华为防火墙NAT综合配置 1.1 问题 只有PC可以telnet到防火墙,ISP不能telnet防火墙 配置安全策略和服务器发布,使Client1可以访问Server1的HTTP服务 配置安全策略和Easy IP,使Server1通过地址转换ping通PC 1.2 方案 搭建实验环境,如图-1所示。
图-1
1.3 步骤 实现此案例需要按照如下步骤进行。
1)只有PC可以telnet到防火墙(ISP不能telnet防火墙)
telnet server enable interface GigabitEthernet1/0/0 ip address 200.1.1.1 255.255.255.252 service-manage telnet permit interface GigabitEthernet1/0/1 ip address 192.168.1.254 255.255.255.0 firewall zone trust add interface GigabitEthernet1/0/1 firewall zone untrust add interface GigabitEthernet1/0/0 aaa manager-user admin password cipher hao123.com service-type web telnet level 15 user-interface vty 0 4 authentication-mode aaa protocol inbound all ip route-s 0.0.0.0 0.0.0.0 200.1.1.2 测试:PC可以telnet防火墙;ISP也可以telnet防火墙。 acl 2000 rule 5 permit source 200.2.2.1 0 user-interface vty 0 4 acl 2000 inbound测试:PC可以telnet防火墙;ISP不能telnet防火墙。 2)配置安全策略和服务器发布
使Client1可以访问Server1的HTTP服务(但Client1不能ping通Server1)。
配置安全策略和服务器发布,如图-2和图-3所示。
图-2
图-3
3)配置安全策略和Easy IP
配置安全策略和Easy IP,使Server1通过地址转换ping通PC(模拟上网),如图-4和图-5所示。
图-4
图-5
