1、DCME-320新UI快速配置手冊客服中心技術團隊2013.8目 錄1.產品介紹42.快速設置上網42.1.如何硬件連接？42.2.如何準備用于配置DCME-320的PC？52.3.如何登錄DCME-320？52.4.如何配置上網？62.4.1.步驟一:設置WAN口模式62.5.如何恢復出廠設置？73.端口映射73.1.端口映射73.1.1.建立地址簿83.1.2.建立高級目的NAT條目93.1.3.策略自動生成103.1.4.建立源NAT條目104.IPSec配置（LAN-to-LAN）114.1.應用環境114.2.總部DCME-320設置124.2.1.建立IPSEC模版124.2.2.

2、建立動態VPN134.2.3.建立IPSec策略144.3.分部DCR路由器設置154.4.DCME-320查看VPN狀態165.L2TP LNS設定175.1.應用環境介紹175.2.L2TP服務器配置185.3.L2TP用戶管理185.4.撥入用戶查看195.5.Win 7系統L2TP client 設置196.限速設定216.1.端口帶寬控制216.2.IP QoS226.3.應用QoS237.SSL VPN配置247.1.應用環境247.2.創建SSL VPN登錄用戶257.3.SSL VPN服務器端配置257.3.1.創建SSL VPN實例257.3.2.定義資源配置267.3.3.

3、將用戶與資源關聯277.3.4.定義客戶端下載配置287.3.5.SSL VPN在線用戶297.3.6.SSLVPN客戶端下載方式297.4.SSL VPN客戶端配置298.WEB認證配置308.1.應用環境308.1.1.開啟WEB認證功能318.1.2.創建WEB認證登錄用戶318.1.3.創建配置策略328.1.4.配置驗證339.會話限制349.1.應用環境349.2.會話限制配置3510.URL過濾配置3610.1.應用環境3610.2.URL過濾配置3610.2.1.創建http_profile，啟用URL過濾功能3610.2.2.設置URL過濾規則3710.2.3.在策略中引用p

4、rofile3711.DCME320配置文件管理3811.1.應用環境3811.2.將當前配置保存在本地或PC3811.3.將本地配置上傳到DCME320并調用該配置3912.DCME320軟件版本升級4012.1.應用環境4012.2.將軟件從本地上傳到DCME320401. 產品介紹DCME-320多核出口網關采用MIPS 64位多核高性能處理器，結合專用ASIC交換芯片，針對多用戶數、多流量、多業務種類的業務需求而推出的新一代高性能互聯網出口網關。建議并發帶機數量： 300 端口組成： 8GE電口+2GE Combo+2 USB2.0+1 RJ-45 Console口+1 Reset鍵支

5、持接入方式： 靜態IP、動態IP（DHCP獲取）、PPPoE2. 快速設置上網2.1. 如何硬件連接？首先使用網線連接設備G1口至本地管理計算機，連接電源線(220V)。2.2. 如何準備用于配置DCME-320的PC？根據上圖所示，選擇使用如下IP地址，做如下配置：IP地址： 0 (或192.168.0.X子網內的任意地址除外)子網掩碼： 默認網關： 2.3. 如何登錄DCME-320？打開PC瀏覽器窗口，輸入， 并按回車。當出現DCN網絡管理登錄頁面，輸入如下參數：

6、用戶名：admin 密 碼： admin驗證碼：1728 （每次登錄驗證碼都會改變需要根據實際情況修改）點擊“登錄”進入DCME-320WEB管理界面。2.4. 如何配置上網？選擇“快速向導”進入快速配置，兩步輕松搞定上網！2.4.1. 步驟一:設置WAN口模式<1>根據外線數量選擇“單外網口”、“雙外網口”。<2>選擇連接外線的接口（HG1,HG2,G1-G8）注意：HG1和HG2為高安全端口擁有多種硬件防護功能從容應對各種復雜外網環境，建議外網接口選用HG端口。<3>線路類型：1).如果是ADSL接入請選擇“PPPoE獲取地址”填入對應的“用戶名”、“密

7、碼”、“上行帶寬”、“下行帶寬”；2).如果是固定IP接入請選擇“靜態地址”填入對應的“IP/掩碼長度”、“缺省網關”、“首選DNS服務器”、“備選DNS服務器”、“上行帶寬”、“下行帶寬”；步驟二：配置LAN口模式<1>根據內網需要要劃分網段數量選擇“單內網口”、“雙內網口”。<2>選擇用于連接內網設備的接口（G1G8）。<3>填入對應的“IP/掩碼長度”。<4>內網用戶是否需要自動獲取IP？如果需要請啟用“DHCP-Server”并填入“起始IP地址”、“結束IP地址”、“首選DNS服務器”、“備用DNS服務器”。設置完上述兩步點擊“下一步”

8、“完成”即可實現快速上網功能。2.5. 如何恢復出廠設置？DCME-320恢復出廠設置可以分為reset鍵恢復和WEB界面恢復兩種方式。如果是reset鍵恢復出廠設置，可以使用細的小圓棒按住reset鍵15s左右即可！如果是WEB界面方式恢復進入【系統管理】-【基礎選項】-【配置文件管理】如下圖所示選擇出廠配置后面的應用按鈕即可完成出廠配置的恢復（WEB界面下恢復無需重啟）。3. 端口映射3.1. 端口映射某客戶內網有一臺服務器地址為14 需要將此服務器的TCP 33389端口映射到外網地址19的TCP 33389端口。3.1.1. 建立地址簿進

9、入【基礎網絡】-【NAT選項】-【端口映射】-【新建端口映射】如下圖所示完成后點擊“多個”按鈕，如下圖所示地址類型： IP成員 IP成員： 14 （根據實際情況自行定義）完成后點擊添加然后“確定”即可!另外還要建立一個正對外網接口IP的地址簿，IP成員為193.1.2. 建立高級目的NAT條目進入【基礎網絡】-【NAT選項】-【端口映射】新建“高級配置”如下圖所示源地址： 地址簿地址簿： any目的地址：IP地址IP地址： 19應用： HTTP行為： NATNAT地址：IP地址地址簿： 14NAT端

10、口： 啟用 端口：80模式： 端口映射完成后點擊“確認”即可！3.1.3. 策略自動生成進入【網絡安全】-【安全策略】如下圖所示：源安全域：WAN源地址：Any目的安全域：LAN目的地址：14/32行為：允許3.1.4. 建立源NAT條目進入【基礎網絡】-【NAT選項】-【NAT】-【新建基本配置】如下圖所示：源地址： Any出接口：HG1行為： NAT(出接口IP)完成后點擊“確認”即可！4. IPSec配置（LAN-to-LAN）4.1. 應用環境總部使用我司的DCME-320作為出口，分部使用其他型號的DCR路由器。總部內網使用/24網段，分部使用1

11、/24網段，總部出口公網地址為/24,分部公網IP為/24。用戶想要總部和分部之間的內網能夠相互訪問。4.2. 總部DCME-320設置4.2.1. 建立IPSEC模版進入【VPN】-【IPSec VPN】-【VPN模版】點擊“新建”按鈕新建模版如下圖所示模版名稱： IPSec （可以自行定義）協商模式： main （一般我們都選用主模式建立LAN-to-LAN IPSec）IKE VERSION：1P1(第一階段協商參數)認證算法： pre-shared-key （預共享秘鑰）加密算法： des （可選des、3des、aes128、aes1

12、92、aes256，IPsec兩端必須一致）驗證算法： md5 （可選sha1、md5，IPSec兩端設備必須一致）DH組： 1 （可選 1、2、5 ，IPSec兩端必須一致）生存時間： 300 （自己定義但IPSec兩端必須一致）P2（第二階段協商參數）加密算法： des （可選des、3des、aes128、aes192、aes256，IPSec兩端必須一致）驗證算法： hamc-md5 （可選hmac-sha1、hmac-md5，IPSec兩端必須一致）PFS功能： 1 （可選1、2、5,IPSec兩端必須一致）P2 SA生命周期 ： 300 （自行定義但IPSec兩端配置必須一致）完成

13、后點擊“確認”即可！4.2.2. 建立動態VPN如果使用IKE自動協商方式就選擇”動態VPN”，如果需要手工協商就選擇“靜態VPN”，一般情況下我們優先選用IKE自動協商方式配置簡單易于維護。進入【VPN】-【IPSec VPN】-【動態VPN】點擊“新建”按鈕如下圖所示隧道名稱： ipsec （自行定義名稱）模版： ipsec （需要調用的IPSec模版名稱）本端IP地址： （本地外網口的IP地址）對端地址類型： 靜態IP （如果有多個站點接入直接寫動態IP那就表明本端被動協商）對端IP地址： （對端設備的外網口地址） 預共享密鑰： 12345 （自行定義，I

14、PSec兩端一直即可） 完成后點擊“確認”按鈕即可！4.2.3. 建立IPSec策略進入【VPN】-【IPSec策略】點擊“新建”按鈕策略名稱： ipsec （自行定義）匹配規則協議： any本地地址： /24對端地址： /24VPN名稱： ipsec 模式： tunnel行為： esp （可選esp、ah，IPSec兩端必須一致）優先級： 1完成后點擊“確認”按鈕即可！4.3. 分部DCR路由器設置!crypto isakmp key 0 12345 address 55crypto isakmp policy

15、 1 authentication pre-share hash md5 lifetime 300!crypto ipsec transform-set ipsec esp-des esp-md5-hmac!crypto map ipsec 0 ipsec-isakmp match address ipsec set peer set pfs group1 set security-association lifetime seconds 300 set transform-set ipsec! interface Loopback0 ip address 2

16、 no ip directed-broadcast ip http firewalltype 0!interface FastEthernet0/0 ip address crypto map ipsec!ip route default !ip access-list extended ipsec permit ip !4.4. DCME-320查看VPN狀態進入【VPN】-【VPN監控】點擊“SAD”可以查看當前I

17、PSEC是否建立成功如果建立在SAD可以看到如下信息：下圖表示SA建立，IPSEC VPN已經建立成功。5. L2TP LNS設定DCME-320目前階段只能提供L2TP LNS的服務，暫不支持L2TP LAC的功能。5.1. 應用環境介紹用戶使用我司的DCME-320作為出口設備，現在需要讓出差人員能夠隨時隨地訪問到公司的內部資源，考慮使用DCME-320的L2TP服務來實現這一需求。DCME-320外網口地址： .讓出差人員分配得到/24段的地址訪問內部網絡。5.2. L2TP服務器配置進入【VPN】-【L2TP VPN】點擊“L2TP服務”

18、按鈕，如下圖所示綁定IP： （提供給外網用戶的公網IP，一般為設備外網口IP）DNS： 41 （L2TP用戶獲取地址后，使用的DNS服務器）加密方式： any （可選any、pap、chap，any表示pap、chap都可使用）本地地址： （本地的L2TP服務器的地址，根據實際情況定義）地址池： -0 （可以分配給L2TP用戶的IP地址，自行定義地址范圍不能小于16.）完成后點擊“確認”即可！5.3. L2TP用戶管理進入【VPN】-【L2TP VPN】點擊“用戶管理”按鈕如下

19、圖所示：用戶名： dcn123 （根據實際情況自行定義）密碼： dcn123 (根據實際情況自行定義)確認密碼：dcn123 (根據實際情況自行定義，必須和密碼一致)完成后點擊“添加用戶“按鈕即可完成用戶添加。注意：如果刪除某個用戶可以在”用戶列表“里面找到該用戶 點擊后面的刪除按鈕即可！5.4. 撥入用戶查看進入【VPN】-【L2TP VPN】點擊”撥入列表“即可查看成功撥入的用戶情況。可以查看如下信息：用戶名、分配IP、撥入IP、撥入時間。5.5. Win 7系統L2TP client 設置進入【控制面板】-【網絡和Internet】-【網絡和共享中心】選擇”設置新的連接或網絡“連接到工作

20、區“后創建新連接。選擇”使用我的Internet連接(VPN）(I)“如下圖所示Internet地址： （L2TP服務器里面配置的綁定的公網IP）目標名稱：VPN連接 （根據實際情況自定義）完成后點擊“下一步”輸入用戶名密碼，如下圖所示完成后點擊連接，后選擇“跳過按鈕”在桌面右下角的圖標，選擇新建的VPN連接將“安全”選項中”VPN”類型修改為“使用IPSec的第2層隧道協議（L2TP/IPSec）”，將“數據加密”修改為“可選加密”即可！如果不做修改會提示800錯誤。6. 限速設定DCME-320可以提供接口帶寬控制、針對IP的帶寬控制、針對應用的帶寬控制。6.1.

21、 端口帶寬控制進入【基礎網絡】-【接口選項】-【接口列表】-【HG1】如下圖所示可以針對DCME-320上的外網口的上下行帶寬分別控制。帶寬的控制單位為kpbs（1M=1024k，設置的時候注意好單位的換算）6.2. IP QoSIP QoS是針對IP的帶寬控制策略。進入【流量控制】-【IP QoS】如下圖所示:規則名稱： 自定義接口綁定： 根據實際情況選擇需要關聯的接口IP地址: 可以手動定義IP成員或地址范圍控制策略可以針對每個IP在接口的上下行帶寬分別控制。完成后點擊“確認”按鈕即可！配置完成后在下方IP QoS列表里面會看到已經配置的IP QoS策略。6.3. 應用QoS應用QoS是針

22、對應用的帶寬控制策略。進入【流量控制】-【應用QoS】如下圖所示：規則名稱： p2p1 （根據實際情況自行定義）接口綁定： HG1 （根據實際情況綁定到對應的內網口）應用： HTTP多線程、P2P donwload （根據實際情況自行選擇需要綁定的應用）接口上行： 1024 （單位為kbps，根據實際情況選擇這個應用在接口上占用的帶寬）接口下行： 1024 （單位為kbps，根據實際情況選擇這個應用在接口上占用的帶寬）完成后點擊“確定”按鈕即可！通過下方的QoS應用列表可以查看已經設定的應用QoS策略的基本情況。7. SSL VPN配置7.1. 應用環境用戶使用我司的DCME-320作為出口設

23、備，現在需要讓出差人員能夠更加安全的訪問到公司的內部資源，考慮使用DCME-320的SSL VPN接入內網。允許SSL VPN用戶接入后訪問內網的FTP Server：52；允許SSL VPN用戶接入后訪問內網的WEB Server：107.2. 創建SSL VPN登錄用戶進入【上網行為】-【用戶管理】-【用戶或用戶組】點擊“新建用戶”按鈕名稱：wyliang (根據實際情況自行定義)密碼：12345 (根據實際情況自行定義)重新輸入密碼：12345 (根據實際情況自行定義，必須和密碼一致)描述： （自行定義）超時啟用：（勾選后可以指定帳號的可用時

24、間）7.3. SSL VPN服務器端配置7.3.1. 創建SSL VPN實例進入【VPN】-【SSLVPN】-【實例配置】點擊“新建”按鈕新建模版如下圖所示名稱： SSLvpn (根據實際情況自行定義)SSL VPN端口： 4433 (根據實際情況自行定義)超始地址： (根據實際情況自行定義)結束地址：0 (根據實際情況自行定義)掩碼： 255.255.525.0 接口：HG1完成后點擊“確定”按鈕即可7.3.2. 定義資源配置進入【VPN】-【SSLVPN】-【資源配置】點擊“新建”按鈕新建模版如下圖所示名稱： ftp或http (根據實際應用

25、服務填寫)IP/網絡掩碼： 52/24 (內部服務器地址)完成后點擊“確定”按鈕即可7.3.3. 將用戶與資源關聯進入【VPN】-【SSLVPN】-【資源關聯】點擊“新建”按鈕新建模版如下圖所示類型： 用戶或用戶組 (根據實際應用服務填寫)用戶： wyliang (根據實際情況自行定義)資源： ftp、http (根據實際情況選用資源)完成后點擊“確定”按鈕即可7.3.4. 定義客戶端下載配置進入【VPN】-【SSLVPN】-【客戶端下載配置】如下圖所示啟用： 勾選 (根據實際情況進行勾選)模式： HTTP或HTTPS (根據實際情況自行選擇)服務器端口： 4436 (

26、根據實際情況自行定義，范圍102465535)完成后點擊“確定”按鈕即可7.3.5. SSL VPN在線用戶進入【VPN】-【SSLVPN】-【在線用戶】即可查看成功撥入的用戶情況。可以查看如下信息：用戶名、實例、登錄時間、分配IP、公網IP、AAA服務器如下圖所示7.3.6. SSLVPN客戶端下載方式在IE瀏覽器中輸入http:/DCME320登錄地址:SSLvpn客戶端下載端口號例如：54:4436點擊“下載”按鈕如下圖所示客戶端軟件7.4. SSL VPN客戶端配置客戶端安裝完畢后，點擊圖標如下圖所示：服務器：19 （一般為D

27、CME320的外網口）端口：4433 （與實例中配置的SSL VPN端口號一致）用戶名：wyliang密碼：12345完成后點擊“登錄”按鈕即可8. WEB認證配置8.1. 應用環境內網用戶首次訪問Internet時需要通過WEB認證才能上網，且內網用戶為user1，其中用戶user1在通過認證后可以瀏覽WEB界面。8.1.1. 開啟WEB認證功能進入【上網行為】-【WEB認證】-【認證配置】新建模版如下圖所示啟用web認證： 勾選 (以啟用web認證服務)模式： HTTP模式 (根據實際情況自行選擇)HTTP服務器端口： 8181 (缺省值)重定向URL： (認證成功后跳轉的界面，自定義)頁

28、面超時： 260 (缺省值)完成后點擊“確定”按鈕即可8.1.2. 創建WEB認證登錄用戶進入【上網行為】-【用戶管理】-【用戶或用戶組】點擊“新建用戶”按鈕名稱：webwyliang (根據實際情況自行定義)密碼：123456 (根據實際情況自行定義)重新輸入密碼：123456 (根據實際情況自行定義，必須和密碼一致)描述： （自行定義）超時啟用：（勾選后可以指定帳號的可用時間）完成后點擊“確定”按鈕即可8.1.3. 創建配置策略進入【網絡安全】-【安全策略】點擊“新建”按鈕webwyliang處于lan安全域，外網口處于wan安全域，需要配置1條策略策略-用戶認證服務策略源安全域：lan源地址：any目的安全域：wan目的地址：any應用薄：any用戶/組：webwyliang行為：允許8.1.4. 配置驗證內網用戶打開IE后輸入某網站后可以看到頁面馬上重定向到認證頁面，我們輸入用戶名和密碼分別為webwyliang和123456認證通過后，訪問某web時訪問成功進入【上網行為】-【WEB認證】-【在線用戶】界面：9. 會話限制9.1. 應用環境針對內網每IP限制TCP-ANY會話數到300條，針對內網每IP限制UDP-ANY會話數到200條。9.2. 會話限制配置進入【上網行為】-【會