这是b站上的一个视频，演示了如何搭建一个典型的中小网络，供企业使用

一、上行端口：上行端口就是连接汇聚或者核心层的口，或者是出广域网互联网的口。也可理解成上传数据的端口。

二、下行端口：连接数据线进行下载的端口。实现移动设备与计算机连接进行数据的下载传输。

通俗的说

根据设备所处的位置，确定设备的上行口，下行口。假如以简单的路由器设备来说，总部到分支网络结构为例，在分支部门，路由器与总部相连的专用光纤线路，即为上联口（上行口），而路由器与分支部门的交换机互联接口，即为下联口（下行口）。
同样，此种环境下，交换机与路由器相连的口，即为交换机的上联口，而交换机与接入交换机的互联口即为下联口。

一般来说，路由器的WAN口为上行口，连接宽带。LAN口为下行口，连接计算机等终端。 

网络拓扑图 

一、配置前的准备：

1.连接线

使用console线配置交换机路由器等

调试线：一般使用USB转232线，232转rj45水晶头线。

两根线结合，连接电脑和设备后，使用调试软件即可，也可以不使用console线，使用蓝牙连接

2.配置软件

常用的软件有SecureCRT、Xshell、PuTTY、MobaXterm

SecureCRT：实用的终端仿真软件，界面简洁、操作简便、易于上手

连接设备后，打开设备管理器，记住连接的端口COM*

打开CRT软件，新建连接 

 

添加网段后的拓扑图 

二、配置防火墙

1.配置外网接口，自动获取IP地址

int g1/0/5 
ip add dhcp-alloc
q

2.配置内网接口

int g1/0/0
ip add 172.16.1.1 24
service-manage all permit
q

3.把接口加入安全区域

外网加入untrust区域，内网加入trust区域

firewall zone untrust
add int g1/0/5
q
firewall zone trust
add int g1/0/0
q

4.配置nat策略 

[USG6300]nat-policy
[USG6300-policy-nat]rule name Internet
[USG6300-policy-nat-rule-Internet]source-zone trust
[USG6300-policy-nat-rule-Internet]destination-zone untrust
[USG6300-policy-nat-rule-Internet]action source-nat easy-ip
[USG6300-policy-nat-rule-Internet]quit
[USG6300-policy-nat]quit
[USG6300]

5.配置安全策略

//这里做一个简单配置，放通trust区域到untrust区域的流量
[USG6300]security-policy
[USG6300-policy-security]rule name trust2untrust
[USG6300-policy-security-rule-trust2untrust]source-zone trust
[USG6300-policy-security-rule-trust2untrust]destination-zone untrust
[USG6300-policy-security-rule-trust2untrust]action permit
[USG6300-policy-security-rule-trust2untrust]quit
[USG6300-policy-security]quit
[USG6300]

6.配置回程路由（添加到核心交换机上两个网段的回程路由）

//添加回程路由(去往192.168.10.0这个网段，下一跳的目的地时172.16.1.2)
[USG6300]ip route-static 192.168.10.0 24,172.16.1.2
[USG6300]ip route-static 192.168.11.0 24 172.16.1.2

三、配置核心交换机

1.上行口和下行口配置

交换机直接和路由器连接的端口不能直接设置IP地址，可以设置一个vlan，并给vlan设置一个地址，将接口划分到这个vlan，这样变相的给上行口设置IP地址。

如果交换机支持切换成为三层口模式，也可以直接配置IP地址

//核心交换机的配置
[HUAWEI]sysname Core_SW
[Core_SW]int g1/0/1
[Core_SW-GigabitEthernet1/0/1]undo portSWitch
//交换机上行口不支持切换为三层口模式
Error: Unrecognized command found at 'A' position.
[Core_SW-GigabitEthernet1/0/1]quit
//创建vlan
[Core_SW]vlan 999
[Core_SW-vlan999]quit
[core_SW]int vlan 999
[Core_SW-vlanif999]ip add 172.16.1.2 24
[Core_SW-Vlanif999]quit
[Core_SW]int g1/0/1
[Core_SW-GigabitEthernet1/0/1]port link-t acc
[Core_SW-GigabitEthernet1/0/1]port def vlan 999
[Core_SW-GigabitEthernet1/0/1]quit
//尝试是否可以与防火墙内网地址通讯
[Core_SW]ping 172.16.1.1//添加去往外网的路由表
[Core_SW]ip route-s 0.0.0.0 0 172.16.1.1
//创建vlan对应拓扑图上规划的网段
[Core_SW]vlan batch 10 11
[Core_SW]int vlan 10
[Core_SW-Vlanif10]ip add 192.168.10.1 24
[Core_SW-Vlanif10]quit
[Core_SW]int vlan 11
[Core_SW-Vlanif11]ip add 192.168.11.1 24
[Core_SW-Vlanif11]quit//设置与华三交换机连接的两个端口,这里将华三交换机设置为傻瓜交换机使用，所以接口设置为access类型
[Core_Sw]int g1/0/23
[Core_SW-GigabitEthernet1/0/23]port link-t acc
[Core_SW-GigabitEthernet1/0/23]port def vlan 10
[Core_SW-GigabitEthernet1/0/23]int g1/0/24
[Core_SW-GigabitEthernet1/0/24]port link-t acc
[Core_SW-GigabitEthernet1/0/24]port def vlan 11

2.开启DHCP

通过核心交换机分配IP地址

dhcp enable
ip pool vlan10
network 192.168.10.0 mask 24
gateway 192.168.10.1
dns-list 114.114.114.114
quit
interface Vlanif 10
dhcp select globalip pool vlan11
network 192.168.11.0 mask 24
gateway 192.168.11.1
dns-list 114.114.114.114
quit
interface Vlanif 11
dhcp select global

以上配置后，可以连接主机，查看是否实现自动分配了IP地址，访问外网功能