
|
飞塔防火墙实施工艺之【美女学员项目总结经验】 转自EasyinlabIT实验室
: V/ l+ C& x) t- y赞飞塔防火墙实施工艺分享0 |* g. D& @0 X, s9 s! X7 G
+ N+ F0 q2 C1 I% }# E) k一、对ipsec vpn有了进一步认识* z V& r2 I8 g) [% T$ x3 ~
: n' T7 E3 O& X(原先只知道ipsec vpn能做在路由器上)$ w" k, R& e- \) }' g/ n# Y8 o6 ?) `
" Q4 P3 M" q9 A+ ?网络设备提供商针对不同客户的需求,开发出不同的VPN网络设备,主要为交换机、路由器和防火墙:
3 O5 G7 b5 u6 K; F! T' y- ^' y
/ |- }- F H+ B0 g(1)路由器式VPN:路由器式VPN部署较容易,只要在路由器上添加VPN服务即可;
6 @) B1 V+ r& V% F) a1 Y. I4 s8 k J
(2)交换机式VPN:主要应用于连接用户较少的VPN网络;
& X( Y4 _/ j; y
! [$ w( ]* T/ s2 m; u( Q6 w(3)防火墙式VPN:防火墙式VPN是最常见的一种VPN的实现方式,许多厂商都提供这种/ u% w) y+ p. k
( F g4 R G; S/ m( l使用的防火墙:飞塔
1 w9 Y( J- { z+ A2 q% O8 w( P3 d0 W @- j0 b+ X: \
Ipsec vpn类型:site-to-site
6 {- t( k# x! A3 C* s) x5 ?6 @4 D" X8 r4 Z& \. n! ^' G c' l; P
隧道协议:L2TP/ipsec$ s& |5 n* a$ T5 Q" c5 `4 s/ g
3 S2 @; B* V' F* Y: K, j% U8 v
" ?$ r% |8 A4 y. @* Y. ~
步骤:(图片都非现场图)0 G, e, T2 Q# N
/ j' ]- L' V! K! \# {% Y" y1. 防火墙登录
$ n* c6 n0 D0 j) ?# ]1 b直接在ie浏览器上输入防火墙的ip地址
I% E r+ [% [, {$ j
飞塔防火墙实施工艺之【美女学员项目总结经验】 转自EasyinlabIT实验室
( J2 K' Z; l! {' G6 ?. P( W
: O G8 C" x) D6 e4 b' u! Q成功连接到防火墙设备,初始的用户名是admin,密码为空,进入后如下图:
2 q: D7 u% i9 z# D w
飞塔防火墙实施工艺之【美女学员项目总结经验】 转自EasyinlabIT实验室
+ A4 m2 [) i1 S. ]. L. v7 }
2. 配置网络参数
5 p; m9 j* a/ |% @如果是通过pppoe拨号上网的,点击左侧网络下的接口,右边弹出如下图:
. ~7 |- @8 ^1 p6 ]( N# t
飞塔防火墙实施工艺之【美女学员项目总结经验】 转自EasyinlabIT实验室
$ M/ V3 J2 z" d$ ]$ O l
右击wan1点编辑,弹出如下图:9 o* N+ W& x! Q( M7 ]$ [( O( z
飞塔防火墙实施工艺之【美女学员项目总结经验】 转自EasyinlabIT实验室
/ k# U* e' f9 L0 a3 _在别名处写入自己比如容易记录的标识,这个标识就是这个接口是干什么用的,比如本例中的别名处填写的上海,表示该口是连接上海的专线或是ADSL拨号所用的。在地址模式处选择你所连接的方式,如果您是专线固定的IP,就在下面的IP地址/子网掩码处写入接入商分配给你的IP与子网掩码,例如124.193.193.25/255.255.255.224,如果是小区宽带大多数都是自动获得的IP,选择DHCP选项即可,系统会自动获得IP地址,如果您是PPPoe拨号上网的话,弹出如图:
; \5 R# ]/ q; v ]5 N: T0 y, i' g4 h" T; N
飞塔防火墙实施工艺之【美女学员项目总结经验】 转自EasyinlabIT实验室
$ c" w8 c8 W7 d- L5 q9 m在用户处写入ISP分配给你的用户名,在密码处填入ISP给你的密码,在管理访问处选择HTTPS,PING,FMG-访问即可。最后点确认即可。
( O7 |+ M7 q7 L" x' K8 A: g, d g5 o
6 f n ^" ~8 h8 T, K. z3 F5 k, J2 ~3. 编辑内网接口8 y$ v8 E3 c4 s8 l$ M
飞塔防火墙实施工艺之【美女学员项目总结经验】 转自EasyinlabIT实验室
& Z* B0 p5 C% E6 _* x3 l9 z如上图,在图中标注处右击选择编辑,弹出如下图:+ Y1 v6 @' r, }/ \8 A: J3 |3 F
飞塔防火墙实施工艺之【美女学员项目总结经验】 转自EasyinlabIT实验室
8 x4 T7 r! E0 J2 r% ^
6 `- ]6 G- z: Q( a1 H K
8 q1 y! l& A1 b% y' H0 y3 p4 I/ r在IP地址/子网掩码处写入规划好的内网IP地址,这个地址就是客户机上网所指向的网关。本例中设置的是192.168.100.99/24,最后点确认即可。
% o6 ]/ w$ D1 @! I" |, L
飞塔防火墙实施工艺之【美女学员项目总结经验】 转自EasyinlabIT实验室
. p4 @; i* d0 M如上图,点击左侧的路由下面的静态路由,点击右边的创建新的如下图:
+ ~. k6 b9 Y( v
飞塔防火墙实施工艺之【美女学员项目总结经验】 转自EasyinlabIT实验室
) P2 L0 f, ^1 K6 p; a1 `! i
: \, }& X$ p" c" ~# G在目的IP/子网掩码处不用修改,默认即可。5 l. f3 B; u1 q
# K" S/ Q# k. Z在设备后选择你连接ISP接入商所用的网口,本例中是wan1,网关处写入ISO接入端所给的地址,本例是124.193.193.16,最后点确认即可。3 @% i$ u8 R3 }* i* M% }
飞塔防火墙实施工艺之【美女学员项目总结经验】 转自EasyinlabIT实验室
/ `& }5 H& i9 S) {: }( g
4. 配置策略
2 b6 Y: m' E0 N3 I( y正常防火墙出厂会有一条默认的策略,就是启用NAT,也就是大家把上网参数都正常配置好后,客户端就可以正常上网了(防火墙上开启了DHCP或是内网中有一台DHCP服务器情况下)。如下图:
3 w; X0 [4 V4 R, h) n% ?8 g" M6 S! q& t7 U% I5 N& Q8 |9 b3 S
; v$ W3 u+ S" g( ^4 v6 U% J% r
+ G, Z. P3 d+ |$ g' P$ H5. 配置ipsec vpn/ c. Y$ j/ q. k- f& p4 |
* Y) q% x; a, m% Q: _ H% K
右击左边的虚拟专网下面IPsec下的自动交换密匙,右边弹出如下图:
+ E$ @8 I& n+ J0 a; a/ x% U
飞塔防火墙实施工艺之【美女学员项目总结经验】 转自EasyinlabIT实验室
# W0 i; S& ~8 b$ {1 Y) @# q2 x% @如上图,点击右边的创建阶段1,如下图:$ w o# Y. l- `# U/ P4 u
飞塔防火墙实施工艺之【美女学员项目总结经验】 转自EasyinlabIT实验室
; M; M, V8 Z& Z- q- r, j/ p3 j! z; |/ B3 y' x
如上图在名称处启一个自己熟悉的名称,IP地址处写入要连接到对方的出口IP地址,在另一个防火墙配置中这里指向本地的出口IP,在本地接口选择你配置isp接入端上网所用的网口,本例中的是wan1,在模式选择野蛮模式,在预共享密匙处设置一个双方连接所用的密码。再点击高级选择按钮,如下图。默认加密算法有两个,本例中有默认即可,去掉一个即可。配置成功如图:
, D7 F& J/ @) c7 T$ u# z T6 n+ `; z
最后点确认即可,第一阶段就创建完毕。点完确认后如下图:
- J) [7 m7 L+ t" k- o% y$ |
飞塔防火墙实施工艺之【美女学员项目总结经验】 转自EasyinlabIT实验室
3 C; [- i& D6 P- c/ S
! v7 J7 j M `. y% |
再点击创建阶段2
' O2 |2 e8 P+ V
飞塔防火墙实施工艺之【美女学员项目总结经验】 转自EasyinlabIT实验室
. v! S4 o* A @2 `' x在名称片启一个好记的名称,在阶段1处选择刚才创建的阶段1,在保持存活后面的启用的钩一定要选择上,在源地址指明后面写入本地的内网网段,在目标地址写入对方的内网网段,如192.18.200.0/24。在另一端配置跟本例的相反配置即可。( t! R: t. {- O ~: e. m
& K& C0 Y0 I" \4 ?
) y; W0 f0 f) H, o6. 配置策略
' p& s; q- {& p点击左侧的Policy下的策略下面的策略,再点击右上边的创建新的如下图:6 P6 H0 q8 Y1 L- b s
飞塔防火墙实施工艺之【美女学员项目总结经验】 转自EasyinlabIT实验室
, X6 ?( L) F3 U. L j6 H
飞塔防火墙实施工艺之【美女学员项目总结经验】 转自EasyinlabIT实验室
, H; ~8 P, E" `/ f2 m
% D9 k2 e. v% q. e
; u& i% A: l; I9 I. y& ]: K在源接口/区选择internal(内部接口),源地址写入本地的IP段- r, Q$ m7 @' g# U- a* A* y
" W* H( r% I; I$ i- u- Z# i
在目的接口处选择上网配置的接口,本例中的wan1,在目的地址处写入分公司的地址段,,在服务处选择ANY,在动作处选择IPSEC,在VPN隧道处选择刚才创建的阶段1,最后点确认即可。配置成功如下图:
% s q; L6 {* e' o
) P, x2 k, ~/ ?) t
飞塔防火墙实施工艺之【美女学员项目总结经验】 转自EasyinlabIT实验室
g; Z$ k& a" f; B) H5 E
7 r8 }: ?% _( v4 R5 R
+ J2 {7 S2 N( d! H1 N+ |, p2 W7 @ Q' o
- `3 x+ L! T' h" b. m1 [
7. 测试8 z: P3 U; O( ]0 o7 `1 X" V
最后点击虚拟专网下的监视器下的IPsec 监测,右边弹出如下图:+ B$ x0 f6 [1 E
' s. L. E- ?: S
飞塔防火墙实施工艺之【美女学员项目总结经验】 转自EasyinlabIT实验室
" k7 d# F2 E7 f
$ O2 B. G p7 r" g" k
点击图中的状态处的启用,如果状态由启用变成断开状态,表明配置成功。8 j* x4 o* p4 [+ N. r2 K1 s& c
5 U6 ~' L1 S. ^: j
. V+ ]1 ~! _" T' e# R* u& p) L# H) z+ H# L9 Q+ D g9 H' n/ z
二、隧道协议
' o u1 O# l& n9 {9 E1 Z! O2 w" g" S2 J8 Q( K
( f- d5 ], \1 @) b' b" I6 D2 [
隧道协议的用途8 j. ^* h, Y4 a' ^3 R. |
: |! Y' W1 x L对于构建VPN来说,隧道技术是一个关键技术。它用来在 IP公网中国仿真条点到点的通路,实现两个节点间的安全通信。隧道技术的实质是如何利用一种网络层的协议来传输另一种网络层的协议,其基本功能是封装和加密,主要利用隧道协议来实现。
" m3 P! _ e; Z* Q* B% ~' r$ i4 h) l" K' \: M- `& {5 V, [2 F# _
1 S7 w% k. `5 a% [: I) [5 X! p
隧道协议的层次8 U: G* q3 P6 `
第二层隧道协议:PPTP(点对点隧道协议)、L2TP(第二层隧道协议)
$ I8 n5 s. A" P" i& G6 s0 H4 [" v& Z' B- K) `& R
将用户数据封装在点对点协议(PPP)帧中通过互联网发送。
}: b& C H$ t L9 V# Q- |9 N" r! L, ]6 ?" u
7 M$ _ v1 a; r9 ]. b# }' x" E
! m6 f4 w* m% q: w1 ^1 Y第三层隧道协议:IPSec
) R$ @; F. g- U, h F) q8 X, O' l* o9 E& y9 A* {
数据包封装在附加了IP包头的新数据包中通过IP网络传送3 r' f; {0 v; O7 s, J
: b6 H+ }5 L4 w4 {
, d; E$ `" D5 R* R& i8 S0 N它们的本质区别在于,用户的数据包是被封装在哪种数据包中在隧道中传输。8 u+ T R; R! R6 l4 l* o
j; S5 [. g3 hL2TP
# N4 s- B, O: b% @4 CL2TP(Layer Two Tunneling Protocol)结合了L2F和PPTP的优点,允许用户从客户端或访问服务器端建立VPN连接。L2TP是把链路层的PPP帧装入公用网络设施,如IP、ATM、帧中继中进行隧道传输的封装协议。: y Q, W* G; X) k& c; [6 g
3 Z% U! o- K3 F7 G# J! X$ h5 _& b
- j; d. x0 n6 B; `9 }% A. v$ p4 Y) e5 D$ z
三、现场知识
- h1 K. {4 @7 {% }' c! J: P+ [) U( I
3 d! a; P, u1 e0 v! ]# U
8 F9 B \/ T6 s$ g4 x2 c2 D9 P$ v) ?) o, V
最上面的两台是飞塔防火墙(主备防火前采用HA技术互为热备)% S" R) R( ^7 Y+ @& y# F! G1 \
% j- L6 M4 ]- J
下面两台是45系列核心交换机(每台设备有3块主板)4 Q) G1 G" B: l% k- k$ C
' y k1 o1 e7 T$ D$ H8 o. |) ?& o% I/ \; Y+ P* \9 j. z7 C6 ]
4 w( t) W2 A: ]
2 L) p, S) |3 Z* ~# f: J; N0 F4 w1.交换机接口
3 j k! l9 Q, e1 G% p6 b8 p光接口1000.x
+ x; V; C: D/ y. x6 h
" `2 V% o/ H- x; U1 n( V电接口10/100/1000(传输速率为10M/100/1000Mbps,取决于传输介质)
; }& l- C" z3 g5 W4 W/ y, @; e8 B
# Y+ d! G9 E! M" t0 Q" m+ ^光接口与电接口的区别:- l' J4 u S. [
7 S- B' s! v/ j, W4 U6 A! o- y电接口之间的通讯介质使用的是铜线
/ p4 W) l, j% b5 F
" M7 q# p# l# V8 L, r1 ` B) g* D q( m光接口是光纤,这就造成了光接口有着无可比拟的优势(快)。9 y7 V, G- ?3 o/ W+ h9 L
$ s3 @2 J7 J) }3 ^" f' C! _% z2 A( i& c
2.RJ45接口
5 ? K" \3 ] |4 R# Y通常用于数据传输,最常见的应用为网卡接口。
, r5 m0 S! i# ?4 |5 x4 {. |! D# ^8 G4 R( Y" D9 G. C$ p/ g
3.笔记本应该要有一个网络接口; q+ h4 c$ ?5 t7 }" [$ z
- q, y) ^- ~9 I. Y& M0 Q N2 O" X
' L/ u4 ~: H/ F& f7 u) ]8 T" R四、真实感想5 [- C" e* C2 V+ _5 i
7 ^8 x5 u- o% O4 ?# S! E
6 Y+ H6 I8 f$ A ^待人接物很重要
" r" ~: Z% [; V9 i/ B0 c2 S1 y; b! ?, F) I
1.彭老师给我们买水的时候,一共买了5瓶。我们只有4个人,还有一瓶是给客户的(我不知道他是不是,暂且认为是)。3 q; n* p W: z
1 E6 h5 o0 B5 n$ Q X; n( p
) G! n9 a7 P& M% Y9 [ ~2.要学着照顾别人/ u4 q) }6 \0 ~8 \2 A- F
! h l$ b# U N! \ K5 u# l
学习与现场不同
& M8 W- V7 ]6 @8 i @1 p5 U& v' O" k2 Y) Y
1.学习的时候,只有自己一个人在做事情,通了就是通了,不通就是不通,总归会找到原因。现场会有各种突发状况,并且不是一个人在做事情,没有通,原因是多样的,可能在于自身,可能在于对方,沟通很重要。
# {' D8 e% t2 p2 y1 q# U! K5 Y9 H- h/ C" v( p
2.学习的时候,面对的只是路由器与命令行。现场的时候,设备多种多样,命令的实施可能不只是命令行,还有图形化界面。8 v" g/ T6 F" j9 Q8 A v Z+ q8 Y
9 v P" T: O; D+ X! { E, M. m
时间
" D- f* H& O' x" v2 y' u* P6 h% o) p) E$ e2 f! \& R5 U
1. 早上会堵车,预计路程时间要比正常的时间长0 \9 d$ d6 J! x6 L% G9 v
5 H& N" u) ~; _1 Y _9 ^
2. 如果之间没有探测过地形,预计路程时间要比正常的时间长。
$ a, G; c" l" J" e/ W7 E: T( E8 [
8 |- }: d2 F4 Z3 k* b
0 L5 y, \9 e; m$ p! Z" _# \
飞塔防火墙实施工艺之【美女学员项目总结经验】 转自EasyinlabIT实验室
' ]/ Q2 N; i7 @ t5 t6 @' C( e ?
1 ?. }1 f- t' j3 } |
|