SANGFOR_MIG_v4.0_Manual_CN_20131018_DOC

SANGFOR

MIG v4.0Manual 0MIG 4.0用户手册

2013年6月

目录

声明4

前言4

手册内容 (4)

本书约定 (5)

图形界面格式约定 (5)

各类标志 (5)

技术支持 (5)

致谢 (6)

第一章SANGFOR MIG的安装 (7)

1.1环境要求 (7)

1.2电源 (7)

1.3产品外观 (7)

1.4配置与管理 (8)

1.5设备接线方式 (9)

第二章控制台的使用 (10)

2.1登录WebUI配置界面 (10)

2.2运行状态查看 (13)

2.2.1设备运行状态 (13)

2.2.2VPN运行状态 (14)

2.2.3用户流量排名 (15)

2.2.4应用流量排名 (16)

2.2.5上网行为记录 (17)

2.2.6DHCP运行状态 (18)

2.3系统设置 (18)

2.3.1网络接口设置 (19)

2.3.2序列号 (27)

2.3.3系统时间设置 (28)

2.3.4路由设置 (29)

2.3.4.1系统路由设置 (29)

2.3.4.2动态路由设置 (32)

2.3.5多线路设置 (33)

2.3.6本地子网列表 (35)

2.3.7控制台设置 (36)

2.3.7.1WEBUI设置 (36)

2.3.7.2管理员设置 (36)

2.3.8系统日志设置 (38)

2.3.9生成证书 (38)

2.3.10应用识别库自动升级 (39)

2.4SC设置 (40)

2.4.1SC基本设置 (40)

2.4.2SC服务查看 (41)

2.5对象设置 (42)

SANGFOR MIG v4.0Manual

2.5.1算法设置 (42)

2.5.2IP组设置 (42)

2.5.3URL组设置 (44)

2.5.4用户组设置 (44)

2.5.5时间计划设置 (46)

2.5.6网络服务设置 (47)

2.5.7应用识别规则设置 (49)

2.6VPN信息设置 (52)

2.6.1基本设置 (52)

2.6.2用户管理 (54)

2.6.3连接管理 (61)

2.6.4虚拟IP池 (63)

2.6.5隧道间路由设置 (66)

2.6.6第三方对接 (67)

2.6.6.1第一阶段 (67)

2.6.6.2第二阶段 (71)

2.6.6.3安全选项 (74)

2.6.7高级设置 (75)

2.6.7.1内网服务设置 (75)

2.6.7.2VPN接口设置 (78)

2.6.7.3组播服务设置 (78)

2.7访问控制 (80)

2.7.1认证选项设置 (80)

2.7.2访问策略设置 (82)

案例学习 (86)

2.8流量管理 (89)

2.8.1线路带宽配置 (89)

2.8.2流控策略设置 (89)

2.9防火墙设置 (93)

2.9.1过滤规则设置 (93)

案例学习 (97)

2.9.2NAT设置 (103)

2.9.2.1代理上网设置 (103)

2.9.2.2端口映射设置 (109)

2.9.3防DOS攻击 (112)

2.9.4ARP欺骗防护 (113)

2.10DHCP服务设置 (115)

2.10.1DHCP设置 (115)

2.11WLAN设置（MIG-1110-W） (118)

2.12新手向导 (123)

2.13日志查看 (124)

2.14策略故障排除 (126)

2.15备份/恢复配置 (128)

第三章案例集 (129)

SANGFOR MIG v4.0Manual

3.1.路由模式部署案例 (129)

3.2.单臂模式部署案例 (133)

3.3.SANGFOR VPN互连案例 (136)

配置思路： (137)

总部VPN配置步骤 (138)

分支VPN配置步骤 (139)

3.4.与CISCO PIX标准IPSEC VPN互连案例 (141)

3.5.移动PDLAN用户接入VPN案例 (149)

3.6.VPN内网权限的设置案例 (154)

3.7.VPN多线路配置案例 (160)

3.8.VPN多子网配置案例 (165)

3.9.通过隧道间路由实现分支间互访案例 (166)

3.10.通过目的路由用户上网案例 (169)

3.11.VPN隧道LAN口SNAT案例 (171)

附录通过RESET键恢复默认配置 (174)

SANGFOR MIG v4.0Manual

声明

Copyright?2013深圳市深信服电子科技有限公司及其许可者版权所有，保留一切权利。

未经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。

SANGFOR为深圳市深信服电子科技有限公司的商标。对于本手册出现的其他公司的商标、产品标识和商品名称，由各自权利人拥有。

除非另有约定，本手册仅作为使用指导，本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。

本手册内容如发生更改，恕不另行通知。

如需要获取最新手册，请联系深信服电子科技有限公司客户服务部。

SANGFOR MIG v4.0Manual

前言

1.1.手册内容

第1部分SANGFOR MIG4.0产品概述。该部分主要介绍SANGFOR MIG4.0的外观特点和功能特性，以及连接前的准备和注意事项。

第2部分SANGFOR MIG4.0的部署及配置介绍。

附录部分SANGFOR MIG4.0网关升级客户端的使用。

本手册以深信服MIG200型号为例进行配置。由于各型号产品硬件和软件规格存在一定差异，所有涉及产品规格的问题需要和深信服科技有限公司联系确认。

1.2.本书约定

图形界面格式约定

文字描述代替符号举例

按钮边框+阴影+底纹“确定”按钮可简化为确定

菜单项『』菜单项“系统设置”可简化为『系统设置』

连续选择菜单项及子菜单项→选择『系统设置』→『接口配置』

下拉框、单选框、复选框选项[]复选框选项“启用用户”可简化为[启用用户]

窗口名【】如点击弹出【新增用户】窗口

提示框中显示“保存配置成功，配置已修改,需要重启提示信息“”

DLAN服务才能生效，是否立即重启该服务?”

各类标志

本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的SANGFOR MIG v4.0Manual5

意义如下：

小心、注意：提醒操作中应注意的事项，不当的操作可能会导致设置无法生效、数据丢失或者设备损坏。

警告：该标志后的注释需给予格外的关注，不当的操作可能会给人身造成伤害。

说明、提示、窍门：对操作内容的描述进行必要的补充和说明。

1.3.技术支持

用户支持邮箱：support@1eab29782b160b4e777fcf2f

技术支持热线电话：400-630-6430（手机、固话均可拨打）

技术支持论坛：1eab29782b160b4e777fcf2f

公司网址：1eab29782b160b4e777fcf2f

1.4.致谢

感谢您使用我们的产品及用户手册，如果您对我们的产品或用户手册有什么意见和建议，您可以通过电话、论坛或电子邮件反馈给我们，我们将不胜感谢。

SANGFOR MIG v4.0Manual6

SANGFOR

MIG v4.0Manual 7第2章SANGFOR MIG 的安装

本部分主要介绍了SANGFOR MIG 系列产品的硬件安装。硬件安装正确之后，您才可以进行配置和使用。

2.1.环境要求

SANGFOR MIG 设备可在如下的环境下使用。

输入电压：110V~230V

温度：0～45℃

湿度：5～90％

为保证系统能长期稳定地运行，应保证电源有良好的接地措施、防尘措施、保持使用环境的空气通畅和室温稳定。本产品符合关于环境保护方面的设计要求，产品的安放、使用和报废应遵照国家相关法律、法规要求进行。

2.2.电源

SANGFOR MIG 系列产品使用交流110V 到230V 电源。在您接通电源之前，请保证您的电源有良好的接地措施。

2.3.产品外观

图1SANGFOR MIG1110网关面板

从左到右的接口和指示灯分别是：

3G指示灯（MIG1110/MIG1110-W）：3G拨号过程中，该指示灯会闪烁；当设备通过3G拨号成功时，该指示灯会亮起。

WIFI指示灯（MIG1110-W）：当设备启用WIFI功能时，该指示灯会亮起；有WIFI连接时，该指示灯会闪烁。

POWER：MIG设备电源指示灯。

ALARM：MIG设备报警指示灯(设备启动时1-2分钟内长亮)。

WAN/WAN1：设备的WAN1接口。

WAN2(MIG1200)：设备的WAN2接口。

DMZ：设备的DMZ接口。

LAN1：设备的LAN接口。

LAN2：设备的LAN接口。

LAN3（MIG1110/MIG1110-W）：设备的LAN接口。

RESET：恢复出厂配置键。MIG设备通电状态下，按住RESET键2秒后松开，ALARM 红灯会开始闪烁，之后会红灯常亮，等红灯熄灭后即恢复默认配置成功。

USB接口（MIG1110/MIG1110-W，背面板）：用来外接3G Modem。

图片仅供参考，不同型号的产品外观请以实物为准。

CONSOLE口仅供开发和测试调试时使用，用户需从设备网口通过浏览器登录设备进行配置。

SANGFOR MIG v4.0Manual8

2.4.配置与管理

在配置SANGFOR MIG网关之前，您需要配备一台电脑，配置之前请确定该电脑的网页浏览器能正常使用（仅支持Internet Explorer），然后把电脑与SANGFOR MIG 连接在同一个局域网内，通过网络对设备进行配置。

2.5.设备接线方式

在背板上连接电源线，打开电源开关，此时前面板的Power灯(绿色，电源指示灯)和Alarm灯(红色，告警灯)会点亮。大约1-2分钟后Alarm灯熄灭，说明网关正常工作。

请用标准的RJ-45以太网线将LAN口与内部局域网连接，以便对SANGFOR MIG 进行配置。

请用标准的RJ-45以太网线将WAN口与Internet接入设备相连接，如路由器、光纤收发器或ADSL Modem等。

SANGFOR MIG正常工作时POWER灯常亮，WAN口和LAN口LINK灯长亮，ACT灯在有数据流量时会不停闪烁。ALARM红色指示灯只在设备启动时因系统加载会长亮（约一分钟），正常工作时熄灭。如果在正常使用时此红灯长亮，请将设备掉电重启，重启之后若红灯一直长亮不能熄灭，请与我们联系。

WAN口直接连接MODEM应使用直通线、连接路由器应使用交叉线；LAN口连接交换机应使用直通线、直接连接电脑网口应使用交叉线。当指示灯显示正常，但不能正常连接的时候，请检查连接线是否使用错误。直连网线与交叉网线的区别在于网线两端的线序不同，如下图：

SANGFOR MIG v4.0Manual9

SANGFOR MIG v4.0Manual10

第3章控制台的使用

3.1.登录WebUI配置界面

设备出厂的默认IP见下表：

接口IP地址

LAN1、LAN2和LAN310.254.254.253/24

DMZ10.254.253.253/24

SANGFOR MIG支持WEB管理，使用443端口登录，如果使用初始地址登录LAN口，那么登录的URL地址为：https://10.254.254.253

按照前面所示方法接好线后，通过Web界面来配置SANGFOR MIG硬件网关设备。方法如下：

首先为本机器配置一个10.254.254.X网段的IP（如配置10.254.254.100），掩码配置为255.255.255.0，然后在IE浏览器中输入网关的默认IP地址及端口，输入https://10.254.254.253，页面如下：

SANGFOR MIG v4.0Manual

此时浏览器可能会弹出“安装ActiveX控件”的提示，请点击“安装ActiveX控件”。如无提示，可直接点击登录界面下方的手动下载ActiveX控件按照提示安装控件。

在登录框输入用户名和密码，点击登录按钮即可登录SANGFOR MIG网关进行配置，默认情况下的用户名和密码均为：admin。

查看版本，即显示当前硬件的版本信息，页面如下：

SANGFOR MIG v4.0Manual12

登录webUI配置界面后，可以看到左树有以下配置选项：

运行状态：设备运行状态、VPN运行状态、用户流量排名等状态信息。

系统设置：网络接口、路由等网关设备的基本信息设置。

SC设置：SC基本设置、SC服务查看的基本信息设置。

对象设置：IP组、URL组、用户组、应用识别规则等对象设置。

IPSec VPN信息设置：设置SANGFOR VPN或者标准IPSec VPN。

访问控制：认证选项设置、访问策略设置。

流量管理：流控策略设置、线路带宽设置。

防火墙设置：过滤规则设置、NAT设置等设置。

DHCP服务设置：设置DHCP服务信息。

WLAN配置：设置WLAN的基本参数以及安全认证选项基本信息。SANGFOR MIG v4.0Manual13

SANGFOR MIG v4.0

Manual 14新手向导：按功能需求快速配置设备。

日志查看：用来查看设备运行中产生的各种系统日志。

策略故障排除：用于查看设备拒绝日志和将策略临时直通。

备份/恢复配置：用来备份/恢复设备的配置信息。注意：

1、所有配置界面中如果有确定或完成按钮，则配置完毕后，必须要点击该按钮才能使设置保存并生效，后面的文档不再赘述。

2、所有配置界面右上角都有帮助按钮，可以点击查看当前配置项的简要说明。

3.2.运行状态查看

『运行状态』用于查看硬件网关的工作状态，可以查看『设备运行状态』、『VPN 运行状态』、『用户流量排名』、『应用流量排名』、『上网行为记录』、『DHCP 运行状态』等。

3.2.1.设备运行状态

『设备运行状态』可以查看『CPU 占用率』、外网线路概况以及进行重启设备和重启服务等操作，如果需要从外网登录网关进行管理则勾选[允许远程连接]。

SANGFOR MIG v4.0

Manual 153.2.2.VPN 运行状态

此页面可以查看当前的VPN 连接和网络流量信息。页面如下：

点击分支NAT 状态可以查看当前接入分支的NAT 状态，包括用户名、原子网网段、代理子网网段、网络类型和子网掩码，此页面在做了VPN 隧道内NAT 后才有。页面如下：

点击查找用户输入用户名，可以快速找到当前用户的连接情况。页面如下：点击刷新状态，则显示实时的vpn 连接信息以及流量信息。

SANGFOR MIG

v4.0Manual 16点击显示选项，可以对显示的列进行筛选。页面如下：点击停止服务可暂时停止VPN 服务。

3.2.3.用户流量排名

『用户流量排名』查看内网用户访问Internet 的实时网络流量信息。可以对选中的用户进行冻结上网的操作。

点击刷新，手动刷新页面显示的流量排名情况。

选中要冻结的用户，设置冻结时间后点击冻结用户上网，即可冻结指定用户上行

SANGFOR MIG v4.0

Manual 17流量。

再手动点击刷新，发现无对应IP 的上行流量（此时该IP 已无法上网）；点击解冻用户，可以看到，该用户在解冻用户列表中。如下图：

点击解冻按钮则解冻这一个用户，勾选所有需解冻的用户，点击解冻用户，则解冻所有勾选用户。

3.2.

4.应用流量排名

『应用流量排名』可以查看内网用户使用的各种互联网应用占用带宽的排名，如下图：

SANGFOR

MIG v4.0Manual 18手动点击刷新，显示实时的应用流量排名；

『序号』：应用排名的顺序；

『应用名称』：具体应用的名字；

『应用类型』：该应用属于的哪个应用类别；

『总流量百分比』：占用当前总流量的百分比；

『上行流量』：该应用向外发送的流量大小；

『下行流量』：该应用接收的流量大小；

『总流量』：该应用所产生的总流量。

3.2.5.上网行为记录

『上网行为记录』可以查看到实时的内网用户Internet 行为记录，页面如下：点击刷新，显示实时的内网用户的上网行为记录。

『外部日志服务器设置』可以设置一个外部的syslog服务器进行上网行为记录的存储，包含以下部分：

『启用』：启用与syslog服务器通讯的功能。

『服务器IP

』：syslog服务器的ip地址。

『服务器日志接受端口』：syslog服务器开放的同步端口。

此页面只显示一百条记录，如果需要保存日志，则需要使用外部Syslog日志服务器。

3.2.6.DHCP运行状态

『DHCP运行状态』可以查看DHCP的运行状态和给其他计算机分配IP的情况，页面如下：

点击刷新，显示实时的DHCP运行状态。

『分配的网口』：选择查看不同网口的DHCP运行状态。

3.3.系统设置

包括『网络接口设置』、『序列号设置』、『系统时间设置』、『路由设置』、『多线路设置』、『本地子网列表』、『控制台设置』、『系统日志设置』、『生成证书』、『应用识别

SANGFOR MIG v4.0Manual19

SANGFOR

MIG v4.0Manual 20库自动升级』模块。

3.3.1.网络接口设置

用于配置设备的工作模式，有两种工作模式可供选择：单臂模式和网关模式。选择单臂模式时，需要配置内网接口（LAN 口）IP 地址、子网掩码，默认网关，配置DMZ 口IP 地址、子网掩码，配置DNS 。页面如下：

选择网关模式时，不仅需要配置内网接口，同时也必须配置相应的外网线路。页面如下：

本文来源：https://www.bwwdw.com/article/y91q.html