多出口防火墙

多出口防火墙（精选四篇）

多出口防火墙篇1

关键词：计算机网络,网络安全,防火墙技术

1 多出口的优越性

1.1 提高网络速度

使用电信、网通多出口应用提高线路总体带宽, 并且通过防火墙的动态负载均衡机制, 可以有效地利用线路带宽, 将PP-POE用户和专线用户的网络请求动态均衡的分配到多条线路, 达到访问电信地址走电信出口, 访问网通地址走网通出口的需求, 既做到了提高网络速度的目的, 又避免了一条线路阻塞而另一条线路空闲的局面发生, 提高了用户的网络速度和可靠性。

1.2 线路备份

网络的不稳定因素很多, 其中出口不稳定是一个重要因素, 如果接入的单链路出现故障, 会造成整个网络通信中断。使用防火墙分别接入多条电信和网通出口, 在其中一个出口出现故障的时候, 可以将用户上网请求自动转移到另一出口, 保证通信正常, 只是会造成非常短暂的网络延迟, 不会因为某条出口链路故障或高负荷造成网络瘫痪和缓慢, 从而更好的为网络用户提供了高可用性。

1.3 网络安全

防火墙具有完善的智能包过滤功能和抗攻击功能, 只有经过精心选择的应用协议才能通过, 能够禁止非IP协议的数据报文通过, 最新的病毒过滤引擎基于特征码过滤含有蠕虫病毒的数据包, 可使网络环境变得更安全。如可以禁止NFS协议进出受保护的网络, 这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击, 如IP选项中的源路由攻击和ICMP重定向中的重定向路径。而且可以拒绝所有攻击的报文并通知防火墙管理员。

1.4 监控审计

由于防火墙部署在网络的边界, 所有的互联网访问都经过防火墙, 那么, 防火墙就能记录下所有的访问并做出日志记录, 同时也能提供网络使用情况的统计数据。当发生可疑动作时, 防火墙能进行适当的报警, 并提供网络是否受到监测和攻击的详细信息。另外, 收集一个网络的使用和误用情况也是非常重要的, 可以清楚防火墙是否能够抵挡攻击者的探测和攻击, 并且清楚防火墙的控制是否充足, 而网络使用统计对我们进行网络需求分析和威胁分析等也是非常重要的。

2 多出口环境部署

2.1 地址分配问题

大家都知道互联网的地址非常有限。特别是进入21世纪以来, 各国计算机网络发展迅速, IPV4地址已经接近枯竭, 所以大多数互联网拨号用户都是通过NAT技术转换为公网地址去访问网络应用的。

通过防火墙NAT转换技术把私有地址动态转换成多个公网地址来访问互联网, 因为考虑到网通用户多、网络应用流量大的特点, 所以防火墙在每个出口上配置多个NAT地址池保证NAT转换的过程中不会造成地址资源的耗尽, 避免了部分访问网络的速度变缓。

2.2 路由选择问题

为了更好的为客户提供优质、快速、稳定、高可用性的网络接入, 要求出口设备在多条出口链路中根据服务自动选择电信出口或者是网通出口, 比如:用户访问 (http、ftp、pop、smtp) 等服务经由网通出口进行转发, 访问其他服务都由防火墙根据分属哪个ISP的地址自动选择ISP链路进行路由, 并在电信接口组或者网通接口组中进行路由负载, 这样就涉及到根据访问进行路由选择的问题。

防火墙通过特有的ISP自动路由寻址功能和源路由功能的相互配合, 达到指定服务通过指定接口组转发, 并结合线路带宽和线路质量进行最优的路由负载。线路的带宽决定了在防火墙中路由负载的权重, 如果线路带宽比较高, 那可以跑更多的流量, 更有效地利用网络带宽。

2.3 自动切换 (链路状态和质量监测)

网通对宽带用户提供宽频、邮件等网络服务, 这样就需要出口设备上有一些到网通的静态路由来明确指明到哪些地址, 经过哪几条线路路由。当某条链路出现故障时, 指向它的路由有效但不可达, 这样从该链路出去的流量就不可到, 造成部分网络的访问中断, 只能靠管理员手工修改路由后, 这部分网络才可达。因此, 必须解决能够实时监测链路的状态和质量进行自动的路由切换, 这样才能满足高可靠性的需求。

防火墙能够自动探测链路的状态和质量, 当探测到相应的链路故障或者线路质量不好的情况下, 都会将对应链路的路由标记为无效, 因此, 防火墙将每个目的的路由设置为多个, 分别指向多个ISP的链路, 修改其路由度量值 (度量值越小, 链路越佳) , 再启用路由探测功能。这样, 当某条链路状态出现故障或者链路质量不佳, 会自动切换到次佳的链路上。

2.4 流量整形和带宽控制

为满足宽带用户上互联网的需求, 又要控制用户BT、迅雷等P2P软件的带宽, 因为这些软件极大的占用了网络带宽, 影响其他网络服务正常使用的网络带宽。

防火墙采用先进的拥塞控制算法、流量调度算法以及优先级排队机制, 根据用户定义的带宽策略 (最大峰值带宽, 最小保证带宽和优先级) , 动态实现带宽分配的实时控制。其具有以下特点:

(1) P2P限制。完全支持BT/e Donkey/Kazaa/apple/ares/dc/gnu/soul/winux等P2P软件的带宽限制和软件使用禁止。

(2) 最大限制带宽。可以对用户IP地址、服务等通过防火墙的带宽进行限制, 例如:限制某个用户对外访问最大带宽, 或者访问某种服务的最大带宽。

(3) 最小保证带宽。保证网络中重要服务或者重要用户的带宽不被其他服务或者用户占用, 从而保证了重要数据优先通过网络。

(4) 优先级控制。防火墙可以设定4个优先级 (0-3) , 在拥塞情况下, 可以进行更加细致的流量控制。

3 防火墙的管理与维护

如果已经设计好了一个防火墙, 使它满足了企业的需要, 接下来的工作就是防火墙的管理与维护了。在防火墙设计建造完成以后, 使它正常运转还要做大量的工作。管理与维护工作主要有4个方面, 它们分别是:建立防火墙的安全策略、日常管理、监控系统、保持最新状态。

3.1 建立防火墙的安全策略

安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使用的种种规定。访问控制包含了哪些资源可以被访问, 如读取、删除、下载等行为的规范, 以及哪些人拥有这些权力等信息。

防火墙的设计策略是具体地针对防火墙, 负责制定相应的规章制度来实施网络服务访问策略。在制定这种策略之前, 必须了解这种防火墙的性能以及缺陷、TCP/IP自身所具有的易攻击性和危险。防火墙一般执行一下两种基本策略中的一种: (1) 除非明确不允许, 否则允许某种服务; (2) 除非明确允许, 否则将禁止某项服务。

执行第一种策略的防火墙在默认情况下允许所有的服务, 除非管理员对某种服务明确表示禁止。执行第二种策略的防火墙在默认情况下禁止所有的服务, 除非管理员对某种服务明确表示允许。防火墙可以实施一种宽松的策略 (第一种) , 也可以实施一种限制性策略 (第二种) , 这就是制定防火墙策略的入手点。

3.2 日常管理

日常管理是经常性的琐碎工作, 以使防火墙保持清洁和安全。为此, 需要经常去完成的主要工作有:数据备份、账号管理、磁盘空间管理等。

(1) 数据备份。一定要备份防火墙的数据。使用一种定期的、自动的备份系统为一般用途的机器做备份。当这个系统正常做完备份之后, 最好还能发送出一封确定信, 而当它发现错误的时候, 也最好能产生一个明显不同的信息。

为什么只是在错误发生的时候送出一封信就好了呢?如果这个系统只在有错误的时候产生一封信, 或许就有可能不会注意到, 这个系统根本就没有运作。那为什么需要明显不同的信息呢?如果备份系统正常和执行失败时产生的信息很类似, 那么习惯于忽略成功信息的人, 也有可能会忽略失败信息。理想的情况是有一个程序检查备份有没有执行, 并在备份没有执行的时候产生一个信息。

(2) 账号管理。包括增加新账号、删除旧账号及检查密码期限等, 是最常被忽略的日常管理工作。在防火墙上, 正确地增加新账号、迅速地删除旧账号以及适时地变更密码, 绝对是一项非常重要的工作。

建立一个增加账号的程序, 尽量使用一个程序增加账号。即使防火墙系统上没有多少用户, 但每一个用户都可能是一个危险。一般人都有一个毛病, 就是漏掉一些步骤, 或在过程中暂停几天。如果这个空档正好碰到某个账号没有密码, 入侵者就很容易进来了。

账号建立程序中一定要标明账号日期, 以及每隔一阶段就自动检查账号。虽然不需要自动关闭账号, 但是需要自动通知那些账号超过期限的人。可能的话, 设置一个自动系统监控这些账号。这可以在UNIX系统上产生账号文件, 然后传送到其他的机器上, 或者是在各台机器上产生账号, 自动把这些账号文件拷贝到UNIX上, 再检查它们。

(3) 磁盘空间管理。数据总是会塞满所有可用的空间, 即使在几乎没有什么用户的机器上也一样。人们总是向文件系统的各个角落丢东西, 把各种数据转存进文件系统的临时地址中。这样引起的问题可能常常会超出人们的想象。暂且不说可能需要使用那些磁盘空间, 只是这种碎片就容易造成混乱, 使事件的处理更复杂。于是有人可能会问:“那是上次安装新版程序留下来的程序吗?是入侵者放进来的程序吗?那真的是一个普通的数据文件吗?是一些对入侵者有特殊意义的东西?”等等, 不幸的是, 没系统能自动找出这种“垃圾”的方法, 尤其是可以在磁盘上到处写东西的系统管理者。因此, 最好有一个人定期检查磁盘, 如果让每一个新任的系统管理者去遍历磁盘会特别有效, 他们将会发现管理员忽略的东西。

3.3 监视系统

对防火墙的维护、监视系统是维护防火墙的重点, 它可以告诉系统管理者以下的问题:防火墙已经岌岌可危了吗?防火墙能提供用户需求的服务吗?防火墙还在正常运作吗?尝试攻击防火墙的是哪些类型的攻击?

要回答这几个问题, 首先应该知道什么是防火墙的正常工作状态。

(1) 专用设备的监视。虽然大部分的监视工作部是利用防火墙上现成的工具或记录数据, 但是也可能会觉得如果有一些专用的监视设备会很方便。例如, 可能需要在周围网络上放一个监视站, 以便确定通过的都是预料中的数据包。可以使用有网络窥视软件包的一般计算机, 也可以使用特殊用途的网络检测器。

如何确定一台监视机器不会被入侵者利用呢?事实上, 最好根本不要让入侵者知道它的存在。在某些网络设备上, 只要利用一些技术和一对断线器 (wire cutter) 取消网络接口的传输功能, 就可以使这台机器无法被检测到, 也很难被入侵者利用。如果有操作系统的原始程序, 也可以从那里取消传输功能, 随时停止传输。但是, 在这种情况下, 很难确认操作是否已经成功了。

(2) 应该监视的内容。理想的情况是, 应该知道通过防火墙的一切事情, 包括每一条连接, 以及每一个丢弃或接受的数据包。然而, 实际的情况是很难做到的, 折衷的办法是, 在不至于影响主机速度也不会太快填满磁盘的情况下, 尽量多做记录, 然后再为所产生的记录整理出摘要。

在特殊情况下, 要记录好以下内容:一是所有抛弃的包和被拒绝的连接;二是每一个成功的连接通过堡垒主机的时间、协议和用户名, 三是所有从路由器中发现的错误, 堡垒主机。

(3) 监视工作中的一些经验。应该把可疑的事件划分为几类:一是知道事件发生的原因, 而且这不是一个安全方面的问题, 二是不知道是什么原因, 也许永远不知道是什么原因引起的, 但是无论它是什么, 它从未再出现过, 三是有人试图侵入, 但问题并不严重, 只是试探一下;四是有人事实上已经侵入。

这些类别之间的界限比较含糊。要提供以上任何问题的详细征兆是不可能的, 但是下面这些归纳出的经验可能会对网络系统管理员有所帮助。如果发现以下情况, 网络系统管理员就有理由怀疑有人在探试站点:一是试图访问在不安全的端口上提供的服务 (如企图与端口映射或者调试连接) ;二是试图利用普通账户登录 (如guest) };三是请求FTP文件传输或传输NFS (Network File System, 网络文件系统) 映射;四是给站点的SMTP (Simple Mail Transfer Protocol, 简单邮件传输协议) 发送debug命令。

如果网络系统管理员见到以下任何情况, 应该更加关注, 因为侵袭可能正在进行之中:一是多次企图登录但多次失败的合法账户, 特别是互联网上的通用账户;二是目的不明的数据包命令;三是向某个范围内每个端口广播的数据包;四是不明站点的成功登录。如果网络系统管理员了发现以下情况, 应该怀疑已有人成功地侵入站点:一是日志文件被删除或者修改;二是程序突然忽略所期望的正常信息;三是新的日志文件包含有不能解释的密码信息或数据包痕迹;四是特权用户的意外登录 (例如root用户) , 或者突然成为特权用户的意外用户;五是来自本机的明显的试探或者侵袭, 名字与系统程序相近的应用程序;六是登录提示信息发生了改变。

3.4 保持最新状态

保持防火墙的最新状态也是维护和管理防火墙的一个重点。在这个侵袭与反侵袭的领域中, 每天都产生新的事物、发现新的毛病, 以新的方式进行侵袭, 同时, 现有的工具也会不断地被更新。因此, 要使防火墙能同该领域的发展保持同步。

当防火墙需要修补、升级一些东西, 或增加新功能时, 就必须投入较多的时间。当然所花的时间长短视修改、升级、或增加新功能的复杂程度而定。如果开始时对站点需求估计得越准确, 防火墙的设计和建造做得越好, 防火墙适应这些改变所花的时间就越少。

4 结束语

在当前的网络世界里, 作为运营商要为用户提供更多、更可靠的出口, 来满足不同用户的需求, 不断推出新型的网络业务, 来增加用户的粘合度。因此利用防火墙技术不断增加更安全、更可靠的出口是我们接下来需要去仔细研究的课题。

参考文献

多出口防火墙篇2

为进一步增强党员、干部员工廉洁自律意识，筑牢拒腐防变的思想道德“防火墙”。*****根据***纪委部署要求，刻制《以制度建设夯实反腐倡廉治本之基》廉政党课教育DVD光盘，并分发到***，360度抓好党员干部和广大员工的岗位廉洁教育、职业道德教育、案例警示教育。

一是抓好***各部室相关人员的廉洁教育。组织***机关共计80余人，认真观看教育片，提醒广大党员干部常怀律己之心，增强拒腐防变意识。会后，***还要求***全体成员要严于律己，身体力行，率先垂范，为基层人员起到模范带头作用，务必树立正确的世界观、人生观、价值观和正确的权力观、地位观、利益观，清清白白做人，干干净净做事，用实实在在的工作业绩回报单位和社会。

二是抓好基层各信用社、分社人员的廉洁教育。各网点由负责人带头组织利用电视、视频等媒介播放观看教育片，片中生动、形象地剖析了社会上众多的贪污窝案，腐败分子的丑恶行径、相关法律规定和服刑人员“现身说法”的录像，让与会人员视觉受到冲击，心灵受到震撼。观看人员纷纷表示本次反腐倡廉宣传教育片，发人深省，感受颇深，很有说服力。

多出口校园网络的路由与防火策略篇3

由于教育网网络速度及线路资源的限制，国内很多高校的校园网都采用多个出口的方式联入互联网[1]。一般采取的方案是通过一条线路接入教育网，由于教育网有较丰富的地址资源，所以校内的服务器和个人计算机都可以使用真实的IP地址。由于教育网与公网互联的带宽问题，使得通过教育网访问公网资源速度比较慢，所以很多高校在保留教育网连接的同时又将校园网络连接到其它接入服务提供商，比如：网通，电信，铁通等通信公司。由于各通信运营商的IP资源十分紧张，所以很难从各通信运营商获得较多的地址资源。这样，唯一的办法是使用教育网的IP地址资源和运营商的网络带宽。要实现这个目标，就必须在联入运营商的网络时进行网络地址转换(NAT)。为了保证网络的安全性，通常在教育网的出口要部署防火墙。这样使得校园网的出口比较复杂，如果设计不当，容易造成设备性能得不到充分发挥，通信质量下降，甚至设备死机等问题。下面以两个公网出口和一个教育网出口的网络为例，说明多出口网络中容易出现的设计失误及解决办法。

2 网络拓扑说明

不同的高校根据各自拥有的设备的区别，可能在多出口网络中采用不同的连接方式和路由策略，本文给出的是一种投资比较少，而且应用比较广的一种多出口网络设计方案。具体见图1。

在教育网出口而非核心交换与路由之间放置防火墙，是因为网通和电信线路都采用了NAT技术，这样可以防止来之外网的攻击，同时只在教育网出口设置防火墙，经过防火墙的流量小，能够降低投资同时提高网络性能。

3 路由策略的选择

由于采用多个出口，那么如何设置路由策略以充分利用三条线路的资源是一个必须面对的问题。由于教育网和公网间相互访问的速度较慢，所以尽可能的让访问教育网的数据通过教育网线路传输，访问公网的数据通过网通或电信的线路传输。接下来面对的问题是，如何处理两条公网线路的带宽分配。最简单的办法是直接将默认路由设置为两条线路对端的路由上，这样路由器能够动态分配网络流量。但是由于使用了NAT技术，要求路由器支持基于状态的路由选择技术。也就是说，要建立一个TCP会话，那么，第一个SYN报文从哪个出口通过，其后这个连接发生的所有报文都要从该出口通过。如果路由器不支持该功能，就不能使用两条相同优先级的默认路由并使用NAT技术。最好的路由选择策略是按照教育网、网通、电信来划分IP地址(这样的地址列表能从网上得到)，目的地址为教育网的报文通过教育网出口进行传输;目的地址属于网通的通过网通出口进行传输，目的地址为电信网络所拥有的，通过电信出口传输。除了这些地址外的，在两条公网出口进行分配，最后，将默认路由指向电信或网通。最后通过流量监控软件(如：MRTG)监控一下各端口的流量[2,3]，再适当调整一下路由策略。这样做唯一带来的问题是路由表太长，造成路由选择较慢，可以通过使用掩码将多个较小的地址段变成一个大地址段的方法减少路由条目。

4 外网访问问题及其解决

上述路由策略主要考虑校园网用户如何访问互联网，还有一个问题需要解决，就是互联网用户访问校内资源。由于根据不同的地址划不同的路由，那么就有可能出现这样的问题，互联网用户访问校内资源时，连接通过教育网线路进入校园网，但由于根据目的地址设置了路由，校园网内回复的报文并不易定是通过教育网线路传输的，而两个公网端口又都使用了NAT技术，所以非教育网校外用户，访问校内资源，当发起连接后，发起端收不到回应报文，这样通信无法够完成。要解决这个问题，必须借助源地址选路来完成。这需要路由器支持策略路由功能[4,5]。

5 由状态防火墙引发的问题及解决方法

由于学校使用了大量的教育网IP地址，这样，当互联网上发生访问这些地址的连接时，SYN报文通过防火墙进入校园网，但是由于采用了多出口的网络结构，被访问主机发回的ACK报文没有经过防火墙发出(针对没有使用策略路由的地址)，而是被公网出口丢弃。由于现在使用的防火墙都是基于状态的防火墙[6]，基于状态的防火墙通过维护一个完整的连接状态来判定通过的网络报文是否安全。基于状态的防火墙接收到连接建立的报文后要为新连接的建立预留资源，知道连接结束或超时。而在多出口校园网中，由于上面讲述的原因，很多连接没有无法完整的建立，只能在等待超时后，防火墙才能释放会话资源。这样如果因为某种原因(主要是蠕虫和洪水攻击)互联网内产生了大量的针对校内非服务器地址的访问或扫描，使得防火墙的资源被不完整的连接大量消耗，极大地影响了防火墙的性能，同时也影响到出口路由器的性能。

为了解决这个问题，必须在防火墙上设置访问策略，拒绝来自互联网的非服务器访问，通过校园网对外网的访问。由于防火墙的不同，设置方式及策略各有不同，这里不再赘述。

6 由地址转换引发的问题及解决方法

由于校园网内计算机数量比较多，这样通过路由实现NAT，会对路由造成较大的压力。因为UDP报文对NAT有穿透能力，所以现在很多P2P软件都利用这个功能来实现数据流量共享的最大化，这给实现NAT功能的路由器造成巨大的压力。实践中经常遇到路由器CPU利用率达到100%的情况。

如何解决这样的问题呢，通过实践对比发现，当拒绝所有UDP报文的NAT后，路由器CPU利用率达到20%左右。但不可能在网络中拒绝所有的UDP报文，所能采用的方法只能是尽可能的限制。其解决方法有如下几种：1)采用流量整形设备，能够获得非常好的效果，但是需要很大的投入;2)采用其他NAT设备，比如购买硬件防火墙，或路由器NAT板;3)使用策略路由，保证必要服务的优先级。

7 结论

由于人们越来越依赖网络，蠕虫和P2P软件的滥用造成了网络流量的泛滥，加之网络越来越复杂，要成功的解决所遇到的网络问题，需要不断的调整网络策略，采购必要的更智能的设备，并不断监控分析网络运行状态，以达到优化网络创造更好的经济和社会效益。

摘要：由于大学校园网接入CERNET的出口带宽较窄,访问公众网的速度很慢,在访问CERNET免费地址以外的资源时,要支付高昂的费用。采用基于策略路由的校园网多出口方案可以解决上述问题。策略路由是路由器的一项扩展功能,根据源地址及目的地址选择路由走向进行策略路由配置,通过增加网络出口,大大提高了内外网络互访的速度,降低了网络费用。本文在论述多出口校园网络中可能遇到的问题的同时分析了问题产生的原因和解决办法。

关键词：策略路由,NAT,校园网,防火墙

参考文献

[1]姚敏,赵亮.基于策略路由实现多出口方案优化网络速度[J].电脑知识与技术,2008,(30):567-568

[2]卢苇,严斌宇,郑畅.MRTG软件在校园网状态参数监测中的应用[J].四川大学学报:自然科学版,2001(2).

[3]鲍振忠,耿海涛,王忠庆.MRTG流量监测系统在校园网中的布署及应用[J].中国科技信息,2005,(07):16-17.

[4]王哲.校园网多出口线路下策略路由的探讨[J].科技信息,2008,(29):62.

[5]张其梁.基于策略路由的双出口校园网的实现[J].农业网络信息,2008,(06):114-116

多VLAN环境下防火墙配置篇4

运用VLAN技术可提高网管效率和安全性, 随着支持VLAN的防火墙广泛应用, 使得网管能力更强, 更灵活便捷。以下笔者就以笔者单位工作中防火墙跨VLAN管理为例做详细介绍。

需求分析

随着信息化进程的加速, 单位构建了跨城区多区域信息网络 (如图1所示) 。中兴ZXR10 T40G为企业核心区域交换机, 在各分支机构部署了可网管三层交换机。为方便管理, 总部对部门及下级单位通过VLAN进行业务划分, 取得了较好效果。但随着业务的发展, 因下级单位的业务服务逐步融合交叉, 导致原有网络结构的安全控制功能不强, 难以实现精细化的管控。为解决这些问题, 单位将联想网御防火墙部署到网络中, 方便对各区域网络业务功能进行精确控制。

网络拓扑如图1所示, ZXR10 T40核心交换机划分多个VLAN, 其中VLAN20、VLAN21对应下级单位1的网段, VLAN30对应下级单位2的网段, VLAN10为本级内网段。本单位特殊通信服务 (以下简称TSTX服务) 要求网络区段间的访问规则必须满足以下规则:1.防火墙默认策略为禁止。2.VLAN20和V L A N 2 1之间允许TSTX服务。3.VLAN10对VLAN20、VLAN21、VLAN30允许TSTX服务。

配置方案

由于最初未考虑到下级单位1中有两个VLAN, TSTX服务需要跨VLAN, 所以在配置防火墙时只是添加了地址段, 并对防火墙端口进行进出流控制, 最终导致下级单位1的VLAN20和VLAN21之间不能正常使用TSTX服务。经过分析认为必须在防火墙中创建VLAN设备, 并对VLAN设备进行策略配置, 才能使下级单位1中的两个VLAN间正常使用TSTX服务。为此, 规划以下配置方案:

1.Fe1连接下级单位1交换机的TRUNK口, IP地址为192.168.100.1, 掩码为255.255.255.0。

2.创建VLAN设备Fe1.20, 绑定设备Fel, VLAN ID为“20”, 工作在“路由模式”, IP地址为192.168.10.1, 掩码为255.255.255.0。

3.创建VLAN设备Fe1.21, 绑定设备Fel, VLAN ID为“21”, 工作在“路由模式”, IP地址为192.168.11.1, 掩码为255.255.255.0, 如图2所示。

4.FE2连接下级单位2交换机的TRUNK口, IP地址为192.168.200.1, 掩码为255.255.255.0。

5.FE3接到核心交换机ZXR10 T40G, IP地址为172.16.1.1, 掩码为255.255.255.0。

6.VLAN20网关为192.168.10.1, VLAN21网关为192.168.11.1, V L A N 3 0网关为192.168.20.1。

操作流程与步骤

首先添加地址资源:

1.V L A N 2 0_N E T为:192.168.10.0, 掩码为255.255.255.0。

2.V L A N 2 1_N E T为:192.168.11.0, 掩码为255.255.255.0。

3.V L A N 3 0_N E T为:192.168.20.0, 掩码为255.255.255.0。

4.V L A N 1 0_N E T为:172.16.1.0, 掩码为255.255.255.0。