• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

华三防火墙F1000AK-109 pppoe拨号如何实现SSLVPN?

2023-08-07提问
  • 0关注
  • 0收藏,843浏览
粉丝:0人 关注:1人

问题描述:

外网pppoe拨号,申请了域名,但是相关DDNS的配置和SSLVPN结合的配置不清楚,有申请域名。能提供一下web页面的配置流程吗?

组网及组网描述:


1 个回答
粉丝:33人 关注:0人

本文档介绍本文档介绍SSL VPN、PPPOE、DDNS的配置案例。 本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。 文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解SSL VPN、PPPoE和DDNS特性。 功能特性介绍 SSLVPN功能特性 SSL VPN是以SSL(Secure Sockets Layer,安全套接字层)为基础的VPN(Virtual Private Network,虚拟专用网络)技术。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,能够为应用层之间的通信建立安全连接。 目前SSL协议已被集成到大部分的浏览器(如Internet Explorer浏览器)中,这就意味着几乎任意一台装有浏览器的计算机都支持SSL连接。通过这些浏览器访问Web接入方式下的资源时不需要安装额外的客户端软件。如果用户要访问TCP接入方式下和IP接入方式下的资源,则用户需运行SSL VPN客户端专用软件。 SSL VPN可以为企业或机构提供安全、快捷的远程网络接入服务,并适合移动接入。企业员工可以使用移动客户端在任意能够访问互联网的位置安全地接入到企业内部网络,访问内部网络的共享资源。 PPPoE功能特性 PPPoE描述了在以太网上建立PPPoE会话及封装PPP报文的方法。要求通信双方建立的是点到点关系,而不是在以太网中所出现的点到多点关系。 PPPoE利用以太网将大量主机组成网络,然后通过一个远端接入设备为以太网上的主机提供互联网接入服务,并对接入的每台主机实现控制、认证、计费功能。由于很好地结合了以太网的经济性及PPP良好的可扩展性与管理控制功能,PPPoE被广泛应用于小区接入组网等环境中。 PPPoE协议将PPP报文封装在以太网帧之内,在以太网上提供点对点的连接。 关于PPPoE的详细介绍,可以参考RFC 2516。 DDNS功能特性 利用DNS可以将域名解析为IP地址,从而实现使用域名来访问网络中的节点。但是,DNS仅仅提供了域名和IP地址之间的静态对应关系,当节点的IP地址发生变化时,DNS无法动态地更新域名和IP地址的对应关系。此时,如果仍然使用域名访问该节点,通过域名解析得到的IP地址是错误的,从而导致访问失败。 DDNS(Dynamic Domain Name System,动态域名系统)用来动态更新DNS服务器上域名和IP地址之间的对应关系,保证通过域名解析到正确的IP地址。 目前,只有IPv4域名解析支持DDNS,IPv6域名解析不支持DDNS,即只能通过DDNS动态更新域名和IPv4地址之间的对应关系。 配置思路 在防火墙网关设备配置SSLVPN IP接入方式 在防火墙网关配置PPPOE Client配置 在SR设备配置PPPOE Server配置 在防火墙配置DDNS策略 使用版本 H3C SecPath F5040 V900R003B02D617SP01 Comware V700R001B64D017SP01 配置防火墙网关SSLVPN IP接入方式 1. 配置SSLVPN网关。 网络->SSLVPN->网关->新建->填写网关名称->都选使能->点击确定,此处使用默认的0.0.0.0:10000的any地址的网关地址,以达到当接口地址变化的时候网关也能匹配的目的。 2. 配置客户端地址池 网络->SSLVPN->客户端地址池->新建->填写地址池名称->填写起始地址池和结束地址池。 3. 配置IP接入接口 网络->SSLVPN->IP接入接口->新建->填写接口编号->填写地址信息->点击确定,注意接口信息与上图地址池地址同网段。 4. 配置访问实例 网络->SSLVPN->访问实例->新建->输入访问实例名称ctx->关联网关新建->选择已经创建的网关gw->点击确定->勾选访问实例->点击下一步, 勾选IP业务和BYOD业务->点击下一步 选择已经创建的IP接入接口SSLVPN->AC0->选择客户端地址池pool1->填写客户端地址掩码->点击新建按钮->弹出新建路由列表页面->填写路由列表名称->点击新建按钮->弹出新建路由表项按钮页面->填写到达server路由的目的地址和掩码->点击确定按钮->点击确定按钮->点击下一步按钮, 填写EMO服务器地址和端口号->点击下一步按钮, 点击新建按钮->弹出新建资源组页面->选择子网资源接入方式->选择已经创建的资源ip,选择ACL->点击确定按钮,点击完成按钮。 配置防火墙PPPoE client 配置拨号访问组1以及对应的拨号访问控制条件。 <H3C> system-view [H3C] dialer-group 1 rule ip permit # 在Dialer1接口上使能共享DDR。 [H3C] interface dialer 1 [H3C-Dialer1] dialer bundle enable # 将Dialer1接口与拨号访问组1关联。 [H3C-Dialer1] dialer-group 1 # 配置Dialer1接口通过协商获取IP地址。 [H3C-Dialer1] ip address ppp-negotiate [H3C-Dialer1] quit # 配置一个PPPoE会话,该会话对应Dialer bundle 1(Dialer bundle 1对应Dialer1接口)。 [H3C] interface gigabitethernet 1/0/1 [H3C-GigabitEthernet1/0/1] pppoe-client dial-bundle-number 1 [H3C-GigabitEthernet1/0/1] quit # 配置PPPoE Client工作在永久在线模式。 [H3C] interface dialer 1 [H3C-Dialer1] dialer timer idle 0 # 配置DDR自动拨号的间隔时间为60秒。 [H3C-Dialer1] dialer timer autodial 60 [H3C-Dialer1] quit # 配置静态路由。 [H3C] ip route-static 1.1.1.1 255.0.0.0 dialer 1 配置防火墙DDNS 策略 点击网络->DNS->DDNS客户端->新建->填写策略名称->选择服务器提供商->填写服务器地址->填写登录用户名密码->添加关联接口和FQDN->点击确定->点击确定。 配置SR设备为PPPoE server # 配置虚拟模板接口1的IP地址,并指定为对端分配的IP地址。 <H3C> system-view [H3C] interface virtual-template 1 [H3C-Virtual-Template1] ip address 1.1.1.1 255.0.0.0 [H3C-Virtual-Template1] remote address 1.1.1.2 [H3C-Virtual-Template1] quit # 在接口GigabitEthernet1/0/1上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。 [H3C] interface gigabitethernet 1/0/1 [H3C-GigabitEthernet1/0/1] pppoe-server bind virtual-template 1 [H3C-GigabitEthernet1/0/1] quit 验证配置 (1) 在手机客户端登录sslvpn网关***.***,登录用户名和密码,能登录成功 (2) 将dialer 1 口shutdown、undo shutdown,接口地址更新后,再用域名***.***登录sslvpn网关,能登录成功。

zhang同学 发表时间:2023-08-07 更多>>

没有权限咋办

zhiliao_YDUNTC 发表时间:2023-08-07

本文档介绍本文档介绍SSL VPN、PPPOE、DDNS的配置案例。 本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。 文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解SSL VPN、PPPoE和DDNS特性。 功能特性介绍 SSLVPN功能特性 SSL VPN是以SSL(Secure Sockets Layer,安全套接字层)为基础的VPN(Virtual Private Network,虚拟专用网络)技术。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,能够为应用层之间的通信建立安全连接。 目前SSL协议已被集成到大部分的浏览器(如Internet Explorer浏览器)中,这就意味着几乎任意一台装有浏览器的计算机都支持SSL连接。通过这些浏览器访问Web接入方式下的资源时不需要安装额外的客户端软件。如果用户要访问TCP接入方式下和IP接入方式下的资源,则用户需运行SSL VPN客户端专用软件。 SSL VPN可以为企业或机构提供安全、快捷的远程网络接入服务,并适合移动接入。企业员工可以使用移动客户端在任意能够访问互联网的位置安全地接入到企业内部网络,访问内部网络的共享资源。 PPPoE功能特性 PPPoE描述了在以太网上建立PPPoE会话及封装PPP报文的方法。要求通信双方建立的是点到点关系,而不是在以太网中所出现的点到多点关系。 PPPoE利用以太网将大量主机组成网络,然后通过一个远端接入设备为以太网上的主机提供互联网接入服务,并对接入的每台主机实现控制、认证、计费功能。由于很好地结合了以太网的经济性及PPP良好的可扩展性与管理控制功能,PPPoE被广泛应用于小区接入组网等环境中。 PPPoE协议将PPP报文封装在以太网帧之内,在以太网上提供点对点的连接。 关于PPPoE的详细介绍,可以参考RFC 2516。 DDNS功能特性 利用DNS可以将域名解析为IP地址,从而实现使用域名来访问网络中的节点。但是,DNS仅仅提供了域名和IP地址之间的静态对应关系,当节点的IP地址发生变化时,DNS无法动态地更新域名和IP地址的对应关系。此时,如果仍然使用域名访问该节点,通过域名解析得到的IP地址是错误的,从而导致访问失败。 DDNS(Dynamic Domain Name System,动态域名系统)用来动态更新DNS服务器上域名和IP地址之间的对应关系,保证通过域名解析到正确的IP地址。 目前,只有IPv4域名解析支持DDNS,IPv6域名解析不支持DDNS,即只能通过DDNS动态更新域名和IPv4地址之间的对应关系。 配置思路 在防火墙网关设备配置SSLVPN IP接入方式 在防火墙网关配置PPPOE Client配置 在SR设备配置PPPOE Server配置 在防火墙配置DDNS策略 使用版本 H3C SecPath F5040 V900R003B02D617SP01 Comware V700R001B64D017SP01 配置防火墙网关SSLVPN IP接入方式 1. 配置SSLVPN网关。 网络->SSLVPN->网关->新建->填写网关名称->都选使能->点击确定,此处使用默认的0.0.0.0:10000的any地址的网关地址,以达到当接口地址变化的时候网关也能匹配的目的。 2. 配置客户端地址池 网络->SSLVPN->客户端地址池->新建->填写地址池名称->填写起始地址池和结束地址池。 3. 配置IP接入接口 网络->SSLVPN->IP接入接口->新建->填写接口编号->填写地址信息->点击确定,注意接口信息与上图地址池地址同网段。 4. 配置访问实例 网络->SSLVPN->访问实例->新建->输入访问实例名称ctx->关联网关新建->选择已经创建的网关gw->点击确定->勾选访问实例->点击下一步, 勾选IP业务和BYOD业务->点击下一步 选择已经创建的IP接入接口SSLVPN->AC0->选择客户端地址池pool1->填写客户端地址掩码->点击新建按钮->弹出新建路由列表页面->填写路由列表名称->点击新建按钮->弹出新建路由表项按钮页面->填写到达server路由的目的地址和掩码->点击确定按钮->点击确定按钮->点击下一步按钮, 填写EMO服务器地址和端口号->点击下一步按钮, 点击新建按钮->弹出新建资源组页面->选择子网资源接入方式->选择已经创建的资源ip,选择ACL->点击确定按钮,点击完成按钮。 配置防火墙PPPoE client 配置拨号访问组1以及对应的拨号访问控制条件。 <H3C> system-view [H3C] dialer-group 1 rule ip permit # 在Dialer1接口上使能共享DDR。 [H3C] interface dialer 1 [H3C-Dialer1] dialer bundle enable # 将Dialer1接口与拨号访问组1关联。 [H3C-Dialer1] dialer-group 1 # 配置Dialer1接口通过协商获取IP地址。 [H3C-Dialer1] ip address ppp-negotiate [H3C-Dialer1] quit # 配置一个PPPoE会话,该会话对应Dialer bundle 1(Dialer bundle 1对应Dialer1接口)。 [H3C] interface gigabitethernet 1/0/1 [H3C-GigabitEthernet1/0/1] pppoe-client dial-bundle-number 1 [H3C-GigabitEthernet1/0/1] quit # 配置PPPoE Client工作在永久在线模式。 [H3C] interface dialer 1 [H3C-Dialer1] dialer timer idle 0 # 配置DDR自动拨号的间隔时间为60秒。 [H3C-Dialer1] dialer timer autodial 60 [H3C-Dialer1] quit # 配置静态路由。 [H3C] ip route-static 1.1.1.1 255.0.0.0 dialer 1 配置防火墙DDNS 策略 点击网络->DNS->DDNS客户端->新建->填写策略名称->选择服务器提供商->填写服务器地址->填写登录用户名密码->添加关联接口和FQDN->点击确定->点击确定。 配置SR设备为PPPoE server # 配置虚拟模板接口1的IP地址,并指定为对端分配的IP地址。 <H3C> system-view [H3C] interface virtual-template 1 [H3C-Virtual-Template1] ip address 1.1.1.1 255.0.0.0 [H3C-Virtual-Template1] remote address 1.1.1.2 [H3C-Virtual-Template1] quit # 在接口GigabitEthernet1/0/1上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。 [H3C] interface gigabitethernet 1/0/1 [H3C-GigabitEthernet1/0/1] pppoe-server bind virtual-template 1 [H3C-GigabitEthernet1/0/1] quit 验证配置 (1) 在手机客户端登录sslvpn网关***.***,登录用户名和密码,能登录成功 (2) 将dialer 1 口shutdown、undo shutdown,接口地址更新后,再用域名***.***登录sslvpn网关,能登录成功。

zhang同学 发表时间:2023-08-07

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明