标准版

接口ip配置

r2

[r2]interface GigabitEthernet 0/0/0
[r2-GigabitEthernet0/0/0]ip address 13.0.0.3 24

[r2-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1
[r2-GigabitEthernet0/0/1]ip address 100.1.1.254  24

[r2-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[r2-GigabitEthernet0/0/2]ip address 110.1.1.254 24

r3

[Huawei]sysname r3

[r3]interface GigabitEthernet 0/0/0
[r3-GigabitEthernet0/0/0]ip address 12.0.0.2 24
. 
[r3-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1     
[r3-GigabitEthernet0/0/1]ip address 210.1.1.254 24

[r3-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[r3-GigabitEthernet0/0/2]ip address 200.1.1.254 24

fw

[USG6000V1]sysname FW

[FW]interface GigabitEthernet 0/0/0    
[FW-GigabitEthernet0/0/0]service-manage all permit 

[FW]interface GigabitEthernet 1/0/0    
[FW-GigabitEthernet1/0/0]ip address 192.168.1.254 24

[FW-GigabitEthernet1/0/0]interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1]ip address 13.0.0.1 24

[FW-GigabitEthernet1/0/1]interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2]ip address 12.0.0.1 24

client1:1

client2:2

电信dns:3,4

 

百度web1:5,6

 

联通dns:5:7,8

 

百度web2:9,10

 

安全区域划分：

[FW]firewall zone trust     
[FW-zone-trust]add interface GigabitEthernet 1/0/0

[FW]firewall zone name untrust_1    ---创建除四个基本安全区域外的安全区域
[FW-zone-untrust_1]set priority 10 ----设置优先级
[FW-zone-untrust_1]add interface GigabitEthernet 1/0/1----添加接口

[FW]firewall zone name untrust_2
[FW-zone-untrust_2]set priority 15
[FW-zone-untrust_2]add interface GigabitEthernet 1/0/2

web划分安全区域：11

导入运营商地址库ISP（只能在web页面操作,导入的excel表格文件另存为类型为CSV-逗号隔）：12，13

(运营商地址库每次都要再次导入，然后链路接口也要再次配置运营商)

 

例子：电信导入文件：14

链路接口：15，16（这里没有勾选缺省路由，因为勾选缺省路由则不会下发明细路由）

 

配置真实dns服务器：

[FW]slb enable ---开启服务器负载均衡功能
[FW]slb ----进入负载均衡配置视图

[FW-slb]group 0 dns-----创建真实服务器组，组名
[FW-slb-group-0]metric roundrobin ----选择负载均衡算法为简单轮询
[FW-slb-group-0]rserver 0 rip 100.1.1.1 port 53 ---设定真实服务器IP地址，服务端口号
[FW-slb-group-0]rserver 1 rip 200.1.1.1 port 53

web：17

创建虚拟dns服务器：

[FW]slb 
[FW-slb]vserver 0 dns----创建虚拟服务器组，组名
[FW-slb-vserver-0]vip 10.10.10.10----设定虚拟服务器IP地址
[FW-slb-vserver-0]group dns----关联真实服务器组，真实服务器组名为dns

web:18

配置dns服务器透明代理功能：

[FW]dns-transparent-policy ---进入dns透明代理视图    
[FW-policy-dns]dns transparent-proxy enable----开启dns透明代理功能

web：19（模拟器上只能通过命令行开启）

防火墙对应接口绑定要代理的服务器IP

[FW]dns-transparent-policy ---进入dns透明代理视图    
[FW-policy-dns]dns server bind interface GigabitEthernet 1/0/1 preferred 100.1.1.1
---------------将100.1.1.1这个要代理的服务器的ip地址与1/0/1这个服务器上的对于接口绑定
[FW-policy-dns]dns server bind interface GigabitEthernet 1/0/2 preferred 200.1.1.1

web：20

透明代理策略

[FW]dns-transparent-policy ---进入dns透明代理视图    
[FW-policy-dns]rule name dns_polic----创建规则
[FW-policy-dns-rule-dns_polic]source-address 192.168.1.0 24-----绑定源地址
[FW-policy-dns-rule-dns_polic]enable ----启用这个规则    
[FW-policy-dns-rule-dns_polic]action tpdns ----动作代理dns

web：21

安全策略：

web：22，23

internet：23对应命令行
[FW-policy-security]rule name internet----创建安全策略
[FW-policy-security-rule-internet]source-zone trust ---源区域
[FW-policy-security-rule-internet]destination-zone untrust_1 untrust_2---目的区域
[FW-policy-security-rule-internet]source-address 192.168.1.0 mask 255.255.255.0---源ip地址（目的地址是any可以不写自动为any）
[FW-policy-security-rule-internet]action permit ----动作
还可以设定服务和时间
这里22可以选择dns服务
service dns
23选择http,https 服务
  service http
  service https

nat策略：

源nat：

web：（出接口方式：easy-ip）

策略1：24

策略2：

[FW]nat-policy    
[FW-policy-nat]rule name 2
[FW-policy-nat-rule-2]source-zone trust     
[FW-policy-nat-rule-2]destination-zone untrust_2
[FW-policy-nat-rule-polic1]source-address 192.168.1.0 24
[FW-policy-nat-rule-2]action source-nat easy-ip 

client1尝试获取www.baidu.com

：25

client2尝试获取www.baidu.com

：26

nat（地址池）：

源nat

将13.0.0.10/24加入地址池1
12.0.0.10/24加入地址池2
将对于网段中的ip加入对于地址池
[FW]nat address-group 1    ----创建nat地址池1
[FW-address-group-1]section 13.0.0.10-----直接回车是只加入0.10这一个地址，这里只加入0.10
（[FW-address-group-1]section 13.0.0.10 13.0.0.20 ----这是加入一段连续的地址）
[FW-address-group-1]mode pat-----这里忘记选择是否开启端口转换，默认为PAT开启所以是NAPT,这里是想配no-pat的，下面补充了no-pat配置
[FW-address-group-1]route enable ----开启黑洞路由，防环

地址池2：web：27

配置nat策略：

[FW]nat-policy  ----进入nat策略配置视图
[FW-policy-nat]rule name polic1 -----创建策略，策略名
[FW-policy-nat-rule-polic1]source-zone trust  ----源区域
[FW-policy-nat-rule-polic1]destination-zone untrust_1----目的区域
[FW-policy-nat-rule-polic1]source-address 192.168.1.0 mask 255.255.255.0 ---源ip地址
这里目的地址是any，所以不用写
[FW-policy-nat-rule-polic1]action source-nat address-group 1----设置动作为使用源NAT方式，调用地址池1

polic2：web：28

配置安全策略（web配置nat时下面最下面会提醒新建安全策略点击后会有模板可以直接点击确定使用，这里我直接使用模板）：29，30

测试结果：31，32

[FW]display firewall session table---查看会话表
[FW]display firewall server-map ---查看server-map表---这里访问的是服务器虚拟dns服务器，并且使用的是NAPT（NAPT不产生server-map表，no-pat产生server-map表）：33

NAT NO-PAT：

[FW-address-group-1]mode no-pat global -----在创建地址池时选择no-pat，全局

NAPT ：

修改时要先删除使用此地址池的nat策略才能修改

[FW-address-group-1]mode pat------修改no-pat为pat进行端口转换

web界面：创建地址池时勾选允许端口转换即可

Smart NAT(聪明的NAT)：

nat地址池配置：

[FW]nat address-group 1
[FW-address-group-1]mode no-pat global 
[FW-address-group-1]section 13.0.0.10    
[FW-address-group-1]route enable 
[FW-address-group-1]smart-nopat 13.0.0.20 ----预留地址

[FW]nat address-group 2
[FW-address-group-2]mode no-pat global 
[FW-address-group-2]section 12.0.0.10    
[FW-address-group-2]route enable     
[FW-address-group-2]smart-nopat 12.0.0.20

nat策略：

nat策略：
[FW]nat-policy ---进入nat策略视图
[FW-policy-nat]rule name 1    -创建策略
[FW-policy-nat-rule-1]source-zone trust  ---源区域
[FW-policy-nat-rule-1]destination-zone untrust_1    --目的区域
[FW-policy-nat-rule-1]source-address 192.168.1.0 24   ----源地址（目的any不用写）
[FW-policy-nat-rule-1]action source-nat address-group 1  ---动作源nat，地址1

[FW]nat-policy 
[FW-policy-nat]rule name 2
[FW-policy-nat-rule-2]source-zone trust     
[FW-policy-nat-rule-2]destination-zone untrust_2    
[FW-policy-nat-rule-2]source-address 192.168.1.0 24
[FW-policy-nat-rule-2]action source-nat address-group 2

安全策略（换nat要删除之前创建的nat策略，地址池，安全策略）（建议如果是web页面配置的nat策略直接在配置nat策略时点击生成安全策略就好）：

 rule name 1
  source-zone trust
  destination-zone untrust_1
  source-address 192.168.1.0 mask 255.255.255.0
  action permit

 rule name 2
  description NAT策略（2）引入
  source-zone trust
  destination-zone untrust_2
  source-address 192.168.1.0 mask 255.255.255.0
  action permit

web：35

测试：这里新加了两台pc用作测试：38

[FW]display firewall server-map ---查看server-map表
[FW]display firewall session table ----查看会话表

：39,40

 

三元组 NAT：

配置地址池

[FW]nat address-group 1
[FW-address-group-1]mode full-cone global ----选择该模式，全局
[FW-address-group-1]section 13.0.0.10
[FW-address-group-1]route enable -----开启黑洞路由

地址池2：web：41

配置nat策略

[FW]nat-policy     
[FW-policy-nat]rule name 1
[FW-policy-nat-rule-1]source-zone trust 
[FW-policy-nat-rule-1]destination-zone untrust_1    
[FW-policy-nat-rule-1]source-address 192.168.1.0 24
[FW-policy-nat-rule-1]action source-nat address-group 1

策略2：web：42

安全策略：（建议在web配置nat策略时直接点击生成安全策略）

例子：
[FW]security-policy -----进入安全策略配置视图
 rule name 1
  description NAT策略（1）引入
  source-zone trust
  destination-zone untrust_1
  source-address 192.168.1.0 mask 255.255.255.0
  action permit

开启端口过滤功能； 

[FW]firewall endpoint-independent filter enable --开启端口过滤功能；
意义：此时的server-map表项，不受安全策略的控制

测试：43

[FW]display firewall server-map ---查看server-map表
[FW]display firewall session table ----查看会话表

：44

开启端口过滤后FW1/0/1口抓包:45