Ipv6整体解决方案
Hillstone Networks Inc. 2016年03月10日
内容提交人审核人更新内容日期
V1 2016/3/10
目录
1需求分析 (3)
2解决方案 (3)
2.1设备信息 (3)
2.2拓扑 (3)
2.3主要配置 (4)
2.3.1总部 (4)
2.3.2分支1(模拟环境,不考虑上互联网问题) (6)
2.3.3分支2 (8)
3建设效果 (8)
1需求分析
某用户有100多个office,都采用电信光纤接入,需要逐步从IPv4演变为IPv6地址,在这种场景下,需要做到IPv4到IPv6内网的互通。
场景模拟如下:一个总部两个分支,总部内网采用IPv6地址,外网地址采用IPv4;分支1外网IPv4,内网IPv6;分支机构2内外网都为IPv4地址。需求如下:
A.总部的IPv6地址可以访问到互联网IPv4资源,总部的IPv6地址可以提供互联网用户
访问。
B.总部和分支1的IPv6地址通过公网6in4隧道互相通信。
C.总部和分支2的IPv4地址互相通信。
2解决方案
2.1设备信息
2.2拓扑
分支1
2005::2/96 2.3主要配置
2.3.1总部
A.接口
interface ethernet0/1
zone "untrust"
ip address 200.0.0.2 255.255.255.0
manage http
exit
interface ethernet0/2
zone "trust"
dns-proxy
ipv6 enable
ipv6 address 2005::1/96
manage ping
exit
interface tunnel1
zone "trust"
ipv6 enable
tunnel ip6in4 "fenzhi1"
exit
B.Nat和路由
ip vrouter "trust-vr"
snatrule id 1 from "2005::/96" to "2003::/96" service "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport #总部上网snat
snatrule id 2 from "2005::2/96" to "2004::2" service "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport #与分支2通信snat
snatrule id 3 from "Any" to "200.0.0.2" service "Any" eif ethernet0/2 trans-to 2005::1 mode dynamicport #公网已知ip访问总部ipv6服务器snat
dnatrule id 1 from "2005::/96" to "2003::/96" service "Any" v4-mapped #总部上网dnat dnatrule id 2 from "2005::2/96" to "2004::2" service "Any" trans-to "200.0.0.4" #与分支2通信dnat
dnatrule id 3 from "Any" to "200.0.0.2" service "Any" trans-to "2005::2" #公网已知ip访问总部ipv6服务器dnat
ip route 0.0.0.0/0 200.0.0.1
ipv6 route 2001::/96 tunnel1
exit
C.策略
rule id 1
action permit
src-addr "Any"
dst-addr "Any"
service "Any"
exit
rule id 2
action permit
src-ip 2005::/96
dst-ip 2004::/96
service "Any"
exit
rule id 3
action permit
src-ip 2005::/96
dst-ip 2003::/96
service "Any"
exit
rule id 4
action permit
src-ip 2005::/96
dst-ip 2001::/96
service "Any"
exit
rule id 5
action permit
src-ip 2001::/96
dst-ip 2005::/96
service "Any"
exit
rule id 6
action permit
src-addr "IPv6-any"
dst-addr "IPv6-any"
service "Any"
exit
D.其他配置
tunnel ip6in4 "fenzhi1" manual
interface "ethernet0/1"
destination 200.0.0.3
exit
ip name-server 8.8.8.8 vrouter trust-vr
ip dns-proxy domain any name-server 8.8.8.8 vrouter trust-vr
ipv6 dns64-proxy id 1 prefix 2003::/96 source 2005::/96 trans-mapped-ip any
2.3.2分支1(模拟环境,不考虑上互联网问题)
A.接口
interface ethernet0/1
zone "untrust"
ip address 200.0.0.3 255.255.255.0
manage ping
exit
interface ethernet0/2
zone "trust"
ipv6 enable
ipv6 address 2001::1/96
manage ping
interface tunnel1
zone "trust"
ipv6 enable
tunnel ip6in4 "zongbu"
exit
B.Nat和路由
ip vrouter "trust-vr"
ip route 0.0.0.0/0 200.0.0.1 ipv6 route 2005::/96 tunnel1
C.策略
rule id 1
action permit
src-addr "Any"
dst-addr "Any"
service "Any"
exit
rule id 33
action permit
src-ip 2001::/96
dst-ip 2005::/96
service "Any"
exit
rule id 34
action permit
src-ip 2005::/96
dst-ip 2001::/96
service "Any"
exit
rule id 35
action permit
src-addr "IPv6-any"
dst-addr "IPv6-any" service "Any"
exit
D.其他配置
tunnel ip6in4 "zongbu" manual interface "ethernet0/1" destination 200.0.0.2
exit
2.3.3分支2
A.接口
interface ethernet0/3
zone "trust"
ip address 192.168.2.1 255.255.255.0
manage ping
exit
interface ethernet0/4
zone "untrust"
ip address 200.0.0.4 255.255.255.0
manage ping
exit
B.Nat和路由
ip vrouter "trust-vr"
snatrule id 1 from "Any" to "Any" service "Any" eif ethernet0/4 trans-to eif-ip mode dynamicport dnatrule id 1 from "200.0.0.2" to "200.0.0.4" service "Any" trans-to "192.168.2.254"
ip route 0.0.0.0/0 200.0.0.1
exit
C.策略
rule id 1
action permit
src-addr "Any"
dst-addr "Any"
service "Any"
exit
3建设效果
通过以上配置可以实现:
A.总部访问公网IPv4域名;可以访问固定的公网ip;互联网用户可以访问总部内网服务
器
B.总部和分支1可以相互通信
C.总部和分支2可以相互通信
A.由于Nat64技术的限制,如果公网ip不固定且无法对应到域名,则总部端无法访问该
ip(因为需要在FW上添加固定的转换规则)
B.策略中调用IPv6的any地址簿时应该用“IPv6-any”这个地址簿
C.总部PC的DNS需要指向总部FW的内网口ip,即2005::1
新一代多核安全网关 SG-6000-M2105/M3100/M3108 SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。处理器模块化设计可以提升整体处理能力,突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps,广泛适用于企业分支、中小企业等机构,可部署在网络的主要结点及Internet出口,为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。 产品亮点 安全可视化 ●网络可视化 通过StoneOS?内置的网络流量分析模块,用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势,随时、随地监控自己的网络,从而对流量进行优化和精细化的管理。 ●接入可视化 StoneOS?基于角色的管理(RBNS)模块,让网络接入更加精细和直观化,实现了对接入用户更加人性化的管理,摆脱了过去只能通过IP地址来控制的尴尬,可以实时地监控、管理用户接入的状态,资源的分配,从而使网络资源的分配更加合理和可控化。 ●应用可视化 StoneOS?内置独创的应用识别模块,可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,即使加密过的数据流也能应付自如。StoneOS?识别的应用多达几百种,而且跟随着应用的发展每天都在增加;其中包
括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、、HTTP等协议的应用,应用特征库通过网络服务可以实时更新。 全面的VPN解决方案 SG-6000多核安全网关支持多种IPSecVPN的部署,它能够完全兼容标准的IPSec VPN。SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速,结合多核平台的处理能力,可为用户提供高容量、高性能的VPN解决方案。 Hillstone山石网科独具特色的即插即用VPN,可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置,完全解决了传统IPSecVPN设备配置难、使用难、维护成本高的问题。 SG-6000多核安全网关还通过集成第三代SSL VPN实现角色访问控制和即插即用特性,为用户提供方便、快捷的安全远程接入服务。 内容安全(UTM Plus?) SG-6000可选UTMPlus?软件包提供病毒过滤、入侵防御、内容过滤、网页访问控制和应用流量整形等功能,可以防范病毒、间谍软件、蠕虫、木马等网络攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页,提高工作效率和控制对不良网站的访问。病毒库、攻击库、网页库可以通过网络服务实时下载,确保对新爆发的病毒、攻击、新的网页做到及时响应。 模块化、全并行处理的安全架构(多核Plus? G2) Hillstone山石网科自主开发的64位实时安全操作系统StoneOS?采用专利的多处理器全并行架构,和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同;StoneOS?实现了从网络层到应用层的多核全并行处理。 因此SG-6000较业界其他的多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升,为同时开启多项防护功能奠定了性能基础,突破了传统安全网关的功能实用性和性能无法两全的局限。 SG-6000-M3108支持SD卡扩展。通过扩展SD卡可以在设备上实时记录各种审计日志和审计数据,满足公安部82号令的要求,也可以使用外置高性能日志服务器。 另外SG-6000多核安全网关还支持通过软件license方式进行设备高级扩展,
Hillstone山石网科SG-6000-X6150防火墙评测报告 作者老韩 | 2010-10-14 11:38 | 类型互联网, 弯曲推荐, 研发动态, 网络安全 | 75条用户评论? 4年时间完成从0到100G的跨越,山石网科让人无话可说。再过4年,中国信息安全行业的格局是否会被改变?10月21日,山石网科将在北京正式发布这款百G级别的产品,感兴趣的话可以猛击这里查看官方专题页。 原文发布于《计算机世界》。本文尽量注意在正文中不出现带有个人感情色彩的语言;另一方面,拓展表现形式,用视频保存下测试中的经典瞬间,编辑后以更易于接受、传播的方式加以体现。(对于镜头晃动带来的眩晕感我非常抱歉,此外请忽略鼻炎导致偶发的怪腔怪调……) Hillstone山石网科(以下简称“山石网科”)是一个令人惊叹的安全企业。自成立以来,该公司保持着稳定、高速的产品研发速度,有步骤地推出了一系列多功能安全网关产品,占据了市场先机。但所有这些产品,其形态都属于“盒子(Appliance)”的范畴,固化的业务处理单元决定了其防火墙性能无法突破20G 这条水平线。而在云计算从未来时发展为现在进行时的今天,运营商、金融、教育等大型行业用户有了更高的业务需求,百G级别的防火墙在骨干网、数据中心等环境开始进入实际应用阶段。为了应对新的需求变化,山石网科又于近期推出了SG-6000-X6150(以下简称X6150)高性能防火墙,我们也在第一时间对该产品进行了测试分析。
为了达到百G级别的处理能力,X6150改用“机框(Chassis)”式产品形态,实现了可插拔部件全冗余及业务的智能分布式处理。该产品采用5U规格设计,共内置了12个扩展槽位,其中10个可用于接口模块(IOM)、安全服务模块(SSM)或QoS服务模块(QSM),2个用于系统主控模块(SCM)。设备亦采用了高速大容量交换背板,为每个模块提供了足够大的数据通路。对于高端电信级产品来说,供电子系统与散热子系统的重要性亦不容忽视。X6150最多可内置4个电源模块(650W),支持双路主备冗余部署,加上具有热插拔特性的风扇模组,可以最大程度地保障系统的稳定运行。 多核Plus G2的高级形态 目前,通过单独的处理器还很难达到百G级别的防火墙性能,业务的分布式处理是目前市场上百G防火墙产品的主流选择。不同厂商必然有着不同的系统实现方式,对于山石网科来说,经过多次发展演变的多核Plus G2架构则是X6150实现智能分布式处理的基础。
IPv6数据包:包头 IPv6包头长度固定为40字节,去掉了IPv4中一切可选项,只包括8个必要的字段,因此尽管IPv6地址长度为IPv4的四倍,IPv6包头长度仅为IPv4包头长度的两倍。 其中的各个字段分别为: Version(版本号):4位,IP协议版本号,值= 6。 Traffic Class(通信类别):8位,指示IPv6数据流通信类别或优先级。功能类似于IPv4的服务类型(TOS)字段。 Flow Label(流标记):20位,IPv6新增字段,标记需要IPv6路由器特殊处理的数据流。该字段用于某些对连接的服务质量有特殊要求的通信,诸如音频或视频等实时数据传输。在IPv6中,同一信源和信宿之间可以有多种不同的数据流,彼此之间以非“0”流标记区分。如果不要求路由器做特殊处理,则该字段值置为“0”。 Payload Length(负载长度):16位负载长度。负载长度包括扩展头和上层PDU,16位最多可表示65535字节负载长度。超过这一字节数的负载,该字段值置为“0”,使用扩展头逐个跳段(Hop-by-Hop)选项中的巨量负载(Jumbo Payload)选项。 Next Header(下一包头):8位,识别紧跟IPv6头后的包头类型,如扩展头(有的话)或某个传输层协议头(诸如TCP,UDP或着ICMPv6)。 Hop Limit(跳段数限制):8位,类似于IPv4的TTL(生命期)字段。与IPv4用时间来限定包的生命期不同,IPv6用包在路由器之间的转发次数来限定包的生命期。包每经过一次转发,该字段减1,减到0时就把这个包丢弃。 Source Address(源地址):128位,发送方主机地址。 Destination Address(目的地址):128位,在大多数情况下,目的地址即信宿地址。但如果存在路由扩展头的话,目的地址可能是发送方路由表中下一个路由器接口。IPv6数据包:扩展包头 IPv6包头设计中对原IPv4包头所做的一项重要改进就是将所有可选字段移出IPv6包头,置于扩展头中。由于除Hop-by-Hop选项扩展头外,其他扩展头不受中转路由器检查或处理,这样就能提高路由器处理包含选项的IPv6分组的性能。 通常,一个典型的IPv6包,没有扩展头。仅当需要路由器或目的节点做某些特殊处理时,才由发送方添加一个或多个扩展头。与IPv4不同,IPv6扩展头长度任意,不受40字节限制,以便于日后扩充新增选项,这一特征加上选项的处理方式使得IPv6选项能得以真正的利用。但是为了提高处理选项头和传输层协议的性能,扩展头总是8字节长度的整数倍。 目前,RFC 2460中定义了以下6个IPv6扩展头:Hop-by-Hop(逐个跳段)选项包头、目的地选项包头、路由包头、分段包头、认证包头和ESP协议包头: (一)Hop-by-Hop选项包头包含分组传送过程中,每个路由器都必须检查和处理的特殊参数选项。其中的选项描述一个分组的某些特性或用于提供填充。这些选项有: Pad1选项(选项类型为0),填充单字节。 PadN选项(选项类型为1),填充2个以上字节。
山石网科 申请功能 (平台) QOS 流量分配 AV 复合端口 IPS 入侵 NBC 网络行为管理支持SG型号 URLDB 是NBC子键支持SG型号 HSM 设备集 4GE-B 当断电后仍然可以通讯 SSH secure Shell 安全外壳协议 是一种在不安全网络上提供安全登录和其他安全网络服务的协议。 NAT 步骤: ①,接口IP ②,配路由 缺省路由:0.0.0.0 0.0.0.0 192.168.1.2 回值路由:0.0.0.0 192.168.1.x 192.168.1.1 策略路由: ③,NAT SNAT DNAT MAP ( IP PORT ) ④,policy(策略) 检查配置环境 show seccion generic 显示连接数 show interface (name) 显示接口信息 show zone(zone name) 显示安全域类型 show admin user 显示系统管理员信息 show admin user (name)显示系统管理员配置信息 show version 显示版本号信息 show arp 显示解析地址 show fib 显示路由信息 show snat 显示nat 配置 no snatrule id 号删除NAT配置 show ip route 显示路由信息 save 保存配置 unset all 清楚配置(恢复出厂设 置。
配接口 (config)# interface Ethernet0/2 (config-if-0/2)# zone trust 或/untrust 建立区信任/不信任 (config-if-0/2)# ip add 192.168.1.1/24 (config-if-0/2)# manage ping 开通PING (config-if-0/3)# manage http 开通HTTP (config-if-0/3)# manage telnet 开通telnet 配路由 (config)# ip vrouter trust-vr 这个命令意思是可以配置多个路由 (config-route)# ip route 0.0.0.0/0 192.168.1.1 配NAT (config)# nat (config-nat)# snatrule id 1 from any to any trans-to eif-ip mode dynamicport (config)#policy # rule from any to any server any dynamicport 系统管理 web: 系统--设备管理--基本信息 CLI: (config)# hostname (name) 配置安全网关名 (config)# no hostname 清楚安全网关名 管理员密码策略配置模式 hostname(config)# password policy 进入管理员策略配置式 hostname(config-pwd-policy)# admin complexity 1 启用密码复杂度限制 hostname(config=pwd-policy)# admin min-length (length value) 启用密码最少位限制 配置系统管理员 (config)# admin user (user-name) 配置管理员名称 (config)# no admin user (user-name) 删除管理员名称 (config-hostname)# privilege PX/RXW 管理员模式下:配置管理员特权 PX是读,执行 PXW 是读,执行,写。 (config-hostname)# password password 配置管理员密码 (config-hostname)# access{console|https|ssh|telnet|any} 配置管理员的访问方式 show admin user 显示管理员信息 show admin user (user-name) 显示管理员配置信息
Hillstone山石网科多核安全网关安装手册 Hillstone山石网科 SG-6000-IM0609-3.5R2C-01
前言 内容简介 感谢您选用Hillstone Networks的网络安全产品。 本手册为Hillstone山石网科多核安全网关的安装手册,能够帮助用户正确安装Hillstone山石网科多核安全网关。本手册的内容包括: ?第1章产品介绍 ?第2章安全网关安装前的准备工作 ?第3章安全网关的安装 ?第4章安全网关的启动和配置 ?第5章安全网关的硬件维护 ?第6章常见故障处理 手册约定 为方便用户阅读与理解,本手册遵循如下约定: ?警告:表示如果该项操作不正确,可能会给安全网关或安全网关操作者带来极大危险。因此操作者必须严格遵守正确的操作规程。 ?注意:表示在安装和使用安全网关过程中需要注意的操作。该操作不正确,可能影响安全网关的正常使用。 ?说明:为用户提供有助于理解内容的说明信息。
内容目录 第1章产品介绍 (1) 简介 (1) SG-6000系列多核安全网关的特点 (1) 创新的多核Plus TM网络安全构 (1) 强健的实时操作系统Hillstone (1) 主机硬件介绍 (1) 前面板介绍 (1) 后面板介绍 (4) 指示灯含义 (4) 系统参数 (6) 端口属性 (7) CLR按键 (9) 电源 (10) 第2章安全网关安装前的准备工作 (11) 介绍 (11) 洁净度要求 (11) 防静电要求 (11) 电磁环境要求 (11) 接地要求 (11) 检查安装台 (12) 其它安全注意事项 (12) 检查安全网关及其附件 (12) 安装设备、工具和电缆 (12) 第3章安全网关的安装 (13) 安装前说明 (13) 将安全网关安装在工作台上 (13) 将安全网关安装到标准机柜中 (14) 线缆连接 (14) 连接地线 (15) 连接配置电缆 (15) 连接以太网电缆或光纤 (15) 连接电源线 (16) 安装完成后的检查 (16) 第4章安全网关的启动和配置 (17) 介绍 (17) 搭建配置环境 (17) 搭建配置口(CON口)的配置环境 (17) 搭建WebUI配置环境 (18) 搭建Telnet和SSH配置环境 (18) 安全网关的基本配置 (18)
表29-1:手动同步配置命令列表 HA 同步信息show 命令手动同步命令 配置信息show configuration exec ha sync configuration 文件信息show file exec ha sync file file-name ARP 表项show arp exec ha sync rdo arp DNS 配置信息show ip hosts exec ha sync rdo dns DHCP 配置信息show dhcp exec ha sync rdo dhcp MAC 地址表show mac exec ha sync rdo mac show pki key PKI 配置信息 show pki trust-domain exec ha sync rdo pki 会话信息show session exec ha sync rdo session show ipsec sa IPSec VPN 信息 show isakmp sa exec ha sync rdo vpn show scvpn client test show scvpn host-check-profile show scvpn pool show scvpn user-host-binding show scvpn session SCVPN 信息 show auth-user scvpn exec ha sync rdo scvpn show l2tp tunnel show l2tp pool show l2tp client {tunnel-name name [user user-name]| tunnel-id ID} L2TP 信息 show auth-user l2tp {interface interface-name | vrouter vrouter-name} exec ha sync rdo l2tp Web 认证信息show auth-user webauth exec ha sync rdo webauth NTP 信息show ntp exec ha sync rdo ntp SCVPN 信息show scvpn exec ha sync rdo scvpn 路由信息show ip route exec ha sync rdo route
第一步 配置ipv6 (只限于教育网用户) xp系统: 运行cmd 依次 netsh netsh>int netsh>interface>ipv6 netsh>interface>ipv6>isatap netsh>interface>ipv6>isatap>set router https://www.doczj.com/doc/3118608652.html, 完成后关闭窗口然后在浏览器中打开:https://www.doczj.com/doc/3118608652.html, 如果看到一只会动的乌龟说明网络配置成功 这个set router https://www.doczj.com/doc/3118608652.html, 可以换成以下的几个中的一个https://www.doczj.com/doc/3118608652.html,(清华大学的) https://www.doczj.com/doc/3118608652.html, (上大的)
https://www.doczj.com/doc/3118608652.html,(华中科大的) https://www.doczj.com/doc/3118608652.html, (上交的) win7中ipv6的配置: 在开始菜单里输入cmd,然后在命令提示符上面点右键-以管理员身份运行(Run as Administrator),然后在命令行里输入如下信息: 依次输入以下命令然后回车 netsh netsh>int netsh>interface>ipv6 netsh>interface>ipv6>isatap netsh>interface>ipv6>isatap>set router https://www.doczj.com/doc/3118608652.html, netsh>interface>ipv6>isatap>set state enabled netsh>interface>ipv6>isatap>quit
完成后关闭窗口然后在浏览器中打开:https://www.doczj.com/doc/3118608652.html, 如果看到一只会动的乌龟说明网络配置成功 这个set router https://www.doczj.com/doc/3118608652.html, 可以换成以下的几个中的一个https://www.doczj.com/doc/3118608652.html,(清华大学的) https://www.doczj.com/doc/3118608652.html, (上大的) https://www.doczj.com/doc/3118608652.html,(华中科大的) https://www.doczj.com/doc/3118608652.html, (上交的) 另外: 1、用360安全卫士的请注意:它默认的是把xp系统的IPv6 Helper Service关掉的,所以要自己手动打开,如果嫌麻烦可以卸载360。启动系统服务运行services.msc 2、win7中ip helper服务默认是不启动的,所以要自己设置为自动启动,如果用开机优化软件的话,它还是要被关掉的,只能自己设置成例外。启动系统服务运行services.msc 3、使用搜狗浏览器的请注意,搜狗浏览器有自己搜索使用代理的功能,不过使用代理后ipv6是不能使用的,所以要么换ie8 要么就把搜狗加速功能关掉。 4、ipv6有时候是通的,有时候也会出问题,因为我们学校的还在试验阶段。 2、win7中ip helper服务默认是不启动的,所以要自己设置为自动启动,如果用开机优化软件的话,它还是要被关掉的,只能自己设置成例外。启动系统服务运行services.msc
教育网让普通路由器支持ipv6 在近一年来一直有一个问题困扰着我,在网上google了好很久也没什么结果,今天下午一次偶然的尝试解决了此问题,特以此日志作为纪念。 大家都知道路由器是让多人共享上网的一个理想的工具,但在教育网的环境下,普通路由器(ipv6路由器很贵)虽然能让多人共享上网,但却让我们远离了ipv6。在学校的同学们都知道ipv6的下载速度很快,能达到10多M/S。那么如何让普通的路由器既能共享上网,又能让通过路由器上网的每一台电脑都能使用ipv6呢? 针对这一问题,网上有提出一种观点,那就是将广域网的网线直接接入路由器的lan端口,但这样的话,路由器已经被当作交换机使用了,这样就不能达到共享上网的目的,故这种方法不可取。 除了上述观点,还有一种观点就是配置teredo遂道来获取ipv6地址,但这种方法配置复杂,且不一定会成功,即使成功,也不能享受ipv6带来的高速下载体验。 今天下午偶然中完美的解决了这个问题,使普通路由器在教育网环境下既能使用路由器功能共享上网,也能获取的有效的ipv6地址(即支持ipv6)效果如图,具体的解决方案如下: 用两根与教育网相连的网线,一根网线接入路由器的W AN端口,另一根接入路由器的任意LAN端口。本解决方案的拓扑结构如下图。
相信大家在使用路由器的时候仅仅只使用了路由器的路由功能(即只有一根与广域网相连的网线直接接入路由器的WAN端口),我们的方案不仅使用了路由器的路由功能,还使用了路由器的交换机功能(有一根与广域网相连的网线接入到路由器的LAN端口)。 当然,任何事情都是有得必有失的,这种解决方案也不例外,用了这种方法的代价就是,与路由器在同一网段的计算机只要将自己的ip地址设置成路由器的内网地址(或自动获取IP地址),就能免费上网。 就这么简单的两根网线,完美解决教育网普通路由器不支持ipv6的问题,尽情的享受路由器带来的低成本上网和ipv6带到的高速下载体验吧!
Hillstone山石网科多核安全网关 基础配置手册 version 5.0 https://www.doczj.com/doc/3118608652.html,
目录 第1章设备管理 (1) 设备管理介绍 (1) 终端Console登录 (1) WebUI方式登录 (1) 恢复出厂设置 (2) 通过CLI方式 (2) 通过WebUI方式 (2) 通过CLR按键方式 (4) StoneOS版本升级 (4) 通过网络迅速升级StoneOS(TFTP) (4) 通过WebUI方式升级StoneOS (6) 许可证安装 (8) 通过CLI方式安装 (8) 通过WebUI方式安装 (8) 第2章基础上网配置 (10) 基础上网配置介绍 (10) 接口配置 (10) 路由配置 (11) 策略配置 (13) 源NAT配置 (14) 第3章常用功能配置 (16) 常用配置介绍 (16) PPPoE配置 (16) DHCP配置 (18) IP-MAC绑定配置 (20) 端到端IPsec VPN配置 (22) SCVPN配置 (29) DNAT配置 (36) 一对一IP映射 (37) 一对一端口映射 (39) 多对多端口映射 (42) 一对多映射(服务器负载均衡) (45)
第4章链路负载均衡 (47) 链路负载均衡介绍 (47) 基于目的路由的负载均衡 (48) 基于源路由的负载均衡 (49) 智能链路负载均衡 (49) 第5章QoS配置 (52) QoS介绍 (52) IP QoS配置 (52) 应用QoS配置 (54) 混合QoS配置 (57) QoS白名单配置 (58) 第6章网络行为控制 (59) URL过滤(有URL许可证) (59) 配置自定义URL库 (62) URL过滤(无URL许可证) (63) 网页关键字过滤 (64) 网络聊天控制 (68) 第7章VPN高级配置 (71) 基于USB Key的SCVPN配置 (71) 新建PKI信任域 (71) 配置SCVPN (76) 制作USB Key (77) 使用USB Key方式登录SCVPN (79) PnPVPN (81) 用户配置 (82) IKE VPN配置 (83) 隧道接口配置 (87) 路由配置 (88) 策略配置 (89) PnPVPN客户端配置 (90) 第8章高可靠性 (92) 高可靠性介绍 (92) 高可靠性配置 (93)
https://www.doczj.com/doc/3118608652.html,/thread-583707-1-1.html [知识普及] 总结下在离开教育网后公网各种接入IPV6的方法 1. 最简单的,,也是我强烈推荐的。不管你是不是使用路由器拨号(NAT用户)还是不经过路由器直连的ADSL用户,都适用,就是Tunnel broker。 ok,我记得这个默认的服务器https://www.doczj.com/doc/3118608652.html, 没有被方校长认证。自己刚刚毕业的时候除了交大隧道就是靠他活了。用这个连CG,无锡电信延迟基本在400-500ms,虽然有点高,但是访问网页没有想象中的那样卡,可以接受。下载基本也可以把我家2M小水管盛满。 除了默认的服务器,你可以试试其他你们tunnel broker隧道服务器,比如亚太电信的。这个你们可以放Google搜索。很多的。 选择你们自己最合适的服务器。 https://www.doczj.com/doc/3118608652.html, https://www.doczj.com/doc/3118608652.html,, https://www.doczj.com/doc/3118608652.html, (这是台湾服务器) 4.亚太电信集团:https://www.doczj.com/doc/3118608652.html,(有可能不稳定) 5.Seednet IPv6 Tunnel Broker:goipv https://www.doczj.com/doc/3118608652.html,.tw 6.TWNIC IPv6 Tunnel Broker(備援):192.72.72.17 复制代码 我选的是默认服务器,速度很快。大家自己斟酌。 官网要注册才能下载,同志们,赏我两个辛苦钱客户端在此,包括32位和64位。 Linux客户端也有,源代码,高端用户肯定不屑于从这里下载,你们自己去gogo6官网下载吧。 软件虽然是英文的,但是都是大学生,connetc这个按钮总认得把。其他照图设置就行。——————————————————————————————————————————————
病毒过滤 高性能纯硬件系列病毒过滤 ——基于多核Plus G2架构和全并行流检测引擎 高性能纯硬件系列病毒过滤 Hillstone 山石网科的病毒过滤是基于多核Plus G2安全架构,并采用了全并行流检测引擎。可快速有效阻止病毒、木马、蠕虫、间谍软件等恶意软件通过网页、邮件等应用渗透至内网,从而预防病毒感染引起的信息丢失、内网主机无法正常工作、数据泄漏或被窃取等现象。作为现代防病毒体系中必不可少的防病毒网关,Hillstone 山石网科病毒过滤采用世界知名厂商kasperskyLab(卡巴斯基)的病毒库,可及时、有效、可靠地更新病毒数据库信息。Hillstone 山石网科系列产品可为电信运营商、各类大中小型企业、金融机构以及各种机关单位提供专业的高性能的防病毒解决方案。 基于多核Plus? G2 Hillstone 山石网科自主开发的64位实时安全操作系统StoneOS?,具备强大的并行处理能力。StoneOS?采用专利的多处理器全并行架构,和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同;StoneOS?实现了从网络层到应用层的多核全并行处理。较业界其他的多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升,为同时开启多项防护功能奠定了性能基础,突破了传统安全网关的功能实用性和性能的无法两全的局限。所以,Hillstone山石网科系列网关的每秒新建处理能力、网络处理能力以及抗DOS攻击能力超于一般的防病毒网关,其自身的安全性、可靠性和可用性也都远远高于传统的防病毒网关。 可扩展的病毒过滤 Hillstone 山石网科支持的应用处理扩展模块充分保护用户投资,应用处理模块FEC-AV-30和FEC-AV-60可以提高本机应用处理能力,将病毒过滤的处理放在应用处理模块上进行,释放主机处理和运算能力,让病毒过滤不再成为性能瓶颈。同时,病毒过滤的性能上也有1倍左右的提升。 基于全并性流检测引擎 传统的串联型检测和基于代理的内容安全网关技术不能满足作为网关设备的性能和容量要求。Hillstone山石网科独创了全并行流扫描引擎,与传统的文件型防病毒网关的引擎不同,并发流病毒扫描引擎无需将应用会话中所有数据包在内部进行重组缓存后再对文件进行扫描,而是接收数据包和病毒扫描同时并行处理,并发的流扫描引擎能提供高性能,低延迟,高容量的处理, 对扫描的文件大小和数量没有限制,同时,所有内容安全处理在统一的内容处理流程中完成,能保证同时开启防病毒,入侵检测等内容安全处理,依然能保持高性能的处理。 专业及时的病毒库更新服务 Hillstone 山石网科与国际知名反病毒厂商kaspersky Lab(卡巴斯基)技术合作,采用专门为多核Plus架构以及并发流病毒扫描引擎优化的病毒库,为用户提供专业的、本地化的、实时的病毒库样本更新,实时阻断木马、病毒、蠕虫、间谍软件通过Web页面、邮件等应用向内网渗透。 丰富的软件特性
什么是ipv6? IPv6是下一版本的互联网协议,也可以说是下一代互联网的协议。 目前所普遍采用的IP协议是IPv4,即版本4。IPv4只能支持32位,所能分配的IP地址数也是很有限的,但是随着最近几年世界范围计算机网络的突飞猛涨,可供使用的IPv4地址窨已经越来越少,事实证明现有的IPv4互联网协议已无法满足产业发展的需要。在这种情况下,IPv6便应运而生,128位地址格式将以其在IP地址数量、安全性、移动性、服务质量等方面的巨大优势,改变现代信息生活。 现如今ipv6并没有商用,只是在各大高校分配。 Ipv6为什么能免流? 各大高校的计费系统仅计费ipv4的协议流量,通过ipv6绕过流量计费系统。 即用户与ipv6服务器双向均由ipv6协议通信,ipv6服务器再访问ipv4的网络,将用户所所要内容转发给用户 。 我们的服务器在哪里? 服务器在北京,武汉,ping值绝对比国外服务器低。 可以访问facebook,YouTube么? 可以,YouTube,1080p流畅观影。 带宽速度如何? 我们服务器不限速,用户带宽取决于所在学校的带宽出入口。 测速网址https://www.doczj.com/doc/3118608652.html, 1mbps=128kb/s 网络可以分享么? 电脑可以开wifi 可以放在路由里面用么? 账号可以放在oepnwrt路由器里使用的,但是由于路由器硬件跟固件的差异,配置方法稍有差异,因此我们不提供路由配置方法,只提共配置文件,需要自己的研究
在家在学校都可以使用么? 可以46互通,简单说,就是有ipv6网的情况下,使用我们的账号,可以上ipv4网,也就是所说的校园网免流量,不限流量、不限速。在有ipv4网的情况下,也就是我们在家用,或者学校以外用网情况下,使用我们的账号,可以获得ipv6访问权限,在家也可上google、youtube、北邮人等国外各大网站,让我们可以看看国外的世界不限流量、不限速。 我是否有ipv6网络? 在本地连接里显示ipv6连接Internet。如没有详见附件1设置ipv6教程。 附件1. 一、右击电脑屏幕任务栏右下角图标(如下图) 打开网络和共享中心 二、单击以太网(7系统叫本地连接) 三、单击属性
hillstone防火墙配置步骤(以hillstone SA5040为例讲解) 厦门领航立华科技有限公司
目录 1需要从客户方获取的基本信息 (3) 2配置步骤 (3) 2.1 配置安全域 (3) 2.2 配置接口地址 (4) 2.3 配置路由 (4) 2.4 配置NAT (6) 2.4.1 源地址NAT (6) 2.4.2 目的地址NA T (6) 3配置策略 (8) 3.1 配置安全域之间的允许策略 (8) 3.1.1 配置trust到Untrust的允许所有的策略 (8) 3.1.2 配置DMZ到Untrust的允许所有的策略 (9) 3.1.3 配置trust到DMZ的允许策略 (9) 3.1.4 配置Untrust到DMZ服务器的允许策略 (10) 3.1.5 配置Untrust到Trust服务器的允许策略 (10) 3.1.6 配置详细策略 (11) 4配置QOS (12) 5配置SCVPN (13)
1需要从客户方获取的基本信息 ◆部署位置:互联网出口位置,还是其他,如部署在出口路由器之后等 ◆部署方式:三层接入(需要做NAT,大部分都是这种接入方式),二层透明接 入(透明接入不影响客户网络架构),混合接入模式(有几个接口需要配置成透明接口模式,可以支持这种方式) ◆外网出口信息:几个出口,电信Or网通,外网IP地址资源(多少个),外 网网关(防火墙默认路由设置) ◆安全域划分:一般正常3个安全域,Untrust(外网)、Trust(内网)、Dmz (服务器网段),也可以自定义多个 ◆外网接口IP地址:由客户提供 ◆内网口IP地址: ◆如果客户内网有多个网段,建议在客户中心交换机配置独立的VLAN 网段,不要与客户内部网段相同。 ◆如果客户内网只有1个网段,没有中心交换机,则把防火墙内网口地 址设置为客户内网地址段,并作为客户内网网关(适用于中小型网络)◆DMZ口IP地址:由客户提供,建议配置成服务器网段的网关; 2配置步骤 2.1 配置安全域 默认就有常用的3个安全域了,Trust,Untrust,DMZ
Hillstone山石网科上网行为管理白皮书 概述 互联网的兴起与普及为人们的工作和生活提供了极大的便利,与此同时,经由内部访问互联网导致的带宽滥用、效率下降、信息泄漏、法律风险、安全隐患等问题日益凸显。例如,在企业内部,部分员工利用工作时间在线炒股、玩在线游戏、欣赏音乐和视频、通过P2P工具下载、使用即时通讯工具无节制地网络聊天、通过网络外泄公司机密;在网吧等一些公共上网场所,人们可以随意浏览不健康网站、发表不负责任的言论、甚至参与非法网络活动…… 针对互联网所带来的上述问题,StoneOS提供许可证控制的上网行为管理功能。该功能通过对用户的网络访问行为进行控制和管理,有效解决因接入互联网而可能引发的各种问题,优化对互联网资源的应用。 产品功能 StoneOS上网行为管理功能对网络游戏、在线聊天、在线炒股、P2P下载、网页访问、邮件外发及论坛发帖等各种网络行为进行全面控制管理,并可以根据需要针对不同用户、不同网络行为、不同时间进行灵活的管理策略设置和日志记录,同时能够配合Hillstone山石网科集中网络安全管理系统(HSM)对网络行为日志进行查询统计与审计分析,从而为网络管理者的决策和管理提供重要的数据依据。 上网行为管理策略 StoneOS上网行为管理功能主要通过策略机制实现,网络管理者可以针对不同用户制定适合的上网行为管理策略规则,系统则会根据策略规则对网络应用流量进行行为控制和管理。 上网行为管理策略规则共分为三类:网络应用控制策略规则、网页内容控制策略规则和外发信息控制策略规则,每类中又包含若干子控制策略规则。 策略规则名称、优先级、用户、时间表、网络行为以及控制动作构成上网行为管理策略规则的基本元素。通过WebUI配置上网行为管理策略规则,需要进行下列基本元素的配置:?策略规则名称–上网行为管理策略规则的名称。 ?优先级- 上网行为管理策略规则的优先级。当有多条匹配策略规则的时候,优先级高的策略规则会被优先使用。 ?用户–上网行为管理策略规则的用户,即发起网络行为的主体,比如某个用户、用户组、角色、IP地址等。 ?时间表–上网行为管理策略规则的生效时间,可以针对不同用户控制其在特定时间段内的
北京师范大学于2005 年 3 月30 日经CERNET 华北主节点北京邮电大学正式连入全球IPv6 互联网络。目前北师大校园网的IPv6 环境也已搭建完毕,并为校内各个单位分配了IPV6 地址。下一代互联网以IPv6 技术为核心,其丰富的地址资源、高速带宽和方便快捷的数据交换成为互联网发展的趋势。并将在网格计算、点到点视频语音综合通信、大规模虚拟现实环境、智能交通、智能家电、环境地震监测、远程医疗、远程教育等方面取得广泛的应用。我校也将逐渐开展基于IPV6 的教育资源站点和软件应用建设。] WindowsXP IPv6安装方案 前期工作: 1.卸载ipv6(如果你以前装过了ipv6但是用不了请先卸载ipv6,全新安装则可跳过此步直接开始) 开始->运行输入:ipv6 uninstall 重启 2.如果你安装了瑞星个人防火墙,请把安全级别调至中级 安装步骤: 开始菜单—> 运行—> cmd 在弹出的DOS窗口中顺次执行以下三行命令 ipv6 install (回车出现“successed”) netsh interface ipv6 isatap set router 202.112.95.129 (回车出现“确定”) netsh interface ipv6 add route ::/0 2 2001:da8:207:1:0:5efe:202.112.95.129 (回车出现“确定”) 测试Ipv6 是否开通
开始菜单—> 运行—> cmd ,输入ipconfig后应该看到一个2001:da8:8000:3(我出现的不是这个)为前缀的v6地址 可访问https://www.doczj.com/doc/3118608652.html,/ 看到一只动的乌龟(Dancing kame) 则表明ipv6 开通了; 或者访问https://www.doczj.com/doc/3118608652.html,/ip.aspx 看你是否是使用ipv6 协议。 笔记本中安装IPv6的故障 使用笔记本电脑+ XP_SP2 的同学普遍放映无法安装IPv6,当输入上一目中第一个命令时,不能出现正确的提示信息。 同时,右键单击网上邻居—> 属性,在右键单击本地连接—> 属性,在常规选项卡中,依次点击安装—协议—添加,可以 找到与IPv6协议有关的安装选项,当企图安装该协议时,出现错误信息“无法添加要求的组件。错误是:出现了扩展错误”。 这是XP Home 和Professional 的区别。 解决方案是,开始菜单—> 运行,输入以下命令
目录 一、设备基础管理 (1) 1.1设备登录 (1) 1.1.1 通过CLI管理设备 (1) 1.1.2 通过WebUI管理设备 (2) 1.2管理员帐号及权限设置 (4) 1.2.1 新增管理员 (4) 1.2.1 修改管理员密码 (5) 1.3 License安装 (6) 1.4设备软件升级 (7) 1.5设备配置备份与恢复 (9) 1.5.1 备份设备配置 (9) 1.5.2 恢复设备配置 (12) 1.6系统诊断工具的使用 (14) 二、对象配置 (16) 2.1 配置地址薄 (16) 2.2 配置服务簿 (17) 三、网络配置 (21) 3.1 配置安全域 (21) 3.2 配置接口 (22) 3.3 配置路由 (23) 3.4 配置DNS (24) 四、防火墙配置 (26) 4.1 配置防火墙策略 (26) 4.1.1 新增防火墙安全策略 (26) 4.1.2 编辑防火墙安全策略 (27) 4.2 配置NAT (28) 4.2.1 配置源NAT (28) 4.2.2 配置目的NAT (31) 4.3 防火墙配置举例 (35) 五、QOS配置 (44) 5.1 配置IP QOS (45) 5.2 配置应用QOS (46) 六、常用日志配置 (48)
一、设备基础管理 1.1设备登录 安全网关支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。CLI同时支持Console、telnet、SSH等主流通信管理协议。 1.1.1 通过CLI管理设备 通过Console 口配置安全网关时需要在计算机上运行终端仿真程序(系统的超级终端、SecureCRT等)建立与安全网关的连接,并按如下表所示设置参数(与连接Cisco设备的参数一致): 通过telnet或者SSH管理设备时,需要在相应接口下启用telnet或SSH 管理服务,然后允许相应网段的IP管理设备(可信主机)。 对接口启用telnet或SSH管理服务的方法如下: 首先在网络—>网络连接模式下的页面下方勾选指定接口,点击图示为 的编辑按钮,
点击这里,选择手动,在http://192.168.1 1.98:8080/selfser vice/这个网站获取校园网绑定的MAC地址第一步:(获取校园网MAC绑定) 点击这个图标进入以下界面: 用学号和校园网密码登录该网站,点击“充值卡充值”,查看绑定的MAC地址, 错误!
注意:这里的MAC地址,中间没有冒号,每两位间加一位“:”。如:A1B2C3D4E5F6,应该改写为:A1:B2:C3:D4:E5:F6(“:”为英文格式),填入○1号框框中,保存后退出。 第二步:(进入后台锐捷拨号) 一般拨号的在上一个界面拨号即可,如果需要锐捷等客户端拨号则需要手动输入: http://192.168.199.1/cgi-bin/turbo/admin_web/plugin/mentohust,进行以下设置。 错误! ○3 错误!
○2框中填入你的校园网帐号和密码 ○3在开始界面输入cmd,打开输入-ipconfig,将对应信息填入该框中 错误! ○4按照上图设置即可。 其他东西可以直接无视。 按照以上设置,等个两分钟就可以上网了。 第三步:(ipv6上网设置) 第一步和第二步,校园网的设置也就基本完成了,如果对ipv6没有需求的话,该步骤可以无视。 点此进入云平台(在确保有网络连接的情况下) 点此添加应用“”,下面进入该应用的设置,目前ipv4/6一般采用双栈式接入,南师也不例外。
在红色框中直接选取双栈接入就行,“应用”后退出。 然后下面将进入最重要的一个步骤!重启路由器!!!!!!想当初我按照上面步骤弄了许久依然不能上IPV6的网站,结果看了该应用的简介,需要重启后生效。。。。。。 !!!!!!!!!!!!!!