VPN和防火墙安装手册Word格式文档下载.docx

VPN和防火墙安装手册Word格式文档下载.docx

《VPN和防火墙安装手册Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《VPN和防火墙安装手册Word格式文档下载.docx（29页珍藏版）》请在冰点文库上搜索。

网线接好之后，打开S5100电源开关。

2.安装配置S5100网关控制台

1）将安装发现系统控制台的PC的IP改为10.254.254.2，运行发现系统控制台，查找DLAN网关的缺省IP,一般为10.254.254.254。

（注意：

可能出厂的IP地址不是这个，改为和网关相同的网段进行配置）

2）选择登录的网关IP，双击对应的IP或点击[连接网关]，在浏览器中自动弹出网关控制台界面，输入用户名密码后，按[登陆]按钮进入网关控制台配置。

缺省用户名Admin,密码Admin。

如果不能正常登录，请手动下载ActiveX控件。

刚登陆进来或点击“DLAN”，就可以看到当前和网关连接的移动用户，点击[刷新]可以及时的了解当前的连接情况。

点击“网关配置”，在网关运行状态里，默认是勾中“允许远程维护”，这样网关有问题就可以进行远程维护了。

2.1.快速配置

在快速配置里，将方便快捷地完成对VPN的主要配置。

1．序列号配置，每个深信服VPN都有一个序列号，用来管理用户购买的许可数量。

包括分支机构（SDLAN）数量和移动用户（PDLAN）数量，序列号是已经设置好的，直接点击[下一步]

2．内网接口配置，配置VPN的内网IP和子网掩码，例如把原来的默认IP改为172.0.0.100，子网掩码255.255.255.0，点击[下一步]

3．外网配置，根据实际的上网情况选择线路类型“以太网”，“ADSL”，“电话拨号”，如果是自动获取IP地址就把“自动获取IP地址”前的复选框勾上，否则就把IP地址、子网掩码、首选DNS，备份DNS、默认网关都填好，点击[下一步]

4．Webagent配置，WebAgent指动态IP寻址文件在WEB服务器中的地址，包括主WebAgent和备份WebAgent映射地址，一般情况下可以只设一个主Webagent就可以了，备份Webagent选择设置。

如果用固定IP上网，可将固定IP设为主Webagent，端口号为4009，否则可向深信服公司申请动态寻址Webagent网页，设好Webagent后可点击[测试]按钮测试Webagent是否连通，如果有绿色的对勾就说明Webagent连通，选中直连Internet，点击[下一步]

5．连接管理，不连接其他总部，这里不用配置，直接点[完成]

6．提示“保存配置成功系统配置已修改，需要重启才能生效，是否立即重启？

”，如果你确认配置完成，就点击[确定]

2.2.虚拟IP池设置

✧网关配置——DLAN——虚拟IP池设置，由DLAN网关指定该DLAN总部空闲的一段IP作为移动用户接入时的虚拟IP池。

当移动用户接入后，分配一个虚拟IP给移动用户，移动用户对总部的任何操作都是以分配的IP作为源IP、就完全和在总部局域网内一样。

点击[新增]按钮，输入IP池的起始IP地址，点击[确定]，再点[确定]，直到出现“保存配置成功”。

（站内的IP地址不要分配到虚拟IP池的地址区间）

2.3.用户管理

网关配置——DLAN——用户管理，设置接入总部的用户，点击[新增]按钮，输入用户名，密码，如果有DKEY，勾中“启用DKEY”，在确定已把DKEY插到本机USB口后，点击[生成DKEY]，对于移动用户，还可以选择是否启用虚拟IP。

如果为该用户分配一个虚拟内网IP地址、则该用户接入后，会使用这个IP作为虚拟的内网IP地址。

如果虚拟IP设置为0.0.0.0，则系统会自动为该用户从虚拟IP池中随机分配一个内网IP地址。

如果不启用虚拟IP功能，局域网内的其他用户就无法访问该移动用户，如不想让移动用户在接入总部后上网，勾中“接入总部后禁止该用户上网”，点击[确定]，再点[确定]，直到出现“保存配置成功”。

我们可以检测一下DKEY是否生成成功，点击[检测DKEY]，成功则出现DKEY里的用户名。

建完用户后，可点击[导出配置]，提示“在导出配置前请确保[用户管理]，[webagent设置]和[网络参数设置]页面都已经设置生效了！

继续吗？

”，选择[是]，保存成did文件。

3.代理上网设置

网关配置——防火墙——NAT设置——代理上网设置，点击[新增]，把代理网段配置编辑里的内容填好，然后[确定]，再点[确定]，直到出现“保存配置成功”。

将172.0.0.0网段的所有IP的网关指向712.0.0.100,再把DNS设好，就可以通过S5100代理上网。

4.日志查看

网关控制台提供了对当天日志的查看，显示了日志信息的来源、类型、时间和详细信息，在当前页的下拉框中列出现在一共的页数，可通过[上一页][下一页]或直接选择第几页来查看其他页日志。

如果在日志查看停留了一段时间，可以点击[刷新日志]来获得最新的日志信息。

在[选项设置]里可以对日志查看设置，包括显示设置和过滤设置。

5.控制台用户管理

网关配置——系统设置——控制台用户管理，点击[新增]加一个tsxd用户，密码tsxdtsxd，点击[确定]，再点[确定]，直到出现“保存配置成功”。

点击[在线用户]，查看现在在线的用户，IP地址等。

6.备份配置

在备份配置里有下载配置和恢复备份配置，“下载配置”是把已经配好的网关配置保存成bcf文件，并把备份配置带回公司，“恢复备份配置”是恢复原来备份的配置文件

7.安装移动客户端PDLAN

打开S5100附带光盘，运行PDLAN.exe安装移动控制台，安装完成后重启。

7.1.有DKEY的移动用户

1）DKEY插到移动用户PC机的USB口。

2）运行移动控制台，从DKEY中读取用户设置和Webagent设置等相关信息，最后弹出一个对话框，用户名已经是从DKEY里提取出来不能修改，只需要输入密码，然后按确定。

3）等几秒钟，如果在屏幕右下方出现“接入总部成功”，就已经和总部连上了；

如果很长时间都没有出现上述字样，就需要查看日志，找深信服技术人员咨询。

7.2.无DKEY的移动用户

1）运行移动控制台，手工配置，配置Webagent和用户名密码，也可以导入配置文件，把从用户管理里导出的did文件导入，校验用户密码。

2）几秒钟，如果在屏幕右下方出现“接入总部成功”，就已经和总部连上了；

7.3.客户端日志

在开始——程序——SinforDLAN——日志查看，或者运行SinforDLAN，在屏幕右下方出现图标，直接右键点图标——“日志查看”，然后点“日志服务器”——DLAN移动——实时日志，点那个slg文件

安联防火墙安装说明

一安装前的准备

准备一台单独的计算机，计算机装有双网卡。

此计算机的配置将影响网络的速度，因为VPN要使用计算机的资源。

关闭以下服务

同时打开下面的选项

把数字签名选项设为’警告’级

二安装安联防火墙

安联防火墙程序安装完成后将出现一个控制台配置界面

2.1

说明：

在没有启动防火墙的情况下是否允许IP通过。

此选项选1

1.2

选择防火墙的外网网卡。

根据实际情况进行选择。

外网网卡就是连接工网的网卡

1.3

是否允许IP转发。

此选项必须选择1

1.4

设置防火墙的启动方式（1手动2自动）。

此选择选2

1.5

安装完成后就会在开始菜单生成如下菜单。

同时在管理工具的服务界面会生成一个服务名称为’InJoyFirewallServerService’的服务。

完成完成后重新启动计算机。

三配置安联VPN软件

3.1VPN宿主计算机的配置

宿主计算机的配置主要就是网卡的配置。

内网网卡：

IP地址使用内部网络的IP地址

网关不要设置（必须）

外网网卡：

IP地址为ISP提供商分配的外网IP地址

网关也是由ISP提供商分配的网关地址

DNS也是有ISP提供商分配的DNS地址

3.2配置系统选项

打开管理防火墙菜单

右键单击窗体右面的工具条，然后单击属性菜单

3.2.1打开ipsecvpn选项

3.2.2设置受VPN保护的内网的网络区段。

可以同时设置多个收保护的网络区段。

如果只有一个网络#2和网络3#可以不用设置

3.2.3在此页面设置主、辅DNS。

再此界面设置DNS后在客户端主DNS设置成1.1.1.1，辅助DNS设置成1.1.1.2如果没有在此界面设置DNS，则要在客户端设置时把DNS设置成实际的DNS地址

3.2.4在此界面进行产品注册。

注册后点保存然后重新启动防火墙。

3.3（SA）隧道设置

在服务器端只配置一条针对没有固定IP地址客户端的隧道就可以了。

所有无固定IP地址的客户端都可以用这个隧道连接到内部网络。

右键单击防火墙上的工具条，然后选择IPSEC菜单下的隧道配置。

进入隧道配置窗口后右健单击然后选择增加

在隧道文本框中添入本隧道的描述名称

3.3.1配置本地端点：

本地网关\主机填写ISP提供商分配的外网IP地址。

本地网络填写受VPN保护的内网的网络区段。

网络掩码填写内网的网络掩码

3.3.2远程端点配置：

远程网关\主机填写移动用户。

远程网络填写0.0.0.0，网络掩码也填写0.0.0.0

3.3.3VPN策略配置：

模式选择隧道模式即’TUNNEL’,头部验证选择否，数据加密选择是。

立即发起IKE协商选择否。

如果VPN客户端则选择是。

3.3.4认证参数配置：

共享密匙输入一个自定义的字符串，长度不要太短，6-8即可。

认证方案选择服务器-Xauth认证

3.4用户设置

打开ipsec菜单后选择用户设置菜单。

根据实际的VPN客户端数量设置相应的用户。

每个用户分别拥有自己的用户名和密码

四VPN客户端的安装配置

vpn的客户端安装方法同服务器的安装方法一样。

只不过隧道的配置参数和服务器端的隧道配置参数不一样。

每个客户端都要增加一条隧道。

本地端点配置：

本地网关/主机填写移动用户，本地网络填写无本地网络。

网络掩码不填写

远程端点配置：

远程网关/主机填写vpn服务器端的外网IP地址，远程网络填写VPN服务器端保护的内容的网端192.168.0.0，网络掩码填写255.255.255.0。

Vpn策略配置:

模式选择隧道模式即’TUNNEL’，头部验证选择否，数据加密选择3DES，立即发起IKE协商选择是。

认证参数设置：

共享密匙输入玉vpn服务器端隧道配置中相同的共享密匙，认证方案选择客户端-Xauth，用户名、密码填写在vpn服务器端用户设置中已设置好的用户名、密码

五测试

5.1VPN连接的测试

以上步骤配置完成后重新启动防火墙。

客户端配置完成后重新启动客户端防火墙。

打开VPN服务器端的IPSEC用户监视器，如果上面有信息并且信息最左边的知识灯为绿色则说明VPN连接正常。

如果不正常则打开IPSEC的日志查找错误。

5.2上网的测试

在内网的某个客户端，把网关设成VPN的内网网卡的地址。

上网连接。