篇首语:
内部网络划分几个不同的Vlan,USG 外网口为GE0/0/0(建议用0/0/0作为外网口),内网口为GE0/0/1,IP:192.168.10.1/24。内部网络通过AD拨号上网。
需要在USG上配置,实现以下功能:
1、 VLAN11下的PC和特定的某些IP能够上网;其余VLAN 不能上网,但是可以访问内部服务器VLAN2;
2、 PC的IP是采用手动配置,暂时不用做DHCP。核心交换机S5700上已经配置了到防火墙GE0/0/1的静态路由:ip route-static 0.0.0.0 0.0.0.0 192.168.10.1,可以ping通USG2210防火墙。
3、 内部网络已经调通,各个vlan之间可以相互访问。所以现在不用理会内网配置,只需要在USG上配置使得VLAN11下的PC和某些特定的IP可以正常上网
<USG2210>dis cuêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#配置ACL规则,创建访问列表,只允许VLAN 11网段或特定地址的电脑上网,其它电脑不能上网êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
acl number 2000êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
rule 5 permit source 192.168.11.0 0.0.0.255 logging //允许VLAN 11 上网êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
rule 10 permit source 192.168.3.106 0 logging //允许特定IP:192.168.3.106上网êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
rule 15 deny //拒绝其他网段的PC上网êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
sysname USG2210
web-manager enableêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
info-center timestamp debugging dateêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#配置防火墙的缺省过滤动作为允许数据包通过,应用于所有域间êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#原命令为firewall packet-filter default permit all,输入后变为以下详细内容:êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall packet-filter default permit interzone local trust direction inboundêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall packet-filter default permit interzone local trust direction outboundêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall packet-filter default permit interzone local untrust direction inboundêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall packet-filter default permit interzone local untrust direction outboundêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall packet-filter default permit interzone local dmz direction inboundêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall packet-filter default permit interzone local dmz direction outboundêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall packet-filter default permit interzone trust untrust direction inboundêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall packet-filter default permit interzone trust untrust direction outboundêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall packet-filter default permit interzone trust dmz direction inboundêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall packet-filter default permit interzone trust dmz direction outboundêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall packet-filter default permit interzone dmz untrust direction inboundêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall packet-filter default permit interzone dmz untrust direction outboundêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#防火墙的黑名单过滤类型为以下协议(这个不要打,不用开启黑名单过滤)êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall blacklist filter-type icmp 只能输入这个命令:firewall blacklist enable
filter-type icmpêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall blacklist filter-type tcpêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall blacklist filter-type udpêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall blacklist filter-type othersêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#开启防火墙的流量监控统计功能,但本配置未指定日志服务器êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall statistic system enableêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#防火墙接电信的端口IP,从运营商处获取êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
inte**ce GigabitEthernet0/0/0êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
description link to wanêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#防火墙接内网华为5700交换机的端口IPêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
inte**ce GigabitEthernet0/0/1êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
description link to lanêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
ip address 192.168.10.1 255.255.255.0êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
inte**ce NULL0êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall zone localêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#内网口加入可信区êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall zone trust êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
set priority 85êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
add inte**ce GigabitEthernet0/0/1êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#外网口加入不可信区êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall zone untrustêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
add inte**ce GigabitEthernet0/0/0êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall zone dmzêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
set priority 50//这个不能更改
êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#设置TELNET的方法,并且配置VTY(Virtual Type Terminal)用户接口的验证方式为AAA,Telnet用户名为admin,êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#口令为密文方式(cipher) password1,级别为level 3,设定授权方案表名称为default。êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
aaaêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
local-user admin password cipher password1êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
local-user admin service-type telnet
local-user admin service-type http //允许web访问êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
local-user admin level 3êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
authentication-scheme defaultêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
authorization-scheme defaultêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#配置计费方案名称为defaultêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
accounting-scheme defaultêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#缺省的域名称为default,所有没有指定域的用户都属于这个default域 êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
domain defaultêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#配置回程静态路由,回内网的下一跳为192.168.10.254(与华为5700三层交换机GE0/0/1接口相接,该接口属于VLAN 10 的虚拟IP:192.168.10.254)êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
ip route-static 192.168.11.0 255.255.255.0 192.168.10.254êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
user-inte**ce con 0êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#VTY(virtual type terminal) 虚拟终端连接,欲配置的第一个用户终端接口0,欲配置的最后一个用户终端接口4,配置用户终端接口的认证方式êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#为AAA(认证、授权、计费) ,inbound方向协议为telnetêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
user-inte**ce vty 0 4êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
authentication-mode aaaêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
protocol inbound telnetêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
本文出自 “东里郎” 博客,谢绝转载!