查看:9640|回复：25
助理工程师
我是一个刚从学校毕业进入社会工作的一个新手，第一次到网络公司，做一名网络工程师。由于我们技术部的老大临时有点私事，所以公司所有的技术方面的事情我一个人全部担任下来了。但是我有点心虚，没有多少自信。
理论的知识自己大概都了解，但是实战自己确实有点比较的逊色。因为下周要出差帮客户调试一个防火墙和几天交换机，现在想请教各位帮我个忙。
华赛USG5120防火墙，配置IP地址和静态路由我都会了，但是要想让内网用户使用一个公网的IP上网必须要配置NAT才行，我对NAT的理论知识了解，但是不知道在防火墙上如何配置。所以现在想请教下大家，帮我解决这个问题。因为不想在客户面前出丑也不能给公司丢脸，更是不能让自己丢了饭碗。同时在USG5120防火墙上如何做DHCP&&IP地址分发。
感谢大家能够帮我解决下，谢谢
网络管理、H3C、华为
没玩过这么高级的设备。哪位有资料，发上来点。
助理工程师
谢谢了，我昨天话了一晚上终于找到了。现在个大家共享下，希望对你也有用处
及时反馈。
网络管理、H3C、华为
看了，很有用，希望大家共享下有关华赛的资源，不好找。
没见过这样的设备、支持一下。希望楼主能完成好工作。
助理工程师
谢谢大家的支持，工作已经顺利搞定了，现在我把USG5100中的光盘给大家分享下，希望大家下次在接触到的时候可以对你们有个帮助。
光盘中的信息说的还是比较详细的。
及时反馈。
刚好下周要调试华赛的设备，多谢论友们的分享，学习！~~~
我是新手下来学习看看
网络管理、H3C、华为
引用:原帖由 binus 于
10:41 发表
我是新手下来学习看看 欢迎常来！
看你是什么时候买的设备了 vrrp版本不同 NAT配置也不同
[FLASH=600,850]/wsgaopan?preview[/FLASH]
网络管理、H3C、华为
引用:原帖由 wsgaopan 于
12:46 发表
看你是什么时候买的设备了 vrrp版本不同 NAT配置也不同 有道理，Usg5120设备是高端设置，估计不会变化很大。
助理工程师
引用:原帖由 wsgaopan 于
12:46 发表
看你是什么时候买的设备了 vrrp版本不同 NAT配置也不同 设备的具体型号，还有软件版本都关盘信息中都有。应该变化不大，就是有变化，也都是一些很小部分的变动，整体的东西应该很少有变动吧！！！
设备的具体型号，还有软件版本都关盘信息中都有。
:(bofu11): 这个问我就对啦。
USG5系列做dhcp很简单，一个样的，启用全局地址池:
dhcp server enable
dhchp server ip pool xxx
network x.x.x.x x.x.x.x
gateway-list x.x.x.x
acl num 2000
rule 5 permit ip source 192.168.1.0 255.255.255.0
nat address group 1 202.202.202.202&&202.202.202.202& &举例公网ip
做nat会稍有些区别，因为usg定义了安全区域，所以我们需要如此操作：
firewall enable
firewall packet-filter default deny
firewall zone trust
add interface f0/1&&假设f0/1是lan接口，我们把它加入到信任区域
firewall zone untrust
add interface f0/0&&把wan接口加入到非信任区域
nat address group 1& &额这个命令不太记得了，好像是这样，定义nat池在wan接口
定义区域间规则：
firewall interzone trust untrust
packet-filter 2000 outbound
:(bofu13):
华赛的防火墙配置NAT和路由器稍微有点区别，其实有时候ip http enable就可以很简单的解决问题，web配置好后。上去看看config就能观察出不同处。
web界面管理也可以经常用的。不要老感觉用web就不专业了。
本帖最后由 mxwsj 于
22:07 编辑
助理工程师
感谢各位帮忙了啊！！！这个已经是很长时间的事情了，最简单的方法当然还是WEB界面了，只要使用鼠标点击下就OK了。有需要相关资料的午饭们，可以和我联系，把资料和大家共享下。
mail:anhui_
有资源共享！谢谢。
看了，很有用，希望大家共享下有关华赛的资源，不好找。
助理工程师
多谢大家的帮忙。各位午饭朋友们！！！加油啊。
助理工程师
[quote]原帖由
11:14 发表
谢谢了，我昨天话了一晚上终于找到了。现在个大家共享下，希望对你也有用处
由于最近一直在外面出差没有来的急及时共享。希望大家原谅！！！
NO NO NO..配置命令改了..5120的NAT配置 我发个我配过的实例你
nat address-group 1 XXX.XXX.XXX.XXX&&XXX.XXX.XXX.XXX
nat-policy interzone trust untrust1 outbound(trsut是内网接口的区域,untrust1外网接口的区域)
&&action source-nat
&&policy source 10.30.11.0 0.0.0.255
&&policy source 10.30.12.0 0.0.0.255
&&policy source 10.30.13.0 0.0.0.255
&&policy source 10.30.14.0 0.0.0.255
&&policy source 10.30.15.0 0.0.0.255
&&policy source 10.30.20.0 0.0.0.255
&&policy source 10.30.30.0 0.0.0.255
&&policy source 192.168.10.0 0.0.0.255
&&policy source 192.168.20.0 0.0.0.255
&&address-group 1新手园地& & & 硬件问题Linux系统管理Linux网络问题Linux环境编程Linux桌面系统国产LinuxBSD& & & BSD文档中心AIX& & & 新手入门& & & AIX文档中心& & & 资源下载& & & Power高级应用& & & IBM存储AS400Solaris& & & Solaris文档中心HP-UX& & & HP文档中心SCO UNIX& & & SCO文档中心互操作专区IRIXTru64 UNIXMac OS X门户网站运维集群和高可用服务器应用监控和防护虚拟化技术架构设计行业应用和管理服务器及硬件技术& & & 服务器资源下载云计算& & & 云计算文档中心& & & 云计算业界& & & 云计算资源下载存储备份& & & 存储文档中心& & & 存储业界& & & 存储资源下载& & & Symantec技术交流区安全技术网络技术& & & 网络技术文档中心C/C++& & & GUI编程& & & Functional编程内核源码& & & 内核问题移动开发& & & 移动开发技术资料ShellPerlJava& & & Java文档中心PHP& & & php文档中心Python& & & Python文档中心RubyCPU与编译器嵌入式开发驱动开发Web开发VoIP开发技术MySQL& & & MySQL文档中心SybaseOraclePostgreSQLDB2Informix数据仓库与数据挖掘NoSQL技术IT业界新闻与评论IT职业生涯& & & 猎头招聘IT图书与评论& & & CU技术图书大系& & & Linux书友会二手交易下载共享Linux文档专区IT培训与认证& & & 培训交流& & & 认证培训清茶斋投资理财运动地带快乐数码摄影& & & 摄影器材& & & 摄影比赛专区IT爱车族旅游天下站务交流版主会议室博客SNS站务交流区CU活动专区& & & Power活动专区& & & 拍卖交流区频道交流区
白手起家, 积分 14, 距离下一级还需 186 积分
论坛徽章:0
本帖最后由 RootZero_cu 于
01:32 编辑
三条ISP线路,三个公网地址.三个内网,三个内网网段.三个内网每一个使用一个固定的ISP线路上INTER
即192.168.10.0通过1.1.1.42这个地址上网,192.168.20.0通过1.1.1.38这个地址上网,192.168.50.0通过1.1.1.34这个地址上网
我的配置如下..请高人帮忙看一下.
sysname USG5100
l2tp domain suffix-separator @
new-connection alarm threshold 20000
firewall packet-filter default permit interzone local trust direction inbound
firewall packet-filter default permit interzone local trust direction outbound
firewall packet-filter default permit interzone local untrust direction outbound
firewall packet-filter default permit interzone local dmz direction outbound
firewall packet-filter default permit interzone local f1_lan direction outbound
firewall packet-filter default permit interzone local f2tof4_lan direction outbound
firewall packet-filter default permit interzone local f5tof8_lan direction outbound
firewall packet-filter default permit interzone local f1_internet direction outbound
firewall packet-filter default permit interzone local f2tof4_internet direction outbound
firewall packet-filter default permit interzone local f5tof8_internet direction outbound
firewall packet-filter default permit interzone f1_lan f1_internet direction inbound
firewall packet-filter default permit interzone f1_lan f1_internet direction outbound
firewall packet-filter default permit interzone f2tof4_lan f2tof4_internet direction inbound
firewall packet-filter default permit interzone f2tof4_lan f2tof4_internet direction outbound
firewall packet-filter default permit interzone f5tof8_lan f5tof8_internet direction inbound
firewall packet-filter default permit interzone f5tof8_lan f5tof8_internet direction outbound
ip df-unreachables enable
firewall ipv6 session link-state check
firewall ipv6 statistic system enable
dns resolve
dns server 211.138.75.123
dns server 8.8.8.8
firewall statistic system enable
dns proxy enable
interface GigabitEthernet0/0/0
description To_F5toF8-Internet
ip address 1.1.1.34 255.255.255.252
interface GigabitEthernet0/0/1
description To_F2toF4_Internet
ip address 1.1.1.38 255.255.255.252
interface GigabitEthernet0/0/2
description To_F1_Internet
ip address 1.1.1.42 255.255.255.252
interface GigabitEthernet0/0/3
interface GigabitEthernet0/0/3.1
vlan-type dot1q 10
description To_F1_LAN
ip address 192.168.10.1 255.255.255.0
interface GigabitEthernet0/0/3.2
vlan-type dot1q 20
description To_F2toF4_LAN
ip address 192.168.20.1 255.255.255.0
interface GigabitEthernet0/0/3.5
vlan-type dot1q 50
description To_F5toF8_LAN
ip address 192.168.50.1 255.255.255.0
firewall zone name f1_lan
set priority 71
detect ftp
detect rtsp
detect mms
detect mgcp
detect sip
detect pptp
detect sqlnet
detect h323
detect msn
detect dns
detect ils
detect netbios
add interface GigabitEthernet0/0/3.1
firewall zone name f2tof4_lan
set priority 72
detect ftp
detect rtsp
detect mms
detect mgcp
detect sip
detect pptp
detect sqlnet
detect h323
detect dns
detect ils
detect netbios
add interface GigabitEthernet0/0/3.2
firewall zone name f5tof8_lan
set priority 75
detect ftp
detect rtsp
detect mms
detect mgcp
detect sip
detect pptp
detect sqlnet
detect h323
detect dns
detect ils
detect netbios
add interface GigabitEthernet0/0/3.5
firewall zone name f1_internet
set priority 11
detect ftp
detect rtsp
detect mms
detect mgcp
detect sip
detect pptp
detect sqlnet
detect h323
detect dns
detect ils
detect netbios
add interface GigabitEthernet0/0/2
firewall zone name f2tof4_internet
set priority 12
detect ftp
detect rtsp
detect mms
detect mgcp
detect sip
detect pptp
detect sqlnet
detect h323
detect dns
detect ils
detect netbios
add interface GigabitEthernet0/0/1
firewall zone name f5tof8_internet
set priority 15
detect ftp
detect rtsp
detect mms
detect mgcp
detect sip
detect pptp
detect sqlnet
detect h323
detect dns
detect ils
detect netbios
add interface GigabitEthernet0/0/0
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0 1.1.1.33
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/1 1.1.1.37
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/2 1.1.1.41
policy interzone f1_lan f1_internet outbound
&&action permit
&&policy source 192.168.10.0 0.0.0.255
policy interzone f2tof4_lan f2tof4_internet outbound
&&action permit
&&policy source 192.168.20.0 0.0.0.255
policy interzone f5tof8_lan f5tof8_internet outbound
&&action permit
&&policy source 192.168.50.0 0.0.0.255
nat-policy interzone f1_lan f1_internet outbound
&&action source-nat
&&policy source 192.168.10.0 0.0.0.255
&&easy-ip GigabitEthernet0/0/2
nat-policy interzone f2tof4_lan f2tof4_internet outbound
&&action source-nat
&&policy source 192.168.20.0 0.0.0.255
&&easy-ip GigabitEthernet0/0/1
nat-policy interzone f5tof8_lan f5tof8_internet outbound
&&action source-nat
&&policy source 192.168.50.0 0.0.0.255
&&easy-ip GigabitEthernet0/0/0
我不知道这样对不对.帮忙看一下.
&&nbsp|&&nbsp&&nbsp|&&nbsp&&nbsp|&&nbsp&&nbsp|&&nbsp
白手起家, 积分 14, 距离下一级还需 186 积分
论坛徽章:0
没人知道吗？
北京皓辰网域网络信息技术有限公司. 版权所有 京ICP证:060528号 北京市公安局海淀分局网监中心备案编号：
广播电视节目制作经营许可证(京) 字第1234号
中国互联网协会会员&&联系我们：
感谢所有关心和支持过ChinaUnix的朋友们
转载本站内容请注明原作者名及出处查看:2356|回复：2
外网通过USG2130防火墙连接交换机再连接30台电脑，防火墙里设置的是DHCP上网的，30台电脑都能上网，现在要个别电脑不能上网，USG2130防火墙具备这个功能吗？具备的话怎么设置？求大神指点
高级工程师
可以通过MAC过滤来实现
楼上的朋友，我找不到mac过滤得选项阿华为防火墙配置手册 华为USG防火墙NAT配置
作者：佚名
字体：[ ] 来源：互联网 时间：08-22 10:09:10
今天小编为大家带来的是华为防火墙配置手册(华为USG防火墙NAT配置),感兴趣的朋友可以看一下
&&&&&&&&&你是公司的网络管理员。公司使用网络防火墙隔离成三个区域。现在要将DMZ区域中的一台服务器（IP地址：10.0.3.3）提供的telnet服务发布出去，对外公开的地址是10.0.10.20、24.并且内部网络Trust区域的用户通过Easy-IP的方式访问外部区域。其它方向的访问被禁止。
&&&&&&&&&在交换机上将G0/0/1与G0/0/21接口定义到vlan11，将G0/0/2与G0/0/22接口定义到vlan12，将G0/0/3与G0/0/23接口定义到vlan13.分别规划了三个网段。
步骤一.基本配置与IP编址
&&&&&&&&&首先给三个路由器配置地址信息。
[Huawei]sysname R1
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]ip add 10.0.10.124
[R1-GigabitEthernet0/0/1]desc this portconnect to S1-G0/0/1
[R1-GigabitEthernet0/0/1]interfaceloopback0
[R1-LoopBack0]ip add 10.0.1.1 24
[R1-LoopBack0]q
[Huawei]sysname R2
[R2]interface g0/0/1
[R2-GigabitEthernet0/0/1]ip add 10.0.20.224
[R2-GigabitEthernet0/0/1]desc this portconnect to S1-G0/0/2
[R2-GigabitEthernet0/0/1]interfaceloopback0
[R2-LoopBack0]ip add 10.0.2.2 24
[R2-LoopBack0]q
[Huawei]sysname R3
[R3]interface g0/0/1
[R3-GigabitEthernet0/0/1]ip add 10.0.30.324
[R3-GigabitEthernet0/0/1]desc this portconnect to S1-G0/0/3
[R3-GigabitEthernet0/0/1]interfaceloopback0
[R3-LoopBack0]ip add 10.0.3.3 24
[R3-LoopBack0]q
给防火墙配置地址时，G0/0/1配置10.0.20.254/24.
[SRG]sysname FW
[FW]interface g0/0/1
[FW-GigabitEthernet0/0/1]ip add 10.0.20.25424
[FW-GigabitEthernet0/0/1]desc this portconnect to S1-G0/0/22
[FW-GigabitEthernet0/0/1]interface g0/0/0
[FW-GigabitEthernet0/0/0]dis this
interface GigabitEthernet0/0/0
&alias GE0/MGMT
&ipaddress 192.168.0.1 255.255.255.0
&dhcpselect interface
&dhcpserver gateway-list 192.168.0.1
[FW-GigabitEthernet0/0/0]undo ip add
Info: The DHCP server configuration on thisinterface will be deleted.
[FW-GigabitEthernet0/0/0]display this
interface GigabitEthernet0/0/0
&alias GE0/MGMT
[FW-GigabitEthernet0/0/0]ip add 10.0.10.25424
[FW-GigabitEthernet0/0/0]desc this portconnect to S1-G0/0/21
[FW-GigabitEthernet0/0/0]interface G0/0/2
[FW-GigabitEthernet0/0/2]ip add 10.0.30.25424
[FW-GigabitEthernet0/0/2]desc this portconnect to S1-G0/0/23
[FW-GigabitEthernet0/0/2]q
交换机上需要按照需求定义vlan
[Huawei]sysname S1
[S1]vlan batch 11 to 13
Info: This operation may take a fewseconds. Please wait for a moment...done.
[S1]interface g0/0/1
[S1-GigabitEthernet0/0/1]port link-typeaccess
[S1-GigabitEthernet0/0/1]port default vlan11
[S1]interface g0/0/2
[S1-GigabitEthernet0/0/2]port link-typeaccess
[S1-GigabitEthernet0/0/2]port default vlan12
[S1-GigabitEthernet0/0/2]interface g0/0/3
[S1-GigabitEthernet0/0/3]port link-typeaccess
[S1-GigabitEthernet0/0/3]port default vlan13
[S1-GigabitEthernet0/0/3]interface g0/0/21
[S1-GigabitEthernet0/0/21]port link-typeaccess
[S1-GigabitEthernet0/0/21]port default vlan11
[S1-GigabitEthernet0/0/21]interface g0/0/22
[S1-GigabitEthernet0/0/22]port link-typeaccess
[S1-GigabitEthernet0/0/22]port default vlan12
[S1-GigabitEthernet0/0/22]interface g0/0/23
[S1-GigabitEthernet0/0/23]port link-typeaccess
[S1-GigabitEthernet0/0/23]port default vlan13
步骤二.将接口配置到安全区域
&&&&&&&&&防火墙默认有四个区域，分别是&local&、&trust&、&untrust&、&dmz&。
&&&&&&&&&实验中我们用到&trust&、'untrust&、&dmz&三个区域。将G0/0/0加入untrust区域、g/0/0/2加入dmz和g/0/0/1加入trust。
[FW]firewall zone trust
[FW-zone-trust]dis this
firewall zone trust
&setpriority 85
&addinterface GigabitEthernet0/0/0
[FW-zone-trust]undo add inter&&&&&&&
[FW-zone-trust]undo add interface g0/0/0
[FW-zone-trust]add interface g0/0/1
[FW-zone-trust]firewall zone untrust
[FW-zone-untrust]add interface g0/0/0
[[FW-zone-untrust]firewall zone dmz
[FW-zone-dmz]add interface g0/0/2
[FW-zone-dmz]q
&&&&&&&&&默认情况下，防火墙并不允许出local区域外的其它区域之间进行通信。为了便于验证配置的正确性，我们首先将防火墙区域之间的默认过滤规则配置为允许所有区域间通信。配置完成后在FW设备上测试连通性。
大家感兴趣的内容
12345678910
最近更新的内容华为USG2220 防火墙路由器怎么设置DMZ_百度知道