[USG5300] dhcp enable (启用dhcp服务,缺省情况下启用)
[USG5300] interface Vlan-interface2
[USG5300-Vlanif2] ip address 219.225.149.1 255.255.255.0
[USG5300-Vlanif2] dhcp select interface (启用接口的DHCP功能)
[USG5300-Vlanif2] dhcp server static-bind ip-address 219.225.149.8 mac-address 00e0-4c58-0d26(做IP与mac绑定, 对于一些特定的客户端(例如WWW服务器)需要静态分配固定IP地址,此时可以在DHCP服务器侧绑定IP地址和特定客户端MAC地址。) [USG5300-Vlanif2] dhcp server dns-list 219.225.128.6 219.225.159.6(指定DNS地址)
[USG5300-Vlanif2] dhcp server ip-range 10.1.1.1 10.1.1.100 (配置接口地址池的IP地址范围, 缺省情况下,接口地址池的地址范围就是接口的IP地址所在的网段)
[USG5300] dhcp server forbidden-ip 10.110.1.1 10.110.1.63 (配置DHCP地址池中不参与自动分配的IP地址)
2.3.2全局DHCP功能
[USG5300] dhcp enable
[USG5300] dhcp server ip-pool 136 (定义一个全局的地址池,名子自己定义) [USG5300-dhcp-136]network 219.225.136.0 mask 255.255.255.0(这个地址池可供分配的IP段)
[USG5300-dhcp-136]gateway-list 219.225.136.1(必须写网关,否则自动分配的IP地址无网关)
[USG5300-dhcp-136]dns-list 219.225.128.6(DNS配置)
[USG5300-dhcp-136] static-bind ip -address 10.1.1.1 mask 255.255.255.0 [USG5300-dhcp-136] static-bind mac-address 0000-e03f-0305
#
[USG5300]dhcp server ip-pool 149(定义一个全局的地址池,名子自己定义) [USG5300-dhcp-149]network 219.225.149.0 mask 255.255.255.0(这个地址池可供分配的IP段)
[USG5300-dhcp-149]gateway-list 219.225.149.1(自动获取的IP主机获得的网关)
[USG5300-dhcp-149]dns-list 219.225.128.6(DNS配置)
[USG5300]interface Vlan-interface2 (定义vlan接口,自由定义)
[USG5300-Vlanif2]dhcp select globle(接口上启用dhcp select globle功能)
[USG5300-Vlanif2]ip address 219.225.136.1 255.255.255.0(vlan接口必须要分一个IP,即与网关相同的IP,系统根据接口IP与掩码确定自动分配哪一个IP-Pool的IP)
[USG5300] interface Vlan-interface3 (定义vlan接口,自由定义)
[USG5300-Vlanif3]dhcp select globle(接口上启用dhcp select globle功能)
[USG5300-Vlanif3]ip address 219.225.149.1 255.255.255.0(vlan接口必须要分一个IP,即与网关相同的IP,系统根据接口IP与掩码确定自动分配哪一个IP-Pool的IP)
2.4 配置透明模式
目前华为的防火墙不支持透明模式的命令,只能用Vlan,把端口加入到vlan的方式。 [USG5300] vlan 2
[USG5300] int g0/0/0
[USG5300-GigabitEthernet0/0/0] portswitch
[USG5300-GigabitEthernet0/0/0] port link-type access [USG5300-GigabitEthernet0/0/0] port access vlan 2 [USG5300] int g0/0/1
[USG5300-GigabitEthernet0/0/1]portswitch
[USG5300-GigabitEthernet0/0/1] port link-type access [USG5300-GigabitEthernet0/0/1] port access vlan 2
然后把相应的端口加入到相应的区域就可以了!一般只需要加物理接口即可。 如果防火墙只是用在服务器和内网之间,一般将连接服务器接口设置为trust,将内网设置为untrust。
子接口的配置方法:子接口不能配置portswitch命令,可以将子接口划分到某个vlan。 [USG5300-GigabitEthernet0/0/3]int g0/0/3.1
[USG5300-GigabitEthernet0/0/3.1]vlan-type dot1q 60
设置GigabitEthernet 0/0/3.1与VLAN ID 60相关联,以太网子接口GigabitEthernet 0/0/3.1的封装格式为dot1q
2.5 配置时钟
用户模式下
2.6 系统更新
2.6.1 使用命令进行升级
1、 先将升级文件上传到防火墙
2、
启动时使用的版本文件。
时使用的配置文件,这个是可选配置 3、 display startup ###验证配置
4、 使用reboot重启防火墙,执行reboot命令后,设备将会显示两次提示信息,询问是否
继续,请您不保存配置重新启动。
5、 用户模式命令。如果有license可以通过命令加载license。系统视图命令:
[USG5300]license file license.dat,然后使用reboot命令重新启动系统,重新启动时请一定不要保存配置。
6、 加载补丁的方法:
1、在任意视图下,执行display patch-information,查看补丁信息。显示示例如下:
2、如果没有补丁信息可以直接加载补丁;如果有补丁信息,需要先删除原有补丁再加载,示例如下:
[USG5300] patch delete V300R001C10SPH101.pat
3、加载补丁:[USG5300] patch load V300R001C10SPH102.pat 4、激活补丁[USG5300] patch active V300R001C10SPH102.pat
5、运行补丁[USG5300] patch run V300R001C10SPH102.pat
2.6.2 使用图形界面升级
点击维护—系统更新
选择需要更新的系统文件,点击导入。
使用图形界面升级的时候,升级完成后不需要保存配置。直接重启就是。
用图形界面加载License的方法如下:选择License文件,然后点击激活。
2.7 防火墙策略的配置
策略需求:
对于policy interzone trust dmz outbound之间的策略有以下需求: 1、源地址为10.28.197.143能访问所有的目的地址,服务全部开放。
2、源地址是所有的,目的地址是192.168.1.5、192.168.1.6和192.168.1.7开放80、8080、443和3389端口。
3、源地址是所有的访问目的地址是192.168.1.10、192.168.1.11的服务全部开放。 这三个都要求开放icmp协议。
在这里源为优先级高的10.28.197.X的trust区,目的为优先级低的192.168.1.X的dmz区。
如果策略里不知道源和目的就是指any
配置方法:
ip service-set test1 type object //创建自定义服务 service 0 protocol tcp destination-port 8080 service 1 protocol tcp destination-port 3389 也可以指定一个范围,比如:
service 1 protocol tcp destination-port 8080 to 8090
ip service-set test type group //创建服务组,可以将创建的自定义服务或者预定义的服务加到服务组里。
service 0 service-set http service 1 service-set https service 2 service-set icmp
service 3 service-set test1 //将以上创建的自定义服务添加到服务组里
policy interzone trust dmz outbound //配置域间包过滤策略,3个需求3个policy策略 policy 0 action permit
policy source 10.28.197.143 mask 255.255.255.255 policy 1