配置防火墙网页登录

1. 配置防火墙缺省允许报文通过

< telecom > system-view

[telecom] firewall packet-filter enable

[telecom] firewall packet-filter default permit

为防火墙的以太网接口（GigabitEthernet0/0为例）配置IP地址，并将接口加入到安全域。

[telecom] interface GigabitEthernet 0/0

[telecom-GigabitEthernet0/0] ip address 192.168.0.1 255.255.255.0

[telecom-GigabitEthernet0/0] quit

[telecom] firewall zone trust

[telecom-zone-trust] add GigabitEthernet 0/0

2. 添加登录用户（建立一个账户名和密码都为admin的账户类型为telnet）

[telecom] local-user admin

[telecom-luser-admin] password simple admin

[telecom-luser-admin]service-type telnet

3. 在GigabitEthernet 0/1接口上配置FTP及www内部服务器

[telecom] interface GigabitEthernet 0/1

[telecom-GigabitEthernet0/1] ip address 1.1.1.1 255.0.0.0

[telecom-GigabitEthernet0/1] nat outbound 2000

[telecom-GigabitEthernet0/1]nat server protocol tcp global 1.1.1.1 www inside 10.0.0.2

[telecom-GigabitEthernet0/1]nat server protocol tcp global 1.1.1.1 ftp inside 10.0.0.2

[telecom-GigabitEthernet0/1] quit

4. 配置访问控制列表，允许10.0.0.0/8网段访问internet

[telecom]acl number 2000

[telecom-acl-basic-2000] rule 0 permit source 10.0.0.0 0.0.0.255

[telecom-acl-basic-2000] rule 1 deny

5. IPSec VPN配置

配置分公司IP：192.168.1.0/24到总公司IP：10.1.1.0/24的IPSec VPN

总公司端 VPN配置步骤如下：

第一步：配置ACL3000，禁止总公司IP：10.1.1.0/24访问分公司IP：192.168.1.0/24时进行NAT转换，允许总公司IP：10.1.1.0/24访问公网时进行NAT转换。

[telecom] acl number 3000

[telecom-acl-adv-3000] rule 0 deny ip source 10.1.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

[telecom-acl-adv-3000] rule permit ip

[telecom-acl-adv-3000] quit

第二步：配置ACL3200，允许总公司IP：10.1.1.0/24访问分公司IP：192.168.1.0/24

[telecom] acl number 3200

[telecom-acl-adv-3200] rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

[telecom-acl-adv-3200] quit

第三步：配置本端设备名称为routera

[telecom] ike local-name routera

第四步：配置对等体peer

[telecom] ike peer peer

[telecom-ike-peer-peer] exchange-mode aggressive

[telecom-ike-peer-peer] pre-shared-key 123456

[telecom-ike-peer-peer] id-type name

[telecom-ike-peer-peer] remote-name telecom

[telecom-ike-peer-peer] nat traversal

第五步：配置IPSec安全提议test

[telecom] ipsec proposal test

[telecom-ipsec-proposal-test] encapsulation-mode tunnel

[telecom-ipsec-proposal-test] transform esp

[telecom-ipsec-proposal-test] esp encryption-algorithm 3des

[telecom-ipsec-proposal-test] esp authentication-algorithm md5

[telecom-ipsec-proposal-test] quit

第六步：创建安全策略test并指定通过IKE协商建立SA

[telecom] ipsec policy test 1 isakmp

第七步：配置安全策略test引用IKE对等体peer

[telecom-ipsec-policy-isakmp-test-1] ike-peer peer

第八步：配置安全策略test引用访问控制列表3200

[telecom-ipsec-policy-isakmp-test-1] security acl 3200

第九步：配置安全策略test引用IPSec安全提议test

[telecom-ipsec-policy-isakmp-test-1] proposal test

[telecom-ipsec-policy-isakmp-test-1] quit

第十步：配置上行接口IP地址202.1.1.2/24，并在接口上应用IPSec策略

[telecom] int GigabitEthernet 0/0

[telecom-GigabitEthernet0/0] ip address 202.1.1.2 24

[telecom-GigabitEthernet0/0] nat outbound 3000

[telecom-GigabitEthernet0/0] ipsec policy test

第十一步：配置下行接口IP地址10.1.1.1/24

[telecom-GigabitEthernet0/1] ip address 10.1.1.1 24

第十二步：配置到分公司局域网的静态路由

[telecom]ip route-static 192.168.1.0 255.255.255.0 192.168.1.254

开启telnet服务并设置密码为123456命令：

[telecom] telnet server enable

[telecom] user-interface vty 0

[telecom-ui-vty0] authentication-mode password

[telecom-ui-vty0] set authentication password simple 123465（cipher明文/simple密文）

[telecom-ui-vty0] user privilege level 3

[telecom-ui-vty0] quit

操作命令：

display version 显示系统版本信息

vrbd 显示详细的软件版本信息

display clock 显示系统时钟

clock datetime 14:56:00 23/2/2017 修改系统时钟为2017年2月23日14时56分0秒

display users [all] 显示终端用户

reboot 重启防火墙

save 保存当前配置

reset save清空当前配置

display interface GigabitEtherneto/1 查看某个端口信息

display interface 查看所有端口信息

display brief interface GigabitEtherneto/1 查看端口简要配置

display port-security 查看端口安全配置信息

info-center enable 开启信息中心

undo info-center enable 关闭信息中心

display arp 显示arp

display loopback-detection 用来测试环路测试是否开启

display saved-configuration 显示下次启动时加载的配置文件

display startup显示系统本次启动使用的配置文件

display saved-configuration 显示起始配置信息

display current-configuration 显示当前配置信息

display memory [limit] 显示当前系统内存使用情况

display cpu-usage 显示CPU占用率情况

display cpu-usage history 统计系统cpu占用率历史信息

display device [slot-id] 显示设备和插卡的信息

display ip routing-table 显示当前路由表

ip route-static 目的地址 掩码 下一跳的地址 [端口] [管理距离]

telnet server enable 开启telnet服务

display history-command 查看保存的历史命令

display hotkey 查看热键信息

hotkey将某快捷键与某一命令行关联（格式为hotkey 快捷键 一段命令）

super password level 3 simple 123456设置用户密码和级别（0-3级别）

sysname 设置防火墙的名称（格式为 sysname xxx）

command-alias enable 开启用户别名功能

command-alias mapping [将要被定义的命令] [命名的别名]

例如：command-alias mapping display show

display command-alias 显示当前用户设置别名的情况

schedule reboot at [hh:mm] [月/日/年] 定时重新启动（在用户模式下）

schedule reboot delay {小时|分钟} 延时启动

tracert 跟踪地址