防火墙配置回程路由和上网策略防火墙回程路由怎么配置

早上接到客户要求：三层交换机需要增加一个网段，可是密码忘记了。本来嘛，增加网段是个简单的事情，还准备马上派人过去，密码忘记就麻烦了，必须得重启才行，上班正忙着呢，只能等客户下班之后再开始干活了，不过，干咱们这行，这是常态，也早就习惯了。机房环境还是不错的，走进去就觉得“温暖如春”，设备还不少，分成4个1.2米的机柜，塞得机房满满当当的。核心交换机是一台华为的S5700-28C-SI，看上去有年头了。技术员打开笔记本电脑，连接console线，趁着准备工作的间隙，我问客户：哪些端口需要划分到新的网段里面呢？

早上接到客户要求:三层交换机需要增加一个网段，但是密码忘记了。

本来添加网段是很简单的事情，我马上就要派人过去了。如果我忘记了密码，我就有麻烦了，我必须重启它。工作忙，只能等客户下班开始工作。但是，在我们这一行，这是常态，我早就习惯了。

机房的环境还是不错的，走进去感觉“温暖如春”。设备还是很多的，分四个1.2m的柜子，机房都满了。

核心交换机是一台华为S5700-28C-SI，看起来比较旧。

技术人员打开笔记本电脑，连接控制台线路。在准备的间歇，我问客户:哪些端口需要划分新的网段？

回答:“随便分一个不用的端口，然后需要用来连接SDWAN设备。”

我明白了，就是还需要配合SDWAN设备才能上线。我们也愿意帮忙，这样可以很快开始工作，干完了可以早点回家。

1.交换机重新配置密码:重启交换机，当“按Ctrl+B或Ctrl+E进入Bootrom/Bootload菜单...”出现，快速按“Ctrl+B”然后输入默认密码:Admin@huawei.com；

选择BootROM/BootLoad主菜单下的“清除控制台用户密码”，清除控制台端口的登录密码；

根据交换机的提示，在BootROM/BootLoad主菜单下选择“用默认模式启动”来启动设备。系统启动后，通过控制台端口登录时不需要认证。请首先配置密码:

系统视图

[华为]用户界面控制台0

[华为用户界面控制台0]认证模式密码

[HUAWEI-ui-console0]设置认证密码密码测试@123

[华为-ui-console0]返回

救援

第二，给交换机添加网段:192.168.240.0/24Vlan 240 //创建Vlan

接口vlanif 240 //配置vlan的接口IP

Ip地址192.168.240.1 24

接口千兆以太网0/0/19/19端口加入vlan

端口链接型访问

端口默认vlan 240

原来的静态路由是这样写的，新增的vlan直接包含在里面，我就不用写了。

ip路由-静态192 . 168 . 0 . 0 255 . 255 . 0 . 0 192 . 168 . 0 . 1

第三，防火墙配置的第一步肯定是添加回程路由，让防火墙可以和新添加的网段进行通信；

登录防火墙并查看当前路由表:显示ip路由表。

我看到一个静态路由192.168.0.0/16，下一跳地址是192.168.0.254，呃...那我就不用写回程路线了；

第二步是配置NAT策略。我们先来看看现在的策略。

访问互联网没有任何限制，源地址任意，所以当然可以访问任何网段，不需要配置NAT策略；

第三步是配置与NAT策略相匹配的安全策略。我估计不需要配置，因为安全策略对应的是NAT策略，所以理论上我不需要修改。

果然都是“大战略”，涵盖范围非常广，不需要添加或修改。

四。合作接入SD-WAN设备1。客户要求:SD-wan是负责连接到其他地方的四个网段:

192.168.11.0/24

192.168.21.0/24

192.168.22.0/24

192.168.120.0/24

2.进入核心交换机并添加4条静态路由。

ip路由-静态192.168.11.0 24 192.168.240.2

ip路由-静态192.168.21.0 24 192.168.240.2

ip路由-静态192.168.22.0 24 192.168.240.2

ip路由-静态192.168.120.0 24 192.168.240.2

3.连接SD-wan设备:wan口连接核心交换机的19号口，Lan口连接我们的笔记本电脑。我们准备配合测试，但是发现无法自动获取IP。但是我们对这个设备一无所知，只能问设备提供商。

经过询问，对方让我们直接重置此事，哈哈；机房没有牙签，找了根软捆绑线，重置成功，颤抖着。过了一会儿，笔记本电脑拿到了IP地址，准备帮他们配置wan口。结果对方表示不需要配置。把代码发给我们，直接粘贴在浏览器地址栏，就可以自动激活；

激活成功了，然后呢？可以退班，工作一个半小时，收工，回家吃饭也不迟。