给vlan配置ip地址命令
作者:独猎鹏
2、保护内部网络安全性
(1)设备命名、接口启用IP地址
NGFW:
#
sysname NGFW 设备命名为NGFW
#
interface GigabitEthernet1/0/0 进入接口视图下,配置IP地址
ip address 202.0.0.1 255.255.255.248
#
interface GigabitEthernet1/0/2 进入接口视图下,配置IP地址
ip address 10.0.0.1 255.255.255.252
#
SW1:
#
sysname SW1 设备命名为SW1
#
interface GigabitEthernet1/0/2 进入接口视图下
port link-mode route 修改接口为三层模式(缺省为bridge二层桥模式)
ip address 10.0.0.2 255.255.255.252 配置接口IP地址
#
Internet:
#
sysname internet 设备命名为internet
#
interface GigabitEthernet0/0 进入接口视图下
ip address 202.0.0.2 255.255.255.248 添加ip地址
#
interface LoopBack0 添加loopback接口,逻辑接口,用于模拟公网
description CS 接口添加描述,意思为:测试
ip address 200.1.1.1 255.255.255.255 接口配置ip地址
#
(2)DMZ区域配置(DHCP配置,绑定配置)、Untrust区域配置
A、安全区域划分
NGFW:
#
security-zone name DMZ 进入dmz安全区域
import interface GigabitEthernet1/0/2 将内网接口加入到dmz安全区域
#
security-zone name Untrust 进入untrust安全区域
import interface GigabitEthernet1/0/0 将公网接口加入到untrust安全区域
#
B、DHCP配置
分配指定IP地址给Server
1)获取IP地址
I、Server配置:
Server(通过交换机模拟):
#
sysname Server 设备命名为Server
#
vlan 10 创建vlan 10
#
interface GigabitEthernet1/0/1 进入接口视图下
port link-mode bridge 接口设置为桥模式
port access vlan 10 将接口属于vlan 10
#
interface Vlan-interface10 配置三层虚接口(逻辑接口)
#
II、查询server mac地址
[Server]display interface Vlan-interface 10 查询接口参数,目的是查看mac地址
Vlan-interface10
Current state: UP
Line protocol state: UP
Description: Vlan-interface10 Interface
Bandwidth: 100000 kbps
Maximum transmission unit: 1500
Internet address: 10.1.1.10/8 (DHCP-allocated)
IP packet frame type: Ethernet II, hardware address: 06db-1d10-0902
IPv6 packet frame type: Ethernet II, hardware address: 06db-1d10-0902
Last clearing of counters: Never
Last 300 seconds input rate: 4 bytes/sec, 32 bits/sec, 0 packets/sec
Last 300 seconds output rate: 3 bytes/sec, 24 bits/sec, 0 packets/sec
Input: 11 packets, 2046 bytes, 0 drops
Output: 30 packets, 4156 bytes, 0 drops
III、DHCP配置
SW1:
#
vlan 10 创建vlan10
#
interface GigabitEthernet1/0/1 进入接口视图下
port link-mode bridge 接口为二层接口,桥模式
port access vlan 10 接口属于vlan 10
#
interface Vlan-interface10 进入三层虚接口视图下
ip address 10.1.1.254 255.255.255.0 配置网关地址
#
dhcp enable 启用dhcp服务功能
#
dhcp server ip-pool server 创建地址池
gateway-list 10.1.1.254 配置网关地址
network 10.1.1.0 mask 255.255.255.0 添加可以分配地址段
forbidden-ip 10.1.1.254 保护起来ip地址不被分配
static-bind ip-address 10.1.1.10 mask 255.255.255.0 hardware-address 06db-1d10-0902
# 配置给server分配指定ip地址为10.1.1.10
Server(通过交换机模拟):
#
interface Vlan-interface10 进入三层虚接口视图下
ip address dhcp-alloc 动态获取ip地址(此命令用于接口启用dhcp客户端功能)
#
(3)安全策略,实现区域之间可以互相访问
NGFW:
#
object-group ip address dmz 添加dmz地址组
0 network subnet 10.1.1.0 255.255.255.0 添加地址段
#
object-group ip address untrust 添加untrust地址组
0 network subnet 0.0.0.0 0.0.0.0 访问公网允许所有,any
#
security-policy ip 添加安全策略
rule 0 name dmz-untrust 策略为dmz区域到untrust区域
action pass 动作为允许
source-zone dmz 源安全区域为dmz
destination-zone untrust 目的安全区域为untrust
source-ip dmz 源ip地址为dmz地址组
destination-ip untrust 目的IP地址为untrust地址组
#
(4)开启攻击防范
NGFW:
#
attack-defense policy attack 开启攻击防范功能
signature detect land action drop logging 启用land攻击防范,发现攻击丢包并记录日志
#
security-zone name Untrust 进入untrust安全区域
attack-defense apply policy attack 应该单包攻击防范功能。
#
注意:所有的单包攻击均如上配置。仔细看需求进行修改。
(5)配置NAT
NGFW:
#
nat address-group 1 添加nat地址池
address 202.0.0.3 202.0.0.6 地址池地址为202.0.0.3到202.0.0.6共4个地址
#
acl basic 2023 配置允许内网访问外网的acl
description nat 添加描述,意思是本acl给nat使用
rule 0 permit source 10.1.1.0 0.0.0.255 添加允许访问公网的内网地址段
#
ip route-static 0.0.0.0 0 202.0.0.2 配置到公网路由
#
ospf 1 启用ospf路由协议,进程号为1(默认进程为1)
default-route-advertise ospf生成默认路由(引入static生成的默认路由)
area 0.0.0.0 进入区域0(骨干区域)
network 10.0.0.0 0.0.0.3 发布互联业务网段
#
acl advanced 3000 配置acl,目的是实现防火墙和sw1之间能够允许ospf协议报文
rule 0 permit ip source 10.0.0.1 0 destination 10.0.0.2 0
rule 5 permit ospf
#
zone-pair security source Local destination DMZ 添加安全策略,实现local可以访问dmz
packet-filter 3000
#
acl advanced 3001 配置acl,目的是实现防火墙和sw1之间能够允许ospf协议报文
rule 0 permit ip source 10.0.0.2 0 destination 10.0.0.1 0
rule 5 permit ospf
#
zone-pair security source DMZ destination Local 添加安全策略,实现dmz可以访问local
packet-filter 3001
#
interface GigabitEthernet1/0/0
nat outbound 2023 address-group 1 公网接口应用nat功能,关联acl及地址池
#
SW1:
#
ospf 1 启用ospf路由协议,进程号为1(默认进程为1)
silent-interface Vlan-interface10 接口配置为静默端口(防止路由泄露给客户端)
area 0.0.0.0 进入区域0(骨干区域)
network 10.0.0.0 0.0.0.3 发布互联业务网段
network 10.1.1.0 0.0.0.255 发布业务网段
#
(6)测试
ping 200.1.1.1 测试公网可达,目的看nat配置是否正确
Ping 200.1.1.1 (200.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 200.1.1.1: icmp_seq=0 ttl=253 time=3.000 ms
56 bytes from 200.1.1.1: icmp_seq=1 ttl=253 time=2.000 ms
56 bytes from 200.1.1.1: icmp_seq=2 ttl=253 time=2.000 ms
56 bytes from 200.1.1.1: icmp_seq=3 ttl=253 time=3.000 ms
56 bytes from 200.1.1.1: icmp_seq=4 ttl=253 time=2.000 ms
--- Ping statistics for 200.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 2.000/2.400/3.000/0.490 ms
%Dec 1 17:28:31:038 2023 Server PING/6/PING_STATISTICS: Ping statistics for 200.1.1.1: 5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss, round-trip min/avg/max/std-dev = 2.000/2.400/3.000/0.490 ms.
[NGFW]display nat session 查看nat会话表
Slot 1:
Initiator:
Source IP/port: 10.1.1.10/218
Destination IP/port: 200.1.1.1/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/2
Source security zone: DMZ
Total sessions found: 1
查看文章精彩评论,请前往什么值得买进行阅读互动
","gnid":"9a8a94753b5517c41","img_data":[{"flag":2,"img":[{"desc":"","height":"200","title":"","url":"https://p0.ssl.img.360kuai.com/t01b329a67db6b86281.jpg","width":"554"}]}],"original":0,"pat":"art_src_1,fts0,sts0","powerby":"pika","pub_time":1701475051000,"pure":"","rawurl":"http://zm.news.so.com/2cc518ed06dabcc22d7e6d56f304ba6d","redirect":0,"rptid":"bea3a440d167a166","rss_ext":[],"s":"t","src":"什么值得买","tag":[],"title":"H3CNE-Secutity笔记 (仅实验)
凌盲善4318想看看Cisco交换机是如何配置基于IP地址划分的VLAN? -
卢滢径19166648669 ______ 创建vlan后,给vlan划分网段就可以了,比如创建vlan100,给vlan100配上10.0.0.1/24,那么ip属于10.0.0.0/24的子网ip地址都是属于vlan100的
凌盲善4318二层交换机划分vlan以后,如何让dhcp服务器给每个vlan的主机分配ip地址? -
卢滢径19166648669 ______ 不能,你分成不同的vlan的话,如果不是和上联口一个vlan 的话就无法与上联口通信, 比如h3c的交换机有dhcp-snooping trust功能,只要开启此功能,只要不是信任的dhcp服务器,是无法分配ip地址到网络中的,
凌盲善4318H3C交换机VLAN中IP地址访问如何设定? -
卢滢径19166648669 ______ vlan ip设置在三层交换机的vlan接口中, interface vlan 1 ip add 192.168.1.X 255.255.255.0 no shutdown interfere vlan 2 ip add 192.168.2.X 255.255.255.0 no shutdown 在三层交换机上起SVI之后就可以直接实现三层互通了,不需要专门的互通...
凌盲善4318划分vlan时,需要给各个vlan分配ip地址吗,怎么分配,如果要,分的这个ip就是各个子网内的默认网关吗 -
卢滢径19166648669 ______ 需要啊,在每一个vlan中划分一个网段.就想不同局域网一样,默认网关就是对应路由器的接口ip地址,而每个vlan都可以配置一个管理地址,就是int vlan vlan-id 然后配上网关就能进行管理了. 还有不懂请追问
凌盲善4318交换机的网络地址转换配置: -
卢滢径19166648669 ______ 情况一: 一般来说给VLAN配IP地址是为了做路由,一般在三层交换机上做. 比如 VLAN1 192.168.1.254/24 (PC1 192.168.1.1/24 网关 192.168.1.254) VLAN2 192.168.2.254/24 (PC2 192.168.2.1/24 网关 192.168.2.254) 这样VLAN1里的PC1和VLAN2里的PC2才可以互相访问. 情况二: 也可以给交换机配置IP地址,这样可以从网络中通过telnet或其他方式来远程管理,如果这个交换机划分了VLAN,那么这个交换机的IP地址也是和VLAN相联系的,好像此时交换机就是这个VLAN的一台PC一样.采纳哦
凌盲善4318如何在cisco 2960 交换机给vlan配置虚拟接口IP地址 -
卢滢径19166648669 ______ 不知道你想要给哪个vlan配ip 如果仅仅是vlan 1的话,可以直接配: enable configure terminal interface vlan 1 ip address x.x.x.x x.x.x.x 这里写上你要配的ip和掩码 如果是别的vlan,还要考虑接口是trunk还是access属性,考虑将哪些接口加入到这些vlan里面 但是配ip的方法都是一样的,跟上面类似,只要把vlan号码改一下就好了. 希望能帮到你!
凌盲善4318思科交换机配置VLAN后,如何为每个VLAN中的PC自动分配IP -
卢滢径19166648669 ______ 不使用单臂路由就要用物理线路连接,有多少个 VLAN 就要从“教学”交换机连多少条线到路由器,当然,它们也要各自划分进对应的 VLAN(所以这些线路不能用 trunk). 要么就把“教学”交换机换成三层交换机,让它完成 VLAN 间的路由...
凌盲善4318如何让一个vlan中的DHCP服务器为整个企业网络分配ip地址? -
卢滢径19166648669 ______ 1.全网可达,也就是说DHCP服务器到每个网络都是能ping通的 2. 在需要dhcp服务的网络最近的3层设备上做dhcp中继. 例如: 假设所有的switch都是2层设备 dhcp server ----- switch1------ switch 2 ----- switch3------ router1 ------ switch4 ------ client 这样的结构中,你只需要在router1连接 switch的接口上做dhcp relay即可.
凌盲善4318划分VLAN时各个层次的交换机是不是也要配上ip地址?比如:比如?
卢滢径19166648669 ______ 不需要给每个VLAN配置IP地址.交换机上配IP地址的目的在于可以方便远程管理.不管是核心层,汇聚层还是接入层,都可以不配IP地址.当然,有时也必须配置IP,比如为了远程管理方便,给管理性VLAN配置IP.运行了HSRP,VRRP,GLBP等冗余网关协议也需要设置IP;配置了AAA认证、TACACS 、radius服务等也需配IP......
凌盲善4318三层交换机怎么设置VLAN间路由 -
卢滢径19166648669 ______ 1、首先打开思科模拟器软件,找出一台三层交换机和两台PC.2、将三层交换机和两台PC用直通线连接起来.3、在三层交换机上划分VLAN,命令是:复制内容到剪贴板 Switch#conf tEnter configuration commands, one per line. End with ...