虛擬專網(wǎng)使用手冊

虛擬專網(wǎng)使用手冊V北方電信有限公司2006年3月目錄前言 3第1章 系統(tǒng)概述 3 客戶需求 3 功能定位 3系統(tǒng)特點(diǎn) 4產(chǎn)品優(yōu)勢 5第2章 產(chǎn)品功能介紹 5 總體功能介紹 5第3章 DLAN虛擬專網(wǎng)安裝及使用 6 網(wǎng)關(guān)模式（MDLAN）的安裝配置 6 功能描述 6 基本配置 7 虛擬專網(wǎng)控制臺(tái) 11 移動(dòng)模式（PDLAN） 33 如何安裝 33 基本配置 34 虛擬專網(wǎng)控制臺(tái) 37 虛擬專網(wǎng)的使用 42 防火墻的安裝及使用 43 如何安裝 43 基本配置 44第4章 系統(tǒng)運(yùn)行環(huán)境 56

前言商務(wù)領(lǐng)航之“虛擬專網(wǎng)”平臺(tái)是中國電信為幫助中小企業(yè)走進(jìn)E時(shí)代而量身打造的一套高效、低廉的移動(dòng)辦公應(yīng)用平臺(tái)。通過該平臺(tái)，企業(yè)出差人員或者總分公司之間，只要能上網(wǎng)就可以隨時(shí)接入公司總部，來使用總部內(nèi)網(wǎng)的資源。系統(tǒng)概述客戶需求——公司經(jīng)常有人員在外出差或在家辦公?！驹诋惖赜修k事處?！驹诋惖赜蟹止??！镜霓k公室和工廠或倉庫不在同一個(gè)地點(diǎn)。——公司有自己的本地局域網(wǎng)，而且出差人員和異地辦公人員需要接入公司本地局域網(wǎng)。如果您真的碰到上述問題，哪怕是其中的一個(gè)，那我們想提醒你，信息時(shí)代還有其他更加快捷、廉價(jià)的方案等待您去做出選擇。功能定位虛擬專網(wǎng)是北方電信為有異地網(wǎng)絡(luò)互聯(lián)需求的用戶量身定做的一項(xiàng)業(yè)務(wù)。該業(yè)務(wù)主要由高效安全的VPN模塊、企業(yè)級包過濾防火墻模塊和訪問控制三個(gè)模塊構(gòu)成。主要功能：虛擬專網(wǎng)的VPN模塊為用戶進(jìn)行異地網(wǎng)絡(luò)的安全互聯(lián)，啟動(dòng)防火墻模塊后，該模塊可以保護(hù)使用虛擬專網(wǎng)業(yè)務(wù)的企業(yè)內(nèi)網(wǎng)免受來自外部網(wǎng)絡(luò)的攻擊，而訪問控制模塊可以針對遠(yuǎn)程接入用戶設(shè)置不同的訪問內(nèi)網(wǎng)的權(quán)限，而且該權(quán)限可以細(xì)分至內(nèi)網(wǎng)每臺(tái)PC的每個(gè)服務(wù)。其他功能：虛擬專網(wǎng)還具有NAT代理上網(wǎng)功能，并且可以對通過該軟件上網(wǎng)的PC進(jìn)行上網(wǎng)控制。QOS功能：通過對接入用戶的IP和端口的控制，從而使不同的接入人員的數(shù)據(jù)報(bào)具有不同的優(yōu)先級，從而保證重要業(yè)務(wù)的優(yōu)先投遞。硬件鑒權(quán)功能：該功能可以確保杜絕非法用戶接入，用戶從接入電腦上通過虛擬專網(wǎng)軟件導(dǎo)出一個(gè)硬件證書，該證書包括本PC的硬盤、CPU和網(wǎng)卡三者的信息，三者信息都為全球唯一。后把此證書傳輸?shù)骄W(wǎng)關(guān)端，和該P(yáng)C所使用的用戶名和密碼綁定，通過該項(xiàng)功能的設(shè)置，該臺(tái)PC的用戶名和密碼即使被非法盜取，由于接入PC機(jī)的硬件信息和綁定的不同而拒絕接入。從而杜絕了非法用戶接入。虛擬專網(wǎng)業(yè)務(wù)包括兩種類型的軟件，分網(wǎng)關(guān)端軟件（安裝于公司內(nèi)網(wǎng)）和移動(dòng)端軟件（安裝在出差人員的電腦）。系統(tǒng)特點(diǎn)保護(hù)原有投資，無需增加任何硬件設(shè)施；無需改動(dòng)原有應(yīng)用系統(tǒng)和網(wǎng)絡(luò)結(jié)構(gòu)；支持各種上網(wǎng)方式，如ADSL/ISDN/寬帶/Modem；支持動(dòng)態(tài)IP尋址；支持Windows98/NT/2000(SP2orabove)/XP系統(tǒng)操作系統(tǒng)；支持NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）和DMZ端口轉(zhuǎn)發(fā)功能；自定義VPN網(wǎng)絡(luò)拓?fù)洌蓸?gòu)建公司的星形與網(wǎng)狀VPN網(wǎng)絡(luò)結(jié)構(gòu)；接入用戶提供用戶名和機(jī)器硬件信息進(jìn)行綁定，杜絕非法用戶的接入提供更細(xì)致的權(quán)限粒度，對接入的用戶名進(jìn)行了權(quán)限設(shè)定，不同的用戶具有不同的訪問權(quán)限，業(yè)務(wù)權(quán)限區(qū)分，一目了然。完善的QOS劃分機(jī)制，不同的內(nèi)部服務(wù)對應(yīng)不同的帶寬，保證重要業(yè)務(wù)的優(yōu)先投遞。總部多子網(wǎng)支持，可以實(shí)現(xiàn)接入端對總部多個(gè)子網(wǎng)的同時(shí)訪問。集成企業(yè)級包過濾防火墻，可對TCP/UDP/ICMP等數(shù)據(jù)包進(jìn)行監(jiān)控、分析、檢測，防止外部黑客入侵公司網(wǎng)絡(luò)，并可靈活限制內(nèi)部上網(wǎng)通道；高級加密標(biāo)準(zhǔn)——AES加密方式，確保中間數(shù)據(jù)傳輸安全，即使被中間截獲也不會(huì)泄漏任何信息。改進(jìn)的IPSEC協(xié)議，數(shù)據(jù)壓縮傳輸，更充分利用現(xiàn)有網(wǎng)絡(luò)資源。IP&MAC地址綁定功能，確保對內(nèi)網(wǎng)上網(wǎng)用戶的合理控制。產(chǎn)品優(yōu)勢 先進(jìn)的應(yīng)用技術(shù)開發(fā)平臺(tái)，保證系統(tǒng)在技術(shù)領(lǐng)域的先進(jìn)性 中國電信龐大的網(wǎng)絡(luò)支撐隊(duì)伍確保用戶使用的是可靠的網(wǎng)絡(luò)，所有數(shù)據(jù)傳輸均采用嚴(yán)格的加密形式進(jìn)行傳播，使得商業(yè)數(shù)據(jù)更加安全、高效 7x24小時(shí)電信級的完善售后服務(wù)體系，“虛擬專網(wǎng)”的用戶可以得到持續(xù)的客戶服務(wù)和程序升級等增值服務(wù) 程序設(shè)計(jì)以人為本，無論是初級用戶還是高級商業(yè)客戶，都可以迅速地熟悉并操作“虛擬專網(wǎng)”產(chǎn)品功能介紹總體功能介紹 使用虛擬專網(wǎng)能夠讓公司總部與移動(dòng)用戶、分公司的局域網(wǎng)輕松實(shí)現(xiàn)安全互聯(lián)。原本只能用于單一局域網(wǎng)網(wǎng)內(nèi)的系統(tǒng)或者功能，能夠擴(kuò)展到多個(gè)局域網(wǎng)中，實(shí)現(xiàn)公司數(shù)據(jù)和信息的同步統(tǒng)一，增加企業(yè)的工作效率，提高競爭力公司老總或各級主管在外出差時(shí)可隨時(shí)接入企業(yè)內(nèi)部局域網(wǎng)，查詢所有相關(guān)的財(cái)務(wù)等重要信息和收發(fā)內(nèi)部郵件，也可以及時(shí)發(fā)送信息回公司總部，實(shí)現(xiàn)移動(dòng)辦公，保證工作效率。DLAN虛擬專網(wǎng)安裝及使用網(wǎng)關(guān)模式（MDLAN）的安裝配置功能描述運(yùn)行MDLAN的安裝程序，出現(xiàn)如下畫面,選擇下一步，出現(xiàn)安裝目錄選擇界面，選擇要安裝到的目錄。一般情況下采用默認(rèn)設(shè)置即可：接下來會(huì)安裝網(wǎng)絡(luò)驅(qū)動(dòng)程序，要求斷開adsl或modem撥號連接，同時(shí)關(guān)閉網(wǎng)絡(luò)應(yīng)用程序：安裝完成后，要求重新啟動(dòng)計(jì)算機(jī).重新啟動(dòng)計(jì)算機(jī)后，就可以啟動(dòng)MDLAN，通過控制臺(tái)或配置向?qū)渲肕DLAN。基本配置MDLAN首次啟動(dòng)時(shí)，會(huì)自動(dòng)彈出向?qū)渲么翱?，根?jù)向?qū)нM(jìn)行如下配置。也可以通過“工具―→DLAN配置向?qū)А边M(jìn)入配置向?qū)Ы缑妗Ｅ渲镁W(wǎng)卡：配置網(wǎng)卡時(shí)，需要配置內(nèi)、外部網(wǎng)網(wǎng)卡。ADSL直接拔號上網(wǎng)時(shí)，外部網(wǎng)卡選擇虛擬的拔號網(wǎng)卡；通過寬帶（NAT）雙網(wǎng)卡上網(wǎng)時(shí)，外部網(wǎng)卡選擇連接外網(wǎng)的網(wǎng)卡；單網(wǎng)卡上網(wǎng)時(shí)，外部網(wǎng)卡和內(nèi)部網(wǎng)卡都選擇內(nèi)網(wǎng)的網(wǎng)卡。選擇內(nèi)部網(wǎng)卡后，內(nèi)網(wǎng)IP地址和子網(wǎng)掩碼會(huì)自動(dòng)映射過來，或根據(jù)實(shí)際的IP和子網(wǎng)掩碼做相應(yīng)的更改。配置帳號和密碼：虛擬專網(wǎng)帳號和密碼是北方電信分配的用來登錄目錄服務(wù)器的。每一個(gè)企業(yè)的每一個(gè)網(wǎng)關(guān)和移動(dòng)用戶都會(huì)被分配一個(gè)唯一的帳號名和密碼。網(wǎng)關(guān)和移動(dòng)輸入了正確的帳號和密碼后，就可以在目錄服務(wù)器上完成帳號驗(yàn)證和地址交換，建立網(wǎng)絡(luò)通道。當(dāng)MDLAN具有Internet上的合法IP時(shí)（如ADSL撥號獲取的動(dòng)態(tài)IP），表示MDLAN直接Internet。當(dāng)MDLAN采用大樓寬帶上網(wǎng)，獲得的是寬帶內(nèi)部IP，表示MDLAN非直連Internet，選擇相應(yīng)的設(shè)置項(xiàng)即可?？牲c(diǎn)擊“測試”按鈕，來檢查該帳號密碼是否設(shè)置正確，目錄服務(wù)器是否工作正常。點(diǎn)擊“下一步”，出現(xiàn)如下界面，基本配置結(jié)束。虛擬專網(wǎng)控制臺(tái)DLAN網(wǎng)關(guān)模式控制臺(tái)主要分三大部分：系統(tǒng)信息控制臺(tái)，MDLAN控制臺(tái)，防火墻控制臺(tái)。系統(tǒng)信息控制臺(tái)：系統(tǒng)信息控制臺(tái)：主要是用來管理和監(jiān)控整個(gè)DLAN產(chǎn)品，它包括兩個(gè)選項(xiàng)，系統(tǒng)配置和控制臺(tái)管理。系統(tǒng)配置用來系統(tǒng)正常運(yùn)行所需配置的基本信息，包括內(nèi)、外部網(wǎng)卡的選擇，內(nèi)網(wǎng)IP地址和子網(wǎng)掩碼的設(shè)置。在“DLAN配置向?qū)А敝幸呀?jīng)有這部分內(nèi)容的配置?？刂婆_(tái)管理用來設(shè)置DLAN控制臺(tái)的相關(guān)屬性?？刂婆_(tái)與DLAN的各功能模塊是獨(dú)立的，如DLAN連接模塊、防火墻模塊、NAT模塊，都可以在控制臺(tái)不啟動(dòng)的情況下正常運(yùn)行?？梢栽谠摻缑嬷羞x擇控制臺(tái)及各功能模塊是否開機(jī)就自動(dòng)運(yùn)行。同時(shí)可以設(shè)置進(jìn)入主控臺(tái)的密碼，保證只有知道密碼的管理員才能進(jìn)入主控臺(tái)進(jìn)行管理和配置?？梢渣c(diǎn)擊“修改”按鈕設(shè)置新的密碼。DLAN支持對配置信息的備份和回復(fù)，點(diǎn)擊相應(yīng)按鈕、可以將配置好的信息備份，備份時(shí)可以對備份文件設(shè)置密碼、以保障安全性。系統(tǒng)重新安裝時(shí)，可以將配置信息恢復(fù)過來。所有的配置項(xiàng)更改后，都必須點(diǎn)擊“設(shè)置生效”按鈕，才能使變更的配置項(xiàng)起生效。MDLAN（虛擬專網(wǎng)）控制臺(tái)：MDLAN控制臺(tái)提供了對DLAN虛擬專網(wǎng)服務(wù)的設(shè)置、管理和狀態(tài)顯示。下圖為虛擬專網(wǎng)軟件運(yùn)行狀態(tài)界面，顯示了虛擬專網(wǎng)服務(wù)當(dāng)前的運(yùn)行狀態(tài)、接入的節(jié)點(diǎn)信息，并提供了啟動(dòng)或停止服務(wù)的操作按鈕。接入的節(jié)點(diǎn)狀態(tài)包含如下信息：當(dāng)前接入節(jié)點(diǎn)的用戶的名稱，類型（網(wǎng)關(guān)或移動(dòng)），接入節(jié)點(diǎn)的互聯(lián)網(wǎng)IP（InternetIP），接入節(jié)點(diǎn)的內(nèi)部網(wǎng)IP，接入時(shí)間指網(wǎng)絡(luò)節(jié)點(diǎn)接入系統(tǒng)的時(shí)間。MDLAN控制臺(tái)具體的功能包括以下部分：虛擬專網(wǎng)帳號和密碼設(shè)置：虛擬專網(wǎng)帳號和密碼是用來登錄北方電信的目錄服務(wù)器的。在“DLAN安裝向?qū)А敝袑υ撨x項(xiàng)已經(jīng)進(jìn)行了配置。連接管理：在此選中想要連接的用戶（網(wǎng)關(guān)），本網(wǎng)關(guān)才會(huì)去連接選中的網(wǎng)關(guān)，若沒有選擇網(wǎng)關(guān)，則此網(wǎng)關(guān)不會(huì)去連接任何網(wǎng)關(guān)。 用戶管理：管理員可以在這里設(shè)置允許接入本網(wǎng)的用戶賬號、密碼，設(shè)置是否需要對硬件證書進(jìn)行認(rèn)證（ID鑒權(quán)），設(shè)置加密算法類型（缺省為AES），以及是否啟用虛擬IP。只有符合管理員設(shè)置條件的用戶，才能夠接入本網(wǎng)。每一個(gè)用戶對應(yīng)一個(gè)網(wǎng)關(guān)或移動(dòng)，所有的用戶都是在北方電信處開戶并同步到虛擬專網(wǎng)客戶端的。 DLAN提供了用戶管理功能，以便于管理員管理用戶。首先選中一個(gè)用戶，點(diǎn)擊“修改”按鈕，打開用戶管理界面。選擇加密算法。若沒有啟動(dòng)鑒權(quán)可以不選擇證書文件。 對于移動(dòng)用戶，還可以選擇是否啟用虛擬IP。如果為該用戶分配一個(gè)虛擬內(nèi)網(wǎng)IP地址、則該用戶接入后，會(huì)使用這個(gè)IP作為虛擬的內(nèi)網(wǎng)IP地址。如果虛擬IP設(shè)置為.0，則系統(tǒng)會(huì)自動(dòng)為該用戶從虛擬IP池中隨機(jī)分配一個(gè)內(nèi)網(wǎng)IP地址。如果不啟用虛擬IP功能，局域網(wǎng)內(nèi)的其他用戶就無法訪問該移動(dòng)用戶。 對于移動(dòng)用戶，只能啟用主連接的網(wǎng)上鄰居。如下圖：虛擬IP池設(shè)置：虛擬IP是指由網(wǎng)關(guān)（MDLAN）指定網(wǎng)關(guān)空閑的一段IP作為移動(dòng)用戶接入時(shí)的虛擬IP池。當(dāng)移動(dòng)用戶接入后，分配一個(gè)虛擬IP給移動(dòng)用戶，移動(dòng)用戶對網(wǎng)關(guān)的任何操作都是以分配的IP作為源IP、就完全和在網(wǎng)關(guān)局域網(wǎng)內(nèi)一樣。例如使用虛擬IP的移動(dòng)接入后，可以訪問網(wǎng)關(guān)局域網(wǎng)內(nèi)的任何一臺(tái)計(jì)算機(jī)，即使該計(jì)算機(jī)沒有把移動(dòng)指向網(wǎng)關(guān)（MDLAN）；可以為接入的移動(dòng)用戶指定DNS等網(wǎng)絡(luò)屬性。配置虛擬IP的步驟：1、創(chuàng)建虛擬IP池，虛擬IP池中的IP是總部空閑的IP。2、指定移動(dòng)用戶使用虛擬IP。如果設(shè)置虛擬IP為0.0表示自動(dòng)分配虛擬IP，當(dāng)移動(dòng)用戶接入后，MDLAN從虛擬IP池中選擇一個(gè)空閑IP分配給移動(dòng)。也可以為移動(dòng)用戶指定虛擬IP（例如與該移動(dòng)用戶在局域網(wǎng)內(nèi)的內(nèi)網(wǎng)IP一致作為虛擬IP）。多子網(wǎng)設(shè)置通過DLAN的多子網(wǎng)功能，移動(dòng)可以訪問到各網(wǎng)關(guān)的多個(gè)子網(wǎng)。例如，有兩個(gè)子網(wǎng)（172；10.x）已經(jīng)互通。通過配置兩個(gè)網(wǎng)關(guān)的多子網(wǎng)，可以使得移動(dòng)能通過DLAN訪問兩個(gè)網(wǎng)絡(luò)。配置多子網(wǎng)的步驟：1、在“多子網(wǎng)設(shè)置”里配置需要互聯(lián)的子網(wǎng)；2、在“路由設(shè)置”里為需互聯(lián)的子網(wǎng)設(shè)置路由；3、為移動(dòng)用戶創(chuàng)建虛擬IP池，并指定移動(dòng)用戶使用虛擬IP。路由設(shè)置：局域網(wǎng)內(nèi)部的計(jì)算機(jī)如果需要加入虛擬專網(wǎng)網(wǎng)絡(luò)、被其他的節(jié)點(diǎn)訪問，則必須將網(wǎng)關(guān)設(shè)置為安裝DLAN的計(jì)算機(jī)。這時(shí)，所有的IP數(shù)據(jù)包首先是經(jīng)過DLAN的過濾條件進(jìn)行驗(yàn)證。如果IP包不是發(fā)往網(wǎng)關(guān)或移動(dòng)的IP包（例如是訪問Internet網(wǎng)頁的數(shù)據(jù)包），則對此IP包需要進(jìn)行路由處理，根據(jù)路由表的設(shè)置，將此IP包通過指定的網(wǎng)卡發(fā)送到設(shè)定的網(wǎng)關(guān)。例如，某局域網(wǎng)通過一個(gè)共享上網(wǎng)器接入互聯(lián)網(wǎng)，又在局域網(wǎng)內(nèi)的一臺(tái)計(jì)算機(jī)上安裝了DLAN。局域網(wǎng)內(nèi)的其他計(jì)算機(jī)原來是將網(wǎng)關(guān)設(shè)置為共享上網(wǎng)器，但需要和其他節(jié)點(diǎn)建立網(wǎng)絡(luò)連接、又必須把網(wǎng)關(guān)改為DLAN。如果不啟動(dòng)路由功能，則局域網(wǎng)內(nèi)的計(jì)算機(jī)就無法正常上網(wǎng)（如瀏覽網(wǎng)頁、收發(fā)郵件等）。啟用路由功能之后，DLAN路由模塊會(huì)將相應(yīng)的數(shù)據(jù)請求轉(zhuǎn)發(fā)到共享上網(wǎng)器，使得局域網(wǎng)內(nèi)的計(jì)算機(jī)能夠正常的上網(wǎng)。網(wǎng)絡(luò)號和子網(wǎng)掩碼確定目的IP（網(wǎng)絡(luò)號和子網(wǎng)掩碼都是0.0表示缺省路由）。網(wǎng)關(guān)IP為直接上網(wǎng)的設(shè)備內(nèi)網(wǎng)IP地址，接口網(wǎng)卡指本機(jī)與網(wǎng)關(guān)設(shè)備聯(lián)網(wǎng)的網(wǎng)卡。注意：1、任何改動(dòng)（包括啟用路由、禁用路由）都必須按設(shè)置生效按鈕后才保存結(jié)果；2、更換網(wǎng)卡后，或更換本機(jī)內(nèi)部網(wǎng)IP后，用戶必須重新生成路由表。否則會(huì)導(dǎo)致本機(jī)無法上網(wǎng)。3、在添加路由表或修改路由表時(shí)、必須保障本機(jī)與網(wǎng)關(guān)的通信正常。因?yàn)橐话创_定按鈕，程序會(huì)自動(dòng)去取設(shè)定的網(wǎng)關(guān)IP對應(yīng)的MAC地址。若此時(shí)設(shè)置的網(wǎng)關(guān)未開機(jī)，或同設(shè)置的網(wǎng)關(guān)IP的物理連接中斷，或本機(jī)ping不通設(shè)定的網(wǎng)關(guān)IP，會(huì)有提示框彈出，警告網(wǎng)關(guān)IP設(shè)置錯(cuò)誤。4、添加路由時(shí)，注意選擇的接口網(wǎng)卡是同指定的網(wǎng)關(guān)相連的網(wǎng)卡。否則會(huì)導(dǎo)致路由數(shù)據(jù)發(fā)送不到對應(yīng)的網(wǎng)關(guān)。目錄服務(wù)器列表：在這里可以查看所有可用的目錄服務(wù)器。目錄服務(wù)器是北方電信提供的尋址用的服務(wù)器。網(wǎng)關(guān)之間和網(wǎng)關(guān)移動(dòng)之間建立網(wǎng)絡(luò)通道之前都要在指定的目錄服務(wù)器上驗(yàn)證帳號和交換InternetIP地址。若目錄服務(wù)器不能正常工作，則通道也無法建立。所以目錄服務(wù)器可以為多個(gè)，互為備份。目錄服務(wù)器列表對企業(yè)用戶而言是只讀的，目錄服務(wù)器擴(kuò)容后，會(huì)自動(dòng)將新的目錄服務(wù)器列表更新到每一個(gè)客戶端(MDLAN和PDLAN)。端口設(shè)置：端口設(shè)置用于配置DLAN虛擬專網(wǎng)正常工作時(shí)需使用的TCP端口。該選項(xiàng)缺省已經(jīng)設(shè)置好（4009、4010、4011三個(gè)端口），僅用于特殊情況時(shí)對該端口的修改。如果MDLAN前面或同一臺(tái)計(jì)算機(jī)上安裝了防火墻，需要將此三個(gè)TCP的端口打開，允許接受外部的連接。當(dāng)安裝DLAN的計(jì)算機(jī)上有微軟Internet連接共享服務(wù)時(shí),推薦選擇1024以下的端口(如：709,710,711)。設(shè)置完畢，要按下“設(shè)置生效”按鈕，確保設(shè)置生效。 支持單IP選項(xiàng)默認(rèn)值也是選中狀態(tài)。如果安裝DLAN的計(jì)算機(jī)只有一個(gè)IP地址（例如安裝在共享上網(wǎng)器之內(nèi)的局域網(wǎng)計(jì)算機(jī)的情況，該計(jì)算機(jī)只有一個(gè)內(nèi)網(wǎng)IP地址），該選項(xiàng)必須選中。算法管理：算法管理提供了對數(shù)據(jù)加密算法的設(shè)置，該加密算法會(huì)在DLAN構(gòu)建的網(wǎng)絡(luò)中、對所有的傳輸數(shù)據(jù)進(jìn)行加密，以保障數(shù)據(jù)的安全性。DLAN內(nèi)置了128位的AES加密算法。生成證書：DLAN采用了基于硬件特性的證書認(rèn)證系統(tǒng)用于不同網(wǎng)絡(luò)節(jié)點(diǎn)之間的身份認(rèn)證。該證書提取了安裝DLAN的計(jì)算機(jī)的部分硬件特性（如網(wǎng)卡、硬盤等）、生成加密的認(rèn)證證書。由于硬件特性的唯一性，使得該證書也是唯一的、不可偽造的。通過對該硬件特性的驗(yàn)證，就保障了只有指定的硬件設(shè)備才能接入授權(quán)的網(wǎng)絡(luò)，避免了安全隱患。點(diǎn)擊“生成證書”按鈕，就可以自動(dòng)生成包含硬件特性的認(rèn)證證書。這時(shí)需要將該證書通過某種方式（如電子郵件、或軟盤等）提供給需要接入的網(wǎng)關(guān)（MDLAN）站點(diǎn)管理員，由該站點(diǎn)管理員對證書進(jìn)行管理。以后每次連接其他站點(diǎn)時(shí)，如果該站點(diǎn)啟用了“ID鑒權(quán)”功能，則每次都會(huì)自動(dòng)驗(yàn)證接入的計(jì)算機(jī)身份的合法性。若計(jì)算機(jī)硬件更換，如CPU、硬盤或網(wǎng)卡等，請重新生成證書。內(nèi)網(wǎng)服務(wù)設(shè)置網(wǎng)關(guān)（MDLAN）可以為接入移動(dòng)用戶指定相應(yīng)的訪問權(quán)限，可以限制某個(gè)用戶所能訪問總部內(nèi)的特定計(jì)算機(jī)的特定應(yīng)用。比如：允許移動(dòng)用戶A訪問總部的的WEB服務(wù)器，禁止A訪問總部的SQL數(shù)據(jù)庫服務(wù)器等。設(shè)置內(nèi)網(wǎng)服務(wù)權(quán)限的步驟：1、在總部創(chuàng)建內(nèi)網(wǎng)服務(wù)；2、為特定的用戶指定權(quán)限，缺省狀況下接入的網(wǎng)關(guān)和移動(dòng)具有所有的權(quán)限。舉例說明：假設(shè)總部局域網(wǎng)IP地址為192.168.0.*；WEB服務(wù)器地址為192.168.0.2；內(nèi)部EMAIL服務(wù)器（POP3、SMTP）為192.168.0.3?，F(xiàn)有移動(dòng)用戶A和移動(dòng)用戶B，希望用戶A能夠訪問WEB服務(wù)器、但不能收發(fā)內(nèi)部郵件；用戶B能夠收發(fā)內(nèi)部郵件、但不能訪問WEB服務(wù)器。首先需要?jiǎng)?chuàng)建三個(gè)內(nèi)網(wǎng)服務(wù)：1、Web服務(wù)服務(wù)名稱－web服務(wù)，協(xié)議－TCP/IP，內(nèi)網(wǎng)IP－192.168.0.2端口－80；2、收內(nèi)部郵件服務(wù)名稱－收內(nèi)部郵件，協(xié)議－TCP/IP，內(nèi)網(wǎng)IP－192.168.0.3端口－110；3、發(fā)內(nèi)部郵件服務(wù)名稱－發(fā)內(nèi)部郵件，協(xié)議－TCP/IP,內(nèi)網(wǎng)IP－192.168.0.3端口－25；QOS優(yōu)先級別設(shè)置此處可以修改各個(gè)優(yōu)先級別的QOS服務(wù)占用的帶寬比例。所有優(yōu)先級的帶寬比例之和只能是100%，設(shè)置完畢，選中“啟用QOS功能”，點(diǎn)擊設(shè)置生效使QOS改變生效。高級設(shè)置建議用默認(rèn)，不要修改。QOS服務(wù)策略設(shè)置QOS規(guī)則服務(wù)管理。針對不同數(shù)據(jù)業(yè)務(wù)的重要性，分別設(shè)置不同的QOS優(yōu)先級別及帶寬比列，達(dá)到同時(shí)發(fā)送不同數(shù)據(jù)業(yè)務(wù)的最優(yōu)性能。如下圖： 新建規(guī)則有向?qū)Ы缑?，?步完成。設(shè)置內(nèi)容如下圖。先給此規(guī)則起個(gè)形象的服務(wù)名和確切的描述，接著設(shè)置源、目的的IP設(shè)置。指定IP，可以指定單個(gè)IP，也可指定一段IP。上邊是起始IP，下邊是結(jié)束IP。點(diǎn)“下一步”。分別選擇協(xié)議，指定源端口和目的端口。點(diǎn)“下一步”。選擇一個(gè)優(yōu)先級別，并選中啟用該規(guī)則。注意，特權(quán)級不能設(shè)置QOS帶寬。點(diǎn)下一步，就完成建立一個(gè)新規(guī)則。規(guī)則修改與規(guī)則建立的內(nèi)容一樣，如下圖：InternetIP設(shè)置：當(dāng)系統(tǒng)不能自動(dòng)檢測到正確的InternetIP時(shí)，在此設(shè)定。移動(dòng)模式（PDLAN）如何安裝運(yùn)行PDLAN的安裝程序，選擇下一步，出現(xiàn)安裝目錄選擇界面，選擇要安裝到的目錄。一般情況下采用默認(rèn)設(shè)置即可：選擇下一步，安裝驅(qū)動(dòng)程序時(shí)，斷開ADSL等網(wǎng)絡(luò)撥號連接：安裝完畢后，重新啟動(dòng)計(jì)算機(jī)：基本配置PDLAN首次啟動(dòng)時(shí)，會(huì)自動(dòng)彈出向?qū)渲么翱?，根?jù)向?qū)нM(jìn)行如下配置。也可以通過“工具―→DLAN配置向?qū)А边M(jìn)入配置向?qū)Ы缑?。配置帳號和密碼：虛擬專網(wǎng)帳號和密碼是北方電信分配的用來登錄目錄服務(wù)器的。每一個(gè)企業(yè)的每一個(gè)網(wǎng)關(guān)和移動(dòng)用戶都會(huì)被分配一個(gè)唯一的帳號名和密碼。網(wǎng)關(guān)和移動(dòng)輸入了正確的帳號和密碼后，就可以在目錄服務(wù)器上完成帳號驗(yàn)證和地址交換，建立網(wǎng)絡(luò)通道?？牲c(diǎn)擊“測試”按鈕，來檢查該帳號密碼是否設(shè)置正確，目錄服務(wù)器是否工作正常。點(diǎn)擊“下一步”，出現(xiàn)如下界面，基本配置結(jié)束。虛擬專網(wǎng)控制臺(tái)移動(dòng)模式（PDLAN）的控制臺(tái)只包含了虛擬專網(wǎng)控制臺(tái)。主要有以下功能：虛擬專網(wǎng)帳號和密碼設(shè)置：虛擬專網(wǎng)帳號和密碼是用來登錄北方電信的目錄服務(wù)器的。在“DLAN安裝向?qū)А敝袑υ撨x項(xiàng)已經(jīng)進(jìn)行了配置。連接管理： 客戶所購買的網(wǎng)關(guān)用戶會(huì)在此顯示，且移動(dòng)用戶只能和網(wǎng)關(guān)用戶直連。選中想要連接的網(wǎng)關(guān)。如果想和某個(gè)網(wǎng)關(guān)通過網(wǎng)上鄰居互訪等功能，選此網(wǎng)關(guān)即可。算法管理：算法管理提供了對數(shù)據(jù)加密算法的設(shè)置，該加密算法會(huì)在DLAN構(gòu)建的虛擬專網(wǎng)網(wǎng)絡(luò)中、對所有的傳輸數(shù)據(jù)進(jìn)行加密，以保障數(shù)據(jù)的安全性。DLAN內(nèi)置了128位的AES加密算法。生成證書：DLAN采用了基于硬件特性的證書認(rèn)證系統(tǒng)用于不同虛擬專網(wǎng)節(jié)點(diǎn)之間的身份認(rèn)證。該證書提取了安裝DLAN的計(jì)算機(jī)的部分硬件特性（如網(wǎng)卡、硬盤等）、生成加密的認(rèn)證證書。由于硬件特性的唯一性，使得該證書也是唯一的、不可偽造的。通過對該硬件特性的驗(yàn)證，就保障了只有指定的硬件設(shè)備才能接入授權(quán)的網(wǎng)絡(luò)，避免了安全隱患。點(diǎn)擊“生成證書”按鈕，就可以自動(dòng)生成包含硬件特性的認(rèn)證證書。這時(shí)需要將該證書通過某種方式（如電子郵件、或軟盤等）提供給需要接入的網(wǎng)關(guān)（MDLAN）站點(diǎn)管理員，由該站點(diǎn)管理員對證書進(jìn)行管理。以后每次連接其他站點(diǎn)時(shí)，如果該站點(diǎn)啟用了“ID鑒權(quán)”功能，則每次都會(huì)自動(dòng)驗(yàn)證接入的計(jì)算機(jī)身份的合法性。若計(jì)算機(jī)硬件更換，如CPU、硬盤或網(wǎng)卡等，請重新生成證書。虛擬專網(wǎng)的使用 當(dāng)完成上述安裝及配置，DLAN系統(tǒng)狀態(tài)顯示正常時(shí)，虛擬專網(wǎng)通道就已經(jīng)建立。這時(shí)便可以使用DLAN實(shí)現(xiàn)遠(yuǎn)程網(wǎng)絡(luò)之間的互聯(lián)互通和數(shù)據(jù)的安全傳輸。例如，在正常運(yùn)行PDLAN的計(jì)算機(jī)上，進(jìn)入DOS界面，直接ping一個(gè)MDLAN局域網(wǎng)內(nèi)部計(jì)算機(jī)的IP地址（如192.168.0.1）。如果ping通，則表示虛擬專網(wǎng)已經(jīng)連通?？赏ㄟ^在“開始”菜單－“查找計(jì)算機(jī)”中輸入對方IP或計(jì)算機(jī)名的方式查看指定計(jì)算機(jī)所共享的資源，通過把指定目錄映射成網(wǎng)絡(luò)驅(qū)動(dòng)器，即可隨時(shí)訪問該目錄中的文件數(shù)據(jù)庫（如Access），也可通過“網(wǎng)上鄰居”直接查看另外一個(gè)MDLAN網(wǎng)絡(luò)的網(wǎng)絡(luò)資源。如果網(wǎng)關(guān)端所在的局域網(wǎng)有ERP、OA、CRM等內(nèi)網(wǎng)服務(wù)，當(dāng)移動(dòng)端PDLAN接入后，就可以像在內(nèi)網(wǎng)一樣進(jìn)行辦公，使用內(nèi)網(wǎng)所有的服務(wù)。也可以根據(jù)自己情況針對每個(gè)接入人員對訪問內(nèi)網(wǎng)的權(quán)限自行進(jìn)行劃分，權(quán)限可以細(xì)分到每個(gè)PC的每個(gè)服務(wù)。出現(xiàn)故障時(shí)，可通過“查看日志”，進(jìn)入日志服務(wù)器、查看故障原因及現(xiàn)象。防火墻的安裝及使用如何安裝防火墻在網(wǎng)關(guān)（Mdlan）模式中可以選配，安裝時(shí)與虛擬專網(wǎng)的安裝同時(shí)進(jìn)行，只需選中“DLAN企業(yè)防火墻”模塊即可。需要注意的是：DLAN中采用的是基于狀態(tài)檢測技術(shù)的防火墻，是對整個(gè)局域網(wǎng)進(jìn)行防護(hù)。所以，如果需要防火墻功能生效、安裝防火墻的計(jì)算機(jī)必須具備兩塊網(wǎng)卡（或者一塊網(wǎng)卡接內(nèi)網(wǎng)、一個(gè)ADSL撥號接外網(wǎng)）?；九渲肈LAN防火墻包括過濾規(guī)則設(shè)置，DMZ端口映射，上網(wǎng)權(quán)限限制。在“防火墻運(yùn)行狀態(tài)”窗口中可以監(jiān)控和管理防火墻和NAT服務(wù)，包括啟動(dòng)、停止服務(wù)，監(jiān)控服務(wù)狀態(tài)?？梢酝ㄟ^相應(yīng)的按鈕來啟動(dòng)防火墻和啟動(dòng)的服務(wù)。在這里可以監(jiān)控防火墻服務(wù)和NAT服務(wù)的運(yùn)行狀態(tài)。狀態(tài)共