华赛防火墙USG2110通过ASDL上网配置脚本全接触(一)

篇首语:

摸索了一天,才把这个配置作出来。在此要感谢华赛工程师的帮助。

网络拓扑:

 

拓扑环境说明:

内部网络划分几个不同的VlanUSG 外网口为GE0/0/0(建议用0/0/0作为外网口),内网口为GE0/0/1IP192.168.10.1/24。内部网络通过AD拨号上网。

 

需要在USG上配置,实现以下功能:

1、  VLAN11下的PC和特定的某些IP能够上网;其余VLAN 不能上网,但是可以访问内部服务器VLAN2

2、  PCIP是采用手动配置,暂时不用做DHCP。核心交换机S5700上已经配置了到防火墙GE0/0/1的静态路由:ip route-static  0.0.0.0  0.0.0.0  192.168.10.1,可以pingUSG2210防火墙。

3、  内部网络已经调通,各个vlan之间可以相互访问。所以现在不用理会内网配置,只需要在USG上配置使得VLAN11下的PC和某些特定的IP可以正常上网

 

USG 2210 005版本)配置脚本:

<USG2210>dis cuêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#
配置ACL规则,创建访问列表,只允许VLAN 11网段或特定地址的电脑上网,其它电脑不能上网êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
acl number 2000
êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZêš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
rule 5 permit source 192.168.11.0  0.0.0.255 logging //
允许VLAN 11 上网êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZêš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
rule 10 permit source 192.168.3.106  0 logging  //
允许特定IP192.168.3.106上网êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
rule 15 deny  //
拒绝其他网段的PC上网êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
#êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
sysname USG2210

web-manager enableêš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
#
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
info-center timestamp debugging date
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
#
配置防火墙的缺省过滤动作为允许数据包通过,应用于所有域间êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#
原命令为firewall packet-filter default permit all,输入后变为以下详细内容:êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall packet-filter default permit interzone local trust direction inbound
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
firewall packet-filter default permit interzone local trust direction outbound
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
firewall packet-filter default permit interzone local untrust direction inbound
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
firewall packet-filter default permit interzone local untrust direction outbound
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
firewall packet-filter default permit interzone local dmz direction inbound
êš×ô±hØbbs.huaweisymantec.comû>ZÆßCZ
firewall packet-filter default permit interzone local dmz direction outbound
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
firewall packet-filter default permit interzone trust untrust direction inbound
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
firewall packet-filter default permit interzone trust untrust direction outbound
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
firewall packet-filter default permit interzone trust dmz direction inbound
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
firewall packet-filter default permit interzone trust dmz direction outbound
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
firewall packet-filter default permit interzone dmz untrust direction inbound
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
firewall packet-filter default permit interzone dmz untrust direction outbound
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
#
防火墙的黑名单过滤类型为以下协议(这个不要打,不用开启黑名单过滤)êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall blacklist filter-type icmp   
只能输入这个命令:firewall blacklist enable

filter-type icmpêš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
firewall blacklist filter-type tcp
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
firewall blacklist filter-type udp
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
firewall blacklist filter-type others
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
#
开启防火墙的流量监控统计功能,但本配置未指定日志服务器êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall statistic system enable
êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#
防火墙接电信的端口IP,从运营商处获取êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
inte**ce GigabitEthernet0/0/0
êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
description link to wan
êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#
防火墙接内网华为5700交换机的端口IPêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
inte**ce GigabitEthernet0/0/1
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
description link to lan
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
ip address 192.168.10.1  255.255.255.0
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
#
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
inte**ce NULL0
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
#
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
firewall zone local
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZêš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
#
内网口加入可信区êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall zone trust                     
êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
set priority 85
êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
add inte**ce GigabitEthernet0/0/1
êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#
外网口加入不可信区êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall zone untrust
êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
add inte**ce GigabitEthernet0/0/0
êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#
êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
firewall zone dmz
êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
set priority 50//
这个不能更改

êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#
设置TELNET的方法,并且配置VTYVirtual Type Terminal)用户接口的验证方式为AAATelnet用户名为adminêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#
口令为密文方式(cipher) password1,级别为level 3,设定授权方案表名称为defaultêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
aaa
êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
local-user admin password cipher password1
êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
local-user admin service-type telnet

local-user admin service-type http   //允许web访问êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
local-user admin level 3
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
authentication-scheme default
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
#
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
authorization-scheme default
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
#
配置计费方案名称为defaultêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
accounting-scheme default
êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#
缺省的域名称为default,所有没有指定域的用户都属于这个default                                        êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
domain default
êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#
êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#
配置回程静态路由,回内网的下一跳为192.168.10.254(与华为5700三层交换机GE0/0/1接口相接,该接口属于VLAN 10 的虚拟IP192.168.10.254êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
ip route-static 192.168.11.0 255.255.255.0 192.168.10.254
êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
user-inte**ce con 0
êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#VTY(virtual type terminal)
虚拟终端连接,欲配置的第一个用户终端接口0,欲配置的最后一个用户终端接口4,配置用户终端接口的认证方式êš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
#
AAA(认证、授权、计费) ,inbound方向协议为telnetêš×ô‚±hØbbs.huaweisymantec.comû>ZƉßCZ
user-inte**ce vty 0 4
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
authentication-mode aaa
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
protocol inbound telnet
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ
#
êš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZêš×ô‚±hØbbs.huaweisymantec.comû>ZÆßCZ

 

 

本文出自 “东里郎” 博客,谢绝转载!

你可能感兴趣的:(职场,上网,休闲,adsl,USG2110)