新快速配置手册.doc

《新快速配置手册.doc》由会员分享，可在线阅读，更多相关《新快速配置手册.doc（41页珍藏版）》请在咨信网上搜索。

1、DCME-320新UI快速配置手册客服中心技术团队2023.8目 录1.产品介绍42.快速设立上网42.1.如何硬件连接？42.2.如何准备用于配置DCME-320的PC？52.3.如何登录DCME-320？52.4.如何配置上网？62.4.1.环节一:设立WAN口模式62.5.如何恢复出厂设立？73.端口映射73.1.端口映射73.1.1.建立地址簿83.1.2.建立高级目的NAT条目93.1.3.策略自动生成103.1.4.建立源NAT条目104.IPSec配置（LAN-to-LAN）114.1.应用环境114.2.总部DCME-320设立124.2.1.建立IPSEC模版124.2.2.

2、建立动态VPN134.2.3.建立IPSec策略144.3.分部DCR路由器设立154.4.DCME-320查看VPN状态165.L2TP LNS设定175.1.应用环境介绍175.2.L2TP服务器配置185.3.L2TP用户管理185.4.拨入用户查看195.5.Win 7系统L2TP client 设立196.限速设定216.1.端口带宽控制216.2.IP QoS226.3.应用QoS237.SSL VPN配置247.1.应用环境247.2.创建SSL VPN登录用户257.3.SSL VPN服务器端配置257.3.1.创建SSL VPN实例257.3.2.定义资源配置267.3.3.

3、将用户与资源关联277.3.4.定义客户端下载配置287.3.5.SSL VPN在线用户297.3.6.SSLVPN客户端下载方式297.4.SSL VPN客户端配置298.WEB认证配置308.1.应用环境308.1.1.启动WEB认证功能318.1.2.创建WEB认证登录用户318.1.3.创建配置策略328.1.4.配置验证339.会话限制349.1.应用环境349.2.会话限制配置3510.URL过滤配置3610.1.应用环境3610.2.URL过滤配置3610.2.1.创建http_profile，启用URL过滤功能3610.2.2.设立URL过滤规则3710.2.3.在策略中引用p

4、rofile3711.DCME320配置文献管理3811.1.应用环境3811.2.将当前配置保存在本地或PC3811.3.将本地配置上传到DCME320并调用该配置3912.DCME320软件版本升级4012.1.应用环境4012.2.将软件从本地上传到DCME320401. 产品介绍DCME-320多核出口网关采用MIPS 64位多核高性能解决器，结合专用ASIC互换芯片，针对多用户数、多流量、多业务种类的业务需求而推出的新一代高性能互联网出口网关。建议并发带机数量： 300 端口组成： 8GE电口+2GE Combo+2 USB2.0+1 RJ-45 Console口+1 Reset键支

5、持接入方式： 静态IP、动态IP（DHCP获取）、PPPoE2. 快速设立上网2.1. 如何硬件连接？一方面使用网线连接设备G1口至本地管理计算机，连接电源线(220V)。2.2. 如何准备用于配置DCME-320的PC？根据上图所示，选择使用如下IP地址，做如下配置：IP地址： 192.168.0.10 (或192.168.0.X子网内的任意地址192.168.0.1除外)子网掩码： 255.255.255.0默认网关： 192.168.0.12.3. 如何登录DCME-320？打开PC浏览器窗口，输入， 并按回车。当出现DCN网络管理登录页面，输入如下参数：用户名：admin 密 码： a

6、dmin验证码：1728 （每次登录验证码都会改变需要根据实际情况修改）点击“登录”进入DCME-320WEB管理界面。2.4. 如何配置上网？选择“快速向导”进入快速配置，两步轻松搞定上网！2.4.1. 环节一:设立WAN口模式根据外线数量选择“单外网口”、“双外网口”。选择连接外线的接口（HG1,HG2,G1-G8）注意：HG1和HG2为高安全端口拥有多种硬件防护功能从容应对各种复杂外网环境，建议外网接口选用HG端口。线路类型：1).假如是ADSL接入请选择“PPPoE获取地址”填入相应的“用户名”、“密码”、“上行带宽”、“下行带宽”；2).假如是固定IP接入请选择“静态地址”填入相应的

7、“IP/掩码长度”、“缺省网关”、“首选DNS服务器”、“备选DNS服务器”、“上行带宽”、“下行带宽”；环节二：配置LAN口模式根据内网需要要划分网段数量选择“单内网口”、“双内网口”。选择用于连接内网设备的接口（G1G8）。填入相应的“IP/掩码长度”。内网用户是否需要自动获取IP？假如需要请启用“DHCP-Server”并填入“起始IP地址”、“结束IP地址”、“首选DNS服务器”、“备用DNS服务器”。设立完上述两步点击“下一步”“完毕”即可实现快速上网功能。2.5. 如何恢复出厂设立？DCME-320恢复出厂设立可以分为reset键恢复和WEB界面恢复两种方式。假如是reset键恢复

8、出厂设立，可以使用细的小圆棒按住reset键15s左右即可！假如是WEB界面方式恢复进入【系统管理】-【基础选项】-【配置文献管理】如下图所示选择出厂配置后面的应用按钮即可完毕出厂配置的恢复（WEB界面下恢复无需重启）。3. 端口映射3.1. 端口映射某客户内网有一台服务器地址为192.168.1.214 需要将此服务器的TCP 33389端口映射到外网地址218.240.143.219的TCP 33389端口。3.1.1. 建立地址簿进入【基础网络】-【NAT选项】-【端口映射】-【新建端口映射】如下图所示完毕后点击“多个”按钮，如下图所示地址类型： IP成员 IP成员： 192.168.1

9、.214 （根据实际情况自行定义）完毕后点击添加然后“拟定”即可!此外还要建立一个正对外网接口IP的地址簿，IP成员为218.240.143.2193.1.2. 建立高级目的NAT条目进入【基础网络】-【NAT选项】-【端口映射】新建“高级配置”如下图所示源地址： 地址簿地址簿： any目的地址：IP地址IP地址： 218.240.143.219应用： HTTP行为： NATNAT地址：IP地址地址簿： 192.168.1.214NAT端口： 启用 端口：80模式： 端口映射完毕后点击“确认”即可！3.1.3. 策略自动生成进入【网络安全】-【安全策略】如下图所示：源安全域：WAN源地址：An

10、y目的安全域：LAN目的地址：192.168.1.214/32行为：允许3.1.4. 建立源NAT条目进入【基础网络】-【NAT选项】-【NAT】-【新建基本配置】如下图所示：源地址： Any出接口：HG1行为： NAT(出接口IP)完毕后点击“确认”即可！4. IPSec配置（LAN-to-LAN）4.1. 应用环境总部使用我司的DCME-320作为出口，分部使用其他型号的DCR路由器。总部内网使用10.1.1.0/24网段，分部使用172.168.50.0/24网段，总部出口公网地址为1.1.1.2/24,分部公网IP为1.1.1.1/24。用户想要总部和分部之间的内网可以互相访问。4.2

11、. 总部DCME-320设立4.2.1. 建立IPSEC模版进入【VPN】-【IPSec VPN】-【VPN模版】点击“新建”按钮新建模版如下图所示模版名称： IPSec （可以自行定义）协商模式： main （一般我们都选用主模式建立LAN-to-LAN IPSec）IKE VERSION：1P1(第一阶段协商参数)认证算法： pre-shared-key （预共享秘钥）加密算法： des （可选des、3des、aes128、aes192、aes256，IPsec两端必须一致）验证算法： md5 （可选sha1、md5，IPSec两端设备必须一致）DH组： 1 （可选 1、2、5 ，IPS

12、ec两端必须一致）生存时间： 300 （自己定义但IPSec两端必须一致）P2（第二阶段协商参数）加密算法： des （可选des、3des、aes128、aes192、aes256，IPSec两端必须一致）验证算法： hamc-md5 （可选hmac-sha1、hmac-md5，IPSec两端必须一致）PFS功能： 1 （可选1、2、5,IPSec两端必须一致）P2 SA生命周期 ： 300 （自行定义但IPSec两端配置必须一致）完毕后点击“确认”即可！4.2.2. 建立动态VPN假如使用IKE自动协商方式就选择”动态VPN”，假如需要手工协商就选择“静态VPN”，一般情况下我们优先选用I

13、KE自动协商方式配置简朴易于维护。进入【VPN】-【IPSec VPN】-【动态VPN】点击“新建”按钮如下图所示隧道名称： ipsec （自行定义名称）模版： ipsec （需要调用的IPSec模版名称）本端IP地址： 1.1.1.2 （本地外网口的IP地址）对端地址类型： 静态IP （假如有多个站点接入直接写动态IP那就表白本端被动协商）对端IP地址： 1.1.1.1 （对端设备的外网口地址） 预共享密钥： 12345 （自行定义，IPSec两端一直即可） 完毕后点击“确认”按钮即可！4.2.3. 建立IPSec策略进入【VPN】-【IPSec策略】点击“新建”按钮策略名称： ipsec

14、（自行定义）匹配规则协议： any本地地址： 172.168.50.0/24对端地址： 10.1.1.0/24VPN名称： ipsec 模式： tunnel行为： esp （可选esp、ah，IPSec两端必须一致）优先级： 1完毕后点击“确认”按钮即可！4.3. 分部DCR路由器设立!crypto isakmp key 0 12345 address 1.1.1.2 255.255.255.255crypto isakmp policy 1 authentication pre-share hash md5 lifetime 300!crypto ipsec transform-set ip

15、sec esp-des esp-md5-hmac!crypto map ipsec 0 ipsec-isakmp match address ipsec set peer 1.1.1.2 set pfs group1 set security-association lifetime seconds 300 set transform-set ipsec! interface Loopback0 ip address 10.1.1.1 255.255.255.0 no ip directed-broadcast ip http firewalltype 0!interface FastEthe

16、rnet0/0 ip address 1.1.1.1 255.255.255.0crypto map ipsec!ip route default 1.1.1.2!ip access-list extended ipsec permit ip 10.1.1.1 255.255.255.0 172.168.50.1 255.255.255.0!4.4. DCME-320查看VPN状态进入【VPN】-【VPN监控】点击“SAD”可以查看当前IPSEC是否建立成功假如建立在SAD可以看到如下信息：下图表达SA建立，IPSEC VPN已经建立成功。5. L2TP LNS设定DCME-320目前阶段只能

17、提供L2TP LNS的服务，暂不支持L2TP LAC的功能。5.1. 应用环境介绍用户使用我司的DCME-320作为出口设备，现在需要让出差人员可以随时随地访问到公司的内部资源，考虑使用DCME-320的L2TP服务来实现这一需求。DCME-320外网口地址：172.168.50.1 .让出差人员分派得到172.168.60.0/24段的地址访问内部网络。5.2. L2TP服务器配置进入【VPN】-【L2TP VPN】点击“L2TP服务”按钮，如下图所示绑定IP： 172.16.50.1 （提供应外网用户的公网IP，一般为设备外网口IP）DNS： 10.1.120.241 （L2TP用户获取地

18、址后，使用的DNS服务器）加密方式： any （可选any、pap、chap，any表达pap、chap都可使用）本地地址： 172.168.60.1 （本地的L2TP服务器的地址，根据实际情况定义）地址池： 172.168.60.2-172.168.60.30 （可以分派给L2TP用户的IP地址，自行定义地址范围不能小于16.）完毕后点击“确认”即可！5.3. L2TP用户管理进入【VPN】-【L2TP VPN】点击“用户管理”按钮如下图所示：用户名： dcn123 （根据实际情况自行定义）密码： dcn123 (根据实际情况自行定义)确认密码：dcn123 (根据实际情况自行定义，必须和密

19、码一致)完毕后点击“添加用户“按钮即可完毕用户添加。注意：假如删除某个用户可以在”用户列表“里面找到该用户 点击后面的删除按钮即可！5.4. 拨入用户查看进入【VPN】-【L2TP VPN】点击”拨入列表“即可查当作功拨入的用户情况。可以查看如下信息：用户名、分派IP、拨入IP、拨入时间。5.5. Win 7系统L2TP client 设立进入【控制面板】-【网络和Internet】-【网络和共享中心】选择”设立新的连接或网络“连接到工作区“后创建新连接。选择”使用我的Internet连接(VPN）(I)“如下图所示Internet地址： 172.168.50.1 （L2TP服务器里面配置的绑

20、定的公网IP）目的名称：VPN连接 （根据实际情况自定义）完毕后点击“下一步”输入用户名密码，如下图所示完毕后点击连接，后选择“跳过按钮”在桌面右下角的图标，选择新建的VPN连接将“安全”选项中”VPN”类型修改为“使用IPSec的第2层隧道协议（L2TP/IPSec）”，将“数据加密”修改为“可选加密”即可！假如不做修改会提醒800错误。6. 限速设定DCME-320可以提供接口带宽控制、针对IP的带宽控制、针相应用的带宽控制。6.1. 端口带宽控制进入【基础网络】-【接口选项】-【接口列表】-【HG1】如下图所示可以针对DCME-320上的外网口的上下行带宽分别控制。带宽的控制单位为kpb

21、s（1M=1024k，设立的时候注意好单位的换算）6.2. IP QoSIP QoS是针对IP的带宽控制策略。进入【流量控制】-【IP QoS】如下图所示:规则名称： 自定义接口绑定： 根据实际情况选择需要关联的接口IP地址: 可以手动定义IP成员或地址范围控制策略可以针对每个IP在接口的上下行带宽分别控制。完毕后点击“确认”按钮即可！配置完毕后在下方IP QoS列表里面会看到已经配置的IP QoS策略。6.3. 应用QoS应用QoS是针相应用的带宽控制策略。进入【流量控制】-【应用QoS】如下图所示：规则名称： p2p1 （根据实际情况自行定义）接口绑定： HG1 （根据实际情况绑定到相应的

22、内网口）应用： HTTP多线程、P2P donwload （根据实际情况自行选择需要绑定的应用）接口上行： 1024 （单位为kbps，根据实际情况选择这个应用在接口上占用的带宽）接口下行： 1024 （单位为kbps，根据实际情况选择这个应用在接口上占用的带宽）完毕后点击“拟定”按钮即可！通过下方的QoS应用列表可以查看已经设定的应用QoS策略的基本情况。7. SSL VPN配置7.1. 应用环境用户使用我司的DCME-320作为出口设备，现在需要让出差人员可以更加安全的访问到公司的内部资源，考虑使用DCME-320的SSL VPN接入内网。允许SSL VPN用户接入后访问内网的FTP Se

23、rver：192.168.10.252；允许SSL VPN用户接入后访问内网的WEB Server：192.168.1.2107.2. 创建SSL VPN登录用户进入【上网行为】-【用户管理】-【用户或用户组】点击“新建用户”按钮名称：wyliang (根据实际情况自行定义)密码：12345 (根据实际情况自行定义)重新输入密码：12345 (根据实际情况自行定义，必须和密码一致)描述： （自行定义）超时启用：（勾选后可以指定帐号的可用时间）7.3. SSL VPN服务器端配置7.3.1. 创建SSL VPN实例进入【VPN】-【SSLVPN】-【实例配置】点击“新建”按钮新建模版如下图所示名

24、称： SSLvpn (根据实际情况自行定义)SSL VPN端口： 4433 (根据实际情况自行定义)超始地址：172.168.70.2 (根据实际情况自行定义)结束地址：172.168.70.20 (根据实际情况自行定义)掩码： 255.255.525.0 接口：HG1完毕后点击“拟定”按钮即可7.3.2. 定义资源配置进入【VPN】-【SSLVPN】-【资源配置】点击“新建”按钮新建模版如下图所示名称： ftp或http (根据实际应用服务填写)IP/网络掩码： 192.168.10.252/24 (内部服务器地址)完毕后点击“拟定”按钮即可7.3.3. 将用户与资源关联进入【VPN】-【S

25、SLVPN】-【资源关联】点击“新建”按钮新建模版如下图所示类型： 用户或用户组 (根据实际应用服务填写)用户： wyliang (根据实际情况自行定义)资源： ftp、http (根据实际情况选用资源)完毕后点击“拟定”按钮即可7.3.4. 定义客户端下载配置进入【VPN】-【SSLVPN】-【客户端下载配置】如下图所示启用： 勾选 (根据实际情况进行勾选)模式： HTTP或HTTPS (根据实际情况自行选择)服务器端口： 4436 (根据实际情况自行定义，范围102465535)完毕后点击“拟定”按钮即可7.3.5. SSL VPN在线用户进入【VPN】-【SSLVPN】-【在线用户】即可

26、查当作功拨入的用户情况。可以查看如下信息：用户名、实例、登录时间、分派IP、公网IP、AAA服务器如下图所示7.3.6. SSLVPN客户端下载方式在IE浏览器中输入http:/DCME320登录地址:SSLvpn客户端下载端标语例如：:4436点击“下载”按钮如下图所示客户端软件7.4. SSL VPN客户端配置客户端安装完毕后，点击图标如下图所示：服务器：218.240.143.219 （一般为DCME320的外网口）端口：4433 （与实例中配置的SSL VPN端标语一致）用户名：wyliang密码：12345完毕后点击“登录”按钮即可8. WEB认证配置8.1. 应用环境内网用户初次访

27、问Internet时需要通过WEB认证才干上网，且内网用户为user1，其中用户user1在通过认证后可以浏览WEB界面。8.1.1. 启动WEB认证功能进入【上网行为】-【WEB认证】-【认证配置】新建模版如下图所示启用web认证： 勾选 (以启用web认证服务)模式： HTTP模式 (根据实际情况自行选择)HTTP服务器端口： 8181 (缺省值)重定向URL： .com (认证成功后跳转的界面，自定义)页面超时： 260 (缺省值)完毕后点击“拟定”按钮即可8.1.2. 创建WEB认证登录用户进入【上网行为】-【用户管理】-【用户或用户组】点击“新建用户”按钮名称：webwyliang

28、(根据实际情况自行定义)密码：123456 (根据实际情况自行定义)重新输入密码：123456 (根据实际情况自行定义，必须和密码一致)描述： （自行定义）超时启用：（勾选后可以指定帐号的可用时间）完毕后点击“拟定”按钮即可8.1.3. 创建配置策略进入【网络安全】-【安全策略】点击“新建”按钮webwyliang处在lan安全域，外网口处在wan安全域，需要配置1条策略策略-用户认证服务策略源安全域：lan源地址：any目的安全域：wan目的地址：any应用薄：any用户/组：webwyliang行为：允许8.1.4. 配置验证内网用户打开IE后输入某网站后可以看到页面立即重定向到认证页面，

29、我们输入用户名和密码分别为webwyliang和123456认证通过后，访问某web时访问成功进入【上网行为】-【WEB认证】-【在线用户】界面：9. 会话限制9.1. 应用环境针对内网每IP限制TCP-ANY会话数到300条，针对内网每IP限制UDP-ANY会话数到200条。9.2. 会话限制配置进入【上网行为】-【会话限制】点击“新建”按钮如下图所示安全域：lan (根据实际情况自行定义)IP限制：源IP或目的IP (根据实际情况自行定义)应用限制：TCPANY (根据实际情况自行定义)会话数： 300（自行定义，0：不限制）时间表： （勾选启用，根据实际情况自行定义）完毕后点击“拟定”按

30、钮即可10. URL过滤配置10.1. 应用环境限制内网用户访问baidu首页10.2. URL过滤配置10.2.1. 创建http_profile，启用URL过滤功能进入【上网行为】-【行为管理】-【profile】中新建一个名称为http_profile,并将URL过滤设立成启用状态，然后点击“确认”如下图所示10.2.2. 设立URL过滤规则进入【上网行为】-【行为管理】-【网页内容过滤】中，设立URL过滤规则，实验中我们只是限制访问baidu首页，我们在黑名单URL过滤中输入.com点击添加将其添加到了黑名单列表中，点击拟定即可10.2.3. 在策略中引用profile进入【网络安全】

31、-【安全策略】中，针对内网到外网的安全策略，引用URL过滤的profile11. DCME320配置文献管理11.1. 应用环境 DCME320配置保存在本地及将配置备份与恢复操作11.2. 将当前配置保存在本地或PC进入【系统管理】-【基础选项】-【配置文献管理】中，点击保存运营配置，这样就可以将当前配置文献保存到本地进入【系统管理】-【基础选项】-【配置文献管理】中，点击导出运营配置，点保存这样就可以将当前配置文献导入到本地PC11.3. 将本地配置上传到DCME320并调用该配置 进入【系统管理】-【基础选项】-【配置文献管理】中，点击“浏览”，从本地PC选择将要上传的配置文献，然后点击“上传”上传完毕后，点击该文献后的“应用“按钮12. DCME320软件版本升级12.1. 应用环境学会将现有产品版本进行升级操作12.2. 将软件从本地上传到DCME320进入【系统管理】-【升级选项】-【系统软件】，点“升级“按钮，点击“浏览”，从本地PC选择将要升级的系统文献，然后点击“确认”系统中最多可以保存两个系统文献供用户选择使用。默认情况下，系统下次启动时将使用新上载成功的系统文献