发布时间 : 星期一 文章H3C 防火墙测试模板 - 图文更新完毕开始阅读931a8bed5ebfc77da26925c52cc58bd63086934e
H3C NGFW测试用例 nataddress-group1 address192.168.2.200192.168.2.200 # 设置端口IP地址并在GE0/2上启用nat easy ip。 interface GigabitEthernet1/0/1 port link-mode route ip address 192.168.1.1 255.255.0.0 interface GigabitEthernet1/0/2 port link-mode route natoutboundaddress-group1 ip address 2.2.2.1 255.255.0.0 # 开启nat fullcone功能。 natmapping-behaviorendpoint-independent 参考配置 预期结果 ? TestCenter接GE1/0/1的一端可以收到报文; ? 查看会话。采用同样的源地址/端口访问不同的目的,转换后的源地址/端口一致。 测试准备 测试说明 测试结果 原始记录 测试仪、防火墙、PC T04 日志功能
T04-01 系统日志功能
测试分组 测试项目 系统维护功能测试 日志测试 测试拓扑 PC10.1.1.1/2410.1.1.2/24FWA 测试目的 测试防火墙日志保存的基本功能 (39) 将FWA接PC端口加入到安全域,并设置该安全域到Local域的域间策略。 测试步骤 (40) 在FW上执行相关的查看操作,比如displaycurrent-configuration等操作; (41) 在FW上查看log缓存内容。 2018-01-08
H3C机密,未经许可不得扩散 第32页, 共197页
参考配置 预期结果 测试准备 H3C NGFW测试用例 防火墙上log缓存内容查看命令:display logbuffer 能够看到在防火墙上进行的相关操作,防火墙能够正常的记录 防火墙、PC 如在防火墙上上执行了如下命令: ? displaycurrent-configuration ? displaylogbuffer 测试说明 ? displayospfpeer ? displayiprouting-table ? displaylogbuffer查看log缓存,应该能够看到相应的记录 测试结果 原始记录
T04-02 NAT\\会话二进制日志测试
测试分组 测试项目 系统维护功能 二进制日志测试 测试拓扑 测试目的 测试防火墙发送日志到日志服务器 (42) 配置Host1、 Host2和Host3链路和IP地址;Host3为日志服务器。 (1) 将FWA的各接口加入安全域,并配置域间策略; 测试步骤 (2) FWA出接口GE0/2配置nat oubound; (3) Host1到202.38.165. 0/24路由可达; (4) Host2到nat地址池网段202.0.0.0/24,下一跳指向202.38.165.1; (5) Host1 通过HTTP访问 Host2(也可以ping Host2)。 # 设置userlog日志。 info-centerenable 参考配置 userlog flow export host 10.1.1.1 port 30017 userlogflowexportversion3 nat log enable 2018-01-08
H3C机密,未经许可不得扩散 第33页, 共197页
H3C NGFW测试用例 nat log flow-begin nat log flow-end # 出接口GE0/2上配置NAT。 natoutbound3001address-group202 # 设置nat地址池和acl。 nat address-group 202 address 202.0.0.245 202.0.0.247 acl number 3001 rule 0 permit ip source 192.1.1.100 0.0.0.255 destination 202.38.165.2 0.0.0.255 预期结果 测试准备 测试说明 日志服务器host3上面看到userlog日志 PC,防火墙 在日志主机上能够看到相应的记录: %Apr 3 09:43:51:765 2014 M9000 NAT/6/NAT_FLOW: -Chassis=1-Slot=9.1; Protocol(1001)=TCP;SrcIPAddr(1003)=192.1.1.100;SrcPort(1004)=1026;NatSrcIPAddr(1005)=202.0.0.245;NatSrcPort(1006)=45597;DstIPAddr(1007测试结果 )=202.38.165.2;DstPort(1008)=80;NatDstIPAddr(1009)=202.38.165.2;NatDstPort(1010)=80;InitPktCount(1044)=1;InitByteCount(1046)=56;RplyPktCount(1045)=0;RplyByteCount(1047)=0;RcvVPNInstance(1042)=;SndVPNInstance(1043)=;RcvDSLiteTunnelPeer(1040)=;SndDSLiteTunnelPeer(1041)=;BeginTime_e(1013)=04032014094351;EndTime_e(1014)=;Event(1048)=(8)Session created; 原始记录
T04-03 NAT444日志测试
测试分组 测试项目 系统维护功能 customlog日志测试 2018-01-08
H3C机密,未经许可不得扩散 第34页, 共197页
H3C NGFW测试用例 测试拓扑 测试目的 测试防火墙发送日志到日志服务器 (6) 配置Host1、Host2和Host3链路和IP地址;Host3为日志服务器。 (7) 将FWA的各接口加入安全域,并配置域间策略; 测试步骤 (8) FWA出接口GE0/2配置natoubound; (9) Host1到202.38.165.0/24路由可达;Host2到nat地址池网段202.0.0.0/24,下一跳指向202.38.165.1; (10) Host1通过 http访问Host2(也可以pingHost2)。 # 设置customlog日志。 info-centerenable nat log enable nat log alarm nat log flow-begin nat log flow-end natlogport-block-assign customlogformatcmcc customloghost10.1.1.1exportcmcc-sessionlog #创建NAT地址池0。 参考配置 nat address-group 0 port-range 10001 61200 port-block block-size 512 address 200.0.0.0 200.0.0.255 # 出接口GE0/2上配置NAT444: natoutbound3001address-group0 # 设置acl acl number 3001 rule 0 permit ip source 192.1.1.100 0.0.0.255 destination 202.38.165.2 0.0.0.255 2018-01-08
H3C机密,未经许可不得扩散 第35页, 共197页