收藏
常见问题解答- 1.538 能够同时支持多少条 VPN 隧道
-
答案:- 作为它的标准功能,538 能够同时支持 200条 VPN 隧道。可以连接总部,分支办公室,移动用户以及合作伙伴等。
-
- 2.它的其它安全特性如何?比如说防病毒能力
-
- 答案:
- 选用 FVX538,你的购买是有投资保证的。这是因为 FVX538可以在2005年里升级成防病毒,防垃圾邮件,防间谍程序,IDS和 SSL VPN 等诸多功能。
-
- 3.FVX538 有哪些优点
-
-
- 答案:
-
FVX538 对网络提供额外的安全保证,是因为它具有传统 NAT 路由器不具备的四项重要性质。
- 支持两个广域网连接,具有负载平衡,链路聚合,链路冗余等功能
- 能够同时支持200个 VPN 隧道的 VPN 终端接入,并具有 3DES和 AES加密的功能
- 支持 QoS服务质量
- 支持简单网络管理协议 SNMP与 NETGEAR 公司的管理软件包如 NMS100协调工作
- 基于 URL 或 URL 关键字的静态内容过滤
- 根据状态包检测拒绝服务攻击保护
- 日志记录,报告,和入侵检测系统告警
- 可上架,厚度 1U
- 一个用于本地管理的控制端口
- 一个具有5个用户许可的 Prosafe VPN 客户端软件
- 1个硬件 DMZ 端口
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 4.FVX538 是路由器么
-
- 答案:
- 是的,它是一个路由器与安全设备的综合体。FVX538 除了提供一个网络地址转换 (NAT)路由器具有的所有功能外,还有更多安全上的特性
-
- 5.什么是 FVX538 ProSafe VPN 防火墙 200
-
- 答案:
- FVX538是网络安全设备,它通过两个宽带调制解调器连线(具备两个广域网端口),比如 DSL或者电缆,可以用来将成长型商用网络内多达253个的局域网用户PC机安全地连接到互联网 Internet或广域网
-
- 6.Netgear Prosafe VPN Client 与 FVX538 连接的配置策略需要注意的地方
-
- 答案:
- 请下载‘NG Prosafe VPN Client 与 FVX538 连接的配置策略模版’,然后用 NETGEAR VPN 客户端程序导入,稍加修改即可。
-
- 7.FVX538 firmware 升级建议事项
-
- 答案:
- 升级到最新版本后需要将设备复位; 复位后再升级一次; 将设备重启动; 在router status中查看:primary firmware和secondary firmware是否一致;
-
- 8.测试VPN连接
-
-
- 9.分支三FVS124G到FVX538的VPN策略配置
-
-
- 答案:
-
因为FVX538使用固定的IP地址及分支二的FVS124g使用动态域名的动态IP地址,所以在IKE策略里我们使用Aggressive模式进行配置。该连接可以双向发起。
- IKE策略的配置
进入`VPN` / `IKE Policies` 下,点`Add` 按钮新建一条策略,配置如图:
6-1:Fvs124g的IKE POLICY
- VPN策略的配置
进入`VPN` / `VPN Policies` 下,点`Add atuo policy` 按钮新建一条策略,配置如图:
此处的 Local IP 应该是: 192.168.4.0 /255.255.255.0
此处的 Remote IP 应该是:192.168.0.0 / 255.255.255.0
图6-2:Fvs124g的VPN POLICY
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 10.分支二FVS114 到FVX538的VPN策略配置
-
-
- 答案:
-
因为FVX538使用固定的IP地址及分支二的FVS114使用没有动态域名的动态IP地址,所以在IKE策略里我们使用Aggressive模式进行配置,并且在IKE策略里的Direction/Type里应该选择Initiator的模式,这意味着只能从FVS114P那里主动建立VPN连接。
- IKE策略的配置
进入`VPN` / `IKE Policies` 下,点`Add` 按钮新建一条策略,配置如图:
图5-1:FVS114的IKE POLICY
- VPN策略的配置
进入`VPN` / `VPN Policies` 下,点`Add atuo policy` 按钮新建一条策略,配置如图:
此处的 Local IP 应该是: 192.168.3.0 /255.255.255.0
此处的 Remote IP 应该是:192.168.0.0 / 255.255.255.0
图5-2:FVS114的VPN POLICY
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 11.分支一FVS318v3 到FVX538的VPN策略配置
-
-
- 答案:
-
因为FVX538及分支一的FVS318v3均使用固定的IP地址,所以在IKE策略里我们使用MAIN模式进行配置。
配置如下图:
- IKE策略的配置
进入`VPN` / `IKE Policies` 下,点`Add` 按钮新建一条策略,配置如图:
图4-1:FVS318V3的IKE POLICY
- VPN策略的配置
进入`VPN` / `VPN Policies` 下,点`Add atuo policy` 按钮新建一条策略,配置如图:
此处的 Local IP 应该是: 192.168.2.0 /255.255.255.0
此处的 Remote IP 应该是:192.168.0.0 / 255.255.255.0
图4-2:FVS318V3的VPN POLICY
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 12.FVX538到分支三FVS124G的VPN策略配置
-
-
- 答案:
-
因为FVX538使用固定的IP地址及分支二的FVS124G使用动态域名的动态IP地址,所以在IKE策略里我们
使用Aggressive模式进行配置。该连接可以双向发起。
- IKE策略的配置
进入`VPN` / `IKE Policies` 下,点`Add` 按钮新建一条策略,配置如图:
图3-5:TOFVS124G的IKE POLICY
- VPN策略的配置
进入`VPN` / `VPN Policies` 下,点`Add atuo policy` 按钮新建一条策略,配置如图:
图3-6:TOFVS124G的VPN POLICY至此中心FVX538的配置已经完成,配置完成后,在FVX538的IKE策略和VPN配置策略页面里,应该生成如下的配置信息:
- FVX538的IKE POLICY
图3-7:FVS538 IKE POLICY
- FVX538的VPN POLICY
图3-8:FVS538 VPN POLICY
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 13. FVX538到分支二FVS114的VPN策略配置
-
-
- 答案:
-
因为FVX538使用固定的IP地址及分支二的FVSvs114使用没有动态态域名的动态IP地址,所以在IKE策略里我们使用Aggressive模式进行配置,另外在IKE策略里的Direction/Type里应该选择Responder的模式,并且在VPN POLICY的REMOTE IP ADDRESS栏目里填入FVS114的身份标识即可,这意味着只能从FVS114P那里主动建立VPN连接。
- IKE策略的配置
进入`VPN` / `IKE Policies` 下,点`Add` 按钮新建一条策略,配置如图:
图3-3:TOFVS114的IKE POLICY
- VPN策略的配置
进入`VPN` / `VPN Policies` 下,点`Add atuo policy` 按钮新建一条策略,配置如图:
图3-4:TOFVS114的VPN POLICY
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 14.中心FVX538对应分支一的VPN策略配置
-
-
- 答案:
- FVX538到分支一FVS318v3的VPN策略配置
因为FVX538及分支一的FVS318v3均使用固定的IP地址,所以在IKE策略里我们建议使用MAIN模式进行配置。
- IKE策略的配置
进入`VPN` / `IKE Policies` 下,点`Add` 按钮新建一条策略,配置如图:
图3-1:TOFVS318V3的IKE POLICY
- VPN策略的配置
进入`VPN` / `VPN Policies` 下,点`Add atuo policy` 按钮新建一条策略,配置如图:
图3-2:TOFVS318V3的VPN POLICY
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 15.认识NETGEAR产品的VPN配置界面
-
-
- 答案:
-
本方案使用的FVX538/FVS124G VPN防火墙系列产品默认的管理IP地址都是 192.168.1.1/24。默认的管理帐号是:admin。密码是:password。
FVS318v3,FVS114 VPN防火墙系列产品默认的管理IP地址都是 192.168.0.1/24。默认的管理帐号是:admin。密码是:password。以下以FVX538为例子,介绍如何登陆到VPN设备进行管理。
- 打开浏览器,在地址栏里面输入设备的管理地址
图2-1:FVX538的登录界面
- 输入出厂默认的帐号和密码,即可登陆到VPN设备的管理页面
图2-2:FVX538的管理页面
Netgear的VPN防火墙的所有VPN的相关配置都严格遵守RFC定义的IPSEC标准执行,在产品里的相关VPN设置被分为IKE Policy 和VPN Policy两个步骤,分别定义 RFC里面定义的IPSEC标准的VPN通道建立的两个基本步骤的主要参数。也就是说,我们在配置VPN策略的时候必须完成VPN Policy和IKE Policy配置。下图以FVX538为例子加以说明
- 认识FVX538的VPN配置
图2-3:FVX538的VPN配置策略
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 16.本方案的IP规划
-
-
- 答案:
-
根据本方案的需求,应该按照Spoke and Hub IP地址规划的原则来执行,在本方案中,我们选择在Hub(中心机构)和SPOKE(分支机构)都使用192.168.0.0/16网络内的4个子网,具体如下表:
Nodes
Model
Lan ip address
Central(Hub)
FVX538/FVS338
192.168.1.0/24
Branch 1(Spoke)
FVS318V3
192.168.2.0/24
Branch 2(Spoke)
FVS114
192.168.3.0/24
Branch 3(Spoke)
FVS124G
192.168.4.0/24
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 17.使用Spoke and Hub功能时的IP地址规划
-
-
- 18.普通的VPN连接的IP规划原则:
-
-
- 19.IP规划的原则
-
- 答案:
- 在配置VPN方案的时候必须首先进行IP地址的规划,使用美国网件公司提供的VPN设备的时候,IP规划必须按照以下原则进行 普通的VPN连接的IP规划原则:
-
- 20.FVX538(FVS338)为中心,FVS318V3,FVS114,FVS124G为分支的 VPN 网络配置实例 方案背景
-
-
- 答案:
-
一个中心及三个分支机都申请了宽带上网的线路,其中中心为固定IP地址的2M光纤专线,分支分别使用中国电信的专线或者ADSL,在本实验中,我们特别选择了分支机构1采用固定的IP地址,分支机构2采用动态域名,支机构3采用动态的IP地址这三种接入方式作为例子,详细描述了这三种最常见的接入方式的VPN配置方法。
图1-1Netgear解决方案
- 方案目的
实现中心机构和分支机构的VPN互连,使总部和分支机构的局域网可以互
相连接,同时以中心机构作为中转,实现三个机构内部局域网的互连。特别要提及的是在本方案中,我们枚举了三种常见的宽带接入方式。分别为:使用固定IP地址的专线的接入方式,使用动态IP地址的ADSL并且申请了动态域名的接入方式,使用动态IP地址的ADSL并且没有申请动态域名的接入方式,该三种接入方式都可以和总部建立VPN通道,但配置的办法和建立VPN通道的要求都有所不同,将在下文作详细的描述。另外在实现分支机构通过总部的中转作VPN连接这一功能(下文我们简称这种功能为Spoke-and-Hub)时,由于受到VPN策略的限制,所以我们必须要特别注意总部和分支机构的IP地址规划,该IP地址规划的原则也将在下文详细叙述。
- 方案涉及的设备及固件版本
Nodes
Model
Firmware version
Central(Hub)
FVX538/(FVS338)
FVX538 (V1.6.49)
Branch 1(Spoke)
FVS318V3
V3.0.22
Branch 2(Spoke)
FVS114
V1.008
Branch 3(Spoke)
FVS124G
V1.1.24
注意:所有的NETGEAR VPN防火墙系列产品在安装前都必须升级到最新版本,并恢复出厂设定。请访问 http://www.netgear.com.cn 获取产品最终新的软件。
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 21.如何配置NETGEAR VPN Client软件与FVX538/FVS338/FVS124G进行VPN连接
-
-
- 答案:
-
- FVX538,Primary Firmware和Secondary Firmware版本为Ver1.6.49;
- FVX538使用固定IP连接Internet,本例子采用210.21.59.229;LAN IP:192.168.1.1
- PC采用ADSL直接拨号连接Internet;
- PC操作系统为XP+SP2+ NETGEAR Prosafe VPN Client 10.x;
环境与功能要求:
1、FVX538以固定IP接入宽带
2、PC以ADSL拨号上网,通过NETGEAR VPN Client软件与FVX538建立VPN连接,访问FVX538后面的LAN
如下图:
配置过程分为2步走:
- FVX538的VPN配置;
- NETGEAR VPN Client端的配置;
一、FVX538的VPN配置:
登陆到FVX538的管理界面,选择VPN Wizard菜单,如下图:
按Next进行下一步:
What is the new Connection Name?:这里填写的是该VPN连接的名称,本例子写了toclient
What is the pre-shared key?:这里写的是VPN连接的共享密钥,本例使用12345678
This VPN tunnel will connect to:‘A remote VPN Gateway’表示该VPN连接是与VPN网关连接;‘A remote VPN client’表示该VPN连接是与VPN 客户端连接,因为本例子中是与NETGEAR VPN Client进行互连,所以这里选择‘A remote VPN client’;
This VPN tunnel will use following local WAN Interface:表示该VPN连接使用那个WAN口建立,本例中使用WAN1;
然后按‘Next’进行下一步:
最后点‘Done’完成;
二、NETGEAR Prosafe VPN Client 的配置
2.1)首先,NETGEAR VPN 客户端软件需要安装正确,安装完成后,重启动电脑,电脑右下角会有一个‘S’样子的图标,如下图:
否则需要检查操作系统完整性;
2.2)双击该S图标, 系统弹出‘Security Policy Editor’窗口
把鼠标放在‘My Connections’处àAdd-àConnection,建立一个新的连接’New Connection’,如下图:
展开‘New Connection’,选择‘Security Policy’项,然后在右边的选择中,选择‘Aggressive Mode’,然后按工具条上的‘保存’将该配置进行保存,如下图:
然后点‘New Connection’,按照下图进行配置Remote Party Identity and Addressing相关参数:
ID:选择IP Sbunet
Subnet:输入FVX538内网子网号:192.168.1.0
Mask:输入FVX538内网子网掩码:255.255.255.0
Protocol:选择All
Connect using Secure Gateway Tunnel前打上‘V’
ID选择Any
选择Gateway IP address并且填入相应的FVX538的WAN1口的公网IP地址:210.21.59.228
如下图:
保存一下配置,然后选择New Connection下的‘My Identity’,右边的My Identity对应的选择如下:Select:选择None,然后选择右上角的Pre-Shared Key,输入与FVX538对应的共享密钥,必须与FVX538上输入的一致,如下图:
ID输入:Domain Name和toclient2.fvx_remote.com,其它默认;如下图:
说明如下:
toclient2.fvx_remote.com 是怎么填写出来的?toclient是在FVX定义IKE策略时候定义的名字,每个策略最多可以接50个VPN client接入,‘2’是50中的一条,toclient2是表示IKE策略名字为toclient的第二条VPN 隧道接入通道,其它的VPN Client拨入FVX538的时候就不要用toclient2了,可以用toclient1,toclient3,。。。toclient50;fvx_remote.com 是名字为’toclient’的IKE策略中的’Remote Identity Data’对应的信息;
IKE策略图:
编辑IKE策略toclient,找到’Remote Identity Data’,如下图:
OK,我们回到VPN Client端的配置界面;然后将配置保存一次;下一步我们显示如何手动进行VPN连接,将鼠标放在屏幕右下角的
,按右键,显示如下,可以选择‘Log Viewer’来显示连接的过程,然后再选择’Connect-àMy Connections\New Connection’,如下图:
如果VPN连接不成功,则可以选择上图的Reload Security Policy将策略重新加载;如果VPN连成功,系统则显示如下,如图:
屏幕右上角会显示’Successfully connected to My Connection\New connection’
如果不成功,右上角则显示:
好,此时,我们可以测试一下VPN的连通性了,我们在DOS窗口下,看看PC的IP地址是多少:
然后我们在DOS下ping FVX538的LAN IP或者LAN中电脑的IP地址,如下图所示,在PC端直接就可以ping 通FVX538的LAN IP地址192.168.1.1
三、学习使用 FVX538 不采用 VPN Wizard 的方式来配置 Clinet –to-Gateway的VPN 连接
此连接配置通过配置 IKE Policy 和 VPN Policy 来完成,内容基本相同.可作为动手操作,自己完成。
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 22.NETGEAR ProSafe VPN 防火墙功能的配置
-
-
- 答案:
-
本实验将以FVX538为例详细描述Netgear系列防火墙的的防火墙功能设置。NETGEAR的FVX538是一款功能强大的防火墙,现在我们就它的Rules功能作详细阐述与配置方式。本文主要以2大方面来说明如何配置,一是端口的定义,二是规则的定义。
(本文适合FVX538/FVS338/FVS124G产品的用户)例子:FVX538的WAN1端口IP设置为210.21.59.228,LAN IP为192.168.0.1,功能实现要求(本文以四条规则作为说明):
对于进来的数据包:
第一条规则:所有用户都可以通过Internet访问公有IP地址210.21.59.230的WEB服务;
第二条规则:所有用户都可以访问WAN1:210.21.59.228的FTP端口
第三条规则:所有用户都可以访问WAN1:210.21.59.228的pcanywhere端口服务
对于出去的数据包:
第四条规则:FVX538 LAN中只有FTP、WEB、pcanywhere服务可以出去,其他服务全部禁止;
参照下图网络配置:
端口定义
FVX538的Rules中默认定义好了若干端口在列表中如WEB、FTP等,但是遇到需要使用一些没有定义在列表中的服务端口时候,则需要预先定义好端口参数才行,如pcanywhere软件的通讯端口,SQL SERVER的通讯端口等,过程如下:
登陆到FVX538的管理界面,在’Service’菜单中,选择’Add customer Services’:
本例子中我们定义一个服务pcanywhere,用户需要在Internet通过pcanywhere 工具管理网络中的电脑;如上图,名称(name)为自己定义的’pcanywhere’,类型(Type)定义为TCP/UDP,其始端口为5631,结束端口为5632,然后按一下‘Apply’,如下图第3条:
OK,下一步我们说明如何定义Rules.
Rules规则的使用
在FVX538的管理界面中,选择Rules,如下图,
在FVX538的Rules中包括如下几部分:
- Rules生效的接口包括:LAN—WAN和DMZ-WAN,本文我们就以LAN-WAN进行例子说明。
- Outbound Services:outbound为向外的意思,该项定义是LAN向WAN发出去的的数据包的规则的;默认的配置是有LAN向WAN发出的数据包都是允许的:
-#:default
-Enable:表示是否起用该规则,默认为yes
-Services Name:服务端口名称,默认为any(所有)
-Action:动作,是对LAN向WAN方向的主动发出数据包的动作,默认为’Allow Always’(一直允许)
-LAN Users:LAN的用户(基于IP定义),默认为any,表示所有的LAN电脑都;
-WAN Users:WAN的用户站点(基于IP定义),默认为any,表示所有的WAN站点IP;
-Priority:该端口数据包的优先级别,默认没有定义
-Log:数据包的日志;默认没有定义;
- Inbound Services: Inbound为入站,向内的意思,该项定义是WAN主动发起到LAN的数据包规则的;默认的配置是WAN主动向LAN发起的数据连接请求都是拒绝的:Block always.其他参数与Outbound services中的说明一致;
下面我们就本文的例子的功能实现要求对rules进行配置:
第一条规则:所有用户都可以通过Internet访问公有IP地址210.21.59.230的WEB服务
在Inbound Services下选择Add,如下图:
- Service:选择HTTP(TCP:80)+None;系统默认已经定义好WEB服务端口了,否则需要在第一章中的说明,在Services菜单中预先定义服务端口。
- Action:选择ALLOW always
- Send to LAN Server:来自WAN的该服务的数据包转发到那台服务器上,根据我们例子说明,应该转发到192.168.0.199上;
- Translate to Port Number:留空即可,如果您的LAN中有多台服务器需要发布同一个服务,那么该选项则需要用上;
- WAN Users:意思为那些Internet 用户可以访问该端口,默认为全部;
- Public Destination IP Address(公有目标IP地址):根据我们的例子功能要求,192.168.0.199与210.21.59.230公有IP地址实现静态影射;因此,这里应该选择’Other Public IP Address’,下方填入有效的公有IP:210.21.59.230.
- 其他为默认值就OK了,然后按’Apply’。
如下图:
如果有多个公有IP地址需要与LAN中的多台服务器一一对应影射,则可以通过此方法进行配置,规则设置好后在RULES菜单中看到:
第二条规则:所有用户都可以访问WAN1:210.21.59.228的FTP端口
在Inbound Services中选择Add,如下图:
- Service:选择FTP(TCP:20~21+None);系统默认已经定义好FTP服务端口了,否则需要在第一章中的说明,在Services菜单中预先定义服务端口。
- Action:选择ALLOW always
- Send to LAN Server:来自WAN的该服务的数据包转发到那台服务器上,根据我们例子说明,应该转发到192.168.0.200上;
- Translate to Port Number:留空即可,如果您的LAN中有多台服务器需要发布同一个服务,那么该选项则需要用上;
- WAN Users:意思为那些Internet 用户可以访问该端口,默认为全部;
- Public Destination IP Address(公有目标IP地址):根据我们的例子功能要求,这里应该使用WAN1公有IP地址(210.21.59.228)实现动态影射;
- 其他为默认值就OK了,然后按’Apply’。
第三条规则:所有用户都可以访问WAN1:210.21.59.228的pcanywhere端口服务
首先pcanywhere服务需要先定义好,因为FVX538里面没有预先定义(在定义规则选择services时候可以看到是否有定义),pcanywhere的定义我们在第一章已经说明了,那么rules规则的定义如下:在Inbound Services下选择Add:
- Service:选择pcanywhere(TCP/UDP:5631+5632)+None;系统默认没有定义好pcanywhere服务端口,需要参照在第一章中的说明,在Services菜单中预先定义服务端口。
- Action:选择ALLOW always
- Send to LAN Server:来自WAN的该服务的数据包转发到那台服务器上,根据我们例子说明,应该转发到192.168.0.98上;
- Translate to Port Number:留空即可,如果您的LAN中有多台服务器需要发布同一个服务,那么该选项则需要用上;
- WAN Users:意思为那些Internet 用户可以访问该端口,默认为全部;
- Public Destination IP Address(公有目标IP地址):根据我们的例子功能要求,这里应该使用WAN1公有IP地址(210.21.59.228)实现动态影射;
- 其他为默认值就OK了,然后按’Apply’。
第四条规则:FVX538 LAN中只有FTP、WEB、pcanywhere服务可以出去,其他服务全部禁止:
- 在Rules中的Outbound Services中先禁止所有的数据包出去:在Action下选择Block always,然后按一下Apply,此时,LAN的所有电脑的数据包都出不去了。下面定义可以出去的端口/数据类型
- 在Outbound Services下选择Add,如下图:
- Service:选择HTTP(TCP80)+None;系统默认没有定义好HTTP服务端口,否则在Services菜单中预先定义服务端口。
- Action:选择ALLOW always
- LAN Server:意思为那些LAN用户可以访问以HTTP端口访问Internet,默认为全部Any;
- WAN User:意思为那些LAN 用户可以访问那些Internet站点,默认为全部:Any;
- 其他为默认值就OK了,然后按’Apply’。
同样配置方法,我们将FTP、pcanywhere服务开放给LAN用户,如下图:
到此,我们预先制定的例子已经全部配置完成,rules的规则设置比较简单、灵活,如果有任何技术问题,请致电NETGEAR公司中国区技术服务服务中心020-83918601进行技术咨询;
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 23.NETGEAR ProSafe™ VPN 防火墙的安装与配置
-
-
- 答案:
-
实验目的
本实验将以FVX538为例详细描述Netgear系列防火墙的常用配置方法,主要包括以下内容:
- 登陆到防火墙
- 配置局域网的IP地址
- 配置与互联网Internet的连接
- 对防火墙产品进行软件升级
- 配置远程管理
通过以上实验操作,实验者应该具备独立安装及连接防火墙的能力,并能针
对用户需要对防火火墙的连接作出设计,并具备一定的解决常见故障的能力。
- 实验环境
测试环境需要用FVX538,ADSL/宽带线路,测试用工作站,如下图:
所需要的实验设备:
FVX538 Netgear ProSafe VPN Firewall 200 设备一台
PC机一台
Adsl 宽带线路
- 登陆到防火墙
FVX538产品出厂时局域网端口地址为 192.168.1.1,可将你的管理配置电脑连接到FVX538的局域网端口,从FVX538获取得IP地址 192.168.1.2 /24.
图1:登录到防火墙
- 在管理配置电脑机的IE浏览器输入192.168.1.1 (FVX538产品出厂时局域网端口地址为 192.168.1.1)
- 出现登陆认证窗口以后,输入默认的用户名 admin 和默认的密码:password在通过用户认证后出现防火墙的管理界面,如图
图2:防火墙的管理界面
- 配置局域网的IP地址
FVX538产品出厂时局域网端口地址为 192.168.1.1,可根据用户的实际情况进行修改。
图3:局域网IP地址的配置
如图1.3所示:
- 点击Advanced里的LAN IP Setup选项。
- 在LAN TCP/IP Setup的IP Address里面输入新的管理IP地址。
- 在LAN TCP/IP Setup的IP Subnet Mask里面输入新的子网掩码。
- 在Use router as DHCP server里选择是否需要启用DHCP服务。
- 在Starting IP Address里输入DHCP分配的起始地址。
- 在Ending IP Address里面输入DHCP分配的结束地址。
- 点击Apply按键使配置生效。
注意:当防火墙重新启动后,应该采用新配置的IP地址管理防火墙。
- 与互联网Internet的连接配置
5.1.需要用户名和口令访问互联网Internet的
在防火墙管理界面里的WAN SETUP/WAN1 ISP页面里进行设置,如图1.4。
图4:pppoe拨号配置
- 在Does Your internet Connection Require A Login?里面回答 Yes。
- 在Internet Service Provider Name 项中选择 Other(PPPoE)
- Account Name/Domain Name不用填写.
- 在Login里输入电信运营商提供的用户名。
- 在Password里输入电信运营商提供的密码。
- 其它的选项都使用默认的配置即可。
- 配置完毕后,通过点击Apply按键确认配置。
- 最后可以通过Management里面的Router Status观察网络连接状态,如图1.5。
图5:路由器网络状态信息
5.2.不需要用户名和口令访问互联网Internet的
在防火墙管理界面里的WAN1 ISP项目里进行设置,如图6。
图6:宽带线路上网配置
- 在Does Your Internet Connection Require A Login?里面回答 No。
- 当电信运营商提供的是固定的IP地址的时候,应该在Inter IP Address及Domain Name Serveeer(DNS) Address里填如供应商提供的固定IP地址及DNS服务器地址。
- 配置完毕后,通过点击Apply按键确认配置。
- 最后可以通过Management里面的Router Status观察网络连接状态,如上图5。
- 对防火墙产品进行软件升级
FVX538最新的软件为 Version 1.6.49. 请在作所有配置之前先对产品进行软件升级.(最新软件版本在中文网站技术支持里面下载,如FVX538的技术支持地址为:http://www.netgear.com.cn/support/vpn_router/fvx538.htm)
- 点击“Management “ 菜单下面的“Router Upgrade”,可对FVX538进行软件升级。
图7:路由器升级
- 在文件传输完成并且自动完全重新启动之后,请将防火墙的电源关闭,然后重新接上防火墙的电源,等设备启动后才进入设备进行以下的各项配置.
- 打开FVX538的远程管理功能
可打开FVX538的远程管理配置功能,则互联网上的用户可通过FVX538的广域网端口的公网地址对设备进行远程管理和配置。
点”Management”菜单下面的”Remote Management”,出现如下页面。
图8:打开远程管理
请将“Allow Remote Management” 选中,打开远程管理功能。
然后远程用户保通过 https://x.x.x.x:8080 进行访问,其中x.x.x.x 代表此防火墙的广域网端口公网地址。可在”Management”菜单下面的”Router Status” 页面中进行查看。
- WAN1和WAN2的关系
在WAN Setup里的Mode里面,可以设置WAN1和WAN2的关系,如图9:
图9:WAN 模式选择
- WAN1和WAN2的模式有Auto-Rollover,Load Balancing , Dedicated BroadBand,其中Auto-Rollover指自动切换WAN1和WAN2,可以将WAN1和WAN2其中1个端口定义为主端口,当主端口断了以后自动切换到另一个。Load Balancing指负载均衡,WAN1和WAN2同时使用,局域网用户数据分别从WAN1和WAN2连接到外网。Dedicated BroadBaud是WAN1和WAN2单独使用。
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 24.如何配置 NETGEAR VPN Client 软件与 FVX538/FVS338/FVS124G 进行 VPN 连接
-
-
- 答案:
-
实验环境:
- FVX538,Primary Firmware和Secondary Firmware版本为Ver1.6.49;
- FVX538使用固定IP连接Internet,本例子采用210.21.59.229;LAN IP:192.168.1.1
- PC采用ADSL直接拨号连接Internet;
- PC操作系统为XP+SP2+NETGEAR Prosafe VPN Client 10.x;
环境与功能要求:
1、FVX538以固定IP接入宽带
2、PC以ADSL拨号上网,通过NETGEAR VPN Client软件与FVX538建立VPN连接,访问FVX538后面的LAN
如下图:
配置过程分为2步走:
- FVX538的VPN配置;
- NETGEAR VPN Client端的配置;
一、FVX538的VPN配置:
登陆到FVX538的管理界面,选择VPN Wizard菜单,如下图:
按Next进行下一步:
What is the new Connection Name?:这里填写的是该VPN连接的名称,本例子写了toclient
What is the pre-shared key?:这里写的是VPN连接的共享密钥,本例使用12345678
This VPN tunnel will connect to:‘A remote VPN Gateway’表示该VPN连接是与VPN网关连接;‘A remote VPN client’表示该VPN连接是与VPN 客户端连接,因为本例子中是与NETGEAR VPN Client进行互连,所以这里选择‘A remote VPN client’;
This VPN tunnel will use following local WAN Interface:表示该VPN连接使用那个WAN口建立,本例中使用WAN1;
然后按‘Next’进行下一步:
最后点‘Done’完成;
二、NETGEAR Prosafe VPN Client 的配置
2.1)首先,NETGEAR VPN 客户端软件需要安装正确,安装完成后,重启动电脑,电脑右下角会有一个‘S’样子的图标,如下图:
否则需要检查操作系统完整性;
2.2)双击该S图标, 系统弹出‘Security Policy Editor’窗口
把鼠标放在‘My Connections’处àAdd-àConnection,建立一个新的连接’New Connection’,如下图:
展开‘New Connection’,选择‘Security Policy’项,然后在右边的选择中,选择‘Aggressive Mode’,然后按工具条上的‘保存’将该配置进行保存,如下图:
然后点‘New Connection’,按照下图进行配置Remote Party Identity and Addressing相关参数:
ID:选择IP Sbunet
Subnet:输入FVX538内网子网号:192.168.1.0
Mask:输入FVX538内网子网掩码:255.255.255.0
Protocol:选择All
Connect using Secure Gateway Tunnel前打上‘V’
ID选择Any
选择Gateway IP address并且填入相应的FVX538的WAN1口的公网IP地址:210.21.59.228
如下图:
保存一下配置,然后选择New Connection下的‘My Identity’,右边的My Identity对应的选择如下:Select:选择None,然后选择右上角的Pre-Shared Key,输入与FVX538对应的共享密钥,必须与FVX538上输入的一致,如下图:
ID输入:Domain Name和toclient2.fvx_remote.com,其它默认;如下图:
说明如下:
toclient2.fvx_remote.com 是怎么填写出来的?toclient是在FVX定义IKE策略时候定义的名字,每个策略最多可以接50个VPN client接入,‘2’是50中的一条,toclient2是表示IKE策略名字为toclient的第二条VPN 隧道接入通道,其它的VPN Client拨入FVX538的时候就不要用toclient2了,可以用toclient1,toclient3,。。。toclient50;fvx_remote.com 是名字为’toclient’的IKE策略中的’Remote Identity Data’对应的信息;
IKE策略图:
编辑IKE策略toclient,找到’Remote Identity Data’,如下图:
OK,我们回到VPN Client端的配置界面;然后将配置保存一次;下一步我们显示如何手动进行VPN连接,将鼠标放在屏幕右下角的
,按右键,显示如下,可以选择‘Log Viewer’来显示连接的过程,然后再选择’Connect-àMy Connections\New Connection’,如下图:
如果VPN连接不成功,则可以选择上图的Reload Security Policy将策略重新加载;如果VPN连成功,系统则显示如下,如图:
屏幕右上角会显示’Successfully connected to My Connection\New connection’
如果不成功,右上角则显示:
好,此时,我们可以测试一下VPN的连通性了,我们在DOS窗口下,看看PC的IP地址是多少:
然后我们在DOS下ping FVX538的LAN IP或者LAN中电脑的IP地址;(注意:默认情况下,FVX538对响应Internet的ping选择项是关闭的,所以需要先在FVX538的Rules中将ping打开后,外面的VPN才能ping FVX538的LAN IP),如下图,在PC端直接就可以ping 通FVX538的LAN IP地址192.168.1.1
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 25. FVX538 的 DMZ
-
-
- 答案:
-
Netgear的FVX538上定义第八个交换端口为固定的硬件DMZ端口,但在默认状态下,该端口被软件设定为普通的交换端口,可以通过软件的设定,将其设置成DMZ专用端口。如下图:
图1:设备面板图
· DMZ 的设置步骤
我们将以下图的应用位例子,详细描述DMZ工作区的实现和配置方法。
图2:应用案例上图为一个典型的DMZ配置方案,FVX538通过宽带接入Internet,局域网络端口被分成两个部分,一部分(1-7端口)被定义为内网隔离区(Lan),此区间用于防止内部的计算机,其安全级别为最高,另一部分(8端口)被定义为DMZ服务区,该区间用于防止需要为Internet提供服务的服务器,在本例子中在该区别放置了一台邮件服务器,要求邮件服务器可以同时为Internet用户和Lan用户提供服务。以下以FVX538(F/W verion:1.6.38)为例子介绍DMZ服务区的配置过程。
一、启用 DMZ 服务区
该步骤的主要目的是将内网的端口8设置为DMZ端口,设置完成后,连接到端口8的服务器应该能够PING通DMZ的地址。具体配置如下图:
图3:DMZ服务区的起用
- 在管理菜单里选择DMZ Setup
- 在DMZ Setup页面里的Enable DMZ Port前面的复选框上打钩
- 在IP Address上添如DMZ服务区的地址。(注意该地址不能和LAN/WAN端口的地址在同一个网段上)
- 在IP Subnet Mask上填入DMZ服务区IP地址的子网掩码。
- DHCP是否启用视用户的需要要而定。
二、建立 DMZ 服务区到 WAN 区的规则
该步骤目的是设置DMZ服务区和WAN服务区(Internet接口)之间的访问规则,在默认的情况下,FVX538的WAN服务区和DMZ服务区是不能互相通讯的,也就是说放在DMZ里面的主机不能被Internet的用户连接,同时DMZ里面的主机也不能访问Internet。只有完成DM服务区到WAN服务区的策略配置之后,DMZ区的主机才可以按照策略访问Internet或者被Internet的主机访问。
图3:DMZ服务区到WAN区规则的启用
如上图,点击管理菜单的Security上的Rules项目,我们可以看到Rules设置页面,选择DMZ-WAN我们便可以进入DMZ-WAN的策略设置页面,在该页面里,我们可以看到Outbound Service和Inbound Service选项。所谓Outbound Service就是指从DMZ服务区到WAN服务区的策略,同样Inbound Service就是知从WAN服务区到DMZ服务区的访问策略。
- 建立Outbound Service
- 在管理菜单上选择Security上的Rules项目
- 在Rules页面里选择DMZ-WAN
- 在Outbound Service里面选择添加便进入Outbound Service的配置页面。如下图:
图4:Outbound Servicee的配置页面
- 在Service里面选择需要规划的服务类型
- 在Action里面选择策略的处理办法
- 在LAN Users里选择源地址
- 在WAN Users里选择目标地址
在Outbound Services里面必须进行以下设置:
2. 建立 Inbound Services
- 在管理菜单上选择Security上的Rules项目
- 在Rules页面里选择DMZ-WAN
- 在Outbound Service里面选择添加便进入Outbound Service的配置页面。如下图:
图5:Inbound Servicee的配置页面
在Intbound Services里面必须进行以下设置:
- 在Service里面选择需要规划的服务类型
- 在Action里面选择策略的处理办法
- 在Send to LAN Server里输入需要为外网提供服务的主机的IP地址
- 在WAN Users里选择源地址的范围,一般是选择Any
- 在Pubulc Destination IP Address里面选择Other Public IP Address并且输入和DMZ服务区里面的服务器对应的公网IP地址。
设置完毕后,DMZ服务区里的主机应该能够根据策略访问Internet或者被Internet的用户访问。
三、建立DMZ服务区到WAN的路由规则
在进行完上述两个步骤的配置以后,DMZ里面的主机已经可以根据策略访问Internet或者被Internet的用户访问,但LAN里面的用户仍然无法访问DMZ服务区内的主机,在FVX538里,需要增加一条静态路由,才能实现LAN里面的用户根据步骤2里面设定的策略访问DMZ服务区内的主机。具体配置办法如下图:
图6:Static Router的配置页面
在系统管理菜单的advaned里面选择Static Routes,然后在出现的Static Router管理页面里面点击添加,出现如下图的路由添加页面:
图7:Static Router 的配置页面
在Static Routes里面必须进行以下设置:
- 在Router Name里面输入路由名称
- 选择Active选项
- 在Destination IP Address里输入为DMZ服务器规划的公网IP地址
- 在IP Subnet Mask里输入为DMZ服务器规划的公网IP地址的掩码
- 在Interface里面选择DMZ
- 在Gateway IP Address里面DMZ服务区的IP地址
- 在Metric里输入2
至此,整个DMZ服务区配置完毕。
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 26.什么是DMZ?
-
-
- 27.如果需要 VPN Client 拨入 FVX538/FVS338 后自动获得从 FVX538/FVS338上分配的 IP 地址,那么则需要用到 NETGEAR VPN 防火墙的 ModeConfig 功能了,那么如何配置 FVX538/FVS338的 ModeConfig 功能使得 NETGEAR VPN Client 与 FVX538/FVS338 进行正确连接
-
-
- 答案:
-
ModeConfig功能可以帮助用户使用VPN客户端软件简单地连接到FVX538或者FVS338 ProSafe™ VPN 防火墙。
如果你要使用VPN客户端软件连接到远端的VPN路由器,在传统的VPN客户端配置中您必须配置为客户端配置一个虚拟的IP地址或者手工指定其他的IP信息。如果有这样一种技术可以类似于DHCP给客户端分配IP地址的工作方式方便地为VPN客户端软件动态分配IP地址的话,这将大大简化VPN客户端软件的配置。而Netgear的ModeConfig恰恰提供了该类问题的解决办法,该技术可以为客户端拥护提供IP地址信息,包括合法的IP地址,子网掩码和路由器的域名服务器地址。远程客户端将自动获得该信息并无缝地成为您的局域网里面的一分子。
该技术文档的实践环境:
- FVS338F/W版本 1.6.29
- 广域网端口 IP :10.1.0.145
- 局域网断口IP: 192.168.1.1, 子网掩码255.255.255.0
- 网件 ProSafe™ VPN Client software version 10.3.5 (Build 6)
- 客户端计算机IP :10.1.0.50
在IKE会话的第一阶段结束时,VPN连接的发起人(通常是远程点/客户端)会向被连接一端申请IP信息,如:IP地址,子网掩码和域名服务器地址等。ModeConfig功能将会从预先设置好的IP地址池里面给发起人分配一个IP地址并且使用预先设置好的ModeConfig record安全提议模版建立一个临时的IPSec策略。
注意:在配置完ModeConfig record以后, 你必须在IKE Policies配置项目里面选中Remote Host Configuration Record,并在该项目里选择您预先设置好的ModeConfig record的模版。同时你并不需要继续配置VPN策略,因为客户端VPN发起人将使用ModeConfig record里面的配置策略。
如何在路由器里面配置ModeConfig路由器里面需要配置两个相关的项目-ModeConfig菜单和IKE Policies菜单。而且你不必配置VPN Policies菜单。
ModeConfig 菜单配置例子:- 点击ModeConfig 里的Add按钮来创建一个新的记录。
- 首先给新的记录创建一个名字。比如:FieldSales或者DansOffice.
- 在IP地址池里最少安排一个IP地址(地址段)以分配给远程客户端。
注意:IP地址池里面的地址不能和本里网络的IP地址在同一个网锻里面,您必须给IP地址池指派一个其它网段的私有地址。比如172.16.x.x。 - 如果本地网络里面包含WINS服务器,则需要输入WINS服务器的地址。
- 输入一到两个DNS服务器IP地址以分配给远程客户端。
- 如果起用了Perfect Forward Secrecy (PFS), 则需要选择DH Group 1或2. 该项设置必须和远程客户端软件的设置相同。
- 指定远程客户端可以访问的本地网络。同时本地网络就是路由器的局域网端口所在的网段。比如:192.168.1.1/24。
- 指定VPN策略的配置。该培植必须和远程客户端的配置相同。通常的配置如下:
- SA Lifetime: 3600 seconds
- Authentication Algorithm: SHA-1
- Encryption Algorithm: 3DES
- 点击Apply。一个新的记录显示在VPN Remote Host ModeConfig列表里面。
如何在路由器里面配置IKE策略
- 点击IKE Policies > Add来创建一个新的IKE策略。
- 在General Policy Name, 里面输入一个描述名称。该名称被远程VPN客户端用作身份认证。
- 将Direction/Type设置为Responder.
- 将Exchange Mode设置为Aggressive.
- 在Local Identifier Type里, 选择Fully Qualified Domain Name并且输入一个与其IKE策略不同的身份标识。该标识必须与远程VPN客户端的remote identifier的配置一致
- 在Remote Host Configuration Record里选中你预先定义好的ModeConfig模版。
- 在Remote Identifier Type, 选择Fully Qualified Domain Name并且输入一个不同于IKE策略的身份标识。该标识必须与远程VPN客户端的local identifier一致。
- 指定IKE SA parameters. 该各项参数的配置必须和远程VPN客户端的配置一致。通常的配置参考如下:
- Encryption Algorithm: 3DES
- Authentication Algorithm: SHA-1
- Diffie-Helman: Group 2
- SA Life Time: 3600 seconds
- 输入和远程VPN客户端一致的Pre-shared Key。
- 点击Apply.。一个新的IKE策略显示在策略列表里。
如何在ModeConfig下配置NETGEAR ProSafe VPN客户端软件
在Windows的任务栏里面用右键点击VPN客户端软件的图标,并选择Security Policy Editor。在弹出的窗口的左上角点击New Connection按钮以创建一个新的连接。然后再给这个新的连接命名,该名字只在该软件里用作标识和VPN策略的配置无关。
1.第一次使用时对软件作以下配置,如下图:.
- Subnet和VPN路由器的LAN IP一致。
注意:主机号应该写为零,比如,你在使用一个C类的子网的时候,应该把最后一位主机号写成零。 - 在Domain Name下面,输入你在VPN路由器的IKE规则里面设置的本地身份标识FQDN (完整主机名) 。
- 在Gateway IP Address下面, 输入VPN路由器的WAN IP地址。
2. 单击My Identity。
- 点击Pre-Shared Key 并且输入您在VPN路由器的IKE规则里面设置的预至密匙。
- 在 ID Type里面选择Domain Name.。
- 在Domain Name下面输入您在VPN路由器的IKE策略里的Remote indentifier FQDN里面设置的远程身份标识。在该例子里我们使用"salesguy12.remote_id.com" i作为VPN客户端的本地身份标识。当然,你还可以使用其它格式的身份标识,但该标识必须和VPN路由器的IKE策略里面设置的远端身份标识一致。
- 选择Virtual Adapter下面Preferred.。在Internal Network IP Address里输入0.0.0.0。
注意:假如Internal Network IP Address对话框显示不出来,则在Options > Global Settings菜单里, 选择Allow to Specify Internal Network Address. - 在Internet Interface里选择您的网卡。
3. 选择Security Policy。请参考下图。
- 选择Aggressive Mode.
- 假如你在路由器的IKE策略里配置了PFS,则在Enable Perfect Forward Security (PFS)里打钩, 并且选择和路由器IKE策略里配置一致。
- 在Enable Replay Detection项目上打钩.
4. 打开Authentication (Phase 1)并选择Proposal 1。如下图:在各个项目里输入和VPN路由器里的一致的参数.
5. 打开Key Exchange (Phase 2)选择Proposal 1。如下图:在各个项目输入和VPN路由器的ModeConfig Record配置一致的参数。SA Life可以设置的稍为长一点,一般可以设置为8个小时(28800秒)。
6. 选择左上角的floppy disk 按钮以保存配置。
测试VPN连接
- 在Window 的工具栏上用右键点击VPN client图标,选择已经建立好的连接并点击。
- 在大概30秒钟以后,会看到VPN连接成功的信息,此时观察Window工具栏上的VPN Client图标,图标会显示ON的提示。
- Ping 对方VPN路由器内部网络的一台主机,应该可以PING通。则说明VPN连接成功。
我们可以用右键点击Window 的工具栏上的VPN client图标,通过查看Connection Monitor或者Log Viewer来诊断故障,或者通过VPN路由器里面的VPN log或status菜单也可以观察VPN的连接信息。
- FVS338F/W版本 1.6.29
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 28.NETGEAR VPN 防火墙产品
-
-
- 答案:
- MTU (最大传输单元)是网络设备传输的信息包最大值。对于NETGEAR 的设备,最佳的MTU值通常都是默认值。有时,更改MTU 值可提高设备工作性能,做起来很简单,但事实上,这样做往往会导致出现其他问题。最好保持 MTU 不变,除非有以下情况出现:
- 当连接不到ISP或者不能使用其他的因特网服务时,且他们的技术支持人员建议更改 MTU值
- 当您使用 VPN, 遇到性能问题时可以考虑更改MTU
- 为了提高网络的某些性能,使用了可优化MTU 值的应用程序,而这引起了连通性和其他性能方面的问题
一个信息包被发送到MTU值较小的设备时,将被分解为若干小块。理论上, 在所有电脑、交换机、路由器及您能访问到的因特网的所有设备上的MTU值应该设置为同一大小。但是您不能控制因特网上的 MTU 值, 而事实上在一个局域网中的最佳 MTU 值取决于硬件、软件、无线接口等等。
- 在一种情形下修改 MTU 的大小可使设备很好地工作, 但在其他方面却可能引起性能和连接性问题
- 当具有不同MTU值的设备相互通信时,信息包将会被分成多个以便能传给具有最小的MTU值的设备
- Windows XP 自动设置 MTU , 换句话说, 它使MTU对于各种应用综合性能最优化。微软的文章解释了使用Windows XP 的宽带用户不能连接到ISP的原因
- 一旦网络设备分解了一个信息包,此信息包在到达目的地前一直保持分解的状态
各种应用下的最佳MTU值
设置 MTU 大小是一个反复试验的过程: 由最大值 1500开始下降,直至问题解决。使用下列值之一或许能解决一些由MTU值引起的问题:
- 1500. 以太网信息包最大值,也是默认值。是没有PPPoE和VPN 的网络连接的典型设置。是 NETGEAR 路由器、网络适配器和交换机的默认设置
- 1492. PPPoE 的最佳值
- 1472. 使用 ping的最大值 (大于此值的信息包会先被分解)
- 1468. DHCP 的最佳值
- 1430. VPN 和 PPTP 的最佳值
- 576. 拨号连接到 ISP的标准
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 29.NETGEAR VPN 防火墙产品 使用 ngDDNS(花生壳)动态域名绑定服务的建议
-
-
- 答案:
- 动态域名服务的概况
全球成长型商用网络专家与无线网络的先锋美国网件公司(NETGEAR)所发布的所有VPN 防火墙系列产品(包括FVS318, FVS338,FVS328,FVL328,FVS338,FVX538,FVM318,FWAG114P)都支持动态域名解释服务,以方便用户在使用动态的IP地址接入互联网时可以方便建立属于自己的虚拟专用网络(VPN)。现在以FVL328为例子,作一个简单的介绍,在FVL328的配置页面里面(F/W2.003),点击左边工具菜单里的DynamicDns选项,如下图:
图一:Netgear防火墙动态域名设置
我们提供动态域名服务的供应商有三家,具体的情况如下表:
供应商
官方网站
所在地区
绑定域名
收费方式
www.dyndns.org 美国新罕布什尔 Name.dyndns.org 免费 Tzolkin Corporation Netgear.tzo.com 美国麻省 Name.tzo.com xxx.name.com $24.95/年
$59.95/年网域科技(ngDDns/OrayDns) www..oray.net 中国广州 Name.ng.iego.net 免费 二.设置详解
可见,在第一节中,从三个提供动态域名服务的供应商的地理位置来说,在国内使用的防火墙设备最好采用网域科技提供的动态域名服务.以下就网域科技提供的动态域名服务给出详细的配置方法供用户参考:
- 在工具栏里点选Dynamic Dns,进行动态域名的配置,如图:
图二:FVS318 Dunamic Dns 设置
2.点选Oray.net,这时系统会提示你输入争取的DNS 域名和用户名密码等登陆信息。
图三:FVS318 Dunamic Dns 设置
-
点击Oray.net右边的连接,将引导用户进入网域动态域名的注册系统,在这里你可以申请一个免费的,唯一的动态域名,如图:
图四:FVS318 Dunamic Dns 设置
-
点击注册开始申请
图五:FVS318 Dunamic Dns 设置
-
回到FVS318的配置页面,在DDNS选项里,先选中适当的服务提供商,在中国大陆我们应该选择Oray.net(网域科技),然后在相应的信息栏目里填入相应的注册信息即可。如下图:在我们的例子里,我们为站点A申请了,名为Netgear-a.ng.iego.net的动态域名。
图六:FVS318 Dunamic Dns 设置
三.当内置的动态域名失效时的应变办法
声明:美国网件公司并不保障在其防火墙提供的动态域名服务质量,动态域名的服务质量应该以提供该动态域名服务的供应商的服务承诺为参照。
从以上声明我们可以了解到,当我们在Netgear的防火墙/宽带路由器/VPN设备时使用网域科技提供的免费动态域名服务的时候,我们应该以网域科技公布的动态域名服务质量作为参考,针对最近很多用户反应使用网域的动态域名服务时常常出现反应缓慢,甚至根本不能正常解释的问题,我们总结出以下四种故障情况。并针对以下的情况,我们在下文将详细给用户介绍故障的诊断办法及如何解决问题。
1.当地DNS服务器的问题导致用户无办法连接到动态域名服务器
2.动态域名服务器出现故障或者内部维护的时候,动态域名服务器无方法提供服务。
3.动态域名服务器繁忙,正在排队处理登陆请求
4.ISP屏蔽了某些曾经非法使用过动态域名服务的IP地址段,导致部分用户根本无法使用。
- 问题一:如何判断我的接入点的DNS配置能否能正确解释动态域名服务器供应商的服务主机?
此类问题,我们建议大家在Window 98/2000/xp命令行模式下,输入以下命令:
Ping ngddns.oray.net,如下图:
图七:DNS服务器的判断
如图中显示,当地的DNS配置能够正确解释出动态域名服务器的IP地址,则表示当前的DNS配置没有问题,如果出现解释不该域名对应的IP地址,则用户必须修改当前的DNS配置,以下给出两个经过测试的DNS供用户参考:
1.61.144.56.101
2.202.96.128.68
- 问题二:如何判断我的接入点是否能正常连接到动态域名服务器?
此类问题,我们建议大家在Window 98/2000/xp命令行模式下,输入以下命令:
Telnet ngddns.oray.net 6000 ,如下图:
图八:能否连接到DDNS服务器的判断
如上图显示的是动态域名服务器的响应信息,如果用户使用该诊断命令无法得到服务器如上图的正确响应,则用户有可能不能连接到服务器或者服务器正处于维护或者繁忙的状态,遇到该类问题,用户可以直接致电网域科技或者美国网件客户服务中心查询。
- 问题三:如果保障动态域名服务的正常使用?
当用户经过修改DNS的设置和联系服务供应商仍然不能解决动态域名的解释问题的时候,我们郑重建议用户使用其它动态域名服务供应商提供的服务作双系统备份。在此我们推荐三家比较稳定的动态域名服务供应商:
供应商
官方网站
所在地区
绑定域名
收费方式
www.88ip.com
中国广东深圳
Name.88ip.cn
600元/年
希网网络
www.3322.org
中国江苏常州
Name.3322.net
免费
网域科技(花生壳系列)
www.oray.net
中国广东广州
Name.vicp.net
免费
我们只要到其中一个网站注册其合法的用户口令(使用收费的比免费的稳定),并下载该供商动态域名服务客户端软件安装到公司内部网络里的一台可以访问互联网的电脑上面即可以使用,同时我们在选择软件安装的电脑的时候应该选择那些性能稳定和需要长时间开启的电脑主机以保证服务的正常使用。如下图:
图九:第三方动态域名服务的应用
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 30.使用一端固定 IP 地址构建点对点 VPN
-
-
- 答案:
-
如下图,中心机 NETGEAR FVL328 Gateway A 的一端连接到局域网,内部 IP 为 192.168.0.1/24.。其广域网接口连接到互联网,并由ISP提供的固定 IP 地址及网关和子网掩码。分支机构 NETGEAR FVS318 Gateway B 的一端连接到局域网,内部 IP 为 172.10.10.1/24 ,其广域网接口连接到互联网,从 ISP 处动态获得IP地址。在该例子中,我们可以无需理会分支机构的 IP 地址而通过中心机构固定 IP 的地址,建立分支机构 B 到中心机构A的 VPN 连接,特点:该配置办法的优点是无需理会分支机构的 IP 地址,从而提高了 VPN 的连接的稳定性, VPN 的建立不依赖于 DDNS 的解释成功与否;缺点是:只能从分支点B主动向中心点A发起连接请求,而中心点A则不能够主动向分支点B发出连接请求。
图例一:一端使用固定IP地址的VPN配置
二.配置环境:
以下以中心点使用FVL328,分支点使用FVS318(如上图)为例子详细描述中心点和分支点的配置办法。
VPN 建立的模式
LAN-TO-LAN (FVS318àFVS328的Aggressive模式)
VPN 的类型
LAN-t o-LAN 或是 Gateway-to-Gateway
VPN 的安全配置
利用IKE进行密钥交换并采用共享密钥方式(不是CA认证方式)建立IPSEC通道)
产品型号和版本号
网关AFVL328
FVL328 用的版本号须使用 version 2.003
网关BFVS318
FVS318 用的版本号是version 2.4
IP 地址的方式
网关AFVL328
由ISP提供的固定IP地址及网关和子网掩码。
WAN IP:61.144.62.250
LAN IP:192.168.0.1,Netmask :255.255.255.0网关BFVS318
由ISP提供的动态IP地址及网关和子网掩码(无需申请动态域名)。
WAN IP:动态获得
LAN IP:172.10.10.1, Netmask :255.255.255.0三.配置详解:
2.1 固定地址的中心机构A配置:
首先登录到 FVL328 的管理界面:
- 在IE地址栏上输入,FVL328的出厂值默认的IP地址:http://192.168.0.1。然后系统要要求你输入登陆的用户名和密码。用默认的用户名:admin 和默认的密码:password. 登陆到FVS318。我们假定已设定好LAN接口、广域网接口的IP地址和子网掩码以及网关、DNS服务器的IP地址。如下图:
图例二:NETGEAR FVL328 v2.003basic 设置
2. 首先是配置VPN的IKE Policies策略了,链接到 VPN 工具栏, 打开里面的的IKE Policies 菜单. 点击 Add。我们会见到新 IKE Policy配置介面如下:
图例三:NETGEAR FVL328 v2.003IKE Policy 设置
- 在Policy Name 字段中输入策略的属性名字. 这个名称不一定要与对端的VPN产品取名一样它的用途主要上用来帮助管理IKE策略的。在这个例子中我们使用”to318”来作为策略名称。在 Policy Name对话框中输入”to318”
- 从这 Direction/Type 下拉对话框中,选取Both Directions或者Responder。
- 从Exchange Mode 模式的下拉菜单中,选择Aggressive Mode。
- 从 Local Identity Type下拉对话话框中,选择 Fully Qualified Domain Name (在Local Identity Data 对话框输入与FVS318对应的local作为一个标识符。)
- 从Remote Identity Type 下拉对话框中, 选择Fully Qualified Domain Name (在Remote Identity Data 对话框中输入与fvs318对应的remote作为一个标识符。)
- 从加密的算法 Encryption Algorithm 下拉框中, 选择3DES。
- 从认证算法的 Authentication Algorithm 下拉对话框中, 选择SHA-1。再把认证方法 Authentication Method 按钮选上, 点击 Pre-shared Key。
- 在 Pre-Shared Key field 对话框中, 输入共享密钥,如”Netgear2004”. 你必须确保两端网关设备有加密KEY是一至的(包括字母的大小写)。再从 Diffie-Hellman (DH) Group 下拉对话框中, 选择 Group 1(768 Bit)。
- 在 SA Life Time field对话框中, 输入180。
- 点击 Apply 按钮. 这就返回到IKE Policies 的主菜单上。
图例四:NETGEAR FVL328 v2.003IKE Policy 设置
3.在左边的 Settings 图示管理界面中,打开VPN分类栏中链接就可点击VPN Policies,我们来设置 VPN Policies 主界面的配置。点击 Add Auto Policy 的按钮..然后我们就可看到新的配置界面VPN–Auto Policy.
图例五:NETGEAR FVL328 v2.003VPN Policy设置
- 输入一个统一的策略名。这个名称不一定要与远端的VPN设备取的名称相同。在这个例子中我们使用”to318”来作为策略名。在Policy Name字段对话框中输入“to318”。
- 再从 IKE policy下拉对话框中, 选取我们先定义好的IKE Policy– 这里是”Remote-328”作为IKE Policy.
- 图上没有标明的地方:当对端的FVS318使用动态ADSL上网时候,IKE Keep Alive需要选择上,填入对方 FVS318 的 LAN 口 IP 地址:172.10.10.1
- 再从 Remote VPN Endpoint Address Type 下拉对话框中,选取”IP Address”。
- 在Remote VPN Endpoint Address Date中输入0.0.0.0作为远端 Gateway B的IP Address 。
- 默认在SA Life Time (Seconds) 对话框中输入86400。
- 默认在SA Life Time (Kbytes) 对话框中为输入0。
- IPSec PFS 对话复选框不必选上。.
- 再从Traffic Selector Local IP 下拉框中选取 Subnet address作为配置。.
输入本地LAN IP地址作为网关B的I范围在 Start IP Address 填上。(本例子中是:192.168.0.0),输入网关B的子网掩码(在本例中是:255.255.255.0) 在 Subnet Mask对话框中。 - 再从Traffic Selector Remote IP下拉对话框中选取Subnet address作为配置。
输入本地LAN IP地址作为网关B的I范围在 Start IP Address 填上。(本例子中是:172.10.10.0),输入网关B的子网掩码(在本例中是:255.255.255.0) 在 Subnet Mask对话框中。
图例六:NETGEAR FVL328 v2.003VPN Policy设置
- 再从 AH Configuration Authentication Algorithm 下拉框中, 选上 MD5.,在方框中不能选上。
- 必须选上Enable Encryption在 ESP Configuration Enable Encryption 的对话框。.
- 再从 ESP Configuration Encryption Algorithm 下拉对话框中选取3DES.
- 必须选上Enable Authentication 在 ESP Configuration Enable Authentication 的对话框中。
- 再从 ESP Configuration Authentication Algorithm 下拉对话框中选取SHA-1。.
- 可选上NETBIOS Enable的功能在NETBIOS Enable 复选框上。
- 点击Apply按钮。你会返回到 VPN Policies 主菜单的功能页面上。
图例七:NETGEAR FVL328 v2.003VPN Policy设置
2.2 动态地址的分支点B配置:
首先登录到FVS318的管理界面:
1.在IE地址栏上输入FVS318的出厂值默认的IP地址:http://172.10.10.1。然后系统要要求你输入登陆的用户名和密码。用默认的用户名:admin和默认的密码:password。登陆到FVS318。我们假定已设定好LAN接口、广域网接口的IP地址和子网掩码以及网关、DNS服务器的IP地址。如下图:
图例八: NETGEAR FVS318 v2.4 Basic设置
2. 在工具栏左边点击 VPN Settings. 点击第一个VPN连接。 (总共可以输入八个有效的VPN连接)。按Edit(编辑)按钮一下。这下面就是 VPN Settings – Aggressive Mode 的设置。
图例九: NETGEAR FVS318 v2.4 VPN设置
- 在Connection Name框中,输入一个VPN通道名称。例如:我们设为:“to328”.
- 在NETGEAR FVS318 Gateway B 的Local IPSec Identifier中输入本地身份认证标识。这个标识必须和对端FVL328 IKE Policy中的Remote IPSec Identifier相对应。在这个例子中对端FVL328 IKE Policy中的Remote IPSec Identifier为remote,因此,FVS318的 Local IPSec Identifier应该写上remote.
- 在 Remote IPSec Identifier 中输入远端身份认证表示,该标识必须和对端FVL328 IKE Policy中的Local IPSec Identifier的表示相一致。在这个例子中我们输入local作为the remote identifier。
- 在 Tunnel can be accessed from 下拉菜单中选择 a subnet from local addres。.
- 在Local LAN start IP Address输入本地LAN所在网段 (例如:172.10.10.1或者1972.10.10.0)。.
- 在Local LAN IP Subnetmask 的对话框中输入子网掩码 (例如:255.255.255.0 ) 。.
- 从 Tunnel can access的下拉菜单中选择 a subnet from local address。
- 在Remote LAN Start IP Address的对话框中输入对端(GatewayA)的内网的所在地址段 (例如:192.168.0.0) 。
- 在Remote LAN IP Subnetmask 的对话框中输入局域网的子网掩码(例如:255.255.255.0) 在。
- 在Remote WAN IP or FQDN 的对话框中输入对端FVS318 Gateway A的广域网接口的IP地址(例如:61.144.62.250)。
- 从 Secure Association 下拉框中, 选择Aggressive Mode。
- 在 Perfect Forward Secrecy, 选择Disable按扭。.
- 再从Encryption Protocol 下拉对话框, 选择3DES加密方式。.
- 在PreShared Key 对话框中 ,输入统一的子符串共享密钥。在这个例子中我们输入”netgear2004”. 你必须在对端的设备上输入同样的共享密码。.
- 在 Key Life 对话框, 输入28800 seconds.(出厂默认值)
- 在IKE Life 对话框中, 输入86400 seconds(出厂默认值)。.
- 如果你希望 NetBIOS数据流量从 VPN通道中运行,在前方方框中选择 NETBIOS Enable , 例如允许在Microsoft操作系统中的网络邻居看到对方的计算机就必须选上。
- 点击Apply 按钮这些所有配置都会存储到设备中. 然后就会返回到 VPN Settings 屏幕上。
图例十: NETGEAR FVS318 v2.4 VPN设置
3. 回到VPN Settings的界面,注意必须在您新建立的连接中选择Enable选项。
四.测试
当Gateway A和 Gateway B两端的VPN创建好之后,在分支点GatewayB的局域网内任一台电脑上PING中心端GatewayA的局域网主机地址。例如:ping 192.168.0.1 –t.在半分钟左右会通,证明美国网件(NETGEAR)ss="style103">VPN通道已建立连接。在VPN通道建立以后,中心GatewayA上的主机方可以和分支美国网件(NETGEAR)le103">GatewayB上的主机通讯。
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 31.用FVS124G / FVS338 / FVX538 的 QoS 实现服务优先级控制
-
-
- 答案:
-
全球领先的VPN 防火墙专家Netgear 出品的Fvs124g/fvs338/fvx538VPN防火墙都支持IEEE802.1D-1998(802.11p通用优先级别的Qos服务)。在Netgear的防火墙里面,优先等级的设定细分到每一个服务或者IP地址规则,Qos处理的优先级别取决于该服务或者IP地址规则所设定的优先等级,优先级别高的服务或者IP地址规则将会被优先处理。
在Netgear的VPN防火墙里面:
- 您可以选择接受默认优先级别设定的数据包,而不去改变他们的优先级别。
- 你可以修改默认的优先级别设定的数据包的级别,以改变防火墙对数据包处理的优先顺序。
注意:Qos优先级别的设定完全遵循IEEE 802.1D-1998 (formerly 802.1p) 标准的服务等级标记。
Netgear定义的Qos
Native ToS Setting
Netgear QoS Setting
None
6
5
4
3
2
7
7
6
5
4
3
2
6
6
6
5
4
3
2
5
5
6
5
4
3
2
4
4
6
5
4
3
2
3
3
6
5
4
3
2
2
2
6
5
4
3
2
1(默认)
1
6
5
4
3
2
0 (最低)
0
6
5
4
3
2
从上图可以观察到Netgear的VPN防火墙设备对来自内部网络的数据包的处理过程,Netgear定义的QoS有六个等级,来自网络的数据包将根据用户在规则内设定的QoS等级进行处理。举例如下:
例子1:当来自网络的数据包被定义为等级3,而在防火墙里定义该数据包通过的等级为NONE的时候,防火墙将按照等级3的优先次序来处理该数据包。
例子2:当来自网络的数据包被定义为等级3,而在防火墙里定义该数据包通过的等级为7的时候,防火墙将按照等级7的优先次序来处理该数据包。
例子3:当来自网络的数据包被定义为等级3,而在防火墙里定义该数据包通过的等级为2的时候,防火墙将按照等级2的优先次序来处理该数据包。
总结
从上面的介绍我们可以知道,我们不可以通过改变QoS的优先级别来控制WAN口的出口带宽,但我们可以通过该变某些服务的或者IP地址通过防火墙的优先级别,以保证在网络繁忙的时候,防火墙可以保障该重要服务或者IP地址通过,以有效地理由带宽资源。
Netgear防火墙上的QoS设定
在三个地方可以进行Qos优先级别的设定,现分别介绍如下:
1.在Services里面的 Add customer service里面
通过该页面可以定义否一个端口服务的Qos优先等级
图1:Add customer service
2.在rules里面的 Add inbound rules里面
通过该页面可以定义基于inbound规则的Qos优先等级
图2:Add inbound rules
3.在rules里面的 Add outbound rules里面
通过该页面可以定义基于outbound规则的Qos优先等级
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 32.在FVS338_FVX538上如何配置及使用多个公网IP
-
-
- 答案:
-
前提:很多用户申请了多个公有IP,内部网络中也有若干台服务器需要直接对应于不同的公有IP对外进行服务的提供,其中有2种方式进行处理:
- 使用静态影射
- 使用DMZ
本文就FVS338与FVX538如何使用多个公有IP进行描述,同时介绍了如何在FVS338中进行DMZ的设置,整个过程比较简单,如果想了解FVX538的DMZ的设置,请参考FVX538的技术支持页面。
一、进入路由器管理页面(默认192.168.1.1),选择菜单栏Security/Rules页面,在此页建立Inbound Services。
二、设置与使用多个公有IP(FVS338与FVX538一样)
Service 选择ANY;(如果选择Any,则该公有IP对应的内部服务器的所有端口都开放了,不建议这么做,通常是对外提供什么服务就开放什么端口,如:只需要向外提供WEB服务,那么此处只选择‘HTTP/TCP:80即可)
Action 选择Allow Always;
Send to Lan Server输入内部服务器地址;(以192.168.1.38为例)
WAN Users 选择ANY;
Public Destination IP Address选择Other Public IP Address:此处应该填写还没有使用的公有IP,在此以210.21.59.230为例:
三、配置FVS338使用DMZ
如果使用广域网IP作为DMZ服务器对外IP,那么在新加Inbound Services的时候:
Service 选择ANY;
Action 选择Allow Always;
Send to Lan Server输入DMZ服务器地址;(以192.168.1.38为例)
WAN Users 选择ANY;
Public Destination IP Address选择Broadband.
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 33.如何解决不能在已经建立的 VPN 隧道里面通过映射网络驱动器拷贝文件的问题
-
-
- 34.Hub-and-Spoke 的概念与配置过程
-
-
- 答案:
-
-
Hub-and-Spoke:通俗表达来说:各分支机构利用VPN设备与总部VPN设备建立VPN通道后,除了可以和总部进行通讯,还可以利用总部VPN设备互相进行数据交换,而各VPN分支机构不需要进行VPN的隧道连接。而在IP地址的规划方面,在总部我们可以申请相对稳定的固定公网IP地址及或者动态公网IP地址捆绑动态域名,而在分部则可以使用动态公网IP地址捆绑动态域名或者是使用不需要动态域名关联的单向接入方式,需要注意的是,在内网的IP地址规划方面,我们必须保证中心和分支机的内部网络都属于同一个A类/B类/C类网络的不同的子网,Hub-and-Spoke的详细的配置将在下文作详细介绍
-
目前NETGEAR支持Hub-and-Spoke的中心端VPN设备包括:
FVX538/FVS338/FVS124G/FVS318v3
-
配置案例:本例子中,中心端VPN设备使用FVX538和固定的公网地址接入方式,2个分支机构分别使用FVS338和FVS318,采用动态IP地址的接入方式,无需申请动态域名,另外还有一个动态客户端的接如,方案建成后,中心,分支,客户端之间的主机都可以通过其IP地址互相访问。
以下是硬件相关信息:
Nodes
Model
Firmware
WAN IP
LAN IP
LAN Netmask
中心l(Hub)
FVX538
V1.6.44
210.21.59.228
192.168.1.1
255.255.255.0
分支1(Spoke)
FVS338
V1.6.37
动态获取
192.168.2.1
255.255.255.0
分支 2(Spoke)
FVS318
V2.4
动态获取
192.168.3.1
255.255.255.0
客户端(Spoke)
ProsafeVPNClient
V10.3.5
动态获取
无需设置
无需设置
注意:各分支机构的LAN与中心的LAN子网前16位应该一致;
基本网络结构图如下:
一:Branch1 FVS338配置过程
1:首先进入FVS338的WEB管理页面,在`WAN Setup` / `Broadband ISP`下配置广域口。
2:进入`VPN` / `IKE Policies` 下,点`Add` 按钮新建一条策略,配置如图。
3:进入`VPN` / `VPN Policies` 下,点`Add Auto Policy` 按钮新建一条策略,配置如图。
二:Branch 2 FVS318配置过程
1:首先进入FVS318的WEB管理页面,在`Setup` / `Basic Settings`下配置广域口。
2:进入`Setup` / `VPN Settings`,选中其中一条策略,按`Edit`按钮来创建策略,配置如下图所示。
三:客户端Prosafe VPN Client的配置
- 打开客户端的策略配置界面,建立一个名字为ToCenter的客户端策略。
- 配置Sercurity Policy
- 配置ToCenter
- 配置My Identity
- 配置Presharekey
- 配置Authentication-Proposal 1
- 配置Key Exchange-Proposal 1
8. 查看客户端分配到的IP地址
在本方案中,客户端采用用FVX538自动取得IP地址的方法获得IP地址,我们可以通过在操作的系统的命令行模式下使用IPCONFIG命令查看PC的当前IP地址,该地址便是中心或分支机构访问客户端的主机所使用的IP 地址。
四:Central FVX538配置过程1:首先进入路由器的WEB管理页面,在`WAN Setup` / `WAN 1 ISP` 下配置其广域口,如图:
2:在WEB管理页面中选择`VPN` / `IKE Policies` 点`Add` 添加一条连接Branch 1 FVS338的IKE Policies,配置如图:
3:进入`VPN` / `VPN Policies` 下,点`Add Auto Policy` 按钮创建连接Brance 1 FVS338的一条策略,配置如图。
-
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 35.FVX538/FVS338/FVS124G firmware 升级建议事项
-
-
- 36.VPN 客户端故障排除
-
-
- 答案:
-
- 安装问题
- 您的电脑上只能安装一个 IPSec 的客户端。
- 若您之前安装过其他的客户端软件,如 SafeNet、Checkpoint、Cisco等等,必须在安装 NETGEAR 的 VPN 客户端之前将其卸载并重启电脑。
- 功能问题
- NETGEAR VPN 客户端中缺省的 SA Lifetime 是未定义的,若发现您的VPN隧道建立后会频繁的中断可为此参数设定一个数值(须参考客户端连接的VPN网关的SA参数值来设置)。
- 谨用Virtual Adapter,除非您确定您需要使用它。
- 若您的电脑启用了软件防火墙,如 Norton Firewall、ZoneAlarm 等,那么 VPN 客户端可能无法发起VPN连接,可将软件防火墙关掉后重试。
- 若与VPN网关设备成功建立VPN后,无法通过其局域网电脑的IP地址访问到共享资源,请确认被访问的电脑关掉了所有的软件防火墙,如Norton、ZoneAlarm、瑞星、Windows 连接防火墙等。
- 安装问题
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 37.如何设置 Netgear 的 FVX538与 FVS318v3的进行 VPN 连接
-
-
- 答案:
-
- 应用环境:企业分部与总部建立VPN隧道,即可通过连接来访问双方的局域网资源。
- 网络设备状况:总部(FVX538,固定IP地址),分部(FVS318v3,动态IP地址)。
- 网络需求:总部与分部都能正常接入Internet,总部使用固定IP,分支机构使用动态ADSL
- 硬件相关信息:
Router
Model
Firmware
WAN IP
LAN IP
LAN Netmask
Central
FVX538
V1.6.49
202.12.13.11
192.168.0.1
255.255.255.0
Branch
FVS318v3
V3.0.22
动态的IP
192.168.1.1
255.255.255.0
一:Central FVX538配置过程
1:首先进入路由器的WEB管理页面,在`WAN Setup` / `WAN 1 ISP` 下配置其广域口,如图:
2:在WEB管理页面中选择`VPN` / `IKE Policies` 点`Add` 添加一条连接Branch FVS318v3的IKE Policies,配置如图:
3:进入`VPN` / `VPN Policies` 下,点`Add Auto Policy` 按钮创建连接Brance FVS318v3的一条策略,配置如图。
二:Branch FVS318v3配置过程
1:首先进入FVS318v3的WEB管理页面,在basic settings下配置广域口。
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
