华为USG防火墙配置---案例一(单墙单出口,源NAT上网)

最新推荐文章于 2024-09-23 10:21:46 发布
最新推荐文章于 2024-09-23 10:21:46 发布
阅读量4.5k 收藏 19
点赞数 3
分类专栏: 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZhouGuo520/article/details/106943449
版权

案例一拓扑

  • 案例一:用户单出口连接到电信DX,防火墙FW1,局域网内交换机SW;
    电信提供的地址如下 ip:200.1.1.1-4/24,网关:200.1.1.5
    局域网规划172.16.0.0/16,可以细化到单个C地址,见交换机SW配置。
    防火墙FW1配置如下
  1. 配置防火墙与电信接口互联ip描述等。
interface GigabitEthernet1/0/0
description To:DX
undo shutdown
ip address 200.1.1.1 255.255.255.0
  1. 配置防火墙与局域网交换机互联,并开启ping和https管理功能策略(必须在这里开启,普通的安全策略无效)。
interface GigabitEthernet1/0/5
description To:SW
 undo shutdown
 ip address 172.16.1.1 255.255.255.252
 service-manage ping permit
 service-manage https permit
  1. 配置静态路由指向电信和局域网。
ip route-static 0.0.0.0 0.0.0.0 200.1.1.5
ip route-static 172.16.0.0 255.255.0.0 172.16.1.2
  1. 配置安全策略允许局域网地址段访问互联网(按需配置放行地址段)。
security-policy
 rule name trust_untrust
  source-zone trust
  destination-zone untrust
  source-address 172.16.2.0 mask 255.255.255.0
  action permit
  1. 配置电信给的地址池,用于局域网用户nat访问电信互联网,下一步见步骤6.
    (当电信只提供1个IP时,或者只使用1个IP访问互联网,无需配置此步,下一步见步骤7.)。
nat address-group DXaddr 0
 mode pat
 route enable
 section 0 200.1.1.2 200.1.1.4
  1. 配置NAT策略,调用电信地址池,使局域网能NAT访问互联网(至此防火墙配置完成)
 nat-policy
 rule name vlan2
  source-zone trust
  destination-zone untrust
  source-address 172.16.2.0 mask 255.255.255.0
  action source-nat address-group DXaddr
  1. 配置NAT策略(1个电信地址的情况),使是局域网能NAT访问互联网。(至此防火墙配置完成)
nat-policy
 rule name trust_untrust
  source-zone trust
  destination-zone untrust
  source-address 172.16.2.0 mask 255.255.255.0
  action source-nat easy-ip

交换机SW配置如下

配置接口互联接口dhcp,vlan,ip pool,interface vlan ,默认路由

dhcp enable

vlan batch 2 1601
#
ip pool vlan2
 gateway-list 172.16.2.254
 network 172.16.2.0 mask 255.255.255.0
 dns-list 172.16.1.1

 interface Vlanif2
 ip address 172.16.2.254 255.255.255.0
 dhcp select global

interface Vlanif1601
 ip address 172.16.1.2 255.255.255.252

 interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 1601

interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
 
 ip route-static 0.0.0.0 0.0.0.0 172.16.1.1
ZhouGuo@
关注
专栏目录
华为USG防火墙配置---案例三(1)(单墙负载多出口NAT上网)--基于地址策略路由
ZhouGuo520的博客
07-09 3609
案例三:用户多出口连接到电信DX和移动YD,防火作为出口互联设备。 电信提供的地址如下 ip:200.1.1.1-4/24,网关:200.1.1.5 电信提供的地址如下 ip:119.1.1.1-4/24,网关:119.1.1.5 防火墙配置 ip-link健康检查俩ISP连路,实现冗余切换。 局域网规划172.16.0.0/16,可以细化到个C地址,交换机配置dhcp,vrrp和默认路由即可。 说明:防火墙与局域网互联配置vrrp 172.16.1.1-2 vip:172.16.1.3(交换机配置默..
华为USG防火墙配置---案例三(2)(单墙负载多出口NAT上网)--基于带宽/权重负载
ZhouGuo520的博客
12-21 2030
案例三(1):用户多出口连接到电信DX和移动YD,防火墙出口互联设备。 电信提供的地址如下 ip:200.1.1.1-4/24,网关:200.1.1.5 带宽100M 移动提供的地址如下 ip:119.1.1.1-4/24,网关:119.1.1.5 带宽50M防火墙配置:健康j监测俩ISP连路, 局域网规划172.16.0.0/16,可以细化到个C地址,交换机配置dhcp作为网关,默认路由指向防火墙即可。说明:防火墙与局域网互联配置 172.16.0.1/30(交换机配置默认路由指向这个地址) 交换..
华为USG防火墙典型配置案列
11-05
华为防火墙典型配置案例,主要介绍了防火墙NAT,HA,策略等功能的实际配置案例
华为USG防火墙配置实例
03-24
USG5500系列产品是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代电信级统一安全网关设备。可广泛应用于运营商、企业、政府、金融、能、学校等领域的网络边界。USG5500系列产品部署于网络出口处,有效阻止Internet上的黑客入侵、DDoS攻击,阻止内网用户访问非法网站,限制带宽,为内部网络提供一个安全可靠的网络环境。
防火墙详解(二)通过网页登录配置华为eNSP中USG6000V1防火墙
最新发布
Richardlygo的博客
09-23 8514
配置步骤步骤一打开eNSP,建立如下拓扑。防火墙使用:USG6000V1。Cloud的作用是通过它可以连接本地的网卡,然后与我们的电脑进行通信。由于防火墙USG6000V,不能直接开启,需要的导入包,所以需要在华为官网下载USG6000V1的导入包进行导入。导入包建议放在eNSP根目录下即可。
华为USG6000V防火墙telnet+安全策略!!!
林奋斗的博客
06-16 4820
实验拓扑 实验要求: 实现在内部的clound1上可以telnet、ssh以及web方式访问防火墙 实现内部的pc1可以访问外部的pc2,而pc3不可以访问 实现外部的pc2可以访问dmz中的服务器(ftp,http以及icmp) 一、配置防火墙允许telnet 1)配置接口ip [USG6000V1]int g0/0/0 [USG6000V1-GigabitEthernet0/0/0]ip add 192.168.0.1 24 [USG6000V1]int g1/0...
华为USG防火墙DHCP配置
热门推荐
lzwq1288的博客
01-17 1万+
该场景,防火墙作为出口访问 internet,然后接的傻瓜式交换机来连接下面的办公 PC,属于一个简的 SOHO 环境,一般在防火墙上面应用 DHCP,也通常是这种情况,大点的环境则是交换机或者专门的 DHCP 服务器来做。 1、防火墙初始化配置 2、DHCP 配置(基于全局的配置方式) 3、防火墙策略+NAT 配置,让下面 PC 能够访问 Internet。 4、测试 1、防火墙初始化配置 ...
USG6331E命令行显示nat server配置情况
u010674101的专栏
06-24 1143
nat server端口映射,配置为公网9999端口映射为内网某机器80端口 #nat server 端口映射禁用状态 nat-disable : 01 [USG6300E]dis nat ser 2021-06-24 18:01:35.100 +08:00 Server in private network information: Total 1 NAT server(s) server name : policy_web id
HUAWEI 防火墙 综合配置案例.zip
11-23
2021年HUAWEI 防火墙 综合配置案例.内容丰富
华为USG5500防火墙配置实验一.pdf
11-18
华为USG5500防火墙配置实验一.pdf
华为USG6600防火墙NAT地址转换配置实例.pdf
11-26
华为USG6600防火墙NAT地址转换配置实例.pdf
华为USG防火墙配置---案例二(双墙主备出口NAT上网)
ZhouGuo520的博客
06-24 4246
防火墙FW1配置如下: ip-link check enable ip-link name dx destination 200.1.1.5 mode icmp # hrp enable hrp interface GigabitEthernet1/0/1 remote 1.1.1.2 hrp track ip-link dx # interface GigabitEthernet1/0/0 undo shutdown ip address 200.1.1.1 255.255.255.0 # interf.
华为防火墙USG63331E系列记录1
u010674101的专栏
04-25 363
#进入5接口配置 dns interface GigabitEthernet0/0/5 undo dhcp server dns-list 192.168.5.1 dhcp server dns-list 202.96.128.86 202.96.134.133 114.114.114.114 [USG6300E-GigabitEthernet0/0/5]dis this 2021-0...
华为防火墙,如何配置禁止一网段IP上网
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
03-29 1万+
环境: 华为USG6311E VRP ® Software, Version 5.170 (USG6300E V600R007C00SPC200) V200R007C00SPC091 问题描述: 华为防火墙,如何配置禁止一网段IP上网 解决方案: 1.新建要禁止的对象,假设为名称为1禁内容为192.168.1.2、、、192.168.1.250 2.策略-新建安全策略,最后动作选禁止,确定就完成配置 3.如后期新上线ip为192.168.1.33是在禁止对象里面的,他开始是不能上网,要将它从对象内容删除
华为防火墙出口,如何配置指定IP访问特定目的地址的流量自动转发至指定出口
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
03-10 2524
环景: 华为USG6311E VRP ® Software, Version 5.170 (USG6300E V600R007C00SPC200) V200R007C00SPC091 电信宽带:拨号 接口:0/0/8 联通宽带:固定IP 12.25.35.xx 接口:0/0/9 内网接口0/0/3 问题描述: 华为防火墙出口,如何配置内网特定一个IP :192.168.200.16主机,访问公网云服务器ip:45.56.X.X的流量走指定联通出口,访问云服务器ip以外任何地址的流量走原来电信出口,原来有一
华为防火墙网管配置实例
永远是少年
07-25 2571
今天给大家带来华为USG6000防火墙的网管配置实例。本文简的搭建了一个实验拓扑图,通过配置,实现了对华为防火墙的Telnet管理配置、SSH管理配置和Web管理配置。 一、实验拓扑及目的 实验拓扑如上所示,要求对防火墙FW1进行合适的配置,以实现Telnet、SSH和Web的网管功能。 二、实验配置命令 (一)配置思路 上述三种网关方式,配置思路大致上是一致的,具体流程如下: 1、开启相应服务 2、aaa配置用户 3、user-interface vty配置登录 4、接口使能网管 除了上述过程外,在配
VLAN与Trunk的配置
SxinY626的博客
05-29 1695
在传统的交换式以太网中,所有的用户在同一个广播域中,当网络规模较大时,广播包的数量就会急剧增加,当广播包的数量占到总量的30%时,网络的传输效率将会明显下降。VLAN Trunk(虚拟局域网中继技术),为交换机中的VLAN通信,只使用一条链路,且通过标识来区分不同的VLAN数据。:将网络从物理上划分为若干个小网络,然后使用能隔离广播的路由设备将不同的网络连接起来实现通信。静态VLAN也称基于端口的VLAN是目前常见的VLAN实现方式。:将网络从逻辑上划分为若干个小的虚拟网络,即VLAN。
华为防火墙的负载均衡
Tony_long7483的博客
05-31 4120
1.配置内网IP地址 [FW1-GigabitEthernet1/0/1]ip add 10.1.1.1 24 [FW1-GigabitEthernet1/0/1]service-manage ping permit //接口放行ping命令,以便测试 2.配置外网IP地址及其互通 [FW1-GigabitEthernet1/0/2]ip add 20.1.1.1 24 [FW1-GigabitEthernet1/0/2]service-manage ping permit [AR1-Gigabit.
华为防火墙USG6300轻松4步配置
04-30 1万+
华为防火墙配置包可以用。版本信息:USG6300 V100R001C30SPC600,轻松4步,实现安全防护 1.登录默认admin admin,你需要查到管理口,就是0口,这个点很重要。 2.接口地址配置 3.NAT地址转换,可以是接口地址也可以自己定义pool。 4.静态映射 5.安全策略,要不没有策略防火墙就没有太大的作用了。默认一定停掉,这样防火墙才能启动保护小弟...
华为usg防火墙pool nat配置实验
06-09
好的,我可以为你提供一些关于华为USG防火墙PoolNAT配置的实验步骤。下面是具体步骤: 1. 首先,登录到华为USG防火墙的Web管理界面,并选择“配置向导”选项卡。 2. 在“配置向导”页面中,选择“网络配置”选项...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值