#切换语言模式为中文模式 language-mode chinese # 进入系统视图。
# 配置Ethernet 1/0/0的链路类型并加入VLAN。 [USG2100 B] interface Ethernet 1/0/0
[USG2100 B-Ethernet1/0/0] port access vlan 5 [USG2100 B-Ethernet1/0/0] quit
# 创建VLAN 5所对应的三层接口Vlanif 5,并配置Vlanif 5的IP地址。配置VLAN接口。
[USG2100 B] interface vlanif 5 [USG2100 B-Vlanif5] ip address 24 # 配置Vlanif 5加入Trust区域。 [USG2100 B] firewall zone trust
[USG2100 B-zone-trust] add interface Vlanif 5 [USG2100 B-zone-trust] quit # 配置Ethernet 0/0/0的IP地址。 [USG2100 B] interface Ethernet 0/0/0 [USG2100 B-Ethernet0/0/0] ip address 24 # 进入Untrust区域视图。
[USG2100 B] firewall zone untrust # 配置Ethernet 0/0/0加入Untrust区域。
[USG2100 B-zone-untrust] add interface Ethernet 0/0/0 # 退回系统视图。
[USG2100 B-zone-untrust] quit
# 配置到达对端防火墙和Host 1的静态路由。
[USG2100 B] ip route-static 24 配置ACL规则,允许Host 2所在网段的主机访问Host 1所在网段的主机。 [USG2100 B] acl 3000
[USG2100 B-acl-adv-3000] rule permit ip source destination 退回系统视图。 [USG2100 B-acl-adv-3000] quit
# 配置ACL规则,允许Host 1所在网段的主机访问。 [USG2100 B] acl 3001
[USG2100 B-acl-adv-3001] rule permit ip source 退回系统视图。 [USG2100 B-acl-adv-3001] quit # 进入Trust和Untrust域间视图。
[USG2100 B] firewall interzone trust untrust # 配置域间包过滤规则。
[USG2100 B-interzone-trust-untrust] aspf packet-filter 3000 outbound [USG2100 B-interzone-trust-untrust] aspf packet-filter 3001 inbound # 退回系统视图。
[USG2100 B-interzone-trust-untrust] quit # 配置域间缺省包过滤规则。
[USG2100 B] firewall packet-filter default permit all
#说明:配置所有安全区域间缺省过滤规则为允许,使其能够协商SA。 # 创建名为tran1的IPSec提议。 [USG2100 B] ipsec proposal tran1 # 配置安全协议。
[USG2100 B-ipsec-proposal-tran1] transform esp
# 配置ESP协议认证算法。
[USG2100 B-ipsec-proposal-tran1] esp authentication-algorithm md5 # 配置ESP协议加密算法。
[USG2100 B-ipsec-proposal-tran1] esp encryption-algorithm des # 退回系统视图。
[USG2100 B-ipsec-proposal-tran1] quit # 创建号码为10的IKE提议。 [USG2100 B] ike proposal 10 # 配置使用pre-shared key验证方法。
[USG2100 B-ike-proposal-10] authentication-method pre-share # 配置采用MD5验证算法。
[USG2100 B-ike-proposal-10] authentication-algorithm md5 # 配置ISAKMP SA生存周期为5000秒。
[USG2100 B-ike-proposal-10] sa duration 5000 # 退回系统视图。
[USG2100 B-ike-proposal-10] quit # 创建名为a的IKE Peer。 [USG2100 B] ike peer a # 引用IKE提议。
[USG2100 B-ike-peer-a] ike-proposal 10 # 配置对端IP地址。
[USG2100 B-ike-peer-a] remote-address 配置验证字为“abcde”。 [USG2100 B-ike-peer-a] pre-shared-key abcde #说明:验证字的配置需要与对端设备相同。 # 退回系统视图。
[USG2100 B-ike-peer-a] quit # 创建IPSec策略。
[USG2100 B] ipsec policy map1 10 isakmp # 引用IKE Peer。
[USG2100 B-ipsec-policy-isakmp-map1-10] ike-peer a # 引用IPSec提议。
[USG2100 B-ipsec-policy-isakmp-map1-10] proposal tran1 # 引用组号为3000的ACL。
[USG2100 B-ipsec-policy-isakmp-map1-10] security acl 3000 # 退回系统视图。
[USG2100 B-ipsec-policy-isakmp-map1-10] quit # 进入以太网接口视图。
[USG2100 B] interface Ethernet 0/0/0 # 引用IPSec策略。
[USG2100 B-Ethernet0/0/0] ipsec policy map1 # 退回系统视图。
[USG2100 B-Ethernet0/0/0] quit
3、实验八:配置防火墙GRE隧道
步骤1:配置USG2100 A #输入用户名 admin #输入密码 Admin@123
#切换语言模式为中文模式
[USG2100] sysname USG2100 A # 配置Ethernet 0/0/0的IP地址。 [USG2100 A] interface Ethernet 0/0/0 [USG2100 A-Ethernet0/0/0] ip address 24 [USG2100 A-Ethernet0/0/0] quit # 创建编号为5的VLAN。 [USG2100 A] vlan 5 [USG2100 A-vlan5] quit
# 配置Ethernet 1/0/0的链路类型并加入VLAN。 [USG2100 A] interface Ethernet 1/0/0 [USG2100 A-Ethernet1/0/0] port access vlan 5 [USG2100 A-Ethernet1/0/0] quit
# 创建VLAN 5所对应的三层接口Vlanif 5,并配置Vlanif 5的IP地址。配置VLAN接口。
[USG2100 A] interface vlanif 5 [USG2100 A-Vlanif5] ip address 24 [USG2100 A-Vlanif5] quit # 创建Tunnel1接口。
[USG2100 A] interface tunnel 1 # 配置Tunnel1接口的IP地址。 [USG2100 A-Tunnel1] ip address 24 # 配置Tunnel封装模式。
[USG2100 A-Tunnel1] tunnel-protocol gre
# 配置Tunnel1接口的源地址(USG2100 A的Ethernet 0/0/0的IP地址)。
[USG2100 A-Tunnel1] source 配置Tunnel1接口的目的地址(USG2100 B的Ethernet 0/0/0的IP地址)。
[USG2100 A-Tunnel1] destination 退回系统视图。
网络安全期末考试题库答案
