华为防火墙NAT综合配置

华为防火墙NAT综合配置
1.1 问题
只有PC可以telnet到防火墙，ISP不能telnet防火墙
配置安全策略和服务器发布，使Client1可以访问Server1的HTTP服务
配置安全策略和Easy IP，使Server1通过地址转换ping通PC
1.2 方案
搭建实验环境，如图-1所示。

图-1

1.3 步骤
实现此案例需要按照如下步骤进行。

1）只有PC可以telnet到防火墙（ISP不能telnet防火墙）

telnet server enable
interface GigabitEthernet1/0/0
 ip address 200.1.1.1 255.255.255.252
 service-manage telnet permit
interface GigabitEthernet1/0/1
 ip address 192.168.1.254 255.255.255.0
firewall zone trust
 add interface GigabitEthernet1/0/1
firewall zone untrust
 add interface GigabitEthernet1/0/0
aaa
 manager-user admin
 password cipher hao123.com
 service-type web telnet
 level 15
user-interface vty 0 4
 authentication-mode aaa
 protocol inbound all
ip route-s 0.0.0.0 0.0.0.0 200.1.1.2
测试：PC可以telnet防火墙；ISP也可以telnet防火墙。
acl 2000
 rule 5 permit source 200.2.2.1 0
user-interface vty 0 4
 acl 2000 inbound

测试：PC可以telnet防火墙；ISP不能telnet防火墙。
2）配置安全策略和服务器发布

使Client1可以访问Server1的HTTP服务（但Client1不能ping通Server1）。

配置安全策略和服务器发布，如图-2和图-3所示。

图-2

图-3

3）配置安全策略和Easy IP

配置安全策略和Easy IP，使Server1通过地址转换ping通PC（模拟上网），如图-4和图-5所示。

图-4

图-5