【网络--实验】华三防火墙命令行调试实例

最新推荐文章于 2024-06-14 18:00:31 发布
最新推荐文章于 2024-06-14 18:00:31 发布
阅读量2w 收藏 225
点赞数 24
分类专栏: 网络 文章标签: dhcp 防火墙 h3c nat 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43017750/article/details/87557118
版权

华三防火墙作为互联网出口常见配置

1.案例分析
在这里插入图片描述这是一个典型的无DMZ区网络,通常发生在业主仅仅只有上外网需求的情况下。

我的规划是:
1.互联网交换机到内网主机这一块区域使用默认vlan1,以方便业主后期上网主机增多的情况。

2.互联网防火墙到互联网交换机之间使用vlan2,互联地址为172.16.0.1和172.16.0.2

3.互联网防火墙和互联网交换机之间使用2层 access 口互联。

4.互联网交换机搭建dhcp服务器,分配地址段172.16.1.1/24 ,网关为172.16.1.254 ,dns地址为114.114.114.114 和 114.114.114.115,使用一天的租期

5.公网地址为100.1.1.1 和100.1.1.2

规划图如下:在这里插入图片描述2.实战开始:

2.1.配置互联网交换机

2.1.1互联网交换机DHCP功能

dhcp 配置:
<H3C>sys 
#进入系统视图                                                
[H3C]dhcp  enable
#启动DHCP服务                                                
[H3C]dhcp server ip-pool 1
#创建DHCP服务地址池1                                       
[H3C-dhcp-pool-1]network 172.16.1.1 mask  255.255.255.0          
# 配置DHCP地址池1使用网段172.16.1.0 使用掩码255.255.255.0
[H3C-dhcp-pool-1]gateway-list  172.16.1.254                      
# 配置DHCP地址池1使用网关地址 172.16.1.254 
[H3C-dhcp-pool-1]dns-list  114.114.114.114 114.114.114.115       
#配置DHCP地址池1分配dns地址 114.114.114.114  114.114.114.115
[H3C-dhcp-pool-1]expired day   1                                
 #配置DHCP地址池1分配地址租期为1天
[H3C]interface  Vlan-interface  1                              
#进入三层vlan1口
[H3C-Vlan-interface1]ip address  172.16.1.254 24               
#配置三层vlan口1使用IP地址:172.16.1.254 使用掩码24位
[H3C-Vlan-interface1]dhcp select server                                  
#配置三层vlan口1 启用DHCP服务器
[H3C-Vlan-interface1]dhcp server apply  ip-pool  1                       
#配置三层vlan口1分配DHCP服务器分配地址池1
[H3C-Vlan-interface1]quit                                                
#退出三层vlan口1

2.1.2 互联网交换机互联地址及路由配置

[H3C]vlan 2                                                
#创建vlan2
[H3C-vlan2]quit                                            
#退出vlan2
[H3C]interface  Vlan-interface 2                           
#进入三层vlan2口
[H3C-Vlan-interface2]ip address 172.16.0.2 30              
#给三层vlan2口配置IP地址172.16.0.2使用掩码长度30位
[H3C-Vlan-interface2]quit                                  
#推出三层vlan2口
[H3C]interface  GigabitEthernet  1/0/1                     
#进入接口千兆以太网1/0/1
[H3C-GigabitEthernet1/0/1]port link-mode bridge            
#配置千兆以太网口1/0/1,端口模式位桥接
[H3C-GigabitEthernet1/0/1]port link-type access            
#配置千兆以太网口1/0/1,端口链路类型位access
[H3C-GigabitEthernet1/0/1]port access  vlan  2             
#配置千兆以太网口1/0/1,access端口使用vlan2
[H3C-GigabitEthernet1/0/1]quit                             
#推出千兆以太网口1/0/1
[H3C]ip route-static 0.0.0.0 0 172.16.0.1                  
#配置IP静态路由去往所有网段,所有掩码的下一条地址位172.16.0.1

2.2 配置防火墙
提示:华三防火墙默认用户名为:admin 密码为:admin
2.2.1 配置接口地址及路由

<H3C>sys                                             
#进入系统视图
[H3C]vlan 2                                          
#创建vlan2
[H3C-vlan2]quit                                     
 #退出vlan2
[H3C]interface  Vlan-interface  2                    
#进入三层vlan2口
[H3C-Vlan-interface2]ip address 172.16.0.1 30        
#给三层vlan2口配置IP地址172.16.0.1使用掩码长度30位
[H3C-Vlan-interface2]quit                            
#退出三层vlan2口
[H3C]interface  GigabitEthernet  1/0/1              
 #进入接口千兆以太网1/0/1
[H3C-GigabitEthernet1/0/1]port link-mode bridge     
 #配置千兆以太网口1/0/1,端口模式位桥接
[H3C-GigabitEthernet1/0/1]port link-type access      
#配置千兆以太网口1/0/1,端口链路类型位access
[H3C-GigabitEthernet1/0/1]port access vlan  2       
 #配置千兆以太网口1/0/1,access端口使用vlan2
[H3C-GigabitEthernet1/0/1]quit                       
#退出千兆以太网口1/0/1
[H3C]ip route-static 172.16.1.0 24 172.16.0.2        
#配置IP静态路由去往网段172.16.1.0,子网掩码为24的网络 的下一条地址位172.16.0.2
[H3C]interface  Vlan-interface  1                   
 #进入三层vlan1口
[H3C-Vlan-interface1]ip address100.1.1.2 30         
 #给三层vlan1口配置IP地址172.16.0.1使用掩码长度30位
[H3C-Vlan-interface1]quit                            
#退出三层vlan1口
[H3C]interface  GigabitEthernet  1/0/0              
 #进入接口千兆以太网1/0/0
[H3C-GigabitEthernet1/0/0]port link-mode bridge      
#配置千兆以太网口1/0/0,端口模式位桥接
[H3C-GigabitEthernet1/0/1]port link-type access     
 #配置千兆以太网口1/0/0,端口链路类型位access
[H3C-GigabitEthernet1/0/0]quit                       
#退出千兆以太网口1/0/0
[H3C]ip route-static 0.0.0.0 0 100.1.1.1            
 #配置IP静态路由去往所有网段,所有掩码的下一条地址为100.1.1.1

2.2.2 配置安全区域及策略

[H3C]security-zone name Trust                                                 
#进入安全区域Trust区域(信任区域)
[H3C-security-zone-Trust]import  interface  Vlan-interface  2                 
#在安全区域Trust区域中引入三层vlan2口
[H3C-security-zone-Trust]quit                                                 
#退出安全区域Trust区域
[H3C]security-zone name  Untrust                                              
#进入安全区域Untrust区域(非信任区域)
[H3C-security-zone-Untrust]import  interface  Vlan-interface  1               
#在安全区域Untrust区域中引入三层vlan1口
[H3C-security-zone-Untrust]quit                                               
#退出安全区域Untrust区域
[H3C]object-group ip address  1                                               
#创建策略对象ip地址组1
[H3C-obj-grp-ip-1]network  subnet  172.16.1.1 24                              
#配置测了对象组1的网段为172.16.1.1 掩码为24位
[H3C-obj-grp-ip-1]quit                                                       
 #退出策略对象组1
[H3C]object-policy ip nat                                                     
#创建ipv4对象策略nat
[H3C-object-policy-ip-nat]rule pass source-ip  1                              
#配置ipv4对象策略nat ,规则位允许通过源ip位策略对象组1
[H3C-object-policy-ip-nat]quit                                                
#退出ipv4对象策略nat          
[H3C]zone-pair  security  source  Trust destination  Untrust                  
#配置从Trust到UnTrust的区域安全
[H3C-zone-pair-security-Trust-Untrust]object-policy  apply  ip nat            
#配置从Trust到UnTrust的区域安全,应用ipv4对象策略nat

3.代码共享
3.1 互联网交换机配置代码

sys
dhcp  enable
dhcp server ip-pool 1
network 172.16.1.1 mask  255.255.255.0
gateway-list  172.16.1.254
dns-list  114.114.114.114 114.114.114.115
expired day   1
interface  Vlan-interface  1
ip address  172.16.1.254 24
dhcp server apply  ip-pool  1
dhcp select server
quit
vlan 2
quit 
interface  Vlan-interface 2 
ip address 172.16.0.2 30
quit 
interface  GigabitEthernet  1/0/1 
port link-mode bridge 
port link-type access
port access  vlan  2
quit      
ip route-static 0.0.0.0 0 172.16.0.1

3.2 互联网防火墙代码

sys
vlan 2
quit
interface  Vlan-interface  2
ip address 172.16.0.1 30
quit
interface  GigabitEthernet  1/0/1
port link-mode bridge
port link-type access
port access vlan  2
quit
ip route-static 172.16.1.1 24 172.16.0.2
vlan 1
quit
interface  Vlan-interface  1
ip add 100.1.1.2 30
quit
interface  GigabitEthernet  1/0/0
port link-mode bridge
port link-type access
quit
ip route-static 0.0.0.0 0 100.1.1.1
security-zone name Trust
import  interface  Vlan-interface  2
security-zone name  Untrust
import  interface  Vlan-interface  1
object-group ip address  1
network  subnet  172.16.1.1 24
quit
object-policy ip nat
rule pass source-ip  1
quit
zone-pair  security  source  Trust destination  Untrust
object-policy  apply  ip nat
acl  basic  2000
rule permit  source  172.16.1.1 0.0.0.255
quit
interface Vlan-interface  1
nat outbound  2000
猫先生的早茶
关注
  • 24
    点赞
  • 225
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
华为H3C防火墙配置命令
wangkehengshuai的专栏
04-10 4122
H3CF100S配置 172.18.100.1 255.255.255.0 255.255.255.0 初始化配置 〈H3C〉system-view 开启防火墙功能 [H3C]firewall packet-filter enable [H3C]firewall packet-filter default permit 分配端口区域 [H3C] fir...
华三防火墙配置端口地址转换_H3C防火墙配置命令
weixin_39927144的博客
12-23 2595
H3C防火墙配置命令×××××××××××××××××××××××××××××××××××××××××××××××××××××××××××× 初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone...
实战篇【2】-H3C防火墙开局基础配置
weixin_47402139的博客
03-03 3450
本篇文章为“H3C防火墙开局基础配置”,主要涵盖配置管理地址、聚合端口、安全区域、安全策略、静态路由、ACL,WEB和SSH远程管理、Console、SNMP、NTP时钟、日志主机等内容,对比交换机配置开局,增加两处配置,安全区域和安全策略。方便调试人员远程管理、调试
华为防火墙配置简单综合案例
m0_74298658的博客
12-29 1968
华为防火墙配置简单综合案例
华三HCL模拟器安装及华三防火墙配置
最新发布
imtech的博客
06-14 1076
使用HCL模拟器其实可以做很多复杂的试验,是一个不错的选择。如果我选的话会选择HCL,二不是eNSP。HCL打开后会看到市场有一些工程,可以直接下载进行学习和实验。启动时候的欢迎画面截一下,很好看。
h3c BGP路由控制实验
h320758724的博客
04-30 3917
实验拓扑 BGP路由控制实验 图 1-1 注:如无特别说明,描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备,R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备,以此类推;另外,同一网段中,IP 地址的主机位为其设备编号,如 R3 的 g0/0 接口若在192.168.1.0/24 网段,则其 IP 地址为192.168.1.3/24 ,以此类推 实验需求 按照需求配置 IP 地址,R1 和 R4 配置环回口模拟业务网段,R2 和 R3 配置 Loop...
华三VSR镜像做BGP-EVPN实验
ledrsnet的博客
11-13 2562
华三VSR镜像做BGP-EVPN实验 1.H3C-VSR镜像使用 Vmware创建新虚拟机,开机配置挂载VSR的ISO镜像。 选择第一个初始化安装,yes重启(近第一次初始化安装时使用) 重启完成之后就可以使用了。 搭建如下拓扑每个互联网段都使用了一个独立的vmware虚拟网络。Vmnet1用于ssh登录和抓取端口镜像过来的流量。 2.BGP-EVPN同子网实验 2.1 路由配置: sysname CE1-Leaf1 # ospf 1 router-id 1.1.1.1 area 0.0.0.0
华为防火墙综合案例
2201_75774378的博客
12-31 1057
华为防火墙综合案例
hcl 华三模拟器登录防火墙web配置
weixin_48243774的博客
02-27 4675
Comware V5防火墙中存在区域优先级的概念,以及默认区域互访策略,即高优先级安全区域可以访问低优先级,低优先级区域不能访问高优先级区域,相同优先级区域可以互访,所有区域都可以访问local区域。将F1060的G1/0/1口与Host_1的NIC网卡相连,若没有网卡,可在VirtualBox中添加,在此不再赘述。启动命令行终端,以admin/admin登录,查看G1/0/1接口地址默认为192.168.0.1/24,如下图。上述配置将G1/0/1接口划到management域下,可以根据实际情况更改。
VLAN的原理及配置
weixin_71429850的博客
06-21 2976
VLAN原理及其配置 VLAN:将一个物理局域网在逻辑上划分成为多个广播域的技术端口的四种类型: 1.access:连接host(只能传递一个VLAN数据) 2.trunk:交换机与交换机之间(可以传递多个VLAN数据) 3.Hybrid:混杂模式 4.QinQ:多用于运行商边界 PVID(port vlan id)按照数据流的方向:在access接口的入方向打上PVID,出方向移除PVIDtrunk:(一个链路承载多个vlanVLAN1默认不打tag 仅仅有PVID静态VLAN配置 接口命令 syste
H3C防火墙透明模式简单配置
qq_33754943的博客
09-06 2157
3、在网络接口里面把对应的接口分别划到trust和untrust安全域,并配置IP。1、进入命令界面,把1/0/1划入安全域,才能WEB登陆,默认账号密码admin。2、HOST设置防火墙相同网段(默认192.168.0.0/24)的IP。配置源地址和目的地址,最后动作选择允许。动作允许,1.1.1.2可以PING通2.2.2.3。动作拒绝,1.1.1.2无法PING通2.2.2.3。4、在对象配置trust安全域的地址。创建ACL允许管理流量通过。
H3C 防火墙配置命令
12-04
H3C 防火墙 网络设备 配置 总结各种命令 笔记
HUAWEI 防火墙 综合配置案例.zip
11-23
2021年HUAWEI 防火墙 综合配置案例.内容丰富
华三模拟器(防火墙)实现IPSEC穿越NAT实验
qq_43590351的博客
11-30 9458
华三模拟器(防火墙)实现IPSEC穿越NAT实验 实验拓扑 接口及路由配置省略,FW1和FW2配置默认路由即可实现公网互通(测试两端公网互通即可开始操作) 另外防火墙的策略问题我是用的 any to any,接下来直接上IPSEC的配置 FW1 步骤一:在FW1上创建感兴趣流,匹配两端私网地址网段 [FW1] acl advanced 3002 [FW1] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.
华三防火墙配置指导_华为设备基础的ACL业务配置,不同设备命令会有所不同
weixin_39974958的博客
12-09 2948
基本ACL业务配置指导拓扑图:1、 配置步骤(1)配置组网图中相关接口的IP地址(2)rta与rtb之间启用ospf路由协议使网段可以互通(3)启用acl,并进行规则配置(4)在相应接口应用acl2、配置参考(1)RTA的配置[Quidway]sysname RTA[RTA]interface Ethernet 0/0[RTA-Ethernet0/0]ip address 30.1.1.1 30 ...
华三防火墙安全策略配置
热门推荐
weixin_46322576的博客
02-07 1万+
1.组网需求 ⑴ leadership和staff之间通过FW1实现互连,该公司的工作时间为每周工作日的8点到18点。 ⑵ 通过配置安全策略规则,允许leadership在任意时间、staff在工作时间访问外网。 2. 组网图 3. 配置步骤 (1) 配置接口IP地址、路由保证网络可达。 [FW1]int g1/0/2 [FW1-GigabitEthernet1/0/2]nat outbound [FW1-GigabitEthernet1/0/2]ip addre...
H3CNE实验:配置VLANVLAN端口
ddlys1412的博客
03-07 2651
H3CNE实验:配置VLANVLAN端口配置准备数据:设备名称 IP地址 VLAN网关 接口 VLAN PC1 192.168.10.1 192.168.10.254 H3C G3/1/1 10 PC2 192.168.20.1 192.168.20.254 H3C G3/1/3 20 第1段:配置交换机的VLANVLAN端口&lt;H3C&gt;sys Sy...
interface vlan-interface
02-03 8760
【描述】 interface vlan-interface 命令用来进入指定的VLAN 接口视图。如果该VLAN 接口不存在,则先创 建该接口,再进入该VLAN 接口视图。undo interface vlan-interface 命令用来删除指定的VLAN 接口。 需要注意的是:在创建 VLAN 接口之前,对应的VLAN 必须已经创建。否则,将不能创建指定的 VLAN 接口。 用户可
interface vlan
mrwu9902的专栏
05-12 2627
interface vlan
华三防火墙命令行怎么创建object id
07-12
华三防火墙命令行界面上,可以使用以下命令创建对象 ID: 1. 进入命令行界面,通过 SSH 或串口连接到华三防火墙。 2. 使用管理员账户登录到命令行界面。 3. 进入对象管理模式,输入以下命令: ``` system-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值