艾泰下一代防火墙产品实施手册V2.2SP

下一代防火墙配置指南PAGEvi文档作者：文档密级：公开/受控/保密/绝密审核人：使用对象：下一代防火墙产品

FR2000配置指南目录1路由 11.1静态路由配置 11.1.1静态路由 11.2策略路由配置 81.2.1策略路由 81.3动态路由配置 151.3.1RIP路由 151.3.2OSPF路由配置一 201.3.3OSPF路由配置二 252透明 342.1VLAN的配置 342.1.1UntagVlan和桥模式 342.1.2TagVlan配置 373旁路 453.1旁路的配置 453.1.1典型旁路功能 454多链路 484.1双线路的配置 484.1.1双线路同运营商上网配置 484.1.2双线路不同运营商上网配置 564.1.3ADSL+静态线路上网配置 645NAT 745.1源NAT配置 745.1.1源NAT转换（多对一） 745.1.2源NAT地址转换（多对多） 785.2目的NAT配置 845.2.1目的NAT（端口转换） 845.2.2目的NAT(地址转换) 885.3静态NAT 935.3.1静态NAT转换 935.4透明源NAT 965.4.1透明源NAT转换 965.5透明目的NAT 1005.5.1透明目的NAT转换 1006转发策略 1036.1访问控制策略 1036.1.1访问控制策略 1037Ipv6 1107.1双栈 1107.1.1双栈模式示例 1107.2NAT46 1147.2.1NAT46地址转换 1147.3NAT64 1197.3.1NAT64地址转换 1198IPSecVPN 1248.1常见组网方案 1248.1.1基本IPSec组网 1248.1.2使用动态地址的IPSec组网 1308.1.3HUB-Spoke环境配置 1348.1.4IPSec扩展认证 1418.1.5IPsec多实例主模式 1478.1.6IPsec多实例FQDN模式 1589HA 1709.1HA配置 1709.1.1HA主备模式 1709.1.2HA主主模式 1769.1.3故障检测（健康检查监测） 18210VRRP 18810.1VRRP配置 18810.1.1单备份组 18810.1.2多备份组负载分担 19411日志 20411.1日志配置 20411.1.1本地日志配置 20411.1.2SYSLOG和邮件日志配置 20612SNMP 21012.1SNMP 21012.1.1Snmp管理 21013用户策略 21313.1用户策略配置 21313.1.1用户策略配置 21314应用策略 21814.1应用控制策略 21814.1.1应用策略配置 21814.1.2关键字策略配置 22314.2Web审计策略 22714.2.1Web审计策略配置 22714.2.2URL策略配置 23014.2.3关键字策略配置 23614.3应用审计策略 24014.3.1应用审计在线购物策略配置 24014.3.2应用审计即时通信策略配置 24414.3.3应用审计电子邮件策略配置 2491入侵防护 2541.1入侵防护策略配置 2541.1.1入侵防护策略配置 2542病毒防护 2592.1病毒防护策略配置 2592.1.1病毒防护策略配置 2593流控策略 2653.1流控策略 2653.1.1保证带宽配置 2653.1.2每IP限速配置 2723.1.3应用匹配限速配置 2774DNS服务器 2804.1DNS服务器配置 2804.1.1DNS服务器配置 2805Portal认证 2845.1Portal认证配置 2845.1.1Portal认证配置 2846沙箱检测 2886.1沙箱检测配置 2886.1.1沙箱检测配置 2887SSLVPN 2947.1SSLVPN组网方案 2947.1.1SSLVPN需求 2947.1.2拓扑设计 2947.2SSLVPN配置 2958VRF 2988.1VRF配置 2988.1.1VRF配置 2989镜像功能 3059.1流镜像 3059.1.1流镜像配置 305下一代防火墙配置指南PAGE293路由静态路由配置静态路由组网需求通过配置静态路由，将从/16网段接收过来的数据包到达防火墙设备后，使这些数据包以负载分担方式通过RouterA和RouterB到达Internet，从而减小单条路由的负载流量。网络拓扑配置思路配置接口配置静态路由配置访问控制保存配置配置客户端ip等信息配置步骤配置接口进入网络->接口配置->物理接口，配置ge0/0、ge0/1、ge0/2的ip地址，根据需要配置管理访问。配置静态路由进入网络->IPV4路由->静态路由，配置两条静态路由：配置访问控制进入策略->防火墙策略->访问控制，分别添加ge0/0->ge0/1ge0/0->ge0/2的策略。提交之后需要勾选启用才能生效：保存配置点击右上角，弹窗选择确定，可将配置保存配置客户端ip等信息验证效果内网用户，打开浏览器，在地址框输入查看客户端是否可正常访问外部网络资源。注意事项对于到达同一目的地址多条权重不同的静态路由，权重大的负载流量多，权重小的负载流量少。通过权重值的配置能够达到按比例进行流量负载分担的效果。如果到达同一目的地址存在管理距离不同的静态路由，则管理距离小的路由生效，管理距离大的路由无效。访问策略需要勾选启用之后才能生效。RouterA和RouteB上需要配置到外网的snat策略路由配置策略路由组网需求通过配置策略路由，将来自/24网段的数据包路由至设备上，将来自/24网段的数据包路由至设备上。通过这样的配置，可有选择的限制不同的IP用户访问不同的网络或使用不同的网络出口。网络拓扑配置思路配置端口配置策略路由配置安全访问保存配置配置客户端ip等信息配置步骤配置端口进入网络->接口配置->物理接口，配置ge0/0、ge0/1、ge0/2的ip地址，根据需要配置管理访问。配置策略路由进入对象->地址对象，新建“部门1：子网/24”、“部门2：子网/24”进入网络->IPv4路由->策略路由，新建两个策略路由，分别为：源地址“部门1”，网关;源地址“部门2”，网关配置访问控制进入策略->防火墙策略->访问控制，分别添加ge0/0->ge0/1ge0/0->ge0/2的策略。保存配置点击右上角，弹窗选择确定，可将配置保存。配置客户端相关信息以部门2为例：验证效果内网用户，打开浏览器，在地址框输入查看客户端是否可正常访问外部网络资源。注意事项报文选路能同时匹配静态路由（或动态路由）和策略路由时，策略路由优先。此配置案例采用的是不同的源地址为其配置不同的下一跳选路，从而达到不同IP用户访问不同的网络或使用不同的网络出口效果。同样，根据用户的不同需求，还可以通过具体配置不同目的地址、入接口、服务类型和生效时间，来选择不同的网络或使用不同的网络出口。譬如说可以实现Http服务和Telnet服务走不同的出口。动态路由配置RIP路由组网需求DUT-1和DUT-2按照如下图配置接口IP地址，通过在两台设备上配置RIP，配置的RIP能够同时接受V1和V2两个版本，且通过md5认证处理。网络拓扑配置思路配置接口在DUT-1上配置RIP在DUT-1上配置访问控制相关策略在DUT-2上配置RIP、访问控制配置客户端配置步骤配置接口以DUT-1为例，进入网络->接口配置->物理接口，配置ge0/0、ge0/1的ip地址，根据需要配置管理访问。同理，配置DUT-2上的端口ip地址。在DUT-1上配置RIP进入网络->IPv4路由->动态路由->RIP，RIP默认版本是V2，即RIP的接受和发送版本都是V2。在RIP版本和RIP接口下的版本配置不一致情况下，RIP接口下配置的发送或接收版本优先。在发布网络处，输入ge0/0所在网段，然后点击新增。发布接口处点击新增，选择接口“ge0/0”，选择发送版本为“both”，接收版本为“both”，认证方式选“md5”，并配置md5的密钥为“123456”，点击提交。点击提交之后，再在整个RIP配置页面上点击提交。在DUT-1上配置访问控制进入策略->防火墙策略->访问控制，允许ge0/1和ge0/0之间的转发。在DUT-2上配置RIP、访问控制相关策略同样的，在DUT-2上按照2、3步骤配RIP和访问控制等。保存配置点击右上角，弹窗选择确定，可将配置保存。查看结果查看路由表，DUT-1上学习到了与DUT-1不是直连相连的RIP接口网段/24的路由；DUT-2上学习到与DUT-2不是直连相连的RIP接口网段/24的路由。PC1和PC2可以正常通信。注意事项以上配置中涉及到的RIP接口都是物理接口，如果是GRE接口、桥接口或者是VLAN子接口，需要保证这些逻辑接口本身可用，在此基础上将该逻辑接口网段加入RIP网络即可。对于高级选项中的路由发布，需要注意的是：发布其它类型路由的前提是本设备需要存在对应类型路由，例如：如果想发布静态路由，那么本设备上需要配置有静态路由。按步骤配置RIP路由后，RIP路由依然不存在，排查方法：设备中加入到RIP网络的接口，如果彼此直连，则路由表中不会有该网段OSPF路由项。如果配置有路由重发布，检查配置的路由重发布是否成功提交，且重发布涉及的路由是否启用（如，设备中是否配置有静态路由；设备中是否启用有OSPF路由）。和本端设备不是直连关系的RIP接口网段是否处于有效状态。两端设备的send和recv是否匹配，要保证所配置对端发送的版本在本端是可以接收到的。检查设备接受和发送的版本类型。OSPF路由配置一组网需求DUT-1和DUT-2如图配置接口ip地址，通过在两台设备上完全配置OSPF，使pc1和pc2能够相互访问（要求OSPF进行md5认证）。网络拓扑配置思路配置接口在DUT-1上配置OSPF在DUT-1上配置访问控制相关策略在DUT-2上配置OSPF、访问控制配置客户端配置步骤配置接口以DUT-1为例，进入网络->接口配置->物理接口，配置ge0/0、ge0/1的ip地址，根据需要配置管理访问。同理，配置DUT-2上的端口ip地址。在DUT-1上配置ospf进入网络->IPv4路由->动态路由->OSPF，在发布网络处点击新增，输入ge0/0所在网段，区域为0，即将整个ge0/0所在网段添加到OSPF网络并且加入到区域area0，点击提交。同样的，再将ge0/1所在网段添加到ospf网络并且加入area0配置OSPF区域md5认证，在发布区域中点击area0（），然后选择md5认证配置接口认证，在ge0/0和ge0/1上都配置md5认证，并配置密钥。在接口发布处点击新增，选择接口ge0/0，网络类型为broadcast，认证类型为md5，配置md5的认证id为1，密钥为123456，点击提交。同样的，将ge0/1加入发布接口中最后在OSPF配置页面上点击提交，完成配置。配置访问控制进入策略->防火墙策略->访问控制，允许ge0/0和ge0/1之间的转发。在DUT-2上配置OSPF、访问控制等在DUT-2上执行2、3步骤完成配置。保存配置点击右上角，弹窗选择确定，可将配置保存注意事项对于OSPF协议中的router-id，是作为本路由器在自治系统中的唯一标识。一般在OSPF协议启动后，会自动选出一个router-id。所以，如果存在多台设备，它们的router-id不要配置冲突。OSPF中有区域认证和接口认证两个部分，两个部分的认证密钥都需要在接口上配置，接口认证方式优先于区域认证。是直连关系的两个OSPF接口，认证方式和认证密钥必须保持一致。以上配置中涉及到的OSPF接口都是物理接口，如果是GRE接口、桥接口或者是vlan子接口，需要保证这些逻辑接口本身可用。在此基础上，将这些逻辑接口网段加入OSPF网络，配置方法基本相同。配置好网络地址并加入的某区域id中后，如果配置的网络地址是有效的，并且接口是连通状态，那么相应配置的区域才能生效，并自动添加到区域列表中。OSPF路由配置二组网需求DUT-2设备直接连接外网网关（外网网关地址和DUT-2的ge0/2接口直连，是39/24），DUT-1设备和DUT-2设备之间配置OSPF路由，其它路由接口不配置OSPF路由，要求pc1和pc2都能够正常访问外网，同时pc1和pc2能够互访。网络拓扑配置思路配置接口和路由在DUT-1上配置RIP在DUT-1上配置NAT、访问控制相关策略在DUT-2上配置RIP、访问控制配置客户端配置步骤配置接口和路由以DUT-2为例，进入网络->接口配置->物理接口，配置ge0/0、ge0/1的ip地址，根据需要配置管理访问。同理，配置DUT-1上的端口ip地址。另外,根据实际情况配置DUT-2上的外网接口ge0/2（不同上网方式配置可能不一样，比如PPPOE上网、DHCP方式获取ip等），示例以固定ip方式配置。进入网络->IPv4路由->静态路由，配置DUT-2默认路由：在DUT-2上配置OSPF进入网络->IPv4路由->动态路由->OSPF，在发布网络处点击新增，输入ge0/0所在网段，区域为0，即将整个ge0/0所在网段添加到OSPF网络并且加入到区域area0，点击提交。同样的，再将ge0/1所在网段添加到ospf网络并且加入area0配置OSPF区域md5认证，在发布区域中点击area0（），然后选择md5认证配置接口认证，在ge0/0和ge0/1上都配置md5认证，并配置密钥。在接口发布处点击新增，选择接口ge0/0，网络类型为broadcast，认证类型为md5，配置md5的认证id为1，密钥为123456，点击提交。同样的，将ge0/1加入发布接口中最后在OSPF配置页面上，缺省路由选中为发布，路由重发布中勾选直连路由，权重为10，点击提交，完成配置。在DUT-2上配置NAT、访问策略配置到外网的源NAT：首先在策略->NAT策略->Nat地址池中添加到外网的地址池对象，具体地址请根据外网ip填写，然后配置源NAT：进入策略->防火墙策略->访问控制，分别允许ge0/0->ge0/1ge0/0->ge0/2ge0/1->ge0/2之间的端口转发。配置DUT-1的OSPF、访问策略按照2、3步骤中的方法，在DUT-1上配置OSPF、访问控制策略等，注意在DUT-1上不需要添加默认路由、源NAT，不需要用到ge0/2上的相关配置。保存配置点击右上角，弹窗选择确定，可将配置保存注意事项如果想发布RIP路由，那么设备需要开启RIP功能。配置OSPF路由后，邻近关系却无法建立，排查方法：检查相关的策略是否配置、启用。检查以下条件是否一致：接口子网掩码、区域id、认证类型、hello间隔、Dead间隔，这些参数任何一项不符，均不能建立邻居关系。OSPF邻接关系正常建立后，在路由表中看不到相关的OSPF路由，排查方法：设备中加入到OSPF网络的接口，如果彼此直连，则路由表中不会有该网段OSPF路由项。如果配置有路由重发布，检查配置的路由重发布是否成功提交，且重发布涉及的路由是否启用（如，设备中是否配置有静态路由；设备中是否有RIP路由）。和本端设备不是直连关系的OSPF接口网段是否处于有效状态。其他注意事项同2.3.2中提及的注意事项。透明VLAN的配置UntagVlan和桥模式组网需求防火墙使用透明模式串在出口设备之前，公司用户经过防火墙访问外网。网络拓扑配置思路配置桥接口透明模式需要配置桥接口，并把内外网接口加入到同一个桥下，数据便能二层转发。配置访问控制访问控制策略按从上往下匹配的原则。保存配置配置客户端IP等信息配置步骤配置内外网接口地址进入网络>接口配置>VLAN，新建vlan1，并将ge0/0、ge0/1以untag的方式加入vlan1。可以根据需要对桥接口进行IP地址配置。配置桥接口IP地址后，可以对防火墙进行管理，管理方式根据访问需要进行选择，也可以不配置IP。 配置访问控制进入策略>防火墙策略>访问控制，点击页面左上角的新建按钮。配置客户端IP等配置，使其能够访问外网配置保存点击右上角，弹窗选择确定，可将配置保存。验证效果打开浏览器，在地址框输入查看客户端是否可正常访问外部网络资源。注意事项路由器上需要配置到外网的路由和源nat。如果需要管理设备，需要配置bridge的ip，并开启相应的管理方式。TagVlan配置组网需求防火墙为公司出口设备，内网用vlan划分两个部门，两个部门的内网用户都将防火墙作为网关上网。网络拓扑配置思路配置接口配置路由配置源NAT配置访问控制保存配置配置客户端IP等信息配置步骤配置内外网接口地址进入网络>接口配置>VLAN，新建vlan1，并将ge0/0以tag的方式加入vlan1，配置ip地址。同样，将ge0/1以tag形式加入vlan2：配置ge0/2拨号上网：选择“重新得到网关”可以自动生成默认路由。 配置router1和DUT相连的接口为tagvlan1；配置router2和DUT相连的接口为tagvlan2.配置路由进入网络>IPv4路由>静态路由，配置到内网网段的反向路由条目使反向流量目标可达。分别添加出接口为vlan1、vlan2的路由。配置源NAT进入对象->地址对象，新建“上网地址”，子网地址包含/24和/24：进入策略->nat策略->源nat，将“上网地址”转换为出接口ge0/2地址：配置访问控制进入策略->防火墙策略->访问控制，配置vlan1、vlan2到外网接口ge0/2的策略：保存配置点击右上角，弹窗选择确定，可将配置保存。配置客户端IP等配置，使其能够访问外网验证效果打开浏览器，在地址框输入查看客户端是否可正常访问外部网络资源。注意事项配置访问控制策略时：必须配置route1上和DUT相连的接口tagvlan1、router2和DUT相连的接口tagvlan2，这样带有tag的报文才能被转发。访问控制只需要配置单向即可。旁路旁路的配置典型旁路功能组网需求公司新增一台设备用于监控内网用户访问公网，为了不影响现网拓扑，使用旁路模式部署。网络拓扑配置思路配置地址对象配置识别的内网用户对象配置旁路模式在接口上开启旁路模式配置旁路用户配置识别的内网用户配置审计功能开启内网用户审计配置保存配置步骤配置地址对象进入对象->地址对象->地址对象，添加内网识别IP范围配置旁路模式进入网络->接口配置->旁路部署，选择旁路的接口ge0/0配置旁路用户进入网络->接口配置->旁路部署->旁路用户，选择添加的地址对象localIP配置审计功能进入系统->日志设定->日志过滤，开启引用审计日志进入策略->应用策略->Web访问策略->Web访问策略，添加Web访问策略配置保存点击保存按钮保存配置多链路双线路的配置双线路同运营商上网配置组网需求下一代防火墙作为公司出口网关设备，出口使用两条电信线路，带宽大小相同，通过配置实现负载均衡，冗余备份。电信1：1/24,网关为电信2：7/24,网关为网络拓扑配置思路配置接口配置IPv4地址对象新建IPv4地址对象“内网网段”包含网段为/24、/24、/24,在NAT策略配置、访问控制策略配置时可直接引用“上网网段”。配置源NAT出接口选择连接外网的接口。配置访问控制策略访问控制策略按从上往下匹配的原则。配置路由信息保存配置配置客户端IP信息配置步骤配置内外网接口地址进入网络>接口配置>物理接口，编辑ge0/0、ge0/1、ge0/2接口。进入网络管理>接口>物理接口，编辑ge0/0接口，地址类型选择<静态>，输入IPv4主IP地址后，点击将IP地址添加到地址列表，可选择性的开启内网接口的管理访问服务，然后点击更新。ge0/1、ge0/2配置方式和ge0/0相同，网口属性选择外网口。配置IPv4地址对象进入对象>地址对象>地址对象，点击页面左上角的新建按钮，配置IPv4地址对象名称为“内网网段”，地址类型选择“子网”，输入子网地址后添加到成员列表，点击提交。配置源NAT进入策略>NAT策略>源NAT，点击新建配置源NAT策略使“内网网段”的IPv4地址对象流量可以通过源NAT转换为公网地址访问外网资源。在源地址处选择“内网网段”，“出接口”选择ge0/1，转换后源地址选择转换为<出接口地址>，配置完成后点击提交。再添加一条源nat，在源地址处选择“内网网段”，“出接口”选择ge0/2，转换后源地址选择转换为<出接口地址>，配置完成后点击提交。配置IPv4访问控制策略进入策略>防火墙策略>访问控制策略，选择类型为IPv4点击页面左上角的新建按钮配置访问控制策略允许“内网网段”的访问流量通过。选择入接口和出接口为内网口到外网口方向（分别配置ge0/0->ge0/1和ge0/0->ge0/2），源地址为已配置的“内网网段”，其余匹配参数选择为any，点击提交。提交后勾选启用框，启用该访问控制策略。配置路由信息进入网络>IPv4路由>静态路由，在两条路由的目的地址及掩码一样的情况下，先比较两条路由的管理距离，越小越优先，若管理距离一致，则按带宽的比例负载均衡，另一条作为备份。管理距离和权重均相同时，则进行负载均衡。点击页面左上角的新建按钮，添加电信1默认路由：同理，添加电信2默认路由：配置到内网网段的反向路由条目使反向流量目标可达。输入内网网段的子网地址和下一跳地址，点击提交。配置客户端IP等配置，使其能够访问外网。将电脑IP地址设置为/24,网关设置地为，配置DNS服务器。配置保存点击右上角，弹窗选择确定，可将配置保存，重启后配置仍可生效验证效果打开浏览器，在地址框输入查看客户端是否可正常访问外部网络资源。注意事项配置访问控制策略时：防火墙上只需要配置从内网到外网方向的访问控制策略即可双线路不同运营商上网配置组网需求下一代防火墙作为公司出口网关设备，出口使用不同运营商两条线路，正常情况下访问电信网络使用电信线路，访问联通网络使用联通线路。当一条线路出现故障时，所有用户使用另外一条线路访问外网。联通1：1/24,网关为电信2：7/24,网关为网络拓扑配置思路配置接口配置IPv4地址对象新建IPv4地址对象“内网网段”包含网段为/24、/24//24,在NAT策略配置、访问控制策略配置时可直接引用“上网网段”。配置源NAT转换为外网接口地址。配置访问控制策略访问控制策略按从上往下匹配的原则。配置路由信息保存配置配置客户端IP信息配置步骤配置内外网接口地址进入网络>接口配置>物理接口，编辑ge0/0、ge0/1、ge0/2接口。进入网络管理>接口>物理接口，编辑ge0/0接口，地址类型选择<静态>，输入IPv4主IP地址后，点击将IP地址添加到地址列表，可选择性的开启内网接口的管理访问服务，然后点击更新。ge0/1、ge0/2配置方式和ge0/0相同，网口属性选择外网口。配置IPv4地址对象进入对象>地址对象>地址对象，点击页面左上角的新建按钮，配置IPv4地址对象名称为“内网网段”，地址类型选择“子网”，输入子网地址后添加到成员列表，点击提交。配置源NAT进入策略>NAT策略>源NAT，点击新建配置源NAT策略使“内网网段”的IPv4地址对象流量可以通过源NAT转换为公网地址访问外网资源。在源地址处选择“内网网段”，“出接口”选择ge0/1，转换后源地址选择转换为<出接口地址>，配置完成后点击提交。再添加一条源nat，在源地址处选择“内网网段”，“出接口”选择ge0/2，转换后源地址选择转换为<出接口地址>，配置完成后点击提交。外网网段根据实际使用配置。配置IPv4访问控制策略进入策略>防火墙策略>访问控制策略，选择类型为IPv4点击页面左上角的新建按钮配置访问控制策略允许“内网网段”的访问流量通过。选择入接口和出接口为内网口到外网口方向（分别配置ge0/0->ge0/1和ge0/0->ge0/2），源地址为已配置的“内网网段”，其余匹配参数选择为any，点击提交。提交后勾选启用框，启用该访问控制策略。配置路由信息进入网络>IPv4路由>静态路由，在两条路由的目的地址及掩码一样的情况下，先比较两条路由的管理距离，越小越优先，若管理距离一致，则按带宽的比例负载均衡，另一条作为备份。管理距离和权重均相同时，则进行负载均衡。点击页面左上角的新建按钮，添加电信1默认路由：同理，添加电信2默认路由：配置到内网网段的反向路由条目使反向流量目标可达。输入内网网段的子网地址和下一跳地址，点击提交。配置客户端IP等配置，使其能够访问外网。将电脑IP地址设置为/24,网关设置地为，配置DNS服务器。配置保存点击右上角，弹窗选择确定，可将配置保存，重启后配置仍可生效验证效果打开浏览器，在地址框输入查看客户端是否可正常访问外部网络资源。注意事项配置访问控制策略时：防火墙上只需要配置从内网到外网方向的访问控制策略即可ADSL+静态线路上网配置组网需求设备接两条外网线路，一条为静态地址线路，另一条为ADSL线路，一部分电脑通过ADSL上网，其他电脑通过静态地址上网，以下就以策略路由为例。网络拓扑配置思路配置接口接ADSL的接口务必勾选“从服务器中重新得到网关”，这样ADSL拨号成功后设备会自动生成默认路由，无需手动配置默认路由。可选择性的开启接口的管理功能。配置IPv4地址对象新建IPv4地址对象“部门一”包含网段为/24和“部门二”/24,在NAT规则配置、安全策略配置时可直接引用。若内网有多个网段，也可将多个网段统一归入一个地址组，方便配置时调用。配置源NAT转换为外网接口地址。分别配置两条源NAT转换。ADSL线路的源地址转换为对应的物理接口即可。配置访问控制策略访问控制策略按从上往下匹配的原则。配置路由信息配置部门一通过静态地址上网，部门二通过ADSL上网。配置默认路由。保存配置配置客户端IP信息配置步骤配置内外网接口地址进入网络>接口配置>物理接口，编辑ge0/0、ge0/1、ge0/2、ge0/3接口。进入网络管理>接口>物理接口，编辑ge0/0接口，地址类型选择<静态>，输入IPv4主IP地址后，点击将IP地址添加到地址列表，可选择性的开启内网接口的管理访问服务，然后点击更新。ge0/1、ge0/2配置方式和ge0/0相同，ge0/2网口属性选择<外网口>。配置ge0/3ADSL上网：地址类型选择<PPPoE>，配置正确的用户名、密码，建议勾选“从服务器中重新得到网关”，这样ADSL拨号成功后设备会自动生成默认路由，无需手动配置默认路由，管理访问服务根据访问需要进行开启，设置接口属性为<外网口>。配置IPv4地址对象进入对象>地址对象>地址对象，点击页面左上角的新建按钮，配置IPv4地址对象名称为“部门1”，地址类型选择“子网”，输入子网地址后添加到成员列表，点击提交。名称为“部门2”，地址类型选择“子网”，输入子网地址后添加到成员列表，点击提交。配置源NAT进入策略>NAT策略>源NAT，点击新建配置源NAT策略使“内网网段”的IPv4地址对象流量可以通过源NAT转换为公网地址访问外网资源。在源地址处选择“部门2”，“出接口”选择ge0/2，转换后源地址选择转换为<出接口地址>，配置完成后点击提交。再添加一条源nat，在源地址处选择“部门1”，“出接口”选择ge0/3，转换后源地址选择转换为<出接口地址>，配置完成后点击提交。外网地址根据实际使用配置。配置IPv4访问控制策略进入策略>防火墙策略>访问控制策略，选择类型为IPv4点击页面左上角的新建按钮配置访问控制策略允许“部门1”、“部门2”的访问流量通过。选择入接口和出接口为内网口到外网口方向（分别配置ge0/0->ge0/3和ge0/1->ge0/2），源地址分别为“部门1”、“部门2”，其余匹配参数选择为any，点击提交。提交后勾选启用框，启用该访问控制策略。配置路由信息进入网络>IPv4路由>策略路由，点击页面左上角的新建按钮，添加“部门1”通过ADSL上网，即出接口为ge0/3：进入网络>IPv4路由>静态路由，配置“部门2”通过静态地址线路上网，选择下一跳地址：配置客户端IP等配置，使其能够访问外网。将电脑IP地址设置为/24,网关设置地为，配置DNS服务器。配置保存点击右上角，弹窗选择确定，可将配置保存，重启后配置仍可生效验证效果打开浏览器，在地址框输入查看客户端是否可正常访问外部网络资源。注意事项NAT源NAT配置源NAT转换（多对一）组网需求最常见的NAT配置，由于IP资源有限，为满足多个内部网络用户同时访问外部网络的需要，通常使用源NAT转换。源NAT转换分为两种：多个内部地址共同使用一个外部地址（即多对一）或多个内部地址使用多个外部地址（多对多）。网络拓扑配置思路（公网地址配置在ge0/1上）：建立内部地址对象建立NAT表项建立相关安全策略配置步骤建立内部地址对象进入对象>地址对象>地址对象，单击“新建”按钮，为需要转化的内部地址建立地址对象，点击“提交”以使配置生效。建立NAT表项进入策略>NAT策略>源NAT，单击“新建”按钮，在源地址下拉框中选择刚才建立的地址对象“内部地址”，在目标地址下拉框中选择“any”，选择服务为“any”，设置数据的出接口为“ge0/1”，设置转换后源地址为“出接口地址”。如果需要对NAT转换的信息进行日志记录，则选中“日志”选择框。点击“提交”以使配置生效。建立相关安全策略进入策略>防火墙策略>访问控制，单击“新建”按钮，在入接口中选择用户内网接口“ge0/0”，地址名选择刚才建立的地址对象“内部地址”，出接口选择用户外网接口“ge0/1”，选择服务为“any”，设置时间表为“always”，设置动作为“允许”。点击“提交”以使配置生效。此时“内部地址”中定义的用户可以访问ge0/1相连的公网的资源，在进行访问时，所有的内部地址都被转换成出接口ge0/1的地址。注意事项无源NAT地址转换（多对多）组网需求最常见的NAT配置，由于IP资源有限，为满足多个内部网络用户同时访问外部网络的需要，通常使用源NAT转换。源NAT转换分为两种：多个内部地址共同使用一个外部地址（即多对一）或多个内部地址使用多个外部地址（多对多）。网络拓扑配置思路建立内部地址对象建立NAT地址池建立NAT表项建立相关安全策略注意事项配置步骤建立内部地址对象进入对象>地址对象>地址对象，单击“新建”按钮，为需要转化的内部地址建立地址对象，点击“提交”以使配置生效。建立NAT地址池进入策略>NAT策略>NAT地址池，单击“新建”按钮，设置地址池名称为“外部地址池”，外部地址起始地址为“0”，结束地址为“1”，并根据需要勾选“轮询”。点击“提交”以使配置生效。建立NAT表项进入策略>NAT策略>源NAT，单击“新建”按钮，在源地址下拉框中选择刚才建立的地址对象“内部地址”，在目标地址下拉框中选择“any”，选择服务为“any”，设置数据的出接口为“ge0/1”，设置转换后源地址为“外部地址池”。如果需要对NAT转换的信息进行日志记录，则选中“日志”选择框。点击“提交”以使配置生效。建立相关安全策略进入策略>防火墙策略>访问控制，单击“新建”按钮，在源接口中选择用户内网接口“ge0/0”，地址名选择刚才建立的地址对象“内部地址”，目的接口选择用户外网接口“ge0/1”，选择服务为“any”，设置时间表为“always”，设置动作为“允许”。点击“提交”以使配置生效。此时“内部地址”中定义的用户可以访问ge0/1相连的公网的资源，在进行访问时，内部地址都被转换成“外部地址池”中的地址。

注意事项在多对多的源NAT转换时，所配置的NAT地址池的轮询规则。源NAT地址转换，在未配置轮询时，地址采用一对一优先的方式，即相同的源地址原则上尽量使用相同的地址池地址；如果配置了轮询，地址池地址会逐个分配，也就是说，同一个源地址会被分配到地址池中不同的地址。在没有配置轮询的情况下，使用地址池地址是根据报文的源地址、目的地址算出一个偏移，结合地址池得出的转换的地址（有可能不是地址池的第一个地址）。目的NAT配置目的NAT（端口转换）组网需求通常公司内部有服务器需要对外提供访问服务时，可采用目的地址转换，常见的目的地址转换类型有两种：基于端口的目的地址转换（当只有一个外部地址，又需要对外提供服务时通常采用此方式）和目的IP地址转换。网络拓扑配置思路建立地址对象建立NAT地址池建立NAT表项建立相关安全策略注意事项配置步骤建立地址对象进入对象>地址对象>地址对象，单击“新建”按钮，为需要转化的内部地址建立地址对象，点击“提交”以使配置生效。建立外部接口地址对象，如下图。配置完成后点击“提交”以使配置生效。建立NAT地址池进入策略>NAT策略>NAT地址池，单击“新建”按钮，设置地址池名称为“内部WWW服务器”，起始地址为“00”，结束地址为“01”，并根据需要勾选“轮询”。点击“提交”以使配置生效。建立NAT表项进入策略>NAT策略>目的NAT，单击“新建”按钮，在源地址下拉框中选择“any”，在目标地址下拉框中选择“外部接口地址”，选择服务为“http”，设置数据的入接口为“ge0/1”，设置转换后源地址为“内部WWW服务器”，设置转换后端口为“8080”。点击“提交”以使配置生效。建立相关安全策略进入策略>防火墙策略>访问控制，单击“新建”按钮，在入接口中选择用户外网接口“ge0/1”，地址名选择“any”，出接口选择用户内网接口“ge0/0”，选择服务为“http”，设置时间表为“always”，设置动作为“允许”。点击“提交”以使配置生效。这样外网用户在访问“外部接口地址”的http服务时，实际访问的是“内部www服务器”，访问端口转换为8080。注意事项目的NAT支持接口映射功能。可以解决目标地址为动态IP时需要不断重新配置DNAT规则的问题。由于我们的设备支持接口上配动态地址协议，如pppoe和dhcp等。当DNAT的入接口使用PPPOE拨号上网时，接口将获得动态IP地址，即每次连接后获得的IP地址是不一样的。加入DNAT支持接口映射功能后，配置目标地址为“接口地址”，当接口IP变动后将自动修正已配置的NAT规则，不用每次IP改变后都要重新设定DNAT规则。目的NAT(地址转换)组网需求通常公司内部有服务器需要对外提供访问服务时，可采用目的地址转换，常见的目的地址转换类型有两种：基于端口的目的地址转换（当只有一个外部地址，又需要对外提供服务时通常采用此方式）和目的IP地址转换。网络拓扑配置思路建立地址对象建立NAT地址池建立NAT表项建立相关安全策略注意事项配置步骤建立地址对象进入对象>地址对象>地址对象，单击“新建”按钮，建立内部服务器地址对象，如下图。配置完成后点击“提交”以使配置生效。建立外部映射IP地址对象，如下图。配置完成后点击“提交”以使配置生效。建立NAT地址池单进入策略>NAT策略>NAT地址池，单击“新建”按钮，设置地址池名称为“内部WWW服务器”，起始地址为“00”，结束地址为“01”，并根据需要勾选“轮询”。点击“提交”以使配置生效。建立NAT表项单进入策略>NAT策略>目的NAT，单击“新建”按钮，在源地址下拉框中选择“any”，在目标地址下拉框中选择“外部映射IP地址”，选择服务为“http”，设置数据的入接口为“ge0/1”，设置转换后源地址为“内部WWW服务器”。配置完成后点击“提交”以使配置生效。建立相关安全策略进入策略>防火墙策略>访问控制，单击“新建”按钮，在入接口中选择用户外网接口“ge0/1”，地址名选择“any”，出接口选择用户内网接口“ge0/0”，选择服务为“http”，设置时间表为“always”，设置动作为“允许”。点击“提交”以使配置生效。这样外网用户在访问“外部映射IP地址”的http服务时，实际访问的是“内部www服务器”，访问端口则没有做转换。注意事项NAT地址池设置轮询后，并不是真正意义上的负载分担，当内部服务器之中的一台宕机后，NAT不会自动切换。静态NAT静态NAT转换组网需求通常公司内部有服务器需要对外提供访问服务时，可采用目的地址转换，常见的目的地址转换类型有两种：基于端口的目的地址转换（当只有一个外部地址，又需要对外提供服务时通常采用此方式）和目的IP地址转换。网络拓扑配置思路建立内部服务器地址建立NAT表项建立相关安全策略注意事项配置步骤建立内部服务器地址进入对象>地址对象>地址对象，单击“新建”按钮，建立内部服务器地址对象，如下图。配置完成后点击“提交”以使配置生效。建立NAT表项进入策略>NAT策略>静态NAT，单击“新建”按钮，在外部地址中设置“00”，在内部地址中设置“00”，设置外部接口为“ge0/1”。点击“提交”以使配置生效。建立相关安全策略进入策略>防火墙策略>访问控制，单击“新建”按钮，在入接口中选择用户外网接口“ge0/1”，地址名选择“any”，出接口选择用户内网接口“ge0/0”，选择服务为“http”，设置时间表为“always”，设置动作为“允许”。点击“提交”以使配置生效。注意事项静态NAT转换可以把内部网络内的主机地址永久的映射成外部网络中的某个合法地址（这样有可能带来一定的安全问题，建议如非必要，可以考虑使用目的NAT）。透明源NAT透明源NAT转换组网需求在透明模式下提供NAT服务。网络拓扑配置思路PC2（服务器）地址配置NAT策略配置防火墙策略匹配NAT策略配置步骤配置PC2（服务器）的地址进入对象>地址对象>地址对象，单击“新建”按钮，建立PC2（服务器）地址对象，如下图。配置完成后点击“提交”以使配置生效。配置NAT策略进入策略>NAT策略>源NAT，单击“新建”按钮，在PC1（客户端）设置“”，在PC2（服务器）端设置“”，设置出接口为“ge0/3”。点击“提交”以使配置生效。配置防火墙策略进入策略>防火墙策略>访问控制，单击“新建”按钮，在入接口中选择接口“ge0/0”，地址名选择“any”，出接口选择接口“ge0/3”，选择服务为“any”，设置时间表为“always”，设置动作为“允许”。点击“提交”以使配置生效。4、匹配NAT策略PC1访问PC2服务，在PC2抓包查看PC1地址为web页面查看产生的NAT日志。注意事项无转发策略访问控制策略访问控制策略组网需求防火墙作为网络出口控制，通过不同访问控制策略来控制内网到外网的访问。示例中禁用QQ，允许ge0/0和出口ge0/1之间的转发，限制主机连接个数为10000。网络拓扑配置思路配置接口配置Nat配置安全策略保存配置配置客户端IP等信息配置步骤配置接口进入网络->接口配置->物理接口，配置ge0/0为内网接口，ip：/24：配置ge0/1为外网口，通过PPPOE拨号上网：配置NAT进入策略->NAT策略->源NAT,将内网地址转换为出接口ge0/1地址：外网地址：目的地址根据实际使用时的上网网段来新建地址池配置访问策略进入策略->防火墙策略->访问控制，允许ge0/1和ge0/0之间的转发，限制主机连接数为10000.新建访问策略，禁止QQ应用转发。启用策略：保存配置点击右上角，弹窗选择确定，可将配置保存，重启后配置仍可生效。配置客户端IP等信息验证效果打开浏览器，在地址框输入查看客户端是否可正常访问外部网络资源。注意事项配置访问控制策略时：防火墙上只需要配置从内网到外网方向的访问控制策略即可。Ipv6双栈双栈模式示例组网需求通常情况下，网络中会同时需要IPv4和IPv6网络，此时设备需要同时支持Ipv4和Ipv6策略。双协议栈技术就是在一台设备上同时启用IPv4协议栈和IPv6协议栈。网络拓扑配置思路配置接口配置Ipv4策略配置Ipv6策略配置防火墙策略保存配置配置步骤配置接口如拓扑图，配置PC、Server的IP地址；进入网络->接口配置->物理接口，配置DUT接口IP，根据需要配置管理访问方式。配置Ipv4策略如2.1.1中，添加一条ipv4的静态路由，目的网段/16，出接口Ge0/1:配置Ipv6策略在网络->IPv6路由->静态路由中，添加一条静态路由。配置防火墙策略在策略->防火墙策略->访问控制中，添加（ipv4）ge0/0->ge0/2和（ipv6）ge0/3->ge0/1的策略。启用策略，注意选择IPv6或者IPv4：保存配置点击右上角，弹窗选择确定，可将配置保存注意事项访问控制策略注意选择Ipv6或者Ipv4。NAT46NAT46地址转换组网需求将IPv4地址转换为Ipv6地址。网络拓扑配置思路接口配置、客户端和服务器配置配置NAT配置防火墙策略保存配置配置步骤接口配置、客户端和服务器配置根据拓扑图配置PC、Server、DUT的接口ip，根据需要配置管理访问方式。在网络->接口配置->物理接口，配置IPv4地址：同理，配置IPv6地址：配置NAT进入对象->地址对象->地址对象，新建地址池ipv4-2，包含范围-；新建地址池ipv4-nat-10，包含范围00-05：在策略->NAT策略->NAT地址池，中新建NAT地址池ipv6-1001，地址4001::1001：进入策略>NAT策略页面，选择跨协议转换进入页面点击新建进入nat46规则创建页面。选择转换类型为NAT46，转换方式为地址池，源地址为ipv4-2，目标地址为ipv4-nat-10，服务为any，入接口为ge0/0，转换后地址为出接口地址，转换后的目的地址为ipv6-1001，勾选响应ARP配置防火墙策略进入策略->防火墙策略->访问控制，允许ge0/0->ge0/1的转发。启用配置保存配置点击右上角，弹窗选择确定，可将配置保存注意事项无NAT64NAT64地址转换组网需求将Ipv6地址转换为Ipv4地址网络拓扑配置思路接口配置、客户端和服务器配置配置NAT配置防火墙策略保存配置配置步骤接口配置、客户端和服务器配置根据拓扑图配置PC、Server、DUT的接口ip，根据需要配置管理访问方式。在网络->接口配置->物理接口，配置IPv4地址配置IPv6地址：配置NAT进入对象->地址对象->地址对象，新建地址池ipv6-1001，包含范围3001::1001-3001::2005；新建地址池ipv6-nat-2002，包含范围3001::2001-3001::2005：在策略->NAT策略->NAT地址池，中新建NAT地址池ipv4-172，地址:进入DUT策略>NAT策略页面，选择跨协议转换进入页面点击新建进入nat64规则创建页面。选择转换类型为NAT64，转换方式为地址池，源地址为ipv6-1001，目标地址为ipv6-nat-2002，服务为any，入接口为ge0/0，转换后地址为出接口地址，转换后的目的地址为ipv4-176，勾选响应邻居请求配置防火墙策略进入策略->防火墙策略->访问控制，允许ge0/0->ge0/1的转发。启用配置保存配置点击右上角，弹窗选择确定，可将配置保存。注意事项无IPSecVPN常见组网方案基本IPSec组网组网需求假定网络环境如下图所示，PC机到Server的流量需要经过各自的DUT设备后在Internet上传输，为了保证流量在Internet传输过程中的安全性，有必要在DUT_A和DUT_B之间建立IPSec的VPN隧道以保障通信安全网络拓扑配置思路配置接口配置IPSec配置源NAT、安全策略保存配置配置客户端配置步骤配置接口以DUT_A为例，进入网络->接口配置->物理接口，配置接口ip配置IPSec进入网络->IPSec-VPN->IPSec提案，新建IKE，配置完成后点击提交。点击新建IPSec，配置IPSec协商。同样的，在DUT_B上配置IPSec。配置源NAT、安全策略在策略->NAT策略->源nat，配置上网的源nat；配置源NAT：外网地址为上网地址，请根据实际情况新建地址池。进入对象->地址对象，新建名为“PC”的地址对象，包含主机0（根据实际使用情况确定地址对象包含的主机或子网网段）。新建Server1对象，包含主机0进入策略->防火墙策略->安全策略，新建PC到Server1（ge0/0->ge0/1）的策略。启用策略：另外，在DUT_B上配置相应的地址对象和访问策略。保存配置点击右上角，弹窗选择确定，可将配置保存。配置客户端配置客户端PC的ip地址：0/24，服务器地址：0/24注意事项该案例是最基本的IPSec组网，适用场合为在企业总部和分部之间建立VPN访问，并且分部之间互不访问的情况下；在这个配置案例中，总部和分部都有自己固定的公网IP地址，配置IKE阶段一策略时，互相指向对方，当遇到只有一方有固定公网IP地址时，需要选择动态IP地址。如：总部有固定的公网地址，分部为私网地址（或动态地址）时，在配置总部的IKE阶段一策略时，“对端网关”应配置为“动态IP地址”。具体在部署实施时，应根据需要选择合理的参数进行配置，如根据客户需求，在配置自动模式第一阶段时，可选择不同的协商模式、第一阶段交互的加密、认证算法，DH组、密钥周期及DPD探测等参数；第二阶段的ESP封装、AH封装算法，PFS，工作模式及密钥周期等。配置安全策略时，建议尽量避免粗粒度地址的配置；在对外测试时，尽量选择有利于提高设备性能的算法组合（前提是客户对参数的选择不做要求）。在所有IPSEC的安全策略配置中，尽量采用“镜像”配置，如上例中NDUT_A上配置为“PC——SERVER应用IPSEC策略”，而DUT_B上配置如果为“子网A——子网B应用IPSEC策略”，或“SERVER——子网B应用IPSEC策略”都可能会导致协商失败或数据转发异常。IKE模式中，如果都是同一厂商DUT的设备，使用野蛮模式或主模式没有影响，一般都采用默认的主模式协商即可。如果与其他厂商VPN设备互联，需要注意选择协商模式。作为IPSEC响应端，如果存在多条同时都能匹配的IKE策略，会首先匹配第一条策略。作为IPSEC响应端，如果在同一个IKE策略下存在多条IPSEC策略，会首先匹配第一条。如果系统内在不同接口下存在多条地址、服务相同的安全策略（IPSEC），可能会出现匹配错误，这是需要将引起冲突的安全策略停用。该案例给出的是企业总部和某个分部的情形，若要建立多个分部与总部的VPN时，可将案例中DUT_B，即企业总部的VPN网关对端的网关指定为动态IP地址，以响应来自多个分部发起的IPSec协商。使用动态地址的IPSec组网组网需求在实际使用中经常会遇到VPN设备为动态地址（如ADSL拨号地址）的情况。网络拓扑配置思路配置接口配置IPSec配置源NAT和安全策略保存配置配置客户端配置步骤配置接口以DUT_A为例，进入网络->接口配置->物理接口，配置接口ip配置IPSec进入网络->IPSec-VPN->IPSec提案，新建IKE，配置完成后点击提交。按照上一小节中的步骤配置动态地址上的IPSec，需要在配置IKE策略是，“对端网段”配置为动态IP地址，则此时从动态或者死亡IP端发起协商；此外，在如涉及到NAT穿越，注意在配置VPN参数是，把AH封装设置为NULL。配置NAT、安全策略在策略->NAT策略->源nat，配置上网的源nat；配置源NAT：外网地址为上网地址，请根据实际情况新建地址池。进入对象->地址对象，新建名为“PC”的地址对象，包含主机0（根据实际使用情况确定地址对象包含的主机或子网网段）。新建Server1对象，包含主机0进入策略->防火墙策略->安全策略，新建PC到Server1（ge0/0->ge0/1）的策略。启用策略：另外，在DUT_B上配置相应的地址对象和访问策略。保存配置点击右上角，弹窗选择确定，可将配置保存。配置客户端配置客户端PC的ip地址：0/24，服务器地址：0/24注意事项同基本IPSec配置中提及的注意事项HUB-Spoke环境配置组网需求为了简化配置，建议当节点数大于3或分支节点是DHCP动态IP地址时，建议使用HUB-Spoke方式替代全互联访问。以3台的HUB-Spoke为例描述，当遇到如下拓扑的访问需求，即DUT_SPOKEA想要访问DUT_SPOKEB，但是他们之间没有网络连接，需要通过DUT_HUB进行转发。网络拓扑配置思路配置接口配置IPSec：配置DUT_SPOKEA与DUT_HUB之间的IPSec；配置DUT_SPOKEB与DUT_HUB之间的IPSec；在路由和安全策略：PC1访问PC2的流量走DUT_SPOKEA和DUT_HUB之间的IPSec；PC2访问PC1的流量走DUT_SPOKEB和DUT_HUB之间的IPSec；PC1访问PC2的流量走DUT_SPOKEB和DUT_HUB之间的IPSec；PC2访问PC1的流量走DUT_SPOKEA和DUT_HUB之间的IPSec配置步骤配置接口在网络->接口配置->物理接口，如拓扑图中标示分别配置，接口IP和管理访问方式等信息（以DUT_spokeA为例）配置IPSec在网络->IPSec中分别建立DUT_spokeA-DUT_HUB\DUT_spokeB-DUT_HUB之间的IPSec：（以DUT_spokeA-DUT_HUB为例）在DUT_spokeA上的配置：同样的方式，在DUT_HUB上配置到DUT_spokeA的ipsec，注意IKE的对端网关的IP地址应为“”。配置完DUT_spokeA-DUT_HUB之后，在用同样的方法配置DUT_spokeB-DUT_HUB之间的IPSec。配置路由和安全策略以DUT_spokeA为例在对象->地址对象中添加两条地址对象：DUT_HUB:DUT_spokeB:在网络->ipv4路由->策略路由中，添加两条策略路由：“目的网段为DUT_HUB,出接口为ge0/1”;“目的网段为DUT_spokeB,网关地址为对端DUT_HUB的接口地址”在策略->NAT策略->源nat，配置上网的源nat；配置源NAT：外网地址为上网地址，请根据实际情况新建地址池。在策略->防火墙策略->访问控制，配置防火墙策略并启用：保存配置点击右上角，弹窗选择确定，可将配置保存。注意事项实际组网中，有可能其中的分部边缘网络设备出接口地址是动态获取的，如通过PPPoE拨号等。IPSec扩展认证组网需求扩展认证协议，Xauth为这些需要区分每个用户进行身份验证的应用提供了一种身份认证机制，该机制允许VPN网关使用Radius服务器或者本地数据库记录中的用户信息对用户进行身份认证。网络拓扑该拓扑是简化拓扑，略去了路由设备：配置思路配置接口新建本地账号、用户组和地址对象配置IPSec配置防火墙策略保存配置配置步骤配置接口进入网络->接口配置->物理接口，配置相应的接口ip和管理方式。新建本地账号、用户组和地址对象进入对象->用户->用户，新建本地认证用户新建用户组：进入对象->地址对象，新建ipsec地址对象、内网地址、外网地址：配置IPSec在网络->IPSec->IPSec提案中，新建IKE:提交之后选中这条IKE，然后再新建IPSec：配置IPSec协商参数：注意esp方法选择3DES_MD5，不支持NULL_NULL配置nat、防火墙策略在策略->NAT策略->源nat，配置上网的源nat；配置源NAT：外网地址为上网地址，请根据实际情况新建地址池。在策略->防火墙策略->访问控制，新建访问控制策略：提交之后，启用策略：PS：对一般部署而言，设备是有一条默认路由的；另有特殊情况，即设备没有默认路由时，需要加一条道IPSec客户端虚拟地址的静态路由，下一跳指定为出接口。保存配置点击右上角，弹窗选择确定，可将配置保存。注意事项如果客户端自己指定IP，不同客户端指定的IP可能差异较大，请注意设备端安全策略配置是否包含了客户端指定的IP地址。设备若没有默认路由，需要配置一条到IPSec客户端虚拟IP的静态路由；IPsec多实例主模式组网需求采用主模式实现IPsec多实例。网络拓扑拓扑如下：DUT1、DUT2属于公网端两个分支机构，pc1,pc2分别是两个分支机构下的pc客户端DUT1:ge1/2地址/24ge1/0地址01/24pc1地址0/24DUT2:ge1/2地址/24ge1/0地址7/24pc2地址0/24DUT为总部机构、公网口ge1/0提供ipsec服务。VRF01ge1/2端服务器s1给pc1提供服务、VRF02ge1/3服务器s2给pc2提供服务DUT:ge1/0配置地址/24，ge1/2地址/24,ge1/3地址/24，分别属于VRF01和VRF02s1地址0/24网关s2地址0/24网关配置思路VRF配置配置防火墙策略配置接口配置IKE策略保存配置配置步骤VRF配置DUT：进入网络>系统>VRF>VRF配置，将ge1/2加入到VRF01，ge1/3加入到VRF02，分别提交下发配置配置防火墙策略进入策略>防火墙策略>访问控制，点击新建配置VRF0，VRF01.VRF02防火墙全通策略配置接口进入网络>接口>物理接口，点击接口。配置VRF0、VRF01、VRF02接口地址下发配置配置IKE策略进入网络>ipsec-vpn>ipsec提案，点击新建ike策略配置ike策略关联VRF01点击新建ipsec策略配置ipsec策略点击新建ipsec隧道接口配置ipsec隧道接口进入网络>ipsec-vpn>ipsec提案，点击新建ike策略配置ike策略关联VRF02，，点击新建ipsec策略配置ipsec策略点击新建ipsec隧道接口配置ipsec隧道接口保存配置查看VRF配置确保分支机构DUT1、DUT2和DUT路由可达。并配置分支机构ipsec配置DUT1Ipsec配置DUT2Ipsec配置DUT：查看ipsec监控协商结果DUT1：查看ipsec监控协商结果DUT2：查看ipsec监控协商结果DUT:分支客户端pc1向s1发起tcp请求、分支pc2向s2发起http请求查看VRF01和VRF02会话注意事项无IPsec多实例野蛮模式组网需求采用野蛮模式实现IPsec多实例。网络拓扑拓扑如下：DUT1、DUT2属于公网端两个分支机构，pc1,pc2分别是两个分支机构下的pc客户端DUT1:ge1/2地址/24ge1/0地址01/24pc1地址0/24gwUSER-FQDN本端ID配置01@01对端ID配置test@01DUT2:ge1/2地址/24ge1/0地址7/24pc2地址0/24gwUSER-FQDN本端ID配置02@02对端ID配置test@02DUT为总部机构、公网口ge1/0提供ipsec服务。VRF01ge1/2端服务器s1给pc1提供服务、策略ike01：USER-FQDNID本端配置test@01对端配置@01勾选通配符；VRF02ge1/3服务器s2给pc2提供服务、策略ike02USER-FQDNID本端配置test@02、对端配置@02勾选通配符DUT:ge1/0配置地址/24，ge1/2地址/24,ge1/3地址/24，分别属于VRF01和VRF02s1地址0/24gws2地址0/24gw配置思路配置VRF配置防火墙策略配置接口配置IKE策略检查配置查看监控检验连通性配置步骤1、配置VRFDUT：进入网络>系统>VRF>VRF配置，将ge1/2加入到VRF01，ge1/3加入到VRF02，分别提交下发配置配置防火墙策略进入策略>防火墙策略>访问控制，点击新建配置VRF0，VRF01.VRF02防火墙全通策略配置接口进入网络>接口>物理接口，点击接口。配置VRF0、VRF01、VRF02接口地址下发配置配置IKE策略进入网络>ipsec-vpn>ipsec提案，点击新建ike策略配置ike策略关联VRF01点击新建ipsec策略配置ipsec策略点击新建ipsec隧道接口配置ipsec隧道接口进入网络>ipsec-vpn>ipsec提案，点击新建ike策略配置ike策略关联VRF02，，点击新建ipsec策略配置ipsec策略点击新建ipsec隧道接口配置ipsec隧道接口5、检查配置查看VRF配置确保分支机构DUT1、DUT2和DUT路由可达。并配置分支机构ipsec配置DUT1Ipsec配置DUT2Ipsec配置6、查看监控DUT：查看ipsec监控协商结果DUT1：查看ipsec监控协商结果DUT2：查看ipsec监控协商结果7、检验连通性DUT:分支客户端pc1向s1发起tcp请求、分支pc2向s2发起http请求查看VRF01和VRF02会话注意事项无HAHA配置HA主备模式组网需求HA主备工作模式下，DUT支持主备抢占模式。两台设备的HA接口需要采用相同的物理接口（例如都采用GE0/0口），监控口也采用相同接口（例如都监控GE0/1和GE0/2口）。网络拓扑配置思路配置DUT1接口地址浮动地址配置HA功能配置同步和连接同步配置故障检测监控配置DUT2接口地址浮动地址配置HA功能配置同步和连接同步配置故障检测监控配置步骤配置DUT1设备HA接口地址、浮动IP地址进入网络>接口配置>物理接口，单击“新建”按钮，配置接口IP地址，如下图。配置完成后点击“提交”以使配置生效。配置HA功能进入系统>高可用性>配置，选择主备模式，配置首选通信地址，如下图。配置完成后点击“确定”以使配置生效。配置同步和连接同步进入系统>高可用性>配置同步，选择主备模式，配置首选通信地址，如下图。配置完成后点击“确定”以使配置生效。配置同步是设备之间同步配置信息或通讯信息专用的以太网口，HA口配置IP地址，采用三层报文通讯方式。HA接口连接方式强烈建议用网线直连。进入系统>高可用性>连接同步，选择主备模式，配置首选通信地址，如下图。配置完成后点击“确定”以使配置生效。故障检测进入系统>高可用性>故障检测，单击“新建”按钮，建立故障监控对象，如下图。配置完成后点击“提交”以使配置生效。故障监控可以配置业务网口、链路聚合口、健康检查监控，HA启动后会实时监视这些监控的状态。监控状态的断开会导致HA主备状态的切换。配置时可以配置多个监控。监控进入系统>高可用性>监控，如下图。可观察HA状态信息：设备名称，状态，故障统计，系统配置是否同步，软件版本是否一致，接口监控状态，链路聚合口状态，健康检查监控状态；点击同步配置到对端可进行配置同步操作，同步成功后被同步设备重启配置生效。点击检测配置按钮可刷新监控页面信息开启HA功能时DUT会清除所有已存在的连接，如果是在已实际运行的设备上开启HA功能会造成现有业务暂时中断。将该DUT设备正常接入网络中，此时网络应可正常使用。配置DUT2设备的HA接口地址和浮动IP地址进入网络>接口配置>物理接口，单击“新建”按钮，配置接口IP地址，如下图。配置完成后点击“提交”以使配置生效。配置HA功能进入系统>高可用性>配置，选择主备模式，配置首选通信地址，如下图。配置完成后点击“确定”以使配置生效。配置同步和连接同步进入系统>高可用性>配置同步，选择主备模式，配置首选通信地址，如下图。配置完成后点击“确定”以使配置生效。进入系统>高可用性>连接同步，选择主备模式，配置首选通信地址，如下图。配置完成后点击“确定”以使配置生效。故障检测进入系统>高可用性>故障检测，单击“新建”按钮，建立故障监控对象，如下图。配置完成后点击“提交”以使配置生效。监控进入系统>高可用性>监控，如下图。注意事项抢占“主”模式和“备”模式需成对配置，即一台设备抢占为“主”，则另一台须抢占为“备”。仅在一台设备上启用抢占模式，或者两台设备均抢占为“主”或者“备”都会导致该功能不正常。被监控接口shutdown、网线断开、监控地址探测失败、设备重启、3秒内备份设备没有收到主设备心跳报文的情况下会切换。主备抢占模式的抢占原理为：当抢占为“主”的设备发生以上切换条件时，备设备接管流量等状态进行工作，一旦抢占为“主”的设备恢复正常，即接口up、网线连接恢复、监控地址探测成功、设备重新启动成功、正常收发主备心跳报文后，则自动抢占回“主”状态，抢占为“备”的设备恢复备状态。HA主主模式组网需求HA主主工作模式下，DUT支持主主抢占模式。两台设备的HA接口需要采用相同的物理接口（例如都采用GE0/0口），监控口也采用相同接口（例如都监控GE0/1和GE0/2口）。网络拓扑配置思路配置DUT1接口地址浮动地址配置HA功能配置同步和连接同步配置故障检测监控配置DUT2接口地址浮动地址配置HA功能配置同步和连接同步配置故障检测监控配置步骤配置DUT1接口地址浮动地址进入网络>接口配置>物理接口，单击“新建”按钮，配置接口IP地址，如下图。配置完成后点击“提交”以使配置生效。接口地址对应单元ID配置HA功能进入系统>高可用性>配置，选择主主模式，配置首选通信地址，如下图。配置完成后点击“确定”以使配置生效。配置同步和连接同步进入系统>高可用性>配置同步，配置首选通信地址，如下图。配置完成后点击“确定”以使配置生效。故障检测进入系统>高可用性>故障检测，单击“新建”按钮，建立故障监控对象，如下图。配置完成后点击“提交”以使配置生效。监控进入系统>高可用性>监控，如下图。HA接口：HA接口是设备之间同步信息和通讯信息专用的以太网口，HA口不用配IP地址，采用二层报文通讯方式。HA接口连接方式强烈建议用网线直连。配置模式：选择高级模式后，可配置监控接口组和监控地址组单元ID：第一台设备HA单元ID号可配置为1，两台设备必须不一样。NAT策略、浮动IP也会有自己的ID号，只有与设备单元ID号相同的NAT策略、浮动IP才会在本设备上生效，否则不会生效。监控接口：监控接口为正常业务网口，多个监控接口构成一个监控接口组。一个组内所有接口都down掉，才算监控组失效，从而触发HA状态改变；监控地址：监控地址是网络链路中的地址，配置后HA会定期向监控地址发探测报文，多个监控地址构成一个监控组。同一监控地址组内所有监控地址均不可达时，才算监控组失效，从而触发HA状态改变。开启HA功能时DUT会清除所有已存在的连接，如果是在已实际运行的设备上开启HA功能会造成现有业务暂时中断。将该DUT设备正常接入网络中，此时网络应可正常使用。配置DUT2接口地址浮动地址进入网络>接口配置>物理接口，单击“新建”按钮，配置接口IP地址，如下图。配置完成后点击“提交”以使配置生效。配置HA功能进入系统>高可用性>配置，选择主主模式，配置首选通信地址，如下图。配置完成后点击“确定”以使配置生效。配置连接同步配置同步进入系统>高可用性>配置同步，配置首选通信地址，如下图。配置完成后点击“确定”以使配置生效。故障检测进入系统>高可用性>故障检测，单击“新建”按钮，建立故障监控对象，如下图。配置完成后点击“提交”以使配置生效。监控进入系统>高可用性>监控，如下图。注意事项HA接口的任何中断都可能导致不可预测的后果，在HA配置生效后，请勿插拔HA口。HA接口不能加入到任何透明桥中。通常加入同一地址监控组的成员也同处于入口方向或者同处于出口方向，当监控组内所有的地址均不可达时，设备才会变成主（N）状态，停止业务流量的转发。DUT的HA主主模式支持同步半连接会话，因此可以支持报文从一台主设备入、从另一台主设备出的的情况。故障检测（健康检查监测）组网需求HA主备工作模式下，通过健康检测感知链路状态，进行流量得自动切换网络拓扑配置思路配置DUT1接口地址浮动地址配置HA功能配置同步和连接同步监控检查对象配置故障检测配置监控状态观察配置步骤配置DUT1设备HA接口地址、浮动IP地址进入网络>接口配置>物理接口，单击“新建”按钮，配置接口IP地址，如下图。配置完成后点击“提交”以使配置生效。配置HA功能进入系统>高可用性>配置，选择主备模式，配置首选通信地址，如下图。配置完成后点击“确定”以使配置生效。配置同步和连接同步进入系统>高可用性>配置同步，选择主备模式，配置首选通信地址，如下图。配置完