H3C防火墙F1060上网以及配置策略路由

最新推荐文章于 2025-04-27 12:32:57 发布
最新推荐文章于 2025-04-27 12:32:57 发布
阅读量5.6k 收藏 22
点赞数 2
分类专栏: 网络工程师 文章标签: h3c 交换机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42666056/article/details/118911531
版权

网络拓扑图和背景说明

要求:

1、中控室网段通过防火墙使用10M专线上网,不与办公网互通。
2、办公网网段通过防火墙使用100M专线上网,可以互通。

拓扑图

在这里插入图片描述

防火墙配置:

通过策略路由控制不同网段访问不同的外网出口。
<FW>dis cu
#
 version 7.1.064, Alpha 7164
#
 sysname FW
#
context Admin id 1
#
 telnet server enable
#
 irf mac-address persistent timer
 irf auto-update enable
 undo irf link-delay
 irf member 1 priority 1
#
 xbar load-single
 password-recovery enable
 lpu-type f-series
#
vlan 1
#
object-group ip address bangong
#
object-group ip address youxian
 0 network subnet 192.168.1.0 255.255.255.0
 10 network subnet 192.168.2.0 255.255.255.0
 20 network subnet 192.168.3.0 255.255.255.0
#
policy-based-route bangong permit node 5
 if-match acl 3000
 apply next-hop 202.106.0.20
#
policy-based-route bangong permit node 10
 if-match acl 3001
 apply next-hop 202.106.2.2
#
interface NULL0
#
interface GigabitEthernet1/0/0
 port link-mode route
 combo enable copper
#
interface GigabitEthernet1/0/1
 port link-mode route
 combo enable copper
 ip address 192.168.0.1 255.255.255.0
#
interface GigabitEthernet1/0/2
 port link-mode route
 combo enable copper
 ip address 202.106.0.21 255.255.255.0
 nat outbound 2000
#
interface GigabitEthernet1/0/3
 port link-mode route
 combo enable copper
 ip address 202.106.2.3 255.255.255.0
 nat outbound 2001
#
interface GigabitEthernet1/0/4
 port link-mode route
 combo enable copper
 ip address 192.168.100.253 255.255.255.0
 ip policy-based-route bangong
#
interface GigabitEthernet1/0/5
 port link-mode route
 combo enable copper
#
interface GigabitEthernet1/0/6
 port link-mode route
 combo enable copper
#
interface GigabitEthernet1/0/7
 port link-mode route
 combo enable copper
#
interface GigabitEthernet1/0/8
 port link-mode route
 combo enable copper
#
interface GigabitEthernet1/0/9
 port link-mode route
 combo enable copper
#
interface GigabitEthernet1/0/10
 port link-mode route
 combo enable copper
#
interface GigabitEthernet1/0/11
 port link-mode route
 combo enable copper
#
interface GigabitEthernet1/0/12
 port link-mode route
 combo enable copper
#
interface GigabitEthernet1/0/13
 port link-mode route
 combo enable copper
#
interface GigabitEthernet1/0/14
 port link-mode route
 combo enable copper
#
interface GigabitEthernet1/0/15
 port link-mode route
 combo enable copper
#
interface GigabitEthernet1/0/16
 port link-mode route
 combo enable copper
#
interface
最低0.47元/天 解锁文章
69 H3C SecPath F1000 (系统模块介绍-2)
qq_56248592的博客
08-23 1097
例如:在三个Context中,将处理关键业务的Context的CPU权重设置为2,其余两个Context的CPU权重设置为1,则当CPU忙时,将为关键业务Context提供2倍于其它Context的处理时间。SSL VPN的用户数目由设备License控制,设备全部用户总数不能超过License控制,如果一个Context的用户总数到达了License限制,则会出现其他Context用户无法上线的问题,因此需要限制Context的上线用户数,同时设备全部用户总数仍受License控制。
H3C新华三防火墙全放行策略配置(先行网络配置)】
weixin_45498884的博客
07-28 2423
【代码】【H3C新华三防火墙全放行策略配置(先行网络配置)】
华三防火墙F1000-AK系列策略路由配置案例(WEB)
qq_51478530的博客
11-27 2970
本案例适用于如F1000-AK180、F1000-AK170等F1000-AK系列的防火墙
实战 F1060防火墙透明模式典型组网配置案例(access)_f1060配置指导(3)
2401_84563320的博客
05-10 712
本案例采用H3C HCL模拟器的F1060防火墙来模拟防火墙的透明模式典型组网配置。为了实现PC之间相互PING通,因此需要在SW1、R1之间通过路由指向来实现路由可达。F1060处在R1、SW1之间,所以将F1060配置为透明模式,采用access的方式为R1、SW1透传业务。
华三配置OSPF(防火墙交换机
最新发布
weixin_45642360的博客
04-27 426
华三H3C配置ospf
实战 F1060防火墙透明模式典型组网配置案例(trunk)_防火墙透传模式
2401_84563354的博客
05-10 846
温馨提示:如果要实现防火墙的远程登陆管理,建议新增一条链路连接到交换机或者路由器,做带外管理即可。
H3C F1060开启WEB管理页面及二层透传配置
zxjlqh的博客
04-04 4380
拓扑图如上所示,Host_1是回环地址192.168.56.1/24,防火墙G0/1口做为管理口,IP改为192.168.56.2/24。 PC2和PC3配置好IP地址,分别是192.168.0.1192.168.0.2。两台PC所在VLAN划分为10。 F1060配置过程如下 : <H3C>sys System View: return to User View with...
实战 F1060路由模式典型组网配置案例(RIP)_华三hcl f1060 配置(3)
2401_84563287的博客
05-10 1103
【代码】实战 F1060路由模式典型组网配置案例(RIP)_华三hcl f1060 配置(3)
H3C防火墙-安全策略典型配置举例
MAsunshine的博客
10-21 8718
基于 IP 地址的安全策略配置举例 组网需求 • 某公司内的各部门之间通过 Device 实现互连,该公司的工作时间为每周工作日的 8 点到 18点。 • 通过配置安全策略规则,允许总裁办在任意时间、财务部在工作时间通过 HTTP 协议访问财务数据库服务器的 Web 服务,禁止其它部门在任何时间、财务部在非工作时间通过 HTTP 协议访问该服务器的 Web 服务。 组网图 配置步骤 (1) 配置接口 IP 地址、路由保证网络可达,具体配置步骤略 (2) 配置时间段 创建名为 work 的时间段,其时
h3C高端防火墙F1000E的web配置手册
12-15
h3C高端防火墙F1000E的web配置手册
H3C模拟器HCL多路出口实验-防火墙Web配置
LQ的博客
08-22 1709
加入Host_1设备,将本机回环网卡连接防火墙的GE1/0/1,(默认ip:192.168.0.1)创建策略路由,并选择防火墙下联口,G1/0/5,然后创建3个节点,分别对应3个运营商。根据示例将3个运营商提供的地址配置在对应的网口上,并加入Untrust。2、实现1楼地址出口使用联通网络,2楼使用电信网络,3楼使用移动网络。将172.168.1.1地址配置在GE1/0/5上,并加入Trust。1、实现1-3楼使用不同vlan,并且实现互通。这里就不做很细的安全策略,可以根据需求细化。
h3c防火墙配置实例
10-08
所有防火墙配置,包含所有防火墙,很适合人学习
H3C SecPath系列防火墙配置指南
07-19
H3C SecPath系列防火墙和UTM产品 配置指导,包含web,命令行操作,实例配置,简单明了
实战 | F1060防火墙透明模式典型组网配置案例(trunk)
qq_40907977的博客
05-23 5028
转载来源 :实战 | F1060防火墙透明模式典型组网配置案例(trunk) :https://mp.weixin.qq.com/s/DMLpuY9i34Kuytq0myKMTQ 组网及说明 组网说明: 本案例采用H3C HCL模拟器的F1060防火墙来模拟防火墙的透明模式典型组网配置。为了实现PC之间相互PING通,因此需要在SW1、R1之间通过路由指向来实现路由可达。F1060处在R1、SW1之间,所以将F1060配置为透明模式,采用trunk的方式为R1、SW1透传业务。 配置步骤 1、按照网络拓扑图
H3C 双出口,主备出口,策略路由 SSVPN配合微软AD域认证简单配置
normanhere的博客
09-18 1581
H3C 防火墙目前购买均自带100个SSLVPN授权,管理口有1个是GE1/0/0 或者是MGMT口,通过https://192.168.0.1 默认账号是admin/admin;#创建安全策略,放行trust,local到所有,放行untrust到local 65534,放行SSLVPN到所有,最后拒绝所有。#写静态路由,包括默认路由和回程路由,其中主用电信专线链路,备用移动拨号链路;#创建策略路由,关联健康检查,VLAN10 策略路由走移动拨号,并调用健康检测,链路故障后,走电信专线。
实战 | F1060路由模式典型组网配置案例(静态路由
qq_40907977的博客
05-22 1164
实战 | F1060路由模式典型组网配置案例(静态路由) : https://mp.weixin.qq.com/s/p1CFg0mUWDSZgqu7ErXa4g 组网说明: 本案例采用H3C HCL模拟器的F1060防火墙来模拟防火墙路由模式的典型部署。为了实现PC之间能够相互通信,因此需要分别在R1、R2、FW1采用三层互联,同时FW1采用路由模式,最终实现PC之间能够相互PING通。 配置步骤 1、按照网络拓扑图正确配置IP地址 2、R1、FW1、R2之间采用三层互联 3、R1、FW1、R2之间采用静
H3C--策略路由以及IRF2
weixin_33910385的博客
04-26 1066
策略路由的概念是一种依据用户制定的策略进行路由选择的机制在路由表已经产生的情况下,不按照路由表进行转发,而是根据需要,依照某种策略改变其转发路径的方法 IP单播策略路由配置步骤创建策略Route-policy定义Route-policy的if-match子句定义Route-policy的apply子句使能/禁止本地策略路由使能/禁止接口策略路由 acl number 2001 ...
H3C 防火墙策略
耕耘
10-08 2074
H3C 防火墙策略,包括安全策略和域间策略以及配置步骤介绍。
H3C 防火墙策略介绍
qq_55707182的博客
06-29 6164
注意点:H3C防火墙有安全策略和域间策略,安全策略的优先级大于域间策略,会优先匹配安全策略,匹配不到才会匹配域间策略域间策略:any to any的域间策略优先级低于具体的区域到具体的区域的域间策略安全策略匹配顺序:从上到下,和安全策略ID号没有任何关联Local :默认防火墙所有接口都属于Local安全区域在初始化的时候,安全策略是空的,因为里面没有内容(没有隐含的拒绝所有的策略)生效的是域间策略,这个域间策略是拒绝所有的,所以刚开始是所有流量都不通的建议:使用一种策略来进行管理设备(安全策略1、将域
PVE宿主机可以上网,虚拟机无法上网
02-24
### 解决 Proxmox VE 虚拟机网络配置问题 #### 一、检查宿主机与虚拟机的桥接设置 确保宿主机和虚拟机之间的网络连接是通过桥接模式完成的。通常情况下,在Proxmox VE 中,会有一个名为 `vmbr0` 的网桥负责此功能[^3]。 对于 Debian 12 或其他 Linux 发行版作为客户操作系统时,可能遇到即使已经在 PVE 管理界面上设置了 IPv4 和网关地址,但在 VM 启动之后仍然缺少默认路由的情况。此时应该核查 `/etc/network/interfaces.d/50-cloud-init.cfg` 文件中的静态 IP 配置是否正确无误,并确认已添加了必要的 DNS 设置以及默认网关定义。 ```bash auto eth0 iface eth0 inet static address 192.168.x.y netmask 255.255.255.0 gateway 192.168.x.z dns-nameservers a.b.c.d e.f.g.h ``` #### 二、验证防火墙规则 有时防火墙可能会阻止流量进出虚拟机。可以通过命令行工具如 iptables 来查看当前活动的规则集并调整它们以允许所需的通信协议和服务端口: ```bash sudo iptables -L -v -n --line-numbers ``` 如果发现有不合理的阻拦策略,则需相应地修改或删除这些条目。 #### 三、测试连通性和排查错误日志 利用 ping 命令检测能否成功到达外部目标;同时查阅 dmesg 输出寻找任何潜在硬件兼容性方面的问题提示信息。 ```bash ping www.example.com dmesg | grep -i error ``` 另外还可以借助 tcpdump 抓包分析具体的数据传输过程找出异常之处。 #### 四、重启相关服务 最后尝试重新加载 networking 服务或者干脆整个机器重起一次看看情况是否会有所改善: ```bash sudo systemctl restart networking.service # or reboot the system directly when necessary. reboot now ``` 上述措施有助于诊断并修复大多数常见的 Proxmox VE 下虚拟机联网失败的情形。当然实际操作过程中还需要依据具体情况灵活应对可能出现的新状况。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值