[TOC]

1、防火墙部署

由于分公司安装三台重要业务服务器，因此部署防火墙保障服务器业务安全，配置要求

如下：

==防火墙前置==

#进入防火墙
Username:admin       账号admin
Password:           密码Admin@123
The password needs to be changed. Change now? [Y/N]: y
Please enter old password:      默认密码
Please enter new password:      新密码
Please confirm new password:    新密码

==注：前置给服务器和pc机配置ip地址==

a）FW2 的接口 G1/0/1 属于 DMZ 区域，G1/0/0 属于 untrust 区域，需要配置安全策略

实现各安全区域之间的访问。

#命名
[USG6000V1]sysname FW1
#端口配置ip
[FW1]int GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]ip address 192.168.53.254 24
[FW1-GigabitEthernet1/0/1]int GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0]ip address 10.1.29.1 24
[FW1-GigabitEthernet1/0/0]q
#将防火墙的GE1/0/0接口加入unTrust区域
[FW1]firewall zone untrust 
[FW1-zone-untrust]add int g1/0/0
[FW1-zone-untrust]q
#将防火墙的GE1/0/1接口加入DMZ区域
[FW1]firewall zone dmz 
[FW1-zone-dmz]add int g1/0/1
[FW1-zone-dmz]q
#配置安全策略，使得unTrust访问dmz区域
[FW1]security-policy
[FW1-policy-security]rule name untrust-DMZ
[FW1-policy-security-rule-untrust-DMZ]source-zone untrust 
[FW1-policy-security-rule-untrust-DMZ]destination-zone dmz 
[FW1-policy-security-rule-untrust-DMZ]action permit #放行
#配置安全策略，使得dmz访问unTrust区域
[FW1]security-policy
[FW1-policy-security]rule name DMZ-untrust
[FW1-policy-security-rule-DMZ-untrust]source-zone dmz
[FW1-policy-security-rule-DMZ-untrust]destination-zone untrust
[FW1-policy-security-rule-DMZ-untrust]action permit #放行

b）开启 IP 地址扫描和端口扫描防范功能。

#开启端口扫描防御
[FW1]firewall defend port-scan enable
#开启ip地址扫描防御
[FW1]firewall defend ip-sweep enable

c）运行 OSPF，实现服务器与分公司网络互通。

#启用OSPF，ID为1
[FW1]ospf 1
#服务器的宣告在区域1
[FW1-ospf-1]area 1
[FW1-ospf-1-area-0.0.0.1]network 192.168.53.0 0.0.0.255 
#连接CE2的宣告在区域0
[FW1-ospf-1-area-0.0.0.1]area 0
[FW1-ospf-1-area-0.0.0.0]network 10.1.29.0 0.0.0.255

d）分公司有三台 FTP 服务器 Server1、Server2 和 Server3，且这三台服务器的硬件性能

顺次降低，Server1 性能是 Server2 的两倍、Server2 性能是 Server3 的两倍。通过配置负载

均衡，让这三台服务器联合对外==提供 FTP 服务==，且三台服务器承载业务的多少与服务器硬件

性能的高低匹配。通过==配置健康检测实时监控==这三台服务器是否可达。

[FW1]slb                                          #进入服务器负载均衡配置
[FW1-slb]group 0 server001                                #建立服务器组
[FW1-slb-group-0]metric weight-roundrobin        #负载均衡算法为加权轮询

#服务器健康检查协议设置，tcp是ftp的底层，检查21端口为默认ftp协议
[FW1-slb-group-0]health-check type tcp port 21  

[FW1-slb-group-0]rserver 1 rip 192.168.53.1 weight 4   #配置实服务器及其权重
[FW1-slb-group-0]rserver 2 rip 192.168.53.2 weight 2
[FW1-slb-group-0]rserver 3 rip 192.168.53.3 weight 1
#[FW1-slb]vserver 0 server001                             #创建虚拟服务器
#[FW1-slb-vserver-0]vip 192.168.53.4                      #配置虚拟IP地址
#[FW1-slb-vserver-0]protocol any
#[FW1-slb-vserver-0]group server001                    #关联实服务器组

注：在上述要求中配置安全策略的时候所用到的 rule name 采用统一的命名规则 例：

source-zone 为 trust ，destination-zone 为 untrust，rule name 即为 trust-untrust，source

zone 在前，destination-zone 在后，切记注意命名规则。

2、OSPF

AR7 和 AR8 与 CE2 通过 ospf 进程 100 进行通信，宣告在 Area 0 中

==CE2配置==

[Huawei]sysname CE2
[CE2]int GigabitEthernet 0/0/0
[CE2-GigabitEthernet0/0/0]ip add 56.1.1.2 24
[CE2-GigabitEthernet0/0/0]int GigabitEthernet 0/0/1
[CE2-GigabitEthernet0/0/1]ip add 10.1.27.2 24
[CE2-GigabitEthernet0/0/1]int GigabitEthernet 0/0/2
[CE2-GigabitEthernet0/0/2]ip add 10.1.28.2 24
[CE2-GigabitEthernet0/0/2]int GigabitEthernet 4/0/0
[CE2-GigabitEthernet4/0/0]ip add 10.1.29.2 24
[CE2-GigabitEthernet4/0/0]ospf 100
[CE2-ospf-100]area 0
[CE2-ospf-100-area-0.0.0.0]network 56.1.1.0 0.0.0.255
[CE2-ospf-100-area-0.0.0.0]network 10.1.27.0 0.0.0.255
[CE2-ospf-100-area-0.0.0.0]network 10.1.28.0 0.0.0.255
[CE2-ospf-100-area-0.0.0.0]network 10.1.29.0 0.0.0.255

==AR7配置==

[Huawei]sysname AR7
[AR7]int GigabitEthernet 0/0/0
[AR7-GigabitEthernet0/0/0]ip add 10.1.27.7 24
[AR7-GigabitEthernet0/0/0]int GigabitEthernet 0/0/1.51
[AR7-GigabitEthernet0/0/1.51]ip add 192.168.51.253 24
[AR7-GigabitEthernet0/0/1.51]int GigabitEthernet 0/0/1.52
[AR7-GigabitEthernet0/0/1.52]ip add 192.168.52.253 24
[AR7-GigabitEthernet0/0/1.52]ospf 100
[AR7-ospf-100]area 0
[AR7-ospf-100-area-0.0.0.0]network 10.1.27.0 0.0.0.255
[AR7-ospf-100-area-0.0.0.0]network 192.168.51.0 0.0.0.255
[AR7-ospf-100-area-0.0.0.0]network 192.168.52.0 0.0.0.255

==AR8配置==

[Huawei]sysname AR8
[AR8]int GigabitEthernet 0/0/0
[AR8-GigabitEthernet0/0/0]ip add 10.1.28.8 24
[AR8-GigabitEthernet0/0/0]int GigabitEthernet 0/0/1.51
[AR8-GigabitEthernet0/0/1.51]ip add 192.168.51.252 24
[AR8-GigabitEthernet0/0/1.51]int GigabitEthernet 0/0/1.52
[AR8-GigabitEthernet0/0/1.52]ip add 192.168.52.252 24
[AR8-GigabitEthernet0/0/1.52]ospf 100
[AR8-ospf-100]area 0
[AR8-ospf-100-area-0.0.0.0]network 10.1.28.0 0.0.0.255
[AR8-ospf-100-area-0.0.0.0]network 192.168.51.00 0.0.0.255
[AR8-ospf-100-area-0.0.0.0]network 192.168.52.0 0.0.0.255

注：OSPF 宣告的是网段，而非是具体的接口地址。

3、VRRP

a）LSW7 与 PC 相连接口配置 access，与路由器相连接口配置 trunk

==LSW7配置==

[Huawei]sysname LSW7
[LSW7]vlan batch 51 52
[LSW7]int GigabitEthernet 0/0/1
[LSW7-GigabitEthernet0/0/1]port link-type trunk 
[LSW7-GigabitEthernet0/0/1]port trunk allow-pass vlan 51 52
[LSW7-GigabitEthernet0/0/1]int GigabitEthernet 0/0/2
[LSW7-GigabitEthernet0/0/2]port link-type trunk 
[LSW7-GigabitEthernet0/0/2]port trunk allow-pass vlan 51 52
[LSW7-GigabitEthernet0/0/2]int GigabitEthernet 0/0/3
[LSW7-GigabitEthernet0/0/3]port link-type access
[LSW7-GigabitEthernet0/0/3]port default vlan 51
[LSW7-GigabitEthernet0/0/3]int GigabitEthernet 0/0/4
[LSW7-GigabitEthernet0/0/4]port link-type access 
[LSW7-GigabitEthernet0/0/4]port default vlan 52

b）AR7 和 AR8 分别设置 vlan51 和 vlan52 的 vrrp 网关，vrid 分别为 51 和 52，AR7 为

vlan51 的 master（优先级 120）和 vlan52 的 backup，AR8 为 vlan52 的 master（优先级

120）和 vlan51 的 backup，vlan51 的子接口 id 为 51，vlan52 的子接口 id 为 52，物理 ip

地址 AR7 的子接口为 x.253 以及 AR8 的子接口为 x.252

==AR7配置==

[AR7]vlan batch 51 52
#子接口配置vlan
[AR7]int g0/0/1.51
[AR7-GigabitEthernet0/0/1.51]dot1q termination vid 51
[AR7-GigabitEthernet0/0/1.51]int g0/0/1.52
[AR7-GigabitEthernet0/0/1.52]dot1q termination vid 52

#给vlan配置vrrp网关，虚拟地址用x.254
[AR7]int Vlanif 51
[AR7-Vlanif51]vrrp vrid 51 virtual-ip 192.168.51.254
[AR7-Vlanif51]vrrp vrid 51 priority 120                     #51为master
[AR7-Vlanif51]int vlanif 52
[AR7-Vlanif52]vrrp vrid 52 virtual-ip 192.168.52.254    #52为backup，不配置priority

==AR8配置==

[AR8]vlan batch 51 52
#子接口配置vlan
[AR8]int g0/0/1.51
[AR8-GigabitEthernet0/0/1.51]dot1q termination vid 51
[AR8-GigabitEthernet0/0/1.51]int g0/0/1.52
[AR8-GigabitEthernet0/0/1.52]dot1q termination vid 52

#给vlan配置vrrp网关，虚拟地址用x.254
[AR8]int Vlanif 51
[AR8-Vlanif51]vrrp vrid 51 virtual-ip 192.168.51.254  #51为backup，不配置priority
[AR8-Vlanif51]int vlanif 52
[AR8-Vlanif52]vrrp vrid 52 virtual-ip 192.168.52.254
[AR8-Vlanif52]vrrp vrid 52 priority 120               #52为master

4、DHCP

a）CE2 设置为 vlan51 和 vlan52 的 dhcp 服务器，地址池名分别为 vlan51 和 vlan52，

租约时间为 2 天，AR7 和 AR8 作为中继器，就近端口中继

==CE2配置==

[CE2] dhcp enable  # 启用DHCP服务

# 配置VLAN 51的DHCP地址池
[CE2] ip pool vlan51
####[CE2-ip-pool-vlan51] gateway-list 192.168.51.254  # VLAN 51的虚拟IP地址，作为网关
[CE2-ip-pool-vlan51] network 192.168.51.0 mask 24  # VLAN 51的地址池和子网掩码
[CE2-ip-pool-vlan51] lease day 2  # 租约时间为2天

# 配置VLAN 52的DHCP地址池
[CE2] ip pool vlan52
[CE2-ip-pool-vlan52] gateway-list 192.168.52.254  # VLAN 52的虚拟IP地址，作为网关
[CE2-ip-pool-vlan52] network 192.168.52.0 mask 24  # VLAN 52的地址池和子网掩码
[CE2-ip-pool-vlan52] lease day 2  # 租约时间为2天

==AR7配置DHCP中继==

[AR7]dhcp enable 
[AR7]int g0/0/1
[AR7-GigabitEthernet0/0/1]dhcp select relay
[AR7-GigabitEthernet0/0/1]dhcp relay server-ip 10.1.27.2

==AR8配置DHCP中继==

[AR8]dhcp enable 
[AR8]int g0/0/1
[AR8-GigabitEthernet0/0/1]dhcp select relay
[AR8-GigabitEthernet0/0/1]dhcp relay server-ip 10.1.28.2

b）LSW7 需要配置 dhcp snooping，建立动态绑定表

[LSW7]dhcp enable
[LSW7]dhcp snooping enable 
[LSW7]vlan 51
[LSW7-vlan51]dhcp snooping enable
[LSW7-vlan51]vlan 52
[LSW7-vlan52]dhcp snooping enable