虚拟专网高级安全网关使用说明书.docx
- 文档编号:1396156
- 上传时间:2023-04-30
- 格式:DOCX
- 页数:35
- 大小:1.76MB
虚拟专网高级安全网关使用说明书.docx
《虚拟专网高级安全网关使用说明书.docx》由会员分享,可在线阅读,更多相关《虚拟专网高级安全网关使用说明书.docx(35页珍藏版)》请在冰点文库上搜索。
虚拟专网高级安全网关使用说明书
Netshare
vpn
虚拟专网高级安全网关使用说明书
适用型号:
NS-V1200、NS-V1300S、NS-DV3100、NS-DV3300S、NS-DV3500S
一产品介绍4
1.1产品简介:
4
1.2产品特性:
4
1.3硬件接口:
5
1.4环境参数5
2.1环境要求:
6
2.2配件清单:
6
2.3产品外观6
2.4硬件连接:
7
三WEB页面配置9
3.1概述9
3.2登陆页面9
3.3系统状态10
3.4基本设置10
3.5DDNS动态域名11
3.6VPN设置12
VPN服务器模式14
网关到网关模式15
SSL服务器模式16
4.1系统状态显示17
4.2局域网IP段配置18
4.3端口映射19
4.4静态路由配置19
4.5应用控制20
五常见问题和处理方法22
5.1以太链路故障22
5.2链路状态指示灯显示不正常(Link-Error)23
5.3链路状态指示灯显示正常但无法通讯23
5.4双绞线的问题23
5.6VPN常见问题24
LANtoLANVPN常见问题24
移动用户拨号常见问题25
六附录26
6.1PC配置为客户端26
1.1产品简介:
NS-DV3300S是为中小企业,商业连锁内部网络互连需求精心研制订做的一款虚拟VPN安全网关。
(产品如下图)NS-DV3300S支持PPPoE固定IP地址等宽带接入方式。
NS-DV3300SVPN采用PPTP\SSL接入方式,该产品拥有多种网络安全防护功能,它集端口映射,端口过滤,应用过滤控制。
同时内建防火墙。
可以有效的保护企业内部网络安全。
还具有限制QQBT电驴MSN等应用软件。
1.2产品特性:
NS-DV3300SVPN安全网关,局域网端口内嵌3口快速以太网交换机,提供快捷的共享上网的功能和各种极具吸引力的功能特性:
◆二个10/100M自适应WAN端口,可以和各种Internet访问设备连接(xDSL/CableModem、Hub、Switch等)。
局域网端口嵌入三端10/100M快速以太网交换机。
◆符合IEEE802.3以太网和IEEE802.3u快速以太网规范。
◆支持多种INTERNET连接模式:
PPPoE(虚拟拨号)和固定IP。
◆支持UPnP(通用即插即用),WINDOWSXP系统可以自动发现网络上的ROUTER,方便用户配置。
◆采用基于Web的中文用户界面,非常易于用户进行设置和管理。
◆采用NAT(网络地址转换)技术,不仅提供共享上网功能,还可以有效保护内部资源。
◆广域网端口支持DHCP客户端能力。
◆局域网端口支持DHCP服务器,便于内部主机快速配置和上网。
◆支持基于PPTP、ssl协议的VPN.(PPTP透传/PPTPSERVER/PPTPCLIENT)。
◆提供端口映射功能,可以安全地向外部Internet用户提供内部的应用服务,如FTP、WWW、TELNET、等。
◆提供可配置管理的静态路由功能。
◆对内部主机,可以施加不同的Internet访问限制,以达到特定的管理要求。
◆支持对特定端口的过滤能力,可以增加对常见的病毒使用的端口进行过滤。
◆局域网端口内嵌的3口快速以太网交换机,提供内部网络高速通讯能力,加速了游戏、多媒体应用。
◆所有端口支持AUTOMDI/MDIX自动线序交叉功能。
◆支持一种软件升级模式:
基于本地文件系统的本地升级模式。
◆优秀的升级策略保证了升级过程的安全性---即使在升级过程中掉电,仍可保证核心软件系统不被破坏。
1.3硬件接口:
◆WAN口
◆LAN口
◆电源接口
1.4环境参数
工作温度:
0-40℃
工作湿度:
10-85%(相对湿度,非凝结)
电气指标:
220V-50MHZ
二硬件安装
2.1环境要求:
接入电压:
220V-50MHZ
工作温度:
0-40℃
工作湿度:
10-85%(相对湿度,非凝结)
在配置本产品前你还需要配备一台电脑。
2.2配件清单:
NS-DV3300S设备1台
产品快速使用说明书1台
电源1个
保修卡1张
网线1根
2.3产品外观
安全网关前面板示意图
Netcore
2505NR
1
安全网关背板示意图
安全网关外观说明
NS-DV3300S前面板的各端口及部件逐一说明
编号
1
标志
SYSTEM
名称
状态指示灯
说明
参见ROUTER指示灯的说明
2
POWER
电源指示灯
参见ROUTER指示灯的说明
3
每个网口左右灯
以太网工作指示灯
参见ROUTER指示灯的说明
4
WAN2
WAN口
连接INTERNET设备(连ADSLModem或外线)
5
WAN1
WAN口
连接INTERNET设备(连ADSLModem或外线)
6
3个以太网口
快速以太网口
接局域网内部设备用
ROUTER指示灯说明
指示灯状态
熄灭
长亮
闪亮
POWER
工作不正常
正常工作
无
LNN/WAN
未连接
连接正常
数据传输
SYSTEM
启动中
系统出错(重启设备)
正常工作
每个网口左右橙、绿色指示灯
不正常工作
没有数据传输
数据传输
橙色/绿色为10M/100M模式显示
2.4硬件连接:
第一步:
打开包装,取出设备,电源,使用说明书。
第二步:
插上电源并用电源线将POWER口接上电源。
第三步:
用RJ45网线将VPN安全网关的LAN口连接到本地局域网中。
请更改你PC的IP地址为:
192.168.0.XX(2-254),子网掩码为:
255.255.255.0默认网关为:
192.168.0.1。
或设置为自动获取。
VPN设备默认LAN口IP为192.168.0.1如下图:
第四步:
将公网网线连接到安全网关的WAN口。
经过以上几个步骤你也完成了安全网关硬件的安装。
此时你只需通过电脑配置你的安全网关后就可以畅游Internet了。
(安全网关默认用户名和密码为admin,进入安全网关后请尽快更改密码)。
三WEB页面配置
3.1概述
NS-DV3300S采用WEB管理配置方式,进入WEB主页面,主页最左面为导航栏,从上到下依次为网络状态,网络接入,VPN设置,高级设置等。
以下将介绍各功能。
3.2登陆页面
在浏览器里输入如下地址:
http:
//192.168.0.1进入安全网关你会见到下面图片。
输入你的用户名和密码,默认用户名和密码为admin。
你就可以进入安全网关界面了。
为了你的安全请你及时更改你的用户名和密码。
3.3系统状态
第一次进入安全网关时你所看到的是安全网关的默认网络接入状态信息。
你可以进入网络接入页面更改你的Internet接入方式。
更改后的接入方式将在下面显示。
如下图:
3.4基本设置
进入基本设置页面你所见到的是现在安全网关接入Internet的方式。
你也可以在这里更改接入Internet的方式。
更改后将在系统状态处显示你更改的结果以及更改后的连接状态。
如果是ADSL拨号,输入相应用户名和密码,点保存,如下图:
3.5DDNS动态域名
高级设置----DDNS高定
为了使用虚拟服务功能,我们需要使用ROUTER的WAN口IP地址。
由于此地址数据难以记忆和直接使用(而且它有时是动态获得的),我们可以使用动态域名服务(DDNS)来解决这个问题。
目前安全网关支持希网的动态域名。
你可以点击旁边的超级链接访问希网申请一个用户帐号,密码和服务域名。
申请成功后你就可以通过我们的DDNS动态域名服务建立你的个人网站了。
如下入所示。
3.6VPN设置
VPN的英文全称是“VirtualPrivateNetwork”,翻译过来就是“虚拟专用网络”。
顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。
它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。
VPN的核心就是在利用公共网络建立虚拟私有网。
本产品支持LAN到LAN和点到点的VPN。
你进入VPN设置页面时会看到下图:
VPN服务器模式:
为电脑到网络的连接模式
网关到网关模式:
两个局域网相互之间互连的模式,设备自动连通VPN联机!
VPN服务器模式
VPN服务器显示如上图所示,
用户名:
即为远程VPN分配的登陆帐户,密码:
以及相应的IP地址:
本处IP地址为:
远程计算机联机到本设备处自动获取到的地址,无须在远程计算机上设定该地址。
(另注:
该IP地址不能与内网IP地址冲突的IP地址。
)
点击确定,就为设备添加了相应的VPN账号。
远程即可联机登陆。
设备到设备模式
当我们选择VPN工作模式中的设备到设备模式后,我们将见到下图所示
第一步:
先设定设备到设备:
为分部设备设定相对应的VPN账号,密码,IP地址及远程网关的IP段和远端网络的掩码,最后点确定。
第二步:
在分部设备上设置为客户端模式中,如下图:
这样总部和分部的两个内网段就可以相互通信,两个内网的IP地址都是可以相互通信的。
形成位于公网上的两个局域网相互通信。
SSL服务器模式
SSL服务器模式为SSLVPN帐户分配模式:
可以设定SSLVPN账号:
设置同第一种VPN服务器模式:
第一步:
先设定设备到设备:
为分部设备设定相对应的VPN账号,密码,IP地址及远程网关的IP段和远端网络的掩码,最后点确定。
第二步:
在分部设备上设置为客户端模式中,如下图:
这样总部和分部的两个内网段就可以相互通信,两个内网的IP地址都是可以相互通信的。
形成位于公网上的两个局域网相互通信。
四高级设置
4.1系统状态显示
进入系统状态显示页面后,我们将见到更详细的系统状态信息,在这里我们会见到Internet的接入方式,WAN口的MAC地址,WAN口IP地址,子网掩码,DNS服务器以及连接状态。
我们也可以电击后面的断开按钮来断开广域网的连接,此时连接状态显示未连接状态,Internet时我们可以点击连接按钮重新接入Internet。
此时显示正在连接状态。
连接成功后连状态处会显示已连接。
当前流量等更详细的分析安全网关现在的工作性能状态。
如下图所示。
流量查看功能可以显示当前内网流量10秒钟的流量排行榜,可以快速定位电脑流量信息!
4.2局域网IP段配置
进入基本配置—LAN口设置页面后,我们可以更改LAN口的IP地址,以及子网掩码。
(注意,更改LAN口的IP地址后请更改你计算机的IP地址范围,如你的计算机是自动获取IP地址。
请把你计算机IP释放后重获取一次)。
如下图
杂项设置中可以设定LAN和WAN的MAC地址。
4.3端口映射
提供了一种供Internet用户访问局域网中主机的方式。
Internet用户对局域网的访问,将按照端口映射的设置,重定向到局域网中的内部主机,相应的内部主机必须运行正确的服务器软件。
在此功能用户可以自己设置各项端口映射功能,通过设置不同的外部和内部端口(也可以是相同),以此达到访问控制的目的,例如:
在“服务名”文本框输入自定义名称,添加需要虚拟服务的内部主机IP地址,选择协议,输入自定义的端口号,点击“增加”按钮特殊应用设置成功。
此款安全网关暂不支持DMZ功能。
如下图所示
4.4静态路由配置
用户可自行配置下一条默认路由。
提高安全网关效率。
如下图所示。
4.5应用控制
防火墙设置----访问控制中具备以下功能,端口过滤,通过封锁对一些指定的端口的访问,这样可以防止一些蠕虫病毒破坏我们的计算机,在服务器名处输入任意一个别名,在端口处输入我们希望过滤的端口,然后选择相应的协议后点击增加按钮就可以达到控制的目的。
要取消时点击相应的删除按钮就可以取消对相应端口的过滤。
应用过滤控制可以达到禁止一些应用软件的运行,达到对Internet访问权限的限制。
如下图所示。
4.6系统工具
4.61远程WEB管理
可以设置外网访问WEB端口改变后,需要加端口号才可以访问WEB页面。
密码修改:
改变登陆密码后需要用新的口令才可以登陆到设备WEB页面
4.62恢复默认:
点上此按钮恢复出厂默认数据。
五常见问题和处理方法
5.1以太链路故障
以太链路故障可能体现出多种现象:
1、端口无法和PC网卡连接,链路状态指示灯显示不能正常连接;
2、端口可以与PC网卡连接(链路状态指示灯正常),但通过该端口无法对ROUTER进行管理。
可以把这类故障大致分为两大类型:
一、Link-Error,链路两端无法建立物理连接,表现出的现象是链路状态指示灯不正常;二、配置冲突,表现出的现象是链路状态指示灯正常,但无法和安全网关通讯。
5.2链路状态指示灯显示不正常(Link-Error)
出现这种情况时,请按照下列步骤进行检查:
1、查看链路另一端是否良好地连接到PC网卡或其他以太接口上;
2、检查连接电缆及两端的RJ45接头是否有锈蚀或损坏;
5.3链路状态指示灯显示正常但无法通讯
出现这种情况时,请按照下列步骤进行检查:
1、如果PING192.168.0.1通不过,首先请取消您浏览器的代理服务器设置。
2、如果再ping192.168.0.1不通,请检查:
检查您的计算机的设置。
您计算机的IP地址必须与安全网关在同一个子网192.168.0.xxx。
如果不是,请参照2.4硬件连接。
3、如果还是不能进入管理界面,请按住安全网关面板Default按钮,当看到系统状态指示灯开始闪烁时,表明安全网关已经清除所有配置,恢复成默认值,默认参数请参照(5。
1),根据默认参数信息,就可以进入ROUTER管理界面。
5.4双绞线的问题
双绞线连接以太网上的相关设备,如:
计算机、打印机、集线器、
安全网关以及Cable/DSLModem。
局域网通过双绞线共享信息和网络连接。
如果双绞线质量有问题,就会给网络传输带来问题,如大量丢包甚至完全失效。
按下面的步骤检查:
1、确定您使用的是5类双绞线或更好的。
要符合T568A或T568B特性标准。
2、将原来接在集线器或交换机上的计算机直接连接到安全网关上测试,如果还是不能工作,请联络安全网关技术支持。
其它双绞线问题
1、尽量避免双绞线与电源线靠得太近。
2、不要用订书钉来固定双绞线,您可以使用固定电话线的夹子。
3、避免双绞线受到其它电器设备的干扰,如电灯、打印机、复印机、电热器、杨声器、电视、微波炉、电话、电扇以及洗衣机等。
4、如果要把一组双绞线绑在一起,请不要绑得太紧以免使线变形。
5、不要拉伸双绞线,这样可能损坏双绞线。
6、千万不要在室外使用双绞线,这样会冒雷击的危险。
5.6VPN常见问题
LANtoLANVPN常见问题
公网连接是否正常
检查公网信号是否正常,首先在安全网关上ping公网IP、网关或公网dns,如不通(排除公网禁ping),用单机(交叉线)与公网接入设备相连,看单机能否上网或ping通公网,如单机无法连接公网,建议客户向运营商报修;
查看安全网关上公网IP设置是否正确,能不能ping通公网网关或公网DNS;
局端出于安全性考虑,做了MAC地址与公网IP的绑定;
DHCP方式是否能获取IP地址。
ADSL不能拨号
检查公网是否正常,用单机与MODEM相连,看单机能否拨号上网,如单机无法连接公网,建议客户向运营商报修;如单机可以上网,建议用户在拨号主机上打开一个记事本,将ADSL用户名和密码各输一行,确认前后都没有空格,贴入安全网关相应配置界面,保存后,重启MODEM和VPN设备;
VPN无法连接
如本地连接正常,首先确认对端设备是否正常。
公网不通;
公网网关地址是否和安全网关设备WAN口、LAN口、地址冲突;
VPN连接的两端设备的公网IP是否遵循TCP/IP协议(如是否一端的公网IP是另一端的广播地址或网络地址);
两端内网IP在同一网段;
VPN已经连接但是无法访问
主机是否能ping通网关,检查交换机、安全网关设备LAN口、连线是否正常;
安全网关防火墙策略作了限制;
主机上安装的个人防火墙或杀毒软件作了限制(如诺顿2003需要设置可信任区域);
VPN两端使用的非同一运营商的线路,双方通信时延过大,数据因超时无法正常传输,建议用户采用同一运营商的线路(一般VPN之间的时延不得超过500ms)
不能上网
用户内网物理故障;
公网不通,可用单机直连公网测试;
内网蠕虫病毒(将中毒主机断网杀毒,查毒方法参考网站FAQ);
本地网段与VPN内其他节点为同一网段;
ARPcache,用户使用另一路由设备或代理上网,网关地址没变,快速更换设备造成,将单机上的arp表清空或重启主机;
可以访问但是速度很慢
局域网中了蠕虫病毒导致网络堵塞。
(将中毒主机断网杀毒,查毒方法参考网站FAQ,建议用户部署杀毒软件,打补丁,定时升级);
用户大量下载,造成网络堵塞,可以通过设置流量控制保证业务应用(参考网站FAQ);
不同运营商线路间连接不稳定(建议用户使用同一运营商的线路);
移动用户拨号常见问题
PPTP拨号常见错误号
800:
ICEFLOW上PPTP服务没有开启,拨号时输入的域名错误;
756:
已经拨了一个vpn连接;
691:
用户名、密码错误;
619:
局域网上拨号,网关设备(防火墙、安全网关、MODEM)不支持PPTP穿越,可以在网关设备上打开PPTP穿越或打开TCP1723端口和GRE协议;
623:
windows98、winme没有添加VPN适配器
651:
连接数用满;
645:
windows98VPN适配器没有正确安装
610:
显示虚拟拨号适配器已被占用,原因是客户在win98上安装了pppoe拨号程序,占用了设备,可以将pppoe拨号程序卸载,先行安装pptp拨号程序,再安装pppoe即可解决。
六附录
6.1PC配置为客户端
WINDOWS2000/XP/2003VPN客户端配置说明。
以下通过实例来说明如何设置WINDOWS为VPN客户端连接VPN安全网关。
Ø单击『网上领居』右键属性,创建一个新的连接
Ø选择『连接到我的工作场所的网络』点下一步继续配置
选择『虚拟专用网络连接』,继续下一步设置
为此连接起一个名字,如:
连接到成都总部,连接到总公司等
如果是宽带局域网上网,一般选择『不初始化连接』
输入VPN服务器的IP地址或域名,比如:
cdcnc.3322.org或220.178.39.20
运行VPN拨号连接客户端,点击『属性』配置更多设置
选择『网络』标签,选择Internet协议,设置『属性』
选择『高级』按纽,进入下一步配置
必须要把『在远程网络上使用默认网关』选择去掉,否则本地上网将不正常。
点确定—确定—到下图
点击连接!
图8
图9
SSL客户端安装详解:
一、SSLVPN客户端安装文件:
SSLVPN.EXE
安装时,按照屏幕提示:
点下一步,下一步,按照默认设置,出现安装协议时,点仍然继续,至完成。
安装完成时右下角任务栏会出现一个红色图标。
注意:
如果出现错误提示请安装补丁文件,该补丁文件是windows2005C++控件补丁!
安装完毕后再运行桌面上SSLVPN客户端
相关配置如下:
第一步:
右键点红色图标,出现下图左键点编辑配置文件
第二步:
配置远程SSLVPN设备的公网IP地址,填写动态域名地址(即系统状态中动态域名:
***或者***.cnvpn.org;*****.cnddns.org),如下图所示
第四步:
关闭配置文件如下图所示,点是保存。
第五步:
配置SSLVPN账号和密码文件。
双点桌面上设置账号文件,输入账户信息。
用户名,密码格式为:
上下两行第一行为用户名,第二行为密码
点关闭---保存。
配置完毕,删除桌面图标.
例如:
第六步为:
双点右下角红色图标,自动连接到总部设备。
连接成功后,图标变成绿色。
每次开机自动联机。
到此SSLVPN客户端配置完毕!
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 虚拟 高级 安全网关 使用 说明书