Web 界面配置指导界面配置指导 Version 4.0 Hillstone 山石网科 Hillstone version 4.0 1 目录目录 一、一、 设备的登录设备的登录 ........................................................................................................................... 2 二、二、 基本上网配置基本上网配置 ........................................................................................................................ 3 三、三、 端口映射端口映射 ............................................................................................................................... 8 四、四、 IPSECVPN 两种模式的配置两种模式的配置.................................................................................................. 14 五、五、 SCVPN 配置配置 ......................................................................................................................... 19 六、六、 WEB 认证上网功能配置认证上网功能配置 ...................................................................................................... 23 七、七、 URL 日志记录日志记录 ...................................................................................................................... 26 八、八、 IP-MAC 绑定实现绑定实现 IP 或或 MAC 变更不能上网变更不能上网........................................................................ 28 九、九、 设备恢复出厂操作设备恢复出厂操作 .............................................................................................................. 30 十、十、 AAA 服务器使用服务器使用 AD 域类型的配置域类型的配置 .................................................................................... 31 十一、十一、 SCVPN 调用两个调用两个 AAA 服务器中的用户认证登录服务器中的用户认证登录 ........................................................... 34 十二、十二、 HA 配置注意事项配置注意事项 ............................................................................................................ 35 Hillstone version 4.0 2 一、一、 设备的登录设备的登录 设备默认的管理接口为 ethernet0/0, 登录的 ip 为 192.168.1.1,, 默认的管理账号为 hillstone, 密码为 hillstone。
把本地电脑网卡填写 IP 为 192.168.1.2,使用 web、telnet、ssh 均可登录, ,在浏览器中输入 192.168.1.1 就可以通过 WEBui 的方式登录管理设备 注意:注意:如果是如果是 SG6000-NAV 系列的系列的 http 的服务端口统一为的服务端口统一为 9090,,https 的服务端口统一为的服务端口统一为 8443所以默认登录该设备的所以默认登录该设备的 WEBui 的方式为的方式为 http://192.168.1.1:9090,或或 https://192.168.1.1:8443 登录的账号密码都为登录的账号密码都为 hillstone Hillstone version 4.0 3 二、二、 基本上网配置基本上网配置 1.设置接口信息 购买的宽带地址是静态 IP,一般会营业厅会告知 IP 地址、子网掩码、网关、DNS 例如 IP 地址 200.0.0.188 子网掩码 255.255.255.0 或 24,网关 200.0.0.1 DNS 202.106.0.20 配置外网接口,ethernet0/1 为连接外网的接口 【网络】>>【接口】,在接口列表中选择 ethernet0/1,点击该接口后面的“编辑”按钮 显示接口配置界面如下:配置完基本信息,点击“确认” 上面是静态 IP 的使用,如果是 ADSL 拨号, 【网络】>>【PPPoE 客户端】 新建 填写使用的用户名和密码 Hillstone version 4.0 4 外网接口调用 PPPoE,选择【设置路由】启用,勾选后不需要创建第 2 步的目的路由 Hillstone version 4.0 5 配置内网口,比如 ethernet0/3 连接内网: ethernet0/3 的配置界面如下: 配置完基本信息,点击“确认” 2.增加内网上网的目的路由 【网络】>>【路由】>>【目的路由】 , 填写完信息,点击“确认” Hillstone version 4.0 6 3.增加内网用户上网的 NAT 配置 【防火墙】>>【NAT】>>【源 NAT】 ,点击“新建” 选择“基本配置” : 选择出接口,点击“确认” 。
4.增加内网用户访问外网的策略 【防火墙】>>【策略】 ,源安全域选择“trust” ,目前安全域选择“untrust” ,点击“新建” 点击“新建”显示如下: Hillstone version 4.0 7 选择服务簿、设备行为,点击“确认” 配置完以上四步后,就可以实现内部用户的基本上网 命令行配置: 进入 config 配置模式 接口配置 interface ethernet0/1 zone “untrust“ ip address 200.0.0.188 255.255.255.0 manage ping manage ssh manage https exit interface ethernet0/3 zone “trust” ip address 192.168.2.1 255.255.255.0 manage ping manage ssh manage https exit 路由和 NAT 配置 ip vrouter “trust-vr“ snatrule id 1 from “Any“ to “Any“ eif ethernet0/1 trans-to eif-ip mode dynamicport ip route 0.0.0.0/0 200.0.0.1 exit 配置策略 policy from “trust“ to “untrust“ rule from any to any service any permit exit Hillstone version 4.0 8 三、三、 端口映射端口映射 1、最好先配好地址薄和服务薄,映射的地址都用 32 位掩码,4 个 255。
服务可以先查看是 否有预定义好的,可以自定义 2、点击配置界面 “目的地址”点击 新建,显示如下 Hillstone version 4.0 9 “服务” ,下拉框中选择“自定义服务” ,选择“新建” ,具体配置如下: Hillstone version 4.0 10 点击“新建”如下: 端口端口是是范围就写最小最大,是一个端口只需要写最小即可,源端口不填写范围就写最小最大,是一个端口只需要写最小即可,源端口不填写 “映射目的地址” ,选择“新建” 点击新建,显示如下: Hillstone version 4.0 11 “映射到端口” ,填写如下: 点击确定后显示如下: “点击编辑”显示如下: Hillstone version 4.0 12 点击“确认”后显示如下 (如图 id 为 3 的项) : 1. 允许从外面访问该映射的监控服务器 【防火墙】>>【策略】>>新建,显示如下 点击“新建” ,具体配置如下: Hillstone version 4.0 13 以上配置完成后外网即可正常访问 注意: 配置地址簿和服务薄时 信息要修改成实际使用的地址和服务端口号 使用中会遇到的问题:使用中会遇到的问题: 3、映射 HTTP 网站或 FTP,内网用户使用公网的域名无法访问,因为解析的地址是公网 IP (此生不包含内网有自己建的 DNS 服务器可以解析到私网地址的情况) 。
这就需要我们再做一个策略 如果服务器和客户 PC 同属 trust 安全域,做 trust 到 trust 策略放行即可 如果服务器和客户 PC 分属不同安全域,如服务器属 DMZ,客户 PC 属 trust,做 trust 到 DMZ 策略放行即可 4、有时服务器使用双网卡,造成外网用户访问服务器不正常 这是因为用户访问的公网地址经过目的 NAT 的转换,找到服务器其中的一个网卡地址,但 服务器回包却用另外一个网卡的地址回包,所以造成访问的异常 这时通过做一条源 NAT 来解决,首先要知道服务器连接防火墙的哪个接口,然后做 SNAT, 出接口就是防火墙连服务器的那个接口,做出接口地址转换 5、服务器和内网客户 PC 分属不同三层交换机下,但三层交换机间有互连,这时需要也需 要做服务器连的三层交换机和防火墙互连的内网接口的 SNAT Hillstone version 4.0 14 四、四、 IPSecVPN 两种模式的配置两种模式的配置 1、创建 IPSecVPN 2、创建策略模式使用策略调用 VPN,或路由模式使用隧道接口调用 VPN 3、创建其它 【VPN】>>【IPSec VPN】创建 IPsecVPN 创建第一阶段 Hillstone version 4.0 15 第二阶段选择 tunnel 模式,代理 ID 就是两边要通信的内网网段地址,服务选择 any。
同样,对端的设备按照实际的网络接口信息,配置相应的提议和模式即可 2、路由模式 VPN 【网络】>>【接口】 创建隧道接口并关联 IPSecVPN Hillstone version 4.0 16 对端也是如此 Hillstone version 4.0 17 创建策略 【防火墙】>>【策略】 对端设备也是如此配置 3、策略模式 IpsecVPN,不需要创建隧道接口和路由,需要用策略和 SNAT 不转换来使流量 加解密 先创建两条地址薄,本地和对端的 创建 SNAT 不转换,选择 SNAT 高级配置,源地址和目的地址一定要是两端内网做 VPN 加密 的地。