ensp基础实验(USG-6000V防火墙,服务器NAT)
USG-6000V
admin //默认登录账号
Admin@123 //默认登录密码
然后会提示 是否修改密码 输入 y 回车
请输入旧密码 Admin@123 回车
请输入修改后密码 Huawei@123 回车
请再次输入修改后密码 Huawei@123 回车
进入命令行视图
sys
配置接口IP地址
interface GigabitEthernet1/0/0
ip address 192.168.1.254 255.255.255.0
service-manage all permit
interface GigabitEthernet1/0/1
ip address 100.1.1.1 255.255.255.0
service-manage all permit
quit
配置防火墙区域
firewall zone untrust //防火墙区域 untrust区
add interface GigabitEthernet1/0/1 //添加 g1/0/1接口到此区域
firewall zone dmz //防火墙区域 dmz区
add interface GigabitEthernet1/0/0 //添加 g1/0/0接口到此区域
quit
配置默认路由
ip route-static 0.0.0.0 0.0.0.0 100.1.1.2
配置nat服务
nat server http protocol tcp global 100.1.1.1 10000 inside 192.168.1.1 www
// nat(地址转换) server(服务) http(名称,默认不填从0开始) protocol tcp(协议 tcp) global(转换到全局公网出口IP) 100.1.1.1(公网IP地址) 10000(公网端口号) inside(内网服务器IP地址) 192.168.1.1(内网服务器IP ) www (内网服务器端口号,填写80会变成www)
80对应的是 www
21对应的是ftp
nat server ftp protocol tcp global 100.1.1.1 10001 inside 192.168.1.2 ftp
配置nat地址组
nat address-group nat1 0 // nat地址组 nat1(名称) 0(序号)
mode pat (模式 pat)
section 0 100.1.1.1 100.1.1.1 (公网IP地址)
安全策略
security-policy
配置服务器区到外网的策略
rule name dmz-to-untrust (规则名称 dmz-to-untrust)
source-zone dmz (源区域 dmz区)
destination-zone untrust (目的区域 untrust区)
action permit (执行动作 允许)
//即 允许 服务器所在的DMZ区域 访问 外网的untrust
配置外网访问服务器的策略
rule name untrust-to-dmz(规则名称 untrust-to-dmz)
source-zone untrust(源区域 untrust区)
destination-zone dmz(目的区域 dmz区)
destination-address 192.168.1.1 mask 255.255.255.255(目的IP地址 192.168.1.1 mask 255.255.255.255 32位掩码代表是一台主机)
destination-address 192.168.1.2 mask 255.255.255.255
service ftp (ftp服务)
service http(http服务)
action permit(执行动作 允许)
//即 允许外网的untrust 访问 DMZ区域 的服务器 192.168.1.1 和 192.168.1.2
AR1
sys
interface GigabitEthernet0/0/0
ip address 100.1.1.2 255.255.255.0
interface GigabitEthernet0/0/1
ip address 172.16.1.254 255.255.255.0
至此 服务器通过防火墙USG6000V 映射 供外网PC访问设置成功
