【正文】 h0 接口為交換接口 interface eth0 switchport mode trunk設(shè)置 eth0 接口屬于 VLAN1 interface eth0 switchport trunk allowedvlan 00012）管理員通過 VLAN1 的管理 IP 登錄網(wǎng)絡(luò)衛(wèi)士防火墻，并綁定 eth1 口和 ADSL 的撥號屬性、設(shè)置區(qū)域資源及 VLAN。設(shè)置區(qū)域（外網(wǎng)） 綁定屬性為“adsl”；權(quán)限設(shè)為允許訪問。添加 VLAN2 管理 IP 設(shè)為“”，MASK 設(shè)為“”。添加 VLAN3 管理 IP 設(shè)為“”，MASK 設(shè)為“”。設(shè)置 eth0 接口屬于VLAN2VLAN 范圍設(shè)為“12 ”。3）設(shè)置接口設(shè)置接口 eth2 設(shè)置為“交換接口”；接口類型為“access”；VLAN 范圍為 “3”。4）設(shè)置 ADSL 撥號參數(shù)設(shè)置 ADSL 撥號參數(shù) 接口設(shè)置為“eth1 ”；用戶名和密碼根據(jù) ISP 服務(wù)商提供的參數(shù)值進行設(shè)置；綁定屬性為“adsl”。5）定義訪問規(guī)則禁止 VLAN2 用戶訪問外網(wǎng)源 VLAN 選擇“ ”；目的區(qū)域選擇“外網(wǎng)”；服務(wù)不選，表示全部服務(wù)；訪問權(quán)限選擇“拒絕”，并啟用該規(guī)則。禁止 VLAN3 用戶訪 源 VLAN 選擇“ ”；網(wǎng)絡(luò)衛(wèi)士防火墻系統(tǒng)安裝手冊服務(wù)熱線：8008105119 29 問外網(wǎng) 目的區(qū)域選擇“外網(wǎng)”；服務(wù)不選，表示全部服務(wù)；訪問權(quán)限選擇“拒絕”，并啟用該規(guī)則。允許 VLAN2 用戶訪問 VLAN3源 VLAN 選擇“ ”；目的 VLAN 選擇 “”；服務(wù)不選，表示全部服務(wù)；訪問權(quán)限選擇“允許”，并啟用該規(guī)則。禁止外網(wǎng)用戶訪問VLAN1源區(qū)域選擇“外網(wǎng)”；目的 VLAN 選擇 “”；服務(wù)不選，表示全部服務(wù)；訪問權(quán)限選擇“拒絕”，并啟用該規(guī)則。禁止外網(wǎng)用戶訪問VLAN2源區(qū)域選擇“外網(wǎng)”；目的 VLAN 選擇 “”；服務(wù)不選，表示全部服務(wù)；訪問權(quán)限選擇“拒絕”，并啟用該規(guī)則。6）定義地址轉(zhuǎn)換規(guī)則VLAN1 用戶通過源地址轉(zhuǎn)換訪問外網(wǎng)轉(zhuǎn)換控制選擇“源轉(zhuǎn)換”；源 VLAN 選擇“ ”；目的區(qū)域選擇“外網(wǎng)”；服務(wù)不選，表示全部服務(wù)；源地址轉(zhuǎn)換為“adsl”。7）撥號在防火墻上通過選擇 網(wǎng)絡(luò)管理 ADSL 菜單，并點擊“開始撥號”按鈕進行ADSL 撥號。建立 ADSL 連接成功后，在防火墻的路由表中會增加一條內(nèi)網(wǎng)用戶訪問Inter 的路由信息：源為“”；目的為“”；網(wǎng)關(guān)地址為 ISP 分配的公網(wǎng) IP 地址（如：）；接口為與 Eth1 口綁定的 ppp0 口（撥號成功后，系統(tǒng)自動創(chuàng)建了一個 ppp0 口）。網(wǎng)絡(luò)衛(wèi)士防火墻系統(tǒng)安裝手冊服務(wù)熱線：8008105119 30 案例 3：建立 VPN 隧道圖 33 網(wǎng)絡(luò)衛(wèi)士防火墻的 VPN 隧道模式網(wǎng)絡(luò)狀況：? 總公司防火墻工作在路由模式下，接口 Eth1（IP： ）通過路由器與Inter 相連；分公司防火墻工作在混合模式下，接口 Eth1 通過路由器與Inter 相連，且 Eth1 口通過 ADSL 撥號獲取公網(wǎng) IP。? 總公司防火墻的 Eth0 口與 Eth2 口分別連接公司內(nèi)網(wǎng)區(qū)和 SSN 區(qū)域，內(nèi)網(wǎng)區(qū)有三個子網(wǎng)：、。? 分公司防火墻的 Eth0 口與 Eth2 口分別連接內(nèi)網(wǎng)的三個 Vlan：VLANVLAN2 和 VLAN3，其中 VLAN1 的 IP 為 。用戶需求：? 分公司的 VLAN1 所在子網(wǎng) 建立基于預(yù)共享密鑰認(rèn)證的 VPN 通信。配置步驟：1）配置總公司防火墻，具體的配置步驟請參見 案例 1。2）配置分公司防火墻，具體的配置步驟請參見 案例 2。下面只描述與建立 VPN 隧道有關(guān)的操作。3）在總公司防火墻上開放“IPSecVPN”服務(wù)開放 IPSecVPN 服務(wù) 服務(wù)名稱為“IPSecVPN”；網(wǎng)絡(luò)衛(wèi)士防火墻系統(tǒng)安裝手冊服務(wù)熱線：8008105119 31 控制區(qū)域為“area_eth1”；控制地址為“any”。4）在分公司防火墻上開放服務(wù)開放 IPSecVPN 服務(wù) 服務(wù)名稱為“IPSecVPN”；控制區(qū)域為“area_eth1”；控制地址為“any”。5）在總公司防火墻上綁定虛接口綁定虛接口 虛接口名為“ipsec0”；綁定接口名為“eth1 ”；接口地址為“”。6）在分公司防火墻上綁定虛接口綁定虛接口 虛接口名為“ipsec0”；綁定接口名為“eth1 ”；接口地址為“”。7）在總公司防火墻上添加靜態(tài)隧道，隧道參數(shù)采用默認(rèn)設(shè)置。添加靜態(tài)隧道 隧道名：zongfenIKE 協(xié)商模式：主模式認(rèn)證方式 = 預(yù)共享密鑰，密鑰 = as34Kui()本地標(biāo)識：@202_8對方標(biāo)識：@0_0對方地址：本地子網(wǎng)：本地掩碼：對方子網(wǎng)：對方掩碼：主動發(fā)起協(xié)商：是8) 在分公司防火墻上添加靜態(tài)隧道，隧道參數(shù)采用默認(rèn)設(shè)置。添加靜態(tài)隧道 隧道名：fenzongIKE 協(xié)商模式：主模式認(rèn)證方式 = 預(yù)共享密鑰，密鑰 = as34Kui()網(wǎng)絡(luò)衛(wèi)士防火墻系統(tǒng)安裝手冊服務(wù)熱線：8008105119 32 本地標(biāo)識：@0_0對方標(biāo)識：@202_8對方地址：本地子網(wǎng)：本地掩碼：對方子網(wǎng)：對方掩碼：主動發(fā)起協(xié)商：是提示? 本節(jié)所舉范例基于網(wǎng)絡(luò)衛(wèi)士防火墻 TopGuard 4000 系列，對于某些低端網(wǎng)絡(luò)衛(wèi)士防火墻，接口采? 在案例配置中未涉及的參數(shù)均采用系統(tǒng)缺省設(shè)置。在實際應(yīng)用中請根據(jù)具體網(wǎng)絡(luò)情況和需求進行修改。? 本案例中分公司防火墻采用的是 ADSL 撥號的方式，故其 IP 設(shè)置為 。如果建立隧道的兩臺防火墻均為 ADSL 環(huán)境，則可以通過 DDNS 方式，利用域名來建立隧道。關(guān)于 DDNS 的具體使用請參考用戶手冊的相關(guān)章節(jié)。網(wǎng)絡(luò)衛(wèi)士防火墻系統(tǒng)安裝手冊服務(wù)熱線：8008105119 33 附錄 A 擴展模塊網(wǎng)絡(luò)衛(wèi)士防火墻上安裝的擴展模塊包括：百兆接口擴展模塊、標(biāo)準(zhǔn)千兆模塊和專用千兆模塊。1．百兆接口擴展模塊百兆接口擴展模塊用于網(wǎng)絡(luò)安全產(chǎn)品快速以太網(wǎng)接口擴展，擴展的網(wǎng)絡(luò)接口與防火墻系統(tǒng)配置的網(wǎng)絡(luò)接口具有相同的性能指標(biāo)和參數(shù)。支持的模塊型號及接口標(biāo)準(zhǔn)如下所示。模塊型號 接口標(biāo)準(zhǔn) 適用產(chǎn)品型號TopSECFWM2 10/100BASET 百兆系列防火墻、VPN、網(wǎng)絡(luò)密碼機產(chǎn)品（如 TG432TV632 SJW11A、TV6424SSL100）。TopSECFWME2 10/100BASET 百兆高端系列防火墻、VPN、網(wǎng)絡(luò)密碼機產(chǎn)品（如TG442TV662SJW11AE、TV6624SSL300、 TG324UTM、TG4508）。2．標(biāo)準(zhǔn)千兆模塊網(wǎng)絡(luò)衛(wèi)士防火墻適用的標(biāo)準(zhǔn)千兆模塊遵循 GBIC 規(guī)范 版本和 SFP MSA，可以安裝在網(wǎng)絡(luò)衛(wèi)士防火墻擴展槽中的標(biāo)準(zhǔn)千兆模塊分為兩種：千兆 GBIC 擴展模塊和千兆SFP 擴展模塊。千兆接口轉(zhuǎn)換器模塊（Gigabit Interface Converter，簡稱：GBIC），適用于光纖接頭為 SC 的線路應(yīng)用。支持的模塊型號及接口標(biāo)準(zhǔn)如下所示。模塊型號 接口標(biāo)準(zhǔn) 適用產(chǎn)品型號TOPSECGBICSX 1000BaseSXTOPSECGBICLX 1000BaseLXTOPSECGBICZX 1000BaseZXTOPSECGBICT 1000BaseT千兆系列防火墻、VPN、UTM 、IDS/IPS、審計系統(tǒng)等產(chǎn)品，（如 TG540TG530TG5207 、 TG507UTM、TV680TS3205IDS 、TA507Watch）。小封裝可插拔模塊（Small FormFactor Pluggable，簡稱： SFP），一種小型的接口轉(zhuǎn)換器，適用于光纖接頭為 LC 的線路應(yīng)用。支持的模塊型號及接口標(biāo)準(zhǔn)如下所示。模塊型號 接口標(biāo)準(zhǔn) 適用產(chǎn)品型號TOPSECSFPSX 1000BaseSXTOPSECSFPLX 1000BaseLXTOPSECSFPZX 1000BaseZXTOPSECSFPT 1000BaseT千兆系列防火墻、VPN、密碼機、UTM、審計系統(tǒng)等產(chǎn)品（如 TG546TG536TG5266 、TG532TG462TG566UTM 、TV686SJW11AF）。3．專用千兆模塊網(wǎng)絡(luò)衛(wèi)士防火墻系統(tǒng)安裝手冊服務(wù)熱線：8008105119 34 網(wǎng)絡(luò)衛(wèi)士防火墻適用的專用千兆模塊為天融信公司產(chǎn)品專用，必須配合天融信的千兆產(chǎn)品使用。專用 GBIC 的模塊型號及接口標(biāo)準(zhǔn)如下所示。模塊型號 接口標(biāo)準(zhǔn) 適用產(chǎn)品型號TOPSECGBICAUTO 10/100/1000BASET 千兆防火墻、VPN、UTM、審計系統(tǒng)等產(chǎn)品（如 UTMTG540TG530TV6807 、 TG507UTM、 TA507Watch）。提示? 在網(wǎng)絡(luò)衛(wèi)士系列防火墻中，并非所有產(chǎn)品型號均支持?jǐn)U展模塊，某些低端防火墻上沒有擴展插槽。? 不同擴展模塊的接口模塊規(guī)范和安裝/拆卸過程等詳細(xì)介紹請參見《Topsec 擴展模塊安裝指南》 。網(wǎng)絡(luò)衛(wèi)士防火墻系統(tǒng)安裝手冊服務(wù)熱線：8008105119 35 聲明：1．本手冊所提到的產(chǎn)品規(guī)格及資訊僅 供參考，有關(guān)內(nèi)容可能會隨 時 更新，天融信恕不另行通知。2．本手冊中提到的產(chǎn)品功能或性能可能因 產(chǎn)品具體型號、配 備環(huán)境、配置方法不同而有所差異，此可能產(chǎn)生的差異為正常現(xiàn)象，產(chǎn) 品功能和性能請以產(chǎn)品說明書為 準(zhǔn)。3．本安裝手冊中的安裝方法、步驟為天融信建議使用，并非唯一和必須的安裝途徑， 請客戶參考使用。4．本手冊中沒有任何關(guān)于其他同類產(chǎn) 品的對比或比較，天融信也不對其他同類產(chǎn)品表達意見，如引起相關(guān)糾紛應(yīng)屬于自行推測或誤會，天融信對此沒有任何立場 。5．本手冊中提到的信息為正常公開的信息，若因本安裝手冊或其所提到的任何信息引起了他人直接或間接的資料流失、利益 損 失，天融信及其 員工不承擔(dān)任何責(zé) 任