NetshareVPN安全网关系列用户手册.doc

NetshareVPN安全网关系列用户手册(适用于NS-DV3100 NS-DV3300S NS-DV3500S NS-V1300S NS-V1200)成都瑞科电子网络设备科技有限公司版权声明版权所有2007-2009，成都瑞科电子网络设备科技有限公司，保留所有权利。使用本产品，表明您已经阅读并接受了 EULA 中的相关条款。如有变更，恕不另行通知。遵守所生效的版权法是用户的责任。成都瑞科电子网络设备科技有限公司明确书面许可的情况下，不得对本文档的任何部分进行复制、将其保存于或引进检索系统；不得以任何形式或任何方式（电子、机械、影印、录制或其他可能的方式）进行商品传播或用于任何商业、赢利目的。成都瑞科电子网络设备科技有限公司拥有本文档所涉及主题的专利、专利申请、商标、商标申请、版权及其他知识产权。在瑞科电子科技公司明确书面许可的情况下，使用本文档 资料并不表示您有使用有关专利、商标、版权或其他知识产权的特许。产品特征支持多种ISP接入、基于目的地址的策略模式支持双 WAN 口流量负载均衡以及线路冗余备份WEB 界面实时监控、管理局域网内的流量和用户IP地址和MAC地址绑定功能灵活的带宽管理功能防止 DoS/DDoS 攻击站点、状态包和 URL 过滤强大完善的 DHCP（Server&Client&Relay）功能局域网主机连接数排行功能支持 UPnP支持基于端口的VLAN 支持端口镜像支持VPN服务端/客户端支持QOS流量控制主要特点1.安全特性支持 IP 地址和 MAC 地址绑定，防止地址盗用。实时监控：显示局域网内的用户流量及连接数排行，及时发现网络异常以及异常用户。防火墙保护：可监控来自 Internet 的包，过滤对局域网内服务器的非法请求，过滤黑客软件对局域网 IP 地址和端口的扫描，以防止外来的恶意攻击，防止 DoS/DDoS 攻击，支持站点、关键字和 URL 过滤。 访问控制：管理员可以限制局域网中的某些用户对 Internet 或者是 Internet 某些服 务的访问。设置管理员口令:可以防止未被授权的用户修改NETSHARE的配置。备份配置文件，可以防止配置的意外丢失。2. 带宽管理支持带宽共享。支持对主机、网段做带宽控制，抑制 BT 等 P2P 软件对带宽的大量占用。3. 配置和管理图形化的基于 Web 配置界面，方便管理和配置。快速安装向导：使用快速安装向导可以非常简单快速的实现和 Internet 的连接。远程管理：在局域网或者广域网上的任何一台计算机上均可实现对路由的远程管理。4. Internet 高级特性虚拟服务器（DMZ 主机）：支持配置多台 DMZ 主机，DMZ 主机将完全暴露在Internet 上，方便远程用户访问。NAT 静态映射：支持用户自定义多条 NAT 静态映射，方便远程用户访问内部服务器的指定服务端口。DDNS：支持动态域名（DDNS）服务。5. 广域网端口（WAN）广域网端口（WAN）：集成了 10/100Mbps 自适应端口（MDI/MDI-X 自适应）。共享 Internet 访问，支持多种ISP接入、基于目的地址的策略模式，支持双WAN口流量负载均衡以及线路冗余备份，所有的局域网用户可以通过 NAT（Network Address Translation） 共享一条 Internet 线路上网。支持 DSL 或者 Cable Modem：NETSTAR 系列产品通过了和市场上众多厂商的 DSL Modem 和 Cable Modem 的兼容性测试。支持 PPPoE：支持使用 PPPoE（PPP over Ethernet）协议和 ISP 连接。支持固定&动态 IP 地址：支持在使用以太网接入（FTTX+LAN）时，使用固定的和动态的 IP 地址。DMZ/WAN2 端口：集成了 10/100Mbps 自适应端口（MDI/MDI-X 自适应）；支持独立的 DMZ 网段；和 WAN 口配合，支持双 WAN 口流量负载均衡以及线路冗余备份。6. 局域网端口（LAN）多端口交换机：集成了多端口 10/100Mbps 自适应交换机（MDI/MDI-X 自适应）。 支持 DHCP Server：Dynamic Host Configuration Protocol（动态主机分配协议）可给局域网中的计算机动态分配 IP 地址以及网关、DNS Server 等信息。可以为局域网提供 DHCP Server 的服务。基于端口的 VLAN：一个 VLAN 组成一个逻辑子网，即一个逻辑广播域。同一个VLAN 中的成员共享广播，可相互通信；不同的 VLAN 之间实现物理隔离。端口镜像：LAN 口的端口 1 为镜像端口，可将其他端口的流量自动复制到镜口，实时提供各端口的传输状况的详细资料，以便网络管理人员进行流量监控、 性能分析和故障诊断。7 VPN功能NetShare VPN产品支持国际标准协议IPSec PPTP SSL 服务器/用户端及PPTP服务器联机功能，支持DES(56Bit)/3DES(168bit)/AES加解密方式 兼容性好，可以各大厂VPN设备互通。规格符合 IEEE802.3Ethernet 以及 IEEE802.3u Fast Ethernet 标准。支持 TCP/IP、PPPoE、DHCP、ICMP、NAT、静态路由、RIPI/II、SNMP（MIB II） 等协议。端口支持自动协商功能，自动调整传输方式和传输速度。端口支持 MDI/MDI-X 正反线自提供状态指示灯。工作环境：温度：0-40 高度：0-4000m相对湿度：10-90%, 不结露VPN快速配置为了方便用户管理，我们的NS-DV3000系列VPN集成了WEB管理功能，通过这些我们可以简单的实现各种管理功能方便了我们的使用。用户通过以上正常的配置硬件之后，就可以通过PC对路由器进行配置了。通过和本路由器连接的一台PC，经过以下配置之后，轻松进行WEB管理了。PPTP协议VPN的配置流程配置PCNS-DV3100 NS-DV3300 NS-DV3500 NS-V1200系列VPN路由器的缺省配置是Ip: 用户名:admin 密码：admin再进入路由器WEB配置系统前，首先我们需要设置我们的PC如下设置TCP/IP协议属性：登录路由器进行设置正确连接PC和路由器的连接线后，在PC的地址栏输入 出现以下界面输入默认用户名和密码这样我们就可以进入路由器WEB管理系统进行设置了。详细设置信息，考后续的配置详解。VPN配置详解系统登录瑞科高性能VPN路由器提供本地及远程WEB管理。在Internet浏览器中登录路由器配置界面登录提示页面显示如下图，VPN出厂的管理用户名和密码均为admin，默认网关 。正确登录系统之后，看到的界面，如下图所示（因型号不同，可能会有细微差别）。第一步：先设置设备ADSL帐号 和密码先让设备能够上网。图1图2注意：填完宽带账号和密码后，一定要重启ADSL猫和VPN设备系统状态系统状态 在本配置页面中，您可以查看系统当前接口相应信息。包括LAN口状态,WAN1口状态,WAN2口状态.1、 LAN口状态，如图所示：图3第二步VPN的设置：在本配置页面中可以建立虚拟私有网络安全通道。DDNS设置：在本配置页面中，（如图4，图5）您可以配置动态域名客户端参数，启用动态域名功能。（备注：申请域名可以直接点击图后面的申请域名，也可以直接输入直接申请,申请方法如下： 进入网站后 点击左上角新用户注册注册好以后进入你的所填写的邮箱 点击邮箱里面的连接地址激活一下然激活后再到申请的网站上去登陆一下你刚才申请的账号就会出现这个界面然后点击立即创建爱你您的动态域名主机名由自己定义 其他不用填 然后点击“确定”（一个账号最多可增加5个动态域名）然后进入设备 点击高级设置DDNS设置 图4 图51、 动态域名功能：实现固定域名到动态IP地址之间的解析。用户每次得到新的IP地址之后，安装在用户计算机里的动态域名软件就会把这个IP地址发送到动态域名解析服务器，更新域名解析数据库。Internet上的其他人要访问这个域名的时候，动态域名解析服务器会返回正确的IP地址给他。2、 服务状态：动态域名功能启禁用状态。3、 域：提供动态域名服务商所使用的域。如：3322.org；4、 主机名：注册动态域名时的主机名。5、 用户名：注册动态域名时所用的用户名；6、 密码：注册动态域名时的口令。第三步VPN用户名和密码的设置（如图6）图6客户IP分配范围：即VPN服务端给客户端分配的IP地址，用于远程访问共享。提示：客户IP范围最好不要与本地或远端本地地址相同。建议在指定IP的时候最好指定在200以上，避免跟内网有冲突。系统工具：在本配置页面中，您可以修改WEB管理系统的管理密码提示：(1) 在本配置页面中，配置修改并保存后立即生效。 (2) 凡带有 “*” 标识的项是必须填写的。密码修改：在本配置页面中，您可以修改WEB管理系统的管理密码。老密码：老的登陆密码。新密码：新的登陆密码。确认密码：确认新的登陆密码，必须与新密码值一致。分布VPN拨号连到总部的配置方法：第四步：PC 配置为客户端配置方法：接下来我们将向你介绍把 PC 配置为 VPN 客户端步骤。 鼠标右键网上邻居，选择属性，点击新建连接向导，按图 1 至图 8 的步骤建立连接，图 7 中的 IP 地址 VPN 服务端地址（域名），图 10中的用户 222就是服务端分配的用户。连接前我们还需要去掉安全，在远程网络上使用默认网关的勾去掉。如图 9。出现图 11 的连接图标表示连 接成功。这样就可以进行远程连接了。图 1图 2图 3图4图 5图6图 7图8图9双击点高级-使用远程默认网关前选项去掉-点确定-确定-确定。图10图11SSL协议VPN的配置流程连接VNP能上网配置PCNS-DV3300S NS-DV3500S NS-V1300S系列VPN路由器的缺省配置是Ip: 用户名:admin 密码：admin1.ADSL出线接在猫上，猫接跟线在VPN的WAN口上，VPN的LAN口接在电脑上。再进入路由器WEB配置系统前，首先我们需要设置我们的PC如下设置TCP/IP协议属性：登录路由器进行设置正确连接PC和路由器的连接线后，在PC的地址栏输入 出现以下界面输入默认用户名和密码这样我们就可以进入路由器WEB管理系统进行设置了。详细设置信息，考后续的配置详解。VPN配置详解系统登录瑞科高性能VPN路由器提供本地及远程WEB管理。在Internet浏览器中登录路由器配置界面登录提示页面显示如下图，VPN出厂的管理用户名和密码均为admin，默认网关 。正确登录系统之后，看到的界面，如下图所示（因型号不同，可能会有细微差别）。第一步：先设置设备ADSL帐号 和密码先让设备能够上网。系统状态系统状态 在本配置页面中，您可以查看系统当前接口相应信息。包括LAN口状态,WAN1口状态,WAN2口状态.1、 LAN口状态，如图所示：图1图2第二步申请3322的域名申请3322的域名在本配置页面中可以建立虚拟私有网络安全通道。DDNS设置：固定IP用户可直接跳过这一步ADSL用户因为是动态获取IP。所以为了方便客户端和服务端连接时不用每次都去输入服务端IP， 我们需要去申请一个动态域名。如 具体申请方法如下 进入网站后 点击左上角用户注册 注册好以后进入你的所填写的邮箱 点击邮箱里面的连接地址激活一下然激活后再到申请的网站上去登陆一下你刚才申请的账号就会出现这个界面然后点击立即创建爱你您的动态域名主机名由自己定义 其他不用填 然后点击“确定”（一个账号最多可增加5个动态域名）然后进入设备 点击高级设置DDNS设置 图3图41、 动态域名功能：实现固定域名到动态IP地址之间的解析。用户每次得到新的IP地址之后，安装在用户计算机里的动态域名软件就会把这个IP地址发送到动态域名解析服务器，更新域名解析数据库。Internet上的其他人要访问这个域名的时候，动态域名解析服务器会返回正确的IP地址给他。2、 服务状态：动态域名功能启禁用状态。3、 域：提供动态域名服务商所使用的域。如：3322.org；4、 主机名：注册动态域名时的主机名。5、 用户名：注册动态域名时所用的用户名；6、 密码：注册动态域名时的口令。第三步VPN设置1. 选择SSL服务器，用户名密码随便设置,IP地址从2开始就行了，如图你有几个分部就创建几个用户，用户名跟IP不能相同，密码可以一样服务器就配置完成了客户端的安装（客户端软件是我们跟你做）SSL VPN客户端的安装1.双击打开“SSL VPN客户端”如：图一图（1）2.点击“下一步”就会弹出如：图二图（2）3.点击“我接受”就会弹出如：图三图（3）4.点击“下一步”就会弹出如：图四图（4）5.点击“安装”如：图五图（5）6.点击“下一步”如：图六图（6）点击完成7. 安装完成后“网络连接”就会多出一张网卡出来如：图七图（7）8.安装完成后桌面上就会多出一个“SSLVP客户端”的快捷方式和“设置密码”的电子文档SSLVPN客户端 电子文档双击打开电子文档如：图八图（8）上面的222是你要输入的账号下面的222是你要输入的密码把自带的222删掉改成你在VPN设备下VPN服务器里面设置的账号 例如：图九图（9）然后在保存 关闭这时双击电脑右下角黄色表示正在连接绿色表示连接成功了这时你看你的网络连接另外一张网卡如：图十图（10）注意：在客户端安装SSL客户端软件时，安装如果提示“应用程序错误”时，需安装一个光盘里面的补丁（错误图）SSL客户端的修改方法1. 先安装好SSL客户端软件。安装步骤如下：1.双击打开“SSL VPN客户端”如：图一图（1）2.点击“下一步”就会弹出如：图二图（2）3.点击“我接受”就会弹出如：图三图（3）4.点击“下一步”就会弹出如：图四图（4）5.点击“安装”如：图五图（5）（如果在这里安装时有提示“仍然继续”和“停止安装”，一定要选择仍然继续，不能选停止安装）6.点击“下一步”如：图六图（6）点击完成二安装好SSL客户端软件后，电脑的右下角就会多出一个红色的小电脑“”。修改SSL客户端就是：右键红色小电脑选择“编辑配置文件”。如图八图点击编辑配置文件后就会弹出一个“client.ovpn 记事本”把这两个域名改成你现在VPN设备的域名，上面的那个改成设备自带的域名（如：），下面那个3322改成你申请的域名(如：)，只改域名，其它的都不动然后保存、关闭。修改SSL客户端就大功告成！总部分部都挂VPN硬件设备（PPTP协议的VPN配置）1.总部VPN的配置：设备到设备 选择设备到设备选项 分配客户端用户名密码和设备到拨号相同远端网络IP段即填客户端IP段 但不能同服务端IP处于同一段如这里服务端IP段为192.168.0.x 客户端电脑的IP段就不能是192.168.0网段 只能分配如 等 并且请注意每个客户端IP段都不能相同 如上图 就是分配给三个客户端的设置客户端设置：在客户端进入设备 点击VPN设置 VPN客户端主服务地址则填服务端的动态域名（如），备服务器地址则填服务端你自己申请的3322的域名（如，如果是固定IP用户则输入运营商提供的IP地址。 用户名密码则输入服务端分配的用户名和密码 比如我这个局域网是网段的 那么用户名对应的就