VPN和防火墙安装手册.docx
《VPN和防火墙安装手册.docx》由会员分享,可在线阅读,更多相关《VPN和防火墙安装手册.docx(29页珍藏版)》请在冰豆网上搜索。
VPN和防火墙安装手册
VPN和防火墙
安
装
说
明
深信服vpn安装部分
安联防火墙安装部分
深信服VPNS5100安装手册
1.准备工作
Ø打开S5100附带光盘,运行FindmeClient.exe安装网关发现系统控制台。
Ø用一根网线(交叉线)与S5100的WAN口连接,用另一条网线(设备自带直连线)将S5100LAN口与局域网交换机连接。
也可以用一根网线(交叉线)直接将S5100LAN口与PC机网口连接在一起。
Ø如果是代理上网,用一根网线(交叉线)将前置的防火墙(或路由器设备)LAN口与S5100的WAN口连接起来,用另一条网线(直连线)将S5100LAN口与局域网交换机连接,在系统配置下的外网接口配置中,在线路1中启用该线路,在下拉框中选择以太网,将WAN口地址设置为与代理上网LAN口同网段的IP,网关指向代理上网的LAN口IP,并设置好DNS,点击设置生效,网关自动提示重新连接。
Ø网线接好之后,打开S5100电源开关。
2.安装配置S5100网关控制台
1)将安装发现系统控制台的PC的IP改为10.254.254.2,运行发现系统控制台,查找DLAN网关的缺省IP,一般为10.254.254.254。
(注意:
可能出厂的IP地址不是这个,改为和网关相同的网段进行配置)
2)选择登录的网关IP,双击对应的IP或点击[连接网关],在浏览器中自动弹出网关控制台界面,输入用户名密码后,按[登陆]按钮进入网关控制台配置。
缺省用户名Admin,密码Admin。
如果不能正常登录,请手动下载ActiveX控件。
刚登陆进来或点击“DLAN”,就可以看到当前和网关连接的移动用户,点击[刷新]可以及时的了解当前的连接情况。
点击“网关配置”,在网关运行状态里,默认是勾中“允许远程维护”,这样网关有问题就可以进行远程维护了。
2.1.快速配置
在快速配置里,将方便快捷地完成对VPN的主要配置。
1.序列号配置,每个深信服VPN都有一个序列号,用来管理用户购买的许可数量。
包括分支机构(SDLAN)数量和移动用户(PDLAN)数量,序列号是已经设置好的,直接点击[下一步]
2.内网接口配置,配置VPN的内网IP和子网掩码,例如把原来的默认IP改为172.0.0.100,子网掩码255.255.255.0,点击[下一步]
3.外网配置,根据实际的上网情况选择线路类型“以太网”,“ADSL”,“电话拨号”,如果是自动获取IP地址就把“自动获取IP地址”前的复选框勾上,否则就把IP地址、子网掩码、首选DNS,备份DNS、默认网关都填好,点击[下一步]
4.Webagent配置,WebAgent指动态IP寻址文件在WEB服务器中的地址,包括主WebAgent和备份WebAgent映射地址,一般情况下可以只设一个主Webagent就可以了,备份Webagent选择设置。
如果用固定IP上网,可将固定IP设为主Webagent,端口号为4009,否则可向深信服公司申请动态寻址Webagent网页,设好Webagent后可点击[测试]按钮测试Webagent是否连通,如果有绿色的对勾就说明Webagent连通,选中直连Internet,点击[下一步]
5.连接管理,不连接其他总部,这里不用配置,直接点[完成]
6.提示“保存配置成功系统配置已修改,需要重启才能生效,是否立即重启?
”,如果你确认配置完成,就点击[确定]
2.2.虚拟IP池设置
✧网关配置——DLAN——虚拟IP池设置,由DLAN网关指定该DLAN总部空闲的一段IP作为移动用户接入时的虚拟IP池。
当移动用户接入后,分配一个虚拟IP给移动用户,移动用户对总部的任何操作都是以分配的IP作为源IP、就完全和在总部局域网内一样。
点击[新增]按钮,输入IP池的起始IP地址,点击[确定],再点[确定],直到出现“保存配置成功”。
(站内的IP地址不要分配到虚拟IP池的地址区间)
2.3.用户管理
网关配置——DLAN——用户管理,设置接入总部的用户,点击[新增]按钮,输入用户名,密码,如果有DKEY,勾中“启用DKEY”,在确定已把DKEY插到本机USB口后,点击[生成DKEY],对于移动用户,还可以选择是否启用虚拟IP。
如果为该用户分配一个虚拟内网IP地址、则该用户接入后,会使用这个IP作为虚拟的内网IP地址。
如果虚拟IP设置为0.0.0.0,则系统会自动为该用户从虚拟IP池中随机分配一个内网IP地址。
如果不启用虚拟IP功能,局域网内的其他用户就无法访问该移动用户,如不想让移动用户在接入总部后上网,勾中“接入总部后禁止该用户上网”,点击[确定],再点[确定],直到出现“保存配置成功”。
我们可以检测一下DKEY是否生成成功,点击[检测DKEY],成功则出现DKEY里的用户名。
建完用户后,可点击[导出配置],提示“在导出配置前请确保[用户管理],[webagent设置]和[网络参数设置]页面都已经设置生效了!
继续吗?
”,选择[是],保存成did文件。
3.代理上网设置
网关配置——防火墙——NAT设置——代理上网设置,点击[新增],把代理网段配置编辑里的内容填好,然后[确定],再点[确定],直到出现“保存配置成功”。
将172.0.0.0网段的所有IP的网关指向712.0.0.100,再把DNS设好,就可以通过S5100代理上网。
4.日志查看
网关控制台提供了对当天日志的查看,显示了日志信息的来源、类型、时间和详细信息,在当前页的下拉框中列出现在一共的页数,可通过[上一页][下一页]或直接选择第几页来查看其他页日志。
如果在日志查看停留了一段时间,可以点击[刷新日志]来获得最新的日志信息。
在[选项设置]里可以对日志查看设置,包括显示设置和过滤设置。
5.控制台用户管理
网关配置——系统设置——控制台用户管理,点击[新增]加一个tsxd用户,密码tsxdtsxd,点击[确定],再点[确定],直到出现“保存配置成功”。
点击[在线用户],查看现在在线的用户,IP地址等。
6.备份配置
在备份配置里有下载配置和恢复备份配置,“下载配置”是把已经配好的网关配置保存成bcf文件,并把备份配置带回公司,“恢复备份配置”是恢复原来备份的配置文件
7.安装移动客户端PDLAN
打开S5100附带光盘,运行PDLAN.exe安装移动控制台,安装完成后重启。
7.1.有DKEY的移动用户
1)DKEY插到移动用户PC机的USB口。
2)运行移动控制台,从DKEY中读取用户设置和Webagent设置等相关信息,最后弹出一个对话框,用户名已经是从DKEY里提取出来不能修改,只需要输入密码,然后按确定。
3)等几秒钟,如果在屏幕右下方出现“接入总部成功”,就已经和总部连上了;如果很长时间都没有出现上述字样,就需要查看日志,找深信服技术人员咨询。
7.2.无DKEY的移动用户
1)运行移动控制台,手工配置,配置Webagent和用户名密码,也可以导入配置文件,把从用户管理里导出的did文件导入,校验用户密码。
2)几秒钟,如果在屏幕右下方出现“接入总部成功”,就已经和总部连上了;如果很长时间都没有出现上述字样,就需要查看日志,找深信服技术人员咨询。
7.3.客户端日志
在开始——程序——SinforDLAN——日志查看,或者运行SinforDLAN,在屏幕右下方出现图标,直接右键点图标——“日志查看”,然后点“日志服务器”——DLAN移动——实时日志,点那个slg文件
安联防火墙安装说明
一安装前的准备
准备一台单独的计算机,计算机装有双网卡。
此计算机的配置将影响网络的速度,因为VPN要使用计算机的资源。
关闭以下服务
同时打开下面的选项
把数字签名选项设为’警告’级
二安装安联防火墙
安联防火墙程序安装完成后将出现一个控制台配置界面
2.1
说明:
在没有启动防火墙的情况下是否允许IP通过。
此选项选1
1.2
说明:
选择防火墙的外网网卡。
根据实际情况进行选择。
外网网卡就是连接工网的网卡
1.3
说明:
是否允许IP转发。
此选项必须选择1
1.4
说明:
设置防火墙的启动方式(1手动2自动)。
此选择选2
1.5
安装完成后就会在开始菜单生成如下菜单。
同时在管理工具的服务界面会生成一个服务名称为’InJoyFirewallServerService’的服务。
完成完成后重新启动计算机。
三配置安联VPN软件
3.1VPN宿主计算机的配置
宿主计算机的配置主要就是网卡的配置。
内网网卡:
IP地址使用内部网络的IP地址
网关不要设置(必须)
外网网卡:
IP地址为ISP提供商分配的外网IP地址
网关也是由ISP提供商分配的网关地址
DNS也是有ISP提供商分配的DNS地址
3.2配置系统选项
打开管理防火墙菜单
右键单击窗体右面的工具条,然后单击属性菜单
3.2.1打开ipsecvpn选项
3.2.2设置受VPN保护的内网的网络区段。
可以同时设置多个收保护的网络区段。
如果只有一个网络#2和网络3#可以不用设置
3.2.3在此页面设置主、辅DNS。
再此界面设置DNS后在客户端主DNS设置成1.1.1.1,辅助DNS设置成1.1.1.2如果没有在此界面设置DNS,则要在客户端设置时把DNS设置成实际的DNS地址
3.2.4在此界面进行产品注册。
注册后点保存然后重新启动防火墙。
3.3(SA)隧道设置
在服务器端只配置一条针对没有固定IP地址客户端的隧道就可以了。
所有无固定IP地址的客户端都可以用这个隧道连接到内部网络。
右键单击防火墙上的工具条,然后选择IPSEC菜单下的隧道配置。
进入隧道配置窗口后右健单击然后选择增加
在隧道文本框中添入本隧道的描述名称
3.3.1配置本地端点:
本地网关\主机填写ISP提供商分配的外网IP地址。
本地网络填写受VPN保护的内网的网络区段。
网络掩码填写内网的网络掩码
3.3.2远程端点配置:
远程网关\主机填写移动用户。
远程网络填写0.0.0.0,网络掩码也填写0.0.0.0
3.3.3VPN策略配置:
模式选择隧道模式即’TUNNEL’,头部验证选择否,数据加密选择是。
立即发起IKE协商选择否。
如果VPN客户端则选择是。
3.3.4认证参数配置:
共享密匙输入一个自定义的字符串,长度不要太短,6-8即可。
认证方案选择服务器-Xauth认证
3.4用户设置
打开ipsec菜单后选择用户设置菜单。
根据实际的VPN客户端数量设置相应的用户。
每个用户分别拥有自己的用户名和密码
四VPN客户端的安装配置
vpn的客户端安装方法同服务器的安装方法一样。
只不过隧道的配置参数和服务器端的隧道配置参数不一样。
每个客户端都要增加一条隧道。
本地端点配置:
本地网关/主机填写移动用户,本地网络填写无本地网络。
网络掩码不填写
远程端点配置:
远程网关/主机填写vpn服务器端的外网IP地址,远程网络填写VPN服务器端保护的内容的网端192.168.0.0,网络掩码填写255.255.255.0。
Vpn策略配置:
模式选择隧道模式即’TUNNEL’,头部验证选择否,数据加密选择3DES,立即发起IKE协商选择是。
认证参数设置:
共享密匙输入玉vpn服务器端隧道配置中相同的共享密匙,认证方案选择客户端-Xauth,用户名、密码填写在vpn服务器端用户设置中已设置好的用户名、密码
五测试
5.1VPN连接的测试
以上步骤配置完成后重新启动防火墙。
客户端配置完成后重新启动客户端防火墙。
打开VPN服务器端的IPSEC用户监视器,如果上面有信息并且信息最左边的知识灯为绿色则说明VPN连接正常。
如果不正常则打开IPSEC的日志查找错误。
5.2上网的测试
在内网的某个客户端,把网关设成VPN的内网网卡的地址。
上网连接。