總部基礎配置及準備工作:
三線固定ip出口,基礎配置略;
策略繫結的出口配置中不要啟用nat,做源nat配置,同時讓到分部內網的資料流排除在nat之外,因為nat與ipsec v.p.n是衝突的;
配置trust域與untrust域的域間包過濾規則:
policy interzone trust untrust inbound
policy 23
action permit
policy source 172.17.1.0 0.0.0.255
policy destination 192.168.113.0 0.0.0.255
policy destination 172.16.9.0 0.0.0.255
配置untrust域與local域的域間包過濾規則:
policy interzone local untrust inbound
policy 4
action permit
policy service service-set esp
policy 5
action permit
policy service service-set udp
一、總部閘道器的設定(usg5530):
1.定義被保護的資料流。
acl number 3004
rule 5 permit ip source 192.168.113.0 0.0.0.255 destination 172.17.1.0 0.0.0.255
rule 10 permit ip source 172.16.9.0 0.0.0.255 destination 172.17.1.0 0.0.0.255
2.配置序號為10的ike安全提議
ike proposal 10
encryption-algorithm aes-128
dh group2
3.配置名稱為hywl的ike peer
ike peer hywl
pre-shared-key 999999
ike-proposal 10
remote-id-type none
4.配置名稱為hywl的ipsec安全提議。
ipsec proposal hywl
esp authentication-algorithm sha1
esp encryption-algorithm aes-128
5.配置名稱為hywl序號為1的ipsec安全策略模板。
ipsec policy-template hywl 1
security acl 3004
ike-peer hywl
proposal hywl
6.在ipsec安全策略hyjt中引用安全策略模板hywl,安全策略模板的名稱不能與安全策略的名稱相同。
ipsec policy hyjt 10 isakmp template hywl
7.在介面gigabitethernet 0/0/1上應用安全策略hyjt。
inte***ce gigabitethernet0/0/1
ipsec policy hyjt
二、分部閘道器的設定(usg6100):pppoe撥號上網,基礎配置略,注意排除到總部資料的nat,以及域間包過濾規則
1.定義被保護的資料流。
acl number 3000
rule 5 permit ip source 172.17.1.0 0.0.0.255 destination 172.16.9.0 0.0.0.255
rule 10 permit ip source 172.17.1.0 0.0.0.255 destination 192.168.113.0 0.0.0.255
2.配置序號為10的ike安全提議
ike proposal 10
encryption-algorithm aes-128
dh group2
authentication-algorithm sha1
authentication-method pre-share
integrity-algorithm hmac-sha1-96
prf hmac-sha1
3.配置名稱為lvyuan的ike peer
ike peer lvyuan
pre-shared-key 999999
ike-proposal 10
remote-address *.*.*.* //總部ip
4.配置名稱為lvyuan的ipsec安全提議。
ipsec proposal lvyuan
esp authentication-algorithm sha1
esp encryption-algorithm aes-128
5.配置名稱為lvyuan序號為10的ipsec安全策略。
ipsec policy lvyuan 10 isakmp
security acl 3000
ike-peer lvyuan
proposal lvyuan
sa trigger-mode auto
6.在介面dialer1上應用安全策略lvyuan。
inte***ce dialer1
ipsec policy lvyuan
三、出現的問題及解決
分部能pppoe撥號成功,但不能上網:預設路由指向有誤,預設指向虛擬埠dialer0,但實際的撥號埠為dialer1,更換即可。
ip router 0.0.0.0 0.0.0.0 dialer1
***第一階段協商不成功:兩端的ike安全提議配置中加密演算法或認證演算法不一至、不匹配。
***連線建立之後,總部ping不通分部閘道器的內網口172.17.1.254:原因是撥號虛擬埠上沒有開啟ping許可權。
inte***ce dialer 1 //進入撥號虛擬介面
service-manage ping permit //開啟ping
四、問題診斷分析方法
1.流量統計分析過程:首先開啟從源端到目的端的長ping
acl 3999 //建立診斷acl
rule 5 permit ip source源ip0 destination目的ip0
rule 10 permit ip source目的ip0 destination源ip0
diagnose //進入診斷模式
firewall statistics acl 3999 enable //關聯acl
display firewall statistics acl //顯示流量狀態
undo firewell statistics acl 3999 //要記得關閉流量統計,以免消耗資源。
2.acl命中分析:首先開啟從源端到目的端的長ping
只有ipsec隧道未建立時,發起協商的報文會命中acl,導致命中次數增長,而接受協商一端的acl不會增長。當ipsec隧道建立成功後,匹配acl的資料流不會導致acl命中次數增長。
display acl 3010 //檢視acl
******* //省略
(14 times matched) //顯示出來的命中次數
acl的匹配次數增長了14次,說明本端的acl配置與需保護的資料流一致,即本端acl配置無誤。
表的內連與外連 and 表的索引特性
索引特性 內連線 外連線 左外連線 右外連線建立索引 在建立表的時候,直接在欄位名後指定 primary keycreate table table name id int primary key,name varchar 30 在建立表的最後,指定某列或某幾列為主鍵索引create table t...
java與SQL Server2000的連線
6.下面主要是sql server的問題了。不好上傳,在word檔案裡面 7.下面就是程式設計的問題了 public class dbconnection catch classnotfoundexception e catch sqlexception e return conn public s...
JDBC與SQL SERVER各個版本的連線方法
轉至 blog.csdn.net ying5420 article details 4488246 1.sql server 2000 driver com.microsoft.jdbc.sqlserver.sqlserverdriver url jdbc microsoft sqlserver l...