VRC用户手册.pdf

VRC 用户手册用户手册 天融信 TOPSEC 北京市海淀区上地东路 1 号华控大厦 100085 电话：+8610-82776666 传真：+8610-82776677 服务热线：+8610-800 810 5119 版权声明 版权声明 本手册中的所有内容及格式的版权属于北京天融信公司（以下 简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转 译或任意引用。 版权所有 不得翻印 1995-2008 天融信公司 商标声明 商标声明 本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他 公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。 TOPSEC 天融信公司 信息反馈 信息反馈 VRC 用户手册 服务热线：8008105119 i 1 前言前言1 1.1 文档目的.2 1.2 读者对象.2 1.3 文档基本内容.2 1.4 约定.3 1.5 相关文档.3 1.6 技术服务体系.3 2 客户端的安装与卸载客户端的安装与卸载4 2.1 安装VRC 4 2.2 卸载VRC 9 3 配置和管理配置和管理VPN客户端连接管理器客户端连接管理器11 3.1 VPN远程客户端的连接管理.11 3.1.1 新建VPN连接11 3.1.2 导入（导出）VPN连接12 3.2 VPN远程客户端的配置管理.15 4 配置配置VPN隧道隧道18 4.1 设置常规选项.18 4.2 设置认证方式.20 4.2.1 用户名口令认证21 4.2.2 X509证书认证22 4.3 连接IPSEC VPN网关26 5 管理管理VPN隧道隧道28 5.1 显示隧道连接状态.28 5.2 重新协商隧道密钥.29 5.3 设置VPN远程客户端启动选项.29 5.4 监控IKE协商状态30 5.5 显示隧道基本信息.33 5.6 断开隧道连接.35 6 快速使用配置实例快速使用配置实例36 6.1 用户名口令认证方式.36 6.2 证书认证方式.39 附录附录 A 常见问题常见问题 .45 一般设置 .45 连接/认证错误 46 目目 录录 VRC 用户手册 服务热线：8008105119 1 1 前言前言 IPSec VPN 解决方案是天融信整体安全解决方案的重要组成部分，产品包括 IPSec VPN 网关、VPN 远程客户端、以及 TopPolicy 安全设备与策略管理系统（即：安全管理 中心）。天融信 VPN 解决方案能够解决企业构建 VPN 网络所提出的各种应用需求，包括 企业机构内部之间的数据通信、 与合作伙伴之间的数据通信、 企业分支机构与企业总部之 间的数据通信、远程移动办公人员与企业内部安全通信等等。同时，天融信 VPN 解决方 案能够应用于目前国内所有的因特网接入技术，包括高速专线接入、ADSL 接入、城域网 宽带接入、有线电视网宽带接入、小区宽带接入和普通电话拨号接入等等；而且在因特网 接入 IP 地址方式上， 也为用户提供了最大的选择空间， 无论用户是否拥有静态的 IP 地址， 都能够成功组建自己的 VPN 网络，真正实现了“只要能够接入因特网，就能够构建企业 VPN 网络”。 VPN 远程客户端（VPN Remote Client，简称 VRC）是天融信 IPSec VPN 网关的 VPN 远程客户端软件， 它是针对上述需求而设计的个人虚拟专用网接入工具。 目前支持的客户 端版本类型包括：标准版、安全版、限制版、UKEY 版、UKEY安全版、UKEY限制 版。IPSec VPN 网关通过配置“客户端版本控制”和“客户端版本”信息，来控制远程接 入的客户端的版本类型，即：如果网关中配置了客户端远程接入的版本信息，则用户必须 使用相应版本的客户端进行登录。VPN 远程客户端具有以下特点： 配置简单：配置简单：用户安装完 VPN 远程客户端以后，只需输入本人的身份验证信息就可以 接入 VPN 网络，操作与基本的拨号连接方式相同，易于非专业人士接受。 安全性高：安全性高：VPN 远程客户端通过多种方式的用户身份认证保证了 VPN 远程客户端的 接入安全，采用高强度的加密算法和检验算法实现了传输安全，按角色确定每个 VPN 远 程客户端的访问权限保证了对内部资源的访问安全。 易于扩展：易于扩展：对于大型的 VPN 网络来说，VPN 远程客户端的数量可能以成千上万计， 如果对新加的 VPN 远程客户端都要在管理中心进行单独的配置是无法想象的。VPN 远程 客户端极大地减化了网络管理的工作量，方便于大规模的实施与扩展。 VRC 用户手册 服务热线： 8008105119 2 1.1 文档目的文档目的 本文档主要介绍普通用户如何使用 VPN 远程客户端，普通用户可以在本文档的指导 下安装、配置 VPN 远程客户端软件，并添加、设置和管理与 IPSec VPN 网关的隧道连接。 1.2 读者对象读者对象 本文档适于具有基本网络知识的普通用户阅读， 通过阅读本文档， 可以独自完成以下 应用操作： ? 安装 VPN 远程客户端 ? 备份和恢复系统配置和连接信息 ? 配置、使用和管理 VPN 隧道 1.3 文档基本内容文档基本内容 本用户手册包含以下章节及附录： ? 第一章 “前言”，介绍文档目的、读者对象、文档基本内容、文档中文字及图 片的约定、相关文档，以及如何获取技术支持的信息。 ? 第二章 “客户端的安装与卸载”，介绍了如何在不同的操作系统平台下进行 VPN 远程客户端软件的安装与卸载。 ? 第三章“配置和管理 VPN 客户端连接管理器”，简单介绍了如何导入、导出、 新建连接以及如何保存 VPN 远程客户端配置等操作。 ? 第四章“配置 VPN 隧道”，详细介绍了如何新建一个 VPN 连接并与 IPSec VPN 网关进行隧道连接的详细过程。 ? 第五章“管理 VPN 隧道”，介绍 VPN 远程客户端通过系统认证登录 IPSec VPN 网关后，如何实时查看隧道，包括隧道状态、隧道持续时间、隧道与网关之间的流量、隧 道是否启动/停止等，以及对隧道的管理等等。 ? 第六章“快速使用实例”，以典型实例说明不同认证方式的 VPN 远程客户端连 接的方法。 ? 附录“常见问题”。 VRC 用户手册 服务热线： 8008105119 3 1.4 约定约定 图形界面操作的描述采用以下约定： 按钮用“”表示，菜单项用加粗字体加粗字体表示。 点击（选择）一个菜单项采用如下约定： 点击（选择） 高级管理高级管理 特殊对象特殊对象 用户用户。 文档中出现的提示、警告、说明、示例等，是关于用户在安装和配置 VPN 远程客户 端过程中需要特别注意的部分，请用户在明确可能的操作结果后，再进行相关配置。 1.5 相关文档相关文档 管理手册基础配置 管理手册IPSEC VPN 配置 命令行手册IPSEC VPN 配置 1.6 技术服务体系技术服务体系 天融信公司对于自身所有安全产品提供远程产品咨询服务， 广大用户和合作伙伴可以 通过多种方式获取在线文档、疑难解答等全方位的技术支持。 公司主页 在线技术资料 安全解决方案 技术支持中心 天融信全国安全服务热线 800-810-5119 VRC 用户手册 服务热线：8008105119 4 2 客户端的安装与卸载客户端的安装与卸载 本章主要介绍 VPN 远程客户端在 Windows 平台下的相关安装和配置，以及卸载等 操作。 2.1 安装安装 VRC 在Windows不同版本的操作系统下安装VPN远程客户端的操作相同， 具体方法如下。 1）在安装包所在的目录下，浏览至安装程序文件目录，执行 setup.exe 文件，出现如 下对话框。 2）选择安装语言后，点击“下一步”按钮，如下图。 VRC 用户手册 服务热线： 8008105119 5 3）点击“下一步”。 4）点击“下一步”，接受软件许可协议，如下图。 VRC 用户手册 服务热线： 8008105119 6 5）接受软件许可协议后，点击“下一步”，如下图。 根据屏幕提示输入用户信息。 VRC 用户手册 服务热线： 8008105119 7 6）点击“下一步”，选择加密算法。 7）点击“下一步”，系统提示用户选择安装路径，建议用户选择系统默认路径。 VRC 用户手册 服务热线： 8008105119 8 8）点击“下一步”，进入安装界面。 点击“安装”，开始安装 VPN 远程客户端。 9）安装成功后，应重新启动计算机系统。 VRC 用户手册 服务热线： 8008105119 9 10）安装完成后，在桌面中将出现 VPN 远程客户端快捷图标 。用户可 以双击快捷图标启动 VPN 远程客户端，也可以点击 开始开始 所有程序所有程序 VRC-Client VPN-Client.exe 启动 VPN 远程客户端程序。如下图所示。 用户可在此界面中进行建立 VPN 连接，导入和导出连接，以及保存客户端配置等操 作。 说明说明 ? 若安装过旧版本的 VPN 远程客户端请先卸载，重启后再安装 VPN 远程客户端。首次 安装 VPN 远程客户端时，请根据提示重新启动计算机。 ? 支持 USB KEY 版本的 VPN 远程客户端还需安装第三方 USB KEY 的驱动程序。 2.2 卸载卸载 VRC 如果用户想要卸载 VRC，方法如下。 VRC 用户手册 服务热线： 8008105119 10 1） 点击 开始开始 所有程序所有程序 VRC-Client 卸载卸载， 或进入 开始开始 设置设置 控制面板控制面板 点击“添加/删除程序”图标，在目前安装的程序中选中 VPN 客户端。 2）确认需要删除 IPSecVPN 客户端后，将其删除并重新启动计算机即可。 说明说明 ? 卸载 VRC 后，一定要重新启动系统才能再次安装。 VRC 用户手册 服务热线：8008105119 11 3 配置和管理配置和管理 VPN 客户端连接管理器客户端连接管理器 本章主要对 VPN 远程客户端连接管理器的这些功能做详细的介绍，VPN 远程客户端 连接管理器采用常见的窗口操作方式，在管理器窗口中可以进行的管理如下： ? VPN 远程客户端连接管理 ? VPN 远程客户端配置管理 3.1 VPN 远程客户端的连接管理远程客户端的连接管理 本节介绍如何在 VPN 远程客户端管理器中新建、 删除 VPN 连接， 以及如何修改已建 连接的属性，如何对已经建立的连接属性信息进行导入、导出操作。 3.1.1 新建新建 VPN 连接连接 用户初次登录 VPN 远程客户端管理器后， 需要新建一个 VPN 连接， 用来在进行隧道 配置后，接入中心 IPSec VPN 网关从而访问内部网络，新建 VPN 连接的操作如下： 1） 在 Windows 操作系统中， 点击 开始开始 所有程序所有程序 VRC-Client VPN-Client.exe 启动 VPN 远程客户端。在弹出的“VPN 客户端连接管理”窗口中，选择 文件文件 新建新建， 或者直接双击界面中的图标，弹出“新建连接”对话框，如下图所示。 VRC 用户手册 服务热线： 8008105119 12 2）在“常规”选项卡与“认证”选项卡中设置各项参数。 3）点击“确定”，新建连接的图标将出现在管理器的界面中，如下图所示的“新建 连接”。 4）选中该新建连接的图标，可以通过右键菜单、工具栏图标或者通过选择文件菜单 中的相应选项来删除、重命名连接以及修改连接属性。 说明说明 ? “常规”选项卡和“认证”选项卡中参数详细配置方法请参见 4配置VPN隧道。 3.1.2 导入（导出）导入（导出）VPN 连接连接 本操作通常由 IPSec VPN 网关管理员进行 VPN 远程客户端连接配置后，将连接本网 关的基本信息导出，作为连接模版分发到各个需要连接本网关的 VPN 远程客户端。 导出和导入连接属性的操作如下： ? 导出连接属性 1）选中要导出的 VPN 连接的图标，选择菜单 编辑编辑 导出连接导出连接，如下图所示。 VRC 用户手册 服务热线： 8008105119 13 2）系统提示“请输入口令”，要求用户输入导出连接口令。 系统默认口令为空，用户也可以预先通过选择菜单 编辑编辑 导出口令导出口令 设置口令。如 果设置了口令，请妥善保存口令。 3）输入口令，进入文件保存窗口，如下图所示。系统默认文件名为 *.con，用户可 以重新输入文件名和选择保存路径。 VRC 用户手册 服务热线： 8008105119 14 导出的内容包括了该连接的基本属性信息，例如：连接中心网关的 IP 地址或域名、 连接中心网关的用户名与口令。 ? 导入连接属性 导入连接操作通常用于由用户根据网关管理员分发的连接配置文件（*.con 文件）导 入 VPN 远程客户端连接管理器中从而快速建立一个 VPN 远程客户端连接。操作如下： 选择菜单 编辑编辑 导入连接导入连接，在打开文件窗口中找到连接配置文件（*.con 文件）， 选择文件，点击“打开”，在 VPN 远程客户端管理器中将出现新建的连接图标，如下图 所示，默认连接名为“新建连接”。 VRC 用户手册 服务热线： 8008105119 15 说明说明 ? 如果用户在保存配置时选择了“记住用户名和口令” ，那么导入导出时将包含用户的个 人信息。 3.2 VPN 远程客户端的配置管理远程客户端的配置管理 用户可以将VPN远程客户端中的所有连接设置信息及VPN远程客户端证书信息导出 存为一个配置文件（扩展名为 cfg），保存在软盘或者其它介质中备份，用于在系统重装 时恢复 VPN 远程客户端的配置，保存（加载）配置的操作如下： ? 保存配置 1）选择 编辑编辑 导出配置导出配置，系统弹出“配置文件加密”对话框，如下图所示。 VRC 用户手册 服务热线： 8008105119 16 为了保证配置信息的安全，VPN 远程客户端程序将向用户请求保存口令（默认的保 存配置口令为空， 用户可以自行设定保存口令） ， 当用户加载配置时， 需要进行口令认证。 2）设置加密口令并确认后，系统提示用户记住口令，进入保存文件窗口，系统默认 文件名为 *.cfg, 用户可以重新输入文件名和选择保存路径。 3）点击“保存”，将配置文件保存在指定的目录中。 ? 加载配置 进入 VPN 远程客户端管理器中，加载配置的操作如下： 1）选择 编辑编辑 导入配置导入配置，系统提示“输入口令”，如下图所示。 VRC 用户手册 服务热线： 8008105119 17 2）如果用户在保存配置时设置了口令，则输入该口令。 3）点击“确定”，在打开窗口中找到配置文件所在的路径，选择文件，点击“打开” 按钮，系统出现如下提示。 4）点击“确定”，系统将恢复所有的配置信息并自动关闭，用户完成了加载操作， 可以重新运行程序。 提示提示 ? 如果用户在保存配置时选择了“记住用户名和口令” ，那么保存或加载配置时将包含用 户的个人信息。 VRC 用户手册 服务热线：8008105119 18 4 配置配置 VPN 隧道隧道 本章主要介绍在 VPN 远程客户端如何建立和配置 VPN 隧道。在建立 VPN 隧道时， VPN 远程客户端可选的认证方式有两种：用户名口令认证或 X.509 证书认证，同时用 户还需要事先知道中心 IPSec VPN 网关的 IP 地址、域名、设备名三者之一。另外针对不 同的认证方式，还需要不同的用户信息。例如，选用“用户名口令认证”方式时，需要 获得用户的用户名和密码；而采用“X.509 证书认证”方式时，则需要获得有效证书。 下面将详细介绍如何配置 VPN 隧道。 4.1 设置常规选项设置常规选项 1）运行 VPN 远程客户端程序，出现“VPN 客户端连接管理”界面，如下图所示。 2）双击“新建 VPN 连接”图标，弹出“新建连接”对话框，如下图所示。 VRC 用户手册 服务热线： 8008105119 19 3）选择“常规”选项卡并设置各参数，参数的具体说明如下表。 参数 说明 连接名 新建连接的名称。 中心网关地址 用于设置 IPSec VPN 网关的 IP 地址或域名。 勾选“IP”后，需要设置 IPSec VPN 网关的 IP 地址；勾选“域名”后， 需要设置 IPSec VPN 网关的域名（如： ）。 说明： 如果使用域名方式进行连接，还需要在 VPN 客户端主机上配置 DNS 服 务器的地址，否则 VPN 客户端无法连接到 IPSec VPN 网关。 中心网关地址 2 输入 IPSec VPN 网关的第二地址或第二域名。 说明： 只有在“启动选项”中勾选了“启用线路检测”，才能在此处配置参数 “中心网关地址 2”。 中心网关设备名 用于设置 IPSec VPN 网关在安全管理中心中配置的设备名称。 4）如果勾选了“设备名：，则用户还需要指定网关所在的安全管理中心的 IP（例如： TopPolicy 安全设备与策略管理系统），如下图所示。 VRC 用户手册 服务热线： 8008105119 20 5）点击“安全管理中心”按钮，弹出如下图所示的对话框。 在此对话框中输入安全管理中心的 IP 地址或域名。 备份安全管理中心地址为可选项， 可以填写也可不填。 说明说明 ? 此处的安全管理中心和备份安全管理中心的 IP 地址或域名，可从安全管理中心管理员 处获得。 至此，常规选项设置完成。 4.2 设置认证方式设置认证方式 VPN 远程客户端有两种可选的认证方式： 用户名口令认证和 X509 证书认证， 下面 将分别介绍两种认证方式的设置方法。 VRC 用户手册 服务热线： 8008105119 21 提示提示 ? VPN 远程客户端的认证方式由管理员在网关或安全集中管理中心设置。当系统提示认 证类型不匹配时，请联络管理员获知认证方式。 4.2.1 用户名口令认证用户名口令认证 1）在“新建连接”对话框中选择“认证”选项卡设置认证参数，如下图所示。 2）在“验证我的身份为”下拉框中选择“用户名口令认证”。 这种认证方式无需设置其他参数，但要求 VPN 远程客户端用户为合法用户（即拥有 合法的用户名和密码）。关于用户的用户名和密码请联络管理员获知。 3）点击“确定”按钮，便完成了设置。在与 IPSec VPN 网关建立连接时，需要输入 用户名和密码，如下图所示。 VRC 用户手册 服务热线： 8008105119 22 4.2.2 X509 证书认证证书认证 1）选择“认证”选项卡，并在“验证我的身份为”下拉框中选择“X509 证书认证”， 如下图所示。 2）选择“X509 证书是否需要口令认证”项后，则表示在连接 IPSec VPN 网关时需要 输入此用户的口令。 提示提示 VRC 用户手册 服务热线： 8008105119 23 ? 如果该用户的认证方式为用户名口令证书的认证方式，则必须选择“X509 证书是 否需要口令认证” 。用户是否采用该种认证方式，请联络管理员获知。 3） 设置证书加载方式， 选择 “本地文件” 表示将从本地硬盘装载证书， 而 “USB KEY” 表示从 USB KEY 装载证书文件。 4）从本地加载证书。选择“本地文件”并单击“加载证书”按钮，弹出如下图所示 的对话框。 选择证书类型，并点击右侧的“ ”按钮选择证书路径。 如上图所示，证书分为以下几种类型： ? DER 编码二进制 X.509(.CER)：X509 的一种标准编码格式 ? Base64 编码二进制 X.509(.CER)：X509 的一种标准编码格式 ? tar 文件格式：天融信公司内部定义的一个证书打包格式（包括证书公钥和私钥) ? PKCS12 文件： 符合 PKCS12 标准的证书格式 （如果 PKCS12 格式的文件在导出 时设置了“文件密码”，则导入该证书时还需要输入相应文件密码） 证书加载成功后，会弹出如下图所示的提示信息。 VRC 用户手册 服务热线： 8008105119 24 5）从 USB 卡加载证书。选择“USB KEY”，并选定 USB KEY 的类型，如下图。 “USB KEY”分为以下几种类型，分别是： ? Rockey KEY：天融信公司提供的 USB KEY，通过私有接口读取 USB 卡中的证 书； ? Watch KEY：握奇公司生产的 USB KEY，通过握奇的私有接口读取 USB 卡中 的证书； ? Windows CSP STD： 支持Windows CSP标准接口的通用KEY， 通过Windows CSP 的标准接口读取 USB 卡中的证书。 ? EPASS3003 点击“证书信息”，弹出如下图的对话框。 VRC 用户手册 服务热线： 8008105119 25 用户需要输入 USB KEY 的密码来查看证书。USB KEY 的密码在发放证书时设置， 具体信息请联络管理员。 用户也可以自行修改 USB KEY 的密码。点击“修改口令”按钮，弹出修改密码对话 框，如下图。 点击“确定”完成 USB KEY 口令的修改。 返回到“认证”面板，再次单击“确定”按钮，完成此 VPN 连接的设置。 说明说明 ? 客户如果购买天融信公司提供的 USB KEY，驱动程序将随 USB KEY 一起发放。如果 购买其它公司的 USB KEY，请在使用前先安装驱动程序。 ? 使用 USB KEY 保存证书的用户，需妥善保存自己的 USB KEY。 ? 天融信公司提供的 USB KEY，类型为 Rockey KEY，出厂密码是“00000000” 。 6）双击新建的 VPN 连接，进入连接面板。 在“认证”面板，如果选择了“X509 证书是否需要口令认证”，连接面板如下图。 VRC 用户手册 服务热线： 8008105119 26 在“认证”面板，如果没有选择“X509 证书是否需要口令认证”，连接面板则如下 图所示。 4.3 连接连接 IPSec VPN 网关网关 不管选择了哪种认证方式，连接 IPSec VPN 网关时都只需双击连接的名称并在弹出 的连接面板上输入相关信息，然后单击“连接”按钮，将出现如下图所示的提示信息。 VRC 用户手册 服务热线： 8008105119 27 连接成功后会显示隧道信息，如下图所示。 至此，VPN 隧道的配置全部完成。 说明说明 ? 当隧道不能建立时， 用户首先检查网络连通性。 可以通过 ping 外网地址， 若显示 “Request time out” ，则表示网络不通。使用拨号上网的用户检查是否掉线，局域网用户检查能否 ping 通网关。 ? 当隧道建立成功，但不能访问目标服务器时，尝试 ping 服务器的地址，若不能需向中 心机房确认服务器是否在线。 ? 当隧道建立成功，但不能访问 Internet 或其他服务，需检查防火墙设置。 ? 建议用户在安装 VPN 远程客户端时关闭防火墙，等待安装结束后再启动。 ? 在建立隧道前， 请用户确认本地机器的 DHCP Client 服务已经启动 （可以通过 开始开始 所有程序所有程序 管理工具管理工具 服务服务 进行确认） 。 VRC 用户手册 服务热线：8008105119 28 5 管理管理 VPN 隧道隧道 VPN 远程客户端通过系统认证登录 IPSec VPN 网关后， 通过 VPN 远程客户端管理界 面，用户可以实时查看隧道状态，包括隧道连接状态、隧道与网关之间的流量等。还可以 对隧道进行管理：包括重新进行 IKE 协商、显示 IKE 协商进程、设定启动选项、启动/断 开 VPN 远程客户端连接等。 本章介绍对隧道的管理，包括如下内容： ? 显示隧道连接状态 ? 重新协商隧道密钥 ? 设置 VPN 远程客户端启动选项 ? 监控 IKE 协商状态 ? 显示隧道基本信息 ? 断开隧道连接 5.1 显示隧道连接状态显示隧道连接状态 如果隧道协商成功，并建立了隧道，则 VPN 远程客户端连接状态界面显示为下图。 VRC 用户手册 服务热线： 8008105119 29 其中状态显示隧道协商是否成功， 隧道持续时间表示隧道从连接成功到当时的时间间 隔。“活动”一栏下显示通过隧道的加密数据流量和错误的数据包。 5.2 重新协商隧道密钥重新协商隧道密钥 在“VPN 客户端属性”界面点击“重新协商”，弹出如下界面。 点击“确定”，可以重新进行一次 IPSec 的完全密钥协商。 5.3 设置设置 VPN 远程客户端启动选项远程客户端启动选项 在“VPN 客户端属性”界面点击“启动选项”可对 VPN 远程客户端启动时的属性进 行设置，弹出如下界面。 VRC 用户手册 服务热线： 8008105119 30 参数 说明 请选择默认的 VPN 连接 选择启动 VPN 远程客户端时默认启动哪个 VPN 连接， 可从已有的 VPN 连接中选择。 是否自动运行默认连接 如果此项被选，则 VPN 远程客户端启动时默认按照选定的 VPN 连接设置进行连接。 开机启动客户端 如果此项被选，则客户端程序将被加入 windows 启动中，开机自 动运行。 自动进行重新认证 如果此项被选，可在 VPN 远程客户端运行期间，对已经建立的隧 道会进行状态检测，如果出现网络中断等网络异常情况，VPN 远 程客户端程序会按照连接设置的属性自动向中心网关发出连接请 求，重新协商建立隧道。此项对于无人值守的情况比较适用。 判断网关地址失效 如果此项被选，则客户端自动判断网关是否在线。 记录客户端日志 如果此项被选，则客户端会记录日志到日志文件（即：将在 VRC 安装目录下的 VRC.log 中记录客户端日志）。 屏蔽休眠或待机 如果此项被选，则客户端会屏蔽 windows 的休眠和待机功能。 启用线路检测 选择是否启用线路检测功能。 说明： 若选中该项，则用户可以在“VPN 客户端属性”窗口的“常规” 选项卡中输入中心网关的第二地址或第二域名。 可运行程序 如果此项不为空， 则客户端在隧道建立成功后， 将自动运行用户所 选的程序。 程序参数 如果此项不为空， 则客户端在隧道建立成功后， 将按所填参数自动 运行用户所选的程序。 说明说明 ? 用户在选择自动运行默认连接后，可以将 VPN 远程客户端的快捷方式拖入到系统启动 栏中，实现开机启动 VPN 远程客户端。 5.4 监控监控 IKE 协商状态协商状态 IKE 协商的主要目的是执行身份认证，并在通讯双方间建立安全关联(SA)。 在“VPN 客户端属性”界面选择“显示 IKE 协商进程”则系统任务栏出现 VPNIKE 服务器图标，默认情况下，状态窗口会最小化至 Windows 右下角的托盘内(与计算机 时间显示在一起)。 说明说明 VRC 用户手册 服务热线： 8008105119 31 ? 选择“显示 IKE 协商进程”后，将会启动一个叫 pluto 的进程。pluto 进程主要包括完 成 IKE 协商和虚拟网卡的管理，建议用户不要随便操作 pluto，如果有问题时再查看。 对 IKE 协商状态的监控操作如下： 1）点击图标显示 IPSec 的 IKE 协商状况，显示界面如下图所示。IKE 服务器启 动参数只有在停止 IKE 服务器后才变为可编辑状态。界面下端的状态栏显示 IKE 协商进 程的运行状况和正在进行的工作。 2）点击“停止 IKE 服务器”，则在后台运行的 IKE 协商进程将终止运行。 如果当前 IKE 服务已停止，则点击“启动 IKE 服务”可以重新运行 IKE 协商进程。 在 IKE 服务停止时 IKE 服务器参数为可编辑状态，参数说明如下表。 参数 说明 IKE 端口 IKE 端口是 IKE 协商的初始端口，缺省为 500 漂移端口 漂移端口是 IKE 进行 NAT 穿越后的协商端口 VRC 用户手册 服务热线： 8008105119 32 参数 说明 支持 NAT 穿越 选择该 IKE 服务器是否支持 NAT 穿越功能 KeepAlive 时间间隔 （秒） 设备发送 Keep Alive 包的时间间隔。定时发送 Keep Alive 数据包， 可以保证此连接一直处于活动状态。 3）点击“日志副本设置”可以设置日志文件的大小以及副本数量，如下图所示。 4）点击“清空日志”，清空文本框中的日志信息。 5）点击“启动日志”或“停止日志”，则启动或停止记录 IKE 协商日志。 6）点击“查看当前状态”，界面的文本框中显示隧道当前的连接状态。如下图所示。 VRC 用户手册 服务热线： 8008105119 33 7）点击“停止服务并退出”，将停止 IKE 协商进程并关闭“显示 IKE 协商进程”窗 口。 8）选择“log all”，则记录与显示所有的协商和通信的信息。 5.5 显示隧道基本信息显示隧道基本信息 在“VPN 客户端属性”界面中“支持”选项卡主要用于显示隧道的一些基本信息， 包括 VPN 远程客户端本地的 IP 地址，安全管理中心（或者网关）为 VPN 远程客户端分 配的虚拟网卡的地址和中心网关的地址，如下图所示。 VRC 用户手册 服务热线： 8008105119 34 点击“详细信息”可显示当前 VPN 远程客户端虚拟网卡地址是否启用了 DHCP 服务 或 WINS 服务，以及服务器的地址。如下图所示。 点击“访问控制”显示用户所能访问的所有的内部子网或主机。“目的 IP”与“目 的掩码”定义了该用户所能访问的网段。 “协议”与“端口”定义了用户所能使用的端口。 如显示“端口未定义”则表示对端口不进行控制。 用户所能访问的资源在安全管理中心（或者网关）处设置，详细情况请联络管理员。 VRC 用户手册 服务热线： 8008105119 35 5.6 断开隧道连接断开隧道连接 在 VPN 远程客户端属性界面中的点击“断开”，则 VPN 远程客户端程序将退出并断 开与 VPN 网络的连接。 点击“关闭”按钮，程序将最小化至系统任务栏，图标为。 VRC 用户手册 服务热线：8008105119 36 6 快速使用配置实例快速使用配置实例 在移动用户成功的安装了 VPN 远程客户端软件后，需要与中心网关建立连接，本章 分别以“用户名口令”认证和证书认证方式为例，举例说明如何快速建立 VPN 远程客 户端与网关的连接。 6.1 用户名口令认证方式用户名口令认证方式 例 1：安全管理中心已创建了移动用户，用户名为 user1，密码为 123456，该安全管 理中心，也就是安全策略服务器所在主机的 ip 地址为 192.168.100.143，在管理中心管理 着两台 IPSec VPN 网关设备，设备名分别为 140.rootlye.vpn 和 141.rootlye.vpn，设备的 IP 地址为 192.168.100.140 和 192.168.100.141，管理中心为移动用户所在的用户组设置了访 问这两台网关的权限，并分别为网关定义了可访问的服务和网段。 移动用户 user1 接入网关的步骤如下： 1）选择 程序程序 VPN 客户端客户端 VPN 客户端客户端 或者双击桌面的 VPN 远程客户端快捷 图标，弹出“VPN 客户端连接管理”对话框，如下图所示。 VRC 用户手册 服务热线： 8008105119 37 2）双击“新建 VPN 连接”图标，在弹出的“新建连接”对话框中输入连接名和中心 网关地址。此处定义连接名为“连接 1”，用户要连接的中心网关的 ip 为 192.168.100.141. 如下图所示。 3）用户也可以选择以域名或设备名的方式设置中心网关的地址。 在本例中，选择“设备名”，在中心网关地址中输入网关设备名“141.rootlye.vpn”， 此时必须设置安全管理中心的地址，也就是安全策略服务器的主机 IP。点击”安全管理 中心“按钮，管理中心的地址为 192.168.100.143，如下图。 4）点击“认证”选项卡，选择以“用户名口令”方式认证，如下图所示， VRC 用户手册 服务热线： 8008105119 38 5）点击“确定”，则“连接 1”图标出现在连接管理界面中。 6）双击“连接 1”图标，在弹出的“VPN 客户端”连接对话框中输入用户名“user1” 和口令“123456”，如下图所示。可以选择“记住用户名和口令”，但是在认证成功以后 才会保存该用户名和口令。 VRC 用户手册 服务热线： 8008105119 39 7）点击“连接”按钮，系统出现连接提示信息，当出现如下界面时，表明连接成功， 可以在此界面中查看连接信息。 6.2 证书认证方式证书认证方式 例 2：安全管理中心创建了移动用户 user2，该用户采用证书认证方式，管理中心已 经为其发放了证书，证书采用压缩文件格式，文件名为 user2.tar，安全管理中心，也就是 VRC 用户手册 服务热线： 8008105119 40 安全策略服务器所在主机的 IP 地址为 192.168.100.143，管理两台 IPSec VPN 网关设备， 设备名分别为 140.rootlye.vpn 和 141.rootlye.vpn，设备的 IP 地址为 192.168.100.140 和 192.168.100.141， 管理中心为移动用户 user2 所在的用户组设置了访问这两台网关的权限， 并分别为网关定义了可访问的服务和网段。 移动用户 user2 接入网关的步骤如下： 1） 选择 程序程序 VPN 客户端客户端 VPN 客户端客户端或者双击桌面的 VPN 远程客户端快捷图 标，弹出“VPN 客户端连接管理”对话框，如下图所示。 2）双击“新建 VPN 连接”图标，在弹出的“新建连接”对话框中输入连接名和中心 网关地址。 此处定义连接名为 “连接 2” ， 用户要连接的中心网关的 IP 为 192.168.100.141. 如下图所示。 VRC 用户手册 服务热线： 8008105119 41 3）用户也可以选择以域名或设备名的方式设置中心网关的地址。 选择“设备名”，在中心网关地址中输入网关设备名“141.rootlye.vpn”，此时必须 设置安全管理中心的地址， 点击 “安全管理中心” 按钮， 管理中心的地址为 192.168.100.143， 如下图。 4）点击“认证”选项卡，选择以“X509 证书认证”方式认证，不需要进行口令认证， 并选择本地加载证书，如下图所示， VRC 用户手册 服务热线： 8008105119 42 5）点击“加载证书”按钮，在“导入证书”对话框中选择以压缩文件格式导入证书。 6）点击“.” 按钮，在本地找到证书文件 user2.tar 所在的路径，选择文件打开，如 下图。 VRC 用户手册 服务热线： 8008105119 43 7）加载完成后，点击“确定”，系统提示“证书加载成功”。点击“确定”，则“连 接 2”图标出现在连接管理界面中。 8）双击“连接 2”图标，弹出的“VPN 客户端”连接对话框。 VRC 用户手册 服务热线： 8008105119 44 9）点击“连接”按钮，系统出现连接提示信息，当出现如下界面时，表明连接成功， 可以在此界面中查看连接信息。 VRC 用户手册 服务热线：8008105119 45 附录附录 A 常