Hillstone山石网科基础配置手册50.docx
《Hillstone山石网科基础配置手册50.docx》由会员分享,可在线阅读,更多相关《Hillstone山石网科基础配置手册50.docx(106页珍藏版)》请在冰点文库上搜索。
Hillstone山石网科基础配置手册50
Hillstone山石网科多核安全网关
基础配置手册
version5.0
关于本手册
手册内容
本手册为Hillstone山石网科多核安全网关的基础配置手册,对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍,帮助用户快速掌握安全网关的WebUI配置。
适用于StoneOS5.0以及以上版本。
具体内容包括:
♦第1章:
设备管理。
介绍登录方式、StoneOS升级以及许可证安装等。
♦第2章:
基础上网配置。
介绍接口、路由、策略等基本上网配置。
♦第3章:
常用功能配置。
介绍PPPoE拨号、动态地址分配DHCP、DNAT等配置。
♦第4章:
链路负载均衡。
介绍基于目的路由、源路由、策略路由的流量负载配置等。
♦第5章:
QoS配置。
介绍QoS功能及配置。
♦第6章:
网络行为控制配置。
介绍URL过滤、网页关键字以及网络聊天控制配置。
♦第7章:
VPN高级配置。
介绍基于USBKey的SCVPN配置以及PnPVPN配置。
♦第8章:
高可靠性。
介绍高可靠性(HA)的配置。
手册约定
为方便用户阅读与理解,本手册遵循以下约定:
内容约定
本手册内容约定如下:
♦提示:
为用户提供相关参考信息。
♦说明:
为用户提供有助于理解内容的说明信息。
♦注意:
如果该操作不正确,会导致系统出错。
♦『』:
用该方式表示Hillstone设备WebUI界面上的链接、标签或者按钮。
例如,“点击『登录』按钮进入Hillstone设备的主页”。
♦<>:
用该方式表示WebUI界面上提供的文本信息,包括单选按钮名称、复选框名称、文本框名称、选项名称以及文字描述。
例如,“改变MTU值,选中<手动>单选按钮,然后在文本框中输入合适的值”。
第1章设备管理
设备管理介绍
为方便管理员管理与配置,安全网关支持本地(Console口)与远程(Telnet、SSH、HTTP以及HTTPS)两种环境配置方法,可以通过CLI和WebUI两种方式进行配置。
终端Console登录
通过Console口,用户可登录安全网关设备的CLI,从而使用命令行对设备进行配置。
在计算机上运行终端仿真程序(系统的超级终端、SecureCRT等)建立与安全网关的连接。
按照表1配置终端参数:
表1:
配置终端参数
参数
数值
波特率
9600bit/s
数据位
8
奇偶校验
无
停止位
1
WebUI方式登录
WebUI是最方便、直观、简单的配置方式,WebUI同时支持http和https两种访问方式。
安全网关的ethernet0/0接口配有默认IP地址192.168.1.1/24,初次使用安全网关时,用户可以通过该接口访问安全网关的WebUI页面。
请按照以下步骤:
1.将管理PC的IP地址设置为与192.168.1.1/24同网段的IP地址,并且用网线将管理PC与安全网关的ethernet0/0接口进行连接。
2.在管理PC的Web浏览器中输入地址“http:
//192.168.1.1”并按回车键。
出现登录页面如下图所示。
恢复出厂设置
Hillstone山石网科提供三种方法恢复设备的出厂配置,分别是:
♦命令行:
通过CLI使用命令进行恢复
♦WebUI:
通过WebUI清除配置以恢复出厂配置
♦物理方法:
使用设备的CLR按键进行恢复
通过CLI方式
通过CLI使用命令恢复出厂设置,请按照以下步骤进行操作:
1.在执行模式下,使用unsetall命令。
2.根据提示,选择是否保存当前配置:
y/n。
3.选择是否重启设备:
y/n。
4.系统重启后即出厂配置恢复完毕。
通过WebUI方式
通过WebUI恢复出厂配置,请按照以下步骤进行操作:
1.通过WebUI方式登录StoneOS,从工具栏的<系统管理>下拉菜单选择『配置备份还原』。
如下图所示:
2.在弹出的<系统配置备份还原向导>对话框,选择<恢复出厂配置>单选按钮,并点击『下一步』按钮。
3.选择是否重启设备。
为使配置生效,用户需重新启动设备。
选择<是,立即重新启动设备>单选按钮,并点击『完成』按钮。
4.所有配置将会被清除,然后设备将自动重启。
通过CLR按键方式
使用CLR按键恢复出厂配置,请按照以下步骤进行操作:
1.关闭安全网关的电源。
2.用针状物按住CLR按键的同时打开安全网关的电源。
3.保持按住状态直到指示灯STA和ALM均变为红色常亮,释放CLR按键。
此时系统开始恢复出厂配置。
4.出厂配置恢复完毕,系统将会自动重新启动。
StoneOS版本升级
通过网络迅速升级StoneOS(TFTP)
Sysloader可以从TFTP服务器获取StoneOS,从而保证用户能够通过网络迅速升级StoneOS。
请按照以下步骤进行操作:
1.给设备上电根据提示按ESC键并且进入Sysloader。
参照以下操作提示:
HILLSTONENETWORKS
HillstoneBootloader1.3.2Aug142008-19:
09:
37
DRAM:
2048MB
BOOTROM:
512KB
PressESCtostopautoboot:
4(5秒倒计时结束前按“ESC”键)
Runon-boardsysloader?
[y]/n:
y(键入字母“y”或者敲回车键)
Loading:
##########################
2.从Sysloader的操作选择菜单选择通过TFTP升级StoneOS。
参照以下操作提示:
Sysloader1.2.13Aug142008-16:
53:
42
1LoadfirmwareviaTFTP
2LoadfirmwareviaFTP
3LoadfirmwarefromUSBdisks(notavailable)
4Selectbackupfirmwareasactive
5Showon-boardfirmware
6Reset
Pleaseselect:
1(在此处键入“1”并敲回车键)
3.确保设备与控制主机的连通性,并将需升级的StoneOS拷贝到指定目录下。
4.依次配置Sysloader的IP地址、TFTP服务器的IP地址、网关IP地址以及StoneOS名称。
参照以下操作提示:
Localipaddress[]:
10.2.2.10/16(输入Sysloader的IP地址并敲回车键)
Serveripaddress[]:
10.2.2.3(输入TFTP服务器的IP地址并敲回车键)
Gatewayipaddress[]:
10.2.2.1(如果Sysloader与TFTP服务器的IP地址不属于同一个网段,输入网关的IP地址并敲回车键;否则直接敲回车键)
Filename:
StoneOS-3.5R2(输入StoneOS名称并敲回车键,系统开始通过TFTP获取StoneOS)
################################################################################################################################################
5.保存StoneOS。
参照以下操作提示:
Filetotallength10482508
Checkingtheimage...
VerifiedOK
Savethisimage?
[y]/n:
y(键入字母“y”或者敲回车键,保存获得的StoneOS)
Saving.........................................
SetStoneOS-3.5R2asactivebootimage
6.重启。
系统将使用新的StoneOS启动。
参照以下操作提示:
Pleaseresetboardtobootthisimage
1LoadfirmwareviaTFTP
2LoadfirmwareviaFTP
3LoadfirmwarefromUSBdisks(notavailable)
4Selectbackupfirmwareasactive
5Showon-boardfirmware
6Reset
Pleaseselect:
6(在此处键入“6”并敲回车键,系统开始重启)
设备的Flash中最多可以储存两个StoneOS。
如果Flash中已经保存了两个StoneOS,请根据提示对储存的StoneOS进行删除。
通过WebUI方式升级StoneOS
1.通过WebUI方式登录StoneOS,从工具栏的<系统管理>下拉菜单选择『版本升级』。
如下图所示:
2.在弹出的<版本升级向导>对话框,选择<升级到最新的软件版本>单选按钮,并点击『下一步』按钮。
3.在<选择备份软件版本>下拉菜单中选择一个软件版本做为备份,然后点击<上传新的软件文件>后的『浏览』按钮并在本地PC选择新的软件版本文件。
4.点击『下一步』。
根据需要,选择<是,立即重新启动设备>单选按钮,并点击『完成』按钮。
为使配置生效,用户需重新启动设备。
注意:
如果选择暂不重新启动设备,将会在下次重新启动设备后加载新版本StoneOS。
许可证安装
通过CLI方式安装
通过CLI使用命令安装许可证,请按照以下步骤进行操作:
1.登录StoneOS,在执行模式下,使用execlicenseinstalllicense-string命令(license-string–要安装的许可证字符串。
输入“license:
”后的字符串)。
如下图所示:
2.根据系统提示重启后即完成许可证安装。
通过WebUI方式安装
通过WebUI安装许可证,请按照以下步骤进行操作:
1.通过WebUI方式登录StoneOS,从工具栏的<系统管理>下拉菜单选择『许可证』。
如下图所示:
2.在弹出的<许可证>对话框中,许可证列表可查看当前系统许可证的类型和有效时间。
3.在<许可证安装>处,用户可根据需要,选择手动输入许可证请求或选择上传本地文件。
∙上传许可证文件:
选中<上传许可证文件>单选按钮(许可证为纯文本.txt文件),点击『浏览』按钮,并且选中许可证文件;
∙手动输入:
选中<手动输入>单选按钮,然后将许可证字符串内容(包含“license:
”及之后内容)输入到对应的文本框。
4.点击『确定』按钮保存所做配置,并且重启设备完成许可证的安装。
第2章基础上网配置
基础上网配置介绍
为使设备实现正常上网,基本配置包括接口、路由、策略以及源NAT的配置。
接口配置
接口配置,请按照以下步骤进行操作:
1.通过WebUI方式登录StoneOS,从页面左侧导航树选择并点击“配置->网络->网络连接”,进入网络连接页面。
2.从接口列表中选中需要编辑的接口,双击或者点击列表右上方的『编辑』按钮。
3.在弹出的<接口配置>对话框对接口进行编辑:
∙绑定安全域:
指定接口的安全域类型。
三层接口选择三层安全域,二层接口选择二层安全域;
∙安全域:
选择安全域名称。
一般情况下,内网选择trust或l2-trust;外网选择untrust或l2-untrust。
∙IP配置:
为接口配置IP地址相关信息。
∙管理方式:
指定接口的管理方式。
在<管理方式>部分选中需要的管理方式的复选框。
提示:
如果外网接口使用PPPoE拨号方式接入,关于接口的配置请参阅PPPoE配置。
路由配置
路由配置,请按照以下步骤进行操作:
1.通过WebUI方式登录StoneOS,从页面左侧导航树选择并点击“配置->网络->路由”,进入路由页面。
2.点击『目的路由』标签,进入目的路由页面。
3.从<虚拟路由器>下拉菜单选择一个VR,新建的路由将属于该VR,默认为“trust-vr”。
4.点击目的路由列表左上角的『新建』按钮,弹出<目的路由配置>对话框,在该对话框对目的路由进行编辑:
∙目的地:
指定路由条目的目的IP。
∙子网掩码:
指定路由条目的目的IP对应的子网掩码。
∙下一跳:
指定下一跳类型,选中<网关>或<接口>单选按钮。
若选择<网关>,需在<网关>文本框中输入网关IP地址。
若选择<接口>,需在<接口>下拉菜单中选择接口名称。
如果该接口为tunnel的时候,需要在可选栏输入tunnel对端的网关地址。
如:
下一跳网关指定为122.193.30.97(由运营商提供网关地址)。
∙优先权:
该参数取值越小,优先级越高,而在有多条路由选择的时候,优先级高的路由会被优先使用。
取值范围是1到255,默认值为1。
当优先级为255时,该路由无效。
∙路由权值:
路由权值决定负载均衡中流量转发的比重。
范围是1到255,默认值是1。
5.用户可以根据需要,在<描述>文本框中指定目的路由的描述信息。
6.点击『确定』按钮,完成新建目的路由。
策略配置
策略配置,请按照以下步骤进行操作:
1.通过WebUI方式登录StoneOS,从页面左侧导航树选择并点击“配置->安全->策略”,进入策略页面。
2.点击列表左上角的『新建』按钮,弹出<策略配置>对话框,在该对话框对策略规则进行编辑。
基本选项包含策略的源/目的安全域和源/目的地址的选择,以及服务、时间表、用户、行为和策略描述的指定。
3.配置完成后,点击『确定』按钮保存所做配置并返回策略页面。
源NAT配置
源NAT配置,请按照以下步骤进行操作:
1.通过WebUI方式登录StoneOS,从页面左侧导航树选择并点击“配置->网络->NAT”,进入源NAT页面。
2.点击源NAT列表中的『新建』按钮,弹出<新建源NAT>对话框。
在该对话框对源NAT规则进行编辑。
3.配置完成后,点击『确定』按钮保存所做配置。
第3章常用功能配置
常用配置介绍
本章介绍Hillstone山石网科多核安全网关的一些常用功能配置,包括PPPoE、DHCP、IP-MAC绑定、端到端IPsecVPN、SCVPN、DNAT等配置。
PPPoE配置
PPPoE配置,请按照以下步骤进行操作:
1.通过WebUI方式登录StoneOS,从页面左侧导航树选择并点击“配置->网络->网络连接”,进入网络连接页面。
2.从接口列表中选中需要编辑的接口,双击或者点击列表右上方的『编辑』按钮。
3.在弹出的<接口配置>对话框对接口进行编辑。
4.点击『确定』按钮保存所做配置并返回网络连接页面。
5.从页面右侧辅助栏的<任务>区选择『PPPoE列表』链接,弹出对话框。
6.点击页面左上角的『新建』按钮,弹出对话框。
在该对话框进行配置。
7.配置完成点击『确定』按钮并返回PPPoE列表对话框。
选中需要连接/断开的PPPoE实例,然后点击页面左上角的『连接』按钮。
DHCP配置
DHCP配置,请按照以下步骤进行操作:
1.通过WebUI方式登录StoneOS,从页面左侧导航树选择并点击“配置->网络->网络连接”,进入网络连接页面。
2.从页面右侧辅助栏的<任务>区选择『DHCP列表』链接,弹出对话框。
在该对话框对DHCP进行编辑:
∙接口:
选择应用DHCP服务器功能的接口。
∙类型:
选中单选按钮。
∙基本配置:
在<基本配置>标签页对DHCP的基本属性进行配置。
3.配置完成点击『确定』按钮并返回DHCP列表对话框。
并且将用户pc或者交换机连接在相应端口,即可获取IP地址。
IP-MAC绑定配置
IP-MAC绑定配置,请按照以下步骤进行操作:
1.通过WebUI方式登录StoneOS,从页面左侧导航树选择并点击“配置->安全->ARP防护”,进入ARP防护页面。
2.从静态IP-MAC绑定条目列表中选中需要绑定的IP-MAC条目,双击或者点击列表上方的『编辑』按钮,弹出对话框。
3.在对话框中,选中复选框开启IP-MAC绑定,并点击『确定』按钮保存配置。
4.默认情况下,安全网关的ARP学习功能是开启的,IP-MAC绑定成功后,还需要关闭接口的ARP学习功能。
5.从页面左侧导航树选择并点击“配置->网络->网络连接”,进入网络连接页面,从接口列表中选中需要编辑的接口,双击或者点击列表右上方的『编辑』按钮。
6.在弹出的<接口配置>对话框中,点击『属性』标签,在<参数>部分取消选中ARP学习后的『启用』复选框开启接口的ARP学习功能。
端到端IPsecVPN配置
在Hillstone安全网关A和Hillstone安全网关B之间建立一个安全隧道,PC1作为Hillstone安全网关A端的主机,PC2作为Hillstone安全网关B端的主机,两端的公网IP都是固定的情况下,配置端到端的IPsecVPN,拓补图如下:
使用IKEVPN即自动协商方式配置IPsecVPN,配置包括:
♦配置P1提议
♦配置VPN对端
♦配置P2提议
♦配置隧道
♦绑定接口到隧道
♦配置隧道路由和策略
具体配置。
请按照以下步骤进行操作:
1.配置P1提议。
通过WebUI方式登录StoneOS,从页面左侧导航树选择并点击“配置->网络->IPsecVPN”,进入IPsecVPN页面。
点击『P1提议』标签,进入P1提议标签页。
2.点击P1提议列表左上方的『新建』按钮,弹出<阶段1提议配置>对话框。
在该对话框进行编辑:
∙提议名称:
指定或者显示P1提议的名称。
∙认证:
指定IKE身份认证的方式。
∙验证算法:
为P1提议指定验证算法。
选中所需验证算法的单选按钮。
∙加密算法:
为P1提议指定加密算法。
∙DH组:
为P1提议选择DH组。
∙生存时间:
指定SA第一阶段的生命周期长度,单位为秒。
默认86400秒。
3.配置VPN对端。
在IPsecVPN页面,点击『VPN对端列表』标签,进入VPN对端列表标签页。
4.点击VPN对端列表左上方的『新建』按钮,弹出对话框。
在该对话框对VPN对端进行基本配置。
注意:
如果在设备前还有其他NAT设备,需在<高级配置>标签下配置NAT穿越功能。
5.配置P2提议。
在IPsecVPN页面,点击『P2提议』标签,进入P2提议标签页。
6.点击P2提议列表左上方的『新建』按钮,弹出<阶段2提议配置>对话框。
在该对话框进行P2提议配置。
7.配置隧道。
在IPsecVPN页面,点击IKEVPN列表左上方的『新建』按钮,弹出对话框。
8.在<步骤1:
对端>部分配置各选项。
点击后面的『导入』按钮,并在<对端名称>下拉菜单选择已配置的VPN对端名称,导入系统中已配置的VPN对端参数。
9.点击<步骤2:
隧道>,配置隧道相关选项。
注意:
隧道配置完成后,需要流量触发VPN连接。
如果需要自动连接,请在<高级配置>标签下配置自动连接功能。
10.绑定接口到隧道。
从主页面左侧导航树选择并点击“配置->网络->网络连接”,进入网络连接页面。
点击接口列表左上角的『新建』按钮,从下拉菜单中选择并点击<隧道接口>,系统弹出<接口配置>对话框。
在该对话框绑定接口到隧道。
11.配置隧道路由和策略。
从页面左侧导航树选择并点击“配置->网络->路由”,进入目的路由页面。
点击目的路由列表左上角的『新建』按钮,弹出<目的路由配置>对话框,在该对话框对目的路由进行编辑。
12.从页面左侧导航树选择并点击“配置->安全->策略”,进入策略页面。
点击列表左上角的『新建』按钮,弹出<策略配置>对话框,在该对话框对策略规则进行编辑。
13.配置完成后,安全网关B也按照步骤1-12进行配置。
14.完成以上配置后,安全网关A和安全网关B之间的安全隧道便建立成功了。
从IPsecVPN页面右侧辅助栏的<任务>区选择『ISAKMPSA』/『IPsecSA』/链接,查看VPN监控结果。
SCVPN配置
为解决远程用户安全访问私网数据的问题,安全网关提供基于SSL的远程登录解决方案——SecureConnectVPN,简称为SCVPN。
SCVPN功能可以通过简单易用的方法实现信息的远程连通。
SCVPN配置,请按照以下步骤进行操作:
1.通过WebUI方式登录StoneOS,从页面左侧导航树选择并点击“配置->网络->SSLVPN”,进入SCVPN页面。
2.点击SCVPN列表左上角的『新建』按钮或者从页面右侧辅助栏的<任务>区选择『新建SSLVPN』链接,弹出对话框。
3.阅读<欢迎页>内容,并在文本框中指定SCVPN名称。
4.点击『下一步』按钮进入<接入用户>配置页面。
在该页面配置用于客户端用户身份认证的AAA服务器。
5.点击『下一步』按钮进入<接入接口/隧道接口>配置页面。
在该页面配置设备端接口、隧道接口和地址池。
注意:
隧道接口地址和地址池必须在同一网段,且地址池地址段中不能包含隧道接口地址。
6.在<接入接口/隧道接口>配置页面<隧道接口>下拉菜单中选择系统中已配置的隧道接口;或者选中下拉菜单中的<新建>选项,在弹出的<接口配置>对话框中新建隧道接口;还可以在下拉菜单中选中系统中已配置的隧道接口,然后点击『配置』按钮,在弹出的<接口配置>对话框中编辑该隧道接口。
7.在<接入接口/隧道接口>配置页面<地址池>下拉菜单中选择系统中已配置的地址池;或者,选中下拉菜单中的<新建>选项,在弹出的<地址池配置>对话框中新建地址池;还可以在下拉菜单中选中系统中已配置的地址池,然后点击『配置』按钮,在弹出的<地址池配置>对话框中编辑该地址池。
8.点击『下一步』按钮进入<策略/隧道路由配置>页面。
在该页面配置策略规则和隧道路由。
注意:
系统会自动创建一条源安全域是VPNHub,目的安全域是Any的策略;隧道路由即为远程拨入用户需要访问的内网资源网段。
9.如需要,点击页面右下方的『高级配置』按钮,进行SCVPN高级参数配置,包括参数配置、客户端/USBKey配置、主机检测/绑定配置、短信口令认证配置和最优路径检测配置。
参数配置保持默认即可。
10.建立登录用户。
从工具栏的<对象用户>下拉菜单选择『本地用户』,弹出<本地用户>对话框。
11.选中<新建>下拉菜单中的『用户』按钮,弹出<用户配置>对话框。
在『基本配置』标签页,进行用户名称和密码的配置。
12.Web方式(用户名/密码)启动SCVPN。
在IE浏览器的地址栏输入以下URL访问设备端:
https:
//IP-Address:
Port-Number(默认为4433)。
13.浏览器转到登录页面,输入用户名和密码,并点击『登录』按钮。
14.下载并启动SCVPN客户端(用户名/密码)。
使用Web方式登录后,下载并安装客户端程序HillstoneSecureConnect。
15.完成安装后,双击桌面的HillstoneSecureConnect快捷方式,或者点击“开始菜单”中的“所有程序HillstoneSecureConnectHillston