настройка dhcp dfl 210

настройка dhcp dfl 210 Сертификаты
На чтение 9 мин. Просмотров 13 Опубликовано
Содержание
  1. Описание d-link dfl-210:
  2. Выполните настройку второй фазы.
  3. Выполните настройку первой фазы.
  4. Добавление ipsec.
  5. Добавление ключа pre-shared key.
  6. Доступность
  7. Изображение d-link dfl-210:
  8. Информация для заказа d-link dfl-210:
  9. Настройка ipsec между межсетевым экраном dfl-210/800 и di-804hv
  10. Настройка ipsec на di-804hv.
  11. Создание второго правила.
  12. Создание разрешающих правил для доступа из ipsec в lan и наоборот.
  13. Тестирование производительности
  14. Ярлыки
  15. Выводы

По мере того, как бизнес-процессы становятся все более зависимыми от сетевой инфраструктуры, капиталовложения, сделанные в решения по безопасности становятся все более значимыми. D-Link представляет ряд мощных решений нового поколения для защиты сетей предприятий Серия NetDefend учитывает растущие требования, предъявляемые к сетевой безопасности, защите от атак хакеров, вирусным угрозам и повышению конфиденциальности информации.

Устройства серии NetDefend представляют собой законченное решение в области безопасности, включающее встроенную поддержку межсетевого экрана, балансировку нагрузки, функции отказоустойчивости, механизм Zone-Defense, фильтрацию содержимого, аутентификацию пользователей, блокировку «мгновенных» сообщений и приложений Р2Р, защиту от атак «отказ в обслуживании» DoS и поддержку виртуальных локальных сетей VPN.

Эти устройства соответствуют требованиям предприятий различного масштаба, от SOHO до Enterprise к безопасности и удаленному доступу, обеспечивая высокопроизводительное решение по разумной цене.В межсетевых экранах эффективно объединены расширенные функции, предоставляющие администраторам сетей решение безопасности business-класса «все в одном».

Для того, чтобы минимизировать влияние аварийной ситуации на всю сеть, межсетевые экраны поддерживают специальную функцию – Zone-Defense, представляющую собой механизм, позволяющий им работать совместно с управляемыми коммутаторами D-Link и обеспечивающий активную сетевую безопасность.

Аппаратная спецификация межсетевых экранов NetDefend включает высокоскоростные процессоры, базы данных и вычислительные мощности, позволяющие обрабатывать до миллиона параллельных сессий. Эти межсетевые экраны поставляются с несколькими сетевыми интерфейсами, настраиваемыми пользователями, включая порты Gigabit Ethernet, позволяя развертывать гибкие, масштабируемые и свободные от «узких» мест сети, объединяющие между собой различные рабочие группы и предприятия.

Все межсетевые экраны серии NetDefend поддерживают удаленное управление через Web-интерфейс, как из локальной подсети, так и через выделенное VPN-соединение. Устройства также включают в себя набор функций для мониторинга и поддержания состояния и безопасности сети, в том числе отправку уведомлений по электронной почте, ведение журнала системных событий и предоставление статистики в режиме реального времени.

Выполните настройку второй фазы.

Заполните поля окна PHASE 2 следующим образом:

Снимите галочку в поле PFS EnableВ IKE Proposal List укажите Chipher – 3DES, а Hash – MD5IPSec Lifetime: 3600

Нажмите кнопку Save Settings

Выполните настройку первой фазы.

Заполните поля окна PHASE 1, следующим образом:

Выберите режим: Main modeKeep Alive / DPD: noneDH Group: 2 – modp 1024-bitВ IKE Proposal List укажите Chipher 3DES, а Hash MD5IKE Lifetime: 28800

Добавление ipsec.

Нажмите на знак знак « » рядом с папкой Interfaces и выберите IPSec, затем нажмите Add, из меню выберите IPSec Tunnel.

Заполните поля следующим образом: Вкладка General – параметры General:

Name: TunnelLocal Network: lannetRemote Network: IPSec_remote_netRemote Endpoint: IPSec_remote_endpointEncapsulation Mode: Tunnel

Параметры Algorithms:

IKE Algorithms: MediumIKE Life Time: 28800IPsec Algorithms: MediumIPsec Life Time: 3600

Затем выберите вкладку Authentication.

Укажите в поле Pre-shared Key: IPSec_Key. 

После заполнения всех полей нажмите ОК.

Добавление ключа pre-shared key.

Нажмите на знак « » рядом с папкой Objects и выберите Authentication Objects, затем нажмите Add, и из меню выберите Pre-Shared Key.

Про сертификаты:  Подарочные сертификаты на Новый Год и оригинальные новогодние подарки онлайн купить в PodarokServis

Заполните поля следующим образом:Name: IPSec_Key

Passphrase Shared Secret: Введите ключ ключ, например 1029384756Confirm Secret: Введите ключ повторно. 

После заполнения всех полей нажмите ОК.

Доступность

Средняя розничная цена на рассматриваемое в статье устройство на последний момент: Н/Д(0)

Рис.1. D-Link DFL-210 – Вид спереди

Рис.2. D-Link DFL-210 – Изображение

NetDefend межсетевой экран для малого бизнесаD-Link DFL-210DFL-210 D-Link DFL-210  1 порт 10/100Base-TX WAN, 1 порт 10/100Base-TX DMZ, 4 порта 10/100Base-TX LAN

DFL-210-IPS-12  D-Link DFL-210    Лицензия на обновление сигнатур IDS/IDP (подписка на 12 месяцев) для DFL-210DFL-210-AV-12 D-Link DFL-210      Лицензия на обновление сигнатур антивируса (подписка на 12 месяцев)DFL-210-WCF-12 D-Link DFL-210   Лицензия на обновление сигнатур фильтрации web-контента (подписка на 12 месяцев)

Настройка ipsec между межсетевым экраном dfl-210/800 и di-804hv

IPSec строим исходя из данных: DFL:Внутренняя сеть (lannet): 192.168.1.0/24 IP на WAN (wan_ip): 192.168.110.10

DI-804HV: Внутренняя сеть: 192.168.0.0IP на WAN: 192.168.110.100

Настройка ipsec на di-804hv.

Откройте Web-браузер и введите IP-адрес DI-824HV в адресную строку (по умолчанию 192.168.0.1) и нажмите Enter. Авторизуйтесь.
Кликните с верху на вкладке Home, выберите внизу слева VPN.
настройка dhcp dfl 210VPN на Enable, в поле Max number of tunnels поставьте 2, далее занесите в поле Tunnel Name с ID 1 tunnel и нажмите apply, дождитесь применения настроек и нажмите continue.
настройка dhcp dfl 210VPN на Enable, в поле Max number of tunnels поставьте 2, далее занесите в поле Tunnel Name с ID 1 tunnel и нажмите apply, дождитесь применения настроек и нажмите continue.
настройка dhcp dfl 210

Нажмите на кнопку More напротив заполненного поля tunnel и заполните поля следующим образом:

Tunnel Name: TunnelLocal Subnet: 192.168.0.0 Local Mask: 255.255.255.0 Remote Subnet: 192.168.1.0 Remote Mask: 255.255.255.0 Remote Gateway: 192.168.110.10Preshare Key: Введите ключ такой же как ввели при настройки DFL например 1029384756

Нажмите Аpply, дождитесь применения настроек и нажмите continue.

Настраиваем IKE Proposal.
Нажмите кнопку Select IKE Proposal и заполните поля как показано на рисунке:
настройка dhcp dfl 210

Шаг 1: В поле Proposal Name укажите Tunnel. Шаг 2: В поле DH Group из выпадающего меню выберите Group 2. Шаг 3: В поле Auth algorithm из выпадающего меню выберите MD5. Шаг 4:

После заполнения всех полей нажмите Аpply, дождитесь применения настроек и нажмите continue. Далее нажмите кнопку Back.

Настраиваем IPSec Proposal.
Нажмите на кнопку Select IPSec Proposal и заполните поля как показано на рисунке: настройка dhcp dfl 210

Шаг 1: В поле Proposal Name укажите Tunnel. Шаг 2: В поле DH Group из выпадающего меню выберите None. Шаг 3: В поле Auth algorithm из выпадающего меню выберите MD5. Шаг 4:

После заполнения всех полей нажмите Аpply, дождитесь применения настроек и нажмите continue.

Проверяем тоннель IPSec.
Кликните сверху на вкладке Status, выберите внизу слева VPN Status, нажмите кнопку reconnect, затем нажмите кнопку refresh.
настройка dhcp dfl 210Type и State, если они соответствуют тому, что приведено на рисунке ниже, то тоннель установлен.
настройка dhcp dfl 210Type и State, если они соответствуют тому, что приведено на рисунке ниже, то тоннель установлен.
настройка dhcp dfl 210

Создание второго правила.

Нажмите кнопку Add, выберите IP Rule.

Заполните поля следующим образом:

Вкладка General – параметры General:

Name: lan_to_IPSecAction: AllowService: all_services

Про сертификаты:  Cертификация Cisco в Специалисте

Параметры Address Filter:

Source: Interface: lanNetwork: lannet

Destination:Interface: tunnelNetwork: IPSec_remote_net

Нажмите ОК.

Для того, чтобы настройки вступили в силу – необходимо в верхнем меню выбрать Configuration, затем Save and Activate, нажмите ОК и дождитесь сохранения настроек.

Создание разрешающих правил для доступа из ipsec в lan и наоборот.

Нажмите на знак « » рядом с папкой Rules, далее на знак « » рядом с папкой IP Rules и выберите эту папку, нажмите кнопку Add, укажите IP Rule Folder, в поле Name укажите IPSec и нажмите ОK.

Нажмите кнопку Add, выберите IP Rule.

Заполните поля следующим образом:

Вкладка General – параметры General:

Name: IPSec_to_lanAction: AllowService: all_services

Параметры Address Filter:

Source:Interface: tunnelNetwork: IPSec_remote_net

Destination: Interface: lanNetwork: lannet

Нажмите ОК.

Тестирование производительности

Тестирование проводного сегмента

Тестирование проводилось по этой методике

Максимальная скорость: 67,90 Мбит/с — достаточно высокий показатель. В полнодуплексном режиме скорость трафика несколько снижается, а скорость в направлении WAN->LAN становится существенно ниже скорости в направлении LAN->WAN.

Посмотрим, как ведет себя трафик при уменьшении размера пакетов:

Тестирование NetPIPE

Максимальная скорость: 76,45 Мбит/с. При увеличении размера передаваемого блока данных, скорость сначала возрастает, некоторое время держится максимума, а затем заметно падает (с

40 Мбит/с) — аномальное поведение.

Ярлыки

.htaccess(1).NET(4).NET core(1)152-ФЗ(1)(90)1C8.3(29)802.1q(1)802.1x(3)804HV(1)Автоматизация поликлиник(1)автомобиль(1)Администрирование(71)аксессуары(1)безопасность(6)Ведьмежонок(1)взлом(12)видео(1)виртуализация(1)Дача(11)Документация(5)Дом(1)драйвер(1)Железо(1)звуки(1)интернет-торговля(1)Инфраструктура IT(3)Кадры(2)Книги(2)кодировки(1)командная строка(4)конвертеры(1)Корпоративный портал(1)Лицензирование(1)Личное(103)Логи(2)Макросы(1)Макс(20)маршрутизатор(1)Мишка(2)мониторинг(26)обновление(2)Планшет(1)ПО(2)позравления(2)принтер(1)принтеры и факсы(1)Программирование(12)Программы(8)ПЭП(1)работа(1)разное(10)реестр(1)резервное копирование(10)ржака(5)ржач(60)роутер(2)Сайты(3)сервер(10)сертификаты(13)сетевое оборудование(2)сети(14)сканеры(3)Склад(1)скрипты(13)СКУД(2)СХД(1)Терминальный сервер(1)тесты(1)тонкий клиент(6)ТСД(3)Турбо9(1)Улька(82)Управление IT отделом(23)файлообменники(1)форматы файлов(2)хостинг(1)шифрование(5)штрихкод(7)юмор(2)ActiveSync(2)AD(28)AdminSDHolder(1)ADO(3)AJAX(2)Android(3)Ansible(6)apache(1)APC(1)ARR(1)ASP.NET(9)Asterisk(6)AutoCad(1)backlog(1)backup(1)base64(1)Bi(4)BIMI(1)Bitrix(12)blazor(9)blog(1)BPM(1)C#(10)Cacti(5)CentOs(15)Certification Authority(17)checkpoint(1)chrome(1)Cisco(3)communigate(1)CRM(1)css(1)DKIM(6)Dlink(4)Dlink DFL(7)DLP(4)dmarc(2)dns(7)docker(4)dovecot(1)DropBox(1)e-Token(2)EAN13(2)eBay(1)ECM(1)elasticsearch(2)ERP(1)eventlog(2)Excel(11)Exchange(119)Exchange 2021(45)failover(1)ffmpeg(1)FIM(1)fishing(1)flash(2)FortiGate(1)ftp(7)Galaxy tab(1)Gmail(5)Google(6)gpedit(1)GPO(11)hack(1)handmade(1)HAproxy(1)HASP(5)HDD(1)HR(1)html(5)html5(2)Hyper-V(1)IIS(6)IKEA(1)IMAP(2)iPad – iPhone(20)Ipecs(13)ipsec(1)iptables(1)isa(19)iSCSI(1)IT(1)ITSec(1)jabber(3)JSON(1)KCD(3)Kerberos(6)kibana(2)l2tp(3)Linksys(1)Linux(10)logstash(2)LVM(1)Lync(7)MAC-адрес(3)MAPI(1)MD-5(1)microsoft(5)Mikrotik(29)MSOffice(5)MTU(2)NAS(2)NAT(1)netping(1)Nextcloud(6)nginx(1)OData(1)online-сервисы(1)OpenSource(1)openssl(3)OTP(1)Outlook(19)OWA(4)php(2)PKI(1)postgres(1)PowerBI(4)PowerPoint(2)powershell(52)Proxy(3)punto(1)PWA(1)R2(2)RabbitMQ(1)RDP(22)recover(1)Redmine(10)reverse proxy(3)RIP(1)RMS(3)RSS(1)rtp(1)RuToken(4)Safari(6)Samsung(1)SDP(1)security(3)SEO(1)service(1)sha1(2)Sharepoint(11)Silverlight(1)sip(4)skype(1)sms(1)smtp(1)SNMP(12)SOAP(1)SPAM(1)Speech API(1)spf(7)Sphinx(1)SQL(6)SSD(1)SSH(1)SSL(16)SSO(1)SSTP(2)Sysinternals(1)Syslog(1)system-administrators.info(1)taiga(1)Teams(1)telegram(2)tls(1)TMG(19)torrents(1)turnserver(1)UI/UX(1)URI(1)vbs(14)vimeo(1)Vista(1)VisualStudio(2)VLAN(1)VOIP(9)VPN(8)WAS(2)WCF(1)web(1)web-камеры(1)web-сервис(6)webmin(1)wifi(6)Windows(38)Windows Server 2021 R2(3)Windows8(1)wmi(1)WMS(1)Word(3)Work Folders(1)WPA2(2)WSUS(1)xml(4)youtube(1)zabbix(2)

Выводы

Рассмотренное устройство имеет достаточно широкие функциональные возможности, часть которых (VPN-сервер, шейпинг трафика и др.) будет рассмотрена в следующих обзорах.

Про сертификаты:  БИО сертификат на пищевую продукцию — тонкости сертификации, сроки оформления | Тест Петербург

Устройство является достаточно новым — на сайте D-Link его описание пока отсутствует.

По своей функциональности устройство является маршрутизатором с более широкими возможностями настройки (если сравнивать его с «обычными» NAT-маршрутизаторами). Настройка устройства может осуществляться только через WEB-интерфейс, который позволяет производить достаточно гибкую настройку устройства, но за счет этого достаточно сложен — на то, чтобы привыкнуть к работе с ним может потребоваться немало времени.

При проверке работы WEB-интерфейса в различных браузерах, было обнаружено, что в Opera браузер работает некорректно. В InternetExplorer и Mozilla FireFox проблем с интерфейсом настройки не возникало.

Консольный интерфейс устройства не позволяет производить настройку устройства — через него возможен только сбор информации и сброс настроек.

При увеличении блока передаваемых данных, скорость трафика заметно снижается, что является аномальным поведением.

Плюсы:

  • Гибкость интерфейса настройки
  • Широкие возможности настройки файрвола
  • Возможность работы с политиками маршрутизации
  • Наличие в устройстве 3-х VPN-серверов (IPSec, PPTP, L2TP)
  • Возможность обнаружения и предотвращения вторжений
  • Возможность шейпинга трафика

Минусы:

  • Невозможность отключения аппаратного MAC-адреса на интерфейсах устройства
  • Сложность WEB-интерфейса
  • Невозможность настройки через консольный интерфейс
  • Заметное снижение производительности при увеличении блоков передаваемых данных
  • Отсутствие описания расширенных настроек («Advanced Settings») в документации

источник

D-Link
Оцените статью
Мой сертификат
Добавить комментарий

© 2025 Мой сертификат