HTTPS Web配置举例
关键词:HTTPS、SSL、PKI、CA、RA
摘要:HTTPS是支持SSL的HTTP协议。用户可以通过HTTPS协议安全地登录设备,通过Web页面实现对设备的控制。本文介绍了HTTPS的配置过程。
缩略语:
缩略语英文全名中文解释
Authority 证书机构
CA Certificate
HTTPS Hypertext Transfer Protocol Secure 安全超文本传输协议
IIS Internet Information Service Internet信息服务
MAC Message Authentication Code 消息验证码
PKI Public Key Infrastructure 公钥基础设施
RA Registration
Authority 注册机构
SCEP Simple Certificate Enrollment Protocol 简单证书注册协议
SSL Secure Sockets Layer 安全套接层
目录
1 特性简介 (3)
2 应用场合 (3)
3 配置举例 (3)
3.1 组网需求 (3)
3.2 配置思路 (4)
3.2.1 CA服务器配置思路 (4)
3.2.2 HTTPS服务器配置思路 (5)
3.3 配置步骤 (5)
3.3.1 配置CA服务器 (5)
3.3.2 配置HTTPS服务器 (17)
3.4 验证结果 (22)
1 特性简介
对于支持Web管理功能的设备,开启HTTP服务后,设备可以作为Web服务器,允许用户通过HTTP协议登录,并利用Web页面实现对设备的访问和控制。但是HTTP协议本身不能对Web 服务器的身份进行验证,也不能保证数据传输的私密性,无法提供安全性保证。为此,设备提供了HTTPS功能,将HTTP和SSL结合,通过SSL对服务器进行验证,对传输的数据进行加密,从而实现了对设备的安全管理。
HTTPS通过SSL协议,从以下几方面提高了安全性:
z客户端通过数字证书对服务器进行身份验证,保证客户端访问正确的服务器。
z客户端与服务器之间交互的数据需要经过加密,保证了数据传输的安全性和完整性,从而实现了对服务器(即设备)的安全管理。
2 应用场合
HTTPS主要用于网络管理员远程配置设备。如图1所示,某公司在A、B两地分别设立分公司,位于A地的网络管理员无法直接配置位于B地的Device B。为了实现对Device B的安全管理,网络管理员通过HTTPS登录Device B,利用Web页面配置远程设备Device B。
图1HTTPS典型应用场景
3 配置举例
3.1 组网需求
公司A的网络管理员与该公司的研发部位于不同的城市,网络管理员希望安全地远程登录到研发部的网关设备,实现对其的控制。
如图2所示,HTTPS可以满足这个需求:
z网络管理员通过主机Admin与网关设备Gateway建立HTTPS连接,通过Web页面实现对Gateway的控制。
z利用SSL的安全机制对HTTPS服务器Gateway进行身份验证,提高了远程登录的安全性。
z为了实现基于证书的身份验证,公司A还需要配置CA服务器,为Gateway颁发证书。本配置举例以Windows Server 2003为例,说明CA服务器的配置方法。
图2HTTPS典型配置举例组网图
3.2 配置思路
为了实现上述组网需求,需要完成表1中的操作。
表1配置步骤简介
操作配置思路详细配置
配置CA服务器 3.2.1 3.3.1
配置HTTPS服务器 3.2.2 3.3.2
3.2.1 CA服务器配置思路
Windows Server 2003作为CA服务器时,需要在CA服务器上安装并启用IIS。
Windows Server 2003作为CA服务器时,配置过程为:
(1) 安装证书服务组件,并设置CA服务器的类型、名称等参数。
(2) 安装SCEP插件。SCEP是证书申请者与认证机构通信时使用的协议。Windows Server
2003作为CA服务器时,缺省情况下不支持SCEP,所以需要安装SCEP插件,才能使CA
服务器具备自动处理证书注册和颁发等功能。
(3) 将证书服务的颁发策略修改为自动颁发证书。否则,收到证书申请后,管理员需要确认申
请,并手工颁发证书。
(4) 修改IIS服务的属性。将默认网站的路径修改为证书服务保存的路径;为了避免与已有的服
务冲突,建议修改默认网站的TCP端口号。
3.2.2 HTTPS服务器配置思路
HTTPS服务器的配置过程为:
(1) 配置PKI。PKI是通过公开密钥技术和数字证书来确保系统信息安全,并负责验证数字证书
持有者身份的一种体系。SSL通过PKI实现对服务器和客户端的身份验证。配置HTTPS服
务器之前,首先要完成PKI的配置,其中包括:
z配置PKI实体。实体的身份信息用来唯一标识证书申请者。
z配置PKI域。实体在进行证书申请操作之前需要配置一些注册信息来配合完成申请的过程。
这些信息的集合就是一个实体的PKI域。创建PKI域的目的是便于其它应用引用PKI的配
置。
z生成RSA本地密钥对。密钥对的生成是证书申请过程中重要的一步。申请过程使用了一对主机密钥:私钥和公钥。私钥由用户保留,公钥和其他信息则交由CA中心进行签名,从而
产生证书。
z获取CA证书,并下载至本地,以便验证申请到证书的真实性和合法性。
z申请本地证书。可以采用手工和自动两种方式申请本地证书。本配置中以手工方式为例。
(2) 使能HTTPS服务,并配置HTTPS使用的PKI域。
(3) 创建本地用户,通过用户名和密码实现对用户身份的验证。
3.3 配置步骤
z进行下面的配置之前,需要确保HTTPS服务器Gateway、HTTPS客户端Admin和CA服务器之间的路由可达。
z以下对配置HTTPS服务器的描述以SecPath F1000-E产品为示例,其他产品的页面可能有所不同。
z下面配置步骤中的各页面或窗口的配置项,如果没有特殊说明,均采用其默认设置。
3.3.1 配置CA服务器
1. 安装证书服务组件
(1) 打开[控制面板]/[添加或删除程序],选择[添加/删除Windows组件]。在[Windows组件向导]
中,选中“证书服务”,并单击<下一步>按钮。
(2) 选择CA类型为独立根CA,并单击<下一步>按钮。
(3) 输入CA的名称为CA server,并单击<下一步>按钮。
(4) 选择CA证书数据库、数据库日志和共享文件夹的存储位置,并单击<下一步>按钮。
安装证书服务组件时,界面上会出现CA证书数据库、数据库日志和共享文件夹的缺省存放路径。本配置举例中使用了缺省存放路径,其中共享文件夹存放路径中的“ca”为CA服务器的主机名。
(5) 证书服务组件安装成功后,单击<完成>按钮,退出[Windows组件向导]窗口。
2. 安装SCEP插件
(1) 双击运行SCEP的安装文件,在弹出的窗口中,单击<下一步>按钮。
SCEP的安装文件可以从Microsoft网站免费下载。
(2) 选择使用本地系统帐户作为标识,并单击<下一步>按钮。
图8安装SCEP插件2
(3) 去掉“Require SCEP Challenge Phrase to Enroll”选项,单击<下一步>按钮。
(4) 输入RA向CA服务器登记时使用的RA标识信息,单击<下一步>按钮。RA的功能包括个人
身份审核、CRL管理、密钥对产生和密钥对备份等。RA是CA的延伸,可以作为CA的一部分。
(5) 完成上述配置后,单击<完成>按钮,弹出如图11所示的提示框。记录该URL地址,并单击<
确定>按钮。
图11安装SCEP插件5
配置HTTPS服务器Gateway时,需要将注册服务器地址配置为提示框中的URL地址,其中的主机名ca可以替换为CA服务器的IP地址。
3. 修改证书服务的属性
完成上述配置后,打开[控制面板/管理工具]中的[证书颁发机构],如果安装成功,在[颁发的证书]中将存在两个CA服务器颁发给RA的证书。
(1) 右键单击[CA server],选择[属性]。
图12修改证书服务的属性
(2) 在[CA server 属性]窗口选择“策略模块”页签,单击<属性>按钮。
图13证书服务属性窗口
(3) 选择策略模块的属性为“如果可以的话,按照证书模板中的设置。否则,将自动颁发证书
(F)。”,单击<确定>按钮。
图14策略模块的属性
(4) 单击图15中的停止服务和图16中的启动服务按钮,重启证书服务。图15停止证书服务
图16启动证书服务
4. 修改IIS服务的属性
(1) 打开[控制面板/管理工具]中的[Internet 信息服务(IIS)管理器],右键单击[默认网站],选择[属
性]。
图17IIS管理器
(2) 选择[默认网站属性]窗口中的“主目录”页签,将本地路径修改为证书服务保存的路径。
图18修改默认网站的主目录
(3) 选择[默认网站属性]窗口中的“网站”页签,将TCP端口改为8080。
为了避免与已有的服务冲突,默认网站的TCP端口号不能与已有服务的端口号相同,且建议不要使用默认端口号80。
图19修改默认网站的TCP端口号
3.3.2 配置HTTPS服务器
1. 配置Gateway向CA服务器申请证书
z证书中包含有效时间,建议为Gateway申请证书之前,将Gateway与CA服务器的时间同步,以避免获取证书失败。
z缺省情况下,设备上存在默认的PKI域及证书,在配置HTTPS服务时可以直接引用,因此本步骤可选。默认PKI域及证书的具体情况与设备的型号有关,请以设备的实际情况为准。
(1) 配置PKI实体aaa。
z在导航栏中选择“VPN > 证书管理 > PKI实体”,单击<新建>按钮。
z输入PKI实体名称为“aaa”。
z输入通用名为“gateway”。
z单击<确定>按钮完成操作。
(2) 配置PKI域ssl。
z在导航栏中选择“VPN > 证书管理 > PKI域”,单击<新建>按钮。
z输入PKI域名称为“ssl”。
z输入CA标识符为“CA server”。
z选择本端实体为“aaa”。
z选择注册机构为“RA”。
z输入证书申请URL为“http://5.5.5.1:8080/certsrv/mscep/mscep.dll”(为安装SCEP插件时弹出的URL地址,格式为“http://host:port/certsrv/mscep/mscep.dll”,其中的“host”
和“port”分别为CA服务器的主机地址和端口号)。
z单击<确定>按钮,弹出对话框提示“未指定根证书指纹,在获取CA证书时将不对根证书指纹进行验证,确认要继续吗?”,再次单击<确定>按钮完成操作。
(3) 生成RSA本地密钥对。
z在导航栏中选择“VPN > 证书管理>证书”,单击<创建密钥>按钮。
z输入密钥长度为“1024”。
z单击<确定>按钮完成操作。
图22生成RSA本地密钥对
(4) 手动在线获取CA证书。
z在证书显示页面单击<获取证书>按钮。
z选择PKI域名称为“ssl”。
z选择证书类型为“CA”。
z单击<确定>按钮完成操作。页面跳转回证书显示页面,可以看到已获取到的CA证书。
图23获取CA证书
(5) 手动在线申请本地证书。
z在证书显示页面单击<申请证书>按钮。
z选择PKI域名称为“ssl”。
z单击<确定>按钮提交证书申请。
图24申请本地证书
z弹出提示框“证书申请已提交。”,再次单击<确定>按钮。页面跳转回证书显示页面,可以看到已申请到的本地证书。
图25完成证书申请后的证书显示页面
C M S R系列路由器I P s e c典型配置举例V 文件排版存档编号:[UYTR-OUPT28-KBNTL98-UYNN208]
1?简介 本文档介绍IPsec的典型配置举例。
2?配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3?使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1?组网需求 如所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: 通过L2TP隧道访问Corporate network。 用IPsec对L2TP隧道进行数据加密。 采用RSA证书认证方式建立IPsec隧道。 图1基于证书认证的L2TP over IPsec配置组网图 3.2?配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile 中配置local-identity为dn,指定从本端证书中的主题字段取得 本端身份。 3.3?使用版本
本举例是在R0106版本上进行配置和验证的。 3.4?配置步骤 3.4.1?Device的配置 (1)配置各接口IP地址 #配置接口GigabitEthernet2/0/1的IP地址。
双机热备 网络卫士防火墙可以实现多种方式下的冗余备份,包括:双机热备模式、负载均衡模式和连接保护模式。 在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。 在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能够接替其工作。 在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。 双机热备模式 基本需求 图 1双机热备模式的网络拓扑图 上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。 配置要点 ?设置HA心跳口属性 ?设置除心跳口以外的其余通信接口属于VRID2 ?指定HA的工作模式及心跳口的本地地址和对端地址 ?主从防火墙的配置同步 WEBUI配置步骤 1)配置HA心跳口和其他通讯接口地址 HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。 ?主墙 a)配置HA心跳口地址。 ①点击网络管理>接口,然后选择“物理接口”页签,点击eth2接口后的“设置”图标,配置基本信息,如下图所示。 点击“确定”按钮保存配置。
Cisco交换机配置实例(双机热备) Cisco交换机6509配置实例(双机热备) 1.设置时间 switch#config t switch(config)#clock timezone GMT8;配置时区 switch(config)#clock set13:30:2131JAN2004;配置交换机时间2.设置主机名及密码 Switch#congfig t Switch(config)#hostname6506a 6506a(config)#enable password cisco 6506a(config)#enable secret cisco 6506a(config)#line con0 6506a(config-line)#password cisco 6506a(config-line)#login 6506a(config-line)#line vty015 6506a(config-line)#login 6506a(config-line)#password cisco 6506a(config-line)#login 6506a(config-line)#^z 6506a#show running-config
6506a#copy running-config startup-config 6506a#show startup-config 6506a#show bootvar 6506a#dir bootflash: 6506a#copy system:running-config nvram:startup-config 6506a#show fabric status 6506a#show hardware 3.配置vlan 6506a#config t 6506a(config)#vlan301 6506a(config-vlan)#name hexinxitong 6506a(config)#vlan302 6506a(config-vlan)#name callcenter 6506a(config)#vlan303 6506a(config-vlan)#name kuaijicaiwu 6506a(config)#vlan304 6506a(config-vlan)#name guojiyewu 6506a(config)#vlan305 6506a(config-vlan)#name guanlixitong 6506a(config)#vlan306 6506a(config-vlan)#name ceshihuanjing 6506a(config)#vlan307
SecPath系列防火墙IPSec典型配置举例 关键词:IKE、IPSec 摘要:本章首先介绍了IKE和IPSec的基本概念,随后说明了防火墙的配置方法,最后给出两种典型应用的举例。 缩略语: 缩略语英文全名中文解释 IKE Internet Key Exchange 因特网密钥交换 Security IP网络安全协议 IPsec IP
目录 1 特性简介 (3) 1.1 IPSec基本概念 (3) 1.1.1 SA (3) 1.1.2 封装模式 (3) 2 应用场合 (4) 3 配置指南 (4) 3.1 配置概述 (4) 3.2 配置ACL (6) 3.3 配置IKE (6) 3.3.1 配置IKE全局参数 (6) 3.3.2 配置IKE安全提议 (7) 3.3.3 配置IKE对等体 (8) 3.4 IPSec安全提议 (10) 3.5 配置安全策略模板 (12) 3.6 配置安全策略 (14) 3.7 应用安全策略组 (16) 4 配置举例一:基本应用 (17) 4.1 组网需求 (17) 4.2 使用版本 (18) 4.3 配置步骤 (18) 4.4 配置结果验证 (27) 4.4.1 查看IPSec安全联盟 (27) 4.4.2 查看报文统计 (27) 5 配置举例二:与NAT结合 (27) 5.1 组网需求 (27) 5.2 配置说明 (28) 5.3 配置步骤 (28) 5.4 配置验证结果 (34) 5.4.1 查看IPSec安全联盟 (34) 5.4.2 查看报文统计 (35) 6 注意事项 (35) 7 相关资料 (35) 7.1 相关协议和标准 (35) 7.2 其它相关资料 (36)
1.1防火墙典型配置举例
[Quidway-acl-101]rule deny ip source any destination any #配置规则允许特定主机访问外部网,允许内部服务器访问外部网。 [Quidway-acl-101]rule permit ip source129.38.1.40destination any [Quidway-acl-101]rule permit ip source129.38.1.10destination any [Quidway-acl-101]rule permit ip source129.38.1.20destination any [Quidway-acl-101]rule permit ip source129.38.1.30destination any #配置规则允许特定用户从外部网访问内部服务器。 [Quidway]acl102 [Quidway-acl-102]rule permit tcp source202.39.2.30destination 202.38.160.10 #配置规则允许特定用户从外部网取得数据(只允许端口大于1024的包)。 [Quidway-acl-102]rule permit tcp source any destination 202.38.160.10.0.0.0destination-port greater-than1024 #将规则101作用于从接口Ethernet0进入的包。 [Quidway-Ethernet0]firewall packet-filter101inbound #将规则102作用于从接口Serial0进入的包。 [Quidway-Serial0]firewall packet-filter102inbound
防火墙产品典型组网配置指导及使用注意事项 ike sa keepalive-timer interval 30 ike sa keepalive-timer timeout 90 1 IPSEC 建立点到点SA 配置采用IKE 方式建立SA, IKE自动协商方式相对比较简单,只需要配置好IKE协商安全策略的信息,由IKE自动协商来创建和维护安全联盟。当与Eudemon 进行通信的对等体设备数量较少时,或是在小型静态环境中,手工配置安全联盟是可行的,但不推荐。对于小、中、大型的动态网络环境中,我们都推荐使用IKE协商建立安全联盟。第一节介绍点到点网络结构,使用IKE建立SA的典型配置 1.1 组网图 图1IKE点到点网络典型组网图 1.2 组网需求 ●PC1与PC2之间进行安全通信,在FWA与FWB之间使用IKE自动协 商建立安全通道。 ●在FWA和FWB上均配置序列号为10的IKE提议。 ●为使用pre-shared key验证方法的提议配置验证字。 ●FWA与FWB均为固定公网地址 1.3 适用产品、版本 设备型号:Eudemon100/100S/200/200S, Eudemon300/500/1000, USG50/3000/5000 实验设备: FWA Eudemon500 FWB Eudemon200
软件版本:V2R1及以上实验版本Eudemon500 V200R006C02B059 Eudemon200 V200R001B01D036 1.4 配置思路和步骤 1)防火墙基本配置,包括IP地址,安全域 2)配置公网路由, 一般情况下,防火墙上配置静态路由 3)定义用于包过滤和加密的数据流 4) 域间通信规则 5)配置IPSec安全提议 6) 配置IKE提议 7) 配置IKE Peer 8) 配置安全策略 9) 引用安全策略 1.5 配置过程和解释(关键配置) 配置FWA: 1)配置到达PC2的静态路由 [FWA]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2 2)定义用于包过滤和加密的数据流 [FWA]acl 3000 [FWA-acl-adv-3000]rule permit ip source 10.0.0.0 0.0.0.255 destination 10.0.1.0 0.0.0.255 [FWA-acl-adv-3000]quit [FWA]acl 3001 [FWA-acl-adv-3001]rule permit ip source 10.0.1.0 0.0.0.255 [FWA-acl-adv-3001]quit 3)配置trust与untrust域间包过滤规则 [FWA]firewall interzone trust untrust [FWA-interzone-trust-untrust]packet-filter 3000 outbound [FWA-interzone-trust-untrust]packet-filter 3001 inbound
防火墙双机热备配置及组网指导 防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。 1 1:防火墙双机热备命令行说明 防火墙的双机热备的配置主要涉及到HRP的配置,VGMP的配置,以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。 1.1 1.1 HRP命令行配置说明 HRP是华为的冗余备份协议,Eudemon 防火墙使用此协议进行备份组网,达到链路状态备份的目的,从而保证在设备发生故障的时候业务正常。 HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的;VGMP是华为的私有协议,主要是用来管理VRRP的,VGMP也是华为的私有协议,是在VRRP的基础上进行扩展得到的。不管是VGMP的报文,还是HRP的报文,都是VRRP的报文,只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文。 在Eudemon防火墙上,hrp的作用主要是备份防火墙的会话表,备份防火墙的servermap 表,备份防火墙的黑名单,备份防火墙的配置,以及备份ASPF模块中的公私网地址映射表和上层会话表等。 两台防火墙正确配置VRRP,VGMP,以及HRP之后,将会形成主备关系,这个时候防火墙的命令行上会自动显示防火墙状态是主还是备,如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状态,不可能出现两台都为主状态或者都是备状态的。 在防火墙的HRP形成主备之后,我们称HRP的主备状态为HRP主或者是HRP备状态,在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括ACL,接口加入域等,但其中一些命令行是不会从主防火墙上备份到备防火墙上。 HRP的配置命令的功能和使用介绍如下: ★ hrp enable :HRP使能命令,使能HRP之后防火墙将形成主备状态。 ★ hrp configuration check acl :检查主备防火墙两端的ACL的配置是否一致。执行此命令之后,主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。
路由器-GRE-Over-IPSec典型配置 【需求】 分部1和分部2通过野蛮IPSec的方式连接到中心,采用GRE-Over-IPSec的方式,在tunnel上运行OSPF协议来实现总部和分部之间的互通。 【组网图】
【验证】 1、中心上的ike sa 状态: disp ike sa connection-id peer flag phase doi ---------------------------------------------------------- 4 202.101.3.2 RD 1 IPSEC 5 202.101.3.2 RD 2 IPSEC 2 202.101.2.2 RD 1 IPSEC 3 202.101.2.2 RD 2 IPSEC flag meaning RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO—TIMEOUT 2、中心上的IPSec sa状态:
disp ipsec sa =============================== Interface: Serial2/0/0 path MTU: 1500 =============================== ----------------------------- IPsec policy name: "center" sequence number: 10 mode: isakmp ----------------------------- connection id: 3 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 202.101.1.2 remote address: 202.101.2.2 flow: (72 times matched) sour addr: 202.101.1.2/255.255.255.255 port: 0 protocol: GRE dest addr: 202.101.2.2/255.255.255.255 port: 0 protocol: GRE [inbound ESP SAs] spi: 1168206412 (0x45a16a4c) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887434028/3365 max received sequence-number: 33 udp encapsulation used for nat traversal: N [outbound ESP SAs] spi: 2150942891 (0x8034c8ab) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887433260/3365 max sent sequence-number: 36 udp encapsulation used for nat traversal: N ----------------------------- IPsec policy name: "center" sequence number: 20 mode: isakmp ----------------------------- connection id: 4 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 202.101.1.2 remote address: 202.101.3.2 flow: (73 times matched) sour addr: 202.101.1.2/255.255.255.255 port: 0 protocol: GRE dest addr: 202.101.3.2/255.255.255.255 port: 0 protocol: GRE [inbound ESP SAs] spi: 2624895419 (0x9c74b9bb) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887433796/3385 max received sequence-number: 35 udp encapsulation used for nat traversal: N [outbound ESP SAs]
SecBlade防火墙插卡配置管理典型配置举例 关键词:配置管理,备份 摘要:配置管理模块主要用于对SecBlade防火墙插卡进行配置保存(加密和非加密)、备份、配置恢复和恢复出厂配置,用户可以在web页面方便地对设备的配置进行维护和管理。 缩略语: 缩略语英文全名中文解释 - - -
目录 1 特性简介 (3) 2 应用场合 (3) 3 注意事项 (3) 4 配置举例 (3) 4.1 组网需求 (3) 4.2 配置思路 (3) 4.3 使用版本 (4) 4.4 配置步骤 (4) 4.4.1 基本配置 (4) 4.4.2 配置管理 (4) 4.5 验证结果 (6) 4.5.1 配置保存 (6) 4.5.2 配置备份 (7) 4.5.3 配置恢复 (7) 4.5.4 恢复出厂配置 (7) 4.5.5 软件升级 (7) 4.5.6 设备重启 (7)
1 特性简介 配置管理页面包含“配置保存”、“配置备份”、“配置恢复”和“恢复出厂配置”四个页签。 配置保存可以加密保存配置,如果将配置信息备份下来,打开文件查看时,看到的是密文显示。 在此页面可以对当前的配置信息进行配置备份和备份恢复。软件升级和系统重启可以让用户通过web页面对设备进行管理和操作。 2 应用场合 用于设备的日常维护,当配置修改后,可以保存配置以免设备断电配置信息丢失。也可以将配置信息备份下来,用于日后的配置恢复。如果想清空配置信息时,可以恢复出厂配置。 3 注意事项 (1) 软件升级时,尽量在流量少的时候操作,以免影响用户正常使用。 (2) 备份或恢复时请将startup.cfg和system.xml一起备份和恢复。 4 配置举例 4.1 组网需求 本配置举例中,设备使用的是Secblade II防火墙插卡。本典型配置举例同样适合Secblade LB插卡。 图1配置管理组网图 4.2 配置思路 GE0/1所在的局域网(内网)接口配置地址为192.168.252.98/22,加入ManageMent域,使GE0/1成为管理口。
LB服务器负载均衡(双机热备) 配置参考 H3C Technologies Co., Limited, Copyright 2003-2009, All rights reserved 杭州华三通信技术有限公司 版权所有 侵权必究
前言 本文参考LB在江西电信网上营业厅实施方案更改,作为服务器负载均衡双机热备配置参考所用,如有不妥之处请指正,多谢。
修订记录Revision Records 日期Date 修订版本 Revision 描述 Description 作者 Author 2009-7-29 (V1.00) 初稿06399
目录 1组网拓扑: (5) 1.1对组网拓扑说明: (5) 1.2LB上业务调用说明: (6) 2数据流量走向说明: (7) 2.1数据流量走向说明: (7) 3组网配置 (8) 3.1防火墙配置 (8) 3.2S65配置: (8) 3.3S75配置 (9) 3.3.1S75-01配置: (9) 3.3.2S75-01配置: (9) 3.4LB配置 (10) 3.4.1LB配置: (10) 4配置注意事项 (12)
1 组网拓扑组网拓扑:: 图1 组网拓扑图 1.1 对组网拓扑说明: 两台防火墙设备到外网做NAT server 同时对外映射了WEB Server 服务器,两台S65交换机作为核心路由交换设备,下连WEB 服务器和应用服务器,服务器对外提供WEB 访问和用户登陆查询相关信息。 两台防火墙启用双机热备,实现业务冗余备份,同时配置两个Vrrp 组(做主备模式),对外网Vrrp 组vrid 2(218.65.103.252)作为外网到内网转发数据报文的下一跳(可以保证在防火墙),对内vrrp 组 vrid 1(172.16.101.3)作为S65到
H C M S R系列路由器 I P s e c典型配置举例V 集团文件版本号:(M928-T898-M248-WU2669-I2896-DQ586-M1988)
1?简介 本文档介绍IPsec的典型配置举例。
2?配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3?使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1?组网需求 如所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: 通过L2TP隧道访问Corporate network。 用IPsec对L2TP隧道进行数据加密。 采用RSA证书认证方式建立IPsec隧道。 图1基于证书认证的L2TP over IPsec配置组网图 3.2?配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile 中配置local-identity为dn,指定从本端证书中的主题字段取得 本端身份。 3.3?使用版本
本举例是在R0106版本上进行配置和验证的。 3.4?配置步骤 3.4.1?Device的配置 (1)配置各接口IP地址 #配置接口GigabitEthernet2/0/1的IP地址。
7 相关资料
1 简介 本文档介绍IPsec的典型配置举例。 2 配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1 组网需求 如图1所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: ?通过L2TP隧道访问Corporate network。 ?用IPsec对L2TP隧道进行数据加密。 ?采用RSA证书认证方式建立IPsec隧道。 图1 基于证书认证的L2TP over IPsec配置组网图 3.2 配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile中配置local-identity 为dn,指定从本端证书中的主题字段取得本端身份。 3.3 使用版本 本举例是在R0106版本上进行配置和验证的。 3.4 配置步骤 3.4.1 Device的配置 (1) 配置各接口IP地址
# 配置接口GigabitEthernet2/0/1的IP地址。
en config t hostname C4506_1 ! enable secret cisco vtp domain '' vtp mode transparent ip subnet-zero no ip domain-lookup ip dhcp excluded-address 192.168.10.2 192.168.10.20 ip dhcp pool WirelessDHCP network 192.168.9.0 255.255.255.0 default-router 192.168.9.1 dns-server 192.168.1.33 192.168.1.36 lease 7 ! ip dhcp pool TestDHCP network 192.168.6.0 255.255.255.0 default-router 192.168.6.1 dns-server 192.168.1.33 192.168.1.36 ! ip dhcp pool OfficeDHCP network 192.168.10.0 255.255.255.0 default-router 192.168.10.1 netbios-name-server 192.168.1.33 dns-server 192.168.1.33 192.168.1.36 lease 7 ! ip dhcp pool SCC3-DHCP network 192.168.7.0 255.255.255.0 default-router 192.168.7.1 dns-server 192.168.1.33 192.168.1.36 ! ip dhcp pool SCC4-DHCP network 192.168.8.0 255.255.255.0 default-router 192.168.8.1 dns-server 192.168.1.33 192.168.1.36 ! ip dhcp pool Access-Internet network 192.168.12.0 255.255.255.0
网络拓扑 环境:接口地址都已经配置完,路由也配置了,双方可以互相通信了 密钥认证的算法2种:md5和sha1 加密算法2种: des和3des IPsec传输模式3种: AH验证参数:ah-md5-hmac(md5验证)、ah-sha-hmac(s ha1验证) ESP加密参数:esp-des(des加密)、esp-3des(3des 加密)、esp-null(不对数据进行加密) ESP验证参数:esp-md5-hmac(md5验证)、esp-sha-h mac(采用sha1验证) 1 启用IKE协商 routerA
routerA(config)#crypto isakmp policy 1 建立IKE协商策略(1是策略编号1-1000,号越小,优先级越高 routerA(config-isakmap)#hash md5 密钥认证的算法 routerA(config-isakmap)#authentication pre-sh are告诉路由使用预先共享的密钥 routerA(config)#crypto isakmp key 123456 addr ess 20.20.20.22 (123456是设置的共享密20.2 0.20.22是对端的IP地址)。 routerB routerB(config)#crypto isakmp policy 1 routerB(config-isakmap)#hash md5 routerB(config-isakmap)#authentication pre-sh are routerB(config)#crypto isakmp key 123456 addr ess 20.20.20.21 (路由B和A的配置除了这里的对端IP地址变成了20.20.20.21,其他都要一样的)。 2 配置IPSec相关参数 routerA
组网说明: 本案例采用H3C HCL模拟器来模拟IPV6 IPSEC+IKE预共享密钥典型组网配置。为了保证数据传输安全,在R1与R2建立Ipsec vpn隧道。全网采用OSPFv3协议互通。 配置思路: 1、按照网络拓扑图正确配置IP地址。 2、R1与R2建立IPSEC VPN隧道 配置过程: 第一阶段调试(基础网络配置:) R1:
[R1-GigabitEthernet0/1]ospfv3 1 area 0 [R1-GigabitEthernet0/1]quit R2:
双机热备方案 一:需求分析 客户目前采用二台IBM X3850X5服务器加ROSE MIRRO HA软件在实时数据镜像基础上,实现了不需要共享存储的纯软高可用性系统。RoseMirrorHA 通过现有的以太网络基础环境,通过 TCP/IP 协议,在两台主机之间实现了数据的实时镜像,不需要额外的硬件投资。在充分利用已有资源的基础上,通过先进的软件技术,实现纯软的高可用性系统。但ROSE MIRRO HA只是针对高可用性的双机热备,但客户的数据量过大时,如果一台服务器出现故障,另一台服务器在接管数据时将会对庞大的数据进行校验,这将会是一个漫长的过程,而客户的应用将会受到灾难性的问题。考虑到数据量增大的问题,所以建议客户考虑使用存储来实现双机热备份,这样将会在服务器出现故障的情况下,避免需要通过漫长的等待来实现应用的切换,这样将真正实现高可用性和高安全性。 二:双机介绍 双机热备份技术是一种软硬件结合的较高容错应用方案。该方案是由客户现用两台X3850X5服务器通过IBM B24光纤交换机和外接共享磁盘阵列柜DS5020来连接,并通过相应的双机热备份软件来实现的双机热备方案。 在这个容错方案中,操作系统和应用程序安装在两台服务器的本地系统盘上,整个网络系统的数据是通过磁盘阵列集中管理和数据备份的。数据集中管理是通过双机热备份系统,将所有站点的数据直接
从中央存储设备读取和存储,并由专业人员进行管理,极大地保护了数据的安全性和保密性。用户的数据存放在外接共享磁盘阵列中,在一台服务器出现故障时,备机主动替代主机工作,保证应用服务不间断。 双机热备份系统采用“心跳”方法保证主系统与备用系统的联系。所谓“心跳”,指的是主从系统之间相互按照一定的时间间隔发送通讯信号,表明各自系统当前的运行状态。一旦“心跳”信号表明主机系统发生故障,或者备用系统无法收到主机系统的“心跳” 信号,则系统的高可用性管理软件认为主机系统发生故障,主机停止工作,并将系统资源转移到备用系统上,备用系统将替代主机发挥作用,以保证应用服务运行不间断。 双机热备份方案中,根据两台服务器的工作方式可以有三种不同的工作模式,即:双机热备模式、双机互备模式和双机双工模式。 双机热备模式即目前通常所说的active/standby 方式,active 服务器处于工作状态;而standby 服务器处于监控准备状态,服务器数据包括数据库数据同时往两台或多台服务器写入(通常各服务器采用RAID磁盘阵列卡),保证数据的即时同步。当active服务器出现故障的时候,通过软件诊测或手工方式将standby机器激活,保证应用在短时间内完全恢复正常使用。典型应用在证券资金服务器或行情服务器。这是目前采用较多的一种模式,但由于另外一台服务器长期处于后备的状态,从计算资源方面考量,就存在一定的浪费。