VRP命令行
VRP系统命令采用分级保护方式,命令被划分为参观级、监控级、配置级、管理级4个级别。
- 参观级:网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(包括:Telnet客户端、SSH、Rlogin)等,该级别命令不允许进行配置文件保存的操作。
- 监控级:用于系统维护、业务故障诊断等,包括display、debugging命令,该级别命令不允许进行配置文件保存的操作。
- 配置级:业务配置命令,包括路由、各个网络层次的命令,这些用于向用户提供直接网络服务。
- 管理级:关系到系统基本运行,系统支撑模块的命令,这些命令对业务提供支撑作用,包括文件系统、FTP、TFTP、Xmodem下载、配置文件切换命令、备板控制命令、用户管理命令、命令级别设置命令、系统内部参数设置命令等。
防火墙基本配置流程
- 配置网络:使网路互联互通
- 配置对象:管理所有策略的共用元素
- 配置策略:进行网络安全防护和流量管理
配置接口模式
①进入系统视图
system-view
②进入接口视图
interface interface_type interface_number
③配置三层以太网接口或者二层以太网接口
- 配置三层以太网接口
ip address ip-address {mask | mask-length} - 配置二层以太网接口
portswitch
配置安全区域
①进入系统视图
system-view
②创建安全区域(或进入已存在的安全区域),并进入相应的安全区域视图
firewall zone [name] zone_name
- 安全区域已经存在:不必配置关键字name,直接进入安全区域视图
- 安全区域不存在:需要配置关键字name,进入安全区域视图
③若是自建的安全区域,则需要配置安全区域的安全级别
set priority security-priority
注:系统预定义了4个安全区域:local(100)、trust(85)、dmz(50)、untrust(5)。
将接口加入安全区域
①进入系统视图
system-view
②进入相应的安全区域视图
firewall zone [name] zone_name
③将接口加入安全区域
add interface interface-type interfae-number
配置防火墙安全策略
①进入安全策略视图
security-policy
②创建安全策略规则,并进入安全策略规则视图
rule name rule-name
③配置安全则略规则的源安全区域和目的安全区域(本文只是展示安全策略的一部分,更详细的部分在后面继续展示)
source-zone {zone-name & <1-6> | any}
destination-zone {zone-name & <1-6> | any}
④配置对匹配流量的包过滤动作
action {permit | deny}
配置路由
- 配置静态路由
①进入系统视图
system-view
②增加一条静态路由
ip route-static ip-address{mask | mask-length} {interface-type interface-number | next-ip-address} [preference value] [reject | blockhole] - 配置缺省路由
①进入系统视图
system-view
②配置缺省路由
ip route-static 0.0.0.0 {0.0.0.0 | 0} {interface-type interface-number | next-ip-address} [preference value] [reject | blockhole]
设置地址集和服务集
①地址集
ip address-set address-set-name type [object | group]
address 0 192.168.5.2 0
address 1 192.168.5.3 0
address 2 192.168.5.6 0
②服务集
ip service-set service-set-name type [object | group]
service prorocol tcp destination-port 80
service protocol tcp destination-port 8080
service protocol tcp destination-port 8443
注:
- 可用
display predefined-service查看预定义服务的详细信息 - 当type为group时,可以添加地址集和服务集作为成员
