生活中,我们可能会遇到连接网线后,对应端口指示灯不亮的问题。今天小编给大家带来该问题的解决办法。 一、WAN口指示灯不亮 路由器WAN口连接猫、入户宽带或上级设备(主路由器......
2022-08-10 362 无线路由器
一、网络拓扑与需求
客户需求,一台H3C防火墙设备,GE1/0/0接口设置为管理口,IP地址为192.168.0.2。GE1/0/1口为外网接口,加入Untrust域,IP地址192.168.183.101。GE1/0/4接口监控网络接口,加入DMZ域,IP地址为172.30.11.1,GE/1/0/5接口为服务器接口,加入DMZ域,IP地址为172.30.12.1。
要求,外网可以正常访问监控网络主机。
二、防火墙登录和配置密码
1、登录H3C防火墙,默认H3C防火墙的GE1/0/0口和GE1/0/2口为管理口,GE1/0/0IP地址为192.168.0.1,GE1/0/2IP地址为192.168.1.1。
interface GigabitEthernet1/0/0
port link-moderoute
ip address192.168.0.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-moderoute
#
interface GigabitEthernet1/0/2
port link-moderoute
ip address192.168.1.1 255.255.255.0
2、https://192.168.0.1打开网页进行防火墙配置,输入默认用户名admin,密码admin。
3、登录防火墙配置界面。
4、登录界面后,第一项工作,把防火墙密码重新修改一下。
5、修改密码、管理员角色和可用服务,可用服务包括,Terminal,SSH,HTTPS,FTP,Telnet,PAD,HTTP,按自己需求勾选。
6、勾选完成后,点击确定,密码更改完成。
三、网络IP地址配置
1、在web界面中,找到网络,接口。可以看到每个接口的IP地址。
2、按需求,配置IP地址,将GE1/0/4IP地址配置为172.30.11.1,点击后面接口的编辑按钮。
3、开始配置IP地址,在配置IP地址之前,需要将此接口必须加入到相应的安全域。由于是连接内部的监控网络,所以将此接口加入DMZ域。
4、设置固定IP地址为172.30.11.1/255.255.255.0,配置完成后,点击确定即可。
5、编辑GE1/0/5,IP地址与GE1/0/4设置相同,此口作为服务器使用,需要将此口加入DMZ安全域,然后设置IP地址为172.30.12.1/255.255.255.0。
6、两个DMZ接口IP地址已经配置完成。
7、配置外网口,将GE1/0/1配置为外网口,加入Untrust安全域。点击后面的编辑按钮,进行编辑。
8、将GE1/0/1加入Untrust域,设置外网的IP地址为192.168.183.101。
9、外网和内网IP地址已经配置完成。
10、在网络的安全域中,可以看相应的接口加入到哪些安全域中。
四、安全策略配置
1、防火墙,必须要设置安全策略,才可以做到相互之前的访问。而且安全域之前的流量是单向的。在策略中,找到安全策略,然后开始新建。
2、新建名称。
3、输入源安全域,选择Local,什么是Local,本地安全域,这个就是防火墙本身自己的接口。
4、输入目的安全域,选择Untrust,Trust,DMZ,Local。
5、动作,选择允许。单击确定。
6、第一条策略已经设置成功。防火墙本地端口到Untrust,Trust,DMZ,Local都可以通信。
7、当我们将服务器接入服务器的GE1/0/5,配置完IP地址后,发现去ping 172.30.12.1无法通信。那是为什么呢?
8、那是因为,防火墙local本身可以ping通DMZ接口172.30.12.1,这个ping可以回来。当我们用服务器去ping 172.30.12.1,数据包是从DMZ到Local的,但是我们发现,没有从DMZ到Local的安全策略。
9、创建,DMZ到Local安全策略。
10、创建完成后,再使用服务器去ping 172.30.12.1发现可以正常ping通。
五、Untrust外网主机,如何可以访问到DMZ中主机呢?
1、配置DMZ到Untrust安全策略,允许通行。然后再配置Untrust到DMZ策略,允许通行,如下所示。
2、安全策略已经放行,如果从Untrust访问内网,必须要配置服务器端口映射。在策略中,找到NAT,然后找到NAT内部服务器--策略配置。
3、名称,可以自定义,选择外部Untrust接口,GE1/0/1,协议类型为TCP,6,映射方式:外网地址单一,未使用外网端口或外网端口单一。
4、外网地址:使用当前接口的主IP地址作为内部服务器的外网地址
Easy IP
。外网端口1082,内部服务器IP地址为监控服务器的IP地址:172.30.11.42,内部服务器端口1082。
5、创建1082和8000两个端口外网映射。这两个端口都需要映射,才可以进行监控访问。
6、从外网可以正常ping 192.168.183.101
7、使用telnet命令访问外网口映射端口号。
8、可以正常访问映射到内部服务器1082端口。
9、使用web界面,打开外网口IP地址,192.168.183.101:1082发现可以正常打开。
标签: H3C防火墙配置安全域H3C防火墙配置服务器外网映射H3C防火墙配置IP地址H3C防火墙基本设置
相关文章
生活中,我们可能会遇到连接网线后,对应端口指示灯不亮的问题。今天小编给大家带来该问题的解决办法。 一、WAN口指示灯不亮 路由器WAN口连接猫、入户宽带或上级设备(主路由器......
2022-08-10 362 无线路由器
方法一: 在TP-Link TL-WR882N路由器的电源插口旁边,有一个复位按钮:Reset,请先在你自己的TL-WR882N路由器上,找到这个Reset按钮。先把TP-Link TL-WR882N路由器的电源插上,然后一直按住Res......
2023-01-14 216 无线路由器恢复出厂设置
我们都知道如今的智能手机连wifi时都能自动记住密码,所以导致许多人没有记wifi密码,当手机更新,换手机后却无法连上wifi了,那么路由器WiFi密码忘记了怎么办?下面,就来跟大家讲......
2023-10-29 205 路由器密码忘记了
1、W303R路由器安装 ①电话线上网:请准备2根较短的网线,一根网线用来连接ADSL Modem(猫)与腾达W303R路由器的WAN接口;另一根网线用来连接腾达W303R路由器上的任意一个LAN(1/2/3/4)接口与计算......
2023-01-29 222 腾达W303R 无线路由器ADSL上网设置
今天有网友向学无忧提出一个问题,说他可以上QQ,但网页却打不开,出现这种 qq可以上网页打不开 问题基本有几种情况,下面就来讲讲这方面的问题,希望能解决你的问题。 如果你的......
2016-11-25 202 网络故障解决