山石设备配置作为交换机使用

Hillstone山石网科下一代防火墙基础配置手册V5.5版本Hillstone Networks Inc.服务热线：400 828 6655内容提交人审核人更新内容日期陈天骄陈天骄初次编写2016/1/14目录1 设备管理 (3)1.1 终端console登录 (3)1.2 网页WebUI登录 (3)1.3 恢复出厂设置 (5)1.3.1 CLI命令行操作 (5)1.3.2 WebUI图形化界面操作 (5)1.3.3 硬件CLR操作 (6)1.4 设备系统（StoneOS）升级 (6)1.4.1 通过sysloader升级 (6)1.4.2 通过CLI升级 (9)1.4.3 通过WebUI升级 (9)1.5 许可证安装 (10)1.5.1 CLI命令行安装 (10)1.5.2 WebUI安装 (11)2 基础上网配置 (11)2.1 接口配置 (11)2.2 路由配置 (13)2.3 策略配置 (14)2.4 源地址转换配置（SNAT） (15)3 常用功能配置 (16)3.1 PPPoE拨号配置 (16)3.2 动态地址分配（DHCP）配置 (17)3.3 IP-MAC地址绑定配置 (20)3.4 端到端IPSec VPN配置 (21)3.4.1 配置第一阶段P1提议 (22)3.4.2 配置ISAKMP网关 (23)3.4.3 配置第二阶段P2提议 (24)3.4.4 配置隧道 (25)3.4.5 配置隧道接口 (26)3.4.6 配置隧道路由和策略 (28)3.4.7 查看VPN状态 (29)3.5 远程接入SCVPN配置 (30)3.6 目的地址转换DNAT配置 (38)3.6.1 IP映射 (39)3.6.2 端口映射 (41)1设备管理安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。

CLI同时支持Console、Telnet、SSH等主流通信管理协议。

Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS（TFTP） (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (10)基础上网配置介绍 (10)接口配置 (10)路由配置 (11)策略配置 (13)源NAT配置 (14)第3章常用功能配置 (16)常用配置介绍 (16)PPPoE配置 (16)DHCP配置 (18)IP-MAC绑定配置 (20)端到端IPsec VPN配置 (22)SCVPN配置 (29)DNAT配置 (36)一对一IP映射 (37)一对一端口映射 (39)多对多端口映射 (41)一对多映射（服务器负载均衡） (44)第4章链路负载均衡 (46)链路负载均衡介绍 (46)基于目的路由的负载均衡 (47)基于源路由的负载均衡 (48)智能链路负载均衡 (48)第5章QoS配置 (51)QoS介绍 (51)IP QoS配置 (51)应用QoS配置 (53)混合QoS配置 (56)QoS白名单配置 (57)第6章网络行为控制 (58)URL过滤（有URL许可证） (58)配置自定义URL库 (61)URL过滤（无URL许可证） (62)网页关键字过滤 (63)网络聊天控制 (67)第7章VPN高级配置 (70)基于USB Key的SCVPN配置 (70)新建PKI信任域 (70)配置SCVPN (75)制作USB Key (76)使用USB Key方式登录SCVPN (78)PnPVPN (80)用户配置 (81)IKE VPN配置 (82)隧道接口配置 (86)路由配置 (87)策略配置 (88)PnPVPN客户端配置 (89)第8章高可靠性 (91)高可靠性介绍 (91)高可靠性配置 (92)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册，对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI配置。

⼭⽯防⽕墙HA双主Peer-mode模式配置教程⼭⽯防⽕墙HA主备模式上⾏路由器VRRP模式协商失败都是Master状态，所以要将防⽕墙HA改为双主Peer-mode模式，⼩编和⼤家分享下HA双主配置的⽅法和注意事项，期望⼤家遇到少踩坑。

⼀、⽹络拓扑⼆、路由器双Master分析在防⽕墙上放⾏组播地址，源地址any，⽬的地址组播地址224.0.0.18，服务any。

因为HA是主备模式，备墙是不⾛流量的，相当于是断开状态，所以上⾏路由器VRRP会协商失败，都认为⾃⼰主Master。

ps：但若是双主模式，两个墙都⾛流量，上⾏路由器VRRP就能协商成功了，所以提前在防⽕墙中增加上⾯的策略放⾏组播策略。

三、双主Peer-mode模式配置1、配置管理⼝（1）中⼼思想：两台墙各配置管理⼝IP，取消HA同步，Local IP选项也不⽤勾选，这样按照上⾯的⽹络拓扑可以正常连接访问。

（2）配置管理⼝FW1：FW2：ps:1、管理⼝的逆向路由相关不⽤管。

2、管理⼝配置遇到了挺多的坑，实验坏境和⽣产环境上FW1配置100.251，创建管理⼝虚拟转发⼝0/1:1配置100.250，管理⼝HA同步开启，HA双主模式⽣效后，FW1和FW1上⾯都有251和250两个地址，但是FW1防⽕墙管理⼝192.168.100.251连接正常，FW2防⽕墙192.168.100.250只能在直连的交换机ping通，跨路由器就⽆法访问了，这个暂未解决，后⾯继续研究。

2、配置业务上下联接⼝这⾥只需要配置FW1的即可，FW2的等HA状态协商后会⾃动同步的，注意勾选HA同步和安全域配置即可。

FW1（这⾥是透明模式，不⽤配置接⼝IP）：上⾏链路连接路由器：下⾏链路连接交换机FW2：不⽤配置，等HA状态协商成功，⾃动同步到FW2.3、配置HA包含：HA控制连接接⼝e0/2、HA数据连接接⼝e0/3，FW1的HA地址，FW2的HA地址，组0和组1。

备注：1、HA簇和节点先不启⽤，不然HA状态就开始协商了，等两台墙HA地址都配置好了再协商HA开启Peer-mode。

Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS（TFTP） (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (10)基础上网配置介绍 (10)接口配置 (10)路由配置 (11)策略配置 (13)源NAT配置 (14)第3章常用功能配置 (16)常用配置介绍 (16)PPPoE配置 (16)DHCP配置 (18)IP-MAC绑定配置 (20)端到端IPsec VPN配置 (22)SCVPN配置 (29)DNAT配置 (36)一对一IP映射 (37)一对一端口映射 (39)多对多端口映射 (42)一对多映射（服务器负载均衡） (45)第4章链路负载均衡 (47)链路负载均衡介绍 (47)基于目的路由的负载均衡 (48)基于源路由的负载均衡 (49)智能链路负载均衡 (49)第5章QoS配置 (52)QoS介绍 (52)IP QoS配置 (52)应用QoS配置 (54)混合QoS配置 (57)QoS白名单配置 (58)第6章网络行为控制 (59)URL过滤（有URL许可证） (59)配置自定义URL库 (62)URL过滤（无URL许可证） (63)网页关键字过滤 (64)网络聊天控制 (68)第7章VPN高级配置 (71)基于USB Key的SCVPN配置 (71)新建PKI信任域 (71)配置SCVPN (76)制作USB Key (77)使用USB Key方式登录SCVPN (79)PnPVPN (81)用户配置 (82)IKE VPN配置 (83)隧道接口配置 (87)路由配置 (88)策略配置 (89)PnPVPN客户端配置 (90)第8章高可靠性 (92)高可靠性介绍 (92)高可靠性配置 (93)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册，对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI配置。

交换机配置方法交换机是现代网络中非常重要的设备，它可以实现局域网中不同设备之间的通信和数据传输。

正确的配置可以提高网络的效率和安全性，下面我们来介绍一下交换机的配置方法。

1. 确定网络拓扑结构。

在开始配置交换机之前，首先需要明确网络的拓扑结构，包括各个设备的位置和连接方式。

这可以帮助我们更好地规划交换机的布局和端口的连接。

2. 登录交换机。

使用电脑连接到交换机所在的局域网，并使用浏览器或者终端工具登录交换机的管理界面。

通常情况下，我们需要输入默认的用户名和密码来进行登录。

3. 配置基本信息。

一旦成功登录到交换机的管理界面，我们可以开始配置交换机的基本信息，包括设备名称、管理IP地址、子网掩码、默认网关等。

这些信息可以帮助我们更好地管理和识别交换机。

4. VLAN配置。

虚拟局域网（VLAN）的配置可以帮助我们将网络划分为不同的虚拟网络，提高网络的安全性和管理灵活性。

在交换机的管理界面中，我们可以添加、编辑和删除不同的VLAN，并将端口分配到相应的VLAN中。

5. 端口配置。

对于交换机上的每个端口，我们可以进行一些基本的配置，包括端口速率、双工模式、端口描述等。

这些配置可以根据实际需求进行调整，以满足不同设备的连接要求。

6. STP配置。

生成树协议（STP）可以帮助我们避免网络中的环路，提高网络的稳定性和可靠性。

在交换机的管理界面中，我们可以启用STP，并进行一些基本的STP配置。

7. 安全配置。

为了保护网络的安全，我们可以在交换机上进行一些安全配置，比如MAC地址过滤、端口安全、访问控制列表等。

这些配置可以帮助我们防止未经授权的设备接入网络，提高网络的安全性。

8. 保存配置。

在完成交换机的配置之后，我们需要记得保存配置，以确保配置的持久化。

通常情况下，我们可以在管理界面中找到保存配置的选项，并进行保存操作。

通过以上的配置方法，我们可以更好地管理和优化交换机，提高网络的性能和安全性。

希望以上内容对您有所帮助，谢谢阅读！。

山石SA-2001A操作指导手册一, 山石SA2001A概述山石网科SA2001A多核安全网关是山石网科公司自主开发、拥有知识产权的新一代安全网关。

它基于角色、深度应用的多核 Plus®G2 安全架构突破了传统防火墙只能基于 IP 和端口的防范限制。

模块化设计处理器的应用实现了设备整体处理能力的极大提升，从而突破传统 UTM 在开启病毒过滤等功能后所带来的性能下降的局限。

百兆到万兆的处理能力使山石网科多核安全网关适用于多种网络环境，包括中小企业级市场、政府机关、大型企业、电信运营商和数据中心等机构。

丰富的软件功能为网络提供不同层次及深度的安全控制以及接入管理，例如基于角色深度应用安全的访问控制、IPSec/SSL VPN、应用带宽管理、病毒过滤、内容安全等。

二, 通过控制台配置山石SA2001A2.1 配置准备及图例准备好通过控制台端口配置所需的反转电缆,带串口的主机一台,电源线两跟以及相关主机配件;按照如下网络拓扑将主机与SA2001A相连.2.2 主机串口参数配置在主机上依次选开始—程序—附件—通讯—超级终端，单击超级终端出现下图所示界面：在名称下方框框中输入Hillstone,如：后确定，得到如下所示界面：这里可以在“连接时使用”中选择要使用的串口（一般默认选COM1即可），然后确定如下图：在“数据位数”中选“9600”，“数据流控制”中选“无”，如图：确定后得到下图：（注意：此界面是在已经做过配置的情况下。

）此时说明已经成功通过控制台端口将主机和SA2001A相连通，接下来就可以对SA2001A进行相关配制。

三，山石SA2001A常用配置命令介绍3.1 命令模式介绍3.1.1执行模式用户进入到 CLI 时的模式是执行模式。

执行模式允许用户使用其权限级别允许的所有的设置选项。

该模式的提示符如下所示，包含了一个井号（#）如下：hostname#3.1.2 全局配置模式全局配置模式允许用户修改安全网关的配置参数。

Hillstone SR系列安全路由器用户手册山石网科通信技术（北京）有限公司SR500/300-UG1207-1.0C前言手册内容首先感谢您使用山石网科的网络安全产品。

本手册为Hillstone SR系列安全路由器的用户手册，对安全路由器的使用与配置做了详细的介绍。

本手册的内容包括以下八章：•第1章：产品介绍。

概括介绍产品，包括产品功能和产品系列。

•第2章：登录安全路由器。

怎样登录安全路由器以及安全路由器主页介绍。

•第3章：系统配置。

怎样配置安全路由器系统，如管理员配置、系统升级、时间失去配置和系统日志功能配置等。

•第4章：网络配置。

怎样配置安全路由器接口和路由功能。

•第5章：防火墙配置。

怎样配置安全路由器的防火墙功能。

•第6章：带宽管理。

怎样配置安全路由器的带宽管理功能。

•第7章：应用安全。

怎样对各种应用进行控制保证网络安全。

•第8章：系统监控。

监控系统状态，包括硬件监控、流量监控以及日志监控。

手册约定为方便用户阅读与理解，本手册遵循以下约定：•提示：为用户提供相关参考信息。

•说明：为用户提供有助于理解内容的说明信息。

•注意：如果该操作不正确，会导致系统出错。

•『』：用该方式表示安全路由器WebUI界面上的链接、标签或者按钮。

例如，“点击『登录』按钮进入安全路由器的主页”。

•< >：用该方式表示WebUI界面上提供的文本信息，包括单选按钮名称、复选框名称、文本框名称、选项名称以及文字描述。

例如，“改变MTU值，选中<手动>单选按钮，然后在文本框中输入合适的值”。

•WebUI界面的『确定』按钮：保存所做配置并且返回主配置页面。

•WebUI界面的『应用』按钮：保存当前所做配置。

•WebUI界面的『取消』按钮：清除当前所做配置并且返回主配置页面。

•手册中所使用图片均以SR-550为例。

内容目录第1章 产品介绍 (1)产品概述 (1)SR产品系列介绍 (1)功能介绍 (1)第2章 登录安全路由器 (3)登录安全路由器 (3)主页介绍 (4)主菜单 (4)主页配置页面 (6)系统状态信息 (6)资源状态信息 (6)广域网接口配置信息 (6)局域网接口配置信息 (8)系统日志信息 (8)功能链接 (9)主页信息刷新功能 (9)第3章 系统配置 (11)系统配置介绍 (11)配置系统管理员 (11)更改主机名称 (11)新建/编辑/删除系统管理员 (11)新建系统管理员 (11)编辑/删除系统管理员 (12)新建/编辑/删除可信主机 (13)新建可信主机 (13)编辑/删除可信主机 (14)上载/保存系统配置文件 (14)上载配置文件 (14)保存系统配置文件 (14)恢复出厂配置 (15)升级设备操作系统 (15)配置系统时间和时区 (15)配置SNMP (16)配置系统日志服务 (17)配置系统日志服务器 (17)Email通知 (18)诊断系统故障 (18)第4章 网络配置 (20)网络配置介绍 (20)配置安全路由器接口 (20)多功能端口设置（SR-530） (21)配置端口（SR-330） (21)配置WAN口 (22)WAN口基本配置 (22)DDNS功能配置 (26)网络可达性监控配置 (26)WAN口接口备援配置 (27)配置LAN口 (28)LAN口的端口分配 (29)LAN口的基本配置 (31)DHCP中继配置 (32)DHCP服务器配置 (32)配置DMZ口 (34)配置镜像端口（SR-550和SR-330） (35)配置路由功能 (35)静态路由配置 (36)添加静态路由表项 (36)动态RIP路由协议配置 (37)策略路由配置 (37)网通和电信策略路由配置 (38)策略路由配置 (38)配置端口映射功能 (39)第5章 防火墙配置 (42)防火墙配置介绍 (42)策略配置 (42)创建策略规则 (43)编辑策略规则 (44)修改策略规则排列顺序 (45)删除策略规则 (45)时间表配置 (45)创建周期 (45)编辑/删除周期 (47)服务簿配置 (47)预定义服务 (48)编辑预定义服务 (48)用户自定义服务 (49)创建用户自定义服务 (49)编辑/删除用户自定义服务 (51)服务组 (51)创建服务组 (52)编辑/删除服务组 (53)第6章 带宽管理 (54)带宽管理介绍 (54)带宽配置 (54)带宽策略 (55)会话控制 (56)不受限IP地址 (57)流量均衡 (57)第7章 应用安全 (59)应用安全介绍 (59)攻击防护 (59)选择源组 (59)开启所有攻击防护功能 (60)ARP欺骗攻击防护 (60)洪水攻击防护 (61)MS-Windows防护 (62)扫描/欺骗防护 (62)拒绝服务攻击防护 (63)代理 (64)协议异常 (65)IP-MAC地址绑定 (65)动态IP-MAC地址 (65)ARP学习功能 (66)ARP扫描功能 (66)静态IP-MAC地址绑定 (66)IP-MAC信息列表 (67)导入/导出IP-MAC列表 (68)P2P管理 (69)IM管理 (69)内容过滤 (70)不受限IP (71)第8章 系统监控 (73)系统监控介绍 (73)硬件信息 (73)硬件信息刷新 (74)流量监控 (75)基于IP的会话监控 (75)基于应用的会话监控 (76)页面信息刷新 (76)系统日志 (77)查看日志信息 (77)第1章产品介绍产品概述Hillstone SR系列安全路由器是山石网科通信技术（北京）有限公司自主开发、拥有知识产权的新一代高性能纯硬件网络安全产品，能够为企业、政府机关、教育机构和网吧等用户的网络安全问题提供安全高速解决方案。

设置方法如下:1、将设备接口设置成为二层模式（建议保留eO/O 接口的配置，作为管理接口使用）点击编辑I 秸 后，选择 二层安全域，12-trust ，然后确认（四个接口都要做这个配置）HiflstnneMFirwnR-Kl-2、配完4个接口之后，配置策略允许接口之间的流量转发: 在策略页面，点击新建；«EHKr¥ ow iSniOl'.* ■ ■ ftA在策略配置页面， 选择 源安全域12-trust ，源地址Any ,目的安全域12-trust ，目的地址Any , 服务簿Any ，行为 允许，然后点击 确定，如下图：-JHP 严 L 期 I时■ ■由6 M |^j ■ ■■ H O■ iV-吉込 *1自匚■4璋 14■匠 昭忖«thtirnalfi.i4Eridt DO&£.S4laJffl40<<< <. eftherneWd gagNULL vnitJdle.Mkt]・ <卅betthPMAJL QOICJdlMlM-2 <4■ <Q J O-4-C^D wu 皿悴理1 ■加3<■ < <DM 晒oqgE.?4ii 亦*4<4NUIXDDl!£.54iaJ^4dML<H *HrH Ck 爭蜒 ►对Mt榕口盔曲D9IK DD1K FPTU 晦户老IF#M电訂哇s ， an 电sllwnpemf1「二 H:d12 Trurati*u |市雨聊酒-ML£4T AT二BMPSSLRS ”上怖內t fvffl。