天泰vpn安全网关用户手册v1

天泰vpn安全网关用户手册v1内容摘要：

................................................................................................................................................. 62 恢复配置 .......................................................................................................................................................... 62 系统时钟 ......................................................................................................................................................... 62 版本信息 ......................................................................................................................................................... 62 客户端 LICENCE.............................................................................................................................................. 62 第 一章 概 述 Inter 技术正日益改变着人们的工作和生活方式， 基于 Inter构建信息网络传输平台已成为政府、金融、企业等部门组建专用网络的首选方案之一， “ 天泰 VPN（虚拟专用网）系列产品”正是您 基于 Inter架设自己的专用网络的最佳选择。 天泰 VPN 产品系列 天泰 VPN 系列产品集 VPN、防火墙等网络安全功能于一身，产品系列包括 天泰VPNT61000/500/300/300A/200/100 安全网关、 天泰 VPN 客户端，以及与 VPN 产品相配套的“ 天泰 安全管理中心”。 关于本手册 内容 : 本手册提供了 天泰 VPN系列产品的安装配置使用说明，适用于 天泰 VPN硬件网关全线产品， 使用者可按照本手册所描述，完成产品的所有配置。 读者 : 本手册适用于购买我公 司 VPN网关 产品的用户，要求使用者具有一定的计算机网络基础知识以 及 TCP/IP和 VPN相 关的基本概念。 第二章 硬件安装 安全说明 ● VPN 安全网关属网络安全专用产品，请勿尝试自行维修。 ● 接通电源之前，一定仔细检查了电源的输出值，以免发生过压毁机。 ● 请勿在设备的通风口或开口处填塞任何物件，否则可能导致内部元件过热、短路而发生火灾或触电。 ● 设备开启电源后，切勿将其置于通风不良或室温过高的环境中，例如：房屋角落、办公物品较多处。 ● 使用交流电变压器类外接电源的 VPN 设备时，应确保已将外接电源放置在了通风的位置，切勿用纸张或其他影响散热的物件覆盖外接电源。 ● 请勿在潮湿的环境中使用 VPN 安全网关。 安装指南 VPN 安全网关的网络安装十分简单，在开始安装连接 VPN 网关之前，需要准备好必要的网线、 RS232 串口控制线以及电源线等物品，并确保 VPN 网关周围留有足够的通风散热空间，请不要将重物放置在 VPN 网关设备上。 在网线、控制线缆连接完毕后，将VPN 网关的电源线稳定、可靠地插在机箱电源插座和电源插座上。 网线实例： 注意： RJ45 网线存在“直连线”和“交叉线”两种类型，通过网线两头 RJ45 接头中的细线颜色对比，可以轻易地判断出网线的类型。 细线色序一致时为直连线；色序在两头出现 1 26 对应，其余一致时为交叉线，不同类型的网线应用在不同的网络设备连接时。 ● 当 VPN 设备的网口与路由器、主机网卡相连时，用交叉线； ● 当 VPN 设备的网口与 HUB（集线器）、 SWITCH（交换机）、 ADSL 拨号 MODEM 相连时，用直连线。 串口线 (9 针 RS232 接 头 )实例： VPN 硬件接口示意： 网 络 连接步骤： 1． 将 VPN 网关平稳地放置在机架或固定物上（如：办公桌）； 2． 用 RJ45 接头的以太网线将 VPN 网关的“内网口”接入您的局网集线器或交换机的网口上； 3． 用 RJ45 接头的以太网线将 VPN 网关的“外网口”接入外网的网络设备上（如：路由器、交换机等），当您使用 ADSL 拨号上网时，将您的“外网口”接至 ADSL拨号 Modem 的以太网口上；若您使用普通的拨号 Modem，请将 VPN 设备的“ MODEM”口用专用串口线接至 Modem 串口上； 4． 若您需要本地配置您的 VPN 网关，还需要利用 RS232 串口线将 VPN 网关“控制口”与控制台（如：笔记本电脑）相连； 5． 插入电源线缆将电源接入您的 VPN 网关。 若您使用的 VPN 产品需要外接电源转换器，则将专用的外接电源的插头接入 VPN 设备的电源插口。 注意：应确保电源线两头稳固地插入了电源插座； 6． 打开电源开关，观察电源指示灯和网络接口上的连接指示灯（有关指示灯信息请查阅相关 VPN 设备的指示灯说明），当确认机器工作正常，网络连接正常时，您电源插座 接入 220V 交流电 内网口 接入内网 Switch 或 Hub 外网口 接入外网以太口或 ADSL以太口 控制口 接入控制台串口 Modem口 接入拨号 Modem 便完成了 VPN 安全网关的网络安装连接； 7． 通过 VPN 控制台对 VPN 网关进行各项系统参 数设置后， VPN 安全网关将会为您提供满意的服务。 第三章 配置准备 登录 VPN 网关 登录 VPN 网关有 两 种方式，一种是 利用本地的串口 登录 VPN 网关，另一种是 通过 IE浏览方式 登录 VPN 网关。 在第一次设置 VPN 网关设备时，既可以利用本地串口进行登录，也可以通过网络进行登录，设备出厂时为“ ETH0 口”分配了 IP 地址：。 本地登录 选择“本地管理网关”即通过控制台 RS232 串口登录，将网关控制台的串口与需要配置的 VPN 网关设备控制串口用串口连接线相连，在登录口令栏中输入正确的口令（初始默认口令为 admin），在“端口”框中填入相应的端口号（例如： COM1），点击“ 保存 ”保存该登录信息，点击“登录”按钮进行登录，口令 /端口输入不正确时不能登录 VPN 网关。 在使用“超级终端”登录 VPN 设备时，串口通信特性为： 波特率 38400bps 数据位 8 位 奇偶校验 无 停止位 1 bit 数据流控制 硬件。 注意：若您的机器（如：便携机）没有串口，需要用 USB 口转串口线接入 VPN 的控制口，这时，您所使用的本 地登录串口号可在“设备管理器”查找。 一般查看方法为：“控制面板” — “系统” — “硬件” — “设备管理器” — “端口”。 IE 浏览方式登录 IE 浏览方式登录采用 SSH 登录方式为您提供了加密的登录通道，所有的登录信息（包括登录口令等）均以密文方式传输。 首先将计算机与 VPN 设备的“ ETH0”口相连，然后打开 IE 浏览器在浏览器中输入 出现如下图所示： 输入用户名和密码（ VPN 设备出场默认用户名 密码均为 admin） 第四章 网络设置 网络功能简介 用户可以在“网络设置”功能界面中设置 VPN 网关的各种网络参数特性，包括：“网络接口”、“透明网络”、“静态路由”、“动态路由”等。 网络接口 用来与外界 通信的网络设备， 与网关的物理端口对应。 对网络通信设备做了一层封装， 如 可以 定义接口名为 DMZ，它绑定的物理设备是 eth2。 VPN 设备 内置三个接口： INTERNAL、 EXTERNAL、 VPN，这三个接口不可以删除，其中 VPN 接口是一个虚拟的接口， 用于 VPN 加解密使用，用户可以将它 当做一个物理接口看待，加密时需要从这个接口发出，解密后需要从这个接口收包。 “ VPN 接口 ” 的信息不能更改， INTERNAL 接口 的 类型不能更改，其它每个接口（如果还有可用的物理设备如网卡或串口，就可以动态的增加接口）都可以配置成不同的类型，如 ETH（ 以太网 ）、 DHCP、 ADSL、 MODEM 等。 对于 DHCP、 ADSL、 MODEM一般都会自动获取 IP 地址和 一个 网关 地址，对于以太网可以手工配置 IP 地址和 一个 网关 地址（一般与内网相连的接口不需要配置 网关地址 ）。 静态路由 VPN 设备对路由表的概念进行了扩充 ，一种是普通路由，指定到某个地址段经哪个网关转发，第二种是隧道路由，指定到某个地址段经哪条隧道转发。 动态路由 VPN 设备支持两种动态路由协议： OSPF 和 RIP。 VPN 设备的动态路由主要可以用来实现 VPN 线路与专线线路的动态切换，为专线作为一个备份，亦可以用来与专线同时工作，分担专线的流量负载。 常见的应用模式如下： 图 41 在上图中，一种要求是总部与分支机构在专线正常的情况下，需要采用专线通信，当专线 出现故障时，能够自动切换到 VPN 网络中通信。 另一种要求是总部与分支之间的一部分机器通过 VPN 网络通信，一部分机器通过专线网络通信，但当其中任何一个网络出现故障时，都能自动切换至另外一个网络。 还有一种需求是分支机构还有营业部或移动用户，这部分用户只能通过 VPN 访问分支机构，但还有访问总部的需求，其访问总部是由分支机构来授权的，所有数据包需要先到达分支机构，当专线网络正常时，要求通过专线转发数据包，当专线出现故障时，就通过分支与总部之间的 VPN 网络转发数据。 DHCP 服务器 DHCP 服务器可以为 VPN 安全网关所保护的网内主机动态地配置网络环境，包括设置自动分配的 IP 地址范围、缺省路由器地址、主、从 DNS 服务器地址等。 在“网络设置中 ”中点击 “ DHCP 服务器”，可以看到如下图所示的界面。 图 42 专网 Inter 总部 分支 在上述条目上，单击鼠标 菜单中选择设置“ DHCP 服务器 ”， 图 43 “服务器状态”：显示 DHCP 服务器“状态”是启动还是停止。 “基本设置”：“子网地址”，设置客户端获得的网络配置中的子网地址。 “子网掩码”，设置客户端获得的网络配置中的子网掩码。 “路由器地址”，设置客户端获得的网络配置中的 路由器地址。 “主 DNS 地址”，设置客户端获得的网络配置中的主 DNS 地址。 “从 DNS 地址”，设置客户端获得的网络配置中的从 DNS 地址。 “地址池设置”：可以添加多个不连续的地址段，这对于在某些地址需要保留使用从而造成地址段不连续的情况下非常有用。 但需要注意的是，必须使得这些地址段均在前面“基本设置”中已经设置好的地址段内。 输入起始 IP 地址和结束 IP 地址（注意：起始地址必需小于结束地址，且该地址段必需是在“基本设置”中设置的地址范围之内），按“确认”即 可添加地址池。 选择“地址池设置”中的某个地址池，按对话框中的 “ 除地址池”按钮，即可以删除该地址池。 点击“设置”按钮，可以保存所作的设置。 认证 在某些网络接入时需要进行 的身份认证，当需要进行 身份认证时，点击“ 认证”图标系统将弹出界面如下图所示： 图 44 您可以在如上界面“设置 认证”下的启动状态 设置成“启用”，并 对“接口设置”的各项进行设置：选择“接口名称”，输入“用户名”、“口令”，选择“认证方式”。 当您启用 认证，并正确填写了各信息参数后，点击“设置”便可进行 相关的用户身份认证。 DNS 设置 可以为 VPN 网关设置 DNS 服务器，当要启动 DDNS 服务时，首先得设置一个 DNS 服务器。 双击 DNS 设置图标，系统将弹出如下界面： 图 45 首先输入 ISP 网络服务提供商提供给你 DNS 服务器的 IP 地址，可以添加多个；然后在“是否启用 DNS 服务器”项中选择“启用”；再点击“设置”使设置生效，即启动了 DNS 服务器。 透明网络 一个透明网络中可以加入多个网络接口，让处于这几个网络接口区域内的主机以桥接的方式互连。 VPN 设备支持路由模式、透明 模式、混合模式三种工作模式，在路由模式下， VPN设备对收到的数据包进行路由转发，更改数据包的源 MA。