收藏 收藏

NETGEAR FR328S技术支持

NETGEAR FR328S图片
目前该产品的统计信息
常见问题 在线问题 说明书 产品驱动
20条 0条 0条 0条
发布NETGEAR FR328S的技术问题 NETGEAR FR328S的常见问题

查看NETGEAR/美国网件防火墙产品的常见问题常见问题解答

  1. 1.SPI如何防止“Ping of Death”或SYN洪水拒绝服务攻击?
  2. 关闭 答案:
    路由器将会检测每个数据包,如果路由器通告一个特定的来自相同IP地址的ping 请求数量超过一定的数量,该数据外将会被丢弃,在另一个例子中,如果源地址正在发送一个来自公司内部局域网或外部网
    此FAQ对你有帮助吗?[ | ] | 查看全文 | 收藏 | 来源:Myprice价格网
  3. 关闭 答案:

    路由器将会检测每个数据包,如果路由器通告一个特定的来自相同IP地址的ping 请求数量超过一定的数量,该数据外将会被丢弃,在另一个例子中,如果源地址正在发送一个来自公司内部局域网或外部网络的数据,如果该攻击是从广域网和内部源地址的恶意的数据包,正常的路由器将会速度变慢,因此,它们将无法对此作出响应,但基于SPI的路由器将能够比较以前的数据包并决定该源地址是不正确的,因此,该恶意的数据包将被丢弃,从而避免网络放缓。
    此FAQ对你有帮助吗?[ | ] | 收藏 | 来源:Myprice价格网
  4. 2.fvs_fvl 系列 VPN 恢复出厂值
  5. 关闭 答案:
    加电情况下,按住设备网络口旁边的‘reset’小按钮12秒以上; 在‘Settings backup’菜单里面,选择‘Erase’,然后确定;
  6. 关闭 答案:
    • 加电情况下,按住设备网络口旁边的‘reset’小按钮12秒以上;
    • 在‘Settings backup’菜单里面,选择‘Erase’,然后确定;
    此FAQ对你有帮助吗?[ | ] | 收藏 | 来源:Myprice价格网
  7. 3.VPN 防火墙升级注意事项
  8. 关闭 答案:
    最好只有单台电脑跟设备连着; 软件升级包不要保存在系统的桌面上或者中文的目录下; 软件升级完成后需要将设备恢复出厂值后再重新配置;
  9. 关闭 答案:
    • 最好只有单台电脑跟设备连着;
    • 软件升级包不要保存在系统的桌面上或者中文的目录下;
    • 软件升级完成后需要将设备恢复出厂值后再重新配置;
    此FAQ对你有帮助吗?[ | ] | 收藏 | 来源:Myprice价格网
  10. 4.升级建议事项
  11. 关闭 答案:
    升级到最新版本后需要将设备复位; 复位后再升级一次; 将设备重启动; 在router status中查看:primary firmware和secondary firmware是否一致;
  12. 关闭 答案:
    • 升级到最新版本后需要将设备复位;
    • 复位后再升级一次;
    • 将设备重启动;
    • 在router status中查看:primary firmware和secondary firmware是否一致;
    此FAQ对你有帮助吗?[ | ] | 收藏 | 来源:Myprice价格网
  13. 5.NETGEAR VPN防火墙产品 使用 ngDDNS(花生壳)动态域名绑定服务的建议
  14. 关闭 答案:
    一.动态域名服务的概况 全球成长型商用网络专家与无线网络的先锋美国网件公司(NETGEAR)所发布的所有VPN防火墙系列产品(包括FVS318, FVS338,FVS328,FVL328,FVS338,FVX538,FVM318,FWAG11
    此FAQ对你有帮助吗?[ | ] | 查看全文 | 收藏 | 来源:Myprice价格网
  15. 关闭 答案:

    一.动态域名服务的概况

    全球成长型商用网络专家与无线网络的先锋美国网件公司(NETGEAR)所发布的所有VPN防火墙系列产品(包括FVS318, FVS338,FVS328,FVL328,FVS338,FVX538,FVM318,FWAG114P)都支持动态域名解释服务,以方便用户在使用动态的IP地址接入互联网时可以方便建立属于自己的虚拟专用网络(VPN)。现在以FVL328为例子,作一个简单的介绍,在FVL328的配置页面里面(F/W2.003),点击左边工具菜单里的DynamicDns选项,如下图:

     

    图一:Netgear防火墙动态域名设置

    我们提供动态域名服务的供应商有三家,具体的情况如下表:

    供应商

    官方网站

    所在地区

    绑定域名

    收费方式

    Dynamic Network Services, Inc.

    www.dyndns.org

    美国新罕布什尔

    Name.dyndns.org

    免费

    Tzolkin Corporation

    Netgear.tzo.com

    美国麻省

    Name.tzo.com
    xxx.name.com

    $24.95/年$59.95/年

    网域科技(ngDDns/OrayDns)

    www..oray.net

    中国广州

    Name.ng.iego.net

    免费

    二.设置详解

    可见,在第一节中,从三个提供动态域名服务的供应商的地理位置来说,在国内使用的防火墙设备最好采用网域科技提供的动态域名服务.以下就网域科技提供的动态域名服务给出详细的配置方法供用户参考:

    • 在工具栏里点选Dynamic Dns,进行动态域名的配置,如图:

    图二:FVS318 Dunamic Dns 设置

    2.点选Oray.net,这时系统会提示你输入争取的DNS 域名和用户名密码等登陆信息。

    图三:FVS318 Dunamic Dns 设置

    • 点击Oray.net右边的连接,将引导用户进入网域动态域名的注册系统,在这里你可以申请一个免费的,唯一的动态域名,如图:

    图四:FVS318 Dunamic Dns 设置

     

    • 点击注册开始申请

    图五:FVS318 Dunamic Dns 设置

    • 回到FVS318的配置页面,在DDNS选项里,先选中适当的服务提供商,在中国大陆我们应该选择Oray.net(网域科技),然后在相应的信息栏目里填入相应的注册信息即可。如下图:在我们的例子里,我们为站点A申请了,名为Netgear-a.ng.iego.net的动态域名。

    图六:FVS318 Dunamic Dns 设置

    三.当内置的动态域名失效时的应变办法

    声明:美国网件公司并不保障在其防火墙提供的动态域名服务质量,动态域名的服务质量应该以提供该动态域名服务的供应商的服务承诺为参照。

     

    从以上声明我们可以了解到,当我们在Netgear的防火墙/宽带路由器/VPN设备时使用网域科技提供的免费动态域名服务的时候,我们应该以网域科技公布的动态域名服务质量作为参考,针对最近很多用户反应使用网域的动态域名服务时常常出现反应缓慢,甚至根本不能正常解释的问题,我们总结出以下四种故障情况。并针对以下的情况,我们在下文将详细给用户介绍故障的诊断办法及如何解决问题。

    1.当地DNS服务器的问题导致用户无办法连接到动态域名服务器

    2.动态域名服务器出现故障或者内部维护的时候,动态域名服务器无方法提供服务。

    3.动态域名服务器繁忙,正在排队处理登陆请求

    4.ISP屏蔽了某些曾经非法使用过动态域名服务的IP地址段,导致部分用户根本无法使用。

    • 问题一:如何判断我的接入点的DNS配置能否能正确解释动态域名服务器供应商的服务主机?

    此类问题,我们建议大家在Window 98/2000/xp命令行模式下,输入以下命令:

    Ping ngddns.oray.net,如下图:

     

     

    图七:DNS服务器的判断

    如图中显示,当地的DNS配置能够正确解释出动态域名服务器的IP地址,则表示当前的DNS配置没有问题,如果出现解释不该域名对应的IP地址,则用户必须修改当前的DNS配置,以下给出两个经过测试的DNS供用户参考:

    1.61.144.56.101

    2.202.96.128.68

    • 问题二:如何判断我的接入点是否能正常连接到动态域名服务器?

    此类问题,我们建议大家在Window 98/2000/xp命令行模式下,输入以下命令:

    Telnet ngddns.oray.net 6000 ,如下图:

    图八:能否连接到DDNS服务器的判断

    如上图显示的是动态域名服务器的响应信息,如果用户使用该诊断命令无法得到服务器如上图的正确响应,则用户有可能不能连接到服务器或者服务器正处于维护或者繁忙的状态,遇到该类问题,用户可以直接致电网域科技或者美国网件客户服务中心查询。

    • 问题三:如果保障动态域名服务的正常使用?

    当用户经过修改DNS的设置和联系服务供应商仍然不能解决动态域名的解释问题的时候,我们郑重建议用户使用其它动态域名服务供应商提供的服务作双系统备份。在此我们推荐三家比较稳定的动态域名服务供应商:

    供应商

    官方网站

    所在地区

    绑定域名

    收费方式

    88IP.

    www.88ip.com

    中国广东深圳

    Name.88ip.cn

    600元/年

    希网网络

    www.3322.org

    中国江苏常州

    Name.3322.net

    免费

    网域科技(花生壳系列)

    www.oray.net

    中国广东广州

    Name.vicp.net

    免费

    我们只要到其中一个网站注册其合法的用户口令(使用收费的比免费的稳定),并下载该供商动态域名服务客户端软件安装到公司内部网络里的一台可以访问互联网的电脑上面即可以使用,同时我们在选择软件安装的电脑的时候应该选择那些性能稳定和需要长时间开启的电脑主机以保证服务的正常使用。如下图:

     

     

     

    图九:第三方动态域名服务的应用

    此FAQ对你有帮助吗?[ | ] | 收藏 | 来源:Myprice价格网
  16. 6.VPN防火墙里面的 Qos支持
  17. 关闭 答案:
    全球领先的VPN 防火墙专家Netgear 出品的Fvs124g/fvs338/fvx538VPN防火墙都支持IEEE802.1D-1998(802.11p通用优先级别的Qos服务)。在Netgear的防火墙里面,优先等级的设定细分到每一个服务或者
    此FAQ对你有帮助吗?[ | ] | 查看全文 | 收藏 | 来源:Myprice价格网
  18. 关闭 答案:

    全球领先的VPN 防火墙专家Netgear 出品的Fvs124g/fvs338/fvx538VPN防火墙都支持IEEE802.1D-1998(802.11p通用优先级别的Qos服务)。在Netgear的防火墙里面,优先等级的设定细分到每一个服务或者IP地址规则,Qos处理的优先级别取决于该服务或者IP地址规则所设定的优先等级,优先级别高的服务或者IP地址规则将会被优先处理。

    在Netgear的VPN防火墙里面:

    • 您可以选择接受默认优先级别设定的数据包,而不去改变他们的优先级别。
    • 你可以修改默认的优先级别设定的数据包的级别,以改变防火墙对数据包处理的优先顺序。

     

    注意:Qos优先级别的设定完全遵循IEEE 802.1D-1998 (formerly 802.1p) 标准的服务等级标记。

    Netgear定义的Qos

     Native ToS Setting

    Netgear QoS Setting

    None

    6

    5

    4

    3

    2

    7

    7

    6

    5

    4

    3

    2

    6

    6

    6

    5

    4

    3

    2

    5

    5

    6

    5

    4

    3

    2

    4

    4

    6

    5

    4

    3

    2

    3

    3

    6

    5

    4

    3

    2

    2

    2

    6

    5

    4

    3

    2

    1(默认)

    1

    6

    5

    4

    3

    2

    0 (最低)

    0

    6

    5

    4

    3

    2

     

    从上图可以观察到Netgear的VPN防火墙设备对来自内部网络的数据包的处理过程,Netgear定义的QoS有六个等级,来自网络的数据包将根据用户在规则内设定的QoS等级进行处理。举例如下:

    例子1:当来自网络的数据包被定义为等级3,而在防火墙里定义该数据包通过的等级为NONE的时候,防火墙将按照等级3的优先次序来处理该数据包。

     

    例子2:当来自网络的数据包被定义为等级3,而在防火墙里定义该数据包通过的等级为7的时候,防火墙将按照等级7的优先次序来处理该数据包。

    例子3:当来自网络的数据包被定义为等级3,而在防火墙里定义该数据包通过的等级为2的时候,防火墙将按照等级2的优先次序来处理该数据包。

    总结

     

    从上面的介绍我们可以知道,我们不可以通过改变QoS的优先级别来控制WAN口的出口带宽,但我们可以通过该变某些服务的或者IP地址通过防火墙的优先级别,以保证在网络繁忙的时候,防火墙可以保障该重要服务或者IP地址通过,以有效地理由带宽资源。

     

    Netgear防火墙上的QoS设定

     

    在三个地方可以进行Qos优先级别的设定,现分别介绍如下:

    1.在Services里面的 Add customer service里面

    通过该页面可以定义否一个端口服务的Qos优先等级

    1Add customer service

    2.在rules里面的 Add inbound rules里面

    通过该页面可以定义基于inbound规则的Qos优先等级

    2Add inbound rules

    3.在rules里面的 Add outbound rules里面

    通过该页面可以定义基于outbound规则的Qos优先等级

     

    此FAQ对你有帮助吗?[ | ] | 收藏 | 来源:Myprice价格网
  19. 7.在 ProSafe™ VPN 防火墙上面使用 XAUTH 和 RADIUS
  20. 关闭 答案:
    本章节描述如何在在 ProSafe™ VPN 防火墙上面使用 XAUTH 及 RADIUS 为客户端软件提供用户验证 名字解释:XAUTH and RADIUS 当很多用户需要通过客户端软件连接到VPN网关的时候,网管人员
    此FAQ对你有帮助吗?[ | ] | 查看全文 | 收藏 | 来源:Myprice价格网
  21. 关闭 答案:

    本章节描述如何在在 ProSafe™ VPN 防火墙上面使用 XAUTH 及 RADIUS 为客户端软件提供用户验证

    名字解释:XAUTH and RADIUS

    当很多用户需要通过客户端软件连接到VPN网关的时候,网管人员通常会为每一个用户设置不同VPN策略和预置密码用以区分每一个用户,尽管网络管理员可以为每一个用户配置一条独立的VPN策略,但显然,如果有一种技术,可以将用户的信息保存在数据库里使用统一的VPN策略对用户进行身份认证,这样将大大减少网络管理人员的工作负担和简化管理程序。XAUTH为这些需要区分每个用户用户进行身份验证的应用提高了一种机制,该机制允许VPN网关使用Radius服务器或者本地数据库记录用户信息并对用户进行身份认证。

    RADIUS (Remote Authentication Dial-In User Service, RFC 2865) 是一个管理网络里多个用户的验证,授权,计费(AAA)的协议。RADIUS服务器在数据库里存储有效的用户信息,并能给要求访问网络资源的合法用户授权。

    当客户端开始一个VPN连接的请求的时候,VPN网关通过XAUTH(拓展验证)强行中断VPN协商的过程,并要求客户端必须输入合法的用户名的密码进行验证,网关在接收到来自客户端提供的用户名和密码之后首先在本地数据库校验信息是否合法,如果在本地数据库找不到相对应的用户名,则将信息转发到RADIUS服务器进行校验,如果判断为合法,则继续VPN的协商过程,如果用户不合法,则中断VPN连接。

    适用环境

    该功能可以在以下的产品及软件版本上实现。

    Model

    Firmware

    FVX538

    1.6.38

    FVS338

    1.6.35

    本文档在以下环境下编写并验证通过:

    • 网件FVS338 ProSafe VPN 防火墙(固件版本:1.6.35)
    • 网件ProSafe VPN 客户端软件版本10.5.1 (Build 8)

     

    支持的RADIUS服务:

    支持多数标准的免费/商业发布的RADIUS服务程序,比如:

    ProSafe VPN防火墙在FreeRADIUS 和Microsoft IAS上测试通过。同时本文章不再详细介绍每一种RADIUS的配置办法,美国网件公司并不强制客户必须使用某种RADIUS Server软件,所有的RADIUS Server的配置信息均可以参考厂家提供的标准配置文档。

    设置VPN防火墙的XAUTH模式

    在配置VPN的IKE策略的时候,选择要求使用XAUTH验证,则可以启用VPN的XAUTH功能。我们在配置该IKE策略的XAUTH的时候,系统会提供两种模式给用户选择。如下:

    • IPsec Host — 作为客户端,在连接到中心时需要提供用户名和密码
    • Edge Device — 作为服务器端(中心),要求客户端必须进行口令验证。

    当VPN防火墙定义为IPsec Host的时候,在建立VPN连接的时候,设备会给服务器端提供用户名和密码信息。

    当VPN防火墙定义为edge device模式的时候,VPN网关则要求客户端必须输入合法的用户名的密码进行验证,网关在接收到来自客户端提供的用户名和密码之后首先在本地数据库校验信息是否合法,如果在本地数据库找不到相对应的用户名,则将信息转发到RADIUS服务器进行校验,如果判断为合法,则继续VPN的协商过程,如果用户不合法,则中断VPN连接。

    具体设置如下:

    1. 进入IKE Policies选项并点击 Edit按钮进入IKE Policies编辑页面
    2. 在 X AUTHENTICATION 项目下面, 选择Edge Device.
    3. Authentication Type下选择Generic使用PAP协议, 否则则选择CHAP以使用CHAP协议. 如果你打算使用RADIUS,则您必须在RADIUS上设置相对应的验证协议。通常地.,PAP 协议简单实用,而CHAP则更为安全。
    4. 点击应用使配置生效。

    1. 下一步,设置您的VPN防火墙是通过本地数据库验证还是通过扩展的RADIUS 服务器验证。防火墙首在User Database里面定义的本地数据库的用户名和密码信息进行验证,如果找不到匹配的条件,则转交到在RADIUS Clien项目里定义的RADIUS服务器来验证。

    配置VPN防火强使用本地数据库进行验证

    即使你没有配置RADIUS服务器,你仍然可以使用VPN防火墙自带的用户数据库实现用户验证功能。在使用该功能之前,你必须在User Database项目下面配置用户信息,如下:

    1. User Database项目下面点击 add按钮。
    2. User NamePassword里分别填写相应的信息。
    3. 点击Apply按钮即可起用本地数据库。

    配置防火墙使用RADIUS服务器进行验证

    在Radius Client项目里面,可以定义一个主的RADIUS服务器和备份的RADIUS服务器。防火墙首先和主的RADIUS服务器联系,如果主的RADIUS服务器没有响应,则转到备份的RADIUS服务器上。

    在Primary和Backup Server里面的设置介绍如下:

    • Server Address — RADIUS的IP地址.
    • Auth port — RADIUS服务器的验证端口号,对于正在出来的验证用户,RADIUS客户端会使用该端口和RADIUS服务器通讯,在大部情况下,默认的端口号都不应该修改。
    • Acct port — RADIUS的计费端口号。在大多数情况下默认的端口号不需要修改。
    • Secret Phrase— RADIUS客户端和服务器之间的通讯密钥。该密钥必须在服器端和客户端单独配置,并要求相互一致。
    • NAS Identifier —防火墙充当NAS(网络访问服务)角色,允许合法的外部用户访问网络。在一个RADIUS会话里面,NAS必须递交NAS身份标识到RADIUS服务器,在该例子里NAS的身份标识可以是防火墙的IP地址或有效的用户名,在某些应用场合里,RADIUS服务器有可能要求NAS提供有效的用户名,而我们则可以在该处填写合法的用户名提交到RADIUS服务器进行验证。然而在大多数场合下面,RADIUS服务器并不要求NAS提供用户名。

    点击 Apply保存配置

    注意:在试验中我们采用WINDOWS 的IAS作为RADIUS服务器,NAS身份标识不需要在IAS里面配置,同时在IKE策略里的Authentication Type 应该选择Generic (PPP)的方式。

    配置网件ProSafe VPN 客户端使用XAUTH

    在此之前,你必须在不需要XAUTH的情况下,配置好VPN客户端。测试到VPN防火墙的连接通过后,在配置里面添加相应的XAUTH选项即可:

    1. 点击Authentication选择Proposal 1. 选择和在VPN防火墙的IKE策略里匹配的各项参数。
    2. Authentication Method, 选择Pre-Shared Key; Extended Authentication.
    3. 点击 floppy disk图标以保存配置

    测试连接

    1. 在WINDOWS工具栏里右键点击VPN client图标选择My Connections \<connection name>.

    1. 几秒钟后将出现登陆页面。
    2. 输入正确的用户名和密码信息后,客户端软件会显示W "Successfully connected to My Connections\<connection name>"的信息
    3. 从安装客户端软件的PC上PING对方局域网内的主机,应该能够PING通
    4. 遇到故障的时候,可以参考VPN客户端软件里的VPN日志以排除故障。
    此FAQ对你有帮助吗?[ | ] | 收藏 | 来源:Myprice价格网
  22. 8.如何在 FVX538 or FVS338 ProSafe&#8482; VPN 防火墙使用 MODE CONFIG
  23. 关闭 答案:
    ModeConfig功能可以帮助用户使用VPN客户端软件简单地连接到FVX538或者FVS338 ProSafe™ VPN 防火墙。 如果你要使用VPN客户端软件连接到远端的VPN路由器,在传统的VPN客户端配置中您必须配
    此FAQ对你有帮助吗?[ | ] | 查看全文 | 收藏 | 来源:Myprice价格网
  24. 关闭 答案:

    ModeConfig功能可以帮助用户使用VPN客户端软件简单地连接到FVX538或者FVS338 ProSafe™ VPN 防火墙。

    如果你要使用VPN客户端软件连接到远端的VPN路由器,在传统的VPN客户端配置中您必须配置为客户端配置一个虚拟的IP地址或者手工指定其他的IP信息。如果有这样一种技术可以类似于DHCP给客户端分配IP地址的工作方式方便地为VPN客户端软件动态分配IP地址的话,这将大大简化VPN客户端软件的配置。而Netgear的ModeConfig恰恰提供了该类问题的解决办法,该技术可以为客户端拥护提供IP地址信息,包括合法的IP地址,子网掩码和路由器的域名服务器地址。远程客户端将自动获得该信息并无缝地成为您的局域网里面的一分子。

    该技术文档的实践环境:

    • FVS338F/W版本1.6.29
      • 广域网端口 IP :10.1.0.145
      • 局域网断口IP: 192.168.1.1, 子网掩码255.255.255.0
    • 网件 ProSafe™ VPN Client software version 10.3.5 (Build 6)
      • 客户端计算机IP :10.1.0.50

    ModeConfig 的配置过程

    在IKE会话的第一阶段结束时,VPN连接的发起人(通常是远程点/客户端)会向被连接一端申请IP信息,如:IP地址,子网掩码和域名服务器地址等。ModeConfig功能将会从预先设置好的IP地址池里面给发起人分配一个IP地址并且使用预先设置好的ModeConfig record安全提议模版建立一个临时的IPSec策略。

    注意:在配置完ModeConfig record以后, 你必须在IKE Policies配置项目里面选中Remote Host Configuration Record,并在该项目里选择您预先设置好的ModeConfig record的模版。同时你并不需要继续配置VPN策略,因为客户端VPN发起人将使用ModeConfig record里面的配置策略。

    如何在路由器里面配置ModeConfig

    路由器里面需要配置两个相关的项目-ModeConfig菜单和IKE Policies菜单。而且你不必配置VPN Policies菜单。

    ModeConfig 菜单配置例子:

    • 点击ModeConfig 里的Add按钮来创建一个新的记录

    • 首先给新的记录创建一个名字。比如:FieldSales或者DansOffice.
    • IP地址池里最少安排一个IP地址(地址段)以分配给远程客户端。
      注意:IP地址池里面的地址不能和本里网络的IP地址在同一个网锻里面,您必须给IP地址池指派一个其它网段的私有地址。比如172.16.x.x。
    • 如果本地网络里面包含WINS服务器,则需要输入WINS服务器的地址。
    • 输入一到两个DNS服务器IP地址以分配给远程客户端。
    • 如果起用了Perfect Forward Secrecy (PFS), 则需要选择DH Group 12. 该项设置必须和远程客户端软件的设置相同。
    • 指定远程客户端可以访问的本地网络。同时本地网络就是路由器的局域网端口所在的网段。比如:192.168.1.1/24
    • 指定VPN策略的配置。该培植必须和远程客户端的配置相同。通常的配置如下:
      • SA Lifetime: 3600 seconds
      • Authentication Algorithm: SHA-1
      • Encryption Algorithm: 3DES
    • 点击Apply。一个新的记录显示在 VPN Remote Host ModeConfig列表里面。

    如何在路由器里面配置IKE策略

    • 点击IKE Policies > Add来创建一个新的IKE策略。

    • General Policy Name, 里面输入一个描述名称。该名称被远程VPN客户端用作身份认证。
    • 将Direction/Type设置为Responder.
    • 将Exchange Mode设置为Aggressive.
    • 在Local Identifier Type里, 选择Fully Qualified Domain Name并且输入一个与其IKE策略不同的身份标识。该标识必须与远程VPN客户端的remote identifier的配置一致
    • 在Remote Host Configuration Record里选中你预先定义好的ModeConfig模版。
    • 在Remote Identifier Type, 选择Fully Qualified Domain Name并且输入一个不同于IKE策略的身份标识。该标识必须与远程VPN客户端的local identifier一致。
    • 指定IKE SA parameters. 该各项参数的配置必须和远程VPN客户端的配置一致。通常的配置参考如下:
      • Encryption Algorithm: 3DES
      • Authentication Algorithm: SHA-1
      • Diffie-Helman: Group 2
      • SA Life Time: 3600 seconds
    • 输入和远程VPN客户端一致的Pre-shared Key
    • 点击Apply.。一个新的IKE策略显示在策略列表里。

    如何在ModeConfig下配置NETGEAR ProSafe VPN客户端软件

    在Windows的任务栏里面用右键点击VPN客户端软件的图标,并选择Security Policy Editor。在弹出的窗口的左上角点击New Connection按钮以创建一个新的连接。然后再给这个新的连接命名,该名字只在该软件里用作标识和VPN策略的配置无关。

    第一次使用时对软件作以下配置,如下图:.

      • Subnet和VPN路由器的LAN IP一致。
        注意:主机号应该写为零,比如,你在使用一个C类的子网的时候,应该把最后一位主机号写成零。
      • 在Domain Name下面,输入你在VPN路由器的IKE规则里面设置的本地身份标识FQDN (完整主机名) 。
      • 在Gateway IP Address下面, 输入VPN路由器的WAN IP地址。
    • 单击My Identity

      • 点击Pre-Shared Key 并且输入您在VPN路由器的IKE规则里面设置的预至密匙。
      • 在 ID Type里面选择Domain Name.。
      • 在Domain Name下面输入您在VPN路由器的IKE策略里的Remote indentifier FQDN里面设置的远程身份标识。在该例子里我们使用"salesguy12.remote_id.com" i作为VPN客户端的本地身份标识。当然,你还可以使用其它格式的身份标识,但该标识必须和VPN路由器的IKE策略里面设置的远端身份标识一致
      • 选择Virtual Adapter下面Preferred.。在Internal Network IP Address里输入0.0.0.0
        注意:假如Internal Network IP Address对话框显示不出来,则在Options > Global Settings菜单里, 选择Allow to Specify Internal Network Address.
      • 在Internet Interface里选择您的网卡。
    • 选择Security Policy。请参考下图。

      • 选择Aggressive Mode.
      • 假如你在路由器的IKE策略里配置了PFS,则在Enable Perfect Forward Security (PFS)里打钩, 并且选择和路由器IKE策略里配置一致
      • Enable Replay Detection项目上打钩.

     

    • 打开Authentication (Phase 1)并选择Proposal 1。如下图:在各个项目里输入和VPN路由器里的一致的参数.

     

    • 打开Key Exchange (Phase 2)选择Proposal 1。如下图:在各个项目输入和VPN路由器的ModeConfig Record配置一致的参数。SA Life可以设置的稍为长一点,一般可以设置为8个小时(28800秒)。

     

    • 选择左上角的 floppy disk 按钮以保存配置。

    测试VPN连接

    • 在Window 的工具栏上用右键点击VPN client图标,选择已经建立好的连接并点击
    • 在大概30秒钟以后,会看到VPN连接成功的信息,此时观察Window工具栏上的VPN Client图标,图标会显示ON的提示。
    • Ping 对方VPN路由器内部网络的一台主机,应该可以PING通。则说明VPN连接成功。

    我们可以用右键点击Window 的工具栏上的VPN client图标,通过查看Connection Monitor或者Log Viewer来诊断故障,或者通过VPN路由器里面的VPN log或status菜单也可以观察VPN的连接信息。

    此FAQ对你有帮助吗?[ | ] | 收藏 | 来源:Myprice价格网
  25. 9.什么是 PPPoE
  26. 关闭 答案:
    PPPoE(基于以太网的点对点协议)是指 IETF 的 PPP 工作组提出的 RFC2516。PPPoE 是基于 DSL 接入由 DSL 调制解调器连接的以太网的一个较简单的方法。它兼备了点对点的为用户所熟悉且安全的拨号
    此FAQ对你有帮助吗?[ | ] | 查看全文 | 收藏 | 来源:Myprice价格网
  27. 关闭 答案:

    PPPoE(基于以太网的点对点协议)是指 IETF 的 PPP 工作组提出的 RFC2516。PPPoE 是基于 DSL 接入由 DSL 调制解调器连接的以太网的一个较简单的方法。它兼备了点对点的为用户所熟悉且安全的拨号连接的用户模式和以太网共享环境的优点。PPPoE 的其它优点有:

    • 利用以太网的共享环境
    • 允许单机同时向不同目的网络建立点对点对话
    • 允许一个同一个局域网内的多台计算机同时与不同的目的网络建立PPP会话
    此FAQ对你有帮助吗?[ | ] | 收藏 | 来源:Myprice价格网
  28. 10.为什么需要在 IPSec VPN网络中部署 XAUTH 应用
  29. 关闭 答案:
    目前由于宽带接入的快速发展,广泛的中小商用企业部署IPSec VPN网络,构建远程客户端对公司中心资源访问的应用已极为普通。在部署此类远程访问的IPSec VPN应用时,通常是要设置多个客户端连接到V
    此FAQ对你有帮助吗?[ | ] | 查看全文 | 收藏 | 来源:Myprice价格网
  30. 关闭 答案:

    目前由于宽带接入的快速发展,广泛的中小商用企业部署IPSec VPN网络,构建远程客户端对公司中心资源访问的应用已极为普通。在部署此类远程访问的IPSec VPN应用时,通常是要设置多个客户端连接到VPN中心网络,网管人员的通常做法是为每一个用户设置不同VPN策略和预置密码用以区分每一个用户,此工作量是巨大的,管理也不方便。因此现在市场上主流的IPSec VPN网关设备提供另外一种解决方案,就是在VPN网关中只要配置一条VPN的策略,就可允许多个如高达1000个远程客户端的同时接入,然后只要对远程客户分发一个相同的策略配置就可以了。这样一来,由于所有远程客户端的VPN配置策略是相同的,对每个远程客户不再进行单独地区别,因此在提高了方便性的同时却又降低了整个网络的安全性。

    这样就促使用户需要这样一种技术,就是在VPN网关设备中只需要配置一条策略,但要求每个远程客户在接入时需要提供不同的用户名和口令的身份认证,VPN网关设备可以集中管理远程用户的合法信息。这样就大大减少了网络管理人员的工作负担和保证远程客户接入的安全性,提高了企业的整体工作效率。这个技术就是融合在IPSec VPN里面的XAUTH扩展认证协议,XAUTH为这些需要区分每个用户进行身份验证的应用提供了一种身份认证机制,该机制允许VPN网关使用Radius服务器或者本地数据库记录中的用户信息对用户进行身份认证。

    RADIUS (Remote Authentication Dial-In User Service, RFC 2865) 是一个管理网络里多个用户的验证,授权,计费(AAA)的协议。RADIUS服务器在数据库里存储有效的用户信息,并能给要求访问网络资源的合法用户授权。

    下图是个典型的远程客户到中心VPN网关的应用XAUTH的说明:

    图1:XAUTH和RADIUS使用范例

    图1中当远程客户端开始一个VPN连接的请求的时候,VPN网关通过XAUTH(扩展验证)强行中断VPN协商的过程,并要求客户端必须输入合法的用户名的密码进行验证,网关在接收到来自客户端提供的用户名和密码之后首先在本地数据库校验信息是否合法,如果在本地数据库找不到相对应的用户名,则将信息转发到RADIUS服务器进行校验,如果判断为合法,则继续VPN的协商过程并且在连结成功后为远程客户端分配IP地址,如果用户不合法,则中断VPN连接。

    由于XAUTH结合RADIUS给依赖于大量使用VPN技术的商业用户带来了前所未有的安全性和方便的管理特性,因而国际很多知名的VPN设备开发商,比如象Cisco,Checkpoint, Netgear公司等,在他们的产品中都开始支持XAUTH。

    二.企业实际应用配置举例

    我司因实际应用需要,采购了美国网件NETGEAR公司的Prosafe VPN Firewall FVX538和FVS338以购建公司内部的VPN网络,全网以广州的FVX538为中心,申请固定的IP地址和10M的专线,分支机构分布在上海和北京,采用中国网通的ADSL接入,无需固定的IP地址。在总部和分支获得稳定的VPN连接的基础上,还需要增加大概100个用户左右的客户端VPN通道,以方便移动客户访问公司内部的数据库。由于管理的用户众多,而且用户的流通性非常大,常常需要更新用户资料,而采用传统的VPN客户管理方式,老用户的资料既不能轻易修改,同时每当有新用户加入时都要单独在VPN设备里配置新的VPN策略,从而给系统的维护带来了极大的困难。经过再三的论证以后,最后决定采用支持XAUTH技术的高性价比的FVX538来解决该问题。系统建成后,全网稳定运行半年多,由于其稳定的性能和出色的维护办法因而深受公司使用者的好评。现以我司的VPN接入方案为例子,介绍在美国网件公司(Netgear)的Prosafe VPN Firewall FVX538 上如何实现采用XAUTH验证技术的远程客户端的接入和管理。

    2.1 产品软件版本

    为了获得稳定的XAUTH支持,建议先把FVS538的软件版本升级到1.6.38以上。我司的FVX538目前稳定运行在该版本上,本文章的相关参数设置都以该软件版本为基础。而客户端软件则选用FVX538光盘上配套的Prosafe VPN客户端软件(客户端软件版本10.5.1 (Build 8))。

    2.2 选择合适的Radius服务

    NETGEAR ProSafe VPN Firewall FVX538支持多数标准的免费/商业发布的RADIUS服务程序,比如:

    所有的RADIUS Server的配置信息均可以参考厂家提供的标准配置文档,本文不再详细介绍每一种RADIUS的配置办法,。

    2.3 VPN防火墙FVX538的XAUTH配置

    (1)设置VPN防火墙的XAUTH模式

    在配置VPN的IKE策略的时候,选择要求使用XAUTH验证,则可以启用VPN的XAUTH功能。我们在配置该IKE策略的XAUTH的时候,系统会提供两种模式给用户选择。如下:

    • IPsec Host — 作为客户端,在连接到中心时需要提供用户名和密码
    • Edge Device — 作为服务器端(中心),要求客户端必须进行口令验证。

    当VPN防火墙定义为IPsec Host的时候,在建立VPN连接的时候,设备会给服务器端提供用户名和密码信息。

    当VPN防火墙定义为Edge device模式的时候,VPN网关则要求客户端必须输入合法的用户名的密码进行验证,网关在接收到来自客户端提供的用户名和密码之后首先在本地数据库校验信息是否合法,如果在本地数据库找不到相对应的用户名,则将信息转发到RADIUS服务器进行校验,如果判断为合法,则继续VPN的协商过程,如果用户不合法,则中断VPN连接。

    具体设置如下:

    1. 进入IKE Policies选项并点击 Edit按钮进入IKE Policies编辑页面
    2. 在 X AUTHENTICATION 项目下面, 选择Edge Device.
    3. Authentication Type下选择Generic使用PAP协议, 否则选择CHAP以使用CHAP协议. 如果你打算使用RADIUS,则您必须在RADIUS上设置相对应的验证协议。通常PAP 协议简单实用,而CHAP则更为安全。
    4. 点击应用使配置生效。

    1. 下一步,设置您的VPN防火墙是通过本地数据库验证还是通过扩展的RADIUS 服务器验证。防火墙首在User Database里面定义的本地数据库的用户名和密码信息进行验证,如果找不到匹配的条件,则转交到在RADIUS Clien项目里定义的RADIUS服务器来验证。

    (2)配置VPN防火强使用本地数据库进行验证

    即使你没有配置RADIUS服务器,你仍然可以使用VPN防火墙自带的用户数据库实现用户验证功能。在使用该功能之前,你必须在User Database项目下面配置用户信息,如下:

    1. User Database项目下面点击 add按钮。
    2. User NamePassword里分别填写相应的信息。
    3. 点击Apply按钮即可起用本地数据库。

    (3)配置防火墙使用RADIUS服务器进行验证

    在Radius Client项目里面,可以定义一个主的RADIUS服务器和备份的RADIUS服务器。防火墙首先和主的RADIUS服务器联系,如果主的RADIUS服务器没有响应,则转到备份的RADIUS服务器上。

    在Primary和Backup Server里面的设置介绍如下:

    • Server Address — RADIUS的IP地址.
    • Auth port — RADIUS服务器的验证端口号,RADIUS客户端会使用该端口和RADIUS服务器通讯,在大部情况下,默认的端口号都不应该修改。
    • Acct port — RADIUS的计费端口号。在大多数情况下默认的端口号不需要修改。
    • Secret Phrase— RADIUS客户端和服务器之间的通讯密钥。该密钥必须在服器端和客户端单独配置,并要求相互一致。
    • NAS Identifier —防火墙充当NAS(网络访问服务)角色,允许合法的外部用户访问网络。在一个RADIUS会话里面,NAS必须递交NAS身份标识到RADIUS服务器,在该例子里NAS的身份标识可以是防火墙的IP地址或有效的用户名,在某些应用场合里,RADIUS服务器有可能要求NAS提供有效的用户名,而我们则可以在该处填写合法的用户名提交到RADIUS服务器进行验证。然而在大多数场合下面,RADIUS服务器并不要求NAS提供用户名。

    点击 Apply保存配置

    注意:在试验中我们采用WINDOWS 的IAS作为RADIUS服务器,NAS身份标识不需要在IAS里面配置,同时在IKE策略里的Authentication Type 应该选择Generic (PAP)的方式。

    2.4 IPSec VPN 客户端软件XAUTH的配置

    在此之前,你必须在不需要XAUTH的情况下,配置好VPN客户端。测试到VPN防火墙的连接通过后,在配置里面添加相应的XAUTH选项即可:

    1. 点击Authentication选择Proposal 1. 选择和在VPN防火墙的IKE策略里匹配的各项参数。
    2. Authentication Method, 选择Pre-Shared Key; Extended Authentication.
    3. 点击 floppy disk图标以保存配置

    2.5测试连接

    1. 在WINDOWS工具栏里右键点击VPN client图标选择My Connections \<connection name>.

    1. 几秒钟后将出现登陆页面。
    2. 输入正确的用户名和密码信息后,客户端软件会显示 "Successfully connected to My Connections\<connection name>"的信息
    3. 从安装客户端软件的PC上PING对方局域网内的主机,可以PING通
    4. 遇到故障的时候,可以参考VPN客户端软件里的VPN日志以排除故障。
    此FAQ对你有帮助吗?[ | ] | 收藏 | 来源:Myprice价格网
  31. 11.静态 IP 与动态 IP 寻址有什么区别
  32. 关闭 答案:
    静态地址,是当用户第一次注册互联网服务时,永久分配给用户的地址。动态分配 IP 地址是当你连接到网络时,暂时分配的,它有一个预先设定的使用时限。
  33. 关闭 答案:

    静态地址,是当用户第一次注册互联网服务时,永久分配给用户的地址。动态分配 IP 地址是当你连接到网络时,暂时分配的,它有一个预先设定的使用时限。

    此FAQ对你有帮助吗?[ | ] | 收藏 | 来源:Myprice价格网
  34. 12.如何建立一条 VPN 隧道至另外一个节点
  35. 关闭 答案:
    为建立 VPN 隧,你需要: 在分支办公室配置一台可以建立 VPN 隧道的设备,如 FVS338 针对移动用户的客户端软件,或者可以结束 VPN 隧道的其它设备,如另一台 FVX538。也可以将一个支持 IPSec
    此FAQ对你有帮助吗?[ | ] | 查看全文 | 收藏 | 来源:Myprice价格网
  36. 关闭 答案:

    为建立 VPN 隧,你需要:

    • 在分支办公室配置一台可以建立 VPN 隧道的设备,如 FVS338
    • 针对移动用户的客户端软件,或者可以结束 VPN 隧道的其它设备,如另一台 FVX538。也可以将一个支持 IPSec 协议的路由器和客户端软件共同使用,来保证远程站点的安全连接。
    此FAQ对你有帮助吗?[ | ] | 收藏 | 来源:Myprice价格网
  37. 13.NETGEAR ProSafe VPN 防火墙功能的配置
  38. 关闭 答案:
    本实验将以FVX538为例详细描述Netgear系列防火墙的的防火墙功能设置。NETGEAR的FVX538是一款功能强大的防火墙,现在我们就它的Rules功能作详细阐述与配置方式。本文主要以2大方面来说明如何配置
    此FAQ对你有帮助吗?[ | ] | 查看全文 | 收藏 | 来源:Myprice价格网
  39. 关闭 答案:

    本实验将以FVX538为例详细描述Netgear系列防火墙的的防火墙功能设置。NETGEAR的FVX538是一款功能强大的防火墙,现在我们就它的Rules功能作详细阐述与配置方式。本文主要以2大方面来说明如何配置,一是端口的定义,二是规则的定义。
    (本文适合FVX538/FVS338/FVS124G产品的用户)

    例子:FVX538的WAN1端口IP设置为210.21.59.228,LAN IP为192.168.0.1,功能实现要求(本文以四条规则作为说明):

    对于进来的数据包:

    第一条规则:所有用户都可以通过Internet访问公有IP地址210.21.59.230的WEB服务;

    第二条规则:所有用户都可以访问WAN1:210.21.59.228的FTP端口

    第三条规则:所有用户都可以访问WAN1:210.21.59.228的pcanywhere端口服务

    对于出去的数据包:

    第四条规则:FVX538 LAN中只有FTP、WEB、pcanywhere服务可以出去,其他服务全部禁止;

    参照下图网络配置:

    端口定义

    FVX538的Rules中默认定义好了若干端口在列表中如WEB、FTP等,但是遇到需要使用一些没有定义在列表中的服务端口时候,则需要预先定义好端口参数才行,如pcanywhere软件的通讯端口,SQL SERVER的通讯端口等,过程如下:

    登陆到FVX538的管理界面,在’Service’菜单中,选择’Add customer Services’:

     

    本例子中我们定义一个服务pcanywhere,用户需要在Internet通过pcanywhere 工具管理网络中的电脑;如上图,名称(name)为自己定义的’pcanywhere’,类型(Type)定义为TCP/UDP,其始端口为5631,结束端口为5632,然后按一下‘Apply’,如下图第3条:

    OK,下一步我们说明如何定义Rules.

    Rules规则的使用

    在FVX538的管理界面中,选择Rules,如下图,

     

    在FVX538的Rules中包括如下几部分:

    • Rules生效的接口包括:LAN—WAN和DMZ-WAN,本文我们就以LAN-WAN进行例子说明。
    • Outbound Servicesoutbound为向外的意思,该项定义是LAN向WAN发出去的的数据包的规则的;默认的配置是有LAN向WAN发出的数据包都是允许的:

    -#:default

    -Enable:表示是否起用该规则,默认为yes

    -Services Name:服务端口名称,默认为any(所有)

    -Action:动作,是对LAN向WAN方向的主动发出数据包的动作,默认为’Allow Always’(一直允许)

    -LAN Users:LAN的用户(基于IP定义),默认为any,表示所有的LAN电脑都;

    -WAN Users:WAN的用户站点(基于IP定义),默认为any,表示所有的WAN站点IP;

    -Priority:该端口数据包的优先级别,默认没有定义

    -Log:数据包的日志;默认没有定义;

    • Inbound Services: Inbound为入站,向内的意思,该项定义是WAN主动发起到LAN的数据包规则的;默认的配置是WAN主动向LAN发起的数据连接请求都是拒绝的:Block always.其他参数与Outbound services中的说明一致;

    下面我们就本文的例子的功能实现要求对rules进行配置:

    第一条规则:所有用户都可以通过Internet访问公有IP地址210.21.59.230WEB服务

    在Inbound Services下选择Add,如下图:

      • Service:选择HTTP(TCP:80)+None;系统默认已经定义好WEB服务端口了,否则需要在第一章中的说明,在Services菜单中预先定义服务端口。
      • Action:选择ALLOW always
      • Send to LAN Server:来自WAN的该服务的数据包转发到那台服务器上,根据我们例子说明,应该转发到192.168.0.199上;
      • Translate to Port Number:留空即可,如果您的LAN中有多台服务器需要发布同一个服务,那么该选项则需要用上;
      • WAN Users:意思为那些Internet 用户可以访问该端口,默认为全部;
      • Public Destination IP Address(公有目标IP地址):根据我们的例子功能要求,192.168.0.199与210.21.59.230公有IP地址实现静态影射;因此,这里应该选择’Other Public IP Address’,下方填入有效的公有IP:210.21.59.230.
      • 其他为默认值就OK了,然后按’Apply’。

    如下图:

    如果有多个公有IP地址需要与LAN中的多台服务器一一对应影射,则可以通过此方法进行配置,规则设置好后在RULES菜单中看到:

    第二条规则:所有用户都可以访问WAN1:210.21.59.228的FTP端口

    在Inbound Services中选择Add,如下图:

    • Service:选择FTP(TCP:20~21+None);系统默认已经定义好FTP服务端口了,否则需要在第一章中的说明,在Services菜单中预先定义服务端口。
    • Action:选择ALLOW always
    • Send to LAN Server:来自WAN的该服务的数据包转发到那台服务器上,根据我们例子说明,应该转发到192.168.0.200上;
    • Translate to Port Number:留空即可,如果您的LAN中有多台服务器需要发布同一个服务,那么该选项则需要用上;
    • WAN Users:意思为那些Internet 用户可以访问该端口,默认为全部;
    • Public Destination IP Address(公有目标IP地址):根据我们的例子功能要求,这里应该使用WAN1公有IP地址(210.21.59.228)实现动态影射;
    • 其他为默认值就OK了,然后按’Apply’。

     

    第三条规则:所有用户都可以访问WAN1:210.21.59.228的pcanywhere端口服务

    首先pcanywhere服务需要先定义好,因为FVX538里面没有预先定义(在定义规则选择services时候可以看到是否有定义),pcanywhere的定义我们在第一章已经说明了,那么rules规则的定义如下:在Inbound Services下选择Add:

    • Service:选择pcanywhere(TCP/UDP:5631+5632)+None;系统默认没有定义好pcanywhere服务端口,需要参照在第一章中的说明,在Services菜单中预先定义服务端口。
    • Action:选择ALLOW always
    • Send to LAN Server:来自WAN的该服务的数据包转发到那台服务器上,根据我们例子说明,应该转发到192.168.0.98上;
    • Translate to Port Number:留空即可,如果您的LAN中有多台服务器需要发布同一个服务,那么该选项则需要用上;
    • WAN Users:意思为那些Internet 用户可以访问该端口,默认为全部;
    • Public Destination IP Address(公有目标IP地址):根据我们的例子功能要求,这里应该使用WAN1公有IP地址(210.21.59.228)实现动态影射;
    • 其他为默认值就OK了,然后按’Apply’。

    第四条规则:FVX538 LAN中只有FTP、WEB、pcanywhere服务可以出去,其他服务全部禁止:

    • 在Rules中的Outbound Services中先禁止所有的数据包出去:在Action下选择Block always,然后按一下Apply,此时,LAN的所有电脑的数据包都出不去了。下面定义可以出去的端口/数据类型

    • 在Outbound Services下选择Add,如下图:
    • Service:选择HTTP(TCP80)+None;系统默认没有定义好HTTP服务端口,否则在Services菜单中预先定义服务端口。
    • Action:选择ALLOW always
    • LAN Server:意思为那些LAN用户可以访问以HTTP端口访问Internet,默认为全部Any;
    • WAN User:意思为那些LAN 用户可以访问那些Internet站点,默认为全部:Any;
    • 其他为默认值就OK了,然后按’Apply’。

     

    同样配置方法,我们将FTP、pcanywhere服务开放给LAN用户,如下图:

    到此,我们预先制定的例子已经全部配置完成,rules的规则设置比较简单、灵活,如果有任何技术问题,请致电NETGEAR公司中国区技术服务服务中心020-83918601进行技术咨询;

    此FAQ对你有帮助吗?[ | ] | 收藏 | 来源:Myprice价格网
  40. 14.NETGEAR ProSafe&#8482; VPN 防火墙的安装与配置
  41. 关闭 答案:
    实验目的 本实验将以FVX538为例详细描述Netgear系列防火墙的常用配置方法,主要包括以下内容: 登陆到防火墙 配置局域网的IP地址 配置与互联网Internet的连接 对防火墙产品进行软件
    此FAQ对你有帮助吗?[ | ] | 查看全文 | 收藏 | 来源:Myprice价格网
  42. 关闭 答案:

    实验目的

    本实验将以FVX538为例详细描述Netgear系列防火墙的常用配置方法,主要包括以下内容:

    • 登陆到防火墙
    • 配置局域网的IP地址
    • 配置与互联网Internet的连接
    • 对防火墙产品进行软件升级
    • 配置远程管理

    通过以上实验操作,实验者应该具备独立安装及连接防火墙的能力,并能针

    对用户需要对防火火墙的连接作出设计,并具备一定的解决常见故障的能力。

    • 实验环境

    测试环境需要用FVX538,ADSL/宽带线路,测试用工作站,如下图:

    所需要的实验设备:

    FVX538 Netgear ProSafe VPN Firewall 200 设备一台

    PC机一台

    Adsl 宽带线路

    • 登陆到防火墙

    FVX538产品出厂时局域网端口地址为 192.168.1.1,可将你的管理配置电脑连接到FVX538的局域网端口,从FVX538获取得IP地址 192.168.1.2 /24.

    1:登录到防火墙

    • 在管理配置电脑机的IE浏览器输入192.168.1.1 (FVX538产品出厂时局域网端口地址为 192.168.1.1)
    • 出现登陆认证窗口以后,输入默认的用户名 admin 和默认的密码:password在通过用户认证后出现防火墙的管理界面,如图

    2:防火墙的管理界面

    • 配置局域网的IP地址

    FVX538产品出厂时局域网端口地址为 192.168.1.1,可根据用户的实际情况进行修改。

    3:局域网IP地址的配置

    如图1.3所示:

    • 点击Advanced里的LAN IP Setup选项。
    • 在LAN TCP/IP Setup的IP Address里面输入新的管理IP地址。
    • 在LAN TCP/IP Setup的IP Subnet Mask里面输入新的子网掩码。
    • 在Use router as DHCP server里选择是否需要启用DHCP服务。
    • 在Starting IP Address里输入DHCP分配的起始地址。
    • 在Ending IP Address里面输入DHCP分配的结束地址。
    • 点击Apply按键使配置生效。

    注意:当防火墙重新启动后,应该采用新配置的IP地址管理防火墙。

    • 与互联网Internet的连接配置

    5.1.需要用户名和口令访问互联网Internet

    在防火墙管理界面里的WAN SETUP/WAN1 ISP页面里进行设置,如图1.4。

    4:pppoe拨号配置

    • 在Does Your internet Connection Require A Login?里面回答 Yes。
    • 在Internet Service Provider Name 项中选择 Other(PPPoE)
    • Account Name/Domain Name不用填写.
    • 在Login里输入电信运营商提供的用户名。
    • 在Password里输入电信运营商提供的密码。
    • 其它的选项都使用默认的配置即可。
    • 配置完毕后,通过点击Apply按键确认配置。
    • 最后可以通过Management里面的Router Status观察网络连接状态,如图1.5。

    5:路由器网络状态信息

    5.2.不需要用户名和口令访问互联网Internet

    在防火墙管理界面里的WAN1 ISP项目里进行设置,如图6。

    6:宽带线路上网配置

    • 在Does Your Internet Connection Require A Login?里面回答 No。
    • 当电信运营商提供的是固定的IP地址的时候,应该在Inter IP Address及Domain Name Serveeer(DNS) Address里填如供应商提供的固定IP地址及DNS服务器地址。
    • 配置完毕后,通过点击Apply按键确认配置。
    • 最后可以通过Management里面的Router Status观察网络连接状态,如上图5。
    • 对防火墙产品进行软件升级

    FVX538最新的软件为 Version 1.6.49. 请在作所有配置之前先对产品进行软件升级.(最新软件版本在中文网站技术支持里面下载,如FVX538的技术支持地址为:http://www.netgear.com.cn/support/vpn_router/fvx538.htm

    • 点击“Management “ 菜单下面的“Router Upgrade”,可对FVX538进行软件升级。

    7:路由器升级

    • 在文件传输完成并且自动完全重新启动之后,请将防火墙的电源关闭,然后重新接上防火墙的电源,等设备启动后才进入设备进行以下的各项配置.

     

    • 打开FVX538的远程管理功能

    可打开FVX538的远程管理配置功能,则互联网上的用户可通过FVX538的广域网端口的公网地址对设备进行远程管理和配置。

    点”Management”菜单下面的”Remote Management”,出现如下页面。

    8:打开远程管理

    请将“Allow Remote Management” 选中,打开远程管理功能。

    然后远程用户保通过 https://x.x.x.x:8080 进行访问,其中x.x.x.x 代表此防火墙的广域网端口公网地址。可在”Management”菜单下面的”Router Status” 页面中进行查看。

    • WAN1WAN2的关系

    在WAN Setup里的Mode里面,可以设置WAN1和WAN2的关系,如图9:

    9WAN 模式选择

    • WAN1和WAN2的模式有Auto-Rollover,Load Balancing , Dedicated BroadBand,其中Auto-Rollover指自动切换WAN1和WAN2,可以将WAN1和WAN2其中1个端口定义为主端口,当主端口断了以后自动切换到另一个。Load Balancing指负载均衡,WAN1和WAN2同时使用,局域网用户数据分别从WAN1和WAN2连接到外网。Dedicated BroadBaud是WAN1和WAN2单独使用。
    此FAQ对你有帮助吗?[ | ] | 收藏 | 来源:Myprice价格网
  43. 15.什么是DMZ?
  44. 关闭 答案:
    DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的
    此FAQ对你有帮助吗?[ | ] | 查看全文 | 收藏 | 来源:Myprice价格网
  45. 关闭 答案:

    DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。

    此FAQ对你有帮助吗?[ | ] | 收藏 | 来源:Myprice价格网
  46. 16.NETGEAR VPN 防火墙产品
  47. 关闭 答案:
     MTU (最大传输单元)是网络设备传输的信息包最大值。对于NETGEAR 的设备,最佳的MTU值通常都是默认值。有时,更改MTU 值可提高设备工作性能,做起来很简单,但事实上,这样做往往会导致出现
    此FAQ对你有帮助吗?[ | ] | 查看全文 | 收藏 | 来源:Myprice价格网
  48. 关闭 答案:
     MTU (最大传输单元)是网络设备传输的信息包最大值。对于NETGEAR 的设备,最佳的MTU值通常都是默认值。有时,更改MTU 值可提高设备工作性能,做起来很简单,但事实上,这样做往往会导致出现其他问题。最好保持 MTU 不变,除非有以下情况出现:
    • 当连接不到ISP或者不能使用其他的因特网服务时,且他们的技术支持人员建议更改 MTU值
    • 当您使用 VPN, 遇到性能问题时可以考虑更改MTU
    • 为了提高网络的某些性能,使用了可优化MTU 值的应用程序,而这引起了连通性和其他性能方面的问题

           一个信息包被发送到MTU值较小的设备时,将被分解为若干小块。理论上, 在所有电脑、交换机、路由器及您能访问到的因特网的所有设备上的MTU值应该设置为同一大小。但是您不能控制因特网上的 MTU 值, 而事实上在一个局域网中的最佳 MTU 值取决于硬件、软件、无线接口等等。

    • 在一种情形下修改 MTU 的大小可使设备很好地工作, 但在其他方面却可能引起性能和连接性问题
    • 当具有不同MTU值的设备相互通信时,信息包将会被分成多个以便能传给具有最小的MTU值的设备
    • Windows XP 自动设置 MTU , 换句话说, 它使MTU对于各种应用综合性能最优化。微软的文章解释了使用Windows XP 的宽带用户不能连接到ISP的原因
    • 一旦网络设备分解了一个信息包,此信息包在到达目的地前一直保持分解的状态

    各种应用下的最佳MTU值

           设置 MTU 大小是一个反复试验的过程: 由最大值 1500开始下降,直至问题解决。使用下列值之一或许能解决一些由MTU值引起的问题:

    • 1500. 以太网信息包最大值,也是默认值。是没有PPPoE和VPN 的网络连接的典型设置。是 NETGEAR 路由器、网络适配器和交换机的默认设置
    • 1492. PPPoE 的最佳值
    • 1472. 使用 ping的最大值 (大于此值的信息包会先被分解)
    • 1468. DHCP 的最佳值
    • 1430. VPN 和 PPTP 的最佳值
    • 576. 拨号连接到 ISP的标准
    此FAQ对你有帮助吗?[ | ] | 收藏 | 来源:Myprice价格网
  49. 17.NETGEAR VPN 防火墙产品 使用 ngDDNS(花生壳)动态域名绑定服务的建议
  50. 关闭 答案:
    动态域名服务的概况    全球成长型商用网络专家与无线网络的先锋美国网件公司(NETGEAR)所发布的所有VPN 防火墙系列产品(包括FVS318, FVS338,FVS328,FVL328,FVS338,F
    此FAQ对你有帮助吗?[ | ] | 查看全文 | 收藏 | 来源:Myprice价格网
  51. 关闭 答案:
    动态域名服务的概况

        全球成长型商用网络专家与无线网络的先锋美国网件公司(NETGEAR)所发布的所有VPN 防火墙系列产品(包括FVS318, FVS338,FVS328,FVL328,FVS338,FVX538,FVM318,FWAG114P)都支持动态域名解释服务,以方便用户在使用动态的IP地址接入互联网时可以方便建立属于自己的虚拟专用网络(VPN)。现在以FVL328为例子,作一个简单的介绍,在FVL328的配置页面里面(F/W2.003),点击左边工具菜单里的DynamicDns选项,如下图:

    图一:Netgear防火墙动态域名设置

    我们提供动态域名服务的供应商有三家,具体的情况如下表:

    供应商

    官方网站

    所在地区

    绑定域名

    收费方式

    Dynamic Network Services, Inc.

    www.dyndns.org 美国新罕布什尔 Name.dyndns.org

    免费
    Tzolkin Corporation Netgear.tzo.com 美国麻省 Name.tzo.com xxx.name.com $24.95/年
    $59.95/年
    网域科技(ngDDns/OrayDns www..oray.net

    中国广州 Name.ng.iego.net 免费

    二.设置详解

        可见,在第一节中,从三个提供动态域名服务的供应商的地理位置来说,在国内使用的防火墙设备最好采用网域科技提供的动态域名服务.以下就网域科技提供的动态域名服务给出详细的配置方法供用户参考:

    • 在工具栏里点选Dynamic Dns,进行动态域名的配置,如图:

      图二:FVS318 Dunamic Dns 设置

      2.点选Oray.net,这时系统会提示你输入争取的DNS 域名和用户名密码等登陆信息。

      图三:FVS318 Dunamic Dns 设置

      • 点击Oray.net右边的连接,将引导用户进入网域动态域名的注册系统,在这里你可以申请一个免费的,唯一的动态域名,如图:

      图四:FVS318 Dunamic Dns 设置

      • 点击注册开始申请

      图五:FVS318 Dunamic Dns 设置

      • 回到FVS318的配置页面,在DDNS选项里,先选中适当的服务提供商,在中国大陆我们应该选择Oray.net(网域科技),然后在相应的信息栏目里填入相应的注册信息即可。如下图:在我们的例子里,我们为站点A申请了,名为Netgear-a.ng.iego.net的动态域名。

      图六:FVS318 Dunamic Dns 设置

      三.当内置的动态域名失效时的应变办法

      声明:美国网件公司并不保障在其防火墙提供的动态域名服务质量,动态域名的服务质量应该以提供该动态域名服务的供应商的服务承诺为参照。

          从以上声明我们可以了解到,当我们在Netgear的防火墙/宽带路由器/VPN设备时使用网域科技提供的免费动态域名服务的时候,我们应该以网域科技公布的动态域名服务质量作为参考,针对最近很多用户反应使用网域的动态域名服务时常常出现反应缓慢,甚至根本不能正常解释的问题,我们总结出以下四种故障情况。并针对以下的情况,我们在下文将详细给用户介绍故障的诊断办法及如何解决问题。

      1.当地DNS服务器的问题导致用户无办法连接到动态域名服务器

      2.动态域名服务器出现故障或者内部维护的时候,动态域名服务器无方法提供服务。

      3.动态域名服务器繁忙,正在排队处理登陆请求

      4.ISP屏蔽了某些曾经非法使用过动态域名服务的IP地址段,导致部分用户根本无法使用。

      • 问题一:如何判断我的接入点的DNS配置能否能正确解释动态域名服务器供应商的服务主机?

      此类问题,我们建议大家在Window 98/2000/xp命令行模式下,输入以下命令:

      Ping ngddns.oray.net,如下图:

      图七:DNS服务器的判断

          如图中显示,当地的DNS配置能够正确解释出动态域名服务器的IP地址,则表示当前的DNS配置没有问题,如果出现解释不该域名对应的IP地址,则用户必须修改当前的DNS配置,以下给出两个经过测试的DNS供用户参考:

      1.61.144.56.101

      2.202.96.128.68

      • 问题二:如何判断我的接入点是否能正常连接到动态域名服务器?

      此类问题,我们建议大家在Window 98/2000/xp命令行模式下,输入以下命令:

      Telnet ngddns.oray.net 6000 ,如下图:

      图八:能否连接到DDNS服务器的判断

          如上图显示的是动态域名服务器的响应信息,如果用户使用该诊断命令无法得到服务器如上图的正确响应,则用户有可能不能连接到服务器或者服务器正处于维护或者繁忙的状态,遇到该类问题,用户可以直接致电网域科技或者美国网件客户服务中心查询。

      • 问题三:如果保障动态域名服务的正常使用?

          当用户经过修改DNS的设置和联系服务供应商仍然不能解决动态域名的解释问题的时候,我们郑重建议用户使用其它动态域名服务供应商提供的服务作双系统备份。在此我们推荐三家比较稳定的动态域名服务供应商:

      供应商

      官方网站

      所在地区

      绑定域名

      收费方式

      88IP.

      www.88ip.com

      中国广东深圳

      Name.88ip.cn

      600元/年

      希网网络

      www.3322.org

      中国江苏常州

      Name.3322.net

      免费

      网域科技(花生壳系列)

      www.oray.net

      中国广东广州

      Name.vicp.net

      免费

      我们只要到其中一个网站注册其合法的用户口令(使用收费的比免费的稳定),并下载该供商动态域名服务客户端软件安装到公司内部网络里的一台可以访问互联网的电脑上面即可以使用,同时我们在选择软件安装的电脑的时候应该选择那些性能稳定和需要长时间开启的电脑主机以保证服务的正常使用。如下图:

      图九:第三方动态域名服务的应用

      此FAQ对你有帮助吗?[ | ] | 收藏 | 来源:Myprice价格网
    • 18.使用一端固定 IP 地址构建点对点 VPN
    • 关闭 答案:
      如下图,中心机 NETGEAR FVL328 Gateway A 的一端连接到局域网,内部 IP 为 192.168.0.1/24.。其广域网接口连接到互联网,并由ISP提供的固定 IP 地址及网关和子网掩码。分支机构 NETGEAR FVS318
      此FAQ对你有帮助吗?[ | ] | 查看全文 | 收藏 | 来源:Myprice价格网
    • 关闭 答案:

      如下图,中心机 NETGEAR FVL328 Gateway A 的一端连接到局域网,内部 IP 192.168.0.1/24.。其广域网接口连接到互联网,并由ISP提供的固定 IP 地址及网关和子网掩码。分支机构 NETGEAR FVS318 Gateway B 的一端连接到局域网,内部 IP 172.10.10.1/24 ,其广域网接口连接到互联网,从 ISP 处动态获得IP地址。在该例子中,我们可以无需理会分支机构的 IP 地址而通过中心机构固定 IP 的地址,建立分支机构 B 到中心机构A VPN 连接,特点:该配置办法的优点是无需理会分支机构的 IP 地址,从而提高了 VPN 的连接的稳定性, VPN 的建立不依赖于 DDNS 的解释成功与否;缺点是:只能从分支点B主动向中心点A发起连接请求,而中心点A则不能够主动向分支点B发出连接请求。

      图例一:一端使用固定IP地址的VPN配置

      二.配置环境:

      以下以中心点使用FVL328,分支点使用FVS318(如上图)为例子详细描述中心点和分支点的配置办法。

      VPN 建立的模式

      LAN-TO-LAN (FVS318àFVS328的Aggressive模式

      VPN 的类型

      LAN-t o-LAN 或是 Gateway-to-Gateway

      VPN 的安全配置

      利用IKE进行密钥交换并采用共享密钥方式(不是CA认证方式)建立IPSEC通道)

      产品型号和版本号

      网关AFVL328

      FVL328 用的版本号须使用 version 2.003

      网关BFVS318

      FVS318 用的版本号是version 2.4

      IP 地址的方式

      网关AFVL328

      ISP提供的固定IP地址及网关和子网掩码。
      WAN IP:61.144.62.250
      LAN IP:192.168.0.1,Netmask :255.255.255.0

      网关BFVS318

      ISP提供的动态IP地址及网关和子网掩码(无需申请动态域名)。
      WAN IP:动态获得
      LAN IP:172.10.10.1, Netmask :255.255.255.0

      三.配置详解:

      2.1 固定地址的中心机构A配置:

      首先登录到 FVL328 的管理界面:

      • IE地址栏上输入,FVL328的出厂值默认的IP地址:http://192.168.0.1。然后系统要要求你输入登陆的用户名和密码。用默认的用户名:admin 和默认的密码:password. 登陆到FVS318。我们假定已设定好LAN接口、广域网接口的IP地址和子网掩码以及网关、DNS服务器的IP地址。如下图:

      图例二:NETGEAR FVL328 v2.003basic 设置

      2. 首先是配置VPNIKE Policies策略了,链接到 VPN 工具栏, 打开里面的的IKE Policies 菜单. 点击 Add。我们会见到新 IKE Policy配置介面如下:

      图例三:NETGEAR FVL328 v2.003IKE Policy 设置

      • Policy Name 字段中输入策略的属性名字. 这个名称不一定要与对端的VPN产品取名一样它的用途主要上用来帮助管理IKE策略的。在这个例子中我们使用”to318”来作为策略名称。在 Policy Name对话框中输入”to318
      • 从这 Direction/Type 下拉对话框中,选取Both Directions或者Responder
      • Exchange Mode 模式的下拉菜单中,选择Aggressive Mode
      • Local Identity Type下拉对话话框中,选择 Fully Qualified Domain Name (在Local Identity Data 对话框输入与FVS318对应的local作为一个标识符。)
      • Remote Identity Type 下拉对话框中, 选择Fully Qualified Domain Name (在Remote Identity Data 对话框中输入与fvs318对应的remote作为一个标识符。)
      • 从加密的算法 Encryption Algorithm 下拉框中, 选择3DES
      • 从认证算法的 Authentication Algorithm 下拉对话框中, 选择SHA-1。再把认证方法 Authentication Method 按钮选上, 点击 Pre-shared Key
      • Pre-Shared Key field 对话框中, 输入共享密钥,如”Netgear2004”. 你必须确保两端网关设备有加密KEY是一至的(包括字母的大小写)。再从 Diffie-Hellman (DH) Group 下拉对话框中, 选择 Group 1(768 Bit)
      • SA Life Time field对话框中, 输入180。
      • 点击 Apply 按钮. 这就返回到IKE Policies 的主菜单上。

      图例四:NETGEAR FVL328 v2.003IKE Policy 设置

      3.在左边的 Settings 图示管理界面中,打开VPN分类栏中链接就可点击VPN Policies,我们来设置 VPN Policies 主界面的配置。点击 Add Auto Policy 的按钮..然后我们就可看到新的配置界面VPN–Auto Policy.

      图例五:NETGEAR FVL328 v2.003VPN Policy设置

      • 输入一个统一的策略名。这个名称不一定要与远端的VPN设备取的名称相同。在这个例子中我们使用”to318”来作为策略名。在Policy Name字段对话框中输入“to318”。
      • 再从 IKE policy下拉对话框中, 选取我们先定义好的IKE Policy– 这里是”Remote-328”作为IKE Policy.
      • 图上没有标明的地方:当对端的FVS318使用动态ADSL上网时候,IKE Keep Alive需要选择上,填入对方 FVS318 LAN IP 地址:172.10.10.1
      • 再从 Remote VPN Endpoint Address Type 下拉对话框中,选取”IP Address”。
      • Remote VPN Endpoint Address Date中输入0.0.0.0作为远端 Gateway BIP Address
      • 默认在SA Life Time (Seconds) 对话框中输入86400。
      • 默认在SA Life Time (Kbytes) 对话框中为输入0。
      • IPSec PFS 对话复选框不必选上。.
      • 再从Traffic Selector Local IP 下拉框中选取 Subnet address作为配置。.
        输入本地LAN IP地址作为网关B的I范围在 Start IP Address 填上。(本例子中是:192.168.0.0),输入网关B的子网掩码(在本例中是:255.255.255.0) 在 Subnet Mask对话框中。
      • 再从Traffic Selector Remote IP下拉对话框中选取Subnet address作为配置。
        输入本地LAN IP地址作为网关B的I范围在 Start IP Address 填上。(本例子中是:172.10.10.0),输入网关B的子网掩码(在本例中是:255.255.255.0) 在 Subnet Mask对话框中。

      图例六:NETGEAR FVL328 v2.003VPN Policy设置

      • 再从 AH Configuration Authentication Algorithm 下拉框中, 选上 MD5.,在方框中不能选上。
      • 必须选上Enable EncryptionESP Configuration Enable Encryption 的对话框。.
      • 再从 ESP Configuration Encryption Algorithm 下拉对话框中选取3DES.
      • 必须选上Enable Authentication 在 ESP Configuration Enable Authentication 的对话框中。
      • 再从 ESP Configuration Authentication Algorithm 下拉对话框中选取SHA-1。.
      • 可选上NETBIOS Enable的功能在NETBIOS Enable 复选框上。
      • 点击Apply按钮。你会返回到 VPN Policies 主菜单的功能页面上。

      图例七:NETGEAR FVL328 v2.003VPN Policy设置

      2.2 动态地址的分支点B配置:

      首先登录到FVS318的管理界面:

      1.在IE地址栏上输入FVS318的出厂值默认的IP地址:http://172.10.10.1。然后系统要要求你输入登陆的用户名和密码。用默认的用户名:admin和默认的密码:password。登陆到FVS318。我们假定已设定好LAN接口、广域网接口的IP地址和子网掩码以及网关、DNS服务器的IP地址。如下图:

      图例八: NETGEAR FVS318 v2.4 Basic设置

      2. 在工具栏左边点击 VPN Settings. 点击第一个VPN连接。 (总共可以输入八个有效的VPN连接)。按Edit(编辑)按钮一下。这下面就是 VPN Settings – Aggressive Mode 的设置。

      图例九: NETGEAR FVS318 v2.4 VPN设置

      • Connection Name框中,输入一个VPN通道名称。例如:我们设为:“to328”.
      • NETGEAR FVS318 Gateway B Local IPSec Identifier中输入本地身份认证标识。这个标识必须和对端FVL328 IKE Policy中的Remote IPSec Identifier相对应。在这个例子中对端FVL328 IKE Policy中的Remote IPSec Identifier为remote,因此,FVS318 Local IPSec Identifier应该写上remote.
      • Remote IPSec Identifier 中输入远端身份认证表示,该标识必须和对端FVL328 IKE Policy中的Local IPSec Identifier的表示相一致。在这个例子中我们输入local作为the remote identifier
      • Tunnel can be accessed from 下拉菜单中选择 a subnet from local addres。.
      • Local LAN start IP Address输入本地LAN所在网段 (例如:172.10.10.1或者1972.10.10.0)。.
      • Local LAN IP Subnetmask 的对话框中输入子网掩码 (例如:255.255.255.0 ) 。.
      • Tunnel can access的下拉菜单中选择 a subnet from local address
      • Remote LAN Start IP Address的对话框中输入对端(GatewayA)的内网的所在地址段 (例如:192.168.0.0) 。
      • Remote LAN IP Subnetmask 的对话框中输入局域网的子网掩码(例如:255.255.255.0) 在。
      • Remote WAN IP or FQDN 的对话框中输入对端FVS318 Gateway A的广域网接口的IP地址(例如:61.144.62.250)。
      • Secure Association 下拉框中, 选择Aggressive Mode
      • Perfect Forward Secrecy, 选择Disable按扭。.
      • 再从Encryption Protocol 下拉对话框, 选择3DES加密方式。.
      • PreShared Key 对话框中 ,输入统一的子符串共享密钥。在这个例子中我们输入”netgear2004”. 你必须在对端的设备上输入同样的共享密码。.
      • Key Life 对话框, 输入28800 seconds.(出厂默认值)
      • IKE Life 对话框中, 输入86400 seconds(出厂默认值)。.
      • 如果你希望 NetBIOS数据流量从 VPN通道中运行,在前方方框中选择 NETBIOS Enable , 例如允许在Microsoft操作系统中的网络邻居看到对方的计算机就必须选上。
      • 点击Apply 按钮这些所有配置都会存储到设备中. 然后就会返回到 VPN Settings 屏幕上。

      图例十: NETGEAR FVS318 v2.4 VPN设置

      3. 回到VPN Settings的界面,注意必须在您新建立的连接中选择Enable选项。

      四.测试

      Gateway A Gateway B两端的VPN创建好之后,在分支点GatewayB的局域网内任一台电脑上PING中心端GatewayA的局域网主机地址。例如:ping 192.168.0.1 –t.在半分钟左右会通,证明美国网件(NETGEAR)ss="style103">VPN通道已建立连接。在VPN通道建立以后,中心GatewayA上的主机方可以和分支美国网件(NETGEAR)le103">GatewayB上的主机通讯。

      此FAQ对你有帮助吗?[ | ] | 收藏 | 来源:Myprice价格网
    • 19.Hub-and-Spoke 的概念与配置过程
    • 关闭 答案:
      Hub-and-Spoke:通俗表达来说:各分支机构利用VPN设备与总部VPN设备建立VPN通道后,除了可以和总部进行通讯,还可以利用总部VPN设备互相进行数据交换,而各VPN分支机构不需要进行VPN的隧道连
      此FAQ对你有帮助吗?[ | ] | 查看全文 | 收藏 | 来源:Myprice价格网
    • 关闭 答案:
      • Hub-and-Spoke:通俗表达来说:各分支机构利用VPN设备与总部VPN设备建立VPN通道后,除了可以和总部进行通讯,还可以利用总部VPN设备互相进行数据交换,而各VPN分支机构不需要进行VPN的隧道连接。而在IP地址的规划方面,在总部我们可以申请相对稳定的固定公网IP地址及或者动态公网IP地址捆绑动态域名,而在分部则可以使用动态公网IP地址捆绑动态域名或者是使用不需要动态域名关联的单向接入方式,需要注意的是,在内网的IP地址规划方面,我们必须保证中心和分支机的内部网络都属于同一个A类/B类/C类网络的不同的子网,Hub-and-Spoke的详细的配置将在下文作详细介绍
      • 目前NETGEAR支持Hub-and-Spoke的中心端VPN设备包括:

        FVX538/FVS338/FVS124G/FVS318v3

      • 配置案例:本例子中,中心端VPN设备使用FVX538和固定的公网地址接入方式,2个分支机构分别使用FVS338和FVS318,采用动态IP地址的接入方式,无需申请动态域名,另外还有一个动态客户端的接如,方案建成后,中心,分支,客户端之间的主机都可以通过其IP地址互相访问。

      以下是硬件相关信息:

      Nodes

      Model

      Firmware

      WAN IP

      LAN IP

      LAN Netmask

      中心l(Hub)

      FVX538

      V1.6.44

      210.21.59.228

      192.168.1.1

      255.255.255.0

      分支1(Spoke)

      FVS338

      V1.6.37

      动态获取

      192.168.2.1

      255.255.255.0

      分支 2(Spoke)

      FVS318

      V2.4

      动态获取

      192.168.3.1

      255.255.255.0

      客户端(Spoke)

      ProsafeVPNClient

      V10.3.5

      动态获取

      无需设置

      无需设置

      注意:各分支机构的LAN与中心的LAN子网前16位应该一致;

      基本网络结构图如下:

      一:Branch1 FVS338配置过程

      1:首先进入FVS338的WEB管理页面,在`WAN Setup` / `Broadband ISP`下配置广域口。

       

      2:进入`VPN` / `IKE Policies` 下,点`Add` 按钮新建一条策略,配置如图。


      3:进入`VPN` / `VPN Policies` 下,点`Add Auto Policy` 按钮新建一条策略,配置如图。

      二:Branch 2 FVS318配置过程

      1:首先进入FVS318的WEB管理页面,在`Setup` / `Basic Settings`下配置广域口。

      2:进入`Setup` / `VPN Settings`,选中其中一条策略,按`Edit`按钮来创建策略,配置如下图所示。

      三:客户端Prosafe VPN Client的配置

      • 打开客户端的策略配置界面,建立一个名字为ToCenter的客户端策略。

      • 配置Sercurity Policy


      • 配置ToCenter

      • 配置My Identity


      • 配置Presharekey

      • 配置Authentication-Proposal 1

      • 配置Key Exchange-Proposal 1

      8. 查看客户端分配到的IP地址

      在本方案中,客户端采用用FVX538自动取得IP地址的方法获得IP地址,我们可以通过在操作的系统的命令行模式下使用IPCONFIG命令查看PC的当前IP地址,该地址便是中心或分支机构访问客户端的主机所使用的IP 地址。

      四:Central FVX538配置过程

      1:首先进入路由器的WEB管理页面,在`WAN Setup` / `WAN 1 ISP` 下配置其广域口,如图:

      2:在WEB管理页面中选择`VPN` / `IKE Policies` 点`Add` 添加一条连接Branch 1 FVS338的IKE Policies,配置如图:

      3:进入`VPN` / `VPN Policies` 下,点`Add Auto Policy` 按钮创建连接Brance 1 FVS338的一条策略,配置如图。

      此FAQ对你有帮助吗?[ | ] | 收藏 | 来源:Myprice价格网
    • 20.VPN 客户端故障排除
    • 关闭 答案:
      安装问题 您的电脑上只能安装一个 IPSec 的客户端。 若您之前安装过其他的客户端软件,如 SafeNet、Checkpoint、Cisco等等,必须在安装 NETGEAR 的 VPN 客户端之前将其卸载并重启电脑。
      此FAQ对你有帮助吗?[ | ] | 查看全文 | 收藏 | 来源:Myprice价格网
    • 关闭 答案:
      • 安装问题
        • 您的电脑上只能安装一个 IPSec 的客户端。
        • 若您之前安装过其他的客户端软件,如 SafeNet、Checkpoint、Cisco等等,必须在安装 NETGEAR 的 VPN 客户端之前将其卸载并重启电脑。
      • 功能问题
        • NETGEAR VPN 客户端中缺省的 SA Lifetime 是未定义的,若发现您的VPN隧道建立后会频繁的中断可为此参数设定一个数值(须参考客户端连接的VPN网关的SA参数值来设置)。
        • 谨用Virtual Adapter,除非您确定您需要使用它。
        • 若您的电脑启用了软件防火墙,如 Norton Firewall、ZoneAlarm 等,那么 VPN 客户端可能无法发起VPN连接,可将软件防火墙关掉后重试。
        • 若与VPN网关设备成功建立VPN后,无法通过其局域网电脑的IP地址访问到共享资源,请确认被访问的电脑关掉了所有的软件防火墙,如Norton、ZoneAlarm、瑞星、Windows 连接防火墙等。
      此FAQ对你有帮助吗?[ | ] | 收藏 | 来源:Myprice价格网
    20行 当前 1/1 首页 1 尾页

    查看NETGEAR/美国网件防火墙产品的在线问题NETGEAR FR328S产品的在线问题

    主题 作者 浏览数 最后回复时间
    暂时没有人寻求NETGEAR FR328S的技术支持
    0行 当前 1/0 首页 尾页

    我要提问:(发布NETGEAR FR328S防火墙的问题)

    用户名:
    * 为方便您及时获得最新答案,请先注册为MyPrice网友再发布您的问题。
       如果您已经注册,请直接在上面填写用户名和密码
    * 您的问题:
    * 问题补充:
    * 验 证 码:
    如有回复自动转发给我(登录用户此项有效)
    将问题发送给厂家

    NETGEAR FR328S 驱动下载

    NETGEAR FR328S暂时未有驱动提供

    NETGEAR FR328S 说明书下载

    NETGEAR FR328S暂时未有说明书提供

    上传说明书,获得Myprice积分奖励!

    厂商信息

    • 厂家名称:美国网件公司北京代表处
    • 联系电话:010-65866060
    • 服务热线:
    • 技术支持:免费技术热线:800-830-3815
    • 网页地址:CN.北京.北京市.朝阳区光华路丙12号数码01大厦2007室
    • 传真:010-65866161
    • Email:给美国网件公司北京代表处发送Email
    • 邮政编码:100020
    • 详细地址:CN.北京.北京市.朝阳区光华路丙12号数码01大厦2007室
    美国网件公司北京代表处

    价格检索防火墙

    品牌检索防火墙

    防火墙月关注排行