h3csecpath防火墙在双出口下通过策略路由实现负载分担的典型配置

SecPath系列防火墙IPSec典型配置举例关键词：IKE、IPSec摘要：本章首先介绍了IKE和IPSec的基本概念，随后说明了防火墙的配置方法，最后给出两种典型应用的举例。

缩略语：缩略语英文全名中文解释IKE Internet Key Exchange 因特网密钥交换Security IP网络安全协议IPsec IP目录1 特性简介 (3)1.1 IPSec基本概念 (3)1.1.1 SA (3)1.1.2 封装模式 (3)2 应用场合 (4)3 配置指南 (4)3.1 配置概述 (4)3.2 配置ACL (6)3.3 配置IKE (6)3.3.1 配置IKE全局参数 (6)3.3.2 配置IKE安全提议 (7)3.3.3 配置IKE对等体 (8)3.4 IPSec安全提议 (10)3.5 配置安全策略模板 (12)3.6 配置安全策略 (14)3.7 应用安全策略组 (16)4 配置举例一：基本应用 (17)4.1 组网需求 (17)4.2 使用版本 (18)4.3 配置步骤 (18)4.4 配置结果验证 (27)4.4.1 查看IPSec安全联盟 (27)4.4.2 查看报文统计 (27)5 配置举例二：与NAT结合 (27)5.1 组网需求 (27)5.2 配置说明 (28)5.3 配置步骤 (28)5.4 配置验证结果 (34)5.4.1 查看IPSec安全联盟 (34)5.4.2 查看报文统计 (35)6 注意事项 (35)7 相关资料 (35)7.1 相关协议和标准 (35)7.2 其它相关资料 (36)1 特性简介IPsec（IP Security）协议族是IETF制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。

特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。

IPsec通过AH（Authentication Header，认证头）和ESP（Encapsulating Security Payload，封装安全载荷）这两个安全协议来实现上述目标，并且还可以通过IKE（Internet Key Exchange，因特网密钥交换协议）为IPsec提供自动协商交换密钥、建立和维护安全联盟的服务，以简化IPsec 的使用和管理。

LB服务器负载均衡（双机热备）配置参考H3C Technologies Co., Limited, Copyright 2003-2009,All rights reserved杭州华三通信技术有限公司版权所有 侵权必究前言本文参考LB在江西电信网上营业厅实施方案更改，作为服务器负载均衡双机热备配置参考所用，如有不妥之处请指正，多谢。

修订记录Revision Records日期Date 修订版本Revision描述Description作者Author2009-7-29 (V1.00) 初稿06399目录1组网拓扑： (5)1.1对组网拓扑说明： (5)1.2LB上业务调用说明： (6)2数据流量走向说明： (7)2.1数据流量走向说明： (7)3组网配置 (8)3.1防火墙配置 (8)3.2S65配置： (8)3.3S75配置 (9)3.3.1S75-01配置： (9)3.3.2S75-01配置： (9)3.4LB配置 (10)3.4.1LB配置： (10)4配置注意事项 (12)1 组网拓扑组网拓扑：：图1 组网拓扑图1.1 对组网拓扑说明：两台防火墙设备到外网做NAT server 同时对外映射了WEB Server 服务器，两台S65交换机作为核心路由交换设备，下连WEB 服务器和应用服务器，服务器对外提供WEB 访问和用户登陆查询相关信息。

两台防火墙启用双机热备，实现业务冗余备份，同时配置两个Vrrp 组（做主备模式），对外网Vrrp 组vrid 2（218.65.103.252）作为外网到内网转发数据报文的下一跳（可以保证在防火墙），对内vrrp 组 vrid 1（172.16.101.3）作为S65到外网转发数据报文的下一跳，防火墙上两个Vrrp做互相Track，保证上、下行数据报文转发一致。

S65交换机上也配置两个Vrrp组，Vrrp组vrid6（172.16.101.6）作为防火墙转发外网到内网数据流量的下一跳，Vrrp组vrid 15（134.224.15.121）作为下连服务器（服务器上的默认网关为S6503上vrid 15（134.224.15.121））和旁路LB 的网关。

H3C SecPath F100系列防火墙配置教程初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0[H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ] 设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。

H3C SecPath防火墙系列产品混合模式的典型配置
一、组网需求：
组网图中需要三台PC, PC1和PC4在Trust区域；PC2处于DMZ区域，其IP地址与PC1和PC4在同一网段，PC3位于Untrust区域，为外部网络。

G0/0接口和G1/0接口属于同一个桥组Bridge1。

对于访问控制有如下要求：
在防火墙G0/1接口上配置NAT，使Trust区域与DMZ区域通过地址转换才能访问Untrust区域；
通过NAT Server使DMZ区域对Untrust区域提供WWW服务；
在G1/0接口绑定ASPF策略并配合包过滤，使得Trust区域用户可以访问DMZ区域设备；但DMZ区域不能访问Trust区域；
在G0/0接口上绑定基于MAC地址的访问控制列表禁止PC4访问其他任何区域。

二、组网图：
支持混合模式的产品型号有：Secpath F1000-A/F1000-S/F100-E/F100-A；版本要求Comware software, Version 3.40, ESS 1622及以后。

四、配置关键点：
1、每一个桥组都是独立的，报文不可能在分属不同桥组的端口之间
传输。

换句话说，从一个桥组端口接收到的报文，只能从相同桥
组的其他端口发送出去。

防火墙上的一个接口不能同时加入两个
或两个以上的桥组。

2、要实现不同桥组之间或二层接口和三层接口之间数据转发，需要
创建桥组虚接口，并且将桥组虚接口加入到相应的区域。

目录1路由设置 ············································································································································ 1-11.1 概述 ··················································································································································· 1-11.2 配置静态路由····································································································································· 1-11.3 查看激活路由表 ································································································································· 1-21.4 静态路由典型配置举例 ······················································································································ 1-31.5 注意事项············································································································································ 1-61 路由设置•本章所指的路由器代表了一般意义下的路由器，以及运行了路由协议的三层交换机。

SecPath防火墙双机热备典型配置举例关键词：双机热备、主备模式、负载分担模式、数据同步、流量切换摘要：防火墙设备是所有信息流都必须通过的单一点，一旦故障所有信息流都会中断。

保障信息流不中断至关重要，这就需要解决防火墙设备单点故障问题。

双机热备技术可以保障即使在防火墙设备故障的情况下，信息流仍然不中断。

本文将介绍双机热备的概念、工作模式及典型应用等。

缩略语：目录1 特性简介 (3)1.1 双机热备的工作机制 (3)2 特性使用指南 (4)2.1 使用场合 (4)2.2 配置指南 (4)2.2.1 双机热备组网应用配置指南 (4)2.2.2 双机热备应用涉及的配置 (4)2.3 注意事项 (4)3 支持的设备和版本 (5)3.1 设备版本 (5)3.2 支持的设备 (5)3.3 配置保存 (5)4 配置举例 (6)4.1 典型组网 (6)4.2 设备基本配置 (9)4.2.1 其他共同配置： (9)4.3 双机热备业务典型配置举例 (9)4.3.1 透明模式＋主备模式 (9)4.3.2 透明模式＋负载分担模式 (14)4.3.3 路由模式＋主备模式 (17)4.3.4 路由模式＋负载分担模式 (19)4.3.5 路由模式＋主备模式＋支持非对称路径 (21)4.3.6 路由模式＋负载分担模式＋支持非对称路径 (27)4.3.7 动态路由模式组网 (32)5 相关资料 (33)1 特性简介双机热备在链路切换前，对会话信息进行主备同步；在设备故障后能将流量切换到其他备份设备，由备份设备继续处理业务，从而保证了当前的会话不被中断。

secpath防火墙具有多样化的组网方式，双机的组网应用也会很多种，本文试举几种双机热备的典型应用。

1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份，保证流量切换后会话连接不中断。

而流量的切换则依靠传统备份技术（如VRRP、动态路由）来实现，应用灵活，能适应各种组网环境。

SecPath系列防火墙配置管理典型配置举例关键词：配置管理，备份摘要：配置管理模块主要用于对设备进行配置保存（加密和非加密）、备份、配置恢复和恢复出厂配置，用户可以在Web页面方便地对设备的配置进行维护和管理。

缩略语：缩略语英文全名中文解释- - -目录1 特性简介 (3)2 应用场合 (3)3 注意事项 (3)4 配置举例 (3)4.1 组网需求 (3)4.2 配置思路 (4)4.3 使用版本 (4)4.4 配置步骤 (4)4.4.1 基本配置 (4)4.4.2 配置管理 (6)4.5 验证结果 (8)4.5.1 配置保存 (8)4.5.2 配置备份 (9)4.5.3 配置恢复 (9)4.5.4 恢复出厂配置 (9)4.5.5 软件升级 (9)4.5.6 设备重启 (9)1 特性简介配置管理页面包含“配置保存”、“配置备份”、“配置恢复”和“恢复出厂配置”四个页签。

配置保存可以加密保存配置，如果将配置信息备份下来，打开文件查看时，看到的是密文显示。

在此页面可以对当前的配置信息进行配置备份和备份恢复。

软件升级和系统重启可以让用户通过Web页面对设备进行管理和操作。

2 应用场合用于设备的日常维护，当配置修改后，可以保存配置以免设备断电配置信息丢失。

也可以将配置信息备份下来，用于日后的配置恢复。

如果想清空配置信息时，可以恢复出厂配置。

3 注意事项(1) 软件升级时，尽量在流量少的时候操作，以免影响用户正常使用。

(2) 通过在命令行下输入save或在Web管理页面点击“配置保存”，可以对当前配置进行保存。

保存的配置文件有两个，分别为startup.cfg和system.xml。

(3) 备份或恢复时请将startup.cfg和system.xml一起备份和恢复。

4 配置举例4.1 组网需求本配置举例中，设备使用的是U200-S。

本典型配置适合SecPath F5000-A5、SecPath F1000E、SecPath UTM 200-A/200-M/200-S防火墙图1配置管理组网图设备默认出厂配置，GE0/0口为管理口，地址为192.168.0.1/24，用户可以将管理PC的网卡与设备的GE0/0口连接，并设置网卡地址为同网段的地址，则可以通过在浏览器的地址栏输入http://192.168.0.1 登录设备的Web网管，进行其他配置操作。

SecPath系列防火墙域间策略典型配置举例关键词：域间策略摘要：域间策略在安全域之间实现流识别功能，对于特定报文根据预先设定的操作允许或禁止该报文通过并实时监控流状态变化。

缩略语：缩略语英文全名中文解释ACL Access Control List 访问控制列表目录1 特性简介 (3)2 应用场合 (3)3 注意事项 (3)4 配置举例 (3)4.1 组网需求 (3)4.2 配置思路 (4)4.3 使用版本 (4)4.4 配置步骤 (4)4.4.1 配置接口地址 (4)4.4.2 接口加入域 (6)4.4.3 配置时间段 (8)4.4.4 配置地址对象 (9)4.4.5 配置域间策略 (9)4.5 验证结果 (11)4.5.1 内部主机Public在上班时间访问外部网络 (11)4.5.2 其他内部主机在上班时间访问外部网络 (12)5 相关资料 (12)5.1 相关协议和标准 (12)5.2 其它相关资料 (12)1 特性简介域间策略是基于ACL（Access Control List，访问控制列表），在安全域之间实现流识别功能的。

域间策略在一对源安全域和目的安全域之间维护一个ACL，该ACL中可以配置一系列的匹配规则，以识别出特定的报文，然后根据预先设定的操作允许或禁止该报文通过。

域间策略通过引用资源管理中的地址资源和服务资源，来根据报文的源IP地址、目的IP地址、源MAC地址、目的MAC地址、IP承载的协议类型和协议的特性（例如TCP或UDP的源端口/目的端口、ICMP协议的消息类型/消息码）等信息制定匹配规则。

每条规则还可以通过引用资源管理中的时间段资源，来指定这条规则在该时间段定义的时间范围内有效。

2 应用场合需要进行流识别，流状态监控、安全域间设置防火墙的任何场合。

3 注意事项域间策略使用的ACL序号是系统自动分配的，当首次在两个安全域之间创建域间策略的规则时，系统自动为该域间策略创建一个ACL，并从6000开始，分配当前未使用的最小序号给该ACL；当该域间策略的规则全部被删除时，系统自动删除该ACL。

H3C SecPath F100系列防火墙配置教程初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0 [H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1 工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address[ address-mask ]设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time 取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher }password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。

H3C S e c P a t h防火墙在双出口下通过策略路由实现负载分担的典型配置-CAL-FENGHAI-(2020YEAR-YICAI)_JINGBIANSecPath安全产品在双出口下通过策略路由实现负载分担的典型配置一、组网需求：SecPath1000F防火墙部署在出口，有电信和网通两个出口，要求PC1通过电信的出口，PC2通过网通的出口，在任意一个出口出现故障的时候，需要能够自动切换到另外一个出口。

二、组网图radius scheme system#domain system#acl number 3000 //配置nat转换地址范围rule 0 permit ip source 192.168.1.0 0.0.0.255rule 1 permit ip source 172.16.1.0 0.0.0.255rule 2 deny ipacl number 3001 //配置策略路由的ACLrule 0 permit ip source 172.16.1.0 0.0.0.255rule 1 deny ip#interface Aux0async mode flow#interface GigabitEthernet0/0ip address 202.38.1.1 255.255.255.0nat outbound 3000#interface GigabitEthernet0/1ip address 61.1.1.1 255.255.255.0nat outbound 3000#interface GigabitEthernet1/0ip address 10.0.0.1 255.255.255.0ip policy route-policy test //应用策略路由#interface GigabitEthernet1/1#interface Encrypt2/0#interface NULL0#firewall zone localset priority 100#firewall zone trustadd interface GigabitEthernet1/0set priority 85#firewall zone untrustadd interface GigabitEthernet0/0add interface GigabitEthernet0/1set priority 5#firewall zone DMZset priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local DM#firewall interzone trust untrust#firewall interzone trust DMZ#firewall interzone DMZ untrust#route-policy test permit node 10 //配置策略路由if-match acl 3001apply ip-address next-hop 61.1.1.2#ip route-static 0.0.0.0 0.0.0.0 202.38.1.2 preference 60ip route-static 0.0.0.0 0.0.0.0 61.1.1.2 preference 70ip route-static 172.16.1.0 255.255.255.0 10.0.0.2 preference 60ip route-static 192.168.1.0 255.255.255.0 10.0.0.2 preference 60#四、配置关键点1. 在配置nat outbound的时候，必须允许所有的网段进行地址转换；2. 在内网口应用策略路由；3. 配置策略路由时，必须应用下一跳地址，不能应用接口地址。

H3C SecPath F100-A防火墙VLAN透传的典型配置
一、组网需求：
客户端PC1和PC3属于VLAN100，客户端PC2和PC4属于VLAN200，用来模拟属于不同VLAN的用户，在Switch1和Switch2与防火墙相连接口上都要配置成Trunk模式，保证带Tag标记的报文能够透传。

二、组网图：
支持混合模式的产品型号有：Secpath F1000-A/F1000-S/F100-E/F100-A；版本要求Comware software, Version 3.40, ESS 1622及以后。

四、配置关键点：
1、子接口不支持VLAN透传；
2、SecPath F100-A设备的四个LAN接口需要执行undo insulate
命令聚合成一个接口才能使用VLAN透传功能；
3、VLAN透传与交换机的Trunk功能并不相同，当与交换机互通时，
如果希望SecPath防火墙与交换机的管理VLAN 互通，需要借助子接口来实现。

即将配置了与交换机管理VLAN ID相同的子接口加入到桥组，并创建相应的桥组虚接口（BVI接口），配置同一网段地址，则防火墙的桥组虚接口就可以与交换机管理VLAN接口互通。

<H3C>disp cu# sysname H3C8 X3x*G3C#43 63_7 _undo info-center enable#firewall packet-filter enable#nat aging-time tcp 300nat aging-time pptp 300nat aging-time dns 10nat aging-time ftp-ctrl 300nat aging-time tcp-fin 10nat aging-time tcp-syn 10 8 $X7w% L$7~3#undo icmp redirect send kwd8z$ A&@undo icmp unreach send#ip user-based-sharing enable m&& Fb7Nip user-based-sharing route 0.0.0.0 0.0.0.0 9N%g++~2#firewall defend enable# flow-interval 5 3 y5G53u{4 v4h0Z#qos carl 1 source-ip-address range 192.168.0.1 to 192.168.0.240 per-address K4L8Q #Y*@{qos carl 2 destination-ip-address range 192.168.0.1 to 192.168.0.240 per-address qos carl 3 source-ip-address range 192.168.1.1 to 192.168.1.240 per-address6 Oa53 8K% +AW#dH+g3nqos carl 4 destination-ip-address range 192.168.1.1 to 192.168.1.240 per-addres _+ OA2@3#dns server 202.96.128.86dns server 202.96.128.16669 A 1@#radius scheme system E& g%@*_4 E#C$7#domain system9X6xn3U7v& R3{$#local-user adminpassword simple adminsjwl 4 x$K4%D0# 1}74T}1F service-type telnet W0@9B& T"G7b3wy level 3V1}&x($h 2O 3E#PV —acl number 2000rule 0 permit source 192.168.0.0 0.0.1.255#acl number 3101rule 10 permit icmp icmp-type echorule 20 permit icmp icmp-type echo-reply " n4p$@ *Frule 30 permit icmp icmp-type ttl-exceeded 3* 4@3Srule 40 deny icmprule 110 deny tcp destination-port eq 135rule 120 deny udp destination-port eq 135rule 130 deny udp destination-port eq netbios-ns rule 140 deny udp destination-port eq netbios-dgm rule 150 deny tcp destination-port eq 139rule 160 deny udp destination-port eq netbios-ssn 8HVHW #2q5}7K rule 170 deny tcp destination-port eq 445 +F${ ~m S rule 180 deny udp destination-port eq 445rule 190 deny udp destination-port eq 593 U% W1n7L%U4q rule 200 deny tcp destination-port eq 593 82~u y5q0@# 7C~5 7Yq rule 210 deny tcp destination-port eq 1433rule 220 deny tcp destination-port eq 1434rule 230 deny tcp destination-port eq 4444rule 240 deny tcp destination-port eq 1025 k #S% prule 250 deny tcp destination-port eq 1068rule 260 deny tcp destination-port eq 707rule 270 deny tcp destination-port eq 5554 % x4g5b%}wrule 280 deny tcp destination-port eq 9996 mSN_+Y2Z0x1 P&5Z rule 2000 permit ip source 192.168.0.0 0.0.1.255rule 3000 deny ipacl number 3102 _%{7L UxL5{* {rule 10 permit icmp icmp-type echorule 20 permit icmp icmp-type echo-replyrule 30 permit icmp icmp-type ttl-exceeded #L9Y14@&S*rule 40 deny icmp 8A}95KSgm" w%7xWrule 110 deny tcp destination-port eq 135rule 120 deny udp destination-port eq 135rule 130 deny udp destination-port eq netbios-ns 8 {&X Z4U* rule 140 deny udp destination-port eq netbios-dgmrule 150 deny tcp destination-port eq 139 2Y#D#OQwrule 160 deny udp destination-port eq netbios-ssnrule 170 deny tcp destination-port eq 445rule 180 deny udp destination-port eq 445 …rule 190 deny udp destination-port eq 593rule 200 deny tcp destination-port eq 593 3{+0Zh%n7D5yxrule 210 deny tcp destination-port eq 1433 $H7 FDF rule 220 deny tcp destination-port eq 1434 5Z3W&9w1SX5y%3w rule 230 deny tcp destination-port eq 4444 …”rule 240 deny tcp destination-port eq 1025rule 250 deny tcp destination-port eq 1068rule 260 deny tcp destination-port eq 707rule 270 deny tcp destination-port eq 5554rule 280 deny tcp destination-port eq 9996rule 2000 permit ip destination 192.168.0.0 0.0.1.255 rule 2010 permit tcp destination-port eq telnet 2 8 {+rule 3000 deny ip 2 Q99dZ2Agacl number 3103rule 10 permit icmp icmp-type echorule 20 permit icmp icmp-type echo-reply S#Z4{ *}+U0Grule 30 permit icmp icmp-type ttl-exceededrule 40 deny icmp 3 O%GL x6B7q+m5y2 krule 110 deny tcp destination-port eq 135rule 120 deny udp destination-port eq 135rule 130 deny udp destination-port eq netbios-nsrule 140 deny udp destination-port eq netbios-dgmrule 150 deny tcp destination-port eq 139rule 160 deny udp destination-port eq netbios-ssn 9R+v2 Z~"T rule 170 deny tcp destination-port eq 445rule 180 deny udp destination-port eq 445 … rule 190 deny udp destination-port eq 593 5O8*_M* ~+m+x7 o rule 200 deny tcp destination-port eq 593 4&C G{0g{*W rule 210 deny tcp destination-port eq 1433rule 220 deny tcp destination-port eq 1434rule 230 deny tcp destination-port eq 4444 &k_%2n40@rule 240 deny tcp destination-port eq 1025rule 250 deny tcp destination-port eq 1068 +u*D P rule 260 deny tcp destination-port eq 707 %B_ W2A4R0&8V rule 270 deny tcp destination-port eq 5554rule 280 deny tcp destination-port eq 9996 2q#W9*~mn rule 2000 permit ip destination 192.168.0.0 0.0.1.255 2 rule 2010 permit tcp destination-port eq telnetrule 3000 deny ip# interface Aux0 5F7@*&Xy+X9Q async mode flow#interface GigabitEthernet1/0 7 z+p+ y2Y1Kip address 192.168.1.254 255.255.254.0*u(kVbM9}&R arp send-gratuitous-arp 1 0M*ph(Y% Z7kq1Oyfirewall packet-filter 3101 inbound 3 q(5B7D&h945AM4 Yqos car inbound carl 1 cir 800000 cbs 800000 ebs 0 gree n pass red discard — qos car inbound carl 3 cir 800000 cbs 800000 ebs 0 green pass red discard GL1O%4{ *0 qos car outbound carl 2 cir 800000 cbs 800000 ebs 0 green pass red discardqos car outbound carl 4 cir 800000 cbs 800000 ebs 0 green pass red discard #2 kD&P_O interface GigabitEthernet2/0 2 G3m6$GDhM NmLPloadbandwidth 10240 + Oo $u_%ip address 125.93.77.202 255.255.255.248arp send-gratuitous-arp 1firewall packet-filter 3102 inbound & K7q vQ%B6nat outbound 2000#interface GigabitEthernet3/0loadbandwidth 2048#，%ip address 125.93.66.210 255.255.255.252firewall packet-filter 3103 inboundnat outbound 2000#0 x0H23 Oe1a0Vdinterface GigabitEthernet4/0 6 A0#y%o6 L Q9#in terface NULL0 - • ” ■#firewall zone localset priority 100#firewall zone trustadd interface GigabitEthernet1/0 + u%9Hv h7&O _7G wadd interface GigabitEthernet4/0 P9o5 #SYh4Wset priority 85#* $4KMY Bu6k6}%6FVfirewall zone untrustadd interface GigabitEthernet2/0 o,w+K@ 3e3oQadd interface GigabitEthernet3/0set priority 5 $qG7Pd8~9H#firewall zone DMZset priority 50#undo dhcp enable v#L/5A8~Y$p#ip route-static 0.0.0.0 0.0.0.0 125.93.77.201 preference 60ip route-static 0.0.0.0 0.0.0.0 125.93.66.209 preference 60ip route-static 10.0.0.0 255.0.0.0 NULL 0 preference 60 7K$DL#F% Z ip route-static 169.254.0.0 255.255.0.0 NULL 0 preference 60ip route-static 172.16.0.0 255.240.0.0 NULL 0 preference 60ip route-static 192.168.0.0 255.255.0.0 NULL 0 preference 60firewall defend land Q6T+V9NBq0 #M%}firewall defend smurf 1V& AU9q 6~2o firewall defend fragglefirewall defend winnuke 8 n~% D2B8n OSfirewall defend icmp-redirect 2%bB G8R firewall defend icmp-unreachablefirewall defend source-route 3 1D~Q3 k+$Z&firewall defend route-recordfirewall defend tracertfirewall defend ping-of-death 4R1+@ $p0firewall defend tcp-flagfirewall defend ip-fragment R D1S%T5_{7firewall defend large-icmpfirewall defend teardropfirewall defend ip-sweep 3V 8Op90_+{+?+DMfirewall defend port-scan 4q9WS3~&@&v*e5q9p dhfirewall defend arp-spoofing * Pp7@M5Z firewall defend arp-reverse-queryfirewall defend arp-flood # 1R q$m77Mfirewall defend frag-floodfirewall defend syn-flood enable …firewall defend udp-flood enablefirewall defend icmp-flood enablefirewall defend syn-flood zone trust E630E@*0h4u5Hfirewall defe nd udp-flood zone trustfirewall defend icmp-flood zone trustfirewall defend syn-flood zone untrust firewall defend udp-flood zone untrust firewall defend icmp-flood zone untrust *P75q#Q4xSB#user-interface con 0 user-interface aux 0user-interface vty 0 4 N9H8E%~6H7nauthentication-mode scheme idle-timeout 100 0 U1P(wq2protocol inbound telnet# return。

H3C-SecPath-F100系列防火墙配置教程H3C SecPath F100系列防火墙配置教程初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit 分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0[H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin [H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ]设置标准时间 clock datetime time date设置所在的时区 clock timezonetime-zone-name { add | minus } time取消时区设置 undo clock timezone配置切换用户级别的口令 super password[ level user-level ] { simple | cipher } password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。

H3C双线出口配置H3C 双互联网接入负载分担及备份【解决方案及配置实例】#version 5.20, Alpha 1011#sysname H3C#bfd echo-source-ip 1.1.1.1#acl number 3000rule 0 permit ip source 192.168.1.0 0.0.0.255acl number 3001rule 0 permit ip source 192.168.2.0 0.0.0.2551. 双以太网链路接入1) MSR配置方法对于MSR网关，可以使用策略路由和自动侦测实现负载分担和链路备份功能。

同样以其中一条WAN 连接地址为142.1.1.2/24，网关为142.1.1.1，另外一条WAN连接地址为162.1.1.2/24，网关为162.1.1.1，使用MSR2010做为网关设备为例，配置方法如下：：1、配置自动侦测组，对WAN连接状态进行侦测：[H3C]nqa agent enable[H3C]nqa entry wan1 1[H3C-nqa-wan1-1]type icmp-echo[H3C-nqa-wan1-1-icmp-echo]destination ip 142.1.1.1[H3C-nqa-wan1-1-icmp-echo]next-hop 142.1.1.1[H3C-nqa-wan1-1-icmp-echo]probe count 3[H3C-nqa-wan1-1-icmp-echo]probe timeout 1000[H3C-nqa-wan1-1-icmp-echo]frequency 10000[H3C-nqa-wan1-1-icmp-echo]reaction 1 checked-element probe-fail threshold-type co nsecutive 6 action-type trigger-only[H3C]nqa entry wan2 1[H3C-nqa-wan2-1]type icmp-echo[H3C-nqa-wan2-1-icmp-echo]destination ip 162.1.1.1[H3C-nqa-wan2-1-icmp-echo]next-hop 162.1.1.1[H3C-nqa-wan2-1-icmp-echo]frequency 10000[H3C-nqa-wan2-1-icmp-echo]probe count 3[H3C-nqa-wan2-1-icmp-echo]probe timeout 1000[H3C-nqa-wan2-1-icmp-echo]reaction 1 checked-element probe-fail threshold-type co nsecutive 6 action-type trigger-only[H3C-nqa-wan2-1-icmp-echo]quit[H3C]nqa schedule wan1 1 start-time now lifetime forever[H3C]nqa schedule wan2 1 start-time now lifetime forever[H3C]track 1 nqa entry wan1 1 reaction 1[H3C]track 2 nqa entry wan2 1 reaction 12、配置ACL，对业务流量进行划分，以根据内网主机单双号进行划分为例：[H3C]acl number 3200[H3C-acl-adv-3200] rule 0 permit ip source 192.168.1.0 0.0.0.254[H3C-acl-adv-3200]rule 1000 deny ip[H3C-acl-adv-3200]quit[H3C]acl number 3201[H3C-acl-adv-3201]rule 0 permit ip source 192.168.1.1 0.0.0.254[H3C-acl-adv-3201]rule 1000 deny ip3、配置策略路由，定义流量转发规则，以双号主机走WAN1，单号主机走WAN2为例：[H3C]policy-based-route wan permit node 1[H3C-pbr-wan-1]if-match acl 3200[H3C-pbr-wan-1]apply ip-address next-hop 142.1.1.1 track 1[H3C-pbr-wan-1]quit[H3C]policy-based-route wan permit node 2[H3C-pbr-wan-2]if-match acl 3201[H3C-pbr-wan-2]apply ip-address next-hop 162.1.1.1 track 24、在LAN口启用策略路由转发：[H3C]interface Vlan-interface 1[H3C-Vlan-interface1]ip policy-based-route wan5、配置默认路由，当任意WAN链路出现故障时，流量可以在另外一条链路上进行转发：[H3C]ip route-static 0.0.0.0 0.0.0.0 142.1.1.1 track 1 preference 60[H3C]ip route-static 0.0.0.0 0.0.0.0 162.1.1.1 track 2 preference 1002) 基于用户负载分担配置方法MSR5006支持基于用户负载分担特性，可以根据接口带宽将流量动态进行负载分担。