51CTO下载-USG50典型应用WEB配置指导.doc

USG50典型应用WEB配置 (仅供内部使用） For internal use only 华为技术有限公司 Huawei Technologies Co., Ltd.  目 录 1 通过专线做NAT访问internet 3 1.1 登录usg50 4 1.2 配置出口地址 5 1.3 配置ACL（NAT 关联的acl 访问策略acl） 8 1.4 配置NAT 20 1.5 配置缺省路由，网关地址为 29 1.6 最终的配置 30 2 IPSec over L2TP 34 2.1 组网 34 2.2 简单描述 34 2.3 主要WEB配置过程 35 2.4 USG50配置 48 3 L2TP over IPSec 51 3.1 组网 51 3.2 简单描述 51 3.3 主要WEB配置过程 51 3.4 USG50配置 52 USG50典型应用场景配置 配置环境准备：虽然USG50 可以使用缺省的配置进行web管理，但有时接口地址和你的业务规划不一致，难免带来不便，比较方面的方法是在首先在命令行里将eth0/0/1配置好实际需要的地址，并划分到规划的区域里，然后在eth0/0/1下添加一个/16 的sub地址，打开所有的包过滤（配置fire packet default permit all），这样eth0/0/1 包含4个lan接口，随意找一个接口连接PC（web管理客户端），不需要为PC设定地址，即可直接登录，windows系统在动态获取地址的情况下，会自动分配169.254网段的地址。 通过专线做NAT访问internet 企业用户通过以太网专线做NAT 访问internet，并提供一个内部服务器供外网用户访问 Lan0～lan3接口eth0/0/1 划分到trust区域， wan0 即eth0/0/0划分到untrust区域，内部服务器对外地址是，地址池地址是， wan0接口配置一个固定的公网地址，出口网关的地址为。 Web配置如下： USG50 缺省配置中已经将eth0/0/0划分到trust区域，并且配置了/24的地址，并配置了一个缺省的web管理用户，用户名/口令是usg50/usg50。将PC设置为 的地址，用网线将PC网口和USG50 lan0～lan3 任意一个口连上，即可通过web配置usg50了 登录usg50 输入用户名口令后点击submit按钮，即可进入web配置界面 注：老版本的用户名/口令为 usg50/usg50，新版本的用户名/口令为admin/Admin@123. 如果弹出web登录界面，输入用户名口令后无法进入web页面，说明用户名口令有误，如果弹不出web登录界面，可能有以下几种情况： 网络连接有问题； 没有配置web登录帐号； 没有使能web登录功能； 此时需要通过console口登录检查，或者恢复出厂缺省配置后再次登录。 在下面的例子中，修改了usg50的eth0/0/1的地址为/16，目的是不用设置PC windows系统的地址了，该地址与windows 缺省分配的地址在同一网段。 配置出口地址 系统缺省已将eth0/0/0 (LAN0~LAN3) 加入了trust区域，eth0/0/0 （WAN0）加入了untrust区域，因此不需要配置在区域中添加接口了。 配置出口IP地址： 点开左侧导航菜单中的Network后点击Interface， 出现如图示的界面，点击第一行中的配置eth0/0/0的地址 在 一行中输入出口地址和掩码 其它选项根据需要勾选，一般无需改动，然后点击 出现如下提示框， 点击 确定 点击 这样就配置好了出接口地址 在命令行中显示如下结果 interface Ethernet0/0/0 ip address 配置ACL（NAT 关联的acl 访问策略acl） 点开Security后点击其下的ACL 点击右上角的new 输入ACL号和描述后点击 apply按钮 后点击确定 点击上图中的new 创建rule 规则 输入地址和掩码后 点击 apply 点击 确定 点击back返回 此步骤完成后在命令行中增加了如下配置 acl number 2000 description NAT ACL rule 5 permit source 55 点击 右上角的new 创建访问规则 输入