H3C MSR30-40+SecPath f100-s+switch 组网

一、拓扑结构

二、 概述

1 、路由器做 nat server ，使外部网络可以访问内部的服务器群。

2 、防火墙使用透明模式，可以配置访问控制列表 acl ，进行病毒防护或者其它的限制。

3 、内部三层交换机用于内部互通。

地址规划：
1 、 202.100.1.x  是公网地址。
2 、 10.10.10 .x   是设备的互连地址。
3 、 192.168.x.x  是业务地址
路由器配置 ：
// 配置允许进行 NAT 转换的内网地址段
acl number 2000
rule 0 permit source 192.168.1.0 0.0.0.255
rule 1 permit source 192.168.254.0 0.0.0.255
rule 2 deny
#
interface GigabitEthernet0/0
port link-mode route
ip address 202.100.1.2 255.255.255.0
// 在出接口上配置内网服务器 192.168.254.2 的 www 服务
nat server protocol tcp global 202.100.1.3 www inside 192.168.254.3 www
nat server protocol tcp global 202.100.1.4 ftp inside 192.168.254.4 ftp
// 在接口 E0/0 上进行 NAT 转换
nat outbound 2000
// 配置内网接口网关
interface GigabitEthernet0/1
port link-mode route
ip address 10.10.10.1 255.255.255.252
#
// 路由配置，使出方向流量经过 NAT 配置的接口
ip route-static 0.0.0.0 0.0.0.0 202.100.1.1
防火墙配置 ：
firewall mode transparent
/ 设置模式
interface Ethernet  0/0
/ 进入所需要要设置的端口
promiscuous
/ 设置端口模式
interface Ethernet  0/1
/ 同上
promiscuous
/ 同上
firewall zone trust
/ 进入 ZONE 区域
add interface Ethernet  0/0
/ 添加端口
firewall packet-filter default permit
add interface Ethernet  1/0
/ 添加端口
firewall packet-filter default permit
三层交换机配置 ：
用户属于 vlan5 ，服务器属于 vlan10 ， 24 口交换机 1 ～ 3 口接用户； 13~16 口接服务器； 24 口上联防火墙，属于 vlan100
1 、配置交换机的业务 vlan5 和 vlan10
[H 3C ]vlan 5
[H 3C -vlan5]port Ethernet 0/1  to Ethernet 0/3
[H 3C ]vlan 10
[H 3C -vlan10]port Ethernet 0/13  to Ethernet 0/16
2 、配置交换机互连 vlan100
[H 3C ]vlan 100
[H 3C -vlan100]port Ethernet 0/24
3 、配置业务 vlan 和互连 vlan 的三层接口
[H 3C ]interface vlan vlan 5
[H 3C -Vlan-interface5]ip address 192.168.1.254 255.255.255.0
[H 3C ]interface vlan vlan 10
[H 3C -Vlan-interface10]ip address 192.168.254.254 255.255.255.0
[H 3C ]interface vlan vlan 100
[H 3C -Vlan-interface100]ip address 10.10.10.2 255.255.255.252
4 、路由配置
[H 3C ]ip route-static 0.0.0.0 0.0.0.0 10.10.10.1