小型网络配置（H3C设备）

?关于小型网络的各种设备配置，供本人留档学习。

若有不足，欢迎指正。

拓扑图如下

VSR-88_6模拟互联网，以所有设备PING通其为准，其地址为10.10.100.1；本实验不涉及防火墙安全策略配置。

实验方案：

1.划分管理vlan与业务vlan，其中业务vlan分为两个，PC_7为静态IP，PC_8为DHCP自动获取。

2.各网段都能访问互联网。

3.配置各设备的远程管理

4.配置NAT使内网能够访问互联网

?

内容如下：

一、核心交换机

1.划分vlan 100 为管理vlan，vlan 10与vlan 20 为业务vlan，其中vlan 20 为DHCP自动获取；

划分vlan并配置IP：

2.配置vlan 20的DHCP服务：

3.配置用户及远程登录

????????authorization-attribute user-role network-admin 设置用户角色为管理员角色。

4.配置对应接口模式

与接入交换机连接的接口设为trunk模式，放通对应vlan并拒绝默认vlan1

5.配置默认路由指向路由器

ip route-static 0.0.0.0 0 172.16.100.250

?

#划分vlan和地址
vlan 10 20 100
int vlan 10
ip add 172.16.10.254 24
qui
int vlan 20
ip add 172.16.20.254 24
qui
int vlan 100
ip add 172.16.100.254 24
qui
save f

#配置DHCP
dhcp enable
dhcp server ip-pool name
address range 172.16.20.1 172.16.20.253
gateway-list 172.16.20.254
network 172.16.20.0 mask 255.255.255.0
dns-list 223.5.5.5 114.114.114.114
expired day 1
qui
int vlan 20
dhcp server apply ip-pool name
save f

#配置远程登录用户
ssh server enable
local-user admin class manage
password simple abc1234567
service-type ssh http https
authorization-attribute user-role network-admin
qui
line vty 0 63
authentication-mode scheme
user-role network-admin
qui
save f

#配置接口模式 先了解怎么接的线再考虑用什么模式，中间无设备用access，中间有设备用trunk
int g 1/0/2
port link-type trunk
port trunk permit vlan 10 100
undo port trunk permit vlan 1
int g 1/0/3
port link-type trunk
port trunk permit vlan 20 100
undo port trunk permit vlan 1
int g 1/0/1
port link-type access
port access vlan 100
save f

二、接入交换机

1.配置管理地址

2.修改对应接口模式

3.配置默认路由指向核心交换机

ip route-static 0.0.0.0 0 172.16.100.254

（接入交换机配置都一样，改下IP和vlan就行）

#配置管理地址和业务地址
vlan 100 10
int vlan 100
ip add 172.16.100.253 24
save f

#配置接口模式
int g 1/0/1
port link-type trunk
port trunk permit vlan 10 100
undo port trunk permit vlan 1
quit
int g 1/0/2
port access vlan 10
save f

3.配置用户远程登录

同上我就直接复制了

ssh server enable
local-user admin class manage
password simple abc1234567
service-type ssh http https
authorization-attribute user-role network-admin
qui
line vty 0 63
authentication-mode scheme
user-role network-admin
qui
save f

4.开启DHCP中继服务

dhcp enable
int vlan 20
dhcp select relay
dhcp relay server-address 172.16.100.254 #DHCP服务器地址

????????自动获取成功

三、防火墙

1.配置管理地址

2.将防火墙接口配置为二层trunk模式并将接口划入对应安全域

3.配置默认路由指向路由器

ip route-static 0.0.0.0 0 172.16.100.250

4.配置默认安全策略?

#配置vlan和地址
vlan 100
int vlan 100
ip add 172.16.100.251 24
qui
save f

#配置端口模式和安全域
int g 1/0/0
port link-mode bridge
port link-type access
port access vlan 100
int g 1/0/2
port link-mode bridge
port link-type access
port access vlan 100
qui
security-zone name Trust            #接口和vlan都要划进对应的安全域
import interface g 1/0/2 vlan 100
import interface Vlan 100
qui
security-zone name Untrust
import interface g 1/0/0 vlan 100
save f

四、路由器

1.在接口上配置对应的外网IP和内网IP

2.在出口配置NAT地址转换

3.配置静态路由

默认路由指向外网IP，各网段回程路由指向核心交换机

#对应接口配置地址
int g 0/0/0
ip add 172.16.100.250 24
int g 0/0/1
ip add 10.10.100.2 24
save f

#出口配置NAT   简易做法
int g 0/0/1
nat outbound
save f

#配置静态路由
ip route-static 0.0.0.0 0 10.10.100.1
ip route-static 172.16.10.0 24 172.16.100.254
ip route-static 172.16.20.0 24 172.16.100.254
ip route-static 172.16.100.0 24 172.16.100.254

?

?

要点：

1.防火墙上对应的接口配置对应的安全域，vlan接口也要划进安全域，默认安全策略全放通

2.静态路由，核心交换机与防火墙指向路由器，接入交换机指向核心交换机，路由器上指向外网同时各网段回程路由指向核心交换机。接入交换机没指向核心交换机有几率ping不通

3.DHCP与终端中间有设备，需要开启DHCP中继

?

暂时就这么多，想起来会补充，也欢迎大家帮忙补充

?

?