UTM VPN Setup.docx
- 文档编号:9445192
- 上传时间:2023-02-04
- 格式:DOCX
- 页数:29
- 大小:829.16KB
UTM VPN Setup.docx
《UTM VPN Setup.docx》由会员分享,可在线阅读,更多相关《UTM VPN Setup.docx(29页珍藏版)》请在冰豆网上搜索。
UTMVPNSetup
VPN配置
[VPN配置]提供了对SINFORAC硬件网关IPsecVPN服务方面的设置、管理和状态显示。
下图为[DLAN运行状态]界面,显示了AC硬件网关的IPsecVPN服务当前运行状态、接入的节点信息,并提供<启动服务>或<停止服务>的操作按钮。
[当前DLAN状态]显示的是网关设备运行状态,共有三种状态:
运行中,停止和故障。
[当前连接总数]显示的是当前接入分支或移动的总数,接入的VPN节点,下面的表格会有相应的信息显示。
接入的节点状态信息包含如下信息:
当前接入节点的[名称],[类型](总部、分支或移动),接入节点的互联网IP[InternetIP],接入节点的[内网IP],[接入时间]指网络节点接入系统的时间,还有[描述]信息。
<停止服务>/<启动服务>按钮用于停止和启动IPsecVPN服务。
1.WebAgent设置
WebAgent指动态IP寻址文件在WEB服务器中的地址,包括主WebAgent和备份WebAgent地址。
在[WebAgent设置]中可以对该选项进行配置。
见下图:
WebAgent用于动态寻址或固定IP,如果是<动态寻址>请填写 端口>的格式填写,如202.96.134.133: 4009。 填写完WebAgent后可以点击<测试>按钮查看是否能够连通。 点击<高级>按钮出现[Webagent高级设置]对话框如下: 点[主WebAgent密码]或[备份WebAgent密码]中的<修改>按钮可以修改WebAgent密码,以防止非法用户盗用WebAgent。 点[数据加密密钥]中的<修改>按钮,可以设置VPN传输密钥,用于加密VPN传输过程中的数据。 最后需要点击<设置生效>按钮保存设置信息。 1.如果总部设置了数据加密密钥,则分支和移动用户必须要输入和总部网关相同的加密密钥,才可以接入该网关及所在的局域网。 2.如果是多线路且都是固定IP的情况下,WebAgent必须填写<网页形式>的WebAgent。 2.多线路配置 在使用多条WAN口线路时,必须设置<多线路配置>,这里可以对线路的信息进行增删和修改。 点击<添加线路>按钮,出现添加线路对话框: 选择[线路]后,然后选择[线路类型],包括<直连>和<非直连>两种类型可选择。 如果外网线路能直接获得InternetIP或者能通过端口映射等方式让Internet用户可以访问到网关设备的端口,则可设置为“直连”,不能获得InternetIP的连接方式则需设置为“非直连”。 [具有固定的InternetIP地址]则根据实际情况填写,动态公网IP(如ADSL)不需填写。 点击<下一步>设置[上网方式]和[带宽预设],然后<完成>多线路的添加。 如下图: 1.这里的[带宽预设]和QoS设置相关,即QoS计算带宽的比例时,是以这里手动填写的带宽值为准。 如果有需要启用到QoS时,请根据线路的真实情况填写带宽参数。 2.<多线路设备>一定要设置<多线路>,包括只使用一条线路时亦要添加线路。 点击<高级>按钮,这里设置多线路的带宽分配策略,包括三种策略: [带宽叠加模式],[线路主备模式]和[优先选择最快线路]模式,请根据需要相应选择。 3.端口配置 [端口配置]用于配置AC硬件网关IPsecVPN正常工作时需使用的TCP端口,默认情况下设置为TCP4009、4010、4011三个端口,可根据需要修改端口,设置完毕要按下<设置生效>按钮,保存配置。 见下图: 4.路由设置(DLAN路由) [VPN配置/路由设置]主要用于实现两种功能: 1、上网分流路由 2、多子网路由 上网分流路由 局域网内部的计算机如果需要加入VPN网络、被其他的VPN节点访问,则必须将网关设置为AC硬件网关的LAN口IP地址。 这时,所有的IP数据包首先是经过DLAN的过滤条件进行验证。 如果IP包不是发往分支或移动的IP包(例如是访问Internet网页的数据包),则对此IP包需要进行路由处理,根据路由表的设置,将此IP包通过指定的网卡接口发送到设定的另一上网网关,出去上网,实现上网分流的功能。 点击<新建>按钮,出现[新增路由]对话框,在里面添加一条[网络号]为0.0.0.0,[子网掩码]也为0.0.0.0的<上网分流路由>。 [网关IP]填写用户分流数据的出口上网网关IP。 如下图所示: [网络号]和[子网掩码]确定目的IP(网络号和子网掩码都是0.0.0.0表示缺省路由)。 [网关IP]为直接上网的设备内网IP地址,[网络接口]指本AC硬件网关与上网设备有相通连接的接口。 这样设置之后,局域网内电脑网关填写为AC硬件网关设备的LAN口IP,当传输的是VPN数据时,数据会封装之后从设备的WAN口发出;当传输的是普通上网数据时,AC硬件网关设备会根据上面设置的<上网分流路由>把数据转发到另一个上网出口网关,从而实现VPN数据和普通上网数据的分流。 设置完毕后,如果要启用 多子网路由 当VPN网络中的总部或分支内部有多个网段的网络时,我们称之为VPN多子网。 这些网络如果需要加入到VPN网络中,以便VPN中的分支,移动或总部之间的内网相互访问,需要添加[多子网设置]及<多子网路由>来实现。 举例设置如下: 总部有两个网段192.100.100.X和192.100.110.X,这两个网段通过三层交换机相连互通,三层交换机上连接这两个网段的端口IP分别为192.100.100.254和192.100.110.254,我们的VPN设备的LAN口IP为192.100.100.90,放在192.100.100.X网段。 默认情况下移动和分支连接总部的VPN之后,只能访问192.100.100.X网段,如需要实现移动或分支接入后可以访问192.100.110.X网段,需要定义[多子网设置]及添加<多子网路由>。 设置步骤如下: 首先定义[多子网设置](具体可参照后面的[多子网设置]章节),在[多子网设置]里面添加一个多子网192.100.110.X如下: 然后在[VPN配置/路由设置]里面添加一条关于192.100.110.X的<多子网路由>,把网关指向能通往192.100.110.X的三层交换机接口192.100.100.254。 [路由动作]选择<路由>。 <确定>然后<设置生效>保存即可。 设置完毕后,如果要启用 如果是分支连入总部需要访问多子网,除了上面的多子网设置外,可能还需要在总部内网的路由交换设备上,添加接入分支的路由,以实现<回包路由>。 1.在添加路由表或修改路由表时、必须保障本机与网关的通信正常。 因为一按<确定>按钮,程序会自动去取设定的网关IP对应的MAC地址。 若此时设置的网关未开机,或同设置的网关IP的物理连接中断,会有提示框弹出,警告网关IP设置错误。 2.添加路由时,注意选择的接口网卡是同指定的网关相连的网卡。 否则会导致路由数据发送 不到对应的网关。 5.连接管理: 为了实现多个网络节点(多个硬件或MDLAN模块)的互联互通(即<网状>网络),SINFORAC硬件网关的IPsecVPN提供了对网络节点互联的自主管理和设置功能。 主要就在[连接管理]中进行相关的设置。 SINFORAC硬件网关可以与其他多个深信服VPN硬件设备或者VPN软件总部进行连接。 点击<新建>按钮,出现如下对话框: [总部名称]和[描述]可以随便填写,以方便辨识为原则。 点击<下一步>会提示输入总部的[主/备份Webagent],填写需要连接的总部的对应WebAgent,点<测试>按钮可以测试WebAgent是否工作正常: 点击<下一步>需要输入[用户名]和[密码],根据总部提供的接入帐号信息来填写即可。 最后点<完成>,并<设置生效>的。 设置完以上信息后[连接管理]里面即出现一条VPN连接记录,选中然后点<编辑.可修改里面的配置,[启用]是整个连接的开关。 见下图: 这时,本网的AC硬件网关即可和所设置的深信服VPN硬件设备或VPN软件总部之间进行通信。 如果和多个深信服VPN硬件设备或VPN软件总部之间设置这样的互联关系、就很容易的实现了一个<网状>网络。 6.算法查看 算法查看提供了对当前数据加密算法的查看,该加密算法会在SINFORAC硬件网关构建的VPN网络中、对所有的传输数据进行加密,以保障数据的安全性。 SINFORAC硬件网关内置了128位的AES加密算法。 只内置了一种AES算法,不能修改,删除或添加。 7.生成证书: 基于硬件特性的证书认证系统是深信服公司的发明专利之一。 该证书提取了深信服VPN、AC硬件设备或安装DLANVPN软件的计算机的部分硬件特性(如网卡MAC地址、硬盘序号等)、生成加密的认证证书。 由于硬件特性的唯一性,使得该证书也是唯一的、不可伪造的。 通过对该硬件特性的验证,就保障了只有指定的硬件设备才能接入授权的网络,避免了安全隐患。 点击<生成证书>按钮,然后选择好保存路径(如上图),就可以自动生成包含硬件特性的认证证书。 这时需要将该证书通过某种方式(如电子邮件、或U盘等)提供给需要接入的站点管理员,由该站点管理员对证书进行管理。 以后每次连接其他站点时,如果该站点启用了[硬件捆绑鉴权]功能,则每次都会自动验证接入的硬件设备或计算机身份的合法性。 若计算机硬件更换,如CPU、硬盘或网卡等,请重新生成证书。 8.用户管理 管理员可以在这里设置允许接入本网VPN的用户账号、密码,设置是否需要对硬件证书进行认证(硬件ID鉴权)、是否需要DKEY认证,设置加密算法类型(缺省为AES),以及是否启用虚拟IP等。 只有符合管理员设置条件的用户,才能够接入VPN本网,设置界面如下: 点击<新建>按钮,弹出[用户设置向]对话框,根据提示输入需建立的[帐号]和[密码]。 点<下一步>,出现[选择证书]验证设置,如下图: 根据需要可选择[启用硬件捆绑鉴权]和[启用Dkey],勾选相应的选项,然后选择绑定的证书或插入Dkey进行生成即可。 默认情况下,两者都不选择时,则只进行<帐号密码>方式的验证。 点<下一步>进行[虚拟IP]设置如下图: 如果建立的帐号是给<移动PDLAN>使用,则必须勾选[启用虚拟IP],下面的[虚拟IP]可手动指定,也可保留0.0.0.0代表自动分配。 如果建立的帐号是给<分支SDLAN>或<软/硬件总部与分支>使用,则不需要勾选[启用虚拟IP]。 在设置<移动PDLAN>帐号启用<虚拟IP>前,必须设置好虚拟IP池,具体设置请参照后面的[虚拟IP池设置]相关内容。 [启用网上邻居]启用时则可直接通过<网上邻居>方式来访问VPN对端的机器。 可根据需要设置是否启用。 [权限设置]用于设置该VPN帐号接入VPN后所具有的<内网访问权限>,需要和后面的[内网服务设置]配合使用。 (具体设置可参照后面的[内网服务设置]等相关章节)。 9.虚拟IP池设置 [虚拟IP池设置]是指由SINFORAC硬件网关指定该AC硬件设备所在局域网中空闲的一段IP作为移动用户接入时的<虚拟IP池>。 当移动用户接入后,从<虚拟IP池>分配一个虚拟IP给移动用户,移动用户对总部的任何操作都是以分配的IP作为源IP、就完全和在总部局域网内一样。 例如使用虚拟IP的移动接入后,可以访问总部局域网内的任何一台计算机,即使该计算机没有把网关指向总部AC硬件网关;可以为接入的移动用户指定DNS等网络属性。 配置虚拟IP的步骤: 1、创建虚拟IP池,虚拟IP池中的IP是AC硬件网关所在局域网空闲的IP。 2、指定移动用户使用虚拟IP。 如果设置虚拟IP为0.0.0.0表示自动分配虚拟IP,当移动用户接入后,总部AC硬件网关从虚拟IP池中选择一个空闲IP分配给移动。 也可以为移动用户指定虚拟IP。 点击<新建>按钮,出现[虚拟IP设置]对话框,设置 尽量把虚拟IP池设置成和AC硬件网关的LAN口同一网段的IP范围,这样移动PDLAN接入VPN后,不需进行任何路由设置即可访问设备LAN口所在网段的机器。 在[虚拟IP池设置]的<高级>里面可以设置分配给移动客户端虚拟网卡上的网关和DNS信息,一般在有<域>的情况下才需设置,如下图所示,设置完成点<确定>保存即可。 当设置了<虚拟IP池>的[高级选项]之后,移动客户端电脑中的虚拟网卡 10.多子网设置 通过SINFORAC硬件的<多子网>功能,AC硬件网关内网的多个子网和分支的多个子网能够互相访问。 例如,总部有两个子网(192.100.100.x;192.100.110.x),分支有两个子网(172.16.5.x;172.16.3.x)。 通过配置总部和分支的多子网,可以使得总部通过AC硬件网关构建的VPN隧道访问分支的两个网络,分支也能访问总部的两个网络。 配置<多子网>的步骤: 1、在[多子网设置]里配置需要互联的子网; 2、在[路由设置]里为需互联的子网设置路由;(具体可参照[VPN配置/路由设置]) 3、在需要互联的的子网里设置路由,将送往分支的数据送到AC硬件网关。 点击<新建>按钮,出现[新建多子网设置]对话框,输入[子网网段]和[子网掩码],然后选择通向这个子网的[网络接口]即可。 这里的[多子网设置]仅相当于一种<声明>作用,在多子网里面定义了的网段,都会被我们的VPN设备和软件客户端视为VPN网段,所有访问这些网段的数据包倘若到达我们的VPN设备或软件,都会被抓取,封装后送入VPN隧道传输。 所以,一般情况下,在[多子网设置]里添加了子网网段,都需要配合[VPN设置/路由设置]来完成多子网的访问设置。 11.内网服务设置 SINFORAC硬件网关可以为接入的VPN用户指定相应的访问权限,可以限制某个用户只能访问内网的特定计算机的特定应用。 比如: 允许用户test访问总部的WEB服务器,禁止test访问总部的SQL数据库服务器等。 设置[内网服务权限]分两个步骤: 1、在[VPN设置/内网服务设置]里创建<内网服务>; 2、在[VPN设置/用户管理]里为特定的用户帐号指定<内网权限>,缺省状况下接入的分支和移动具有所有的权限。 点击<新建>按钮,出现[内网服务]设置对话框如下: [服务名称]可随便填写便于理解和记忆的名字。 [协议]根据内网服务所需的协议选择,可选为 [IP地址]为提供内网服务供VPN用户接入访问的内网服务器IP。 [端口]为提供服务所开放的端口。 点击<确定>即完成<内网服务>的定义。 然后在[VPN配置/用户管理]里编辑<用户帐号>的[权限设置],出现如下对话框: 左边是[内网服务设置]里定义好的<内网服务>,把服务移到右边即可对该内网服务设定<允许>或<拒绝>的权限。 [缺省允许]和[缺省拒绝]是设定不能匹配规则时,所进行的操作,可根据需要配合设置。 1.在[内网服务设置]定义好服务之后,需要在[用户管理]里面为用户帐号分配这些内网权限来最终实现 2.内网权限都是指分支和移动访问总部内服务的权限,而且权限是针对一条 对于分支局域网而言,内网权限只能对整体内网来设置,权限不能具体到局域网某台机器。 如需限制,可通过安装防火墙来实现。 12.QoS级别设置 QoS(QualityofService,服务品质保证)在网络带宽不足的情况下,通过QoS设定来保证一些重要的服务能获得充足的网络带宽。 可以设定各各优先级能够得到的带宽比例,在网络繁忙时将按照设定的比例来分配网络带宽,保证VPN隧道内重要的服务能够顺畅进行。 [QoS级别设置]可以定义四个级别能占用的带宽比例,以百分比来表示。 [启用QoS功能]是整个QoS功能的开关,勾选即启用了设备的QoS功能。 <高级设置>针对特殊的线路情况才需设置,一般保留默认值即可,如需设置请联系深信服科技售后服务部门。 13.QoS规则设置 [QoS规则设置]是用来把数据业务进行分类,根据QoS规则设置所选定的数据投递优先级进行投递,以保证重要数据的及时投递。 AC硬件网关内置了一些常用的服务定义,只需选中后点击下面的<修改>按钮,设置IP和优先等级等信息,然后勾选[启用该服务]即可激活QoS规则。 点击<新建>按钮,根据向导提示一步步设置QoS规则设置即可,如下图: [服务名称]和[描述]可随便填写,以方便辨识为原则。 [IP地址]: 用于设置QoS规则应用的源及目标IP,可为[所有IP地址]或[指定IP地址]。 [协议和端口]: 用于设置QoS规则所对应的服务提供的端口及协议等。 [服务优先级]: 用于设置该QoS规则应用的<优先级>,除了前面[QoS等级设置]定义的四个等级外,还有一个<特权级>,特权级别可以占用所有带宽。 [启用该服务]: 用于这条QoS规则的开关。 QoS的方向是根据数据发送方向设置的,例如: 总部内网中一台机器是SQLserver,提供SQL服务,发送方向就是要设置为源IP是SQLserver的IP地址,源端口就是1433端口。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- UTM VPN Setup