usg2210,2212,2220,配置01-03 配置NAT
华为USG防火墙和H3C三层交换机设备组网配置简述.docx
一.USG6350防火墙 1.根据设置向导配置完毕即可正常上网。 2.增加策略路由-(影响外网端口) 3.增加静态路由(目的是让哪个网段上网) 内网地址的下一跳是三层交换机与防火墙连接的端口地址 4.对指定服务器进行端口映射
5.对指定网段进行限速,保证服务器有可靠的带宽,不至于被其他网段抢占全部带宽。 本项目全部带宽是100M,因为有一个无线网,限定无线网最大占用50M (1)新建一个带宽通道 (2)指定网段应用于带宽通道的策略规则 二、三层交换机-H3C-S5800-32C 现场需求是有办公电脑,服务器、视频服务器,计划分成4个网段,分别为172.26.11.0/172.26.12.0/172.26.13.0/172.26.14.0/ 14段备用。 规划:VLAN100为172.26.10.253 port1-2 与防火墙172.26.10.254 连接 VLAN101为172.26.11.254 port 3-8 与服务器连接 VLAN102为172.26.12.254 port 9-12 与客户机连接 VLAN103为172.26.13.254 port 13-18 与视频服务器连接 VLAN104为172.26.14.254 port 19-24 备用 1.笔记本连接三层交换机配置口,进入命令行配置模式 简述步骤:(1)设备改名创建用户和密码(2)创建VLAN,指定某端口属于这个VLAN (3)指定每个VLAN的网关(4)增加一条路由 2.Sys
Sysname H3C-5800 telnet server enable Local-user admin Password cipher #####(此处#是输入密码) Authorization-attribute level 3 Service-type ssh telnet VLAN 100 Port G1/0/1 TO G1/0/2 Quit Vlan 101 Port g1/0/3 to g1/0/8 Quit VLAN 102 Port G1/0/9 TO G1/0/12 Quit Vlan 103 Port g1/0/13 to g1/0/18 Quit Vlan 104 Port g1/0/19 to g1/0/24 Quit Interface Vlan-interface 100 Ip address 172.26.10.253 255.255.255.0 Quit Interface Vlan-interface 101 Ip address 172.26.11.254 255.255.255.0 Quit Interface Vlan-interface 102 Ip address 172.26.12.254 255.255.255.0 Quit Interface Vlan-interface 103 Ip address 172.26.13.254 255.255.255.0 Quit Interface Vlan-interface 104 Ip address 172.26.14.254 255.255.255.0 Quit Ip route-static 0.0.0.0 0.0.0.0 172.26.10.254 Dhcp enable(开通dhcp) Dhcp server ip-pool 9 Network 172.26.12.0 mask 255.255.255.0 Gateway-list 172.26.12.254 Dns-list 8.8.8.8(根据实际修改) Quit 红色字体为9口开通DHCP,可根据实际需求
华为防火墙2110调试
防火墙说明文档 一 使用串口转USB加串口转网口组合,网口在防火墙端接入console口,在笔记本电脑中打开CRT选择端口后,链接到防火墙配置 输入dis cu 查看防火墙基本配置,按住空格显示更多配置,查看完后输入sys 进入配置[USG2110]抬头下进行网口配置 输入interface ethernet1/0/0/6 表示进入LAN6口的端口 具体端口表示多少号需要在查询防火墙配置中找到相关端口名称例如1/0/1或者2/0/0等如果该端口没有网线接口使用需要关闭接口 输入shutdown就可以成功关闭端口
然后用一根网线用笔记本接入到LAN1口,LAN1口是进入WEB配置界面的口,通常情况下不要当做通讯接口使用。 在前面查询防火墙配置的时候就能看的WEB界面的IP端口,通常都是192.168.0.1 (不要以下图IP为例) 用户名admin 密码Admin@123 进入之后首先修改密码进入左侧的“系统”——“管理员”——“管理员”点击修改将密码统一改为Fglyc_01 “应用”“返回”
进入左侧的“网络”——安全区域——安全区域点trust的修改按钮 在描述中填入描述例如此防火墙用于一二区就填“安全一区”并将不用的lan 口选中并删除留需要用lan口的和lan7口lan7口用于调试 然后点“应用”、“返回”
同样方法修改untrust区域如果多条链路接口不够用也可以增加lan口到untrust区
再进入左侧“网络”——“接口”-“接口”中修改wan0口 选择“交换”然后修改Access VLAN ID 为2 (lan0和wan0他们为一条通路时,将wan0和lan0都设同样的值就可以,这里设置为2)然后“应用”“返回”
华为USG防火墙配置完整版
华为U S G防火墙配置 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
华为USG2000防火墙配置 USG2000防火墙基本设置: 外观 1个调试口(CONSOLE); 2个以太网口(GE0/0/0和GE0/0/1,电口或者SFP光口任取一); 1个reset按钮(操作不当访问不到防火墙时初始化出厂配置)。 初始配置 GE0/0/0配置为路由接口,IP地址为 防火墙访问IP为,登录用户名admin,密码Admin@123 USG2000防火墙配置过程中注意事项: 接口配置时,不要操作当前连接的端口,否则可能导致防火墙无法连接的情况。 这种情况下需要按‘reset’按钮初始化出厂配置。
USG2000防火墙配置步骤 一、配置防火墙的网络接口 1.连接GE0/0/0端口,访问登录防火墙。 登录过程中出现证书错误,点击‘继续浏览此网站’继续。 输入用户名admin密码Admin@123登录防火墙。 登录后,弹出修改用户的初始密码的提示及快速向导。初始密码尽量不要修改。快速向导适于配置路由器模式,不适合I区和II区之间,直接点取消。 以上为USG2000基本配置界面。 现场配置所需要用到的只有网络和防火墙两个主菜单。 2.配置GE0/0/1端口 选择菜单网络/接口,在GE0/0/1行最后点配置。 别名设置‘安全II区端口’,选择模式‘交换’,连接类型选择为 ‘access’,点击应用。 3.添加Vlan接口 在接口页面中,点击新加,接口名称设置为‘配置接口’,类型设置为‘VLAN’,VALN ID设置为‘1’,接口成员选择‘GE0/0/1’,连接类型设置为‘静态IP’,IP地址设置为‘’,子网掩码设置为‘’,最后点击应用。如下图所示 4.按照配置GE0/0/1的方法,配置GE0/0/0,将别名设为‘安全I 区端口’。 注意:配置完成后,点击应用后,由于GE0/0/0的IP地址已变更,将无法访问到。 5.关闭所有浏览器页面,然后重新开启浏览器,连接GE0/0/0,访 问。 修改刚添加的‘配置接口’的Vlan端口,将GE0/0/0添加到接口
华为USG防火墙配置
华为USG2000防火墙配置 USG2000防火墙基本设置: 外观 1个调试口(CONSOLE); 2个以太网口(GE0/0/0和GE0/0/1,电口或者SFP光口任取一); 1个reset按钮(操作不当访问不到防火墙时初始化出厂配置)。 初始配置 GE0/0/0配置为路由接口,IP地址为192.168.0.1 防火墙访问IP为192.168.0.1,登录用户名admin,密码Admin@123 USG2000防火墙配置过程中注意事项: 接口配置时,不要操作当前连接的端口,否则可能导致防火墙无法连接的情况。 这种情况下需要按‘reset’按钮初始化出厂配置。
USG2000防火墙配置步骤 一、配置防火墙的网络接口 1.连接GE0/0/0端口,访问19 2.168.0.1登录防火墙。 登录过程中出现证书错误,点击‘继续浏览此网站’继续。
输入用户名admin密码Admin@123登录防火墙。 登录后,弹出修改用户的初始密码的提示及快速向导。初始密码尽量不要修改。快速向导适于配置路由器模式,不适合I区和II区之间,直接点取消。
以上为USG2000基本配置界面。 现场配置所需要用到的只有网络和防火墙两个主菜单。 2.配置GE0/0/1端口 选择菜单网络/接口,在GE0/0/1行最后点配置。
别名设置‘安全II区端口’,选择模式‘交换’,连接类型选择为‘access’,点击应用。 3.添加Vlan接口 在接口页面中,点击新加,接口名称设置为‘配置接口’,类型设置为‘VLAN’,VALN ID 设置为‘1’,接口成员选择‘GE0/0/1’,连接类型设置为‘静态IP’,IP地址设置为‘192.168.1.100’,子网掩码设置为‘255.255.0.0’,最后点击应用。如下图所示 4.按照配置GE0/0/1的方法,配置GE0/0/0,将别名设为‘安全I区端口’。 注意:配置完成后,点击应用后,由于GE0/0/0的IP地址已变更,将无法访问到192.168.0.1。 5.关闭所有浏览器页面,然后重新开启浏览器,连接GE0/0/0,访问192.168.1.100。 修改刚添加的‘配置接口’的Vlan端口,将GE0/0/0添加到接口成员中。
华为防火墙USG配置
内网: 配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 外网: 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 DMZ: [USG5300] firewall zone dmz [USG5300-zone-untrust] add interface GigabitEthernet 0/0/3 [USG5300-zone-untrust] quit 1.4.1 Trust和Untrust域间:允许内网用户访问公网 policy 1:允许源地址为10.10.10.0/24的网段的报文通过 [USG5300] policy interzone trust untrust outbound [USG5300-policy-interzone-trust-untrust-outbound] policy 1 [USG5300-policy-interzone-trust-untrust-outbound-1] policy source 10.10.10.0 0.0.0.255 [USG5300-policy-interzone-trust-untrust-outbound-1] action permit [USG5300-policy-interzone-trust-untrust-outbound-1] quit 如果是允许所有的内网地址上公网可以用以下命令:
华为路由器防火墙配置命令详细解释
一、access-list 用于创建访问规则。 (1)创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] (2)创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] (3)删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。
listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。 operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较
华为防火墙配置
防火墙配置:
华为防火墙双机热备配置及组网(DOC)
防火墙双机热备配置及组网指导 防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。 1 1:防火墙双机热备命令行说明 防火墙的双机热备的配置主要涉及到HRP的配置,VGMP的配置,以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。 1.1 1.1 HRP命令行配置说明 HRP是华为的冗余备份协议,Eudemon 防火墙使用此协议进行备份组网,达到链路状态备份的目的,从而保证在设备发生故障的时候业务正常。 HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的;VGMP是华为的私有协议,主要是用来管理VRRP的,VGMP也是华为的私有协议,是在VRRP的基础上进行扩展得到的。不管是VGMP的报文,还是HRP的报文,都是VRRP的报文,只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文。 在Eudemon防火墙上,hrp的作用主要是备份防火墙的会话表,备份防火墙的servermap 表,备份防火墙的黑名单,备份防火墙的配置,以及备份ASPF模块中的公私网地址映射表和上层会话表等。 两台防火墙正确配置VRRP,VGMP,以及HRP之后,将会形成主备关系,这个时候防火墙的命令行上会自动显示防火墙状态是主还是备,如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状态,不可能出现两台都为主状态或者都是备状态的。 在防火墙的HRP形成主备之后,我们称HRP的主备状态为HRP主或者是HRP备状态,在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括ACL,接口加入域等,但其中一些命令行是不会从主防火墙上备份到备防火墙上。 HRP的配置命令的功能和使用介绍如下: ★ hrp enable :HRP使能命令,使能HRP之后防火墙将形成主备状态。 ★ hrp configuration check acl :检查主备防火墙两端的ACL的配置是否一致。执行此命令之后,主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。
华为USG防火墙配置实例脚本-PPPOE
华为USG防火墙配置实例脚本-PPPOE PPPOE分两部分: PPPOE-Server(例如ADSL局端)和PPPoE Client(ADSL拨号上网。客户端)PPPOE-Server: G0/0接WAN、G0/1接局域网。客户端通过PPPOE拨号拿IP上网。 公网IP 129.7.66.2/24、网关129.7.66.1,局域网拨到拿1.1.1.2/8-100的IP 典型应用:小区宽带、酒店等。 ============================ firewall mode route interface GigabitEthernet 0/0 ip address 129.7.66.2 24 ip route-static 0.0.0.0 0.0.0.0 129.7.66.1 firewall zone trust add interface GigabitEthernet 0/1 firewall zone untrust add interface GigabitEthernet 0/0 firewall packet-filter default permit all #------------------------------------ interface Virtual-Template 1 ppp authentication-mode pap ip address 1.1.1.1 255.0.0.0 remote address pool 1 firewall zone trust add interface Virtual-Template 1 interface GigabitEthernet 0/1 pppoe-server bind Virtual-Template 1 #------------------------------------ aaa local-user usg3000 password simple usg3000 ip pool 1 1.1.1.2 1.1.1.100 #----------------------------------- acl 2001 rule 0 permit source 1.1.1.0 0.255.255.255 firewall interzone trust untrust nat outbound 2001
华为防火墙部署及配置指南
防火墙二层模式部署在互联网出口,运行在双机热备的主备模式下。上连出口网关路由器,下连入侵防御系统,对接沙箱和CIS ,按等保三级“安全区域边界”相关控制点配置策略。 CIS 、SecoManager 一般部署在“运维管理区”,如果用户网络没有按分域架构部署,CIS 、SecoManager 可直接连接核心交换机,保证USG 和CIS 、SecoManager 路由可达即可。 1 防火墙部署及配置指南1.1 方案描述
1.2 网络规划
1.3 配置思路 1.完成防火墙基本网络配置,包括接口和安全区域。 2.配置防火墙双机。 3.配置安全策略,放通OSPF协议流量和内部服务器对外提供服务的流量,禁止其 他流量通过。 4.配置路由器和交换机OSPF。数据规划参考2.2.2 网络规划,配置操作请参考相关 路由器与交换机产品文档。 5.参考本手册后续章节完成与FireHunter、SecManager、CIS、日志服务器的对接和 业务配置。 1.4 配置详情 1.完成网络基本配置。
2.配置双机热备功能。 3.在FW_A上配置安全策略。双机热备状态成功建立后,FW_A的安全策略配置会 自动备份到FW_B上。 # 配置安全策略,允许上下行路由器交互的OSPF报文通过FW。
当FW的业务接口工作在二层时,上下行设备之间的OSPF报文需要通过FW。OSPF报文受 firewall packet-filter basic-protocol enable命令控制。缺省情况下,firewall packet-filter basic- protocol enable处于开启状态,即OSPF报文受安全策略控制,需要在上行业务接口所在安全区 域与下行业务接口所在安全区域之间配置安全策略,允许协议类型为OSPF的报文通过。本例以 firewall packet-filter basic-protocol enable开启为例进行介绍。 HRP_M[FW_A] security-policy HRP_M[FW_A-policy-security] rule name policy_ospf_1 HRP_M[FW_A-policy-security-rule-policy_ospf_1] source-zone trust HRP_M[FW_A-policy-security-rule-policy_ospf_1] destination-zone untrust HRP_M[FW_A-policy-security-rule-policy_ospf_1] source-address 10.3.0.1 32 HRP_M[FW_A-policy-security-rule-policy_ospf_1] source-address 10.3.1.1 32 HRP_M[FW_A-policy-security-rule-policy_ospf_1] destination-address 10.3.0.2 32 HRP_M[FW_A-policy-security-rule-policy_ospf_1] destination-address 10.3.1.2 32 HRP_M[FW_A-policy-security-rule-policy_ospf_1] action permit HRP_M[FW_A-policy-security-rule-policy_ospf_1] quit HRP_M[FW_A-policy-security] rule name policy_ospf_2 HRP_M[FW_A-policy-security-rule-policy_ospf_2] source-zone untrust HRP_M[FW_A-policy-security-rule-policy_ospf_2] destination-zone trust HRP_M[FW_A-policy-security-rule-policy_ospf_2] source-address 10.3.0.2 32 HRP_M[FW_A-policy-security-rule-policy_ospf_2] source-address 10.3.1.2 32 HRP_M[FW_A-policy-security-rule-policy_ospf_2] destination-address 10.3.0.1 32 HRP_M[FW_A-policy-security-rule-policy_ospf_2] destination-address 10.3.1.1 32 HRP_M[FW_A-policy-security-rule-policy_ospf_2] action permit HRP_M[FW_A-policy-security-rule-policy_ospf_2] quit # 配置安全策略,允许外部访问内部服务器的服务端口。 HRP_M[FW_A] security-policy HRP_M[FW_A-policy-security] rule name service HRP_M[FW_A-policy-security-rule-policy_ospf_1] source-zone untrust HRP_M[FW_A-policy-security-rule-policy_ospf_1] destination-zone trust HRP_M[FW_A-policy-security-rule-policy_ospf_1] destination-address 192.168.0.100 32 HRP_M[FW_A-policy-security-rule-policy_ospf_1] service protocol tcp destination-port 8081 HRP_M[FW_A-policy-security-rule-policy_ospf_1] action permit HRP_M[FW_A-policy-security-rule-policy_ospf_1] quit 1.5 使用限制及注意事项 本场景中用到防火墙各功能特性的使用限制及注意事项详见防火墙产品文档。
最新整理华为usg防火墙基本配置命令有哪些
华为u s g防火墙基本配置命令有哪些防火墙是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。下面是学习啦小编给大家整理的一些有关华为u s g 防火墙基本配置命令,希望对大家有帮助! 华为u s g防火墙基本配置命令登陆缺省配置的防火墙并修改防火墙的名称 防火墙和路由器一样,有一个C o n s o l e接口。使用c o n s o l e线缆将c o n s o l e接口和计算机的c o m口连接在一块。使用w i n d o w s操作系统自带的超级终端软件,即可连接到防火墙。 防火墙的缺省配置中,包括了用户名和密码。其中用户名为a d m i n、密码A d m i n@123,所以登录时需要输入用户名和密码信息,输入时注意区分大小写。 修改防火墙的名称的方法与修改路由器名称的方法一致。 另外需要注意的是,由于防火墙和路由器同样使用了V R P平台操作系统,所以在命令级别、命令帮助等,
与路由器上相应操作相同。 s y s 13:47:282014/07/04 E n t e r s y s t e m v i e w, r e t u r n u s e r v i e w w i t h C t r l+Z. [S R G]s y s n a m e F W 13:47:322014/07/04 修改防火墙的时间和时区信息 默认情况下防火墙没有定义时区,系统保存的时间和实际时间可能不符。使用时应该根据实际的情况定义时间和时区信息。实验中我们将时区定义到东八区,并定义标准时间。 c l o c k t i m e z o n e1a d d08:00:00 13:50:572014/07/04 d i s c l o c k 21:51:152014/07/03 2014-07-0321:51:15 T h u r s d a y T i m e Z o n e:1a d d08:00:00 c l o c k d a t e t i m e13:53:442014/07/04 21:53:292014/07/03
华为防火墙设置
用户名:admin 密码;Admin@123 第一次配制时,可以设置本地IP自动获取。也可以设置成IP 192.168.0.X/255.255.255.0 (x=2-254) 防火墙的IP: 192.168.0.1 配制如下: # sysname USG2130 # web-manager enable # info-center source default channel 4 log level notifications # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound # firewall permit sub-ip # dhcp enable # firewall mode route # firewall statistic system enable # set runmode firewall # interface Cellular5/0/0 link-protocol ppp # vlan 1 # interface Vlanif1 ip address 192.168.0.1 255.255.255.0 dhcp select interface # interface Ethernet0/0/0 # interface Ethernet1/0/0 # interface Ethernet1/0/1 # interface Ethernet1/0/2 # interface Ethernet1/0/3 #
华为USG防火墙运维命令大全
华为USG防火墙运维命令大全 1查会话 使用场合 针对可以建会话的报文,可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙。 命令介绍(命令类) display firewall session table [ verbose ] { source { inside X.X.X.X | global X.X.X.X } | destination { inside X.X.X.X | global X.X.X.X } } [ source-vpn-instance { STRING<1-19> | public } | dest-vpn-instance { STRING<1-19> | public } ] [ application { gtp | ftp | h323 | http | hwcc | ras | mgcp | dns | pptp | qq | rtsp | ils | smtp | sip | nbt | stun | rpc | sqlnet | mms } ] [ nat ] [ destination-port INTEGER<1-65535> ] [ long-link ] 使用方法(工具类) 首先确定该五元组是否建会话,对于TCP/UDP/ICMP(ICMP只有echo request和echo reply建会话)/GRE/ESP/AH的报文防火墙会建会话,其它比如SCTP/OSPF/VRRP等报文防火墙不建会话。如果会话已经建立,并且一直有后续报文命中刷新,基本可以排除防 火墙的问题,除非碰到来回路径不一致情况,需要关闭状态检测。如果没有对应的五元组会话或者对于不建会话的报文,继续后续排 查方法。 Global:表示在做NAT时转换后的IP。 Inside:表示在做NAT时转换前的IP。 使用示例
华为防火墙配置使用手册(自己写)
华为防火墙配置使用手册(自己写) 华为防火墙配置使用手册防火墙默认的管理接口为g0/0/0,默认的ip地址为/24,默认g0/0/0接口开启了dhcp server,默认用户名为admin,默认密码为Admin@123 一、配置案例拓扑图GE 0/0/1:/24 GE 0/0/2:/24 GE 0/0/3:/24 WWW服务器:/24 FTP服务器:/24 Telnet配置配置VTY 的优先级为3,基于密码验证。# 进入系统视图。system-view # 进入用户界面视图[USG5300] user-interface vty 0 4 # 设置用户界面能够访问的命令级别为level 3 [USG5300-ui-vty0-4] user privilege level 3 配置Password验证# 配置验证方式为Password验证[USG5300-ui-vty0-4] authentication-mode password # 配置验证密码为lantian [USG5300-ui-vty0-4] set authentication
password simple lantian ###最新版本的命令是authentication-mode password cipher huawei@123 配置空闲断开连接时间# 设置超时为30分钟[USG5300-ui-vty0-4] idle-timeout 30 [USG5300] firewall packet-filter default permit interzone untrust local direction inbound //不加这个从公网不能telnet防火墙。基于用户名和密码验证user-interface vty 0 4 authentication-mode aaa aaa local-user admin password cipher ]MQ;4\\]B+4Z,YWX*NZ55OA!! local-user admin service-type telnet local-user admin level 3 firewall packet-filter default permit interzone untrust local direction inbound 如果不开放trust域到local域的缺省包过滤,那么从内网也不能telnet的防火墙,但是默认情况下已经开放了trust域到local 域的缺省包过滤。地址配置内网:进入GigabitEthernet 0/0/1