Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)50

1、Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)50Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)5050/50Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)50Hillstone山石網(wǎng)科多核安全網(wǎng)關(guān)基礎(chǔ)配置手冊(cè)version5.0目錄第1章設(shè)施管理1設(shè)施管理介紹.1終端Console登錄1WebUI方式登錄1恢復(fù)出廠設(shè)置.2經(jīng)過(guò)CLI方式2經(jīng)過(guò)WebUI方式2經(jīng)過(guò)CLR按鍵方式4StoneOS版本升級(jí)4經(jīng)過(guò)網(wǎng)絡(luò)快速升級(jí)StoneOS（TFTP）4經(jīng)過(guò)WebUI方式升級(jí)StoneOS6允許證安裝8經(jīng)過(guò)CLI方式安裝8經(jīng)過(guò)WebUI方式安裝8第2章基礎(chǔ)上網(wǎng)配置10基礎(chǔ)上網(wǎng)配置介紹10接口配置10路由配置11策略配置13源

2、NAT配置14第3章常用功能配置16常用配置介紹.16PPPoE配置.16DHCP配置18IP-MAC綁定配置20端到端IPsecVPN配置22SCVPN配置29DNAT配置37一對(duì)一IP映照37一對(duì)一端口映照40多對(duì)多端口映照43一對(duì)多映照（服務(wù)器負(fù)載平衡）46第4章鏈路負(fù)載平衡48鏈路負(fù)載平衡介紹48鑒于目的路由的負(fù)載平衡49鑒于源路由的負(fù)載平衡50智能鏈路負(fù)載平衡50第5章QoS配置53QoS介紹53IPQoS配置53應(yīng)用QoS配置55混淆QoS配置58QoS白名單配置59第6章網(wǎng)絡(luò)行為控制60URL過(guò)濾（有URL允許證）60配置自定義URL庫(kù)63URL過(guò)濾（無(wú)URL允許證）64網(wǎng)頁(yè)重點(diǎn)

3、字過(guò)濾65網(wǎng)絡(luò)聊天控制.69第7章VPN高級(jí)配置.72鑒于USBKey的SCVPN配置72新建PKI相信域72配置SCVPN77制作USBKey78使用USBKey方式登錄SCVPN80PnPVPN83用戶配置83IKEVPN配置85地道接口配置89路由配置90策略配置91PnPVPN客戶端配置92第8章高靠譜性94高靠譜性介紹.94高靠譜性配置.95對(duì)于本手冊(cè)手冊(cè)內(nèi)容本手冊(cè)為Hillstone山石網(wǎng)科多核安全網(wǎng)關(guān)的基礎(chǔ)配置手冊(cè)，對(duì)Hillstone山石網(wǎng)科多核安全網(wǎng)關(guān)的主要功能模塊配置進(jìn)行介紹，幫助用戶快速掌握安全網(wǎng)關(guān)的WebUI配置。合用于StoneOS5.0以及以上版本。詳細(xì)內(nèi)容包含：第

4、1章：設(shè)施管理。介紹登錄方式、StoneOS升級(jí)以及允許證安裝等。第2章：基礎(chǔ)上網(wǎng)配置。介紹接口、路由、策略等基本上網(wǎng)配置。第3章：常用功能配置。介紹PPPoE撥號(hào)、動(dòng)向地點(diǎn)分派DHCP、DNAT等配置。第4章：鏈路負(fù)載平衡。介紹鑒于目的路由、源路由、策略路由的流量負(fù)載配置等。第5章：QoS配置。介紹QoS功能及配置。第6章：網(wǎng)絡(luò)行為控制配置。介紹URL過(guò)濾、網(wǎng)頁(yè)重點(diǎn)字以及網(wǎng)絡(luò)聊天控制配置。第7章：VPN高級(jí)配置。介紹鑒于USBKey的SCVPN配置以及PnPVPN配置。第8章：高靠譜性。介紹高靠譜性（HA）的配置。手冊(cè)商定為方便用戶閱讀與理解，本手冊(cè)依據(jù)以下商定：內(nèi)容商定本手冊(cè)內(nèi)容商定以下：

5、提示：為用戶供給有關(guān)參照信息。說(shuō)明：為用戶供給有助于理解內(nèi)容的說(shuō)明信息。注意：假如該操作不正確，會(huì)致使系統(tǒng)犯錯(cuò)。：用該方式表示Hillstone設(shè)施WebUI界面上的鏈接、標(biāo)簽或許按鈕。比如，“點(diǎn)擊登錄按鈕進(jìn)入Hillstone設(shè)施的主頁(yè)”。：用該方式表示W(wǎng)ebUI界面上供給的文本信息，包含單項(xiàng)選擇按鈕名稱(chēng)、復(fù)選框名稱(chēng)、文本框名稱(chēng)、選項(xiàng)名稱(chēng)以及文字描繪。比如，“改變MTU值，選中單項(xiàng)選擇按鈕，而后在文本框中輸入適合的值”。Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)第1章設(shè)施管理設(shè)施管理介紹為方便管理員管理與配置，安全網(wǎng)關(guān)支持當(dāng)?shù)兀–onsole口）與遠(yuǎn)程（Telnet、SSH、HTTP以及HTTP

6、S）兩種環(huán)境配置方法，能夠經(jīng)過(guò)CLI和WebUI兩種方式進(jìn)行配置。終端Console登錄經(jīng)過(guò)Console口，用戶可登錄安全網(wǎng)關(guān)設(shè)施的CLI，進(jìn)而使用命令行對(duì)設(shè)施進(jìn)行配置。在計(jì)算機(jī)上運(yùn)轉(zhuǎn)終端仿真程序（系統(tǒng)的超級(jí)終端、SecureCRT等）成立與安全網(wǎng)關(guān)的連結(jié)。依據(jù)表1配置終端參數(shù)：表1：配置終端參數(shù)參數(shù)數(shù)值波特率9600bit/s數(shù)據(jù)位8奇偶校驗(yàn)無(wú)停止位1WebUI方式登錄WebUI是最方便、直觀、簡(jiǎn)單的配置方式，WebUI同時(shí)支持http和https兩種接見(jiàn)方式。安全網(wǎng)關(guān)的ethernet0/0接口配有默認(rèn)IP地點(diǎn)，首次使用安全網(wǎng)關(guān)時(shí)，用戶可以經(jīng)過(guò)該接口接見(jiàn)安全網(wǎng)關(guān)的WebUI頁(yè)面。請(qǐng)依據(jù)以

7、下步驟：1.將管理PC的IP地點(diǎn)設(shè)置為與同網(wǎng)段的IP地點(diǎn)，而且用網(wǎng)線將管理PC與安全網(wǎng)關(guān)的ethernet0/0接口進(jìn)行連結(jié)。2.在管理PC的Web閱讀器中輸入地點(diǎn)“”并按回車(chē)鍵。出現(xiàn)登錄頁(yè)面以下列圖所示。1Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)恢復(fù)出廠設(shè)置Hillstone山石網(wǎng)科供給三種方法恢復(fù)設(shè)施的出廠配置，分別是：命令行：經(jīng)過(guò)CLI使用命令進(jìn)行恢復(fù)WebUI：經(jīng)過(guò)WebUI消除配置以恢復(fù)出廠配置物理方法：使用設(shè)施的CLR按鍵進(jìn)行恢復(fù)經(jīng)過(guò)CLI方式經(jīng)過(guò)CLI使用命令恢復(fù)出廠設(shè)置，請(qǐng)依據(jù)以下步驟進(jìn)行操作：1.在履行模式下，使用unsetall命令。依據(jù)提示，選擇能否保留目前配置：y/n。選

8、擇能否重啟設(shè)施：y/n。系統(tǒng)重啟后即出廠配置恢復(fù)完成。經(jīng)過(guò)WebUI方式經(jīng)過(guò)WebUI恢復(fù)出廠配置，請(qǐng)依據(jù)以下步驟進(jìn)行操作：1.經(jīng)過(guò)WebUI方式登錄StoneOS，從工具欄的下拉菜單項(xiàng)選擇擇配置備份復(fù)原。2Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)以下列圖所示：在彈出的對(duì)話框，選擇單項(xiàng)選擇按鈕，并點(diǎn)擊下一步按鈕。3.選擇能否重啟設(shè)施。為使配置奏效，用戶需從頭啟動(dòng)設(shè)施。選擇單項(xiàng)選擇按鈕，并點(diǎn)擊達(dá)成按鈕。3Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)全部配置將會(huì)被消除，而后設(shè)施將自動(dòng)重啟。經(jīng)過(guò)CLR按鍵方式使用CLR按鍵恢復(fù)出廠配置，請(qǐng)依據(jù)以下步驟進(jìn)行操作：封閉安全網(wǎng)關(guān)的電源。2.用針狀物按住CLR按鍵的

9、同時(shí)翻開(kāi)安全網(wǎng)關(guān)的電源。3.保持按住狀態(tài)直到指示燈STA和ALM均變成紅色常亮，開(kāi)釋CLR按鍵。此時(shí)系統(tǒng)開(kāi)始恢復(fù)出廠配置。4.出廠配置恢復(fù)完成，系統(tǒng)將會(huì)自動(dòng)從頭啟動(dòng)。StoneOS版本升級(jí)經(jīng)過(guò)網(wǎng)絡(luò)快速升級(jí)StoneOS（TFTP）Sysloader能夠從TFTP服務(wù)器獲取StoneOS，進(jìn)而保證用戶能夠經(jīng)過(guò)網(wǎng)絡(luò)快速升級(jí)StoneOS。請(qǐng)依據(jù)以下步驟進(jìn)行操作：給設(shè)施上電依據(jù)提示按ESC鍵而且進(jìn)入Sysloader。參照以下操作提示：HILLSTONENETWORKSHillstoneBootloader1.3.2Aug142008-19:09:37DRAM:2048MBBOOTROM:512KB

10、4Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)PressESCtostopautoboot:4（5秒倒計(jì)時(shí)結(jié)束前按“ESC”鍵）Runon-boardsysloader?y/n:y（鍵入字母“y”或許敲回車(chē)鍵）Loading:#2.從Sysloader的操作選擇菜單項(xiàng)選擇擇經(jīng)過(guò)TFTP升級(jí)StoneOS。參照以下操作提示：Sysloader1.2.13Aug142008-16:53:42LoadfirmwareviaTFTPLoadfirmwareviaFTPLoadfirmwarefromUSBdisks(notavailable)SelectbackupfirmwareasactiveShowo

11、n-boardfirmwareResetPleaseselect:1（在此處鍵入“1”并敲回車(chē)鍵）3.保證設(shè)施與控制主機(jī)的連通性，并將需升級(jí)的StoneOS拷貝到指定目錄下。4.挨次配置Sysloader的IP地點(diǎn)、TFTP服務(wù)器的IP地點(diǎn)、網(wǎng)關(guān)IP地點(diǎn)以及StoneOS名稱(chēng)。參照以下操作提示：Localipaddress:（輸入Sysloader的IP地點(diǎn)并敲回車(chē)鍵）Serveripaddress:（輸入TFTP服務(wù)器的IP地點(diǎn)并敲回車(chē)鍵）Gatewayipaddress:（假如Sysloader與TFTP服務(wù)器的IP地址不屬于同一個(gè)網(wǎng)段，輸入網(wǎng)關(guān)的IP地點(diǎn)并敲回車(chē)鍵；不然直接敲回車(chē)鍵）Fi

12、lename:StoneOS-3.5R2（輸入StoneOS名稱(chēng)并敲回車(chē)鍵，系統(tǒng)開(kāi)始經(jīng)過(guò)TFTP獲5Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)取StoneOS）#保留StoneOS。參照以下操作提示：Filetotallength10482508Checkingtheimage.VerifiedOKSavethisimage?y/n:y（鍵入字母“y”或許敲回車(chē)鍵，保留獲取的StoneOS）SavingSetStoneOS-3.5R2asactivebootimage重啟。系統(tǒng)將使用新的StoneOS啟動(dòng)。參照以下操作提示：PleaseresetboardtobootthisimageLoadfi

13、rmwareviaTFTPLoadfirmwareviaFTPLoadfirmwarefromUSBdisks(notavailable)SelectbackupfirmwareasactiveShowon-boardfirmwareResetPleaseselect:6（在此處鍵入“6”并敲回車(chē)鍵，系統(tǒng)開(kāi)始重啟）設(shè)施的Flash中最多能夠儲(chǔ)藏兩個(gè)StoneOS。假如Flash中已經(jīng)保留了兩個(gè)StoneOS，請(qǐng)依據(jù)提示對(duì)儲(chǔ)藏的StoneOS進(jìn)行刪除。經(jīng)過(guò)WebUI方式升級(jí)StoneOS經(jīng)過(guò)WebUI方式登錄StoneOS，從工具欄的下拉菜單項(xiàng)選擇擇版本升級(jí)。以下列圖所示：2.在彈出的對(duì)話框，選

14、擇單項(xiàng)選擇按鈕，并點(diǎn)擊下一步按鈕。6Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)3.在下拉菜單中選擇一個(gè)軟件版本做為備份，而后點(diǎn)擊后的閱讀按鈕并在當(dāng)?shù)豍C選擇新的軟件版本文件。點(diǎn)擊下一步。依據(jù)需要，選擇單項(xiàng)選擇按鈕，并點(diǎn)擊達(dá)成按鈕。為使配置奏效，用戶需從頭啟動(dòng)設(shè)施。7Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)注意：假如選擇暫不從頭啟動(dòng)設(shè)施，將會(huì)在下次從頭啟動(dòng)設(shè)施后加載新版本StoneOS。允許證安裝經(jīng)過(guò)CLI方式安裝經(jīng)過(guò)CLI使用命令安裝允許證，請(qǐng)依據(jù)以下步驟進(jìn)行操作：1.登錄StoneOS，在履行模式下，使用execlicenseinstalllicense-string命令（license-stri

15、ng要安裝的允許證字符串。輸入“l(fā)icense：”后的字符串）。以下圖所示：2.依據(jù)系統(tǒng)提示重啟后即達(dá)成允許證安裝。經(jīng)過(guò)WebUI方式安裝經(jīng)過(guò)WebUI安裝允許證，請(qǐng)依據(jù)以下步驟進(jìn)行操作：經(jīng)過(guò)WebUI方式登錄StoneOS，從工具欄的下拉菜單項(xiàng)選擇擇允許證。以下列圖所示：8Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)在彈出的對(duì)話框中，允許證列表可查察目前系統(tǒng)允許證的種類(lèi)和有效時(shí)間。在處，用戶可依據(jù)需要，選擇手動(dòng)輸入允許證懇求或選擇上傳當(dāng)?shù)匚募?上傳允許證文件：選中單項(xiàng)選擇按鈕（允許證為純文本.txt文件），點(diǎn)擊閱讀按鈕，而且選中允許證文件；?手動(dòng)輸入：選中單項(xiàng)選擇按鈕，而后將允許證字符串內(nèi)容（包

16、含“l(fā)icense：”及以后內(nèi)容）輸入到對(duì)應(yīng)的文本框。點(diǎn)擊確立按鈕保留所做配置，而且重啟設(shè)施達(dá)成允許證的安裝。9Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)第2章基礎(chǔ)上網(wǎng)配置基礎(chǔ)上網(wǎng)配置介紹為使設(shè)施實(shí)現(xiàn)正常上網(wǎng)，基本配置包含接口、路由、策略以及源NAT的配置。接口配置接口配置，請(qǐng)依據(jù)以下步驟進(jìn)行操作：1.經(jīng)過(guò)WebUI方式登錄StoneOS，從頁(yè)面左邊導(dǎo)航樹(shù)選擇并點(diǎn)擊“配置-網(wǎng)絡(luò)-網(wǎng)絡(luò)連結(jié)”，進(jìn)入網(wǎng)絡(luò)連結(jié)頁(yè)面。從接口列表中選中需要編寫(xiě)的接口，雙擊或許點(diǎn)擊列表右上方的編寫(xiě)按鈕。在彈出的對(duì)話框?qū)涌谶M(jìn)行編寫(xiě):綁定安全域：指定接口的安全域種類(lèi)。三層接口選擇三層安全域，二層接口選擇二層安全域；安全域：選擇安

17、全域名稱(chēng)。一般狀況下，內(nèi)網(wǎng)選擇trust或l2-trust；外網(wǎng)選擇untrust10Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)或l2-untrust。IP配置：為接口配置IP地點(diǎn)有關(guān)信息。管理方式：指定接口的管理方式。在部分選中需要的管理方式的復(fù)選框。提示：假如外網(wǎng)接口使用PPPoE撥號(hào)方式接入，對(duì)于接口的配置請(qǐng)參閱PPPoE配置。路由配置路由配置，請(qǐng)依據(jù)以下步驟進(jìn)行操作：1.經(jīng)過(guò)WebUI方式登錄StoneOS，從頁(yè)面左邊導(dǎo)航樹(shù)選擇并點(diǎn)擊“配置-網(wǎng)絡(luò)-路由”，進(jìn)入路由頁(yè)面。點(diǎn)擊目的路由標(biāo)簽，進(jìn)入目的路由頁(yè)面。3.從下拉菜單項(xiàng)選擇擇一個(gè)VR，新建的路由將屬于該VR，默以為“trust-vr”。4

18、.點(diǎn)擊目的路由列表左上角的新建按鈕，彈出對(duì)話框，在該對(duì)話框?qū)δ康穆酚蛇M(jìn)行編寫(xiě)：?目的地：指定路由條目的目的IP。?子網(wǎng)掩碼：指定路由條目的目的IP對(duì)應(yīng)的子網(wǎng)掩碼。11Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)?下一跳：指定下一跳種類(lèi)，選中或單項(xiàng)選擇按鈕。若選擇，需在文本框中輸入網(wǎng)關(guān)IP地點(diǎn)。若選擇，需在下拉菜單中選擇接口名稱(chēng)。假如該接口為tunnel的時(shí)候，需要在可選欄輸入tunnel對(duì)端的網(wǎng)關(guān)地點(diǎn)。如：下一跳網(wǎng)關(guān)指定為（由營(yíng)運(yùn)商供給網(wǎng)關(guān)地點(diǎn)）。優(yōu)先權(quán)：該參數(shù)取值越小，優(yōu)先級(jí)越高，而在有多條路由選擇的時(shí)候，優(yōu)先級(jí)高的路由會(huì)被優(yōu)先使用。取值范圍是1到255，默認(rèn)值為1。當(dāng)優(yōu)先級(jí)為255時(shí)，該路由無(wú)效

19、。?路由權(quán)值：路由權(quán)值決定負(fù)載平衡中流量轉(zhuǎn)發(fā)的比重。范圍是1到255，默認(rèn)值是1。用戶能夠依據(jù)需要，在文本框中指定目的路由的描繪信息。點(diǎn)擊確立按鈕，達(dá)成新建目的路由。12Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)策略配置策略配置，請(qǐng)依據(jù)以下步驟進(jìn)行操作：1.經(jīng)過(guò)WebUI方式登錄StoneOS，從頁(yè)面左邊導(dǎo)航樹(shù)選擇并點(diǎn)擊“配置-安全-策略”，進(jìn)入策略頁(yè)面。點(diǎn)擊列表左上角的新建按鈕，彈出對(duì)話框，在該對(duì)話框?qū)Σ呗砸?guī)則進(jìn)行編輯。基本選項(xiàng)包含策略的源/目的安全域和源/目的地點(diǎn)的選擇，以及服務(wù)、時(shí)間表、用戶、行為和策略描繪的指定。13Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)配置達(dá)成后，點(diǎn)擊確立按鈕保留所做配置

20、并返回策略頁(yè)面。源NAT配置源NAT配置，請(qǐng)依據(jù)以下步驟進(jìn)行操作：1.經(jīng)過(guò)WebUI方式登錄StoneOS，從頁(yè)面左邊導(dǎo)航樹(shù)選擇并點(diǎn)擊“配置-網(wǎng)絡(luò)-NAT”，進(jìn)入源NAT頁(yè)面。2.點(diǎn)擊源NAT列表中的新建按鈕，彈出對(duì)話框。在該對(duì)話框?qū)υ碞AT規(guī)則進(jìn)行編寫(xiě)。14Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)配置達(dá)成后，點(diǎn)擊確立按鈕保留所做配置。15Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)第3章常用功能配置常用配置介紹本章介紹Hillstone山石網(wǎng)科多核安全網(wǎng)關(guān)的一些常用功能配置，包含PPPoE、DHCP、IP-MAC綁定、端到端IPsecVPN、SCVPN、DNAT等配置。PPPoE配置PPPoE配置，

21、請(qǐng)依據(jù)以下步驟進(jìn)行操作：1.經(jīng)過(guò)WebUI方式登錄StoneOS，從頁(yè)面左邊導(dǎo)航樹(shù)選擇并點(diǎn)擊“配置-網(wǎng)絡(luò)-網(wǎng)絡(luò)連結(jié)”，進(jìn)入網(wǎng)絡(luò)連結(jié)頁(yè)面。從接口列表中選中需要編寫(xiě)的接口，雙擊或許點(diǎn)擊列表右上方的編寫(xiě)按鈕。在彈出的對(duì)話框?qū)涌谶M(jìn)行編寫(xiě)。點(diǎn)擊確立按鈕保留所做配置并返回網(wǎng)絡(luò)連結(jié)頁(yè)面。5.從頁(yè)面右邊協(xié)助欄的區(qū)選擇PPPoE列表鏈接，彈出對(duì)話框。6.點(diǎn)擊頁(yè)面左上角的新建按鈕，彈出對(duì)話框。在該對(duì)話框進(jìn)行配置。16Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)配置達(dá)成點(diǎn)擊確立按鈕并返回PPPoE列表對(duì)話框。選中需要連結(jié)/斷開(kāi)的PPPoE實(shí)例，而后點(diǎn)擊頁(yè)面左上角的連結(jié)按鈕。17Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)DH

22、CP配置DHCP配置，請(qǐng)依據(jù)以下步驟進(jìn)行操作：1.經(jīng)過(guò)WebUI方式登錄StoneOS，從頁(yè)面左邊導(dǎo)航樹(shù)選擇并點(diǎn)擊“配置-網(wǎng)絡(luò)-網(wǎng)絡(luò)連結(jié)”，進(jìn)入網(wǎng)絡(luò)連結(jié)頁(yè)面。2.從頁(yè)面右邊協(xié)助欄的區(qū)選擇DHCP列表鏈接，彈出對(duì)話框。在該對(duì)話框?qū)HCP進(jìn)行編寫(xiě)：接口：選擇應(yīng)用DHCP服務(wù)器功能的接口。種類(lèi)：選中單項(xiàng)選擇按鈕。基本配置：在標(biāo)簽頁(yè)對(duì)DHCP的基本屬性進(jìn)行配置。18Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)3.配置達(dá)成點(diǎn)擊確立按鈕并返回DHCP列表對(duì)話框。而且將用戶pc或許互換機(jī)連結(jié)在相應(yīng)端口，即可獲取IP地點(diǎn)。19Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)IP-MAC綁定配置IP-MAC綁定配置，請(qǐng)依據(jù)以

23、下步驟進(jìn)行操作：1.經(jīng)過(guò)WebUI方式登錄StoneOS，從頁(yè)面左邊導(dǎo)航樹(shù)選擇并點(diǎn)擊“配置-安全-ARP防備”，進(jìn)入ARP防備頁(yè)面。2.從靜態(tài)IP-MAC綁定條目列表中選中需要綁定的IP-MAC條目，雙擊或許點(diǎn)擊列表上方的編寫(xiě)按鈕，彈出對(duì)話框。3.在對(duì)話框中，選中復(fù)選框開(kāi)啟IP-MAC綁定，并點(diǎn)擊確定按鈕保留配置。20Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)默認(rèn)狀況下，安全網(wǎng)關(guān)的ARP學(xué)習(xí)功能是開(kāi)啟的，IP-MAC綁定成功后，還需要封閉接口的ARP學(xué)習(xí)功能。5.從頁(yè)面左邊導(dǎo)航樹(shù)選擇并點(diǎn)擊“配置-網(wǎng)絡(luò)-網(wǎng)絡(luò)連結(jié)”，進(jìn)入網(wǎng)絡(luò)連結(jié)頁(yè)面，從接口列表中選中需要編寫(xiě)的接口，雙擊或許點(diǎn)擊列表右上方的編寫(xiě)按鈕。

24、6.在彈出的對(duì)話框中，點(diǎn)擊屬性標(biāo)簽，在部分撤消選中ARP學(xué)習(xí)后的啟用復(fù)選框開(kāi)啟接口的ARP學(xué)習(xí)功能。21Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)端到端IPsecVPN配置在Hillstone安全網(wǎng)關(guān)A和Hillstone安全網(wǎng)關(guān)B之間成立一個(gè)安全地道，PC1作為Hillstone安全網(wǎng)關(guān)A端的主機(jī)，PC2作為Hillstone安全網(wǎng)關(guān)B端的主機(jī)，兩頭的公網(wǎng)IP都是固定的狀況下，配置端到端的IPsecVPN，拓補(bǔ)圖以下：使用IKEVPN即自動(dòng)磋商方式配置IPsecVPN，配置包含：配置P1建議配置VPN對(duì)端配置P2建議配置地道22Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)綁定接口到地道配置地道路由和策

25、略詳細(xì)配置。請(qǐng)依據(jù)以下步驟進(jìn)行操作：1.配置P1建議。經(jīng)過(guò)WebUI方式登錄StoneOS，從頁(yè)面左邊導(dǎo)航樹(shù)選擇并點(diǎn)擊“配置-網(wǎng)絡(luò)-IPsecVPN”，進(jìn)入IPsecVPN頁(yè)面。點(diǎn)擊P1建議標(biāo)簽，進(jìn)入P1建議標(biāo)簽頁(yè)。2.點(diǎn)擊P1建議列表左上方的新建按鈕，彈出對(duì)話框。在該對(duì)話框進(jìn)行編寫(xiě)：建議名稱(chēng)：指定或許顯示P1建議的名稱(chēng)。認(rèn)證：指定IKE身份認(rèn)證的方式?？甲C算法：為P1建議指定考證算法。選中所需考證算法的單項(xiàng)選擇按鈕。加密算法：為P1建議指定加密算法。DH組：為P1建議選擇DH組。?生計(jì)時(shí)間：指定SA第一階段的生命周期長(zhǎng)度，單位為秒。默認(rèn)86400秒。3.配置VPN對(duì)端。在IPsecVPN頁(yè)面

26、，點(diǎn)擊VPN對(duì)端列表標(biāo)簽，進(jìn)入VPN對(duì)端列表標(biāo)簽頁(yè)。4.點(diǎn)擊VPN對(duì)端列表左上方的新建按鈕，彈出對(duì)話框。在該對(duì)話框?qū)PN對(duì)端進(jìn)行基本配置。23Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)注意：假如在設(shè)施前還有其余NAT設(shè)施，需在標(biāo)簽下配置NAT穿越功能。5.配置P2建議。在IPsecVPN頁(yè)面，點(diǎn)擊P2建議標(biāo)簽，進(jìn)入P2建議標(biāo)簽頁(yè)。6.點(diǎn)擊P2建議列表左上方的新建按鈕，彈出對(duì)話框。在該對(duì)話框進(jìn)行P2建議配置。24Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)配置地道。在IPsecVPN頁(yè)面，點(diǎn)擊IKEVPN列表左上方的新建按鈕，彈出對(duì)話框。8.在部分派置各選項(xiàng)。點(diǎn)擊后邊的導(dǎo)入按鈕，并在下拉菜單項(xiàng)選擇擇已配

27、置的VPN對(duì)端名稱(chēng)，導(dǎo)入系統(tǒng)中已配置的VPN對(duì)端參數(shù)。9.點(diǎn)擊，配置地道有關(guān)選項(xiàng)。25Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)注意：地道配置達(dá)成后，需要流量觸發(fā)VPN連結(jié)。假如需要自動(dòng)連結(jié)，請(qǐng)?jiān)跇?biāo)簽下配置自動(dòng)連結(jié)功能。10.綁定接口到地道。從主頁(yè)面左邊導(dǎo)航樹(shù)選擇并點(diǎn)擊“配置-網(wǎng)絡(luò)-網(wǎng)絡(luò)連結(jié)”，進(jìn)入網(wǎng)絡(luò)連結(jié)頁(yè)面。點(diǎn)擊接口列表左上角的新建按鈕，從下拉菜單中選擇并點(diǎn)擊，系統(tǒng)彈出對(duì)話框。在該對(duì)話框綁定接口到地道。26Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)11.配置地道路由和策略。從頁(yè)面左邊導(dǎo)航樹(shù)選擇并點(diǎn)擊“配置-網(wǎng)絡(luò)-路由”，進(jìn)入目的路由頁(yè)面。點(diǎn)擊目的路由列表左上角的新建按鈕，彈出對(duì)話框，在該對(duì)話框?qū)δ?/p>

28、的路由進(jìn)行編寫(xiě)。12.從頁(yè)面左邊導(dǎo)航樹(shù)選擇并點(diǎn)擊“配置-安全-策略”，進(jìn)入策略頁(yè)面。點(diǎn)擊列表左上角的新建按鈕，彈出對(duì)話框，在該對(duì)話框?qū)Σ呗砸?guī)則進(jìn)行編寫(xiě)。27Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)配置達(dá)成后，安全網(wǎng)關(guān)B也依據(jù)步驟1-12進(jìn)行配置。14.達(dá)成以上配置后，安全網(wǎng)關(guān)A和安全網(wǎng)關(guān)B之間的安全地道便成立成功了。從IPsecVPN頁(yè)面右邊協(xié)助欄的區(qū)選擇ISAKMPSA/IPsecSA/鏈接，查察VPN監(jiān)控結(jié)果。28Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)SCVPN配置為解決遠(yuǎn)程用戶安全接見(jiàn)私網(wǎng)數(shù)據(jù)的問(wèn)題，安全網(wǎng)關(guān)供給鑒于SSL的遠(yuǎn)程登錄解決方案SecureConnectVPN，簡(jiǎn)稱(chēng)為SCVPN

29、。SCVPN功能能夠經(jīng)過(guò)簡(jiǎn)單易用的方法實(shí)現(xiàn)信息的遠(yuǎn)程連通。SCVPN配置，請(qǐng)依據(jù)以下步驟進(jìn)行操作：1.經(jīng)過(guò)WebUI方式登錄StoneOS，從頁(yè)面左邊導(dǎo)航樹(shù)選擇并點(diǎn)擊“配置-網(wǎng)絡(luò)-SSLVPN”，進(jìn)入SCVPN頁(yè)面。2.點(diǎn)擊SCVPN列表左上角的新建按鈕或許從頁(yè)面右邊協(xié)助欄的區(qū)選擇新建SSLVPN鏈接，彈出對(duì)話框。3.閱讀內(nèi)容，并在文本框中指定SCVPN名稱(chēng)。29Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)點(diǎn)擊下一步按鈕進(jìn)入配置頁(yè)面。在該頁(yè)面配置用于客戶端用戶身份認(rèn)證的AAA服務(wù)器。點(diǎn)擊下一步按鈕進(jìn)入配置頁(yè)面。在該頁(yè)面配置設(shè)施端接口、地道接口和地點(diǎn)池。30Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)注意：

30、地道接口地點(diǎn)和地點(diǎn)池一定在同一網(wǎng)段，且地點(diǎn)池地點(diǎn)段中不可以包含地道接口地點(diǎn)。在配置頁(yè)面下拉菜單中選擇系統(tǒng)中已配置的地道接口；或許選中下拉菜單中的選項(xiàng)，在彈出的對(duì)話框中新建地道接口；還可以在下拉菜單中選中系統(tǒng)中已配置的地道接口，而后點(diǎn)擊配置按鈕，在彈出的對(duì)話框中編寫(xiě)該地道接口。31Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)7.在配置頁(yè)面下拉菜單中選擇系統(tǒng)中已配置的地點(diǎn)池；或許，選中下拉菜單中的選項(xiàng)，在彈出的對(duì)話框中新建地點(diǎn)池；還能夠在下拉菜單中選中系統(tǒng)中已配置的地點(diǎn)池，而后點(diǎn)擊配置按鈕，在彈出的對(duì)話框中編寫(xiě)該地點(diǎn)池。32Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)8.點(diǎn)擊下一步按鈕進(jìn)入頁(yè)面。在該頁(yè)面配置策

31、略規(guī)則和地道路由。注意：系統(tǒng)會(huì)自動(dòng)創(chuàng)立一條源安全域是VPNHub，目的安全域是Any的策略；地道路由即為遠(yuǎn)程撥入用戶需要接見(jiàn)的內(nèi)網(wǎng)資源網(wǎng)段。9.如需要，點(diǎn)擊頁(yè)面右下方的高級(jí)配置按鈕，進(jìn)行SCVPN高級(jí)參數(shù)配置，包含參數(shù)配置、客戶端/USBKey配置、主機(jī)檢測(cè)/綁定配置、短信口令認(rèn)證配置和最優(yōu)路徑檢測(cè)配置。33Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)參數(shù)配置保持默認(rèn)即可。成立登錄取戶。從工具欄的下拉菜單項(xiàng)選擇擇當(dāng)?shù)赜脩?，彈出?duì)話框。11.選中下拉菜單中的用戶按鈕，彈出對(duì)話框。在基本配置標(biāo)簽頁(yè)，進(jìn)行用戶名稱(chēng)和密碼的配置。34Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)12.Web方式（用戶名/密碼）啟動(dòng)S

32、CVPN。在IE閱讀器的地點(diǎn)欄輸入以下URL接見(jiàn)設(shè)施端：https:/IP-Address:Port-Number（默以為4433）。閱讀器轉(zhuǎn)到登錄頁(yè)面，輸入用戶名和密碼，并點(diǎn)擊登錄按鈕。14.下載并啟動(dòng)SCVPN客戶端（用戶名/密碼）。使用Web方式登錄后，下載并安裝客戶35Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)端程序HillstoneSecureConnect。15.達(dá)成安裝后，雙擊桌面的HillstoneSecureConnect快捷方式，或許點(diǎn)擊“開(kāi)始菜單”中的“全部程序HillstoneSecureConnectHillstoneSecureConnect，系”36Hillstone

33、山石網(wǎng)科基礎(chǔ)配置手冊(cè)統(tǒng)彈出登錄對(duì)話框，點(diǎn)擊對(duì)話框中的模式按鈕，系統(tǒng)彈出對(duì)話框（以下列圖所示）。選中單項(xiàng)選擇按鈕，點(diǎn)擊確立按鈕。16.在彈出的“用戶名/密碼”登錄模式客戶端程序登錄對(duì)話框，挨次填寫(xiě)服務(wù)器地點(diǎn)、端口號(hào)、用戶名以及密碼，而后點(diǎn)擊登錄按鈕。DNAT配置目的地點(diǎn)映照主要用于將內(nèi)網(wǎng)的服務(wù)器對(duì)外進(jìn)行公布（如HTTP服務(wù)，F(xiàn)TP服務(wù)，數(shù)據(jù)庫(kù)服務(wù)等），使外網(wǎng)用戶能夠經(jīng)過(guò)外網(wǎng)地點(diǎn)接見(jiàn)需要公布的服務(wù)。常用的DNAT映照有一對(duì)一IP映照，一對(duì)一端口映照，多對(duì)多端口映照，一對(duì)多映照。一對(duì)一IP映照配置舉例：將公網(wǎng)地點(diǎn)映照到內(nèi)網(wǎng)地點(diǎn)請(qǐng)依據(jù)以下步驟進(jìn)行配置：創(chuàng)立兩個(gè)地點(diǎn)簿（內(nèi)網(wǎng)地點(diǎn)和外網(wǎng)地點(diǎn)）。從工具欄的下拉菜單項(xiàng)選擇擇地點(diǎn)簿，彈出對(duì)話框。點(diǎn)擊新建按鈕，彈出對(duì)話框。37Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)注意：針對(duì)此配置舉例，掩碼一定填寫(xiě)32。同步驟1，創(chuàng)立內(nèi)網(wǎng)地點(diǎn)簿。3.新建目的NATIP映照規(guī)則。從頁(yè)面左邊導(dǎo)航樹(shù)選擇并點(diǎn)擊“配置-網(wǎng)絡(luò)-NAT”，進(jìn)入源NAT頁(yè)面。點(diǎn)擊目的NAT標(biāo)簽，進(jìn)入目的NAT頁(yè)面。點(diǎn)擊目的NAT列表中的新建按鈕，并在彈出的下拉菜單中選擇IP映照，彈出對(duì)話框。38Hillstone山石網(wǎng)科基礎(chǔ)配置手冊(cè)查察接口所在安全域。點(diǎn)擊目的NAT列表中的新建按鈕，并在彈出的下