导图社区 Linux华为

Linux华为

Linux华为知识总结，包括设备管理、交换机、路由器、防火墙、系统管理等内容，有兴趣的可以看下。

编辑于2022-05-19 17:49:37

网络工程师软考
Linux华为

EDiPSjiR

他的近期作品查看更多>>

Linux华为

社区模板帮助中心，点此进入>>

EDiPSjiR

他的近期作品查看更多>>

相似推荐
大纲

互联网9大思维
- 34.0k
- 915
- 2.4k
- 392
MindMaster
组织架构-单商户商城webAPP 思维导图。
- 14.6k
- 3
- 184
- 10
Kacyun
域控上线
- 1.6k
- 163
- 11
- 4
jackrao
python思维导图
- 5.4k
- 529
- 242
- 7
(*^▽^*)
css
- 1.2k
- 1
- 43
- 3
A张舫
CSS
- 3.3k
- 262
- 188
- 33
journey
计算机操作系统思维导图
- 4.2k
- 338
- 204
- 18
journey
计算机组成原理
- 1.5k
- 98
- 70
- 8
journey
IMX6UL(A7)
- 514
- 40
- 5
- 0
Handler XU
考试学情分析系统
- 688
- 50
- 10
- 1
蒋龙

Linux华为

设备配置

设备管理

系统管理

设备名称

sysname ？

名称任意

配置管理

保存配置

另存配置

<core>save x.cfg

不更改下次启动配置

保存当前

<core>save

覆盖下次启动配置

比较配置

<core>compare configuration

修改启动配置

<core>startup saved-configuration x.cfg

下次启动配置改为x.cfg

恢复出厂配置

1. <core>reset saved-configuration

2. 提示信息，输入y

3. <core>reboot

4. 提示是否保存配置：输入n

5. 确认是否重启：输入y

重启设备

<core>reboot

提示是否保存配置：输入？

y 保存当前配置

n 不保存当前配置

确认是否重启：输入y

验证

设备文件

dir

当前配置

display cu

已保存配置

display save

查看版本

display version

启动配置

display startup

登陆协议

console

[core]user-interface console 0

进入console配置

[core-ui-console0]idle-timeout 30

登陆超时,默认：10分钟

Telnet

启用Telnet服务

telnet server enable

默认关闭

SSH

使能SSH服务

stelnet server enable

默认关闭

用户配置

必须在AAA配置相同的用户，在AAA配置ssh密码

服务类型

[core]ssh user xian service-type ?

stelnet

sftp

认证类型

[core]ssh user xian authentication-type ？

password

密码

端口配置

ssh server port

验证

display ssh server status

VTY配置

进入虚接口

user-interface vty 0 4

表示同时支持5个

认证模式

[core-ui-vty0]authentication-mode ?

aaa

AAA认证

password

允许协议

[core-ui-vty0]protocol inbound ？

ssh

某些型号默认ssh

telnet

all

登陆超时

[core-ui-vty0]idle-timeout 60

默认10分钟

限制主机

[core-ui-vty0]acl 2000 inbound

配置后，只允许ACL2000列表中IP登录

AAA配置

配置AAA

aaa

配置密码

[core-aaa]local-user xian password cipher xian@123

配置本地用户“xian”,密码"xian@123"

服务类型

[core-aaa]local-user xian service-type ？

ssh

telnet

terminal

console口

用户权限

[core-aaa]local-user xian privilege level 15

配置本地用户“xian”权限等级15

交换机

二层

VLAN

VLAN收发规则

Access

收

无TAG

接收此帧，并打上此端口的TAG

有TAG

PVID相同

接收此帧

PVID不同

丢弃此帧

发

去掉TAG，发送此帧

Hybrid

收

无TAG

接收此帧，并打上接收端口的TAG

有TAG

PVID相同

在允许VLAN表，接收此帧

PVID不同

在允许VLAN表，接收此帧，否则丢弃

发

untagged

只发送允许vlan，报文去掉TAG，并非变vlan1，而是无TAG

tagged

只发送允许vlan，报文保留TAG，支持端口PVID和vlan 1保留TAG

Trunk

收

无TAG

接收此帧，并打上接收端口的TAG

有TAG

PVID相同

在允许VLAN表，接收此帧

PVID不同

在允许VLAN表，接收此帧，否则丢弃

发

端口PVID

只发送允许vlan，报文去掉TAG，并非变vlan1，而是无TAG

非端口PVID

只发送允许vlan，报文保留TAG

注意

默认允许vlan1通过，报文无TAG，报文随接收端口TAG变化

“收”是端口接收对端发来的数据，非设备内部另外端口发来的数据

“发”是端口向对端发送数据

配置VLAN

创建vlan

vlan batch 2 to 9

划分vlan

基于端口

access

端口类型

port link-type access

端口PVID

potr default vlan 5

允许VLAN

只允许PVID的vlan

发送时去掉TAG

hybrid

端口类型

port link-type hybrid

默认hybrid

端口PVID

port hybrid pvid vlan 5

允许VLAN

携带TAG

port hybrid tagged vlan 5

hybrid支持端口PVID携带或去掉TAG

去掉TAG

port hybrid untagged vlan 2 to 4

发送去掉TAG

trunk

端口类型

port link-type trunk

端口PVID

port trunk pvid vlan 5

允许VLAN

port trunk allow-pass vlan 2 to 5

发送时2-4携带TAG，5去掉TAG

基于MAC

进入vlan

vlan 2

绑定MAC

[core-vlan2]mac-vlan mac-address xxxx-xxxx-xxxx

下连此MAC接口

interface g0/0/5

vlan配置

[core-g0/0/5] port hybrid untagged vlan 2

必须去掉VlanTAG，否则无法通信

启用MAC-vlan

[core-g0/0/5]mac-vlan enable

必要配置

说明

应用场景

主机位置不固定，但需要访问固定vlan的服务器

access、trunk仅支持同端口pvid的mac-vlan

交换机接收无TAG，发送携带TAG，如果不去掉TAG

1、下游接口未允许此vlan通过，直接丢弃

2、下游接口允许此vlan通过，但主机接口未允许

基于子网

进入vlan

vlan2

绑定IP

[core-vlan2]ip-subnet-vlan 1 ip 10.1.2.5 32

绑定主机或网段，最多12个

下连此IP接口

core

[core]interface g0/0/5

[core-g0/0/5] port hybrid untagged vlan 2

必须去掉vlan 2 TAG，否则无法通信

[core-g0/0/5] ip-subnet-vlan enable

必要配置

说明

应用场景

主机位置不固定，但需要访问固定vlan的服务器

access、trunk仅支持同端口pvid的mac-vlan

交换机接收无TAG，发送携带TAG，如果不去掉TAG

1、下游接口未允许此vlan通过，直接丢弃

2、下游接口允许此vlan通过，但主机接口未允许

super vlan

vlan

创建vlan

vlan batch 2 3 9

进入vlan

vlan 9

super-vlan不能加入任何端口

配置为super vlan

[core-vlan9]aggregate-vlan

配置从vlan

[core-vlan9]access-vlan 2 to 3

sub不能创建vlanif

vlanif

创建vlanif 9

in vlan 9

IP地址

[core-Vlanif9]ip address 10.1.9.1 25

所有sub-vlan都能使用super-vlanif作为网关

ARP代理

[core-Vlanif9]arp-proxy inter-sub-vlan-proxy enable

默认不同sub间无法通信，需开启vlan代理

DHCP配置

[core-Vlanif9]dhcp select interface

sub-vlan获取10.1.9.0网段

端口视图

in gi0/0/2

[core-Gi0/0/2]port link-type access

[core-Gi0/0/2]port default vlan 2

说明

应用场景

多台主机间隔离，汇聚通过super-vlan与网关连接

能与super-vlanif通信，等同能与sub-vlan下的设备通信

配置VLANIF

功能

三层逻辑口（SVI），实现vlan间三层通信，

配置

创建vlan

vlan 9

创建vlanif

interface vlanif 9

必须已创建vlan

配置IP

[core-Vlanif9]ip address 10.1.9.1 24

DHCP地址池

参考DHCP配置

链路聚合

汇聚口视图

创建

[core]interface Eth-Trunk 1

汇聚模式

[core-Eth-Trunk1]mode ？

manual load-balance

默认：手工模式

lacp

两端必须均支持LACP

添加端口

[core-Eth-Trunk1]trunkport Gi 0/0/1 to 0/0/2

端口需空配置

分担方式

[core-Eth-Trunk1]load-balance ？

src-dst-ip（源目IP）

默认，适用任意

src-ip（源IP）

dst-ip（目的IP）

src-dst-mac（源目MAC）

适用局域网

dst-mac

适用局域网

LACP

限制最大活动链路

[core-Eth-Trunk1]max active-linknumber 2

多余链路变备用

抢占

[core-Eth-Trunk1]lacp preempt enable

默认:不启用

抢占延迟

[core-Eth-Trunk1]lacp preempt delay 60

默认:30秒

两端需一致，正常不限制

端口配置

略...与普通端口配置一样

LACP优先级

[core]lacp priority 100

默认:32768，越小越优先

端口视图

指定端口

interface g0/0/1

加入汇聚

[core-G0/0/1]eth-trunk 1

与汇聚口视图效果一样

端口优先级

[core-G0/0/1]lacp priority 100

默认32768，限制活动链接后，小的为活动链路

验证及说明

查看eth信息

display eth-trunk

Hash arithmetic：

负担方式

BW：

接口带宽

手工模式

Status：

UP（正常）

Down（故障）

LACP

system priority

本端优先级

Status：

selected：活动端口

unselect：非活动端口

Partnet（对端）

actorportname（对端端口）

syspri

对端优先级

说明

每30秒相互发送lacp报文，超时时间90秒

逐流

默认逐流

逐包

子主题

VRRP

master配置

创建vlan

[core]vlan 9

VRRP配置

创建vlanif

in vlan 9

接口IP

[core-Vlanif9]ip address 10.1.9.2 24

配置虚IP

[core-Vlanif9]vrrp vrid 9 virtual-ip 10.1.9.1

两端vrid、ip必须相同

优先级

[core-Vlanif9]vrrp vrid 9 priority 120

<1-254>，默认100,越大越优先

链路侦测

[core-Vlanif9]vrrp vrid 9 track ？ reduced 40

线路故障后减40优先级，只需在master配置

？

interface

联动端口状态

ip route

联动路由条目状态

nqa

bfd

报文间隔

[core-Vlanif9]vrrp vrid 9 timer advertise 10

通告报文间隔10秒

抢占时间

[core-Vlanif9]vrrp vrid 9 preempt-mode timer delay 30

建议：master延迟抢占30秒，backup立即抢占

backup配置

创建vlan

[core]vlan 9

VRRP配置

创建vlanif

in vlan 9

接口IP

[core-Vlanif9]ip address 10.1.9.3 24

配置虚IP

[core-Vlanif9]vrrp vrid 9 virtual-ip 10.1.9.1

两端vrid、ip必须相同

验证及说明

验证

display vrrp 9

查看vrid 9的详细信息

默认参数

vrrp优先级

100

抢占方式

立即抢占

通告报文间隔

1秒

免费ARP间隔

120秒

MSTP

根桥配置

STP模式

[core]stp mode mstp

华为默认Mstp

stp优先级

实例0优先级

必须是4096的倍数，越小越优先，默认32768

[core]stp priority 0

未绑定实例的VLAN都是实例0

指定实例

软考不一定考这么复杂多实例STP，提高链路利用率

[core]stp instance 1 priority 0

使此设备为实例1的根桥

[core]stp instance 2 priority 4096

MSTP配置

进入MSTP

[core]stp region-configuration

区域名称

[core-mst-region]region-name xxx

区域名xxx，两端必须一致

实例1映射关系

[core-mst-region]instance 1 vlan 10

实例2映射关系

[core-mst-region]instance 2 vlan 20

配置实例1与vlan映射关系

激活配置

[core-mst-region]active region-configuration

激活区域配置每次修改都需激活配置

检查配置

[core-mst-region]check region-configuration

未激活时，display this无法看到MSTP配置

备根设备

STP模式

[core]stp mode mstp

配置模式为Mstp 华为默认Mstp

stp优先级

实例0优先级

[core]stp priority 4096

使本交换为备根桥

指定实例

[core]stp instance 1 priority 4096

[core]stp instance 2 priority 0

使此设备为实例2的根桥

MSTP配置

进入MSTP

[core]stp region-configuration

区域名称

[core-mst-region]region-name xxx

区域名xxx，两端必须一致

实例1映射关系

[core-mst-region]instance 1 vlan 10

实例2映射关系

[core-mst-region]instance 2 vlan 20

配置实例1与vlan映射关系

激活配置

[core-mst-region]active region-configuration

激活区域配置每次修改都需激活配置

检查配置

[core-mst-region]check region-configuration

未激活时，display this无法看到MSTP配置

接入交换

端口配置

指定根端口

interface g0/0/5

修改开销

[core.b-G0/0/5]stp cost ？

会影响下游设备cost的计算

修改端口优先级

[core.b-G0/0/5]stp port priority 96

默认128，需16倍数，需计算上游沿途开销

下连终端

边缘端口

[core.b-G0/0/5]stp edged-port enable

过滤BPDU

[core.b-G0/0/5]stp bpdu-filter enable

不转发BPDU报文

验证

查看端口状态

display stp brief

ROOT（根端口）

状态：转发

DESI（指定端口）

状态：转发

如该端口未收到BPDU，未参与生成树计算，状态为：DESI

如未允许实例包含vlan通过，无法收到BUDU

ALTE（替代端口）

状态：阻塞

MAST

与master区域名称不一致

查看实例信息

display stp instance 2

查看实例配置

display stp region

wr'j

DHCP Snooping

配置

在接入层

启用

启用DHCP服务

dhcp enable

必配

启用snooping

dhcp snooping enable

必配

配置信任端口

端口视图方式

上连核心端口

interface g0/0/1

信任端口

dhcp snooping trusted

只向此端口转发DHCP相关报文

vlan视图方式

进入vlan

vlan 1

信任端口

dhcp snooping trusted interface G0/0/1

只能从G1口获取DHCP服务

应用

应用到vlan

进入vlan

vlan 1

适用于端口在相同vlan

启用

dhcp snooping enable

此vlan下的所有端口只向trusted转发DHCP相关报文

应用到端口

非信任端口

interface g0/0/2

适用于端口下有多个vlan

启用

dhcp snooping enable

必须启用，否则仍向此端口转发DHCP相关报文

在核心层

核心层连接其他DHCP服务器，参考接入层配置方式

核心作为DHCP服务器

优先在接入层配置

在所有端口启用不影响核心DHCP分配IP

启用

启用DHCP服务

dhcp enable

必配

启用

dhcp snooping enable

必配

应用到端口

下连接入层端口

interface g0/0/1

启用

dhcp snooping enable

验证及说明

如接入层不支持snooping可在核心配置，使核心不转发非法DHCP报文，将影响控制在接入交换机

查看snooping

display dhcp snooping ？

config

各接口配置

user-bind all

分配的IP

三层

OSPF

参考路由器配置

DHCP

全局DHCP

启用DHCP服务

[core]dhcp enable

接口配置

进入三层接口

[core]interface vlan 1

接口IP

[core-vlanif1]ip address 10.1.1.1 24

必须与地址池同网段

选择地址池

[core-vlanif1]dhcp select global

从全局地址池获取地址

地址池配置

创建地址池

[core]ip pool 1

名称任意

分配网段

[core-ip-pool-1]network 10.1.1.0 mask 24

默认网关

[core-ip-pool-1]gateway-list 10.1.1.1

可任意，前提作为分配网段的路由

DNS服务器

[core-ip-pool-1]dns-list 223.5.5.5

可配置多个

租期

[core-ip-pool-1]lease day 0 hour 12 minute 0

默认day 1

unlimited 无限

保留地址

[core-ip-pool-1]excluded-ip-address 10.1.1.2 10.1.1.10

保留10.1.1.2-9范围内的地址

固定分配

[core-ip-pool-1]static-bind ip-address 10.1.1.5 mac-address xxxx-xxxx-xxxx

接口DHCP

启用dhcp服务

[core]dhcp enable

vlanif/三层接口

进入接口

[core]interface vlan 2

接口IP

[core-Vlanif2]ip address 10.1.2.1 25

也是此网段的默认网关

选择地址池

[core-Vlanif2]dhcp select interface

使用此接口地址池，地址范围同接口IP的掩码

DNS服务器

[core-Vlanif2]dhcp server dns-list 223.5.5.5

DHCP租期

[core-Vlanif2]dhcp server lease day 3

默认day 1

保留地址

[core-Vlanif2]dhcp server excluded-ip-address 10.1.2.1 10.1.2.9

保留10.1.2.1-9范围内的地址

验证

display ip pool interface vlanif2 used

查看分配主机MAC和配置信息

做DHCP客户端

启用DHCP服务

dhcp enable

接口IP自动获取

[core-Vlanif2] ip address dhcp-alloc

查询分配地址

display dhcp client

验证

地址池信息

display ip pool

地址池使用信息

display ip pool name 1 used

查看分配主机MAC和配置信息

其他

all

所有细节

conflict

冲突地址信息

expired

过期地址信息

DHCP报文信息

display dhcp server statistics

接口DHCP

display ip pool interface vlanif3

used 已分配IP

清空已分配

用户视图

<core>reset ip pool name 3 all

安全

MQC流策略

流分类：对报文进行分类，定义流量匹配规则流行为：定义针对报文的动作，如报文过滤、流量限速、重定向等流策略：绑定流分类与流行为，通过引用流策略实现对指定流量的动作

流程

配置流分类

创建流分类

[core]traffic classifier xxx

<cr>

等同or，注：在ENSP上测试为and

operator

报文只匹配一种规则即匹配本条规则

and

有ACL时必须匹配ACL才匹配本条规则

没有ACL时必须匹配所有规则才匹配本条规则

引用流量

[core-classifier-xxx]if-match ？

acl 3000

绑定acl，参考ACL配置

重要说明

acl规则中

permit

允许，使流量匹配流分类，由流行为

deny

禁止，流量被直接丢弃，无法匹配流分类

any

匹配所有报文

vlan-id 5

匹配vlan 5的报文

source-mac

匹配源MAC

配置流行为

创建流行为

[core]traffic behavior xxx

行为规则

报文过滤

deny/permit

重定向

redirect ？

ip-nexthop X.X.X.X

指定下一跳，常用于策略路由

流镜像

mirroring to observe-port 1

配置流策略

创建流策略

[core]traffic policy xxx

绑定分类与行为

[core-traffic-policy-xxx]classifier xxx behavior xxx

可重复、叠加引用

应用流策略

用于端口

[core-G0/0/1]traffic-policy xxx inbound

用于全局

[core]traffic-policy xxx global inbound

用于vlan

[core-vlan4]traffic-policy xxx inbound

说明及验证

查看策略配置

display traffic ?

policy global

全局引用策略

policy interface

接口引用策略

behavior user-defined

流行为

classifier user-defined

流分类

说明

优点

流策略中的ACL配置可随时修改，即使此ACL已被引用

流分类、流行为可被多条流策略引用

当ACL的rule为permit时，执行流行为中的动作

当ACL的rule为deny时，直接丢弃，忽略流行为的动作

ACL

流过滤

时间段

创建名"work"

[core]time-range work 8:30 to 17:30 ？

working-day

工作日

daily

每天

略

ACL配置

创建acl

[core]acl 3000

描述信息

[core-acl-adv-3000]description ？

任意，说明作用

规则

[core-acl-adv-3000]rule permit ？

支持ip、tcp、udp、协议等

时间段

[core-acl-adv-3000]rule deny ？time-range work

ACL应用

用于全局

[core]traffic-filter inbound acl 3000

指定vlan

[core]traffic-filter vlan 9 inbound acl 3000

指定端口

[core-G0/0/5]traffic-filter inbound acl 3000

说明

接口同时配置traffic-filter、policy时，filter先生效

优点

配置更为简洁，不需要创建流分类、流行为或流策略

缺点

每次ACL需取消引用，匹配规则没有流策略丰富

filter仅基于ACL规则匹配报文，只适合做简单的流过滤

验证

查看acl配置

display acl all

基本原理

流量方向

inbound

经当前端口从外部进入设备的流量

outbound

从当前接口发送到外部

从其他接口进入设备，但由当前接口发出的流量

ACL分类

基本ACL：2000-2999

仅用源地址、分片信息、时间段来定义规则

高级ACL：3000-3999

使用源地址、目的地址、协议类型、端口号、时间段定义规则

二层ACL：4000-4999

使用以太网帧头中的源MAC、目的MAC、二层协议类型、VLAN、时间段定义规则

用户ACL：6000-6031

使用源地址、目的地址、协议类型、端口号、时间段定义规则

IPV6 ACL

基本ACL6：2000-2999、高级ACL6：3000-3999

匹配规则

命中即停止向下匹配

两种匹配顺序

配置顺序

编号越小越优先，默认

自动排序

1.VPN实例规则优先

2.地址范围、协议范围越精确越优先

3.上述相同，编号越小越优先

注：自动排序模式下，不允许指定编号

三种结果：不匹配、命中规则允许、命中规则拒绝

使用通配符掩码

与反掩码类似，0表示“匹配”，1代表“不关心”

常用掩码

128=0.0.0.127；64=0.0.0.63

镜像

端口镜像

常用于将核心上连网关端口的流量复制给网管或安全设备

观察口

创建观察口

[core]observe-port 1 interface g0/0/2

进入观察口

interface g0/0/2

关闭生成树

[core-G0/0/2]stp disable

镜像端口

[core]interface Gi 0/0/1

[core-Gi0/0/1]port-mirroring to observe-port 1 ？

both 所有流量

inbound 入流量

outbound 出流量

VLAN镜像

类似端口镜像，但仅针对指定VLAN流量做监管

观察口

参考端口镜像配置

镜像vlan

指定vlan

vlan 1

配置镜像

[core-vlan1]mirroring to observe-port 1 inbound

流镜像

用于仅镜像特定流量，并且流量不在固定端口

观察口

创建观察口

[core]observe-port 1 interface g0/0/2

进入观察口

interface g0/0/2

关闭生成树

[core-G0/0/2]stp disable

MQC

acl

参考ACL

流分类

参考ACL

流行为

mirroring to observe-port 1

对应观察口编号

流策略

参考ACL

引用

参考ACL

验证及说明

功能

镜像端口的流量除正常转发外，再复制一份到观察口

查看镜像配置

display port-mirroring

路由器

路由配置

OSPF

配置流程

IP地址

ip address 10.1.9.1 24

必须能与BDR互通

ospf route-id 10.1.9.9

ID越大越优先

区域

area 0

相同区域建立邻居状态

配置认证

authentication-mode simple 123

区域0所有路由器都需认证，可用接口认证指定只某些需认证

对外地址

10.1.9.1 0.0.0.0

必须发布，否则无法建立ospf

内网网段

network 192.168.1.0 0.0.0.255

使用反掩码

BDR

IP地址

ip address 10.1.9.2 24

必须能与DR互通

ospf route-id 10.1.2.1

ID越大越优先

区域

area 0

相同区域建立邻居状态

配置认证

authentication-mode simple 123

对外地址

10.1.9.2 0.0.0.0

必须发布，否则无法建立ospf

内网网段

network 192.168.2.0 0.0.0.255

使用反掩码

重启ospf进程

<AR>reset ospf process ？

OSPF没有抢占功能，重新选举需重启进程或设备，

其他配置

对接接口视图

进入对接接口

interface g0/0/1

报文时间

配置hello

ospf timer hello 20

默认10秒

两端必须相同，否则无法建立邻居

配置dead

ospf temer dead 80

默认40秒，自动修改成hello的4倍

开销

ospf cost ?

范围1-65535，缺省1

优先级

ospf dr-priority ？

默认1，越大越优先，0不参与选举

认证

ospf authentication-mode simple 123

两端必须相同，否则无法建立邻居

验证

查看ospf信息

display ospf brief

查看邻居

display ospf peer

interface

本端与邻居相连接口

Router ID

邻居ID

address

邻居接口IP

state

Down

Init

已收到对端Hello报文

2-Way

Full

LSDB同步完成，建立邻接关系

Attempt

只存在NBMA网络

mode

nbr is master

邻居是master，主动发送DD报文

nbr is slave

邻居是slave，配合master发送DD报文

查看接口的ospf信息

display ospf interface

查看LSDB

display ospf lsdb

静态路由

格式

ip route-static 目的网段出接口下一跳

如

ip route-static 10.1.1.0 24 vlanif 9 10.1.9.1

策略路由

流量转发时查询策略路由

匹配

按策略路由规则转发，不再查路由表

不匹配

查询路由表

配置查看->综合案例->策略路由

验证

查看路由表

display ip routing-table

查看转发表

display fib

查看实际转发路径

NAT配置

acl number 3000 rule 5 deny ip source 10.1.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 rule 99 permit ip

acl 3000

规则

禁止NAT

rule 5 permit ip source 本端内网IP destination 对端内网IP

参考acl配置

禁止vpn做nat，否则无法使用匹配vpn规则

允许NAT

rule 99 permit ip

VPN

IPSec

eNSP中IPSec_VPN连接成功，也不能Ping通对端内网的网关，但能与主机互通

总部

systemacl 3000 rule 5 deny ip source 10.1.2.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 rule 99 permit ipacl number 3099 rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 quitipsec proposal 99 quitike proposal 99 quitike peer 99 v2 pre-shared-key cipher xian@123 ike-proposal 99remote-address 100.1.2.2ipsec policy 99 99 isakmp ike-peer 99 proposal 99 security acl 3099interface GigabitEthernet0/0/1 ip address 100.1.1.2 255.255.255.248 nat outbound 3000 ipsec policy 99ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 0/0/1 100.1.1.1interface GigabitEthernet0/0/2ip address 10.1.2.1 24

其他配置

NAT

ACL 3000

禁止NAT

rule 5 permit deny ip source 本端内网IP destination 对端内网IP

如果做nat，无法匹配vpn策略

允许NAT

rule 99 permit ip

应用到上连外网接口

接口配置

上连外网接口

G0/0/1

100.1.1.2

下连内网接口

G0/0/2

10.1.2.1

路由配置

外网路由

内网路由

vpn

acl number 3099 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 quitipsec proposal 99 quitike proposal 99 quitike peer 99 v2 pre-shared-key cipher xian@123 ike-proposal 99remote-address 100.1.2.2

安全提议

创建

ipsec proposal xxx

名称任意

认证算法

[AR-ipsec-proposal-xxx]esp authentication-algorithm ？

md5 默认

加密算法

[AR-ipsec-proposal-xxx]esp esp encryption-algorithm ？

des 默认

默认即可

加密地址

acl number 3099 rule permit ip source 10.1.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255

acl 3099

规则

rule 5 permit ip source 本端内网IP destination 对端内网IP

必须指定对端IP，否则表示指定IP发送流量都经过VPN

IKE安全提议

创建

ike proposal 99

编号1-99

认证算法

[AR-ike-proposal-99]authentication-algorithm ？

默认AES-256

加密算法

[AR-ike-proposal-99]encryption-algorithm ？

默认AES-256

默认即可

IKE对等体

ike peer xxx v2 pre-shared-key cipher xian@123 ike-proposal 99 remote-address 100.1.2.2

创建

ike peer 99 v2

名称任意

IKE安全提议

[AR-ike-peer-99]ike-proposal 99

预共享密钥

[AR-ike-peer-99]pre-shared-key cipher xian@123

对端地址

[AR-ike-peer-99]remote-address 100.1.2.2

vpn策略

ipsec policy xxx 99 isakmp security acl 3099 proposal xxx

创建

ipsec policy 99 99 isakmp

加密流

[AR-ipsec-policy-isakmp-99-99]security acl 3099

引用IKE

[AR-ipsec-policy-isakmp-99-99]ike-peer 99

分支

systemacl 3000 rule 5 deny ip source 172.16.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 rule 99 permit ipacl number 3099 rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 quitipsec proposal 99 quitike proposal 99 quitike peer 99 v2 pre-shared-key cipher 123456 ike-proposal 99remote-address 100.1.1.2ipsec policy 99 99 isakmp ike-peer 99 proposal 99 security acl 3099interface GigabitEthernet0/0/1 ip address 100.1.2.2 255.255.255.248 nat outbound 3000 ipsec policy 99ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 0/0/1 100.1.2.1interface GigabitEthernet0/0/2ip address 172.16.1.1 24

VPN

IKE对等体

ike peer xxx v2 pre-shared-key cipher xian@123 ike-proposal 99 remote-address 100.1.2.2

创建

ike peer 99 v2

名称任意

IKE安全提议

[AR-ike-peer-99]ike-proposal 99

预共享密钥

[AR-ike-peer-99]pre-shared-key cipher xian@123

对端地址

[AR-ike-peer-99]remote-address 100.1.1.2

本端名称

[AR-ike-peer-99]local-name 100.1.1.2

接口配置

上连外网接口

G0/0/1

100.1.2.2

下连内网接口

G0/0/2

172.16.1.1

其他配置参考总部

验证

display ike

display ipsec sa

NAT

NPAT

作用：同时转换IP和端口，使IP地址可以复用，目前所说的NAT基本是esay-nat和npat

需NAT地址

创建ACL

acl 3000

规则

[AR-acl-adv-3000]rule permit ip

所有IP

应用NAT

对外接口

interface g0/0/1

本端外网IP

ip address 100.1.1.2 30

100.1.1.2/30表示电信给的IP和掩码

应用

[AR-G0/0/1]nat outbound 3000

所有匹配acl 3000的IP都做nat

对外路由

[AR]ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/1 100.1.1.1

100.1.1.1表示电信给的默认网关

NAT映射

作用：将内网服务器的服务映射到公网上，使外网主机通过本端对外IP访问服务，如：OA、网站、邮件服务等

上连外网口

interface g0/0/1

[AR-G0/0/1]nat server protocol tcp global current-interface 1988 inside 内网IP 80

protocol：转换指定协议

global：对外IP 端口

current-interface（此接口IP）

100.1.1.1（指定IP）

inside：内网IP 端口

综合案例

系统管理

telnet

telnet server enableuser-interface vty 0 4authentication-mode aaaprotocol inbound telnetaaalocal-user xian password cipher xian@123local-user xian service-type telnetlocal-user xian privilege level 15

启用telnet服务

配置vty

配置aaa

SSH

stelnet server enablessh user xian authentication-type passwordssh user xian service-type stelnetuser-interface vty 0 4authentication-mode aaaprotocol inbound sshaaalocal-user xian password cipher xian@123local-user xian service-type sshlocal-user xian privilege level 15

启用ssh服务

SSH配置

认证方式

ssh用户

vty配置

AAA

三层交换

网关

eNSP模拟器 AR1220(只能汇聚百兆交换口)systemsysname ARvlan batch 2 9in vlan 1ip addr 10.1.1.1 24in vlan 9ip addr 10.1.9.2 29interface Eth-Trunk1trunkport ethernet0/0/1 to 0/0/2 port hybrid pvid vlan 9 port hybrid tagged vlan 1 port hybrid untagged vlan 9acl 3000rule permit ipinterface GigabitEthernet0/0/1 ip address 100.1.1.2 255.255.255.252 nat outbound 3000ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0 100.1.1.1ip route-static 10.1.0.0 20 vlanif 9 10.1.9.1

进入配置

system-view

创建vlan

vlan batch 2 to 9

外网接口

上连外网口

interface g0/0/0

外网IP

ip address 100.1.1.2 30

假设电信提供的本端IP：100.1.1.1，默认网关100.1.1.1

内网接口

SVI配置

vlan1

interface Vlanif 1

内网访客网段

ip address 10.1.1.2 24

dhcp select global

vlan9

interface Vlanif 9

与内网网关通信

ip address 10.1.9.2 29

端口配置

指定端口

interface Eth-Trunk1

NAT

二选一

基本acl

创建acl

acl 2000

不推荐，不灵活

规则

rule permit source any

允许所有IP

高级acl

创建acl

acl 3000

推荐

规则

rule permit ip source any

允许所有IP

路由配置

外网路由

ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0 100.1.1.1

0.0.0.0：所有网段

下一跳接口：G0/0/0

下一跳地址：100.1.1.1

内网路由

ip route-static 10.1.0.0 20 vlanif 9 10.1.9.1

核心交换

systemsysname corevlan batch 2 to 9dhcp enablein vlan 1ip addr 10.1.1.2 24dhcp select globalin vlan 2ip addr 10.1.2.1 24dhcp select globalin vlan 9ip addr 10.1.9.1 29ip pool 1network 10.1.1.0 mask 24gateway-list 10.1.1.1dns-list 223.5.5.5excluded-ip-address 10.1.1.1 10.1.1.9ip pool 2network 10.1.2.0 mask 24gateway-list 10.1.2.1dns-list 223.5.5.5excluded-ip-address 10.1.2.1 10.1.2.9interface Eth-Trunk 1trunkport gi 0/0/1 to 0/0/2port hybrid pvid vlan 9port hybrid tagged vlan 1 port hybrid untagged vlan 9ip route-static 0.0.0.0 0.0.0.0 Vlanif 9 10.1.9.2

进入配置

system-view

设备名

system core

创建vlan

vlan batch 2 to 9

启用DHCP

dhcp enable

SVI配置

vlan1

interface Vlanif 1

内网访客网段

ip address 10.1.1.2 24

dhcp select global

vlan2

interface Vlanif 2

内网办公网段

ip address 10.1.2.1 24

dhcp select global

vlan9

interface Vlanif 9

用于内网与网关的路由

ip address 10.1.9.1 29

DHCP

ip pool 1network 10.1.1.0 mask 24gateway-list 10.1.1.1dns-list 223.5.5.5excluded-ip-address 10.1.1.1 10.1.1.9

访客地址池

创建地址池

ip pool 1

分配网段

network 10.1.1.0 mask 24

必须与vlan同网段

分配网关

gateway-list 10.1.1.1

指向网关的内网IP

DNS服务器

dns-list 223.5.5.5

保留地址

excluded-ip-address 10.1.1.1 10.1.1.9

保留10以下IP

办公地址池

创建地址池

ip pool 2

分配网段

network 10.1.2.0 mask 24

分配网关

gateway-list 10.1.2.1

指向Vlanif的IP

DNS服务器

dns-list 223.5.5.5

保留地址

excluded-ip-address 10.1.2.1 10.1.2.9

保留10以下IP

到网关接口

interface Eth-Trunk 1trunkport gi 0/0/1 to 0/0/2port hybrid pvid vlan 9 port hybrid tagged vlan 1 port hybrid untagged vlan 9

进入接口

interface eth-trunk 1

端口汇聚

trunkport GigabitEthernet 0/0/1 to 0/0/2

配置vlan

端口PVID

port hybrid pvid vlan 9

携带TAG

port hybrid tagged vlan 1

去掉TAG

port hybrid untagged vlan 9

报文减少4字节

内网接口

lacp priority 100interface Eth-Trunk 2mode lacptrunkport g 0/0/3 to 0/0/4port hybrid tagged vlan 2 to 9

LACP优先级

lacp priority 100

越小越优先

进入接口

interface eth-trunk 2

汇聚模式

mode lacp-static

端口汇聚

trunkport GigabitEthernet 0/0/3 to 0/0/4

配置vlan

端口PVID

port hybrid pvid vlan 2

允许VLAN

port hybrid untagged vlan 2

去掉Vlan2的TAG，使其与下游vlan1互通

port hybrid tagged vlan 3 to 9

路由配置

ip route-static 0.0.0.0 0.0.0.0 Vlanif 9 10.1.9.2

单臂路由

网关

进入配置

system-view

创建vlan

vlan batch 2 to 9

外网接口

上连外网口

interface g0/0/0

外网IP

ip address 100.1.1.2 24

由电信运营商提供

内网接口

接口

指定接口

interface g0/0/1

接口IP

[AR-G0/0/1]ip address 10.1.1.1 24

子接口2

创建子接口

interface g0/0/1.2

端口+“.”+子接口

接口IP

[AR-G0/0/1.2]ip address 10.1.2.1 24

允许vlan

[AR-G0/0/1.2]dot1q termination vid 2

为方便记忆，推荐接口号=vlan

代理ARP

[AR-G0/0/1.2]arp broadcast enable

默认关闭

启用接口

互通，理论上不启用不能上外网

未启用接口

不能与其他接口互通,包括连外网的接口

NAT

二选一

基本acl

创建acl

acl 2000

不推荐，不灵活

规则

rule permit source any

允许所有IP

高级acl

创建acl

acl 3000

规则

rule permit ip source any

允许所有IP

路由配置

外网路由

ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0 100.1.1.1

0.0.0.0：所有网段

下一跳接口：G0/0/0

下一跳地址：100.1.1.1

核心交换

参考->三层交换->核心交换，单臂路由非主流

策略路由

网关

eNSP模拟器 AR1220interface Eth-Trunk1trunkport ethernet0/0/1 to 0/0/2 port hybrid pvid vlan 9 port hybrid tagged vlan 1 port hybrid untagged vlan 9acl 3000rule permit ipinterface GigabitEthernet0/0/0 ip address 100.1.1.2 255.255.255.252 nat outbound 3000ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0 100.1.1.1ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/1 200.1.1.1ip route-static 10.1.0.0 20 vlanif 9 10.1.9.1

NAT

acl 3000rule permit ip

外网接口

联通出口

interface GigabitEthernet0/0/0 ip address 100.1.1.2 255.255.255.252 nat outbound 3000

电信出口

interface GigabitEthernet0/0/2 ip address 200.1.1.2 255.255.255.252 nat outbound 3000

内网接口

interface Eth-Trunk1trunkport ethernet0/0/1 to 0/0/2 port hybrid pvid vlan 9 port hybrid tagged vlan 1 port hybrid untagged vlan 9

策略路由

acl number 3010 rule permit ip source 10.1.1.0 0.0.0.255 acl number 3020 rule permit ip source 10.1.2.0 0.0.0.255 traffic classifier lt if-match acl 3010traffic classifier dx if-match acl 3020traffic behavior lt redirect ip-nexthop 100.1.1.1traffic behavior dx redirect ip-nexthop 200.1.1.1traffic policy inside classifier lt behavior lt classifier dx behavior dxinterface 填写下连内网接口 traffic-policy inside inbound

联通出口

引用地址

acl 3010

rule permit ip source 10.1.1.0 0.0.0.255

流分类

创建

traffic classifier lt

引用流量

[AR-classifier-lt]if-match acl 3010

流行为

创建

traffic behavior lt

定义行为

[AR-behavior-lt]redirect ip-nexthop 100.1.1.1

流量重定向联通

电信出口

引用地址

acl 3020

rule permit ip source 10.1.2.0 0.0.0.255

流分类

创建

traffic classifier dx

引用流量

[AR-classifier-dx]if-match acl 3020

流行为

创建

traffic behavior dx

定义行为

[AR-behavior-dx]redirect ip-nexthop 200.1.1.1

流量重定向电信

流策略

创建

traffic policy inside

绑定

classifier lt behavior lt

classifier dx behavior dx

下连核心接口

进入端口

interface

应用流策略

traffic-policy inside inbound

说明

真实网络中策略路由必须要配合状态检测，软考应该考不这么吧

路由

ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0 100.1.1.1ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/1 200.1.1.1ip route-static 10.1.0.0 20 vlanif 9 10.1.9.1

到外网路由

ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0 100.1.1.1ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/1 200.1.1.1

到内网路由

ip route-static 10.1.0.0 20 vlanif 9 10.1.9.1

核心交换

参考->三层交换->核心交换

防火墙

安全策略

CLI

进入安全策略视图

security-policy

进入策略规则

[FW-policy-security]rule name trust2local

源安全域

[FW-policy-security-rule-trust2local]source-zone trust

目的安全域

[FW-policy-security-rule-trust2local]destination-zone local

源地址

目的地址

服务

应用

时间段

动作

[FW-policy-security-rule-trust2local]action permit

放行

内容安全

流量先匹配安全策略，且安全策略允许

内容安全通过

流量放行

内容安全不通过

流量丢弃

入侵防御、反病毒、URL过滤需要购买license，否则策略不生效

说明

默认禁止防火墙ping通其他任何

需要添加 local2any

默认禁止其他任何ping通防火墙

需要在接口开启ping服务

VPN安全策略

untrust2local

外网拨入防火墙

untrust2dmz

外网通过VPN访问服务器

trust2dmz

内网通过VPN访问服务器

说明

从任何域发起VPN拨号，代表此域需连接防火墙local

VPN成功拨入后，源域为发起域，目的域为接收域

防火墙禁止域内、域间互连，互通需双向添加

trust2trust（域内策略）

trust2dmz（域间策略_去）dmz2trust（域间策略_回）

防火墙基于包过滤，所以支持单向通信（如本端能ping通对端，但对端无法ping通）

已测试

ping支持

VPN支持

ftp不能dir

策略优先级

策略按从上到下依次匹配，或从序号“1”向下匹配策略，规则匹配后不再继续匹配其他

安全策略在指定用户后，必须有对应认证策略，否则用户无法认证，那此安全策略也无法生效

NAT

Easy NAT

WEB

转换模式

仅转换源地址

源安全域

内网所在安全域，trust

目的类型

出接口（上连外网端口）

转换后的数据包

出接口地址

配置安全策略

源安全域

trust

目的安全域

untrust

源、目地址、服务等

按需求配置

CLI

[FW]security-policy

源安全域

source-zone trust

目的接口

egress-interface G1/0/0

子主题

action source-nat easy-ip

目的NAT

作用

在不修改本端目标地址的情况下，改变远端目的地址

如

去往“目的地址5.5”，转换为去往目的地址6.5,如果6.5有回程路由就能互通

流程

转换模式

转换目的地址

源安全域

本端的安全域

源地址

本端的IP

目的地址

原本目的地址，如10.1.5.5

目的地址转换为

新目的地址，10.1.6.5

目的端口

新目标端口

配置安全策略，源为5.5所在安全域，目的为6.5所在安全域

测试

ping 10.1.5.5，由10.1.6.5 应答

服务器映射

WEB

流程

服务器映射

名称

任意

安全域

推荐any

只有对应安全域能访问，如选untrust，则trust不能通过外网IP访问

公网地址

外网IP

私网地址

服务器IP

指定协议

映射服务的协议

允许服务器通过公网地址上网

勾选

使服务器在不通过NAT策略也能上外网

不勾选

外网可以访问服务器，但服务器不能访问外网

黑洞路由

公网IP与接口IP相同时，不能配置黑洞路由

域内NAT

转换模式

仅转换源地址

源安全域

dmz

目的安全域

dmz

源地址

dmz内主机-10.1.6.5

目的地址

服务器-10.1.6.9

源地址转换为

地址池的地址

可用服务器的网关地址-10.1.6.1

配置安全策略

域内访问

dmz2dmz，源地址：dmz内主机，目的：服务器6.9，

外网访问

untrust2dmz，源地址:any,目的：服务器6.9

其他域访问

trust2dmz，源地址：any，目的：服务器6.9

CLI

配置名称为web，协议tcp，外网100.1.1.1端口80，内网10.1.1.1端口8080

nat server web protocol tcp global 100.1.1.1 80 inside 10.1.1.1 8080

no-reverse

<cr>

reverse

查看NAT服务器映射表

display firewall server-map

查询指定地址

<cr>

所有

源NAT策略

转换模式

仅转换源地址

源安全域

5.5所在安全域

目的安全域

6.5所在安全域

源地址

10.1.5.5

目的地址

10.1.6.5

源地址转换为

出接口地址

常用：5.5的网关

地址池的地址

10.1.6.4，此地址必须能与6.5互通

说明

源域为进入防火墙，目的域为防火墙发出的

源、目地址各自必须能与防火墙互通

注意

trust域10.1.5.5，进入防火墙

NAT转换为dmz域的10.1.6.4

与dmz域的10.1.6.5互通

源安全域仍 trust，不会因NAT转换为dmz

域内NAT

作用

相同域内主机使用外网IP访问服务器映射，dmz2trust为不同域，所以不需要

如

dmz域10.1.5.5用外网IP 100.1.1.1访问dmz域10.1.6.5

流程

NAT策略

转换模式

仅转换源地址

源安全域

dmz

目的安全域

dmz

源地址

dmz内主机-10.1.6.5

目的地址

服务器-10.1.6.9

源地址转换为

地址池的地址

可用服务器的网关地址-10.1.6.1

安全策略

安全域dmz2dmz，源地址6.5，目的6.9

验证命令

查看服务器映射配置

display nat server

inside-ip

查询指定内网地址

<cr>

所有

基础理论

分类

源NAT

地址池方式

easy NAT

使用出接口IP，适用于单个外网IP的网络

同时转换内网IP和端口--》出接口地址IP和端口

服务器映射

静态映射

目的NAT

功能

优点

实现IP地址复用

对内网用户提供隐私保护

实现内网服务器负载均衡

地址转换过程对用户透明

缺点

网络监控难度增大

某些应用无法使用

注意

NAT策略优先于安全策略，在配置安全策略时，目的地址为NAT转换后的地址

NAT ALG

对应用层信息的IP地址和端口进行转换

配置

默认已开启

VPN

L2TP over IPSEC

WEB

IPSEC配置

本端接口

上连外网接口

本端地址

外网IP

对端地址

空：表示接受所有IP

认证方式

预共享密钥

本端ID

常用：IP（外网IP）

对端ID

接受任意对端ID

拨号用户配置

认证模式：chap

地址池

拨入后分配的VPN用户IP，用此IP与本端内网通信

安全域untrust，VPN对端所在安全域

分割隧道

推荐勾选

允许vpn访问内网网段

不勾选

用户拨入后，在主机增加0.0.0.0的路由

待加密数据流

源、目地址

ANY

协议

UDP

源端口

1701

目的端口

ANY

安全提议

建议：接受对端提议

L2TP配置

网络--L2TP

L2TP

勾选

L2TP组列表--default-lns

组类型

LNS

本端隧道名称

空

对端隧道名称

空

隧道密码认证

取消勾选，手机和Windows使用时必须取消勾选

隧道密码

空

认证域

NONE

隧道关联安全域

untrust

vpn拨入后所在安全域

安全策略

untrust2local

作用

公网L2TP拨入

源安全域

VPN对端所在安全域，一般是外网接口安全域

目的安全域

防火墙自身安全域：local

源地址

any，表示不限外网地址

目的地址

本端外网地址

服务

udp

源端口

缺省

目的端口

500、4500、1701

local2vpn

作用

防火墙与对端握手包

源安全域

local

目的安全域

untrust，VPN对端所在安全域

源地址

本端外网地址

目的地址

any，表示不限外网地址

服务

udp

eNSP中，只设置源端口1701无法通讯，真机未测

untrust2trust

作用

vpn访问内网网段

源安全域

VPN对端所在安全域

目的安全域

本端内网所在安全域

源地址

VPN拨入后分配的IP，非对端内网IP

目的地址

本端内网IP

用户

eNSP不能通过登陆用户控制

untrust2dmz

访问dmz中的地址，参考untrust2trust

NAT策略

无需配置，L2TP拨入后安全域为untrust，匹配default（不做转换）

CLI

acl number 3000 rule 5 permit udp source-port eq 1701ip pool l2tp section 0 10.1.98.10 10.1.98.200 excluded-ip-address 10.1.98.1aaa service-scheme l2tp ip-pool l2tpinterface Virtual-Template0 ppp authentication-mode chap remote service-scheme l2tp ip address 10.1.98.1 255.255.255.255firewall zone untrust add interface Virtual-Template0

IPSEC配置

acl number 3000 rule 5 permit udp source-port eq 1701ip pool l2tp section 0 10.1.98.10 10.1.98.200 excluded-ip-address 10.1.98.1ipsec proposal l2tp encapsulation-mode auto esp authentication-algorithm sha1 esp encryption-algorithm aes-128ike peer ike512840223 exchange-mode auto pre-shared-key xian@123 ike-proposal 1 remote-id-type none local-id 100.1.1.2ipsec policy-template l2tp 1 security acl 3000 ike-peer ike512840223 proposal prop512840223 tunnel local 100.1.1.2 alias ipsec sa duration traffic-based 10485760 sa duration time-based 3600 scenario point-to-multi-point l2tp-user-accessaaa service-scheme l2tp ip-pool l2tpinterface Virtual-Template0 ppp authentication-mode chap remote service-scheme l2tp ip address 10.1.98.1 255.255.255.255firewall zone untrust add interface Virtual-Template0

地址池

L2TP配置

l2tp enablel2tp-group default-lns undo tunnel authentication allow l2tp virtual-template 0

启用

l2tp enable

地址池

ip pool l2tp

section 0 10.1.98.10 10.1.98.99

虚接口

[FW]interface Virtual-Template 1

[FW-Virtual-Template1]ip address 10.1.98.1 25

开启验证

[FW-Virtual-Template1]ppp authentication-mode ？

chap

pap

IPSCVPN

点对多点（总部）

1. VPN配置

VPN类型

点对多点

本端接口

本端上连外网接口

本端地址

本端外网IP 100.1.1.1

对端地址

空：接受任意IP，但本端无法发起请求，只能由分支发起VPN连接请求

认证方式

常用：预共享密钥

本端ID

常用：IP地址（留空或本端外网IP）

对端ID

常用：接受任意对端ID或对端外网IP

待加密数据流

源地址

本端内网 10.1.1.0/25

目的地址

对端内网 20.1.1.0/25

协议

按需配置

动作

加密

安全提议

两端必须协议必须一致，建议：接收对端安全提议

2. NAT

置顶策略，优先级必须高于大策略

转换模式

不做转换

源安全域

本端10所在安全域dmz

目的安全域

对端20所在安全域untrust

源地址

本端10.1.1.0/25

目的地址

对端20.1.1.0/25

3. 安全策略

untrust2local

源安全域

untrust（连接对端接口所在安全域）

目的安全域

local（防火墙自身）

源地址

对端外网IP

目的地址

本端外网IP 100.1.1.1

作用

接收分支VPN协商报文

untrust2dmz

分支20.0访问总部10.0

源安全域

untrust（连接对端接口所在安全域）

目的安全域

dmz（本端内网所在安全域）

源地址

对端内网20.1.1.0

目的地址

本端内网10.1.1.0

dmz2untrust

源安全域

dmz（本端内网所在安全域）

目的安全域

untrust（连接对端接口所在安全域）

源地址

本端内网10.1.1.0

目的地址

对端内网20.1.1.0

local2untrust

如果总部不主动发送VPN请求，则不需要此安全策略

点对点（分支）

1. VPN配置

VPN类型

点对点

本端接口

本端上连外网接口

本端地址

对端外网IP 200.1.1.1

对端地址

总部外网IP 100.1.1.1

认证方式

常用：预共享密钥

本端ID

常用：留空

对端ID

常用：留空

待加密数据流

源地址

本端内网 20.1.1.0/25

目的地址

对端内网 10.1.1.0/25

协议

按需配置

动作

加密

安全提议

按需配置，两端必须协议必须一致

2. NAT

置顶策略，优先级必须高于大策略

转换模式

不做转换

源安全域

本端20所在安全域trust

目的安全域

对端10所在安全域untrust

源地址

本端20.1.1.0/25

目的地址

对端10.1.1.0/25

3. 安全策略

local2untrust

作用

向总部发送VPN协商报文

源地址

本端外网IP 200.1.1.1

目标地址

对端外网IP 100.1.1.1

trust2untrust

源安全域

trust（本端内网所在安全域）

目的安全域

untrust（连接对端接口所在安全域）

源地址

本端内网20.1.1.0

目的地址

对端内网10.1.1.0

untrust2trust

如果不配此规则，分支20.0可访问总部10.0，但总部无法访问分支

源安全域

untrust（连接对端接口所在安全域）

目的安全域

trust（本端内网所在安全域）

源地址

本端内网20.1.1.0

目的地址

对端内网10.1.1.0

SSL-VPN

ENSP模拟器

在WEB配置时提示“服务器超时”，通过在CLI中新建VPN

[FW]v-gateway ssl interface g1/0/6 private x.com

再通过WEB配置

WEB

配置SSL

网关配置

网关名称

sslvpn

类型

独占型

网关地址

公网网接口，端口4443，运营商禁用443

用户认证

本地认证

default

客户端CA证书

default

证书认证方式

NONE

认证域

NONE

允许所有用户组

指定用户域

只允许此域的用户拨入，建议新建vpn组或域，方便管理

DNS服务器

一般留空，域名只能通过内网DNS服务器解析时才需要填

SSL配置

SSL版本

勾选TLS1.0，否则某些WIN7无法访问

加密套件

128-bit即可

会话超时

建议60分钟

资源

WEB代理

资源名

任意

资源类型

URL

资源组

网络扩展

启用

可分配IP地址

ssl拨入后的地址

10.1.9.10-10.1.9.99/25

路由模式

手工路由模式

SSL可访问内网网段

分离式模式

终端安全

角色授权/用户

控制用户权限

配置用户

位置

对象---用户

创建用户

vpn

认证域

非必需建议在default

登陆用户名：vpn

新建vpn认证域

登陆用户名：vpn@vpn

安全策略

untrust2local

作用

SSL-VPN外网拨入

local2dmz

作用

SSL-VPN使用WEB代理、端口转发、文件共享

untrust2trust

作用

SSL-VPN使用网络扩展

源安全域

untrust（外网接口所在安全域）

目的安全域

trust（本端内网所在安全域）

源地址

本端ssl地址池

目的地址

本端内网地址

CLI

新建SSL

[FW]v-gateway ssl interface g1/0/6 private x.com

创建名为ssl并绑定外网接口G1/0/6

SSL配置

进入名为ssl策略

[FW]v-gateway sslvpn

配置SSL服务

[FW-ssl]service

网络扩展

启用

[FW-ssl-service]network-extension enable

分配地址池

[FW-ssl-service]network-extension netpool 10.1.99.10 10.1.99.110 255.255.255.128

路由模式

[FW-ssl-service]network-extension mode manual

手动路由模式

访问内网网段

[FW-ssl-service]network-extension manual-route 10.1.5.0 255.255.255.0

新建用户

安全策略

说明

SSL无需配置NAT策略

说明

VPN安全策略

从任何域发起VPN拨号，代表此域需连接防火墙local

VPN成功拨入后，源域为发起域，目的域为接收域

untrust2local

外网拨入防火墙

untrust2dmz

外网通过VPN访问服务器

trust2dmz

内网通过VPN访问服务器

本端、对端内网IP不能使用NAT转换，否则经NAT转换后数据包为100.1.1.1 to 20.1.1.1

IPsec、L2TP拨入后分配的内网地址，均在untrust域中，实现互通需配置安全策略untrust2local、2trust、2dmz

系统管理

Windows

常用命令

使用方法：Ctrl+R 运行，在打开-输入框中-输入cmd，点确定后打开“命令提示行”

ipconfig

ipconfig /all

查看网卡详细信息

ipconfig /renew

向DHCP重新请求IP

ipconfig /release

释放已获取的IP

DHCP

ipconfig /displaydns

本机缓存已解析的域名

ipconfig /flushdns

清除本机缓存已解析的域名

DNS

ping

功能

测试网络连通性，基于ICMP协议

使用

ping -t 目的IP/域名

持续ping，直至手动停止

ping -l 1500 目的IP/域名

指定包大小为1500，默认32字节

tracert

功能

路由跟踪，查看流量到达目的经过的路由

使用

tracert 目的IP/域名

netstat

功能

查看网络连接

参数

-a 显示所有连接

-b 显示侦听软件

-n 以数字显示地址和端口号

常用

netstat -nb

查看程序名和端口

netstat -an

按端口显示所有链接

netstat -r

查看本机路由表，类似route print

arp

查看arp表

arp -a

静态绑定

arp -s 10.1.1.1 aa-aa-aa-aa-aa-aa

net

route

功能

本机路由表操作

参数

-p

重启不删除

常用

route print

查看本机路由表，类似netstat -r

route -f

清空路由表

route add 10.1.1.0 mask 255.255.255.0 100.1.1.1

重启清除，增加目的网段10.1.1.0/24，下一跳100.1.1.1的路由

route add 10.1.1.0 mask 255.255.255.0 100.1.1.1 -p

重启后保留此路由

route delete 10.1.1.0

删除路由

nslookup

功能

测试dns服务器

常用

测试当前DNS

nslookup

jd.com

输入要解析的域名A记录

测试其他DNS

nslookup

server 223.5.5.5

临时使用223.5.5.5做DNS服务器

jd.com

解析此域名

子主题

活动目录

IIS服务

FTP服务器

WEB服务器

域名级别从低到高排列，不区分大小写

域名结构

FQDN（完全限定域名）

主机名（随意自定）

www、diy

子域名

顶级域名

com

根域

SMTP服务器

NTP服务器

DHCP

DHCP服务器

安全策略

证书服务

DNS