下载文档原格式
<USG2200>display current-configurationdetect h323d09:29:14 2016/03/17detect qq#sysname USG2200detect#sl2tp enabledetect netbiundo l2tp domain suffix-separator @undo tunnel authentic#iike dpd interval 10allow l2tp#ifirewall packet-filter default permit interzone local trust direction inbound unicastundo synchronization#firewall packet-filter default permit interzone local trust direction outboundlocal-user user2firewall packet-filter default permit interzone local untrust direction inboundlocal-user user3 password cipher %$%$`;WkNM${E;O=5--=%yfirewall packet-filter default permit interzone local untrust direction outboundal-user user3 service-type ppp local-user useauthentication-mode vpndb#nat server 1 protocol udp global 218.56.104.*** any inside 192.100.7.73 anyheme test.scmauthorization-mode vpndb#ip df-unreachables enableaccounting-scheme defaultdomain dot1xfirewall ipv6 statistic system enableauthentication-scheme test.sc#dns resolvefirewall defend syn-flood enablefirewall defend arp-flood enablefirewall defend sip-flood enablefirewall defend udp-flood fingerprint-hit destination-max-rate 5firewall defend udp-flood fingerprint-hit source-max-rate 3firewall defend sip-flood port range 1 65535#firewall statistic system enable#pki certificate access-control-policy default permit#dns proxy enable#license-server domain #web-manager enableweb-manager security enable port 8443#user-manage web-authentication security port 8888##radius-server template test.tpl##ldap-server template test.tplldap-server authentication base-dn dc=my-domain,dc=com ldap-server group-filter ouldap-server authentication-filter (objectclass=*) ldap-server user-filter cnldap-server server-type ad-ldap#acl number 2001rule 5 permit source 192.100.7.0 0.0.0.255 rule 10 permit source 10.10.10.0 0.0.0.255acl number 3000rule 5 permit udp source-port eq 1701 rule 10 permit udp destination-port eq 1701 #acl number 3001#ike proposal 1encryption-algorithm 3des-cbcdh group2 group1integrity-algorithm aes-xcbc-96 hmac-sha1-96 hmac-md5-96 #ike peer ike20111583362exchange-mode autoike negotiate compatiblepre-shared-key %$%$sEPH;hfv{*71&V3Zc:QS^C:1%$%$ ike-proposal 1remote-id-type none#ipsec proposal prop20111583362encapsulation-mode autoesp authentication-algorithm sha1esp encryption-algorithm 3des#ipsec policy-template tpl20111583362 1 security acl 3000security acl public-ip-transparentike-peer ike20111583362alias celue1scenario point-to-multipoint l2tp-user-access proposal prop20111583362local-address applied-interfacesa duration traffic-based 1843200sa duration time-based 3600#ipsec policy ipsec2011158331 10000 isakmp template tpl #interface Cellular0/1/0link-protocol ppp#interface Virtual-Template0ppp authentication-mode chap papalias L2TP_LNS_0remote address pool#interface GigabitEthernet0/0/0ip address 10.10.10.1 255.255.255.0#interface GigabitEthernet0/0/1ip address 218.56.104.*** 255.255.255.252 ipsec policy ipsec2011158331 auto-neg nat enabledetect ftp#interface NULL0alias NULL0#firewall zone localset priority 100#firewall zone trustset priority 85detect ftpdetect rtspenticationdetect mmsUsdetect mgcpUsernamedetect sipsername:detect pptpme:admindetect sqlnetword:*detect h323n failed!detect qqUsedetect msndetect netbiosICE:This is a padd interface GigabitEthernet0/0/0 #firewall zone untrustccess or use may leadset priority 5detect ftpdetect rtspWarndetect mmsefault authdetect mgcpthod and pasdetect sipsole.detect pptpdetect sqlnetdetect h323G2200>detect qqor the sakdetect msny, please mdetect dnsiginal passdetect ilsuser.detect netbiosadd interface GigabitEthernet0/0/1<USG2200>display cyrrent-c#ffirewall zone dmzset priority 50 ^detect ftpErrodetect rtspmeter founddetect mmsion.detect mgcpdetect sipdetect ftp09detect rtsp03/17detect mms#detect pptpp domain sufdetect sqlnetdetect h323#detect qqterval 10detect dns#detect ilsket-filterdetect netbiosnterzone local#ufirewall zone name us2set priority 66detect ftpfirdetect rtspfilter defaudetect mmsterzone locdetect mgcpction outboudetect sipdetect pptpdetect sqlnetdetect h323packet-filtedetect qqermit intedetect dnsuntrust dirdetect ilsnddetect netbios#firewall interzone local trustdetect dnsdetect ilsdetect netbiosfirew#lfirewall interzone local untrusterzone local dmz direction outbo detect ftpdetect sqlnetus1 directiondetect h323detect rtspdetect qqdetect msnfirewalldetect dnsr default pdetect ilsone local udetect netbiosbound#firewall interzone local dmz detect ftpall packet-detect mmslt permit idetect mgcpt untrust didetect pptpnddetect sipdetect sqlnetdetect h323firewaldetect rtsper default pdetect qqzonedetect msndetectdetect mmsfirewaldetect mgcper default pdetect pptpne trust dmzdetect siputbounddetect sqlnetdetect h323detect rtspfirewadetect qqilter defadetect dnsnterzone dmdetect ilsrection inbdetect netbios#detect mmsone dmz untdetect mgcpn outbounddetect pptpdetect sipdetect sqlnetdetect h323r 0 protocoldetect rtsp18.56.104.18detect qqe 192.100.detect dnsdetect ilsdetect netbios#firewall interzone trust untrustlobal 218.56.104.*** any inside detect ftp anydetect mmsdetect mgcpdetect pptp#detect siphables enabdetect sqlnet#detect h323v6 sessiondetect rfirewall defend http-flooddetect ftpdetect mmsfirewadetect mgcpt-scan enabldetect pptpdetect sipewall defendetect sqlnetledetect h323firewdetect rtspmp-flood enadetect qqdetect msndetect ilsdetect netbioswall defend syn#lfirewall interzone trust us1firewall defendetect ftpenabledetect mmsdetect mgcp defend sip-detect pptpdetect sipfirdetect sqlnetp-flood fingerdetect h323tination-maxdetect rtspdetect qqdetect dnsdetect ilsdefend udp-detect netbiost-hit source-ma#rfirewall interzone trust us2 detect ftpwall defenddetect mmsort range 1detect mgcpdetect pptpdetecdetect ilsdetect netbios##sfirewall interzone dmz untrustlicense-server domain lic.hudetect ftpdetect mms#detect mgcp enabledetect pptpweb-managerdetect sipable port 8user-managdetect rtspication secudetect qq888detect msndetect dns#detect ilsrver templadetect netbios#firewall interzone us1 untrustlate test.tpl detect ftpldap-servdetect mmsation base-detect mgcpin,dc=comdetect pptpdetect sipdetect sqlneter group-filtedetect h323detect rtsp-server authdetect qqfilter (obdetect dnsdetect ilsdetect netbiosldap-server u#rfirewall interzone us2 untrustldap-server server-typdetect ftpdetect m#5firewall interzone us1 dmz#acl ndetect ftpdetect mmsermit udp sdetect mgcp 1701detect pptpdetect sip 10 permitdetect rtsp#acldetect qq1detect dnse proposaldetect ilsencrypdetect netbiosdes-cbc#firewall interzone us2 dmzup2 group1 detect ftp-algorithmdetect mmshmac-sha1-9detect mgcpdetect pptpdetect sip#detect sqlnet111583362detect h323exchadetect rtspdetect qqe negotiatdetect dnsdetect ilspre-shadetect netbios;hfv{*71&V3Zc:Q#Cfirewall interzone us2 us1 detectdetect ilsdetect netbiosp encryption-al#r#hl2tp-group 1undo tunnel authenticationtemplate tpl20111583362 1 allow l2tp virtual-template 0security acl 3000#bgp 2#uripv4-family unicastnsparentundo synchronizationike-peer ike20111583#2aaalocal-user user2 password cipher %$%$c'D=2Et9!4PN)9O{Ix*S,d[R%$%$tipointl2tp-user-accesslocal-user user2 service-type ppplocal-addreslocal-user user2 level 0local-user user3 password cipher %$%$`;WkNM${E;O=5--=%y)-;\SJ%$%$sa duration time-based 3600#ipslocal-user user3 service-type pppkmp template tpllocal-user user3local-user user5 password cipher %$%$mkyG076$a8C'6T6lJN)FG"vm%$%$ remote address pool#interfalocal-user user5 service-type pppip address 10.local-user user5 level 0local-user user1 password cipher %$%$#P{Q0BpNp"yz9!2LK54Bag^U%$%$ip address 218.56.104.*** 255.255.255.252local-user user1 service-type pppy ipsec2011158331 auto-neglocal-user user1 level 0nat enablelocal-user huawei password cipher %$%$-a$}Vs@0k&S}SpNMuu/E6e\S%$%$ULL0 #firewall zone localset prilocal-user huawei password valid-days 999 trustset priority 85local-user huawei serv ftpdeauthentication-scheme test.scmdetect sipauthentication-mode vpndbdetect sqlnet#deauthorization-scheme defaultqqdetect msnauthorization-scheme test.scmdetect ilsdetectauthorization-mode vpndbinterface GigabitEthernet0/#accounting-scheme default#firewall zone dm#domain defaultet priority 50domain dot1xdetect ftpdomain test.domct rtspauthentication-scheme test.scm mgcpdetect sipdetect mmsdip route-static 192.100.7.0 255.255.255.0 10.10.10.2 pptp detect sqlnetdete#banner enabledetect qq#v-gateway test 218.56.104.*** private detect netbios#firewall zone#auser-interface con 0set priorituser-interface tty 2 3etect ftpmodem bothuser-interface vty 0 4detect mgcpauthentication-mode aaadetect pptpprotocol inbound alldetect h32#ip address-set sslvpn type objectetect dnsdetect ilsaddress 0 11.50.1.0 mask 24#firewall int#zsa l#aslbust#cwmp#detect h32policy 1detecaction permitdetect qqpolicy source 1.5.1.0 mask 24 detect dnsdetectpolicy destination 1.5.2.0 mask 24#firewall interzone localpolicy 0action permittect ftppolicy source 1.4.1.0 mask 24ect mgcpdetect pppolicy destination 1.3.1.0 mask 24detect sqlnetdetec#hnat-policy interzone trust untrust outboundtect qq detect msnnetwork-extension enablenetwork-extension point-to-point enablenetwork-extension netpool 10.5.5.50 10.5.5.150 255.255.255.0 network-extension mode manualnetwork-extension manual-route 10.5.5.0 255.255.255.0network-extension manual-route 124.0.0.0 255.0.0.0network-extension manual-route 119.0.0.0 255.0.0.0network-extension manual-route 183.0.0.0 255.0.0.0network-extension manual-route 111.0.0.0 255.0.0.0network-extension manual-route 1.0.0.0 255.0.0.0network-extension manual-route 11.0.0.0 255.0.0.0network-extension manual-route 12.0.0.0 255.0.0.0network-extension manual-route 13.0.0.0 255.0.0.0network-extension manual-route 14.0.0.0 255.0.0.0network-extension manual-route 15.0.0.0 255.0.0.0network-extension manual-route 16.0.0.0 255.0.0.0network-extension manual-route 17.0.0.0 255.0.0.0network-extension manual-route 18.0.0.0 255.0.0.0network-extension manual-route 19.0.0.0 255.0.0.0network-extension manual-route 20.0.0.0 255.0.0.0securitypolicy-default-action permit user-src-ippolicy-default-action permit user-dst-ippolicy-default-action permit user-urlpolicy-default-action permit vt-src-ippassword-setting password-intension low 8 high 31 digits 1 letters 2 mix password-setting safe-policy 1password-setting lifetime 0 alarm 0certification cert-anonymous cert-field user-filter subject cn group-filter subject cncertification cert-anonymous filter-policy permit-allcertification cert-challenge cert-field user-filter subject cncertification user-cert-filter key-usage any#****END****##return<USG2200><USG2200><USG2200><USG2200><USG2200>。
华为SRG2200路由器系列配置说明华为SRG2200路由器系列配置说明1、系统介绍1.1 系统概述1.2 路由器硬件配置1.3 系统功能特性2、路由器安装与连接2.1 路由器安装前准备2.2 路由器物理连接2.3 路由器电源接口配置3、路由器初始化配置3.1 登录路由器3.2 路由器基本配置3.3 设置管理用户3.4 配置SNMP3.5 配置系统时间4、接口配置4.1 Ethernet接口配置 4.2 WAN接口配置4.3 VLAN配置4.4 IP地质配置4.5 NAT配置5、高级路由配置5.1 静态路由配置5.2 动态路由配置5.3 路由协议配置5.4 网络地质转换6、安全配置6.1 访问控制列表6.2 防火墙配置6.3 服务过滤配置6.4 VPN配置7、QoS配置7.1 服务质量基本概念 7.2 限速配置7.3 入/出队列配置7.4 宽带管理8、网络管理8.1 SNMP管理配置8.2 Syslog配置8.3 流量监测与管理8.4 远程管理9、故障排除与日志分析9.1 常见故障排除方法 9.2 日志分析方法9.3 系统诊断命令10、附录10.1 路由器相关术语表 10.2 路由器配置示例本文档涉及附件:附件1:华为SRG2200路由器系列用户手册附件2:华为SRG2200路由器系列硬件安装指南附件3:华为SRG2200路由器系列命令参考手册法律名词及注释:1、版权:指对原创性文学、艺术、科学作品以及其他文化创作成果享有的权利。
法律规定了作者对其作品的独有权力。
2、商标:指用以标识商品或服务来源并区分其他竞争方的可视标记,如商标图案、商标名称等。
3、专利:指对新颖的、有创造性的、能够应用于工业领域的技术方案的保护。
4、法律责任:指对违反法律法规所产生的应当承担的法律后果。
SRG2200配置案例(校园网出口网关举例)校园网(大型企业)出口网关举例SRG 作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet,还可以避免P2P 流量阻塞网络,并保护内网不受网络攻击。
组网需求某学校网络通过SRG 连接到Internet,校内组网情况如下:l 学校有校内用户约500 个、提供对外访问的服务器2 台。
校内用户主要分布在教学楼和宿舍区,校内2 台提供对外访问的服务器分布在图书馆,是该校主页、招生及资源共享等网站。
l 学校分别通过两个不同运营商链路连接到Internet,带宽都是100M。
两个运营商ISP1、ISP2 分别为该校分配了5 个IP 地址。
ISP1 分配的IP 地址是200.1.1.1 ~200.1.1.5,ISP2 分配的IP 地址是202.1.1.1 ~202.1.1.5。
ISP1 提供的接入点为200.1.1.10,ISP2 提供的接入点为202.1.1.10。
该学校网络需要实现以下需求:l 校内用户能够通过两个运营商访问Internet,且为了提高访问速度,需要去往不同运营商的流量由分别连接两个运营商的对应接口转发。
l 当一条链路出现故障时,能够保证流量及时切换到另一条链路,避免网络长时间中断。
l 校内用户和校外用户都能够访问学校提供对外访问的服务器。
l 由于该学校P2P 流量较大,对网络影响严重,需要对校内用户进行P2P 限流。
l 需要保护内部网络不受到SYN Flood、UDP Flood 和ICMP Flood 攻击。
网络规划根据校园网络情况和需求,网络规划如下:l 为了实现校园网用户使用有限公网IP 地址接入Internet,需要配置NAPT 方式的NAT,借助端口将多个私网IP 地址转换为有限的公网IP 地址。
由于校园网连接两个运营商,因此需要分别进行地址转换,将私网地址转换为公网地址。
即创建两个安全区域ISP1 和ISP2(安全优先级低于DMZ 区域),并分别在Trust—ISP1 域间、Trust—ISP2 域间配置NAT outbound。
交换机配置整理2014年12月25日更新目录一、华为路由器配置整理 (3)1、华为SRG2200 路由器配置整理 (3)1) 华为SRG2200初始用户名和密码 (4)2) 华为SRG2200路由器配置整理 (4)3) SRG2200 路由器nat地址转换配置说明 (8)4) loopback和Null0 (8)2、华为NE40E 路由器配置整理 (9)NE40E常用指令汇总 (9)配置端口IP地址 (10)查看路由表 (12)配置LAN口的telnet访问 (12)配置基于接口地址池的DHCP 服务器 (13)dns服务 (13)nat 网络地址转换功能 (14)华为防火墙域之间inbound和outbound之间的区别 (15)3、华为路由器ACL带宽控制(未实践) (17)创建一个访问控制列表 (17)在ACL视图下,增加一个规则 (17)定义一个流分类 (19)进行流分类的匹配规则 (19)定义一个流行为并进入流行为 (20)为流行为配置和修改使用的流量监管 (20)# 定义流行为,接入速率为10Mbit/s,承诺突发流量尺寸为150000 字节。
(21)自己整理的样例 (23)二、华为交换机配置整理 (24)1、配置telnet访问 (24)2、显示端口状态和流量 (25)3、华为端口限速(网络上整理未实践) (25)华为S2300交换机如何配置端口限速 (25)华为S5000交换机如何配置端口限速 (26)华为S3900交换机如何配置端口限速 (27)华为S5120交换机如何配置端口限速 (28)华为S5700交换机如何配置端口限速 (28)三、H3C交换机配置整理 (29)1、配置telnet访问 (29)2、端口批量配置做隔离 (30)3、配置基于端口的VLAN (30)4、显示端口命令 (31)5、链路聚合典型配置举例 (31)6、交换机配置举例 (33)一、华为路由器配置整理1、目前SRG2200配置过的地方:1)百货大楼2)浙商3号馆3)望花大商2、华为NE40E 路由器配置整理(百货大楼因无防火墙nat功能未成功)1、华为SRG2200 路由器配置整理1、SRG2200 登陆用户名密码;2、SRG2200 路由器配置整理;3、SRG2200 路由器nat地址转换配置说明;****************************************1) 华为SRG2200初始用户名和密码****************************************用户名:admin密码:Admin@123串口连接和web连接都是一个****************************************2) 华为SRG2200路由器配置整理****************************************移动外网IP和移动dns;通过配置NAT转换的地址池,与上行端口的公网IP一致#nat address-group 0 nat 112.54.3.74 112.54.3.74#dns resolve //使能动态域名解析功能dns server 211.137.32.178 //设置DNS服务器IP地址dns proxy enable //使能DNS代理功能#(1)浙商3号馆的路由器出口配置移动内网的ip地址#interface GigabitEthernet0/0/0ip address 10.63.181.246 255.255.255.252#注:不要启用nat(web操作),否则上不去网(2)百货大楼的路由器出口配置子接口和VLAN号#interface GigabitEthernet0/0/1#interface GigabitEthernet0/0/1.1vlan-type dot1q 3932ip address 10.63.181.130 255.255.255.252#注:启用子接口必须配置vlan-type dot1q xxxx物理接口为网络上的每个 VLAN 配置一个接口,当一个借口需要负担多个vlan之间的通信时,就需要使用到子接口。
华为USG2200系列防火墙配置案例以下是一份华为USG2200系列防火墙的配置案例:1.基本配置首先登录到防火墙的Web界面,在“系统”选项下进行基本的系统配置。
包括设定主机名、时区、DNS服务器和网关地址等。
2.网络配置在“网络”选项中进行网络配置。
设定防火墙的网络接口和IP地址。
可以设定多个网络接口,为不同的网络提供连接。
配置完成后,需要应用并重启防火墙。
3.防火墙策略在“安全策略”选项下进行防火墙策略的配置。
可以根据实际需求设置入站和出站规则,限制或允许特定的IP地址或端口访问。
可以设置默认的阻止或允许策略。
4.访问控制列表(ACL)在“ACL”选项中进行访问控制列表的配置。
可以创建不同的ACL规则,根据源和目的IP地址、端口和协议等进行过滤控制。
可以设置允许或阻止特定的流量通过。
5.网络地址转换(NAT)在“NAT”选项中进行网络地址转换的配置。
可以将内部私有IP地址映射到公网IP地址,实现内部网络与外部网络的通信。
配置时需要设置源和目的IP地址的转换规则。
6.入侵防御系统(IDS)在“IDS”选项中进行入侵防御系统的配置。
可以启用IDS功能,并设置规则、行为和告警等。
IDS可以监测和阻止可能的攻击行为,保护网络的安全。
7.虚拟专网(VPN)在“VPN”选项中进行虚拟专网的配置。
可以创建VPN隧道,实现不同地点的安全通信。
可以设置IPSec或SSL VPN,并配置相关的参数和安全策略。
8.日志和告警在“日志和告警”选项中进行日志和告警的配置。
可以设定日志记录的级别和方式,并设置告警的方式和内容。
日志和告警功能可以帮助管理员及时发现和处理安全事件。
以上只是一个简单的配置案例,实际情况可能会更加复杂。
华为USG2200系列防火墙拥有多种高级功能,如反病毒、应用控制、网页过滤等,可以根据具体需求进行配置。
总结起来,华为USG2200系列防火墙的配置步骤包括基本配置、网络配置、防火墙策略、ACL、NAT、IDS、VPN、日志和告警等。
华为SRG2200路由器配置模板SRG2200作为华为新一代的业务路由器设备。
其特点较之前用过的AR28-11等设备更为明显。
全面支持了IPv4/IPv6双协议栈,提供了丰富的IPv4向IPv6过渡方案,包括双栈技术、隧道技术、地址转换技术(NAT-PT)等等。
同时,其安全防护功能也大大加强。
集成的状态检测防火墙功能在抵御各种网络攻击和DDoS攻击的同时,提供完备的网络地址转换(NAT)功能,还能对应用层攻击进行实时检测与防护;集成的反病毒AV(Anti-Virus)功能,采用Symantec强效病毒库,能够有效地保护网络抵御来自病毒、钓鱼、间谍软件、广告软件等的危险;集成的反垃圾邮件AS(Anti-Spam)功能,过滤垃圾邮件,阻止垃圾邮件和钓鱼攻击,支持外部反垃圾邮件联盟RBL邮件阻断扩展;集成的URL过滤和P2P/IM控制功能能更好的抵御对网络安全的威胁,减少对网络违规使用的行为,节约业务带宽,提高员工工作效率的同时也减少了访问违法内容所带来的法律风险。
丰富的路由特性SRG2200系列提供丰富的路由特性。
IPv6作为下一代网络的基础协议以其鲜明的技术优势得到广泛的认可,SRG2200系列全面支持IPv4/IPv6双协议栈,提供了丰富的IPv4向IPv6过渡方案,包括双栈技术、隧道技术、地址转换技术(NAT-PT)等等。
SRG2200系列支持通用的IPv4/1Pv6路由协议和IPv4组播路由协议,包括静态路由、RIPv2、RIPng、OSPFv2、OSPFv3、BGP-4、BGP-4+、IS-IS、IS-ISv6、PIM等等,同时支持MPLS、路由策略和路由迭代,从而使组网应用更加灵活。
专业级安全防御∙集成的状态检测防火墙功能在抵御各种网络攻击和DDoS攻击的同时,提供完备的网络地址转换(NAT)功能,还能对应用层攻击进行实时检测与防护;∙集成的VPN(IPSec & SSL VPN)功能在高性能硬件加解密芯片保障下,加密性能在业界同类产品中处于领先位置,且支持DES、3DES、AES与RSA等多种加密算法,能够提供高强度加密传输的自由安全连接;∙集成的入侵防御系统IPS能实时检测网络系统中的信息数据,并通过综合分析和比较,判断是否有入侵和可疑行为的发生,可采用多种方式实时告警,记录攻击行为,阻断攻击者的进攻,从而更好的防护网络外部和内部的攻击;∙集成的反病毒AV(Anti-Virus)功能,采用Symantec强效病毒库,能够有效地保护网络抵御来自病毒、钓鱼、间谍软件、广告软件等的危险;∙集成的反垃圾邮件AS(Anti-Spam)功能,过滤垃圾邮件,阻止垃圾邮件和钓鱼攻击,支持外部反垃圾邮件联盟RBL邮件阻断扩展;∙集成的URL过滤和P2P/IM控制功能能更好的抵御对网络安全的威胁,减少对网络违规使用的行为,节约业务带宽,提高员工工作效率的同时也减少了访问违法内容所带来的法律风险。
一配置E1模块controller E1 1/0/0channel-set 0 timeslot-list 1-31undo shut二配置端口IP1 配置以太网子接口IPinterface GigabitEthernet0/0/0und shutinterface GigabitEthernet0/0/0.1vlan-type dot1q 700description description to_DEFAULT_VLAN ip address 10.6.215.54 255.255.255.248ip relay address 10.6.200.1ip relay address 10.6.200.9dhcp select relayinterface GigabitEthernet0/0/0.2vlan-type dot1q 751description description to_BOSS_VPNip address 10.6.158.190 255.255.255.240ip relay address 10.6.200.1ip relay address 10.6.200.9dhcp select relayinterface GigabitEthernet0/0/0.5vlan-type dot1q 810description YYT_JKip address 10.6.106.38 255.255.255.252interface GigabitEthernet0/0/0.6vlan-type dot1q 820description YYT_TYPTip address 10.6.117.86 255.255.255.248interface GigabitEthernet0/0/0.7vlan-type dot1q 830description YYT_PDJip address 10.6.252.86 255.255.255.248interface GigabitEthernet0/0/0.8vlan-type dot1q 840description YYT_ZZZDip address 10.6.34.86 255.255.255.248interface LoopBack0ip address 10.6.197.140 255.255.255.2553 配置广域网端口,启用OSPF协议。
interface Serial1/0/0:0link-protocol pppdescription liqiaozhen-caishikou-2mip address 10.4.244.142 255.255.255.252interface GigabitEthernet0/0/1.1vlan-type dot1q 213description to_wangjing_7613Bip address 10.4.236.142 255.255.255.252;其中每个营业厅都有一个DOT1Q封装时的VLAN号。
营业厅之前不能混用。
ospf 200area 0.0.0.204network 10.4.244.140 0.0.0.3network 10.6.158.176 0.0.0.15network 10.6.197.140 0.0.0.0network 10.6.215.48 0.0.0.7network 10.4.236.140 0.0.0.3network 10.6.106.36 0.0.0.3network 10.6.117.80 0.0.0.7network 10.6.252.80 0.0.0.7network 10.6.34.80 0.0.0.7stub4 配置安全策略,实现营业厅各个网段(除广域网之外)两两不能互联。
(1)将为各个接口设置安全策略等级,在设置防火墙策略时,priority值越高则安全级越高。
优先级高的可以访问优先级低的区域,优先级低的不能访问优先级高的区域。
firewall zone untrustset priority 5add interface Serial1/0/0:0add interface GigabitEthernet0/0/1.1 ;默认untrust区域一般用于设置广域网端口。
firewall zone name defaultset priority 90add interface GigabitEthernet0/0/0.1 ;新增default区域匹配到对应端口firewall zone name bossset priority 80add interface GigabitEthernet0/0/0.2 ;新增boss区域匹配到对应端口firewall zone name jkset priority 81add interface GigabitEthernet0/0/0.5 ;新增jk 区域匹配到对应端口firewall zone name typtset priority 82add interface GigabitEthernet0/0/0.6 ;新增typt区域匹配到对应端口firewall zone name pdjset priority 83add interface GigabitEthernet0/0/0.7 ;新增pdj 区域匹配到对应端口firewall zone name zzzdset priority 84add interface GigabitEthernet0/0/0.8 ;新增zzzd 区域匹配到对应端口(2) 配置安全策略policy interzone default untrust outbound ;以下配置了default区域的策略policy 1action permitpolicy source 10.6.215.48 0.0.0.7policy destination 10.4.41.1 0policy destination 10.4.41.2 0policy destination 10.4.41.5 0policy destination 10.4.41.7 0policy 2action permitpolicy source 10.6.158.176 0.0.0.15policy source 10.4.236.140 0.0.0.3policy source 10.6.34.80 0.0.0.7policy source 10.6.252.80 0.0.0.7policy source 10.6.117.80 0.0.0.7policy source 10.6.106.36 0.0.0.3policy source 10.6.197.140 0policy source 10.6.215.48 0.0.0.7policy source 10.4.244.140 0.0.0.3policy destination anypolicy 3action permitpolicy source 10.6.215.54 0policy destination 10.6.200.1 0policy destination 10.6.200.9 0policy 4action denypolicy source anypolicy destination anypolicy interzone boss untrust outbound ;以下配置了boss区域的策略policy 1action permitpolicy source 10.6.215.48 0.0.0.7policy destination 10.4.41.1 0policy destination 10.4.41.2 0policy destination 10.4.41.5 0policy destination 10.4.41.7 0policy 2action permitpolicy source 10.6.158.176 0.0.0.15policy source 10.4.236.140 0.0.0.3policy source 10.6.34.80 0.0.0.7policy source 10.6.252.80 0.0.0.7policy source 10.6.117.80 0.0.0.7policy source 10.6.106.36 0.0.0.3policy source 10.6.197.140 0policy source 10.6.215.48 0.0.0.7policy source 10.4.244.140 0.0.0.3policy destination anypolicy 3action permitpolicy source 10.6.215.54 0policy destination 10.6.200.1 0policy destination 10.6.200.9 0policy 4action denypolicy source anypolicy destination anypolicy interzone jk untrust outbound ;以下配置了jk区域的策略policy 1action permitpolicy source 10.6.215.48 0.0.0.7policy destination 10.4.41.1 0policy destination 10.4.41.2 0policy destination 10.4.41.5 0policy destination 10.4.41.7 0policy 2action permitpolicy source 10.6.158.176 0.0.0.15policy source 10.4.236.140 0.0.0.3policy source 10.6.34.80 0.0.0.7policy source 10.6.252.80 0.0.0.7policy source 10.6.117.80 0.0.0.7policy source 10.6.106.36 0.0.0.3policy source 10.6.197.140 0policy source 10.6.215.48 0.0.0.7policy source 10.4.244.140 0.0.0.3policy destination anypolicy 3action permitpolicy source 10.6.215.54 0policy destination 10.6.200.1 0policy destination 10.6.200.9 0policy 4action denypolicy source anypolicy destination anypolicy interzone typt untrust outbound ;以下配置了typt 区域的策略policy 1action permitpolicy source 10.6.215.48 0.0.0.7policy destination 10.4.41.1 0policy destination 10.4.41.2 0policy destination 10.4.41.5 0policy destination 10.4.41.7 0policy 2action permitpolicy source 10.6.158.176 0.0.0.15policy source 10.4.236.140 0.0.0.3policy source 10.6.34.80 0.0.0.7policy source 10.6.252.80 0.0.0.7policy source 10.6.117.80 0.0.0.7policy source 10.6.106.36 0.0.0.3policy source 10.6.197.140 0policy source 10.6.215.48 0.0.0.7policy source 10.4.244.140 0.0.0.3policy destination anypolicy 3action permitpolicy source 10.6.215.54 0policy destination 10.6.200.1 0policy destination 10.6.200.9 0policy 4action denypolicy source anypolicy destination anypolicy interzone pdj untrust outbound ;以下配置了pdj区域的策略policy 1action permitpolicy source 10.6.215.48 0.0.0.7policy destination 10.4.41.1 0policy destination 10.4.41.2 0policy destination 10.4.41.5 0policy destination 10.4.41.7 0policy 2action permitpolicy source 10.6.158.176 0.0.0.15policy source 10.4.236.140 0.0.0.3policy source 10.6.34.80 0.0.0.7policy source 10.6.252.80 0.0.0.7policy source 10.6.117.80 0.0.0.7policy source 10.6.106.36 0.0.0.3policy source 10.6.197.140 0policy source 10.6.215.48 0.0.0.7policy source 10.4.244.140 0.0.0.3policy destination anypolicy 3action permitpolicy source 10.6.215.54 0policy destination 10.6.200.1 0policy destination 10.6.200.9 0policy 4action denypolicy source anypolicy destination anypolicy interzone zzzd untrust outbound ;以下配置了zzzd区域的策略policy 1action permitpolicy source 10.6.215.48 0.0.0.7policy destination 10.4.41.1 0policy destination 10.4.41.2 0policy destination 10.4.41.5 0policy destination 10.4.41.7 0policy 2action permitpolicy source 10.6.158.176 0.0.0.15policy source 10.4.236.140 0.0.0.3policy source 10.6.34.80 0.0.0.7policy source 10.6.252.80 0.0.0.7policy source 10.6.117.80 0.0.0.7policy source 10.6.106.36 0.0.0.3policy source 10.6.197.140 0policy source 10.6.215.48 0.0.0.7policy source 10.4.244.140 0.0.0.3policy destination anypolicy 3action permitpolicy source 10.6.215.54 0policy destination 10.6.200.1 0policy destination 10.6.200.9 0policy 4action denypolicy source anypolicy destination any(3) 在全局应用策略,使得营业厅各网段两两不能互联。
