• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

ER8300G2-X

2020-08-20提问
  • 0关注
  • 1收藏,844浏览
粉丝:0人 关注:3人

问题描述:

防火墙-》入站通信策略,是起到什么作用,如果没有新增任何规则,是不是外网就不能访问公司内网?如果外部有一台服务器要与内网互通,要如何配置呢?谢谢

组网及组网描述:


最佳答案

粉丝:96人 关注:1人

如果外网有一台服务器,是内部去访问还是他访问内部?内部去访问,在服务器出口映射服务器,或者vpn连接对方。防火墙的疑问看下方解释与配置说明。

设置防火墙

路由器的防火墙功能为您实现了根据报文的内容特征(比如:协议类型、源/目的IP地址等),来对入站方向(从因特网发向局域网的方向)和出站方向(从局域网发向因特网的方向)的数据流进行相应的控制,保证了路由器和局域网内主机的安全运行。

9.3.1  开启/关闭防火墙功能

仅当防火墙功能开启后,您定制的防火墙出站和入站通信策略才能生效。

页面向导:安全专区→防火墙→防火墙设置

本页面为您提供如下主要功能:

开启/关闭防火墙功能

 

9.3.2  设置出站通信策略

页面向导:安全专区→防火墙→出站通信策略

本页面为您提供如下主要功能:

设置报文在出站方向上未匹配任何您预先设定的规则时,系统所采取的策略(主页面。在“出站通信缺省策略”下拉框中选择指定的方式,单击<应用>按钮生效)

添加匹配规则来控制指定的报文(在主页面上单击<新增>按钮,在弹出的对话框中设置相应的匹配项,单击<增加>按钮完成操作)

 

页面中关键项的含义如下表所示。

表9-1 页面关键项描述

页面关键项

描述

出站通信缺省策略

·     “允许”:允许内网主动发起的访问报文通过

·     “禁止”:禁止内网主动发起的访问报文通过

缺省情况下,出站通信缺省策略为“允许”

说明

·     当缺省策略是“允许”时,您手动添加的策略即为“禁止”,反之亦然

·     缺省策略更改后,所有已配置的出站通信策略将会被清空,且仅对新建立的访问连接生效

·     当您手动添加了出站通信策略后,系统会优先根据该策略对主机进行访问控制,如果未匹配手动添加的策略,则遵循缺省策略

源接口

设置报文的来源接口,即可以对从某一LAN侧接口收到的报文进行控制

源地址

设置需要进行控制的源地址类型:

·     IP地址段:通过源IP地址范围对局域网中的主机进行控制

·     MAC地址:通过源MAC地址对局域网中的主机进行控制

·     用户组:通过您预先划分好的用户组对局域网中的主机进行控制

起始IP/结束IP(源IP地址范围)

输入需要匹配的报文的源IP地址段

说明

·     起始IP地址不能大于结束IP地址

·     如果无需匹配报文的源IP地址,您可以将起始IP地址设置为0.0.0.0,结束IP地址设置为255.255.255.255

源端口范围

输入需要匹配的报文的源端口范围

说明

如果无需匹配报文的源端口号,您可以将其设置为1~65535

起始IP/结束IP(目的IP地址范围)

输入需要匹配的报文的目的IP地址段

说明

·     起始IP地址不能大于目的IP地址

·     如果无需匹配报文的目的IP地址,您可以将起始IP地址设置为0.0.0.0,结束IP地址设置为255.255.255.255

服务类型

选择局域网中主机访问因特网资源的服务类型

说明

缺省情况下,系统预定义了常用的服务类型。如果您需要自定义服务类型,相关操作请参见“9.3.4  设置服务类型

生效时间

设置此新增规则的生效时间

说明

生效时间需要您指定具体的时间段,比如:某天的某个时间段

是否启用

在下拉列表框中选择“启用”,表示此匹配策略生效;选择“禁用”,表示此匹配策略不生效

描述

对此新增规则进行简单的描述

 

9.3.3  设置入站通信策略

页面向导:安全专区→防火墙→入站通信策略

本页面为您提供如下主要功能:

设置报文在入站方向上未匹配任何您预先设定的规则时,系统所采取的策略(主页面。在“入站通信缺省策略”下拉框中选择指定的方式,单击<应用>按钮生效)

添加匹配规则来控制指定的报文(在主页面上单击<新增>按钮,在弹出的对话框中设置相应的匹配项,单击<增加>按钮完成操作)

 

页面中关键项的含义如下表所示。

表9-2 页面关键项描述

页面关键项

描述

入站通信缺省策略

·     “禁止”:禁止外网主动发起的访问报文通过

·     “允许”:允许外网主动发起的访问报文通过

说明

·     当路由器工作于NAT模式下时(即开启了NAT功能),入站通信缺省策略不允许配置,且仅为“禁止”;当路由器工作于路由模式下时(即关闭了NAT功能),入站通信缺省策略才允许选择配置,且缺省情况下为“允许”

·     当缺省策略是“禁止”时,您手动添加的策略即为“允许”,反之亦然

·     缺省策略更改后,所有已配置的出站通信策略将会被清空,且仅对新建立的访问连接生效

·     当您手动添加了入站通信策略后,路由器会优先根据该策略对主机进行访问控制,如果未匹配手动添加的策略,则遵循缺省策略

源接口

设置报文的来源接口,即可以对从某一WAN侧接口收到的报文进行控制

起始IP/结束IP(源IP地址范围)

输入需要匹配的报文的源IP地址段

说明

·     起始IP地址不能大于结束IP地址

·     如果无需匹配报文的源IP地址,您可以将起始IP地址设置为0.0.0.0,结束IP地址设置为255.255.255.255

源端口范围

输入需要匹配的报文的源端口范围

说明

如果无需匹配报文的源端口号,您可以将其设置为1~65535

目的IP地址(目的IP地址范围)

输入需要匹配的报文的目的IP地址

说明

当路由器工作于NAT模式下时(即开启了NAT功能),仅允许设置单个目的IP地址;当路由器工作于路由模式下时(即关闭了NAT功能),允许设置目的IP地址范围

服务类型

选择因特网中的主机访问局域网资源的服务类型

说明

缺省情况下,系统预定义了常用的服务类型。如果您需要自定义服务类型,相关操作请参见“9.3.4  设置服务类型

生效时间

设置此新增规则的生效时间

说明

生效时间需要您指定具体的时间段,比如:某天的某个时间段

是否启用

在下拉列表框中选择“启用”,表示此匹配策略生效;选择“禁用”,表示此匹配策略不生效

描述

对此新增规则进行简单的描述



暂无评论

2 个回答
粉丝:2人 关注:6人

发布内网服务器配置案例

 

目录

发布内网服务器配置案例... 1

1 配置需求或说明... 1

1.1 适用的产品系列... 1

1.2 配置需求及实现的效果... 1

2 组网图... 2

3 配置步骤... 2

3.1 配置端口映射(内部服务器)... 2

3.2 配置安全策略(域间策略)... 2

3.3 保存配置... 3

 

1 配置需求或说明

1.1  适用的产品系列

本案例适用于软件平台为Comware V7系列防火墙:F100-X-G2F1000-X-G2F100-WiNetF1000-AKF10X0

注:本案例是在F100-C-G2Version 7.1.064, Release 9510P08版本上进行配置和验证的。

1.2  配置需求及实现的效果

防火墙部署在互联网出口,内网有一台OA服务器192.168.1.88通过防火墙发布了8081端口到外网,内网用户使用192.168.1.88加端口号8081可以正常访问服务器,目前需要实现外用用户通过公网地址202.1.1.100加端口号8081访问OA服务器

2 组网图

3 配置步骤

3.1  配置内部服务器映射(端口映射)

#在外网口填写运营商提供的公网地址,掩码,配置映射,映射端口8081,服务器地址192.168.1.88

<H3C> system-view

[H3C] interface GigabitEthernet1/0/1

[H3C-GigabitEthernet1/0/1]ip add 202.1.1.100 255.255.255.248

[H3C-GigabitEthernet1/0/1]nat server protocol tcp global 202.1.1.100 8081 inside 192.168.1.88 8081

[H3C-GigabitEthernet1/0/1] quit

3.2  配置安全策略(域间策略)

      #创建地址对象组,地址对象组名称为OA服务器

[H3C]object-group ip address OA服务器

[H3C-obj-grp-ip-OA服务器]network host address 192.168.1.88

[H3C-obj-grp-ip-OA服务器]quit

#创建服务对象组,服务对象组名称为8081端口,目的端口8081

[H3C]object-group service 8081端口

[H3C-obj-grp-service-8081端口]service tcp destination eq 8081

[H3C-obj-grp-service-8081端口]quit

#创建IPv4对象策略,策略名称为0A服务器

[H3C]object-policy ip OA服务器

[H3C-object-policy-ip-OA服务器]rule 0 pass destination-ip 0A服务器 service 8081端口

#创建安全策略,源安全域为Untrust目的安全域为Trust,放通外网访问OA服务器的8081端口

[H3C]zone-pair security source Untrust destination Trust

[H3C-zone-pair-security-Untrust-Trust]object-policy apply ip OA服务器

[H3C-zone-pair-security-Untrust-Trust]quit

3.3  保存配置

[H3C]save force

 

暂无评论

粉丝:138人 关注:6人

您好,请知:

如果要实现外网内部服务器,以下有两种方法,请参考:

1、方法一:将内网服务器以NAT虚拟服务器的方式映射到外网,以下是配置要点举例:

页面向导:高级设置→地址转换→虚拟服务器

本页面为您提供如下主要功能:

设置当虚拟服务器列表中如果不存在对应的映射项时,对报文的处理方式(主页面。选择“丢弃”或“重定向到DMZ主机”,单击<应用>按钮生效)

添加虚拟服务器列表项(单击主页面上的<新增>按钮,在弹出的对话框中设置相应的虚拟服务器参数,单击<增加>按钮完成操作)

 

页面中关键项的含义如下表所示。

表13-1 页面关键项描述

页面关键项

描述

预置设置

路由器提供一些常用服务的预置设置选项,比如:FTP、Email(PoP3)等服务

在下拉列表框中选择某服务,服务名称、外部端口、内部端口项均将自动完成设置

说明

·     如果路由器提供的预设服务没有您需要的,您可以自行设置服务信息

·     预设服务的端口号是常用端口号,如果需要,您可以自行修改

·     对于FTP、TFTP服务等,您需要开启对应的ALG项,且内部端口必须设置为标准端口号。例如:WAN侧客户端通过PASV模式(被动FTP)访问局域网内的FTP服务器,内部端口必须设置为21

服务名称

输入虚拟服务器设置项的名称

外部端口

输入客户端访问虚拟服务器所使用的端口

取值范围:1~65535,端口范围必须从小到大,推荐设置10000以上的端口。如果只有一个端口,则左右两边的文本框请填写同一端口号

说明

各设置项的外部端口不能重复,且内部端口和外部端口的设定个数必须一样,即内部端口和外部端口一一对应。比如:设置某个虚拟服务器,外部端口为100~102,内部端口为10~12。如果路由器收到外部101端口的访问请求,则路由器会把报文转发到内部服务器的11端口

内部端口

输入内部服务器上真实开放的服务端口

取值范围:1~65535,端口范围必须从小到大。如果只有一个端口,则左右两边的文本框请填写同一端口号

说明

各设置项的内部端口允许重复,且内部端口和外部端口的设定个数必须一样,即内部端口和外部端口一一对应

内部服务器IP

输入内部服务器的IP地址

是否启用

在下拉列表框中选择“启用”,表示此虚拟服务器生效;选择“禁用”,表示此虚拟服务器不生效

 

2、方法二:如果不使用NAT虚拟服务器,直接访问到内网,可以使用VPN技术来实现,比如ipsec vpn或L2TP VPN来实现。

以下是ipsec vpn的配置要点,请参考:

10.1.2  IPSec VPN常见的组网模式

·     中心/分支模式应用在一对多网络中,如图10-1所示。中心/分支模式的网络采用野蛮模式进行IKE协商,可以使用安全网关名称或IP地址作为本端ID。在中心/分支模式的网络中,中心节点不会发起IPSec SA的协商,需要由分支节点首先向中心节点发起IPSec SA的协商。路由器通常作为分支节点的VPN接入设备使用。

图10-1 中心/分支模式组网

 

·     对等模式应用在一对一网络中,如图10-2所示。在对等模式的网络中,两端的设备互为对等节点,都可以向对端发起IPSec SA的协商。

图10-2 对等模式组网

 

10.2  设置虚接口

IPSec是同虚接口进行绑定的,数据流首先通过静态路由或者策略路由引入到虚接口,然后才会匹配规则进行IPSec加密处理。

虚接口需要映射到物理接口,只有需要进行IPSec处理的报文才会通过虚接口发送,其他报文仍然从实接口转发,另外路由加虚接口的配置模式使得VPN的配置更加灵活。

页面向导:VPN→IPSEC VPN→虚接口

本页面为您提供如下主要功能:

显示和修改已创建的虚接口(主页面)

创建虚接口(单击主页面上的<新增>按钮,在弹出的对话框中选择一个虚接口通道以及映射的实际物理接口,单击<增加>完成操作)

 

10.3  设置IKE

在实施IPSec的过程中,可以使用IKE协议来建立SA。该协议建立在由Internet SA和密钥管理协议ISAKMP定义的框架上。IKE为IPSec提供了自动协商交换密钥、建立SA的服务,能够简化IPSec的使用和管理。

IKE不是在网络上直接传输密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥,并且即使第三者截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。

1. IKE简介

(1)     IKE的安全机制

IKE具有一套自保护机制,可以在不安全的网络上安全地认证身份、分发密钥、建立IPSec SA。

【数据认证】:

数据认证有如下两方面的概念:

·     身份认证:身份认证确认通信双方的身份,支持预共享密钥认证。

·     身份保护:身份数据在密钥产生之后加密传送,实现了对身份数据的保护。

【DH】:

DH算法是一种公共密钥算法。通信双方在不传输密钥的情况下通过交换一些数据,计算出共享的密钥。即使第三者(如黑客)截获了双方用于计算密钥的所有交换数据,由于其复杂度很高,不足以计算出真正的密钥。所以,DH交换技术可以保证双方能够安全地获得公有信息。

【PFS】:

PFS特性是一种安全特性,指一个密钥被破解,并不影响其他密钥的安全性,因为这些密钥间没有派生关系。对于IPSec,是通过在IKE阶段2协商中增加一次密钥交换来实现的。PFS特性是由DH算法保障的。

(2)     IKE的交换过程

IKE使用了两个阶段为IPSec进行密钥协商并建立SA:

·     第一阶段,通信各方彼此间建立了一个已通过身份认证和安全保护的通道,即建立一个ISAKMP SA。第一阶段有主模式和野蛮模式两种IKE交换方法。

·     第二阶段,用在第一阶段建立的安全隧道为IPSec协商安全服务,即为IPSec协商具体的SA,建立用于最终的IP数据安全传输的IPSec SA。

图10-3 主模式交换过程

 

图10-3所示,第一阶段主模式的IKE协商过程中包含三对消息:

·     第一对叫SA交换,是协商确认有关安全策略的过程;

·     第二对消息叫密钥交换,交换Diffie-Hellman公共值和辅助数据(如:随机数),密钥材料在这个阶段产生;

·     最后一对消息是ID信息和认证数据交换,进行身份认证和对整个SA交换进行认证。

野蛮模式交换与主模式交换的主要差别在于,野蛮模式不提供身份保护,只交换3条消息。在对身份保护要求不高的场合,使用交换报文较少的野蛮模式可以提高协商的速度;在对身份保护要求较高的场合,则应该使用主模式。

(3)     IKE在IPSec中的作用

·     因为有了IKE,IPSec很多参数(如:密钥)都可以自动建立,降低了手工配置的复杂度。

·     IKE协议中的DH交换过程,每次的计算和产生的结果都是不相关的。每次SA的建立都运行DH交换过程,保证了每个SA所使用的密钥互不相关。

·     IPSec使用AH或ESP报文头中的序列号实现防重放。此序列号是一个32比特的值,此数溢出后,为实现防重放,SA需要重新建立,这个过程需要IKE协议的配合。

·     对安全通信的各方身份的认证和管理,将影响到IPSec的部署。IPSec的大规模使用,必须有认证机构或其他集中管理身份数据的机构的参与。

·     IKE提供端与端之间动态认证。

(4)     IPSec与IKE的关系

图10-4 IPSec与IKE的关系图

 

图10-4中我们可以看出IKE和IPSec的关系:

·     IKE是UDP之上的一个应用层协议,是IPSec的信令协议;

·     IKE为IPSec协商建立SA,并把建立的参数及生成的密钥交给IPSec;

·     IPSec使用IKE建立的SA对IP报文加密或认证处理。

2. 设置安全提议

安全提议定义了一套属性数据来描述IKE协商怎样进行安全通信。配置IKE安全提议包括选择加密算法、选择验证算法、选择Diffie-Hellman组标识。

页面向导:VPN→IPSEC VPN→IKE安全提议

本页面为您提供如下主要功能:

显示和修改已添加的IKE安全提议(主页面)

添加一条新的IKE安全提议(单击主页面上的<新增>按钮,在弹出的对话框中设置相应的参数,并单击<增加>按钮完成操作)

 

页面中关键项的含义如下表所示。

表10-3 页面关键项描述

页面关键项

描述

安全提议名称

输入安全提议的名称

IKE验证算法

选择IKE所使用的验证算法

缺省情况下,使用MD5

IKE加密算法

选择IKE所使用的加密算法

缺省情况下,使用3DES

IKE DH组

选择IKE所使用的DH算法

·     DH1:768位DH组

·     DH2:1024位DH组

·     DH5:1536位DH组

·     DH14:2048位DH组

缺省情况下,使用DH2

 

3. 设置对等体

对等体定义了协商的双方,包括本端发起协商接口、对端地址、采用的安全提议、协商模式、ID类型等信息。只有经定义的双方才能够进行协商通信。

页面向导:VPN→IPSEC VPN→IKE对等体

本页面为您提供如下主要功能:

显示和修改已添加的IKE对等体(主页面)

添加一个新的IKE对等体单击主页面上的<新增>按钮,在弹出的对话框中设置相应的参数,并单击<增加>按钮完成操作)

 

页面中关键项的含义如下表所示。

表10-4 页面关键项描述

页面关键项

描述

对等体名称

输入对等体的名称

虚接口

选择本端发起协商的出接口

对端地址

设置对等体对端的地址信息

说明

如果对端地址不是固定地址而是动态地址,建议通过将对端地址配置为动态域名的方式进行连接

协商模式

选择协商模式。主模式一般应用于点对点的对等组网模式;野蛮模式一般应用于中心/分支组网模式

缺省情况下,使用主模式

ID类型、本端ID、对端ID

此设置项需在野蛮模式下进行

当ID类型为NAME类型时,还需要指定相应的本端ID与对端ID

安全提议

选择对等体需要引用的IKE安全提议

预共享密钥(PSK)

设置IKE认证所需的预共享密钥(pre-shared-key)

生命周期

设置IKE SA存在的生命周期(IKE SA实际的周期以协商结果为准)

DPD开启

DPD用于IPsec邻居状态的检测。启动DPD功能后,当接收端在触发DPD的时间间隔内收不到对端的IPSec加密报文时,会触发DPD查询,主动向对端发送请求报文,对IKE对等体是否存在进行检测

DPD周期

指定对等体DPD检测周期,即触发DPD查询的间隔时间

DPD超时时间

指定对等体DPD检测超时时间,即等待DPD应答报文超时的时间

 

10.4  设置IPSec

1. 设置安全提议

安全提议保存IPSec需要使用的特定安全性协议,以及加密/验证算法,为IPSec协商SA提供各种安全参数。为了能够成功的协商IPSec的SA,两端必须使用相同的安全提议。

页面向导:VPN→IPSEC VPN→IPSec安全提议

本页面为您提供如下主要功能:

显示和修改已添加的IPSec安全提议(主页面)

添加一条新的IPSec安全提议(单击主页面上的<新增>按钮,在弹出的对话框中设置相应的参数,并单击<增加>按钮完成操作)

 

页面中关键项的含义如下表所示。

表10-5 页面关键项描述

页面关键项

描述

安全提议名称

输入安全提议的名称

安全协议类型

选择安全协议类型来实现安全服务

缺省情况下,使用ESP

AH验证算法

选择AH验证算法

缺省情况下,使用MD5

ESP验证算法

选择ESP验证算法

缺省情况下,使用MD5

ESP加密算法

选择ESP加密算法

缺省情况下,使用3DES

 

2. 设置安全策略

安全策略规定了对什么样的数据流采用什么样的安全提议。安全策略分为手工安全策略和IKE协商安全策略。前者需要用户手工配置密钥、SPI等参数;后者则由IKE自动协商生成这些参数。

页面向导:VPN→IPSEC VPN→IPSec安全策略

本页面为您提供如下主要功能:

开启IPSec功能、显示和修改已添加的安全策略(主页面)

设置使用IKE协商方式建立SA(单击主页面上的<新增>按钮,在弹出的对话框中选择“协商类型”为IKE协商并设置相应的参数,单击<增加>按钮完成操作)

设置使用手动协商方式建立SA(单击主页面上的<新增>按钮,在弹出的对话框中选择“协商类型”为手动模式并设置相应的参数,单击<增加>按钮完成操作)

 

页面中关键项的含义如下表所示。

表10-6 页面关键项描述

页面关键项

描述

启用IPSec

选中“启用IPSec”,开启IPSec功能

缺省情况下,禁用IPSec功能

安全策略名称

设置安全策略的名称,后面的复选框可以设置该安全策略的使用状态

本地子网IP/掩码

本地子网IP/掩码和对端子网IP/掩码,两个配置项组成一个访问控制规则。IPSec通过此访问控制规则来定义需要保护的数据流,访问控制规则匹配的报文将会被保护

本地子网IP/掩码和对端子网IP/掩码分别用来指定IPSec VPN隧道本端和对端的子网网段

对端子网IP/掩码

协商类型

选择IPSec协商方式

缺省情况下,使用IKE协商方式

IKE协商模式

对等体

选择需要引用的IKE对等体

安全提议

选择需要引用的IPSec安全提议

说明

此模式下,一条安全策略最多可以引用四个安全提议,根据组网需求可以灵活的加以配置

PFS

PFS特性是一种安全特性,指一个密钥被破解,并不影响其他密钥的安全性,因为这些密钥间没有派生关系。IKE在使用安全策略发起一个协商时,可以进行一个PFS交换。如果本端设置了PFS特性,则发起协商的对端也必须设置PFS特性,且本端和对端指定的DH组必须一致,否则协商会失败

·     禁止:关闭PFS特性

·     DH1:768位DH组

·     DH2:1024位DH组

·     DH5:1536位DH组

·     DH14:2048位DH组

缺省情况下,PFS特性处于关闭状态

生命周期

设置IPSec SA存在的生命周期

缺省情况下,生命周期为28800秒

触发模式

用来指定隧道的触发模式

·     流量触发:IKE隧道配置下发后,不会自动建立隧道,会等待兴趣流来触发隧道建立

·     长连模式:IKE隧道配置下发后或隧道异常断开后,会自动触发隧道建立,并且保证隧道长时间建立,不需等待兴趣流触发

手动模式

虚接口

指定与当前策略绑定的虚接口

对端地址

指定IPSec对等体另外一端的IP地址

安全提议

选择需要引用的IPSec安全提议

入/出SPI值

在安全隧道的两端设置的SA参数必须是完全匹配的。本端入方向SA的SPI必须和对端出方向SA的SPI一样;本端出方向SA的SPI必须和对端入方向SA的SPI一样。SPI具有唯一性,不允许输入相同的SPI值

安全联盟使用的密钥

入/出ESP MD5密钥

入/出ESP 3DES密钥

在安全隧道的两端设置的SA参数必须是完全匹配的。本端入方向SA的密钥必须和对端出方向SA的密钥一样;本端出方向SA的密钥必须和对端入方向SA的密钥一样

 

10.5  查看VPN状态

页面向导:VPN→IPSEC VPN→安全联盟

本页面为您提供如下主要功能:

单击<刷新>按钮,您可以查看已建立的VPN隧道及对应的安全策略信息

 


以下是L2TP VPN的配置要点,请参考:

11.2.2  设置L2TP服务端(设备作为LNS时的配置)

1. 设置L2TP服务端

页面向导:VPN→L2TP VPN→L2TP服务端

本页面为您提供如下主要功能:

设置L2TP服务端(LNS)

 

页面中关键项的含义如下表所示。

表11-2 页面关键项描述

页面关键项

描述

启用LNS

启用或禁用LNS功能

缺省情况下,LNS处于禁用状态

L2TP服务器名称

标识该L2TP服务器的名称

地址池

设置给L2TP客户端分配地址所用的地址池

设置地址池的起始IP地址和结束IP地址

起始地址和结束地址前24位要一致,即输入地址格式:x1.x2.x3.y~x1.x2.x3.y1,即起始与结束地址x1.x2.x3要一致,如:地址池设置为10.5.100.100~10.5.100.155,要确保起始地址和结束地址10.5.100一致即可

说明

·     结束地址被LNS的PPP接口使用,不分配给接入客户端

·     地址池不能和内网网段冲突

启用隧道认证

设置是否在该组中启用L2TP隧道认证功能,当启用隧道认证时需要设置隧道认证密码

隧道认证请求可由LAC侧发起。只要有一端启用了隧道认证,则只有在对端也启用了隧道认证,两端密码完全一致且不为空的情况下,隧道才能建立;否则本端将自动断开隧道连接。若隧道两端都禁止了隧道认证,隧道认证的密码一致与否将不起作用

缺省情况下,未启用隧道认证

说明

当PC作为LAC,设备作为LNS时,建议不要启用LNS端的隧道认证功能

隧道认证密码

为了保证隧道安全,建议启用隧道认证功能。如果为了进行网络连通性测试或者接收不知名对端发起的连接,则也可不进行隧道认证

HELLO报文间隔

设置发送Hello报文的时间间隔,单位为秒

为了检测LAC和LNS之间隧道的连通性,LAC和LNS会定期向对端发送Hello报文,接收方接收到Hello报文后会进行响应。当LAC或LNS在指定时间间隔内未收到对端的Hello响应报文时,重复发送,如果重复发送6次仍没有收到对端的响应信息则认为L2TP隧道已经断开,需要重新建立隧道连接

LNS端可以配置与LAC端不同的Hello报文间隔

缺省情况下,Hello报文间隔为60秒

 

2. 设置LNS用户管理

页面向导:VPN→L2TP VPN→LNS用户管理

本页面为您提供如下主要功能:

LNS用户查询(关键字过滤选择用户名或状态,在关键字中输入用户名或选择用户状态,单击<查询>按钮生效)

LNS新增用户(单击主页面上的<新增>按钮,在弹出的对话框中输入用户名、密码和选择用户状态,单击<增加>按钮生效)

修改用户信息(双击主页面上的列表中的用户项或者单击图标,在弹出的对话框中修改密码和用户状态,单击<修改>按钮生效)

 

页面中关键项的含义如下表所示。

表11-3 页面关键项描述

页面关键项

描述

用户名

LNS管理的用户,LAC与该LNS建立会话时要使用的用户名

密码

LNS管理的用户,LAC与该LNS建立会话时要使用的用户密码

状态

LNS管理的用户状态

启用:LNS允许远端的L2TP客户端使用该用户建立会话

禁用:LNS不允许远端的L2TP客户端使用该用户建立会话

 

3. 查看L2TP状态

页面向导:VPN→L2TP VPN→L2TP状态

本页面为您提供如下主要功能:

·     显示当前L2TP客户端信息

·     连接或断开L2TP客户端连接

·     显示当前作为LNS时已建立会话和隧道的信息

 

页面中关键项的含义如下表所示。

表11-4 页面关键项描述

页面关键项

描述

链路状态

显示L2TP客户端当前的连接状态

本端IP地址

显示当前L2TP客户端,本端PPP接口的IP地址

对端IP地址

显示当前L2TP客户端,对端PPP接口的IP地址

用户名

显示LNS服务中,当前接入客户端建立会话使用的用户名

对端地址

显示LNS服务中,当前接入客户端的公网IP地址

对端主机名称

显示LNS服务中,当前接入客户端的主机名称

本端隧道ID

显示LNS服务中,当前已建立隧道的本端ID

对端隧道ID

显示LNS服务中,当前已建立隧道的对端ID

 


具体的用户手册连接如下:

https://www.h3c.com/cn/Service/Document_Software/Document_Center/Routers/Catalog/H3C_ER_G2/ER8300G2-X/  

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明