华为Eudemon 系列防火墙用服培训胶片-案例分析.ppt

Eudemon系列防火墙用服培训,案例分析,案例光模块功率不匹配导致业务不通,组网方案：,其中E1000为新增设备，E1000工作在混合模式，双GE口分别连接铁通国干AR和天津铁通城域网骨干P320，另外主控板上一个FE口上联到城域网，配置IP地址作为网管使用，E1000配置。,光模块信息表：,案例P2P限流导致DNS误识别,问题描述：,2005年9月26日星期一晚上10点左右，桂林铁通的李工打电话反映Eudemon500防火墙在升级到eu500-vrp3.30-0332.09(08)版本后，有网吧用户报告有时访问WEB网站时通时不通，而在升级版本之前没有此现象。,问题分析：,但经过后续的反复分析，发现有些应该是DNS报文的端口号为53的UDP报文被Eudemon500防火墙识别为P2P报文。由于Eudemon500防火墙对P2P报文作了限流所以可能导致丢包，由此影响到DNS的查询过程，所以导致有些网站无法访问。,问题解决：,通过配置访问控制列表的方式将端口号为53的UDP报文从P2P的识别过程中排除，之后对用户回访得知对网站的访问恢复正常，因此可以断定之前的问题就是由于某些DNS报文被误识别造成的，更改Eudemon500的数据配置后恢复正常。,P2P限流注意事项,限流割接前需要关注的问题流量、网络位置（来回路径是否一致）、是否存在VLAN透传、如果有MPLS报文，路由协议报文穿越，必须配置透明模式；光模块是否匹配（模式、波长和光功率等）。割接时，先不加载限流策略，防火墙采用基本配置，先让业务正常运行。将P2P带宽设置到最大值，进行P2P检测。如果使用单机测试的时候，BTcommit软件最新版本缺省的是自动加密功能，需要关闭，这样限流才会准确。,案例H323信令报文分片导致业务单通,组网方案：,5336softx3000-Eudemon200-cisco交换机-1010-8220|-9408-822006,Eudemon200的配置：1）配置了地址转换，地址池：12-2906通过防火墙Eudemon200后，地址被转换为14。36通过防火墙Eudemon200后，地址被转换为16。防火墙的h323的Alg功能是将私网8220发送的RAS、H225和H245等信令报文中携带的私网地址和端口转换为公网地址和端口；将软交换发给8220的RAS、H225和H245等信令报文中携带的公网地址和公网端口转换为私网网地址和私网端口。softx3000Eudemon200-携带私网地址和端口信令报文-8220对于softx3000来说，应该看不到8220的私网地址和私网端口，只能看到14和16两个公网终端地址。,案例Eudemon500透明模式学MAC问题,组网方案：,trustuntrustNGN网设备2403交换机Eu500（透明模式）Cisco7206网管服务器（UMG、NE40等）,透明模式，基本包过滤。NGN网设备和E500的管理网口（vlan1000）都在同一个网段。,案例DBA逻辑问题导致接口CRC错误,问题描述：,防火墙的E1000在浙江铁通安装调试，发现1GE卡在1槽位是，连接的对端会收到CRC错包，随时间缓慢增长。其他槽位正常。,问题分析：,问题解决：,对返回件进行分析，经过配置防火墙后测试FLASH内部版本Version3.30RELEASE0320.01(08)发现逻辑的DBA为006,SSC为008。属于早期版本，在测试中会出现时序紧张。,更新防火墙版本为Version3.30RELEASE0336.01(08)其逻辑版本DBA为010，SSC为011版本。,案例Eudemon1000防火墙双机热备问题,组网方案：,案例长连接问题1,组网方案：,案例长连接问题2,组网方案：,故障分析：,长连接问题,长连接问题长连接问题是和状态防火墙设备以及Nat设备紧密相关的一个问题，因为这些设备会对每一个会话建立会话表项，为了合理的利用资源这些会话表项都会存在老化时间，如果在一段时间内没有报文通过则会将该资源释放掉，即删除会话表项；因此如果有某个应用需要长时间保持连接而且没有keepalive报文的话就会导致应用问题，其后续报文会因为没有表项而无法通过防火墙或Nat设备，这就是所谓的长连接问题；解决长连接问题基本上有以下三种方案：对于特定会话延长老化时间，这些会话通过ACL控制，该方案需要仔细配置ACL否则会因为长连接会话过多而耗尽会话表资源；后续报文创建会话表，这会导致安全性问题和Nat问题，不可取；中间设备探测会话表的存活性，来决定是否释放会话表资源，该方案也需要和ACL配合，而且实现很复杂，其对系统性能的消耗较大；目前防火墙上采用的是第一种方案,长连接的配置实例,配置要求：服务器和客户机分别位于防火墙Trust区域和Untrust区域中，PC机作为网管设备需要保持到服务器的长连接,配置步骤：#1、配置长连接所需要的ACL，注范围越小越好EudemonACL3000Eudemonrulepermitipsource-address0destination-address0#2、系统视图下配置长连接老化时间Eudemonfirewalllong-linkaging-time2000#3、在域间配置长连接规则？EudemonfirewallinterzonetrustuntrustEudemon-interzone-trust-untrustfirewalllong-link3000outbound注：长连接老化时间单位是分钟；,案例访问某些FTP服务器不通问题,组网方案：,PC-FLEX24-核心交换机EUDEMON500-NE20-网通公司外线,问题描述：,PC通过Eudemon500作NAT，访问公网的两个ftp服务器，防火墙配置了detectftp功能。访问一台ftp服务器没有问题，访问另外一台ftp服务器则不能成功。,问题分析：,鉴于这种情况，在实验室的外部环境中，搭建了测试环境，用PC访问这两个ftp服务器，发现现象确实如此。后来经过抓包分析，原来不通的ftp服务器所回的ftp命令消息，不是通常的结构。所以防火墙解码解不出来，也就处理不了。,问题解决：,防火墙发布了软件补丁，修改了解码部分。能够正常访问ftp服务器。这类问题，可以通过尝试，或抓包进行分析，问题出现在那个地方。,案例2GE丢包,问题描述：,两条GE链路都有错包。防火墙的入方向有，但两端GSR没有。而且第二条链路比较多。从1：00-13：48,已经6万多个。两端GSR都是用的非自协商。Eu1000也是强制全双工。,问题分析：,问题解决：,由于2GE流量汇聚到只能通过1GE流量的DMU端口，2个GE端口瞬间流量都是以1G的速率进来的，这样DBA逻辑的片内FIFO缓存不够的时候必然出现丢包。physicalerrors正是记录这种丢包的情况。如果这样，基本确认是正常现象。,使用1GE代替2GE,组网方案：,案例Eudemon500接口出现不停UP/DOWN,问题描述：,防火墙运行一段时间后，某一个接口出现不停的UP/DOWN现象。,问题分析：,这种问题可以通过更换槽位来判断是否与板卡有关。更换槽位后，如果故障现象消除，则应该与槽位选择性有关。也就是板卡插在某些槽位上会引起硬件逻辑的问题，导致UP/DOWN现象。可以暂时考虑更换板卡槽位，一般建议插在2槽位上。,问题解决：,防火墙会在2月份解决硬件逻辑的问题。彻底根除该问题。以太接口UP/DOWN现象还有一个可能就是相连接的两个设备的接地不是一样的。,案例Eudemon200透明模式转发问题,组网方案：,问题描述：,问题分析解决：,案例IP-SPOOFING防范引起的业务不通,组网方案：,防火墙配置：,防火墙重启或死机后的信息收集,#收集诊断信息命令Eudemondisplaydiagnostic-information#收集有异常信息Eudemon-hidecmddisplayexception10verbosehistory#收集死循环信息Eudemon-hidecmddisplaydeadloop10history#查看系统启动方式信息Eudemondisplaystartup-type#收集NP异常死机诊断信息命令EudemonEFUEudemon-efunpsdisplaynp-exception,配置故障问题定位一般步骤,在防火墙上，检查是否是因为配置导致的问题一般按照下面的次序排查配置错误：检查防火墙的接口是否加入到域中，对于自定义的域是否配置了优先级（因为没有配置优先级的域是不能工作的）；检查域间的规则配置是否正确，检查Acl配置是否正确；检查路由是否存在报文转发的路由信息，或防火墙上、下行设备的路由是否设置正确；检查Nat的配置是否正确；一般在配置正确后割接到现网后出现不通的情况是因为上、下行设备的ARP表项还是记录旧设备的ARP导致的，此时需要注意清除上、下行设备的ARP表项,防火墙割接后不转发问题定位步骤,用displayinterface检查接口收发报文是否正常，是否有大量的错误报文出现；检查接口的协商模式是否一致，对于GE光口检查双方是否配置了流控协商（flow-control），并检查光模块和光纤是否对应，长距离光模块需要长距离光纤，以及单模双模是否匹配等检查防火墙配置是否正确，接口是否配置了地址，接口是否加入域，域上是否配置了优先级，是否配置了域间规则等配置问题检查路由是否正确等网络问题检查防火墙以及上下行设备的arp表项是否正确；检查通过防火墙的路径一致性，对于同一个流其上下行是否都通过防火墙,防火墙运行时流量停止或剧减定位步骤,检查防火墙接口状态是否正常；检查防火墙和相关设备路由表，ARP表是否正确，链路状态的正确性；检查防火墙上会话表资源是否已经满了，防火墙转发报文需要会话表，如果会话表满则会因为不能建立会话而不能转发报文检查防火墙是否存在来回路径不一致问题；检查是否有防火墙不支持的协议报文；检查是否有网关设备或DNSServer被加入防火墙的黑名单（请参考黑名单一节）；检查是否打开了不必要的ALG，而相关端口的报文特别多，导致协议解析阻塞；,防火墙性能测试注意事项,1、用SmartBits进行转发性能测试时发现性能低下：这是SmartBits上配置有问题导致的，因为因为状态防火墙需要建立会话表，如果SmartBits发的RawIp报文的话会因为无法建立会话表而需要每包走首包流程导致急剧消耗防火墙的性能，在SmartBits测试转发性能时需要采用UDP报文,Aspf/Nat问题,某中间的Nat设备不支持NatALG会导致应用问题H.323的NAT相关ACL配置不合理导致应用异常因为H.323的组网复杂，GK的位置对防火墙是未知的，因此H.323中报文，IP地址是否需要进行Nat转换有ACL进行控制，如果ACL配置不合理会导致不必要的Nat转换导致H.323不能正常进行IP电话呼叫，SIP协议也存在同样的问题目前防火墙上ASPFALG和NatAlg都由CPU处理，如果相关的配置不合理会导致需要处理的ALG报文过多，导致ASPF/NATalg阻塞导致应用异常，目前在NGN的网络中都不能打开和IPPhone相关的ALG,攻击防范功能而引发的意外问题,开启teardrop检查导致某些情况下访问网页异常部分数通设备会不管IP报文的DontFragment标志而强制分片会被防火墙认为是攻击而导致应用异常；开启icmp不可达/icmp重定向攻击防范而导致某些应用异常对于MTU的ICMP不可达报文被过滤掉的话会导致应用因为不能更新MTU，发出去的报文MTU过大而不能到达对方，从而导致应用异常开启ipsmurf攻击防范功能而导致某些应用异常在存在广播和组播业务的场所，不能打开ipsmurf攻击防范功能，否则报文无法透过防火墙开启ipspoofing攻击防范功能，如果配置有策略路由，可能会导致，走策略路由的报文，回来的时候被误判断为攻击报文，而丢弃，注意Eudemon200和Eudemon500/1000区别。,因启用黑名单功能引发的意外问题,DNS服务器被误加入黑名单在使能扫描防范后，因DNSServer的行为模式和扫描匹配导致DNSServer被加入黑名单导致网络服务中断客户误操作被加入黑名单导致无法网络中断用户登陆到出口路由器后，从路由器上试图登陆防火墙，结果因三次输入密码失败而被加入黑名单，导致全网OSPF中断客户计算机被反复加入黑名单不能上网客户的计算机因中了病毒，病毒爆发后其加入黑名单导致用户无法上网进行修复小节：从上述案例看，目前黑名单功能因为其阻断过于严格而需要慎用，目前防火墙的黑名单功能可以只对特定报文过滤，或者不过滤只是记录流量异常的主机,双机热备的配置注意点,双机热备组网中如果配置NATaddress或NATServer时，必须在NATaddress和NATServer后添加出接口的VRRPID号；双机热备中能够备份的session。Eudemon200和Eudemon500/1000的区别。执行displayvrrp-groupverbose，可以显示VRRP管理组的状态。执行displayHRPverbose可以显示HRP的状态。执行displayVRRPverbose可以显示VRRP备份组的状态。Debugginghrpstation可以查看hrp状态变化的debug信息。Debuggingvrrp-groupstation可以查看VGMP状态变化的debug信息。Debuggingvrrpstation可以查看VRRP状态变化的debug信息。Debugginghrppack可以查看HRP协议进行备份的debug信息。Debuggingvrrp-grouppack可以查看VGMP的状态协商报文的debug信息。,双机热备的备份命令,双机热备配置检查,双机热备的注意点,对于双机热备目前只支持两台设置进行备份，不支持多台设备进行备份。但对于只使用VRRP的组网可以支持多台设备进行冗余备份；由于双机热备中具有备份机制可以备份动态信息和命令，因此要求进行双机热备的两台设备板卡的位置，以及接口卡的类型都要求相同，否则会出现主防火墙备份过去的信息，与从防火墙根本就无法进行搭配使用，如出现主备状态切换就会导致业务出问题。进行双机热备的两台防火墙中的配置文件最好为初始配置或保证两台设备配置相同，以免由于先前的配置而导致业务问题。备防火墙只能备份配置，不会进行删除操作，发现有冲突时保留原有的配置。注意虚拟IP可以和接口地址同网段也可以和接口地址不同网段都可以。,双机热备的问题定位,因为交换机不支持免费arp导致的问题与防火墙直接相连的接口需要将STP去使能。因为来回路径不一致导致的问题双机热备下Nat的配置问题导致的问题双机热备下VGMP优先级配置错误导致的问题当防火墙不配置VGMP的优先级时，默认优先级为100。当配置优先级应注意VGMP优先级的递减算法：递减后的优先级优先级优先级/16，当主防火墙出故障时，递减后的优先级应比slave防火墙的优先级低，才可进行主备状态切换，否则出故障的防火墙仍然为主状态，从而导致业务会中断。一般参考主防火墙为105，备防火墙采用缺省的100。双机热备下抢占的注意事项在防火墙上执行displayvrrpgroupverbose，查看VGMP的状态是否正确，接口下的vrrp是否已经up，如果是down状态说明接口协议层有问题，检查接口；如果两台防火墙接口都是peerdown状态，说明VRRP的协商报文没有联通，查看两台防火墙的vrrp虚拟ip是否相同等，保证两台防火墙对应VRRP组里的接口能够相互ping通。,ACL的应用,E1000的ACL分基本ACL（20002999)、高级ACL（30003999）、防火墙ACL（50005499），E1000受NP的限制，acl的匹配方式与cpu的不一样，如果是同一个域间的acl并且是同一个业务动作，acl的匹配优先级为：1）50005499的优先级最高，30003999的次之，20002999的最低2）如果是同一个级别的ACL组，组号小的比组号大的优先级要高3）如果是同一个组的不同rule，rule号小的比rule号大的优先级要高4）除非必要在ACL组中不要最后配置ruledenyip。,ARP地址解析而导致的问题,因为ARP攻击导致的部分用户不能正常上网可以通过查看ARP表项看到大量表项。解决办法：配置IPMAC地址绑定；配置较少的网段，节省ARP表项资源；部分交换机对免费arp报文的处理有问题导致的网络中断部分三层交换机设备不支持免费ARP处理，导致防火墙主备切换的时候网络中断，解决办法是更换设备上行设备发送的arp报文错误导致的网络中断，这在和Juniper对接的时候碰到过，其在配置了多个地址的接口上发送的ARP报文为错误报文，源地址为非本网段地址，新版本防火墙支持对该报文的特殊处理；下行设备采用组播MAC地址作为ARP解析地址导致防火墙不能正常学习ARP表项，解决方案：在防火墙的接口模式下配置使能组播MAC地址学习的命令：Eudemon-Ethernet4/0/0arpmulti-mac-permit,Eudemon200透明模式,Eudemon200透明模式：透传带某一标签VLAN报文，只能通过子接口绑定VLAN的方式实现。直接在子接口指定VLANinterfaceEthernet0/0/0.1vlan-typedot1q2主接口配置porttrunkvlanallow-passall，透传所有带VLAN标签报文。当主接口配置VLANtrunk功能时，若带VLAN标签的报文从主接口进行转发。在查MAC地址表是基于MAC地址+VLAN的，这样不能查到主接口下的表项，一直是Flood方式转发，严重影响性能。（MAC表是全局的，子接口学习会带VLANID，主接口学习的不会有VLANID）。主接口配置trunkall，子接口配置透传某个VLAN时，报文会先从子接口匹配，然后到主接口。主接口配置trunkall，带或不带VLAN标签的报文，都可以从主接口转发。主接口没有配置trunkall，带VLAN标签报文不会通过，不带VLAN标签报文可以通过。透明模式下子接口也能配置多个VLAN，并且只有最小的一个生效。子接口可以配porttrunkvlanallow-passall，但是不生效。常用透明模式的几条显示命令：displayfirewalltransparent-modeaddress-table显示MAC转发表displayfirewalltransparent-modeconfig显示当前透明模式配置displayfirewalltransparent-modetraffic显示当前传输数据量displayfirewalltransparent-modetrunk-port显示当前配置的trunk口,Eudemon500/Eudemon1000透明模式,Eudemon500/1000透明模式：实现机制类似三层交换机接口和VLAN绑定，需要配置VLAN才生效。接口可以同时支持access和trunck两种方式，（版本有区别）。可以配置VLAN接口，不用加入域中，就能起作用。常用透明模式的几条显示命令：displayfirewalltransparent-modeaddress-table显示MAC转发表,E1000配置No-Pat方式Nat时的问题,因为NP和CP分配端口的算法不一致导致No-Pat方式下Alg的处理会存在问题解决方案:在E1000、E500配置Nat的时候不要配置No-Pat方式,Eudemon500/1000配置Nat时需要注意的问题,配置NATSERVER的时候，域间必须配置NATOUTBOUND。NATSERVER就会生效。可以不用匹配NATOUTBOUND的ACL。配置NATSERVER的时候，GLOBAL地址可以和公网接口地址相同，也可以和公网的虚地址相同。在D036SP02版本后，可以支持多个公网地址对应一个私网的功能：natserverglobal0insideno-reversenatserverglobal0insideno-reverse,路由模式下,内网用户可否通过Nat的Global地址访问另一内网用户,如上图，PC1（）和Servcer()位于同一网段，在防火墙上为Server指定一个公网地址()：natserverglobalinside在同一个私网，某台主机想通过公网地址访问另外一台主机Eudemon是不能支持的。PC1pingServer的公网地址()，ping报文到达防火墙后，会查到ServerMap表，把公网地址转换为Server的私网地址()。查路由后，入和出接口是同一个接口，即同一个域转发。建立一个会话-由于是同一个域转发，SESSION表中没有对应的NAT转换标识。Server回来pingreplay时，由于和在同一个网段，它直接回到PC1，不再经过防火墙，回到PC1时，源地址是,而不是.PC1认为是非法的。我们目前的规格没有办法支持这种应用。目前也没有那家Nat设备支持这种应用处理意见：在防火墙上配置DNS的NatAlg；在处理上PC1指定域名的方式，这样如果DNSServer在外网并返回公网地址的话经过防火墙后就会被转换成私网地址。就不会存在该问题了，如果非要用地址的话是无法解决的,L2TPFAQ及故障排除不能正常建立隧道,1）对于防火墙设备首先要检查的是否将虚模板加入域，是否配置了相关域到local域的域间规则；2）LAC端与LNS端相连的接口没有UP，这种情况是经常出现的，所以在配之前首先在LAC端Ping一下对端，看是否能Ping通。3）LAC端或LNS端没有配vpdnenable4）用户没有通过LAC端的验证，造成这种情况出现可能有：LAC与用户的接口就没有配PPP验证；用户送的验证方式与接口上配的不相同；LAC端没有配相应的用户，或配置的密码与用户送的不符5）VPDN组里的配置错误排除：LAC端：首先看LNS端地址是否配对。如果采用全用户名方式接入，看一下中的用户名是否与用户端的一致；如果采用域名方式接入，要看一下是否配置域分隔符并且是否与用户端配的一致；LNS端：主要看虚模板的remotename中的对端名与LAC端的配的Localname是否一致。两端：看一下两端是否有一端配置了隧道验证，而另一端没有配，如果两端都配验证，请确保两端的隧道密码一致，或者两端都不配验证，为了安全，建议配上验证。6）在Quidway系列路由器与Cisco路由器之间不通：分为两种情况：Cisco做LAC1.如果是路由器做为用户，首先检查用户与Cisco的接口封装PPP并配好地址后，两端是否能够UP，如果不能，其中一端必须配波特率，一般是Cisco这端。2.Cisco不支持全用名接入，所以如果用域名接入的话必须配置域分隔符相关命令，也必须配置Vpdnenable,Cisco在做LAC时不验证，可以不配用户名，但必须在与用户的接口上配PPP验证，以发起L2TP隧道连接。3.Cisco支持多种二层隧道协议，所以进行VPDN组模式后，再进行入request-dialin模式，一定要配protocoll2tp。其它故障同（1）VPDN组故障排除方法相同，只是Cisco有的命令与我们的不同。Cisco做LNS基本和(1)的方法相同，唯一不同的就是Cisco端隧道协议必须为L2TP，在VPDN组模式下的accept-dialin模式下配置,L2TPFAQ及故障排除不能正常建立会话,在两台路由器（此处不分Quidway系列之间还是Quidway与Cisco之间，因为原因是相同的）之间不能建立会话，可能是以下几种原因造成的用户没有通过LNS端的验证，可能有以下几种原因在LNS端的VT上配置了验证，但没有配用户（本地或Radius）LAC端采用PAP验证，但在LNS端的VT上配置的是CHAP验证，并且在VPDN组里配置了LCP重协商，而用户端又没有送CHAP验证的信息。LAC端采用PAP验证，在LNS端配置了强制本地CHAP验证，用户端又没有送CHAP验证的信息。用户端配置了IP地址重协商，PC机的话就是从LNS端获取地址，但LNS端的VT上没有配置指定对端地址的命令。LNS端指定地址池没有足够的地址给用户端分配如果是路由器做用户，用户端没有指定地址，但也没有配IP地址重协商的命令在LNS端又配置了一个VPDN组，里边配了requestdialinl2tpiplnsaddressfullusernameordomainname，其中fullusernameordomain后跟的name与LAC端配置的相同，这种情况就相当于目前充当LNS的路由器又充当了LAC，它又会发新的L2TP隧道连接，但新的LNS端不通，尤其是新的LNS不能指回到原来的LAC，这样就更不行了，这种情况在实验室配置时会经常出现，请大家注意。?请确认是否需要打开域间规则,L2TPFAQ及故障排除其他问题,1)会话数不能达到最多的问题：可能是地址池地址没有足够的地址分给用户。解决办法就是增加地址池中的地址。另外L2TP的会话结构是占用内存比较大的，所以达不到最大数，可能是内存不够所致。解决办法就是增加内存。2)VPDN用户不能访问企业网内部在VPDN用户与LNS之间建立了会话后，就相当于是VPDN用户与LNS之间直连了，这样在用户端和LNS端都会新增一条路由，如果VPDN用户不能访访问企业网内部服务器，应该是用户端没有增加到企业网内部网段的路由（如果LNS端分给用户的地址与企业网内部不是一个网段的话）或者是LNS端没有增加相应的路由信息。,L2TPFAQ及故障排除基本步骤,1.首先检查防火墙设备上虚模板是否加入域，对应的接口是否加入域；2.检查相关虚模板的域以及对应接口域的域间规则以及虚模板域到local域的域间规则，为保险起见请把虚模板和对应接口加入同一域；3.检查LAC端与LNS端是否连通。例如：从LAC端PingLNS端，如果没有响应，请检查物理或链路层协议是否配对，直到能够Ping通。4.检查用户是否通过LAC端的验证。打开AAA的Debug开关，看看是否验证成功；5.检查LAC端是否发起L2TP隧道连接打开L2TP的Debug开关，看是否有L2TPDebug信息出现，如果没有，请仔细检查LAC端关于L2TP的配置。6.检查LNS端是否接收L2TP隧道连接打开L2TP的Debug开关，看是否有L2TPDebug信息出现，如果没有，请仔细检查LNS端关于L2TP的配置。7.检查LNS端的路由，以保证VPDN用户能访问企业内部网,IPSEC故障,IPSEC在做NAT后无法成功建立IPSEC隧道来自网上问题。IPSEC无法协商成功容易配置错误。IPSEC关键配置分析。,L2TP的应用和配置典型VPDN方式,VPN用户通过PSTN或ISDN接入NAS（LAC），LAC向LNS发起L2TP隧道连接，在LAC与LNS之间建立L2TP隧道,注：L2TP的组网分路由器的配置和防火墙的配置，因为两者配置是不同的，原路由器的配置请参考每页注释，本文着重介绍防火墙配置,L2TP的应用和配置典型VPDN方式LAC端配置,#使能防火墙的L2TP，并配置域分隔符l2tpenablel2tpdomainsuffix-separator#配置接口信息，以及虚模板信息，需要启动pppoe-serverinterfaceEthernet0/0/0pppoe-serverbindVirtual-Template0ipaddress39interfaceEthernet0/0/1ipaddressinterfaceVirtual-Template0pppauthentication-modepap#配置域信息，接口和虚模板加入域，并打开域间规则（注：此处打开默认域间规则，也可以通过ACL来控制域间规则）firewallzonetrustaddinterfaceEthernet0/0/1firewallzoneuntrustaddinterfaceEthernet0/0/0addinterfaceVirtual-Template0firewallpacket-filterdefaultpermitall#配置l2tp-group组信息，并指明用域模式启动l2tp，注：也可以用指定远端名称，不过两边需要匹配l2tp-group1undotunnelauthenticationtunnelnamelacstartl2tpipdomainv1#配置AAA属性，用户名密码，并创建v1的domain域aaalocal-userv1v1passwordsimplev1domainv1,L2TP的应用和配置典型VPDN方式LNS端配置,#使能L2tp并配置L2TP相关属性l2tpenablel2tpdomainsuffix-separator#配置各接口相关属性interfaceEthernet2/0/6ipaddressinterfaceEthernet2/0/7ipaddress39#配置虚模板信息，并指明相关分配的地址池interfaceVirtual-Template0pppauthentication-modepapipaddressremoteaddresspool10#配置域相关的信息，注意最好把L2TP接入的接口和虚模板放在同一个域firewallzonetrustaddinterfaceEthernet2/0/6addinterfaceVirtual-Template0firewallzoneDMZaddinterfaceEthernet2/0/7,L2TP的应用和配置典型VPDN方式LNS端配置（续）,#配置域间规则，为简便打开默认域间规则firewallpacket-filterdefaultpermitall#配置L2tpgroup相关信息l2tp-group1mandatory-chapundotunnelauthenticationmandatory-lcpallowl2tpvirtual-template0tunnelnamelns#配置用户认证相关信息，并配置用户地址池aaalocal-userv1v1passwordsimplev1domainv1bindingvirtual-template0ippool000,L2TP的应用和配置PC机直接接入LNS,有时VPN用户可以借助于L2TP的拔号软件直接从PC机上接入LNS端，在PC机与LNS端之间建立L2TP隧道,L2TP的应用和配置PC机直接的LNS相关配置,修改防火墙配置：E200-UPinterfaceVirtual-Template1E200-UP-Virtual-Template1pppauthentication-modechap在PC机上设置：拨号连接属性-安全措施-高级设置中选择“质询握手身份验证协议CHAP”。,L2TP的应用和配置L2TP-Over-IPsec,在此案例中，在LAC和LNC之间建立好IPsec隧道后，在其中跑L2TP报文，其中的L2TP隧道数据通过IPsec加密传输。构成安全的L2TP隧道。,L2TP的应用和配置L2TP-Over-IPsecLAC配置,#关键配置如下：#配置IPSec相关的流分类规则Eudemon-LACaclnum3000Eudemon-LAC-acl-adv-3000rulepermitipEudemon-LAC-acl-adv-3000rulepermiticmp#配置IPSec相关属性，需要两边一致，具体请参考IPSec的配置说明Eudemon-LACipsecproposaltran1Eudemon-LACipsecpolicymap1100manEudemon-LAC-ipsec-policy-manual-map1-100securityacl3000Eudemon-LAC-ipsec-policy-manual-map1-100proposaltran1Eudemon-LAC-ipsec-policy-manual-map1-100saspiinesp12345Eudemon-LAC-ipsec-policy-manual-map1-100saspioutesp54321Eudemon-LAC-ipsec-policy-manual-map1-100sastring-keyinesphuaweiEudemon-LAC-ipsec-policy-manual-map1-100sastring-keyoutespchina#配置IPSec的远端地址和本端地址Eudemon-LAC-ipsec-policy-manual-map1-100tunnelremoteEudemon-LAC-ipsec-policy-manual-map1-100tunnellocal#在需要发起L2TP连接的接口上使能IPSec策略Eudemon-LAC-Ethernet0/0/0ipsecpolicymap1,#配置IPSec所需要的流分类规则Eudemon-LNSaclnum3000Eudemon-LNS-acl-adv-3000rulepermitipEudemon-LNS-acl-adv-3000rulepermiticmp#配置IPSec相关属性Eudemon-LNSipsecproposaltran1Eudemon-LNSipsecpolicymap1100manEudemon-LNS-ipsec-policy-manual-map1-100securityacl3000Eudemon-LNS-ipsec-policy-manual-map1-100proposaltran1Eudemon-LNS-ipsec-policy-manual-map1-100saspiinesp54321Eudemon-LNS-ipsec-policy-manual-map1-100saspioutesp12345Eudemon-LNS-ipsec-policy-manual-map1-100sastring-keyinespchinaEudemon-LNS-ipsec-policy-manual-map1-100sastring-keyoutesphuawei#配置IPSec的远端地址和本端地址Eudemon-LNS-ipsec-policy-manual-map1-100tunnelremoteEudemon-LNS-ipsec-policy-manual-map1-100tunnellocal#在接入L2tp的接口上使能IPSec策略Eudemon-LNS-Ethernet0/0/0ipsecpolicymap1,L2TP的应用和配置L2TP-Over-IPsecLNS配置,IPSec的典型应用和配置,如图所示，PC1作EudemonA端的主机，server1作为EudemonB端的服务器；需要在两台防火墙之间启动IPSec，对防火墙之间的数据进行加密；E0/0/1E0/0/0E0/0/0E0/0/1PC1-Eudemon200A-Eudemon200B-server1TRUSTUNTRUSTTRUSTUNTRUSTPC1的IP地址：，网关是SERVER1的IP地址：10，网关是20Eudemon200A的Ethernet0/0/0口：Ethernet0/0/1口：Eudemon200B的Ethernet0/0/0口：Ethernet0/0/1口：20,IPSec的典型配置步骤,配置接口属性，并将接口加入域；配置接口域到local域的域间规则；配置访问控制列表：注：在上面的例子中配置中若安全提议的为为tunnel模式，则定义由子网172.16.x.x去子网10.110.88.x的数据流；若安全提议的为transport模式，则定义由子网192.168.1.x去子网192.168.1.x的数据流；创建安全提议，定义封装模式，加密策略；创建安全策略，通过ACL来分类需要加密的流，定义本端和远端地址，定义