天融信VPN.docx

1、天融信VPN配置天融信VPN一 初始登录二 天融信VPN用户和子接口升级三 创建子接口逻辑属性并与相应子接口绑定四 物理接口配置五 子接口划分及IP配置六 安全区域划分及默认权限的配置七 针对安全区域开放相应管理服务八 DHCP地址池的划分九 创建用户角色一十 创建VRC用户管理并添加到相应角色一十一 策略路由的配置一十二 VRC配置一十三 0SPF配置定义1初始登录一 初始登录VPN安全网关在浏览器地址栏内键入管理地址，如下图所示：二 管理地址形如：https:/192.168.1.254:8080三 默认用户名：superman四 默认口令：talent五 本地链接IP配置IP：192.1

2、68.1.1 掩码255.255.255.0 网关指向192.168.1.254。六 用网线链接到天融信VPN Eth0口 ,0口也是它的管理口。七 用户名口令更改后一定要劳记，天融信安全设备遗失用户名口令需要返厂清除。2天融信VPN用户和子接口升级一 给用户升级，IPsec-VPN和SSL-VPN用户要升级。默认是IPsec和 SSL各5个用户。州上设备升级完是IPsec和SSL都是1000个用户。县上的是500用户。二 升级一定要看好产品的序列号。如：序列号 K1107080136 这个就是产品序列号。三 把设备序列号和vpn升级用户包里的序列号一一对应，在Web里找到系统管理维护系统升级

3、网页升级。四 浏览到VPN升级包现在有设备序列号升级就好了，IPsec和SSL都要升级。五 原有子接口是31个子接口，现在要升级到255个子接口。升级方法也是在网页升级。3创建子接口逻辑属性并与相应子接口绑定一天融信VPN安全网关子接口创建完毕后，尚不能正常启用。主要表现为VPN可以PING通对端数通设备的相应子拉口，但对端设备却无法正常PING通VPN相应的子接口。这是因为相应区域的子接口没有开通权限造成的。需要在CLI下为相应子接口添加属性，并将所添加的属性与子接口做一对一的绑定即可。如下脚本所示：1、 统一创建子接口属性network attribute add name vpn-sub

4、if-attribute2、 属性与子接口的绑定如一下network interface veth2.000 attribute add vpn-subif-attributenetwork interface veth2.001 attribute add vpn-subif-attributenetwork interface veth2.002 attribute add vpn-subif-attribute这里说明建立多少个子接口就要把属性与子接口绑定一起。这里只写了三个子接口的。二telnet到天融信VPN就可以编写了。下面是介绍图。4物理接口配置一 由于采用路由模式部署防火墙，故

5、在本次项目测试过程中我们需要为VPN安全网关的相应物理接口配置IP地址。Eth1外网口IP 10.201.126.137 /30 直连 R4 IP 10.201.126.136/30 ，Eth3 DMZ口 IP 10.201.126.143 /30 直连 SW2 IP 10.201.126.142/30.Eth2是内网口。启的子接口链接的是R2-PE3。二 每个地方IP地址不一样，这里是喀什的IP地址配置只供参考. 详细当地看IP地址规划总表。 三 IP地址的配置界面及入口如下图所示：5子接口划分及IP配置一 天融信VPN安全网关采用子接口的形式与锐捷设备的形成对接。用链接内网 IP 59.2

6、22.162.70/30 直连的 R2 IP 59.222.162.162/30在此端口划分子接口做 喀什地区建立用户如：安全生产监督管理局 IP 10.201.125.46/30 , 审计厅 IP 10.201.125.66/30 煤矿安全监察局 IP 10.201.125.94 等。分配其他地州的详情IP规划-公网IP-PE-VCE子接口互连。二 注意事项:子接口的VLAN-ID号就是OSPF进程号，锐捷R2也要起。如：101.102 等，详细看VRF规划OSPF进程号。三 具体配置如下6安全区域划分及默认权限的配置注意事项：内网区域不用选Eth2口，在添加区域的时候选VPN-subif-

7、attibute 就可以了。7针对安全区域开放相应管理服务一 管理服务是VPN安全网关对外提供的服务，除了设备自身管理所需要的基本服务如：WEBUI、TELNET、PING 、SSLVPNMGR、SNMP等之外，还有设备对于VRC远程接入所提供的服务如：IPSECVPN、SSLVPN。过程各针对内外网区域和外网区域我们开通的服务需要用户要求如下图所示：8 DHCP地址池的划分一 哈密项目实施计划地州的每一个部委对应一个VPN地址池，此处做了三个地州级单位地址池，分别喀什地州的“安全生产监督管理局”、“审计厅”、“煤矿安全监察局”具体配置如下图所示。二注意事项:地址池创建完成之后必需运行在系统的

8、LO口上方可生效。9创建用户角色一 用户角色的创建决定着VPN移动拨号用户（VRC用户）的归属。依据前期规划，本次项目中创建的用户角色就是以地州的相应部委名称名称，从而在整个配置过程中达到一一对应的目的。二注：所创建的用户角色必需与前一小节所创建的DHCP地址池做一对一的绑定。用户角色的创建也为后期VRC权限配置中各部委针对角色权限的划分创造了先决条件。角色创建及其与DHCP的绑定如下图所示：10创建VRC用户管理并添加到相应角色一 所谓VRC即虚拟远程客户端，其代表着一个远程移动VPN用户。依据前期规划，VRC用户的创建必需与市县级单位的相应部委对应，而各部署委与上一小节中所创建的角色相对应

9、，即：所创建的角色就是与县市级的相应部委名称相对应。二注：为各部委创建完用户后，必须把其添加到相应的部委角色中。此操作的目的是为了移动气拨号用户拨入VPN后，按部委（角色）所绑定的地址池来取地址。从而为后期通过源地址识别用户，并决定期数据包的注入方向奠定了基础。配置如下图所示：11策略路由的配置一. 策略路由的配置决定了不同部委的移动用户拨入VPN后的数据包走向。二. 注：具体配置时策略路由在绑定一项中选择“全局”。具体配置过程参见下图四 县上需要写静态路由。Loopback100设备管理都是。172.16.XX互联网服务区。12 VRC配置一 所谓VRC配置，即移动用户在VPN安全网关上的具体配置。项目过程中实际用到的配置点为：权限对像的定义、角色权限的定义、在线用户的查看、虚接口的绑定。具体配置如下图所示：13 0SPF配置定义一 州上的配置OSPF 建立路由的ID 区域通告IP：route-id:59.222.162.70 二运行网段:59.222.162.69/30 10.201.126.142/30 ,10.201.126.136/30，喀什地区的。三区域ID 为 20 三. 虚拟接口绑定。虚拟专网虚拟接口绑定。