管理员登录设备后,首先要对设备进行网络基础配置,使设备快速接入网络。 组网需求如 图1所示,企业购买了FW作为企业出口网关。管理员在登录FW后,首先需要对FW进行网络基础配置,包括设备名称、时钟、接口IP地址、安全区域、缺省路由及缺省包过滤的配置。 图1 网络基础配置组网图
操作步骤配置设备名称。
<FW> system-view[FW] sysname FW_A[FW_A] quit
配置时钟,包括当前时间和时区。
<FW> clock datetime 18:10:45 2014-01-01<FW> clock timezone BJ add 08:00:00因北京处于+8时区,时间偏移量增加了8;所以在配置时,就需要在系统默认的UTC时区的基础上,加上偏移量8,才能得到预期的BJ时区。
配置接口的IP地址。
连接外网的接口IP地址(本例为10.1.1.1/24)需要从当地ISP获取。 <FW_A> system-view[FW_A] interface GigabitEthernet 0/0/0[FW_A-GigabitEthernet0/0/0] ip address 192.168.1.1 24[FW_A-GigabitEthernet0/0/0] quit[FW_A] interface GigabitEthernet 0/0/1[FW_A-GigabitEthernet0/0/1] ip address 10.1.1.1 24[FW_A-GigabitEthernet0/0/1] quit[FW_A] interface GigabitEthernet 0/0/2[FW_A-GigabitEthernet0/0/2] ip address 1.1.1.1 24[FW_A-GigabitEthernet0/0/2] quit
将各个业务接口加入安全区域。
[FW_A] firewall zone trust[FW_A-zone-trust] add interface GigabitEthernet 0/0/0[FW_A-zone-trust] quit[FW_A] firewall zone dmz[FW_A-zone-dmz] add interface GigabitEthernet 0/0/1[FW_A-zone-dmz] quit[FW_A] firewall zone untrust[FW_A-zone-untrust] add interface GigabitEthernet 0/0/2[FW_A-zone-untrust] quit
配置缺省路由。
[FW_A] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
打开缺省包过滤,保证FW能够接入Internet。
一般情况下建议保持缺省包过滤关闭,然后配置具体允许哪些数据流通过的安全策略。
[FW_A] security-policy[FW_A-policy-security] default action permit
配置脚本# sysname FW_A# interface GigabitEthernet0/0/0 ip address 192.168.1.1 255.255.255.0# interface GigabitEthernet0/0/1 ip address 10.1.1.1 255.255.255.0#interface GigabitEthernet0/0/2 ip address 1.1.1.1 255.255.255.0#firewall zone trust set priority 85 add interface GigabitEthernet0/0/0#firewall zone dmz set priority 50 add interface GigabitEthernet0/0/1#firewall zone untrust set priority 5 add interface GigabitEthernet0/0/2#ip route-static 0.0.0.0 0.0.0.0 1.1.1.254# security-policy default action permit #return |