华为防火墙的初始化以及基础配置介绍
作者:互联网
转载来源 :文章版权归公众号 :网络之路博客
前言
博主这次讲课用的真机是USG6307E(在模拟器不支持的功能下使用),尽量还是用模拟器给搭建讲解与演示,方便大家跟着一起学习。(在学习防火墙的内容建议大家有一定的路由交换基础,更容易理解)本次课程还是以命令行为主,WEB为辅,结合工作中常见的组网案例以及会遇到的问题进行讲解,让大家在学习完后对华为防火墙的应用有一个很大的提升。
1、常见的简单上网组网
2、多运营商的场景
3、双击热备的场景
4、总部与分支需要互通的场景
5、移动办公的场景
6、用户认证的场景
整个课程下来基本分为几个模块
(1)防火墙的会话、安全策略、源NAT上网、服务器映射这几个点,里面内容很多,预计在10篇以上(加上案例的话,在写的时候预计是10篇以上,实际写了19篇,所以最终课程肯定会在45节以上,内容很充实)
(2)ISP选路,有多个运营商线路进来如何去组网,预计在5篇以上
(3)IPSEC以及远程接入,这个内容也多,会涉及到两边都有公网地址,一边有一边没有,一边只有动态,多分支、L2TP、SSL,本地认证,集合AD域、radius认证,预计在10篇以上
(4)双机热备,主要涉及常见的组网,预计在3~5篇
(5)用户认证,讲解对于用户认证相关,以及跨三层进行认证的情况,预计2~3篇
(6)行为管理:针对某些部门限制应用或者只开放某些应用。
(7)虚拟防火墙:把一个防火墙分成多个逻辑的防火墙,预计1~2篇
(8)透明防火墙:在现有的架构下,不改变任何拓扑,直接把防火墙接入到网络,预计1~2篇
安全内容这块估计是没法讲了,主要是没有授权,没法演示,上面涉及到的内容就是本次都会讲解到的,内容都是边写边录制(只会多,不会少,跟无线课程一样预计在30篇左右,实际37篇),对于工作中常见的需求以及组网绝对是能够解决了,并且掌握的不单单是会配置,从原理、规划、配置、以及排错都有一个思路在那,这个才是关键的
防火墙第一次登录
全新的设备登录方式两种
(1)直接把电脑的网线接MGMT或者0号口(有MGMT的为管理口,没有写的0号口就是管理口),用192.168.0.1登录,默认账号admin 密码 Admin@123(记得把电脑设置成192.168.0.X)
(2)console线登录,默认账号密码跟WEB一样
(3)不管是WEB还是console第一次登录都要求修改密码,
(4)模拟器是必须进入命令行开启管理功能才能进WEB,所以console改了后就不需要修改了。
WEB方式登录
1、电脑设置成192.168.0.X接在MGMT或者0号口,浏览器输入192.168.0.1或者https://192.168.0.1:8443
2、输入账号admin
3、密码Admin@123
1、输入老密码Admin@123
2、输入新密码
3、再次确认新密码
熟悉防火墙的6个操作选项对应的功能
1、面板:主要查看防火墙的状态、日志、接口流量信息等,一个整体防火墙的状态显示
2、监控:排错与维护专用,里面包含了各种日志信息、终端会话信息等。
3、策略:常见的安全策略、NAT策略、QOS策略都是在这里配置
4、对象:主要针对地址、域名、应用、认证用户等信息的配置
5、网络:接口IP地址配置,路由、选路、DHCP、DNS等
6、系统:升级、备份、高可用性等配置
防火墙的常见基础配置
学过路由交换的朋友对于防火墙的基础配置其实没什么太多难度,跟华为路由器交换机配置没什么两样,这里介绍下常见的配置,以便于后续学习更加方便。
1、接口IP相关配置
查看接口编号,防火墙的型号不一样,编号也会不太一样,可以通过display ip interface brief确认下接口编号,方便进入。
[USG6000V1]interface GigabitEthernet 1/0/0
[USG6000V1-GigabitEthernet1/0/0]ipaddress 172.16.100.254 24
接口地址配置
2、切换成二层口
防火墙接口是可以切换层二层口做交换机口用的,下面可以在对接二层交换机配置成Trunk,也可以配置成Access直接接。
[USG6000V1]interface g1/0/1
[USG6000V1-GigabitEthernet1/0/1]portswitch
[USG6000V1-GigabitEthernet1/0/1]portlink-type ?
access Access port
hybrid Hybrid port
trunk Trunk port
trunk方式
[USG6000V1-GigabitEthernet1/0/1]portlink-type trunk
[USG6000V1-GigabitEthernet1/0/1]porttrunk allow-pass vlan 2 to 10
access方式
[USG6000V1-GigabitEthernet1/0/1]portlink-type access
[USG6000V1-GigabitEthernet1/0/1]portdefault vlan 2
hybrid方式
[USG6000V1-GigabitEthernet1/0/1]portlink-type hybrid
[USG6000V1-GigabitEthernet1/0/1]porthybrid tagged vlan 2 to 3
博主经验分享:只有初始化端口可以直接切换,已经有配置了的,是没办法直接切换,需要把新家的配置undo掉还原到初始化状态才可以切换。
3、配置VLANIF接口
[USG6000V1]vlan batch 2to 3
[USG6000V1]interface vlan 2
[USG6000V1-Vlanif2]ipaddress 192.168.2.254 24
[USG6000V1]interface vlan 3
[USG6000V1-Vlanif3]ipaddress 192.168.3.254 24
4、开启DHCP
[USG6000V1]dhcp enable
[USG6000V1]interface vlan 2
[USG6000V1-Vlanif2] ipaddress 192.168.2.254 255.255.255.0
[USG6000V1-Vlanif2]dhcpselect interface
[USG6000V1-Vlanif2]dhcpserver ip-range 192.168.2.1 192.168.2.100
[USG6000V1-Vlanif2]dhcpserver gateway-list 192.168.2.254
对比路由器交换机来说,DHCP这边稍微一点点不太一样,在接口下启用需要定义网关,然后地址分配的范围,其余的常见配置其实没有多大的区别。
5、保存与恢复出厂
<USG6000V1>save
The currentconfiguration will be written to hda1:/vrpcfg.cfg.
Are you sure tocontinue?[Y/N]y
保存,选择Y
<USG6000V1>reset saved-configuration
Warning: The actionwill delete the saved configuration in the device.
The configuration willbe erased to reconfigure. Continue? [Y/N]:y
清空配置,提示是否进行操作,选择Y
<USG6300E>reboot fast
Info: If want to rebootwith saving diagnostic information, input 'N' and then execute 'reboot savediagnostic-information'.
System will reboot!Continue?[Y/N]:y
快速重启,提示是否重启,选择Y(模拟器不支持这个命令)
竟然防火墙的常见配置跟路由器交换机一样,是不是按路由器的思#路配置就通了?
像上面这样的拓扑在网络中是不是很常见,出口一台路由器,下面接一台二层或者多台傻瓜交换机,如果像这样的环境,我们只需要在路由器上面创建VLAN 2与3的VLANIF,创建网关、DHCP,对接下面交换机的口划入对应的VLAN即可。
vlan batch 2 to 3
dhcp enable
#
interface Vlanif2
ip address 192.168.11.254 255.255.255.0
dhcp select interface
dhcp server dns-list 223.5.5.5 114.114.114.114
#
interface Vlanif3
ip address 192.168.12.254 255.255.255.0
dhcp select interface
dhcp server dns-list 223.5.5.5 114.114.114.114
#
interface Ethernet0/0/0
port link-type access
port default vlan 2
#
interface Ethernet0/0/1
port link-type access
port default vlan 3
#
acl number 3000
rule 5 permit ip
#
interfaceGigabitEthernet0/0/0
nat outbound 3000
ip address dhcp-alloc
#
可以看到配置下来不管上外网,内网都可以互通, 路由器基本就接口地址配置、NAT、DHCP就完事了,那么问题来了,假设我们把出口设备换成防火墙,是不是用同样的思路流程就能够实现上网呢?我们来尝试性的试下!!
跟路由器一样的,对接外网的口配置成DHCP,G1/1/1配置成192.168.11.254/24,G1/0/2配置成192.168.11.254,开启DHCP,我们看看最基本的能不能实现。
dhcp enable
#
interfaceGigabitEthernet1/0/0
undo shutdown
ip address dhcp-alloc
#
interfaceGigabitEthernet1/0/1
undo shutdown
ip address 192.168.11.254 255.255.255.0
dhcp select interface
dhcp server ip-range 192.168.11.1192.168.11.250
dhcp server gateway-list 192.168.11.254
dhcp server dns-list 223.5.5.5 114.114.114.114
#
interfaceGigabitEthernet1/0/2
undo shutdown
ip address 192.168.12.254 255.255.255.0
dhcp select interface
dhcp server ip-range 192.168.12.1192.168.12.250
dhcp server gateway-list 192.168.12.254
dhcp server dns-list 223.5.5.5 114.114.114.114
外网是获取到地址了的,我们在看看内网PC
获取到了,但是到网关都不通!!在来看看防火墙上面
可以看到防火墙ping 客户端以及外网的网关都不通,似乎跟路由器还是有些不一样的,虽然防火墙获取到了外网分配过来的地址了,客户端也分配到了地址了,按照上面路由器的处理就应该都通了,但是防火墙没有,这也是刚接触防火墙的朋友容易犯的一个困惑,明明一切都看似正常,确哪都不通!接下来的几篇内容都是围绕这这个不通来开始进行的,从防火墙的区域、安全策略来了解处理数据包的工作方式,以便于我们在工作中不管是配置还是遇到问题来拍错都有一个很好的基础功底跟思路在这。(博主以这个简单的案例引入防火墙的一些特性,方便大家更好的理解跟学习)。
“承上启下”
在介绍初始化的时候,博主讲过,华为的防火墙有管理口MGMT或者0口,默认地址是192.168.0.1,大家可以尝试下,能否ping通?这个又是为什么呢?可以先想想哦~答案下一篇认真学,可以解决这个疑问!
实验环境
对于没有真机环境的朋友,就只能依靠模拟器来做实验与验证学习了,模拟器公众号都提供了,回复关键字”华为最新模拟器“ 即可获取,包括全套全新、使用视频讲解,一个好的学习离不开实验工具。
https://mp.weixin.qq.com/s?__biz=MzI1OTMxNTgxMg==&mid=2247484135&idx=3&sn=1225326c705e2c10850551a77cd1900e&chksm=ea7b83ecdd0c0afa1bf032a8465a1a6fdc6f135749e1d7392d032aababae3d4d74a9d90c30ad&scene=21#wechat_redirect
文章版权归网络之路博客(公众号同名)所有,转载请标明出处,谢谢。
标签:初始化,USG6000V1,配置,防火墙,192.168,华为,interface,dhcp 来源: https://blog.csdn.net/qq_40907977/article/details/113259863