攻城狮论坛-专题技术工程师培训上机指导书ipsec natl2ltp详解

（学员 ISSUE 适用范 适用产品描 图 IPSEC建立点到多点SA策略模板方 IPSEC的NAT穿越策略模板方 L2TPoverIPSEC组网 特性故障排 插图 图1-2USG2100后面 图1-3USG2200产品交流机型前面 图1-4USG2250产品直流机型前面 图1-5USG产品后面 图1-10USG5530S产品接口卡侧面板 图1-11USG5530S产品交流机型电源侧面板 图1-12USG5530/5550/5560产品接口卡侧面板 图1-13USG5550/5560直流机型电源侧面板 图1-14USG5530/5550/5560交流机型电源侧面板 图1-15USG9520直流机箱组成部件 图1-16USG9520交流机箱组成部件 错误！未定义书签图2-2设备上应用DHCPSnoo典型组网图 错误！未定义书签图3-1主备备份双机热备实验组网图 错误！未定义书签图3-2双机热备会话快速备份实验组网图 错误！未定义书签图3-3负载分担双机热备实验组网图 错误！未定义书签 错误！未定义书签图4-1虚拟配置实验图 错误！未定义书签图5-1点到多点SA策略模板实验组网图 图5-2NAT穿越实验组网图 图6-1基于IP地址的SYNFlood防范实验组网图 错误！未定义书签图6-2TCP反向源探测方式SYNFlood防范实验组网图 错误！未定义书签图6-3基于接口的ARPFlood防范实验组网图 错误！未定义书签图6-4地址扫描防范实验组网图 错误！未定义书签手册说USG2000产品描1.3G数据卡接 2.USB接 3.Flash卡接4.指示 5.系统复位如下图所示，USG2100后面板包括交流电源模块、MIC(Mi nterfaceCard)插并直接划到具体的区域里。LAN口为交换口，不能在接口上配置IP地址，需要先创建VLAN，然后在VLAN上配置VLANinterface，再把该VLAN划到图1-2USG21001.接地端2.安全锁3.4.WAN接5.LAN接6.Console7.MIC8.交流电源开9.交流电源接源开关和交流电源插孔；右侧包括的固定接口包括：1个Console接口、2个GECombo接口、2个USB2.0接口、1个闪存接口。1.USB2.0接2.GECombo接3.闪存接4.Console接7.交流电源开5.一键恢8.6.交流电源插1.USB2.0接2.GECombo接3.闪存接4.Console接7.直流电源开5.一键恢8.6.直流电源插USG2210、USG2220、USG2230、USG2250后面板布局相同，如下图所示，4MIC2FIC插槽。如果选用的插卡为交如果选用插卡的接口为路由口，则配置方式与USG3000/USG5000或者USG2100上的WAN口配置方式一致。图1-5USG1.MIC12.MIC23.MIC34.MIC47.槽位标5.FIC56.FIC6USG2200主板为0，其6个扩展插槽的槽位（1～6）采用先从左到右，再从下到上，先MIC槽位后FIC槽位的原则。接口为interface-typeX/0/Y，interface-type为接口类型（如Ethernet均为0。Y表示接口序号。5FE-SW电接口卡从左到右的Ethernet接口：Ethernet1/0/0、Ethernet1/0/1、Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4。2CE1接口卡从左到右接口为：controllere15/0/0、e15/0/1GECombo接口从左到右接口为：GigabitEthernet0/0/0、GigabitEthernet0/0/1。USG5100产品描2.复位3.Console接8.GECombo9.GECombo座1.MIC12.MIC2插3.MIC3插4.MIC4插10.8.FIC89.槽位标1.防尘 2.指示 3.系统复位4.Console接 5.闪存接 6.USB2.0接7.GECombo接口 8.GECombo接口 9.GECombo接口10.GECombo接口 11.风扇 12.ESD防静电插13.防尘挡

1.MIC12.MIC2插3.MIC3插4.MIC4插10.FIC10插11.9.FIC9USG5500产品描1.防静电手腕带插 2.系统复位 3.指示灯区4.Micro-SD卡插 5.FIC2插 6.管理7.光电互斥接口 10.Console接 11.USB2.0接

1.接地端2.电源指示4.5.电源接6.风扇USG5530/5550/5560由机箱、扩展接口卡组成。USG5530/5550/5560的机箱尺寸为19口卡扩展插槽。其中，6FIC4DFIC接口卡扩展插槽，2MIC接口卡扩展插槽可合并为1个DMIC接口卡扩展插槽。USG5530/5550/5560暂不支持MIC和DFIC接口卡。1.防静电手腕带插 2.系统复位 3.USB2.0接4.指示灯区 5.Console接 6.Micro-SD卡插7.管理 8.10/100/1000M自适应以太网电接 9.光电互斥接

MIC2/DMIC2插 12.MIC3插13.FIC9插 14.FIC7/DFIC7插 15.假面 17.FIC8插 18.FIC6/DFIC6插19.假面 21.接地端如下图所示，USG5530没有直流机型，只有交流机型；USG5550/5560具有直1.防尘2.电源开3.4.电源接7.5.电源风扇8.风扇6.电源指示USG9500产品描USG9000系列产品都采用机箱，可安装在N68E-22机柜或深度不小于800mmIEC（InternationalElectrotechnicalCommission）19英寸标准机柜中。USG9000产品外观如下图所示。图1-15USG95201.挂2.ESD防静电插3.LPU槽4.MPU槽5.走线6.进风7.风10.防尘8.直流电源模11.把9.保护接地端图1-16USG95201.挂2.3.交流电源模4.ESD防静电插5.LPU槽6.MPU槽7.走线8.进风9.风10.保护接地端11.防尘12.把图1-17USG95601.进风2.挂3.单板槽位4.ESD插5.走线6.把7.风8.电源滤波模9.保护接地端10.交流电源管理接11PEM模12.集中模1.进风2.单板槽位3.ESD插4.走线5.挂6.把7.风扇模8.电源滤波模9.PEM模10.交流电源管理接11.集中模12.保护接地端 高级技术实实验目IPSec点到多点SA组网设实验拓扑总部FWA为固定公网地址FWBFWCIP(IP模拟动IP,IPSEC的配置,现网可能是通过ADSLPPPOEIP)。分支机构PC2PC3PC1PC2PC3与PC1能够安全通信之后,PC2PC3能够通过FWA进行安全通信,FWA与FWBFWC之间使用IKE野蛮模式建立安全通道,FWBFWC不直接建立任何IPSEC连接。配置步IP（VLANIF三个的缺省路由下一跳皆分别指向这三个三层接口IP（VLANIF。##定义用于滤和加密的数据流,ACL3000定义到所有分支机构FWBFWC网段的数据流,Soure定义为总部，destination定义为各个分支的明细网段。[FWA-acl-adv-3000]rulepermitipsource10.0.0.00.0.0.255destination10.0.2.00.0.0.255#配置trust与untrust域间滤规则[FWA]firewallpacket-filterdefaultpermitinterzonetrustuntrust#配置untrust与local域间滤规则 .#tran1IPSec#配置安全协议。Esp为默认安全协议,可以不配置#Tunnel为默认封装类型,可以不配置#md5为默认ESP协议的认证算法,可以不配置#[FWA-IPSec-proposal-tran1]espencryption-algorithmdesdes为默认ESP协议的加密算法,可以不配置#[FWA-ike-proposal-10]authentication-methodpre-sharepre-shared-key验证方法为默认验证方法,可以不配置#配置使用SHA1验证算法。[FWA-ike-proposal-10]authentication-algorithmsha1Sha1为默认验证算法,可以不配置#[FWA-ike-proposal-10]saduration8640086400秒为默认AKMPSA的生存周期aIKEpeer[FWA]ikepeera#IKE安全提议#配置IKE的协商方式为野蛮模式。#配置验证字为“ #map1tmp[FWA]IPSecpolicy-templatemap1tmp10#ike-peera。#名为tran1的安全提议[FWA-IPSec-policy-templet-map1tmp-10]proposaltran1#组号为3000的ACL。[FWA-IPSec-policy-templet-map1tmp-10]securityacl3000#退回系统视图。#创建IPSEC安全策略map1#进入以太网接口视图。[FWAinterfaceEthernet1/0/0#IPSec策略。#[FWB]iproute-static0.0.0.00.0.0.0定义用于滤和加密的数据流,为了实现和总部及分支的通信,source定义为分支节点的明细网段,destination定义为总部和分支的所有网段. permitipsource10.0.1.00.0.0.255destination#配置trust与untrust域间滤规[FWB]firewallpacket-filterdefaultpermitinterzonetrustuntrust#配置untrust与local域间滤规则#tran1IPSec[FWB]IPSecproposaltran1#配置安全协议。[FWB-IPSec-proposal-tran1]transformespEsp为默认安全协议,可以不配置#[FWB-IPSec-proposal-tran1]encapsulation-modetunnelTunnel为默认封装类型,可以不配置#[FWB-IPSec-proposal-tran1]espauthentication-algorithmmd5md5为默认ESP协议的认证算法,可以不配置#[FWB-IPSec-proposal-tran1]espencryption-algorithmdesdes为默认ESP协议的加密算法,可以不配置# [FWB]ikeproposal#[FWB-ike-proposal-10]authentication-methodpre-sharepre-shared-key验证方法为默认验证方法,可以不配置#配置使用SHA1验证算法。[FWB-ike-proposal-10]authentication-algorithmsha1Sha1为默认验证算法,可以不配置#[FWB-ike-proposal-10]saduration8640086400秒为默认IAKMPSA的生存周期bIKEpeer[FWB]ikepeerb#IKE安全提议#[FWB-ike-peer-b]exchange-modeaggressive#配置隧道对端IP地址。[FWB-ike-peer-b]remote-address200.0.0.1#配置验证字为“ #[FWBIPSecpolicymap110isakmp#ike-peerb。[FWB-IPSec-policy-isakmp-map1-10]ike-peerb#名为tran1的安全提议。[FWB-IPSec-policy-isakmp-map1-10]proposaltran1#组号为3000的ACL。[FWB-IPSec-policy-isakmp-map1-10]securityacl3000#退回系统视图。#进入以太网接口视图。[FWBinterfaceEthernet1/0/0#IPSec策略。结果检[FWA]displayikeconnection-id 0180102902flag<FWB>displayikeconnection-id 12实验目组网设PC主机2台、USG5000系列3实验拓扑配置步#A、B、C之间需保证互通。B配置NAT后，需保证C能够在做地址转换后与A互通。B只需做普通NAT配置。##定义用于滤和加密的数据流,在模板方式下,总部只建立一个ACL,ACL的源可对于每一个分支机构,建议配置一个rule.[FWA-acl-adv-3000]rulepermitipsource10.0.0.00.0.0.255destination10.0.1.00.0.0.255#配置trust与untrust域间滤规则[FWA]firewallpacket-filterdefaultpermitinterzonetrustuntrust#配置untrust与local域间滤规则.AIPSec安全提议#配置IKE本地名称#tran1IPSec#配置安全协议。Esp为默认安全协议,可以不配置#Tunnel为默认封装类型,可以不配置#md5为默认ESP协议的认证算法,可以不配置#[FWA-IPSec-proposal-tran1]espencryption-algorithmdesdes为默认ESP协议的加密算法,可以不配置##[FWA-ike-proposal-10]authentication-methodpre-sharepre-shared-key验证方法为默认验证方法,可以不配置#配置使用SHA1验证算法。[FWA-ike-proposal-10]authentication-algorithmsha1Sha1为默认验证算法,可以不配置#[FWA-ike-proposal-10]saduration8640086400秒为默认AKMPSA的生存周期#aIKEpeer,模板方式下,peer[FWA]ikepeera#IKE安全提议#配置验证字为“ [FWA-ike-peer-a]pre-shared-key#配置ID类型为name方式#配置对端认证使用的name#配置IKE的协商方式为野蛮模式。#配置NAT穿越。#退回系统视图。#[FWAIPSecpolicy-templatemap1tmp10#ike-peera。[FWA-IPSec-policy-templet-map1tmp-10]ike-peera#名为tran1的安全提议。[FWA-IPSec-policy-templet-map1tmp-10]proposaltran1#组号为3000的ACL。[FWA-IPSec-policy-templet-map1tmp-10]securityacl3000#退回系统视图。#进入以太网接口视图。[FWAinterfaceEthernet1/0/0#IPSec策略。#[FWC]iproute-static0.0.0.00.0.0.0#定义用于滤和加密的数据流,分支ACL的源定义为分支明细网段,destination定义建议配置一个ACL即可. permitipsource10.0.1.00.0.0.255destination#配置trust与untrust域间滤规[FWC]firewallpacket-filterdefaultpermitinterzonetrustuntrust#配置untrust与local域间滤规则 .CIPSec安全提议#配置IKE本地名称#tran1IPSec[FWC]IPSecproposaltran1#配置安全协议。[FWC-IPSec-proposal-tran1]transformespEsp为默认安全协议,可以不配置#[FWC-IPSec-proposal-tran1]encapsulation-modetunnelTunnel为默认封装类型,可以不配置#[FWC-IPSec-proposal-tran1]espauthentication-algorithmmd5md5为默认ESP协议的认证算法,可以不配置#[FWC-IPSec-proposal-tran1]espencryption-algorithmdesdes为默认ESP协议的加密算法,可以不配置#[FWC]ikeproposal#[FWC-ike-proposal-10]authentication-methodpre-sharepre-shared-key验证方法为默认验证方法,可以不配置#配置使用SHA1验证算法。[FWC-ike-proposal-10]authentication-algorithmsha1Sha1为默认验证算法,可以不配置#[FWC-ike-proposal-10]saduration8640086400秒为默认ISAKMPSA的生存周期##cIKEpeer,一个分支节点只需要创建一个Peer[FWC]ikepeerc#IKE安全提议#配置隧道对端IP地址,此处为FWA[FWC-ike-peer-c]remote-address200.0.0.1#配置验证字为“ #配置ID类型为name方式[FWA-ike-peer-clocal-id-typename#配置对端认证使用的name#配置IKE的协商方式为野蛮模式。[FWC-ike-peer-cexchange-modeaggressive#配置NAT穿越。[FWC-ike-peer-cnattraversal#退回系统视图。12.C配置安全策[FWC]IPSecpolicymap110isakmp#ike-peerc[FWC-IPSec-policy-isakmp-map1-10]ike-peerc#名为tran1的安全提议。[FWC-IPSec-policy-isakmp-map1-10]proposaltran1#组号为3000的ACL。[FWC-IPSec-policy-isakmp-map1-10]securityacl3000#退回系统视图。13.C安全策#进入以太网接口视图。[FWCinterfaceEthernet0/0/0#IPSec策略。结果检PC2发起,之后PC1与PC2之间可以相互PC2同时可以到公网,FWA的200.0.0.1可以 查看NAT转换session表项<FWB>disfirewallsessiontableIPSECSA协商 101502flag <FWC>disike 2162总部FWA上可以查看到一对双向的IPSECSA,对应两个分支FWC,nattraversal:Y表示IPSEC的NAT穿越生效IPSecpolicyname:"map1"sequencenumber:10mode:template:connectionid:5encapsulationmode:tunneltunnellocal:200.0.0.1 tunnelremote:200.0.1.1 source:100.0.0/255.0.0.00/0spi:3716495275:saremainingkeyduration(bytes/sec):1886658472/1187maxreceivedsequence-number:11447spi:3704042965:saremainingkeyduration(bytes/sec):1886475336/1187maxsentsequence-number:11447L2TPoverIPSEC组网 实验目组网设实验拓扑配置步#创建虚拟接口模板。[FWA]interfaceVirtual-Template1#配置虚拟接口模板的IP地址,[FWA-Virtual-Template1]ipaddress1.1.1.1[FWA-Virtual-Template1]pppauthentication-modechap#配置为对端接口分配IP地址池中的地址。[FWA-Virtual-Template1]remoteaddresspool[FWA]firewallzone[FWA-zone-trust]addinterfaceVirtual-TemplateL2TP[FWA]l2tpenable#配置L2TP组。[FWA]l2tp-group1[FWA-l2tp1]allowl2tpvirtual-template1[FWA-l2tp1]tunnelauthentication#配置L2TP隧道认证。[FWA-l2tp1]tunnelpasswordsimple#配置隧道本端名称。[FWA-l2tp1]tunnelnamelns#退回系统视图。[FWA-l2tp1]quitAAA[FWA]aaa[FWA-aaa]local-userpcbpasswordsimple[FWA-aaa]local-userpcbservice-typeppp#配置公共IP地址池。[FWA-aaa]ippool1100.0.0.1[FWA]firewallpacket-filterdefaultpermitinterzonelocaluntrust[FWA]firewallpacket-filterdefaultpermitinterzonelocaltrust打开local和untrust域间的缺省过滤规则。[FWA]acl[FWA-acl-adv-3000]rulepermitudpsource200.0.0.10source-porteq1701trustuntrust的