收藏 分享(赏)
下载资源 加入VIP,免费下载

02_1 - DCN多核防火墙源NAT配置案例.ppt

上传人:scg750829 文档编号:9108985 上传时间:2019-07-24 格式:PPT 页数:16 大小:1.05MB
下载 相关 举报
02_1 - DCN多核防火墙源NAT配置案例.ppt_第1页
第1页 / 共16页
02_1 - DCN多核防火墙源NAT配置案例.ppt_第2页
第2页 / 共16页
02_1 - DCN多核防火墙源NAT配置案例.ppt_第3页
第3页 / 共16页
02_1 - DCN多核防火墙源NAT配置案例.ppt_第4页
第4页 / 共16页
02_1 - DCN多核防火墙源NAT配置案例.ppt_第5页
第5页 / 共16页
点击查看更多>>
资源描述

1、DCN多核防火墙快速配置之,源NAT配置,,神州数码网络,配置需求,配置防火墙使内网192.168.1.0/24网段可以访问internet,,神州数码网络,2,配置步骤,将接口加入所属的安全域并为接口配置IP地址 添加路由 配置源NAT 添加安全策略,,神州数码网络,3,内网接口配置&开启远程管理,CLI下先配置eth0/0接口 DCFW-1800# config DCFW-1800(config)# interface eth0/0 DCFW-1800(config-if-eth0/0)# zone trust -将eth0/0接口加入trust安全域 DCFW-1800(config-i

2、f-eth0/0)# ip add 192.168.1.1/24 DCFW-1800(config-if-eth0/0)# manage https DCFW-1800(config-if-eth0/0)# manage ping添加管理主机 DCFW-1800(config)# admin host any any,,神州数码网络,4,任意地址,任意管理方式,配置外网口,通过WEBUI登陆防火墙配置外网口所属安全域及IP,,神州数码网络,5,只有指定安全域类型为“三层安全域”时才能给接口配置IP,添加路由,这里添加的是到外网的缺省路由 下一跳网关地址为222.1.1.1 在“目的路由”中“新

3、建”路由条目,,神州数码网络,6,这里的子网掩码既可以写成0也可以写成0.0.0.0,防火墙会自动识别,配置NAT,在“源NAT”中“新建”源NAT条目,,神州数码网络,7,出接口选择外网口,内网访问Internet时转换为外网接口ip,添加“安全策略”,在“安全”-“策略”中选择好“源安全域”和“目的安全域”后,新建策略。,,神州数码网络,8,若对策略中的各个选项有更多配置要求可点击“高级配置”进行编辑,安全策略高级配置模式,安全策略的高级配置模式可以对各选项做出更多编辑,,神州数码网络,9,添加多个源地址,添加多个目的地址,添加多个服务对象,可以添加时间对象以限制该策略仅在某个时段有效,激

4、活高级配置模式,保存配置,所有配置在点击“确定”后立即生效,但并未保存到防火墙的启动配置中,所以为防止配置丢失需要对配置进行保存。通过给配置文件命名,防火墙最多可保存10份不同的配置,,神州数码网络,10,点击“保存”,可以赋予配置文件不同的名称以对不同时间的配置加以区分,CLI下相关命令参考 接口配置,将接口加入所属的安全域并为接口配置IP地址 DCFW-1800(config)#interface ethernet0/0 DCFW-1800(config-if-eth0/0)#zone trust DCFW-1800(config-if-eth0/0)#ip address 192.168

5、.1.1/24 DCFW-1800(config-if-eth0/0)#manage https DCFW-1800(config-if-eth0/0)#manage pingDCFW-1800(config)#interface ethernet0/1 DCFW-1800(config-if-eth0/0)#zone untrust DCFW-1800(config-if-eth0/0)#ip address 222.1.1.2/24 添加管理主机及可使用的管理方式 DCFW-1800(config)# admin host any any,,神州数码网络,11,CLI下相关命令参考 添加路

6、由,添加缺省路由 DCFW-1800(config)# ip vrouter trust-vr DCFW-1800(config-vrouter)# ip route 0.0.0.0/0 222.1.1.1,,神州数码网络,12,CLI下相关命令参考 配置NAT,添加源地址转换策略(即通常所说的动态NAT),本例中是转换为防火墙外网口IP。 DCFW-1800(config)# nat DCFW-1800(config-nat)# snatrule from “Any“ to “Any“ eif ethernet0/1 trans-to eif-ip mode dynamicport,,神州数

7、码网络,13,CLI下相关命令参考 添加安全策略,添加安全策略:运行内网any访问外网any DCFW-1800(config)# policy from trust to untrust -定义策略方向为trust访问untrust DCFW-1800(config-policy)#rule id 1 -标识策略条目,无区分优先级的作用 DCFW-1800(config-policy-rule)# src-addr any -指定源地址对象 DCFW-1800(config-policy-rule)# dst-addr any -指定目的地址对象 DCFW-1800(config-polic

8、y-rule)# service any -指定服务对象 DCFW-1800(config-policy-rule)# action permit -指定策略行为,,神州数码网络,14,CLI下相关命令参考 保存配置,保存配置DCFW-1800# save Save configuration, are you sure? y/n: yBackup current configuration file, are you sure? y/n: yBuilding configuration Saving configuration is finished,,神州数码网络,15,The End,,神州数码网络,

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 企业管理 > 管理学资料

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报