防火墙技术与应用（微课版） 课件 模块5-7 双机热备技术- 用户管理

模块5双机热备技术防火墙技术与应用微课版01模块概述03知识准备04项目实施02教学目标C教学过程壹模块概述模块概述传统的组网方式中，内部用户和外部用户的交互报文全部通过防火墙。如果这个防火墙出现故障，内部网络中的主机与外部网络间的通讯将中断，通讯可靠性无法保证。双机热备份技术的出现改变了可靠性难以保证的尴尬状态，通过在网络出口位置部署两台防火墙，形成双机备份，保证了内部网络与外部网络之间的通讯畅通。贰教学目标教学目标知识目标技能目标素养目标1．理解VRRP的工作原理。2．掌握VGMP备份组的工作机制。3．了解HRP的工作过程。4．了解双机热备的备份方式。1．强化高可用性思维，主动规划冗余链路。2．建立状态同步的严谨规范，配置协议时严格执行版本匹配检查。3．养成故障切换验证习惯，实时监测业务恢复时间是否满足要求。4．提升容灾方案决策能力，树立“可靠性与资源利用率”的权衡意识。1．能够配置主备备份模式的双机热备。2．能够配置负载分担模式的双机热备。3．能够配置双出口网络的双机热备。叁知识准备知识准备5.2.1VRRP5.2.2VGMP5.2.3

HRP5.2.4

双机热备的备份方式5.2.1VRRP一、VRRP协议DMZTrustUntrustFW1/24MasterFW2Backup/24备份组1VirtualIPAddress备份组2VirtualIPAddress备份组3VirtualIPAddress当防火墙上有多个区域需要提供双机备份功能时，需要在一台防火墙上配置多个VRRP备份组。由于华为USG防火墙是状态防火墙，它要求报文的来回路径通过同一台防火墙。5.2.1VRRP一、VRRP协议传统的VRRP在防火墙应用中存在缺陷，这是因为传统VRRP方式无法实现主、备用防火墙状态的一致性。FW1MasterFW2BackupTrustDMZUntrustPC1PC2（1）（2）（3）（4）会话表Server（5）（6）5.2.2VGMP二、VGMP协议为了保证所有VRRP备份组切换的一致性，在VRRP的基础上进行了扩展，推出了VGMP来弥补此局限。DMZTrustUntrustUSGA/24USGB/24备份组2备份组3备份组1VGMPActiveVGMPStandbyhelloack当防火墙上的VGMP为Active状态时，组内所有VRRP备份组的状态统一为Active状态，所有报文都将从该防火墙上通过，该防火墙成为主用防火墙。5.2.2VGMP二、VGMP协议状态一致性管理VGMP管理组控制所有的VRRP备份组统一切换。抢占管理当原来出现故障的主设备故障恢复时，其优先级也会恢复，此时可以重新将自己的状态抢占为主。DMZTrustUntrustUSGA/24USGB/24备份组2备份组3备份组1VGMPActiveVGMPStandbyhelloack5.2.3HRP三、HRP协议备份内容：连接状态数据。备份方向：状态为主的VGMP管理组，向对端备份。备份通道：在两台设备上直连的端口作为备份通道，也称为“心跳线”。FW1MasterFW2BackupTrustDMZUntrustPC1PC2(1)(2)(3)(4)会话表项Server(5)(6)心跳线HRP协议是用来实现防火墙双机之间的动态状态数据和关键配置命令的备份。5.2.3HRP三、HRP协议两台防火墙之间备份的数据是通过心跳口发送和接收的，是通过心跳链路传输的。心跳口必须是状态独立且具有IP地址的接口，可以是一个物理接口，也可以是由多个物理接口捆绑而成的一个逻辑接口。G1/0/1:G1/0/1:Eth-Trunk1:Eth-Trunk1:FW1FW1FW2FW2HRP心跳接口5.2.4备份方式四、双机热备的备份方式自动备份手工批量备份会话快速备份设备重启后主备防火墙的配置自动同步肆项目实施5.3.1主备备份模式的双机热备实训：主备备份模式的双机热备某公司为提高网络的可靠性，在网络中设置了两台防火墙，其中一台防火墙为主设备，用于转发数据，另一台为备份设备，不转发数据，这两台设备间通过心跳线同步信息。当主防火墙故障时，备份防火墙就会切换为主设备，继续提供服务，避免网络中断。通过在防火墙配置双机热备技术，实现上述通信要求。任务描述5.3.1主备备份模式的双机热备(三)任务实施1．拓扑图2．需求说明FW1、FW2两个防火墙的G1/0/1接口建立VRRP组1，虚拟IP地址为；PC2IP:0GW:IP:00GW:G1/0/1FW1PC1G1/0/3FW2G1/0/0G1/0/0G1/0/1G1/0/3trustdmzhblFW1、FW2两个防火墙的G1/0/3接口建立VRRP组2，虚拟IP地址为；FW1为主设备、FW2为备份设备；心跳线路接口为G1/0/0；当交换机S2连接防火墙FW1的接口故障时，FW2转为主设备。5.3.1主备备份模式的双机热备3．配置说明(三)任务实施按拓扑配置各设备的IP地址、安全区域、安全策略；配置VRRP、HRP；测试。5.3.1主备备份模式的双机热备（四）关键操作步骤

配置VRRP

配置HRP

查看VRRP信息

在防火墙FW1上配置VRRP：[FW1]interfaceGigabitEthernet1/0/1

[FW1-GigabitEthernet1/0/1]vrrpvrid1virtual-ipactive[FW1-GigabitEthernet1/0/1]interfaceGigabitEthernet1/0/3

[FW1-GigabitEthernet1/0/3]vrrpvrid2virtual-ipactive

在防火墙FW2上配置VRRP：[FW2]interfaceGigabitEthernet1/0/1

[FW2-GigabitEthernet1/0/1]vrrpvrid1virtual-ipstandby[FW2-GigabitEthernet1/0/1]interfaceGigabitEthernet1/0/3

[FW2-GigabitEthernet1/0/3]vrrpvrid2virtual-ipstandby5.3.1主备备份模式的双机热备（四）关键操作步骤

配置VRRP

配置HRP

查看VRRP信息在防火墙FW1上配置HRP：[FW1]hrpinterfaceGigabitEthernet1/0/0remote[FW1]hrpenableHRP_M[FW1]在防火墙FW2上配置HRP：[FW2]hrpinterfaceGigabitEthernet1/0/0remote[FW3]hrpenableHRP_S[FW2]5.3.1主备备份模式的双机热备（四）关键操作步骤

配置VRRP

配置HRP

查看VRRP信息通过displayvrrp查看vrrp信息：5.3.1主备备份模式的双机热备（四）关键操作步骤测试结果5.3.1主备备份模式的双机热备注意事项在双机热备配置过程中，如果确实需要在备份防火墙设备上进行配置，需要使用hrpstandbyconfigenable命令。当网络故障点恢复时，原来的防火墙默认会抢占主设备，如果不希望抢占的话，可使用undohrppreempt命令取消抢占。5.3.2负载分担模式的双机热备实训：负载分担模式的双机热备某公司在网络中设置了两台防火墙，如果采用主备备份模式的双机热备，在使用中，实际只有处于Active状态的一台防火墙在工作，处于standby状态的防火墙始终是闲置的状态，造成了资源的浪费。为解决这个问题，可以采用负载分担模式，使两台防火墙能够同时工作，且互为备份，在保证可靠性的情况下，提高了设备的利用率。任务描述5.3.2负载分担模式的双机热备(三)任务实施1．拓扑图PC2G1/0/1FW1PC1G1/0/3FW2G1/0/0G1/0/0G1/0/1G1/0/3trustdmzhblPC3PC4S1S2本地计算机5.3.2负载分担模式的双机热备FW1、FW2两个防火墙的G1/0/1接口建立VRRP组1，虚拟IP地址为；VRRP组2，虚拟IP地址为；FW1、FW2两个防火墙的G1/0/3接口建立VRRP组3，虚拟IP地址为；VRRP组4，虚拟IP地址为;VRRP1、3中，FW1为主设备；VRRP2、4中，FW1为主设备；心跳线路接口为G1/0/0；当交换机连接防火墙FW1的接口故障时，FW2为全部VRRP组的主设备。当交换机连接防火墙FW2的接口故障时，FW1转为全部VRRP组的主设备。(三)任务实施2．需求说明5.3.2负载分担模式的双机热备（四）关键操作步骤

配置双机热备

配置虚拟IP地址

一致性检查启用负载分担模式的双机热备，配置心跳接口：FW1：FW2：5.3.2负载分担模式的双机热备（四）关键操作步骤

配置双机热备

配置虚拟IP地址

一致性检查配置虚拟IP地址：FW1：FW2：5.3.2负载分担模式的双机热备（四）关键操作步骤

配置双机热备

配置虚拟IP地址

一致性检查进行一致性检查：FW1：FW2：5.3.2负载分担模式的双机热备（四）关键操作步骤测试结果抓包位置PC1和PC2在ping

PC3/PC4时，分别经过了不同的防火墙：5.3.2负载分担模式的双机热备防火墙的命令行界面中，没有运行模式“负载分担”对应的命令。只需要在不同的VRRP组中配置不同的Active设备，再通过hrpmirrorsessionenable命令启用会话快速备份功能就可以了。注意事项5.3.3双出口网络的双机热备实训：双出口网络的双机热备某公司在网络中设置了两台防火墙，分别连接一个ISP线路，构成双出口网络，要求当主用防火墙连接内部网络或连接ISP的线路出现故障时，能够切换到备份防火墙，避免网络中断，通过在防火墙配置双机热备技术，实现上述要求。任务描述5.3.3双出口网络的双机热备(三)任务实施1．拓扑图PC2IP:0GW:G1/0/1FW1PC1G1/0/6FW2G1/0/0G1/0/0G1/0/1G1/0/6trustuntrusthblLSW1G0/0/2G0/0/1G0/0/0IP:GW:54R15.3.3双出口网络的双机热备FW1、FW2两个防火墙都设置trust到untrust区域的安全策略；两个防火墙都设置trust访问untrust区域的源NAT策略为出接口地址转换；FW1、FW2两个防火墙的G1/0/1接口建立VRRP组1，虚拟IP地址为，FW1为用主设备，FW2为备份设备；心跳线路接口为G1/0/0；在主防火墙上配置双机热备接口监控；配置防火墙双机热备的抢占时间。(三)任务实施2．需求说明5.3.3双出口网络的双机热备（四）关键操作步骤

安全策略与NAT策略VRRP与HRP

接口监控与抢占时间在防火墙FW1上配置安全策略：[FW1]security-policy[FW1-policy-security]rulenametrust_to_untrust[FW1-policy-security-rule-trust_to_untrust]source-zonetrust[FW1-policy-security-rule-trust_to_untrust]destination-zoneuntrust[FW1-policy-security-rule-trust_to_untrust]actionpermit[FW1-policy-security-rule-trust_to_untrust]quit在防火墙FW1上配置NAT策略：[FW1]nat-policy[FW1-policy-nat]rulenametoInternet[FW1-policy-nat-rule-toInternet]source-zonetrust[FW1-policy-nat-rule-toInternet]destination-zoneuntrust[FW1-policy-nat-rule-toInternet]actionsource-nateasy-ip[FW1-policy-nat-rule-toInternet]quit在防火墙FW2上做同样的配置。5.3.3双出口网络的双机热备（四）关键操作步骤

安全策略与NAT策略VRRP与HRP

接口监控与抢占时间在防火墙FW1上配置VRRP与HRP：[FW1]interfaceGigabitEthernet1/0/1

[FW1-GigabitEthernet1/0/1]vrrpvrid1virtual-ipactive[FW1-GigabitEthernet1/0/1]quit[FW1]hrpinterfaceGigabitEthernet1/0/0remote[FW1]hrpenableHRP_M[FW1]在防火墙FW2上配置VRRP与HRP：[FW2]interfaceGigabitEthernet1/0/1

[FW2-GigabitEthernet1/0/1]vrrpvrid1virtual-ipstandby[FW2-GigabitEthernet1/0/1]quit[FW2]hrpinterfaceGigabitEthernet1/0/0remote[FW2]hrpenableHRP_S[FW2]5.3.3双出口网络的双机热备（四）关键操作步骤

安全策略与NAT策略VRRP与HRP

接口监控与抢占时间在防火墙FW1上配置接口监控与抢占时间：HRP_M[FW1]hrptrackinterfaceg1/0/6HRP_M[FW1]hrppreemptdelay105.3.3双出口网络的双机热备（四）关键操作步骤测试结果当FW1的Internet线路故障时，PC1的数据包转到FW2发送：5.3.3双出口网络的双机热备注意事项在设置两个防火墙G1/0/6接口的IP地址时，需要配置路由器的地址作为网关，也可以配置默认路由。本例中采用了主备备份模式，为提高设备及线路的利用率，还可以采用负载分担模式。模块6VPN技术防火墙技术与应用微课版01模块概述03知识准备04项目实施02教学目标C教学过程壹模块概述模块概述随着网络技术的发展和网络应用的普及，企业网络中出现分支机构、出差员工与总部网络通信的需求，以便共享资源、协同办公。传统的专线联网方式，需要租用运营商线路，费用高且扩展性和灵活性差；采用VPN技术，可以利用廉价的公共网络，以低成本方案满足上述通信需求。VPN技术通过在公共网络上建立一个安全的、加密的通道，使得远程用户或分支机构能够像在本地局域网一样安全地访问内部网络资源。它利用了隧道技术、加密技术和身份验证等多种手段来实现这一目标。贰教学目标教学目标知识目标技能目标素养目标1．了解VPN采用的主要技术及特点。2．掌握GRE、L2TP、IPSec、SSL等VPN技术的工作原理。3．掌握GREoverIPSec、L2TPoverIPSec的作用及应用。1．强化密钥生命周期管理意识，建立定期更新机制。2．培养隧道分离思维，严格区分管理流量和业务流量。3．提升协议协同决策能力，明确“认证嵌套加密”的必要性。1．能够配置IPSecVPN。2．能够配置GREVPN及GREoverIPSecVPN。3．能够配置L2TPVPN及L2TPoverIPSecVPN。4．能够配置SSLVPN。叁知识准备知识准备6.2.1VPN技术简介6.2.2VPN采用的主要技术6.2.3

主流VPN技术6.2.1VPN技术简介VPN（虚拟专用网络）是一种通过共享的公共网络建立私有的数据通道，将各个需要接入这张虚拟网的网络或终端通过通道连接起来，构成一个专用的、具有一定安全性和服务质量保证的网络。定义虚拟：使用IP机制仿真出一个私有的广域网。专用网络：是指用户可以根据通信需求，定制专属的私有网络。

关键词126.2.1VPN技术简介（1）企业远程办公：为员工提供安全的远程访问企业内部网络的方式，提高工作效率。（2）跨地域企业通信：连接企业的多个分支机构，实现数据共享和协同工作。（3）移动设备接入：支持智能手机、平板电脑等移动设备接入企业网络，方便员工随时随地办公。（4）在线游戏和视频流：一些玩家和用户可能会使用VPN访问特定地区的游戏服务器或视频内容。一、VPN应用场景6.2.1VPN技术简介（1）企业远程办公：为员工提供安全的远程访问企业内部网络的方式，提高工作效率。（2）跨地域企业通信：连接企业的多个分支机构，实现数据共享和协同工作。（3）移动设备接入：支持智能手机、平板电脑等移动设备接入企业网络，方便员工随时随地办公。（4）在线游戏和视频流：一些玩家和用户可能会使用VPN访问特定地区的游戏服务器或视频内容。二．VPN的优点6.2.1VPN技术简介三、VPN组网方式根据客户网络接入方式的不同，VPN组网可分为：站点到站点（SitetoSite）总部网络分支机构合作伙伴6.2.1VPN技术简介三、VPN组网方式根据客户网络接入方式的不同，VPN组网可分为：远程访问（RemoteAccess）总部网络出差员工6.2.2VPN采用的主要技术01隧道技术03加密技术02认证技术04密钥管理技术6.2.2VPN采用的主要技术数据进入源VPN网关后，将数据“封装”后通过公网传输到目的VPN网关后再对数据“解封装”。总部网络分支机构原始报文原始报文VPN隧道封装后的报文解封装后的报文1.隧道技术6.2.2VPN采用的主要技术（1）身份认证技术。用于验证接入入户的合法性。主要采用用户名、密码以及USBKey等认证方式。（2）数据认证技术。用于保证数据在网络传输过程中不被篡改，以保证数据的原始性。主要采用散列算法。2.认证技术6.2.2VPN采用的主要技术将明文数据转换为密文数据。可以保证网络中数据传输的安全性，使数据不会被篡改和窥探。加密123456AC&D23#S@123456解密源目的VPN3.加密技术6.2.2VPN采用的主要技术主要作用：保证在互联网上传递的密钥不被窃取。功能包括：密钥的产生、分配保存、更换销毁等环节。4.密钥管理技术6.2.3主流VPN技术GREVPN是一种三层VPN封装技术。GRE可以实现数据报文在互联网隧道中进行封装和解封装；也可以解决了跨越异种网络的报文传输问题。1.GREVPNGRE隧道Dst:Src:dataDst:Src:GREDst:Src:dataDst:Src:data/24/24tunnel0:tunnel0:GRE封装PC2PC1FW1FW2L2TPVPN是为在用户和企业的服务器之间透明传输PPP报文而设置的二层隧道协议。提供了对PPP链路层数据包的通道传输支持。主要用于企业驻外机构和出差人员远程连接企业总部网络。2.L2TPVPN6.2.3主流VPN技术三种使用场景：LNS-Initiated(L2TP网络服务器发起)LAC自动拨号

(L2TP接入集中器自动拨号)Client-Initiated

(L2TP客户端发起)2.L2TPVPN6.2.3主流VPN技术Client-InitiatedVPN中，每个接入用户和LNS之间均建立一条隧道，每条隧道中仅承载一条L2TP会话和PPP连接。2.L2TPVPN6.2.3主流VPN技术IPSec（IPSecurity）协议族是IETF制定的一系列安全协议，它为端到端IP报文交互提供了基于密码学的、可互操作的、高质量的安全保护机制。IPSecVPN是利用IPSec隧道建立的网络层VPN。3.IPsecVPN6.2.3主流VPN技术协议体系IPSec通过验证头AH和封装安全载荷ESP两个安全协议实现IP报文的安全保护。安全联盟IPSec安全传输数据的前提是在IPSec对等体（即运行IPSec协议的两个端点）之间成功建立安全联盟SA。3.IPsecVPN6.2.3主流VPN技术封装模式传输模式：AH头或ESP头被插入到IP头与传输层协议头之间，保护TCP/UDP/ICMP负载。隧道模式：AH头或ESP头被插到原始IP头之前，另外生成一个新的报文头放到AH头或ESP头之前，保护IP头和负载。IKESA为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务。3.IPsecVPN6.2.3主流VPN技术SSL是一个安全协议，为基于TCP的应用层协议提供安全连接；SSL可以为HTTP提供安全连接，广泛应用于电子商务、网上银行等领域；SSLVPN的主要功能包括：用户认证、web代理、文件共享、端口转发和网络拓展等。4.SSLVPN6.2.3主流VPN技术肆项目实施6.3.1配置GREVPN

实训：GREVPN配置某公司在异地开设了分支机构，总、分支网络都已接入到Internet，公网路由可达。总部网络部署了FTP服务器，只为内网用户提供文件共享服务。为方便办公，公司希望分支机构用户也能够访问总部的FTP服务器。通过在防火墙配置GREVPN，实现上述通信要求。任务描述6.3.1配置GREVPN

(三)任务实施1．拓扑图2．需求说明总部、分支网络分别接入运营商，均可访问Internet。分支/24网络可通过GREVPN隧道访问总部FTP服务器1/24。分支FW1FTPG1/0/154/248/30G1/0/6总部PC10/28G1/0/6FW2G1/0/154/24/241/24GREVPN/24tunnel0/24tunnel06.3.1配置GREVPN

3．配置说明(三)任务实施部署Internet环境，使用一台路由器模拟运营商，充当总部、分支的出口网关；配置防火墙各接口的IP地址、安全区域等基础信息；配置GRE隧道接口，并设置安全区域为untrust；配置防火墙安全策略；配置源NAT策略，使总、分支网络均可访问外网；配置隧道静态路由；测试配置结果是否满足需求。6.3.1配置GREVPN

（四）关键操作步骤创

建隧道接口并设置安全区域

配置隧道静态路由防火墙FW1配置隧道接口Tunnel0：[FW1]inttunnel0[FW1-Tunnel0]tunnel-protocolgre//启动gre协议[FW1-Tunnel0]ipadd24[FW1-Tunnel0]source0[FW1-Tunnel0]destination8防火墙FW1配置隧道接口安全区域：[FW1]firewallzoneuntrust[FW1-zone-untrust]addintertunnel06.3.1配置GREVPN

（四）关键操作步骤创

建隧道接口并设置安全区域

配置隧道静态路由

防火墙FW2WEB配置隧道接口：6.3.1配置GREVPN

（四）关键操作步骤创

建隧道接口并设置安全区域

配置隧道静态路由

防火墙FW1配置隧道静态路由：[FW1]iproute-static24tunnel0

防火墙FW2WEB配置隧道静态路由：6.3.1配置GREVPN

（四）关键操作步骤测试结果1.分支用户访问总部FTP服务器：6.3.1配置GREVPN

（四）关键操作步骤测试结果2.分支FW2查看GRE监控信息：6.3.1配置GREVPN

注意事项隧道接口创建后，需要加入到安全区域，并且保证防火墙安全策略放行VPN流量。GREVPN建立后，隧道两端可互相通信的网络是通过隧道静态路由来设置的。特别注意出接口为隧道接口。6.3.2配置L2TPVPN实训：L2TPVPN配置某公司因业务需要，需派遣员工前往异地出差。为方便办公，出差员工希望在异地也能够访问总部内网。通过在防火墙配置L2TPVPN，实现上述通信要求。任务描述6.3.2配置L2TPVPN(三)任务实施1．拓扑图2．需求说明总部网络和出差员工均可访问Internet。出差员工通过L2TPVPN隧道可访问总部服务器/24。FW1ServerG1/0/154/24总部0/28G1/0/6出差员工/24/24L2TPVPN隧道6.3.2配置L2TPVPN3．配置说明(三)任务实施使用一台路由器模拟运营商，充当总部、出差员工的网关；配置防火墙各接口的IP地址、安全区域等基础信息；配置L2TP客户端地址池及用户信息；创建L2TP虚拟模板（虚拟接口及IP地址、身份验证方式、安全区域及关联用户地址池）；配置L2TP组（隧道名、隧道认证方式及密码、调用虚拟模板）配置防火墙安全策略和配置源NAT策略；配置客户端SecoClient，并进行连接测试及通信测试。6.3.2配置L2TPVPN（四）关键操作步骤

配置L2TP客户端地址池及用户信息

配置L2TP虚拟模板

配置L2TP组防火墙FW1配置客户端用户地址池：[FW1]ippooll2tp[FW1-ip-pool-l2tp]section00050[FW1-ip-pool-l2tp]aaa [FW1-aaa]service-schemel2tp_pool //定义服务计划[FW1-aaa-service-l2tp_pool]ip-pooll2tp//绑定ip地址l2tp[FW1-aaa-service-l2tp_pool]quit [FW1-aaa]domaindefault [FW1-aaa-domain-default]service-schemel2tp_pool//默认域default调用服务计划防火墙FW1配置客户端用户信息：[FW1]user-manageuserl2tp-user1[FW1-localuser-l2tp-user1]passworduser1@1236.3.2配置L2TPVPN（四）关键操作步骤

配置L2TP客户端地址池及用户信息

配置L2TP虚拟模板

配置L2TP组防火墙FW1配置L2TPVPN虚拟模板：[FW1]intVirtual-Template1[FW1-Virtual-Template1]ipadd5424 [FW1-Virtual-Template1]pppauthentication-modechap//配置身份验证模式为chap[FW1-Virtual-Template1]remoteservice-schemel2tp_pool[FW1]firewallzoneuntrust[FW1-zone-untrust]addintVirtual-Template1//虚拟接口加入到untrust域6.3.2配置L2TPVPN（四）关键操作步骤

配置L2TP客户端地址池及用户信息

配置L2TP虚拟模板

配置L2TP组防火墙FW1配置L2TP组：[FW1]l2tpenable //开启L2TP服务[FW1]l2tp-group1//创建L2TP组[FW1-l2tp-1]tunnelnameLNS//本端隧道名[FW1-l2tp-1]tunnelauthentication//开启认证[FW1-l2tp-1]tunnelpasswordcipherhuawei@123 //配置认证密码[FW1-l2tp-1]allowl2tpvirtual-template1remoteL2TP_Client

//调用L2TP虚拟模板，对端隧道名为L2TP_Client6.3.2配置L2TPVPN（四）关键操作步骤测试结果1.配置客户端参数并拨号连接：6.3.2配置L2TPVPN（四）关键操作步骤测试结果2.出差用户访问总部服务器：6.3.2配置L2TPVPN注意事项如果存在多个远程用户需要同时拨号建立L2TPVPN，需要使用地址池方式为客户端分配地址。如果仅存在一个远程用户，可以直接指定客户端地址。远程用户拨号可以使用华为客户端工具SecoClient，也可以使用系统创建VPN连接。6.3.3配置IPSecVPN实训：IPSec

VPN配置某公司在异地开设了分支机构，总、分支网络都已接入到Internet，公网路由可达。总部网络部署了OA办公系统，只允许内部员工使用。为方便办公，公司希望分支机构用户也能够使用OA办公系统，并实现安全的数据传输。通过在防火墙配置IPsecVPN，实现上述通信要求。任务描述6.3.3配置IPSecVPN(三)任务实施1．拓扑图2．需求说明总部和分支均可访问Internet。总部和分支机构建立IPsecVPN，实现分支机构用户能够访问企业OA系统。分支FW1OAG1/0/154/248/30G1/0/6总部PC10/28G1/0/6FW2G1/0/154/24/2400/24IPsecVPN6.3.3配置IPSecVPN3．配置说明(三)任务实施使用路由器模拟运营商，充当总部、分支机构的网关；配置防火墙各接口的IP地址、安全区域等基础信息；配置防火墙安全策略和配置源NAT策略；配置ACL，定义VPN流量；配置IKE安全提议，并创建IKE对等体；配置ipsec安全提议，并配置ipsec安全策略；接口应用安全策略；通信测试。6.3.3配置IPSecVPN（四）关键操作步骤防火墙FW1配置ACL，定义VPN流量：配置ACL

配置IKE对等体

配置IPsec安全策略

接口应用安全策略[FW1]acl3000[FW1-acl-adv-3000]rulepermitipsource000destination55

//允许OA系统服务器00与分支网络/24通信6.3.3配置IPSecVPN（四）关键操作步骤防火墙FW1配置IKE对等体：配置ACL

配置IKE对等体

配置IPsec安全策略

接口应用安全策略[FW1]ikeproposal1//创建IKE安全提议1，采用默认参数[FW1-ike-proposal-1]quit [FW1]ikepeerfw2 [FW1-ike-peer-fw2]exchange-modeauto//对等体信息交换模式为自动[FW1-ike-peer-fw2]pre-shared-keyhuawei@123 //设置预共享密钥[FW1-ike-peer-fw2]ike-proposal1 //调用安全提议1[FW1-ike-peer-fw2]remote-address8//配置IKE对端地址

[FW1-ike-peer-fw2]remote-id-typeip

//对端ID类型为IP6.3.3配置IPSecVPN（四）关键操作步骤防火墙FW1配置IPSEC安全策略：配置ACL

配置IKE对等体

配置IPsec安全策略

接口应用安全策略[FW1]ipsecproposal1//配置IPsec安全提议[FW1-ipsec-proposal-1]encapsulation-modeauto//隧道模式为自动[FW1-ipsec-proposal-1]quit [FW1]ipsecpolicyipsecvpn1isakmp//配置IPsec安全策略，名称为ipsecvpn[FW1-ipsec-policy-isakmp-ipsecvpn-1]securityacl3000 //关联VPN流量[FW1-ipsec-policy-isakmp-ipsecvpn-1]ike-peerfw2 //指定对端设备[FW1-ipsec-policy-isakmp-ipsecvpn-1]proposal1//调用IPsec安全提议1，采用默认参数6.3.3配置IPSecVPN（四）关键操作步骤防火墙FW1接口应用IPsec安全策略：配置ACL

配置IKE对等体

配置IPsec安全策略

接口应用安全策略[FW1]intg1/0/6

[FW1-GigabitEthernet1/0/6]ipsecpolicyipsecvpn6.3.3配置IPSecVPN

防火墙FW2

WEB界面配置：（四）关键操作步骤6.3.3配置IPSecVPN（四）关键操作步骤测试结果1.FW2查看IPsecVPN监控信息：6.3.3配置IPSecVPN（四）关键操作步骤测试结果2.分支用户访问总部OA服务器：6.3.3配置IPSecVPN注意事项实际环境中，出口设备需要配置NAT来实现内网用户访问互联网。为保证VPN流量的正常转发，在制定NAT策略的时候注意规避VPN流量(destination-address-exclude)。本例中IKE安全提议和IPsec安全提议均采用系统默认参数。可自行定义，需要注意两端的一致性。6.3.4配置SSLVPN实训：SSLVPN配置某公司因业务需要，允许出差员工及合作伙伴访问内网服务器，同时希望能保证数据传输的安全性，避免信息泄露。通过在防火墙配置SSLVPN，实现上述通信要求。任务描述6.3.4配置SSLVPN(三)任务实施1．拓扑图2．需求说明总部和远程用户均可访问Internet。总部网络部署SSL网关，允许远程用户以合法身份访问总部服务器。FW1ServerG1/0/154/24总部0/28G1/0/6客户端/24/24SSLVPN隧道6.3.4配置SSLVPN3．配置说明(三)任务实施使用路由器模拟运营商，充当总部、远程用户的网关；配置防火墙各接口的IP地址、安全区域等基础信息；配置防火墙安全策略和配置源NAT策略；配置SSLVPN虚拟网关；配置SSL网关的网络扩展功能；配置授权访问的用户信息；通信测试。6.3.4配置SSLVPN（四）关键操作步骤配置SSLVPN网关

配置网络扩展功能

配置授权用户防火墙FW1配置SSLVPN虚拟网关：[FW1]v-gatewaySSL_VPNinterfaceg1/0/6port4430private

//网关地址关联g1/0/6，端口为4430防火墙FW1SSLVPN列表：6.3.4配置SSLVPN（四）关键操作步骤配置SSLVPN网关

配置网络扩展功能

配置授权用户防火墙FW1WEB配置网络扩展功能：6.3.4配置SSLVPN（四）关键操作步骤配置SSLVPN网关

配置网络扩展功能

配置授权用户防火墙FW1WEB配置授权用户：6.3.4配置SSLVPN（四）关键操作步骤配置SSLVPN网关

配置网络扩展功能

配置授权用户防火墙FW1WEB配置授权用户：6.3.4配置SSLVPN（四）关键操作步骤测试结果1.客户端使用SecoClient工具连接SSLVPN网关：6.3.4配置SSLVPN（四）关键操作步骤测试结果2.客户端使用浏览器连接SSLVPN网关：6.3.4配置SSLVPN（四）关键操作步骤测试结果3.通信测试：6.3.4配置SSLVPN注意事项因版本原因，默认在WEB界面下无法创建SSLVPN虚拟网关，需先在CLI下创建，然后WEB配置界面刷新显示。6.3.5配置GREoverIPsecVPN实训：GREoverIPsecVPN配置某公司网络由总、分支构成，因业务需要，两端需要传输多种协议类型的数据报文。公司希望利用公共互联网传输，并要保证数据的安全性。通过在防火墙配置GREoverIPsecVPN，实现上述通信要求。任务描述6.3.5配置GREoverIPsecVPN(三)任务实施1．拓扑图2．需求说明总部和分支均可访问Internet。总部和分支机构建立GREoverIPsecVPN，实现两端网络之间多种数据报文的可靠传输。分支FW1PC1G1/0/154/248/30G1/0/6总部PC20/28G1/0/6FW2G1/0/154/24/24/24GREoverIPsecVPN6.3.5配置GREoverIPsecVPN3．配置说明(三)任务实施使用路由器模拟运营商，充当总部、分支机构的网关；配置防火墙各接口的IP地址、安全区域等基础信息；配置防火墙安全策略和配置源NAT策略；配置GRE接口参数；配置IPsec安全策略及加密数据流；配置隧道静态路由；通信测试。6.3.5配置GREoverIPsecVPN防火墙FW1配置GRE接口参数：

配置GRE接口参数

配置IPsec安全策略

配置加密数据流

配置隧道静态路由防火墙FW2配置GRE接口参数：（四）关键操作步骤6.3.5配置GREoverIPsecVPN防火墙FW1配置IPsec安全策略：防火墙FW2配置IPsec安全策略：

配置GRE接口参数

配置IPsec安全策略

配置加密数据流

配置隧道静态路由（四）关键操作步骤6.3.5配置GREoverIPsecVPN

配置GRE接口参数

配置IPsec安全策略

配置加密数据流

配置隧道静态路由（四）关键操作步骤

防火墙FW1配置加密数据流：防火墙FW2配置加密数据流：6.3.5配置GREoverIPsecVPN

防火墙FW1配置隧道静态路由：防火墙FW2配置隧道静态路由：

配置GRE接口参数

配置IPsec安全策略

配置加密数据流

配置隧道静态路由（四）关键操作步骤6.3.5配置GREoverIPsecVPN（四）关键操作步骤测试结果1.FW1查看IPsecVPN监控信息：2.FW2查看IPsecVPN监控信息：6.3.5配置GREoverIPsecVPN（四）关键操作步骤测试结果3.分支用户访问总部：6.3.5配置GREoverIPsecVPN注意事项GREoverIPsecVPN在设置加密流量的时候，使用两端出口公网地址，协议为GRE。而不再是内网地址。隧道建立后，两端网络之间的互访通过配置隧道静态路由来确定。6.3.6配置L2TPoverIPsecVPN实训：L2TPoverIPsecVPN配置某公司因业务需要，需派遣员工前往异地出差。为方便办公，出差员工希望在异地也能够访问总部内网，同时要保证数据传输的安全性，通过在防火墙配置L2TPoverIPsecVPN，实现上述通信要求。任务描述6.3.6配置L2TPoverIPsecVPN(三)任务实施1．拓扑图2．需求说明总部网络和出差员工均可访问Internet。出差员工通过L2TPoverIPsecVPN隧道，对总部服务器/24实现安全访问。FW1ServerG1/0/154/24总部0/28G1/0/6出差员工/24/24L2TPoverIPsecVPN6.3.6配置L2TPoverIPsecVPN3．配置说明(三)任务实施使用一台路由器模拟运营商，充当总部、出差员工的网关；配置防火墙各接口的IP地址、安全区域等基础信息；配置防火墙安全策略和配置源NAT策略；配置L2TP客户端地址池；配置L2TPoverIPsec隧道参数；配置L2TP隧道接口参数；配置客户端用户信息；配置客户端SecoClient，并进行连接测试及通信测试。6.3.6配置L2TPoverIPsecVPN防火墙FW1配置客户端用户地址池：

配置L2TP客户端地址池

配置L2TPoverIPsec隧道参数

配置L2TP隧道接口

配置拨号用户（四）关键操作步骤6.3.6配置L2TPoverIPsecVPN防火墙FW1配置L2TPoverIPsec隧道参数：

配置L2TP客户端地址池

配置L2TPoverIPsec隧道参数

配置L2TP隧道接口

配置拨号用户（四）关键操作步骤6.3.6配置L2TPoverIPsecVPN防火墙FW1配置L2TP隧道接口：

配置L2TP客户端地址池

配置L2TPoverIPsec隧道参数

配置L2TP隧道接口

配置拨号用户（四）关键操作步骤6.3.6配置L2TPoverIPsecVPN防火墙FW1配置拨号用户：

配置L2TP客户端地址池

配置L2TPoverIPsec隧道参数

配置L2TP隧道接口

配置拨号用户（四）关键操作步骤6.3.6配置L2TPoverIPsecVPN（四）关键操作步骤测试结果1.FW1查看VPN监控信息：6.3.6配置L2TPoverIPsecVPN（四）关键操作步骤测试结果2.配置客户端参数并拨号连接：6.3.6配置L2TPoverIPsecVPN（四）关键操作步骤测试结果2.配置客户端参数并拨号连接：6.3.6配置L2TPoverIPsecVPN（四）关键操作步骤测试结果3.远程用户访问总部网络：6.3.6配置L2TPoverIPsecVPN注意事项本实验中配置完隧道参数后，默认L2TP组default-ins已关联配置，可直接使用，也可新建L2TP组。模块7用户管理及认证防火墙技术与应用微课版01模块概述03知识准备04项目实施02教学目标C教学过程壹模块概述模块概述在当前网络环境中，网络安全的威胁更多来源于应用层，这也使得企业对网络访问控制提出了更高的要求。如何精确地识别用户，保证用户的合法应用正常进行，阻断用户访问有安全隐患的应用等，已成为现阶段企业对网络安全关注的重点。但IP不等于用户，端口不等于应用，传统防火墙基于IP/端口的五元组访问控制策略已不能有效应对现阶段网络环境的巨大变化。贰教学目标教学目标知识目标技能目标素养目标1．了解防火墙的AAA技术。2．了解防火墙的用户管理技术。3．理解Portal认证的工作原理。4．理解认证策略的匹配机制。1．强化最小权限执行力度，防范越权访问导致的数据泄露风险。2．树立访客网络监管意识，设定访客账户有效期。3．提升日志审计严谨性，确保操作可追溯，行为能审计。1．能够配置防火墙用户认证策略。2．能够进行用户管理。3．能够配置用户认证过程中相关的NAT策略与安全策略。叁知识准备知识准备7.2.1AAA技术简介7.2.2用户管理7.2.3

Portal认证7.2.4认证策略7.2.1AAA技术简介7.2.1AAA技术简介一、AAA技术AAA表示Authentication、Authorization、Accounting，即认证、授权、计费。AuthenticationAuthorizationAccounting7.2.1AAA技术简介Authentication认证认证是指通过一定的手段，完成对用户身份的确认认证的方式包括：我知道：用户所知道的信息（如：密码、个人识别号（PIN）等）我拥有：用户所拥有的信息（如：令牌卡、智能卡或银行卡）我具有：用户所具有的生物特征（如：指纹、声音、视网膜、DNA）指纹面部声