Power V基本配置举例Word文档格式.docx
《Power V基本配置举例Word文档格式.docx》由会员分享,可在线阅读,更多相关《Power V基本配置举例Word文档格式.docx(21页珍藏版)》请在冰豆网上搜索。
Client通过拨号登陆防火墙的PPTP/L2TP服务。
配置步骤:
1.按照拓扑配置PC和设备的接口地址,防火墙fe1设备工作在路由模式
2.创建拨号用户
3.配置PPTP/L2TP参数
验证:
1.在ClientPC上的网络连接上建立VPN拨号连接进行连接
2.在防火墙上查看隧道信息,应该有已经建立的隧道的信息。
IPSECVPN网关-网关
Client(10.1.5.200)--------(10.1.5.254fe1)FW1(fe2192.168.1.202)--------(192.168.1.101fe2)FW2
FW1和FW2之间建立IPSECVPN隧道,保护子网10.1.5.0/24和192.168.3.0/24
1.按照拓扑配置PC和防火墙的IP,防火墙工作来路由模式
2.配置IPSEC设备,把两台防火墙的fe2接口绑在ipsec0设备下
3.配置远程VPN
上图是FW1的配置,FW2的配置类似,远程VPN名称输入vpn1,IP地址输入192.168.1.202,其他基本一样。
4.配置网关型隧道
这是FW1上的配置,FW2上的配置类似,本地保护子网输入192.168.3.0/24,远程vpn选择vpn1,远端保护子网输入10.1.5.0/24,其他配置一样。
在隧道监控中启动隧道,这时可以反先隧道状态应该为“已经建立”
QOS
Client(10.1.5.200)--------(10.1.5.254fe1)FW(fe2192.168.1.202)--------(192.168.1.101)FTPServer
实现Client通过防护墙访问FTP服务,控制下载流量为8K/Bps
1.按照拓扑配置PC和设备接口IP,防护墙工作在路由模式。
Client和FTPserver均配置网关指向防火墙。
2.在下载流量的流出接口启动流量管理功能。
3.定义非共享带宽
4.配置共享带宽
5.配置带宽策略组
6.配置带宽管理
Client访问192.168.1.101的ftp,下载文件,观察下载速度,应该稳定在8KB/ps左右。
端口映射/IP映射/NAT
实现Client通过访问防火墙地址10.1.5.254访问FTP服务,同时源地址转换为192.168.1.202,并且只对FTP数据进行转换。
实践中发现单独通过IP映射和NAT规则配置实现不了,只能通过端口映射规则实现。
Client不配置网关,FTPserver配置网关指向防火墙。
2.配置服务器地址资源,拥有一个IP192.168.1.101
3.配置端口映射规则,同时完成目的地址,源地址的转换
Client通过访问防火墙IP10.1.5.254访问FTP成功,并且在FTP服务器上抓包,可以看到目的地址是192.168.1.101,而源地址是192.168.1.202。
深度过滤
实现Client通过防火墙访问FTP服务,然而特定文件名不可下载。
1.按照拓扑配置PC和防火墙的IP地址,防火墙工作在路由模式。
Client和FTP服务器均配置网关指向防火墙。
2.配置文件名组,设置一个FTP服务器上一个存在的文件名
3.配置过滤策略
4.在基本配置启动深度过滤
5.定义报过滤规则引用配置的过滤策略。
Client通过防火墙访问FTP,文件名组内的文件无法下载,而其他文件可以下载。
IP/MAC绑定
PC(10.1.5.200)--------(10.1.5.254fe1)FW
配置IP/MAC绑定,将PC的IP和MAC地址绑定,进行检查。
1.按照拓扑配置PC和防火墙的IP,防火墙工作在路由模式。
2.在fe1设备上启动IP/MAC绑定检查功能
3.在安全选项中启动IP/MAC检查功能
4.在地址绑定中添加绑定对应关系
验证
此时PC应该可以ping通防火墙地址,但如果将绑定关系中任意一个进行修改,则PC就ping不通防火墙了。
认证+报过滤规则
实现只有认证的用户才能通过防火墙访问FTP服务。
1.按照拓扑配置PC和防火墙的IP,Client和FTP服务器均配置网关指向防火墙
2.在用户列表创建用户
3.在用户组添加用户组
4.配置包过滤规则动作选择认证方式。
1.在没有用认证客户端认证的情况向访问FTP服务器,此时无法连接。
2.用认证客户端认证后,可以访问FTP服务。
IPSECVPN客户端-网关
PC1(10.1.5.200)----------(10.1.5.254fe1)FW(fe3192.168.0.202)----------(192.168.0.201)PC2
PC1通过VPN客户端连接网关IPSECVPN访问PC2
1.按照拓扑配置IP地址,PC1网关指向FW,PC2将网关指向FW。
2.将防火墙fe1接口绑在vpn设备上
3.将防火墙的默认网关指向PC1
4.配置远程VPN,注意类型选择客户端
5.配置客户端隧道
6.在隧道监控中启动该隧道
7.在PC1上正确安装并注册VPN客户端,打开配置隧道,预共享秘钥配置和远程vpn的一致“11111111”
8.在高级选项中配置你要获得的IP地址
1.配置好客户端后,在监控页面进行连接,隧道应可以成功建立
2.在PC1上pingPC2地址192.168.0.201的同时,察看隧道监控信息可以发现隧道内有数据流量。
注意事项:
1.如果网关的客户端隧道配置中,“客户端虚拟IP地址类型”选择“any”,则客户端中就不要选择“获取IP虚拟地址”,网关也不需要将网关指向客户端。
2.如果客户端想要使用网关的DHCP来获取IP地址,则要在客户端高级配置中选择“在IPSEC上运行地址分配协议”选项,同时在VPN设备上启动DHCPoverIPSEC。
3.目前咱们的客户端必须通过配置了默认网关的网卡发起协商,所以客户端网卡上必须配置默认网关。
4.实践过程中,客户端对双网卡的PC支持有些问题,会出现无法进行协商或者协商获取IP错误的问题,已经和研发确认。
所以目前尽量不要在双网卡的客户端使用ipsecvpn。