Hillstone山石網(wǎng)科基礎(chǔ)配置手冊.

1、Hillstone山石網(wǎng)科多核平安網(wǎng)關(guān)根底配置手冊version 5.0 hillstonenet 目錄第1章 設(shè)備管理1設(shè)備管理介紹1終端Console登錄1WebUI方式登錄1恢復出廠設(shè)置2通過CLI方式2通過WebUI方式2通過CLR按鍵方式4StoneOS版本升級4通過網(wǎng)絡(luò)迅速升級StoneOSTFTP4通過WebUI方式升級StoneOS6許可證安裝8通過CLI方式安裝8通過WebUI方式安裝8第2章 根底上網(wǎng)配置11根底上網(wǎng)配置介紹11接口配置11路由配置12策略配置14源NAT配置15第3章 常用功能配置17常用配置介紹17PPPoE配置17DHCP配置19IP-MAC綁定配置2

2、1端到端IPsec VPN配置23SCVPN配置30DNAT配置37一對一IP映射38一對一端口映射40多對多端口映射43一對多映射效勞器負載均衡46第4章 鏈路負載均衡48鏈路負載均衡介紹48基于目的路由的負載均衡49基于源路由的負載均衡50智能鏈路負載均衡50第5章 QoS配置53QoS介紹53IP QoS配置53應用QoS配置55混合QoS配置58QoS白名單配置59第6章 網(wǎng)絡(luò)行為控制60URL過濾有URL許可證60配置自定義URL庫63URL過濾無URL許可證64網(wǎng)頁關(guān)鍵字過濾65網(wǎng)絡(luò)聊天控制69第7章 VPN高級配置72基于USB Key的SCVPN配置72新建PKI信任域72配置

3、SCVPN77制作USB Key78使用USB Key方式登錄SCVPN80PnPVPN82用戶配置83IKE VPN配置84隧道接口配置88路由配置88策略配置89PnPVPN客戶端配置90第8章 高可靠性92高可靠性介紹92高可靠性配置93關(guān)于本手冊手冊內(nèi)容本手冊為Hillstone山石網(wǎng)科多核平安網(wǎng)關(guān)的根底配置手冊，對Hillstone山石網(wǎng)科多核平安網(wǎng)關(guān)的主要功能模塊配置進行介紹，幫助用戶快速掌握平安網(wǎng)關(guān)的WebUI配置。適用于StoneOS 5.0以及以上版本。具體內(nèi)容包括： 第1章：設(shè)備管理。介紹登錄方式、StoneOS升級以及許可證安裝等。 第2章：根底上網(wǎng)配置。介紹接口、路由、

4、策略等根本上網(wǎng)配置。 第3章：常用功能配置。介紹PPPoE撥號、動態(tài)地址分配DHCP、DNAT等配置。 第4章：鏈路負載均衡。介紹基于目的路由、源路由、策略路由的流量負載配置等。 第5章：QoS配置。介紹QoS功能及配置。 第6章：網(wǎng)絡(luò)行為控制配置。介紹URL過濾、網(wǎng)頁關(guān)鍵字以及網(wǎng)絡(luò)聊天控制配置。 第7章：VPN高級配置。介紹基于USB Key的SCVPN配置以及PnPVPN配置。 第8章：高可靠性。介紹高可靠性HA的配置。手冊約定為方便用戶閱讀與理解，本手冊遵循以下約定：內(nèi)容約定本手冊內(nèi)容約定如下： 提示：為用戶提供相關(guān)參考信息。 說明：為用戶提供有助于理解內(nèi)容的說明信息。 注意：如果該操作

5、不正確，會導致系統(tǒng)出錯。 ：用該方式表示Hillstone設(shè)備WebUI界面上的鏈接、標簽或者按鈕。例如，“點擊登錄按鈕進入Hillstone設(shè)備的主頁。 ：用該方式表示W(wǎng)ebUI界面上提供的文本信息，包括單項選擇按鈕名稱、復選框名稱、文本框名稱、選項名稱以及文字描述。例如，“改變MTU值，選中單項選擇按鈕，然后在文本框中輸入適宜的值。Hillstone山石網(wǎng)科根底配置手冊 第1章 設(shè)備管理設(shè)備管理介紹為方便管理員管理與配置，平安網(wǎng)關(guān)支持本地Console口與遠程Telnet、SSH、 以及 S兩種環(huán)境配置方法，可以通過CLI和WebUI兩種方式進行配置。終端Console登錄通過Consol

6、e口，用戶可登錄平安網(wǎng)關(guān)設(shè)備的CLI，從而使用命令行對設(shè)備進行配置。在計算機上運行終端仿真程序系統(tǒng)的超級終端、SecureCRT等建立與平安網(wǎng)關(guān)的連接。按照表1配置終端參數(shù)：表1：配置終端參數(shù)參數(shù)數(shù)值波特率9600 bit/s數(shù)據(jù)位8奇偶校驗無停止位1WebUI方式登錄WebUI是最方便、直觀、簡單的配置方式，WebUI同時支持 和 s兩種訪問方式。平安網(wǎng)關(guān)的ethernet0/0接口配有默認IP地址/24，初次使用平安網(wǎng)關(guān)時，用戶可以通過該接口訪問平安網(wǎng)關(guān)的WebUI頁面。請按照以下步驟：1. 將管理PC的IP地址設(shè)置為與/24同網(wǎng)段的IP地址，并

7、且用網(wǎng)線將管理PC與平安網(wǎng)關(guān)的ethernet0/0接口進行連接。2. 在管理PC的Web瀏覽器中輸入地址“ :/并按回車鍵。出現(xiàn)登錄頁面如下列圖所示?；謴统鰪S設(shè)置Hillstone山石網(wǎng)科提供三種方法恢復設(shè)備的出廠配置，分別是： 命令行：通過CLI使用命令進行恢復 WebUI：通過WebUI去除配置以恢復出廠配置 物理方法：使用設(shè)備的CLR按鍵進行恢復通過CLI方式通過CLI使用命令恢復出廠設(shè)置，請按照以下步驟進行操作：1. 在執(zhí)行模式下，使用unset all命令。2. 根據(jù)提示，選擇是否保存當前配置：y/n。3. 選擇是否重啟設(shè)備：y/n。4. 系統(tǒng)重啟后即出廠配置

8、恢復完畢。通過WebUI方式通過WebUI恢復出廠配置，請按照以下步驟進行操作：1. 通過WebUI方式登錄StoneOS，從工具欄的下拉菜單項選擇擇配置備份復原。如下列圖所示： 2. 在彈出的對話框，選擇單項選擇按鈕，并點擊下一步按鈕。3. 選擇是否重啟設(shè)備。為使配置生效，用戶需重新啟動設(shè)備。選擇單項選擇按鈕，并點擊完成按鈕。4. 所有配置將會被去除，然后設(shè)備將自動重啟。通過CLR按鍵方式使用CLR按鍵恢復出廠配置，請按照以下步驟進行操作：1. 關(guān)閉平安網(wǎng)關(guān)的電源。2. 用針狀物按住CLR按鍵的同時翻開平安網(wǎng)關(guān)的電源。3. 保持按住狀態(tài)直到指示燈STA和ALM均變?yōu)榧t色常亮，釋放CLR按鍵。

9、此時系統(tǒng)開始恢復出廠配置。4. 出廠配置恢復完畢，系統(tǒng)將會自動重新啟動。StoneOS版本升級通過網(wǎng)絡(luò)迅速升級StoneOSTFTPSysloader可以從TFTP效勞器獲取StoneOS，從而保證用戶能夠通過網(wǎng)絡(luò)迅速升級StoneOS。請按照以下步驟進行操作：1. 給設(shè)備上電根據(jù)提示按ESC鍵并且進入Sysloader。參照以下操作提示：HILLSTONE NETWORKSHillstone Bootloader 1.3.2 Aug 14 2021-19:09:37DRAM: 2048 MBBOOTROM: 512 KBPress ESC to stop autoboot: 4 5秒倒計時結(jié)

10、束前按“ESC鍵Run on-board sysloader? y/n: y 鍵入字母“y或者敲回車鍵Loading: #2. 從Sysloader的操作選擇菜單項選擇擇通過TFTP升級StoneOS。參照以下操作提示：Sysloader 1.2.13 Aug 14 2021 - 16:53:421 Load firmware via TFTP2 Load firmware via FTP3 Load firmware from USB disks (not available)4 Select backup firmware as active5 Show on-board firmware

11、6 ResetPlease select: 1 在此處鍵入“1”并敲回車鍵3. 確保設(shè)備與控制主機的連通性，并將需升級的StoneOS拷貝到指定目錄下。4. 依次配置Sysloader的IP地址、TFTP效勞器的IP地址、網(wǎng)關(guān)IP地址以及StoneOS名稱。參照以下操作提示：Local ip address : 0/16輸入Sysloader的IP地址并敲回車鍵Server ip address : 輸入TFTP效勞器的IP地址并敲回車鍵Gateway ip address : 如果Sysloader與TFTP效勞器的IP地址不屬于同一個網(wǎng)段，輸

12、入網(wǎng)關(guān)的IP地址并敲回車鍵；否那么直接敲回車鍵 File name : StoneOS-3.5R2輸入StoneOS名稱并敲回車鍵，系統(tǒng)開始通過TFTP獲取StoneOS#5. 保存StoneOS。參照以下操作提示：File total length 10482508Checking the image.Verified OKSave this image? y/n: y鍵入字母“y或者敲回車鍵，保存獲得的StoneOSSaving .Set StoneOS-3.5R2 as active boot image6. 重啟。系統(tǒng)將使用新的StoneOS啟動。參照以下操作提示：Please res

13、et board to boot this image1 Load firmware via TFTP2 Load firmware via FTP3 Load firmware from USB disks (not available)4 Select backup firmware as active5 Show on-board firmware6 ResetPlease select: 6在此處鍵入“6”并敲回車鍵，系統(tǒng)開始重啟設(shè)備的Flash中最多可以儲存兩個StoneOS。如果Flash中已經(jīng)保存了兩個StoneOS，請根據(jù)提示對儲存的StoneOS進行刪除。通過WebUI方式升

14、級StoneOS1. 通過WebUI方式登錄StoneOS，從工具欄的下拉菜單項選擇擇版本升級。如下列圖所示： 2. 在彈出的對話框，選擇單項選擇按鈕，并點擊下一步按鈕。3. 在下拉菜單中選擇一個軟件版本做為備份，然后點擊后的瀏覽按鈕并在本地PC選擇新的軟件版本文件。4. 點擊下一步。根據(jù)需要，選擇單項選擇按鈕，并點擊完成按鈕。為使配置生效，用戶需重新啟動設(shè)備。注意：如果選擇暫不重新啟動設(shè)備，將會在下次重新啟動設(shè)備后加載新版本StoneOS。許可證安裝通過CLI方式安裝通過CLI使用命令安裝許可證，請按照以下步驟進行操作：1. 登錄StoneOS，在執(zhí)行模式下，使用exec license i

15、nstall license-string命令license-string 要安裝的許可證字符串。輸入“l(fā)icense：后的字符串。如下列圖所示：2. 根據(jù)系統(tǒng)提示重啟后即完成許可證安裝。通過WebUI方式安裝通過WebUI安裝許可證，請按照以下步驟進行操作：1. 通過WebUI方式登錄StoneOS，從工具欄的下拉菜單項選擇擇許可證。如下列圖所示：2. 在彈出的對話框中，許可證列表可查看當前系統(tǒng)許可證的類型和有效時間。3. 在處，用戶可根據(jù)需要，選擇手動輸入許可證請求或選擇上傳本地文件。 上傳許可證文件：選中單項選擇按鈕許可證為純文本.txt文件，點擊瀏覽按鈕，并且選中許可證文件； 手動輸入

16、：選中單項選擇按鈕，然后將許可證字符串內(nèi)容包含“l(fā)icense：及之后內(nèi)容輸入到對應的文本框。4. 點擊確定按鈕保存所做配置，并且重啟設(shè)備完成許可證的安裝。第2章 根底上網(wǎng)配置根底上網(wǎng)配置介紹為使設(shè)備實現(xiàn)正常上網(wǎng)，根本配置包括接口、路由、策略以及源NAT的配置。接口配置接口配置，請按照以下步驟進行操作：1. 通過WebUI方式登錄StoneOS，從頁面左側(cè)導航樹選擇并點擊“配置-網(wǎng)絡(luò)-網(wǎng)絡(luò)連接，進入網(wǎng)絡(luò)連接頁面。2. 從接口列表中選中需要編輯的接口，雙擊或者點擊列表右上方的編輯按鈕。3. 在彈出的對話框?qū)涌谶M行編輯: 綁定平安域：指定接口的平安域類型。三層接口選擇三層平安域，二層接口選擇二層

17、平安域； 平安域：選擇平安域名稱。一般情況下，內(nèi)網(wǎng)選擇trust或l2-trust；外網(wǎng)選擇untrust或l2-untrust。 IP配置：為接口配置IP地址相關(guān)信息。 管理方式：指定接口的管理方式。在局部選中需要的管理方式的復選框。提示：如果外網(wǎng)接口使用PPPoE撥號方式接入，關(guān)于接口的配置請參閱PPPoE配置。路由配置路由配置，請按照以下步驟進行操作：1. 通過WebUI方式登錄StoneOS，從頁面左側(cè)導航樹選擇并點擊“配置-網(wǎng)絡(luò)-路由，進入路由頁面。2. 點擊目的路由標簽，進入目的路由頁面。3. 從下拉菜單項選擇擇一個VR，新建的路由將屬于該VR，默認為“trust-vr。4. 點擊

18、目的路由列表左上角的新建按鈕，彈出對話框，在該對話框?qū)δ康穆酚蛇M行編輯： 目的地：指定路由條目的目的IP。 子網(wǎng)掩碼：指定路由條目的目的IP對應的子網(wǎng)掩碼。 下一跳：指定下一跳類型，選中或單項選擇按鈕。假設(shè)選擇，需在文本框中輸入網(wǎng)關(guān)IP地址。假設(shè)選擇，需在下拉菜單中選擇接口名稱。如果該接口為tunnel的時候，需要在可選欄輸入tunnel對端的網(wǎng)關(guān)地址。如：下一跳網(wǎng)關(guān)指定為7由運營商提供網(wǎng)關(guān)地址。 優(yōu)先權(quán)：該參數(shù)取值越小，優(yōu)先級越高，而在有多條路由選擇的時候，優(yōu)先級高的路由會被優(yōu)先使用。取值范圍是1到255，默認值為1。當優(yōu)先級為255時，該路由無效。 路由權(quán)值：路由權(quán)

19、值決定負載均衡中流量轉(zhuǎn)發(fā)的比重。范圍是1到255，默認值是1。5. 用戶可以根據(jù)需要，在文本框中指定目的路由的描述信息。6. 點擊確定按鈕，完成新建目的路由。策略配置策略配置，請按照以下步驟進行操作：1. 通過WebUI方式登錄StoneOS，從頁面左側(cè)導航樹選擇并點擊“配置-平安-策略，進入策略頁面。2. 點擊列表左上角的新建按鈕，彈出對話框，在該對話框?qū)Σ呗砸?guī)那么進行編輯。根本選項包含策略的源/目的平安域和源/目的地址的選擇，以及效勞、時間表、用戶、行為和策略描述的指定。3. 配置完成后，點擊確定按鈕保存所做配置并返回策略頁面。源NAT配置源NAT配置，請按照以下步驟進行操作：1. 通過W

20、ebUI方式登錄StoneOS，從頁面左側(cè)導航樹選擇并點擊“配置-網(wǎng)絡(luò)-NAT，進入源NAT頁面。2. 點擊源NAT列表中的新建按鈕，彈出對話框。在該對話框?qū)υ碞AT規(guī)那么進行編輯。3. 配置完成后，點擊確定按鈕保存所做配置。第3章 常用功能配置常用配置介紹本章介紹Hillstone山石網(wǎng)科多核平安網(wǎng)關(guān)的一些常用功能配置，包括PPPoE、DHCP、IP-MAC綁定、端到端IPsec VPN、SCVPN、DNAT等配置。PPPoE配置PPPoE配置，請按照以下步驟進行操作：1. 通過WebUI方式登錄StoneOS，從頁面左側(cè)導航樹選擇并點擊“配置-網(wǎng)絡(luò)-網(wǎng)絡(luò)連接，進入網(wǎng)絡(luò)連接頁面。2. 從接口

21、列表中選中需要編輯的接口，雙擊或者點擊列表右上方的編輯按鈕。3. 在彈出的對話框?qū)涌谶M行編輯。4. 點擊確定按鈕保存所做配置并返回網(wǎng)絡(luò)連接頁面。5. 從頁面右側(cè)輔助欄的區(qū)選擇PPPoE列表鏈接，彈出對話框。6. 點擊頁面左上角的新建按鈕，彈出對話框。在該對話框進行配置。7. 配置完成點擊確定按鈕并返回PPPoE列表對話框。選中需要連接/斷開的PPPoE實例，然后點擊頁面左上角的連接按鈕。DHCP配置DHCP配置，請按照以下步驟進行操作：1. 通過WebUI方式登錄StoneOS，從頁面左側(cè)導航樹選擇并點擊“配置-網(wǎng)絡(luò)-網(wǎng)絡(luò)連接，進入網(wǎng)絡(luò)連接頁面。2. 從頁面右側(cè)輔助欄的區(qū)選擇DHCP列表鏈接

22、，彈出對話框。在該對話框?qū)HCP進行編輯： 接口：選擇應用DHCP效勞器功能的接口。 類型：選中單項選擇按鈕。 根本配置：在標簽頁對DHCP的根本屬性進行配置。3. 配置完成點擊確定按鈕并返回DHCP列表對話框。并且將用戶pc或者交換機連接在相應端口，即可獲取IP地址。IP-MAC綁定配置IP-MAC綁定配置，請按照以下步驟進行操作：1. 通過WebUI方式登錄StoneOS，從頁面左側(cè)導航樹選擇并點擊“配置-平安-ARP防護，進入ARP防護頁面。2. 從靜態(tài)IP-MAC綁定條目列表中選中需要綁定的IP-MAC條目，雙擊或者點擊列表上方的編輯按鈕，彈出對話框。3. 在對話框中，選中復選框開啟

23、IP-MAC綁定，并點擊確定按鈕保存配置。4. 默認情況下，平安網(wǎng)關(guān)的ARP學習功能是開啟的，IP-MAC綁定成功后，還需要關(guān)閉接口的ARP學習功能。5. 從頁面左側(cè)導航樹選擇并點擊“配置-網(wǎng)絡(luò)-網(wǎng)絡(luò)連接，進入網(wǎng)絡(luò)連接頁面，從接口列表中選中需要編輯的接口，雙擊或者點擊列表右上方的編輯按鈕。6. 在彈出的對話框中，點擊屬性標簽，在局部取消選中ARP學習后的啟用復選框開啟接口的ARP學習功能。端到端IPsec VPN配置在Hillstone平安網(wǎng)關(guān)A和Hillstone平安網(wǎng)關(guān)B之間建立一個平安隧道，PC1作為Hillstone平安網(wǎng)關(guān)A端的主機，PC2作為Hillstone平安網(wǎng)關(guān)B端的主機，兩

24、端的公網(wǎng)IP都是固定的情況下，配置端到端的IPsec VPN，拓補圖如下：使用IKE VPN即自動協(xié)商方式配置IPsec VPN，配置包括： 配置P1提議 配置VPN對端 配置P2提議 配置隧道 綁定接口到隧道 配置隧道路由和策略具體配置。請按照以下步驟進行操作：1. 配置P1提議。通過WebUI方式登錄StoneOS，從頁面左側(cè)導航樹選擇并點擊“配置-網(wǎng)絡(luò)-IPsec VPN，進入IPsec VPN頁面。點擊P1提議標簽，進入P1提議標簽頁。2. 點擊P1提議列表左上方的新建按鈕，彈出對話框。在該對話框進行編輯： 提議名稱：指定或者顯示P1提議的名稱。 認證：指定IKE身份認證的方式。 驗證

25、算法：為P1提議指定驗證算法。選中所需驗證算法的單項選擇按鈕。 加密算法：為P1提議指定加密算法。 DH組：為P1提議選擇DH組。 生存時間：指定SA第一階段的生命周期長度，單位為秒。默認86400秒。3. 配置VPN對端。在IPsec VPN頁面，點擊VPN對端列表標簽，進入VPN對端列表標簽頁。4. 點擊VPN對端列表左上方的新建按鈕，彈出對話框。在該對話框?qū)PN對端進行根本配置。注意：如果在設(shè)備前還有其他NAT設(shè)備，需在標簽下配置NAT穿越功能。5. 配置P2提議。在IPsec VPN頁面，點擊P2提議標簽，進入P2提議標簽頁。6. 點擊P2提議列表左上方的新建按鈕，彈出對話框。在該對

26、話框進行P2提議配置。7. 配置隧道。在IPsec VPN頁面，點擊IKE VPN列表左上方的新建按鈕，彈出對話框。8. 在局部配置各選項。點擊后面的導入按鈕，并在下拉菜單項選擇擇已配置的VPN對端名稱，導入系統(tǒng)中已配置的VPN對端參數(shù)。9. 點擊，配置隧道相關(guān)選項。注意：隧道配置完成后，需要流量觸發(fā)VPN連接。如果需要自動連接，請在標簽下配置自動連接功能。10. 綁定接口到隧道。從主頁面左側(cè)導航樹選擇并點擊“配置-網(wǎng)絡(luò)-網(wǎng)絡(luò)連接，進入網(wǎng)絡(luò)連接頁面。點擊接口列表左上角的新建按鈕，從下拉菜單中選擇并點擊，系統(tǒng)彈出對話框。在該對話框綁定接口到隧道。11. 配置隧道路由和策略。從頁面左側(cè)導航樹選擇并

27、點擊“配置-網(wǎng)絡(luò)-路由，進入目的路由頁面。點擊目的路由列表左上角的新建按鈕，彈出對話框，在該對話框?qū)δ康穆酚蛇M行編輯。12. 從頁面左側(cè)導航樹選擇并點擊“配置-平安-策略，進入策略頁面。點擊列表左上角的新建按鈕，彈出對話框，在該對話框?qū)Σ呗砸?guī)那么進行編輯。13. 配置完成后，平安網(wǎng)關(guān)B也按照步驟1-12進行配置。14. 完成以上配置后，平安網(wǎng)關(guān)A和平安網(wǎng)關(guān)B之間的平安隧道便建立成功了。從IPsec VPN頁面右側(cè)輔助欄的區(qū)選擇ISAKMP SA/IPsec SA/鏈接，查看VPN監(jiān)控結(jié)果。SCVPN配置為解決遠程用戶平安訪問私網(wǎng)數(shù)據(jù)的問題，平安網(wǎng)關(guān)提供基于SSL的遠程登錄解決方案Secure

28、Connect VPN，簡稱為SCVPN。SCVPN功能可以通過簡單易用的方法實現(xiàn)信息的遠程連通。SCVPN配置，請按照以下步驟進行操作：1. 通過WebUI方式登錄StoneOS，從頁面左側(cè)導航樹選擇并點擊“配置-網(wǎng)絡(luò)- SSL VPN，進入SCVPN頁面。2. 點擊SCVPN列表左上角的新建按鈕或者從頁面右側(cè)輔助欄的區(qū)選擇新建SSL VPN鏈接，彈出對話框。3. 閱讀內(nèi)容，并在文本框中指定SCVPN名稱。4. 點擊下一步按鈕進入配置頁面。在該頁面配置用于客戶端用戶身份認證的AAA效勞器。5. 點擊下一步按鈕進入配置頁面。在該頁面配置設(shè)備端接口、隧道接口和地址池。注意：隧道接口地址和地址池必

29、須在同一網(wǎng)段，且地址池地址段中不能包含隧道接口地址。6. 在配置頁面下拉菜單中選擇系統(tǒng)中已配置的隧道接口；或者選中下拉菜單中的選項，在彈出的對話框中新建隧道接口；還可以在下拉菜單中選中系統(tǒng)中已配置的隧道接口，然后點擊配置按鈕，在彈出的對話框中編輯該隧道接口。7. 在配置頁面下拉菜單中選擇系統(tǒng)中已配置的地址池；或者，選中下拉菜單中的選項，在彈出的對話框中新建地址池；還可以在下拉菜單中選中系統(tǒng)中已配置的地址池，然后點擊配置按鈕，在彈出的對話框中編輯該地址池。8. 點擊下一步按鈕進入頁面。在該頁面配置策略規(guī)那么和隧道路由。注意：系統(tǒng)會自動創(chuàng)立一條源平安域是VPNHub，目的平安域是Any的策略；隧道

30、路由即為遠程撥入用戶需要訪問的內(nèi)網(wǎng)資源網(wǎng)段。9. 如需要，點擊頁面右下方的高級配置按鈕，進行SCVPN高級參數(shù)配置，包括參數(shù)配置、客戶端/USB Key配置、主機檢測/綁定配置、短信口令認證配置和最優(yōu)路徑檢測配置。參數(shù)配置保持默認即可。10. 建立登錄用戶。從工具欄的下拉菜單項選擇擇本地用戶，彈出對話框。11. 選中下拉菜單中的用戶按鈕，彈出對話框。在根本配置標簽頁，進行用戶名稱和密碼的配置。12. Web方式用戶名/密碼啟動SCVPN。在IE瀏覽器的地址欄輸入以下URL訪問設(shè)備端： s:/IP-Address:Port-Number默認為4433。13. 瀏覽器轉(zhuǎn)到登錄頁面，輸入用戶名和密碼

31、，并點擊登錄按鈕。14. 下載并啟動SCVPN客戶端用戶名/密碼。使用Web方式登錄后，下載并安裝客戶端程序Hillstone Secure Connect。15. 完成安裝后，雙擊桌面的Hillstone Secure Connect快捷方式，或者點擊“開始菜單中的“所有程序Hillstone Secure ConnectHillstone Secure Connect，系統(tǒng)彈出登錄對話框，點擊對話框中的模式按鈕，系統(tǒng)彈出對話框如下列圖所示。選中單項選擇按鈕，點擊確定按鈕。16. 在彈出的“用戶名/密碼登錄模式客戶端程序登錄對話框，依次填寫效勞器地址、端口號、用戶名以及密碼，然后點擊登錄按鈕

32、。DNAT配置目的地址映射主要用于將內(nèi)網(wǎng)的效勞器對外進行發(fā)布如 效勞，F(xiàn)TP效勞，數(shù)據(jù)庫效勞等，使外網(wǎng)用戶能夠通過外網(wǎng)地址訪問需要發(fā)布的效勞。常用的DNAT映射有一對一IP映射，一對一端口映射，多對多端口映射，一對多映射。一對一IP映射配置舉例：將公網(wǎng)地址映射到內(nèi)網(wǎng)地址00請按照以下步驟進行配置：1. 創(chuàng)立兩個地址簿內(nèi)網(wǎng)地址和外網(wǎng)地址。從工具欄的下拉菜單項選擇擇地址簿，彈出對話框。點擊新建按鈕，彈出對話框。 注意：針對此配置舉例，掩碼必須填寫32。2. 同步驟1，創(chuàng)立內(nèi)網(wǎng)地址簿。3. 新建目的NAT IP映射規(guī)那么。從頁面左側(cè)導航樹選擇并點擊“配置-網(wǎng)絡(luò)-

33、NAT，進入源NAT頁面。點擊目的NAT標簽，進入目的NAT頁面。點擊目的NAT列表中的新建按鈕，并在彈出的下拉菜單中選擇IP映射，彈出對話框。4. 查看接口所在平安域。點擊目的NAT列表中的新建按鈕，并在彈出的下拉菜單中選擇IP映射，彈出對話框。從頁面左側(cè)導航樹選擇并點擊“配置-網(wǎng)絡(luò)-網(wǎng)絡(luò)連接，進入網(wǎng)絡(luò)連接頁面，在接口列表查看接口所在平安域。5. 創(chuàng)立untrust - trust的策略規(guī)那么。從頁面左側(cè)導航樹選擇并點擊“配置-平安-策略，進入策略頁面。點擊列表左上角的新建按鈕，彈出對話框，在該對話框?qū)Σ呗砸?guī)那么進行編輯。一對一端口映射配置舉例：將公網(wǎng)地址的TCP 8080端

34、口映射到內(nèi)網(wǎng)地址00的80端口。請按照以下步驟進行配置：1. 創(chuàng)立兩個地址簿內(nèi)網(wǎng)地址和外網(wǎng)地址。請參閱一對一IP映射步驟1-2。2. 根據(jù)所需映射的公網(wǎng)地址端口8080，創(chuàng)立效勞。從工具欄的下拉菜單項選擇擇效勞簿，彈出對話框。選中下拉菜單中的效勞按鈕，彈出對話框。3. 新建目的NAT端口映射規(guī)那么。從頁面左側(cè)導航樹選擇并點擊“配置-網(wǎng)絡(luò)-NAT，進入源NAT頁面。點擊目的NAT標簽，進入目的NAT頁面。點擊目的NAT列表中的新建按鈕，并在彈出的下拉菜單中選擇端口映射，彈出對話框。4. 查看接口所在平安域。請參閱一對一IP映射步驟4-5。多對多端口映射配置舉例：將公網(wǎng)地址6

35、的tcp 80映射到內(nèi)網(wǎng)地址00的80端口，的TCP 8080映射到00的8080端口。請按照以下步驟進行配置：1. 創(chuàng)立兩個地址簿內(nèi)網(wǎng)地址和外網(wǎng)地址。請參閱一對一IP映射步驟1-2。2. 根據(jù)所需映射的公網(wǎng)地址端口80和8080，創(chuàng)立效勞。請參閱一對一端口映射步驟2。3. 目的NAT高級配置。從頁面左側(cè)導航樹選擇并點擊“配置-網(wǎng)絡(luò)-NAT，進入源NAT頁面。點擊目的NAT標簽，進入目的NAT頁面。點擊目的NAT列表中的新建按鈕，并在彈出的下拉菜單中選擇高級配置，彈出對話框。4. 查看接口所在平安域。請參閱一對一IP映射

36、步驟4-5。一對多映射效勞器負載均衡配置舉例：將公網(wǎng)地址的tcp 80端口映射到內(nèi)網(wǎng)地址和的80端口，多臺效勞器進行負載均衡。請按照以下步驟進行配置：1. 創(chuàng)立兩個地址簿內(nèi)網(wǎng)地址和外網(wǎng)地址。請參閱一對一IP映射步驟1-2。2. 根據(jù)所需映射的公網(wǎng)地址端口80，創(chuàng)立效勞。請參閱一對一端口映射步驟2。3. 目的NAT高級配置。從頁面左側(cè)導航樹選擇并點擊“配置-網(wǎng)絡(luò)-NAT，進入源NAT頁面。點擊目的NAT標簽，進入目的NAT頁面。點擊目的NAT列表中的新建按鈕，并在彈出的下拉菜單中選擇高級配置，彈出對話框。4. 查看接口所在平安域。請參閱

37、一對一IP映射步驟4-5。第4章 鏈路負載均衡鏈路負載均衡介紹對于多ISP鏈路用戶，鏈路負載均衡功能可以通過動態(tài)鏈路探測技術(shù)將流量合理分發(fā)到不同鏈路，從而到達充分利用各條鏈路資源的目的?？梢詫?nèi)網(wǎng)的流量根據(jù)源地址、目的地址或者效勞進行流量的負載分攤，以便保證流量的負載分擔。在配置源地址，目的地址的負載均衡后，可以實現(xiàn)冗余，當某一條路由失效時，可以保證正常的流量轉(zhuǎn)發(fā)。在配置鏈路負載均衡之前，先確保設(shè)備的接口、SNAT和策略都已配置完成。1. 接口的IP地址和掩碼配置完成掩碼位數(shù)需要跟運營商確認。2. SNAT規(guī)那么配置完成，使內(nèi)網(wǎng)的流量可以分別NAT成對應公網(wǎng)出口地址池的地址，能夠訪問Inter

38、net。3. 策略規(guī)那么配置完成。允許流量通過設(shè)備?；谀康穆酚傻呢撦d均衡配置舉例：ethernet0/1口接入10M帶寬的運營商A鏈路，ethernet0/2接入20M帶寬的運營商B鏈路；實現(xiàn)所有訪問公網(wǎng)的流量按1：2的比例分別從ethernet0/1口和ethernet0/2口轉(zhuǎn)發(fā)出去。即當設(shè)備總共轉(zhuǎn)發(fā)3數(shù)值的流量時，ethernet0/1轉(zhuǎn)發(fā)1數(shù)值；ethernet0/2口轉(zhuǎn)發(fā)2數(shù)值。請按照以下步驟進行配置：1. 通過WebUI方式登錄StoneOS，從頁面左側(cè)導航樹選擇并點擊“配置-網(wǎng)絡(luò)-路由，進入路由頁面。點擊目的路由標簽，進入目的路由頁面。點擊目的路由列表左上角的新建按鈕，彈出對話

39、框，在該對話框?qū)δ康穆酚蛇M行編輯。2. 再創(chuàng)立一條路由權(quán)值為2的路由條目，方法同步驟1。3. 完成配置后，即可實現(xiàn)流量從ethernet 0/1轉(zhuǎn)發(fā)和從ethernet 0/2轉(zhuǎn)發(fā)的比是10：20即流量的1：2負載均衡。具體比例可根據(jù)出口帶寬的大小以及實際使用率確定。基于源路由的負載均衡配置舉例：負載均衡來自/24網(wǎng)段的流量。請按照以下步驟進行配置：1. 通過WebUI方式登錄StoneOS，從頁面左側(cè)導航樹選擇并點擊“配置-網(wǎng)絡(luò)-路由，進入路由頁面。點擊源路由標簽，進入源路由頁面。點擊源路由列表左上角的新建按鈕，彈出對話框，在該對話框?qū)υ绰酚蛇M行編輯。2. 再創(chuàng)立一條網(wǎng)

40、關(guān)為、路由權(quán)值為2的路由條目，方法同步驟1。3. 完成配置后，即可實現(xiàn)來自/24網(wǎng)段的流量從e0/1轉(zhuǎn)發(fā)和從e0/2轉(zhuǎn)發(fā)的比是1：2，具體比例可根據(jù)出口帶寬的大小以及實際使用率確定。智能鏈路負載均衡當內(nèi)網(wǎng)用戶向外網(wǎng)目標地址首次發(fā)起訪問時，系統(tǒng)對匹配到默認路由的流量在符合條件的鏈路上進行探測，對響應相對快速的接口生成靜態(tài)路由，后續(xù)報文將直接按照路由轉(zhuǎn)發(fā)不再探測；如果生成的靜態(tài)路由在一定時間內(nèi)不被命中，那么自動老化。請按照以下步驟進行配置：1. 通過WebUI方式登錄StoneOS，從頁面左側(cè)導航樹選擇并點擊“配置-網(wǎng)絡(luò)-鏈路負載均衡，進入鏈路負載均衡頁面。2.

41、 點擊出站負載均衡標簽，進入出站負載均衡頁面。3. 在頁面左上角點擊出站就近探測接口，彈出配置對話框。4. 選擇需要啟用出站就近探測的接口即啟用出站負載均衡功能的接口。并點擊確定按鈕。5. 在頁面右側(cè)輔助欄的區(qū)對就近探測路由進行配置： 老化時間：指定就近探測路由的老化時間，單位為分鐘。取值范圍是1到1440分鐘，默認值為10分鐘。如果在老化時間結(jié)束后仍沒有流量匹配該路由，系統(tǒng)認為該路由已經(jīng)老化失效，并從路由表中刪除； 子網(wǎng)掩碼：指定就近探測路由的掩碼。平安網(wǎng)關(guān)支持兩種格式：A.B.C.D和num。A.B.C.D的取值范圍是到55，默認值為255.25

42、5.255.0；num的取值范圍是8到32，默認值為24。第5章 QoS配置QoS介紹QoSQuality of Service即“效勞質(zhì)量。它是指網(wǎng)絡(luò)為特定流量提供更高優(yōu)先效勞的同時控制抖動和延遲的能力，并且能夠降低數(shù)據(jù)傳輸丟包率。當網(wǎng)絡(luò)過載或擁塞時，QoS能夠確保重要業(yè)務(wù)流量的正常傳輸。QoS是網(wǎng)絡(luò)中管理數(shù)據(jù)流的可用帶寬、延遲、抖動以及分組喪失的技術(shù)集合。所有的QoS機制的目的就是影響這些特征中的至少一個，某些情況下甚至是全部。IP QoS配置IP QoS配置，請按照以下步驟進行操作：1. 通過WebUI方式登錄StoneOS，從頁面左側(cè)導航樹選擇并點擊“配置-控制-流量管理， 進入QoS

43、配置頁面。2. 點擊IP QoS標簽，頁面將出現(xiàn)IP QoS列表。3. 點擊IP QoS列表上方的新建按鈕，彈出對話框。4. 在根本配置標簽頁，進行IP QoS規(guī)那么的根本配置。5. 在高級配置標簽頁，可根據(jù)需要，配置如下功能： 配置彈性QoS?？稍O(shè)置最大彈性帶寬，當接口存在閑置帶寬時可暫時突破QoS的閑置以防止資源浪費，必須在主頁開啟全局彈性QoS時才能生效。用戶可選擇為上行流量或下行流量配置該功能。啟用 - 選中該復選框開啟彈性QoS功能。最大彈性帶寬 - 開啟彈性QoS功能后，該選項用來指定最大彈性帶寬，即帶寬上漲的最大限制，單位為Kbps。默認值是IP配置帶寬的100倍。取值范圍是64

44、到1000000。； 配置細粒度控制。為IP QoS規(guī)那么嵌套應用QoS規(guī)那么，系統(tǒng)將為不同IP按照指定的應用QoS規(guī)那么分配應用帶寬，實現(xiàn)IP QoS的細粒度控制。用戶可選擇為上行流量或下行流量配置該功能。點擊嵌套應用QoS規(guī)那么鏈接，彈出對話框，配置方式與配置應用QoS規(guī)那么的方式相同。用戶可在嵌套應用QoS規(guī)那么列表中點擊編輯或刪除按鈕，進行相應的編輯或刪除操作注意：使用應用QoS需要翻開相應平安域的應用識別以及安裝應用特征庫許可證。配置舉例：配置至00范圍內(nèi)IP在ethernet0/2每IP上下行預留帶寬200K，最大帶寬1M，如下列圖所示：

45、應用QoS配置應用 QoS配置，請按照以下步驟進行操作：1. 通過WebUI方式登錄StoneOS，從頁面左側(cè)導航樹選擇并點擊“配置-控制-流量管理， 進入QoS配置頁面。2. 點擊應用QoS列表上方的新建按鈕，彈出對話框。3. 在根本配置標簽頁，進行應用 QoS規(guī)那么的根本配置。4. 在高級配置標簽頁，可根據(jù)需要，配置細粒度控制。在下拉菜單中選擇IP QoS，然后點擊嵌套IP QoS規(guī)那么鏈接，彈出對話框，配置方式與IP QoS配置相同。注意：使用應用QoS需要翻開相應平安域的應用識別以及安裝應用特征庫許可證。配置舉例：限制P2P軟件及P2P流媒體在ethernet0/2接口上行最大流量為1

46、0M，如下列圖所示：混合QoS配置Hillstone山石網(wǎng)科平安網(wǎng)關(guān)中的QoS除了有針對IP和應用外，還可以針對地址條目，角色，QoS標簽，IP優(yōu)先權(quán)以及DSCP等多項條件進行混合QoS配置以到達更精確的帶寬管理?；旌螿oS配置，請按照以下步驟進行操作：1. 通過WebUI方式登錄StoneOS，從頁面左側(cè)導航樹選擇并點擊“配置-控制-流量管理， 進入QoS配置頁面。2. 點擊應用QoS列表上方的新建按鈕，彈出對話框。3. 在根本配置標簽頁，點擊右側(cè)更多按鈕，彈出對話框，可添加多項匹配條件。可針對策略標簽，IP優(yōu)先權(quán)，IP范圍，地址條目等進行控制。QoS白名單配置QoS功能支持配置IP地址白名

47、單。配置后，系統(tǒng)將對指定的流量不進行QoS控制。配置IP地址白名單，請按照以下步驟進行操作：1. 通過WebUI方式登錄StoneOS，從頁面左側(cè)導航樹選擇并點擊“配置-控制-流量管理，進入QoS配置頁面。2. 在應用QoS標簽下的處指定不受QoS規(guī)那么流量限制的IP?？梢赃x擇指定IP范圍或地址簿條目： IP范圍：在文本框中輸入起始IP地址和終止IP地址； 地址條目：在組合框中輸入或選擇地址簿中的地址條目。第6章 網(wǎng)絡(luò)行為控制配置網(wǎng)絡(luò)行為控制功能中的URL過濾、bypass域名以及應用行為控制等與網(wǎng)絡(luò)域名有關(guān)的功能時，需要現(xiàn)在設(shè)備上上進行DNS配置，并且盡量保證設(shè)備使用的DNS與內(nèi)部電腦的DN

48、S一致。DNS配置，請按照以下步驟進行操作：1. 通過WebUI方式登錄StoneOS，從頁面左側(cè)導航樹選擇并點擊“配置-網(wǎng)絡(luò)-網(wǎng)絡(luò)連接，進入網(wǎng)絡(luò)連接頁面。2. 從頁面右側(cè)輔助欄的區(qū)選擇DNS列表鏈接，彈出對話框。3. 選中效勞器和代理標簽，在局部點擊新建按鈕，彈出對話框。URL過濾有URL許可證URL過濾配置，請按照以下步驟進行操作：1. 通過WebUI方式登錄StoneOS，從頁面左側(cè)導航樹選擇并點擊“配置-控制-URL過濾，進入URL過濾頁面。2. 點擊新建按鈕，彈出對話框。3. 指定規(guī)那么的用戶，該用戶可以為地址簿地址條目、IP地址、IP地址范圍、角色、用戶或用戶組。系統(tǒng)默認用戶為An

49、y，即對任意用戶都有效，如果要修改，那么先刪除any用戶。點擊后面的配置按鈕，在彈出的對話框中對用戶進行修改。4. 配置實際所需要限制的內(nèi)網(wǎng)IP用戶，注意掩碼32表示單個主機IP，如需整個網(wǎng)段那么填寫相應的網(wǎng)絡(luò)掩碼。在下拉菜單項選擇中“IP，需要在文本框輸入IP地址和網(wǎng)絡(luò)掩碼。5. 在局部配置規(guī)那么的控制內(nèi)容URL類別和URL關(guān)鍵字類別和控制動作阻止訪問和記錄日志?？蛇x6. 完成上述配置，即可實現(xiàn)阻止內(nèi)網(wǎng)這個IP訪問“惡意代碼和“掛馬隱患這兩類網(wǎng)站。配置自定義URL庫用戶可以根據(jù)需要自定義URL類別。與預定義URL類別相同，自定義URL庫能夠為URL過濾功能配置、網(wǎng)頁關(guān)鍵

50、字過濾功能配置和Web外發(fā)信息控制功能配置提供URL類別。新建URL類別，請按照以下步驟進行操作：1. 從頁面左側(cè)導航樹選擇并點擊“配置-控制-URL過濾/網(wǎng)頁關(guān)鍵字/Web外發(fā)信息，進入功能頁面。2. 從頁面右側(cè)輔助欄的區(qū)選擇自定義URL庫鏈接，彈出對話框。3. 點擊新建按鈕，彈出對話框。輸入自定義URL類別名稱和需要過濾的域名。4. 點擊確定按鈕，保存所做配置。即可在配置URL過濾時找到自定義的URL類別，選擇控制動作。URL過濾無URL許可證URL過濾配置，請按照以下步驟進行操作：1. 新建URL過濾規(guī)那么，步驟請參閱URL過濾有URL許可證步驟1-4。2. 在對話框中的局部點擊，添加要阻止的網(wǎng)站，*號表示通配符，這樣該網(wǎng)站的子域名也會一起被禁止，如果是僅需阻止單個域名，那么填寫該