前言:
網(wǎng)絡(luò)已經(jīng)成為企業(yè)不可或缺的一部分,而華為路由器作為網(wǎng)絡(luò)設(shè)備的代表之一,可以提供穩(wěn)定的網(wǎng)絡(luò)連接和豐富的網(wǎng)絡(luò)管理功能,以滿足企業(yè)的需求。其中,配置多個(gè)網(wǎng)段同時(shí)上網(wǎng)是企業(yè)級(jí)華為路由器常見(jiàn)的需求之一。在本篇文章中,我將介紹如何配置企業(yè)級(jí)華為路由器,實(shí)現(xiàn)多個(gè)網(wǎng)段同時(shí)上網(wǎng)的方法和步驟,以幫助有這方面需求或感興趣的友友們,更好地學(xué)習(xí)和了解企業(yè)級(jí)的網(wǎng)絡(luò)。
實(shí)驗(yàn)環(huán)境:
1)假設(shè)我們有兩個(gè) VLAN,VLAN10 和 VLAN20,
2)分別對(duì)應(yīng)的網(wǎng)段是 192.168.10.0/24 和 192.168.20.0/24。
3)ISP供應(yīng)商的 IP 地址是202.100.1.1,我們兩條專(zhuān)線的ip分別為 202.100.1.2 和202.100.1.3
4)我們想要使得它們可以同時(shí)通過(guò)各自的專(zhuān)線訪問(wèn)公網(wǎng)。
詳細(xì)過(guò)程:
為了實(shí)現(xiàn)多個(gè)網(wǎng)段同時(shí)上網(wǎng),我們需要進(jìn)行以下步驟:
1、VLAN 劃分:將不同的網(wǎng)段劃分到不同的 VLAN 中,使得它們可以互相訪問(wèn),但不與其他 VLAN 內(nèi)的設(shè)備通信。
2、創(chuàng)建 ACL 規(guī)則:定義允許或禁止不同 VLAN 內(nèi)的設(shè)備之間的通信。這可以通過(guò)創(chuàng)建訪問(wèn)控制列表(ACL)來(lái)實(shí)現(xiàn)。
3、配置 NAT 轉(zhuǎn)換:將 VLAN 內(nèi)的私有 IP 地址轉(zhuǎn)換為各自專(zhuān)線的 IP 地址,使得它們可以訪問(wèn)公網(wǎng)。
接下來(lái),我將通過(guò)一個(gè)實(shí)例來(lái)詳細(xì)說(shuō)明,如何配置企業(yè)級(jí)華為路由器實(shí)現(xiàn)多個(gè)網(wǎng)段同時(shí)上網(wǎng)。
1、VLAN 劃分
首先,我們需要?jiǎng)?chuàng)建 VLAN,并將不同的接口分配給它們。在本例中,我們將 Ethe.NET 0/0/1 接口分配給 VLAN10,將 Ethernet 0/0/2 接口分配給 VLAN20。
登錄路由器后,進(jìn)入系統(tǒng)視圖:
<Huawei> system-view
創(chuàng)建 VLAN10 和 VLAN20:
[Huawei] vlan batch 10 20
將接口分配給 VLAN:
[interface GigabitEthernet0/0/1] port link-type access
[interface GigabitEthernet0/0/1] port default vlan 10
[interface GigabitEthernet0/0/2] port link-type access
[interface GigabitEthernet0/0/2] port default vlan 20
2、創(chuàng)建 ACL 規(guī)則
接下來(lái),我們需要?jiǎng)?chuàng)建 ACL 規(guī)則來(lái)控制 VLAN10 和 VLAN20 之間的通信。我們將允許 VLAN10 和 VLAN20 內(nèi)的設(shè)備訪問(wèn)公網(wǎng),但不允許它們之間直接通信。
首先,創(chuàng)建 ACL:
[huawei] acl number 2000
[huawei-acl-basic-2000] rule permit ip source 192.168.10.0 0.0.0.255
[huawei-acl-basic-2000] rule permit ip source 192.168.20.0 0.0.0.255
[huawei-acl-basic-2000] rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
[huawei-acl-basic-2000] rule deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
[huawei] acl number 2001
[huawei-acl-basic-2001] rule permit ip source 192.168.10.0 0.0.0.255
[huawei-acl-basic-2001] rule permit ip source 192.168.20.0 0.0.0.255
[huawei-acl-basic-2001] rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
[huawei-acl-basic-2001] rule deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
上述命令創(chuàng)建了一個(gè)編號(hào)為 2000 的 ACL,其中第一條規(guī)則允許 VLAN10 和 VLAN20 內(nèi)的設(shè)備訪問(wèn)公網(wǎng),第二條規(guī)則禁止 VLAN10 和 VLAN20 內(nèi)的設(shè)備直接通信,第三條和第四條規(guī)則分別禁止 VLAN10 和 VLAN20 內(nèi)的設(shè)備直接訪問(wèn)對(duì)方的網(wǎng)段。
其次,將 ACL 應(yīng)用到 VLAN10 和 VLAN20 上:
[huawei] vlan 10
[huawei-vlan10] quit
[huawei] vlan 20
[huawei-vlan20] quit
[huawei] interface vlanif 10
[huawei-Vlanif10] ip address 192.168.10.1 24
[Huawei-Vlanif10] acl 2000 inbound
[huawei-Vlanif10] quit
[huawei] interface vlanif 20
[huawei-Vlanif20] ip address 192.168.20.1 24
[Huawei-Vlanif20] acl 2000 inbound
[huawei-Vlanif20] quit
上述命令將 ACL 應(yīng)用到 VLAN10 和 VLAN20 的 VLAN 接口上。
3、我們來(lái)配置兩個(gè)外圍接口專(zhuān)線的ip地址:
[huawei] interface gigabitethernet 3/0/0
[huawei-GigabitEthernet3/0/0] ip address 202.100.1.2 24
[huawei-GigabitEthernet3/0/0] quit
[huawei] interface gigabitethernet 3/0/1
[huawei-GigabitEthernet3/0/1] ip address 202.100.1.3 24
[huawei-GigabitEthernet3/0/1] quit
4、配置缺省路由:
我們?cè)谂渲萌笔÷酚桑付ㄏ乱惶刂窞?02.100.1.1
[huawei] ip route-static 0.0.0.0 0.0.0.0 202.100.1.1
5、配置 NAT 轉(zhuǎn)換:
最后,我們需要配置 NAT 轉(zhuǎn)換,將 VLAN10 和 VLAN20 內(nèi)的私有 IP 地址轉(zhuǎn)換為各自公共 IP 地址,以便它們可以訪問(wèn)公網(wǎng)。
假設(shè)與我們路由相連的ISP供應(yīng)商的 IP 地址是 202.100.1.1,將 VLAN10 的私有 IP 地址轉(zhuǎn)換為 202.100.1.2,將 VLAN20 的私有 IP 地址轉(zhuǎn)換為 202.100.1.3。我們可以使用以下命令進(jìn)行配置:
[huawei] nat address-group 1 202.100.1.2
[huawei] nat address-group 2 202.100.1.3
[huawei] interface gigabitethernet 3/0/0
[huawei-GigabitEthernet3/0/0] nat outbound 2000 address-group 1 no-pat
#[huawei-GigabitEthernet3/0/0] nat outbound 2001 address-group 2
[huawei-GigabitEthernet3/0/0] quit
[huawei] interface gigabitethernet 3/0/1
[huawei-GigabitEthernet3/0/0] nat outbound 2001 address-group 2
[huawei-GigabitEthernet3/0/0] quit
上述命令是將 NAT 應(yīng)用到 ACL 2000 和2001上,并將 VLAN10 和 VLAN20 的私有 IP 地址轉(zhuǎn)換為各自公網(wǎng) IP 地址。
現(xiàn)在,我們已經(jīng)完成了華為路由器的配置,使得 VLAN10 和 VLAN20 內(nèi)的設(shè)備可以同時(shí)訪問(wèn)公網(wǎng),但不允許它們直接通信。
