UTM VPN SetupWord下载.docx
- 文档编号:22581241
- 上传时间:2023-02-04
- 格式:DOCX
- 页数:29
- 大小:829.16KB
UTM VPN SetupWord下载.docx
《UTM VPN SetupWord下载.docx》由会员分享,可在线阅读,更多相关《UTM VPN SetupWord下载.docx(29页珍藏版)》请在冰豆网上搜索。
IP地址:
端口>
的格式填写,如202.96.134.133:
4009。
填写完WebAgent后可以点击<
测试>
按钮查看是否能够连通。
点击<
高级>
按钮出现[Webagent高级设置]对话框如下:
点[主WebAgent密码]或[备份WebAgent密码]中的<
修改>
按钮可以修改WebAgent密码,以防止非法用户盗用WebAgent。
点[数据加密密钥]中的<
按钮,可以设置VPN传输密钥,用于加密VPN传输过程中的数据。
最后需要点击<
设置生效>
按钮保存设置信息。
1.如果总部设置了数据加密密钥,则分支和移动用户必须要输入和总部网关相同的加密密钥,才可以接入该网关及所在的局域网。
2.如果是多线路且都是固定IP的情况下,WebAgent必须填写<
网页形式>
的WebAgent。
2.多线路配置
在使用多条WAN口线路时,必须设置<
多线路配置>
,这里可以对线路的信息进行增删和修改。
添加线路>
按钮,出现添加线路对话框:
选择[线路]后,然后选择[线路类型],包括<
直连>
和<
非直连>
两种类型可选择。
如果外网线路能直接获得InternetIP或者能通过端口映射等方式让Internet用户可以访问到网关设备的端口,则可设置为“直连”,不能获得InternetIP的连接方式则需设置为“非直连”。
[具有固定的InternetIP地址]则根据实际情况填写,动态公网IP(如ADSL)不需填写。
下一步>
设置[上网方式]和[带宽预设],然后<
完成>
多线路的添加。
如下图:
1.这里的[带宽预设]和QoS设置相关,即QoS计算带宽的比例时,是以这里手动填写的带宽值为准。
如果有需要启用到QoS时,请根据线路的真实情况填写带宽参数。
2.<
多线路设备>
一定要设置<
多线路>
,包括只使用一条线路时亦要添加线路。
按钮,这里设置多线路的带宽分配策略,包括三种策略:
[带宽叠加模式],[线路主备模式]和[优先选择最快线路]模式,请根据需要相应选择。
3.端口配置
[端口配置]用于配置AC硬件网关IPsecVPN正常工作时需使用的TCP端口,默认情况下设置为TCP4009、4010、4011三个端口,可根据需要修改端口,设置完毕要按下<
按钮,保存配置。
4.路由设置(DLAN路由)
[VPN配置/路由设置]主要用于实现两种功能:
1、上网分流路由
2、多子网路由
上网分流路由
局域网内部的计算机如果需要加入VPN网络、被其他的VPN节点访问,则必须将网关设置为AC硬件网关的LAN口IP地址。
这时,所有的IP数据包首先是经过DLAN的过滤条件进行验证。
如果IP包不是发往分支或移动的IP包(例如是访问Internet网页的数据包),则对此IP包需要进行路由处理,根据路由表的设置,将此IP包通过指定的网卡接口发送到设定的另一上网网关,出去上网,实现上网分流的功能。
新建>
按钮,出现[新增路由]对话框,在里面添加一条[网络号]为0.0.0.0,[子网掩码]也为0.0.0.0的<
上网分流路由>
。
[网关IP]填写用户分流数据的出口上网网关IP。
如下图所示:
[网络号]和[子网掩码]确定目的IP(网络号和子网掩码都是0.0.0.0表示缺省路由)。
[网关IP]为直接上网的设备内网IP地址,[网络接口]指本AC硬件网关与上网设备有相通连接的接口。
这样设置之后,局域网内电脑网关填写为AC硬件网关设备的LAN口IP,当传输的是VPN数据时,数据会封装之后从设备的WAN口发出;
当传输的是普通上网数据时,AC硬件网关设备会根据上面设置的<
把数据转发到另一个上网出口网关,从而实现VPN数据和普通上网数据的分流。
设置完毕后,如果要启用<
DLAN路由>
,需要点击设置界面右上角的<
启用>
按钮,<
才会真正起效。
多子网路由
当VPN网络中的总部或分支内部有多个网段的网络时,我们称之为VPN多子网。
这些网络如果需要加入到VPN网络中,以便VPN中的分支,移动或总部之间的内网相互访问,需要添加[多子网设置]及<
多子网路由>
来实现。
举例设置如下:
总部有两个网段192.100.100.X和192.100.110.X,这两个网段通过三层交换机相连互通,三层交换机上连接这两个网段的端口IP分别为192.100.100.254和192.100.110.254,我们的VPN设备的LAN口IP为192.100.100.90,放在192.100.100.X网段。
默认情况下移动和分支连接总部的VPN之后,只能访问192.100.100.X网段,如需要实现移动或分支接入后可以访问192.100.110.X网段,需要定义[多子网设置]及添加<
设置步骤如下:
首先定义[多子网设置](具体可参照后面的[多子网设置]章节),在[多子网设置]里面添加一个多子网192.100.110.X如下:
然后在[VPN配置/路由设置]里面添加一条关于192.100.110.X的<
,把网关指向能通往192.100.110.X的三层交换机接口192.100.100.254。
[路由动作]选择<
路由>
确定>
然后<
保存即可。
,需要点击设置右上角的<
如果是分支连入总部需要访问多子网,除了上面的多子网设置外,可能还需要在总部内网的路由交换设备上,添加接入分支的路由,以实现<
回包路由>
1.在添加路由表或修改路由表时、必须保障本机与网关的通信正常。
因为一按<
按钮,程序会自动去取设定的网关IP对应的MAC地址。
若此时设置的网关未开机,或同设置的网关IP的物理连接中断,会有提示框弹出,警告网关IP设置错误。
2.添加路由时,注意选择的接口网卡是同指定的网关相连的网卡。
否则会导致路由数据发送
不到对应的网关。
5.连接管理:
为了实现多个网络节点(多个硬件或MDLAN模块)的互联互通(即<
网状>
网络),SINFORAC硬件网关的IPsecVPN提供了对网络节点互联的自主管理和设置功能。
主要就在[连接管理]中进行相关的设置。
SINFORAC硬件网关可以与其他多个深信服VPN硬件设备或者VPN软件总部进行连接。
按钮,出现如下对话框:
[总部名称]和[描述]可以随便填写,以方便辨识为原则。
会提示输入总部的[主/备份Webagent],填写需要连接的总部的对应WebAgent,点<
按钮可以测试WebAgent是否工作正常:
需要输入[用户名]和[密码],根据总部提供的接入帐号信息来填写即可。
最后点<
,并<
的。
设置完以上信息后[连接管理]里面即出现一条VPN连接记录,选中然后点<
编辑.可修改里面的配置,[启用]是整个连接的开关。
这时,本网的AC硬件网关即可和所设置的深信服VPN硬件设备或VPN软件总部之间进行通信。
如果和多个深信服VPN硬件设备或VPN软件总部之间设置这样的互联关系、就很容易的实现了一个<
网络。
6.算法查看
算法查看提供了对当前数据加密算法的查看,该加密算法会在SINFORAC硬件网关构建的VPN网络中、对所有的传输数据进行加密,以保障数据的安全性。
SINFORAC硬件网关内置了128位的AES加密算法。
只内置了一种AES算法,不能修改,删除或添加。
7.生成证书:
基于硬件特性的证书认证系统是深信服公司的发明专利之一。
该证书提取了深信服VPN、AC硬件设备或安装DLANVPN软件的计算机的部分硬件特性(如网卡MAC地址、硬盘序号等)、生成加密的认证证书。
由于硬件特性的唯一性,使得该证书也是唯一的、不可伪造的。
通过对该硬件特性的验证,就保障了只有指定的硬件设备才能接入授权的网络,避免了安全隐患。
生成证书>
按钮,然后选择好保存路径(如上图),就可以自动生成包含硬件特性的认证证书。
这时需要将该证书通过某种方式(如电子邮件、或U盘等)提供给需要接入的站点管理员,由该站点管理员对证书进行管理。
以后每次连接其他站点时,如果该站点启用了[硬件捆绑鉴权]功能,则每次都会自动验证接入的硬件设备或计算机身份的合法性。
若计算机硬件更换,如CPU、硬盘或网卡等,请重新生成证书。
8.用户管理
管理员可以在这里设置允许接入本网VPN的用户账号、密码,设置是否需要对硬件证书进行认证(硬件ID鉴权)、是否需要DKEY认证,设置加密算法类型(缺省为AES),以及是否启用虚拟IP等。
只有符合管理员设置条件的用户,才能够接入VPN本网,设置界面如下:
按钮,弹出[用户设置向]对话框,根据提示输入需建立的[帐号]和[密码]。
点<
,出现[选择证书]验证设置,如下图:
根据需要可选择[启用硬件捆绑鉴权]和[启用Dkey],勾选相应的选项,然后选择绑定的证书或插入Dkey进行生成即可。
默认情况下,两者都不选择时,则只进行<
帐号密码>
方式的验证。
进行[虚拟IP]设置如下图:
如果建立的帐号是给<
移动PDLAN>
使用,则必须勾选[启用虚拟IP],下面的[虚拟IP]可手动指定,也可保留0.0.0.0代表自动分配。
分支SDLAN>
软/硬件总部与分支>
使用,则不需要勾选[启用虚拟IP]。
在设置<
帐号启用<
虚拟IP>
前,必须设置好虚拟IP池,具体设置请参照后面的[虚拟IP池设置]相关内容。
[启用网上邻居]启用时则可直接通过<
网上邻居>
方式来访问VPN对端的机器。
可根据需要设置是否启用。
[权限设置]用于设置该VPN帐号接入VPN后所具有的<
内网访问权限>
,需要和后面的[内网服务设置]配合使用。
(具体设置可参照后面的[内网服务设置]等相关章节)。
9.虚拟IP池设置
[虚拟IP池设置]是指由SINFORAC硬件网关指定该AC硬件设备所在局域网中空闲的一段IP作为移动用户接入时的<
虚拟IP池>
当移动用户接入后,从<
分配一个虚拟IP给移动用户,移动用户对总部的任何操作都是以分配的IP作为源IP、就完全和在总部局域网内一样。
例如使用虚拟IP的移动接入后,可以访问总部局域网内的任何一台计算机,即使该计算机没有把网关指向总部AC硬件网关;
可以为接入的移动用户指定DNS等网络属性。
配置虚拟IP的步骤:
1、创建虚拟IP池,虚拟IP池中的IP是AC硬件网关所在局域网空闲的IP。
2、指定移动用户使用虚拟IP。
如果设置虚拟IP为0.0.0.0表示自动分配虚拟IP,当移动用户接入后,总部AC硬件网关从虚拟IP池中选择一个空闲IP分配给移动。
也可以为移动用户指定虚拟IP。
按钮,出现[虚拟IP设置]对话框,设置<
IP池>
的起止IP即可。
尽量把虚拟IP池设置成和AC硬件网关的LAN口同一网段的IP范围,这样移动PDLAN接入VPN后,不需进行任何路由设置即可访问设备LAN口所在网段的机器。
在[虚拟IP池设置]的<
里面可以设置分配给移动客户端虚拟网卡上的网关和DNS信息,一般在有<
域>
的情况下才需设置,如下图所示,设置完成点<
当设置了<
的[高级选项]之后,移动客户端电脑中的虚拟网卡<
SinforVPNvirtualnetworkadapter>
必须设置为自动获取IP和DNS,否则<
高级选项>
里面设置的内容不会分配到移动客户端的虚拟网卡上。
10.多子网设置
通过SINFORAC硬件的<
多子网>
功能,AC硬件网关内网的多个子网和分支的多个子网能够互相访问。
例如,总部有两个子网(192.100.100.x;
192.100.110.x),分支有两个子网(172.16.5.x;
172.16.3.x)。
通过配置总部和分支的多子网,可以使得总部通过AC硬件网关构建的VPN隧道访问分支的两个网络,分支也能访问总部的两个网络。
配置<
的步骤:
1、在[多子网设置]里配置需要互联的子网;
2、在[路由设置]里为需互联的子网设置路由;
(具体可参照[VPN配置/路由设置])
3、在需要互联的的子网里设置路由,将送往分支的数据送到AC硬件网关。
按钮,出现[新建多子网设置]对话框,输入[子网网段]和[子网掩码],然后选择通向这个子网的[网络接口]即可。
这里的[多子网设置]仅相当于一种<
声明>
作用,在多子网里面定义了的网段,都会被我们的VPN设备和软件客户端视为VPN网段,所有访问这些网段的数据包倘若到达我们的VPN设备或软件,都会被抓取,封装后送入VPN隧道传输。
所以,一般情况下,在[多子网设置]里添加了子网网段,都需要配合[VPN设置/路由设置]来完成多子网的访问设置。
11.内网服务设置
SINFORAC硬件网关可以为接入的VPN用户指定相应的访问权限,可以限制某个用户只能访问内网的特定计算机的特定应用。
比如:
允许用户test访问总部的WEB服务器,禁止test访问总部的SQL数据库服务器等。
设置[内网服务权限]分两个步骤:
1、在[VPN设置/内网服务设置]里创建<
内网服务>
;
2、在[VPN设置/用户管理]里为特定的用户帐号指定<
内网权限>
,缺省状况下接入的分支和移动具有所有的权限。
按钮,出现[内网服务]设置对话框如下:
[服务名称]可随便填写便于理解和记忆的名字。
[协议]根据内网服务所需的协议选择,可选为<
TCP>
、<
UDP>
ICMP>
[IP地址]为提供内网服务供VPN用户接入访问的内网服务器IP。
[端口]为提供服务所开放的端口。
即完成<
的定义。
然后在[VPN配置/用户管理]里编辑<
用户帐号>
的[权限设置],出现如下对话框:
左边是[内网服务设置]里定义好的<
,把服务移到右边即可对该内网服务设定<
允许>
拒绝>
的权限。
[缺省允许]和[缺省拒绝]是设定不能匹配规则时,所进行的操作,可根据需要配合设置。
1.在[内网服务设置]定义好服务之后,需要在[用户管理]里面为用户帐号分配这些内网权限来最终实现<
VPN内网权限>
的设定。
2.内网权限都是指分支和移动访问总部内服务的权限,而且权限是针对一条<
VPN隧道>
进行限制的。
对于分支局域网而言,内网权限只能对整体内网来设置,权限不能具体到局域网某台机器。
如需限制,可通过安装防火墙来实现。
12.QoS级别设置
QoS(QualityofService,服务品质保证)在网络带宽不足的情况下,通过QoS设定来保证一些重要的服务能获得充足的网络带宽。
可以设定各各优先级能够得到的带宽比例,在网络繁忙时将按照设定的比例来分配网络带宽,保证VPN隧道内重要的服务能够顺畅进行。
[QoS级别设置]可以定义四个级别能占用的带宽比例,以百分比来表示。
[启用QoS功能]是整个QoS功能的开关,勾选即启用了设备的QoS功能。
高级设置>
针对特殊的线路情况才需设置,一般保留默认值即可,如需设置请联系深信服科技售后服务部门。
13.QoS规则设置
[QoS规则设置]是用来把数据业务进行分类,根据QoS规则设置所选定的数据投递优先级进行投递,以保证重要数据的及时投递。
AC硬件网关内置了一些常用的服务定义,只需选中后点击下面的<
按钮,设置IP和优先等级等信息,然后勾选[启用该服务]即可激活QoS规则。
按钮,根据向导提示一步步设置QoS规则设置即可,如下图:
[服务名称]和[描述]可随便填写,以方便辨识为原则。
[IP地址]:
用于设置QoS规则应用的源及目标IP,可为[所有IP地址]或[指定IP地址]。
[协议和端口]:
用于设置QoS规则所对应的服务提供的端口及协议等。
[服务优先级]:
用于设置该QoS规则应用的<
优先级>
,除了前面[QoS等级设置]定义的四个等级外,还有一个<
特权级>
,特权级别可以占用所有带宽。
[启用该服务]:
用于这条QoS规则的开关。
QoS的方向是根据数据发送方向设置的,例如:
总部内网中一台机器是SQLserver,提供SQL服务,发送方向就是要设置为源IP是SQLserver的IP地址,源端口就是1433端口。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- UTM VPN Setup