juniper netscreen ssl vpn配置手冊

1、<p>　　Juniper Netscreen SSL VPN </p><p><b>　　配置手冊</b></p><p><b>　　神州數(shù)碼</b></p><p><b>　　2006.8</b></p><p><b>　　目 錄<

2、/b></p><p><b>　　一、初始化設置3</b></p><p>　　1.1、通過Console連接SSL VPN3</p><p>　　1.2、填寫初始化信息3</p><p>　　1.3、使用瀏覽器連接SSL VPN5</p><p>　　二、SSL VPN基本設置

3、5</p><p>　　2.1、網(wǎng)絡接口設置5</p><p>　　2.2、設置SSL VPN的License6</p><p>　　2.3、添加用戶認證服務器7</p><p>　　2.4、添加認證用戶11</p><p>　　2.5、添加SSL VPN的認證域13</p><p>

4、　　三、角色映射和功能模塊14</p><p>　　3.1、添加角色14</p><p>　　3.2、角色映射16</p><p>　　3.3、功能模塊18</p><p>　　四、使用SSL VPN的三個功能模塊19</p><p>　　4.1、使用Core功能模塊20</p><p&

5、gt;　　4.2、使用SAM功能模塊25</p><p>　　4.3、使用Network Connect模塊26</p><p>　　五、資源訪問控制29</p><p>　　5.1、Core和SAM的資源訪問控制30</p><p>　　5.2、SAM和NC的資源訪問控制31</p><p><b&g

6、t;　　六、設備管理32</b></p><p>　　6.1、系統(tǒng)概覽32</p><p>　　6.2、日志系統(tǒng)32</p><p>　　6.3、系統(tǒng)升級34</p><p>　　6.4、設備排除35</p><p><b>　　一、初始化設置</b></p>

7、<p>　　1.1、通過Console連接SSL VPN</p><p>　　SSL VPN的初始化是通過設備的Console端口完成的，Console的設置如下：9600,8,N,1。</p><p>　　在管理員的計算機上使用任意終端軟件，包括HyperTerminal，Crt，SecureCrt等等都行。把設備的Console線連接至SSL VPN的Console端口，開啟

8、電源開關，通過終端軟件就能觀察到設備啟動自檢的過程。</p><p>　　1.2、填寫初始化信息</p><p>　　當系統(tǒng)自檢到如下信息時：</p><p>　　Welcome to the initial configuration of your server!</p><p>　　NOTE: Press 'y' if

9、this is a stand-alone server or the first </p><p>　　machine in a clustered configuration.</p><p>　　If this is going to be a member of an already running cluster</p><p>　　press n to

10、reboot. When you see the 'Hit TAB for clustering options'</p><p>　　message press TAB and follow the directions.</p><p>　　Would you like to proceed (y/n)?: y（選擇Y）</p><p>　　No

11、te that continuing signifies that you accept the terms</p><p>　　of the Neoteris license agreement. Type "r" to read the</p><p>　　license agreement (the text is also available at any ti

12、me</p><p>　　from the License tab in the Administrator Console).</p><p>　　Do you agree to the terms of the license agreement (y/n/r)?: y（選擇Y）</p><p><b>　　初始化網(wǎng)絡信息：</b><

13、/p><p>　　Please provide ethernet configuration information</p><p>　　IP address: 192.168.0.190</p><p>　　Network mask: 255.255.255.0</p><p>　　Default gateway: 192.168.

14、0.254</p><p>　?。ㄌ钊胗脩粜枰腎P地址，掩碼和網(wǎng)關等信息。</p><p>　　注意：所有網(wǎng)絡信息都會設置到SSL VPN的 Internal Interface上）</p><p>　　Link speed [Auto]:</p><p><b>　　0) Auto</b></p>&l

15、t;p>　　1) 1000 Mb/s, Full Duplex</p><p>　　2) 1000 Mb/s, Half Duplex</p><p>　　3) 100 Mb/s, Full Duplex</p><p>　　4) 100 Mb/s, Half Duplex</p><p>　　5) 10 Mb/s, Full

16、Duplex</p><p>　　6) 10 Mb/s, Half Duplex</p><p>　　Select 0-6: 0（選擇用戶需要的速率）</p><p>　　Please provide DNS nameserver information:</p><p>　　Primary DNS server: 202.106.0

17、.20</p><p>　　Secondary (optional): 202.99.8.1（填入用戶需要的DNS地址，可以是內(nèi)部的DNS服務器的IP地址）</p><p>　　DNS domain(s): juniper.net（填入用戶需要的域名，無特別限制）</p><p>　　Please provide Microsoft WINS server i

18、nformation:</p><p>　　WINS server (optional): </p><p><b>　　確認初始化信息：</b></p><p>　　Please confirm the following setup:</p><p>　　IP address: 192.168.0.1

19、90</p><p>　　Network mask: 255.255.255.0</p><p>　　Gateway IP: 192.168.0.254</p><p>　　Link speed: Auto</p><p>　　Primary DNS server: 202.106.0.20<

20、/p><p>　　Secondary DNS: 202.99.8.1</p><p>　　DNS domain(s): juniper.net</p><p>　　WINS server: </p><p>　　Correct? (y/n): y（確認無誤后，選擇Y）</p><p>&l

21、t;b>　　初始化安全信息：</b></p><p>　　Admin username: admin</p><p>　　Password: </p><p>　　Confirm password: </p><p>　　The administrator was successfully created.（填入用戶設定的管

22、理員帳號和密碼）</p><p>　　設置SSL VPN自簽證書：</p><p>　　Please provide information to create a self-signed Web server digital certificate.</p><p>　　Common name (example: secure.company.com): time

23、rwell.juniper.net</p><p>　　Organization name (example: Company Inc.): juniper</p><p>　?。ㄟ@個部分輸入用戶的證書信息，無特殊限制）</p><p>　　Please enter some random characters to augment the system's

24、 random key generator. We recommend that you enter approximatelythirty characters.</p><p>　　Random text (hit enter when done): dkfjlkkjffieejjkdnfkkfjiiiffoperjoootpqe454646</p><p>　?。ㄟ@個部分輸入30個

25、左右的字符以產(chǎn)生證書）</p><p>　　Creating self-signed digital certificate...</p><p>　　The self-signed digital certificate was successfully created.</p><p>　　Congratulations! You have successfu

26、lly completed the initial set up of your server.</p><p>　?。ó斈吹竭@句話時證明你已經(jīng)成功的初始化SSL VPN了）</p><p>　　https://<IVE-IP-Address>/admin (note the 's' in https://)</p><p>　　Exa

27、mple: https://10.10.22.34/admin</p><p>　?。ò凑丈鲜龅奶崾?，管理員可以通過URL https://192.168.0.190/admin來管理設備啦）</p><p>　　1.3、使用瀏覽器連接SSL VPN</p><p><b>　　如下圖：</b></p><p>　　在這

28、個Web頁面中填入剛剛建好的管理員帳號和密碼就可以登陸到SSL VPN進行管理啦，至此SSL VPN初始化過程完畢。</p><p>　　二、SSL VPN基本設置</p><p>　　2.1、網(wǎng)絡接口設置</p><p>　　在初始化過程中我們設置了SSL VPN的Internal Interface，接下來我們設置External Interface。</

29、p><p>　　在瀏覽器上點擊“Network--External Port--Setting”得到下圖：</p><p>　　在上圖中，填入相應的External Port設置，即完成了SSL VPN的網(wǎng)絡初始設置。</p><p>　　2.2、設置SSL VPN的License</p><p>　　SSL VPN要正常工作，必須要有合適的Li

30、cense，所以給SSL VPN添加License是必不可少的。</p><p>　　在瀏覽器上點擊“Configuration--Licensing”得到下圖：</p><p>　　如上圖所示，此設備擁有的是一個臨時License，包括了1000并發(fā)用戶數(shù)和4 周的試用期限等。</p><p>　　在添加License過程中，只需要在Company Name和Li

31、cense Key兩個空欄中填入相關信息即可。</p><p>　　2.3、添加用戶認證服務器</p><p>　　在配置完SSL VPN網(wǎng)絡信息和License之后，就可以正常的使用SSL VPN了。為了讓用戶能夠順利的登入企業(yè)網(wǎng)，必須給用戶進行身份認證。在身份認證的過程中，管理員可以選擇使用SSL VPN內(nèi)部的自建帳號認證用戶，也可以結合企業(yè)內(nèi)部的認證服務器進行認證。對于選擇不同的認證

32、服務器的帳號，他們將會屬于不同的SSL VPN認證域。例如，我們可以利用一個SSL VPN自建的認證服務器，認證合作伙伴和分支機構的用戶；利用內(nèi)部的LDAP服務器認證總部本地的員工。</p><p>　　在瀏覽器上點擊“AuthenticationAuth. servers”得到下圖</p><p>　　在這個頁面中，管理員將看到兩個以上的認證服務器，其中默認的是Administrator

33、s和System Local。其中Administrator是添加SSL VPN管理員帳號的，而System Local是SSL VPN內(nèi)建的一個普通用戶的認證服務器。</p><p>　　這是如果我們想添加一個新認證服務器及認證域時，點擊頁面上的“New Server”，并在New的選欄中選擇對應的認證服務器類型：</p><p><b>　　1、本地認證</b>&

34、lt;/p><p>　　在該頁面上的Name中輸入認證服務器的名字（本例中是：System Local），Password Option是指所設置的密碼選項，如密碼的最小長度，密碼必須和用戶名不一樣等。</p><p>　　Password Management是指用戶管理自己密碼的權限和密碼過期等。</p><p>　　點擊Save Changes即完成新加一個認證服

35、務器的設置。</p><p>　　2、LDAP認證服務器</p><p>　　如認證服務器是外部的LDAP服務器則新建一個LDAP類型的服務器，如下所示：</p><p><b>　　Name輸入名字</b></p><p>　　LDAP Server則輸入LDAP服務器的IP地址或名字</p><p

36、>　　LDAP Port則輸入認證服務器的端口號</p><p>　　在Authentication Required中輸入相關的參數(shù)</p><p>　　如Admin DN，Base DN，</p><p>　　點擊Save Changes保存配置</p><p>　　3、Radius認證服務器</p><p>

37、;　　如果認證服務器是Radius則如下所示</p><p>　　Name是輸入認證服務器的名字</p><p>　　Radius則輸入服務器的名字或者IP地址</p><p>　　Authentication Port則是Radius的端口號</p><p>　　Shared Secret則是輸入Radius服務器的密鑰</p>

38、<p>　　Accounting Port中輸入Radius的計費端口，可以不填寫</p><p>　　NAS-IP-Address則是輸入Radius服務器的NAS IP地址</p><p>　　2.4、添加認證用戶</p><p>　　如果認證服務器是本地認證方式，在2.3的圖中選擇TAB頁面的Users，即可進入到新建認證服務器的用戶添加頁面，如

39、下圖：</p><p>　　點擊New，新建的認證服務器中添加一個用戶,如下圖：</p><p>　　Username是用戶名，F(xiàn)ull Name是描述（可不輸入）</p><p>　　Password輸入密碼，并在confirm password再次輸入密碼</p><p>　　是否提示用戶下次登錄的時候修改密碼</p>&l

40、t;p>　　并點擊Save Changes</p><p>　　查看當前已經(jīng)登錄的用戶，在systemstatusactive users，如下，會提示登錄的用戶名，描述，時間，IP地址和瀏覽器的信息；</p><p>　　系統(tǒng)管理員Administrator的增加和密碼修改方式和一般用戶一樣。在Authentication?Auth. Servers中的Administrator中

41、進行修改。</p><p>　　2.5、添加SSL VPN的認證域</p><p>　　每一個不同的認證服務器都可以有自己一套的用戶數(shù)據(jù)庫，無論使用的是SSL VPN內(nèi)置機制建立的用戶帳號數(shù)據(jù)庫，還是使用集成企業(yè)內(nèi)網(wǎng)的目錄數(shù)據(jù)庫，為了使認證機制更加合理和條理化，避免出現(xiàn)帳號重復和認證混亂的局面，Juniper SSL VPN引入了認證域的功能，在SSL VPN上把不同的認證服務器加入到不同

42、的域，來認證不同域上的用戶，同時也方便用戶了解自己登陸時應該選擇哪一個認證域和哪一個認證帳號。</p><p>　　點擊“Authentication”，得到下圖：</p><p>　　點擊“new”，得到下圖：</p><p>　　在“Name”中，填入認證域名。</p><p>　　在Servers的Authentication中，選擇前

43、面已經(jīng)定義的認證服務器</p><p>　　而additional authentication server則是用于修改登錄頁面的提示信息</p><p>　　最后點擊“Save Changes”即完成了認證域的添加。</p><p>　　至此，Juniper SSL VPN的基本配置，包括添加License和身份認證等設置都已完畢。</p><

44、;p>　　三、角色映射和功能模塊</p><p><b>　　3.1、添加角色</b></p><p>　　在用戶通過SSL VPN的身份認驗證之后，需要給用戶分配角色，這個角色是在SSL VPN中設置的，并且這個角色決定了用戶能夠在企業(yè)內(nèi)網(wǎng)中享有什么樣的權限和能訪問什么樣的資源。</p><p>　　點擊，SSL VPN管理界面左欄的R

45、oles，如下圖：</p><p><b>　　如下圖所示：</b></p><p>　　點擊New Role添加一個角色：</p><p><b>　　Name輸入名字</b></p><p>　　Access Features中則是選擇本角色可以使用訪問方式，包括頁面，文件，SAM等訪問方式。若

46、不選擇則登錄以后沒有該bookmark。</p><p><b>　　3.2、角色映射</b></p><p>　　在添加完角色后，就需要進行角色和認證域之間映射，用戶在身份認證之后，必須要把他映射成為SSL VPN中的一個角色，這樣他才能擁有這個角色所能使用SSL VPN的功能模塊和這個角色所能訪問企業(yè)內(nèi)網(wǎng)資源的權利。</p><p>　　以

47、Office-Realm中的用戶為例，點擊Authentication-Office-Realm-Role Mapping，得到下圖:</p><p>　　選擇New Rule…</p><p>　　在“is”的下拉菜單右邊文本框中填入相應的用戶名字，可以是某一具體的用戶名，也可以用通配符表示用戶名，例如：“*”表示人任何用戶。在“Available Roles：”下的文本框中，選擇相應的

48、角色，分配給這個用戶。</p><p>　　例如如果我要把所有用戶都分配給Users這個角色，則需要在”IS”下拉菜單右邊的文本框中填入“*”，在“Available Roles”中選擇“Users”加入到“Selected Roles”中即可。 </p><p>　　這樣一個用戶的角色映射就完成啦。</p><p><b>　　3.3、功能模塊</

49、b></p><p>　　Juniper SSL VPN上有三個功能模塊，</p><p>　　Core Access支持B/S架構的應用程序，如Web，F(xiàn)ile，Telnet，Terminal Services，Email Client；</p><p>　　SAM模塊支持C/S架構的程序，分為Java version和Windows version。通常要

50、看客戶的程序是通過JAVA開發(fā)還是ActiveX開發(fā)而定；</p><p>　　NC模塊是IP Sec的連接方式，支持全方位的網(wǎng)絡接入。</p><p>　　根據(jù)設備的License，每一臺設備所具有的功能模塊是不一樣的，對于SSL VPN 2000，4000和6000系列，其中的Core功能模塊是標配的，其他功能模塊是單獨購買的，而對于SSL VPN SA－700系列它只具有NC的功能模

51、塊，其他功能模塊需要單獨購買。（6.0以后的版本已經(jīng)自帶該功能，不需要另外購買license）</p><p>　　即便是一臺設備具有了上述全部的功能模塊，但是對于不同的角色，他能夠使用SSL VPN的功能模塊是不一樣的。</p><p>　　四、使用SSL VPN的三個功能模塊</p><p>　　所有SSL VPN用戶在訪問內(nèi)網(wǎng)資源時，例如：內(nèi)部Web服務器，內(nèi)

52、部Web Mail，內(nèi)部的Loutes系統(tǒng)或是內(nèi)部的ERP系統(tǒng)及一些網(wǎng)管系統(tǒng)，都是通過SSL VPN的三個功能模塊來實現(xiàn)的。</p><p>　　4.1、使用Core功能模塊</p><p>　　4.1.1 Web設置</p><p>　　1、設置訪問Web的resource policy。</p><p>　　初始化的時候resource

53、policy是允許訪問任何地址的網(wǎng)頁，根據(jù)實際情況設置被允許訪問的范圍</p><p>　　2、設置用戶的role所需要訪問的web和bookmark。Users?User roles?users里面的Web的bookmark，添加一個bookmark，名字可以自己定義，resource里面填寫具體要被訪問的網(wǎng)頁的URL和端口號；</p><p>　　Options里面則是選擇是否顯示UR

54、L地址欄，用戶自己增加bookmark和是否隱藏主機IP地址和主機名；</p><p>　　4.1.1 FILE設置</p><p>　　1、設置FILES的訪問resource。默認的訪問資源是全部開放，如下所示</p><p>　　文件的access分為windows和Unix/NFS兩種，分別對應windows和Unix的</p><p&g

55、t;　　2、添加一個角色的file的bookmark，選擇對應的操作系統(tǒng)，如window或者Unix的，</p><p>　　點擊new bookmark，選擇Brower…。瀏覽網(wǎng)絡里面服務器的文件共享</p><p>　　4.1.2 Telnet及SSH設置</p><p>　　1、設置Telnet及SSH的訪問resource policy。</p>

56、;<p>　　可根據(jù)實際情況進行填寫被訪問的服務器和端口號和應用到指定的角色。</p><p>　　2、在角色中添加bookmark和該角色需要訪問的telnet資源</p><p>　　4.1.2 email client設置</p><p>　　1、在resource policy中定義和啟用email client</p><

57、p>　　Email client support指是否啟用email client，選擇enable或者disable；</p><p>　　Web-based email session指是否是Webmail的方式登錄和訪問。</p><p>　　Allow email password caching是指是否允許客戶緩存密碼，若不選擇，用戶則每次都必須輸入密碼；</p>

58、;<p>　　Default Server Information中設置服務器的IP地址和端口等信息</p><p>　　4.2、使用SAM功能模塊</p><p>　　SAM是security application manager的簡寫，為C/S架構的應用程序提供應用層的遠程訪問連接。SAM分為兩種，一種是基于window的應用的WSAM；另外一種是基于JAVA的，支持靜

59、態(tài)端口的JSAM，支持MAPI，Lotus等。</p><p>　　WSAM主要支持的C/S架構的程序主要是Lotus Notes，Citrix，Netbios文件瀏覽和PDA；</p><p>　　4.2.1添加SAM的訪問資源</p><p>　　點擊resource policiesSecure Application Manager Policies，點擊n

60、ew設置一個SAM訪問的范圍，包括，IP地址，協(xié)議，端口號等。</p><p>　　?回到rolesSAMapplication中，點擊“new”</p><p>　　選擇類型type選擇predifine或者custom，predifine中可以選擇已經(jīng)預定義好的應用，如lotus Note等常用的C/S架構程序。Custom是自定義的C/S架構應用程序。輸入名字。</p>

61、<p>　　輸入對應的服務器的IP，服務器端口號，客戶端的回環(huán)地址，客戶端端口號，點擊add可以增加一個。</p><p><b>　　。</b></p><p>　　4.3、使用Network Connect模塊</p><p>　　對于一些專業(yè)的技術人員，如果要使用UDP的協(xié)議，如SNMP等或是需要用到Server Initi

62、alization Protocol的應用時，這時候就需要SSL VPN的NC模塊了。</p><p>　　點擊“RolesAll Employees-Network Connect”，得到下圖：</p><p>　　當希望客戶在通過SSL VPN的NC模塊登陸企業(yè)內(nèi)網(wǎng)后，還能夠讓用戶繼續(xù)訪問Internet，請選擇Enable Split Tunneling。</p>&l

63、t;p>　　點擊“Resources PoliceNetwork Connect-NC Connection Profile”,得到下圖：</p><p>　　點擊New Profile….,得到下圖：</p><p>　　在Name中填入，NC分配的地址池名稱，在IP Address Pool中填入NC使用的IP地址池，選擇是否給使用NC的用戶設置代理服務器，是否為這些用戶設置內(nèi)部

64、DNS，以及調(diào)整這些用戶的DNS查詢次序，選擇這條Policy適用那個角色。</p><p>　　點擊Save Changes，完成NC的設置</p><p>　　注意：如果一個角色既有Core，SAM的功能模塊，又有NC的功能模塊，這幾個的功能模塊的執(zhí)行優(yōu)先次序是Core>SAM>NC,也就是說如果有一個用戶登入SSL VPN后使用了NC模塊，但是他發(fā)現(xiàn)自己訪問內(nèi)網(wǎng)的Web服

65、務器時，依舊使用的是Core模塊，這不用覺得奇怪。</p><p><b>　　五、資源訪問控制</b></p><p>　　SSL VPN和傳統(tǒng)的IPSec VPN最大的區(qū)別之一，就是SSL VPN擁有應用層的資源訪問控制，也就是說當一個用戶登入SSL VPN之后，他不能象IPSec VPN用戶那樣自由的訪問內(nèi)網(wǎng)的所有資源，而必須接受SSL VPN的限制，有限制的訪

66、問內(nèi)網(wǎng)資源。這樣更提高了VPN網(wǎng)絡的安全性和穩(wěn)定性。</p><p>　　5.1、Core和SAM的資源訪問控制</p><p>　　點擊“Resources PoliceWeb-Access Control”，得到下圖：</p><p>　　SSL VPN會在此添加一個缺省的Web Access策略，允許用戶訪問所有Web資源。</p><p&

67、gt;　　點擊New Policy…,得到下圖，來建立新的Web Access策略。</p><p>　　在“Name”中填入Web資源的名稱，在“Resources”中加入需要控制的資源，可以根據(jù)Http，Https協(xié)議，URL，或是某段地址池來定義控制的資源，在“Roles”中，選擇這個資源是針對于哪個角色的，在“Action”中選擇定義的資源對于選定的角色是否運行其訪問。</p><p&

68、gt;　　這樣就建立了一條Web Access方面資源訪問控制。</p><p>　　5.2、SAM和NC的資源訪問控制</p><p>　　分別點擊“Resources Police SAM- Access Control”和“Resources Police Network Connect- Network ConnectAccess Control”，就可以SAM和NC兩個模塊的資源

69、訪問控制界面。</p><p>　　它們的配置方法基本和Web Access的控制是一樣的，只是在SAM中更側重在TCP端口和IP的資源控制，而在NC中則更側重在對不同協(xié)議如，IP，TCP，ICMP，UDP等方面的ACL控制。</p><p><b>　　六、設備管理</b></p><p><b>　　6.1、系統(tǒng)概覽</b&

70、gt;</p><p>　　Juniper的SSL VPN 自身的設備管理和監(jiān)控方式非常簡便但也很全面，第一次進入SSL VPN管理員界面時，SSL VPN會展示給管理員一個整個產(chǎn)品的概況圖，如下：</p><p>　　在這副圖中，我們可以看到給設備目前的并發(fā)用戶數(shù)，每秒的點擊率，CPU及內(nèi)存的使用率，吞吐量以及系統(tǒng)軟件版本和運行持續(xù)時間等信息，對于網(wǎng)管人員來講能夠非常方面的一目了然SSL

71、 VPN的狀態(tài)，這個功能是Juniper SSL VPN獨有的，許多同類廠商的產(chǎn)品不具備這樣的功能。</p><p><b>　　6.2、日志系統(tǒng)</b></p><p>　　Juniper SSL VPN的日志系統(tǒng)非常全面，主要分三個方面記錄日志，分別是用戶日志，管理員日志和系統(tǒng)日志，每部分日志都有非常詳盡的記錄，包括用戶的登陸時間，登陸結果和訪問資源的等許多信息，

72、管理員可以自建Filter來查看自己感興趣的日志信息。</p><p>　　點擊“Log/Monitoring-User Access Log--log”，就可以得到用戶訪問日志。</p><p>　　如果想看系統(tǒng)日志和管理員日志，點擊：</p><p>　　“Log/Monitoring-Event Log--log”和“Log/Monitoring-Admin

73、Access Log --log”即可。</p><p>　　如果管理員希望對這些日志能夠做進一步的分析，例如利用第三方軟件來處理這些日志信息的話，SSL VPN也提供日志上傳的功能，如下：</p><p>　　點擊“Archiving-Ftp Archiving”,得到下圖</p><p>　　在“Archives Setting”中，填入FTP服務器的相關信息,

74、再點擊“Archive User Access Log” ，選擇記錄日志的格式和設置上傳的時間，即可完成上傳用戶日志的設置。</p><p><b>　　6.3、系統(tǒng)升級</b></p><p>　　SSL VPN的系統(tǒng)升級，很簡單。</p><p>　　只需要點擊“System-Upgrade/Downgrade”后，在下圖中選擇:</

75、p><p>　　點擊瀏覽，在自己的電腦中找到SSL VPN升級的軟件，然后點擊Install Now，即可完成設備的系統(tǒng)升級。</p><p><b>　　6.4、設備排除</b></p><p>　　SSL VPN內(nèi)置了許多排除的工具，如TCP DUMP，System Snapshot，Ping和Traceroute等命令，幫助網(wǎng)管人員在發(fā)現(xiàn)問題

76、時，能夠有充分的工具和手段找出問題原因，解決問題故障并做好預防問題出現(xiàn)的措施。</p><p>　　點擊“Troubleshooting--Tcp Dump”，得到下圖：</p><p>　　在進行Tcp Dump時，選擇在SSL VPN的內(nèi)口或外口進行Sniffer，然好點擊“Start Sniffing” 就可以開始收集數(shù)據(jù)包啦。</p><p>　　收集一段時

77、間后，點擊“Stop Sniffing”，即可以停止收集，SSL VPN會提示用戶把收集后的數(shù)據(jù)文件存儲在管理者的計算機上。這個文件可以用Ethereal軟件打開。</p><p>　　點擊“Troubleshooting--Commands”，得到下圖：</p><p>　　SSL VPN支持利用Ping，Traceroute，Nslookup和ARP這四個命令進行網(wǎng)絡層次的排除。<