文档版本V4.0发布日期2016-01-20登录Web配置界面Example9:应用控制(限制P2P流量、禁用QQ)Example8:基于用户的带宽管理Example7:SSLVPN隧道接入(网络扩展)Example6:客户端L2TPoverIPSec接入(VPNClient/Windows/MacOS/Android/iOS)Example5:点到多点IPSec隧道(策略模板)Example4:点到点IPSec隧道Example3:内外网用户同时通过公网IP访问FTP服务器Example2:通过PPPoE接入互联网Example1:通过静态IP接入互联网目录341118263651116131141组网图缺省配置管理接口GE0/0/0IP地址192.168.0.1/24用户名/密码admin/Admin@123登录Web配置界面6~810及以上配置登录PC自动获取IP地址1在浏览器中输入https://接口IP地址:port2输入用户名/密码3Firewall192.168.0.*GE0/0/0192.168.0.1/24网口Example1:通过静态IP接入互联网组网图局域网内所有PC都部署在10.3.0.0/24网段,均通过DHCP动态获得IP地址。企业从运营商处获取的固定IP地址为1.1.1.1/24。企业需利用防火墙接入互联网。项目数据说明DNS服务器1.2.2.2/24向运营商获取。网关地址1.1.1.254/24向运营商获取。Example1:通过静态IP接入互联网Step1配置接口23配置外网接口参数45配置内网接口参数61Example1:通过静态IP接入互联网Step2配置DHCP服务23配置内网接口GE1/0/2的DHCP服务,使其为局域网内的PC分配IP地址41Example1:通过静态IP接入互联网Step3配置安全策略23配置允许内网IP地址访问外网41Example1:通过静态IP接入互联网Step4新建源NAT241新建源NAT,实现内网用户正常访问Internet53Example1:通过静态IP接入互联网Step5结果验证1、检查接口GigabitEthernet1/0/1(上行链路)的连通性。查看接口状态是否为Up。1Example1:通过静态IP接入互联网Step5结果验证2、在内网PC上执行命令ipconfig/all,PC正确分配到IP地址和DNS地址。3、局域网内PC能通过域名访问Internet。Example2:通过PPPoE接入互联网组网图项目数据说明GigabitEthernet1/0/1安全区域:Untrust通过拨号向PPPoEServer(运营商设备)拨号获得IP地址、DNS地址。•拨号用户名:user•拨号密码:Password@GigabitEthernet1/0/2IP地址:10.3.0.1/24安全区域:Trust通过DHCP,给局域网内PC动态分配IP地址。DNS服务器1.2.2.2/24向运营商获取。局域网内所有PC都部署在10.3.0.0/24网段,均通过DHCP动态获得IP地址。设备作为Client,通过PPPoE协议向Server(运营商设备)拨号后获得IP地址,实现接入Internet。Example2:通过PPPoE接入互联网Step1配置接口23配置外网接口参数45配置内网接口参数61Example2:通过PPPoE接入互联网Step2配置DHCP服务23配置内网接口GE1/0/2的DHCP服务,使其为局域网内的PC分配IP地址41Example2:通过PPPoE接入互联网Step3配置安全策略23配置允许内网IP地址访问外网41Example2:通过PPPoE接入互联网Step4新建源NAT231新建源NAT,实现内网用户正常访问Internet54Example2:通过PPPoE接入互联网Step5结果验证1、检查接口GigabitEthernet1/0/1(上行链路)的连通性。查看接口状态是否为Up,连接类型是否为PPPoE1Example2:通过PPPoE接入互联网Step5结果验证2、在内网PC上执行命令ipconfig/all,PC正确分配到IP地址和DNS地址。3、局域网内PC能通过域名访问Internet。Example3:内外网用户同时通过公网IP访问FTP服务器组网图项目数据说明GigabitEthernet1/0/2安全区域:Trust-GigabitEthernet1/0/1安全区域:Untrust-FTP服务器对外公布的公网地址:1.1.1.2公网端口:2121-DNS服务器1.2.2.2/24向运营商获取。网关地址1.1.1.254/24向运营商获取。企业内网用户和FTP服务器均在同一网段10.3.0.0/24,且均放在Trust安全区域。企业采用上行接入Internet(固定IP方式),IP地址向ISP申请获得。内网用户和外网用户均通过公网地址1.1.1.2和端口2121访问FTP服务器,内网用户通过公网地址1.1.1.1访问Internet。23配置外网接口参数45配置内网接口参数6Example3:内外网用户同时通过公网IP访问FTP服务器Step1配置接口123配置允许内网用户访问Internet的安全策略4Example3:内外网用户同时通过公网IP访问FTP服务器Step2配置安全策略1配置允许Internet用户访问内网FTP服务器的安全策略5Example3:内外网用户同时通过公网IP访问FTP服务器Step3创建NAT地址池2413配置源NAT,实现内网用户使用公网地址访问Internet5Example3:内外网用户同时通过公网IP访问FTP服务器Step4配置源NAT24配置源NAT,实现内网用户使用公网地址访问FTP服务器613Example3:内外网用户同时通过公网IP访问FTP服务器Step5配置服务器映射23配置FTP服务器的私网地址映射为公网地址1.1.1.241Example3:内外网用户同时通过公网IP访问FTP服务器Step6配置NATALG功能12431.内网PC能访问Internet。2.Internet上的用户可以通过公网地址1.1.1.2和端口2121访问FTP服务器。3.内网用户可以通过公网地址1.1.1.2和端口2121访问FTP服务器。Example3:内外网用户同时通过公网IP访问FTP服务器Step7结果验证Example4:点到点IPSec隧道组网图Firewall_A和Firewall_B分别是网络A和网络B的出口网关,Firewall_A和Firewall_B采用固定IP地址接入Internet。在Firewall_A和Firewall_B之间建立IKE协商方式的点到点IPSec隧道,使两个网络中的设备都可以主动发起连接。项目Firewall_AFirewall_B场景点到点点到点对端地址1.1.5.11.1.3.1认证方式预共享密钥预共享密钥预共享密钥Admin@123Admin@123本端IDIP地址IP地址对端IDIP地址IP地址Example4:点到点IPSec隧道Step1配置Firewall_A的接口23配置外网接口参数。45配置内网接口参数。61Example4:点到点IPSec隧道Step2配置Firewall_A的安全策略允许网络A中的私网IP地址访问网络B中的私网IP地址。34允许网络B中的私网IP地址访问网络A中的私网IP地址。5允许Firewall_B的公网IP地址访问Firewall_A自身。612允许Firewall_A自身访问Firewall_B的公网IP地址。7Example4:点到点IPSec隧道Step3配置Firewall_A的路由配置到网络B中私网IP地址的路由。此处假设Firewall_A到Internet的下一跳IP地址为1.1.3.2。4123Example4:点到点IPSec隧道Step4配置Firewall_A的IPSec23先选择场景,然后完成基本配置。45增加待加密的数据流。67配置IPSec安全提议。8本例中安全提议参数全部使用缺省值,如果您对参数有明确要求,请修改,并注意与Firewall_B上的配置保持一致。1Example4:点到点IPSec隧道Step5配置Firewall_B的接口23配置外网接口参数。45配置内网接口参数。61Example4:点到点IPSec隧道Step6配置Firewall_B的安全策略允许网络B中的私网IP地址访问网络A中的私网IP地址。34允许网络A中的私网IP地址访问网络B中的私网IP地址。5允许Firewall_A的公网IP地址访问Firewall_B自身。612允许Firewall_B自身访问Firewall_A的公网IP地址。7Example4:点到点IPSec隧道Step7配置Firewall_B的路由配置到网络A中私网IP地址的路由。此处假设Firewall_B到Internet的下一跳IP地址为1.1.5.2。4123Example4:点到点IPSec隧道Step8配置Firewall_B的IPSec23先选择场景,然后完成基本配置。45增加待加密的数据流。67配置IPSec安全提议。8本例中安全提议参数全部使用缺省值,如果您对参数有明确要求,请修改,并注意与Firewall_A上的配置保持一致。1Example4:点到点IPSec隧道Step9结果验证配置成功后,查看IPSec策略列表和IPSec监控信息,能够看到建立的IPSec隧道。网络A中的主机访问网络B中的主机或服务器,能够成功访问;同样网络B中的主机也能够成功访问网络A中的主机或服务器。Firewall_A的IPSec策略列表和IPSec隧道监控信息Firewall_B的IPSec策略列表和IPSec隧道监控信息配置完成后如果IPSec隧道没有成功建立,请单击“诊断”查看错误原因和解决办法。Example5:点到多点IPSec隧道(策略模板)组网图Firewall_A是总部的出口网关,Firewall_B和Firewall_C分别是分支机构1和分支机构2的出口网关,Firewall_A采用固定IP地址接入Internet,Firewall_B和Firewall_C采用动态获取到的IP地址接入Internet。在Firewall_A和Firewall_B之间、Firewall_A和Firewall_C之间分别建立IPSec隧道,使分支机构1和分支机构2的设备能主动发起到总部的连接(总部不能主动发起到分支机构的连接)。项目Firewall_A(总部)Firewall_B(分支1)Firewall_C(分支2)场景点到多点点到点点到点对端地址不指定对端网关地址1.1.3.11.1.3.1认证方式预共享密钥预共享密钥预共享密钥预共享密钥Admin@123Admin@123Admin@123本端IDIP地址IP地址IP地址对端ID接受任意对端IDIP地址IP地址Example5:点到多点IPSec隧道(策略模板)Step1配置Firewall_A(总部)的接口23配置外网接口参数。45配置内网接口参数。61Example5:点到多点IPSec隧道(策略模板)Step2配置Firewall_A(总部)的安全策略允许总部的私网IP地址访问分支1和分支2的私网IP地址。34允许分支1和分支2的私网IP地址访问总部的私网IP地址。5允许分支1和分支2的公网IP地址访问Firewall_A自身。由于分支的公网IP地址不固定,因此不配置源地址。612允许Firewall_A自身访问分支1和分支2的公网IP地址。由于分支的公网IP地址不固定,因此不配置目的地址。7Example5:点到多点IPSec隧道(策略模板)Step3配置Firewall_A(总部)的路由4512配置到分支1私网IP地址的路由。此处假设Firewall_A到Internet的下一跳IP地址为1.1.3.2。配置到分支2私网I