您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 资本运营 > 华为USG6000全图化Web典型配置案例-图文Word版本
文档版本V4.0发布日期2016-01-20版权所有©华为技术有限公司2016。保留一切权利。本文档提及的所有商标或注册商标,由各自的所有人拥有。目录登录Web配置界面Example1:通过静态IP接入互联网Example2:通过PPPoE接入互联网Example3:内外网用户同时通过公网IP访问FTP服务器Example4:点到点IPSec隧道Example5:点到多点IPSec隧道(策略模板)Example6:客户端L2TPoverIPSec接入(VPNClient/Windows/MacOS/Android/iOS)Example7:SSLVPN隧道接入(网络扩展)Example8:基于用户的带宽管理Example9:应用控制(限制P2P流量、禁用QQ)341118263651117132142登录Web配置界面组网图缺省配置管理接口GE0/0/0192.168.0.*GE0/0/0192.168.0.1/24网口FirewallIP地址192.168.0.1/24用户名/密码admin/Admin@1231配置登录PC自动获取IP地址2在浏览器中输入https://接口IP地址:port3输入用户名/密码6~8Example1:通过静态IP接入互联网组网图局域网内所有PC都部署在10.3.0.0/24网段,均通过DHCP动态获得IP地址。企业从运营商处获取的固定IP地址为1.1.1.1/24。企业需利用防火墙接入互联网。项目数据说明DNS服务器1.2.2.2/24向运营商获取。网关地址1.1.1.254/24向运营商获取。Example1:通过静态IP接入互联网Step1配置接口21354配置外网接口参数6配置内网接口参数Example1:通过静态IP接入互联网Step2配置DHCP服务1234配置内网接口GE1/0/2的DHCP服务,使其为局域网内的PC分配IP地址Example1:通过静态IP接入互联网Step3配置安全策略2134配置允许内网IP地址访问外网Example1:通过静态IP接入互联网Step4新建源NAT31245新建源NAT,实现内网用户正常访问InternetExample1:通过静态IP接入互联网Step5结果验证1、检查接口GigabitEthernet1/0/1(上行链路)的连通性。1查看接口状态是否为Up。Example1:通过静态IP接入互联网Step5结果验证2、在内网PC上执行命令ipconfig/all,PC正确分配到IP地址和DNS地址。3、局域网内PC能通过域名访问Internet。Example2:通过PPPoE接入互联网组网图局域网内所有PC都部署在10.3.0.0/24网段,均通过DHCP动态获得IP地址。设备作为Client,通过PPPoE协议向Server(运营商设备)拨号后获得IP地址,实现接入Internet。项目数据说明GigabitEthernet1/0/1安全区域:Untrust通过拨号向PPPoEServer(运营商设备)拨号获得IP地址、DNS地址。•拨号用户名:user•拨号密码:Password@GigabitEthernet1/0/2IP地址:10.3.0.1/24安全区域:Trust通过DHCP,给局域网内PC动态分配IP地址。DNS服务器1.2.2.2/24向运营商获取。Example2:通过PPPoE接入互联网Step1配置接口21354配置外网接口参数6配置内网接口参数Example2:通过PPPoE接入互联网Step2配置DHCP服务1234配置内网接口GE1/0/2的DHCP服务,使其为局域网内的PC分配IP地址Example2:通过PPPoE接入互联网Step3配置安全策略2134配置允许内网IP地址访问外网Example2:通过PPPoE接入互联网Step4新建源NAT31245新建源NAT,实现内网用户正常访问InternetExample2:通过PPPoE接入互联网Step5结果验证1、检查接口GigabitEthernet1/0/1(上行链路)的连通性。1查看接口状态是否为Up,连接类型是否为PPPoEExample2:通过PPPoE接入互联网Step5结果验证2、在内网PC上执行命令ipconfig/all,PC正确分配到IP地址和DNS地址。3、局域网内PC能通过域名访问Internet。Example3:内外网用户同时通过公网IP访问FTP服务器组网图企业内网用户和FTP服务器均在同一网段10.3.0.0/24,且均放在Trust安全区域。企业采用上行接入Internet(固定IP方式),IP地址向ISP申请获得。内网用户和外网用户均通过公网地址1.1.1.2和端口2121访问FTP服务器,内网用户通过公网地址1.1.1.1访问Internet。项目数据说明GigabitEthernet1/0/2安全区域:Trust-GigabitEthernet1/0/1安全区域:Untrust-FTP服务器对外公布的公网地址:1.1.1.2公网端口:2121-DNS服务器1.2.2.2/24向运营商获取。网关地址1.1.1.254/24向运营商获取。Example3:内外网用户同时通过公网IP访问FTP服务器Step1配置接口2134配置外网接口参数56配置内网接口参数Example3:内外网用户同时通过公网IP访问FTP服务器Step2配置安全策略2134配置允许内网用户访问Internet的安全策略5配置允许Internet用户访问内网FTP服务器的安全策略Example3:内外网用户同时通过公网IP访问FTP服务器Step3创建NAT地址池2134Example3:内外网用户同时通过公网IP访问FTP服务器Step4配置源NAT23145配置源NAT,实现内网用户使用公网地址访问Internet6配置源NAT,实现内网用户使用公网地址访问FTP服务器Example3:内外网用户同时通过公网IP访问FTP服务器Step5配置服务器映射2134配置FTP服务器的私网地址映射为公网地址1.1.1.2Example3:内外网用户同时通过公网IP访问FTP服务器Step6配置NATALG功能1324Example3:内外网用户同时通过公网IP访问FTP服务器Step7结果验证1.内网PC能访问Internet。2.Internet上的用户可以通过公网地址1.1.1.2和端口2121访问FTP服务器。3.内网用户可以通过公网地址1.1.1.2和端口2121访问FTP服务器。Example4:点到点IPSec隧道组网图Firewall_A和Firewall_B分别是网络A和网络B的出口网关,Firewall_A和Firewall_B采用固定IP地址接入Internet。在Firewall_A和Firewall_B之间建立IKE协商方式的点到点IPSec隧道,使两个网络中的设备都可以主动发起连接。项目Firewall_AFirewall_B场景点到点点到点对端地址1.1.5.11.1.3.1认证方式预共享密钥预共享密钥预共享密钥Admin@123Admin@123本端IDIP地址IP地址对端IDIP地址IP地址Example4:点到点IPSec隧道Step1配置Firewall_A的接口21354配置外网接口参数。6配置内网接口参数。Example4:点到点IPSec隧道Step2配置Firewall_A的安全策略2134允许网络A中的私网IP地址访问网络B中的私网IP地址。5允许网络B中的私网IP地址访问网络A中的私网IP地址。6允许Firewall_B的公网IP地址访问Firewall_A自身。7允许Firewall_A自身访问Firewall_B的公网IP地址。Example4:点到点IPSec隧道Step3配置Firewall_A的路由1234配置到网络B中私网IP地址的路由。此处假设Firewall_A到Internet的下一跳IP地址为1.1.3.2。Example4:点到点IPSec隧道Step4配置Firewall_A的IPSec本例中安全提议参数全部1使用缺省值,如果您对参3数有明确要求,请修改,并注意与Firewall_B上的配置保持一致。4先选择场景,然后完成基本配置。8配置IPSec安全提议。256增加待加密的数据流。7Example4:点到点IPSec隧道Step5配置Firewall_B的接口21354配置外网接口参数。6配置内网接口参数。Example4:点到点IPSec隧道Step6配置Firewall_B的安全策略2134允许网络B中的私网IP地址访问网络A中的私网IP地址。5允许网络A中的私网IP地址访问网络B中的私网IP地址。6允许Firewall_A的公网IP地址访问Firewall_B自身。7允许Firewall_B自身访问Firewall_A的公网IP地址。Example4:点到点IPSec隧道Step7配置Firewall_B的路由1234配置到网络A中私网IP地址的路由。此处假设Firewall_B到Internet的下一跳IP地址为1.1.5.2。Example4:点到点IPSec隧道Step8配置Firewall_B的IPSec本例中安全提议参数全部1使用缺省值,如果您对参3数有明确要求,请修改,并注意与Firewall_A上的配置保持一致。4先选择场景,然后完成基本配置。8配置IPSec安全提议。256增加待加密的数据流。7Example4:点到点IPSec隧道Step9结果验证配置成功后,查看IPSec策略列表和IPSec监控信息,能够看到建立的IPSec隧道。网络A中的主机访问网络B中的主机或服务器,能够成功访问;同样网络B中的主机也能够成功访问网络A中的主机或服务器。Firewall_A的IPSec策略列表和IPSec隧道监控信息配置完成后如果IPSec隧道没有成功建立,请单击“诊断”查看错误原因和解决办法。Firewall_B的IPSec策略列表和IPSec隧道监控信息Example5:点到多点IPSec隧道(策略模板)组网图Firewall_A是总部的出口网关,Firewall_B和Firewall_C分别是分支机构1和分支机构2的出口网关,Firewall_A采用固定IP地址接入Internet,Firewall_B和Firewall_C采用动态获取到的IP地址接入Internet。在Firewall_A和Firewall_B之间、Firewall_A和Firewall_C之间分别建立IPSec隧道,使分支机构1和分支机构2的设备能主动发起到总部的连接(总部不能主动发起到分支机构的连接)。项目Firewall_A(总部)Firewall_B(分支1)Firewall_C(分支2)场景点到多点点到点点到点对端地址不指定对端网关地址1.1.3.11.1.3.1认证方式预共享密钥预共享密钥预共享密钥预共享密钥Admin@123Admin@123Admin@123本端IDIP地址IP地址IP地址对端ID接受任意对端IDIP地址IP地址Example5:点到多点IPSec隧道(策略模板)Step1配置Firewall_A(总部)的接口21354配置外网接口参数。6配置内网接口参数。Example5:点到多点IPSec隧道(策略模板)Step2配置Firewall_A(总部)的安全策略2134允许总部的私网IP地址访问分支1和分支2的私网IP地址。5允许分支1和分支2的私网IP地址访问总部的私网IP地址。6允许分支1和分支2的公网IP地址访问Firewall_A自身。由于分支的公网IP地址不固定,因此不配置源地址。7允许Firewall_A自身访问分支1和分支2的公网IP地址。由于分支的公网IP地址不固定,因此不配置目的地址。Example5:点到多点IPSec隧道(策略模板)12345配置到分支1私网IP地址的路由。此处假设Firewall_A到Internet的下一
本文标题:华为USG6000全图化Web典型配置案例-图文Word版本
链接地址:https://www.777doc.com/doc-4380223 .html