思科防火墙，h3c三层交换机配置笔记

h3c:

进入超级终端 system-view 进入配置模式

1、交换机默认有个一vlan vlanID 为1

2、vlan划分

用vlan {vlanID} 新建立一个vlan，进入相应vlan ，name {text}命令用于配置相应vlan的名字。display vlan 显示vlan相关信息，参数all显示所有vlan 。 基于端口的vlan划分，进入相应的vlan，vlan {vlanID}后使用port命令，删除端口 undo port。

3、vlan ip配置

使用interface Vlan-interface {vlanID}命令，使用创建vlan接口，进入接口模式。ip address {ip地址} {子网掩码}

4、静态路由

ip route-static {目标地址} {netmask} {下一条地址}

删除静态路由undo ip route-static ……

5、使用访问控制列表 acl 控制vlan间互访

acl {Number}

2000～2999：表示基本ACL。

3000～3999：表示高级ACL（ACL 3998与3999是系统为集群管理预留的编号，用户无法配置）。

4000～4999：表示二层ACL。

5000～5999：表示用户自定义ACL。

基本ACL:

rule {permit|deny} [fragment|source { sour-address sour-wildcard | any }|time-range]

deny：表示丢弃符合条件的数据包。

permit：表示允许符合条件的数据包通过。

fragment：指定该规则仅对非首片分片报文有效。

source { sour-address sour-wildcard | any }：指定ACL规则的源地址信息。sour-addr指定源IP地址，点分十进制表示。sour-wildcard为目标子网掩码的反码，点分十进制表示。例如，如果用户想指定子网掩码255.255.0.0，则需要输入0.0.255.255。sour-wildcard可以为0，表示主机地址。any代表任意地址。

time-range：这条ACL规则在该时间段内有效。

如 rule deny 192.168.2.0 0.255.255.255

掉丢所有源地址是192.168.2.0网段的数据包

注意acl 要下发到相应的interface上

使用acl可以控制端口或vlan间的通讯状态.

静态路由设置为跳到防火墙内网接口上。

==============================================================================

cisco 防火墙 asa系列

使用超级终端 com口连接防火墙进入系统

en 进入特权模式，需呀密码

wr 命令可以清除配置，清除配置后第一次登入系统会进入系统配置向导模式，no后进入提示符

wr m 保存配置

configure termianl 进入配置模式

要点：

1、配置相应接口ip和端口名称，激活相应端口

interface进入相应端口

nameif 设置端口名称

ip address 设置ip地址

no shut 激活接口
2、路由配置：

一条是向外跳到公网网关，一条是跳到三层接防火墙vlan的网关上。

route {接口} {网段} {netnask} {下一跳地址}

接口为网下一跳地址所用接口。

3、网络地址转换

网络地址翻译（nat）作用是将内网的私有ip转换为外网的公有ip.Nat命令总是与global命令一起使用，这是因为nat命令可以指定一台主机或一段范围的主机访问外网，访问外网时需要利用global所指定的地址池进行对外访问

nat (if_name) [nat_id local_ip] [netmark]

定义需要进行地址转换的本地ip段，if_name 要转换的地址来自哪个端口。nat_id与global

global (if_name) [nat_id] [ip_address-ip_address]

把内网的ip地址翻译成外网的ip地址或一段地址范围。

4、端口映射要点

1、access-list101 extended permit ip any anyaccess-group 在外网口的in方向

2、static （内网接口,外网接口) tcp interface www 内部服务器ip www netmask 255.255.255.255

3、alias ({来源接口}） {替换的ip} {符合条件ip} {netmask}

4、icmp dey any echo outside

timeout xlate 设置某个内部设备向外部发出的ip包经过翻译(global)后，在此时间之后此数据包若没有活动，此前创建的表项将从翻译表中删除，释放该设备占用的全局地址 。

show用于显示信息

show interface查看端口状态，show static查看静态地址映射，show ip查看接口ip地址，ping outside |inside ip_address确定连通性。