1.dis ip int bri 查看端口ip
sysname 改名
2.域管理
fire zone name 名字(新建区域)
set priority 安全等级
fire zone (trust)
add int (g1/0/1) ——加入域
dis zone ——查看所加域、
undo add int (g0/0/0)——删除某条域命令
3.安全策略配置
security-policy ——进入安全策略视图
rule name (rule1)——创建安全策略规则
source-zone/address ()——源区域/地址
destination-zone/address ()——目标区域地址
service ()目标服务类型
action(permit/deny)——允许或拒绝
default action permit 所有流量放行
查询所有配置安全策略:security-policy
dis this
4.NAT配置
nat-policy——进入nat视图
rule name (easypolicy)——创建规则
source-address (192.168.3.0 24)——源ip地址
destination-zone (untrust)——目标域
action nat easy-ip——使用easy-ip类型
5.配置NAPT(例:通过napt访问internet:100.2.2.12/29)
(1)配置NAT地址组
nat address-group napt
section 0 100.2.2.12
mode pat
(2)配置NAT策略napt
nat-policy
rule name napt
source-address 192.168.2.0 24
source-zone dep
destination-zone untrust
action nat address-group napt
配置黑洞路由
ip route-static 100.2.2.12 32 NULL 0
6.配置no-pat(通过no-pat访问internet:100.2.2.10/29-100.2.2.11/29)
(1)配置NAT地址组
nat address-group nopat
section 0 100.2.2.10 100.2.2.11
mode no-pat local
(2)配置NAT策略nopat,允许财务部使用No-pat方式访问外网
nat-policy
rule name nopat
source-address 192.168.3.0 24
source-zone dep
destination-zone untrust
action nat address-group nopat
配置2条黑洞路由
ip route-static 100.2.2.10 32 NULL 0
ip route-static 100.2.2.11 32 NULL 0
7.配置NAT-Server
(1)配置安全策略
security-policy
rule name (todmz)——定义策略名字
source-zone(untrust)——外网所在区域
destination-zone (dmz)——内网所在区域
destination-address (192.168.0.0 24)——内网网段
service http
service ftp
action(permit/deny)
(2)配置NAT Server策略
nat server ftp protocol tcp global 100.2.2.9 21 inside (192.168.0.2——ftp ip地址)
nat server http protocol tcp global 100.2.2.9 80 inside(192.168.0.3——http ip地址
8.建立vlan (交换机)
单个vlan:vlan (xx)
多个vlan:vlan batch (10 15 20)
接口配置vlan
port link-type hybrid
port hybrid pvid vlan vlan号
port hybrid untagged vlan vlan号1 vlan号2 (跨vlan)
9.流量转发:ip route-static (目标地址 目标网关 下一跳地址)
30 255.255.255.252
https://192.168.0.1:8443 admin Admin@123
华为云设置:网络属性>更改设配器>启动vmate8>设置IP地址 (192.168.0.28/24)>增加udp和VMware8,出端口号为2,双向通道