华盾VPN安装手册(22页).doc

《华盾VPN安装手册(22页).doc》由会员分享，可在线阅读，更多相关《华盾VPN安装手册(22页).doc（22页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、-华盾VPN安装手册-第 19 页华盾VPN安装手册目 录1前言11.1文档目的11.2读者对象11.3文档组织11.4约定11.5相关文档22安装华盾VPN32.1系统组成与规格32.1.1系统组成32.1.2系统规格32.2确定工作模式32.3系统安装42.3.1硬件设备安装42.3.2检查工作状态52.4登录系统52.4.1出厂配置62.4.2通过CONSOLE口登录72.4.3设置其他管理方式92.4.4设置管理主机122.4.5通过浏览器登录132.4.6通过SSH方式登录132.5恢复出厂配置133配置案例153.1案例1：路由模式下通过专线访问外网153.2案例2：混合模式下通过

2、ADSL拨号访问外网183.3案例3：建立VPN隧道211 前言本安装手册主要介绍华盾VPN的安装和使用。通过阅读本文档，用户可以了解如何正确地在网络中安装华盾VPN，并进行简单配置。本章内容主要包括：l 本文档的用途l 阅读对象l 本文档的组织结构l 本文档的基本约定l 相关文档1.1 文档目的本文档主要介绍如何安装华盾VPN及其相关组件。1.2 读者对象本安装手册适用于具有基本网络知识的系统管理员和网络管理员阅读，通过阅读本文档，他们可以独自完成以下一些工作：l 初次使用和安装华盾VPN。l 管理华盾VPN。1.3 文档组织本文档包括以下章节及其主要内容：华盾VPN安装指南。介绍华盾VPN

3、系统的安装（硬件和管理系统），提供三个基本的配置范例，说明如何将华盾VPN集成到网络中。1.4 约定本文档遵循以下约定：1）命令语法描述采用以下约定，尖括号（）表示该命令参数为必选项。方括号（）表示该命令参数是可选项。竖线（|）隔开多个相互独立的备选参数。黑体表示需要用户输入的命令或关键字，例如help命令。斜体表示需要用户提供实际值的参数。2）图形界面操作的描述采用以下约定：“”表示按钮。点击（选择）一个菜单项采用如下约定：点击（选择） 高级管理 特殊对象 用户。为了叙述方便，本文档采用了大量网络拓扑图，图中的图标用于指明华盾和通用的网络设备、外设和其他设备，以下图标注释说明了这些图标代表什

4、么设备：文档中出现的提示、警告、说明、示例等，是关于用户在安装和配置华盾VPN过程中需要特别注意的部分，请用户在明确可能的操作结果后，再进行相关配置操作。文档中出现的接口标识eth1、eth2等，是为了表示方便，不一定与设备接口名称相对应。1.5 相关文档华盾管理手册华盾命令行手册2 安装华盾VPN本章介绍了安装华盾VPN前的准备工作，以及华盾VPN的物理安装过程，同时介绍了几种登录方式，以便管理员对华盾VPN进行管理。包括如下主要内容：l 华盾VPN系统的组成与规格l 配置华盾VPN的工作模式l 华盾VPN系统的安装l 登录并管理华盾VPNl 华盾VPN的出厂配置2.1 系统组成与规格2.1

5、.1 系统组成 华盾VPN（硬件） 认证客户端（软件）：华盾VPN客户认证专用软件，运行于中文WindowsNT4.0、Windows2000、WindowsXP环境下；华盾VPN支持以下认证：本地认证、Radius、TACACS+、LDAP、域认证、SecurID、证书认证等。 其他配套软件：具体请参见随机光盘的README.TXT描述。2.1.2 系统规格华盾VPN不同型号产品的电源参数、环境规范、物理规格、执行标准和安全规范及标准的内容可能会有所不同。2.2 确定工作模式华盾VPN作为一种网关型产品，通常部署在重要的安全节点或者互联网的入口处，可以通过网络设备，如交换机或HUB，将安全区

6、连接到华盾VPN的网络接口。在安装华盾VPN之前，网络管理人员可根据网络应用的实际情况以及网络中主机、服务器等设备的安全属性来规划安全区域。在网络规划时，一般会碰到两种情况：第一种情况是在当前运行的网络中添加华盾VPN。在这种情况下，华盾VPN的安装环境为一个已经建立并正在运行的网络，目的通常是增强现有网络的防御能力。在此类网络中部署华盾VPN，往往要求尽可能少改动或不改动网络节点的网络属性，如网络拓扑结构、网络设备地址等，并要求华盾VPN的接入对网络通信造成的影响最少，尽可能地做到华盾VPN部署透明。在这种环境下部署的华盾VPN的工作模式最好采用透明模式。此时，华盾VPN将作为二层网络设备，

7、学习并建立MAC地址表，快速转发数据报文，提高转发效率。另一种情况是在设计网络结构和部署网络设备的初始阶段，需要充分考虑网络的安全问题，并将华盾VPN的安全和通信等功能融入网络设计方案。在这种情形下，华盾VPN的工作模式最好设定为混合模式，即某些区域（接口）工作在透明模式下，而其他的区域（接口）工作在路由模式下。在透明模式中，可以将同一应用业务的服务器和客户机通过同一网段连接起来，以提高整体网络的通信性能。华盾VPN的路由模式提供完整的静态路由功能，对于中小规模的内部网络，完全可以代替内网路由器。同时，可以启用华盾VPN的通信功能，如路由、地址转换等，以便平滑地将华盾VPN集成到已存在的网络环

8、境中。另外，在该工作模式下，华盾VPN可以更好地支持网络扩展，如可以在对华盾VPN原有的配置不作改变或只作少量修改的情况下，实现在原有网络基础上增加网段或主机。华盾VPN部署案例请参见3配置案例。说明 在初始缺省设置中，eth0接口对应着内部网络防火区。2.3 系统安装2.3.1 硬件设备安装一般遵循如下步骤安装硬件设备：1）支架安装机架式华盾VPN采用为标准19英寸机箱，可以安装固定在标准机柜中，随机附件中有一对上架支架（侧耳），将其固定在华盾VPN上。2）将华盾VPN置于机柜托架上华盾VPN要求放在机柜的托架上，并适当调节机柜托架与华盾VPN的相对位置，使华盾VPN的固定支架在垂直方向上受

9、力较小。3）本地一台管理主机通过CONSOLE线缆与华盾VPN的CONSOLE口连接，供超级管理员进行初步配置。 4）把华盾VPN的网络接口通过直通网络线与对应防火区域中的网络设备相连接。5）通过电源线连接华盾VPN和电源。6）启动华盾VPN电源（电源开关位于设备后端）。提示 请确认华盾VPN的防火区域与华盾VPN接口名称的对应关系。 请注意随机配件中直通线（Passthrough）和交叉线（Crossover）的使用方法：交叉线用于通信主机间的直接连接，如华盾VPN与主机间的直接连接；直通线用于华盾VPN和网络设备的连接，例如华盾VPN与交换机等的连接。 此硬件安装说明适用于机架型产品。对于

10、桌面型产品，可以略过步骤1）和步骤2）。2.3.2 检查工作状态华盾VPN的硬件设备和管理软件安装完成之后，就可以通电使用。在华盾VPN的工作过程中，用户可以根据设备面板上的指示灯来判断其工作状态，具体请见下表。指示灯名称指示灯状态描述工作灯（Run）当华盾VPN进入工作状态时，工作灯闪烁。主从灯（M/S）不启用双机热备时，主从灯处于熄灭状态；在启动双机热备时，主从灯亮的时候，代表这台设备处于工作模式；反之，如果主从灯处于熄灭状态，则该华盾VPN工作在备份模式。说明：部分型号的华盾VPN设备没有“主从灯”。管理灯（MGMT）当网络管理员登录华盾VPN时，管理灯点亮。日志灯（Log）当有日志记录

11、动作发生时，且前后两次日志记录发生的时间间隔超过1秒钟时，日志灯会连续闪烁4次。提示 某些桌面型产品指示灯可能会有所不同。2.4 登录系统网络管理员可以通过多种方式管理华盾VPN。管理方式包括： 本地管理，即通过CONSOLE口登录华盾VPN； 远程管理，使用浏览器、SSH、TELNET等多种方式登录华盾VPN进行配置管理。第一次使用华盾VPN，管理员可以通过CONSOLE口以命令行方式、通过浏览器以WEBUI方式进行配置和管理。在下面几节中，将会介绍如何通过CONSOLE口登录到华盾VPN并配置其他几种管理方式。其中，WEBUI管理方式是最方便、也是最常用到的管理方式。2.4.1 出厂配置华

12、盾VPN在出厂时使用了以下默认配置：管理用户管理员用户名superman管理员密码ocssjw10系统参数设备名称HuadunOS同一管理员最多允许登录失败次数5最大并发管理数目5最大并发管理地点5同一用户最大登录地点10WEBUI超时时间180秒物理接口eth0（或LAN口）IP：192.168. 1.254/24其他接口Shutdown服务访问控制WEBUI管理（通过浏览器管理华盾VPN）允许来自eth0（或LAN口，或MGMT口）上的服务请求GUI管理（通过华盾管理中心）允许来自eth0（或LAN口，或MGMT口）上的服务请求SSH（通过SSH远程登录管理）允许来自eth0（或LAN口，

13、或MGMT口）上的服务请求升级（对华盾VPN进行升级）允许来自eth0（或LAN口，或MGMT口）上的服务请求PING（PING到华盾VPN的接口IP地址或VLAN虚接口的IP地址）允许来自eth0（或LAN口，或MGMT口）上的服务请求其他服务禁止地址资源地址段名称any地址段范围0.0.0.0 - 255.255.255.255区域资源区域名称area_eth0绑定属性eth0权限允许日志日志服务器IP地址IP：192.168. 1.253日志服务器开放的日志服务端口UDP的514端口高可用性（HA）关闭2.4.2 通过CONSOLE口登录通过CONSOLE口登录到华盾VPN，可以使用命令

14、行方式对华盾VPN进行一些基本的设置，用户在初次使用时，通常都会登录到华盾VPN更改其出厂配置（更改接口IP地址等），以便在不改变现有网络结构的情况下将华盾VPN接入网络中。这里将详细介绍如何通过CONSOLE口连接到华盾VPN。1) 将CONSOLE口控制线的RJ45接口端和华盾VPN的CONSOLE口相连接，DB-9接口端和计算机的串口（这里假设使用COM1）相连接。（部分产品无RJ45接口形式的Console口，故需要使用DB9-DB9 Console控制线）。2)在计算机中建立华盾VPN和管理主机的连接。选择 开始 程序 附件 通讯 超级终端，系统提示输入新建连接的名称。如下图所示。用

15、户可以输入任何名称，这里假设名称为huadun，输入名称确定后，提示选择使用的接口（假设使用COM1），如下图所示。点击“确定”按钮后，可以对COM1的属性进行设置，如下图所示。用户可以点击“还原为默认值”按钮，也可以按照以下参数设置COM1口的属性。参数值每秒位数9600数据位8奇偶校验无停止位1数据流控制无成功连接到华盾VPN后，超级终端界面会出现输入用户名和密码提示，如下图所示。用户直接输入华盾VPN默认的串口登录用户：superman和密码：ocssjw10，即可登录到华盾VPN。3）登录后，用户便可使用命令行方式对华盾VPN进行配置管理等操作。提示 华盾VPN对于用户名和密码大小写敏

16、感。 本地管理员具有华盾VPN所有管理权限，为超级管理员。 关于如何通过命令行配置华盾VPN，请参考华盾命令行手册基础配置。2.4.3 设置其他管理方式从CONSOLE口本地登录华盾VPN后，管理员可以通过命令行对华盾VPN进行一些必要的设置，如更改、添加接口IP，添加其他的远程管理方式（包括“WEBUI管理”、“SSH”等），方便对华盾VPN的管理维护。本节将介绍如何使用命令行方式添加其它管理方式。另外，管理员还可以使用浏览器通过eth0（或MGMT）接口对华盾VPN进行设置，这要求管理主机能够访问eth0（或MGMT）。2.4.3.1 设置接口IP地址用户可通过华盾VPN的任一物理接口远程

17、管理华盾VPN，但是在此之前，管理员必须为此物理接口配置IP地址，作为远程管理华盾VPN的管理地址。命令行语法如下：network interface ip add mask 参数说明：string：华盾VPN物理接口名称，字符串，例如eth0。ipaddress：IP地址，如192.168.91.22。netmask：子网掩码，如255.255.255.0。2.4.3.2 定义地址资源管理员应定义允许远程管理华盾VPN的IP地址范围，可以是某一特定的IP地址，也可以来自某一子网或地址范围。在命令行中使用define host/define subnet/define range 这几个命令定

18、义IP地址、子网或地址范围。命令行语法如下：定义IP：define host add name ipaddr 定义子网：define subnet add name ipaddr mask 定义地址范围：define range add name ip1 ip2 参数说明：string：资源名称，字符串。ipaddress：IP地址，如192.168.91.22。netmask：子网掩码，如255.255.255.0。成功定义后系统会自动为已定义的IP地址、子网或地址范围生成对应的ID号。查看用户已定义的资源的ID号命令行语法如下：查看已定义的所有主机资源：define host show查看

19、已定义的所有子网资源：define subnet show查看已定义的所有地址范围资源：define range show2.4.3.3 指定管理方式管理员可以为已定义的IP地址（或子网、地址段）指定其可使用的远程管理方式。在命令行中可以使用pf service命令指定管理方式。命令行格式如下：pf service add name area addressid | addressname vsid 相关参数说明：参数说明add增加一条服务访问规则name选择华盾VPN设备开放的服务名gui通过图形界面访问设备snmp开放SNMP服务ssh开放SSH服务monitor开放监控服务ping开放P

20、ING服务telnet通过TELNET访问设备tosids开放IDS服务auth开放认证服务ntp开放NTP服务update开放升级华盾VPN的服务dhcp开放动态主机配置服务rip开放RIP服务l2tp开放L2TP服务pptp开放PPTP服务webui开放通过WEBUI管理华盾VPN的服务ipsecvpn开放IPsec VPN服务，允许用户创建IPsec VPN隧道。cgi_auth允许CGI认证用户使用华盾VPN设备所提供的认证机制。CGI认证也需要开放auth服务。sslvpn当华盾VPN包含SSL VPN模块时，才包含该选项，用于开放443和4430端口，允许使用SSLVPN的相关功能

21、，包括全网接入、普通用户登录网关等。sslvpnmgr当华盾VPN包含SSL VPN模块时，才包含该选项，用于管理员通过8080端口对华盾VPN进行管理。websv当华盾VPN包含SSL VPN模块时，才包含该选项。开放该服务后，SSL VPN的用户可以通过HTTP方式（不开放该服务时，是HTTPS方式）访问SSL VPN网关。rip允许使用RIP动态路由协议。bgp允许使用BGP动态路由协议。area选择允许服务请求来自哪个区域，只能从现有区域中选择一个。string华盾VPN网络区域名称（字符串）addressid设定允许访问的地址资源ID号number数值，必须是已经定义的主机、子网或范

22、围地址资源的ID号。addressname设定允许访问地址资源名称string字符串，必须是已经定义的主机、子网或范围地址资源名称。vsid该服务访问规则所属的虚系统ID号number数值，范围为0-255；默认为0，表示不属于任何虚系统。2.4.3.4 设置管理方式实例下面是个简单的配置实例，用以说明如何设置华盾VPN的WebUI管理方式：1）为华盾VPN的物理接口Eth1配置IP地址192.168.91.88，子网掩码是255.255.255.0，此地址将作为华盾VPN的管理地址：进入network组件HuadunOS# network 配置Eth1 接口IPHuadunOS.networ

23、k# interface eth1 ip add 192.168.91.88 mask 255.255.255.02）定义一个区域资源“webui-area”，并设置其属性为eth1：进入define组件HuadunOS.network# exitHuadunOS# define配置Eth1 接口IPHuadunOS.define# area add name webui-area attribute eth1 access on3）定义一个主机资源“manage-host”，地址是192.168.91.250，此地址是被允许的远程管理华盾VPN的地址：保持define组件HuadunOS.d

24、efine#定义管理主机资源HuadunOS.define# host add name manage-host ipaddr 192.168.91.2504）设置从192.168.91.250这个IP可以浏览器远程管理该华盾VPN：进入pf组件HuadunOS.define# exitHuadunOS# pf定义管理主机资源HuadunOS.pf# service add name webui area webui-area addressname manage-host2.4.4 设置管理主机在华盾VPN上成功添加管理方式后，还需要在管理主机进行必要设置才能远程管理华盾VPN。下面简要说明

25、了不同管理方式的管理主机的要求：SSH，需要SSH软件，如PUTTY等，需要设置连接地址为华盾VPN管理地址；WEBUI，需要在管理主机安装浏览器，并进行必要的配置。提示 管理主机的浏览器需支持SSLv2.0、SSLv3.0 或TLSv1.0协议中的任意一种。 华盾VPN支持IE5.0、IE6.0，Mozilla firefox 1.0.2、Mozilla firefox1.0.3、Mozilla Firefox 1.0.4、Mozilla firefox 1.0.5，Netscape7.1（只能在Linux9.0中支持）、Netscape8.0（支持Linux9.和Linux10.0），Op

26、era8.0（只支持Windows2000 Professional， Windows2000 Server）。 使用前需确认浏览器选项中cookie相关选项打开。2.4.5 通过浏览器登录管理员在管理主机的浏览器上输入华盾VPN的管理URL，例如：https:/192.168.1.254，弹出如下的登录页面。输入用户名密码（出厂用户名为：superman，密码为：ocssjw10），点击“提交”，就可以进入管理页面。提示 在输入URL时要注意以“https:/”作为协议类型，例如https:/192.168.1.254。 如是具有SSL VPN功能的华盾VPN，需要通过8080端口登录，例如

27、https:/192.168.1.254:8080。 华盾VPN对于用户名和密码大小写敏感。2.4.6 通过SSH方式登录SSH提供了一种更安全的机制来供用户远程管理华盾VPN。在SSH连接中，所有的数据都是经过加密后传输，这就保证了华盾VPN的关键信息，如密码等，在传输过程中不会被窃听而导致泄露。用户可以在本地主机上使用支持SSH的客户端软件，如用于UNIX系统的OpenSSH，或用于32位WINDOWS平台的PUTTY，来登录华盾VPN。2.5 恢复出厂配置系统除了提供上节所述的设备配置维护功能外，还提供了恢复出厂默认配置的功能，以方便用户重新配置设备。恢复出厂配置后，设备的网络接口地址可

28、能会改变，配置信息会被清除，进而导致失去连接，请用户提前做好准备。恢复出厂配置的具体操作方法如下：1）通过浏览器登录华盾VPN后，选择 系统管理 维护，点击“配置维护”页签，出现如下页面。2）点击“恢复配置”按钮，经用户确认后，系统恢复出厂配置并自动重启，此时用户与华盾VPN设备的连接断开。3 配置案例为了更好地指导用户配置使用华盾VPN，本章列举了3个典型案例，并详细介绍了配置过程。三个案例之间具有相互呼应的关系，具体描述如下：l 案例1：路由模式下通过专线访问外网，主要描述总公司接入华盾VPN后的简单配置，总公司的华盾VPN工作在路由模式下。l 案例2：混合模式下通过ADSL拨号访问外网，

29、主要描述分公司华盾VPN的配置，分公司的华盾VPN工作在混合模式下。值得注意的是，分公司是通过ADSL拨号与外网进行连接的。l 案例3：建立VPN隧道，主要介绍在如上所述的网络环境中，如何在总公司与分公司之间建立IPSec VPN隧道。3.1 案例1：路由模式下通过专线访问外网图 31华盾VPN的路由模式网络状况： 总公司的华盾VPN工作在路由模式。Eth1属于外网区域，IP为202.69.38.8；Eth2属于SSN区域，IP为172.16.1.1；Eth0属于内网区域，IP为192.168.1.20。 网络划分为三个区域：外网、内网和SSN。管理员位于内网中。内网中存在3个子网，分别为19

30、2.168.1.0/24，192.168.2.0/24，192.168.3.0/24。 在SSN中有三台服务器，一台是HTTP服务器（IP地址：172.16.1.2），一台是FTP服务器（IP地址：172.16.1.3），一台是邮件服务器（IP地址：172.16.1.4）。用户需求： 内网的机器可以任意访问外网，也可访问SSN中的邮件服务器和FTP服务器； 外网和SSN的机器不能访问内网； 允许外网主机访问SSN的HTTP服务器。配置步骤：1) 为华盾VPN的物理接口配置IP地址。进入NETWORK组件HuadunOS# network配置Eth0 接口IPHuadunOS.network#

31、interface eth0 ip add 192.168.1.20 mask 255.255.255.0配置Eth1 接口IPHuadunOS.network# interface eth1 ip add 202.69.38.8 mask 255.255.255.0配置Eth2 接口IPHuadunOS.network# interface eth2 ip add 172.16.1.1 mask 255.255.255.02）内网中管理员通过浏览器登录华盾VPN，为区域资源绑定属性，设置权限。设置内网绑定属性为“Eth0”，权限选择为禁止。设置外网绑定属性为“Eth1”， 权限选择为允许。设

32、置SSN绑定属性为“Eth2”，权限选择为禁止。3)定义地址资源定义HTTP服务器主机名称设为HTTP_SERVER， IP为172.16.1.2。定义FTP服务器主机名称设为FTP_SERVER， IP为172.16.1.3。定义邮件服务器主机名称设为MAIL_SERVER， IP为172.16.1.4。定义虚拟HTTP服务器主机名称设为V_SERVER，IP为202.69.38.10。4)定义访问规则允许内网用户访问HTTP服务器源区域选择“内网”；目的区域选择“SSN”，目的地址选择“HTTP_SERVER”；服务选择“HTTP”；访问权限选择“允许”，并启用该规则。允许内网用户访问邮件

33、服务器源区域选择“内网”；目的区域选择“SSN”，目的地址选择“MAIL_SERVER”；服务选择“POP3”，“SMTP”；访问权限选择“允许”，并启用该规则。允许内网用户访问FTP服务器源区域选择“内网”；目的区域选择“SSN”，目的地址选择“FTP_SERVER”；服务选择“FTP”；访问权限选择“允许”，并启用该规则。允许外网用户访问HTTP服务器源区域选择“外网”；目的区域选择“SSN”，目的地址选择“HTTP_SERVER”；服务选择“HTTP”；访问权限选择“允许”，并启用该规则。5）定义地址转换规则内网用户通过源地址转换访问外网转换控制选择“源转换”；源区域选择“内网”；目的区

34、域选择“外网”；服务不选，表示全部服务；源地址转换为“eth1”。外网用户通过目的地址转换访问HTTP服务器转换控制选择“目的转换”；源区域选择“外网”；目的区域选择“SSN”，目的地址选择“V_SERVER”；服务选择“HTTP”；目的地址转换为“HTTP_SERVER”。6）定义路由为内网用户访问Internet添加缺省路由目的地址设为“0.0.0.0”；网关地址设为“202.69.38.9”。添加回指路由，为发往内网的数据包指定路由目的地址设为“192.168.0.0”；网关地址设为“192.168.1.10”。3.2 案例2：混合模式下通过ADSL拨号访问外网图 32华盾VPN的混合模

35、式网络状况： 分公司的华盾VPN工作在混合模式。Eth1为路由接口，属于外网区域，通过路由器与外部网络及ISP相连（该接口由ADSL拨号获取公网IP）；Eth0和Eth2均为交换接口，Eth0工作在Trunk方式下，Eth2工作在Access方式下；Eth0下连接着2个VLAN，VLAN-1和VLAN-2；Eth3下连接着1个VLAN，VLAN-3。 VLAN-1的IP为192.168.10.1/24；VLAN-2的IP为192.168.25.1/24；VLAN-3的IP为192.168.95.1/24。 管理主机位于VLAN-1内。用户需求： 华盾VPN通过ADSL拨号获取eth1的公网IP

36、地址。 VLAN-1内的机器可以任意访问外网（NAT方式），VLAN-2 和VLAN-3内的机器禁止访问外网，但允许VLAN-2 访问VLAN-3。 外网的机器不能访问VLAN-1与VLAN-2；外网的机器可以访问VLAN-3。配置步骤：1）通过CONSOLE口登录华盾VPN，配置基本信息。进入network组件HuadunOS # network 添加VLAN-1HuadunOS.network# vlan add id 1配置VLAN-1的管理IPHuadunOS.network# interface vlan.0001 ip add 192.168.10.1 mask 255.255.2

37、55.0配置eth0 接口为交换接口HuadunOS.network# interface eth0 switchport mode trunk设置eth0接口属于VLAN-1HuadunOS.network# interface eth0 switchport trunk allowed-vlan 00012）管理员通过VLAN-1的管理IP登录华盾VPN，并绑定eth1口和ADSL的拨号属性、设置区域资源及VLAN。设置区域（外网）绑定属性为“adsl”；权限设为允许访问。添加VLAN-2管理IP设为“192.168.25.1”，MASK设为“255.255.255.0”。添加VLAN-3

38、管理IP设为“192.168.95.1”，MASK设为“255.255.255.0”。设置eth0接口属于VLAN-2VLAN范围设为“1-2”。3）设置接口设置接口eth2设置为“交换接口”；接口类型为“access”；VLAN范围为“3”。4）设置ADSL拨号参数设置ADSL拨号参数接口设置为“eth1”；用户名和密码根据ISP服务商提供的参数值进行设置；绑定属性为“adsl”。5）定义访问规则禁止VLAN-2用户访问外网源VLAN选择“VLAN.0002”；目的区域选择“外网”；服务不选，表示全部服务；访问权限选择“拒绝”，并启用该规则。禁止VLAN-3用户访问外网源VLAN选择“VLA

39、N.0003”；目的区域选择“外网”；服务不选，表示全部服务；访问权限选择“拒绝”，并启用该规则。允许VLAN-2用户访问VLAN-3源VLAN选择“VLAN.0002”；目的VLAN选择“VLAN.0003”；服务不选，表示全部服务；访问权限选择“允许”，并启用该规则。禁止外网用户访问VLAN-1源区域选择“外网”；目的VLAN选择“VLAN.0001”；服务不选，表示全部服务；访问权限选择“拒绝”，并启用该规则。禁止外网用户访问VLAN-2源区域选择“外网”；目的VLAN选择“VLAN.0002”；服务不选，表示全部服务；访问权限选择“拒绝”，并启用该规则。6）定义地址转换规则VLAN-1

40、用户通过源地址转换访问外网转换控制选择“源转换”；源VLAN选择“VLAN.0001”；目的区域选择“外网”；服务不选，表示全部服务；源地址转换为“adsl”。7）拨号在华盾VPN上通过选择 网络管理 ADSL 菜单，并点击“开始拨号”按钮进行ADSL拨号。建立ADSL连接成功后，在华盾VPN的路由表中会增加一条内网用户访问Internet的路由信息：源为“0.0.0.0/0”；目的为“0.0.0.0/0”；网关地址为ISP分配的公网IP地址（如：169.254.125.124）；接口为与Eth1口绑定的ppp0口（拨号成功后，系统自动创建了一个ppp0口）。3.3 案例3：建立VPN隧道图

41、33华盾VPN的VPN隧道模式网络状况： 总公司华盾VPN工作在路由模式下，接口Eth1（IP：202.69.38.8）通过路由器与Internet相连；分公司华盾VPN工作在混合模式下，接口Eth1通过路由器与Internet相连，且Eth1口通过ADSL拨号获取公网IP。 总公司华盾VPN的Eth0口与Eth2口分别连接公司内网区和SSN区域，内网区有三个子网：192.168.2.0/24、192.168.3.0/24、192.168.1.0/24。 分公司华盾VPN的Eth0口与Eth2口分别连接内网的三个Vlan：VLAN-1、VLAN-2和VLAN-3，其中VLAN-1的IP为192

42、.168.10.1/24。用户需求： 分公司的VLAN-1所在子网192.168.10.0/24与总公司子网192.168.2.0/24之间建立基于预共享密钥认证的VPN通信。配置步骤：1）配置总公司华盾VPN，具体的配置步骤请参见案例1。2）配置分公司华盾VPN，具体的配置步骤请参见案例2。下面只描述与建立VPN隧道有关的操作。3）在总公司华盾VPN上开放“IPSecVPN”服务开放IPSecVPN服务服务名称为“IPSecVPN”；控制区域为“area_eth1”；控制地址为“any”。4）在分公司华盾VPN上开放服务开放IPSecVPN服务服务名称为“IPSecVPN”；控制区域为“ar

43、ea_eth1”；控制地址为“any”。5）在总公司华盾VPN上绑定虚接口绑定虚接口虚接口名为“ipsec0”；绑定接口名为“eth1”；接口地址为“202.69.38.8”。6）在分公司华盾VPN上绑定虚接口绑定虚接口虚接口名为“ipsec0”；绑定接口名为“eth1”；接口地址为“0.0.0.0”。7）在总公司华盾VPN上添加静态隧道，隧道参数采用默认设置。添加静态隧道隧道名：zong-fenIKE协商模式：主模式认证方式 = 预共享密钥，密钥 = as34Kui()本地标识：202_8对方标识：0_0对方地址：0.0.0.0本地子网：192.168.2.0本地掩码：255.255.255

44、.0对方子网：192.168.10.0对方掩码：255.255.255.0主动发起协商：是8) 在分公司华盾VPN上添加静态隧道，隧道参数采用默认设置。添加静态隧道隧道名：fen-zongIKE协商模式：主模式认证方式 = 预共享密钥，密钥 = as34Kui()本地标识：0_0对方标识：202_8对方地址：202.69.38.8本地子网：192.168.10.0本地掩码：255.255.255.0对方子网：192.168.2.0对方掩码：255.255.255.0主动发起协商：是提示 案例配置中未涉及的参数均采用系统缺省设置。在实际应用中请根据具体网络情况和需求进行修改。 本案例中分公司华盾VPN采用的是ADSL拨号的方式，故其IP设置为0.0.0.0。如果建立隧道的两台华盾VPN均为ADSL环境，则可以通过DDNS方式，利用域名来建立隧道。关于DDNS的具体配置和使用请参考华盾管理手册IPSec VPN配置的相关内容。声明：1本手册所提到的产品规