DCME-320新UI快速配置手册

1、DCME-320新UI快速配置手册客服中心技术团队2013.8目 录1.产品介绍42.快速设置上网42.1.如何硬件连接？42.2.如何准备用于配置DCME-320的PC？52.3.如何登录DCME-320？52.4.如何配置上网？62.4.1.步骤一:设置WAN口模式62.5.如何恢复出厂设置？73.端口映射73.1.端口映射73.1.1.建立地址簿83.1.2.建立高级目的NAT条目93.1.3.策略自动生成103.1.4.建立源NAT条目104.IPSec配置（LAN-to-LAN）114.1.应用环境114.2.总部DCME-320设置124.2.1.建立IPSEC模版124.2.2.

2、建立动态VPN134.2.3.建立IPSec策略144.3.分部DCR路由器设置154.4.DCME-320查看VPN状态165.L2TP LNS设定175.1.应用环境介绍175.2.L2TP服务器配置185.3.L2TP用户管理185.4.拨入用户查看195.5.Win 7系统L2TP client 设置196.限速设定216.1.端口带宽控制216.2.IP QoS226.3.应用QoS237.SSL VPN配置247.1.应用环境247.2.创建SSL VPN登录用户257.3.SSL VPN服务器端配置257.3.1.创建SSL VPN实例257.3.2.定义资源配置267.3.3.

3、将用户与资源关联277.3.4.定义客户端下载配置287.3.5.SSL VPN在线用户297.3.6.SSLVPN客户端下载方式297.4.SSL VPN客户端配置298.WEB认证配置308.1.应用环境308.1.1.开启WEB认证功能318.1.2.创建WEB认证登录用户318.1.3.创建配置策略328.1.4.配置验证339.会话限制349.1.应用环境349.2.会话限制配置3510.URL过滤配置3610.1.应用环境3610.2.URL过滤配置3610.2.1.创建http_profile，启用URL过滤功能3610.2.2.设置URL过滤规则3710.2.3.在策略中引用p

4、rofile3711.DCME320配置文件管理3811.1.应用环境3811.2.将当前配置保存在本地或PC3811.3.将本地配置上传到DCME320并调用该配置3912.DCME320软件版本升级4012.1.应用环境4012.2.将软件从本地上传到DCME320401. 产品介绍DCME-320多核出口网关采用MIPS 64位多核高性能处理器，结合专用ASIC交换芯片，针对多用户数、多流量、多业务种类的业务需求而推出的新一代高性能互联网出口网关。建议并发带机数量： 300 端口组成： 8GE电口+2GE Combo+2 USB2.0+1 RJ-45 Console口+1 Reset键支

5、持接入方式： 静态IP、动态IP（DHCP获取）、PPPoE2. 快速设置上网2.1. 如何硬件连接？首先使用网线连接设备G1口至本地管理计算机，连接电源线(220V)。2.2. 如何准备用于配置DCME-320的PC？根据上图所示，选择使用如下IP地址，做如下配置：IP地址： 0 (或192.168.0.X子网内的任意地址除外)子网掩码： 默认网关： 2.3. 如何登录DCME-320？打开PC浏览器窗口，输入， 并按回车。当出现DCN网络管理登录页面，输入如下参数：

6、用户名：admin 密 码： admin验证码：1728 （每次登录验证码都会改变需要根据实际情况修改）点击“登录”进入DCME-320WEB管理界面。2.4. 如何配置上网？选择“快速向导”进入快速配置，两步轻松搞定上网！2.4.1. 步骤一:设置WAN口模式<1>根据外线数量选择“单外网口”、“双外网口”。<2>选择连接外线的接口（HG1,HG2,G1-G8）注意：HG1和HG2为高安全端口拥有多种硬件防护功能从容应对各种复杂外网环境，建议外网接口选用HG端口。<3>线路类型：1).如果是ADSL接入请选择“PPPoE获取地址”填入对应的“用户名”、“密

7、码”、“上行带宽”、“下行带宽”；2).如果是固定IP接入请选择“静态地址”填入对应的“IP/掩码长度”、“缺省网关”、“首选DNS服务器”、“备选DNS服务器”、“上行带宽”、“下行带宽”；步骤二：配置LAN口模式<1>根据内网需要要划分网段数量选择“单内网口”、“双内网口”。<2>选择用于连接内网设备的接口（G1G8）。<3>填入对应的“IP/掩码长度”。<4>内网用户是否需要自动获取IP？如果需要请启用“DHCP-Server”并填入“起始IP地址”、“结束IP地址”、“首选DNS服务器”、“备用DNS服务器”。设置完上述两步点击“下一步”

8、“完成”即可实现快速上网功能。2.5. 如何恢复出厂设置？DCME-320恢复出厂设置可以分为reset键恢复和WEB界面恢复两种方式。如果是reset键恢复出厂设置，可以使用细的小圆棒按住reset键15s左右即可！如果是WEB界面方式恢复进入【系统管理】-【基础选项】-【配置文件管理】如下图所示选择出厂配置后面的应用按钮即可完成出厂配置的恢复（WEB界面下恢复无需重启）。3. 端口映射3.1. 端口映射某客户内网有一台服务器地址为14 需要将此服务器的TCP 33389端口映射到外网地址19的TCP 33389端口。3.1.1. 建立地址簿进

9、入【基础网络】-【NAT选项】-【端口映射】-【新建端口映射】如下图所示完成后点击“多个”按钮，如下图所示地址类型： IP成员 IP成员： 14 （根据实际情况自行定义）完成后点击添加然后“确定”即可!另外还要建立一个正对外网接口IP的地址簿，IP成员为193.1.2. 建立高级目的NAT条目进入【基础网络】-【NAT选项】-【端口映射】新建“高级配置”如下图所示源地址： 地址簿地址簿： any目的地址：IP地址IP地址： 19应用： HTTP行为： NATNAT地址：IP地址地址簿： 14NAT端

10、口： 启用 端口：80模式： 端口映射完成后点击“确认”即可！3.1.3. 策略自动生成进入【网络安全】-【安全策略】如下图所示：源安全域：WAN源地址：Any目的安全域：LAN目的地址：14/32行为：允许3.1.4. 建立源NAT条目进入【基础网络】-【NAT选项】-【NAT】-【新建基本配置】如下图所示：源地址： Any出接口：HG1行为： NAT(出接口IP)完成后点击“确认”即可！4. IPSec配置（LAN-to-LAN）4.1. 应用环境总部使用我司的DCME-320作为出口，分部使用其他型号的DCR路由器。总部内网使用/24网段，分部使用1

11、/24网段，总部出口公网地址为/24,分部公网IP为/24。用户想要总部和分部之间的内网能够相互访问。4.2. 总部DCME-320设置4.2.1. 建立IPSEC模版进入【VPN】-【IPSec VPN】-【VPN模版】点击“新建”按钮新建模版如下图所示模版名称： IPSec （可以自行定义）协商模式： main （一般我们都选用主模式建立LAN-to-LAN IPSec）IKE VERSION：1P1(第一阶段协商参数)认证算法： pre-shared-key （预共享秘钥）加密算法： des （可选des、3des、aes128、aes1

12、92、aes256，IPsec两端必须一致）验证算法： md5 （可选sha1、md5，IPSec两端设备必须一致）DH组： 1 （可选 1、2、5 ，IPSec两端必须一致）生存时间： 300 （自己定义但IPSec两端必须一致）P2（第二阶段协商参数）加密算法： des （可选des、3des、aes128、aes192、aes256，IPSec两端必须一致）验证算法： hamc-md5 （可选hmac-sha1、hmac-md5，IPSec两端必须一致）PFS功能： 1 （可选1、2、5,IPSec两端必须一致）P2 SA生命周期 ： 300 （自行定义但IPSec两端配置必须一致）完成

13、后点击“确认”即可！4.2.2. 建立动态VPN如果使用IKE自动协商方式就选择”动态VPN”，如果需要手工协商就选择“静态VPN”，一般情况下我们优先选用IKE自动协商方式配置简单易于维护。进入【VPN】-【IPSec VPN】-【动态VPN】点击“新建”按钮如下图所示隧道名称： ipsec （自行定义名称）模版： ipsec （需要调用的IPSec模版名称）本端IP地址： （本地外网口的IP地址）对端地址类型： 静态IP （如果有多个站点接入直接写动态IP那就表明本端被动协商）对端IP地址： （对端设备的外网口地址） 预共享密钥： 12345 （自行定义，I

14、PSec两端一直即可） 完成后点击“确认”按钮即可！4.2.3. 建立IPSec策略进入【VPN】-【IPSec策略】点击“新建”按钮策略名称： ipsec （自行定义）匹配规则协议： any本地地址： /24对端地址： /24VPN名称： ipsec 模式： tunnel行为： esp （可选esp、ah，IPSec两端必须一致）优先级： 1完成后点击“确认”按钮即可！4.3. 分部DCR路由器设置!crypto isakmp key 0 12345 address 55crypto isakmp policy

15、 1 authentication pre-share hash md5 lifetime 300!crypto ipsec transform-set ipsec esp-des esp-md5-hmac!crypto map ipsec 0 ipsec-isakmp match address ipsec set peer set pfs group1 set security-association lifetime seconds 300 set transform-set ipsec! interface Loopback0 ip address 2

16、 no ip directed-broadcast ip http firewalltype 0!interface FastEthernet0/0 ip address crypto map ipsec!ip route default !ip access-list extended ipsec permit ip !4.4. DCME-320查看VPN状态进入【VPN】-【VPN监控】点击“SAD”可以查看当前I

17、PSEC是否建立成功如果建立在SAD可以看到如下信息：下图表示SA建立，IPSEC VPN已经建立成功。5. L2TP LNS设定DCME-320目前阶段只能提供L2TP LNS的服务，暂不支持L2TP LAC的功能。5.1. 应用环境介绍用户使用我司的DCME-320作为出口设备，现在需要让出差人员能够随时随地访问到公司的内部资源，考虑使用DCME-320的L2TP服务来实现这一需求。DCME-320外网口地址： .让出差人员分配得到/24段的地址访问内部网络。5.2. L2TP服务器配置进入【VPN】-【L2TP VPN】点击“L2TP服务”

18、按钮，如下图所示绑定IP： （提供给外网用户的公网IP，一般为设备外网口IP）DNS： 41 （L2TP用户获取地址后，使用的DNS服务器）加密方式： any （可选any、pap、chap，any表示pap、chap都可使用）本地地址： （本地的L2TP服务器的地址，根据实际情况定义）地址池： -0 （可以分配给L2TP用户的IP地址，自行定义地址范围不能小于16.）完成后点击“确认”即可！5.3. L2TP用户管理进入【VPN】-【L2TP VPN】点击“用户管理”按钮如下

19、图所示：用户名： dcn123 （根据实际情况自行定义）密码： dcn123 (根据实际情况自行定义)确认密码：dcn123 (根据实际情况自行定义，必须和密码一致)完成后点击“添加用户“按钮即可完成用户添加。注意：如果删除某个用户可以在”用户列表“里面找到该用户 点击后面的删除按钮即可！5.4. 拨入用户查看进入【VPN】-【L2TP VPN】点击”拨入列表“即可查看成功拨入的用户情况。可以查看如下信息：用户名、分配IP、拨入IP、拨入时间。5.5. Win 7系统L2TP client 设置进入【控制面板】-【网络和Internet】-【网络和共享中心】选择”设置新的连接或网络“连接到工作

20、区“后创建新连接。选择”使用我的Internet连接(VPN）(I)“如下图所示Internet地址： （L2TP服务器里面配置的绑定的公网IP）目标名称：VPN连接 （根据实际情况自定义）完成后点击“下一步”输入用户名密码，如下图所示完成后点击连接，后选择“跳过按钮”在桌面右下角的图标，选择新建的VPN连接将“安全”选项中”VPN”类型修改为“使用IPSec的第2层隧道协议（L2TP/IPSec）”，将“数据加密”修改为“可选加密”即可！如果不做修改会提示800错误。6. 限速设定DCME-320可以提供接口带宽控制、针对IP的带宽控制、针对应用的带宽控制。6.1.

21、 端口带宽控制进入【基础网络】-【接口选项】-【接口列表】-【HG1】如下图所示可以针对DCME-320上的外网口的上下行带宽分别控制。带宽的控制单位为kpbs（1M=1024k，设置的时候注意好单位的换算）6.2. IP QoSIP QoS是针对IP的带宽控制策略。进入【流量控制】-【IP QoS】如下图所示:规则名称： 自定义接口绑定： 根据实际情况选择需要关联的接口IP地址: 可以手动定义IP成员或地址范围控制策略可以针对每个IP在接口的上下行带宽分别控制。完成后点击“确认”按钮即可！配置完成后在下方IP QoS列表里面会看到已经配置的IP QoS策略。6.3. 应用QoS应用QoS是针

22、对应用的带宽控制策略。进入【流量控制】-【应用QoS】如下图所示：规则名称： p2p1 （根据实际情况自行定义）接口绑定： HG1 （根据实际情况绑定到对应的内网口）应用： HTTP多线程、P2P donwload （根据实际情况自行选择需要绑定的应用）接口上行： 1024 （单位为kbps，根据实际情况选择这个应用在接口上占用的带宽）接口下行： 1024 （单位为kbps，根据实际情况选择这个应用在接口上占用的带宽）完成后点击“确定”按钮即可！通过下方的QoS应用列表可以查看已经设定的应用QoS策略的基本情况。7. SSL VPN配置7.1. 应用环境用户使用我司的DCME-320作为出口设

23、备，现在需要让出差人员能够更加安全的访问到公司的内部资源，考虑使用DCME-320的SSL VPN接入内网。允许SSL VPN用户接入后访问内网的FTP Server：52；允许SSL VPN用户接入后访问内网的WEB Server：107.2. 创建SSL VPN登录用户进入【上网行为】-【用户管理】-【用户或用户组】点击“新建用户”按钮名称：wyliang (根据实际情况自行定义)密码：12345 (根据实际情况自行定义)重新输入密码：12345 (根据实际情况自行定义，必须和密码一致)描述： （自行定义）超时启用：（勾选后可以指定帐号的可用时

24、间）7.3. SSL VPN服务器端配置7.3.1. 创建SSL VPN实例进入【VPN】-【SSLVPN】-【实例配置】点击“新建”按钮新建模版如下图所示名称： SSLvpn (根据实际情况自行定义)SSL VPN端口： 4433 (根据实际情况自行定义)超始地址： (根据实际情况自行定义)结束地址：0 (根据实际情况自行定义)掩码： 255.255.525.0 接口：HG1完成后点击“确定”按钮即可7.3.2. 定义资源配置进入【VPN】-【SSLVPN】-【资源配置】点击“新建”按钮新建模版如下图所示名称： ftp或http (根据实际应用

25、服务填写)IP/网络掩码： 52/24 (内部服务器地址)完成后点击“确定”按钮即可7.3.3. 将用户与资源关联进入【VPN】-【SSLVPN】-【资源关联】点击“新建”按钮新建模版如下图所示类型： 用户或用户组 (根据实际应用服务填写)用户： wyliang (根据实际情况自行定义)资源： ftp、http (根据实际情况选用资源)完成后点击“确定”按钮即可7.3.4. 定义客户端下载配置进入【VPN】-【SSLVPN】-【客户端下载配置】如下图所示启用： 勾选 (根据实际情况进行勾选)模式： HTTP或HTTPS (根据实际情况自行选择)服务器端口： 4436 (

26、根据实际情况自行定义，范围102465535)完成后点击“确定”按钮即可7.3.5. SSL VPN在线用户进入【VPN】-【SSLVPN】-【在线用户】即可查看成功拨入的用户情况。可以查看如下信息：用户名、实例、登录时间、分配IP、公网IP、AAA服务器如下图所示7.3.6. SSLVPN客户端下载方式在IE浏览器中输入http:/DCME320登录地址:SSLvpn客户端下载端口号例如：54:4436点击“下载”按钮如下图所示客户端软件7.4. SSL VPN客户端配置客户端安装完毕后，点击图标如下图所示：服务器：19 （一般为D

27、CME320的外网口）端口：4433 （与实例中配置的SSL VPN端口号一致）用户名：wyliang密码：12345完成后点击“登录”按钮即可8. WEB认证配置8.1. 应用环境内网用户首次访问Internet时需要通过WEB认证才能上网，且内网用户为user1，其中用户user1在通过认证后可以浏览WEB界面。8.1.1. 开启WEB认证功能进入【上网行为】-【WEB认证】-【认证配置】新建模版如下图所示启用web认证： 勾选 (以启用web认证服务)模式： HTTP模式 (根据实际情况自行选择)HTTP服务器端口： 8181 (缺省值)重定向URL： (认证成功后跳转的界面，自定义)页

28、面超时： 260 (缺省值)完成后点击“确定”按钮即可8.1.2. 创建WEB认证登录用户进入【上网行为】-【用户管理】-【用户或用户组】点击“新建用户”按钮名称：webwyliang (根据实际情况自行定义)密码：123456 (根据实际情况自行定义)重新输入密码：123456 (根据实际情况自行定义，必须和密码一致)描述： （自行定义）超时启用：（勾选后可以指定帐号的可用时间）完成后点击“确定”按钮即可8.1.3. 创建配置策略进入【网络安全】-【安全策略】点击“新建”按钮webwyliang处于lan安全域，外网口处于wan安全域，需要配置1条策略策略-用户认证服务策略源安全域：lan源地址：any目的安全域：wan目的地址：any应用薄：any用户/组：webwyliang行为：允许8.1.4. 配置验证内网用户打开IE后输入某网站后可以看到页面马上重定向到认证页面，我们输入用户名和密码分别为webwyliang和123456认证通过后，访问某web时访问成功进入【上网行为】-【WEB认证】-【在线用户】界面：9. 会话限制9.1. 应用环境针对内网每IP限制TCP-ANY会话数到300条，针对内网每IP限制UDP-ANY会话数到200条。9.2. 会话限制配置进入【上网行为】-【会