在部分情况下,分支机构使用拨号上网,而且获取的还是私网地址(在运营商还会执行一次NAT)。只要总部有公网IP,分支机构还是可以使用IPsec连接到总部的,但只能由分支路由器发起IPsec连接。 在这种情况下,分支机构没有公网IP,而且还要经过运营商的NAT设备。在配置IPsec时,分支机构路由器的身份验证要使用名称的方式,因为经过NAT设备,IP会改变,所以无法使用IP作为IPsec设备的身份标识。如果使用名称作为身份标识,则IKE阶段1的模式就要使用野蛮模式(Aggressive mode)。 分支机构在NAT设…

2021年1月8日 0条评论 108点热度 0人点赞 阅读全文

H3C路由器IPsec配置示例。本例两端都有公网IP,使用常规配置,不使用模板。 拓扑 拓扑 在总部路由器Hub和分支路由器Spoke1之间建立IPsec连接,路由已配置完成。 Hub和Spoke1都有公网IP 感兴趣流量为 10.1.2.0/24 – 172.16.1.0/24 10.1.3.0/24 – 172.16.1.0/24 IPsec连接成功后,对于感兴趣流量来说,拓扑变成下图所示。可以把IPsec设备和中间的网络整体看成一台路由器。 IPsec连接成功后的拓扑 配置 Hub路由器配置 [Hub]dis…

2021年1月7日 0条评论 90点热度 0人点赞 阅读全文

H3C防火墙SSLVPN配置示例。 使用防火墙作为SSLVPN服务器,在PC安装iNode作为客户端。防火墙连接公网,有公网IP。如果防火墙部署在内网,可在互联网边界设备做映射。 拓扑图 拓扑图 防火墙配置 配置示例 [H3C]dis current-configuration # version 7.1.064, ESS 1168L02 # interface GigabitEthernet1/0 port link-mode route ip address 10.55.55.51 255.255.255.0 …

2021年1月5日 0条评论 144点热度 0人点赞 阅读全文

CAS虚拟机迁移

2018年5月4日 0条评论 96点热度 0人点赞 阅读全文

security-zone intra-zone default permit此命令的作用是,让同一个防火墙区域的不同接口之间能够互访。默认没有配置这条命令。 如果没有配置这条命令,即使是同一个防火墙区域的接口之间也不能互访,需要配置域间策略放行相关的流量。 但几个接口是在同一个防火墙区域的,按理应该配置域内策略。实际上,在配置域间策略时,源区域和目的区域是相同的就可以看成是域内策略,比如配置一条untrust到untrust的对象策略。 当在同一个区域之间配置了域间对象策略时,这条命令将失效。也就是说,除了已经存…

2018年5月4日 0条评论 435点热度 3人点赞 阅读全文