新快速配置手册.doc

DCME-320新UI快速配置手册 客服中心技术团队 2023.8 目 录 1. 产品介绍 4 2. 快速设立上网 4 2.1. 如何硬件连接？ 4 2.2. 如何准备用于配置DCME-320的PC？ 5 2.3. 如何登录DCME-320？ 5 2.4. 如何配置上网？ 6 2.4.1. 环节一:设立WAN口模式 6 2.5. 如何恢复出厂设立？ 7 3. 端口映射 7 3.1. 端口映射 7 3.1.1. 建立地址簿 8 3.1.2. 建立高级目的NAT条目 9 3.1.3. 策略自动生成 10 3.1.4. 建立源NAT条目 10 4. IPSec配置（LAN-to-LAN） 11 4.1. 应用环境 11 4.2. 总部DCME-320设立 12 4.2.1. 建立IPSEC模版 12 4.2.2. 建立动态VPN 13 4.2.3. 建立IPSec策略 14 4.3. 分部DCR路由器设立 15 4.4. DCME-320查看VPN状态 16 5. L2TP LNS设定 17 5.1. 应用环境介绍 17 5.2. L2TP服务器配置 18 5.3. L2TP用户管理 18 5.4. 拨入用户查看 19 5.5. Win 7系统L2TP client 设立 19 6. 限速设定 21 6.1. 端口带宽控制 21 6.2. IP QoS 22 6.3. 应用QoS 23 7. SSL VPN配置 24 7.1. 应用环境 24 7.2. 创建SSL VPN登录用户 25 7.3. SSL VPN服务器端配置 25 7.3.1. 创建SSL VPN实例 25 7.3.2. 定义资源配置 26 7.3.3. 将用户与资源关联 27 7.3.4. 定义客户端下载配置 28 7.3.5. SSL VPN在线用户 29 7.3.6. SSLVPN客户端下载方式 29 7.4. SSL VPN客户端配置 29 8. WEB认证配置 30 8.1. 应用环境 30 8.1.1. 启动WEB认证功能 31 8.1.2. 创建WEB认证登录用户 31 8.1.3. 创建配置策略 32 8.1.4. 配置验证 33 9. 会话限制 34 9.1. 应用环境 34 9.2. 会话限制配置 35 10. URL过滤配置 36 10.1. 应用环境 36 10.2. URL过滤配置 36 10.2.1. 创建http_profile，启用URL过滤功能 36 10.2.2. 设立URL过滤规则 37 10.2.3. 在策略中引用profile 37 11. DCME320配置文献管理 38 11.1. 应用环境 38 11.2. 将当前配置保存在本地或PC 38 11.3. 将本地配置上传到DCME320并调用该配置 39 12. DCME320软件版本升级 40 12.1. 应用环境 40 12.2. 将软件从本地上传到DCME320 40 1. 产品介绍 DCME-320多核出口网关采用MIPS 64位多核高性能解决器，结合专用ASIC互换芯片，针对多用户数、多流量、多业务种类的业务需求而推出的新一代高性能互联网出口网关。 建议并发带机数量： 300 端口组成： 8GE电口+2GE Combo+2 USB2.0+1 RJ-45 Console口+1 Reset键 支持接入方式： 静态IP、动态IP（DHCP获取）、PPPoE 2. 快速设立上网 2.1. 如何硬件连接？ 一方面使用网线连接设备G1口至本地管理计算机，连接电源线(220V)。 2.2. 如何准备用于配置DCME-320的PC？ 根据上图所示，选择使用如下IP地址，做如下配置： IP地址： 192.168.0.10 (或192.168.0.X子网内的任意地址[192.168.0.1除外]) 子网掩码： 255.255.255.0 默认网关： 192.168.0.1 2.3. 如何登录DCME-320？ 打开PC浏览器窗口，输入， 并按回车。当出现DCN网络管理登录页面，输入如下参数： 用户名：admin 密 码： admin 验证码：1728 （每次登录验证码都会改变需要根据实际情况修改） 点击“登录”进入DCME-320WEB管理界面。 2.4. 如何配置上网？ 选择“快速向导”进入快速配置，两步轻松搞定上网！ 2.4.1. 环节一:设立WAN口模式 <1>根据外线数量选择“单外网口”、“双外网口”。 <2>选择连接外线的接口（HG1,HG2,G1-G8）[注意：HG1和HG2为高安全端口拥有多种硬件防护功能从容应对各种复杂外网环境，建议外网接口选用HG端口]。 <3>线路类型： 1).假如是ADSL接入请选择“PPPoE获取地址”填入相应的“用户名”、“密码”、“上行带宽”、“下行带宽”； 2).假如是固定IP接入请选择“静态地址”填入相应的“IP/掩码长度”、“缺省网关”、“首选DNS服务器”、“备选DNS服务器”、“上行带宽”、“下行带宽”； 环节二：配置LAN口模式 <1>根据内网需要要划分网段数量选择“单内网口”、“双内网口”。 <2>选择用于连接内网设备的接口（G1——G8）。 <3>填入相应的“IP/掩码长度”。 <4>内网用户是否需要自动获取IP？假如需要请启用“DHCP-Server”并填入“起始IP地址”、“结束IP地址”、“首选DNS服务器”、“备用DNS服务器”。 设立完上述两步点击“下一步”——“完毕”即可实现快速上网功能。 2.5. 如何恢复出厂设立？ DCME-320恢复出厂设立可以分为reset键恢复和WEB界面恢复两种方式。假如是reset键恢复出厂设立，可以使用细的小圆棒按住reset键15s左右即可！假如是WEB界面方式恢复进入【系统管理】--【基础选项】--【配置文献管理】如下图所示选择出厂配置后面的应用按钮即可完毕出厂配置的恢复（WEB界面下恢复无需重启）。 3. 端口映射 3.1. 端口映射 某客户内网有一台服务器地址为192.168.1.214 需要将此服务器的TCP 33389端口映射到外网地址218.240.143.219的TCP 33389端口。 3.1.1. 建立地址簿 进入【基础网络】--【NAT选项】--【端口映射】--【新建端口映射】如下图所示 完毕后点击“多个”按钮，如下图所示 地址类型： IP成员 IP成员： 192.168.1.214 （根据实际情况自行定义） 完毕后点击‘添加‘然后“拟定”即可! 此外还要建立一个正对外网接口IP的地址簿，IP成员为218.240.143.219 3.1.2. 建立高级目的NAT条目 进入【基础网络】--【NAT选项】--【端口映射】新建“高级配置”如下图所示 源地址： 地址簿 地址簿： any 目的地址：IP地址 IP地址： 218.240.143.219 应用： HTTP 行为： NAT NAT地址：IP地址 地址簿： 192.168.1.214 NAT端口： 启用 端口：80 模式： 端口映射 完毕后点击“确认”即可！ 3.1.3. 策略自动生成 进入【网络安全】--【安全策略】如下图所示： 源安全域：WAN 源地址：Any 目的安全域：LAN 目的地址：192.168.1.214/32 行为：允许 3.1.4. 建立源NAT条目 进入【基础网络】--【NAT选项】--【NAT】--【新建基本配置】如下图所示： 源地址： Any 出接口：HG1 行为： NAT(出接口IP) 完毕后点击“确认”即可！ 4. IPSec配置（LAN-to-LAN） 4.1. 应用环境 总部使用我司的DCME-320作为出口，分部使用其他型号的DCR路由器。总部内网使用10.1.1.0/24网段，分部使用172.168.50.0/24网段，总部出口公网地址为1.1.1.2/24,分部公网IP为1.1.1.1/24。用户想要总部和分部之间的内网可以互相访问。 4.2. 总部DCME-320设立 4.2.1. 建立IPSEC模版 进入【VPN】--【IPSec VPN】--【VPN模版】点击“新建”按钮新建模版如下图所示 模版名称： IPSec （可以自行定义） 协商模式： main （一般我们都选用主模式建立LAN-to-LAN IPSec） IKE VERSION：1 P1(第一阶段协商参数) 认证算法： pre-shared-key （预共享秘钥） 加密算法： des （可选des、3des、aes128、aes192、aes256，IPsec两端必须一致） 验证算法： md5 （可选sha1、md5，IPSec两端设备必须一致） DH组： 1 （可选 1、2、5 ，IPSec两端必须一致） 生存时间： 300 （自己定义但IPSec两端必须一致） P2（第二阶段协商参数） 加密算法： des （可选des、3des、aes128、aes192、aes256，IPSec两端必须一致） 验证算法： hamc-md5 （可选hmac-sha1、hmac-md5，IPSec两端必须一致） PFS功能： 1 （可选1、2、5,IPSec两端必须一致） P2 SA生命周期 ： 300 （自行定义但IPSec两端配置必须一致） 完毕后点击“确认”即可！ 4.2.2. 建立动态VPN 假如使用IKE自动协商方式就选择”动态VPN”，假如需要手工协商就选择“静态VPN”，一般情况下我们优先选用IKE自动协商方式配置简朴易于维护。 进入【VPN】--【IPSec VPN】--【动态VPN】点击“新建”按钮如下图所示 隧道名称： ipsec （自行定义名称） 模版： ipsec （需要调用的IPSec模版名称） 本端IP地址： 1.1.1.2 （本地外网口的IP地址） 对端地址类型： 静态IP （假如有多个站点接入直接写动态IP那就表白本端被动协商） 对端IP地址： 1.1.1.1 （对端设备的外网口地址） 预共享密钥： 12345 （自行定义，IPSec两端一直即可） 完毕后点击“确认”按钮即可！ 4.2.3. 建立IPSec策略 进入【VPN】--【IPSec策略】点击“新建”按钮 策略名称： ipsec （自行定义） 匹配规则 协议： any 本地地址： 172.168.50.0/24 对端地址： 10.1.1.0/24 VPN名称： ipsec 模式： tunnel 行为： esp （可选esp、ah，IPSec两端必须一致） 优先级： 1 完毕后点击“确认”按钮即可！ 4.3. 分部DCR路由器设立 ! crypto isakmp key 0 12345 address 1.1.1.2 255.255.255.255 crypto isakmp policy 1 authentication pre-share hash md5 lifetime 300 ! crypto ipsec transform-set ipsec esp-des esp-md5-hmac ! crypto map ipsec 0 ipsec-isakmp match address ipsec set peer 1.1.1.2 set pfs group1 set security-association lifetime seconds 300 set transform-set ipsec ! interface Loopback0 ip address 10.1.1.1 255.255.255.0 no ip directed-broadcast ip http firewalltype 0 ! interface FastEthernet0/0 ip address 1.1.1.1 255.255.255.0 crypto map ipsec ! ip route default 1.1.1.2 ! ip access-list extended ipsec permit ip 10.1.1.1 255.255.255.0 172.168.50.1 255.255.255.0 ! 4.4. DCME-320查看VPN状态 进入【VPN】--【VPN监控】点击“SAD”可以查看当前IPSEC是否建立成功假如建立在SAD可以看到如下信息： 下图表达SA建立，IPSEC VPN已经建立成功。 5. L2TP LNS设定 DCME-320目前阶段只能提供L2TP LNS的服务，暂不支持L2TP LAC的功能。 5.1. 应用环境介绍 用户使用我司的DCME-320作为出口设备，现在需要让出差人员可以随时随地访问到公司的内部资源，考虑使用DCME-320的L2TP服务来实现这一需求。DCME-320外网口地址：172.168.50.1 .让出差人员分派得到172.168.60.0/24段的地址访问内部网络。 5.2. L2TP服务器配置 进入【VPN】-【L2TP VPN】点击“L2TP服务”按钮，如下图所示 绑定IP： 172.16.50.1 （提供应外网用户的公网IP，一般为设备外网口IP） DNS： 10.1.120.241 （L2TP用户获取地址后，使用的DNS服务器） 加密方式： any （可选any、pap、chap，any表达pap、chap都可使用） 本地地址： 172.168.60.1 （本地的L2TP服务器的地址，根据实际情况定义） 地址池： 172.168.60.2-172.168.60.30 （可以分派给L2TP用户的IP地址，自行定义地址范围不能小于16.） 完毕后点击“确认”即可！ 5.3. L2TP用户管理 进入【VPN】--【L2TP VPN】点击“用户管理”按钮如下图所示： 用户名： dcn123 （根据实际情况自行定义） 密码： dcn123 (根据实际情况自行定义) 确认密码：dcn123 (根据实际情况自行定义，必须和密码一致) 完毕后点击“添加用户“按钮即可完毕用户添加。 注意：假如删除某个用户可以在”用户列表“里面找到该用户 点击后面的删除按钮即可！ 5.4. 拨入用户查看 进入【VPN】--【L2TP VPN】点击”拨入列表“即可查当作功拨入的用户情况。 可以查看如下信息：用户名、分派IP、拨入IP、拨入时间。 5.5. Win 7系统L2TP client 设立 进入【控制面板】--【网络和Internet】--【网络和共享中心】选择”设立新的连接或网络“—“连接到工作区“后创建新连接。选择”使用我的Internet连接(VPN）(I)“如下图所示 Internet地址： 172.168.50.1 （L2TP服务器里面配置的绑定的公网IP） 目的名称：VPN连接 （根据实际情况自定义） 完毕后点击“下一步” 输入用户名密码，如下图所示 完毕后点击连接，后选择“跳过按钮”在桌面右下角的图标，选择新建的VPN连接将“安全”选项中”VPN”类型修改为“使用IPSec的第2层隧道协议（L2TP/IPSec）”，将“数据加密”修改为“可选加密”即可！假如不做修改会提醒800错误。 6. 限速设定 DCME-320可以提供接口带宽控制、针对IP的带宽控制、针相应用的带宽控制。 6.1. 端口带宽控制 进入【基础网络】--【接口选项】--【接口列表】--【HG1】如下图所示可以针对DCME-320上的外网口的上下行带宽分别控制。带宽的控制单位为kpbs（1M=1024k，设立的时候注意好单位的换算） 6.2. IP QoS IP QoS是针对IP的带宽控制策略。 进入【流量控制】--【IP QoS】如下图所示: 规则名称： 自定义 接口绑定： 根据实际情况选择需要关联的接口 IP地址: 可以手动定义IP成员或地址范围 控制策略可以针对每个IP在接口的上下行带宽分别控制。 完毕后点击“确认”按钮即可！ 配置完毕后在下方IP QoS列表里面会看到已经配置的IP QoS策略。 6.3. 应用QoS 应用QoS是针相应用的带宽控制策略。 进入【流量控制】--【应用QoS】如下图所示： 规则名称： p2p1 （根据实际情况自行定义） 接口绑定： HG1 （根据实际情况绑定到相应的内网口） 应用： HTTP多线程、P2P donwload （根据实际情况自行选择需要绑定的应用） 接口上行： 1024 （单位为kbps，根据实际情况选择这个应用在接口上占用的带宽） 接口下行： 1024 （单位为kbps，根据实际情况选择这个应用在接口上占用的带宽） 完毕后点击“拟定”按钮即可！ 通过下方的QoS应用列表可以查看已经设定的应用QoS策略的基本情况。 7. SSL VPN配置 7.1. 应用环境 用户使用我司的DCME-320作为出口设备，现在需要让出差人员可以更加安全的访问到公司的内部资源，考虑使用DCME-320的SSL VPN接入内网。允许SSL VPN用户接入后访问内网的FTP Server：192.168.10.252；允许SSL VPN用户接入后访问内网的WEB Server：192.168.1.210 7.2. 创建SSL VPN登录用户 进入【上网行为】--【用户管理】--【用户或用户组】点击“新建用户”按钮 名称：wyliang (根据实际情况自行定义) 密码：12345 (根据实际情况自行定义) 重新输入密码：12345 (根据实际情况自行定义，必须和密码一致) 描述： （自行定义） 超时启用：（勾选后可以指定帐号的可用时间） 7.3. SSL VPN服务器端配置 7.3.1. 创建SSL VPN实例 进入【VPN】--【SSLVPN】--【实例配置】点击“新建”按钮新建模版如下图所示 名称： SSLvpn (根据实际情况自行定义) SSL VPN端口： 4433 (根据实际情况自行定义) 超始地址：172.168.70.2 (根据实际情况自行定义) 结束地址：172.168.70.20 (根据实际情况自行定义) 掩码： 255.255.525.0 接口：HG1 完毕后点击“拟定”按钮即可 7.3.2. 定义资源配置 进入【VPN】--【SSLVPN】--【资源配置】点击“新建”按钮新建模版如下图所示 名称： ftp或http (根据实际应用服务填写) IP/网络掩码： 192.168.10.252/24 (内部服务器地址) 完毕后点击“拟定”按钮即可 7.3.3. 将用户与资源关联 进入【VPN】--【SSLVPN】--【资源关联】点击“新建”按钮新建模版如下图所示 类型： 用户或用户组 (根据实际应用服务填写) 用户： wyliang (根据实际情况自行定义) 资源： ftp、http (根据实际情况选用资源) 完毕后点击“拟定”按钮即可 7.3.4. 定义客户端下载配置 进入【VPN】--【SSLVPN】--【客户端下载配置】如下图所示 启用： 勾选 (根据实际情况进行勾选) 模式： HTTP或HTTPS (根据实际情况自行选择) 服务器端口： 4436 (根据实际情况自行定义，范围1024~65535) 完毕后点击“拟定”按钮即可 7.3.5. SSL VPN在线用户 进入【VPN】--【SSLVPN】--【在线用户】即可查当作功拨入的用户情况。可以查看如下信息：用户名、实例、登录时间、分派IP、公网IP、AAA服务器如下图所示 7.3.6. SSLVPN客户端下载方式 在IE浏览器中输入http://DCME320登录地址:SSLvpn客户端下载端标语 例如：:4436点击“下载”按钮如下图所示 客户端软件 7.4. SSL VPN客户端配置 客户端安装完毕后，点击图标如下图所示： 服务器：218.240.143.219 （一般为DCME320的外网口） 端口：4433 （与实例中配置的SSL VPN端标语一致） 用户名：wyliang 密码：12345 完毕后点击“登录”按钮即可 8. WEB认证配置 8.1. 应用环境 内网用户初次访问Internet时需要通过WEB认证才干上网，且内网用户为user1， 其中用户user 1在通过认证后可以浏览WEB界面。 8.1.1. 启动WEB认证功能 进入【上网行为】--【WEB认证】--【认证配置】新建模版如下图所示 启用web认证： 勾选 (以启用web认证服务) 模式： HTTP模式 (根据实际情况自行选择) HTTP服务器端口： 8181 (缺省值) 重定向URL： .com (认证成功后跳转的界面，自定义) 页面超时： 260 (缺省值) 完毕后点击“拟定”按钮即可 8.1.2. 创建WEB认证登录用户 进入【上网行为】--【用户管理】--【用户或用户组】点击“新建用户”按钮 名称：webwyliang (根据实际情况自行定义) 密码：123456 (根据实际情况自行定义) 重新输入密码：123456 (根据实际情况自行定义，必须和密码一致) 描述： （自行定义） 超时启用：（勾选后可以指定帐号的可用时间） 完毕后点击“拟定”按钮即可 8.1.3. 创建配置策略 进入【网络安全】--【安全策略】点击“新建”按钮 webwyliang处在lan安全域，外网口处在wan安全域，需要配置1条策略 策略-用户认证服务策略 源安全域：lan 源地址：any 目的安全域：wan 目的地址：any 应用薄：any 用户/组：webwyliang 行为：允许 8.1.4. 配置验证 内网用户打开IE后输入某网站后可以看到页面立即重定向到认证页面，我们输入用户名和密码分别为webwyliang和123456认证通过后，访问某web时访问成功 进入【上网行为】--【WEB认证】--【在线用户】界面： 9. 会话限制 9.1. 应用环境 针对内网每IP限制TCP-ANY会话数到300条，针对内网每IP限制UDP-ANY会话数到200条。 9.2. 会话限制配置 进入【上网行为】--【会话限制】点击“新建”按钮如下图所示 安全域：lan (根据实际情况自行定义) IP限制：源IP或目的IP (根据实际情况自行定义) 应用限制：TCPANY (根据实际情况自行定义) 会话数： 300（自行定义，0：不限制） 时间表： （勾选启用，根据实际情况自行定义） 完毕后点击“拟定”按钮即可 10. URL过滤配置 10.1. 应用环境 限制内网用户访问baidu首页 10.2. URL过滤配置 10.2.1. 创建http_profile，启用URL过滤功能 进入【上网行为】--【行为管理】--【profile】中新建一个名称为http_profile,并将URL过滤设立成启用状态，然后点击“确认”如下图所示 10.2.2. 设立URL过滤规则 进入【上网行为】--【行为管理】--【网页内容过滤】中，设立URL过滤规则，实验中我们只是限制访问baidu首页，我们在黑名单URL过滤中输入.com点击添加将其添加到了黑名单列表中，点击拟定即可 10.2.3. 在策略中引用profile 进入【网络安全】--【安全策略】中，针对内网到外网的安全策略，引用URL过滤的profile 11. DCME320配置文献管理 11.1. 应用环境 DCME320配置保存在本地及将配置备份与恢复操作 11.2. 将当前配置保存在本地或PC 进入【系统管理】--【基础选项】--【配置文献管理】中，点击保存运营配置，这样就可以将当前配置文献保存到本地 进入【系统管理】--【基础选项】--【配置文献管理】中，点击导出运营配置，点保存这样就可以将当前配置文献导入到本地PC 11.3. 将本地配置上传到DCME320并调用该配置 进入【系统管理】--【基础选项】--【配置文献管理】中，点击“浏览”，从本地PC选择将要上传的配置文献，然后点击“上传” 上传完毕后，点击该文献后的“应用“按钮 12. DCME320软件版本升级 12.1. 应用环境 学会将现有产品版本进行升级操作 12.2. 将软件从本地上传到DCME320 进入【系统管理】--【升级选项】--【系统软件】，点“升级“按钮， 点击“浏览”，从本地PC选择将要升级的系统文献，然后点击“确认” 系统中最多可以保存两个系统文献供用户选择使用。默认情况下，系统下次启动时将使用新上载成功的系统文献