拨号网关简易操作说明

1、系统现状目前电力调度信息系统有4个业务系统：EMS系统、MIS系统，同时还下辖地调的SCADA系统，其网络结构示意如下：DF8002调度自动化主站系统DF8002调度自动化主站WEB服务器RD800系统调度自动化主站路由器网卡路由器HUB2M光纤RD800前置机MODEM局MIS系统xx系统路由器HUBxx前置机专用通道远程维护从上面的描述中可以看到，EMS厂家及自动化维护人员采用了MODEM拨号的方式进入安全区I进行防护工作，存在严重的安全隐患。2、远程拨号安全防护实施方案根据《全国电力二次安全防护方案》的要求，对于远程拨号维护需要在安全区I、II中增加拨号安全服务器，具体规划如下图：调度自动化主站系统调度自动化主站WEB服务器局MIS系统网卡隔离装置安全区III安全区I远程维护拨号安全服务器RD800系统HUB2M光纤RD800前置机xx系统xx前置机专用通道HUB安全区I3、远程拨号安全防护的不同接入方式在电力系统专用安全拨号服务器使用过程中，可以有多种接入方式，针对现场不同的环境以及客户不同的要求，可以采用不同的接入方案。3．1、电话网单（多）用户接入同一网段（无防火墙）：安全拨号服务器生产控制大区192.168.2.0/24虚拟IP：192.168.2.70远程移动客户端PPP:10.10.10.11Eth0：192.168.2.3电话网PPP:10.10.10.10虚拟IP：192.168.2.71远程移动客户端PPP:10.10.10.12此方案可实现多台远程客户端同时通过电话转网络技术接入内网的同一网段进行调试和维护。因为此方案的目的是将远程移动客户端虚拟成内网的一台PC机，所以需要给每个用户都配置一个虚拟的IP，此IP为内网网段的一个还未被占用的IP，如图所示：内网子网为：192.168.2.0/24，其中70，71均未被占用，则远程移动客户端的虚拟IP可配置为：192.168.2.70或192.168.2.71。其与内网的通讯路径为：192.168.2.70（192.168.2.71）→10.10.10.10（10.10.10.12）→10.10.10.11→192.168.2.3→192.168.2.0/24。从逻辑上来讲，远程移动客户端就是内网上的一台普通PC机。它们通讯的数据包会被VPN软件重新封装并加密成VPN数据包，通过PPP电话线链路进行传输后解密拆封，在移动客户端直接递交到操作系统，在安全拨号服务器一端通过192.168.2.3接口发送到内部网络的对应机器。1、登录接入装置的eth0，在IE中打开打开拨号服务器的设置页面。用户名admin密码admin2、接口管理点击对应网口的链接，修改相应的IP参数，因在此例中仍然使用的192.168.2.3这个IP，所以无需修改eth0口的IP地址。3、设置证书A、根证书在用户没有特殊要求的情况下，直接点“将安全网关自带CA的根证书作为IPSEC-VPN根证书”采用网关的CA证书做为根证书。B、颁发证书用户证书在根证书的基础上颁发的给客户端拨号使用。图上：颁发安全网关的用户证书图上：下载生成的用户证书图上：选择安全网关的用户证书服务证书图上：颁发安全网关的服务端证书图上：下载生成的服务端证书图上：上传生成的服务端证书图上：设置服务端证书模式，并写入证书口令图上：设置服务端证书模式完成后，服务器证书的状态显示4、VPN拨号用户3．2、电话网单（多）用户接入同一网段（带防火墙）：安全拨号服务器生产控制大区5.1.1.0/24虚拟IP：192.168.2.70远程移动客户端1PPP:10.10.10.11Eth0：192.168.2.3Eth0：192.168.2.1Eth1：5.1.1.1防火墙电话网PPP:10.10.10.10远程移动客户端2虚拟IP：192.168.2.71PPP:10.10.10.12此方案与方案一大致相同，其区别为：在拨号安全服务器与生产控制大区之间架设了一台防火墙，这样导致配置时就会与方案一有些差异，在配置远程客户端虚拟IP的时候，虚拟IP并不是与内网处在同一网段了，而是与防火墙连接拨号安全服务器的接口IP处在同一网段。需要注意的是，在配置对方子网IP的时候，输入的还是想要通讯的内网的子网IP。其与内网通讯的具体路径为：192.168.2.70（192.168.2.71）→10.10.10.10（10.10.10.12）→10.10.10.11→192.168.2.3→192.168.2.1→5.1.1.1→5.1.1.0/24从其通讯路径可以看到，其与方案一在通讯路径方面也有区别，其数据包经过VPN软件重新封装并加密后经过PPP电话链路传输后解密拆封，在移动客户端直接递交给操作系统，在拨号安全服务器端，并非由拨号安全服务器直接转交到内网，而是由拨号安全服务器传递给防火墙的192.168.2.1接口，再由放火墙的5.1.1.1接口传递给内网的相应计算机上。1、登录接入装置的eth0，在IE中打开打开拨号服务器的设置页面。用户名admin密码admin2、接口管理点击对应网口的链接，修改相应的IP参数，因在此例中仍然使用的192.168.2.3这个IP，所以无需修改eth0口的IP地址。3、路由设置测试网络4、设置证书A、根证书在用户没有特殊要求的情况下，直接点“将安全网关自带CA的根证书作为IPSEC-VPN根证书”采用网关的CA证书做为根证书。B、颁发证书用户证书在根证书的基础上颁发的给客户端拨号使用。服务证书在根证书的基础上颁发的给安全网关使用。上传证书文件设置证书模式，并输入打开证书的密码5、VPN拨号用户3．3、电话网多用户分别接入不同网段安全拨号服务器生产控制大区5.1.3.0/24虚拟IP：192.168.2.70远程移动客户端1PPP:10.10.10.11Eth0：192.168.2.3Eth0：192.168.2.1Eth1：5.1.1.1防火墙电话网PPP:10.10.10.10远程移动客户端2虚拟IP：192.168.2.71PPP:10.10.10.12生产控制大区5.1.2.0/24路由器（三层交换机）Eth0：5.1.1.254Eth1：5.1.2.254Eth2：5.1.3.254此方案中需要接入的不同网段的两个（多个）内网处于同一网络当中，分别连在路由器或者是三层交换机的不同网段上，再由路由器或者三层交换机与防火墙相连（也可以不带防火墙），然后再跟拨号安全服务器连接。在此方案中，多台远程客户端可以同时拨入同一个网段，也可以同时拨入不同的网段（但一个客户端一次只能拨一个网段，不可能同时处于两个网段中），这取决于对远程移动客户端的配置，在配置的时候，只要填入的对端子网IP不同，即可拨入不同的网段。如果不同的远程客户端同时分别拨入不同的网段，则其通讯路径也不同，这一过程由安全拨号服务器、放火墙和路由器（三层交换机）来共同完成。以上图为例，如果移动客户端1和移动客户端2分别拨入5.1.2.0/24和5.1.3.0/24，则其完整的通讯路径为：远程移动客户端1：192.168.2.70→10.10.10.10→10.10.10.11→192.168.2.3→192.168.2.1→5.1.1.1→5.1.1.254→5.1.2.254→5.1.2.0/24远程移动客户端2：192.168.2.71→10.10.10.12→10.10.10.11→192.168.2.3→192.168.2.1→5.1.1.1→5.1.1.254→5.1.3.254→5.1.3.0/24其通讯的过程也是将数据包采用VPN软件重新封装并加密，通过PPP电话链路的传输后再解密拆封，在移动客户端直接交给操作系统，在拨号安全服务器端由接口192.168.2.3递交给防火墙的192.168.2.1接口，再由防火墙的5.1.1.1接口传递给路由器（三层交换机），最后由路由器（三层交换机）递交给相应网段中的相应计算机。1、登录接入装置的eth0，在IE中打开打开拨号服务器的设置页面。用户名admin密码admin2、接口管理点击对应网口的链接，修改相应的IP参数，因在此例中仍然使用的192.168.2.3这个IP，所以无需修改eth0口的IP地址。3、路由设置测试网络4、设置证书A、根证书在用户没有特殊要求的情况下，直接点“将安全网关自带CA的根证书作为IPSEC-VPN根证书”采用网关的CA证书做为根证书。B、颁发证书用户证书在根证书的基础上颁发的给客户端拨号使用。服务证书在根证书的基础上颁发的给安全网关使用。上传证书文件设置证书模式，并输入打开证书的密码5、VPN拨号用户3．4、电话网多客户端分别接入不同网络安全拨号服务器生产控制大区5.1.1.0/24虚拟IP：192.168.2.70远程移动客户端1PPP:10.10.10.11Eth0：192.168.2.3Eth0：192.168.2.1Eth1：5.1.1.1防火墙电话网PPP:10.10.10.10远程移动客户端2虚拟IP：172.168.0.70PPP:10.10.10.12生产控制大区172.168.0.0/24Eth1：172.168.0.3此方案与方案三的区别在于：方案三的被接入内网为同一网络中的不同网段，而此方案的被接入的内网处于不同网络当中。其配置的过程与以上方案均有较大差别，这里在配置拨号安全服务器的时候对拨号安全服务器的两个网口都要进行配置，如果有防火墙，则网口IP应与防火墙相连的IP处于同一网段，若直接与内网相连，则应与内网处于同一网段。在配置移动客户端的时候，如果是连了防火墙的，则其虚拟IP应与防火墙跟拨号安全服务器相连的那一端的IP处与同一网段，若没有连防火墙，则应该与内网处与同一网段。如果移动客户端1和2分别拨入内网5.1.1.0/24和内网172.168.0.0/24，则其完整的通讯路径分别为：远程移动客户端1：192.168.2.70→10.10.10.10→10.10.10.11→192.168.2.3→192.168.2.1→5.1.1.1→5.1.1.0/24远程移动客户端2：172.168.0.70→10.10.10.12→10.10.10.11→172.168.0.3→172.168.0.0/24在此方案中，各通讯的数据包仍然会经过VPN软件的处理：重封装并加密，经过电话链路的传输，到达拨号安全服务器后再解密拆封，然后由拨号安全服务器分别从两个接口发往不同的目的地。1、登录接入装置的eth0，在IE中打开打开拨号服务器的设置页面。用户名admin密码admin2、接口管理点击对应网口的链接，修改相应的IP参数，因在此例中仍然使用的192.168.2.3这个IP，所以无需修改eth0口的IP地址。3、路由设置测试网络4、设置证书A、根证书在用户没有特殊要求的情况下，直接采用网关的CA证书做为根证书。C、颁发证书用户证书在根证书的基础上颁发的给客户端拨号使用。服务证书在根证书的基础上颁发的给安全网关使用。上传证书文件设置证书模式，并输入打开证书的密码5、VPN拨号用户3．5、网络单（多）用户接入同一网段公共网络安全拨号服务器生产控制大区5.1.1.0/24虚拟IP：192.168.2.70远程移动客户端Eth1：192.168.0.83Eth0：192.168.2.3Eth0：192.168.2.1Eth1：5.1.1.1防火墙虚拟IP：192.168.2.71远程移动客户端此方案与方案二有点类似，但与方案二采用的接入方式不同，方案二采用的是电话转网络接入方式，此方案采用的是网络对网络接入方式，不需要用MODEM拨号，直接采用网络拨号连接到拨号安全服务器，在移动客户端与拨号安全服务器之间建立一个安全的通信隧道。数据包通过