首页 > 其他分享 >华为防火墙小型企业边界网关配置实例

华为防火墙小型企业边界网关配置实例

时间:2022-11-26 21:46:52浏览次数:52  
标签:网关 小型企业 GigabitEthernet0 防火墙 192.168 255.255 source trunk interface

组网及规划:

华为USG6000作为边界网关实现企业内部网络出口,防火墙实现内部网络NAT功能实现访问Internet功能

实现公司财务部门访问内网服务器。

办公网络不能访问内网服务器,

办公室及财务部均可以访问外网。

外部网络可以通过NatServer实现外部网络通过8080端口访问内网服务器80端口。

网络规划:办公网地址段:192.168.10.0/24 VLAN:10

财务地址段:192.168.20.0/24 VLAN:20

服务器地址段:192.168.200.0/24

运营商固定IP地址:202.1.1.1/24

网络组网见下图:

 

办公接入交换机配置:

sysname BanGong

#

vlan batch 10

#

interface Eth-Trunk1

port link-type trunk

port trunk allow-pass vlan 10

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 10

interface GigabitEthernet0/0/23

eth-trunk 1

#

interface GigabitEthernet0/0/24

eth-trunk 1

财务接入交换机配置:

sysname CaiWu

#

vlan batch 20

interface Eth-Trunk1

port link-type trunk

port trunk allow-pass vlan 20

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 20

interface GigabitEthernet0/0/23

eth-trunk 1

#

interface GigabitEthernet0/0/24

eth-trunk 1

#

核心交换机配置:

sysname SW

#

undo info-center enable

#

vlan batch 10 20 100

#

interface Vlanif10

ip address 192.168.10.254 255.255.255.0

#

interface Vlanif20

ip address 192.168.20.254 255.255.255.0

#

interface Vlanif100

ip address 192.168.100.1 255.255.255.0

#

interface Eth-Trunk1

port link-type trunk

port trunk allow-pass vlan 10

#

interface Eth-Trunk2

port link-type trunk

port trunk allow-pass vlan 20

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 100

interface GigabitEthernet0/0/21

eth-trunk 2

#

interface GigabitEthernet0/0/22

eth-trunk 2

#

interface GigabitEthernet0/0/23

eth-trunk 1

#

interface GigabitEthernet0/0/24

eth-trunk 1

#

ip route-static 0.0.0.0 0.0.0.0 192.168.100.2

#

防火墙配置:

acl number 2000

rule 5 permit source 192.168.10.0 0.0.0.255

#

interface GigabitEthernet0/0/0

undo shutdown

ip address 202.1.1.1 255.255.255.0

#

interface GigabitEthernet1/0/0

undo shutdown

ip address 192.168.100.2 255.255.255.0

#

interface GigabitEthernet1/0/1

undo shutdown

ip address 192.168.200.254 255.255.255.0

#

firewall zone local

set priority 100

#

firewall zone trust

set priority 85

add interface GigabitEthernet1/0/0

#

firewall zone untrust

set priority 5

add interface GigabitEthernet0/0/0

#

firewall zone dmz

set priority 50

add interface GigabitEthernet1/0/1

#

ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0 202.1.1.2

ip route-static 192.168.10.0 255.255.255.0 192.168.100.1

ip route-static 192.168.20.0 255.255.255.0 192.168.100.1

#

nat server 0 protocol tcp global 202.1.1.1 8080 inside 192.168.200.1 www

#

security-policy

rule name policy_ses_1

source-zone trust

destination-zone untrust

source-address 192.168.10.0 mask 255.255.255.0

action permit

rule name policy_ses_2

source-zone trust

destination-zone dmz

source-address 192.168.20.0 mask 255.255.255.0

action permit

rule name policy_ses_3

source-zone trust

destination-zone untrust

source-address 192.168.20.0 mask 255.255.255.0

action permit

rule name Untrust_DMA

source-zone untrust

destination-zone dmz

destination-address 192.168.200.1 mask 255.255.255.255

action permit

#

nat-policy

rule name policy_nat_1

source-zone trust

egress-interface GigabitEthernet0/0/0

source-address 192.168.10.0 mask 255.255.255.0

action source-nat easy-ip

rule name policy_nat_2

source-zone trust

egress-interface GigabitEthernet0/0/0

source-address 192.168.20.0 mask 255.255.255.0

action source-nat easy-ip

验证配置:办公PC可以访问Internet,不能访内网问服务器。 

 财务PC:可以访问Internet,也可以访问内网服务器。 

 外网PC可以通过NATSERVER实现访问内网服务器: 

标签:网关,小型企业,GigabitEthernet0,防火墙,192.168,255.255,source,trunk,interface
From: https://www.cnblogs.com/speednet/p/16928368.html

相关文章

  • iptables防火墙
    iptables命令-F清除链中所有规则-P为链设置一条默认策略或者目标-A为链增加一条规则说明-D从链中删除一条规则-L查看当前表中的链和规则一般上述命令均已sudo......
  • Centos6、Centos7、Centos8关闭防火墙
    一、centos6关闭防火墙1.service命令关闭防火墙:serviceiptablesstop开启防火墙:serviceiptablesstart重启防火墙:serviceiptablesrestart查看防火墙状态:servicei......
  • 和利时网关基本设置
    第一步:登录网关WEB界面 默认IP地址:192.168.1.248  默认用户名:admin  默认密码:admin 第二步:同步时钟设置    第三步:关闭防火墙   ......
  • PROFINET转EtherCAT网关方案设计
     1摘要PLC控制器和远程IO通过通讯的方式在目前的生产现场中越来越频繁;有些现场是控制器和远程IO站是统一的通讯协议,而有些现场会出现远程IO站不用协议的情况,主要是来自不......
  • 电梯物联网网关软硬件一体化解决方案
    电梯物联网监测平台,基于边缘计算智能监测设备全天候、全自动监测电梯的运行。通过采集电梯实时运行传感数据,建立运行状态关键数据标准,基于AI机器学习算法,采用大数据分析计算......
  • 【Spring Cloud实战】Spring Cloud GateWay服务网关
    gitee地址:https://gitee.com/javaxiaobear/spring-cloud_study.git在线阅读地址:https://javaxiaobear.gitee.io/官网:https://docs.spring.io/spring-cloud-gateway/docs/cu......
  • iptables防火墙限制 centos中有 firewalld selinux 还有 iptables
    1、出入战规则  2、firewallfirewall-cmd--permanent--zone=public--add-port=3306/tcp--permanent3、iptablesiptables-IINPUT-ptcp--dport3306......
  • Firewalld防火墙(二)
    拓扑图:推荐步骤:服务器客户端配置IP地址设置网络,安装apache服务启动服务设置主页启动防火墙服务接口添加指定区域,Web服务器启动防火墙服务接口添加指定区域 配置DMZ区域和ex......
  • 常用宝塔命令之宝塔关闭防火墙命令记录
    命令禁止防火墙进行调试。这里简单的把宝塔面板的防火墙关闭看看。顺带记录下宝塔面板的防火墙处理脚本。Centos6.xserviceiptablesstop#停止chkconfigiptableso......
  • SpringCloud网关设计
    1网关概念Gateway是在spring生态系统之上构建的API网关服务,网关是外网进入内网的入口,对内网服务起保护作用。2网关作用(1)反向代理:为保护内网服务的安全,通常不会暴露内......