h3cf100-配置实例

网络环境：固定IP，光钎接入。

硬件环境：IbmX3650M3一台（OA），双网卡，一台H3C F100-A防火墙一台。

客户需求：要求内部网络通过防火墙访问外网，外网客户端通过防火墙能够访问内部OA服务器。

实施步骤：服务器做好系统并把数据库调试好。

防火墙的调试，通过串口线连接本子PC和防火墙，用超级终端。可用2种调试方法。Web 界面的调试和命令行的调试。

先是第一种方法。具体操作如下：

1》因为机器默认是没有ip和用户名和密码的，所以就需要超级终端通过命令行来给机器配置，操作如下：因为机器本身带一条console口的串口线，把另一端连接到带串口的笔记本上，因为有的本子没有9针的串口，所以最好买一条九针转U口的，连到笔记本的U口上面，接下来就是打串口的驱动了，在网上下个万能的串口驱动也是能用的（附件里有自己用的一个驱动），连接好以后，把防火墙通上电。

2》在本子上点击开始-程序-附件-通讯-超级终端，打开后是新建连接，在名称里输入comm1，选第一个图标，点击确定，在连接时使用的下拉菜单中选直接连接到串口1，点击确定，然后

在串口的属性对话框中设置波特率为9600，数据位为8，奇偶校验为无，停止位

为1，流量控制为无，按［确定］按钮，返回超级终端窗口。

接下来配置

超级终端属性

在超级终端中选择［属性/设置］一项，进入图4-5所示的属性设置窗口。选择

终端仿真类型为VT100或自动检测，按［确定］按钮，返回超级终端窗口。

连通后在超级终端里会显示防火墙的信息。

机子会提示你

Ctrl+B

你不用管，这是进ROOT菜单的。

接下来就要为防火墙配置管理IP，用户名和密码了

配置有2种模式，一般情况下用路由模式，先配置IP

为使防火墙可以与其它网络设备互通，必须先将相应接口加入到某一安全区域中，且将缺省的过滤行为设置为允许，并为接口（以GigabitEthernet0/0

为例）这是lan0的接口，配置IP地址。

[H3C] firewall zone trust [H3C-zone-trust] add interface GigabitEthernet0/0

[H3C-zone-trust] quit

[H3C] firewall packet-filter default permit

[H3C] interface GigabitEthernet0/0

[H3C-GigabitEthernet0/0] ip address

Lan0口配置的ip是接下来就为本机PC配置ip，因为接的是LAN0口，所以把ip配置成，配置好后在

本子上运行CMD，PING 通后，接下来就是为防火墙配置用户名和密码

例如：建立一个用户名和密码都为admin，帐户类型为telnet，权限等级为3的

管理员用户，运行下面的命令：

[H3C] local-user admin

[H3C-luser-admin] password simple admin

[H3C-luser-admin] service-type telnet

[H3C-luser-admin] level 3

配置好后从调试本子的IE中，敲入，回车

就进入WEB界面，敲入admin后就进入WEB的配置管理界面。

假设

一个公司通过SecPath防火墙连接到Internet。公司内部网段为。由ISP分配给

防火墙外部接口的地址范围为。其中防火墙的接口GigabitEthernet0/0连接内

部网络，地址为；接口GigabitEthernet0/1连接到Internet，地址为。WWW Server

和FTP Server位于公司网络内部，地址分别为和。要求公司内部网络可以通过

防火墙的NAT功能访问Internet，并且外部的用户可以访问内部的WWW Server

和Telnet Server。

实现的步骤为：

第一步：创建允许内部网段访问所有外部资源的基本ACL，以供NAT使用。创建

ACL的方法可参见5.2.1 ACL配置。

点击“防火墙”目录中的“ACL”，在右边的ACL配置区域中单击按钮。

在“ACL编号”中输入基本ACL的编号2001（基本ACL的编号范围为2000～2999），单击<创建>按钮。在下面的列表中选择此ACL，单击<配置>按钮。

在ACL配置参数区域中，从“操作”下拉框中选择“Permit”，在“源IP地址”

栏中输入，“源地址通配符”中输入0.0.0.255，单击<应用>按钮。

第二步：创建NAT地址池。

在“业务管理”目录下的“NAT”子目录中点击“地址池管理”，在右边的配置区域中单击<创建>按钮。

在“地址池索引号”栏中输入1，“起始地址”栏中输入，“结束地址”栏中输入，单击<应用>按钮。

第三步：配置NAT转换类型。

点击“地址转换管理”，在右边的配置区域中单击<创建>按钮。在“接口名称”

下拉框中选择“GigabitEthernet0/1”，选中“ACL编号”复选框并输入

已创建好的基本ACL编号2001。在“地址池”下拉框中选择地址池索引号

“1”。由于地址池的地址数量有限且内部主机较多，所以在“转换类型”

中选择“NAPT”以启用NAT地址复用，单击<应用>按钮。

第四步：配置NAT内部服务器映射。

点击“内部服务器”，在右边的配置区域中单击<创建>按钮。

在“接口名称”中选择“GigabitEthernet0/1”，“协议类型”选择“TCP”，“外部地址”栏中输入。

选中“外部起始端口”输入栏选项，输入WWW服务器使用的端口号，这里假设为80端口。

在“内部起始地址”栏中输入内部WWW服务器的IP地址。

选中“内部端口”输入栏选项，输入内部WWW服务器使用的端口号，这里也假设为80端口，单击<应用>按钮。

内部Telnet服务器映射的配置方法与此相同。

这样WEB界面下的配置就完成了，配置完成后一定要保存和备份配置文件。然后接入网线，一个简单的局域网就组建成功了。