详解 三层交换机与防火墙对接上网配置示例
组网要求如所示某公司拥有多个部门且位于不同网段各部门均有访问Internet的需求。现要求用户通过三层交换机和防火墙访问外部网络且要求三层交换机作为用户的网关。IP设置1、Switchvlanif2:192.168.1.1/24vlanif3:192.168.2.1/24vlanif100:192.168.100.2/242、FW1GE1/0/1:192.168.100.1/24GE1/0/2:200.0.0.2/24AR1:GE0/0/0:200.0.0.1/24,loopback0:3.3.3.3/32配置思路1.配置交换机作为用户的网关通过VLANIF接口实现跨网段用户互访。2.配置交换机作为DHCP服务器为用户分配IP地址。3.开启防火墙域间安全策略使不同域的报文可以相互转发。4.配置防火墙PAT转换功能使用户可以访问外部网络。配置步骤步骤1配置交换机#配置连接用户的接口和对应的VLANIF接口。配置连接防火墙的接口和对应的 VLANIF 接口。配置缺省路由。//缺省路由的下一跳是防火墙接口的 IP 地址192.168.100.1ip route-static 0.0.0.0 0.0.0.0 192.168.100.1配置 DHCP 服务器。[Switch] dhcp enable[Switch] interface vlanif 2[Switch-Vlanif2] dhcp select interface //DHCP 使用接口地址池的方式为用户分配 IP 地址[Switch-Vlanif2] dhcp server dns-list 8.8.8.8配置的 DNS-List 114.114.114.114 是公用的 DNS 服务器地址是不区分运营商的。在实际应用中请根据运营商分配的 DNS 进行配置[Switch-Vlanif2] quit[Switch] interface vlanif 3[Switch-Vlanif3] dhcp select interface[Switch-Vlanif3] dhcp server dns-list 8.8.8.8[Switch-Vlanif3] quit2 配置防火墙配置连接交换机的接口对应的 IP 地址。USG6600 system-view[USG6600] interface gigabitethernet 1/0/1[USG6600-GigabitEthernet1/0/1] ip address 192.168.100.1 255.255.255.0[USG6600-GigabitEthernet1/0/1] quit配置连接公网的接口对应的 IP 地址。[USG6600] interface gigabitethernet 1/0/2[USG6600-GigabitEthernet1/0/2] ip address 200.0.0.2 255.255.255.0配置连接公网接口的 IP 地址和公网的 IP地址在同一网段[USG6600-GigabitEthernet1/0/2] quit配置缺省路由和回程路由。[USG6600] ip route-static 0.0.0.0 0.0.0.0 200.0.0.1//配置静态缺省路由的下一跳指向公网提供的 IP 地址200.0.0.1[USG6600] ip route-static 192.168.0.0 255.255.0.0 192.168.100.2//配置回程路由的下一跳就指向交换机上行接口的 IP 地址 192.168.100.2配置安全策略。配置安全策略允许域间互访。配置 PAT 地址池开启允许端口地址转换。配置源 PAT 策略实现私网指定网段访问公网时自动进行源地址转换。[USG6600] nat-policy[USG6600-policy-nat] rule name policy_nat1[USG6600-policy-nat-rule-policy_nat1] source-zone trust[USG6600-policy-nat-rule-policy_nat1] destination-zone untrust[USG6600-policy-nat-rule-policy_nat1] source-address 192.168.0.0 mask 255.255.0.0 //允许进行 PAT 转换的源 IP 地址[USG6600-policy-nat-rule-policy_nat1] action nat address-group addressgroup1[USG6600-policy-nat-rule-policy_nat1] quit[USG6600-policy-nat] quit[USG6600] quit检查配置结果配置 PC1 的 IP 地址为 192.168.1.2/24网关为 192.168.1.1PC2 的 IP 地址为192.168.2.2/24网关为 192.168.2.1。配置完成后PC1 和 PC2 都可以 Ping 通外网的 IP3.3.3.3PC1 和 PC2 都可以访问 Internet。Switch 的主要配置文件sysname Switch#undo info-center enable#vlan batch 2 to 3 100#dhcp enable#interface Vlanif2ip address 192.168.1.1 255.255.255.0dhcp select interfacedhcp server dns-list 8.8.8.8#interface Vlanif3ip address 192.168.2.1 255.255.255.0dhcp select interfacedhcp server dns-list 8.8.8.8#interface Vlanif100ip address 192.168.100.2 255.255.255.0##interface MEth0/0/1interface GigabitEthernet0/0/1port link-type accessport default vlan 100#interface GigabitEthernet0/0/2port link-type accessport default vlan 2#interface GigabitEthernet0/0/3port link-type accessport default vlan 3##returnip route-static 0.0.0.0 0.0.0.0 192.168.100.1五、FW1 的主要配置文件undo info-center enable###sysname FW1interface GigabitEthernet1/0/1undo shutdownip address 192.168.100.1 255.255.255.0#interface GigabitEthernet1/0/2undo shutdownip address 200.0.0.2 255.255.255.0#firewall zone localset priority 100#firewall zone trustset priority 85add interface GigabitEthernet0/0/0add interface GigabitEthernet1/0/1#firewall zone untrustset priority 5add interface GigabitEthernet1/0/2#firewall zone dmzset priority 50##ip route-static 0.0.0.0 0.0.0.0 200.0.0.1ip route-static 192.168.0.0 255.255.0.0 192.168.100.2security-policyrule name policy1source-zone trustdestination-zone untrustsource-address 192.168.0.0 mask 255.255.0.0action permit#nat-policyrule name policy_nat1source-zone trustdestination-zone untrustsource-address 192.168.0.0 mask 255.255.0.0action source-nat easy-ip#return六、AR1 的主要配置文件#sysname AR1#interface GigabitEthernet0/0/0ip address 200.0.0.1 255.255.255.0#interface LoopBack0ip address 3.3.3.3 255.255.255.255#return

相关新闻

TikTok直播选品怎么做?跨境直播带货选品方法拆解

TikTok直播选品怎么做?跨境直播带货选品方法拆解

在 TikTok 直播带货中,选品不是一个单独的商品动作,而是影响直播间流量承接、讲品效率、转化率和售后风险的核心环节。 很多新手商家会直接参考国内抖音爆品,但 TikTok 面向海外市场,用户习惯、平台规则、履约方式和内容表达都不…

2026/7/1 14:40:10阅读更多 →
OpenClaw加海量skills能否替代测试?

OpenClaw加海量skills能否替代测试?

最近网上养龙虾热得不行,各种相关的文档充斥网络。每个人都担心,不久的将来,自己将被龙虾替代。好像自己不养几只就心慌,真正养起来又不知道能做什么?一,哪些工作正在被替代?OpenClawSkills最擅…

2026/7/1 14:40:10阅读更多 →
选题到定稿无断点:paperxie 分层式论文写作模块,适配全学段学术创作刚需

选题到定稿无断点:paperxie 分层式论文写作模块,适配全学段学术创作刚需

paperxie-免费查重复率aigc检测/开题报告/毕业论文/智能排版/文献综述/科研绘图毕业论文 - PaperXie智能写作PaperXieAi论文智能生成软件,10分钟生成万字毕业论文、期刊论文、文献综述、PPT,Aigc查重、降重报告、文献资料。只需一个标题,从开…

2026/7/1 14:40:10阅读更多 →
DailyTech-20260630

DailyTech-20260630

每日科技资讯 — 2026年6月30日(周二)聚焦科技圈技术动态。📌 摘要速览 智谱 GLM-5.2 安全基准超越 Claude Opus 4.8——国产模型在网络安全评测上取得进展; 美团一日 9 连发——LongCat 系列全线开源,覆盖音频到定理证…

2026/7/1 15:45:45阅读更多 →
FastMCP 很快,但第一步不是把所有函数都暴露成工具

FastMCP 很快,但第一步不是把所有函数都暴露成工具

FastMCP 很快,但第一步不是把所有函数都暴露成工具 FastMCP 的吸引力很直接:你写一个普通 Python 函数,加上 mcp.tool,它就可以变成 MCP 客户端能发现和调用的工具。对正在给 Claude Code、Codex、Cursor 或 Aider 接工具的人来说…

2026/7/1 15:45:45阅读更多 →
影刀RPA新手教程:法律行业自动化完全指南——合同审查、案件信息录入与法院文书采集

影刀RPA新手教程:法律行业自动化完全指南——合同审查、案件信息录入与法院文书采集

影刀RPA新手教程:法律行业自动化完全指南——合同审查、案件信息录入与法院文书采集 我毕业后进了律所做实习律师助理,每天打开电脑就是打开法院公告网、裁判文书网、律所内部案件管理系统,复制粘贴、登录、下载、整理——一套流程做下来&am…

2026/7/1 15:45:45阅读更多 →
双开钢制防火门五金配置、闭门器联动调试技术规范

双开钢制防火门五金配置、闭门器联动调试技术规范

执行依据:GB 12955-2008《防火门》、GB50016、GB50877、14X505-1 防火门监控图集。 适用于甲乙级双扇钢制防火门,分为 ** 常闭型(常规疏散通道)与常开联动型(商场、医院走道)** 两套配置标准,含…

2026/7/1 15:45:45阅读更多 →
paperxie 文献综述 AI 工具实测:三步搞定规范综述,解决文献梳理全难题

paperxie 文献综述 AI 工具实测:三步搞定规范综述,解决文献梳理全难题

paperxie-免费查重复率aigc检测/开题报告/毕业论文/智能排版/文献综述/课程论文https://www.paperxie.cn/ai/journalsReviewedhttps://www.paperxie.cn/ai/journalsReviewed 开篇:文献综述成学业卡点,无数学生卡在文献整合环节 在课程论文、毕业论文、期…

2026/7/1 15:45:45阅读更多 →
收藏!小白程序员快速入门大模型,Agent开发高薪就业指南

收藏!小白程序员快速入门大模型,Agent开发高薪就业指南

随着Agent和大模型成为技术圈热点,岗位需求激增,薪资诱人。然而,许多求职者因技能不匹配难以胜任。 放眼2026技术圈,Agent 绝对是当下最热门的方向。不管是大厂的技术动向,还是春招新增的岗位,核心都围绕着…

2026/7/1 15:40:44阅读更多 →
AI Coding 六个月真实ROI账本:产品经理的血泪教训,研发的冷静忠告

AI Coding 六个月真实ROI账本:产品经理的血泪教训,研发的冷静忠告

6个月前的2025年12月,Boris Cherny 公开宣布自己卸载了 IDE。一时间,Vibe Coding 成了全行业最热的话题。6个月后,当我们回过头来拉一份真实账本,发现事情远没有"一句话生成一个App"那么浪漫。本文从产品经理和研发两个…

2026/7/1 4:42:14阅读更多 →
审计来了,数据权限全开——审计走了,怎么确保权限全部关掉?

审计来了,数据权限全开——审计走了,怎么确保权限全部关掉?

引言:审计结束三个月了,审计员的权限还没关某城商行每年按照监管要求开展至少一次数据安全审计。审计期间,内审部门需要抽样检查各类业务数据——交易流水、客户信息、员工操作日志、权限配置记录。这些数据分布在不同系统中,审计…

2026/7/1 5:19:01阅读更多 →
YOLOv8推理性能优化:从1.2FPS到35FPS的全链路加速实践

YOLOv8推理性能优化:从1.2FPS到35FPS的全链路加速实践

如果你在部署 YOLOv8 时,发现推理速度只有可怜的 1-2 FPS,而别人的演示视频却能跑到 30 FPS 以上,那么问题很可能不在模型本身,而在于你的整个处理链路。很多开发者拿到一个训练好的 YOLOv8 模型后,会直接使用官方示例…

2026/7/1 0:01:44阅读更多 →
Coze与Dify对比指南:低代码AI应用开发从入门到实战

Coze与Dify对比指南:低代码AI应用开发从入门到实战

1. 从零到一:为什么你需要了解 Coze 和 Dify?如果你对 AI 应用开发感兴趣,但一看到“大模型”、“智能体”、“工作流”这些词就头疼,觉得门槛太高,那这篇文章就是为你准备的。很多开发者,包括我自己&#…

2026/7/1 0:01:44阅读更多 →
AI生图工具怎么选?2026年6月版实测对比

AI生图工具怎么选?2026年6月版实测对比

做自媒体的朋友应该都有体会:配图一直是个让人头疼的问题。2026年,AI生图工具已经非常成熟了,但工具太多反而不知道怎么选。以下是截至2026年6月我对主流AI生图工具的实测对比。Midjourney V8.1:速度之王2026年6月11日&#xff0c…

2026/7/1 0:01:44阅读更多 →
YOLOv8推理性能优化:从1.2FPS到35FPS的全链路加速实践

YOLOv8推理性能优化:从1.2FPS到35FPS的全链路加速实践

如果你在部署 YOLOv8 时,发现推理速度只有可怜的 1-2 FPS,而别人的演示视频却能跑到 30 FPS 以上,那么问题很可能不在模型本身,而在于你的整个处理链路。很多开发者拿到一个训练好的 YOLOv8 模型后,会直接使用官方示例…

2026/7/1 0:01:44阅读更多 →
Coze与Dify对比指南:低代码AI应用开发从入门到实战

Coze与Dify对比指南:低代码AI应用开发从入门到实战

1. 从零到一:为什么你需要了解 Coze 和 Dify?如果你对 AI 应用开发感兴趣,但一看到“大模型”、“智能体”、“工作流”这些词就头疼,觉得门槛太高,那这篇文章就是为你准备的。很多开发者,包括我自己&#…

2026/7/1 0:01:44阅读更多 →
AI生图工具怎么选?2026年6月版实测对比

AI生图工具怎么选?2026年6月版实测对比

做自媒体的朋友应该都有体会:配图一直是个让人头疼的问题。2026年,AI生图工具已经非常成熟了,但工具太多反而不知道怎么选。以下是截至2026年6月我对主流AI生图工具的实测对比。Midjourney V8.1:速度之王2026年6月11日&#xff0c…

2026/7/1 0:01:44阅读更多 →