03-H3C SecPath UTM系列PPPoE典型配置举例

SecPath系列防火墙IPSec典型配置举例关键词：IKE、IPSec摘要：本章首先介绍了IKE和IPSec的基本概念，随后说明了防火墙的配置方法，最后给出两种典型应用的举例。

缩略语：缩略语英文全名中文解释IKE Internet Key Exchange 因特网密钥交换Security IP网络安全协议IPsec IP目录1 特性简介 (3)1.1 IPSec基本概念 (3)1.1.1 SA (3)1.1.2 封装模式 (3)2 应用场合 (4)3 配置指南 (4)3.1 配置概述 (4)3.2 配置ACL (6)3.3 配置IKE (6)3.3.1 配置IKE全局参数 (6)3.3.2 配置IKE安全提议 (7)3.3.3 配置IKE对等体 (8)3.4 IPSec安全提议 (10)3.5 配置安全策略模板 (12)3.6 配置安全策略 (14)3.7 应用安全策略组 (16)4 配置举例一：基本应用 (17)4.1 组网需求 (17)4.2 使用版本 (18)4.3 配置步骤 (18)4.4 配置结果验证 (27)4.4.1 查看IPSec安全联盟 (27)4.4.2 查看报文统计 (27)5 配置举例二：与NAT结合 (27)5.1 组网需求 (27)5.2 配置说明 (28)5.3 配置步骤 (28)5.4 配置验证结果 (34)5.4.1 查看IPSec安全联盟 (34)5.4.2 查看报文统计 (35)6 注意事项 (35)7 相关资料 (35)7.1 相关协议和标准 (35)7.2 其它相关资料 (36)1 特性简介IPsec（IP Security）协议族是IETF制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。

特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。

IPsec通过AH（Authentication Header，认证头）和ESP（Encapsulating Security Payload，封装安全载荷）这两个安全协议来实现上述目标，并且还可以通过IKE（Internet Key Exchange，因特网密钥交换协议）为IPsec提供自动协商交换密钥、建立和维护安全联盟的服务，以简化IPsec 的使用和管理。

1.组网需求，Host运行PPPoE Client，通过设备Router接入到Internet。

设备作为PPPoE Server，配置本地认证，并通过地址池为用户分配IP地址。

设备Router通过Ethernet1/1接口连接以太网，Serial2/0接口连接Internet增加一个PPPoE用户。

<Sysname>system-view[Sysname]local-user user1[Sysname-luser-user1]password simple pass1[Sysname-luser-user1]service-type ppp[Sysname-luser-user1]quit#在设备Router上配置虚拟模板参数。

[Sysname]interface virtual-template1[Sysname-Virtual-Template1]ppp authentication-mode chap domain system[Sysname-Virtual-Template1]ppp chap user user1[Sysname-Virtual-Template1]remote address pool1[Sysname-Virtual-Template1]ip address1.1.1.1255.0.0.0[Sysname-Virtual-Template1]quit#在设备Router上配置PPPoE参数。

[Sysname]interface ethernet1/1[Sysname-Ethernet1/1]pppoe-server bind virtual-template1[Sysname-Ethernet1/1]quit#配置域用户使用本地认证方案。

[Sysname]domain system[Sysname-isp-system]authentication ppp local#增加一个本地IP地址池（9个IP地址）[Sysname-isp-system]ip pool11.1.1.21.1.1.10这样，以太网上各主机安装PPPoE客户端软件后，配置好用户名和密码（此处为user1和pass1）就能使用PPPoE协议，通过设备Router接入到Internet。

SecPath防火墙双机热备典型配置举例关键词：双机热备、主备模式、负载分担模式、数据同步、流量切换摘要：防火墙设备是所有信息流都必须通过的单一点，一旦故障所有信息流都会中断。

保障信息流不中断至关重要，这就需要解决防火墙设备单点故障问题。

双机热备技术可以保障即使在防火墙设备故障的情况下，信息流仍然不中断。

本文将介绍双机热备的概念、工作模式及典型应用等。

缩略语：目录1 特性简介 (3)1.1 双机热备的工作机制 (3)2 特性使用指南 (4)2.1 使用场合 (4)2.2 配置指南 (4)2.2.1 双机热备组网应用配置指南 (4)2.2.2 双机热备应用涉及的配置 (4)2.3 注意事项 (4)3 支持的设备和版本 (5)3.1 设备版本 (5)3.2 支持的设备 (5)3.3 配置保存 (5)4 配置举例 (6)4.1 典型组网 (6)4.2 设备基本配置 (9)4.2.1 其他共同配置： (9)4.3 双机热备业务典型配置举例 (9)4.3.1 透明模式＋主备模式 (9)4.3.2 透明模式＋负载分担模式 (14)4.3.3 路由模式＋主备模式 (17)4.3.4 路由模式＋负载分担模式 (19)4.3.5 路由模式＋主备模式＋支持非对称路径 (21)4.3.6 路由模式＋负载分担模式＋支持非对称路径 (27)4.3.7 动态路由模式组网 (32)5 相关资料 (33)1 特性简介双机热备在链路切换前，对会话信息进行主备同步；在设备故障后能将流量切换到其他备份设备，由备份设备继续处理业务，从而保证了当前的会话不被中断。

secpath防火墙具有多样化的组网方式，双机的组网应用也会很多种，本文试举几种双机热备的典型应用。

1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份，保证流量切换后会话连接不中断。

而流量的切换则依靠传统备份技术（如VRRP、动态路由）来实现，应用灵活，能适应各种组网环境。

H3CSecPathUTM系列特征库升级典型配置举例H3C SecPath UTM系列特征库升级典型配置举例关键词：特征库摘要：本⽂主要描述了UTM设备特征库升级的典型配置⽅法。

缩略语：缩略语英⽂全名中⽂解释UTM Unified Threat Management 统⼀威胁管理AV Anti-virus 防病毒IPS Intrusion prevention system ⼊侵防御系统⽬录1 特性简介 (1)2 应⽤场合 (1)3 注意事项 (1)4 配置举例 (1)4.1 组⽹需求 (1)4.2 配置思路 (2)4.3 使⽤版本 (2)4.4 配置步骤 (2)4.4.1 基本配置 (2)4.4.2 主要配置步骤 (3)4.5 验证结果 (5)5 相关资料 (5)5.1 其它相关资料 (5)1 特性简介特征库记录了设备可识别的攻击特征、病毒特征等，因此对于安全设备来说，必须保证特征库能够实时的更新升级，以保证它总是最新版本。

特征库的升级分为⼿动升级和⾃动升级：z⾃动升级可以帮助⽤户每隔指定的时间，使⽤特定的协议从特定的特征库版本服务器获取当前最新的特征库到设备。

z⼿动升级允许⽤户在需要的时候⼿动进⾏升级，⽤户可以⼿动设定获取特征库的协议、服务器地址和特征库⽂件名称，并且⼿动升级可以获取与设备兼容的任意⼀个版本的特征库。

⼿动升级⼀般是在⽤户的局域⽹内进⾏的。

2 应⽤场合运⾏在⽹络中的UTM设备启⽤了IPS和AV的功能，需要及时更新特征库3 注意事项要更新升级特征库，必须保证当前的License⽂件合法，并且在有效期限内。

主要配置步骤中的配置是在“应⽤安全策略”界⾯进⾏的，在左侧导航栏中点击“IPS|AV|应⽤控制 > ⾼级设置”，点击“应⽤安全策略”链接就可以进⼊“应⽤安全策略”界⾯。

4 配置举例4.1 组⽹需求某公司的内⽹⽹段为192.168.1.0/24，通过GE0/2连接到外⽹。

⽤户登录UTM的内⽹或外⽹接⼝地址，可以对UTM进⾏⼿动特征库升级操作；设置⾃动升级后，UTM会按照设定的时间⾃动进⾏特征库升级。

SecPath系列防火墙配置管理典型配置举例关键词：配置管理，备份摘要：配置管理模块主要用于对设备进行配置保存（加密和非加密）、备份、配置恢复和恢复出厂配置，用户可以在Web页面方便地对设备的配置进行维护和管理。

缩略语：缩略语英文全名中文解释- - -目录1 特性简介 (3)2 应用场合 (3)3 注意事项 (3)4 配置举例 (3)4.1 组网需求 (3)4.2 配置思路 (4)4.3 使用版本 (4)4.4 配置步骤 (4)4.4.1 基本配置 (4)4.4.2 配置管理 (6)4.5 验证结果 (8)4.5.1 配置保存 (8)4.5.2 配置备份 (9)4.5.3 配置恢复 (9)4.5.4 恢复出厂配置 (9)4.5.5 软件升级 (9)4.5.6 设备重启 (9)1 特性简介配置管理页面包含“配置保存”、“配置备份”、“配置恢复”和“恢复出厂配置”四个页签。

配置保存可以加密保存配置，如果将配置信息备份下来，打开文件查看时，看到的是密文显示。

在此页面可以对当前的配置信息进行配置备份和备份恢复。

软件升级和系统重启可以让用户通过Web页面对设备进行管理和操作。

2 应用场合用于设备的日常维护，当配置修改后，可以保存配置以免设备断电配置信息丢失。

也可以将配置信息备份下来，用于日后的配置恢复。

如果想清空配置信息时，可以恢复出厂配置。

3 注意事项(1) 软件升级时，尽量在流量少的时候操作，以免影响用户正常使用。

(2) 通过在命令行下输入save或在Web管理页面点击“配置保存”，可以对当前配置进行保存。

保存的配置文件有两个，分别为startup.cfg和system.xml。

(3) 备份或恢复时请将startup.cfg和system.xml一起备份和恢复。

4 配置举例4.1 组网需求本配置举例中，设备使用的是U200-S。

本典型配置适合SecPath F5000-A5、SecPath F1000E、SecPath UTM 200-A/200-M/200-S防火墙图1配置管理组网图设备默认出厂配置，GE0/0口为管理口，地址为192.168.0.1/24，用户可以将管理PC的网卡与设备的GE0/0口连接，并设置网卡地址为同网段的地址，则可以通过在浏览器的地址栏输入http://192.168.0.1 登录设备的Web网管，进行其他配置操作。

SecPath U200典型配置指导1 介绍H3C SecPath U200-S是H3C公司面向中小型企业/分支机构设计推出的新一代UTM （United Threat Management，统一威胁管理)设备，采用高性能的多核、多线程安全平台，保障在全部安全功能开启时性能不降低；在防火墙、VPN功能基础上，集成了IPS、防病毒、URL过滤、协议内容审计、带宽管理以及反垃圾邮件等安全功能，产品具有极高的性价比。

H3C公司的SecPath U200-S能够全面有效的保证用户网络的安全，同时还可以使用户避免部署多台安全设备所带来的运营成本和维护复杂性问题。

2 组网需求2.1 组网图2.2 三层模式2.2.1 接口与安全域配置G0/1 三层接口，Trust域，192.168.1.1/24Eth0/0 Trust域，10.254.254.1/24G0/2 三层接口，Untrust域，202.0.0.1/242.2.2 ACL配置用于内网访问Internet时作NAT用于iware访问内网、Internet时作NAT用于深度安全策略2.2.3 NAT配置nat server配置nat outbound配置2.3 二层模式2.3.1 接口与安全域配置G0/1 二层access口，PVID 10，Trust域G0/2 二层access口，PVID为10，UntrustEth0/0 三层接口，Trust域，10.254.254.1/24vlan-interface 10 Trust域，192.168.1.1/242.3.2 ACL配置用于iware访问内网时作NAT用于深度安全策略2.3.3 NAT配置NAT Server配置NAT outbound配置3 U200典型配置举例3.1 IPS/AV特征库升级3.1.1 特征库自动升级（1）功能简述验证U200自动升级IPS/AV特征库（2）测试步骤防火墙Web管理界面，策略管理> 深度安全策略。

H3C-PPP和PPPoE配置举例1.5 PPP典型配置举例1.5.1 PAP单向认证举例1. 组网需求如图1-3所示，Router A和Router B之间用接口Serial2/1/0互连，要求Router A用PAP方式认证Router B，Router B不需要对Router A进行认证。

2. 组网图图1-3 配置PAP单向认证组网图3. 配置步骤(1) 配置Router A# 为Router B创建本地用户。

<RouterA> system-view[RouterA] local-user userb class network# 设置本地用户的密码。

[RouterA-luser-network-userb] password simple passb# 设置本地用户的服务类型为PPP。

[RouterA-luser-network-userb] service-type ppp[RouterA-luser-network-userb] quit# 配置接口封装的链路层协议为PPP（缺省情况下，接口封装的链路层协议为PPP，此步骤可选）。

[RouterA] interface serial 2/1/0[RouterA-Serial2/1/0] link-protocol ppp# 配置本地认证Router B的方式为PAP。

[RouterA-Serial2/1/0] ppp authentication-mode pap domain system# 配置接口的IP地址。

[RouterA-Serial2/1/0] ip address 200.1.1.1 16[RouterA-Serial2/1/0] quit# 在系统缺省的ISP域system下，配置PPP 用户使用本地认证方案。

[RouterA] domain system[RouterA-isp-system] authentication ppp local(2) 配置Router B# 配置接口封装的链路层协议为PPP（缺省情况下，接口封装的链路层协议为PPP，此步骤可选）。

新手可以根据下面的配置一步一步操作，仔细一点儿就没问题了~！可以用超级终端配置，也可以用CRT配置如果配置了，还是不能上网，可以加我的QQ：957602411恢复出厂设置：Reset saved-configuration配置防火墙缺省允许报文通过：system-viewfirewall packet-filter default permit为防火墙的以太网接口（以Ethernet0/0为例）配置IP地址，并将接口加入到安全区域：interface Ethernet0/0ip address IP地址子网掩码quitfirewall zone trustadd interface Ethernet0/0quit添加登录用户为使用户可以通过Web登录，并且有权限对防火墙进行管理，必须为用户添加登录帐户并且赋予其权限：local-user 登录账号password simple 登录密码service-type telnetlevel 3quitquitsysfirewall packet-filter default permitdialer-rule 1 ip permitacl number 3000rule 0 permit ipquitinterface Dialer1link-protocol pppppp chap user PPPOE账号ppp chap password simple PPPOE密码ip address ppp-negotiatedialer-group 1dialer bundle 1nat outbound 3000quitinterface Ethernet0/4pppoe-client dial-bundle-number 1firewall zone untrustadd interface Ethernet0/4add interface Dialer1quitfirewall zone trustadd interface Ethernet0/0quitip route-static 0.0.0.0 0.0.0.0 Dialer 1 preference 60 save。