华为USG防火墙和H3C三层交换机设备组网配置简述

一.USG6350防火墙

1.根据设置向导配置完毕即可正常上网。

2.增加策略路由-（影响外网端口）

3.增加静态路由（目的是让哪个网段上网）

内网地址的下一跳是三层交换机与防火墙连接的端口地址

4.对指定服务器进行端口映射

5.对指定网段进行限速，保证服务器有可靠的带宽，不至于被其他网段抢占全部带宽。

本项目全部带宽是100M，因为有一个无线网，限定无线网最大占用50M

（1）新建一个带宽通道

（2）指定网段应用于带宽通道的策略规则

二、三层交换机-H3C-S5800-32C

现场需求是有办公电脑，服务器、视频服务器，计划分成4个网段，分别为172.26.11.0/172.26.12.0/172.26.13.0/172.26.14.0/ 14段备用。

规划：VLAN100为172.26.10.253 port1-2 与防火墙172.26.10.254 连接

VLAN101为172.26.11.254 port 3-8 与服务器连接

VLAN102为172.26.12.254 port 9-12 与客户机连接

VLAN103为172.26.13.254 port 13-18 与视频服务器连接

VLAN104为172.26.14.254 port 19-24 备用

1.笔记本连接三层交换机配置口，进入命令行配置模式

简述步骤：（1）设备改名创建用户和密码（2）创建VLAN，指定某端口属于这个VLAN （3）指定每个VLAN的网关（4）增加一条路由

2.Sys

Sysname H3C-5800

telnet server enable

Local-user admin

Password cipher #####（此处#是输入密码）

Authorization-attribute level 3

Service-type ssh telnet

VLAN 100

Port G1/0/1 TO G1/0/2

Quit

Vlan 101

Port g1/0/3 to g1/0/8

Quit

VLAN 102

Port G1/0/9 TO G1/0/12

Quit

Vlan 103

Port g1/0/13 to g1/0/18

Quit

Vlan 104

Port g1/0/19 to g1/0/24

Quit

Interface Vlan-interface 100

Ip address 172.26.10.253 255.255.255.0

Quit

Interface Vlan-interface 101

Ip address 172.26.11.254 255.255.255.0

Quit

Interface Vlan-interface 102

Ip address 172.26.12.254 255.255.255.0

Quit

Interface Vlan-interface 103

Ip address 172.26.13.254 255.255.255.0

Quit

Interface Vlan-interface 104

Ip address 172.26.14.254 255.255.255.0

Quit

Ip route-static 0.0.0.0 0.0.0.0 172.26.10.254 Dhcp enable(开通dhcp)

Dhcp server ip-pool 9

Network 172.26.12.0 mask 255.255.255.0 Gateway-list 172.26.12.254

Dns-list 8.8.8.8(根据实际修改)

Quit

红色字体为9口开通DHCP，可根据实际需求User-interface aux 0

User-interface vty 0 4

Authentication-mode scheme

User-interface vty 5 15

华为USG防火墙和H3C三层交换机设备组网配置简述.docx

一.USG6350防火墙 1.根据设置向导配置完毕即可正常上网。 2.增加策略路由-（影响外网端口） 3.增加静态路由（目的是让哪个网段上网） 内网地址的下一跳是三层交换机与防火墙连接的端口地址 4.对指定服务器进行端口映射

5.对指定网段进行限速，保证服务器有可靠的带宽，不至于被其他网段抢占全部带宽。 本项目全部带宽是100M，因为有一个无线网，限定无线网最大占用50M （1）新建一个带宽通道 （2）指定网段应用于带宽通道的策略规则 二、三层交换机-H3C-S5800-32C 现场需求是有办公电脑，服务器、视频服务器，计划分成4个网段，分别为172.26.11.0/172.26.12.0/172.26.13.0/172.26.14.0/ 14段备用。 规划：VLAN100为172.26.10.253 port1-2 与防火墙172.26.10.254 连接 VLAN101为172.26.11.254 port 3-8 与服务器连接 VLAN102为172.26.12.254 port 9-12 与客户机连接 VLAN103为172.26.13.254 port 13-18 与视频服务器连接 VLAN104为172.26.14.254 port 19-24 备用 1.笔记本连接三层交换机配置口，进入命令行配置模式 简述步骤：（1）设备改名创建用户和密码（2）创建VLAN，指定某端口属于这个VLAN （3）指定每个VLAN的网关（4）增加一条路由 2.Sys

Sysname H3C-5800 telnet server enable Local-user admin Password cipher #####（此处#是输入密码） Authorization-attribute level 3 Service-type ssh telnet VLAN 100 Port G1/0/1 TO G1/0/2 Quit Vlan 101 Port g1/0/3 to g1/0/8 Quit VLAN 102 Port G1/0/9 TO G1/0/12 Quit Vlan 103 Port g1/0/13 to g1/0/18 Quit Vlan 104 Port g1/0/19 to g1/0/24 Quit Interface Vlan-interface 100 Ip address 172.26.10.253 255.255.255.0 Quit Interface Vlan-interface 101 Ip address 172.26.11.254 255.255.255.0 Quit Interface Vlan-interface 102 Ip address 172.26.12.254 255.255.255.0 Quit Interface Vlan-interface 103 Ip address 172.26.13.254 255.255.255.0 Quit Interface Vlan-interface 104 Ip address 172.26.14.254 255.255.255.0 Quit Ip route-static 0.0.0.0 0.0.0.0 172.26.10.254 Dhcp enable(开通dhcp) Dhcp server ip-pool 9 Network 172.26.12.0 mask 255.255.255.0 Gateway-list 172.26.12.254 Dns-list 8.8.8.8(根据实际修改) Quit 红色字体为9口开通DHCP，可根据实际需求

华为防火墙(VRRP)双机热备配置及组网

防火墙双机热备配置及组网指导 防火墙双机热备，主要是提供冗余备份的功能，在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式，分路由模式下的双机热备组网和透明模式下的双机热备组网，下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。 1 防火墙双机热备命令行说明 防火墙的双机热备的配置主要涉及到HRP的配置，VGMP的配置，以及VRRP的配置，防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整，下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。 1.1 HRP命令行配置说明 HRP是华为的冗余备份协议，Eudemon 防火墙使用此协议进行备份组网，达到链路状态备份的目的，从而保证在设备发生故障的时候业务正常。 HRP协议是华为自己开发的协议，主要是在VGMP协议的基础上进行扩展得到的；VGMP是华为的私有协议，主要是用来管理VRRP的，VGMP也是华为的私有协议，是在VRRP的基础上进行扩展得到的。不管是VGMP的报文，还是HRP的报文，都是VRRP的报文，只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文，HRP的报文，或者是普通的VRRP的报文。 在Eudemon防火墙上，hrp的作用主要是备份防火墙的会话表，备份防火墙的servermap 表，备份防火墙的黑名单，备份防火墙的配置，以及备份ASPF模块中的公私网地址映射表和上层会话表等。 两台防火墙正确配置VRRP，VGMP，以及HRP之后，将会形成主备关系，这个时候防火墙的命令行上会自动显示防火墙状态是主还是备，如果命令行上有HRP_M的标识，表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙，如果命令行上有HRP_S的标识，表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商，并且协商状态稳定之后一定是一台为主状态另外一台为备状态，不可能出现两台都为主状态或者都是备状态的。 在防火墙的HRP形成主备之后，我们称HRP的主备状态为HRP主或者是HRP备状态，在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的，而这些命令将不能在备防火墙的命令行上执行，这些命令包括ACL，接口加入域等，但其中一些命令行是不会从主防火墙上备份到备防火墙上。 HRP的配置命令的功能和使用介绍如下： ★ hrp enable ：HRP使能命令，使能HRP之后防火墙将形成主备状态。 ★ hrp configuration check acl ：检查主备防火墙两端的ACL的配置是否一致。执行此命令之后，主备防火墙会进行交互，执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。

华为usg2210防火墙配置实例

display current-configuration detect h323 d 09:29:14 2016/03/17 detect qq # sysname USG2200 detect #s l2tp enabledetect netbi undo l2tp domain suffix-separator @ undo tunnel authentic #i ike dpd interval 10 allow l2tp #i firewall packet-filter default permit interzone local trust direction inbound unicast undo synchronization # firewall packet-filter default permit interzone local trust direction outbound local-user user2 firewall packet-filter default permit interzone local untrust direction inbound local-user user3 password cipher %$%$`;WkNM${E;O=5--=%y firewall packet-filter default permit interzone local untrust direction outboundal-user user3 service-type ppp local-user use authentication-mode vpndb # nat server 1 protocol udp global 218.56.104.*** any inside 192.100.7.73 anyheme test.scm authorization-mode vpndb # ip df-unreachables enableaccounting-scheme default

22-1用户手册(华为USG防火墙)

华为防火墙配置用户手册 防火墙默认的管理接口为g0/0/0，默认的ip地址为192.168.0.1/24，默认g0/0/0接口开启了dhcp server，默认用户名为admin，默认密码为Admin@123 一、配置案例 1.1 拓扑图 GE 0/0/1：10.10.10.1/24 GE 0/0/2：220.10.10.16/24 GE 0/0/3：10.10.11.1/24 WWW服务器：10.10.11.2/24（DMZ区域） FTP服务器：10.10.11.3/24（DMZ区域） 1.2 Telnet配置 配置VTY 的优先级为3，基于密码验证。 # 进入系统视图。 system-view # 进入用户界面视图 [USG5300] user-interface vty 0 4 # 设置用户界面能够访问的命令级别为level 3 [USG5300-ui-vty0-4] user privilege level 3 配置Password验证 # 配置验证方式为Password验证

[USG5300-ui-vty0-4] authentication-mode password # 配置验证密码为lantian [USG5300-ui-vty0-4]set authentication password simple lantian ###最新版本的命令是authentication-mode password cipher huawei@123 配置空闲断开连接时间 # 设置超时为30分钟 [USG5300-ui-vty0-4] idle-timeout 30 [USG5300] firewall packet-filter default permit interzone untrust local direction inbound //不加这个从公网不能telnet防火墙。 基于用户名和密码验证 user-interface vty 0 4 authentication-mode aaa aaa local-user admin password cipher ]MQ;4\]B+4Z,YWX*NZ55OA!! local-user admin service-type telnet local-user admin level 3 firewall packet-filter default permit interzone untrust local direction inbound 如果不开放trust域到local域的缺省包过滤，那么从内网也不能telnet的防火墙，但是默认情况下已经开放了trust域到local域的缺省包过滤。 1.3 地址配置 内网： 进入GigabitEthernet 0/0/1视图 [USG5300] interface GigabitEthernet 0/0/1 配置GigabitEthernet 0/0/1的IP地址 [USG5300-GigabitEthernet0/0/1] ip address 10.10.10.1 255.255.255.0 配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 [USG5300-zone-untrust] quit 外网： 进入GigabitEthernet 0/0/2视图 [USG5300] interface GigabitEthernet 0/0/2 配置GigabitEthernet 0/0/2的IP地址 [USG5300-GigabitEthernet0/0/2] ip address 220.10.10.16 255.255.255.0 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 [USG5300-zone-untrust] quit

华为防火墙2110调试

防火墙说明文档 一 使用串口转USB加串口转网口组合，网口在防火墙端接入console口，在笔记本电脑中打开CRT选择端口后，链接到防火墙配置 输入dis cu 查看防火墙基本配置，按住空格显示更多配置，查看完后输入sys 进入配置[USG2110]抬头下进行网口配置 输入interface ethernet1/0/0/6 表示进入LAN6口的端口 具体端口表示多少号需要在查询防火墙配置中找到相关端口名称例如1/0/1或者2/0/0等如果该端口没有网线接口使用需要关闭接口 输入shutdown就可以成功关闭端口

然后用一根网线用笔记本接入到LAN1口，LAN1口是进入WEB配置界面的口，通常情况下不要当做通讯接口使用。 在前面查询防火墙配置的时候就能看的WEB界面的IP端口，通常都是192.168.0.1 （不要以下图IP为例） 用户名admin 密码Admin@123 进入之后首先修改密码进入左侧的“系统”——“管理员”——“管理员”点击修改将密码统一改为Fglyc_01 “应用”“返回”

进入左侧的“网络”——安全区域——安全区域点trust的修改按钮 在描述中填入描述例如此防火墙用于一二区就填“安全一区”并将不用的lan 口选中并删除留需要用lan口的和lan7口lan7口用于调试 然后点“应用”、“返回”

同样方法修改untrust区域如果多条链路接口不够用也可以增加lan口到untrust区

再进入左侧“网络”——“接口”-“接口”中修改wan0口 选择“交换”然后修改Access VLAN ID 为2 （lan0和wan0他们为一条通路时，将wan0和lan0都设同样的值就可以，这里设置为2）然后“应用”“返回”

华为USG防火墙配置完整版

华为U S G防火墙配置 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】

华为USG2000防火墙配置 USG2000防火墙基本设置： 外观 1个调试口（CONSOLE）； 2个以太网口（GE0/0/0和GE0/0/1，电口或者SFP光口任取一）； 1个reset按钮（操作不当访问不到防火墙时初始化出厂配置）。 初始配置 GE0/0/0配置为路由接口，IP地址为 防火墙访问IP为，登录用户名admin，密码Admin@123 USG2000防火墙配置过程中注意事项： 接口配置时，不要操作当前连接的端口，否则可能导致防火墙无法连接的情况。 这种情况下需要按‘reset’按钮初始化出厂配置。

USG2000防火墙配置步骤 一、配置防火墙的网络接口 1.连接GE0/0/0端口，访问登录防火墙。 登录过程中出现证书错误，点击‘继续浏览此网站’继续。 输入用户名admin密码Admin@123登录防火墙。 登录后，弹出修改用户的初始密码的提示及快速向导。初始密码尽量不要修改。快速向导适于配置路由器模式，不适合I区和II区之间，直接点取消。 以上为USG2000基本配置界面。 现场配置所需要用到的只有网络和防火墙两个主菜单。 2.配置GE0/0/1端口 选择菜单网络/接口，在GE0/0/1行最后点配置。 别名设置‘安全II区端口’，选择模式‘交换’，连接类型选择为 ‘access’，点击应用。 3.添加Vlan接口 在接口页面中，点击新加，接口名称设置为‘配置接口’，类型设置为‘VLAN’，VALN ID设置为‘1’，接口成员选择‘GE0/0/1’，连接类型设置为‘静态IP’，IP地址设置为‘’，子网掩码设置为‘’，最后点击应用。如下图所示 4.按照配置GE0/0/1的方法，配置GE0/0/0，将别名设为‘安全I 区端口’。 注意：配置完成后，点击应用后，由于GE0/0/0的IP地址已变更，将无法访问到。 5.关闭所有浏览器页面，然后重新开启浏览器，连接GE0/0/0，访 问。 修改刚添加的‘配置接口’的Vlan端口，将GE0/0/0添加到接口

华为路由器防火墙配置

华为路由器防火墙配置 一、access-list 用于创建访问规则。 (1)创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] (2)创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source- mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] (3)删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。 listnumber1 是1到99之间的一个数值，表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值，表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较 的概念;为IP时

有特殊含义，代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。 operator[可选] 端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有:等于(eq) 、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range，则后面需要跟两个 端口。 port1 在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值(如telnet)或0~65535之间的一个 数值。 port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或 0~65535之间的一个数值。 icmp-type[可选] 在协议为ICMP时出现，代表ICMP报文类型;可以是关键字所设定的预设值(如echo- reply)或者是0~255之间的一个数值。 icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码，是0~255之间的一个数值。 log [可选] 表示如果报文符合条件，需要做日志。 listnumber 为删除的规则序号，是1~199之间的一个数值。

华为防火墙路由双机备份手册

配置路由模式下主备备份方式的双机热备份举例 组网需求 Eudemon 1000E作为安全设备被部署在业务节点上。其中上下行设备均是交换机，Eudemon 1000E A、Eudemon 1000E B分别充当主用设备和备用设备，且均工作在路由模式下。 网络规划如下： ?需要保护的网段地址为10.100.10.0/24，与Eudemon 1000E的GigabitEthernet 0/0/1接口相连，部署在Trust区域。 ?外部网络与Eudemon 1000E的GigabitEthernet 0/0/3接口相连，部署在Untrust区域。 ?两台Eudemon 1000E的HRP备份通道接口GigabitEthernet 0/0/2部署在DMZ区域。 其中，各安全区域对应的VRRP组虚拟IP地址如下： ?Trust区域对应的VRRP组虚拟IP地址为10.100.10.1/24。 ?Untrust区域对应的VRRP组虚拟IP地址为202.38.10.1/24。 ?DMZ区域对应的VRRP组虚拟IP地址为10.100.20.1/24。 组网图如图1所示。 图1 路由模式下主备备份方式的双机热备份配置举例组网图 数据规划

操作步骤 1.在Eudemon 1000E A上完成以下基本配置。 # 配置GigabitEthernet 0/0/1的IP地址。 system-view [Eudemon A] interface GigabitEthernet 0/0/1 [Eudemon A-GigabitEthernet0/0/1] ip address 10.100.10.2 24 [Eudemon A-GigabitEthernet0/0/1] quit # 配置GigabitEthernet 0/0/2的IP地址。 [Eudemon A] interface GigabitEthernet 0/0/2 [Eudemon A-GigabitEthernet0/0/2] ip address 10.100.20.2 24 [Eudemon A-GigabitEthernet0/0/2] quit # 配置GigabitEthernet 0/0/3的IP地址。 [Eudemon A] interface GigabitEthernet 0/0/3 [Eudemon A-GigabitEthernet0/0/3] ip address 202.38.10.2 24 [Eudemon A-GigabitEthernet0/0/3] quit # 配置GigabitEthernet 0/0/1加入Trust区域。 [Eudemon A] firewall zone trust

华为USG防火墙配置

华为USG2000防火墙配置 USG2000防火墙基本设置： 外观 1个调试口（CONSOLE）； 2个以太网口（GE0/0/0和GE0/0/1，电口或者SFP光口任取一）； 1个reset按钮（操作不当访问不到防火墙时初始化出厂配置）。 初始配置 GE0/0/0配置为路由接口，IP地址为192.168.0.1 防火墙访问IP为192.168.0.1，登录用户名admin，密码Admin@123 USG2000防火墙配置过程中注意事项： 接口配置时，不要操作当前连接的端口，否则可能导致防火墙无法连接的情况。 这种情况下需要按‘reset’按钮初始化出厂配置。

USG2000防火墙配置步骤 一、配置防火墙的网络接口 1.连接GE0/0/0端口，访问19 2.168.0.1登录防火墙。 登录过程中出现证书错误，点击‘继续浏览此网站’继续。

输入用户名admin密码Admin@123登录防火墙。 登录后，弹出修改用户的初始密码的提示及快速向导。初始密码尽量不要修改。快速向导适于配置路由器模式，不适合I区和II区之间，直接点取消。

以上为USG2000基本配置界面。 现场配置所需要用到的只有网络和防火墙两个主菜单。 2.配置GE0/0/1端口 选择菜单网络/接口，在GE0/0/1行最后点配置。

别名设置‘安全II区端口’，选择模式‘交换’，连接类型选择为‘access’，点击应用。 3.添加Vlan接口 在接口页面中，点击新加，接口名称设置为‘配置接口’，类型设置为‘VLAN’，VALN ID 设置为‘1’，接口成员选择‘GE0/0/1’，连接类型设置为‘静态IP’，IP地址设置为‘192.168.1.100’，子网掩码设置为‘255.255.0.0’，最后点击应用。如下图所示 4.按照配置GE0/0/1的方法，配置GE0/0/0，将别名设为‘安全I区端口’。 注意：配置完成后，点击应用后，由于GE0/0/0的IP地址已变更，将无法访问到192.168.0.1。 5.关闭所有浏览器页面，然后重新开启浏览器，连接GE0/0/0，访问192.168.1.100。 修改刚添加的‘配置接口’的Vlan端口，将GE0/0/0添加到接口成员中。

华为防火墙USG配置

内网： 配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 外网： 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 DMZ： [USG5300] firewall zone dmz [USG5300-zone-untrust] add interface GigabitEthernet 0/0/3 [USG5300-zone-untrust] quit 1.4.1 Trust和Untrust域间：允许内网用户访问公网 policy 1：允许源地址为10.10.10.0/24的网段的报文通过 [USG5300] policy interzone trust untrust outbound [USG5300-policy-interzone-trust-untrust-outbound] policy 1 [USG5300-policy-interzone-trust-untrust-outbound-1] policy source 10.10.10.0 0.0.0.255 [USG5300-policy-interzone-trust-untrust-outbound-1] action permit [USG5300-policy-interzone-trust-untrust-outbound-1] quit 如果是允许所有的内网地址上公网可以用以下命令：

华为USG防火墙运维命令大全

华为USG防火墙运维命令大全 1查会话 使用场合 针对可以建会话的报文，可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙。 命令介绍（命令类） display firewall session table [ verbose ] { source { inside X.X.X.X | global X.X.X.X } | destination { inside X.X.X.X | global X.X.X.X } } [ source-vpn-instance { STRING<1-19> | public } | dest-vpn-instance { STRING<1-19> | public } ] [ application { gtp | ftp | h323 | http | hwcc | ras | mgcp | dns | pptp | qq | rtsp | ils | smtp | sip | nbt | stun | rpc | sqlnet | mms } ] [ nat ] [ destination-port INTEGER<1-65535> ] [ long-link ] 使用方法（工具类） 首先确定该五元组是否建会话，对于TCP/UDP/ICMP（ICMP只有echo request和echo reply建会话）/GRE/ESP/AH的报文防火墙会建会话，其它比如SCTP/OSPF/VRRP等报文防火墙不建会话。如果会话已经建立，并且一直有后续报文命中刷新，基本可以排除防火墙的问题，除非碰到来回路径不一致情况，需要关闭状态检测。如果没有对应的五元组会话或者对于不建会话的报文，继续后续排查方法。 Global：表示在做NAT时转换后的IP。 Inside：表示在做NAT时转换前的IP。 使用示例 display firewall session table verbose source inside 10.160.30.2

华为防火墙USG配置

配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 外网： 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 DMZ： [USG5300] firewall zone dmz [USG5300-zone-untrust] add interface GigabitEthernet 0/0/3 [USG5300-zone-untrust] quit Trust和Untrust域间：允许内网用户访问公网 policy 1：允许源地址为的网段的报文通过 [USG5300] policy interzone trust untrust outbound [USG5300-policy-interzone-trust-untrust-outbound] policy 1 [USG5300-policy-interzone-trust-untrust-outbound-1] policy source [USG5300-policy-interzone-trust-untrust-outbound-1] action permit [USG5300-policy-interzone-trust-untrust-outbound-1] quit

华为 USG 系列云管理防火墙详版彩

华为USG6300系列云管理防火墙 移动化、大数据、ICT融合造成企业网络规模越来越庞大，组网越来越复杂，网络管理和维护投入的成本越来越高。在此背景下，华为推出了云管理网络解决方案，它以SDN技术为支撑，包括云管理平台和全系列云化网络设备两部分，具备云化网络管理、网络设备即插即用、业务配置自动化、运维自动化可视化和网络大数据分析等优势，能够显著解决传统网络面临的难题。 云管理平台由华为企业公有云运营，或者由MSP、运营商自行建设和运营，租户只需支付防火墙硬件和云管理License费用即可使用云管理平台提供的各种业务，网络建设和维护都由云管理平台运营方提供，大大节省了企业资金和人力投入。 华为USG6300系列是配套华为云管理解决方案的防火墙产品，它支持传统防火墙管理和云管理“双栈”模式，适合为小型企业、企业分支、连锁机构等提供基于云管理的安全上网服务。 产品图 USG6305USG6305-W USG6310S USG6310S-W USG6310S-WL USG6320 USG6370/6380/6390USG6306/6308/6330/6350/6360

应用场景 ? 云管理平台部署于华为公有云或MSP 公有云，为用户提供防火墙维护管理界面。防火墙位于 SMB 、分支、园区出口，为用户提供有线无线上网服务。用户仅需购买防火墙及云管理License 即可通过云管理平台实现全网设备的规划和维护管理。对于用户并发接入数不高、站点分布较分散，不具备网络专业技术能力的中小企业，云管理网络解决方案具有明显的优势。 支持双栈管理模式，网络平滑演进 ? USG6300系列防火墙支持传统模式和云模式两种管理模式切换，缩短网络改造升级周期，将网络 改造升级对用户业务的影响降到最低，保障用户体验。 云管理平台MSP 维护人员 Internet USG6300 USG6300 USG6300

华为防火墙配置使用手册(自己写)

华为防火墙配置使用手册(自己写) 华为防火墙配置使用手册防火墙默认的管理接口为g0/0/0，默认的ip地址为/24，默认g0/0/0接口开启了dhcp server，默认用户名为admin，默认密码为Admin123 一、配置案例拓扑图GE 0/0/1：/24 GE 0/0/2：/24 GE 0/0/3：/24 WWW服务器：/24 FTP服务器：/24 Telnet配置配置VTY 的优先级为3，基于密码验证。# 进入系统视图。system-view # 进入用户界面视图[USG5300] user-interface vty 0 4 # 设置用户界面能够访问的命令级别为

level 3 [USG5300-ui-vty0-4] user privilege level 3 配置Password验证# 配置验证方式为Password验证[USG5300-ui-vty0-4] authentication-mode password # 配置验证密码为lantian [USG5300-ui-vty0-4] set authentication password simple lantian ###最新版本的命令是authentication-mode password cipher huawei123 配置空闲断开连接时间# 设置超时为30分钟[USG5300-ui-vty0-4] idle-timeout 30 [USG5300] firewall packet-filter default permit interzone untrust

local direction inbound //不加这个从公网不能telnet防火墙。基于用户名和密码验证user-interface vty 0 4 authentication-mode aaa aaa local-user admin password cipher ]MQ;4\\]B+4Z,YWX*NZ55OA!! local-user admin service-type telnet local-user admin level 3 firewall packet-filter default permit interzone untrust local direction inbound 如果不开放trust域到local域的缺省包过滤，那么从网也不能telnet的防火墙，但是默认情况下已经开放了trust域到local域的缺省包过滤。地址配置网：进

华为路由器防火墙配置命令详细解释

一、access-list 用于创建访问规则。 （1）创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] （2）创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] （3）删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。

listnumber1 是1到99之间的一个数值，表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值，表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。 operator[可选] 端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较

最新华为防火墙l2tp配置资料

配置Client-Initialized方式的L2TP举例 组网需求 如图1所示，某公司的网络环境描述如下： ?公司总部通过USG5300与Internet连接。 ?出差员工需要通过USG5300访问公司总部的资源。 图1配置Client-Initialized方式的L2TP组网图 配置L2TP，实现出差员工能够通过L2TP隧道访问公司总部资源，并与公司总部用户进行通信。 配置思路 1配置客户端。 2根据网络规划为防火墙分配接口，并将接口加入相应的安全区域。 3配置防火墙策略。 4配置LNS。 数据准备 为完成此配置例，需准备如下的数据： ?防火墙各接口的IP地址。 ?本地用户名和密码。 操作步骤 配置客户端。说明：如果客户端的操作系统为Windows系列，请首先进行如下操作。 1在“开始> 运行”中，输入regedit命令，单击“确定”，进入注册表编辑器。 1在界面左侧导航树中，定位至“我的电脑> HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > Rasman > Parameters”。在该路径下右 侧界面中，检查是否存在名称为ProhibitIpSec、数据类型为DWORD的键值。 如果不存在，请单击右键，选择“新建> DWORD值”，并将名称命名为 ProhibitIpSec。如果此键值已经存在，请执行下面的步骤。 1选中该值，单击右键，选择“修改”，编辑DWORD值。在“数值数据”文本框

中填写1，单击“确定”。 1重新启动该PC，使修改生效。 此处以Windows XP Professional操作系统为例，介绍客户端的配置方法。 # 客户端主机上必须装有L2TP客户端软件，并通过拨号方式连接到Internet。 # 配置客户端计算机的主机名为client1。 # 创建L2TP连接。 1打开“我的电脑> 控制面板> 网络连接”，在“网络任务”中选择“创建一个 新的连接”，在弹出的界面中选择“下一步”。 1在“网络连接类型”中选择“连接到我的工作场所的网络”，单击“下一步”。 1在“网络连接”中选择“虚拟专用网络连接”，单击“下一步”。 1在“连接名”下的“公司名”文本框中设置公司名称或VPN服务器名称，本例 设置为LNS，单击“下一步”。 1在“公用网络”中选择“不拨初始连接”，单击“下一步”。 1在“VPN服务器选择”中填写LNS的IP地址，此处设置的IP地址为USG5300 与Internet连接接口的IP地址，本配置例中为202.38.161.1，单击“下一步”。 1将“在我的桌面上添加一个到此连接的快捷方式”选中，单击“完成”。 在弹出的对话框中，输入在LNS上配置的用户名和密码，单击“属性”，如图2所示。图2连接LNS 单击“属性”，设置如图3所示。图3设置LNS属性的选项页签

华为防火墙配置

防火墙配置： dis current-configuration #显示当前配置 [SRG]stp region-configuration #进入MST视图 [SRG]active region-configuration #激活MST配置 [SRG]interface GigabitEthernet 0/0/0 #进入GE0/0/0端口 [SRG-GigabitEthernet0/0/0]alias GE0/GMT #别名GE0管理 [SRG-GigabitEthernet0/0/0]ip add 192.168.100.1 255.255.255.0 #端口配置IP [SRG-GigabitEthernet0/0/0]dhcp select interface #客户端从接口地址池中通过dhcp自动获取IP地址[SRG-GigabitEthernet0/0/0]dhcp server gateway-list 192.168.100.1 #DHCP服务默认网关 [SRG-GigabitEthernet0/0/0]dhcp server dns-list 8.8.8.8 #DNCP默认DNS [SRG-GigabitEthernet0/0/1]ip add 192.168.200.1 255.255.255.0 #配置端口IP [SRG-GigabitEthernet0/0/2]ip add 211.1.1.1 255.255.255.0 #配置公网IP [SRG]interface NULL0 #建立伪接口，进行包的分发。当宝的目的和路由不匹配时候，则通过NULL0丢弃ps:如果通过默认路由进行分发的话就会形成环路 [SRG]firewall zone untrust #进入防火墙不信任区域 [SRG-zone-trust]add interface GigabitEthernet 0/0/2 #添加不信任区域端口 [SRG]firewall zone trust #进入防火墙信任区域 [SRG-zone-trust]add interface GigabitEthernet 0/0/0 #添加信任区域端口 [SRG]firewall zone dmz #进入防火墙了隔离区域 [SRG-zone-trust]add interface GigabitEthernet 0/0/1 #添加隔离区域端口 [SRG]firewall zone name usr1 #添加区域 [SRG-zone-usr1]set priority 86 #设置优先级 [SRG-zone-usr1]add interface GigabitEthernet 0/0/8 #添加端口 [SRG-zone-usr1]aaa #aaa认证协议 [SRG-aaa]local-user admin password cipher 123456 #设置用户名和加密密码 [SRG-aaa]local-user admin service-type web terminal telnet #允许三种登入方式 [SRG-aaa]local-user admin level 15 #设置等级为15级 [SRG-aaa]authentication-scheme default #验证方式默认及本地设备验证 [SRG-aaa]authorization-scheme default #验证方式默认及本地设备验证 [SRG-aaa]accounting-scheme default #验证方式默认及本地设备验证 [SRG-aaa]domain default #域缺省 [SRG]nqa-jitter tag-version 1 [SRG]banner enable [SRG]user-interface con 0 [SRG-ui-console0]authentication-mode aaa 允许登陆模式为aaa [SRG]user-interface vty 0 4 [SRG-ui-vty0-4]uthentication-mode aaa [SRG-ui-vty0-4]protocol inbound all # 允许所有登陆协议