最新VPN3005S安装手册.doc

《最新VPN3005S安装手册.doc》由会员分享，可在线阅读，更多相关《最新VPN3005S安装手册.doc（45页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-dateVPN3005S安装手册第4章 组播路由MPSec VPN3005S安装手册本手册著作权属迈普通信技术股份有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。侵权必究。策 划： 研究院 资料服务处 * * *迈普通信技术股份有限公司地址：成都市高新区九兴大道16号迈普大厦技术支持热线：400-886-8669传真：（+8628）85148

2、948E-mail：support网址：邮编：610041* * *版本：2011年7月第V1.0版编号：MP/DC-RD-CPSJ-111-N2011-0005前 言版本说明本手册适用于MPSec VPN3005S安全网关设备本书简介MPSec安全网关系列设备包括MPSec VPN3005S、MPSec VPN3010S、MPSec VPN3030S、MPSec VPN3030E共4个型号。下面就MPSec VPN3005S安全网关设备硬件的相关信息进行简要描述，以便工程师或用户在安装、采购设备的过程予以参考：本手册主要讲述如何安装MPSec VPN3005S安全网关设备。l 第1章 产品简

3、介。这一部分主要介绍MPSec VPN3005S安全网关设备的硬件特性、系统特点以及MPSec VPN3005S安全网关设备所提供的各种接口的物理特性、连接特性和功能特性。l 第2章 安装准备。这一部分主要介绍 MPSec VPN3005S安全网关设备对使用环境的要求和安装过程中的注意事项。l 第3章 系统安装与初始化这一部分主要介绍MPSec VPN3005S安全网关设备在各种应用模式下的安装与初始化过程。读者对象l 网络工程师l 技术推广人员l 网络管理人员本书约定命令行关键字用加粗表示；命令行参数用斜体表示。大括号“ ”表示括号中的选项是必选的；中括号“ ”表示括号中的选项是可选的；“%

4、 注意”表示需要读者注意的事项，是安装、安全的关键之处，希望用户能认真阅读。“& 注”表示对前面内容的注解；“& 图解”表示对图例的文字解释。声明由于产品版本升级或其它原因，本手册内容会不定期进行更新。除非另有约定，本手册仅作为使用指导，本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。环境保护 本产品符合关于环境保护方面的设计要求，产品的存放、使用和弃置应遵照相关国家法律、法规要求进行。目 录第一章 产品介绍61.1系统特点61.2硬件特性101.2.1产品整体外观图101.2.2MPSec VPN3005S前面板说明101.2.3MPSec VPN3005S（产品名称）后面板说明1

5、11.2.4MPSec VPN3005S（产品名称）系统说明11第2章安装准备132.1安全建议132.2环境要求132.2.1运行环境132.2.2洁净度要求132.2.3防静电要求132.2.4电磁环境要求142.2.5防雷击要求142.3检查设备及附件152.3.1MPSec VPN3005S（产品名称）基本配置及附件152.4需要的工具和设备15第3章系统安装与初始化163.1MPSec VPN3005S（产品名称）主机安装163.1.1主机安装与启动163.1.2MPSec VPN3005S安全网关初始化163.1.3MPSec VPN3005S安全网关初始配置17-第一章 产品介绍

6、1.1 系统特点MPSec VPN3005S安全网关是集成了VPN、防火墙、入侵防御和流量控制技术的软硬件一体化专用安全设备，有效地实现了“主/被动安全防御”的完美结合。MPSec VPN3005S安全网关采用自主设计的安全操作系统，具有高可用性、高易用性、高扩展性和高安全性。经过简单配置即可方便地在企业总部和分支机构、移动用户以及合作伙伴之间建立安全的信息传输通道，对传输的数据进行有效的安全保护。l 全方位的传输保护 支持IPSec/IKE协议IPSec作为一个全球性的VPN安全标准，要求所有IPSec的实现必须严格遵循其各种协议规范，以便实现不同产品之间的互通。IPSec协议能够对网络通信

7、报文提供ESP加密和AH验证服务，从而保证报文传输的机密性和合法性。VPN安全网关设备产品已经全面支持IPSec和IKE协议，并且经过严格的互通性测试，能够和Cisco、Juniper、MicroSoft等著名厂家的VPN产品实现互通。系统加密算法支持DES、3DES、AES等，验证算法支持MD5和SHA1。 支持L2TP协议L2TP协议是一种2层VPN协议，为了能够兼容用户已有的L2TP网络，VPN安全网关设备也可以支持L2TP协议，能够作为L2TP服务器，允许Windows客户端接入内部网络，也可以作为L2TP客户端接入其他L2TP服务器。 支持SSL VPNSSL VPN采用标准的SSL

8、协议标准，因此用户在客户端只需要使用标准的Web浏览器连接Internet网，通过网页即可以访问SSL VPN内网的保护资源。相对于使用IPSec VPN的用户来说，使用SSL VPN之后，管理员省去安装和维护大量客户端的麻烦，网络的管理成本和运营成本也随之降低。 集成强大的访问控制用户的内部网络不仅面临着来自Internet上的攻击，还面临着来自远程VPN接入端的非法访问。因此VPN安全网关设备自身具有包过滤模块和防火墙模块，能够实现内部网络和外部网络的隔离，可以在防火墙模块上添加相应的访问规则来允许或禁止外部网络到内部网络的访问。VPN安全网关设备中的防火墙模块采用高性能的基于全状态检测的

9、防火墙引擎，对来自Internet上的和远程VPN接入端的请求和应答全部进行规则检查，从而极大的防止了入侵者通过数据驱动方式对内部网的攻击。通过对连接表进行优化，防火墙模块能够最大支持100万条并发连接，从而满足高端用户的通信需求。 防火墙和VPN的联动功能一方面VPN报文被加密传输之前和解密到达后需要通过防火墙的安全检测，才能防止住通过VPN隧道进行的网络攻击。另一方面，由于防火墙具有强大的地址转换功能，因此对于一些特殊的网络环境就需要对通信数据先进行地址转换，然后再进行VPN隧道的封装，例如地址冲突等情况。VPN安全网关产品通过内置的功能强大的防火墙模块可以方便的进行联动，从而灵活的适应各

10、种网络的需求。l 高性能的通信保障 支持带宽叠加，成倍增加上网带宽VPN安全网关设备可以扩展支持多个外出链路，最大可以支持16条线路捆绑和负载均衡，当然这受到物理网口数的限制。多线路捆绑技术给用户带来的好处是显而易见的。首先就是带宽的成倍提升，另一个好处就是系统的稳定性大大增强。正常情况下用户上网流量将根据带宽比例从不同的线路外出，而当任何一条线路出现故障时，数据可以无缝切换到其他正常线路，保证了整个系统的持续可靠运行。 采用隧道压缩技术，提高吞吐率VPN安全网关设备可以支持隧道压缩，用户如果选择启动压缩功能，那么隧道通信的数据将首先进行压缩，然后再进行加密。由于压缩减小了数据长度，因此也就提

11、高了加解密的速度。根据实际测算压缩功能可以极大地减小文本、数据库等数据信息，压缩比可以达到1：1，从而使传输速度提高近一倍，但是对于图片、视频等数据则无法进行压缩。因此用户如果主要进行电子办公，那么可以选择压缩功能来提高VPN的传输速度。 高品质的带宽管理，保障关键通信用户进行网络访问除了普通的因特网浏览之外，也包含重要的业务通信。为了保障重要的业务通信能够得到快速处理，就必须提供对不同类型通信的带宽控制。VPN安全网关设备提供精确的动态带宽管理功能，可根据因特网接入的总带宽，定量的控制不同业务类型数据所占用的带宽比例。同时采用了自适应的动态管理策略，当某一类型通信数据流没有达到额定带宽时，其

12、他类型通信可以自动借用该类型剩余的带宽，而当该类型数据流加大时，其他类型通信又会自动让出占用的数据带宽，从而即可以确保数据的通讯质量，又不会造成不必要的带宽资源浪费。l 强大的网络部署能力 支持全动态组网目前国内常用的因特网接入方案（包括电话拨号、ISDN拨号、ADSL宽带接入等等）都是由ISP为接入用户动态分配临时IP地址，而主动向动态IP地址发起访问是困难的。所以对于企业内部全动态地址接入的情况，VPN安全网关设备网关可以自动进行动态域名注册，发起隧道时首先进行域名解析，就可以自动获得对方设备的当前IP地址。 支持双边NAT所谓双边NAT模式，是指通讯的双方都在NAT环境中（即：都采用保留

13、IP地址上网），发起通讯的VPN设备由于无法确定被连接VPN设备的IP地址和协商端口号等多种原因，而导致无法建立加密通讯隧道。在实际网络环境中，VPN网关可能放在防火墙的内部，这就是典型的“双边NAT模式”，这使得普通VPN在实际网络环境中的应用受到限制。VPN安全网关设备网关支持隧道接力交换技术，通过和第三方确定地址或域名的VPN设备建立隧道进行中转，从而解决这种双边NAT穿越的问题。 允许子网冲突，减轻部署负担当前很多企业的网络在刚开始构建的时候由于规模较小，应用不是很多，所以在IP地址的管理方面没有做到统一规划。当企业需要通过VPN把全省甚至全国的分支机构互联起来，构建全网互联访问的时候

14、，不同分支机构之间地址极有可能发生网址冲突。在这种情况下，常规的IPSec VPN产品必须要求重新进行地址划分，不仅费时费力，而且还要进行大规模的网络调整，从而增加了部署和管理的成本。VPN安全网关设备产品创造性的解决了这个问题。通过采用虚拟子网的方式，把原来冲突的网络转变为逻辑上重新规划的网络，这样冲突双方只需有一方配置了虚拟子网，就可以使得双方按照新的地址进行隧道访问，而原有访问Internet的地址和拓扑保持不变。 多种工作模式，满足不同拓扑要求VPN安全网关设备可以工作在路由模式、透明模式、混合模式和单臂模式，并且能够在透明模式下进行隧道访问。除了静态路由外，还支持源地址策略路由，可以

15、针对不同的用户网络流量进行分流，从而可以实现VPN设备的集群。VPN安全网关设备可以作为内部网的计算机，采用单臂模式接入到网络中，在这种情况下不仅具备通信加密功能，而且还不会影响内部网结构的改变，方便了部署和实施。l 全面支持标准化，保护用户投资 支持标准IPSec协议和IKE协议目前VPN安全网关设备产品已经全面支持国际标准IPSec协议和IKE协议，可以和其他支持标准的VPN厂家实现互通。已经经过实际测试有： Cisco路由器（IOS:12.1）,PSK方式、数字签名方式 Juniper设备,PSK方式 Cabletron路由器 Vigor路由器,PSK方式 Windows系列（2000、

16、XP系列）PSK方式、数字签名方式 支持标准PKI协议任何一个VPN节点，必须导入一个合法的数字证书，才能和其它VPN进行基于证书的双向身份认证。VPN安全网关设备采用标准X.509格式的证书，可以支持DER编码、BASE64编码和PKCS编码的文件。除了支持迈普证书管理器颁发的证书以外，系统还支持第三方CA。管理员可以通过手工方式或SCEP、LDAP等在线方式下载第三方CA颁发的证书和作废列表，从而和企业内部的PKI系统无缝结合。l 全面可靠的身份认证 安全的硬件认证VPN安全网关设备除了支持用户名/密码等传统方式之外，还支持USB证书方式认证。USB-KEY是一种USB身份认证设备，为防止

17、USB-KEY丢失后被盗用，还为USB-KEY加入PIN码保护，同时为了防止对PIN码的强制性攻击，在芯片组中设置多次密码试错自锁功能。 短信校验多重保证VPN安全网关设备的短信校验技术是随着无线技术的突飞猛进而出现，充分利用了其灵活可靠的特点，形成的一种革新性的认证解决方案。认证系统分为手机短信终端和短信认证服务两部分，短信认证服务器可以集成于VPN安全网关设备，终端用户在已有移动电话和PDA的基础上，通过手机短信方式获取用户认证必需的校验码。这样VPN安全网关设备的终端用户就可以通过用户名/密码和USB-KEY的方式登陆SSL VPN，在登陆的过程中通过移动电话或PDA短信收取一次性校验码

18、，经过如上双重因素认证之后就能访问相应的内网资源了。 支持外部有效认证VPN安全网关设备的除了支持终端用户使用本地用户数据库的用户登陆访问内网资源外，还支持外部第三方认证服务器。通过与第三方的LDAP认证服务器或RADIUS认证服务器的有效集成，一个组织结构就可以只保存一套认证体系，简化了部署过程，减少了运营成本。 支持客户端特征码硬件绑定每个终端用户使用的PC机都独有自己的某些硬件特征信息，在登陆VPN安全网关设备的过程中，可以将自己的硬件特征信息上报。VPN安全网关设备根据管理员的选择，可以自动将上报的硬件特征信息生成特征码，并与登陆的用户进行绑定。绑定之后的用户将只限于在绑定的机器上使用

19、，进一步提高了接入用户的合法性和企业内网资源的安全性。 客户端安全扫描为了保证终端用户接入VPN之前的安全性，VPN安全网关设备在用户登陆的时候，系统会对客户端的主机健康状态进行检查，内容涉及到主机的操作系统、是否安装防火墙软件、是否安装防病毒软件、是否打了最新的补丁等信息。如果主机健康状态不佳，管理员可以限制主机联入内部网。1.2 硬件特性1.2.1 产品整体外观图图1-1 MPSec VPN3005S外观示意图1.2.2 MPSec VPN3005S前面板说明图1-2 MPSec VPN3005S前面板示意图说明：图1-2为MPSec VPN3005S的前面板示意图，图上所示指示灯从左至右

20、分别是：指示灯名称指示灯状态指示灯描述PWR亮设备已经供电灭设备未上电或电源异常Eth1亮网口联网灭无连接Eth0亮网口联网灭无连接Eth0亮网口联网灭无连接Eth0亮网口联网灭无连接Eth0亮网口联网灭无连接1.2.3 MPSec VPN3005S（产品名称）后面板说明图1-3 MPSec VPN3005S后档板示意图后面板各端口说明： 端 口描 述直流电源接口DC 12V/700mAEth010/100Mbps以太网口Eth110/100Mbps以太网口Console RS-232配置口1.2.4 MPSec VPN3005S（产品名称）系统说明给出产品的基本配置和工作环境等。例如：MPS

21、ec VPN3005S的基本配置、工作环境如下表：项 目描 述主板类型ME8695X处理器ARM922T配置口1个（RS-232）以太网口5个10/100/Mbps自适应以太网口（RJ45）FLASH16M内存32M电源输入电压DC 12V/700mA电源额定功率8W电源适配器整机最大功耗2.0WP3.5W外形尺寸（WDH）300mm166mm44mm环境温度065环境湿度5-95%第2章 安装准备2.1 安全建议在MPSec VPN3005S安全网关设备安装之前及安装过程中，为避免出现各种意外事故对人身及设备造成的伤害，请遵从以下的注意事项：l 认真阅读本手册 l 妥善放置MPSec VPN

22、3005S。以免因跌落造成严重损失l 妥善布线，请勿让任何重物压在电源线上，并避免踩踏接线l 不要带电插拔电缆线l 推荐用户使用UPS不间断电源，一方面可以避免由于市电故障对网络系统的影响，另一方面也可以避免电源干扰l 推荐用户使用时保证可靠接地，避免因接地不好带来设备烧毁。2.2 环境要求2.2.1 运行环境为了保证MPSec VPN3005S安全网关设备的有效使用和性能的稳定，建议机房内维持一定的温度和湿度。这样有利于线路的保护和延长安全网关的使用寿命。MPSec VPN3005S安全网关设备必须在室内使用，对室内环境要求如下：l 环境温度：065l 环境湿度：5-95%在设备周围，至少留

23、有10cm的空间，确保有足够的散热空间。建议将 MPSec VPN3005S安全网关设备水平放置于干净的平面上。在夏季较炎热的地区，建议安装空调。2.2.2 洁净度要求灰尘对MPSec VPN3005S安全网关设备运行安全是一种危害。室内灰尘落在机体上，可以造成静电吸附，使金属接件或金属接点接触不良。尤其是在室内相对湿度偏低的情况下，更易造成静电吸附，不但会影响设备寿命，而且容易造成通信故障。2.2.3 防静电要求尽管MPSec VPN3005S安全网关设备在防静电方面作了大量的考虑，采取了多种措施，但当静电超过一定容限时，仍会对电路乃至整机产生破坏作用。在安全网关设备通信网中，静电感应主要来

24、自两个方面：一是室外高压输电线、雷电等外界电场；一是室内环境、地板材料、整机结构等内部系统、因此为防止静电的破坏，应做到： l 设备及地板良好接地；l 室内防尘；l 保持适当的温湿度条件；l 当人体接触电路板时，应戴防静电手腕，穿防静电工作服。2.2.4 电磁环境要求各种干扰源，无论是来自设备或应用系统外部，还是来自内部，都是以电容耦合、电感耦合、电磁波辐射、公共阻抗（包括接地系统）和导线（电源线、信号线和输出线等）的传导方式对设备产生影响。为此应注意： l 要对供电系统采取有效的防电网干扰措施； l 安全网关工作地最好不要与电力设备的接地装置或防雷接地装置合用，并尽可能相距远一些；l 远离强

25、功率无线电发射台、雷达发射台、高频大电流设备； l 必要时采取电磁屏蔽的方法，等等。2.2.5 防雷击要求MPSec VPN3005S安全网关设备属于精密电子电器，采用大规模集成电路芯片，抗雷能力有限，要彻底保护它们的安全，建议采用多级防护。MPSec VPN3005S安全网关设备前面的双绞线是雷击的重点区，一定要避免双绞线悬空走线。它也是强大的感应雷的主要通道，同时它也有被直接雷击的可能，从而直接导致设备损坏。所以，在有条件的情况下，入室电缆应选择埋地方式，特别是架空线缆中的电话线或电缆应在入房前埋地，埋地长度不得小于 15 米（闭路线埋地长度不得小于 1.5 米）。 对于来自电源线线路的感

26、应雷击，大家可采用防雷（防电涌）插座。正规的防雷插座应该能够实现对“火零”的全面保护，并且需要根据设备的使用环境，确定防护等级和防护指标，如最大通流容量、限制电压等，要对电涌防护措施进行明确的量化，实施达标管理。2.3 检查设备及附件在确认安装环境符合要求后，您可以打开包装箱了。但在正式安装之前，您需要根据订单仔细检查包装箱内的设备及附件是否齐全。2.3.1 MPSec VPN3005S（产品名称）基本配置及附件对于一台基本配置的MPSec VPN3005S安全网关设备，应包含内容如表所示。MPSec VPN3005S安全网关基本配置及附件项目名称数量说明1MPSec VPN3005S装配整机

27、1台主机2电源适配器1个DC12V/700mA3Console线1根1.5米4交叉网线1根2米 5直连网线1根2米6CD光盘1套安装手册、配置手册（光盘）等7产品保修册1套产品保修册2.4 需要的工具和设备根据产品情况描速安装设备需要的工具和设备（1） 需要工具l 十字槽螺丝刀l 水平尺、直尺或卷尺l 手套、防静电手腕l （2） 连接用电缆 设备包装中的线缆（3） 需要设备l 配置终端（可以是普通的PC机）l 集线器（HUB）或以太网交换机l 与选配模块相关的设备（如电话机）l 根据产品情况补充第3章 系统安装与初始化3.1 MPSec VPN3005S（产品名称）主机安装3.1.1 主机安装

28、与启动首先将电源适配器的输出端子接上MPSec VPN3005S安全网关设备背面的电源孔，然后将另一端接上电源插座。稍等一会，在设备开机完毕后，再进行下一步操作。3.1.2 MPSec VPN3005S安全网关初始化利用串口线将MPSec VPN3005S安全网关设备Console端口与您用来配置MPSec VPN3005S安全网关设备的PC端COM口对接。您即可通过CLI指令来配置MPSec VPN3005S安全网关设备的系统参数。COM口配置：l l每秒位数：115200l l数据位：8l l奇偶校验：无l l停止位：1l l数据流控制：硬件或者您也可以通过网线连接eth1端口使用安全网关

29、管理中心连接到设备，设备eth1口出厂的默认地址为192.168.1.1/24，请确认用此方式登录的终端能够访问到此地址。一般情况下初次配置建议使用console口进行配置。设备登陆：Console控制台下默认管理员口令和密码l l默认用户名：adminl l默认密码：admin当Console界面中出现“#”提示符即表示登录成功。安全网关管理中心登陆时默认管理员口令和密码l l默认用户名：adml l默认密码：adm3.1.3 MPSec VPN3005S安全网关初始配置1）路由安装模式当用户需要保护的内部子网的地址和外部网络的地址不是同一个网段时，那么VPN网关就要工作在路由模式，为内外网

30、的通信提供路由转发。假设网关的eth0口连接外网，eth1口连接内网，如下图所示：路由模式示意图那么管理员把控制台主机的串口和设备的RS-232串口通过串口线连接起来，然后在Windows 9x或Windows XP下运行“开始”菜单中的“程序附件通讯超级终端”程序，如下图打开超级终端新建连接的“名称”和“图标”可自定，如下图新建连接连接时使用串口按默认值，一般为COM1，如下图选择串口设置连接速率“每秒位数”为“115200”，其它按默认值，如下图，即可连接到安全网关上。进行端口设置系统终端管理员是admin，默认密码是admin。管理员使用该帐户登录系统，如下图所示：Maipu Commu

31、nication Technology Co. Ltd.Model: MPSec-VPN3005S-ACVersion: MPSec-v2.50.73.5mailto:serviceMPSec login:登录串口在终端上执行以下命令，配置eth0接口，如下所示：MPSec#MPSec# networkMPSec(Network)# interface setInterface to set (eth0, eth1, eth2, eth3, Enter means cancel):eth0Bring up onboot? (0: No, 1: Yes, Enter means Yes)Work

32、 mode (0: UnCfg, 1: Manual, 2: DHCP, 3: PPPoE, 4: InBridge, Enter means Manual):IP Address (xxx.xxx.xxx.xxx):192.168.1.33Netmask (xxx.xxx.xxx.xxx, Enter means 255.255.255.0):GateWay (xxx.xxx.xxx.xxx, Enter means no default gateway in this network):192.168.1.2MAC Address (xx:xx:xx:xx:xx:xx, Enter mea

33、ns use MAC Address of device):MTU (68-1500, Enter means use MTU of device):Link-Guarantee Weight (1-255, Enter means 100):123配置eth0接口在终端上执行以下命令，配置eth1接口，如下所示：MPSec(Network)# interface setInterface to set (eth0, eth1, eth2, eth3, Enter means cancel):eth1Bring up onboot? (0: No, 1: Yes, Enter means Ye

34、s)Work mode (0: UnCfg, 1: Manual, 2: DHCP, 3: PPPoE, 4: InBridge, Enter means Manual):IP Address (xxx.xxx.xxx.xxx):192.168.2.33Netmask (xxx.xxx.xxx.xxx, Enter means 255.255.255.0):GateWay (xxx.xxx.xxx.xxx, Enter means no default gateway in this network):MAC Address (xx:xx:xx:xx:xx:xx, Enter means us

35、e MAC Address of device):MTU (68-1500, Enter means use MTU of device):配置eth1接口2）网桥安装模式当用户需要保护的内部子网的地址和外部网络的地址是同一个网段时，那么VPN网关就要工作在网桥模式，为内外网的通信提供2层转发。假设网关的eth0口连接外网，eth1口连接内网，如下图所示：网桥模式示意图那么管理员把控制台主机的串口和设备的RS-232串口通过串口线连接起来，然后在Windows 9x或Windows XP下运行“开始”菜单中的“程序附件通讯超级终端”程序，登录到系统（详细操作步骤请见“二、路由安装模式”中相关部

36、分）。在终端上执行以下命令，首先配置br0接口，如下所示：MPSec(Network)# bridge createbr0 Configuration:OnBoot Yes Mode UnCfgHWAddress Unset MTU Unset Link-Guarantee NotSupportStatus:Type UnknownUp UnLink Half-Duplex UnknownSpeed HWAddress 00:00:00:00:00:00IPAddress 0.0.0.0 NetMask 0.0.0.0GateWay 0.0.0.0 MTU 1500RX: 0 Pkts 0 B

37、ytes 0 Errors 0 Drops 0 Pps 0 BpsTX: 0 Pkts 0 Bytes 0 Errors 0 Drops 0 Pps 0 BpsMPSec(Network)# bridge setBridge to set (br0, Enter means cancel):br0Bring up onboot? (0: No, 1: Yes, Enter means Yes)Work mode (0: UnCfg, 1: Manual, Enter means Manual):IP Address (xxx.xxx.xxx.xxx):192.168.3.254Netmask

38、(xxx.xxx.xxx.xxx, Enter means 255.255.255.0):GateWay (xxx.xxx.xxx.xxx, Enter means no default gateway in this network):MTU (68-1500, Enter means use MTU of device):MPSec(Network)#在终端上配置br0然后分别设置eth0接口和eth1接口加入网桥，如下所示：MPSec(Network)# interface setInterface to set (eth0, eth1, eth2, eth3, Enter means

39、cancel):eth0Bring up onboot? (0: No, 1: Yes, Enter means Yes)Work mode (0: UnCfg, 1: Manual, 2: DHCP, 3: PPPoE, 4: InBridge, Enter means Manual):4Parent bridge (br0):br0MAC Address (xx:xx:xx:xx:xx:xx, Enter means use MAC Address of device):MTU (68-1500, Enter means use MTU of device):将eth0加入网桥MPSec(

40、Network)# interface setInterface to set (eth0, eth1, eth2, eth3, Enter means cancel):eth1Bring up onboot? (0: No, 1: Yes, Enter means Yes)Work mode (0: UnCfg, 1: Manual, 2: DHCP, 3: PPPoE, 4: InBridge, Enter means Manual):4Parent bridge (br0):br0MAC Address (xx:xx:xx:xx:xx:xx, Enter means use MAC Ad

41、dress of device):MTU (68-1500, Enter means use MTU of device):将eth1加入网桥3）ADSL拨号模式当用户的VPN设备连接一个ADSL Modem时，那么VPN网关需要设置ADSL拨号。假设网关的eth0口连接ADSL，eth1口连接内网，如下图所示：ADSL模式示意图那么管理员把控制台主机的串口和设备的管理口通过串口线连接起来，然后在Windows 9x或Windows XP下运行“开始”菜单中的“程序附件通讯超级终端”程序，登录到系统（详细操作步骤请见“二、路由安装模式”中相关部分）。在终端上执行以下命令，配置在eth0接口上A

42、DSL拨号，如下所示：MPSec(Network)# interface setInterface to set (eth0, eth1, eth2, eth3, Enter means cancel):eth0Bring up onboot? (0: No, 1: Yes, Enter means Yes)Work mode (0: UnCfg, 1: Manual, 2: DHCP, 3: PPPoE, 4: InBridge, Enter means Manual):3Username (No more than 32 characters):mynamePassword (No mor

43、e than 32 characters):MAC Address (xx:xx:xx:xx:xx:xx, Enter means use MAC Address of device):Link-Guarantee Weight (1-255, Enter means 100):200配置在eth0接口上ADSL拨号4）DHCP模式当用户的网络内部有一个DHCP服务器，内部主机通过DHCP分发地址，那么VPN设备就必须把网络接口设置为自动分配地址模式。假设网关的eth0口连接DHCP服务器，eth1口连接内网，如下图所示：DHCP模式示意图那么管理员把控制台主机的串口和设备的管理口通过串口线连

44、接起来，然后在Windows 9x或Windows XP下运行“开始”菜单中的“程序附件通讯超级终端”程序，登录到系统（详细操作步骤请见“二、路由安装模式”中相关部分）。在终端上执行以下命令，配置接口，如下所示：MPSec(Network)# interface setInterface to set (eth0, eth1, eth2, eth3, Enter means cancel):eth0Bring up onboot? (0: No, 1: Yes, Enter means Yes)Work mode (0: UnCfg, 1: Manual, 2: DHCP, 3: PPPoE, 4: InBridge, Enter means Manual):2MAC Address (xx:xx:xx:xx:xx:xx, Enter means use MAC Address of device):MTU (68-1500, Enter means use MTU of device):Link-Guarantee Weight (1-255, Enter means 100):210在终端上配置接口