VPN说明书(标准)

多功能VPN/防火墙网关
用户手册
●专业VPN
●企业级防火墙
●内容过滤
●智能路由
●带宽叠加
●负载均衡
●动态寻址
●流量监控
●访问控制
●即插即用
Revision 2.5 2006年11月17日
适用于固件版本5.0及5.1
目录
第一章了解本设备 (3)
第二章连接本设备 (5)
第三章设置本设备 (6)
附录A 故障修理 (14)
附录Ｂ安装客户端软件 (15)
1IPS EC VPN客户端配置 (15)
2PPTP VPN客户端配置 (16)
附录C 技术支持信息................................................................................................................. 错误!未定义书签。

第一章了解本设备
面板
本设备的LED位于机箱前部的面板，网口和串口位于机箱后部的面板。

以G20为图例
表格1 网口
网口说明
WAN WAN 口可接普通的宽带线路，也可接ADSL 的modem 线路。

LAN 这个LAN 口(以太网口) 连入局域网的设备，例如集线器或交换器。

CONSOLE 串口可接终端机作为高级设置之用。

以G50为图例
表格2 显示灯状态
PWR 绿色，电源正常。

ALARM 红色，系统警报。

WAN 绿色LED(连续)：连接到ADSL 和小区宽带的设备状态良好。

橘色LED(闪烁)：网关正在用这个端口发送或接收数据。

LAN 绿色LED(连续)：连接到LAN的设备状态良好。

橘色LED(闪烁)：网关正在用这个端口发送或接收数据。

这本设备的电源开关和插头位于机箱后部的面板右侧。

笔尖式重启（RESET）按钮位于串口的右下方。

配件
1、说明书及保修卡
2、VPN设备及电源
3、交叉串口线（连接设备CONSOLE口与电脑的COM口）
4、交叉网线（连接VPN设备与电脑或ADSL设备，线的两端线序不同，为1、3；2、6对换的接法）
5、平行网线（连接VPN设备与其他网络设备）
第二章连接本设备
概要
您必须实行下面的步骤设置网络：
●依照此章的指导将本设备连接到其中一个交换机。

.
●使用您的ISP 所供应的设置参数并依照“第三章设置本设备”设置本设备。

连接的指导
1.还没连接之前，确认所有的硬件的电源都已关闭，包括本设备，集线器，交换器，和ADSL
Modem。

2.连接网线的一端到本设备的LAN 口。

连接网线的另一端到网络设备的网口，例如集线器，或
交换机；或者电脑的网卡（交叉网线）。

3.连接您的ADSL Modem 上的网线到本设备的WAN 口。

假如使用到其它的WAN 口，接上网
线到WAN 口并连接另一端到其它的ADSL Modem。

4.启动ADSL modem 和其它的网络设备的电源。

5.连接电源线到本设备后面的电源插口，然后插入另一端的电源插头到220V 电插座。

在面板上
的电源显示LED会电源连接正常情况下会亮起。

第三章设置本设备
本设备有一个基于Web 设计的配置界面能使设置本设备更加容易。

这一章会解释配置界面所有的功能。

建议采用IE4.0 或以上。

配置界面上主要有九个主目录:系统信息，接口配置，防火墙，VPN配置，服务管理，流量管理，系统日志，修改帐号，重新启动。

子目录会出现当您点击其中一个主目录。

设置
1、初始设置。

要访问本设备的配置界面，首先要更改配置电脑网卡IP为192.168.0.X（X为1-253之间任意和本地IP不冲突的数字），然后启动IE，并且输入本设备的默认IP 地址（http://192.168.0.254:10000）到地址栏。

然后按下Enter 键。

选择是或确定后，一个登录界面会出现要求您输入用户名和密码。

输入admin到用户名输入栏里，并且输入888888到密码输入栏里。

然后点击确定按钮进入设置。

2、系统信息。

这个屏幕显示本设备的目前的状态和设置。

这里信息是只读的。

3、接口配置。

3-1：模式选择：默认为网关模式，针对实现VPN功能来说，此项不需更改，按照默认设置。

路由模式假如本设备和其它的路由器同在一个网络上运作，这里包括分别处理上网的网关。

假如选择路由模式，您需要设置另一个路由器作为网关，以便让接入本设备以下的电脑也能够上网。

透明桥模式是用来连通两个大型的网络。

您的网络管理人应该填入网络段的信息，包括IP 地址，子网掩码，和外置的网关地址（透明桥模式中的IP 地址是指所有的WAN口和LAN口会分享这个IP 地址；子网掩码是指所有的WAN口和LAN口会在这个子网里；外置网关指的是已在网络内部运行且被设置为网关的设备）。

3-2：WAN口配置：首先选择WAN口配置方式，选择固定IP，则下面固定IP配置选项生效，按照ISP提供的IP地址网关及DNS填写；如果选择ADSL拨号连接，则下面拨号连接配置选项生效，按照ISP提供的帐号和密码及带宽填写；配置完成后依次点保存配置，然后点重启即可。

(WAN口静态路由格式：xxx.xxx.xxx.xxx/xx)
3-3：内网&DMZ接口：点击接口名称下面的内网，进入IP设置窗口，设置好本设备的内网IP，点保存，跳转到上一个页面后，点确定，则刚才的设置生效，然后再按照你更改的IP，重新登陆设备管理界面。

3-4：内网DHCP：给自动获取IP的内网用户分配IP的功能，依次输入网关IP，DNS的IP，IP段的范围及掩码，最后点确定。

3-5：DNS&DDNS配置：DNS客户选项设置为本地ISP提供的DNS地址，默认会自动由拨号连接获取到本地的DNS，不需要设置；动态DNS选项是把本设备绑定一个固定的域名，以便在类似ADSL那种动态IP的时候提供寻址方式；动态DNS服务商一般选择，这里是提供免费域名的服务商，而且应用比较稳定，并提供收费的顶级域名指向，为以后扩展提供方便条件；主机名格式： ，DDNS的用户名：xxxx ，密码：xxxx ，然后确定即可（申请3322的域名，首先要有一个邮箱，并每个邮箱只能申请一次，一般采用21cn的免费邮箱，收信速度快，成功率高，申请邮箱后再申请3322的用户，等待把密码发到邮箱后再根据密码登陆域名管理，修改密码然后增加域名）。

3-6：静态路由设置：在特殊的复杂的网络结构下，提供有效的路由，非专业用户不要设置。

3-7：VLAN设置：在内部划分多VLAN时候进行设置，一般已经划好VLAN的用户不需要设置。

4、防火墙。

4-1：设置选项：防火墙的全局设置选项，里面提供了防御各种攻击的选择，默认选择几种常见攻击的防御选项，默认设置一般用户不需要修改。

4-2：IP管理：这里提供自定义IP组功能，定义了之后，方便在后面数据包过滤规则中添加响应的规则（用户名为你自己方便记忆和管理的某些字符串，定义单机网络掩码的时候要用
255.255.255.255；定义MAC地址的时候，物理地址中间为冒号，如：12:34:56:78:90:AB）。

4-3：服务：默认定义了很多常用的端口，也可以根据公司的具体要求，自己创建自定义服务端口。

4-4：端口映射：是让内网某台机器上提供的服务，让外网一些人也可以访问的到的一种方式，让内网的电脑拥有公网的端口。

外部端口号和内部端口号，根据服务的需要自定义填写，如果只有一条外网线路接入，则外部IP地址这里不需要填写，下面映射到IP地址为你所需映射服务器的内网IP地址，然后选择协议并保存。

4-5：IP地址映射：当设备的外网进线，有多个公网IP的时候，可以把其他IP直接映射给其他人使用，默认不需要更改。

4-6：数据包控制策略：根据公司的不同需求，通过端口对内网上网的权限进行管理；序列号为控制策略执行的顺序编号；内网用户和外网用户是指在IP管理里面定义的计算机或所有IP；内网端口和外网端口是指在服务中定义的服务端口或所有端口。

字符串是指含有某些字符串的数据包，策略接受和拒绝是本条规则生效的总开关，也可以选日志记录。

设置好规则之后，点保存返回上一级菜单，要点击使配置生效，防火墙的设置才会生效。

5、VPN配置。

5-1：VPN配置列表（IPSEC）：增加VPN配置有三个选项，分别是本设备做为：服务器端或客户端或客户端软件服务器然后进行配置，配置方法基本相同；用户名和密码设置好了之后，本地子网是指正在配置的设备所在的内网网段；对方子网则是外地的设备所在的内网网段（做为客户端软件服务器则不填）；对方IP或域名是指做为客户端时，需要连接外网的那台VPN服务器端的时候所输的外网服务器端的IP或绑定的域名。

野蛮模式是与其他品牌标准IPSEC VPN产品对接时候使用的，支持3des group5连接的即可与之对接；设置好后点创建并生效。

网络设置选项里的VPN用户虚拟为本机IP和支持VPN隧道转发，在对复杂的网络环境的时候，可以让VPN连入的IP做为网关的IP的身份进行通讯，按照已有的路由进行连接，主要针对多VLAN 复杂网络情况，默认是关闭的。

5-2：VPN状态（IPSEC）：里面显示已经在连接中的用户状态，包括对方的公网IP，还有双方的网段和通讯包数量。

5-3：PPTP设置：在本地内网，分配一个IP段给外面PPTP连入的用户使用，但要注意IP段不能和本地指定的IP，包括DHCP地址段冲突；选择好IP段，然后启用PPTP功能。

5-4：PPTP用户：增加PPTP连入的用户，设置好用户名和密码即可。

6、服务管理。

6-1：命令行工具：可以通过命令：ping ，ifconfig 等进行设备或网络故障的诊断。

6-2：系统升级：可以通过已有的升级补丁进行升级，升级之后要断电重启设备。

6-3：WEB域名管理：动态寻址服务基于公司网站的管理。

6-4：配置备份与恢复：所有配置可以备份成配置文件，如果设备初始化或更换，则可以用配置文件对所有设置进行恢复。

6-5：恢复默认值：通过初始化，所有设置全部丢失，恢复出厂设置。

7、流量管理。

7-1：负载平衡&流量管理：通过设置分级带宽，把外网的线路划分成多个优先级别，并按照级别创建相应规则，同防火墙设置方式相似。

7-2：IP流量控制：限制某IP段内的用户所占用的带宽，并可查看网络流量情况。

8、系统日志。

提供设备运行连接状态的信息，供故障诊断所应用。

9、修改帐号。

提供更改VPN设备登陆的密码。

10、重新启动。

提供根据界面里重新启动设备的功能。

附录A 故障修理
当您安装或运行本设备时发生了问题，请参考这个附录所提供的解决方法。

阅读底下的说明。

假如您不能在这里找到回答，请上公司的网站查找或联系技术支持人员。

1.无法开机，请检查是否接通电源。

面板开关是否打开。

2.无法登陆管理界面，请确认联接端口是否为LAN 口，IP 地址配置是否正确，注意IP冲突，调
整好后禁用网卡，并重新启用。

3.死机，如果几个月偶尔有死机现象，属正常情况，重新启动即可。

若常有死机现象，请检查是
否安装环境恶劣。

4.如何将本设备回复出厂设置：在本设备后面板的console 口使用出厂所配的串口线，和普通电
脑相联。

用超级终端进行联接，速率选115200，不要选硬件加速，进去后输入两次default，即可恢复出厂设置。

5.在局域网内的客户端软件：因为局域网网关的NAT 转换可能无法正确处理IPSEC 包，或被网
关设备禁止了协议，请检查网关设备的设置。

附录Ｂ安装客户端软件
1 IPSec VPN 客户端配置
安装范围
本软件适用于Win2000，Win2003，及WinXP 操作系统。

Win2000 系统需加装SP3 或SP4。

适用于个人用户或子网用户在拔号上网后建立VPN 通到联结到公司网络。

安装
下载地址：/down/vpni.rar
运行
软件安装后在桌面建立IPSec 配置工具图标。

运行该图标即启动本客户端，配置如图：
具体设置根据服务器端设置为准。

2 PPTP VPN 客户端配置
在需要连接的电脑上，选择设置“网络连接”→“创建一个新的连接”→“连接到工作场所（VPN）”
→“虚拟专用网络连接”→连接名(标识随便填写)→地址(服务器绑定的域名)→完成；然后根据服务器端建立的用户及对应密码来进行连接，连接后就可以以局域网的方式访问服务器端的资源了。

注：VPN属性中安全选项要复位，要求数据加密，先把勾号去掉，再重新打上；网络属性TCP/IP 高级设置中，去掉在远程网络使用默认网关的选项。

设置完成之后，不要直接连接，需要设置一下。

注：在建立的这个连接的TCP/IP属性中是自动获取的IP地址，一般默认也会自动获取网关，而这样会影响本地计算机上网，因为原本存在个网关，VPN获得一个网关会有冲突，所以建立的时候要取消。

安全选项这里要复位，把要求数据加密的勾号去掉再打上。