Hillstone山石网科基础配置手册50.docx

1、Hillstone山石网科基础配置手册50Hillstone山石网科多核安全网关基础配置手册version 5.0关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册，对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI配置。适用于StoneOS 5.0以及以上版本。具体内容包括：第1章：设备管理。介绍登录方式、StoneOS升级以及许可证安装等。第2章：基础上网配置。介绍接口、路由、策略等基本上网配置。第3章：常用功能配置。介绍PPPoE拨号、动态地址分配DHCP、DNAT等配置。第4章：链路负载均衡。介绍基于目的

2、路由、源路由、策略路由的流量负载配置等。第5章：QoS配置。介绍QoS功能及配置。第6章：网络行为控制配置。介绍URL过滤、网页关键字以及网络聊天控制配置。第7章：VPN高级配置。介绍基于USB Key的SCVPN配置以及PnPVPN配置。第8章：高可靠性。介绍高可靠性（HA）的配置。手册约定为方便用户阅读与理解，本手册遵循以下约定：内容约定本手册内容约定如下：提示：为用户提供相关参考信息。说明：为用户提供有助于理解内容的说明信息。注意：如果该操作不正确，会导致系统出错。 ：用该方式表示Hillstone设备WebUI界面上的链接、标签或者按钮。例如，“点击登录按钮进入Hillstone设备的

3、主页”。：用该方式表示WebUI界面上提供的文本信息，包括单选按钮名称、复选框名称、文本框名称、选项名称以及文字描述。例如，“改变MTU值，选中单选按钮，然后在文本框中输入合适的值”。第1章 设备管理设备管理介绍为方便管理员管理与配置，安全网关支持本地（Console口）与远程（Telnet、SSH、HTTP以及HTTPS）两种环境配置方法，可以通过CLI和WebUI两种方式进行配置。终端Console登录通过Console口，用户可登录安全网关设备的CLI，从而使用命令行对设备进行配置。在计算机上运行终端仿真程序（系统的超级终端、SecureCRT等）建立与安全网关的连接。按照表1配置终端参

4、数：表1：配置终端参数参数数值波特率9600 bit/s数据位8奇偶校验无停止位1WebUI方式登录WebUI是最方便、直观、简单的配置方式，WebUI同时支持http和https两种访问方式。安全网关的ethernet0/0接口配有默认IP地址192.168.1.1/24，初次使用安全网关时，用户可以通过该接口访问安全网关的WebUI页面。请按照以下步骤：1.将管理PC的IP地址设置为与192.168.1.1/24同网段的IP地址，并且用网线将管理PC与安全网关的ethernet0/0接口进行连接。2.在管理PC的Web浏览器中输入地址“http:/192.168.1.1”并按回车键。出现登

5、录页面如下图所示。恢复出厂设置Hillstone山石网科提供三种方法恢复设备的出厂配置，分别是：命令行：通过CLI使用命令进行恢复WebUI：通过WebUI清除配置以恢复出厂配置物理方法：使用设备的CLR按键进行恢复通过CLI方式通过CLI使用命令恢复出厂设置，请按照以下步骤进行操作：1.在执行模式下，使用unset all命令。2.根据提示，选择是否保存当前配置：y/n。3.选择是否重启设备：y/n。4.系统重启后即出厂配置恢复完毕。通过WebUI方式通过WebUI恢复出厂配置，请按照以下步骤进行操作：1.通过WebUI方式登录StoneOS，从工具栏的下拉菜单选择配置备份还原。如下图所示：

6、 2.在弹出的对话框，选择单选按钮，并点击下一步按钮。3.选择是否重启设备。为使配置生效，用户需重新启动设备。选择单选按钮，并点击完成按钮。4.所有配置将会被清除，然后设备将自动重启。通过CLR按键方式使用CLR按键恢复出厂配置，请按照以下步骤进行操作：1.关闭安全网关的电源。2.用针状物按住CLR按键的同时打开安全网关的电源。3.保持按住状态直到指示灯STA和ALM均变为红色常亮，释放CLR按键。此时系统开始恢复出厂配置。4.出厂配置恢复完毕，系统将会自动重新启动。StoneOS版本升级通过网络迅速升级StoneOS（TFTP）Sysloader可以从TFTP服务器获取StoneOS，从而保

7、证用户能够通过网络迅速升级StoneOS。请按照以下步骤进行操作：1.给设备上电根据提示按ESC键并且进入Sysloader。参照以下操作提示：HILLSTONE NETWORKSHillstone Bootloader 1.3.2 Aug 14 2008-19:09:37DRAM: 2048 MBBOOTROM: 512 KBPress ESC to stop autoboot: 4 （5秒倒计时结束前按“ESC”键）Run on-board sysloader? y/n: y （键入字母“y”或者敲回车键）Loading: #2.从Sysloader的操作选择菜单选择通过TFTP升级Sto

8、neOS。参照以下操作提示：Sysloader 1.2.13 Aug 14 2008 - 16:53:421 Load firmware via TFTP2 Load firmware via FTP3 Load firmware from USB disks (not available)4 Select backup firmware as active5 Show on-board firmware6 ResetPlease select: 1 （在此处键入“1”并敲回车键）3.确保设备与控制主机的连通性，并将需升级的StoneOS拷贝到指定目录下。4.依次配置Sysloader的IP地

9、址、TFTP服务器的IP地址、网关IP地址以及StoneOS名称。参照以下操作提示：Local ip address : 10.2.2.10/16（输入Sysloader的IP地址并敲回车键）Server ip address : 10.2.2.3（输入TFTP服务器的IP地址并敲回车键）Gateway ip address : 10.2.2.1（如果Sysloader与TFTP服务器的IP地址不属于同一个网段，输入网关的IP地址并敲回车键；否则直接敲回车键） File name : StoneOS-3.5R2（输入StoneOS名称并敲回车键，系统开始通过TFTP获取StoneOS）#5.保

10、存StoneOS。参照以下操作提示：File total length 10482508Checking the image.Verified OKSave this image? y/n: y（键入字母“y”或者敲回车键，保存获得的StoneOS）Saving .Set StoneOS-3.5R2 as active boot image6.重启。系统将使用新的StoneOS启动。参照以下操作提示：Please reset board to boot this image1 Load firmware via TFTP2 Load firmware via FTP3 Load firmwar

11、e from USB disks (not available)4 Select backup firmware as active5 Show on-board firmware6 ResetPlease select: 6（在此处键入“6”并敲回车键，系统开始重启）设备的Flash中最多可以储存两个StoneOS。如果Flash中已经保存了两个StoneOS，请根据提示对储存的StoneOS进行删除。通过WebUI方式升级StoneOS1.通过WebUI方式登录StoneOS，从工具栏的下拉菜单选择版本升级。如下图所示： 2.在弹出的对话框，选择单选按钮，并点击下一步按钮。3.在下拉菜单中

12、选择一个软件版本做为备份，然后点击后的浏览按钮并在本地PC选择新的软件版本文件。4.点击下一步。根据需要，选择单选按钮，并点击完成按钮。为使配置生效，用户需重新启动设备。注意：如果选择暂不重新启动设备，将会在下次重新启动设备后加载新版本StoneOS。许可证安装通过CLI方式安装通过CLI使用命令安装许可证，请按照以下步骤进行操作：1.登录StoneOS，在执行模式下，使用exec license install license-string命令（license-string 要安装的许可证字符串。输入“license：”后的字符串）。如下图所示：2.根据系统提示重启后即完成许可证安装。通过W

13、ebUI方式安装通过WebUI安装许可证，请按照以下步骤进行操作：1.通过WebUI方式登录StoneOS，从工具栏的下拉菜单选择许可证。如下图所示：2.在弹出的对话框中，许可证列表可查看当前系统许可证的类型和有效时间。3.在处，用户可根据需要，选择手动输入许可证请求或选择上传本地文件。上传许可证文件：选中单选按钮（许可证为纯文本.txt文件），点击浏览按钮，并且选中许可证文件；手动输入：选中单选按钮，然后将许可证字符串内容（包含“license：”及之后内容）输入到对应的文本框。4.点击确定按钮保存所做配置，并且重启设备完成许可证的安装。第2章 基础上网配置基础上网配置介绍为使设备实现正常上

14、网，基本配置包括接口、路由、策略以及源NAT的配置。接口配置接口配置，请按照以下步骤进行操作：1.通过WebUI方式登录StoneOS，从页面左侧导航树选择并点击“配置-网络-网络连接”，进入网络连接页面。2.从接口列表中选中需要编辑的接口，双击或者点击列表右上方的编辑按钮。3.在弹出的对话框对接口进行编辑:绑定安全域：指定接口的安全域类型。三层接口选择三层安全域，二层接口选择二层安全域；安全域：选择安全域名称。一般情况下，内网选择trust或l2-trust；外网选择untrust或l2-untrust。IP配置：为接口配置IP地址相关信息。管理方式：指定接口的管理方式。在部分选中需要的管理

15、方式的复选框。提示：如果外网接口使用PPPoE拨号方式接入，关于接口的配置请参阅PPPoE配置。路由配置路由配置，请按照以下步骤进行操作：1.通过WebUI方式登录StoneOS，从页面左侧导航树选择并点击“配置-网络-路由”，进入路由页面。2.点击目的路由标签，进入目的路由页面。3.从下拉菜单选择一个VR，新建的路由将属于该VR，默认为“trust-vr”。4.点击目的路由列表左上角的新建按钮，弹出对话框，在该对话框对目的路由进行编辑：目的地：指定路由条目的目的IP。子网掩码：指定路由条目的目的IP对应的子网掩码。下一跳：指定下一跳类型，选中或单选按钮。若选择，需在文本框中输入网关IP地址。

16、若选择，需在下拉菜单中选择接口名称。如果该接口为tunnel的时候，需要在可选栏输入tunnel对端的网关地址。如：下一跳网关指定为122.193.30.97（由运营商提供网关地址）。优先权：该参数取值越小，优先级越高，而在有多条路由选择的时候，优先级高的路由会被优先使用。取值范围是1到255，默认值为1。当优先级为255时，该路由无效。路由权值：路由权值决定负载均衡中流量转发的比重。范围是1到255，默认值是1。5.用户可以根据需要，在文本框中指定目的路由的描述信息。6.点击确定按钮，完成新建目的路由。策略配置策略配置，请按照以下步骤进行操作：1.通过WebUI方式登录StoneOS，从页面

17、左侧导航树选择并点击“配置-安全-策略”，进入策略页面。2.点击列表左上角的新建按钮，弹出对话框，在该对话框对策略规则进行编辑。基本选项包含策略的源/目的安全域和源/目的地址的选择，以及服务、时间表、用户、行为和策略描述的指定。3.配置完成后，点击确定按钮保存所做配置并返回策略页面。源NAT配置源NAT配置，请按照以下步骤进行操作：1.通过WebUI方式登录StoneOS，从页面左侧导航树选择并点击“配置-网络-NAT”，进入源NAT页面。2.点击源NAT列表中的新建按钮，弹出对话框。在该对话框对源NAT规则进行编辑。3.配置完成后，点击确定按钮保存所做配置。第3章 常用功能配置常用配置介绍本

18、章介绍Hillstone山石网科多核安全网关的一些常用功能配置，包括PPPoE、DHCP、IP-MAC绑定、端到端IPsec VPN、SCVPN、DNAT等配置。PPPoE配置PPPoE配置，请按照以下步骤进行操作：1.通过WebUI方式登录StoneOS，从页面左侧导航树选择并点击“配置-网络-网络连接”，进入网络连接页面。2.从接口列表中选中需要编辑的接口，双击或者点击列表右上方的编辑按钮。3.在弹出的对话框对接口进行编辑。4.点击确定按钮保存所做配置并返回网络连接页面。5.从页面右侧辅助栏的区选择PPPoE列表链接，弹出对话框。6.点击页面左上角的新建按钮，弹出对话框。在该对话框进行配置

19、。7.配置完成点击确定按钮并返回PPPoE列表对话框。选中需要连接/断开的PPPoE实例，然后点击页面左上角的连接按钮。DHCP配置DHCP配置，请按照以下步骤进行操作：1.通过WebUI方式登录StoneOS，从页面左侧导航树选择并点击“配置-网络-网络连接”，进入网络连接页面。2.从页面右侧辅助栏的区选择DHCP列表链接，弹出对话框。在该对话框对DHCP进行编辑：接口：选择应用DHCP服务器功能的接口。类型：选中单选按钮。基本配置：在标签页对DHCP的基本属性进行配置。3.配置完成点击确定按钮并返回DHCP列表对话框。并且将用户pc或者交换机连接在相应端口，即可获取IP地址。IP-MAC绑

20、定配置IP-MAC绑定配置，请按照以下步骤进行操作：1.通过WebUI方式登录StoneOS，从页面左侧导航树选择并点击“配置-安全-ARP防护”，进入ARP防护页面。2.从静态IP-MAC绑定条目列表中选中需要绑定的IP-MAC条目，双击或者点击列表上方的编辑按钮，弹出对话框。3.在对话框中，选中复选框开启IP-MAC绑定，并点击确定按钮保存配置。4.默认情况下，安全网关的ARP学习功能是开启的，IP-MAC绑定成功后，还需要关闭接口的ARP学习功能。5.从页面左侧导航树选择并点击“配置-网络-网络连接”，进入网络连接页面，从接口列表中选中需要编辑的接口，双击或者点击列表右上方的编辑按钮。6

21、.在弹出的对话框中，点击属性标签，在部分取消选中ARP学习后的启用复选框开启接口的ARP学习功能。端到端IPsec VPN配置在Hillstone安全网关A和Hillstone安全网关B之间建立一个安全隧道，PC1作为Hillstone安全网关A端的主机，PC2作为Hillstone安全网关B端的主机，两端的公网IP都是固定的情况下，配置端到端的IPsec VPN，拓补图如下：使用IKE VPN即自动协商方式配置IPsec VPN，配置包括：配置P1提议配置VPN对端配置P2提议配置隧道绑定接口到隧道配置隧道路由和策略具体配置。请按照以下步骤进行操作：1.配置P1提议。通过WebUI方式登录S

22、toneOS，从页面左侧导航树选择并点击“配置-网络-IPsec VPN”，进入IPsec VPN页面。点击P1提议标签，进入P1提议标签页。2.点击P1提议列表左上方的新建按钮，弹出对话框。在该对话框进行编辑：提议名称：指定或者显示P1提议的名称。认证：指定IKE身份认证的方式。验证算法：为P1提议指定验证算法。选中所需验证算法的单选按钮。加密算法：为P1提议指定加密算法。DH组：为P1提议选择DH组。生存时间：指定SA第一阶段的生命周期长度，单位为秒。默认86400秒。3.配置VPN对端。在IPsec VPN页面，点击VPN对端列表标签，进入VPN对端列表标签页。4.点击VPN对端列表左上

23、方的新建按钮，弹出对话框。在该对话框对VPN对端进行基本配置。注意：如果在设备前还有其他NAT设备，需在标签下配置NAT穿越功能。5.配置P2提议。在IPsec VPN页面，点击P2提议标签，进入P2提议标签页。6.点击P2提议列表左上方的新建按钮，弹出对话框。在该对话框进行P2提议配置。7.配置隧道。在IPsec VPN页面，点击IKE VPN列表左上方的新建按钮，弹出对话框。8.在部分配置各选项。点击后面的导入按钮，并在下拉菜单选择已配置的VPN对端名称，导入系统中已配置的VPN对端参数。9.点击，配置隧道相关选项。注意：隧道配置完成后，需要流量触发VPN连接。如果需要自动连接，请在标签下

24、配置自动连接功能。10.绑定接口到隧道。从主页面左侧导航树选择并点击“配置-网络-网络连接”，进入网络连接页面。点击接口列表左上角的新建按钮，从下拉菜单中选择并点击，系统弹出对话框。在该对话框绑定接口到隧道。11.配置隧道路由和策略。从页面左侧导航树选择并点击“配置-网络-路由”，进入目的路由页面。点击目的路由列表左上角的新建按钮，弹出对话框，在该对话框对目的路由进行编辑。12.从页面左侧导航树选择并点击“配置-安全-策略”，进入策略页面。点击列表左上角的新建按钮，弹出对话框，在该对话框对策略规则进行编辑。13.配置完成后，安全网关B也按照步骤1-12进行配置。14.完成以上配置后，安全网关A

25、和安全网关B之间的安全隧道便建立成功了。从IPsec VPN页面右侧辅助栏的区选择ISAKMP SA/IPsec SA/链接，查看VPN监控结果。SCVPN配置为解决远程用户安全访问私网数据的问题，安全网关提供基于SSL的远程登录解决方案Secure Connect VPN，简称为SCVPN。SCVPN功能可以通过简单易用的方法实现信息的远程连通。SCVPN配置，请按照以下步骤进行操作：1.通过WebUI方式登录StoneOS，从页面左侧导航树选择并点击“配置-网络- SSL VPN”，进入SCVPN页面。2.点击SCVPN列表左上角的新建按钮或者从页面右侧辅助栏的区选择新建SSL VPN链接

26、，弹出对话框。3.阅读内容，并在文本框中指定SCVPN名称。4.点击下一步按钮进入配置页面。在该页面配置用于客户端用户身份认证的AAA服务器。5.点击下一步按钮进入配置页面。在该页面配置设备端接口、隧道接口和地址池。注意：隧道接口地址和地址池必须在同一网段，且地址池地址段中不能包含隧道接口地址。6.在配置页面下拉菜单中选择系统中已配置的隧道接口；或者选中下拉菜单中的选项，在弹出的对话框中新建隧道接口；还可以在下拉菜单中选中系统中已配置的隧道接口，然后点击配置按钮，在弹出的对话框中编辑该隧道接口。7.在配置页面下拉菜单中选择系统中已配置的地址池；或者，选中下拉菜单中的选项，在弹出的对话框中新建地

27、址池；还可以在下拉菜单中选中系统中已配置的地址池，然后点击配置按钮，在弹出的对话框中编辑该地址池。8.点击下一步按钮进入页面。在该页面配置策略规则和隧道路由。注意：系统会自动创建一条源安全域是VPNHub，目的安全域是Any的策略；隧道路由即为远程拨入用户需要访问的内网资源网段。9.如需要，点击页面右下方的高级配置按钮，进行SCVPN高级参数配置，包括参数配置、客户端/USB Key配置、主机检测/绑定配置、短信口令认证配置和最优路径检测配置。参数配置保持默认即可。10.建立登录用户。从工具栏的下拉菜单选择本地用户，弹出对话框。11.选中下拉菜单中的用户按钮，弹出对话框。在基本配置标签页，进行用户名称和密码的配置。12.Web方式（用户名/密码）启动SCVPN。在IE浏览器的地址栏输入以下URL访问设备端：https:/IP-Address:Port-Number（默认为4433）。13.浏览器转到登录页面，输入用户名和密码，并点击登录按钮。14.下载并启动SCVPN客户端（用户名/密码）。使用Web方式登录后，下载并安装客户端程序Hillstone Secure Connect。15.完成安装后，双击桌面的Hillstone Secure Connect快捷方式，或者点击“开始菜单”中的“所有程序Hillstone Secure ConnectHillston