请教一个网络搭建配置的问题，H3C路由器与华为6320防火墙与华为S5700搭建网络

maihedy

现在公司使用两个运营商网络接入。一个是电信有固定IP，一个是移动通过PPPOE拨号上网，现在公司有2台ERP服务器，一台NAS服务器，办公室电脑及ERP专属客户电脑。目前的设备有H3C的路由器ER5200G2，华为防火墙USG6320以及华为交换机S5720-LI，现在公司需要实现：1、办公室电脑通过PPPOE上网，能访问NAS系统，禁止访问ERP服务器级客户电脑；
2、ERP专属客户电脑能访问ERP服务器、NAS服务器，禁止上网；
3、ERP服务器通过电信固定IP给公网访问；
4、NAS服务器系统全网开通，通过PPPOE网络；
因为是小白，对这些不是很懂，我现在能配置S5720-LI与ER5200G2连通，但中间加入防火墙之外完全不会配置，请问要怎么样操作呢？另外我将ACL全部做在交换机上这样对不对的？听别人说可以直接让防火墙做，但我不会啊，求各位大佬指教一下，感谢。

王赜

内部访问问题通过ACL写在核心相关网段的网关上in方向，外部访问防火墙上做策略放行

maihedy

王赜 发表于 2019-5-25 21:57
内部访问问题通过ACL写在核心相关网段的网关上in方向，外部访问防火墙上做策略放行

大佬，请问我整个网络要怎么配置？核心现在我做了ACL控制，针对VLAN进行控制，然后路由器与防火墙连接，防火墙再连接核心，这部分我不会，请指教一下。

王赜

maihedy 发表于 2019-5-26 14:18
大佬，请问我整个网络要怎么配置？核心现在我做了ACL控制，针对VLAN进行控制，然后路由器与防火墙连接， ...

1、办公室电脑通过PPPOE上网，能访问NAS系统，禁止访问ERP服务器级客户电脑；
核心网段网关上做ACL
acl deny 办公网段 ERP服务器地址 in
acl permit any any
PPPOE上网通过防火墙上做策略路由




2、ERP专属客户电脑能访问ERP服务器、NAS服务器，禁止上网；
核心网段网关上做ACL
acl permit ERP专属客户网段 ERP服务器地址 in
acl permit ERP专属客户网段 NSA服务器地址 in
acl deny any any

3、ERP服务器通过电信固定IP给公网访问；
防火墙静态映射



4、NAS服务器系统全网开通，通过PPPOE网络；
防火墙做策略路由

maihedy

王赜 发表于 2019-5-26 15:10
1、办公室电脑通过PPPOE上网，能访问NAS系统，禁止访问ERP服务器级客户电脑；
核心网段网关上做ACL
acl ...

先谢谢这位大佬，我现在是用核心做ACL的，对ACL半知半解，我看得有点不太明白，第一个ERP访问ERP服务器的ACL是做在连接ERP客户电脑的那个VLAN上吗？还是核心与ERP客户机连接的那个交换机端口上？另外我还有一个路由器的，不是应该在路由器上做策略路由去区分ERP服务器经固定IP出去，其他通过另一个WLAN口出去吗？小白，烦请再指教一下。

王赜

maihedy 发表于 2019-5-26 17:36
先谢谢这位大佬，我现在是用核心做ACL的，对ACL半知半解，我看得有点不太明白，第一个ERP访问ERP服务器的 ...

ACL写在网关上，哪个设备连的外网就在哪个设备上做策略路由。

maihedy

王赜 发表于 2019-5-26 18:58
ACL写在网关上，哪个设备连的外网就在哪个设备上做策略路由。

这位大佬，能不能麻烦您帮忙写一下给我啊？跪谢了

maihedy

王赜 发表于 2019-5-26 18:58
ACL写在网关上，哪个设备连的外网就在哪个设备上做策略路由。

大哥，请问我上面那个架构有没有问题的啊？还有能不能加一下您QQ，希望能帮助我配置一下，谢谢。