0014华为防火墙配置.ppt

《0014华为防火墙配置.ppt》由会员分享，可在线阅读，更多相关《0014华为防火墙配置.ppt（20页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、华为3Com培训中心华为防火墙安装华为防火墙安装华为防火墙安装华为防火墙安装企业客户培训资料企业客户培训资料企业客户培训资料企业客户培训资料本节大纲：本节大纲：本节大纲：本节大纲：lFTP升级配置lFTP备分配置l用户管理配置lDHCP配置FTP FTP 升级升级升级升级ComwareComware主体软件主体软件主体软件主体软件(一一一一)l1.组网需求l使用FTP 升级Comware 主体软件，防火墙作为Client。FTP 服务器IP 地址为172.16.104.110。FTP 用户名为ftpuser，密码为pwd。FTP FTP 升级升级升级升级ComwareComware主体软件主体

2、软件主体软件主体软件(一一一一)l配置步骤l请按如下方法进行操作：l#（提示）删除防火墙存储设备中的多余文件，以保证剩余足够的空间，用于存储l新的系统文件。l dirlDirectory of flash:/l1-rw-939 Nov 29 2004 15:08:44 config.cfgl2-rw-8985472 Dec 19 2004 14:52:08 main.binl3-rw-969 Oct 29 2004 16:10:20 sip.cfgl31877 KB total(17007 KB free)l delete/unreserved sip.cfgFTP FTP 升级升级升级升级C

3、omwareComware主体软件主体软件主体软件主体软件(一一一一)l#以FTP 方式登录服务器，获取系统主体软件，并存放于防火墙存储设备的根目录l下。l#获取的系统文件必须存放在防火墙存储设备的根目录下（flash:），文件名为l“system”。l ftp 172.16.104.110lTrying 172.16.104.110.lConnected to 172.16.104.110.l220 WFTPD 2.0 service(by Texas Imperial Software)ready for new userlUser(172.16.104.110:(none):ftpuse

4、rl331 Give me your password,pleaselPassword:xxxxxxxl230 Logged in successfullyFTP FTP 升级升级升级升级ComwareComware主体软件主体软件主体软件主体软件(一一一一)lftp binarylftp get comware3.cc systeml200 PORT command okayl150 D:ftpusersystemcomware3.cc file ready to send(5805100 bytes)inlIMAGE/Binary model226 Transfer finished su

5、ccessfully.lFTP:5805100 byte(s)received in 19.898 second(s)291.74Kbyte(s)/sec.lftp byel升级成功后重新启动防火墙，运行升级的版本。l 说明：l当在升级过程中时，若FTP 服务器因故障或其它原因导致与防火墙（FTP Client）l的连接中断时，用户可以通过键入快捷键强行退出。FTP FTP 升级升级升级升级ComwareComware主体软件主体软件主体软件主体软件(二二二二)l使用FTP 升级Comware 主体软件，防火墙作为Server。防火墙以太网口的IP 地址为172.16.104.110。FTP

6、用户名为ftpuser，密码为pwd。FTP FTP 升级升级升级升级ComwareComware主体软件主体软件主体软件主体软件(二二二二)l配置步骤l(1)配置防火墙l#添加FTP 授权用户名和密码。lH3C local-user ftpuserlH3C-luser-ftpuser password simple pwdlH3C-luser-ftpuser service-type ftp ftp-directory flash:/ftp/ftpuserl#启动FTP 服务。lH3C ftp server enableFTP FTP 升级升级升级升级ComwareComware主体软件主体

7、软件主体软件主体软件(二二二二)l（提示）删除防火墙存储设备中的多余文件，以保证剩余足够的空间，用于存储新的系统文件。l dirlDirectory of flash:/l1-rw-939 Nov 29 2004 15:08:44 config.cfgl2-rw-8985472 Dec 19 2004 14:52:08 systeml3-rw-969 Oct 29 2004 16:10:20 sip.cfgl31877 KB total(17007 KB free)l delete/unreserved sip.cfgFTP FTP 升级升级升级升级ComwareComware主体软件主体软件

8、主体软件主体软件(二二二二)l(2)配置PCl#以FTP 方式登录防火墙，上传Comware 软件，并存放于防火墙存储设备的根目l录下。lftp put comware3.cc systeml升级成功后重新启动防火墙，运行升级的版本。l 说明：l利用FTP 功能升级配置文件时，操作步骤与上述介绍完全一致，需要注意的是获取l后的配置文件config.cfg 同样要放在防火墙的根目录下（flash:）FTP FTP 备份备份备份备份l通过FTP 备份配置文件有两种方法：l一、防火墙作为FTP Server，将防火墙上的配置文件下载到PC（FTP Client）上。l防火墙启动后，进行如下配置：lH

9、3C local-user ftpuserlH3C-luser-ftpuser password simple pwdlH3C-luser-ftpuser service-type ftp ftp-directory flash:/ftp/ftpuserFTP FTP 备份备份备份备份l然后在已经与防火墙连通的PC 上建立到防火墙的FTP 连接，并备份配置文件：lC:ftp x.x.x.xl get remotefile localfilel200 Port command okay.l150 Server okay,now transmit file.l226 file transmit s

10、uccess.lftp:735 bytes received in 0.06Seconds 12.25Kbytes/sec.l其中remotefile 文件为防火墙上的配置文件。FTP FTP 备份备份备份备份l二、防火墙作为FTP Client，将防火墙中的配置文件上传到PC（FTP Server）中。l在已经与防火墙连通的PC 上启动FTP Server 并配置授权信息，然后在防火墙上执l行如下命令：l ftp x.x.x.xlftp put localfile remotefile l其中localfile 文件应为防火墙上的配置文件。用户管理举例用户管理举例用户管理举例用户管理举例l使

11、用password 方式认证用户l要求对从VTY 0 登录的用户进行password 认证，用户登录时需要输入口令pwd 才l能登录成功，用户优先级为3。操作命令如下：l system-viewlH3C user-interface vty 0lH3C-ui-vty0 authentication-mode passwordlH3C-ui-vty0 set authentication password simple pwdlH3C-ui-vty0 user privilege level 3用户管理举例用户管理举例用户管理举例用户管理举例l使用本地用户数据库进行用户认证l要求用户从VTY 0

12、 登录时输入已配置的用户名myuser 和对应的口令pwd，用户名l和口令正确才能登录成功。操作命令如下：l system-viewlH3C user-interface vty 0lH3C-ui-vty0 authentication-mode schemelH3C-ui-vty0 quitlH3C local-user myuserlH3C-luser-myuser password simple pwdlH3C-luser-myuser service-type telnetlH3C-luser-myuser level 3lH3C domain systemlH3C-isp-syste

13、m scheme localDHCPDHCP配置举例配置举例配置举例配置举例lDHCP服务器为同一网段中的客户端动态分配IP地址，地址池网段10.1.1.0/24分为两个网段：10.1.1.0/25和10.1.1.128/25。DHCP服 务 器 两 个 GigabitEthernet接 口 的 IP地 址 分 别 为10.1.1.1/25和10.1.1.129/25。l网段10.1.1.0/25内的地址租用期限为10天12小时，域名为，DNS地址为10.1.1.2，无NetBIOS地址，出口路由器地址为10.1.1.126；l网段10.1.1.128/25网段内的地址租用期限为5天，域名为，

14、DNS地址为10.1.1.2，NetBIOS地址为10.1.1.4，出口路由器的地址为10.1.1.254。DHCPDHCP配置步骤配置步骤配置步骤配置步骤l启动DHCP服务。l system-viewlRouter dhcp enablel配置不参与自动分配的IP地址（包括DNS服务器地址、NetBIOS和出口网关地址）。lRouter dhcp server forbidden-ip 10.1.1.2lRouter dhcp server forbidden-ip 10.1.1.4lRouter dhcp server forbidden-ip 10.1.1.126lRouter dhcp

15、 server forbidden-ip 10.1.1.254DHCPDHCP配置步骤配置步骤配置步骤配置步骤l配置DHCP地址池0的共有属性（地址池范围、域名、DNS地址）。lRouter dhcp server ip-pool 0lRouter-dhcp-0 network 10.1.1.0 mask 255.255.255.0lRouter-dhcp-0 domain-name lRouter-dhcp-0 dns-list 10.1.1.2l 配置DHCP地址池1的属性（地址池范围、出口网关、地址租用期限）。lRouter dhcp server ip-pool 1lRouter-dh

16、cp-1 network 10.1.1.0 mask 255.255.255.128lRouter-dhcp-1 gateway-list 10.1.1.126lRouter-dhcp-1 expired day 10 hour 12DHCPDHCP配置步骤配置步骤配置步骤配置步骤l配置接口GE1/0/0下的客户端从全局地址池中获取IP地址lRouter interface gigabitethernet 1/0/0lRouter-GigabitEthernet1/0/0 ip address 10.1.1.1 255.255.255.128lRouter-GigabitEthernet1/0

17、/0 dhcp select globall配置接口GE1/0/1下的客户端从全局地址池中获取IP地址lRouter interface gigabitethernet 1/0/1lRouter-GigabitEthernet1/0/1 ip address 10.1.1.129 255.255.255.128lRouter-GigabitEthernet1/0/1 dhcp select globalDHCPDHCP中继配置中继配置中继配置中继配置l进入要实现DHCP中继功能的接口，为其配置IP地址和地址掩码以使其和DHCP客户端属于同一个网段lRouter interface gigabitethernet 1/0/0lRouter-GigabitEthernet1/0/0 ip address 10.110.1.1 255.255.0.0l#为该接口配置IP中继地址以指明DHCP服务器的位置lRouter-GigabitEthernet1/0/0 ip relay address 202.38.1.2l#使能接口的DHCP中继功能lQuidway-GigabitEthernet1/0/0 dhcp select relaylDHCP服务器的配置略。