管理員登錄設備後,首先要對設備進行網絡基礎配置,使設備快速接入網絡。
組網需求
如圖3-1所示,企業購買了FW作為企業出口網關。管理員在登錄FW後,首先需要對FW進行網絡基礎配置,包括設備名稱、時鐘、接口IP地址、安全區域、缺省路由及缺省包過濾的配置。
配置完成後,FW能夠成功接入Internet。
圖3-1 網絡基礎配置組網圖
配置思路
- 配置FW的設備名稱。
- 配置FW的時鐘。
- 配置FW各業務接口的IP地址。IP地址需要在配置前進行統一規劃。
- 將各個業務接口加入安全區域。一般情況下,連接外網的接口加入安全級別低的安全區域(例如untrust區域),連接內網的接口加入安全級別高的安全區域(例如trust區域),服務器可以加入DMZ區域。
- 配置缺省路由,下一跳為ISP提供的接入點。
- 打開缺省包過濾,保證FW能夠接入Internet。缺省情況下,缺省包過濾關閉。
操作步驟
1.配置設備名稱
2.配置時鐘,包括當前時間和時區
3.配置接口的IP地址。連接外網的接口IP地址(本例為10.1.1.1/24)需要從當地ISP獲取。
4.將各個業務接口加入安全區域
5.配置缺省路由
[FW_A] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
6.打開缺省包過濾,保證FW能夠接入Internet
配置腳本
#
sysname FW_A
#
interface GigabitEthernet1/0/0
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/2
ip address 1.1.1.1 255.255.255.0
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/0
#
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/1
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/2
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
#
security-policy
default action permit
#
return
分享到:
閱讀更多 IT信息技術隨筆 的文章
