USG2000基础配置手册
初始化设备:
reset saved-configuration
REBOOT
N
Y
1.# 进入系统视图。
# 进入Ethernet 0/0/0视图。
[USG A] interface Ethernet 0/0/0
# 配置Ethernet 0/0/0(公网)的IP地址。
[USG A-Ethernet0/0/0] ip address 61.163.165.108 255.255.255.128 #公网IP,运营商提供
# 退回系统视图。
[USG A-Ethernet0/0/0] quit
2.# 进入Ethernet 0/0/1视图。
[USG A] interface Ethernet 0/0/1
# 配置内部局域网Ethernet 0/0/1的IP地址。
[USG A-Ethernet0/0/1] ip address 192.168.0.1 255.255.255.0
[USG A-Ethernet0/0/1] dhcp select interface
# 退回系统视图。
[USG A-Ethernet0/0/1] quit
3.# 进入Trust区域视图。
[USG A] firewall zone trust
# 配置Ethernet 0/0/1加入Trust区域。 #通常内网在trust区域
[USG A-zone-trust] add interface Ethernet 0/0/1
# 退回系统视图。
[USG A-zone-trust] quit
# 进入Untrust区域视图。
[USG A] firewall zone untrust
# 配置Ethernet 0/0/0加入Untrust区域。 #通常外网在untrust区域
[USG A-zone-untrust] add interface Ethernet 0/0/0
# 退回系统视图。
[USG A-zone-untrust] quit
4.#配置需要上网的ACL
[USG] acl 2000
[USG-acl-basic-2000] rule permit
[USG-acl-basic-2000] quit
5.# 配置NAT地址池。
[USG] nat address-group 1 61.163.165.108 61.163.165.108
6.# 配置Trust区域和Untrust区域的域间包过滤规则。
[USG] firewall interzone trust untrust
[USG-interzone-trust-untrust] packet-filter 2000 outbound
# 配置Trust区域和Untrust区域的NAT,将地址池和ACL关联,不使用no-pat参数。[USG-interzone-trust-untrust] nat outbound 2000 address-group 1
[USG-interzone-trust-untrust] quit
7.# 配置到达Host 2的静态路由。
[USG A] ip route-static 0.0.0.0 0.0.0.0 61.163.165.1 #电信网关地址
8.# 配置域间包过滤
[USG A] firewall packet-filter default permit all
[USG2100]web-manager enable
[USG2100]aaa
[USG2100-aaa]local-user huawei password simple huawei
[USG2100-aaa]local-user huawei service-type web
[USG2100-aaa]local-user huawei level 3
[USG2100]user-interface vty 0 4
[USG2100-ui-vty0-4]authentication-mode aaa
USG2210基本配置实例及说明
环境:
1)三层交换机的G0/0/32设为VLAN100,IP 172.16.100.254/24,接到USG2210的G0/0/1上,IP 为172.16.100.252/24,设了默认路由: ip route-static 0.0.0.0 0.0.0.0 172.16.100.252 2)USG2210的G0/0/0接运营商外网上,IP为*.*.*.154/24,运营商端IP为:*.*.*.153/24 3)可用的配置如下
15:17:47 2009/06/14
#创建访问列表,只允许如下网段或地址的电脑上网,其它电脑不能上网
acl number 2000
rule 0 permit source 172.16.2.0 0.0.0.255
rule 5 permit source 172.16.50.0 0.0.0.255
rule 10 permit source 172.16.57.0 0.0.0.255
rule 15 permit source 172.16.58.0 0.0.0.255
rule 20 permit source 172.16.62.0 0.0.0.255
rule 25 permit source 172.16.64.0 0.0.0.255
rule 30 permit source 172.16.67.0 0.0.0.255
rule 35 permit source 172.16.68.0 0.0.0.255
rule 40 permit source 172.16.69.0 0.0.0.255
rule 45 permit source 172.16.71.0 0.0.0.255
rule 50 permit source 172.16.72.0 0.0.0.255
rule 55 permit source 172.16.73.0 0.0.0.255
rule 60 permit source 172.16.74.0 0.0.0.255
rule 65 permit source 172.16.86.0 0.0.0.255
rule 70 permit source 172.16.87.0 0.0.0.255
rule 75 permit source 172.16.88.0 0.0.0.255
rule 80 permit source 172.16.89.0 0.0.0.255
rule 85 permit source 172.16.90.0 0.0.0.255
rule 90 permit source 172.16.91.0 0.0.0.255
rule 95 permit source 172.16.92.0 0.0.0.255
rule 100 permit source 172.16.93.0 0.0.0.255
rule 105 permit source 172.16.95.0 0.0.0.255
rule 110 permit source 172.16.99.0 0.0.0.255
rule 115 permit source 172.16.100.0 0.0.0.255
rule 120 permit source 172.16.97.106 0
rule 135 deny
#
sysname USG2210
#
info-center timestamp debugging date
#配置防火墙的缺省过滤动作为允许数据包通过,应用于所有域间
#原命令为firewall packet-filter default permit all,输入后变为以下详细内容,原来没设这个,所以可能不能互访
firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction inbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound firewall packet-filter default permit interzone trust untrust direction inbound firewall packet-filter default permit interzone trust untrust direction outbound firewall packet-filter default permit interzone trust dmz direction inbound firewall packet-filter default permit interzone trust dmz direction outbound firewall packet-filter default permit interzone dmz untrust direction inbound firewall packet-filter default permit interzone dmz untrust direction outbound
#设置访问外网的NAT地址池,如只用一个的话,则下面两个IP输入相同的就行,这里用两个nat address-group 1 natout 218.*.*.155 218.*.*.156
#防火墙的黑名单过滤类型为以下协议
firewall blacklist filter-type icmp
firewall blacklist filter-type tcp
firewall blacklist filter-type udp
firewall blacklist filter-type others
#开启防火墙的流量监控统计功能,但本配置未指定日志服务器
firewall statistic system enable
#防火墙接电信的端口IP
inte**ce GigabitEthernet0/0/0
description link to wan
ip address 218.*.*.154 255.255.255.0
#防火墙接内网7503交换机的端口IP
inte**ce GigabitEthernet0/0/1
description link to lan
ip address 172.16.100.252 255.255.255.0
#
inte**ce NULL0
#
firewall zone local
set priority 100
#内网口加入可信区
firewall zone trust
set priority 85
add inte**ce GigabitEthernet0/0/1
#外网口加入不可信区
firewall zone untrust
set priority 5
add inte**ce GigabitEthernet0/0/0
#
firewall zone dmz
set priority 50
#根据访问列表规定,内网到外网在outbound方向上应用地址转换
firewall interzone trust untrust
nat outbound 2000 address-group natout
#设置TELNET的方法,并且配置VTY(Virtual Type Terminal)用户接口的验证方式为AAA,Telnet 用户名为admin,
#口令为密文方式(cipher) password1,级别为level 3,设定授权方案表名称为default。
aaa
local-user admin password cipher password1
local-user admin service-type telnet
local-user admin level 3
authentication-scheme default
#
authorization-scheme default
#配置计费方案名称为default
accounting-scheme default
#缺省的域名称为default,所有没有指定域的用户都属于这个default 域
domain default
#
#
slb
#缺省静态路由,下一跳为218.*.*.153(电信那头的公网IP),原来搞错概念,用155或156或157来试,都不行上网,这3个是客户可用的公网IP
ip route-static 0.0.0.0 0.0.0.0 218.*.*.153 preference 60
#配置静态路由,回内网的下一跳为172.16.100.254(与7503三层交换机相接,属于VLAN 100 的G0/0/32的VLAN 100 的IP),原来没设这一条,
#结果能PC和交换机这边能PING到防火墙,反之则不行
ip route-static 172.16.0.0 255.255.0.0 172.16.100.254
#
user-inte**ce con 0
#VTY(virtual type terminal) 虚拟终端连接,欲配置的第一个用户终端接口0,欲配置的最后一个用户终端接口4,配置用户终端接口的认证方式
#为AAA(认证、授权、计费) ,inbound方向协议为telnet
user-inte**ce vty 0 4
authentication-mode aaa
protocol inbound telnet
#
return
有一个好用方便的命令,可以设置配置环境为中文
23:12:37 2009/06/14
Change language mode, confirm? [Y/N]y
% 改变到中文模式。
SecPath防火墙上的NAT实现
3.2.1 secpath防火墙的nat机制
地址转换的机制是将内部网络主机的ip地址和端口替换为secpath的外部网络地址和端口,以及从s ecpath的外部网络地址和端口转换为内部网络主机的ip地址和端口。也就是[私有地址+端口]与[公有地址+端口]之间的转换。
secpath防火墙设备引入了一个安全概念--区域,这是防火墙区别于路由器的主要特征。区域是一个或多个接口的组合,具有相应的安全级别。在防火墙设备上,由trust区域向untrust域和dmz域主动发起连接时,nat检测相应的数据连接是否需要进行nat转换。如果要进行nat转换,在ip转发的出口处完成,报文的源地址(私有地址)被转换成公网地址。在ip层的入口处,nat对回复报文进行还原,报文
的目的地址(公网地址)被还原成私网地址。
3.2.2 多对多地址转换及地址转换的控制
1. 基本概念
从图3-1的地址转换过程可见,当内部网络访问外部网络时,地址转换将会选择一个合适的外部地址,替代内部网络数据报文的源地址。在图3-1中是选择nat服务器出接口的ip地址(公有地址)。这样所有内部网络的主机访问外部网络时,只能拥有一个外部的ip地址,因此,这种情况只允许最多有一台内部主机访问外部网络,这称为“一对一地址转换”。当内部网络的主机并发的要求访问外部网络时,“一对一地址转换”仅能够实现其中一台主机的访问请求。
nat的一种变形实现了并发性。允许nat服务器拥有多个公有ip地址,当第一个内部主机访问外部网络时,nat选择一个公有地址ip1,在地址转换表中添加记录并发送数据报;当另一内部主机访问外部网络时,nat选择另一个公有地址ip2,以此类推,从而满足了多台内部主机访问外部网络的请求。这称为“多对多地址转换”。
nat服务器拥有的公有ip地址数目要远少于内部网络的主机数目,因为所有内部主机并不会同时访问外部网络。公有ip地址数目的确定,应根据网络高峰期可能访问外部网络的内部主机数目的统计值来确定。
在实际应用中,我们可能希望某些内部的主机具有访问internet(外部网络)的权利,而某些主机不允许访问。即当nat进程查看数据报报头内容时,如果发现源ip地址是为那些不允许访问网络的内部主机所拥有的,它将不进行nat转换。这就是一个对地址转换进行控制的问题。
secpath防火墙是通过定义地址池来实现多对多地址转换,同时利用访问控制列表来对地址转换进行控制的。
地址池:用于地址转换的一些公有ip地址的集合。用户应根据自己拥有的合法ip地址数目、内部网络主机数目以及实际应用情况,配置恰当的地址池。地址转换的过程中,将会从地址池中挑选一个地址做为转换后的源地址。
利用访问控制列表限制地址转换:只有满足访问控制列表条件的数据报文才可以进行地址转换。这可以有效地控制地址转换的使用范围,使特定主机能够有权访问internet。
2. 基本操作
secpath防火墙上配置多对多地址转换的步骤如下:
(1)在系统视图下定义一个可以根据需要进行分配的nat地址池
nat address-group group-number start-address end-address [ vrrp virtual-router-id ]
其中,group-number是标识这个地址池的编号,start-address end-address是地址池的起始和结束ip地址,virtual-router-id是vrrp备份组号。
(2)在系统视图和acl视图下定义一个访问控制列表
在系统视图下定义访问控制列表
acl [ number ] acl-number
在acl视图下定义访问控制规则
rule [ rule-id ] { permit | deny } [ source source-address source-wildcard | any ] [ tim e-range time-name ]
或
rule [ rule-id ] { permit | deny } protocol [ source source-addr source-wildcard | any ] [ destination dest-address dest-mask | any ] [ source-port operator port1 [ port2 ] ] [ des tination-port operator port1 [ port2 ] ] [ icmp-type icmp-type icmp-code ] [ precedence prec edence ] [ tos tos ] [ time-range time-name ]
上述各参数含义请参考acl相关内容。
(3)在域间视图下将访问控制列表和nat地址池关联
nat outbound acl-number address-group group-number [ no-pat ]
这样,将编号为acl-number的访问控制列表和编号为group-number的nat地址池关联后,当数据报在域间(如trust域和untrust域之间)流动时,nat进程将执行检测,将符合访问控制列表规则的报文进行转换并转发。
no-pat是可选参数,其作用将在下节的napt应用中讲述。
3.2.3 napt――网络地址端口转换
1. 基本概念
前文已经讲述了“一对一地址转换”(其无法实现内部主机访问外部网络的并发性)和“多对多地址转换”(能够实现并发性)。其实,还有一种nat变形也能够实现并发性,这就是napt(network addres s port translation)。napt允许多个内部地址映射到同一个公有地址上,非正式的也可称之为“多对一地址转换”或地址复用。
napt映射ip地址和端口号,来自不同内部地址的数据报可以映射到同一外部地址,但他们被转换为该地址的不同端口号,因而仍然能够共享同一地址。
下图描述了napt的基本原理。
图3-2 通过转换ip地址和端口,napt允许多个内部主机直接同时使用同一个外部地址
如图所示,四个带有内部地址的数据报到达nat服务器,其中数据报1和2来自同一个内部地址但有不同的源端口号,数据报3和4来自不同的内部地址但具有相同的源端口号。通过nat映射,四个数据报都被转换到同一个外部地址,但每个数据报都赋予了不同的源端口号,因而仍保留了报文之间的区别。当回应报文到达时,nat进程仍能够根据回应报文的目的地址和端口号来区别该报文应转发到的内部主机。
2. 基本操作
secpath防火墙上的nat实现将napt技术和多对多地址转换有效地结合起来――如果配置了napt功能,那么nat首先将复用地址池中的所选择的地址,达到能力极限后,再选择另一个地址完成转换。对比单一的多对多地址转换,这可大大减少地址池中公有地址的数目。
secpath防火墙上是通过可选关键字no-pat来配置是否使用napt功能:
nat outbound acl-number address-group group-number [ no-pat ]
在域间视图下将访问控制列表和nat地址池关联时,如果选择no-pat参数,则表示只转换数据包的i p地址而不使用端口信息,即不使用napt功能;如果不选择no-pat参数,则启用napt功能。缺省情况是启用。
3.2.4 内部服务器
1. 基本概念
nat隐藏了内部网络的结构,具有“屏蔽”内部主机的作用,但是在实际应用中,可能需要提供给外部一个访问内部主机的机会,如提供给外部一个www的服务器,或是一台ftp服务器。使用nat可以灵活地添加内部服务器,例如,可以使用202.169.10.10作为web服务器的外部地址;使用202.110.10.11作为ftp服务器的外部地址;甚至还可以使用202.110.10.12:8080这样的地址作为web的外部地址;还可为外部用户提供多台同样的服务器(如提供多台web服务器)。
secpath防火墙的nat提供了内部服务器功能供外部网络访问。外部网络的用户访问内部服务器时,n at将请求报文内的目的地址转换成内部服务器的私有地址。对内部服务器回应报文而言,nat要将回应报文的源地址(私网地址)转换成公网地址。
允许外部网络访问的内部服务器通常置于secpath防火墙的dmz区,正常情况下不允许这个区域中的设备主动向外发起连接。
2. 基本操作
(1)假设一个公有地址仅作为一个内部服务器的对外发布地址,那么在系统视图下使用下列命令
nat server [ protocol pro-type ] global global-address [ global-port ] inside host-addre ss [ host-port ] [ vrrp virtual-router-id ]
其中,pro-type是指ip服务承载的协议类型,包括tcp、udp和icmp三种;global-address和glob al-port是对外部网络公布的访问服务器的公有ip地址和外部端口号;host-address和host-port是服务器内部ip地址和内部端口号,virtual-router-id是vrrp备份组号。
(2)假设一个公有地址需要作为多个不同的内部服务器的对外发布地址,那么可在系统视图下连续使用下列命令
nat server [ protocol pro-type ] global global-address [ port-number ] inside host-addre ss [ port-number ] [ vrrp virtual-router-id ]
例如:需要将公有地址210.78.245.10同时作为www服务器(对外端口80,内部地址10.0.0.1,内部端口8080)和telnet登录服务器(对外端口23,内部地址10.0.0.2,内部端口23)的对外发布地址,那么仅仅连续配置两次nat server命令即可:
nat server protocol tcp global 210.78.245.10 80 inside 10.0.0.1 8080
nat server protocol tcp global 210.78.245.10 23 inside 10.0.0.2 23
虽然外部主机发送的报文目的地址相同,但由于请求服务不同(即端口号不同),nat仍然能够进行正确的转换并将报文发送到正确的内部服务器上。
3.2.5 alg――应用级网关
1. 基本概念
nat和napt只能对ip报文的头部地址和tcp/udp头部的端口信息进行转换。对于一些特殊协议,例如icmp、ftp等,它们报文的数据部分可能包含ip地址或端口信息,这些内容不能被nat有效的转换,这就可能导致问题。
例如,一个使用内部ip地址的ftp服务器可能在和外部网络主机建立会话的过程中需要将自己的ip 地址发送给对方。而这个地址信息是放到ip报文的数据部分,nat无法对它进行转换。当外部网络主机接收了这个私有地址并使用它,这时ftp服务器将表现为不可达。
解决这些特殊协议的nat转换问题的方法就是在nat实现中使用alg(application level gateway,应用级网关)功能。alg是特定的应用协议的转换代理,它和nat交互以建立状态,使用nat的状态信息来改变封装在ip报文数据部分中的特定数据,并完成其他必需的工作以使应用协议可以跨越不同范围运行。
例如,考虑一个“目的站点不可达”的icmp报文,该报文数据部分包含了造成错误的数据报a的首部
(注意,nat发送a之前进行了地址转换,所以源地址不是内部主机的真实地址)。如果开启了icmp alg 功能,在nat转发icmp报文之前,它将与nat交互,打开icmp报文并转换其数据部分的报文a首部的地址,使这些地址表现为内部主机的确切地址形式,并完成其他一些必需工作后,由nat将这个icmp报文转发出去。
secpath防火墙提供了完善的地址转换应用级网关机制,使其在流程上可以支持各种特殊的应用协议,而不需要对nat平台进行任何的修改,具有良好的可扩充性。目前它所实现了常用应用协议的alg功能包括: dns、ftp、h.323、hwcc 、icmp、ils、mgcp(media gateway control protocol)、msn 、netbio s 、pptp 、qq、ras和snp。
2. 基本操作
secpath的alg将通过aspf来检测通过防火墙的应用层协议会话信息,在域间视图下为应用层协议配置aspf检测:
detect protocol
3.2.6 nat地址池内地址和nat server地址发送免费arp
在每个fe/ge接口下面执行nat arp-gratuitous send,该命令一次执行一次有效。当执行此命令的时候防火墙会根据执行命令的接口,发送当前已经配置的nat server和已经应用的地址池的免费arp表项,用以更新上行设备的arp表,使转发正常。
执行的判断依据如下:对于被引用过的地址池或nat server,如果该地址池或nat server的全局地址属于执行命令的这个接口所在的子网,那么就会从这个接口下面发送免费arp出去,对于地址池中地址,每个地址都会发送一次。从对端设备上应该能够收到免费arp报文;如果是没有引用过的地址池,则不会参与发送;如果地址池地址或nat server不属于当前接口所在子网,也不参与发送。
如果没有配置地址池和nat server的vrrp参数,免费arp中携带的mac地址是该网口的mac,如果配置了vrrp参数,发送的免费arp就是vrrp虚拟mac地址
USG5000基础配置手册
GE 0/0/1:10.10.10.1/24
GE 0/0/2:220.10.10.16/24
GE 0/0/3:10.10.11.1/24
WWW服务器:10.10.11.2/24(DMZ区域)
FTP服务器:10.10.11.3/24(DMZ区域)
Telnet配置:
配置VTY 的优先级为3
# 进入系统视图。
# 进入用户界面视图
[USG5300] user-interface vty 0 3
# 设置用户界面能够访问的命令级别为level 3
[USG5300-ui-vty0-3] user privilege level 3
配置Password验证
# 配置验证方式为Password验证
10.10.11.0/24
地址池:
220.10.10.16----20
[USG5300-ui-vty0] authentication-mode password
# 配置验证密码为lantian
[USG5300-ui-vty0] set authentication password simple lantian
配置空闲断开连接时间
# 设置超时为30分钟
[USG5300-ui-vty0] idle-timeout 30
地址配置:
内网:
进入GigabitEthernet 0/0/1视图
[USG5300] interface GigabitEthernet 0/0/1
配置GigabitEthernet 0/0/1的IP地址
[USG5300-GigabitEthernet0/0/1] ip address 10.10.10.1 255.255.255.0
配置GigabitEthernet 0/0/1加入Trust区域
[USG5300] firewall zone trust
[USG5300-zone-untrust] add interface GigabitEthernet 0/0/1
[USG5300-zone-untrust] quit
外网:
进入GigabitEthernet 0/0/2视图
[USG5300] interface GigabitEthernet 0/0/2
配置GigabitEthernet 0/0/2的IP地址
[USG5300-GigabitEthernet0/0/2] ip address 220.10.10.16 255.255.255.0配置GigabitEthernet 0/0/2加入Untrust区域
[USG5300] firewall zone untrust
[USG5300-zone-untrust] add interface GigabitEthernet 0/0/2
[USG5300-zone-untrust] quit
DMZ:
进入GigabitEthernet 0/0/3视图
[USG5300] interface GigabitEthernet 0/0/3
配置GigabitEthernet 0/0/3的IP地址。
[USG5300-GigabitEthernet0/0/3] ip address 10.10.11.1 255.255.255.0
[USG5300] firewall zone dmz
[USG5300-zone-untrust] add interface GigabitEthernet 0/0/3
[USG5300-zone-untrust] quit
防火墙策略:
Trust和Untrust域间:
policy 1:允许源地址为10.10.10.0/24的网段的报文通过
配置Trust和Untrust域间出方向的防火墙策略。
[USG5300] policy interzone trust untrust outbound
[USG5300-policy-interzone-trust-untrust-outbound] policy 1
[USG5300-policy-interzone-trust-untrust-outbound-1] policy source 10.10.10.0 0.0.0.255
[USG5300-policy-interzone-trust-untrust-outbound-1] action permit
[USG5300-policy-interzone-trust-untrust-outbound-1] quit
DMZ和Untrust域间:
policy 2:允许目的地址为10.10.11.2,目的端口为21的报文通过
policy 3:允许目的地址为10.10.11.3,目的端口为8080的报文通过
配置Untrust到DMZ域间入方向的防火墙策略。
[USG5300] policy interzone untrust dmz inbound
[USG5300-policy-interzone-dmz-untrust-inbound] policy 2
[USG5300-policy-interzone-dmz-untrust-inbound-2] policy destination 10.10.11.3 0 [USG5300-policy-interzone-dmz-untrust-inbound-2] policy service service-set ftp [USG5300-policy-interzone-dmz-untrust-inbound-2] action permit
[USG5300-policy-interzone-dmz-untrust-inbound-2] quit
[USG5300-policy-interzone-dmz-untrust-inbound] policy 3
[USG5300-policy-interzone-dmz-untrust-inbound-3] policy destination 10.10.11.2 0 [USG5300-policy-interzone-dmz-untrust-inbound-3] policy service service-set http [USG5300-policy-interzone-dmz-untrust-inbound-3] action permit
[USG5300-policy-interzone-dmz-untrust-inbound-3] quit
[USG5300-policy-interzone-dmz-untrust-inbound] quit
应用FTP的NAT ALG功能。
[USG5300] firewall interzone dmz untrust
[USG5300-interzone-dmz-untrust] detect ftp
[USG5300-interzone-dmz-untrust] quit
配置内部服务器:
[USG5300] nat server protocol tcp global 220.10.10.16 8080 inside 10.10.11.2 www [USG5300] nat server protocol tcp global 220.10.10.17 ftp inside 10.10.11.3 ftp NAT策略:
Trust和Untrust域间:
policy 1:允许网段为10.10.10.0/24的内网用户访问Internet时进行源地址转换
配置地址池
[USG5300]nat address-group 1 220.10.10.16 220.10.10.20
配置Trust和Untrust域间出方向的策略
[USG5300] nat-policy interzone trust untrust outbound
[USG5300--policy-interzone-trust-untrust-outbound] policy 1
[USG5300- nat-policy -interzone-trust-untrust-outbound-1] policy source
10.10.10.0 0.0.0.255
[USG5300- nat-policy -interzone-trust-untrust-outbound-1] action source-nat [USG5300- nat -policy-interzone-trust-untrust-outbound-1] address-group 1
IP地址和MAC地址绑定:
将MAC地址为0000-e03f-0305的PC机与IP地址10.1.1.1绑定,掩码为255.255.255.0。
[USG5300] dhcp server ip-pool 0
[USG5300-dhcp-0] static-bind ip -address 10.1.1.1 mask 255.255.255.0
[USG5300-dhcp-0] static-bind mac-address 0000-e03f-0305
USG5320基本配置实例及说明
主设备:
[usg5320A]dis cu
[usg5320A]dis current-configuration
14:53:45 2011/03/09
#
#
ip vpn-instance out_exp vpn-id 1
route-distinguisher 5116:1
#
sysname usg5320A
#
web-manager enable
web-manager security enable
#
hrp enable
hrp interface GigabitEthernet0/0/3
#
firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound #
nat address-group 1 172.16.200.1 172.16.200.254
#
firewall statistic system enable
#
interface GigabitEthernet0/0/0
ip address 192.168.0.1 255.255.255.0
#
interface GigabitEthernet0/0/1
ip binding vpn-instance out_exp
ip address 172.16.252.3 255.255.255.0
vrrp vrid 2 virtual-ip 172.16.252.10 master
#
interface GigabitEthernet0/0/2
ip address 10.2.2.1 255.255.255.0
vrrp vrid 1 virtual-ip 10.2.2.10 master
#
interface GigabitEthernet0/0/3
ip address 192.168.100.1 255.255.255.0
#
interface NULL0
#
firewall zone local
set priority 100
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet0/0/2
#
firewall zone untrust
set priority 5
#
firewall zone dmz
set priority 50
#
firewall zone vzone
set priority 0
#
firewall zone vpn-instance out_exp local
set priority 100
#
firewall zone vpn-instance out_exp trust
set priority 85
#
firewall zone vpn-instance out_exp untrust
set priority 5
add interface GigabitEthernet0/0/1
#
firewall zone vpn-instance out_exp dmz
set priority 50
#
firewall zone vpn-instance out_exp vzone
set priority 0
#
policy interzone vpn-instance out_exp trust untrust outbound
policy 0
action permit
policy source 10.0.0.0 0.255.255.255
#
nat-policy interzone vpn-instance out_exp trust untrust outbound policy 0
policy source 10.0.0.0 0.255.255.255
policy 1
action source-nat
policy source 172.16.0.0 0.0.255.255
address-group 1
#
aaa
local-user admin password cipher ]MQ;4\]B+4Z,YWX*NZ55OA!! local-user admin service-type web terminal
local-user admin level 3
authentication-scheme default
#
authorization-scheme default
#
accounting-scheme default
#
domain default
#
#
right-manager server-group
#
slb
#
ip route-static 10.0.0.0 255.0.0.0 10.2.2.2
ip route-static 172.16.0.0 255.255.0.0 172.16.253.1
#
user-interface con 0
user-interface vty 0 4
#
return
[usg5320A]dis vrrp
14:53:52 2011/03/09
GigabitEthernet0/0/1 | Virtual Router 2
VRRP Group : Master
state : Backup
Virtual IP : 172.16.252.10
PriorityRun : 100
PriorityConfig : 100
MasterPriority : 100
Preempt : YES Delay Time : 0
Timer : 1
Auth Type : NONE
Check TTL : YES
GigabitEthernet0/0/2 | Virtual Router 1
VRRP Group : Master
state : Backup
Virtual IP : 10.2.2.10
PriorityRun : 100
PriorityConfig : 100
MasterPriority : 100
Preempt : YES Delay Time : 0
Timer : 1
Auth Type : NONE
Check TTL : YES
[usg5320A]dis hrp state
14:53:59 2011/03/09
The firewall's config state is: INITIALIZE
Current state of virtual routers configured as master:
GigabitEthernet0/0/1 vrid 2 : slave
GigabitEthernet0/0/2 vrid 1 : slave
[usg5320A]q
14:54:04 2011/03/09
---------------------------------------------------------- 备用设备:
[USG5320B]dis cu
[USG5320B]dis current-configuration
14:58:41 2011/03/09
#
#
ip vpn-instance out_exp vpn-id 1
route-distinguisher 5116:1
#
sysname USG5320B
#
web-manager enable
web-manager security enable
#
hrp enable
hrp interface GigabitEthernet0/0/3
#
firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound #
firewall statistic system enable
#
interface GigabitEthernet0/0/0
ip address 192.168.0.1 255.255.255.0
#
interface GigabitEthernet0/0/1
ip binding vpn-instance out_exp
ip address 172.16.252.5 255.255.255.0
vrrp vrid 2 virtual-ip 172.16.252.10 slave
#
interface GigabitEthernet0/0/2
ip address 10.2.2.2 255.255.255.0
vrrp vrid 1 virtual-ip 10.2.2.10 slave
#
interface GigabitEthernet0/0/3
ip address 192.168.100.2 255.255.255.0
#
interface NULL0
#
firewall zone local
set priority 100
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet0/0/2
#
firewall zone untrust
set priority 5
#
firewall zone dmz
set priority 50
#
firewall zone vzone
set priority 0
#
firewall zone vpn-instance out_exp local
set priority 100
#
firewall zone vpn-instance out_exp trust
set priority 85
交换机配置(三)ACL基本配置 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 ) 参数可选! 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为、 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率 限制在1Mbps 2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30
3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps [SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的 粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的 级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。 『S2000-SI和S3000-SI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到6Mbps [SwitchA- Ethernet0/1]line-rate outbound 2 3. 对端口E0/1的入方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate inbound 1 【补充说明】 对端口发送或接收报文限制的总速率,这里以8个级别来表示,取值范围为1~8,含义为:端口工作在10M速率时,1~8分别表示312K,625K,938K,,2M,4M,6M,8M;端口工作在100M速率时,1~8分别表示,,,,20M,40M,60M,80M。 此系列交换机的具体型号包括:S2026C/Z-SI、S3026C/G/S-SI和E026-SI。 『S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合 acl,使用以太网物理端口下面的traffic-limit命令,对端口的入方向报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图
华为路由器静态路由配置命令 4.6.1 ip route 配置或删除静态路由。 [ no ] ip route ip-address { mask | mask-length } { interfacce-name | gateway-address } [ preference preference-value ] [ reject | blackhole ] 【参数说明】 ip-address和mask为目的IP地址和掩码,点分十进制格式,由于要求掩码32位中‘1’必须是连续的,因此点分十进制格式的掩码可以用掩码长度mask-length来代替,掩码长度为掩码中连续‘1’的位数。 interfacce-name指定该路由的发送接口名,gateway-address为该路由的下一跳IP地址(点分十进制格式)。 preference-value为该路由的优先级别,范围0~255。 reject指明为不可达路由。 blackhole指明为黑洞路由。 【缺省情况】 系统缺省可以获取到去往与路由器相连子网的子网路由。在配置静态路由时如果不指定优先级,则缺省为60。如果没有指明reject或blackhole,则缺省为可达路由。 【命令模式】 全局配置模式 【使用指南】 配置静态路由的注意事项: 当目的IP地址和掩码均为0.0.0.0时,配置的缺省路由,即当查找路由表失败后,根据缺省路由进行包的转发。 对优先级的不同配置,可以灵活应用路由管理策略,如配置到达相同目的地的多条路由,如果指定相同优先级,则可实现负载分担;如果指定不同优先级,则可实现路由备份。 在配置静态路由时,既可指定发送接口,也可指定下一跳地址,到底采用哪种方法,需要根据实际情况而定:对于支持网络地址到链路层地址解析的接口或点到点接口,指定发送接口即可;对于NBMA接口,如封装X.25或帧中继的接口、拨号口等,支持点到多点,这时除了配置IP路由外,还需在链路层建立二次路
华为路由器dhcp简单配置实例 session 1 DHCP的工作原理 DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段,在RFC 2131中有详细的描述。DHCP有3个端口,其中UDP67和UDP68为正常的DHCP 服务端口,分别作为DHCP Server和DHCP Client的服务端口;546号端口用于DHCPv6 Client,而不用于DHCPv4,是为DHCP failover服务,这是需要特别开启的服务,DHCP failover是用来做“双机热备”的。 DHCP协议采用UDP作为传输协议,主机发送请求消息到DHCP服务器的67号端口,DHCP服务器回应应答消息给主机的68号端口,DHCP的IP地址自动获取工作原理及详细步骤如下: 1、DHCP Client以广播的方式发出DHCP Discover报文。 2、所有的DHCP Server都能够接收到DHCP Client发送的DHCP Discover报文,所有的DHCP Server都会给出响应,向DHCP Client发送一个DHCP Offer报文。DHCP Offer报文中“Your(Client) IP Address”字段就是DHCP Server 能够提供给DHCP Client使用的IP地址,且DHCP Server会将自己的IP地址放在“option”字段中以便DHCP Client 区分不同的DHCP Server。DHCP Server在发出此报文后会存在一个已分配IP地址的纪录。 3、DHCP Client只能处理其中的一个DHCP Offer报文,一般的原则是DHCP Client处理最先收到的DHCP Offer报文。DHCP Client会发出一个广播的DHCP Request报文,在选项字段中会加入选中的DHCP Server的IP地址和需要的IP地址。 4、DHCP Server收到DHCP Request报文后,判断选项字段中的IP地址是否与自己的地址相同。如果不相同,DHCP Server不做任何处理只清除相应IP地址分配记录;如果相同,DHCP Server就会向DHCP Client响应一个DHCP ACK 报文,并在选项字段中增加IP地址的使用租期信息。 5、DHCP Client接收到DHCP ACK报文后,检查DHCP Server分配的IP地址是否能够使用。如果可以使用,则DHCP Client成功获得IP地址并根据IP地址使用租期自动启动续延过程;如果DHCP Client发现分配的IP地址已经被使用,则DHCP Client向DHCPServer发出DHCP Decline报文,通知DHCP Server禁用这个IP地址,然后DHCP Client 开始新的地址申请过程。 6、DHCP Client在成功获取IP地址后,随时可以通过发送DHCP Release报文释放自己的IP地址,DHCP Server收到DHCP Release报文后,会回收相应的IP地址并重新分配。
华为AR1220路由器配置参数实际应用实例解说一 1. 配置参数 [GZ]dis cu [V200R001C00SPC200] //路由器软件版本,可从官方网站下载 # sysname GZ //路由器名字GZ ftp server enable //ftp 服务开通以便拷贝出配置文件备份 # voice # http server port 1025 //http undo http server enable # drop illegal-mac alarm # l2tp aging 0 # vlan batch 10 20 30 40 50 //本路由器设置的VLAN ID # igmp global limit 256 # multicast routing-enable //开启组播 #
dhcp enable //全局下开启DHCP服务然后在各VLAN上开启单独的DHCP # ip vpn-instance 1 ipv4-family # acl number 2000 rule 10 permit # acl number 2001 //以太网访问规则列表。 rule 6 permit source 172.23.68.0 0.0.0.255 //允许此网段访问外网 rule 7 permit source 172.23.69.0 0.0.0.255 //允许此网段访问外网 rule 8 permit source 172.23.65.0 0.0.0.3 //允许此网段的前三个IP访问外网rule 9 deny //不允许其他网段访问外网 # acl number 3000 //此规则并未应用 rule 40 permit ip source 172.23.65.0 0.0.0.255 destination 172.23.69.0 0.0.0.25 5 # acl number 3001//定义两个网段主机互不访问,学生不能访问65网段。 rule 5 deny ip source 172.23.65.0 0.0.0.255 destination 172.23.68.0 0.0.0.255 rule 10 deny ip source 172.23.68.0 0.0.0.255 destination 172.23.65.0 0.0.0.255 # aaa //默认视图窗口定义本地登录帐号和密码
华为路由器IS-IS基本配置实例 组网需求 如图1所示: ?S-switch-A、S-switch-B、S-switch-C和S-switch-D属于同一自治系统,要求他们之间通过IS-IS协议达到IP网络互连的目的。 ?S-switch-A、S-switch-B和S-switch-C的区域号是10,S-switch-D的区域号是20。 ?S-switch-A和S-switch-B是Level-1设备,S-switch-C是Level-1-2设备,S-switch-D是Level-2设备。 图1 IS-IS基本配置组网图
配置思路 采用如下的思路配置IS-IS的基本功能: 1.配置各物理接口所属的VLAN。 2.配置各VLANIF接口的IP地址。 3.在各S-switch上运行IS-IS进程,指定网络实体,配置level级别。 4.查看各S-switch的IS-IS数据库信息及路由表信息。 数据准备 为完成此配置例,需准备如下的数据: ?各接口所属的VLAN ID,具体数据如图1所示。 ?各VLANIF接口的IP地址,具体数据如图1所示。 ?四台S-switch的system id、级别和所属区域号。 ?S-switch-A的system id 0000.0000.0001,区域号Area10,为Level-1设备。 ?S-switch-B的system id 0000.0000.0002,区域号Area10,为Level-1设备。 ?S-switch-C的system id 0000.0000.0003,区域号Area10,为Level-1-2设备。 ?S-switch-D的system id 0000.0000.0004,区域号Area20,为Level-2设备。配置步骤 1.配置各接口所属的VLAN ID(略) 2.配置各VLANIF接口的IP地址(略)
RA配置 System-view Sysname RA Interface ethernet 0/0 Ip address 192.168.1.1 255.255.255.0 Interface ethernet 0/1 Ip address 192.168.2.1 255.255.255.0 quit ip route-static 192.168.3.0 255.255.255.0 192.168.2.2 ip route-static 192.168.4.0 255.255.255.0 192.168.2.2 RB配置 System-view Sysname RB Interface ethernet 0/0 Ip address 192.168.3.1 255.255.255.0 Interface ethernet 0/1 Ip address 192.168.2.2 255.255.255.0 quit ip route-static 192.168.1.0 255.255.255.0 192.168.2.1 ip route-static 192.168.4.0 255.255.255.0 192.168.3.2 RC配置 System-view Sysname RC Interface ethernet 0/0 Ip address 192.168.3.2 255.255.255.0 Interface ethernet 0/1 Ip address 192.168.4.1 255.255.255.0 quit ip route-static 192.168.1.0 255.255.255.0 192.168.3.1 ip route-static 192.168.2.0 255.255.255.0 192.168.3.1
华为三层交换机配置实例一例 服务器1双网卡,内网IP:192.168.0.1,其它计算机通过其代理上网 PORT1属于VLAN1 PORT2属于VLAN2 PORT3属于VLAN3 VLAN1的机器可以正常上网 配置VLAN2的计算机的网关为:192.168.1.254 配置VLAN3的计算机的网关为:192.168.2.254 即可实现VLAN间互联 如果VLAN2和VLAN3的计算机要通过服务器1上网 则需在三层交换机上配置默认路由 系统视图下:ip route-static 0.0.0.0 0.0.0.0 192.168.0.1 然后再在服务器1上配置回程路由 进入命令提示符 route add 192.168.1.0 255.255.255.0 192.168.0.254 route add 192.168.2.0 255.255.255.0 192.168.0.254 这个时候vlan2和vlan3中的计算机就可以通过服务器1访问internet了~~ 华为路由器与CISCO路由器在配置上的差别" 华为路由器与同档次的CISCO路由器在功能特性与配置界面上完全一致,有些方面还根据国内用户的需求作了很好的改进。例如中英文可切换的配置与调试界面,使中文用户再也不用面对着一大堆的英文专业单词而无从下手了。另外它的软件升级,远程配置,备份中心,PPP回拨,路由器热备份等,对用户来说均是极有用的功能特性。 在配置方面,华为路由器以前的软件版本(VRP1.0-相当于CISCO的IOS)与CISCO有细微的差别,但目前的版本(VRP1.1)已和CISCO兼容,下面首先介绍VRP软件的升级方法,然后给出配置上的说明。 一、VRP软件升级操作 升级前用户应了解自己路由器的硬件配置以及相应的引导软件bootrom的版本,因为这关系到是否可以升级以及升级的方法,否则升级失败会导致路由器不能运行。在此我们以从VRP1.0升级到VRP1.1为例说明升级的方法。 1.路由器配置电缆一端与PC机的串口一端与路由器的console口连接 2.在win95/98下建立使用直连线的超级终端,参数如下: 波特率9600,数据位8,停止位1,无效验,无流控,VT100终端类型 3.超级终端连机后打开路由器电源,屏幕上会出现引导信息,在出现: Press Ctrl-B to enter Boot Menu. 时三秒内按下Ctrl+b,会提示输入密码 Please input Bootrom password: 默认密码为空,直接回车进入引导菜单Boot Menu,在该菜单下选1,即Download application program升级VRP软件,之后屏幕提示选择下载波特率,我们一般选择38400 bps,随即出现提示信息: Download speed is 38400 bps.Please change the terminal's speed to 38400 bps,and select XMODEM protocol.Press ENTER key when ready. 此时进入超级终端“属性”,修改波特率为38400,修改后应断开超级终端的连接,再进入连接状态,以使新属性起效,之后屏幕提示: Downloading…CCC 这表示路由器已进入等待接收文件的状态,我们可以选择超级终端的文件“发送”功能,选定相应的VRP软件文件名,通讯协议选Xmodem,之后超级终端自动发送文件到路由器中,整个传送过程大约耗时8分半钟。完成后有提示信息出现,系统会将收到的VRP软件写入Flash Memory覆盖原来的系统,此时整个升级过程完成,系统提示改回超级终端的波特率: Restore the terminal's speed to 9600 bps. Press ENTER key when ready. 修改完后记住进行超级终端的断开和连接操作使新属性起效,之后路由器软件开始启动,用show ver命令将看见
华为浮动静态路由路径备份配置实例 作者:救世主220 实验日期:2015.7.3 实验拓扑如下: AR1配置: [AR1]dis current-configuration [V200R003C00] # sysname AR1 # interface GigabitEthernet0/0/0 ip address 100.1.1.1 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 10.0.21.1 255.255.255.0 # interface LoopBack0 ip address 1.1.1.1 255.255.255.0 ospf network-type broadcast # ospf 1 router-id 1.1.1.1 import-route direct area 0.0.0.0 network 1.1.1.1 0.0.0.0 network 10.0.21.1 0.0.0.0 # ip route-static 3.3.3.0 255.255.255.0 100.1.1.2 preference 10 ip route-static 10.0.23.0 255.255.255.0 100.1.1.2 preference 10
注意:AR1上g0/0/0 断开前后AR1路由表变化 AR2配置: [AR2]dis current-configuration [V200R003C00] # sysname AR2 # interface GigabitEthernet0/0/0 ip address 100.1.1.2 255.255.255.0 #
华为路由器防火墙配置 一、access-list 用于创建访问规则。 (1)创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] (2)创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source- mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] (3)删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。 listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较 的概念;为IP时
有特殊含义,代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。 operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq) 、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个 端口。 port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个 数值。 port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或 0~65535之间的一个数值。 icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo- reply)或者是0~255之间的一个数值。 icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。 log [可选] 表示如果报文符合条件,需要做日志。 listnumber 为删除的规则序号,是1~199之间的一个数值。
华为三层交换机配置方法(1) (2008-07-21 11:27:34) 转载 标签: 分类:工作汇报 杂谈 本文以河南平临高速所使用的华为华三通信的H3C S3600-28P-SI为例,配置前首先要确定型号后缀是SI还是EI,EI的支持所有协议,SI的不支持OSPS动态协议,因此SI配置路由时可以使用静态协议和RIP协议,具体配置如下:
description Uplink-to-Putian vlan 9 description link-to-pingxicentre //第二步:给VLAN 划网关 interface Vlan-interface2 description link to wenquan ip address 10.41.77.41 255.255.255.192 interface Vlan-interface3 description link to ruzhou ip address 10.41.77.105 255.255.255.192 interface Vlan-interface4 description link to xiaotun ip address 10.41.77.169 255.255.255.192 interface Vlan-interface5 description link to baofeng ip address 10.41.77.233 255.255.255.192 interface Vlan-interface6 description link to pingxi ip address 10.41.78.41 255.255.255.192 interface Vlan-interface7 description link to pingnan ip address 10.41.78.105 255.255.255.192 interface Vlan-interface8 description uplink to putian ip address 10.41.244.102 255.255.255.252 interface Vlan-interface9 description link to pingxicentre ip address 10.41.80.233 255.255.255.192
目录 1、硬件系统 (3) 1.1、NE40E、NE80E、NE5000E的满配功率是多少? (3) 1.2、如何正确热插拔NE5000E/80E/40E产品主控板? (3) 1.3、拔出正常运行NE80E主控板与其它单板的差别? (3) 1.5、NE5000ENE80E由于系统结构复杂,导致单板的组成较为复杂,本FAQ详 细说明这两款产品单板的组合。 (3) 1.6、是否可以使用并联电流给NE设备供电? (4) 1.8、如何查看设备中的Netstream板? (4) 1.9、NE5000系统上电时是否电源功率等于或稍大于所有单板的功率和,整机即 可正常完成注册? (5) 2、系统管理 (5) 2.1、telnet用户的最大数是多少? (5) 2.2、NE40E、NE80E 是否支持ETH-Trunk? (5) 2.3、NE40E、NE80E、NE5000E VRP5.30版本支持多少个Eth-trunk? (5) 2.4、NE40E、NE80E、NE5000E VRP 5.30一个trunk接口下最多可以有多少个成 员端口? (6) 3、系统管理:telnet、SNMP、日志采集、SSH等 (6) 3.1、如何修改设备的时区? (6) 3.2、如何转换命令行的语言模式? (6) 3.3、如何把telnet用户强制下线? (6) 3.4、如何取消分屏显示? (6) 3.5、如何能够使NE40E level0能够查看logbuffer? (7) 3.6、怎样配置NE40E的登录用户先radius认证再本地认证? (7) 3.7、华为有哪些产品支持TACACS? (7) 3.8、使用TELNET登录NE80E/40E/80/40是否支持TACACS方式认证? (8) 3.9、怎样修改NE40E的日志文件记录路径 (8) 3.10、如何正确的配置NE40ENE80ENE5000E的防病毒访问控制列表? (8) 4、网络协议 (9) 4.4、什么是NE80E的ping保护机制呢? (9) 5、路由协议 (10) 5.1、如何进行OSPF外部路由的聚合? (10) 5.2、反射器反射路由时对路由属性的处理原则是什么? (10) 5.3、如何修改邦定VPN实例OSPF进程的Router id (10) 5.5、为什么在OSPF路由中不建议引入直连路由? (10) 5.6、如何部署OSPF的内部路由聚合? (10) 5.8、在IGP是ISIS的网络中如何查找设备? (11) 5.9、如何设置NE80E只启用MBGP而不启用普通BGP? (11) 5.11、在8090产品中,通过命令display ip routing-table verbose能看到NextHop、 RelyNextHop,他们的区别是什么? (11) 5.12、BGP协议的故障诊断命令有哪些? (12) 6、VPN应用 (13) 6.1、华为路由器是否支持VPN下安全套接层? (13)
华为策略路由配置实例 1、组网需求 ?????????????????图1?策略路由组网示例图 ????公司希望上送外部网络的报文中,IP优先级为4、5、6、7的报文通过高速链路传输,而IP优先级为0、1、2、3的报文则通过低速链路传输。 2、配置思路 1、创建VLAN并配置各接口,实现公司和外部网络设备互连。 2、配置ACL规则,分别匹配IP优先级4、5、6、7,以及IP优先级0、1、2、3。 3、配置流分类,匹配规则为上述ACL规则,使设备可以对报文进行区分。 5、配置流策略,绑定上述流分类和流行为,并应用到接口GE2/0/1的入方向上,实现策略路由。 3、操作步骤 3.1、创建VLAN并配置各接口 #?在Switch上创建VLAN100和VLAN200。
[Switch]?interfacegigabitethernet1/0/2 [Switch-GigabitEthernet1/0/2]?portlink-typetrunk [Switch-GigabitEthernet1/0/2]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet1/0/2]?quit [Switch]?interfacegigabitethernet2/0/1 [Switch-GigabitEthernet2/0/1]?portlink-typetrunk [Switch-GigabitEthernet2/0/1]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet2/0/1]?quit 配置LSW与Switch对接的接口为Trunk类型接口,并加入VLAN100和VLAN200。#?创建VLANIF100和VLANIF200,并配置各虚拟接口IP地址。 [Switch]?interfacevlanif100 [Switch-Vlanif100]?ipaddress24 [Switch-Vlanif100]?quit [Switch]?interfacevlanif200 [Switch-Vlanif200]?ipaddress24 [Switch-Vlanif200]?quit 3.2、配置ACL规则 #?在Switch上创建编码为3001、3002的高级ACL,规则分别为允许IP优先级0、1、2、3和允许IP优先级4、5、6、7的报文通过。 [Switch]?acl3001 [Switch-acl-adv-3001]?rulepermitipprecedence0 [Switch-acl-adv-3001]?rulepermitipprecedence1 [Switch-acl-adv-3001]?rulepermitipprecedence2
OSPF上机-1 拓扑图 1、组网和区域划分如上图所示。 2.在S3526-1、AR28-1、AR28-2、S3526-2的互联接口上启用ospf路由协议;并且在每台三层设备上引入直联路由,直联路由引入按照默认的type 2类型, R1
[Huawei-Ethernet0/0/0]int [Huawei-Ethernet0/0/0]int e0/0/1 [Huawei-Ethernet0/0/1]ip add 192.168.0.5 30 [Huawei-Ethernet0/0/1]qui [Huawei]inter [Huawei]interface loopback 0 [Huawei-LoopBack0]ip add 1.1.1.1 32 [Huawei-LoopBack0]qui [Huawei]router id 1.1.1.1 [Huawei]ospf [Huawei-ospf-1]area 1 [Huawei-ospf-1-area-0.0.0.1]network 192.168.0.4 0.0.0.3 [Huawei-ospf-1-area-0.0.0.1]qui [Huawei-ospf-1]import-route direct [Huawei-ospf-1]silent-interface loopback 0 [Huawei-ospf-1] R2
华为路由器配置举例 通过在外网口配置nat基本就OK了,以下配置假设Ethernet0/0为局域网接口,Ethernet0/1为外网口。 1、配置内网接口(Ethernet0/0): [MSR20-20] interface Ethernet0/0 [MSR20-20- Ethernet0/0]ip add 192.168.1.1 24 2、使用动态分配地址的方式为局域网中的PC分配地址 [MSR20-20]dhcp server ip-pool 1 [MSR20-20-dhcp-pool-1]network 192.168.1.0 24 [MSR20-20-dhcp-pool-1]dns-list 202.96.134.133 [MSR20-20-dhcp-pool-1] gateway-list 192.168.1.1 3、配置nat [MSR20-20]nat address-group 1 公网IP 公网IP [MSR20-20]acl number 3000 [MSR20-20-acl-adv-3000]rule 0 permit ip 4、配置外网接口(Ethernet0/1) [MSR20-20] interface Ethernet0/1 [MSR20-20- Ethernet0/1]ip add 公网IP [MSR20-20- Ethernet0/1] nat outbound 3000 address-group 1 5.加默缺省路由 [MSR20-20]route-stac 0.0.0.0 0.0.0.0 外网网关 总结: 在2020路由器下面, 配置外网口, 配置内网口, 配置acl 作nat, 一条默认路由指向电信网关. ok!
华为路由器静态路由配置命令详解 2007-09-12 10:40 来源:希赛网 【简介】 路由器静态路由配 置命令详解 加入收藏 设为首 页 文曲星视频器 1080 随心更换彩壳本 本 JVC圆您摄像梦想森海塞尔仅150 1. ip route 配置或删除静态路由。 [ no ] ip route ip-address { mask mask-length } { interfacce-name gateway-address } [ preference preference-value ] [ reject blackhole ] 【参数说明】 ip-address和mask为目的IP地址和掩码,点分十进制格式,由于要求掩码32位中‘1’必须是连续的,因此点分十进制格式的掩码可以用掩码长度mask-length来代替,掩码长度为掩码中连续‘1’的位数。 interfacce-name指定该路由的发送接口名,gateway-address为该路由的下一跳IP地址(点分十进制格式)。 preference-value为该路由的优先级别,范围0~255。 reject指明为不可达路由。 blackhole指明为黑洞路由。 【缺省情况】 系统缺省可以获取到去往与路由器相连子网的子网路由。在配置静态路由时如果不指定优先级,则缺省为60。如果没有指明reject或blackhole,则缺省为可达路由。 【命令模式】
全局配置模式 【使用指南】 配置静态路由的注意事项: 当目的IP地址和掩码均为0.0.0.0时,配置的缺省路由,即当查找路由表失败后,根据缺省路由进行包的转发。 对优先级的不同配置,可以灵活应用路由管理策略,如配置到达相同目的地的多条路由,如果指定相同优先级,则可实现负载分担;如果指定不同优先级,则可实现路由备份。 在配置静态路由时,既可指定发送接口,也可指定下一跳地址,到底采用哪种方法,需要根据实际情况而定:对于支持网络地址到链路层地址解析的接口或点到点接口,指定发送接口即可;对于NBMA接口,如封装X.25或帧中继的接口、拨号口等,支持点到多点,这时除了配置IP路由外,还需在链路层建立二次路由,即IP地址到链路层地址的映射(如dialer map ip、x.25 map ip或frame-relay map ip等),这种情? 配置静态路由不能指定发送接口,应配置下一跳IP 地址。 【举例】 配置缺省路由的下一跳为129.102.0.2。 Quidway(config)#ip route 0.0.0.0 0.0.0.0 129.102.0.2 【相关命令】 show ip route,show ip route detail,show ip route static 2.show ip route 显示路由表摘要信息。 show ip route 【命令模式】 特权用户模式 【使用指南】 该命令输出以列表方式显示路由表,每一行代表一条路由,内容包括: 目的地址/掩码长度
华为路由器配置实例1 华为路由器(R2621)、交换机(S3026e)各一台,组建一VLAN,实现虚拟网和物理网之间的连接。实现防火墙策略,和访问控制(ACL),我们这里用的是四台电脑。 方案说明: 四台PC的IP地址、掩码如下列表: P1 192.168.1.1 255.255.255.0 网关IP 为192.168.1.5 P2 192.168.1.2 255.255.255.0 网关IP 为192.168.1.5 P3 192.168.1.3 255.255.255.0 网关IP 为192.168.1.6 P4 192.168.1.4 255.255.255.0 网关IP 为192.168.1.6 路由器上Ethernet0的IP 为192.168.1.5 Ethernet1的IP 为192.168.1.6 firewall 设置默认为deny 实施命令列表: 交换机上设置,划分VLAN: sys //切换到系统视图 [Quidway]vlan enable [Quidway]vlan 2 [Quidway-vlan2]port e0/1 to e0/8 [Quidway-vlan2]quit //默认所有端口都属于VLAN1,指定交换机的e0/1 到e0/8八个端口属于VLAN2 [Quidway]vlan 3 [Quidway-vlan3]port e0/9 to e0/16 [Quidway-vlan3]quit //指定交换机的e0/9 到e0/16八个端口属于VLAN3 [Quidway]dis vlan all [Quidway]dis cu 路由器上设置,实现访问控制: [Router]interface ethernet 0 [Router-Ethernet0]ip address 192.168.1.5 255.255.255.0 [Router-Ethernet0]quit //指定ethernet 0的ip [Router]interface ethernet 1 [Router-Ethernet1]ip address 192.168.1.6 255.255.255.0 [Router-Ethernet1]quit //开启firewall,并将默认设置为deny [Router]fire enable