SonicWALL系列设备配置下

本文格式为Word版，下载可任意编辑——SonicWALL系列设备配置下

下面的设置使用VPN虚拟网卡,就是给GVC用户分派IP地址。为此，必需配置DHCP服务器为GVC用户分派IP地址。VirtualAdapterSettings选择DHCPLease

选中UseDefaultKeyforSimpleClientProvisioning使用户不必输入General界面的预共享密钥。

DHCP有两种分派方式：

?使用防火墙的DHCP服务器，在Network->DHCPServer界面，配置DHCP，给GVC用户

分派IP地址。5.5之前的版本，给GVC分派的IP地址必需和X0口的IP地址在一个网段。5.5版本支持多个网段的DHCP分派，GVC用户可以拿到你配置的任意的一个网段的地址，不再限制到和X0口的IP在一个网段。下图配置了多个DHCP的动态范围，X0口是-，另外一个-0不和任何端口关联。

?配置完这个界面之后，需要配置VPN->DHCPOverVPN界面，选择UseInternalDHCP

Server,ForGlobalVPNClient

RelayAgentIP(Optional)是可选的配置。DHCP服务器可以分派任意的网段给GVC用户。RelayAgentIP就是那个网段中的一个保存的IP地址，不会分派给GVC用户。当DHCP请求到达DHCP服务器时，DHCP服务器知道要分派这个网段的地址给GVC用户。DHCP服务器可以是防火墙本身的DHCP服务器，可以是专门的DHCP服务器，也可以是和防火墙互联的L3交换机，L3交换机一般都支持DHCP服务器的功能。

?其次种DHCP，见下图。

使用VPN->DHCPoverVPN->Configure界面，用内网的DHCP服务器给用户分派IP地址。

RelayAgentIP(Optional)是可选的配置。DHCP服务器可以分派任意的网段给GVC用户。RelayAgentIP就是那个网段中的一个保存的IP地址，不会分派给GVC用户。当DHCP请求到达DHCP服务器时，DHCP服务器知道要分派这个网段的地址给GVC用户。DHCP服务器可以是防火墙本身的DHCP服务器，可以是专门的DHCP服务器，也可以是和防火墙互联的L3交换

机，L3交换机一般都支持DHCP服务器的功能。点击Users->localusers

点击AddUser按钮

在setting标签页中，输入用户名称，密码，

Group标签页基本保持不变，除非你需要进行一些特别的用户分组

VPNAccess标签页是对这个用户所访问的权限分派，把这个用户需要访问的服务器地址和网段地址写进去。然后点击OK完成用户设置。

完成后结果如下。

GlobalVPNClient客户端软件的配置

1.安装好客户端软件，依照步骤一步一步做就好了，直到安装完毕2.运行GVC客户端软件，有一个向导提供第一步配置界面

点击Next，进入下一步

选择RemoteAccess，然后进入下一步

输入中心防火墙的WAN口地址，点击下一步。

出现完成对话框，点击Finish。完成后会看到一条VPN策略添加至GVC中。

双击这个策略，会出现连接会话框，提醒输入共享密码，这个共享密码在防火墙上的WANGroupVPN策略中

默认是一串数字。

把这串字符写到提醒框中，GVC软件会自动把它保存起来，以后就不需要再写了。接下来提醒用户名和密码

假使配置中选中UseDefaultKeyforSimpleClientProvisioning使用户不必输入General界面的预共享密钥。

依照我们建立的用户名和密码输入后，系统提醒连接成功

配置假使不使用虚拟网卡，

建立连接后，没有分派任何IP地址给客户机器

DHCPLease,使用虚拟网卡，

DHCPoverVPN配置如下，RelayAgentIP地址没有配置

GVC成功建立VPN隧道连接后VPN虚拟网卡获得的IP地址是和X0口网段在一个网段的IP地址

DHCPRelayIPAddress配置成53，和防火墙的DHCP服务器网段—0在一个段，

GVC的虚拟网卡拿到IP地址，在—0的范围之内，

结论：

SonicWALLWANGroupVPN和内置的DHCP十分灵活，可以给GVC用户分派任意网段的IP地址，可以达到和使用外部DHCP服务器同样的效果。

5.3SSLVPN的配置

SSLVPN设置

SonicWALLNSA产品具有SSLVPN拨号功能，可以用SSLVPN客户端（Nextender）和防火墙建立SSLVPN连接，通过SSLVPN隧道访问到公司或组织内部网络。SSLVPN只在NSA设备的5.2.0以后的系统中可以使用，假使你的系统版本低，需要下载新的系统版本，安装后才可以使用。

SSLVPN在防火墙中也是使用license进行控制的，所以在使用SSLVPN配置之前，请检查一下系统是否带有SSLVPN的license。

WAN接口的General界面，Management,UserLogin,都在HTTPS方框打勾。

选择SSLVPN->ClientSetting.

在Interface下拉框中，使用X0（LAN口）作为SSLVPN服务口，同时在WAN安全区域允许SSLVPN接入，点WAN是红色的按钮变成绿色。

需要注意到是，Nextender的地址范围要和内网接口（本例是X0LAN）的地址范围一致。这个地址范围不要和其它机器冲突。（你可以启用防火墙的另外一个没有使用的端口做SSLVPN服务接口，那么你在Interface界面选择那个接口，IP地址池范围就是那个接口网段的地址）NetExtenderClientSettings是配置客户端的细致的设置。CreateClientConnectionProfile:可以使NetExtenderClient客户端软件自动保存成功连接的配置，下次连接，直接选择这个连接的参数，不用手工再次输入了。

点击SSLVPN->ClientRoutes菜单下，把需要访问的服务器网段地址或服务器地址添加进去。

ClientRoute界面把允许SSLVPN用户访问的主机地址和网段参与即可。防火墙自动创立SSLVPN到各个安全区域的规则，本例是SSLVPN用户访问LANPrimarySubnet,就是LAN口的整个网段，自动生成的防火墙规则在Firewall->AccessRules,SSLVPN->LAN界面可以看到。

建立一个用户账户，让用户使用这个账户进行VPN拨号。点击Users->localusers

点击AddUser按钮

在setting标签页中，输入用户名称，密码，

Group标签页中，需要把用户添加到SSLVPNServices组中，不然会无法进行拨号

VPNAccess标签页保持空白，然后点击OK完成用户设置。完成后结果如下。

客户端软件配置，（Nextender客户端软件可以到

https://./downloadcenter中下载）安装软件。或者使用WEB方式登录SSLVPN设备，直接在登录入口界面里点NetExtender图标安装软件。

启动后，软件弹出一个对话框，分别输入防火墙WAN口地址，用户名，密码，和Domain。注意：Domain名称必需使用LocalDomain（区分大小写不然系统会不认）

注意SSLVPN服务器地址后面的端口号：4433,由于本防火墙的WAN口的HTTPS远程管理ideas端口被修改成了4433，否则默认端口443，这个SSLVPN服务器地址后无需输入端口号。

点击connect,经过一段时间，显示连接成功

假使要允许SSLVPN用户使用WEB浏览器登录，那么WAN接口的Management“HTTPS〞，UserLogin中的“HTTPS〞必需选中.假使WAN的HTTPS远程管理没有允许，用户根本不能通过WEB方式到达用户认证界面。假使HTTPS远程管理允许了，但是UserLogin没有允许，SSLVPN用户通过浏览器可以到达SSLVPN用户认证界面，但是登录会失败，说没有权限。假使用户只采用NetExtender客户端软件连接VPN设备，“HTTPS〞Management不是必需的，但是UserLogin中的“HTTPS〞必需选中。简而言之：

?使用SSLVPN功能，WAN接口的UserLogin中的“HTTPS〞必需选中，不管WEB方式登

录，还是NetExtender独立客户端软件方式登陆。?WEB方式登录，HTTPS远程管理必需开启

使用WEB方式登录

47:4433,点ClickhereforSSLVPNlogin

假使WAN接口的UserLogin的HTTPS没有允许，SSLVPN不允许登录SSLVPN入口界面

UserLogin允许之后，SSLVPN用户登录成功。点NetExtender图标，自动安装NetExtender软件。假使你使用Vista浏览器在保护模式，你必需SSLVPN的URL添加到浏览器的可信站点里，才能安装软件。

修改NetExtender的端口号和防火墙HTTPS远程管理的端口号一致。

System->Administration界面可以修改防火墙远程管理的HTTPS端口号。默认443端口，NetExtender不需要输入端口号，只需要输入IP地址即可。

SSLVPN的配置全部完成。

第六章UTM的配置

SonicWALLNSAUTM产品必需经过注册，才能使用UTM功能，就是对病毒，入侵和间谍软件进行检测，激活应用层防火墙的功能。注册后的界面如下：

System->License界面可以看到各个服务的有效期限

Network->WANFailover&LB界面，PrimaryWANEthernetInterface默认是X1端口。在AlternateWAN#1,AlternateWAN#2,AlternateWAN#3,分别选择对应的WAN口。我们按顺序选择X2,X4,X5.

EnableLoadBalancing默认允许了。默认的流量分担方法是主/备模式下的抢占模式。X1口故障，切换到X2口，X2口故障，切换到X4口，依次类推。当高优先级（本例X1最高）的端口恢复，流量切换回高优先级的端口。低优先级的端口只起备份作用，平日不走流量。

PerDestinationRound-Robin：轮训方式。每个新建的连结在多个WAN口上轮番分派。

Spillover-Based:主WAN的流量超过一定的阈值，启用备选线路。外出的流量在多个备选线路上以轮训的方式分派，就是一个连接在AlternateWAN#1，新建连接在AlternateWAN#2，再新建连接在AlternateWAN#3，再新建连接在AlternateWAN#1，不断循环分派。当主WAN的流量下降到设置的阈值之下，新建的连结回到主WAN口，已经在AlternateWAN#1,AlternateWAN#2,AlternateWAN#3的连接继续在该WAN口直到连接终止或防火墙的链接表超时删除该连接。

Percentage-Based:在多个WAN口上按一定的比例分担流量。

规律探测的配置，允许对多个WAN口做网络连通性的规律探测。默认只能选择对主WAN口和AlternateWAN#1做一跳或者两跳的规律检测。防火墙不往规律探测失败的端口上转发数据。只有规律探测成功的端口才参与外出流量的分担。

你可以设置探测的条件和探测注意的域名或者IP地址。两个探测地址中的一个成功，就认为成功两个探测地址都成功，才认为成功第一个探测地址成功，就认为成功

永远成功（不探测）这个选项不会用到，没有实际的意义。

DefaultTargetIP:当探测的主机的域名解析不成功，或者你配置了的地址时，使用DefaultTargetIP里配置的IP地址作为探测的地址

我们手工配置规律探测只在主WAN和AlternateWAN#1上。

假使想对所有的四个WAN口做规律探测，选择如下的选项，所有的WAN口使用同样的厂家预定义的探测方法进行探测。下面手工设置的探测条件将不起作用。

ProbeonPrimary,Alternate#1,Alternate#2,Alternate#3

多WAN链路的负载均衡功能的目的就是对内部PC发起到Internet访问的流量，可以在多个WAN链路上分担并备份，当一条或者几条ISP链路故障时，确保Internet访问不被中断（只要不是所有的WAN链路都同时中断）

7.3L2BridgeMode的配置（如OSPF透传）

L2BridgeMode使UTM防火墙的部署变得简单。在用户不想改变原有的网络结构的状况下，把UTM防火墙部署成L2