【正文】 各個網(wǎng)口配置網(wǎng)絡通訊參數(shù)，包括“網(wǎng)絡類型”、“ IP 地址”、“網(wǎng)絡掩碼”，以及“路由器 IP 地址”等，如下圖所示： 圖 46 VPN 設備出廠時，已經(jīng)默認 存在三個網(wǎng)絡接口： INTERNAL（ ETH0）、 EXTERNAL（ ETH1）和 VPN，并且這三個網(wǎng)絡接口不允許刪除（ VPN 是 VPN 網(wǎng)設備 內(nèi)置的虛擬設備，不允許更改）。 認證 在某些網(wǎng)絡接入時需要進行 的身份認證，當需要進行 身份認證時，點擊“ 認證”圖標系統(tǒng)將彈出界面如下圖所示： 圖 44 您可以在如上界面“設置 認證”下的啟動狀態(tài) 設置成“啟用”，并 對“接口設置”的各項進行設置：選擇“接口名稱”，輸入“用戶名”、“口令”，選擇“認證方式”?！奥酚善鞯刂贰保O置客戶端獲得的網(wǎng)絡配置中的 路由器地址。常見的應用模式如下： 圖 41 在上圖中，一種要求是總部與分支機構在專線正常的情況下，需要采用專線通信，當專線 出現(xiàn)故障時，能夠自動切換到 VPN 網(wǎng)絡中通信。 網(wǎng)絡接口 用來與外界 通信的網(wǎng)絡設備， 與網(wǎng)關的物理端口對應 。 第三章 配置準備 登錄 VPN 網(wǎng)關 登錄 VPN 網(wǎng)關有 兩 種方式，一種是 利用本地的串口 登錄 VPN 網(wǎng)關，另一種是 通過 IE瀏覽方式 登錄 VPN 網(wǎng)關。 安裝指南 VPN 安全網(wǎng)關的網(wǎng)絡安裝十分簡單，在開始安裝連接 VPN 網(wǎng)關之前，需要準備好必要的網(wǎng)線、 RS232 串口控制線以及電源線等物品，并確保 VPN 網(wǎng)關周圍留有足夠的通風散熱空間，請不要將重物放置在 VPN 網(wǎng)關設備上。 關于本手冊 內(nèi)容 : 本手冊提供了 天泰 VPN系列產(chǎn)品的安裝配置使用說明，適用于 天泰 VPN硬件網(wǎng)關全線產(chǎn)品， 使用者可按照本手冊所描述，完成產(chǎn)品的所有配置。 ● 接通電源之前，一定仔細檢查了電源的輸出值，以免發(fā)生過壓毀機。細線色序一致時為直連線；色序在兩頭出現(xiàn) 1 26 對應，其余一致時為交叉線，不同類型的網(wǎng)線應用在不同的網(wǎng)絡設備連接時。 在使用“超級終端”登錄 VPN 設備時，串口通信特性為： 波特率 38400bps 數(shù)據(jù)位 8 位 奇偶校驗 無 停止位 1 bit 數(shù)據(jù)流控制 硬件 。 “ VPN 接口 ” 的信息不能更改， INTERNAL 接口 的 類型不能更改，其它每個接口（如果還有可用的物理設備如網(wǎng)卡或串口，就可以動態(tài)的增加接口）都可以配置成不同的類型，如 ETH（ 以太網(wǎng) ）、 DHCP、 ADSL、 MODEM 等。 DHCP 服務器 DHCP 服務器可以為 VPN 安全網(wǎng)關所保護的網(wǎng)內(nèi)主機動態(tài)地配置網(wǎng)絡環(huán)境，包括設置自動分配的 IP 地址范圍、缺省路由器地址、主、從 DNS 服務器地址等。 “地址池設置”：可以添加多個不連續(xù)的地址段，這對于在某些地址需要保留使用從而造成地址段不連續(xù)的情況下非常有用。雙擊 DNS 設置圖標，系統(tǒng)將彈出如下界面： 圖 45 首先輸入 ISP 網(wǎng)絡服務提供商提供給你 DNS 服務器的 IP 地址，可以添加多個；然后在“是否啟用 DNS 服務器”項中選擇“啟用”；再點擊“設置”使設置生效，即啟動了 DNS 服務器。 ? 基本屬性 “接口名稱” 顯示接口的名稱，不允許修改。 ? 其他屬性 主要顯示了接口的狀態(tài)、 MAC 地址等。 透明網(wǎng)絡配置 在該頁面中用戶可以為 VPN 設備配置透明接入相關參數(shù)。您可以通過“綁定 接口”和“解除接口”按鈕進行設置。 優(yōu)先級 在目的地址 和掩碼相同的兩條不同的路由存在時將發(fā)生作用，可選值是 0－ 255， 0 的優(yōu)先級最高， 255 最低。 “隧道名稱”，如果“靜態(tài)路由接口類型”選擇“隧道”，則該項可編輯，用戶可以添加 靜態(tài)路由想要綁定 的隧道名。當按日期計算時，該對象表示的是起始時間到截止時間的一整段時間；當按周計算時，該對象表示的是每周當天的一個時間段。如果 VPN 設備有多個網(wǎng)絡接口啟用了 VPN 功能， VPN 設備將會從多個接口同時建立隧道，因此一條下載隧道可能會被展開成多條隧道。 TSEC 設置 TSEC 即安全管理中心。 ? “ TSEC 位置”：指明 TSEC 在本 VPN 網(wǎng)關網(wǎng)絡結構中的位置，是在“內(nèi)部網(wǎng)絡”還是“外部網(wǎng)絡”。要卸載加密算法可采取以上類似操作。 當選擇預共享密鑰方式時， “預共享密鑰設置” 包含了以下內(nèi)容： ? “預共享密鑰”：指建立靜態(tài)隧道兩端用于認證身份的口令密碼。 當選擇證書認證方式時，“ 標識符 設置” 包含了以下內(nèi)容： ? “ 遠端 標識符”：指采用 證書 認證時，用于遠端網(wǎng)關的身份標識 。 ? “遠端保護子網(wǎng)地址”：指靜態(tài)隧道保護的遠端網(wǎng)關的子網(wǎng) IP 地址。 “其他設置”包含了以下內(nèi)容： ? “主動協(xié)商”：指本機是否主動發(fā)起協(xié)商。 VPN 網(wǎng)關設備的證書由安全管理中心統(tǒng)一發(fā)放，保存在控制臺的某個路徑或者 USBKEY 中，也可以由第三方 CA 發(fā)放。 PKI_CA 證書管理 當客戶端采用第三方頒發(fā) CA 的證書，又希望能夠在網(wǎng)關對這些證書進行認證是，必須導入第三方 CA 的根證書。 VPN 設備的能夠識別的合法認證信息為用戶名＋口令方式或證書方式或證書＋口令方式，即在客戶端在提交認證信息中，必須是這三種方式之一。 ? 集中管理：客戶端提交的所有認證信息均需要在 SMC 進行認證，本地不對用戶、口令、證書進行管理。 （ 2）如果網(wǎng)關設計采用集中管理，意味著所有的認證都將在 SPS 進行，則將客戶端提交的請求轉(zhuǎn)向 SPS。 （ 7）口令服務器返回認證結果。 當客戶端提交一個認證請求到網(wǎng)關的時候， VPN 網(wǎng)關首先根據(jù)網(wǎng)關的認證模式進行處理。 ? 客戶端【證書、口令】， VPN 網(wǎng)關【集中管理】 說明：這種情況客戶端提交的證書在 VPN 網(wǎng)關無法認證，網(wǎng)關將會把認證請求轉(zhuǎn)發(fā)給 SPS。 ? 客戶端【用戶名、口令】， VPN 網(wǎng)關【分布管理，本地認證】 說明：這種情況客戶端提交的用戶名在 VPN 網(wǎng)關中本地數(shù)據(jù)庫存在，并指明了其認證信息將在本地數(shù)據(jù)庫中進行索引。 認證模式 以下列舉本 VPN 網(wǎng)關常見的幾種客戶端認證模式： 如果管理員希望移動用戶認證管理都在 VPN 網(wǎng)關進行，則可以把網(wǎng)關認證模式選擇分布管理；在分布管理模式下，網(wǎng)關將根據(jù)不同設置，對客戶端提交的信息進行驗證。用戶認證過程中，如果失敗轉(zhuǎn)（ 10）。遠程認證包括遠程口令認證和遠程證書認證。 ? 地址池：移動客戶提交認證請求時，可以指定自己接口的地址，也可以由VPN 網(wǎng)關進行分配。 CRL 文件：選擇證書吊銷列表文件?，F(xiàn)有四種不同的導入方式： ? “從證書文件導入”：需要分別指明由安全管理中心發(fā)放的四個證書文件在控制臺所在主機上的保存路徑，這四個文件分別是證書文件、 CA 證書文件、私鑰文件、配置文件； ? “從 TAR 文件導入”：這種方式下由安全管理中心發(fā)放的四個證書文件已經(jīng)被打包成 TAR 文件，只需在“文件名”中選擇該 TAR 文件的路徑文件即可，因此不必再像第一種方式那樣一一指定四個文件的路徑，比較方便； ? “從 USBKEY 導入”：這種方式下需要將存儲了證書的 USBKEY 插入到硬件設備USB 接口，并預先正確輸入導入 USBKEY 信息的口 令，這樣在導入時才會成功。相應地，到本地子網(wǎng)的遠端網(wǎng)關靜態(tài)隧道也需要選擇“數(shù)據(jù)壓縮”。 ? “認證算法”：用于通訊過程中數(shù)據(jù)正確性認證的算法，有“ MD5”和“ SHA1”。 ? “本地保護子網(wǎng)地址”：指靜態(tài)隧道保護的本地子網(wǎng)的 IP 地址。并且需要在遠端網(wǎng)關的“預共享密鑰設置”中也設置相應的本端標識符和遠端標識符，兩端的本地標識符和遠端標識符應保持一致，即本地網(wǎng)關的本地標識符和遠端標識符應該分別為遠端網(wǎng)關的遠端標識符和本地標識符。 單擊“靜態(tài)隧道”節(jié)點后，在右側空白區(qū)域單擊鼠標右鍵，選擇“增加”將彈出“靜態(tài)隧道設置”界面。硬加密算法由專門的加密硬件實現(xiàn)，具有加密速度快等特點， VPN 網(wǎng)關設備在安裝了硬件加密設備后可以即可加載相應的硬加密算法。 TSEC 設置界面如下圖所示： 圖 61 “地址設置”界面中包含了以下信息： ? “地址類型”： TSEC 有兩種地址類型可以選擇： IP 地址或者是域名地址。 采用靜態(tài)隧道可以與第三方 VPN 設備進行互連。 3． 下載設備 由 TSEC 統(tǒng)一維護，各個 VPN 設備注冊成功后主動下載下來的與本機有通信關系的設備列表。 圖 411 第五章 對象管理設置 對象管理是對 VPN 設備的 “ 本地保護子網(wǎng) ”、“ 權限對象管理 ”、“ 時間對象管理 ”進行管理的模塊。 網(wǎng)關地址一定要是本地可到達的一個地址。 若想增 加一個靜態(tài)路由條目，請在左 側視圖中單擊鼠標右鍵，選擇 “靜態(tài)路由 ”按鈕 。若想增加一個透明網(wǎng)絡條目，請在 左 側視圖中單擊鼠標右鍵，選擇“ 透明網(wǎng)絡 ”。 最多只有四個接口可以啟用 VPN 功能。每個接口必須綁定一個物理設備?；旌夏Ｊ较喈斢谀承┙涌诳梢砸月酚煞绞焦ぷ鳎承┙涌诳梢砸酝该鞣绞焦ぷ?。點擊“設置”按鈕，可以保存所作的設置。 “子網(wǎng)掩碼”，設置客戶端獲得的網(wǎng)絡配置中的子網(wǎng)掩碼。 VPN 設備的動態(tài)路由主要可以用來實現(xiàn) VPN 線路與專線線路的動態(tài)切換，為專線作為一個備份，亦可以用來與專線同時工作，分擔專線的流量負載。 首先將計算機與 VPN 設備的“ ETH0”口相連，然后打開 IE 瀏覽器在瀏覽器中輸入 出現(xiàn)如下圖所示： 輸入用戶名和密碼（ VPN 設備出場默認用戶名 密碼均為 admin） 第四章 網(wǎng)絡設置 網(wǎng)絡功能簡介 用戶可以在“網(wǎng)絡設置”功能界面中設置 VPN 網(wǎng)關的各種網(wǎng)絡參數(shù)特性，包括：“網(wǎng)絡接口”、“透明網(wǎng)絡”、“靜態(tài)路由”、“動態(tài)路由”等。注意：應確保電源線兩頭穩(wěn)固地插入了電源插座； 6． 打開電源開關，觀察電源指示燈和網(wǎng)絡接口上的連接指示燈（有關指示燈信息請查閱相關 VPN 設備的指示燈說明），當確認機器工作正常，網(wǎng)絡連接正常時，您電源插座 接入 220V 交流電 內(nèi)網(wǎng)口 接入內(nèi)網(wǎng) Switch 或 Hub 外網(wǎng)口 接入外網(wǎng)以太口或 ADSL以太口 控制口 接入控制臺串口 Modem口 接入撥號 Modem 便完成了 VPN 安全網(wǎng)關的網(wǎng)絡安裝連接； 7． 通過 VPN 控制臺對 VPN 網(wǎng)關進行各項系統(tǒng)參 數(shù)設置后， VPN 安全網(wǎng)關將會為您提供滿意的服務。 ● 請勿在潮濕的環(huán)境中使用 VPN 安全網(wǎng)關。 天泰 VPN 產(chǎn)品系列 天泰 VPN 系列產(chǎn)品集 VPN、防火墻等網(wǎng)絡安全功能于一身，產(chǎn)品系列包括 天泰VPNT61000/500/300/300A/200/100 安全網(wǎng)關、 天泰 VPN 客戶端，以及與 VPN 產(chǎn)品相配套的“ 天泰 安全管理中心”。 ● 請勿在設備的通風口或開口處填塞任何物件，否則可能導致內(nèi)部元件過熱、短路而發(fā)生火災或觸電。 ● 當 VPN 設備的網(wǎng)口與路由器、主機網(wǎng)卡相連時，用交叉線； ● 當 VPN 設備的網(wǎng)口與 HUB（集線器）、 SWITCH（交換機）、 ADSL 撥號 MODEM 相連時，用直連線。 注意：若您的機器（如：便攜機）沒有串口，需要用 USB 口轉(zhuǎn)串口線接入 VPN 的控制口，這時，您所使用的本 地登錄串口號可在“設備管理器”查找。 對于 DHCP、 ADSL、 MODEM一般都會自動獲取 IP 地址和 一個 網(wǎng)關 地址，對于以太網(wǎng)可以手工配置 IP 地址和 一個 網(wǎng)關 地址（一般與內(nèi)網(wǎng)相連的接口不需要配置 網(wǎng)關地址 ） 。 在“網(wǎng)絡設置中 ”中點擊 “ DHCP 服務器”，可以看到如下圖所示的界面。但需要注意的是，必須使得這些地址段均在前面“基本設置”中已經(jīng)設置好的地址段內(nèi) 。 透明網(wǎng)絡 一個透明網(wǎng)絡中可以加入多個網(wǎng)絡接口，讓處于這幾個網(wǎng)絡接口區(qū)域內(nèi)的主機以橋接的方式互連。 “ 網(wǎng)絡類型”列表中包括 ETH（以太網(wǎng)）、 ADSL 接入、 MODEM 接入、 DHCP 動態(tài)地址分配。 ? VPN 設置 每個接口有個屬性是“是 否啟用 VPN 功能” ，只有當這個設置為啟用時，該接口才會參與隧道協(xié)商。透明網(wǎng)絡可以使 VPN 設備在接入網(wǎng)絡后，原來的網(wǎng)絡拓撲及設置不需更改。 靜態(tài)路由配置 靜態(tài)路由指的是 VPN 設備中固定的路由條目。 ? 靜態(tài)路由接口 “ 靜態(tài)路由接口類型 ” 有 “網(wǎng)絡接口”或者“隧道”兩種。 動態(tài)路由配置 當用 VPN 設備 充當某些網(wǎng)段的路由器時 ,就需要啟動網(wǎng)關的動態(tài)路由功能 ， 通過向周圍可達網(wǎng)段發(fā)送多播廣播包 ,來學習路由 ,在路由表中動態(tài)添加路由 。 第六章 VPN 設置 VPN 功能簡介 術語 1． 安全管理中心（ VPNTSEC） VPN 設備的集中管理軟件，集中發(fā)放證書、生成設備、策略，管理各設備的子網(wǎng)等，詳見《安全管理中心使用手冊》。 VPN 隧道管理采用分布式管理和集中管理兩種管理方