首頁 > 開發者 > 網站開發

H3C F1000-S防火牆基礎配置及telnet登入!

來源:互聯網
上載者:User
創建阿里雲帳戶,並獲得超過 40 款產品的免費試用版;而企業帳戶則可以享有總值 $1200 的免費試用版。立即註冊!

標籤:software   防火牆   return   拓撲圖      

一、情境說明:

  準備調試的防火牆在機房,由於現場配置比較麻煩,所以決定先調測到可以通過核心交換下面的一台跳板機可以訪問後在遠端偵錯。


二、拓撲圖:

  拓撲如下:外網通過箭頭1的方向訪問到箭頭2所指向的跳板機,然後如logo覆蓋的箭頭3所示在通過跳板機訪問與華為9306的互聯的H3C防火牆,相關連接埠、規劃IP。

  H3C SecPath F1000-S-AI版本如下:

  Comware Software, Version 5.20

  註:請忽略拓撲標誌都是思科標誌,看懂即可。

650) this.width=650;" src="https://s5.51cto.com/wyfs02/M01/8D/DA/wKioL1itDJmwhrw3AABKTI2rvPo174.png-wh_500x0-wm_3-wmp_4-s_702203787.png" title="QQ20170222115134.png" alt="wKioL1itDJmwhrw3AABKTI2rvPo174.png-wh_50" />


三、配置過程:

1、開啟telnet使能:

<H3C>sys            #進入配置視圖介面

System View: return to User View with Ctrl+Z.

[H3C]telnet server enable        #開啟telnet訪問


2、配置訪問串連數和認證方式:

[H3C]user-interface vty 0 4                      #進入vty視圖

[H3C-ui-vty0-4]authentication-mode scheme        #配置認證方式為使用者名稱、密碼訪問

[H3C-ui-vty0-4]quit                              #退出VTY視圖


3、配置訪問使用者:

[H3C]local-user admin                #進入使用者配置視圖(也可以建立使用者)

[H3C-luser-admin]dis this            #查看使用者當前配置,如下

#

local-user admin

 password cipher $c$3$owgVrLye7oqSE+DeOvQyxOUxl6eRFdNX

 authorization-attribute level 3

 service-type telnet

 service-type web

#

return


[H3C-luser-admin]password sim (your password)         #設定密碼

[H3C-luser-admin]authorization-attribute level 3        #配置使用的命令層級

[H3C-luser-admin]service-type telnet                    #配置使用者為telnet登入方式;  

[H3C-luser-admin]quit                                   #退出使用者配置模式;   


4、配置訪問安全域:

  配置的時候這個地方出了點問題,就是加入允許通過的連接埠時提示錯誤了,開始以為是鏈路沒有啟用的問題結果不是,實際原因下面有講到。

[H3C]zone name trust                #建立安全網域名稱字為trust;

[H3C-zone-trust]import interface GigabitEthernet 0/0      #加入允許的連接埠;  

 Error: The interface has been added to another zone.     #結果提示出錯了;

[H3C-zone-trust]dis this                                  #查看了一下當前配置沒問題;

#

zone name Trust id 2

 priority 85

 ip virtual-reassembly

#

return

[H3C-zone-trust]quit        #退出安全網域設定視圖,先去配置與9306互聯的連接埠;


5、組態管理連接埠:

  因為只是臨時配置使用,所以只修改預設的管理連接埠即可,配置如下:

[H3C]interface GigabitEthernet 0/0        #進入預設管理連接埠;

[H3C-GigabitEthernet0/0]dis this          #查看當前配置;

#

interface GigabitEthernet0/0

 port link-mode route

 ip address 192.168.0.1 255.255.255.0

#

return


[H3C-GigabitEthernet0/0]ip address 192.168.10.31 255.255.255.0       #修改IP為9306互聯的IP;

[H3C-GigabitEthernet0/0]dis this        #查看確認修改成功;

#

interface GigabitEthernet0/0

 port link-mode route

 ip address 192.168.10.31 255.255.255.0

#

return

[H3C-GigabitEthernet0/0]quit            #退出連接埠配置視圖;


6、確認鏈路正常:

  去9306上檢查與防火牆互聯的連接埠發現shutdown了,取消shutdown,在看防火牆的連接埠提示互聯的連接埠已經開啟了,防火牆自己ping管理連接埠的IP已經通了。

[H3C]

%Feb 21 08:57:37:922 2017 H3C IFNET/3/LINK_UPDOWN: GigabitEthernet0/0 link status is UP.

%Feb 21 08:57:37:923 2017 H3C IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface GigabitEthernet0/0 is UP.


[H3C]ping 192.168.10.31

  PING 192.168.10.31: 56  data bytes, press CTRL_C to break

    Reply from 192.168.10.31: bytes=56 Sequence=0 ttl=255 time=1 ms

    Reply from 192.168.10.31: bytes=56 Sequence=1 ttl=255 time=1 ms

    Reply from 192.168.10.31: bytes=56 Sequence=2 ttl=255 time=1 ms

    Reply from 192.168.10.31: bytes=56 Sequence=3 ttl=255 time=1 ms

    Reply from 192.168.10.31: bytes=56 Sequence=4 ttl=255 time=1 ms


  --- 192.168.10.31 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

    round-trip min/avg/max = 1/1/1 ms


7、繼續配置安全域及問題處理:

  以為這個時候配置安全域,加入允許通過的連接埠已經可以了,但是還是提示上面開始配置時的提示;

[H3C]zone name trust

[H3C-zone-trust]import interface GigabitEthernet 0/0

 Error: The interface has been added to another zone.


  檢查配置發現Management的安全域已經配置了通過的連接埠;

[H3C]dis cur        #查看當前所有配置的命令;

zone name Management id 0

 priority 100

 import interface GigabitEthernet0/0

zone name Local id 1

 priority 100

zone name Trust id 2

 priority 85

zone name DMZ id 3

 priority 50

zone name Untrust id 4

 priority 5


  進入Management安全域,將配置刪掉;

[H3C-zone-trust]zone name Management        #進入到安全域;     

[H3C-zone-Management]undo import interface GigabitEthernet 0/0     #刪除有關0/0連接埠的配置;

[H3C-zone-Management]dis this        #查看確認配置已經刪除;

#

zone name Management id 0

 priority 100

 ip virtual-reassembly

#

return


  刪除上面的配置後,配置新的安全域允許通過的連接埠不在提示錯誤了。

[H3C-zone-Management]zone name trust                        #進入建立安全域;

[H3C-zone-trust]import interface GigabitEthernet 0/0        #添加配置;

[H3C-zone-trust]quit        #退出安全網域設定;


8、添加一條到9306的預設路由配置,並檢查到9306是否已經互連;

[H3C]ip route-static 0.0.0.0 0.0.0.0 192.168.10.254        #添加到0306的路由配置;

[H3C]ping 192.168.10.254                    #檢查到9306還是不通;

  PING 192.168.10.254: 56  data bytes, press CTRL_C to break

    Request time out

    Request time out

    Request time out

    Request time out

    Request time out


  --- 192.168.10.254 ping statistics ---

    5 packet(s) transmitted

    0 packet(s) received

    100.00% packet loss


[H3C]interzone policy default by-priority        #添加一條域間存取原則;

[H3C]ping 192.168.10.254                         #測試訪問還是不通;                 

  PING 192.168.10.254: 56  data bytes, press CTRL_C to break

    Request time out

    Request time out

    Request time out

    Request time out

    Request time out


  --- 192.168.10.254 ping statistics ---

    5 packet(s) transmitted

    0 packet(s) received

    100.00% packet loss


9、檢查互聯連接埠配置解決問題:

  檢查一下與9306互聯連接埠的配置發現9306的連接埠沒有配置透傳的vlan,9306上給連接埠添加上vlan,在檢查就通了。

[H3C]ping 192.168.10.254

  PING 192.168.10.254: 56  data bytes, press CTRL_C to break

    Reply from 192.168.10.254: bytes=56 Sequence=0 ttl=255 time=2 ms

    Reply from 192.168.10.254: bytes=56 Sequence=1 ttl=255 time=6 ms

    Reply from 192.168.10.254: bytes=56 Sequence=2 ttl=255 time=4 ms

    Reply from 192.168.10.254: bytes=56 Sequence=3 ttl=255 time=3 ms

    Reply from 192.168.10.254: bytes=56 Sequence=4 ttl=255 time=2 ms


  --- 192.168.10.254 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

    round-trip min/avg/max = 2/3/6 ms


10、退出儲存配置:

[H3C]quit        #退出配置視圖模式;

<H3C>save        #儲存配置;

The current configuration will be written to the device. Are you sure? [Y/N]:y

Please input the file name(*.cfg)[flash0:/startup.cfg]

(To leave the existing filename unchanged, press the enter key):

 Validating file. Please wait....

 Configuration is saved to device successfully.


11、遠程telnet訪問確認訪問正常;

  CRT建立一個telnet會話訪問該防火牆,已經可以訪問,輸入使用者名稱、密碼後登入也正常。確認配置完成。

650) this.width=650;" src="https://s3.51cto.com/wyfs02/M01/8D/DA/wKioL1itG4TTEeEpAAAlNk3I-dc302.png-wh_500x0-wm_3-wmp_4-s_3054280000.png" title="666666.png" alt="wKioL1itG4TTEeEpAAAlNk3I-dc302.png-wh_50" />


實現後的總結:

  本人對網路裝置配置基本處於小白狀態,所以本次配置其實走了一點彎路好在及時發現問題並解決了問題。通過本次配置發現在配置網路裝置之前,對於裝置現有的配置做一個瞭解,做到心中架構清晰,配置起來才能針對問題處理。同時在配置之前確認要實現的目的使用那些命令,有助於在配置過程中事半功倍。


  文章為個人配置過程的整理,如有不正之處,敬請指出。

本文出自 “榮書” 部落格,請務必保留此出處http://rongshu.blog.51cto.com/681368/1900182

H3C F1000-S防火牆基礎配置及telnet登入!

本文章原先以中文撰寫並發佈於 aliyun.com,亦設英文版本,僅作資訊用途。本網站不對文章的準確性,完整性或可靠性或其任何翻譯作出任何明示或暗示的陳述或保證。如對該文章有任何疑慮或投訴,請傳送電郵至 info-contact@alibabacloud.com 並提供相關疑慮或投訴的詳細說明。職員會於 5 個工作天內與您聯絡,一經驗證之後,即會刪除該侵權內容。

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

Get Started for Free

  • Sales Support

    1 on 1 presale consultation

    Chat Contact Sales

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

    Open a Ticket

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.

    Learn More