华为USG防火墙IPc怎么配置
华为USG防火墙IPc怎么配置
华为的产品主要涉及通信网络中的交换网络、传输网络、无线及有线固定接入网络和数据通信网络及无线终端产品,那么你知道华为USG防火墙IPc怎么配置吗?下面是学习啦我整理的一些关于华为USG防火墙IPc怎么配置的相关资料,供你参考。
华为USG防火墙IPc配置的案例
实验拓扑
使用华为ensp1.2.00.370模拟器来完成。连接方式是client1-USG-1-AR1-USG-2-clent2链式组网构造。
实验需求
USG-1和USG-2模拟企业边缘设备,分别在2台设备上配置NAT和IPc实现2边私网能够通过相互通信。
实验配置
R1的IP地址配置省略
USG-1配置
[USG-1]firewallzonetrust//配置trust区域
[USG-1-zone-trust]addinterfaceg0/0/0//将接口参加trust区域
[USG-1-zone-trust]quit
[USG-1]firewallzoneuntrust//配置untrust区域
[USG-1-zone-untrust]addintg0/0/1//将接口参加untrust区域
[USG-1-zone-untrust]quit
[USG-1]intg0/0/0
[USG-1-GigabitEthernet0/0/0]ipadd192.168.10.124
[USG-1-GigabitEthernet0/0/0]intg0/0/1
[USG-1-GigabitEthernet0/0/1]ipadd11.0.0.224
[USG-1-GigabitEthernet0/0/1]quit
[USG-1]iproute-static0.0.0.00.0.0.011.0.0.1//配置默认路由上公网
[USG-1]nat-policyinterzonetrustuntrustoutbound
//进入trust到untrust区域out方向的策略视图
[USG-1-nat-policy-interzone-trust-untrust-outbound]policy1//创立一个策略
[USG-1-nat-policy-interzone-trust-untrust-outbound-1]policysource192.168.10.00.0.0.255
[USG-1-nat-policy-interzone-trust-untrust-outbound-1]policydestination192.168.20.00.0.0.255
[USG-1-nat-policy-interzone-trust-untrust-outbound-1]actionno-nat
//以上三条命令意思是不允许将源为192.168.10.0/24网段目的为192.168.20.0/24网段的数据包进行NAT
[USG-1-nat-policy-interzone-trust-untrust-outbound-1]quit
[USG-1-nat-policy-interzone-trust-untrust-outbound]policy2//创立策略2
[USG-1-nat-policy-interzone-trust-untrust-outbound-2]actionsource-nat
//允许对源IP进行NAT
[USG-1-nat-policy-interzone-trust-untrust-outbound-2]easy-ipg0/0/1
//对接口G0/0/1地址复用
[USG-1-nat-policy-interzone-trust-untrust-outbound-2]quit
[USG-1-nat-policy-interzone-trust-untrust-outbound]quit
-------阶段一---------
[USG-1]ikeproposal1//配置一个安全提议
[USG-1-ike-proposal-1]authentication-methodpre-share//配置IKE认证方式为预分享密钥
[USG-1-ike-proposal-1]authentication-algorithmsha1//配置IKE认证算法为sha1
[USG-1-ike-proposal-1]integrity-algorithmaes-xcbc-96//配置IKE完好性算法
[USG-1-ike-proposal-1]dhgroup2//配置IKE密钥协商DH组
[USG-1-ike-proposal-1]quit
[USG-1]ikepeerUSG-2//创立一个IKE对等体名字为USG-2
[USG-1-ike-peer-usg-2]pre-shared-keyabc123//配置预分享密钥
[USG-1-ike-peer-usg-2]remote-address12.0.0.2//配置对等体IP地址
[USG-1-ike-peer-usg-2]ike-proposal1//调用ike安全提议
[USG-1-ike-peer-usg-2]quit
----------阶段二----------
[USG-1]ipcproposaltest//配置一个ipc安全提议
[USG-1-ipc-proposal-test]encapsulation-modetunnel//封装方式采用隧道
[USG-1-ipc-proposal-test]transformesp//配置IPSEC安全协议为ESP
[USG-1-ipc-proposal-test]espencryption-algorithmaes//配置ESP协议加密算法为aes
[USG-1-ipc-proposal-test]espauthentication-algorithmsha1//配置ESP协议认证算法
