H3C华三旁挂防火墙

适用场景：

旁挂防火墙部署

注意事项：

1.接入与汇聚都是二层部署，流量之间可以透传到防火墙

2.防火墙与汇聚交换机之间双线互联，一条做子接口起网关剥掉VLAN，一条做三层口用来路由，保证来回流量路径一致

3.汇聚与核心之间可以不通过OSPF，直接指静态路由，接入端VLAN比较多还是推荐动态协议比较方便。

配置思路：

1.首先配置接入与汇聚，打通二层。

2.配置防火墙与汇聚的互联与起网关

3.配通汇聚与接入OSPF

4.测试配置

配置开始

接入交换机上：

vlan 20

interface g1/0/3 //终端划分VLAN

port link-type access

port access vlan 20

inter g1/0/1 //放VLAN

port link-type trunk

port trunk permitvlan 20

汇聚交换机上：

vlan 20

inter range g1/0/4 g1/0/5

port link-type trunk

port trunk permit vlan 20

inter g1/0/7

port link-mode router //改三层口

ip add 10.0.0.2 30

ip router-static 195.16.2.0 24 10.0.0.1 //写上到终端的明细路由，为进来访问的设备和本地设备回包指路由

防火墙上：

inter g1/0/0.20 //开子接口

ip add 195.16.2.254 24 //起网关

vlan-type dot1q vid 20 //剥VLAN

inter g1/0/1 //配三层互联接口

ip add 10.0.0.1 30

security-zone name Trust //内部流量接口配置为Trust

import inter g1/0/0.20

security-zone name Untrust //外部流量接口配置为Untrust

import inter g1/0/1

ip router-static 0.0.0.0 0 10.0.0.2 //防火墙缺省出流量全扔给汇聚

配置OSPF

汇聚上：

inter g1/0/3

ip add 10.0.0.5 30

ospf network-type p2p

ospf 100 router-id 1.1.1.1

import-router static

area 0

network 10.0.0.5 0.0.0.3

核心上：

inter g1/0/3

ip add 10.0.0.630

ospf network-type p2p

ospf 100 router-id 2.2.2.2

area 0

network 10.0.0.6 0.0.0.3 //可以不敲 邻居已经宣告此网段了

测试配置：

PC终端上

tracert 10.0.0.6