USG防火墙配置实例
Telnet 登录
USG-A---------PC
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname USG-A
[USG-A]int e 0/0/0
[USG-A-Ethernet0/0/0]ip add 20.20.20.2 24
[USG-A-Ethernet0/0/0]acl 2000
[USG-A-acl-basic-2000]rul permit sou
[USG-A-acl-basic-2000]rul permit source 20.20.20.0 0.0.0.255
[USG-A-acl-basic-2000]quit
[USG-A]us
[USG-A]user-in
[USG-A]user-interface vty 0 4
[USG-A-ui-vty0-4]au
[USG-A-ui-vty0-4]authe
[USG-A-ui-vty0-4]authentication-mode aaa
[USG-A-ui-vty0-4]pr
[USG-A-ui-vty0-4]protocol in
[USG-A-ui-vty0-4]protocol inbound telnet
[USG-A-ui-vty0-4]q
[USG-A]aaa
[USG-A-aaa]local-user jp password cipher 123456
Info: Add a new user.
[USG-A-aaa]lo
[USG-A-aaa]local-user jp service-type telnet
[USG-A-aaa]local-user jp privilege level 3
[USG-A-aaa]
配置WEB登录
USG-A---------PC
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname USG-A
[USG-A]int e 0/0/0
[USG-A-Ethernet0/0/0]ip add 20.20.20.2 24
[USG-A]aaa
[USG-A-aaa]local-user jp password cipher/simple 123456
[USG-A-aaa]local-user jp service-type web
[USG-A-aaa]local-user jp privilege level 3
[USG-A-aaa]quit
[USG-A]web-manager enable
配置SSH登录 密码验证方式
<USG-A>system-view
Enter system view, return user view with Ctrl+Z.
[USG-A]int e 0/0/0
[USG-A-Ethernet0/0/0]ip add 20.20.20.4 24
[Huawei-acl-adv-3000]quit
[Huawei]rsa
[Huawei]rsa local-key-pair create
The key name will be: Huawei_Host
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
it will take a few minutes.
Input the bits in the modulus[default = 512]:
Generating keys...
..............................++++++++++++
...........++++++++++++
.++++++++
.++++++++
[Huawei]us
[Huawei]user-in
[Huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]authentication-mode aaa
[Huawei-ui-vty0-4]protocol inbound ssh
[Huawei-ui-vty0-4]quit
[Huawei]ssh user jp authentication-type password
Info: Succeeded in adding a new SSH user.
[Huawei]aaa
[Huawei-aaa]local-user jp password cipher 123456
Info: Add a new user.
[Huawei-aaa]lo
[Huawei-aaa]local-user jp service-type ssh
配置SSH登录 RSA验证方式
USG-A---------PC
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]int e 0/0/0
[Huawei-Ethernet0/0/0]ip add 20.20.20.1 24
[Huawei-Ethernet0/0/0]quit
[Huawei]rsa local-key-pair create
The key name will be: Huawei_Host
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
it will take a few minutes.
Input the bits in the modulus[default = 512]:
Generating keys...
........++++++++++++
..................++++++++++++
........++++++++
........................++++++++
[Huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]authentication-mode aaa
[Huawei-ui-vty0-4]protocol inbound ssh
[Huawei-ui-vty0-4]aaa
[Huawei-aaa]local-user jp password cipher 123456
Info: Add a new user.
[Huawei-aaa]local-user jp service-type ssh
[Huawei-aaa]local-user jp privilege level 3
[Huawei-aaa]
[Huawei-aaa]quit
[Huawei]
[Huawei]ssh
[Huawei]ssh u
[Huawei]ssh user jp au
[Huawei]ssh user jp authe
[Huawei]ssh user jp authentication-type rsa
Info: Succeeded in adding a new SSH user.
[Huawei]rsa peer-public-key ?
STRING<1-30> Name of the public key
[Huawei]rsa peer-public-key public
Enter "RSA public key" view, return system view with "peer-public-key end".
[Huawei-rsa-public-key]
[Huawei-rsa-public-key]public-key-code begin
Enter "RSA key code" view, return last view with "public-key-code end".
[Huawei-rsa-key-code]30818702 818100D8 78EDD9D5 8E9B9820 A8DAACD0 117485D8
[Huawei-rsa-key-code]6E8FE1AC F2532C60 59FFBC42 A04E915E CBDBBFD8 C6C94277
[Huawei-rsa-key-code]5555D0A6 E992297F 0EFC503D BF19B9BE 2AE3AE9D AB555472
[Huawei-rsa-key-code]181FE1F5 FEACB91F C6DDAFDF C8B48C86 1A24A3A3 36F09FDE
[Huawei-rsa-key-code]665EC26B C65D684F 19831345 80A99180 81B51D39 C556CBBE
[Huawei-rsa-key-code]4155EFC0 5A72CA86 B952AA01 7B92B902 0125
[Huawei-rsa-key-code]pub
[Huawei-rsa-key-code]public-key-code en
[Huawei-rsa-key-code]public-key-code end
[Huawei-rsa-public-key]pe
[Huawei-rsa-public-key]peer-public-key end
配置文件拷贝
<Huawei>mkdir flash:/test
Info: Create directory flash:/test......Done.
<Huawei>
<Huawei>dir
Directory of flash:/
Idx Attr Size(Byte) Date Time FileName
0 drw- - May 08 2013 09:59:27 src
1 drw- - May 08 2013 09:59:45 pmdata
2 drw- - May 08 2013 10:00:12 dhcp
3 -rw- 28 May 08 2013 11:07:43 private-data.txt
4 drw- - May 08 2013 10:15:31 mplstpoam
5 drw- - May 08 2013 11:24:18 test
32,004 KB total (31,993 KB free)
拷贝文件private-data.txt 从flash:/到flash:/test/
<Huawei>copy flash:/private-data.txt flash:/test/jp.txt
Copy flash:/private-data.txt to flash:/test/jp.txt?[Y/N]:y
100% complete
Info: Copied file flash:/private-data.txt to flash:/test/jp.txt...Done.
<Huawei>
配置FTP
USG-A--------IP Network---------USG-B
配置FTP服务器
[Huawei]sysname USG-A
[USG-A]int e 0/0/0
[USG-A-Ethernet0/0/0]ip add 20.20.20.1 24
[USG-A-Ethernet0/0/0]undo sh
[USG-A-Ethernet0/0/0]quit
[USG-A]ftp
[USG-A]ftp se
[USG-A]ftp server en
[USG-A]ftp server enable
Info: Succeeded in starting the FTP server.
[USG-A]ftp timeout 30
[USG-A]aaa
[USG-A-aaa]local-user jp password cipher 123456
Info: Add a new user.
[USG-A-aaa]local-user jp service-type ftp
[USG-A-aaa]local-user jp ftp-directory flash:
配置FTP客户端
<Huawei>sy
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname USG-B
[USG-B]int e 0/0/0
[USG-B]int e 0/0/0
[USG-B-Ethernet0/0/0]ip add 20.20.20.2 24
[USG-B-Ethernet0/0/0]quit
[USG-B]cd fl
[USG-B]quit
<USG-B>cd f
<USG-B>cd flash:
<USG-B>pwd
flash:
<USG-B>ftp 20.20.20.1
Trying 20.20.20.1 ...
Press CTRL+K to abort
Connected to 20.20.20.1.
220 FTP service ready.
User(20.20.20.1:(none)):jp
331 Password required for jp.
Enter password:
230 User logged in.
[ftp]
<USG-B>ftp 20.20.20.1
Trying 20.20.20.1 ...
Press CTRL+K to abort
Connected to 20.20.20.1.
220 FTP service ready.
User(20.20.20.1:(none)):jp
331 Password required for jp.
Enter password:
230 User logged in.
[ftp]bi
[ftp]binary
200 Type set to I.
[ftp]dir
200 Type set to A.
200 Port command okay.
150 Opening ASCII mode data connection for *.
drwxrwxrwx 1 noone nogroup 0 May 08 09:59 src
drwxrwxrwx 1 noone nogroup 0 May 08 09:59 pmdata
drwxrwxrwx 1 noone nogroup 0 May 08 10:00 dhcp
-rwxrwxrwx 1 noone nogroup 28 May 08 11:29 private-data.txt
drwxrwxrwx 1 noone nogroup 0 May 08 10:15 mplstpoam
drwxrwxrwx 1 noone nogroup 0 May 08 11:24 test
226 Transfer complete.
200 Type set to I.
[ftp]cd te
[ftp]cd dl
[ftp]cd fl
[ftp]get su
[ftp]get pr
[ftp]get pri
[ftp]get private-data.txt jiangping.txt
200 Port command okay.
150 Opening BINARY mode data connection for private-data.txt.
226 Transfer complete.
FTP: 28 byte(s) received in 0.250 second(s) 112.00byte(s)/sec.
[ftp]quit
221 Server closing.
<USG-B>dir
Directory of flash:/
Idx Attr Size(Byte) Date Time FileName
0 drw- - May 08 2013 10:01:09 src
1 drw- - May 08 2013 10:01:27 pmdata
2 drw- - May 08 2013 10:01:53 dhcp
3 -rw- 28 May 08 2013 11:29:04 private-data.txt
4 drw- - May 08 2013 10:17:11 mplstpoam
5 -rw- 28 May 08 2013 11:46:09 jiangping.txt
32,004 KB total (31,993 KB free)
<USG-B>
配置信息中心
配置向日志服务器输出syslog 日志举例
USG-A--------------------Log Server
[USG-A]info-center enable
Info: Information center is enabled.
[USG-A]info-center loghost type unix
[USG-A]info-center loghost 1.1.1.1 facility local4 language English 日志主机记录工具使用local4,日志记录的语
言为英文。
配置严重等级为notificationl,允许输出信息的模块为PPP 和IP。
[USG-A]info-center source PPP channel loghost log level notification
[USG-A]info-center source ip channel loghost log level notification
[USG-A]
配置向日志主机输出二进制流日志
<USG> system-view
[USG] info-center enable
[USG] info-center loghost 192.168.1.2 language english
[USG] firewall session log-type binary host 192.168.1.2 9002
配置向控制台输出调试信息
<USG> system-view
[USG] info-center enable
[USG-A]info-center console channel ?
INTEGER<0-9> Channel number
channel6 6 channel's name is channel6
channel7 7 channel's name is channel7
channel8 8 channel's name is channel8
channel9 9 channel's name is channel9
console 0 channel's name is console
logbuffer 4 channel's name is logbuffer
loghost 2 channel's name is loghost
monitor 1 channel's name is monitor
snmpagent 5 channel's name is snmpagent
trapbuffer 3 channel's name is trapbuffer
[USG-A]info-center console channel co
[USG-A]info-center console channel console ?
<cr>
[USG-A]info-center console channel console
[USG] info-center source arp channel console debug level debugging
配置允许通过通道console 向控制台输出ARP 模块的调试信息,并且严重等级限制为
debugging。
<USG-A>display channel 0
配置Eth-Trunk 链路
USG---------------USG
A --------------- B
<USG-A>
<USG-A>sys
Enter system view, return user view with Ctrl+Z.
[USG-A]sysname USG-A
[USG-A]int eth 1
[USG-A-Eth-Trunk1]ip add 10.10.10.1 24
[USG-A-Eth-Trunk1]int e 0/0/0
[USG-A-Ethernet0/0/0]eth 1
[USG-A-Ethernet0/0/0]
[USG-A-Ethernet0/0/0]int e 0/0/1
[USG-A-Ethernet0/0/1]
[USG-A-Ethernet0/0/1]eth 1
[USG-A-Ethernet0/0/1]
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysn USG-B
[USG-B]int eth 1
[USG-B-Eth-Trunk1]ip add 10.10.10.2 24
[USG-B-Eth-Trunk1]int e 0/0/0
[USG-B-Ethernet0/0/0]eth 1
[USG-B-Ethernet0/0/0]int e 0/0/1
[USG-B-Ethernet0/0/1]eth 1
[USG-B-Ethernet0/0/1]
配置端口隔离
SW-----PC1
Internet---SW-----PC2
SW-----PC3
<USG> system-view
[USG] interface GigabitEthernet 0/0/0
[USG-GigabitEthernet0/0/0] ip address 202.1.1.1 24
[USG-GigabitEthernet0/0/0] quit
将接口加入Untrust 安全区域
[USG] firewall zone untrust
[USG-zone-untrust] add interface GigabitEthernet 0/0/0
[USG-zone-untrust] quit
# 创建VLAN 3,将二层接口Ethernet 5/0/0、Ethernet 5/0/1、Ethernet 5/0/2 加入VLAN。
[USG] vlan 3
[USG-vlan-3] port interface Ethernet 5/0/0
[USG-vlan-3] port interface Ethernet 5/0/1
[USG-vlan-3] port interface Ethernet 5/0/2
[USG-vlan-3] quit
配置VLANIF 的IP 地址,将接口加入Trust 安全区域。
[USG] interface Vlanif 3
[USG-Vlanif3] ip address 192.168.1.1 24
[USG-Vlanif3] quit
[USG] firewall zone trust
[USG-zone-trust] add interface Vlanif 3
[USG-zone-trust] quit
# 配置缺省域间包过滤规则。
[USG] firewall packet-filter default permit interzone trust untrust
配置将需要进行隔离的端口加入到隔离组1 中。
[USG] interface ethernet 5/0/0
[USG-Ethernet5/0/0] port-isolate enable
[USG-Ethernet5/0/0] quit
[USG] interface ethernet 5/0/1
[USG-Ethernet5/0/1] port-isolate enable
[USG-Ethernet5/0/1] quit
[USG] interface ethernet 5/0/2
[USG-Ethernet5/0/2] port-isolate enable
[USG-Ethernet5/0/2] quit
配置端口镜像
USG------Server
<USG> system-view
# 建立本地端口镜像组1。
[USG] mirroring-group 1 local
# 将接口Eth5/0/0 配置为端口镜像组1 的源端口,并配置检测该端口收、发两个方向的
报文。
[USG] mirroring-group 1 mirroring-port interface Ethernet 5/0/0 both
# 将接口Eth5/0/1 配置为端口镜像组1 的源端口,并配置检测该端口收、发两个方向的
报文。
[USG] mirroring-group 1 mirroring-port interface Ethernet 5/0/1 both
# 将接口Eth5/0/2 配置为端口镜像组1 的目的端口。
[USG] mirroring-group 1 monitor-port interface Ethernet 5/0/2
配置VLAN间通过子接口通信
SW-A-------USG-------SWB
<USG-A>sys
Enter system view, return user view with Ctrl+Z.
[USG-A]sysname USG-A
[USG-A]int e 0/0/0.1
[USG-A-Ethernet0/0/0.1]vlan-ty
[USG-A-Ethernet0/0/0.1]vlan-type do
[USG-A-Ethernet0/0/0.1]vlan-type dot1q 10
[USG-A-Ethernet0/0/0.1]ip
[USG-A-Ethernet0/0/0.1]ip ad
[USG-A-Ethernet0/0/0.1]ip address 10.10.10.254 24
[USG-A-Ethernet0/0/0.1]int e 0/0/0.2
[USG-A-Ethernet0/0/0.2]vlan-type dot1q 20
[USG-A-Ethernet0/0/0.2]ip add 20.20.20.254 24
[USG-A-Ethernet0/0/0.2]int e 0/0/1.1
[USG-A-Ethernet0/0/1.1]vlan-ty dot 30
[USG-A-Ethernet0/0/1.1]ip add 30.30.30.254 24
[USG-A-Ethernet0/0/1.1]int e 0/0/1.2
[USG-A-Ethernet0/0/1.2]vlan-ty dot1q 40
[USG-A-Ethernet0/0/1.2]ip add 40.40.40.254 24
[USG-A-Ethernet0/0/1.2]
配置PPP
配置PAP 验证方式
USG-A-------------------USG-B
在验证方创建本地用户和密码。
在验证方配置本地以PAP 方式验证对端。
在被验证方配置本地被对端以PAP 验证,本地发送的PAP 用户名和密码。
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]aaa
[Huawei-aaa]loc
[Huawei-aaa]local-user jp pa
[Huawei-aaa]local-user jp password si
[Huawei-aaa]local-user jp password c
[Huawei-aaa]local-user jp password cipher 123456
Info: Add a new user.
[Huawei-aaa]int s 0/0/0
[Huawei-Serial0/0/0]li
[Huawei-Serial0/0/0]link-protocol ppp
[Huawei-Serial0/0/0]ip add 10.10.10.1 2
Error: The specified IP address is invalid.
[Huawei-Serial0/0/0]ip add 10.10.10.1 24
[Huawei-Serial0/0/0]ppp au
[Huawei-Serial0/0/0]ppp authentication-mode pap
[Huawei-Serial0/0/0]quit
[Huawei]
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]int s 0/0/0
[Huawei-Serial0/0/0]li
[Huawei-Serial0/0/0]link-protocol ppp
[Huawei-Serial0/0/0]ip add 10.10.10.2 24
[Huawei-Serial0/0/0]ppp pa
[Huawei-Serial0/0/0]ppp pap lo
[Huawei-Serial0/0/0]ppp pap local-user jp pa
[Huawei-Serial0/0/0]ppp pap local-user jp password c
[Huawei-Serial0/0/0]ppp pap local-user jp password cipher 123456
[Huawei-Serial0/0/0]
配置CHAP 验证方式
USG-A-------------------USG-B
在验证方创建本地用户和密码。
在验证方配置本地以CHAP方式验证对端。
在被验证方配置本地被对端以CHAP 验证,本地发送的CHAP 用户名和密码。
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]aaa
[Huawei-aaa]lo
[Huawei-aaa]local-user jp pa
[Huawei-aaa]local-user jp password ci
[Huawei-aaa]local-user jp password cipher 123456
Info: Add a new user.
[Huawei-aaa]int s 0/0/0
[Huawei-Serial0/0/0]ip add 10.10.10.1 2
Error: The specified IP address is invalid.
[Huawei-Serial0/0/0]ip add 10.10.10.1 24
[Huawei-Serial0/0/0]ppp au
[Huawei-Serial0/0/0]ppp authentication-mode ch
[Huawei-Serial0/0/0]ppp authentication-mode chap
[Huawei-Serial0/0/0]quit
[Huawei]
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]int s 0/0/0
[Huawei-Serial0/0/0]ip add 10.10.10.3 24
[Huawei-Serial0/0/0]ppp ch
[Huawei-Serial0/0/0]ppp chap u
[Huawei-Serial0/0/0]ppp chap user u
[Huawei-Serial0/0/0]ppp chap user ?
STRING<1-85> User name
[Huawei-Serial0/0/0]ppp chap user jp
[Huawei-Serial0/0/0]ppp ch
[Huawei-Serial0/0/0]ppp chap pa
[Huawei-Serial0/0/0]ppp chap password ci
[Huawei-Serial0/0/0]ppp chap password cipher ?
STRING<1-16>/<24> The UNENCRYPTED/ENCRYPTED password string
[Huawei-Serial0/0/0]ppp chap password cipher 123456
[Huawei-Serial0/0/0]
配置PPPoE
PC--------USG-----Inetnet
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]int s0/0/0
[Huawei-Serial0/0/0]
[Huawei-Serial0/0/0]ip add 10.10.10.1 24
[Huawei-Serial0/0/0]quit
[Huawei]int e 0/0/0
[Huawei-Ethernet0/0/0]ip add 20.20.20.1 24
[Huawei-Ethernet0/0/0]
配置拨号访问控制列表。
[USG] dialer-rule 1 ip permit
# 创建Dialer 接口,并进入Dialer 视图。
[USG] interface Dialer 1
# 指定要拨号的远端用户名。
[USG-Dialer1] dialer user peer1
# 指定拨号口使用的dialer bundle。
[USG-Dialer1] dialer bundle 1
# 配置Dialer 1 接口所属的拨号访问组。
[USG-Dialer1] dialer-group 1
# 设置链路层协议为PPP。
[USG-Dialer1] link-protocol ppp
# 使用协商方式获取IP 地址。
[USG-Dialer1] ip address ppp-negotiate
# 使用PAP 认证方式,用户名为peer1,密码为Hello123。
[USG-Dialer1] ppp pap local-user peer1 password simple Hello123
[USG-Dialer1] quit
# 配置Dialer 口加入Untrust 区域。
[USG] firewall zone untrust
[USG-zone-untrust] add interface Dialer 1
[USG-zone-untrust] quit
配置PPPoE 会话。
# 创建一个PPPoE 会话,并且指定该会话所对应的Dialer 接口拨号池的编号是1,PPPoE
的会话方式为永久在线方式。
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] pppoe-client dial-bundle-number 1
[USG-GigabitEthernet0/0/1] quit
配置NAT 规则,路由规则,以及包过滤规则。
# 配置ACL 规则。
[USG] acl 3001
[USG-acl-adv-3001] rule 10 permit ip source 192.168.1.0 0.0.0.255
[USG-acl-adv-3001] quit
# 配置包过滤规则。
[USG] firewall interzone trust untrust
[USG-interzone-trust-untrust] packet-filter 3001 outbound
# 配置NAT 规则。
[USG-interzone-trust-untrust] nat outbound 3001 interface Dialer 1
[USG-interzone-trust-untrust] quit
# 配置缺省路由。
[USG] ip route-static 0.0.0.0 0.0.0.0 Dialer 1
配置DHCP
配置基于全局地址池的DHCP 服务器
PC--------------USG
启动DHCP 服务。
配置不参与自动分配的IP 地址,一般包括DNS 服务器地址、NetBIOS 和出口网关
地址等。
配置地址池的共有属性,包括地址范围、域名和DNS 地址。
配置地址池的相关属性,如地址池范围、出口网关、NetBIOS 地址、地址租用期限
等。
此配置举例介绍的是配置三个地址池的情况。地址池0 配置所有客户端的共有属
性,地址池1 和地址池2 分别配置不同客户端的相关属性。
在这个举例中,用户也可以只配置两个地址池,也就是地址池1 和地址池2。此时
这两个地址池无法继承父节点的配置,需要在两个地址池中分别配置出各自的相关
属性。
配置接口下的客户端从全局地址池中获取IP 地址。
启动DHCP 服务。
<USG> system-view
[USG] dhcp enable
配置不参与自动分配的IP 地址(包括DNS 服务器地址、NetBIOS 和出口网关地址)。
[USG] dhcp server forbidden-ip 10.1.1.2
[USG] dhcp server forbidden-ip 10.1.1.4
[USG] dhcp server forbidden-ip 10.1.1.126
[USG] dhcp server forbidden-ip 10.1.1.254
配置DHCP 地址池0,包括所有客户端的共有属性(地址池范围、域名和DNS 服务器
地址)。
[USG] dhcp server ip-pool 0
# 配置地址池0 的地址范围。
[USG-dhcp-0] network 10.1.1.0 mask 255.255.255.0
# 配置地址池0 的域名。
[USG-dhcp-0] domain-name dhcpserver.com
# 配置地址池0 的DNS 服务器地址。
[USG-dhcp-0] dns-list 10.1.1.2
[USG-dhcp-0] quit
配置DHCP 地址池1 的相关属性(地址池范围、出口网关和地址租用期限)。
[USG] dhcp server ip-pool 1
# 配置地址池1 的地址范围。
[USG-dhcp-1] network 10.1.1.0 mask 255.255.255.128
# 配置地址池1 的地址租用期。
[USG-dhcp-1] expired day 10 hour 12
# 配置地址池1 的出口网关地址。
[USG-dhcp-1] gateway-list 10.1.1.126
[USG-dhcp-1] quit
配置DHCP 地址池2 的相关属性(地址池范围、出口网关、NetBIOS 地址和地址租用期
限)。
[USG] dhcp server ip-pool 2
# 配置地址池2 的地址范围。
[USG-dhcp-2] network 10.1.1.128 mask 255.255.255.128
# 配置地址池2 的地址租用期。
[USG-dhcp-2] expired day 5
# 配置地址池2 的NetBIOS 地址。
[USG-dhcp-2] nbns-list 10.1.1.4
# 配置地址池2 的出口网关地址。
[USG-dhcp-2] gateway-list 10.1.1.254
[USG-dhcp-2] quit
配置接口GigabitEthernet 0/0/0 下的客户端从全局地址池中获取IP 地址。
[USG] interface GigabitEthernet 0/0/0
[USG-GigabitEthernet0/0/0] ip address 10.1.1.1 255.255.255.128
[USG-GigabitEthernet0/0/0] dhcp select global
[USG-GigabitEthernet0/0/0] quit
配置接口GigabitEthernet 0/0/1 下的客户端从全局地址池中获取IP 地址。
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] ip address 10.1.1.129 255.255.255.128
[USG-GigabitEthernet0/0/1] dhcp select global
[USG-GigabitEthernet0/0/1] quit
配置各接口加入相应的安全区域,并配置域间包过滤规则。
[USG] firewall zone trust
# 配置USG 以太网接口GigabitEthernet 0/0/0 加入Trust 域。
[USG-zone-trust] add interface GigabitEthernet 0/0/0
# 配置USG 以太网接口GigabitEthernet 0/0/1 加入Trust 域。
[USG-zone-trust] add interface GigabitEthernet 0/0/1
[USG-zone-trust] quit
# 配置域间包过滤规则。
[USG] firewall packet-filter default permit interzone local trust
配置基于接口地址池的DHCP 服务器
USG--------PC
启动DHCP 服务。
<USG> system-view
[USG] dhcp enable
配置不参与自动分配的IP 地址(包括DNS 服务器地址、NetBIOS)。
[USG] dhcp server forbidden-ip 10.1.1.2
[USG] dhcp server forbidden-ip 10.1.1.3
配置USG 以太网接口GigabitEthernet0/0/0 的IP 地址。
[USG] interface GigabitEthernet 0/0/0
[USG-GigabitEthernet0/0/0] ip address 10.1.1.1 24
开启接口地址池。
[USG-GigabitEthernet0/0/0] dhcp select interface
配置接口地址池的相关属性(域名、DNS 服务器地址、NetBIOS 地址、地址租用期
限)。
[USG-GigabitEthernet0/0/0] dhcp server domain-name dhcpserver.com
[USG-GigabitEthernet0/0/0] dhcp server dns-list 10.1.1.2
[USG-GigabitEthernet0/0/0] dhcp server nbns-list 10.1.1.3
[USG-GigabitEthernet0/0/0] dhcp server netbios-type b-node
[USG-GigabitEthernet0/0/0] dhcp server expired day 10 hour 12
[USG-GigabitEthernet0/0/0] quit
配置USG 以太网接口GigabitEthernet 0/0/0 加入Trust 域,并配置域间包过滤规则。
[USG] firewall zone trust
[USG-zone-trust] add interface GigabitEthernet 0/0/0
[USG-zone-trust] quit
[USG] firewall packet-filter default permit interzone local trust
(可选)配置伪DHCP 服务器检测功能。
[USG] dhcp server detect
使用display dhcp server tree 命令用来查看DHCP 地址池的树状结构
信息
配置基于多个子接口地址池的DHCP服务器
配置基于多个子接口地址池的DHCP 服务器后,与USG 的子接口处于相同VLAN 的设
备能够从USG 动态获取IP 地址。
启动DHCP 服务。
<USG> system-view
[USG] dhcp enable
步骤2 配置不参与自动分配的IP 地址(包括DNS 服务器地址、NetBIOS)。
[USG] dhcp server forbidden-ip 10.1.2.2
[USG] dhcp server forbidden-ip 10.1.1.3
配置USG 以太网接口GigabitEthernet 0/0/0 加入Trust 域。
[USG] firewall zone trust
[USG-zone-trust] add interface GigabitEthernet 0/0/0
步骤4 创建子接口GigabitEthernet 0/0/0.1,并配置接口IP 地址和封装802.1Q。
[USG] interface GigabitEthernet 0/0/0.1
[USG-GigabitEthernet0/0/0.1] vlan-type dot1q 10
[USG-GigabitEthernet0/0/0.1] ip address 10.1.1.1 24
[USG-GigabitEthernet0/0/0.1] quit
步骤5 创建子接口GigabitEthernet 0/0/0.2,并配置接口IP 地址和封装802.1Q。
[USG] interface GigabitEthernet 0/0/0.2
[USG-GigabitEthernet0/0/0.2] vlan-type dot1q 20
[USG-GigabitEthernet0/0/0.2] ip address 10.1.2.1 24
[USG-GigabitEthernet0/0/0.2] quit
步骤6 配置将子接口加入Trust 区域。
[USG] firewall zone trust
[USG-zone-trust] add interface GigabitEthernet 0/0/0.1
[USG-zone-trust] add interface GigabitEthernet 0/0/0.2
[USG-zone-trust] quit
配置域间包过滤规则。
[USG] firewall packet-filter default permit interzone local trust
步骤8 开启子接口地址池。
[USG] dhcp select interface interface GigabitEthernet 0/0/0.1 to GigabitEthernet 0/0/0.2
步骤9 配置子接口地址池的域名、DNS 服务器地址、NetBIOS 地址和地址租用期限。
[USG] dhcp server domain-name dhcpserver.com interface GigabitEthernet 0/0/0.1 to GigabitEthernet
0/0/0.2
[USG] dhcp server dns-list 10.1.2.2 interface GigabitEthernet 0/0/0.1 to GigabitEthernet 0/0/0.2
[USG] dhcp server nbns-list 10.1.1.3 interface GigabitEthernet 0/0/0.1 to GigabitEthernet 0/0/0.2
[USG] dhcp server netbios-type b-node interface GigabitEthernet 0/0/0.1 to GigabitEthernet 0/0/0.2
[USG] dhcp server expired day 10 hour 12 interface GigabitEthernet 0/0/0.1 to GigabitEthernet
0/0/0.2
配置DHCP中继
# 配置以太网接口GigabitEthernet 0/0/0 的IP 地址和该接口所代理的DHCP 服务器地
址,并开启DHCP 中继功能。
[USGA] interface GigabitEthernet 0/0/0
[USGA-GigabitEthernet0/0/0] ip address 10.1.1.1 16
[USGA-GigabitEthernet0/0/0] ip relay address 202.10.1.2
[USGA-GigabitEthernet0/0/0] dhcp select relay
配置DNS 代理
USG-A(DNS-client)-----------USG-B(DNS-proxy)--------Internet
SGA 作为DNS 客户端,指定域名服务器为USGB。USGB 作为DNS代理。实际DNS 服务器的IP 地址为3.1.1.1。
要求USGA 通过DNS 代理USGB 实现域名解析,使得USGA 通过域名“aaa.com”能
够访问IP 地址为4.1.1.1 255.255.255.0 的主机,域名后缀为com。
配置DNS 服务器。
配置DNS 代理,开启DNS proxy 功能,配置DNS server 的IP 地址。
配置DNS 客户端,开启动态DNS 功能,指定域名服务器为DNS 代理。
配置域名后缀。
<Huawei>
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname USG-B
[USG-B]dns se
[USG-B]dns server 3.1.1.1
[USG-B]dns
[USG-B]dns pr
[USG-B]dns proxy en
[USG-B]dns proxy enable
[USG-B]quit
[USG-B]int e 0/0/0
[USG-B-Ethernet0/0/0]ip add 1.1.1.2 24
[USG-B-Ethernet0/0/0]
<USG-B>
<Huawei>
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname USG-A
[USG-A]dns se
[USG-A]dns re
[USG-A]dns resolve
[USG-A]dns
[USG-A]dns se
[USG-A]dns server 1.1.1.2
[USG-A]dns
[USG-A]dns do
[USG-A]dns domain co
[USG-A]dns domain ?
STRING<1-63> Default domain name
[USG-A]dns domain com
[USG-A]int e 0/0/0
[USG-A-Ethernet0/0/0]ip add 1.1.1.1 24
[USG-A-Ethernet0/0/0]
[USG-A]quit
<USG-A>
配置OSPF
4-9
基本配置
[Huawei]int loo 0
[Huawei-LoopBack0]ip add 2.2.2.2 32
[Huawei-LoopBack0]ospf 1 rou 2.2.2.2
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]net 10.10.10.0 ?
X.X.X.X OSPF wild card bits
[Huawei-ospf-1-area-0.0.0.0]net 10.10.10.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]area 1
[Huawei-ospf-1-area-0.0.0.1]stub no-summary
[Huawei-ospf-1-area-0.0.0.1]area 2
[Huawei-ospf-1-area-0.0.0.2]nssa default-route-advertise no-summary
[Huawei-ospf-1-area-0.0.0.2]
[Huawei-ospf-1-area-0.0.0.2]qu
[Huawei-ospf-1]import-route static
[Huawei-ospf-1]
OSPF 虚连接
# 配置虚连接,设置对端设备的Router ID 为2.2.2.2。
<USGA> system-view
[USGA] ospf 1
[USGA-ospf-1] area 1
[USGA-ospf-1-0.0.0.1] vlink-peer 2.2.2.2
[USGA-ospf-1-0.0.0.1] quit
# 配置虚连接,设置对端设备的Router ID 为1.1.1.1。
<USGB> system-view
[USGB] ospf 1
[USGB-ospf-1] area 1
[USGB-ospf-1-0.0.0.1] vlink-peer 1.1.1.1
[USGB-ospf-1-0.0.0.1] quit
手动指定DR
<USGA> system-view
[USGA] interface Gigabitethernet 0/0/0
[USGA-GigabitEthernet0/0/0] ospf dr-priority 100
[USGA-GigabitEthernet0/0/0] quit
配置BGP
4-28
配置NAT
配置域间NAT。
# 创建ACL 2000,配置源地址为10.10.0.0/16 和10.20.0.0/16 的规则。
[USG] acl 2000
[USG-acl-basic-2000] rule permit source 10.10.0.0 0.0.255.255
[USG-acl-basic-2000] rule permit source 10.20.0.0 0.0.255.255
[USG-acl-basic-2000] quit
# 配置NAT 地址池。
[USG] nat address-group 0 202.10.10.2 202.10.10.3
# 在Trust 区域和Untrust 区域域间应用ACL 2000,允许教学区和宿舍区用户访问
Internet。
[USG] firewall interzone trust untrust
[USG-interzone-trust-untrust] packet-filter 2000 outbound
# 配置域间NAT,将NAT 地址池和ACL 关联。
[USG-interzone-trust-untrust] nat outbound 2000 address-group 0
[USG-interzone-trust-untrust] quit
步骤3 配置内部服务器供Internet 用户访问。
# 配置内部服务器。
[USG] nat server protocol tcp global 202.10.10.4 www inside 10.30.10.1 80
[USG] nat server protocol tcp global 202.10.10.5 ftp inside 10.30.10.2 ftp
# 创建高级ACL 3000,配置目的地址为10.30.10.1 和10.30.10.2 的规则。
[USG] acl 3000
[USG-acl-adv-3000] rule permit tcp destination 10.30.10.1 0 destination-port eq ftp
[USG-acl-adv-3000] rule permit tcp destination 10.30.10.2 0 destination-port eq 80
[USG-acl-adv-3000] quit
# 配置在Trust 区域和Untrust 区域域间应用ACL 3000,允许Internet 用户访问Web 服务器和FTP 服务器。
[USG] firewall interzone trust untrust
[USG-interzone-trust-untrust] packet-filter 3000 inbound
# 配置Trust 区域和Untrust 区域的域间开启FTP 和HTTP 协议的ASPF 功能。
[USG-interzone-trust-untrust] detect ftp
[USG-interzone-trust-untrust] detect http
[USG-interzone-trust-untrust] quit
配置内部服务器供内网用户访问。
# 创建ACL 2001,配置源地址为10.10.0.0/16、10.20.0.0/16 和10.30.0.0/16 的规则。
[USG] acl 2001
[USG-acl-basic-2001] rule permit source 10.10.0.0 0.0.255.255
[USG-acl-basic-2001] rule permit source 10.20.0.0 0.0.255.255
[USG-acl-basic-2001] rule permit source 10.30.0.0 0.0.255.255
[USG-acl-basic-2001] quit
# 在Trust 区域内配置NAT,允许校园网用户使用公网地址访问Web 服务器和FTP 服务
器。
[USG] firewall zone trust
[USG-zone-trust] nat 2001 address-group 0
# 配置Trust 区域开启FTP 协议的ASPF 功能。
[USG-zone-trust] detect ftp
[USG-zone-trust] quit
配置双向NAT
双向NAT 是指低优先级区域的用户访问高优先级区域的NAT 内部服务器时,如果配置
了Inbound 方向的NAT,则经过USG 的报文既转换目的地址也转换源地址。这种情况
下不需要在内部服务器上配置默认网关。
VPN配置示例
1. 创建VPN 实例,并配置VPN 实例的路由标识。
2. 配置各接口绑定对应的VPN 实例,并配置接口的IP 地址。不同的VPN 实例可以
使用相同的IP 地址。
3. 配置将接口加入VPN 实例的安全区域。不同VPN 实例的用户可以根据自己的需求
部署安全区域。
4. 配置VPN 实例的域间包过滤。不同VPN 实例的用户可以根据自己的需求配置域间
包过滤。
# 创建VPN 实例vfw1,并配置vfw1 的路由标识。
说明
创建VPN 实例后,需要同时配置路由标识,否则不能进行后续配置。
<USG> system-view
[USG] ip vpn-instance vfw1 vpn-id 1
[USG-vpn-vfw1] route-distinguisher 100:1
[USG-vpn-vfw1] quit
# 配置接口GigabitEthernet 0/0/0 绑定VPN 实例vfw1,并配置接口的IP 地址。
说明
需要首先配置接口与VPN 实例的绑定,再配置接口IP 地址。如果配置顺序相反,先配置的地址
会被删除。
[USG] interface GigabitEthernet 0/0/0
[USG-GigabitEthernet0/0/0] ip binding vpn-instance vfw1
[USG-GigabitEthernet0/0/0] ip address 192.168.1.1 24
[USG-GigabitEthernet0/0/0] quit
# 配置接口GigabitEthernet 0/0/1 绑定VPN 实例vfw1,并配置接口的IP 地址。
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] ip binding vpn-instance vfw1
[USG-GigabitEthernet0/0/1] ip address 10.1.1.1 24
[USG-GigabitEthernet0/0/1] quit
将接口GigabitEthernet 0/0/0 加入vfw1 的Trust 区域。
[USG] firewall zone vpn-instance vfw1 trust
[USG-zone-trust-vfw1] add interface GigabitEthernet 0/0/0
[USG-zone-trust-vfw1] quit
# 将接口GigabitEthernet 0/0/1 加入vfw1 的DMZ 区域。
[USG] firewall zone vpn-instance vfw1 dmz
[USG-zone-dmz-vfw1] add interface GigabitEthernet 0/0/1
[USG-zone-dmz-vfw1] quit
# 将接口GigabitEthernet 5/0/0 加入vfw1 的Untrust 区域。
[USG] firewall zone vpn-instance vfw1 untrust
[USG-zone-untrust-vfw1] add interface GigabitEthernet 5/0/0
[USG-zone-untrust-vfw1] quit
配置VPN 实例vfw1 的域间包过滤。
# 创建vfw1 的基本ACL 2000,配置源地址为192.168.1.0/24 的规则。
[USG] acl 2000 vpn-instance vfw1
[USG-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[USG-acl-basic-2000] quit
# 在vfw1 的Trust 区域和Untrust 区域的域间配置包过滤,允许Trust 区域的用户访问Untrust 区域。
[USG] firewall interzone vpn-instance vfw1 trust untrust
[USG-interzone-trust-untrust-vfw1] packet-filter 2000 outbound
[USG-interzone-trust-untrust-vfw1] quit
# 创建vfw1 的基本ACL 2001,配置源地址为2.1.1.0/24 的规则。
[USG] acl 2001 vpn-instance vfw1
[USG-acl-basic-2001] rule permit source 2.1.1.0 0.0.0.255
[USG-acl-basic-2001] quit
# 在vfw1 的Untrust 区域和DMZ 区域的域间配置包过滤,允许Untrust 区域的用户访问DMZ 区域。
[USG] firewall interzone vpn-instance vfw1 untrust dmz
[USG-interzone-dmz-untrust-vfw1] packet-filter 2001 inbound
配置IP黑名单
配置IP 地扫描攻击防范参数。
# 开启IP 地址扫描攻击防范功能。
[USG] firewall defend ip-sweep enable
# 配置黑名单超时时间为30 分钟。
[USG] firewall defend ip-sweep blacklist-timeout 30
# 配置IP 地址扫描速率的阈值为5000pps。当某个源的IP 报文速率超过5000pps 时,
USG 认为发生了扫描攻击,将该IP 地址加入黑名单。
[USG] firewall defend ip-sweep max-rate 5000
步骤3 配置静态黑名单。
# 开启黑名单功能。
[USG] firewall blacklist enable
# 将IP 地址202.39.1.2 加入静态黑名单,永久有效。
[USG] firewall blacklist item 202.39.1.2配置IP黑名单
配置MAC地址和IP地址绑定
# 开启地址绑定功能。
[USG] firewall mac-binding enable
# 配置IP 地址和MAC 地址绑定。
[USG] firewall mac-binding 202.169.168.2 00e0-fc00-0100
display firewall mac-binding item
配置端口映射
USG 支持基于ACL 的端口映射,对去往某些特定主机的报文建立自定义端口号和应用
协议的映射,即将去往某些特定主机的非知名报文识别为知名协议报文。
配置基于ACL 的端口映射。
# 创建基本ACL 2000,配置IP 地址为10.1.1.2 的规则。
[USG] acl 2000
[USG-acl-basic-2000] rule permit source 10.1.1.2 0
[USG-acl-basic-2000] quit
# 创建基本ACL 2001,配置IP 地址为10.1.1.3 的规则。
[USG] acl 2001
[USG-acl-basic-2001] rule permit source 10.1.1.3 0
[USG-acl-basic-2001] quit
# 配置端口映射,将去往10.1.1.2 的报文映射成端口为2121 的FTP 报文;将去往10.1.1.3
的报文映射成端口为8080 的HTTP 报文。
[USG] port-mapping ftp port 2121 acl 2000 // 将去往10.1.1.2的报文映射成端口为2121的FTP报文
port-mapping http port 8080 acl 2001 // 将去往10.1.1.3的报文映射成端口为8080的HTTP报文
# 在DMZ 和Untrust 区域的域间开启FTP 和HTTP 协议的ASPF 功能。
[USG] firewall interzone untrust dmz
[USG-interzone-untrust-dmz] detect ftp
[USG-interzone-untrust-dmz] detect http
执行display port-mapping 命令,查看端口映射的配置信息
执行display firewall session table 命令,查看会话表信息
配置攻击防范
配置SYN Flood 攻击防范。
# 开启SYN Flood 攻击防范功能。
[USG] firewall defend syn-flood enable
# 配置基于IP 地址的SYN Flood 攻击防范,SYN 报文的速率阈值为800pps,TCP 代理
功能为自动开启状态。
[USG] firewall defend syn-flood ip 192.168.1.2 max-rate 800 tcp-proxy auto
# 配置基于安全区域的SYN Flood 攻击防范,SYN 报文的速率阈值为500pps,TCP 代
理功能为始终开启状态。
[USG] firewall defend syn-flood zone dmz max-rate 500 tcp-proxy on
TCP 代理功能是指USG 伪装成内网的服务器应答客户发起的连接,从而防范SYN Flood 攻击。开启SYN Flood 攻击防范功能后,TCP 代理功能为自动开启状态。可以手动配置TCP 代理功能为始终开启状态,更加有效的防范SYN Flood 攻击。
执行display firewall defend flag 命令,查看攻击防范功能的状态
配置IP 地址扫描攻击防范功能
配置IP 地址扫描攻击防范后,当某个源的IP 报文速率超过设定的阈值时,USG 认为发生了扫描攻击,将该IP 地址加入黑名单,禁止其建立新的连接。
开启黑名单功能。
[USG] firewall blacklist enable
步骤4 配置地址扫描攻击防范。
# 开启地址扫描攻击防范功能。
[USG] firewall defend ip-sweep enable
# 配置地址扫描报文速率的阈值为1000pps。当某个源的IP 报文速率超过1000pps 时,USG 认为发生了扫描攻击,将该IP 地址加入黑名单。
[USG] firewall defend ip-sweep max-rate 1000
# 配置黑名单超时时间为30 分钟。
[USG] firewall defend ip-sweep blacklist-timeout 30
配置Land 攻击防范功能
Land 攻击是指攻击者向被攻击者发送SYN 报文,此SYN 报文的源地址和目标地址同
为被攻击者的IP 地址。
配置Land 攻击防范。
# 配置Land 攻击防范。
[USG] firewall defend land enable
配置超大ICMP 报文攻击防范
超大ICMP 报文攻击是指利用尺寸超大的ICMP 报文对目标系统进行攻击。对于有些设
备,在接收到超大ICMP 报文后,由于处理不当,会造成系统崩溃、死机或重启。用户
可以根据实际网络需要配置允许通过的ICMP 报文的最大长度,当实际ICMP 报文的长
度超过该值时,USG 认为发生了超大ICMP 报文攻击,将丢弃该报文。
配置超大ICMP 报文攻击防范。
# 开启超大ICMP 报文攻击防范功能。
[USG] firewall defend large-icmp enable
# 配置超大ICMP 报文攻击防范参数,允许报文长度小于3600 字节的ICMP 报文通过。
[USG] firewall defend large-icmp max-length 3600
配置AAA
配置域间包过滤。
说明
由于认证过程需要USG、Trust 安全区域内的用户以及DMZ 安全区域内的认证服务器三方共同完成,且Trust 安全区域的用户IP 地址需要由USG 分配,没有固定的IP 地址,故需要配置USG 的Local-Trust 和Local-DMZ 域间的包过滤规则。
# 创建基本ACL 2000,配置源IP 地址为any 的规则。
[USG] acl 2000
[USG-acl-basic-2000] rule permit source any
[USG-acl-basic-2000] quit
# 配置Trust 区域和Local 区域的域间包过滤规则。
[USG] firewall interzone trust local
[USG-interzone-local-trust] packet-filter 2000 inbound
[USG-interzone-local-trust] quit
# 配置DMZ 区域和Local 区域的域间包过滤规则。
[USG] firewall interzone DMZ local
[USG-interzone-local-DMZ] packet-filter 2000 outbound
[USG-interzone-local-DMZ] quit
步骤3 配置RADIUS 服务器。
# 配置认证方案为auth1,认证模式为RADIUS 认证。
[USG] aaa
[USG-aaa] authentication-scheme auth1
[USG-aaa-authen-auth1] authentication-mode radius
[USG-aaa-authen-auth1] quit
[USG-aaa] quit
# 创建RADIUS 服务器模板。
[USG] radius-server template temp1
# 配置RADIUS 认证服务器。
[USG-radius-tem1] radius-server authentication 192.169.1.2 1812
[USG-radius-tem1] radius-server authentication 192.169.1.3 1812 secondary
# 配置RADIUS 服务器的共享密钥、重传次数。
[USG-radius-tem1] radius-server shared-key my-secret
[USG-radius-tem1] radius-server retransmit 2
[USG-radius-tem1] quit
步骤4 配置domain1 域。
# 创建domain1 域。
[USG] aaa
[USG-aaa] domain domain1
# 配置domain1 域的认证方案。
[USG-aaa-domain-domain1] authentication-scheme auth1
# 配置domain1 域的RADIUS 模板。
[USG-aaa-domain-domain1] radius-server temp1
执行display radius-server configuration template template-name 命令后,可以
观察到该RADIUS 服务器模板的配置与要求一致。
配置关键字认证
当需要严格控制内部FTP 用户的get 或put 的操作权限时,需要配置关键字认证功能。
配置深度检测组,并将检测组应用于域间。
# 创建编号为3 的深度检测组,阻止从FTP 服务器下载(get)文件。
[USG] deep-inspection group 3
[USG-deepinspection-group-3] add ftp-get
[USG-deepinspection-group-3] quit
# 创建编号为4 的深度检测组,阻止上传(put)文件到FTP 服务器。
[USG] deep-inspection group 4
[USG-deepinspection-group-4] add ftp-put
[USG-deepinspection-group-4] quit
# 应用深度检测3 于Trust 和Untrust 域间的出方向上。
[USG] firewall interzone trust untrust
[USG-interzone-trust-untrust] firewall deep-inspection 3 outbound
[USG-interzone-trust-untrust] quit
# 应用深度检测4 于Test 和Untrust 域间的出方向上。
[USG] firewall interzone test untrust
[USG-interzone-test-untrust] firewall deep-inspection 4 outbound
[USG-interzone-test-untrust] quit
配置服务器负载均衡(SLB)
将访问同一个IP 地址的用户流量分配到不同的服务器上
配置负载均衡功能
# 启用负载均衡功能。
[USG] slb enable
# 配置真实服务器。
需要根据真实服务器的处理能力配置权值weight,处理能力弱的服务器应配置的权值较小。
[USG] slb
[USG-slb] rserver 1 rip 10.1.1.3 weight 32
[USG-slb] rserver 2 rip 10.1.1.4 weight 16
[USG-slb] rserver 3 rip 10.1.1.5 weight 32
# 配置真实服务器加入负载均衡组。
[USG-slb] group test
[USG-slb-group-test] metric weightrr
[USG-slb-group-test] addrserver 1
[USG-slb-group-test] addrserver 2
[USG-slb-group-test] addrserver 3
[USG-slb-group-test] quit
# 配置虚服务器IP 地址和端口号,以及真实服务器的端口号。
说明:虚服务器IP 地址不允许和真实服务器或USG 接口的IP 地址相同。
[USG-slb] vserver test vip 202.2.2.2 group test tcp vport 21 rport 21
[USG-slb] quit
# 配置对FTP 协议指定ASPF 策略。
[USG] firewall interzone dmz untrust
[USG-interzone-dmz-untrust] detect ftp
[USG-interzone-dmz-untrust] quit
在USG 上执行display slb group 命令,查看服务器组的配置信息
在USG 上执行display slb rserver 命令,查看真实服务器的配置信息
配置TSM联动举例
TSM 终端安全系统实现了对用户进行基于角色ACL 的接入访问权限控制。终端用户先
在TSM 服务器上完成安全策略检查,然后完成终端用户身份合法性的验证,最后通告
USG 对终端用户进行接入访问控制。该特性能够满足大型企业网内对用户种类细分的需求,更好地控制用户访问权限。
配置TSM 联动。
# 进入TSM 联动配置视图。
[USG] right-manager server-group
# 配置缺省规则。
[USG-rightm] default acl 3099
说明
在配置TSM 联动前,需要修改原组号为3099 的ACL,否则USG 生成的默认ACL 规则会覆盖原
来配置的ACL 规则。
# 添加TSM 服务器。
[USG-rightm] server ip 10.3.2.2 port 3288 shared-key tsm
说明
USG 端port 和shared-key 的配置应该与TSM 服务器端保持一致。
# 配置推送Web 页面中的URL。
[USG-rightm] right-manager authentication url https://10.3.2.2:8443/SCServer
# 开启TSM 服务器。
[USG-rightm] right-manager server-group enable
# 配置与USG 连接的TSM 服务器个数的最小值。
[USG-rightm] right-manager server-group active-minimum 3
# 启用状态检测功能。
[USG-rightm] right-manager status-detect enable
# 退回系统视图。
[USG-rightm] quit
# 配置ACL 3099 的包过滤规则应用到trust-untrust 域间。
[USG] firewall interzone trust untrust
[USG-interzone-trust-untrust] packet-filter 3099 inbound
[USG-interzone-trust-untrust] packet-filter 3099 outbound
[USG-interzone-trust-untrust] quit
# 配置ACL 3099 的包过滤规则应用到dmz-untrust 域间。
[USG] firewall interzone dmz untrust
[USG-interzone-dmz-untrust] packet-filter 3099 inbound
[USG-interzone-dmz-untrust] packet-filter 3099 outbound
[USG-interzone-dmz-untrust] quit
执行display right-manager role-info 命令,查看从TSM 服务器获取的用户角
色信息。
执行display right-manager role-id 1 rule 命令,查看与用户角色关联的规则
信息。
配置IP-CAR
在需要对某服务器或主机进行连接数/带宽限制时,配置IP-CAR 功能。连接数限制能起到限制用户对外发起攻击、保护指定用户不受攻击的作用;带宽限制能起到优化网络流量、保证用户的正常访问速率、辅助防范网络攻击的作用。
配置FTP Server 的连接数限制。
说明
本例中将FTP 服务器的连接数上限定在500,如果FTP 工作在Port 模式,在一个方向上每个Client
和Server 之间会建立一个连接,所以可以使最多500 个用户同时访问FTP 服务器;但是如果工作
在Passive 模式,则在一个方向上每个Client 和Server 之间会建立两个连接,所以可以使最多250
个用户同时访问FTP 服务器。
# 配置连接数限制等级及对应的连接数上限为500。
[USG] firewall conn-class 1 500
# 配置基本ACL。
[USG] acl 2000
[USG-acl-basic-2000] rule permit
[USG-acl-basic-2000] quit
# 将连接数限制策略应用在DMZ 区域,限制FTP 服务器的FTP 端口基于目的IP 的连
接数上限为500。
[USG] firewall zone dmz
[USG-zone-dmz] statistic enable ip inzone
[USG-zone-dmz] statistic connect-number ip tcp inbound 1 acl-number 2000
步骤3 配置PC 机的TCP 带宽限制。
# 配置带宽限制等级及对应的带宽上限值。
[USG] firewall car-class 1 100000
# 配置基本ACL(配置FTP Server 的连接数限制时已经配置完毕)。
# 配置高级ACL。
[USG] acl 3001
[USG-acl-adv-3001] rule deny tcp source 110.1.1.5 0
[USG-acl-adv-3001] rule deny tcp source 110.1.1.6 0
[USG-acl-adv-3001] quit
# 将带宽限制策略应用在Trust 区域。
[USG] firewall zone trust
[USG-zone-trust] statistic enable ip outzone
[USG-zone-trust] statistic car ip outbound 1 acl-number 2000
[USG-zone-trust] statistic ip-stat outbound acl 3001
在USG 上执行display firewall conn-class,查看连接数限制等级配置信息。
在USG 上执行display firewall car-class,查看带宽限制等级配置信息。
配置IM 阻断
配置IM 阻断的协议。
说明
USG 的FLASH 中已有模式文件protocol.rul 才能激活模式文件。
# 激活模式文件。
[USG] firewall dpi pattern-file active
Active pattern file successfully !
# 配置需要阻断的IM 协议为QQ 和MSN。
[USG] firewall im-block include IM_QQ
[USG] firewall im-block include IM_MSN
配置IM 阻断所需的ACL 策略。
# 设置需进行IM 阻断的时间段名称为“block”。
[USG] time-range block 8:30 to 17:30 working-day
# 创建ACL 3000。
[USG] acl number 3000
# 配置不需阻断的用户PC_A。
[USG-acl-adv-3000] rule deny ip source 10.10.200.5 0
[USG-acl-adv-3000] rule deny ip destination 10.10.200.5 0
# 配置分时段需阻断的IM 用户。
[USG-acl-adv-3000] rule permit ip source 10.10.200.0 0.0.0.255 time-range block
# 退回系统视图。
[USG-acl-adv-3000] quit
配置IM 阻断策略应用到域间。
# 进入Trust 和Untrust 域间视图。
[USG] firewall interzone trust untrust
# 配置IM 阻断所需的ACL 策略应用到域间。
[USG-interzone-trust-untrust] im-block 3000
# 退回系统视图。
[USG-interzone-trust-untrust] quit
(可选)配置报文检测个数。
# 配置报文检测个数为18。
[USG] firewall dpi packet-number 18
执行display im-block statistic protocol 命令,查看按协议分类的IM 流量信
息。
配置P2P 限流
配置透明模式下P2P 限流
配置USG 工作模式。
# 进入系统视图。
<USG> system-view
# 配置USG 工作模式。
[USG] firewall mode transparent
配置P2P 限流功能。
# 激活模式文件。
[USG] firewall dpi pattern-file active
# 配置需要限流的协议。
[USG] firewall p2p-car include BT
[USG] firewall p2p-car include PPLIVE
# 启用全局P2P 限流功能。
[USG] firewall p2p-car default-permit
说明
启用全局P2P 限流功能后,默认使用class 0 进行全局P2P 限流。
# 配置class 0 所需要使用的限流策略的时间段。
[USG] time-range daytime 00:00 to 20:00 daily
[USG] time-range night 20:00 to 24:00 daily
# 配置class 0 的时间段带宽。
[USG] p2p-class 0
[USG-p2p-class-0] cir 10000 index 1 time-range daytime
[USG-p2p-class-0] cir 20000 index 2 time-range night
[USG-p2p-class-0] quit
执行display p2p-car class 0 命令,查看P2P 限流配置信息
配置路由模式下P2P 限流
配置USG 工作模式。
# 进入系统视图。
<USG> system-view
# 设置USG 工作在路由模式。
[USG] firewall mode route
激活模式文件,配置P2P 需要限流的协议和报文检测个数。
# 激活模式文件。
[USG] firewall dpi pattern-file active
# 配置BT 协议限流。
[USG] firewall p2p-car include BT
# 配置PPLIVE 协议限流。
[USG] firewall p2p-car include PPLIVE
# 配置P2P 报文检测个数为10。
[USG] firewall dpi packet-number 10
配置PC_A 的P2P 限流策略。
# 配置ACL3000,对从PC_A 发出的和发往PC_A 的报文进行限流。
[USG] acl number 3000
[USG-acl-adv-3000] rule permit ip source 10.10.200.5 0
[USG-acl-adv-3000] rule permit ip destination 10.10.200.5 0
[USG-acl-adv-3000] quit
# 配置class1 的默认限流速率为10000kbit/s。
[USG] p2p-class 1
[USG-p2p-class-1] cir default 10000
[USG-p2p-class-1] quit
配置PC_B 的P2P 限流策略。
# 配置ACL3001,对从PC_B 发出的和发往PC_B 的报文进行限流。
[USG-acl-adv-3001] rule permit ip source 10.10.200.6 0
[USG-acl-adv-3001] rule permit ip destination 10.10.200.6 0
[USG-acl-adv-3001] quit
# 配置class2 的默认限流速率为20000kbit/s。
[USG] p2p-class 2
[USG-p2p-class-2] cir default 20000
[USG-p2p-class-2] quit
配置PC_C 的P2P 上行限流策略。
# 配置ACL3002,对从PC_C 发出的报文进行限流。
[USG] acl number 3002
[USG-acl-adv-3002] rule permit ip source 10.10.200.7 0
[USG-acl-adv-3002] quit
# 配置class 3 的默认限流速率为10000kbit/s。
[USG] p2p-class 3
[USG-p2p-class-3] cir default 10000
[USG-p2p-class-3] quit
配置P2P 限流策略应用到域间。
[USG] firewall interzone trust untrust
[USG-interzone-trust-untrust] p2p-car 3000 class 1 inbound
[USG-interzone-trust-untrust] p2p-car 3000 class 1 outbound
[USG-interzone-trust-untrust] p2p-car 3001 class 2 inbound
[USG-interzone-trust-untrust] p2p-car 3001 class 2 outbound
[USG-interzone-trust-untrust] p2p-car 3002 class 3 outbound
[USG-interzone-trust-untrust] p2p-car 3003 class 4 inbound
[USG-interzone-trust-untrust] quit
配置P2P 域间检测策略。
说明
在配置了限流策略的情况下,P2P 默认采用深度检测。当需要提高P2P 识别率,同时使用深度检
测和行为检测时,执行以下命令配置P2P 检测策略。
[USG] firewall interzone trust untrust
[USG-interzone-trust-untrust] p2p-detect enable
[USG-interzone-trust-untrust] p2p-detect mode default
[USG-interzone-trust-untrust] p2p-detect mode behavior
配置P2P 域间检测策略。
说明
在配置了限流策略的情况下,P2P 默认采用深度检测。当需要提高P2P 识别率,同时使用深度检
测和行为检测时,执行以下命令配置P2P 检测策略。
[USG] firewall interzone trust untrust
[USG-interzone-trust-untrust] p2p-detect enable
[USG-interzone-trust-untrust] p2p-detect mode default
[USG-interzone-trust-untrust] p2p-detect mode behavior
在USG 上执行display p2p-car class 命令,查看当前P2P 限流配置信息。
配置策略路由
配置ACL 规则。
# 配置ACL 3001。
<USG> system-view
[USG] acl number 3001
[USG-acl-adv-3001] rule permit ip source 192.168.1.0 0.0.0.255
[USG-acl-adv-3001] quit
# 配置ACL 3002。
<USG> system-view
[USG] acl number 3002
[USG-acl-adv-3002] rule permit ip source 192.168.2.0 0.0.0.255
[USG-acl-adv-3002] quit
步骤3 配置类,在类中定义一组流分类匹配ACL。
# 定义类class1,在class1 类中定义一组流分类规则匹配ACL3001。
[USG] traffic classifier class1
[USG-classifier-class1] if-match acl 3001
[USG-classifier-class1] quit
# 定义类class2,在class2 类中定义一组流分类规则匹配ACL3002。
[USG] traffic classifier class2
[USG-classifier-class2] if-match acl 3002
[USG-classifier-class2] quit
步骤4 定义流行为,在流行为中指定下一跳和出接口。
# 定义流行为behavior1,在流行为behavior1 中指定下一跳为200.1.1.2,出接口为
GigabitEthernet 5/0/0。
[USG] traffic behavior behavior1
[USG-behavior-behavior1] remark ip-nexthop 200.1.1.2 output-interface GigabitEthernet 5/0/0
[USG-behavior-behavior1] quit
# 定义流行为behavior2,在流行为behavior2 中指定下一跳为202.1.1.2,出接口为
GigabitEthernet 6/0/0。
[USG] traffic behavior behavior2
[USG-behavior-behavior2] remark ip-nexthop 202.1.1.2 output-interface GigabitEthernet 6/0/0
[USG-behavior-behavior2] quit
配置QoS 策略mypolicy。
# 定义QoS 策略mypolicy。
[USG] qos policy mypolicy
# 为使用的类class1 指定对应的流行为behavior1。
[USG-qospolicy-mypolicy] classifier class1 behavior behavior1
# 为使用的类class2 指定对应的流行为behavior2。
[USG-qospolicy-mypolicy] classifier class2 behavior behavior2
[USG-qospolicy-mypolicy] quit
步骤6 在接口上GigabitEthernet 0/0/0 应用策略mypolicy,使匹配ACL 的报文按照策略路由mypolicy 转发。
[USG] interface GigabitEthernet 0/0/0
[USG-GigabitEthernet0/0/0] qos apply policy mypolicy outbound
配置拥塞管理
配置优先队列
当网络发生拥塞时,若希望关键业务(如视频业务,语音业务)的报文能够得到优先处理,非关键业务(如E-Mail)的报文在网络处理完关键业务后的空闲中再进行处理,可通过配置优先队列(PQ)实现这一目标。
1. 配置ACL,确定要进行处理的数据流。
2. 配置优先队列规则组,使得网络拥塞发生时,源自不同网段的报文能够进入各优先
队列缓存。
3. 配置优先队列的长度,设定各队列能容纳的报文数量。
4. 在接口上应用优先队列规则组,实现优先队列配置。
配置ACL,分别匹配来源于Server 和PC1 的报文。
<USGA> system-view
[USGA] acl number 2001
[USGA-acl-basic-2001] rule 1 permit source 1.1.1.1 0.0.0.0
[USGA-acl-basic-2001] quit
[USGA] acl number 2002
[USGA-acl-basic-2002] rule 1 permit source 1.1.1.2 0.0.0.0
[USGA-acl-basic-2002] quit
在USGA 上配置优先队列。
# 配置优先队列规则组,使得网络拥塞发生时,源自Server 的报文能够进入PQ 的top
队列缓存,源自PC1 的报文能够进入bottom 队列缓存,并且设定top 队列的最大队列
长度为50、bottom 队列的最大队列长度为100。
[USGA] qos pql 1 protocol ip acl 2001 queue top
[USGA] qos pql 1 protocol ip acl 2002 queue bottom
[USGA] qos pql 1 queue top queue-length 50
[USGA] qos pql 1 queue bottom queue-length 100
# 在接口Serial 2/0/0 上启用优先队列规则组1
[USGA] interface Serial 2/0/0
[USGA-Serial 2/0/0] qos pq pql 1
执行display qos pq interface 命令,可以观察优先队列中各队列的调度情况。
配置定制队列(CQ)
步骤2 配置ACL 规则列表,分别匹配来源于不同网段的报文。
[USGB] acl number 2001
[USGB-acl-basic-2001] rule 1 permit source 1.1.1.0 0.0.0.255
[USGB-acl-basic-2001] quit
[USGB] acl number 2002
[USGB-acl-basic-2002] rule 1 permit source 1.1.2.0 0.0.0.255
[USGB-acl-basic-2002] quit
[USGB] acl number 2003
[USGB-acl-basic-2003] rule 1 permit source 1.1.3.0 0.0.0.255
[USGB-acl-basic-2003] quit
步骤3 在USGB 上配置定制队列。
# 配置定制队列规则组,使得网络拥塞发生时,源自不同网段的报文能够进入CQ 的各
队列缓存。
[USGB] qos cql 1 protocol ip acl 2001 queue 1
[USGB] qos cql 1 protocol ip acl 2002 queue 2
[USGB] qos cql 1 protocol ip acl 2003 queue 3
# 配置缺省队列,使匹配不上任何规则的流量进入缺省队列。
[USGB] qos cql 1 defult-queue 4
# 配置各队列长度。
[USGB] qos cql 1 queue 1 queue-length 250
[USGB] qos cql 1 queue 2 queue-length 200
[USGB] qos cql 1 queue 3 queue-length 150
[USGB] qos cql 1 queue 4 queue-length 100
# 配置各队列每次调度的字节数。
[USGB] qos cql 1 queue 1 serving 400
[USGB] qos cql 1 queue 2 serving 300
[USGB] qos cql 1 queue 3 serving 200
[USGB] qos cql 1 queue 4 serving 100
# 在USGB 的接口Ethernet1/0/0 上启用定制队列规则组1。
[USGB] interface ethernet1/0/0
[USGB-Ethernet1/0/0] qos cq cql 1
上执行display qos cq interface 命令,可以观察到定制队列的调度情况
双机备份
配置路由模式下主备备份方式的双机热备份
当主用设备出现故障或相关链路故障时,设备状态发生切换,备用设备由备用转变为主用,并开始承担全部会话业务。
注意事项:
目前双机热备份只支持两台设备进行备份,即一个VRRP 备份组仅允许包含两台
USG。
对于双机热备份,建议主备USG 的配置文件均为初始文件。否则,可能由于两台
设备的配置冲突导致主备切换后出现问题。
对于双机热备份,要求主备USG 的系统软件版本必须相同。否则,不同版本的软
件的某些配置命令或会话表结构可能不同,从而导致主备USG 在备份配置命令和
状态时产生错误。
对于双机热备份,要求进行双机热备份的两台设备接口卡的位置、类型和数目都相
同,否则会出现主用USG 备份过去的信息,与备用USG 的物理配置无法兼容,导
致主备USG 切换后出现问题。
首先应在系统视图下执行命令firewall mode route 配置USG 工作在路由模式下,然后在用户视图下执行命令reboot 重启后配置生效。
# 配置VRRP 备份组1,并配置备份组的虚拟IP 地址。
[USGA] interface GigabitEthernet 0/0/1
[USGA-GigabitEthernet0/0/1] vrrp vrid 1 virtual-ip 10.100.10.1 master
[USGA-GigabitEthernet0/0/1] quit
# 配置VRRP 备份组2,并配置备份组的虚拟IP 地址。
[USGA] interface GigabitEthernet 0/0/0
[USGA-GigabitEthernet0/0/0] vrrp vrid 2 virtual-ip 202.38.10.1 master
[USGA-GigabitEthernet0/0/0] quit
# 配置VRRP 备份组3,并配置备份组的虚拟IP 地址。
[USGA] interface GigabitEthernet 5/0/0
[USGA-GigabitEthernet5/0/0] vrrp vrid 3 virtual-ip 10.100.20.1 master
[USGA-GigabitEthernet5/0/0] quit
# 开启Trust 域和Local 域以及Untrust 域和Local 域的域间包过滤,以便能够透传VRRP
协议的Hello 报文。
[USGA] firewall packet-filter default permit interzone trust local
[USGA] firewall packet-filter default permit interzone untrust local
# 配置HRP 备份通道。
[USGA] hrp interface GigabitEthernet 5/0/0 transfer-only
# 启动HRP。
[USGA] hrp enable
备注:主备USG 的HRP 备份通道接口必须直接相连,中间不能连接交换机。
在USGB 上完成以下基本配置。
说明
首先应在系统视图下执行命令firewall mode route 配置USG 工作在路由模式下,然后在用户视图下执行命令reboot 重启后配置生效。
# 配置VRRP 备份组1,并配置备份组的虚拟IP 地址。
[USGB] interface GigabitEthernet 0/0/1
[USGB-GigabitEthernet0/0/1] vrrp vrid 1 virtual-ip 10.100.10.1 slave
[USGB-GigabitEthernet0/0/1] quit
# 配置VRRP 备份组2,并配置备份组的虚拟IP 地址。
[USGB] interface GigabitEthernet 0/0/0
[USGB-GigabitEthernet0/0/0] vrrp vrid 2 virtual-ip 202.38.10.1 slave
[USGB-GigabitEthernet0/0/0] quit
# 配置VRRP 备份组3,并配置备份组的虚拟IP 地址。
[USGB] interface GigabitEthernet 5/0/0
[USGB-GigabitEthernet5/0/0] vrrp vrid 3 virtual-ip 10.100.20.1 slave
[USGB-GigabitEthernet5/0/0] quit
# 开启Trust 域和Local 域以及Untrust 域和Local 域的域间包过滤,以便能够透传VRRP
协议的Hello 报文。
[USGB] firewall packet-filter default permit interzone trust local
[USGB] firewall packet-filter default permit interzone untrust local
# 配置HRP 备份通道。
[USGB] hrp interface GigabitEthernet 5/0/0 transfer-only
# 启动HRP。
[USGB] hrp enable
步骤3 在USGA 上启动配置命令的自动备份、配置ACL,并配置Trust 区域和Untrust 区域的
域间包过滤规则。
说明
当USGA 和USGB 都启动HRP 功能完成后,在USGA 上开启配置命令的自动备份,这样在
USGA 上配置的ACL 以及域间包过滤规则都将自动备份到USGB,不需要再在USGB 上单独配
置。
# 启动配置命令的自动备份功能。
HRP_M[USGA] hrp auto-sync config
# 创建基本ACL 2000,配置源地址为10.100.10.0/24 的规则。
HRP_M[USGA] acl 2000
HRP_M[USGA-acl-basic-2000] rule permit source 10.100.10.0 0.0.0.255
HRP_M[USGA-acl-basic-2000] quit
# 配置Trust 区域和Untrust 区域的域间包过滤规则。
HRP_M[USGA] firewall interzone trust untrust
HRP_M[USGA-interzone-trust-untrust] packet-filter 2000 outbound
HRP_M[USGA-interzone-trust-untrust] quit
执行display hrp state 命令,检查当前HRP 的状态
配置路由模式下负载分担方式的双机热备
负载分担方式下构成备份机制的两台设备同时处理业务,当其中一台发生故障时,另外一台会立即承担其业务。
注意事项:
l 目前双机热备份只支持两台设备进行备份,即一个VRRP 备份组仅允许包含两台
USG。
l 对于双机热备份,建议主备USG 的配置文件均为初始文件。否则,可能由于两台
设备的配置冲突导致主备切换后出现问题。
l 对于双机热备份,要求主备USG 的系统软件版本必须相同。否则,不同版本的软
件的某些配置命令或会话表结构可能不同,从而导致主备USG 在备份配置命令和
状态时产生错误。
l 对于双机热备份,要求进行双机热备份的两台设备接口卡的位置、类型和数目都相
同,否则会出现主用USG 备份过去的信息,与备用USG 的物理配置无法兼容,导
致主备USG 切换后出现问题。
# 配置GigabitEthernet 0/0/1 和GigabitEthernet 0/0/0 加入同一Link-group 管理组。
[USGA] interface GigabitEthernet 0/0/1
[USGA-GigabitEthernet0/0/1] link-group 1
[USGA-GigabitEthernet0/0/1] quit
[USGA] interface GigabitEthernet 0/0/0
[USGA-GigabitEthernet0/0/0] link-group 1
[USGA-GigabitEthernet0/0/0] quit
# 配置GigabitEthernet 5/0/0 的IP 地址。
[USGA] interface GigabitEthernet 5/0/0
[USGA-GigabitEthernet5/0/0] ip address 10.100.50.2 24
[USGA-GigabitEthernet5/0/0] quit
# 配置GigabitEthernet 5/0/0 加入DMZ 区域。
[USGA] firewall zone dmz
[USGA-zone-dmz] add interface GigabitEthernet 5/0/0
[USGA-zone-dmz] quit
# 在接口GigabitEthernet 5/0/0 上配置VRRP 备份组1 和2,并配置备份组的虚拟IP 地
址。
[USGA] interface GigabitEthernet 5/0/0
[USGA-GigabitEthernet5/0/0] vrrp vrid 1 virtual-ip 10.100.50.5 master
[USGA-GigabitEthernet5/0/0] vrrp vrid 2 virtual-ip 10.100.50.6 slave
[USGA-GigabitEthernet5/0/0] quit
# 在USGA 上配置运行OSPF 动态路由协议。
[USGA] ospf 101
[USGA-ospf-101] area 0
[USGA-ospf-101-area-0.0.0.0] network 10.100.10.0 0.0.0.255
[USGA-ospf-101-area-0.0.0.0] network 10.100.30.0 0.0.0.255
[USGA-ospf-101-area-0.0.0.0] quit
备注:配置OSPF 动态路由协议的时候,请准确配置域间的包过滤规则,避免阻塞正常的路由协议报文。
# 配置根据HRP 状态调整OSPF 相关的COST 值命令功能。
[USGA] hrp ospf-cost adjust-enable
# 在接口视图下配置Master 管理组监视接口状态。
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] hrp track master
[USG-GigabitEthernet0/0/1] quit
[USG] interface GigabitEthernet 0/0/0
[USG-GigabitEthernet0/0/0] hrp track master
[USG-GigabitEthernet0/0/0] quit
# 配置HRP 备份通道。
[USGA] hrp interface GigabitEthernet 5/0/0 transfer-only
# 启动HRP。
[USGA] hrp enable
# 配置GigabitEthernet 0/0/1 和GigabitEthernet 0/0/0 加入同一Link-group 管理组。
[USGB] interface GigabitEthernet 0/0/1
[USGB-GigabitEthernet0/0/1] link-group 1
[USGB-GigabitEthernet0/0/1] quit
[USGB] interface GigabitEthernet 0/0/0
[USGB-GigabitEthernet0/0/0] link-group 1
[USGB-GigabitEthernet0/0/0] quit
# 配置GigabitEthernet 5/0/0 的IP 地址。
[USGB] interface GigabitEthernet 5/0/0
[USGB-GigabitEthernet5/0/0] ip address 10.100.50.3 24
[USGB-GigabitEthernet5/0/0] quit
# 配置GigabitEthernet 5/0/0 加入DMZ 区域。
[USGB] firewall zone dmz
[USGB-zone-dmz] add interface GigabitEthernet 5/0/0
[USGB-zone-dmz] quit
# 在接口GigabitEthernet 5/0/0 上配置VRRP 备份组1 和2,并配置备份组的虚拟IP 地
址。
[USGB] interface GigabitEthernet 5/0/0
[USGB-GigabitEthernet5/0/0] vrrp vrid 1 virtual-ip 10.100.50.5 slave
[USGB-GigabitEthernet5/0/0] vrrp vrid 2 virtual-ip 10.100.50.6 master
[USGB-GigabitEthernet5/0/0] quit
# 在USGB 上配置运行OSPF 动态路由协议。
[USGB] ospf 101
[USGB-ospf-101] area 0
[USGB-ospf-101-area-0.0.0.0] network 10.100.20.0 0.0.0.255
[USGB-ospf-101-area-0.0.0.0] network 10.100.40.0 0.0.0.255
[USGB-ospf-101-area-0.0.0.0] quit
# 配置根据HRP 状态调整OSPF 相关的COST 值命令功能。
[USGB] hrp ospf-cost adjust-enable
# 在接口视图下配置Slave 管理组监视接口状态。
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] hrp track slave
[USG-GigabitEthernet0/0/1] quit
[USG] interface GigabitEthernet 0/0/0
[USG-GigabitEthernet0/0/0] hrp track slave
[USG-GigabitEthernet0/0/0] quit
# 配置HRP 备份通道。
[USGB] hrp interface GigabitEthernet 5/0/0 transfer-only
# 启动HRP。
[USGB] hrp enable
在USGA 上启动配置命令的自动备份、配置ACL,并配置Trust 区域和Untrust 区域的
域间包过滤规则。
说明
当USGA 和USGB 都启动HRP 功能完成后,在USGA 上开启配置命令的自动备份,这样在
USGA 上配置的ACL 以及域间包过滤规则都将自动备份到USGB,不需要再在USGB 上单独配置。
# 启动配置命令的自动备份功能。
HRP_M[USGA] hrp auto-sync config
# 创建基本ACL 2000,配置源地址为192.168.1.0/24 的规则。
HRP_M[USGA] acl 2000
HRP_M[USGA-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255
HRP_M[USGA-acl-basic-2000] quit
# 配置Trust 区域和Untrust 区域的域间包过滤规则。
HRP_M[USGA] firewall interzone trust untrust
HRP_M[USGA-interzone-trust-untrust] packet-filter 2000 outbound
HRP_M[USGA-interzone-trust-untrust] quit
配置混合模式下负载分担方式的双机热备份
混合模式下的双机热备份能够提供透明模式的无缝接入,对外提供二层交换机(透明模式下的USG)业务。
配置前应先在系统视图下执行命令firewall mode composite 配置USG 工作在混合模式下,然后在用户视图下执行命令reboot 重启后配置生效。
# 配置GigabitEthernet 0/0/1 和GigabitEthernet 0/0/0 加入同一Link-group 管理组。
[USGA] interface GigabitEthernet 0/0/1
[USGA-GigabitEthernet0/0/1] link-group 1
[USGA-GigabitEthernet0/0/1] quit
[USGA] interface GigabitEthernet 0/0/0
[USGA-GigabitEthernet0/0/0] link-group 1
[USGA-GigabitEthernet0/0/0] quit
# 配置GigabitEthernet 5/0/0 的IP 地址。
[USGA] interface GigabitEthernet 5/0/0
[USGA-GigabitEthernet5/0/0] ip address 10.100.30.2 24
[USGA-GigabitEthernet5/0/0] quit
# 配置GigabitEthernet 5/0/0 加入DMZ 区域。
[USGA] firewall zone dmz
[USGA-zone-dmz] add interface GigabitEthernet 5/0/0
[USGA-zone-dmz] quit
# 在接口GigabitEthernet 5/0/0 上配置VRRP 备份组1 和2,并配置备份组的虚拟IP 地
址。
[USGA] interface GigabitEthernet 5/0/0
[USGA-GigabitEthernet5/0/0] vrrp vrid 1 virtual-ip 10.100.30.5 master
[USGA-GigabitEthernet5/0/0] vrrp vrid 2 virtual-ip 10.100.30.6 slave
[USGA-GigabitEthernet5/0/0] quit
# 创建VLAN 2。
说明
VLAN 1 是缺省VLAN,不需要创建。
[USGA] vlan 2
[USGA-vlan-2] quit
# 配置GigabitEthernet 0/0/1 上允许VLAN 2 的报文通过。
[USGA] interface GigabitEthernet 0/0/1
[USGA-GigabitEthernet0/0/1] port access vlan 2
[USGA-GigabitEthernet0/0/1] quit
# 配置GigabitEthernet 0/0/0 上允许VLAN 2 的报文通过。
[USGA] interface GigabitEthernet 0/0/0
[USGA-GigabitEthernet0/0/0] port access vlan 2
[USGA-GigabitEthernet0/0/0] quit
# 指定由Master 管理组监视VLAN。
[USGA] vlan 2
[USGA-vlan-2] hrp track master
[USGA-vlan-2] quit
# 允许备用USGB 转发报文,使上下行两台路由器之间能够交互OSPF 报文。
[USGA] firewall composite-hrp permit-backupforward
如果USG 工作在混合模式下,双机热备组网时和交换机相连,那么严禁执行firewall
composite-hrp permit-backupforward 命令,否则可能造成两台USG 之间形成环路。
# 配置HRP 备份通道。
[USGA] hrp interface GigabitEthernet 5/0/0 transfer-only
# 启动HRP。
[USGA] hrp enable
# 配置GigabitEthernet 0/0/1 和GigabitEthernet 0/0/0 加入同一Link-group 管理组。
[USGB] interface GigabitEthernet 0/0/1
[USGB-GigabitEthernet0/0/1] link-group 1
[USGB-GigabitEthernet0/0/1] quit
[USGB] interface GigabitEthernet 0/0/0
[USGB-GigabitEthernet0/0/0] link-group 1
[USGB-GigabitEthernet0/0/0] quit
# 配置GigabitEthernet 5/0/0 的IP 地址。
[USGB] interface GigabitEthernet 5/0/0
[USGB-GigabitEthernet5/0/0] ip address 10.100.30.3 24
[USGB-GigabitEthernet5/0/0] quit
# 配置GigabitEthernet 5/0/0 加入DMZ 区域。
[USGB] firewall zone dmz
[USGB-zone-dmz] add interface GigabitEthernet 5/0/0
[USGB-zone-dmz] quit
# 在接口GigabitEthernet 5/0/0 上配置VRRP 备份组1 和2,并配置备份组的虚拟IP 地
址。
[USGB] interface GigabitEthernet 5/0/0
[USGB-GigabitEthernet5/0/0] vrrp vrid 1 virtual-ip 10.100.30.5 slave
[USGB-GigabitEthernet5/0/0] vrrp vrid 2 virtual-ip 10.100.30.6 master
[USGB-GigabitEthernet5/0/0] quit
# 创建VLAN 2。
[USGB] vlan 2
[USGB-vlan-2] quit
# 配置GigabitEthernet 0/0/1 上允许VLAN 2 的报文通过。
[USGB] interface GigabitEthernet 0/0/1
[USGB-GigabitEthernet0/0/1] port access vlan 2
[USGB-GigabitEthernet0/0/1] quit
# 配置GigabitEthernet 0/0/0 上允许VLAN 2 的报文通过。
[USGB] interface GigabitEthernet 0/0/0
[USGB-GigabitEthernet0/0/0] port access vlan 2
[USGB-GigabitEthernet0/0/0] quit
# 指定Master 管理组监视VLAN。
[USGB] vlan 2
[USGB-vlan-2] hrp track master
[USGB-vlan-2] quit
# 配置HRP 备份通道。
[USGB] hrp interface GigabitEthernet 5/0/0 transfer-only
# 启动HRP。
[USGB] hrp enable
在USGA 上启动配置命令的自动备份、配置ACL,并配置Trust 区域和Untrust 区域的
域间包过滤规则。
说明
当USGA 和USGB 都启动HRP 功能完成后,在USGA 上开启配置命令的自动备份,这样在
USGA 上配置的ACL 以及域间包过滤规则都将自动备份到USGB,不需要再在USGB 上单独配
置。
# 启动配置命令的自动备份功能。
HRP_M[USGA] hrp auto-sync config
# 创建基本ACL 2000,配置源地址为192.168.1.0/24 的规则。
HRP_M[USGA] acl 2000
HRP_M[USGA-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255
HRP_M[USGA-acl-basic-2000] quit
# 配置Trust 区域和Untrust 区域的域间包过滤规则。
HRP_M[USGA] firewall interzone trust untrust
HRP_M[USGA-interzone-trust-untrust] packet-filter 2000 outbound
HRP_M[USGA-interzone-trust-untrust] quit
配置Link-group 举例
为了保证组内物理接口的状态一致,需要配置Link-group 管理组。将多个物理接口分配到一个逻辑组中,如果其中一个接口因故障而状态变为fault,将会触发组内其他所有接口的状态变为Down。
配置接口GigabitEthernet 0/0/1 加入到Link-group 1。
<USG> system-view
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] link-group 1
[USG-GigabitEthernet0/0/1] quit
步骤2 配置接口GigabitEthernet 0/0/0 加入到Link-group 1。
[USG] interface GigabitEthernet 0/0/0
[USG-GigabitEthernet0/0/0] link-group 1
[USG-GigabitEthernet0/0/0] quit
display link-group
VPN 业务
配置GRE
配置GRE 使用静态路由
建立GRE 隧道时,隧道两端设备必须保证互通。当网络结构比较简单或设备较少时,
可通过在PC 与Tunnel 两端设备之间配置静态路由的方式达到两个PC 之间网络互通的
目的,并在此基础上配置Tunnel。
配置Tunnel 接口
为使隧道支持动态路由协议,需要配置Tunnel 接口的网络地址。Tunnel 两端的IP 地址应配置为同一网段。
Tunnel 两端设置的识别关键字完全一致时才能通过验证。Tunnel 两端可以都不配置GRE Key,或者两端配置相同的key-number。
注意Tunnel 的源地址是发送报文的实际接口IP 地址,目的地址是接收报文的实际接口IP 地址。
# 配置USGA。
[USGA] interface tunnel 1
[USGA-Tunnel1] tunnel-protocol gre
[USGA-Tunnel1] ip address 10.1.2.1 255.255.255.0
[USGA-Tunnel1] source GigabitEthernet0/0/1
[USGA-Tunnel1] destination 128.18.196.248
[USGA-Tunnel1] quit
# 配置USGC。
[USGC] interface tunnel 1
[USGC-Tunnel1] tunnel-protocol gre
[USGC-Tunnel1] ip address 10.1.2.2 255.255.255.0
[USGC-Tunnel1] source GigabitEthernet0/0/1
[USGC-Tunnel1] destination 192.13.2.1
[USGC-Tunnel1] quit
# 配置完成后,Tunnel 接口状态变为Up,Tunnel 接口之间可以Ping 通。
配置静态路由
# 配置USGA。
[USGA] ip route-static 10.1.3.0 255.255.255.0 tunnel 1
# 配置USGC。
[USGC] ip route-static 10.1.1.0 255.255.255.0 tunnel 1
配置GRE 使用动态路由协议
建立GRE 隧道时,隧道两端设备必须保证互通。当网络结构比较复杂或设备较多时,
可通过在PC 与Tunnel 两端设备之间配置动态路由的方式达到两个PC 之间网络互通的
目的,并在此基础上配置Tunnel。
配置Tunnel 接口的OSPF 协议
# 配置USGA。
[USGA]ospf 2
[USGA-ospf-2]area 0
[USGA-ospf-2-area-0.0.0.0]network 10.1.1.0 0.0.0.255
[USGA-ospf-2-area-0.0.0.0]network 10.1.2.0 0.0.0.255
# 配置USGC。
[USGC]ospf 2
[USGC-ospf-2]area 0
[USGC-ospf-2-area-0.0.0.0]network 10.1.3.0 0.0.0.255
[USGC-ospf-2-area-0.0.0.0]network 10.1.2.0 0.0.0.255
执行命令display interface tunnel 1 ,查看Tunnel 接口的工作状态。
配置GRE 三层隧道复用
配置GRE 三层隧道复用,PC1 和PC2 通过其中某一条隧道通信。
配置静态路由
# 配置USGA。
[USGA] ip route-static 10.1.3.0 255.255.255.0 tunnel 0
# 配置USGC。
[USGC] ip route-static 10.1.1.0 255.255.255.0 tunnel 0
说明
这里USGA 和USGC 将去往对端的出接口都配置为了Tunnel0,即是选择了Tunnel0 隧道做为PC1
和PC2 之间通信的隧道。
[USGA] interface tunnel 0
[USGA-Tunnel0] tunnel-protocol gre
[USGA-Tunnel0] ip address 20.1.1.1 255.255.255.0
[USGA-Tunnel0] source GigabitEthernet0/0/1
[USGA-Tunnel0] destination 128.18.196.248
[USGA-Tunnel0] quit
[USGA] interface tunnel 1
[USGA-Tunnel1] tunnel-protocol gre
[USGA-Tunnel1] ip address 30.1.1.1 255.255.255.0
[USGA-Tunnel1] source Tunnel0
[USGA-Tunnel1] destination 20.1.1.2
[USGA-Tunnel1] quit
[USGA] interface tunnel 2
[USGA-Tunnel2] tunnel-protocol gre
[USGA-Tunnel2] ip address 40.1.1.1 255.255.255.0
[USGA-Tunnel2] source Tunnel1
[USGA-Tunnel2] destination 30.1.1.2
[USGA-Tunnel2] quit
# 配置USGC。
[USGC] interface tunnel 0
[USGC-Tunnel0] tunnel-protocol gre
[USGC-Tunnel0] ip address 20.1.1.2 255.255.255.0
[USGC-Tunnel0] source GigabitEthernet0/0/1
[USGC-Tunnel0] destination 192.13.2.1
[USGC-Tunnel0] quit
[USGC] interface tunnel 1
[USGC-Tunnel1] tunnel-protocol gre
[USGC-Tunnel1] ip address 30.1.1.2 255.255.255.0
[USGC-Tunnel1] source Tunnel0
[USGC-Tunnel1] destination 20.1.1.1
[USGC-Tunnel1] quit
[USGC] interface tunnel 2
[USGC-Tunnel2] tunnel-protocol gre
[USGC-Tunnel2] ip address 40.1.1.2 255.255.255.0
[USGC-Tunnel2] source Tunnel1
[USGC-Tunnel2] destination 30.1.1.1
[USGC-Tunnel2] quit
步骤5 配置静态路由
# 配置USGA。
[USGA] ip route-static 10.1.3.0 255.255.255.0 tunnel 0
# 配置USGC。
[USGC] ip route-static 10.1.1.0 255.255.255.0 tunnel 0
配置L2TP
L2TP 协议提供了对PPP 链路层数据包的隧道(Tunnel)传输支持,允许二层链路端点
和PPP 会话点驻留在不同设备上,并采用包交换技术进行信息交互,从而扩展了PPP
模型。
配置NAS-Initialized 方式的L2TP
NAS-Initialized 是实现L2TP 配置的一 种方式。远端系统通过PSTN/ISDN 拨入LAC,由LAC(NAS)通过Internet 向LNS 发起建立隧道连接请求。由LNS 为拨号用户分配私
有IP 地址,对远程拨号用户的验证与计费既可由LAC 侧的代理完成,也可在LNS 侧完
成。
配置NAS-Initialized VPN 的思路如下:
1. 分支机构人员需要与总部进行通讯,而总部网络的地址采用的是私有地址,分支机
构人员无法通过Internet 直接访问内部服务器。因此,需要建立VPN,使用户可以
访问内部网络的数据。
2. 分支机构人员连接Internet 后,由LAC 端向LNS 发起Tunnel 连接的请求。
3. LNS 接受此连接请求之后,LAC 与LNS 之间建立一条虚拟Tunnel。
4. 分支机构人员与公司总部间的通信通过LAC 与LNS 之间的Tunnel 进行。
5. 分支机构人员接入时使用用户名user1,LNS 侧需要在AAA 视图下配置为用户分配
地址的地址池。
步骤2 配置LAC。
# 创建虚接口模板,并绑定到接口上。
<USG> system-view
[USG] interface Virtual-Template 1
[USG-Virtual-Template1] ppp authentication-mode chap
[USG-Virtual-Template1] quit
[USG] interface GigabitEthernet 0/0/0
[USG-GigabitEthernet0/0/0] pppoe-server bind virtual-template 1
[USG-GigabitEthernet0/0/0] quit
# 配置接口GigabitEthernet 0/0/1 的IP 地址。
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] ip address 202.38.160.1 24
[USG-GigabitEthernet0/0/1] quit
# 配置到达LNS 端的静态路由,本举例中假设下一跳地址为202.38.160.2。
[USG] ip route-static 202.38.161.1 255.255.255.0 202.38.160.2
# 配置接口加入安全域,开启包过滤规则。
[USG] firewall zone trust
[USG-zone-trust] add interface Virtual-Template 1
[USG-zone-trust] quit
[USG] firewall zone untrust
[USG-zone-untrust] add interface GigabitEthernet 0/0/1
[USG-zone-untrust] quit
[USG] firewall packet-filter default permit interzone untrust local
说明
由于LAC 需要与LNS 设备进行PPP 协商,也需要传输分支机构用户的连接请求,因此配置上述两个域间的缺省包过滤规则。
# 创建并配置L2TP 组。
说明
l 缺省情况下,L2TP 隧道验证功能处于开启状态,需要配置验证密码。
配置LAC
l LAC 上配置的隧道验证密码必须与LNS 上的配置保持一致。
[USG] l2tp enable
[USG] l2tp-group 1
[USG-l2tp1] start l2tp ip 202.38.161.1 fullusername user1
[USG-l2tp1] tunnel authentication
[USG-l2tp1] tunnel password simple Hellouser1
[USG-l2tp1] tunnel name LAC
[USG-l2tp1] quit
# 配置本地用户和密码。
[USG] aaa
[USG-aaa] local-user user1 password simple Password1
步骤3 配置LNS。
# 创建并配置虚接口模板。
<USG> system-view
[USG] interface Virtual-Template 1
[USG-Virtual-Template1] ip address 10.1.1.1 24
[USG-Virtual-Template1] ppp authentication-mode chap
# 配置为对端分配IP 地址池中的地址。
[USG-Virtual-Template1] remote address pool 1
[USG-Virtual-Template1] quit
说明
此处指定的地址池号需要与AAA 视图下配置的地址池的相对应。
# 配置接口的IP 地址。
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] ip address 202.38.161.1 24
[USG-GigabitEthernet0/0/1] quit
[USG] interface GigabitEthernet 0/0/0
[USG-GigabitEthernet0/0/0] ip address 192.168.0.1 24
[USG-GigabitEthernet0/0/0] quit
# 配置接口加入安全区域。
[USG] firewall zone untrust
[USG-zone-untrust] add interface GigabitEthernet 0/0/1
[USG-zone-untrust] add interface Virtual-Template 1
[USG-zone-untrust] quit
[USG] firewall zone trust
[USG-zone-trust] add interface GigabitEthernet 0/0/0
[USG-zone-trust] quit
# 配置到达LAC 端的静态路由,本举例中假设下一跳地址为202.38.161.2。
[USG] ip route-static 202.38.160.1 255.255.255.0 202.38.161.2
# 配置ACL,配置域间包过滤规则。
[USG] acl 3000
[USG-acl-adv-3000] rule permit ip
[USG-acl-adv-3000] quit
[USG] acl 3001
[USG-acl-adv-3001] rule permit ip
[USG-acl-adv-3001] quit
[USG] firewall interzone untrust local
[USG-interzone-local-untrust] packet-filter 3001 inbound
[USG-interzone-local-untrust] packet-filter 3001 outbound
[USG-interzone-local-untrust] quit
[USG] firewall interzone trust untrust
[USG-interzone-trust-untrust] packet-filter 3000 inbound
[USG-interzone-trust-untrust] packet-filter 3000 outbound
[USG-interzone-trust-untrust] quit
说明
由于LNS 需要为拨号用户分配IP 地址,因此需要配置Untrust 和Local 域间的包过滤规则。当拨
号用户需要访问内部网络时,由于虚接口模板已加入Untrust 区域,因此需要配置Trust 和Untrust域间的包过滤规则。
# 开启L2TP 功能。
[USG] l2tp enable
# 创建并配置L2TP 组。
[USG] l2tp-group 1
[USG-l2tp1] allow l2tp virtual-template 1
[USG-l2tp1] tunnel authentication
[USG-l2tp1] tunnel password simple Hellouser1
[USG-l2tp1] quit
说明
l 缺省情况下,L2TP 隧道验证功能处于开启状态,需要配置验证密码。
l LNS 上配置的隧道验证密码必须与LAC 上的配置保持一致。
# 配置本地用户和地址池。
[USG] aaa
[USG-aaa] local-user user1 password simple Password1
[USG-aaa] local-user user1 service-type ppp
[USG-aaa] ip pool 1 192.168.1.2 192.168.1.99
说明
由于IP 地支持中的地址与内网地址不在同一网段,需要在内网设备配置到达192.168.1.0 网段的下一跳地址为USGB 地址。
执行display l2tp tunnel命令可发现隧道建立成功
执行display l2tp session 命令可看到会话连接建立情况
配置NAS-Initialized 方式的L2TP 举例(RADIUS 认证)
NAS-Initialized 是配置L2TP 实现方式的一种。远端系统通过PSTN/ISDN 拨入LAC,由LAC(NAS)通过Internet 向LNS 发起建立隧道连接请求。由LNS 为拨号用户分配私
有IP 地址,对远程拨号用户的验证与计费既可由LAC 侧的代理完成,也可在LNS 完
成。
配置LAC。
# 创建虚接口模板,并绑定到接口上。
<USG> system-view
[USG] interface Virtual-Template 1
[USG-Virtual-Template1] ppp authentication-mode chap
[USG-Virtual-Template1] quit
[USG] interface GigabitEthernet 5/0/0
[USG-GigabitEthernet5/0/0] pppoe-server bind virtual-template 1
[USG-GigabitEthernet5/0/0] quit
说明
需要在与拨号用户相连的接口上配置PPPoE Server。
# 配置接口的IP 地址。
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] ip address 202.38.160.1 24
[USG-GigabitEthernet0/0/1] quit
[USG] interface GigabitEthernet 0/0/0
[USG-GigabitEthernet0/0/0] ip address 10.1.1.1 24
[USG-GigabitEthernet0/0/0] quit
# 配置接口GigabitEthernet 5/0/0、虚接口模板加入Trust 安全区域。
[USG] firewall zone trust
[USG-zone-trust] add interface Virtual-Template 1
[USG-zone-trust] add interface GigabitEthernet 5/0/0
[USG-zone-trust] quit
# 配置接口GigabitEthernet0/0/1 加入Untrust 安全区域。
[USG] firewall zone untrust
[USG-zone-untrust] add interface GigabitEthernet 0/0/1
[USG-zone-untrust] quit
# 配置接口GigabitEthernet 0/0/0 加入DMZ 安全区域。
[USG] firewall zone dmz
[USG-zone-dmz] add interface GigabitEthernet 0/0/0
[USG-zone-dmz] quit
# 配置域间缺省包过滤规则。
[USG] firewall packet-filter default permit interzone untrust local
[USG] firewall packet-filter default permit interzone dmz local
[USG] firewall packet-filter default permit interzone trust local
# 开启L2TP 功能。
[USG] l2tp enable
# 创建并配置L2TP 组。
[USG] l2tp-group 1
[USG-l2tp1] start l2tp ip 202.38.161.1 domain net1
[USG-l2tp1] tunnel authentication
[USG-l2tp1] tunnel password simple Hellouser1
[USG-l2tp1] tunnel name LAC
[USG-l2tp1] quit
说明
l 缺省情况下,L2TP 隧道验证功能处于开启状态,需要配置验证密码。
l LAC 上配置的隧道验证密码必须与LNS 上的配置保持一致。
# 创建认证方案。
[USG] aaa
[USG-aaa] authentication-scheme auth1
[USG-aaa-authen-auth1] authentication-mode radius
[USG-aaa-authen-auth1] return
# 配置RADIUS 模板。
<USG> system-view
USG] radius-server template temp
[USG-radius-temp] radius-server authentication 10.1.1.2 1645
[USG-radius-temp] radius-server shared-key key1
[USG-radius-temp] quit
# 配置域,应用RADIUS 模板及认证方案。
[USG] aaa
[USG-aaa] domain net1
[USG-aaa-domain-net1] authentication-scheme auth1
[USG-aaa-domain-net1] radius-server temp
[USG-aaa-domain-net1] quit
步骤3 配置LNS。
# 创建虚接口模板。
<USG> system-view
[USG] interface Virtual-Template 1
# 配置虚接口模板的IP 地址。
[USG-Virtual-Template1] ip address 10.2.1.1 24
# 配置PPP 认证方式为CHAP。
[USG-Virtual-Template1] ppp authentication-mode chap
[USG-Virtual-Template1] quit
说明
此处指定的地址池号需要与AAA 视图下配置的地址池的相对应。
# 配置接口GigabitEthernet 0/0/1 的IP 地址。
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] ip address 202.38.161.1 24
[USG-GigabitEthernet0/0/1] quit
# 将接口GigabitEthernet 0/0/1、虚接口模板加入Untrust 区域。
[USG] firewall zone untrust
[USG-zone-untrust] add interface GigabitEthernet 0/0/1
[USG-zone-untrust] add interface Virtual-Template 1
[USG-zone-untrust] quit
# 配置接口GigabitEthernet 5/0/0 的IP 地址。
[USG] interface GigabitEthernet 5/0/0
[USG-GigabitEthernet5/0/0] ip address 192.168.0.1 24
[USG-GigabitEthernet5/0/0] quit
# 配置接口GigabitEthernet 0/0/0 的IP 地址。
[USG] interface GigabitEthernet 0/0/0
[USG-GigabitEthernet0/0/0] ip address 10.1.1.1 24
[USG-GigabitEthernet0/0/0] quit
# 将接口GigabitEthernet 5/0/0 加入Trust 区域。
[USG] firewall zone trust
[USG-zone-trust] add interface GigabitEthernet 5/0/0
[USG-zone-trust] quit
# 配置接口GigabitEthernet 0/0/0 加入DMZ 安全区域。
[USG] firewall zone dmz
[USG-zone-dmz] add interface GigabitEthernet 0/0/0
[USG-zone-dmz] quit
# 配置ACL。
[USG] acl 3000
[USG-acl-adv-3000] rule permit ip
[USG-acl-adv-3000] quit
[USG] acl 3001
[USG-acl-adv-3001] rule permit ip
[USG-acl-adv-3001] quit
# 配置域间包过滤规则。
[USG] firewall interzone trust untrust
[USG-interzone-trust-untrust] packet-filter 3000 inbound
[USG-interzone-trust-untrust] packet-filter 3000 outbound
[USG-interzone-trust-untrust] quit
[USG] firewall interzone untrust local
[USG-interzone-local-untrust] packet-filter 3001 inbound
[USG-interzone-local-untrust] packet-filter 3001 outbound
[USG-interzone-local-untrust] quit
[USG] firewall packet-filter default permit interzone dmz local
[USG] firewall packet-filter default permit interzone dmz local
说明
由于LNS 需要为拨号用户分配IP 地址,使拨号用户能够访问内网资源,同时需要允许外网接口
所在的安全区域与Local 安全区域互通,因此配置上述两个域间的包过滤规则。
# 开启L2TP 功能。
[USG] l2tp enable
# 创建L2TP 组。
[USG] l2tp-group 1
# 配置LNS 端接受L2TP 隧道呼叫时使用的虚接口模板。
[USG-l2tp1] allow l2tp virtual-template 1
# 配置L2TP 隧道验证功能。
[USG-l2tp1] tunnel authentication
# 配置L2TP 隧道进行验证时的密码。
[USG-l2tp1] tunnel password simple Hellouser1
[USG-l2tp1] quit
说明
l 缺省情况下,L2TP 隧道验证功能处于开启状态,需要配置验证密码。
l LNS 上配置的隧道验证密码必须与LAC 上的配置保持一致。
# 创建认证方案。
[USG] aaa
[USG-aaa] authentication-scheme auth1
[USG-aaa-authen-auth1] authentication-mode radius
[USG-aaa-authen-auth1] return
# 配置RADIUS 模板。
<USG> system-view
[USG] radius-server template temp
[USG-radius-temp] radius-server authentication 10.1.1.2 1645
[USG-radius-temp] radius-server shared-key key1
[USG-radius-temp] quit
# 配置域,应用RADIUS 模板及认证方案。
[USG] aaa
[USG-aaa] domain net1
[USG-aaa-domain-net1] authentication-scheme auth1
[USG-aaa-domain-net1] radius-server temp
# 配置IP 地址池。
[USG-aaa-domain-net1] ip pool 1 192.168.1.2 192.168.1.99
[USG-aaa-domain-net1] quit
说明
由于IP 地支持中的地址与内网地址不在同一网段,需要在内网设备配置到达192.168.1.0 网段的下一跳地址为USGB 地址。
配置Client-Initialized 方式的L2TP
Client-Initialized 是配置L2TP 实现方式的一种。出差员工可直接向LNS 发起隧道连接请求,无需再经过一个单独的LAC 设备。在LNS 设备上收到了出差员工的请求之后,根据用户名、密
用户侧主机上必须装有L2TP 客户端软件,并通过拨号方式连接到Internet。然后再进行如下配置
(设置过程与相应的客户端软件有关):
1. 在用户侧设置VPN 用户名和密码。
2. 将LNS 的IP 地址设为路由器的Internet 接口地址(本例中LNS 侧与通道相连接的串口的IP
地址为202.38.160.2)。
3. 修改连接属性,将采用的协议设置为L2TP。
4. 如果用户侧主机提供IPSec 功能,需要禁用IPSec。
配置Client-Initialized VPN 的思路如下:
1. 出差员工连接Internet 后,直接由出差员工向LNS 发起Tunnel 连接的请求。
2. LNS 接受此连接请求之后,出差员工与LNS 之间建立一条虚拟Tunnel。
3. 出差员工与公司总部间的通信通过此Tunnel 进行。
配置LNS。
# 创建并配置虚接口模板。
<USG> system-view
[USG] interface Virtual-Template 1
[USG-Virtual-Template1] ip address 10.1.1.1 24
[USG-Virtual-Template1] ppp authentication-mode chap
# 配置为对端分配IP 地址池中的地址。
[USG-Virtual-Template1] remote address pool 1
[USG-Virtual-Template1] quit
说明
此处指定的地址池号需要与AAA 视图下配置的地址池的相对应。
# 配置接口的IP 地址。
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] ip address 202.38.161.1 24
[USG-GigabitEthernet 0/0/1] quit
[USG] interface GigabitEthernet 0/0/0
[USG-GigabitEthernet0/0/0] ip address 192.168.0.1 24
[USG-GigabitEthernet0/0/0] quit
# 配置接口加入安全区域。
[USG] firewall zone untrust
[USG-zone-untrust] add interface GigabitEthernet 0/0/1
[USG-zone-untrust] add interface Virtual-Template 1
[USG-zone-untrust] quit
[USG] firewall zone trust
[USG-zone-trust] add interface GigabitEthernet 0/0/0
[USG-zone-trust] quit
# 配置ACL,配置域间包过滤规则。
[USG] acl 3000
[USG-acl-adv-3000] rule permit ip
[USG-acl-adv-3000] quit
[USG] acl 3001
[USG-acl-adv-3001] rule permit ip
[USG-acl-adv-3001] quit
[USG] firewall interzone trust untrust
[USG-interzone-trust-untrust] packet-filter 3000 inbound
[USG-interzone-trust-untrust] packet-filter 3000 outbound
[USG-interzone-trust-untrust] quit
[USG] firewall interzone untrust local
[USG-interzone-local-untrust] packet-filter 3001 inbound
[USG-interzone-local-untrust] packet-filter 3001 outbound
[USG-interzone-local-untrust] quit
说明
由于LNS 需要为拨号用户分配IP 地址,因此需要配置Untrust 和Local 域间的包过滤规则。当拨
号用户需要访问内部网络时,虚接口模板与内部网络同属于Trust 区域,因此不需要配置包过滤
规则。
# 开启L2TP 功能。
[USG] l2tp enable
# 创建并配置L2TP 组。
[USG] l2tp-group 10
[USG-l2tp10] tunnel name lns
[USG-l2tp10] allow l2tp virtual-template 1 remote client1
[USG-l2tp10] undo tunnel authentication
[USG-l2tp10] quit
说明
配置Client-Initialized 方式的L2TP 时,需要关闭L2TP 隧道验证功能。
# 配置本地用户和地址池。
[USG] aaa
[USG-aaa] local-user admin password simple Admin123
[USG-aaa] local-user admin service-type ppp
[USG-aaa] ip pool 1 192.168.1.2 192.168.1.99
配置IPSec
配置采用Manual 方式协商的IPSec 隧道
Manual 方式是IPSec 隧道协商的一种。其优点是可以不依赖IKE 而单独实现IPSec 功
能。当进行通信的对等体设备数量较少时,或是在小型网络环境中,可以采用Manual
配置安全联盟。
原创文章或网络摘录,转载请注明: 转载自守候的时光
本文链接地址: USG防火墙配置实例