wholeton manual-v7.0... · web...

e地通 SP/PG硬件网关使用手册

“三合一/二合一”用户手册（SOCKS5 VPN/集中接入/IPSec VPN 防火墙）

（VER 7.0）

http://www.wholeton.com 1 Support TEL:0755-26546529


（2011 年 7 月）



e 地通 SP/PG 系列硬件网关产品用户手册

资料版本： S- V7.0-20110720

─────────────────────────────────

深圳市惠尔顿信息技术有限公司为您提供基于中国国情，富有中国特色的异地互连贴身解决方案。需要购买 e地通系列产品的用户请就近与惠尔顿代理商联系，如果您想与我们共同发展请直接与我们联系。

深圳市惠尔顿信息技术有限公司

地址：深圳市南山区高新技术产业园区网址：http://www.wholeton.com

电子邮箱：[email protected]


mailto:[email protected]

http://www.wholeton.com/

http://www.wholeton.com/contact.asp

http://www.wholeton.com/contact.asp


电话：86-755-26546529

传真：86-755-26553507



版权声明

Copyright©2008-2009

深圳市惠尔顿信息技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何公司或个人不得擅自摘抄、复制本书的部分或全部，也不得以任何形式传播。

由于产品版本升级或其他原因，本手册内容会不定期进行更新。除非另有约定，本手册仅作为使用指导，本手册中所有陈述、信息和建议不构成任何明示或暗示的担保。

适用版本本版本对应产品为W600SP/W800SP/W1000SP/W1500SP/W2000SP全系列；本版本对应产品为 W600PG/W800PG/W1000PG/W1500PG/W2000PG 全系列；



读者对象本书适合以下人员阅读·使用 e地通 SP/PG硬件网关的所有人员·希望了解 e地通 SP/PG硬件网关的所有人员·对于使用或者需要了解 e地通软件产品的人员



本书约定1、图形界面格式约定

格式意义<> 带尖括号“<>”表示按钮名，如“请按<确定>按钮”。[]

带方括号“[]”表示窗口名、菜单名、数据表和字段名等，如“弹出[新建用户]窗口”。

/多级菜单用“/”隔开，如“[文件/新建/文件夹]”多级菜单表示[文件]菜单下的[新建]子菜单下的[文件夹]菜单项。

2、键盘操作约定格式意义

加尖括号的字符

表示键名，如<Enter>、<Tab>、<Backspace>、<A>分别表示回车、制表、退格和大写字母A。

<键 1+键 2>表示在键盘上同时按下几个键。如<Ctrl+Alt+Del>表示同时按下“Ctrl”、“Alt”、“Del”三个键。

<键 1，键 2>表示先按第一键，释放，再按第二键。如<Alt,F>

表示先按<Alt>,释放后再按<F>。3、鼠标操作约定

格式意义单击快速按下并释放鼠标的一个按钮。双击连续两次快速按下并释放鼠标的一个按钮。拖动按住鼠标的一个按钮不放，移动鼠标。

4、各类标志本书还采用各种醒目的标志来表示需要特别注意的地方，这些标志的含义如下：注意：提醒应该注意的事项。说明：对内容进行必要的补充和说明。



目录序言.......................................................................................................................................７第一章连接设备上网.........................................................................................................８

1、概要........................................................................................................................８2、使 LAN内的计算机能登陆到设备的连线方法...................................................８3、设备放在 LAN内接入 internet的连接方法.........................................................９4、设备直接接入 internet的连接方法...................................................................１０5、设备采用透明桥模式接入 internet的连接方法...............................................１３

第二章快速配置防火墙与 e地通服务..........................................................................１５1、快速设置防火墙功能........................................................................................１５2、快速设置 e地通服务........................................................................................１６

第三章基本设置..............................................................................................................１７1、向导设置............................................................................................................１７2、模式选择............................................................................................................２０3、LAN设置...........................................................................................................２３4、WAN/DMZ设置—DMZ..................................................................................２４5、WAN/DMZ设置—WAN..................................................................................２５6、系统时间............................................................................................................２８7、DNS设置..........................................................................................................２８

第四章网络配置..............................................................................................................３０1、DDNS配置.......................................................................................................３０2、VLAN设置........................................................................................................３０3、DHCP设置........................................................................................................３２4、静态路由............................................................................................................３３5、IP/MAC绑定.....................................................................................................３５6、LAN口特殊功能...............................................................................................３５

第五章 e地通配置............................................................................................................３８1、基本设置............................................................................................................３８2、外部认证............................................................................................................４９3、网关设置............................................................................................................５１4、e地通管理........................................................................................................５３5、e地通日志........................................................................................................５６

第六章 IPSec设置............................................................................................................５７1、IPSec.................................................................................................................５７2、PPTP..................................................................................................................６６3、L2TP..................................................................................................................７３

第七章防火墙设置..........................................................................................................８２1、基本设置............................................................................................................８２2、时间排程............................................................................................................８３3、IP 设置...............................................................................................................８４4、服务设置............................................................................................................８６5、端口映射............................................................................................................８８6、IP映射...............................................................................................................９０



7、访问规则............................................................................................................９１8、会话列表............................................................................................................９６

第八章流量控制..............................................................................................................９７1、流量设置............................................................................................................９７2、上传流量............................................................................................................９７3、下行流量............................................................................................................９９4、IP流量控制...................................................................................................１０１5、IP流量统计...................................................................................................１０２

第九章系统管理..........................................................................................................１０３1、登录管理........................................................................................................１０３2、修改登陆帐号................................................................................................１０４3、备份与恢复....................................................................................................１０４4、命令行工具....................................................................................................１０５5、系统升级........................................................................................................１０５6、恢复出厂设置................................................................................................１０６7、重启................................................................................................................１０６

第十章日志管理..........................................................................................................１０７1、日志配置........................................................................................................１０７2、系统日志........................................................................................................１０７3、流入日志........................................................................................................１０７4、流出日志........................................................................................................１０８5、警报日志........................................................................................................１０８6、操作日志........................................................................................................１０８7、网口信息........................................................................................................１０９

第十一章客户端的配置.............................................................................................１１０1、标准客户端的配置(免安装).........................................................................１１０2、WEB客户端的配置......................................................................................１１１3、移动客户端的配置（双向互访）................................................................１１２

附录A 常见问题...........................................................................................................１１４1、e地通常见问题解答.....................................................................................１１４2、 Windows终端服务常见问题解答............................................................１１５

附录 B 常见应用设置方案...........................................................................................１２３1、怎样设置网络邻居访问................................................................................１２３2、怎样设置B/S软件的访问............................................................................１２３3、怎样设置 FTP的直连访问...........................................................................１２４4、怎样设置U8的直连访问.............................................................................１２５5、怎样设置 K3的直连访问.............................................................................１２７6、怎样设置 e+1应用的访问..........................................................................１２８

附录 C e地通硬件性能指标........................................................................................１３０附录D 公司简介...........................................................................................................１３１附录 F 相关资源...........................................................................................................１３３



序言感谢您选择了 e地通硬件网关系列产品，e地通硬件网关的虚拟专用网络(VPN)功能让

您在公共网络上组建加密的隧道，提供安全的、可靠的和可管理的私有网络，让多至 2048个远程办公室或者移动用户从远端接入办公室的内部网络。经过 VPN 隧道接入办公室内部网络的用户们 —— 安全地访问本地的文档、ERP、OA、CRM、电子邮件和企业内部网络 —— 就好像他们身处办公室里一样。您也能使用VPN的功能让用户们透过您的办公室的网络安全地转接到总部或上层部门的网络。

e地通硬件网关智能路由功能使您有效的分享公共网络（Internet、帧中继、ATM等），就像其它的路由器，它让多台办公室电脑同时接入一个外网接口。同时，提供双线路的负载均衡，成倍地增加你的上网带宽；提供策略路由功能，能使您选择最快的路径到达您的目的地。

e地通硬件网关提供强大的 SPI 防火墙保护您的电脑，防御外来的侵犯者和来自公共网络的攻击。您也可以设置 e地通硬件网关过滤内部用户对公共网络的访问，同时，提供关键词、域名、文件类型等内容过滤，这些您都可以自主地（不）授权给谁访问 internet。以WEB 浏览器为基础的配置界面设计使得您设置 e地通硬件网关时更加容易。作为您办公室网络的核心, e地通硬件网关将会提供您的办公室一个安全可靠的外网连

接。



第一章连接设备上网 1、概要您必须实行下面的步骤设置网络：依照此章的指导将 e地通硬件网关连接到其中一个交换机。使用您的 ISP 所供应的设置参数并依照第二章的操作设置 e地通硬件网关。

2、使 LAN 内的计算机能登陆到设备的连线方法e地通硬件网关有一个基于Web 设计的配置界面能使你更加容易的设置 e地通硬件网

关。以下设置帮助您使用 LAN内的计算机能够登陆到 e地通硬件网关设备。注意：e地通硬件网关设备内置的WEB 服务器的服务端口是 10000，建议采用 IE6.0

或以上的浏览器登陆。通过正确配置，您能通过浏览器访问 https://192.168.0.254:10000/ 打开配置界面。

1)、连接直通网线的一端到 e地通硬件网关的 LAN 口。连接直通网线的另一端到网络设备（例如交换器或集线器）的网口。

2)、连接直通网线的一端到计算机的网络接口。连接直通网线的另一端到网络设备（例如交换器或集线器）的网口。

3)、设置计算机的网络 IP地址为 192.168.0.250（因为 e地通硬件网关设备的 LAN口的初始 IP地址是 192.168.0.254），并确保 192.168.0.250与 192.168.0.254这两个 IP地址不会分配给 LAN网中的其他计算机，如果 192.168.0.250与 192.168.0.254这两个 IP地址分配给了其他计算机，请将原有计算机的 IP地址设置成一个新的 IP地址或者暂时断开网络；

4)、连接电源线到 e地通硬件网关后面的电源插口，然后插入另一端的电源插头到220V 电插座。如果按照以上步骤，并且电源已经正确地连接上，启动硬件设备后，在面板上的电源显示 LED会亮起，LAN口的灯亮起。

5)、通过 192.168.0.250 计算机访问设备的配置界面为了要访问 e地通硬件网关配置界面，先启动 Internet Explorer，并且输入 e地通

硬件网关的默认 IP 地址（https://192.168.0.254:10000）到地址栏。然后按下<Enter> 键。一个登录界面会出现（如下图）请您输入用户名和密码。输入“admin” 到用户名输入栏里，并且输入“888888”到密码输入栏里。然后单击<确定>按钮。



说明：e地通硬件网关管理台采用 web方式，支持远程配置，只要远程电脑需要访问硬件网关，用户就可以在远端连接服务器进行配置。

注意：e地通硬件网关管理台服务端口为 10000 端口，需要在服务器开放该端口，才能进入管理台界面。系统初始用户名为：“admin”，密码为：“888888”，输入后单击<确定>，即可进入 e地通硬件网关管理界面。假如以上 1)与 2）合起来通过使设备直接与计算机相连接，必须采用交叉网络线。

3、设备放在 LAN 内接入 internet 的连接方法1)、保持《使 LAN内的计算机能登陆到设备的连线方法》所述的环境不变，再进

行如下的操作。2)、连接直通网线的一端到 e地通硬件网关的WAN1 口，假如您使用其它的WAN 口，

接上直通网线到相应的WAN 口则可。另一端到网络设备（例如交换器或集线器）的网口。

3)、假如使用 DMZ 口作为WAN接入 internet，连接方法同上，但是需要登陆 e地通设备设置 DMZ 口的用途为 WAN 口，登陆 e 地通设备，导航到 [基本设置 / WAN/DMZ 设置]，设置方法如下：



4)、根据 LAN的网络地址选择一个没有使用的 IP地址分配给 e地通硬件网关设备，例如 LAN的网络为 192.168.1.*，网关设置为 192.168.1.1，并且在 LAN内没有计算机使用 192.168.1.8这个 IP地址，则 e地通硬件网关设备的WAN 设置如下：

5)、重新启动设备；6)、测试设备是否正常接入 internet？

登陆 e地通设备，导航到[服务管理/命令行工具]，输入 ping www.sina.com.cn，点击<执行命令>，结果如下：


http://www.sina.com.cn/


说明设备已经连接到 internet。

4、设备直接接入 internet 的连接方法1)、保持《使 LAN内的计算机能登陆到设备的连线方法》所述的环境不变，再进

行如下的操作。2)、连接您的 ISP分配下来的直通网线到 e地通硬件网关的WAN1 口。假如您使用其它

的WAN 口，接上直通网线到相应的WAN 口则可。如果是光纤接入，需要一个光电转换器，直通网线一端连接光电转换器一端连接

e地通设备的WAN口；如果是网络线接入，直通网线一端连接 ISP的设备(可能是路由器)一端连接 e地通

设备的WAN口；如果ADSL Modem接入，直通网线一端连接 ADSL Modem一端连接 e地通设备的

WAN口；如果 CABLE Modem接入，直通网线一端连接 CABLE Modem一端连接 e地通设

备的WAN口；3)、假如使用 DMZ 口作为WAN接入 internet，连接方法同上，但是需要登陆 e地通设

备设置 DMZ口的用途为 WAN口，登陆 e地通设备，导航到 [基本设置 /设置DMZ]，设置方法如下：



4)、设置 e地通设备，使 e地通设备接入 internet，大致有以下三类接入方式；网络线接入、光纤接入（经过光电转换器转换）等所有固定 IP地址接入方式，

设置如下：

ADSL Modem等 PPPOE 拨号接入方式，设置如下：



CABLE Modem与DHCP接入方式，设置如下：


登陆 e 设备，导航到[服务管理/命令行工具]，输入 ping www.sina.com.cn，点击<执行命令>，结果如下：




说明设备已经连接到 internet。7)、调整 LAN网中的计算机的网关指向 192.168.0.254，则 LAN内的所有计算机能通

过 e地通设备接入 internet；或者调整 e地通设备的 LAN口的 IP地址成为原有的网关 IP地址，登陆 e地通设备，导航到[基本设置/ LAN 设置]，方法如下：

5、设备采用透明桥模式接入 internet 的连接方法1)、保持《使 LAN内的计算机能登陆到设备的连线方法》所述的环境不变，再进

行如下的操作。2)、连接直通网线的一端到 e地通 SOCKS5硬件网关的WAN1 口，另一端到另一个网

络设备（例如交换器或集线器）的网口。3)、根据 LAN的网络地址选择一个没有使用的 IP地址分配给 e地通设备，例如 LAN

的网络为 192.168.1.*，网关设置为 192.168.1.1，并且在 LAN内没有计算机使用192.168.1.8这个 IP地址，登陆 e地通设备，导航到[基本设置/模式选择]，则 e地通设备的透明桥模式设置如下：




登陆 e 设备，导航到<服务管理/命令行工具>，输入 ping www.sina.com.cn，点击<执行命令>，结果如下：

说明设备已经连接到 internet。注意：为了使透明桥模式下的防火墙规则生效，LAN网内的数据必须先经过 e地通设备到达前端的网络设备（如防火墙、路由器），网络拓扑是：前端防火墙 /路由器<e地通设备 >LAN 计算机，这些设备串联起来。

在透明桥模式下，所有的防火墙规则与 e地通的VPN 设备都是生效的。




第二章快速配置防火墙与 e 地通服务登陆 e地通设备，所有的配置分为九个部分，他们是：系统状态、基本配置、网络设置、

e 地通配置、IPSec 配置、防火墙、流量管理、系统管理、日志管理与技术支持。从第三章到第十章我们将逐一介绍每一个子功能菜单。

登录后的首页显示了该产品的基本信息，可以查看系统信息、网络设置状态、防火墙设置状态与VPN 设置状态。系统信息：包括产品型号、序列号、系统负载、版本号码、开机时长；网络设置状态：包括 LAN IP地址、WAN1 IP地址、DMZ IP 地址、DDNS、DNS、网络运行模式；防火墙设置状态：SPI（状态包检测）、防止 DoS 攻击、防止 IP 攻击、会话总数；VPN 设置状态：IPSec 已用的隧道、PPTP 已分配的 IP；注意：如果WAN接口状态中显示的 IP地址与跳板更新得到的 IP地址不一致，请与惠尔顿的

技术人员联系；如果WAN接口状态中显示的 IP地址与DDNS更新得到的 IP地址不一致，请与惠尔顿

的技术人员联系；如果WAN接口状态中显示的 IP地址总是在不断变化，请与惠尔顿的技术人员联系；

1、快速设置防火墙功能第一步：将设备置于网关，设置设备接入 internet，参考[设备直接接入 internet 的连接方法 ]；第二步：设置设备的 LAN的 IP地址（例如 192.168.1.1），参考[基本设置 /LAN 设置 ]；第三步：设置 LAN内的计算机的网关指向 192.168.1.1，IP地址与 192.168.1.1 处在相同的http://www.wholeton.com 19 Support TEL:0755-26546529







网段，如 192.168.1.2。第四步：测试 LAN 设置的计算机已经接入 internet；第五步：设置防火墙规则，参考[防火墙 / 访问规则 ]；

2、快速设置 e 地通服务第一步：将设备置于 LAN，设置设备接入 internet，参考[使 LAN 内的计算机能登陆到设备的连线方法]；第二步：如果是固定 IP用户，跳过这一步

设置跳板实现动态寻址，参考[e 地通配置 / 跳板设置 ]；第三步：添加 e地通用户，参考[e 地通配置 / 用户管理 ]；第四步：添加 e地通应用，参考[e 地通配置 / 应用设置 ];如果需要通过 e地通实现安全访问 B/S应用系统，参考[怎样设置 B/S 软件的访问 ]；如果需要通过 e地通实现安全访问网络邻居，参考[怎样设置网络邻居访问]；如果需要通过 e地通实现安全访问 FTP系统，参考[怎样设置 FTP 的直接访问 ]；如果需要通过 e地通的 e+1应用，参考[怎样设置 e+1 应用的访问 ]……

第五步：添加 e地通用户对于以上应用的访问权限，参考[e 地通配置 / 权限管理 ]；第六步：重新启动 e地通服务，参考[e 地通配置 / 服务管理 ]；第七步：在远程，设置 e地通客户端，参考[客户端的配置]；第八步：通过应用的客户端访问应用，如果是 B/S应用，在浏览器中访问应用，如果是网络文件共享，在[开始/运行]，输入\\IP 访问，如果是 C/S应用，如 FTP，采用浏览器或者FTP的客户端访问；



第三章基本设置登陆 e地通设备，导航到[基本设置]，展开它，包含六个方面的信息与配置选项，他们

分别是：向导设置、模式选择、LAN 设置、WAN/DMZ 设置、系统时间与DNS 设置。

1、向导设置导航到[基本设置 / 向导设置 ]，该向导将逐步引导您设置该系统使之能接入 internet。

点击<下一步>出现《网络模式选择》

点击<下一步>出现《选择 WAN口方式》http://www.wholeton.com 21 Support TEL:0755-26546529


如果选择静态 IP，点击<下一步>出现《填写静态 IP地址》

点击<下一步>出现《是否设置 WAN 口的带宽》



点击<下一步>出现《填写 LAN口的信息》

点击<下一步>出现《设置 DHCP 服务器》



点击<下一步>出现《配置完成》

2、模式选择e地通设备支持三种工作模式，他们分别是：路由模式、透明桥模式与NAT 模式。



1）、路由模式路由模式是防火墙的基本工作模式，该模式运行在网络层。在路由模式下，该设备充

当一个路由器使用，这时防火墙的各个端口 ip地址都位于不同的网段。导航到[基本设置/模式选择]，选中[路由模式]，如下图：

单击<保存>按钮保存选择的路由模式。使配置生效必须重新启动本机。注意：在路由模式下，该设备就充当一个简单的路由器。通过设置静态路由，可以使

LAN内的计算机访问 WAN 外的计算机，也可以使WAN 外的计算机访问 LAN内的计算机。2）、桥接模式

透明网桥模式在数据链路层实现。将一种 LAN上的MAC 帧中继到另一个 LAN上；如果两个 LAN使用了不同MAC协议，那么网桥必须将入境帧的内容映射到符合出境 LAN帧格式的出境帧中；防火墙在该模式下工作时，可以透明的接入到网络的任何部位，用户察觉不到防火墙之存在。而且这种方式最适用于已经建成之网络。无需改动用户网络结构和配置，即插即用，简便高效，使用方便。导航到[基本设置/模式选择]，选中[透明桥模式]，配置桥接模式的 IP地址、子网掩码以

及网关信息。IP 地址：与 LAN中的计算机处在相同网络中的一个没有使用的 IP地址；子网掩码：与 LAN 计算机的子网掩码配置相同；网关：与 LAN 计算机的网关配置相同。



单击<保存>按钮保存选择的透明桥模式。使配置生效必须重新启动本机。注意：在桥接模式下，设置的 IP地址只是起到登陆到设备管理设备使用；在桥接模式下，防火墙所有的过滤规则都是一样生效的；在桥接模式下，e地通服务能同时使用保证网络的安全。在桥接模式下，采用设置的 IP地址访问，方式：https://192.168.1.8:10000/。

3）、NAT 模式NAT——网络地址转换，是通过将专用网络地址（如企业内部网 Intranet）转换为

公用地址（如互联网 Internet），从而对外隐藏了内部管理的 IP 地址。这样，通过在内部使用非注册的 IP 地址，并将它们转换为一小部分外部注册的 IP 地址，从而减少了IP 地址注册的费用以及节省了目前越来越缺乏的地址空间（即 IPV4）。同时，这也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险。

导航到[基本设置/模式选择]，选中[网关模式（NAT）]，如下图：



单击<保存>按钮保存选择的网关模式。使配置生效必须重新启动本机。注意：通常情况下，e地通设备工作在在NAT 模式下。

3、LAN 设置导航到[基本设置/LAN 设置]，设置 LAN 口 IP 地址和子网掩码，默认的 IP 地址是

192.168.0.254和子网掩码是 255.255.255.0。

修改成相应的 IP地址/子网掩码，单击<保存>按钮保存 LAN 端口的设置。注意：如果修改了 LAN的 IP地址，并且 LAN的用户通过该设备接入 internet，则需要更改

LAN内计算机的默认网关设置才能接入 ineternet。该设置需要重新启动后才能生效。



4、WAN/DMZ 设置—DMZ

DMZ 是英文“DeMilitarized Zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题而设立的一个非安全系统（WAN）与安全系统（LAN）之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施如企业Web 服务器、FTP 服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。导航到[基本设置/ WAN/DMZ 设置]，设置<DMZ用途>为DMZ，同时选择一个不同于

LAN口网络与WAN口网络的一个 IP网络地址，如 192.168.10.*。在<IP地址>栏输入一个IP地址，如 192.168.10.3，在<子网掩码>栏输入网络掩码，如 255.255.255.0.

单击<保存>按钮保存 DMZ的设置。使配置生效必须重新启动本机。注意：将 DMZ的用途设置成DMZ 功能后，有以下几个特点：DMZ内的服务器不能连接 LAN内的计算机，也不能连接WAN侧的计算机（即不能接入 internet）；LAN内的计算机能访问 DMZ中的服务；WAN侧的用户通过 e地通可以安全地访问 DMZ内的服务；WAN侧的用户通过 IP映射与虚拟服务（端口映射）可以非安全地访问 DMZ内的服务；导航到[基本设置/ WAN/DMZ 设置]，如果设置<DMZ用途>为WAN，设置用途成为

WAN<保>存后,其WAN接口的相关参数需要转到“设置 WAN”页设置<WAN/DMZ>端口，如下图。设定参考<基本设置 /WAN/DMZ 设置 >。关于WAN/DMZ的网络接线方法、WAN 配http://www.wholeton.com 28 Support TEL:0755-26546529

http://www.it-waibao.com/it-waibao/termCommentate/fwq/index.html

http://www.it-waibao.com/it-waibao/termCommentate/fhc/100_154_1393.html


置设置方法同<设置 WAN>，参考<设备直接接入 internet 的连接方法 >。

5、WAN/DMZ 设置—WAN

导航到[基本设置/设置 WAN]，设置用户的接入 internet的方式，任何用户都必须设置WAN 设备才能正常使用，防火墙才能生效，VPN 才能被接入。

静态 IP 地址（光纤接入、固定 IP 接入、设备置于内网 LAN 中）从选择 WAN 端口的下拉式菜单中选择要设置的端口。假如您的 ISP分配了一个或者多

个固定 IP 地址，从 WAN 配置的下拉式菜单中选择固定 IP，输入 WAN IP 地址、子网掩码以及默认的网关地址。所有这些信息都可以从 ISP 获得。

单击<确定>按钮保存 WAN 端口静态 IP 地址的设置。使配置生效必须重新启动本机。注意：如果 ISP分配有多余一个的 IP地址，则将其中的一个设置在WAN中，将其余的 IP地

址设置在VLAN中的相应的WAN接口上，请参考< 高级设置 /VLAN 设置 > 。如果需要将设置成 VLAN中的 IP地址转发给 LAN中的一台服务器，需要设置 IP映射，

请参考< 防火墙设置 /IP 映射 > 。 PPPoE (通过以太网的点对点协议) （大多数的 ADSL 用户）从选择 WAN 端口的下拉式菜单中选择要设置的端口。假如您的 ISP 使用 PPPoE协议，

从 WAN 配置的下拉式菜单中选择 PPPoE（ADSL）。然后输入当地 ADSL 提供商提供用户名和密码。



单击<确定>按钮保存 WAN 端口 PPPoE的设置。使配置生效必须重新启动本机。

注意：用户帐号的设置，需要完全按照 ISP的规范，如有些 ISP用户帐号设置成如上图中的

“wholeton”，有的 ISP 设置成“wholeton @163.gd”或者“wholeton @cnc.net”。动态 IP (大多数 CABLE Modem 接入)从选择 WAN 端口的下拉式菜单中选择要设置的端口。假如您的 ISP 自动分配 IP 地址，

从 WAN 配置的下拉式菜单中选择动态 IP。设置 DNS 检测输入 DNS 服务器的 IP 地址。

单击<确定>按钮保存 WAN 端口动态 IP的设置。使配置生效必须重新启动本机。注意：



以上WAN口或DMZ口有以下的情况之一必须重启系统：由WAN 转为DMZ或DMZ 转为WAN; WAN口设置当前有三种方式供选择：“自动获取 IP地址”、“PPPoE(ADSL)”和

“静态 IP地址”。当由一种方式切换到另一种方式时需重启，如“PPPoE(ADSL)”切换到“自动获取 IP地址”。

其它情况只需单击“保存”按钮就可以使您的配置立即生效。WAN口策略路由如果 e地通设备采用双线路或者多线路成倍地增加带宽，可以使用策略路由，指定

LAN 访问网通的网站（企业网站、游戏网站）通过网通的WAN接口转发出去，指定 LAN访问电信的网站（企业网站、游戏网站）通过电信的WAN接口转发出去。WAN口的策略路由选项可以配置单独的静态路由，分别可以绑定多个地址，指定外出访问是输出的接口。输入的路由地址以空格(或者换行)分隔开。地址后面加斜杠再加子网掩码的位数。

例如：某用户 WAN1 采用电信接入，WAN2 采用网通接入，本设备的 LAN 设置的 IP地址为 192.168.192.2;

则需要在 WAN1 中的策略路由，在策略路由中输入：设置将电信的 IP 下载填入在 WAN2 中的策略路由设置如下：192.168.192.2/24 (这个在第二个线路一定要设置，在第一条线路上不要设置)然后将网通的 IP下载填入，格式如下：60.0.0.0/8 60.1.0.0/8 60.2.0.0/8 60.3.0.0/8 60.4.0.0/8 60.5.0.0/8 60.6.0.0/8 60.7.0.0/8 60.8.0.0/8 60.9.0.0/8 60.10.0.0/8 60.12.0.0/16 60.13.0.0/18 60.13.128.0/17 …… 其中 /16代表子网掩码 255.255.0.0 /24代表子网掩码 255.255.255.0 /32代表子网掩码 255.255.255.255

具体设置请联系惠尔顿的技术支持人员。http://www.wholeton.com 31 Support TEL:0755-26546529



6、系统时间单击[基本设置/系统时间]进入设置系统时间，该系统时间是指硬件设备的 BIOS时钟

或者操作系统的软件时钟。您也可以通过网络时间服务器(NTP)来设置时间。

注意：e地通设备中的所有日志记录中的时间显示是以此为基准的。

7、DNS 设置DNS 是指域名服务器(Domain Name Server)。在 Internet上域名与 IP地址之间是一一对

应的，域名虽然便于人们记忆，但机器之间只能互相认识 IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。为了能正确地采用域名（如www.sina.com.cn）方式的访问 internet上的网站，e地通设

备需要设置正确的 DNS 服务器，为本设备或者 LAN内的计算机能正确的解析域名成 IP地址。在提供的输入框内输入 DNS 服务器的 IP 地址。多重 DNS IP 的设置是很普通的。一般来说第一个输入的DNS 会被采用。

输入 IP 地址到 DNS 服务器主 DNS 栏，如果连接成功这个DNS IP 地址会先被采用。输入 IP 地址到 DNS 服务器备 DNS 栏作为备份。



单击<保存>按钮保存 DNS 设置。注意：该设置中的 DNS 首先应该是用户本地的 DNS，否则 DNS的解析过程会慢，影响访问

internet的速度；该设置中的 DNS应该为用户 ISP提供的官方 DNS，即采用电信ADSL接入的用户将此

设置成电信的DNS，采用网通接入的用户将此设置成网通的DNS。问题点：如果 e地通设备能 ping通外网的 IP地址，如 ping 218.16.120.41，但是不能 ping通外网

的域名，如 ping www.sina.com.cn ，说明该设置中的 DNS不正常。具体测试方法参考[系统工具 / 网络工具 ]；如果 LAN内计算机能 ping通外网的 IP地址，如 ping 218.16.120.41，但是不能 ping通

外网的域名，如 ping www.sina.com.cn ，也可能是该设置中的 DNS不正常，也可能是 LAN内计算机的DNS 设置问题。





第四章网络配置登陆 e地通设备，导航到[网络配置]，展开它，包含六个方面的信息与配置选项，他们

分别是：DDNS 配置、VLAN 设置、DHCP 设置、静态路由、IP/MAC 绑定与 LAN 口特殊功能。

1、DDNS 配置DDNS （动态 DNS）服务让您分配一个固定的网域名给一个动态 WAN IP 地址。这样

让您主机自己的Web，FTP 或在您网络上其它类型的 TCP/IP 服务器。在还没有设置 DDNS 之前，您需要访问 www.dtdns.com， www.3322.org 或其它的DDNS 服务商并且注册一个网域名。（DDNS 服务是 dtdns.com 提供的。）

DDNS 服务：在默认下 DDNS 功能是没有启动的。要激活此功能，只要从下拉式菜单中选择一个 DDNS 服务商，并且在您和 DDNS 服务商设置的帐户里输入用户名，密码，和主机名。选择启动 DDNS 后，每次拨号连接都会自动更改本域名的 IP 地址，则客户端即可通过动态域名访问到服务器。

点击<保存> 按钮保存对DDNS的设置。

2、VLAN 设置 VLAN，是英文Virtual Local Area Network的缩写，中文名为“虚拟局域网”。 VLAN

是将局域网（LAN）设备从逻辑上划分（不是从物理上划分）成多个不同网段（或者说是更小的局域网 LAN），从而实现虚拟工作组（单元）的数据交换技术。

e地通硬件网关采用在单个网络接口上绑定多个不同网段的 IP地址实现 VLAN。局域网LAN通过 VLAN划分后，被 VLAN 隔离的计算机用户可以同时接到单个网络接口，并经过该设备接入 internet，此外，被 VLAN划分的小 LAN 即可以禁止他们互防，也可以允许不同的VLAN 之间互访（此时的作用只是降低冲突域的规模，即阻隔广播包在 VLAN 之间转发）。http://www.wholeton.com 34 Support TEL:0755-26546529


导航到[网络配置/VLAN 设置]，进入到 VLAN 设置界面，如下图：

单击<添加>按钮增加 VLAN 设置。输入下面的数据，创建新的 VLAN，单击<保存>按

钮保存 VLAN 设置。：

网络地址：一个 IP地址值，为服务器设备所设置的一个 IP地址值。该设置根据以下[网络接口]的设置不同其含义也不同；

A、如果[网络接口]中选择 LAN口，表示该 IP地址设置在 LAN口上，与局域网内和此 IP地址在同一个网段计算机组成一个 VLAN，此 VLAN内的计算机如果需要通过该设备接入 internet，需要将该VLAN中的计算机的网关设置成该 IP地址；

B、如果[网络接口]中选择 WAN口(设置成任何一个WAN其含义相同)，表示该 IP地址设置在该WAN口上，与WAN 外和此 IP地址在同一个网段计算机组成一个VLAN；

C、如果[网络接口]中选择 WAN/DMZ口，表示该 IP地址设置在该WAN/DMZ口上。当该WAN/DMZ 设置成 DMZ时，与以上 A 相同；当该WAN/DMZ 设置成WAN时，与以上B 相同。

子网掩码：配合网络地址，划分出一个网段。网络接口：从下拉菜单中选择一个端口- LAN，WAN 或WAN/DMZ 口，例如选择一个

LAN口，则表示此网段地址和 LAN口在同一个VLAN。http://www.wholeton.com 35 Support TEL:0755-26546529


导航到[网络配置/VLAN 设置]，单击在删除栏里的按钮，将删除相应的VLAN 设置。

[应用举例一]：假如用户采用光纤或者固定 IP 接入 internet，用户存在多个 IP 地址，例如：

218.16.120.1-218.16.120.2 两个 IP 地址。希望将 218.16.120.1 使用在 WEB 服务器上，218.16.120.2使用在邮件服务器上，e地通设备的设置如下。第一步、将 e地通设备放置在网关，设置 WAN1的 IP地址为 218.16.120.1，并根据[设

备直接接入 internet 的连接方法 ]设置接入 internet；第二步、将 WEB 服务器上与邮件服务器放在 LAN或者DMZ区，并设置 IP地址、子网

掩码与默认网关使之能接入 internet，假如WEB 服务器的 IP地址是 192.168.1.80，邮件服务器是 192.168.1.110；第三步、进入 [网络设置 /VLAN 设置 ]，添加一个 VLAN，其中网络地址设置为

218.16.120.2,网络接口设置成WAN1；第四步、设置 IP映射，将 218.16.120.2映射到 192.168.1.110，详细参考[防火墙 /IP 映射 ]；第五步、设置虚拟服务，将 WEB的服务端口映射到到 192.168.1.80，详细参考[防火墙 /

虚拟服务]。[应用举例二]：

假如用户需要将一个 LAN划分成两个网络其中一个为 192.168.1.*，将所有的服务器放置在另外一个网络，例如 10.10.10.*，所有广域网络与 LAN内的网络都需要通过 VPN 安全隧道访问到服务器群。第一步、将 e地通设备放置在网关，并根据[设备直接接入 internet 的连接方法 ]设

置接入 internet；第二步、将服务器群放在 LAN（也可以是 DMZ）的一个 VLAN中，并设置 IP地址

(10.10.10.*)、子网掩码与默认网关（10.10.10.100）使之能接入 internet，为了进一步的安全，也可以不设置网关，不让服务器群接入 internet；第三步、进入[基本设置/设置 LAN]，假如：IP地址为 192.168.1.1；第四步、进入 [网络设置 /VLAN 设置 ]，添加一个 VLAN，其中网络地址设置为

10.10.10.100,网络接口设置成 LAN；第四步、设置 LAN中的非服务器计算机通过 192.168.1.1接入 internet；第五步、进入[网络设置/VLAN口特殊功能]，点击<禁止 LAN口 IP 间互访>，禁止

192.128.1.*网络中的计算机与 10.10.10.*中的服务器互访；第六步、进入 e地通服务使 internet用户安全访问服务器内容，同时使 192.128.1.*内用

户安全访问服务器内容。



3、DHCP 设置DHCP(Dynamic Host Configuration Protocol动态主机配置协议)：计算机用来获得网络

配置信息的协议。DHCP容许给某一计算机赋以 IP地址、子网掩码以及默认网关而不需要管理者在服务器数据中配置有关该计算机信息。

SOCKS5硬件网关能用作 DHCP 服务器。DHCP 服务器可以自动地分配可用的 IP 地址给每一个在网络上的电脑。假如您选择开启 DCHP 服务器选项，您一定要配置局域网上的所有的电脑连接到此 DHCP 服务器，并且在计算机上启动DHCP client 服务。

DHCP 服务：选中<开启>激活DHCP 服务；选中<禁止>停止 DHCP 服务；自动应用于绑定 MAC 地址的 IP 用户：与以下的《IP/MAC绑定》功能对应；地址起点：输入一个开始的 IP 地址作为分配动态 IP地址的起点地址；地址终点：输入一个结束的 IP 地址与开始的 IP地址构成一个范围好分配动态 IP 地址。网络掩码：输入内网 IP 子网掩码说明：单击<查看>可以观看已分配的 IP情况

4、静态路由静态路由是指由网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发

生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由信息在缺省情况下是私有的，不会传递给其他的路由器。静态路由一般适用于比较简单的网络环境在这样的环境中，网络管理员易于清楚地了解网络的拓扑结构，便于设置正确的路由信息通过配置静态路由，用户可以人为地指定对某一网络访问时所要经过的路径, 在网络结构比较简单，且一般到达某一网络所经过的路径唯一的情况下采用静态路由。您会需要配置静态路由假如好几个路由器连接到您的网络。静态路由的功能决定数据

在您网络上流动的路线。静态路由让不同的 IP 网域用户经过网关访问 Internet。要设置静态路由，您应该填路由值到路由器的表格上，告诉网关哪里发送流入的信息



包。您网络上所有其它的路由器应该将默认的路线引导到网关。

单击<添加静态路由>按钮增加一个路由表格。输入下面的数据，创立静态路由表格，单击<保存>按钮保存静态路由设置：

意义解读：访问目标为<网络地址>/<子网掩码>网段的数据都由<默认网关>给予转发。上条静态路由表达意思为：目的地是 192.168.2.0/24这个网段的数据包经由192.168.1.2这个设备进行转发。

网络地址：输入目的 LAN 分段的网络地址。子网掩码：输入目的地 LAN IP 网域的子网掩码。基于 CIP 网域标准，子网掩码是

255.255.255.0。默认网关：假如 SOCKS5硬件网关是用来连接网络到互联网，那么网关的 IP 是 e地通智能

网关的 LAN IP地址。

导航到[网络配置/静态路由]，单击在删除栏里的按钮，将删除相应的静态路由设置。[应用举例]

设备 EDT1，设置成 [ 路由模式 ]，WAN 口 IP 为 192.168.10.1，LAN 口 IP 地址为http://www.wholeton.com 38 Support TEL:0755-26546529


192.168.1.1， PC1 通过交换机与设备 EDT1 的 LAN 口处在相同的网络， IP 地址为192.168.1.2，网关设置为 192.168.1.1。

设备 EDT2，设置成 [ 路由模式 ]，WAN 口 IP 为 192.168.10.2，LAN 口 IP 地址为192.168.2.1， PC2 通过交换机与设备 EDT2 的 LAN 口处在相同的网络， IP 地址为192.168.2.2，网关设置为 192.168.1.1。

设备 EDT1 与设备 EDT2的WAN口通过交换机处在相同的网络。如果需要使 PC1 能访问 PC2就可以在 EDT1与 EDT2 设备上分别设置如下路由：

设备 EDT1 ： 192.168.2.0 255.255.255.0 192.168.10.2设备 EDT2 ： 192.168.1.0 255.255.255.0 192.168.10.2

5、IP/MAC 绑定启动 IP/MAC 绑定将控制内部网络的用户接入 internet。如果某一个 IP 地址启用

了 IP/MAC地址绑定，如果他更改成其他 IP地址也不能访问 internet。

点击《ARP 命令列表》，在输出列表当中填写需要绑定MAC 地址的 IP 地址。IP 和MAC 之间以空格符号分开每行一条，输入完毕之后，点击 <保存> 按钮保存列表

6、LAN 口特殊功能这个 LAN 口设置提供代理服务器的转发功能。LAN 成为代理服务器监听特定端口，

用户需要连接到外部网络时，首先指出需要连接的远端目的地，由代理服务器来进行连接连接成功以后，代理服务器转发数据，本地用户的操作就像直接与远端相连一样了。http://www.wholeton.com 39 Support TEL:0755-26546529


LAN 口特殊网络设置提供四项选项： LAN 口使用 ARP-PROXY：核取左边的框框会指定 LAN 口对连接到 LAN 口的 e地通

设备作出ARP 请求的应答（注，在设备不做为网关时，推荐不选中此项）。 LAN 口允许任意 IP 登录：核取左边的框框会激活即插即用的功能。即使用户设置的 IP 不正确，e地通设备也会允许（代理）其上网。

禁止 LAN 口 IP 间互访：核取左边的框框会禁止经过 LAN 口 IP 间的互访。代理DNS 访问服务：核取左边的框框会激活即插即用的功能。即使用户的DNS 设置不

正确，e地通设备也会允许（代理）其上网。

点击 <新增> 按钮建立一个代理服务器。端口号：输入用户的端口号。代理服务器端口：输入代理服务器的端口号。代理服务器 IP 地址：输入代理服务器的 IP 地址。点击 <保存> 按钮保存代理服务器的设置。点击 <删除> 按钮删除代理服务器的设置。

[应用举例]支持 LAN的即插即用功能，即无论设备后的 LAN中的计算机的 IP地址设置成私有网

络的什么 IP地址，DNS，都可以通过该设备接入 internet，这个功能针对酒店很实用。假如设备 LAN的 IP地址为 192.168.10.254，如果启用了设备的即插即用功能，设备后

的 LAN中有一台客户的笔记本电脑设置的 IP地址为 10.0.0.10，网关设置为 10.0.0.1，DNS设置为 202.96.134.133，即使 IP网段与设备的 LAN口 IP网段不一致，这台笔记本电脑也是可以接入 internet的。设置方法如下图：



假如设备 LAN的 IP地址为 192.168.10.254，如果启用了设备的即插即用功能，设备后的 LAN中有一台客户的笔记本电脑的网卡设置为自动获取 IP与 DNS，那么启用设备的DHCP 服务，这台笔记本电脑通过 DHCP获取动态 IP也是可以接入 internet的。

设置方法，参考《[网络配置/DHCP 设置]》



第五章 e 地通配置登陆 e地通设备，导航到[e地通配置]，展开它，包含四个方面的信息与配置选项，他

们分别是：基本设置、网关设置、e 地通管理与 e 地通日志。

1、基本设置1.1、跳板设置

跳板是指放置于WEB 服务器（一般在公网上）上的ASP或者 PHP脚本文件，包括主跳板地址和备跳板地址，跳板密码是保证只有知道该跳板密码的用户（终端）才能使用该跳板，达到更新跳板内容的目的。

在“主跳板地址”和“备跳板地址”栏输入正确的跳板地址，如上图中的 http://wholeton.com:88/test/test.php和 http://wholeton.net/test/test.php，在“跳板密码”中输

入正确的跳板密码,如上图中的“wholetonphp1”，单击<保存>，完成跳板设置。：说明：

只有 e地通硬件网关没有固定 IP地址时，才需要使用跳板进行寻址，e地通硬件网关提供两种分别采用 PHP语言和 ASP语言编写的脚本文件用作跳板，方便不同的Web 服务器使用。

e地通硬件网关采用双跳板备份机制，来增加跳板的稳定性。注意：

跳板文件需要与跳板密码配合使用，请注意填写的跳板密码是否正确，并且跳板密码后面不能存在空格。新购买的无固定 IP的用户需要跳板寻址，请与惠尔顿的技术人员联系

1.2、安全策略




<添加用户>单击<添加用户>，输入相应的内容，单击<保存>，添加用户：

系统会提示“添加用户成功”，单击<确定>完成添加用户：说明：用户帐号：用户使用该系统的标示，可任意填写，建议有实际含义，用户帐号间不能相同。用户密码：不能为空，任意填写；密码确认: 必须与登陆密码相同才能添加成功。硬件绑定：如果启用，则该用户只能在第一次使用该用户登陆计算机的计算机上使用，如果需要更新使用的计算机，则使用修改用户中的重设硬件信息来重设设定新的计算机硬件信息。启用 Key：如果启用应用 Key 认证，用户登陆时必须插入硬件 Key 才能使用系统，无需输入用户账号。http://www.wholeton.com 44 Support TEL:0755-26546529


用户 PIN 码：用户在客户端使用时的登陆密码，系统管理员自行设定，由数字与字符组成。终端登陆: 指定用户登陆 e+1应用时,优先使用此处绑定的操作系统帐号，该帐号需要在Windows终端服务器上添加。上网限制启用：勾选启用时，用户登陆成功以后，获取到服务器控制信息，客户机器只能使用权限的应用，无法访问其他网络。安全组：下拉框中选择已经添加的安全策略组，用户登陆后，获取到服务器安全策略组信息后，客户机器硬件控制生效。用户启用 Key 认证的方法：一、安装支持硬件 key的插件，方法如下：1、点击<下载本文件另存为 SYSTEM32目录下>下载支持硬件 KEY的库（文件名：

FT_ND_API.dll）；2、设置 http://192.168.0.254:10000/成为可信站点；

IE6.0的设置：打开 IE 浏览器，导航到[工具/internet 选项/安全/受信任的站点]<站点>输入 http://192.168.0.254:10000 <添加>

3、按照以上设置完成后，重新导航到 [e 地通配置 /用户管理 ]，会弹出提示安装iKeyControl.ocx，点击<安装>安装支持硬件 key的ActiveX 插件。

二、设置 key信息1、将 Key 插入计算机的USB口；2、添加新用户或修改现有用户信息时选中“启用Key”；3、设定一个用户 PIN 码，每个Key对应有唯一的用户 PIN 码；4、设定完成后点击<保存>则可，如果提示管理员 PIN错误，请检查以上步骤是否正确

完成。三、在客户端使用 key此用户在客户端登陆时，先将 Key 插入计算机的 USB口，再运行 VPN 客户端就会提

示输入用户 PIN 码，并且此时只要输入正确的用户 PIN 码而不需要再输入用户帐号和密码就可以登陆。<修改用户>

选择一个用户，单击修改栏中的，导航到修改用户信息：http://www.wholeton.com 45 Support TEL:0755-26546529

http://192.168.0.254:10000/


说明：用户帐号：在修改用户中，该项不能修改。重置硬件信息：如果已经采用硬件绑定的计算机用户，需要更换计算机，则需要选中[重置硬件信息]将原有的计算机硬件特征信息清除，让新的计算机硬件特征信息重新生成；

其他所有条目同添加用户对应条目。<删除用户>在用户管理中的[删除]栏，选择需要删除的用户，单击[删除用户]将删除所有选中的用

户。<添加 U 盘认证>此功能为 e地通产品新推出功能，可以适用普通的 U盘进行数据的读写，是普通 U盘升级为 e地通用户登录的 KEY。U盘用户的添加需要安装一个插件，才能识别普通的 U盘，进行添加操作，如果需要此插件，请与惠尔顿技术人员联系。

<添加批量用户>批量添加用户功能同样是 e地通新版本添加的常用功能，用户在添加数量较大的用户

时，可以适用批量添加用户功能。http://www.wholeton.com 46 Support TEL:0755-26546529


批量添加用户功能分为两种添加模式：A：适用 TXT文件格式导入任意想要添加的用户（注：因为此文件是直接导入配置文

件中，格式要求严格，如果非专业人员请联系惠尔顿技术进行协助）

B：自动批量添加用户，此功能比较适合大众使用，操作简单快捷，用户可以根据自己需求添加任意个用户，用户名称模式为 XXXX001，后三位必须为数字，然后输入添加用户个数，可以直接添加尾数递增的用户。下图示例，批量添加 test001—test020二十个用户的规则：

添加完成后，会提示添加成功，返回用户界面，界面中显示出已添加的 20个用户，下图示：



<应用>在用户管理中，添加用户、删除用户、修改用户后，点击<应用>后立刻生效，而不需要

重新停止/启动 e地通服务。

1.4、用户状态单击[e地通设置/基本设置/用户状态],出现如下界面,页面显示为当前活动状态的用户.

1.5、应用设置单击[e地通配置/应用设置]，出现如下界面，内容包括<添加应用>、<修改应用>与<删

除应用>：



<添加应用>单击<添加应用>，填写应用名称、服务器 IP、网络掩码、服务端口：



单击<保存>，完成添加应用。注意：如果一个合法的网络掩码不是 255.255.255.255就表示一个网段地址，否则，表示服务

器 IP单台主机；例如：服务器 IP：192.168.0.100网络掩码：255.255.255.0 //表示整个 192.168.0.0这个网络。服务端口：0 //表示所有端口以上合起来就表示：192.168.0.0 整个网络的所有端口。端口为零表示服务器 IP(这个计算机)的所有端口，如果是多个应用服务器分别在不同

的端口提供服务，多个端口间采用逗号隔开，如 21,80,139；<删除应用>

在应用管理中的[删除]栏，选择需要删除的应用，单击将删除选中的应用。e+1应用是惠尔顿公司针对目前一些大型的应用系统互连增加的一个特殊的应用，主

要应用于一些传输的数据量非常大的应用系统的互连。e+1应用必须结合Windows的终端服务使用。单击[e地通配置/应用设置]，出现如下界面，内容包括<添加应用>、<修改应用>与<删除应用>：



单击<添加应用>，填写应用名称、服务器 IP、端口、登陆帐号、帐号密码、应用程序、起始位置：说明：应用名称：e+1应用的名称，可以是任何没有在应用管理和 e+1应用管理里面没有被使用的名称，应用名称不支持中文；服务器 IP：终端服务器的内网 IP；端口：对应于windows终端服务的端口，默认为 3389，若要修改，则需要通过修改注册表来修改终端服务的服务端口；登陆帐号：登陆终端服务所需要的 windows用户帐号，并且该帐号有访问 windows终端服务的权限。帐号密码：以上登陆帐号相应的密码；应用程序：终端服务器上可执行的应用程序，如：notepad.exe;起始位置：应用程序所在路径，如：c:\winnt；注意：

起始位置应用的所有属性字段在填写时都不能使用汉字，如果有字段（例如应用程序的执行路径）已经使用了汉字的，请手动修改。

e+1应用仅仅结合终端服务使用。e+1应用需要微软的终端服务器的支持。



单击<保存>，完成添加 e+1应用。e+1应用添加后也需要在[基本配置/权限设置]为用户授权，只有授权的用户才能使用。

<修改应用>

选择一个 e+1应用，单击修改栏中的，导航到修改 e+1应用信息：

单击<保存>，完成修改应用。http://www.wholeton.com 52 Support TEL:0755-26546529


<删除应用>

在 e+1应用管理中的[删除]栏，选择需要删除的 e+1应用，单击将删除选中的 e+1

应用。

1.6、权限设置单击[e地通配置/权限管理]，出现如下界面：

针对每一种应用设置相应用户访问权限以后单击<保存>。注意：系统默认任何用户都不能访问 VPN后面的资源，只有拥有授权用户才能访问相应的应

用。

2、外部认证2.1、RADIUS 认证

支持 RADIUS 认证系统，此功能为第三方认证功能。用户只需按照添加规则输入自己Radius 服务器信息。



信息配置正确后，界面中会显示出服务器的信息：

2.2、LDAP 认证支持 LDAP 认证系统，此功能为第三方认证功能。用户只需按照添加规则输入自己 Ladp服务器信息。



信息配置正确后，界面中会显示出服务器的信息

2.3、添加根证书此模块跟证书为 CA 认证需要上传的根证书文件

3、网关设置3.1、网关设置单击[e网关设置/网关设置],当前页面显示为已经建立的连接,可对已经添加的连接进行

[修改],[删除].如下图所示:



单击[添加网关],打开页面如下图所示,选择要添加的类型,输入用户账号,用户密码,本地子网,远程子网,选择是否启用快速连接,ACK代理,WAN缓存.类型:选择是作为服务器(等待客户端接入),客户端(接入服务器),移动客户(等待移动用户接入).用户帐号/用户密码:E地通隧道验证的用户名和密码，服务器和客户端填写一致 ,不支持中文.本地子网 / 远程子网 :E 地通隧道连接的本地网络，格式有一个网络如 :192.168.1.0/255.255.255.0 或者一个主机 :192.168.1.8/255.255.255.255 或多个网络:192.168.1.0/255.255.255.0;192.168.2.0/255.255.255.0跳板或 IP:作为客户端填写跳板连接服务器或者填写 IP地址与端口连接服务器移动 IP:填写格式为:172.32.1.8/255.255.255.0

3.2 连接状态单击[e网关设置/连接状态],当前页面显示为活动状态的连接. 如下图所示:



3.3、虚拟网卡单击[e地通配置/网关设置/虚拟网卡]，根据提示输入 IP地址,子网掩码,点击<保存>操

作完成.如下图所示:

4、e 地通管理

4.1、加密压缩单击[e地通配置/加密压缩]，选择是否“加密压缩”，单击<保存>即可完成设置：



说明：加密：启用加密功能，将对服务器端与客户端交互的数据流进行加密，增强数据在传输过程中的安全性，加密算法为AES-128b。压缩：启用压缩功能，将对服务器端与客户端交互的数据流进行压缩，提高带宽的利用率压缩算法为 LZO 流压缩算法。选中“压缩”后系统的传输速度会明显提升。

4.2、服务端口e地通服务默认使用 1080 端口，如果 1080 端口被其他应用程序占用，或者 1080 端口

无法开放，用户可以修改 vpn 服务端口。单击[e地通配置/服务端口]，输入需要使用的端口号，单击<保存>即可完成设置：

注意：在某些情况下，运营商会阻止 1080 端口的访问（认为此端口是 SOCKS5的代理端口而

进行阻止、伪装或者欺骗），此时表现的现象是所有客户端不能连接此 e地通服务系统，但是远程客户端能正常连接其他的 e地通服务，例如 e地通的演示平台，此时只要将此服务端口更新成其他服务端口则可，例如:1111。

4.3、备份恢复单击[e地通配置/备份&恢复]，SOCKS5硬件网关提供对 VPN 配置进行备份和恢复的

功能，单击<备份数据>，然后选择相应的路径即可将服务器配置备份到相应的目录下；需要恢复的时候，单击<浏览>选择备份文件，然后单击<恢复数据>，即可恢复服务器设置。



注意：系统设置完成后，请及时手工备份下，并保留好。e地通硬件设备，备份数据后，生成的文件名为 backup.bak，在恢复数据时需要将文件

名更改成 backup.bak 才能恢复数据成功。e地通软件系统，备份数据后，生成的文件名为 config.bak，在恢复数据时需要将文件

名更改成 config.bak 才能恢复数据成功。

4.4、e 地通服务单击[e地通配置/服务管理]进入服务器管理，可以启动 e地通服务、停止 e地通服务和

重启硬件设备。

注意：在大多数情况下，配置服务器的网络属性或者更改服务器网络配置以后都必须重启服

务器才能生效。在大多数情况下，配置 e地通设置或者更改 e地通设置以后都必须停止 e地通服务，并

启动 e地通服务。

4.5、注册授权SOCKS5硬件设备必须注册以后才能使用其 e地通服务的功能，单击[e地通配置/注册

授权]，在产品序列号栏输入注册序列号在授权用户数栏输入相应的授权用户数，在授权链路数栏输入相应的授权链路数即可。http://www.wholeton.com 59 Support TEL:0755-26546529


升级：单击[e地通配置/注册授权]，在产品序列号栏输入升级序列号后，在授权用户数栏输

入相应的授权用户数，在授权链路数栏输入相应的授权链路数，即可升级序列号扩大系统的接入客户量。

授权用户数：授权使用的 e地通服务的用户数量，包含两个部分的数量的总和，第一是[e地通网关 / 网关配置 ]中的移动端设置的数量，其次是[e 地通配置 / 用户管理 ]中添加的用户数量。分支数：[e 地通网关 / 网关配置 ]中的服务器设置的数量；链路数：internet接入的数量，在使用跳板时候才有用，使用固定 IP时，此设置无效。产品序列号：根据以上信息公司发给该设备的产品序列号。

注意：如果没有注册或者注册信息不匹配（以上任何一项不正确），只是设备中的 e地通服务

不能启动，其防火墙功能能正常启动并所有功能正常。

5、e 地通日志

5.1、日志设置单击[e地通配置/e地通日志/日志设置]，设置日志文件大小和日志的级别等信息，单击<保



存>即可。日志文件大小：日志文件大小只能是整数，最大 20。日志分级水平：分为调试信息、正常信息、警告信息、错误信息、致命错误五个等级，日志信息依次减少。注意：一般设置成为正常信息。<备份日志>将日志备份到本地，这样查看更方便，更直观。

5.2、e 地通日志：单击[e地通配置/e地通日志/e地通日志]，通过查看 VPN 运行情况：

5.3、审计日志：单击[e地通配置/e地通日志/审计日志]，可以查看 VPN中用户数据交互的信息记录。



第六章 IPSec 设置

登陆产品后台设置界面，导航到[IPSec 设置]，展开它，包含两个方面的信息与配置选项，他们分别是：IPSec、PPTP、L2TP。

1、IPSec

“Internet 协议安全性 (IPSec)”是一种开放标准的框架结构，通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。Microsoft® Windows® 2000、Windows XP 和 Windows Server 2003 家族实施 IPSec 是基于“Internet 工程任务组 (IETF)”IPSec 工作组开发的标准。

IPSec 是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中，只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。在 Windows XP 和 Windows Server 2003 家族中，IPSec 提供了一种能力，以保护工作组、局域网计算机、域客户端和服务器、分支机构（物理上为远程机构）、Extranet 以及漫游客户端之间的通信。

IPSec 有两个目标： 1.保护 IP 数据包的内容。 2.通过数据包筛选及受信任通讯的实施来防御网络攻击。

这两个目标都是通过使用基于加密的保护服务、安全协议与动态密钥管理来实现的。这个基础为专用网络计算机、域、站点、远程站点、Extranet 和拨号用户之间的通信提供了既有力又灵活的保护。它甚至可以用来阻碍特定通讯类型的接收和发送。　1.1、设置

VPN 用户虚拟为本机 IP：核取左边的框框会虚拟外网 VPN 用户成为本地用户，如此外网VPN 用户就能够不受到限制而使用某些应用程式。

支持 VPN 隧道转发：核取左边的框框会设定此 VPN 设备转发所有进来的隧道至下一个VPN 网关。



1.2、VPN 配置列表让您在VPN 网关-网关或客户端-网关间配置 VPN 用户规则等。

上图共有两种连接分为四条配置，分别的意思如下：作为客户端：用户（ test.localdomain ）连接使用固定 IP 的服务器端

（10.2.0.10.）。作为服务器：分支机构（caiwu）作为子网使用同类型设备通过 VPN 接入本网。作为服务器：移动用户（guest）作为远端子网使用客户端软件通过 VPN 接入本

地子网。作为客户端：本地用户通过 test.local.company 连接使用动态域名的服务器端

（vpn.3322.org）。在 VPN 的网络中，可以把多个子网联系到一起，路由是靠子网的地址来区分的，所以所有连进 VPNSERVER 的客户端的子网之间不能冲突，也不能与服务器端的子网*冲突。

I、网关-网关 e地通设备作为服务器

分支机构（caiwu）作为远端子网使用同类型设备通过 VPN 接入本网。注：服务器端跟远端的客户端用户名 ID跟密码必须一致，本地子网设置为本地 IP范围，对方子网设置为相对应的 IP地址。



e地通设备作为客户端连接使用动态域名为 vpn.3322.org的VPN 设备注：所连接的服务器端是选用动态 IP 域名系统，所以必须填入相对应的域名。服务

器端跟远端的客户端用户名 ID跟密码必须一致

e地通设备作为客户端连接使用固定 IP 的其它设备。注：对方服务器端采用固定 IP上网，在配置客户端时，必须填入对方固定 IP地址。

服务器端跟远端的客户端用户名 ID跟密码必须一致。



II、客户端-网关 e地通设备作为服务器移动用户作为远端子网使用客户端软件通过 VPN 接入本网。

注：当移动用户需要跟W20建立连接时，必需添加服务器端，设定相对应的用户名跟密码、本地网子网配置。对方子网选择为“私有网端客户端”，IP值跟子网掩码为空。

客户端软件移动用户设定 guest 帐号登陆 VPN 服务器。本系统使用同一VPN 帐号同时联接多个用户。在本例中，多人可以同时使用 guest 帐号登陆进来，也可以在系统中设置不同的帐号归不同人使用。移动办公用户，可以在其电脑（win2000，Win2003，或 winXP 操作系统）上，安装配套的 VPN 客户端软件，



其客户端登陆界面设置如下：点击更新连接，状态为已连接的情况下，即可登陆到公司网络上，进行远程办公。注：可以采用两种方式进行连接1. 服务器端有固定 IP或者有动态 DNS时，在对方 IP或域名选项里输入 IP或者域名。2. 服务器段采用Web动态域名时，可以选择 Web动态域名服务选项，在域名里面输

入所绑定的网址。

1.2.1 VPN 隧道配置 - 服务器端将 e地通设备作为服务器，增加帐号，使得其它用户能联接进来。您若要编辑 VPN 隧道服务器端，选择用户并点击在连接模式栏里的<服务器端>连接模式。这编辑屏幕看起来很像新增 VPN 隧道服务器端屏幕。输入您的变更并且点击 < 保存并生效 > 按钮保存 VPN 隧道服务器端的设置，点击 <新建并生效> 按钮增加隧道，点击 <删除> 按钮删除此隧道，或点击 <退出> 按钮取消变更。



假如您所需要的用户名没有列在表里，请先选择服务器端，然后点击新增 VPN 隧道按钮加入新的VPN 隧道。

用户名（对方 ID）：即对方的登录用户名。ID和密码与客户端中的相等,即可建立联接。本地子网：即对方登录后，可联通公司的内网用户设定。对方 IP 或域名：从下拉式菜单中选择对方的寻址方式。如果选择动态 IP，不用输入对方 IP 地址，否则输入对方外网的 IP 地址。对方子网：当登录进来的用户为一子网时，一定要选择其对应的子网数据。可以在网络用户管理内定义好，亦可在此输入。密码：ID和密码与客户端中的相等,即可建立联接。注意：需要通过 VPN 登陆进来的用户一定要和本处设定的数据一致才能正确接通。动态 IP表明对方可能是拨号连接,不用输入 IP地址。1.2.2 VPN 隧道配置 - 客户端

用 e地通设备作为客户端，来主动的连接其它设备。您若要编辑 VPN 隧道客户端，选择用户并点击在连接模式栏里的<客户端>连接模式。这编辑屏幕看起来很像新增 VPN 隧道客户端屏幕。输入您的变更并且点击 <保存并生效> 按钮保存 VPN 隧道客户端的设置，点击 <新建并生效> 按钮增加隧道，点击 <删除> 按钮删除此隧道，或点击 <退出> 按钮取消变更。



假如您所需要的用户名没有列在表里，请先选择客户端，然后点击新增 VPN 隧道按钮加入新的VPN 隧道。用户名：即需要联接的服务器上所设置好的 ID。内网用户：即本地VPN 联接的用户地址信息。对方 IP 或域名：VPN 服务器信息。外网用户：对方的子网信息。1.2.3 VPN 隧道配置 - 移动客户端 *

将 e地通设备作为服务器，增加帐号，使得软件客队户端移动用户能联接进来。您若要编辑 VPN 隧道服务器端，选择用户并点击在连接模式栏里的<服务器端>连接模式。这编辑屏幕看起来很像新增 VPN 隧道服务器端屏幕。输入您的变更并且点击 <保存并生效> 按钮保存 VPN 隧道服务器端的设置，点击 <新建并生效> 按钮增加隧道，点击 <删除> 按钮删除此隧道，或点击 <退出> 按钮取消变更。



假如您所需要的用户名没有列在表里，请先选择服务器端，然后点击新增软件客户端按钮加入新的VPN 隧道。用户名（对方 ID）：即对方的登陆用户名。ID和密码与客户端中的相等,即可建立联接。本地子网：即对方登陆后，可联通公司的内网用户设定。对方 IP 或域名和对方子网：为默认空缺项。移动客户端不需要配置。密码：ID和密码与客户端中的相等,即可建立联接。

注意：在VPN 的网络中，可以把多个子网联系到一起，路由是靠子网的地址来区分的，所以所有连进VPN SERVER 的客户端的子网不能冲突，也不能与服务器端的子网冲突。1.2.4 VPN 配置 - 高级选项* 在配置服务器端或者客户端时。都有<高级设置>功能。当 VPN 配置好之后点击进入<高级设置>功能。http://www.wholeton.com 69 Support TEL:0755-26546529


模式选择：分为主模式与野蛮模式，野蛮模式，在 RFC2409中定义，是在 IKEv1第一阶段中使用的一种模式，和主模式相对，在 IKEv2中已经取消。野蛮模式的数据交换过程比较少，SA、密钥交换数据和身份数据是一次性发送的，所以可能会受到 DOS 攻击，而且提供的功能比主模式相对有限，但在某些特殊场合比较方便一些。 ESP 加密：3DES、AES 128 AES 256 三种加密算法；ESP 认证：MD5 SHA1 两种认证算法。 IKE 加密：3DES、AES 128 AES 256 三种加密算法；ESP 认证：MD5 SHA1 两种认证算法；DH 组：DH2、DH5两种加密算法。 PHASE1：IKE SA 生存期，因特网密钥交换(IKE)是 IPsec 最为重要的部分，在用IPsec保护一个 IP 包之前，必须先建立一个 SA，IKE用于动态建立 SA 主密钥生存期对应 IKE 主模式（阶段 I）协商创建的 IKE SA 生存期。它以快速模式协商的时间和数量进行配置，应用于 IPSec 策略中的所有安全规则。 PHASE2：ESP SA 生存期，认证隧道保持活跃：保持断线检测，断线连接，如果是客户端默认需要启用他。压缩：是否对数据进行压缩

1.3隧道状态导航到[IPSec 配置/IPSec/隧道状态]，可以查看隧道的状态，隧道发送或者接受的数据包数量。VPN 隧道状态显示有关VPN 隧道的信息。



对方 IP：远端用户的 IP 地址。本地子网：本地子网的 IP 范围。对方子网：对方子网的 IP 范围。状态：显示隧道的状态，它是否连接或正在连接。通讯包数量：显示通讯包来往的数量。

2、PPTP

PPTP：点对点隧道协议(PPTP: Point to Point Tunneling Protocol），是一种支持多协议虚拟专用网络的网络技术 ,它工作在第二层。通过该协议，远程用户能够通过 Microsoft Windows NT 工作站、Windows 95 和 Windows 98 操作系统以及其它装有点对点协议的系统安全访问公司网络，并能拨号连入本地 ISP，通过 Internet 安全链接到公司网络。

PPTP协议假定在 PPTP 客户机和 PPTP 服务器之间有连通并且可用的 IP网络。因此如果 PPTP 客户机本身已经是 IP网络的组成部分，那么即可通过该 IP网络与 PPTP 服务器取得连接；而如果 PPTP 客户机尚未连入网络，譬如在 Internet 拨号用户的情形下，PPTP 客户机必须首先拨打 NAS以建立 IP连接。这里所说的 PPTP 客户机也就是使用 PPTP协议的VPN 客户机，而 PPTP 服务器亦即使用 PPTP协议的VPN 服务器。

PPTP 使用 GRE 的扩展版本来传输用户 PPP 包。这些增强允许为在 PAC 和 PNS 之间传输用户数据的隧道提供低层拥塞控制和流控制。这种机制允许高效使用隧道可用带宽并且避免了不必要的重发和缓冲区溢出。PPTP 没有规定特定的算法用于低层控制，但它确实定义了一些通信参数来支持这样的算法工作。

PPTP控制连接数据包包括一个 IP报头，一个 TCP报头和 PPTP控制信息

2.1 PPTP 设置 e地通硬件网关支持 PPTP 功能，可以使远程用户通过拨入设备、通过直接连接



Internet其他网络安全的访问企业网。

启用 PPTP：选择将开启 PPTP 服务；起始 IP：给 PPTP 客户端分配的起始 IP地址范围；终止 IP：给 PPTP 客户端分配的终止 IP地址范围；设置好，单击<保存>，保存设置。

2.2 PPTP 用户 PPTP的帐号管理，下图为已经添加的 PPTP用户列表：

单击<新增>添加 PPTP用户，如下图：



用户名：PPTP的用户帐号；密码：PPTP的用户帐号的密码；确认密码：PPTP的用户帐号的确认密码；

【应用举例】客户端的设置步骤：

在网络连接中建立一个新的连接，步骤入下图所示：

选择使用网络类型：



选择虚拟网络连接：

输入公司名或者服务器名：



如果公网是固定 IP地址已经连接，则不需要启动拨号上网连接时，请选择不初始连接，如果您使用的拨号上网，请选择先拨到初始连接，然后再建立虚拟网络：

输入连接设备公网 IP地址：



点击完成，客户端设置完成:

设置完成后，在网络连接中选择新添加的连接，虚拟专用网络->惠尔顿,输入在服务器已经添加的用户名和密码，点击连接按钮。如下图所示：



通过认证用户名和密码，网络连接正常使用。PPTP 配置和使用就完成了。注意：连接属性需要-网络 VPN 类型需要手动设置为 PPTP VPN 类型。



3、L2TP

3.1 L2TP 设置

启用 L2TP：选择将开启 L2TP 服务；起始 IP：给 L2TP 客户端分配的起始 IP地址范围；终止 IP：给 L2TP 客户端分配的终止 IP地址范围；

3.2 L2TP 用户L2TP的帐号管理，下图为已经添加的 PPTP用户列表：

单击<新增>添加 L2TP用户，如下图：http://www.wholeton.com 78 Support TEL:0755-26546529


【应用举例】客户端的设置步骤注意点：需要修改注册表禁用Windows下的 l2TP over IPSec VPN 功能，方法如下,执行 regedit 命令，找到如下位置HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters加入如下注册项：Value Name: ProhibitIpSecData Type: REG_DWORD Value: 1

修改完以后重启系统，每个连接 L2TP的计算机都要修改注册表。http://www.wholeton.com 79 Support TEL:0755-26546529


重启完系统，开始建立 L2TP连接：在网络连接中建立一个新的连接，步骤入下图所示：

选择使用网络类型：

选择虚拟网络连接：http://www.wholeton.com 80 Support TEL:0755-26546529


输入公司名或者服务器名：

如果公网是固定 IP地址已经连接，则不需要启动拨号上网连接时，请选择不初始连接，如http://www.wholeton.com 81 Support TEL:0755-26546529


果您使用的拨号上网，请选择先拨到初始连接，然后再建立虚拟网络：

输入连接设备公网 IP地址：

点击完成，客户端设置完成:



建立连接完成以后，网络连接页面会出现一个新建的虚拟专用网络：

在虚拟专用网络下的图标上点击右键-》属性，选择“网络”属性页面，在“VPN 类型”选择“L2TP IPSec VPN”。确认“Internet 协议（TCP/IP）”被选中。确认“NWLink IPX/SPX/NetBIOS Compatible Transport Prococol”、“微软网络文件http://www.wholeton.com 83 Support TEL:0755-26546529


和打印共享”、“微软网络客户”协议没有被选中。

在“安全”属性页面，把要求数据加密（没有就断开）前面的勾去掉。



点击确定按钮，保存修改数据。回到网络连接页面，选择刚建立的虚拟专用网络，双击打开：如下图所示：

点击连接，通过认证，连接到指定公网 IP 设备中。连接成功后，在MS-DOS 方式下输入“ipconfig”，可以看到一个在 L2TP 服http://www.wholeton.com 85 Support TEL:0755-26546529


务器地址池中的地址，就是 L2TP 服务器分配给本机的 IP 地址。



第七章防火墙设置登陆 e地通设备，导航到防火墙设置]，展开它，包含八个方面的信息与配置选项，他

们分别是：基本设置、时间策略、IP 设置、服务设置、端口映射、IP 映射、访问规则与会话列表。

1、基本设置导航到[防火墙/基本设置]，基本设置中，设置本机与LAN网内计算机免受常见的攻击，

通过该设置，e地通设备能阻止常见的上千种TCP、UDP、ICMP功能，他们包括：Tear Drop、SYN FLOOD、Ping of death、Ping Flood等

Tear Drop这个攻击利用的是系统在实现时的一个错误,重新设置IP包头的偏移量，造成数据报组

装时的负数长度，导致系统崩溃。SYN FLOOD利用服务器的连接缓冲区（Backlog Queue），设置TCP的Header，向服务器端不

断地成倍发送只有SYN标志的TCP连接请求。当服务器接收的时候，都认为是没有建立起来的连接请求，于是为这些请求建立会话，排到缓冲区队列中。如果你的SYN请求超过了服务器能容纳的限度，缓冲区队列满，那么服务器就不再接收新的请求了。其他合法用户的连接都被拒绝掉。可以持续你的SYN请求发送，直到缓冲区中都是你的只有SYN标记的请http://www.wholeton.com 87 Support TEL:0755-26546529


求。Smurf攻击一个简单的Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请

求（ping）数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对此iCMP应答请求作出答复，导致网络阻塞，所以它比ping of deaih 洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。Ping of death

“ping”攻击是向目标端口发送大量的超大尺寸的ICMP包来实现的。由于在早期的阶段，路由器对所传输的文件包最大尺寸都有限制，许多操作系统对TCP／IP的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，一旦产生畸形即声称自己的尺寸超过ICMP上限的包，也就是加载的尺寸超过64KB上限时，就会出现内存分配错误，导致TCP／IP堆栈崩溃，致使接受方宕机。Ping Flood通过送出大量的ping指令给要攻击的系统，并在ping指令上使用伪装的IP地址，由于

系统尝试去回应这些使用假冒地址的服务需求，并且在最后终于放弃，但是却因此耗用了大量系统资源，接着这大量的网络假需求就会陷所选择攻击的目标于瘫痪。[开启远程维护]，是指禁止从外网TELNET、SSH登陆系统。

2、时间排程时间排程是指根据一定的时间规划（每天的某一段时间段）、循环时间（每日、每周、

每月或每季度）制定一定的规则。通过设定的时间排程，对每一条过滤规则，允许管理员定义一个时间范围，使该条规则只在这一时间范围内起作用，或者使该条规则只在这一时间范围内不起作用。通过这种控制机制，可以为企业提供更加灵活的配置策略，例如，可以定义一条规则，只允许部分员工在午休时间访问因特网。导航到[防火墙/时间排程]，进入时间计划界面，如下图：

导航到[防火墙/时间策略]，单击修改栏下的按钮修改访问规则的时间设置，单击



删除栏下的按钮删除相应的时间设置。单击<新增>按钮增加访问规则的时间设置，如下图：

单击<保存>按钮保存时间表的设置。名称：给这个时间策略一个标示；开始时间：单次起始时间，每天的开始时间，如上：早上 8：30；结束时间：单次终止时间，每天的结束时间，如上：下午 17：30；星期：每周的时间安排，循环时间。如果：周一~周五；综合以上，worktime表示每周一到周五的上午 8:30 到下午的 5：30。

3、IP 设置这里主要用于设置 IP地址、IP 组、IP网段和 IP-MAC绑定，以方便用于其地方（如防火

墙里的访问规则、服务管理的负载均衡&流量管理等的下拉菜单中使用）。导航到[防火墙/IP 设置]，这里的基本操作有增加、修改、删除，如下图：



单击<添 IP 设置>可以进入相应页面，

单个 IP：设置单个 IP地址属性名称：给这个 IP地址一个名称 IP 地址：一个符合 IP地址规范的 IP值 MAC 地址：以上 IP地址对应的MAC地址，如果 IP和MAC 都填入，则绑定这

个 IP和MAC。

一组 IP：即以子网掩码限定的一组 IP。名称：给这组 IP地址一个名称 IP 地址：一个符合 IP地址规范的 IP网络子网掩码：一个子网掩码，设置以上的 IP网络的网络位数。



一段 IP：即以起始 IP和终止 IP定义的一段 IP地址。名称：给这段 IP地址一个名称。起始 IP：一个符合 IP地址规范的 IP网络，标明这段 IP的起始 IP。终止 IP：一个符合 IP地址规范的 IP网络，标明这段 IP的终止 IP。

您若要编辑修改 IP 设置，单击在修改栏里的按钮。输入您的修改并且单击<保存>

按钮保存。单击在删除栏里的按钮，将删除相应的 IP 设置。输入格式为：IP MAC，如：192.168.10.156 00:03:47:8e:f0:eb。

作用：一般用于防止 ARP欺骗。如果 e地通设备放置与网关，最直接的办法是在此处设

置 LAN内或者 DMZ内应用服务器的 IP-MAC对应，同时在应用服务器设置 e地通设备的 LAN IP与MAC地址（在windows操作系统 arp –s ip mac）.

ARP欺骗分为二种，一种是对路由器 ARP表的欺骗;另一种是对内网 PC的网关欺骗。第一种 ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的 MAC地址，并按照一定的频率不断发送 ARP报文给 router，使真实的MAC地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常 PC无法收到网络数据。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，被欺骗的 PC向假网关发数据，而不是通过正常的路由器途径上网。在 PC 看来，就是上不了网了，“网络掉线了”。



4、服务设置导航到[防火墙/服务设置]，可以查看系统[缺省服务]，也可以[添加服务]，即定义应

用服务的端口名称、协议类型以及和端口号。缺省服务缺省服务指 e地通设置中已经设置好的服务，主要指一些常用的著名的端口与服务名

称，如 HTTP通常采用 80 端口，协议类型可以是 TCP/UDP，TELNET通常采用 23 端口，协议类型可以是 TCP/UDP等。系统单击<缺省服务>会显示系统预先设定的一些服务。这些预设的服务可于防火墙的虚拟服务、访问规则以及流量管理的服务框内选择。

添加服务单击<添加服务>标签显示手动设定的一些服务。您可以对网络端口（服务）进行定义，

便于管理。可以定义数个端口，也可以定义一个端口。服务定义后即可针对该用户设定相应的防火墙访问规则。http://www.wholeton.com 92 Support TEL:0755-26546529


服务名称：应用服务的名称，如 SQL、U8、K3等；端口号：对应应用服务的服务端口，多个端口采用”,”隔开；协议：协议类型，TCP与UDP。

输入服务名称、端口号与协议类型，单击<保存>添加一种新服务。

您若要修改服务设置，单击在修改栏里的按钮。输入您的修改的内容并且单击<保存>按钮保存。单击在删除栏里的按钮，将删除相应的服务设置。注意：

当针对服务设定了相应的防火墙规则、流量控制等后，则不能再删除所定义的服务，如需删除，需先删除已定义的访问规则与流量控制。

5、端口映射虚拟服务（或者端口映射）被用来在 internet网络上提供内部网络的公共服务。例如：

当你内网的一台计算机建有一个 FTP 服务，但需要对外（Internet上的用户）开放，这个时候我们就可以设置一个虚拟服务以实现所需要的功能。从设备（网关）转发端口号21（FTP）到 IP 地址 192.168.2.100(内网 FTP 服务器)，那么所有从外而来的 FTP 请求会被转发到 192.168.2.100(内网 FTP 服务器)。利用端口映射功能还可以将一台真 IP地址机器的多个端口映射成内部不同机器上的不同端口，您可以使用此功能经由 IP 网关建立Web站点、Email、FTP 服务器等一系列服务。确定您输入了一个有效的 IP 地址。（为了适当地操作一个 Internet 服务器也许您需要

建立静态的 IP 地址，既内网的服务器计算机 IP不可以为自动获取，需手动设置。）为了增加安全，那些在您网络之外的（例如 Internet）会能够和服务器相通，但他们不会事实上http://www.wholeton.com 93 Support TEL:0755-26546529


连接到服务器。那些信息包只是经过 SOCKS5硬件网关转发而已。

您若要编辑虚拟服务，单击在修改栏里的按钮。输入您的变更并且单击<保存>按钮保存端口映射的设置。单击在删除栏里的按钮，将删除相应的虚拟服务。

假如您需要发布 LAN的服务到 internet用户能访问到，请单击<添加端口映射>按钮加入新的端口或端口范围，并且输入协议和映射服务器的 IP 地址。单击<保存>按钮增加端口映射。如下图（添加 FTP 服务的端口映射）：

本机端口：e地通设备上的任何一个端口号；映射端口：内网服务器（以下服务器 IP指定）上的服务所使用的真实的服务端口。服务器 IP：特指以上服务端口服务的服务器。协议：该服务使用的协议（默认为 TCP/UDP同时映射）。意义解读：外网用户访问此 e地通设备的<本机端口>将无条件转发到此内网服务器<服

务器 IP>中的<映射端口>。http://www.wholeton.com 94 Support TEL:0755-26546529


上条添加的映射意思为：来自外网请求此 e地通设备 21 端口的数据都将无条件地转发到 192.168.2.100的 21 端口。

6、IP映射IP映射是将 WAN口上的某 IP地址与 LAN或者 DMZ网络内的 IP地址建立一一对应

关系，也可以是一对多关系。IP映射将外网的 IP 地址无条件地直接转发到内部服务器的 IP 地址，即访问公网的 IP地址与访问内部 LAN 相应的 IP地址是一样的。导航到[防火墙/IP映射]，进入 IP映射，如下图：

单击<添加映射>，进入添加 IP映射界面，设置 IP地址、服务器 IP，单击<保存>按钮新增的端口映射。如下图：

IP 地址：IP地址（WAN口上的 IP地址），首先需要在 VLAN中添加，并使该 IP地址落

在WAN口上，即从 internet上访问这个 IP地址的计算机能转发最终到该设备的WAN口上，参考[高级配置 /VLAN 设置 ]。



服务器 IP：LAN中服务器的 IP地址。

您若要编辑 IP地址映射，单击在修改栏里的按钮。输入您的变更并且单击<保存>

按钮保存 IP地址映射的设置。单击在删除栏里的按钮，将删除相应的 IP映射。意义和端口映射一样，区别在于前者只是映射一个端口，后者却是将所有的服务都进

行一一映射。

7、访问规则网络访问规则评估网络流量的源 IP 地址，目的 IP 地址和 IP 协议种类，并决定是否让

IP数据流穿透防火墙。当设定网络访问规则时，请记得：取消所有防火墙的保护或禁止所有 Internet的访问是不可能的。

e地通设备包括针对所有的源 IP、源端口、目的 IP、目标端口四元组的访问控制，也包括针对 P2P的流量整形，针对规则的时间策略等访问控制同时，在防火墙策略中,可以设置 HTTP 的过滤规则, 包括过滤域名,文件后缀名和非标

准HTTP 请求。其他特殊只对从内网到外网的非标准的 HTTP 请求有效，较常用的包括过滤 QQ，MSN等即时通信程序。比如 QQ: 首先过滤掉 8000，443等 QQ上网端口，再过滤掉非标准 HTTP 请求

（通过 80 端口代理进行用户名密码认证），就可以阻止 QQ上网。当创立或删除网络访问规则时要极端的谨慎。自定义的规则能拒绝默认的规则，但是

有几个默认的规则应该保持永远有效，而且自定义的规则应永不得拒绝这几个规则。这些是：

从 LAN 的那一边到 SOCKS5硬件网关的 10000 端口服务是永远允许的。从 LAN 的那一边来的DHCP 服务是永远允许的。从 LAN 的那一边来的DNS 服务是永远允许的。防火墙规则的匹配规则，注意：序列号小的规则先起作用，当检测到数据包符合某条

规则后，该规则被执行；如果规则应用是数据包被拒绝，则该数据包被丢弃；如果规则应用是数据包被接受，则该数据包被接受，即使后面的规则将拒绝这个数据也不会生效。只有对前面所有规则都不能匹配的数据包，才能流经到下面的访问规则，防火墙后续规则中包含对前一条规则的修改将永远不得执行。达到最后的数据包试用于默认的规则，e地通设置的默认规则是接受。



导航到[防火墙/过滤规则]，单击在修改栏的按钮将修改原有的过滤规则，输入您的变更并且单击<保存>按钮保存过滤规则；单击在修改栏的按钮将修改原有的过滤规则。导航到[防火墙/过滤规则]，点击<添加过滤规则>将添加新的过滤规则，设置完成后，

单击<保存>按钮保存新增的访问规则。详细如下图：

序列号：输入阿拉伯数字，数字越小的规则越先起作用。过滤标准：有四种选择：数据包、域名、文件类型与其他特殊，过滤标准的设置将决定

内容过滤的设置内容的性质，默认该项不做任何控制。内容过滤：针对以上四种选择：数据包、域名、文件类型与其他特殊，分别代表不同的

含义。如果过滤标准选择是数据包，则内容过滤为关键字词；如果过滤标准选择是域名，则内容过滤为完整的域名或者部分，不能设置“*”、“?”等模



式匹配；如果过滤标准选择是文件类型，则内容过滤为文件类型，如*.bat *.exe *.rar,多种文件类型采用空格阁开；如果过滤标准选择是其他特殊，则内容过滤为空，或者忽略该内容；

方向：有两种方向：内网->外网、外网->内网；针对数据包的流向做匹配，默认针对所有服务端口。

服务：针对不同的服务端口匹配，如HTTP：80 端口，默认针对所有服务端口。IP 类型：包括三种封装在 IP协议种的数据包：TCP、UDP、ICMP，默认针对所有 IP

类型。时间表：时间策略种设置的时间段或者循环时间，默认任何时间。外网 IP：控制外网 IP（WAN侧外的用户）接入内网或者控制内网用户访问外网 IP，

默认任何外网 IP。内网 IP：控制内网 IP（LAN侧外的用户）接入外网或者控制内网 IP 访问外网，默认

任何内网 IP所以 IP 类型TCP 类型：包括 TCP、P2P，默认该项不做控制；策略：包括通过与拒绝，默认通过（放行该数据包）；启用：点取右边的启用框框会使此页所配置的规则立刻生效。

[应用举例]-- 在工作时间封闭QQ需要两个规则结合使用，并且在这两条规则前不能有开放其他端口的规则，这两条规

则如下：

第一条规则是，在工作时间拒绝所有的特殊 HTTP请求，其他特殊规则会分析HTTP头的 QQ 认证信息，MSN 的认证信息，拒绝其他特殊，将拒绝 QQ、MSN 采用HTTP 的认证方式。



第二条规则是，在工作时间拒绝所有的 QQ 服务，拒绝QQ 服务将拒绝QQ 与 QQ 服务的通讯。

[应用举例]-- 过滤特殊域名，例如成文网站过滤域名的设置规则如下：

该规则将拒绝在工作时间拒绝访问 sina.com.cn 网站，包括 sports.sina.com.cn.



[应用举例]-- 过滤特定文件类型过滤，例如不让下载 exe 文件在本地执行

该规则将拒绝在工作时间拒绝下载所有的 exe 文件类型的文件.

[应用举例]-- 整形 P2P流量

该规则将整形 P2P 的流量，将 P2P 的流量整形到可以接受的范围内.



[应用举例]-- 过滤特定关键字词，例如不让下载“成人文学”的网页.

该规则将拒绝在工作时间访问含有“成人文学”的网页.

8、会话列表通过会话列表可以了解哪些 IP地址透过该设备访问到的目的地。



第八章流量控制登陆 e地通设备，导航到[流量控制]，展开它，包含四个方面的信息与配置选项，他们

分别是：流量设置、上行流量、下行流量、IP 流量控制与 IP 流量统计。

1、流量设置单击[流量控制/流量设置]设置带宽级别，设定好的固定带宽的上行带宽与下行带

宽。固定带宽的设定可以分成 3 类，称为固定带宽 1、固定带宽 2与固定带宽 3，如下图：

单击<保存>按钮完成QOS 固定带宽定义。注意：

固定带宽上行带宽与下行带宽的最小定义是 112Kbit/s，相当于我们通常所说中的14 KB/s。



2、上传流量流量控制可以限定用户能使用的上行网络流量。当用户当前已经使用的流量超过该值

时，用户将受此带宽级别的限制，可以继续上网但会经历速率的减低。流量控制也可以针对不同的应用（服务端口）给定不同的优先级别。当网络带宽有限

或者网络流量高峰时，高优先级别的服务得到优先保证，低优先级别的服务会经历速率的减低。

注意：流量控制的匹配规则，注意：序列号小的规则先起作用，当检测到数据包符合某条规则后，该规则被执行；如果规则应用是数据包为高优先级别，数据包会根据规则插入到原有的数据队列中；如果规则应用是数据包为低优先级别，数据包会根据规则排列到原有的数据队列的末尾。导航到[流量控制/流量控制]，进入流量控制一规则界面，如下图：

点击上图中的<添加流控规则>将添加新的流量控制规则，设置完成后，单击<保存>按钮保存新增的流量控制规则。详细如下图：

序列号：输入阿拉伯数字，数字越小的规则越先起作用。启用：点取右边的启用框框会使此页所配置的规则立刻生效。



外网 IP：控制外网 IP（WAN侧外的用户）接入内网或者控制内网用户访问外网 IP，默认任何外网 IP。

内网 IP：控制内网 IP（LAN侧外的用户）接入外网或者控制内网 IP 访问外网，默认任何内网 IP所以 IP 类型


输出接口：在多WAN口接入 internet的情况下，该规则指定针对哪个WAN口的流量控

制规则，默认针对所有 intertnet接入端口。内网服务：针对外部WAN网络的不同的服务端口匹配，如 HTTP：80 端口，默认针对所

有服务端口。带宽级别：设定只能使用的带宽，分固定带宽 1、固定带宽 2与固定带宽 3，默认不做

带宽限制；优先级：设置服务的优先级别，分高优先级、中优先级与低优先级，默认所有服务相

同级别；IP 类型：包括三种封装在 IP协议种的数据包：TCP、UDP、ICMP，默认针对所有 IP

类型。时间表：时间策略种设置的时间段或者循环时间，默认任何时间。TCP 类型：包括 TCP、P2P，默认该项不做控制；以上规则解读：在任何时候，LAN内的任何用户，访问外网的WEB 服务为高优先级，当流量高峰期或者带宽不足时，internet的WEB 访问得到优先保证。

以上规则解读：在任何时候，LAN内的任何用户，访问外网的任何服务，只能使用固定带宽 1定义的数量，该规则对上行有效，下行（下载）无效。



3、下行流量

流量控制可以限定用户能使用的下行网络流量。当用户当前已经使用的流量超过该值时，用户将受此带宽级别的限制，可以继续上网但会经历速率的减低。

流量控制也可以针对不同的应用（服务端口）给定不同的优先级别。当网络带宽有限或者网络流量高峰时，高优先级别的服务得到优先保证，低优先级别的服务会经历速率的减低。

注意：流量控制的匹配规则，注意：序列号小的规则先起作用，当检测到数据包符合某条规则后，该规则被执行；如果规则应用是数据包为高优先级别，数据包会根据规则插入到原有的数据队列中；如果规则应用是数据包为低优先级别，数据包会根据规则排列到原有的数据队列的末尾。导航到[流量控制/流量控制]，进入流量控制一规则界面，如下图：

点击上图中的<添加流控规则>将添加新的流量控制规则，设置完成后，单击<保存>按钮保存新增的流量控制规则。详细如下图：

序列号：输入阿拉伯数字，数字越小的规则越先起作用。启用：点取右边的启用框框会使此页所配置的规则立刻生效。



外网 IP：控制外网 IP（WAN侧外的用户）接入内网或者控制内网用户访问外网 IP，默认任何外网 IP。

内网 IP：控制内网 IP（LAN侧外的用户）接入外网或者控制内网 IP 访问外网，默认任何内网 IP所以 IP 类型


输出接口：在多WAN口接入 internet的情况下，该规则指定针对哪个WAN口的流量控

制规则，默认针对所有 intertnet接入端口。内网服务：针对内部 LAN网络的不同的服务端口匹配，如 HTTP：80 端口，默认针对所

有服务端口。带宽级别：设定只能使用的带宽，分固定带宽 1、固定带宽 2与固定带宽 3，默认不做

带宽限制；优先级：设置服务的优先级别，分高优先级、中优先级与低优先级，默认所有服务相

同级别；IP 类型：包括三种封装在 IP协议种的数据包：TCP、UDP、ICMP，默认针对所有 IP

类型。时间表：时间策略种设置的时间段或者循环时间，默认任何时间。TCP 类型：包括 TCP、P2P，默认该项不做控制；以上规则解读：在任何时候，LAN内的任何用户，访问外网的WEB 服务为高优先级，当流量高峰期或者带宽不足时，internet的WEB 访问得到优先保证。

以上规则解读：在任何时候，LAN内的任何用户，访问外网的任何服务，只能使用固定带宽 1定义的数量，该规则对下行有效，上行（上传）无效。



4、IP流量控制IP 流量控制可以限定内部网络用户能（分两种情况：保障最小带宽与限制最大带宽）

设置的上行或者下行网络流量。在限制最大带宽情况下，当内部用户当前已经使用的流量超过该值时，用户将受此带宽级别的限制，可以继续上网但会经历速率的减低。

以上规则解读：在任何时候，LAN内的 192.168.10.100 – 192.168.10.200用户，访问外网的任何服务，上行或者下行只能使用 120kbit/s的流量。此时你可以通过察看[正使用 IP的速度]来观察每一个 IP地址此时的数据流量，如下图。



5、IP流量统计 IP 流向统计使用图形方式显示了 IP网段的网络流量，可以以 Excel表格导出.

点击[显示流量].打开一个子窗口,显示出具体网段的流量图形.如下图所示:

第九章系统管理登陆 e地通设备，导航到[系统管理]，展开它，包含七个方面的信息与配置选项，

他们分别是：登陆管理、修改登陆帐号、备份与恢复、命令行工具、升级系统、恢复出厂设置与重启。



1、登录管理导航到[系统管理/登陆管理]进入到登陆管理界面，内容包括登陆可以尝试的次数、允许

远程管理主机列表、拒绝远程管理主机列表等。

2、修改登陆帐号e地通硬件网关的初始管理员名为 admin，管理员密码为 888888，管理员可以自行修改

其密码。单击[系统管理/修改登陆帐号]，进入到修改管理员属性界面，输入正确的旧密码和需要修改的新密码，单击<保存>即可。

原有密码：系统此次登陆的正确的密码；重设密码：新设置的密码，请记住；密码确认：必须与重设密码相同。



3、备份与恢复从这个屏幕，您能为 e地通设备的设置作一个备份文档和恢复配置。

点击 <下载到本地> 按钮并且选择储存配置文件的地方。配置文件包括了系统设置和 e地通应用设置。在默认之下，这个文档会被命名为“backup.cfg” ，但是您可以重新命名。这个程序大概需要一分钟。您需要指定配置文件的位置。点击 <流览> 按钮并选择一个配置文件。这个文档应该已事先用 <输出> 按钮保存。选好文档之后，点击 <开始恢复配置> 按钮。这个程序大概需要一分钟。然后您需要重启设备使这些变更产生效用。

4、命令行工具单击[系统管理/命令行工具]进入网络测试工具。在网络测试工具中，能执行常见的

linux网络命令，如 ping、route等，通过这些常见的网络工具，能诊断设备的网络连接状况。

在执行命令右边的框框里输入可执行的 Linux 命令 ping, route, free,ip nei li、ip addr li、ip rule li或 ifconfig，然后单击<执行命令>后，等待命令执行的结果显示。注意：

ping www.sina.com.cn 能知道设备是否已经接入 internet。；ip nei li 能分析内网中 arp 攻击；ip addr li 能知道系统的VLAN 设置状态；route 能知道系统的路由表；ifconfig 能知道网卡的 ip地址信息……

5、系统升级导航到[系统管理/系统升级]可以升级该系统的内核与文件系统，请依照图中的警告执




行则可。

6、恢复出厂设置导航到[服务管理/恢复出厂设置]将系统所有的设置清空，并设置成出厂时的设置。

7、重启导航到[服务管理/重启]将重新启动该硬件系统。



第十章日志管理 1、日志配置导航到[日志管理/日志配置]，可以设置日志的配置信息。包括激活 Syslog、激活 E-mail

功能、警报日志以及清空日志、保存日志。

2、系统日志系统日志记录了系统的日志信息。

3、流入日志流入日志记录了对应 IP 流入的信息.点击[设置日志显示].如下图所示,可以设置:



4、流出日志流出日志记录了对应 IP 流出的信息. 点击[设置日志显示].如下图所示,可以设置:

5、警报日志警报日志记录了 SYN Flooding，IP Spoofing， Block WAN Request ，Ping of Death 攻击

和未经授权登录.注意：必须打开‘警报日志’选项，流入流出日志才会有记录

6、操作日志操作日志记录了 admin或者 guest用户登录系统后对系统所做的操作信息。



7、网口信息显示端口所发送,接受和错误的数据包,如图所示:



第十一章客户端的配置1、标准客户端的配置(免安装)

SOCKS5 e 地通的标准客户端的配置非常简单，将客户端文件解压缩后，双击VPNClient.exe，在桌面右下角会出现客户端的图标，双击或者单击鼠标右键<设置>就会出现配置界面。采用固定 IP方式的连接配置，如下图：

采用固定跳板方式的连接配置，如下图：



上图中,各选项的意义解释如下:

项目描述意义服务器地址如果安装 SOCKS5 VPN的服务器有固定 IP,则输入其 IP地址，否则输

入主跳板备用服务器如果安装 SOCKS5 VPN的服务器无固定 IP,则输入备份跳板端口服务器的服务端口,默认为 1080，注意要与服务器端一致用户名管理员分配给客户端的用户名密码管理员分配给客户端的密码保存用户名密码保存用户名与密码,这样下次使不用重新输用户名与密码

客户端采用HTTP或者 SOCKS5代理服务器连接 internet的配置，如下图：、


项目描述意义类型采用何种代理协议接入 internet，包括 HTTP代理服务器与 SOCKS5

代理服务器两种。地址以上代理服务器的 IP地址端口以上代理服务器的服务端口 ,HTTP 代理服务器的端口默认是

808，SOCKS5代理服务器的端口默认为 1080用户连接以上代理服务器上的的认证用户密码连接以上代理服务器上的的认证用户相应的密码

2、WEB客户端的配置SOCKS5 e地通的 web 客户端的配置非常简单，采用固定 IP方式的连接配置，输入

https://ip:10000/webclient/，或者，如果采用固定跳板方式的连接配置，http://wholeton.com:88/test/test.php,登录如下图：http://www.wholeton.com 117 Support TEL:0755-26546529

http://wholeton.com:88/test/test.php

http://wholeton.com:88/test/test.php

https://ip:10000/webclient/


根据使用说明，下载客户端程序并安装，登录后进入：

如果是 e+1 远程应用或者 WEB应用，直接运行则可；如果是 C/S与 FTP应用，则需要先设置应用的客户端程序。



3、移动客户端的配置（双向互访）SOCKS5 e地通的移动客户端是为了解决应用系统的双向互访而开发的，安装移动客

户端后，双击 VPNMobile.exe，在桌面右下角会出现客户端的图标，双击或者单击鼠标右键<设置>就会出现配置界面。采用固定 IP或者跳板方式的连接配置，如下图：


项目描述意义地址如果安装 SOCKS5 VPN的服务器有固定 IP,则输入其 IP地址，否则输

入主跳板或者备跳板端口服务器的服务端口,默认为 1080，注意要与服务器端一致用户管理员分配给移动端的用户名密码管理员分配给移动端的密码



附录 A 常见问题 1、e 地通常见问题解答服务器端 e地通服务无法启动，可能的原因有：a) 设置的 e地通服务的服务端口被其他应用程序占用，更改使用没有被占用的端口；b) 配置文件已经被破坏，例如变成了一个空文件，初始化系统；c) 注册信息不正确，请查看服务器端日志，查看出现的异常信息。客户端提示“跳板不可达或不正常”，可能的原因有：a) 客户端计算机填写的跳板地址有误，现象：在浏览直接输入跳板，显示文件不存在；b) 主备跳板服务器有一个不能正常访问，现象：在浏览直接输入跳板，显示不能访问服

务器；c) 本机防火墙禁止客户端访问 internet，开放防火墙本机对外网 88 端口的访问权限；d) 服务器端没有配置任何资源，跳板内容为空；e) 短暂的网络中断或者网络延时也会有此提示，此时VPN Client 能正常工作。客户端提示“向服务器请求资源信息失败”，可能的原因：f) 确定安装 e地通服务的服务器能正常访问 internet并启动；g) 确定安装 e地通服务的设备能正常访问 internet；客户端提示加载驱动程序失败，可能的原因：a) 没有使用具有管理员权限的用户登陆操作系统； b) 本机安装了网络层的VPN系统，例如 IPSec VPN，干扰系统的运行。客户端提示“该用户已在其他终端登录”，可能的原因：a) 已经有其他客户端用这个用户（帐号）登陆 VPN Server。b) 用户退出系统后，立刻在另外 PC上采用该用户（帐号）登陆。用户退出系统之后，

VPN Server需要一分钟左右的时间清除此用户的登陆信息，请在一分钟之后重新访问。客户端提示“您无权访问所请求的资源”，可能的原因：

e地通 Server 没有授权此用户访问所请求的内容。客户端提示“用户名错误”，可能的原因：

e地通 Server 没有该用户或者 e地通 Server 端添加该用户后没有重新启动 e地通 Server服务；

客户端提示“密码错误”，可能的原因：VPN Client 输入的该用户的密码不正确；



客户端提示“应用服务器不可达”，可能的原因：a) 应用服务器的客户端配置不正确；b) 网络邻居访问的 IP地址不存在，或者被访问的 PC的 139 端口没有开放；

客户端提示“VPN 服务器不可达”，可能的原因：a) e地通 Server 没有启动；b) 如果 e地通 Server在防火墙后面，防火墙的端口映射（e地通 Server的服务端口）

没有成功。客户端无任何提示，但是 VPN Client不能正常连接到 VPN Server，可能的原因：我们认为没有消息就是好消息，请查看服务器端日志，看出现什么异常！！或者联系我

们的在线技术支持人员。注意： windows 98操作系统中，所有客户端的提示都记录在日志中，所有 window98的客户端异常需要查看日志。

通过管理界面能配置的所有选项都不能采用中文，采用英文与数字填写好了。手工的配置文件修改方法参考相关资料。

服务器 IP改变或者服务器重启后为什么要重新启动客户端才可以连接？VPN 客户端每隔 1分钟左右会从跳板取服务器端的相关信息，因此服务器的 IP改变或者服务器重启后经过大概 1分钟的等待时间，客户端就会正常连接到服务器（气泡提示“初始化成功”），实际上是不需要重启客户端的。

[网络常识] VPN Server 或者 VPN Client 所在的 PC 能正常访问 internet （例如 http://www.sina.com.cn），说明本机的浏览器设置与DNS 设置正确；

怎样测试服务器服务正常或者防火墙端口映射成功？在直联的情况下，从外网“telnet e地通服务器 WAN IP 服务器端口”，显示连接成功。在非直联的情况下，从外网“telnet 防火墙 IP 服务器端口”，显示连接成功。

怎样测试应用服务器正常，并开放了对外的服务端口？从 VPN Client 启动的情况下，“telnet 应用服务器 IP 应用服务器端口”，显示连接成

功。

2、 Windows 终端服务常见问题解答安装终端管理工具 Windows 2000/2003 Server中终端服务的常见配置

打开控制面板—>管理工具—>终端服务配置文件，有以下几个设置项：在终端服务配置中点击“连接”，在右侧窗口中找到“rdt/tcp”，右键打开其“属性”。在“属性”中找到“登陆设置”选项，把“总是提示密码”前面的小勾勾去掉，避免



每次登录都需要输入终端密码，使用一次性登陆，提高安全性（注：此情况仅在 2000下配置）。

在“属性”中找到“会话”选项，分别将两处“替代用户设置”选中，一处在“结束已断开的会话”栏中下拉选择“1分钟”；另一处选择“结束会话”。配置好后点击“应用”配置完成。

在终端服务配置中点击“服务器设置”，在右侧窗口中找到“限制每个用户使用一个会话”，右键打开其“属性”，把“每个用户只能使用一个会话”勾去掉（注：此情况仅在 2003下配置）。



注：客户端在正确操作的情况下，每一个客户端使用远程应用的时候，都是使用自己的会话，不会接入其他用户的会话。打开桌面—>右键属性—>主题，设置称为 <windows 经典>：



打开桌面—>右键属性—>屏幕保护程序，设置称为 <无>：



在服务器上设置终端模式下的输入法的切换建议将终端服务器与客户端的“切换键盘布局”关闭，否则，可能导致终端服务器的

输入法切换不生效。或者更改输入法顺序：用 e+1 登陆的windows 登陆帐号登陆终端服务器安装您需要的输入法更改输入法顺序，步骤：



顺序可以设置为：ctrl+shift+1 五笔 ctrl+shift+2 拼音等

如何更改 RDP 服务的端口？在注册表 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\Terminal

Server\Wds\rdpwd\Tds\tcp]中找到 PortNumber键值，选择十进制状态用户可以看到终端的默认端口是 3389，接着用户就可以根据个人的情况进行修改，比如改为 1025 端口。怎样映射本地驱动器？如果终端服务操作系统采用的是 windows 2003 server，e地通客户端自动完成。

怎样建立远程应用的终端用户？在已经建立完成 63个远程应用用户的情况下：1、登陆其中一个用户，例如 xuezhi,使用 xuezhi这个用户登陆，安装好所有输入法；设

置好（取消）屏保、设置 windows经典等；2、将该用户的NTUSER.DAT （在 C:\Documents and Settings\xuezhi\目录下）；复制到；C:\Documents and Settings\test1~test63\目录下，覆盖相同的文件。3、其他的所有用户 test1~test6就与 xuezhi的设置相同了。其中 c:\为系统盘，根据实际情况调整


http://www.yesky.com/key/1341/186341.html


在没有建立任何远程应用用户的情况下：1、新建一个用户 xuezhi,使用 xuezhi这个用户登陆，安装好所有输入法；设置好（取

消）屏保、设置 windows经典等；2、将该用户的NTUSER.DAT （在 C:\Documents and Settings\xuezhi\目录下）；复制到；C:\Documents and Settings\Default User\目录下，覆盖相同的文件。3、新增其他的的用户 test1~test63，新增的用户就有 xuezhi一样的设置了。其中 c:\为系统盘，根据实际情况调整



附录 B 常见应用设置方案在开始本部分之前，我们假设 e地通设备中已经存在一个用户 test，我们在客户端使用

test帐号连接到以下的典型应用，添加用户的设置方法参考[e 地通设置 / 用户管理 / 添加用户 ]。

1、怎样设置网络邻居访问a) 添加应用设置

登陆设备后，导航到[e地通设置/应用设置]，点击<添加应用>出现如下界面：填写应用名称、服务器 IP、子网掩码、服务端口信息。

单击<保存>，完成添加应用成功。b) 设置用户 test访问 lan 的权限

具体设置方法参考[e 地通设置 / 权限设置 ]

c) 停止 e 地通服务，然后重新启动 e 地通服务具体设置方法参考[系统管理 / 系统管理 ]

d) 正确配置客户端，访问 192.168.0.100 计算机文件共享具体设置方法参考[客户端配置]，配置正确后，运行VPNclient.exe。运行浏览器(如 IE6.0)或者双击[我的电脑]，在地址栏中输入: \\192.168.0.100 则可以访

问 192.168.0.100 计算机上的共享的文件内容。[开始/运行]中输入\\192.168.0.100 也是可以的。

注意：e地通客户端访问服务器后面的网络邻居文件共享使用的是 139 端口，而不是 445 端口。应用服务器(以上为 192.168.0.100)上必须开放 139 端口的网络文件共享服务。



2、怎样设置 B/S软件的访问a) 添加应用设置


单击<保存>，完成添加应用成功。b) 设置用户 test访问 oa 的权限



d) 正确配置客户端，访问 192.168.10.1 计算机文件共享具体设置方法参考[客户端配置]，配置正确后，运行VPNclient.exe。运行浏览器(如 IE6.0)或者双击[我的电脑]，在地址栏中输入: http://192.168.10.1 则可以

访问 192.168.10.1 计算机上的OA系统(B/S 结构的软件应用)。注意：

e地通客户端访问服务器后面的 B/S 结构的应用不一定总是 80 端口，根据实际使用的端口调整则可。

3、怎样设置 FTP 的直连访问a) 添加应用设置



http://192.168.10.1/


单击<保存>，完成添加应用成功。b) 设置用户 test访问 ftp 的权限



d) 正确配置客户端，访问 192.168.0.100 计算机文件共享具体设置方法参考[客户端配置]，配置正确后，运行VPNclient.exe。运行浏览器(如 IE6.0)或者双击[我的电脑]，在地址栏中输入: ftp://192.168.0.100 则可以

访问 192.168.0.100 计算机上的 FTP 服务器。注意：

e地通客户端访问服务器后面的 FTP 服务器一定需要在 ftp 客户端设置成为被动模式。如果客户端需要访问 192.168.0.100 上的 ftp 服务，e地通服务需要开发 0 端口。

FTP 的主动模式与被动模式：FTP使用 2个端口，一个数据端口（通常是 20）和一个命令端口（也可叫做控制端口，

通常是 21）。但 FTP 工作方式的不同，数据端口并不总是 20。这就是主动与被动 FTP的最大不同之处。主动 FTP：客户端从一个任意的非特权端口（1024以上的端口）连接到 FTP 服务器的命令端口（21 端口）。然后客户端开始监听端口一个临时端口，例如N，并发送 FTP 命令“port N ”到 FTP 服务器。接着服务器会从它自己的数据端口（20）连接到客户端指定的数据端口（N）。针对 FTP 服务器前面的防火墙来说，必须允许以下通讯才能支持主动方式 FTP：

a) 任何大于 1024的端口到 FTP 服务器的 21 端口。（客户端初始化的连接）b) FTP 服务器的 21 端口到大于 1024的端口。（服务器响应客户端的控制端口）c) FTP 服务器的 20 端口到大于 1024的端口。（服务器端初始化数据连接到客户端的数据端口）

d) 大于 1024 端口到 FTP 服务器的 20 端口（客户端发送 ACK响应到服务器的数据端口）

被动方式(也叫做 PASV)，当客户端通知服务器它处于被动模式时才启用。在被动方式 FTP


ftp://192.168.0.100/


中，命令连接和数据连接都由客户端发起，这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。

4、怎样设置 U8 的直连访问a) 添加应用设置


单击<保存>，完成添加应用成功。b) 设置用户 test访问 u8erp 的权限



d) 正确配置客户端，访问 192.168.0.100 计算机文件共享具体设置方法参考[客户端配置]，配置正确后，运行VPNclient.exe。运行 U8 客户端，在登陆到栏中输入: 192.168.0.100，则可以访问 192.168.0.100 计算机

上的U8 服务器。注意：

e地通客户端访问服务器后面的 U8应用不一定总是以上三个端口，根据实际使用的端口调整则可，如果不确定是哪个服务端口，设置为 0吧。如果U8 服务器安装在WINDOWS XP + SP2 或者 WINDOWS 2003 + SP1的操作系统上，

SQL2000需要 SP3以上的补丁，否则 SQL 2000的 1433 端口被屏蔽了（没有侦听）。需要设置 U8的数据库服务器为 IP地址，不能为计算机名。导航到[开始/程序/用友

ERP-U8/系统服务/应用服务器配置]，如下图：



如果在以上的设置中采用的不是 IP地址，而是数据库服务器的计算机名称，则需要在所有U8 客户端的计算机的HOST文件中，增加一行:192.168.192.168 U8SQL2000SERVER。其中：U8SQL2000SERVER指安装U8数据库的计算机名称；192.168.192.168指安装U8数据库的计算机的 IP地址；

5、怎样设置 K3 的直连访问a) 添加应用设置




单击<保存>，完成添加应用成功。b) 设置用户 test访问 k3erp 的权限



d) 正确配置客户端，访问 192.168.0.100 计算机文件共享具体设置方法参考[客户端配置]，配置正确后，运行VPNclient.exe。运行 k3 客户端，在服务器 IP中输入: 192.168.0.100 则可以访问 192.168.0.100 计算机上

的K3 服务器。注意：

e地通客户端访问服务器后面的 K3应用不一定仅是 1433 端口，根据实际使用的端口调整则可，如果不确定是哪个服务端口，设置为 0吧。

6、怎样设置 e+1 应用的访问提示：客户端使用的时候直接点《远程应用》就可以访问到所开放的应用a) 添加 e+1 应用

登陆设备后，导航到[e地通设置/e+1应用管理]，点击<添加应用>出现如下界面：填写应用名称、服务器 IP、端口、登陆帐号、帐号密码、应用程序、起始位置等信息。


http://192.168.0.100/


单击<保存>，完成添加 e+1应用。b) 设置用户 test访问 u8 的权限



d) 正确配置客户端，连接 u8 远程应用具体设置方法参考[客户端配置]，配置正确后，运行 VPNclient.exe，右击 <VPNclient

托盘>，选择[远程应用]，如下图：

点击后，选择 u8，点击<确定>则可。注意：

u8 是添加 e+1应用步骤中设置成功的应用名称。



附录 C e 地通硬件性能指标分类性能指标 W500SP W800SP W1000SP W1500SP W2000SP

技术参数

防火墙性能 90Mbps 95Mbps 4*100Mbps 3*600 Mbps 3*800Mbps

AES性能 30M 45M 60M 200M 500M

并发会话 15000 108000 650000 800000 2000000

接口数量 3*100M 4*100M 5*100M 4*1000M 4*1000M

internet捆绑数 2*100M 3*100M 4*100M 3*1000M 3*1000M

VPN系统特性

VPN传输协议 SOCKS5 VPN（RFC1928）、IPSec VPN、PPTP VPN智能选路客户端支持不同运行商网络的智能路由选择动态 IP 支持支持跳板寻址，多家厂商DDNS密匙协商 IKE(DH 算法)、、pre-shared key加密压缩 DES、3DES、AES128 位加密算法，LZO 流压缩算法internet接入支持 ADSL、LAN、DDN、DHCP等接入用户权限移动用户的权限控制，针对服务的权限控制

状态检测防火墙

状态检测优秀的状态检测引擎为每个访问策略进行状态检测包过滤支持 TCP/UDP/ICMP的所有包过滤功能防火墙模式支持透明桥模式、NAT 模式、router 模式虚拟服务/DMZ 独立DMZ分区，并支持（多）端口映射阻止攻击种类支持抵抗DOS、DDOS、扫描、嗅探、同步等攻击Flood 攻击抵制 TCP/UDP/ICMP的 flood 攻击检测策略过滤规则支持对 IP 组、时间段、P2P协议、内容、服务类型的控制

内容过滤

URL地址过滤过滤特殊网站，如：sina.com，过滤所有*.sina.com

文件类型过滤过滤特殊类型的文件，如*.exe *.js *.gif，抵制恶意脚本的攻击关键字过滤过滤关键字，如：sex

QOS管理

QOS级别分带宽、分级别的 9级QOS控制QOS控制支持对 IP 组、时间段、P2P协议、内容、服务类型的QOS控制智能路由

支持不同运营商的策略路由，内网用户访问网通的 WEB 选择网通的线路，访问铁通的WEB 选择铁通的线路

集团化特性

支持 DHCP 支持 DHCP 服务，对内网进行动态 IP地址管理支持 VLAN 支持内网多个VLAN，禁止启动VLAN 间通讯静态路由支持静态路由IP地址映射将公网 IP地址，映射到内网的一个或多个服务器，负载均衡

系统管理

系统管理全中文WEB 管理界面，采用HTTPS 安全连接管理服务器日志

本地日志服务器，系统日志、告警日志、错误日志、调试日志、访问控制记录，支持日志的定制

备份恢复支持配置数据的备份与恢复



附录 D 公司简介深圳市惠尔顿信息技术有限公司（简称惠尔顿）自成立始，即本着“凸显宽带潜能，

增值企业网络！”的经营理念，全心致力于为全球范围内网络通讯运营商及企事业用户提供全面的网络优化解决方案。公司位于深圳市南山区高科技园区内，由资深管理人员和精通网络技术的专业人员组

成，其中博士、硕士多名，本科以上学历占公司总人数的 95%。公司拥有庞大的精通网络技术的专业化网络安全研发队伍，在底层网络协议、数字签名认证、安全控制等方面拥有丰富经验，尤其在与OA，ERP，CRM，企业财务软件，各种行业应用软件，远程监控，视频会议等解决方案的集成上，更是有不俗的表现。经过几年发展，凭借对现实中 2万多个异地互联方案的专业考察，在国家 863研究成

果的基础上，相继推出两大系列、三十余个核心产品。凭借着我们实力雄厚、技术领先的研发队伍开发出全球首家 SOCKS5 系列软件、硬件产品。我司产品具备安全稳定、操作简单、投资成本低等特点。在公司全体员工及合作伙伴精诚协作和不懈努力下，惠尔顿规模不断发展壮大，业务

范围不断拓展，社会影响力不断提升，e地通系列产品在连锁、房产、电力、气象、医药制药、医保社保、民航售票、政府部门、建筑业、制造业等行业已经得到广泛应用。面对网络通信市场的机遇和挑战，无论是过去、现在、还是将来，我们都深刻理解用户

的真正所需，为用户提供卓越的网络信息化产品和服务，这是惠尔顿的永恒动力。惠尔顿深知只有技术不断创新、售后服务更为完善，以过硬的产品和人性化的服务才能赢得客户、赢得未来。因此，惠尔顿将以技术创新为依托、以一流的服务为保障、以高效的管理为手段，不断推出更新、更好的产品，与广大的客户共迎信息革命的挑战！



附录 E 故障修理当您安装或运行 SP硬件网关时发生了问题，请参考这个附录所提供的解决方法。阅读

底下的说明。假如您不能在这里找到回答，请联系惠尔顿公司技术部。无法开机，请检查是否接通电源。面板开关是否打开。无法登陆管理界面，请确认联接端口是否为 LAN 口，IP 地址配置是否正确。若常有死机现象，请检查是否安装环境恶劣。技术支持电话：0755-26635529 技术支持 QQ：755131、755132、755138；


http://58.59.5.242:10000/


附录 F 相关资源惠尔顿公司的 BBS：http://bbs.wholeton.com惠尔顿公司：http://www.wholeton.com

Microsoft Terminal Service FAQ：http://www.microsoft.com/technet/community/en-us/terminal/terminal_faq.mspxRFC 1928 (SOCKS5)：http://www.faqs.org/rfcs/rfc1928.html


http://www.faqs.org/rfcs/rfc1928.html

http://www.microsoft.com/technet/community/en-us/terminal/terminal_faq.mspx

http://www.microsoft.com/technet/community/en-us/terminal/terminal_faq.mspx
