摘要上篇文章我们用预共享密钥打通了总部与分公司的IPSec隧道。但当分支数量增多、安全要求提升时预共享密钥开始力不从心。本文带来两个进阶实验RSA签名证书认证和总部-多分支点到多点互联。全程基于eNSP模拟器图文并茂助你快速掌握企业级VPN进阶技能。引言从钥匙到身份证——为什么要升级证书认证上篇文章我们通过预共享密钥方式成功打通了总部与分公司之间的安全隧道。但在实际企业中当分公司从2家变成20家、从20家变成200家时预共享密钥的痛点就开始暴露了密钥管理灾难每加一家分公司总部就需要单独维护一个密钥运维工作量成倍增长。安全风险集中一个密钥泄漏可能波及所有使用同一密钥的隧道。灵活性不足动态IP场景下预共享密钥难以实现“即插即用”式的快速接入。这时RSA签名证书认证也叫数字证书认证应运而生。可以这样理解预共享密钥就像一把谁拿到都能开的机械钥匙——简单直接但要给几十个人配不同的钥匙管理起来非常繁琐。 数字证书就像你手里的身份证电子签名——身份证由权威机构颁发别人验证你的身份只需要验CA的签名无需预置任何“秘密”。证书认证的核心价值总部无需为每个分支预置密钥只需信任一个CA证书颁发机构各分支持有CA颁发的证书即可完成双向身份认证。这在多分支、动态IP场景下具有无可比拟的扩展性优势。一、实验一升级为RSA签名证书认证点到点1.1 本实验与上一篇的整体关系拓扑图、接口IP、安全区域、安全策略、静态路由……这些基础配置与上一篇《点到点IPSec VPN预共享密钥方式》完全一致没有任何变化。本实验只聚焦一个核心变化将IPSec VPN配置中的认证方式从“预共享密钥”改为“RSA签名”并直接选用防火墙自带的设备证书。特别说明华为USG6000V防火墙出厂时已内置了默认的RSA密钥对和自签名证书设备证书无需额外搭建CA或手动申请证书。实验环境下直接选用即可大大简化了证书认证的入门门槛。1.2 与上一篇的唯一区别——IPSec配置步骤对比上一篇预共享密钥的关键配置 新建IPSec策略 → 基本设置 → IKE认证 → 认证方式选择“预共享密钥”→ 输入密钥字符串如Sec123。本实验RSA签名的关键配置 新建IPSec策略 → 基本设置 → IKE认证 → 认证方式选择“RSA签名”→ 在证书下拉列表中选择防火墙自带的设备证书如default。一句话总结区别上篇填密钥这篇选证书。其余所有参数待加密数据流、安全提议、对端地址等保持完全相同。1.3 配置步骤仅展示IPSec VPN配置部分登录总部防火墙FW1的Web界面进入“网络” “IPSec”新建IPSec策略。基本设置与上篇相同策略名称to_SH本端接口公网出接口如 GigabitEthernet1/0/1对端地址分公司防火墙FW2的公网IP认证方式关键差异点 认证方式选择“RSA签名”然后从证书列表中选中设备自带的证书。待加密数据流与上篇相同 源地址总部内网网段如192.168.11.0/24 目的地址分公司内网网段如192.168.66.0/24安全提议与上篇相同 直接使用默认提议封装模式ESP加密算法AES-256认证算法SHA2-256即可。点击“应用”并提交。分公司防火墙FW2的配置流程完全相同只需将对端地址改为FW1的公网IP认证方式同样选择“RSA签名”并选用FW2自带的设备证书。1.4 验证结果配置完成后验证方式查看IKE SA状态display ike sa预期结果显示一对端公网地址。查看IPSec SA状态display ipsec sa预期结果显示IPSec SA已建立。业务连通性测试总部内网PC ping分公司内网PC 预期结果通。二、实验二点到多点——总部与多分支互联第一个实验RSA签名完成了点到点证书认证而第二个实验——点到多点——才是证书认证真正大显身手的舞台。2.1 企业场景假设公司业务扩张除了上海分公司还在深圳设立了新分支。需求如下总部北京需要能与上海、深圳两个分公司同时建立加密隧道。上海分公司和深圳分公司之间无需直接通信。所有安全认证基于证书体系简化总部配置便于未来新分支快速接入。为什么点到多点一定要用证书认证如果用预共享密钥总部需要为上海和深圳各维护一个独立的密钥。当分支增加到几十个时总部侧的策略数量会线性膨胀。而证书认证下总部只需信任CA各分支持证上岗总部无需为每个分支预置任何秘密。2.2 实验拓扑新拓扑主要由三台防火墙和一台ISP路由器组成FW1总部——北京FW2分公司1——上海FW3分公司2——深圳2.3 详细配置步骤2.3.1 配置物理机虚拟网卡打开控制面板 → 网络和共享中心 → 更改适配器设置找到虚拟网卡VMnet1右键 → 属性 → IPv4 → 属性 → 高级 → 添加 → 192.168.168.1、192.168.169.1。2.3.2 Cloud配置绑定信息选择UDP端口类型GE点击增加选择绑定信息为虚拟网卡如VMnet1端口类型GE再次点击增加端口映射入端口1UDP→ 出端口2虚拟网卡勾选双向通道点击增加2.3.3 终端配置2.3.4 ISP接口配置2.3.5 总部防火墙 FW1 配置防火墙基础配置通过CLI第一次登录与密码修改双击防火墙进入CLI终端首次登录系统强制要求修改默认密码Username: admin Password: Admin123 The password needs to be changed. Change now? [Y/N]: y Please enter old password: Admin123 Please enter new password: admin123 Please confirm new password: admin123务必记住修改后的新密码后续Web登录要用。配置接口IP地址及管理口开启Web访问配置GE0/0/0管理接口确保Cloud能通过Web管理。USG6000V1u t m USG6000V1system-view [USG6000V1]sysname FW [FW1]int g0/0/0 [FW1-GigabitEthernet0/0/0]ip add 192.168.192.168 24 [FW1-GigabitEthernet0/0/0]service-manage all permit [FW1-GigabitEthernet0/0/0]q [FW1]web-manager timeout 1440 #配置网页不超时退出Web界面登录浏览器访问https://192.168.192.168:8443忽略证书警告点击“高级→继续前往”输入用户名admin和新密码admin123配置接口地址将连接外网的接口如 GE1/0/0设为 IP 1.1.1.1/24加入 untrust 区域。内网接口GE1/0/1设为 10.10.10.254/24加入 trust 区域。创建地址对象总部内网网段10.10.10.0/24名称beijing上海分公司内网网段172.16.10.0/24名称shanghai深圳分公司内网网段192.168.10.0/24名称shenzhen总部防火墙公网地址1.1.1.1名称FW1上海分公司防火墙公网地址2.2.2.1名称FW2深圳分公司防火墙公网地址3.3.3.1名称FW3创建安全策略允许 trust → untrust源 beijing 目的shanghai、shenzhen动作允许。允许 untrust → trust源shanghai、shenzhen目的beijing动作允许。允许 local → untrust源FW1目的FW2、FW3动作允许。允许 untrust → local源FW2、FW3目的FW1动作允许。配置静态路由总部通过防火墙上网需配置默认路由指向运营商。配置 IPSec VPN核心新建 IPSec 策略名称to_FGS。基本设置场景点到多点本端接口GE1/0/0本端地址1.1.1.1总公司公网 IP对端地址空认证方式RSA签名选择默认证书本端 ID、对端 ID 可选 IP 地址。待加密数据流源地址beijing(10.10.10.0/24)目的地址shanghai(172.16.10.0/24)、shenzhen192.168.10.0/24点击“应用”并提交。2.3.6 分公司防火墙 FW2 配置防火墙基础配置通过CLI第一次登录与密码修改双击防火墙进入CLI终端首次登录系统强制要求修改默认密码Username: admin Password: Admin123 The password needs to be changed. Change now? [Y/N]: y Please enter old password: Admin123 Please enter new password: admin123 Please confirm new password: admin123务必记住修改后的新密码后续Web登录要用。配置接口IP地址及管理口开启Web访问配置GE0/0/0管理接口确保Cloud能通过Web管理。USG6000V1u t m USG6000V1system-view [USG6000V1]sysname FW2 [FW2]int g0/0/0 [FW2-GigabitEthernet0/0/0]ip add 192.168.168.192 24 [FW2-GigabitEthernet0/0/0]service-manage all permit [FW2-GigabitEthernet0/0/0]q [FW2]web-manager timeout 1440 #配置网页不超时退出Web界面登录浏览器访问https://192.168.168.192:8443忽略证书警告点击“高级→继续前往”输入用户名admin和新密码admin123配置接口地址将连接外网的接口如 GE1/0/0设为 IP 2.2.2.1/24加入 untrust 区域。内网接口GE1/0/1设为 172.16.10.254/24加入 trust 区域。创建地址对象总部内网网段10.10.10.0/24名称beijing分公司内网网段172.16.10.0/24名称shanghai总部防火墙公网地址1.1.1.1名称FW1分公司防火墙公网地址2.2.2.1名称FW2创建安全策略允许 trust → untrust源shanghai目的beijing动作允许。允许 untrust → trust源beijing目的shanghai动作允许。允许 local → untrust源FW2目的FW1动作允许。允许 untrust → local源FW1目的FW2动作允许。配置静态路由分公司通过防火墙上网需配置默认路由指向运营商。配置 IPSec VPN核心新建 IPSec 策略名称to_BJ。基本设置点到点本端接口GE1/0/0本端地址2.2.2.1分公司公网 IP对端地址1.1.1.1总公司公网 IP认证方式RSA签名选择默认证书本端 ID、对端 ID 可选 IP 地址。待加密数据流源地址shanghai(172.16.10.0/24)目标地址beijing(10.10.10.0/24)安全提议默认即可点击“应用”并提交。2.3.7 分公司防火墙 FW3 配置防火墙基础配置通过CLI第一次登录与密码修改双击防火墙进入CLI终端首次登录系统强制要求修改默认密码Username: admin Password: Admin123 The password needs to be changed. Change now? [Y/N]: y Please enter old password: Admin123 Please enter new password: admin123 Please confirm new password: admin123务必记住修改后的新密码后续Web登录要用。配置接口IP地址及管理口开启Web访问配置GE0/0/0管理接口确保Cloud能通过Web管理。USG6000V1u t m USG6000V1system-view [USG6000V1]sysname FW3 [FW3]int g0/0/0 [FW3-GigabitEthernet0/0/0]ip add 192.168.169.192 24 [FW3-GigabitEthernet0/0/0]service-manage all permit [FW3-GigabitEthernet0/0/0]q [FW3]web-manager timeout 1440 #配置网页不超时退出Web界面登录浏览器访问https://192.168.169.192:8443忽略证书警告点击“高级→继续前往”输入用户名admin和新密码admin123配置接口地址将连接外网的接口如 GE1/0/0设为 IP 3.3.3.1/24加入 untrust 区域。内网接口GE1/0/1设为 192.168.10.254/24加入 trust 区域。创建地址对象总部内网网段10.10.10.0/24名称beijing分公司内网网段192.168.10.0/24名称shenzhen总部防火墙公网地址1.1.1.1名称FW1分公司防火墙公网地址3.3.3.1名称FW3创建安全策略允许 trust → untrust源shenzhen目的beijing动作允许。允许 untrust → trust源beijing目的shenzhen动作允许。允许 local → untrust源FW3目的FW1动作允许。允许 untrust → local源FW1目的FW3动作允许。配置静态路由分公司通过防火墙上网需配置默认路由指向运营商。配置 IPSec VPN核心新建 IPSec 策略名称to_BJ。基本设置点到点本端接口GE1/0/0本端地址3.3.3.1分公司公网 IP对端地址1.1.1.1总公司公网 IP认证方式RSA签名选择默认证书本端 ID、对端 ID 可选 IP 地址。待加密数据流源地址shenzhen(192.168.10.0/24)目标地址beijing(10.10.10.0/24)安全提议默认即可点击“应用”并提交。2.4 验证 VPN 是否成功在分公司内网主机 ping 总部内网主机。若能通查看防火墙上的 IPSec 监控协商状态为成功。三、总结通过两个进阶实验本文展示了从预共享密钥向RSA签名证书认证的升级路径实验一仅将IPSec认证方式改为RSA签名并复用设备自带证书实现了更安全、免预共享密钥的点到点隧道实验二在此基础上构建总部与上海、深圳两个分支的“点到多点”互联证书认证使总部无需为每个分支预置密钥大幅提升了多分支场景下的扩展性和管理效率。配置完成后所有VPN隧道成功建立验证了证书认证在企业级组网中的实用价值。重要声明本教程及文中所有操作仅限于合法授权的安全学习与研究。作者及发布平台不承担因不当使用本教程所引发的任何直接或间接法律责任。请务必遵守中华人民共和国网络安全相关法律法规。如果这篇文章帮你解决了实操上的困惑别忘记点击点赞、分享也可以留言告诉我你遇到的其它问题我会尽快回复。你的关注是我坚持原创和细节共享的力量来源谢谢大家。
防火墙进阶实战——证书认证 + 总部多分支互联全攻略
发布时间:2026/5/18 19:11:06
摘要上篇文章我们用预共享密钥打通了总部与分公司的IPSec隧道。但当分支数量增多、安全要求提升时预共享密钥开始力不从心。本文带来两个进阶实验RSA签名证书认证和总部-多分支点到多点互联。全程基于eNSP模拟器图文并茂助你快速掌握企业级VPN进阶技能。引言从钥匙到身份证——为什么要升级证书认证上篇文章我们通过预共享密钥方式成功打通了总部与分公司之间的安全隧道。但在实际企业中当分公司从2家变成20家、从20家变成200家时预共享密钥的痛点就开始暴露了密钥管理灾难每加一家分公司总部就需要单独维护一个密钥运维工作量成倍增长。安全风险集中一个密钥泄漏可能波及所有使用同一密钥的隧道。灵活性不足动态IP场景下预共享密钥难以实现“即插即用”式的快速接入。这时RSA签名证书认证也叫数字证书认证应运而生。可以这样理解预共享密钥就像一把谁拿到都能开的机械钥匙——简单直接但要给几十个人配不同的钥匙管理起来非常繁琐。 数字证书就像你手里的身份证电子签名——身份证由权威机构颁发别人验证你的身份只需要验CA的签名无需预置任何“秘密”。证书认证的核心价值总部无需为每个分支预置密钥只需信任一个CA证书颁发机构各分支持有CA颁发的证书即可完成双向身份认证。这在多分支、动态IP场景下具有无可比拟的扩展性优势。一、实验一升级为RSA签名证书认证点到点1.1 本实验与上一篇的整体关系拓扑图、接口IP、安全区域、安全策略、静态路由……这些基础配置与上一篇《点到点IPSec VPN预共享密钥方式》完全一致没有任何变化。本实验只聚焦一个核心变化将IPSec VPN配置中的认证方式从“预共享密钥”改为“RSA签名”并直接选用防火墙自带的设备证书。特别说明华为USG6000V防火墙出厂时已内置了默认的RSA密钥对和自签名证书设备证书无需额外搭建CA或手动申请证书。实验环境下直接选用即可大大简化了证书认证的入门门槛。1.2 与上一篇的唯一区别——IPSec配置步骤对比上一篇预共享密钥的关键配置 新建IPSec策略 → 基本设置 → IKE认证 → 认证方式选择“预共享密钥”→ 输入密钥字符串如Sec123。本实验RSA签名的关键配置 新建IPSec策略 → 基本设置 → IKE认证 → 认证方式选择“RSA签名”→ 在证书下拉列表中选择防火墙自带的设备证书如default。一句话总结区别上篇填密钥这篇选证书。其余所有参数待加密数据流、安全提议、对端地址等保持完全相同。1.3 配置步骤仅展示IPSec VPN配置部分登录总部防火墙FW1的Web界面进入“网络” “IPSec”新建IPSec策略。基本设置与上篇相同策略名称to_SH本端接口公网出接口如 GigabitEthernet1/0/1对端地址分公司防火墙FW2的公网IP认证方式关键差异点 认证方式选择“RSA签名”然后从证书列表中选中设备自带的证书。待加密数据流与上篇相同 源地址总部内网网段如192.168.11.0/24 目的地址分公司内网网段如192.168.66.0/24安全提议与上篇相同 直接使用默认提议封装模式ESP加密算法AES-256认证算法SHA2-256即可。点击“应用”并提交。分公司防火墙FW2的配置流程完全相同只需将对端地址改为FW1的公网IP认证方式同样选择“RSA签名”并选用FW2自带的设备证书。1.4 验证结果配置完成后验证方式查看IKE SA状态display ike sa预期结果显示一对端公网地址。查看IPSec SA状态display ipsec sa预期结果显示IPSec SA已建立。业务连通性测试总部内网PC ping分公司内网PC 预期结果通。二、实验二点到多点——总部与多分支互联第一个实验RSA签名完成了点到点证书认证而第二个实验——点到多点——才是证书认证真正大显身手的舞台。2.1 企业场景假设公司业务扩张除了上海分公司还在深圳设立了新分支。需求如下总部北京需要能与上海、深圳两个分公司同时建立加密隧道。上海分公司和深圳分公司之间无需直接通信。所有安全认证基于证书体系简化总部配置便于未来新分支快速接入。为什么点到多点一定要用证书认证如果用预共享密钥总部需要为上海和深圳各维护一个独立的密钥。当分支增加到几十个时总部侧的策略数量会线性膨胀。而证书认证下总部只需信任CA各分支持证上岗总部无需为每个分支预置任何秘密。2.2 实验拓扑新拓扑主要由三台防火墙和一台ISP路由器组成FW1总部——北京FW2分公司1——上海FW3分公司2——深圳2.3 详细配置步骤2.3.1 配置物理机虚拟网卡打开控制面板 → 网络和共享中心 → 更改适配器设置找到虚拟网卡VMnet1右键 → 属性 → IPv4 → 属性 → 高级 → 添加 → 192.168.168.1、192.168.169.1。2.3.2 Cloud配置绑定信息选择UDP端口类型GE点击增加选择绑定信息为虚拟网卡如VMnet1端口类型GE再次点击增加端口映射入端口1UDP→ 出端口2虚拟网卡勾选双向通道点击增加2.3.3 终端配置2.3.4 ISP接口配置2.3.5 总部防火墙 FW1 配置防火墙基础配置通过CLI第一次登录与密码修改双击防火墙进入CLI终端首次登录系统强制要求修改默认密码Username: admin Password: Admin123 The password needs to be changed. Change now? [Y/N]: y Please enter old password: Admin123 Please enter new password: admin123 Please confirm new password: admin123务必记住修改后的新密码后续Web登录要用。配置接口IP地址及管理口开启Web访问配置GE0/0/0管理接口确保Cloud能通过Web管理。USG6000V1u t m USG6000V1system-view [USG6000V1]sysname FW [FW1]int g0/0/0 [FW1-GigabitEthernet0/0/0]ip add 192.168.192.168 24 [FW1-GigabitEthernet0/0/0]service-manage all permit [FW1-GigabitEthernet0/0/0]q [FW1]web-manager timeout 1440 #配置网页不超时退出Web界面登录浏览器访问https://192.168.192.168:8443忽略证书警告点击“高级→继续前往”输入用户名admin和新密码admin123配置接口地址将连接外网的接口如 GE1/0/0设为 IP 1.1.1.1/24加入 untrust 区域。内网接口GE1/0/1设为 10.10.10.254/24加入 trust 区域。创建地址对象总部内网网段10.10.10.0/24名称beijing上海分公司内网网段172.16.10.0/24名称shanghai深圳分公司内网网段192.168.10.0/24名称shenzhen总部防火墙公网地址1.1.1.1名称FW1上海分公司防火墙公网地址2.2.2.1名称FW2深圳分公司防火墙公网地址3.3.3.1名称FW3创建安全策略允许 trust → untrust源 beijing 目的shanghai、shenzhen动作允许。允许 untrust → trust源shanghai、shenzhen目的beijing动作允许。允许 local → untrust源FW1目的FW2、FW3动作允许。允许 untrust → local源FW2、FW3目的FW1动作允许。配置静态路由总部通过防火墙上网需配置默认路由指向运营商。配置 IPSec VPN核心新建 IPSec 策略名称to_FGS。基本设置场景点到多点本端接口GE1/0/0本端地址1.1.1.1总公司公网 IP对端地址空认证方式RSA签名选择默认证书本端 ID、对端 ID 可选 IP 地址。待加密数据流源地址beijing(10.10.10.0/24)目的地址shanghai(172.16.10.0/24)、shenzhen192.168.10.0/24点击“应用”并提交。2.3.6 分公司防火墙 FW2 配置防火墙基础配置通过CLI第一次登录与密码修改双击防火墙进入CLI终端首次登录系统强制要求修改默认密码Username: admin Password: Admin123 The password needs to be changed. Change now? [Y/N]: y Please enter old password: Admin123 Please enter new password: admin123 Please confirm new password: admin123务必记住修改后的新密码后续Web登录要用。配置接口IP地址及管理口开启Web访问配置GE0/0/0管理接口确保Cloud能通过Web管理。USG6000V1u t m USG6000V1system-view [USG6000V1]sysname FW2 [FW2]int g0/0/0 [FW2-GigabitEthernet0/0/0]ip add 192.168.168.192 24 [FW2-GigabitEthernet0/0/0]service-manage all permit [FW2-GigabitEthernet0/0/0]q [FW2]web-manager timeout 1440 #配置网页不超时退出Web界面登录浏览器访问https://192.168.168.192:8443忽略证书警告点击“高级→继续前往”输入用户名admin和新密码admin123配置接口地址将连接外网的接口如 GE1/0/0设为 IP 2.2.2.1/24加入 untrust 区域。内网接口GE1/0/1设为 172.16.10.254/24加入 trust 区域。创建地址对象总部内网网段10.10.10.0/24名称beijing分公司内网网段172.16.10.0/24名称shanghai总部防火墙公网地址1.1.1.1名称FW1分公司防火墙公网地址2.2.2.1名称FW2创建安全策略允许 trust → untrust源shanghai目的beijing动作允许。允许 untrust → trust源beijing目的shanghai动作允许。允许 local → untrust源FW2目的FW1动作允许。允许 untrust → local源FW1目的FW2动作允许。配置静态路由分公司通过防火墙上网需配置默认路由指向运营商。配置 IPSec VPN核心新建 IPSec 策略名称to_BJ。基本设置点到点本端接口GE1/0/0本端地址2.2.2.1分公司公网 IP对端地址1.1.1.1总公司公网 IP认证方式RSA签名选择默认证书本端 ID、对端 ID 可选 IP 地址。待加密数据流源地址shanghai(172.16.10.0/24)目标地址beijing(10.10.10.0/24)安全提议默认即可点击“应用”并提交。2.3.7 分公司防火墙 FW3 配置防火墙基础配置通过CLI第一次登录与密码修改双击防火墙进入CLI终端首次登录系统强制要求修改默认密码Username: admin Password: Admin123 The password needs to be changed. Change now? [Y/N]: y Please enter old password: Admin123 Please enter new password: admin123 Please confirm new password: admin123务必记住修改后的新密码后续Web登录要用。配置接口IP地址及管理口开启Web访问配置GE0/0/0管理接口确保Cloud能通过Web管理。USG6000V1u t m USG6000V1system-view [USG6000V1]sysname FW3 [FW3]int g0/0/0 [FW3-GigabitEthernet0/0/0]ip add 192.168.169.192 24 [FW3-GigabitEthernet0/0/0]service-manage all permit [FW3-GigabitEthernet0/0/0]q [FW3]web-manager timeout 1440 #配置网页不超时退出Web界面登录浏览器访问https://192.168.169.192:8443忽略证书警告点击“高级→继续前往”输入用户名admin和新密码admin123配置接口地址将连接外网的接口如 GE1/0/0设为 IP 3.3.3.1/24加入 untrust 区域。内网接口GE1/0/1设为 192.168.10.254/24加入 trust 区域。创建地址对象总部内网网段10.10.10.0/24名称beijing分公司内网网段192.168.10.0/24名称shenzhen总部防火墙公网地址1.1.1.1名称FW1分公司防火墙公网地址3.3.3.1名称FW3创建安全策略允许 trust → untrust源shenzhen目的beijing动作允许。允许 untrust → trust源beijing目的shenzhen动作允许。允许 local → untrust源FW3目的FW1动作允许。允许 untrust → local源FW1目的FW3动作允许。配置静态路由分公司通过防火墙上网需配置默认路由指向运营商。配置 IPSec VPN核心新建 IPSec 策略名称to_BJ。基本设置点到点本端接口GE1/0/0本端地址3.3.3.1分公司公网 IP对端地址1.1.1.1总公司公网 IP认证方式RSA签名选择默认证书本端 ID、对端 ID 可选 IP 地址。待加密数据流源地址shenzhen(192.168.10.0/24)目标地址beijing(10.10.10.0/24)安全提议默认即可点击“应用”并提交。2.4 验证 VPN 是否成功在分公司内网主机 ping 总部内网主机。若能通查看防火墙上的 IPSec 监控协商状态为成功。三、总结通过两个进阶实验本文展示了从预共享密钥向RSA签名证书认证的升级路径实验一仅将IPSec认证方式改为RSA签名并复用设备自带证书实现了更安全、免预共享密钥的点到点隧道实验二在此基础上构建总部与上海、深圳两个分支的“点到多点”互联证书认证使总部无需为每个分支预置密钥大幅提升了多分支场景下的扩展性和管理效率。配置完成后所有VPN隧道成功建立验证了证书认证在企业级组网中的实用价值。重要声明本教程及文中所有操作仅限于合法授权的安全学习与研究。作者及发布平台不承担因不当使用本教程所引发的任何直接或间接法律责任。请务必遵守中华人民共和国网络安全相关法律法规。如果这篇文章帮你解决了实操上的困惑别忘记点击点赞、分享也可以留言告诉我你遇到的其它问题我会尽快回复。你的关注是我坚持原创和细节共享的力量来源谢谢大家。
相关文章
找到含有数据分页功能的角色管理页面,并按PPT 方式截图其前后端代码、前端开发者工具以及后端Log 关键输出
一:前端代码分析1. 页面文件路径ruoyi-ui/src/views/system/role/index.vue<pagination:total"total"v-model:page"queryParams.pageNum"v-model:limit"queryParams.pageSize"pagination"getList"/>2.分页参数与请求…
Scroll Reverser:终极macOS多设备滚动方向独立控制解决方案
Scroll Reverser:终极macOS多设备滚动方向独立控制解决方案 【免费下载链接】Scroll-Reverser Per-device scrolling prefs on macOS. 项目地址: https://gitcode.com/gh_mirrors/sc/Scroll-Reverser 你是否曾经在触控板和外接鼠标之间切换时,因为…
Atmel Studio ASF框架入门:从零掌握AVR/SAM开发与实战技巧
1. 从零开始:为什么你需要了解ASF如果你刚开始接触爱特梅尔(Atmel,现为Microchip的一部分)的AVR或SAM系列微控制器,或者刚从51、STM32平台转过来,你可能会被Atmel Studio 6这个官方IDE里一个叫“ASF”的东西…
ClawTrace:高性能分布式链路追踪系统的架构设计与实战部署
1. 项目概述:ClawTrace是什么,以及它为何值得关注最近在开源社区里,一个名为“ClawTrace”的项目引起了我的注意。这个由开发者 alexgutscher26 创建的项目,名字本身就很有意思——“Claw”是爪子,“Trace”是追踪&…
ElevenLabs情感API未公开文档曝光:厌恶情绪强度量化公式、实时衰减系数及企业级熔断阈值设定
更多请点击: https://intelliparadigm.com 第一章:ElevenLabs厌恶情绪语音的技术本质与伦理边界 ElevenLabs 的情感语音合成能力并非简单调节音高或语速,而是通过多任务联合建模,在隐空间中对细粒度情感表征(如disgus…
OOTDiffusion终极指南:5分钟实现AI虚拟试衣,告别网购“盲盒“时代
OOTDiffusion终极指南:5分钟实现AI虚拟试衣,告别网购"盲盒"时代 【免费下载链接】OOTDiffusion [AAAI 2025] Official implementation of "OOTDiffusion: Outfitting Fusion based Latent Diffusion for Controllable Virtual Try-on&quo…
终极HiveWE魔兽地图编辑器:如何用现代化工具打造专业级游戏地图
终极HiveWE魔兽地图编辑器:如何用现代化工具打造专业级游戏地图 【免费下载链接】HiveWE A Warcraft III world editor. 项目地址: https://gitcode.com/gh_mirrors/hi/HiveWE 还在为传统魔兽争霸III地图编辑器缓慢的加载速度和繁琐的操作而烦恼吗࿱…
3大创新突破:APK Installer如何重新定义Windows上的Android应用体验
3大创新突破:APK Installer如何重新定义Windows上的Android应用体验 【免费下载链接】APK-Installer An Android Application Installer for Windows 项目地址: https://gitcode.com/GitHub_Trending/ap/APK-Installer 在当今跨平台应用需求日益增长的背景下…
告别卡顿!用QtScrcpy打造30ms超低延迟手游直播方案
告别卡顿!用QtScrcpy打造30ms超低延迟手游直播方案 【免费下载链接】QtScrcpy Android实时投屏软件,此应用程序提供USB(或通过TCP/IP)连接的Android设备的显示和控制。它不需要任何root访问权限 项目地址: https://gitcode.com/barry-ran/QtScrcpy …
精益管理推不动?找准根源+避坑指南,破解全员参与难题
很多工厂推行精益管理,都陷入了管理层热、员工冷的尴尬困境:管理层耗费大量精力制定精益方案、投入资源,却始终推不动,一线员工要么被动应付,要么抵触反抗,不主动识别浪费、不参与改善,精益落地…
基于React与Zustand构建现代化个人站点导航器:从设计到部署全解析
1. 项目概述:一个现代站点导航器的诞生最近在整理自己的浏览器书签和常用工具时,我发现自己陷入了一个典型的“数字混乱”状态。收藏夹里塞满了各种链接,从开发文档、设计资源到日常工具,杂乱无章。每次想找一个特定的网站&#x…
开发团队如何通过 Taotoken 实现 API 密钥的统一管理与审计
🚀 告别海外账号与网络限制!稳定直连全球优质大模型,限时半价接入中。 👉 点击领取海量免费额度 开发团队如何通过 Taotoken 实现 API 密钥的统一管理与审计 对于开发团队而言,安全、高效地管理大模型 API 密钥是一项…
【实用小程序】超轻量级文件上传下载中心 (File Download Server)
站内源码及jar包下载 一、项目概述 文件下载中心一个基于 Java 内置 HTTP 服务器(com.sun.net.httpserver)构建的轻量级文件管理服务。它零第三方依赖,单 JAR 包即可运行,适合在内网环境或临时场景中快速搭建文件共享站点。 你的团队需要临时共享一批日志文件或交付物,…
py每日spider案例之某website之xin东方选课搜索接口(难度一般 扣取代码即可)
加密位置: 逆向接口参数: 逆向接口: const g = globalThis; g.window = g; g.self = g; g.location = {<
终极轻量级Android文本编辑器Markor:多格式笔记应用完全指南
终极轻量级Android文本编辑器Markor:多格式笔记应用完全指南 【免费下载链接】markor Text editor - Notes & ToDo (for Android) - Markdown, todo.txt, plaintext, math, .. 项目地址: https://gitcode.com/gh_mirrors/ma/markor 在移动设备上寻找一款…
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案 【免费下载链接】MPC-BE MPC-BE – универсальный проигрыватель аудио и видеофайлов для операционной системы Windows. 项目地址:…
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南 【免费下载链接】STL-Volume-Model-Calculator STL Volume Model Calculator Python 项目地址: https://gitcode.com/gh_mirrors/st/STL-Volume-Model-Calculator 你是否曾经为3D打印项目…
通过Taotoken CLI工具一键配置团队开发环境与模型密钥
通过Taotoken CLI工具一键配置团队开发环境与模型密钥 1. CLI工具安装与基本使用 Taotoken提供的CLI工具可通过npm全局安装或直接使用npx运行。对于需要频繁使用CLI的团队,推荐全局安装: npm install -g taotoken/taotoken对于临时使用或项目级配置&a…