H3C防火墙命令行配置.docxVIP

H3C防火墙命令行配置 H3C防火墙命令行配置 PAGE PAGE7 H3C防火墙命令行配置 PAGE 优选文档 配置防火墙网页登录 配置防火墙缺省赞同报文经过 telecomsystem-view [telecom]firewallpacket-filterenable [telecom]firewallpacket-filterdefaultpermit 为防火墙的以太网接口（ GigabitEthernet0/0为例）配置 IP地址，并 将接口加入到安全域。 [telecom]interfaceGigabitEthernet0/0[telecom-GigabitEthernet0/0]ipaddress [telecom-GigabitEthernet0/0]quit[telecom]firewallzonetrust[telecom-zone-trust]addGigabitEthernet0/0 增加登录取户（建立一个账户名和密码都为admin的账户种类为 telnet） [telecom]local-useradmin[telecom-luser-admin]passwordsimpleadmin[telecom-luser-admin]service-typetelnet 3.在GigabitEthernet0/1接口上配置FTP及www内部服务器[telecom]interfaceGigabitEthernet0/1[telecom-GigabitEthernet0/1]ipaddress [telecom-GigabitEthernet0/1]natoutbound2000[telecom-GigabitEthernet0/1]natserverprotocoltcpglobalwww . 优选文档 inside [telecom-GigabitEthernet0/1]natserverprotocoltcpglobalftp inside [telecom-GigabitEthernet0/1]quit 配置接见控制列表，赞同网段接见internet[telecom]aclnumber2000 [telecom-acl-basic-2000]rule0permitsource [telecom-acl-basic-2000]rule1deny IPSecVPN配置 配置分公司IP：到总公司IP：的IPSecVPN 总公司端 VPN配置步骤以下： 第一步：配置ACL3000，禁止总公司 IP：接见分公司IP： 时进行NAT变换，赞同总公司 IP：接见公 网时进行NAT变换。 [telecom]aclnumber3000 destination [telecom-acl-adv-3000]rulepermitip [telecom-acl-adv-3000]quit 第二步：配置ACL3200，赞同总公司 IP：接见分公司IP： [telecom]aclnumber3200 . 优选文档 [telecom-acl-adv-3200]rule 0permit ip source destination [telecom-acl-adv-3200]quit 第三步：配置本端设备名称为 routera [telecom]ikelocal-nameroutera 第四步：配置同等体 peer [telecom]ikepeerpeer [telecom-ike-peer-peer]exchange-modeaggressive [telecom-ike-peer-peer]pre-shared-key123456 [telecom-ike-peer-peer]id-typename [telecom-ike-peer-peer]remote-nametelecom [telecom-ike-peer-peer]nattraversal 第五步：配置IPSec安全建议test [telecom]ipsecproposaltest [telecom-ipsec-proposal-test]encapsulation-modetunnel [telecom-ipsec-proposal-test]transformesp [telecom-ipsec-proposal-test]espencryption-algorithm3des [telecom-ipsec-proposal-test]espauthentication-algorithmmd5 [telecom-ipsec-proposal-test]quit 第六步：创办安全策略test并指定经过IKE协商建立SA[telecom]ipsecpolicytest1is