案例三：防火墙+三层交换机组网方式（网关都在三层交换机上面）

采用正常配置模式的步骤与思路

（1）内网部署方面，三层交换机（核心）对接办公网的交换机两种方式 1、直接三层交换机接二层的划入到VLAN2，这样下面的都属于VLAN2     2、配置trunk，然后下面的二层交换机在划分VLAN，这种比较推荐，可以配置管理地址，方便后续管理

（2）三层交换机（核心）对接服务器监控网络必须是trunk，然后下面二层交换机在划分各自VLAN，并且配置管理网段

（3）三层交换机对接防火墙可以单独的建立一个对接网段或者直接用管理网段对接，不推荐使用业务网段对接。

（4）防火墙确定好内外网接口，划分好安全区域、做好安全策略与NAT。

（5）注意三层交换机与防火墙之间的路由，并且接入交换机接终端的口配置成边缘端口

（6）建议配置Telnet或者SSH，方便后续远程管理配置与维护。（这也是起管理网段的作用。）需要注意的是接入交换机一定要写默认路由到核心或者（防火墙）

防火墙命令行相关流程展示

1、配置对应接口并且接入安全区域

interfaceGigabitEthernet1/0/0undo shutdownip address 192.168.200.1 255.255.255.0service-manage http permitservice-manage https permitservice-manage ping permitservice-manage ssh permitservice-manage snmp permitservice-manage telnet permit#interfaceGigabitEthernet1/0/1            undo shutdownip address dhcp-alloc#firewall zone trustset priority 85add interface GigabitEthernet0/0/0add interface GigabitEthernet1/0/0#firewall zone untrustset priority 5add interface GigabitEthernet1/0/1#

2、配置安全策略与NAT策略

ip address-set 允许上网type objectaddress 0 192.168.20.0 mask 24address 1 192.168.30.0 mask 24address 2 192.168.40.0 mask 24#security-policyrule name 允许上网 source-zone trust destination-zone untrust source-address address-set 允许上网 action permitrule name Local_any source-zone local action permit#nat-policyrule name 允许上网 source-zone trust destination-zone untrust source-address address-set 允许上网 action source-nat easy-ip               #

3、写回程路由​​​​​​​

#ip route-static192.168.20.0 255.255.255.0 192.168.200.2ip route-static192.168.30.0 255.255.255.0 192.168.200.2ip route-static192.168.40.0 255.255.255.0 192.168.200.2#

4、管理相关​​​​​​​

#lldp enable#Telnetserver enable#Aaamanager-user admin service-type web terminal telnet ssh#user-interface vty 0 4authentication-mode aaa

三层命令行相关流程展示

1、创建对应VLAN，并且配置对接防火墙的口

#vlan batch 2 to 4 200#interface Vlanif200ip address 192.168.200.2 255.255.255.0#     interfaceGigabitEthernet0/0/3port link-type accessport default vlan 200#（建议配置完后ping下防火墙是否对接成功）

2、创建业务VLAN相关并且开启需要DHCP的网段​​​​​

#dhcp enableinterface Vlanif2description officeip address 192.168.20.254 255.255.255.0dhcp select interfacedhcp server excluded-ip-address 192.168.20.88dhcp server dns-list 223.5.5.5 114.114.114.114#interface Vlanif3description serverip address 192.168.30.254 255.255.255.0#interface Vlanif4description jiankongip address 192.168.40.254 255.255.255.0#

3、写默认路由（容易倍忽略的点）​​​​​​​

#ip route-static 0.0.0.0 0.0.0.0 192.168.200.1

4、对接下面二层交换机的口

#interfaceGigabitEthernet0/0/1description to_office_SWport link-type trunkport trunk allow-pass vlan 2 200#interfaceGigabitEthernet0/0/2description to_Server_jk_SWport link-type trunkport trunk allow-pass vlan 3 to 4 200

5、管理相关的

#sysname S5700-Core#lldp enable#Telnetserver enable#aaalocal-useradmin password simple admin （模拟器版本老所以可以配置简单密码，实际中是大小写，而且第一次进去要求改密码）local-user admin privilege level 15local-user admin service-type telnet terminal http#user-interface vty 0 4authentication-mode aaa                  protocol inbound all

办公二层命令行相关流程展示

1、创建对应VLAN与接口划分

#vlan batch 2 200##interface Ethernet0/0/1port link-type accessport default vlan 2stp edged-port enable#interface Ethernet0/0/2port link-type accessport default vlan 2stp edged-port enable#interfaceGigabitEthernet0/0/1port link-type trunkport trunk allow-pass vlan 2 200

2、配置管理相关

#lldp enable#telnet server  enable#sysname office_access#interface Vlanif200ip address 192.168.200.3 255.255.255.0#ip route-static 0.0.0.0 0.0.0.0 192.168.200.2#aaalocal-useradmin password simple admin （模拟器版本老所以可以配置简单密码，实际中是大小写，而且第一次进去要求改密码）local-user admin privilege level 15local-user admin service-type telnet terminal http#user-interface vty 0 4authentication-mode aaa                  protocol inbound all

服务器与监控二层命令行相关流程展示

1、创建对应VLAN与接口划分​​​​​​​

vlan batch 3 to 4 200#interface Ethernet0/0/1port link-type accessport default vlan 3stp edged-port enable#interface Ethernet0/0/2 port link-type accessport default vlan 4stp edged-port enable#interface GigabitEthernet0/0/2port link-type trunkport trunk allow-pass vlan 3 to 4 200#

2、管理相关​​​​​​​

#lldp enable#telnet server  enable#sysname office_access#interface Vlanif200ip address 192.168.200.4 255.255.255.0#ip route-static 0.0.0.0 0.0.0.0 192.168.200.2#aaalocal-useradmin password simple admin （模拟器版本老所以可以配置简单密码，实际中是大小写，而且第一次进去要求改密码）local-user admin privilege level 15local-user admin service-type telnet terminal http#user-interface vty 0 4authentication-mode aaa                 protocol inbound all

这个拓扑网络容易忽略的点

（1）防火墙忘记写回程路由，否则上网以及访问内网会不通

（2）核心交换机忘记写默认路由，会导致上不了网

（3）核心与防火墙之间对接口配置或者接线错误导致对接不通

（4）核心与接入的二层对接模式错误，以及turnk忘记放行VLAN通过

（5）二层交换机容易忽略的就是接口划分VLAN错误，以及对接上行的模式配置错了。

（6）防火墙的安全策略与NAT策略由于粗心的原因导致的一些错误。

排错思路

大部分排错的思路在案例一与二都讲解过，也是同样的思路，这里在介绍几个比较有用的

（1）建议开LLDP功能，查看上行与下行对接设备的口是否正确，从而可以检查配置

（2）建议开telnet或者SSH，这样在核心或者防火墙可以直接登录到下面所有的设备进行查看配置是否正常。

（3）建议在配置核心对接防火墙的时候ping测试是否连通正常，方便指定定位问题，避免后续出现故障，排查范围过大。（当时候如果不同可以直接排查是否线路接错了，或者对接地址以及VLAN配置错了，可以通过LLDP查看）

（4）内网出现故障不通，可以从VLAN创建以及网关与DHCP是否正常配置，如果终端设备获取不到地址，可以手动设置看是否可以通，如果可以通，建议配置快速边缘端口，加速端口收敛，快速获取地址。如果不通，检查接加入VLAN以及二层对接核心的口的模式与允许VLAN通过是否正常。

（5）防火墙的排错参考案例一与二