VPN3005S安装手册.docx
《VPN3005S安装手册.docx》由会员分享,可在线阅读,更多相关《VPN3005S安装手册.docx(23页珍藏版)》请在冰豆网上搜索。
VPN3005S安装手册
MPSecVPN3005S安装手册
本手册著作权属迈普通信技术股份有限公司所有,未经著作权人书面许可,任何单位或个人不得以任何方式摘录、复制或翻译。
XX。
策划:
研究院资料服务处
***
迈普通信技术股份有限公司
地址:
成都市高新区九兴大道16号迈普大厦
技术支持热线:
400-886-8669
传真:
(+8628)85148948
E-mail:
support@
网址:
邮编:
610041
***
版本:
2011年7月第V1.0版
编号:
MP/DC-RD-CPSJ-111-N2011-0005
前言
版本说明
本手册适用于MPSecVPN3005S安全网关设备
本书简介
MPSec安全网关系列设备包括MPSecVPN3005S、MPSecVPN3010S、MPSecVPN3030S、MPSecVPN3030E共4个型号。
下面就MPSecVPN3005S安全网关设备硬件的相关信息进行简要描述,以便工程师或用户在安装、采购设备的过程予以参考:
本手册主要讲述如何安装MPSecVPN3005S安全网关设备。
●第1章产品简介。
●
这一部分主要介绍MPSecVPN3005S安全网关设备的硬件特性、系统特点以及MPSecVPN3005S安全网关设备所提供的各种接口的物理特性、连接特性和功能特性。
●第2章安装准备。
●
这一部分主要介绍MPSecVPN3005S安全网关设备对使用环境的要求和安装过程中的注意事项。
●第3章系统安装与初始化
●
这一部分主要介绍MPSecVPN3005S安全网关设备在各种应用模式下的安装与初始化过程。
读者对象
●网络工程师
●
●技术推广人员
●
●网络管理人员
●
本书约定
命令行关键字用加粗表示;
命令行参数用斜体表示。
大括号“{}”表示括号中的选项是必选的;
中括号“[]”表示括号中的选项是可选的;
“注意”表示需要读者注意的事项,是安装、安全的关键之处,希望用户能认真阅读。
“注”表示对前面内容的注解;
“图解”表示对图例的文字解释。
声明
由于产品版本升级或其它原因,本手册内容会不定期进行更新。
除非另有约定,本手册仅作为使用指导,本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。
环境保护
本产品符合关于环境保护方面的设计要求,产品的存放、使用和弃置应遵照相关国家法律、法规要求进行。
第一章产品介绍
1.1系统特点
1.2
MPSecVPN3005S安全网关是集成了VPN、防火墙、入侵防御和流量控制技术的软硬件一体化专用安全设备,有效地实现了“主/被动安全防御”的完美结合。
MPSecVPN3005S安全网关采用自主设计的安全操作系统,具有高可用性、高易用性、高扩展性和高安全性。
经过简单配置即可方便地在企业总部和分支机构、移动用户以及合作伙伴之间建立安全的信息传输通道,对传输的数据进行有效的安全保护。
●全方位的传输保护
●
Ø支持IPSec/IKE协议
Ø
IPSec作为一个全球性的VPN安全标准,要求所有IPSec的实现必须严格遵循其各种协议规范,以便实现不同产品之间的互通。
IPSec协议能够对网络通信报文提供ESP加密和AH验证服务,从而保证报文传输的机密性和合法性。
VPN安全网关设备产品已经全面支持IPSec和IKE协议,并且经过严格的互通性测试,能够和Cisco、Juniper、MicroSoft等著名厂家的VPN产品实现互通。
系统加密算法支持DES、3DES、AES等,验证算法支持MD5和SHA1。
Ø支持L2TP协议
Ø
L2TP协议是一种2层VPN协议,为了能够兼容用户已有的L2TP网络,VPN安全网关设备也可以支持L2TP协议,能够作为L2TP服务器,允许Windows客户端接入内部网络,也可以作为L2TP客户端接入其他L2TP服务器。
Ø支持SSLVPN
Ø
SSLVPN采用标准的SSL协议标准,因此用户在客户端只需要使用标准的Web浏览器连接Internet网,通过网页即可以访问SSLVPN内网的保护资源。
相对于使用IPSecVPN的用户来说,使用SSLVPN之后,管理员省去安装和维护大量客户端的麻烦,网络的管理成本和运营成本也随之降低。
Ø集成强大的访问控制
Ø
用户的内部网络不仅面临着来自Internet上的攻击,还面临着来自远程VPN接入端的非法访问。
因此VPN安全网关设备自身具有包过滤模块和防火墙模块,能够实现内部网络和外部网络的隔离,可以在防火墙模块上添加相应的访问规则来允许或禁止外部网络到内部网络的访问。
VPN安全网关设备中的防火墙模块采用高性能的基于全状态检测的防火墙引擎,对来自Internet上的和远程VPN接入端的请求和应答全部进行规则检查,从而极大的防止了入侵者通过数据驱动方式对内部网的攻击。
通过对连接表进行优化,防火墙模块能够最大支持100万条并发连接,从而满足高端用户的通信需求。
Ø防火墙和VPN的联动功能
Ø
一方面VPN报文被加密传输之前和解密到达后需要通过防火墙的安全检测,才能防止住通过VPN隧道进行的网络攻击。
另一方面,由于防火墙具有强大的地址转换功能,因此对于一些特殊的网络环境就需要对通信数据先进行地址转换,然后再进行VPN隧道的封装,例如地址冲突等情况。
VPN安全网关产品通过内置的功能强大的防火墙模块可以方便的进行联动,从而灵活的适应各种网络的需求。
●高性能的通信保障
●
Ø支持带宽叠加,成倍增加上网带宽
Ø
VPN安全网关设备可以扩展支持多个外出链路,最大可以支持16条线路捆绑和负载均衡,当然这受到物理网口数的限制。
多线路捆绑技术给用户带来的好处是显而易见的。
首先就是带宽的成倍提升,另一个好处就是系统的稳定性大大增强。
正常情况下用户上网流量将根据带宽比例从不同的线路外出,而当任何一条线路出现故障时,数据可以无缝切换到其他正常线路,保证了整个系统的持续可靠运行。
Ø采用隧道压缩技术,提高吞吐率
Ø
VPN安全网关设备可以支持隧道压缩,用户如果选择启动压缩功能,那么隧道通信的数据将首先进行压缩,然后再进行加密。
由于压缩减小了数据长度,因此也就提高了加解密的速度。
根据实际测算压缩功能可以极大地减小文本、数据库等数据信息,压缩比可以达到1:
1,从而使传输速度提高近一倍,但是对于图片、视频等数据则无法进行压缩。
因此用户如果主要进行电子办公,那么可以选择压缩功能来提高VPN的传输速度。
Ø高品质的带宽管理,保障关键通信
Ø
用户进行网络访问除了普通的因特网浏览之外,也包含重要的业务通信。
为了保障重要的业务通信能够得到快速处理,就必须提供对不同类型通信的带宽控制。
VPN安全网关设备提供精确的动态带宽管理功能,可根据因特网接入的总带宽,定量的控制不同业务类型数据所占用的带宽比例。
同时采用了自适应的动态管理策略,当某一类型通信数据流没有达到额定带宽时,其他类型通信可以自动借用该类型剩余的带宽,而当该类型数据流加大时,其他类型通信又会自动让出占用的数据带宽,从而即可以确保数据的通讯质量,又不会造成不必要的带宽资源浪费。
●强大的网络部署能力
●
Ø支持全动态组网
Ø
目前国内常用的因特网接入方案(包括电话拨号、ISDN拨号、ADSL宽带接入等等)都是由ISP为接入用户动态分配临时IP地址,而主动向动态IP地址发起访问是困难的。
所以对于企业内部全动态地址接入的情况,VPN安全网关设备网关可以自动进行动态域名注册,发起隧道时首先进行域名解析,就可以自动获得对方设备的当前IP地址。
Ø支持双边NAT
Ø
所谓"双边NAT模式",是指通讯的双方都在NAT环境中(即:
都采用保留IP地址上网),发起通讯的VPN设备由于无法确定被连接VPN设备的IP地址和协商端口号等多种原因,而导致无法建立加密通讯隧道。
在实际网络环境中,VPN网关可能放在防火墙的内部,这就是典型的“双边NAT模式”,这使得普通VPN在实际网络环境中的应用受到限制。
VPN安全网关设备网关支持隧道接力交换技术,通过和第三方确定地址或域名的VPN设备建立隧道进行中转,从而解决这种双边NAT穿越的问题。
Ø允许子网冲突,减轻部署负担
Ø
当前很多企业的网络在刚开始构建的时候由于规模较小,应用不是很多,所以在IP地址的管理方面没有做到统一规划。
当企业需要通过VPN把全省甚至全国的分支机构互联起来,构建全网互联访问的时候,不同分支机构之间地址极有可能发生网址冲突。
在这种情况下,常规的IPSecVPN产品必须要求重新进行地址划分,不仅费时费力,而且还要进行大规模的网络调整,从而增加了部署和管理的成本。
VPN安全网关设备产品创造性的解决了这个问题。
通过采用虚拟子网的方式,把原来冲突的网络转变为逻辑上重新规划的网络,这样冲突双方只需有一方配置了虚拟子网,就可以使得双方按照新的地址进行隧道访问,而原有访问Internet的地址和拓扑保持不变。
Ø多种工作模式,满足不同拓扑要求
Ø
VPN安全网关设备可以工作在路由模式、透明模式、混合模式和单臂模式,并且能够在透明模式下进行隧道访问。
除了静态路由外,还支持源地址策略路由,可以针对不同的用户网络流量进行分流,从而可以实现VPN设备的集群。
VPN安全网关设备可以作为内部网的计算机,采用单臂模式接入到网络中,在这种情况下不仅具备通信加密功能,而且还不会影响内部网结构的改变,方便了部署和实施。
●全面支持标准化,保护用户投资
●
Ø支持标准IPSec协议和IKE协议
Ø
目前VPN安全网关设备产品已经全面支持国际标准IPSec协议和IKE协议,可以和其他支持标准的VPN厂家实现互通。
已经经过实际测试有:
✧Cisco路由器(IOS:
12.1),PSK方式、数字签名方式
✧
✧Juniper设备,PSK方式
✧
✧Cabletron路由器
✧
✧Vigor路由器,PSK方式
✧
✧Windows系列(2000、XP系列)PSK方式、数字签名方式
✧
Ø支持标准PKI协议
Ø
任何一个VPN节点,必须导入一个合法的数字证书,才能和其它VPN进行基于证书的双向身份认证。
VPN安全网关设备采用标准X.509格式的证书,可以支持DER编码、BASE64编码和PKCS编码的文件。
除了支持迈普证书管理器颁发的证书以外,系统还支持第三方CA。
管理员可以通过手工方式或SCEP、LDAP等在线方式下载第三方CA颁发的证书和作废列表,从而和企业内部的PKI系统无缝结合。
●全面可靠的身份认证
●
Ø安全的硬件认证
Ø
VPN安全网关设备除了支持用户名/密码等传统方式之外,还支持USB证书方式认证。
USB-KEY是一种USB身份认证设备,为防止USB-KEY丢失后被盗用,还为USB-KEY加入PIN码保护,同时为了防止对PIN码的强制性攻击,在芯片组中设置多次密码试错自锁功能。
Ø短信校验多重保证
Ø
VPN安全网关设备的短信校验技术是随着无线技术的突飞猛进而出现,充分利用了其灵活可靠的特点,形成的一种革新性的认证解决方案。
认证系统分为手机短信终端和短信认证服务两部分,短信认证服务器可以集成于VPN安全网关设备,终端用户在已有移动电话和PDA的基础上,通过手机短信方式获取用户认证必需的校验码。
这样VPN安全网关设备的终端用户就可以通过用户名/密码和USB-KEY的方式登陆SSLVPN,在登陆的过程中通过移动电话或PDA短信收取一次性校验码,经过如上双重因素认证之后就能访问相应的内网资源了。
Ø支持外部有效认证
Ø
VPN安全网关设备的除了支持终端用户使用本地用户数据库的用户登陆访问内网资源外,还支持外部第三方认证服务器。
通过与第三方的LDAP认证服务器或RADIUS认证服务器的有效集成,一个组织结构就可以只保存一套认证体系,简化了部署过程,减少了运营成本。
Ø支持客户端特征码硬件绑定
Ø
每个终端用户使用的PC机都独有自己的某些硬件特征信息,在登陆VPN安全网关设备的过程中,可以将自己的硬件特征信息上报。
VPN安全网关设备根据管理员的选择,可以自动将上报的硬件特征信息生成特征码,并与登陆的用户进行绑定。
绑定之后的用户将只限于在绑定的机器上使用,进一步提高了接入用户的合法性和企业内网资源的安全性。
Ø客户端安全扫描
Ø
为了保证终端用户接入VPN之前的安全性,VPN安全网关设备在用户登陆的时候,系统会对客户端的主机健康状态进行检查,内容涉及到主机的操作系统、是否安装防火墙软件、是否安装防病毒软件、是否打了最新的补丁等信息。
如果主机健康状态不佳,管理员可以限制主机联入内部网。
硬件特性
1.3
产品整体外观图
1.3.1
图1-1MPSecVPN3005S外观示意图
MPSecVPN3005S前面板说明
1.3.2
图1-2MPSecVPN3005S前面板示意图
说明:
图1-2为MPSecVPN3005S的前面板示意图,图上所示指示灯从左至右分别是:
指示灯名称
指示灯状态
指示灯描述
PWR
亮
设备已经供电
灭
设备未上电或电源异常
Eth1
亮
网口联网
灭
无连接
Eth0
亮
网口联网
灭
无连接
Eth0
亮
网口联网
灭
无连接
Eth0
亮
网口联网
灭
无连接
Eth0
亮
网口联网
灭
无连接
MPSecVPN3005S(产品名称)后面板说明
1.3.3
图1-3MPSecVPN3005S后档板示意图
后面板各端口说明:
端口
描述
直流电源接口
DC12V/700mA
Eth0
10/100Mbps以太网口
Eth1
10/100Mbps以太网口
Console
RS-232配置口
MPSecVPN3005S(产品名称)系统说明
1.3.4
给出产品的基本配置和工作环境等。
例如:
MPSecVPN3005S的基本配置、工作环境如下表:
项目
描述
主板类型
ME8695X
处理器
ARM922T
配置口
1个(RS-232)
以太网口
5个10/100/Mbps自适应以太网口(RJ45)
FLASH
16M
内存
32M
电源输入电压
DC12V/700mA
电源额定功率
8W电源适配器
整机最大功耗
2.0W≤P≤3.5W
外形尺寸(W×D×H)
300mm×166mm×44mm
环境温度
0~65℃
环境湿度
5-95%
安装准备
第2章
安全建议
2.1
在MPSecVPN3005S安全网关设备安装之前及安装过程中,为避免出现各种意外事故对人身及设备造成的伤害,请遵从以下的注意事项:
●认真阅读本手册
●
●妥善放置MPSecVPN3005S。
以免因跌落造成严重损失
●
●妥善布线,请勿让任何重物压在电源线上,并避免踩踏接线
●
●不要带电插拔电缆线
●
●推荐用户使用UPS不间断电源,一方面可以避免由于市电故障对网络系统的影响,另一方面也可以避免电源干扰
●
●推荐用户使用时保证可靠接地,避免因接地不好带来设备烧毁。
●
环境要求
2.2
运行环境
2.2.1
为了保证MPSecVPN3005S安全网关设备的有效使用和性能的稳定,建议机房内维持一定的温度和湿度。
这样有利于线路的保护和延长安全网关的使用寿命。
MPSecVPN3005S安全网关设备必须在室内使用,对室内环境要求如下:
●环境温度:
0~65℃
●
●环境湿度:
5-95%
●
在设备周围,至少留有10cm的空间,确保有足够的散热空间。
建议将MPSecVPN3005S安全网关设备水平放置于干净的平面上。
在夏季较炎热的地区,建议安装空调。
洁净度要求
2.2.2
灰尘对MPSecVPN3005S安全网关设备运行安全是一种危害。
室内灰尘落在机体上,可以造成静电吸附,使金属接件或金属接点接触不良。
尤其是在室内相对湿度偏低的情况下,更易造成静电吸附,不但会影响设备寿命,而且容易造成通信故障。
防静电要求
2.2.3
尽管MPSecVPN3005S安全网关设备在防静电方面作了大量的考虑,采取了多种措施,但当静电超过一定容限时,仍会对电路乃至整机产生破坏作用。
在安全网关设备通信网中,静电感应主要来自两个方面:
一是室外高压输电线、雷电等外界电场;一是室内环境、地板材料、整机结构等内部系统、因此为防止静电的破坏,应做到:
●设备及地板良好接地;
●
●室内防尘;
●
●保持适当的温湿度条件;
●
●当人体接触电路板时,应戴防静电手腕,穿防静电工作服。
●
电磁环境要求
2.2.4
各种干扰源,无论是来自设备或应用系统外部,还是来自内部,都是以电容耦合、电感耦合、电磁波辐射、公共阻抗(包括接地系统)和导线(电源线、信号线和输出线等)的传导方式对设备产生影响。
为此应注意:
●要对供电系统采取有效的防电网干扰措施;
●
●安全网关工作地最好不要与电力设备的接地装置或防雷接地装置合用,并尽可能相距远一些;
●
●远离强功率无线电发射台、雷达发射台、高频大电流设备;
●
●必要时采取电磁屏蔽的方法,等等。
●
防雷击要求
2.2.5
MPSecVPN3005S安全网关设备属于精密电子电器,采用大规模集成电路芯片,抗雷能力有限,要彻底保护它们的安全,建议采用多级防护。
MPSecVPN3005S安全网关设备前面的双绞线是雷击的重点区,一定要避免双绞线悬空走线。
它也是强大的感应雷的主要通道,同时它也有被直接雷击的可能,从而直接导致设备损坏。
所以,在有条件的情况下,入室电缆应选择埋地方式,特别是架空线缆中的电话线或电缆应在入房前埋地,埋地长度不得小于15米(闭路线埋地长度不得小于1.5米)。
对于来自电源线线路的感应雷击,大家可采用防雷(防电涌)插座。
正规的防雷插座应该能够实现对“火零”的全面保护,并且需要根据设备的使用环境,确定防护等级和防护指标,如最大通流容量、限制电压等,要对电涌防护措施进行明确的量化,实施达标管理。
检查设备及附件
2.3
在确认安装环境符合要求后,您可以打开包装箱了。
但在正式安装之前,您需要根据订单仔细检查包装箱内的设备及附件是否齐全。
MPSecVPN3005S(产品名称)基本配置及附件
2.3.1
对于一台基本配置的MPSecVPN3005S安全网关设备,应包含内容如表所示。
MPSecVPN3005S安全网关基本配置及附件
项目
名称
数量
说明
1
MPSecVPN3005S装配整机
1台
主机
2
电源适配器
1个
DC12V/700mA
3
Console线
1根
1.5米
4
交叉网线
1根
2米
5
直连网线
1根
2米
6
CD光盘
1套
安装手册、配置手册(光盘)等
7
产品保修册
1套
产品保修册
需要的工具和设备
2.4
根据产品情况描速安装设备需要的工具和设备
(1)需要工具
●十字槽螺丝刀
●
●水平尺、直尺或卷尺
●
●手套、防静电手腕
●
●……
●
(2)连接用电缆
设备包装中的线缆
(3)需要设备
●配置终端(可以是普通的PC机)
●
●集线器(HUB)或以太网交换机
●
●与选配模块相关的设备(如电话机)
●
●根据产品情况补充……
●
系统安装与初始化
第3章
MPSecVPN3005S(产品名称)主机安装
3.1
主机安装与启动
3.1.1
首先将电源适配器的输出端子接上MPSecVPN3005S安全网关设备背面的电源孔,然后将另一端接上电源插座。
稍等一会,在设备开机完毕后,再进行下一步操作。
MPSecVPN3005S安全网关初始化
3.1.2
利用串口线将MPSecVPN3005S安全网关设备Console端口与您用来配置MPSecVPN3005S安全网关设备的PC端COM口对接。
您即可通过CLI指令来配置MPSecVPN3005S安全网关设备的系统参数。
COM口配置:
●l每秒位数:
115200
●
●l数据位:
8
●
●l奇偶校验:
无
●
●l停止位:
1
●
●l数据流控制:
硬件
●
或者您也可以通过网线连接eth1端口使用安全网关管理中心连接到设备,设备eth1口出厂的默认地址为192.168.1.1/24,请确认用此方式登录的终端能够访问到此地址。
一般情况下初次配置建议使用console口进行配置。
设备登陆:
Console控制台下默认管理员口令和密码
●l默认用户名:
admin
●
●l默认密码:
admin
●
当Console界面中出现“#”提示符即表示登录成功。
安全网关管理中心登陆时默认管理员口令和密码
●l默认用户名:
adm
●
●l默认密码:
adm
●
MPSecVPN3005S安全网关初始配置
3.1.3
1)路由安装模式
当用户需要保护的内部子网的地址和外部网络的地址不是同一个网段时,那么VPN网关就要工作在路由模式,为内外网的通信提供路由转发。
假设网关的eth0口连接外网,eth1口连接内网,如下图所示:
路由模式示意图
那么管理员把控制台主机的串口和设备的RS-232串口通过串口线连接起来,然后在Windows9x或WindowsXP下运行“开始”菜单中的“程序—附件—通讯—超级终端”程序,如下图
打开超级终端
新建连接的“名称”和“图标”可自定,如下图
新建连接
连接时使用串口按默认值,一般为COM1,如下图
选择串口
设置连接速率“每秒位数”为“115200”,其它按默认值,如下图,即可连接到安全网关上。
进行端口设置
系统终端管理员是admin,默认密码是admin。
管理员使用该帐户登录系统,如下图所示:
MaipuCommunicationTechnologyCo.Ltd.
Model:
MPSec-VPN3005S-AC
Version:
MPSec-v2.50.73.5
mailto:
service@
MPSeclogin:
登录串口
在终端上执行以下命令,配置eth0接口,如下所示:
MPSec#
MPSec#network
MPSec(Network)#interfaceset
Interfacetoset(eth0,eth1,eth2,eth3,Entermeanscancel):
eth0
Bringuponboot?
(0:
No,1:
Yes,EntermeansYes)
Workmode(0:
UnCfg,1:
Manual,2:
DHCP,3:
PPPoE,4:
InBridge,EntermeansManual):
IPAddress(xxx.xxx.xxx.xxx):
192.168.1.33
Netmask(xxx.xxx.xxx.xxx,Entermeans255.255.255.0):
GateWay(xxx.xxx.xxx.xxx,Entermeansnodefault
升级会员 