DCME-320新UI快速配置手册

客服热线客服热线 400 810 9119 1 40 DCME 320 新 UI 快速配置手册 客服中心技术团队 2013 8 客服热线客服热线 400 810 9119 2 40 目 录 1 产品介绍 4 2 快速设置上网 4 2 1 如何硬件连接 4 2 2 如何准备用于配置 DCME 320 的 PC 5 2 3 如何登录 DCME 320 5 2 4 如何配置上网 6 2 4 1 步骤一 设置 WAN 口模式 6 2 5 如何恢复出厂设置 7 3 端口映射 7 3 1 端口映射 7 3 1 1 建立地址簿 8 3 1 2 建立高级目的 NAT 条目 9 3 1 3 策略自动生成 10 3 1 4 建立源 NAT 条目 10 4 IPSec 配置 LAN to LAN 11 4 1 应用环境 11 4 2 总部 DCME 320 设置 12 4 2 1 建立 IPSEC 模版 12 4 2 2 建立动态 VPN 13 4 2 3 建立 IPSec 策略 14 4 3 分部 DCR 路由器设置 15 4 4 DCME 320 查看 VPN 状态 16 5 L2TP LNS 设定 17 5 1 应用环境介绍 17 5 2 L2TP 服务器配置 18 5 3 L2TP 用户管理 18 5 4 拨入用户查看 19 5 5 Win 7 系统 L2TP client 设置 19 6 限速设定 21 6 1 端口带宽控制 21 6 2 IP QoS 22 6 3 应用 QoS 23 7 SSL VPN 配置 24 7 1 应用环境 24 7 2 创建 SSL VPN 登录用户 25 7 3 SSL VPN 服务器端配置 25 7 3 1 创建 SSL VPN 实例 25 7 3 2 定义资源配置 26 7 3 3 将用户与资源关联 27 7 3 4 定义客户端下载配置 28 客服热线客服热线 400 810 9119 3 40 7 3 5 SSL VPN 在线用户 29 7 3 6 SSLVPN 客户端下载方式 29 7 4 SSL VPN 客户端配置 29 8 WEB 认证配置 30 8 1 应用环境 30 8 1 1 开启 WEB 认证功能 31 8 1 2 创建 WEB 认证登录用户 31 8 1 3 创建配置策略 32 8 1 4 配置验证 33 9 会话限制 34 9 1 应用环境 34 9 2 会话限制配置 35 10 URL 过滤配置 36 10 1 应用环境 36 10 2 URL 过滤配置 36 10 2 1 创建 http profile 启用 URL 过滤功能 36 10 2 2 设置 URL 过滤规则 37 10 2 3 在策略中引用 profile 37 11 DCME320 配置文件管理 38 11 1 应用环境 38 11 2 将当前配置保存在本地或 PC 38 11 3 将本地配置上传到 DCME320 并调用该配置 39 12 DCME320 软件版本升级 40 12 1 应用环境 40 12 2 将软件从本地上传到 DCME320 40 客服热线客服热线 400 810 9119 4 40 1 1 产品介绍 DCME 320 多核出口网关采用 MIPS 64 位多核高性能处理器 结合专用 ASIC 交换 芯片 针对多用户数 多流量 多业务种类的业务需求而推出的新一代高性能互联网出口 网关 建议并发带机数量 300 端口组成 8GE 电口 2GE Combo 2 USB2 0 1 RJ 45 Console 口 1 Reset 键 支持接入方式 静态 IP 动态 IP DHCP 获取 PPPoE 2 2 快速设置上网 2 1 如何硬件连接 G1 G2 G3 G4 G5 G6 G7 G8 HG2HG1 Console G1 G2 G3 G4 G5 G6 USB1 USB2 G7 G8 HG1 HG2Reset Power Run DCN DCME 320 首先使用网线连接设备 G1 口至本地管理计算机 连接电源线 220V 客服热线客服热线 400 810 9119 5 40 2 2 如何准备用于配置 DCME 320 的 PC 根据上图所示 选择使用如下 IP 地址 做如下配置 IP 地址 192 168 0 10 或 192 168 0 X 子网内的任意地址 192 168 0 1 除外 子网掩码 255 255 255 0 默认网关 192 168 0 1 2 3 如何登录 DCME 320 打开 PC 浏览器窗口 输入 http 192 168 0 1 并按回车 当出现 DCN 网络管理登录 页面 输入如下参数 用户名 admin 密 码 admin 验证码 1728 每次登录验证码都会改变需要根据实际情况修改 点击 登录 进入 DCME 320WEB 管理界面 客服热线客服热线 400 810 9119 6 40 2 4 如何配置上网 选择 快速向导 进入快速配置 两步轻松搞定上网 2 4 1 2 4 1 步骤一 设置 WANWAN 口模式 根据外线数量选择 单外网口 双外网口 选择连接外线的接口 HG1 HG2 G1 G8 注意 HG1 和 HG2 为高安全端口拥有多 种硬件防护功能从容应对各种复杂外网环境 建议外网接口选用 HG 端口 线路类型 1 如果是 ADSL 接入请选择 PPPoE 获取地址 填入对应的 用户名 密码 上 客服热线客服热线 400 810 9119 7 40 行带宽 下行带宽 2 如果是固定 IP 接入请选择 静态地址 填入对应的 IP 掩码长度 缺省网关 首选 DNS 服务器 备选 DNS 服务器 上行带宽 下行带宽 步骤二 配置 LAN 口模式 根据内网需要要划分网段数量选择 单内网口 双内网口 选择用于连接内网设备的接口 G1 G8 填入对应的 IP 掩码长度 内网用户是否需要自动获取 IP 如果需要请启用 DHCP Server 并填入 起始 IP 地址 结束 IP 地址 首选 DNS 服务器 备用 DNS 服务器 设置完上述两步点击 下一步 完成 即可实现快速上网功能 2 5 如何恢复出厂设置 DCME 320 恢复出厂设置可以分为 reset 键恢复和 WEB 界面恢复两种方式 如果是 reset 键恢复出厂设置 可以使用细的小圆棒按住 reset 键 15s 左右即可 如果是 WEB 界 面方式恢复进入 系统管理 基础选项 配置文件管理 如下图所示选择出厂配 置后面的应用按钮即可完成出厂配置的恢复 WEB 界面下恢复无需重启 3 3 端口映射 3 1 端口映射 某客户内网有一台服务器地址为 192 168 1 214 需要将此服务器的 TCP 33389 端口 映射到外网地址 218 240 143 219 的 TCP 33389 端口 客服热线客服热线 400 810 9119 8 40 3 1 1 3 1 1 建立地址簿 进入 基础网络 NAT 选项 端口映射 新建端口映射 如下图所示 完成后点击 多个 按钮 如下图所示 地址类型 IP 成员 IP 成员 192 168 1 214 根据实际情况自行定义 完成后点击 添加 然后 确定 即可 另外还要建立一个正对外网接口 IP 的地址簿 IP 成员为 218 240 143 219 客服热线客服热线 400 810 9119 9 40 3 1 2 3 1 2 建立高级目的 NATNAT 条目 进入 基础网络 NAT 选项 端口映射 新建 高级配置 如下图所示 源地址 地址簿 地址簿 any 目的地址 IP 地址 IP 地址 218 240 143 219 应用 HTTP 行为 NAT NAT 地址 IP 地址 地址簿 192 168 1 214 NAT 端口 启用 端口 80 模式 端口映射 完成后点击 确认 即可 客服热线客服热线 400 810 9119 10 40 3 1 3 3 1 3 策略自动生成 进入 网络安全 安全策略 如下图所示 源安全域 WAN 源地址 Any 目的安全域 LAN 目的地址 192 168 1 214 32 行为 允许 3 1 4 3 1 4 建立源 NATNAT 条目 进入 基础网络 NAT 选项 NAT 新建基本配置 如下图所示 源地址 Any 出接口 HG1 行为 NAT 出接口 IP 完成后点击 确认 即可 客服热线客服热线 400 810 9119 11 40 4 4 IPSecIPSec 配置 LAN to LANLAN to LAN 4 1 应用环境 总部使用我司的 DCME 320 作为出口 分部使用其他型号的 DCR 路由器 总部内网 使用 10 1 1 0 24 网段 分部使用 172 168 50 0 24 网段 总部出口公网地址为 1 1 1 2 24 分部公网 IP 为 1 1 1 1 24 用户想要总部和分部之间的内网能够相互访问 客服热线客服热线 400 810 9119 12 40 4 2 总部 DCME 320 设置 4 2 1 4 2 1 建立 IPSECIPSEC 模版 进入 VPN IPSec VPN VPN 模版 点击 新建 按钮新建模版如下图所示 模版名称 IPSec 可以自行定义 协商模式 main 一般我们都选用主模式建立 LAN to LAN IPSec IKE VERSION 1 P1 第一阶段协商参数 认证算法 pre shared key 预共享秘钥 加密算法 des 可选 des 3des aes128 aes192 aes256 IPsec 两端必须一 致 验证算法 md5 可选 sha1 md5 IPSec 两端设备必须一致 DH 组 1 可选 1 2 5 IPSec 两端必须一致 生存时间 300 自己定义但 IPSec 两端必须一致 P2 第二阶段协商参数 加密算法 des 可选 des 3des aes128 aes192 aes256 IPSec 两端必须一 致 验证算法 hamc md5 可选 hmac sha1 hmac md5 IPSec 两端必须一致 PFS 功能 1 可选 1 2 5 IPSec 两端必须一致 P2 SA 生命周期 300 自行定义但 IPSec 两端配置必须一致 完成后点击 确认 即可 客服热线客服热线 400 810 9119 13 40 4 2 2 4 2 2 建立动态 VPNVPN 如果使用 IKE 自动协商方式就选择 动态 VPN 如果需要手工协商就选择 静态 VPN 一般情况下我们优先选用 IKE 自动协商方式配置简单易于维护 进入 VPN IPSec VPN 动态 VPN 点击 新建 按钮如下图所示 隧道名称 ipsec 自行定义名称 模版 ipsec 需要调用的 IPSec 模版名称 本端 IP 地址 1 1 1 2 本地外网口的 IP 地址 对端地址类型 静态 IP 如果有多个站点接入直接写动态 IP 那就表明本端被动协 商 对端 IP 地址 1 1 1 1 对端设备的外网口地址 客服热线客服热线 400 810 9119 14 40 预共享密钥 12345 自行定义 IPSec 两端一直即可 完成后点击 确认 按钮即可 4 2 3 4 2 3 建立 IPSecIPSec 策略 进入 VPN IPSec 策略 点击 新建 按钮 策略名称 ipsec 自行定义 匹配规则 协议 any 本地地址 172 168 50 0 24 对端地址 10 1 1 0 24 客服热线客服热线 400 810 9119 15 40 VPN 名称 ipsec 模式 tunnel 行为 esp 可选 esp ah IPSec 两端必须一致 优先级 1 完成后点击 确认 按钮即可 4 3 分部 DCR 路由器设置 crypto isakmp key 0 12345 address 1 1 1 2 255 255 255 255 crypto isakmp policy 1 authentication pre share hash md5 lifetime 300 crypto ipsec transform set ipsec esp des esp md5 hmac 客服热线客服热线 400 810 9119 16 40 crypto map ipsec 0 ipsec isakmp match address ipsec set peer 1 1 1 2 set pfs group1 set security association lifetime seconds 300 set transform set ipsec interface Loopback0 ip address 10 1 1 1 255 255 255 0 no ip directed broadcast ip http firewalltype 0 interface FastEthernet0 0 ip address 1 1 1 1 255 255 255 0 crypto map ipsec ip route default 1 1 1 2 ip access list extended ipsec permit ip 10 1 1 1 255 255 255 0 172 168 50 1 255 255 255 0 4 4 DCME 320 查看 VPN 状态 进入 VPN VPN 监控 点击 SAD 可以查看当前 IPSEC 是否建立成功如果 建立在 SAD 可以看到如下信息 下图表示 SA 建立 IPSEC VPN 已经建立成功 客服热线客服热线 400 810 9119 17 40 5 5 L2TPL2TP LNSLNS 设定 DCME 320 目前阶段只能提供 L2TP LNS 的服务 暂不支持 L2TP LAC 的功能 5 1 应用环境介绍 用户使用我司的 DCME 320 作为出口设备 现在需要让出差人员能够随时随地访问 到公司的内部资源 考虑使用 DCME 320 的 L2TP 服务来实现这一需求 DCME 320 外 网口地址 172 168 50 1 让出差人员分配得到 172 168 60 0 24 段的地址访问内部网络 客服热线客服热线 400 810 9119 18 40 5 2 L2TP 服务器配置 进入 VPN L2TP VPN 点击 L2TP 服务 按钮 如下图所示 绑定 IP 172 16 50 1 提供给外网用户的公网 IP 一般为设备外网口 IP DNS 10 1 120 241 L2TP 用户获取地址后 使用的 DNS 服务器 加密方式 any 可选 any pap chap any 表示 pap chap 都可使用 本地地址 172 168 60 1 本地的 L2TP 服务器的地址 根据实际情况定义 地址池 172 168 60 2 172 168 60 30 可以分配给 L2TP 用户的 IP 地址 自行 定义地址范围不能小于 16 完成后点击 确认 即可 客服热线客服热线 400 810 9119 19 40 5 3 L2TP 用户管理 进入 VPN L2TP VPN 点击 用户管理 按钮如下图所示 用户名 dcn123 根据实际情况自行定义 密码 dcn123 根据实际情况自行定义 确认密码 dcn123 根据实际情况自行定义 必须和密码一致 完成后点击 添加用户 按钮即可完成用户添加 注意 如果删除某个用户可以在 用户列表 里面找到该用户 点击后面的删除按钮即可 5 4 拨入用户查看 进入 VPN L2TP VPN 点击 拨入列表 即可查看成功拨入的用户情况 可以查看如下信息 用户名 分配 IP 拨入 IP 拨入时间 5 5 Win 7 系统 L2TP client 设置 进入 控制面板 网络和 Internet 网络和共享中心 选择 设置新的连接或网 络 连接到工作区 后创建新连接 选择 使用我的 Internet 连接 VPN I 如下 图所示 客服热线客服热线 400 810 9119 20 40 Internet 地址 172 168 50 1 L2TP 服务器里面配置的绑定的公网 IP 目标名称 VPN 连接 根据实际情况自定义 完成后点击 下一步 输入用户名密码 如下图所示 完成后点击连接 后选择 跳过按钮 在桌面右下角的图标 选择新建的 VPN 连 接将 安全 选项中 VPN 类型修改为 使用 IPSec 的第 2 层隧道协议 L2TP IPSec 将 数据加密 修改为 可选加密 即可 如果不做修改会提示 800 错误 客服热线客服热线 400 810 9119 21 40 6 6 限速设定 DCME 320 可以提供接口带宽控制 针对 IP 的带宽控制 针对应用的带宽控制 6 1 端口带宽控制 进入 基础网络 接口选项 接口列表 HG1 如下图所示可以针对 DCME 320 上的外网口的上下行带宽分别控制 带宽的控制单位为 kpbs 1M 1024k 设置的时候注意好单位的换算 客服热线客服热线 400 810 9119 22 40 6 2 IP QoS IP QoS 是针对 IP 的带宽控制策略 进入 流量控制 IP QoS 如下图所示 规则名称 自定义 接口绑定 根据实际情况选择需要关联的接口 IP 地址 可以手动定义 IP 成员或地址范围 控制策略可以针对每个 IP 在接口的上下行带宽分别控制 完成后点击 确认 按钮即可 配置完成后在下方 IP QoS 列表里面会看到已经配置的 IP QoS 策略 客服热线客服热线 400 810 9119 23 40 6 3 应用 QoS 应用 QoS 是针对应用的带宽控制策略 进入 流量控制 应用 QoS 如下图所示 规则名称 p2p1 根据实际情况自行定义 接口绑定 HG1 根据实际情况绑定到对应的内网口 应用 HTTP 多线程 P2P donwload 根据实际情况自行选择需要绑定的应用 接口上行 1024 单位为 kbps 根据实际情况选择这个应用在接口上占用的带 宽 接口下行 1024 单位为 kbps 根据实际情况选择这个应用在接口上占用的带 宽 完成后点击 确定 按钮即可 通过下方的 QoS 应用列表可以查看已经设定的应用 QoS 策略的基本情况 客服热线客服热线 400 810 9119 24 40 7 7 SSLSSL VPNVPN 配置 7 1 应用环境 用户使用我司的 DCME 320 作为出口设备 现在需要让出差人员能够更加安全的访问 到公司的内部资源 考虑使用 DCME 320 的 SSL VPN 接入内网 允许 SSL VPN 用户接 入后访问内网的 FTP Server 192 168 10 252 允许 SSL VPN 用户接入后访问内网的 WEB Server 192 168 1 210 客服热线客服热线 400 810 9119 25 40 7 2 创建 SSL VPN 登录用户 进入 上网行为 用户管理 用户或用户组 点击 新建用户 按钮 名称 wyliang 根据实际情况自行定义 密码 12345 根据实际情况自行定义 重新输入密码 12345 根据实际情况自行定义 必须和密码一致 描述 自行定义 超时启用 勾选后可以指定帐号的可用时间 7 3 SSL VPN 服务器端配置 7 3 1 7 3 1 创建 SSLSSL VPNVPN 实例 进入 VPN SSLVPN 实例配置 点击 新建 按钮新建模版如下图所示 名称 SSLvpn 根据实际情况自行定义 客服热线客服热线 400 810 9119 26 40 SSL VPN 端口 4433 根据实际情况自行定义 超始地址 172 168 70 2 根据实际情况自行定义 结束地址 172 168 70 20 根据实际情况自行定义 掩码 255 255 525 0 接口 HG1 完成后点击 确定 按钮即可 7 3 2 7 3 2 定义资源配置 进入 VPN SSLVPN 资源配置 点击 新建 按钮新建模版如下图所示 名称 ftp 或 http 根据实际应用服务填写 IP 网络掩码 192 168 10 252 24 内部服务器地址 客服热线客服热线 400 810 9119 27 40 完成后点击 确定 按钮即可 7 3 3 7 3 3 将用户与资源关联 进入 VPN SSLVPN 资源关联 点击 新建 按钮新建模版如下图所示 类型 用户或用户组 根据实际应用服务填写 用户 wyliang 根据实际情况自行定义 资源 ftp http 根据实际情况选用资源 客服热线客服热线 400 810 9119 28 40 完成后点击 确定 按钮即可 7 3 4 7 3 4 定义客户端下载配置 进入 VPN SSLVPN 客户端下载配置 如下图所示 启用 勾选 根据实际情况进行勾选 模式 HTTP 或 HTTPS 根据实际情况自行选择 服务器端口 4436 根据实际情况自行定义 范围 1024 65535 完成后点击 确定 按钮即可 客服热线客服热线 400 810 9119 29 40 7 3 5 7 3 5 SSLSSL VPNVPN 在线用户 进入 VPN SSLVPN 在线用户 即可查看成功拨入的用户情况 可以查看 如下信息 用户名 实例 登录时间 分配 IP 公网 IP AAA 服务器如下图所示 7 3 6 7 3 6 SSLVPNSSLVPN 客户端下载方式 在 IE 浏览器中输入 http DCME320 登录地址 SSLvpn 客户端下载端口号 例如 http 192 168 1 254 4436 点击 下载 按钮如下图所示 客户端软件 7 4 SSL VPN 客户端配置 客户端安装完毕后 点击图标如下图所示 服务器 218 240 143 219 一般为 DCME320 的外网口 端口 4433 与实例中配置的 SSL VPN 端口号一致 客服热线客服热线 400 810 9119 30 40 用户名 wyliang 密码 12345 完成后点击 登录 按钮即可 8 8 WEBWEB 认证配置 8 1 应用环境 内网用户首次访问 Internet 时需要通过 WEB 认证才能上网 且内网用户为 user1 其中用户 user 1 在通过认证后可以浏览 WEB 界面 客服热线客服热线 400 810 9119 31 40 8 1 1 8 1 1 开启 WEBWEB 认证功能 进入 上网行为 WEB 认证 认证配置 新建模版如下图所示 启用 web 认证 勾选 以启用 web 认证服务 模式 HTTP 模式 根据实际情况自行选择 HTTP 服务器端口 8181 缺省值 重定向 URL 认证成功后跳转的界面 自定义 页面超时 260 缺省值 完成后点击 确定 按钮即可 8 1 2 8 1 2 创建 WEBWEB 认证登录用户 进入 上网行为 用户管理 用户或用户组 点击 新建用户 按钮 名称 webwyliang 根据实际情况自行定义 密码 123456 根据实际情况自行定义 重新输入密码 123456 根据实际情况自行定义 必须和密码一致 描述 自行定义 超时启用 勾选后可以指定帐号的可用时间 客服热线客服热线 400 810 9119 32 40 完成后点击 确定 按钮即可 8 1 3 8 1 3 创建配置策略 进入 网络安全 安全策略 点击 新建 按钮 webwyliang 处于 lan 安全域 外网口处于 wan 安全域 需要配置 1 条策略 策略 用户认证服务策略 源安全域 lan 源地址 any 目的安全域 wan 目的地址 any 应用薄 any 用户 组 webwyliang 行为 允许 客服热线客服热线 400 810 9119 33 40 8 1 4 8 1 4 配置验证 内网用户打开 IE 后输入某网站后可以看到页面马上重定向到认证页面 我们输入用户 名和密码分别为 webwyliang 和 123456 认证通过后 访问某 web 时访问成功 客服热线客服热线 400 810 9119 34 40 进入 上网行为 WEB 认证 在线用户 界面 9 9 会话限制 9 1 应用环境 针对内网每 IP 限制 TCP ANY 会话数到 300 条 针对内网每 IP 限制 UDP ANY 会话 数到 200 条 客服热线客服热线 400 810 9119 35 40 9 2 会话限制配置 进入 上网行为 会话限制 点击 新建 按钮如下图所示 安全域 lan 根据实际情况自行定义 IP 限制 源 IP 或目的 IP 根据实际情况自行定义 应用限制 TCPANY 根据实际情况自行定义 会话数 300 自行定义 0 不限制 时间表 勾选启用 根据实际情况自