2023年12月8日发(作者：枚虹影)

[Quidway] aaa

[Quidway-aaa] local-user tcwq password simple tcwq

[Quidway-aaa] local-user tcwq service-type ftp

[Quidway-aaa] local-user tcwq ftp-directory flash:/ 〔配置FTP用户的访问路径，如果不配置这一项，登录时会提示“530 logged incorrect〞〕

[Quidway-aaa] q

这时用网线把电脑网卡和交换机的某个端口相连，电脑IP设置为和该端口所在Vlan的网关同一网段的地址〔如IP：，网关：〕，在CMDFTPtcwqtcwq，即可登录

登录到ftp后，可以从交换机的Flashftp效劳器前的盘符，如上图中是从FFTPFFlash里〔速度很快，比串口烧录快多了〕，还可以删除flash

ftp>dir ()

ftp>get (“〞)

ftp>put f: (将电脑F盘里名字为sh里)

ftp>delete (“〞)

网页管理

三层交换机可以进行网页管理，前提是 效劳要开启，且交换机Flash里有web

上一步进行了FTP效劳器配置，如果交换机里没有ZIP后缀名的WEBFTP把WEBFlash里

ftp> put f:

200 Port command okay.

150 Opening ASCII mode data connection for .

226 Transfer complete.

下面就需要在终端或者telnet里将刚刚上传的进行加载

sys

[Quidway] server load 〔加载〕

接下来就可以开启 效劳了，在没有加载之前， 效劳是开启不了的

[Quidway] server enable

[Quidway] aaa

[Quidway-aaa] local-user xiaodong password simple xiaodong

[Quidway-aaa] local-user xiaodong service-type

[Quidway-aaa] q

xiaodongxiaodong，验证码，即可登录。

校园网中NAT的综合应用

组网需求

如图1

业务需求如下：

·

· 学校从ISP申请了202.10.10.2/24和202.10.10.3/24两个公网IP地址。教学区、宿舍区用户访问Internet时，通过NAPT实现多个内网IP地址映射到同一个公网IP地址。

· ·

图1 校园网网络部署

配置思路

1. 配置SRG各接口的IP地址，将校园网用户部署在Trust区域，外网用户部署在Untrust区域。

2. 配置域间NAT，使教学区和宿舍区的用户使用公网IP地址访问Internet。

3. Internet

4. 配置域内NATIP地址转换为申请的公网IP地址，使SRG

操作步骤

1. 按照图1配置SRG各接口的IP地址，把接口GigabitEthernet 0/0/1参加Untrust平安区域，把接口GigabitEthernet 0/0/0、GigabitEthernet

5/0/0、GigabitEthernet 6/0/0参加Trust平安区域。具体配置过程略。

2. 配置域间NAT。

# 创立ACL 2000，配置源地址为10.10.0.0/16和10.20.0.0/16的规那么。

[SRG] acl 2000

[SRG-acl-basic-2000]

[SRG-acl-basic-2000]

[SRG-acl-basic-2000] quit

# 配置NAT地址池。

[SRG]

# 在Trust区域和Untrust区域域间应用ACL 2000，允许教学区和宿舍区用户访问Internet。

[SRG] firewall interzone trust untrust

[SRG-interzone-trust-untrust] packet-filter 2000 outbound

# 配置域间NAT，将NAT地址池和ACL关联。

[SRG-interzone-trust-untrust] nat outbound 2000 address-group 0

[SRG-interzone-trust-untrust] quit

3. Internet用户访问。

[SRG] nat server protocol tcp global 202.10.10.4 www inside 10.30.10.1 80

[SRG] nat server protocol tcp global 202.10.10.5 ftp inside 10.30.10.2 ftp

# 创立高级ACL 3000，配置目的地址为10.30.10.1和10.30.10.2的规那么。

[SRG] acl 3000

[SRG-acl-adv-3000] rule permit tcp destination 10.30.10.1 0 destination-port eq ftp

[SRG-acl-adv-3000] rule permit tcp destination 10.30.10.2 0 destination-port eq 80

[SRG-acl-adv-3000] quit

配置在Trust区域和Untrust区域域间应用ACL 3000，允许Internet用户访问Web效劳器和FTP效劳器。

[SRG] firewall interzone trust untrust [SRG-interzone-trust-untrust] packet-filter 3000 inbound

# 配置Trust区域和Untrust区域的域间开启FTP和 协议的ASPF功能。

[SRG-interzone-trust-untrust] detect ftp

[SRG-interzone-trust-untrust] detect

[SRG-interzone-trust-untrust] quit

4.

# 创立ACL 2001，配置源地址为10.10.0.0/16、10.20.0.0/16和10.30.0.0/16的规那么。

[SRG] acl 2001

[SRG-acl-basic-2001]

[SRG-acl-basic-2001]

[SRG-acl-basic-2001]

[SRG-acl-basic-2001] quit

# 在Trust区域内配置NAT，允许校园网用户使用公网地址访问Web效劳器和FTP效劳器。

[SRG] firewall zone trust

[SRG-zone-trust] nat 2001 address-group 0

说明：

域内NAT可以与域间NAT引用相同的地址池，这里都引用了地址池0。

# 配置Trust区域开启FTP协议的ASPF功能。

[SRG-zone-trust] detect ftp

[SRG-zone-trust] quit

5.

结果验证

· 在教学区和宿舍区的主机上能够访问Internet。

display firewall session table，查看会话表。

display firewall session table

VPN: public -> public 10.10.2.2:1674[202.10.10.2:12889]-->202.10.10.5:80

可以看到校园网用户访问Internet时，IP地址转换为公网IP地址。

· InternetWeb效劳器，通过IPFTP效劳器。

·

display firewall session table，查看会话表。

display firewall session table

VPN: public -> public 10.10.2.3:1903[202.10.10.2:31495]-->202.10.10.4:80[10.30.10.1:80]

可以看到校园网内用户通过IP地址202.10.10.4访问Web效劳器时，源IP地址转换为公网地址。

配置脚本

SRG配置脚本： #

acl number 2000

rule 0 permit source 10.10.0.0 0.0.255.255

rule 5 permit source 10.20.0.0 0.0.255.255

acl number 2001

rule 0 permit source 10.10.0.0 0.0.255.255

rule 5 permit source 10.20.0.0 0.0.255.255

rule 10 permit source 10.30.0.0 0.0.255.255

#

acl number 3000

rule 0 permit tcp destination 10.30.10.1 0 destination-port eq ftp

rule 5 permit tcp destination 10.30.10.2 0 destination-port eq www

#

sysname SRG

#

nat address-group 0 202.10.10.2 202.10.10.3

nat server protocol tcp global 202.10.10.4 www inside 10.30.10.1 www

nat server protocol tcp global 202.10.10.5 ftp inside 10.30.10.2 ftp

#

interface GigabitEthernet0/0/0

ip address 10.10.0.1 255.255.0.0

#

interface GigabitEthernet0/0/1

ip address 202.10.10.1 255.255.255.0

#

interface GigabitEthernet5/0/0

ip address 10.20.0.1 255.255.0.0

#

interface GigabitEthernet6/0/0

ip address 10.30.0.1 255.255.0.0

#

firewall zone trust

set priority 85

nat 2001 address-group 0

detect

ftp

add interface GigabitEthernet0/0/0

add interface GigabitEthernet5/0/0

add interface GigabitEthernet6/0/0

#

firewall zone untrust set priority 5

add interface GigabitEthernet0/0/1

#

firewall interzone trust untrust

packet-filter 3000 inbound

packet-filter 2000 outbound

nat outbound 2000 address-group 0

detect

ftp

detect

#

return

限制互访

为内网地址与2网段通，与3网段不通〕

[Switch] acl 3001

[Switch] acl 3002

2.配置流分类

在Switch上创立流分类c1、匹配规那么分别为ACL 3001

[Switch] traffic classifier c1

[Switch-classifier-c1] if-match acl 3001

[Switch] traffic classifier c2

[Switch-classifier-c1] if-match acl 3002

[Switch-classifier-c1] quit

3.配置流行为

# 在Switch上创立流行为b1、

[Switch] traffic behavior b1

[Switch-behavior-b1] permit

[Switch-behavior-b1] quit

# 在Switch上创立流行为b2、

[Switch] traffic behavior b2

[Switch-behavior-b2] deny

[Switch-behavior-b2] quit

4.配置流策略并应用到接口上

# 在Switch上创立流策略p1，将流分类和对应的流行为进行绑定。

[Switch] traffic policy p1

Switch-trafficpolicy-p1] classifier c1 behavior b1 [Switch-trafficpolicy-p1] classifier c2 behavior b2

[Switch-trafficpolicy-p1] quit

# 将流策略p1应用到接口VLAN 10。〔接口为数据流进入设备方向〕

[Switch] vlan 10

[Switch-vlan10] traffic-policy p1 inbound

[Switch-vlan10] quit

2023年12月8日发(作者：枚虹影)

[Quidway] aaa

[Quidway-aaa] local-user tcwq password simple tcwq

[Quidway-aaa] local-user tcwq service-type ftp

[Quidway-aaa] local-user tcwq ftp-directory flash:/ 〔配置FTP用户的访问路径，如果不配置这一项，登录时会提示“530 logged incorrect〞〕

[Quidway-aaa] q

这时用网线把电脑网卡和交换机的某个端口相连，电脑IP设置为和该端口所在Vlan的网关同一网段的地址〔如IP：，网关：〕，在CMDFTPtcwqtcwq，即可登录

登录到ftp后，可以从交换机的Flashftp效劳器前的盘符，如上图中是从FFTPFFlash里〔速度很快，比串口烧录快多了〕，还可以删除flash

ftp>dir ()

ftp>get (“〞)

ftp>put f: (将电脑F盘里名字为sh里)

ftp>delete (“〞)

网页管理

三层交换机可以进行网页管理，前提是 效劳要开启，且交换机Flash里有web

上一步进行了FTP效劳器配置，如果交换机里没有ZIP后缀名的WEBFTP把WEBFlash里

ftp> put f:

200 Port command okay.

150 Opening ASCII mode data connection for .

226 Transfer complete.

下面就需要在终端或者telnet里将刚刚上传的进行加载

sys

[Quidway] server load 〔加载〕

接下来就可以开启 效劳了，在没有加载之前， 效劳是开启不了的

[Quidway] server enable

[Quidway] aaa

[Quidway-aaa] local-user xiaodong password simple xiaodong

[Quidway-aaa] local-user xiaodong service-type

[Quidway-aaa] q

xiaodongxiaodong，验证码，即可登录。

校园网中NAT的综合应用

组网需求

如图1

业务需求如下：

·

· 学校从ISP申请了202.10.10.2/24和202.10.10.3/24两个公网IP地址。教学区、宿舍区用户访问Internet时，通过NAPT实现多个内网IP地址映射到同一个公网IP地址。

· ·

图1 校园网网络部署

配置思路

1. 配置SRG各接口的IP地址，将校园网用户部署在Trust区域，外网用户部署在Untrust区域。

2. 配置域间NAT，使教学区和宿舍区的用户使用公网IP地址访问Internet。

3. Internet

4. 配置域内NATIP地址转换为申请的公网IP地址，使SRG

操作步骤

1. 按照图1配置SRG各接口的IP地址，把接口GigabitEthernet 0/0/1参加Untrust平安区域，把接口GigabitEthernet 0/0/0、GigabitEthernet

5/0/0、GigabitEthernet 6/0/0参加Trust平安区域。具体配置过程略。

2. 配置域间NAT。

# 创立ACL 2000，配置源地址为10.10.0.0/16和10.20.0.0/16的规那么。

[SRG] acl 2000

[SRG-acl-basic-2000]

[SRG-acl-basic-2000]

[SRG-acl-basic-2000] quit

# 配置NAT地址池。

[SRG]

# 在Trust区域和Untrust区域域间应用ACL 2000，允许教学区和宿舍区用户访问Internet。

[SRG] firewall interzone trust untrust

[SRG-interzone-trust-untrust] packet-filter 2000 outbound

# 配置域间NAT，将NAT地址池和ACL关联。

[SRG-interzone-trust-untrust] nat outbound 2000 address-group 0

[SRG-interzone-trust-untrust] quit

3. Internet用户访问。

[SRG] nat server protocol tcp global 202.10.10.4 www inside 10.30.10.1 80

[SRG] nat server protocol tcp global 202.10.10.5 ftp inside 10.30.10.2 ftp

# 创立高级ACL 3000，配置目的地址为10.30.10.1和10.30.10.2的规那么。

[SRG] acl 3000

[SRG-acl-adv-3000] rule permit tcp destination 10.30.10.1 0 destination-port eq ftp

[SRG-acl-adv-3000] rule permit tcp destination 10.30.10.2 0 destination-port eq 80

[SRG-acl-adv-3000] quit

配置在Trust区域和Untrust区域域间应用ACL 3000，允许Internet用户访问Web效劳器和FTP效劳器。

[SRG] firewall interzone trust untrust [SRG-interzone-trust-untrust] packet-filter 3000 inbound

# 配置Trust区域和Untrust区域的域间开启FTP和 协议的ASPF功能。

[SRG-interzone-trust-untrust] detect ftp

[SRG-interzone-trust-untrust] detect

[SRG-interzone-trust-untrust] quit

4.

# 创立ACL 2001，配置源地址为10.10.0.0/16、10.20.0.0/16和10.30.0.0/16的规那么。

[SRG] acl 2001

[SRG-acl-basic-2001]

[SRG-acl-basic-2001]

[SRG-acl-basic-2001]

[SRG-acl-basic-2001] quit

# 在Trust区域内配置NAT，允许校园网用户使用公网地址访问Web效劳器和FTP效劳器。

[SRG] firewall zone trust

[SRG-zone-trust] nat 2001 address-group 0

说明：

域内NAT可以与域间NAT引用相同的地址池，这里都引用了地址池0。

# 配置Trust区域开启FTP协议的ASPF功能。

[SRG-zone-trust] detect ftp

[SRG-zone-trust] quit

5.

结果验证

· 在教学区和宿舍区的主机上能够访问Internet。

display firewall session table，查看会话表。

display firewall session table

VPN: public -> public 10.10.2.2:1674[202.10.10.2:12889]-->202.10.10.5:80

可以看到校园网用户访问Internet时，IP地址转换为公网IP地址。

· InternetWeb效劳器，通过IPFTP效劳器。

·

display firewall session table，查看会话表。

display firewall session table

VPN: public -> public 10.10.2.3:1903[202.10.10.2:31495]-->202.10.10.4:80[10.30.10.1:80]

可以看到校园网内用户通过IP地址202.10.10.4访问Web效劳器时，源IP地址转换为公网地址。

配置脚本

SRG配置脚本： #

acl number 2000

rule 0 permit source 10.10.0.0 0.0.255.255

rule 5 permit source 10.20.0.0 0.0.255.255

acl number 2001

rule 0 permit source 10.10.0.0 0.0.255.255

rule 5 permit source 10.20.0.0 0.0.255.255

rule 10 permit source 10.30.0.0 0.0.255.255

#

acl number 3000

rule 0 permit tcp destination 10.30.10.1 0 destination-port eq ftp

rule 5 permit tcp destination 10.30.10.2 0 destination-port eq www

#

sysname SRG

#

nat address-group 0 202.10.10.2 202.10.10.3

nat server protocol tcp global 202.10.10.4 www inside 10.30.10.1 www

nat server protocol tcp global 202.10.10.5 ftp inside 10.30.10.2 ftp

#

interface GigabitEthernet0/0/0

ip address 10.10.0.1 255.255.0.0

#

interface GigabitEthernet0/0/1

ip address 202.10.10.1 255.255.255.0

#

interface GigabitEthernet5/0/0

ip address 10.20.0.1 255.255.0.0

#

interface GigabitEthernet6/0/0

ip address 10.30.0.1 255.255.0.0

#

firewall zone trust

set priority 85

nat 2001 address-group 0

detect

ftp

add interface GigabitEthernet0/0/0

add interface GigabitEthernet5/0/0

add interface GigabitEthernet6/0/0

#

firewall zone untrust set priority 5

add interface GigabitEthernet0/0/1

#

firewall interzone trust untrust

packet-filter 3000 inbound

packet-filter 2000 outbound

nat outbound 2000 address-group 0

detect

ftp

detect

#

return

限制互访

为内网地址与2网段通，与3网段不通〕

[Switch] acl 3001

[Switch] acl 3002

2.配置流分类

在Switch上创立流分类c1、匹配规那么分别为ACL 3001

[Switch] traffic classifier c1

[Switch-classifier-c1] if-match acl 3001

[Switch] traffic classifier c2

[Switch-classifier-c1] if-match acl 3002

[Switch-classifier-c1] quit

3.配置流行为

# 在Switch上创立流行为b1、

[Switch] traffic behavior b1

[Switch-behavior-b1] permit

[Switch-behavior-b1] quit

# 在Switch上创立流行为b2、

[Switch] traffic behavior b2

[Switch-behavior-b2] deny

[Switch-behavior-b2] quit

4.配置流策略并应用到接口上

# 在Switch上创立流策略p1，将流分类和对应的流行为进行绑定。

[Switch] traffic policy p1

Switch-trafficpolicy-p1] classifier c1 behavior b1 [Switch-trafficpolicy-p1] classifier c2 behavior b2

[Switch-trafficpolicy-p1] quit

# 将流策略p1应用到接口VLAN 10。〔接口为数据流进入设备方向〕

[Switch] vlan 10

[Switch-vlan10] traffic-policy p1 inbound

[Switch-vlan10] quit