虛擬專網(wǎng)使用手冊

虛擬專網(wǎng)使用手冊V北方電信有限公司2006年3月目錄前言 3第1章 系統(tǒng)概述 3 客戶需求 3 功能定位 3系統(tǒng)特點 4產品優(yōu)勢 5第2章 產品功能介紹 5 總體功能介紹 5第3章 DLAN虛擬專網(wǎng)安裝及使用 6 網(wǎng)關模式（MDLAN）的安裝配置 6 功能描述 6 基本配置 7 虛擬專網(wǎng)控制臺 11 移動模式（PDLAN） 33 如何安裝 33 基本配置 34 虛擬專網(wǎng)控制臺 37 虛擬專網(wǎng)的使用 42 防火墻的安裝及使用 43 如何安裝 43 基本配置 44第4章 系統(tǒng)運行環(huán)境 56

前言商務領航之“虛擬專網(wǎng)”平臺是中國電信為幫助中小企業(yè)走進E時代而量身打造的一套高效、低廉的移動辦公應用平臺。通過該平臺，企業(yè)出差人員或者總分公司之間，只要能上網(wǎng)就可以隨時接入公司總部，來使用總部內網(wǎng)的資源。系統(tǒng)概述客戶需求——公司經常有人員在外出差或在家辦公。——公司在異地有辦事處?！驹诋惖赜蟹止??！镜霓k公室和工廠或倉庫不在同一個地點?！居凶约旱谋镜鼐钟蚓W(wǎng)，而且出差人員和異地辦公人員需要接入公司本地局域網(wǎng)。如果您真的碰到上述問題，哪怕是其中的一個，那我們想提醒你，信息時代還有其他更加快捷、廉價的方案等待您去做出選擇。功能定位虛擬專網(wǎng)是北方電信為有異地網(wǎng)絡互聯(lián)需求的用戶量身定做的一項業(yè)務。該業(yè)務主要由高效安全的VPN模塊、企業(yè)級包過濾防火墻模塊和訪問控制三個模塊構成。主要功能：虛擬專網(wǎng)的VPN模塊為用戶進行異地網(wǎng)絡的安全互聯(lián)，啟動防火墻模塊后，該模塊可以保護使用虛擬專網(wǎng)業(yè)務的企業(yè)內網(wǎng)免受來自外部網(wǎng)絡的攻擊，而訪問控制模塊可以針對遠程接入用戶設置不同的訪問內網(wǎng)的權限，而且該權限可以細分至內網(wǎng)每臺PC的每個服務。其他功能：虛擬專網(wǎng)還具有NAT代理上網(wǎng)功能，并且可以對通過該軟件上網(wǎng)的PC進行上網(wǎng)控制。QOS功能：通過對接入用戶的IP和端口的控制，從而使不同的接入人員的數(shù)據(jù)報具有不同的優(yōu)先級，從而保證重要業(yè)務的優(yōu)先投遞。硬件鑒權功能：該功能可以確保杜絕非法用戶接入，用戶從接入電腦上通過虛擬專網(wǎng)軟件導出一個硬件證書，該證書包括本PC的硬盤、CPU和網(wǎng)卡三者的信息，三者信息都為全球唯一。后把此證書傳輸?shù)骄W(wǎng)關端，和該PC所使用的用戶名和密碼綁定，通過該項功能的設置，該臺PC的用戶名和密碼即使被非法盜取，由于接入PC機的硬件信息和綁定的不同而拒絕接入。從而杜絕了非法用戶接入。虛擬專網(wǎng)業(yè)務包括兩種類型的軟件，分網(wǎng)關端軟件（安裝于公司內網(wǎng)）和移動端軟件（安裝在出差人員的電腦）。系統(tǒng)特點保護原有投資，無需增加任何硬件設施；無需改動原有應用系統(tǒng)和網(wǎng)絡結構；支持各種上網(wǎng)方式，如ADSL/ISDN/寬帶/Modem；支持動態(tài)IP尋址；支持Windows98/NT/2000(SP2orabove)/XP系統(tǒng)操作系統(tǒng)；支持NAT（網(wǎng)絡地址轉換）和DMZ端口轉發(fā)功能；自定義VPN網(wǎng)絡拓撲，可構建公司的星形與網(wǎng)狀VPN網(wǎng)絡結構；接入用戶提供用戶名和機器硬件信息進行綁定，杜絕非法用戶的接入提供更細致的權限粒度，對接入的用戶名進行了權限設定，不同的用戶具有不同的訪問權限，業(yè)務權限區(qū)分，一目了然。完善的QOS劃分機制，不同的內部服務對應不同的帶寬，保證重要業(yè)務的優(yōu)先投遞。總部多子網(wǎng)支持，可以實現(xiàn)接入端對總部多個子網(wǎng)的同時訪問。集成企業(yè)級包過濾防火墻，可對TCP/UDP/ICMP等數(shù)據(jù)包進行監(jiān)控、分析、檢測，防止外部黑客入侵公司網(wǎng)絡，并可靈活限制內部上網(wǎng)通道；高級加密標準——AES加密方式，確保中間數(shù)據(jù)傳輸安全，即使被中間截獲也不會泄漏任何信息。改進的IPSEC協(xié)議，數(shù)據(jù)壓縮傳輸，更充分利用現(xiàn)有網(wǎng)絡資源。IP&MAC地址綁定功能，確保對內網(wǎng)上網(wǎng)用戶的合理控制。產品優(yōu)勢 先進的應用技術開發(fā)平臺，保證系統(tǒng)在技術領域的先進性 中國電信龐大的網(wǎng)絡支撐隊伍確保用戶使用的是可靠的網(wǎng)絡，所有數(shù)據(jù)傳輸均采用嚴格的加密形式進行傳播，使得商業(yè)數(shù)據(jù)更加安全、高效 7x24小時電信級的完善售后服務體系，“虛擬專網(wǎng)”的用戶可以得到持續(xù)的客戶服務和程序升級等增值服務 程序設計以人為本，無論是初級用戶還是高級商業(yè)客戶，都可以迅速地熟悉并操作“虛擬專網(wǎng)”產品功能介紹總體功能介紹 使用虛擬專網(wǎng)能夠讓公司總部與移動用戶、分公司的局域網(wǎng)輕松實現(xiàn)安全互聯(lián)。原本只能用于單一局域網(wǎng)網(wǎng)內的系統(tǒng)或者功能，能夠擴展到多個局域網(wǎng)中，實現(xiàn)公司數(shù)據(jù)和信息的同步統(tǒng)一，增加企業(yè)的工作效率，提高競爭力公司老總或各級主管在外出差時可隨時接入企業(yè)內部局域網(wǎng)，查詢所有相關的財務等重要信息和收發(fā)內部郵件，也可以及時發(fā)送信息回公司總部，實現(xiàn)移動辦公，保證工作效率。DLAN虛擬專網(wǎng)安裝及使用網(wǎng)關模式（MDLAN）的安裝配置功能描述運行MDLAN的安裝程序，出現(xiàn)如下畫面,選擇下一步，出現(xiàn)安裝目錄選擇界面，選擇要安裝到的目錄。一般情況下采用默認設置即可：接下來會安裝網(wǎng)絡驅動程序，要求斷開adsl或modem撥號連接，同時關閉網(wǎng)絡應用程序：安裝完成后，要求重新啟動計算機.重新啟動計算機后，就可以啟動MDLAN，通過控制臺或配置向導配置MDLAN?；九渲肕DLAN首次啟動時，會自動彈出向導配置窗口，根據(jù)向導進行如下配置。也可以通過“工具―→DLAN配置向導”進入配置向導界面。配置網(wǎng)卡：配置網(wǎng)卡時，需要配置內、外部網(wǎng)網(wǎng)卡。ADSL直接拔號上網(wǎng)時，外部網(wǎng)卡選擇虛擬的拔號網(wǎng)卡；通過寬帶（NAT）雙網(wǎng)卡上網(wǎng)時，外部網(wǎng)卡選擇連接外網(wǎng)的網(wǎng)卡；單網(wǎng)卡上網(wǎng)時，外部網(wǎng)卡和內部網(wǎng)卡都選擇內網(wǎng)的網(wǎng)卡。選擇內部網(wǎng)卡后，內網(wǎng)IP地址和子網(wǎng)掩碼會自動映射過來，或根據(jù)實際的IP和子網(wǎng)掩碼做相應的更改。配置帳號和密碼：虛擬專網(wǎng)帳號和密碼是北方電信分配的用來登錄目錄服務器的。每一個企業(yè)的每一個網(wǎng)關和移動用戶都會被分配一個唯一的帳號名和密碼。網(wǎng)關和移動輸入了正確的帳號和密碼后，就可以在目錄服務器上完成帳號驗證和地址交換，建立網(wǎng)絡通道。當MDLAN具有Internet上的合法IP時（如ADSL撥號獲取的動態(tài)IP），表示MDLAN直接Internet。當MDLAN采用大樓寬帶上網(wǎng)，獲得的是寬帶內部IP，表示MDLAN非直連Internet，選擇相應的設置項即可。可點擊“測試”按鈕，來檢查該帳號密碼是否設置正確，目錄服務器是否工作正常。點擊“下一步”，出現(xiàn)如下界面，基本配置結束。虛擬專網(wǎng)控制臺DLAN網(wǎng)關模式控制臺主要分三大部分：系統(tǒng)信息控制臺，MDLAN控制臺，防火墻控制臺。系統(tǒng)信息控制臺：系統(tǒng)信息控制臺：主要是用來管理和監(jiān)控整個DLAN產品，它包括兩個選項，系統(tǒng)配置和控制臺管理。系統(tǒng)配置用來系統(tǒng)正常運行所需配置的基本信息，包括內、外部網(wǎng)卡的選擇，內網(wǎng)IP地址和子網(wǎng)掩碼的設置。在“DLAN配置向導”中已經有這部分內容的配置?？刂婆_管理用來設置DLAN控制臺的相關屬性?？刂婆_與DLAN的各功能模塊是獨立的，如DLAN連接模塊、防火墻模塊、NAT模塊，都可以在控制臺不啟動的情況下正常運行。可以在該界面中選擇控制臺及各功能模塊是否開機就自動運行。同時可以設置進入主控臺的密碼，保證只有知道密碼的管理員才能進入主控臺進行管理和配置?？梢渣c擊“修改”按鈕設置新的密碼。DLAN支持對配置信息的備份和回復，點擊相應按鈕、可以將配置好的信息備份，備份時可以對備份文件設置密碼、以保障安全性。系統(tǒng)重新安裝時，可以將配置信息恢復過來。所有的配置項更改后，都必須點擊“設置生效”按鈕，才能使變更的配置項起生效。MDLAN（虛擬專網(wǎng)）控制臺：MDLAN控制臺提供了對DLAN虛擬專網(wǎng)服務的設置、管理和狀態(tài)顯示。下圖為虛擬專網(wǎng)軟件運行狀態(tài)界面，顯示了虛擬專網(wǎng)服務當前的運行狀態(tài)、接入的節(jié)點信息，并提供了啟動或停止服務的操作按鈕。接入的節(jié)點狀態(tài)包含如下信息：當前接入節(jié)點的用戶的名稱，類型（網(wǎng)關或移動），接入節(jié)點的互聯(lián)網(wǎng)IP（InternetIP），接入節(jié)點的內部網(wǎng)IP，接入時間指網(wǎng)絡節(jié)點接入系統(tǒng)的時間。MDLAN控制臺具體的功能包括以下部分：虛擬專網(wǎng)帳號和密碼設置：虛擬專網(wǎng)帳號和密碼是用來登錄北方電信的目錄服務器的。在“DLAN安裝向導”中對該選項已經進行了配置。連接管理：在此選中想要連接的用戶（網(wǎng)關），本網(wǎng)關才會去連接選中的網(wǎng)關，若沒有選擇網(wǎng)關，則此網(wǎng)關不會去連接任何網(wǎng)關。 用戶管理：管理員可以在這里設置允許接入本網(wǎng)的用戶賬號、密碼，設置是否需要對硬件證書進行認證（ID鑒權），設置加密算法類型（缺省為AES），以及是否啟用虛擬IP。只有符合管理員設置條件的用戶，才能夠接入本網(wǎng)。每一個用戶對應一個網(wǎng)關或移動，所有的用戶都是在北方電信處開戶并同步到虛擬專網(wǎng)客戶端的。 DLAN提供了用戶管理功能，以便于管理員管理用戶。首先選中一個用戶，點擊“修改”按鈕，打開用戶管理界面。選擇加密算法。若沒有啟動鑒權可以不選擇證書文件。 對于移動用戶，還可以選擇是否啟用虛擬IP。如果為該用戶分配一個虛擬內網(wǎng)IP地址、則該用戶接入后，會使用這個IP作為虛擬的內網(wǎng)IP地址。如果虛擬IP設置為.0，則系統(tǒng)會自動為該用戶從虛擬IP池中隨機分配一個內網(wǎng)IP地址。如果不啟用虛擬IP功能，局域網(wǎng)內的其他用戶就無法訪問該移動用戶。 對于移動用戶，只能啟用主連接的網(wǎng)上鄰居。如下圖：虛擬IP池設置：虛擬IP是指由網(wǎng)關（MDLAN）指定網(wǎng)關空閑的一段IP作為移動用戶接入時的虛擬IP池。當移動用戶接入后，分配一個虛擬IP給移動用戶，移動用戶對網(wǎng)關的任何操作都是以分配的IP作為源IP、就完全和在網(wǎng)關局域網(wǎng)內一樣。例如使用虛擬IP的移動接入后，可以訪問網(wǎng)關局域網(wǎng)內的任何一臺計算機，即使該計算機沒有把移動指向網(wǎng)關（MDLAN）；可以為接入的移動用戶指定DNS等網(wǎng)絡屬性。配置虛擬IP的步驟：1、創(chuàng)建虛擬IP池，虛擬IP池中的IP是總部空閑的IP。2、指定移動用戶使用虛擬IP。如果設置虛擬IP為0.0表示自動分配虛擬IP，當移動用戶接入后，MDLAN從虛擬IP池中選擇一個空閑IP分配給移動。也可以為移動用戶指定虛擬IP（例如與該移動用戶在局域網(wǎng)內的內網(wǎng)IP一致作為虛擬IP）。多子網(wǎng)設置通過DLAN的多子網(wǎng)功能，移動可以訪問到各網(wǎng)關的多個子網(wǎng)。例如，有兩個子網(wǎng)（172；10.x）已經互通。通過配置兩個網(wǎng)關的多子網(wǎng)，可以使得移動能通過DLAN訪問兩個網(wǎng)絡。配置多子網(wǎng)的步驟：1、在“多子網(wǎng)設置”里配置需要互聯(lián)的子網(wǎng)；2、在“路由設置”里為需互聯(lián)的子網(wǎng)設置路由；3、為移動用戶創(chuàng)建虛擬IP池，并指定移動用戶使用虛擬IP。路由設置：局域網(wǎng)內部的計算機如果需要加入虛擬專網(wǎng)網(wǎng)絡、被其他的節(jié)點訪問，則必須將網(wǎng)關設置為安裝DLAN的計算機。這時，所有的IP數(shù)據(jù)包首先是經過DLAN的過濾條件進行驗證。如果IP包不是發(fā)往網(wǎng)關或移動的IP包（例如是訪問Internet網(wǎng)頁的數(shù)據(jù)包），則對此IP包需要進行路由處理，根據(jù)路由表的設置，將此IP包通過指定的網(wǎng)卡發(fā)送到設定的網(wǎng)關。例如，某局域網(wǎng)通過一個共享上網(wǎng)器接入互聯(lián)網(wǎng)，又在局域網(wǎng)內的一臺計算機上安裝了DLAN。局域網(wǎng)內的其他計算機原來是將網(wǎng)關設置為共享上網(wǎng)器，但需要和其他節(jié)點建立網(wǎng)絡連接、又必須把網(wǎng)關改為DLAN。如果不啟動路由功能，則局域網(wǎng)內的計算機就無法正常上網(wǎng)（如瀏覽網(wǎng)頁、收發(fā)郵件等）。啟用路由功能之后，DLAN路由模塊會將相應的數(shù)據(jù)請求轉發(fā)到共享上網(wǎng)器，使得局域網(wǎng)內的計算機能夠正常的上網(wǎng)。網(wǎng)絡號和子網(wǎng)掩碼確定目的IP（網(wǎng)絡號和子網(wǎng)掩碼都是0.0表示缺省路由）。網(wǎng)關IP為直接上網(wǎng)的設備內網(wǎng)IP地址，接口網(wǎng)卡指本機與網(wǎng)關設備聯(lián)網(wǎng)的網(wǎng)卡。注意：1、任何改動（包括啟用路由、禁用路由）都必須按設置生效按鈕后才保存結果；2、更換網(wǎng)卡后，或更換本機內部網(wǎng)IP后，用戶必須重新生成路由表。否則會導致本機無法上網(wǎng)。3、在添加路由表或修改路由表時、必須保障本機與網(wǎng)關的通信正常。因為一按確定按鈕，程序會自動去取設定的網(wǎng)關IP對應的MAC地址。若此時設置的網(wǎng)關未開機，或同設置的網(wǎng)關IP的物理連接中斷，或本機ping不通設定的網(wǎng)關IP，會有提示框彈出，警告網(wǎng)關IP設置錯誤。4、添加路由時，注意選擇的接口網(wǎng)卡是同指定的網(wǎng)關相連的網(wǎng)卡。否則會導致路由數(shù)據(jù)發(fā)送不到對應的網(wǎng)關。目錄服務器列表：在這里可以查看所有可用的目錄服務器。目錄服務器是北方電信提供的尋址用的服務器。網(wǎng)關之間和網(wǎng)關移動之間建立網(wǎng)絡通道之前都要在指定的目錄服務器上驗證帳號和交換InternetIP地址。若目錄服務器不能正常工作，則通道也無法建立。所以目錄服務器可以為多個，互為備份。目錄服務器列表對企業(yè)用戶而言是只讀的，目錄服務器擴容后，會自動將新的目錄服務器列表更新到每一個客戶端(MDLAN和PDLAN)。端口設置：端口設置用于配置DLAN虛擬專網(wǎng)正常工作時需使用的TCP端口。該選項缺省已經設置好（4009、4010、4011三個端口），僅用于特殊情況時對該端口的修改。如果MDLAN前面或同一臺計算機上安裝了防火墻，需要將此三個TCP的端口打開，允許接受外部的連接。當安裝DLAN的計算機上有微軟Internet連接共享服務時,推薦選擇1024以下的端口(如：709,710,711)。設置完畢，要按下“設置生效”按鈕，確保設置生效。 支持單IP選項默認值也是選中狀態(tài)。如果安裝DLAN的計算機只有一個IP地址（例如安裝在共享上網(wǎng)器之內的局域網(wǎng)計算機的情況，該計算機只有一個內網(wǎng)IP地址），該選項必須選中。算法管理：算法管理提供了對數(shù)據(jù)加密算法的設置，該加密算法會在DLAN構建的網(wǎng)絡中、對所有的傳輸數(shù)據(jù)進行加密，以保障數(shù)據(jù)的安全性。DLAN內置了128位的AES加密算法。生成證書：DLAN采用了基于硬件特性的證書認證系統(tǒng)用于不同網(wǎng)絡節(jié)點之間的身份認證。該證書提取了安裝DLAN的計算機的部分硬件特性（如網(wǎng)卡、硬盤等）、生成加密的認證證書。由于硬件特性的唯一性，使得該證書也是唯一的、不可偽造的。通過對該硬件特性的驗證，就保障了只有指定的硬件設備才能接入授權的網(wǎng)絡，避免了安全隱患。點擊“生成證書”按鈕，就可以自動生成包含硬件特性的認證證書。這時需要將該證書通過某種方式（如電子郵件、或軟盤等）提供給需要接入的網(wǎng)關（MDLAN）站點管理員，由該站點管理員對證書進行管理。以后每次連接其他站點時，如果該站點啟用了“ID鑒權”功能，則每次都會自動驗證接入的計算機身份的合法性。若計算機硬件更換，如CPU、硬盤或網(wǎng)卡等，請重新生成證書。內網(wǎng)服務設置網(wǎng)關（MDLAN）可以為接入移動用戶指定相應的訪問權限，可以限制某個用戶所能訪問總部內的特定計算機的特定應用。比如：允許移動用戶A訪問總部的的WEB服務器，禁止A訪問總部的SQL數(shù)據(jù)庫服務器等。設置內網(wǎng)服務權限的步驟：1、在總部創(chuàng)建內網(wǎng)服務；2、為特定的用戶指定權限，缺省狀況下接入的網(wǎng)關和移動具有所有的權限。舉例說明：假設總部局域網(wǎng)IP地址為192.168.0.*；WEB服務器地址為192.168.0.2；內部EMAIL服務器（POP3、SMTP）為192.168.0.3?，F(xiàn)有移動用戶A和移動用戶B，希望用戶A能夠訪問WEB服務器、但不能收發(fā)內部郵件；用戶B能夠收發(fā)內部郵件、但不能訪問WEB服務器。首先需要創(chuàng)建三個內網(wǎng)服務：1、Web服務服務名稱－web服務，協(xié)議－TCP/IP，內網(wǎng)IP－192.168.0.2端口－80；2、收內部郵件服務名稱－收內部郵件，協(xié)議－TCP/IP，內網(wǎng)IP－192.168.0.3端口－110；3、發(fā)內部郵件服務名稱－發(fā)內部郵件，協(xié)議－TCP/IP,內網(wǎng)IP－192.168.0.3端口－25；QOS優(yōu)先級別設置此處可以修改各個優(yōu)先級別的QOS服務占用的帶寬比例。所有優(yōu)先級的帶寬比例之和只能是100%，設置完畢，選中“啟用QOS功能”，點擊設置生效使QOS改變生效。高級設置建議用默認，不要修改。QOS服務策略設置QOS規(guī)則服務管理。針對不同數(shù)據(jù)業(yè)務的重要性，分別設置不同的QOS優(yōu)先級別及帶寬比列，達到同時發(fā)送不同數(shù)據(jù)業(yè)務的最優(yōu)性能。如下圖： 新建規(guī)則有向導界面，分4步完成。設置內容如下圖。先給此規(guī)則起個形象的服務名和確切的描述，接著設置源、目的的IP設置。指定IP，可以指定單個IP，也可指定一段IP。上邊是起始IP，下邊是結束IP。點“下一步”。分別選擇協(xié)議，指定源端口和目的端口。點“下一步”。選擇一個優(yōu)先級別，并選中啟用該規(guī)則。注意，特權級不能設置QOS帶寬。點下一步，就完成建立一個新規(guī)則。規(guī)則修改與規(guī)則建立的內容一樣，如下圖：InternetIP設置：當系統(tǒng)不能自動檢測到正確的InternetIP時，在此設定。移動模式（PDLAN）如何安裝運行PDLAN的安裝程序，選擇下一步，出現(xiàn)安裝目錄選擇界面，選擇要安裝到的目錄。一般情況下采用默認設置即可：選擇下一步，安裝驅動程序時，斷開ADSL等網(wǎng)絡撥號連接：安裝完畢后，重新啟動計算機：基本配置PDLAN首次啟動時，會自動彈出向導配置窗口，根據(jù)向導進行如下配置。也可以通過“工具―→DLAN配置向導”進入配置向導界面。配置帳號和密碼：虛擬專網(wǎng)帳號和密碼是北方電信分配的用來登錄目錄服務器的。每一個企業(yè)的每一個網(wǎng)關和移動用戶都會被分配一個唯一的帳號名和密碼。網(wǎng)關和移動輸入了正確的帳號和密碼后，就可以在目錄服務器上完成帳號驗證和地址交換，建立網(wǎng)絡通道。可點擊“測試”按鈕，來檢查該帳號密碼是否設置正確，目錄服務器是否工作正常。點擊“下一步”，出現(xiàn)如下界面，基本配置結束。虛擬專網(wǎng)控制臺移動模式（PDLAN）的控制臺只包含了虛擬專網(wǎng)控制臺。主要有以下功能：虛擬專網(wǎng)帳號和密碼設置：虛擬專網(wǎng)帳號和密碼是用來登錄北方電信的目錄服務器的。在“DLAN安裝向導”中對該選項已經進行了配置。連接管理： 客戶所購買的網(wǎng)關用戶會在此顯示，且移動用戶只能和網(wǎng)關用戶直連。選中想要連接的網(wǎng)關。如果想和某個網(wǎng)關通過網(wǎng)上鄰居互訪等功能，選此網(wǎng)關即可。算法管理：算法管理提供了對數(shù)據(jù)加密算法的設置，該加密算法會在DLAN構建的虛擬專網(wǎng)網(wǎng)絡中、對所有的傳輸數(shù)據(jù)進行加密，以保障數(shù)據(jù)的安全性。DLAN內置了128位的AES加密算法。生成證書：DLAN采用了基于硬件特性的證書認證系統(tǒng)用于不同虛擬專網(wǎng)節(jié)點之間的身份認證。該證書提取了安裝DLAN的計算機的部分硬件特性（如網(wǎng)卡、硬盤等）、生成加密的認證證書。由于硬件特性的唯一性，使得該證書也是唯一的、不可偽造的。通過對該硬件特性的驗證，就保障了只有指定的硬件設備才能接入授權的網(wǎng)絡，避免了安全隱患。點擊“生成證書”按鈕，就可以自動生成包含硬件特性的認證證書。這時需要將該證書通過某種方式（如電子郵件、或軟盤等）提供給需要接入的網(wǎng)關（MDLAN）站點管理員，由該站點管理員對證書進行管理。以后每次連接其他站點時，如果該站點啟用了“ID鑒權”功能，則每次都會自動驗證接入的計算機身份的合法性。若計算機硬件更換，如CPU、硬盤或網(wǎng)卡等，請重新生成證書。虛擬專網(wǎng)的使用 當完成上述安裝及配置，DLAN系統(tǒng)狀態(tài)顯示正常時，虛擬專網(wǎng)通道就已經建立。這時便可以使用DLAN實現(xiàn)遠程網(wǎng)絡之間的互聯(lián)互通和數(shù)據(jù)的安全傳輸。例如，在正常運行PDLAN的計算機上，進入DOS界面，直接ping一個MDLAN局域網(wǎng)內部計算機的IP地址（如192.168.0.1）。如果ping通，則表示虛擬專網(wǎng)已經連通。可通過在“開始”菜單－“查找計算機”中輸入對方IP或計算機名的方式查看指定計算機所共享的資源，通過把指定目錄映射成網(wǎng)絡驅動器，即可隨時訪問該目錄中的文件數(shù)據(jù)庫（如Access），也可通過“網(wǎng)上鄰居”直接查看另外一個MDLAN網(wǎng)絡的網(wǎng)絡資源。如果網(wǎng)關端所在的局域網(wǎng)有ERP、OA、CRM等內網(wǎng)服務，當移動端PDLAN接入后，就可以像在內網(wǎng)一樣進行辦公，使用內網(wǎng)所有的服務。也可以根據(jù)自己情況針對每個接入人員對訪問內網(wǎng)的權限自行進行劃分，權限可以細分到每個PC的每個服務。出現(xiàn)故障時，可通過“查看日志”，進入日志服務器、查看故障原因及現(xiàn)象。防火墻的安裝及使用如何安裝防火墻在網(wǎng)關（Mdlan）模式中可以選配，安裝時與虛擬專網(wǎng)的安裝同時進行，只需選中“DLAN企業(yè)防火墻”模塊即可。需要注意的是：DLAN中采用的是基于狀態(tài)檢測技術的防火墻，是對整個局域網(wǎng)進行防護。所以，如果需要防火墻功能生效、安裝防火墻的計算機必須具備兩塊網(wǎng)卡（或者一塊網(wǎng)卡接內網(wǎng)、一個ADSL撥號接外網(wǎng)）。基本配置DLAN防火墻包括過濾規(guī)則設置，DMZ端口映射，上網(wǎng)權限限制。在“防火墻運行狀態(tài)”窗口中可以監(jiān)控和管理防火墻和NAT服務，包括啟動、停止服務，監(jiān)控服務狀態(tài)?？梢酝ㄟ^相應的按鈕來啟動防火墻和啟動的服務。在這里可以監(jiān)控防火墻服務和NAT服務的運行狀態(tài)。狀態(tài)共