簡介：工作中經常會連接核心交換機和防火牆對接，其對接方式多種多樣，和大家分享最常用的對接方式。本文主要介紹華為防火牆和交換機對接的基礎知識，本方法隻是講述了核心交換機和防火牆的連接配置，有關了公網IP，NAT、路由以及域間策略的配置後續介紹，詳細内容參考下文。

一、防火牆接口配置信息

1、兩台防火牆設置了VRRP雙機熱備

2、Active狀态的防火牆配置信息

備注：防火牆的接口XGigabitEthernet0/0/0連接到交換機的S7706的接口XGigabitEthernet1/4/0/9。

二、交換機接口配置信息

1、兩台交換機設置了CSS集群

2、Master交換機的接口配置信息

備注：顯示交換機的連接模式為access。

三、VLAN配置信息

1、配置VLAN3004

#CS-1交換機配置

<CS-1> system-view

[CS-1] vlan 3004

[CS-1] interface xgigabitethernet 1/4/0/9

[CS-1-XGigabitEthernet1/4/0/9] port link-type access

[CS-1-XGigabitEthernet1/4/0/9] port default vlan 3004

[CS-1-XGigabitEthernet1/4/0/9] quit

#CS-2交換機配置

<CS-2> system-view

[CS-2] vlan 3004

[CS-2] interface xgigabitethernet 2/4/0/9

[CS-2-XgigabitEthernet2/4/0/9] port link-type access

[CS-2-XgigabitEthernet2/4/0/9] port default vlan 3004

[CS-2-XgigabitEthernet2/4/0/9] quit

2、配置vlanif3004的IP地址

#CS-1交換機配置

<CS-1> system-view

[CS-1] interface vlan 3004

[CS-1-vlanif3004] ip address 172.17.1.2

[CS-1-vlanif3004] quit

備注：在vlanif3004下配置虛拟IP地址172.17.1.2。

3、配置CSS集群

#兩台交換機配置了CSS集群，其中各有一個接口加入到Vlan3004。如下圖

4、配置防火牆的虛拟IP地址

#FW-1防火牆的配置

[FW-1] interface XGigabitEthernet 0/0/0

[FW-1-XGigabitEthernet0/0/0] vrrp vrid 2 virtual-ip 172.17.1.1 active

[FW-1-XGigabitEthernet0/0/0] quit

#FW-2防火牆的配置

[FW-2] interface XGigabitEthernet 0/0/0

[FW-2-XGigabitEthernet0/0/0] vrrp vrid 2 virtual-ip 172.17.1.1 standby

[FW-2-XGigabitEthernet0/0/0] quit

備注：在接口XGigabitEthernet 0/0/0下配置虛拟IP地址172.17.1.1。

四、防火牆與交換機互聯

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!