USG2000基础配置手册
初始化设备:
ret saved-configuration
REBOOT
N
Y
1.# 进入系统视图。
<USG> system-view
# 进入Ethernet 0/0/0视图。
[USG A] interface Ethernet 0/0/0
# 配置Ethernet 0/0/0(公网)的IP地址。
[USG A-Ethernet0/0/0] ip address 61.163.165.108 255.255.255.128 #公网IP,运营商提供
# 退回系统视图。
[USG A-Ethernet0/0/0] quit
2.# 进入Ethernet 0/0/1视图。
[USG A] interface Ethernet 0/0/1
# 配置内部局域网Ethernet 0/0/1的IP地址。
[USG A-Ethernet0/0/1] ip address 192.168.0.1 255.255.255.0
[USG A-Ethernet0/0/1] dhcp lect interface
# 退回系统视图。
[USG A-Ethernet0/0/1] quit
3.# 进入Trust区域视图。
[USG A] firewall zone trust
# 配置Ethernet 0/0/1加入Trust区域。 #通常内网在trust区域
[USG A-zone-trust] add interface Ethernet 0/0/1
# 退回系统视图。
[USG A-zone-trust] quit
# 进入Untrust区域视图。
[USG A] firewall zone untrust
# 配置Ethernet 0/0/0加入Untrust区域。 #通常外网在untrust区域
[USG A-zone-untrust] add interface Ethernet 0/0/0
# 退回系统视图。
[USG A-zone-untrust] quit
4.#配置需要上网的ACL
[USG] acl 2000
[USG-acl-basic-2000] rule permit
[USG-acl-basic-2000] quit
5.# 配置NAT地址池。
[USG] nat address-group 1 61.163.165.108 61.163.165.108
6.# 配置Trust区域和Untrust区域的域间包过滤规则。
[USG] firewall interzone trust untrust
[USG-interzone-trust-untrust] packet-filter 2000 outbound
# 配置Trust区域和Untrust区域的NAT,将地址池和ACL关联,不使用no-pat参数。
[USG-interzone-trust-untrust] nat outbound 2000 address-group 1
[USG-interzone-trust-untrust] quit
7.# 配置到达Host 2的静态路由。
[USG A] ip route-static 0.0.0.0 0.0.0.0 61.163.165.1 #电信网关地址
8.# 配置域间包过滤
[USG A] firewall packet-filter default permit all
[USG2100]web-manager enable
[USG2100]aaa
[USG2100-aaa]local-ur huawei password simple huawei
[USG2100-aaa]local-ur huawei rvice-type web
[USG2100-aaa]local-ur huawei level 3
[USG2100]ur-interface vty 0 4
[USG2100-ui-vty0-4]authentication-mode aaa
USG2210基本配置实例及说明
环境:
1)三层交换机的G0/0/32设为VLAN100,IP 172.16.100.254/24,接到USG2210的G0/0/1上,IP为172.16.100.252/24,设了默认路由: ip route-static 0.0.0.0 0.0.0.0 172.16.100.252ê×ô±hØû>ZÆßCZ
2)USG2210的G0/0/0接运营商外网上,IP为*.*.*.154/24,运营商端IP为:*.*.*.153/24ê×ô±hØû>ZÆßCZ
3)可用的配置如下ê×ô±hØû>ZÆßCZ
ê×ô±hØû>ZÆßCZ<USG2210>dis cuê×ô±hØû>ZÆßCZ
15:17:47 2009/06/14ê×ô±hØû>ZÆßCZ
#创建访问列表,只允许如下网段或地址的电脑上网,其它电脑不能上网ê×ô‚±hØû>ZƉßCZ
acl number 2000êš×ô‚±hØû>ZƉßCZ
rule 0 permit source 172.16.2.0 0.0.0.255êš×ô‚±hØû>ZƉßCZ
rule 5 permit source 172.16.50.0 0.0.0.255êš×ô‚±hØû>ZƉßCZ
rule 10 permit source 172.16.57.0 0.0.0.255êš×ô‚±hØû>ZƉßCZ
rule 15 permit source 172.16.58.0 0.0.0.255êš×ô‚±hØû>ZƉßCZ
rule 20 permit source 172.16.62.0 0.0.0.255êš×ô‚±hØû>ZƉßCZ
rule 25 permit source 172.16.64.0 0.0.0.255êš×ô‚±hØû>ZƉßCZ
rule 30 permit source 172.16.67.0 0.0.0.255êš×ô‚±hØû>ZƉßCZ
rule 35 permit source 172.16.68.0 0.0.0.255êš×ô‚±hØû>ZƉßCZ
rule 40 permit source 172.16.69.0 0.0.0.255êš×ô‚±hØû>ZƉßCZ
rule 45 permit source 172.16.71.0 0.0.0.255êš×ô‚±hØû>ZƉßCZ
rule 50 permit source 172.16.72.0 0.0.0.255êš×ô‚±hØû>ZƉßCZ
rule 55 permit source 172.16.73.0 0.0.0.255êš×ô‚±hØû>ZƉßCZ
rule 60 permit source 172.16.74.0 0.0.0.255êš×ô‚±hØû>ZƉßCZ
rule 65 permit source 172.16.86.0 0.0.0.255êš×ô‚±hØû>ZƉßCZ
rule 70 permit source 172.16.87.0 0.0.0.255êš×ô‚±hØû>ZƉßCZ
rule 75 permit source 172.16.88.0 0.0.0.255êš×ô‚±hØû>ZƉßCZ
rule 80 permit source 172.16.89.0 0.0.0.255êš×ô‚±hØû>ZƉßCZ
rule 85 permit source 172.16.90.0 0.0.0.255êš×ô‚±hØû>ZƉßCZ
rule 90 permit source 172.16.91.0 0.0.0.255êš×ô‚±hØû>ZƉßCZ
rule 95 permit source 172.16.92.0 0.0.0.255êš×ô‚±hØû>ZƉßCZ
rule 100 permit source 172.16.93.0 0.0.0.255êš×ô‚±hØû>ZƉßCZ
rule 105 permit source 172.16.95.0 0.0.0.255êš×ô‚±hØû>ZƉßCZ
rule 110 permit source 172.16.99.0 0.0.0.255êš×ô‚±hØû>ZƉßCZ
rule 115 permit source 172.16.100.0 0.0.0.255êš×ô‚±hØû>ZƉßCZ
rule 120 permit source 172.16.97.106 0êš×ô‚±hØû>ZƉßCZ
rule 135 denyêš×ô‚±hØû>ZƉßCZ
#êš×ô‚±hØû>ZƉßCZ
sysname USG2210êš×ô‚±hØû>ZƉßCZ
#êš×ô‚±hØû>ZƉßCZ
info-center timestamp debugging dateêš×ô‚±hØmû>ZƉßCZ
#配置防火墙的缺省过滤动作为允许数据包通过,应用于所有域间ê×ô±hØû>ZÆßCZ
#原命令为firewall packet-filter default permit all,输入后变为以下详细内容,原来没设这个,所以可能不能互访ê×ô±hØû>ZÆßCZ
firewall packet-filter default permit interzone local trust direction inboundêš×ô‚±hØû>ZƉßCZ
firewall packet-filter default permit interzone local trust direction outboundêš×ô‚±hØû>ZƉßCZ
firewall packet-filter default permit interzone local untrust direction inboundêš×ô‚±hØû>ZƉßCZ
firewall packet-filter default permit interzone local untrust direction outboundêš×ô‚±hØû>ZƉßCZ
firewall packet-filter default permit interzone local dmz direction inboundêš×ô‚±hØû>ZƉßCZ
firewall packet-filter default permit interzone local dmz direction outboundêš×ô‚±hØû>ZƉßCZ
firewall packet-filter default permit interzone trust untrust direction inboundêš×ô‚±hØbbs.huaweisû>ZƉßCZ
firewall packet-filter default permit interzone trust untrust direction outboundêš×ô‚±hØû>ZƉßCZ
firewall packet-filter default permit interzone trust dmz direction inboundêš×ô‚±hØû>ZƉßCZ
firewall packet-filter default permit interzone trust dmz direction outboundêš×ô‚±hØû>ZƉßCZ
firewall packet-filter default permit interzone dmz untrust direction inboundêš×ô‚±hØû>ZƉßCZ
firewall packet-filter default permit interzone dmz untrust direction outboundêš×ô‚±hØû>ZƉßCZ
#设置访问外网的NAT地址池,如只用一个的话,则下面两个IP输入相同的就行,这里用两个ê×ô±hØû>ZÆßCZ
nat address-group 1 natout 218.*.*.155 218.*.*.156ê×ô±hØû>ZÆßCZ
#防火墙的黑名单过滤类型为以下协议ê×ô±hØû>ZÆßCZ
firewall blacklist filter-type icmpêš×ô‚±hØû>ZƉßCZ
firewall blacklist filter-type tcpêš×ô‚±hØû>ZƉßCZ
firewall blacklist filter-type udpêš×ô‚±hØû>ZƉßCZ
firewall blacklist filter-type othersêš×ô‚±hØû>ZƉßCZ
#开启防火墙的流量监控统计功能,但本配置未指定日志服务器ê×ô±hØû>ZÆßCZ
firewall statistic system enableê×ô±hØû>ZÆßCZ
#防火墙接电信的端口IPê×ô±hØû>ZÆßCZ
inte**ce GigabitEthernet0/0/0ê×ô±hØû>ZÆßCZ
description link to wanê×ô±hØû>ZÆßCZ
ip address 218.*.*.154 255.255.255.0ê×ô±hØû>ZÆßCZ
#防火墙接内网7503交换机的端口IPê×ô±hØû>ZÆßCZ
inte**ce GigabitEthernet0/0/1ê×ô‚±hØû>ZƉßCZ
description link to lanêš×ô‚±hØû>ZƉßCZ
ip address 172.16.100.252 255.255.255.0êš×ô‚±hØû>ZƉßCZ
#êš×ô‚±hØû>ZƉßCZ
inte**ce NULL0êš×ô‚±hØû>ZƉßCZ
#êš×ô‚±hØû>ZƉßCZ
firewall zone localêš×ô‚±hØû>ZƉßCZ
t priority 100êš×ô‚±hØû>ZƉßCZ
#内网口加入可信区ê×ô±hØû>ZÆßCZ
firewall zone trust ê×ô±hØû>ZÆßCZ
t priority 85ê×ô±hØbbs.û>ZÆßCZ
add inte**ce GigabitEthernet0/0/1ê×ô±hØû>ZÆßCZ
#外网口加入不可信区ê×ô±hØû>ZÆßCZ
firewall zone untrustê×ô±hØû>ZÆßCZ
t priority 5ê×ô±hØû>ZÆßCZ
add inte**ce GigabitEthernet0/0/0ê×ô±hØû>ZÆßCZ
#ê×ô±hØû>ZÆßCZ
firewall zone dmzê×ô±hØû>ZÆßCZ
t priority 50ê×ô±hØbbs.huawû>ZÆßCZ
#根据访问列表规定,内网到外网在outbound方向上应用地址转换ê×ô±hØû>ZÆßCZ
firewall interzone trust untrustê×ô±hØû>ZÆßCZ
nat outbound 2000 address-group natoutê×ô±hØû>ZÆßCZ
#设置TELNET的方法,并且配置VTY(Virtual Type Terminal)用户接口的验证方式为AAA,Telnet用户名为admin,ê×ô±hØû>ZÆßCZ
#口令为密文方式(cipher) password1,级别为level 3,设定授权方案表名称为default。ê×ô±hØû>ZÆßCZ
aaaê×ô±hØû>ZÆßCZ
local-ur admin password cipher password1ê×ô±hØû>ZÆßCZ
local-ur admin rvice-type telnetêš×ô‚±hØû>ZƉßCZ
local-ur admin level 3êš×ô‚±hØû>ZƉßCZ
authentication-scheme defaultêš×ô‚±hØû>ZƉßCZ
#êš×ô‚±hØû>ZƉßCZ
authorization-scheme defaultêš×ô‚±hØû>ZƉßCZ
#配置计费方案名称为defaultê×ô±hØû>ZÆßCZ
accounting-scheme defaultê×ô±hØû>ZÆßCZ
#缺省的域名称为default,所有没有指定域的用户都属于这个default域 ê×ô±hØû>ZÆßCZ
domain defaultê×ô±hØû>ZÆßCZ
#ê×ô±hØû>ZÆßCZ
#ê×ô±hØû>ZÆßCZ
slbê×ô±hØû>ZÆßCZ
#缺省静态路由,下一跳为218.*.*.153(电信那头的公网IP),原来搞错概念,用155或156或157来试,都不行上网,这3个是客户可用的公网IPê×ô±hØû>ZÆßCZ
ip route-static 0.0.0.0 0.0.0.0 218.*.*.153 preference 60ê×ô±hØû>ZÆßCZ
#配置静态路由,回内网的下一跳为172.16.100.254(与7503三层交换机相接,属于VLAN
100 的G0/0/32的VLAN 100 的IP),原来没设这一条,ê×ô±hØû>ZÆßCZ
#结果能PC和交换机这边能PING到防火墙,反之则不行ê×ô±hØû>ZÆßCZ
ip route-static 172.16.0.0 255.255.0.0 172.16.100.254ê×ô±hØû>ZÆßCZ
#ê×ô±hØû>ZÆßCZ
ur-inte**ce con 0ê×ô±hØû>ZÆßCZ
#VTY(virtual type terminal) 虚拟终端连接,欲配置的第一个用户终端接口0,欲配置的最后一个用户终端接口4,配置用户终端接口的认证方式ê×ô±hØû>ZÆßCZ
#为AAA(认证、授权、计费) ,inbound方向协议为telnetê×ô±hØû>ZÆßCZ
ur-inte**ce vty 0 4êš×ô‚±hØû>ZƉßCZ
authentication-mode aaaêš×ô‚±hØbbs.huaweiû>ZƉßCZ
protocol inbound telnetêš×ô‚±hØû>ZƉßCZ
#êš×ô‚±hØû>ZƉßCZ
returnêš×ô‚±hØû>ZƉßCZ
<USG2210>êš×ô‚±hØû>ZƉßCZ
êš×ô‚±hØbbs.huaweisyû>ZƉßCZ有一个好用方便的命令,可以设置配置环境为中文ê×ô±hØû>ZÆßCZ
<USG2210>lan cê×ô±hØû>ZÆßCZ
23:12:37 2009/06/14ê×ô±hØû>ZÆßCZ
Change language mode, confirm? [Y/N]yê×ô±hØû>ZÆßCZ
% 改变到中文模式。ê×ô±hØû>ZÆßCZ
SecPath防火墙上的NAT实现
3.2.1 cpath防火墙的nat机制
地址转换的机制是将内部网络主机的ip地址和端口替换为cpath的外部网络地址和端口,以及从cpath的外部网络地址和端口转换为内部网络主机的ip地址和端口。也就是[私有地址+端口]与[公有地址+端口]之间的转换。
cpath防火墙设备引入了一个安全概念--区域,这是防火墙区别于路由器的主要特征。区域是一个或多个接口的组合,具有相应的安全级别。在防火墙设备上,由trust区域向untrust域和dmz域主动发起连接时,nat检测相应的数据连接是否需要进行nat转换。如果要进行nat转换,在ip转发的出口处完成,报文的源地址(私有地址)被转换成公网地址。在ip层的入口处,nat对回复报文进行还原,报文的目的地址(公网地址)被还原成私网地址。
3.2.2 多对多地址转换及地址转换的控制
1. 基本概念
从图3-1的地址转换过程可见,当内部网络访问外部网络时,地址转换将会选择一个合适的外部地址,替代内部网络数据报文的源地址。在图3-1中是选择nat服务器出接口的ip地址(公有地址)。这样所有内部网络的主机访问外部网络时,只能拥有一个外部的ip地址,因此,这种情况只允许最多有一台内部主机访问外部网络,这称为“一对一地址转换”。当内部网络的主机并发的要求访问外部网络时,“一对一地址转换”仅能够实现其中一台主机的访问请求。
nat的一种变形实现了并发性。允许nat服务器拥有多个公有ip地址,当第一个内部主机访问外部网络时,nat选择一个公有地址ip1,在地址转换表中添加记录并发送数据报;当另一内部主机访问外部网络时,nat选择另一个公有地址ip2,以此类推,从而满足了多台内部主机访问外部网络的请求。这称为“多对多地址转换”。
nat服务器拥有的公有ip地址数目要远少于内部网络的主机数目,因为所有内部主机并不
会同时访问外部网络。公有ip地址数目的确定,应根据网络高峰期可能访问外部网络的内部主机数目的统计值来确定。
在实际应用中,我们可能希望某些内部的主机具有访问internet(外部网络)的权利,而某些主机不允许访问。即当nat进程查看数据报报头内容时,如果发现源ip地址是为那些不允许访问网络的内部主机所拥有的,它将不进行nat转换。这就是一个对地址转换进行控制的问题。
cpath防火墙是通过定义地址池来实现多对多地址转换,同时利用访问控制列表来对地址转换进行控制的。
地址池:用于地址转换的一些公有ip地址的集合。用户应根据自己拥有的合法ip地址数目、内部网络主机数目以及实际应用情况,配置恰当的地址池。地址转换的过程中,将会从地址池中挑选一个地址做为转换后的源地址。
利用访问控制列表限制地址转换:只有满足访问控制列表条件的数据报文才可以进行地址转换。这可以有效地控制地址转换的使用范围,使特定主机能够有权访问internet。
2. 基本操作
cpath防火墙上配置多对多地址转换的步骤如下:
(1)在系统视图下定义一个可以根据需要进行分配的nat地址池
nat address-group group-number start-address end-address [ vrrp virtual-router-id ]
其中,group-number是标识这个地址池的编号,start-address end-address是地址池的起始和结束ip地址,virtual-router-id是vrrp备份组号。
(2)在系统视图和acl视图下定义一个访问控制列表
在系统视图下定义访问控制列表
acl [ number ] acl-number
在acl视图下定义访问控制规则
rule [ rule-id ] { permit | deny } [ source source-address source-wildcard | any ] [ time-range time-name ]
或
rule [ rule-id ] { permit | deny } protocol [ source source-addr source-wildcard | any ] [ destination dest-address dest-mask | any ] [ source-port operator port1 [ port2 ] ] [ destination-port operator port1 [ port2 ] ] [ icmp-type icmp-type icmp-code ] [ precedence
precedence ] [ tos tos ] [ time-range time-name ]
上述各参数含义请参考acl相关内容。
(3)在域间视图下将访问控制列表和nat地址池关联
nat outbound acl-number address-group group-number [ no-pat ]
这样,将编号为acl-number的访问控制列表和编号为group-number的nat地址池关联后,当数据报在域间(如trust域和untrust域之间)流动时,nat进程将执行检测,将符合访问控制列表规则的报文进行转换并转发。
no-pat是可选参数,其作用将在下节的napt应用中讲述。
3.2.3 napt――网络地址端口转换
1. 基本概念
前文已经讲述了“一对一地址转换”(其无法实现内部主机访问外部网络的并发性)和“多对多地址转换”(能够实现并发性)。其实,还有一种nat变形也能够实现并发性,这就是napt(network address port translation)。napt允许多个内部地址映射到同一个公有地址上,非正式的也可称之为“多对一地址转换”或地址复用。
napt映射ip地址和端口号,来自不同内部地址的数据报可以映射到同一外部地址,但他们被转换为该地址的不同端口号,因而仍然能够共享同一地址。
下图描述了napt的基本原理。
图3-2 通过转换ip地址和端口,napt允许多个内部主机直接同时使用同一个外部地址
如图所示,四个带有内部地址的数据报到达nat服务器,其中数据报1和2来自同一个内部地址但有不同的源端口号,数据报3和4来自不同的内部地址但具有相同的源端口号。通过nat映射,四个数据报都被转换到同一个外部地址,但每个数据报都赋予了不同的源端口号,因而仍保留了报文之间的区别。当回应报文到达时,nat进程仍能够根据回应报文的目
的地址和端口号来区别该报文应转发到的内部主机。
2. 基本操作
cpath防火墙上的nat实现将napt技术和多对多地址转换有效地结合起来――如果配置了napt功能,那么nat首先将复用地址池中的所选择的地址,达到能力极限后,再选择另一个地址完成转换。对比单一的多对多地址转换,这可大大减少地址池中公有地址的数目。
cpath防火墙上是通过可选关键字no-pat来配置是否使用napt功能:
nat outbound acl-number address-group group-number [ no-pat ]
在域间视图下将访问控制列表和nat地址池关联时,如果选择no-pat参数,则表示只转换数据包的ip地址而不使用端口信息,即不使用napt功能;如果不选择no-pat参数,则启用napt功能。缺省情况是启用。
3.2.4 内部服务器
1. 基本概念
nat隐藏了内部网络的结构,具有“屏蔽”内部主机的作用,但是在实际应用中,可能需要提供给外部一个访问内部主机的机会,如提供给外部一个www的服务器,或是一台ftp服务器。使用nat可以灵活地添加内部服务器,例如,可以使用202.169.10.10作为web服务器的外部地址;使用202.110.10.11作为ftp服务器的外部地址;甚至还可以使用202.110.10.12:8080这样的地址作为web的外部地址;还可为外部用户提供多台同样的服务器(如提供多台web服务器)。
cpath防火墙的nat提供了内部服务器功能供外部网络访问。外部网络的用户访问内部服务器时,nat将请求报文内的目的地址转换成内部服务器的私有地址。对内部服务器回应报文而言,nat要将回应报文的源地址(私网地址)转换成公网地址。
允许外部网络访问的内部服务器通常置于cpath防火墙的dmz区,正常情况下不允许这个区域中的设备主动向外发起连接。
2. 基本操作
(1)假设一个公有地址仅作为一个内部服务器的对外发布地址,那么在系统视图下使用下列命令
nat rver [ protocol pro-type ] global global-address [ global-port ] inside host-address [ host-port ] [ vrrp virtual-router-id ]
其中,pro-type是指ip服务承载的协议类型,包括tcp、udp和icmp三种;global-address和global-port是对外部网络公布的访问服务器的公有ip地址和外部端口号;host-address和host-port是服务器内部ip地址和内部端口号,virtual-router-id是vrrp备份组号。
(2)假设一个公有地址需要作为多个不同的内部服务器的对外发布地址,那么可在系统视图下连续使用下列命令
nat rver [ protocol pro-type ] global global-address [ port-number ] inside host-address [ port-number ] [ vrrp virtual-router-id ]
例如:需要将公有地址210.78.245.10同时作为www服务器(对外端口80,内部地址10.0.0.1,内部端口8080)和telnet登录服务器(对外端口23,内部地址10.0.0.2,内部端口23)的对外发布地址,那么仅仅连续配置两次nat rver命令即可:
nat rver protocol tcp global 210.78.245.10 80 inside 10.0.0.1 8080
nat rver protocol tcp global 210.78.245.10 23 inside 10.0.0.2 23
虽然外部主机发送的报文目的地址相同,但由于请求服务不同(即端口号不同),nat仍然能够进行正确的转换并将报文发送到正确的内部服务器上。
3.2.5 alg――应用级网关
1. 基本概念
nat和napt只能对ip报文的头部地址和tcp/udp头部的端口信息进行转换。对于一些特殊协议,例如icmp、ftp等,它们报文的数据部分可能包含ip地址或端口信息,这些内容不能被nat有效的转换,这就可能导致问题。
例如,一个使用内部ip地址的ftp服务器可能在和外部网络主机建立会话的过程中需要将自己的ip地址发送给对方。而这个地址信息是放到ip报文的数据部分,nat无法对它进行转换。当外部网络主机接收了这个私有地址并使用它,这时ftp服务器将表现为不可达。
解决这些特殊协议的nat转换问题的方法就是在nat实现中使用alg(application level gateway,应用级网关)功能。alg是特定的应用协议的转换代理,它和nat交互以建立状态,使用nat的状态信息来改变封装在ip报文数据部分中的特定数据,并完成其他必需的工作以使应用协议可以跨越不同范围运行。
例如,考虑一个“目的站点不可达”的icmp报文,该报文数据部分包含了造成错误的数据报a的首部(注意,nat发送a之前进行了地址转换,所以源地址不是内部主机的真实地址)。如果开启了icmp alg功能,在nat转发icmp报文之前,它将与nat交互,打开icmp报文并转换其数据部分的报文a首部的地址,使这些地址表现为内部主机的确切地址形式,并完成其他一些必需工作后,由nat将这个icmp报文转发出去。
cpath防火墙提供了完善的地址转换应用级网关机制,使其在流程上可以支持各种特殊的应用协议,而不需要对nat平台进行任何的修改,具有良好的可扩充性。目前它所实现了常用应用协议的alg功能包括: dns、ftp、h.323、hwcc 、icmp、ils、mgcp(media gateway control protocol)、msn 、netbios 、pptp 、qq、ras和snp。
2. 基本操作
cpath的alg将通过aspf来检测通过防火墙的应用层协议会话信息,在域间视图下为应用层协议配置aspf检测:
detect protocol
3.2.6 nat地址池内地址和nat rver地址发送免费arp
在每个fe/ge接口下面执行nat arp-gratuitous nd,该命令一次执行一次有效。当执行此命令的时候防火墙会根据执行命令的接口,发送当前已经配置的nat rver和已经应用的地址池的免费arp表项,用以更新上行设备的arp表,使转发正常。
执行的判断依据如下:对于被引用过的地址池或nat rver,如果该地址池或nat rver
的全局地址属于执行命令的这个接口所在的子网,那么就会从这个接口下面发送免费arp出去,对于地址池中地址,每个地址都会发送一次。从对端设备上应该能够收到免费arp报文;如果是没有引用过的地址池,则不会参与发送;如果地址池地址或nat rver不属于当前接口所在子网,也不参与发送。
如果没有配置地址池和nat rver的vrrp参数,免费arp中携带的mac地址是该网口的mac,如果配置了vrrp参数,发送的免费arp就是vrrp虚拟mac地址
USG5000基础配置手册
GE 0/0/1:10.10.10.1/24
GE 0/0/2:220.10.10.16/24
GE 0/0/3:10.10.11.1/24
WWW服务器:10.10.11.2/24(DMZ区域)
FTP服务器:10.10.11.3/24(DMZ区域)
Telnet配置:
配置VTY 的优先级为3
# 进入系统视图。
<USG5300> system-view
# 进入用户界面视图
[USG5300] ur-interface vty 0 3
# 设置用户界面能够访问的命令级别为level 3
[USG5300-ui-vty0-3] ur privilege level 3
配置Password验证
# 配置验证方式为Password验证
[USG5300-ui-vty0] authentication-mode password
# 配置验证密码为lantian
[USG5300-ui-vty0] t authentication password simple lantian
配置空闲断开连接时间
# 设置超时为30分钟
[USG5300-ui-vty0] idle-timeout 30
地址配置:
内网:
进入GigabitEthernet 0/0/1视图
[USG5300] interface GigabitEthernet 0/0/1
配置GigabitEthernet 0/0/1的IP地址
[USG5300-GigabitEthernet0/0/1] ip address 10.10.10.1 255.255.255.0
