标准版
接口ip配置
r2
[r2]interface GigabitEthernet 0/0/0
[r2-GigabitEthernet0/0/0]ip address 13.0.0.3 24
[r2-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1
[r2-GigabitEthernet0/0/1]ip address 100.1.1.254 24
[r2-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[r2-GigabitEthernet0/0/2]ip address 110.1.1.254 24
r3
[Huawei]sysname r3
[r3]interface GigabitEthernet 0/0/0
[r3-GigabitEthernet0/0/0]ip address 12.0.0.2 24
.
[r3-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1
[r3-GigabitEthernet0/0/1]ip address 210.1.1.254 24
[r3-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[r3-GigabitEthernet0/0/2]ip address 200.1.1.254 24
fw
[USG6000V1]sysname FW
[FW]interface GigabitEthernet 0/0/0
[FW-GigabitEthernet0/0/0]service-manage all permit
[FW]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0]ip address 192.168.1.254 24
[FW-GigabitEthernet1/0/0]interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1]ip address 13.0.0.1 24
[FW-GigabitEthernet1/0/1]interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2]ip address 12.0.0.1 24
client1:1
client2:2
电信dns:3,4
百度web1:5,6
联通dns:5:7,8
百度web2:9,10
安全区域划分:
[FW]firewall zone trust
[FW-zone-trust]add interface GigabitEthernet 1/0/0
[FW]firewall zone name untrust_1 ---创建除四个基本安全区域外的安全区域
[FW-zone-untrust_1]set priority 10 ----设置优先级
[FW-zone-untrust_1]add interface GigabitEthernet 1/0/1----添加接口
[FW]firewall zone name untrust_2
[FW-zone-untrust_2]set priority 15
[FW-zone-untrust_2]add interface GigabitEthernet 1/0/2
web划分安全区域:11
导入运营商地址库ISP(只能在web页面操作,导入的excel表格文件另存为类型为CSV-逗号隔):12,13
电信导入文件:14
链路接口:15,16(这里没有勾选缺省路由,因为勾选缺省路由则不会下发明细路由)
配置真实dns服务器:
[FW]slb enable ---开启服务器负载均衡功能
[FW]slb ----进入负载均衡配置视图
[FW-slb]group 0 dns-----创建真实服务器组,组名
[FW-slb-group-0]metric roundrobin ----选择负载均衡算法为简单轮询
[FW-slb-group-0]rserver 0 rip 100.1.1.1 port 53 ---设定真实服务器IP地址,服务端口号
[FW-slb-group-0]rserver 1 rip 200.1.1.1 port 53
web:17
创建虚拟dns服务器:
[FW]slb
[FW-slb]vserver 0 dns----创建虚拟服务器组,组名
[FW-slb-vserver-0]vip 10.10.10.10----设定虚拟服务器IP地址
[FW-slb-vserver-0]group dns----关联真实服务器组,真实服务器组名为dns
web:18
配置dns服务器透明代理功能:
[FW]dns-transparent-policy ---进入dns透明代理视图
[FW-policy-dns]dns transparent-proxy enable----开启dns透明代理功能
web:19(模拟器上只能通过命令行开启)
防火墙对应接口绑定要代理的服务器IP
[FW]dns-transparent-policy ---进入dns透明代理视图
[FW-policy-dns]dns server bind interface GigabitEthernet 1/0/1 preferred 100.1.1.1
---------------将100.1.1.1这个要代理的服务器的ip地址与1/0/1这个服务器上的对于接口绑定
[FW-policy-dns]dns server bind interface GigabitEthernet 1/0/2 preferred 200.1.1.1
web:20
透明代理策略
[FW]dns-transparent-policy ---进入dns透明代理视图
[FW-policy-dns]rule name dns_polic----创建规则
[FW-policy-dns-rule-dns_polic]source-address 192.168.1.0 24-----绑定源地址
[FW-policy-dns-rule-dns_polic]enable ----启用这个规则
[FW-policy-dns-rule-dns_polic]action tpdns ----动作代理dns
web:21
安全策略:
web:22,23
internet:23对应命令行
[FW-policy-security]rule name internet----创建安全策略
[FW-policy-security-rule-internet]source-zone trust ---源区域
[FW-policy-security-rule-internet]destination-zone untrust_1 untrust_2---目的区域
[FW-policy-security-rule-internet]source-address 192.168.1.0 mask 255.255.255.0---源ip地址(目的地址是any可以不写自动为any)
[FW-policy-security-rule-internet]action permit ----动作
还可以设定服务和时间
这里22可以选择dns服务
service dns
23选择http,https 服务
service http
service https
nat策略:
源nat:
web:(出接口方式:easy-ip)
策略1:24
策略2:
[FW]nat-policy
[FW-policy-nat]rule name 2
[FW-policy-nat-rule-2]source-zone trust
[FW-policy-nat-rule-2]destination-zone untrust_2
[FW-policy-nat-rule-polic1]source-address 192.168.1.0 24
[FW-policy-nat-rule-2]action source-nat easy-ip
client1尝试获取www.baidu.com
:25
client2尝试获取www.baidu.com
:26
nat(地址池):
源nat
将13.0.0.10/24加入地址池1
12.0.0.10/24加入地址池2
将对于网段中的ip加入对于地址池
[FW]nat address-group 1 ----创建nat地址池1
[FW-address-group-1]section 13.0.0.10-----直接回车是只加入0.10这一个地址,这里只加入0.10
([FW-address-group-1]section 13.0.0.10 13.0.0.20 ----这是加入一段连续的地址)
[FW-address-group-1]mode pat-----这里忘记选择是否开启端口转换,默认为PAT开启所以是NAPT,这里是想配no-pat的,下面补充了no-pat配置
[FW-address-group-1]route enable ----开启黑洞路由,防环
地址池2:web:27
配置nat策略:
[FW]nat-policy ----进入nat策略配置视图
[FW-policy-nat]rule name polic1 -----创建策略,策略名
[FW-policy-nat-rule-polic1]source-zone trust ----源区域
[FW-policy-nat-rule-polic1]destination-zone untrust_1----目的区域
[FW-policy-nat-rule-polic1]source-address 192.168.1.0 mask 255.255.255.0 ---源ip地址
这里目的地址是any,所以不用写
[FW-policy-nat-rule-polic1]action source-nat address-group 1----设置动作为使用源NAT方式,调用地址池1
polic2:web:28
配置安全策略(web配置nat时下面最下面会提醒新建安全策略点击后会有模板可以直接点击确定使用,这里我直接使用模板):29,30
测试结果:31,32
[FW]display firewall session table---查看会话表
[FW]display firewall server-map ---查看server-map表---这里访问的是服务器虚拟dns服务器,并且使用的是NAPT(NAPT不产生server-map表,no-pat产生server-map表):33
NAT NO-PAT:
[FW-address-group-1]mode no-pat global -----在创建地址池时选择no-pat,全局
NAPT :
修改时要先删除使用此地址池的nat策略才能修改
[FW-address-group-1]mode pat------修改no-pat为pat进行端口转换
web界面:创建地址池时勾选允许端口转换即可
Smart NAT(聪明的NAT):
nat地址池配置:
[FW]nat address-group 1
[FW-address-group-1]mode no-pat global
[FW-address-group-1]section 13.0.0.10
[FW-address-group-1]route enable
[FW-address-group-1]smart-nopat 13.0.0.20 ----预留地址
[FW]nat address-group 2
[FW-address-group-2]mode no-pat global
[FW-address-group-2]section 12.0.0.10
[FW-address-group-2]route enable
[FW-address-group-2]smart-nopat 12.0.0.20
nat策略:
nat策略:
[FW]nat-policy ---进入nat策略视图
[FW-policy-nat]rule name 1 -创建策略
[FW-policy-nat-rule-1]source-zone trust ---源区域
[FW-policy-nat-rule-1]destination-zone untrust_1 --目的区域
[FW-policy-nat-rule-1]source-address 192.168.1.0 24 ----源地址(目的any不用写)
[FW-policy-nat-rule-1]action source-nat address-group 1 ---动作源nat,地址1
[FW]nat-policy
[FW-policy-nat]rule name 2
[FW-policy-nat-rule-2]source-zone trust
[FW-policy-nat-rule-2]destination-zone untrust_2
[FW-policy-nat-rule-2]source-address 192.168.1.0 24
[FW-policy-nat-rule-2]action source-nat address-group 2
安全策略(换nat要删除之前创建的nat策略,地址池,安全策略)(建议如果是web页面配置的nat策略直接在配置nat策略时点击生成安全策略就好):
rule name 1
source-zone trust
destination-zone untrust_1
source-address 192.168.1.0 mask 255.255.255.0
action permit
rule name 2
description NAT策略(2)引入
source-zone trust
destination-zone untrust_2
source-address 192.168.1.0 mask 255.255.255.0
action permit
web:35
测试:这里新加了两台pc用作测试:38
[FW]display firewall server-map ---查看server-map表
[FW]display firewall session table ----查看会话表
:39,40
三元组 NAT:
配置地址池
[FW]nat address-group 1
[FW-address-group-1]mode full-cone global ----选择该模式,全局
[FW-address-group-1]section 13.0.0.10
[FW-address-group-1]route enable -----开启黑洞路由
地址池2:web:41
配置nat策略
[FW]nat-policy
[FW-policy-nat]rule name 1
[FW-policy-nat-rule-1]source-zone trust
[FW-policy-nat-rule-1]destination-zone untrust_1
[FW-policy-nat-rule-1]source-address 192.168.1.0 24
[FW-policy-nat-rule-1]action source-nat address-group 1
策略2:web:42
安全策略:(建议在web配置nat策略时直接点击生成安全策略)
例子:
[FW]security-policy -----进入安全策略配置视图
rule name 1
description NAT策略(1)引入
source-zone trust
destination-zone untrust_1
source-address 192.168.1.0 mask 255.255.255.0
action permit
开启端口过滤功能;
[FW]firewall endpoint-independent filter enable --开启端口过滤功能;
意义:此时的server-map表项,不受安全策略的控制
测试:43
[FW]display firewall server-map ---查看server-map表
[FW]display firewall session table ----查看会话表:44
开启端口过滤后FW1/0/1口抓包:45
智能选路
就近选路 --- ISP选路
步骤一:配置健康检查
[FW]healthcheck enable --激活健康检查机制
[FW]healthcheck name isp1 -------创建健康检查模板,名称为isp1
[FW-healthcheck-isp1]destination 110.1.1.1 interface GigabitEthernet 1/0/1 proto
col tcp-simple destination-port 80
----目标为110.1.1.1,出接口GE1/0/1,协议为TCP的简单协议,端口号80
[FW-healthcheck-isp1]destination 100.1.1.1 interface GigabitEthernet 1/0/1 proto
col tcp-simple destination-port 80
----目标为100.1.1.1,出接口GE1/0/1,协议为TCP的简单协议,端口号80
[FW]healthcheck enable
[FW]healthcheck name isp2
[FW-healthcheck-isp2]destination 200.1.1.1 interface GigabitEthernet 1/0/2 proto
col tcp-simple destination-port 80
[FW-healthcheck-isp2]destination 210.1.1.1 interface GigabitEthernet 1/0/2 proto
col tcp-simple destination-port 80
web:46,47
步骤二:应用健康检查(可以将对于接口shutdown ,到web链路接口查看是否shutdown )
[FW]interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1]healthcheck isp1
[FW]interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2]healthcheck isp2
web:在链路接口可以选择健康检测:48
测试:51
步骤三:上传ISP地址库 --- 该步骤只能在web界面上传-----上面做过了(web)
步骤四:配置链路接口-----上面做过了(web)
步骤五:安全策略---上面做过了
步骤六:NAT策略---上面做过了
缺省路由(关闭链路接口的缺省路由下放功能,否则无法正常下放明细路由。)
关闭在web勾选的缺省路由后查看路由表(什么做时候没有勾选):49
[FW]display ip routing-table protocol unr ----在命令行查看unr路由表
缺省路由:
[FW]ip route-static 0.0.0.0 0 13.0.0.3
[FW]ip route-static 0.0.0.0 0 12.0.0.2
策略路由选路
1、安全策略配置----上面做过了
2、IP-Link安全策略
[FW-policy-security]rule name ip_link
[FW-policy-security-rule-ip_link]source-zone trust
[FW-policy-security-rule-ip_link]destination-zone untrust_1 untrust_2
[FW-policy-security-rule-ip_link]action permit
3、IP-Link功能
[FW]ip-link check enable
[FW]ip-link name p_1
[FW-iplink-p_1]destination 13.0.0.3 interface GigabitEthernet 1/0/1
[FW]ip-link name p_2
[FW-iplink-p_2]destination 12.0.0.2 interface GigabitEthernet 1/0/2
4、配置策略路由
[FW]policy-based-route ---进入PBR配置视图
[FW-policy-pbr]rule name 1----创建策略路由,名字是1
[FW-policy-pbr-rule-1]source-zone trust ----源区域
[FW-policy-pbr-rule-1]source-address 192.168.1.1 mask 255.255.255.0 ---目的地址
[FW-policy-pbr-rule-1]destination-address 100.1.1.1 mask 255.255.255.0 ---目的地址
[FW-policy-pbr-rule-1]track ip-link p_1----绑定IP-Link监控
[FW-policy-pbr-rule-1]action pbr next-hop 13.0.0.3---设定动作以及下一跳
( action pbr egress-interface GigabitEthernet1/0/1 next-hop 13.0.0.3设定动作以及出接口,下一跳)
web:52,53
5、配置NAT---上面做过了
配置全局选路策略
1、配置链路接口---上面配过了
2、配置接口所在链路带宽以及过载保护机制
[FW]interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1]bandwidth ingress 200000
[FW-GigabitEthernet1/0/1]bandwidth egress 200000
[FW-GigabitEthernet1/0/1]bandwidth ingress 200000 threshold 95
--入方向带宽200M以及过载保护,过载保护阈值95%
[FW-GigabitEthernet1/0/1]bandwidth egress 200000 threshold 95
--出方向带宽200M以及过载保护,过载保护阈值95%
[FW-GigabitEthernet1/0/1]gateway 13.0.0.3-----网关13.0.0.3
[FW]interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2]bandwidth ingress 100000 threshold 95
[FW-GigabitEthernet1/0/2]bandwidth egress 100000 threshold 95
[FW-GigabitEthernet1/0/2]gateway 12.0.0.2
web:54
3、配置全局选路策略
[FW]multi-linkif ---进入多出口链路策略配置视图
[FW-multi-linkif]mode proportion-of-bandwidth ---选择链路带宽负载分担
[FW-multi-linkif]add linkif 1 ---添加链路接口
[FW-multi-linkif]add linkif 2
[FW-multi-linkif]session persistence enable ---开启会话保持功能
[FW-multi-linkif]session persistence mode destination-ip ---设定会话保持功能模
式为目的IP
web:55
扫一扫
8425
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
