1、华盾 VPN 安装手册华盾 VPN 安装手册i 1 前言 .11.1 文档目的 .11.2 读者对象 .11.3 文档组织 .11.4 约定 .11.5 相关文档 .22 安装华盾 VPN.32.1 系统组成与规格 .32.1.1 系统组成 .32.1.2 系统规格 .32.2 确定工作模式 .32.3 系统安装 .42.3.1 硬件设备安装 .42.3.2 检查工作状态 .52.4 登录系统 .52.4.1 出厂配置 .62.4.2 通过 CONSOLE 口登录 .72.4.3 设置其他管理方式 .92.4.4 设置管理主机 .122.4.5 通过浏览器登录 .132.4.6 通过 SSH
2、方式登录 .132.5 恢复出厂配置 .133 配置案例 .153.1 案例 1:路由模式下通过专线访问外网 .153.2 案例 2:混合模式下通过 ADSL 拨号访问外网 .183.3 案例 3:建立 VPN 隧道 .21目 录华盾 VPN 安装手册1 1 前言本安装手册主要介绍华盾 VPN 的安装和使用。通过阅读本文档,用户可以了解如何正确地在网络中安装华盾 VPN,并进行简单配置。本章内容主要包括: 本文档的用途 阅读对象 本文档的组织结构 本文档的基本约定 相关文档1.1 文档目的本文档主要介绍如何安装华盾 VPN 及其相关组件。1.2 读者对象本安装手册适用于具有基本网络知识的系统管
3、理员和网络管理员阅读,通过阅读本文档,他们可以独自完成以下一些工作: 初次使用和安装华盾 VPN。 管理华盾 VPN。1.3 文档组织本文档包括以下章节及其主要内容:华盾 VPN 安装指南。介绍华盾 VPN 系统的安装(硬件和管理系统),提供三个基本的配置范例,说明如何将华盾 VPN 集成到网络中。1.4 约定本文档遵循以下约定:1)命令语法描述采用以下约定,尖括号( 特殊对象 用户。为了叙述方便,本文档采用了大量网络拓扑图,图中的图标用于指明华盾和通用的网络设备、外设和其他设备,以下图标注释说明了这些图标代表什么设备:文档中出现的提示、警告、说明、示例等,是关于用户在安装和配置华盾 VPN
4、过程中需要特别注意的部分,请用户在明确可能的操作结果后,再进行相关配置操作。文档中出现的接口标识 eth1、eth2 等,是为了表示方便,不一定与设备接口名称相对应。1.5 相关文档华盾管理手册华盾命令行手册华盾 VPN 安装手册3 2 安装华盾 VPN本章介绍了安装华盾 VPN 前的准备工作,以及华盾 VPN 的物理安装过程,同时介绍了几种登录方式,以便管理员对华盾 VPN 进行管理。包括如下主要内容: 华盾 VPN 系统的组成与规格 配置华盾 VPN 的工作模式 华盾 VPN 系统的安装 登录并管理华盾 VPN 华盾 VPN 的出厂配置2.1 系统组成与规格2.1.1 系统组成 华盾 VP
5、N(硬件) 认证客户端(软件):华盾 VPN 客户认证专用软件,运行于中文WindowsNT4.0、Windows2000 、WindowsXP 环境下;华盾 VPN 支持以下认证:本地认证、Radius、TACACS+、LDAP 、域认证、SecurID、证书认证等。 其他配套软件:具体请参见随机光盘的 README.TXT 描述。2.1.2 系统规格华盾 VPN 不同型号产品的电源参数、环境规范、物理规格、执行标准和安全规范及标准的内容可能会有所不同。2.2 确定工作模式华盾 VPN 作为一种网关型产品,通常部署在重要的安全节点或者互联网的入口处,可以通过网络设备,如交换机或 HUB,将安
6、全区连接到华盾 VPN 的网络接口。在安装华盾 VPN 之前,网络管理人员可根据网络应用的实际情况以及网络中主机、服务器等设备的安全属性来规划安全区域。在网络规划时,一般会碰到两种情况:第一种情况是在当前运行的网络中添加华盾VPN。在这种情况下,华盾 VPN 的安装环境为一个已经建立并正在运行的网络,目的通常是增强现有网络的防御能力。在此类网络中部署华盾 VPN,往往要求尽可能少改动或不改动网络节点的网络属性,如网络拓扑结构、网络设备地址等,并要求华盾 VPN 的接入对网络通信造成的影响最少,尽可能地做到华盾 VPN 部署透明。在这种环境下部署的华盾 VPN 安装手册4 华盾 VPN 的工作模
7、式最好采用透明模式。此时,华盾 VPN 将作为二层网络设备,学习并建立 MAC 地址表,快速转发数据报文,提高转发效率。另一种情况是在设计网络结构和部署网络设备的初始阶段,需要充分考虑网络的安全问题,并将华盾 VPN 的安全和通信等功能融入网络设计方案。在这种情形下,华盾VPN 的工作模式最好设定为混合模式,即某些区域(接口)工作在透明模式下,而其他的区域(接口)工作在路由模式下。在透明模式中,可以将同一应用业务的服务器和客户机通过同一网段连接起来,以提高整体网络的通信性能。华盾 VPN 的路由模式提供完整的静态路由功能,对于中小规模的内部网络,完全可以代替内网路由器。同时,可以启用华盾 VP
8、N 的通信功能,如路由、地址转换等,以便平滑地将华盾 VPN 集成到已存在的网络环境中。另外,在该工作模式下,华盾 VPN 可以更好地支持网络扩展,如可以在对华盾 VPN 原有的配置不作改变或只作少量修改的情况下,实现在原有网络基础上增加网段或主机。华盾 VPN 部署案例请参见 3 配置案例。说明 在初始缺省设置中,eth0 接口对应着内部网络防火区。2.3 系统安装2.3.1 硬件设备安装一般遵循如下步骤安装硬件设备:1)支架安装机架式华盾 VPN 采用为标准 19 英寸机箱,可以安装固定在标准机柜中,随机附件中有一对上架支架(侧耳),将其固定在华盾 VPN 上。2)将华盾 VPN 置于机柜
9、托架上华盾 VPN 要求放在机柜的托架上,并适当调节机柜托架与华盾 VPN 的相对位置,使华盾 VPN 的固定支架在垂直方向上受力较小。3)本地一台管理主机通过 CONSOLE 线缆与华盾 VPN 的 CONSOLE 口连接,供超级管理员进行初步配置。 4)把华盾 VPN 的网络接口通过直通网络线与对应防火区域中的网络设备相连接。5)通过电源线连接华盾 VPN 和电源。6)启动华盾 VPN 电源(电源开关位于设备后端)。提示华盾 VPN 安装手册5 请确认华盾 VPN 的防火区域与华盾 VPN 接口名称的对应关系。 请注意随机配件中直通线(Passthrough )和交叉线(Crossover
10、)的使用方法:交叉线用于通信主机间的直接连接,如华盾 VPN 与主机间的直接连接;直通线用于华盾VPN 和网络设备的连接,例如华盾 VPN 与交换机等的连接。 此硬件安装说明适用于机架型产品。对于桌面型产品,可以略过步骤 1)和步骤 2) 。2.3.2 检查工作状态华盾 VPN 的硬件设备和管理软件安装完成之后,就可以通电使用。在华盾 VPN 的工作过程中,用户可以根据设备面板上的指示灯来判断其工作状态,具体请见下表。指示灯名称 指示灯状态描述工作灯(Run) 当华盾 VPN 进入工作状态时,工作灯闪烁。主从灯(M/S ) 不启用双机热备时,主从灯处于熄灭状态;在启动双机热备时,主从灯亮的时候
11、,代表这台设备处于工作模式;反之,如果主从灯处于熄灭状态,则该华盾 VPN 工作在备份模式。说明:部分型号的华盾 VPN 设备没有“主从灯”。管理灯(MGMT) 当网络管理员登录华盾 VPN 时,管理灯点亮。日志灯(Log) 当有日志记录动作发生时,且前后两次日志记录发生的时间间隔超过 1 秒钟时,日志灯会连续闪烁 4 次。提示 某些桌面型产品指示灯可能会有所不同。2.4 登录系统网络管理员可以通过多种方式管理华盾 VPN。管理方式包括: 本地管理,即通过 CONSOLE 口登录华盾 VPN; 远程管理,使用浏览器、SSH 、TELNET 等多种方式登录华盾 VPN 进行配置管理。第一次使用华
12、盾 VPN,管理员可以通过 CONSOLE 口以命令行方式、通过浏览器以WEBUI 方式进行配置和管理。在下面几节中,将会介绍如何通过 CONSOLE 口登录到华盾 VPN 并配置其他几种管理方式。其中,WEBUI 管理方式是最方便、也是最常用到的管理方式。华盾 VPN 安装手册6 2.4.1 出厂配置华盾 VPN 在出厂时使用了以下默认配置:管理员用户名 superman管理用户管理员密码 ocssjw10设备名称 HuadunOS同一管理员最多允许登录失败次数 5最大并发管理数目 5最大并发管理地点 5同一用户最大登录地点 10系统参数WEBUI 超时时间 180 秒eth0(或 LAN
13、口) IP:192.168. 1.254/24物理接口其他接口 ShutdownWEBUI 管理(通过浏览器管理华盾VPN)允许来自 eth0(或 LAN 口,或 MGMT口)上的服务请求GUI 管理(通过华盾管理中心) 允许来自 eth0(或 LAN 口,或 MGMT口)上的服务请求SSH(通过 SSH 远程登录管理) 允许来自 eth0(或 LAN 口,或 MGMT口)上的服务请求升级(对华盾 VPN 进行升级) 允许来自 eth0(或 LAN 口,或 MGMT口)上的服务请求PING(PING 到华盾 VPN 的接口 IP地址或 VLAN 虚接口的 IP 地址)允许来自 eth0(或 L
14、AN 口,或 MGMT口)上的服务请求服务访问控制其他服务 禁止地址段名称 any地址资源地址段范围 0.0.0.0 - 255.255.255.255区域名称 area_eth0绑定属性 eth0区域资源权限 允许日志服务器 IP 地址 IP:192.168. 1.253日志日志服务器开放的日志服务端口 UDP 的 514 端口高可用性(HA)关闭华盾 VPN 安装手册7 2.4.2 通过 CONSOLE 口登录通过 CONSOLE 口登录到华盾 VPN,可以使用命令行方式对华盾 VPN 进行一些基本的设置,用户在初次使用时,通常都会登录到华盾 VPN 更改其出厂配置(更改接口IP 地址等)
15、,以便在不改变现有网络结构的情况下将华盾 VPN 接入网络中。这里将详细介绍如何通过 CONSOLE 口连接到华盾 VPN。1) 将 CONSOLE 口控制线的 RJ45 接口端和华盾 VPN 的 CONSOLE 口相连接,DB-9 接口端和计算机的串口(这里假设使用 COM1)相连接。(部分产品无 RJ45 接口形式的 Console 口,故需要使用 DB9-DB9 Console 控制线)。2)在计算机中建立华盾 VPN 和管理主机的连接。选择 开始 程序 附件 通讯 超级终端,系统提示输入新建连接的名称。如下图所示。用户可以输入任何名称,这里假设名称为 huadun,输入名称确定后,提示选择使用的接口(假设使用 COM1),如下图所示。华盾 VPN 安装手册8 点击“确定”按钮后,可以对 COM1 的属性进行设置,如下图所示。用户可以点击“还原为默认值”按钮,也可以按照以下参数设置 COM1 口的属性。参数 值每秒位数 9600数据位 8奇偶校验 无停止位 1数据流控制 无
