设为首页   锐捷官网
用其他帐号登录:
查看: 1477|回复: 0

[安全] VPN >> 日常维护 >> 常见咨询

[复制链接]

761

主题

733

帖子

3830

积分

版主

Rank: 7Rank: 7Rank: 7

积分
3830
发表于 2015-5-8 17:52:13 | 显示全部楼层 |阅读模式
1、默认出厂IP及管理主机IP:

设备出厂默认IP地址在eth1口上,为192.168.1.1/24,管理主机IP无限制,路由可达即可。


2、设备的管理方式:

设备可以通过如下几种方式进行管理:

1) 通过管理中心软件进行GUI界面配置及查看,目前 * 的管理中心软件为2.42.28。一个管理中心软件上可以同时管理多台设备,可按需要建立不同的组加以区分,同一个组可以新建多个网关设备进行管理。

2) 通过telnet或者串口登陆进行命令行管理,telnet或者console登陆一般仅做IP地址修改、HA配置等简单操作,大部分配置需要用管理中心在GUI界面完成。

telnet管理需要先在本地用管理中心用admview账号登陆后,才能用同一个IP telnet上。(V160S可以直接telnet)

console登陆使用的串口波特率为9600(V160S为例外,使用115200)

3)V50,V160S的默认管理IP在WAN(eth1)接口,192.168.1.1为默认管理IP;底层升级使用LAN(eth0)接口;


3、VPN设备包含的用户名及初始密码:

管理中心管理员账号:adm                        初始密码为:adm

管理中心审计员账号:admview                 初始密码为:admview

命令行管理员账号:sadm                          初始密码为sadm

注意:密码分大小写。


4、如何查看设备完整配置:

系统配置文件在命令行下查看或者GUI界面导出时,均为加密文件,无法直接查看,需要通过管理中心软件进行相关模块配置查看。


5、关于VPN设备面板上HA接口的说明

RG-WALL V1600E\1600E-V\1600E-VX这几种型号的设备在升级到2.50.84.9版本或更高版本之后,操作界面上的接口顺序会有相应的变动。
2.png
如图所示,原来的HA接口在软件中已被屏蔽并且以后无法使用,因此接口的顺序有所改变:MGT口对应eth0,电口/光口从左到右依次为eth1-eth8。


6、VPN管理软件能否安装在64位系统上

VPN管理中心2.42.28版本可以按照在64位系统上,但能否管理设备,主要看VPN设备的软件版本:

VPN软件版本2.60.X版本以上才支持64位系统管理,低于2.60.x版本的VPN设备无法管理,管理中心会报错。


7、通过VPN管理中心管理设备需要使用哪些端口

udp49及tcp666


8、VPN设备常用的端口列表
1.png
9、VPN产品版本是否通用

V200/V1000与V160/1600系列的版本为通用版本,V50、V160S各自使用不同的软件版本


10、VPN不同型号不同版本的配置是否可以互相导入

除了V50和V160S不可以,其他产品的配置都可以互导。

但是VPN不同型号时,如果配置与要导入的设备接口命名等不一致,会导致配置中存在,但是VPN上不存在的接口及相关的路由、VPN等配置均无法导入。


11、VPN系列产品是否支持PPTP功能

不支持。


12、GUI登陆的adm密码被禁用或者密码遗忘要如何处理

adm的账号的密码丢失,或连续多次输入错误密码而被禁用,需要通过console线或telnet登陆设备进行解锁,具体操作步骤也可以参考《RG-WALL V系列安全网关产品典型配置案例集(V1.0)》。


13、遗忘CONSOLE  * 管理员sadm口令

通过GUI 界面登陆,通过系统工具=》恢复配置的操作,恢复到出厂设置即可。
0.png
如果GUI界面的adm和console 的sadm口令都遗忘,需要返厂进行处理。


14、系统配置备份与恢复

1)配置备份

点击【配置管理】窗口中的【备份配置】按钮,系统当前的所有配置将备份成一个备份文件,文件名由系统自动根据当前时间产生。备份文件保存在设备上。
00.png
2)配置还原

选择配置文件并点击恢复配置
000.png
15、VPN的license和设备证书是否包含在导出的配置文件中

设备证书包含在配置文件中,license不包含。


16、VPN的adm和sadm账号是否可以同时登陆

可以,2.50.64.3版本以后支持。


17.VPN设备各种路由优先级

IPSEC >策略路由>接口直连路由>L2TP和静态路由>动态路由>默认路由


18、VPN license授权如何申请

需要提供设备的特征码和型号、及需要的用户数,向TAC工程师申请。TAC工程师只提供测试用的license,如要正式的license,请走商务流程。

设备特征码只能用管理端登陆设备,在系统工具——license管理页面中找到。
0000.png
申请的license会有“系统授权用户总数”,但必须分配给下面的“IPSec用户”和“SSLVPN用户”一个数值才能生效,点击“设置”,重启设备后生效。


19、VPN License 数量和隧道数量如何计算和使用

VPN License 是对移动客户端使用的许可授权。

该license针对SRA客户端或者SSL VPN客户端使用。VPN网关之间对接VPN不占用license 资源,但要占用隧道数量。

由于V1000免费送10个授权,因此对于100个移动用户(SRA客户端或者SSL VPN客户端)的需求,只要购买90个RG-SRA-License即可。

V1000隧道数量为3000个,V200隧道资源1000,V50隧道资源为50个。任何SRA客户端和作为VPN节点与VPN网关建立VPN,都要占用一个隧道资源。同时一个保护子网占用一个隧道。

比如一个客户端节点(SRA或者VPN网关)与VPN中心网关对接,保护子网为3个,那么一个客户占用隧道资源为3。由于不同客户IP地址不一样,即使保护子网都一样,那么隧道数量也要另外计算。


20、VPN设备常用命令

1)查看版本 

RG-WALL# show version

Model: RG-WALL-V1600S

Version: v2.60.11.3

2)恢复出厂设置

RG-WALL# clear conf

Warning: The command will restore all system configuration to default

         and then REBOOT the system!!!

Are you sure to CLEAR all the system configuration and REBOOT system?(Y/N):Y

3)接口IP状态查看

[sadm@RG-WALL(Network)]# show interface

Interface to show (eth4, eth3, eth2, eth1, eth0, Enter means show all):


Interface   Mode     IPAddr          NetMask         GateWay         MTU  Status

eth4        UnCfg    0.0.0.0         0.0.0.0         0.0.0.0         1500 Up

eth3        UnCfg    0.0.0.0         0.0.0.0         0.0.0.0         1500 Up

eth2        Manual   172.31.0.1      255.255.255.0   0.0.0.0         1500 Up

eth1        UnCfg    0.0.0.0         0.0.0.0         0.0.0.0         1500 Up

eth0        Manual   172.18.10.98    255.255.255.0   172.18.10.1     1500 Up

4)重启VPN设备

RG-WALL# reboot

5).命令行配置IP地址

RG-WALL# network

[sadm@RG-WALL(Network)]# interface set

Interface to set (eth4, eth3, eth2, eth1, eth0, Enter means cancel):

eth1

Bring up onboot? (0: No, 1: Yes, Enter means Yes)

1

Work mode (0: UnCfg, 1: Manual, 2: DHCP, 3: PPPoE, 4: InBridge, Enter means Manual):

1

IP Address (xxx.xxx.xxx.xxx):

10.10.10.10

Netmask (xxx.xxx.xxx.xxx, Enter means 255.0.0.0):

255.255.255.0

GateWay (xxx.xxx.xxx.xxx, Enter means no default gateway in this network):


MAC Address (xx:xx:xx:xx:xx:xx, Enter means use MAC Address of device):


MTU (68-1500, Enter means use MTU of device):


6)命令行保存配置

RG-WALL# save


21、wall 1600-VE 和 wall1600S-V 配置是否可以互导

wall 1600-VE 为新硬件平台,版本与老平台不兼容,不可以互导


22、RG-WALL 1600-VC升级方法

可以直接在管理中心图型界面升级:

先升级软件包RG-WALL_7.62.21.26412.mips.pkt    升级后重启

再升级固件包RG-WALL_7.62.21.26412.mips.sys.pkt   再次重启


23、如何在VPN网关上传ssl、ipsec客户端软件包,供用户自助的下载

1)、上传客户端安装包名称分类

IPSEC客户端:ipsecclient_windows_x86

安卓客户端:sslclient_androidphone_arm

IPhone客户端:sslclient_iphone_arm(IPhone的名称需要手动修改添加,系统默认没有此名字)

2)、上传客户端安装包版本号规范
00000.png
3)、在系统工具---上传客户端安装包,上传;

4)、下载方法:http://192.168.1.10     192.168.1.10为VPN网关设备地址;     



回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则