篇首语:
内部网络划分几个不同的Vlan,USG 外网口为GE0/0/0(建议用0/0/0作为外网口),内网口为GE0/0/1,IP:192.168.10.1/24。内部网络通过AD拨号上网。
需要在USG上配置,实现以下功能:
1、 VLAN11下的PC和特定的某些IP能够上网;其余VLAN 不能上网,但是可以访问内部服务器VLAN2;
2、 PC的IP是采用手动配置,暂时不用做DHCP。核心交换机S5700上已经配置了到防火墙GE0/0/1的静态路由:ip route-static 0.0.0.0 0.0.0.0 192.168.10.1,可以ping通USG2210防火墙。
3、 内部网络已经调通,各个vlan之间可以相互访问。所以现在不用理会内网配置,只需要在USG上配置使得VLAN11下的PC和某些特定的IP可以正常上网
USG 2210 (005版本)配置脚本:
<USG2210>dis cu
#配置ACL规则,创建访问列表,只允许VLAN 11网段或特定地址的电脑上网,其它电脑不能上网
acl number 2000
rule 5 permit source 192.168.11.0 0.0.0.255 logging //允许VLAN 11 上网
rule 10 permit source 192.168.3.106 0 logging //允许特定IP:192.168.3.106上网
rule 15 deny //拒绝其他网段的PC上网
#
sysname USG2210
web-manager enable
#
info-center timestamp debugging date
#配置防火墙的缺省过滤动作为允许数据包通过,应用于所有域间
#原命令为firewall packet-filter default permit all,输入后变为以下详细内容:
firewall packet-filter default permit interzone local trust direction inbound
firewall packet-filter default permit interzone local trust direction outbound
firewall packet-filter default permit interzone local untrust direction inbound
firewall packet-filter default permit interzone local untrust direction outbound
firewall packet-filter default permit interzone local dmz direction inbound
firewall packet-filter default permit interzone local dmz direction outbound
firewall packet-filter default permit interzone trust untrust direction inbound
firewall packet-filter default permit interzone trust untrust direction outbound
firewall packet-filter default permit interzone trust dmz direction inbound
firewall packet-filter default permit interzone trust dmz direction outbound
firewall packet-filter default permit interzone dmz untrust direction inbound
firewall packet-filter default permit interzone dmz untrust direction outbound
#防火墙的黑名单过滤类型为以下协议(这个不要打,不用开启黑名单过滤)
firewall blacklist filter-type icmp 只能输入这个命令:firewall blacklist enable
filter-type icmp
firewall blacklist filter-type tcp
firewall blacklist filter-type udp
firewall blacklist filter-type others
#开启防火墙的流量监控统计功能,但本配置未指定日志服务器
firewall statistic system enable
#防火墙接电信的端口IP,从运营商处获取
inte**ce GigabitEthernet0/0/0
description link to wan
#防火墙接内网华为5700交换机的端口IP
inte**ce GigabitEthernet0/0/1
description link to lan
ip address 192.168.10.1 255.255.255.0
#
inte**ce NULL0
#
firewall zone local
#内网口加入可信区
firewall zone trust
set priority 85
add inte**ce GigabitEthernet0/0/1
#外网口加入不可信区
firewall zone untrust
add inte**ce GigabitEthernet0/0/0
#
firewall zone dmz
set priority 50//这个不能更改
#设置TELNET的方法,并且配置VTY(Virtual Type Terminal)用户接口的验证方式为AAA,Telnet用户名为admin,
#口令为密文方式(cipher) password1,级别为level 3,设定授权方案表名称为default。
aaa
local-user admin password cipher password1
local-user admin service-type telnet
local-user admin service-type http //允许web访问
local-user admin level 3
authentication-scheme default
#
authorization-scheme default
#配置计费方案名称为default
accounting-scheme default
#缺省的域名称为default,所有没有指定域的用户都属于这个default域
domain default
#
#配置回程静态路由,回内网的下一跳为192.168.10.254(与华为5700三层交换机GE0/0/1接口相接,该接口属于VLAN 10 的虚拟IP:192.168.10.254)
ip route-static 192.168.11.0 255.255.255.0 192.168.10.254
#
user-inte**ce con 0
#VTY(virtual type terminal) 虚拟终端连接,欲配置的第一个用户终端接口0,欲配置的最后一个用户终端接口4,配置用户终端接口的认证方式
#为AAA(认证、授权、计费) ,inbound方向协议为telnet
user-inte**ce vty 0 4
authentication-mode aaa
protocol inbound telnet
#