臨近年底,某公司網管年終獎都沒拿,直接跑了,網路也給整癱瘓了,這是有多大仇啊。
用的是華為USG5000系列統一安全閘道器:Secoway USG5120BSR,這玩意是當年華為和賽門鐵克聯合出品的,能夠為使用者提供防火牆、防入侵、反病毒、反垃圾郵件、URL過濾等多項安全功能,提供全方位的網路安全防護,保障網路高效執行。
當年用得起這傢伙的,也算是捨得花錢的主,不過,外部的危險防住了,到頭來卻被內鬼破壞了,看來內部管理也得加強啊。
如今這年代,沒網差不多就是半停工狀態,想必客戶已經期待已久,廢話不多說,直接上手吧,連線Console線,找支筆頂住Reset鍵,大概30秒後,燈全滅,然後又亮,伴隨著“直升機起飛”的聲音,膝上型電腦螢幕上顯示裝置正在啟動。
出現“Press Ctrl+B to Enter Main Menu...”的時候,快速按下Ctrl+B,然後出現“Password:”,莫慌,這不是管理員密碼,此時需輸入BootROM密碼:O&m15213,隨後就進入BootROM選單了。
此時輸入數字6,即選<6> Reset Factory Configuration,恢復出廠設定,需要注意的是,客戶要求我們全部重新配置,所以選擇此項,如果只是需要重置管理員密碼,那麼此時應該按下Ctrl+Z進入隱藏選單,輸入“Recover Console Password”對應的數字序號即可。
系統提示:此操作將丟失當前配置,選擇“Yes”就繼續,此時輸入數字1。
這裡沒什麼好說的,輸入數字1,啟動系統。
根據以往經驗,重新進入系統後,必須馬上修改密碼,否則登入超時或重啟後又得重新來一遍!
膝上型電腦網絡卡配置IP地址:192.168.0.2,子網掩255.255.255.0,然後網線連線到防火牆的G0/0/0口(預設的管理口),開啟瀏覽器,輸入https:192.168.1.1:8443
使用者名稱:admin,密碼:Admin@123,注意,有的版本預設密碼為Admin@huawei,也有的版本是admin@huawei,com,多試幾次,總有一款適合你。
看看這介面吧, 還是熟悉的味道、熟悉的配方。開始動手配通網路吧。
1、配置內網介面:設定G0/0/1為內網口,IP地址為192.168.10.1;
2、配置外網介面:設定G0/0/3為外網口,IP地址為運營商提供的固定IP;
注意把介面放到相應的安全區域,望文知義:內網口當然是Trust區域,外網口當然就是Untrust區域了
3、新建安全策略:Trust2Untrust,源安全區域Trust,目的安全區域Untrust,動作為permit(允許),意思很明顯,內網到外網的通訊是被允許的;注意,Untrust2Trust的安全策略,應該設定為deny,禁止外網無限制地訪問內網。
4、配置NAT,實現內網使用者訪問網際網路,源安全區域:Trust,目的安全區域:Untrust,源地址:192.168.10.0/24,動作:NAT轉換,將源地址轉換為:出介面IP地址。
5、當然,不能忘記配置預設路由,否則還是上不了外網,這裡的下一跳地址就是運營商給的閘道器地址;
此時,外網恢復,膝上型電腦改回自動獲取IP地址,接入核心交換機:華為S5700-28P,還算好,配置應該沒丟,正常獲取到IP,並且能夠訪問網際網路。
先通知客戶,網路已恢復,我們接著幹活:釋出內網伺服器,下面以釋出Windows Server的遠端桌面為例說明:
1、新建虛擬伺服器,外部地址直接選擇外網介面即可,內部地址填寫伺服器的IP地址,勾選“埠轉換”,協議選擇“TCP”,以安全起見,外部埠強烈建議使用自定義埠,不要使用服務預設的埠,內部埠填寫實際上使用的埠,這裡是遠端桌面,所以填寫為3389。
2、新建一條與之匹配的安全策略,否則外網是無法訪問這臺伺服器的,因為我們前面把Untrust2Trust改為deny了。
做完以後,保證這條策略在deny策略的上面,否則就是無效策略了。
至於其他伺服器的其他埠需要對映到外網,那就以此類推了,只是安全策略必須一一對應匹配。
全部配置完畢後,注意點“儲存”,否則裝置一旦重啟,所有配置全部丟失
我的常規操作是,儲存配置後,再匯出配置檔案到電腦,哪天真有問題,直接匯入配置就行了,省了很多麻煩。每次變更配置,也可以匯出一份,相信我,越多的配置檔案,使你能更輕鬆地應對各種問題。
——筆者為網路工程師,擅長計算機網路領域,創業多年,希望把自己的經驗分享給大家,覺得有用的,可以關注、點贊、轉發,如有相同或者不同觀點,歡迎評論。最近已開通“圈子”,有興趣的朋友歡迎進圈共同學習和討論。
