配置天融信VPN

一． 初始登录

二． 天融信VPN用户和子接口升级

三． 创建子接口逻辑属性并与相应子接口绑定 四． 物理接口配置

五． 子接口划分及IP配置

六． 安全区域划分及默认权限的配置 七． 针对安全区域开放相应管理服务 八． DHCP地址池的划分 九． 创建用户角色

十． 创建VRC用户管理并添加到相应角色 十一． 策略路由的配置 十二． VRC配置 十三． 0SPF配置定义

1初始登录

一．初始登录VPN安全网关在浏览器地址栏内键入管理地址，如下图所示： 二．管理地址形如：https://192.168.1.254:8080 三．默认用户名：superman 四．默认口令：talent

五．本地链接IP配置IP：192.168.1.1 掩码255.255.255.0 网关指向192.168.1.254。 六．用网线链接到天融信VPN Eth0口 ,0口也是它的管理口。

七．用户名口令更改后一定要劳记，天融信安全设备遗失用户名口令需要返厂清除。

2天融信VPN用户和子接口升级

一．给用户升级，IPsec-VPN和SSL-VPN用户要升级。默认是IPsec和 SSL各5个用户。

州上设备升级完是IPsec和SSL都是1000个用户。县上的是500用户。

二．升级一定要看好产品的序列号。如：序列号 K1107080136 这个就是产品序列号。 三．把设备序列号和vpn升级用户包里的序列号一一对应，在Web里找到→系统管理→维

护→系统升级→网页升级。

四．浏览到VPN升级包现在有设备序列号升级就好了，IPsec和SSL都要升级。

五．原有子接口是31个子接口，现在要升级到255个子接口。升级方法也是在网页升级。

3创建子接口逻辑属性并与相应子接口绑定

一．天融信VPN安全网关子接口创建完毕后，尚不能正常启用。主要表现为VPN可以PING通对端数通设备的相应子拉口，但对端设备却无法正常PING通VPN相应的子接口。这是因为相应区域的子接口没有开通权限造成的。

需要在CLI下为相应子接口添加属性，并将所添加的属性与子接口做一对一的绑定即

可。如下脚本所示：

1、 统一创建子接口属性

network attribute add name vpn-subif-attribute 2、 属性与子接口的绑定如一下

network interface veth2.000 attribute add vpn-subif-attribute network interface veth2.001 attribute add vpn-subif-attribute network interface veth2.002 attribute add vpn-subif-attribute

这里说明建立多少个子接口就要把属性与子接口绑定一起。这里只写了三个子接口的。 二．telnet到天融信VPN就可以编写了。下面是介绍图。

4物理接口配置

一．由于采用路由模式部署防火墙，故在本次项目测试过程中我们需要为VPN安全网关的

相应物理接口配置IP地址。Eth1外网口IP 10.201.126.137 /30 直连 R4 IP 10.201.126.136/30 ，Eth3 DMZ口 IP 10.201.126.143 /30 直连 SW2 IP 10.201.126.142/30.Eth2是内网口。启的子接口链接的是R2-PE3。

二．每个地方IP地址不一样，这里是喀什的IP地址配置只供参考. 详细当地看IP地址规划

总表。

三．IP地址的配置界面及入口如下图所示：