H3C L2TP 典型配置举例
l2tp 的呼叫可以由nas(网络接入服务器)主动发起,也可以由客户端发起。下面将分别针对这两种情况举例说明。
2.5.1 nas-initialized vpn
1. 组网需求
vpn 用户访问公司总部过程如下:
用户以普通的上网方式进行拨号上网。
在接入服务器(nas)处对此用户进行验证,发现是vpn 用户,则由接入服务器向lns 发起隧道连接的请求。
在接入服务器与lns 隧道建立后,接入服务器把与vpn 用户已经协商的内容作为报文内容传给lns。
lns 再根据预协商的内容决定是否接受此连接。
用户与公司总部间的通信都通过接入服务器与lns 之间的隧道进行传输。
2. 组网图
3. 配置步骤
(1) 用户侧的配置
在用户侧,在拨号网络窗口中输入vpn 用户名vpdnuser,口令hello,拨入号码为170。在拨号后弹出的拨号终端窗口中输入radius 验证的用户名username 和口令userpass。
(2) nas 侧的配置
# 在nas 上配置拨入号码为170。
# 在radius 服务器上设置一个用户名为username、口令为userpass 的vpn 用户,并设置相应的lns 侧设备的ip 地址(本例中lns 侧与通道相连接的以太口的ip 地址为202.
38.160.2)。
# 将本端的设备名称定义为lac,需要进行通道验证,通道验证密码为tunnelpwd。
(3) 防火墙(lns 侧)的配置
# 设置用户名及口令(应与用户侧的设置一致)。
[h3c] local-user vpdnuser
[h3c-luser-vpdnuser] password simple hello
[h3c-luser-vpdnuser] service-type ppp
# 对vpn 用户采用本地验证。
[h3c] domain system
[h3c-isp-system] scheme local
[h3c-isp-system] ip pool 1 192.168.0.2 192.168.0.100
# 启用l2tp 服务,并设置一个l2tp 组。
[h3c] l2tp enable
[h3c] l2tp-group 1
# 配置虚模板virtual-template 的相关信息。
[h3c] interface virtual-template 1
[h3c-virtual-template1] ip address 192.168.0.1 255.255.255.0
[h3c-virtual-template1] ppp authentication-mode chap domain system [h3c-virtual-template1] remote address pool 1
# 配置lns 侧接收的通道对端名称。
[h3c] l2tp-group 1
[h3c-l2tp1] allow l2tp virtual-template 1 remote lac
# 启用通道验证并设置通道验证密码。
[h3c-l2tp1] tunnel authentication
[h3c-l2tp1] tunnel password simple tunnelpwd
2.5.2 client-initialized vpn
1. 组网需求
vpn 用户访问公司总部过程如下:
用户首先连接internet,之后,直接由用户向lns 发起tunnel 连接的请求。在lns 接受此连接请求之后,vpn 用户与lns 之间就建立了一条虚拟的tunnel。用户与公司总部间的通信都通过vpn 用户与lns 之间的tunnel 进行传输。
2. 组网图
3. 配置步骤
(1) 用户侧的配置
在用户侧主机上必须装有l2tp 的客户端软件,如winvpn client,并且用户通过拨号方式连接到internet。然后再进行如下配置(设置的过程与相应的客户端软件有关,以下为设置的内容):
# 在用户侧设置vpn 用户名为vpdnuser,口令为hello。
# 将lns 的ip 地址设为防火墙的internet 接口地址(本例中lns 侧与通道相连接的以太口的ip 地址为202.38.160.2)。
# 修改连接属性,将采用的协议设置为l2tp,将加密属性设为自定义,并选择chap验证,进行通道验证,通道的密码为:tunnelpwd。
(2) 防火墙(lns 侧)的配置
# 设置用户名及口令(应与用户侧的设置一致)。
[h3c] local-user vpdnuser
[h3c-luser-vpdnuser] password simple hello
[h3c-luser-vpdnuser] service-type ppp
# 对vpn 用户采用本地验证。
[h3c] domain system
[h3c-isp-system] scheme local
[h3c-isp-system] ip pool 1 192.168.0.2 192.168.0.100
# 启用l2tp 服务,并设置一个l2tp 组。
[h3c] l2tp enable
[h3c] l2tp-group 1
# 配置虚模板virtual-template 的相关信息。
[h3c] interface virtual-template 1
[h3c-virtual-template1] ip address 192.168.0.1 255.255.255.0
[h3c-virtual-template1] ppp authentication-mode chap domain system
[h3c-virtual-template1] remote address pool 1
# 配置lns 侧接收的通道对端名称。
[h3c] l2tp-group 1
[h3c-l2tp1] allow l2tp virtual-template 1
# 启用通道验证并设置通道验证密码。
[h3c-l2tp1] tunnel authentication
[h3c-l2tp1] tunnel password simple tunnelpwd
2.5.3 l2tp 多域组网应用
1. 组网需求
企业中拥有两个域,pc1 为企业中https://www.doczj.com/doc/a414788057.html, 域的用户,pc2 为企业中https://www.doczj.com/doc/a414788057.html, 域的用户。一般情况下,用户无法通过internet 直接访问企业内部的网络。通过建立vpn并支持多域,不同域的用户将从lns 获得不同范围的地址,并可以访问企业内部网络。
2. 组网图
3. 配置步骤
(1) 用户侧的配置
建一拨号网络,接收由lns 服务器端分配的地址。
对于pc1 而言,在弹出的拨号终端窗口中输入用户名vpdn1@https://www.doczj.com/doc/a414788057.html,,口令为11111(此用户名与口令已在lns 中注册)。
对于pc2 而言,在弹出的拨号终端窗口中输入用户名vpdn2@https://www.doczj.com/doc/a414788057.html,,口令为22222(此用户名与口令已在lns 中注册)。
(2) secpath1(lac 侧)的配置
(本例中lac 侧的ethernet0/0/0 和ethernet1/0/0 是用户接入接口,ethernet0/0/1的ip 地址为202.38.160.1,lns 侧与通道相连接的ip 地址为202.38.160.2)。
# 设置用户名及口令。
[h3c] system-view
[h3c] local-user vpdn1
[h3c-luser-vpdn1] password simple 11111
[h3c-luser-vpdn1] service-type ppp
[h3c-luser-vpdn1] quit
[h3c] local-user vpdn2
[h3c-luser-vpdn2] password simple 22222
[h3c-luser-vpdn2] service-type ppp
[h3c-luser-vpdn2] quit
# 配置域用户采用本地认证。
[h3c] domain https://www.doczj.com/doc/a414788057.html,
[https://www.doczj.com/doc/a414788057.html,] scheme local
[https://www.doczj.com/doc/a414788057.html,] quit
[h3c] domain https://www.doczj.com/doc/a414788057.html,
[https://www.doczj.com/doc/a414788057.html,] scheme local
[https://www.doczj.com/doc/a414788057.html,] quit
# 在ethernet0/0/0 和ethernet1/0/0 接口上配置pppoe server。
[h3c] interface ethernet0/0/0
[h3c-ethernet0/0/0] pppoe-server bind virtual-template 100
[h3c-ethernet0/0/0] interface ethernet1/0/0
[h3c-ethernet1/0/0] pppoe-server bind virtual-template 101
# 在ethernet0/0/1 接口上配置ip 地址。
[h3c-ethernet0/0/0] interface ethernet0/0/1
[h3c-ethernet0/0/1] ip address 202.38.160.1 255.255.255.0
# 在虚模板上启动chap 认证。
[h3c-ethernet0/0/1] interface virtual-template 100
[h3c-virtual-template100] ppp authentication-mode chap domain https://www.doczj.com/doc/a414788057.html, [h3c-virtual-template100] interface virtual-template 101
[h3c-virtual-template101] ppp authentication-mode chap domain https://www.doczj.com/doc/a414788057.html, [h3c-virtual-template101] quit
# 设置两个l2tp 组并配置相关属性。
[h3c] l2tp enable
[h3c] l2tp-group 1
[h3c-l2tp1] tunnel name lac
[h3c-l2tp1] start l2tp ip 202.38.160.2 domain https://www.doczj.com/doc/a414788057.html,
[h3c-l2tp1] l2tp-group 2
[h3c-l2tp2] tunnel name lac
[h3c-l2tp2] start l2tp ip 202.38.160.2 domain https://www.doczj.com/doc/a414788057.html,
# 启用通道验证并设置通道验证密码。
[h3c-l2tp2] tunnel authentication
[h3c-l2tp2] tunnel password simple 12345
[h3c-l2tp2] quit
[h3c] l2tp-group 1
[h3c-l2tp1] tunnel authentication
[h3c-l2tp1] tunnel password simple 12345
(3) secpath2(lns 侧)的配置。
[h3c] system-view
[h3c] l2tp enable
[h3c] l2tpmoreexam enable
# 创建两个用户名及口令
[h3c] local-user vpdn1
[h3c-luser-vpdn1] password simple 11111
[h3c-luser-vpdn1] service-type ppp
[h3c-luser-vpdn1] quit
[h3c] local-user vpdn2
[h3c-luser-vpdn2] password simple 22222
[h3c-luser-vpdn2] service-type ppp
[h3c-luser-vpdn2] quit
# 创建两个地址池。
[h3c] domain https://www.doczj.com/doc/a414788057.html,
[https://www.doczj.com/doc/a414788057.html,] scheme local
[https://www.doczj.com/doc/a414788057.html,] ip pool 1 202.38.161.10 202.38.161.100 [https://www.doczj.com/doc/a414788057.html,] quit
[h3c] domain https://www.doczj.com/doc/a414788057.html,
[https://www.doczj.com/doc/a414788057.html,] scheme local
[https://www.doczj.com/doc/a414788057.html,] ip pool 1 202.38.162.10 202.38.162.100 [https://www.doczj.com/doc/a414788057.html,] quit
# 创建两个相应的virtual template。
[h3c]interface virtual-template 1
[h3c-virtual-template1] ip address 202.38.161.1 255.255.255.0
[h3c-virtual-template1] remote address pool 1
[h3c-virtual-template1] ppp authentication-mode chap domain https://www.doczj.com/doc/a414788057.html,
[h3c-virtual-template1] interface virtual-template 2
[h3c-virtual-template2] ip address 202.38.162.2 255.255.255.0
[h3c-virtual-template2] remote address pool 1
[h3c-virtual-template2] ppp authentication-mode chap domain https://www.doczj.com/doc/a414788057.html,
[h3c-virtual-template2] quit
# 创建两个相应的l2tp-group 组。
[h3c] l2tp-group 3
[h3c-l2tp3] tunnel authentication
[h3c-l2tp3] allow l2tp virtual-template 1 remote lac domain https://www.doczj.com/doc/a414788057.html,
[h3c-l2tp3] tunnel password simple 12345
[h3c-l2tp3] quit
[h3c] l2tp-group 4
[h3c-l2tp4] tunnel authentication
[h3c-l2tp4] allow l2tp virtual-template 2 remote lac domain https://www.doczj.com/doc/a414788057.html,
[h3c-l2tp4] tunnel password simple 12345
上述配置中,如果lns 端需要采用radius 验证,请修改aaa 配置即可。
2.5.4 lac 作为客户端典型应用
1. 组网需求
lac 同时作为l2tp 客户端,与lns 建立常连接。并将所有私有网络的数据转发给lns。
2. 组网图
3. 配置步骤
本例假设公网地址和路由都已正确配置。此处只说明了vpn 相关配置。
(1) lac 的典型配置
# 设置用户名及口令。
[h3c] local-user vpdnuser
[h3c-luser-vpdnuser] password simple hello
[h3c-luser-vpdnuser] service-type ppp
[h3c-luser-vpdnuser] quit
# 启用l2tp 服务,并设置一个l2tp 组。
[h3c] l2tp enable
[h3c] l2tp-group 1
# 配置lac 侧本端名称,配置对端lns 的ip 地址。
[h3c-l2tp1] tunnel name lac
[h3c-l2tp1] start l2tp ip 3.3.3.2 fullusername vpdnuser
# 启用通道验证并设置通道验证密码。
[h3c-l2tp1] tunnel authentication
[h3c-l2tp1] tunnel password simple tunnelpwd
[h3c-l2tp1] quit
# 配置虚模板virtual-template 的相关信息。
[h3c] interface virtual-template 1
[h3c-virtual-template1] ip address ppp-negotiate
[h3c-virtual-template1] ppp authentication-mode pap
[h3c-virtual-template1] ppp pap local-user vpdnuser password simple hello [h3c-virtual-template1] quit
# 配置私网路由。
[h3c] ip route-static 10.1.0.0 16 virtual-template 1
(2) lns 的典型配置
# 设置用户名及口令。
[h3c] local-user vpdnuser
[h3c-luser-vpdnuser] password simple hello
[h3c-luser-vpdnuser] service-type ppp
# 配置ethernet0/0/1 接口。
[h3c] interface ethernet0/0/1
[h3c-ethernet0/0/1] ip address 3.3.3.2 255.255.0.0
[h3c-ethernet0/0/1] quit
# 配置域及地址池。
[routerb] domain system
[h3c-isp-system] scheme local
[h3c-isp-system] ip pool 1 192.168.0.2 192.168.0.10
[h3c-isp-system] quit
# 启用l2tp 服务,并设置一个l2tp 组。
[h3c] l2tp enable
[h3c] l2tp-group 1
# 配置虚模板virtual-template 的相关信息。
[h3c] interface virtual-template 1
[h3c-virtual-template1] ip address 192.168.0.1 255.255.255.0
[h3c-virtual-template1] remote address pool 1
[h3c-virtual-template1] ppp authentication-mode pap
[h3c-virtual-template1] quit
# 配置lns 侧接收的通道对端名称。
[h3c] l2tp-group 1
[h3c-l2tp1] allow l2tp virtual-template 1 remote lac
# 启用通道验证并设置通道验证密码。
[h3c-l2tp1] tunnel authentication
[h3c-l2tp1] tunnel password simple tunnelpwd
[h3c-l2tp1] quit
# 配置私网路由。
[h3c] ip route-static 10.2.0.0 16 virtual-template1
(3) 启动l2tp 连接
# 在secpath a 的虚模板接口视图下执行启动l2tp 连接命令
[h3c] interface virtual-template 1
[h3c-virtual-template1] l2tp-auto-client enable
lac 和lns 连接的私网主机应分别以lac 和lns 为网关。
2.5.5 复杂的组网情况
防火墙支持同时作为lac 及lns,并支持同时有多路用户呼入;只要内存及线路不受限制,l2tp 可以同时接收和发起多个呼叫。这些复杂组网的需求及配置可以综合参考以上的几种组网情况,综合应用。
特别需要注意的是静态路由的配置,许多应用是依靠路由来发起的。
C M S R系列路由器I P s e c典型配置举例V 文件排版存档编号:[UYTR-OUPT28-KBNTL98-UYNN208]
1?简介 本文档介绍IPsec的典型配置举例。
2?配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3?使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1?组网需求 如所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: 通过L2TP隧道访问Corporate network。 用IPsec对L2TP隧道进行数据加密。 采用RSA证书认证方式建立IPsec隧道。 图1基于证书认证的L2TP over IPsec配置组网图 3.2?配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile 中配置local-identity为dn,指定从本端证书中的主题字段取得 本端身份。 3.3?使用版本
本举例是在R0106版本上进行配置和验证的。 3.4?配置步骤 3.4.1?Device的配置 (1)配置各接口IP地址 #配置接口GigabitEthernet2/0/1的IP地址。
私网用户通过NAPT方式访问Internet (备注:在这种环境中,外网只能ping通外网口,公网没有写入到内网的路由,所以前提是内网只能ping通外网口,但走不到外网口以外的网络,做了NAT之后,内网可以通外网任何网络,但是外网只能ping到本地内网的外网口。) 本例通过配置NAPT功能,实现对少量公网IP地址的复用,保证公司员工可以正常访问Internet。组网需求 如图1所示,某公司内部网络通过USG9000与Internet相连,USG9000作为公司内网的出口网关。由于该公司拥有的公网IP地址较少(202.169.1.21~202.169.1.25),所以需要利用USG9000的NAPT功能复用公网IP地址,保证员工可以正常访问Internet。 图1 配置私网用户通过NAPT方式访问Internet组网图 配置思路 1.完成设备的基础配置,包括配置接口的IP地址,并将接口加入安全区域。 2.配置安全策略,允许私网指定网段访问Internet。 3.配置NAT地址池和NAT策略,对指定流量进行NAT转换,使私网用户可以使用公网IP 地址访问Internet。 4.配置黑洞路由,防止产生路由环路。
操作步骤 1.配置USG9000的接口IP地址,并将接口加入安全区域。 # 配置接口GigabitEthernet 1/0/1的IP地址。
双机热备 网络卫士防火墙可以实现多种方式下的冗余备份,包括:双机热备模式、负载均衡模式和连接保护模式。 在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。 在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能够接替其工作。 在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。 双机热备模式 基本需求 图 1双机热备模式的网络拓扑图 上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。 配置要点 ?设置HA心跳口属性 ?设置除心跳口以外的其余通信接口属于VRID2 ?指定HA的工作模式及心跳口的本地地址和对端地址 ?主从防火墙的配置同步 WEBUI配置步骤 1)配置HA心跳口和其他通讯接口地址 HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。 ?主墙 a)配置HA心跳口地址。 ①点击网络管理>接口,然后选择“物理接口”页签,点击eth2接口后的“设置”图标,配置基本信息,如下图所示。 点击“确定”按钮保存配置。
华为 MSR路由器教育网双出口NAT服务器的典型配置 一、组网需求: MSR 的 G0/0 连接某学校内网, G5/0 连接电信出口, G5/1 连接教育网出口,路由配置:访问教育网地址通过 G5/1 出去,其余通过默认路由通过 G5/0 出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的,因此电信主机访问该校 一、组网需求: MSR的G0/0连接某学校内网,G5/0连接电信出口,G5/1连接教育网出口,路由配置:访问教育网地址通过G5/1出去,其余通过默认路由通过G5/0出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的,因此电信主机访问该校都是从G5/1进来,如果以教育网源地址(211.1.1.0/24)从G5/0访问电信网络,会被电信过滤。该校内网服务器192.168.34.55需要对外提供访问,其域名是https://www.doczj.com/doc/a414788057.html,,对应DNS解析结果是211.1.1.4。先要求电信主机和校园网内部主机都可以通过域名或211.1.1.4正常访问,且要求校园网内部可以通过NAT任意访问电信网络或教育网络。 设备清单:MSR一台 二、组网图:
三、配置步骤: 适用设备和版本:MSR系列、Version 5.20, Release 1205P01后所有版本。
四、配置关键点: 1) 此案例所实现之功能只在MSR上验证过,不同设备由于内部处理机制差异不能保证能够实现; 2) 策略路由是保证内部服务器返回外网的流量从G5/1出去,如果不使用策略路由会按照普通路由转发从G5/0出去,这样转换后的源地址211.1.1.4会被电信给过滤掉,因此必须使用策略路由从G5/1出去; 3) 策略路由的拒绝节点的作用是只要匹配ACL就变成普通路由转发,而不被策
Cisco交换机配置实例(双机热备) Cisco交换机6509配置实例(双机热备) 1.设置时间 switch#config t switch(config)#clock timezone GMT8;配置时区 switch(config)#clock set13:30:2131JAN2004;配置交换机时间2.设置主机名及密码 Switch#congfig t Switch(config)#hostname6506a 6506a(config)#enable password cisco 6506a(config)#enable secret cisco 6506a(config)#line con0 6506a(config-line)#password cisco 6506a(config-line)#login 6506a(config-line)#line vty015 6506a(config-line)#login 6506a(config-line)#password cisco 6506a(config-line)#login 6506a(config-line)#^z 6506a#show running-config
6506a#copy running-config startup-config 6506a#show startup-config 6506a#show bootvar 6506a#dir bootflash: 6506a#copy system:running-config nvram:startup-config 6506a#show fabric status 6506a#show hardware 3.配置vlan 6506a#config t 6506a(config)#vlan301 6506a(config-vlan)#name hexinxitong 6506a(config)#vlan302 6506a(config-vlan)#name callcenter 6506a(config)#vlan303 6506a(config-vlan)#name kuaijicaiwu 6506a(config)#vlan304 6506a(config-vlan)#name guojiyewu 6506a(config)#vlan305 6506a(config-vlan)#name guanlixitong 6506a(config)#vlan306 6506a(config-vlan)#name ceshihuanjing 6506a(config)#vlan307
SecPath系列防火墙IPSec典型配置举例 关键词:IKE、IPSec 摘要:本章首先介绍了IKE和IPSec的基本概念,随后说明了防火墙的配置方法,最后给出两种典型应用的举例。 缩略语: 缩略语英文全名中文解释 IKE Internet Key Exchange 因特网密钥交换 Security IP网络安全协议 IPsec IP
目录 1 特性简介 (3) 1.1 IPSec基本概念 (3) 1.1.1 SA (3) 1.1.2 封装模式 (3) 2 应用场合 (4) 3 配置指南 (4) 3.1 配置概述 (4) 3.2 配置ACL (6) 3.3 配置IKE (6) 3.3.1 配置IKE全局参数 (6) 3.3.2 配置IKE安全提议 (7) 3.3.3 配置IKE对等体 (8) 3.4 IPSec安全提议 (10) 3.5 配置安全策略模板 (12) 3.6 配置安全策略 (14) 3.7 应用安全策略组 (16) 4 配置举例一:基本应用 (17) 4.1 组网需求 (17) 4.2 使用版本 (18) 4.3 配置步骤 (18) 4.4 配置结果验证 (27) 4.4.1 查看IPSec安全联盟 (27) 4.4.2 查看报文统计 (27) 5 配置举例二:与NAT结合 (27) 5.1 组网需求 (27) 5.2 配置说明 (28) 5.3 配置步骤 (28) 5.4 配置验证结果 (34) 5.4.1 查看IPSec安全联盟 (34) 5.4.2 查看报文统计 (35) 6 注意事项 (35) 7 相关资料 (35) 7.1 相关协议和标准 (35) 7.2 其它相关资料 (36)
[原创]华为Eudemon防火墙NAT配置实例Post By:2007-7-11 11:35:00 贴一下我公司里防火墙的配置,希望能够起到抛砖引玉的作用。具体外网IP和内网ARP绑定信息已经用“x”替代,请根据实际情况更换。“//”后面的部分是我导出配置后添加的注释。防火墙型号为华为Eudemon 200,E0/0/0口为外网接口,E0/0/1口为内网。另外此配置方法也完全适用于华为Secpath系列防火墙,略加改动也可适用于华为A R系列路由器。 ------------------------------------------传说中的分隔线------------------------------------------ # sysname Eudemon//设置主机名 # super password level 3 simple xxxxxxxx//Super密码为xxxxxxxx # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction inbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound firewall packet-filter default permit interzone trust untrust direction inbound firewall packet-filter default permit interzone trust untrust direction outbound firewall packet-filter default permit interzone trust dmz direction inbound firewall packet-filter default permit interzone trust dmz direction outbound firewall packet-filter default permit interzone dmz untrust direction inbound firewall packet-filter default permit interzone dmz untrust direction outbound//设置默认允许所有数据包通过 # 青岛IT社区提醒:本地交易眼见为实,当面验货!不要嫌麻烦!交易地点建议在人多地方,防止抢劫!
窗体顶端 NAT 【Router】 华为路由器单臂路由配置实例 组网描述: PC---------------------3050C-------------------------AR28-31-------------------------INTERNET 组网实现: 3050C上划分多个VLAN,在AR28-31上终结VLAN信息,下面的所有VLAN中的PC都可以上公
网,所有的PC机都通过AR28-31分配IP地址和DNS [AR28-31]dis cu # sysname Quidway # FTP server enable # nat address-group 0 222.222.222.2 222.222.222.10用于上公网的地址池# radius scheme system # domain system # local-user admin password cipher .]@USE=B,53Q=^Q`MAF4<1!! service-type telnet terminal level 3 service-type ftp local-user huawei telnet用户,用于远程管理 password simple huawei service-type telnet level 3 # dhcp server ip-pool 10为VLAN10分配IP地址network 192.168.10.0 mask 255.255.255.0 gateway-list 192.168.10.1 dns-list 100.100.100.100 # dhcp server ip-pool 20为VLAN20分配IP地址network 192.168.20.0 mask 255.255.255.0 gateway-list 192.168.20.1 dns-list 100.100.100.100 # dhcp server ip-pool 30为VLAN30分配IP地址network 192.168.30.0 mask 255.255.255.0 gateway-list 192.168.30.1 dns-list 100.100.100.100 # dhcp server ip-pool 40为VLAN40分配IP地址network 192.168.40.0 mask 255.255.255.0 gateway-list 192.168.40.1 dns-list 100.100.100.100 # interface Aux0 async mode flow # interface Ethernet1/0用于与交换机的管理IP互通 ip address 192.168.100.1 255.255.255.0 firewall packet-filter 3000 inbound # interface Ethernet1/0.1终结交换机上的VLAN10 tcp mss 1024 ip address 192.168.10.1 255.255.255.0 firewall packet-filter 3000 inbound vlan-type dot1q vid 10 # interface Ethernet1/0.2终结交换机上的VLAN20
1.1防火墙典型配置举例
[Quidway-acl-101]rule deny ip source any destination any #配置规则允许特定主机访问外部网,允许内部服务器访问外部网。 [Quidway-acl-101]rule permit ip source129.38.1.40destination any [Quidway-acl-101]rule permit ip source129.38.1.10destination any [Quidway-acl-101]rule permit ip source129.38.1.20destination any [Quidway-acl-101]rule permit ip source129.38.1.30destination any #配置规则允许特定用户从外部网访问内部服务器。 [Quidway]acl102 [Quidway-acl-102]rule permit tcp source202.39.2.30destination 202.38.160.10 #配置规则允许特定用户从外部网取得数据(只允许端口大于1024的包)。 [Quidway-acl-102]rule permit tcp source any destination 202.38.160.10.0.0.0destination-port greater-than1024 #将规则101作用于从接口Ethernet0进入的包。 [Quidway-Ethernet0]firewall packet-filter101inbound #将规则102作用于从接口Serial0进入的包。 [Quidway-Serial0]firewall packet-filter102inbound
防火墙产品典型组网配置指导及使用注意事项 ike sa keepalive-timer interval 30 ike sa keepalive-timer timeout 90 1 IPSEC 建立点到点SA 配置采用IKE 方式建立SA, IKE自动协商方式相对比较简单,只需要配置好IKE协商安全策略的信息,由IKE自动协商来创建和维护安全联盟。当与Eudemon 进行通信的对等体设备数量较少时,或是在小型静态环境中,手工配置安全联盟是可行的,但不推荐。对于小、中、大型的动态网络环境中,我们都推荐使用IKE协商建立安全联盟。第一节介绍点到点网络结构,使用IKE建立SA的典型配置 1.1 组网图 图1IKE点到点网络典型组网图 1.2 组网需求 ●PC1与PC2之间进行安全通信,在FWA与FWB之间使用IKE自动协 商建立安全通道。 ●在FWA和FWB上均配置序列号为10的IKE提议。 ●为使用pre-shared key验证方法的提议配置验证字。 ●FWA与FWB均为固定公网地址 1.3 适用产品、版本 设备型号:Eudemon100/100S/200/200S, Eudemon300/500/1000, USG50/3000/5000 实验设备: FWA Eudemon500 FWB Eudemon200
软件版本:V2R1及以上实验版本Eudemon500 V200R006C02B059 Eudemon200 V200R001B01D036 1.4 配置思路和步骤 1)防火墙基本配置,包括IP地址,安全域 2)配置公网路由, 一般情况下,防火墙上配置静态路由 3)定义用于包过滤和加密的数据流 4) 域间通信规则 5)配置IPSec安全提议 6) 配置IKE提议 7) 配置IKE Peer 8) 配置安全策略 9) 引用安全策略 1.5 配置过程和解释(关键配置) 配置FWA: 1)配置到达PC2的静态路由 [FWA]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2 2)定义用于包过滤和加密的数据流 [FWA]acl 3000 [FWA-acl-adv-3000]rule permit ip source 10.0.0.0 0.0.0.255 destination 10.0.1.0 0.0.0.255 [FWA-acl-adv-3000]quit [FWA]acl 3001 [FWA-acl-adv-3001]rule permit ip source 10.0.1.0 0.0.0.255 [FWA-acl-adv-3001]quit 3)配置trust与untrust域间包过滤规则 [FWA]firewall interzone trust untrust [FWA-interzone-trust-untrust]packet-filter 3000 outbound [FWA-interzone-trust-untrust]packet-filter 3001 inbound
华为NAT配置案例模拟 图表1模拟拓扑图 1、在华为设备上部署静态NAT技术,实现公司员工(私网)访问internet (公网) 静态一对一: AR1# interface GigabitEthernet0/0/1 ip address 202.106.1.2 255.255.255.0 nat static global 202.1.1.1 inside 192.168.1.2 netmask 255.255.255.255 AR2# [AR2]ip route-static 202.1.1.1 255.255.255.255 202.106.1.2 [AR2] 结果测试:
查看静态转换表 [AR1]display nat static Static Nat Information: Interface : GigabitEthernet0/0/1 Global IP/Port : 202.1.1.1/---- Inside IP/Port : 192.168.1.2/---- Protocol : ---- VPN instance-name : ---- Acl number : ---- Netmask : 255.255.255.255 Description : ---- Total : 1 [AR1] 在没有做静态NAT条目的PC2上不能访问公网,可以得出结论:静态NAT是静 态一对一的关系 2、在华为设备上部署动态NAT技术,实现公司员工(私网)访问internet (公网) 动态NAT [AR1]nat address-group 1 202.1.1.1 202.1.1.1(定义一个地址池存放一个可用公网地址202.1.1.1) [AR1]dis cu | begin acl acl number 2000 (定义转换的源IP)
防火墙双机热备配置及组网指导 防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。 1 1:防火墙双机热备命令行说明 防火墙的双机热备的配置主要涉及到HRP的配置,VGMP的配置,以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。 1.1 1.1 HRP命令行配置说明 HRP是华为的冗余备份协议,Eudemon 防火墙使用此协议进行备份组网,达到链路状态备份的目的,从而保证在设备发生故障的时候业务正常。 HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的;VGMP是华为的私有协议,主要是用来管理VRRP的,VGMP也是华为的私有协议,是在VRRP的基础上进行扩展得到的。不管是VGMP的报文,还是HRP的报文,都是VRRP的报文,只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文。 在Eudemon防火墙上,hrp的作用主要是备份防火墙的会话表,备份防火墙的servermap 表,备份防火墙的黑名单,备份防火墙的配置,以及备份ASPF模块中的公私网地址映射表和上层会话表等。 两台防火墙正确配置VRRP,VGMP,以及HRP之后,将会形成主备关系,这个时候防火墙的命令行上会自动显示防火墙状态是主还是备,如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状态,不可能出现两台都为主状态或者都是备状态的。 在防火墙的HRP形成主备之后,我们称HRP的主备状态为HRP主或者是HRP备状态,在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括ACL,接口加入域等,但其中一些命令行是不会从主防火墙上备份到备防火墙上。 HRP的配置命令的功能和使用介绍如下: ★ hrp enable :HRP使能命令,使能HRP之后防火墙将形成主备状态。 ★ hrp configuration check acl :检查主备防火墙两端的ACL的配置是否一致。执行此命令之后,主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。
路由器-GRE-Over-IPSec典型配置 【需求】 分部1和分部2通过野蛮IPSec的方式连接到中心,采用GRE-Over-IPSec的方式,在tunnel上运行OSPF协议来实现总部和分部之间的互通。 【组网图】
【验证】 1、中心上的ike sa 状态: disp ike sa connection-id peer flag phase doi ---------------------------------------------------------- 4 202.101.3.2 RD 1 IPSEC 5 202.101.3.2 RD 2 IPSEC 2 202.101.2.2 RD 1 IPSEC 3 202.101.2.2 RD 2 IPSEC flag meaning RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO—TIMEOUT 2、中心上的IPSec sa状态:
disp ipsec sa =============================== Interface: Serial2/0/0 path MTU: 1500 =============================== ----------------------------- IPsec policy name: "center" sequence number: 10 mode: isakmp ----------------------------- connection id: 3 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 202.101.1.2 remote address: 202.101.2.2 flow: (72 times matched) sour addr: 202.101.1.2/255.255.255.255 port: 0 protocol: GRE dest addr: 202.101.2.2/255.255.255.255 port: 0 protocol: GRE [inbound ESP SAs] spi: 1168206412 (0x45a16a4c) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887434028/3365 max received sequence-number: 33 udp encapsulation used for nat traversal: N [outbound ESP SAs] spi: 2150942891 (0x8034c8ab) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887433260/3365 max sent sequence-number: 36 udp encapsulation used for nat traversal: N ----------------------------- IPsec policy name: "center" sequence number: 20 mode: isakmp ----------------------------- connection id: 4 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 202.101.1.2 remote address: 202.101.3.2 flow: (73 times matched) sour addr: 202.101.1.2/255.255.255.255 port: 0 protocol: GRE dest addr: 202.101.3.2/255.255.255.255 port: 0 protocol: GRE [inbound ESP SAs] spi: 2624895419 (0x9c74b9bb) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887433796/3385 max received sequence-number: 35 udp encapsulation used for nat traversal: N [outbound ESP SAs]
华为NAT配置案例
华为NAT配置案例模拟 图表1模拟拓扑图 1、在华为设备上部署静态NAT技术,实现公司员工(私网)访问internet (公网) 静态一对一: AR1# interface GigabitEthernet0/0/1 ip address 202.106.1.2 255.255.255.0 nat static global 202.1.1.1 inside 192.168.1.2 netmask 255.255.255.255 AR2# [AR2]ip route-static 202.1.1.1 255.255.255.255 202.106.1.2 [AR2] 结果测试:
查看静态转换表 [AR1]display nat static Static Nat Information: Interface : GigabitEthernet0/0/1 Global IP/Port : 202.1.1.1/---- Inside IP/Port : 192.168.1.2/---- Protocol : ---- VPN instance-name : ---- Acl number : ---- Netmask : 255.255.255.255 Description : ---- Total : 1 [AR1] 在没有做静态NAT条目的PC2上不能访问公网,可以得出结论:静态NAT是静 态一对一的关系 2、在华为设备上部署动态NAT技术,实现公司员工(私网)访问internet (公网) 动态NAT [AR1]nat address-group 1 202.1.1.1 202.1.1.1(定义一个地址池存放一个可用公网地址202.1.1.1) [AR1]dis cu | begin acl acl number 2000 (定义转换的源IP)
华为路由器配置举例 通过在外网口配置nat基本就OK了,以下配置假设Ethernet0/0为局域网接口,Ethernet0/1为外网口。 1、配置内网接口(Ethernet0/0): [MSR20-20] interface Ethernet0/0 [MSR20-20- Ethernet0/0]ip add 192.168.1.1 24 2、使用动态分配地址的方式为局域网中的PC分配地址 [MSR20-20]dhcp server ip-pool 1 [MSR20-20-dhcp-pool-1]network 192.168.1.0 24 [MSR20-20-dhcp-pool-1]dns-list 202.96.134.133 [MSR20-20-dhcp-pool-1] gateway-list 192.168.1.1 3、配置nat [MSR20-20]nat address-group 1 公网IP 公网IP [MSR20-20]acl number 3000 [MSR20-20-acl-adv-3000]rule 0 permit ip 4、配置外网接口(Ethernet0/1) [MSR20-20] interface Ethernet0/1 [MSR20-20- Ethernet0/1]ip add 公网IP [MSR20-20- Ethernet0/1] nat outbound 3000 address-group 1 5.加默缺省路由 [MSR20-20]route-stac 0.0.0.0 0.0.0.0 外网网关 总结: 在2020路由器下面, 配置外网口, 配置内网口, 配置acl 作nat, 一条默认路由指向电信网关. ok!
IPSEC穿越NAT 典型配置指导 Huawei-3Com Technologies Co., Ltd. 华为3Com技术有限公司
IPSEC穿越NAT特性典型配置指导目录 目录 1 特性介绍 (2) 2 特性的优点 (2) 3 使用指南 (2) 3.1 使用场合 (2) 3.2 配置步骤 (2) 3.2.1 配置IKE安全提议 (3) 3.2.2 配置IKE对等体 (4) 3.2.3 配置IPSEC访问控制列表 (4) 3.2.4 配置IPSEC安全提议 (5) 3.2.5 配置IPSEC安全策略 (5) 3.2.6 应用IPSEC安全策略 (6) 3.3 注意事项 (6) 3.4 举例:隧道模式下的IPSEC穿越NAT (6) 3.4.1 组网需求 (6) 3.4.2 组网图 (7) 3.4.3 硬件连接图 (7) 3.4.4 配置 (7) 3.4.5 验证结果 (11) 3.4.6 故障排除 (11) 4 关键命令 (12) 4.1 nat traversal (12) 5 相关资料 (13) 5.1 相关协议和标准 (13) 5.2 其他相关资料 (13)
IPSEC 穿越NAT 特性典型配置指导 正文 关键词:IPSEC ,NAT 摘 要:本文简单描述IPSEC 及其穿越NAT 特性的特点,详细描述了路由器上配置IPSEC 穿越 NAT 的基本方法和详细步骤,给出了一种IPSEC 穿越NAT 方法的配置案例。 缩略语: 第1页
1 特性介绍 IPSec(IP Security)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互 操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证 数据报在网络上传输时的私有性、完整性、真实性和防重放。 IPSec通过AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安全载荷)这两个安全协议来实现上述目标。并且还可以通过IKE(Internet Key Exchange,因特网密钥交换协议)为IPSec提供了自动协商交换密钥、建立和维护安全联盟的服务,以简化IPSec的使用和管理。 如果两个IPsec设备之间存在一个或多个NAT设备,由于NAT设备会改变源IP地址和源端口,对IPsec报文和IKE协商都造成影响,因此必须配置IPSec/IKE的NAT穿越功能。为了节省IP地址空间,ISP经常会在公网中加入NAT网关,以便于将私有IP地址分配给用户,此时可能会导致IPSec/IKE隧道的两端一端为公网地址,另一端为私网地址,所以必须在私网侧配置NAT穿越,保证隧道能够正常协商建立。 2 特性的优点 IPSEC穿越NAT特性可以帮助用户穿过NAT网关在公网地址和私网地址间建立VPN隧道,极 大拓展了IPSEC VPN的应用范围。 3 使用指南 3.1 使用场合 用户在公网和私网间建立VPN隧道时,若需要对传输数据进行验证和加密,则推荐使用 IPSEC穿越NAT特性。 要求两侧作为VPN网关的路由器设备必须支持IPSEC穿越NAT特性,我司路由器设备均支持 此特性。 路由器VRP版本要求是VRP 3.3 Release 0006及以上。 3.2 配置步骤 IPSec协议有两种操作模式:传输模式和隧道模式。在传输模式下,AH或ESP被插入到IP头 之后但在所有传输层协议之前,或所有其他IPSec协议之前。在隧道模式下,AH或ESP插在原始 IP头之前,另外生成一个新头放到AH或ESP之前。从安全性来讲,隧道模式优于传输模式。它可 第2页