设置当虚拟服务器列表中如果不存在对应的映射项时，对报文的处理方式（主页面。选择“丢弃”或“重定向到DMZ主机”，单击<应用>按钮生效）

添加虚拟服务器列表项（单击主页面上的<新增>按钮，在弹出的对话框中设置相应的虚拟服务器参数，单击<增加>按钮完成操作）

预置设置

路由器提供一些常用服务的预置设置选项，比如：FTP、Email(PoP3)等服务

在下拉列表框中选择某服务，服务名称、外部端口、内部端口项均将自动完成设置

·     如果路由器提供的预设服务没有您需要的，您可以自行设置服务信息

·     预设服务的端口号是常用端口号，如果需要，您可以自行修改

·     对于FTP、TFTP服务等，您需要开启对应的ALG项，且内部端口必须设置为标准端口号。例如：WAN侧客户端通过PASV模式（被动FTP）访问局域网内的FTP服务器，内部端口必须设置为21

服务名称

输入虚拟服务器设置项的名称

外部端口

输入客户端访问虚拟服务器所使用的端口

取值范围：1～65535，端口范围必须从小到大，推荐设置10000以上的端口。如果只有一个端口，则左右两边的文本框请填写同一端口号

各设置项的外部端口不能重复，且内部端口和外部端口的设定个数必须一样，即内部端口和外部端口一一对应。比如：设置某个虚拟服务器，外部端口为100～102，内部端口为10～12。如果路由器收到外部101端口的访问请求，则路由器会把报文转发到内部服务器的11端口

内部端口

输入内部服务器上真实开放的服务端口

取值范围：1～65535，端口范围必须从小到大。如果只有一个端口，则左右两边的文本框请填写同一端口号

各设置项的内部端口允许重复，且内部端口和外部端口的设定个数必须一样，即内部端口和外部端口一一对应

内部服务器IP

输入内部服务器的IP地址

是否启用

在下拉列表框中选择“启用”，表示此虚拟服务器生效；选择“禁用”，表示此虚拟服务器不生效

显示和修改已创建的虚接口（主页面）

创建虚接口（单击主页面上的<新增>按钮，在弹出的对话框中选择一个虚接口通道以及映射的实际物理接口，单击<增加>完成操作）

显示和修改已添加的IKE安全提议（主页面）

添加一条新的IKE安全提议（单击主页面上的<新增>按钮，在弹出的对话框中设置相应的参数，并单击<增加>按钮完成操作）

安全提议名称

输入安全提议的名称

IKE验证算法

选择IKE所使用的验证算法

缺省情况下，使用MD5

IKE加密算法

选择IKE所使用的加密算法

缺省情况下，使用3DES

IKE DH组

选择IKE所使用的DH算法

·     DH1：768位DH组

·     DH2：1024位DH组

·     DH5：1536位DH组

·     DH14：2048位DH组

缺省情况下，使用DH2

显示和修改已添加的IKE对等体（主页面）

添加一个新的IKE对等体单击主页面上的<新增>按钮，在弹出的对话框中设置相应的参数，并单击<增加>按钮完成操作）

对等体名称

输入对等体的名称

虚接口

选择本端发起协商的出接口

对端地址

设置对等体对端的地址信息

如果对端地址不是固定地址而是动态地址，建议通过将对端地址配置为动态域名的方式进行连接

协商模式

选择协商模式。主模式一般应用于点对点的对等组网模式；野蛮模式一般应用于中心/分支组网模式

缺省情况下，使用主模式

ID类型、本端ID、对端ID

此设置项需在野蛮模式下进行

当ID类型为NAME类型时，还需要指定相应的本端ID与对端ID

安全提议

选择对等体需要引用的IKE安全提议

预共享密钥（PSK）

设置IKE认证所需的预共享密钥（pre-shared-key）

生命周期

设置IKE SA存在的生命周期（IKE SA实际的周期以协商结果为准）

DPD开启

DPD用于IPsec邻居状态的检测。启动DPD功能后，当接收端在触发DPD的时间间隔内收不到对端的IPSec加密报文时，会触发DPD查询，主动向对端发送请求报文，对IKE对等体是否存在进行检测

DPD周期

指定对等体DPD检测周期，即触发DPD查询的间隔时间

DPD超时时间

指定对等体DPD检测超时时间，即等待DPD应答报文超时的时间

显示和修改已添加的IPSec安全提议（主页面）

添加一条新的IPSec安全提议（单击主页面上的<新增>按钮，在弹出的对话框中设置相应的参数，并单击<增加>按钮完成操作）

安全提议名称

输入安全提议的名称

安全协议类型

选择安全协议类型来实现安全服务

缺省情况下，使用ESP

AH验证算法

选择AH验证算法

缺省情况下，使用MD5

ESP验证算法

选择ESP验证算法

缺省情况下，使用MD5

ESP加密算法

选择ESP加密算法

缺省情况下，使用3DES

开启IPSec功能、显示和修改已添加的安全策略（主页面）

设置使用IKE协商方式建立SA（单击主页面上的<新增>按钮，在弹出的对话框中选择“协商类型”为IKE协商并设置相应的参数，单击<增加>按钮完成操作）

设置使用手动协商方式建立SA（单击主页面上的<新增>按钮，在弹出的对话框中选择“协商类型”为手动模式并设置相应的参数，单击<增加>按钮完成操作）

启用IPSec

选中“启用IPSec”，开启IPSec功能

缺省情况下，禁用IPSec功能

安全策略名称

设置安全策略的名称，后面的复选框可以设置该安全策略的使用状态

本地子网IP/掩码

本地子网IP/掩码和对端子网IP/掩码，两个配置项组成一个访问控制规则。IPSec通过此访问控制规则来定义需要保护的数据流，访问控制规则匹配的报文将会被保护

本地子网IP/掩码和对端子网IP/掩码分别用来指定IPSec VPN隧道本端和对端的子网网段

对端子网IP/掩码

协商类型

选择IPSec协商方式

缺省情况下，使用IKE协商方式

IKE协商模式

对等体

选择需要引用的IKE对等体

安全提议

选择需要引用的IPSec安全提议

此模式下，一条安全策略最多可以引用四个安全提议，根据组网需求可以灵活的加以配置

PFS

PFS特性是一种安全特性，指一个密钥被破解，并不影响其他密钥的安全性，因为这些密钥间没有派生关系。IKE在使用安全策略发起一个协商时，可以进行一个PFS交换。如果本端设置了PFS特性，则发起协商的对端也必须设置PFS特性，且本端和对端指定的DH组必须一致，否则协商会失败

·     禁止：关闭PFS特性

·     DH1：768位DH组

·     DH2：1024位DH组

·     DH5：1536位DH组

·     DH14：2048位DH组

缺省情况下，PFS特性处于关闭状态

生命周期

设置IPSec SA存在的生命周期

缺省情况下，生命周期为28800秒

触发模式

用来指定隧道的触发模式

·     流量触发：IKE隧道配置下发后，不会自动建立隧道，会等待兴趣流来触发隧道建立

·     长连模式：IKE隧道配置下发后或隧道异常断开后，会自动触发隧道建立，并且保证隧道长时间建立，不需等待兴趣流触发

手动模式

虚接口

指定与当前策略绑定的虚接口

对端地址

指定IPSec对等体另外一端的IP地址

安全提议

选择需要引用的IPSec安全提议

入/出SPI值

在安全隧道的两端设置的SA参数必须是完全匹配的。本端入方向SA的SPI必须和对端出方向SA的SPI一样；本端出方向SA的SPI必须和对端入方向SA的SPI一样。SPI具有唯一性，不允许输入相同的SPI值

安全联盟使用的密钥

入/出ESP MD5密钥

入/出ESP 3DES密钥

在安全隧道的两端设置的SA参数必须是完全匹配的。本端入方向SA的密钥必须和对端出方向SA的密钥一样；本端出方向SA的密钥必须和对端入方向SA的密钥一样

单击<刷新>按钮，您可以查看已建立的VPN隧道及对应的安全策略信息

设置L2TP服务端（LNS）

启用LNS

启用或禁用LNS功能

缺省情况下，LNS处于禁用状态

L2TP服务器名称

标识该L2TP服务器的名称

地址池

设置给L2TP客户端分配地址所用的地址池

设置地址池的起始IP地址和结束IP地址

起始地址和结束地址前24位要一致，即输入地址格式：x1.x2.x3.y～x1.x2.x3.y1，即起始与结束地址x1.x2.x3要一致，如：地址池设置为10.5.100.100～10.5.100.155，要确保起始地址和结束地址10.5.100一致即可

·     结束地址被LNS的PPP接口使用，不分配给接入客户端

·     地址池不能和内网网段冲突

启用隧道认证

设置是否在该组中启用L2TP隧道认证功能，当启用隧道认证时需要设置隧道认证密码

隧道认证请求可由LAC侧发起。只要有一端启用了隧道认证，则只有在对端也启用了隧道认证，两端密码完全一致且不为空的情况下，隧道才能建立；否则本端将自动断开隧道连接。若隧道两端都禁止了隧道认证，隧道认证的密码一致与否将不起作用

缺省情况下，未启用隧道认证

当PC作为LAC，设备作为LNS时，建议不要启用LNS端的隧道认证功能

隧道认证密码

为了保证隧道安全，建议启用隧道认证功能。如果为了进行网络连通性测试或者接收不知名对端发起的连接，则也可不进行隧道认证

HELLO报文间隔

设置发送Hello报文的时间间隔，单位为秒

为了检测LAC和LNS之间隧道的连通性，LAC和LNS会定期向对端发送Hello报文，接收方接收到Hello报文后会进行响应。当LAC或LNS在指定时间间隔内未收到对端的Hello响应报文时，重复发送，如果重复发送6次仍没有收到对端的响应信息则认为L2TP隧道已经断开，需要重新建立隧道连接

LNS端可以配置与LAC端不同的Hello报文间隔

缺省情况下，Hello报文间隔为60秒

LNS用户查询（关键字过滤选择用户名或状态，在关键字中输入用户名或选择用户状态，单击<查询>按钮生效）

LNS新增用户（单击主页面上的<新增>按钮，在弹出的对话框中输入用户名、密码和选择用户状态，单击<增加>按钮生效）

修改用户信息（双击主页面上的列表中的用户项或者单击图标，在弹出的对话框中修改密码和用户状态，单击<修改>按钮生效）

用户名

LNS管理的用户，LAC与该LNS建立会话时要使用的用户名

密码

LNS管理的用户，LAC与该LNS建立会话时要使用的用户密码

状态

LNS管理的用户状态

启用：LNS允许远端的L2TP客户端使用该用户建立会话

禁用：LNS不允许远端的L2TP客户端使用该用户建立会话

·     显示当前L2TP客户端信息

·     连接或断开L2TP客户端连接

·     显示当前作为LNS时已建立会话和隧道的信息

链路状态

显示L2TP客户端当前的连接状态

本端IP地址

显示当前L2TP客户端，本端PPP接口的IP地址

对端IP地址

显示当前L2TP客户端，对端PPP接口的IP地址

用户名

显示LNS服务中，当前接入客户端建立会话使用的用户名

对端地址

显示LNS服务中，当前接入客户端的公网IP地址

对端主机名称

显示LNS服务中，当前接入客户端的主机名称

本端隧道ID

显示LNS服务中，当前已建立隧道的本端ID

对端隧道ID

显示LNS服务中，当前已建立隧道的对端ID