FW1000如何设置网关(wf1000怎么关机)

FW1000如何设置网关,wf1000怎么关机

内容导航：

华为防火墙路由模式部署，简单配置分享

FW1000GCN 如何添加静态路由

为什么要设置网关呢

一、华为防火墙路由模式部署，简单配置分享

请点击“关注”，不要错过，每天给大家分享不一样的智能化知识！

下面拓扑是防火墙的一种部署方式，按照网络规划，先配置好路由器、防火墙、核心交换机及各终端、服务器设备的ＩＰ地址。

1路由器R1的配置

[Huawei]sysname R1

[R1]interface GigabitEthernet 0/0/0

[R1-GigabitEthernet0/0/0]ip address 10.1.1.11 24

[R1]interface GigabitEthernet 0/0/1

[R1-GigabitEthernet0/0/0]ip address 100.1.1.1 24

[R1-GigabitEthernet0/0/0]q

ISP路由器上没有配回程路由，都是由防火墙上NAT进行转换的。

2配置防火墙的接口地址

[fw1]sysname FW1

[FW1]interface GigabitEthernet 0/0/1

[FW1-GigabitEthernet0/0/1]ip address 192.168.1.254 24

[FW1]interface GigabitEthernet 0/0/2

[FW1-GigabitEthernet0/0/2]ip address 192.168.80.254 24

[FW1]interface GigabitEthernet 0/0/3

[FW1-GigabitEthernet0/0/3]ip address 10.1.1.10 24

[FW1-GigabitEthernet0/0/3]q

验证配置结果

[FW1]display ip interface brief

此时防火与各区域设备不能互通，接着下面的配置。

3把接口添加到防火墙安全域中

[FW1]firewall zone trust

[FW1-zone-trust]add interface GigabitEthernet 0/0/1

[FW1-zone-trust]q

[FW1]firewall zone dmz

[FW1-zone-dmz]add interface GigabitEthernet 0/0/2

[FW1-zone-dmz]q

[FW1]firewall zone untrust

[FW1-zone-untrust]add interface GigabitEthernet 0/0/3

[FW1-zone-untrust]q

注：区域里必须要有唯一的安全级别，相应的接口要加入到区域，可以是物理接口和逻辑接口（Vlanif、Tunnel）。

这时候3个域就建立好了，但是域与域之间是不通的，因为域之间默认是拒绝的。但是从防火墙到内网、DMZ、UnTrunst区域内设备又是通的。

防火墙默认Trust区域设备到内网网关是互通的，但是DMZ区域内设备到防火墙是拒绝访问的。

Display this查看默认的包过滤规则

4测试防火墙到各域设备

从防火墙到各区域设备，都能通讯；

[FW1]ping 192.168.1.10

[FW1]ping 192.168.80.10

[FW1]ping 10.1.1.11

全部都能互通；

5配置防火墙的域间包过滤策略

（1）配置内网用户访问DMZ内WEB服务器

配置内网访问DMZ服务器策略

[FW1]policy interzone trust dmz outbound

[FW1-policy-interzone-trust-dmz-outbound]policy 5

[FW1-policy-interzone-trust-dmz-outbound-5]policy source 192.168.1.10 0//只放行单个地址；

[FW1-policy-interzone-trust-dmz-outbound-5]policy destination 192.168.80.10 0//只允许访问单个服务器；

[FW1-policy-interzone--trust-dmz-outbound-5]policy service service-set http//配置允许通过浏览器访问

[FW1-policy-interzone--trust-dmz-outbound-5]policy service service-set icmp//配置表示允许ping命令；

[FW1-policy-interzone-trust-dmz-outbound-5]action permit

测试连通性

若内网有多个VLAN，如何配置呢？

（2）内网交换机SW1配置vlan10,vlan20,并将端口划入对应的VLAN当中。

[Huawei]sysname SW1

[SW1]vlan batch 10 20

[SW1]interface GigabitEthernet 0/0/1

[SW1-GigabitEthernet0/0/1]port link-type access

[SW1-GigabitEthernet0/0/1]port default vlan 10

[SW1-GigabitEthernet0/0/1]q

[SW1]interface GigabitEthernet 0/0/2

[SW1-GigabitEthernet0/0/2]port link-type access

[SW1-GigabitEthernet0/0/2]port default vlan 20

[SW1-GigabitEthernet0/0/2]q

[SW1]interface GigabitEthernet 0/0/24

[SW1-GigabitEthernet0/0/24]port link-type trunk

[SW1-GigabitEthernet0/0/24]port trunk allow-pass vlan 10 20

[SW1-GigabitEthernet0/0/24]q

（3）配置防火墙，配置子接口实现VLAN之间的互相访问。

[FW1]interface GigabitEthernet 0/0/1

[FW1-GigabitEthernet0/0/1]undo ip address 192.168.1.254 24

[FW1]interface GigabitEthernet 0/0/1.10

[FW1-GigabitEthernet0/0/1.10]vlan-type dot1q 10

[FW1-GigabitEthernet0/0/1.10]ip address 192.168.1.254 24

[FW1-GigabitEthernet0/0/1.10]q

[FW1]interface GigabitEthernet 0/0/1.20

[FW1-GigabitEthernet0/0/1.20]vlan-type dot1q 20

[FW1-GigabitEthernet0/0/1.20]ip address 192.168.2.254 24

[FW1-GigabitEthernet0/0/1.20]

（4）在防火墙上配置子接口实现VLAN互通，需要将子接口添加到区域中：

[FW1]firewall zone trust

[FW1-zone-trust]add interface GigabitEthernet 0/0/1.10

[FW1-zone-trust]add interface GigabitEthernet 0/0/1.20

（5）测试

放行192.168.2.10访问DMZ服务器

[FW1]policy interzone trust dmz outbound

[FW1-policy-interzone-trust-dmz-outbound]policy 5

[FW1-policy-interzone-trust-dmz-outbound-5]policy source 192.168.2.10 0

[FW1-policy-interzone-trust-dmz-outbound-5]q

[FW1-policy-interzone-trust-dmz-outbound]q

测试

欢迎关注我的头条号，私信交流，学习更多网络技术！

二、FW1000GCN 如何添加静态路由

设置计算机A的IP为192.168.1.2子网掩码为255.255.255.0网关为192.169.1.1！配图如下：2怎样配置静态路由设置计算机B的IP为192.168.2.2子网掩码为255.255.255.0网关为192.169.2.1！配图如下：怎样配置静态路由给路由A的fastEthernet 0/0端口配置IP为192.168.1.1子网掩码为255.255.255.0，由于路由默认的端口是关闭的，所以在给路由端口配置好IP以后，要注意用no shutdown（不关闭）命令把端口开启！如下是配置路由A端口fastEthernet 0/0的所有命令:Continuewith configuration dialog? [yes/no]: noRouter#configure terminal（进入全局配置模式）Router(config)#interfacefastEthernet 0/0（进入端口模式，进入端口0/0了）Router(config- if)#noshutdown（开启端口）以下是截图（有红线画出的就是我输入的命令，没红线画出的，那是路由的提示）：怎样配置静态路由给路由A的fastEthernet 1/0端口配置IP为192.168.3.1子网掩码为255.255.255.0，如下是配置路由A端口fastEthernet1/0的所有命令Router(config- if)#exit（从0/0端口退回到全局配置模式）Router(config)#interfacefastEthernet 1/0（进入1/0端口）Router(config-if)#ipaddress 192.168.3.1 255.255.255.0（给端口1/0配置好了IP跟子网掩码）Router(config- if)#noshutdown（开启端口）%LINK-5-CHANGED:Interface FastEthernet1/0, changed state to upRouter(config- if)#exit（从1/0端口退回到全局配置模式）以下是截图（有红线画出的就是我输入的命令，没红线画出的，那是路由的提示）：怎样配置静态路由给路由B的fastEthernet 1/0端口配置IP为192.168.3.2子网掩码为255.255.255.0，如下是配置路由B端口fastEthernet1/0的所有命令Continuewith configuration dialog? [yes/no]: noRouter>enable（进入特权模式）Router#configure terminal（进入全局配置模式）Enterconfiguration commands, one per with CNTL/(config)#interfacefastEthernet 0/0（进入端口模式，进入端口0/0了）Router(config- if)#ipaddress 192.168.3.2 255.255.255.0（给端口0/0配置好了IP，子网掩码）Router(config- if)#noshutdown（开启端口）以下是截图（有红线画出的就是我输入的命令，没红线画出的，那是路由的提示）：怎样配置静态路由给路由B的fastEthernet 0/0端口配置IP为192.168.2.1子网掩码为255.255.255.0，如下是配置路由A端口fastEthernet1/0的所有命令Router(config- if)#exit（从0/0端口退回到全局配置模式）Router(config)#interface fastEthernet 1/0（进入1/0端口）Router(config-if)#ip address 192.168.2.1 255.255.255.0（给端口1/0配置好了IP跟子网掩码）Router(config-if)#no shutdown（开启端口）%LINK-5-CHANGED: Interface FastEthernet1/0, changed state to upRouter(config- if)#exit（从1/0端口退回到全局配置模式）以下是截图（有红线画出的就是我输入的命令，没红线画出的，那是路由的提示）：怎样配置静态路由给路由B设置静态跳转，若遇到访问计算机A（也就是192.168.1.0）这个网段的数据包，给他规定了往路由A的1/0端口（也就是192.168.3.1）跳转，再在跳转后到达的路由查询路由表，查询计算机A（也就是192.168.1.0）的这个网段再转发数据包！具体命令如下：Router(config)#iproute 192.168.1.0 255.255.255.0 192.168.3.1（在全局配置模式下）截图如下：怎样配置静态路由在路由A也设置一个跳转，要不数据发送出去了，找不到回来就路，那么就没返回信息了！具体命令如下：Router(config)#iproute 192.168.2.0 255.255.255.0 192.168.3.2（在全局配置模式下）截图如下：怎样配置静态路由用ping命令测试全网是否连通了！如果前面的步骤你都没操作错的话，那么现在的测试，你会得到如下图所以内容：怎样配置静态路由

三、为什么要设置网关呢

答：在和NovellNetWare网络交互操作的上下文中，网关在Windows网络中使用的服务器信息块(SMB)协议以及NetWare网络使用的NetWare核心协议(NCP)之间起着桥梁的作用