华为防火墙路由模式配置(二)

最新推荐文章于 2024-04-14 19:25:46 发布
最新推荐文章于 2024-04-14 19:25:46 发布
阅读量1.5k 收藏 6
点赞数
文章标签: 华为
原文链接:https://blog.csdn.net/WannaHaha/article/details/108200282
版权

实验目的:

掌握简单配置防火墙路由模式的操作方法

网络地址及拓扑结构:

配置要求:

1、lan、branch office可以访问wan、dmz;

2、wan可以访问dmz,不能访问lan;

 

配置操作

一、PC1

二、SERVER1

三、AR1

<Huawei>sys                            //进入系统视图
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en                   //取消命令提示说明
Info: Information center is disabled.
[Huawei]sysname AR1              //修改路由器的设备名称
[AR1]int gi 0/0/0                  //进入接口视图
[AR1-GigabitEthernet0/0/0]ip addr 10.1.1.2 24               //配置接口IP
[AR1-GigabitEthernet0/0/0]q                       //返回系统视图
[AR1]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1              //配置缺省静态路由

 

四、branch office配置

(1)PC2:

(2)L2-SW配置

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]sysname L2-SW
[L2-SW]vlan 100
[L2-SW-vlan100]q
[L2-SW]int gi 0/0/2
[L2-SW-GigabitEthernet0/0/2]port link-type access
[L2-SW-GigabitEthernet0/0/2]port default vlan 100
[L2-SW-GigabitEthernet0/0/2]int gi 0/0/1
[L2-SW-GigabitEthernet0/0/1]port link-type trunk
[L2-SW-GigabitEthernet0/0/1]port trunk allow-pass vlan 100
[L2-SW-GigabitEthernet0/0/1]

(3)L3-SW配置

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[SW]sysname L3-SW
[L3-SW]vlan 100                     //分支机构局域网vlan100
[L3-SW-vlan100]q
[L3-SW]int gi 0/0/2       //下连L2-SW
[L3-SW-GigabitEthernet0/0/2]port link-type trunk
[L3-SW-GigabitEthernet0/0/2]port trunk allow-pass vlan 100
[L3-SW-GigabitEthernet0/0/2]int gi 0/0/1           //上连FW
[L3-SW-GigabitEthernet0/0/3]port link-type access
[L3-SW-GigabitEthernet0/0/3]q
[L3-SW]vlan 300          //上连接口vlan
[L3-SW-vlan300]Q
[L3-SW]int gi 0/0/3   //上连/接口
[L3-SW-GigabitEthernet0/0/3]port link-type access
[L3-SW-GigabitEthernet0/0/3]port default vlan 300
[L3-SW-GigabitEthernet0/0/3]q
[L3-SW]int vlanif 300                   //上连/接口地址
[L3-SW-Vlanif300]ip addr 192.168.20.2 24 //上连/接口地址
[L3-SW-Vlanif300]q
[L3-SW]int vlanif 100       //局域网vlan
[L3-SW-Vlanif100]ip addr 192.168.1.1 24      //局域网vlan100的网关
[L3-SW-Vlanif100]q
[L3-SW]ip route-static 0.0.0.0 0.0.0.0 192.168.20.1  //配置缺省路由

(4)分支机构局域网配置验证

 

五、防火墙FW配置

<USG6000V1>system-view //进入管理视图
[USG6000V1]sysname FW1 //修改防火墙的设备名称
[FW1]un in en //关闭信息提示
[FW1]interface GigabitEthernet 1/ 0/ 0 //进入LAN接口配置
[FW1-GigabitEthernet1/0/1]ip address 192.168. 10.1 24 //设置IP及子网
[FW1-GigabitEthernet1/0/1]service-manage ping permit //此接口允许PING通过
[FW1-GigabitEthernet1/0/1]quit //退出接口配置
[FW1]interface GigabitEthernet 1/ 0/ 1 //进入DMZ接口配置
[FW1-GigabitEthernet1/0/2]ip address 10.10. 10.1 24
[FW1-GigabitEthernet1/0/2]service-manage ping permit
[FW1-GigabitEthernet1/0/2]quit
[FW1]interface GigabitEthernet 1/ 0/ 2 //进入WAN接口配置
[FW1-GigabitEthernet1/0/3]ip address 10.1. 1.1 24
[FW1-GigabitEthernet1/0/3]service-manage ping permit
[FW1-GigabitEthernet1/0/3]quit
[FW1]interface GigabitEthernet 1/ 0/ 3 //进入branch office接口配置
[FW1-GigabitEthernet1/0/3]ip address 192.168. 20.1 24
[FW1-GigabitEthernet1/0/3]service-manage ping permit
[FW1-GigabitEthernet1/0/3]quit
[FW1]
[FW1]firewall zone trust //进入安全域配置
[FW1-zone-trust]add interface GigabitEthernet 1/ 0/ 0 //把LAN接口加入到该安全域中
[FW1-zone-trust]add interface GigabitEthernet 1/ 0/ 3 //把branch office接口加入到该安全域中
[FW1-zone-trust]quit //退出安全域配置
[FW1]firewall zone dmz
[FW1-zone-dmz]add interface GigabitEthernet 1/ 0/ 1
[FW1-zone-dmz]quit
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface GigabitEthernet 1/ 0/ 2
[FW1-zone-untrust]quit
[FW1]
[FW1]security-policy //进入安全策略配置
[FW1-policy-security]rule name lan_wan_dmz //创建名为lan_wan_dmz的策略规则
[FW1-policy-security-rule-lan_wan_dmz]source-zone trust //策略中的源安全域
[FW1-policy-security-rule-lan_wan_dmz]destination-zone dmz //策略中的目标安全域
[FW1-policy-security-rule-lan_wan_dmz]destination-zone untrust
[FW1-policy-security-rule-lan_wan_dmz]action permit //启动策略规则
[FW1-policy-security-rule-lan_wan_dmz]quit //退出策略规则
[FW1-policy-security]rule name wan_dmz
[FW1-policy-security-rule-wan_dmz]source-zone untrust
[FW1-policy-security-rule-wan_dmz]destination-zone dmz
[FW1-policy-security-rule-wan_dmz]action permit
[FW1-policy-security-rule-wan_dmz]quit
[FW1-policy-security]quit
[FW1]
[FW1]ip route-static 192.168. 10.0 24 192.168. 10.2 //配置到LAN的静态路由
[FW1]ip route-static 10.10. 10.0 24 10.10. 10.2 //配置到DMZ的静态路由
[FW1]ip route-static 10.1. 1.0 24 10.1. 1.2 //配置到WAN的静态路由
[FW1]ip route-static 192.168. 20.0 24 192.168. 20.2 //配置到branch office的静态路由
[FW1]ip route-static 192.168. 10.0 24 192.168. 20.2 //配置到分支局域网的静态路由
[FW1]quit //退出系统视图
<FW1>save //保存系统配置

 

六、验证配置

1、lan、branch office可以访问wan、dmz;

2、wan可以访问dmz,不能访问lan;

 

注意:

1、两个trust接口之间是互通的

2、不能直接用FW上的默认0/0/0接口,因为里面默认就有配置,除非undo掉默认配置

3、不知道为啥,在FW上不能ping通L3-SW的相邻接口,但是在L3-SW上可以ping通FW上的,是L3-SWvlanif接口默认禁ping?

难道是因为这条静态路由?

 

思考:

能不能让FW和L3-SW之间运行ospf?

 

 

 

 

 

bdc5228
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
华为防火墙配置基于静态路由的GRE隧道.pdf
05-12
华为防火墙配置基于静态路由的GRE隧道.pdf
华为防火墙路由模式配置(一)
bdc5228的博客
01-06 6304
数通
eNSP防火墙配置实验(trust、DMZ、untrust)
最新发布
chlu520的专栏
04-14 3332
FW1-policy-security-rule-shangwang]destination-zone untrust #目的区域为外网区域。[FW1-policy-security-rule-shangwang]source-zone trust #源区域为内网区域。[FW1-policy-security-rule-fwq]source-zone untrust #源区域为内网区域。[FW1-policy-security-rule-fwq]source-zone trust #源区域为内网区域。
防火墙的一些主流技术
qq_51563725的博客
09-09 1397
答:个别区域无法上网,说明有些区域是可以上网的,说明只是防火墙的策略问题,我们可以去 检查防火墙的策略,检查防火墙是否放行这个区域的流量,如果策略也配置好还是无法上 网,此时可能是内网某段的路由问题,可以从从终端逐级的ping看能不能通,直至某段不通 说明问题就出现在那,便可以查看路由。接口对:接口对是指两个接口,它有两种模式:一种是流量可以从一个接口只能出不能进,一个能进不能出,还有一个模式是流量可以从一个接口能进能出。
华为防火墙基础操作
斜尘的博客
07-23 7047
一、交代背景 做过一段时间的售后实施,发现防火墙设备上架真的很简单,但是对于没有入门的人来说也会有一定的不理解,初次上线我到底该做什么呢? 这个也是我当初开始做的时候的问题,当然了,初始都是利用web界面去操作,但是界面上面那么多的内容,哪些是我该做的呢? 某年某月的有一天,我信心满满的web界面一顿操作,然后客户来了,说我不喜欢web,你给我看配置,这就尴尬了,配置我不会,只知道点点点,怎么杜绝...
防火墙ip配置
m0_64771829的博客
01-25 554
配置dmz区域IP地址,同时启用管理勾选ping命令方便检测。7.进入安全区域,创建生产区和办公区,以便于将细化管理。1.首先在交换机7上创建vlan 2 3 命令如下。2.分别进入0/0/3 和0/0/2接口。9.通过ping命令测试是否通路。5.进入防火墙开启web服务。如图所示需要配置该拓扑的ip。6.进入防火墙后台,配置ip。4.进入0/0/1接口。3.定义所属vlan。以上是配置防火墙ip。
华为防火墙配置虚拟防火墙举例(路由模式)
11-19
本文详细描述了华为防火墙路由模式配置虚拟防火墙的用途和配置命令及命令的用途
华为防火墙典型配置案例
09-12
华为防火墙典型配置案例,可以通过具体的举例,更顺利的配置和管理防火墙
网络设备主备配置系列3华为防火墙(路由模式)整理.pdf
12-05
网络设备主备配置系列3华为防火墙(路由模式)整理.pdf
华为防火墙双机热备配置及组网.doc
10-07
"华为防火墙双机热备配置及组网" 华为防火墙双机热备配置是一种冗余备份的功能,旨在提供防火墙的高可用性和避免业务中断。在防火墙双机热备组网中,分为路由模式下的双机热备组网和透明模式下的双机热备组网。下面...
防火墙典型配置案例
10-29
华为防火墙配置案例 包括路由模式、透明模式、旁路模式配置
案例章节:华为防火墙NAT策略配置
Mr.李的博客
04-15 4179
前言 上一章说过了NAT的管理方式,现在主要针对NAT No-PAT,NAPT,Easy_ip进行配置 NAT No - PAT 网络哟拓扑如下: (1)配置网络参数及路由 <USG6000V1>sys Enter system view, return user view with Ctrl+Z. [USG6000V1]undo info en Info: Information ...
华为防火墙区域配置
qq_45049184的博客
11-03 4210
防火墙区域配置 1、trust区域内的R1的L0和L1接口能访问DMZ区域的web服务器 2、trust区域内的R1的L2和L3接口能访问DMZ区域的ftp服务器 3、位于untrust区域的全部环回口都能够访问dmz区域的web服务器和ftp服务器 4、rust区域的环回口能访问untrust区域
华为路由器:BFD技术——静态路由与BFD联动实现主备切换
迷逝
11-11 1万+
案例一 R1 The device is running! <Huawei>sys Enter system view, return user view with Ctrl+Z. [Huawei]un in en Info: Information center is disabled. [Huawei]sys R1 [R1]int g0/0/1 [R1-GigabitEthernet0/0/1]ip add 12.1.1.1 24 [R1-GigabitEthernet0/0/1]q
eNSP简单实现DHCP
学习永无止境
03-26 780
拓扑结构如上所示。对AR1的配置如下所示: <Huawei>sys [Huawei]dhcp enable [Huawei]int g 0/0/0 [Huawei-GigabitEthernet0/0/0]ip add 192.168.10.1 24 [Huawei-GigabitEthernet0/0/0]quit //需要配置DHCP网络地址池,即该DHCP服务器可以用来分配的地址有哪些 [Huawei]ip pool pool666 [Huawei-ip-pool-pool666]n.
华为防火墙基础
weixin_45123715的博客
08-02 2628
判断一个网络的安全性: 1.数据机密性 2.数据完整性 3.高可用性 防火墙主要用于保护一个网络区域免受另一个网络区域的网络攻击和网络入侵行为,同时允许两个网络之间进行合法的通信 防火墙与交换机、路由器对比: 交换机:汇聚组建局域网,、三层快速转发报文 路由器:寻址和转发,保证网络互联互通 防火墙:控制报文转发,防攻击病毒木马 路由器与交换机的本质是转发,防火墙是控制 防火墙路由器实现安全控制的区别: 防火墙分类: 1.按照形态分为:硬件防火墙、软件防火墙 2.按照保护对象分为:单机防火墙、网络防火墙
ENSP-----华为USG6000防火墙
qq_42761527的博客
02-11 8871
本篇来讲一下USG6000的各种配置命令,此外还有配置web登录和ssh登录 一.防火墙简介 防火墙的工作模式 路由模式:当防火墙处于内部网络和外部网络中间时,需要将防火墙的内部网络、外部网络、DMZ三个区域不同地址段的时候,这个时候防火墙首先是一台路由器,其后在提供其他的防火墙功能 透明模式华为防火墙和外层相连的时候,则防火墙处于透明模式下 混合模式:既处于路由接口模式又处于透明模...
防火墙配置【最详细的实验演示】
热门推荐
weixin_62107875的博客
09-08 2万+
2.如何进入防火墙防火墙的安全域 1.防火墙的5个安全域 2.如何自定义安全域3.接口加入安全域 ​4.防火墙配置接口ip 配置防火墙策略 1.内网到公网2.内网到服务器3.公网到服务器 4.内网到公网NAT转换 5.服务器映射
华为防火墙 入门
zzixwx的博客
10-08 579
防火墙入门配置
华为防火墙出口分流配置
04-12
华为防火墙的出口分流配置可以通过以下步骤进行: 1. 创建ACL(访问控制列表):ACL用于定义允许或拒绝通过防火墙的流量。可以使用命令`acl number [basic | advanced] acl-name`创建ACL。 2. 配置路由策略:路由...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值