网络方案

两台防火墙做成主备模式没问题，但是为了达到这一点，交换设备就是必须的，因为除了两台放火前之间需要直接背对背的心跳线链接（网口或者串口）不是一定要交换设备之外，为了保证服务器能够同时链接两台防火墙，防火墙链接内部服务器的两条不同网线必须能同时接到服务器所在内网上

如果你现在只用1台防火墙，可以吧服务器的网线直接插到防火墙的lan口（防火墙一般提供多个lan口）然后分别配置这几个lan口策略，但是多防火墙主备就不能这么接了，当一台防火墙出现故障时，使用passby模式透传，无法启用备用防火墙或者即便启用了你的服务器也没插在备用防火墙上。

如果你两台防火墙串联而不是并联，那么毫无疑问增加包传输所消耗时间，这还不是主要的，防火墙也无法用储备模式而是要同时启用。

所以标准的防火墙主备模式是在防火墙之前之后都有交换设备，防火墙之间以心跳线链接，主机正常工作，备机standby模式，当主机故障自动转为standby而备机启用替代主机工作。防火墙外的交换机链接外网和两台防火墙的wan口，防火墙内的交换设备链接两台服务器。

此外，需要注意因为两台防火墙配置完全相同，所以可能出现”打环“现象，所以对交换设备有一定要求能够智能识别或者做端口捆绑

简单了解一下：\x0d\ SerialNet模式将本地异步串口通信转换成基于TCP/UDP协议的网络通信。其主要目是将串行通信的简单设备实现在网络上的通信，而这些设备不需要做任何改变，为此，SerialNet模式定义了一系列相关的操作参数，这些参数的定义实现了网络连接所需要的属性。当DTU工作在SerialNet模式时，在设备串口与网络之间他的工作方式就象路由器的路由过程。\x0d\ SerialNet模式的工作方式不同于客户端或服务端设备（客户端设备通常指PLC、RTU等数据采集设备，服务端设备指系统中心服务器），当客户端发起通讯请求时，在两设备之间数据传输之前，DTU必须与远端服务中心建立网络连接，也就是说，客户端设备（例如PLC）要与数据中心进行数据传输时，首先客户端设备与DTU设备的串口连接，DTU在进入SerialNet模式后，自动被调用去与服务器中心设备建立网络连接。\x0d\ DTU进入SerialNet模式后，既可以作为客户端模式也可作为服务端模式。工作在SerialNet模式下的DTU将自动完成串口到网络通信的转换，所有数据可透明的在两设备之间双向传输。\x0d\\x0d\所谓的透传模式也就是同一设备可以同时执行各种不同功能！ 比如 光猫 可以同当做adsl拨号的猫来使用，同时兼任路由器，另外可以兼容物理电话，同时将U盘插入到光猫还可以当做小型存储服务器来使用。 其他的功能就不在介绍了哈！！

需要选上

DHCPSnooping是一种DHCP安全特性，在配置DHCPSnooping各安全功能之前需首先使能DHCPSnooping功能。

使能DHCPSnooping功能的顺序是先使能全局下的DHCPSnooping功能，再使能接口或VLAN下的DHCPSnooping功能。

Switch_1是二层接入设备，将用户PC的DHCP请求转发给DHCP服务器。以Switch_1为例，在使能DHCPSnooping功能时需要注意：

使能DHCPSnooping功能之前，必须已使用命令dhcpenable使能了设备的DHCP功能。

全局使能DHCPSnooping功能后，还需要在连接用户的接口或其所属VLAN使能DHCPSnooping功能。

当存在多个用户PC属于同一个VLAN时，为了简化配置，可以在这个VLAN使能DHCPSnooping功能。

网络电话透传指的是可以显示你自己想要的号码，以前了解过好像是E通网络电话有这个透传，现在阿里通可以显示深圳固定来显，跟透传差不多的，可以去了解一下

http://wwwalicallcom/buynumberhtm

您好，微信语音通话和平时发的消息都会到服务器。

微信作为我们最重要的社交软件，日活跃用户数量已经达到了十个亿。微信的客户端软件都是经过微信的服务器和防火墙来传达的，正常使用是不会被监听的，但并不排除手机被病毒入侵从而使微信语音被监听的可能性。

另外那么微信会保留我们信息吗？微信的官方回复是：“为了保护用户隐私，聊天记录会保存到用户本机，服务器不会保存，如果未备份聊天记录，更换手机后无法查看之前手机上的聊天记录”

推送服务是将信息推送给用户的服务。推送服务的基础思想是将浏览器主动查询信息改为服务器主动发送信息。服务器发送一批数据，浏览器显示这些数据，同时保证与服务器的连接。当服务器需要再次发送一批数据时，浏览器显示数据并保持连接。以后，服务器仍然可以发送批量数据，浏览器继续显示数据，依次类推。

推送服务的作用有以下2种：

1、通知栏消息。手机收到推送消息后由系统直接在通知中心下拉列表呈现的即时消息，终端用户点击对应的通知消息触发相应的动作，如打开应用、打开一个网页、打开应用内某界面。

2、透传消息。手机收到推送消息后不直接展示，而是将数据传递给最终的应用，由开发者的App自主解析内容，并触发相关动作，华为推送服务仅提供通道能力。利用此功能开发者可以实现好友邀请、IP呼叫等功能。

为了安全及便于管理，企业为服务器专门划分VLAN，用户属于VLAN 10，服务器属于VLAN 20。用户与服务器间跨接入、汇聚和核心交换机，其中接入是二层交换机，汇聚、核心是三层交换机。由于业务需要现要求用户与服务器间可以互通。

配置思路

采用如下的思路配置不同网段之间通过静态路由进行通信：

1、在接入交换机上配置基于接口划分VLAN，实现二层通信。

2、在汇聚交换机AGG上配置VLANIF10，作为用户的网关，在核心交换机CORE上配置VLANIF20，作为服务器的网关。

3、在汇聚交换机AGG上配置从AGG到达VLANIF20网段的静态路由，在核心交换机CORE上配置从CORE到VLANIF10网段的静态路由，实现跨网段通信。

配置步骤如下：

1、配置接入交换机ACC1

# 创建VLAN。

<HUAWEI> system-view //进入配置视图

[HUAWEI] sysname ACC1 //修改设备的名称为ACC1，便于识别

[ACC1] vlan batch 10 //批量创建VLAN 10

# 将接口加入相应VLAN。

[ACC1] interface gigabitethernet 1/0/1 //进入端交换机ACC1的1/0/1端口

[ACC1-GigabitEthernet1/0/1] port link-type access //将与用户相连接口的接口类型设置为access

[ACC1-GigabitEthernet1/0/1] port default vlan 10 //将用户划分到VLAN 10

[ACC1-GigabitEthernet1/0/1] quit

[ACC1] interface gigabitethernet 1/0/2 //进入端交换机ACC1的1/0/2端口

[ACC1-GigabitEthernet1/0/2] port link-type trunk //将与汇聚交换机相连接口的接口类型设置为trunk

[ACC1-GigabitEthernet1/0/2] port trunk allow-pass vlan 10 //透传VLAN 10到汇聚交换机AGG

[ACC1-GigabitEthernet1/0/2] quit

2、配置接入交换机ACC2

# 创建VLAN。

<HUAWEI> system-view

[HUAWEI] sysname ACC2 //修改设备的名称为ACC2

[ACC2] vlan batch 20 //批量创建VLAN 20

# 将接口加入相应VLAN。

[ACC2] interface gigabitethernet 1/0/1 //进入端交换机ACC2的1/0/1端口

[ACC2-GigabitEthernet1/0/1] port link-type access //将与服务器相连接口的接口类型设置为access

[ACC2-GigabitEthernet1/0/1] port default vlan 20 //将用户划分到VLAN 20

[ACC2-GigabitEthernet1/0/1] quit

[ACC2] interface gigabitethernet 1/0/2 //进入端交换机ACC2的1/0/2端口

[ACC2-GigabitEthernet1/0/2] port link-type trunk //将与核心交换机相连接口的接口类型设置为trunk

[ACC2-GigabitEthernet1/0/2] port trunk allow-pass vlan 20 //透传VLAN 20到核心交换机

[ACC2-GigabitEthernet1/0/2] quit

3、配置汇聚交换机AGG

# 创建VLAN。

<HUAWEI> system-view

[HUAWEI] sysname AGG //修改设备的名称为AGG

[AGG] vlan batch 10 30 //批量创建VLAN 10和VLAN 30

# 将接口加入相应VLAN。

[AGG] interface gigabitethernet 1/0/2

[AGG-GigabitEthernet1/0/2] port link-type trunk //将接口类型设置为trunk

[AGG-GigabitEthernet1/0/2] port trunk allow-pass vlan 10 //透传用户的VLAN 10

[AGG-GigabitEthernet1/0/2] quit

[AGG] interface gigabitethernet 1/0/3

[AGG-GigabitEthernet1/0/3] port link-type trunk //将接口类型设置为trunk

[AGG-GigabitEthernet1/0/3] port trunk allow-pass vlan 30 //透传和核心交换机互连的VLAN 30

[AGG-GigabitEthernet1/0/3] quit

# 创建VLANIF10并配置对应的IP地址，作为用户的网关。

[AGG] interface vlanif 10 //创建VLANIF10接口

[AGG-Vlanif10] ip address 10111 24 //配置IP地址，此IP地址是用户的网关地址

[AGG-Vlanif10] quit

# 创建VLANIF30和对应的IP地址。

[AGG] interface vlanif 30 //创建VLANIF30接口

[AGG-Vlanif30] ip address 1010301 24 //配置互连的IP地址，此IP地址不能和用户、服务器的IP地址冲突

[AGG-Vlanif30] quit

# 配置静态路由，使用户PC可以访问服务器。

[AGG] ip route-static 19216810 2552552550 1010302

//目的IP是19216810/24网段的报文，转发下一跳是核心交换机VLANIF30的IP地址1010302

4、配置核心交换机CORE

# 创建VLAN。

<HUAWEI> system-view

[HUAWEI] sysname CORE //修改设备的名称为CORE

[CORE] vlan batch 20 30 //批量创建VLAN 20和VLAN 30

# 将接口加入相应VLAN。

[CORE] interface gigabitethernet 1/0/2

[CORE-GigabitEthernet1/0/2] port link-type trunk //将接口类型设置为trunk

[CORE-GigabitEthernet1/0/2] port trunk allow-pass vlan 20 //透传服务器的VLAN 20

[CORE-GigabitEthernet1/0/2] quit

[CORE] interface gigabitethernet 1/0/3

[CORE-GigabitEthernet1/0/3] port link-type trunk //将接口类型设置为trunk

[CORE-GigabitEthernet1/0/3] port trunk allow-pass vlan 30 //透传和汇聚交换机互连的VLAN 30

[CORE-GigabitEthernet1/0/3] quit

# 创建VLANIF20并配置对应的IP地址，作为服务器的网关。

[CORE] interface vlanif 20 //创建VLANIF20接口

[CORE-Vlanif20] ip address 19216811 24 //配置IP地址，此IP地址是服务器的网关地址

[CORE-Vlanif20] quit

# 创建VLANIF30和对应的IP地址。

[CORE] interface vlanif 30 //创建VLANIF30接口

[CORE-Vlanif30] ip address 1010302 24 //配置互连的IP地址

[CORE-Vlanif30] quit

# 配置静态路由，使服务器和访问用户PC。

[CORE] ip route-static 10110 2552552550 1010301

//目的IP是10110/24网段的报文，转发下一跳是汇聚交换机VLANIF30的IP地址1010301

5、检查配置结果

在VLAN 10中的用户PC上配置IP地址为10112/24，缺省网关为VLANIF10接口的IP地址10111。

在VLAN 20中的服务器上配置IP地址为19216812/24，缺省网关为VLANIF20接口的IP地址19216811。

配置完成后，VLAN 10内的用户PC与VLAN 20内的服务器能够相互访问。

整体的思路就是，将相连的交换机之间，创建了多个vlanif（三层接口），相当于桥梁，便于vlan10与vlan20之间的通信。这种思路在大型网络通信中会频率的用到。

这里面补充下：

什么是vlanif？它与vlan的区别？

有不少朋友多次问到这个vlanif接口，这里面弱电君补充下：

vlanif就是创建三层接口时来用的，它是虚接口，可以配置IP地址；而vlan就是纯属二层vlan ID标识符，相当于对数据打标签。

划分VLAN后，同一VLAN内的用户可以互相通信，但是属于不同VLAN的用户不能直接通信。为了实现VLAN间通信，可通过配置逻辑的三层接口（VLANIF接口）来实现。

当交换机需要与网络层的设备通信时，可以在交换机上创建基于VLAN的VLANIF接口，用于通信，所以文中配置了多个vlanif，可以把vlanif想象成路由器的一个端口就更加容易理解了。