip pool poola //配置地址池poola，为部门A用户分配IP地址/文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司37

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例[CSS-ip-pool-poola] network 192.168.1.0 mask 24 //配置为部门A分配的网段[CSS-ip-pool-poola] gateway-list 192.168.1.1 //配置为部门A用户分批的网关[CSS-ip-pool-poola] quit[CSS] ip pool poolb //配置地址池poolb，为部门B用户分配IP地址[CSS-ip-pool-poolb] network 192.168.2.0 mask 24 //配置为部门B分配的网段[CSS-ip-pool-poolb] gateway-list 192.168.2.1 //配置为部门B用户分批的网关[CSS-ip-pool-poolb] quit2 综合配置案例# 在汇聚交换机AGG1上配置DHCP中继。[AGG1] dhcp enable //使能DHCP[AGG1] interface vlanif 500

[AGG1-Vlanif500] dhcp select relay //配置DHCP中继[AGG1-Vlanif500] dhcp relay server-ip 10.5.1.1 //配置DHCP服务器IP地址[AGG1-Vlanif500] quit# 在汇聚交换机AGG2上配置DHCP中继。[AGG2] dhcp enable //使能DHCP[AGG2] interface vlanif 600

[AGG2-Vlanif600] dhcp select relay //配置DHCP中继[AGG2-Vlanif600] dhcp relay server-ip 10.6.1.1 //配置DHCP服务器IP地址[AGG2-Vlanif600] quit# 检查配置结果。在客户端配置通过DHCP服务器获取IP地址，然后在设备上查看地址池情况，可以看到已分配两个IP地址给用户（Used :2），还剩余503个（Idle :503），说明IP地址已经分配成功。[CSS] display ip pool

----------------------------------------------------------------------- Pool-name : poola Pool-No : 0 Position : Local Status : Unlocked Gateway-0 : 192.168.1.1

Mask : 255.255.255.0 VPN instance : -- ----------------------------------------------------------------------- Pool-name : poolb Pool-No : 1 Position : Local Status : Unlocked Gateway-0 : 192.168.2.1

Mask : 255.255.255.0 VPN instance : -- IP address Statistic Total :506

Used :2 Idle :503

Expired :0 Conflict :1 Disable :0

步骤8出口路由器：配置NAT内网用户使用的私网IP地址，要想实现如下功能：ll部门A用户可以访问Internet，在出口路由器配置NAT地址转换，在出口路由器将私网IP地址转换成公网IP。外网用户能否访问内网HTTP服务器，在出口路由器配置NAT Server。说明假设运营商分配给企业用户的公网IP为：202.10.1.2~202.10.1.10，202.10.2.2~202.10.2.10。其中202.10.1.2作为Router1连接外网的IP地址，202.10.2.2为Router2连接外网的IP地址。202.10.1.10作为外网用户访问HTTP服务器的公网地址。内网用户使用剩余IP公网IP访问Internet。# 在Router1上配置NAT，将部门A的用户的IP私网地址转换成公网IP，保证部门A的用户能够访问Internet文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司38

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例[Router1] nat address-group 1 202.10.1.3 202.10.1.9 //配置NAT地址池，包括用来运营商分配的公网IP[Router1] acl number 2000[Router1-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255 //配置可以用来访问外网的用户地址段[Router1-acl-basic-2000] quit[Router1] interface gigabitethernet 0/0/2[Router1-GigabitEthernet0/0/2] nat outbound 2000 address-group 1 //在连接外网的接口上应用NAT[Router1-GigabitEthernet0/0/2] quit# 在Router2上配置NAT，将部门A的用户的IP私网地址转换成公网IP[Router2] nat address-group 1 202.10.2.3 202.10.2.10 //配置NAT地址池，包括用来运营商分配的公网IP[Router2] acl number 2000[Router2-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255 //配置可以用来访问外网的用户地址段[Router2-acl-basic-2000] quit[Router2] interface gigabitethernet 0/0/2[Router2-GigabitEthernet0/0/2] nat outbound 2000 address-group 1 //在连接外网的接口上应用NAT

[Router2-GigabitEthernet0/0/2] quit# 检查配置结果[Router2] display nat outboundNAT Outbound Information: -------------------------------------------------------------------------

Interface Acl Address-group/IP/Interface Type ------------------------------------------------------------------------- GigabitEthernet0/0/2 2000 1 pat -------------------------------------------------------------------------

Total : 1# 在Router1和Router2上配置NAT Server，保证外部用户能够访问内网HTTP服务器[Router1] interface gigabitethernet 0/0/2[Router1-GigabitEthernet0/0/2] nat server protocol tcp global 202.10.1.10 http inside 10.100.1.1

http //允许Internet用户访问公司内部HTTP服务器[Router1-GigabitEthernet0/0/2] quit[Router2] interface gigabitethernet 0/0/2[Router2-GigabitEthernet0/0/2] nat server protocol tcp global 202.10.1.10 http inside 10.100.1.1

http //允许Internet用户访问公司内部HTTP服务器[Router2-GigabitEthernet0/0/2] quit步骤9防火墙：配置双机热备# 在FW1上配置VGMP组监控上下行业务接口。[FW1] hrp track interface gigabitethernet 1/0/1 //配置VGMP组监控上行接口[FW1] hrp track interface eth-trunk 10 //配置VGMP组监控下行接口# 在FW1配置根据HRP状态调整OSPF的相关COST值的功能。[FW1] hrp adjust ospf-cost enable# 在FW2上配置VGMP组监控上下行业务接口。[FW2] hrp track interface gigabitthernet 1/0/1 //配置VGMP组监控上行接口[FW2] hrp track interface eth-trunk 20 //配置VGMP组监控下行接口# 在FW2配置根据HRP状态调整OSPF的相关COST值的功能。[FW2] hrp adjust ospf-cost enable在FW1上指定心跳接口，启用双机热备。[FW1] hrp interface gigabitethernet 1/0/7 remote 10.10.1.2 //配置心跳口，并启用双机热备[FW1] hrp enable //启动HRP双机热备份功能HRP_M[FW1] hrp mirror session enable //启动会话快速备份功能, 防火墙工作于双机热备份组网环境下，如果报文的来回路径不一致，通过配置会话快速备份功能，能够保证主用防火墙的会话信息立即同步至备用防火墙。当主用防火墙出现故障时，报文能够被备用防火墙转发出去，从而保证内外部用户的会话不中断说明双机热备功能配置完成后，主用设备的配置和会话会自动备份到备用设备上。# 在FW2上指定心跳接口，启用双机热备。文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司39

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例[FW2] hrp interface gigabitethernet 1/0/7 remote 10.10.1.1 //配置心跳口，并启用双机热备[FW2] hrp enable //启动HRP双机热备份功能HRP_B[FW2] hrp mirror session enable //启动会话快速备份功能, 防火墙工作于双机热备份组网环境下，如果报文的来回路径不一致，通过配置会话快速备份功能，能够保证主用防火墙的会话信息立即同步至备用防火墙。当主用防火墙出现故障时，报文能够被备用防火墙转发出去，从而保证内外部用户的会话不中断# 检查配置结果。HRP_M[FW1] display hrp state Role: active, peer: active Running priority: 49012, peer: 49012

Core state: normal, peer: normal

Backup channel usage: 3%

Stable time: 0 days, 5 hours, 1 minutes

以看到本端和对端优先级相同，且状态都为active，说明两台防火墙处于负载分担状态。步骤10防火墙：配置攻击防范对于内部服务器，可能会遭受SYN Flood、HTTP Flood攻击，所以在防火墙上开启SYNFlood、HTTP Flood攻击防范功能，保护内部服务器不受攻击。说明本举例中的攻击防范阈值仅供参考，实际配置时，请根据网络实际流量进行配置。HRP_M[FW1] firewall defend syn-flood enableHRP_M[FW1] firewall defend syn-flood zone untrust max-rate 20000HRP_M[FW1] firewall defend udp-flood enableHRP_M[FW1] firewall defend udp-flood zone untrust max-rate 1500HRP_M[FW1] firewall defend icmp-flood enableHRP_M[FW1] firewall defend icmp-flood zone untrust max-rate 20000HRP_M[FW1] firewall blacklist enableHRP_M[FW1] firewall defend ip-sweep enableHRP_M[FW1] firewall defend ip-sweep max-rate 4000HRP_M[FW1] firewall defend port-scan enableHRP_M[FW1] firewall defend port-scan max-rate 4000HRP_M[FW1] firewall defend ip-fragment enableHRP_M[FW1] firewall defend ip-spoofing enable----结束配置文件lRouter1的配置文件#sysname Router1#acl number 2000 rule permit source 192.168.1.0 0.0.0.255#nat address-group 1 202.10.1.3 202.10.1.9

#interface GigabitEthernet 0/0/1 ip address 10.1.1.1 255.255.255.0#interface GigabitEthernet 0/0/2 ip address 202.10.1.1 255.255.255.0 nat outbound 2000 address-group 1 nat server protocol tcp global 202.10.1.10 http inside 10.100.1.10 http

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例ip route-static 0.0.0.0 0.0.0.0 202.10.1.2#return2 综合配置案例lRouter2的配置文件#sysname Router2#acl number 2000 rule permit source 192.168.1.0 0.0.0.255#nat address-group 1 202.10.2.3 202.10.2.10 mask 255.255.255.0

#interface GigabitEthernet 0/0/1 ip address 10.2.1.1 255.255.255.0#interface GigabitEthernet 0/0/2 ip address 202.10.2.1 255.255.255.0 nat outbound 2000 address-group 1 nat server protocol tcp global 202.10.1.10 http inside 10.100.1.10 http

#interface LoopBack0 ip address 2.2.2.2 255.255.255.255#ospf 1 router id 2.2.2.2 area 0.0.0.0 network 10.2.1.0 0 0.0.0.255#ip route-static 0.0.0.0 0.0.0.0 202.10.2.2#returnlFW1的配置文件#sysname FW1#

router id 3.3.3.3

#hrp mirror session enablehrp adjust ospf-cost enablehrp enablehrp interface GigabitEthernet 1/0/7 remote 10.10.1.2hrp track interface GigabitEthernet1/0/1

hrp track interface Eth-Trunk 10

#interface Eth-Trunk 10 ip address 10.3.1.1 255.255.255.0#interface GigabitEthernet 1/0/1 ip address 10.1.1.2 255.255.255.0#interface GigabitEthernet 1/0/7 ip address 10.10.1.1 255.255.255.0#interface GigabitEthernet 2/0/3 eth-trunk 10#interface GigabitEthernet 2/0/4 eth-trunk 10#interface LoopBack0 ip address 3.3.3.3 255.255.255.255#

firewall zone trust

set priority 85

add interface Eth-Trunk10#

firewall zone dmz

set priority 50

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例#

firewall zone untrust

set priority 5

add interface GigabitEthernet 1/0/1#

ospf 1

area 0.0.0.0

network 10.1.1.0 0.0.0.255 network 10.3.1.0 0.0.0.255

#ip route-static 0.0.0.0 0.0.0.0 10.1.1.1#policy interzone local trust outbound policy 1 action permit policy source 10.3.1.0 mask 24 policy source 10.5.1.0 mask 24 policy source 192.168.1.0 mask 24#policy interzone local untrust inbound policy 2 action permit policy source 10.1.1.0 mask 24#policy interzone trust untrust inbound policy 3 action permit policy source 10.1.1.0 mask 24#policy interzone trust untrust outbound policy 4 action permit policy source 192.168.1.0 mask 24#firewall defend syn-flood enablefirewall defend syn-flood zone untrust max-rate 20000firewall defend udp-flood enablefirewall defend udp-flood zone untrust max-rate 1500firewall defend icmp-flood enablefirewall defend icmp-flood zone untrust max-rate 20000firewall blacklist enablefirewall defend ip-sweep enablefirewall defend ip-sweep max-rate 4000firewall defend port-scan enablefirewall defend port-scan max-rate 4000firewall defend ip-fragment enablefirewall defend ip-spoofing enable#

returnlFW2的配置文件#sysname FW2#

router id 4.4.4.4

#hrp mirror session enablehrp adjust ospf-cost enablehrp enablehrp interface GigabitEthernet 1/0/7 remote 10.10.1.1hrp track interface GigabitEthernet1/0/1

hrp track interface Eth-Trunk 20

#interface Eth-Trunk 20 ip address 10.4.1.1 255.255.255.0#interface GigabitEthernet 1/0/1 ip address 10.2.1.2 255.255.255.0#interface GigabitEthernet 1/0/7文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司42

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例 ip address 10.10.1.2 255.255.255.0#interface GigabitEthernet 2/0/3 eth-trunk 20#interface GigabitEthernet 2/0/4 eth-trunk 20#interface LoopBack0 ip address 4.4.4.4 255.255.255.255#

firewall zone trust

set priority 85

add interface Eth-Trunk20#

firewall zone dmz

set priority 50

add interface GigabitEthernet1/0/7#

firewall zone untrust

set priority 5

add interface GigabitEthernet 1/0/1#

ospf 1

area 0.0.0.0

network 10.2.1.0 0.0.0.255 network 10.4.1.0 0.0.0.255

#ip route-static 0.0.0.0 0.0.0.0 10.2.1.1#policy interzone local trust outbound policy 1 action permit policy source 10.4.1.0 mask 24 policy source 10.6.1.0 mask 24 policy source 192.168.2.0 mask 24#policy interzone local untrust inbound policy 2 action permit policy source 10.2.1.0 mask 24#policy interzone trust untrust inbound policy 3 action permit policy source 10.2.1.0 mask 24#firewall defend syn-flood enablefirewall defend syn-flood zone untrust max-rate 20000firewall defend udp-flood enablefirewall defend udp-flood zone untrust max-rate 1500firewall defend icmp-flood enablefirewall defend icmp-flood zone untrust max-rate 20000firewall blacklist enablefirewall defend ip-sweep enablefirewall defend ip-sweep max-rate 4000firewall defend port-scan enablefirewall defend port-scan max-rate 4000firewall defend ip-fragment enablefirewall defend ip-spoofing enable#

returnlCSS的配置文件#sysname CSS#

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例#ip pool poola gateway-list 192.168.1.1

network 192.168.1.0 mask 255.255.255.0

#ip pool poolb gateway-list 192.168.2.1

network 192.168.2.0 mask 255.255.255.0

#interface Vlanif 100 ip address 10.5.1.1 255.255.255.0 dhcp select global#interface Vlanif 200 ip address 10.6.1.1 255.255.255.0 dhcp select global#interface Vlanif 300 ip address 10.100.1.100 255.255.255.0#interface Eth-Trunk 10 undo portswitch ip address 10.3.1.2 255.255.255.0#interface Eth-Trunk 20 undo portswitch ip address 10.4.1.2 255.255.255.0#

interface Eth-Trunk 100 port link-type hybrid port hybrid pvid vlan 100 port hybrid untagged vlan 100#interface Eth-Trunk 200 port link-type hybrid port hybrid pvid vlan 200 port hybrid untagged vlan 200#interface GigabitEthernet 1/1/0/1 port link-type access port default vlan 300#interface GigabitEthernet 1/1/0/3 eth-trunk 10#interface GigabitEthernet 1/1/0/4 eth-trunk 20#interface GigabitEthernet 1/2/0/3 eth-trunk 100#interface GigabitEthernet 1/2/0/4 eth-trunk 200#interface GigabitEthernet 2/1/0/3 eth-trunk 10#interface GigabitEthernet 2/1/0/4 eth-trunk 20#interface GigabitEthernet 2/2/0/3 eth-trunk 100#interface GigabitEthernet 2/2/0/4 eth-trunk 200#interface LoopBack0 ip address 5.5.5.5 255.255.255.255#

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例

ospf 1 router-id

5.5.5.5

area 0.0.0.0

network 10.3.1.0 0.0.0.255 network 10.4.1.0 0.0.0.255 network 10.100.1.0 0.0.0.255

area 0.0.0.1

network 10.5.1.0 0.0.0.255 area 0.0.0.2

network 10.6.1.0 0.0.0.255

#ip route-static 0.0.0.0 0.0.0.0 10.3.1.1ip route-static 0.0.0.0 0.0.0.0 10.4.1.1#

returnlAGG1的配置文件#sysname AGG1#

vlan batch 100 500#interface Vlanif 100 ip address 10.5.1.2 255.255.255.0#interface Vlanif 500 ip address 192.168.1.1 255.255.255.0 dhcp select relay dhcp relay server-ip 10.5.1.1#interface Eth-Trunk 100 port link-type hybrid port hybrid pvid vlan 100 port hybrid untagged vlan 100#interface Eth-Trunk 500 port link-type hybrid port hybrid pvid vlan 500 port hybrid untagged vlan 500#interface GigabitEthernet 1/0/1 eth-trunk 100#interface GigabitEthernet 2/0/1 eth-trunk 100#interface GigabitEthernet 1/0/5 eth-trunk 500#interface GigabitEthernet 2/0/5 eth-trunk 500#interface LoopBack0 ip address 6.6.6.6 255.255.255.255#

ospf 1 router-id

6.6.6.6

area 0.0.0.1

network 10.5.1.0 0.0.0.255 network 192.168.1.0 0.0.0.255

nssa#

returnlAGG2的配置文件#sysname AGG2#

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例#interface Vlanif 200 ip address 10.6.1.2 255.255.255.0#interface Vlanif 600 ip address 192.168.2.1 255.255.255.0 dhcp select relay dhcp relay server-ip 10.6.1.1#interface Eth-Trunk 200 port link-type hybrid port hybrid pvid vlan 200 port hybrid untagged vlan 200#interface Eth-Trunk 600 port link-type hybrid port hybrid pvid vlan 600 port hybrid untagged vlan 600#interface GigabitEthernet 1/0/1 eth-trunk 200#interface GigabitEthernet 2/0/1 eth-trunk 200#interface GigabitEthernet 1/0/5 eth-trunk 600#interface GigabitEthernet 2/0/5 eth-trunk 600#interface LoopBack0 ip address 7.7.7.7 255.255.255.255#

ospf 1 router-id

7.7.7.7

area 0.0.0.2

network 10.6.1.0 0.0.0.255 network 192.168.2.0 0.0.0.255

nssa#

return2.3 大型园区出口配置示例（防火墙旁路部署）配置注意事项lll本举例中的交换机以华为公司的S系列框式交换机为例、防火墙以USG系列为例、路由器以NE系列为例。本配置案例仅涉及企业网络出口相关配置，涉及企业内网的相关配置请参见华为S系列园区交换机快速配置中的“大型园区组网场景”。本例仅涉及防火墙与交换机的对接配置以及防火墙的双机热备配置。防火墙上的安全业务规划及园区安全策略、攻击防范、带宽管理、IPSec等功能的配置示例请参见《防火墙配置案例集》。本例仅涉及园区出口路由器与交换机的对接配置。路由器在公网侧的配置示例请参见NE系列路由器《配置指南》。l组网需求在大型园区出口，核心交换机上行通过路由器访问外网。防火墙旁挂于核心交换机，对业务流量提供安全过滤功能。文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司46

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例为了简化网络并提高可靠性，在核心层交换机通常部署集群。在防火墙上部署双机热备（主备模式），当其中一台故障时，业务可以平滑切换到另一台。核心交换机双归接入2台出口路由器，路由器之间部署VRRP确保可靠性。为提高链路可靠性，在核心交换机与出口路由器之间，核心交换机与防火墙之间，2台防火墙之间均通过Eth-Trunk互连。如下图所示。图2-6 园区出口组网图（防火墙旁挂，双机热备）外网访问内网的流量路径示例Internet园区出口区域Router 1Router 2内网访问外网的流量路径示例VRRP VRID 1FW 1CSS双机热备FW 2汇聚交换机业务网络2汇聚交换机业务网络1

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例Public作为连接出口路由器的交换机。对于下行流量，它将外网进来的流量转发给FW进行检测；对于上行流量，它接收经FW检测后的流量，并转发到路由器。VRF-A作为连接内网侧的交换机。对于下行流量，它接收经FW检测后的流量，并转发到内网；对于上行流量，它将内网的流量转发到FW去检测。根据上图中的流量转发路径可以将上图转换成如下所示的更容易理解的逻辑组网图。文档版本 13 (2017-01-10)华为专有和保密信息版权所有 © 华为技术有限公司48

S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交换机典型配置举例2 综合配置案例图2-7 交换机与路由器、防火墙之间物理接口连接示意图外网访问内网的流量路径示例内网访问外网的流量路径示例InternetRouter 110GE1/0/1Eth-Trunk110GE1/0/210GE1/0/1Router 210GE1/0/2Eth-Trunk1Eth-Trunk110GE1/4/0/0Eth-Trunk210GE2/4/0/110GE2/4/0/010GE1/4/0/1Switch 1

(主)GE1/1/0/7GE1/2/0/7CSS外网侧PublicGE2/1/0/7Switch 2

(备)GE2/2/0/7Eth-Trunk4Eth-Trunk6Eth-Trunk4GE1/0/0GE1/0/1GE2/0/0GE2/0/1GE1/0/0GE2/0/0GE2/0/1Eth-Trunk6GE1/0/1FW 1GE1/1/0Eth-Trunk5FW 2GE1/1/1Eth-Trunk7Eth-Trunk1Eth-Trunk1GE1/1/1GE1/1/0Eth-Trunk5GE1/1/0/8GE1/2/0/8Eth-Trunk7GE2/1/0/8GE2/2/0/8Switch 1

(主)CSS内网侧VRF-ASwitch 2