交换机路由器防火墙的基本配置文稿演示

482019.07 特别企划Special Project 责任编辑：赵志远 投稿信箱：netadmin@图3 ping IPv6上节介绍了六大操作系统如何配置IPv6，同时也给出了一个IPv6使用建议就是将IPv4直接与分配的IPv6前缀合并。

路由（防火墙）、交换设备IPv6配置一方面是利于后面的内容里有一些高级的应用，另一方面也便于记忆，这样只要你记住了IPv4的地址，然后记住了IPv6前缀通过规律组合就知道了IPv6完整地址，对于设备来说笔者也是相同的建议。

当然大型运营商另行考虑，毕竟他们的设备与企业dns-search= ip6-privacy=2method=manualFreeBSD命令行实时生效（非永久）：ifconfig em0 inet6 2019:513::c909:50d/96 //配置IProute -6 add default 2019:513::c 909:501 //配置网关e c h o 2019:8888::8 >> /e t c /r e s o l v.c o nf //配置DNS配置文件（永久）：ee /etc/rc.conf 新增：i f c o n f i g _e m 0_ IPv6="inet6 2019:513:: c909:50d/96"IPv6_defaultrouter="2019:513::c909:501"到此，六大系统的IPv6地址配置就已经全部完成了，如果你有多台服务器，你现在就可以相互ping 一下试试。

记得Windows 的ping 能够直接兼容IPv6，其他5个系统则需要使用ping6指令。

而关于IPv4快速转IPv6的小技巧，其实非常简单，各位将IPv6的前缀直接加上IPv4地址，然后正常ping IPv6，操作系统就会直接帮你转换完成的，如图3所示。

可见操作系统为了兼容IPv4的格式，在细节上也都有为各位着想。

H3C防火墙F1060透明模式部署到路由器和三层核心交换机之间如图，给路由器R1配置管理地址为192.168.33.1，三层核心交换机SW1管理地址为192.168.33.254，且开启DHCP服务，为PC1和PC2提供IP地址；防火墙F1以透明模式部署到路由器R1和三层交换机SW1之间。

下面是各个设备的配置过程。

一．首先我们配置三层交换机和与三层交换机相连的接入交换机，配置步骤如下：1.启动三层核心交换机SW1，接着启动命令行终端：<H3C>sysSystem View: return to User View with Ctrl+Z.[H3C]vlan 31 to 33[H3C]dhcp enable 开启DHCP服务[H3C]dhcp server ip-pool vlan31pool 创建DHCP地址池并命名[H3C-dhcp-pool-vlan31pool]network 192.168.31.0 mask 255.255.255.0 设置DCHP地址池[H3C-dhcp-pool-vlan31pool]gateway-list 192.168.31.254 设置网关地址[H3C-dhcp-pool-vlan31pool]dns-list 114.114.114.114 180.76.76.76 设置DNS地址[H3C-dhcp-pool-vlan31pool]quit[H3C]dhcp server ip-pool vlan32pool[H3C-dhcp-pool-vlan32pool]network 192.168.32.0 mask 255.255.255.0[H3C-dhcp-pool-vlan32pool]gateway-list 192.168.32.254[H3C-dhcp-pool-vlan32pool]dns-list 114.114.114.114 180.78.76.76[H3C-dhcp-pool-vlan32pool]quit[H3C]int vlan 31[H3C-Vlan-interface31]ip address 192.168.31.254 24[H3C-Vlan-interface31]dhcp select server 设置DHCP模式为server[H3C-Vlan-interface31]dhcp server apply ip-pool vlan31pool 指定应用的地址池[H3C-Vlan-interface31]quit[H3C]int vlan 32[H3C-Vlan-interface32]ip address 192.168.32.254 24[H3C-Vlan-interface32]dhcp select server[H3C-Vlan-interface32]dhcp server apply ip-pool vlan32pool[H3C-Vlan-interface32]quit[H3C]int g1/0/3[H3C-GigabitEthernet1/0/3]port link-type access[H3C-GigabitEthernet1/0/3]port access vlan 33[H3C-GigabitEthernet1/0/3]quit[H3C]int vlan 33[H3C-Vlan-interface33]ip address 192.168.33.254 24[H3C-Vlan-interface33]quit[H3C]int g1/0/1[H3C-GigabitEthernet1/0/1]port link-type trunk[H3C-GigabitEthernet1/0/1]port trunk permit vlan all[H3C-GigabitEthernet1/0/1]undo port trunk permit vlan 1[H3C-GigabitEthernet1/0/1]quit[H3C]int g1/0/2[H3C-GigabitEthernet1/0/2]port link-type trunk[H3C-GigabitEthernet1/0/2]port trunk permit vlan all[H3C-GigabitEthernet1/0/2]undo port trunk permit vlan 1[H3C-GigabitEthernet1/0/2]quit在三层交换机SW1上建立用户admin，并设置密码，用作远程登陆和web登陆。

在网络中，防火墙、交换机和路由器通常是网络安全的重要组成部分。

以下是一个简单的示例，演示如何配置一个具有防火墙功能的路由器和交换机。

请注意，实际配置可能会根据您的网络架构和设备型号而有所不同。

设备列表：路由器：使用Cisco设备作为示例，实际上可以是其他厂商的路由器。

路由器IP地址：192.168.1.1交换机：同样，使用Cisco设备作为示例。

交换机IP地址：192.168.1.2防火墙规则：允许内部网络向外部网络发出的通信。

阻止外部网络对内部网络的未经请求的通信。

配置示例：1. 配置路由器：Router(config)# interface GigabitEthernet0/0Router(config-if)# ip address 192.168.1.1 255.255.255.0Router(config-if)# no shutdownRouter(config)# interface GigabitEthernet0/1Router(config-if)# ip address [外部IP地址] [外部子网掩码]Router(config-if)# no shutdownRouter(config)# ip route 0.0.0.0 0.0.0.0 [外部网关]2. 配置防火墙规则：Router(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 anyRouter(config)# access-list 101 deny ip any 192.168.1.0 0.0.0.255Router(config)# access-list 101 permit ip any anyRouter(config)# interface GigabitEthernet0/1Router(config-if)# ip access-group 101 in3. 配置交换机：Switch(config)# interface Vlan1Switch(config-if)# ip address 192.168.1.2 255.255.255.0Switch(config-if)# no shutdown配置说明：路由器通过两个接口连接内部网络（192.168.1.0/24）和外部网络。

锐捷交换机及路由器基本配置锐捷交换机及路由器基本配置交换机和路由器是构建计算机网络的重要设备，锐捷交换机和路由器是目前市场上常用的网络设备之一。

本文档将详细介绍锐捷交换机和路由器的基本配置步骤。

一、硬件连接1.将交换机或路由器与电源连接，并确保设备处于正常工作状态。

2.使用网线将交换机或路由器的LAN口与计算机或其他网络设备连接。

二、登录设备1.打开计算机的网络设置页面。

2.在浏览器中输入设备的管理IP地质，并按回车键。

3.输入设备的默认用户名和密码进行登录。

三、基本配置1.设定设备的基本信息a) 修改设备名称：根据需求修改设备的名称。

b) 设定管理IP地质：如果需要修改管理IP地质，可以在网络设置中进行修改。

2.设置设备的时间和日期a) 设置时区和时间格式：根据所在地区设置对应的时区和时间格式。

b) 同步时间服务器：选择能够提供时间同步服务的服务器，并进行同步。

3.配置系统登录认证a) 修改管理账号和密码：设置设备的管理员账号和密码，确保设备的安全性。

b) 配置远程登录：如果需要通过远程方式登录设备，可以设置远程登录相关配置。

4.网络接口配置a) 配置接口IP地质：根据局域网的需求，为设备的接口分配合适的IP地质。

b) 设置接口上行速率：根据实际的网络接入速率，设置接口的上行速率。

5.VLAN配置a) 创建VLAN：根据网络的需求，创建对应的VLAN，并为其分配合适的IP地质。

b) 配置端口：根据需要，将接口划分到特定的VLAN中。

6.路由配置a) 配置静态路由：根据网络的拓扑结构，配置静态路由，实现不同子网之间的通信。

b) 开启动态路由协议：如果需要支持动态路由，可以配置相应的路由协议，如OSPF或BGP。

7.安全配置a) 配置防火墙策略：根据网络的安全要求，设置防火墙策略，限制不安全的流量。

b) 启用端口安全功能：可以通过配置端口安全来限制接口上的设备数量。

8.保存配置与重启设备a) 保存配置：在完成基本配置后，及时保存配置，以防止配置丢失。

华为防火墙配置使用手册(自己写)一、网络拓扑一台华为USG6000E防火墙，作为网络边界设备，连接内网、外网和DMZ区域。

一台内网交换机，连接内网PC和防火墙的GE0/0/1接口。

一台外网路由器，连接Internet和防火墙的GE0/0/2接口。

一台DMZ交换机，连接DMZ区域的WWW服务器和FTP服务器，以及防火墙的GE0/0/3接口。

一台内网PC，IP地址为10.1.1.2/24，作为内网用户，需要通过防火墙访问Internet和DMZ区域的服务器。

一台WWW服务器，IP地址为192.168.1.10/24，作为DMZ区域的Web 服务提供者，需要对外提供HTTP服务。

一台FTP服务器，IP地址为192.168.1.20/24，作为DMZ区域的文件服务提供者，需要对外提供FTP服务。

Internet用户，需要通过防火墙访问DMZ区域的WWW服务器和FTP服务器。

图1 网络拓扑二、基本配置本节介绍如何进行防火墙的基本配置，包括初始化配置、登录方式、接口配置、安全区域配置等。

2.1 初始化配置防火墙出厂时，默认的管理接口为GE0/0/0，IP地址为192.168.1. 1/24，开启了DHCP服务。

默认的用户名为admin，密码为Admin123。

首次登录防火墙时，需要修改密码，并选择是否清除出厂配置。

步骤如下：将PC与防火墙的GE0/0/0接口用网线相连，并设置PC的IP地址为19 2.168.1.x/24（x不等于1）。

在PC上打开浏览器，并输入192.168.1.1访问防火墙的Web界面。

输入默认用户名admin和密码Admin123登录防火墙，并根据提示修改密码。

新密码必须包含大小写字母、数字和特殊字符，并且长度在8到32个字符之间。

选择是否清除出厂配置。

如果选择是，则会删除所有出厂配置，并重启防火墙；如果选择否，则会保留出厂配置，并进入Web主界面。

2.2 登录方式2.2.1 Web登录Web登录是通过浏览器访问防火墙的Web界面进行管理和配置的方式。

交换机和路由器基本配置交换机和路由器基本配置一、前言本文档旨在提供交换机和路由器的基本配置指南，以帮助用户了解如何正确配置和管理网络设备。

本文档详细介绍了每个章节的配置步骤和注意事项，方便用户按照指南进行操作。

二、硬件准备1·确保交换机和路由器已正确安装，并连接到电源和网络线路。

2·确保有正确的管理权限和凭据来访问设备。

三、交换机基本配置1·连接到交换机a·使用串口或网络线缆将计算机连接到交换机的管理端口。

b·配置计算机的IP地质，确保与交换机的管理接口在同一网络段。

2·登录交换机a·打开SSH（Secure Shell）客户端，并输入交换机的管理IP地质。

b·使用正确的用户名和密码登录交换机。

3·配置基本参数a·配置交换机的主机名，确保唯一性并易于识别。

b·配置管理VLAN，以便远程管理设备。

c·配置SNMP（Simple Network Management Protocol）参数，以实现对交换机的监控和管理。

4·创建和配置VLANa·创建VLAN并指定相应的VLAN ID。

b·将端口分配给相应的VLAN。

c·配置VLAN接口的IP地质，以实现不同VLAN之间的通信。

5·配置STP（Spanning Tree Protocol）a·启用STP机制，以防止网络环路导致的数据包洪泛。

b·配置根桥和边界端口，以优化网络拓扑。

6·配置端口安全a·配置端口安全以限制与特定MAC地质相关联的设备的接入。

b·配置端口安全阈值，以控制允许接入的设备数量。

7·配置QoS（Quality of Service）a·配置QoS以实现对网络流量的优先级分类和限制。

b·配置流量控制策略，以保证重要数据的传输质量。

21交换机与防火墙对接上网配置关于本章21.1 二层交换机与防火墙对接上网配置示例21.2 三层交换机与防火墙对接上网配置示例21.1 二层交换机与防火墙对接上网配置示例二层交换机简介二层交换机指的是仅能够进行二层转发，不能进行三层转发的交换机。

也就是说仅支持二层特性，不支持路由等三层特性的交换机。

二层交换机一般部署在接入层，不能作为用户的网关。

配置注意事项本举例中的交换机配置适用于S系列交换机所有产品的所有版本。

本举例中的防火墙配置以USG6650 V500R001C60为例，其他防火墙的配置方法请参见对应的文档指南。

组网需求如图21-1所示，某公司拥有多个部门且位于不同网段，各部门均有访问Internet的需求。

现要求用户通过二层交换机和防火墙访问外部网络，且要求防火墙作为用户的网关。

图21-1 二层交换机与防火墙对接上网组网图IP ：192.168.1.2/24PC1PC2IP ：192.168.2.2/24IP配置思路采用如下思路进行配置：1.配置交换机基于接口划分VLAN，实现二层转发。

2.配置防火墙作为用户的网关，通过子接口或VLANIF接口实现跨网段的三层转发。

3.配置防火墙作为DHCP服务器，为用户PC分配IP地址。

4.开启防火墙域间安全策略，使不同域的报文可以相互转发。

5.配置防火墙PAT功能，使内网用户可以访问外部网络。

操作步骤步骤1配置交换机# 配置下行连接用户的接口。

<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] vlan batch 2 3[Switch] interface gigabitethernet 0/0/2[Switch-GigabitEthernet0/0/2] port link-type access//配置接口接入类型为access[Switch-GigabitEthernet0/0/2] port default vlan 2//配置接口加入VLAN 2[Switch-GigabitEthernet0/0/2] quit[Switch] interface gigabitethernet 0/0/3[Switch-GigabitEthernet0/0/3] port link-type access[Switch-GigabitEthernet0/0/3] port default vlan 3[Switch-GigabitEthernet0/0/3] quit# 配置上行连接防火墙的接口。

交换机和路由器基本配置正文：1.介绍本文档旨在提供交换机和路由器的基本配置指南。

通过本文档，读者将能够了解如何进行交换机和路由器的基本配置，以便能够正常运行和管理网络设备。

2.交换机基本配置2.1 连接交换机在进行交换机的基本配置之前，首先需要正确连接交换机。

将交换机与电源和网络中心进行连接，并确保连接稳定。

2.2 登录交换机使用一个终端设备（如电脑）通过串口或网络连接到交换机。

通过终端设备登录交换机的管理界面，输入正确的用户名和密码进行登录。

2.3 配置IP地质在交换机管理界面上，通过命令行方式配置交换机的IP地质。

为交换机分配一个唯一的IP地质，以确保其他设备可以与其进行通信。

2.4 VLAN配置根据网络需求，可以配置不同的虚拟局域网（VLAN）。

通过交换机的管理界面，创建和配置VLAN，为不同的设备和用户分配不同的VLAN。

2.5 STP配置配置树协议（STP）以防止网络环路。

通过交换机的管理界面，启用STP，并进行相应的配置。

2.6 端口配置根据网络需求，对交换机中的端口进行配置。

可以设置端口的速率和双工模式，还可以配置其他功能如端口安全、VLAN绑定等。

3.路由器基本配置3.1 连接路由器连接路由器与电源和网络中心。

确保连接稳定，并正确安装所需的模块和接口。

3.2 登录路由器使用一个终端设备通过串口或网络连接到路由器。

通过终端设备登录路由器的管理界面，输入正确的用户名和密码进行登录。

3.3 配置IP地质在路由器管理界面上，通过命令行方式配置路由器的IP地质。

为路由器分配一个唯一的IP地质，以确保其他设备可以与其进行通信。

3.4 配置接口根据网络需求，配置路由器的接口。

可以配置接口的IP地质和子网掩码，设置接口工作模式和速率。

3.5 配置路由根据网络需求，配置路由器的路由表。

添加静态路由，或者使用路由协议如OSPF或BGP来动态学习和更新路由表。

3.6 配置NAT如果需要，配置网络地质转换（NAT）以允许内部网络使用少量的公共IP地质与外部网络进行通信。

交换机路由器防火墙的基本配置解剖交换机、路由器和防火墙是构建网络基础设施的关键组件，它们各自承担着不同的功能，并且需要进行适当的配置才能确保网络的正常运行和安全性。

下面，我们就来对它们的基本配置进行一次详细的解剖。

首先，让我们来聊聊交换机。

交换机的主要作用是在局域网内连接多个设备，实现数据的快速转发。

在进行交换机的基本配置时，第一步通常是通过控制台端口（Console Port）使用串口线连接到计算机，并使用终端仿真软件（如 SecureCRT 或 PuTTY）登录到交换机的命令行界面（CommandLine Interface，简称 CLI）。

登录后，我们需要设置交换机的主机名（Hostname），这有助于在管理多个交换机时进行区分。

例如，我们可以将其命名为“Switch-1”。

接下来，配置管理IP 地址（Management IP Address）是很重要的一步。

这个 IP 地址用于远程管理交换机，通常设置在一个特定的 VLAN 中。

假设我们将管理 VLAN 设为 VLAN 1，IP 地址设为 1921681100，子网掩码设为 2552552550。

然后是 VLAN（Virtual Local Area Network）的配置。

VLAN 可以将一个物理的局域网划分成多个逻辑的局域网，增强网络的灵活性和安全性。

我们可以创建多个 VLAN，比如 VLAN 10 用于财务部，VLAN 20 用于销售部等等。

并且为每个 VLAN 配置相应的端口成员。

端口配置也是关键的一环。

端口可以被配置为访问端口（Access Port）或中继端口（Trunk Port）。

访问端口通常用于连接终端设备，如计算机、打印机等，它只能属于一个 VLAN。

而中继端口用于连接交换机或路由器，能够传输多个 VLAN 的数据。

接下来，我们转向路由器的基本配置。

路由器的主要功能是连接不同的网络，实现网络之间的通信。

与交换机类似，我们也是通过控制台端口或网络连接登录到路由器的 CLI。

路由器防火墙配置指导路由器防火墙配置指导1.简介防火墙是保护网络安全的重要组成部分，能够监控和过滤进出网络的流量。

本文档将指导您如何配置路由器防火墙，提高网络的安全性。

2.检查路由器型号和固件版本确保您的路由器型号和固件版本支持防火墙功能。

您可以在路由器的管理界面或官方网站上查找相关信息。

3.登录路由器管理界面使用正确的用户名和密码登录路由器的管理界面。

一般情况下，您可以在路由器背面或使用说明书中找到默认的登录凭据。

4.设置强密码修改默认的登录密码，并设置复杂且容易记忆的新密码。

强密码应包含字母、数字和特殊字符，并具有足够的长度。

5.启用防火墙功能在路由器的管理界面中找到防火墙设置选项，并启用防火墙功能。

确保将防火墙设置为启用状态。

6.配置入站规则入站规则控制从外部网络进入您的网络的流量。

根据需求，您可以配置允许或禁止特定端口、协议或IP地质的流量。

7.配置出站规则出站规则控制从您的网络流出的流量。

您可以配置允许或禁止特定端口、协议或IP地质的流量，以限制敏感信息的外泄。

8.配置安全策略安全策略是一组规则，用于保护您的网络免受各种网络攻击。

您可以设置恶意软件过滤、DoS攻击防护、网页过滤等安全策略。

9.定期更新路由器固件更新路由器固件可以修复已知的安全漏洞，并提供更好的防火墙保护。

请确保定期检查并更新路由器的固件版本。

附件：本文档无附件。

法律名词及注释：1.防火墙：一个网络安全设备，用于监控和控制网络流量，以保护网络免受未授权访问和恶意活动的攻击。

2.入站规则：防火墙规则，用于控制从外部网络进入您的网络的流量。

3.出站规则：防火墙规则，用于控制从您的网络流出的流量。

4.IP地质：Internet协议地质，用于识别互联网上的设备。

5.安全策略：一组规则和措施，用于保护网络免受各种网络安全威胁和攻击。