配置天融信VPN
一. 初始登录
二. 天融信VPN用户和子接口升级
三. 创建子接口逻辑属性并与相应子接口绑定 四. 物理接口配置
五. 子接口划分及IP配置
六. 安全区域划分及默认权限的配置 七. 针对安全区域开放相应管理服务 八. DHCP地址池的划分 九. 创建用户角色
十. 创建VRC用户管理并添加到相应角色 十一. 策略路由的配置 十二. VRC配置 十三. 0SPF配置定义
1初始登录
一.初始登录VPN安全网关在浏览器地址栏内键入管理地址,如下图所示: 二.管理地址形如:https://192.168.1.254:8080 三.默认用户名:superman 四.默认口令:talent
五.本地链接IP配置IP:192.168.1.1 掩码255.255.255.0 网关指向192.168.1.254。 六.用网线链接到天融信VPN Eth0口 ,0口也是它的管理口。
七.用户名口令更改后一定要劳记,天融信安全设备遗失用户名口令需要返厂清除。
2天融信VPN用户和子接口升级
一.给用户升级,IPsec-VPN和SSL-VPN用户要升级。默认是IPsec和 SSL各5个用户。
州上设备升级完是IPsec和SSL都是1000个用户。县上的是500用户。
二.升级一定要看好产品的序列号。如:序列号 K1107080136 这个就是产品序列号。 三.把设备序列号和vpn升级用户包里的序列号一一对应,在Web里找到→系统管理→维
护→系统升级→网页升级。
四.浏览到VPN升级包现在有设备序列号升级就好了,IPsec和SSL都要升级。
五.原有子接口是31个子接口,现在要升级到255个子接口。升级方法也是在网页升级。
3创建子接口逻辑属性并与相应子接口绑定
一.天融信VPN安全网关子接口创建完毕后,尚不能正常启用。主要表现为VPN可以PING通对端数通设备的相应子拉口,但对端设备却无法正常PING通VPN相应的子接口。这是因为相应区域的子接口没有开通权限造成的。
需要在CLI下为相应子接口添加属性,并将所添加的属性与子接口做一对一的绑定即
可。如下脚本所示:
1、 统一创建子接口属性
network attribute add name vpn-subif-attribute 2、 属性与子接口的绑定如一下
network interface veth2.000 attribute add vpn-subif-attribute network interface veth2.001 attribute add vpn-subif-attribute network interface veth2.002 attribute add vpn-subif-attribute
这里说明建立多少个子接口就要把属性与子接口绑定一起。这里只写了三个子接口的。 二.telnet到天融信VPN就可以编写了。下面是介绍图。
4物理接口配置
一.由于采用路由模式部署防火墙,故在本次项目测试过程中我们需要为VPN安全网关的
相应物理接口配置IP地址。Eth1外网口IP 10.201.126.137 /30 直连 R4 IP 10.201.126.136/30 ,Eth3 DMZ口 IP 10.201.126.143 /30 直连 SW2 IP 10.201.126.142/30.Eth2是内网口。启的子接口链接的是R2-PE3。
二.每个地方IP地址不一样,这里是喀什的IP地址配置只供参考. 详细当地看IP地址规划
总表。
三.IP地址的配置界面及入口如下图所示: