本案例適用于軟件平臺(tái)為Comware V7系列防火墻:F100-X-G2、F1000-X-G2、F100-X-WiNet、F1000-AK、F10X0等。
注:本案例是在F100-C-G2的Version 7.1.064, Release 9510P08版本上進(jìn)行配置和驗(yàn)證的。
防火墻采用固定IP地址的方式部署在公司互聯(lián)網(wǎng)出口,運(yùn)營(yíng)商提供的IP地址為198.76.28.30/30,網(wǎng)關(guān)為198.76.28.29,DNS地址為221.228.255.1。初步規(guī)劃防火墻使用3接口接入運(yùn)營(yíng)商,使用4接口連接內(nèi)部網(wǎng)絡(luò),內(nèi)部網(wǎng)絡(luò)使用192.168.10.0網(wǎng)段。
需求:
1)要求內(nèi)網(wǎng)終端可以自動(dòng)獲取到地址并可以訪問(wèn)互聯(lián)網(wǎng)。
2)公司外部辦公人員需要通過(guò)撥號(hào)VPN連入公司內(nèi)網(wǎng)。
#將1/0/3設(shè)置為外網(wǎng)接口并設(shè)置IP地址。
<H3C>system-view
[H3C]interface GigabitEthernet 1/0/3
[H3C-GigabitEthernet1/0/3]ip address 198.76.28.30 255.255.255.252
[H3C-GigabitEthernet1/0/3]quit
#配置內(nèi)網(wǎng)接口為1/0/4接口并指定IP地址為192.168.10.1。
[H3C]interface GigabitEthernet 1/0/4
[H3C-GigabitEthernet1/0/4] ip address 192.168.10.1 255.255.255.0
[H3C-GigabitEthernet1/0/4] quit
#進(jìn)入1/0/3接口配置NAT動(dòng)態(tài)地址轉(zhuǎn)換。
[H3C]interface GigabitEthernet 1/0/3
[H3C-GigabitEthernet1/0/3]nat outbound
[H3C-GigabitEthernet1/0/3]quit
#配置默認(rèn)路由到外網(wǎng)網(wǎng)關(guān)。
[H3C]ip route-static 0.0.0.0 0 198.76.28.29
#創(chuàng)建本地PPP用戶vpdnuser,設(shè)置密碼為HelLo。
[H3C]Local-user vpdnuser class network
[H3C-luser-network-vpdnuser]password simple HelLo
[H3C-luser-network-vpdnuser]service-type ppp
[H3C-luser-network-vpdnuser]quit
[H3C]l2tp enable
#創(chuàng)建用于給L2TP撥號(hào)用戶分配地址的地址池。
[H3C] ip pool aaa 192.168.100.2 192.168.100.254
[H3C] ip pool aaa gateway 192.168.100.1
#創(chuàng)建接口Virtual-Template1,PPP認(rèn)證方式為CHAP,并使用地址池aaa為Client端分配IP地址。
[H3C]interface virtual-template 1
[H3C -Virtual-Template1]ppp authentication-mode chap domain system
[H3C -Virtual-Template1]ip address 192.168.100.1 24
[H3C-Virtual-Template1]remote address pool aaa
[H3C-Virtual-Template1]quit
# 創(chuàng)建LNS模式的L2TP組1,配置隧道本端名稱為L(zhǎng)NS,指定接收呼叫的虛擬模板接口為VT1。
[H3C]l2tp-group 1 mode lns
[H3C-l2tp1]tunnel name LNS
[H3C-l2tp1]allow l2tp virtual-template 1
[H3C-l2tp1]undo tunnel authentication
[H3C-l2tp1]quit
#將1/0/3外網(wǎng)接口加入U(xiǎn)ntrust區(qū)域。
[H3C]security-zone name Untrust
[H3C-security-zone-Untrust]import interface GigabitEthernet 1/0/3
[H3C-security-zone-Untrust]import interface Virtual-Template 1
[H3C-security-zone-Untrust]quit
#將1/0/4內(nèi)網(wǎng)接口加入Trust區(qū)域。
[H3C]security-zone name Trust
[H3C-security-zone-Trust]import interface GigabitEthernet 1/0/4
[H3C-security-zone-Trust]quit
#創(chuàng)建對(duì)象策略pass。
[H3C]object-policy ip pass
[H3C-object-policy-ip-pass] rule 0 pass
[H3C-object-policy-ip-pass]quit
#創(chuàng)建Trust到Local域的域間策略調(diào)用pass策略。
[H3C]zone-pair security source Trust destination Untrust
[H3C-zone-pair-security-Trust- Untrust]object-policy apply ip pass
[H3C-zone-pair-security-Trust- Untrust]quit
#創(chuàng)建trust到Local域的域間策略調(diào)用pass策略。
[H3C]zone-pair security source Trust destination Local
[H3C-zone-pair-security-Trust-Local]object-policy apply ip pass
[H3C-zone-pair-security-Trust-Local]quit
#創(chuàng)建Local到trust域的域間策略調(diào)用pass策略。
[H3C]zone-pair security source Local destination Trust
[H3C-zone-pair-security-Local-Trust]object-policy apply ip pass
[H3C-zone-pair-security-Local-Trust]quit
#創(chuàng)建服務(wù)對(duì)象1701用于匹配L2TP的UDP 1701端口。
[H3C]object-group service 1701
[H3C-obj-grp-service-1701]service udp destination eq 1701
[H3C-obj-grp-service-1701]quit
在對(duì)象策略中調(diào)用1701服務(wù)對(duì)象。
[H3C]object-policy ip 1701
[H3C-object-policy-ip-1701]rule pass service 1701
[H3C-object-policy-ip-1701]quit
#創(chuàng)建Untrust到Local域的域間策略調(diào)用1701服務(wù)對(duì)象策略。
[H3C]zone-pair security source Untrust destination Local
[H3C-zone-pair-security-Untrust-Local]object-policy apply ip 1701
[H3C-zone-pair-security-Untrust-Local]quit
#創(chuàng)建Local到Untrust域的域間策略調(diào)用1701服務(wù)對(duì)象策略。
[H3C]zone-pair security source Local destination Untrust
[H3C-zone-pair-security-Local-Untrust]object-policy apply ip 1701
[H3C-zone-pair-security-Local-Untrust]quit
#創(chuàng)建地址對(duì)象匹配到內(nèi)網(wǎng)數(shù)據(jù)
[H3C]object-group ip address neiwang
[H3C-obj-grp-service-neiwang]network subnet 192.168.10.0 255.255.255.0
[H3C-obj-grp-service-neiwang]quit
在對(duì)象策略中調(diào)用到內(nèi)網(wǎng)數(shù)據(jù)對(duì)象。
[H3C]object-policy ip neiwang
[H3C-object-policy-ip-neiwang]rule pass destination-ip neiwang
[H3C-object-policy-ip-neiwang]quit
#創(chuàng)建Untrust到Trust域的域間策略調(diào)用neiwang地址對(duì)象策略。
[H3C]zone-pair security source Untrust destination Trust
[H3C-zone-pair-security-Untrust-Trust]object-policy apply ip neiwang
[H3C-zone-pair-security-Untrust-Trust]quit
#開(kāi)啟DHCP服務(wù)并指定動(dòng)態(tài)下發(fā)的地址以及網(wǎng)關(guān)等參數(shù)。
[H3C]dhcp enable
[H3C]dhcp server ip-pool 1
[H3C-dhcp-pool-1]network 192.168.10.0
[H3C-dhcp-pool-1]gateway-list 192.168.10.1
[H3C-dhcp-pool-1]dns-list 221.228.255.1
[H3C-dhcp-pool-1]quit
注:DNS服務(wù)器地址優(yōu)先設(shè)置當(dāng)?shù)剡\(yùn)營(yíng)商提供的DNS服務(wù)器地址,如果沒(méi)有提供可以設(shè)置114.114.114.114或8.8.8.8等DNS服務(wù)器地址。
[H3C]save force
遠(yuǎn)程監(jiān)控的傳輸,對(duì)于一些
搗鼓了一整天,終于設(shè)置與遠(yuǎn)端服務(wù)器互訪
遠(yuǎn)程計(jì)算機(jī)ping通本機(jī)內(nèi)網(wǎng)IP
遠(yuǎn)端設(shè)備 華為USG6000系列防火墻配置
接口配置
l2tp配置 vpnpool配置是10.1.2.0/24
安全策略配置
用戶配置 給用戶指定ip
必須勾選上網(wǎng)行為管理
靜態(tài)路由設(shè)置
訪問(wèn)對(duì)端網(wǎng)絡(luò),跳到用戶ip
近端設(shè)備 USR4g路由
內(nèi)網(wǎng)設(shè)置
L2TP設(shè)置
l2tp高級(jí)設(shè)置
連接成功狀態(tài)
靜態(tài)路由設(shè)置
配置完成。
以上配置,解決了遠(yuǎn)程攝像機(jī)和錄像機(jī)的訪問(wèn)難題,適合遠(yuǎn)程不方便通網(wǎng)線和電線的太陽(yáng)能攝像機(jī)傳輸圖像使用,同時(shí)也適合其他應(yīng)用場(chǎng)景。相比無(wú)線網(wǎng)橋+專線比是圖像傳輸穩(wěn)定,不易受干擾。缺點(diǎn)是得配合大流量4G卡。
實(shí)際場(chǎng)景是礦山安裝太陽(yáng)能監(jiān)控,圖像通過(guò)4g傳輸?shù)骄侄舜笃痢P【幱玫氖?00G流量卡,攝像機(jī)1m速率傳輸,每月流量是 1024*3600*24*30/8/1000/1000=331.776G,可根據(jù)現(xiàn)場(chǎng)情況選擇合適的流量卡