大型園區(qū)出口配置標(biāo)準(zhǔn)規(guī)定樣式(防火墻直連部署)

.1大型園區(qū)出口配置示例（防火墻直連部署）組網(wǎng)需求如圖1-1所示，在大型園區(qū)出口，核心交換機(jī)上行和防火墻進(jìn)行直連，通過防火墻連接到出口網(wǎng)關(guān)，對(duì)出入園區(qū)的業(yè)務(wù)流量提供安全過濾功能，為網(wǎng)絡(luò)安全提供保，網(wǎng)絡(luò)要求如下：精品文檔放心下載內(nèi)網(wǎng)用戶使用私網(wǎng)IP地址，用戶的IP地址使用DHCP自動(dòng)分配。謝謝閱讀部門A用戶能夠訪問Internet，部門B用戶不能訪問Internet。精品文檔放心下載內(nèi)外網(wǎng)用戶都可以訪問HTTP服務(wù)器。保證網(wǎng)絡(luò)的可靠性，每個(gè)節(jié)點(diǎn)都進(jìn)行冗余設(shè)計(jì)。.圖1-1園區(qū)出口組網(wǎng)圖（防火墻直連）Inernet接入點(diǎn) 接入點(diǎn)GE0/0/2GE0/0/2Router1Router2GE0/0/1GE0/0/1OSPF0GE1/0/1GE1/0/1FW1GE1/0/7GE1/0/7FW2GE2/0/3GE2/0/4GE2/0/4GE2/0/3Eth-Trunk10

Eth-Trunk20Swich1(主) Swich2(備)CSSHTTP服務(wù)器OSPF1 Eth-Trunk100 Eth-Trunk200感謝閱讀OSPF2部門A 部門BAGG1 AGG2Switch3(主) Switch4(備) Switch5(主) Switch6(備)謝謝閱讀.部署要點(diǎn)路由部署：????

RouterID：為每臺(tái)設(shè)備配置一個(gè)Loopback地址，作為設(shè)備的RouterID。精品文檔放心下載出口路由器、防火墻、核心交換機(jī)作為OSPF骨干區(qū)域Area0，出口路由器作為ASBR，核心交換機(jī)為ABR。感謝閱讀部門A和部門B的的OSPF區(qū)域分別配置為Area1和Area2，并配置為NSSA區(qū)域，減少LSA在區(qū)域間的傳播。謝謝閱讀為了引導(dǎo)各設(shè)備的上行流量，在核心交換機(jī)上配置一條缺省路由，下一跳指向防火墻，在防火墻上配置一條缺省路由，下一跳指向出口路由器，出口路由器上配置一條缺省路由，下一跳指向運(yùn)行商網(wǎng)絡(luò)設(shè)備的對(duì)接地址（公網(wǎng)網(wǎng)關(guān)）。精品文檔放心下載可靠性部署：推薦使用CSS+iStack+Eth-trunk無環(huán)以太網(wǎng)技術(shù)，讓可靠性變得簡(jiǎn)單。精品文檔放心下載在核心交換機(jī)部署集群（CSS），匯聚交換機(jī)部署堆疊（iStack），保證設(shè)備級(jí)可靠性。謝謝閱讀為提高鏈路可靠性、在核心交換機(jī)與防火墻之間、核心交換機(jī)和匯聚交換機(jī)之間、匯聚交換機(jī)和接入交換機(jī)之間均通過Eth-Trunk互連。精品文檔放心下載在防火墻上部署雙機(jī)熱備，兩臺(tái)防火墻之間實(shí)現(xiàn)負(fù)載分擔(dān)。感謝閱讀DHCP部署：核心交換機(jī)配置DHCP服務(wù)器，為用戶自動(dòng)分配IP地址。謝謝閱讀在匯聚交換機(jī)上配置DHCPRelay，保證能夠通過DHCP服務(wù)為用戶分配IP地址。感謝閱讀NAT部署：為了使內(nèi)網(wǎng)用戶訪問Internet，在兩臺(tái)出口路由器的上行口配置NAT，實(shí)現(xiàn)私網(wǎng)地址和公網(wǎng)地址之間的轉(zhuǎn)換。通過ACL匹配部門A的源IP地址，從而實(shí)現(xiàn)部門A的用戶可以訪問Internet，而部門B的用戶不能訪問Internet。精品文檔放心下載為了保證外網(wǎng)用戶能夠訪問HTTP服務(wù)器，在兩臺(tái)出口路由器上配置NATServer。精品文檔放心下載安全部署：防火墻配置安全策略，對(duì)流量進(jìn)行過濾，保證網(wǎng)絡(luò)安全。.設(shè)備規(guī)劃設(shè)備類型 設(shè)備型號(hào)路由器Router1、Router2 華為AR3600系列路由器謝謝閱讀防火墻FW1、FW2 華為USG9000系列防火墻謝謝閱讀核心交換機(jī)做CSS 華為S7700/S9700/S12700交換機(jī)謝謝閱讀匯聚交換機(jī)做iStack 華為S5720EI系列交換機(jī)，使用業(yè)務(wù)口做堆疊精品文檔放心下載數(shù)據(jù)規(guī)劃設(shè)備接口編成員接VLANIF號(hào)口RouterGE0/0/--11GE0/0/--2Router GE0/0/ - -1GE0/0/2FW1GE1/0/--1GE1/0/--7Eth-GE2/0/-Trunk130GE2/0/4

IP地址對(duì)端設(shè)對(duì)端接口編號(hào)備FW1GE1/0/1/24202.10.假設(shè)此接口用于連接運(yùn)營(yíng)商設(shè)1.1/24備接口，IP地址為運(yùn)營(yíng)商分配的公網(wǎng)IP。FW2GE1/0/1/24202.10.假設(shè)此接口用于連接運(yùn)營(yíng)商設(shè)2.1/24備接口，IP地址為運(yùn)營(yíng)商分配的公網(wǎng)IP。RouterGE0/0/1/24110.10.1.FW2GE1/0/71/24CSSEth-Trunk10/24.設(shè)備接口編成員接VLANIFIP地址對(duì)端設(shè)對(duì)端接口編號(hào)號(hào)口備FW2GE1/0/--RouterGE0/0/11/242GE1/0/--10.10.1.FW1GE1/0/772/24Eth-GE2/0/-CSSEth-Trunk20Trunk23/240GE2/0/4CSSGE1/1/-VLANIF10.100.HTTP以太網(wǎng)接口0/103001.1服務(wù)器Eth-GE1/1/-FW1Eth-Trunk10Trunk10/3/240GE2/1/0/3Eth-GE1/1/-FW2Eth-Trunk20Trunk20/4/240GE2/1/0/4Eth-GE1/2/VLANIFAGG1Eth-Trunk100Trunk10/3100/2400GE2/2/0/3Eth-GE1/2/VLANIFAGG2Eth-Trunk200Trunk20/4200/2400GE2/2/0/4AGG1Eth-GE1/0/VLANIFCSSEth-Trunk100.設(shè)備接口編成員接VLANIFIP地址對(duì)端設(shè)對(duì)端接口編號(hào)號(hào)口備Trunk11100/2400GE2/0/1Eth-GE1/0/VLANIF192.16假設(shè)此接口用于連接部門A，Trunk55008.1.1/2并作為部門A用戶的網(wǎng)關(guān)500GE2/0/45AGG2Eth-GE1/0/VLANIFCSSTrunk11200/2400GE2/0/1Eth-GE1/0/VLANIF192.16假設(shè)此接口用于連接部門B，Trunk56008.2.1/2并作為部門B用戶的網(wǎng)關(guān)600GE2/0/45HTTP以太網(wǎng)--10.100.CSSGE1/1/服務(wù)器接口1.10/240/10配置思路采用如下思路配置園區(qū)出口：步驟配置思路涉及產(chǎn)品11）核心交換機(jī)配置集群（CSS）核心交換機(jī)Switch1和2）匯聚交換機(jī)配置堆疊(iStack)Switch2，匯聚交換機(jī)Switch3、Switch4、Switch5、Switch62配置接口，為提高鏈路可靠性核心交換機(jī)（CSS）、防.步驟 配置思路1）核心交換機(jī)(CSS)和防火墻之間配置Eth-Trunk謝謝閱讀2）核心交換機(jī)(CSS)和匯聚交換機(jī)(AGG)之間配置Eth-Trunk感謝閱讀3）匯聚交換機(jī)和接入交換機(jī)之間的Eth-Trunk感謝閱讀配置各接口IP地址1）配置Router上下行接口IP地址2）配置FW上下行接口IP地址3）配置核心交換機(jī)上下行接口IP地址4）配置匯聚交換機(jī)上下行接口IP地址

涉及產(chǎn)品火墻（FW1、FW2）、匯聚交換機(jī)（AGG1、AGG2）感謝閱讀路由器（Router1、Router2）、防火墻（FW1、FW2）、核心交換機(jī)（CSS）、匯聚交換機(jī)（AGG1、AGG2）感謝閱讀配置路由協(xié)議，內(nèi)網(wǎng)使用OSPF協(xié)議1）路由器、防火墻、核心交換機(jī)上行接口配置為骨干區(qū)域Area0謝謝閱讀2）核心交換機(jī)下行接口、匯聚交換機(jī)配置為NSSA區(qū)域Area1、Area2謝謝閱讀3）在核心交換機(jī)上配置一條缺省路由，下一跳指向防火墻，在防火墻上配置一條缺省路由，下一跳指向出口路由器，出口路由器上配置一條缺省路由，下一跳指向運(yùn)行商網(wǎng)絡(luò)設(shè)備的對(duì)接地址（公網(wǎng)網(wǎng)關(guān)）精品文檔放心下載配置防火墻各接口所屬安全區(qū)域1）將連接外網(wǎng)的接口加入到Untrust區(qū)域2）將連接內(nèi)網(wǎng)的接口加入到Trust區(qū)域3）將雙機(jī)熱備心跳線加入到DMZ區(qū)域配置雙機(jī)熱備1）配置VGMP監(jiān)控上下行接口2）指定心跳線，啟用雙機(jī)熱備

路由器（Router1、Router2）、防火墻（FW1、FW2）、核心交換機(jī)（CSS）防火墻（FW1、FW2）防火墻（FW1、FW2）.步驟 配置思路 涉及產(chǎn)品3）使能快速備份功能，保證兩臺(tái)防火墻實(shí)現(xiàn)負(fù)載分擔(dān)配置DHCP1）在核心交換機(jī)上配置DCHP服務(wù)器功能，指定地址池和網(wǎng)關(guān)精品文檔放心下載2）在匯聚交換上配置是DHCP中繼功能配置NAT1）在兩臺(tái)出口路由器上配置NAT，讓部門A的用戶可以訪問Internet，部門B用戶不能訪問Internet精品文檔放心下載2）在在兩臺(tái)出口路由器上配置NATServer，保證外部用戶能夠訪問HTTP服務(wù)謝謝閱讀器配置攻擊防范，在防火墻上開啟SYNFlood、HTTPFlood攻擊防范功能，保護(hù)內(nèi)部服務(wù)器不受攻擊謝謝閱讀

核心交換機(jī)(CSS)、匯聚交換機(jī)（AGG1、AGG2）謝謝閱讀出口路由器Router1、Router2防火墻操作步驟步驟1核心交換機(jī)：配置交換機(jī)集群連接集群卡的線纜，下圖以EH1D2VS08000集群卡連線為例。謝謝閱讀.一塊集群卡只能與對(duì)框一塊集群卡相連，不能連接到多塊集群卡，且不能與本框集群卡相連。感謝閱讀集群卡上組1的任意接口只能與對(duì)框集群卡上組1的任意接口相連，組2的要求同組1。精品文檔放心下載每塊集群卡上連接集群線纜的數(shù)量相同（如果不相同會(huì)影響總的集群帶寬），且兩端按照接口編號(hào)的順序?qū)印Ｖx謝閱讀在Switch1上配置集群，集群連接方式為集群卡（缺省值，不需配置）。集群ID采用缺省值1（不需配置），優(yōu)先級(jí)為100感謝閱讀<HUAWEI>system-view[HUAWEI]setcssmodecss-card //設(shè)備缺省值，不需再執(zhí)行命令配置,此步驟僅用作示范命令感謝閱讀[HUAWEI]setcssid1 //設(shè)備缺省值，不需再執(zhí)行命令配置,此步驟僅用作示范命令精品文檔放心下載[HUAWEI]setcsspriority100 //集群優(yōu)先級(jí)缺省為1，修改主交換機(jī)的優(yōu)先級(jí)大于備交換機(jī)感謝閱讀[HUAWEI]cssenableWarning:TheCSSconfigurationtakeseffectonlyafterthesystemisrebooted.ThenextCSSmode謝謝閱讀isCSS-Card.Rebootnow?[Y/N]:Y //重啟交換機(jī)謝謝閱讀在Switch2上配置集群。集群連接方式為集群卡（缺省值，不需配置）。集群ID為2。優(yōu)先級(jí)采用缺省值1（不需配置）。謝謝閱讀<HUAWEI>system-view[HUAWEI]setcssid2 //集群ID缺省為1，修改備交換機(jī)的ID為2謝謝閱讀[HUAWEI]cssenableWarning:TheCSSconfigurationtakeseffectonlyafterthesystemisrebooted.ThenextCSSmode精品文檔放心下載.isCSS-Card.Rebootnow?[Y/N]:Y //重啟交換機(jī)精品文檔放心下載交換機(jī)完成重啟后，查看集群狀態(tài)集群系統(tǒng)主的CSSMASTER燈綠色常亮，如dc_cfg_campus_001#fig_dc_cfg_campus_00103所示。精品文檔放心下載Switch1的兩塊主控板上編號(hào)為1的CSSID燈綠色常亮，Switch2的兩塊主控板上編號(hào)為2的CSSID燈綠色常亮。精品文檔放心下載集群卡上有集群線纜連接的端口LINK/ALM燈綠色常亮。精品文檔放心下載主框上所有集群卡的MASTER燈綠色常亮，備框上所有集群卡的MASTER燈常滅。謝謝閱讀集群建立后，后續(xù)交換機(jī)的配置都在主交換機(jī)上進(jìn)行，數(shù)據(jù)會(huì)自動(dòng)同步到備交換機(jī)。在集群系統(tǒng)中，接口編號(hào)會(huì)變?yōu)?維，例如，10GE1/1/0/9。其中左邊第一位表示集群ID。精品文檔放心下載步驟2匯聚交換機(jī)：配置堆疊（iStack），這里以S5720EI系列交換機(jī)為例，使用業(yè)務(wù)口做堆疊謝謝閱讀以Switch3和Swtich4為例，Switch5和Swtich6做堆疊類似，不做贅述。感謝閱讀在配置堆疊前，先不要連線，等配置完成之后再連線配置邏輯堆疊端口并加入物理成員接口.本端設(shè)備邏輯堆疊端口stack-portn/1里的物理成員端口只能與對(duì)端設(shè)備邏輯堆疊端口stack-portn/2里的物理成員端口相連。謝謝閱讀#配置Switch3的業(yè)務(wù)口GE0/0/28為物理成員端口，并加入到相應(yīng)的邏輯堆疊端口。謝謝閱讀[Switch3]interfacestack-port0/1精品文檔放心下載[Switch3-stack-port0/1]portinterfacegigabitethernet0/0/28enable精品文檔放心下載Warning:Enablingstackfunctionmaycauseconfigurationlossontheinterface,continue?[Y/N]:謝謝閱讀Info:Thisoperationmaytakeafewseconds.Pleasewaitforamoment.......謝謝閱讀[Switch3-stack-port0/1]quit感謝閱讀#配置Switch4的業(yè)務(wù)口GE0/0/28為物理成員端口，并加入到相應(yīng)的邏輯堆疊端口。精品文檔放心下載[Switch4]interfacestack-port0/2謝謝閱讀[Switch4-stack-port0/2]portinterfacegigabitethernet0/0/28enable精品文檔放心下載Warning:Enablingstackfunctionmaycauseconfigurationlossontheinterface,continue?[Y/N]:精品文檔放心下載Info:Thisoperationmaytakeafewseconds.Pleasewaitforamoment.......感謝閱讀[Switch4-stack-port0/2]quit精品文檔放心下載配置堆疊ID和堆疊優(yōu)先級(jí)#配置Switch3的堆疊優(yōu)先級(jí)為200。[Switch3]stackslot0priority200謝謝閱讀Warning:PleasedonotfrequentlymodifyPriority,itwillmakethestacksplit,continue?[Y/N]:謝謝閱讀#配置Switch3的堆疊ID為1。[Switch3]stackslot0renumber1精品文檔放心下載Warning:AlltheconfigurationsrelatedtotheslotIDwillbelostaftertheslotIDismodified.精品文檔放心下載PleasedonotfrequentlymodifyslotID,itwillmakethestacksplit.Continue?[Y/N]:Info:Stackconfigurationhasbeenchanged,andthedeviceneedstorestarttomaketheconfigurationeffective.謝謝閱讀#配置Switch4的堆疊ID為2。[Switch4]stackslot0renumber2感謝閱讀Warning:AlltheconfigurationsrelatedtotheslotIDwillbelostaftertheslotIDismodified.感謝閱讀PleasedonotfrequentlymodifyslotID,itwillmakethestacksplit.Continue?[Y/N]:Info:Stackconfigurationhasbeenchanged,andthedeviceneedstorestarttomaketheconfigurationeffective.感謝閱讀Switch3、Switch4下電，使用SFP+電纜連接GE0/0/28接口做堆疊口。感謝閱讀下電前，建議通過命令save保存配置。.本設(shè)備的stack-port0/1必須連接鄰設(shè)備的stack-port0/2，否則堆疊組建不成功。謝謝閱讀GE0/0/28 GE0/0/28iStackLinkSwitch3 Switch4設(shè)備上電如果用戶希望某臺(tái)交換機(jī)為主交換機(jī)可以先為其上電，例如：希望Switch3做為主設(shè)備，可以先給Switch3上電，再為Switch4上電。精品文檔放心下載檢查堆疊是否建立成功[Switch3]displaystackStacktopologytype:LinkStacksystemMAC:0018-82b1-6eb4MACswitchdelaytime:2minStackreservedvlan:4093Slotoftheactivemanagementport:--SlotRoleMacaddressPriorityDevicetype-------------------------------------------------------------1Master0018-82b1-6eb4200S5720-36C-EI-AC2Standby0018-82b1-6eba150S5720-36C-EI-AC可以看到一主一備，堆疊建立成功。步驟3部署Eth-Trunk接口：配置CSS與FW、匯聚交換機(jī)之間的跨框Eth-Trunk口謝謝閱讀防火墻FW：配置和核心交換機(jī)CSS之間互聯(lián)的Eth-Trunk接口精品文檔放心下載#在FW1上創(chuàng)建Eth-Trunk10，用于連接核心交換機(jī)CSS，并加入Eth-Trunk成員接口。謝謝閱讀[FW1]interfaceeth-trunk10//創(chuàng)建Eth-Trunk10接口，和CSS對(duì)接感謝閱讀[FW1-Eth-Trunk10]quit[FW1]interfacegigabitethernet2/0/3精品文檔放心下載[FW1-GigabitEthernet2/0/3]eth-trunk10謝謝閱讀[FW1-GigabitEthernet2/0/3]quit謝謝閱讀[FW1]interfacegigabitethernet2/0/4謝謝閱讀[FW1-GigabitEthernet2/0/4]eth-trunk10謝謝閱讀[FW1-GigabitEthernet2/0/4]quit謝謝閱讀#在FW2上創(chuàng)建Eth-Trunk20，用于連接核心交換機(jī)CSS，并加入Eth-Trunk成員接口。謝謝閱讀.[FW2]interfaceeth-trunk20//創(chuàng)建Eth-Trunk20接口，和CSS對(duì)接感謝閱讀[FW2-Eth-Trunk20]quit[FW2]interfacegigabitethernet2/0/3感謝閱讀[FW2-GigabitEthernet2/0/3]eth-trunk20精品文檔放心下載[FW2-GigabitEthernet2/0/3]quit謝謝閱讀[FW2]interfacegigabitethernet2/0/4精品文檔放心下載[FW2-GigabitEthernet2/0/4]eth-trunk20謝謝閱讀[FW2-GigabitEthernet2/0/4]quit精品文檔放心下載核心交換機(jī)CSS：配置CSS和FW之間、CSS和匯聚交換機(jī)的跨框Eth-Trunk精品文檔放心下載#在CSS上創(chuàng)建Eth-Trunk10，用于連接FW1，并加入Eth-Trunk成員接口。謝謝閱讀[CSS]interfaceeth-trunk10//創(chuàng)建Eth-Trunk10接口，和FW1對(duì)接感謝閱讀[CSS-Eth-Trunk10]quit[CSS]interfacegigabitethernet1/1/0/3謝謝閱讀[CSS-GigabitEthernet1/1/0/3]eth-trunk10精品文檔放心下載[CSS-GigabitEthernet1/1/0/3]quit感謝閱讀[CSS]interfacegigabitethernet2/1/0/3謝謝閱讀[CSS-GigabitEthernet2/1/0/3]eth-trunk10精品文檔放心下載[CSS-GigabitEthernet2/1/0/3]quit感謝閱讀#在CSS上創(chuàng)建Eth-Trunk20，用于連接FW2，并加入Eth-Trunk成員接口。精品文檔放心下載[CSS]interfaceeth-trunk20//創(chuàng)建Eth-Trunk20接口，和FW2對(duì)接精品文檔放心下載[CSS-Eth-Trunk20]quit[CSS]interfacegigabitethernet1/1/0/4感謝閱讀[CSS-GigabitEthernet1/1/0/4]eth-trunk20精品文檔放心下載[CSS-GigabitEthernet1/1/0/4]quit謝謝閱讀[CSS]interfacegigabitethernet2/1/0/4感謝閱讀[CSS-GigabitEthernet2/1/0/4]eth-trunk20謝謝閱讀[CSS-GigabitEthernet2/1/0/4]quit謝謝閱讀#在CSS上創(chuàng)建Eth-Trunk100，用于連接匯聚交換機(jī)AGG1，并加入Eth-Trunk成員接口。感謝閱讀[CSS]interfaceeth-trunk100//創(chuàng)建Eth-Trunk100接口，和AGG1相連謝謝閱讀[CSS-Eth-Trunk100]quit[CSS]interfacegigabitethernet1/2/0/3謝謝閱讀[CSS-GigabitEthernet1/2/0/3]eth-trunk100感謝閱讀[CSS-GigabitEthernet1/2/0/3]quit精品文檔放心下載[CSS]interfacegigabitethernet2/2/0/3感謝閱讀[CSS-GigabitEthernet2/2/0/3]eth-trunk100精品文檔放心下載[CSS-GigabitEthernet2/2/0/3]quit謝謝閱讀#在CSS上創(chuàng)建Eth-Trunk200，用于連接匯聚交換機(jī)AGG2，并加入Eth-Trunk成員接口。謝謝閱讀.[CSS]interfaceeth-trunk200//創(chuàng)建Eth-Trunk200接口，和AGG2相連謝謝閱讀[CSS-Eth-Trunk200]quit[CSS]interfacegigabitethernet1/2/0/4謝謝閱讀[CSS-GigabitEthernet1/2/0/4]eth-trunk200感謝閱讀[CSS-GigabitEthernet1/2/0/4]quit精品文檔放心下載[CSS]interfacegigabitethernet2/2/0/4感謝閱讀[CSS-GigabitEthernet2/2/0/4]eth-trunk200謝謝閱讀[CSS-GigabitEthernet2/2/0/4]quit謝謝閱讀匯聚交換機(jī)：配置匯聚交換機(jī)AGG和核心交換機(jī)CSS、匯聚交換機(jī)和接入交換機(jī)之間互聯(lián)的Eth-Trunk接口謝謝閱讀#配置AGG1。[AGG1]interfaceeth-trunk100//創(chuàng)建Eth-Trunk100接口，和CSS相連感謝閱讀[AGG1-Eth-Trunk100]quit[AGG1]interfacegigabitethernet1/0/1精品文檔放心下載[AGG1-GigabitEthernet1/0/1]eth-trunk100感謝閱讀[AGG1-GigabitEthernet1/0/1]quit謝謝閱讀[AGG1]interfacegigabitethernet2/0/1精品文檔放心下載[AGG1-GigabitEthernet2/0/1]eth-trunk100謝謝閱讀[AGG1-GigabitEthernet2/0/1]quit精品文檔放心下載[AGG1]interfaceeth-trunk500//創(chuàng)建Eth-Trunk500接口，和接入交換機(jī)相連謝謝閱讀[AGG1-Eth-Trunk500]quit[AGG1]interfacegigabitethernet1/0/5精品文檔放心下載[AGG1-GigabitEthernet1/0/5]eth-trunk500感謝閱讀[AGG1-GigabitEthernet1/0/5]quit感謝閱讀[AGG1]interfacegigabitethernet2/0/5謝謝閱讀[AGG1-GigabitEthernet2/0/5]eth-trunk500謝謝閱讀[AGG1-GigabitEthernet2/0/5]quit感謝閱讀#配置AGG2。[AGG2]interfaceeth-trunk200//創(chuàng)建Eth-Trunk200接口，和CSS相連謝謝閱讀[AGG2-Eth-Trunk200]quit[AGG2]interfacegigabitethernet1/0/1精品文檔放心下載[AGG2-GigabitEthernet1/0/1]eth-trunk200精品文檔放心下載[AGG2-GigabitEthernet1/0/1]quit精品文檔放心下載[AGG2]interfacegigabitethernet2/0/1精品文檔放心下載[AGG2-GigabitEthernet2/0/1]eth-trunk200精品文檔放心下載[AGG2-GigabitEthernet2/0/1]quit精品文檔放心下載[AGG2]interfaceeth-trunk600//創(chuàng)建Eth-Trunk600接口，和接入交換機(jī)相連感謝閱讀[AGG2-Eth-Trunk600]quit[AGG2]interfacegigabitethernet1/0/5謝謝閱讀[AGG2-GigabitEthernet1/0/5]eth-trunk600謝謝閱讀[AGG2-GigabitEthernet1/0/5]quit謝謝閱讀[AGG2]interfacegigabitethernet2/0/5謝謝閱讀[AGG2-GigabitEthernet2/0/5]eth-trunk600謝謝閱讀.[AGG2-GigabitEthernet2/0/5]quit精品文檔放心下載步驟4配置各接口IP地址#配置Router1。[Router1]interfaceloopback0謝謝閱讀[Router1-LoopBack0]ipaddress32//用來做RouterID精品文檔放心下載[Router1-LoopBack0]quit[Router1]interfacegigabitethernet0/0/2謝謝閱讀[Router1-GigabitEthernet0/0/2]ipaddress24//配置和外網(wǎng)相連的接口的IP地址感謝閱讀[Router1-GigabitEthernet0/0/2]quit感謝閱讀[Router1]interfacegigabitethernet0/0/1感謝閱讀[Router1-GigabitEthernet0/0/1]ipaddress24//配置和FW1相連的接口的IP地址感謝閱讀[Router1-GigabitEthernet0/0/1]quit感謝閱讀#配置Router2。[Router2]interfaceloopback0謝謝閱讀[Router2-LoopBack0]ipaddress32//用來做RouterID謝謝閱讀[Router2-LoopBack0]quit[Router2]interfacegigabitethernet0/0/2精品文檔放心下載[Router2-GigabitEthernet0/0/2]ipaddress24//配置和外網(wǎng)相連的接口的IP地址感謝閱讀[Router2-GigabitEthernet0/0/2]quit精品文檔放心下載[Router2]interfacegigabitethernet0/0/1精品文檔放心下載[Router2-GigabitEthernet0/0/1]ipaddress24//配置和FW2相連的接口的IP地址精品文檔放心下載[Router2-GigabitEthernet0/0/1]quit感謝閱讀#配置FW1。[FW1]interfaceloopback0感謝閱讀[FW1-LoopBack0]ipaddress32//用來做RouterID精品文檔放心下載[FW1-LoopBack0]quit[FW1]interfacegigabitethernet1/0/1謝謝閱讀[FW1-GigabitEthernet1/0/1]ipaddress24//配置和Router1相連的接口的IP地址感謝閱讀[FW1-GigabitEthernet1/0/1]quit謝謝閱讀[FW1]interfacegigabitethernet1/0/7謝謝閱讀[FW1-GigabitEthernet1/0/7]ipaddress24//配置雙機(jī)熱備心跳線IP地址謝謝閱讀[FW1-GigabitEthernet1/0/7]quit精品文檔放心下載[FW1]interfaceeth-trunk10精品文檔放心下載[FW1-Eth-Trunk10]ipaddress24//配置和CSS相連的Eth-Trunk接口的IP地址謝謝閱讀[FW1-Eth-Trunk10]quit#配置FW2。[FW2]interfaceloopback0謝謝閱讀[FW2-LoopBack0]ipaddress32//用來做RouterID精品文檔放心下載.[FW2-LoopBack0]quit[FW2]interfacegigabitethernet1/0/1感謝閱讀[FW2-GigabitEthernet1/0/1]ipaddress24精品文檔放心下載

//配置和Router2相連的接口的IP地址感謝閱讀[FW2-GigabitEthernet1/0/1]quit謝謝閱讀[FW2]interfacegigabitethernet1/0/7精品文檔放心下載[FW2-GigabitEthernet1/0/7]ipaddress24感謝閱讀

//配置雙機(jī)熱備心跳線IP地址[FW2-GigabitEthernet1/0/7]quit感謝閱讀[FW2]interfaceeth-trunk20謝謝閱讀[FW2-Eth-Trunk20]ipaddress24//配置和CSS相連的Eth-Trunk接口的IP地址謝謝閱讀[FW2-Eth-Trunk20]quit#配置CSS。[CSS]interfaceloopback0謝謝閱讀[CSS-LoopBack0]ipaddress32//用來做RouterID感謝閱讀[CSS-LoopBack0]quit[CSS]interfaceeth-trunk10感謝閱讀[CSS-Eth-Trunk10]undoportswitch//缺少情況下，交換機(jī)的Eth-Trunk接口為二層模式，如果作為三層接口使用，需要首先使用undoportswitch命令將接口切換為三層模式[CSS-Eth-Trunk10]ipaddress24//配置和FW1相連的Eth-Trunk10接口的IP地址謝謝閱讀[CSS-Eth-Trunk10]quit[CSS]interfaceeth-trunk20感謝閱讀[CSS-Eth-Trunk20]undoportswitch//缺少情況下，交換機(jī)的Eth-Trunk接口為二層模式，如果作為三層接口使用，需要首先使用undoportswitch命令將接口切換為三層模式[CSS-Eth-Trunk20]ipaddress24//配置和FW2相連的Eth-Trunk20接口的IP地址感謝閱讀[CSS-Eth-Trunk20]quit[CSS]vlanbatch100200300//批量創(chuàng)建VLAN精品文檔放心下載[CSS]interfaceeth-trunk100謝謝閱讀[CSS-Eth-Trunk100]porthybridpvidvlan100精品文檔放心下載[CSS-Eth-Trunk100]porthybriduntaggedvlan100感謝閱讀[CSS-Eth-Trunk100]quit[CSS]interface vlanif100精品文檔放心下載[CSS-Vlanif100]ipaddress24//配置和匯聚交換機(jī)AGG1相連的接口的IP地址謝謝閱讀[CSS-Vlanif100]quit[CSS]interfaceeth-trunk200謝謝閱讀[CSS-Eth-Trunk200]porthybridpvidvlan200感謝閱讀[CSS-Eth-Trunk200]porthybriduntaggedvlan200精品文檔放心下載[CSS-Eth-Trunk200]quit[CSS]interface vlanif200謝謝閱讀[CSS-Vlanif200]ipaddress24//配置和匯聚交換機(jī)AGG2相連的接口的IP地址感謝閱讀[CSS-Vlanif200]quit[CSS]interfacegigabitethernet1/1/0/10//進(jìn)入連接HTTP服務(wù)器的接口感謝閱讀[CSS-GigabitEthernet1/1/0/10]portlink-typeaccess感謝閱讀[CSS-GigabitEthernet1/1/0/10]portdefaultvlan300//以Access方式加入VLAN300精品文檔放心下載[CSS-GigabitEthernet1/1/0/10]quit精品文檔放心下載[CSS]interfacevlanif300精品文檔放心下載[CSS-Vlanif300]ipaddress24//配置連接HTTP服務(wù)器接口的IP地址謝謝閱讀.[CSS-Vlanif300]quit#配置AGG1。[AGG1]interfaceloopback0感謝閱讀[AGG1-LoopBack0]ipaddress32//用來做RouterID精品文檔放心下載[AGG1-LoopBack0]quit[AGG1]vlanbatch100500[AGG1]interfaceeth-trunk100謝謝閱讀[AGG1-Eth-Trunk100]porthybridpvidvlan100精品文檔放心下載[AGG1-Eth-Trunk100]porthybriduntaggedvlan100感謝閱讀[AGG1-Eth-Trunk100]quit[AGG1]interfacevlanif100感謝閱讀[AGG1-Vlanif100]ipaddress24//配置和CSS相連的接口的IP地址謝謝閱讀[AGG1-Vlanif100]quit[AGG1]interfaceeth-trunk500感謝閱讀[AGG1-Eth-Trunk500]porthybridpvidvlan500謝謝閱讀[AGG1-Eth-Trunk500]porthybriduntaggedvlan500感謝閱讀[AGG1-Eth-Trunk500]quit[AGG1]interfacevlanif500感謝閱讀[AGG1-Vlanif500]ipaddress24//配置和接入交換機(jī)相連的接口的IP地址，并作為部門A的網(wǎng)感謝閱讀關(guān)[AGG1-Vlanif500]quit#配置AGG2。[AGG2]interfaceloopback0感謝閱讀[AGG2-LoopBack0]ipaddress32//用來做RouterID謝謝閱讀[AGG2-LoopBack0]quit[AGG2]vlanbatch200600[AGG2]interfaceeth-trunk200謝謝閱讀[AGG2-Eth-Trunk200]porthybridpvidvlan200精品文檔放心下載[AGG2-Eth-Trunk200]porthybriduntaggedvlan200謝謝閱讀[AGG2-Eth-Trunk200]quit[AGG2]interface vlanif200精品文檔放心下載[AGG2-Vlanif200]ipaddress24//配置和CSS相連的接口的IP地址精品文檔放心下載[AGG2-Vlanif200]quit[AGG2]interfaceeth-trunk600謝謝閱讀[AGG2-Eth-Trunk600]porthybridpvidvlan600謝謝閱讀[AGG2-Eth-Trunk600]porthybriduntaggedvlan600謝謝閱讀[AGG2-Eth-Trunk600]quit[AGG2]interfacevlanif600精品文檔放心下載[AGG2-Vlanif600]ipaddress24//配置和接入交換機(jī)相連的接口的IP地址，并作為部門B的網(wǎng)精品文檔放心下載關(guān)[AGG2-Vlanif600]quit步驟5防火墻：配置防火墻各接口所屬安全區(qū)域和安全策略精品文檔放心下載.#將各接口加入到安全區(qū)域。[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceEth-Trunk10//將連接內(nèi)網(wǎng)的Eth-Trunk10加入安全區(qū)域謝謝閱讀[FW1-zone-trust]quit[FW1]firewallzoneuntrust精品文檔放心下載[FW1-zone-untrust]addinterfacegigabitethernet1/0/1//將連接外網(wǎng)的GE1/0/1加入非安全區(qū)域精品文檔放心下載[FW1-zone-untrust]quit[FW1]firewallzonedmz[FW1-zone-dmz]addinterfacegigabitethernet1/0/7//將心跳口GE1/0/7加入DMZ區(qū)域精品文檔放心下載[FW1-zone-dmz]quit[FW2]firewallzonetrust[FW2-zone-trust]addinterfaceEth-Trunk20//將連接內(nèi)網(wǎng)的Eth-Trunk20加入安全區(qū)域精品文檔放心下載[FW2-zone-trust]quit[FW2]firewallzoneuntrust精品文檔放心下載[FW2-zone-untrust]addinterfacegigabitethernet1/0/1//將連接外網(wǎng)的GE1/0/1加入非安全區(qū)域謝謝閱讀[FW2-zone-untrust]quit[FW2]firewallzonedmz[FW2-zone-dmz]addinterfacegigabitethernet1/0/7//將心跳口GE1/0/7加入DMZ區(qū)域謝謝閱讀[FW2-zone-dmz]quit#FW1:配置安全策略[FW1]policyinterzonelocaluntrustinbound[FW1-policy-interzone-local-untrust-inbound]policy2[FW1-policy-interzone-local-untrust-inbound-2]policysourcemask24//允許位于untrust區(qū)域的接入路由器訪問防火墻[FW1-policy-interzone-local-untrust-inbound-2]actionpermit[FW1-policy-interzone-local-untrust-inbound-2]quit[FW1-policy-interzone-local-untrust-inbound]quit[FW1]policyinterzonelocaltrustoutbound[FW1-policy-interzone-local-trust-outbound]policy1[FW1-policy-interzone-local-trust-outbound-1]policysourcemask24//允許位于Trust區(qū)域的設(shè)備訪問防火墻[FW1-policy-interzone-local-trust-outbound-1]policysourcemask24//允許位于Trust區(qū)域的設(shè)備訪問防火墻[FW1-policy-interzone-local-trust-outbound-1]policysourcemask24//允許位于Trust區(qū)精品文檔放心下載域的設(shè)備訪問防火墻[FW1-policy-interzone-local-outbound-inbound-1]actionpermit感謝閱讀[FW1-policy-interzone-local-outbound-inbound-1]quit謝謝閱讀[FW1-policy-interzone-local-outbound-inbound]quit感謝閱讀[FW1]policyinterzonetrustuntrustoutbound精品文檔放心下載[FW1-policy-interzone-trust-untrust-outbound]policy4精品文檔放心下載[FW1-policy-interzone-trust-untrust-outbound-4]policysourcemask24//允許感謝閱讀/24網(wǎng)段訪問外網(wǎng)[FW1-policy-interzone-trust-untrust-outbound-4]actionpermit精品文檔放心下載[FW1-policy-interzone-trust-untrust-outbound-4]quit謝謝閱讀.[FW1-policy-interzone-trust-untrust-outbound]quit感謝閱讀[FW1]policyinterzonetrustuntrustinbound謝謝閱讀[FW1-policy-interzone-trust-untrust-inbound]policy3感謝閱讀[FW1-policy-interzone-trust-untrust-inbound-3]policysourcemask24//允許訪問內(nèi)精品文檔放心下載網(wǎng)[FW1-policy-interzone-trust-untrust-inbound-3]actionpermit謝謝閱讀[FW1-policy-interzone-trust-untrust-inbound-3]quit精品文檔放心下載[FW1-policy-interzone-trust-untrust-inbound]quit感謝閱讀#FW2:配置安全策略[FW2]policyinterzonelocaluntrustinbound[FW2-policy-interzone-local-untrust-inbound]policy2[FW2-policy-interzone-local-untrust-inbound-2]policysourcemask24//允許位于untrust區(qū)域的接入路由器訪問防火墻[FW2-policy-interzone-local-untrust-inbound-2]actionpermit[FW2-policy-interzone-local-untrust-inbound-2]quit[FW2-policy-interzone-local-untrust-inbound]quit[FW2]policyinterzonelocaltrustoutbound[FW2-policy-interzone-local-trust-outbound]policy1[FW2-policy-interzone-local-trust-outbound-1]policysourcemask24//允許位于Trust區(qū)域的設(shè)備訪問防火墻[FW2-policy-interzone-local-trust-outbound-1]policysourcemask24//允許位于Trust區(qū)域的設(shè)備訪問防火墻[FW2-policy-interzone-local-trust-outbound-1]policysourcemask24//允許位于Trust區(qū)謝謝閱讀域的設(shè)備訪問防火墻[FW2-policy-interzone-local-dmz-inbound-1]actionpermit感謝閱讀[FW2-policy-interzone-local-dmz-inbound-1]quit精品文檔放心下載[FW2-policy-interzone-local-dmz-inbound]quit謝謝閱讀[FW2]policyinterzonetrustuntrustinbound感謝閱讀[FW2-policy-interzone-trust-untrust-inbound]policy3感謝閱讀[FW2-policy-interzone-trust-untrust-inbound-3]policysourcemask24//允許訪問內(nèi)謝謝閱讀網(wǎng)[FW2-policy-interzone-trust-untrust-inbound-3]actionpermit感謝閱讀[FW2-policy-interzone-trust-untrust-inbound-3]quit謝謝閱讀[FW2-policy-interzone-trust-untrust-inbound]quit感謝閱讀步驟6部署路由路由器、防火墻、核心交換機(jī)上行接口配置為骨干區(qū)域Area0謝謝閱讀#配置Router1[Router1]routerid感謝閱讀[Router1]ospf1 //配置OSPF感謝閱讀.[Router1-ospf-1]area0 //配置為骨干區(qū)域謝謝閱讀[Router1-ospf-1-area-]network55//將連接FW1的網(wǎng)段發(fā)布到OSPF骨干區(qū)精品文檔放心下載域[Router1-ospf-1-area-]quit精品文檔放心下載[Router1-ospf-1]quit#配置Router2[Router2]routerid謝謝閱讀[Router2]ospf1 //配置OSPF謝謝閱讀[Router2-ospf-1]area0 //配置為骨干區(qū)域感謝閱讀[Router2-ospf-1-area-]network55//將連接FW2的網(wǎng)段發(fā)布到OSPF骨干區(qū)謝謝閱讀域[Router2-ospf-1-area-]quit感謝閱讀[Router2-ospf-1]quit#配置FW1[FW1]routerid[FW1]ospf1 //配置OSPF[FW1-ospf-1]area0 //配置為骨干區(qū)域精品文檔放心下載[FW1-ospf-1-area-]network55謝謝閱讀

//將連接Router1的網(wǎng)段發(fā)布到OSPF骨干區(qū)精品文檔放心下載域[FW1-ospf-1-area-]network55謝謝閱讀[FW1-ospf-1-area-]quit謝謝閱讀[FW1-ospf-1]quit

//將連接CSS的網(wǎng)段發(fā)布到OSPF骨干區(qū)域感謝閱讀#配置FW2[FW2]routerid[FW2]ospf1 //配置OSPF[FW2-ospf-1]area0 //配置為骨干區(qū)域謝謝閱讀[FW2-ospf-1-area-]network55謝謝閱讀

//將連接Router2的網(wǎng)段發(fā)布到OSPF骨干區(qū)精品文檔放心下載域[FW2-ospf-1-area-]network55精品文檔放心下載[FW2-ospf-1-area-]quit精品文檔放心下載[FW2-ospf-1]quit

//將連接CSS的網(wǎng)段發(fā)布到OSPF骨干區(qū)域感謝閱讀#配置CSS[CSS]routerid[CSS]ospf1 //配置OSPF[CSS-ospf-1]area0 //配置為骨干區(qū)域精品文檔放心下載[CSS-ospf-1-area-]network55//將連接FW1的網(wǎng)段發(fā)布到OSPF骨干區(qū)域感謝閱讀[CSS-ospf-1-area-]network55//將連接FW2的網(wǎng)段發(fā)布到OSPF骨干區(qū)域謝謝閱讀[CSS-ospf-1-area-]network55//將連接HTTP服務(wù)器的網(wǎng)段發(fā)布到OSPF精品文檔放心下載骨干區(qū)域[CSS-ospf-1-area-]quit精品文檔放心下載.[CSS-ospf-1]quit核心交換機(jī)下行接口、匯聚交換機(jī)配置為NSSA區(qū)域Area1、Area2謝謝閱讀#配置CSS[CSS]ospf1

//配置OSPF[CSS-ospf-1]area1

//配置為Area1[CSS-ospf-1-area-]network55//將連接AGG1的網(wǎng)段發(fā)布到OSPFArea1精品文檔放心下載[CSS-ospf-1-area-]nssa //將Area1配置為NSSA區(qū)域感謝閱讀[CSS-ospf-1-area-]quit精品文檔放心下載[CSS-ospf-1]area2 //配置為Area2感謝閱讀[CSS-ospf-1-area-]network55//將連接AGG2的網(wǎng)段發(fā)布到OSPFArea2感謝閱讀[CSS-ospf-1-area-]nssa //將Area1配置為NSSA區(qū)域感謝閱讀[CSS-ospf-1-area-]quit精品文檔放心下載[CSS-ospf-1]quit#配置AGG1[AGG1]ospf1 //配置OSPF[AGG1-ospf-1]area1 //配置為Area1感謝閱讀[AGG1-ospf-1-area-]network55//將連接CSS的網(wǎng)段發(fā)布到OSPFArea1感謝閱讀[AGG1-ospf-1-area-]network55//將用戶網(wǎng)段發(fā)布到OSPFAea1謝謝閱讀[AGG1-ospf-1-area-]nssa //將Area1配置為NSSA區(qū)域感謝閱讀[AGG1-ospf-1-area-]quit精品文檔放心下載[AGG1-ospf-1]quit#配置AGG2[AGG2]ospf1 //配置OSPF[AGG2-ospf-1]area2 //配置為Area2謝謝閱讀[AGG2-ospf-1-area-]network55//將連接CSS的網(wǎng)段發(fā)布到OSPFArea2感謝閱讀[AGG2-ospf-1-area-]network55//將用戶網(wǎng)段發(fā)布到OSPFAea1精品文檔放心下載[AGG2-ospf-1-area-]nssa //將Area2配置為NSSA區(qū)域謝謝閱讀[AGG2-ospf-1-area-]quit感謝閱讀[AGG2-ospf-1]quit在核心交換機(jī)上配置一條缺省路由，下一跳指向防火墻，在防火墻上配置一條缺省路由，下一跳指向出口路由器，出口路由器上配置一條缺省路由，下一跳指向運(yùn)行商網(wǎng)絡(luò)設(shè)備的對(duì)接地址（公網(wǎng)網(wǎng)關(guān)）感謝閱讀[Router1]iproute-static感謝閱讀[Router2]iproute-static謝謝閱讀[FW1]iproute-static感謝閱讀[FW2]iproute-static感謝閱讀[CSS]iproute-static感謝閱讀[CSS]iproute-static精品文檔放心下載.檢查配置結(jié)果在AGG上查看路由表，可以看到到內(nèi)網(wǎng)各網(wǎng)段都生成了路由，并且通過NSSA區(qū)域生成一條缺省路由，以AGG1為例：感謝閱讀[AGG1]displayiprouting-table謝謝閱讀RouteFlags:R-relay,D-downloadtofib謝謝閱讀------------------------------------------------------------------------------感謝閱讀RoutingTables:PublicDestinations:14Routes:14Destination/MaskProtoPreCostFlagsNextHopInterface/0O_NSSA1501DVlanif100/32Direct00DLoopBack0/24OSPF103DVlanif100/24OSPF103DVlanif100/24OSPF102DVlanif100/24OSPF102DVlanif100/24Direct00DVlanif100/32Direct00DVlanif100/24OSPF102DVlanif100/8Direct00DInLoopBack0/32Direct00DInLoopBack0/24Direct00DVlanif500/32Direct00DVlanif500/24OSPF103DVlanif100#在CSS上查看路由表，可以看到到內(nèi)網(wǎng)各網(wǎng)段都生成了路由，上行到防火墻的兩條路Cost值都一樣，說感謝閱讀明采用負(fù)載負(fù)擔(dān)方式上行。[CSS]displayiprouting-table感謝閱讀RouteFlags:R-relay,D-downloadtofib謝謝閱讀------------------------------------------------------------------------------謝謝閱讀Destinations:18Routes:19Destination/MaskProtoPreCostFlagsNextHopInterface/0Static600RDEth-Trunk10Static600RDEth-Trunk/32Direct00DLoopBack0/24OSPF102DEth-Trunk10/24OSPF102DEth-Trunk20/24Direct00DEth-Trunk10/32Direct00DEth-Trunk10/24Direct00DEth-Trunk20/32Direct00DEth-Trunk20/24Direct00DVlanif100/32Direct00DVlanif100/24Direct00DVlanif.1/32Direct00DVlanif200/24Direct00DVlanif300/32Direct00DVlanif300/8Direct00DInLoopBack0/32Direct00DInLoopBack0/24OSPF102DVlanif100/24OSPF102DVlanif200步驟7核心交換機(jī)CSS、匯聚交換機(jī)AGG：配置DHCP謝謝閱讀#在核心交換機(jī)CSS上配置DHCP服務(wù)器，自動(dòng)為用戶分配IP地址。感謝閱讀[CSS]dhcpenable //使能DHCP精品文檔放心下載[CSS]interfacevlanif100//通過VLANIF100接口為部門A用戶分配IP地址感謝閱讀[CSS-Vlanif100]dhcpselectglobal//配置全局DHCP服務(wù)器謝謝閱讀[CSS-Vlanif100]quit[CSS]interfacevlanif200//通過VLANIF100接口為部門B用戶分配IP地址謝謝閱讀[CSS-Vlanif200]dhcpselectglobal//配置全局DHCP服務(wù)器精品文檔放心下載[CSS-Vlanif200]quit[CSS]ippoolpoola //配置地址池poola，為部門A用戶分配IP地址/謝謝閱讀[CSS-ip-pool-poola]networkmask24//配置為部門A分配的網(wǎng)段謝謝閱讀[CSS-ip-pool-poola]gateway-list//配置為部門A用戶分批的網(wǎng)關(guān)謝謝閱讀[CSS-ip-pool-poola]quit[CSS]ippoolpoolb //配置地址池poolb，為部門B用戶分配IP地址感謝閱讀[CSS-ip-pool-poolb]networkmask24//配置為部門B分配的網(wǎng)段感謝閱讀[CSS-ip-pool-poolb]gateway-list//配置為部門B用戶分批的網(wǎng)關(guān)謝謝閱讀[CSS-ip-pool-poolb]quit#在匯聚交換機(jī)AGG1上配置DHCP中繼。精品文檔放心下載[AGG1]dhcpenable //使能DHCP感謝閱讀[AGG1]interfacevlanif500//在用戶接入網(wǎng)口做DHCP中繼精品文檔放心下載[AGG1-Vlanif500]dhcpselectrelay//配置DHCP中繼精品文檔放心下載[AGG1-Vlanif500]dhcprelayserver-ip//配置DHCP服務(wù)器IP地址感謝閱讀[AGG1-Vlanif500]quit#在匯聚交換機(jī)AGG2上配置DHCP中繼。精品文檔放心下載[AGG2]dhcpenable //使能DHCP感謝閱讀[AGG2]interfacevlanif600//在用戶接入網(wǎng)口做DHCP中繼謝謝閱讀[AGG2-Vlanif600]dhcpselectrelay//配置DHCP中繼精品文檔放心下載[AGG2-Vlanif600]dhcprelayserver-ip//配置DHCP服務(wù)器IP地址精品文檔放心下載[AGG2-Vlanif600]quit#檢查配置結(jié)果。.在客戶端配置通過DHCP服務(wù)器獲取IP地址，然后在設(shè)備上查看地址池情況，可以看謝謝閱讀到已分配兩個(gè)IP地址給用戶（Used :2），還剩余503個(gè)精品文檔放心下載（Idle :503），說明IP地址已經(jīng)分配成功。精品文檔放心下載[CSS]displayippool-----------------------------------------------------------------------謝謝閱讀Pool-name :poolaPool-No :0Position :Local

Status

:UnlockedGateway-0 :Mask :VPNinstance :-------------------------------------------------------------------------感謝閱讀Pool-name :poolbPool-No :1Position :Local

Status

:UnlockedGateway-0 :Mask :VPNinstance :--IPaddressStatisticTotal :506Used:2Idle:503Expired:0Conflict:1Disable:0步驟8出口路由器：配置NAT內(nèi)網(wǎng)用戶使用的私網(wǎng)IP地址，要想實(shí)現(xiàn)如下功能：部門A用戶可以訪問Internet，在出口路由器配置NAT地址轉(zhuǎn)換，在出口路由器將私網(wǎng)IP地址轉(zhuǎn)換成公網(wǎng)IP。感謝閱讀外網(wǎng)用戶能否訪問內(nèi)網(wǎng)HTTP服務(wù)器，在出口路由器配置NATServer。感謝閱讀假設(shè)運(yùn)營(yíng)商分配給企業(yè)用戶的公網(wǎng)IP為：~0，精品文檔放心下載~0。其中作為Router1連接外網(wǎng)的IP地址，為Router2連接外網(wǎng)的IP地址。0作為外網(wǎng)用戶訪問HTTP服務(wù)器的公網(wǎng)地址。內(nèi)網(wǎng)用戶使用剩余IP公網(wǎng)IP訪問Internet。感謝閱讀#在Router1上配置NAT，將部門A的用戶的IP私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)IP，保證部門A的用戶能夠訪問Internet精品文檔放心下載[Router1]nataddress-group1//配置NAT地址池，包括用來運(yùn)營(yíng)商分配的公網(wǎng)IP謝謝閱讀[Router1]aclnumber2000[Router1-acl-basic-2000]rulepermitsource55//配置可以用來訪問外網(wǎng)的用戶地址段精品文檔放心下載.[Router1-acl-basic-2000]quit感謝閱讀[Router1]interfacegigabitethernet0/0/2精品文檔放心下載[Router1-GigabitEthernet0/0/2]natoutbound2000address-group1//在連接外網(wǎng)的接口上應(yīng)用NAT精品文檔放心下載[Router1-GigabitEthernet0/0/2]quit精品文檔放心下載#在Router2上配置NAT，將部門A的用戶的IP私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)IP精品文檔放心下載[Router2]nataddress-group10//配置NAT