egate1.301:在聚合端口上创建子端口。子端口同时也就是vlan号,注意:子端口的MAC同父端口
int eth0/0 :在配置模式下,进入接口配置子项,此处也更象Cisco,而不象ScreenOS在一条命令里配置完
aggregate aggregate1:将eth0/0添加到聚合端口1中,注意:进入聚合的物理端口应不属于其他端口及任何安全域。
int eth0/0.1:创建eth0/0下的子端口
manage ping/http/https/ssh/telnet/snmp 等,配置该接口的管理选项
ip address xx.xx.xx.xx/xx:配置IP地址
zone xxxx:配置该接口所属的zone
int redundant1:创建冗余端口,增加成员同聚合端口,在物理端口下输入redundant redundant1,即可添加物理端口至red1
primary eth0/0:指定eth0/0为冗余端口的主端口
int redundant1.1:在冗余端口上创建子端口,这一部分基本上同ScreenOS
安全对象定义及策略类:
address xxxx:定义网络地址对象
ip 192.168.0.0/24:定义该对象的IP地址
description "KKOA Net 192.168.0.0":对地址对象进行描述,注意描述中有空格的用双引号
host:定义域名对象
range 192.168.0.10 192.168.0.20 : 定义一个地址范围
rename xxx:重命名对象
member xxx:可以添加另一个地址名做为成员(暂不明确适用场景)
service pubsvc-winrdp:定义服务对象(每个对象可以定义约8个条目)
tcp dst-port 33389 src-port 1024 65535 定义tcp服务,目标端口33389,源端口范围1024-65535
tcp dst-port 43389 src-port 1024 65535 添加第二条端口
policy-global:进入定义访问控制策略
rule from 10.97.0.0/16 to any from-zone trust to untrust service any permit 出站策略
rule id 2 from any to 192.168.3.235/32 from-zone untrust to-zone trust service pubsvc-winrdp permit 入站策略,目的地址直接用外网IP,目的端口也是外部映射端口,这跟screenos用mip和cisco用内网IP都有所不同。
rule from any to any from-zone App to-zone App service any permit:同zone,不同子网下的互通策略。缺省是阻断的,没有screenos下的全通选项,只能通过策略来打通。
id 2:进入指定id号的策略子命令集
move 3 before 1:将id3策略移到id1前,即调整策略顺序
地址转换及路由:
ip vrouter trust-vr:进入trust-vr (系统缺省带此vrouter,不可删除)
ip route 0.0.0.0 0.0.0.0 eth0/0 192.168.0.3 配置缺省路由,指向下一跳网关
snatrule top from 10.97.0.0/16 to any eif eth0/0 trans-to eif-ip mode dynamicport:出站SNAT,将策略置于top,nat为出站口
snatrule id 3 from grp-Appnet to Any service Any eif eth0/0 trans-to eif-ip mode dynamicport:将一个IP组的出站转为接口IP
snatrule from 10.97.3.18 to any eif eth0/0 trans-to 192.168.0.232 mode dynamicport log:出站SNAT,转为指定IP
dnatrule from any to 192.168.0.235 servi
4256
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
