03-802.1X认证典型配置举例
802.1X认证典型配置举例
Copyright ? 2014 杭州华三通信技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。
目录
1 简介 (1)
2 配置前提 (1)
3 配置举例 (1)
3.1 组网需求 (1)
3.2 配置思路 (1)
3.3 配置注意事项 (1)
3.4 配置步骤 (2)
3.4.1 AC的配置 (2)
3.4.2 RADIUS服务器的配置 (4)
3.5 验证配置 (6)
3.6 配置文件 (10)
4 相关资料 (12)
1 简介
本文档介绍无线控制器802.1X 认证典型配置举例。
2 配置前提
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解AAA 、802.1X 、WLAN 特性。
3 配置举例
3.1 组网需求
如图1所示组网,采用iMC 作为RADIUS 服务器,要求:
?
在AC 上启用802.1X 远程认证,实现对Client 的接入控制。 ?
802.1X 认证方式采用EAP 中继方式。 ? 采用加密类型的服务模板,加密套件采用TKIP 。
图1 802.1X 远程认证组网图
3.2 配置思路
?
由于部分802.1X 客户端不支持与设备进行握手报文的交互,因此需要关闭设备的在线用户握手功能,避免该类型的在线用户因没有回应握手报文而被强制下线。 ? 对于无线局域网来说,802.1X 认证可以由客户端主动发起,或由无线模块发现用户后自动触
发,不需要通过端口定期发送802.1X 组播报文的方式来触发。同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭802.1X 组播触发功能。
3.3 配置注意事项
? 由于端口安全特性通过多种安全模式提供了802.1X 认证的扩展和组合应用,因此在无特殊组
网要求的情况下,无线环境中通常使用端口安全特性。
Client RADIUS server
配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
3.4 配置步骤
3.4.1 AC的配置
(1) AC接口的配置
# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道。
[AC] vlan 100
[AC-vlan100] quit
[AC] interface vlan-interface 100
[AC-Vlan-interface100] ip address 8.1.1.1 255.255.255.0
[AC-Vlan-interface100] quit
# 创建VLAN 200,作为ESS接口的缺省VLAN。
[AC] vlan 200
[AC-vlan200] quit
(2) 配置接口WLAN-ESS 1
# 创建WLAN-ESS1接口。
[AC] interface wlan-ess 1
# 配置WLAN-ESS1接口类型为Hybrid。
[AC-WLAN-ESS1] port link-type hybrid
# 配置当前Hybrid端口的PVID为VLAN 200,禁止VLAN 1通过并允许VLAN 200不带tag通过。
[AC-WLAN-ESS1] port hybrid pvid vlan 200
[AC-WLAN-ESS1] undo port hybrid vlan 1
[AC-WLAN-ESS1] port hybrid vlan 200 untagged
# 开启MAC-VLAN功能。
[AC-WLAN-ESS1] mac-vlan enable
[AC-WLAN-ESS1] quit
(3) 配置无线服务
# 创建crypto类型的服务模板1。
[AC] wlan service-template 1 crypto
# 配置当前服务模板的SSID为joe_dot1x。
[AC-wlan-st-1] ssid joe_dot1x
# 将WLAN-ESS1接口绑定到服务模板1。
[AC-wlan-st-1] bind WLAN-ESS 1
# 配置加密套件为TKIP。
[AC-wlan-st-1] cipher-suite tkip
# 配置在AP发送信标和探查响应帧时携带WPA IE信息。
[AC-wlan-st-1] security-ie wpa
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
(4) 配置AP并绑定无线服务
# 创建AP模板,名称为officeap1,型号名称选择WA2620E-AGN,该AP的序列号为21023529G007C000020。
[AC] wlan ap officeap1 model WA2620E-AGN
[AC-wlan-ap-officeap1] serial-id 21023529G007C000020
# 进入AP的radio 2视图。
[AC-wlan-ap-officeap1] radio 2
# 将服务模板1绑定到radio 2口并使能radio 2。
[AC-wlan-ap-officeap1-radio-2] service-template 1
[AC-wlan-ap-officeap1-radio-2] radio enable
[AC-wlan-ap-officeap1-radio-2] quit
(5) 配置RADIUS方案
# 创建RADIUS方案rad。
[AC] radius scheme rad
# 配置主认证RADIUS服务器的IP地址8.1.1.16。
[AC-radius-rad] primary authentication 8.1.1.16
# 配置主计费RADIUS服务器的IP地址8.1.1.16。
[AC-radius-rad] primary accounting 8.1.1.16
# 配置与认证RADIUS服务器交互报文时的共享密钥为expert。
[AC-radius-rad] key authentication expert
# 配置与计费RADIUS服务器交互报文时的共享密钥为expert。
[AC-radius-rad] key accounting expert
# 配置RADIUS服务器的服务类型为extended。
[AC-radius-rad] server-type extended
[AC-radius-rad] quit
(6) 配置domain域
# 创建ISP域imc。
[AC] domain imc
# 为lan-access用户配置认证方案为RADIUS方案,方案名为rad。
[AC-isp-imc] authentication lan-access radius-scheme rad
# 为lan-access用户配置授权方案为RADIUS方案,方案名为rad。
[AC-isp-imc] authorization lan-access radius-scheme rad
# 为lan-access用户配置计费方案为RADIUS方案,方案名为rad。
[AC-isp-imc] accounting lan-access radius-scheme rad
[AC-isp-imc] quit
# 配置缺省的ISP域为imc。
[AC] domain default enable imc
(7) 配置802.1X
[AC] port-security enable
# 配置802.1X用户的认证方式为EAP中继方式。
[AC] dot1x authentication-method eap
# 进入WLAN-ESS1接口视图。
[AC] interface wlan-ess 1
# 配置端口的安全模式为userLogin-SecureExt。
[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext
# 在接口WLAN-ESS1下使能11key类型的密钥协商功能。
[AC-WLAN-ESS1] port-security tx-key-type 11key
# 关闭802.1X组播触发功能和在线用户握手功能。
[AC-WLAN-ESS1] undo dot1x multicast-trigger
[AC-WLAN-ESS1] undo dot1x handshake
[AC-WLAN-ESS1] quit
3.4.2 RADIUS服务器的配置
下面以iMC为例(使用iMC版本为:iMC PLAT 5.2(E0401)、iMC UAM 5.2(E0402)),说明
RADIUS服务器的基本配置。
# 增加接入设备。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[用户接入管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入增加接入设备页面。
?设置与AC交互报文时使用的认证、计费共享密钥为“expert”;
?设置认证及计费的端口号分别为“1812”和“1813”;
?选择业务类型为“LAN接入业务”;
?选择接入设备类型为“H3C”;
?选择或手工增加接入设备,添加IP地址为8.1.1.1的接入设备;
?其它参数采用缺省值,并单击<确定>按钮完成操作。
# 增加服务配置。
选择“业务”页签,单击导航树中的[用户接入管理/服务配置管理]菜单项,进入服务列表页面,在该页面中单击“增加”按钮,进入增加服务配置页面。
?输入服务名“dot1x auth”;
?其它参数采用缺省值,并单击<确定>按钮完成操作。
图3增加服务配置
# 增加接入用户。
选择“用户”页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入接入用户列表页面,在该页面中单击<增加>按钮,进入增加设备管理用户页面。
?输入用户姓名;
?输入账号名“localuser”和密码;
?在接入服务处选择“dot1x auth”;
?单击<确定>按钮完成操作。
3.5 验证配置
# 本文以XP系统为例,右键点击桌面上网络邻居,点击“属性”。
# 弹出网络连接窗口后,右键点击“无线网络连接”图标,选择“属性”。
# 在弹出的对话框中,点击“无线网络配置”页签,点击<添加>按钮。
# 在弹出的“无线网络属性”对话框中,添加SSID,并选择相应的加密方式、认证方式。 在网络名添加“joe_dot1x”的SSID。
?在无线网络密钥处,选择网络验证WPA。
?在数据加密处,选择加密类型为TKIP。
?点击“验证”页签,在EAP类型处,选择“受保护的EAP(PEAP)”。
?点击<属性>按钮,在弹出的对话框中取消“验证服务器证书”,选择验证方法为“安全密码(EAP-MSCHAP v2)
?点击<配置>按钮,取消“自动使用Windows登录名和密码(以及域,如果有的话)”。
# 当用户通过认证连接到AP后,可以在AC上使用display connection查看有1个用户在线。
Index=5 ,Username=test@imc
MAC=00-19-5B-EC-7A-E9
IP=N/A
IPv6=N/A
Total 1 connection(s) matched.
# 在AC上使用display connection ucibindex查看用户的较详细信息。
Index=5 , Username=test@imc
MAC=00-19-5B-EC-7A-E9
IP=N/A
IPv6=N/A
Access=8021X ,AuthMethod=EAP
Port Type=Wireless-802.11,Port Name=WLAN-DBSS0:2
Initial VLAN=1, Authorization VLAN=N/A
ACL Group=Disable
User Profile=N/A
CAR=Disable
Priority=Disable
Start=2014-1-14 15:24:21 ,Current=2014-1-14 18:29:24 ,Online=03h05m03s
Total 1 connection matched.
# 在AC上使用display wlan client verbose查看终端信息。
Total Number of Clients : 1
Client Information
------------------------------------------------------------------------------- MAC Address : 0019-5bec-7ae9
User Name : test
AID : 1
AP Name : officeap1
Radio Id : 2
SSID : joe_dot1x
BSSID : 0023-8998-0450
Port : WLAN-DBSS0:2
VLAN : 100
State : Running
Power Save Mode : Active
Wireless Mode : 11g
QoS Mode : WMM
Listen Interval (Beacon Interval) : 10
RSSI : 32
Rx/Tx Rate : 54/54
Client Type : WPA
Authentication Method : Open System
AKM Method : Dot1X
4-Way Handshake State : PTKINITDONE
Group Key State : IDLE
Encryption Cipher : TKIP
Roam Status : Normal
Roam Count : 0
Up Time (hh:mm:ss) : 00:54:47
3.6 配置文件
#
domain default enable imc
#
port-security enable
#
dot1x authentication-method eap
#
vlan 100
#
vlan 200
#
radius scheme rad
server-type extended
primary authentication 8.1.1.16
primary accounting 8.1.1.16
key authentication cipher $c$3$21zk+lCairQXsBSeu53rIVaO77HxHzOMXQ== key accounting cipher $c$3$kQDj+ARtECao65pwIoPggsaj34Vxmbj7sA==
#
domain imc
authentication lan-access radius-scheme rad
authorization lan-access radius-scheme rad
accounting lan-access radius-scheme rad
access-limit disable
state active
idle-cut disable
self-service-url disable
#
wlan service-template 1 crypto
ssid joe_dot1x
bind WLAN-ESS 1
cipher-suite tkip
security-ie wpa
service-template enable
#
interface Vlan-interface100
ip address 8.1.1.1 255.255.255.0
#
interface WLAN-ESS1
port link-type hybrid
undo port hybrid vlan 1
port hybrid vlan 200 untagged
port hybrid pvid vlan 200
mac-vlan enable
port-security port-mode userlogin-secure-ext
port-security tx-key-type 11key
undo dot1x handshake
undo dot1x multicast-trigger
#
wlan ap officeap1 model WA2620E-AGN id 1
serial-id 21023529G007C000020
radio 1
radio 2
service-template 1
radio enable
#
4 相关资料
?《H3C WX系列无线控制器产品配置指导》“安全配置指导”。
?《H3C WX系列无线控制器产品命令参考》“安全命令参考”。
?《H3C WX系列无线控制器产品配置指导》“WLAN配置指导”。
?《H3C WX系列无线控制器产品命令参考》“WLAN命令参考”。
H3C SecPath系列防火墙典型配置案例集-6W100-SecPath系列防火墙IPSec典型配置举例
SecPath系列防火墙IPSec典型配置举例 关键词:IKE、IPSec 摘要:本章首先介绍了IKE和IPSec的基本概念,随后说明了防火墙的配置方法,最后给出两种典型应用的举例。 缩略语: 缩略语英文全名中文解释 IKE Internet Key Exchange 因特网密钥交换 Security IP网络安全协议 IPsec IP
目录 1 特性简介 (3) 1.1 IPSec基本概念 (3) 1.1.1 SA (3) 1.1.2 封装模式 (3) 2 应用场合 (4) 3 配置指南 (4) 3.1 配置概述 (4) 3.2 配置ACL (6) 3.3 配置IKE (6) 3.3.1 配置IKE全局参数 (6) 3.3.2 配置IKE安全提议 (7) 3.3.3 配置IKE对等体 (8) 3.4 IPSec安全提议 (10) 3.5 配置安全策略模板 (12) 3.6 配置安全策略 (14) 3.7 应用安全策略组 (16) 4 配置举例一:基本应用 (17) 4.1 组网需求 (17) 4.2 使用版本 (18) 4.3 配置步骤 (18) 4.4 配置结果验证 (27) 4.4.1 查看IPSec安全联盟 (27) 4.4.2 查看报文统计 (27) 5 配置举例二:与NAT结合 (27) 5.1 组网需求 (27) 5.2 配置说明 (28) 5.3 配置步骤 (28) 5.4 配置验证结果 (34) 5.4.1 查看IPSec安全联盟 (34) 5.4.2 查看报文统计 (35) 6 注意事项 (35) 7 相关资料 (35) 7.1 相关协议和标准 (35) 7.2 其它相关资料 (36)
CMSR系列路由器IPsec典型配置举例V
C M S R系列路由器I P s e c典型配置举例V 文件排版存档编号:[UYTR-OUPT28-KBNTL98-UYNN208]
1?简介 本文档介绍IPsec的典型配置举例。
2?配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3?使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1?组网需求 如所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: 通过L2TP隧道访问Corporate network。 用IPsec对L2TP隧道进行数据加密。 采用RSA证书认证方式建立IPsec隧道。 图1基于证书认证的L2TP over IPsec配置组网图 3.2?配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile 中配置local-identity为dn,指定从本端证书中的主题字段取得 本端身份。 3.3?使用版本
本举例是在R0106版本上进行配置和验证的。 3.4?配置步骤 3.4.1?Device的配置 (1)配置各接口IP地址 #配置接口GigabitEthernet2/0/1的IP地址。
华为防火墙(VRRP)双机热备配置及组网
防火墙双机热备配置及组网指导 防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。 1 防火墙双机热备命令行说明 防火墙的双机热备的配置主要涉及到HRP的配置,VGMP的配置,以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。 1.1 HRP命令行配置说明 HRP是华为的冗余备份协议,Eudemon 防火墙使用此协议进行备份组网,达到链路状态备份的目的,从而保证在设备发生故障的时候业务正常。 HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的;VGMP是华为的私有协议,主要是用来管理VRRP的,VGMP也是华为的私有协议,是在VRRP的基础上进行扩展得到的。不管是VGMP的报文,还是HRP的报文,都是VRRP的报文,只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文。 在Eudemon防火墙上,hrp的作用主要是备份防火墙的会话表,备份防火墙的servermap 表,备份防火墙的黑名单,备份防火墙的配置,以及备份ASPF模块中的公私网地址映射表和上层会话表等。 两台防火墙正确配置VRRP,VGMP,以及HRP之后,将会形成主备关系,这个时候防火墙的命令行上会自动显示防火墙状态是主还是备,如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状态,不可能出现两台都为主状态或者都是备状态的。 在防火墙的HRP形成主备之后,我们称HRP的主备状态为HRP主或者是HRP备状态,在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括ACL,接口加入域等,但其中一些命令行是不会从主防火墙上备份到备防火墙上。 HRP的配置命令的功能和使用介绍如下: ★ hrp enable :HRP使能命令,使能HRP之后防火墙将形成主备状态。 ★ hrp configuration check acl :检查主备防火墙两端的ACL的配置是否一致。执行此命令之后,主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。
H3C MSR系列路由器IPsec典型配置举例(V7)
1 简介 本文档介绍IPsec的典型配置举例。 2 配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1 组网需求 如图1所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: ?通过L2TP隧道访问Corporate network。 ?用IPsec对L2TP隧道进行数据加密。 ?采用RSA证书认证方式建立IPsec隧道。 图1 基于证书认证的L2TP over IPsec配置组网图 3.2 配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile中配置local-identity 为dn,指定从本端证书中的主题字段取得本端身份。 3.3 使用版本 本举例是在R0106版本上进行配置和验证的。 3.4 配置步骤 3.4.1 Device的配置 (1) 配置各接口IP地址
# 配置接口GigabitEthernet2/0/1的IP地址。
华为usg2210防火墙配置实例
防火墙双机热备配置案例精编WORD版
防火墙双机热备配置案例精编W O R D版 IBM system office room 【A0816H-A0912AAAHH-GX8Q8-GNTHHJ8】
双机热备 网络卫士防火墙可以实现多种方式下的冗余备份,包括:双机热备模式、负载均衡模式和连接保护模式。 在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。 在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID 相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能够接替其工作。 在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。
双机热备模式 基本需求 图 1双机热备模式的网络拓扑图 上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。配置要点 设置HA心跳口属性 设置除心跳口以外的其余通信接口属于VRID2 指定HA的工作模式及心跳口的本地地址和对端地址 主从防火墙的配置同步 WEBUI配置步骤 1)配置HA心跳口和其他通讯接口地址 HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。 主墙
防火墙典型配置举例
1.1防火墙典型配置举例
[Quidway-acl-101]rule deny ip source any destination any #配置规则允许特定主机访问外部网,允许内部服务器访问外部网。 [Quidway-acl-101]rule permit ip source129.38.1.40destination any [Quidway-acl-101]rule permit ip source129.38.1.10destination any [Quidway-acl-101]rule permit ip source129.38.1.20destination any [Quidway-acl-101]rule permit ip source129.38.1.30destination any #配置规则允许特定用户从外部网访问内部服务器。 [Quidway]acl102 [Quidway-acl-102]rule permit tcp source202.39.2.30destination 202.38.160.10 #配置规则允许特定用户从外部网取得数据(只允许端口大于1024的包)。 [Quidway-acl-102]rule permit tcp source any destination 202.38.160.10.0.0.0destination-port greater-than1024 #将规则101作用于从接口Ethernet0进入的包。 [Quidway-Ethernet0]firewall packet-filter101inbound #将规则102作用于从接口Serial0进入的包。 [Quidway-Serial0]firewall packet-filter102inbound
双机热备OSPF组网配置指导手册v
双机热备主备方式OSPF组网配置 指导手册 关键字:双机热备、主备、非抢占、物理接口、静态路由、OSPF 目录 1双机热备防火墙组网说明:2 2主防火墙配置步骤:2 2.1 配置接口地址5 2.2 配置安全区域6 2.3 配置双机热备8 2.4 配置接口联动11 2.5 配置NAT11 2.6 配置OSPF动态路由协议15 2.7 配置NQA18 2.8 配置静态缺省路由与TRACK 1绑定19 2.9 配置OSPF发布缺省路由20 3备防火墙配置步骤:20 2.1 配置接口地址22 2.2 配置安全区域24 2.3 配置双机热备25 2.4 配置接口联动28 2.5 配置NAT28 2.6 配置OSPF动态路由协议33 2.7 配置NQA35 2.8 配置静态缺省路由与TRACK 1绑定36 2.9 配置OSPF发布缺省路由37
1 双机热备防火墙组网说明: 组网说明: 防火墙双机热备组网,主备非抢占模式,防火墙上行链路通过静态路由指向连接INTERNET网络,防火墙下行链路通过OSPF动态路由指向内部网络路由器。 业务要求: 当网络“层三交换机”或“防火墙”或“层二交换机”某一个设备本身故障或某一条线路故障时,流量可以及时从主防火墙切换至备防火墙,保证网络应用业务不中断、平稳运行。 2 主防火墙配置步骤: 1 配置PC IP地址192.168.0.3/24,连接管理防火墙:
2 通过IE浏览器打开防火墙WEB管理界面,防火墙默认的管理IP地址192.168.0.1,默认的用户名:h3c,默认密码:h3c。 3 进入防火墙WEB管理界面,可以查看防火墙系统信息,包括版本信息等;
H3C防火墙典型配置举例
SecBlade防火墙插卡配置管理典型配置举例 关键词:配置管理,备份 摘要:配置管理模块主要用于对SecBlade防火墙插卡进行配置保存(加密和非加密)、备份、配置恢复和恢复出厂配置,用户可以在web页面方便地对设备的配置进行维护和管理。 缩略语: 缩略语英文全名中文解释 - - -
目录 1 特性简介 (3) 2 应用场合 (3) 3 注意事项 (3) 4 配置举例 (3) 4.1 组网需求 (3) 4.2 配置思路 (3) 4.3 使用版本 (4) 4.4 配置步骤 (4) 4.4.1 基本配置 (4) 4.4.2 配置管理 (4) 4.5 验证结果 (6) 4.5.1 配置保存 (6) 4.5.2 配置备份 (7) 4.5.3 配置恢复 (7) 4.5.4 恢复出厂配置 (7) 4.5.5 软件升级 (7) 4.5.6 设备重启 (7)
1 特性简介 配置管理页面包含“配置保存”、“配置备份”、“配置恢复”和“恢复出厂配置”四个页签。 配置保存可以加密保存配置,如果将配置信息备份下来,打开文件查看时,看到的是密文显示。 在此页面可以对当前的配置信息进行配置备份和备份恢复。软件升级和系统重启可以让用户通过web页面对设备进行管理和操作。 2 应用场合 用于设备的日常维护,当配置修改后,可以保存配置以免设备断电配置信息丢失。也可以将配置信息备份下来,用于日后的配置恢复。如果想清空配置信息时,可以恢复出厂配置。 3 注意事项 (1) 软件升级时,尽量在流量少的时候操作,以免影响用户正常使用。 (2) 备份或恢复时请将startup.cfg和system.xml一起备份和恢复。 4 配置举例 4.1 组网需求 本配置举例中,设备使用的是Secblade II防火墙插卡。本典型配置举例同样适合Secblade LB插卡。 图1配置管理组网图 4.2 配置思路 GE0/1所在的局域网(内网)接口配置地址为192.168.252.98/22,加入ManageMent域,使GE0/1成为管理口。
Cisco catalyst 4506双机热备配置
Cisco catalyst 4506双机热备配置 catalyst4506#show run 刚给用户做的catalyst 4506双机热备配置,经测试ACL、standby均工作正常。。该配置是主交换机配置,从交换机各VLAN的IP配置不同外(应与主交换机各VLAN的IP在同一网段),其它均相同。 Current configuration : 4307 bytes ! version 12.2 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption service compress-config ! hostname 4506-1 ! enable secret 5 $1$f6uA$uOeBnswuinoLFBNsxSP561 ! ip subnet-zero no ip domain-lookup ! ! no file verify auto ! spanning-tree mode pvst spanning-tree extend system-id spanning-tree vlan 1-1005 priority 24576 power redundancy-mode redundant ! ! vlan access-map vlan_map 10 action forward match ip address server_acl vlan access-map vlan_map 20 action drop match ip address vlan_acl vlan access-map vlan_map 30 action forward vlan filter vlan_map vlan-list 30-31,33-34,37,39,100-101,200,311 vlan internal allocation policy ascending !
DPtech FW1000系列应用防火墙典型配置v3.2
DPtech FW1000系列应用防火墙 典型配置 手册版本:v3.2 软件版本:FW1000-S211C011D001P15 发布时间:2018-12-07
声明 Copyright ? 2008-2018杭州迪普科技股份有限公司版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。 为杭州迪普科技股份有限公司的商标。 对于本手册中出现的其他所有商标或注册商标,由各自的所有人拥有。 由于产品版本升级或其他原因,本手册内容有可能变更。杭州迪普科技股份有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导,杭州迪普科技股份有限公司尽全力在本手册中提供准确的信息,但是杭州迪普科技股份有限公司并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。 杭州迪普科技股份有限公司 地址:杭州市滨江区通和路68号中财大厦6层 邮编:310051 网址:https://www.sodocs.net/doc/3c12062667.html, 技术论坛:https://www.sodocs.net/doc/3c12062667.html, 7x24小时技术服务热线:400-6100-598
约定图形界面格式约定 各类标志约定 表示操作中必须注意的信息,如果忽视这类信息,可能导致数据丢失、功能失效、设备损坏或不可预知的结果。 表示对操作内容的描述进行强调和补充。
目录 1产品介绍 ........................................................................................................................................... 1-1 1.1产品概述.................................................................................................................................. 1-1 1.2产品特点.................................................................................................................................. 1-1 2设备基本配置维护案例...................................................................................................................... 2-1 2.1登陆防火墙设备Web界面....................................................................................................... 2-1 2.1.1组网说明........................................................................................................................ 2-1 2.1.2配置前提........................................................................................................................ 2-1 2.1.3注意事项........................................................................................................................ 2-1 2.1.4配置思路........................................................................................................................ 2-2 2.1.5配置步骤........................................................................................................................ 2-2 2.1.6结果验证........................................................................................................................ 2-3 2.2 Telnet/SSH远程管理防火墙..................................................................................................... 2-4 2.2.1组网说明........................................................................................................................ 2-4 2.2.2配置前提........................................................................................................................ 2-5 2.2.3注意事项........................................................................................................................ 2-5 2.2.4配置思路........................................................................................................................ 2-5 2.2.5配置步骤........................................................................................................................ 2-5 2.2.6结果验证........................................................................................................................ 2-6 2.3限制特定IP/特定协议管理防火墙 ............................................................................................ 2-7 2.3.1组网说明........................................................................................................................ 2-7 2.3.2配置前提........................................................................................................................ 2-7 2.3.3注意事项........................................................................................................................ 2-7 2.3.4配置思路........................................................................................................................ 2-7 2.3.5配置步骤........................................................................................................................ 2-8 2.3.6结果验证........................................................................................................................ 2-9 2.4保存/下载/导入防火墙配置文件.............................................................................................. 2-10 2.4.1组网说明...................................................................................................................... 2-10 2.4.2配置前提...................................................................................................................... 2-10 2.4.3注意事项...................................................................................................................... 2-10 2.4.4配置思路...................................................................................................................... 2-10 2.4.5配置步骤....................................................................................................................... 2-11 2.4.6结果验证...................................................................................................................... 2-13 2.5 Web页面升级防火墙软件版本 ............................................................................................... 2-13
IPSec配置案例
防火墙产品典型组网配置指导及使用注意事项 ike sa keepalive-timer interval 30 ike sa keepalive-timer timeout 90 1 IPSEC 建立点到点SA 配置采用IKE 方式建立SA, IKE自动协商方式相对比较简单,只需要配置好IKE协商安全策略的信息,由IKE自动协商来创建和维护安全联盟。当与Eudemon 进行通信的对等体设备数量较少时,或是在小型静态环境中,手工配置安全联盟是可行的,但不推荐。对于小、中、大型的动态网络环境中,我们都推荐使用IKE协商建立安全联盟。第一节介绍点到点网络结构,使用IKE建立SA的典型配置 1.1 组网图 图1IKE点到点网络典型组网图 1.2 组网需求 ●PC1与PC2之间进行安全通信,在FWA与FWB之间使用IKE自动协 商建立安全通道。 ●在FWA和FWB上均配置序列号为10的IKE提议。 ●为使用pre-shared key验证方法的提议配置验证字。 ●FWA与FWB均为固定公网地址 1.3 适用产品、版本 设备型号:Eudemon100/100S/200/200S, Eudemon300/500/1000, USG50/3000/5000 实验设备: FWA Eudemon500 FWB Eudemon200
软件版本:V2R1及以上实验版本Eudemon500 V200R006C02B059 Eudemon200 V200R001B01D036 1.4 配置思路和步骤 1)防火墙基本配置,包括IP地址,安全域 2)配置公网路由, 一般情况下,防火墙上配置静态路由 3)定义用于包过滤和加密的数据流 4) 域间通信规则 5)配置IPSec安全提议 6) 配置IKE提议 7) 配置IKE Peer 8) 配置安全策略 9) 引用安全策略 1.5 配置过程和解释(关键配置) 配置FWA: 1)配置到达PC2的静态路由 [FWA]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2 2)定义用于包过滤和加密的数据流 [FWA]acl 3000 [FWA-acl-adv-3000]rule permit ip source 10.0.0.0 0.0.0.255 destination 10.0.1.0 0.0.0.255 [FWA-acl-adv-3000]quit [FWA]acl 3001 [FWA-acl-adv-3001]rule permit ip source 10.0.1.0 0.0.0.255 [FWA-acl-adv-3001]quit 3)配置trust与untrust域间包过滤规则 [FWA]firewall interzone trust untrust [FWA-interzone-trust-untrust]packet-filter 3000 outbound [FWA-interzone-trust-untrust]packet-filter 3001 inbound
华为USG防火墙配置完整版
华为U S G防火墙配置 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
华为USG2000防火墙配置 USG2000防火墙基本设置: 外观 1个调试口(CONSOLE); 2个以太网口(GE0/0/0和GE0/0/1,电口或者SFP光口任取一); 1个reset按钮(操作不当访问不到防火墙时初始化出厂配置)。 初始配置 GE0/0/0配置为路由接口,IP地址为 防火墙访问IP为,登录用户名admin,密码Admin@123 USG2000防火墙配置过程中注意事项: 接口配置时,不要操作当前连接的端口,否则可能导致防火墙无法连接的情况。 这种情况下需要按‘reset’按钮初始化出厂配置。
USG2000防火墙配置步骤 一、配置防火墙的网络接口 1.连接GE0/0/0端口,访问登录防火墙。 登录过程中出现证书错误,点击‘继续浏览此网站’继续。 输入用户名admin密码Admin@123登录防火墙。 登录后,弹出修改用户的初始密码的提示及快速向导。初始密码尽量不要修改。快速向导适于配置路由器模式,不适合I区和II区之间,直接点取消。 以上为USG2000基本配置界面。 现场配置所需要用到的只有网络和防火墙两个主菜单。 2.配置GE0/0/1端口 选择菜单网络/接口,在GE0/0/1行最后点配置。 别名设置‘安全II区端口’,选择模式‘交换’,连接类型选择为 ‘access’,点击应用。 3.添加Vlan接口 在接口页面中,点击新加,接口名称设置为‘配置接口’,类型设置为‘VLAN’,VALN ID设置为‘1’,接口成员选择‘GE0/0/1’,连接类型设置为‘静态IP’,IP地址设置为‘’,子网掩码设置为‘’,最后点击应用。如下图所示 4.按照配置GE0/0/1的方法,配置GE0/0/0,将别名设为‘安全I 区端口’。 注意:配置完成后,点击应用后,由于GE0/0/0的IP地址已变更,将无法访问到。 5.关闭所有浏览器页面,然后重新开启浏览器,连接GE0/0/0,访 问。 修改刚添加的‘配置接口’的Vlan端口,将GE0/0/0添加到接口
JUNIPER双机热备配置
JUNIPER双机热备配置 unset key protection enable set clock timezone 0 set vrouter trust-vr sharable set vrouter "untrust-vr" exit set vrouter "trust-vr" unset auto-route-export exit set alg appleichat enable unset alg appleichat re-assembly enable set alg sctp enable set auth-server "Local" id 0 set auth-server "Local" server-name "Local" set auth default auth server "Local" set auth radius accounting port 1646 set admin name "netscreen" set admin password "nM9dBJrVGrCEc3RGssLAgHAtesLken" set admin auth web timeout 10 set admin auth server "Local" set admin format dos set zone "Trust" vrouter "trust-vr" set zone "Untrust" vrouter "trust-vr" set zone "DMZ" vrouter "trust-vr" set zone "VLAN" vrouter "trust-vr" set zone "Untrust-Tun" vrouter "trust-vr" set zone "Trust" tcp-rst set zone "Untrust" block unset zone "Untrust" tcp-rst set zone "MGT" block unset zone "V1-Trust" tcp-rst unset zone "V1-Untrust" tcp-rst set zone "DMZ" tcp-rst unset zone "V1-DMZ" tcp-rst unset zone "VLAN" tcp-rst set zone "Trust" screen icmp-flood set zone "Trust" screen udp-flood set zone "Trust" screen winnuke set zone "Trust" screen port-scan set zone "Trust" screen ip-sweep
相关文档
- 双机热备技术-H3C
- SecPath-防火墙双机热备典型配置
- 负载分担模式双机热备典型配置举例
- Cisco交换机配置实例双机热备
- 防火墙技术案例双机热备负载分担组网下的IPSec配置
- 双机热备核心交换机1实例配置
- 华为防火墙双机热备配置及组网(DOC)
- 双机热备典型配置实例
- 思科-双机热备的全面配置示例
- 防火墙双机热备配置及组网指导
- 双机热备技术H3C
- 华为三层 二层交换机双机热备份配置举例
- 华为三层+二层交换机双机热备份配置举例
- 双机热备技术-H3C
- 防火墙双机热备配置案例
- 双机热备技术
- 思科-双机热备的全面配置示例
- 防火墙双机热备配置案例
- 防火墙技术案例双机热备负载分担组网下的IPSec配置
- mcsg双机热备实例