【51CTO论坛改版第二弹】论坛首页有微调,你发现了吗?
0

我的帖子

个人中心

设置

  发新话题
一台华为USG防火墙,一台华为三层交换机,然后下面接了10个交换机,我想划分几个VLAN,该怎么做?192.168.1.0
192.168.2.0是监控划在一起 192.168.3.0是网络单独划出来,因为是走线是在一起的,要基于IP划分了吧?

另外,防火墙和三层交换怎么连接比较好?我暂时是在防火墙上分了三个地址段,然后连了两根网线到三层交换机上,感觉这样不太对。能告诉我怎么做吗,越详细越好



没看明白。你的监控网络和应用网络不是接入在二层交换机的吗?
二层上分区域划分VLAN后,把线路安装VLAN整理一遍。
然后设置Trunk口连接到三层交换。
网关设置三层上不就OK了至于三层交换和防火墙之间,
可以设置端对端的接入
也可以设置端口聚合




本帖最后由 zhangjx800 于 2017-6-14 09:46 编辑
引用:
原帖由 136826645 于 2017-6-14 08:25 发表
一台华为USG防火墙,一台华为三层交换机,然后下面接了10个交换机,我想划分几个VLAN,该怎么做?192.168.1.0
192.168.2.0是监控划在一起 192.168.3.0是网络单独划出来,因为是走线是在一起的,要基于IP划分了吧?

另外,防火墙和三 ...
你的办法挺好,这样最少可以多几条链路出来。监控和办公网络最好分开。因为监控占用带宽太大了。



引用:
原帖由 lygzhan 于 2017-6-14 10:01 发表

你的办法挺好,这样最少可以多几条链路出来。监控和办公网络最好分开。因为监控占用带宽太大了。
全都接在二层交换机上,是应该分别插在两个交换机上吧,不过这是领导定的



引用:
原帖由 zhangjx800 于 2017-6-14 09:44 发表
没看明白。你的监控网络和应用网络不是接入在二层交换机的吗?
二层上分区域划分VLAN后,把线路安装VLAN整理一遍。
然后设置Trunk口连接到三层交换。
网关设置三层上不就OK了至于三层交换和防火墙之间,
可以设置端对端的 ...
要在二层上划么?



引用:
原帖由 lygzhan 于 2017-6-14 10:01 发表

你的办法挺好,这样最少可以多几条链路出来。监控和办公网络最好分开。因为监控占用带宽太大了。
我的办法好?我是新手哈,我怎么就是觉得不太靠谱



引用:
原帖由 136826645 于 2017-6-14 10:17 发表

要在二层上划么?
一般在二层啊
如果你那边交换机想分开,就按监控和User分开使用。



引用:
原帖由 136826645 于 2017-6-14 10:19 发表

我的办法好?我是新手哈,我怎么就是觉得不太靠谱
你的办法当然好了,只是不适合远距离罢了。你想想,你这样有3条线,那就是1条线的3倍速度啊。如果你走trunk。当然也可以聚合。但你配起来麻烦。这样多方便,网线插上就可以了。只是不专业罢了。用是一样用的。。。
专业些的做法就是华为三层和防火墙聚合4条网线或是更多。然后跑聚合+mstp。给你一个拓扑吧。
直接聚合。




本帖最后由 lygzhan 于 2017-6-14 10:33 编辑
引用:
原帖由 lygzhan 于 2017-6-14 10:29 发表

你的办法当然好了,只是不适合远距离罢了。你想想,你这样有3条线,那就是1条线的3倍速度啊。如果你走trunk。当然也可以聚合。但你配起来麻烦。这样多方便,网线插上就可以了。只是不专业罢了。用是一样用的。。。
专业些的 ...
我就是觉得不专业,有点土



引用:
原帖由 136826645 于 2017-6-14 10:33 发表

我就是觉得不专业,有点土
能用就好。专业的需要配置。你对华为的技术和命令了解吗?



引用:
原帖由 lygzhan 于 2017-6-14 10:35 发表

能用就好。专业的需要配置。你对华为的技术和命令了解吗?
简单基本命令的能看一点点,不是太了解



引用:
原帖由 136826645 于 2017-6-14 10:44 发表

简单基本命令的能看一点点,不是太了解
那你弄的不可能太专业。你最少要有hcna的基础才能解决。像上面我提到的MSTP最少要hcnp才能学到。防火墙的配置和技术也需要hcnp的基础。当然现在都web傻瓜化了。但理论还是需要有的。



引用:
原帖由 lygzhan 于 2017-6-14 10:48 发表

那你弄的不可能太专业。你最少要有hcna的基础才能解决。像上面我提到的MSTP最少要hcnp才能学到。防火墙的配置和技术也需要hcnp的基础。当然现在都web傻瓜化了。但理论还是需要有的。 ...
对啊~华为能提供支持么,给我们架网的比我还不靠谱,愁人



引用:
原帖由 136826645 于 2017-6-14 10:52 发表

对啊~华为能提供支持么,给我们架网的比我还不靠谱,愁人
华为不提供服务,你要找经销商,当然,通过他把监控和办公网络走一起就知道很业余。你最好再买写傻瓜路由器把监控分出去。



引用:
原帖由 lygzhan 于 2017-6-14 10:53 发表

华为不提供服务,你要找经销商,当然,通过他把监控和办公网络走一起就知道很业余。你最好再买写傻瓜路由器把监控分出去。
谢谢版主……有什么好的方案么,实在不行我还得找他们,活没这么干的。



引用:
原帖由 136826645 于 2017-6-14 10:52 发表

对啊~华为能提供支持么,给我们架网的比我还不靠谱,愁人




防火墙配置


sysname USG6000V1
#
undo l2tp sendaccm enable
l2tp domain suffix-separator @
#
undo telnet server enable
undo telnet ipv6 server enable
#
firewall packet-filter basic-protocol enable
#
firewall detect ftp
#
log type traffic enable
log type syslog enable
log type policy enable
#
undo dataflow enable
#
isp name "china mobile"
isp name "china mobile" set filename china-mobile.csv
isp name "china unicom"
isp name "china unicom" set filename china-unicom.csv
isp name "china telecom"
isp name "china telecom" set filename china-telecom.csv
isp name "china educationnet"
isp name "china educationnet" set filename china-educationnet.csv
#
snmp-agent session history-max-number enable
snmp-agent session trap threshold 4000
snmp-agent session-rate trap threshold 24000
#
web-manager security version tlsv1 tlsv1.1
web-manager security enable
#
firewall dataplane to manageplane application-apperceive default-action drop
#
update schedule ips-sdb daily 01:17
update schedule av-sdb daily 01:17
update schedule sa-sdb daily 01:17
update schedule cnc daily 01:17
#
ip vpn-instance default
ipv4-family
#
time-range worktime
  period-range 08:00:00 to 18:00:00 working-day
#
aaa
authentication-scheme default
authentication-scheme admin_local
authentication-scheme admin_radius_local
authentication-scheme admin_hwtacacs_local
authentication-scheme admin_ad_local
authentication-scheme admin_ldap_local
authentication-scheme admin_radius
authentication-scheme admin_hwtacacs
authentication-scheme admin_ad
authentication-scheme admin_ldap
authorization-scheme default
accounting-scheme default
domain default
  service-type l2tp ike
  reference user current-domain
manager-user password-modify enable
manager-user audit-admin
  password cipher @%@%GM]H"ORUk:V|nvBeI]1RJ6sK`L;J5g)"h=Um{UUD;T`"6sNJ@%@%
  service-type web terminal
  level 15

manager-user api-admin
  password cipher @%@%T\\,QM:1P{;LM)>U%9Hp1L*9RRVO"'v"vx2W=VbP3-M*I*9UL@%@%
  service-type api
  level 15

manager-user admin
  password cipher @%@%\'iwNR!LwEQI&/Y*X"y*0Hd"Cq>"TBM1F2+]6_s(l2X)Pd"FH@%@%
  service-type web terminal
  level 15

role system-admin
  dashboard read-write
  monitor read-write
  policy read-write
  object read-write
  network read-write
  system read-write
role device-admin
  dashboard read-only
  monitor read-only log log-traffic log-threat log-policy-matching report traffi
c-map threat-map session statistic statistic-acl
  monitor none diagnose
  policy read-write
  object read-write
  network read-write
  system read-write high-reliability
  system none configuration vsys license update-center mail-send feedback
role device-admin(monitor)
  dashboard read-only
  monitor read-only log log-traffic log-threat log-policy-matching report traffi
c-map threat-map session statistic statistic-acl
  monitor none diagnose
  policy read-only
  object read-only
  network read-only
  system read-only high-reliability
  system none configuration vsys license update-center mail-send feedback
role audit-admin
  dashboard read-only
  monitor read-write log-audit
  monitor read-only log log-traffic log-threat log-syslog log-policy-matching re
port traffic-map threat-map
  monitor none session statistic statistic-acl diagnose
  policy none
  object none
  network none
  system none
bind manager-user audit-admin role audit-admin
#
interface Eth-Trunk1
ip address 10.10.10.1 255.255.255.0
service-manage ping permit
#
interface GigabitEthernet0/0/0
undo shutdown
ip binding vpn-instance default
ip address 192.168.0.1 255.255.255.0
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
service-manage netconf permit
#
interface GigabitEthernet1/0/0
undo shutdown
service-manage ping permit
#
interface GigabitEthernet1/0/1
undo shutdown
eth-trunk 1
#
interface GigabitEthernet1/0/2
undo shutdown
eth-trunk 1
#
interface GigabitEthernet1/0/3
undo shutdown
eth-trunk 1
#
interface GigabitEthernet1/0/4
undo shutdown
eth-trunk 1
#
interface GigabitEthernet1/0/5
undo shutdown
#
interface GigabitEthernet1/0/6
undo shutdown
#
interface Virtual-if0
#
interface NULL0
#
firewall zone local
set priority 100
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/0
add interface Eth-Trunk1
#
firewall zone untrust
set priority 5
#
firewall zone dmz
set priority 50
#
l2tp-group default-lns
#
ip route-static 192.168.0.0 255.255.0.0 10.10.10.2
#
undo ssh server compatible-ssh1x enable
#
user-interface con 0
authentication-mode password
set authentication password cipher $1a$&rJKPyLa//$pP]!B0``C<C+g~28b2PO^`Z)(V,9}
IN.k<S"PVO.$
user-interface vty 0 4
authentication-mode aaa
protocol inbound ssh
user-interface vty 16 20
#
sa
#
location
#
multi-interface
  mode proportion-of-weight
#
security-policy
#
traffic-policy
#
policy-based-route
#
nat-policy
#
pcp-policy
#
dns-transparent-policy
#
return






三层交换机配置


vlan batch 2 to 3 100
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
drop-profile default
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password simple admin
local-user admin service-type http
#
interface Vlanif1
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif2
ip address 192.168.2.1 255.255.255.0
#
interface Vlanif3
ip address 192.168.3.1 255.255.255.0
#
interface Vlanif100
ip address 10.10.10.2 255.255.255.0
ip address 10.10.11.1 255.255.255.0 sub
#
interface MEth0/0/1
#
interface Eth-Trunk1
port link-type access
port default vlan 100
#
interface GigabitEthernet0/0/1
eth-trunk 1
#
interface GigabitEthernet0/0/2
eth-trunk 1
#
interface GigabitEthernet0/0/3
eth-trunk 1
#
interface GigabitEthernet0/0/4
eth-trunk 1
#
interface GigabitEthernet0/0/5
#
interface GigabitEthernet0/0/6
port link-type access
port default vlan 2
#
interface GigabitEthernet0/0/7
port link-type access
port default vlan 3
#
interface GigabitEthernet0/0/8
#
interface GigabitEthernet0/0/9
#
interface GigabitEthernet0/0/10
undo portswitch
#
interface GigabitEthernet0/0/11
#
interface GigabitEthernet0/0/12
#
interface GigabitEthernet0/0/13
#
interface GigabitEthernet0/0/14
#
interface GigabitEthernet0/0/15
#
interface GigabitEthernet0/0/16
#
interface GigabitEthernet0/0/17
#
interface GigabitEthernet0/0/18
#
interface GigabitEthernet0/0/19
#
interface GigabitEthernet0/0/20
port link-type access
port default vlan 100
#
interface GigabitEthernet0/0/21
#
interface GigabitEthernet0/0/22
#
interface GigabitEthernet0/0/23
#
interface GigabitEthernet0/0/24
#
interface NULL0
#
ip route-static 0.0.0.0 0.0.0.0 10.10.10.1
#
user-interface con 0
user-interface vty 0 4
#
return



引用:
原帖由 136826645 于 2017-6-14 08:25 发表
一台华为USG防火墙,一台华为三层交换机,然后下面接了10个交换机,我想划分几个VLAN,该怎么做?192.168.1.0
192.168.2.0是监控划在一起 192.168.3.0是网络单独划出来,因为是走线是在一起的,要基于IP划分了吧?

另外,防火墙和三 ...
交换机之间跑trunk
所有vlan在三层写,通过GVRP传输到二层,每台二层配个一个管理地址
所有交换机开RSTP




本帖最后由 kele777 于 2017-6-14 14:27 编辑
我能告诉你的就是华为官网典型配置案例有很多类似案例



引用:
原帖由 kele777 于 2017-6-14 14:16 发表

交换机之间跑trunk
所有vlan在三层写,通过GVRP传输到二层,每台二层配个一个管理地址
所有交换机开RSTP
都啥年代了还用rstp,现在都跑mstp了。



模拟党好久没模拟了  




‹‹ 上一贴:这个怎么做 各位大神帮帮忙   |   下一贴:网络怎么联通 ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2017 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com