06 | 您所在的位置:网站首页 › h3c直连路由器ping不通 › 06 |
目 录 1 简介 2 配置前提 3 二层交换机与防火墙对接上网典型配置举例 3.1 组网需求 3.2 配置思路 3.3 使用版本 3.4 配置步骤 3.4.1 配置交换机 3.4.2 配置防火墙 3.5 验证配置 3.6 配置文件 4 三层交换机与防火墙对接上网典型配置举例 4.1 组网需求 4.2 配置思路 4.3 使用版本 4.4 配置步骤 4.4.1 配置交换机 4.4.2 配置防火墙 4.5 验证配置 4.6 配置文件 5 相关资料 1 简介 本文档介绍了交换机与防火墙对接上网的典型配置案例。 二层交换机指的是仅能够进行二层转发、不能进行三层转发的交换机。二层交换机一般部署在接入层,不能作为用户的网关。 三层交换机是具有路由功能的交换机,三层交换机既可以工作在二层也可以工作在三层,可以部署在接入层,也可以部署在汇聚层,可以作为用户的网关。 2 配置前提本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文假设您已了解本文档中涉及的VLAN划分、DHCP服务器、NAT、静态路由以及安全域特性。 3 二层交换机与防火墙对接上网典型配置举例 3.1 组网需求如图1所示,某公司拥有多个部门且位于不同网段,各部门均有访问外网的需求。现要求用户通过二层交换机和防火墙设备访问外部网络,且要求防火墙设备作为用户的网关。 图1 二层交换机与防火墙对接上网组网图 3.2 配置思路 采用如下思路进行配置: · 配置交换机基于接口划分VLAN,实现二层转发。 · 配置防火墙作为用户的网关,通过子接口或VLAN接口实现跨网段的三层转发。 · 配置防火墙作为DHCP服务器,为用户PC分配IP地址。 · 在防火墙部署安全域,使不同域的报文可以相互转发。 · 在防火墙部署NAT功能,使内网用户可以访问外部网络。 3.3 使用版本本举例中的交换机配置适用于所有交换机产品的所有版本。 本举例中的防火墙配置以F5000-AI160的E8371版本为例,其他防火墙的配置方法请参见产品配套手册。 3.4 配置步骤 3.4.1 配置交换机# 配置连接用户设备的VLAN接口。 system-view [Sysname] sysname Switch [Switch] vlan 10 [Switch-vlan10] port gigabitethernet 1/0/2 [Switch-vlan10] quit [Switch] vlan 20 [Switch-vlan20] port gigabitethernet 1/0/3 [Switch-vlan20] quit # 配置连接防火墙设备的接口。为了使交换机上VLAN 10和VLAN 20的报文能发送给防火墙,将GigabitEthernet1/0/1的链路类型配置为Trunk,并允许VLAN 10和VLAN 20的报文通过。 [Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] port link-type trunk [Switch-GigabitEthernet1/0/1] port trunk permit vlan 10 20 3.4.2 配置防火墙防火墙的有两种方式和二层交换机设备互联,配置子接口或者配置VLAN接口,两种方式选择其一即可。 1. 防火墙通过VLAN接口和二层交换机互联# 配置VLAN接口。 system-view [Sysname] sysname Device [Device] vlan 10 to 20 [Device] interface gigabitethernet 1/0/1 [Device-GigabitEthernet1/0/1] port link-mode bridge The configuration of the interface will be restored to the default. Continue? [Y/N]:y [Device-GigabitEthernet1/0/1] port link-type trunk [Device-GigabitEthernet1/0/1] port trunk permit vlan 10 20 [Device-GigabitEthernet1/0/1] quit # 配置接口IP地址。 [Device] interface vlan-interface 10 [Device-Vlan-interface10] ip address 192.168.1.1 24 [Device-Vlan-interface10] quit [Device] interface vlan-interface 20 [Device-Vlan-interface20] ip address 192.168.2.1 24 [Device-Vlan-interface20] quit # 配置DHCP地址池5,用来为192.168.1.0/24网段内的客户端分配动态IP地址,并配置DNS服务器地址、出口网关。在实际应用中,请根据运营商分配的DNS进行配置。 [Device] dhcp server ip-pool 5 [Device-dhcp-pool-5] network 192.168.1.0 mask 255.255.255.0 [Device-dhcp-pool-5] dns-list 114.114.114.114 [Device-dhcp-pool-5] gateway-list 192.168.1.1 [Device-dhcp-pool-5] quit # 配置DHCP地址池6,用来为192.168.2.0/24网段内的客户端分配动态IP地址,并配置DNS服务器地址、出口网关。在实际应用中,请根据运营商分配的DNS进行配置。 [Device] dhcp server ip-pool 6 [Device-dhcp-pool-6] network 192.168.2.0 mask 255.255.255.0 [Device-dhcp-pool-6] dns-list 114.114.114.114 [Device-dhcp-pool-6] gateway-list 192.168.2.1 [Device-dhcp-pool-6] quit # 开启DHCP服务 [Device] dhcp enable # 配置公网接口的IP地址。 [Device] interface gigabitethernet 1/0/2 [Device-GigabitEthernet1/0/2] ip address 200.0.0.2 255.255.255.0 [Device-GigabitEthernet1/0/2] quit # 配置缺省路由。路由的下一跳指向公网地址200.0.0.1 [Device] ip route-static 0.0.0.0 0 200.0.0.1 # 配置安全区域。与接口GigabitEthernet1/0/1相连的公司内部网络属于可信任网络,部署在Trust安全域,可以自由访问外部网络和其他安全域的设备;与接口GigabitEthernet1/0/2相连的外部网络属于不可信任网络,部署在Untrust安全域,不能访问公司内部网络。 [Device] security-zone name trust [Device-security-zone-Trust] import interface gigabitethernet 1/0/1 vlan 10 20 [Device-security-zone-Trust] quit [Device] security-zone name untrust [Device-security-zone-Untrust] import interface gigabitethernet 1/0/2 [Device-security-zone-Untrust] quit [Device] acl advanced 3001 [Device-acl-ipv4-adv-3001] rule permit ip source 192.168.1.0 0.0.0.255 [Device-acl-ipv4-adv-3001] rule permit ip source 192.168.2.0 0.0.0.255 [Device-acl-ipv4-adv-3001] quit [Device] zone-pair security source trust destination untrust [Device-zone-pair-security-Trust-Untrust] packet-filter 3001 [Device-zone-pair-security-Trust-Untrust] quit # 配置内网用户通过NAT地址访问外网。内部网络中192.168.1.0/24和192.168.2.0/2网段的用户都可以访问Internet,使用的外网地址为200.0.0.3。 [Device] nat address-group 0 [Device-address-group-0] address 200.0.0.3 200.0.0.3 [Device-address-group-0] quit # 配置ACL 2000,允许对内部网络中192.168.1.0/24和192.168.2.0/2网段的用户报文进行地址转换。 [Device] acl basic 2000 [Device-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [Device-acl-ipv4-basic-2000] rule permit source 192.168.2.0 0.0.0.255 [Device-acl-ipv4-basic-2000] quit # 在接口GigabitEthernet1/0/2上配置出方向动态地址转换,允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。 [Device] interface gigabitethernet 1/0/2 [Device-GigabitEthernet1/0/2] nat outbound 2000 address-group 0 [Device-GigabitEthernet1/0/2] quit 2. 防火墙通过三层以太网子接口和二层交换机互联# 配置防火墙通过三层以太网子接口终结VLAN,实现跨网段的三层转发。 system-view [Sysname] sysname Device [Device] interface gigabitethernet 1/0/1 [Device-GigabitEthernet1/0/1] port link-mode route The configuration of the interface will be restored to the default. Continue? [Y/N]:y [Device] interface gigabitethernet 1/0/1.1 [Device-GigabitEthernet1/0/1.1] vlan-type dot1q vid 10 [Device-GigabitEthernet1/0/1.1] ip address 192.168.1.1 24 [Device-GigabitEthernet1/0/1.1] quit [Device] interface gigabitethernet 1/0/1.2 [Device-GigabitEthernet1/0/1.2] vlan-type dot1q vid 20 [Device-GigabitEthernet1/0/1.2] ip address 192.168.2.1 24 [Device-GigabitEthernet1/0/1.2] quit # 配置DHCP地址池5,用来为192.168.1.0/24网段内的客户端分配动态IP地址,并配置DNS服务器地址、出口网关。在实际应用中,请根据运营商分配的DNS进行配置。 [Device] dhcp server ip-pool 5 [Device-dhcp-pool-5] network 192.168.1.0 mask 255.255.255.0 [Device-dhcp-pool-5] dns-list 114.114.114.114 [Device-dhcp-pool-5] gateway-list 192.168.1.1 [Device-dhcp-pool-5] quit # 配置DHCP地址池6,用来为192.168.2.0/24网段内的客户端分配动态IP地址,并配置DNS服务器地址、出口网关。在实际应用中,请根据运营商分配的DNS进行配置。 [Device] dhcp server ip-pool 6 [Device-dhcp-pool-6] network 192.168.2.0 mask 255.255.255.0 [Device-dhcp-pool-6] dns-list 114.114.114.114 [Device-dhcp-pool-6] gateway-list 192.168.2.1 [Device-dhcp-pool-6] quit # 开启DHCP服务 [Device] dhcp enable # 配置公网接口的IP地址。 [Device] interface gigabitethernet 1/0/2 [Device-GigabitEthernet1/0/2] ip address 200.0.0.2 255.255.255.0 [Device-GigabitEthernet1/0/2] quit # 配置缺省路由。路由的下一跳指向公网地址200.0.0.1 [Device] ip route-static 0.0.0.0 0.0.0.0 200.0.0.1 # 配置安全区域。与接口GigabitEthernet1/0/1相连的公司内部网络属于可信任网络,部署在Trust安全域,可以自由访问外部网络和其他安全域的设备;与接口GigabitEthernet1/0/2相连的外部网络属于不可信任网络,部署在Untrust安全域,不能访问公司内部网络。 [Device] security-zone name trust [Device-security-zone-Trust] import interface gigabitethernet 1/0/1 [Device-security-zone-Trust] quit [Device] security-zone name untrust [Device-security-zone-Untrust] import interface gigabitethernet 1/0/2 [Device-security-zone-Untrust] quit [Device] acl advanced 3001 [Device-acl-ipv4-adv-3001] rule permit ip source 192.168.1.0 0.0.0.255 [Device-acl-ipv4-adv-3001] rule permit ip source 192.168.2.0 0.0.0.255 [Device-acl-ipv4-adv-3001] quit [Device] zone-pair security source trust destination untrust [Device-zone-pair-security-Trust-Untrust] packet-filter 3001 [Device-zone-pair-security-Trust-Untrust] quit # 配置内网用户通过NAT地址访问外网。内部网络中192.168.1.0/24和192.168.2.0/2网段的用户都可以访问Internet,使用的外网地址为200.0.0.3。 [Device] nat address-group 0 [Device-address-group-0] address 200.0.0.3 200.0.0.3 [Device-address-group-0] quit # 配置ACL 2000,允许对内部网络中192.168.1.0/24和192.168.2.0/2网段的用户报文进行地址转换。 [Device] acl basic 2000 [Device-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [Device-acl-ipv4-basic-2000] rule permit source 192.168.2.0 0.0.0.255 [Device-acl-ipv4-basic-2000] quit # 在接口GigabitEthernet1/0/2上配置出方向动态地址转换,允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。 [Device] interface gigabitethernet 1/0/2 [Device-GigabitEthernet1/0/2] nat outbound 2000 address-group 0 [Device-GigabitEthernet1/0/2] quit 3.5 验证配置配置完成后,PC1和PC2都可以Ping通外网的IP 200.0.0.1/24,PC1和PC2都可以访问Internet。 # 在内网用户Host A上使用ping命令验证外网地址是否可达(假定主机安装的操作系统为Windows XP)。 C:\Documents and Settings\Administrator>ping 200.0.0.1
Pinging 200.0.0.1 with 32 bytes of data:
Reply from 200.0.0.1: bytes=32 time=1ms TTL=126 Reply from 200.0.0.1: bytes=32 time=1ms TTL=126 Reply from 200.0.0.1: bytes=32 time=1ms TTL=126 Reply from 200.0.0.1: bytes=32 time=1ms TTL=126
Ping statistics for 200.0.0.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 1ms, Maximum = 1ms, Average = 1ms 3.6 配置文件· 交换机Switch: # sysname Switch # vlan 10 # vlan 20 # interface GigabitEthernet1/0/1 port link-mode bridge port link-type trunk port trunk permit vlan 1 10 20 # interface GigabitEthernet1/0/2 port link-mode bridge port access vlan 10 # interface GigabitEthernet1/0/3 port link-mode bridge port access vlan 20 # · 防火墙Device(防火墙通过VLAN接口进行三层转发): # sysname Device # nat address-group 0 address 200.0.0.3 200.0.0.3 # dhcp enable # vlan 10 to 20 # dhcp server ip-pool 5 gateway-list 192.168.1.1 network 192.168.1.0 mask 255.255.255.0 dns-list 114.114.114.114 # dhcp server ip-pool 6 gateway-list 192.168.2.1 network 192.168.2.0 mask 255.255.255.0 dns-list 114.114.114.114 # interface Vlan-interface10 ip address 192.168.1.1 255.255.255.0 # interface Vlan-interface20 ip address 192.168.2.1 255.255.255.0 # interface GigabitEthernet1/0/2 port link-mode route ip address 200.0.0.2 255.255.255.0 nat outbound 2000 address-group 0 # interface GigabitEthernet1/0/1 port link-mode bridge port link-type trunk port trunk permit vlan 1 10 20 # security-zone name Trust import interface GigabitEthernet1/0/1 vlan 10 20 # security-zone name Untrust import interface GigabitEthernet1/0/2 # zone-pair security source Trust destination Untrust packet-filter 3001 # ip route-static 0.0.0.0 0 200.0.0.1 # acl basic 2000 rule 0 permit source 192.168.1.0 0.0.0.255 rule 5 permit source 192.168.2.0 0.0.0.255 # acl advanced 3001 rule 0 permit ip source 192.168.1.0 0.0.0.255 rule 5 permit ip source 192.168.2.0 0.0.0.255 # · 防火墙Device关键配置(防火墙通过三层以太网子接口进行三层转发): # sysname Device # nat address-group 0 address 200.0.0.3 200.0.0.3 # dhcp enable # vlan 10 to 20 # dhcp server ip-pool 5 gateway-list 192.168.1.1 network 192.168.1.0 mask 255.255.255.0 dns-list 114.114.114.114 # dhcp server ip-pool 6 gateway-list 192.168.2.1 network 192.168.2.0 mask 255.255.255.0 dns-list 114.114.114.114 # interface GigabitEthernet1/0/1 port link-mode route # interface GigabitEthernet1/0/1.1 ip address 192.168.1.1 255.255.255.0 vlan-type dot1q vid 10 # interface GigabitEthernet1/0/1.2 ip address 192.168.2.1 255.255.255.0 vlan-type dot1q vid 20 # interface GigabitEthernet1/0/2 port link-mode route ip address 200.0.0.2 255.255.255.0 nat outbound 2000 address-group 0 # security-zone name Trust import interface GigabitEthernet1/0/1 vlan 10 20 # security-zone name Untrust import interface GigabitEthernet1/0/2 # zone-pair security source Trust destination Untrust packet-filter 3001 # ip route-static 0.0.0.0 0 200.0.0.1 # acl basic 2000 rule 0 permit source 192.168.1.0 0.0.0.255 rule 5 permit source 192.168.2.0 0.0.0.255 # acl advanced 3001 rule 0 permit ip source 192.168.1.0 0.0.0.255 rule 5 permit ip source 192.168.2.0 0.0.0.255 # 4 三层交换机与防火墙对接上网典型配置举例 4.1 组网需求如图2所示,某公司拥有多个部门且位于不同网段,各部门均有访问外网的需求。现要求用户通过三层交换机和防火墙设备访问外部网络,且要求三层交换机作为用户的网关。 图2 三层交换机与防火墙对接上网组网图 4.2 配置思路 采用如下思路进行配置: · 配置交换机作为用户的网关,通过VLAN接口,实现跨网段用户互访。 · 配置交换机作为DHCP服务器,为用户分配IP地址。 · 在防火墙部署安全域,使不同域的报文可以相互转发。 · 在防火墙部署NAT功能,使内网用户可以访问外部网络。 4.3 使用版本本举例中的交换机配置适用于支持三层以太网接口的交换机产品。 本举例中的防火墙配置以F5000-AI160的E8371版本为例,其他防火墙的配置方法请参见产品配套手册。 4.4 配置步骤 4.4.1 配置交换机# 配置连接用户设备的VLAN接口和IP地址。 system-view [Sysname] sysname Switch [Switch] vlan 10 [Switch-vlan10] port gigabitethernet 1/0/2 [Switch-vlan10] quit [Switch] vlan 20 [Switch-vlan20] port gigabitethernet 1/0/3 [Switch-vlan20] quit [Switch] interface vlan-interface 10 [Switch-Vlan-interface10] ip address 192.168.1.1 24 [Switch-Vlan-interface10] quit [Switch] interface vlan-interface 20 [Switch-Vlan-interface20] ip address 192.168.2.1 24 [Switch-Vlan-interface20] quit # 配置连接防火墙设备的三层以太网接口和IP地址。 [Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] port link-mode route The configuration of the interface will be restored to the default. Continue? [Y /N]:y [Switch-GigabitEthernet1/0/1] ip address 192.168.100.2 24 # 配置访问外网的静态路由。 [Switch] ip route-static 0.0.0.0 0 192.168.100.1 # 配置DHCP地址池5,用来为192.168.1.0/24网段内的客户端分配动态IP地址,并配置DNS服务器地址、出口网关。在实际应用中,请根据运营商分配的DNS进行配置。 [Switch] dhcp server ip-pool 5 [Switch-dhcp-pool-5] network 192.168.1.0 mask 255.255.255.0 [Switch-dhcp-pool-5] dns-list 114.114.114.114 [Switch-dhcp-pool-5] gateway-list 192.168.1.1 [Switch-dhcp-pool-5] quit # 配置DHCP地址池6,用来为192.168.2.0/24网段内的客户端分配动态IP地址,并配置DNS服务器地址、出口网关。在实际应用中,请根据运营商分配的DNS进行配置。 [Switch] dhcp server ip-pool 6 [Switch-dhcp-pool-6] network 192.168.2.0 mask 255.255.255.0 [Switch-dhcp-pool-6] dns-list 114.114.114.114 [Switch-dhcp-pool-6] gateway-list 192.168.2.1 [Switch-dhcp-pool-6] quit # 开启DHCP服务 [Switch] dhcp enable 4.4.2 配置防火墙# 配置连接交换机的接口IP地址。 system-view [Sysname] sysname Device [Device] interface gigabitethernet 1/0/1 [Device-GigabitEthernet1/0/1] ip address 192.168.100.1 24 [Device-GigabitEthernet1/0/1] quit # 配置公网接口的IP地址。 [Device] interface gigabitethernet 1/0/2 [Device-GigabitEthernet1/0/2] ip address 200.0.0.2 24 [Device-GigabitEthernet1/0/2] quit # 配置缺省路由。路由的下一跳指向公网地址200.0.0.1。 [Device] ip route-static 0.0.0.0 0 200.0.0.1 # 配置访问内网设备的静态路由。 [Device] ip route-static 192.168.0.0 16 192.168.100.2 # 配置安全区域。与接口GigabitEthernet1/0/1相连的公司内部网络属于可信任网络,部署在Trust安全域,可以自由访问外部网络和其他安全域的设备;与接口GigabitEthernet1/0/2相连的外部网络属于不可信任网络,部署在Untrust安全域,不能访问公司内部网络。 [Device] security-zone name trust [Device-security-zone-Trust] import interface gigabitethernet 1/0/1 [Device-security-zone-Trust] quit [Device] security-zone name untrust [Device-security-zone-Untrust] import interface gigabitethernet 1/0/2 [Device-security-zone-Untrust] quit [Device] acl advanced 3001 [Device-acl-ipv4-adv-3001] rule permit ip source 192.168.1.0 0.0.0.255 [Device-acl-ipv4-adv-3001] rule permit ip source 192.168.2.0 0.0.0.255 [Device-acl-ipv4-adv-3001] quit [Device] zone-pair security source trust destination untrust [Device-zone-pair-security-Trust-Untrust] packet-filter 3001 [Device-zone-pair-security-Trust-Untrust] quit # 配置内网用户通过NAT地址访问外网。内部网络中192.168.1.0/24和192.168.2.0/2网段的用户都可以访问Internet,使用的外网地址为200.0.0.3。 [Device] nat address-group 0 [Device-address-group-0] address 200.0.0.3 200.0.0.3 [Device-address-group-0] quit # 配置ACL 2000,允许对内部网络中192.168.1.0/24和192.168.2.0/2网段的用户报文进行地址转换。 [Device] acl basic 2000 [Device-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [Device-acl-ipv4-basic-2000] rule permit source 192.168.2.0 0.0.0.255 [Device-acl-ipv4-basic-2000] quit # 在接口GigabitEthernet1/0/2上配置出方向动态地址转换,允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。 [Device] interface gigabitethernet 1/0/2 [Device-GigabitEthernet1/0/2] nat outbound 2000 address-group 0 [Device-GigabitEthernet1/0/2] quit 4.5 验证配置配置完成后,PC1和PC2都可以Ping通外网的IP 200.0.0.1/24,PC1和PC2都可以访问Internet。 # 在内网用户Host A上使用ping命令验证外网地址是否可达(假定主机安装的操作系统为Windows XP)。 C:\Documents and Settings\Administrator>ping 200.0.0.1
Pinging 200.0.0.1 with 32 bytes of data:
Reply from 200.0.0.1: bytes=32 time=1ms TTL=126 Reply from 200.0.0.1: bytes=32 time=1ms TTL=126 Reply from 200.0.0.1: bytes=32 time=1ms TTL=126 Reply from 200.0.0.1: bytes=32 time=1ms TTL=126
Ping statistics for 200.0.0.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 1ms, Maximum = 1ms, Average = 1ms 4.6 配置文件· 交换机: # sysname Switch # dhcp enable # vlan 10 # vlan 20 # dhcp server ip-pool 5 gateway-list 192.168.1.1 network 192.168.1.0 mask 255.255.255.0 dns-list 114.114.114.114 # dhcp server ip-pool 6 gateway-list 192.168.2.1 network 192.168.2.0 mask 255.255.255.0 dns-list 114.114.114.114 # interface Vlan-interface10 ip address 192.168.1.1 255.255.255.0 # interface Vlan-interface20 ip address 192.168.2.1 255.255.255.0 # interface GigabitEthernet1/0/1 port link-mode route ip address 192.168.100.2 255.255.255.0 # interface GigabitEthernet1/0/2 port link-mode bridge port access vlan 10 # interface GigabitEthernet1/0/3 port link-mode bridge port access vlan 20 # ip route-static 0.0.0.0 0 192.168.100.1 # · 防火墙: # sysname Device # nat address-group 0 address 200.0.0.3 200.0.0.3 # interface GigabitEthernet1/0/1 port link-mode route ip address 192.168.100.1 255.255.255.0 # interface GigabitEthernet1/0/2 port link-mode route ip address 200.0.0.2 255.255.255.0 nat outbound 2000 address-group 0 # security-zone name Trust import interface GigabitEthernet1/0/1 # security-zone name Untrust import interface GigabitEthernet1/0/2 # zone-pair security source Trust destination Untrust packet-filter 3001 # ip route-static 0.0.0.0 0 200.0.0.1 ip route-static 192.168.0.0 16 192.168.100.2 # acl basic 2000 rule 0 permit source 192.168.1.0 0.0.0.255 rule 5 permit source 192.168.2.0 0.0.0.255 # acl advanced 3001 rule 0 permit ip source 192.168.1.0 0.0.0.255 rule 5 permit ip source 192.168.2.0 0.0.0.255 # 5 相关资料· H3C xxxx交换机 以太网交换配置指导-Release xxxx系列 · H3C xxxx交换机 以太网交换命令参考-Release xxxx系列 · H3C xxxx交换机 三层技术-IP业务配置指导-Release xxxx系列 · H3C xxxx交换机 三层技术-IP业务命令参考-Release xxxx系列 · H3C xxxx交换机 三层技术-IP路由配置指导-Release xxxx系列 · H3C xxxx交换机 三层技术-IP路由命令参考-Release xxxx系列 · H3C xxxx交换机 安全配置指导-Release xxxx系列 · H3C xxxx交换机 安全命令参考-Release xxxx系列 ·
|
CopyRight 2018-2019 实验室设备网 版权所有 |