华为防火墙初始化以及基础路由配置介绍

政林 2021-01-04 8024浏览 0条评论
首页/正文
分享到: / / / /

前言

 这次讲的用的真机是USG6307E(在模拟器不支持的功能下使用),尽量还是用模拟器给搭建讲解与演示,方便大家跟着一起学习。(在学习防火墙的内容建议大家有一定的路由交换基础,更容易理解)本次课程还是以命令行为主,WEB为辅,结合工作中常见的组网案例以及会遇到的问题进行讲解,让大家在学习完后对华为防火墙的应用有一个很大的提升。

 

1、常见的简单上网组网

2、多运营商的场景

3、双击热备的场景

4、总部与分支需要互通的场景

5、移动办公的场景

6、用户认证的场景

整个课程下来基本分为几个模块

(1)防火墙的会话、安全策略、源NAT上网、服务器映射这几个点,里面内容很多,预计在10篇以上(加上案例的话,在写的时候预计是10篇以上,实际写了19篇,所以最终课程肯定会在45节以上,内容很充实)

(2)ISP选路,有多个运营商线路进来如何去组网,预计在5篇以上

(3)IPSEC以及远程接入,这个内容也多,会涉及到两边都有公网地址,一边有一边没有,一边只有动态,多分支、L2TP、SSL,本地认证,集合AD域、radius认证,预计在10篇以上

(4)双机热备,主要涉及常见的组网,预计在3~5篇

(5)用户认证,讲解对于用户认证相关,以及跨三层进行认证的情况,预计2~3篇

(6)行为管理:针对某些部门限制应用或者只开放某些应用。

(7)虚拟防火墙:把一个防火墙分成多个逻辑的防火墙,预计1~2篇

(8)透明防火墙:在现有的架构下,不改变任何拓扑,直接把防火墙接入到网络,预计1~2篇

安全内容这块估计是没法讲了,主要是没有授权,没法演示,上面涉及到的内容就是本次都会讲解到的,内容都是边写边录制(只会多,不会少,跟无线课程一样预计在30篇左右,实际37篇),对于工作中常见的需求以及组网绝对是能够解决了,并且掌握的不单单是会配置,从原理、规划、配置、以及排错都有一个思路在那,这个才是关键的

 

 防火墙第一次登录

 

 

全新的设备登录方式两种

(1)直接把电脑的网线接MGMT或者0号口(有MGMT的为管理口,没有写的0号口就是管理口),用192.168.0.1登录,默认账号admin 密码 Admin@123(记得把电脑设置成192.168.0.X)

(2)console线登录,默认账号密码跟WEB一样

(3)不管是WEB还是console第一次登录都要求修改密码,

(4)模拟器是必须进入命令行开启管理功能才能进WEB,所以console改了后就不需要修改了。

 

WEB方式登录

1、电脑设置成192.168.0.X接在MGMT或者0号口,浏览器输入192.168.0.1或者https://192.168.0.1:8443

2、输入账号admin

3、密码Admin@123

 

 

1、输入老密码Admin@123

2、输入新密码

3、再次确认新密码

 

熟悉防火墙的6个操作选项对应的功能

 

1、面板:主要查看防火墙的状态、日志、接口流量信息等,一个整体防火墙的状态显示

2、监控:排错与维护专用,里面包含了各种日志信息、终端会话信息等。

3、策略:常见的安全策略、NAT策略、QOS策略都是在这里配置

4、对象:主要针对地址、域名、应用、认证用户等信息的配置

5、网络:接口IP地址配置,路由、选路、DHCP、DNS等

6、系统:升级、备份、高可用性等配置

 

防火墙的常见基础配置

 学过路由交换的朋友对于防火墙的基础配置其实没什么太多难度,跟华为路由器交换机配置没什么两样,这里介绍下常见的配置,以便于后续学习更加方便。

 

1、接口IP相关配置

 

查看接口编号,防火墙的型号不一样,编号也会不太一样,可以通过display ip interface brief确认下接口编号,方便进入。

 

[USG6000V1]interface  GigabitEthernet 1/0/0

[USG6000V1-GigabitEthernet1/0/0]ipaddress 172.16.100.254 24

接口地址配置

 

2、切换成二层口

防火墙接口是可以切换层二层口做交换机口用的,下面可以在对接二层交换机配置成Trunk,也可以配置成Access直接接。

 

[USG6000V1]interface  g1/0/1

[USG6000V1-GigabitEthernet1/0/1]portswitch

[USG6000V1-GigabitEthernet1/0/1]portlink-type ?

  access Access port

  hybrid Hybrid port

  trunk  Trunk port

trunk方式

[USG6000V1-GigabitEthernet1/0/1]portlink-type trunk

[USG6000V1-GigabitEthernet1/0/1]porttrunk allow-pass vlan 2 to 10

access方式

[USG6000V1-GigabitEthernet1/0/1]portlink-type access

[USG6000V1-GigabitEthernet1/0/1]portdefault vlan 2

hybrid方式

[USG6000V1-GigabitEthernet1/0/1]portlink-type hybrid

[USG6000V1-GigabitEthernet1/0/1]porthybrid tagged vlan 2 to 3

 

经验分享:只有初始化端口可以直接切换,已经有配置了的,是没办法直接切换,需要把新家的配置undo掉还原到初始化状态才可以切换。

 

3、配置VLANIF接口

[USG6000V1]vlan batch 2to 3

[USG6000V1]interface  vlan 2

[USG6000V1-Vlanif2]ipaddress 192.168.2.254 24

[USG6000V1]interface  vlan 3

[USG6000V1-Vlanif3]ipaddress 192.168.3.254 24

 

4、开启DHCP

[USG6000V1]dhcp enable

[USG6000V1]interface  vlan 2

[USG6000V1-Vlanif2] ipaddress 192.168.2.254 255.255.255.0

[USG6000V1-Vlanif2]dhcpselect  interface

[USG6000V1-Vlanif2]dhcpserver ip-range 192.168.2.1 192.168.2.100

[USG6000V1-Vlanif2]dhcpserver gateway-list 192.168.2.254

 

对比路由器交换机来说,DHCP这边稍微一点点不太一样,在接口下启用需要定义网关,然后地址分配的范围,其余的常见配置其实没有多大的区别。

 

5、保存与恢复出厂

 

<USG6000V1>save

The currentconfiguration will be written to hda1:/vrpcfg.cfg.

Are you sure tocontinue?[Y/N]y

保存,选择Y

 

<USG6000V1>reset  saved-configuration

Warning: The actionwill delete the saved configuration in the device.

The configuration willbe erased to reconfigure. Continue? [Y/N]:y

 

清空配置,提示是否进行操作,选择Y

 

<USG6300E>reboot  fast

Info: If want to rebootwith saving diagnostic information, input 'N' and then execute 'reboot savediagnostic-information'.

System will reboot!Continue?[Y/N]:y

快速重启,提示是否重启,选择Y(模拟器不支持这个命令)

竟然防火墙的常见配置跟路由器交换机一样,是不是按路由器的思路配置就通了?

像上面这样的拓扑在网络中是不是很常见,出口一台路由器,下面接一台二层或者多台傻瓜交换机,如果像这样的环境,我们只需要在路由器上面创建VLAN 2与3的VLANIF,创建网关、DHCP,对接下面交换机的口划入对应的VLAN即可。

 

vlan batch 2 to 3

 

dhcp enable

#

interface Vlanif2

 ip address 192.168.11.254 255.255.255.0

 dhcp select interface

 dhcp server dns-list 223.5.5.5 114.114.114.114

#

interface Vlanif3

 ip address 192.168.12.254 255.255.255.0

 dhcp select interface

 dhcp server dns-list 223.5.5.5 114.114.114.114

#

interface Ethernet0/0/0

 port link-type access

 port default vlan 2

#

interface Ethernet0/0/1

 port link-type access

 port default vlan 3 

#

acl number 3000 

 rule 5 permit ip

#

interfaceGigabitEthernet0/0/0

 nat outbound 3000

 ip address dhcp-alloc

#

可以看到配置下来不管上外网,内网都可以互通, 路由器基本就接口地址配置、NAT、DHCP就完事了,那么问题来了,假设我们把出口设备换成防火墙,是不是用同样的思路流程就能够实现上网呢?我们来尝试性的试下!!

跟路由器一样的,对接外网的口配置成DHCP,G1/1/1配置成192.168.11.254/24,G1/0/2配置成192.168.11.254,开启DHCP,我们看看最基本的能不能实现。

dhcp enable

#

interfaceGigabitEthernet1/0/0

 undo shutdown

 ip address dhcp-alloc

#

interfaceGigabitEthernet1/0/1

 undo shutdown

 ip address 192.168.11.254 255.255.255.0

 dhcp select interface

 dhcp server ip-range 192.168.11.1192.168.11.250

 dhcp server gateway-list 192.168.11.254

 dhcp server dns-list 223.5.5.5 114.114.114.114

#

interfaceGigabitEthernet1/0/2

 undo shutdown

 ip address 192.168.12.254 255.255.255.0 

 dhcp select interface

 dhcp server ip-range 192.168.12.1192.168.12.250

 dhcp server gateway-list 192.168.12.254

 dhcp server dns-list 223.5.5.5 114.114.114.114

外网是获取到地址了的,我们在看看内网PC

获取到了,但是到网关都不通!!在来看看防火墙上面

 

可以看到防火墙ping 客户端以及外网的网关都不通,似乎跟路由器还是有些不一样的,虽然防火墙获取到了外网分配过来的地址了,客户端也分配到了地址了,按照上面路由器的处理就应该都通了,但是防火墙没有,这也是刚接触防火墙的朋友容易犯的一个困惑,明明一切都看似正常,确哪都不通!

 

“承上启下”

在介绍初始化的时候讲过,华为的防火墙有管理口MGMT或者0口,默认地址是192.168.0.1,大家可以尝试下,能否ping通!

文章来源:https://mp.weixin.qq.com/s/JeHwKQMPgQMLtcXRqqxLew

点击这里给我发
消息
最后修改:2021-01-04 21:48:28 © 著作权归作者所有
如果觉得我的文章对你有用,请随意赞赏
扫一扫支付

上一篇

发表评论

评论列表

还没有人评论哦~赶快抢占沙发吧~