虚拟专网使用手册.docx
- 文档编号:1184880
- 上传时间:2022-10-18
- 格式:DOCX
- 页数:47
- 大小:1.49MB
虚拟专网使用手册.docx
《虚拟专网使用手册.docx》由会员分享,可在线阅读,更多相关《虚拟专网使用手册.docx(47页珍藏版)》请在冰豆网上搜索。
虚拟专网使用手册
虚拟专网使用手册
V2.0
北方电信有限公司
2006年3月
前言
商务领航之“虚拟专网”平台是中国电信为帮助中小企业走进E时代而量身打造的一套高效、低廉的移动办公应用平台。
通过该平台,企业出差人员或者总分公司之间,只要能上网就可以随时接入公司总部,来使用总部内网的资源。
第1章系统概述
1.1客户需求
——公司经常有人员在外出差或在家办公。
——公司在异地有办事处。
——公司在异地有分公司。
——公司的办公室和工厂或仓库不在同一个地点。
——公司有自己的本地局域网,而且出差人员和异地办公人员需要接入公司本地局域网。
如果您真的碰到上述问题,哪怕是其中的一个,那我们想提醒你,信息时代还有其他更加快捷、廉价的方案等待您去做出选择。
1.2功能定位
虚拟专网是北方电信为有异地网络互联需求的用户量身定做的一项业务。
该业务主要由高效安全的VPN模块、企业级包过滤防火墙模块和访问控制三个模块构成。
主要功能:
虚拟专网的VPN模块为用户进行异地网络的安全互联,启动防火墙模块后,该模块可以保护使用虚拟专网业务的企业内网免受来自外部网络的攻击,而访问控制模块可以针对远程接入用户设置不同的访问内网的权限,而且该权限可以细分至内网每台PC的每个服务。
其他功能:
虚拟专网还具有NAT代理上网功能,并且可以对通过该软件上网的PC进行上网控制。
QOS功能:
通过对接入用户的IP和端口的控制,从而使不同的接入人员的数据报具有不同的优先级,从而保证重要业务的优先投递。
硬件鉴权功能:
该功能可以确保杜绝非法用户接入,用户从接入电脑上通过虚拟专网软件导出一个硬件证书,该证书包括本PC的硬盘、CPU和网卡三者的信息,三者信息都为全球唯一。
后把此证书传输到网关端,和该PC所使用的用户名和密码绑定,通过该项功能的设置,该台PC的用户名和密码即使被非法盗取,由于接入PC机的硬件信息和绑定的不同而拒绝接入。
从而杜绝了非法用户接入。
虚拟专网业务包括两种类型的软件,分网关端软件(安装于公司内网)和移动端软件(安装在出差人员的电脑)。
1.3系统特点
▪保护原有投资,无需增加任何硬件设施;
▪无需改动原有应用系统和网络结构;
▪支持各种上网方式,如ADSL/ISDN/宽带/Modem;
▪支持动态IP寻址;
▪支持Windows98/NT/2000(SP2orabove)/XP系统操作系统;
▪支持NAT(网络地址转换)和DMZ端口转发功能;
▪自定义VPN网络拓扑,可构建公司的星形与网状VPN网络结构;
▪接入用户提供用户名和机器硬件信息进行绑定,杜绝非法用户的接入
▪提供更细致的权限粒度,对接入的用户名进行了权限设定,不同的用户具有不同的访问权限,业务权限区分,一目了然。
▪完善的QOS划分机制,不同的内部服务对应不同的带宽,保证重要业务的优先投递。
▪总部多子网支持,可以实现接入端对总部多个子网的同时访问。
▪集成企业级包过滤防火墙,可对TCP/UDP/ICMP等数据包进行监控、分析、检测,防止外部黑客入侵公司网络,并可灵活限制内部上网通道;
▪高级加密标准——AES加密方式,确保中间数据传输安全,即使被中间截获也不会泄漏任何信息。
▪改进的IPSEC协议,数据压缩传输,更充分利用现有网络资源。
▪IP&MAC地址绑定功能,确保对内网上网用户的合理控制。
1.4产品优势
先进的应用技术开发平台,保证系统在技术领域的先进性
中国电信庞大的网络支撑队伍确保用户使用的是可靠的网络,所有数据传输均采用严格的加密形式进行传播,使得商业数据更加安全、高效
7x24小时电信级的完善售后服务体系,“虚拟专网”的用户可以得到持续的客户服务和程序升级等增值服务
程序设计以人为本,无论是初级用户还是高级商业客户,都可以迅速地熟悉并操作“虚拟专网”
第2章产品功能介绍
2.1总体功能介绍
▪使用虚拟专网能够让公司总部与移动用户、分公司的局域网轻松实现安全互联。
▪原本只能用于单一局域网网内的系统或者功能,能够扩展到多个局域网中,实现公司数据和信息的同步统一,增加企业的工作效率,提高竞争力
▪公司老总或各级主管在外出差时可随时接入企业内部局域网,查询所有相关的财务等重要信息和收发内部邮件,也可以及时发送信息回公司总部,实现移动办公,保证工作效率。
第3章DLAN虚拟专网安装及使用
3.1网关模式(MDLAN)的安装配置
3.1.1功能描述
运行MDLAN的安装程序,出现如下画面,选择下一步,出现安装目录选择界面,选择要安装到的目录。
一般情况下采用默认设置即可:
接下来会安装网络驱动程序,要求断开adsl或modem拨号连接,同时关闭网络应用程序:
安装完成后,要求重新启动计算机.重新启动计算机后,就可以启动MDLAN,通过控制台或配置向导配置MDLAN。
3.1.2基本配置
MDLAN首次启动时,会自动弹出向导配置窗口,根据向导进行如下配置。
也可以通过“工具―→DLAN配置向导”进入配置向导界面。
配置网卡:
配置网卡时,需要配置内、外部网网卡。
ADSL直接拔号上网时,外部网卡选择虚拟的拔号网卡;通过宽带(NAT)双网卡上网时,外部网卡选择连接外网的网卡;单网卡上网时,外部网卡和内部网卡都选择内网的网卡。
选择内部网卡后,内网IP地址和子网掩码会自动映射过来,或根据实际的IP和子网掩码做相应的更改。
配置帐号和密码:
虚拟专网帐号和密码是北方电信分配的用来登录目录服务器的。
每一个企业的每一个网关和移动用户都会被分配一个唯一的帐号名和密码。
网关和移动输入了正确的帐号和密码后,就可以在目录服务器上完成帐号验证和地址交换,建立网络通道。
当MDLAN具有Internet上的合法IP时(如ADSL拨号获取的动态IP),表示MDLAN直接Internet。
当MDLAN采用大楼宽带上网,获得的是宽带内部IP,表示MDLAN非直连Internet,选择相应的设置项即可。
可点击“测试”按钮,来检查该帐号密码是否设置正确,目录服务器是否工作正常。
点击“下一步”,出现如下界面,基本配置结束。
3.1.3虚拟专网控制台
DLAN网关模式控制台主要分三大部分:
系统信息控制台,MDLAN控制台,防火墙控制台。
系统信息控制台:
系统信息控制台:
主要是用来管理和监控整个DLAN产品,它包括两个选项,系统配置和控制台管理。
系统配置用来系统正常运行所需配置的基本信息,包括内、外部网卡的选择,内网IP地址和子网掩码的设置。
在“DLAN配置向导”中已经有这部分内容的配置。
控制台管理用来设置DLAN控制台的相关属性。
控制台与DLAN的各功能模块是独立的,如DLAN连接模块、防火墙模块、NAT模块,都可以在控制台不启动的情况下正常运行。
可以在该界面中选择控制台及各功能模块是否开机就自动运行。
同时可以设置进入主控台的密码,保证只有知道密码的管理员才能进入主控台进行管理和配置。
可以点击“修改”按钮设置新的密码。
DLAN支持对配置信息的备份和回复,点击相应按钮、可以将配置好的信息备份,备份时可以对备份文件设置密码、以保障安全性。
系统重新安装时,可以将配置信息恢复过来。
所有的配置项更改后,都必须点击“设置生效”按钮,才能使变更的配置项起生效。
MDLAN(虚拟专网)控制台:
MDLAN控制台提供了对DLAN虚拟专网服务的设置、管理和状态显示。
下图为虚拟专网软件运行状态界面,显示了虚拟专网服务当前的运行状态、接入的节点信息,并提供了启动或停止服务的操作按钮。
接入的节点状态包含如下信息:
当前接入节点的用户的名称,类型(网关或移动),接入节点的互联网IP(InternetIP),接入节点的内部网IP,接入时间指网络节点接入系统的时间。
MDLAN控制台具体的功能包括以下部分:
(1)虚拟专网帐号和密码设置:
虚拟专网帐号和密码是用来登录北方电信的目录服务器的。
在“DLAN安装向导”中对该选项已经进行了配置。
(2)连接管理:
在此选中想要连接的用户(网关),本网关才会去连接选中的网关,若没有选择网关,则此网关不会去连接任何网关。
(3)用户管理:
管理员可以在这里设置允许接入本网的用户账号、密码,设置是否需要对硬件证书进行认证(ID鉴权),设置加密算法类型(缺省为AES),以及是否启用虚拟IP。
只有符合管理员设置条件的用户,才能够接入本网。
每一个用户对应一个网关或移动,所有的用户都是在北方电信处开户并同步到虚拟专网客户端的。
DLAN提供了用户管理功能,以便于管理员管理用户。
首先选中一个用户,点击“修改”按钮,打开用户管理界面。
选择加密算法。
若没有启动鉴权可以不选择证书文件。
对于移动用户,还可以选择是否启用虚拟IP。
如果为该用户分配一个虚拟内网IP地址、则该用户接入后,会使用这个IP作为虚拟的内网IP地址。
如果虚拟IP设置为0.0.0.0,则系统会自动为该用户从虚拟IP池中随机分配一个内网IP地址。
如果不启用虚拟IP功能,局域网内的其他用户就无法访问该移动用户。
对于移动用户,只能启用主连接的网上邻居。
如下图:
(4)虚拟IP池设置:
虚拟IP是指由网关(MDLAN)指定网关空闲的一段IP作为移动用户接入时的虚拟IP池。
当移动用户接入后,分配一个虚拟IP给移动用户,移动用户对网关的任何操作都是以分配的IP作为源IP、就完全和在网关局域网内一样。
例如使用虚拟IP的移动接入后,可以访问网关局域网内的任何一台计算机,即使该计算机没有把移动指向网关(MDLAN);可以为接入的移动用户指定DNS等网络属性。
配置虚拟IP的步骤:
1、创建虚拟IP池,虚拟IP池中的IP是总部空闲的IP。
2、指定移动用户使用虚拟IP。
如果设置虚拟IP为0.0.0.0表示自动分配虚拟IP,当移动用户接入后,MDLAN从虚拟IP池中选择一个空闲IP分配给移动。
也可以为移动用户指定虚拟IP(例如与该移动用户在局域网内的内网IP一致作为虚拟IP)。
(5)多子网设置
通过DLAN的多子网功能,移动可以访问到各网关的多个子网。
例如,有两个子网(172.16.0.x;10.0.0.x)已经互通。
通过配置两个网关的多子网,可以使得移动能通过DLAN访问两个网络。
配置多子网的步骤:
1、在“多子网设置”里配置需要互联的子网;2、在“路由设置”里为需互联的子网设置路由;3、为移动用户创建虚拟IP池,并指定移动用户使用虚拟IP。
(6)路由设置:
局域网内部的计算机如果需要加入虚拟专网网络、被其他的节点访问,则必须将网关设置为安装DLAN的计算机。
这时,所有的IP数据包首先是经过DLAN的过滤条件进行验证。
如果IP包不是发往网关或移动的IP包(例如是访问Internet网页的数据包),则对此IP包需要进行路由处理,根据路由表的设置,将此IP包通过指定的网卡发送到设定的网关。
例如,某局域网通过一个共享上网器接入互联网,又在局域网内的一台计算机上安装了DLAN。
局域网内的其他计算机原来是将网关设置为共享上网器,但需要和其他节点建立网络连接、又必须把网关改为DLAN。
如果不启动路由功能,则局域网内的计算机就无法正常上网(如浏览网页、收发邮件等)。
启用路由功能之后,DLAN路由模块会将相应的数据请求转发到共享上网器,使得局域网内的计算机能够正常的上网。
网络号和子网掩码确定目的IP(网络号和子网掩码都是0.0.0.0表示缺省路由)。
网关IP为直接上网的设备内网IP地址,接口网卡指本机与网关设备联网的网卡。
注意:
1、任何改动(包括启用路由、禁用路由)都必须按设置生效按钮后才保存结果;2、更换网卡后,或更换本机内部网IP后,用户必须重新生成路由表。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 虚拟 使用手册