加密装置详细配置步骤

更新时间:2023-04-07 05:49:02 阅读量: 教育文库 文档下载

说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。

.

纵向加密配置

纵向加密配置步骤 (2)

第一步:生成证书请求 (3)

第二步:设置装置IP地址 (5)

第三步:VLAN配置(如果需要) (7)

第四步:证书配置 (10)

第五步:隧道配置 (11)

第六步:策略配置 (12)

纵向加密装置内核升级 (14)

恢复配置 (17)

精品

.

纵向加密配置步骤

现在纵向加密为双路网口,内网1和外网1为第1路,内网2和外网2为第2路,如果在两路同时使用时,一般第1路连接实时业务,第2路连接非实时业务。内网连接本地接入交换机,外网连接外出路由器。除此之处,加密装置还带有一个配置口(RJ-45接口转RS-232)和一个心跳口。

在配置前,需要在本地电脑上安装专用的纵向加密装置配置终端“”,安装文件在随机光盘里面或者联系厂家获取。目前纵向加密装置的内核版本为2.4.7,因此对应的配置终端程序的版本为3.5。

对纵向加密装置的配置可以通过两种方式,一是用串口线连接配置口进行配置,在“图1”中选择“串口通信”;二是用网线连接心跳口(或者其他已配置好IP地址的网口),在“图1”中选择“网口通信”,然后在后面输入IP地址(心跳口IP地址默认为:192.168.100.1,掩码:255.255.255.248)

图1

第一步:生成证书请求

如果是重新配置,则在登录时,需要为装置生成设备证书请求(如“图2”所示),按要求输入相关参数后,点击“生成证书请求”,等待几秒钟后,会提示“图3”所示,则点击“下一步”,在“图4”中,选择证书请求存储路径,然后点“导出”导出证书请求(如“图5”所示),生成证书请求成功,把证书请求发给CA机构签发设备证书。

精品

.

图2

图3

图4

精品

.

图5

第二步:设置装置IP地址

生成证书请求成功后,关闭界面,重新打开配置终端程序,进入配置管理界面如“图6”所示,如果生成证书请求后没有重启过装置,则在图中红线框处会出现工作状态等异常,重启装置后,所有状态才会变为正常。

点击“系统配置”,打开如“图7”所示界面,对装置的IP地址进行配置。在红框1处

精品

图6

. 选择第1路或第2路进行配置,勾选

精品

.

“启用标志”表示当前网口启用,如果装置需要借用地址(至少有一个VLAN的掩码为30),勾选“启用虚拟IP地址”。在红框2处配置全局转发策略,如果选择“转发”,表示数据满足规则,则密通,不满足规则,则明通。选择“丢弃”,表示数据满足规则,则密通,不满足规则,刚丢弃数据。为了方便,一般“允许”通过网络访问装置。在红框3处配置IP 地址,红框4处配置路由信息。

到此,装置IP地址配置完成。

图7

第三步:VLAN配置(如果需要)

一般在网络中,会配置两个VLAN,一个业务VLAN,一个管理VLAN,在“图8”所示界面中,红框1配置“启用VLAN”,输入对应的VLAN ID,一般业务VLAN需要勾选“装置属于该VLAN”。如果是借用地址的VLAN,需要勾选(装置启用ARP)。

精品

.

在红框2处配置VLAN IP地址,子网地址配置装置的IP,外出(路由器,对应的路由器的IP地址,进入(交换机)配置交换机的IP地址不用配置(如果是借用地址,则配置成加密装置的IP地址))。

如果不借用地址,不需要配置MAC地址;如果一个VLAN借用地址,另一个VLAN不借用,则路由器MAC配置业务网关的MAC地址,交换机的MAC地址,配置装置业务VLAN 的MAC地址;如果两个都借,则路由器MAC配置业务网关的MAC地址,交换机的MAC 地址配置交换机业务VLAN的MAC地址。(图9)

图8

精品

.

图9

第四步:证书配置

在“证书管理”中配置装置证书,如“图10”所示,在“证书类型”中选择证书种类(如根证书、对机证书、管理中心证书等,如“图11”所示),在“IP地址”中输入对应证书的IP地址(根证书不需要IP地址);在“证书文件”选择证书存储的路径,点击“导入”,上传证书成功。

可以在“证书管理”中查看、删除证书。

图10

精品

.

图11

第五步:隧道配置

在“隧道管理”中配置隧道,如“图12”所示,选择证书,勾选对应的VLAN,点击添加隧道即可。如果是添加明通隧道,则选择“未安装对机证书(输入对机IP)”,然后,输入相应的IP地址,工作模式选择“明通”,点击“添加隧道”,完成配置。

图12

第六步:策略配置

在“策略管理”中为隧道添加策略,如“图13”所示。选择对应隧道,在“源IP地址范围”中输入本地业务的IP地址段,“目的IP地址范围”输入对端业务IP的地址范围。选择“方向”、“协议”和“工作模式”,输入源和目的端口,点击添加策略即可。

精品

.

到此,加密装置配置完成。此时,可以在管理界面看到隧道的状态,如“图14”所示。

图13

精品

.

精品

纵向加密装置内核升级

第一步:上传内核文件 用网线连接加密装置的心跳口,心跳口默认的IP 地址为:192.168.100.1/24。

打开cmd 命令行窗口,进入内核存放的目录(为了方便内核文件上传,一般把内核文件单独放在一个文件夹下,如“图15”红框所示),然后,ftp 连接到加密装置(如“图16“所示),用户名:root ,密码:cnsecvpn 。登录后,通过bin 命令使用二进制方式进行传输,然后,用“mput *”命令,把当然目录下的所有文件上传到加密装置(默认保存在临时目录下),上传完成后,用“bye ”命令退出,上传完成。

图14

.

图15

图16

第二步,升级内核

在命令行窗口输入“telnet 192.168.100.1”,登录加密装置,用户名:root,密码:cnsecvpn。用ls可以看到上传的内核文件。用“tar zxvf 文件名”,解压文件(如“图17、18”所示),解压后,会在当前目录生成bin文件夹,进入bin目录(如“图19”所示),用“mv * /vpn/bin”命令把bin目录下的所有文件移动到/vpn/bin目录下,稍等片刻,当重新出现

精品

. “#”时,重启装置,升级完成。

图17

图18

精品

.

恢复配置

恢复配置,主要是把本地保存好的配置上传到加密装置,覆盖加密装置之前的配置,因此,操作步骤基本和上传内核文件一样,只是在上传文件时,加上目标路径就可以了(mput * /vpn/conf)。

如有侵权请联系告知删除,感谢你们的配合!

图19

精品

本文来源:https://www.bwwdw.com/article/5uvl.html

Top