• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

h3c secpath f100-s-g2 vpn设置

2020-09-08提问
  • 0关注
  • 1收藏,2929浏览
粉丝:0人 关注:0人

问题描述:

对齐方式

  • 靠左
  • 居中
  • 靠右

目前使用的是家庭带宽,没有固定IP,请问怎么使用h3c secpath f100-s-g2防火墙部署VPN服务 

组网及组网描述:

使用PPPoE组网,内网IP是172.16.1.1  255.255.255.0  ,外网使用的是PPPoE拨号上网,目前要使用VPN服务,怎么做VPN服务主要是让员工在家可以使用vpn连接到公司内网

最佳答案

粉丝:96人 关注:1人

可以做L2TP或者sslvpn,L2TP拨号方便,ssl需要客户端。以下是两种VPN的配置手册,参考典型配置。他们都需要搭配ddns来使用。

https://www.h3c.com/cn/d_202006/1308490_30005_0.htm L2TP

https://www.h3c.com/cn/d_202006/1308491_30005_0.htm SSL


DDNS

2.1  DDNS简介

DNS仅仅提供了域名和IP地址之间的静态对应关系,当节点的IP地址发生变化时,通过域名解析得到的IP地址是错误的,会导致访问失败。

DDNS(Dynamic Domain Name System,动态域名系统)用来动态更新DNS服务器上域名和IP地址之间的对应关系,保证通过域名解析到正确的IP地址。

图2-1 DDNS典型组网图

 

DDNS的典型组网环境如图2-1所示,DDNS采用客户端/服务器模式:

·     DDNS客户端:IP地址变化时,需要在DNS服务器上动态更新其域名和IP地址对应关系的设备。Internet用户通常通过域名访问提供应用层服务的服务器,如HTTP、FTP服务器。为了保证IP地址变化时,仍然可以通过域名访问这些服务器,当服务器的IP地址发生变化时,服务器将作为DDNS客户端,向DDNS服务器发送更新域名和IP地址对应关系的DDNS更新请求。

·     DDNS服务器:负责通知DNS服务器动态更新域名和IP地址之间的对应关系。接收到DDNS客户端的更新请求后,DDNS服务器通知DNS服务器重新建立DDNS客户端的域名和IP地址之间的对应关系。从而保证即使DDNS客户端的IP地址改变,Internet用户仍然可以通过同样的域名访问DDNS客户端。

设备可以作为DDNS客户端,通过***.***、花生壳等DDNS服务器动态更新DNS服务器上域名和IP地址之间的对应关系。

说明

目前,DDNS更新过程没有统一的标准,向不同的DDNS服务器请求更新的过程各不相同。

 

2.2  DDNS配置限制和指导

目前,只有IPv4域名解析支持DDNS,IPv6域名解析不支持DDNS,即只能通过DDNS动态更新域名和IPv4地址之间的对应关系。

2.3  设备作为DDNS客户端配置任务简介

设备作为DDNS客户端配置任务如下:

(1)     配置DDNS策略

(2)     在接口上应用DDNS策略

(3)     (可选)配置DDNS报文的DSCP优先级

2.4  配置DDNS策略

1. 功能简介

DDNS策略是DDNS服务器的地址、端口号、登录用户名、密码、时间间隔、关联的SSL客户端策略和更新时间间隔等信息的集合。创建DDNS策略后,可以在不同的接口上应用相同的DDNS策略,从而简化DDNS的配置。

2. 配置限制和指导

设备向不同DDNS服务器请求更新的过程各不相同,因此,DDNS更新请求的URL地址的配置方式也存在差异,如表2-1所示。

表2-1 常见的DDNS更新请求URL地址格式列表

DDNS服务器

DDNS更新请求的URL地址格式

***.***

***.***/dyndns/update?system=dyndns&hostname=<h>&myip=<a>

DYNDNS

***.***/nic/update?system=dyndns&hostname=<h>&myip=<a>

DYNS

http://www.dyns.cx/postscript.php?host=<h>&ip=<a>

ZONEEDIT

***.***/auth/dynamic.html?host=<h>&dnsto=<a>

TZO

***.***/webclient/signedon.html?TZOname=<h>IPAddress=<a>

EASYDNS

***.***/dyn/ez-ipupdate.php?action=edit&myip=<a>&host_id=<h>

HEIPV6TB

***.***/nic/update?hostname=<h>&myip=<a>

CHANGE-IP

***.***/nic/update?hostname=<h>&offline=1

NO-IP

***.***/nic/update?hostname=<h>&myip=<a>

DHS

***.***/nic/hosts?domain=***.***&hostname=<h>&hostscmd=edit&hostscmdstage=2&type=1&ip=<a>

HP

https://server-name/nic/update?group=group-name&myip=<a>

ODS

ods://***.***

GNUDIP

gnudip://server-name

花生壳

根据实际情况选择:

·     oray://***.***

·     oray://***.***

·     oray://***.***

·     oray://***.***

 

请根据网络中DDNS服务器选择要设置的URL地址:

·     DDNS更新请求的URL地址可以以“http://”开头,表示基于HTTP与DDNS服务器通信;以“https://”开头,表示基于HTTPS与DDNS服务器通信;以“ods://”开头,表示基于TCP与ODS服务器通信;以“gnudip://”开头,表示基于TCP与GNUDIP服务器通信;以“oray://”开头,表示基于TCP与花生壳DDNS服务器通信。

·     HP和GNUDIP是通用的DDNS更新协议,server-name是使用对应DDNS更新协议的服务提供商的服务器域名或地址。

·     URL地址中的端口号是可选项,如果不包含端口号则使用缺省端口号:HTTP是80,HTTPS是443,花生壳DDNS服务器是6060。

·     <h>由系统根据接口上应用DDNS策略时指定的FQDN自动填写,<a>由系统根据应用DDNS策略的接口的主IP地址自动填写。用户也可以手工输入需要更新的FQDN和IP地址,代替URL中的<h>和<a>,此时,应用DDNS策略时指定的FQDN将不会生效。建议不要修改URL中的<h>和<a>,以免配置错误的FQDN和IP地址。应用DDNS策略的详细介绍,请参见“2.5  在接口上应用DDNS策略”。

·     花生壳DDNS服务器的URL地址中不能指定用于更新的FQDN和IP地址。用户可在接口上应用DDNS策略时指定FQDN;用于更新的IP地址是应用DDNS策略的接口的主IP地址。

3. 配置准备

登录DDNS服务提供商的网站,注册账户,并为DDNS客户端申请域名。通过DDNS服务器更新域名和IP地址的对应关系时,DDNS服务器将检查DDNS更新请求中的账户信息是否正确、需要更新的域名是否属于该账户。

4. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建DDNS策略,并进入DDNS策略视图。

ddns policy policy-name

(3)     指定DDNS更新请求的URL地址。

url request-url

缺省情况下,未指定DDNS更新请求的URL地址。

URL地址中不支持携带用户名和密码,配置用户名和密码请配合username和password命令使用,请根据实际情况修改。

(4)     指定登录DDNS服务器的用户名。

username username

缺省情况下,未指定登录DDNS服务器的用户名。

(5)     指定登录DDNS服务器的密码。

password { cipher | simple } string

缺省情况下,未指定登录DDNS服务器的密码。

(6)     (可选)配置采用HTTP或HTTPS报文发送DDNS更新请求时使用的参数传输方式。

method { http-get | http-post }

缺省情况下,采用HTTP或HTTPS报文发送DDNS更新请求时使用的参数的传输方式为http-get。

本命令仅在基于HTTP或HTTPS与DDNS服务器通信时生效。

与DHS通信时,必须指定http-post参数传输方式进行DDNS更新。

(7)     指定与DDNS策略关联的SSL客户端策略。

ssl-client-policy policy-name

缺省情况下,未指定与DDNS策略关联的SSL客户端策略。

在指定URL为HTTPS的URL地址时为必选。

基于HTTPS与DDNS服务器通信时,需要通过本命令指定与DDNS策略关联的SSL客户端策略,SSL客户端策略的配置方法请参见“安全配置指导”中的“SSL”。

(8)     (可选)指定定时发起更新请求的时间间隔。

interval days [ hours [ minutes ] ]

缺省情况下,定时发起DDNS更新请求的时间间隔是1小时。

2.5  在接口上应用DDNS策略

1. 功能简介

在接口上应用DDNS策略,并指定需要更新的FQDN与IP地址对应关系后,DDNS客户端才会向DDNS服务器发起更新域名和接口主IP地址对应关系的请求。

2. 配置限制和指导

·     除花生壳DDNS服务器外,其他的DDNS服务器均需要指定更新的FQDN,否则会导致DDNS更新失败。

·     对于花生壳DDNS服务器,如果未指定更新的FQDN,则DDNS服务器将更新DDNS客户端的账户对应的所有域名;如果指定了更新的FQDN,则DDNS服务器只更新指定的FQDN。

3. 配置准备

·     配置该接口的主IP地址,使之与DDNS服务器路由可达。

·     配置IPv4静态或动态域名解析功能,以便将DDNS服务器的域名解析为IP地址。域名解析功能的配置方法请参见“1.3  配置DNS客户端”。

4. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     在接口上应用指定的DDNS策略来更新指定的FQDN与IP地址的对应关系,并启动DDNS更新。

ddns apply policy policy-name [ fqdn domain-name ]

缺省情况下,没有为接口指定任何DDNS策略和需要更新的FQDN,且未启动DDNS更新。

FQDN是节点在网络中的唯一标识,由主机名和域名组成,可被解析为IP地址。

2.6  配置DDNS报文的DSCP优先级

1. 功能简介

DSCP优先级用来体现报文自身的优先等级,决定报文传输的优先程度。通过本配置可以指定DDNS服务器发送的DDNS报文的DSCP优先级。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置DDNS报文的DSCP优先级。

ddns dscp dscp-value

缺省情况下,DDNS报文的DSCP优先级为0。



暂无评论

1 个回答
粉丝:118人 关注:6人

您好,请知:

关于实现员工在家可以使用VPN连接到公司内网,以下是部署要点,请参考:

1、由于 f100-s-g2是在家中,所以是作为VPN的客户端来进行VPN的连接。

2、主要是看公司采用的是什么类型的VPN。

3、如果公司采用的是L2TP VPN的方式,应该是LNS端点,那么在 f100-s-g2中可以配置为LAC端点,与公司建立L2TP VPN的连接。

4、如果公司采用的是IPSEC VPN,由于本端是非固定IP,因此需采用IPSEC +IKE野蛮模式来实现,但是这样的话公司那边就要给每个节点都要配置IPSEC VPN的连接,这个情况可能难以实现。

5、注意在本端配置好相应的上网接入,比如PPPOE、NAT、路由的指向等。确保路由能到公司出口。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明