加密装置详细配置步骤

.

纵向加密配置

纵向加密配置步骤 (2)

第一步：生成证书请求 (3)

第二步：设置装置IP地址 (5)

第三步：VLAN配置（如果需要） (7)

第四步：证书配置 (10)

第五步：隧道配置 (11)

第六步：策略配置 (12)

纵向加密装置内核升级 (14)

恢复配置 (17)

精品

.

纵向加密配置步骤

现在纵向加密为双路网口，内网1和外网1为第1路，内网2和外网2为第2路，如果在两路同时使用时，一般第1路连接实时业务，第2路连接非实时业务。内网连接本地接入交换机，外网连接外出路由器。除此之处，加密装置还带有一个配置口（RJ-45接口转RS-232）和一个心跳口。

在配置前，需要在本地电脑上安装专用的纵向加密装置配置终端“”，安装文件在随机光盘里面或者联系厂家获取。目前纵向加密装置的内核版本为2.4.7，因此对应的配置终端程序的版本为3.5。

对纵向加密装置的配置可以通过两种方式，一是用串口线连接配置口进行配置，在“图1”中选择“串口通信”；二是用网线连接心跳口（或者其他已配置好IP地址的网口），在“图1”中选择“网口通信”，然后在后面输入IP地址（心跳口IP地址默认为：192.168.100.1，掩码：255.255.255.248）

图1

第一步：生成证书请求

如果是重新配置，则在登录时，需要为装置生成设备证书请求（如“图2”所示），按要求输入相关参数后，点击“生成证书请求”，等待几秒钟后，会提示“图3”所示，则点击“下一步”，在“图4”中，选择证书请求存储路径，然后点“导出”导出证书请求（如“图5”所示），生成证书请求成功，把证书请求发给CA机构签发设备证书。

精品

.

图2

图3

图4

精品

.

图5

第二步：设置装置IP地址

生成证书请求成功后，关闭界面，重新打开配置终端程序，进入配置管理界面如“图6”所示，如果生成证书请求后没有重启过装置，则在图中红线框处会出现工作状态等异常，重启装置后，所有状态才会变为正常。

点击“系统配置”，打开如“图7”所示界面，对装置的IP地址进行配置。在红框1处

精品

图6

. 选择第1路或第2路进行配置，勾选

精品

.

“启用标志”表示当前网口启用，如果装置需要借用地址（至少有一个VLAN的掩码为30），勾选“启用虚拟IP地址”。在红框2处配置全局转发策略，如果选择“转发”，表示数据满足规则，则密通，不满足规则，则明通。选择“丢弃”，表示数据满足规则，则密通，不满足规则，刚丢弃数据。为了方便，一般“允许”通过网络访问装置。在红框3处配置IP 地址，红框4处配置路由信息。

到此，装置IP地址配置完成。

图7

第三步：VLAN配置（如果需要）

一般在网络中，会配置两个VLAN，一个业务VLAN，一个管理VLAN，在“图8”所示界面中，红框1配置“启用VLAN”，输入对应的VLAN ID，一般业务VLAN需要勾选“装置属于该VLAN”。如果是借用地址的VLAN，需要勾选（装置启用ARP）。

精品

.

在红框2处配置VLAN IP地址，子网地址配置装置的IP，外出（路由器，对应的路由器的IP地址，进入（交换机）配置交换机的IP地址不用配置（如果是借用地址，则配置成加密装置的IP地址））。

如果不借用地址，不需要配置MAC地址；如果一个VLAN借用地址，另一个VLAN不借用，则路由器MAC配置业务网关的MAC地址，交换机的MAC地址，配置装置业务VLAN 的MAC地址；如果两个都借，则路由器MAC配置业务网关的MAC地址，交换机的MAC 地址配置交换机业务VLAN的MAC地址。（图9）

图8

精品

.

图9

第四步：证书配置

在“证书管理”中配置装置证书，如“图10”所示，在“证书类型”中选择证书种类（如根证书、对机证书、管理中心证书等，如“图11”所示），在“IP地址”中输入对应证书的IP地址（根证书不需要IP地址）；在“证书文件”选择证书存储的路径，点击“导入”，上传证书成功。

可以在“证书管理”中查看、删除证书。

图10

精品

.

图11

第五步：隧道配置

在“隧道管理”中配置隧道，如“图12”所示，选择证书，勾选对应的VLAN，点击添加隧道即可。如果是添加明通隧道，则选择“未安装对机证书（输入对机IP）”，然后，输入相应的IP地址，工作模式选择“明通”，点击“添加隧道”，完成配置。

图12

第六步：策略配置

在“策略管理”中为隧道添加策略，如“图13”所示。选择对应隧道，在“源IP地址范围”中输入本地业务的IP地址段，“目的IP地址范围”输入对端业务IP的地址范围。选择“方向”、“协议”和“工作模式”，输入源和目的端口，点击添加策略即可。

精品

.

到此，加密装置配置完成。此时，可以在管理界面看到隧道的状态，如“图14”所示。

图13

精品

.

精品

纵向加密装置内核升级

第一步：上传内核文件 用网线连接加密装置的心跳口，心跳口默认的IP 地址为：192.168.100.1/24。

打开cmd 命令行窗口，进入内核存放的目录（为了方便内核文件上传，一般把内核文件单独放在一个文件夹下，如“图15”红框所示），然后，ftp 连接到加密装置（如“图16“所示），用户名：root ，密码：cnsecvpn 。登录后，通过bin 命令使用二进制方式进行传输，然后，用“mput *”命令，把当然目录下的所有文件上传到加密装置（默认保存在临时目录下），上传完成后，用“bye ”命令退出，上传完成。

图14

.

图15

图16

第二步，升级内核

在命令行窗口输入“telnet 192.168.100.1”，登录加密装置，用户名：root，密码：cnsecvpn。用ls可以看到上传的内核文件。用“tar zxvf 文件名”，解压文件（如“图17、18”所示），解压后，会在当前目录生成bin文件夹，进入bin目录（如“图19”所示），用“mv * /vpn/bin”命令把bin目录下的所有文件移动到/vpn/bin目录下，稍等片刻，当重新出现

精品

. “#”时，重启装置，升级完成。

图17

图18

精品

.

恢复配置

恢复配置，主要是把本地保存好的配置上传到加密装置，覆盖加密装置之前的配置，因此，操作步骤基本和上传内核文件一样，只是在上传文件时，加上目标路径就可以了（mput * /vpn/conf）。

如有侵权请联系告知删除，感谢你们的配合！

图19

精品

本文来源：https://www.bwwdw.com/article/5uvl.html