zljszn的博客

FW1-object-service-set-ike]service protocol udp destination-port 500 //添加IKE的服务，因为IKE的服务使用的事udp的500端口。rule name trust-untrust（双向访问，所以需要允许trust访问untrust区域，也需要允许untrust访问trust区域）4. 防火墙桥接物理网卡，开启网管界面，具体桥接的方式就不在介绍了，之前的文章有具体讲解ENSP怎么桥接物理网卡。ipsec的配置（FW2也一样）

实体使用自己的私钥解密，并验证消息认证码的参考值和秘密值。证书的公钥进行加密，而且证书注册请求消息必须包含消息认证码的参考值和秘密值（与。使用自己的私钥解密后，并验证消息认证码的参考值和秘密值。实体的额外证书中的公钥进行加密和自己的私钥进行数字签名，将证书发送给。实体的额外证书中的公钥解密数字签名并验证数字指纹。实体的公钥进行加密和自己的私钥进行数字签名，将证书发送给。实体的公钥解密数字签名并验证数字指纹。实体间互相通信时，需各自获取并安装对端实体的本地证书。证书的公钥进行加密和自己的私钥进行数字签名。

申请本地证书时，可以通过设备生成自签名证书，可以实现简单证书颁发功能。序列号：颁发者分配给证书的一个正整数，同一颁发者颁发的证书序列号各不相同，可用与颁发者名称一起作为证书唯一标识。自签名证书：又称为根证书，是自己颁发给自己的证书，即证书中的颁发者和主体名相同。主体名：证书拥有者的名称，如果与颁发者相同则说明该证书是一个自签名证书。颁发者：颁发该证书的设备名称，必须与颁发者证书中的主体名一致。的证书（含公钥），用以验证它所颁发的本地证书。证书给自己颁发的证书，证书中的颁发者名称是。证书就是自签名证书；

但这种路由协议来进行切换保护的方式存在一定的局限性，当不能使用动态路由协议时，仍然会导致链路中断的问题，因此推出了另一种保护机制。防火墙是状态防火墙，如果备防火墙上没有原来主防火墙上的会话表等连接状态数据，则切换到备防火墙的流量将无法通过防火墙，造成现有的连接中断，此时用户必须重新发起连接。的链路保护机制比依赖动态路由协议的广播报文来进行链路切换的时间更短，同时弥补了不能使用动态路由情况下的链路保护。）路由器：在同一个备份组中的多个路由器中，除主路由器外，其他路由器均为备份路由器，处于备份状态。

这里需要注意的是不但是内网的接口需要运行VRRP，外网的接口也需要运行VRRP，而且两端的接口要加入同一个VRRP的组才能实现虚拟冗余技术，内网的VRRP组配置的虚拟IP充当内网主机的网关实现冗余备份，后面添加了active的命令的意思是说哪台路由器在VRRP的组当中充当master，因为master在VRRP组当中是充当流量转发的任务的，而backup是充当master的备份，这里就不详细讲了，可以参观datacom文章中VRRP的章节。

先来简单的阐述一下什么是源NAT地址的方式，第一种方式是不带端口号进行转换，就是需要配置一个公网地址池，私网地址转换的时候找公网地址池当中的其中一个没有在使用的公网地址转换即可，其实着也是一对一的关系，如果公网地址池当中的地址被转换完后其他的私网主机想出来上网就无法上网课，第二种方式就是带端口转换，就是也需要一个公网地址池，但是这个地址池里面只需要一个公网地址即可，内网的主机出来转换的时候就转换到这个公网地址的不同端口即可，端口的范围是0~65535，这样才能做到真正节约公网地址的目的。

1. 我们只需要在防火墙上新建两个vlan相同于trust和untrust区域，专门服务于这两个区域，然后在vlan的三层接口配置IP地址保证防火墙跟这两个区域可以进行通信，然后再把vlan的三层接口划分进防火墙的区域里面即可，注意是把g1/0/1划分为trunk口，允许vlan20、30通过。1.1 IP地址的配置忽略，注意防火墙的1/0/0接口需要配置IP地址，但是1/0/1是要划分子接口的所以不需要配置地址，是在子接口里面去配置IP地址。source-zone trust //设置源区域。

USG6000V1-policy-security]default action permit //默认全部流量都放行。destination-address 100.1.1.0 mask 255.255.255.0 //设置目标地址。source-address 10.1.1.0 mask 255.255.255.0 //设置源地址。destination-zone untrust //设置目标区域。source-zone trust //设置源区域。