【正文】 h0 接口為交換接口 interface eth0 switchport mode trunk設置 eth0 接口屬于 VLAN1 interface eth0 switchport trunk allowedvlan 00012）管理員通過 VLAN1 的管理 IP 登錄網絡衛(wèi)士防火墻，并綁定 eth1 口和 ADSL 的撥號屬性、設置區(qū)域資源及 VLAN。設置區(qū)域（外網） 綁定屬性為“adsl”；權限設為允許訪問。添加 VLAN2 管理 IP 設為“”，MASK 設為“”。添加 VLAN3 管理 IP 設為“”，MASK 設為“”。設置 eth0 接口屬于VLAN2VLAN 范圍設為“12 ”。3）設置接口設置接口 eth2 設置為“交換接口”；接口類型為“access”；VLAN 范圍為 “3”。4）設置 ADSL 撥號參數(shù)設置 ADSL 撥號參數(shù) 接口設置為“eth1 ”；用戶名和密碼根據(jù) ISP 服務商提供的參數(shù)值進行設置；綁定屬性為“adsl”。5）定義訪問規(guī)則禁止 VLAN2 用戶訪問外網源 VLAN 選擇“ ”；目的區(qū)域選擇“外網”；服務不選，表示全部服務；訪問權限選擇“拒絕”，并啟用該規(guī)則。禁止 VLAN3 用戶訪 源 VLAN 選擇“ ”；網絡衛(wèi)士防火墻系統(tǒng)安裝手冊服務熱線：8008105119 29 問外網 目的區(qū)域選擇“外網”；服務不選，表示全部服務；訪問權限選擇“拒絕”，并啟用該規(guī)則。允許 VLAN2 用戶訪問 VLAN3源 VLAN 選擇“ ”；目的 VLAN 選擇 “”；服務不選，表示全部服務；訪問權限選擇“允許”，并啟用該規(guī)則。禁止外網用戶訪問VLAN1源區(qū)域選擇“外網”；目的 VLAN 選擇 “”；服務不選，表示全部服務；訪問權限選擇“拒絕”，并啟用該規(guī)則。禁止外網用戶訪問VLAN2源區(qū)域選擇“外網”；目的 VLAN 選擇 “”；服務不選，表示全部服務；訪問權限選擇“拒絕”，并啟用該規(guī)則。6）定義地址轉換規(guī)則VLAN1 用戶通過源地址轉換訪問外網轉換控制選擇“源轉換”；源 VLAN 選擇“ ”；目的區(qū)域選擇“外網”；服務不選，表示全部服務；源地址轉換為“adsl”。7）撥號在防火墻上通過選擇 網絡管理 ADSL 菜單，并點擊“開始撥號”按鈕進行ADSL 撥號。建立 ADSL 連接成功后，在防火墻的路由表中會增加一條內網用戶訪問Inter 的路由信息：源為“”；目的為“”；網關地址為 ISP 分配的公網 IP 地址（如：）；接口為與 Eth1 口綁定的 ppp0 口（撥號成功后，系統(tǒng)自動創(chuàng)建了一個 ppp0 口）。網絡衛(wèi)士防火墻系統(tǒng)安裝手冊服務熱線：8008105119 30 案例 3：建立 VPN 隧道圖 33 網絡衛(wèi)士防火墻的 VPN 隧道模式網絡狀況：? 總公司防火墻工作在路由模式下，接口 Eth1（IP： ）通過路由器與Inter 相連；分公司防火墻工作在混合模式下，接口 Eth1 通過路由器與Inter 相連，且 Eth1 口通過 ADSL 撥號獲取公網 IP。? 總公司防火墻的 Eth0 口與 Eth2 口分別連接公司內網區(qū)和 SSN 區(qū)域，內網區(qū)有三個子網：、。? 分公司防火墻的 Eth0 口與 Eth2 口分別連接內網的三個 Vlan：VLANVLAN2 和 VLAN3，其中 VLAN1 的 IP 為 。用戶需求：? 分公司的 VLAN1 所在子網 建立基于預共享密鑰認證的 VPN 通信。配置步驟：1）配置總公司防火墻，具體的配置步驟請參見 案例 1。2）配置分公司防火墻，具體的配置步驟請參見 案例 2。下面只描述與建立 VPN 隧道有關的操作。3）在總公司防火墻上開放“IPSecVPN”服務開放 IPSecVPN 服務 服務名稱為“IPSecVPN”；網絡衛(wèi)士防火墻系統(tǒng)安裝手冊服務熱線：8008105119 31 控制區(qū)域為“area_eth1”；控制地址為“any”。4）在分公司防火墻上開放服務開放 IPSecVPN 服務 服務名稱為“IPSecVPN”；控制區(qū)域為“area_eth1”；控制地址為“any”。5）在總公司防火墻上綁定虛接口綁定虛接口 虛接口名為“ipsec0”；綁定接口名為“eth1 ”；接口地址為“”。6）在分公司防火墻上綁定虛接口綁定虛接口 虛接口名為“ipsec0”；綁定接口名為“eth1 ”；接口地址為“”。7）在總公司防火墻上添加靜態(tài)隧道，隧道參數(shù)采用默認設置。添加靜態(tài)隧道 隧道名：zongfenIKE 協(xié)商模式：主模式認證方式 = 預共享密鑰，密鑰 = as34Kui()本地標識：@202_8對方標識：@0_0對方地址：本地子網：本地掩碼：對方子網：對方掩碼：主動發(fā)起協(xié)商：是8) 在分公司防火墻上添加靜態(tài)隧道，隧道參數(shù)采用默認設置。添加靜態(tài)隧道 隧道名：fenzongIKE 協(xié)商模式：主模式認證方式 = 預共享密鑰，密鑰 = as34Kui()網絡衛(wèi)士防火墻系統(tǒng)安裝手冊服務熱線：8008105119 32 本地標識：@0_0對方標識：@202_8對方地址：本地子網：本地掩碼：對方子網：對方掩碼：主動發(fā)起協(xié)商：是提示? 本節(jié)所舉范例基于網絡衛(wèi)士防火墻 TopGuard 4000 系列，對于某些低端網絡衛(wèi)士防火墻，接口采? 在案例配置中未涉及的參數(shù)均采用系統(tǒng)缺省設置。在實際應用中請根據(jù)具體網絡情況和需求進行修改。? 本案例中分公司防火墻采用的是 ADSL 撥號的方式，故其 IP 設置為 。如果建立隧道的兩臺防火墻均為 ADSL 環(huán)境，則可以通過 DDNS 方式，利用域名來建立隧道。關于 DDNS 的具體使用請參考用戶手冊的相關章節(jié)。網絡衛(wèi)士防火墻系統(tǒng)安裝手冊服務熱線：8008105119 33 附錄 A 擴展模塊網絡衛(wèi)士防火墻上安裝的擴展模塊包括：百兆接口擴展模塊、標準千兆模塊和專用千兆模塊。1．百兆接口擴展模塊百兆接口擴展模塊用于網絡安全產品快速以太網接口擴展，擴展的網絡接口與防火墻系統(tǒng)配置的網絡接口具有相同的性能指標和參數(shù)。支持的模塊型號及接口標準如下所示。模塊型號 接口標準 適用產品型號TopSECFWM2 10/100BASET 百兆系列防火墻、VPN、網絡密碼機產品（如 TG432TV632 SJW11A、TV6424SSL100）。TopSECFWME2 10/100BASET 百兆高端系列防火墻、VPN、網絡密碼機產品（如TG442TV662SJW11AE、TV6624SSL300、 TG324UTM、TG4508）。2．標準千兆模塊網絡衛(wèi)士防火墻適用的標準千兆模塊遵循 GBIC 規(guī)范 版本和 SFP MSA，可以安裝在網絡衛(wèi)士防火墻擴展槽中的標準千兆模塊分為兩種：千兆 GBIC 擴展模塊和千兆SFP 擴展模塊。千兆接口轉換器模塊（Gigabit Interface Converter，簡稱：GBIC），適用于光纖接頭為 SC 的線路應用。支持的模塊型號及接口標準如下所示。模塊型號 接口標準 適用產品型號TOPSECGBICSX 1000BaseSXTOPSECGBICLX 1000BaseLXTOPSECGBICZX 1000BaseZXTOPSECGBICT 1000BaseT千兆系列防火墻、VPN、UTM 、IDS/IPS、審計系統(tǒng)等產品，（如 TG540TG530TG5207 、 TG507UTM、TV680TS3205IDS 、TA507Watch）。小封裝可插拔模塊（Small FormFactor Pluggable，簡稱： SFP），一種小型的接口轉換器，適用于光纖接頭為 LC 的線路應用。支持的模塊型號及接口標準如下所示。模塊型號 接口標準 適用產品型號TOPSECSFPSX 1000BaseSXTOPSECSFPLX 1000BaseLXTOPSECSFPZX 1000BaseZXTOPSECSFPT 1000BaseT千兆系列防火墻、VPN、密碼機、UTM、審計系統(tǒng)等產品（如 TG546TG536TG5266 、TG532TG462TG566UTM 、TV686SJW11AF）。3．專用千兆模塊網絡衛(wèi)士防火墻系統(tǒng)安裝手冊服務熱線：8008105119 34 網絡衛(wèi)士防火墻適用的專用千兆模塊為天融信公司產品專用，必須配合天融信的千兆產品使用。專用 GBIC 的模塊型號及接口標準如下所示。模塊型號 接口標準 適用產品型號TOPSECGBICAUTO 10/100/1000BASET 千兆防火墻、VPN、UTM、審計系統(tǒng)等產品（如 UTMTG540TG530TV6807 、 TG507UTM、 TA507Watch）。提示? 在網絡衛(wèi)士系列防火墻中，并非所有產品型號均支持擴展模塊，某些低端防火墻上沒有擴展插槽。? 不同擴展模塊的接口模塊規(guī)范和安裝/拆卸過程等詳細介紹請參見《Topsec 擴展模塊安裝指南》 。網絡衛(wèi)士防火墻系統(tǒng)安裝手冊服務熱線：8008105119 35 聲明：1．本手冊所提到的產品規(guī)格及資訊僅 供參考，有關內容可能會隨 時 更新，天融信恕不另行通知。2．本手冊中提到的產品功能或性能可能因 產品具體型號、配 備環(huán)境、配置方法不同而有所差異，此可能產生的差異為正常現(xiàn)象，產 品功能和性能請以產品說明書為 準。3．本安裝手冊中的安裝方法、步驟為天融信建議使用，并非唯一和必須的安裝途徑， 請客戶參考使用。4．本手冊中沒有任何關于其他同類產 品的對比或比較，天融信也不對其他同類產品表達意見，如引起相關糾紛應屬于自行推測或誤會，天融信對此沒有任何立場 。5．本手冊中提到的信息為正常公開的信息，若因本安裝手冊或其所提到的任何信息引起了他人直接或間接的資料流失、利益 損 失，天融信及其 員工不承擔任何責 任