臨近年底,某公司網管年終獎都沒拿,直接跑了,網絡也給整癱瘓了,這是有多大仇啊。
用的是華為USG5000系列統一安全網關:Secoway USG5120BSR,這玩意是當年華為和賽門鐵克聯合出品的,能夠為使用者提供防火牆、防入侵、反病毒、反垃圾郵件、URL過濾等多項安全功能,提供全方位的網絡安全防護,保障網絡高效運作。
當年用得起這家夥的,也算是舍得花錢的主,不過,外部的危險防住了,到頭來卻被内鬼破壞了,看來内部管理也得加強啊。
如今這年代,沒網差不多就是半停工狀态,想必客戶已經期待已久,廢話不多說,直接上手吧,連接配接Console線,找支筆頂住Reset鍵,大概30秒後,燈全滅,然後又亮,伴随着“直升機起飛”的聲音,筆記本電腦螢幕上顯示裝置正在啟動。
出現“Press Ctrl+B to Enter Main Menu...”的時候,快速按下Ctrl+B,然後出現“Password:”,莫慌,這不是管理者密碼,此時需輸入BootROM密碼:O&m15213,随後就進入BootROM菜單了。
此時輸入數字6,即選<6> Reset Factory Configuration,恢複出廠設定,需要注意的是,客戶要求我們全部重新配置,是以選擇此項,如果隻是需要重置管理者密碼,那麼此時應該按下Ctrl+Z進入隐藏菜單,輸入“Recover Console Password”對應的數字序号即可。
系統提示:此操作将丢失目前配置,選擇“Yes”就繼續,此時輸入數字1。
這裡沒什麼好說的,輸入數字1,啟動系統。
根據以往經驗,重新進入系統後,必須馬上修改密碼,否則登入逾時或重新開機後又得重新來一遍!
筆記本電腦網卡配置IP位址:192.168.0.2,子網掩255.255.255.0,然後網線連接配接到防火牆的G0/0/0口(預設的管理口),打開浏覽器,輸入https:192.168.1.1:8443
使用者名:admin,密碼:Admin@123,注意,有的版本預設密碼為Admin@huawei,也有的版本是admin@huawei,com,多試幾次,總有一款适合你。
看看這界面吧, 還是熟悉的味道、熟悉的配方。開始動手配通網絡吧。
1、配置内網接口:設定G0/0/1為内網口,IP位址為192.168.10.1;
2、配置外網接口:設定G0/0/3為外網口,IP位址為營運商提供的固定IP;
注意把接口放到相應的安全區域,望文知義:内網口當然是Trust區域,外網口當然就是Untrust區域了
3、建立安全政策:Trust2Untrust,源安全區域Trust,目的安全區域Untrust,動作為permit(允許),意思很明顯,内網到外網的通信是被允許的;注意,Untrust2Trust的安全政策,應該設定為deny,禁止外網無限制地通路内網。
4、配置NAT,實作内網使用者通路網際網路,源安全區域:Trust,目的安全區域:Untrust,源位址:192.168.10.0/24,動作:NAT轉換,将源位址轉換為:出接口IP位址。
5、當然,不能忘記配置預設路由,否則還是上不了外網,這裡的下一跳位址就是營運商給的網關位址;
此時,外網恢複,筆記本電腦改回自動擷取IP位址,接入核心交換機:華為S5700-28P,還算好,配置應該沒丢,正常擷取到IP,并且能夠通路網際網路。
先通知客戶,網絡已恢複,我們接着幹活:釋出内網伺服器,下面以釋出Windows Server的遠端桌面為例說明:
1、建立虛拟伺服器,外部位址直接選擇外網接口即可,内部位址填寫伺服器的IP位址,勾選“端口轉換”,協定選擇“TCP”,以安全起見,外部端口強烈建議使用自定義端口,不要使用服務預設的端口,内部端口填寫實際上使用的端口,這裡是遠端桌面,是以填寫為3389。
2、建立一條與之比對的安全政策,否則外網是無法通路這台伺服器的,因為我們前面把Untrust2Trust改為deny了。
做完以後,保證這條政策在deny政策的上面,否則就是無效政策了。
至于其他伺服器的其他端口需要映射到外網,那就以此類推了,隻是安全政策必須一一對應比對。
全部配置完畢後,注意點“儲存”,否則裝置一旦重新開機,所有配置全部丢失
我的正常操作是,儲存配置後,再導出配置檔案到電腦,哪天真有問題,直接導入配置就行了,省了很多麻煩。每次變更配置,也可以導出一份,相信我,越多的配置檔案,使你能更輕松地應對各種問題。
——筆者為網絡工程師,擅長計算機網絡領域,創業多年,希望把自己的經驗分享給大家,覺得有用的,可以關注、點贊、轉發,如有相同或者不同觀點,歡迎評論。最近已開通“圈子”,有興趣的朋友歡迎進圈共同學習和讨論。
#IT##網絡工程師##華為#