H3C MSR830[930][2600-10] WiNet智慧网络千兆路由器 用户手册(V5)-6W104

01-正文

本章节下载 01-正文  (8.33 MB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR_Winet/H3C_MSR930-WiNet/Configure/User_Manual/H3C_MSR830[930]_WiNet_UM(V5)-6W104/201810/1115881_30005_0.htm

01-正文

  录

1 设备概览

1.1 简介

1.2 产品构成

1.2.1 外观介绍

1.2.2 硬件规格

1.2.3 面板指示灯

1.3 连接到Internet

1.4 登录设备

2 快速向导

3 接口配置

3.1 WAN接口设置

3.2 LAN设置

4 NAT配置

4.1 配置概述

4.2 配置动态地址转换

4.3 DMZ主机

4.3.1 接口开启DMZ主机

4.4 配置内部服务器

4.5 使能应用层协议检测

4.6 配置连接数限制

5 安全配置

5.1 网站过滤

5.2 攻击防范配置

5.2.1 配置攻击黑名单

5.2.2 配置入侵检测

5.3 配置应用控制

5.3.1 加载应用程序

5.3.2 配置自定义应用程序

6 带宽控制

6.1 网段带宽限速

6.2 应用带宽限速

6.3 应用带宽保证

7 高级配置

7.1 路由设置

7.1.1 概述

7.1.2 创建路由

7.1.3 查看激活路由表

7.2 基于用户的负载分担

7.3 流量统计排名配置

7.4 DNS设置

7.4.1 概述

7.4.2 域名解析配置

7.4.3 DDNS设置

7.5 SNMP设置

7.5.1 概述

7.5.2 SNMP配置

7.6 用户组管理

7.6.1 概述

7.6.2 推荐配置步骤

7.6.3 配置用户组

7.6.4 配置用户

7.6.5 配置接入控制

7.6.6 配置应用控制

7.6.7 配置带宽管理

7.6.8 配置外网访问控制

7.6.9 WAN口同步(可选步骤)

7.7 MSTP设置

7.7.1 配置MSTP域

7.7.2 配置MSTP端口

7.7.3 配置MSTP全局

7.8 RADIUS设置

7.8.1 RADIUS 服务器配置(以iMC为例简述)

7.8.2 设备RADIUS配置

7.8.3 通用配置

7.8.4 RADIUS服务器配置

7.9 ARP防攻击配置

7.9.1 配置免费ARP定时发送功能

7.9.2 配置ARP自动扫描功能

7.9.3 配置ARP固化功能

7.10 ARP设置

7.10.1 ARP基础配置

8 VPN设置

8.1 IPSec VPN设置

8.1.1 配置IPsec连接

8.1.2 管理IPsec VPN监控信息

8.2 L2TP VPN设置

8.2.1 L2TP VPN配置

8.2.2 查看L2TP隧道信息

8.3 GRE设置

8.4 SSL VPN设置

8.4.1 概述

8.4.2 SSL VPN推荐配置步骤

8.4.3 配置SSL VPN服务

8.4.4 配置Web代理服务器资源

8.4.5 配置TCP应用资源

8.4.6 配置IP网络资源

8.4.7 配置资源组

8.4.8 配置本地用户

8.4.9 配置用户组

8.4.10 查看用户信息

8.4.11 配置域基本策略

8.4.12 配置认证策略

8.4.13 配置安全策略

8.4.14 配置用户界面定制

8.4.15 用户访问SSL VPN

9 3G设置

9.1 查看3G状态信息

9.2 管理PIN码

10 证书管理设置

10.1 概述

10.2 申请证书配置

10.3 新建PKI实体

10.4 新建PKI域

10.5 配置证书

10.5.1 生成RSA密钥对

10.5.2 销毁RSA密钥对

10.5.3 获取和查看证书

10.5.4 申请本地证书

10.6 获取和查看CRL

11 系统管理

11.1 配置管理

11.1.1 保存配置

11.1.2 初始化配置

11.1.3 备份配置

11.1.4 恢复配置

11.1.5 U盘备份和恢复

11.2 设备重启

11.3 软件升级

11.4 服务管理

11.5 用户管理

11.5.1 创建用户

11.5.2 设置超级密码

11.5.3 切换用户访问等级到管理级

11.6 时间设置

11.6.1 配置系统时间

11.6.2 配置系统时区和夏令时

11.7 TR-069

12 辅助工具

12.1 日志管理

12.1.1 查看系统日志

12.1.2 设置日志主机

12.1.3 设置缓冲区容量和刷新周期

12.2 诊断工具

12.2.1 Trace Route操作

12.2.2 Ping操作

13 WiNet配置

13.1.1 概述

13.1.2 WiNet的启动和管理配置

13.1.3 WiNet的认证配置

 


1 设备概览

1.1  简介

MSR830-WiNet/830-10-WiNet/930-WiNet/930-10-WiNet/930-WiNet-W/2600-10-WiNet路由器主要适用于中小企业办公网络出口、政府县乡分支机构、商业连锁营业网点等应用环境。该产品具有超众的业务并发处理能力,弹性智能的流量调度,零配置、易维护、易管理,内嵌WiNet智能网管平台,能在最小的投资范围内为企业网络提供一体化的综合解决方案,充分地满足未来业务扩展的多元化应用需求,符合企业IT建设的现状与趋势,适应日益增长的3G无线通信和云网络业务发展的需要。

1.2  产品构成

1.2.1  外观介绍

说明

MSR2600-10-WiNet仅Slot 2支持安装SIC接口模块。

 

图1-1 MSR830-WiNet前视图

1: 千兆以太网LAN接口GE1GE3

2: 千兆以太网WAN接口GE4

3: 千兆以太网WAN接口GE0

4: 配置口CONSOLE

5: RESET按钮

6: USB接口

 

图1-2 MSR830-WiNet后视图

1: 接地端子

2: 电源插座

 

图1-3 MSR830-10-WiNet前视图

1: 千兆以太网LAN接口GE2GE7

2: 千兆以太网WAN接口GE8

3: 千兆以太网WAN接口GE9

4: 千兆以太网WAN接口GE0

5: 千兆以太网WAN接口GE1

6: 配置口CONSOLE

7: RESET按钮

8: USB接口

 

图1-4 MSR830-10-WiNet后视图

1: 接地端子

2: 电源插座

 

图1-5 MSR 930-WiNet前视图

1: USB接口

2: RESET按钮

 

图1-6 MSR 930-WiNet后视图

1: 电源适配器插座

2: 配置口CON/AUX

3: 千兆以太网WAN接口GE0

4: 千兆以太网LAN接口GE1GE4

5: 接地端子

 

图1-7 MSR930-10-WiNet前视图

1: 千兆以太网LAN接口GE2GE7

2: 千兆以太网WAN接口GE8

3: 千兆以太网WAN接口GE9

4: 千兆以太网WAN接口GE0

5: 千兆以太网WAN接口GE1

6: 配置口CONSOLE

7: RESET按钮

8: USB接口

 

图1-8 MSR930-10-WiNet后视图

1: 接地端子

2: 电源插座

 

图1-9 MSR 930-WiNet-W前视图

1: USB接口

2: RESET按钮

 

图1-10 MSR 930-WiNet-W后视图

1: WLAN天线接口

2: 电源适配器插座

3: 配置口CON/AUX

4: 千兆以太网WAN接口GE0

5: 千兆以太网LAN接口GE1~GE4

6: WLAN天线接口

7: 接地端子

 

图1-11 MSR2600-10-WiNet前视图

1: 电源适配器插座

2: 千兆以太网接口GE1

3: 千兆以太网接口GE2~GE8

4: 串行配置口CON/AUX

5: Reset按钮

6: USB接口

7: 千兆以太网接口GE0

 

图1-12 MSR2600-10-WiNet后视图

1: SIC接口模块槽位

2: 接地端子

 

1.2.2  硬件规格

说明

MSR 930-WiNet路由器仅适配WA2620-WiNet和WA2620E-WiNet两款AP。

 

表1-1 MSR830-WiNet/830-10-WiNet/930-WiNet/930-10-WiNet/930-WiNet-W/2600-10-WiNet路由器规格

项目

MSR830-WiNet

MSR830-10-WiNet

MSR 930-WiNet

MSR930-10-WiNet

MSR 930-WiNet-W

MSR2600-10-WiNet

CONSOLE/AUX接口

1

1

1

1

1

1

USB接口

1

1

1

1

1

1

GE WAN接口

2

4

1

4

1

2

GE LAN接口

3

6

4

6

4

8

内存

256M DDR Ⅲ

256M DDR Ⅲ

256M DDR Ⅲ

256M DDR Ⅲ

256M DDR Ⅲ

512MB DDR Ⅲ

Flash

128M

128M

128M

128M

128M

256M

外型尺寸(W×D×H)(不含脚垫和挂耳)

440×225×44mm

440×225×44mm

230×160×43.6mm

440×225×44mm

230×160×43.6mm

360×303.5×44.2mm

AC电源适配器

额定电压范围:100V a.c.~240V a.c.;50Hz/60Hz

额定电压范围:100V a.c.~240V a.c.;50Hz/60Hz

额定电压范围:100V a.c.~240V a.c.;50Hz/60Hz

额定电压范围:100V a.c.~240V a.c.;50Hz/60Hz

额定电压范围:100V a.c.~240V a.c.;50Hz/60Hz

额定电压范围:90V a.c.~264V a.c.;50Hz/60Hz

AC电源最大功率

12W

24W

24W

24W

24W

30W

工作环境温度

0°C~40°C

0°C~40°C

0°C~40°C

0°C~40°C

0°C~40°C

0°C~45°C

环境相对湿度

5%~90%(不结露)

5%~90%(不结露)

5%~90%(不结露)

5%~90%(不结露)

5%~90%(不结露)

5%~90%(不结露)

 

1.2.3  面板指示灯

1. MSR830-WiNet/830-10-WiNet/930-WiNet/930-10-WiNet/930-WiNet-W面板指示灯

图1-13 MSR830-WiNet前面板指示灯

1: GE口黄色指示灯

2: GE口绿色指示灯

3: 系统指示灯

4: VPN指示灯

5: GE0口指示灯

 

图1-14 MSR830-10-WiNet前面板指示灯

1: GE口黄色指示灯

2: GE口绿色指示灯

3: 系统指示灯

4: VPN指示灯

5: GE1口指示灯

6: GE0口指示灯

 

图1-15 MSR 930-WiNet前面板指示灯

1: 系统指示灯SYS

2: 网络指示灯INTERNET

3: VPN指示灯

 

图1-16 MSR 930-WiNet后面板指示灯

1: GE口黄色指示灯

2: GE口绿色指示灯

 

图1-17 MSR930-10-WiNet前面板指示灯

1: GE口黄色指示灯

2: GE口绿色指示灯

3: 系统指示灯

4: VPN指示灯

5: GE1口指示灯

6: GE0口指示灯

 

图1-18 MSR 930-WiNet-W前面板指示灯

1: 系统指示灯SYS

2: 网络指示灯INTERNET

3: VPN指示灯

4: WLAN指示灯WLAN

 

图1-19 MSR 930-WiNet-W后面板指示灯

1: GE口黄色指示灯

2: GE口绿色指示灯

 

表1-2 MSR830-WiNet/830-10-WiNet/930-WiNet/930-10-WiNet/930-WiNet-W指示灯说明

指示灯

位置

状态

含义

系统指示灯

前面板

灯灭

没有电源输入,或主控板工作故障状态

绿色常亮

SDRAM进行检测(BootRom阶段)

8HZ绿色闪烁

镜像搬移解压缩(BootRom阶段)

1HZ绿色闪烁

COMWARE按照配置启动,标识BootRom阶段结束

1HZ黄色闪烁

SDRAM检测失败(BootRom阶段)

8HZ黄色闪烁

扩展段不存在(BootRom阶段)

黄色常亮

镜像不存在(BootRom阶段)

网络指示灯INTERNET

前面板

网络未连通

常亮

网络已连通

VPN指示灯

前面板

VPN未连通

常亮

VPN已连通

GE口指示灯

后面板

表示链路没有连通

绿色常亮

链路连通并工作在千兆模式

绿色闪烁

有数据收发,工作在千兆模式

黄色常亮

链路连通并工作在十、百兆模式

黄色闪烁

有数据收发,工作在十、百兆模式

WLAN指示灯WLAN(仅MSR 930-WiNet-W支持)

前面板

链路空闲

绿色常亮

Radio接口连通

绿色闪烁

有数据收发

 

2. MSR2600-10-WiNet面板指示灯

图1-20 MSR2600-10-WiNet前面板指示灯

1: 系统指示灯SYS

2: 电源指示灯PWR

3: 千兆以太网接口指示灯GE0~GE9

 

表1-3 MSR2600-10-WiNet指示灯说明

指示灯

位置

状态

含义

SYS

前面板

1HZ绿色闪烁

Comware启动阶段和正常运行阶段

8Hz绿色闪烁

镜像搬移解压缩(BootRom阶段)

绿色常亮

SDRAM进行检测(BootRom阶段)

1HZ黄色闪烁

DDR3 SDRAM检测失败(Bootware阶段)

8Hz黄色闪烁

Bootware扩展段不存在(Bootware阶段)

黄色常亮

镜像不存在

灯灭

没有电源输入,或者工作故障状态

PWR

前面板

绿色常亮

表示系统电源供电正常

灯灭

没有电源输入

GE

前面板

绿色常亮

表示链路已连通,并工作在1000MB模式

绿色闪烁

表示有数据收发,并工作在1000MB模式

黄色常亮

表示链路已连通,并工作在10/100MB模式

黄色闪烁

表示有数据数据收发,工作在10/100MB模式

灯灭

表示链路没有连通

 

1.3  连接到Internet

实际应用中常见的连接到Internet的方式有两种:通过千兆以太网口连接Internet和通过3G方式连接Internet。

1. 通过千兆以太网接口连接到Internet

图1-21 千兆以太网接口连接Internet

 

2. 通过3G方式连接到Internet

图1-22 3G方式连接Internet

 

1.4  登录设备

为了方便用户对设备进行操作和维护,设备提供了的Web网管功能。用户可以使用Web界面直观地管理和维护网络设备。

Web网管的运行环境如图1-23所示。

图1-23 Web网管运行环境

 

采用Web方式登录设备的步骤如下:

(1)     将PC连接到设备的GE LAN接口。

(2)     配置PC的IP地址在192.168.1.0/24网段(除192.168.1.1以外),例如192.168.1.2。配置IP地址的具体方法如下:

a.     在桌面右键点击“网上邻居”图标,选择“属性”,打开“网络连接”菜单。如图1-24所示。

图1-24 打开网络连接

 

b.     在打开的“网络连接”页面中,右键点击“本地连接”,选择“属性”。如图1-25所示。

图1-25 打开本地连接属性

 

c.     在“本地连接 属性”页面中,选择“Internet 协议(TCP/IP)”,点击“属性”。如图1-26所示。

图1-26 本地连接属性页面

 

d.     在“Internet协议属性”页面中,选择“使用下面的IP地址”和“使用下面的DNS服务器地址”,配置静态的地址信息。配置完成后,点击<确定>按钮关闭页面。如图1-27所示。

图1-27 配置IP地址

 

(3)     运行Web浏览器,在浏览器地址栏中输入http://192.168.1.1(设备缺省登录IP地址,登录后可修改)并回车。

(4)     输入登录验证信息并登录。用户名、密码缺省都是admin,登录后用户可以根据需要修改。如图1-28所示:

图1-28 用户登录

 

(5)     登录成功后,设备会自动跳转到“设备概览界面”,如图1-29所示。

图1-29 设备概览页面

 


2 快速向导

Web的基本配置向导模块提供了对路由器基本业务的快速配置功能,可以帮助用户完成WAN口参数、LAN口参数和WLAN口参数的配置。

详细配置步骤如下:

(1)     在导航栏中选择“快速向导 > 基本配置向导”,进入基本配置向导首页面,如图2-1所示。

图2-1 基本配置向导首页面

 

(2)     点击“下一步”到“设置WAN口参数”页面。用户首先可以根据上网方式选择WAN口,当通过千兆以太网接口访问Internet时,WAN口选择Ethernet;当通过3G方式访问Internet时,WAN口选择Cellular。页面根据接口类型的不同而不同,下面分别进行介绍。

·     以太网接口

图2-2 以太网接口参数设置页面

 

以太网接口的详细配置说明如表2-1表2-2表2-3所示。

表2-1 以太网接口的详细配置说明(自动模式)

配置项

说明

WAN口

选择要配置的以太网接口

连接模式:自动获取IP地址

选择连接模式为“自动获取IP地址”

MAC地址

设置以太网接口的MAC地址,可以选择如下两项:

·     使用本设备原来的MAC地址:即使用以太网接口的缺省MAC地址,后面的括号中显示的即为以太网接口的缺省MAC地址

·     使用下面手工输入的MAC地址:即手工设置以太网接口的MAC地址,选择此项时,需要在下面的文本框中输入一个MAC地址

 

表2-2 以太网接口的详细配置说明(手动模式)

配置项

说明

WAN口

选择要配置的以太网接口

连接模式:手动指定IP地址

选择连接模式为“手动指定IP地址”

TCP-MSS

设置接口的TCP最大报文段长度

MTU

设置接口允许通过的最大传输单元

IP地址

设置接口的IP地址

子网掩码

设置接口的子网掩码

网关地址

设置静态路由的下一跳

DNS1

设置接口的DNS服务器的IP地址,注意DNS1的使用顺序在DNS2之前

在“高级配置 > DNS设置 > 域名解析设置”中可以配置全局的DNS服务器。全局DNS服务器的优先级高于接口的DNS服务器,即首先向全局DNS服务器发送查询请求,失败后再依次向所有接口的DNS服务器发送查询请求

DNS2

MAC地址

设置以太网接口的MAC地址,可以选择如下两项:

·     使用本设备原来的MAC地址:即使用以太网接口的缺省MAC地址,后面的括号中显示的即以太网以太网接口的缺省MAC地址

·     使用下面手工输入的MAC地址:即手工设置以太网接口的MAC地址,选择此项时,需要在下面的文本框中输入一个MAC地址

 

表2-3 以太网接口的详细配置说明(PPPoE模式)

配置项

说明

WAN口

选择要配置的以太网接口

连接模式:虚拟拨号

选择连接模式为“虚拟拨号(PPPoE)”

PPPoE方式需要当地ISP(Internet Service Provider,互联网服务提供商)提供用户名和密码。当设备连接ISP服务器时,会自动发起PPPoE验证。验证通过后,服务器会将IP地址、子网掩码以及网关地址、DNS服务器地址信息发送给设备

上网帐号

设置身份验证使用的用户名

上网口令

显示当前是否设置了身份验证使用的口令

如果该文本框中无内容,则表示当前未设置身份验证使用的口令

新上网口令

设置或修改身份验证使用的口令

TCP-MSS

设置接口的TCP最大报文段长度

MTU

设置接口允许通过的最大传输单元

一直在线

设置空闲自动挂断时间

·     一直在线:表示设备一直在线

·     空闲一段时间后自动断线:如果设备在设置的时间内没有与Internet发生数据交互,则设备将自动断开与服务器的连接,此后当有来自局域网的外网访问请求时,设备将自动进行拨号连接操作

当选择“空闲一段时间后自动断线”时,还需要设置“空闲时间”

空闲一段时间后自动断线

空闲时间

MAC地址

设置以太网接口的MAC地址,可以选择如下两项:

·     使用本设备原来的MAC地址:即使用以太网接口的缺省MAC地址,后面的括号中显示的即为以太网接口的缺省MAC地址

·     使用下面手工输入的MAC地址:即手工设置以太网接口的MAC地址,选择此项时,需要在下面的文本框中输入一个MAC地址

 

·     Cellular接口

图2-3 Cellular接口参数设置页面

 

Cellular接口的详细配置说明如表2-4所示。

表2-4 Cellular接口的详细配置说明

配置项

说明

WAN口

选择要配置的Cellular接口

上网账号

设置身份验证使用的用户名

上网口令

显示当前是否设置了身份验证使用的口令

如果该文本框中无内容,则表示当前未设置身份验证使用的口令

新上网口令

设置或修改身份验证使用的口令

TCP-MSS

设置接口的TCP最大报文段长度

MTU

设置接口允许通过的最大传输单元

拨号串

设置接口呼叫一个对端的拨号串

一直在线

设置空闲自动挂断时间

·     一直在线:表示设备一直在线

·     空闲一段时间后自动断线:如果设备在设置的时间内没有与Internet发生数据交互,则设备将自动断开与服务器的连接,此后当有来自局域网的外网访问请求时,设备将自动进行拨号连接操作

当选择“空闲一段时间后自动断线”时,还需要设置“空闲时间”

空闲一段时间后自动断线

空闲时间

 

(3)     完成前面的配置后,单击<下一步>按钮,进入设置LAN口参数的页面,如图2-4所示。

图2-4 设置LAN口参数页面

 

LAN口参数的配置说明如表2-5所示。

表2-5 LAN口参数的配置说明

配置项

说明

VLAN虚接口

显示要配置的VLAN虚接口的编号

提示

此处会自动显示设备上编号最小的VLAN虚接口,如果设备上没有VLAN虚接口,则会自动创建并显示编号为1的VLAN虚接口

IP地址

设置VLAN虚接口的IP地址和子网掩码

子网掩码

DHCP服务器

设置接口是否工作在DHCP服务器模式

若选择开启DHCP服务器,则可以进行DHCP服务器相关参数的配置

起始IP地址

设置用于动态分配的扩展模式的DHCP地址池,是由起始IP地址和结束IP地址共同确定的一个IP地址范围

提示

如果接收到DHCP请求报文的接口配置了扩展模式的地址池,则无论该接口上是否还配置了普通地址池(静态绑定和动态分配),服务器都会从扩展模式的地址池中选取IP地址分配给客户端。如果扩展模式的地址池中没有可供分配的IP地址,则服务器无法为客户端分配IP地址

结束IP地址

网关地址

设置DHCP地址池为DHCP客户端分配的网关地址

DHCP客户端访问本网段以外的服务器或主机时,数据必须通过网关进行转发。为地址池指定网关地址后,在给客户端分配IP地址的同时,也将网关地址发送给客户端

DNS服务器1

设置DHCP地址池为DHCP客户端分配的DNS服务器的IP地址,注意DNS服务器1的使用顺序在DNS服务器2之前

为了使DHCP客户端能够通过域名访问Internet上的主机,DHCP服务器应在为客户端分配IP地址的同时指定DNS服务器地址

DNS服务器2

 

(4)     完成前面的配置后,单击<下一步>按钮,进入基本业务配置确认的页面,如图2-5所示。如果确认配置的数据正确,则单击“完成按钮”,即可执行所进行的配置。

图2-5 确认基本业务设置页面

 


3 接口配置

3.1  WAN接口设置

1. WAN接口设置首页面

在导航栏中选择“接口配置 > WAN接口设置”,进入“WAN接口设置”页签的页面,如图3-1所示。页面上显示接口的名称、连接模式、IP地址/掩码、状态和操作信息。

图3-1 WAN接口设置

 

2. 配置以太网接口

单击以太网接口对应的icon_mdf图标,进入以太网接口编辑的页面,如图3-2所示。

图3-2 WAN接口设置(以太网接口)

 

以太网接口的详细配置说明如表3-1所示。

表3-1 以太网接口的详细配置说明

配置项

说明

接口状态

显示和设置接口的状态

·     当显示为“已连接”时,表示接口当前状态为开启且已连接,可以单击后面的<关闭>按钮,将接口强制关闭

·     当显示为“未连接”时,表示接口当前状态为开启但未连接,可以单击后面的<关闭>按钮,将接口强制关闭

·     当显示为“强制关闭”时,表示接口当前状态为强制关闭,可以单击后面的<开启>按钮,将接口开启

其他配置项

自动模式请参见表2-1,手动模式请参见表2-2,PPPoE模式请参见表2-3

 

3. 配置Cellular接口

单击以Cellular接口对应的icon_mdf图标,进入Cellular接口编辑的页面,如图3-3所示。

图3-3 WAN接口设置(Cellular接口)

 

Cellular接口的详细配置说明如表3-2所示。

表3-2 Cellular接口的详细配置说明

配置项

说明

接口状态

显示和设置接口的状态

·     当显示为“已连接”时,表示接口当前状态为开启且已连接,可以单击后面的<关闭>按钮,将接口强制关闭

·     当显示为“未连接”时,表示接口当前状态为开启但未连接,可以单击后面的<关闭>按钮,将接口强制关闭

·     当显示为“强制关闭”时,表示接口当前状态为强制关闭,可以单击后面的<开启>按钮,将接口开启

其他配置项

请参见表2-4

 

3.2  LAN设置

(1)     在导航栏中选择“接口配置 > LAN设置”,默认进入“VLAN设置”页签的页面,如图3-4所示。

图3-4 VLAN设置

 

VLAN设置的详细配置说明如表3-3所示。

表3-3 VLAN设置的详细配置说明

配置项

说明

VLAN创建和删除

选择要进行的操作类型为创建或删除

VLAN编号

设置要创建或删除的VLAN(或VLAN接口)的编号

创建VLAN接口

当选择创建VLAN时,可以设置是否同时创建VLAN接口

仅删除VLAN接口

当选择删除VLAN时,可以设置是否仅删除VLAN接口,而不删除VLAN

VLAN ID

选择一个要添加或删除成员的VLAN ID

接口成员列表

在接口成员列表中选择要添加或删除的接口

<添加>

点击<添加>按钮,将选中的接口添加为指定VLAN的成员

<删除>

点击<删除>按钮,将选中的接口从指定VLAN中删除

 

(2)     LAN设置完成后,点击“VLAN接口设置”页签,进入如图3-5所示的页面。

图3-5 VLAN接口设置

 

VLAN接口参数的详细配置说明如表3-4所示。

表3-4 VLAN接口参数的详细配置说明

配置项

说明

VLAN ID

选择要配置的VLAN接口的编号

IP地址

设置VLAN接口的IP地址和子网掩码

子网掩码

MAC地址

设置VLAN接口的MAC地址,可以选择如下两项:

·     使用本设备原来的MAC地址:即使用VLAN接口的缺省MAC地址,后面的括号中显示的即为VLAN接口的缺省MAC地址

·     使用下面手工输入的MAC地址:即手工设置VLAN接口的MAC地址,选择此项时,需要在下面的文本框中输入一个MAC地址

DHCP服务器

设置接口是否工作在DHCP服务器模式

若选择启用DHCP服务器,则可以进行DHCP服务器相关参数的配置

起始IP地址

设置用于动态分配的扩展模式的DHCP地址池,是由起始IP地址和结束IP地址共同确定的一个IP地址范围

提示

如果接收到DHCP请求报文的接口配置了扩展模式的地址池,则无论该接口上是否还配置了普通地址池(静态绑定和动态分配),服务器都会从扩展模式的地址池中选取IP地址分配给客户端。如果扩展模式的地址池中没有可供分配的IP地址,则服务器无法为客户端分配IP地址

结束IP地址

网关地址

设置DHCP地址池为DHCP客户端分配的网关地址

DHCP客户端访问本网段以外的服务器或主机时,数据必须通过网关进行转发。为地址池指定网关地址后,在给客户端分配IP地址的同时,也将网关地址发送给客户端

DNS服务器1

设置DHCP地址池为DHCP客户端分配的DNS服务器的IP地址,注意DNS服务器1的使用顺序在DNS服务器2之前

为了使DHCP客户端能够通过域名访问Internet上的主机,DHCP服务器应在为客户端分配IP地址的同时指定DNS服务器地址

DNS服务器2

保留IP地址

设置DHCP地址池中不参与自动分配的IP地址

DHCP服务器在分配地址时,需要排除已经被占用的IP地址(如网关、FTP服务器等),否则,同一地址分配给两个客户端会造成IP地址冲突

需要注意的是,将已经静态绑定的IP地址配置为不参与自动分配的地址,则该地址仍然可以分配给静态绑定的用户

 


4 NAT配置

NAT(Network Address Translation,网络地址转换)是将IP数据报报头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP地址代表较多的私有IP地址的方式,将有助于减缓可用IP地址空间的枯竭。

4.1  配置概述

NAT配置的推荐步骤如表4-1所示。

表4-1 NAT配置步骤

步骤

配置任务

说明

1

4.2  配置动态地址转换

二者必选其一

按照内部网络与外部网络间地址映射关系的产生方式,可以将地址转换分为动态地址转换和静态地址转换两类:

·     动态地址转换:外部网络和内部网络间的地址映射关系由报文动态决定。适用于内部网络有大量用户需要访问外部网络的需求

·     静态地址转换:外部网络和内部网络间的地址映射关系在配置中确定。Web页面支持DMZ主机配置

4.3  DMZ主机

2

4.4  配置内部服务器

必选

通过配置内部服务器,可以将相应的外部地址和端口映射到内部服务器的私有地址和端口上,从而使外部网络用户能够访问内部服务器

3

4.5  使能应用层协议检测

可选

使能指定协议类型的NAT应用层协议检测功能

缺省情况下,各协议的NAT应用层协议检测功能均处于使能状态

4

4.6  配置连接数限制

可选

配置基于源IP地址对连接的数量进行限制

 

4.2  配置动态地址转换

在导航栏中选择“NAT配置 > NAT配置”,默认进入“动态地址转换”页签的页面,如图4-1所示。

图4-1 动态地址转换

 

动态地址转换的详细配置说明如表4-2所示。

表4-2 动态地址转换的详细配置说明

配置项

说明

接口

设置要配置地址转换策略的接口

转换方式

设置地址转换的方式

·     接口地址:表示Easy IP方式,直接使用接口的IP地址作为转换后的地址,此时不需要配置地址池

·     PAT:表示同时转换数据包的IP地址和端口信息,此时需要配置地址池

·     No-PAT:表示只转换数据包的IP地址,不使用端口信息,此时需要配置地址池

开始IP地址

设置该地址转换策略中的地址池的开始IP地址和结束IP地址

结束IP地址必须大于或等于开始IP地址,大于表示一个IP地址范围,等于表示单个的IP地址

提示

·     同一个地址池(相同的开始IP地址和结束IP地址)只能配置为一种地址转换方式

·     某些设备上的地址池空间不能和以下地址重叠:其它地址转换策略的NAT地址池、启动Easy IP特性的接口IP地址、内部服务器的外部IP地址

结束IP地址

 

4.3  DMZ主机

1. 创建DMZ主机

在导航栏中选择“NAT配置 > NAT配置”,单击“DMZ主机”页签,进入DMZ主机的配置页面,如图4-2所示。

图4-2 创建DMZ主机

 

创建DMZ主机的详细配置说明如表4-3所示。

表4-3 DMZ主机的详细配置说明

配置项

说明

内网IP地址

设置一对一静态地址映射的内部IP地址

外网IP地址

设置一对一静态地址映射的外部IP地址

 

4.3.1  接口开启DMZ主机

·     未使能DMZ主机的接口状态显示为port_down,单击其后的<启动>按钮,可以在该接口上使能DMZ主机。

·     已使能DMZ主机的接口状态显示为port_up,单击其后的<关闭>按钮,可以在该接口上关闭DMZ主机。

4.4  配置内部服务器

在导航栏中选择“NAT配置 > NAT配置”,单击“内部服务器”页签,进入内部服务器的配置页面,如图4-3所示。

图4-3 内部服务器

 

创建内部服务器的详细配置说明如表4-4所示。

表4-4 创建内部服务器的详细配置说明

配置项

说明

接口

设置要配置内部服务器策略的接口

协议类型

设置IP协议承载的协议类型,包括:TCP、UDP

外部IP地址

设置提供给外部访问的合法IP地址

可以选择直接使用当前选中接口的IP地址,或者手动指定一个IP地址

外部端口

设置提供给外部访问的服务端口号

在对应的下拉框中选择服务类型:

·     选择Other,需在后面的输入框中手动输入要设置的服务端口号。输入0时,表示任何类型的服务都提供,相当于外部IP地址和内部IP地址之间有一个静态的连接

·     选择其余的服务,输入框默认设置为该服务的端口号,不可修改

内部IP地址

设置服务器在内部局域网的IP地址

内部端口

设置内部服务器提供的服务端口号

在对应的下拉框中选择服务类型:

·     选择Other,需在后面的输入框中手动输入要设置的服务端口号。输入0时,表示任何类型的服务都提供,相当于外部IP地址和内部IP地址之间有一个静态的连接

·     选择其余的服务,输入框默认设置为该服务的端口号,不可修改

 

4.5  使能应用层协议检测

在导航栏中选择“NAT配置 > NAT配置”,单击“应用层协议检测”页签,进入NAT应用层协议检测的配置页面,如图4-4所示。

图4-4 应用层协议检测

 

NAT应用层协议检测的详细配置说明如表4-5所示。

表4-5 NAT应用层协议检测的详细配置说明

配置项

说明

协议类型

设置使能或禁止指定协议类型的NAT应用层协议检测功能

可指定的协议类型包括:DNS、FTP、PPTP、NBT、ILS、H.323和SIP

 

4.6  配置连接数限制

在导航栏中选择“NAT配置 > NAT配置”,单击“连接数限制”页签,进入连接数限制的配置页面,如图4-5所示。

图4-5 连接数限制

 

连接数限制的详细配置说明如表4-6所示。

表4-6 连接数限制的详细配置说明

配置项

说明

开启连接数限制

设置开启或关闭连接数限制功能

最大连接数

设置同一源IP地址最大可以建立的连接数

 


5 安全配置

5.1  网站过滤

网站过滤是指通过设置网站和关键字,来限制局域网内的计算机对Internet上符合过滤条件的网页的访问。

说明

网站过滤功能只对WAN接口有效,并且只对接口的出方向有效。

 

(1)     在导航栏中选择“安全配置 > 网站过滤”,进入如图5-1所示的页面。

图5-1 网站过滤

 

网站过滤条件的详细配置如表5-1所示。

表5-1 网站过滤条件的详细配置

配置项

说明

网站

设置要过滤的网站地址,可以输入正则表达式

提示

网站和关键字是“或”的关系,如果同时设置,则会分别生成两条网站过滤条件

关键字

设置要过滤的关键字,可以输入正则表达式

导入过滤文件

文件名

设置从网站过滤列表文件中导入过滤条件,并指定要导入的网站过滤列表文件名在本地主机上的存放路径和文件名

过滤列表文件内容的格式说明请参见图5-1

 

5.2  攻击防范配置

5.2.1  配置攻击黑名单

(1)     在导航栏中选择“安全配置 > 攻击防范 > 攻击黑名单”,进入如图5-2所示的页面。选中“启用黑名单过滤功能”前的复选框,单击<应用>按钮,可以使能黑名单过滤功能。

图5-2 黑名单

 

黑名单列表的详细说明如表5-2所示。

表5-2 黑名单列表的详细说明

标题项

说明

IP地址

加入黑名单的IP地址

添加方式

黑名单表项的添加方式,包括自动和手动两种

·     自动添加为发现扫描攻击后自动将攻击者IP添加到黑名单

·     手动添加为用户手动创建黑名单

提示

修改自动添加的黑名单表项,则该表项的添加方式会被更改为手动

开始时间

黑名单表项的添加时间

保留时间

黑名单表项的保留时间

通过扫描攻击防范添加的黑名单的表项的老化时间为10分钟

丢包统计

匹配该黑名单表项而被丢弃的报文数量

 

(2)     单击<新建>按钮,进入新建黑名单表项的配置页面,如图5-3所示。

图5-3 新建黑名单表项

 

新建黑名单的详细配置说明如表5-3所示。

表5-3 新建黑名单的详细配置说明

配置项

说明

IP地址

设置要添加到黑名单的IP地址,不能为广播地址、127.0.0.0/8、D类地址、E类地址和255.0.0.0/8

保留时间

设置该表项为非永久黑名单表项,并指定表项的保留时间

永久生效

设置该表项为永久黑名单表项

 

5.2.2  配置入侵检测

(1)     在导航栏中选择“安全配置 > 攻击防范 > 入侵检测”,进入如图5-4所示的页面。

图5-4 入侵检测

 

(2)     单击<新建>按钮,进入新建入侵检测策略的配置页面,如图5-5所示。选择一个接口,并根据需要选择启用哪些类型的攻击检测,单击<应用>按钮,即可在该接口上启用入侵检测功能。

图5-5 新建入侵检测策略

 

5.3  配置应用控制

5.3.1  加载应用程序

在导航栏中选择“安全配置 > 应用控制管理”,单击“加载应用程序”页签,进入加载应用程序的配置页面,如图5-6所示。

图5-6 加载应用程序

 

加载应用程序的详细配置说明如表5-4所示。

表5-4 加载应用程序的详细配置说明

配置项

说明

从设备选择特征文件加载

设置特征文件的文件名,单击<确定>按钮,即可将特征文件加载到设备

从本地选择特征文件加载

设置特征文件在本地主机上的保存路径和文件名,单击<确定>按钮,即可将本地主机上保存的特征文件上传并加载到设备。

 

5.3.2  配置自定义应用程序

在导航栏中选择“安全配置 > 应用控制管理”,单击“自定义应用程序”页签,进入自定义应用程序列表页面,如图5-7所示。单击<新建>按钮,进入新建自定义应用程序的配置页面,如图5-8所示。

图5-7 自定义应用程序

 

图5-8 新建自定义应用程序

 

自定义应用程序的详细配置说明如表5-5所示。

表5-5 自定义应用程序的详细配置说明

配置项

说明

应用程序名称

设置自定义应用程序的名称

协议

设置传输数据包所使用的协议类型,包括TCP、UDP和所有流量

IP地址

设置要限制访问的应用程序的服务器IP地址

端口定义

匹配方式

设置要限制访问的应用程序的服务器的端口号

当协议选择TCP或UDP时可以配置端口号,配置方式如下:

·     匹配方式为空时,表示不配置端口号限制,不需要输入起始/结束端口

·     操作选择范围时,表示由开始端口和结束端口共同限定的一个端口范围,两个端口都需要输入

·     操作选择其它选项时,只需要输入开始端口

开始端口

结束端口

 


6 带宽控制

设备提供的带宽控制特性包括:网段带宽限速、应用带宽限速和应用带宽保证。

6.1  网段带宽限速

网段带宽限速可以根据报文源/目的IP地址对进入或流出设备的流量的规格进行监管,当流量符合规格时允许报文通过,当流量超出规格时将报文丢弃,以保护网络资源不受损害。

配置步骤如下:

(1)     在导航栏中选择“带宽控制 > 网段带宽限速”,进入如图6-1所示的页面。

图6-1 网段带宽限速

 

(2)     单击<新建>按钮,进入新建网段带宽限速的配置页面,如图6-2所示。

图6-2 新建网段带宽限速

 

网段带宽限速的详细配置说明如表6-1所示。

表6-1 网段带宽限速的详细配置说明

配置项

说明

开始地址

设置要进行限速的网段地址范围

结束地址

接口

设置要应用网段带宽限速的接口

限速速率

设置允许的报文的平均速率

类型

设置限速的方式

·     共享:表示对网段内所有IP地址的速率之和进行限速,每个IP地址的速率按照流量大小的比例进行分配

·     独占:表示对网段内的每个IP地址的速率分别进行限速,每个IP地址的速率最多只能为指定的限速速率

方向

设置限速的方向

·     下载:表示对接口接收的数据包,基于报文的目的IP地址进行限速

·     上传:表示对接口发送的数据包,基于报文的源IP地址进行限速

 

6.2  应用带宽限速

应用带宽限速与网段带宽限速相似,也可以在IP层实现流量监管的功能。所不同的是:

·     应用带宽限速还可以根据时间段、报文优先级、协议类型、端口号等进行流分类,区分服务更加细致。

·     应用带宽限速在流量符合规格允许报文通过的同时,还可以根据用户的设置来重新标记报文的IP优先级、DSCP(Differentiated Services Codepoint,差分服务编码点)优先级或802.1p优先级。

配置步骤如下:

(1)     在导航栏中选择“带宽控制 > 应用带宽限速”,进入如图6-3所示的页面。

图6-3 应用带宽限速

 

(2)     单击<新建>按钮,进入新建应用带宽限速的配置页面,如图6-4所示。

图6-4 新建应用带宽限速

 

应用带宽限速的详细配置说明如表6-2所示。

表6-2 应用带宽限速的详细配置说明

配置项

说明

描述

设置应用带宽限速策略的描述信息

接口

设置应用带宽限速的接口

方向

设置限速的方向

·     下载:表示对接口接收到的数据包进行限速

·     上传:表示对接口发送的数据包进行限速

限速速率

设置允许的报文的平均速率

标志类型

设置对符合规格允许通过的报文重新标记报文优先级的类型

·     无:表示不对报文优先级进行重新标记

·     802.1p:表示重新标记报文的802.1p优先级,并指定新的标记值

·     IP优先级:表示重新标记报文的IP优先级,并指定新的标记值

·     DSCP:表示重新标记报文的DSCP优先级,并指定新的标记值

IP地址/地址通配符

设置匹配报文IP地址/地址通配符的规则

可以向列表框中添加多个IP地址/地址通配符,通过<添加>、<删除>按钮进行设置

·     当限速方向为下载时,匹配报文的源IP地址

·     当限速方向为上传时,匹配报文的目的IP地址

IP优先级

设置匹配报文IP优先级的规则

每个应用带宽限速策略中最多可以配置8个不同的IP优先级值,多个不同的IP优先级值是或的关系。如果有多个IP优先级值相同,系统将默认为一个。每次配置后,IP优先级值将自动按照从小到大的顺序排序显示

DSCP

设置匹配报文DSCP优先级的规则

每个应用带宽限速策略中最多可以配置8个不同的DSCP优先级值,多个不同的DSCP优先级值是或的关系。如果有多个DSCP优先级值相同,系统将默认为一个。每次配置后,DSCP优先级值将自动按照从小到大的顺序排序显示

入接口

设置匹配报文入接口的规则

时间段

设置应用带宽限速策略的生效时间段,需要设置起止时间和日期

协议名称

设置匹配协议类型的规则

可选的协议类型包括系统预定义的协议,以及通过P2P特征文件加载的协议。加载P2P特征文件在“安全配置 > 应用控制管理 > 加载应用程序”中配置

自定义协议类型

设置匹配自定义协议类型的规则

需要选择传输层的协议类型,并设置源端口范围和目的端口范围

源端口

目的端口

 

6.3  应用带宽保证

应用带宽保证可以完成以下两个功能:

·     接口带宽:采用令牌桶进行流量控制,在一个接口上限制发送报文(包括紧急报文)的总速率。网段带宽限速和应用带宽限速在IP层实现,可以对端口上不同的流分类进行限速,但是对于不经过IP层处理的报文不起作用。当用户只要求对通过该接口的所有报文限速时,使用接口带宽比较简单。

·     带宽保证:当接口产生拥塞时,采用基于类的队列技术,对报文根据用户定义的匹配条件进行匹配,并使其进入相应的队列,在入队列之前进行带宽限制的检查。在报文出队列时,加权公平调度每个类对应的队列中的报文。

应用带宽保证只对接口发送的数据包有效。

配置步骤如下:

1. 配置接口带宽

在导航栏中选择“带宽控制 > 应用带宽保证”,进入如图6-5所示的页面。在“接口带宽”中选择一个接口,可以显示和配置该接口发送报文的承诺信息速率。

图6-5 应用带宽保证

 

接口带宽的详细配置说明如表6-3所示。

表6-3 接口带宽的详细配置说明

配置项

说明

接口名称

设置要配置的接口

接口带宽

设置接口允许的发送报文的平均速率

建议接口带宽的取值小于物理接口或逻辑链路的实际可用带宽

 

2. 配置带宽保证

在导航栏中选择“带宽控制 >应用带宽保证”,进入如图6-5所示的页面。“应用带宽”中显示的是所有带宽保证策略,单击<新建>按钮,进入新建带宽保证策略的配置页面,如图6-6所示。

图6-6 新建带宽保证策略

 

带宽保证的详细配置如表6-4所示。

表6-4 带宽保证的详细配置

配置项

说明

描述

设置带宽保证策略的描述信息

队列类型

设置带宽保证的队列类型,包括:

·     EF(快速转发):可以为EF业务提供绝对优先的队列调度,确保实时数据的时延满足要求;同时对高优先级数据带宽的限制,避免出现低优先级队列可能得不到服务的情况

·     AF(确保转发):可以为AF业务提供严格、精确的带宽保证,并且保证各类AF业务之间根据权值按一定的比例关系进行队列调度

接口

设置要应用带宽保证的接口

保证速率

设置队列带宽保证

·     对于EF队列,为设置最大带宽

·     对于AF队列,为设置最小可保证带宽

提示

在同一接口下应用的带宽保证策略所指定的保证速率之和不能大于该接口的可用带宽

IP地址/地址通配符

设置匹配报文目的IP地址/地址通配符的规则

可以向列表框中添加多个IP地址/地址通配符,通过<添加>、<删除>按钮进行设置

IP优先级

设置匹配报文IP优先级的规则

每个带宽保证策略中最多可以配置8个不同的IP优先级值,多个不同的IP优先级值是或的关系。如果有多个IP优先级值相同,系统将默认为一个。每次配置后,IP优先级值将自动按照从小到大的顺序排序显示

DSCP

设置匹配报文DSCP优先级的规则

每个带宽保证策略中最多可以配置8个不同的DSCP优先级值,多个不同的DSCP优先级值是或的关系。如果有多个DSCP优先级值相同,系统将默认为一个。每次配置后,DSCP优先级值将自动按照从小到大的顺序排序显示

入接口

设置匹配报文入接口的规则

时间段

设置带宽保证策略的生效时间段,需要设置起止时间和星期

协议名称

设置匹配协议类型的规则

可选的协议类型包括系统预定义的协议,以及通过P2P特征文件加载的协议。加载P2P特征文件在“安全配置 > 应用控制管理 > 加载应用程序”中配置

自定义协议类型

设置匹配自定义协议类型的规则

需要选择传输层的协议类型,并设置源端口范围和目的端口范围

源端口

目的端口

 


7 高级配置

7.1  路由设置

7.1.1  概述

路由表中保存了各种路由协议发现的路由。路由器通过路由表选择路由,把优选路由下发到转发信息库FIB表中,通过FIB指导报文转发。每个路由器中都至少保存着一张路由表和一张FIB表。

静态路由是一种特殊的路由,由管理员手工配置。配置静态路由后,去往指定目的地的数据报文将按照管理员指定的路径进行转发。

7.1.2  创建路由

(1)     在导航栏中选择“高级配置 > 路由设置”,单击“创建”页签,进入静态路由的配置页面,如图7-1所示。

图7-1 创建静态路由

 

静态路由的详细配置说明如表7-1所示。

表7-1 静态路由的详细配置说明

配置项

说明

目的IP地址

设置静态路由的目的IP地址

掩码

设置静态路由的网络掩码,可以输入掩码长度或者点分十进制格式的掩码

优先级

设置静态路由的优先级,数值越小优先级越高

配置到达相同目的地的多条路由,如果指定相同优先级,则可实现负载分担;如果指定不同优先级,则可实现路由备份

下一跳

设置静态路由的下一跳的IP地址

接口

设置静态路由的出接口

如果选择NULL0,表示目的IP地址不可达

 

(2)     配置完成后,点击<应用>按钮执行配置。

7.1.3  查看激活路由表

在导航栏中选择“高级配置 > 路由设置”,默认进入“显示”页签的页面,如图7-2所示。

图7-2 显示激活路由表

 

激活路由表的详细说明如表7-2所示。

表7-2 激活路由表的详细说明

标题项

说明

目的IP地址

路由的目的IP地址

掩码

路由的网络掩码

协议

发现该路由的路由协议,包括静态路由、直连路由、各种动态路由协议等

优先级

路由的优先级

下一跳

路由的下一跳地址

接口

路由的输出接口,即到该目的网段的数据包将从此接口发出

 

7.2  基于用户的负载分担

基于用户的负载分担是按照报文中的用户信息(源IP地址)对流量进行负载分担。比如用户1和用户2的流量通过链路1到达目的地,用户3和用户4的流量通过链路2到达目的地。

基于用户的负载分担配置步骤:

(1)     在导航栏中选择“高级配置 > 基于用户的负载分担”,进入如图7-3所示的页面,页面显示接口的配置信息。

图7-3 基于用户的负载分担

 

(2)     单击icon_mdf图标,进入修改接口配置的页面,如图7-4所示。

图7-4 修改接口配置

 

基于用户的负载分担的详细配置如表7-3所示。

表7-3 基于用户的负载分担的详细配置

配置项

说明

接口

显示要配置基于用户负载分担的接口名称

负载分担状态

设置是否在接口上启用基于用户的负载分担

带宽

设置接口的负载带宽值

各个接口流量负载分担的比例根据接口设置的带宽比例计算得出,如设置GigabitEthernet0/0为200kbps,GigabitEthernet0/1为100kbps,则最终分担的比例为2:1

 

7.3  流量统计排名配置

(1)     在导航栏中选择“高级配置 > 流量统计排名”,默认进入“配置”页签的页面,如图7-5所示。

图7-5 流量统计排名配置

 

在此页面可以进行如下配置:

·     配置流量统计的周期。

·     单击<作为内部接口统计流量>按钮,即可设置接口作为内部接口进行流量统计。

·     单击<作为外部接口统计流量>按钮,即可设置接口作为外部接口进行流量统计。

·     单击<取消接口流量统计>按钮,即可设置不对接口进行流量统计。

说明

·     作为内部接口统计流量:统计接口入方向和出方向的流量,具体包括:总流量、入/出方向总流量、入/出方向TCP报文流量、入/出方向UDP报文流量、入/出方向ICMP报文流量。

·     作为外部接口统计流量:只统计接口入方向的总流量。

 

(2)     单击“内部接口流量排名”或“外部接口流量排名”页签来查看接口的流量排名。

7.4  DNS设置

7.4.1  概述

域名系统提供域名与IP地址之间的转换。通过域名系统,用户进行某些应用时,可以直接使用便于记忆的的域名,而由网络中的DNS服务器将域名解析为正确的IP地址。

设备完成DNS解析的方式有两种:

·     动态域名解析:设备通过DNS服务器进行动态域名解析。

·     DNS代理:设备作为DNS代理,在DNS客户端和DNS服务器之间转发DNS请求和应答报文,代替DNS客户端进行域名解析。

7.4.2  域名解析配置

1. 动态域名解析设置

(1)     在导航栏中选择“高级配置 > DNS设置 > 域名解析设置”,进入如图7-6所示的页面。选中动态域名解析“启动”前的单选按钮,单击<确定>按钮,启动设备的动态域名解析功能。

图7-6 域名解析设置

 

(2)     单击<添加IP地址>按钮,进入新建DNS服务器IP地址的页面,如图7-7所示。

图7-7 新建DNS服务器IP地址

 

DNS服务IP地址的详细配置说明如表7-4所示。

表7-4 DNS服务器IP地址的详细配置说明

配置项

说明

DNS服务器IP地址

解析域名服务器的IP地址

 

(3)     单击<添加域名后缀>按钮,进入新建DNS域名后缀的页面,如图7-8所示。(步骤可选)

用户预先设置一些域名后缀,在域名解析的时候,用户只需要输入域名的部分字段,系统会自动将输入的域名加上不同的后缀进行解析。举例说明,用户想查询域名aabbcc.com,那么可以先在后缀列表中配置com,然后输入aabbcc进行查询,系统会自动将输入的域名与后缀连接成aabbcc.com进行查询。

图7-8 新建DNS域名后缀

 

DNS域名后缀的详细配置如表7-5所示。

表7-5 域名后缀的详细配置

配置项

说明

DNS域名后缀

配置域名后缀

 

2. DNS代理配置

(1)     在导航栏中选择“高级配置 > DNS设置 > 域名解析设置”,进入如图7-6所示的页面。选中DNS代理“启动”前的单选按钮,单击<确定>按钮,启动设备的DNS代理功能。

(2)     单击<添加IP地址>按钮,进入新建DNS服务器IP地址的页面,如图7-7所示。

7.4.3  DDNS设置

利用DNS可以将域名解析为IP地址,从而实现使用域名来访问网络中的节点。但是,DNS仅仅提供了域名和IP地址之间的静态对应关系,当节点的IP地址发生变化时,DNS无法动态地更新域名和IP地址的对应关系。此时,如果仍然使用域名访问该节点,通过域名解析得到的IP地址是错误的,从而导致访问失败。通过DDNS可以动态更新DNS服务器上域名和IP地址之间的对应关系,保证通过域名解析到正确的IP地址。

DDNS的配置步骤如下:

(1)     登录DDNS服务提供商的网站,注册账户,并为DDNS客户端申请域名。

(2)     配置与DDNS绑定的接口的主IP地址,使之与DDNS服务器路由可达。

(3)     配置静态或动态域名解析功能,以便将DDNS服务器的域名解析为IP地址。

(4)     在导航栏中选择“高级配置 > DNS设置 > DDNS设置”,进入DDNS显示页面,如图7-9所示。

图7-9 DDNS设置

 

(5)     单击<新建>按钮,进入新建DDNS的配置页面,如图7-10所示。

图7-10 新建DDNS

 

DDNS的详细配置说明如表7-6所示。

表7-6 DDNS的详细配置说明

配置项

说明

域名

设置DDNS名称,该名称用于唯一标识一条DDNS信息

服务器配置

服务提供商

设置DDNS服务的提供商,包括:3322.org、花生壳

服务器地址

设置DDNS服务器的地址,该地址将作为DDNS服务器的域名进行DNS解析

提示

选择一种服务提供商后,服务器地址文本框中会自动显示该种DDNS服务器的地址:3322.org为“members.3322.org”;花生壳为“phservice2.oray.net”。对于3322.org,用户可以直接使用缺省的服务器地址,一般不需要修改;对于花生壳,其提供的DDNS服务的域名可能为phservice2.oray.net、phddns60.oray.net、client.oray.net和ph031.oray.net等,请根据实际情况修改服务器地址

更新间隔

设置DDNS更新启动后,定时发起更新请求的时间间隔

提示

·     不论是否到达定时发起更新请求的时间,只要对应接口的主IP地址发生改变或接口的链路状态由down变为up,都会立即发起更新请求

·     如果配置时间间隔为0,则不会定时发起更新,除非对应接口的IP地址发生改变或接口的链路状态由down变为up

帐户配置

用户名

设置登录DDNS服务器的用户名

密码

设置登录DDNS服务器的密码

其他配置

绑定接口

设置该DDNS所绑定的接口

DDNS更新的域名所对应的IP地址为该接口的主IP地址

提示

一个接口最多可以被4个DDNS绑定

FQDN

设置需要更新的FQDN(Fully Qualified Domain Name,完全合格域名)

·     对于3322.org的DDNS服务器,需要指定更新的FQDN,否则会导致DDNS更新失败

·     对于花生壳的DDNS服务器,如果没有指定更新的FQDN,则DDNS服务器将更新帐户对应的所有域名;如果指定了更新的FQDN,则DDNS服务器只更新指定的FQDN

 

7.5  SNMP设置

7.5.1  概述

SNMP(Simple Network Management Protocol,简单网络管理协议)是因特网中的一种网络管理标准协议,被广泛用于实现管理设备对被管理设备的访问和管理。通过SNMP能够对网络设备进行智能化的管理,并且可以屏蔽不同设备物理特性上的差异,实现对不同厂商设备的管理。

SNMP网络包含NMS(Network Management System,网络管理系统)和Agent两种元素。NMS是SNMP网络的管理者,Agent是SNMP网络的被管理者。NMS和Agent之间通过SNMP协议来交互管理信息。

Agent和NMS使用的SNMP版本必须相同,才能成功建立连接。目前,Agent支持SNMPv1、SNMPv2c和SNMPv3三种版本。

7.5.2  SNMP配置

由于SNMPv3版本的配置和SNMPv1版本、SNMPv2c版本的配置有较大区别,所以下面分两种情况进行介绍。

1. 配置SNMPv1/v2c

(1)     在导航栏中选择“高级配置 > SNMP”,默认进入“设置”页签的页面,选择“SNMP版本”为v1、v2c。如图7-11所示。

图7-11 设置

 

开启SNMP Agent的详细配置说明如表7-7所示。

表7-7 开启SNMP Agent的详细配置说明

配置项

说明

SNMP

设置开启或关闭SNMP Agent功能

本地引擎ID

设置本地引擎ID

用户创建后是否有效,与设备的SNMP实体引擎ID有关。如果用户创建时的引擎ID和当前的引擎ID不同,则该用户当前无效

最大包长度

设置Agent能接收/发送的SNMP消息包的大小

联系信息

设置描述系统维护联系信息的字符串

如果设备发生故障,维护人员可以利用系统维护联系信息,及时与设备生产厂商取得联系

物理位置信息

设置描述设备物理位置的字符串

SNMP版本

设置系统启用的SNMP版本号

 

(2)     单击“团体”页签,进入如图7-12所示的页面。

图7-12 团体

 

(3)     单击<新建>按钮,进入新建SNMP团体的配置页面,如图7-13所示。

图7-13 新建SNMP团体

 

SNMP团体的详细配置说明如表7-8所示。

表7-8 SNMP团体的详细配置说明

配置项

说明

团体名称

设置SNMP团体的名称

访问权限

设置NMS使用该团体访问Agent时的权限

·     只读:表明对MIB对象进行只读的访问,NMS使用该团体名访问Agent时只能执行读操作

·     读写:表明对MIB对象进行读写的访问。NMS使用该团体名访问Agent时可以执行读、写操作

视图

设置与该团体关联的视图,以限制NMS可以对Agent进行操作的MIB对象

ACL

设置将该团体与基本访问控制列表绑定,以允许或禁止具有特定源IP地址的NMS对Agent的访问

 

2. 配置SNMPv3

(1)     在导航栏中选择“高级配置 > SNMP”,默认进入“设置”页签的页面,选择“SNMP版本”为v3如图7-14所示。

图7-14 设置

 

开启SNMP Agent的详细配置如表7-7所示。

(2)     单击“组”页签,进入如图7-15所示的页面。

图7-15 组

 

(3)     单击<新建>按钮,进入新建SNMP组的配置页面,如图7-16所示。

图7-16 新建SNMP

 

SNMP组的详细配置说明如表7-9所示。

表7-9 SNMP组的详细配置说明

配置项

说明

组名称

设置SNMP组的名称

安全级别

设置SNMP组的安全级别,包括:不认证不加密、只认证不加密、既认证又加密

提示

已存在的SNMP组,其安全级别不能修改

只读视图

设置SNMP组的只读视图

读写视图

设置SNMP组的读写视图

如果不指定读写视图,则NMS不能对设备的所有MIB对象进行写操作

通知视图

设置SNMP组的通知视图,即可以发送Trap消息的视图

如果不指定通知视图,则Agent不会向NMS发送Trap信息

ACL

设置将组与基本访问控制列表绑定,以对SNMP报文的源IP地址进行限制,即允许或禁止具有特定源IP地址的SNMP报文通过,从而进一步限制NMS和Agent的互访

 

(4)     单击“用户”页签,进入如图7-17所示的页面。

图7-17 用户

 

(5)     单击<新建>按钮,进入新建SNMP用户的配置页面,如图7-18所示。

图7-18 新建SNMP用户

 

SNMP用户的详细配置说明如表7-10所示。

表7-10 SNMP用户的详细配置说明

配置项

说明

用户名称

设置SNMP用户的名称

安全级别

设置SNMP用户的安全级别,包括:不认证不加密、只认证不加密、既认证又加密

用户所在组

设置用户所属的组名称

·     当用户的安全级别选择“不认证不加密”时,可以选择“不认证不加密”的组

·     当用户的安全级别选择“只认证不加密”时,可以选择“不认证不加密”或“只认证不加密”的组

·     当用户的安全级别选择“既认证又加密”时,可以选择所有安全级别的组

认证模式

当安全级别选择“只认证不加密”或“既认证又加密”时,设置认证的模式,包括:MD5、SHA

认证密码

当安全级别选择“只认证不加密”或“既认证又加密”时,设置认证的密码

确认认证密码必须与认证密码一致

确认认证密码

加密模式

当安全级别选择“既认证又加密”时,设置加密的模式,包括:DES56、AES128、3DES

加密密码

当安全级别选择“既认证又加密”时,设置加密的密码

确认加密密码必须与加密密码一致

确认加密密码

ACL

设置将用户与基本访问控制列表绑定,以对SNMP报文的源IP地址进行限制,即允许或禁止具有特定源IP地址的SNMP报文通过,从而可以允许或禁止指定的NMS使用该用户名访问Agent

 

3. SNMP可选功能配置

说明

可选的功能适用于SNMP的v1、v2c和v3版本。

 

·     SNMP视图配置

a.     在导航栏中选择“高级配置 > SNMP”,单击“视图”页签,进入如图7-19所示的页面。

图7-19 视图

 

b.     单击<新建>按钮,弹出新建视图的对话框,如图7-20所示。在文本框中输入要创建的视图的名称。

图7-20 新建SNMP视图(一)

 

c.     单击<确定>按钮,进入SNMP视图具体规则的配置页面,如图7-21所示。

图7-21 新建SNMP视图(二)

 

SNMP视图规则的详细配置如表7-11所示。配置一条规则的参数后,单击<添加>按钮,将该条规则添加到下方的列表中。配置完该视图的所有规则后,单击<确定>按钮,即可新建一个SNMP视图。需要注意的是,如果单击<取消>按钮,则不会新建SNMP视图。

表7-11 SNMP视图规则的详细配置

配置项

说明

视图名称

显示SNMP视图的名称

规则

设置将由MIB子树OID和子树掩码确定的对象包含在视图范围之内,或者排除在视图范围之外

MIB子树OID

设置MIB子树根节点的OID(如1.4.5.3.1)或名称(如system)

MIB子树OID标明节点在MIB树中的位置,它能唯一地标识一个MIB库中的子树

子树掩码

设置子树掩码

如果没有指定子树掩码,则使用缺省子树掩码(全F)

 

·     配置SNMP Trap功能

a.     在导航栏中选择“高级配置 > SNMP”,单击“Trap”页签,进入如图7-22所示的页面。

图7-22 Trap

 

b.     单击<新建>按钮,进入新建Trap目标主机的配置页面,如图7-23所示。

图7-23 新建Trap目标主机

 

Trap目标主机的详细配置说明如表7-12所示。

表7-12 Trap目标主机的详细配置说明

配置项

说明

目的IP地址

设置目标主机的IP地址

选择IP地址的类型(IPv4/域名或IPv6),然后输入相应类型的IP地址或域名

安全名称

设置安全名称,为SNMPv1、SNMPv2c的团体名或SNMPv3的用户名

UDP端口号

设置UDP端口号

提示

缺省值162是SNMP协议规定的NMS接收Trap报文的端口,通常情况下(比如使用iMC或着MIB Browser作为NMS时),使用该缺省值即可。如果要将端口号修改为其他值,则必须和NMS上的配置保持一致

安全模型

设置SNMP的版本

提示

安全模型必须和NMS上运行的SNMP版本一致,否则NMS将收不到Trap信息

安全级别

当安全模型选择“v3”时,设置对SNMP Trap消息认证加密的方式,包括不认证不加密、只认证不加密、既认证又加密

当安全模型选择“v1”或“v2c”时,安全级别为“不认证不加密”,不可以修改

 

·     查看SNMP报文的统计信息

在导航栏中选择“高级配置 > SNMP”,默认进入“设置”页签的页面,在页面下部的列表中可以查看SNMP报文的统计信息,如图7-24所示。

图7-24 SNMP报文的统计信息

 

7.6  用户组管理

7.6.1  概述

用户组管理是指,将局域网中待管理的主机定义为用户,又将用户划分到不同的用户组中,基于用户组对局域网中的主机进行各种业务管理,包括设置接入控制、应用控制、带宽管理和外网访问控制功能。

·     接入控制:是指对用户组中用户访问网络的时段进行控制。对某用户组配置了接入控制功能后,指定时段期间来自该用户组的报文将被丢弃。

·     应用控制:是指根据应用程序或协议的特点,限制用户组中用户对Internet上对某些应用程序或协议的使用。。

·     带宽管理:是指对用户组中用户访问网络所占用的流量进行控制。带宽管理采用令牌桶对流量的规格进行评估,对不符合规格的报文进行丢弃,从而达到限制带宽的目的。

·     外网访问控制:是指对报文中的内容进行控制的功能,包括IP承载的协议类型、目的IP地址、源端口和目的端口。对某用户组配置了外网访问控制功能后,来自该用户组的匹配外网访问控制规则的报文将被丢弃。

7.6.2  推荐配置步骤

表7-13 群组配置步骤

步骤

配置任务

说明

1

7.6.3  配置用户组

必选

缺省情况下,不存在任何用户组

2

7.6.4  配置用户

必选

为用户组配置用户成员

缺省情况下,用户组中不存在任何用户

3

7.6.5  配置接入控制

四者至少选其一

为用户组配置接入控制、应用控制、带宽管理或外网访问控制业务

缺省情况下,用户组未配置任何业务

4

7.6.6  配置应用控制

5

7.6.7  配置带宽管理

6

7.6.8  配置外网访问控制

7

7.6.9  WAN口同步

可选

如果有新增的WAN口或将其他非WAN口改变为WAN口,需要通过此步骤将群组的配置同步到新WAN口上

提示

在执行WAN口同步之前要保证至少存在一个用户组

 

7.6.3  配置用户组

在导航栏中选择“高级配置 > 用户组管理 > 群组设置”,默认进入“用户组”页签的页面,如图7-25所示。

图7-25 用户组

 

用户组的详细配置说明如表7-14所示。

表7-14 用户组的详细配置说明

配置项

说明

用户组名称

设置要添加的用户组的名称

用户组名称为以字母开头的字符串,且不能包含问号、空格及中文字符

 

7.6.4  配置用户

在导航栏中选择“高级配置 > 用户组管理 > 群组设置”,单击“用户”页签,进入用户设置页面,如图7-26所示。

图7-26 用户

 

用户设置的详细配置说明如表7-15所示。

表7-15 用户的详细配置说明

配置项

说明

用户组

设置要添加用户的用户组

添加模式

设置向用户组中添加用户的模式

·     静态:表示手动指定添加的用户的用户名和IP地址

·     动态:表示从局域网内所有与本设备相连的设备中进行选择

用户名

设置用户的名称

·     当静态添加用户时,需要手动设置用户名

·     当动态添加用户时,用户名为系统自动生成

IP地址

设置用户的IP地址

·     当静态添加用户时,需要手动设置IP地址

·     当动态添加用户时,系统会自动生成一个局域网内所有与本设备相连的设备的地址(包括IP地址和MAC地址)列表,只要在列表中进行选择即可

 

7.6.5  配置接入控制

在导航栏中选择“高级配置 > 用户组管理 > 接入控制”,进入如图7-27所示的页面。

图7-27 接入控制

 

接入控制的详细配置说明如表7-16所示。

表7-16 接入控制的详细配置说明

配置项

说明

请选择一个用户组

设置要进行接入控制的用户组

当设备上的用户组数大于1时,此配置项可以选择“all”,表示对当前设备上所有用户组进行接入控制

星期

设置禁止用户组中用户访问网络的时间段

时间

 

7.6.6  配置应用控制

在导航栏中选择“高级配置 > 用户组管理 > 应用控制”,进入如图7-28所示的页面。

图7-28 应用控制

 

应用控制的详细配置说明如表7-17所示。

表7-17 应用控制的详细配置说明

配置项

说明

请选择一个用户组

设置要进行应用控制的用户组

当设备上的用户组数大于1时,此配置项可以选择“all”,表示对当前设备上所有用户组进行应用控制

请选择应用程序进行限制

设置要进行限制的应用程序,可选择的应用程序有3种:

·     已加载应用程序:即通过特征文件加载的应用程序。在“安全配置 > 应用控制管理”中可以将包含应用控制规则的特征文件加载到设备

·     预定义应用程序:设备预定义的应用程序类型

·     自定义应用程序:在“安全配置 > 应用控制管理”中可以配置自定义应用程序及相应的规则

 

7.6.7  配置带宽管理

在导航栏中选择“高级配置 > 用户组管理 > 带宽管理”,进入如图7-29所示的页面。

图7-29 带宽管理

 

带宽管理的详细配置说明如表7-18所示。

表7-18 带宽管理的详细配置说明

配置项

说明

请选择一个用户组

设置要进行带宽管理的用户组

当设备上的用户组数大于1时,此配置项可以选择“all”,表示对当前设备上所有用户组进行带宽管理

CIR

设置承诺信息速率,即允许的流的平均速率

CBS

设置承诺突发尺寸,即每次突发所允许的最大的流量尺寸

CBS值必须大于最大报文长度

提示

如果不指定CBS,则CBS默认为500毫秒以CIR速率通过的流量,但不会超过CBS的取值范围

 

7.6.8  配置外网访问控制

在导航栏中选择“高级配置 > 用户组管理 > 外网访问控制”,进入如图7-30所示的页面。

图7-30 外网访问控制

 

外网访问控制的详细配置说明如表7-19所示。

表7-19 外网访问控制的详细配置说明

配置项

说明

请选择一个用户组

设置要进行外网访问控制的用户组

当设备上的用户组数大于1时,此配置项可以选择“all”,表示对当前设备上所有用户组进行外网访问控制

协议

设置IP承载的协议类型

目的IP地址

设置报文的目的IP地址和通配符

目的通配符

源端口

操作

设置TCP/UDP报文的源端口信息

只有配置项“协议”选择为“6 TCP”或“17 UDP”时,才可以配置。

在“操作”下拉框中选择端口操作符

·     选择“NotCheck”时,开始和结束端口均不可以配置

·     选择“Range”时,开始和结束端口都要配置,共同确定一个端口号范围

·     选择其它选项时,开始要配置,结束端口不可以配置

开始端口

结束端口

目的端口

操作

设置TCP/UDP报文的目的端口信息

只有配置项“协议”选择为“6 TCP”或“17 UDP”时,才可以配置。

在“操作”下拉框中选择端口操作符

·     选择“NotCheck”时,开始和结束端口均不可以配置

·     选择“Range”时,开始和结束端口都要配置,共同确定一个端口号范围

·     选择其它选项时,开始要配置,结束端口不可以配置

开始端口

结束端口

 

7.6.9  WAN口同步(可选步骤)

在导航栏中选择“高级配置 > 用户组管理 > 群组设置”,单击“WAN口同步”页签,进入WAN口同步页面,如图7-31所示。单击<同步>按钮,执行WAN口同步操作。

图7-31 WAN口同步

 

7.7  MSTP设置

7.7.1  配置MSTP

(1)     在导航栏中选择“高级配置 > MSTP > MSTP域”,进入MSTP域的显示界面,如图7-32所示。

图7-32 MSTP

 

(2)     单击<修改>按钮,进入MSTP域的配置页面,如图7-33所示。

图7-33 修改MSTP

 

MSTP域的详细配置说明如表7-20所示。

表7-20 MSTP域的详细配置说明

配置项

说明

域名

设置MST域的域名

缺省情况下,MST域的域名为设备的桥MAC地址

修订级别

设置MST域的修订级别

手工设置

实例

设置手工添加生成树实例ID与VLAN ID的映射关系

单击<应用>按钮即可向下方的列表中添加一对实例ID与VLAN ID的映射关系

VLAN ID

<应用>

按模设置

通过下拉框选择生成树实例的数目,并以该值为模值,自动将4094个VLAN按模分配到相应的生成树实例中

<激活>

使生成树实例和VLAN的映射关系、域名、修订级别生效

 

7.7.2  配置MSTP端口

(1)     在导航栏中选择“高级配置 > MSTP > MSTP端口”,进入端口的MSTP信息显示页面,如图7-34所示。

图7-34 MSTP端口

 

(2)     单击端口对应的图标,进入MSTP端口特性的配置页面,如图7-35所示。

图7-35 MSTP端口配置

 

MSTP端口特性的详细配置说明如表7-21所示。

表7-21 MSTP端口特性的详细配置说明

配置项

说明

端口号

设置要配置的端口

STP状态

设置是否使能端口STP功能

·     Enable:使能端口STP功能

·     Disable:禁止端口STP功能

保护类型

设置端口上使能的保护类型

·     Not Set:不使能任何保护类型

·     Edged Port、Root Protection、Loop Protection:参见表7-22

点对点连接

设置端口是否与点到点链路相连

·     Auto:将自动检测端口是否与点到点链路相连

·     Force False:端口没有与点到点链路相连

·     Force True:端口与点到点链路相连

传输限制

设置端口在每个Hello Time内发送MSTP报文的最大个数

如果配置的值过大,会占用过多的网络资源,建议使用缺省值

执行mCheck操作

如果交换网络中存在运行STP的设备,与STP设备相连的端口会自动从MSTP模式迁移到STP兼容模式。STP设备被拆除后,端口是否会自动迁移回MSTP模式由该参数决定

·     Enable:执行mCheck操作,端口将自动从STP兼容模式迁移回MSTP模式

·     Disable:不执行mCheck操作,端口不会自动从STP兼容模式迁移回MSTP模式

实例

实例ID

设置生成树实例的ID

端口优先级

设置该生成树实例中端口的优先级

端口优先级是该端口是否会被选为根端口的重要依据

路径开销

手动输入路径开销值或选择“自动计算”来生成路径开销

 

表7-22 保护类型说明表

保护类型

说明

Edged Port

边缘端口。接入层设备的一些端口会直连PC、文件服务器等不会产生配置消息的设备。在这些端口上使能这一功能可以实现端口的快速迁移

使能Edged Port功能时,建议同时使能BPDU保护功能,以防止边缘端口收到配置消息而引起的网络震荡

Root Protection

根保护功能。由于维护人员的错误配置或网络中的恶意攻击,网络中可能会出现优先级更高的配置消息,这样会导致STP重新计算,从而引起网络拓扑结构的错误变动。Root Protection可以防止此类情况出现

Loop Protection

环路保护功能。设备通过不断接收上游设备发送的配置消息来维持根端口及其他端口的状态。由于链路拥塞或单向链路故障,端口可能无法收到上游设备的配置消息。此时设备会重新选择根端口,阻塞端口可能会迁移到转发状态,在交换网络中形成环路。Loop Protection可以防止此类环路产生

 

7.7.3  配置MSTP全局

在导航栏中选择“高级配置 > MSTP > MSTP全局”,进入MSTP全局配置页面,如图7-36所示。

图7-36 MSTP全局

 

MSTP全局特性的详细配置说明如表7-23所示。

表7-23 MSTP全局特性的详细配置说明

配置项

说明

全局STP使能

设置是否使能全局STP功能

·     Enable:使能全局STP功能

·     Disable:禁止全局STP功能

使能全局STP功能后,MSTP的其它配置才能生效

BPDU保护

设置是否使能BPDU保护功能

·     Enable:使能全局BPDU保护功能

·     Disable:禁止全局BPDU保护功能

使能BPDU保护功能可以防止人为伪造配置消息恶意攻击设备,避免网络震荡

模式

设置STP的工作模式,包括STP、RSTP和MSTP

·     STP:在STP模式下,设备的各个端口将向外发送STP BPDU报文

·     RSTP:在RSTP模式下,设备的各个端口将向外发送RSTP BPDU报文,当发现与运行STP的设备相连时,该端口会自动迁移到STP模式下工作

·     MSTP:在MSTP模式下,设备的各个端口将向外发送MSTP BPDU报文,当发现与运行STP的设备相连时,该端口会自动迁移到STP模式下工作

最大跳数

设置MST域的最大跳数,该参数决定了MST域的规模

只有在域根上配置的该参数才会在域内生效,在非域根上的配置无效

路径开销标准

设置设备计算端口路径开销值时采用的标准(算法),包括Legacy、IEEE 802.1D-1998和IEEE 802.1T

网络直径

网络中任意两台主机都通过特定的路径彼此相连,每条路径上都有一定数量的网络设备,网络直径就是设备最多的那条路径上的设备个数

设置网络直径后,无法配置定时器的值,因为设备会自动计算Forward Delay、Hello Time和Max Age

提示

·     网络直径只对CIST有效,对MSTI无效,且只能在根桥上进行配置才会生效。每个MST域看作是一台设备

·     网络直径和定时器不能同时配置,设置网络直径后,设备会自动计算Forward Delay、Hello Time和Max Age

定时器

Forward Delay

设置设备状态迁移的延迟时间

Forward Delay时间的长短与交换网络的网络直径有关。一般来说,网络直径越大,Forward Delay时间就应该配置得越长。如果Forward Delay时间配置得过小,可能引入临时的冗余路径;如果Forward Delay时间配置得过大,网络可能较长时间不能恢复连通。建议用户采用缺省值

提示

·     根桥Forward Delay、Hello Time和Max Age的取值需要满足一定关系,否则会引起网络频繁震荡。建议用户指定设备的网络直径,由设备自动计算Forward Delay、Hello Time和Max Age

·     定时器和网络直径不能同时配置

Hello Time

设置设备为检测链路故障,发送hello报文的周期

合适的Hello Time时间可以保证设备能够及时发现网络中的链路故障,又不会占用过多的网络资源。如果Hello Time时间配置得过长,在链路发生丢包时,设备会误以为链路出现了故障,从而引发网络设备重新计算生成树;如果Hello Time时间配置得过短,设备将频繁发送重复的配置消息,增加了设备的负担,浪费了网络资源。建议用户采用缺省值

Max Age

设置消息在设备内保存的最大时长

如果Max Age时间配置得过小,网络设备会频繁地计算生成树,而且有可能将网络拥塞误认成链路故障;如果Max Age时间配置得过大,网络设备很可能不能及时发现链路故障,不能及时重新计算生成树,从而降低网络的自适应能力。建议用户采用缺省值

实例

实例ID

设置待配置的生成树实例的ID

根类型

设备在生成树实例中的角色

·     Not Set:不配置

·     Primary:配置为根桥

·     Secondary:配置为备份根桥

设备被配置为根桥或备份根桥后,无法配置桥优先级

桥优先级

设备的桥优先级,该参数为设备能否被选为根桥的因素之一

TC保护功能

设置是否使能TC-BPDU报文攻击的保护功能

设备在接收到TC-BPDU报文后,会执行转发地址表项的刷新操作。在有人伪造TC-BPDU报文恶意攻击设备时,设备短时间内会收到很多的TC-BPDU报文,频繁的刷新操作给设备带来很大负担,给网络的稳定带来很大隐患。通过在设备上使能防止TC-BPDU报文攻击的保护功能,可以避免频繁地刷新转发地址表项

提示

建议用户不要将此保护功能关闭

TC报文删除转发表项门限

设置设备在收到TC-BPDU报文后的一定时间内,允许收到TC-BPDU报文后立即刷新转发地址表项的最高次数

 

7.8  RADIUS设置

RADIUS远程认证拨号用户服务是实现认证、授权和计费的一种最常用的协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。

7.8.1  RADIUS 服务器配置(以iMC为例简述)

(1)     登录进入iMC管理平台,选择“业务”页签,单击导航树中的“接入业务 > 接入设备配置”菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入增加接入设备页面,进行配置,如图7-37所示。

图7-37 增加接入设备

 

(2)     选择“用户”页签,单击导航树中的“接入用户视图 > 设备管理用户”菜单项,进入设备管理用户列表页面,在该页面中单击<增加>按钮,进入增加设备管理页面,进行配置,如图7-38所示。

图7-38 增加设备管理用户

 

(3)     单击<确定>按钮完成操作。

7.8.2  设备RADIUS配置

(1)     在导航栏中选择“高级配置 > RADIUS”,进入如图7-39所示的页面。

图7-39 RADIUS

 

(2)     单击<新建>按钮,进入新建RADIUS方案的配置页面,如图7-40所示。

图7-40 新建RADIUS方案

 

RADIUS方案的详细配置说明如表7-24所示。

表7-24 RADIUS方案的详细配置说明

配置项

说明

方案名称

设置RADIUS方案的名称

通用配置

设置RADIUS方案的通用参数,包括服务类型、用户名格式、认证/计费服务器共享密钥等,详细配置请参见“7.8.3  通用配置

RADIUS服务器配置

设置RADIUS认证服务器和计费服务器信息,详细配置请参见“7.8.4  RADIUS服务器配置

 

7.8.3  通用配置

单击“高级”前的扩展按钮,可以展开通用参数中的高级配置,如图7-41所示。

图7-41 通用配置

 

通用参数的详细配置说明如表7-25所示。

表7-25 通用参数的详细配置说明

配置项

说明

服务类型

设置设备支持的RADIUS服务器类型:

·     Standard:要求RADIUS客户端和RADIUS服务器按照标准RADIUS协议(RFC 2865/2866或更新)的规程和报文格式进行交互

·     Extended:要求RADIUS客户端和RADIUS服务器按照私有RADIUS协议的规程和报文格式进行交互,一般为CAMS/iMC

用户名格式

设置发送给RADIUS服务器的用户名格式,包括:保持用户原始输入、带域名、不带域名

接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为域名,如果RADIUS服务器不接受带域名的用户名,可以配置将域名去除后再传送给服务器

认证服务器共享密钥

设置RADIUS认证报文的共享密钥和RADIUS计费报文的共享密钥

RADIUS客户端与服务器使用MD5算法来加密RADIUS报文,通过共享密钥验证报文的合法性。只有在密钥一致的情况下,彼此才能接收对方发来的报文并作出响应

提示

设备优先采用“RADIUS服务器配置”中指定的共享密钥,此处指定的共享密钥仅在“RADIUS服务器配置”中未指定相应共享密钥的情况下使用

确认认证服务器共享密钥

计费服务器共享密钥

确认计费服务器共享密钥

静默时间间隔

设置RADIUS服务器恢复active状态的时间

若主服务器不可达是网络端口短暂中断或者服务器忙碌造成的,则可以结合网络的实际运行状况,将静默时间间隔设置为0,使认证和计费尽可能的集中在主服务器上进行。当静默时间间隔为0时,若当前用户使用的服务器不可达,则设备保持active状态不进行切换,并将当前用户的认证或计费请求报文发送给下一个active状态的服务器,而后续其它用户的认证或计费请求报文仍然可以发送给该服务器进行处理

服务器应答超时时间

设置RADIUS服务器应答超时时间

如果在RADIUS认证请求或计费请求报文传送出去一段时间后,设备还没有得到服务器的应答,则有必要重传请求报文,以保证用户确实能够得到RADIUS服务,这段时间被称为服务器应答超时时间。根据网络状况合理设置该超时时间,可以提高系统性能

提示

服务器应答超时时间和RADIUS报文最大尝试发送次数的乘积不能大于75

RADIUS报文最大尝试发送次数

设置由于RADIUS服务器未响应或未及时响应设备发送的RAIUDS报文,设备尝试向该服务器发送RADIUS报文的最大次数

实时计费间隔

设置向RADIUS服务器发送在线用户计费信息的时间间隔,取值必须为3的整数倍

实时计费间隔的取值对NAS和RADIUS服务器的性能有一定的要求,取值越小,对二者的性能要求越高。建议当用户量较大(≥1000)时,尽量把该间隔的值设置得大一些。

实时计费报文最大发送次数

设置允许实时计费请求无响应的最大次数

流量数据的单位

设置发送到RADIUS服务器的流量数据的单位,包括:Byte(字节)、Kilo-byte(千字节)、Mega-byte(兆字节)、Giga-byte(千兆字节)

数据包的单位

设置发送到RADIUS服务器的数据包的单位,包括:One-packet(包)、Kilo-packet(千包)、Mega-packet(兆包)、Giga-packet(千兆包)

VPN

设置RADIUS方案所属的VPN实例

此处设置的VPN对于该方案下的所有RADIUS认证和计费服务器生效,但设备优先使用配置RADIUS认证和计费服务器时为各服务器单独指定的VPN

提示

此配置项的支持情况与设备的具体型号有关,请以设备的实际情况为准

安全策略服务器IP地址

设置安全策略服务器的IP地址

RADIUS报文源IP地址

设备向RADIUS服务器发送RADIUS报文时使用的源IP地址

为了避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址

缓存未得到响应的停止计费报文

设置当出现没有得到响应的停止计费请求时,是否将该报文存入设备缓存后,并制定允许停止计费请求无响应的最大次数

停止计费报文最大发送次数

启用accounting-on报文发送功能

设置是否启用accounting-on报文发送功能,并指定accounting-on报文的重发时间间隔和最大发送次数

在启用accounting-on报文发送功能的情况下,设备重启后,会发送accounting-on报文通知RADIUS服务器,要求服务器强制该设备的用户下线

提示

启用accounting-on报文发送功能后,请保存配置,以保证功能在设备重启后生效

accounting-on发送间隔

accounting-on发送次数

属性

设置开启RADIUS Attribute 25的CAR参数解析功能

属性值类型

 

7.8.4  RADIUS服务器配置

在“RADIUS服务器配置”中单击<添加>按钮,弹出如图7-42所示的页面,可以为RADIUS方案添加RADIUS服务器。

图7-42 添加RADIUS服务器

 

RADIUS服务器的详细配置说明如表7-26所示。

表7-26 RADIUS服务器的详细配置说明

配置项

说明

服务器类型

设置要添加的RADIUS服务器类型,包括:主认证服务器、主计费服务器、备份认证服务器、备份计费服务器

IP地址

设置RADIUS服务器的IP地址,可以配置IPv4地址或IPv6地址

提示

·     主认证服务器和备份认证服务器的IP地址不能相同,主计费服务器和备份计费服务器的IP地址不能相同

·     同一RADIUS方案中所有RADIUS服务器的IP地址协议版本必须一致

端口

设置RADIUS服务器的UDP端口号

密钥

设置RADIUS服务器的共享密钥

当RADIUS服务器中未指定共享密钥时,使用RADIUS方案的通用配置中指定的共享密钥

确认密钥

VPN

设置RADIUS服务器所属的VPN实例

当RADIUS服务器中未指定VPN时,使用RADIUS方案的通用配置中指定的VPN

 

7.9  ARP防攻击配置

7.9.1  配置免费ARP定时发送功能

在导航栏中选择“高级配置 > ARP防攻击 > 免费ARP定时发送”,进入如图7-43所示的页面。

图7-43 免费ARP定时发送

 

免费ARP定时发送功能的详细配置说明如表7-27所示。

表7-27 免费ARP定时发送功能的详细配置说明

配置项

说明

定时发送接口

设置定时发送免费ARP报文的接口和发送间隔时间

在“待选接口”框中选中要设置的接口,指定发送间隔时间,单击“<<”按钮,可将设置添加到“定时发送接口”框中;在“定时发送接口”框中选中接口和发送间隔时间的组合,单击“>>”按钮,可将其从“定时发送接口”框中删除

提示

·     设备最多允许同时在1024个接口上使能定时发送免费ARP功能

·     配置免费ARP定时发送功能后,只有当接口链路Up并且配置IP地址后,此功能才真正生效

·     如果修改了免费ARP报文的发送间隔时间,则在下一个发送周期才能生效

·     如果同时在很多接口下使能本功能,或者每个接口有大量的从IP地址,或者两种情况共存的同时又配置很小的发送间隔时间,那么免费ARP报文的发送频率可能会远远低于用户的预期

·     不要在配置了VRRP备份组的接口下使能免费ARP定时发送功能

 

7.9.2  配置ARP自动扫描功能

说明

·     建议用户在ARP自动扫描期间不要进行其他操作。

·     ARP自动扫描操作可能比较耗时,用户可以通过单击页面中的<中止>按钮来终止扫描。

 

在导航栏中选择“高级配置 > ARP防攻击 > 扫描”,进入如图7-44所示的页面。

图7-44 扫描

 

ARP自动扫描功能的详细配置如表7-28所示。

表7-28 ARP自动扫描功能的详细配置

配置项

说明

接口

设置进行ARP自动扫描的接口

开始IP地址

设置ARP自动扫描区间的开始IP地址和结束IP地址

·     如果用户知道局域网内邻居分配的IP地址范围,指定了ARP自动扫描区间,则对该范围内的邻居进行扫描,减少扫描等待的时间。如果指定的扫描区间同时在接口下多个IP地址的网段内,则发送的ARP请求报文的源IP地址选择网段范围较小的接口IP地址

·     如果不指定ARP自动扫描区间的开始IP地址和结束IP地址,则仅对接口下的主IP地址网段内的邻居进行扫描。其中,发送的ARP请求报文的源IP地址就是接口的主IP地址

提示

·     开始IP地址和结束IP地址必须同时设置或同时不设置

·     开始IP地址和结束IP地址必须与接口的IP地址(主IP地址或手工配置的从IP地址)在同一网段,且开始IP地址必须小于或等于结束IP地址

结束IP地址

对已存在ARP表项的IP地址也进行扫描

设置是否对已存在ARP表项的IP地址也进行ARP自动扫描

 

完成上述配置后,单击<开始>按钮,即可开始进行ARP自动扫描;单击<中止>按钮,即可中止扫描。扫描完成后,页面上将显示“扫描完成”的提示,用户可以到“高级配置 > ARP防攻击 > 固化”中查看扫描生成的动态ARP表项。

7.9.3  配置ARP固化功能

说明

·     固化后的静态ARP表项与配置产生的静态ARP表项完全相同。

·     固化生成的静态ARP表项数量同样受到设备可以支持的静态ARP表项数目的限制,由于静态ARP表项数量的限制可能导致只有部分动态ARP表项被固化。

·     如果用户执行固化前有D个动态ARP表项,S个静态ARP表项,由于固化过程中存在动态ARP表项的老化或者新建动态ARP表项的情况,所以固化后的静态ARP表项可能为(D+S+M-N)个。其中,M为固化过程中新建的动态ARP表项个数,N为固化过程中老化的动态ARP表项个数。

 

在导航栏中选择“高级配置 > ARP防攻击 > 固化”,进入如图7-45所示的页面。页面显示所有静态ARP表项(包括手工配置的和固化生成的)和动态ARP表项的信息。

图7-45 固化

 

ARP固化功能的详细配置说明如表7-29所示。

表7-29 ARP固化功能的详细配置说明

功能

配置方法

将所有动态ARP表项固化为静态ARP表项

单击<全部固化>按钮

将指定的动态ARP表项固化为静态ARP表项

选中指定动态ARP表项前的复选框,单击<固化>按钮

将所有静态ARP表项删除

单击<解除全部固化>按钮

将指定的静态ARP表项删除

选中指定静态ARP表项前的复选框,单击<解除固化>按钮

 

7.10  ARP设置

7.10.1  ARP基础配置

1. 查看ARP表项

在导航栏中选择“高级配置 > ARP管理 > ARP表”,进入如图7-46所示的页面。

图7-46 ARP

 

2. 新建静态ARP表项

在导航栏中选择“高级配置 > ARP管理 > ARP表”,进入如图7-46所示的页面。单击<新建>按钮,进入新建静态ARP表项的配置页面,如图7-47所示。

图7-47 新建静态ARP表项

 

静态ARP表项的详细配置说明如表7-30所示。

表7-30 静态ARP表项的详细配置说明

配置项

说明

IP地址

设置静态ARP表项的IP地址

MAC地址

设置静态ARP表项的MAC地址

高级选项

VLAN ID

设置静态ARP表项所属的VLAN和接口名称

提示

指定的VLAN ID必须是已经创建好的VLAN的ID,且指定的接口必须属于这个VLAN;指定的VLAN ID对应的VLAN接口必须已经创建

端口

VPN实例

设置静态ARP表项所属的VPN实例的名称

 

3. 删除ARP表项

在导航栏中选择“高级配置 > ARP管理 > ARP表”,进入ARP表的显示页面,如图7-46所示。删除ARP表项的详细配置如表7-31所示。

表7-31 删除ARP表项的详细配置

功能

配置方法

删除指定的ARP表项

在列表中选中指定ARP表项前的复选框,单击<删除选中>按钮

删除所有静态和动态ARP表项

单击<删除所有静态和动态表项>按钮

删除所有静态ARP表项

单击<删除所有静态表项>按钮

删除所有动态ARP表项

单击<删除所有动态表项>按钮

 

4. 配置接口的动态ARP表项学习功能

在导航栏中选择“高级配置 > ARP管理 > 动态表项管理”,进入如图7-48所示的页面。

图7-48 动态表项管理

 

接口动态ARP表项学习功能的详细配置说明如表7-32所示。

表7-32 接口动态ARP表项学习功能的详细配置说明

功能

配置方法

禁止列表中所有接口学习动态ARP表项

单击<禁止所有接口学习>按钮

禁止指定接口学习动态ARP表项

在列表中选中指定接口前的复选框,单击<禁止选中接口学习>按钮

允许列表中所有接口学习动态ARP表项

单击<允许所有接口学习>按钮

允许指定接口学习动态ARP表项

在列表中选中指定接口前的复选框,单击<允许选中接口学习>按钮

修改指定接口允许学习动态ARP表项的最大数目

在列表中单击指定接口对应的icon_mdf图标,进入如图7-49所示的页面进行配置,并单击<确定>按钮完成操作

当最大学习个数指定为0时,表示禁止接口学习动态ARP表项

 

图7-49 修改接口配置

 

说明

在列表显示页面中通过按钮设置允许接口学习动态ARP表项后,接口允许学习ARP表项的数目将恢复为缺省值。

 

5. 配置免费ARP功能

在导航栏中选择“高级配置 > ARP管理 > 免费ARP”,进入如图7-50所示的页面。

图7-50 免费ARP

 

免费ARP功能的详细配置说明如表7-33所示。

表7-33 免费ARP功能的详细配置说明

配置项

说明

关闭学习免费ARP报文

设置关闭免费ARP报文学习功能

收到非同一网段ARP请求时发送免费ARP报文

设置使能收到非同一网段ARP请求时发送免费ARP报文功能

 


8 VPN设置

8.1  IPSec VPN设置

IPsec(IP Security,IP安全)是IETF制定的三层隧道加密协议,它为Internet上数据的传输提供了高质量的、可互操作的、基于密码学的安全保证,是一种传统的实现三层VPN(Virtual Private Network,虚拟专用网络)的安全技术。

8.1.1  配置IPsec连接

在导航栏中选择“VPN > IPsec VPN”,默认进入“IPsec连接”页签的页面,如图8-1所示。单击<新建>按钮,进入新建IPsec连接的页面,如图8-2所示。

图8-1 IPsec连接

 

图8-2 新建IPsec连接

 

新建IPsec连接的详细配置说明如表8-1所示。

表8-1 新建IPsec连接的详细配置说明

配置项

说明

IPsec连接名称

设置IPsec连接的名称

接口

设置要通过该IPsec连接加/解密的数据流所在的接口

组网模式

设置IPsec连接的组网模式,包括站点到站点和PC到站点

对端网关地址/主机名

设置IPSec连接对端安全网关的地址,可以是IP地址或主机名

·     对端网关地址可以是一个IP地址,也可以是一个IP地址范围。若本端为IKE协商的发起端,则此配置项所配的IP地址必须唯一,且与响应端的“本端网关地址”保持一致;若本端为IKE协商的响应端,则此配置项所配的IP地址必须包含发起端的“本端网关地址”

·     对端网关主机名是IPsec对端在网络中的唯一标识,可被DNS服务器解析为IP地址。采用主机名时,本端可以作为IKE协商的发起端

本端网关地址

设置IKE协商时的本端网关的IP地址

缺省情况下,本端网关地址使用应用IPsec连接的接口的主地址

提示

一般情况下本端网关地址不需要配置,只有当用户需要指定特殊的本端网关地址时(如指定loopback接口地址)才需要配置。而发起端的对端网关地址/主机名需要配置,它们用于发起方在协商过程中寻找对端

认证方式

设置IKE协商采用的认证方式

·     预共享密钥:表示采用预共享密钥认证,此时要设置所使用的预共享密钥,输入的密钥和确认密钥必须一致

·     证书:表示采用数字签名认证,此时要选择一个本地证书的主题。可选的本地证书在“证书管理”中配置

对端ID类型

设置IKE第一阶段的协商过程中使用的对端ID的类型

·     IP地址:表示选择IP地址作为IKE协商过程中使用的ID

·     FQDN:表示选择FQDN(Fully Qualified Domain Name,完全合格域名)类型的名称作为IKE协商过程中使用的ID。选择此项时需要指定对端网关ID

提示

·     当IKE协商的发起端配置了本端ID类型为“FQDN”或“User FQDN”时,发起端会发送自己的本端网关ID给对端来标识自己的身份,而对端使用对端网关ID来认证发起端,故对端网关ID应与发起端上的本端网关ID保持一致

·     当交换模式为“主模式”时,只能使用IP地址进行IKE协商,建立安全联盟

本端ID类型

设置IKE第一阶段的协商过程中使用的本端ID的类型

·     IP地址:表示选择IP地址作为IKE协商过程中使用的ID

·     FQDN:表示选择FQDN类型的名称作为IKE协商过程中使用的ID。选择此项时需要指定本端网关ID,并且为保证IKE协商成功,建议本端网关ID配置为不携带@字符的字符串,例如foo.bar.com

·     User FQDN:表示选择User FQDN类型的名称作为IKE协商过程中使用的ID。选择此项时需要指定本端网关ID,并且为保证IKE协商成功,建议IKE本端名称配置为携带@字符的字符串,例如test@foo.bar.com

筛选方式

设置筛选需要被IPsec保护的数据流的方式

·     流量特征:表示根据指定条件对数据流进行过滤,筛选出要IPsec保护的数据流。选择此项时需要指定匹配条件,即源地址/通配符和目的地址/通配符

·     对端指定:表示要保护什么样的数据流由对端的设置决定

提示

·     为保证SA的成功建立,建议将IPsec对等体上的流量特征配置为完全镜像对称。否则,只有一种情况下可以建立SA,即对等体一段的流量特征是另一端的子集。但需要注意的是,在这种情况下,只有流量特征范围小的一端向范围大的一端发起的协商才能成功

·     筛选方式设置为“对端指定”的一端不能作为协商的发起端

源地址/通配符

目的地址/通配符

反向路由注入

设置开启或关闭反向路由注入功能,启用反向路由注入时可以配置下一跳和优先级

启用反向路由注入功能后,可以随IPsec SA的建立自动生成到达IPsec VPN私网或隧道网关的静态路由,减少手工静态路由的配置

提示

·     本端设备启用反向路由注入后,可以不配置到对端的路由。此时,只能由对端发起SA协商。协商成功后,本端会生成到达对端私网的静态路由

·     反向路由注入功能动态生成的静态路由随IPsec SA的创建而创建,随IPsec SA的删除而删除

·     反向路由注入生成的静态路由可以在“应用配置 > 路由设置 [显示]”的页面中查看

下一跳

当开启反向路由注入时,设置生成的静态路由的下一跳地址

不指定此项时,使用本端在IPsec SA协商过程中学习到的隧道的对端地址作为下一跳

优先级

当开启反向路由注入时,设置生成的静态路由的优先级

通过指定反向路由注入生成的静态路由的优先级,可以更灵活地应用路由管理策略。例如:当设备上还有其他方式配置的到达相同目的地的路由时,如果为他们指定相同优先级,则可实现负载分担,如果指定不同优先级,则可实现路由备份

第一阶段

交换模式

设置IKE第一阶段的交换模式为主模式或野蛮模式

提示

·     当安全隧道一端的IP地址为自动获取时,必须将交换模式配置为“野蛮模式”。这种情况下,只要建立安全联盟时使用的用户名和密码正确,就可以建立安全联盟

·     此处配置的交换模式表示本端作为发起方时所使用的交换模式,响应端将自动适配发起端的交换模式

认证算法

设置IKE协商采用的认证算法

·     SHA1:采用HMAC-SHA1认证算法

·     MD5:采用HMAC-MD5认证算法

加密算法

设置IKE协商采用的加密算法

·     DES-CBC:采用CBC模式的DES算法,采用56bits的密钥进行加密

·     3DES-CBC:采用CBC模式的3DES算法,采用168bits的密钥进行加密

·     AES-128:采用CBC模式的AES算法,采用128bits的密钥进行加密

·     AES-192:采用CBC模式的AES算法,采用192bits的密钥进行加密

·     AES-256:采用CBC模式的AES算法,采用256bits的密钥进行加密

 

DH

设置IKE第一阶段密钥协商时采用的DH密钥交换参数

·     Diffie-Hellman Group1:采用768-bit的Diffie-Hellman组

·     Diffie-Hellman Group2:采用1024-bit的Diffie-Hellman组

·     Diffie-Hellman Group5:采用1536-bit的Diffie-Hellman组

·     Diffie-Hellman Group14:采用2048-bit的Diffie-Hellman组

SA的生存周期

设置IKE协商的ISAKMP SA生存周期

在设定的生存周期超时前,会提前协商另一个SA来替换旧的SA。在新的SA还没有协商完之前,依然使用旧的SA;在新的SA建立后,将立即使用新的SA,而旧的SA在生存周期超时后,被自动清除

提示

如果SA生存周期超时,ISAKMP SA将自动更新。因为IKE协商需要进行DH计算,在低端设备上需要经过较长的时间,为使ISAKMP SA的更新不影响安全通信,建议设置SA生存周期大于10分钟

第二阶段

协议

设置IPsec协商采用的安全协议

·     ESP:表示采用ESP协议

·     AH:表示采用AH协议

·     AH-ESP:表示先用ESP协议对报文进行保护,再用AH协议进行保护

AH认证算法

当协议选择“AH”或“AH-ESP”时,设置AH协议采用的认证算法

可选的认证算法有MD5和SHA1

ESP认证算法

当安全协议选择“ESP”或“AH-ESP”时,设置ESP协议采用的认证算法

可选的认证算法有MD5和SHA1,选择NULL表示不进行ESP认证

提示

ESP认证算法和ESP加密算法不能同时设置为NULL

ESP加密算法

当安全协议选择“ESP”或“AH-ESP”时,设置ESP协议采用的加密算法

·     3DES:表示采用3DES算法,采用168bits的密钥进行加密

·     DES:表示采用DES算法,采用56bits的密钥进行加密

·     AES128:表示采用AES算法,采用128bits的密钥进行加密

·     AES192:表示采用AES算法,采用192bits的密钥进行加密

·     AES256:表示采用AES算法,采用256bits的密钥进行加密

·     NULL:表示不进行ESP加密

提示

·     对于保密及安全性要求非常高的地方,采用3DES算法可以满足需要,但3DES加密速度比较慢;对于普通的安全要求,DES算法就可以满足需要

·     ESP认证算法和ESP加密算法不能同时设置为NULL

封装模式

设置安全协议对IP报文的封装模式

·     Tunnel:表示采用隧道模式

·     Transport:表示采用传输模式

 

PFS

设置使用此IPsec连接发起协商时是否使用PFS(Perfect Forward Secrecy,完善的前向安全性)特性,并指定采用的Diffie-Hellman组:

·     None:表示不使用PFS特性

·     Diffie-Hellman Group1:表示使用PFS特性,采用768-bit Diffie-Hellman组

·     Diffie-Hellman Group2:表示使用PFS特性,采用1024-bit Diffie-Hellman组

·     Diffie-Hellman Group5:表示使用PFS特性,采用1536-bit Diffie-Hellman组

·     Diffie-Hellman Group14:表示使用PFS特性,采用2048-bit Diffie-Hellman组

提示

·     DH Group14、DH Group5、DH Group2、DH Group1的安全性和需要的计算时间依次递减

·     IPsec在使用配置了PFS的IPsec连接发起一个协商时,在第二阶段的协商中进行一次附加的密钥交换以提高通讯的安全性

·     本端和对端指定的Diffie-Hellman组必须一致,否则协商会失败

SA的生存周期

设置安全策略的SA生存周期,包括基于时间的生存周期和基于流量的生存周期

提示

IKE为IPsec协商建立安全联盟时,采用本地配置的生存周期和对端提议的生存周期中较小的一个

启用DPD功能

设置是否启用DPD功能

DPD(Dead Peer Detection,对等体存活检测)用于IKE对等体存活状态的检测。启用DPD功能后,当本端需要向对端发送IPsec报文时,若判断当前距离最后一次收到对端IPsec报文已经超过触发DPD的时间间隔,则触发DPD查询,本端主动向对端发送DPD请求报文,对IKE对等体是否存活进行检测。如果本端在指定的等待DPD响应报文的时间内未收到对端发送的DPD响应报文,则重传DPD请求,缺省重传两次之后,若仍然没有收到对端的DPD响应报文,则删除该IKE SA和对应的IPsec SA

触发DPD的时间间隔

当启用DPD功能时,设置经过多长时间没有从对端收到IPSec报文,则触发DPD查询

等待DPD响应报文的时间

当启用DPD功能时,设置经过多长时间没有收到DPD响应报文,则重传DPD报

 

8.1.2  管理IPsec VPN监控信息

在导航栏中选择“VPN > IPsec VPN”,单击“监控信息”页签,可以查看IPsec连接的配置及状态信息。选中某连接前的复选框,在“隧道列表”中将显示该连接下已建立的隧道信息,如图8-3所示。

·     单击<删除ISAKMP SA>按钮,可以删除已建立的ISAKMP SA。

·     选中某连接后单击<删除选中连接的所有隧道>按钮,可以删除选中连接下所有已建立的IPsec隧道。

图8-3 监控信息

 

IPsec连接信息的详细说明如表8-2所示,IPsec隧道信息的详细说明如表8-3所示。

表8-2 IPsec连接信息的详细说明

标题项

说明

连接状态

当前连接的状态,包括:

·     Connected:已连接

·     Disconnected:未连接

·     Unconfigured:当前IPsec连接被关闭

最近一次连接错误

最近一次连接所发生的错误,包括:

·     ERROR_NONE:没有发生错误

·     ERROR_QM_FSM_ERROR:状态机错误

·     ERROR_PHASEI_FAIL:第一阶段发生错误

·     ERROR_PHASEI_PROPOSAL_UNMATCHED:没有匹配的第一阶段安全提议

·     ERROR_PHASEII_PROPOSAL_UNMATCHED:没有匹配的第二阶段安全提议

·     ERROR_NAT_TRAVERSAL_ERROR:NAT穿越错误

·     ERROR_PHASEII_FAIL:第二阶段发生错误

·     ERROR_INVALID_SPI:SPI错误

·     ERROR_UNKNOWN:未知错误

 

表8-3 IPsec隧道信息的详细说明

标题项

说明

流量特征

IPsec隧道所保护的数据流的特征,包括:源地址/通配符、目的地址/通配符、协议、源端口、目的端口

SPI

出方向和入方向的安全策略索引和采用的安全协议

 

8.2  L2TP VPN设置

VPDN(Virtual Private Dial-up Network,虚拟专用拨号网络)是指利用公共网络(如ISDN或PSTN)的拨号功能接入公共网络,实现虚拟专用网,从而为企业、小型ISP、移动办公人员等提供接入服务。即,VPDN为远端用户与私有企业网之间提供了一种经济而有效的点到点连接方式。

L2TP(Layer 2 Tunneling Protocol,二层隧道协议)是目前使用最广泛的VPDN隧道协议。

8.2.1  L2TP VPN配置

(1)     在导航栏中选择“VPN > L2TP > L2TP配置”,进入如图8-4所示的页面。

(2)     在页面的上半部分选中“启用L2TP功能”前的复选框。

(3)     单击<确定>按钮完成操作。

图8-4 L2TP配置

 

(4)     单击<新建>按钮,进入新建L2TP用户组的配置页面,如下图所示。

图8-5 新建L2TP用户组

 

(5)     配置L2TP用户组的信息,详细配置如下表所示。

(6)     单击<确定>按钮完成操作。

表8-4 新建L2TP用户组的详细配置

配置项

说明

L2TP用户组名称

设置L2TP用户组的名称

对端隧道名称

设置对端的隧道名称

本端隧道名称

设置本端的隧道名称

隧道验证

设置是否在该组中启用L2TP隧道验证功能,当启用隧道验证时需要设置隧道验证密码

隧道验证请求可由LAC或LNS任何一侧发起。只要有一端启用了隧道验证,则只有在对端也启用了隧道验证,两端密码完全一致且不为空的情况下,隧道才能建立;否则本端将自动断开隧道连接。若隧道两端都禁止了隧道验证,隧道验证的密码一致与否将不起作用

提示

·     为了保证隧道安全,建议用户最好不要禁用隧道验证功能。如果为了进行网络连通性测试或者接收不知名对端发起的连接,则也可不进行隧道验证

·     如果要修改隧道验证密码,请在隧道完全拆除后进行,否则修改的密码不生效

隧道验证密码

PPP认证配置

PPP认证方式

设置本端对PPP用户进行认证的认证方式

认证方法可以选择PAP或CHAP,选择空表示不进行认证

ISP域名

设置用户认证采用的ISP域的名称

·     单击<新建>按钮,进入如图8-6所示的新建ISP域的页面,详细配置如表8-5所示

·     选择一个ISP域,单击<修改>按钮,进入修改该ISP域的页面,详细配置参见表8-5

·     选择一个ISP域,单击<删除>按钮,将该ISP域删除

如果设置了ISP域,则使用指定域进行认证,地址分配必须使用该域下配置的用户地址。如果没有设置ISP域,则会判断用户名中是否带有域名信息。如果带有域名信息,则以该域名为准;如果不带域名信息,则使用系统缺省的域(默认为system)

PPP地址配置

PPP Server地址/掩码

设置本端的IP地址和掩码

用户地址

设置给对端分配地址所用的地址池或直接给对端分配指定的IP地址

若在PPP认证配置中指定了ISP域名,则下拉框中为该ISP域下的地址池

·     单击<新建>按钮,进入如图8-7所示的新建地址池的页面,详细配置如表8-6所示

·     选择一个地址池,单击<修改>按钮,进入修改该地址池的页面,详细配置参见表8-6

·     选择一个地址池,单击<删除>按钮,将该地址池删除

强制分配地址

设置是否强制对端使用本端为其分配的IP地址,即不允许对端使用自行配置的IP地址

高级

Hello报文间隔

设置发送Hello报文的时间间隔

为了检测LAC和LNS之间隧道的连通性,LAC和LNS会定期向对端发送Hello报文,接收方接收到Hello报文后会进行响应。当LAC或LNS在指定时间间隔内未收到对端的Hello响应报文时,重复发送,如果重复发送3次仍没有收到对端的响应信息则认为L2TP隧道已经断开,需要重新建立隧道连接

LNS端可以配置与LAC端不同的Hello报文间隔

AVP数据隐藏

设置是否采用隐藏方式传输AVP(Attribute Value Pair,属性值对)数据

L2TP协议的一些参数是通过AVP数据来传输的,如果用户对这些数据的安全性要求高,可以将AVP数据的传输方式配置成为隐藏传输,即对AVP数据进行加密

该配置项对于LNS端无效

流量控制

设置是否启用L2TP隧道流量控制功能

L2TP隧道的流量控制功能应用在数据报文的接收与发送过程中。启用流量控制功能后,会对接收到的乱序报文进行缓存和调整

 

强制本端CHAP认证

设置LNS侧的用户验证

当LAC对用户进行认证后,为了增强安全性,LNS可以再次对用户进行认证,只有两次认证全部成功后,L2TP隧道才能建立。L2TP组网中,LNS侧的用户认证方式有三种:

·     强制本端CHAP认证:启用此功能后,对于由NAS初始化(NAS-Initiated)隧道连接的VPN用户端来说,会经过两次认证。一次是用户端在接入服务器端的认证,另一次是用户端在LNS端的CHAP认证

·     强制LCP重协商:对由NAS初始化隧道连接的PPP用户端,在PPP会话开始时,用户先和NAS进行PPP协商。若协商通过,则由NAS初始化L2TP隧道连接,并将用户信息传递给LNS,由LNS根据收到的代理验证信息,判断用户是否合法。但在某些特定的情况下(如在LNS侧也要进行认证与计费),需要强制LNS与用户间重新进行LCP协商,此时将忽略NAS侧的代理认证信息

·     代理认证:如果强制本端CHAP认证和强制LCP重协商功能都不启用,则LNS对用户进行的是代理认证。在这种情况下,LAC将它从用户得到的所有认证信息及LAC端本身配置的认证方式发送给LNS

提示

·     三种认证方式中,强制LCP重协商的优先级最高,如果在LNS上同时启用强制LCP重协商和强制本端CHAP认证,L2TP将使用强制LCP重协商,并采用L2TP用户组中配置的PPP认证方式

·     一些PPP用户端可能不支持进行第二次认证,这时,本端的CHAP认证会失败

·     启用强制LCP重协商时,如果L2TP用户组中配置的PPP认证方式为不进行认证,则LNS将不对接入用户进行二次认证(这时用户只在LAC侧接受一次认证),直接将全局地址池的地址分配给PPP用户端

·     LNS侧使用代理验证,且LAC发送给LNS的用户验证信息合法时,如果L2TP用户组配置的验证方式为PAP,则代理验证成功,允许建立会话;如果L2TP用户组配置的验证方式为CHAP,而LAC端配置的验证方式为PAP,则由于LNS要求的CHAP验证级别高于LAC能够提供的PAP验证,代理验证失败,不允许建立会话

强制LCP重协商

 

图8-6 新建ISP

 

表8-5 新建ISP域的详细配置

配置项

说明

ISP域名称

设置ISP域的名称

PPP认证方案

主用方案

设置PPP用户的主用认证方案

·     HWTACACS:表示采用HWTACACS认证,使用的HWTACACS方案名称为system

·     Local:表示采用本地认证

·     None:表示不认证,即对用户非常信任,不进行合法性检查

·     RADIUS:表示采用RADIUS认证,使用的RADIUS方案名称固定system

·     选择空表示采用ISP域缺省的认证方案,缺省认证方案默认为Local

备选方案

当主用方案选择HWTACACS或RADIUS时,设置是否启用本地认证作为备选认证方案

PPP授权方案

主用方案

设置PPP用户的主用授权方案

·     HWTACACS:表示采用HWTACACS授权,使用的HWTACACS方案名称为system

·     Local:表示采用本地授权

·     None:表示接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权,认证通过的PPP用户可直接访问网络

·     RADIUS:表示采用RADIUS授权,使用的RADIUS方案名称为system

·     选择空表示采用ISP域缺省的授权方案,缺省授权方案默认为Local

备选方案

当主用方案选择HWTACACS或RADIUS时,设置是否启用本地授权作为备选授权方案

PPP计费方案

计费

设置是否启用计费可选功能

在对用户实施计费时,如果发现没有可用的计费服务器或与计费服务器通信失败时,若启用了计费可选功能,则用户可以继续使用网络资源,且系统不再为其向服务器发送实时计费更新报文,否则用户连接将被切断

主用方案

设置PPP用户的主用计费方案

·     HWTACACS:表示采用HWTACACS计费,使用的HWTACACS方案名称为system

·     Local:表示采用本地计费

·     None:表示不计费

·     RADIUS:表示采用RADIUS计费,使用的RADIUS方案名称为system

·     选择空表示采用ISP域缺省的计费方案,缺省计费方案默认为Local

备选方案

当主用方案选择HWTACACS或RADIUS时,设置是否启用本地计费作为备选计费方案

最大用户数

设置ISP域可容纳接入用户数的最大值,不设置时表示不限制ISP域可容纳的接入用户数

由于接入用户之间会发生资源的争用,因此适当地设置最大用户数可以使属于该ISP域的用户获得可靠的性能保障

 

图8-7 新建地址池

 

表8-6 新建地址池的详细配置

配置项

说明

域名

设置要配置的地址池所在的ISP域

地址池编号

设置地址池的编号

若指定地址池编号为1,则该地址池的名称为pool1

开始地址

设置地址池的开始IP地址和结束IP地址

开始和结束地址之间的地址数不能超过1024;如果只指定开始地址,则表示该地址池中只有开始地址一个IP地址

结束地址

 

8.2.2  查看L2TP隧道信息

(1)     在导航栏中选择“VPN > L2TP > 隧道信息”,进入L2TP隧道信息的显示页面,如下图所示。

图8-8 隧道信息

 

(2)     查看L2TP隧道的信息,详细说明如下表所示。

表8-7 L2TP隧道信息的详细说明

标题项

说明

本端隧道编号

本端唯一标识一个隧道的数值

对端隧道编号

对端唯一标识一个隧道的数值

对端隧道端口

对端隧道的端口

对端隧道IP地址

对端隧道的IP地址

会话数目

该隧道上的会话数目

对端隧道名称

对端隧道的名称

 

8.3  GRE设置

GRE(Generic Routing Encapsulation,通用路由封装)协议是对某些网络层协议(如IP和IPX)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IP)中传输。GRE是Tunnel(隧道)技术的一种,属于第三层隧道协议。

GRE隧道是一个虚拟的点对点的连接,为封装的数据报文提供了一条传输通路,GRE隧道的两端分别对数据报进行封装及解封装。

(1)     在导航栏中选择“VPN > GRE”,进入如图8-9所示的页面。

图8-9 GRE

 

(2)     单击<新建>按钮,进入新建GRE隧道的页面,如图8-10所示。

图8-10 新建GRE隧道

 

新建GRE隧道的详细配置说明如表8-8所示。

表8-8 新建GRE隧道的详细配置说明

配置项

说明

Tunnel接口编号

设置Tunnel接口的编号

IP地址/掩码

设置Tunnel接口的IP地址和子网掩码

提示

在Tunnel接口配置的静态路由的目的地址不能与Tunnel接口的IP地址在同一网段

隧道源端地址/接口

设置Tunnel接口的隧道源端IP地址和隧道目的端IP地址

对于隧道源端地址,可以手动输入一个IP地址;也可以选择一个接口,用该接口的主IP地址作为隧道源端地址

提示

隧道的源端地址与目的端地址唯一标识了一个隧道。隧道两端必须配置源端地址与目的端地址,且两端地址互为源端地址和目的端地址

隧道目的端地址

GRE密钥

设置Tunnel接口的密钥,通过这种弱安全机制防止错误地识别或接收其它地方来的报文

提示

隧道两端要么设置相同的密钥,要么都不设置密钥

GRE报文校验和功能

设置是否启用Tunnel接口的GRE报文校验和功能,从而验证报文的正确性,并丢掉验证不通过的报文

发送Keepalive报文

设置是否启用GRE的keepalive功能,探测Tunnel接口的状态

当启用了发送Keepalive报文后,设备会从Tunnel口定期发送GRE的keepalive报文。如果在指定的间隔时间内没有收到隧道对端的回应,则本端重新发送keepalive报文。如果超过指定的最大发送次数后仍然没有收到对端的回应,则把本端Tunnel口的协议连接down掉。如果Tunnel口为down状态,当收到对端回复的Keepalive确认报文时,Tunnel接口的状态将转换为up,否则保持down状态

发送Keepalive报文间隔

设置发送Keepalive报文的时间间隔和最大发送次数

当选择“启用”发送Keepalive报文时可以配置此两项

发送Keepalive报文次数

 

8.4  SSL VPN设置

8.4.1  概述

SSL VPN是以SSL(Secure Sockets Layer,安全套接字层)为基础的VPN(Virtual Private Network,虚拟专用网络)技术,工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接。

SSL VPN广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证。

SSL VPN的典型组网架构如下图所示。管理员在SSL VPN网关上创建企业网内服务器对应的资源;远程接入用户访问企业网内的服务器时,首先与SSL VPN网关建立HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)连接,选择需要访问的资源,由SSL VPN网关将资源访问请求转发给企业网内的服务器。SSL VPN通过在远程接入用户和SSL VPN网关之间建立SSL连接、SSL VPN网关对用户进行身份认证等机制,实现了对企业网内服务器的保护。

8.4.2  SSL VPN推荐配置步骤

表8-9 SSL VPN网关配置任务简介

步骤

配置任务

说明

1

8.4.3  配置SSL VPN服务

必选

启用SSL VPN,配置SSL VPN服务的端口号和使用的PKI域

2

8.4.4  配置Web代理服务器资源

三者至少选其一

缺省情况下,不存在任何资源

8.4.5  配置TCP应用资源

8.4.6  配置IP网络资源

3

8.4.7  配置资源组

必选

缺省情况下,存在名为autohome和autostart的资源组

4

8.4.8  配置本地用户

必选

配置以本地认证方式登录的SSL VPN用户信息

缺省情况下,存在名为guest(没有密码)的本地用户,其状态为禁用

5

8.4.9  配置用户组

必选

将本地用户加入到不同的用户组,并指定用户组可以访问的资源组

缺省情况下,存在名为Guests的用户组,该组未配置任何成员,且未与任何资源组关联

提示

也可以在配置本地用户时直接将用户加入已经存在的用户组中

6

8.4.10  查看用户信息

可选

查看在线用户信息和历史用户信息,将在线用户强制下线

7

8.4.11  配置域基本策略

可选

配置域策略、缓存策略和公告管理

8

8.4.12  配置认证策略

可选

启用SSL VPN域的各种认证方式,并配置具体的认证参数

提示

本地认证固定是启用的,其余认证方式需要通过配置启用后才能使用

9

8.4.13  配置安全策略

可选

安全策略定义了对用户主机进行安全检查的方法,明确了需要检查的项目。再通过为安全策略配置保护资源,保证了只有满足安全策略的用户主机才能访问相应的资源

提示

要实现对用户主机的安全性检查,还必须在域策略中启用安全策略

10

8.4.14  配置用户界面定制

可选

为SSL VPN用户定制个性化的服务界面

 

8.4.3  配置SSL VPN服务

配置SSL VPN服务前,需要先在“证书管理”中配置PKI域,并获取证书。SSL VPN网关的证书用于对其进行身份认证,以免管理员或用户登录到非法的SSL VPN网关。详细配置请参见“10 证书管理设置”。

(1)     在导航栏中选择“VPN > SSL VPN > 服务管理”,进入如下图所示的页面。

图8-11 服务管理

 

(2)     配置SSL VPN服务的信息,详细配置如下表所示。

(3)     单击<确定>按钮完成操作。

表8-10 SSL VPN服务的详细配置

配置项

说明

启用SSL VPN

设置启用SSL VPN服务

端口

设置SSL VPN服务使用的端口号,缺省值为443

PKI域

设置SSL VPN服务使用PKI域

 

8.4.4  配置Web代理服务器资源

Web服务器的服务一般是以网页的形式提供的,用户可以通过点击网页中的超链接,在不同的网页之间跳转,以浏览网页获取信息。在Internet上,这种服务器与用户的交互是通过明文方式传输的,任何人都可以通过截取HTTP数据的方式非法获取信息。SSL VPN为用户访问Web服务器的过程提供了安全的访问链接,并且可以阻止非法用户访问受保护的Web服务器。

(1)     在导航栏中选择“VPN > SSL VPN > 资源管理 > Web代理”,进入Web代理服务器资源的显示页面,如下图所示。

图8-12 Web代理

 

(2)     单击<新建>按钮,进入新建Web代理服务器资源的页面,如下图所示。

图8-13 新建Web代理服务器资源

 

(3)     配置Web代理服务器资源的信息,详细配置如下表所示。

表8-11 Web代理服务器资源的详细配置

配置项

说明

资源名称

设置Web代理服务器资源的名称

资源名是管理员操作资源时的标识,必须保证每个资源名的唯一性

站点地址

设置提供Web服务的站点地址,必须以“http://”开头,以“/”结尾,例如:http://www.domain.com/web1/

站点地址可以设置为IP地址或域名,当设置为域名时,需要在“高级配置 > DNS设置 > 域名解析设置”中配置域名解析

缺省页面

设置用户登录Web站点后的首页面,例如:index.htm

站点匹配模式

设置用户通过该站点可以访问哪些网页

站点匹配模式可以使用通配符“*”进行模糊匹配,多个匹配模式之间以“|”隔开

例如,要使用户能够访问站点中提供的到www.domain1.com的链接,以及到www.domain2.com、www.domain2.org、www.domain2.edu等的链接,可以将站点匹配模式设置为www.domain1.com|www.domain2.*

启用页面保护

设置启用页面保护功能

启用页面保护功能时,用户登录Web站点后,不能对该站点的页面进行截屏、页面保存、页面打印的操作

 

(4)     配置是否启用单点登录。若要启用单点登录,则选中“单点登录”前的复选框,展开单点登录参数的配置内容并进行配置。单点登录参数的配置内容如下图所示,详细配置如表8-12所示。配置了单点登录功能后,当用户通过SSL VPN服务界面点击访问该资源时,如果用户访问站点的用户名、密码与用户登录SSL VPN的用户名、密码相同,则用户可以自动登录相应的站点,简化了用户访问资源的操作过程。

(5)     单击<确定>按钮完成操作。

图8-14 单点登录参数

 

表8-12 单点登录参数的详细配置

配置项

说明

使用IP网络方式

设置系统是否使用IP网络方式自动登录站点,不使用此方式时使用Web代理方式自动登录站点

提示

当使用IP网络方式登录时,系统采用IP接入来访问资源,此时需要配置相应的IP网络资源,并将该资源与相关的用户进行关联

登录请求路径

·     当使用IP网络方式时,设置单点登录时系统自动提交的路径。此时如果不设置登录请求路径,则直接使用Web代理方式登录前面指定的站点地址

·     当不使用IP网络方式时,设置Web代理方式登录该站点的相对路径。此时如果不设置登录请求路径,则直接使用前面指定的缺省页面

用户名参数

设置系统自动登录时提交的用户名参数名

密码参数

设置系统自动登录时提交的密码参数名

其他参数

设置系统自动登录时提交的其他参数

单击<新建>按钮,在弹出的对话框中设置参数名和参数值,单击<确定>按钮,即可添加一个参数

 

说明

除了在配置Web代理服务器资源时配置单点登录功能,还可以在如图8-12所示的Web代理服务器资源显示页面单击某资源对应的icon_dtl图标进行配置。单击此图标后,在弹出的页面中输入任意的用户名和密码(二者不能相同),单击<确定>按钮,弹出此资源中站点的登录页面。在登录页面再次输入之前指定的用户名和密码并登录,当看到单点登录配置成功的提示后,即完成单点登录功能的配置,系统会从这个过程中自动提取用户名参数名和密码参数名。需要注意的是,当站点登录页面还需要设置除用户名和密码外的其他参数时,可能无法通过这种方式配置。

 

8.4.5  配置TCP应用资源

TCP应用资源包括以下几种:

·     远程访问服务资源

·     桌面共享资源

·     电子邮件资源

·     Notes邮件服务资源

·     通用TCP服务资源

1. 配置远程访问服务资源

远程访问服务是一类服务的总称,包括Telnet、SSH等常见的远程字符终端服务,还包括IBM3270等一些传统的终端服务。这些服务一般是用于方便用户管理远程主机的,通过软件模拟一个服务器终端窗口,使得在本地主机上的操作就像是在远程主机上操作一样。SSL VPN使用SSL加密技术,将这些原本在Internet上以明文方式传输的服务通过SSL来进行加密,保证了数据传输的安全性。

(1)     在导航栏中选择“VPN > SSL VPN > 资源管理 > TCP应用”,默认进入“远程访问服务”页签的页面,如下图所示。

图8-15 远程访问服务

 

(2)     单击<新建>按钮,进入新建远程访问服务的页面,如下图所示。

图8-16 新建远程访问服务

 

(3)     配置远程访问服务资源的信息,详细配置如下表所示。

(4)     单击<确定>按钮完成操作。

表8-13 远程访问服务资源的详细配置

配置项

说明

资源名称

设置远程访问服务资源的名称

资源名是管理员操作资源时的标识,必须保证每个资源名的唯一性

提示

当不指定命令行时,建议资源名称要包含资源类型、本地地址和本地端口的信息,以便用户登录到SSL VPN后能够查看到所需的信息

远程主机

设置提供远程访问服务的远程主机的主机名或IP地址

服务端口

设置远程主机的服务端口号

本地地址

设置环回地址或以任意字符串形式代表的环回地址

本地端口

设置本地主机的端口号,建议设置为大于1024的非常用端口号

命令行

设置该资源的Windows命令行

正确配置命令行后,用户可以在SSL VPN服务界面上通过点击该资源名称的链接,直接启动相应的应用程序,访问远程服务器

例如:Telnet远程访问服务的命令行可以设置为“telnet 本地地址 本地端口”,如“telnet 127.0.0.1 2300”。需要注意的是,如果本地端口使用的是远程访问服务缺省的端口号,则在命令行中可以省略本地端口信息

 

2. 配置桌面共享服务资源

使用桌面共享(又称为“远程桌面”)服务,用户可以从本地计算机上访问运行在远程计算机上的会话。这意味着用户可以从家里连接到办公室里的工作计算机,并访问所有应用程序、文件和网络资源,就好像坐在工作计算机前面一样。常用的桌面共享服务有Windows远程桌面、VNC(Virtual Network Computing,虚拟网络计算机)桌面共享、Citrix桌面共享等。某些桌面共享应用使用明文压缩方式发送数据,在网络上传输容易被攻击者截获并还原。通过SSL VPN加密后,可以提高数据传输的安全性。

(1)     在导航栏中选择“VPN > SSL VPN > 资源管理 > TCP应用”。

(2)     单击“桌面共享”页签,进入如下图所示的页面。

图8-17 桌面共享

 

(3)     单击<新建>按钮,进入新建桌面共享服务的页面,如下图所示。

图8-18 新建桌面共享服务

 

(4)     配置桌面共享服务资源的信息,详细配置如下表所示。

(5)     单击<确定>按钮完成操作。

表8-14 桌面共享服务资源的详细配置

配置项

说明

资源名称

设置桌面共享服务资源的名称

资源名是管理员操作资源时的标识,必须保证每个资源名的唯一性

提示

当不指定命令行时,建议资源名称要包含资源类型、本地地址和本地端口的信息,以便用户登录到SSL VPN后能够查看到所需的信息

远程主机

设置提供桌面共享服务的远程主机的主机名或IP地址

服务端口

设置远程主机的服务端口号

本地地址

设置环回地址或以任意字符串形式代表的环回地址

本地端口

设置本地主机的端口号,建议设置为大于1024的非常用端口号

命令行

设置该资源的Windows命令行

例如:Windows桌面共享服务的命令行可以设置为“mstsc /v 本地地址:本地端口”,如“mstsc /v 127.0.0.2:20000”。需要注意的是,如果本地端口使用的是桌面共享服务缺省的端口号,则在命令行中可以省略本地端口信息

 

3. 配置电子邮件服务资源

电子邮件服务是日常生活、工作中的一种常用服务,用于在网络上使用电子信件的方式在邮件服务用户之间交换各种文字、图形形式的信息。一般情况下,这些信息交换都是以明文方式在网络上传输的,存在一定的安全隐患。用户可以通过实现将邮件加密的方式提高内容安全性,但是无法保证传输过程的安全。使用SSL VPN,可以提高邮件传输过程的安全性。

说明

电子邮件服务必须至少配置两个资源才能正常使用,一个接收服务器、一个发送服务器。

 

(1)     在导航栏中选择“VPN > SSL VPN > 资源管理 > TCP应用”。

(2)     单击“电子邮件”页签,进入如下图所示的页面。

图8-19 电子邮件

 

(3)     单击<新建>按钮,进入新建电子邮件服务的页面,如下图所示。

图8-20 新建电子邮件服务

 

(4)     配置电子邮件服务资源的信息,详细配置如下表所示。

(5)     单击<确定>按钮完成操作。

表8-15 电子邮件服务资源的详细配置

配置项

说明

资源名称

设置电子邮件服务资源的名称

资源名是管理员操作资源时的标识,必须保证每个资源名的唯一性

提示

当不指定命令行时,建议资源名称要包含服务类型、本地地址和本地端口的信息,以便用户登录到SSL VPN后能够查看到所需的信息

服务类型

设置电子邮件服务的类型,包括POP3、IMAP和SMTP

远程主机

设置电子邮件服务器的主机名或IP地址

服务端口

设置电子邮件服务器的服务端口号

本地地址

设置环回地址或以任意字符串形式代表的环回地址

本地端口

设置本地主机的端口号,必须设置为各类电子邮件服务的缺省端口号

命令行

设置该资源的Windows命令行

用户必须手动启动电子邮件服务应用程序,故此项不需要配置

 

4. 配置Notes邮件服务资源

Notes是实现和运行办公自动化的平台,能够提供基于C/S结构的电子邮件服务。使用SSL VPN,可以提高Notes服务的安全性。

(1)     在导航栏中选择“VPN > SSL VPN > 资源管理 > TCP应用”。

(2)     单击“Notes服务”页签,进入如下图所示的页面。

图8-21 Notes服务

 

(3)     单击<新建>按钮,进入新建Notes服务的页面,如下图所示。

图8-22 新建Notes服务

 

(4)     配置Notes邮件服务资源的信息,详细配置如下表所示。

(5)     单击<确定>按钮完成操作。

表8-16 Notes邮件服务资源的详细配置

配置项

说明

资源名称

设置Notes邮件服务资源的名称

资源名是管理员操作资源时的标识,必须保证每个资源名的唯一性

提示

当不指定命令行时,建议资源名称要包含资源类型、本地地址和本地端口的信息,以便用户登录到SSL VPN后能够查看到所需的信息

远程主机

设置Notes邮件服务器的主机名或IP地址

服务端口

设置Notes邮件服务器的服务端口号

本地主机

设置环回地址或以任意字符串形式代表的环回地址

提示

本地主机字符串必须和Notes程序中的邮件服务器名称符串相同才能正常使用该资源

本地端口

本地主机的端口号,必须设置为Notes邮件服务的缺省端口号

命令行

设置该资源的命令行

用户必须手动启动Notes邮件服务应用程序,故此项不需要配置

 

5. 配置通用TCP服务资源

通用TCP服务是SSL VPN为了满足多种多样的C/S(客户端/服务器)程序而设计的,具有良好的普遍适用性。一般情况下,管理员在通用TCP服务中配置应用程序服务可能使用的所有网络端口,用户只要将应用程序的访问地址、端口号配置为通用TCP服务列表中列出的地址和端口号,即可正确运行应用程序。

(1)     在导航栏中选择“VPN > SSL VPN > 资源管理 > TCP应用”。

(2)     单击“TCP服务”页签,进入如下图所示的页面。

图8-23 TCP服务

 

(3)     单击<新建>按钮,进入新建TCP服务的页面,如下图所示。

图8-24 新建TCP服务

 

(4)     配置通用TCP服务资源的信息,详细配置如下表所示。

(5)     单击<确定>按钮完成操作。

表8-17 通用TCP服务资源的详细配置

配置项

说明

资源名称

设置通用TCP服务资源的名称

资源名是管理员操作资源时的标识,必须保证每个资源名的唯一性

提示

当不指定命令行时,建议资源名称要包含服务类型、本地地址和本地端口的信息,以便用户登录到SSL VPN后能够查看到所需的信息

服务类型

设置通用TCP服务的类型

远程主机

设置提供通用TCP服务的远程主机的主机名或IP地址

服务端口

设置远程主机的服务端口号

本地主机

设置环回地址或以任意字符串形式代表的环回地址

本地端口

设置本地主机的端口号

命令行

设置该资源的Windows命令行

 

8.4.6  配置IP网络资源

SSL VPN网络服务访问提供了IP层以上的所有应用支持,可以保证用户与服务器的通讯安全。用户不需要关心应用的种类和配置,仅通过登录SSL VPN服务界面,即可自动下载并启动ActiveX SSL VPN客户端程序,从而完全地访问特定主机的管理员所授权的服务。

表8-18 配置IP网络资源

步骤

配置任务

说明

1

8.4.6  1. 配置全局参数

必选

配置地址池、网关地址、超时时间、WINS/DNS服务器地址等IP网络资源访问的全局参数

2

8.4.6  2. 配置主机资源

必选

配置用户通过IP网络接入方式可以访问的主机资源

3

8.4.6  3. 配置固定IP

可选

配置将用户名与固定IP地址进行绑定。配置了固定IP后,当该用户访问IP网络资源时,系统不会再从全局地址池中为客户端分配虚拟网卡IP地址,而是直接将绑定的固定IP分配给客户端

4

8.4.6  4. 配置预置域名

可选

配置了预置域名后,网关将预先指定的域名与IP地址的映射下发给客户端。当客户端要访问该域名时,直接使用相应的IP地址,不需要再进行域名解析

 

1. 配置全局参数

(1)     在导航栏中选择“VPN > SSL VPN > 资源管理 > IP网络”,进入“全局配置”页签的页面,如下图所示。

图8-25 全局配置

 

(2)     配置IP网络资源访问的全局参数,详细配置如下表所示。

(3)     单击<确定>按钮完成操作。

表8-19 全局参数的详细配置

配置项

说明

起始IP

设置为客户端虚拟网卡分配IP地址的地址池

终止IP

子网掩码

设置为客户端虚拟网卡分配的子网掩码

网关地址

设置为客户端虚拟网卡分配的默认网关IP地址

超时时间

设置客户端连接的空闲超时时间。如果网关在超时时间内没有收到客户端发来的任何报文,则断开与该客户端的连接

WINS服务器地址

设置为客户端虚拟网卡分配的WINS服务器IP地址

DNS服务器地址

设置为客户端虚拟网卡分配的DNS服务器IP地址

允许客户端互通

设置是否允许不同的在线用户之间通过IP接入相互通信

只允许访问VPN

设置用户上线之后是否能够同时访问Internet

如果设置为只允许访问VPN,则用户上线之后不能同时访问Internet

用户网络服务显示方式

设置用户上线后看到的网络服务的显示方式,包括:

·     显示描述信息:显示主机资源中允许访问的网络服务的描述信息

·     显示IP地址:显示主机资源中允许访问的网络服务的目的地址、子网掩码和协议类型

 

2. 配置主机资源

(1)     在导航栏中选择“VPN > SSL VPN > 资源管理 > IP网络”。

(2)     单击“主机配置”页签,进入如下图所示的页面。

图8-26 主机配置

 

(3)     单击<新建>按钮,进入新建主机资源的页面,如下图所示。

图8-27 新建主机资源

 

(4)     配置主机资源的资源名。

(5)     单击允许访问的网络服务列表下的<新建>按钮,弹出如下图所示的窗口。

图8-28 新建允许访问的网络服务

 

(6)     配置允许访问的网络访问的信息,详细配置如下表所示。

表8-20 允许访问的网络服务的详细配置

配置项

说明

目的地址

设置网络服务的目的地址

子网掩码

设置网络服务的子网掩码

协议类型

设置网络服务的协议类型,包括IP、TCP和UDP

描述信息

设置网络服务的描述信息

提示

当在全局配置中设置了用户网络服务显示方式为“显示描述信息”时,建议描述信息中要包含允许访问的网段信息,以便用户登录到SSL VPN后能够查看到所需的信息

 

(7)     单击<确定>按钮向列表中添加一个允许访问的网络服务。

(8)     重复步骤(5)~(7)添加多个允许访问的网络服务。

(9)     单击快捷方式列表下的<新建>按钮,弹出如下图所示的窗口。

图8-29 新建快捷方式

 

(10)     输入快捷方式的名称和Windows命令行。

(11)     单击<确定>按钮向列表中添加一个快捷方式。

(12)     重复步骤(9)~(11)添加多个快捷方式。

(13)     在新建主机资源的页面单击<确定>按钮完成操作。

3. 配置固定IP

(1)     在导航栏中选择“VPN > SSL VPN > 资源管理 > IP网络”。

(2)     单击“固定IP”页签,进入如下图所示的页面。

图8-30 固定IP

 

(3)     单击<新建>按钮,进入新建固定IP的页面,如下图所示。

图8-31 新建固定IP

 

(4)     配置固定IP的信息,详细配置如下表所示。

(5)     单击<确定>按钮完成操作。

表8-21 固定IP的详细配置

配置项

说明

用户名

设置要与IP地址绑定的用户名,必须为完全用户名格式,例如:aaa@local

绑定IP地址

设置绑定的IP地址,必须与全局配置中的地址池在同一网段,但不能包含在地址池中,且不能与网关地址相同

 

4. 配置预置域名

(1)     在导航栏中选择“VPN > SSL VPN > 资源管理 > IP网络”。

(2)     单击“预置域名”页签,进入如下图所示的页面。

图8-32 预置域名

 

(3)     单击<新建>按钮,进入新建预置域名的页面,如下图所示。

图8-33 新建预置域名

 

(4)     配置预置域名的信息,详细配置如下表所示。

(5)     单击<确定>按钮完成操作。

表8-22 预置域名的详细配置

配置项

说明

域名

设置下发给客户端的域名

获取IP方式

设置域名对应IP地址的获取方式,包括:

·     动态:选择此项时,需要在“高级配置 > DNS设置 > 域名解析设置”中配置域名解析,网关会先进行域名解析,再将解析的结果下发给客户端

·     静态:选择此项时,需要设置配置项“IP”,网关会直接将域名与IP的映射关系下发给客户端

IP

设置域名对应的IP地址

当获取IP方式为“动态”时,此设置无效

 

8.4.7  配置资源组

(1)     在导航栏中选择“VPN > SSL VPN > 资源管理 > 资源组”,进入如下图所示的页面。

图8-34 资源组

 

(2)     单击<新建>按钮,进入新建资源组的页面,如下图所示。

图8-35 新建资源组

 

(3)     配置资源组的信息,详细配置如下表所示。

(4)     单击<确定>按钮完成操作。

表8-23 资源组的详细配置

配置项

说明

资源组名

设置资源组的名称

资源

设置该资源组中包含的资源

 

8.4.8  配置本地用户

配置以本地认证方式登录的SSL VPN用户信息,有两种配置方法:

·     手工逐个进行配置。使用此方法可以同时为用户指定用户名、密码,以及证书绑定、公告账号、用户状态、MAC地址绑定、所属用户组等高级参数。

·     先将用户信息编写成文本文件,然后进行批量导入。使用此方法导入的用户信息只包含用户名和密码参数(用户状态为“允许”),可以在完成批量导入后通过手工修改用户信息来为其指定高级参数。

1. 手工配置本地用户

(1)     在导航栏中选择“VPN > SSL VPN > 用户管理 > 本地用户”,进入如下图所示的页面。

图8-36 本地用户

 

(2)     单击<新建>按钮,进入新建本地用户的页面,如下图所示。

图8-37 新建本地用户

 

(3)     配置本地用户的信息,详细配置如下表所示。

(4)     单击<确定>按钮完成操作。

表8-24 本地用户的详细配置

配置项

说明

用户名

设置本地用户的名称

用户描述

设置用户的描述信息

用户密码

设置用户的密码

输入的密码确认必须与用户密码一致

密码确认

证书序号

设置与用户名绑定的证书序列号,用于用户的身份验证

启用公共账号

设置是否将该用户账号作为公共账号

当启用公共账号时,允许多个用户同时使用该账号登录SSL VPN;否则,同一时刻只允许一个用户使用该账号登录SSL VPN

公共账号允许登录的最大用户数

当启用公共账号时,设置允许同时使用该账号登录的最大用户数

用户状态

设置该用户的使能状态,包括:允许、有效期限内允许、禁止

有效期限

当用户状态为“有效期限内允许”时,设置允许该用户登录的有效期限

MAC地址

设置与用户名绑定的MAC地址,用于用户的身份验证

提示

要实现这两个功能,还需要在域策略中启用MAC地址绑定,详细配置请参见“8.4.11  1. 配置域策略

启用MAC地址自学习

设置是否自动学习用户的MAC地址

启用MAC地址自学习功能后,当用户使用此账号登录时,SSL VPN系统会自动学习该用户主机的MAC地址,并记录于“MAC地址”配置项中,同一个账号最多可以学习并记录3个不同的MAC地址。记录的MAC地址在禁用此功能后仍然有效

所属用户组

设置用户所属的用户组

 

2. 批量导入本地用户

(1)     在导航栏中选择“VPN > SSL VPN > 用户管理 > 批量导入”,进入如下图所示的页面。

(2)     通过单击<浏览…>按钮正确设置用户信息文件保存在本地主机的路径及文件名。

(3)     设置如果设备上存在同名的文件,是否直接覆盖。

(4)     单击<确定>按钮将文件中的用户信息批量导入到设置。

图8-38 本地用户

 

8.4.9  配置用户组

(1)     在导航栏中选择“VPN > SSL VPN > 用户管理 > 用户组”,进入如下图所示的页面。

图8-39 用户组

 

(2)     单击<新建>按钮,进入新建用户组的页面,如下图所示。

图8-40 新建用户组

 

(3)     配置用户组的信息,详细配置如下表所示。

(4)     单击<确定>按钮完成操作。

表8-25 用户组的详细配置

配置项

说明

用户组名

设置用户组的名称

资源组

设置与该用户组相关联的资源组,用户组中的用户就可以访问资源组中的资源

本地用户

设置用户组中的本地用户成员

 

8.4.10  查看用户信息

1. 查看在线用户信息

在导航栏中选择“VPN > SSL VPN > 用户管理 > 用户信息”,进入“在线用户”页签的页面,如下图所示。页面显示当前在线的用户信息,详细说明如表8-26所示。

图8-41 在线用户

 

表8-26 在线用户信息的详细说明

标题项

说明

登录时间

该用户登录到SSL VPN的时间

用户名

该用户的用户名,完全用户名格式

IP地址

该用户的主机IP地址

 

2. 将在线用户强制下线

(1)     在导航栏中选择“VPN > SSL VPN > 用户管理 > 用户信息”,进入“在线用户”页签的页面,如图8-41所示。

(2)     选中用户信息前的复选框。

(3)     单击<强制下线>按钮,弹出是否确认要删除选中项的提示框。

(4)     单击提示框中的<确定>按钮,将选中的用户强制下线。

说明

也可以单击某用户对应的icon_del图标,将其强制下线。

 

3. 查看历史用户信息

(1)     在导航栏中选择“VPN > SSL VPN > 用户管理 > 用户信息”。

(2)     单击“历史信息”页签,进入如下图所示的页面,可以查看历史最大并发用户数和历史最大并发连接数的信息。

图8-42 历史信息

 

8.4.11  配置域基本策略

配置域策略、缓存策略和公告管理:

·     域策略:是针对SSL VPN域的一些通用参数或功能的设置,包括是否启用安全策略、是否启用校验码验证、是否启用单独客户端策略、是否启用MAC地址绑定、是否启用自动登录、用户超时时间、默认认证方式等。

·     缓存策略:是针对用户退出SSL VPN时,需要清除的缓存内容的设置。

·     公告管理:通过公告管理实现在企业中为不同的用户发布不同的消息、通知的功能。

1. 配置域策略

(1)     在导航栏中选择“VPN > SSL VPN > 域管理 > 基本配置”,进入“域策略”页签的页面,如下图所示。

图8-43 域策略

 

(2)     配置域策略的信息,详细配置如下表所示。

(3)     单击<确定>按钮完成操作。

表8-27 域策略的详细配置

配置项

说明

启用安全策略

设置是否启用安全策略

启用安全策略时,SSL VPN系统会在用户登录时对用户主机的安全状况进行检查,根据检查结果来决定用户能够使用哪些资源

提示

要实现此功能,还需要配置具体的安全策略,详细配置请参见“8.4.13  配置安全策略

启用校验码验证

设置是否启用校验码验证

启用校验码验证时,用户需要在SSL VPN登录页面输入正确的校验码,才能登录

启用单独客户端策略

设置是否启用单独客户端策略

启用单独客户端策略时,当用户登录SSL VPN系统,SSL VPN客户端自动运行后,SSL VPN系统的网页会自动关闭,但客户端仍然正常运行

启用MAC地址绑定

设置是否启用MAC地址绑定

启用MAC地址绑定时,系统会在用户登录时获取用户主机的MAC地址,用于验证用户身份或者学习用户MAC地址

启用自动登录

设置是否启用自动登录

启用自动登录时,系统会在用户访问SSL VPN登录页面时,根据默认认证方式中认证模式的不同,自动以guest账号或证书的账号进行登录

·     当认证模式为密码认证时,系统自动以guest账号登录

·     当认证模式为证书认证时,系统自动以客户端证书中携带的用户名登录

·     当认证模式为密码+证书认证时,系统自动以guest账号登录,并且要求用户必须有颁发给guest用户的客户端证书

用户超时时间

设置用户的空闲超时时间

用户登录SSL VPN时,如果长时间没有进行任何操作,则系统会将该用户强制下线

默认认证方式

设置SSL VPN登录页面缺省情况下选择的认证方式

提示

要设置除本地认证外的其他认证方式为默认认证方式,还必须启用该认证方式,详细配置请参见“8.4.12  配置认证策略

证书用户名字段

设置当认证模式为证书认证时,采用证书中的哪个字段作为认证用户名。可以选择Common-Name或Email-Address字段

校验码超时时间

设置SSL VPN登录页面上显示的校验码图片的有效时间。超过指定的时间,校验码将失效,可以通过刷新页面获得新的校验码

 

2. 配置缓存策略

(1)     在导航栏中选择“VPN > SSL VPN > 域管理 > 基本配置”。

(2)     单击“缓存策略”页签,进入如下图所示的页面。

(3)     选择当用户退出SSL VPN时,要在用户主机上清除的内容,包括:

·     网页缓存

·     Cookie

·     下载程序:指用户登录SSL VPN时,自动下载并运行的SSL VPN客户端程序。

·     配置文件:指用户修改SSL VPN客户端程序的设置时,自动保存的配置文件。

(4)     单击<确定>按钮完成操作。

图8-44 缓存策略

 

3. 配置公告

(1)     在导航栏中选择“VPN > SSL VPN > 域管理 > 基本配置”。

(2)     单击“公告管理”页签,进入如下图所示的页面。

图8-45 公告管理

 

(3)     单击<新建>按钮,进入新建公告的页面,如下图所示。

图8-46 新建公告

 

(4)     配置公告的信息,详细配置如下表所示。

(5)     单击<确定>按钮完成操作。

表8-28 公告的详细配置

配置项

说明

公告标题

设置公告的标题

公告内容

设置公共的内容

用户组

设置可以查看到该公告的用户组

 

8.4.12  配置认证策略

SSL VPN支持本地认证、RADIUS认证、LDAP认证和AD认证4种认证方式。每种认证方式支持3种认证模式(RADIUS认证只支持密码认证和密码+证书认证2种):

·     密码认证:只认证用户密码。

·     密码+证书认证:同时认证用户密码和客户端证书。

·     证书认证:只认证客户端证书。

同时,SSL VPN还支持由上述4种认证方式中的任意2种组合进行组合认证。

1. 配置本地认证

本地认证主要是针对用户信息存储在SSL VPN设备上的认证方式。这种认证由于用户信息是存储在本地的,所以不需要同外部服务器进行交互,认证过程较快。但是由于设备本身容量有限,本地用户的数目也是有限制的。

(1)     在导航栏中选择“VPN > SSL VPN > 域管理 > 认证策略”,进入“本地认证”页签的页面,如下图所示。

(2)     配置本地认证的认证模式,包括:密码认证、密码+证书认证、证书认证。

(3)     单击<确定>按钮完成操作。

图8-47 本地认证

 

2. 配置RADIUS认证

RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。SSL VPN系统通过配置RADIUS认证,能够实现与企业原有RADIUS认证服务器的无缝集成,平滑实现对企业原RADIUS用户进行认证,避免企业为用户重复创建账号的问题。

说明

·     要启用RADIUS认证,必须先在“高级配置 > RADIUS”中配置名为“system”的RADIUS方案,详细配置请参见“Web配置指导  RADIUS”。

·     要成功进行RADIUS认证,还需要在RADIUS认证服务器上配置用户信息,及用户所属的用户组属性。且必须保证在认证服务器上配置的用户组在网关设备中已经存在,否则会导致用户无法登录。需要注意的是,网关设备对每个用户最多能属于的用户组数是有限制的,在认证服务器上为用户配置的用户组数目不能超过这个限制。

 

(1)     在导航栏中选择“VPN > SSL VPN > 域管理 > 认证策略”。

(2)     单击“RADIUS认证”页签,进入如下图所示的页面。

图8-48 RADIUS认证

 

(3)     配置RADIUS认证的信息,详细配置如下表所示。

(4)     单击<确定>按钮完成操作。

表8-29 RADIUS认证的详细配置

配置项

说明

启用RADIUS认证

设置是否启用RADIUS认证功能

认证模式

设置RADIUS认证的认证模式,包括:密码认证、密码+证书认证

启动RADIUS计费

设置是否启用RADIUS计费功能

上传虚地址

设置RADIUS计费成功后,是否向RADIUS服务器上传客户端虚拟网卡的IP地址

 

3. 配置LDAP认证

LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)是一种基于TCP/IP的目录访问协议,用于提供跨平台的、基于标准的目录服务。它是在继承了X.500协议优点的基础上发展起来的,并对X.500在读取、浏览和查询操作方面进行了改进,适合于存储那些不经常改变的数据。

LDAP协议的典型应用是用来保存系统的用户信息,如Microsoft的Windows操作系统就使用了Active Directory Server来保存操作系统的用户、用户组等信息。SSL VPN系统通过配置LDAP认证,可以实现对存储在LDAP服务器上的用户进行身份认证,并得到其资源访问权限。

说明

要成功进行LDAP认证,还需要在LDAP认证服务器上配置用户信息,及用户所属的用户组属性。且必须保证在认证服务器上配置的用户组在网关设备中已经存在,否则会导致用户无法登录。需要注意的是,网关设备对每个用户最多能属于的用户组数是有限制的,在认证服务器上为用户配置的用户组数目不能超过这个限制,具体限制数量请以设备的实际情况为准。

 

(1)     在导航栏中选择“VPN > SSL VPN > 域管理 > 认证策略”。

(2)     单击“LDAP认证”页签,进入如下图所示的页面。

图8-49 LDAP认证

 

(3)     配置LDAP认证的信息,详细配置如下表所示。

(4)     单击<确定>按钮完成操作。

表8-30 LDAP认证的详细配置

配置项

说明

启用LDAP认证

设置是否启用LDAP认证功能

LDAP服务器IP地址

设置LDAP服务器的IP地址

服务器端口

设置LDAP认证服务器所使用的TCP端口号

版本

设置LDAP认证中所支持的LDAP协议的版本号

认证模式

设置LDAP认证的认证模式,包括:密码认证、密码+证书认证、证书认证

用户组LDAP属性

设置在服务器上定义的用户所在组的属性名

使用查询检查用户DN

设置是否使用查询检查用户DN

管理员DN

当使用查询检查用户DN时,设置具有管理员权限(可以查询登录用户信息)的用户DN

密码

当使用查询检查用户DN时,设置具有管理员权限的用户密码

输入的确认密码必须和密码一致

确认密码

搜索库DN

当使用查询检查用户DN时,设置搜索库DN

搜索查询模板

当使用查询检查用户DN时,设置查询模板

使用模板查询用户DN

设置是否使用模板查询用户DN

用户DN模板

当使用模板查询用户DN时,设置用户DN模板

 

4. 配置AD认证

AD(Active Directory,活动目录)是Windows 2000 Server及以上版本的目录服务,用于存储网络上各种对象的有关信息,便于管理员和用户查找和使用。AD目录服务使用结构化的数据存储,是目录信息的逻辑层次结构的基础。SSL VPN通过配置AD认证,可以实现与企业原有AD域认证的无缝集成。

说明

要成功进行AD认证,还需要在AD认证服务器上配置用户信息。同时,由于AD服务器本身具有组的概念,管理员只要创建用户组,然后把用户加入到组中即可。但必须保证在认证服务器上配置的用户组在网关设备中已经存在,否则会导致用户无法登录。需要注意的是,网关设备对每个用户最多能属于的用户组数是有限制的,在认证服务器上为用户配置的用户组数目不能超过这个限制,具体限制数量请以设备的实际情况为准。

 

(1)     在导航栏中选择“VPN > SSL VPN > 域管理 > 认证策略”。

(2)     单击“AD认证”页签,进入如下图所示的页面。

图8-50 AD认证

 

(3)     配置AD认证的信息,详细配置如下表所示。

(4)     单击<确定>按钮完成操作。

表8-31 AD认证的详细配置

配置项

说明

启用AD认证

设置是否启用AD认证功能

AD域名

设置AD域的名称

AD服务器IP地址

设置AD服务器的IP地址

最多可以配置4个AD服务器。当一台服务器发生故障时,可以切换到其他服务器上进行认证。4个服务器按照顺序优先使用配置在前的服务器

认证模式

设置AD认证的认证模式,包括:密码认证、密码+证书认证、证书认证

服务器故障恢复时间

设置AD服务器出现故障时,系统重新检测AD服务器是否恢复正常的间隔时间

管理员账号

设置管理员账号,必须为AD域中User目录下具有查询目录权限的用户账号

密码

设置管理员密码

输入的确认密码必须与密码一致

确认密码

用户名格式

设置登录AD服务器的用户名的格式,包括:用户登录名不带AD域名、用户登录名带AD域名、用户姓名

 

5. 配置组合认证

组合认证是系统其他四种认证方式的任意组合而形成的一种二次认证策略。管理员可以任意指定用户的第一次及第二次分别采用何种认证方式,并且可以指定两次认证之间是否需要重新输入密码。

说明

对于组合认证,用户可访问的资源以及在线用户名均由第一次认证采用的用户名决定;用户在访问单点登录资源时,采用第一次认证的密码作为登录密码。

 

(1)     在导航栏中选择“VPN > SSL VPN > 域管理 > 认证策略”。

(2)     单击“组合认证”页签,进入如下图所示的页面。

图8-51 组合认证

 

(3)     配置组合认证的信息,详细配置如下表所示。

(4)     单击<确定>按钮完成操作。

表8-32 组合认证的详细配置

配置项

说明

启用组合认证

设置是否启用组合认证功能

第一次认证方式

设置第一次认证采用的认证方式

第二次认证方式

设置第二次认证采用的认证方式

第二次认证时重新输入密码

设置用户第一次认证成功后,系统是否重新输出登录页面让用户输入二次认证的密码

如果不设置重新输入密码,则系统自动采用第一次认证的密码作为第二次认证的密码

提示

此功能只在启用完全定制界面,并且定制的界面具有二次输出登录页面功能时有效

 

8.4.13  配置安全策略

不安全用户主机的接入有可能对内部网络造成安全隐患。通过安全策略功能可以在用户登录SSL VPN时,对用户主机的操作系统、浏览器、杀毒软件、防火墙、文件和进程的部署情况进行检查,根据检查的结果来判断该用户主机能够访问哪些资源。

每条安全策略可以包含多个检查类,这些检查类之间是逻辑与的关系,即所有检查类都满足时,才认为符合该安全策略;每个检查类中又包含多个检查规则,检查规则之间是逻辑或的关系,即只要满足其中一个检查规则,就认为符合该检查类。

(1)     在导航栏中选择“VPN > SSL VPN > 域管理 > 安全策略”,进入如下图所示的页面。

图8-52 安全策略

 

(2)     单击<新建>按钮,进入新建安全策略的页面,如下图所示。

图8-53 新建安全策略

 

(3)     配置安全策略的信息,详细配置如下表所示。

(4)     单击<确定>按钮完成操作。

表8-33 安全策略的详细配置

配置项

说明

名称

设置安全策略的名称

级别

设置安全策略的级别,数字越大,级别越高

对用户主机进行安全检查时,如果同时定义了多条安全策略,则从级别最高的安全策略开始检查,如果没有通过则检查级别次高的安全策略,直到通过某一条安全策略为止。用户可以使用的是其所能通过的级别最高的安全策略所对应的资源,所以配置安全策略时,应该为级别较高的安全策略配置较多资源

描述

设置安全策略的描述信息

策略配置

设置安全策略的检查规则

检查规则分为7类:操作系统、浏览器、防病毒软件、防火墙、证书、文件和进程

同一个检查类中配置的所有规则,只要满足其中一个,就认为符合该检查类;安全策略中配置的所有检查类都满足时,才认为符合该安全策略

单击某检查类前的扩展按钮,可以查看该类检查规则的信息。单击相应的<新建>按钮,弹出新建该类检查规则的窗口。检查规则的详细配置如表8-34所示

资源配置

设置符合该安全策略的用户主机可以访问的资源

可以直接选择所有Web网站、所有TCP应用、所有IP网络;也可以单击展开“Web网站”、“TCP应用”、“IP网络”前的扩展按钮,在相应资源的列表中进行选择

 

表8-34 检查规则的详细配置

配置项

说明

操作系统

规则名称

设置操作系统检查规则的名称

类型

设置操作系统的类型,用户主机的操作系统必须符合指定类型才能通过检查

版本

设置操作系统的版本,用户主机的操作系统必须符合指定版本才能通过检查

补丁

设置操作系统的补丁,用户主机的操作系统必须安装了指定补丁才能通过检查

浏览器

规则名称

设置浏览器检查规则的名称

类型

设置浏览器的类型,用户主机的浏览器必须符合指定类型才能通过检查

条件

设置浏览器版本检查的条件

·     >=:用户主机的浏览器必须大于或等于指定版本才能通过检查

·     >:用户主机的浏览器必须大于指定版本才能通过检查

·     =:用户主机的浏览器必须等于指定版本才能通过检查

·     <=:用户主机的浏览器必须小于或等于指定版本才能通过检查

·     <:用户主机的浏览器必须小于指定版本才能通过检查

版本

设置浏览器的版本

提示

对于IE浏览器的版本,必须为合法的浮点数,并且小数点后面最多只能有两位数字

补丁

设置浏览器的补丁,用户主机的浏览器必须安装了指定补丁才能通过检查

防病毒软件

规则名称

设置防病毒软件检查规则的名称

类型

设置防病毒软件的类型,用户主机的防病毒软件必须符合指定类型才能通过检查

条件

设置防病毒软件版本检查和病毒库版本检查的条件

·     >=:用户主机的防病毒软件及其病毒库必须大于或等于指定版本才能通过检查

·     >:用户主机的防病毒软件及其病毒库必须大于指定版本才能通过检查

·     =:用户主机的防病毒软件及其病毒库必须等于指定版本才能通过检查

·     <=:用户主机的防病毒软件及其病毒库必须小于或等于指定版本才能通过检查

·     <:用户主机的防病毒软件及其病毒库必须小于指定版本才能通过检查

版本

设置防病毒软件的版本

病毒库版本

设置防病毒软件的病毒库版本

防火墙

规则名称

设置防火墙检查规则的名称

类型

设置防火墙的类型,用户主机的防火墙必须符合指定类型才能通过检查

条件

设置防火墙版本检查的条件

·     >=:用户主机的防火墙必须大于或等于指定版本才能通过检查

·     >:用户主机的防火墙必须大于指定版本才能通过检查

·     =:用户主机的防火墙必须等于指定版本才能通过检查

·     <=:用户主机的防火墙必须小于或等于指定版本才能通过检查

·     <:用户主机的防火墙必须小于指定版本才能通过检查

版本

设置防火墙的版本

证书

规则名称

设置证书检查规则的名称

颁发者

设置证书的颁发者,用户主机上用户证书的颁发者必须符合指定条件才能通过检查

文件

规则名称

设置文件检查规则的名称

文件名

设置文件的名称,用户主机上必须有指定文件才能通过检查

进程

规则名称

设置进程检查规则的名称

进程名

设置进程的名称,用户主机上必须有指定进程才能通过检查

 

8.4.14  配置用户界面定制

SSL VPN提供了非常灵活的用户访问界面显示方式,管理员可以根据需要部分定制或完全定制界面的内容。

·     部分定制:使用系统提供的页面文件,但可以根据需要定制页面上的部分信息,包括:登录页面标题、登录页面欢迎信息、服务页面标识区信息、登录页面Logo、服务页面Logo和服务页面背景。这些可定制信息在页面上的位置如图8-54图8-55所示。

·     完全定制:使用自行编写的页面文件,定制完全个性化的用户访问界面。

图8-54 登录页面可定制信息

 

图8-55 服务页面可定制信息

 

1. 配置用户界面部分定制

·     配置页面信息

(1)     在导航栏中选择“VPN > SSL VPN > 界面定制 > 部分定制”,进入“页面信息”页签的页面,如下图所示。

(2)     配置SSL VPN的服务页面标识区信息、登录页面欢迎信息和登录页面标题。

(3)     单击<确定>按钮完成操作。

图8-56 页面信息

 

·     配置登录页面Logo

(1)     在导航栏中选择“VPN > SSL VPN > 界面定制 > 部分定制”。

(2)     单击“登录页面Logo”页签,进入如下图所示的页面。

(3)     通过<浏览…>按钮设置某图片文件在本地主机的存放路径及文件名。

(4)     设置如果设备上存在同名的文件,是否直接覆盖。

(5)     单击<确定>按钮,将指定的图片文件上传到设备,并将其作为登录页面的Logo图片。

图8-57 登录页面Logo

 

·     配置服务页面Logo

(1)     在导航栏中选择“VPN > SSL VPN > 界面定制 > 部分定制”。

(2)     单击“服务页面Logo”页签,进入如下图所示的页面。

(3)     通过<浏览…>按钮设置某图片文件在本地主机的存放路径及文件名。

(4)     设置如果设备上存在同名的文件,是否直接覆盖。

(5)     单击<确定>按钮,将指定的图片文件上传到设备,并将其作为服务页面的Logo图片。

图8-58 服务页面Logo

 

·     配置服务页面背景

(1)     在导航栏中选择“VPN > SSL VPN > 界面定制 > 部分定制”。

(2)     单击“服务页面背景”页签,进入如下图所示的页面。

(3)     通过<浏览…>按钮设置某图片文件在本地主机的存放路径及文件名。

(4)     设置如果设备上存在同名的文件,是否直接覆盖。

(5)     单击<确定>按钮,将指定的图片文件上传到设备,并将其作为服务页面标识区的背景图片。

图8-59 服务页面背景

 

2. 配置用户界面完全定制

说明

进行下面的配置之前,管理员需要将预先编写好的自定义页面文件通过FTP或TFTP方式上传到设备上。

 

(1)     在导航栏中选择“VPN > SSL VPN > 界面定制 > 完全定制”,进入如下图所示的页面。

图8-60 完全定制

 

(2)     配置完全定制的信息,详细配置如下表所示。

(3)     单击<确定>按钮完成操作。

表8-35 完全定制的详细配置

配置项

说明

启用完全定制

设置是否启用自定义页面

页面目录

设置自定义页面文件在设备上的存放路径

页面文件名

设置自定义的登录页面文件的文件名

 

8.4.15  用户访问SSL VPN

说明

本节是基于系统提供的SSL VPN服务界面进行介绍的,不适用于完全自行定制的服务界面。

 

管理员完成SSL VPN网关的配置后,远程接入用户即可与SSL VPN网关建立HTTPS连接,并通过SSL VPN网关提供的用户服务界面访问相应的资源。

1. 登录SSL VPN服务界面

(1)     完成SSL VPN网关的配置后,用户在其主机上启动浏览器。

(2)     在浏览器的地址栏中输入“https://192.168.1.1:44300/svpn/”后回车(其中的“192.168.1.1”和“44300”分别为SSL VPN网关的主机地址和服务端口号。需要注意的是,当服务端口号为缺省值443时,可以只输入地址),即可进入SSL VPN的登录页面,如下图所示。

图8-61 SSL VPN登录页面

 

(3)     在登录页面上输入用户名和密码,选择认证方式的类别。

(4)     单击<登录>按钮即可登录到SSL VPN服务界面,如图8-62所示。同时,如果管理员为该用户指定了可以访问的TCP应用或IP网络资源,则会自动运行SSL VPN客户端专用软件,如图8-63所示。

注意

当管理员在域策略中启用了校验码验证时,登录页面上还会显示验证码,用户必须输入正确的验证码才能登录。

 

图8-62 SSL VPN服务界面

 

图8-63 SSL VPN客户端专用软件

 

2. 使用SSL VPN资源

用户登录到SSL VPN服务界面后,可以看到管理员授权其能够访问的各种资源的信息。

·     对于Web站点资源,用户直接点击资源的名称,即可弹出相应站点的访问窗口。

·     对于TCP应用资源,如果管理员配置了正确的命令行,则用户直接点击资源的名称,即可执行相应的命令,实现对该资源的访问;如果管理员未配置命令行,用户可以根据资源名称提供的信息进行设置,例如用户可以根据电子邮件服务资源名称提供的信息设置Outlook的接收邮件服务器和发送邮件服务器,并使用当前用户的用户名和密码登录,即可使用该电子邮件服务资源正常处理邮件。

·     对于IP网络资源,用户可以根据页面上显示的允许访问的网段信息,访问属于该网段的任何主机;可以直接点击快捷方式的名称,即可执行相应的快捷方式命令。

3. 查看帮助信息

用户在SSL VPN服务界面上单击右上方的<帮助>按钮,弹出如下图所示的页面,可以查看关于SSL VPN系统的帮助信息。

图8-64 关于SSL VPN系统

 

4. 修改登录密码

(1)     用户在SSL VPN服务界面上单击右上方的<配置>按钮,进入如下图所示的页面。

(2)     输入新的密码,并再次输入确认密码。

(3)     单击<应用>按钮,即可修改当前用户的登录密码。此用户再次登录时,需使用修改后的密码。

图8-65 修改登录密码

 


9 3G设置

路由器通过主控板上的USB接口,可以外接一个USB 3G Modem设备。3G Modem设备上外插UIM(User Identity Module,用户识别模块)卡,通过UIM卡接入中国电信的无线网络,可以进行3G无线通讯。

9.1  查看3G状态信息

在导航栏中选择“3G > 3G状态”,进入如图9-1所示的页面。可以查看3G Modem信息、UIM卡信息和3G网络信息。

图9-1 3G状态

 

3G Modem信息、UIM卡信息和3G网络信息的详细说明分别如所表9-1表9-2表9-3示。

表9-1 3G Modem信息

标题项

说明

3G Modem状态

3G Modem设备的在位情况

·     已插卡:路由器已外接了3G Modem设备

·     插卡无法识别或未插卡:路由器没有外接3G Modem设备,或外接的设备无法识别

设备型号

3G Modem设备的型号

生产厂商

3G Modem设备的生产厂商

入网许可证编号

3G Modem设备的入网许可证编号

设备序列号

3G Modem设备的序列号

硬件版本

3G Modem设备的硬件版本

固件版本

3G Modem设备的固件版本

PRL版本

3G Modem设备的PRL(Preferred Roming List,优先漫游列表)版本

 

表9-2 UIM卡信息

标题项

说明

UIM卡状态

UIM卡的状态信息,包括:

·     未插卡

·     初始化

·     故障

·     自毁

·     PIN(Personal Identification Number,个人识别号码)码保护禁用

·     PIN码保护启用,需要输入PIN码验证

·     PIN码保护启用,PIN码已验证通过

·     PIN码已锁死,需要输入PUK(PIN Unlocking Key,PIN码解锁码)码解锁

IMSI

UIM卡的IMSI(International Mobile Subscriber Identification Number,国际移动用户标识)

供电电压

UIM卡的供电电压

 

表9-3 3G网络信息

标题项

说明

运营商

UIM卡所在3G网络的运营商

工作状态

UIM卡所在3G网络的工作状态,包括:

·     No Service

·     CDMA

·     HDR

·     CDMA/HDR HYBRID

·     Unknown

信号强度

UIM卡所在3G网络的信号强度

 

9.2  管理PIN

注意

·     如果输入PIN码出错的次数超过设备允许的最大限制,PIN码将会被锁死,需要输入正确的PUK码才能解锁。

·     如果输入PUK码出错的次数超过设备允许的最大限制,UIM卡将会自毁,请谨慎操作。

 

在导航栏中选择“3G > PIN码管理”,进入PIN码的管理页面。当UIM卡处于不同状态时,用户对管理PIN码可以进行的具体操作不同,下面将分别进行介绍。

1. UIM卡异常

当UIM卡处于异常状态(指未插入、初始化、故障或自毁状态)时,PIN码管理的页面例如图9-2所示。此时,用户不能对PIN码进行管理。

图9-2 PIN码管理(没有插入UIM卡)

 

2. UIM卡PIN码保护禁用

当UIM卡处于“PIN码保护禁用”状态时,PIN码管理的页面如图9-3所示。此时,输入正确的PIN码,单击<确定>按钮,可以启用UIM卡的PIN码保护功能。PIN码由4~8位的数字组成。

图9-3 PIN码管理(UIM卡PIN码保护禁用)

 

3. UIM卡PIN码保护启用,需要输入PIN码验证

当UIM卡处于“PIN码保护启用,需要输入PIN码验证”状态时,PIN码管理的页面如图9-4所示。此时,输入正确的PIN码,单击<确定>按钮,可以完成UIM卡的PIN码解锁功能。

图9-4 PIN码管理(UIM卡PIN码保护启用,需要输入PIN码验证)

 

4. UIM卡PIN码保护启用,PIN码已验证通过

当UIM卡处于“PIN码保护启用,PIN码已验证通过”状态时,PIN码管理页面如图9-5所示。此时,可以进行如下操作:

·     在“禁止PIN码保护”中输入正确的PIN码,单击<确定>按钮,可以禁用UIM卡的PIN码保护功能。

·     在“修改PIN码”中输入正确的当前PIN码和新PIN码(两次输入的新PIN码必须一致),单击<确定>按钮,可以修改当前PIN码。

图9-5 PIN码管理(UIM卡PIN码保护启用,PIN码已验证通过)

 

5. UIM卡PIN码已锁死,需要输入PUK码解锁

当UIM卡处于“PIN码已锁死,需要输入PUK码解锁”状态时,PIN码管理页面如图9-6所示。此时,输入正确的PUK码和新PIN码(两次输入的新PIN码必须一致),单击<确定>按钮,可以将UIM卡PIN码解锁,同时重置PIN码。

图9-6 PIN码管理(UIM卡PIN码已锁死,需要输入PUK码解锁)

 


10 证书管理设置

10.1  概述

PKI(Public Key Infrastructure,公钥基础设施)是一个利用公共密钥理论和技术来实现并提供信息安全服务的具有通用性的安全基础设施。我司的PKI可为安全协议IPsec(IP Security,IP安全)、SSL(Secure Sockets Layer,安全套接字层)、WAPI(WLAN Authentication and Privacy Infrastructure,无线局域网鉴别与保密基础结构)提供证书管理机制。

公共密钥体制也称为非对称密钥体制,是目前应用最广泛的一种加密体制。这一体制使用一个非对称的密钥对,分别是一个公开的加密密钥(公钥)和一个保密的解密密钥(私钥),用公钥加密的信息只能用私钥解密,反之亦然。由于公钥是公开的,需要在网上传送,故公钥的管理问题就是公共密钥体制所需要解决的关键问题。

目前,PKI系统中引出的数字证书机制就是一个很好的解决方案。基于公共密钥技术的数字证书是一个用户的身份和他所持有的公钥的结合,是使用PKI系统的用户建立安全通信的信任基础。

基于数字证书的PKI系统,能够为网络通信和网络交易,特别是电子政务和电子商务业务,透明地提供一整套安全服务,主要包括身份认证、保密、数据完整性和不可否认性。

10.2  申请证书配置

PKI证书的申请方式有两种:

·     手动申请证书方式:需要手工完成获取CA(Certificate Authority,证书颁发机构)证书、生成密钥对、申请本地证书的工作。

·     自动申请证书方式:在没有本地证书时实体自动通过SCEP(Simple Certification Enrollment Protocol,简单证书注册协议,专门用于与认证机构进行通信)协议进行申请,而且在证书即将过期时自动申请新的证书并获取至本地。

1. 手动申请证书方式

手动申请证书方式下PKI配置的推荐步骤如下表所示。

表10-1 PKI配置步骤(手动申请证书方式)

步骤

配置任务

说明

1

10.3  新建PKI实体

必选

新建实体并配置实体的身份信息参数

一份证书是一个公开密钥与一个身份的绑定,而身份必须与一个特定的PKI实体相关联。实体DN(Distinguished Name,识别名)的参数是实体的身份信息,CA根据实体提供的身份信息来唯一标识证书申请者

实体DN的配置必须与CA证书颁发策略相匹配,以确认实体DN的配置任务,如哪些实体参数为必选配置,哪些为可选配置。申请者的身份信息必须符合CA证书颁发策略,否则证书申请可能会失败

2

10.4  新建PKI域

必选

新建PKI域,配置证书申请方式为“Manual”

实体在进行PKI证书申请操作之前需要配置一些注册信息来配合完成申请的过程,这些信息的集合就是一个实体的PKI域

PKI域是一个本地概念,因此创建PKI域的目的是便于其它应用引用PKI的配置,比如IKE、SSL等,一个设备上配置的PKI域对CA和其它设备是不可见的,每一个PKI域有单独的域参数配置信息

3

10.5.1  生成RSA密钥对

必选

配置生成本地RSA密钥对

缺省情况下,本地没有RSA密钥对

密钥对的产生是证书申请过程中重要的一步。申请过程使用了一对主机密钥:私钥和公钥。私钥由用户保留,公钥和其他信息则交由CA中心进行签名,从而产生证书

提示

若本地证书已存在,为保证密钥对与现存证书的一致性,必须在删除本地证书后,再生成新的密钥对

4

获取CA证书

必选

将CA证书获取至本地,详细配置请参见“10.5.3  获取和查看证书

获取证书的目的是:

·     将CA签发的与实体所在安全域有关的证书存放到本地,以提高证书的查询效率,减少向PKI证书存储库查询的次数

·     为证书的验证做好准备

提示

如果本地已有CA证书存在,则不允许再执行获取CA证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。请先删除存储于本地的CA证书与本地证书后,再重新获取

5

10.5.4  申请本地证书

必选

证书申请就是实体向CA自我介绍的过程,实体向CA提供身份信息和相应的公钥,这些信息将成为颁发给该实体证书的主要组成部分

申请本地证书有在线和离线两种方式:

·     在线申请成功后,会自动将本地证书获取至本地

·     离线申请成功后,需要用户通过离线方式将本地证书获取至本地

提示

如果本地已有本地证书存在,则不允许再执行申请本地证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。请先删除存储于本地的CA证书与本地证书,再重新申请

6

10.5.2  销毁RSA密钥对

可选

如果要获取的证书中含有RSA密钥对,则必须先将设备上已有的RSA密钥对销毁,否则无法成功获取证书。销毁RSA密钥对的同时,也会销毁对应的本地证书

7

10.5.3  获取和查看证书

当采用离线方式申请证书时必选

将已存在的证书获取至本地,获取后可以查看证书的详细信息

提示

·     当采用离线方式申请证书时,必须通过离线方式将下载到的CA证书和本地证书获取至本地

·     在线获取本地证书之前必须完成LDAP服务器的配置

8

10.6  获取和查看CRL

可选

获取CRL至本地,获取后可以查看CRL的内容

 

2. 自动申请证书方式

自动申请证书方式下PKI配置的推荐步骤如下表所示。

表10-2 PKI配置步骤(自动申请证书方式)

步骤

配置任务

说明

1

10.3  新建PKI实体

必选

新建实体并配置实体的身份信息参数

一份证书是一个公开密钥与一个身份的绑定,而身份必须与一个特定的PKI实体相关联。实体DN(Distinguished Name,识别名)的参数是实体的身份信息,CA根据实体提供的身份信息来唯一标识证书申请者

实体DN的配置必须与CA证书颁发策略相匹配,以确认实体DN的配置任务,如哪些实体参数为必选配置,哪些为可选配置。申请者的身份信息必须符合CA证书颁发策略,否则证书申请可能会失败

2

10.4  新建PKI域

必选

新建PKI域,配置证书申请方式为“Auto”

实体在进行PKI证书申请操作之前需要配置一些注册信息来配合完成申请的过程,这些信息的集合就是一个实体的PKI域

PKI域是一个本地概念,因此创建PKI域的目的是便于其它应用引用PKI的配置,比如IKE、SSL等,一个设备上配置的PKI域对CA和其它设备是不可见的,每一个PKI域有单独的域参数配置信息

3

10.5.2  销毁RSA密钥对

可选

如果要获取的证书中含有RSA密钥对,则必须先将设备上已有的RSA密钥对销毁,否则无法成功获取证书。销毁RSA密钥对的同时,也会销毁对应的本地证书

4

10.5.3  获取和查看证书

可选

将已存在的证书获取至本地,获取后可以查看证书的详细信息

提示

·     在线获取本地证书之前必须完成LDAP服务器的配置

·     如果本地已有CA证书存在,则不允许再执行获取CA证书的操作,避免因相关配置的修改使得证书与注册信息不匹配。请先删除存储于本地的CA证书与本地证书后,再重新获取

5

10.6  获取和查看CRL

可选

获取CRL至本地,获取后可以查看CRL的内容

 

10.3  新建PKI实体

(1)     在导航栏中选择“证书管理 > PKI实体”,进入PKI实体的显示页面,如下图所示。

图10-1 PKI实体

 

(2)     单击<新建>按钮,进入新建PKI实体的配置页面,如下图所示。

图10-2 新建PKI实体

 

(3)     配置PKI实体的信息,详细配置如下表所示。

(4)     单击<确定>按钮完成操作。

表10-3 新建PKI实体的详细配置

配置项

说明

PKI实体名称

设置要新建的PKI实体的名称

通用名

设置实体的通用名,比如用户名称

实体IP地址

设置实体的IP地址

FQDN

设置实体的FQDN(Fully Qualified Domain Name,完全合格域名)

FQDN是实体在网络中的唯一标识,由一个主机名和域名组成,可被解析为IP地址。例如,www是一个主机名,whatever.com是一个域名,则www.whatever.com就是一个FQDN

国家/地区

设置实体所属的国家或地区代码

州省

设置实体所属的州省

地理区域

设置实体所在地理区域的名称

组织

设置实体所属组织的名称

部门

设置实体所属部门的名称

 

10.4  新建PKI域

(1)     在导航栏中选择“证书管理 > PKI域”,进入PKI域的显示页面,如下图所示。

图10-3 PKI

 

(2)     单击<新建>按钮,进入新建PKI域的配置页面,如下图所示。

图10-4 新建PKI

 

(3)     配置PKI域的信息,详细配置如下表所示。

(4)     单击<确定>按钮完成操作。

表10-4 新建PKI域的详细配置

配置项

说明

PKI域名称

设置要新建的PKI域的名称

CA标识符

设置设备信任的CA标识符

在申请证书时,是通过一个可信实体认证机构,来完成实体证书的注册颁发,因此必须指定一个信任的CA标识符,将设备与该CA进行绑定,该设备证书的申请、获取、废除及查询均通过该CA执行

提示

·     当采用离线方式申请证书时,此项可以不配置,否则必须配置

·     CA标识符只是在获取CA证书时使用,申请本地证书时不会用到

本地实体

设置本地PKI实体名称

向CA发送证书申请请求时,必须指定所使用的实体名,以向CA表明自己的身份

注册机构

设置证书申请的注册审理机构

·     CA:表示实体从CA注册申请证书

·     RA:表示实体从RA注册申请证书

证书申请的受理一般由一个独立的注册机构(即RA)来承担,它接收用户的注册申请,审查用户的申请资格,并决定是否同意CA给其签发数字证书。注册机构并不给用户签发证书,而只是对用户进行资格审查。有时PKI把注册管理的职能交给CA来完成,而不设立独立运行的RA,但这并不是取消了PKI的注册功能,而只是将其作为CA的一项功能而已。PKI推荐独立使用RA作为注册审理机构

证书申请URL

设置注册服务器的URL

证书申请前必须指定注册服务器的URL,随后实体可通过SCEP向该服务器提出证书申请

提示

·     当采用离线方式申请证书时,此项可以不配置,否则必须配置

·     目前,注册服务器URL的配置不支持域名解析

LDAP服务器IP地址

设置LDAP服务器的IP地址、端口号和版本号

在PKI系统中,用户的证书和CRL信息的存储是一个非常核心的问题。一般采用LDAP服务器来存储证书和CRL,这时就需要指定LDAP服务器的信息

端口

版本

证书申请方式

设置在线证书申请的方式,有Auto(自动)和Manual(手动)两种方式

挑战码

当证书申请方式选择“Auto”时,设置挑战码,即撤销证书时使用的密码

输入的挑战码和确认挑战码必须一致

确认挑战码

根证书指纹散列算法

设置验证CA根证书时所使用的指纹

当设备从CA获得根证书时,需要验证CA根证书的指纹,即根证书内容的散列值,该值对于每一个证书都是唯一的。如果CA根证书的指纹与在PKI域中配置的指纹不同,则设备将拒绝接收根证书

·     当根证书指纹散列算法选择“MD5”时,使用MD5指纹验证CA根证书,输入的根证书指纹必须为32个字符,并且以16进制的形式输入

·     当根证书指纹散列算法选择“SHA1”时,使用SHA1指纹验证CA根证书,输入的根证书指纹必须为40个字符,并且以16进制的形式输入

·     当根证书指纹散列算法选择空时,将不对根证书指纹进行验证,需要用户自行确认CA服务器是否可信

提示

当证书申请方式选择“Auto”时,必须设置验证根证书时所使用的指纹;当证书申请方式选择“Manual”时,可以不设置验证根证书时所使用的指纹,则在获取CA证书时将不对根证书指纹进行验证,需要用户自行确认CA服务器是否可信

根证书指纹

证书查询次数

设置客户端发送证书申请状态查询的周期和每个周期内发送查询的次数

实体在发送证书申请后,如果CA采用手工验证申请,证书的发布会需要很长时间。在此期间,客户端需要定期发送状态查询,以便在证书签发后能及时获取到证书。客户端可以配置证书申请状态的查询周期和次数

证书查询间隔

启用CRL查询

设置在证书验证时是否进行CRL检查

如果启用CRL检查,则验证证书的有效性,必须通过CRL判断

CRL更新间隔

启用CRL查询时,设置CRL更新间隔,即使用证书的PKI实体从CRL存储服务器下载CRL的时间间隔

缺省情况下,CRL的更新间隔由CRL文件中的下次更新域决定

提示

手工配置的CRL更新间隔将优先于CRL文件中指定的更新间隔

获取CRL的URL

启用CRL查询时,设置CRL发布点的URL,支持IP地址和DNS域名两种表示方式

需要注意的是,未配置CRL发布点的URL时,通过SCEP协议获取CRL,该操作在获取CA证书和本地证书之后进行

 

10.5  配置证书

10.5.1  生成RSA密钥对

(1)     在导航栏中选择“证书管理 > 证书”,进入PKI证书的显示页面,如下图所示。

图10-5 证书

 

(2)     单击页面上的<创建密钥>按钮,进入生成RSA密钥对的配置页面,如下图所示。

图10-6 创建密钥

 

(3)     设置RSA密钥的长度。

(4)     单击<确定>按钮完成操作。

10.5.2  销毁RSA密钥对

(1)     在导航栏中选择“证书管理 > 证书”,进入PKI证书的显示页面,如图10-5所示。

(2)     单击页面上的<销毁密钥>按钮,进入销毁RSA密钥对的配置页面,如下图所示。

(3)     单击<确定>按钮将销毁设备上已存在的RSA密钥对和对应的本地证书。

图10-7 销毁密钥

 

10.5.3  获取和查看证书

用户通过此配置可以将已存在的CA证书或本地证书获取至本地。获取证书有两种方式:离线方式和在线方式。离线方式下获取证书需要通过带外方式(如FTP、磁盘、电子邮件等)取得证书,然后将其导入至本地。成功获取到本地的证书被保存在设备的根目录下,文件名称为domain-name_ca.cer(CA证书)、domain-name_local.cer(本地证书)。

(1)     在导航栏中选择“证书管理 > 证书”,进入PKI证书的显示页面,如图10-5所示。

(2)     单击页面上的<获取证书>按钮,进入获取PKI证书的配置页面,如下图所示。

图10-8 获取证书

 

(3)     配置获取PKI证书所需的信息,详细配置如下表所示。

(4)     单击<确定>按钮完成操作。

表10-5 获取PKI证书的详细配置

配置项

说明

PKI域名称

设置证书所在的PKI域

证书类型

设置要获取的证书的为CA证书或Local证书

启用离线方式

设置是否启用离线方式(如FTP、磁盘、电子邮件等)获取证书

从设备取得文件

当启用离线方式时,设置要导入的证书文件的存放路径和文件名

·     当证书文件保存在设备上时,选择“从设备取得文件”,并选择证书文件在设备上的存放路径和文件名。如果不指定具体的文件,则默认为设备根目录下名为domain-name_ca.cer(CA证书)或domain-name_local.cer(本地证书)的文件

·     当证书文件保存在本地主机上时,选择“从PC取得文件”,并设置证书文件在PC上的存放路径和文件名,以及文件上传到设备后存放在哪个分区

从PC取得文件

口令

当启用离线方式时,设置导入证书的口令,该口令在导出证书时指定,用于保护私钥的口令

 

(5)     获取证书后,在PKI证书显示页面中单击某证书对应的<查看证书>按钮,查看该证书的详细信息,如下图所示。

图10-9 查看证书的详细信息

 

10.5.4  申请本地证书

(1)     在导航栏中选择“证书管理 > 证书”,进入PKI证书的显示页面,如图10-5所示。

(2)     单击页面上的<申请证书>按钮,进入申请本地证书的配置页面,如下图所示。

图10-10 申请证书

 

(3)     配置申请本地证书所需的信息,详细配置如下表所示。

表10-6 申请本地证书的详细配置

配置项

说明

PKI域名称

设置证书所在的PKI域

挑战码

设置挑战码,即撤销证书时使用的密码

启用离线方式

设置是否启用离线方式(如电话、磁盘、电子邮件等)申请本地证书

当无法通过SCEP协议向CA在线申请证书时,可以选择启用离线方式申请本地证书

 

(4)     单击<确定>按钮。此时,如果采用在线方式申请证书,则会弹出提示框“证书申请已提交。”,再次单击<确定>按钮完成操作;如果采用离线方式申请证书,则页面上将显示离线申请证书的信息,如下图所示,用户可以将这些信息通过带外方式发送给CA进行证书申请。

图10-11 离线申请证书的信息

 

10.6  获取和查看CRL

(1)     在导航栏中选择“证书管理 > CRL”,进入CRL的显示页面,如下图所示。

图10-12 CRL

CRL

 

(2)     在列表中单击某PKI域对应的操作列的<获取CRL>按钮,可将CRL获取到本地。

(3)     获取CRL后,在列表中单击该PKI域对应的<查看CRL>按钮,可查看其CRL的详细信息,如下图所示。

图10-13 查看CRL的详细信息

 


11 系统管理

11.1  配置管理

11.1.1  保存配置

在导航栏中选择“系统管理 > 配置管理”,默认进入“保存配置”页签的页面,如图11-1所示。

图11-1 保存配置

 

·     单击<保存当前配置>按钮,可以将当前的配置保存到下次启动的配置文件。

·     单击<保存出厂配置>按钮,可以将当前的配置保存到下次启动的配置文件,同时将当前的配置保存为出厂配置。

11.1.2  初始化配置

在导航栏中选择“系统管理 > 配置管理”,单击“初始化”页签,进入如图11-2所示的页面。

图11-2 初始化

 

单击<恢复出厂配置>按钮,可以使设备的配置恢复到出厂配置。

11.1.3  备份配置

在导航栏中选择“系统管理 > 配置管理”,单击“配置备份”页签,进入如图11-3所示的页面。

图11-3 配置备份

 

·     单击“备份以”.cfg”结尾的配置文件”后面的<备份>按钮,会弹出“文件下载”对话框,用户可以选择将下次启动的.cfg配置文件打开进行查看或者保存到本地。

·     单击“备份以”.xml”结尾的配置文件”后面的<备份>按钮,会弹出“文件下载”对话框,用户可以选择将下次启动的.xml配置文件打开进行查看或者保存到本地。

11.1.4  恢复配置

在导航栏中选择“系统管理 > 配置管理”,单击“配置恢复”页签,进入如图11-4所示的页面。

图11-4 配置恢复

 

·     单击“(以”.cfg结尾的文件”)”前的<浏览>按钮,在弹出的对话框中选择要上传到设备的.cfg配置文件,单击<确定>按钮即可开始上传操作。

·     单击“(以”.xml结尾的文件”)”前的<浏览>按钮,在弹出的对话框中选择要上传到设备的.xml配置文件,单击<确定>按钮即可开始上传操作。

11.1.5  U盘备份和恢复

在导航栏中选择“系统管理 > 配置管理”,单击“U盘备份和恢复”页签,进入如图11-5所示的页面。

图11-5 U盘备份和恢复

 

·     在“设备文件”框中选择要备份的文件,单击<备份>按钮,可将选中的文件通过USB口备份到目的设备。

·     在“USB文件”框中选择要恢复的文件,单击<恢复>按钮,可将选中的文件通过USB口传送到设备上。

注意

可同时恢复多个文件,但只能包含一个启动文件或配置文件。

 

11.2  设备重启

注意

设备重启前请保存配置,否则重启后,未保存的配置将会全部丢失。设备重启后,用户需重新登录。

 

在导航栏中选择“系统管理 > 设备重启”,进入如图11-6所示的页面。单击<应用>按钮,进行设备重启。

图11-6 设备重启

 

设备重启前用户可根据需要选择“检查当前配置是否保存到下次启动配置文件中”。

·     如果选中该复选框,则系统会先进行检查。检查通过,则直接重启设备;检查不通过,则会弹出提示框提示当前配置和系统保存的配置不一致,且不会重启设备。此时需手动保存当前配置后,才能重启设备。

·     如果不选中该复选框,则系统会直接重启设备。

11.3  软件升级

注意

软件升级需要一定的时间。在软件升级的过程中,请不要在Web上进行任何操作,否则可能会导致软件升级中断。

 

在导航栏中选择“系统管理 > 软件升级”,进入如图11-7所示的页面。

图11-7 软件升级

 

软件升级的详细配置说明如表7-1所示。

表11-1 软件升级的详细配置说明

配置项

说明

文件

设置保存在本地的应用程序文件的路径和文件名

文件名必须带扩展名,且扩展名必须为.app或.bin

文件类型

设置文件的启动类型

·     Main:下次启动的主用启动文件

·     Backup:下次启动的备用启动文件

如果文件已经存在,直接覆盖

设置如果设备上存在重名文件时,是否直接覆盖

如果不选中此项,则当设备上有重名的文件存在时,将提示“文件已存在”,无法进行升级

软件升级成功之后,直接重启设备

设置当文件上传成功后,是否直接重启设备使更新后的软件生效

 

11.4  服务管理

在导航栏中选择“系统管理 > 服务管理”,进入服务管理的配置页面,如图11-8所示。

图11-8 服务管理

 

服务管理的详细配置说明如表11-2所示。

表11-2 服务管理的详细配置说明

配置项

说明

FTP服务

启用FTP服务

设置是否在设备上启用FTP服务

缺省情况下,FTP服务处于关闭状态

ACL

设置将FTP服务与ACL关联,只允许通过ACL过滤的客户端使用FTP服务

单击“FTP服务”前的扩展按钮可以显示此配置项

Telnet服务

启用Telnet服务

设置是否在设备上启用Telnet服务

缺省情况下,Telnet服务处于关闭状态

SSH服务

启用SSH服务

设置是否在设备上启用SSH服务

缺省情况下,SSH服务处于关闭状态

SFTP服务

启用SFTP服务

设置是否在设备上启用SFTP服务

缺省情况下,SFTP服务处于关闭状态

提示

启用SFTP服务的同时必须启用SSH服务

HTTP服务

启用HTTP服务

设置是否在设备上启用HTTP服务

缺省情况下,HTTP服务处于启用状态

端口号

设置HTTP服务的端口号

单击“HTTP服务”前的扩展按钮可以显示此配置项

提示

修改端口时必须保证该端口没有被其他服务使用

ACL

设置将HTTP服务与ACL关联,只允许通过ACL过滤的客户端使用HTTP服务

单击“HTTP服务”前的扩展按钮可以显示此配置项

HTTPS服务

启用HTTPS服务

设置是否在设备上启用HTTPS服务

缺省情况下,HTTPS服务处于关闭状态

证书

设置HTTPS服务所使用的本地证书,下拉框中显示的为证书的主题

可选的证书在“证书管理”中配置,详细配置请参见“10 证书管理设置

提示

不指定证书时,HTTPS服务将自己生成证书

端口号

设置HTTPS服务的端口号

单击“HTTPS服务”前的扩展按钮可以显示此配置项

提示

修改端口时必须保证该端口没有被其他服务使用

ACL

设置将HTTPS服务与ACL关联,只允许通过ACL过滤的客户端使用HTTPS服务

单击“HTTPS服务”前的扩展按钮可以显示此配置项

 

11.5  用户管理

11.5.1  创建用户

在导航栏中选择“系统管理 > 用户管理”,单击“创建用户”页签,进入如图11-9所示的页面。

图11-9 创建用户

 

创建用户的详细配置说明如表11-3所示。

表11-3 创建用户的详细配置说明

配置项

说明

用户名

设置用户的用户名

访问等级

设置用户的访问等级,以对不同用户能够进行的操作进行分类

用户访问等级由低到高分四级:

·     Visitor(访问级):处于该级别的用户可以进行Ping和Trace Route操作,但不能从设备读取任何数据,也不能对设备进行任何设置

·     Monitor(监控级):只能从设备读取数据,而不能对设备进行任何设置

·     Configure(系统级):可以从设备读取数据,并对设备进行配置,但是不能对设备进行软件升级、添加/删除/修改用户、备份/恢复配置文件等操作

·     Management(管理级):可以对设备进行任何操作

提示

只有Web、FTP和Telnet用户支持访问等级

密码

设置用户登录时的密码

确认密码

输入的确认密码必须与密码一致。如果不一致,在提交设置时,系统会弹出提示框,提示两次输入的密码不匹配

服务类型

设置用户可以使用的服务类型,包括:Web服务、FTP服务、Telnet服务、Terminal服务(即用户可以从Console口、AUX口、Asyn口登录)和PPP服务,必须至少选择一种服务

 

11.5.2  设置超级密码

本功能用来设置用户从当前访问权限向管理级权限切换时使用的密码。切换密码只能由管理级权限的用户设置,给低于管理级权限的用户使用。如果没有设置切换密码,则切换操作失败。

在导航栏中选择“系统管理 > 用户管理”,单击“超级密码”页签,进入如图11-10所示的页面。

图11-10 超级密码

 

超级密码的详细配置说明如表11-4所示。

表11-4 超级密码的详细配置说明

配置项

说明

创建/删除

设置要进行操作的类型

·     创建:表示要设置或修改超级密码

·     删除:表示要删除当前的超级密码设置

密码

设置用户切换到管理级权限时的密码

输入的确认密码必须与密码一致。如果不一致,在提交设置时,系统会弹出提示框,提示管理员两次输入的密码不匹配

确认密码

 

11.5.3  切换用户访问等级到管理级

在导航栏中选择“系统管理 > 用户管理”,单击“切换到管理级”页签,进入如图11-11所示的页面。输入超级密码后,单击<登录>按钮,完成切换操作。

图11-11 切换到管理级

 

11.6  时间设置

11.6.1  配置系统时间

在导航栏中选择“系统管理 > 时间设置”,默认进入“时间设置”页签的页面,如图11-12所示。

图11-12 时间设置

 

系统时间的详细配置说明如表11-5所示。

表11-5 系统时间的详细配置说明

配置项

说明

自动同步

NTP服务器1

设置选择自动同步NTP服务器的时间,并输入主用NTP服务器(即NTP服务器1)的IP地址和备用NTP服务器(即NTP服务器2)的IP地址

提示

·     选择自动同步时,设备会周期性地向NTP服务器进行时钟同步。当同步失败时,系统时间为手动设置的时间;在同步成功后,再切换回自动同步的时间

·     NTP服务器IP地址是一个主机地址,不能为广播地址、组播地址或本地时钟的IP地址

·     如果NTP服务器的系统时间比设备当前系统时间晚较多,超过了Web闲置超时时间(10分钟),则NTP时钟同步成功后,所有在线Web用户会超时退出登录

NTP服务器2

手动设置

设置选择手动设置的系统时间,并制定指定具体的日期和时间

可以直接在文本框中修改系统时间,也可以通过日历操作界面来修改系统时间。单击此文本框,可以展开日历操作界面,如图11-13所示,可以进行的操作如下:

·     单击<今天>按钮,可以将日历上当前的日期设置为本地主机的当前系统日期,时间参数保持之前的值不变

·     设置年、月、日和具体时间,单击<确定>按钮,可以完成日期和时间参数的设置

 

图11-13 日历操作界面

 

11.6.2  配置系统时区和夏令时

在导航栏中选择“系统管理 > 时间设置”,单击“时区”页签,进入如图11-14所示的页面。

图11-14 时区

 

系统时区和夏令时的详细配置说明如表11-6所示。

表11-6 系统时区和夏令时的详细配置说明

配置项

说明

时区

设置系统所在的时区

根据夏令时调整时钟

设置根据夏令时制调整系统时钟,即在指定时间段内将系统的当前时间增加1小时

单击“根据夏令时调整时钟”前的复选框,展开夏令时生效时间段的配置内容,如图11-15所示。夏令时生效时间段的有两种配置方式:

·     从某一个年份开始,以1年为周期,每年从一个绝对的起始日期和时间到一个绝对的结束日期和时间的时间段内采用夏令时,该时间段必须大于1天且小于1年,如:从2006年开始每年8月1日06:00:00开始到9月1日06:00:00结束采用夏令时

·     以1年为周期,每年从一个相对的起始日期和时间到一个相对的结束日期和时间的时间段内采用夏令时,该时间段必须大于1天且小于1年,如:每年从8月的第一周的周一06:00:00开始到9月的最后一周的周日06:00:00结束采用夏令时

 

图11-15 设置夏令时

 

11.7  TR-069

在导航栏中选择“系统管理 > TR-069”,进入如图11-16所示的页面。

图11-16 TR-069设置

 

TR-069参数的详细配置如表11-7所示。

表11-7 TR-069参数的详细配置

配置项

说明

TR-069

设置开启或关闭TR-069功能

使能TR-069功能后,其它的配置才有效

ACS

URL

设置向ACS发起连接所使用的URL

用户名

设置向ACS发起连接所使用的用户名

密码

设置向ACS发起连接所使用的密码

可以只用用户名验证,但ACS和CPE上的配置必须一致

CPE

用户名

设置CPE对从ACS发来的连接进行认证所使用的用户名

密码

设置CPE对从ACS发来的连接进行认证所使用的密码

可以只用用户名验证,但ACS和CPE上的配置必须一致

发送Inform报文

设置开启或关闭CPE周期发送Inform报文功能

发送周期

设置CPE发送Inform报文的周期

CPE连接接口

设置CPE连接接口,CPE将在Inform报文中携带此接口的IP地址,希望ACS通过此IP地址和自己建立连接

 


12 辅助工具

12.1  日志管理

系统日志包含了网络和设备的大量信息,包括运行状态、配置变化等,是网络管理员监控网络和设备运行情况的重要途径。系统日志提供的信息可以帮助网络管理员发现网络问题或安全隐患,以便采取针对性的措施。

12.1.1  查看系统日志

在导航栏中选择“辅助工具 > 日志管理”,默认进入“日志显示”页签的页面,如图12-1所示。

图12-1 日志显示

 

系统日志的详细说明如表12-1所示。

表12-1 系统日志的详细说明

标题项

说明

时间/日期

系统日志产生的时间和日期

模块

产生系统日志的模块名

级别

系统日志的级别。系统日志按严重性划分为八个级别,严重性由高到低的顺序依次为:

·     Emergency:系统不可用信息

·     Alert:需要立刻做出反应的信息

·     Critical:严重信息

·     Error:错误信息

·     Warning:警告信息

·     Notification:正常出现但是重要的信息

·     Information:需要记录的通知信息

·     Debug:调试过程产生的信息

摘要

系统日志的摘要内容

描述

系统日志的详细内容

 

12.1.2  设置日志主机

在导航栏中选择“辅助工具 > 日志管理”,单击“日志主机”页签,进入日志主机设置页面,如图12-2所示。

图12-2 日志主机

 

日志主机的详细配置说明如表12-2所示。

表12-2 日志主机的详细配置说明

配置项

说明

IPv4/域名

设置日志主机的IPv4地址或域名

主机IP地址/域名

IPv6

设置日志主机的IPv6地址

主机IP地址

 

12.1.3  设置缓冲区容量和刷新周期

在导航栏中选择“辅助工具 > 日志管理”,单击“系统设置”页签,进入如图12-3所示的页面。

图12-3 系统设置

 

系统日志相关参数的详细配置说明如表12-3所示。

表12-3 系统日志相关参数的详细配置说明

配置项

说明

缓冲区容量

设置Web页面日志缓冲区可存储的日志条数

刷新周期

设置日志显示Web页面的刷新周期,分为手动刷新和自动刷新两种方式

·     手动刷新:只能在日志显示页面单击<刷新>按钮手动刷新页面

·     自动刷新:系统将根据选择的周期,每隔1、5或10分钟自动刷新日志显示页面

 

12.2  诊断工具

12.2.1  Trace Route操作

说明

·     Web目前不支持对IPv6地址进行Trace Route操作。

·     进行Trace Route操作前,需要先在中间设备上执行ip ttl-expires enable命令开启ICMP超时报文的发送功能,并且在目的设备上执行ip unreachables enable命令开启ICMP目的不可达报文发送功能。

 

在导航栏中选择“辅助工具 > 诊断工具”,默认进入“Trace Route”页签的页面,如图12-4所示。

图12-4 Trace Route

 

在文本框中输入Trace Route操作的目的IP地址或者主机名,单击<开始>按钮开始执行Trace Route操作,在“信息”框中会显示Trace Route操作的输出结果。

12.2.2  Ping操作

说明

Web目前不支持对IPv6地址进行Ping操作。

 

在导航栏中选择“辅助工具 > 诊断工具”,单击“Ping”页签,进入如图12-5所示的页面。

图12-5 Ping

 

在文本框中输入Ping操作的目的IP地址或者主机名,单击<开始>按钮开始执行Ping操作,在“信息”框中会显示Ping操作的输出结果。

 


13 WiNet配置

13.1.1  概述

随着网络规模的增加,网络边缘需要使用大量的接入设备,这使对这些设备的管理工作非常繁琐。同时,要为这些设备逐一配置IP地址,在目前IP地址资源日益紧张的情况下无疑也是一种浪费。WiNet(Wisdom NetWork,智能网络)的主要目的就是解决大量分散的网络设备的集中管理问题。

WiNet节省了公网IP地址、是内嵌式的、易部署、低成本、界面友好、即插即用、还有简单快速部署安全认证功能。

根据在WiNet中所处的地位和功能的不同,可把WiNet中的设备分为以下三种角色:

·     管理设备(Administrator):在WiNet中对整个WiNet管理发挥接口作用的设备,也是WiNet中唯一配置公网IP地址的设备。每个WiNet必须(且只能)指定一个管理设备。对WiNet中的其它设备进行配置、管理和监控都必须通过WiNet设备来进行,WiNet设备通过收集相关信息来发现和确定候选设备。

·     成员设备(Member):在WiNet中处于被管理状态的设备。

·     候选设备(Candidate):指还没有加入WiNet但具备WiNet能力、能够成为WiNet成员的设备。它与成员设备的区别在于:其拓扑信息已被管理设备收集到但尚未加入WiNet。

13.1.2  WiNet的启动和管理配置

(1)     在导航栏中选择“WiNet”,在未启动WiNet时,会弹出提示信息“只有WiNet管理设置支持该功能”,单击<确定>按钮即进入“设置”页签的页面,如图13-1所示。

图13-1 WiNet设置

 

启动WiNet的详细配置说明如表13-1所示。

表13-1 启动WiNet的详细配置说明

配置项

说明

WiNet名

设置WiNet的名称

管理VLAN

设置WiNet的管理VLAN,只能设置已经存在的静态VLAN

管理VLAN是指WiNet协议报文通讯所使用的VLAN,它限制了WiNet管理的范围,通过配置管理VLAN,可实现如下功能:

·     WiNet的管理报文都将限制在管理VLAN内,实现了与其它报文的隔离,增加了安全性

·     管理设备和成员设备、候选设备通过管理VLAN实现了内部通讯

提示

WiNet管理要求管理设备与成员/候选设备相连的端口(包括级联端口)、管理设备连接外部网络的端口都要允许管理VLAN通过

地址池

设置WiNet的地址池的IP地址和网络掩码,加入该WiNet的成员设备都会分配到该地址池中的一个地址,其中管理设备的地址即为指定的地址池IP地址

地址池掩码

 

(2)     配置完成后,点击<启动WiNet>按钮。

WiNet启动后,不能再对“设置”页面上的配置项进行配置,且<启动WiNet>按钮变为<关闭WiNet>按钮。单击<关闭WiNet>按钮,即可删除WiNet。

(3)     在导航栏中选择“WiNet”,默认进入WiNet管理页签的页面。如图13-2所示。

图13-2 WiNet管理

 

在“WiNet管理”页面可以进行如下操作:

·     设置刷新周期,可以按照指定的周期自动刷新页面显示的拓扑图;若选择“手动刷新”,则可以单击<手动刷新>按钮来刷新页面显示的拓扑图。

·     单击<拓扑收集>按钮,管理设备开始重新进行拓扑收集。需要注意的是,除了手动触发拓扑收集,系统还会每隔1分钟自动进行一次拓扑收集。

·     单击<网络快照>按钮,管理设备将当前网络的拓扑保存为基准拓扑,用于对比在不同时间网络拓扑的变化。

·     单击<拓扑初始化>按钮,将清除管理设备内存中保存的基准拓扑记录和浏览器记录的Cookie信息。

·     单击<启动认证中心>按钮,将在管理设备上启动RADIUS服务器功能,用于客户端用户进行安全认证;同时,管理设备上将自动生成一个来宾用户guest及其密码,并且管理设备会在每天的24:00自动更新来宾用户密码。

·     认证中心启动之后,页面上的<启动认证中心>按钮会变为<关闭认证中心>,单击此按钮将在管理设备上关闭RADIUS服务器功能,并自动删除生成的来宾用户guest。

·     在拓扑图上可以用鼠标拖动各设备图标,按用户的需要摆放设备图标的位置。如果用户使用的浏览器设置了可以接受Cookie,则在执行快照操作时,拖动后的各设备位置信息也将被保存下来。

·     在拓扑图中对某个设备双击鼠标左键,则弹出该设备详细信息的显示框,可以查看该设备的主机名、MAC地址、设备类型、IP地址、版本、跳数、WiNet信息等。

·     查看WiNet拓扑信息,包括各设备的角色、设备间的连接状态。

说明

正常连接:基准拓扑中存在,当前拓扑也存在的连接。

新增连接:基准拓扑中不存在,当前拓扑中存在的连接。

环路阻断:被STP阻塞的连接。需要注意的是,当一个正常连接环路阻断时,显示为黑色虚线;当一个新增连接环路阻断时,显示为蓝色虚线。

断路连接:基准拓扑中存在,当前拓扑中不存在的连接。

 

13.1.3  WiNet的认证配置

(1)     建立WiNet网络,步骤请参见“13.1.2  WiNet的启动和管理配置”。

(2)     点击“用户管理”页签,进入用户管理页面。如图13-3所示。

图13-3 用户管理

 

(3)     点击“新建”按钮,进入新建用户的配置页面。如图13-4所示。配置完成后点击“确定”按钮生效。

图13-4 新建用户

 

用户的详细配置说明如表13-2所示。

表13-2 用户的详细配置说明

配置项

说明

用户名

设置用户的名称

用户密码

设置用户的密码和确认密码,用户密码和确认密码必须一致

提示

输入的密码如果以空格开头,则开头的空格将被忽略

确认密码

授权VLAN

设置用户的授权VLAN ID

提示

如果指定了授权VLAN,但接入设备不支持授权VLAN属性,则会导致用户认证失败

授权ACL

设置用户的授权ACL序号

提示

如果指定了授权ACL,但接入设备不支持授权ACL属性,则会导致用户认证失败

过期时间

设置用户的有效截止时间,格式为HH:MM:SS-YYYY/MM/DD(时:分:秒-年/月/日)

当指定了过期时间的用户进行认证时,如果管理设备当前的系统时间超过了过期时间,则用户认证失败

备注信息

描述用户的相关信息

用户类型

设置用户的类型,包括:普通用户和来宾管理员

来宾用户管理员可以获取来宾用户guest的密码信息

 

(4)     选择“WiNet管理”页签 ,点击“启动认证中心”。如图13-5所示。

图13-5 启动认证中心

 

(5)     选中成员设备,在设备面板示意图上点击选中端口,点击“端口布防”,完成配置。如图13-6所示。配置完成后,用户可以通过设备进行安全认证,认证通过后可以访问外部网络。

图13-6 端口布防

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们