18、华为 华三中小型企业网络 VPN部署 远程办公接入
说明:在VPN上面,我们希望与分部建立VPN,保证与分部的财务部正常通信,另外还提供L2TP Over ISPEC功能,方便远程接入访问内部服务器等。当然我们也可以做详细的控制,根据需求而定。
(1)定义用户名与密码 [USG-GW]aaa[USG-GW-aaa]local-user ccieh3c password cipher ccieh3c[USG-GW-aaa]local-user ccieh3c service-type ppp说明:定义了一个用户名与密码。
(2)定义地址池 [USG-GW-aaa]ip pool 1 192.168.24.2 192.168.24.254说明:防火墙的地址池在AAA下定义的,定义了一个网段为192.168.24.0
(3)定义虚拟模板 [USG-GW]interface Virtual-Template 1[USG-GW-Virtual-Template1]ip address 192.168.24.1 24[USG-GW-Virtual-Template1]ppp authentication-mode chap[USG-GW-Virtual-Template1]remote address pool 1说明:这里定义了 一个地址,然后定义认证方式与调用地址池。
(4) 开启L2TP功能 [USG-GW]l2tp enable[USG-GW]l2tp-group 1[USG-GW-l2tp1]allow l2tp virtual-template 1[USG-GW-l2tp1]undo tunnel authentication说明:该功能开启了L2TP功能,并且调用了虚拟模板,不过注意的是一定要关闭隧道认证,因为那是给硬件客户端用的。
(5)IKE定义 [USG-GW]ike proposal 10[USG-GW-ike-proposal-10]encryption-algorithm 3des-cbc[USG-GW-ike-proposal-10]dh group2
[USG-GW]ike peer l2tp[USG-GW-ike-peer-l2tp]pre-shared-key ccieh3c.taobao.com[USG-GW-ike-peer-l2tp]ike-proposal 10[USG-GW-ike-peer-l2tp]undo version 2说明:定义了一个IKE的策略,不使用默认的,这样无论是移动客户端还是PC都可以拨入,然后定义了一个对等体,定义了 预共享密钥,关联Proposal,注意关闭V2,L2TP要用V1搞定。
(6)IPSEC定义 [USG-GW]ipsec proposal l2tp[USG-GW-ipsec-proposal-l2tp]encapsulation-mode transport[USG-GW-ipsec-proposal-l2tp]esp authentication-algorithm sha1[USG-GW-ipsec-proposal-l2tp]esp encryption-algorithm 3de说明:定义了一个IPSEC策略,并且定义一个模式必须为transport,然后策略建议是3DES与SHA1,方便主流的操作系统协商。
(7)ACL定义【必须匹配】 [USG-GW] acl 3003[USG-GW-acl-adv-3003]rule permit udp source-port eq 1701说明:IPSEC下面必须用ACL配置。匹配的是L2TP的端口号
(8)定义动态策略 ISPEC模板 [USG-GW]ipsec policy-template l2tp 1000[USG-GW-ipsec-policy-template-l2tp-1000]security acl 3003[USG-GW-ipsec-policy-template-l2tp-1000]ike-peer l2tp[USG-GW-ipsec-policy-template-l2tp-1000]proposal l2tp说明:定义一个动态策略IPSEC模板,因为L2TP的拨入是提供给任何人拨入的,所以不知道具体地址,必须用动态来配置。
(9)定义静态策略模板关联动态,调用在接口 [USG-GW]ipsec policy vpn_1 1000 isakmp template l2tp[USG-GW]ipsec policy vpn_2 1000 isakmp template l2tp说明:必须关联2个ipsec policy,。
[USG-GW]int g0/0/1[USG-GW-GigabitEthernet0/0/1]ipsec policy vpn_1
[USG-GW-GigabitEthernet0/0/1]int g0/0/2[USG-GW-GigabitEthernet0/0/2]ipsec policy vpn_2说明:在接口调用,因为一个接口只能调用一个IPSEC 策略,所以这里定义了2个。
(10)创建Zone,关联虚拟接口 [USG-GW]firewall zone name l2tp[USG-GW-zone-l2tp]set priority 30[USG-GW-zone-l2tp]add interface Virtual-Template 1
(11)放行内网到VPN,VPN到内网的流量 [USG-GW]firewall packet-filter default permit interzone trust l2tp说明:这里建议单独用一个Zone关联虚拟VPN接口,然后呢,双向放行该Zone的策略,这样的话,不会影响其他流量。
(12)VPN需要放行的流量 [USG-GW]policy interzone isp_dx local inbound[USG-GW-policy-interzone-local-isp_dx-inbound]policy 0[USG-GW-policy-interzone-local-isp_dx-inbound-0]policy service service-set udp esp l2tp[USG-GW-policy-interzone-local-isp_dx-inbound-0]policy destination 202.100.1.2 0[USG-GW-policy-interzone-local-isp_dx-inbound-0]action permit
[USG-GW]policy interzone isp_lt local inbound[USG-GW-policy-interzone-local-isp_lt-inbound]policy 0[USG-GW-policy-interzone-local-isp_lt-inbound-0]policy service service-set udp esp l2tp[USG-GW-policy-interzone-local-isp_lt-inbound-0]policy destination 61.128.1.2 0[USG-GW-policy-interzone-local-isp_lt-inbound-0]action permit说明:放行isp_dx 、isp_lt到Local的流量,包括ESP UDP L2TP流量,因为L2TP与IPSEC都需要经过这些流量,默认防火墙是不处理的,所以需要放行,目的地址为自身的接口地址。当然UDP可以明确指定为500。
测试拨号【PC客户端与移动客户端】
已经连接上去了。
2、查看获取的IP地址
3、访问内部服务器测试
能访问到服务器。
可以看到可以访问对应的服务器。
4、访问外网
5、外网访问不了的解决办法
可以看到路由表,所有的流量都是发送给192.168.24.2,VPN的流量都走防火墙了,这样造成VPN的流量与访问公网的流量都走公网了。
解决办法1、只让VPN的流量走VPN,其余走公网
去掉这个沟。
Ping 114.114.114.114没有任何问题。但是访问内网。
解决办法2、直接通过防火墙上网
部署NAT策略断开VPN连接,添加默认网关[USG-GW]policy interzone l2tp isp_dx outbound[USG-GW-policy-interzone-l2tp-isp_dx-outbound]policy 0[USG-GW-policy-interzone-l2tp-isp_dx-outbound-0]action permit
[USG-GW]nat-policy interzone l2tp isp_dx outbound[USG-GW-nat-policy-interzone-l2tp-isp_dx-outbound]policy 0[USG-GW-nat-policy-interzone-l2tp-isp_dx-outbound-0]policy source 192.168.24.0 mask 24[USG-GW-nat-policy-interzone-l2tp-isp_dx-outbound-0]action source-nat[USG-GW-nat-policy-interzone-l2tp-isp_dx-outbound-0]easy-ip g0/0/1说明:这里放心哪个了L2TP访问外网的流量,并且做了一个源NAT转换。
可以看到都可以访问了。
联通端的配置
[USG-GW]policy interzone l2tp isp_lt outbound[USG-GW-policy-interzone-l2tp-isp_lt-outbound]policy 0[USG-GW-policy-interzone-l2tp-isp_lt-outbound-0]action permit
[USG-GW]nat-policy interzone l2tp isp_lt outbound[USG-GW-nat-policy-interzone-l2tp-isp_lt-outbound]policy 0[USG-GW-nat-policy-interzone-l2tp-isp_lt-outbound-0]policy source 192.168.24.0 mask 24[USG-GW-nat-policy-interzone-l2tp-isp_lt-outbound-0]action source-nat[USG-GW-nat-policy-interzone-l2tp-isp_lt-outbound-0]easy-ip g0/0/2
说明:最终联通也可以访问的,这里不测试了。
移动端测试【Android配置】
由于手头只有Android版本的,基于4.2的,iPhone系统设置也差不多设置———-更多———-VPN——-创建一个L2TPover ipsec的———–密钥填写由于不好截图,所以不能上图了,测试是没任何问题的。
命令查看【虚拟接口】
如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路Blog,版权归网络之路Blog所有,原创不易,侵权必究。
上一篇回顾
17、中小型企业网搭建 双ISP、VRRP切换对于用户的体验
下一篇学习
19、华为 华三中小型企业网络部署IPSEC VPN站点互通
部落冲突:更新预告丨大量游戏性优化和调整
亲爱的首领们,在之前公布的更新预告中,我们揭秘了2021年春季更新的重头戏——14级大本营。 接下来几天,我们还会公布更多更新惊喜,敬请期待!今天我们要和大家分享本次更新中的游戏性优化和调整,还有中低级大本营各项目升级时间和费用减少的详情。 握紧手中的建筑工人锤,准备接收超多游戏调整吧!
新手玩家挑战
游戏中将推出新手玩家挑战,让2-6级大本营玩家通过类似于月度挑战的方式完成各种挑战,从而加快游戏进展。 每次升级大本营都可以解锁新的免费挑战,且每完成一个挑战可刷新出更多挑战。
新手玩家挑战奖励
玩家可通过新手玩家挑战赢取丰厚奖励,最多可赢取5000积分来解锁包括金币符石和建筑之书在内的奖励。达到7级大本营后,系统将自动为玩家领取所有尚未领取的奖励。
招募工具
我们对招募工具进行了许多调整,以优化部落在使用“寻找新成员”功能时的游戏体验。
部落邀请
现在玩家可选择仅“接收邀请”而不被推荐给部落,点击个人简介界面的“部落邀请”按钮即可从中选择一项设置: 接收邀请和被推荐 / 接收邀请 / 不接收邀请选择“接收邀请和被推荐”的玩家每周都必须确认他们是否仍然希望继续被推荐给部落。部落发送的加入邀请会在2周后过期,这是为了避免出现玩家因为点击很久之前收到的邀请而意外加入一个部落的情况。“寻找新成员”界面新增“推荐玩家”,点击其信息图标即可查看该功能的具体机制以及部落可对推荐结果设置的筛选条件。部落现在可以设置聊天语言。
时间/费用减少
为了帮助玩家更快升级村庄,本次更新,我们将减少各种项目的升级时间和费用!
训练时间减少
戈仑冰人:360秒 → 300秒女巫:360秒 → 240秒超级女巫:1200秒 → 800秒
城墙升级费用减少
12级城墙3,000,000金币/圣水 → 2,000,000金币/圣水13级城墙5,000,000金币/圣水 → 4,000,000金币/圣水
中低级大本营各项目升级时间/费用减少
为帮助玩家更快升级,我们调整了2-11级大本营多个项目的升级时间和费用,其中7-10级大本营中升级费用和时间的“折扣”力度最大!• 2级大本营各项目的升级时间减少60%;• 游戏早期实验室内兵种升级的时间/费用大幅减少;• 1-50级野蛮人之王和弓箭女皇的升级费用大幅减少;• 13级大本营升级费用基本不变;• 以下调整不适用于城墙。大本营等级金币费用圣水费用黑油费用建造/升级时间实验室研究时间 4-1%-7%/-3%-8%5-3%-26%/-6%-43%6-8%-8%/-11%-44%7-17%-24%-54%-14%-38%8-24%-27%-45%-24%-31%9-31%-26%-33%-26%-24%10-18%-24%-32%-20%-16%11-7%-11%-16%-12%-8%12-1%-2%-1%-1%-3%
其他低等级大本营的升级费用/时间减少
1-8级大本营中,大部分等级的搜索对手和“下一个”对手的费用减少1-2级野蛮人的训练费用:25/40圣水 → 15/30圣水1-2级弓箭手的训练费用:50/80圣水→ 30/60圣水1-4级巨人的训练费用:250/750/1250/1750圣水→ 150/300/750/1500圣水1-2级的野蛮人/弓箭手的升级费用减少1-4级的圣水收集器/金矿的容量加倍,3小时不再能填满这些采集器。
全新成就
我们添加了几项全新成就,供高等级玩家继续挑战自己!
迎难而上 - 在联机模式中摧毁配备武器的大本营
等级目标数量经验值奖励宝石奖励 110100202100800100320005000250
攻城增援 - 增援攻城机器
等级目标数量经验值奖励宝石奖励 150202021000200100350002000500• 以后增援的攻城机器数量将计入这项全新成就的进度,不再计入“患难之交”的进度。
超能出击 - 启用超级部队
等级目标数量经验值奖励宝石奖励 1201001021001003032501000100
游戏相关
加成效果
英雄或建筑开始升级后不再取消其原来已启用的加成效果,加成效果继续在后台运行。
练习关卡
练习模式中玩家仅能进攻同等级大本营对应的关卡,不再能进攻更高一级大本营对应的关卡。
实验室升级
升级实验室期间,之前在实验室内正在进行的升级会正常继续,且实验室的升级和实验室内的项目升级都可以使用宝石或魔法书完成。但实验室正在升级时,无法开始新的兵种或法术升级。
障碍物
将新的村庄初始阵型中的一些障碍物移到更靠近地图边缘的位置,以便为村庄创造更多相连的空白空间。
单人模式
为打造更好的新手玩家体验,我们增加了教程结束后的19个单人模式地图(即从“哥布林前哨基地”到“飞科华”)提供的战利品。“飞科华”后的单人模式地图提供的战利品和之前保持一致。大本营等级金币圣水 11500150022500250033000300044000400055000500068000400078000800088000120009100001400010200006000111400014000122000010000131600016000141700017000151600020000162400014000172000020000181500030000192400024000
游戏界面优化
成就排列
调整了游戏一直以来的成就排列顺序,现在成就将以更合理的顺序排列。
训练界面
现在在训练界面点击“立即完成训练”按钮会出现确认弹窗。
毒药法术
更换毒药法术的“每秒最大伤害值”图标以区别于其他每秒伤害值图标。
实验室
实验室在升级时可点击查看正在研究/升级的界面。
战斗界面
所有兵种/法术已部署完毕后,战斗界面军队栏位中会继续显示等级图标的火焰效果。
升级按钮
点击家乡/建筑大师大本营的升级按钮后,如大本营升级后可解锁新的项目,该新项目图标中将出现“新”提示。
英雄皮肤
优化了野蛮人之王默认皮肤,让他更加立体,更好地展现王者风范。此外,这种自定义纹理充分利用了新的着色器,我们计划使用新的着色器来优化所有默认英雄皮肤。 我们会采用这种着色器来调整以后推出的皮肤,但目前没有计划调整已有的非默认皮肤。
月度挑战调整
资源奖励
如玩家领取资源奖励时,其剩余空间仅能存放该奖励的一部分,他们现在可选择获得能存放的那一部分资源,将溢出的部分转换为宝石。根据玩家最终领取的奖励数量不同,转换的宝石数量不等,最多5颗,最少1颗。如玩家领取奖励中的20%,溢出的80%将转换为4颗宝石(即5颗宝石的80%)。
自动领取
赛季结束时,系统会自动为玩家领取所有已解锁但未领取的奖励,自动领取时溢出的奖励将转换为宝石,转换规则和手动领取时一致。
升级挑战
如玩家即将满防,无法完成某项要求升级一定数量的城墙或建筑的挑战,他们只需升级完仍要进行的升级即可。如玩家已满防,不再需要进行任何升级,这项挑战会自动完成。
新增挑战
新增隐形法术相关的挑战(部落竞赛和月度挑战)。
兵种/法术挑战
月度挑战中,针对所有关于使用兵种或法术赢得战斗的挑战,每场战斗需使用的兵种或法术数量减少为1个。
iOS调整
iPad Pro
iPad Pro机型的默认帧率从120帧率调整为60帧率以节省电池电量。如要更换为120帧率,可在游戏内设置-更多设置中的“更高帧率”中设置为“开启”。
减少电量消耗
在可支持设备上我们将使用苹果的Metal图形API,这可以提供更高效性能,也能减少玩游戏的电量消耗。
• 具体更新日期待定,以上所有调整均以游戏内实装为准。
相关问答
v 网3元包是什么意思能在家用吗?根据您提到的"V网3元包",这可能是指某个特定的手机运营商推出的一种套餐或服务。不同的运营商可能有不同的规定和服务内容,所以具体的用途和适用范围可能会有...
移动家庭 v 网什么意思?"V"网是“VPMN”的缩写,中文是集群网的意思,属虚拟网络。有集团网和短号集群网两种,是移动的一项业务,它的优点是在这个手机网络群里的成员只要每个月交5元...
移动手机家庭 V 网是什么意思 - wenli681 的回答 - 懂得家庭V网,其实就是指集群短号。家庭成员组建一个群,使用短号呼叫,免通话费,每月交短号费即可。就是组建的一个小网,彼此之间直接用4位短号拨号就可...
短号 v 网业务是什么?短号v网业务是一种手机虚拟网业务,加入这个虚拟网的手机用户之间互相拨打电话,可以只拨打一个3--4位的短号码,不需要拨打11位的长号码,网内通话费也有优惠。...
移动家庭 v 网跟省内家庭 v 网有什么区别? - 懂得移动家庭v网跟省内家庭v网其实是一种业务只不过优惠的地方比较不同二者的功能等是差不多的,只是省内家庭V网可以是省内的手机建立家庭网,而家庭V网...
苹果5s型号A1530是不是 三网 通用?支持移动联通电信4G吗?1,在国内三网通常指的是中国移动、中国联通和中国电信三家网络。2,苹果5s三网通用就是说三家运营商的电话卡都能使用。3,iPhone5s型号A1530是公开通用版,移...
苹果手机是不是分 三网 ?依次将移动、联通、电信手机卡插入卡槽,开机看看界面是否出现运营商字样。1.手机界面上出现中国移动、中国联通和中国电信字样。说明手机是三网通用的,通常是...
集团 V 网,怎么设置短号?办理移动集团V网,简称(VPMN)集团里的每一个VPMN成员可以使用短号码互相呼叫并享受组内成员本市通话的优惠。短号码编制方案:特定前缀(6)+手机号码后4位...
竞彩网app下载彩票(官方)最新IOS/安卓 版 /手机版APP下载_微思竞彩网app手机版下载彩票下载简介竞彩网app手机版下载彩票APP,现在下载,新用户还送新人礼包.竞彩网app手机版下载彩票主打物联相关服务功能的手机软件。便捷的功...
竞彩网app下载彩票(官方)最新下载IOS/安卓 版 /手机版APP_微思竞彩网app手机版下载彩票下载简介竞彩网app手机版下载彩票APP,现在下载,新用户还送新人礼包.竞彩网app手机版下载彩票简介:换字助手手机软件是全新字体更换软件...