H3C防火墙L2TP配置方法

防火墙F1000-A基于Windows自带VPN拨号软件的L2TP配置

一组网需求

PC作为L2TP的LAC端，F1000-A防火墙作为LNS端。希望通过L2TP拨号的方式接入到对端防火墙。

二组网图

如图所示，用户PC作为LAC，使用windows自带的拨号软件作为客户端软件，拨号接入到对端的SecPath防火墙。

软件版本如下：Version 5.20, Release 3102

三、配置步骤

3.1 防火墙上的配置

#

sysname F1000A

#

l2tp enable //开启L2TP功能

#

domain default enable system

#

vlan 1

#

domain system

access-limit disable

state active

idle-cut disable

self-service-url disable

ip pool 1 1.1.1.1 1.1.1.20 //配置拨号用户使用的地址池

#

local-user h3c

password cipher G`M^B

service-type telnet

level 3

local-user zhengyamin //配置L2TP拨号用户使用的用户名和地址池

password simple 123456

level 3

service-type ppp

#

l2tp-group 1 //配置L2TP组

undo tunnel authentication //不使用隧道认证

allow l2tp virtual-template 1 //使用虚模板1认证

#

interface Virtual-Template1 //配置L2TP虚模板

ppp authentication-mode chap //配置ppp认证方式为chap，使用system 默认域

remote address pool 1 //指定使用 ip pool 1 给用户分配地址

ip address 1.1.1.1 255.255.255.0

#

interface NULL0

#

interface GigabitEthernet0/0

ip address 10.153.43.20 255.255.255.0

#

firewall zone trust

add interface GigabitEthernet0/0 //将Ge 0/0和虚接口加入trust区域 add interface Virtual-Template1

set priority 85

#

Return

3.2 Windows自带拨号软件的设置

由于Windows2000系统缺省情况下启动了IPSec功能，因此在发起VPN请求时应禁止IPSec功能，在命令行模式下执行regedit命令，弹出“注册表编辑器”对话框。在左侧注册表项目中逐级找到：HKEY_LOCAL_MACHINE\System\Current ControlSet\Services\Rasman\Parameters，单击Parameters参数，接着在右边窗口空白处单击鼠标右键，选择［新建/双字节值］并新建一个注册表值（名称为ProhibitIPSec，值为1），然后重新启动Windows2000。

注意设置为chap验证，尤其注意要选择l2tp拨号，微软默认的是pptp。具体配置步骤如下：

1.输入远程IP地址。

2.拨号软件的基本设置，在拨号时提示输入名称和密码。

3.设置安全参数，注意红色圈出项的设置。

四、验证结果

五、注意事项

注意点见注释。

华为防火墙(VRRP)双机热备配置及组网

防火墙双机热备配置及组网指导 防火墙双机热备，主要是提供冗余备份的功能，在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式，分路由模式下的双机热备组网和透明模式下的双机热备组网，下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。 1 防火墙双机热备命令行说明 防火墙的双机热备的配置主要涉及到HRP的配置，VGMP的配置，以及VRRP的配置，防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整，下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。 1.1 HRP命令行配置说明 HRP是华为的冗余备份协议，Eudemon 防火墙使用此协议进行备份组网，达到链路状态备份的目的，从而保证在设备发生故障的时候业务正常。 HRP协议是华为自己开发的协议，主要是在VGMP协议的基础上进行扩展得到的；VGMP是华为的私有协议，主要是用来管理VRRP的，VGMP也是华为的私有协议，是在VRRP的基础上进行扩展得到的。不管是VGMP的报文，还是HRP的报文，都是VRRP的报文，只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文，HRP的报文，或者是普通的VRRP的报文。 在Eudemon防火墙上，hrp的作用主要是备份防火墙的会话表，备份防火墙的servermap 表，备份防火墙的黑名单，备份防火墙的配置，以及备份ASPF模块中的公私网地址映射表和上层会话表等。 两台防火墙正确配置VRRP，VGMP，以及HRP之后，将会形成主备关系，这个时候防火墙的命令行上会自动显示防火墙状态是主还是备，如果命令行上有HRP_M的标识，表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙，如果命令行上有HRP_S的标识，表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商，并且协商状态稳定之后一定是一台为主状态另外一台为备状态，不可能出现两台都为主状态或者都是备状态的。 在防火墙的HRP形成主备之后，我们称HRP的主备状态为HRP主或者是HRP备状态，在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的，而这些命令将不能在备防火墙的命令行上执行，这些命令包括ACL，接口加入域等，但其中一些命令行是不会从主防火墙上备份到备防火墙上。 HRP的配置命令的功能和使用介绍如下： ★ hrp enable ：HRP使能命令，使能HRP之后防火墙将形成主备状态。 ★ hrp configuration check acl ：检查主备防火墙两端的ACL的配置是否一致。执行此命令之后，主备防火墙会进行交互，执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。

H3C-防火墙设备专线上网配置(U200-S--V5)

V5防火墙设备上网配置 一组网需求 防火墙内网电脑可以经过防火墙去上网 二组网拓扑 内网电脑------（G0/2）防火墙（G0/1）-----光猫—运营商 三组网配置 第一步: 防火墙开启了WEB服务， PC通过网线连接到防火墙的GE0口，将电脑的IP 地址修改为192.168.0.10 掩码为255.255.255.0 打开一个浏览器（建议使用IE浏览器）在地址栏输入192.168.0.1 会显示如下页面： 用户名和密码默认为：admin 输入用户名密码和验证码后，点击登录即可登陆到设备的WEB管理页面。第二步： 登陆设备后，将1口设置为WAN口连接外网，2口设置为LAN口，连接内网，配置上网操作步骤如下： 1.将接口添加到安全域： 1.1将1号口加入untrust域

1.2 将2号口加入trust域：

2.配置公网接口IP地址及指网关2.1.1配置运营商分配的公网地址 2.1.2 配置默认路由指向公网网关

3.配置内网口地址

1. 配置DNS地址信息 4.1.1开启设备DNS代理和DNS动态域名解析功能 4.1.2 配置运营商DNS地址（如果您是固定IP地址方式上网，运营商会给您相 应的DNS地址，如果是拨号方式上网，那只需开启DNS代理功能即可，动态域名解析功能可以不用开启，也不需要设置DNS服务器IP地址） 4.1.3配置nat动态地址转换：配置acl 2001匹配内网的源ip地址网段，然后 做nat动态地址转换，如果是静态公网ip，或者是动态获取的ip地址，请选择

宽带连接的物理接口；如果是拨号上网，请选择dialer口，转换方式选择easy ip。

华为usg2210防火墙配置实例

display current-configuration detect h323 d 09:29:14 2016/03/17 detect qq # sysname USG2200 detect #s l2tp enabledetect netbi undo l2tp domain suffix-separator @ undo tunnel authentic #i ike dpd interval 10 allow l2tp #i firewall packet-filter default permit interzone local trust direction inbound unicast undo synchronization # firewall packet-filter default permit interzone local trust direction outbound local-user user2 firewall packet-filter default permit interzone local untrust direction inbound local-user user3 password cipher %$%$`;WkNM${E;O=5--=%y firewall packet-filter default permit interzone local untrust direction outboundal-user user3 service-type ppp local-user use authentication-mode vpndb # nat server 1 protocol udp global 218.56.104.*** any inside 192.100.7.73 anyheme test.scm authorization-mode vpndb # ip df-unreachables enableaccounting-scheme default

H3C_SecPath系列防火墙基本上网配置

新手可以根据下面的配置一步一步操作，仔细一点儿就没问题了~！ 可以用超级终端配置，也可以用CRT配置 如果配置了，还是不能上网，可以加我的 恢复出厂设置： Reset saved-configuration 配置防火墙缺省允许报文通过： system-view firewall packet-filter default permit 为防火墙的以太网接口（以Ethernet0/0为例）配置IP地址，并将接口加入到安全区域：interface Ethernet0/0 ip address IP地址子网掩码 quit firewall zone trust add interface Ethernet0/0 quit 添加登录用户为使用户可以通过Web登录，并且有权限对防火墙进行管理，必须为用户添加登录帐户并且赋予其权限： local-user 登录账号 password simple 登录密码 service-type telnet level 3 quit quit

sys firewall packet-filter default permit dialer-rule 1 ip permit acl number 3000 rule 0 permit ip quit interface Dialer1 link-protocol ppp ppp chap user PPPOE账号 ppp chap password simple PPPOE密码ip address ppp-negotiate dialer-group 1 dialer bundle 1 nat outbound 3000 quit interface Ethernet0/4 pppoe-client dial-bundle-number 1 firewall zone untrust add interface Ethernet0/4 add interface Dialer1 quit firewall zone trust add interface Ethernet0/0 quit

H3C防火墙配置说明书

H3C防火墙配置说明 华三通信技术 所有侵权必究

All rights reserved

相关配置方法： 配置OSPF验证 从安全性角度来考虑，为了避免路由信息外泄或者对OSPF路由器进行恶意攻击，OSPF提供报文验证功能。 OSPF路由器建立邻居关系时，在发送的报文中会携带配置好的口令，接收报文时进行密码验证，只有通过验证的报文才能接收，否则将不会接收报文，不能正常建立邻居。 要配置OSPF报文验证，同一个区域的所有路由器上都需要配置区域验证模式，且配置的验证模式必须相同，同一个网段的路由器需要配置相同的接口验证模式和口令。 表1-29 配置OSPF验证

提高IS-IS 网络的安全性 在安全性要求较高的网络中，可以通过配置IS-IS 验证来提高IS-IS 网络的安全性。IS-IS 验证特性分为邻居关系的验证和区域或路由域的验证。 配置准备 在配置IS-IS 验证功能之前，需完成以下任务： ?配置接口的网络层地址，使相邻节点网络层可达 ?使能IS-IS 功能 配置邻居关系验证 配置邻居关系验证后，验证密码将会按照设定的方式封装到Hello 报文中，并对接收到的Hello 报文进行验证密码的检查，通过检查才会形成邻居关系，否则将不会形成邻居关系，用以确认邻居的正确性和有效性，防止与无法信任的路由器形成邻居。 两台路由器要形成邻居关系必须配置相同的验证方式和验证密码。 表1-37 配置邻居关系验证

操作命令说明 配置邻居关系验证方式 和验证密码 isis authentication-mode{ md5 | simple} [ cipher ] password [ level-1 | level-2 ] [ ip | osi ] 必选 缺省情况下，接口没有配置邻居关 系验证，既不会验证收到的Hello报 文，也不会把验证密码插入到Hello 报文中 参数level-1和level-2的支持情况和 产品相关，具体请以设备的实际情 况为准 必须先使用isis enable命令使能该接口才能进行参数level-1和level-2的配置。 如果没有指定level-1或level-2参数，将同时为level-1和level-2的Hello报文配置验证方式及验证密码。 如果没有指定ip或osi参数，将检查Hello报文中OSI的相应字段的配置容。 配置区域验证 通过配置区域验证，可以防止将从不可信任的路由器学习到的路由信息加入到本地Level-1 的LSDB中。 配置区域验证后，验证密码将会按照设定的方式封装到Level-1报文（LSP、CSNP、PSNP） 中，并对收到的Level-1报文进行验证密码的检查。 同一区域的路由器必须配置相同的验证方式和验证密码。 表1-38 配置区域验证 操作命令说明进入系统视图system-view- 进入IS-IS视图isis [ process-id ] [ vpn-instance vpn-instance-name ] -

华为USG防火墙配置完整版

华为U S G防火墙配置 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】

华为USG2000防火墙配置 USG2000防火墙基本设置： 外观 1个调试口（CONSOLE）； 2个以太网口（GE0/0/0和GE0/0/1，电口或者SFP光口任取一）； 1个reset按钮（操作不当访问不到防火墙时初始化出厂配置）。 初始配置 GE0/0/0配置为路由接口，IP地址为 防火墙访问IP为，登录用户名admin，密码Admin@123 USG2000防火墙配置过程中注意事项： 接口配置时，不要操作当前连接的端口，否则可能导致防火墙无法连接的情况。 这种情况下需要按‘reset’按钮初始化出厂配置。

USG2000防火墙配置步骤 一、配置防火墙的网络接口 1.连接GE0/0/0端口，访问登录防火墙。 登录过程中出现证书错误，点击‘继续浏览此网站’继续。 输入用户名admin密码Admin@123登录防火墙。 登录后，弹出修改用户的初始密码的提示及快速向导。初始密码尽量不要修改。快速向导适于配置路由器模式，不适合I区和II区之间，直接点取消。 以上为USG2000基本配置界面。 现场配置所需要用到的只有网络和防火墙两个主菜单。 2.配置GE0/0/1端口 选择菜单网络/接口，在GE0/0/1行最后点配置。 别名设置‘安全II区端口’，选择模式‘交换’，连接类型选择为 ‘access’，点击应用。 3.添加Vlan接口 在接口页面中，点击新加，接口名称设置为‘配置接口’，类型设置为‘VLAN’，VALN ID设置为‘1’，接口成员选择‘GE0/0/1’，连接类型设置为‘静态IP’，IP地址设置为‘’，子网掩码设置为‘’，最后点击应用。如下图所示 4.按照配置GE0/0/1的方法，配置GE0/0/0，将别名设为‘安全I 区端口’。 注意：配置完成后，点击应用后，由于GE0/0/0的IP地址已变更，将无法访问到。 5.关闭所有浏览器页面，然后重新开启浏览器，连接GE0/0/0，访 问。 修改刚添加的‘配置接口’的Vlan端口，将GE0/0/0添加到接口

H3C防火墙配置实例

精心整理本文为大家介绍一个H3C防火墙的配置实例，配置内容包括：配置接口IP地址、配置区域、配置NAT地址转换、配置访问策略等，组网拓扑及需求如下。 1、网络拓扑图 2、配置要求 3、防火墙的配置脚本如下 discur # sysnameH3CF100A # superpasswordlevel3cipher6aQ>Q57-$.I)0;4:\(I41!!! # firewallpacket-filterenable firewallpacket-filterdefaultpermit # insulate # # firewallstatisticsystemenable # radiusschemesystem server-typeextended # domainsystem # local-usernet1980 passwordcipher###### service-typetelnet level2 # aspf-policy1 detecth323 detectsqlnet detectrtsp detecthttp detectsmtp detectftp detecttcp detectudp # # aclnumber3001

descriptionout-inside rule1000denyip aclnumber3002 descriptioninside-to-outside rule1000denyip # interfaceAux0 asyncmodeflow # interfaceEthernet0/0 shutdown # interfaceEthernet0/1 shutdown # interfaceEthernet0/2 speed100 duplexfull descriptiontoserver firewallpacket-filter3002inbound firewallaspf1outbound # interfaceEthernet0/3 shutdown # interfaceEthernet1/0 shutdown # interfaceEthernet1/1 shutdown # interfaceEthernet1/2 speed100 duplexfull descriptiontointernet firewallpacket-filter3001inbound firewallaspf1outbound natoutboundstatic # interfaceNULL0 # firewallzonelocal setpriority100 # firewallzonetrust

华为防火墙USG配置

内网： 配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 外网： 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 DMZ： [USG5300] firewall zone dmz [USG5300-zone-untrust] add interface GigabitEthernet 0/0/3 [USG5300-zone-untrust] quit 1.4.1 Trust和Untrust域间：允许内网用户访问公网 policy 1：允许源地址为10.10.10.0/24的网段的报文通过 [USG5300] policy interzone trust untrust outbound [USG5300-policy-interzone-trust-untrust-outbound] policy 1 [USG5300-policy-interzone-trust-untrust-outbound-1] policy source 10.10.10.0 0.0.0.255 [USG5300-policy-interzone-trust-untrust-outbound-1] action permit [USG5300-policy-interzone-trust-untrust-outbound-1] quit 如果是允许所有的内网地址上公网可以用以下命令：

H3C防火墙配置实例

本文为大家介绍一个H3C防火墙的配置实例，配置内容包括：配置接口IP地址、配置区域、配置NAT地址转换、配置访问策略等，组网拓扑及需求如下。 1、网络拓扑图 2、配置要求 1）防火墙的E0/2接口为TRUST区域，ip地址是：192.168.254.1/29； 2）防火墙的E1/2接口为UNTRUST区域，ip地址是：202.111.0.1/27； 3）内网服务器对外网做一对一的地址映射，192.168.254.2、192.168.254.3分别映射为202.111.0.2、202.111.0.3； 4）内网服务器访问外网不做限制，外网访问内网只放通公网地址211.101.5.49访问192.168.254.2的1433端口和192.168.254.3的80端口。 3、防火墙的配置脚本如下 dis cur # sysname H3CF100A # super password level 3 cipher 6aQ>Q57-$.I)0;4:\(I41!!! # firewall packet-filter enable firewall packet-filter default permit # insulate # nat static inside ip 192.168.254.2 global ip 202.111.0.2 nat static inside ip 192.168.254.3 global ip 202.111.0.3 #

firewall statistic system enable # radius scheme system server-type extended # domain system # local-user net1980 password cipher ###### service-type telnet level 2 # aspf-policy 1 detect h323 detect sqlnet detect rtsp detect http detect smtp detect ftp detect tcp detect udp # object address 192.168.254.2/32 192.168.254.2 255.255.255.255 object address 192.168.254.3/32 192.168.254.3 255.255.255.255 # acl number 3001 description out-inside rule 1 permit tcp source 211.101.5.49 0 destination 192.168.254.2 0 destination-port eq 1433 rule 2 permit tcp source 211.101.5.49 0 destination 192.168.254.3 0 destination-port eq www rule 1000 deny ip acl number 3002 description inside-to-outside rule 1 permit ip source 192.168.254.2 0 rule 2 permit ip source 192.168.254.3 0 rule 1000 deny ip # interface Aux0 async mode flow # interface Ethernet0/0 shutdown # interface Ethernet0/1 shutdown

H3C 防火墙F100 基本配置

H3C 防火墙F100-C display saved-configuration # sysname H3C # firewall packet-filter enable firewall packet-filter default permit # undo connection-limit enable connection-limit default deny connection-limit default amount upper-limit 50 lower-limit 20 # nat address-group 1 202.99.198.135 202.99.198.135 nat address-group 2 172.22.52.179 172.22.52.179 # firewall statistic system enable # radius scheme system server-type extended # domain system # local-user admin password cipher 7;V09U^17Z+Q=^Q`MAF4<1!! service-type ssh telnet terminal level 3 service-type ftp service-type ppp local-user wlg password cipher 7;V09U^17Z+Q=^Q`MAF4<1!! service-type telnet level 3 local-user ycb service-type telnet level 3 # acl number 3001 rule 0 deny tcp destination-port eq 135 rule 1 deny udp destination-port eq 135 rule 2 deny udp destination-port eq netbios-ssn rule 3 deny tcp destination-port eq 139

【通用文档】h3c防火墙配置.doc

安全区域 2.1.1 安全区域的概念 安全区域（zone）是防火墙产品所引入的一个安全概念，是防火墙产品区别于路由器的主要特征。 对于路由器，各个接口所连接的网络在安全上可以视为是平等的，没有明显的内外之分，所以即使进行一定程度的安全检查，也是在接口上完成的。这样，一个数据流单方向通过路由器时有可能需要进行两次安全规则的检查（入接口的安全检查和出接口的安全检查），以便使其符合每个接口上独立的安全定义。而这种思路对于防火墙来说不很适合，因为防火墙所承担的责任是保护内部网络不受外部网络上非法行为的侵害，因而有着明确的内外之分。 当一个数据流通过secpath防火墙设备的时候，根据其发起方向的不同，所引起的操作是截然不同的。由于这种安全级别上的差别，再采用在接口上检查安全策略的方式已经不适用，将造成用户在配置上的混乱。因此，secpath防火墙提出了安全区域的概念。 一个安全区域包括一个或多个接口的组合，具有一个安全级别。在设备内部，安全级别通过0～10 0的数字来表示，数字越大表示安全级别越高，不存在两个具有相同安全级别的区域。只有当数据在分属于两个不同安全级别的区域（或区域包含的接口）之间流动的时候，才会激活防火墙的安全规则检查功能。数据在属于同一个安全区域的不同接口间流动时不会引起任何检查。 2.1.2 secpath防火墙上的安全区域 1. 安全区域的划分 secpath防火墙上保留四个安全区域： 1 非受信区（untrust）：低级的安全区域，其安全优先级为5。 2 非军事化区（dmz）：中度级别的安全区域，其安全优先级为50。 3 受信区（trust）：较高级别的安全区域，其安全优先级为85。 4 本地区域（local）：最高级别的安全区域，其安全优先级为100。 此外，如认为有必要，用户还可以自行设置新的安全区域并定义其安全优先级别。 dmz（de militarized zone，非军事化区）这一术语起源于军方，指的是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。防火墙引用了这一术语，指代一个逻辑上和物理上都与内部网络和外部网络分离的区域。通常部署网络时，将那些需要被公共访问的设备（例如，www server、f tp server等）放置于此。 因为将这些服务器放置于外部网络则它们的安全性无法保障；放置于内部网络，外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络。因此，dmz区域的出现很好地解决了这些服务器的放置问题。

华为防火墙USG配置

配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 外网： 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 DMZ： [USG5300] firewall zone dmz [USG5300-zone-untrust] add interface GigabitEthernet 0/0/3 [USG5300-zone-untrust] quit Trust和Untrust域间：允许内网用户访问公网 policy 1：允许源地址为的网段的报文通过 [USG5300] policy interzone trust untrust outbound [USG5300-policy-interzone-trust-untrust-outbound] policy 1 [USG5300-policy-interzone-trust-untrust-outbound-1] policy source [USG5300-policy-interzone-trust-untrust-outbound-1] action permit [USG5300-policy-interzone-trust-untrust-outbound-1] quit

H3C SecPath F100系列防火墙配置教程

H3C SecPath F100系列防火墙配置教程初始化配置 〈H3C〉system-view 开启防火墙功能 [H3C]firewall packet-filter enable [H3C]firewall packet-filter default permit 分配端口区域 [H3C] firewall zone untrust [H3C-zone-trust] add interface GigabitEthernet0/0 [H3C] firewall zone trust [H3C-zone-trust] add interface GigabitEthernet0/1 工作模式 firewall mode transparent 透明传输 firewall mode route 路由模式 http 服务器 使能HTTP 服务器 undo ip http shutdown 关闭HTTP 服务器 ip http shutdown 添加WEB用户 [H3C] local-user admin

[H3C-luser-admin] password simple admin [H3C-luser-admin] service-type telnet [H3C-luser-admin] level 3 开启防范功能 firewall defend all 打开所有防范 切换为中文模式 language-mode chinese 设置防火墙的名称 sysname sysname 配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ] 设置标准时间 clock datetime time date 设置所在的时区 clock timezone time-zone-name { add | minus } time 取消时区设置 undo clock timezone 配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password 取消配置的口令 undo super password [ level user-level ] 缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。 切换用户级别 super [ level ] 直接重新启动防火墙 reboot 开启信息中心 info-center enable 关闭信息中心 undo info-center enable

最新华为防火墙l2tp配置资料

配置Client-Initialized方式的L2TP举例 组网需求 如图1所示，某公司的网络环境描述如下： ?公司总部通过USG5300与Internet连接。 ?出差员工需要通过USG5300访问公司总部的资源。 图1配置Client-Initialized方式的L2TP组网图 配置L2TP，实现出差员工能够通过L2TP隧道访问公司总部资源，并与公司总部用户进行通信。 配置思路 1配置客户端。 2根据网络规划为防火墙分配接口，并将接口加入相应的安全区域。 3配置防火墙策略。 4配置LNS。 数据准备 为完成此配置例，需准备如下的数据： ?防火墙各接口的IP地址。 ?本地用户名和密码。 操作步骤 配置客户端。说明：如果客户端的操作系统为Windows系列，请首先进行如下操作。 1在“开始> 运行”中，输入regedit命令，单击“确定”，进入注册表编辑器。 1在界面左侧导航树中，定位至“我的电脑> HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > Rasman > Parameters”。在该路径下右 侧界面中，检查是否存在名称为ProhibitIpSec、数据类型为DWORD的键值。 如果不存在，请单击右键，选择“新建> DWORD值”，并将名称命名为 ProhibitIpSec。如果此键值已经存在，请执行下面的步骤。 1选中该值，单击右键，选择“修改”，编辑DWORD值。在“数值数据”文本框

中填写1，单击“确定”。 1重新启动该PC，使修改生效。 此处以Windows XP Professional操作系统为例，介绍客户端的配置方法。 # 客户端主机上必须装有L2TP客户端软件，并通过拨号方式连接到Internet。 # 配置客户端计算机的主机名为client1。 # 创建L2TP连接。 1打开“我的电脑> 控制面板> 网络连接”，在“网络任务”中选择“创建一个 新的连接”，在弹出的界面中选择“下一步”。 1在“网络连接类型”中选择“连接到我的工作场所的网络”，单击“下一步”。 1在“网络连接”中选择“虚拟专用网络连接”，单击“下一步”。 1在“连接名”下的“公司名”文本框中设置公司名称或VPN服务器名称，本例 设置为LNS，单击“下一步”。 1在“公用网络”中选择“不拨初始连接”，单击“下一步”。 1在“VPN服务器选择”中填写LNS的IP地址，此处设置的IP地址为USG5300 与Internet连接接口的IP地址，本配置例中为202.38.161.1，单击“下一步”。 1将“在我的桌面上添加一个到此连接的快捷方式”选中，单击“完成”。 在弹出的对话框中，输入在LNS上配置的用户名和密码，单击“属性”，如图2所示。图2连接LNS 单击“属性”，设置如图3所示。图3设置LNS属性的选项页签

华为防火墙-USG6000-全图化Web典型配置案例(V4.0)

文档版本V4.0 发布日期2016-01-20

登录Web 配置界面 Example9：应用控制（限制P2P 流量、禁用QQ ） Example8：基于用户的带宽管理 Example7：SSL VPN 隧道接入（网络扩展）Example6：客户端L2TP over IPSec 接入（VPN Client/Windows/Mac OS/Android/iOS ）Example5：点到多点IPSec 隧道（策略模板） Example4：点到点IPSec 隧道 Example3：内外网用户同时通过公网IP 访问FTP 服务器Example2：通过PPPoE 接入互联网 Example1：通过静态IP 接入互联网目录 3411182636 51116131141

组网图 缺省配置 管理接口 GE0/0/0 IP 地址 192.168.0.1/24 用户名/密码 admin/Admin@123 登录Web 配置界面 6～8 10及以上 配置登录PC 自动获取IP 地址 1 在浏览器中输入https://接口IP 地址:port 2 输入用户名/密码 3 Firewall 192.168.0.* GE0/0/0 192.168.0.1/24 网口

局域网内所有PC都部署在10.3.0.0/24网段，均通过DHCP动态获得IP地址。 企业从运营商处获取的固定IP地址为1.1.1.1/24。企业需利用防火墙接入互联网。 项目数据说明 DNS服务器 1.2.2.2/24 向运营商获取。 网关地址 1.1.1.254/24 向运营商获取。

2 3 配置外网接口 参数 4 5 配置内网接口参数 6 1

H3C 防火墙配置详解

H3C SecPath F100-A-G2 防火墙的透明模式和访问控制。 注意：安全域要在安全策略中执行。URL和其他访问控制的策略都需要在安全策略中去执行。 安全策略逐条检索，匹配执行，不匹配执行下一条，直到匹配到最后，还没有的则丢弃。 配置的步骤如下： 一、首先连接防火墙开启WEB命令为： ys security-zone name Trust import interface GigabitEthernet1/0/0 import interface GigabitEthernet1/0/1 interface GigabitEthernet1/0/0 port link-mode route ip address 100.0.0.1 255.255.255.0 acl advanced 3333 rule 0 permit ip zone-pair security source Trust destination local packet-filter 3333 zone-pair security source local destination Trust packet-filter 3333 local-user admin class manage password hash admin service-type telnet terminal http https authorization-attribute user-role level-3 authorization-attribute user-role network-admin ip http enable ip https enable 二、进入WEB ，将接口改为二层模式，在将二层模式的接口划到Trust安全域中。管理口在管理域中。配置安全策略，安全策略配置完如图 详情： 将接口划入到域中，例如将G1/0/2、G1/0/3口变成二层口，并加入到trust域中

华为防火墙配置

防火墙配置： dis current-configuration #显示当前配置 [SRG]stp region-configuration #进入MST视图 [SRG]active region-configuration #激活MST配置 [SRG]interface GigabitEthernet 0/0/0 #进入GE0/0/0端口 [SRG-GigabitEthernet0/0/0]alias GE0/GMT #别名GE0管理 [SRG-GigabitEthernet0/0/0]ip add 192.168.100.1 255.255.255.0 #端口配置IP [SRG-GigabitEthernet0/0/0]dhcp select interface #客户端从接口地址池中通过dhcp自动获取IP地址[SRG-GigabitEthernet0/0/0]dhcp server gateway-list 192.168.100.1 #DHCP服务默认网关 [SRG-GigabitEthernet0/0/0]dhcp server dns-list 8.8.8.8 #DNCP默认DNS [SRG-GigabitEthernet0/0/1]ip add 192.168.200.1 255.255.255.0 #配置端口IP [SRG-GigabitEthernet0/0/2]ip add 211.1.1.1 255.255.255.0 #配置公网IP [SRG]interface NULL0 #建立伪接口，进行包的分发。当宝的目的和路由不匹配时候，则通过NULL0丢弃ps:如果通过默认路由进行分发的话就会形成环路 [SRG]firewall zone untrust #进入防火墙不信任区域 [SRG-zone-trust]add interface GigabitEthernet 0/0/2 #添加不信任区域端口 [SRG]firewall zone trust #进入防火墙信任区域 [SRG-zone-trust]add interface GigabitEthernet 0/0/0 #添加信任区域端口 [SRG]firewall zone dmz #进入防火墙了隔离区域 [SRG-zone-trust]add interface GigabitEthernet 0/0/1 #添加隔离区域端口 [SRG]firewall zone name usr1 #添加区域 [SRG-zone-usr1]set priority 86 #设置优先级 [SRG-zone-usr1]add interface GigabitEthernet 0/0/8 #添加端口 [SRG-zone-usr1]aaa #aaa认证协议 [SRG-aaa]local-user admin password cipher 123456 #设置用户名和加密密码 [SRG-aaa]local-user admin service-type web terminal telnet #允许三种登入方式 [SRG-aaa]local-user admin level 15 #设置等级为15级 [SRG-aaa]authentication-scheme default #验证方式默认及本地设备验证 [SRG-aaa]authorization-scheme default #验证方式默认及本地设备验证 [SRG-aaa]accounting-scheme default #验证方式默认及本地设备验证 [SRG-aaa]domain default #域缺省 [SRG]nqa-jitter tag-version 1 [SRG]banner enable [SRG]user-interface con 0 [SRG-ui-console0]authentication-mode aaa 允许登陆模式为aaa [SRG]user-interface vty 0 4 [SRG-ui-vty0-4]uthentication-mode aaa [SRG-ui-vty0-4]protocol inbound all # 允许所有登陆协议

H3C防火墙F100-C-G2的NAT配置精编版

Host A Host B Host C 1. Firewall 的配置 #指定GigabitEthernet1/0/1端口的电口被激活，使用双绞线连接 system-view [H3C] in terface gigabitethernet 1/0/1 [H3C-GigabitEthernet1/0/1] combo en able copper [H3C-GigabitEthernet1/0/1]quit #按照组网图配置各接口的IP地址。 system-view [Sys name] in terface gigabitethernet1/0/1 [Sysname-GigabitEthernet1/0/1] port link-mode route [Sys name-GigabitEthernet1/0/1] ip address 10.110.10.10 255.255.255.0 [Sys name-GigabitEthernet1/0/1] quit [Sys name] in terface gigabitether net1/0/2 [Sys name-GigabitEther net1/0/2] port lin k-mode route [Sys name-GigabitEthernet1/0/2] ip address 202.38.1.1 255.255.255.0 [Sys name-GigabitEthernet1/0/2] quit

# 创建安全域，并将不同的接口加入不同的安全域。[Sysname]security-zone name Trust [Sysname-security-zone-Trust]import interface gigabitethernet1/0/1 [Sysname-security-zone-Trust]quit [Sysname]security-zone name Untrust [Sysname-security-zone-Untrust]import interface gigabitethernet1/0/2 [Sysname-security-zone-Untrust]quit # 配置访问控制列表2001，仅允许内部网络中10.110.10.0/24 网段的用户可以访问Internet。 [Sysname] acl number 2001 [Sysname-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255 [Sysname-acl-basic-2001] rule deny [Sysname-acl-basic-2001] quit # 配置域间策略，应用ACL 2001 进行报文过滤。[Sysname] zone-pair security source Trust destination Untrust [Sysname-zone-pair-security-Trust-Untrust]packet-filter 2001 [Sysname-zone-pair-security-Trust-Untrust]quit # 配置IP 地址池1 ，包括两个公网地址202.38.1.2 和202.38.1.3。[Sysname] nat address-group 1 [Sysname-address-group-1] address 202.38.1.2 202.38.1.3 [Sysname-address-group-1] quit # 在出接口GigabitEthernet1/0/2 上配置ACL 2001 与IP 地址池1 相关联。