ICEFLOWVPN产品配置手册(印刷版).pdf

ICEFLOW VPN 产品配置手册 尊敬的用户：尊敬的用户：感谢您选用 ICEFLOW 产品。本产品是为设计精良，高品质的 VPN 网关。为了方便您的使用，请仔细阅读并妥善保存本说明书，并按照本书说明进行操作。本说明书提供了 ICEFLOW VPN 系列的产品安装及配置使用权说明，包括导读、产品介绍、安装前的准备、ICEFLOW VPN 安装、快速配置指南、Web 详细配置、Console 口配置、Windows Vista 系统下移动用户使用方法、ISK 认证使用方法、FAQ 常见问题解答等几大部分。您可按照说明书所描述，自行完成产品的所有设置。其中系统配置有 Web 和Console 两种方式，您可根据需要任选一种进行配置。本手册适用于购买 ICEFLOW VPN 产品的用户，同时需要使用者具有 TCP/IP 的基础知识和一定的网络知识，熟悉电子设备的保护和使用。自始至终，冰峰网络将为您提供优质的服务，使用时如有问题，欢迎拨打冰峰服务热线，也可与当地服务商联系。冰峰网络对本手册的内容保留在不通知用户的情况下更改的权利。其版权归上海冰峰计算机网络技术有限公司所有。未经本公司书面许可，本手册的任何部分，不得以任何形式复制或传播。再次感谢您选用我公司的产品，由于产品的升级改进，您所得到的产品可能与说明书中图示不完全一致，谨此致歉。ICEFLOW VPN 产品配置手册 目目 录录 1.导读.1 1.1.界面风格.1 1.2.基本约定.1 1.3.出厂配置.1 1.4.技术规格.1 1.5.指示灯含义.2 1.6.硬件接口.2 1.7.环境参数.2 2.安装前的准备.3 2.1.注意事项.3 2.2.辅助设施.3 2.3.配件清单.3 3.ICEFLOW VPN 安装.4 3.1.硬件连接方法.4 3.2.安装后的检查.4 4.ICEFLOW VPN 快速配置指南.5 4.1.网络配置.5 4.2.Web 管理登陆界面.5 4.3.三种广域网接入配置.6 4.3.1.PPPoE 客户端(ADSL)配置.6 4.3.2.固定 IP 地址(专线)配置.8 4.3.3.DHCP 客户端(有线通)配置.10 4.4.验证配置.12 4.4.1.网络信息验证.12 4.4.2.VPN 信息验证.12 4.5.移动用户 SSL/PPTP 配置.13 4.5.1.SSL 用户配置.13 4.5.2.PPTP/L2TP 用户配置.14 4.5.3.客户端 SSL/PPTP/l2TP 登陆.16 4.6.WebSSL 用户配置与登陆.18 4.6.1.WebSSL 用户配置.18 4.6.2.WebSSL 用户登陆.21 5.ICEFLOW VPN Web 详细配置.24 5.1.网络配置.24 5.2.设备配置登录界面.24 ICEFLOW VPN 产品配置手册 5.3.系统监测.25 5.3.1.基本信息.25 5.3.2.网络信息.26 5.3.3.VPN.27 5.3.4.移动用户.27 5.3.5.流量监控.28 5.3.6.日志.29 5.4.网络配置.30 5.4.1.公网配置.30 5.4.2.局域网配置.31 5.4.3.功能口配置.32 5.4.4.NAT 配置.33 5.4.5.静态路由配置.36 5.4.6.动态路由配置.37 5.4.7.策略路由配置.39 5.4.8.VRRP 配置.41 5.4.9.公网监测.42 5.5.VPN 配置.43 5.5.1.ICEFLOW 专有 VPN 配置.43 5.5.2.手工 IPSEC 通道配置.45 5.5.3.SSLVPN 配置.47 5.5.4.SSLVPN 手工 SSL 通道配置.58 5.5.5.统一身份认证.61 5.5.6.PPTP/L2TP.65 5.5.7.许可管理.67 5.6.防火墙配置（VPN 高级功能）.68 5.6.1.规则列表.68 5.6.2.访问控制.68 5.6.3.端口映射控制.70 5.6.4.包转发控制.71 5.6.5.IPMAC 绑定.76 5.6.6.攻击防范.78 5.7.带宽管理.79 5.7.1.基本配置.80 5.7.2.规则管理.80 5.7.3.限定列表.81 5.8.高级功能.82 ICEFLOW VPN 产品配置手册 5.8.1.DHCP 配置.82 5.8.2.DNS 转发配置.84 5.8.3.集群模块.84 5.9.系统管理.85 5.9.1.启动列表.86 5.9.2.权限管理.86 5.9.3.群组管理.87 5.9.4.SNMP 配置.88 5.9.5.时间设置.89 5.9.6.备份设置.89 5.9.7.恢复设置.90 5.9.8.日志管理.90 5.9.9.超时设置.92 5.9.10.系统重启.92 5.10.统计报表.92 5.10.1.概述.92 5.10.2.SSL VPN 用户登录.93 5.10.3.SSL VPN 用户在线时长.95 5.10.4.SSLVPN 资源访问.96 5.11.退出.98 6.ICEFLOW VPN Console 口配置.99 6.1.配置电脑（超级终端）.99 6.2.基本配置.101 6.3.恢复默认密码.103 7.Windows Vista 系统下移动用户使用方法.105 7.1.1.Vista 系统下 SSL/PPTP 用户登陆方法.105 7.1.2.Vista 系统下 WebSSL 用户登陆方法.110 8.ISK 认证使用方法.112 9.FAQ 常见问题解答.114 9.1.硬件故障.114 9.1.1.ICEFLOW 设备状态是否正常.114 9.2.移动用户拨号常见问题.114 9.2.1.PPTP 拨号常见错误号.114 9.2.2.SSL 拨号常见问题.114 9.2.3.WebSSL 常见问题.115 ICEFLOW VPN 产品配置手册 1 1.导读导读 1.1.界面风格界面风格 ICEFLOW VPN 系列产品的 WEB 管理界面遵循浏览器的习惯用法，如下图所示：单选框：选中代表只选择此项。复选框：选中代表此选项所述功能被选中。命令按键：单击则执行该按钮的动作。文本框：输入相关参数。下拉列表：通过下拉列表可以找到可选择的项。1.2.基本约定基本约定 表示基本参数，描述参数基本涵义。如果界面中该参数后有“*”表示该参数为必填项。表示按钮，描述操作动作。表示说明，提出重点注意事项。1.3.出厂配置出厂配置 本路由器默认出厂配置如下表所示，管理员可以根据自己需求对相应参数进行修改，也可以通过超级终端连接 ICEFLOW VPN 后，使用“mode clear”命令恢复默认配置。admin 密码 Iceflow enable 密码 Iceflow 超时时间 300 秒 默认 lan 口地址 192.168.0.1 默认 func 网口地址 1.1.1.1 1.4.技术规格技术规格 基于 IPSec 国际标准协议 ICEFLOW VPN 产品配置手册 2 完善的路由功能 NAT 地址转换技术保护内部网络 内置 DHCP 服务器 内置 DNS 转发 目录服务器 高性能防火墙 内置 PPPOE SSH 终端控制 SSL/PPTP、WebSSL/WebTSSL 远程登陆 1.5.指示灯含义指示灯含义 指示灯指示灯 描述描述 Lan 局域网指示灯，该灯闪烁表明与局域网有数据通讯。Wan 广域网指示灯，该灯闪烁表明与广域网有数据通讯。Func 网络指示灯，根据配置可能会是局域网或广域网指示灯。System 系统指示灯，在有系统读写动作发生时将闪烁。Power 电源指示灯，该灯亮表眀设备电源已接通。1.6.硬件硬件接口接口 接口性质接口性质 功能描述功能描述 Power 电源接口。Lan 口 局域网口。Wan 口 广域网口。Function 口 功能口，根据配置需求可以配置成 WAN1 口或 LAN 口。Console 口 可通过 Console 线连接到客户机，进行配置。Com 口 根据需要连接，可连接 DB-9Console 或 Modem。Dmz 口 非军事化安全区域 1.7.环境参数环境参数 输入电压：220V 使用温度环境：040，使用环境湿度：1085%（相对，非凝结）ICEFLOW VPN 产品配置手册 3 2.安装前的准备安装前的准备 2.1.注意事项注意事项 基于 ICEFLOW VPN 产品的广泛应用及其在数据通信网络中担当的重要作用，在安装和使用过程中，特提出如下安全建议：请将安全网关放置在远离潮湿或远离热源的地方。请确认安全网关已经正确接地。请在安装维护过程中佩戴防静电手腕，并确保防静电手腕与皮肤良好接触。请不要带电插拔配置口(console)、备份口(COM)的电缆。建议用户使用 UPS(uninterrupted power supply，不间断电源)2.2.辅助设施辅助设施 在配置本产品之前，您需要配备一台电脑。若采用 Web 方式配置需直接通过单机连入设备 LAN 口或 FUNC 口。若习惯使用Console 方式配置，则需要该电脑装有超级终端软件，同时具有至少一个 9 针的 Com 接口。如果您运行的是 Microsoft 公司的 Windows95、Windows98 或 Windows2000 系统，需要检查其是否安装了“超级终端”程序。2.3.配件清单配件清单 在确认安装环境符合要求后，请打开 ICEFLOW VPN 产品包装箱，并对照定货合同及装箱单仔细核对安全。配件是否齐全如有疑问或差错，请与代理商联系。产品配件清单：项目项目 数量数量 ICEFLOW VPN 1 台 工具光盘 1 张 RJ45 网线 2 根（一根直通线，一根交叉线）RS232-RJ45 配置线 1 根 电源线 1 根 干燥剂 1 包 机架挂耳及螺丝 1 套 ICEFLOW VPN 产品配置手册 4 3.ICEFLOW VPN 安装安装 3.1.硬件连接硬件连接方法方法 第一步第一步：打开 ICEFLOW VPN 包装，取出设备、电源线、网线、配置线。第二步：第二步：确认电源开关为“OFF”状态，用电源线将 POWER 口接上电源。第三步：第三步：用 RJ45 直通线将路由器设备的 LAN 口连接到本地局域网（Swich 或 Hub）中。第四步：第四步：将公网网线连接到 VPN 的 WAN 口上。确认 ICEFLOW VPN 的 WAN 口同 ADSL Modem，DDN 或者 Cable Modem 的连接方式。由于各种设备之间区别较大，因此我们建议用户首先使用级联线，如果发生问题，可以再用正常网线试验（注意请将 ADSL Modem 设置成桥接模式或者恢复成出厂默认配置，同时将 ADSL Modem 断电重启）。第五步：第五步：如果用 Console 方式配置 VPN，就用 RS232-RJ45 配置线将 VPN 的 Console 口与控制终端（电脑的 Com 口）互联。以上连接完成，硬件安装即完成。打开设备电源，设备启动后，可以看到电源指示灯亮。若用 Console 方式配置，在电脑中启动超级终端应用程序，配置好终端参数，会看到有关ICEFLOW VPN 的启动信息和登陆提示。3.2.安装后的检查安装后的检查 在 ICEFLOW VPN 系列产品安装过程中，加电前均要进行安装检查，检查事项如下：请检查 ICEFLOW VPN 产品周围是否留有足够的散热空间，机柜是否稳固。检查电源线所接电源与要求的电源是否一致。检查 ICEFLOW VPN 与配置终端等其它设备的连接关系是否正确。两根 RJ45 的网线中一根是直通线，一根是交叉线。同类设备相连用交叉线，不同类设备用直通线。ICEFLOW VPN 产品安装完毕后的检查非常重要，因为安装的牢固与否、接地良好与否、电源匹配与否，将直接关系到产品的正常使用。ICEFLOW VPN 产品配置手册 5 4.ICEFLOW VPN 快速配置指南快速配置指南 4.1.网络配置网络配置 首先设置 PC 机的 IP 地址、子网掩码。ICEFLOW VPN 默认的 Lan 口 IP 地址是192.168.0.1，Function 口默认 IP 地址为 1.1.1.1。配置之前，必须确保用户的电脑与 ICEFLOW VPN 设备在同一个网段。如果用 Lan 口登陆，则可将 PC 机的 IP 地址设为：192.168.0.（但不能是 192.168.0.1），子网掩码为：255.255.255.0；如果用 Function 口登陆，则可将PC 机的 IP 地址设为：1.1.1.，子网掩码同样为 255.255.255.0。4.2.Web 管理登陆界面管理登陆界面 在浏览器里输入下列地址：http:/192.168.0.1:8080（Lan 口连接）或 http:/1.1.1.1:8080（Function 口连接），进入连接到 ICELOW VPN 设备，可见如下界面（图 41）：图图 41 登陆界面登陆界面 输入用户名、密码（ICEFLOW 默认用户名/密码为 admin/iceflow）用户名和密码均为小写，点击“登陆”，语言可以选择“中文”或“英文”。进入主界面。如下图（图 42）：ICEFLOW VPN 产品配置手册 6 图图 42 系统监测系统监测 4.3.三种广域网接入配置三种广域网接入配置 进入登陆页面后，管理员就可以开始配置网络信息了，根据上网方式的不同，可自由选择“PPPoE 客户端(ADSL)”、“固定 IP（专线）”或“DHCP（有线通）”三种接入类型。4.3.1.PPPoE 客户端客户端(ADSL)配置配置 单击左边菜单中的“快速配置”，进入快速配置向导页面。如下图（图 43）：图图 43 快速配置快速配置 选中“PPPoE（ADSL）类型”，点击“下一步”进入，填写 ADSL 帐号/密码信息。如ICEFLOW VPN 产品配置手册 7 下图（图 44）：图图 44 ADSL 配置配置 1 点击“下一步”，进入 LICENSE 设置。如下图（图 45）：图图 45 ADSL 配置配置 2 VPN 组名：冰峰公司提供的 8 位字母开头的字母字符串名称。节点名：冰峰公司提供的不超过 7 位字母开头字符串节点名称。LICENSE：冰峰公司提供的 16 位随机字符串。NAT-T：冰峰产品支持 NAT-T 功能，当路由器放在局域网内也能通过这一功能与另一端的 VPN 路由器建立 VPN 隧道，在用户网络环境较为复杂或者没有专门的公网线路给 VPN 设备单独使用的情况下，该功能将发挥作用。用户可以根据自己的网络环境来选择是否开启这一功能。但如果 VPN 设备不在局域网环境中，请不要选取此选项。点击“下一步”，进入局域网 IP 设定。如下图（图 46）：ICEFLOW VPN 产品配置手册 8 图图 46 ADSL 配置配置 3 内网 IP 地址：VPN 设备的 Lan 口 IP。子网掩码：子网掩码提供多种可选，用户根据情况自行选择。上一步：返回上一步操作。完成：结束 ADSL 方式配置，配置参数生效。重置：恢复到修改前的配置参数。说明：各个 VPN 节点必须在不同的网段，建议管理员在安装前对需要建立 VPN 连接的各LAN 作整体 IP 地址规划。完成以上简单配置操作后，ICEFLOW VPN 即可以正常工作了。如果需要实现更多高级功能，请参考 ICEFLOW VPN 产品详细配置手册。4.3.2.固定固定 IP 地址地址(专线专线)配配置置 大部分公网接入方式多为光纤用户，运营商会提供一个或多个固定的公网 IP 地址，单击左边菜单中的“快速配置”，进入快速配置向导页面,选中“固定 IP 地址(专线)”，进入固定 IP 地址配置。如下图（图 47）：图图 47 固定固定 IP 地址（专线）配置地址（专线）配置 1 点击“下一步”进入“固定 IP 地址(专线)”界面。如下图（图 48）：ICEFLOW VPN 产品配置手册 9 图图 48 固定固定 IP 地址（专线）配置地址（专线）配置 2 本地 IP 地址：VPN 设备的 Wan 口 IP。网关 IP 地址：由运营商提供的网关地址。子网掩码：子网掩码提供多种可选，用户根据运营商提供的线路申请确认单选择相应的子网掩码。点击“下一步”，进入“LICENSE 设置”界面。如下图（图 49）：图图 49 固定固定 IP 地址（专线）配置地址（专线）配置 3 VPN 组名：冰峰公司提供的 8 位字母开头的字母字符串名称。节点名：冰峰公司提供的不超过 7 位字母开头字符串节点名称。LICENSE：冰峰公司提供的 16 位随机字符串。NAT-T：冰峰产品支持 NAT-T 功能，当路由器放在局域网内也能通过这一功能与另一端的 VPN 路由器建立 VPN 隧道，在用户网络环境较为复杂或者没有专门的公网线路给 VPN 设备单独使用的情况下，该功能将发挥作用。用户可以根据自己的网络环境来选择是否开启这一功能。但如果 VPN 设备不在局域网环境中，请不要选取此选项。点击“下一步”，进入局域网 IP 配置界面。如下图（图 410）：ICEFLOW VPN 产品配置手册 10 图图 410 固定固定 IP 地址（专线）配置地址（专线）配置 4 内网 IP 地址：VPN 设备的 Lan 口 IP。子网掩码：子网掩码提供多种可选，用户根据情况自行选择。上一步：返回上一步操作。完成：结束固定 IP 方式配置，配置参数生效。重置：恢复到修改前的配置参数。完成以上简单配置操作后，ICEFLOW VPN 即可以正常工作了。如果需要实现更多高级功能，请参考 ICEFLOW VPN 详细配置手册。4.3.3.DHCP 客户端客户端(有线通有线通)配置配置 单击左边菜单中的“快速配置”，进入快速配置向导 1/4 界面。如下图（图 411）：图图 411 DHCP 客户端（有线通）配置客户端（有线通）配置 1 选中“DHCP 客户端（有线通），进入 DHCP 快速配置向导 2/4 界面。如下图（图 412）：图图 412 DHCP 客户端（有线通）配置客户端（有线通）配置 2 这里网关地址和本地 IP 地址均可自动侦测获得，单击“下一步”，进入 LICENSE 设ICEFLOW VPN 产品配置手册 11 定。如下图（图 413）：图图 413 DHCP 客户端（有线通）配置客户端（有线通）配置 3 VPN 组名：冰峰公司提供的 8 位字母开头的字母字符串名称。节点名：冰峰公司提供的不超过 7 位字母开头字符串节点名称。LICENSE：冰峰公司提供的 16 位随机字符串。NAT-T：冰峰产品支持 NAT-T 功能，当路由器放在局域网内也能通过这一功能与另一端的 VPN 路由器建立 VPN 隧道，在用户网络环境较为复杂或者没有专门的公网线路给 VPN 设备单独使用的情况下，该功能将发挥作用。您可以根据自己的网络环境来选择是否开启这一功能。但如果 VPN 设备不在局域网环境中，请不要选取此选项。点击“下一步”，进入局域网 IP 配置。如下图（图 414）：图图 414 DHCP 客户端（有线通）配置客户端（有线通）配置 4 上一步：返回上一步操作。完成：结束 DHCP 客户端方式配置，配置参数生效。重置：恢复到修改前的配置参数。完成以上简单配置操作后，ICEFLOW VPN 即可以正常工作了。如果需要实现更多高级功能，请参考 ICEFLOW VPN 详细配置手册。ICEFLOW VPN 产品配置手册 12 4.4.验证配置验证配置 完成上述三种广域网接入方式中任意一种配置操作后，可通过“系统监测”模块中“网络信息”和“VPN”子模块来查看当前配置是否生效。4.4.1.网络信息验证网络信息验证 在“网络信息”子模块中可对当前设备的公网口、局域网口、功能口及 DNS 的相关信息一目了然。如下图（图 415)：图图 415 网络信息网络信息 4.4.2.VPN 信息验证信息验证 在“VPN”模块中，可以看到本地 VPN 网段信息，以及对端公网地址、VPN 网段和各自加密的协议认证信息。通过此信息列表，可以一目了然的看到与本设备搭建的 VPN隧道连接的各节点状态。如下图（图 416）：ICEFLOW VPN 产品配置手册 13 图图 416 VPN 信息信息 4.5.移动用户移动用户 SSL/PPTP 配置配置 ICEFLOW VPN 支持“SSL”方式和“PPTP、l2tp”方式接入，主要用于移动用户连接 ICEFLOW VPN 时需要的用户名和密码，以及是否分配给移动用户虚拟的 IP 地址信息。4.5.1.SSL 用户配置用户配置 单击左边菜单“VPN”配置，选择“SSLVPN 配置”子模块，进入“用户管理”界面。如下图（图 417）：ICEFLOW VPN 产品配置手册 14 图图 417 SSL 设置设置 第一步：第一步：添加 SSL 用户名和密码，其中“引号”、“逗号”、“空格”、“”、“-”、“|”、“%”、“*”这八个符号不允许在用户名和密码中出现，用户名严格区分大小写。第二步：第二步：点击“提交”，添加的用户即可采用移动客户端拨号方式连接到内部局域网。如果您需要实现更多移动用户功能，请参考 ICEFLOW VPN 产品详细配置手册。4.5.2.PPTP/L2TP 用户配置用户配置 单击左边菜单“VPN”配置，选择“PPTP/L2TP”子模块，进入“PPTP 配置/L2TP 配置”界面。如下图（图 418）：ICEFLOW VPN 产品配置手册 15 图图 418 PPTP 设置设置 第一步第一步：选择模式，可分为“池模式”和“固定模式”，在两种模式只能选择一种，切换模式后，用户列表信息将清空，建议谨慎使用。第二步第二步：添加 PPTP/L2TP 用户名和密码，其中“引号”、“逗号”、“空格”、“”、“-”、“|”、“%”、“*”这八个符号不允许在用户名和密码中出现，用户名严格区分大小写。如ICEFLOW VPN 产品配置手册 16 果选择“固定模式”，则需要填写指定 IP 地址，池模式则不用，增强认证选择“密码验证”。第三步：第三步：点击“提交”，以上基本操作配置完成后，在 PPTP 用户列表中可以看到添加的用户信息。添加的用户即可采用移动客户端拨号方式连接到内部局域网。注：在 pptp 用户列表的用户名，在拨 pptp 或 l2tp 都是通用的。4.5.3.客户端客户端 SSL/PPTP/l2TP 登陆登陆 您的电脑连接到 Internet 后，登陆 http:/ 下载中心，下载冰峰客户端，通过虚拟拨号连接到 ICEFLOW VPN 设备上，从而接入内部局域网。SSL 用户与 PPTP 用户连接方式一致，这里例举 SSL 用户连接方法，详细方法如下：第一步：第一步：双击运行下载到本机的移动客户端，会自动生成一个移动客户端快捷方式图标，并弹出客户端对话框，在路由器地址栏填写需要连接的路由器地址，输入 SSL 用户名和密码后，点击“登陆”，在屏幕右下角出现“开始设置虚拟 IP”界面。如下图（图 419）：图图 419 客户端运行客户端运行 第二步：第二步：用户登陆成功后，在屏幕右下角出现 VPN 客户端状态框，双击屏幕右下角移动客户端小图标，可以看见 VPN 连接状态。点击“断开”，您可以断开 VPN 连接。如下图（图 420）：ICEFLOW VPN 产品配置手册 17 图图 420 客户端登陆成功客户端登陆成功 第三步：第三步：打开本机“开始运行”菜单，输入“cmd”,进入命令行界面，在命令行界面输入“ipconfig”可以看到本机已经获取到一个虚拟局域网 IP 地址 2.2.0.*，此时移动用户可以访问局域网内部资源信息。如下图（图 421）：ICEFLOW VPN 产品配置手册 18 图图 421 命令行验证命令行验证 第四步：第四步：选择“SSL 配置”，点击“查看状态”，可以看到 SSL 用户连接状态信息。如下图（图 422）：图图 422 查看状态查看状态 4.6.WebSSL 用户配置与登陆用户配置与登陆 WebSSL 用户登陆需要最基本的四个操作过程，分别为用户组创建、WebSSL 基本配置、WebSSL 站点资源发布。4.6.1.WebSSL 用户配置用户配置 Webssl 配置配置 ICEFLOW VPN 产品配置手册 19“webssl 配置”默认状态禁用的，需要启用才可使用。如下图（图 425）：图图 425 用户组管理配置用户组管理配置 WebSSL 配置配置 第一步第一步：基本配置基本配置 WebSSL 配置除包含 WebSSL 所有配置外，还需要进行 WebSSL 池地址设置，如下图（图426）：图图 426 WebSSL 池地址设置池地址设置 第二步第二步：添加站点资源：添加站点资源 ICEFLOW VPN 产品配置手册 20 站点资源添加，如下图（图 427）：图图 427 WebTSSL 资源发布资源发布 第三步：用户管理第三步：用户管理 单击“用户管理”，选择组名，创建 WebSSL 用户名，密码和增强认证方式（默认为密码认证），点击“提交”即可。如下图（图 428）：图图 4281 WebSSL 用户创建用户创建 ICEFLOW VPN 产品配置手册 21 图图 4282 WebSSL 高级选项高级选项 图图 4283 WebSSL 用户用户列表列表 4.6.2.WebSSL 用户登陆用户登陆 用户通过 WebSSL 方式登陆后，如下图（图 429）：ICEFLOW VPN 产品配置手册 22 图图 429 WebSSL 用户用户登陆登陆 注：首次登陆成功后，点击“控件”安装 webssl 插件，如需要卸载插件直接点击“卸载”，即可。如上图（图 4-30）：ICEFLOW VPN 产品配置手册 23 登录成功之后可以再本地的计算机开始-运行-输入：ipconfig 可以看到获得的虚拟地址。如上图（图 4-31）：ICEFLOW VPN 产品配置手册 24 图图 432 WebSSL 虚拟通道状态虚拟通道状态 虚拟通道建立成功后，WebSSL 用户即可访问发布的站点资源，WebSSL 用户修改密码 5.ICEFLOW VPN Web 详细详细配置配置 5.1.网络网络配置配置 网络配置请参照快速配置指南 4.1 章节。5.2.设备设备配置配置登录界面登录界面 在 IE 浏览器里输入下列地址：http:/192.168.0.1:8080（LAN 口连接）或http:/1.1.1.1:8080（Function 口连接），进入连接到 ICELOW VPN 路由器，可见如下界面（图 5-1）：ICEFLOW VPN 产品配置手册 25 图图 51 WEB 登陆界面登陆界面 输入用户名、密码（ICEFLOW 默认用户名/密码为 admin/iceflow）用户名和密码均为小写，点击“登陆”，进入“系统监测”界面。5.3.系统监测系统监测 在“系统监测”模块中，包括以下子模块：“基本信息”、“网络信息”、“VPN”、“移动用户”、“手工 ssl 通道”“流量监控”、“日志”。5.3.1.基本信息基本信息“基本信息”模块中显示了设备当前时间、启动时间、序列号、软件版本以及当前设备工作中系统的各项资源的消耗情况，包括 CPU 的负载、内存、并发会话连接数等。如下图（图 52）：ICEFLOW VPN 产品配置手册 26 图图 52 基本信息基本信息 5.3.2.网络信息网络信息 在“网络信息”子模块中管理员可对当前设备的公网口、局域网口、功能口及 DNS 的相关信息一目了然。如下图（图 53）：图图 53 网络信息网络信息 ICEFLOW VPN 产品配置手册 27 5.3.3.VPN 在此模块中，管理员可以看到本地 VPN 网段信息，以及对端公网地址、VPN 网段和各自加密的协议认证信息。通过此信息列表，管理员可以一目了然的看到与本设备搭建的 VPN隧道连接的各节点状态。如下图（图 54）：图图 54 VPN 通道信息通道信息 5.3.4.移动移动用户用户 在“移动用户”子模块中，管理员可以查看以 PPTP 方式拨入的在线用户使用情况，还可以查看以 SSL 拨入和 PPTP 用户登陆时间和隧道类型，并可对其进行断开操作。如下图（图 55）：ICEFLOW VPN 产品配置手册 28 图图 55 移动移动用户用户信息信息 5.3.5.流量监控流量监控“流量监控”子模块中包含了“接口流量”和“单机流量”，“接口流量”的主要功能是为了监控路由器各物理接口和逻辑接口出入双向的数据流量。在此模块中，管理员可以监测到本设备各网口及 VPN 的接收数量、接受速率、发送数量和发送速率等。如下图（图56）：图图 56 接口流量接口流量 选择“单机流量”，可以对多个网段进行流量监控，如下图（图 57）：ICEFLOW VPN 产品配置手册 29 图图 57 单机流量单机流量 5.3.6.日志日志“日志”体现了本产品的安全管理功能，它记录了系统发生的所有事件，管理员可以根据它来检查错误发生的原因，记录攻击时攻击者留下的“罪证”。管理员可以选择“系统”、“VPN”、“移动用户”、“访问”、“告警”、“错误”、“调试”或“防火墙”来查看相关信息，可以将日志下载到本地保存，也可对本地显示的日志进行清空处理。还可以通过关键字进行搜索。如下图（图 58）：图图 58 日志日志 ICEFLOW VPN 产品配置手册 30 5.4.网络配置网络配置 本模块包括以下子配置模块：“公网配置”、“局域网配置”、“功能口配置”、“NAT 配置”、“静态路由配置”、“动态路由配置”、“策略路由配置”、“VRRP 配置”、“公网监测配置”，在前面快速配置完成之后，管理员在日常使用之中可以通过本模块对网络配置进行更详细的调整。5.4.1.公网配置公网配置 单击左边菜单栏中的“网络配置”，进入“公网配置”子模块。状态：系统状态信息，分为“启用”和“禁用”两种。广域网接口：在广域网接口类型中，有 WAN 口和 WAN1 口两种接入方式可供选择（根据产品型号不同可选择的接入方式也不同）。广域网接入类型：在广域网接入类型选项中包括 PPPOE 客户端（ADSL）、固定 IP 地址（专线）、DHCP 客户端（有线通）三种模式。PPPOE 客户端（ADSL）：选择“PPPOE 客户端（ADSL）”，填写 ADSL 帐号信息，并自由选择“MTU”为自动或手动，若“MTU”选为“手工”，可自行填写其大小值。用户可以启用公网监测功能来帮助判断公网口的连接状态。填写如下图（图 59）：图图 59 公网配置公网配置 1 提交：所做的配置提交成功后即可生效。ICEFLOW VPN 产品配置手册 31 重置：恢复到修改前的配置参数。说明：最大传输单元（MTU）：网络上传送的最大数据包长度，大部分网络设备的 MTU 缺省值为 1500 字节（MTU 单位为字节），VPN 拨号连接时将自动与对方设备协商，除非特别应用，建议不要修改。固定 IP 地址（专线）：选定“固定 IP 地址（专线）”填写固定 IP 相关信息，并可在WAN 口上绑定多个 IP 地址，还可对绑定 IP 进行增减操作，并可自由选择“MTU”为自动或手动，配置多公网线路时，用户可以启用公网监测功能来帮助判断公网口的连接状态。DHCP 客户端（有线通）：若是 DHCP 客户端操作，仅选择“MTU”为自动或手动，若“MTU”选为“手工”，可自行填其大小值。管理员可以启用公网监测功能来帮助判断公网口的连接状态。5.4.2.局域网配置局域网配置 选择左边菜单栏中的“网络配置”，进入“局域网配置”子模块，填写局域网 IP 详细信息，。状态：显示当前局域网状态信息，可分为“启用”和“禁用”两种。内网 IP 地址：设定局域网 IP 地址，一般为设备 LAN 口 IP。子网掩码：子网掩码提供多种可选，用户根据情况自行选择。序号：在 LAN 口上可绑定 99 个逻辑网段。局域网 IP 地址：支持绑定多个局域网 IP 地址。如下图（图 510）：ICEFLOW VPN 产品配置手册 32 图图 510 局域网配置局域网配置 绑定局域网 IP 列表：通过浏览“绑定局域网 IP 列表”信息来确定内网哪些 IP 地址被绑定，避免重复设置该 IP 地址的情况发生，还可对绑定的局域网 IP 地址进行删除。提交：所做的配置提交成功后即可生效。重置：恢复到修改前的配置参数。5.4.3.功能口配置功能口配置 在“功能口配置”子模块中，根据需要可将功能口作为“局域网口”、“公网口”、“检测口”或“DMZ”口，进行相应配置。选择为局域网口 局域网口 IP 地址：VPN 设备的 LAN 口 IP 子网掩码：子网掩码提供多种可选，用户根据情况自行选择。如下图（图 511）：ICEFLOW VPN 产品配置手册 33 图图 511 功能口配置功能口配置 若作为公网口，详细参数可在“网络配置”栏目中的“公网配置”里选择“广域网接口”进行 WAN1 口设置。若作为监测口或 DMZ 口，即设置相应类型口的 IP 地址，并均可重置。说明：DMZ（非军事化区）：DMZ 的安全性介于外部网络和内部网络之间，用来部署对外提供服务的主机，DMZ 内通常放置一些不含机密信息的公用服务器，比如 Web、Mail、FTP 等。这样来自外网的访问者可以访问 DMZ 中的服务，但不可能接触到存放在内网中的公司机密或私人信息等。即使 DMZ 中服务器受到破坏，也不会对内网中的机密信息造成影响。5.4.4.NAT 配置配置 在默认情况下，ICEFLOW VPN 设备会自动使用动态 NAT 方式对内部地址进行转换从而访问公网。基本配置基本配置 启用：选择此功能后即处于路由模式。关闭：选择此功能后即处于透明模式。提交：提交后所做配置即可生效。重置：用于对所有 NAT 规则的清空及重新设定，建议慎重使用。ICEFLOW VPN 产品配置手册 34 如下图（图 512）：图图 512NAT 基本配置基本配置 源地址转换（源地址转换（SNAT）“SNAT”是源地址转换，作用在于将 IP 数据包的源地址转换成另外一个地址，并且保存修改前后的映射关系，根据需要进行还原操作。即出去的时候改变源地址，回来的时候改变目标地址。编辑方式：分“追加”、“插入”、“修改”三种操作方式，如果要添加 NAT 规则，就必须选择其中之一。源地址：有“IP 地址”、“地址网段”、“地址范围”、“MAC 地址”和“所有”5 个选项，用户可以根据自己的实际需求来选择。目标地址：可根据“IP 地址”、“地址网段”、“地址范围”和“所有”来选择。协议类型：分为“TCP”、“UDP”、“BOTH”和“ALL”四种，默认为 TCP 协议。源端口列表：源地址的一些应用程序的端口或者所有。目标端口列表：目标地址的应用程序的端口或者所有。出口：可以选择“LAN”、“FUNC”、“VPN”、“WAN”和“WAN1”口来作为出口选择。转换源地址为：将 IP 数据包的源地址转换成另外一个地址.删除：在 SNAT 规则列表中，可对单条规则列表进行“删除”操作。提交：提交后所做的 SNAT 规则即可生效。重置：用于对所有 SNAT 规则的清空及重新设定，建议慎重使用。如下图（图 513）：ICEFLOW VPN 产品配置手册 35 图图 513 源地址转换源地址转换 目标地址转换（目标地址转换（DNAT）“DNAT”是对数据包的目标地址进行转换，保存修改前后的映射关系，并且根据需要进行还原操作。即进来的时候改变目的地址，出去的时候改变源地址。编辑方式：分“追加”、“插入”、“修改”三种操作方式，如果要添加 NAT 规则，必须选择其中之一。源地址：有“IP 地址”、“地址网段”、“地址范围”、“MAC 地址”和“所有”5 个选项，管理员可以根据自己的实际需求来选择。目标地址：可根据“IP 地址”、“地址网段”、“地址范围”和“所有”来选择。协议类型：分为“TCP”、“UDP”、“BOTH”和“ALL”四种，