防火墙基本配置操作
主—— 211.138.226.68 帐号:huawei 密码:huawei@123
备—— 211.138.226.69 帐号:huawei 密码: huawei@123
1,基本设置命令
HRP_M
HRP_M[Eudemon]
以下的配置都是在该模式下进行的
interface Ethernet2/0/0 进入到e2/0/0口
port link-type access 端口设置为access口
port access vlan 100 允许vlan100
interface Ethernet2/0/1 进入到e2/0/1口
port link-type trunk 端口设置为trunk口
port trunk allow-pass vlan 200 允许vlan200通过
interface GigabitEthernet0/0/0 进入到G0/0/0口
ip address 10.154.171.69 255.255.255.240 在该端口中设置ip地址
vlan 300 创建vlan300
interface vlan 300 进入vlan300视图
ip address 10.154.171.70 255.255.255.240 在vlan300里面设置ip地址
ip route-static 0.0.0.0 0.0.0.0 10.200.0.1 配置默认路由 下一跳为10.200.0.1
ip route-static 10.154.164.0 255.255.255.0 192.168.100.1 配置静态路由 目标网络10.154.164.0 的下一跳为192.168.100.1
acl number 2001 建立策略2001
rule 1 permit source 211.142.217.23 0 destination 10.154.164.0 255.255.255.0 允许源地址为211.142.217.23 访问目的网段 10.154.164.0
firewall interzone local trust 进入本地local区域到trust区域视图
packet-filter 2001 inbound 该视图下在inbound(进入的方向)应用该策略acl 2001
packet-filter 2001 outbound 该视图下在outbound(出去的方向)应用该策略acl 2001
firewall zone trust 把端口加入到防火墙的trust区域中
set priority 85
add interface GigabitEthernet0/0/1
firewall zone untrust 把端口加入到防火墙的untrust区域中
set priority 5
add interface GigabitEthernet6/0/0
firewall zone dmz 把端口加入到防火墙的dmz区域中
set priority 50
add interface GigabitEthernet5/0/0
HRP_M[Eudemon] aaa 进入aaa 视图
HRP_M[Eudemon-aaa]
local-user huawei password simple huawei @123 配置远程登录的用户名为huawei 密码为huawei@123
local-user huawei level 3 配置远程登录的huawei帐号权限为3级
local-user huawei service-type telnet 配置远程登录的huawei帐号属性为telnet
HRP_M[Eudemon]user-interface vty 0 4 进入vty 视图
authentication-mode aaa 应用aaa 认证 (上面是在aaa下设置的帐号密码等,需要在对应的终端下应用)
2,基本查看命令
display current 查看当前所有的配置(相当于cisco设备中的show run 命令)
display current interface GigabitEthernet6/0/0 查看G6/0/0下当前接口的配置
display current interface vlan 100 查看vlan100下当前配置
display ip routing-table 查看路由表