防火墙命令行基础配置实验（H3C模拟器）

嘿，这里是目录！

⭐ H3C模拟器资源链接
1. 实验示意图
2. 要求
3. 当前配置
- 3.1 PC配置
- 3.2 FW配置（防火墙）[^7][^8]
- - 3.2.1 FW1配置
  - 3.2.2 FW2配置
- 3.3 R配置
- - 3.3.1 R1配置
  - 3.3.2 R2配置
- 3.4 SW配置
- - 3.4.1 SW1配置
  - 3.4.2 SW2配置
  - 3.4.3 SW3配置
  - 3.4.4 SW4配置
虚假的参考文献

⭐ H3C模拟器资源链接

H3C网络设备模拟器官方免费下载

1. 实验示意图

在这里插入图片描述

2. 要求

R1和R2之间运行OSPF协议
广域网区域只能访问语音平台区
互联网区域只能访问货运电子商务区
把电子商务区的主机10.208.14.146 的23端口在互联网防火墙上映射为117.125.86.14的2323端口¹²
语音平台PC 可以访问路由器R1的Loopback 0地址³⁴⁵⁶

3. 当前配置

3.1 PC配置

配置PC的ip地址、子网掩码和网关（在模拟器中，右键PC图标，选择“启动”，然后右键PC图标，选择“配置”）

3.2 FW配置（防火墙）⁷⁸

需要了解基础的5个安全域的概念⁹
一般先要确定路由可达，然后再谈做安全策略的问题，所以要先将防火墙所有接口划分至相对应的安全域，然后开通any（即任何安全域）到any全放通（action pass）策略，最后调整安全策略
如果A区域（与防火墙直连的端口）想ping通防火墙本身，需要开通A区域到Local的策略
如果防火墙本身想ping通A区域（与防火墙直连的端口），需要开通Local到A区域的策略
如果希望防火墙使用动态路由，防火墙必须放开到Local的策略
如果不写任何策略，防火墙默认是全拒绝的，不管哪里访问哪里
对于防火墙来说，一般出口方向设置为默认通过，入口方向需要控制
防火墙最基础的配置涉及以下命令¹⁰¹¹¹²¹³¹⁴

security-zone name A（名字随便起，最好简单、相关性高）
import int g1/0/0
quitsecurity-zone name B（名字随便起）
import int g1/0/1
quitsecurity-policy ip
rule name A-B（名字随便起）
source-zone A
destination-zone B
action pass
quit
quit放通any到any的策略
security-policy ip
rule name any（名字随便起）
action pass
quit
quit

3.2.1 FW1配置

策略名称	源安全域	目的安全域	动作
WAN-Voice	WAN	Voice	pass
Voice-WAN	Voice	WAN	pass
Internet-ECommerce	Internet	ECommerce	pass
ECommerce-Internet （不是必须要配，主要用来测试路由是否配置合适，SW4能否ping通117.125.86.1）	ECommerce	Internet	pass

sys
sysname FW1int g1/0/0
ip add 1.1.1.1 30
quit
security-zone name WAN
import int g1/0/0
quitint g1/0/1
ip add 2.2.2.1 30
quit
security-zone name Voice
import int g1/0/1
quitint g1/0/2
ip add 3.3.3.1 30
quit
security-zone name Internet
import int g1/0/2
quitint g1/0/3
ip add 4.4.4.1 30
quit
security-zone name ECommerce
import int g1/0/3
quitip route-static 10.1.4.0 30 1.1.1.2
ip route-static 10.1.4.100 32 1.1.1.2
ip route-static 10.208.7.0 24 2.2.2.2
ip route-static 117.125.86.0 27 3.3.3.2（很重要！！！⭐⭐⭐）
ip route-static 10.208.14.0 24 4.4.4.2security-policy ip
rule name WAN-Voice
source-zone WAN
destination-zone Voice
action pass
quitrule name Voice-WAN
source-zone Voice
destination-zone WAN
action pass
quitrule name Internet-ECommerce
source-zone Internet
destination-zone ECommerce
action pass
quitrule name Ecommerce-Internet（不是必须要配，主要用来测试路由是否配置合适，SW4能否ping通117.125.86.1）
source-zone Ecommerce
destination-zone Internet
action pass
quit
quit

3.2.2 FW2配置

策略名称	源安全域	目的安全域	动作
Trust-Untrust 可以设置，但没必要	Trust	Untrust	pass
Untrust-Trust 必须要配	Untrust	Trust	pass
Trust-Local （不是必须要配，主要用来测试路由是否配置合适，SW4能否ping通117.125.86.1）	Trust	Local	pass
Local-Trust 可以设置，但没必要	Local	Trust	pass
Untrust-Local 必须要配	Untrust	Local	pass
Local-Untrust 可以设置，但没必要	Local	Untrust	pass

sys
sysname FW2int g1/0/0
ip add 3.3.3.2 30
quit
security-zone name Trust
import int g1/0/0
quitint g1/0/1
ip add 117.125.86.1 27
【本句测试使用，与实验无关：整了个Server，开启了HTTP Server服务（ip http enable）：nat server protocol tcp global 117.125.86.14 8081 inside 10.208.14.146 81 (rule ServerRule_2)】
nat server protocol tcp global 117.125.86.14 2323 inside 10.208.14.146 23 (rule ServerRule_1)
quit
security-zone name Untrust
import int g1/0/1
quitsecurity-policy ip
rule name Trust-Untrust（可以设置，但没必要）
source-zone Trust
destination-zone Untrust
action pass
quitrule name Untrust-Trust（必须要配）
source-zone Untrust
destination-zone Trust
action pass
quitrule name Trust-Local（不是必须要配，主要用来测试路由是否配置合适，SW4能否ping通117.125.86.1）
source-zone Trust
destination-zone Local
action pass
quitrule name Local-Trust（可以设置，但没必要）
source-zone Local
destination-zone Trust
action pass
quitrule name Untrust-Local（必须要配）
source-zone Untrust
destination-zone Local
action pass
quitrule name Local-Untrust（可以设置，但没必要）
source-zone Local
destination-zone Untrust
action pass
quit
quitip route-static 4.4.4.0 30 3.3.3.1（不需要这条命令）
ip route-static 10.208.14.0 24 3.3.3.1dis nat all（可查看防火墙上所有的nat）
在SW3 telnet时验证： dis nat session source-ip 117.125.86.2

3.3 R配置

3.3.1 R1配置

sys
sysname R1
int g0/0/0
ip add 10.1.4.1 30
quitroute id 10.1.4.100
int loopback 0
ip add 10.1.4.100 32
quitospf 1
import-route direct（用来跑loopback）
area 0.0.0.0
network 10.1.4.0 0.0.0.3
import-route static（不需要这条命令）
quitip route-static 10.208.7.0 24 10.1.4.2（不需要这条命令）int g0/0/0
ip add 10.1.4.1 30
quit

3.3.2 R2配置

sys
sysname R2
int g0/0/0
ip add 10.1.4.2 30
quitospf 1
import-route static
area 0.0.0.0
network 10.1.4.0 0.0.0.3
network 1.1.1.0 0.0.0.3
import-route direct（不需要这条命令）
quitint g0/0/0
ip add 10.1.4.2 30
quitint g0/0/1
ip add 1.1.1.2 30
quitip route-static 10.208.7.0 24 1.1.1.1

3.4 SW配置

3.4.1 SW1配置

sys
sysname SW1vlan 7
quit
int vlan 7
ip add 10.208.7.1 24
quitvlan 2
quit
int vlan 2
ip add 2.2.2.2 30
quitint g1/0/1
port link-type access
port access vlan 7int g1/0/2
port link-type access
port access vlan 2ip route-static 10.1.4.0 30 2.2.2.1
ip route-static 10.1.4.100 32 2.2.2.1

3.4.2 SW2配置

sys
sysname SW2vlan 14
quit
int vlan 14
ip add 10.208.14.1 24
quitvlan 4
quit
int vlan 4
ip add 4.4.4.2 30
quitint g1/0/1
port link-type access
port access vlan 14int g1/0/2
port link-type access
port access vlan 4ip route-static 0.0.0.0 0 4.4.4.1 （很重要！！！⭐⭐⭐）

3.4.3 SW3配置

sys
sysname SW3vlan 117
quit
int vlan 117
ip add 117.125.86.2 27
quitint g1/0/1
port link-type access
port access vlan 117ip route-static 10.1.4.0 30 2.2.2.1（不需要这条命令）
ip route-static 10.1.4.100 32 2.2.2.1（不需要这条命令）验证
telnet 117.125.86.14 2323

3.4.4 SW4配置

sys
sysname SW4vlan 14
quit
int vlan 14
ip add 10.208.14.146 24
quitint g1/0/1
port link-type access
port access vlan 14ip route-static 0.0.0.0 0 10.208.14.1（很重要！！！⭐⭐⭐）
savetelnet server enable
local-user ljjt
password-control length 8
password simple Ljjt@321
service-type telnet
authorization-attribute user-role network-operator
quit
line vty 0 4
authentication-mode scheme
user-role network-operator
quit

虚假的参考文献

好像也没用上，但是可以看看
- 02-安全配置指导
- h3c防火墙配置基础
- F1060防火墙透明模式典型组网配置案例1（access）
- F1060 basic NAT典型组网配置实验
- 华三模拟器(防火墙)实现IPSEC穿越NAT实验
- H3C防火墙的登录及管理
- H3C模拟器里的F1060防火墙如何开启WEB界面
- 【防火墙技术连载贴汇总】强叔侃墙系列
- 关于防火墙object-group的用法？
- 对象组
- NAT原理描述
- 防火墙的NAT策略配置NAT NO-PAT、NAT、Easy-IP
- 华三 h3c NAT配置
- H3C配置NAT实验
- F1060 NAT server典型组网配置案例1（有固定公网地址转换）
- OSPF原理及配置
- H3C OSPF实验
- H3C（华三）模拟器服务器server配置ip地址
- HCL模拟器中如何修改server服务器ip地址和网关