Power V基本配置举例Word文档格式.docx

1、Client通过拨号登陆防火墙的PPTP/L2TP服务。配置步骤：1. 按照拓扑配置PC和设备的接口地址，防火墙fe1设备工作在路由模式2. 创建拨号用户3. 配置PPTP/L2TP参数验证：1. 在Client PC上的网络连接上建立VPN拨号连接进行连接2. 在防火墙上查看隧道信息，应该有已经建立的隧道的信息。IPSEC VPN 网关-网关Client（10.1.5.200）-（10.1.5.254 fe1）FW1（fe2 192.168.1.202）-（192.168.1.101 fe2）FW2FW1和 FW2之间建立IPSEC VPN隧道，保护子网10.1.5.0/24和192.168

2、.3.0/241. 按照拓扑配置PC和防火墙的IP，防火墙工作来路由模式2. 配置IPSEC设备，把两台防火墙的fe2接口绑在ipsec0设备下3. 配置远程VPN上图是FW1的配置，FW2的配置类似，远程VPN名称输入vpn1，IP地址输入192.168.1.202，其他基本一样。4. 配置网关型隧道这是FW1上的配置，FW2上的配置类似，本地保护子网输入192.168.3.0/24，远程vpn选择vpn1，远端保护子网输入10.1.5.0/24，其他配置一样。在隧道监控中启动隧道，这时可以反先隧道状态应该为“已经建立”QOSClient（10.1.5.200）-（10.1.5.254 fe

3、1）FW（fe2 192.168.1.202）-（192.168.1.101）FTP Server实现Client通过防护墙访问FTP 服务，控制下载流量为8K/Bps1. 按照拓扑配置PC和设备接口IP，防护墙工作在路由模式。Client和FTP server均配置网关指向防火墙。2. 在下载流量的流出接口启动流量管理功能。3. 定义非共享带宽4. 配置共享带宽5. 配置带宽策略组6. 配置带宽管理Client访问192.168.1.101的ftp，下载文件，观察下载速度，应该稳定在8KB/ps左右。端口映射/IP映射/NAT实现Client通过访问防火墙地址10.1.5.254访问FTP

4、服务，同时源地址转换为192.168.1.202，并且只对FTP数据进行转换。实践中发现单独通过IP映射和NAT规则配置实现不了，只能通过端口映射规则实现。Client不配置网关，FTP server配置网关指向防火墙。2. 配置服务器地址资源，拥有一个IP 192.168.1.1013. 配置端口映射规则，同时完成目的地址，源地址的转换Client通过访问防火墙IP10.1.5.254访问FTP成功，并且在FTP服务器上抓包，可以看到目的地址是192.168.1.101，而源地址是192.168.1.202。深度过滤实现Client通过防火墙访问FTP服务，然而特定文件名不可下载。1. 按照

5、拓扑配置PC和防火墙的IP地址，防火墙工作在路由模式。Client和FTP服务器均配置网关指向防火墙。2. 配置文件名组，设置一个FTP服务器上一个存在的文件名3. 配置过滤策略4. 在基本配置启动深度过滤5. 定义报过滤规则引用配置的过滤策略。Client通过防火墙访问FTP，文件名组内的文件无法下载，而其他文件可以下载。IP/MAC绑定PC（10.1.5.200）-（10.1.5.254 fe1）FW配置IP/MAC绑定，将PC的IP和MAC地址绑定，进行检查。1. 按照拓扑配置PC和防火墙的IP，防火墙工作在路由模式。2. 在fe1设备上启动IP/MAC绑定检查功能3. 在安全选项中启动

6、IP/MAC检查功能4. 在地址绑定中添加绑定对应关系验证此时PC应该可以ping通防火墙地址，但如果将绑定关系中任意一个进行修改，则PC就ping不通防火墙了。认证+报过滤规则实现只有认证的用户才能通过防火墙访问FTP服务。1. 按照拓扑配置PC和防火墙的IP，Client和FTP服务器均配置网关指向防火墙2. 在用户列表创建用户3. 在用户组添加用户组4. 配置包过滤规则动作选择认证方式。1. 在没有用认证客户端认证的情况向访问FTP服务器，此时无法连接。2. 用认证客户端认证后，可以访问FTP服务。IPSEC VPN客户端-网关PC1（10.1.5.200）-（10.1.5.254 fe

7、1）FW（fe3 192.168.0.202）-（192.168.0.201）PC2PC1通过VPN客户端连接网关IPSEC VPN访问PC21. 按照拓扑配置IP地址，PC1网关指向FW，PC2将网关指向FW。2. 将防火墙fe1接口绑在vpn设备上3. 将防火墙的默认网关指向PC14. 配置远程VPN，注意类型选择客户端5. 配置客户端隧道6. 在隧道监控中启动该隧道7. 在PC1上正确安装并注册VPN客户端，打开配置隧道，预共享秘钥配置和远程vpn的一致“11111111”8. 在高级选项中配置你要获得的IP地址1. 配置好客户端后，在监控页面进行连接，隧道应可以成功建立2. 在PC1上

8、ping PC2地址192.168.0.201的同时，察看隧道监控信息可以发现隧道内有数据流量。注意事项：1. 如果网关的客户端隧道配置中，“客户端虚拟IP地址类型”选择“any”，则客户端中就不要选择“获取IP虚拟地址”，网关也不需要将网关指向客户端。2. 如果客户端想要使用网关的DHCP来获取IP地址，则要在客户端高级配置中选择“在IPSEC上运行地址分配协议”选项，同时在VPN设备上启动DHCP over IPSEC。3. 目前咱们的客户端必须通过配置了默认网关的网卡发起协商，所以客户端网卡上必须配置默认网关。4. 实践过程中，客户端对双网卡的PC支持有些问题，会出现无法进行协商或者协商获取IP错误的问题，已经和研发确认。所以目前尽量不要在双网卡的客户端使用ipsec vpn。