防火墙命令行基础配置实验(H3C模拟器)

最新推荐文章于 2024-06-13 16:25:36 发布
原创 最新推荐文章于 2024-06-13 16:25:36 发布 · 4.7k 阅读 · 52 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

嘿,这里是目录!

⭐ H3C模拟器资源链接

H3C网络设备模拟器官方免费下载

1. 实验示意图

在这里插入图片描述

2. 要求

  • R1和R2之间运行OSPF协议
  • 广域网区域只能访问语音平台区
  • 互联网区域只能访问货运电子商务区
  • 把电子商务区的主机10.208.14.146 的23端口在互联网防火墙上映射为117.125.86.14的2323端口12
  • 语音平台PC 可以访问路由器R1的Loopback 0地址3456

3. 当前配置

3.1 PC配置

  • 配置PC的ip地址、子网掩码和网关(在模拟器中,右键PC图标,选择“启动”,然后右键PC图标,选择“配置”)

3.2 FW配置(防火墙)78

  • 需要了解基础的5个安全域的概念9
  • 一般先要确定路由可达,然后再谈做安全策略的问题,所以要先将防火墙所有接口划分至相对应的安全域,然后开通any(即任何安全域)到any全放通(action pass)策略,最后调整安全策略
  • 如果A区域(与防火墙直连的端口)想ping通防火墙本身,需要开通A区域到Local的策略
  • 如果防火墙本身想ping通A区域(与防火墙直连的端口),需要开通Local到A区域的策略
  • 如果希望防火墙使用动态路由,防火墙必须放开到Local的策略
  • 如果不写任何策略,防火墙默认是全拒绝的,不管哪里访问哪里
  • 对于防火墙来说,一般出口方向设置为默认通过,入口方向需要控制
  • 防火墙最基础的配置涉及以下命令1011121314
security-zone name A(名字随便起,最好简单、相关性高)
import int g1/0/0
quit

security-zone name B(名字随便起)
import int g1/0/1
quit

security-policy ip
rule name A-B(名字随便起)
source-zone A
destination-zone B
action pass
quit
quit

放通any到any的策略
security-policy ip
rule name any(名字随便起)
action pass
quit
quit

3.2.1 FW1配置

策略名称源安全域目的安全域动作
WAN-VoiceWANVoicepass
Voice-WANVoiceWANpass
Internet-ECommerceInternetECommercepass
ECommerce-Internet
(不是必须要配,主要用来测试路由是否配置合适,SW4能否ping通117.125.86.1)		ECommerceInternetpass
sys
sysname FW1

int g1/0/0
ip add 1.1.1.1 30
quit
security-zone name WAN
import int g1/0/0
quit

int g1/0/1
ip add 2.2.2.1 30
quit
security-zone name Voice
import int g1/0/1
quit

int g1/0/2
ip add 3.3.3.1 30
quit
security-zone name Internet
import int g1/0/2
quit

int g1/0/3
ip add 4.4.4.1 30
quit
security-zone name ECommerce
import int g1/0/3
quit

ip route-static 10.1.4.0 30 1.1.1.2
ip route-static 10.1.4.100 32 1.1.1.2
ip route-static 10.208.7.0 24 2.2.2.2
ip route-static 117.125.86.0 27 3.3.3.2(很重要!!!⭐⭐⭐)
ip route-static 10.208.14.0 24 4.4.4.2

security-policy ip
rule name WAN-Voice
source-zone WAN
destination-zone Voice
action pass
quit

rule name Voice-WAN
source-zone Voice
destination-zone WAN
action pass
quit

rule name Internet-ECommerce
source-zone Internet
destination-zone ECommerce
action pass
quit

rule name Ecommerce-Internet(不是必须要配,主要用来测试路由是否配置合适,SW4能否ping通117.125.86.1)
source-zone Ecommerce
destination-zone Internet
action pass
quit
quit

3.2.2 FW2配置

策略名称源安全域目的安全域动作
Trust-Untrust
可以设置,但没必要		TrustUntrustpass
Untrust-Trust
必须要配		UntrustTrustpass
Trust-Local
(不是必须要配,主要用来测试路由是否配置合适,SW4能否ping通117.125.86.1)		TrustLocalpass
Local-Trust
可以设置,但没必要		LocalTrustpass
Untrust-Local
必须要配		UntrustLocalpass
Local-Untrust
可以设置,但没必要		LocalUntrustpass
sys
sysname FW2

int g1/0/0
ip add 3.3.3.2 30
quit
security-zone name Trust
import int g1/0/0
quit

int g1/0/1
ip add 117.125.86.1 27
【本句测试使用,与实验无关:整了个Server,开启了HTTP Server服务(ip http enable):nat server protocol tcp global 117.125.86.14 8081 inside 10.208.14.146 81 (rule ServerRule_2)】
nat server protocol tcp global 117.125.86.14 2323 inside 10.208.14.146 23 (rule ServerRule_1)
quit
security-zone name Untrust
import int g1/0/1
quit

security-policy ip
rule name Trust-Untrust(可以设置,但没必要)
source-zone Trust
destination-zone Untrust
action pass
quit

rule name Untrust-Trust(必须要配)
source-zone Untrust
destination-zone Trust
action pass
quit

rule name Trust-Local(不是必须要配,主要用来测试路由是否配置合适,SW4能否ping通117.125.86.1)
source-zone Trust
destination-zone Local
action pass
quit

rule name Local-Trust(可以设置,但没必要)
source-zone Local
destination-zone Trust
action pass
quit

rule name Untrust-Local(必须要配)
source-zone Untrust
destination-zone Local
action pass
quit

rule name Local-Untrust(可以设置,但没必要)
source-zone Local
destination-zone Untrust
action pass
quit
quit

ip route-static 4.4.4.0 30 3.3.3.1(不需要这条命令)
ip route-static 10.208.14.0 24 3.3.3.1

dis nat all(可查看防火墙上所有的nat)
在SW3 telnet时验证: dis nat session source-ip 117.125.86.2

3.3 R配置

3.3.1 R1配置

sys
sysname R1
int g0/0/0
ip add 10.1.4.1 30
quit

route id 10.1.4.100
int loopback 0
ip add 10.1.4.100 32
quit

ospf 1
import-route direct(用来跑loopback)
area 0.0.0.0
network 10.1.4.0 0.0.0.3
import-route static(不需要这条命令)
quit

ip route-static 10.208.7.0 24 10.1.4.2(不需要这条命令)

int g0/0/0
ip add 10.1.4.1 30
quit

3.3.2 R2配置

sys
sysname R2
int g0/0/0
ip add 10.1.4.2 30
quit

ospf 1
import-route static
area 0.0.0.0
network 10.1.4.0 0.0.0.3
network 1.1.1.0 0.0.0.3
import-route direct(不需要这条命令)
quit

int g0/0/0
ip add 10.1.4.2 30
quit

int g0/0/1
ip add 1.1.1.2 30
quit

ip route-static 10.208.7.0 24 1.1.1.1

3.4 SW配置

3.4.1 SW1配置

sys
sysname SW1

vlan 7
quit
int vlan 7
ip add 10.208.7.1 24
quit

vlan 2
quit
int vlan 2
ip add 2.2.2.2 30
quit

int g1/0/1
port link-type access
port access vlan 7

int g1/0/2
port link-type access
port access vlan 2

ip route-static 10.1.4.0 30 2.2.2.1
ip route-static 10.1.4.100 32 2.2.2.1

3.4.2 SW2配置

sys
sysname SW2

vlan 14
quit
int vlan 14
ip add 10.208.14.1 24
quit

vlan 4
quit
int vlan 4
ip add 4.4.4.2 30
quit

int g1/0/1
port link-type access
port access vlan 14

int g1/0/2
port link-type access
port access vlan 4

ip route-static 0.0.0.0 0 4.4.4.1 (很重要!!!⭐⭐⭐)

3.4.3 SW3配置

sys
sysname SW3

vlan 117
quit
int vlan 117
ip add 117.125.86.2 27
quit

int g1/0/1
port link-type access
port access vlan 117

ip route-static 10.1.4.0 30 2.2.2.1(不需要这条命令)
ip route-static 10.1.4.100 32 2.2.2.1(不需要这条命令)

验证
telnet 117.125.86.14 2323

3.4.4 SW4配置

sys
sysname SW4

vlan 14
quit
int vlan 14
ip add 10.208.14.146 24
quit

int g1/0/1
port link-type access
port access vlan 14

ip route-static 0.0.0.0 0 10.208.14.1(很重要!!!⭐⭐⭐)
save

telnet server enable
local-user ljjt
password-control length 8
password simple Ljjt@321
service-type telnet
authorization-attribute user-role network-operator
quit
line vty 0 4
authentication-mode scheme
user-role network-operator
quit

虚假的参考文献

  1. NAT技术白皮书-6W100 ↩︎

  2. 全局nat ↩︎

  3. 请问,配置loopback环回接口的作用是什么? ↩︎

  4. Loopback接口和NULL接口配置命令 ↩︎

  5. loopback是什么 ospf ↩︎

  6. 路由器的Loopback地址是什么意思? ↩︎

  7. 【防火墙技术连载5】强叔侃墙 基础知识篇 状态检测和会话机制 ↩︎

  8. 防火墙状态检测及会话表技术 ↩︎

  9. 基础概念(安全域、安全策略、NAT)——H3C SecPath 防火墙产品 快速开局指导-6W100 ↩︎

  10. H3C 防火墙安全域基本配置 ↩︎

  11. 问一下防火墙的zone-pair和security-policy有什么区别? ↩︎

  12. H3C F1030防火墙如何用命令配置策略 ↩︎

  13. H3C SecPath F1000系列 防火墙 ↩︎

  14. 智能安全策略技术白皮书-6W100 ↩︎

华三H3C防火墙配置IPsec
weixin_45642360的博客
05-16 780
华三h3c防火墙配置ipsec
H3C防火墙实验
m0_56063470的博客
11-27 2050
配置ip和默认路由省略(ip rou 0.0.0.0 0 10.0.0.2/ip rou 0.0.0.0 0 20.0.0.2) 改名(第一部做) 改名 sysname fn 绑定防火墙安全域端口 [fn]security-zone name Trust [fn-security-zone-Trust]import interface g1/0/0 [fn]security-zone name untrust [fn-security-zone-Untrust]import interfa
h3c防火墙配置命令大全
07-27
h3c secpath f100-s防火墙的系统说明表
H3C防火墙及IPsec综合实验
qq_45049184的博客
03-08 9461
我们知道IPsec需要配置感兴趣流来抓取本端私网到达对端私网的流量,NAT转换抓取的同样也是本端私网流量,且NAT的优先级高于IPsec的优先级,如此一来会导致需要被IPsec封装的流量被NAT抓取且当做正常流量导向了公网。所以为了避免这种情况,我们需要在用于匹配NAT的ACL再加上一条ACL用于匹配IPsec的感兴趣流,成功匹配则将其丢弃,这样即使访问对端私网的流量到达了NAT也会被其丢弃,同时也不会影响NAT的正常工作。按照拓扑图所示配置,业务网段全配置在设备的loopback接口,配置过程略。
实战篇【2】-H3C防火墙开局基础配置
热门推荐
weixin_47402139的博客
03-03 1万+
本篇文章为“H3C防火墙开局基础配置”,主要涵盖配置管理地址、聚合端口、安全区域、安全策略、静态路由、ACL,WEB和SSH远程管理、Console、SNMP、NTP时钟、日志主机等内容,对比交换机配置开局,增加两处配置,安全区域和安全策略。方便调试人员远程管理、调试。
H3C 防火墙混合实验华三杯拆解
呦菜呦爱玩的博客
11-23 1809
项目需求 1. 根据题目要求配置IP地址,用路由器模拟PC和internet,只做静态路由 2. 防火墙端口绑定安全域,配置安全策略,local/trust/untrust 域可互通 3. 内网做ospf 4. 配置NAT使内网可访问 internet
H3C模拟器VLAN配置实验配套环境(Access、Trunk、Hybrid)
08-05
实验围绕“H3C模拟器VLAN配置”展开,主要涵盖了Access接口、Trunk接口和Hybrid接口三种类型的VLAN配置,这些都是企业网络中常见的接口类型,对于理解VLAN工作原理和实际操作具有重要意义。 VLAN(Virtual Local ...
H3C_MSTP基础配置案例
04-21
**H3C MSTP基础配置案例详解** MSTP(Multiple Spanning Tree Protocol,多生成树协议)是一种用于局域网(LAN)的网络技术,旨在解决传统的生成树协议(如STP或RSTP)在大型网络中可能导致的网络性能问题。在本...
H3C_VRRP基础配置案例
04-23
H3C_VRRP基础配置案例主要讲解了如何在H3C网络设备上,如交换机和路由器,设置VRRP来确保业务网段的稳定性。 在本案例中,使用的是HCL3.0.1,这是H3C模拟器环境,适合初学者进行实践操作。拓扑结构包括两台核心...
H3C_综合配置之NAT及端口映射基础案例
04-20
本文将深入解析H3C网络设备(如交换机、路由器)在V7版本下的NAT和端口映射基础配置,适用于初入行的网络工程师学习参考。 在HCL3.0.1模拟环境下,我们设定一个典型的网络架构:内网A有一台SERVER(模拟路由器),...
H3C_ACL包过滤基础配置案例
04-18
案例的网络拓扑包括两台路由器(RT)和三台PC(PC_3、PC_4和PC_5),所有设备都在HCL3.0.1(H3C模拟器)环境下运行。我们需要配置网络,使得PC_3只能访问PC_4,而不能访问PC_5,这可以通过设置ACL来实现。 **配置...
h3c防火墙配置手册
03-05
非常适合新手学习的防火墙配置手册,有很多防火墙配置知识在里面。
H3C安全防火墙配置实验手册V7.rar
07-28
H3C安全防火墙配置实验手册V7 内容丰富
h3c防火墙典型配置实例
07-30
本文档针对Secoway USG2200/5120/5150(USG)的各种典型应用场景,通过配置举例介绍了系统管理、接入、IP业务、IP路由、安全防范、QoS、可靠性等各种功能的配置方法。
H3C secpath系列防火墙配置命令行详解
03-31
H3C secpath系列防火墙配置命令行详解
h3c防火墙配置命令
12-11
h3c防火墙配置命令,很实用,非常好用,为工程人员提供更多参考
H3C防火墙F1000-C-G通过命令行配置,开启对设备的Web管理
最新发布
Jian Sun_的博客
06-13 2602
H3C防火墙买回来准备使用,按配置文档操作,ping 默认地址192.168.0.1不通;通过web浏览器访问 http://192.168.0.1也访问不到。# 目前已有用户可用admin,如果系统无用户名,需要设置相应的用户名,并开启相应服务,用于Web 登录。# 系统默认将管理口加入到Management 域。# 配置地址对象,管理主机的IP 地址为192.168.2.1。# 配置Management 域到Local 域之间的域间策略。通过命令行设置管理口,实现对设备的Web管理。
H3C交换机防火墙配置命令
diven2的博客
11-28 3189
port GE 0/4 to GE0/7 //将4到7号端口加入到VLAN2中,此命令只能用来加access端口,不能用来增加trunk或者hybrid端口,批量端口绑定。端口三种模式port link-type trunk/access/hybrid //配置接口的链路类型。undo vlanall //删除除缺省VLAN外的所有VLAN,缺省VLAN不能被删除。int(interface) e1/0/5 进入端口 5(只有进入端口才能设置端口的链路模式)
H3C防火墙双机热备实验
m0_62621003的博客
08-11 6065
primary:表示设备为HA中的主管理设备。PS:secondary:表示设备为HA中的从管理设备。configuration sync-check interval 1 开启一致性配置检查,1小时检查一次,默认为24小时。standby:设置VRRP备份组与HA关联,当前路由器加入到VRRP Standby组中,设备初始角色为Backup。active:设置VRRP备份组与HA关联,当前路由器加入到VRRP Active组中,设备初始角色为Master。
ENVI-met list index out of bounds
09-13
ENVI-met是一种用于城市环境模拟的软件。当出现"list index out of bounds"的错误时,通常是因为代码中引用了一个超出列表范围的索引。这意味着你正在尝试访问一个不存在的列表元素。 要解决这个问题,你可以采取以下步骤: 1. 检查代码中的列表索引。确保你没有超出列表的边界。列表的索引从0开始,所以最后一个元素的索引是列表长度减1。 2. 检查代码中的循环,特别是在使用索引访问列表元素的循环中。确保循环的范围正确,不会超出列表的边界。 3. 检查输入数据。如果你正在使用外部数据填充列表,请确保数据的格式正确,并且不会导致超出列表的边界。 4. 使用调试工具。ENVI-met提供了调试工具,可以帮助你定位错误所在的位置。你可以使用这些工具来跟踪代码执行过程,并检查变量的值和列表的长度。 总结起来,当出现"list index out of bounds"的错误时,你需要检查代码中的列表索引、循环和输入数据,以及使用调试工具来定位错误的位置。通过修复这些问题,你应该能够解决这个错误。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

清梦daydream

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值