Hillstone山石网科基础配置手册5.0.doc-道客多多

资源描述

1、Hillstone 山石网科多核安全网关基础配置手册version 目录第 1 章设备管理 .1设备管理介绍 .1终端 Console 登录 1WebUI 方式登录 1恢复出厂设置 .2通过 CLI 方式 2通过 WebUI 方式 .2通过 CLR 按键方式 .4StoneOS 版本升级 4通过网络迅速升级 StoneOS（TFTP） 4通过 WebUI 方式升级 StoneOS.6许可证安装 8通过 CLI 方式安装 8通过 WebUI 方式安装 .8第 2 章基础上网配置 11基础上网配置介绍 11接口配置 .11路由配置 .12策略配置 .14源 NAT 配置 15第 3 章常用功

2、能配置 17常用配置介绍 .17PPPoE 配置 .17DHCP 配置 19IP-MAC 绑定配置 21端到端 IPsec VPN 配置 .23SCVPN 配置 30DNAT 配置 37一对一 IP 映射 .38一对一端口映射 40多对多端口映射 43一对多映射（服务器负载均衡） 46第 4 章链路负载均衡 48链路负载均衡介绍 48基于目的路由的负载均衡 .49基于源路由的负载均衡 50智能链路负载均衡 50第 5 章 QoS 配置 53QoS 介绍 53IP QoS 配置 53应用 QoS 配置 .55混合 QoS 配置 .58QoS 白名单配置 .59第 6 章网络行为控制 60UR

3、L 过滤（有 URL 许可证） .60配置自定义 URL 库 .63URL 过滤（无 URL 许可证） .64网页关键字过滤 65网络聊天控制 .69第 7 章 VPN 高级配置 72基于 USB Key 的 SCVPN 配置 72新建 PKI 信任域 .72配置 SCVPN .77制作 USB Key.78使用 USB Key 方式登录 SCVPN.80PnPVPN.82用户配置 83IKE VPN 配置 .84隧道接口配置 88路由配置 88策略配置 89PnPVPN 客户端配置 90第 8 章高可靠性 .92高可靠性介绍 .92高可靠性配置 .93关于本手册手册内容本手册为 Hills

4、tone 山石网科多核安全网关的基础配置手册，对 Hillstone 山石网科多核安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的 WebUI 配置。适用于StoneOS 5.0 以及以上版本。具体内容包括：第 1 章：设备管理。介绍登录方式、StoneOS 升级以及许可证安装等。第 2 章：基础上网配置。介绍接口、路由、策略等基本上网配置。第 3 章：常用功能配置。介绍 PPPoE 拨号、动态地址分配 DHCP、DNAT 等配置。第 4 章：链路负载均衡。介绍基于目的路由、源路由、策略路由的流量负载配置等。第 5 章：QoS 配置。介绍 QoS 功能及配置。第 6

5、章：网络行为控制配置。介绍 URL 过滤、网页关键字以及网络聊天控制配置。第 7 章：VPN 高级配置。介绍基于 USB Key 的 SCVPN 配置以及 PnPVPN 配置。第 8 章：高可靠性。介绍高可靠性（HA ）的配置。手册约定为方便用户阅读与理解，本手册遵循以下约定：内容约定本手册内容约定如下：提示：为用户提供相关参考信息。说明：为用户提供有助于理解内容的说明信息。注意：如果该操作不正确，会导致系统出错。：用该方式表示 Hillstone 设备 WebUI 界面上的链接、标签或者按钮。例如， “点击登录按钮进入 Hillstone 设备的主页” 。：用该方式表示 Web

6、UI 界面上提供的文本信息，包括单选按钮名称、复选框名称、文本框名称、选项名称以及文字描述。例如， “改变 MTU 值，选中单选按钮，然后在文本框中输入合适的值” 。Hillstone 山石网科基础配置手册 1第 1 章设备管理设备管理介绍为方便管理员管理与配置，安全网关支持本地（Console 口）与远程（Telnet、SSH、HTTP 以及 HTTPS）两种环境配置方法，可以通过 CLI 和 WebUI 两种方式进行配置。终端 Console 登录通过 Console 口，用户可登录安全网关设备的 CLI，从而使用命令行对设备进行配置。在计算机上运行终端仿真程序（系统的超级终端、Sec

7、ureCRT 等）建立与安全网关的连接。按照表 1配置终端参数：表 1：配置终端参数参数数值波特率 9600 bit/s数据位 8奇偶校验无停止位 1WebUI 方式登录WebUI 是最方便、直观、简单的配置方式，WebUI 同时支持 http 和 https 两种访问方式。安全网关的 ethernet0/0 接口配有默认 IP 地址 192.168.1.1/24，初次使用安全网关时，用户可以通过该接口访问安全网关的 WebUI 页面。请按照以下步骤：1. 将管理 PC 的 IP 地址设置为与 192.168.1.1/24 同网段的 IP 地址，并且用网线将管理PC 与安全网关的 ethe

8、rnet0/0 接口进行连接。2. 在管理 PC 的 Web 浏览器中输入地址“http:/192.168.1.1 ”并按回车键。出现登录页面如下图所示。Hillstone 山石网科基础配置手册 2恢复出厂设置Hillstone 山石网科提供三种方法恢复设备的出厂配置，分别是：命令行：通过 CLI 使用命令进行恢复 WebUI：通过 WebUI 清除配置以恢复出厂配置物理方法：使用设备的 CLR 按键进行恢复通过 CLI 方式通过 CLI 使用命令恢复出厂设置，请按照以下步骤进行操作：1. 在执行模式下，使用 unset all命令。2. 根据提示，选择是否保存当前配置：y/n。3. 选择

9、是否重启设备：y/n。4. 系统重启后即出厂配置恢复完毕。通过 WebUI 方式通过 WebUI 恢复出厂配置，请按照以下步骤进行操作：1. 通过 WebUI 方式登录 StoneOS，从工具栏的下拉菜单选择配置备份还原Hillstone 山石网科基础配置手册 3。如下图所示： 2. 在弹出的对话框，选择单选按钮，并点击下一步按钮。3. 选择是否重启设备。为使配置生效，用户需重新启动设备。选择单选按钮，并点击完成按钮。Hillstone 山石网科基础配置手册 44. 所有配置将会被清除，然后设备将自动重启。通过 CLR 按键方式使用 CLR 按键恢复出厂配置，请按照以下步骤进行操作：1. 关

10、闭安全网关的电源。2. 用针状物按住 CLR 按键的同时打开安全网关的电源。3. 保持按住状态直到指示灯 STA 和 ALM 均变为红色常亮，释放 CLR 按键。此时系统开始恢复出厂配置。4. 出厂配置恢复完毕，系统将会自动重新启动。StoneOS 版本升级通过网络迅速升级 StoneOS（TFTP）Sysloader 可以从 TFTP 服务器获取 StoneOS，从而保证用户能够通过网络迅速升级StoneOS。请按照以下步骤进行操作：1. 给设备上电根据提示按 ESC 键并且进入 Sysloader。参照以下操作提示：HILLSTONE NETWORKSHillstone Bootloade

11、r 1.3.2 Aug 14 2008-19:09:37DRAM: 2048 MBBOOTROM: 512 KBHillstone 山石网科基础配置手册 5Press ESC to stop autoboot: 4 （5 秒倒计时结束前按“ESC”键）Run on-board sysloader? y/n: y （键入字母“ y”或者敲回车键）Loading: #2. 从 Sysloader 的操作选择菜单选择通过 TFTP 升级 StoneOS。参照以下操作提示：Sysloader 1.2.13 Aug 14 2008 - 16:53:421 Load firmware via TFTP2

12、Load firmware via FTP3 Load firmware from USB disks (not available)4 Select backup firmware as active5 Show on-board firmware6 ResetPlease select: 1 （在此处键入 “1”并敲回车键）3. 确保设备与控制主机的连通性，并将需升级的 StoneOS 拷贝到指定目录下。4. 依次配置 Sysloader 的 IP 地址、TFTP 服务器的 IP 地址、网关 IP 地址以及 StoneOS名称。参照以下操作提示：Local ip address : 10.

13、2.2.10/16（输入 Sysloader 的 IP 地址并敲回车键）Server ip address : 10.2.2.3（输入 TFTP 服务器的 IP 地址并敲回车键）Gateway ip address : 10.2.2.1（如果 Sysloader 与 TFTP 服务器的 IP地址不属于同一个网段，输入网关的 IP 地址并敲回车键；否则直接敲回车键） Hillstone 山石网科基础配置手册 6File name : StoneOS-3.5R2（输入 StoneOS 名称并敲回车键，系统开始通过 TFTP获取 StoneOS）#5. 保存 StoneOS。参照以下操作提示：Fil

14、e total length 10482508Checking the image.Verified OKSave this image? y/n: y（键入字母“y”或者敲回车键，保存获得的 StoneOS）Saving .Set StoneOS-3.5R2 as active boot image6. 重启。系统将使用新的 StoneOS 启动。参照以下操作提示：Please reset board to boot this image1 Load firmware via TFTP2 Load firmware via FTP3 Load firmware from USB disks

15、(not available)4 Select backup firmware as active5 Show on-board firmware6 ResetPlease select: 6（在此处键入 “6”并敲回车键，系统开始重启）设备的 Flash 中最多可以储存两个 StoneOS。如果 Flash 中已经保存了两个 StoneOS，请根据提示对储存的 StoneOS 进行删除。通过 WebUI 方式升级 StoneOS1. 通过 WebUI 方式登录 StoneOS，从工具栏的下拉菜单选择版本升级。如下图所示： 2. 在弹出的对话框，选择单选按钮，并点击下一步按钮。Hillsto

16、ne 山石网科基础配置手册 73. 在下拉菜单中选择一个软件版本做为备份，然后点击后的浏览按钮并在本地 PC 选择新的软件版本文件。4. 点击下一步。根据需要，选择单选按钮，并点击完成按钮。为使配置生效，用户需重新启动设备。Hillstone 山石网科基础配置手册 8注意：如果选择暂不重新启动设备，将会在下次重新启动设备后加载新版本 StoneOS。许可证安装通过 CLI 方式安装通过 CLI 使用命令安装许可证，请按照以下步骤进行操作：1. 登录 StoneOS，在执行模式下，使用 exec license install license-string 命令（license-stri

17、ng 要安装的许可证字符串。输入“license：”后的字符串）。如下图所示：2. 根据系统提示重启后即完成许可证安装。通过 WebUI 方式安装通过 WebUI 安装许可证，请按照以下步骤进行操作：1. 通过 WebUI 方式登录 StoneOS，从工具栏的下拉菜单选择许可证。如下图所示：Hillstone 山石网科基础配置手册 92. 在弹出的对话框中，许可证列表可查看当前系统许可证的类型和有效时间。3. 在处，用户可根据需要，选择手动输入许可证请求或选择上传本地文件。上传许可证文件：选中单选按钮（许可证为纯文本.txt 文件），点击浏览按钮，并且选中许可证文件；手动输入：选中

18、单选按钮，然后将许可证字符串内容（包含“license：”及之后内容）输入到对应的文本框。4. 点击确定按钮保存所做配置，并且重启设备完成许可证的安装。Hillstone 山石网科基础配置手册 10第 2 章基础上网配置基础上网配置介绍为使设备实现正常上网，基本配置包括接口、路由、策略以及源 NAT 的配置。接口配置接口配置，请按照以下步骤进行操作：1. 通过 WebUI 方式登录 StoneOS，从页面左侧导航树选择并点击“配置-网络-网络连接”，进入网络连接页面。2. 从接口列表中选中需要编辑的接口，双击或者点击列表右上方的编辑按钮。3. 在弹出的对话框对接口进行编辑: 绑定安全域：指定

19、接口的安全域类型。三层接口选择三层安全域，二层接口选择二层安全域；安全域：选择安全域名称。一般情况下，内网选择 trust 或 l2-trust；外网选择Hillstone 山石网科基础配置手册 11untrust 或 l2-untrust。 IP 配置：为接口配置 IP 地址相关信息。管理方式：指定接口的管理方式。在部分选中需要的管理方式的复选框。提示：如果外网接口使用 PPPoE 拨号方式接入，关于接口的配置请参阅 PPPoE 配置。路由配置路由配置，请按照以下步骤进行操作：1. 通过 WebUI 方式登录 StoneOS，从页面左侧导航树选择并点击“配置-网络-路由”，进入路由页

20、面。2. 点击目的路由标签，进入目的路由页面。3. 从下拉菜单选择一个 VR，新建的路由将属于该 VR，默认为“trust-vr” 。4. 点击目的路由列表左上角的新建按钮，弹出对话框，在该对话框对目的路由进行编辑：目的地：指定路由条目的目的 IP。子网掩码：指定路由条目的目的 IP 对应的子网掩码。Hillstone 山石网科基础配置手册 12 下一跳：指定下一跳类型，选中或单选按钮。若选择，需在文本框中输入网关 IP 地址。若选择，需在下拉菜单中选择接口名称。如果该接口为 tunnel 的时候，需要在可选栏输入 tunnel 对端的网关地址。如：下一跳网关指定为 122.193.

21、30.97（由运营商提供网关地址）。优先权：该参数取值越小，优先级越高，而在有多条路由选择的时候，优先级高的路由会被优先使用。取值范围是 1 到 255，默认值为 1。当优先级为 255 时，该路由无效。路由权值：路由权值决定负载均衡中流量转发的比重。范围是 1 到 255，默认值是1。5. 用户可以根据需要，在文本框中指定目的路由的描述信息。6. 点击确定按钮，完成新建目的路由。Hillstone 山石网科基础配置手册 13策略配置策略配置，请按照以下步骤进行操作：1. 通过 WebUI 方式登录 StoneOS，从页面左侧导航树选择并点击“配置-安全-策略”，进入策略页面。2. 点

22、击列表左上角的新建按钮，弹出对话框，在该对话框对策略规则进行编辑。基本选项包含策略的源/目的安全域和源/ 目的地址的选择，以及服务、时间表、用户、行为和策略描述的指定。Hillstone 山石网科基础配置手册 143. 配置完成后，点击确定按钮保存所做配置并返回策略页面。源 NAT 配置源 NAT 配置，请按照以下步骤进行操作：1. 通过 WebUI 方式登录 StoneOS，从页面左侧导航树选择并点击“配置-网络-NAT”，进入源 NAT 页面。2. 点击源 NAT 列表中的新建按钮，弹出对话框。在该对话框对源 NAT规则进行编辑。Hillstone 山石网科基础配置手册 153. 配置完

23、成后，点击确定按钮保存所做配置。Hillstone 山石网科基础配置手册 16第 3 章常用功能配置常用配置介绍本章介绍 Hillstone 山石网科多核安全网关的一些常用功能配置，包括 PPPoE、DHCP 、IP-MAC 绑定、端到端 IPsec VPN、SCVPN、DNAT 等配置。PPPoE 配置PPPoE 配置，请按照以下步骤进行操作：1. 通过 WebUI 方式登录 StoneOS，从页面左侧导航树选择并点击“配置-网络-网络连接”，进入网络连接页面。2. 从接口列表中选中需要编辑的接口，双击或者点击列表右上方的编辑按钮。3. 在弹出的对话框对接口进行编辑。4. 点击确定按钮保存

24、所做配置并返回网络连接页面。5. 从页面右侧辅助栏的区选择PPPoE 列表链接，弹出对话框。6. 点击页面左上角的新建按钮，弹出对话框。在该对话框进行配置。Hillstone 山石网科基础配置手册 177. 配置完成点击确定按钮并返回 PPPoE 列表对话框。选中需要连接 /断开的 PPPoE 实例，然后点击页面左上角的连接按钮。Hillstone 山石网科基础配置手册 18DHCP 配置DHCP 配置，请按照以下步骤进行操作：1. 通过 WebUI 方式登录 StoneOS，从页面左侧导航树选择并点击“配置-网络-网络连接”，进入网络连接页面。2. 从页面右侧辅助栏的区选择DHCP

25、列表链接，弹出对话框。在该对话框对 DHCP 进行编辑：接口：选择应用 DHCP 服务器功能的接口。类型：选中单选按钮。基本配置：在标签页对 DHCP 的基本属性进行配置。Hillstone 山石网科基础配置手册 193. 配置完成点击确定按钮并返回 DHCP 列表对话框。并且将用户 pc 或者交换机连接在相应端口，即可获取 IP 地址。Hillstone 山石网科基础配置手册 20IP-MAC 绑定配置IP-MAC 绑定配置，请按照以下步骤进行操作：1. 通过 WebUI 方式登录 StoneOS，从页面左侧导航树选择并点击“配置-安全-ARP 防护”，进入 ARP 防护页面。2.

26、从静态 IP-MAC 绑定条目列表中选中需要绑定的 IP-MAC 条目，双击或者点击列表上方的编辑按钮，弹出对话框。3. 在对话框中，选中复选框开启 IP-MAC 绑定，并点击确定按钮保存配置。Hillstone 山石网科基础配置手册 214. 默认情况下，安全网关的 ARP 学习功能是开启的，IP-MAC 绑定成功后，还需要关闭接口的 ARP 学习功能。5. 从页面左侧导航树选择并点击“配置-网络- 网络连接”，进入网络连接页面，从接口列表中选中需要编辑的接口，双击或者点击列表右上方的编辑按钮。6. 在弹出的对话框中，点击属性标签，在部分取消选中 ARP 学习后的启用复选框开启接口的 A

27、RP 学习功能。Hillstone 山石网科基础配置手册 22端到端 IPsec VPN 配置在 Hillstone 安全网关 A 和 Hillstone 安全网关 B 之间建立一个安全隧道，PC1 作为Hillstone 安全网关 A 端的主机，PC2 作为 Hillstone 安全网关 B 端的主机，两端的公网 IP 都是固定的情况下，配置端到端的 IPsec VPN，拓补图如下：使用 IKE VPN 即自动协商方式配置 IPsec VPN，配置包括：配置 P1 提议配置 VPN 对端配置 P2 提议配置隧道Hillstone 山石网科基础配置手册 23 绑定接口到隧道配置隧道路

28、由和策略具体配置。请按照以下步骤进行操作：1. 配置 P1 提议。通过 WebUI 方式登录 StoneOS，从页面左侧导航树选择并点击“配置-网络-IPsec VPN”，进入 IPsec VPN 页面。点击P1 提议标签，进入 P1 提议标签页。2. 点击 P1 提议列表左上方的新建按钮，弹出对话框。在该对话框进行编辑：提议名称：指定或者显示 P1 提议的名称。认证：指定 IKE 身份认证的方式。验证算法：为 P1 提议指定验证算法。选中所需验证算法的单选按钮。加密算法：为 P1 提议指定加密算法。 DH 组：为 P1 提议选择 DH 组。生存时间：指定 SA 第一阶段的生命周期长

29、度，单位为秒。默认 86400 秒。3. 配置 VPN 对端。在 IPsec VPN 页面，点击VPN 对端列表标签，进入 VPN 对端列表标签页。4. 点击 VPN 对端列表左上方的新建按钮，弹出对话框。在该对话框对 VPN 对端进行基本配置。Hillstone 山石网科基础配置手册 24注意：如果在设备前还有其他 NAT 设备，需在标签下配置 NAT 穿越功能。5. 配置 P2 提议。在 IPsec VPN 页面，点击P2 提议标签，进入 P2 提议标签页。6. 点击 P2 提议列表左上方的新建按钮，弹出对话框。在该对话框进行 P2 提议配置。Hillstone 山石网科基础配置手册

30、257. 配置隧道。在 IPsec VPN 页面，点击 IKE VPN 列表左上方的新建按钮，弹出对话框。8. 在部分配置各选项。点击后面的导入按钮，并在下拉菜单选择已配置的 VPN 对端名称，导入系统中已配置的 VPN 对端参数。9. 点击，配置隧道相关选项。Hillstone 山石网科基础配置手册 26注意：隧道配置完成后，需要流量触发 VPN 连接。如果需要自动连接，请在标签下配置自动连接功能。10. 绑定接口到隧道。从主页面左侧导航树选择并点击“配置-网络-网络连接”，进入网络连接页面。点击接口列表左上角的新建按钮，从下拉菜单中选择并点击，系统弹出对话框。在该对话框绑定接口到隧道。

展开阅读全文