模塊5雙機(jī)熱備技術(shù)防火墻技術(shù)與應(yīng)用微課版01模塊概述03知識準(zhǔn)備04項目實(shí)施02教學(xué)目標(biāo)C教學(xué)過程壹模塊概述模塊概述傳統(tǒng)的組網(wǎng)方式中，內(nèi)部用戶和外部用戶的交互報文全部通過防火墻。如果這個防火墻出現(xiàn)故障，內(nèi)部網(wǎng)絡(luò)中的主機(jī)與外部網(wǎng)絡(luò)間的通訊將中斷，通訊可靠性無法保證。雙機(jī)熱備份技術(shù)的出現(xiàn)改變了可靠性難以保證的尷尬狀態(tài)，通過在網(wǎng)絡(luò)出口位置部署兩臺防火墻，形成雙機(jī)備份，保證了內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的通訊暢通。貳教學(xué)目標(biāo)教學(xué)目標(biāo)知識目標(biāo)技能目標(biāo)素養(yǎng)目標(biāo)1．理解VRRP的工作原理。2．掌握VGMP備份組的工作機(jī)制。3．了解HRP的工作過程。4．了解雙機(jī)熱備的備份方式。1．強(qiáng)化高可用性思維，主動規(guī)劃冗余鏈路。2．建立狀態(tài)同步的嚴(yán)謹(jǐn)規(guī)范，配置協(xié)議時嚴(yán)格執(zhí)行版本匹配檢查。3．養(yǎng)成故障切換驗證習(xí)慣，實(shí)時監(jiān)測業(yè)務(wù)恢復(fù)時間是否滿足要求。4．提升容災(zāi)方案決策能力，樹立“可靠性與資源利用率”的權(quán)衡意識。1．能夠配置主備備份模式的雙機(jī)熱備。2．能夠配置負(fù)載分擔(dān)模式的雙機(jī)熱備。3．能夠配置雙出口網(wǎng)絡(luò)的雙機(jī)熱備。叁知識準(zhǔn)備知識準(zhǔn)備5.2.1VRRP5.2.2VGMP5.2.3

HRP5.2.4

雙機(jī)熱備的備份方式5.2.1VRRP一、VRRP協(xié)議DMZTrustUntrustFW1/24MasterFW2Backup/24備份組1VirtualIPAddress備份組2VirtualIPAddress備份組3VirtualIPAddress當(dāng)防火墻上有多個區(qū)域需要提供雙機(jī)備份功能時，需要在一臺防火墻上配置多個VRRP備份組。由于華為USG防火墻是狀態(tài)防火墻，它要求報文的來回路徑通過同一臺防火墻。5.2.1VRRP一、VRRP協(xié)議傳統(tǒng)的VRRP在防火墻應(yīng)用中存在缺陷，這是因為傳統(tǒng)VRRP方式無法實(shí)現(xiàn)主、備用防火墻狀態(tài)的一致性。FW1MasterFW2BackupTrustDMZUntrustPC1PC2（1）（2）（3）（4）會話表Server（5）（6）5.2.2VGMP二、VGMP協(xié)議為了保證所有VRRP備份組切換的一致性，在VRRP的基礎(chǔ)上進(jìn)行了擴(kuò)展，推出了VGMP來彌補(bǔ)此局限。DMZTrustUntrustUSGA/24USGB/24備份組2備份組3備份組1VGMPActiveVGMPStandbyhelloack當(dāng)防火墻上的VGMP為Active狀態(tài)時，組內(nèi)所有VRRP備份組的狀態(tài)統(tǒng)一為Active狀態(tài)，所有報文都將從該防火墻上通過，該防火墻成為主用防火墻。5.2.2VGMP二、VGMP協(xié)議狀態(tài)一致性管理VGMP管理組控制所有的VRRP備份組統(tǒng)一切換。搶占管理當(dāng)原來出現(xiàn)故障的主設(shè)備故障恢復(fù)時，其優(yōu)先級也會恢復(fù)，此時可以重新將自己的狀態(tài)搶占為主。DMZTrustUntrustUSGA/24USGB/24備份組2備份組3備份組1VGMPActiveVGMPStandbyhelloack5.2.3HRP三、HRP協(xié)議備份內(nèi)容：連接狀態(tài)數(shù)據(jù)。備份方向：狀態(tài)為主的VGMP管理組，向?qū)Χ藗浞荨浞萃ǖ溃涸趦膳_設(shè)備上直連的端口作為備份通道，也稱為“心跳線”。FW1MasterFW2BackupTrustDMZUntrustPC1PC2(1)(2)(3)(4)會話表項Server(5)(6)心跳線HRP協(xié)議是用來實(shí)現(xiàn)防火墻雙機(jī)之間的動態(tài)狀態(tài)數(shù)據(jù)和關(guān)鍵配置命令的備份。5.2.3HRP三、HRP協(xié)議兩臺防火墻之間備份的數(shù)據(jù)是通過心跳口發(fā)送和接收的，是通過心跳鏈路傳輸?shù)摹Ｐ奶诒仨毷菭顟B(tài)獨(dú)立且具有IP地址的接口，可以是一個物理接口，也可以是由多個物理接口捆綁而成的一個邏輯接口。G1/0/1:G1/0/1:Eth-Trunk1:Eth-Trunk1:FW1FW1FW2FW2HRP心跳接口5.2.4備份方式四、雙機(jī)熱備的備份方式自動備份手工批量備份會話快速備份設(shè)備重啟后主備防火墻的配置自動同步肆項目實(shí)施5.3.1主備備份模式的雙機(jī)熱備實(shí)訓(xùn)：主備備份模式的雙機(jī)熱備某公司為提高網(wǎng)絡(luò)的可靠性，在網(wǎng)絡(luò)中設(shè)置了兩臺防火墻，其中一臺防火墻為主設(shè)備，用于轉(zhuǎn)發(fā)數(shù)據(jù)，另一臺為備份設(shè)備，不轉(zhuǎn)發(fā)數(shù)據(jù)，這兩臺設(shè)備間通過心跳線同步信息。當(dāng)主防火墻故障時，備份防火墻就會切換為主設(shè)備，繼續(xù)提供服務(wù)，避免網(wǎng)絡(luò)中斷。通過在防火墻配置雙機(jī)熱備技術(shù)，實(shí)現(xiàn)上述通信要求。任務(wù)描述5.3.1主備備份模式的雙機(jī)熱備(三)任務(wù)實(shí)施1．拓?fù)鋱D2．需求說明FW1、FW2兩個防火墻的G1/0/1接口建立VRRP組1，虛擬IP地址為；PC2IP:0GW:IP:00GW:G1/0/1FW1PC1G1/0/3FW2G1/0/0G1/0/0G1/0/1G1/0/3trustdmzhblFW1、FW2兩個防火墻的G1/0/3接口建立VRRP組2，虛擬IP地址為；FW1為主設(shè)備、FW2為備份設(shè)備；心跳線路接口為G1/0/0；當(dāng)交換機(jī)S2連接防火墻FW1的接口故障時，F(xiàn)W2轉(zhuǎn)為主設(shè)備。5.3.1主備備份模式的雙機(jī)熱備3．配置說明(三)任務(wù)實(shí)施按拓?fù)渑渲酶髟O(shè)備的IP地址、安全區(qū)域、安全策略；配置VRRP、HRP；測試。5.3.1主備備份模式的雙機(jī)熱備（四）關(guān)鍵操作步驟

配置VRRP

配置HRP

查看VRRP信息

在防火墻FW1上配置VRRP：[FW1]interfaceGigabitEthernet1/0/1

[FW1-GigabitEthernet1/0/1]vrrpvrid1virtual-ipactive[FW1-GigabitEthernet1/0/1]interfaceGigabitEthernet1/0/3

[FW1-GigabitEthernet1/0/3]vrrpvrid2virtual-ipactive

在防火墻FW2上配置VRRP：[FW2]interfaceGigabitEthernet1/0/1

[FW2-GigabitEthernet1/0/1]vrrpvrid1virtual-ipstandby[FW2-GigabitEthernet1/0/1]interfaceGigabitEthernet1/0/3

[FW2-GigabitEthernet1/0/3]vrrpvrid2virtual-ipstandby5.3.1主備備份模式的雙機(jī)熱備（四）關(guān)鍵操作步驟

配置VRRP

配置HRP

查看VRRP信息在防火墻FW1上配置HRP：[FW1]hrpinterfaceGigabitEthernet1/0/0remote[FW1]hrpenableHRP_M[FW1]在防火墻FW2上配置HRP：[FW2]hrpinterfaceGigabitEthernet1/0/0remote[FW3]hrpenableHRP_S[FW2]5.3.1主備備份模式的雙機(jī)熱備（四）關(guān)鍵操作步驟

配置VRRP

配置HRP

查看VRRP信息通過displayvrrp查看vrrp信息：5.3.1主備備份模式的雙機(jī)熱備（四）關(guān)鍵操作步驟測試結(jié)果5.3.1主備備份模式的雙機(jī)熱備注意事項在雙機(jī)熱備配置過程中，如果確實(shí)需要在備份防火墻設(shè)備上進(jìn)行配置，需要使用hrpstandbyconfigenable命令。當(dāng)網(wǎng)絡(luò)故障點(diǎn)恢復(fù)時，原來的防火墻默認(rèn)會搶占主設(shè)備，如果不希望搶占的話，可使用undohrppreempt命令取消搶占。5.3.2負(fù)載分擔(dān)模式的雙機(jī)熱備實(shí)訓(xùn)：負(fù)載分擔(dān)模式的雙機(jī)熱備某公司在網(wǎng)絡(luò)中設(shè)置了兩臺防火墻，如果采用主備備份模式的雙機(jī)熱備，在使用中，實(shí)際只有處于Active狀態(tài)的一臺防火墻在工作，處于standby狀態(tài)的防火墻始終是閑置的狀態(tài)，造成了資源的浪費(fèi)。為解決這個問題，可以采用負(fù)載分擔(dān)模式，使兩臺防火墻能夠同時工作，且互為備份，在保證可靠性的情況下，提高了設(shè)備的利用率。任務(wù)描述5.3.2負(fù)載分擔(dān)模式的雙機(jī)熱備(三)任務(wù)實(shí)施1．拓?fù)鋱DPC2G1/0/1FW1PC1G1/0/3FW2G1/0/0G1/0/0G1/0/1G1/0/3trustdmzhblPC3PC4S1S2本地計算機(jī)5.3.2負(fù)載分擔(dān)模式的雙機(jī)熱備FW1、FW2兩個防火墻的G1/0/1接口建立VRRP組1，虛擬IP地址為；VRRP組2，虛擬IP地址為；FW1、FW2兩個防火墻的G1/0/3接口建立VRRP組3，虛擬IP地址為；VRRP組4，虛擬IP地址為;VRRP1、3中，F(xiàn)W1為主設(shè)備；VRRP2、4中，F(xiàn)W1為主設(shè)備；心跳線路接口為G1/0/0；當(dāng)交換機(jī)連接防火墻FW1的接口故障時，F(xiàn)W2為全部VRRP組的主設(shè)備。當(dāng)交換機(jī)連接防火墻FW2的接口故障時，F(xiàn)W1轉(zhuǎn)為全部VRRP組的主設(shè)備。(三)任務(wù)實(shí)施2．需求說明5.3.2負(fù)載分擔(dān)模式的雙機(jī)熱備（四）關(guān)鍵操作步驟

配置雙機(jī)熱備

配置虛擬IP地址

一致性檢查啟用負(fù)載分擔(dān)模式的雙機(jī)熱備，配置心跳接口：FW1：FW2：5.3.2負(fù)載分擔(dān)模式的雙機(jī)熱備（四）關(guān)鍵操作步驟

配置雙機(jī)熱備

配置虛擬IP地址

一致性檢查配置虛擬IP地址：FW1：FW2：5.3.2負(fù)載分擔(dān)模式的雙機(jī)熱備（四）關(guān)鍵操作步驟

配置雙機(jī)熱備

配置虛擬IP地址

一致性檢查進(jìn)行一致性檢查：FW1：FW2：5.3.2負(fù)載分擔(dān)模式的雙機(jī)熱備（四）關(guān)鍵操作步驟測試結(jié)果抓包位置PC1和PC2在ping

PC3/PC4時，分別經(jīng)過了不同的防火墻：5.3.2負(fù)載分擔(dān)模式的雙機(jī)熱備防火墻的命令行界面中，沒有運(yùn)行模式“負(fù)載分擔(dān)”對應(yīng)的命令。只需要在不同的VRRP組中配置不同的Active設(shè)備，再通過hrpmirrorsessionenable命令啟用會話快速備份功能就可以了。注意事項5.3.3雙出口網(wǎng)絡(luò)的雙機(jī)熱備實(shí)訓(xùn)：雙出口網(wǎng)絡(luò)的雙機(jī)熱備某公司在網(wǎng)絡(luò)中設(shè)置了兩臺防火墻，分別連接一個ISP線路，構(gòu)成雙出口網(wǎng)絡(luò)，要求當(dāng)主用防火墻連接內(nèi)部網(wǎng)絡(luò)或連接ISP的線路出現(xiàn)故障時，能夠切換到備份防火墻，避免網(wǎng)絡(luò)中斷，通過在防火墻配置雙機(jī)熱備技術(shù)，實(shí)現(xiàn)上述要求。任務(wù)描述5.3.3雙出口網(wǎng)絡(luò)的雙機(jī)熱備(三)任務(wù)實(shí)施1．拓?fù)鋱DPC2IP:0GW:G1/0/1FW1PC1G1/0/6FW2G1/0/0G1/0/0G1/0/1G1/0/6trustuntrusthblLSW1G0/0/2G0/0/1G0/0/0IP:GW:54R15.3.3雙出口網(wǎng)絡(luò)的雙機(jī)熱備FW1、FW2兩個防火墻都設(shè)置trust到untrust區(qū)域的安全策略；兩個防火墻都設(shè)置trust訪問untrust區(qū)域的源NAT策略為出接口地址轉(zhuǎn)換；FW1、FW2兩個防火墻的G1/0/1接口建立VRRP組1，虛擬IP地址為，F(xiàn)W1為用主設(shè)備，F(xiàn)W2為備份設(shè)備；心跳線路接口為G1/0/0；在主防火墻上配置雙機(jī)熱備接口監(jiān)控；配置防火墻雙機(jī)熱備的搶占時間。(三)任務(wù)實(shí)施2．需求說明5.3.3雙出口網(wǎng)絡(luò)的雙機(jī)熱備（四）關(guān)鍵操作步驟

安全策略與NAT策略VRRP與HRP

接口監(jiān)控與搶占時間在防火墻FW1上配置安全策略：[FW1]security-policy[FW1-policy-security]rulenametrust_to_untrust[FW1-policy-security-rule-trust_to_untrust]source-zonetrust[FW1-policy-security-rule-trust_to_untrust]destination-zoneuntrust[FW1-policy-security-rule-trust_to_untrust]actionpermit[FW1-policy-security-rule-trust_to_untrust]quit在防火墻FW1上配置NAT策略：[FW1]nat-policy[FW1-policy-nat]rulenametoInternet[FW1-policy-nat-rule-toInternet]source-zonetrust[FW1-policy-nat-rule-toInternet]destination-zoneuntrust[FW1-policy-nat-rule-toInternet]actionsource-nateasy-ip[FW1-policy-nat-rule-toInternet]quit在防火墻FW2上做同樣的配置。5.3.3雙出口網(wǎng)絡(luò)的雙機(jī)熱備（四）關(guān)鍵操作步驟

安全策略與NAT策略VRRP與HRP

接口監(jiān)控與搶占時間在防火墻FW1上配置VRRP與HRP：[FW1]interfaceGigabitEthernet1/0/1

[FW1-GigabitEthernet1/0/1]vrrpvrid1virtual-ipactive[FW1-GigabitEthernet1/0/1]quit[FW1]hrpinterfaceGigabitEthernet1/0/0remote[FW1]hrpenableHRP_M[FW1]在防火墻FW2上配置VRRP與HRP：[FW2]interfaceGigabitEthernet1/0/1

[FW2-GigabitEthernet1/0/1]vrrpvrid1virtual-ipstandby[FW2-GigabitEthernet1/0/1]quit[FW2]hrpinterfaceGigabitEthernet1/0/0remote[FW2]hrpenableHRP_S[FW2]5.3.3雙出口網(wǎng)絡(luò)的雙機(jī)熱備（四）關(guān)鍵操作步驟

安全策略與NAT策略VRRP與HRP

接口監(jiān)控與搶占時間在防火墻FW1上配置接口監(jiān)控與搶占時間：HRP_M[FW1]hrptrackinterfaceg1/0/6HRP_M[FW1]hrppreemptdelay105.3.3雙出口網(wǎng)絡(luò)的雙機(jī)熱備（四）關(guān)鍵操作步驟測試結(jié)果當(dāng)FW1的Internet線路故障時，PC1的數(shù)據(jù)包轉(zhuǎn)到FW2發(fā)送：5.3.3雙出口網(wǎng)絡(luò)的雙機(jī)熱備注意事項在設(shè)置兩個防火墻G1/0/6接口的IP地址時，需要配置路由器的地址作為網(wǎng)關(guān)，也可以配置默認(rèn)路由。本例中采用了主備備份模式，為提高設(shè)備及線路的利用率，還可以采用負(fù)載分擔(dān)模式。模塊6VPN技術(shù)防火墻技術(shù)與應(yīng)用微課版01模塊概述03知識準(zhǔn)備04項目實(shí)施02教學(xué)目標(biāo)C教學(xué)過程壹模塊概述模塊概述隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)應(yīng)用的普及，企業(yè)網(wǎng)絡(luò)中出現(xiàn)分支機(jī)構(gòu)、出差員工與總部網(wǎng)絡(luò)通信的需求，以便共享資源、協(xié)同辦公。傳統(tǒng)的專線聯(lián)網(wǎng)方式，需要租用運(yùn)營商線路，費(fèi)用高且擴(kuò)展性和靈活性差；采用VPN技術(shù)，可以利用廉價的公共網(wǎng)絡(luò)，以低成本方案滿足上述通信需求。VPN技術(shù)通過在公共網(wǎng)絡(luò)上建立一個安全的、加密的通道，使得遠(yuǎn)程用戶或分支機(jī)構(gòu)能夠像在本地局域網(wǎng)一樣安全地訪問內(nèi)部網(wǎng)絡(luò)資源。它利用了隧道技術(shù)、加密技術(shù)和身份驗證等多種手段來實(shí)現(xiàn)這一目標(biāo)。貳教學(xué)目標(biāo)教學(xué)目標(biāo)知識目標(biāo)技能目標(biāo)素養(yǎng)目標(biāo)1．了解VPN采用的主要技術(shù)及特點(diǎn)。2．掌握GRE、L2TP、IPSec、SSL等VPN技術(shù)的工作原理。3．掌握GREoverIPSec、L2TPoverIPSec的作用及應(yīng)用。1．強(qiáng)化密鑰生命周期管理意識，建立定期更新機(jī)制。2．培養(yǎng)隧道分離思維，嚴(yán)格區(qū)分管理流量和業(yè)務(wù)流量。3．提升協(xié)議協(xié)同決策能力，明確“認(rèn)證嵌套加密”的必要性。1．能夠配置IPSecVPN。2．能夠配置GREVPN及GREoverIPSecVPN。3．能夠配置L2TPVPN及L2TPoverIPSecVPN。4．能夠配置SSLVPN。叁知識準(zhǔn)備知識準(zhǔn)備6.2.1VPN技術(shù)簡介6.2.2VPN采用的主要技術(shù)6.2.3

主流VPN技術(shù)6.2.1VPN技術(shù)簡介VPN（虛擬專用網(wǎng)絡(luò)）是一種通過共享的公共網(wǎng)絡(luò)建立私有的數(shù)據(jù)通道，將各個需要接入這張?zhí)摂M網(wǎng)的網(wǎng)絡(luò)或終端通過通道連接起來，構(gòu)成一個專用的、具有一定安全性和服務(wù)質(zhì)量保證的網(wǎng)絡(luò)。定義虛擬：使用IP機(jī)制仿真出一個私有的廣域網(wǎng)。專用網(wǎng)絡(luò)：是指用戶可以根據(jù)通信需求，定制專屬的私有網(wǎng)絡(luò)。

關(guān)鍵詞126.2.1VPN技術(shù)簡介（1）企業(yè)遠(yuǎn)程辦公：為員工提供安全的遠(yuǎn)程訪問企業(yè)內(nèi)部網(wǎng)絡(luò)的方式，提高工作效率。（2）跨地域企業(yè)通信：連接企業(yè)的多個分支機(jī)構(gòu)，實(shí)現(xiàn)數(shù)據(jù)共享和協(xié)同工作。（3）移動設(shè)備接入：支持智能手機(jī)、平板電腦等移動設(shè)備接入企業(yè)網(wǎng)絡(luò)，方便員工隨時隨地辦公。（4）在線游戲和視頻流：一些玩家和用戶可能會使用VPN訪問特定地區(qū)的游戲服務(wù)器或視頻內(nèi)容。一、VPN應(yīng)用場景6.2.1VPN技術(shù)簡介（1）企業(yè)遠(yuǎn)程辦公：為員工提供安全的遠(yuǎn)程訪問企業(yè)內(nèi)部網(wǎng)絡(luò)的方式，提高工作效率。（2）跨地域企業(yè)通信：連接企業(yè)的多個分支機(jī)構(gòu)，實(shí)現(xiàn)數(shù)據(jù)共享和協(xié)同工作。（3）移動設(shè)備接入：支持智能手機(jī)、平板電腦等移動設(shè)備接入企業(yè)網(wǎng)絡(luò)，方便員工隨時隨地辦公。（4）在線游戲和視頻流：一些玩家和用戶可能會使用VPN訪問特定地區(qū)的游戲服務(wù)器或視頻內(nèi)容。二．VPN的優(yōu)點(diǎn)6.2.1VPN技術(shù)簡介三、VPN組網(wǎng)方式根據(jù)客戶網(wǎng)絡(luò)接入方式的不同，VPN組網(wǎng)可分為：站點(diǎn)到站點(diǎn)（SitetoSite）總部網(wǎng)絡(luò)分支機(jī)構(gòu)合作伙伴6.2.1VPN技術(shù)簡介三、VPN組網(wǎng)方式根據(jù)客戶網(wǎng)絡(luò)接入方式的不同，VPN組網(wǎng)可分為：遠(yuǎn)程訪問（RemoteAccess）總部網(wǎng)絡(luò)出差員工6.2.2VPN采用的主要技術(shù)01隧道技術(shù)03加密技術(shù)02認(rèn)證技術(shù)04密鑰管理技術(shù)6.2.2VPN采用的主要技術(shù)數(shù)據(jù)進(jìn)入源VPN網(wǎng)關(guān)后，將數(shù)據(jù)“封裝”后通過公網(wǎng)傳輸?shù)侥康腣PN網(wǎng)關(guān)后再對數(shù)據(jù)“解封裝”?？偛烤W(wǎng)絡(luò)分支機(jī)構(gòu)原始報文原始報文VPN隧道封裝后的報文解封裝后的報文1.隧道技術(shù)6.2.2VPN采用的主要技術(shù)（1）身份認(rèn)證技術(shù)。用于驗證接入入戶的合法性。主要采用用戶名、密碼以及USBKey等認(rèn)證方式。（2）數(shù)據(jù)認(rèn)證技術(shù)。用于保證數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中不被篡改，以保證數(shù)據(jù)的原始性。主要采用散列算法。2.認(rèn)證技術(shù)6.2.2VPN采用的主要技術(shù)將明文數(shù)據(jù)轉(zhuǎn)換為密文數(shù)據(jù)?？梢员ＷC網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)陌踩裕箶?shù)據(jù)不會被篡改和窺探。加密123456AC&D23#S@123456解密源目的VPN3.加密技術(shù)6.2.2VPN采用的主要技術(shù)主要作用：保證在互聯(lián)網(wǎng)上傳遞的密鑰不被竊取。功能包括：密鑰的產(chǎn)生、分配保存、更換銷毀等環(huán)節(jié)。4.密鑰管理技術(shù)6.2.3主流VPN技術(shù)GREVPN是一種三層VPN封裝技術(shù)。GRE可以實(shí)現(xiàn)數(shù)據(jù)報文在互聯(lián)網(wǎng)隧道中進(jìn)行封裝和解封裝；也可以解決了跨越異種網(wǎng)絡(luò)的報文傳輸問題。1.GREVPNGRE隧道Dst:Src:dataDst:Src:GREDst:Src:dataDst:Src:data/24/24tunnel0:tunnel0:GRE封裝PC2PC1FW1FW2L2TPVPN是為在用戶和企業(yè)的服務(wù)器之間透明傳輸PPP報文而設(shè)置的二層隧道協(xié)議。提供了對PPP鏈路層數(shù)據(jù)包的通道傳輸支持。主要用于企業(yè)駐外機(jī)構(gòu)和出差人員遠(yuǎn)程連接企業(yè)總部網(wǎng)絡(luò)。2.L2TPVPN6.2.3主流VPN技術(shù)三種使用場景：LNS-Initiated(L2TP網(wǎng)絡(luò)服務(wù)器發(fā)起)LAC自動撥號

(L2TP接入集中器自動撥號)Client-Initiated

(L2TP客戶端發(fā)起)2.L2TPVPN6.2.3主流VPN技術(shù)Client-InitiatedVPN中，每個接入用戶和LNS之間均建立一條隧道，每條隧道中僅承載一條L2TP會話和PPP連接。2.L2TPVPN6.2.3主流VPN技術(shù)IPSec（IPSecurity）協(xié)議族是IETF制定的一系列安全協(xié)議，它為端到端IP報文交互提供了基于密碼學(xué)的、可互操作的、高質(zhì)量的安全保護(hù)機(jī)制。IPSecVPN是利用IPSec隧道建立的網(wǎng)絡(luò)層VPN。3.IPsecVPN6.2.3主流VPN技術(shù)協(xié)議體系IPSec通過驗證頭AH和封裝安全載荷ESP兩個安全協(xié)議實(shí)現(xiàn)IP報文的安全保護(hù)。安全聯(lián)盟IPSec安全傳輸數(shù)據(jù)的前提是在IPSec對等體（即運(yùn)行IPSec協(xié)議的兩個端點(diǎn)）之間成功建立安全聯(lián)盟SA。3.IPsecVPN6.2.3主流VPN技術(shù)封裝模式傳輸模式：AH頭或ESP頭被插入到IP頭與傳輸層協(xié)議頭之間，保護(hù)TCP/UDP/ICMP負(fù)載。隧道模式：AH頭或ESP頭被插到原始IP頭之前，另外生成一個新的報文頭放到AH頭或ESP頭之前，保護(hù)IP頭和負(fù)載。IKESA為IPSec提供了自動協(xié)商密鑰、建立IPSec安全聯(lián)盟的服務(wù)。3.IPsecVPN6.2.3主流VPN技術(shù)SSL是一個安全協(xié)議，為基于TCP的應(yīng)用層協(xié)議提供安全連接；SSL可以為HTTP提供安全連接，廣泛應(yīng)用于電子商務(wù)、網(wǎng)上銀行等領(lǐng)域；SSLVPN的主要功能包括：用戶認(rèn)證、web代理、文件共享、端口轉(zhuǎn)發(fā)和網(wǎng)絡(luò)拓展等。4.SSLVPN6.2.3主流VPN技術(shù)肆項目實(shí)施6.3.1配置GREVPN

實(shí)訓(xùn)：GREVPN配置某公司在異地開設(shè)了分支機(jī)構(gòu)，總、分支網(wǎng)絡(luò)都已接入到Internet，公網(wǎng)路由可達(dá)。總部網(wǎng)絡(luò)部署了FTP服務(wù)器，只為內(nèi)網(wǎng)用戶提供文件共享服務(wù)。為方便辦公，公司希望分支機(jī)構(gòu)用戶也能夠訪問總部的FTP服務(wù)器。通過在防火墻配置GREVPN，實(shí)現(xiàn)上述通信要求。任務(wù)描述6.3.1配置GREVPN

(三)任務(wù)實(shí)施1．拓?fù)鋱D2．需求說明總部、分支網(wǎng)絡(luò)分別接入運(yùn)營商，均可訪問Internet。分支/24網(wǎng)絡(luò)可通過GREVPN隧道訪問總部FTP服務(wù)器1/24。分支FW1FTPG1/0/154/248/30G1/0/6總部PC10/28G1/0/6FW2G1/0/154/24/241/24GREVPN/24tunnel0/24tunnel06.3.1配置GREVPN

3．配置說明(三)任務(wù)實(shí)施部署Internet環(huán)境，使用一臺路由器模擬運(yùn)營商，充當(dāng)總部、分支的出口網(wǎng)關(guān)；配置防火墻各接口的IP地址、安全區(qū)域等基礎(chǔ)信息；配置GRE隧道接口，并設(shè)置安全區(qū)域為untrust；配置防火墻安全策略；配置源NAT策略，使總、分支網(wǎng)絡(luò)均可訪問外網(wǎng)；配置隧道靜態(tài)路由；測試配置結(jié)果是否滿足需求。6.3.1配置GREVPN

（四）關(guān)鍵操作步驟創(chuàng)

建隧道接口并設(shè)置安全區(qū)域

配置隧道靜態(tài)路由防火墻FW1配置隧道接口Tunnel0：[FW1]inttunnel0[FW1-Tunnel0]tunnel-protocolgre//啟動gre協(xié)議[FW1-Tunnel0]ipadd24[FW1-Tunnel0]source0[FW1-Tunnel0]destination8防火墻FW1配置隧道接口安全區(qū)域：[FW1]firewallzoneuntrust[FW1-zone-untrust]addintertunnel06.3.1配置GREVPN

（四）關(guān)鍵操作步驟創(chuàng)

建隧道接口并設(shè)置安全區(qū)域

配置隧道靜態(tài)路由

防火墻FW2WEB配置隧道接口：6.3.1配置GREVPN

（四）關(guān)鍵操作步驟創(chuàng)

建隧道接口并設(shè)置安全區(qū)域

配置隧道靜態(tài)路由

防火墻FW1配置隧道靜態(tài)路由：[FW1]iproute-static24tunnel0

防火墻FW2WEB配置隧道靜態(tài)路由：6.3.1配置GREVPN

（四）關(guān)鍵操作步驟測試結(jié)果1.分支用戶訪問總部FTP服務(wù)器：6.3.1配置GREVPN

（四）關(guān)鍵操作步驟測試結(jié)果2.分支FW2查看GRE監(jiān)控信息：6.3.1配置GREVPN

注意事項隧道接口創(chuàng)建后，需要加入到安全區(qū)域，并且保證防火墻安全策略放行VPN流量。GREVPN建立后，隧道兩端可互相通信的網(wǎng)絡(luò)是通過隧道靜態(tài)路由來設(shè)置的。特別注意出接口為隧道接口。6.3.2配置L2TPVPN實(shí)訓(xùn)：L2TPVPN配置某公司因業(yè)務(wù)需要，需派遣員工前往異地出差。為方便辦公，出差員工希望在異地也能夠訪問總部內(nèi)網(wǎng)。通過在防火墻配置L2TPVPN，實(shí)現(xiàn)上述通信要求。任務(wù)描述6.3.2配置L2TPVPN(三)任務(wù)實(shí)施1．拓?fù)鋱D2．需求說明總部網(wǎng)絡(luò)和出差員工均可訪問Internet。出差員工通過L2TPVPN隧道可訪問總部服務(wù)器/24。FW1ServerG1/0/154/24總部0/28G1/0/6出差員工/24/24L2TPVPN隧道6.3.2配置L2TPVPN3．配置說明(三)任務(wù)實(shí)施使用一臺路由器模擬運(yùn)營商，充當(dāng)總部、出差員工的網(wǎng)關(guān)；配置防火墻各接口的IP地址、安全區(qū)域等基礎(chǔ)信息；配置L2TP客戶端地址池及用戶信息；創(chuàng)建L2TP虛擬模板（虛擬接口及IP地址、身份驗證方式、安全區(qū)域及關(guān)聯(lián)用戶地址池）；配置L2TP組（隧道名、隧道認(rèn)證方式及密碼、調(diào)用虛擬模板）配置防火墻安全策略和配置源NAT策略；配置客戶端SecoClient，并進(jìn)行連接測試及通信測試。6.3.2配置L2TPVPN（四）關(guān)鍵操作步驟

配置L2TP客戶端地址池及用戶信息

配置L2TP虛擬模板

配置L2TP組防火墻FW1配置客戶端用戶地址池：[FW1]ippooll2tp[FW1-ip-pool-l2tp]section00050[FW1-ip-pool-l2tp]aaa [FW1-aaa]service-schemel2tp_pool //定義服務(wù)計劃[FW1-aaa-service-l2tp_pool]ip-pooll2tp//綁定ip地址l2tp[FW1-aaa-service-l2tp_pool]quit [FW1-aaa]domaindefault [FW1-aaa-domain-default]service-schemel2tp_pool//默認(rèn)域default調(diào)用服務(wù)計劃防火墻FW1配置客戶端用戶信息：[FW1]user-manageuserl2tp-user1[FW1-localuser-l2tp-user1]passworduser1@1236.3.2配置L2TPVPN（四）關(guān)鍵操作步驟

配置L2TP客戶端地址池及用戶信息

配置L2TP虛擬模板

配置L2TP組防火墻FW1配置L2TPVPN虛擬模板：[FW1]intVirtual-Template1[FW1-Virtual-Template1]ipadd5424 [FW1-Virtual-Template1]pppauthentication-modechap//配置身份驗證模式為chap[FW1-Virtual-Template1]remoteservice-schemel2tp_pool[FW1]firewallzoneuntrust[FW1-zone-untrust]addintVirtual-Template1//虛擬接口加入到untrust域6.3.2配置L2TPVPN（四）關(guān)鍵操作步驟

配置L2TP客戶端地址池及用戶信息

配置L2TP虛擬模板

配置L2TP組防火墻FW1配置L2TP組：[FW1]l2tpenable //開啟L2TP服務(wù)[FW1]l2tp-group1//創(chuàng)建L2TP組[FW1-l2tp-1]tunnelnameLNS//本端隧道名[FW1-l2tp-1]tunnelauthentication//開啟認(rèn)證[FW1-l2tp-1]tunnelpasswordcipherhuawei@123 //配置認(rèn)證密碼[FW1-l2tp-1]allowl2tpvirtual-template1remoteL2TP_Client

//調(diào)用L2TP虛擬模板，對端隧道名為L2TP_Client6.3.2配置L2TPVPN（四）關(guān)鍵操作步驟測試結(jié)果1.配置客戶端參數(shù)并撥號連接：6.3.2配置L2TPVPN（四）關(guān)鍵操作步驟測試結(jié)果2.出差用戶訪問總部服務(wù)器：6.3.2配置L2TPVPN注意事項如果存在多個遠(yuǎn)程用戶需要同時撥號建立L2TPVPN，需要使用地址池方式為客戶端分配地址。如果僅存在一個遠(yuǎn)程用戶，可以直接指定客戶端地址。遠(yuǎn)程用戶撥號可以使用華為客戶端工具SecoClient，也可以使用系統(tǒng)創(chuàng)建VPN連接。6.3.3配置IPSecVPN實(shí)訓(xùn)：IPSec

VPN配置某公司在異地開設(shè)了分支機(jī)構(gòu)，總、分支網(wǎng)絡(luò)都已接入到Internet，公網(wǎng)路由可達(dá)?？偛烤W(wǎng)絡(luò)部署了OA辦公系統(tǒng)，只允許內(nèi)部員工使用。為方便辦公，公司希望分支機(jī)構(gòu)用戶也能夠使用OA辦公系統(tǒng)，并實(shí)現(xiàn)安全的數(shù)據(jù)傳輸。通過在防火墻配置IPsecVPN，實(shí)現(xiàn)上述通信要求。任務(wù)描述6.3.3配置IPSecVPN(三)任務(wù)實(shí)施1．拓?fù)鋱D2．需求說明總部和分支均可訪問Internet。總部和分支機(jī)構(gòu)建立IPsecVPN，實(shí)現(xiàn)分支機(jī)構(gòu)用戶能夠訪問企業(yè)OA系統(tǒng)。分支FW1OAG1/0/154/248/30G1/0/6總部PC10/28G1/0/6FW2G1/0/154/24/2400/24IPsecVPN6.3.3配置IPSecVPN3．配置說明(三)任務(wù)實(shí)施使用路由器模擬運(yùn)營商，充當(dāng)總部、分支機(jī)構(gòu)的網(wǎng)關(guān)；配置防火墻各接口的IP地址、安全區(qū)域等基礎(chǔ)信息；配置防火墻安全策略和配置源NAT策略；配置ACL，定義VPN流量；配置IKE安全提議，并創(chuàng)建IKE對等體；配置ipsec安全提議，并配置ipsec安全策略；接口應(yīng)用安全策略；通信測試。6.3.3配置IPSecVPN（四）關(guān)鍵操作步驟防火墻FW1配置ACL，定義VPN流量：配置ACL

配置IKE對等體

配置IPsec安全策略

接口應(yīng)用安全策略[FW1]acl3000[FW1-acl-adv-3000]rulepermitipsource000destination55

//允許OA系統(tǒng)服務(wù)器00與分支網(wǎng)絡(luò)/24通信6.3.3配置IPSecVPN（四）關(guān)鍵操作步驟防火墻FW1配置IKE對等體：配置ACL

配置IKE對等體

配置IPsec安全策略

接口應(yīng)用安全策略[FW1]ikeproposal1//創(chuàng)建IKE安全提議1，采用默認(rèn)參數(shù)[FW1-ike-proposal-1]quit [FW1]ikepeerfw2 [FW1-ike-peer-fw2]exchange-modeauto//對等體信息交換模式為自動[FW1-ike-peer-fw2]pre-shared-keyhuawei@123 //設(shè)置預(yù)共享密鑰[FW1-ike-peer-fw2]ike-proposal1 //調(diào)用安全提議1[FW1-ike-peer-fw2]remote-address8//配置IKE對端地址

[FW1-ike-peer-fw2]remote-id-typeip

//對端ID類型為IP6.3.3配置IPSecVPN（四）關(guān)鍵操作步驟防火墻FW1配置IPSEC安全策略：配置ACL

配置IKE對等體

配置IPsec安全策略

接口應(yīng)用安全策略[FW1]ipsecproposal1//配置IPsec安全提議[FW1-ipsec-proposal-1]encapsulation-modeauto//隧道模式為自動[FW1-ipsec-proposal-1]quit [FW1]ipsecpolicyipsecvpn1isakmp//配置IPsec安全策略，名稱為ipsecvpn[FW1-ipsec-policy-isakmp-ipsecvpn-1]securityacl3000 //關(guān)聯(lián)VPN流量[FW1-ipsec-policy-isakmp-ipsecvpn-1]ike-peerfw2 //指定對端設(shè)備[FW1-ipsec-policy-isakmp-ipsecvpn-1]proposal1//調(diào)用IPsec安全提議1，采用默認(rèn)參數(shù)6.3.3配置IPSecVPN（四）關(guān)鍵操作步驟防火墻FW1接口應(yīng)用IPsec安全策略：配置ACL

配置IKE對等體

配置IPsec安全策略

接口應(yīng)用安全策略[FW1]intg1/0/6

[FW1-GigabitEthernet1/0/6]ipsecpolicyipsecvpn6.3.3配置IPSecVPN

防火墻FW2

WEB界面配置：（四）關(guān)鍵操作步驟6.3.3配置IPSecVPN（四）關(guān)鍵操作步驟測試結(jié)果1.FW2查看IPsecVPN監(jiān)控信息：6.3.3配置IPSecVPN（四）關(guān)鍵操作步驟測試結(jié)果2.分支用戶訪問總部OA服務(wù)器：6.3.3配置IPSecVPN注意事項實(shí)際環(huán)境中，出口設(shè)備需要配置NAT來實(shí)現(xiàn)內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)。為保證VPN流量的正常轉(zhuǎn)發(fā)，在制定NAT策略的時候注意規(guī)避VPN流量(destination-address-exclude)。本例中IKE安全提議和IPsec安全提議均采用系統(tǒng)默認(rèn)參數(shù)?？勺孕卸x，需要注意兩端的一致性。6.3.4配置SSLVPN實(shí)訓(xùn)：SSLVPN配置某公司因業(yè)務(wù)需要，允許出差員工及合作伙伴訪問內(nèi)網(wǎng)服務(wù)器，同時希望能保證數(shù)據(jù)傳輸?shù)陌踩裕苊庑畔⑿孤?。通過在防火墻配置SSLVPN，實(shí)現(xiàn)上述通信要求。任務(wù)描述6.3.4配置SSLVPN(三)任務(wù)實(shí)施1．拓?fù)鋱D2．需求說明總部和遠(yuǎn)程用戶均可訪問Internet?？偛烤W(wǎng)絡(luò)部署SSL網(wǎng)關(guān)，允許遠(yuǎn)程用戶以合法身份訪問總部服務(wù)器。FW1ServerG1/0/154/24總部0/28G1/0/6客戶端/24/24SSLVPN隧道6.3.4配置SSLVPN3．配置說明(三)任務(wù)實(shí)施使用路由器模擬運(yùn)營商，充當(dāng)總部、遠(yuǎn)程用戶的網(wǎng)關(guān)；配置防火墻各接口的IP地址、安全區(qū)域等基礎(chǔ)信息；配置防火墻安全策略和配置源NAT策略；配置SSLVPN虛擬網(wǎng)關(guān)；配置SSL網(wǎng)關(guān)的網(wǎng)絡(luò)擴(kuò)展功能；配置授權(quán)訪問的用戶信息；通信測試。6.3.4配置SSLVPN（四）關(guān)鍵操作步驟配置SSLVPN網(wǎng)關(guān)

配置網(wǎng)絡(luò)擴(kuò)展功能

配置授權(quán)用戶防火墻FW1配置SSLVPN虛擬網(wǎng)關(guān)：[FW1]v-gatewaySSL_VPNinterfaceg1/0/6port4430private

//網(wǎng)關(guān)地址關(guān)聯(lián)g1/0/6，端口為4430防火墻FW1SSLVPN列表：6.3.4配置SSLVPN（四）關(guān)鍵操作步驟配置SSLVPN網(wǎng)關(guān)

配置網(wǎng)絡(luò)擴(kuò)展功能

配置授權(quán)用戶防火墻FW1WEB配置網(wǎng)絡(luò)擴(kuò)展功能：6.3.4配置SSLVPN（四）關(guān)鍵操作步驟配置SSLVPN網(wǎng)關(guān)

配置網(wǎng)絡(luò)擴(kuò)展功能

配置授權(quán)用戶防火墻FW1WEB配置授權(quán)用戶：6.3.4配置SSLVPN（四）關(guān)鍵操作步驟配置SSLVPN網(wǎng)關(guān)

配置網(wǎng)絡(luò)擴(kuò)展功能

配置授權(quán)用戶防火墻FW1WEB配置授權(quán)用戶：6.3.4配置SSLVPN（四）關(guān)鍵操作步驟測試結(jié)果1.客戶端使用SecoClient工具連接SSLVPN網(wǎng)關(guān)：6.3.4配置SSLVPN（四）關(guān)鍵操作步驟測試結(jié)果2.客戶端使用瀏覽器連接SSLVPN網(wǎng)關(guān)：6.3.4配置SSLVPN（四）關(guān)鍵操作步驟測試結(jié)果3.通信測試：6.3.4配置SSLVPN注意事項因版本原因，默認(rèn)在WEB界面下無法創(chuàng)建SSLVPN虛擬網(wǎng)關(guān)，需先在CLI下創(chuàng)建，然后WEB配置界面刷新顯示。6.3.5配置GREoverIPsecVPN實(shí)訓(xùn)：GREoverIPsecVPN配置某公司網(wǎng)絡(luò)由總、分支構(gòu)成，因業(yè)務(wù)需要，兩端需要傳輸多種協(xié)議類型的數(shù)據(jù)報文。公司希望利用公共互聯(lián)網(wǎng)傳輸，并要保證數(shù)據(jù)的安全性。通過在防火墻配置GREoverIPsecVPN，實(shí)現(xiàn)上述通信要求。任務(wù)描述6.3.5配置GREoverIPsecVPN(三)任務(wù)實(shí)施1．拓?fù)鋱D2．需求說明總部和分支均可訪問Internet?？偛亢头种C(jī)構(gòu)建立GREoverIPsecVPN，實(shí)現(xiàn)兩端網(wǎng)絡(luò)之間多種數(shù)據(jù)報文的可靠傳輸。分支FW1PC1G1/0/154/248/30G1/0/6總部PC20/28G1/0/6FW2G1/0/154/24/24/24GREoverIPsecVPN6.3.5配置GREoverIPsecVPN3．配置說明(三)任務(wù)實(shí)施使用路由器模擬運(yùn)營商，充當(dāng)總部、分支機(jī)構(gòu)的網(wǎng)關(guān)；配置防火墻各接口的IP地址、安全區(qū)域等基礎(chǔ)信息；配置防火墻安全策略和配置源NAT策略；配置GRE接口參數(shù)；配置IPsec安全策略及加密數(shù)據(jù)流；配置隧道靜態(tài)路由；通信測試。6.3.5配置GREoverIPsecVPN防火墻FW1配置GRE接口參數(shù)：

配置GRE接口參數(shù)

配置IPsec安全策略

配置加密數(shù)據(jù)流

配置隧道靜態(tài)路由防火墻FW2配置GRE接口參數(shù)：（四）關(guān)鍵操作步驟6.3.5配置GREoverIPsecVPN防火墻FW1配置IPsec安全策略：防火墻FW2配置IPsec安全策略：

配置GRE接口參數(shù)

配置IPsec安全策略

配置加密數(shù)據(jù)流

配置隧道靜態(tài)路由（四）關(guān)鍵操作步驟6.3.5配置GREoverIPsecVPN

配置GRE接口參數(shù)

配置IPsec安全策略

配置加密數(shù)據(jù)流

配置隧道靜態(tài)路由（四）關(guān)鍵操作步驟

防火墻FW1配置加密數(shù)據(jù)流：防火墻FW2配置加密數(shù)據(jù)流：6.3.5配置GREoverIPsecVPN

防火墻FW1配置隧道靜態(tài)路由：防火墻FW2配置隧道靜態(tài)路由：

配置GRE接口參數(shù)

配置IPsec安全策略

配置加密數(shù)據(jù)流

配置隧道靜態(tài)路由（四）關(guān)鍵操作步驟6.3.5配置GREoverIPsecVPN（四）關(guān)鍵操作步驟測試結(jié)果1.FW1查看IPsecVPN監(jiān)控信息：2.FW2查看IPsecVPN監(jiān)控信息：6.3.5配置GREoverIPsecVPN（四）關(guān)鍵操作步驟測試結(jié)果3.分支用戶訪問總部：6.3.5配置GREoverIPsecVPN注意事項GREoverIPsecVPN在設(shè)置加密流量的時候，使用兩端出口公網(wǎng)地址，協(xié)議為GRE。而不再是內(nèi)網(wǎng)地址。隧道建立后，兩端網(wǎng)絡(luò)之間的互訪通過配置隧道靜態(tài)路由來確定。6.3.6配置L2TPoverIPsecVPN實(shí)訓(xùn)：L2TPoverIPsecVPN配置某公司因業(yè)務(wù)需要，需派遣員工前往異地出差。為方便辦公，出差員工希望在異地也能夠訪問總部內(nèi)網(wǎng)，同時要保證數(shù)據(jù)傳輸?shù)陌踩?，通過在防火墻配置L2TPoverIPsecVPN，實(shí)現(xiàn)上述通信要求。任務(wù)描述6.3.6配置L2TPoverIPsecVPN(三)任務(wù)實(shí)施1．拓?fù)鋱D2．需求說明總部網(wǎng)絡(luò)和出差員工均可訪問Internet。出差員工通過L2TPoverIPsecVPN隧道，對總部服務(wù)器/24實(shí)現(xiàn)安全訪問。FW1ServerG1/0/154/24總部0/28G1/0/6出差員工/24/24L2TPoverIPsecVPN6.3.6配置L2TPoverIPsecVPN3．配置說明(三)任務(wù)實(shí)施使用一臺路由器模擬運(yùn)營商，充當(dāng)總部、出差員工的網(wǎng)關(guān)；配置防火墻各接口的IP地址、安全區(qū)域等基礎(chǔ)信息；配置防火墻安全策略和配置源NAT策略；配置L2TP客戶端地址池；配置L2TPoverIPsec隧道參數(shù)；配置L2TP隧道接口參數(shù)；配置客戶端用戶信息；配置客戶端SecoClient，并進(jìn)行連接測試及通信測試。6.3.6配置L2TPoverIPsecVPN防火墻FW1配置客戶端用戶地址池：

配置L2TP客戶端地址池

配置L2TPoverIPsec隧道參數(shù)

配置L2TP隧道接口

配置撥號用戶（四）關(guān)鍵操作步驟6.3.6配置L2TPoverIPsecVPN防火墻FW1配置L2TPoverIPsec隧道參數(shù)：

配置L2TP客戶端地址池

配置L2TPoverIPsec隧道參數(shù)

配置L2TP隧道接口

配置撥號用戶（四）關(guān)鍵操作步驟6.3.6配置L2TPoverIPsecVPN防火墻FW1配置L2TP隧道接口：

配置L2TP客戶端地址池

配置L2TPoverIPsec隧道參數(shù)

配置L2TP隧道接口

配置撥號用戶（四）關(guān)鍵操作步驟6.3.6配置L2TPoverIPsecVPN防火墻FW1配置撥號用戶：

配置L2TP客戶端地址池

配置L2TPoverIPsec隧道參數(shù)

配置L2TP隧道接口

配置撥號用戶（四）關(guān)鍵操作步驟6.3.6配置L2TPoverIPsecVPN（四）關(guān)鍵操作步驟測試結(jié)果1.FW1查看VPN監(jiān)控信息：6.3.6配置L2TPoverIPsecVPN（四）關(guān)鍵操作步驟測試結(jié)果2.配置客戶端參數(shù)并撥號連接：6.3.6配置L2TPoverIPsecVPN（四）關(guān)鍵操作步驟測試結(jié)果2.配置客戶端參數(shù)并撥號連接：6.3.6配置L2TPoverIPsecVPN（四）關(guān)鍵操作步驟測試結(jié)果3.遠(yuǎn)程用戶訪問總部網(wǎng)絡(luò)：6.3.6配置L2TPoverIPsecVPN注意事項本實(shí)驗中配置完隧道參數(shù)后，默認(rèn)L2TP組default-ins已關(guān)聯(lián)配置，可直接使用，也可新建L2TP組。模塊7用戶管理及認(rèn)證防火墻技術(shù)與應(yīng)用微課版01模塊概述03知識準(zhǔn)備04項目實(shí)施02教學(xué)目標(biāo)C教學(xué)過程壹模塊概述模塊概述在當(dāng)前網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)安全的威脅更多來源于應(yīng)用層，這也使得企業(yè)對網(wǎng)絡(luò)訪問控制提出了更高的要求。如何精確地識別用戶，保證用戶的合法應(yīng)用正常進(jìn)行，阻斷用戶訪問有安全隱患的應(yīng)用等，已成為現(xiàn)階段企業(yè)對網(wǎng)絡(luò)安全關(guān)注的重點(diǎn)。但I(xiàn)P不等于用戶，端口不等于應(yīng)用，傳統(tǒng)防火墻基于IP/端口的五元組訪問控制策略已不能有效應(yīng)對現(xiàn)階段網(wǎng)絡(luò)環(huán)境的巨大變化。貳教學(xué)目標(biāo)教學(xué)目標(biāo)知識目標(biāo)技能目標(biāo)素養(yǎng)目標(biāo)1．了解防火墻的AAA技術(shù)。2．了解防火墻的用戶管理技術(shù)。3．理解Portal認(rèn)證的工作原理。4．理解認(rèn)證策略的匹配機(jī)制。1．強(qiáng)化最小權(quán)限執(zhí)行力度，防范越權(quán)訪問導(dǎo)致的數(shù)據(jù)泄露風(fēng)險。2．樹立訪客網(wǎng)絡(luò)監(jiān)管意識，設(shè)定訪客賬戶有效期。3．提升日志審計嚴(yán)謹(jǐn)性，確保操作可追溯，行為能審計。1．能夠配置防火墻用戶認(rèn)證策略。2．能夠進(jìn)行用戶管理。3．能夠配置用戶認(rèn)證過程中相關(guān)的NAT策略與安全策略。叁知識準(zhǔn)備知識準(zhǔn)備7.2.1AAA技術(shù)簡介7.2.2用戶管理7.2.3

Portal認(rèn)證7.2.4認(rèn)證策略7.2.1AAA技術(shù)簡介7.2.1AAA技術(shù)簡介一、AAA技術(shù)AAA表示Authentication、Authorization、Accounting，即認(rèn)證、授權(quán)、計費(fèi)。AuthenticationAuthorizationAccounting7.2.1AAA技術(shù)簡介Authentication認(rèn)證認(rèn)證是指通過一定的手段，完成對用戶身份的確認(rèn)認(rèn)證的方式包括：我知道：用戶所知道的信息（如：密碼、個人識別號（PIN）等）我擁有：用戶所擁有的信息（如：令牌卡、智能卡或銀行卡）我具有：用戶所具有的生物特征（如：指紋、聲音、視網(wǎng)膜、DNA）指紋面部聲