防火墙命令行基础配置实验(H3C模拟器)
嘿,这里是目录!
- ⭐ H3C模拟器资源链接
- 1. 实验示意图
- 2. 要求
- 3. 当前配置
- 3.1 PC配置
- 3.2 FW配置(防火墙)[^7][^8]
- 3.2.1 FW1配置
- 3.2.2 FW2配置
- 3.3 R配置
- 3.3.1 R1配置
- 3.3.2 R2配置
- 3.4 SW配置
- 3.4.1 SW1配置
- 3.4.2 SW2配置
- 3.4.3 SW3配置
- 3.4.4 SW4配置
- 虚假的参考文献
⭐ H3C模拟器资源链接
H3C网络设备模拟器官方免费下载
1. 实验示意图
2. 要求
- R1和R2之间运行OSPF协议
- 广域网区域只能访问语音平台区
- 互联网区域只能访问货运电子商务区
- 把电子商务区的主机10.208.14.146 的23端口在互联网防火墙上映射为117.125.86.14的2323端口12
- 语音平台PC 可以访问路由器R1的Loopback 0地址3456
3. 当前配置
3.1 PC配置
- 配置PC的ip地址、子网掩码和网关(在模拟器中,右键PC图标,选择“启动”,然后右键PC图标,选择“配置”)
3.2 FW配置(防火墙)78
- 需要了解基础的5个安全域的概念9
- 一般先要确定路由可达,然后再谈做安全策略的问题,所以要先将防火墙所有接口划分至相对应的安全域,然后开通any(即任何安全域)到any全放通(action pass)策略,最后调整安全策略
- 如果A区域(与防火墙直连的端口)想ping通防火墙本身,需要开通A区域到Local的策略
- 如果防火墙本身想ping通A区域(与防火墙直连的端口),需要开通Local到A区域的策略
- 如果希望防火墙使用动态路由,防火墙必须放开到Local的策略
- 如果不写任何策略,防火墙默认是全拒绝的,不管哪里访问哪里
- 对于防火墙来说,一般出口方向设置为默认通过,入口方向需要控制
- 防火墙最基础的配置涉及以下命令1011121314
security-zone name A(名字随便起,最好简单、相关性高)
import int g1/0/0
quitsecurity-zone name B(名字随便起)
import int g1/0/1
quitsecurity-policy ip
rule name A-B(名字随便起)
source-zone A
destination-zone B
action pass
quit
quit放通any到any的策略
security-policy ip
rule name any(名字随便起)
action pass
quit
quit
3.2.1 FW1配置
| 策略名称 | 源安全域 | 目的安全域 | 动作 |
|---|---|---|---|
| WAN-Voice | WAN | Voice | pass |
| Voice-WAN | Voice | WAN | pass |
| Internet-ECommerce | Internet | ECommerce | pass |
| ECommerce-Internet (不是必须要配,主要用来测试路由是否配置合适,SW4能否ping通117.125.86.1) | ECommerce | Internet | pass |
sys
sysname FW1int g1/0/0
ip add 1.1.1.1 30
quit
security-zone name WAN
import int g1/0/0
quitint g1/0/1
ip add 2.2.2.1 30
quit
security-zone name Voice
import int g1/0/1
quitint g1/0/2
ip add 3.3.3.1 30
quit
security-zone name Internet
import int g1/0/2
quitint g1/0/3
ip add 4.4.4.1 30
quit
security-zone name ECommerce
import int g1/0/3
quitip route-static 10.1.4.0 30 1.1.1.2
ip route-static 10.1.4.100 32 1.1.1.2
ip route-static 10.208.7.0 24 2.2.2.2
ip route-static 117.125.86.0 27 3.3.3.2(很重要!!!⭐⭐⭐)
ip route-static 10.208.14.0 24 4.4.4.2security-policy ip
rule name WAN-Voice
source-zone WAN
destination-zone Voice
action pass
quitrule name Voice-WAN
source-zone Voice
destination-zone WAN
action pass
quitrule name Internet-ECommerce
source-zone Internet
destination-zone ECommerce
action pass
quitrule name Ecommerce-Internet(不是必须要配,主要用来测试路由是否配置合适,SW4能否ping通117.125.86.1)
source-zone Ecommerce
destination-zone Internet
action pass
quit
quit
3.2.2 FW2配置
| 策略名称 | 源安全域 | 目的安全域 | 动作 |
|---|---|---|---|
| Trust-Untrust 可以设置,但没必要 | Trust | Untrust | pass |
| Untrust-Trust 必须要配 | Untrust | Trust | pass |
| Trust-Local (不是必须要配,主要用来测试路由是否配置合适,SW4能否ping通117.125.86.1) | Trust | Local | pass |
| Local-Trust 可以设置,但没必要 | Local | Trust | pass |
| Untrust-Local 必须要配 | Untrust | Local | pass |
| Local-Untrust 可以设置,但没必要 | Local | Untrust | pass |
sys
sysname FW2int g1/0/0
ip add 3.3.3.2 30
quit
security-zone name Trust
import int g1/0/0
quitint g1/0/1
ip add 117.125.86.1 27
【本句测试使用,与实验无关:整了个Server,开启了HTTP Server服务(ip http enable):nat server protocol tcp global 117.125.86.14 8081 inside 10.208.14.146 81 (rule ServerRule_2)】
nat server protocol tcp global 117.125.86.14 2323 inside 10.208.14.146 23 (rule ServerRule_1)
quit
security-zone name Untrust
import int g1/0/1
quitsecurity-policy ip
rule name Trust-Untrust(可以设置,但没必要)
source-zone Trust
destination-zone Untrust
action pass
quitrule name Untrust-Trust(必须要配)
source-zone Untrust
destination-zone Trust
action pass
quitrule name Trust-Local(不是必须要配,主要用来测试路由是否配置合适,SW4能否ping通117.125.86.1)
source-zone Trust
destination-zone Local
action pass
quitrule name Local-Trust(可以设置,但没必要)
source-zone Local
destination-zone Trust
action pass
quitrule name Untrust-Local(必须要配)
source-zone Untrust
destination-zone Local
action pass
quitrule name Local-Untrust(可以设置,但没必要)
source-zone Local
destination-zone Untrust
action pass
quit
quitip route-static 4.4.4.0 30 3.3.3.1(不需要这条命令)
ip route-static 10.208.14.0 24 3.3.3.1dis nat all(可查看防火墙上所有的nat)
在SW3 telnet时验证: dis nat session source-ip 117.125.86.2
3.3 R配置
3.3.1 R1配置
sys
sysname R1
int g0/0/0
ip add 10.1.4.1 30
quitroute id 10.1.4.100
int loopback 0
ip add 10.1.4.100 32
quitospf 1
import-route direct(用来跑loopback)
area 0.0.0.0
network 10.1.4.0 0.0.0.3
import-route static(不需要这条命令)
quitip route-static 10.208.7.0 24 10.1.4.2(不需要这条命令)int g0/0/0
ip add 10.1.4.1 30
quit
3.3.2 R2配置
sys
sysname R2
int g0/0/0
ip add 10.1.4.2 30
quitospf 1
import-route static
area 0.0.0.0
network 10.1.4.0 0.0.0.3
network 1.1.1.0 0.0.0.3
import-route direct(不需要这条命令)
quitint g0/0/0
ip add 10.1.4.2 30
quitint g0/0/1
ip add 1.1.1.2 30
quitip route-static 10.208.7.0 24 1.1.1.1
3.4 SW配置
3.4.1 SW1配置
sys
sysname SW1vlan 7
quit
int vlan 7
ip add 10.208.7.1 24
quitvlan 2
quit
int vlan 2
ip add 2.2.2.2 30
quitint g1/0/1
port link-type access
port access vlan 7int g1/0/2
port link-type access
port access vlan 2ip route-static 10.1.4.0 30 2.2.2.1
ip route-static 10.1.4.100 32 2.2.2.1
3.4.2 SW2配置
sys
sysname SW2vlan 14
quit
int vlan 14
ip add 10.208.14.1 24
quitvlan 4
quit
int vlan 4
ip add 4.4.4.2 30
quitint g1/0/1
port link-type access
port access vlan 14int g1/0/2
port link-type access
port access vlan 4ip route-static 0.0.0.0 0 4.4.4.1 (很重要!!!⭐⭐⭐)
3.4.3 SW3配置
sys
sysname SW3vlan 117
quit
int vlan 117
ip add 117.125.86.2 27
quitint g1/0/1
port link-type access
port access vlan 117ip route-static 10.1.4.0 30 2.2.2.1(不需要这条命令)
ip route-static 10.1.4.100 32 2.2.2.1(不需要这条命令)验证
telnet 117.125.86.14 2323
3.4.4 SW4配置
sys
sysname SW4vlan 14
quit
int vlan 14
ip add 10.208.14.146 24
quitint g1/0/1
port link-type access
port access vlan 14ip route-static 0.0.0.0 0 10.208.14.1(很重要!!!⭐⭐⭐)
savetelnet server enable
local-user ljjt
password-control length 8
password simple Ljjt@321
service-type telnet
authorization-attribute user-role network-operator
quit
line vty 0 4
authentication-mode scheme
user-role network-operator
quit
虚假的参考文献
- 好像也没用上,但是可以看看
- 02-安全配置指导
- h3c防火墙配置基础
- F1060防火墙透明模式典型组网配置案例1(access)
- F1060 basic NAT典型组网配置实验
- 华三模拟器(防火墙)实现IPSEC穿越NAT实验
- H3C防火墙的登录及管理
- H3C模拟器里的F1060防火墙如何开启WEB界面
- 【防火墙技术连载贴汇总】强叔侃墙系列
- 关于防火墙object-group的用法?
- 对象组
- NAT原理描述
- 防火墙的NAT策略 配置NAT NO-PAT、NAT、Easy-IP
- 华三 h3c NAT配置
- H3C配置NAT实验
- F1060 NAT server典型组网配置案例1(有固定公网地址转换)
- OSPF原理及配置
- H3C OSPF实验
- H3C(华三)模拟器服务器server配置ip地址
- HCL模拟器中如何修改server服务器ip地址和网关
NAT技术白皮书-6W100 ↩︎
全局nat ↩︎
请问,配置loopback环回接口的作用是什么? ↩︎
Loopback接口和NULL接口配置命令 ↩︎
loopback是什么 ospf ↩︎
路由器的Loopback地址是什么意思? ↩︎
【防火墙技术连载5】强叔侃墙 基础知识篇 状态检测和会话机制 ↩︎
防火墙状态检测及会话表技术 ↩︎
基础概念(安全域、安全策略、NAT)——H3C SecPath 防火墙产品 快速开局指导-6W100 ↩︎
H3C 防火墙安全域基本配置 ↩︎
问一下防火墙的zone-pair和security-policy有什么区别? ↩︎
H3C F1030防火墙如何用命令配置策略 ↩︎
H3C SecPath F1000系列 防火墙 ↩︎
智能安全策略技术白皮书-6W100 ↩︎