虚拟专网使用手册

虚拟专网使用手册V北方电信有限公司2006年3月目录前言 3第1章 系统概述 3 客户需求 3 功能定位 3系统特点 4产品优势 5第2章 产品功能介绍 5 总体功能介绍 5第3章 DLAN虚拟专网安装及使用 6 网关模式（MDLAN）的安装配置 6 功能描述 6 基本配置 7 虚拟专网控制台 11 移动模式（PDLAN） 33 如何安装 33 基本配置 34 虚拟专网控制台 37 虚拟专网的使用 42 防火墙的安装及使用 43 如何安装 43 基本配置 44第4章 系统运行环境 56

前言商务领航之“虚拟专网”平台是中国电信为帮助中小企业走进E时代而量身打造的一套高效、低廉的移动办公应用平台。通过该平台，企业出差人员或者总分公司之间，只要能上网就可以随时接入公司总部，来使用总部内网的资源。系统概述客户需求——公司经常有人员在外出差或在家办公。——公司在异地有办事处。——公司在异地有分公司。——公司的办公室和工厂或仓库不在同一个地点。——公司有自己的本地局域网，而且出差人员和异地办公人员需要接入公司本地局域网。如果您真的碰到上述问题，哪怕是其中的一个，那我们想提醒你，信息时代还有其他更加快捷、廉价的方案等待您去做出选择。功能定位虚拟专网是北方电信为有异地网络互联需求的用户量身定做的一项业务。该业务主要由高效安全的VPN模块、企业级包过滤防火墙模块和访问控制三个模块构成。主要功能：虚拟专网的VPN模块为用户进行异地网络的安全互联，启动防火墙模块后，该模块可以保护使用虚拟专网业务的企业内网免受来自外部网络的攻击，而访问控制模块可以针对远程接入用户设置不同的访问内网的权限，而且该权限可以细分至内网每台PC的每个服务。其他功能：虚拟专网还具有NAT代理上网功能，并且可以对通过该软件上网的PC进行上网控制。QOS功能：通过对接入用户的IP和端口的控制，从而使不同的接入人员的数据报具有不同的优先级，从而保证重要业务的优先投递。硬件鉴权功能：该功能可以确保杜绝非法用户接入，用户从接入电脑上通过虚拟专网软件导出一个硬件证书，该证书包括本PC的硬盘、CPU和网卡三者的信息，三者信息都为全球唯一。后把此证书传输到网关端，和该PC所使用的用户名和密码绑定，通过该项功能的设置，该台PC的用户名和密码即使被非法盗取，由于接入PC机的硬件信息和绑定的不同而拒绝接入。从而杜绝了非法用户接入。虚拟专网业务包括两种类型的软件，分网关端软件（安装于公司内网）和移动端软件（安装在出差人员的电脑）。系统特点保护原有投资，无需增加任何硬件设施；无需改动原有应用系统和网络结构；支持各种上网方式，如ADSL/ISDN/宽带/Modem；支持动态IP寻址；支持Windows98/NT/2000(SP2orabove)/XP系统操作系统；支持NAT（网络地址转换）和DMZ端口转发功能；自定义VPN网络拓扑，可构建公司的星形与网状VPN网络结构；接入用户提供用户名和机器硬件信息进行绑定，杜绝非法用户的接入提供更细致的权限粒度，对接入的用户名进行了权限设定，不同的用户具有不同的访问权限，业务权限区分，一目了然。完善的QOS划分机制，不同的内部服务对应不同的带宽，保证重要业务的优先投递。总部多子网支持，可以实现接入端对总部多个子网的同时访问。集成企业级包过滤防火墙，可对TCP/UDP/ICMP等数据包进行监控、分析、检测，防止外部黑客入侵公司网络，并可灵活限制内部上网通道；高级加密标准——AES加密方式，确保中间数据传输安全，即使被中间截获也不会泄漏任何信息。改进的IPSEC协议，数据压缩传输，更充分利用现有网络资源。IP&MAC地址绑定功能，确保对内网上网用户的合理控制。产品优势 先进的应用技术开发平台，保证系统在技术领域的先进性 中国电信庞大的网络支撑队伍确保用户使用的是可靠的网络，所有数据传输均采用严格的加密形式进行传播，使得商业数据更加安全、高效 7x24小时电信级的完善售后服务体系，“虚拟专网”的用户可以得到持续的客户服务和程序升级等增值服务 程序设计以人为本，无论是初级用户还是高级商业客户，都可以迅速地熟悉并操作“虚拟专网”产品功能介绍总体功能介绍 使用虚拟专网能够让公司总部与移动用户、分公司的局域网轻松实现安全互联。原本只能用于单一局域网网内的系统或者功能，能够扩展到多个局域网中，实现公司数据和信息的同步统一，增加企业的工作效率，提高竞争力公司老总或各级主管在外出差时可随时接入企业内部局域网，查询所有相关的财务等重要信息和收发内部邮件，也可以及时发送信息回公司总部，实现移动办公，保证工作效率。DLAN虚拟专网安装及使用网关模式（MDLAN）的安装配置功能描述运行MDLAN的安装程序，出现如下画面,选择下一步，出现安装目录选择界面，选择要安装到的目录。一般情况下采用默认设置即可：接下来会安装网络驱动程序，要求断开adsl或modem拨号连接，同时关闭网络应用程序：安装完成后，要求重新启动计算机.重新启动计算机后，就可以启动MDLAN，通过控制台或配置向导配置MDLAN。基本配置MDLAN首次启动时，会自动弹出向导配置窗口，根据向导进行如下配置。也可以通过“工具―→DLAN配置向导”进入配置向导界面。配置网卡：配置网卡时，需要配置内、外部网网卡。ADSL直接拔号上网时，外部网卡选择虚拟的拔号网卡；通过宽带（NAT）双网卡上网时，外部网卡选择连接外网的网卡；单网卡上网时，外部网卡和内部网卡都选择内网的网卡。选择内部网卡后，内网IP地址和子网掩码会自动映射过来，或根据实际的IP和子网掩码做相应的更改。配置帐号和密码：虚拟专网帐号和密码是北方电信分配的用来登录目录服务器的。每一个企业的每一个网关和移动用户都会被分配一个唯一的帐号名和密码。网关和移动输入了正确的帐号和密码后，就可以在目录服务器上完成帐号验证和地址交换，建立网络通道。当MDLAN具有Internet上的合法IP时（如ADSL拨号获取的动态IP），表示MDLAN直接Internet。当MDLAN采用大楼宽带上网，获得的是宽带内部IP，表示MDLAN非直连Internet，选择相应的设置项即可。可点击“测试”按钮，来检查该帐号密码是否设置正确，目录服务器是否工作正常。点击“下一步”，出现如下界面，基本配置结束。虚拟专网控制台DLAN网关模式控制台主要分三大部分：系统信息控制台，MDLAN控制台，防火墙控制台。系统信息控制台：系统信息控制台：主要是用来管理和监控整个DLAN产品，它包括两个选项，系统配置和控制台管理。系统配置用来系统正常运行所需配置的基本信息，包括内、外部网卡的选择，内网IP地址和子网掩码的设置。在“DLAN配置向导”中已经有这部分内容的配置。控制台管理用来设置DLAN控制台的相关属性。控制台与DLAN的各功能模块是独立的，如DLAN连接模块、防火墙模块、NAT模块，都可以在控制台不启动的情况下正常运行。可以在该界面中选择控制台及各功能模块是否开机就自动运行。同时可以设置进入主控台的密码，保证只有知道密码的管理员才能进入主控台进行管理和配置。可以点击“修改”按钮设置新的密码。DLAN支持对配置信息的备份和回复，点击相应按钮、可以将配置好的信息备份，备份时可以对备份文件设置密码、以保障安全性。系统重新安装时，可以将配置信息恢复过来。所有的配置项更改后，都必须点击“设置生效”按钮，才能使变更的配置项起生效。MDLAN（虚拟专网）控制台：MDLAN控制台提供了对DLAN虚拟专网服务的设置、管理和状态显示。下图为虚拟专网软件运行状态界面，显示了虚拟专网服务当前的运行状态、接入的节点信息，并提供了启动或停止服务的操作按钮。接入的节点状态包含如下信息：当前接入节点的用户的名称，类型（网关或移动），接入节点的互联网IP（InternetIP），接入节点的内部网IP，接入时间指网络节点接入系统的时间。MDLAN控制台具体的功能包括以下部分：虚拟专网帐号和密码设置：虚拟专网帐号和密码是用来登录北方电信的目录服务器的。在“DLAN安装向导”中对该选项已经进行了配置。连接管理：在此选中想要连接的用户（网关），本网关才会去连接选中的网关，若没有选择网关，则此网关不会去连接任何网关。 用户管理：管理员可以在这里设置允许接入本网的用户账号、密码，设置是否需要对硬件证书进行认证（ID鉴权），设置加密算法类型（缺省为AES），以及是否启用虚拟IP。只有符合管理员设置条件的用户，才能够接入本网。每一个用户对应一个网关或移动，所有的用户都是在北方电信处开户并同步到虚拟专网客户端的。 DLAN提供了用户管理功能，以便于管理员管理用户。首先选中一个用户，点击“修改”按钮，打开用户管理界面。选择加密算法。若没有启动鉴权可以不选择证书文件。 对于移动用户，还可以选择是否启用虚拟IP。如果为该用户分配一个虚拟内网IP地址、则该用户接入后，会使用这个IP作为虚拟的内网IP地址。如果虚拟IP设置为.0，则系统会自动为该用户从虚拟IP池中随机分配一个内网IP地址。如果不启用虚拟IP功能，局域网内的其他用户就无法访问该移动用户。 对于移动用户，只能启用主连接的网上邻居。如下图：虚拟IP池设置：虚拟IP是指由网关（MDLAN）指定网关空闲的一段IP作为移动用户接入时的虚拟IP池。当移动用户接入后，分配一个虚拟IP给移动用户，移动用户对网关的任何操作都是以分配的IP作为源IP、就完全和在网关局域网内一样。例如使用虚拟IP的移动接入后，可以访问网关局域网内的任何一台计算机，即使该计算机没有把移动指向网关（MDLAN）；可以为接入的移动用户指定DNS等网络属性。配置虚拟IP的步骤：1、创建虚拟IP池，虚拟IP池中的IP是总部空闲的IP。2、指定移动用户使用虚拟IP。如果设置虚拟IP为0.0表示自动分配虚拟IP，当移动用户接入后，MDLAN从虚拟IP池中选择一个空闲IP分配给移动。也可以为移动用户指定虚拟IP（例如与该移动用户在局域网内的内网IP一致作为虚拟IP）。多子网设置通过DLAN的多子网功能，移动可以访问到各网关的多个子网。例如，有两个子网（172；10.x）已经互通。通过配置两个网关的多子网，可以使得移动能通过DLAN访问两个网络。配置多子网的步骤：1、在“多子网设置”里配置需要互联的子网；2、在“路由设置”里为需互联的子网设置路由；3、为移动用户创建虚拟IP池，并指定移动用户使用虚拟IP。路由设置：局域网内部的计算机如果需要加入虚拟专网网络、被其他的节点访问，则必须将网关设置为安装DLAN的计算机。这时，所有的IP数据包首先是经过DLAN的过滤条件进行验证。如果IP包不是发往网关或移动的IP包（例如是访问Internet网页的数据包），则对此IP包需要进行路由处理，根据路由表的设置，将此IP包通过指定的网卡发送到设定的网关。例如，某局域网通过一个共享上网器接入互联网，又在局域网内的一台计算机上安装了DLAN。局域网内的其他计算机原来是将网关设置为共享上网器，但需要和其他节点建立网络连接、又必须把网关改为DLAN。如果不启动路由功能，则局域网内的计算机就无法正常上网（如浏览网页、收发邮件等）。启用路由功能之后，DLAN路由模块会将相应的数据请求转发到共享上网器，使得局域网内的计算机能够正常的上网。网络号和子网掩码确定目的IP（网络号和子网掩码都是0.0表示缺省路由）。网关IP为直接上网的设备内网IP地址，接口网卡指本机与网关设备联网的网卡。注意：1、任何改动（包括启用路由、禁用路由）都必须按设置生效按钮后才保存结果；2、更换网卡后，或更换本机内部网IP后，用户必须重新生成路由表。否则会导致本机无法上网。3、在添加路由表或修改路由表时、必须保障本机与网关的通信正常。因为一按确定按钮，程序会自动去取设定的网关IP对应的MAC地址。若此时设置的网关未开机，或同设置的网关IP的物理连接中断，或本机ping不通设定的网关IP，会有提示框弹出，警告网关IP设置错误。4、添加路由时，注意选择的接口网卡是同指定的网关相连的网卡。否则会导致路由数据发送不到对应的网关。目录服务器列表：在这里可以查看所有可用的目录服务器。目录服务器是北方电信提供的寻址用的服务器。网关之间和网关移动之间建立网络通道之前都要在指定的目录服务器上验证帐号和交换InternetIP地址。若目录服务器不能正常工作，则通道也无法建立。所以目录服务器可以为多个，互为备份。目录服务器列表对企业用户而言是只读的，目录服务器扩容后，会自动将新的目录服务器列表更新到每一个客户端(MDLAN和PDLAN)。端口设置：端口设置用于配置DLAN虚拟专网正常工作时需使用的TCP端口。该选项缺省已经设置好（4009、4010、4011三个端口），仅用于特殊情况时对该端口的修改。如果MDLAN前面或同一台计算机上安装了防火墙，需要将此三个TCP的端口打开，允许接受外部的连接。当安装DLAN的计算机上有微软Internet连接共享服务时,推荐选择1024以下的端口(如：709,710,711)。设置完毕，要按下“设置生效”按钮，确保设置生效。 支持单IP选项默认值也是选中状态。如果安装DLAN的计算机只有一个IP地址（例如安装在共享上网器之内的局域网计算机的情况，该计算机只有一个内网IP地址），该选项必须选中。算法管理：算法管理提供了对数据加密算法的设置，该加密算法会在DLAN构建的网络中、对所有的传输数据进行加密，以保障数据的安全性。DLAN内置了128位的AES加密算法。生成证书：DLAN采用了基于硬件特性的证书认证系统用于不同网络节点之间的身份认证。该证书提取了安装DLAN的计算机的部分硬件特性（如网卡、硬盘等）、生成加密的认证证书。由于硬件特性的唯一性，使得该证书也是唯一的、不可伪造的。通过对该硬件特性的验证，就保障了只有指定的硬件设备才能接入授权的网络，避免了安全隐患。点击“生成证书”按钮，就可以自动生成包含硬件特性的认证证书。这时需要将该证书通过某种方式（如电子邮件、或软盘等）提供给需要接入的网关（MDLAN）站点管理员，由该站点管理员对证书进行管理。以后每次连接其他站点时，如果该站点启用了“ID鉴权”功能，则每次都会自动验证接入的计算机身份的合法性。若计算机硬件更换，如CPU、硬盘或网卡等，请重新生成证书。内网服务设置网关（MDLAN）可以为接入移动用户指定相应的访问权限，可以限制某个用户所能访问总部内的特定计算机的特定应用。比如：允许移动用户A访问总部的的WEB服务器，禁止A访问总部的SQL数据库服务器等。设置内网服务权限的步骤：1、在总部创建内网服务；2、为特定的用户指定权限，缺省状况下接入的网关和移动具有所有的权限。举例说明：假设总部局域网IP地址为192.168.0.*；WEB服务器地址为192.168.0.2；内部EMAIL服务器（POP3、SMTP）为192.168.0.3。现有移动用户A和移动用户B，希望用户A能够访问WEB服务器、但不能收发内部邮件；用户B能够收发内部邮件、但不能访问WEB服务器。首先需要创建三个内网服务：1、Web服务服务名称－web服务，协议－TCP/IP，内网IP－192.168.0.2端口－80；2、收内部邮件服务名称－收内部邮件，协议－TCP/IP，内网IP－192.168.0.3端口－110；3、发内部邮件服务名称－发内部邮件，协议－TCP/IP,内网IP－192.168.0.3端口－25；QOS优先级别设置此处可以修改各个优先级别的QOS服务占用的带宽比例。所有优先级的带宽比例之和只能是100%，设置完毕，选中“启用QOS功能”，点击设置生效使QOS改变生效。高级设置建议用默认，不要修改。QOS服务策略设置QOS规则服务管理。针对不同数据业务的重要性，分别设置不同的QOS优先级别及带宽比列，达到同时发送不同数据业务的最优性能。如下图： 新建规则有向导界面，分4步完成。设置内容如下图。先给此规则起个形象的服务名和确切的描述，接着设置源、目的的IP设置。指定IP，可以指定单个IP，也可指定一段IP。上边是起始IP，下边是结束IP。点“下一步”。分别选择协议，指定源端口和目的端口。点“下一步”。选择一个优先级别，并选中启用该规则。注意，特权级不能设置QOS带宽。点下一步，就完成建立一个新规则。规则修改与规则建立的内容一样，如下图：InternetIP设置：当系统不能自动检测到正确的InternetIP时，在此设定。移动模式（PDLAN）如何安装运行PDLAN的安装程序，选择下一步，出现安装目录选择界面，选择要安装到的目录。一般情况下采用默认设置即可：选择下一步，安装驱动程序时，断开ADSL等网络拨号连接：安装完毕后，重新启动计算机：基本配置PDLAN首次启动时，会自动弹出向导配置窗口，根据向导进行如下配置。也可以通过“工具―→DLAN配置向导”进入配置向导界面。配置帐号和密码：虚拟专网帐号和密码是北方电信分配的用来登录目录服务器的。每一个企业的每一个网关和移动用户都会被分配一个唯一的帐号名和密码。网关和移动输入了正确的帐号和密码后，就可以在目录服务器上完成帐号验证和地址交换，建立网络通道。可点击“测试”按钮，来检查该帐号密码是否设置正确，目录服务器是否工作正常。点击“下一步”，出现如下界面，基本配置结束。虚拟专网控制台移动模式（PDLAN）的控制台只包含了虚拟专网控制台。主要有以下功能：虚拟专网帐号和密码设置：虚拟专网帐号和密码是用来登录北方电信的目录服务器的。在“DLAN安装向导”中对该选项已经进行了配置。连接管理： 客户所购买的网关用户会在此显示，且移动用户只能和网关用户直连。选中想要连接的网关。如果想和某个网关通过网上邻居互访等功能，选此网关即可。算法管理：算法管理提供了对数据加密算法的设置，该加密算法会在DLAN构建的虚拟专网网络中、对所有的传输数据进行加密，以保障数据的安全性。DLAN内置了128位的AES加密算法。生成证书：DLAN采用了基于硬件特性的证书认证系统用于不同虚拟专网节点之间的身份认证。该证书提取了安装DLAN的计算机的部分硬件特性（如网卡、硬盘等）、生成加密的认证证书。由于硬件特性的唯一性，使得该证书也是唯一的、不可伪造的。通过对该硬件特性的验证，就保障了只有指定的硬件设备才能接入授权的网络，避免了安全隐患。点击“生成证书”按钮，就可以自动生成包含硬件特性的认证证书。这时需要将该证书通过某种方式（如电子邮件、或软盘等）提供给需要接入的网关（MDLAN）站点管理员，由该站点管理员对证书进行管理。以后每次连接其他站点时，如果该站点启用了“ID鉴权”功能，则每次都会自动验证接入的计算机身份的合法性。若计算机硬件更换，如CPU、硬盘或网卡等，请重新生成证书。虚拟专网的使用 当完成上述安装及配置，DLAN系统状态显示正常时，虚拟专网通道就已经建立。这时便可以使用DLAN实现远程网络之间的互联互通和数据的安全传输。例如，在正常运行PDLAN的计算机上，进入DOS界面，直接ping一个MDLAN局域网内部计算机的IP地址（如192.168.0.1）。如果ping通，则表示虚拟专网已经连通。可通过在“开始”菜单－“查找计算机”中输入对方IP或计算机名的方式查看指定计算机所共享的资源，通过把指定目录映射成网络驱动器，即可随时访问该目录中的文件数据库（如Access），也可通过“网上邻居”直接查看另外一个MDLAN网络的网络资源。如果网关端所在的局域网有ERP、OA、CRM等内网服务，当移动端PDLAN接入后，就可以像在内网一样进行办公，使用内网所有的服务。也可以根据自己情况针对每个接入人员对访问内网的权限自行进行划分，权限可以细分到每个PC的每个服务。出现故障时，可通过“查看日志”，进入日志服务器、查看故障原因及现象。防火墙的安装及使用如何安装防火墙在网关（Mdlan）模式中可以选配，安装时与虚拟专网的安装同时进行，只需选中“DLAN企业防火墙”模块即可。需要注意的是：DLAN中采用的是基于状态检测技术的防火墙，是对整个局域网进行防护。所以，如果需要防火墙功能生效、安装防火墙的计算机必须具备两块网卡（或者一块网卡接内网、一个ADSL拨号接外网）。基本配置DLAN防火墙包括过滤规则设置，DMZ端口映射，上网权限限制。在“防火墙运行状态”窗口中可以监控和管理防火墙和NAT服务，包括启动、停止服务，监控服务状态。可以通过相应的按钮来启动防火墙和启动的服务。在这里可以监控防火墙服务和NAT服务的运行状态。状态共