好物优选点击查看详情 京东购买
更多
闪迪(SanDisk)256GB USB3.2 U盘 CZ74 读速高达400MB/s 金属高速u盘 安全加密 学习办公投标大容量优盘-陌上烟雨遥

闪迪(SanDisk)256GB USB3.2 U盘 CZ74 读速高达400MB/s 金属高速u盘 安全加密 学习办公投标大容量优盘

好物优选# u盘# sandisk# 闪迪
admin的头像-陌上烟雨遥钻石会员2个月前
436
绿联USB蓝牙适配器5.3发射器蓝牙音频接收器适用台式机电脑蓝牙模块连接键盘鼠标无线蓝牙耳机音响免驱-陌上烟雨遥

绿联USB蓝牙适配器5.3发射器蓝牙音频接收器适用台式机电脑蓝牙模块连接键盘鼠标无线蓝牙耳机音响免驱

好物优选# 绿联# 绿联USB蓝牙适配器# USB蓝牙适配器
admin的头像-陌上烟雨遥钻石会员2个月前
927
绿联 六类网线 千兆高速网络宽带线 6类家用电脑笔记本路由器监控线 CAT6八芯双绞成品跳线黑色2米-陌上烟雨遥

绿联 六类网线 千兆高速网络宽带线 6类家用电脑笔记本路由器监控线 CAT6八芯双绞成品跳线黑色2米

好物优选# 绿联# 六类网线# 绿联六类网线
admin的头像-陌上烟雨遥钻石会员2个月前
6610

玩转华为ENSP模拟器系列

100

素材来源:华为防火墙配置指南

一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持!

附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验

目标

分支机构通过IPSec隧道连接总部。由于总部和分支都通过PPPoE拨号获取IP地址,每次获取到的IP地址不同。因此总部为方便分支机构接入,需要配置DDNS功能,使分支机构通过域名接入总部。

组网需求

图1所示,某企业分为总部(HQ)和两个分支机构(Branch 1和Branch 2)。组网如下:

  • 分支机构1和分支机构2分别通过FW_B和FW_C与Internet相连。
  • FW_A和FW_B、FW_A和FW_C相互路由可达。
  • 总部和分支机构均通过PPPoE拨号上网。且内网设备均通过DHCP方式从FW接口获取IP地址。
  • 总部网关支持DDNS功能,分支网关支持DNS功能。总部域名固定。

要求实现如下需求:

  • 分支机构PC2、PC3能与总部PC1之间进行安全通信。
  • FW_A、FW_B以及FW_A、FW_C之间分别建立IPSec隧道。FW_B、FW_C不直接建立任何IPSec连接。

配置思路

  1. 隧道两端设备分别配置PPPoE拨号,实现设备上网。
  1. 总部采用模板方式IPSec安全策略,以响应多个分支机构的需求;分支机构采用配置ISAKMP方式IPSec安全策略。
  1. 分支机构要访问总部设备,需要在FW_A上开启域名解析以及DDNS策略,以便将获取的IP地址与网络中的DNS服务器中的域名建立对应关系,并及时更新。

操作步骤

  1. 在FW_A上配置DHCP和PPPoE客户端。

    1. 配置GE1/0/3接口,开启DHCP,对内网用户自动分配IP地址。
    2. <sysname> system-view [sysname] sysname FW_A [FW_A] interface gigabitethernet 1 / 0 / 3 [FW_A-GigabitEthernet1/0/3] ip address 10.1.1.1 24 [FW_A-GigabitEthernet1/0/3] dhcp select interface [FW_A-GigabitEthernet1/0/3] quit [FW_A] firewall zone trust [FW_A-zone-trust] add interface gigabitethernet 1 / 0 / 3 [FW_A-zone-trust] quit 复制代码
    3. 配置PPPoE Client。
    4. [FW_A] dialer-rule 10 ip permit [FW_A] interface Dialer 1 [FW_A-Dialer1] dialer user dialeruser [FW_A-Dialer1] dialer bundle 5 [FW_A-Dialer1] dialer-group 10 [FW_A-Dialer1] ip address ppp-negotiate [FW_A-Dialer1] ppp chap user dialeruser [FW_A-Dialer1] ppp chap password cipher Hello123 [FW_A-Dialer1] quit [FW_A] firewall zone untrust [FW_A-zone-untrust] add interface Dialer 1 [FW_A-zone-untrust] add interface gigabitethernet 1 / 0 / 1 [FW_A-zone-untrust] quit [FW_A] interface gigabitethernet 1 / 0 / 1 [FW_A-GigabitEthernet1/0/1] pppoe-client dial-bundle-number 5 [FW_A-GigabitEthernet1/0/1] quit 复制代码
    5. 配置Trust域与Untrust域之间的域间安全策略。
    6. [FW_A] security-policy [FW_A-policy-security] rule name policy1 [FW_A-policy-security-rule-policy1] source-zone trust [FW_A-policy-security-rule-policy1] destination-zone untrust [FW_A-policy-security-rule-policy1] source-address 10.1.1.0 24 [FW_A-policy-security-rule-policy1] destination-address 10.1.2.0 24 [FW_A-policy-security-rule-policy1] destination-address 10.1.3.0 24 [FW_A-policy-security-rule-policy1] action permit [FW_A-policy-security-rule-policy1] quit [FW_A-policy-security] rule name policy2 [FW_A-policy-security-rule-policy2] source-zone untrust [FW_A-policy-security-rule-policy2] destination-zone trust [FW_A-policy-security-rule-policy2] source-address 10.1.2.0 24 [FW_A-policy-security-rule-policy2] source-address 10.1.3.0 24 [FW_A-policy-security-rule-policy2] destination-address 10.1.1.0 24 [FW_A-policy-security-rule-policy2] action permit [FW_A-policy-security-rule-policy2] quit 复制代码
    7. 配置Untrust域与Local域之间的域间安全策略。
    8. [FW_A-policy-security] rule name policy3 [FW_A-policy-security-rule-policy3] source-zone local [FW_A-policy-security-rule-policy3] destination-zone untrust [FW_A-policy-security-rule-policy3] action permit [FW_A-policy-security-rule-policy3] quit [FW_A-policy-security] rule name policy4 [FW_A-policy-security-rule-policy4] source-zone untrust [FW_A-policy-security-rule-policy4] destination-zone local [FW_A-policy-security-rule-policy4] action permit [FW_A-policy-security-rule-policy4] quit [FW_A-policy-security] quit 复制代码
    9. 配置到达分支机构的静态路由。
    10. [FW_A] ip route- static 0.0.0.0 0.0.0.0 Dialer1 复制代码

  1. 在FW_A上配置IPSec策略组,并在接口上应用IPSec策略组。

    1. 定义被保护的数据流。
    2. [FW_A] acl 3000 [FW_A-acl-adv-3000] rule permit ip source 10.1.0.0 0.0.255.255 destination 10.1.2.0 0.0.0.255 [FW_A-acl-adv-3000] rule permit ip source 10.1.0.0 0.0.255.255 destination 10.1.3.0 0.0.0.255 [FW_A-acl-adv-3000] quit 复制代码
    3. 配置IPSec安全提议。采用默认参数。
    4. [FW_A] ipsec proposal tran1 [FW_A-ipsec-proposal-tran1] esp authentication-algorithm sha2- 256 [FW_A-ipsec-proposal-tran1] esp encryption-algorithm aes- 256 [FW_A-ipsec-proposal-tran1] quit 复制代码
    5. 配置IKE安全提议。采用默认参数。
    6. [FW_A] ike proposal 10 [FW_A-ike-proposal-10] authentication-method pre-share [FW_A-ike-proposal-10] prf hmac-sha2- 256 [FW_A-ike-proposal-10] encryption-algorithm aes- 256 [FW_A-ike-proposal-10] dh group2 [FW_A-ike-proposal-10] integrity-algorithm hmac-sha2- 256 [FW_A-ike-proposal-10] quit 复制代码
    7. 配置IKE Peer。
    8. [FW_A] ike peer b [FW_A-ike-peer-b] ike-proposal 10 [FW_A-ike-peer-b] pre-shared-key Test ! 1234 [FW_A-ike-peer-b] quit 复制代码
    9. 配置名称为map_temp序号为11的IPSec策略模板。
    10. [FW_A] ipsec policy-template map_temp 11 [FW_A-ipsec-policy-templet-map_temp-1] security acl 3000 [FW_A-ipsec-policy-templet-map_temp-1] proposal tran1 [FW_A-ipsec-policy-templet-map_temp-1] ike-peer b [FW_A-ipsec-policy-templet-map_temp-1] quit 复制代码
    11. 在IPSec策略组map1的序号为20的安全策略中引用IPSec策略模板map_temp。
    12. [FW_A] ipsec policy map1 20 isakmp template map_temp 复制代码
    13. 在接口Dialer 1上应用IPSec策略组map1。
    14. [FW_A] interface Dialer 1 [FW_A-Dialer1] ipsec policy map1 [FW_A-Dialer1] quit 复制代码
  1. 在FW_A上配置DDNS。

开启域名解析,FW_A通过域名能访问DDNS Server。

[FW_A] dns resolve [FW_A] dns server 3.3.3.3 复制代码

向DDNS服务提供商申请DDNS服务。

请联系DDNS服务提供商,并根据DDNS服务提供商的说明操作。假设申请得到的用户名和密码都为:abc123;DDNS Client的域名为:www.abcd.3322.org;选择的DDNS服务提供商为:www.3322.org。

配置DDNS策略。

[FW_A] ddns policy abc [FW_A-ddns-policy-abc] method vendor-specific [FW_A-ddns-policy-abc] url http : //abc123:abc123@members.3322.org/dyndns/update?system=dyndns/update?system=dyndns&hostname=<h>&myip=<a> [FW_A-ddns-policy-abc] quit 复制代码

应用DDNS策略。

[FW_A] interface Dialer 1 [FW_A-Dialer1] ddns apply policy abc [FW_A-Dialer1] quit 复制代码

  1. 配置FW_B的基础配置。

    1. 配置GE1/0/3接口,开启DHCP,对内网用户自动分配IP地址。

    2. <sysname> system-view [sysname] sysname FW_B [FW_B] gigabitethernet 1 / 0 / 3 [FW_B-GigabitEthernet1/0/3] ip address 10.1.2.1 24 [FW_B-GigabitEthernet1/0/3] dhcp select interface [FW_B-GigabitEthernet1/0/3] quit [FW_B] firewall zone trust [FW_B-zone-trust] add interface gigabitethernet 1 / 0 / 3 [FW_B-zone-trust] quit 复制代码
    3. 配置PPPoE Client。
    4. [FW_B] dialer-rule 10 ip permit [FW_B] interface Dialer 1 [FW_B-Dialer1] dialer user dialeruser [FW_B-Dialer1] dialer bundle 5 [FW_B-Dialer1] dialer-group 10 [FW_B-Dialer1] ip address ppp-negotiate [FW_B-Dialer1] ppp chap user dialeruser2 [FW_B-Dialer1] ppp chap password cipher Hello123 [FW_B-Dialer1] quit [FW_B] firewall zone untrust [FW_B-zone-untrust] add interface Dialer 1 [FW_B-zone-untrust] add interface gigabitethernet 1 / 0 / 1 [FW_B-zone-untrust] quit [FW_B] interface gigabitethernet 1 / 0 / 1 [FW_B-GigabitEthernet1/0/1] pppoe-client dial-bundle-number 5 [FW_B-GigabitEthernet1/0/1] quit 复制代码
    5. 配置Trust域与Untrust域之间的域间安全策略。
    6. [FW_B] security-policy [FW_B-policy-security] rule name policy1 [FW_B-policy-security-rule-policy1] source-zone trust [FW_B-policy-security-rule-policy1] destination-zone untrust [FW_B-policy-security-rule-policy1] source-address 10.1.2.0 24 [FW_B-policy-security-rule-policy1] destination-address 10.1.1.0 24 [FW_B-policy-security-rule-policy1] action permit [FW_B-policy-security-rule-policy1] quit [FW_B-policy-security] rule name policy2 [FW_B-policy-security-rule-policy2] source-zone untrust [FW_B-policy-security-rule-policy2] destination-zone trust [FW_B-policy-security-rule-policy2] source-address 10.1.1.0 24 [FW_B-policy-security-rule-policy2] destination-address 10.1.2.0 24 [FW_B-policy-security-rule-policy2] action permit [FW_B-policy-security-rule-policy2] quit 复制代码
    7. 配置Untrust域与Local域之间的域间安全策略。
    8. [FW_B-policy-security] rule name policy3 [FW_B-policy-security-rule-policy3] source-zone local [FW_B-policy-security-rule-policy3] destination-zone untrust [FW_B-policy-security-rule-policy3] action permit [FW_B-policy-security-rule-policy3] quit [FW_B-policy-security] rule name policy4 [FW_B-policy-security-rule-policy4] source-zone untrust [FW_B-policy-security-rule-policy4] destination-zone local [FW_B-policy-security-rule-policy4] action permit [FW_B-policy-security-rule-policy4] quit [FW_B-policy-security] quit 复制代码
    9. 配置到达总部和其他私网的静态路由。
    10. [FW_B] ip route- static 0.0.0.0 0.0.0.0 Dialer1 复制代码

  1. 在FW_B上配置IPSec策略,并在接口上应用IPSec策略。

    1. 定义被保护的数据流。
    2. [FW_B] acl 3000 [FW_B-acl-adv-3000] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.0.0 0.0.255.255 [FW_B-acl-adv-3000] quit 复制代码
    3. 配置名称为tran1的IPSec安全提议。采用默认参数。
    4. [FW_B] ipsec proposal tran1 [FW_B-ipsec-proposal-tran1] esp authentication-algorithm sha2- 256 [FW_B-ipsec-proposal-tran1] esp encryption-algorithm aes- 256 [FW_B-ipsec-proposal-tran1] quit 复制代码
    5. 配置序号为10的IKE安全提议。采用默认参数。
    6. [FW_B] ike proposal 10 [FW_B-ike-proposal-10] authentication-method pre-share [FW_B-ike-proposal-10] prf hmac-sha2- 256 [FW_B-ike-proposal-10] encryption-algorithm aes- 256 [FW_B-ike-proposal-10] dh group2 [FW_B-ike-proposal-10] integrity-algorithm hmac-sha2- 256 [FW_B-ike-proposal-10] quit 复制代码
    7. 配置IKE Peer。
    8. [FW_B] ike peer a [FW_B-ike-peer-a] ike-proposal 10 [FW_B-ike-peer-a] remote-domain www. abcd .3322 . org [FW_B-ike-peer-a] pre-shared-key Test ! 1234 [FW_B-ike-peer-a] quit 复制代码
    9. 配置名称为map1序号为10的IPSec策略。
    10. [FW_B] ipsec policy map1 10 isakmp [FW_B-ipsec-policy-isakmp-map1-10] security acl 3000 [FW_B-ipsec-policy-isakmp-map1-10] proposal tran1 [FW_B-ipsec-policy-isakmp-map1-10] ike-peer a [FW_B-ipsec-policy-isakmp-map1-10] quit 复制代码
    11. 在Dialer 1接口上应用IPSec策略map1。
    12. [FW_B] interface Dialer 1 [FW_B-Dialer1] ipsec policy map1 [FW_B-Dialer1] quit 复制代码
  1. 在FW_B上配置DNS。
[FW_B] ip host dns_ipsec 3.3.3.3 复制代码
  1. 配置FW_C。

请参见FW_B的配置。

原文链接:https://blog.csdn.net/guolianggsta/article/details/127214748?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522168449620216800188544320%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=168449620216800188544320&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~times_rank-19-127214748-null-null.blog_rank_default&utm_term=NAS%E3%80%81%E7%BE%A4%E6%99%96%E3%80%81%E9%98%BF%E9%87%8C%E4%BA%91%E3%80%81%E5%9F%9F%E5%90%8D%E8%A7%A3%E6%9E%90%E3%80%81%E5%86%85%E7%BD%91%E7%A9%BF%E9%80%8F%E3%80%81ipv6%E3%80%81ddns%E3%80%81%E8%BD%BB%E9%87%8F%E7%BA%A7%E4%BA%91%E6%9C%8D%E5%8A%A1%E5%99%A8%E3%80%81%E9%93%81%E5%A8%81%E9%A9%AC%E3%80%81%E5%A8%81%E8%81%94%E9%80%9A%E3%80%81DSM%E3%80%81DSM6.0%E3%80%81%E7%BE%A4%E6%99%96nas%E3%80%81%E4%BA%91%E6%9C%8D%E5%8A%A1%E5%99%A8%E3%80%81%E8%9C%97%E7%89%9B%E6%98%9F%E9%99%85%E3%80%81%E9%BB%91%E7%BE%A4%E6%99%96%E3%80%81docker%E3%80%81%E5%AE%B9%E5%99%A8%E9%95%9C%E5%83%8F%E3%80%81%E5%9F%9F%E5%90%8D%E6%B3%A8%E5%86%8C%E3%80%81%E5%AE%9D%E5%A1%94%E3%80%81%E5%8F%8D%E5%90%91%E4%BB%A3%E7%90%86%E3%80%81nginx%E3%80%81frp%E3%80%81%E5%8A%A8%E6%80%81%E5%9F%9F%E5%90%8D%E8%A7%A3%E6%9E%90

© 版权声明
声明📢本站内容均来自互联网,归原创作者所有,如有侵权必删除。 本站文章皆由CC-4.0协议发布,如无来源则为原创,转载请注明出处。
THE END
教程转载
# DDNS# ipsec# ensp# 安全策略
喜欢就支持一下吧
点赞0 分享
相关推荐
幻灯片-陌上烟雨遥
幻灯片-陌上烟雨遥
幻灯片-陌上烟雨遥
幻灯片-陌上烟雨遥
幻灯片-陌上烟雨遥
幻灯片-陌上烟雨遥
幻灯片-陌上烟雨遥
幻灯片-陌上烟雨遥
幻灯片-陌上烟雨遥
幻灯片-陌上烟雨遥

宝塔面板安装教程

阿里云ECS云服务器和轻量应用服务器哪个好?应该如何选择?

手把手教你 – ubuntu 22.04 + django4.0 + uwsgi + nginx 配置完整流程

宝塔面板怎么部署jar

外景地选在我省横道河子镇 环保主题电影《致命复活》敲响气候危机警钟

Let’sEncrypt免费SSL证书快速申请使用教程

申请公网ip后,配置光猫,路由器使用公网ip步骤

DOCKER 部署NGINX容器,配置域名,配置负载均衡

ubuntu部署云服务器,云服务器安装ubuntu

HTTPS基本原理和配置

mysql放在nas_NAS远程连接mysql数据库解决方法

UNRAID docker 太好用了,安装新版 EMBY 开始管理媒体库吧

黑群晖用SSD做引导盘及修改SN、MAC的方法(蜗牛星际/暴风播酷云等机器适用)

高性能移动固态硬盘巅峰对决:三星和西数之间应该如何选?

请问下群辉和威联通的使用体验差别有多大?

群晖设置第三方套件以及安装Transmission

简单易用,性能卓越–铁威马NAS体验记

黑群晖nas入门(黑群晖Nas的一些入门知识)

关于NAS网络存储器常用功能的详细介绍

NAS年度指南丨家庭影音库搭建:种子、下载、观看,一文打尽!

Openwrt 作为旁路网关(不是旁路由!!)正确配置方法,性能测试 —— 破解迷思

群晖安装OpenWrt(iStoreOS)构建旁路由配置

群晖套件推荐哪些(2023年9款群晖套件推荐)

套件开发 群晖nas_群晖NAS套件中心无法打开,以及quickconnect远程访问无法登录的解决办法…

群晖docker必装软件(群晖docker使用教程)

群晖虚拟机VMM装OpenWrt软路由宽带跑不满的一些坑

它来了它来了,群晖NAS外网远程访问设置教程终于来了

NAS | 群晖安装 qBittorrent 套件并优化设置、替换 UI(非 docker 安装) | 醉渔小站

群晖NAS搭建WebDav服务,并内网穿透实现远程访问

群晖NAS新手必备的6款套件,个个都很实用

三星、台积电都被美国人控股?任正非:华为就是要九死一生

联发科x30处理器相当于骁龙多少

天玑92000相当于骁龙多少处理器(天玑920780g)

骁龙8+处理器怎么样 骁龙8+相当于天玑多少

openwrt系统下修改网关_「超详细教程」在群晖安装openwrt软路由

a16相当于骁龙多少:性能与骁龙系列对比,揭示其真实水平!

12代cpu性能天梯图

硬实力,真功夫——Redmi K60 至尊版评测报告

梅林、爱快、老毛子,群晖、威联通、Openwrt,26元/年的 内网穿透 要不要?

小米MIX Fold 3保外维修费出炉:换屏要3650元 够买台K60至尊版

好物优选
绿联(UGREEN) 私有云DXP4800 Plus四盘位NAS网络存储 个人云硬盘家庭服务器 AI相册 万兆网口 适用iPhone15-陌上烟雨遥

绿联(UGREEN) 私有云DXP4800 Plus四盘位NAS网络存储 个人云硬盘家庭服务器 AI相册 万兆网口 适用iPhone15

好物优选# nas# 网络存储# 绿联
admin的头像-陌上烟雨遥钻石会员2个月前
656
闪迪(SanDisk)256GB USB3.2 U盘 CZ74 读速高达400MB/s 金属高速u盘 安全加密 学习办公投标大容量优盘-陌上烟雨遥

闪迪(SanDisk)256GB USB3.2 U盘 CZ74 读速高达400MB/s 金属高速u盘 安全加密 学习办公投标大容量优盘

好物优选# u盘# sandisk# 闪迪
admin的头像-陌上烟雨遥钻石会员2个月前
436
换新网络后,群辉NAS如何手动更换为新静态IP-陌上烟雨遥
2217人已阅读
换新网络后,群辉NAS如何手动更换为新静态IP
TOP1
Openwrt 作为旁路网关(不是旁路由!!)正确配置方法,性能测试 —— 破解迷思-陌上烟雨遥
Openwrt 作为旁路网关(不是旁路由!!)正确配置方法,性能测试 —— 破解迷思
1年前1989人已阅读
TOP2
移动宽带配置IPV6环境,通过外网访问群晖NAS-陌上烟雨遥
移动宽带配置IPV6环境,通过外网访问群晖NAS
1年前1817人已阅读
TOP3
如何查看群晖套件的安装目录及套件位置-陌上烟雨遥
如何查看群晖套件的安装目录及套件位置
1年前1742人已阅读
TOP4
黑群晖菜鸟安装教程(一)制作U盘引导及软洗白!-陌上烟雨遥
黑群晖菜鸟安装教程(一)制作U盘引导及软洗白!
1年前1671人已阅读
TOP5
群晖安装OpenWrt(iStoreOS)构建旁路由配置-陌上烟雨遥
群晖安装OpenWrt(iStoreOS)构建旁路由配置
1年前1652人已阅读
TOP6
群晖NAS搭建DDNS服务操作和步骤(使用dnspod域名解析)-陌上烟雨遥
群晖NAS搭建DDNS服务操作和步骤(使用dnspod域名解析)
1年前1553人已阅读
TOP7
iStoreOS 使用 阿里云 ddns + https-陌上烟雨遥
iStoreOS 使用 阿里云 ddns + https
1年前1462人已阅读
TOP8
群晖套件推荐哪些(2023年9款群晖套件推荐)-陌上烟雨遥
群晖套件推荐哪些(2023年9款群晖套件推荐)
1年前1445人已阅读
TOP9
【保姆教程】115网盘终于支持群晖nas啦!手把手教你群晖NAS-docker安装115网盘!-陌上烟雨遥
【保姆教程】115网盘终于支持群晖nas啦!手把手教你群晖NAS-docker安装115网盘!
1年前1442人已阅读
TOP10
热搜标签
nas群晖dockerwordpress软件DDNS路由硬盘存储硬盘httpsdocker命令域名frpmysql电脑硬盘seo电脑nas存储frp内网穿透域名服务器固态硬盘镜像nas服务器阿里linux系统域名解析网站服务器OpenWrtlinux服务器虚拟机
文章分类
陌上云铁威马路由器读书笔记群晖绿联ugnas极空间新随笔数码资讯教程转载教程学习技术经验心情随笔宝塔威联通好物优选域名优质教程产品推荐云计算