sonicos 6.5 connectivity - sonicwall

SonicWall® SonicOS 6.5 连接管理

版权所有 © 2017 SonicWall Inc. 保留所有权利。

SonicWall 是 SonicWall Inc. 和/或其附属公司在美国和/或其他国家/地区的商标或注册商标。所有其他商标和注册商标均为其各自所

有者的财产。

本文档中的信息与 SonicWall 和/或其附属公司的产品一起提供。本文档不授予任何知识产权的许可（明示或暗示，通过禁言或其

他形式）。此类许可与 SonicWall 产品的销售无关。除了本产品的许可协议中规定的条款与条件，SonicWall 和/或其附属公司不承

担有关其产品的任何责任和任何明确、暗示或法定的担保，包括但不限于暗示的适销性、适用于某一特定用途或不侵权的担保。

在任何情况下，即使已告知 SonicWall 和/或其附属公司发生此类损害的可能性，SonicWall 和/或其附属公司都不对由于停止使用或

无法使用本文档而产生的任何直接的、间接的、继发的、惩罚性的、特殊的或偶然的损害（包括但不限于利润损失，业务中断或

信息丢失的损失）承担任何责任。SonicWall 和/或其附属公司对本文档内容的准确性或完整性不作任何陈述或保证，并保留随时

更改规格和产品说明的权利，恕不另行通知。SonicWall 和/或其附属公司不作任何承诺更新本文档中包含的信息。

如需获取更多信息，请访问 https://www.sonicwall.com/zh-cn/legal/。

SonicOS 连接更新日期 - 2018 年 1 月

软件版本 - 6.5 232-004122-00 修订版 B

图例

警告：“警告”图标用来提示可能造成财产损失或人员伤亡的情况。

小心：“小心”图标用来提示如不按照相应说明进行操作，可能引起硬件损坏或数据丢失。

重要、注意、提示、手机或视频：信息图标表示支持的信息。

https://www.sonicwall.com/zh-cn/legal

1目录

VPN 概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

VPN 概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

VPN 类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13IPsec VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13VPN 上的 DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13带有 IPsec 的 L2TP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14SSL VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

VPN 安全性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

VPN 设置和显示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16VPN 全局设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16VPN 策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17目前活动的 VPN 隧道 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

VPN 自动添加的访问规则控制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

站点到站点 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

规划站点到站点配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

常规 VPN 配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21常规 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22网络 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23建议 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23高级选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

管理 GroupVPN 策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26使用预共享密钥配置 IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26配置使用第三方证书的 IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31导出 VPN 客户端策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

创建站对站 VPN 策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37使用预共享密钥进行配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37使用手动密钥进行配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43使用第三方证书进行配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47配置远程 SonicWall 网络安全设备 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54配置 VPN 故障切换到静态路由 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

VPN 自动设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

关于 VPN 自动设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57定义 SonicOS VPN 自动配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57SonicOS VPN 自动配置的优点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58SonicOS VPN 自动配置的工作原理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58支持的平台 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

配置 VPN AP 服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60启动 VPN AP 服务器配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

SonicWall SonicOS 连接

目录3

在“常规”选项卡上配置 VPN AP 服务器设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61在“网络”选项卡上配置 VPN AP 服务器设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63在“建议”选项卡上配置高级设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64在“高级”选项卡上配置高级设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

配置 VPN AP 客户端 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

基于路由的 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

术语 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

使用基于路由的 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70添加隧道接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70为隧道接口创建静态路由 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

网络的冗余静态路由 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

配置高级 VPN 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

配置高级 VPN 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

配置 IKEv2 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

OCSP 配合 SonicWall 网络安全设备使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78OpenCA OCSP 响应者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79加载证书以使用 OCSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79OCSP 配合 VPN 策略使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

配置 VPN 上的 DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

DHCP 中继模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

针对 VPN 上的 DHCP 配置中心网关 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

配置 VPN 上的 DHCP 的远程网关 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

当前 VPN 上的 DHCP 租用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

配置 L2TP 服务器和 VPN 客户端访问 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

配置 L2TP 服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

查看当前活动的 L2TP 会话 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86配置 Microsoft Windows L2TP VPN 客户端访问 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86配置 Google Android L2TP VPN 客户端访问 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

关于 SSL VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

关于 NetExtender . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93创建 NetExtender 范围的地址对象 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93设置访问权限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94配置代理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94安装独立客户端 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

配置用户的 SSL VPN 访问 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95对于本地用户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95用于 RADIUS 和 LDAP 用户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96对于 Tunnel All 模式访问 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

生物验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97


目录4

配置 SSL VPN 服务器行为 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

在区域上的 SSL VPN 状态 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

SSL VPN 服务器设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

RADIUS 用户设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

SSL VPN 客户端下载 URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

配置 SSL VPN 客户端设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

配置默认设备配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

配置 SonicPoint L3 管理默认设备配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

配置 SSL VPN Web 入口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108入口设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109入口商标设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

配置虚拟办公室 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

访问虚拟办公室入口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

配置 SSL VPN 书签 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

配置用于 IPv6 的设备配置文件设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

了解 SonicWall 接入点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116

接入点功能矩阵 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116

接入点功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117SonicPoint/SonicWave 功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118认证和合规性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119接入点平面图视图 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119接入点拓扑视图 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120入侵检测/保护 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120虚拟接入点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120接入点 WMM 配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121日本和国际接入点支持 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121

规划和现场勘测 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121站点调查和规划 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122PoE 和 PoE+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

接入点部署的佳实践 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124基础结构中的交换机 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124接线注意事项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126信道 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126生成树 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126VTP 和 GVRP 中继协议 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126端口聚合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126端口屏蔽 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126广播限制/广播风暴 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127速度和双工 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127


目录5

SonicPoint 自动设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

接入点许可 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128SonicWave 许可 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128许可状态 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129手动许可证更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129自动许可证更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

管理 SonicPoint 之前 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130更新 SonicPoint 固件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130重置 SonicPoint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

接入点和 RADIUS 计费 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131设置 Radius 计费服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

接入点公告板 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

功能限制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

接入点快照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134接入点联机/脱机 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134客户端关联 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

实时带宽 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

客户端报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135OS 类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136排在前列的客户端 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

实时客户端监控 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

接入点基本设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

设置概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

创建/修改设置配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138设置配置文件的常规设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140设置配置文件的无线 0/1 基本设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142设置配置文件的无线 0/1 高级设置： . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149传感器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1513G/4G/LTE WWAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152产品特定配置注释 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156

管理接入点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156同步接入点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156删除接入点配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156删除 SonicPoint/SonicWave 对象 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157重启 SonicPoint/SonicWave 对象 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157修改 SonicPoint/SonicWave 对象 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158

接入点平面图 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159

管理平面图 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159选择平面图 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160创建平面图 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160编辑平面图 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161


目录6

设置量尺 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162

管理接入点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163可用接入点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163已添加的接入点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163删除接入点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163导出图像 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164上下文菜单 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164

接入点拓扑视图 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165

管理拓扑视图 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165

在“拓扑视图”中管理接入点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166编辑访问规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166显示统计信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166在接入点上监控状态 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167删除接入点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168

配置 SonicPoint 入侵检测服务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

扫描接入点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

授权接入点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171

配置高级 IDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172对配置文件启用高级 IDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172配置高级 IDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173

接入点数据包捕获 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175

配置虚拟接入点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177

在配置 VAP 之前 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178确定您的虚拟接入点需求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179确定安全配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179示例网络定义 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179虚拟接入点配置工作表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180

接入点 VAP 配置任务列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181

虚拟接入点配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181虚拟结点点日程设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183虚拟接入点配置文件设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183ACL 实施 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185远程 MAC 地址访问控制设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186

虚拟接入点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186

虚拟接入点群组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188

配置 RF 监控 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190

前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191

RF 监视摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191


目录7

802.11 常规帧设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191

802.11 管理帧设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192

802.11 数据帧设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192

已发现 RF 威胁站点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193

将威胁站点添加到监控列表中 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194

实用型 RF 监控字段应用程序 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195使用传感器 ID 确定射频威胁位置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195

配置 FairNet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198

支持的平台 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198

FairNet 的功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199

管理接口概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199

配置 FairNet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200

配置 Wi-Fi 多媒体 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202

WMM 访问类别 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202

将流量分配到访问类别 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204指定防火墙服务和访问规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204VLAN 标签 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204

配置 Wi-Fi 多媒体参数 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204配置 WMM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205为接入点创建一个 WMM 配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206删除 WMM 配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206

接入点 3G/4G/LTE WWAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207

无线概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210

设备支持 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210

合规性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211FCC U-NII 新规则合规 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211RED 合规性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211

使用无线连接的考虑事项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211对佳无线性能的建议 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211

调节天线 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212

无线节点计数实施 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212

MAC 过滤列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212

配置无线设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

接入点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213接入点无线设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214接入点无线虚拟接入点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217

无线桥接 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217客户端网桥无线设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217客户端桥接高级无线设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219


目录8

接入点和工作站 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219

配置无线安全 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222

关于身份验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222

配置 WEP 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223

配置 WPA2 PSK 和 WPA PSK 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224

WPA2 EAP 和 WPA EAP 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225

配置高级无线设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227信号发送和 SSID 控制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228绿色接入点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228高级无线设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229配置天线分集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230

无线 MAC 过滤器列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231

部署注意事项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231

配置无线 > MAC 过滤器列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232

配置无线 IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233

关于无线 IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233接入点 IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233欺诈接入点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233

配置 IDS 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234IDS 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234发现的接入点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236

配置使用内部无线网络的虚拟接入点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237

无线虚拟接入点配置任务列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237

虚拟接入点配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238虚拟结点点日程设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239虚拟接入点配置文件设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240ACL 实施 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241

虚拟接入点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242VAP 常规设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242VAP 高级设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243

虚拟接入点群组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244

启用虚拟接入点群组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245

3G/4G/调制解调器概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247

选择接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247

理解 3G/4G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2483G/4G 连接类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248SonicWave MiFi Extender . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2493G/4G 故障切换 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249

3G/4G 前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252


目录9

启用 U0/U1/M0 接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253

配置 3G/4G/调制解调器基本设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254

设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254

按需连接类别 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255

管理/用户登录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255

MiFi Extender 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256

配置 3G/4G/调制解调器高级设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257

远程触发拨出设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257

带宽管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258

连接限制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258

配置 3G/4G/调制解调器连接配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259

首选配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259

连接配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259常规设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260ISP 地址 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261参数设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262IP 地址 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263日程 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263数据限制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264高级 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265

监控 3G/4G 数据使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266

VAP 样本配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268

为学校教职工访问配置 VAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268配置区域 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268创建新无线子网 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269创建无线虚拟接入点配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269创建无线虚拟接入点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270创建更多 > 部署当前 VAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270

向无线部署虚拟接入点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271对多个虚拟接入点分组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271将虚拟接入点群组与您的无线相关联 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271

SonicWall 支持 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272

关于本文档 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273


目录10

SonicWall SonicOS 连接 VPN

第 1 部分

11

VPN

• VPN 概述

• 站点到站点 VPN

• VPN 自动设置

• 基于路由的 VPN

• 配置高级 VPN 设置

• 配置 VPN 上的 DHCP

• 配置 L2TP 服务器和 VPN 客户端访问

1

VPN 概述

VPN 选项提供了用于配置和显示 VPN 策略的功能。您可以配置各种类型的 IPsec VPN 策略，如站点到站

点策略（包括 GroupVPN）和基于路由的策略。如需这些策略的相关设置的具体详细信息，请转至以下

各节：




本节提供 VPN 类型的相关信息，讨论您可以选择的一些安全选项，并介绍了管理视图上 VPN > 基本设置

页面的界面。后续各节将介绍配置基于站点到站点和基于路由的 VPN、高级设置、VPN 上的 DHCP 和

L2TP 服务器的方法。

主题：

• VPN 概述

• VPN 类型

• VPN 安全性

• VPN 设置和显示

VPN 概述虚拟专用网 (VPN) 通过公共互联网在两个或更多计算机或受保护网络之间提供安全连接。它提供身份验

证以确保信息在正确的参与方之间往来。它还提供了安全性以防止数据在中途受到查看或篡改。

VPN 是通过互联网建立安全隧道而创建的。此隧道是通过使用专用连接、虚拟隧道协议或流量加密的虚

拟点对点连接。它很灵活，您可以随时更改以添加更多节点，更改节点或完全删除。VPN 成本较低，因

为它使用现有互联网基础设施。

VPN 可以支持远程访问（将用户的计算机连接到公司网络）或站点到站点访问（连接两个网络）。VPN 也可以用于通过不同的中间网络连接两个相似的网络：例如，两个通过 IPv4 网络连接的 IPv6 网络。


VPN 概述 12

VPN 系统可以按以下内容分类：

• 用于对流量进行隧道传输的协议

• 隧道的终端点位置，例如在客户边缘或网络提供商边缘

• 连接的拓扑类型，如站点到站点或网络到网络

• 提供的安全级别

• 它们提供给连接网络的 OSI 层，如第 2 层电路或第 3 层网络连接

• 同时连接的数量

VPN 类型可以配置几种类型的 VPN 协议以供使用：

• IPsec VPN

• VPN 上的 DHCP

• 带有 IPsec 的 L2TP

• SSL VPN

IPsec VPNSonicOS 支持创建和管理 IPsec VPN。这些 VPN 主要在管理视图上的 VPN > 基本设置和 VPN > 高级设置上

配置。

IPsec（互联网协议安全）是初为 IPv6 开发的基于标准的安全协议，但也广泛用于 IPv4 和第 2 层隧道

协议。其设计符合身份认证、完整性和机密性的大多数安全目标。IPsec 使用加密并将 IP 数据包封装在

IPsec 数据包内。解封装发生在隧道的末端，原始 IP 数据包在此处进行解密并转发到预期的目的地。

使用 IPsec 的一个优势是可以对安全配置进行处理而无需更改个别用户的计算机。它提供了两种类型的

安全服务：

• 验证标头 (AH)，本质上允许对数据发送方进行身份验证

• 封装安全有效负载 (ESP)，支持对数据发送方进行身份验证和数据加密

可以使用 IPsec 开发基于策略的 VPN（站点到站点）或基于路由的 VPN 隧道或第 2 层隧道协议 (L2TP)

VPN 上的 DHCPSonicOS 允许您将防火墙配置为从 VPN 隧道另一端的 DHCP 服务器获取 IP 地址租约。在一些网络部署

中，您希望将所有 VPN 网络置于一个逻辑 IP 子网上，造成所有 VPN 网络都位于同一 IP 子网地址空间中

的印象。这有利于使用 VPN 隧道的网络的 IP 地址管理。

远程和中心站点的防火墙针对初始 DHCP 流量及站点之间的后续 IP 流量的 VPN 隧道进行配置。远程站点

的防火墙通过其 VPN 隧道传递 DHCP 广播数据包。中心站点的防火墙将远程网络客户端的 DHCP 数据包

中继到中心站点上的 DHCP 服务器。


VPN 概述 13

带有 IPsec 的 L2TP第 2 层隧道协议 (L2TP) 是一种隧道协议，用于支持 VPN 或作为 ISP 提供服务的一部分。它本身并不提供任

何加密或机密性，而且由于 L2TP 协议缺乏机密性，因此通常与 IPsec 一起实施。设置 L2TP/IPsec VPN 的

一般过程是：

1 通常通过互联网密钥交换 (IKE) 来协商 IPsec 安全关联 (SA)。这是通过 UDP 端口 500 执行的，并且尽

管其他密钥方法也存在，但通常在两端使用共享密码（也称为预共享密钥）、公钥或 X.509 证书。

2 在传输模式下建立封装安全有效负载 (ESP) 通讯。ESP 的 IP 协议号是 50（比较 TCP 的 6 和 UDP 的 17）。

此时，已建立一个安全信道，但未发生隧道传输。

3 在 SA 端点之间协商并建立 L2TP 隧道。参数的实际协商通过 SA 的安全通道在 IPsec 加密中进行。L2TP 使用 UDP 端口 1701。

处理完成后，端点之间的 L2TP 数据包将由 IPsec 封装。由于 L2TP 数据包本身封装并隐藏在 IPsec 数据包

中，因此无法从加密数据包中获取有关内部专用网络的信息。此外，UDP 端口 1701 不需要在端点之间

的防火墙上打开，因为系统仅在 IPsec 数据已解密且剥离之后才会处理内部数据包，此操作仅在端点处

发生。

SSL VPNSSL VPN（安全套接字层虚拟专用网络）是一种可以与标准 Web 浏览器一起使用的 VPN 形式。与传统的

IPsec VPN 相反，SSL VPN 不需要在终用户的计算机上安装专门的客户端软件。它可以用于为远程用户

提供对 Web 应用程序、客户端/服务器应用程序和内部网络连接的访问。

SSL VPN 由用户通过 Web 浏览器连接的一个或多个 VPN 设备组成。Web 浏览器与 SSL VPN 设备之间的流量

使用 SSL 协议或其后续的传输层安全 (TLS) 协议进行加密。SSL VPN 为各种计算机上的用户提供了多功能

性、易用性和精细控制，使他们可以从多个位置访问资源。两种主要类型的 SSL VPN 包括：

• SSL 入口 VPN

• SSL 隧道 VPN

SSL 入口 VPN 允许到网站的单个 SSL 连接，以便终用户可以安全地访问多项网络服务。此站点称为入

口，因为它是一扇通向很多其他资源的门（单个页面）。远程用户使用任何新的 Web 浏览器访问 SSL VPN 网关，使用网关支持的身份验证方法向网关标识自己，然后系统会向其显示一个用作其他服务的入

口的 Web 页面。

SSL 隧道 VPN 允许 Web 浏览器通过在 SSL 下运行的隧道安全地访问多项网络服务，包括不基于 Web 的应

用程序和协议。SSL 隧道 VPN 要求 Web 浏览器能够处理活动内容，这使得它们能够提供 SSL 入口 VPN 无

法访问的功能。活动内容的示例包括 Java、JavaScript、Active X 或 Flash 应用程序或插件。

SSL 使用互联网的超文本传输协议 (HTTP) 层与传输控制协议 (TCP) 层之间的程序层。它还使用 RSA 的公钥/ 私钥加密系统，此系统还使用数字证书。SRA/SMA 设备利用 SSL 确保 VPN 隧道安全性。SSL VPN 的一个

优势是多数 Web 浏览器已经内置 SSL。不需要特殊 VPN 客户端软件或硬件。

注：SonicWall 让您可以使用的 SRA/SMA 设备与运行 SonicWall 的 SonicOS 网络安全设备协调一致或相

互独立。如需 SonicWall SRA/SMA 设备的信息，请参阅 https://www.sonicwall.com/zh-cn/products。


VPN 概述 14

https://www.sonicwall.com/zh-cn/products

VPN 安全性IPsec VPN 流量通过两个阶段来保证安全：

1 验证：第一阶段利用公钥 /私钥对的公钥部分交换，确定流量发送者和接收者的真实性。该阶段成

功后，VPN 隧道才能建立。

2 加密：VPN 隧道中的流量利用 AES 或 3DES 等加密算法加密。

除非使用手工密钥（必须将相同的密钥输入 VPN 中的各节点），用于认证 VPN 成员和加密/解密数据的

信息交换采用 Internet 密钥交换 (IKE) 协议来交换认证信息（密钥）并建立 VPN 隧道。SonicOS 支持两个

版本的 IKE：

IKE 版本 1 (IKEv1) 使用两阶段过程来保护 VPN 隧道。首先，两个节点相互进行身份验证，然后协

商加密方法。

您可以在初定义 IKE 的三个规范中找到关于 IKEv1 的信息：RFC 2407、RFC 2408 和 RFC 2409。可以在网上找到它们，网址为：

• http://www.faqs.org/rfcs/rfc2407.html - ISAKMP 解释的互联网 IP 安全域 • http://www.faqs.org/rfcs/rfc2408.html - RFC 2408 - 互联网安全关联和密钥管

理协议 (ISAKMP) • http://www.faqs.org/rfcs/rfc2409.html - RFC 2409 - 互联网密钥交换 (IKE)

IKE 版本 2 (IKEv2) 是新 VPN 策略的默认类型，安全性得到了改进，体系结构简化，而且增强了对远

程用户的支持。VPN 隧道是通过一对消息交换启动的。第一对消息协商加密算

法，交换 nonce（生成并发送的随机值，用于防止消息重复），并执行公钥交

换。第二对消息将对先前的消息进行验证，交换身份和证书，并建立第一个

CHILD_SA。这些消息的一部分已加密且其完整性通过第一次交换建立的密钥进行

保护，因此会隐藏身份以防止窃听，而且所有消息中的所有字段都已经过验证。

如需 IKEv2 的更多信息，请参阅规范 RFC 4306，网站如下：

http://www.ietf.org/rfc/rfc4306.txt。

重要：IKEv2 与 IKEv1 不兼容。使用 IKEv2 时，VPN 中的所有节点都必须使用 IKEv2 建立隧道。 IKEv2 不支持 VPN 上的 DHCP。


VPN 概述 15

http://www.faqs.org/rfcs/rfc2407.html



http://www.ietf.org/rfc/rfc4306.txt

VPN 设置和显示VPN 页面提供一系列表和设置，具体取决于所选的选项。如需了解浏览表和设置的方法信息，请参阅关

于 SonicWall SonicOS 6.5。

如需 VPN > 基本设置页面的详细信息，请参阅以下内容：

• VPN 全局设置

• VPN 策略

• 目前活动的 VPN 隧道

VPN 全局设置

VPN > 基本设置页面的全局 VPN 设置部分显示下列信息：

SonicWall VPN 同时支持 IPv4 和 IPv6（Internet 协议版本 4 和 Internet 协议版本 6）。可以通过在窗口右上

方选择您需要的版本来进行切换。默认视图用于 IPv4。

启用 VPN 选择通过 SonicWall® 安全策略启用 VPN 策略。

唯一的防火墙标识符在配置 VPN 隧道时标识此 SonicWall 设备。默认值为设备的序列号。可以

将标识符更改为对您有意义的内容。

视图 IP 版本设置 IP 版本视图。选项是 IPv4 或 IPv6。


VPN 概述 16

VPN 策略

所有已定义的 VPN 策略都将显示在 VPN 策略表中。每个条目显示下列信息：

• 名称 - 默认名称或用户定义的 VPN 策略名称。

• 网关 - 远程防火墙的 IP 地址。如果使用通配符 IP 地址，0.0.0.0,，则它将显示为 IP 地址。

• 目的 - 目标网络的 IP 地址。

• 密钥套件 - 用于 VPN 策略的加密类型。

• 启用 - 显示是否启用策略。选中该复选框以启用此 VPN 策略。取消选中该框可以将其禁用。

• 配置 - 用于管理单个 VPN 策略的选项：

• 通过编辑图标，您可以编辑 VPN 策略。

• 删除图标将删除该行上的策略。预定义的 GroupVPN 策略无法删除，因此其删除图标变暗。

• 导出图标用于将 VPN 策略配置导出为文件，以便由 SonicWall Global VPN Client 进行本地安装。

VPN 策略表下方显示了下列按钮：

对于站点到站点策略和群组 VPN 策略，VPN 策略的一些相关统计信息也汇总在表下方：

• 定义的策略的数量

• 启用的策略的数量

• 允许的大策略数

多可以定义 4 个 GroupVPN 策略，每个区一个。VPN 策略表中默认列出这些 GroupVPN 策略：WAN GroupVPN、LAN GroupVPN、DMZ GroupVPN 和 WLAN GroupVPN。单击 GroupVPN 的配置列中的编辑图

标，这将显示用于配置 GroupVPN 策略的安全策略窗口。

添加访问 VPN 策略窗口以配置站点到站点 VPN 策略。

删除删除所选策略（选中名称列中的 VPN 策略名称前的框）。无法删除 GroupVPN 策略。

全部删除删除 VPN 策略表中除默认 GroupVPN 策略以外的全部 VPN 策略。

注：如果 VPN 网关 IP 相同，一个 VPN 策略不能有两个不同的 WAN 接口。


VPN 概述 17

目前活动的 VPN 隧道

此部分显示目前活动的 VPN 隧道列表。目前活动的 VPN 隧道表显示各个隧道的以下信息：

可以使用“活动 VPN 隧道”表顶部的这些选项来刷新活动隧道：

可以通过指定刷新隧道的频率来设置刷新间隔（秒）。通过单击暂停图标来暂停刷新，或单击开始图标来开始刷新。

VPN 自动添加的访问规则控制添加 VPN 策略时，SonicOS 自动创建不可编辑的访问规则，以允许流量穿越适当的区域。考虑以下 VPN 策略，其中本地网络设置为“防火墙保护的子网”（本例中包括 LAN 和 DMZ），目标网络设置为子网

192.168.169.0。虽然通常这可以带来极大的便利，但您可能希望禁止自动创建访问规则以支持 VPN 策略。大型轴幅式

VPN 部署就是这样一种情况，其中所有幅站点都是使用地址空间的地址，这些地址空间可以轻松构成超

网。例如，如果要实现从轴站点的 LAN 和 DMZ 到 2,000 个远程站点中的各站点的一个子网的访问，地址

如下：

创建时间隧道创建的日期和时间

名称 VPN 策略的名称

本地隧道的本地 LAN IP 地址

远程远程目标网络 IP 地址

网关对等网关 IP 地址

重新协商按钮选择后，强制 VPN 客户端重新协商 VPN 隧道

统计信息图标当鼠标指针悬停在统计信息图标上时，将显示 VPN 隧道统计信息

左箭头图标当鼠标指针悬停在左箭头图标上时，相应的 VPN 策略将显示在 VPN 策略表的中间


VPN 概述 18

remoteSubnet0=Network 10.0.0.0/24 (mask 255.255.255.0, range 10.0.0.0-10.0.0.255) remoteSubnet1=Network 10.0.1.0/24 (mask 255.255.255.0, range 10.0.1.0-10.0.1.255) remoteSubnet2=Network 10.0.2.0/24 (mask 255.255.255.0, range 10.0.2.0-10.0.2.255) remoteSubnet2000=10.7.207.0/24 (mask 255.255.255.0, range 10.7.207.0-10.7.207.255)

为各远程站点创建 VPN 策略将需要 2,000 条 VPN 策略，但同时也会创建 8,000 条访问规则（每个站点：

LAN -> VPN、DMZ -> VPN、VPN -> LAN 和 VPN -> DMZ）。然而，对于远程站点的超网或地址范围表示，

只需 4 条规则就能轻松处理所有上述访问规则（更具体而言，允许或拒绝访问规则可按需要添加）：

remoteSubnetAll=Network 10.0.0.0/13 (mask 255.248.0.0, range 10.0.0.0-10.7.255.255) or remoteRangeAll=Range 10.0.0.0-10.7.207.255

为启用该级别的聚合，VPN 策略对话框的高级选项卡提供了自动添加 VPN 策略的访问规则设置选项。

默认情况下，该复选框选中，意味着将自动创建伴随的访问规则，就像往常一样。创建 VPN 策略时取

消选中该复选框，您将能根据需要为 VPN 流量创建自定义访问规则。


VPN 概述 19

2

站点到站点 VPN

SonicWall VPN 基于业界标准的 IPsec VPN 实施。它提供易于设置的安全解决方案，可通过互联网连接手机

用户、远程工作者、远程办公室和合作伙伴。采用宽带（DSL 或电缆）或拨号接入互联网的手机用户、

远程工作者和其他远程用户，可以通过防火墙上的 SonicWall Global VPN Client 和 GroupVPN 安全且轻松

地访问您的网络资源。远程办公室网络可以利用支持网络对网络 VPN 连接的站对站 VPN 连接安全连接

到您的网络。

可以添加的大策略数取决于您使用的 SonicWall 型号。更大的型号允许更多的连接。

本节介绍站点到站点策略，包括 GroupVPN。其他部分介绍自动配置和基于路由的 VPN。如需这些策略

的相关设置的具体详细信息，请转至以下各节：



主题：

• 规划站点到站点配置

• 常规 VPN 配置

• 管理 GroupVPN 策略

• 创建站对站 VPN 策略

规划站点到站点配置配置站点到站点 VPN 时您可以使用很多选项，而且可以包含以下选项：

注：必须明确授予远程用户访问网络资源的权限。如需更多信息，请参阅 SonicWall SonicOS 6.5 系

统设置。根据如何定义访问权限，您可以影响远程客户端使用 GVC 连接到 GroupVPN 的能力，但也

可以影响使用 NetExtender 和 SSL VPN 虚拟办公室书签访问网络资源的远程用户。如需允许 GVC、

NetExtender 或虚拟办公室用户访问网络资源，必须将网络地址对象或群组添加到 VPN 访问窗口的

允许列表中。如需访问此窗口，请选择管理视图，然后在系统设置下，单击用户 > 本地用户和群

组 > 本地用户 > 添加 > VPN 访问。

分支机构（网关对网关） SonicWall 防火墙配置为通过 VPN 隧道连接到另一个 SonicWall 防火墙。或

SonicWall 防火墙配置为通过 IPsec 连接到另一家制造商的防火墙。

中心和辐射设计所有 SonicWall VPN 网关都配置为连接到一个中心集线器，如公司防火墙。

集线器必须有静态 IP 地址，但网关可以有动态 IP 地址。如果网关为动

态，则集线器必须是 SonicWall 网络安全设备。

网格设计所有站点都连接到所有其他站点。所有站点都必须有静态 IP 地址。


站点到站点 VPN 20

SonicWall 提供了视频剪辑和知识库文章，可以帮助您做出一些决定。

设计 VPN 配置时，请务必记录所有相关的 IP 地址信息。您可能希望创建一张网络图作为参考。需要注

意的其他一些事项包括：

• 防火墙必须有一个可路由的 WAN IP 地址，无论它是动态的还是静态的。

• 在有动态和静态 IP 地址的 VPN 网络中，必须由有动态地址的 VPN 网关发起 VPN 连接。

常规 VPN 配置本节回顾了站点到站点配置的常规过程。具体应用场景可能有所不同，有些应用场景将在后续章节中进行介绍。请注意，为 IPv4 和 IPv6 配置 IPSec VPN 非常相似；但是，某些 VPN 功能目前在 IPv6 中不受支

持。必要时，需要注意不同之处。

• IKEv1

• GroupVPN

• DHCP over VPN

• L2TP 服务器

• 自动配置

• FDQN

配置 VPN 的步骤如下：

1 选择管理视图。

2 在连接下，选择 VPN > 基本设置。

3 在查看 IP 版本字段中进行相应的选择：IPv4 或 IPv6。

4 在 VPN 策略部分中，单击添加。

5 在添加页面上，完成常规、网络、建议和高级部分。以下各节提供了上述每个页面的附加信息。

主题：

• 常规

• 网络

• 建议

• 高级选项卡

视频：可以在线访问包含站对站 VPN 配置示例的参考视频。例如，请参阅使用预共享密钥在主模

式下创建站点到站点 VPN 的方法或使用预共享密钥创建挑战模式站点到站点 VPN 的方法。

可以通过以下网址获取其他视频：https://www.sonicwall.com/zh-cn/support/video-tutorials。

提示：如需站对站 VPN 的信息，请参阅知识库文章：

•VPN：多种类型站对站 VPN 的应用场景及配置(SW12884) •站点到站点 VPN 的故障排除文章 (SW7570)



https://www.sonicwall.com/en-us/support/video-tutorials/5420351419001



https://www.sonicwall.com/zh-cn/support/video-tutorials

https://www.sonicwall.com/en-us/support/knowledge-base/170505702411896

https://www.sonicwall.com/en-us/support/knowledge-base/170505702411896

常规在“常规”页面上，开始定义站点到站点 VPN 策略。IPv4 和 IPv6 网络之间存在一些细微差别，这些都需要

注意。

1 如果要设置 IPv4 VPN，请从下拉菜单中选择策略类型。请注意，此字段不适用于 IPv6。

2 从下拉菜单中选择身份验证方法。以下选项可用且粗体项目表示默认值。“常规 ”视图中的其余字

段会发生变化，具体取决于您选择的选项。

3 输入策略的名称。

4 提供网关名称或地址以及所需的身份验证信息。

IPv4 IPv6

手工密钥手工密钥

使用共享密钥的 IKE 使用共享密钥的 IKE

使用第三方证书的 IKE 使用第三方证书的 IKE

SonicWall 自动设置客户端

SonicWall 自动设置服务器

注：配置 IKE 身份验证时，IPv6 地址可用于本地和对端 IKE ID。

IPv4 添加 VPN 策略：常规



网络在“网络”页面上，您可以定义构成站点到站点 VPN 策略的网络。

在 VPN 策略的网络页面上，从下拉菜单中选择本地网络和远程网络。

对于 IPv6，下拉菜单是所唯一提供的选项，并仅列出了 IPv6 可以使用的地址对象。由于不支持 DHCP，因

此这些选项不可用。另外，本地网络的任何地址选项和远程网络的 Tunnel All 选项也已删除。可以选择

全零 IPv6 网络地址对象实现相同的功能和行为。

对于 IPv4，提供了其他选项。在本地网络下，可以从列表中选择本地网络，或选择任何地址。如果选择

了任何地址，则在受信任的区域和 VPN 区域之间创建自动添加的规则

对于远程网络下的 IPv4，您可以选择以下选项之一：

• 使用该 VPN 隧道作为默认路由用于所有的网络流量。

• 从列表中选择目标网络。如果未列出任何网络，您可以创建新的地址对象或地址群组。

• 使用 IKEv2 IP 池。选择此项以支持 IKEv2 配置有效负载。

建议在“建议”页面上，可以为 VPN 策略定义安全参数。对于 IPv4 和 IPv6，此页面相同，但选项有所不同，具体

取决于您选择的内容。IPv4 在交换字段中同时提供了 IKEv1 和 IKEv2 选项，而 IPv6 仅具有 IKEv2。

IPv4 添加 VPN 策略：网络



高级选项卡IPv4 和 IPv6 的高级视图内容相似，但有些选项仅可用于一个版本或另一个版本：

高级设置：选项可用性

选项IP 版本

IPv4 IPv6

启用组播 X

启用 Keep Alive X

允许 TCP 加速 X

阻止为 VPN 策略自动访问规则的创建 X

禁用 IPsec 反重放 X

使用主要 IP 地址 X

指定本地网关 IP 地址 X

注：由于接口可以有多个 IPv6 地址，所以有时隧道的本地地址可能定期发生变化。如果用户需要

一致的 IP 地址，则将 VPN 策略配置为绑定到接口而非区域，并手动指定地址。地址必须是该接口

的一个 IPv6 地址。



IPv6 添加 VPN 策略：高级

IPv4 添加 VPN 策略：高级



管理 GroupVPN 策略GroupVPN 功能为 Global VPN Client (GVC) 提供自动 VPN 策略配置。SonicWall 网络安全设备和 GVC 上的 GroupVPN 功能简化了 VPN 部署和管理。利用客户端策略配置技术，您可以为 GVC 用户定义 VPN 策略。此策略信

息将自动从防火墙（VPN 网关）下载到 GVC，免去了远程用户配置 VPN 连接的负担。

GroupVPN 策略可以帮助防火墙管理员设置和部署多个 GVC。GroupVPN 仅适用于 GVC，而且您应该将

XAUTH/RADIUS 或第三方证书与其结合使用以增强安全性。如需了解为任何区域创建 GroupVPN 策略的

方法的更多信息，请参阅 SonicWall SonicOS 6.5 系统设置，或转至管理视图，并在系统设置下选择网络 > 区域 > 添加。

SonicOS 为 WAN 区域和 WLAN 区域提供了默认的 GroupVPN 策略，因为这两个区域通常是受信任度低的

区域。这些默认的 GroupVPN 策略在 VPN > 基本设置页面上的“VPN 策略”面板中列出且可以进行定制：

• WAN GroupVPN

• WLAN GroupVPN.

主题：

• 使用预共享密钥配置 IKE

• 配置使用第三方证书的 IKE

• 导出 VPN 客户端策略

使用预共享密钥配置 IKE

使用预共享密钥配置 WAN GroupVPN 的步骤如下：



3 单击 WAN GroupVPN 策略的编辑图标。

在常规视图中，使用共享密钥的 IKE 是身份验证方法的默认设置。共享密钥代码由防火墙自动生

成，并写入共享密钥字段中。您也可以生成自己的共享密钥。自定义共享密钥代码必须至少包含

4 个字符。

提示：如需群组 VPN 和 Global VPN Client 的信息，请参阅多种类型的群组 VPN/Global VPN Client 的

应用场景及配置 (SW7411)。

注：无法更改任何 GroupVPN 策略的名称。



https://support.sonicwall.com/kb/sw7411


4 单击建议以继续完成配置过程。

5 在 IKE（阶段 1）建议部分，选择下列设置：

• 从 DH 群组下拉菜单中选择群组 2（默认值）。

• 在“加密”下拉菜单中，选择 DES、3DES（默认值）、AES-128、AES-192 或 AES-256。

• 从验证下拉菜单中，选择所需的身份验证方法：MD5、SHA1（默认）、SHA256、SHA384 或

SHA512。

• 在生存时间（秒）字段中，输入值。默认设置为 28800，强制隧道每隔 8 小时重新协商和交

换密钥。

6 在 IPsec（阶段 2）建议部分，选择下列设置：

• 从协议下拉菜单中，选择 ESP（默认值）。

• 在加密下拉菜单中，选择 3DES（默认值）、AES-128、AES-192 或 AES-256。

• 从验证下拉菜单中，选择所需的身份验证方法：MD5、SHA1（默认）、SHA256、SHA384、SHA512、AES-XCBX 或无。

• 如果希望使用附加的 Diffie-Hellman 密钥交换增强安全性，请选中启用完全转发保密。

• 在生存时间（秒）字段中输入一个值。默认设置为 28800，强制隧道每隔 8 小时重新协商和

交换密钥。

注：Windows XP L2TP 客户端只能使用 DH 群组 2。



7 单击高级。

8 选择您希望应用于 GroupVPN 策略的下列可选设置：

高级设置

禁用 IPsec 反重放停止丢弃带有重复序号的数据包。

启用组播允许 IP 组播流量通过 VPN 隧道，如音频流（包括 VoIP）和视

频流应用程序等。

接收多个客户建议允许接受多项客户端建议，如“IKE（阶段 1）建议”或“IKE（阶

段 2）建议”。

启用 IKE 模式配置允许 SonicOS 将内部 IP 地址、DNS 服务器或 WINS 服务器给第

三方客户端，例如 iOS 设备或 Avaya IP 电话。

通过该 SA 管理如果使用 VPN 策略管理防火墙，请选择管理方法 HTTP、SSH 或

HTTPS。

注：SSH 仅对 IPv4 有效。

默认网关对于该 VPN 策略，允许您为传入的 IPsec 数据包指定默认网络路

由的 IP 地址。流入数据包由防火墙解码，并与防火墙中配置

的静态路由比较。

由于数据包可以有任何 IP 地址目标，因此无法配置足够多的静

态路由来处理流量。对于通过 IPsec 隧道接收的数据包，防火

墙寻找一个路由。如果未找到任何路由，安全设备将检查有无默认网关。如果检测到默认网关，数据包将通过该网关路由。否则，丢弃数据包。



9 单击客户端选项卡。

10 选择您希望应用于 GroupVPN 策略的下列设置：

客户验证

需要 XAUTH 验证 VPN 客户要求此 VPN 隧道上的所有入站流量来自已通过身份验证的用

户。该 VPN 隧道不允许存在未认证的流量。默认已选中 Trusted Users 组。您可以从 XAUTH 用户组用户菜单中的 XAUTH 用户

的用户组中选择另一个用户组或任何人。

允许未验证的 VPN 客户访问允许您启用未经过身份验证的 VPN 客户端访问。如果清除需要

XAUTH 验证 VPN 客户，允许未验证的 VPN 客户端访问菜单将

激活。从预定义选项菜单中选择一个地址对象或地址组，或选择创建新地址对象或创建新地址组。

用户名和密码的缓存

在客户端缓存 XAUTH 用户

名和密码

允许 Global VPN Client 缓存用户名和密码：

• 如果选中了从不，则不允许 Global VPN Client 缓存用户名和密码。启用连接时，以及每次发生 IKE 阶段 1 密钥重新协商时，就会提示用户输入用户名和密码。这是默认值。

• 如果选中了单一，则每次启用连接且连接有效时，系统会提示Global VPN Client 用户输入用户名和密码，直到连接被禁用为止。用户名和密码一直使用到 IKE 阶段 1 密钥重新协商。

• 如果选中了始终，则在启用了连接时，系统仅会提示 Global VPN Client 用户输入用户名和密码一次。提示时，用户可以选择缓存用户名和密码。



11 单击确定。

12 单击 VPN > 基本设置页面上的接受以更新 VPN 策略。

客户连接

虚拟适配器设置 Global VPN Client (GVC) 使用虚拟适配器时，需要 DHCP 服务器（内部

SonicOS 或指定的外部 DHCP 服务器）为虚拟适配器分配地址。

如果必须是可预测的地址，请获取虚拟适配器的 MAC 地址，并创建

DHCP 租赁保留。为了减少提供可预测虚拟适配器地址的管理负担，

可以配置 GroupVPN 接受虚拟适配器 IP 配置的静态地址。

注：该功能要求使用 SonicWall GVC。

选择以下一项：

• 选择无表示此 GroupVPN 连接不使用虚拟适配器。这是默认值。

• 如果按照 VPN > VPN 上的 DHCP 页面中的配置，虚拟适配器仅从 DHCP 服务器获取其 IP 配置，请选择 DHCP 租赁。

• 当 GVC 连接到防火墙时，请选择 DHCP 租赁或手动配置，防火墙策略将指示 GVC 使用虚拟适配器，但如果已手动配置虚拟适配器，则系统将禁止显示 DHCP 消息。配置的值由防火墙记录，以便能代理手工分配 IP 地址的 ARP。根据设计，虚拟适配器当前对 IP 地址分配没有限制。只是不允许重复的静态地址。

允许连接到与各个网关的目标网络匹配的客户端网络流量将通过该特定网关的

VPN 隧道发送。选择以下一项：

• 仅该网关允许一次启用一个连接。与网关策略中指定的目标网络匹配的流量通过该 VPN 隧道发送。如果同时选中了该选项和设置默认路由作为该网关，则互联网流量也将通过 VPN 隧道发送。如果选中了该选项但未选中设置默认路由作为该网关，则系统会阻断互联网流量。

• 所有安全的网关允许一次启用一个或多个连接。与各网关的目标网络匹配的流量通过该特定网关的 VPN 隧道发送。如果同时选中了该选项和设置默认路由作为该网关，则互联网流量也将通过 VPN 隧道发送。如果选中了该选项但未选中设置默认路由作为该网关，则系统会阻断互联网流量。多个网关中只有一个能启用设置默认路由作为该网关。

• 分离隧道允许 VPN 用户同时拥有本地互联网连接和 VPN 连接。这是默认值。

设置默认路由作为该网关如果所有远程 VPN 连接均通过此 VPN 隧道访问互联网，请选中此复

选框。只能配置一个 VPN 策略来使用该设置。默认情况下，未选择

该选项。

应用 VPN 访问控制列表选中此复选框以应用 VPN 访问控制列表。启用此选项后，指定的用户

只能访问为其配置的网络（如需更多信息，请参阅 SonicWall SonicOS 6.5 系统设置中的系统设置用户 > 本地用户和群组）。默认情况下未

选中该选项。

客户初始供应

为简单的客户端配置使用默认密钥

将挑战模式用于和该网关的初步交换，而 VPN 客户端使用默认的预

共享密钥进行身份验证。默认情况下未选中该选项。



配置使用第三方证书的 IKE

通过使用第三方证书的 IKE 配置 GroupVPN 的步骤如下：



3 单击 WAN GroupVPN 策略的编辑图标。

4 在安全策略部分，从验证方法下拉菜单中选择使用第三方证书的 IKE。

5 从网关证书下拉菜单中为防火墙选择一个证书。

如果在开始此过程之前未下载第三方证书，则网关证书字段会显示 - 无任何经过验证的第三方证

书 -。

6 从对等证书部分的对等 ID 类型下拉菜单中，选择以下选项之一：

7 在对端 ID 过滤器字段中输入对端 ID 过滤器。

电子邮件 ID 和域名过滤器可以包含一个字符串或部分字符串，以识别所需的可接受范围。输入

的字符串不区分大小写，并可以包含通配符 *（代表多个字符）和 ? （代表一个字符）。例如，

选中电子邮件 ID 后，字符串 *@sonicwall.com 将允许电子邮件地址以 @sonicwall.com 结

尾的任何人进行访问；选中域名后，字符串 *sv.us.sonicwall.com 将允许域名以 sv.us.sonicwall.com 结束的任何人进行访问。

8 选中仅允许被网关签名的对等证书，要求对等证书必须由网关证书菜单中指定的发布者签名。

重要：配置 IKE 使用第三方证书的 GroupVPN 之前，必须在防火墙上安装证书。

注：VPN 策略名称默认为 GroupVPN，无法更改。

识别名基于证书的“主题识别名”字段，并由证书颁发机构设置。

电子邮件 ID 基于证书的“主题备用名”字段，并非所有证书都默认包含该字段。如果证

书不包含“备用主题名”字段，则该过滤器无效。域 ID



9 单击建议选项卡。

10 在 IKE（阶段 1）部分中，选择下列设置：

a 从 DH 群组下拉菜单中，选择群组 1、群组 2（默认值）、群组 5 或群组 14。

b

c 在加密下拉菜单中，选择 DES、3DES（默认值）、AES-128、AES-192 或 AES-256。

d 从验证下拉菜单中，选择所需的身份验证方法：MD5、SHA1（默认值）、SHA256、SHA384、SHA512、AES-XCBX 或无。

e 在生存时间（秒）字段中，输入值。默认设置为 28800，强制隧道每隔 8 小时重新协商和交

换密钥。

11 在 IPsec（阶段 2）部分中，选择下列设置：

a 从协议下拉菜单中，选择 ESP（默认值）。

b 在加密下拉菜单中，选择 3DES（默认值）、AES-128、AES-192 或 AES-256。

c 从验证下拉菜单中，选择所需的身份验证方法：MD5、SHA1（默认）、SHA256、SHA384、SHA512、AES-XCBX 或无。

d 如果希望使用附加的 Diffie-Hellman 密钥交换增强安全性，请选中启用完全转发保密。

e 在生存时间（秒）字段中输入一个值。默认设置为 28800，强制隧道每隔 8 小时重新协商和

交换密钥。

注：Windows XP L2TP 客户端只能使用 DH 群组 2。



12 单击高级选项卡，选择您希望应用于 GroupVPN 策略的下列任意可选设置。

禁用 IPsec 反重放反重放是一种局部序列完整性，可检测到重复 IP 数据报（在受

限窗口内）的到达。

启用组播允许 IP 组播流量通过 VPN 隧道，如音频流（包括 VoIP）和视频流

应用程序等。

接受多个客户建议允许接受多项客户端建议，如“IKE（阶段 1）建议”或“IKE（阶段

2）建议”。

启用 IKE 模式配置允许 SonicOS 将内部 IP 地址、DNS 服务器或 WINDS 服务器分配给

第三方客户端，例如 iOS 设备或 Avaya IP 电话。

通过该 SA 管理如果使用 VPN 策略管理防火墙，请选择管理方法 HTTPS、SSH 或 SNMP

注：SSH 仅对 IPv4 有效。

默认网关选中通过 SA 路由所有的网络流量复选框，可以在中心站点和远

程站点上一起使用。对于该 SA，默认 LAN 网关允许您为传入的

IPsec 数据包指定默认 LAN 路由的 IP 地址。

启用 OCSP 检测让用户能够使用在线证书状态协议 (OCSP) 来检查 VPN 证书状态，

并指定在其中检查证书状态的 URL。

需要 XAUTH 验证 VPN 客户要求此 VPN 策略上的所有入站流量来自已通过身份验证的用户。

该 VPN 隧道不允许存在未认证的流量。

XAUTH 用户的用户群组允许选择已定义的用户群组进行身份验证。

允许未验证的 VPN 客户访问允许对未经过身份验证的 Global VPN Client 访问指定网段。



13 单击客户端选项卡，并选中您希望应用于 Global VPN Client 配置的下列任何复选框。

在客户端缓存 XAUTH 用户名和

密码

允许 Global VPN Client 缓存用户名和密码：

• 选中从不，则系统不允许 Global VPN Client 缓存用户名和密码。启用连接以及每次发生 IKE 阶段 1 密钥重新协商时，就会提示用户输入用户名和密码。

• 选中单一，则每次启用连接且连接有效时，系统会提示用户输入用户名和密码，直到连接被禁用为止。用户名和密码一直使用到 IKE 阶段 1 密钥重新协商。

• 选中始终，则在启用了连接时，系统仅会提示用户输入用户名和密码一次。提示时，用户可以选择缓存用户名和密码。

虚拟适配器设置 Global VPN Client (GVC) 使用虚拟适配器时，需要 DHCP 服务器（内

部 SonicOS 或指定的外部 DHCP 服务器）为虚拟适配器分配地址。

如果必须是可预测的地址，请获取虚拟适配器的 MAC 地址，并

创建 DHCP 租赁保留。如需减少提供可预测虚拟适配器地址的管

理负担，请将 GroupVPN 配置为接受虚拟适配器 IP 配置的静态

地址。该功能要求使用 SonicWall GVC。• 选中无，此 GroupVPN 连接不使用虚拟适配器。

• 选择 DHCP 租赁，按照 VPN > VPN 上的 DHCP 页面中的配置，虚拟适配器将仅从 DHCP 服务器获取其 IP 配置。

• 选择 DHCP 租赁或手动配置，并且当 GVC 连接到防火墙时，防火墙策略将指示 GVC 使用虚拟适配器，但如果已手动配置虚拟适配器，则系统将禁止显示 DHCP 消息。配置的值由防火墙记录，以便能代理手工分配 IP 地址的 ARP。根据设计，IP 地址分配当前对虚拟适配器没有限制。只是不允许重复的静态地址。



14 单击确定。


导出 VPN 客户端策略可以向终用户提供包含其 Global VPN Client 的配置设置的文件。只需从防火墙中导出 VPN 客户端策略。

导出 Global VPN Client 配置设置的步骤如下：



3 确保您要导出的策略已启用。

允许连接到与各个网关的目标网络匹配的客户端网络流量将通过该特定网关的 VPN 隧道发送。选择以下其中一个选项：

• 仅该网关允许一次启用一个连接。与网关策略中指定的目标网络匹配的流量通过该 VPN 隧道发送。如果同时选中了该选项和设置默认路由作为该网关，则互联网流量也将通过 VPN 隧道发送。如果选中了该选项但未选中设置默认路由作为该网关，则系统会阻断互联网流量。

• 所有安全的网关允许一次启用一个或多个连接。与各网关的目标网络匹配的流量通过该特定网关的 VPN 隧道发送。如果同时选中了该选项和设置默认路由作为该网关，则互联网流量也将通过 VPN 隧道发送。如果选中了该选项但未选中设置默认路由作为该网关，则系统会阻断互联网流量。多个网关中只有一个能启用设置默认路由作为该网关。

注：多个网关中只有一个能启用设置默认路由作为该网关。

• 分离隧道允许 VPN 用户同时拥有本地互联网连接和 VPN 连接。这是默认值。

设置默认路由作为该网关如果所有远程 VPN 连接均通过此 SA 访问互联网，请启用此复选

框。只能配置一个 SA 来使用该设置。

为简单的客户端配置使用默认密钥

将挑战模式用于和该网关的初步交换，而 VPN 客户端使用默认

的预共享密钥进行身份验证。

重要：必须在防火墙上启用 GroupVPN SA（安全关联）以导出配置文件。



4 单击 VPN 策略表中该 GroupVPN 条目的配置列中的导出图标。

rcf 格式是必须的，全局 VPN 客户端是默认值。以 rcf 格式保存的文件可以用密码加密。防火墙为

配置文件提供默认文件名，您可以更改。

5 单击是。

6 在选择要导出的客户端访问网络的下拉列表中，选择 VPN 访问网络。

7 如需对导出的文件加密，请在密码字段中输入一个密码，然后在确认密码字段中再次输入。如果选择不输入密码，则导出文件将不加密。

8 单击提交。如果未输入密码，将显示一条消息确认您的选择。

9 单击确定。保存之前可以更改配置文件。

10 保存文件。

11 单击关闭。

可保存或以电子方式发送该文件到远程用户，以便配置其 Global VPN Client。



创建站对站 VPN 策略站点到站点 VPN 允许多个地点的办公室通过公共网络在彼此之间建立安全连接。它扩展了公司的网

络，使其他位置的员工能够使用某一个位置的计算机资源。

您可以创建或修改现有的站点到站点 VPN 策略。如需添加策略，请单击 VPN 策略表下的添加；如需修

改现有策略，请单击该策略的编辑图标。配置站点到站点 VPN 时，可以设置以下选项：

• 使用预共享密钥进行配置

• 使用手动密钥进行配置

• 使用第三方证书进行配置

本节还包含有关配置远程 SonicWall 防火墙以及将静态路由配置为在发生 VPN 隧道故障时用作故障切换

的方法信息。

• 配置远程 SonicWall 网络安全设备

• 配置 VPN 故障切换到静态路由。

使用预共享密钥进行配置

使用互联网密钥交换 (IKE) 和预共享密钥配置 VPN 策略的步骤如下：



3 单击添加以创建新策略，或如果您要更新现有策略，请单击编辑图标。

视频：可以在线访问包含站对站 VPN 配置示例的参考视频。例如，请参阅使用预共享密钥在主模

式下创建站点到站点 VPN 的方法或使用预共享密钥创建挑战模式站点到站点 VPN 的方法。

可以通过以下网址获取其他视频：https://www.sonicwall.com/zh-cn/support/video-tutorials。







4 从常规选项卡上的策略类型中，选择站点到站点。

5 在验证方法下拉菜单中，选择使用共享密钥的 IKE。

6 在名称字段中输入策略的名称。

7 在 IPSec 主要网关名称或者地址字段中输入远程连接的主机名或 IP 地址。

8 如果远程 VPN 设备支持多个端点，请在 IPsec 次要网关名称或者地址字段（可选）中输入远程连接

的另一个主机名或 IP 地址。

9 在 IKE 验证部分的共享密钥和确认共享密钥字段中，输入共享密钥密码。这用于设置 SA（安全关

联）。共享密钥密码的长度必须至少为 4 个字符，并应当包含数字和字母。

10 如需查看这两个字段中的共享密钥，请取消选中隐藏共享密钥的复选框。默认情况下，隐藏共享密钥复选框处于选中状态，这会导致共享密钥显示为黑色圆圈。

11 也可以为该策略指定本地 IKE ID 和对等 IKE ID。默认情况下，IP 地址 (ID_IPv4_ADDR) 用于主模式协

商，防火墙标识符 (ID_USER_FQDN) 用于挑战模式。

您可从下拉菜单中的以下 ID 中进行选择：

• IPv4 地址

• 域名

• 电子邮件地址

• 防火墙标识符

• 密钥标识符

12 在下拉菜单后面的本地 IKE ID 和对端 IKE ID 字段中输入地址、名称或 ID。

13 单击网络。

14 在本地网络下，选择以下选项之一：

从列表中选择本地网络如果特定网络可以访问 VPN 隧道，请从下拉菜单中选择本地

网络。

任何地址如果流量可以来自于任何本地网络或已为对端选中使用此 VPN 隧道作为所有互联网流量的默认路由，请使用此选项。自动添加的规则将在受信任的区域和 VPN 区域之间创建。

注：IKEv2 不支持 VPN 上的 DHCP。



15 在远程网络下，选择以下选项之一：

16 单击建议。

17 在 IKE（阶段 1）建议下，从交换下拉菜单中选择以下选项之一：

18 在 IKE（阶段 1）建议下，设置其余选项的值。对于多数 VPN 配置，DH 群组、加密、身份验证和生

存时间的默认值都是可接受的。

使用该 VPN 隧道作为默认路由

用于所有的网络流量

如果来自任何本地用户的流量必须在加密后才能离开防火墙，请选择此选项。

注：只能配置一个 SA 来使用该设置。

从列表中选择目标网络从下拉菜单中选择一个远程网络。

使用 IKEv2 IP 池选择此选项以支持 IKEv2 配置负载。

主模式将 IKEv1 阶段 1 建议与 IPsec 阶段 2 建议一起使用。Suite B 加密选项对于 IKE 阶段 1 设置中的 DH 群组可用，且对于 IPsec 阶段 2 设置中的加密可用。

挑战模式通常在动态分配 WAN 地址时使用。将 IKEv1 阶段 1 建议与 IPsec 阶段 2 建

议一起使用。Suite B 加密选项对于 IKE 阶段 1 设置中的 DH 群组可用，且对

于 IPsec 阶段 2 设置中的加密可用。

IKEv2 模式使所有协商通过 IKEv2 协议发生，而不是使用 IKEv1 阶段。

注：如果您选择 IKE v2 模式，则 VPN 隧道的两端都必须使用 IKE v2。选中

后，DH 群组、加密和身份验证字段将显示为灰色且无法进行定义。

注：如果为交换字段选择了 IKEv2 模式，则 DH 群组、加密和身份验证字段将显示为灰色且无

法选择这些选项。

注：确保隧道另一端的阶段 1 值匹配。



a 对于 DH 群组，当处于主模式或挑战模式时，您可以从多个 Diffie Hellman 交换中进行选择：

b 对于加密字段，如果选中了主模式或挑战模式，请从下拉菜单中选择 3DES（默认值）、DES、

AES-128、AES-192 或 AES-256。

c 对于身份验证字段，如果选中了主模式或挑战模式，请选择 SHA-1（默认值）、MD5、

SHA256、SHA384 或 SHA512 以增强身份验证安全性。

d 对于所有交换模式，输入生存时间（秒）的值。默认设置为 28800，强制隧道每隔 8 小时重

新协商和交换密钥。

19 在 IPsec（阶段 2）建议部分中设置选项。对于大多数 VPN SA 配置，协议、加密、身份验证、启用

完全转发保密和生存时间（秒）的默认值是可接受的。

• 如果您在协议字段中选择了 ESP，则在加密字段中可以从包含在 Suite B 加密中的 6 种加密算

法中进行选择：

• 如果在协议字段中选择了 AH，则加密字段将显示为灰色且您无法选择任何选项。

20 单击高级选项卡，并选择您希望应用于 VPN 策略的下列任何可选设置。这些选项将随您在建议选

项卡中选择的选项而变化。

包含在 Suite B 加密中的 Diffie Hellman 群组其他 Diffie-Hellman 选项

256 位随机 ECP 组组 1


521 位随机 ECP 组群组 5


224 位随机 ECP 组


Suite B 加密选项其他选项

AESGCM16-128 DES

AESGCM16-192 3DES

AESGCM16-256 AES-128

AESGMAC-128 AES-192

AESGMAC-192 AES-256

AESGMAC-256



选项主模式或挑战模式（请参阅下图）

IKEv2 模式

（请参阅下图）

高级设置

启用 Keep Alive 如果隧道的一端出现故障，可选择在此 VPN 隧道上的对等点之间

使用检测信号消息，使用保持活动的检测信号允许在两端都再次可用时自动重新协商隧道，而不必等待建议的生存时间过期。

注：当 VPN 策略配置为 VPN 上的

DHCP 的中心网关或使用主要网关

名称或地址 0.0.0.0 进行配置时，“ 保持活动”选项将处于禁用状态。

无法为 IKEv2 模式选择此选项。

阻止为 VPN 策略自动访问

规则的创建

当选择了不是时（默认值），将允许 VPN 流量遍历相应的区域。


禁用 IPsec 反重放反重放是一种局部序列完整性，可检测到重复 IP 数据报（在受限

窗口内）的到达

反重放是一种局部序列完整性，可检测到重复 IP 数据报（在受限


启用 NetBIOS 广播选择此选项可允许通过浏览 Windows 网络邻居来访问远程网

络资源。

选择此选项可允许通过浏览 Windows 网络邻居来访问远程网

络资源。

启用组播选择此选项可允许组播流量通过

VPN 隧道，如音频流（包括 VoIP）

和视频流应用程序等。

选择此选项可允许组播流量通过



WXA 群组选择无（默认值）或群组 1 选择无（默认值）或群组 1

只显示符合 Suite B 的算法选择您是否希望仅显示符合 Suite B 的算法。

选择您是否希望仅显示符合 Suite B 的算法。

应用 NAT 策略选择是否希望防火墙转换流过本地网络、远程网络或这两个通过

VPN 隧道进行通讯的网络上的流

量。选中后，从两个下拉菜单中选择已转换的本地网络或已转换的远程网络或其中之一。

注：一般而言，如果隧道需要 NAT，则应转换本地或远程网络，

而非二者都要转换。隧道两端使用相同或重叠的子网时，应用 NAT 策略特别有用。

选择是否希望防火墙转换流过本地网络、远程网络或这两个通过





允许 SonicPointN 三层管理选择是否要允许第 3 层管理。选择是否要允许第 3 层管理。

通过该 SA 管理为此选项选择 HTTPS，以便通过 VPN 隧道管理本地 SonicWall 防火墙。

为此选项选择 HTTPS，以便通过 VPN 隧道管理本地 SonicWall 防火墙。

通过此 SA 的用户登录选择 HTTP 和/或 HTTPS，以允许用

户使用 SA 登录。

注：HTTP 用户登录不允许远程身

份验证。

选择 HTTP 和/或 HTTPS，以允许用



份验证。



默认 LAN 网关（可选）如果要在进入此隧道之前通过 LAN 路由前往未知子网的流量，请选择此选项。例如，如果选择了使用该 VPN 隧道作为所有互联网流

量的默认路由（在此页面的网络视图上的远程网络下），请输入路由器地址。

如果要在进入此隧道之前通过 LAN 路由前往未知子网的流量，请选择此选项。例如，如果选择了使用该 VPN 隧道作为所有互联网流


VPN 策略绑定到从下拉列表中选择一个接口或区域。如果您使用的是 WAN 负载均

衡，并希望 VPN 使用任一 WAN 接

口，则区域 WAN 是首选设置。

重要提示：如果两个接口的 VPN 网

关 IP 地址相同，则无法从下拉菜单

中选择两个不同的 WAN 接口。

从下拉列表中选择一个接口或区域。如果您使用的是 WAN 负载均




关 IP 地址相同，则无法从下拉菜

单中选择两个不同的 WAN 接口。

IKEv2 设置

不要发送触发数据包在 IKE SA 协商之间

未启用未选择（默认值）。如果对端无法处理触发数据包，则只应在需要互操作性时进行选择。

推荐的做法是包含触发数据包，以帮助 IKEv2 响应者从其安全策略

数据库中选择正确的受保护 IP 地

址范围。并非所有实施都支持此功能，因此禁止在某些 IKE 对端中

包含触发数据包可能是适当的。

接收 Hash & URL 证书类型未启用如果您的设备可以发送并处理哈希和证书 URL 而不是证书自身，

请选择此选项。如果已选择，请向对等设备发送一条表示支持

HTTP 认证查找的消息。

发送 Hash & URL 证书类型未启用如果您的设备可以发送并处理哈希和证书 URL 而不是证书自身，

请选择此选项。如果已选择，请响应来自对等设备的消息并确认

HTTP 认证查找是否受支持。

选项主模式或挑战模式（请参阅下图）

IKEv2 模式

（请参阅下图）



主模式、挑战模式和 IKEv2 模式的高级设置

附加的 IKEv2 模式选项

21 单击确定。


使用手动密钥进行配置可以手动定义用于建立 IPsec VPN 隧道的加密密钥。在您需要知道加密或身份验证密钥是什么（例如，

其中一个 VPN 对端需要特定密钥时）或需要禁用加密和身份验证时，可以定义手动密钥。

配置使用手动密钥的 VPN 策略的步骤如下：






4 在验证方法字段的下拉列表中，选择手工密钥。此窗口仅显示手动密钥选项。

5 在名称字段中输入策略的名称。

6 在 IPsec 网关名称或者地址字段中输入远程连接的主机名或 IP 地址。

7 单击网络。


• 如果特定的本地网络可以访问 VPN 隧道，请在从列表中选择本地网络下拉列表中选择一个

本地网络。

• 如果流量可从任意本地网络发起，请选择任何地址。如果对端已选择使用该 VPN 隧道作为默

认路由用于所有的网络流量，请使用此选项。自动添加的规则将在受信任的区域和 VPN 区

域之间创建。

9 在远程网络下面，选择以下其中之一：

• 如果来自任何本地用户的流量只有加密才可离开防火墙，请选中使用该 VPN 隧道作为默认

路由用于所有的网络流量。

• 或选择从列表中选择目标网络，并选择地址对象或组。




10 单击建议。

11 定义一个传入 SPI 和一个传出 SPI。安全参数索引 (SPI) 为十六进制值，其长度可以为 3 到 8 个字符。

12 对于大多数 VPN SA 配置，协议、加密和身份验证的默认值都是可接受的。

• 如果您在协议字段中选择了 ESP，则在加密字段中可以从包含在 Suite B 加密中的 6 种加密算

法中进行选择：

• DES

• 3DES

• AES-128

• AES-192

• AES-256

• 无

• 如果在协议字段中选择了 AH，则加密字段将显示为灰色且您无法选择任何选项。

13 在加密密钥字段中，输入一个包含 48 个字符的十六进制加密密钥或使用默认值。此加密密钥用于

配置远程 SonicWall 加密密钥，因此应记录下来以便在配置远程防火墙时使用。

14 在身份验证密钥字段中，输入一个包含 40 个字符的十六进制身份验证密钥或使用默认值。记下该

密钥以便配置防火墙设置。

重要：每个安全关联 (SA) 必须有唯一的 SPI；任何两个 SA 都不得共享相同的 SPI。但是，每

个安全关联的传入 SPI 可以与传出 SPI 相同。

注：协议、加密和验证的值必须与远程防火墙上的值一致。

提示：有效的十六进制字符包括 0、1、2、3、4、5、6、7、8、9、a、b、c、d、e 和 f。

1234567890abcdef 是有效 DES 或 ARCFour 加密密钥的一个例子。如果您输入的加密或身份验

证密钥不正确，则浏览器窗口底部会显示一条错误消息。



15 单击高级。

16 选择您希望应用于 VPN 策略的下列任何可选设置。

选项定义

阻止为 VPN 策略自动访问规

则的创建


启用 NetBIOS 广播选择此选项可允许通过浏览 Windows 网络邻居来访问远程网络

资源。

WXA 群组选择无（默认值）或群组 1


VPN 隧道进行通讯的网络上的流量。选中后，从两个下拉菜单中

选择已转换的本地网络或已转换的远程网络或其中之一。


而非二者都要转换。隧道两端使用相同或重叠的子网时，应用

NAT 策略特别有用。

提示：可以在线访问包含接口配置示例的参考视频。例如，请参阅如何在有重叠网络的站对站 VPN 中配置 VPN 上的 NAT。可以通

过以下网址获取其他视频： https://www.sonicwall.com/zh-cn/support/video-tutorials。

允许 SonicPointN 三层管理选择是否要允许第 3 层管理。

通过该 SA 管理请选择 HTTPS、SSH、SNMP 或这三项的任何组合，以通过 VPN 隧道管理 SonicWall 防火墙。

通过 SA 用户登录选择 HTTP 和/或 HTTPS，以允许用户使用 SA 登录。

注：HTTP 用户登录不允许远程身份验证。






17 单击确定。


使用第三方证书进行配置

通过使用 SonicWall 防火墙，您可以选择使用第三方证书进行身份验证，而不是使用 SonicWall 身份验证服

务。使用来自第三方提供程序的证书或使用本地证书是一个需要更多手动操作的过程；因此，实施公钥基础结构 (PKI) 的经验对于理解数字证书的关键组成部分是必要的。

SonicWALL 支持以下两种证书提供程序：

• VeriSign

• Entrust

创建一个使用 IKE 和第三方证书的 VPN SA 的步骤如下：




默认 LAN 网关（可选）如果要在进入此隧道之前通过 LAN 路由前往未知子网的流量，请

选择此选项。例如，如果选择了使用该 VPN 隧道作为所有互联

网流量的默认路由（在此页面的网络视图上的远程网络下），请输入路由器地址。

VPN 策略绑定到从下拉列表中选择一个接口或区域。

重要提示：如果两个接口的 VPN 网关 IP 地址相同，则无法从下

拉菜单中选择两个不同的 WAN 接口。

注：您必须先在 SonicWall 防火墙上安装来自第三方证书机构的有效证书，然后才能使用第三方

IKE 证书配置您的 VPN 策略。

选项定义



4 在验证方法字段中，选择使用第三方证书的 IKE。VPN 策略窗口的 IKE 身份验证部分中显示第三方

证书选项。

5 在名称字段中输入安全关联的名称。

6 在 IPsec 主要网关名称或者地址字段中输入主要远程 SonicWall 的 IP 地址或完全限定域名 (FQDN)。

7 若有次要远程 SonicWall，请在 IPsec 次要网关名称或者地址字段中输入其 IP 地址或完全限定域

名 (FQDN)。

8 在 IKE 验证下，从本地证书列表中选择一个第三方证书。设置此选项之前，必须已经导入本地证书。

9 从对端 IKE ID 类型下拉菜单中，选择以下对端 ID 类型之一：

对端 IKE ID 类型选项定义

来自证书的默认 ID 身份验证取自证书上的默认 ID。

可分辨名称 (DN) 身份验证基于证书的“主题识别名”字段，默认情况下所有证书

都包含该字段。必须为站点到站点 VPN 输入整个识别名字段。

不支持通配符。

“主题识别名”的格式由证书颁发机构决定。常用字段有“国家或

地区”(C=)、“组织”(O=)、“组织单位”(OU=)、“公用名”(CN=)、“县市”(L=)等，取决于证书颁发机构。X.509 证书中的实际“主题识

别名”字段是一个二进制对象，匹配时必须转换为字符串。这些

字段以正斜杠字符分隔，例如： /C=US/O=SonicWall, Inc./OU=TechPubs/CN=Joe Pub。



10 在对等 IKE ID 字段中输入 ID 字符串。

11 单击网络。


• 如果特定本地网络可以访问 VPN 隧道，请在从列表中选择本地网络下拉列表中选择一个本

地网络。

• 如果流量可以来自于任何本地网络，请选择任何地址。如果对端已选择使用该 VPN 隧道作

为默认路由用于所有的网络流量，请使用此选项。自动添加的规则将在受信任的区域和

VPN 区域之间创建。

13 在远程网络下，选择以下选项之一：

• 如果来自任何本地用户的流量必须在加密后才能离开防火墙，请选择使用该 VPN 隧道作为

所有互联网流量的默认路由，

电子邮件 ID (UserFQDN) 基于电子邮件 ID (UserFQDN) 类型的身份验证基于证书的“主题备

用名”字段，并非所有证书都默认包含该字段。如果证书包含“主题备用名”，则必须使用该值。对于站点到站点 VPN，无法使用

通配符。必须输入电子邮件 ID 的完整值。这是因为站点到站点

VPN 预期连接到一个对端，而群组 VPN 预期连接到多个对端。

域名 (FQDN) 基于域名 (FQDN) 类型的身份验证基于证书的“主题备用名”字

段，并非所有证书都默认包含该字段。如果证书包含“主题备用

名”，则必须使用该值。对于站点到站点 VPN，无法使用通配

符。必须输入域名的完整值，因为站点到站点 VPN 预期将连接

到单个对端，而群组 VPN 预期将连接到多个对端。

IP 地址 (IPV4) 基于 IPv4 IP 地址。

注：如需查找证书详细信息（主题备用名、识别名等），请转至系统设置 | 设备 > 证

书页面。


对端 IKE ID 类型选项定义



• 或者，选择从列表中选择目标网络，并从下拉列表中选择地址对象或群组。

• 如果要支持 IKEv2 配置有效负载，请选择 IKEv2 IP 池，然后从下拉列表中选择地址对象或 IP 池网络。


15 在 IKE（阶段 1）建议部分，选择下列设置：











注：如果为交换字段选择了 KEv2 模式，则 DH 群组、加密和身份验证字段将显示为灰色且

无法选择这些选项。




b 对于加密字段，如果选中了主模式或挑战模式，请从下拉菜单中选择 DES、3DES（默认值）、

AES-128、AES-192 或 AES-256。

c 对于身份验证字段，如果选中了主模式或挑战模式，请选择 MD5、SHA-1（默认值）、






a 从协议菜单选择所需的协议。

如果您在协议字段中选择了 ESP，则在加密字段中可以从包含在 Suite B 加密中的 6 种加密

算法中进行选择：

如果在协议字段中选择了 AH，则加密字段将显示为灰色且您无法选择任何选项。

b 如果希望使用附加的 Diffie-Hellman 密钥交换增强安全性，请选择启用完全转发保密，然后

从 DH 群组菜单中选择群组 2。

c 在生存时间（秒）字段中输入一个值。默认设置为 28800，强制隧道每隔 8 小时重新协商和

交换密钥。









AESGCM16-128 DES

AESGCM16-192 3DES


AESGMAC-128 AES-192

AESGMAC-192 AES-256

AESGMAC-256 无



18 单击高级选项卡。

19 选择您希望应用于 VPN 策略的任何配置选项：

选项主模式或挑战模式 IKEv2 模式

高级设置

启用 Keep Alive 如果隧道的一端出现故障，可选择在此 VPN 隧道上的对等点之间

使用检测信号消息，使用保持活动的检测信号允许在两端都再次可用时自动重新协商隧道，而不必等待建议的生存时间过期。

注：当 VPN 策略配置为 VPN 上的

DHCP 的中心网关或使用主要网关

名称或地址 0.0.0.0 进行配置时，

“保持活动”选项将处于禁用状态。

无法为 IKEv2 模式选择此选项。

阻止为 VPN 策略自动访问规则的创建








络资源。


络资源。






















启用 OCSP 检查选择是否要检查 VPN 证书状态，

并在所提供的字段中提供 OCSP 响

应者 URL。

选择是否要检查 VPN 证书状态，

并在所提供的字段中提供 OCSP 响

应者 URL。

允许 SonicPointN 三层管理允许接入点的第 3 层管理。允许接入点的第 3 层管理。






份验证。




份验证。

默认 LAN 网关（可选）如果要在进入此隧道之前通过 LAN 路由前往未知子网的流量，请选择此选项。例如，如果选择了使用该 VPN 隧道作为所有互联网流


如果要在进入此隧道之前通过 LAN 路由前往未知子网的流量，请选择此选项。例如，如果选择了使用该 VPN 隧道作为所有互联网流














IKEv2 设置




20 单击确定。


配置远程 SonicWall 网络安全设备1 单击 VPN > 设置页面上的添加。随即显示 VPN 策略对话框。

2 在常规选项卡中，从验证方法下拉菜单中选择手工密钥。

3 在名称字段中输入 SA 的名称。

4 在 IPSec 网关名称或地址字段中输入本地连接的主机名或 IP 地址。

5 单击网络选项卡。

6 在本地网络下面，选择以下其中之一：

• 如果特定本地网络可以访问 VPN 隧道，请从从列表中选择本地网络下拉菜单中选择一个本

地网络。

• 如果流量可从任意本地网络发起，请选择任何地址。如果对端已选择使用该 VPN 隧道作为

默认路由用于所有的网络流量，请使用此选项。自动添加的规则将创建在可信的区域和

VPN 区域之间。

7 在目标网络下面，选择以下其中之一：

• 如果来自任何本地用户的流量只有加密才可离开防火墙，请选中使用该 VPN 隧道作为默认

路由用于所有的网络流量。

• 或选择从列表选择目标网络，并选择地址对象或组。



未对主模式或挑战模式启用

未选择（默认值）。如果对端无法处理触发数据包，则只应在需要互操作性时进行选择。





接收 Hash & URL 证书类型如果您的设备可以发送并处理哈希和证书 URL 而不是证书自身，



发送 Hash & URL 证书类型如果您的设备可以发送并处理哈希和证书 URL 而不是证书自身，







9 定义一个传入 SPI 和一个传出 SPI。SPI 是十六进制 (0123456789abcedf)，可以包括 3 到 8 个字符。

10 多数 VPN SA 配置可以接受协议、加密和验证的默认值。

11 在加密密钥字段中输入一个 48 字符十六进制加密密钥或使用默认值。此加密密钥用于配置远程

SonicWall 加密密钥，因此应记录下来以便配置远程 SonicWall。

12 在身份验证密钥字段中输入一个 40 字符十六进制身份验证密钥或使用默认值。记下该密钥以便配

置远程 SonicWall 设置。

13 单击高级选项卡，选择您希望应用于 VPN 策略的下列任意可选设置：

• 禁止为 VPN 策略自动创建访问规则选项默认禁用，以便 VPN 流量穿越适当的区域。

• 选择启用 NetBIOS 广播以允许通过浏览 Windows® 网络邻居来访问远程网络资源。

• 选择允许加速允许符合本策略的流量重定向到 WAN 加速 (WXA) 设备。

• 如需转换通过该 VPN 隧道通信的本地和/或远程网络，请选择应用 NAT 策略。此时显示两个

下拉菜单：

• 如需对本地网络执行网络地址转换，请在已转换的本地网络菜单中选择或创建地址对象。

• 如需转换远程网络，请在已转换的远程网络下拉菜单中选择或创建地址对象。

• 如需通过 VPN 隧道管理远程 SonicWall，请从通过该 SA 管理中选择 HTTP、SSH、SNMP 或这

三项的任何组合。

• 在用户通过 SA 用户登录中选择 HTTP 和/或 HTTPS，以便用户利用 SA 登录。

• 若有一个网关的 IP 地址，请将其输入默认 LAN 网关（可选）字段。

• 从 VPN 策略绑定到菜单选择一个接口。

14 单击确定。


小心：每个安全关联必须有唯一的 SPI，任何两个安全关联不能有相同的 SPI。然而，每个安全关

联的传入 SPI 可以与传出 SPI 相同。

注：协议、加密和验证的值必须与远程防火墙上的值一致。

提示：有效的十六进制字符包括 0、1、2、3、4、5、6、7、8、9、a、b、c、d、e 和 f。

1234567890abcdef 是有效 DES 或 ARCFour 加密密钥的一个例子。如果输入的加密密钥不正

确，浏览器窗口底部会显示一条错误消息。

注：一般而言，如果隧道需要 NAT，则应转换本地或远程网络，而非二者都要转换。

隧道两端使用相同或重叠的子网时，应用 NAT 策略特别有用。

注：HTTP 用户登入不允许远程认证。

重要：若两个接口的 VPN 网关 IP 地址相同，则不能从 VPN 策略绑定到下拉菜单中选

择两个不同的 WAN 接口。

提示：由于已启用 NetBIOS，用户可以在其 Windows 网络邻居中查看远程计算机。用户还可以输

入服务器或工作站的远程 IP 地址，从而访问远程 LAN 上的资源。



配置 VPN 故障切换到静态路由可以配置一个静态路由，用作 VPN 隧道停止工作时的备用路由。在定义路由策略时，允许 VPN 路径优

先选项允许您为 VPN 隧道创建辅助路由，并优先考虑具有相同目标地址对象的 VPN 流量。这导致以下

行为：

• 当 VPN 隧道活动时：如果启用允许 VPN 路径优先选项，则自动禁用与 VPN 隧道的目标地址对象匹

配的静态路由。所有流量均通过 VPN 隧道路由至目标地址对象。

• 当 VPN 隧道停止工作时：自动启用与 VPN 隧道的目标地址对象匹配的静态路由。前往目标地址对

象的所有流量都通过静态路由进行路由。

SonicWall SonicOS 6.5 系统设置中提供了有关设置网络路由策略的方法的更多信息。

将静态路由配置为 VPN 故障切换路由的步骤如下：


2 在系统设置下，选择网络 > 路由。

3 单击路由策略 > 添加。

4 选择适当的源、目标、服务、网关和接口。

5 将度量定义为 1。

6 选中该框以启用允许 VPN 路径优先。

7 单击确定。



3

VPN 自动设置

您可以配置各种类型的 IPsec VPN 策略，如站点到站点策略（包括 GroupVPN）和基于路由的策略。如需

这些策略的相关设置的具体详细信息，请转至以下各节：



本节中的主题包括：

• 关于 VPN 自动设置

• 配置 VPN AP 服务器

• 配置 VPN AP 客户端

关于 VPN 自动设置SonicOS 6.2.7 引入了 VPN 自动设置功能，简化了两个 SonicWall 防火墙之间的站点到站点 VPN 的配置。

本节提供一些概念信息并说明如何配置和使用 SonicOS VPN 自动配置功能。

主题：

• 定义 SonicOS VPN 自动配置

• SonicOS VPN 自动配置的优点

• SonicOS VPN 自动配置的工作原理

• 支持的平台

定义 SonicOS VPN 自动配置VPN 自动设置功能简化了 SonicWall 防火墙的 VPN 配置。这在大规模 VPN 部署中特别有用。在典型的轴

幅式站点到站点 VPN 配置中，辐射站点方面需要许多复杂的配置任务，例如配置安全关联和配置受保

护网络。在具有许多远程网关或辐射站点的大型部署中，这可能是一个挑战。SonicOS VPN 自动配置提

供了简化的配置流程，可以消除远程 VPN 对等体上的许多配置步骤。

注：可以使用各种名称（例如服务器、集线器网关、主网关、中心网关）指代轴辐式站点到站点

VPN 配置中的集线器。在 SonicOS VPN 自动配置功能的上下文中，术语 VPN AP 服务器用于指集线

器。类似地，术语 VPN AP 客户端用于指辐射站点、客户端、远程网关、远程防火墙或对等防火墙。


VPN 自动设置 57

SonicOS VPN 自动配置的优点VPN 自动设置功能的显著优点是易于使用。这通过对 SonicOS 管理员隐藏初始配置的复杂性来实现，类似

于 SonicWall 全局 VPN 客户端 (GVC) 的配置流程。

在使用 SonicWall GVC 时，用户只是指向网关处的 GVC；安全和连接配置会自动发生。SonicOS VPN 自动配

置提供了类似的解决方案，用于配置站点到站点轴辐式配置，从而将大规模部署简化为简单的工作。

另外一个优点是，在初始的 VPN 自动配置之后，可以在中心网关上控制策略更改，并在辐射端自动更

新。这种解决方案在集中管理是首要任务的企业和托管服务部署中特别有吸引力。

SonicOS VPN 自动配置的工作原理VPN 自动设置涉及两个步骤：

• 中心网关或 VPN AP 服务器的 SonicWall 自动配置服务器配置

• 远程网关或 VPN AP 客户端的 SonicWall 自动配置客户端配置

两者都通过在 SonicOS 中的 VPN > 脚本设置页面中添加 VPN 策略进行配置。

在服务器模式下，可以配置安全关联 (SA)、受保护网络和其他配置字段，如典型的站点到站点 VPN 策

略。在客户端模式下，需要进行有限的配置。在大多数情况下，远程防火墙管理员只需配置 IP 地址即

可连接到对等服务器（中心网关），然后可以建立 VPN。

SonicOS VPN 自动配置在客户端很简单，同时仍然提供 IP 安全的基本要素：

当影响 VPN AP 客户端配置的 VPN AP 服务器发生策略更改时，VPN AP 服务器使用 IKE 密钥重新协商机制

来确保建立具有相应参数的新安全关联。

注：SonicWall 不建议将单个设备同时配置为 AP 服务器和 AP 客户端。

访问控制网络访问控制由 VPN AP 服务器提供。从 VPN AP 客户端角度来看，目标网络完全由

VPN AP 服务器管理员控制。然而，另外提供了一种机制来控制对 VPN AP 客户端

本地网络的访问。

身份验证通过机器验证凭据提供验证。在 IPsec 建议的阶段 1，互联网密钥交换 (IKE) 协议

提供机器级别的验证与预共享密钥或数字签名。配置 VPN 策略时，可以选择其中

一种验证方法。

对于预共享密钥验证方法，管理员输入 VPN 自动设置客户端 ID 和密钥。对于数字

签名验证方法，管理员从防火墙的本地证书存储中选择包含客户端 ID 的 X.509 证

书。证书必须先前已存储在防火墙上。

为了提高安全性，支持通过 XAUTH 的用户级凭据。添加 VPN 策略时，将输入用户

凭据。XAUTH 使用密钥或魔力 cookie 将其提取为授权记录，而非使用用户动态输

入用户名和密码的挑战/响应机制。除了提供额外的验证，用户凭据还提供对远程

资源和/或由 VPN AP 客户端使用的本地代理地址的进一步访问控制。用户凭据允

许通过区分后续网络配置来在多个 VPN AP 客户端设备之间共享单个 VPN AP 服务

器策略。

数据保密性和完整性

数据保密性和完整性由 IPsec 建议的第 2 阶段中封装的安全有效负载 (ESP) 加密套

件提供。


VPN 自动设置 58

关于建立 IKE 阶段 1 安全关联

由于 VPN AP 客户端的目标是易于使用，因此许多 IKE 和 IPsec 参数为默认或自动协商。VPN AP 客户端启动

安全关联建立，但不知道启动时的 VPN AP 服务器的配置。

为了允许建立 IKE 阶段 1，限制了一组可能的选择；VPN AP 客户端建议多个转换（组合的安全参数），

VPN AP 服务器可以从中选择其配置的值。阶段 1 转换包含以下参数：

• 验证 - 以下之一：

• PRESHRD - 使用预先共享的密钥。

• RSA_SIG - 使用 X.509 证书。

• SW_DEFAULT_PSK - 使用默认配置密钥。

• XAUTH_INIT_PRESHARED - 使用预共享密钥与 XAUTH 用户凭据相结合。

• XAUTH_INIT_RSA - 使用 X.509 证书与 XAUTH 用户凭据相结合。

• SW_XAUTH_DEFAULT_PSK - 使用默认配置密钥与 XAUTH 用户凭据相结合。

所有上述转换都包含阶段 1 建议设置的受限制或默认值：

• 交换 - 挑战模式

• 加密 - AES-256

• 哈希 - SHA1

• DH 群组 - Diffie Hellman 群组 5

• 生存时间（秒）- 28800

VPN AP 服务器通过从 VPN AP 客户端建议中包含的转换中选择一个转换来做出响应。如果 VPN AP 服务器选

择使用 XAUTH 验证方法的转换，则 VPN AP 客户端将等待阶段 1 完成后的 XAUTH 挑战。如果选择非 XAUTH 转换，则开始配置阶段。VPN AP 服务器为 VPN AP 客户端配置适当的策略值，包括共享密钥（如果在

VPN AP 服务器上配置了），以及在 VPN AP 服务器上配置的 VPN AP 客户端 ID。

在建立阶段 1 SA 并且策略配置完成之后，目标网络出现在 VPN > 设置页面的 VPN 策略部分。

关于使用已配置策略建立 IKE 阶段 2在 VPN AP 配置交易期间接收的值用于建立任何后续的阶段 2 安全关联。为每个目标网络启动单独的阶

段 2 SA。必须从远端背后发起流量才能触发阶段 2 SA 协商。基于在网络选项卡上配置 VPN AP 服务器策

略设置（请参阅在“网络”选项卡上配置 VPN AP 服务器设置）时指定的地址对象构建 SA。


VPN 自动设置 59

成功后，产生的隧道出现在目前活动的 VPN 隧道列表中。

NAT 规则也会添加到网络 > NAT 策略表中。

由于阶段 2 参数由 VPN AP 服务器配置，因此绝对不会有配置不匹配。如果阶段 2 参数在 VPN AP 服务器

上发生更改，则所有阶段 1 和阶段 2 安全关联都将删除并重新协商，从而确保策略同步。

支持的平台以下运行 SonicOS 6.2.7 及更高版本的 SonicWall 设备支持 SonicOS VPN 自动配置：

• SonicWall SuperMassive™ 9200、9400、9600

• SonicWall NSA 2600、3600、4600、5600、6600

• SonicWall TZ300/300W、TZ400/400W、TZ500/500W、TZ600

• SonicWall SOHO 无线

对于 SonicWall GMS 管理下的设备，SonicOS VPN 自动配置支持：

• SonicWall GMS 8.3 及更高版本

配置 VPN AP 服务器通过在 SonicOS 的 VPN > 设置页面上添加 VPN 策略，在服务器（集线器）防火墙上配置 VPN AP 服务器

设置。

由于描述的设置数量，配置将分为多个部分：

• 启动 VPN AP 服务器配置

• 在“常规”选项卡上配置 VPN AP 服务器设置

• 在“网络”选项卡上配置 VPN AP 服务器设置

• 在“建议”选项卡上配置高级设置

• 在“高级”选项卡上配置高级设置

注：如果 AP 服务器上的同一 VPN 策略与多个远程 AP 客户端共享，则每个远程网络必须特别列为

唯一的地址对象。在网络选项卡的 VPN AP 服务器策略设置配置期间，在将个别地址对象添加到远

程网络部分时可以在地址群组中进行汇总。单个地址对象不能用于汇总多个远程网络，因为 SA 是

基于特定的地址对象建立的。


VPN 自动设置 60

启动 VPN AP 服务器配置

使用 SonicOS VPN 自动配置开始配置 VPN AP 服务器防火墙设置的步骤如下：

1 转至 VPN > 设置页面。

2 为视图 IP 版本选择 IPv4。

3 在 VPN 策略表下，单击添加。随即显示 VPN 策略对话框。

4 在验证方式下拉菜单中，选择 SonicWall 自动设置服务器。

在“常规”选项卡上配置 VPN AP 服务器设置

在“常规”选项卡上配置 VPN AP 服务器设置的步骤如下：

1 在名称字段中，输入 VPN 策略的描述性名称。

2 对于验证方法，请选择：

• 预先共享机密 - 使用下一步输入的 VPN 自动设置客户端 ID 和共享密码。默认情况下已选中

该选项。继续步骤 3。

• 证书 - 使用下一步选择的 X.509 证书（证书必须先前已存储在设备上）。跳转至步骤 8。

3 如果为身份验证方法选择了预共享密钥，则在 SonicWall 设置下，将 VPN 自动设置客户端 ID 输入到

VPN AP 客户端 ID 字段中。此字段将自动填入您输入到名称字段中的值，但可以进行更改。

注：页面底部的高级.../隐藏按钮用于在显示或隐藏建议书签和高级选项之间进行切换。这

两个选项上的设置包含可以根据您的判断更改的默认值。

注：如需共享 VPN AP 服务器策略（如在轴辐式部署中），SonicWall 建议使用 X.509 证

书提供真实的验证并防止中间人攻击。


VPN 自动设置 61

4 选中使用默认提供的密钥框，以允许 VPN AP 客户端使用对初始安全关联的所有 SonicWall 设备已知

的默认密钥。建立 SA 后，在 VPN AP 服务器上配置的预先共享机密将提供给 VPN AP 客户端以供

将来使用。

如果清除此复选框，VPN AP 客户端必须使用配置的共享密钥。这样管理员只能在 VPN AP 服务器上

修改已配置的共享密钥，然后简单地允许默认配置密钥用新的共享密钥来更新 VPN AP 客户端。

5 如果需要，可以选择取消选中隐藏共享密钥复选框，然后在共享密钥字段中输入任何内容。默认情况下选中此复选框，这将隐藏输入的字符。如果重新选中此复选框，则共享密钥字段中的值将自动复制到确认共享密钥字段。

6 在共享密钥字段中，输入共享密钥。至少需要四个字符。

如果选中了使用默认配置密钥，则 VPN AP 服务器上配置的预共享密钥将配置给 VPN AP 客户端。如

果取消选中了使用默认配置密钥，则也必须在 VPN AP 客户端上配置此共享密钥。

7 在确认共享密钥字段中，再次输入共享密钥。它必须与在共享密钥字段中输入的值匹配。

8 如果为验证方法选择了证书，则在 SonicWall 设置下，从本地证书下拉菜单中选择所需的证书。

9 从 VPN AP 客户端 ID 类型下拉菜单中选择以下选项之一：

• 识别名 (DN)

• 电子邮件 ID (UserFQDN)

• 域名 (FQDN)

• IP 地址 (IPV4)

10 在 VPN AP 客户端 ID 过滤器中，输入要应用于 IKE 协商期间显示的证书 ID 的匹配字符串或过滤器。

11 继续在“网络”选项卡上配置 VPN AP 服务器设置。

注：此 VPN 策略值必须在 AP 服务器和 AP 客户端都匹配。单个 AP 服务器策略也可用于终止多

个 AP 客户端。

注：为了获得佳安全性，SonicWall 建议仅在短时间内启用“默认配置密钥”选项，在此期

间，可以在管理审查期间为 VPN AP 客户端配置共享密钥。


VPN 自动设置 62

在“网络”选项卡上配置 VPN AP 服务器设置

在“网络”选项卡上配置 VPN AP 服务器设置的步骤如下：

1 单击网络选项卡。

2 在本地网络下，选中需要通过 XAUTH 验证 VPN AP 客户端复选框，以强制使用用户凭据在建立 SA 时增加安全性。

3 如果启用 XAUTH 选项，请从 XAUTH 用户的用户群组下拉菜单中为允许的用户选择用户组。可以选择

现有的组，例如受信任用户或另一个标准群组；或选择创建一个新的用户群组以创建自定义组。

对于每个经过验证的用户，验证服务返回在配置交换期间发送到 VPN AP 客户端的一个或多个网络

地址。

如果启用 XAUTH 并选择了用户组，则 VPN AP 客户端用户必须满足以下条件才能成功验证：

• 用户必须属于所选用户组。

• 用户可以通过用户 > 设置 > 用户验证方法中配置的验证方法。

• 用户具有 VPN 访问权限。

4 如果禁用 XAUTH 选项，请从允许未验证的 VPN AP 客户端访问下拉菜单中选择网络地址对象或组，

或选择创建新的地址对象/组以创建自定义对象或组。所选对象定义可以通过此 VPN 连接访问的地

址和域列表。在配置交换期间将其发送到 VPN AP 客户端，然后用作 VPN AP 客户端的远程代理 ID。

5 在远程网络下，选择以下单选按钮之一，并从相关列表中选择（如果适用）：

• 从列表中选择目标网络 - 从 VPN AP 客户端的实际可路由网络的远程地址对象的下拉菜单中

选择网络对象或创建自定义对象。

注：VPN 自动设置不支持使用包含所有 AP 客户端受保护子网的“超级网络”。如需允

许具有不同受保护子网的多个 AP 客户端连接到同一 AP 服务器，请配置包含所有 AP 客户端受保护子网的地址群组，并在从列表中选择目标网络字段中使用。该地址群组必须随着增加新的 AP 客户端而保持新。


VPN 自动设置 63

• 通过验证服务获取 NAT 代理 - 选择此选项可使 RADIUS 服务器返回用户的“成帧 IP 地址”属性，

由 VPN AP 客户端用于转至 NAT 内部地址，然后沿 IPsec 隧道向下发送流量。

• 选择 NAT 池 - 从下拉菜单中选择网络对象或创建自定义对象。所选对象指定要分配给 VPN AP 客户端以用于 NAT 的地址池。在将流量沿 IPsec 隧道向下发送之前，客户端将其内部地址

转译为 NAT 池中的地址。

6 继续在“建议”选项卡上配置高级设置。

在“建议”选项卡上配置高级设置配置的参数在阶段 2 段建立之前自动配置给 VPN AP 客户端，因此在 VPN AP 服务器和 VPN AP 客户端之

间不存在配置差异。

在“建议”选项卡上配置 VPN AP 服务器设置的步骤如下：

1 在常规或网络选项卡上，单击高级按钮以显示建议选项卡。


3 在 IKE (阶段 1) 建议下，输入阶段 1 建议的生命周期（以秒为单位）。默认设置为 28800，强制隧道

每隔 8 小时重新协商和交换密钥。

注：在部署 VPN 自动设置时，应该为所有现有和预期的 VPN AP 客户端分配足够大的

NAT IP 地址池。否则，如果已经分配了池中的所有 IP 地址，其他 VPN AP 客户端将无

法正常运行。

注：配置大型 IP 池不会比小池消耗更多的内存，因此安全和佳做法是分配足够大

的池来提供冗余。


VPN 自动设置 64

为了简化自动配置，本部分中的其他字段变暗并预设为：

• 交换：挑战模式

• DH 群组：群组 5

• 加密：AES-256

• 验证：SHA1

4 在 Ipsec (阶段 2) 建议下，从加密下拉菜单中选择所需的加密算法。默认值为 3DES。

协议字段变暗并预设为 ESP 以使用封装的安全有效负载 (ESP) 加密套件。

5 从验证下拉菜单中选择所需的验证加密方法：默认值为 SHA1。

6 如果希望增加 Diffie-Hellman 密钥交换以增强安全性，请选中启用完全转发保密复选框。如果选择，

将显示 DH 群组下拉列表。从列表中选择所需群组。默认为群组 2。

7 在生存时间（秒）字段中输入一个值。默认设置为 28800，强制隧道每隔 8 小时重新协商和交换

密钥。

8 继续在“高级”选项卡上配置高级设置。

在“高级”选项卡上配置高级设置

在“高级”选项卡上配置 VPN AP 服务器设置的步骤如下：


2 选中禁用 IPsec 反重放复选框，以防止丢弃有重复序号的数据包。

3 选中启用组播复选框，允许 IP 组播流量，如音频流（包括 VoIP）和视频流应用程序，从 VPN AP 服

务器通过使用此策略建立的任何 VPN AP 客户端 SA 传递。

4 如果使用 SonicWall WAN 加速，请从 WXA 群组下拉列表中选择值。

5 可选择只显示符合 Suite B 的算法。


VPN 自动设置 65

6 选择允许 SonicPointN 三层管理，允许通过 VPN 隧道管理 SonicWall SonicPoint 无线接入设备。

7 对于通过该 SA 管理，请选择一个或多个复选框，以允许远程用户使用 HTTPS、SSH 或 SNMP 通过

VPN 隧道管理 VPN AP 服务器。

8 对于通过 SA 用户登录，选择一个或多个复选框，以允许远程用户使用 HTTP 或 HTTPS 通过 VPN 隧道

登录。

9 在默认 LAN 网关（可选）字段中，可选择输入 VPN AP 服务器的默认 LAN 网关 IP 地址。如果某些流

量找不到静态路由，则 VPN AP 服务器将流量转发到配置的默认 LAN 网关。

10 选择 VPN 策略绑定到下拉菜单中的接口或区域，以将此 VPN 策略绑定到特定的接口或区域。

11 完成时，单击确定。

配置 VPN AP 客户端通过在 SonicOS 的 VPN > 设置页面上添加 VPN 策略在客户端防火墙上配置 VPN AP 客户端设置。

使用 SonicOS VPN 自动配置配置远程客户端防火墙设置的步骤如下：

1 转至 VPN > 设置页面。

2 为视图 IP 版本选择 IPv4。

3 在 VPN 策略表下，单击添加。随即显示 VPN 策略对话框。

4 在验证方式下拉菜单中，选择 SonicWall 自动设置客户端。页面将刷新以显示不同的字段。

注：在 SonicOS 的某些版本中，此选项可能不起作用。


VPN 自动设置 66

5 在名称字段中，输入 VPN 策略的描述性名称。

6 在 IPsec 主要网关名称或者地址字段中，输入 VPN AP 服务器的完全限定域名 (FQDN) 或 IPv4 地址。

7 对于验证方法，请选择：

• 预先共享机密 - 使用下一步输入的 VPN 自动设置客户端 ID 和共享密码。默认情况下已选中

该选项。继续步骤 8。

• 证书 - 使用下一步选择的 X.509 证书（证书必须先前已存储在设备上）。跳转至步骤 14。

8 如果为验证方法选择了预先共享机密，则在 SonicWall 设置下，在 VPN AP 客户端 ID 字段中输入 VPN 自动设置客户端 ID。

客户端 ID 由 VPN AP 服务器（SonicWall 防火墙配置为 SonicWall 自动设置服务器）的配置决定。

9 可以选中使用默认提供的密钥复选框，以使用对初始安全关联的所有 SonicWall 设备已知的默认密

钥。建立 SA 后，在 VPN AP 服务器上配置的预共享密钥将提供给 VPN AP 客户端以供将来使用。

如果选择使用默认提供的密钥，请跳转至步骤 13。

10 如果未选择使用默认提供的密钥复选框，则可以选择清除隐藏共享密钥复选框，然后在共享密钥字段中输入内容。默认情况下选中此复选框，这将隐藏输入的字符。如果重新选中此复选框，则共享密钥字段中的值将自动复制到确认共享密钥字段。

11 在共享密钥字段中，输入共享密钥。这必须与在 VPN AP 服务器上配置的共享密钥相同且必须至少

为四个字符。

12 在确认共享密钥字段中，再次输入共享密钥。它必须与在共享密钥字段中输入的值匹配。

13 跳到步骤 15 以获取有关在用户设置下输入用户凭据的信息。用户凭据是可选的。

14 如果为验证方法选择了证书，则在 SonicWall 设置下，从本地证书下拉菜单中选择所需的证书。

注：此 VPN 策略值必须在 AP 服务器和 AP 客户端都匹配。单个 AP 服务器策略也可用于终止

多个 AP 客户端。

注：必须将 VPN AP 服务器配置为接受默认配置密钥。如果不是，SA 建立失败。


VPN 自动设置 67

15 在用户设置下，在用户名字段中输入用于可选用户凭据的用户名。通过 XAUTH 发送此用户名用于

用户级别验证。

16 可以选择清除掩码用户密码复选框，然后再在用户密码字段中输入任何内容。默认情况下，此复选框已勾选。如果选中，则输入的字符表示为点。清除此复选框将以纯文本格式显示值，并将用户密码字段中输入的值自动复制到确认用户密码字段。

17 在用户密码字段中，输入用户密码。

18 在确认用户密码字段中，再次输入用户密码。

19 准备就绪后，单击确定添加 VPN 策略。


VPN 自动设置 68

4

基于路由的 VPN

基于策略（或站点到站点）的方法会强制 VPN 策略配置包括网络拓扑配置。详细信息，请参阅站点到

站点 VPN。这使配置和维护有不断变化的网络拓扑的 VPN 策略变得困难。

采用基于路由的 VPN 方法时，将从 VPN 策略配置中删除网络拓扑配置。VPN 策略配置在两个端点之间

创建一个无编号的隧道接口。随后便可将静态或动态路由添加到该隧道接口。基于路由的 VPN 方法将

网络配置从 VPN 策略配置移动到静态或动态路由配置。

基于路由的 VPN 使配置和维护 VPN 策略更加简单，并为流量的路由方式提供了灵活性。您可以通过干净

或冗余的 VPN 为重叠网络定义多条路径。

如需了解自动配置 VPN 网络，请参阅 VPN 自动设置以获取详细信息。

主题：

• 术语

• 使用基于路由的 VPN

• 网络的冗余静态路由

术语本节中使用了以下术语：

VPN 隧道策略在无本地/远程防护网络的情况下配置的策略。发出数据包时，

SonicOS 无需查找任何隧道策略。

VPN 隧道接口在网络 > 接口页面上创建带编号的隧道接口并绑定到隧道策略。该接

口将配置为主动发出网络监控策略、Syslog 策略等数据包的路由条目

或 SonicOS App 的出口接口。SonicOS 通过 VPN 隧道发出数据包时，逻

辑上与通过物理接口发送数据包相同，只是需要加密数据包。

已编号的隧道接口已编号的隧道接口有 IP 地址。已编号的隧道接口是通过添加 VPN 隧

道接口在网络 > 接口页面上创建的。从功能上看，有编号的隧道接

口是未编号的隧道接口的超集。您可以用和标准接口相同的方式配置有编号的隧道接口，包括 HTTPS、Ping、SNMP 和 SSH 管理，HTTP 和

HTTPS 用户登录以及碎片处理的设置。在配置 NAT 策略，防火墙访

问控制列表和包括所有类型的动态路由 (RIP，OSPF，BGP) 的路由策

略时，您可以使用有编号的隧道接口。

未编号的隧道接口未编号的隧道接口没有 IP 地址。当您配置有策略类型的隧道接口的

VPN 策略时，系统将创建无编号的隧道接口。默认情况下用于简单

的基于路由的 VPN，不需要 IP 地址。如果在策略配置对话框的“高

级”选项卡中启用了允许高级路由选项，RIP 和 OSPF 动态路由就可以

使用无编号的隧道接口。当使用无编号的隧道接口配置 RIP 或 OSPF 时，从物理或逻辑 (VLAN) 接口借用 IP 地址。


基于路由的 VPN 69

使用基于路由的 VPN基于路由的 VPN 配置分为两步。

1 创建隧道接口。用于保护两个端点间流量的安全的加密套件在隧道接口中定义。

2 利用隧道接口创建一个静态或动态路由。

当远程网关添加一个类型为隧道接口的策略时，便会创建隧道接口。隧道接口必须绑定到一个物理接口，该物理接口的 IP 地址用作隧道数据包的源地址。

主题：

• 添加隧道接口

• 为隧道接口创建静态路由

添加隧道接口

添加隧道接口的步骤如下：



3 单击添加按钮。

4 在常规选项卡中，选择策略类型为隧道接口。

5 在名称字段中输入昵称。



6 单击建议。

7 在 IKE（阶段 1）建议下，从交换下拉菜单中选择以下选项之一：




















b 对于加密字段，如果选中了主模式或挑战模式，请从下拉菜单中选择 DES、3DES（默认值）、

AES-128、AES-192 或 AES-256。

c 对于身份验证字段，如果选中了主模式或挑战模式，请选择 SHA-1（默认值）、MD5、






a 在协议字段中，选择 ESP 或 HA。

b 如果您在协议字段中选择了 ESP，则可以在加密字段中从包含在 Suite B 加密中的 6 种加密

算法中进行选择：

c 从“身份验证”字段的下拉列表中，选择身份验证方法：

• MD5

• SHA1

• SHA256

• SHA384

• SHA512

• AES-XCBC

d 如果要增加安全性，请选择启用完美转发保密。

e 在生存时间（秒）字段中输入一个值。默认设置为 28800，强制隧道每隔 8 小时重新协商和

交换密钥。

10 可配置以下高级选项；默认情况下，未选择任何内容：



AESGCM16-128 DES

AESGCM16-192 3DES


AESGMAC-128 AES-192

AESGMAC-192 AES-256

AESGMAC-256 无

注：如果在协议字段中选择了 AH，则加密字段将显示为灰色且您无法选择任何选项。


高级设置

启用 Keep Alive 不能选择基于路由的接口。不能选择基于路由的接口。







允许高级路由将此隧道接口添加到网络 > 路由

页面上路由协议的接口列表中。

将此隧道接口添加到网络 > 路由

页面上路由协议的接口列表中。

注：如果隧道接口用于高级路由 (RIP，OSPF)，则必须选择此选项。

将该选项作为可选设置，可避免将所有隧道接口添加到路由协议表中，有助于简化路由配置。

启用传送模式不适用于 IKEv2 模式。


络资源。


络资源。




















允许 SonicPointN 三层管理允许 SonicPointN 的第 3 层管理。允许 SonicPointN 的第 3 层管理。






份验证。




份验证。
















11 单击确定。


为隧道接口创建静态路由成功添加隧道接口后，就可以创建一个静态路由。请参阅 SonicWall SonicOS 6.5 系统设置的“网络”部

分。可以将多个路由条目配置为对不同网络使用同一隧道接口。这样就可以在不更改隧道接口的情况下修改网络拓扑。

网络的冗余静态路由配置多个隧道接口后，可以添加多个重叠静态路由，各静态路由使用不同的隧道接口路由流量。这就为流量到达目标提供了路由冗余。如果无可用的冗余路由，您可以将静态路由添加到丢弃隧道接口，以防止从默认路由发送 VPN 流量。如需更多信息，请参阅 SonicWall SonicOS 6.5 系统设置中的“系统设置 | 网

络接口命令”。

IKEv2 设置


未启用未选择（默认值）。如果对端无法处理触发数据包，则只应在需要互操作性时进行选择。





接收 Hash & URL 证书类型未启用如果您的设备可以发送并处理哈希和证书 URL 而不是证书自身，



发送 Hash & URL 证书类型未启用如果您的设备可以发送并处理哈希和证书 URL 而不是证书自身，






5

配置高级 VPN 设置

VPN > 高级页面有两个包含可以启用选项的面板：

• 高级 VPN 设置

• IKEv2 设置

主题：

• 配置高级 VPN 设置

• 配置 IKEv2 设置


配置高级 VPN 设置 75

配置高级 VPN 设置高级 VPN 设置全局影响所有 VPN 策略。本章节还为在线证书状态协议 (OCSP) 提供解决方案。OCSP 用于在

无证书吊销列表 (CRL) 的情况下检查 VPN 证书状态，以便您及时更新防火墙上使用的证书状态。

• 启用 IKE DPD - 选择是否希望让防火墙放弃不活动的 VPN 隧道。

• DPD 间隔 - 输入两次“心跳”之间的秒数。默认值为 60 秒。

• 失效触发级别（丢失的心跳数）- 输入丢失的心跳数。默认值为 3。如果达到触发级别，防

火墙就会放弃 VPN 连接。防火墙使用阶段 1 加密保护的 UDP 数据包作为心跳。

• 启用闲置 VPN 会话的 DPD - 如果希望防火墙在超过闲置 VPN 对话的 DPD 间隔（秒数）字段

中定义的时间值后放弃闲置的 VPN 连接，请选择此设置。默认值为 600 秒（10 分钟）。

• 启用分片数据包处理 - 如果 VPN 日志报告显示日志消息已分片的 IPsec 数据包丢失，则选择此功

能。只有当 VPN 隧道已建立并运行时才应使用此功能。

• 忽略 DF（不分片）位 - 选择此复选框以忽略数据包头中的 DF 位。某些应用程序可能会在数

据包中显式设置“不分片”选项，告知所有安全设备不要将数据包分片。启用时，防火墙会

忽略该选项，仍然将数据包分片。

• 启用 NAT 穿越 - 如果 NAT 设备位于 VPN 端点之间，请选择此设置。IPsec VPN 保护已认证端点之间

交换的流量，但已认证端点不能在会话中途动态重新映射以实现 NAT 穿越。因此，为了在 IPsec 会话期间内保持动态 NAT 绑定，将一个 1 字节 UDP 指定为“NAT 穿越持续”字节并充当“心跳”，由

NAT 或 NAPT 设备之后的 VPN 设备发送。“持续”字节由 IPsec 对端点无声地丢弃。

• 当为另一 IP 地址进行对等网关名称解析时清除活动的隧道 - 打破 SA 与旧 IP 地址的关联，然后重

新连接到对等网关。

• 启用 OCSP 检查和 OCSP 响应者 URL - 支持使用在线证书状态协议 (OCSP) 来检查 VPN 证书状态，并指

定检查证书状态的 URL。请参阅 OCSP 配合 SonicWall 网络安全设备使用。

• 只在隧道状态更改时发送 VPN 隧道陷阱 - 仅当隧道状态更改时发送陷阱，从而减少所发送的 VPN 隧道陷阱数。

• 使用 RADIUS 在 - 选择此选项的主要原因是让 VPN 客户端用户可以使用 MSCHAP 特性，以便在登录

时修改过期的密码。当使用 RADUIS 来验证 VPN 客户端用户时，请选择是否将 RADIUS 用于这些模

式其中一种：

• MSCHAP

• MSCHAPv2 模式下使用 RADIUS XAUTH(允许用户修改过期的密码)

另外，如果设置了该项，且在用户 > 设置页面选择 LDAP 作为登录验证方法，但是 LDAP 的配置不

允许密码更新，那么 VPN 客户端用户的密码更新将在利用 LDAP 验证用户之后，通过 MSCHAP-模

式 RADIUS 进行。

• VPN 客户端的 DNS 和 WINS 服务器设置 - 如需为客户端配置 DNS 和 WINS 服务器设置，如通过 GroupVPN 的第三方 VPN 客户端或移动 IKEv2 客户端，请单击配置按钮。此时显示添加 VPN DNS 和 WINS 服

务器对话框。

注：只有在使用以下二者之一时 LDAP 才能完成密码更新：

• 带有 TLS 的 Active Directory 且使用管理员帐户与其绑定

• Novell eDirectory。

注：此选项仅针对 TZ 设备出现。



• DNS 服务器 - 选择动态或手动指定 DNS 服务器：

• 从 SonicWall 的 DNS 设置动态继承 DNS 设置 - SonicWall 设备自动获取 DNS 服务器 IP 地址。

• 手动指定 - 在 DNS 服务器 1/3 字段中输入多 3 个 DNS 服务器 IP 地址。

• WINS 服务器 - 在 WINS 服务器 1/2 字段中输入多 2 个 WINS 服务器 IP 地址。

配置 IKEv2 设置IKEv2 设置影响 IKE 通知，且允许您配置动态客户端支持。

• 发送 IKEv2 Cookie 通知 - 将 cookie 作为一种验证工具发送到 IKEv2 对端。

• 发送 IKEv2 无效的 SPI 通知 - 当存在活动的 IKE 安全关联 (SA) 时，发送无效的安全参数索引 (SPI) 通知

到 IKEv2 对等点。默认情况下已选中该选项。

• IKEv2 动态客户端建议 - SonicOS 提供 IKEv2 动态客户端支持，利用它可配置互联网密钥交换 (IKE) 属

性，而不必使用默认设置。

单击配置按钮将启动配置 IKEv2 动态客户端建议对话框。



SonicOS 支持这些 IKE 建议设置：

• DH 群组：群组 1、群组 2（默认）、群组 5、群组 14，以及下面 5 个包含在 Suite B 加密中的

DH 群组：

• 256 位随机 ECP 组





• 加密：DES、3DES（默认）、AES-128、AES-192，AES-256

• 验证：MD5、SHA1（默认）、SHA256、SHA384 或 SHA512

然而，如果定义了 IKEv2 交换模式和 0.0.0.0 IPSec 网关的 VPN 策略，则无法在单个策略基础上配

置这些 IKE 建议设置。

OCSP 配合 SonicWall 网络安全设备使用OCSP 设计用于扩充或替换公钥基础设施 (PKI) 或数字证书系统中的 CRL。CRL 用于验证 PKI 组成的数字证

书。证书机构 (CA) 就可以在计划到期日期前吊销证书，防止被盗或无效证书影响 PKI 系统。

证书吊销列表的主要缺点是需要频繁更新以使每个客户端的 CRL 保持新状态。如果每个客户端都要下

载完整的 CRL，这种频繁更新将大大增加网络流量。根据 CRL 更新频率，可能存在这样一个时间段：CRL 已吊销一个证书，但客户端尚未收到更新，因而继续允许使用该证书。

在线证书状态协议可确定数字证书的当前状态，无需使用 CRL。通过 OCSP，客户端或应用程序可直接确

定特定数字证书的状态。因此，它能提供比 CRL 更及时的证书状态信息。此外，客户端通常只需检查几

个证书，不需要为少数几个证书而下载全部 CRL，从而节省开销。这可以大大降低与证书验证相关的网

络流量。

OCSP 通过 HTTP 传输消息，以便大程度地兼容现有网络。这需要仔细配置网络上的任何缓存服务器，

避免收到可能过期的 OCSP 响应缓存副本。

OCSP 客户端与 OCSP 响应者通信。OCSP 响应者可以是用来确定证书状态的 CA 服务器或是与该 CA 服务

器通信的其他服务器。OCSP 客户端向 OCSP 响应者发送状态请求，并暂停接受证书，直到响应者提供响

应为止。客户端请求包括协议版本、服务请求、目标证书身份和可选扩展项等数据。可选扩展项不一定能获得 OCSP 响应者的应答。

OCSP 响应者接收客户端的请求，并检查该消息的形式是否妥当以及响应者是否能响应该服务请求。然后，

它检查该请求是否包含期望服务所需的信息。如果所有条件均满足，响应者就会向 OCSP 客户端返回一个确

切的响应。OCSP 响应者需要提供一个基本响应：GOOD（正常）、REVOKED（已吊销）或 UNKNOWN（未

知）。如果 OCSP 客户端和响应者均支持可选的扩展项，那么也可能提供其他响应。GOOD 状态是期望的

响应，因为它表示未吊销证书。REVOKED 状态表示已吊销证书。UNKNOWN 状态表示响应者无关于该证

书的信息。

OCSP 服务器通常以推 (push) 或拉 (pull) 方式与 CA 服务器合作。CA 服务器可配置为向 OCSP 服务器推送

CRL 列表（吊销列表）。此外，OCSP 服务器可配置为定期从 CA 服务器下载（拉） CRL。OCSP 服务器还必

须配置 CA 服务器颁发的 OCSP 响应签名证书。该签名证书必须有适当的形式，否则 OCSP 客户端将不接

受来自 OSCP 服务器的响应。

注：远程网关上的 VPN 策略也必须利用相同的设置进行配置。



OpenCA OCSP 响应者使用 OCSP 要求将 OpenCA（开源证书机构）OCSP Responder 作为其唯一支持的 OCSP 响应者。OpenCA OCSP Responder 的网址是：http://www.openca.org。OpenCA OCSP Responder 是 rfc2560 兼容 OCSP 响应者，运

行于默认端口 2560（以向 rfc2560 致敬）。

加载证书以使用 OCSP为使 SonicOS 用作 OCSP 响应者的客户端，必须将 CA 证书加载到防火墙。

1 在系统 -> 证书页面，单击“导入”按钮。随即显示“导入证书”页面。

2 选中从 PKCS#7 (.p7b)、PEM (.pem) 或 DER (.der 或 .cer) 编码文件导入 CA 证书选项，指定证书的位置。

OCSP 配合 VPN 策略使用防火墙 OCSP 设置既可以在策略级别上配置，也可以全局配置。如需针对单个 VPN 策略配置 OCSP 检

查，请使用 VPN 策略配置页面的高级选项卡。

1 选择启用 OCSP 检查旁边的单选按钮。

2 指定 OCSP 服务器的 OCSP 响应者 URL，例如 http://192.168.168.220:2560，其中 192.168.168.220 是

OCSP 服务器的 IP 地址，2560 是 OpenCA OCSP 响应者服务的默认工作端口。



http://www.openca.org

6

配置 VPN 上的 DHCP

VPN > VPN 上的 DHCP 页面用于配置防火墙以从 VPN 隧道另一端的 DHCP 服务器获得 IP 地址租用。某些

网络部署希望将所有 VPN 网络置于一个逻辑 IP 子网上，造成一种似乎所有 VPN 网络都位于同一 IP 子网

地址空间中的印象。这有利于使用 VPN 隧道的网络的 IP 地址管理。

主题：

• DHCP 中继模式

• 针对 VPN 上的 DHCP 配置中心网关

• 配置 VPN 上的 DHCP 的远程网关

• 当前 VPN 上的 DHCP 租用

DHCP 中继模式远程和中心站点的防火墙针对初始 DHCP 流量及站点之间的后续 IP 流量的 VPN 隧道进行配置。远程站点

（远程网关）的防火墙通过其 VPN 隧道传递 DHCP 广播数据包。中心站点（中心网关）的防火墙将远程

网络客户端的 DHCP 数据包中继到中心站点上的 DHCP 服务器。


配置 VPN 上的 DHCP 80

针对 VPN 上的 DHCP 配置中心网关

针对中心网关配置 VPN 上的 DHCP 的步骤如下：

1 选择 VPN > VPN 上的 DHCP。

2 从 VPN 上的 DHCP 下拉菜单中选择中心网关。

3 单击配置。

4 选择以下一项

• 如果您要对 Global VPN Client 或远程防火墙或对两者都使用 DHCP 服务器，请选择使用内部

DHCP 服务器选项。

• 如需对 Global VPN Client 使用 DHCP 服务器，请选择用于全局 VPN 客户端选项。

• 如需对远程防火墙使用 DHCP 服务器，请选择用于远程防火墙选项。

• 如需将 DHCP 请求发送到特定服务器，请选择向以下列出的服务器地址发送 DHCP 请求。

a) 单击添加。

b) 在 IP 地址字段中输入 DHCP 服务器的 IP 地址。

c) 单击确定。现在，防火墙将把 DHCP 请求导向指定服务器。

5 在中继 IP 地址（可选）字段中输入中继服务器的 IP 地址。

设置后，此 IP 地址将用作 DHCP 中继代理 IP 地址 (giaddr) 代替此 SonicWall 的 LAN IP 地址。仅当远

程网关上未设置中继 IP 地址时才使用此地址，且必须保留其在 DHCP 服务器上的 DHCP 范围内。

6 单击确定。



配置 VPN 上的 DHCP 的远程网关

配置 VPN 上的 DHCP 远程网关的步骤如下：

1 从 VPN 上的 DHCP 下拉菜单中选择远程网关。

2 单击配置。

3 对于常规选项，如果已对 VPN 策略启用本地网络通过这个 VPN 隧道利用 DHCP 获得 IP 地址设置，

则 VPN 策略名称将自动显示在通过该 VPN 隧道的中继 DHCP 字段中。

4 从 DHCP 租赁绑定到菜单选择 DHCP 租用绑定的接口。

5 如需接受来自桥接 WLAN 接口的 DHCP 请求，请启用接收来自桥接 WLAN 接口的 DHCP 请求复选框。

6 如果在中继 IP 地址字段中输入一个 IP 地址，该 IP 地址将用作 DHCP 中继代理 IP 地址 (giaddr)，代替

中心网关的地址，且必须保留在 DHCP 服务器上的 DHCP 范围中。此地址也可用来从中心网关后

面通过 VPN 隧道远程管理该防火墙。

7 如果在远程管理 IP 地址字段中输入一个 IP 地址，该 IP 地址将用来从中心网关后面管理防火墙，

且必须保留在 DHCP 服务器上的 DHCP 范围中。

8 如果启用当检测到 IP 欺骗时，阻断隧道上的流量，防火墙将阻止任何伪造认证用户 IP 地址的流量

通过 VPN 隧道。但是，如果您有任何静态设备，必须确保为该设备输入正确的以太网地址。以太

网地址是身份识别过程的一部分，不正确的以太网地址可能导致防火墙做出 IP 欺骗响应。

9 如果 VPN 隧道中断，可以从本地 DHCP 服务器获得临时 DHCP 租用。一旦隧道再次可用，本地 DHCP 服务器就会停止租用。选中如果隧道无法使用，将从本地的 DHCP 服务器获得临时租赁复选框。

通过选中此复选框，您就能在隧道停止工作时获得故障切换选项。

10 若要为临时租用设置一定的时间，请在临时租约时间框中输入临时租用的分钟数。默认值为 2 分钟。

注：只有使用 IKE 的 VPN 策略能用作 DHCP 的 VPN 隧道。VPN 隧道必须使用 IKE 且必须相应

设置本地网络。本地网络使用通过该 VPN 隧道的 DHCP 获取 IP 地址。

注：如果需要通过隧道进行管理，则“中继 IP 地址”和“远程管理 IP 地址”字段不能为零。



11 如需配置 LAN 上的设备，请单击设备选项卡。

12 如需配置 LAN 上静态设备，请单击添加以显示添加 LAN 设备条目对话框。

13 在 IP 地址字段中输入设备的 IP 地址，然后在以太网地址字段中输入设备的以太网地址。

静态设备的一个例子是打印机，因为它无法动态获取 IP 租用。如果未启用当检测到 IP 欺骗时，阻

止隧道上的流量，则无必要输入设备的以太网地址。必须从 DHCP 服务器上的可用 IP 地址池中排

除静态 IP 地址，以免 DHCP 服务器将这些地址分配给 DHCP 客户端。还应排除用作中继 IP 地址的 IP 地址。建议保留一个 IP 地址块以用作中继 IP 地址。

14 单击确定。

15 如需排除 LAN 上的设备，请单击添加以显示添加排除的 LAN 条目对话框。

16 在以太网地址字段输入设备的 MAC 地址。

17 单击确定。

18 单击确定以退出 VPN 上的 DHCP 配置对话框。

当前 VPN 上的 DHCP 租用当前 VPN 上的 DHCP 租用表显示了当前绑定的详细信息：IP 地址、主机名称、以太网地址、租用时间，

和隧道名。表中后一列配置，允许您配置或删除一个表条目（绑定）。

• 如需编辑一个绑定，请单击编辑。

• 如需删除一个绑定以便在 DHCP 服务器中释放该 IP 地址，请从列表中选择该绑定，然后单击删除

图标。完成该操作需要几秒钟时间。完成后，会在 Web 浏览器窗口的底部显示一条确认更新的

消息。

• 删除所有 VPN 租用，单击全部删除。

注：必须在远程防火墙上配置本地 DHCP 服务器以将 IP 租用分配给这些计算机。

注：如果远程站点无法连接中心网关并获取租用，请确认远程计算机未启用“确定网络增强器”(DNE)。

提示：如果静态 LAN IP 地址不在 DHCP 范围内，向该 IP 路由是可能的，即两个 LAN。



7

配置 L2TP 服务器和 VPN 客户端访问

SonicWall 网络安全设备可以终止来自传入 Microsoft Windows 或 Google Android 客户端的 L2TP-over-IPsec 连接。在无法运行 Global VPN Client (GVC) 的情况下，可以使用 SonicWall L2TP 服务器来实现对防火墙后

的资源的安全访问。

可以使用第 2 层隧道协议 (L2TP) 来创建公共网络上的 VPN。L2TP 提供了不同 VPN 供应商之间的互操作

性，PPTP 和 L2F 则无此能力，不过 L2TP 结合了这两个协议的长处，是它们的扩展。

L2TP 支持 PPP 支持的多种验证选项，包括密码验证协议 (PAP)、质询握手身份验证协议 (CHAP) 和 Microsoft 质询握手身份验证协议 (MS-CHAP)。可以利用 L2TP 验证 VPN 隧道的端点以提供额外的安全保护，还可

以利用 IPsec 予以实现以提供安全的加密 VPN 解决方案。

主题：

• 配置 L2TP 服务器

• 查看当前活动的 L2TP 会话

• 配置 Microsoft Windows L2TP VPN 客户端访问

• 配置 Google Android L2TP VPN 客户端访问

配置 L2TP 服务器VPN > L2TP 服务器页面提供用于将 SonicWall 网络安全设备配置为 L2TP 服务器的设置。

配置 L2TP 服务器的步骤如下：

1 选择启用 L2TP 服务器选项。

2 单击配置以显示 L2TP 服务器配置对话框。

注：如需配置 L2TP 服务器的更详细信息，请参阅技术说明在 SonicOS 中配置 L2TP 服务器，它位于

SonicWall 支持网站：https://www.sonicwall.com/zh-cn/support.


配置 L2TP 服务器和 VPN 客户端访问 84

https://www.sonicwall.com/zh-cn/support

3 在 L2TP 服务器选项卡上的保持活动时间（秒）字段中，输入以秒为单位的值。这将指定发送特殊

数据包以保持连接打开的频率。默认值为 60 秒。

4 在 DNS 服务器 1 字段中输入首个 DNS 服务器的 IP 地址。若有第二个 DNS 服务器，请在 DNS 服务器

2 字段中输入其 IP 地址。

5 在 WINS 服务器 1 字段中输入首个 WINS 服务器的 IP 地址。若有第二个 WINS 服务器，请在 WINS 服

务器 2 字段中输入其 IP 地址。

6 选择 L2TP 用户。

7 选择下列 IP 地址设置单选按钮之一：

8 如果已配置使用 L2TP 的特定用户群组，请从 L2TP 用户的用户群组菜单中选择或使用任何人。

9 选择 PPP。您可以添加和删除身份验证协议或重新排列其身份验证顺序。

10 单击确定。

RADIUS/LDAP 服务器提供的 IP 地址

默认情况下，未选择该选项。如果 RADIUS/LDAP 服务器向 L2TP 客户端提供的 IP 寻址信息，请选择此选项。“起始 IP”和“终止

IP”字段不再处于活动状态。

注：RADIUS 或 LDAP 必须在用户设置页面选择以使用该选项。

如果已选择此选项，则将显示此结果的参考消息。单击确定。

使用本地 L2TP IP 池这是默认 IP 地址设置。如果 L2TP 服务器提供 IP 地址，请选择

此选项。

“起始 IP”和“终止 IP”字段处于活动状态，因此请在起始 IP 和终

止 IP 字段中输入 LAN 内专用 IP 地址的范围。



查看当前活动的 L2TP 会话活动的 L2TP 会话面板显示了当前处于活动状态的 L2TP 会话。

随即显示以下信息。

配置 Microsoft Windows L2TP VPN 客户端访问本节提供了一个示例，说明如何使用内置的 L2TP 服务器和 Microsoft 的 L2TP VPN 客户端配置 L2TP 客户

端对 WAN GroupVPN SA 的访问。

如需使 Microsoft L2TP VPN 客户端能访问 WAN GroupVPN SA，请执行以下步骤：

1 转至 VPN > 基本设置页面。

2 对于 WAN GroupVPN 策略，请单击配置列中的编辑图标。

3 在常规选项卡中，从验证方法菜单中选择使用共享密钥的 IKE。

4 在共享密钥字段输入一个共享密钥以完成客户端策略配置。

5 单击确定按钮。

6 转至 VPN > L2TP 服务器页面。

7 在 L2TP 服务器设置部分中，单击启用 L2TP 服务器框。

8 单击配置按钮。

9 提供以下 L2TP 服务器设置：

• 保持活动时间（秒）：60

• DNS 服务器 1：199.2.252.10（或使用 ISP 的 DNS）



• WINS 服务器 1：0.0.0.0（或使用 WINS IP）

用户名本地用户数据库或 RADIUS 用户数据库中指定的用户名。

PPP IP 连接的源 IP 地址。

区域 L2TP 客户端使用的区域。

接口用于访问 L2TP 服务器的接口（它可以是 VPN 客户端或另一个防火墙）。

验证 L2TP 客户端使用的身份验证类型。

主机名连接到 L2TP 服务器的 L2TP 客户端的名称。

注：SonicOS 仅支持 L2TP 客户端的 X.509 证书；不支持 L2TP 连接的以 PKCS #7 编码的 X.509 证书。



• WINS 服务器 2：0.0.0.0（或使用 WINS IP）

10 单击 L2TP 用户。

11 设置以下选项：

• 使用本地 L2TP IP 池：启用（默认已选择）

• 起始 IP：10.20.0.1（使用您自己的 IP）

• 终止 IP：10.20.0.20（使用您自己的 IP）

12 从 L2TP 用户的用户群组下拉菜单中，选择受信任的用户。

13 在系统设置下，转至用户 > 本地用户和群组页面。

14 单击本地用户。

15 单击添加。

16 在名称、密码和确认密码字段指定用户名和密码。

17 单击确定。

18 在您的 Microsoft Windows 计算机上，完成以下 L2TP VPN 客户端配置以实现安全访问：

a 转至开始 > 控制面板 > 网络和共享中心。

b 打开“新建连接向导”。

c 选择连接到工作区。

d 单击下一步。

e 选择“虚拟专用网络连接”。单击下一步。

注：通过编辑 VPN LAN 区域或另一个 VPN 区域（在策略中的规则 > 访问规则下找到），您

可以限制 L2TP 客户端的网络访问。如需找到要编辑的规则，请选择访问规则表上的所有类

型视图，然后查看 L2TP IP 池的“源”列。



f 为您的 VPN 连接输入一个名称。单击下一步。

g 输入防火墙的公共 (WAN) IP 地址。您也可以使用一个指向该防火墙的域名。

h 单击下一步，然后单击完成。

i 在“连接”窗口中，单击属性。

j 单击安全选项卡。

k 单击 IPSec 设置。

l 启用使用预共享的密钥作身份验证。

m 输入预共享密钥，然后单击确定。

n 单击联网选项卡。

o 将 VPN 类型从自动更改为 L2TP IPSec VPN。

p 单击确定。

q 输入您的 XAUTH 用户名和密码。

r 单击连接。

19 通过转至 VPN > 基本设置页面，验证您的 Microsoft Windows L2TP VPN 设备是否已连接。VPN 客户

端显示在当前活动的 VPN 隧道部分。

配置 Google Android L2TP VPN 客户端访问本节提供了一个示例，说明如何使用内置的 L2TP 服务器和 Google Android 的 L2TP VPN 客户端来配置 L2TP 客户端对 WAN GroupVPN SA 的访问。

如需使 Google Android L2TP VPN 客户端能访问 WAN GroupVPN SA，请执行以下步骤：

1 转至 VPN > 基本设置页面。

2 对于 WAN GroupVPN 策略，单击编辑图标。

3 从验证方法下拉菜单中选择使用共享密钥的 IKE（默认）。

4 在共享密钥字段输入一个共享密钥以完成客户端策略配置。


6 提供 IKE (阶段 1) 建议的以下设置：

• DH 群组: 组 2

• 加密：3DES

• 验证：SHA1

• 生存期（秒数）：28800

7 提供 IPsec (阶段 2) 建议的以下设置：

• 协议：ESP

• 加密：DES

• 验证：SHA1

• 启用完全转发保密：启用



• 生存期（秒数）：28800



• 启用组播：禁用

• 通过该 SA 管理：全部禁用

• 默认网关：0.0.0.0

• 需要 XAUTH 验证 VPN 客户端：启用

• XAUTH 用户的用户群组：Trusted Users

10 单击客户端选项卡。


• 在客户端缓存 XAUTH 用户名和密码：单一会话或始终

• 虚拟适配器设置：DHCP 租赁

• 允许连接到：Split Tunnels

• 设置默认路由作为该网关：禁用

• 应用 VPN 访问控制列表：禁用

• 为简单的客户端配置使用默认密钥：启用

12 转至 VPN > L2TP 服务器页面。

13 单击启用 L2TP 服务器复选框。

14 单击配置按钮。

15 提供以下 L2TP 服务器设置：

• 保持活动时间（秒）：60

• DNS 服务器 1: 199.2.252.10 （或使用 ISP 的 DNS）



• WINS 服务器 1: 0.0.0.0（或使用 WINS IP）

• WINS 服务器 2: 0.0.0.0（或使用 WINS IP）

16 单击 L2TP 用户。


• RADIUS/LDAP 服务器提供的 IP 地址：禁用

• 使用本地 L2TP IP 池：启用

• 起始 IP：10.20.0.1（或使用您自己的）

• 终止 IP：10.20.0.20（或使用您自己的）

18 在 L2TP 用户的用户群组下拉菜单中，选择受信任的用户。

19 在系统设置下，转至用户 > 本地用户和群组页面。

20 单击本地用户。

21 单击添加。



22 转至用户 > 本地用户页面。单击添加用户按钮。

23 在设置选项卡中，指定用户名和密码。

24 在“VPN 访问”选项卡中，将所需的网络地址对象添加到 L2TP 客户端的访问列表网络。

25 在您的 Google Android 设备上，完成以下 L2TP VPN 客户端配置以实现安全访问：

a 转至“应用”页面，选择设置图标。从“设置”菜单选择无线和网络。

b 选择 VPN 设置，然后单击添加 VPN。

c 选择添加 L2TP/IPSec PSK VPN。

d 在“VPN 名称”下，输入 VPN 友好名称

e 设置 VPN 服务器。

f 输入防火墙的公共 IP 地址。

g 设置 IPSec 预共享密钥：输入您的 WAN GroupVPN 策略的密码

h 将 L2TP 密钥留空

i 如果要设置 LAN 域设置。这两项均属可选项。

j 输入您的 XAUTH 用户名和密码。单击连接。

26 转至 VPN > 设置页面，验证您的 Google Android 设备已连接。VPN 客户端显示在“当前活动的 VPN 隧

道”部分。

注：至少应将“LAN 子网”、“LAN 主要子网”和“L2TP IP 池”地址对象添加到访问列表。

注：您已完成 SonicOS 配置。



SonicWall SonicOS 连接 SSL VPN

第 2 部分

91

SSL VPN

• 关于 SSL VPN

• 配置 SSL VPN 服务器行为

• 配置 SSL VPN 客户端设置

• 配置 SSL VPN Web 入口

• 配置虚拟办公室

8

关于 SSL VPN

本章节介绍如何配置 SonicWall 网络安全设备上的 SSL VPN 功能。SonicWall 的 SSL VPN 功能利用 NetExtender 客户端实现对网络的安全远程访问。

NetExtender 是一种用于 Windows、Mac 或 Linux 用户的 SSL VPN 客户端，可通过透明方式下载。通过它，

您可以在网络上安全地运行任何应用程序，并使用点对点协议 (PPP)。NetExtender 允许远程客户端无缝

访问本地网络上的资源。用户可通过两种方式访问 NetExtender：

• 登录 SonicWall 网络安全设备提供的虚拟办公室 Web 入口

• 启动独立的 NetExtender 客户端

每个 SonicWall 设备都支持大数量的并发远程用户。如需详细信息，请参阅下表。

SonicOS 支持拥有 IPv6 地址的用户使用 NetExtender 连接。地址对象下拉列表包含所有预定义的 IPv6 地

址对象。.

主题：

• 关于 NetExtender

• 配置用户的 SSL VPN 访问

• 生物验证

最大并发 SSL VPN 用户数

SonicWall 设备型号

最大并发 SSL VPN 连接数





SM 9800 3000 NSA 6600 1500 TZ600 200

SM 9600 3000 NSA 5600 1000 TZ500/TZ500 W 150

SM 9400 3000 NSA 4600 500 TZ400/TZ400 W 100

SM 9200 3000 NSA 3600 350 TZ300/TZ300 W 50

NSA 2650 250

NSA 2600 250 SOHO W 50

注：不支持 IPv6 Wins 服务器。支持 IPv6 FQDN。


关于 SSL VPN 92

关于 NetExtenderNetExtender 独立客户端在您首次启动 NetExtender 时安装。然后，通过 Windows 系统的开始菜单，MacOS 系统的应用程序文件夹或 Dock，或 Linux 系统的路径名或快捷方式栏，就可以访问它。

SonicWall 的 SSL VPN NetExtender 是一种用于 Windows、Mac 和 Linux 用户的透明软件应用程序，支持远程

用户安全连接到公司网络。利用 NetExtender，远程用户可以安全地在公司网络上运行任何应用程序。

用户可以上传下载文件、安装网络驱动器以及访问资源，如同在本地网络上一样。

NetExtender 使远程用户能全权访问受保护的内部网络。使用传统的 IPSec VPN 客户端的体验实际上是相

同的，但在使用 Firefox 时，NetExtender Windows 客户端会自动安装在使用 XPCOM 插件的远程用户 PC 上。在 MacOS 系统上，支持的浏览器使用 Java 控件从虚拟办公室门户自动安装 NetExtender。Linux 系统

也可以安装和使用 NetExtender 客户端。Windows 用户需要从入口下载客户端，而使用移动设备的用户

需要从应用商店下载 Mobile Connect。

NetExtender 独立客户端是在用户首次启动 NetExtender 时安装的。然后，通过 Windows 系统的“开始”菜

单，MacOS 系统的“应用程序”文件夹或 Dock，或 Linux 系统的路径名或快捷方式栏，就可以访问它。

安装后，NetExtender 自动启动并连接一个虚拟适配器，以便对内部网络上允许的主机和子网进行安全

的 SSL VPN、点对点访问。

主题：

• 创建 NetExtender 范围的地址对象

• 设置访问权限

• 配置代理

• 安装独立客户端

创建 NetExtender 范围的地址对象作为 NetExtender 配置的一部分，在 SonicOS 6.2.2.x 及更高发行版中，您需要为 NetExtender IP 地址范围

创建一个地址对象。然后在配置设备配置文件时使用此地址对象。

您可以为 IPv4 地址范围和 IPv6 地址范围创建地址对象，以用在 SSL VPN > 客户端设置配置中。在地址对象

中配置的地址范围定义 IP 地址池，NetExtender 会话期间将该池中的地址分配给远程用户。该范围必须足

以容纳您要支持的大并发 NetExtender 用户数。可能需要一些额外地址才能发展，但这不是必需的。

如需了解配置地址对象的方法的详细信息，请参阅 SonicWall SonicOS 6.5 策略中的地址对象部分。如需

了解定义 SSL 地址对象所需的设置，请参阅以下快速参考。

创建 NetExtender IP 地址范围的地址对象的步骤如下：


2 转至对象 > 地址对象。

3 单击添加。

4 在名称字段中输入描述性名称。

5 对于区域分配，从下拉列表中选择 SSL VPN。

注：如果在 SSL VPN 设备所处的网段上存在其他主机，则地址范围不得与任何已分配的地址重叠或

冲突。


关于 SSL VPN 93

6 对于类型，选择范围。

7 在开始 IP 地址字段中，输入您要使用的范围中的小 IP 地址。

8 在终止 IP 地址字段中，输入您要使用的范围中的大 IP 地址。

9 单击添加。

10 单击关闭。

设置访问权限NetExtender 客户端路由用于允许或拒绝 SSL VPN 用户访问各种网络资源。使用地址对象可以轻松且动态

地配置网络资源访问。Tunnel All 模式路由通过 SSL VPN NetExtender 隧道路由远程用户的所有来往流

量，包括目标为远程用户本地网络的流量。此操作通过将下列路由添加到远程客户端的路由表中完成：

NetExtender 还为所有网络连接的本地网络添加路由。这些路由的度量高于任何现有路由，从而强制目

标为本地网络的流量通过 SSL VPN 隧道传送。例如，如果一个远程用户在 10.0.*.* 网络上有 IP 地址

10.0.67.64，则将添加路由 10.0.0.0/255.255.0.0，以便通过 SSL VPN 隧道路由流量。

管理员还可以在 NetExtender 连接和断开连接时运行批处理文件脚本。脚本可用于映射或断开网络驱动

器和打印机，启动应用程序或打开文件或 Web 站点。NetExtender 连接脚本可支持任何有效的批处理文

件命令。

配置代理 SonicWall SSL VPN 支持使用代理配置的 NetExtender 会话。目前仅支持 HTTPS 代理。从 Web 入口启动

NetExtender 时，如果浏览器已针对代理访问进行配置，NetExtender 将自动继承代理设置。代理设置也

可以在 NetExtender 客户端首选项中手动配置。对于支持 Web 代理自动发现 (WPAD) 协议的代理服务

器，NetExtender 可以自动检测代理设置。

NetExtender 为配置代理设置提供了三个选项：

• 自动检测设置 - 如需使用该设置，代理服务器必须支持 Web 代理自动发现协议，该协议可自动将

代理服务器设置脚本推送到客户端。

• 使用自动配置脚本 - 如果知道代理设置脚本的位置，您可以选择此选项并提供脚本的 URL。

• 使用代理服务器 - 可以使用此选项来指定代理服务器的 IP 地址和端口。也可以在绕过防火墙字段中

输入 IP 地址或域名，从而绕过代理服务器，直接到这些地址。若需要，可以为代理服务器输入用

户名和密码。如果代理服务器要求用户名和密码，而您未指定，NetExtender 首次连接时将弹出

一个窗口，提示您输入用户名和密码。

注：IP 地址范围必须与用于 SSL VPN 服务的接口处于同一子网。

要添加到远程客户端的路由表中的路由

IP 地址子网掩码

0.0.0.0 0.0.0.0

0.0.0.0 128.0.0.0

128.0.0.0 128.0.0.0

注：如需配置 Tunnel All 模式，还必须为 0.0.0.0 配置一个地址对象，并让 SSL VPN NetExtender 用户和群组有权访问该地址对象。


关于 SSL VPN 94

当 NetExtender 使用代理设置连接时，它与代理服务器建立 HTTPS 连接，而非直接连到防火墙服务器。

代理服务器随即将流量转发给 SSL VPN 服务器。所有流量都由 SSL 利用 NetExtender 协商的证书加密，代

理服务器对此一无所知。对于代理和非代理用户，连接过程相同。

安装独立客户端用户首次启动 NetExtender 时，NetExtender 独立客户端会自动安装到用户的 PC 或 Mac 上。安装程序根据

用户的登录信息创建一个配置文件。然后，安装程序窗口关闭并自动启动 NetExtender。如果用户安装

了旧版 NetExtender，安装程序将首先卸载旧版本，然后再安装新版本。

NetExtender 独立客户端安装完成后，Windows 用户可以从 PC 的开始 > 程序菜单启动 NetExtender，并配置

NetExtender 在 Windows 启动时启动。Mac 用户可以从系统的应用程序文件夹启动 NetExtender，或将其

图标拖到 Dock 中以便快速访问。在 Linux 系统中，安装程序会在 /usr/share/NetExtender 中创建一个桌

面快捷方式。可以将其拖到 Gnome 和 KDE 等环境的快捷方式栏中。

配置用户的 SSL VPN 访问为使用户能访问 SSL VPN 服务器，必须将其指定到 SSLVPN 服务组。系统将拒绝尝试通过虚拟办公室登录

且不属于 SSLVPN 服务群组的用户进行访问。

主题：

• 对于本地用户

• 用于 RADIUS 和 LDAP 用户

• 对于 Tunnel All 模式访问

对于本地用户SonicWall SonicOS 6.5 系统设置的用户部分中介绍了添加和配置本地用户和群组的详细过程。以下是快速

参考，列出了启用 SSLVPN 服务所需的用户设置。

配置本地用户的 SSL VPN 访问的步骤如下：


2 转至用户 > 本地用户和群组。

3 单击您要设置的用户的编辑图标，或单击添加用户按钮以创建新用户。

4 选择群组。

5 在用户群组列中，选择 SSLVPN 服务，然后单击右箭头将其移动到隶属于列。

注：如需在 SonicWall 设备安装 NetExtender 的完整说明，请参阅知识库中的如何在 SonicOS 5.9 及

更高版本 (SW10657) 上设置 SSL-VPN 功能（NetExtender 访问）。

视频：视频 SSL VPN 的配置方法也解释了配置 NetExtender 的步骤。


关于 SSL VPN 95



http://link.brightcove.com/services/player/bcpid3160175175001?bckey=AQ~~,AAAAuIVrAck~,krN9qiM0opZqQE3XzcCdJTaTkX0YQjM5&bctid=3450252605001

6 选择 VPN 访问，然后将相应的网络资源 VPN 用户（GVC、NetExtender 或虚拟办公室书签）移动到
访问列表。

7 单击确定。

用于 RADIUS 和 LDAP 用户RADIUS 用户和 LDAP 用户的配置过程类似。您需要将用户添加到 SSLVPN 服务用户群组中。

SonicWall SonicOS 6.5 系统设置的用户部分中介绍了配置用户群组的详细过程。以下是快速参考，列出了

将用户添加到正确群组中所需的用户设置。

配置 RADIUS 和 LDAP 用户的 SSL VPN 访问的步骤如下：

对于 Tunnel All 模式访问SonicWall SonicOS 6.5 系统设置的用户部分中介绍了添加和配置本地用户和群组的详细过程。以下是快速

参考，列出了为 Tunnel All 模式设置用户和群组所需的用户设置。

如需配置 Tunnel All 模式的 SSL VPN NetExtender 用户和群组，请执行以下步骤：


2 转至用户 > 本地用户和群组。

3 单击一个 SSL VPN NetExtender 用户或群组的配置图标。

4 选择 VPN 访问。

5 选择 WAN 远程访问网络地址对象，然后单击右箭头按钮将其移至访问列表。

6 单击确定。

7 对所有使用 SSL VPN NetExtender 的本地用户和群组重复这些过程。

注：VPN 访问选项卡会影响远程客户端使用 GVC、NetExtender 和 SSL VPN 虚拟办公室

书签访问网络资源的能力。如需允许 GVC、NetExtender 或虚拟办公室用户访问网络

资源，必须将网络地址对象或群组添加到 VPN 访问选项卡上的访问列表。

共同的步骤设置 RADIUS 用户设置 LDAP 用户


2 转至用户 > 设置。

3 选择身份验证。

4 在用户认证方法字段中：选择 RADIUS 或 RADIUS + 本地

用户。

选择 LDAP 或 LDAP + 本地用户。

5 选择: 配置 RADIUS 配置 LDAP

6 选择: RADIUS 用户用户和群组

7 在相应的字段中选择 SSLVPN 服务：

所有 RADIUS 用户所属的默认用户

群组默认的 LDAP 用户群组

8 单击“确定”。


关于 SSL VPN 96

生物验证

SonicOS 与 SonicWall Mobile Connect 支持生物身份验证。Mobile Connect 是一款允许用户从移动设备安

全访问专用网络的应用程序。通过使用 Mobile Connect 4.0，您可以使用手指触摸进行身份验证，以取代

用户名和密码。

允许此身份验证方法的配置设置位于 SSL VPN > 客户端设置页面上。只有使用 Mobile Connect 连接到防

火墙时，才会显示这些选项。

在 SSL VPN > 客户端设置页面上配置生物身份验证后，可以在用户的智能手机或其他移动设备上启用

Touch ID (iOS) 或“指纹身份验证 (Android)”。

重要：如需使用生物身份验证，必须在移动设备上安装了 Mobile Connect 4.0 或更高版本，并将其

配置为与防火墙连接。


关于 SSL VPN 97

9
配置 SSL VPN 服务器行为
SSL VPN > 服务器设置页面用于配置要用作 SSL VPN 服务器的防火墙。

主题：

• 在区域上的 SSL VPN 状态

• SSL VPN 服务器设置

• RADIUS 用户设置

• SSL VPN 客户端下载 URL


配置 SSL VPN 服务器行为 98

在区域上的 SSL VPN 状态

本章节显示各区域上的 SSL VPN 访问状态：

• 绿色表示活动的 SSL VPN 状态。

• 红色表示不活动的 SSL VPN 状态。

通过单击区域名称来启用或禁用 SSL VPN 访问。

SSL VPN 服务器设置

以下设置用于配置 SSL VPN 服务器：

• SSL VPN 端口 - 在此字段中输入 SSL VPN 端口号。默认值为 4433。

• 证书选择 - 从此下拉菜单中，选择用于对 SSL VPN 用户进行身份验证的证书。默认方法是使用自签

名证书。

• 用户域名 - 输入用户的域名，该域名必须与 NetExtender 客户端中域字段匹配。默认设置为 LocalDomain。

• 启用 web 管理通过 SSL VPN - 如需通过 SSL VPN 启用 Web 管理，请从下拉菜单中选择启用。默认值

为禁用。

注：如果未使用身份验证分区，则此字段必须与 NetExtender 客户端中的域字段相匹配。

如果正在使用认证分区，则在 NetExtender 中，用户可以输入任何配置有分区的域名，从而

可以通过 READIUS 或 LDAP 在外部选择用于对其名称/密码进行身份验证的分区。在这种情况

下，此处设置的名称是用户输入的用于本地身份验证的默认值，或如果他们没有本地帐户，则用于默认分区中的身份验证。

请注意，无论哪种情况，在与外部身份验证一起使用时，此用户域名不会传递到 RADIUS/LDAP 服务器，仅发送不包含它的简单用户名。



• 启用 SSH 管理通过 SSL VPN - 如需通过 SSL VPN 启用 SSH 管理，请从下拉菜单中选择启用。默认值为

禁用。

• 不活动超时（分钟）- 输入用户在注销之前不活动的分钟数。默认为 10 分钟。

•

RADIUS 用户设置此部分仅当配置 RADIUS 或 LDAP 来认证 SSL VPN 用户时可用。

• 使用 RADIUS 在 - 选中此复选框可以让 RADIUS 使用 MSCHAP 或 MSCHAPv2 模式。通过启用 MSCHAP 模式，RADIUS 允许用户在登录时更改过期密码。在这两种模式之间进行选择：

• MSCHAP

• MSCHAPV2 模式（允许用户更改过期的密码）

SSL VPN 客户端下载 URL在此页面的这一部分中，设置客户端系统从何处下载 SSL VPN 客户端。可以选择从设备下载文件并将其放

在 SSL VPN 服务器上，也可以提供自己的 HTTP 服务器来托管此客户端软件包。

• 单击此处可下载包含所有 SSL VPN 客户端文件的 SSL VPN zip 文件 - 选择此链接可从设备下载所有客

户端 SSL VPN 文件。打开并解压缩该文件，然后将文件夹放到您的 HTTP 服务器上。

• 使用客户的 HTTP 服务器作为下载 URL： (http://)选中此复选框，在提供的字段中输入 SSL VPN 客户

端下载 URL。

注：在 LDAP 中，只能在将 Active Directory 与 TLS 一起使用或使用管理帐户/Novell eDirectory 绑定到它时更改密码。

在用户 > 设置页面上选择 LDAP 作为登录身份验证方法，但是 LDAP 的配置方式不允许更新密

码时，如果设置了此选项，那么在使用 LDAP 对用户进行身份验证之后，将利用 MSCHAP 模

式 RADIUS 执行 SSL VPN 用户的密码更新。



10

配置 SSL VPN 客户端设置

在 SSL VPN > 客户端设置页面上，您可以编辑默认设备配置文件和 SonicPoint 第 3 层管理默认设备配置文

件。默认设备配置文件将启用区域上的 SSL VPN 访问，配置客户端路由，并配置客户端 DNS 和 NetExtender 设置。SonicPoint 第 3 层管理默认设备配置文件将在 SonicPoint 区域上启用 SSL VPN 访问，配置客户端路

由，并配置 SonicPoint 第 3 层设置。

SSL VPN > 客户端设置页面还显示了为其启用 SSL VPN 访问的已配置 IPv4 和 IPv6 网络地址和区域。

您还可以在此页面上编辑 SonicPoint 三层管理默认设备配置文件。

主题：

• 配置默认设备配置文件

• 配置 SonicPoint L3 管理默认设备配置文件

配置默认设备配置文件编辑“默认设备配置文件”以选择区域和 NetExtender 地址对象，以及配置客户端路由，和配置客户端 DNS 及 NetExtender 设置。

必须在一个区域上启用 SSL VPN 访问后，用户才能访问虚拟办公室 Web 入口。可以在网络 > 区域页面（菜

单的系统设置部分）上配置 SSL VPN 访问。如需更多信息，请参阅 SonicWall SonicOS 6.5 系统设置中的“网

络”部分。

主题：

• 配置设置选项

• 配置客户端路由

• 配置客户端设置


配置 SSL VPN 客户端设置 101

配置设置选项

为默认设备配置文件配置设置选项的步骤如下：


2 在连接下，选择 SSL VPN > 客户端设置。

3 单击默认设备配置文件的编辑图标。

4 在区域 IP V4 下拉菜单中，选择 SSLVPN 或自定义区域，为此配置文件设置区域绑定。

5 从网络地址 IP V4 下拉菜单中，选择您为此配置文件创建的 IPv4 NetExtender 地址对象。如需相关说

明，请参阅创建 NetExtender 范围的地址对象。此设置选择此配置文件的 IP 池和区域绑定。如果

地址对象匹配此配置文件，NetExtender 客户端将从此地址对象获取 IP 地址。

6 在区域 IP V6 下拉菜单中，选择 SSLVPN 或自定义区域，为此配置文件设置区域绑定。

7 从网络地址 IP V6 下拉菜单中，选择您创建的 IPv6 NetExtender 地址对象。

8 单击确定以保存设置并关闭该窗口。

配置客户端路由在客户端路由上，您可以控制 SSL VPN 用户的网络访问权限。将 NetExtender 客户端路由传送给所有 NetExtender 客户端，用于控制远程用户可以通过 SSL VPN 连接访问哪些专用网络和资源。

配置客户端路由的步骤如下：




4 选择客户端路由。

注：默认设备配置文件的名称和说明不能更改。



5 从 Tunnel All 模式下拉菜单中，选择已启用。

这会强制 NetExtender 用户的所有流量通过 SSL VPN NetExtender 隧道，包括以远程用户的本地网

络为目标流量。

6 选择要允许 SSL VPN 访问的地址对象，然后单击右箭头按钮将地址对象移动到客户端路由列表。

7 重复上述步骤，直到已移动所有您要用于客户端路由的地址对象。

创建客户端路由也将创建自动创建的访问规则。您还可以手动配置 SSL VPN 区域的访问规则。如

需访问规则的详细信息，请参阅 SonicWall SonicOS 6.5 策略。

8 请单击确定以保存设置并关闭窗口。

配置客户端设置客户端设置窗口有两个选项部分：

• SSLVPN 客户端 DNS 设置

• NetExtender 客户端设置

SSLVPN 客户端 DNS 设置

配置 SSLVPN 客户端 DNS 设置的步骤如下：






4 选择客户端设置。

5 在 DNS 服务器 1 字段中，选择以下选项之一：

• 输入主要 DNS 服务器的 IP 地址。

• 单击默认 DNS 设置可以默认设置用于将 DNS 服务器 1 和 DNS 服务器 2 字段。这些字段将会

自动填充。

6 （可选）在 DNS 服务器 2 字段中，如果未单击默认 DNS 设置，请输入备份 DNS 服务器的 IP 地址。

7 （可选）构建 DNS 搜索列表的步骤如下：

a 在 DNS 搜索列表（已排序）字段中，输入 DNS 服务器的 IP 地址。

b 单击添加将其添加至下方的列表中。

c 根据需要多次重复上述步骤。

使用向上和向下箭头按钮，根据需要，在列表中滚动。如需从列表中删除某个地址，请将其选中，然后单击删除。

8 （可选）在 WINS 服务器 1 字段中，输入主要 WINS 服务器的 IP 地址。

9 （可选）在 WINS 服务器 2 字段中，输入备用 WINS 服务器的 IP 地址。

注：IP v4 和 IP v6 都支持。

注：仅支持 IPv4。



10 如需配置客户连接和断开连接时 NetExtender 的行为，请向下滚动到 NetExtender 客户端设置。

11 对于以下每项设置，选择启用或禁用。默认情况下，所有设置已设定为禁用。

12 为提供灵活性，允许用户将其用户名和密码缓存在 NetExtender 客户端中，可从用户名 & 密码缓存

字段中选择以下其中一种操作。这些选项使您能平衡安全性需求与用户每次使用的便利性需求。

• 仅允许保存用户名

• 允许保存用户名 & 密码

• 禁止保存用户名 & 密码

13 单击确定。

NetExtender 客户端设置定义

启用客户端自动更新 NetExtender 客户端会在每次启动时检查更新。

断开之后退出客户端 NetExtender 客户端会在它与 SSL VPN 服务器断开连接后退出。

如需重新连接，用户必须返回 SSL VPN 入口，或从“程序”菜

单启动 NetExtender。

允许在 iOS 设备上使用 Touch ID NetExtender 客户端允许在 iOS 智能手机上使用 Touch ID 身份

验证。

允许在 Android 设备上使用指纹

身份验证

NetExtender 客户端允许在 Android 设备上使用指纹身份验证。

启用 SSLVPN 上的 NetBIOS NetExtender 客户端允许使用 NetBIOS 协议。

退出之后卸载客户端 NetExtender 客户端会在与 SSL VPN 服务器断开连接后卸载。如

需重新连接，用户必须返回 SSL VPN 入口。

创建客户端连接配置文件 NetExtender 客户端将创建一个连接配置文件，用于记录 SSL VPN 服务器名称、域名及（可选）用户名和密码。



配置 SonicPoint L3 管理默认设备配置文件配置 SonicPoint 第 3 层管理默认设备配置文件将在 SonicPoint 区域上设置 SSL VPN 访问，配置客户端路由以

及 SonicPoint 设备的 L3 设置。

配置 SonicPoint L3 配置文件的设置的步骤如下：



3 单击 SonicPoint L3 管理默认设备配置文件的编辑图标。

4 在设置选项卡上，从区域 IP V4 下拉菜单中选择 SSLVPN 或自定义区域，以便为此配置文件设置区

域绑定。

5 从网络地址 IP V4 下拉菜单中，选择您创建的 IPv4 NetExtender 地址对象。如需相关说明，请参阅创

建 NetExtender 范围的地址对象。此设置选择此配置文件的 IP 池和区域绑定。如果此地址对象相

匹配，则 NetExtender 客户端会从此地址对象中获取 IP 地址。

6 单击客户端路由选项卡。

7 从网络列表中，选择要允许 SSL VPN 访问的地址对象，然后单击右箭头将地址对象移动到客户端路

由列表。

注：无法更改 SonicPoint L3 管理默认设备配置文件的名称和说明。



8 重复上述步骤，直到已移动所有您要用于客户端路由的地址对象。

创建客户端路由会自动创建访问规则以允许该访问。您也可以在规则 > 访问规则页面上手动配置

SSL VPN 区域的访问规则。更多信息请参阅 SonicWall SonicOS 6.5 系统设置。

9 单击 SP L3 设置选项卡。

10 从 WLAN 隧道接口下拉菜单中选择一个接口。

11 单击确定。

注：为 SSL VPN 配置客户端路由后，您还必须配置所有 SSL VPN NetExtender 用户和用户群组，

使它们能够访问客户端路由。如需快速参考列表，请参阅配置用户的 SSL VPN 访问。



11

配置 SSL VPN Web 入口

在 SSL VPN > 入口设置页面上，您可以配置 SSL VPN 虚拟办公室 Web 入口的外观和功能。虚拟办公室入

口是利用登录启动 NetExtender 的网站。它可以定制以与任何现有的公司网站或设计风格保持一致。

主题：

• 入口设置

• 入口商标设置


配置 SSL VPN Web 入口 108

入口设置入口设置会自定义用户在尝试登录时看到的内容。可以执行所需更改以符合贵公司的要求。

下列选项定制虚拟办公室入口的功能：

• 登录后启动 NetExtender - 选择该选项 NetExtender 会在用户登录后自动启动。默认情况下未选中该

选项。

• 显示导入证书按钮 - 选择该按钮以在虚拟办公室页面上显示导入证书按钮。它用于启动将防火墙自

签名的证书导入 Web 浏览器的过程。默认情况下未选中该选项。

• 为缓存控制启用 HTTP 元标识（建议的） - 选择该选项将 HTTP 标签插入浏览器中，指示 Web 浏览器

不要缓存虚拟办公室页面。默认情况下未选中该选项。

• 在 SSL VPN 端口显示 UTM 管理链接（不推荐） - 选择该选项将会在 SSL VPN 门户上显示 SonicWall 设

备的管理链接。默认情况下未选中该选项。

入口商标设置通过本节，您可以定制在虚拟办公室入口的顶部显示的徽标。这种徽标很多采用 GIF 格式，大小为 155 x 36。推荐使用透明或浅色背景。

• 默认的入口徽标 - 显示默认的入口徽标，即 SonicWall 徽标。

• 使用默认的 SonicWall 徽标 - 选中该框可以使用随设备提供的 SonicWall 徽标。默认情况下未选中该

选项。

• 自定义徽标（徽标的输入 URL）- 输入您希望显示的徽标的 URL。

选项定义

入口站点标题在此字段中输入 Web 浏览器顶端标题中显示的文本。默认值是 SonicWall - 虚

拟办公室。

入口广告标题在此字段中输入页面顶部的徽标旁边显示的文本。默认值是虚拟办公室。

主页消息输入显示在 NetExtender 图标上方的消息的 HTML 代码。输入您自己的文本，

或单击示例模板以填充您可保留或编辑的默认模板。单击预览以查看主页消息的外观。

登录信息输入在用户收到登录虚拟办公室的提示时显示的消息的 HTML 代码。输入

您自己的文本，或单击示例模板以填充您可保留或编辑的默认模板。单击预览以查看登录消息的外观。

注：从 SSL VPN > 服务器设置页面上的证书选择下拉菜单选择使用自签名证书时，该选项仅

适用于 PC 上的 Internet Explorer 浏览器，且 PC 运行 Windows 操作系统。

注：SonicWall 推荐启用此选项。

重要：SonicWall 不推荐启用此选项。

提示：商标必须是 155 x 36 大小的 GIF 格式，建议使用透明或浅背景。


配置 SSL VPN Web 入口 109

12

配置虚拟办公室

SSL VPN > 虚拟办公室页面显示 SonicOS 管理界面内部的虚拟办公室 Web 入口。

主题：

• 访问虚拟办公室入口

• 配置 SSL VPN 书签

• 配置用于 IPv6 的设备配置文件设置

访问虚拟办公室入口可以通过两种不同的方式访问虚拟办公室入口。系统管理员可以通过设备接口访问它，并有权执行适用于整个站点的更改。用户通过不同的过程以不同的方式访问它，而且只能执行影响其特定配置文件的更改。


配置虚拟办公室110

要让系统管理员访问 SSL VPN 虚拟办公室入口：


2 在连接下，选择 SSL VPN > 虚拟办公室。

要让用户查看 SSL VPN 虚拟办公室 Web 入口：

1 转至防火墙的 IP 地址。

2 单击登录页面底部写着单击此处进行 sslvpn 登录的链接。

配置 SSL VPN 书签可以将用户书签定义为显示在虚拟办公室主页上。个人用户无法修改或删除由管理员创建的书签。

创建书签时，需要记住的是某些服务可以在非标准端口上运行，而另一些服务在连接时需要一个路径。在配置门户书签时，您需要将服务类型与名称或 IP 地址的正确格式相匹配。在设置这些选项时，请参

阅下表。

注：ActiveX 和 Java 的服务类型不存在于 SonicOS 6.5 中。在升级过程中，较低版本中的首选项将转

换为 HTML5。

不同服务类型对应的书签名称或 IP 地址格式

服务类型格式名称或 IP 地址字段示例

RDP - ActiveXRDP - Java

IP 地址

IP:端口（非标准）

FQDN

主机名

10.20.30.4 10.20.30.4:6818 JBJONES-PC.sv.us.sonicwall.com JBJONES-PC

VNC IP 地址

IP:端口（映射到会话）

FQDN

主机名

注：请勿用会话或显示编号代替端口。

10.20.30.4

10.20.30.4:5901（映射至会话 1） JBJONES-PC.sv.us.sonicwall.com JBJONES-PC

注：请勿使用 10.20.30.4:1

提示：对于链接到 Linux 服务器的书签，参见

本表下方的提示。

Telnet IP 地址


FQDN

主机名


SSHv1SSHv2

IP 地址


FQDN

主机名




添加入口书签的步骤如下：


2 在连接下，选择 SSL VPN > 入口办公室。

3 单击添加。

4 在书签名称字段中输入书签的描述性名称。

5 在用户名或者 IP 地址字段中输入 LAN 上主机的完全限定域名 (FQDN) 或 IPv4 地址。请参阅不同服务

类型对应的书签名称或 IP 地址格式表（上表），以获取给定服务类型所需的用户名或者 IP 地址

的示例。

6 在服务下拉菜单中，选择相应的服务类型：

• RDP (HTML5-RDP)

• SSHv2 (HTML5-SSHv2)

• TELNET (HTML5-TELNET)

• VNC (HTML5-VNC)

将显示不同的选项，具体取决于您选择的内容。

7 填写您选择的服务的剩余字段。关于选项和定义，请参阅下表：

重要：创建链接到 Linux 服务器的虚拟网络计算 (VNC) 书签时，除了在用户名或者 IP 地址字段中

输入 Linux 服务器 IP 以外，还必须指定端口号和服务器编号，格式如下：ipaddress:port:server。

例如，如果 Linux 服务器 IP 地址为 192.168.2.2，端口号为 5901，服务器编号为 1，那么名称

或 IP 地址字段的值将是 192.168.2.2:5901:1。



8 单击确定以保存配置。

如果服务设置为 RDP (HTML5-RDP)，请配置以下内容：

屏幕尺寸从下拉菜单中，选择用户执行此书签时要使用的默认终端服务页面大小。

不同的计算机支持不同的界面大小，使用远程桌面应用程序时，应当选择从中运行远程桌面会话的计算机支持的界面大小。

颜色在下拉菜单中，选择用户选择此书签时终端服务页面的默认颜色深度。

应用程序和路径（可选）：如果需要，请输入应用程序驻留在远程计算机上的本地路径。

在下列文件中开始如果需要，请输入从中执行应用程序命令的本地文件夹。

显示 Windows 高级选项单击箭头以展开此内容并查看所有 Windows 高级选项。选

中复选框以启用您需要的功能：

• 重定向剪贴板• 自动重连• 窗口拖动• 重定向音频• 桌面背景• 菜单/窗口动画

自动登录选中该框可启用自动登录。如果选中了此框，请选择要使用的凭据：

• 使用 SSL-VPN 帐号证书

• 使用自定义的证书如果您选择自定义凭据，请输入凭据的用户名、密码和域。

注：可以使用用户名和域的动态变量。请参阅动态变量

向 Mobile Connect 客户端显示

书签

选中该框可向 Mobile Connect 用户显示书签。

如果服务设置为 SSHv2 (HTML5-SSHv2)，请配置以下内容：

自动接受主机密钥选中该框以进行启用。


书签


如果服务设置为 TELNET (HTML5-TELNET)，请配置以下内容：


书签


如果服务设置为 VNC (HTML5-VNC)，请配置以下内容：

仅浏览选中该框可将书签设置为仅查看模式。

共享桌面启用共享桌面功能。


书签


动态变量

文本用法变量使用示例

登录名 %USERNAME% US\%USERNAME%

域名 %USERDOMAIN% %USERDOMAIN\%USERNAME%



配置用于 IPv6 的设备配置文件设置SonicOS 支持拥有 IPv6 地址的用户使用 NetExtender 连接。在 SSL VPN > 客户端设置页面上，首先配置传统

IPv6 IP 地址池，然后配置 IPv6 IP 池。每个客户端将分配两个内部地址：一个 IPv4 和一个 IPv6。

在 SSL VPN > 客户端路由页面上，用户可以从所有地址对象，包括所有预定义 IPv6 地址对象的下拉列表

中选择一个客户端路由。

注：不支持 IPv6 Wins 服务器。

注：支持 IPv6 FQDN。




接入点

第 3 部分

115

接入点

• 了解 SonicWall 接入点

• 接入点公告板

• 接入点基本设置

• 接入点平面图接入点平面图

• 接入点拓扑视图

• 配置 SonicPoint 入侵检测服务

• 配置高级 IDP

• 接入点数据包捕获

• 配置虚拟接入点

• 配置 RF 监控

• 配置 FairNet

• 配置 Wi-Fi 多媒体

• 接入点 3G/4G/LTE WWAN

13

了解 SonicWall 接入点

SonicWall SonicPoint 和 SonicWave 无线接入点专门用于与 SonicWall 安全设备配合使用，可为您的整个企

业提供无线接入。通过界面的管理视图上的连接 | 接入点，您可以管理连接到系统的接入点。

本节提供在网络中使用 SonicWall 接入点以及将它们与 SonicWall 网络设备进行集成的方法的相关信息和

佳实践。

主题：

• 接入点功能矩阵

• 接入点功能

• 规划和现场勘测

• 接入点部署的佳实践

• 接入点许可

• 管理 SonicPoint 之前

• 接入点和 RADIUS 计费

接入点功能矩阵SonicOS 中提供了一些功能，但并非所有功能都受 SonicWall 接入点支持。请参阅下表以了解具体情况。

注：SuperMassive 9800 不支持 SonicWall 接入点。

接入点类型支持的无线功能

功能名称 SonicWave SonicPoint ACe/ACi SonicPoint N2 SonicPoint

Ne/Ni/NDR/N

频段切换是是是否

AirTime 公平性是是是否

无线鉴别数据包捕获是否否否

WDS AP 支持是是是否

平面图视图是是是是

拓扑视图是是是是

SSLVPN 集中器是是是是

实时监控可视化是是是否

动态 VLAN 是是是否

3G/4G/LTE Extender 是是是否


了解 SonicWall 接入点 116

接入点功能SonicWall 接入点与 SonicWall 下一代防火墙集成，用于创建一个安全的无线解决方案，为有线和无线网

络提供全面保护。它们提供高速无线接入，具有增强的信号质量和可靠性，可利用新功能实现千兆无线性能。凭借对 IEEE 802.11a/b/g/n/ac 标准的支持，SonicPoint/SonicWave 系列使您的组织能够在高密度

环境中实现带宽密集型移动应用，而不会出现信号衰减。

主题：

• SonicPoint/SonicWave 功能

• 认证和合规性

• 接入点平面图视图

• 接入点拓扑视图

• 入侵检测/保护

• 虚拟接入点

• 接入点 WMM 配置

• 日本和国际接入点支持

客户端指纹识别和报告是是是否

SNMP MIB 扩展是是是是

GRE 管理多核支持是是是是

Restful API 支持是是是否

访客服务：基于 IP 的访客身份验证

旁路网络

是是是是

访客服务：访客用户群组的周期性配额

是是是是

本机网桥支持是是是是

无线内置无线中继模式仅适用于 TZ 无线

仅适用于 TZ 无线



无线内置无线 WDS 模式仅适用于 TZ 无线




接入点类型支持的无线功能

功能名称 SonicWave SonicPoint ACe/ACi SonicPoint N2 SonicPoint

Ne/Ni/NDR/N



SonicPoint/SonicWave 功能SonicPoint/SonicWave 接入点通过提供更多天线、更宽信道、更多空间流以及其他增加吞吐量和增强可

靠性的功能，可以在 5GHz 频段中提供更高吞吐量。SonicPoint AC 和 SonicWave 设备同时支持 5GHz 和

2.4GHz 无线频段，并具有以下关键技术组件：

• 更宽信道 - 80 MHz 和 160 MHz 信道带宽

• 高达 4 个空间流 - 添加空间流将成比例增加吞吐量。两个空间流的吞吐量是单个空间流的两倍。

四个空间流将吞吐量增加四倍。

• 多用户 MIMO - 多输入多输出空间分区多路复用同时提供多个独立数据流的传输和接收。

SonicWave 和 SonicPoint AC 提供更高吞吐量，使其更适合于无线显示、HDTV、下载大文件，以及

校园和礼堂应用。

• 第 3 层管理阶段 I - 提供了 DHCP 和隧道解决方案，以支持第 3 层网络中的接入点部署：

• SonicWall 基于 DHCP 的发现协议 (SDDP) 基于已知的 DHCP 协议，允许 SonicWall 网关和接入

点在三层本地网络中发现对方。

• 远程网络管理协议 SonicWall 基于 SSL VPN 的管理协议 (SSMP)，是基于 SonicWall SSL VPN 基础

结构允许已启用 SonicWall SSL VPN 的网络安全设备通过互联网管理接入点。SonicWave 432e/432i/432o、SonicPoint AC/N2/N/Ni/Ne/NDR、所有 SuperMassive、NSA 和运行 SonicOS 6.2 或更高版本的 TZ 防火墙都支持。

• 动态频率选择 (DFS) 支持 - 颁发 DFS 证书后，接入点支持动态频率选择，允许在 5GHz 频带的敏感

信道中部署接入点。

• 接入点公告板 - 接入点 > 公告板页面报告每个接入点的统计信息。公告板以图形形式总结带宽和客

户端信息。它还提供实时的客户端监控详细信息。

• 频段转向 - 频段转向允许接入点将支持 5 GHz 的客户端引导至该频段；它通常有较少的干扰和较低

的流量。但是，如果信号有干扰或不够强，则会将客户端定向至 2.4 GHz 频段。其目的是使用无

线电管理来帮助提高整体容量、吞吐量和用户体验。

• 开放身份验证、社交登录和 LHM - SonicOS 6.2.7 及更高版本支持 Facebook、Twitter 和 Google+ 等社

交媒体的开放身份验证和社交登录。还支持 LHM（轻量级热点消息）。

• 射频分析 - 射频分析 (RFA) 功能可以帮助网络管理员理解接入点和其他相邻无线接入点利用无线信

道的方式。

• 保留 SonicWave 配置文件设置 - 您可以配置接入点配置文件，以便在删除或重新同步接入点之后，

它们仍然可以保留其配置部分。

• VLAN 标签 - 通过虚拟接入点 (VAP) 可以在 VLAN 中设置优先级，因为 SonicPoint N 和 AC 允许将 VAP 配置为使用同一 VLAN ID 连接 VLAN。您可以通过防火墙访问规则为 VLAN 流量设置优先级。

• 无线诊断 - 接入点可以收集关键的运行时数据，并将其保存到永久存储区中。如果接入点发生故

障，SonicWall 管理设备会在接入点重启时检索该数据，并将其组合到技术支持报告 (TSR) 中。后续

的接入点故障将覆盖此数据。

• 接入点 3G/4G WWAN - 用户可以将 USB 调制解调器设备插入 SonicWall 接入点，接入点可以执行拨号

操作以连接到互联网。在连接后，接入点将用作防火墙的 WWAN 设备，并提供 WAN 访问权限。

• 菊花式链接 - 菊花式链接允许小型环境（即，低密度交换机基础架构）用户在使用尽可能少的交

换机端口的情况下部署多个接入点。例如，可以将遍布商店的众多设备连接到商店的交换机基础架构。即使基础架构在交换机端口密度/可用性方面较小，这也可能包含多个接入点来覆盖整个

商店。接入点通过 LAN2 接口进行菊花式链接。



认证和合规性SonicWall 接入点已通过严格的测试，以获得行业认证。

Wi-Fi 联盟认证

Wi-Fi 的认证徽标是 Wi-Fi 联盟的认证标志，表示该产品已经过 Wi-Fi 联盟的严格测试，且已证明可与其他

产品进行互操作，包括有 Wi-Fi 认证徽标的其他公司的产品。

FCC U-NII 新规则合规

自 SonicOS 6.2.5.1 开始，运行固件版本 9.0.1.0-2 或更高版本的 SonicPointACe/ACi/N2 支持 FCC U-NII（未获许

可 - 国家信息基础设施）新规则（报告和顺序 ET 案卷编号 13-49）。为符合 FCC 新规则中的动态频率选择

(DFS)，SonicPoint 接入点将检测 DFS 频段的雷达信号并避免对其造成干扰。

RED 合规与认证

SonicWall TZ 和 SOHO 无线设备及 SonicWall 无线接入点符合欧盟的无线电设备指令 (RED)。请参阅 SonicWall 支持门户中技术文档下的无线电设备指令 (RED) 附录：

https://www.sonicwall.com/zh-cn/support/Technical-Documentation/Radio-Equipment-Directive-(RED)-Addendum。

接入点平面图视图SonicOS 6.5 允许更直观地管理大量的 SonicWall 接入点设备。还可以跟踪物理位置和实时状态。

重要：菊花式链接接入点会影响吞吐量；每次添加接入点都会减少吞吐量。如果吞吐量为：

• 关注问题，则保持吞吐量在可接受水平，对于：• SonicPoint N2，进行菊花式链接的接入点不超过 3 个。

• SonicPoint ACe/ACi，进行菊花式链接的接入点不超过 2 个。

• 非关注问题，则进行菊花式链接的接入点不超过 4 个。

如果将 SonicWave 或 SonicPoint AC 型号和 SonicPoint N 或 N2 型号混合使用，请将 SonicWave 或

SonicPoint AC 型号部署在链接的开头。

注：SonicPoint 双无线（SonicPointNDR 和 SonicPointACe/ACi/N2）已经过 Wi-Fi 联盟的 Wi-Fi 认证，

由“Wi-Fi 认证”徽标指定。

注：使用符合 FCC 新规则的固件制造的 SonicPointACe/ACi/N2 无线接入点仅支持 SonicOS 6.2.5.1 和

更高版本。连接到运行 SonicOS 6.2.5.1 或更高版本的防火墙后，较旧的 SonicPointACe/ACi/N2 接入

点会自动更新为符合 FCC 新规则的固件。



https://www.sonicwall.com/zh-cn/support/Technical-Documentation/Radio-Equipment-Directive-(RED)-Addendum

平面图视图是 SonicOS 中现有接入点管理套件的一个加载项，提供了实际接入点无线部署环境的实时画

面。它提高了您估算新部署的无线覆盖的能力。通过平面图视图，您还可以监控实时状态，配置接入点，删除接入点，甚至可以从统一的上下文菜单中显示射频覆盖范围。

接入点拓扑视图接入点可以通过拓扑视图进行管理，该视图可以呈现从 SonicWall 防火墙到端点的网络拓扑结构。可以

监控接入点实时状态，上下文菜单也可以提供配置选项。

此功能显示所有 WLAN 相关设备之间的逻辑关系，并可以让您在拓扑视图中直接管理设备。打开连接 | 接入点 > 拓扑视图时，可以通过连接防火墙已知的设备并显示它们的关系来显示一张树状图。

拓扑视图管理为管理员提供 WLAN 网络图形展示常用的信息和状态。设备被绘制为树上的节点，并且

可以通过鼠标和鼠标滚轮对树进行缩放。树中显示的信息包括设备类型、IP 地址、连接到的接口、名

称、客户端数量以及一些设备上用于显示状态的模拟 LED 指示灯。工具提示气泡显示设备的详细信息。

入侵检测/保护SonicWall 接入点为射频 (RF) 设备提供保护。RF 技术用于无线网络设备对入侵者有吸引力。接入点使用直

接 RF 监控来检测威胁，而无需中断当前无线或有线网络的运行。这些功能包括：

• 入侵检测服务 - 入侵检测服务 (IDS) 使 SonicWall 网络安全设备可以识别这类常见的非法无线活动并

采取应对措施。IDS 报告防火墙可通过扫描接入点上的 802.11a/b/g/n/ac 无线频段找到的所有接

入点。

• 高级入侵检测和保护 - 高级入侵检测和保护 (IDP) 监控无线电频谱中是否存在未授权接入点（入侵

检测），并自动采取应对措施（入侵保护）。在接入点上启用了高级 IDP 时，其无线将用作专用

IDP 传感器。

• 欺诈设备检测和防护 - 可以在专用的传感器模式下将接入点配置为专注于在 2.4GHz 和 5GHz 频段上

被动或主动进行欺诈设备检测和防护。即使仅使用一个频段，仍然可以扫描这两个频段。可以对欺诈设备进行分析，以报告其是否连接到网络，以及是否受到有线或无线机制阻止。

• 内置无线电扫描日程 - 现在，可以将接入点安排为根据精确的日程安排选项（多一天 24 小时，

一周 7 天）执行入侵检测/保护扫描。为所有接入点型号编辑接入点配置文件时，802.11n 无线选

项卡（或类似选项卡）将提供日程安排选项。

虚拟接入点虚拟接入点 (VAP) 是单个物理接入点的多路复用实例，以使单个接入点显示为多个独立的接入点或 VAP。

对于无线 LAN 客户端，仅存在一个物理接入点时，每个 VAP 都显示为一个独立的物理接入点。

• 虚拟接入点日程支持 - 为便于使用，可以单独启用或禁用每个 VAP 日程。

• 虚拟接入点第 2 层桥接 - 可以将每个 VAP 桥接到 LAN 区域中的对应 VLAN 接口，从而提供更高的灵

活性。

• 虚拟接入点 ACL 支持 - 每个 VAP 均可支持单独的访问控制列表 (ACL)，以提供更有效的身份验证

控制。

• SonicPoint N 双无线上的虚拟接入点群组共享 - 可以将相同的 VAP/VLAN 设置应用于双无线。这样，

您即可将统一的策略用于两个无线以及在网络交换机中共享 VLAN 中继。



接入点 WMM 配置接入点支持 Wi-Fi 多媒体 (WMM)，可在杂项应用程序上提供更好的服务质量体验，包括 Wi-Fi 电话上的

VoIP 和无线网络上的多媒体流量。WMM 是一种基于 IEEE 802.11e 标准的 Wi-Fi 联盟互操作认证。WMM 根据四个访问类别区分流量的优先级：语音、视频、大努力和后台。

每个访问类别都有自己的传输队列。WMM 要求接入点为多个优先级访问类别实施多个队列。为区分流

量类型，接入点将依赖应用程序或防火墙在 IP 数据中提供服务类型 (TOS) 信息。一种方法是通过防火墙服

务和访问规则提供 TOS；另一种方法是通过 VLAN 标签提供该信息。

管理视图上的连接 | 接入点 > Wi-Fi 多媒体页面提供了配置 WMM 设置和映射的方法。

日本和国际接入点支持SonicOS 6.2.2.2 及更高版本对日本和国际 SonicPointACe/ACi/N2 无线接入点均支持。SonicOS 6.5 及更高版

本支持日本和国际 SonicWave 432e/432i/432o 无线接入点。国际接入点是指在美国或日本以外的国家或

地区部署和运行的 SonicPoint 设备。

当国际接入点连接到一台 SonicWall 网络安全设备时，SonicOS 将在接入点 > 基本设置页面上显示注册按

钮。单击注册将打开一个对话框，您可以在其中选择合适的国家或地区代码。

对于注册的国家或地区代码是加拿大以外的国际接入点，可以在连接 | 接入点 > 基本设置页面上的配置

文件中更改此国家或地区代码。

规划和现场勘测在环境中部署 SonicWall 接入点之前，您需要花一些时间了解设备的要求。以下各节将介绍部署的先决条

件，并确定要在现场勘测过程中检查的内容。

主题：

• 前提条件

• 站点调查和规划

• PoE 和 PoE+

前提条件以下是成功部署接入点所需的条件：

• SonicOS 需要网络安全设备的公共互联网访问权限才能下载和更新接入点的固件镜像。如果无法访

问公共互联网，则您需要手动获取和下载接入点固件。

注：WMM 不保证吞吐量。

注：即使您注册接入点时不在该国家或地区内，也请务必选择部署接入点的国家/地区的相应国家

或地区代码。

重要：当接入点注册的是加拿大的国家或地区代码时，只能联系 SonicWall 支持来更改国家或地区

代码。



• 一个或多个 SonicWall 无线接入点。

• 如果您使用的是 PoE/PoE+ 交换机给接入点供电，则它必须为以下项之一：

• 适用于 SonicWave 432e/432i/432o 的符合 802.3at 的以太网交换机

• 适用于 SonicPointACe/ACi/N2 符合 802.3at 的以太网交换机

• 适用于其他接入点型号的符合 802.3af 的以太网交换机

• 您应该获取 SonicWall 网络安全设备以及 PoE/PoE+ 交换机的支持合同。在发现交换机端或防火墙端

存在问题或发布新功能时，该合同将使您能升级到新版本。

• 安装之前，请务必进行全面的现场勘测，以了解准备安装和实施需要完成的操作。

• 检查接线和电缆基础结构，以确认 SonicWall 接入点之间的端到端运行，并检查以太网交换机为

CAT5、CAT5e 还是 CAT6。

• 检查安装点的建筑规范，并与建筑物的设施工作人员合作，因为某些所需安装点可能存在违规问题。

站点调查和规划执行现场勘测和规划 SonicWall 接入点部署是成功实施的关键。在勘测和规划中包含以下准则：

• 对将部署接入点的所有区域进行全面巡视。使用无线频谱扫描仪，并注意任何现有接入点以及它们的广播信道。SonicWall 目前推荐您使用 Fluke 或 AirMagnet 产品进行勘测。也可以尝试使用 NetStumbler/MiniStumbler，这是一款免费产品，只要它适用于您的无线网卡，便可以进行像样的

勘测工作。

• 在勘测过程中获取平面图的蓝图。可以标记接入点的位置和无线单元的范围。请制作多个副本，因为现场勘测结果可能会导致重新进行设计。同时，在墙壁、走廊和电梯的位置处，可能会影响信号。还应注意用户所在的区域和不存在用户的区域。

在现场勘测期间，请注意可能造成干扰的电气设备（微波炉、CAT 扫描设备等）。在安装了大量

电气设备的区域，还需要确定药使用的布线类型。

• 进行三维勘测（左右、前后、上下），因为无线信号会穿过不同的楼层。

• 根据电源和布线确定放置接入点的位置。请记住，不应将接入点放置靠近金属或混凝土墙壁的位置，而应将它们尽量靠近天花板。

• 使用无线扫描工具检查信号强度和噪音。信号与噪声比应至少为 10 dB（11 Mbps 的小值要求），

但首选 20 dB。这两个因素都会影响服务的质量。

• 可能需要重新放置一些接入点并重新测试，具体取决于勘测结果。

• 保存设置、日志，并记录位置以备将来参考。您将需要此信息来构建平面图视图。

• 使用较旧的 SonicPoint 型号时，您可能会发现特定区域或所有区域因存在重叠的 802.11b/g 信道而

饱和。如果发生这种情况，您可能希望使用 802.11a 无线部署接入点。尽管 802.11a 的范围有限且

这些设备不允许添加外部天线，但这仍然会提供更大的广播信道阵列。

• 注意不要将无线信号发送到您无法控制的区域；检查人们能过滤信号并相应地调整接入点的区域。

• 为轻度使用，可计划为每个接入点设置 15-20 个用户。对商业使用，应计划为每个接入点设置 5-10 个用户。

• 针对漫游用户的计划 - 这将需要调整每个接入点上的电源，以使信号重叠程度小。在重叠程度较

大的区域中，如果多个接入点广播同一个 SSID，可能会导致客户端连接问题持续存在。

• 在不使用时，可以使用 SonicOS 中的安排功能来关闭接入点。SonicWall 推荐在非营业时间（例如，

夜间和周末）不要操作接入点。



PoE 和 PoE+规划时，务必注释电缆从接入点安装的位置开始的长度，必须小于等于 100 米。如果您未使用 PoE 交换

机，还需要考虑接入点的电源适配器或 PoE 馈电器。确保不会制造电器火灾危险。

较长的电缆会产生功率损耗；接入点和 PoE 交换机之间相距 100 米时可能会产生高达 16% 功率/信号衰减。

因此，PoE 交换机需要向端口提供更多的电量，以保持 SonicPoint 正常运行。

SonicPointACe/ACi/N2 为 SonicPointACe/ACi/N2 提供以太网供电/以太网供电+ (PoE/PoE+) 的任何交换机都必须完全符合 802.3at 的

要求。不要在不符合要求的交换机上运行 SonicPoint，因为 SonicWall 不支持。

SonicPoint AC（类型 1）可设置为 0、1、2 或 3 PD 级。SonicPoint AC（类型 2）设置为 4 PD 级。小和大

功率输出值如下：

• 类型 1，0 PD 级使用小 0.5 W 到大 15.4 W

• 类型 1，1 PD 级使用小 0.5 W 到大 4.0 W

• 类型 1，2 PD 级使用小 4.0 W 到大 7.0 W

• 类型 1，3 PD 级使用小 7.0 W 到大 15.4 W

• 类型 2，4 PD 级使用小 15.4 W 到大 30 W

确保每个 SonicPointACe/ACi/N2 保证获得 25 W。

需要特别注意，确保所有 PoE/PoE+ 交换机可为其每个 PoE 端口提供少 25 W 的功率。例如，支持 SonicPointACe/ACi/N2 的端口需要 25 W 的功率。如果交换机不能保证每个端口 25 W，则必须添加外部冗

余电源。您将需要紧密配合 PoE/PoE+ 交换机的制造商，以确保为交换机提供充足的电量，从而使所有

PoE/PoE+ 设备都能正常运行。

旧版和 SonicPoint N/Ni/Ne/NDR 旧版 SonicPoint 和 SonicPoint N/Ni/Ne/NDR 设置为 0 PD 级，它使用小 0.44W 到大 12.95W 功率。

为旧版 SonicPoint 和 SonicPoint N/Ni/Ne/NDR 提供 PoE 的任何交换机都必须完全符合 802.3af 的要求。不要在

不符合要求的交换机上运行 SonicPoint，因为 SonicWall 不支持。

关闭 pre-802.3af-spec 检测，否则可能会导致连接问题。

确保每个端口能保证获得 10 W，并将 PoE 优先级设置为“严重”或“高”。

重要：关闭 pre-802.3at-spec 检测，否则可能会导致连接问题。

重要：级别不匹配将会导致握手混乱，并会重启 SonicPoint 接入点。



接入点部署的最佳实践本节与 SonicWall 无线接入点的设计、安装、部署和配置问题相关的 SonicWall 建议和佳实践。通过所

涵盖的信息，您可以在任何规模的环境中正确部署接入点。本节还包括成功操作和部署所需的相关外部问题。

主题：

• 基础结构中的交换机

• 接线注意事项

• 信道

• 生成树

• VTP 和 GVRP 中继协议

• 端口聚合

• 端口屏蔽

• 广播限制/广播风暴

• 速度和双工

• SonicPoint 自动设置

基础结构中的交换机大多数交换机都可以在 SonicWall 基础结构中使用。但是，可能需要一些自定义设置或编程来确保佳

性能。

测试过的交换机以下交换机已使用 SonicWall 接入点进行测试。请注意为每个交换机提供的指导。

• 思科 - 大多数思科交换机运行正常；但部分型号存在一些问题。

• SonicWall 不推荐使用 Cisco Express 交换机产品系列来部署 SonicWall 接入点。

• SonicWall 发现 SonicPointACe/ACi/N2 以太网与 Cisco 交换机 2960X-PS-l 存在高能效以太网兼容

问题。在 SonicPoint 连接的端口上禁用 EEE。如需更多详细信息，请参阅以下思科文档： http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960xr/software/15-0_2_EX1/int_hw_components/configuration_guide/b_int_152ex1_2960-xr_cg/b_int_152ex1_2960-xr_cg_chapter_01001.pdf。

• D-Link PoE 交换机 - 关闭所有其专有广播控制和风暴控制机制，因为它们会干扰接入点中的配置和

获取机制。

• Dell - 确保在接入点端口上配置 STP 进行快速启动。

• Extreme - 确保在接入点端口上配置 STP 进行快速启动。

• Foundry - 确保在接入点端口上配置 STP 进行快速启动。

重要：对本节中引用的任何第三方以太网交换机，SonicWall 不提供任何直接的技术支持。如果交

换机制造商发布可能会使此处所含的信息无效的新模型或固件，则材料也会相应的变更，而不会告知 SonicWall。



http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960xr/software/15-0_2_EX1/int_hw_components/configuration_guide/b_int_152ex1_2960-xr_cg/b_int_152ex1_2960-xr_cg_chapter_01001.pdf



• HP ProCurve - 确保在接入点端口上配置 STP 进行快速启动。

• Netgear - SonicWall 不推荐您使用 Netgear PoE 交换机部署 SonicWall 接入点

交换机程序建议以下各节提供了 SonicWall 基础结构中交换机上使用的一些示例交换机命令。如需详细信息，请参阅相

应的供应商示例。

Dell 交换机配置示例（每个接口）

• spanning-tree portfast

• no back-pressure

• no channel-group

• duplex half（注：仅当发现 FCS 错误时使用）

• speed 100

• no flowcontrol

• no gvrp enable

• no lldp enable

• mdix on

• mdix auto

• no port storm-control broadcast enable

D-Link 交换机配置示例

D-Link PoE 交换机没有命令行接口，因此您需要使用其 web 接口。

在将 SonicWall 接入点添加到交换机中之前，请禁用交换机上的跨树、广播风暴控制、LLDP 和保护引

擎。这些选项可能会影响接入点的成功设置、配置和运行。

HP ProCurve 交换机命令示例（每个接口）

• name ‘link to SonicPoint X’（或 SonicWave X）

• no lacp

• no cdp

• power critical

• no power-pre-std-detect（注：全局命令）

• speed-duplex 100-half（注：仅当发现 FCS 错误时使用）

• spanning-tree xx admin-edge-port（注：将 xx 替换为端口号）

• mdix-mode mdix

注：如果在您的环境中使用了组播，检查 D-Link 是否为建议的固件版本。



接线注意事项与设施组织合作，确保为实施考虑了这些接线指南。

• 确保接线为 CAT5、CAT5e 或 CAT6 端到端。

• 对于 SonicPoint AC 设备，由于 802.3af 和 802.3at 中的信号限制，PoE 交换机和接入点之间的以太网

电缆长度不应超过 100 米。

• 随着电缆长度的增加，您将需要为 PoE 功率损耗制定计划；此损耗高可达 16%。电缆线越长，端

口需要的电量越多。

信道SonicWall 接入点的默认设置为自动信道。设置此项时，接入点会在启动时执行扫描，以检查其他无线

设备是否正在传输。然后，它会寻找一个未使用的信道用于传输。在更大规模的部署中，此过程可能会导致发生问题，因此需要考虑为每个接入点分配固定的信道。

生成树当以太网端口加电激活时，默认情况下大多数交换机会激活端口上的跨树协议，以确定网络拓扑中是否存在循环。在 50-60 秒的检测时间内，端口不会通过任何流量 - 已知此功能会导致发生与 SonicWall 接入

点相关的问题。

如果您不需要跨树协议，请在交换机上全局禁用它或在连接到 SonicWall 接入点的每个端口上将其禁

用。如果无法禁用，请联系交换机制造商，以确定他们是否允许快速跨树检测，此操作会在很短时间内运行跨树，因此不会导致连接问题。请参考 Dell 交换机配置示例（每个接口），了解关于该方法的规划

样本。

VTP 和 GVRP 中继协议关闭直接连接到接入点的端口上的这些中继协议，因为已知它们会导致发生与 SonicPoint 相关的问题 - 尤其是高端 Cisco Catalyst 系列交换机。

端口聚合默认情况下，很多交换机都打开了端口聚合，这会导致很多问题。应该在直接连接到 SonicWall 接入点的

端口上停用端口聚合。也应在连接到 SonicWall 接入点的端口上关闭 PAGP/快速 EtherChannel/EtherChannel 和 LACP。

端口屏蔽通过将 SonicWall 接入点配置为 PortShield 群组的一个成员，可以对其进行端口屏蔽。如果将接入点配置

为 X 系列交换机，则必须将所属的 PortShield 群组配置为专用链接的端口。

提示：SonicPoint 的图表及其 MAC 地址有助于避免重叠。推荐在平面布置图上标记 SonicPoint 的位

置和 MAC 地址。



广播限制/广播风暴“广播限制/广播风暴”特性是一些交换机上存在的问题，尤其是 D-Link。如果可能，请禁用每个端口上的

该特性，否额，请全局禁用。

速度和双工速度和双工选项有时可能会导致发生与 SonicWall 接入点相关的问题。目前，在 SonicWall 接入点上，自

动协商是速度和双工的唯一选项。如需解决或避免这些问题，请考虑以下事项：

• 锁定交换机上的速度和双工，然后重启接入点以帮助解决连接问题。

• 检查端口是否存在错误，因为这是确定是否存在双工问题的佳方式（端口的吞吐量也会减少）。

SonicPoint 自动设置

主题：

• 自动设置 (SDP & SSPP)

• 启用自动设置

自动设置 (SDP & SSPP)SonicWall 发现协议 (SDP) 是一个二层协议，由 SonicPoint 和运行 SonicOS 增强版的设备使用。SDP 是通过

以下消息自动设置 SonicPoint 设备的基础：

• 广告 - 无对等设备的 SonicPoint 将定期地在启动时发布公告或通过广播进行广告。广告将包含接收

SonicOS 设备所使用的信息，用于确定 SonicPoint 的状态。之后 SonicOS 设备将报告所有对等 SonicPoint 的状态，并根据需要进行配置。

• 发现 - SonicOS 设备将定期发送发现请求广播，以得到来自 L2 连接的 SonicPoint 设备的响应。

• 配置指令 - 自 SonicOS 设备到特定 SonicPoint 的单播信息，用于建立设置的加密密钥，并为进入配

置模式设置参数。

• 配置确认 - 自 SonicPoint 到其对等 SonicOS 设备的单播消息，用于确认配置指令。

• 保持连接 - 自 SonicPoint 到其对等 SonicOS 设备的单播消息，用于验证 SonicPoint 的状态。

如果通过 SDP 交换，SonicOS 设备确定 SonicPoint 需要设置或配置更新（例如计算校验和不匹配或当固件更

新可用时），配置指令将参与 3DES 加密的、基于可靠 TCP 的 SonicWall 简单设置协议 (SSPP) 信道。然后

SonicOS 设备会将更新通过该信道发送给 SonicPoint，之后 SonicPoint 将使用更新的配置重启。SonicPoint 将

提供状态信息，在整个发现和设置过程中可在 SonicOS 设备上查看该信息。

启用自动设置可启用 SonicPoint 自动设置以自动设置以下无线 SonicPoint/SonicWave 设置配置文件：

• SonicPoint

• SonicPoint N



• SonicPointNDR

• SonicPoint AC

• SonicWave

无线 SonicPoint 的初始配置从 SonicPoint 配置文件设置，它与无线 LAN 管理区域相连。设置无线 SonicPoint 后，配置文件将保留未与任何 SonicPoint 相关联的离线配置模板。因此修改配置文件不会自动对 SonicPoint 进行重新设置。

在引入 SonicPoint 自动配置之前，管理员必须手动删除所有 SonicPoint，然后将新 SonicPoint 同步到配置

文件，此操作需要很长时间才能完成。为简化配置并缩减管理开销，SonicPoint 引入了自动设置功能。

网络 > 区域 > 配置 > 无线配置对话框中提供了用于为每个 SonicPoint 设置配置文件启用自动配置的复选

框。默认情况下未选中 SonicPoint 设置配置文件的复选框，不启用自动设置。

如果选中了设置配置文件的复选框且该配置文件已更改，则链接至该配置文件的所有接入点将进行重新配置并重启到新的运行状态。

SonicPoint 远程 MAC 访问控制

您可以强制在远程 Radius 服务器实施基于 MAC 身份验证策略的无线电无线访问控制。对于过程远程

MAC 地址访问控制设置。

接入点许可SonicWave 接入点的许可与 SonicPoint 接入点不同。

主题：

• SonicWave 许可

• 许可状态

• 手动许可证更新

• 自动许可证更新

SonicWave 许可从 SonicOS 6.5.0 版本开始，SonicWall 需要为每个单独的 SonicWave 单元进行额外许可。此许可证允许您从

SonicWall 防火墙管理 SonicWave。初，SonicWave 单元捆绑了 6 个月的管理许可证。

SonicWall 防火墙可识别来自 SonicWall 许可证管理器 (LM) 的许可状态，并为底层 SonicWave 接入点启用

管理功能。当许可证将在 30 天内到期时，防火墙会生成通知，以提醒系统管理员续订许可证。

重要：您不能在启用 IEEE 802.11i EAP 的同时启用远程 MAC 地址访问控制选项。如果尝试在启用

IEEE 802.11i EAP 的同时启用远程 MAC 地址访问控制选项，将显示以下错误消息：

Remote MAC address access control can not be set when IEEE 802.11i EAP is enabled.

注：虚拟接入点也支持远程 MAC 访问控制。请参阅远程 MAC 地址访问控制设置。



如果 SonicWave 许可证过期，但您未续订，则 SonicWall 防火墙会执行 Out-Of-Service 操作以停用正在管

理的 SonicWave，并且 SonicWave 接入点将停止用作桥接流量的接入点。当您通过 MySonicWall (MSM) 支

付许可证续订费用后，许可证管理器将 SonicWave 许可证展期，因此防火墙可以获取新的许可证并执行

Back-In-Service 操作以激活 SonicWave 接入点。

只有在为 SonicWave 接入点保存了有效的许可证时，SonicWave 才能像普通接入点那样工作。否则它将

被停用，直到新的有效许可证展期。

许可状态

验证 SonicWave 许可状态的步骤如下：

1 转至连接 | 接入点 > 基本设置。

2 向下滚动到 SonicPoint/SonicWave 对象表，然后检查接入点的状态。

SonicWave 接入点可以具有以下状态之一：

• 绿色的操作表示接入点已获得许可。

• 红色的未许可表示不再对接入点进行许可。

• 过期表示许可证将在 30 天或更短时间内过期。

手动许可证更新当防火墙无法访问许可证管理器以刷新 SonicWave 许可证时，您仍然可以使用 GMS 或 SonicOS 管理界面

手动配置和更新许可证。

1 在管理视图中，转至连接 | 接入点 > 基本设置。

2 向下滚动到 SonicPoint/SonicWave 对象。

3 单击需要手动续订的 SonicWave 的“配置”列中的解锁图标。

注：在防火墙可能无法访问许可证管理器的隔离环境中，管理员可以将 SonicWave 许可证密钥组

输入防火墙，以修改 SonicWave 许可状态。只要 SonicWave 持有有效的许可证，就可以由接管许可

证代理的防火墙对其进行管理，将 SonicWave 许可证与许可证管理器同步。



4 在密钥字段中输入许可证密钥，然后单击确定。

防火墙将启动进程以更新 SonicWave 接入点上的新许可证密钥。SonicWave 接入点会保存更新后的

许可证密钥，调出无线接口，恢复流量桥接并打开控制台访问。

自动许可证更新防火墙会定期自动查询 SonicWave 接入点。如果 SonicWave 接入点已更新，则防火墙会将新许可证过期

时间记录在对等列表中，并更新 SonicWave 接入点上的新许可证密钥组，然后相应地控制其功能。

管理 SonicPoint 之前在 SonicOS 管理界面中管理 SonicPoint 之前，您必须先完成以下操作：

1 检查是否已将 SonicPoint 镜像下载到您的 SonicWall 安全设备中。

2 配置接入点设置配置文件。

3 配置无线区域。

4 将配置文件分配给无线区域。该步骤为可选步骤。如果您未为某区域分配默认的配置文件，则该区域中的 SonicPoint 将使用列表中的第一个配置文件。

5 为无线区域分配接口。

6 将接入点连接到无线区域中的接口。

7 测试接入点。

更新 SonicPoint 固件并非所有 SonicOS 固件都包含 SonicPoint/SonicWave 固件镜像。检查连接 | 接入点 > 基本设置页面的顶

部，并查找下载链接。

如果您的 SonicWall 设备有互联网连接，它将从连接 SonicPoint 设备的防火墙服务器下载正确的 SonicPoint 镜像版本。

如果您的 SonicWall 设备无互联网访问权限或只能通过代理服务器访问，则必须手动更新 SonicPoint 图像：

手动更新 SonicPoint 固件的步骤如下：

1 从 http://www.mysonicwall.com 将 SonicPoint 镜像下载到可以访问互联网的本地系统。

您可以从以下其中一个位置下载 SonicPoint 镜像：



http://www.mysonicwall.com

• 在您可以下载 SonicOS 固件的页面上

• 在下载中心页面上，选择类型下拉菜单中的 SonicPoint。

2 将 SonicPoint 镜像下载到您的 SonicWall 设备可访问的本地 Web 服务器上。

您可以更改 SonicPoint 镜像的文件名，但应保留扩展名的完整性（例如：.bin.sig）。

3 在 SonicOS 设备的 SonicWall 用户界面上，单击导航窗格中的系统 > 管理。

4 在系统 > 管理页面中下载 URL 部分的下面，选择要下载的 SonicPoint 镜像的相应复选框（可以下载

多个镜像）：

• 手动指定 SonicPoint-N 镜像 URL (http://)

• 手动指定 SonicPoint-Ni/Ne 镜像 URL (http://)

• 手动指定 SonicPoint-NDR 镜像 URL (http://)

• 手动指定 SonicPoint-ACe/ACi/N2 镜像 URL (http://)

• 手动指定 SonicWave 镜像 URL (http://)

5 在字段中，输入您本地 Web 服务器上的 SonicPoint 镜像文件的 URL。

6 单击接受。

重置 SonicPointSonicPoint 和 SonicWave 432 e/i 在设备后部靠近控制台端口的小孔中有一个重置开关。您随时可以使用

拉直的曲别针、牙签或其他直的小物体按下重置开关来重置接入点。

重置按钮用于将正在运行的接入点的模式配置重置为出厂默认值。而不会将配置重置为其他模式。根据接入点的运行模式以及您按下重置按钮的时间长度，接入点将以下列方式之一运行：

• 按下重置按钮的时间至少为三秒，但少于八秒，则接入点将在受管模式下运行的，以便将受管模式配置重置为出厂默认值，然后重启接入点。

• 按下重置按钮的时间超过八秒，则接入点将在受管模式下运行，以便将受管模式配置重置为出厂默认值，然后在安全模式下重启接入点。

• 按下重置按钮的时间至少为三秒，这会将配置重置为出厂默认值，并重启接入点。

接入点和 RADIUS 计费

RADIUS（远程身份验证拨入用户服务）是一项网络协议，它提供了集中式身份验证、授权和计费。SonicOS使用 RADIUS 协议将帐户信息从 NAS（网络接入服务器）（即，接入点）传输到 RADIUS 计费服务器。用

户可以利用帐户信息在 RADIUS 计费服务器侧应用各种计费规则。计费信息可以基于会话持续时间或为

每个用户传输的流量负载。

整体身份验证、授权和计费过程的工作方式如下所示：

注：输入 SonicPoint 镜像文件的 URL 时，请勿在字段中包含 http://。

注：SonicWave 432o 没有重置按钮。

注：如需使用 RADIUS 对用户进行身份验证，请参阅 Radius 服务器设置。



1 用户关联到已连接至 SonicWall 防火墙的接入点。

2 将使用指定的方法执行身份验证。

3 IP 子网/VLAN 分配已启用。

4 接入点会将 RADIUS 帐户请求启动消息发送到计费服务器。

5 将根据需要执行重新验证。

6 根据重新身份验证的结果，接入点会将临时帐户更新发送到计费服务器。

7 用户已从接入点断开连接。

接入点会将 RADIUS 帐户请求停止消息发送到计费服务器。

设置 Radius 计费服务器

设置 Radius 计费服务器的步骤如下：

1 将 Radius 客户端条目添加到文件 /etc/freeradius/clients.conf 中：

Client <IP 地址 > { Secret = “<密码 >” }

其中 <IP 地址> 是 RADIUS 服务器的 IP 地址，而 <密码> 是服务器密码。

2 将用户信息添加到文件 /etc/freeradius/users 中：

用户名 Cleartext-Password := “<密码 >”其中用户名是用户的 ID，而 <密码> 应替换为用户的密码。

3 如需启动 freeradius，请从命令行

sudo feeradius -X 运行上述命令。

注：IP 地址是可以从中访问 RADIUS 服务器的 SonicWall GW 的 WAN IP。



14

接入点公告板

对于 SonicWave 和 SonicPoint AC 设备，连接 | 无线接入点 > 公告板使用图表和图形对包含在基础结构中

的接入点的相关数据实现可视化。可以显示实时状态和历史状态，以及每个客户端的速率、操作系统类型和主机名。它还会显示 SonicWave 和 SonicPoint 设备的状态，并提供有助于监控和问题诊断的信息。

公告板分为以下几部分：

• 功能限制

• 接入点快照

• 实时带宽


接入点公告板133

• 客户端报告

• 实时客户端监控

功能限制当设备受 SonicWall 防火墙管理时，将显示 SonicWave 和 SonicPoint AC 设备状态。防火墙和接入点都需要正

常工作，否则无法交换有效数据。SonicWave 接入点始终保留公告板数据的七天历史记录。但是，由于

内存限制，如果 SonicPoint AC 设备重启，则它们将丢失所有历史数据。

接入点快照两张图显示在连接 | 接入点 > 公告板的接入点快照部分中：接入点在线/离线和客户端关联。您可以在

右上角指定这些图表的刷新间隔。从下拉菜单中选择分钟数；选项介于 5 到 10 分钟之间。

接入点联机/脱机接入点在线/离线图显示了基础结构中接入点的快速状态。数据呈现为饼图；在线为绿色，而离线为红

色。在图表底部，还列出了接入点的数量和状态。

客户端关联客户端关联图表显示配置中与每个接入点关联的客户端数量。在以下示例中，您可以看到配置中有两个接入点：SonicPoint N2 和 SonicPoint N。在生成此快照时，没有客户端通过这些接入点访问网络。如果

用户已连接，则用户数将以条形图形式显示。



实时带宽显示所选接入点正在使用的带宽的图形将显示在连接 | 接入点 > 公告板的实时带宽部分中。

如需选择刷新间隔，请从图表标题旁边的下拉菜单中选择间隔期间。选项包括：1 分钟、2 分钟、5 分

钟、10 分钟和 60 分钟。

如需更改要显示的接入点，请转至接入点下拉菜单，并选择其他设备。此图表将使用该接入点的数据进行更新。

客户端报告两张图显示在连接 | 接入点 > 公告板的客户端报告部分中：操作系统类型和排在前列的客户端。

注：仅 SonicPoint ACe/ACi/N2 和 SonicWave 设备支持实时带宽功能。

注：仅 SonicPoint ACe/ACi/N2 和 SonicWave 设备支持实时带宽功能。



OS 类型

排在前列的客户端排在前列的客户端图表显示使用带宽多的客户端。通过转至前字段并从下拉菜单中选择一个数字，您可以显示带宽的前 5 位、前 10 位、前 15 位或前 20 位用户。对于排在前列的用户，将显示传输和接收

数据的值。

实时客户端监控显示客户端连接详细信息的图显示在连接 | 接入点 > 公告板的实时客户端监控部分中。这为通过接入点

连接的每个用户提供了详细信息。您可以看到 MAC 地址、主机名、操作系统类型、正在接收的流量 (Rx) 以及正在传输的流量 (Tx)。



15

接入点基本设置

配置无线接入点的有效方法是让 SonicOS 防火墙自动检测接入点并使用其中一个默认配置文件。SonicOS 提供了四个默认配置文件，每个配置文件对应于每一代 SonicWall 接入点：SonicWave 432e/432i/432o、

SonicPointACe/ACi/N2、SonicPoint NDR/Ne/Ni 和 SonicPoint N。这些接入点可以按原样使用，也可以进行

自定义以满足您的配置。还可以根据您使用的 SonicWall 接入点的类型构建新的配置文件。接入点配置

文件的基本设置是在管理视图上的连接 | 接入点 > 基本设置中配置的。

主题：

• 设置概述

• 创建/修改设置配置文件

• 管理接入点

设置概述SonicPoint/SonicWave 设置配置文件提供了一种可扩展的高度自动化方法，该方法可配置和设置分布式

无线体系结构中的多个接入点。SonicPoint/SonicWave 配置文件定义包含可在 SonicWall 接入点上配置的所

有设置，如 2.4GHz 和 5GHz 无线、SSID 及操作信道的无线设置。

定义接入点配置文件后，即可将其应用到无线区域中。每个无线区域只能配置一个接入点配置文件。任何配置文件都可应用到任意数量的区域中。将接入点连接到区域时，系统会使用分配给该区域的配置文件自动对其进行配置。

首次连接接入点设备并启动后，它具有出厂默认配置（IP 地址：192.168.1.20，用户名：管理员密码：

密码。）初始化时，该设备将尝试查找与其对等的 SonicOS 设备。当 SonicOS 设备启动时，它还会通过

SonicWall 发现协议搜索接入点。如果接入点和一个对等 SonicOS 设备发现彼此，则它们将通过加密交换

进行通讯，在此交换过程中分配给相关无线区域的配置文件用于自动配置新添加的接入点设备。

在配置过程中，SonicOS 将为所发现的接入点分配唯一名称，并记录其 MAC 地址和接口以及发现时所在

的区域。在配置文件中，它还可以自动分配一个 IP 地址，以便接入点可以与身份验证服务器进行通讯

以获取 WPA-EAP 支持。然后 SonicOS 将使用与相关区域关联的配置文件配置 2.4GHz 和 5GHz 无线设置。

请注意，对配置文件的更改不会影响已配置并处于运行状态的设备。对运行的接入点设备所执行的配置更改可通过以下两种方式进行：

• 通过手动配置更改

要进行单项或小部分更改时，特别是在单独的接入点需要与分配给该区域的配置文件不同的设置时，此选项是佳选项。

• 通过取消配置

删除接入点可有效地对设备取消配置。这将清除其配置，并使其处于它将与其对等 SonicOS 设备

自动重新参与配置过程的一种状态。当某区域的配置文件已更新或更改，且该更改针对传播而设置，则该技术将非常有用。可将其用于更新接入点上的固件，或简单地自动更新处于受控形式的多个接入点设备，而不是同时更改所有对等的接入点，否则将会导致服务中断。


接入点基本设置137

创建/修改设置配置文件在管理视图的连接 | 接入点 > 基本设置中，您可以配置和管理设置配置文件以及各个对象。您可以添加

任意数量的配置文件。

转至连接 | 接入点 > 基本设置页面。列出了四个默认的 SonicOS 配置文件以及在 SonicPoint/SonicWave 设

置配置文件部分下开发的任何自定义配置文件。如需修改任何默认设置配置文件，请单击“编辑”图标，

并进行适当的更改。

“添加配置文件”选项包含多个窗口，其中类似的设置分组在一起。对这些过程进行了分组，以匹配这些

窗口。

主题：

• 设置配置文件的常规设置

• 设置配置文件的无线 0/1 基本设置

• 设置配置文件的无线 0/1 高级设置：

• 传感器

• 3G/4G/LTE WWAN

• 产品特定配置注释

访问新的设置配置文件的步骤如下：

1 在管理管理视图中，转至连接 | 接入点 > 基本设置。

2 在添加新配置文件字段的 SonicPoint/SonicWave 设置配置文件部分下，选择要构建的配置文件类型。

对于此示例，我们选择了 SonicWave Profile。

注：SonicPoint AC 是指 SonicPoint ACe/ACi/N2；SonicPoint 是指所有 SonicPoint 设备。SonicWave 是

指 SonicWave 432e/i/o。运行 SonicOS 6.2.2 及更高版本、SonicOS 6.3 及更高版本或 SonicOS 6.4 及更

高版本的设备支持 SonicPoint AC。SonicOS 6.5 及更高版本支持 SonicWave 设备。

重要：由于创建或修改 SonicPoint/SonicWave 设置配置文件在所有接入点类型中都非常相似，因此

本节将回顾为 SonicWave 设备添加新配置文件的方法。稍后将在本节中详细说明常规过程中的重

大差异。

注：SonicWall 提供的设置配置文件无法删除，因此相应的删除图标将显示为灰色而不是处于活动

状态。



注：如需修改现有配置文件，请单击要更新的配置文件的编辑图标。



设置配置文件的常规设置

设置常规群组的选项的步骤如下：

1 设置 SonicWave 设置。

选项操作

启用 SonicWave 选中后，启用 SonicWave 接入点。已选中默认值。

保留设置选中后，将保留自定义内容，直到下次重启设备。“编辑”按钮

已启用，因此您可以自定义应保留的设置

启用 RF 监视选中后，将启用无线 RF 威胁、实时监控和管理。

启用 LED 选中后，将打开 SonicWave 指示灯。如果不选中（此为默认值），

则 LED 指示灯不亮。

启用低功耗模式选中后，由于电源不是标准 802.3at PoE，因此允许 SonicWave 以

低功耗模式运行。

名称前在所提供的字段中输入用于名称的前。

国家或地区代码从下拉菜单中，选择部署接入点的国家或地区的国家或地区代码。

EAPOL 版本从下拉菜单中选择 EAPoL 版本。请注意，V2 提供了更高的安

全性。

频段转向模式从下拉菜单中选择频段转向模式。选项包括：禁用、自动、首选 5GHz 或强制 5GHz。



2 设置虚拟接入点设置：

a 对于无线 0 虚拟接入点群组，从下拉菜单中选择一个虚拟接入点对象群组。

b 对于无线 1 虚拟接入点群组，从下拉菜单中选择一个虚拟接入点对象群组。

3 向下滚动，以查看其他常规设置。

4 设置动态 VLAN ID 分配。

5 配置 SSLVPN 隧道设置：

a 在所提供的字段中输入 SSLVPN 服务器名称或 IP 地址。

b 在所提供的字段中输入 SSLVPN 服务器的用户名。

c 输入用于在 SSLVPN 服务器上进行身份验证的密码。

d 在所提供的字段中输入域名。

e 选中复选框以启用自动重新连接。

f 如果要配置第 3 层 SSLVPN，请访问指向连接 | SSL VPN > 客户端设置的链接，然后定义适当的

设置。

6 设置管理员设置：

a 输入网络管理员的用户名。

b 输入网络管理员的密码。

注：如需启用“动态 VLAN ID 分配”下的选项，您需要在“系统设置 | 网络”下创建 WLAN 区域和 VLAN 接口。



设置配置文件的无线 0/1 基本设置不同类型的接入点之间无线 0 和无线 1 的基本设置相似，仅存在少许差异。这些差异将在步骤中进行

说明。

无线电设置

配置无线 0/无线 1 基本设置的步骤如下：

1 选择无线 0 基本或无线 1 基本选项。

2 选中启用无线可自动在使用此配置文件设置的所有接入点上启用无线频段。默认情况下已选中该选项。

3 从启用无线下拉菜单中，为开启无线的时间选择日程或创建新的日程。默认设置为始终打开。

4 从模式下拉菜单中选择首选的无线模式。

无线模式选项

无线 0 基本无线 1 基本定义

5GHz 802.11n 单一模式 2.4GHz 802.11n 单一模式仅允许 802.11n 客户端访问您的无线网

络。802.11a/b/g 客户端不能在此受限的

无线模式下连接。

5GHz 802.11n/a 混合模式 2.4GHz 802.11n/g/b 混合模式

（SonicPoint AC/NDR 默认值）

同时支持 802.11a 和 802.11n（无线 0）

或 802.11b、802.11g 和 802.11n（无线 1）

客户端。如果无线网络包含多种类型的客户端，请选择该模式。

5GHz 802.11a 单一模式

（SonicPoint NDR 默认值）

如果仅 802.11a 客户端访问您的无线网

络，则可选择该模式。

2.4GHz 802.11g 单一模式如果您的无线网络仅包含 802.11g 客户

端，您可以选择该模式，以提高 802.11g 的性能。如果想要避免 802.11b 客户端

关联，也可以选择该模式。



5 在 SSID 字段中，为使用此配置文件的每个接入点的 SSID 输入可识别的字符串。这是将在可用无线

连接的客户端列表中出现的名称。

6 从无线频段下拉菜单中选择无线频段：

• 自动 - 使设备可以根据信号的强度和完整性自动检测和设置无线操作的佳信道。如果选择

为 1，则主要信道和次要信道应设置为自动。这是默认设置。

• 标准 - 20MHz 信道 - 指定无线 0 将仅使用标准 20MHz 信道。

• 带宽 - 40MHz 信道 - 为无线频段选择了除 5GHz 802.11a 单一模式之外的任何模式时可用。

它指定无线 0 仅使用带宽 40MHz 的信道。

• 带宽 - 80MHz 信道 - 仅当为无线频段选择了 5GHz 802.11ac/n/a 混合模式或 5GHz 802.11ac 单

一模式时，指定无线 0 仅使用宽 80MHz 信道。（当模式为 5GHz 802.11n 单一模式、5GHz 802.11n/a 混合模式或 5GHz 802.11a 单一模式时不可用。）

7 根据所选模式和无线频段选项选择一个或多个信道：

5 GHz 802.11ac/n/a 混合模式

（SonicWave 和 SonicPoint AC 默认值）

同时支持 802.11ac、802.11a 和 802.11n （无线 0）客户端。如果无线网络包含

多种类型的客户端，请选择该模式。

5GHz 802.11ac 单一模式仅允许 802.11ac 客户端访问您的无线网

络。其他客户端不能在此受限的无线模式下连接。

提示：仅限 802.11n 客户端：如果希望获得佳的吞吐量，SonicWall 推荐使用 802.11n 单一

无线模式。对多个无线客户端身份验证的兼容性，可使用 802.11n/b/g 混合模式无线模式。

为了让 802.11ac 客户端实现佳吞吐量，SonicWall 推荐使用 802.11ac 单一无线模式。对多

个无线客户端身份验证的兼容性，可使用 802.11ac/n/a 混合模式无线模式。

注：可用的 802.11n 无线 0/1 设置选项随所选择的模式而变化。如果无线电配置所针对的

模式：

• 支持 802.11n，则显示下列选项：无线波段、主要信道、次要信道、启用短期保护间隔以及启用聚合。

• 不支持 802.11n，此时仅显示信道选项。

提示：如果您的组织中所有 SonicPoint AC 或 NDR 共享同一 SSID，则从一个 SonicPoint AC/NDR 漫游到另一个时，用户可更轻松地维护他们的无线连接。

注：当模式 = 5GHz 802.11a 单一模式时，“无线频段”选项不可用。

模式无线频段信道

5GHz 802.11n 单一模式自动主要信道和次要信道字段默认为自动。

标准 - 20 MHz 信道选择自动或标准信道下拉菜单中指定的无线信道之一。

带宽 - 40 MHz 信道选择自动或主要信道中的无线信道之一。次要信道自动定义为自动。

无线模式选项

无线 0 基本无线 1 基本定义



8 选中启用短期保护间隔框。这使您可以通过缩短保护间隔来提高无线数据速率。为避免兼容性问题，请确保无线客户端可以支持此选项。（选项不适用于模式 = 5HGz 802.11ac 单一模式。）

9 选中启用聚合框。这使您可以通过在一次传输中发送多个数据帧来增加无线吞吐量。为避免兼容性问题，请确保无线客户端可以支持此选项。（选项不适用于模式 = 5HGz 802.11ac 单一模式。）

无线安全

5GHz 802.11n/a 混合模式自动主要信道和次要信道字段默认为自动。

标准 - 20 MHz 信道选择自动或标准信道下拉菜单中指定的无线信道之一。

带宽 - 40 MHz 信道选择自动或主要信道中的无线信道之一。次要信道自动定义为自动。

5GHz 802.11a 单一模式（无选项）选择自动或信道下拉菜单中指定的无线信道之一。

5 GHz 802.11ac/n/a 混合模式

自动信道字段默认为自动。

标准 - 20 MHz 信道选择自动或信道下拉菜单中指定的无线信道之一。

带宽 - 40 MHz 信道选择自动或信道字段中的无线信道之一。

宽频 - 80 MHz 信道选择自动或信道字段中的无线信道之一。

5GHz 802.11ac 单一模式自动信道字段默认为自动。

标准 - 20 MHz 信道选择自动或信道下拉菜单中指定的无线信道之一。

带宽 - 40 MHz 信道选择自动或信道字段中的无线信道之一。

宽频 - 80 MHz 信道选择自动或信道字段中的无线信道之一。

注：SonicOS 界面是上下文相关的。如果在“常规”页面上选择了 VAP 群组，则“无线安全”部分将处

于隐藏状态，您可以跳过此部分。

模式无线频段信道



设置“无线安全”选项的步骤如下：

1 向下滚动到“无线安全”部分。

配置无线安全的步骤如下：

1 从无线安全部分的下拉菜单中，选择身份验证类型。

2 定义其余设置，以使用下表作为参考：

注：可用的选项随您所选择的配置而不同。

无线安全的 WEP 设置

WEP 说明

验证类型 WEP 密钥模式设置

WEP（有线等效保密）是 Wi-Fi 无线网络安全的标准。开放系统使用和交换信息来进行身份验

证，然后对数据进行加密。共享密钥使用共享密钥进行身份验证。

WEP - 两者皆是（开放系统

和共享密钥）

WEP 密钥模式 = 无剩余设置显示为灰色且无法选择。

WEP 密钥模式 = 64 位、128 位或 152 位

位数表示 WEP 密钥的密钥强度。

1 在默认密钥字段中，选择默认密钥（首先尝试的密钥）。密钥 1 是默认值。

2 在密钥输入字段中，选择密钥是字母数字还是十六进制（0-9，A-F）。

3 在密钥 1、密钥 2、密钥 3 和密钥 4 的字段中，输入将在传输数据时使用的加密密钥。

WEP - 开放系统剩余设置显示为灰色且无法选择。

WEP - 共享密钥 WEP 密钥模式 = 64 位、128 位

或 152 位

默认值为 152 位。

1 在默认密钥字段中，选择默认密钥（首先尝试的密钥）。密钥 1 是默认值。

2 在密钥输入字段中，选择密钥是字母数字还是十六进制（0-9，A-F）。十六进制选项是默认值。

3 在密钥 1、密钥 2、密钥 3 和密钥 4 的字段中，输入将在传输数据时使用的加密密钥。



Radius 服务器设置如果在无线安全部分中选择了 WPA2 - EAP 或 WPA2 - 自动 - EAP，则将显示 Radius 服务器设置部分。此功

能将使用 RADIUS 服务器来生成身份验证密钥。必须对该服务器进行配置，以实现此功能和与 SonicWall 设备进行通讯。

配置 RADIUS 服务器设置的步骤如下：

1 单击配置按钮。随即显示 Radius 服务器设置对话框。此对话框中显示的选项取决于 SonicPoint 的

类型。

SonicPointNDR 或 SonicPoint N

无线安全的 WPA2 设置

说明

验证类型设置

WPA 和 WPA2（Wi-Fi 保护访问）是保护无线设备的较新协议。选择 WPA2 - 自动选项之一可允许在

未启用 WPA2 的设备上使用 WPA 协议。

WPA2 - PSK 1 从下拉菜单中选择密码类型。选项为 AES（默认值）、TKIP 或自动。

2 设置群组密钥间隔（秒）。默认值为 86400。 3 为公用共享密钥定义密码短语。

WPA2 - EAP 1 从下拉菜单中选择密码类型。选项为 AES（默认值）、TKIP 或自动。

2 设置群组密钥间隔（秒）。默认值为 86400。

WPA2 - AUTO - PSK 1 从下拉菜单中选择密码类型。选项为 AES（默认值）、TKIP 或自动。

2 设置群组密钥间隔（秒）。默认值为 86400。 3 为公用共享密钥定义密码短语。

WPA2 - AUTO - EAP 1 从下拉菜单中选择密码类型。选项为 AES（默认值）、TKIP 或自动。

2 设置群组密钥间隔（秒）。默认值为 86400。



SonicPointACe/ACi/N2 - SonicWave

2 在 Radius 服务器重试字段中输入从 1 到 10 的次数，是防火墙在尝试故障转移到其他 Radius 服务器

之前尝试的次数。

3 在重试间隔（秒）字段中输入两次重试之间等待的时间，从 0 到 60 秒。缺省值为 0 或重试之间无

等待。

4 按下表所述定义 Radius 服务器设置：



5 如果要使用 Radius 服务器来跟踪收费使用情况，请设置 Radius 计费服务器：

6 如需将 NAS 标识符发送到 RADIUS 服务器，请从 NAS 标识符类型下拉菜单中选择类型：

• 未包括（默认）

• SonicPoint 的名称

• SonicPoint 的 MAC 地址

7 如需将 NAS IP 地址发送到 Radius 服务器，请在 NAS IP 地址字段中输入地址。

8 单击确定。

ALC 实施

每个接入点都可以支持访问控制列表 (ACL)，以提供更有效的身份验证控制。ACL 功能可配合 SonicOS 上

目前可用的无线 MAC 过滤器列表使用。通过使用 ACL 实施功能，用户可以启用或禁用 MAC 过滤器列

表，设置“允许列表”和“拒绝列表”。

启用 MAC 过滤器列表实施的步骤如下：

1 选中启用 MAC 过滤器列表复选框。当 MAC 过滤器列表已启用时，其他设置也将处于启用状态，

因此您可以设置它们。

2 从允许列表的下拉列表中，选择一个选项。这标识了您允许访问的 MAC 地址。

如果要创建一个由您希望具有访问权限的人员组成的新地址对象群组，请选择创建 MAC 地址对

象群组。请参阅 SonicWall SonicOS 6.5 策略以了解执行此操作的方法。

RADIUS 身份验证服务器设置

选项说明

服务器 1 IP RADIUS 验证服务器的名称/位置。

服务器 1 端口 RADIUS 验证服务器通过其与客户端和网络设备进行通信的端口。默认

端口号是 1812。

服务器 1 密钥 RADIUS 验证服务器的密码。

服务器 2 备份 RADIUS 验证服务器的名称/位置。

服务器 2 端口备份 RADIUS 验证服务器通过其与客户端和网络设备进行通信的端口。

默认端口号是 1812。

服务器 2 密钥备份 RADIUS 验证服务器的密码。

RADIUS 计费服务器设置

选项说明

服务器 1 IP RADIUS 计费服务器的名称/位置

服务器 1 端口 RADIUS 验证服务器通过其与客户端和网络设备进行通信的端口。

服务器 1 密钥 RADIUS 验证服务器的密码。

服务器 2 备份 RADIUS 验证服务器的名称/位置。

服务器 2 端口备份 RADIUS 验证服务器通过其与客户端和网络设备进行通信的端口。

服务器 2 密钥备份 RADIUS 验证服务器的密码。



3 从拒绝列表的下拉列表中，选择一个选项。这标识了您拒绝访问的 MAC 地址。

如果要创建一个由不应该具有访问权限的人员组成的新地址对象群组，请选择创建 MAC 地址对


4 选中启用 MIC 失败 ACL 黑名单框。

5 根据每分钟的次数设置 MIC 失败频率阈值。默认值为 3。

远程 MAC 地址访问控制设置

通过此选项，您可以根据 RADIUS 服务器上基于 MAC 的身份验证实施无线电无线访问控制。

允许无线访问控制的步骤如下：

1 选中启用远程 MAC 访问控制框。

2 单击配置。

3 如果尚未配置，请按照 Radius 服务器设置中的描述设置 RADIUS 服务器。

4 单击“确定”。

设置配置文件的无线 0/1 高级设置：这些设置会影响无线频段的运行。SonicPoint/SonicWave 内置有两个单独的无线，因此它可以同时在这

两个波段上进行发送和接收。

无线 1 高级选项卡有和无线 0 高级选项卡相同的选项，外加一些其他选项。这两个选项卡在不同的接入

点型号中是相似的，因此对它们遵循此过程。差异将根据需要在过程中进行说明。

配置“无线 0/无线 1 高级”设置的步骤如下：

1 根据需要，单击无线 0 高级或无线 1 高级。

2 如果要隐藏信标中的 SSID，请选中此框。这允许 SSID 发送空的 SSID 信标，以代替广告无线 SSID 名

称。发送无 SSID 信标会强制无线客户端知道 SSID 才进行连接。默认情况下取消勾选该选项。

3 从日程 IDS 扫描下拉菜单中，为 IDS（入侵检测服务）扫描选择时间表。

选择对无线网络的需求较低的时间，以小化由于已丢弃的无线连接所造成的不便。可以通过选择创建新日程创建您自己的日程，或选择已禁用来禁用该功能，默认为禁用。

4 从数据速率下拉菜单中，选择传输和接收数据的速度。最佳（默认值）选项可以在有干扰和其他因素的情况下自动选择您所在区域中的佳可用速率。

5 从传输功率下拉菜单中，选择传输功率。传输功率会影响 SonicPoint 的范围。

• 全功率（默认）

• 半功率(-3 dB)

• 四分之一功率 (-6 dB)

• 八分之一功率(-9 dB)

注：IDS 提供多种入侵检测功能来保护网络免受无线威胁。此功能可检测针对 WLAN 基础设

施（由授权的接入点、射频介质和有线网络组成）的攻击。将授权的或有效的接入点定义为属于 WLAN 基础设施的接入点。接入点是 SonicPoint、SonicWave 或第三方接入点。



• 最小

6 如果要从天线分集下拉菜单中配置 SonicPoint NDR，请选择最佳（默认值）。

天线分集设置可确定接入点用于发送和接收数据的天线。选择最佳选项后，接入点将自动选择信号强清晰的天线。

7 在信标间隔（毫秒）字段中，输入发送无线 SSID 信标之间间隔的毫秒数。小间隔是 100 毫秒（默

认值）；大值是 1000 毫秒。

8 在 DTIM 间隔字段中，输入以毫秒为单位的 DTIM 间隔。小帧数是 1（默认值）；大值是 255。

对于传入组播数据包的 802.11 省电模式客户端，DTIM 间隔指定在发送 DTIM（传输指示消息）之

前等待的信标帧数。

9 如果要在分段阈值（字节）字段中配置 SonicPointNDR，请输入您希望网络允许的分段数据的字

节数。

分段阈值可限制大帧大小。限制帧的大小可缩短传输帧所需的时间，因此降低损坏该帧（以更多的数据开销为代价）的可能性。分割无线帧，以增加在有射频干扰或无线覆盖不佳的区域内的可靠性和吞吐量。较低的阈值数会产生较多的片段。小值为 256 字节，大值为 2346 字节

（默认值）。

10 在 RTS 阈值（字节）字段中，为数据包大小输入阈值（以字节计），请求发送 (RTS) 将在数据包传

输前以该阈值发送。

发送一个 RTS 可确保当多个客户端处于同一个访问点的范围（但彼此不再对方范围内）的情况下

不会出现无线冲突。小阈值为 256 字节，大阈值为 2346 字节（默认值）。

11 在最大客户端关联数字段中，输入您希望使用此配置文件的每个接入点在此无线上同时支持的大客户端数。小客户端数为 1，大为 128，默认为 32。

12 在站点不活动超时（秒）字段中，输入接入点使无线客户端超时之前后者处于不活动状态的长时间。小时长为 60 秒，大时长为 36000 秒，默认值为 300 秒。

13 如果要配置无线 1 高级选项卡设置，请定义特定于该窗口的以下设置；否则，请跳至下一步。

选项设置

初始长度从下拉菜单中选择： • 长（默认）• 短

保护模式从下拉菜单中选择： • 无• 始终• 自动

保护速率从下拉菜单中选择： • 1 Mbps（默认）

• 2 Mbps • 5 Mbps • 11 Mbps

保护类型从下拉菜单中选择： • 仅 CTS（默认值）

• RTS-CTS



14 从 WMM（Wi-Fi 多媒体）下拉菜单中，选择 WMM 配置文件是否要与此配置文件进行关联：

• 已禁用（默认）

• 创建新 WMM 配置文件。如需更多详细信息，请参阅配置 Wi-Fi 多媒体。

• 先前配置的 WMM 配置文件

15 选中启用 WDS AP 框。它允许使用多个接入点扩展无线网络，摒弃了有线骨干网连接它们的传统

要求。

16 选择启用绿色接入点以允许接入点无线进入睡眠模式。在没有客户端主动连接时，这可以省电。当任何客户端尝试连接到接入点时，它会立即进入全功率模式。可以在无线 0 (5GHz) 和无线 1 (2.4GHz) 上单独设置绿色接入点。

17 在绿色接入点超时字段中，输入变换时间（秒），该时间是接入点在没有活动连接时进入睡眠模式之前的等待时间。过渡时间从 20 秒到 65535 秒，默认值为 20 秒。

18 如果要配置 SonicWave 设备，请选中启用空中时间公平性框。

默认已禁用此功能。如果已启用，它会将可以使用 5GHz 频段的设备的流量引导至该频段，因为

它通常有较低的流量和较少的干扰。如果 2.4 GHz 频段上的信号强度或信号条件更好，则系统会

将流量引导至该频段。目的是以有效的方式使用这两个频段。

传感器

在传感器窗口中，启用或禁用无线入侵探测和保护 (WIDP) 模式.

配置“传感器”选项卡的步骤如下：

1 选中启用 WIDF 传感器可以将接入点用作专用的 WIDP 传感器。默认情况下未选中该选项。

2 从下拉菜单中，选择接入点用作 WIDP 传感器的时间安排，或选择创建新日程安排… 以指定不同的

时间。默认设置为总是。

启用短期时间槽选择此选项可以允许客户端更快地取消关联并重新关联。指定此选项，可通过缩短接入点转发数据包给 LAN 之前的等待时间来增加 802.11n/g 无线频段的吞吐量。

不允许连接 802.11b 客户端

如果您使用的是 Turbo G 模式，并因此不允许 802.11b 客户端进行连接，

请选择此选项。指定此选项可将无线连接限制到仅 802.11g 和 802.11n 客户端。

重要：如果选择了此选项，系统将自动禁用接入点或虚拟接入点功能。

选项设置



3G/4G/LTE WWAN

此功能为使用 SonicWave 设备等无线接入点的防火墙设备提供了另一种无线 WAN 解决方案。您可以将 USB 调制解调器设备插入 SonicWave，它将执行拨号操作并连接到互联网。在成功连接后，SonicWave 将充

当防火墙的 WWAN 设备，并提供 WAN 访问。

首次配置调制解调器时，您可以使用向导来利用此选项的自动发现功能。

主题：

• 使用 3G/4G/LTE WWAN 向导

• 手动配置 3G/4G/LTE WWAN 配置文件

使用 3G/4G/LTE WWAN 向导

使用向导配置调制解调器的步骤如下：

1 单击 3G/4GLTE WWAN。

2 滚动到底部并单击 3G/4G/LTE 向导。

注：如果不打算配置调制解调器，则可以跳过本节。



3 单击下一步。

4 从下拉菜单中选择 VLAN 接口，或选中创建新的 VLAN 接口框。

如果您选择创建新的 VLAN 接口，则其余字段将激活。提供所请求的数据。


注：如果将 IP 分配设置为 DHCP，则系统会隐藏“IP 地址”、“子网掩码”和“默认网关”字段。



6 在国家/地区字段中，选择部署接入点的国家/地区。

7 从下拉菜单中选择服务提供商。

8 从下拉菜单中选择计划类型。根据选择，将自动填写其他字段。

9 如果需要，请将用户名和用户密码添加到相应的字段中。


11 再次单击下一步以应用设置。

手动配置 3G/4G/LTE WWAN 配置文件

可以使用以下过程手动配置 3G/4G/LTE WWAN 配置文件或手动执行更改。



手动将调制解调器配置为 WWAN 的步骤如下：

1 单击 3G/4GLTE WWAN。

2 选中此框以启用 3G/4G/LTE 调制解调器。

3 从绑定到 WAN VLAN 接口下拉菜单中，选择一个 VLAN 接口。

如果未在下拉菜单中列出任何接口，您需要进行定义。请参阅 SonicWall SonicOS 6.5 系统设置中

的“网络 > 接口”部分。

4 在连接配置文件部分中，选中启用连接配置文件框。

5 在国家/地区字段中，选择部署接入点的国家/地区。

6 从下拉菜单中选择服务提供商。

注：构建 VLAN 接口时，请将区域设置为 WAN 区域，并将父接口设置为接入点连接到的物

理接口。对于 3G USB 调制解调器，请将 IP 分配设置为静态，并为其分配一个专用 IP 地址。将“网关”和

“DNS 服务器”字段留空。

对于 4G 和 QMI 调制解调器，请将 IP 分配设置为 DHCP。

注：一些传统的 3G/4G 调制解调器需要使用连接配置文件进行拨号。



7 从下拉菜单中选择计划类型。根据选择，将自动填写其他字段。

8 如果需要，请将用户名和用户密码添加到相应的字段中。

当“配置文件”页面上的所有设置完成后，请务必单击确定。

产品特定配置注释SonicPoint 配置过程略有不同，具体取决于您要配置单无线 (SonicPoint N) 还是双无线（SonicPoint AC 和

SonicPoint NDR）设备。

管理接入点

主题：

• 同步接入点

• 删除接入点配置文件

• 删除 SonicPoint/SonicWave 对象

• 重启 SonicPoint/SonicWave 对象

• 修改 SonicPoint/SonicWave 对象

同步接入点单击连接 | 接入点 > 基本设置页面顶部的同步接入点可以从 SonicWall 设备向 WLAN 区域发出查询。所有

已连接的接入点都会向设备报告它们的当前设置和统计数据。SonicOS 还会尝试查找是否存在尚未向防

火墙注册的任何新连接的接入点。

删除接入点配置文件

可以从连接 | 接入点 > 基本设置页面上的 SonicPoint/SonicWave 设置配置文件部分中删除单个配置文件

或多组配置文件：

• 通过以下方式删除单个接入点配置文件：

1) 单击其删除按钮。将显示确认消息。

2) 单击确定。

• 通过以下方式删除一个或多个接入点配置文件：

1) 选中要删除的接入点的名称旁边的复选框。删除按钮随即激活。

2) 单击删除按钮。将显示确认消息。

3) 单击确定。

注：此按钮会对接入点进行轮询，但不会向它们推送配置。

注：您无法删除预定义的配置文件；只能删除您添加的那些配置文件。



• 通过以下方式删除所有配置文件：

1) 选中列标头中 # 旁边的复选框。全部删除按钮随即激活。

2) 单击全部删除按钮。将显示确认消息

3) 单击确定。

删除 SonicPoint/SonicWave 对象可以从连接 | 接入点 > 基本设置页面上的 SonicPoint/SonicWave 对象部分中删除单个接入点或多组接入点：

• 通过以下方式删除单个对象：

a 单击该对象的删除按钮。将显示确认消息。

b 单击确定。

• 通过以下方式删除一个或多个对象：

a 选中要删除的对象旁边的复选框。删除按钮随即激活。

b 单击删除按钮。将显示确认消息。

c 单击确定。

• 通过以下方式删除所有对象：

a 选中列标头中 # 旁边的复选框。全部删除按钮将激活。

b 单击全部删除按钮。将显示确认消息。

c 单击确定。

重启 SonicPoint/SonicWave 对象可以从连接 | 接入点 > 基本设置页面上的 SonicPoint/SonicWave 对象部分中重启单个接入点或多组接入点：

• 通过以下方式重启单个对象：

a 选中要重启的接入点的名称旁边的复选框。重启图标将激活。

b 单击重启按钮。将显示确认消息。

c 选择重启类型：

• 重启（默认）- 重启到已配置的配置文件设置。

• 重启到出厂模式 - 重启到出厂默认设置。

d 单击确定。

• 通过以下方式重启所有对象：

a 单击全部重启按钮。

b 选择以下一项：

• 重启（默认）- 重启到已配置的配置文件设置。

• 重启到出厂模式

小心：选择此选项会使用出厂默认值覆盖接入点配置文件。



c 单击确定以重启接入点，或单击取消以关闭窗口而不重启。

修改 SonicPoint/SonicWave 对象接入点对象可以从连接 | 接入点 > 基本设置中进行修改。

1 单击您要修改的对象的编辑图标。

2 更改您要修改的设置。

3 单击确定以保存新设置。

小心：选择此选项会使用出厂默认值覆盖接入点配置文件。

注：网络设备执行自动发现流程时，会自动添加新的 SonicPoint/SonicWave 接入点。



16

接入点平面图

在管理视图中的连接 | 接入点 > 平面图视图页面上，SonicOS 用户界面允许使用更直观的方法来管理大

量 SonicWave 和 SonicPoint 设备。还可以跟踪物理位置和实时状态。

平面图视图功能是 SonicOS 中现有无线接入点管理套件的加载项。它提供了实际无线电环境的实时画

面，并提高了您估算新部署的无线覆盖范围的能力。FPMV 还提供了一个单点控制台，用于检查接入点

统计信息、监控接入点的实时状态、配置和删除接入点，甚至可以在合并的上下文菜单中显示接入点

RF 覆盖范围。

下图显示了一个典型的平面图视图。

主题：

• 管理平面图

• 管理接入点

管理平面图平面图视图功能提供了多种查看、添加和编辑平面图的方法。本节中介绍了常用的方法。

主题：

• 选择平面图

• 创建平面图

• 编辑平面图

• 设置量尺


接入点平面图159

选择平面图当您选择了管理视图中的连接 | 接入点 > 平面图视图页面后，平面图的标题将显示在左上角的选择平面

图字段中。如需查看不同的平面图，请从选择平面图下拉菜单中选择不同的平面图。

另一种选择平面图的方法是：

1 单击设置。

2 选择平面图列表。

3 双击要显示的计划的名称。

创建平面图

创建平面图的步骤如下：

1 转至连接 | 接入点 > 平面图视图。

2 单击设置。

3 选择创建平面图。



4 填写描述计划的字段。

5 单击接受。

编辑平面图存在不同的平面图编辑方法；这些是常见的方法。

编辑要显示的平面图的步骤如下：


2 单击设置。

3 选择编辑当前平面图。

4 根据需要更改字段。

5 单击接受。

编辑列表中的计划的步骤如下：


2 单击设置。



3 选择平面图列表。

4 单击编辑图标。

5 根据需要更改字段。

6 单击接受。

设置量尺您需要设置一个量尺来显示实际距离（英尺）与构成平面图图像的像素之间的关系。可以使用此值来帮助估算射频覆盖范围。

设置量尺的步骤如下：


2 单击设置。

3 选择量尺。“行长度”字段会显示在窗口中。

4 输入每英尺的像素数。

5 单击退出绘图。



管理接入点接入点状态以颜色显示

可以在平面图视图中管理各个接入点。

主题：

• 可用接入点

• 已添加的接入点

• 删除接入点

• 导出图像

可用接入点可用于部署的接入点显示在可用接入点列表中。该列表通常显示在右上角，但您可以将其拖放到任何位置。可以单击角上的 X 将其关闭。如需显示列表，请单击设置 > 可用的接入点。

可以将这些接入点拖放到平面图上，并将它们放在您需要的地方。完成操作后，请务必保存计划。

已添加的接入点已部署的接入点将显示在已添加的接入点列表中。该列表通常显示在左上角，但您可以将其拖放到任何位置。可以单击角上的 X 将其关闭。如需显示列表，请单击设置 > 已添加的接入点。

可以将这些接入点拖放到平面图上的不同位置，也可以将它们从计划中删除。完成操作后，请务必保存计划。

删除接入点

删除所有接入点的步骤如下：


2 单击设置。

3 选择删除所有已添加的接入点。

4 单击保存计划。

注：已添加到平面图中的接入点不会显示在此面板中。

注：已添加到平面图中的接入点不会显示在此面板中。



导出图像

导出平面图图像的步骤如下：


2 单击设置。

3 选择导出为图像。

4 然后，选择要以 JPG 格式还是 PNG 格式保存它。

5 将文件保存在您可以稍后访问的位置。

上下文菜单您可以使用鼠标激活各种上下文菜单：

• 将鼠标指针悬停在平面图中的活动接入点上时，弹出窗口会显示接入点信息，包括 ID、状态、客

户端数量和运行时间。

• 通过单击接入点，将显示 RF 覆盖范围。

• 通过双击接入点，将显示“实时监控”窗口。

• 通过右键单击接入点，将显示一个上下文菜单。它包含一些选项，用于编辑、显示统计信息、监控状态等。



17

接入点拓扑视图

在管理视图中的连接 | 接入点 > 拓扑视图页面上，可以通过新的拓扑视图功能管理接入点。拓扑视图显

示从 SonicWall 防火墙到无线接入点的网络拓扑。可以监控接入点的实时状态，而且上下文菜单也提供

了配置选项。

此功能显示所有 WLAN 区域设备之间的逻辑关系，并提供直接在拓扑视图中管理设备的方法。

连接 | 接入点 > 拓扑视图页面显示了一张树形图，其中呈现防火墙已知的已连接设备以及它们的关系，

类似于下图：

主题：

• 管理拓扑视图

• 在“拓扑视图”中管理接入点

管理拓扑视图拓扑视图是一个简单界面。它提供了保持视图新和修改基础结构中接入点的方法。

无论您何时想确认拓扑是新的，只需单击右下角的“重新发现”按钮即可。这会强制设备检查是否已对

无线基础结构进行了任何更改。

还可以在“拓扑视图”中获取每个设备的详细信息。只需在设备上移动光标，即可弹出工具提示泡泡。根

据设备类型，它将显示名称、IP 地址，接口和型号等信息。对于接入点，您还可以看到其他信息，如客

户的状态和数量。

每个接入点也使用颜色来指示状态：

• 绿色 = 在线


接入点拓扑视图165

• 红色 = 离线

• 黄色 = 繁忙

在“拓扑视图”中管理接入点拓扑视图有一个上下文菜单，其中包含了可用于管理接入点的命令。

主题：

• 编辑访问规则

• 显示统计信息

• 在接入点上监控状态

• 删除接入点

编辑访问规则

在“拓扑视图”中编辑接入点的步骤如下：

1 转至连接 | 接入点 > 拓扑视图。

2 滚动到您要编辑的接入点。

3 右键单击接入点。

4 选择编辑此接入点。

5 根据需要更改对象配置。

6 单击确定以保存新的设置。

显示统计信息

显示接入点的统计信息的步骤如下：


2 滚动到您要显示的接入点。

注：只有接入点才有上下文菜单。拓扑图中的其他设备都没有。




4 选择显示接入点统计信息。

5 如果要刷新统计信息，请单击刷新。


在接入点上监控状态



2 滚动到您要监控的接入点。




4 选择监控接入点状态。

“接入点监控”显示接入点的系统状态。它包括 CPU 使用率、内存使用率、接收速率和发送速率。

5 如果要刷新数据，请单击刷新。

6 如果要查看有关接入点的详细信息，请单击“详细信息”图标。


删除接入点



2 滚动您要删除的接入点。


4 选择删除接入点。

5 确认您要删除接入点；如果不想删除，可以取消。



18

配置 SonicPoint 入侵检测服务

欺诈设备已成为对无线安全性的严重的潜在威胁之一。如果某个接入点未经授权而使用网络，则通常会将其视为欺诈接入点。不安全的接入点具备便利性、可负担性和可用性，还可轻松添加到网络中，这为引入欺诈设备创造了有利环境。真正的威胁会以多种不同的方式出现：

• 在无意和不知情的情况下连接到欺诈设备

• 通过非安全通道传输敏感数据

• 对 LAN 资源的意外访问

虽然这并不表示特定无线设备的安全性不足，但它是无线网络整体安全性的漏洞。

入侵检测服务 (IDS) 极大地增强了防火墙的安全性能，因为它可以帮助设备识别常见的非法无线活动

类型并采取应对措施。IDS 报告防火墙可通过扫描接入点上的 802.11a、802.11g 和 802.11n 无线频段找

到的所有接入点。

管理视图上的连接 | 接入点 > IDS 页面报告了防火墙检测到的所有设备及其关联接入点，并能够对合法

设备进行授权。

下表说明了已发现接入点表和连接 | 接入点 > IDS 页面上显示的实体。

已发现接入点表组件

表列或实体组件说明

实体

“刷新”按钮刷新界面，以显示网络中新的接入点列表。

“全部扫描”按钮启动一项操作来调用所有接入点，并识别已连接的设备。


配置 SonicPoint 入侵检测服务 169

主题：

• 扫描接入点

• 授权接入点

扫描接入点安全设备启动后将激活扫描。您在启动后请求扫描时，无线客户端会中断几秒钟。扫描会通过以下方式影响流量：

• 非持续性无状态协议（例如 HTTP）不应出现任何不良效果。

• 持续性连接（例如 FTP 协议）受到影响或中断。

• WiFiSec 连接应自动重新建立，并恢复为对客户端无任何严重的影响。

执行扫描的步骤如下：

1 转至连接 | 接入点 > IDS。

2 在视图类型：接入点下拉菜单（位于表的顶部）中，选中所有接入点可扫描所有设备，或选择特定的接入点仅扫描一台设备。

3 在表的底部：

• 如果您要扫描所有接入点，请单击“扫描全部”。

（可选）您可以选择 --执行接入点扫描-- 的下拉菜单中选项之一：双频无线扫描、扫描无

线 0 (5GHz) 或扫描无线 1 (2.4GHz)。

视图样式：接入点如果您有多个接入点，则可以从接入点下拉菜单中选择各个接入点，也可以在要查看所有接入点的情况下选择所有接入点。

已发现接入点表

接入点接入点名称：仅在选中了所有 SonicPoint 时才会显示（在视图类型：

接入点下拉菜单中）

MAC 地址 (BSSID) 已检测到的接入点的无线接口的 MAC 地址

SSID 设备的无线 SSID

类型设备使用的无线频段：2.4 GHz 或 5 GHz

信道设备使用的无线信道

身份验证身份验证类型

Cipher 密码模式

制造商接入点的制造商。

信号强度检测的无线信号的强度

大速率接入点无线允许的大数据速率

授权单击“编辑”图标后，设备将添加到授权设备的地址对象群组中。

小心：在执行扫描时，单击“扫描全部”会使所有处于活动状态的无线客户端断开连接。如果出现

服务中断问题，则在 SonicWall 安全设备处于接入点模式时，您不应该请求扫描。在客户端都进入

不活动状态或服务期间的短暂中断可接受之前，请等待。

已发现接入点表组件

表列或实体组件说明



• 如果仅扫描接入点，请选择 --执行接入点扫描-- 的下拉菜单中选项之一：双频无线扫描、扫

描无线 0 (5GHz) 或扫描无线 1 (2.4GHz)。

4 确认您要执行扫描。

授权接入点在该设备配置为授权操作之前将安全设备检测到的接入点视为欺诈接入点。

授权接入点的步骤如下：

1 转至连接 | 接入点 > IDS。

2 单击授权列中的编辑图标，以编辑要授权的接入点。将显示弹出框。

3 单击确定。

4 通过检查是否添加了接入点的 MAC 地址来验证授权是否成功。（如需更多信息，请参阅 SonicWall SonicOS 6.5 系统设置。）

注：如果仅查看一个接入点，则 --执行接入点扫描-- 将从表顶部中心移至右下方。



19

配置高级 IDP

高级入侵检测和保护 (IDP) 或无线入侵检测和保护 (WIDP) 用于监控无线频谱中是否存在未授权设备（入

侵检测），并根据管理员设置自动采取应对措施（入侵保护）。在接入点上启用了高级 IDP 时，无线将

充当专用 IDP 传感器。

SonicOS 无线入侵检测和保护基于和 SonicWall 网关合作的 SonicPoint 和 SonicWave 接入点。此功能可以将接

入点变为专用的 WIDP 传感器，用于探测连接到 SonicWall 网络的未授权接入点。

当某个接入点识别为欺诈接入点时，其 MAC 地址将添加到所有欺诈接入中。

配置高级 IDP 是一个分为两个步骤的过程：

• 对配置文件启用高级 IDP

• 配置高级 IDP

对配置文件启用高级 IDP以下是用于启用高级 IDP 功能的检查清单。如需接入点配置文件的更多信息，请参阅创建/修改设置配

置文件。

在接入点配置文件上启用高级 IDP 扫描的步骤如下：

1 转至连接 | 接入点 > 基本设置页面的 SonicPoint/SonicWave 设置配置文件部分。

2 单击相应配置文件的编辑图标。

3 单击传感器。

4 选中启用 WIDP 传感器。该下拉菜单随即激活。

5 在下拉菜单中，为 IDP 扫描选择适当的日程或选择创建新日程以创建自定义日程。

6 单击确定。

小心：在 SonicWall 接入点无线上启用了高级 IDP 时，将禁用它的接入点功能，并断开任何无线客

户端的连接。

小心：配置为 WIDP 传感器的 SonicPoint N 无法用作接入点。

提示：对于所有 SonicPoint N 配置文件，传感器选项卡是一样的。

小心：在 SonicPoint/SonicWave 无线上启用了高级 IDP 扫描时，系统将禁用它的接入点功能，并断

开任何无线客户端的连接。


配置高级 IDP 172

配置高级 IDP

配置高级 IDP 的步骤如下：

1 转至连接 | 接入点 > 高级 IDP。

2 选中启用无线入侵探测和防御设置以允许设备搜索欺诈接入点。默认情况下未选中此选项，因此选中后，其他选项将激活。

3 对于授权接入点，选择要将授权接入点分配到的地址对象群组。默认情况下，会将此选项设置为所有授权接入点。

4 对于欺诈接入点，选择要将未授权接入点分配到的地址对象群组。默认情况下，会将此选项设置为所有欺诈接入点。

5 选择以下两个选项之一，以确定将哪些接入点视为欺诈接入点（一次只能启用一个）：

• 无论所有检测到的未授权接入点是否连接到您的网络，添加任何未授权接入点到欺诈接入点列表都会将它们分配给欺诈列表。

• 只有当未授权接入点连接到您的网络时，添加连接的未授权接入点到欺诈接入点列表才将这些接入点分配给欺诈列表。以下选项用于确定 IDP 检测已连接的欺诈设备的方法；可以

同时选择这两项：

• 启用 ARP 缓存搜索以检测连接的欺诈接入点 - 高级 IDP 会在 ARP 缓存中搜索客户端的

MAC 地址。如果找到一个地址，且它连接到的接入点未获授权，则将该接入点归类

为欺诈接入点。

• 启用活动的探测以监控连接的欺诈接入点 - SonicPoint/SonicWave 会连接到可疑设备，

并向防火墙的所有 LAN、DMZ 和 WLAN 接口发送探测。如果防火墙收到这其中的任

何探针，则会将该接入点归类为欺诈接入点。

注：所有检测到的接入点将显示在连接 | 接入点 > IDS 页面上的已发现接入点表中，而且您

可以对任何允许的接入点进行授权。

注：对于 SonicPoint N，不会创建任何接入点模式虚拟接入点 (VAP)。将创建一个站点模式 VAP，

此 VAP 用于执行 IDS 扫描以及连接到不安全的接入点并向其发送探测。



6 如果接入点不在授权列表中，但与托管接入点有相同的 SSID，请选择添加双面恶魔到欺诈接入点

列表，以便将设备添加到欺诈列表中。

7 选择阻止来自欺诈接入点和它的相关客户端的流量可丢弃所有有与欺诈列表相匹配的源 IP 地址的

传入流量。从欺诈设备 IP 地址下拉菜单，执行以下其中一种操作：

• 选择所有欺诈设备（默认）或您已创建的地址对象群组。

• 通过选中创建 IP 地址对象群组创建一个新地址对象群组。随即显示添加地址对象群组窗口。

8 选择分离欺诈接入点及其客户端可以向欺诈设备的客户端发送取消身份验证消息，以阻止它们之间的通讯。

9 单击接受按钮以保存您的更改。



20

接入点数据包捕获

管理视图上的连接 | 接入点 > 数据包捕获功能提供了深入的无线故障排除类型，可用于从客户端站点收

集无线数据并将其输出到可读文件中。SonicWave 接入点支持此功能。

接入点 > 数据包捕获页面上的捕获视图显示 SonicWave 的状态、捕获的数据包数以及数据包缓冲的大

小。右侧的配置列提供了可以单击的按钮，用于配置每个 SonicWave 的捕获设置。

注：因为扫描无线的天线是 1x1，一些数据帧由于硬件限制不能被扫描无线捕获。


接入点数据包捕获175

您可在“配置”对话框中配置模式、频带和信道设置，捕获特定信道中的无线数据包。多可以配置五个

源和目标 MAC 地址。单击要配置的 SonicWave 的编辑按钮。

如需捕获其中一个已配置的 SonicWave 无线的数据，请单击连接 | 接入点 > 数据包捕获页面上该行的下载

按钮。捕获文件以“wirelessCapture_[SW 名称].cap”格式命名，其中 SW 名称是 SonicWave 名称。Wireshark™ 可以用来读取文件。


接入点数据包捕获176

21

配置虚拟接入点

虚拟接入点 (VAP) 是单个物理接入点的 (AP) 的多路复用表示 - 它将自己表示为多个独立的接入点。对于无

线 LAN 客户端，当实际上只存在一个物理接入点时，每个虚拟接入点都似乎是一个独立的物理接入点。

VAP 允许您在单个物理接口上设置多项自定义配置，以控制无线用户访问和安全设置。其中的每项自定

义配置都用作单独的（虚拟）接入点，并可在单个内部无线网络上进行分组和实施。

SonicWall VAP 功能符合媒体访问控制 (MAC) 协议层的 IEEE 802.11 标准，包括唯一的基本服务集标识符 (BSSID) 和服务集标识符 (SSID)。这将在单个物理接入点上的单个射频覆盖区域内对无线网络服务进行分段。

虚拟接入点允许您通过设置单个物理接口上的多个自定义配置，控制无限用户访问和安全设置。其中的每项自定义配置都用作单独的（虚拟）接入点，并可同时在单个或多个物理接入点上进行分组和实施。

主题：

• 在配置 VAP 之前

• 接入点 VAP 配置任务列表

• 虚拟接入点配置文件

• 虚拟接入点

• 虚拟接入点群组

注：将无线接入点与 SonicWall NSA 设备配合使用时，支持虚拟接入点。


配置虚拟接入点177

虚拟接入点配置

VAP 拥有以下优势：

• 每个虚拟接入点都可有其独自的安全服务设置（例如 GAV、IPS、CFS 等）。

• 可使用从该区域级别配置的访问规则轻松控制来自每个 VAP 的流量。

• 单独的访客服务或轻量级热点消息 (LHM) 配置可应用于每个接入点，以便于多个访客服务提供商提

供一组通用的接入点。

• 可轻松应用带宽管理和其他基于访问规则的控制。

在配置 VAP 之前在配置虚拟接入点之前，您需要了解选项以及可以执行的操作。

主题：

• 确定您的虚拟接入点需求

• 确定安全配置

• 示例网络定义

• 确定安全配置

• 虚拟接入点配置工作表



确定您的虚拟接入点需求决定如何配置您的虚拟接入点时，可先考虑您的通信需求，尤其是：

• 我需要支持多少个不同级别的无线用户？

• 我想要如何保护这些不同级别的无线用户的安全？

• 我的无线客户端是否有支持所选的安全设置所需的硬件和驱动程序？

• 我的无线用户需要与哪些网络资源进行通信？

• 任何这些无线用户是否都需要与其他无线用户进行通信？

• 我想要将哪些安全服务应用到每个这些级别的用户或无线用户？

确定安全配置在了解安全需求之后，您可以定义为这些用户提供有效的无线服务的区域（和接口）和 VAP。以下是

您可以定义某些类型的用户的方法示例。

• 公司无线 - 高度信任的无线区域。使用 WPA2-AUTO-EAP 安全。强制实施 WiFiSec (WPA)。

• WEP 和 PSK - 中度信任的无线区域。包含两个虚拟接入点和子接口，一个用于旧 WEP 设备（例如无

线打印机、旧手持式设备），一个用于访问将使用 WPA-PSK 安全性的客户端。

• 访客服务 - 使用内部访客服务用户数据库。

• LHM - 启用轻量级热点消息的区域，其配置的目的在于使用外部 LHM 验证后端服务器。

示例网络定义以下列表显示了一种您可以配置虚拟接入点以确保正确访问的可能方式：

• VAP#1，公司无线用户 - 通常在办公室工作的用户群体，应为他们提供对所有网络资源的完全访问

权限（假定连接已授权且安全）。这些用户已属于网络的目录服务 Microsoft Active Driectory，该

服务通过 IAS（互联网验证服务）提供 EAP 接口。

• VAP#2，旧无线设备 - 仅支持 WEP 加密的旧无线设备集，例如打印机、PDA 和手持式设备。

• VAP#3，访问合作伙伴 - 业务合作伙伴、客户端、经常访问办公室的成员、需要访问此有限的受信

任网络资源以及互联网的人员。这些用户不在公司的目录服务中。

• VAP#4，访客用户 - 访问您想要为其提供仅对不信任（例如互联网）网络资源的访问权限的客户端。

将为某些访客用户提供访问时所使用的简单的临时用户名和密码。

• VAP#5，常见的访客用户 - 与访客用户相同，但这些用户通过后端数据库将有更长久的访客帐户。

前提条件在配置虚拟接入点之前，请注意以下事项：

• 必须明确为虚拟接入点支持启用每个 SonicWall 接入点。如需进行验证，请转至连接 | 接入点 > 基

本设置。然后，单击 SonicPoint/SonicWave 设置配置文件 > 常规设置的编辑图标：启用 SonicPoint/SonicWave 复选框并启用无线 A 或 G。

• 接入点必须链接到 SonicWall 网络安全设备上的 WLAN 区域才能配置接入点。



• 将 VAP 与 VLAN 配合使用时，您必须确保物理接入点发现和配置数据包保持处于未添加标签状态（除

非本地终止到防火墙上的 VLAN 子接口）。

• 还必须确保网络上的任何中间设备（例如，支持 VLAN 的交换机）在传递时都未对接入点添加 VLAN 标签的 VAP 数据包进行更改（未封装或未双重封装）。

• 请注意，大接入点限制使用且因 SonicWall 安全设备而异。

虚拟接入点配置工作表虚拟接入点配置工作表表提供了一些常见的虚拟接入点设置问题和解决方案，还提供了用于记录您自己的配置的空间。

虚拟接入点配置工作表

问题示例解决方案

我将需要支持多少个不同类型的用户？

公司无线、访客访问、访问合作伙伴、无线设备均为通用的用户类型，每个都需要独自的虚拟接入点

规划所需的不同虚拟接入点的数量。为所需的每个虚拟接入点配置区域和

VLAN。

您的配置：

每个虚拟接入点需要支持多少个用户？

公司有 100 个员工，所有员工都有无

线功能

将访客区域的 DHCP 范围设置为提供至

少 100 个地址。

公司通常有几十个可使用无线的访客将访客区域的 DHCP 范围设置为提供至

少 25 个地址。

您的配置：

我想要如何保护不同无线用户的安全？

可访问公司 LAN 资源的公司用户。配置 WPA2-EAP

只能访问互联网的访客用户启用访客服务，但不配置任何安全设置

公司 LAN 上的旧无线打印机配置 WEP 并启用 MAC 地址过滤

您的配置：

我的用户需要与哪些网络资源进行通信？

需要访问公司 LAN 和所有内部 LAN 资

源的公司用户，包括其他 WLAN 用户。

启用对您公司区域的接口信任。

需要访问互联网的无线访客，不应允许该访客与其他 WLAN 用户通信。

禁用对您访客区域的接口信任。

您的配置：



接入点 VAP 配置任务列表接入点 VAP 部署需要多个配置步骤。本节提供所涉及步骤的简要概述。

1 网络区域 - 该区域是 VAP 配置的重要部分。您创建的每个区域都有其各自的安全和访问控制设置，

而且您可以通过 VLAN 子接口创建多个区域并将其应用于单个物理接口。如需网络区域的更多信

息，请参阅 SonicWall SonicOS 6.5 系统设置中的管理 | 网络 > 区域。

2 接口（或 VLAN 子接口）- 接口（X2、X3 等）表示 SonicWall 网络安全设备与物理接入点之间的物理

连接。您的独立区域设置将应用于这些接口，然后转发至您的接入点。如需无线接口的更多信息，请参阅 SonicWall SonicOS 6.5 系统设置中的管理 | 网络 > 接口。

3 DHCP 服务器 - DHCP 服务器将租用的 IP 地址分配给指定范围内的用户，称为范围。DHCP 作用域的

默认范围通常很大，足以满足大多数接入点的需求，例如对仅使用 30 个地址的接口使用 200 个地

址的范围。基于此原因，必须仔细设置 DHCP 范围才能确保不会用完可用的租用范围。如需设置

DHCP 服务器的更多信息，请参阅 SonicWall SonicOS 6.5 系统设置中的管理 | 网络 > DHCP 服务器。

4 虚拟接入点配置文件 - 虚拟接入点配置文件功能用于创建可根据需要轻松应用于到新虚拟接入点的

接入点配置文件。如需更多信息，请参见虚拟接入点配置文件。

5 虚拟接入点对象 - 虚拟接入点对象功能允许设置常规 VAP 设置。通过虚拟接入点设置可配置 SSID 和 VLAN ID。如需更多信息，请参见虚拟接入点。

6 虚拟接入点群组 - 虚拟接入点群组功能允许对要同时应用于接入点的多个虚拟接入点对象进行分组。

7 将虚拟接入点群组分配给接入点设置配置文件无线 - 设置配置文件允许在配置新的接入点时对其

应用 VAP 群组。

8 分配 WEP 密钥（仅用于 WEP 加密）- 分配 WEP 密钥允许在配置新的接入点时对其应用 WEP 加密密

钥。WEP 密钥是按接入点配置的，这意味着任何分配给物理接入点的支持 WEP 的虚拟接入点都必

须使用相同的一组 WEP 密钥。多可以定义 4 个密钥，而且支持 WEP 的 VAP 可独立使用这 4 个密

钥。WEP 密钥在各个物理接入点或在配置 | 接入点 > 基本设置页面中的“接入点配置文件”上配置。

虚拟接入点配置文件虚拟接入点配置文件允许您预配置接入点设置并将其保存在配置文件中。通过虚拟接入点配置文件，可以轻松地将设置应用于新的虚拟接入点。虚拟接入点配置文件从连接 | 接入点 > 虚拟接入点页面的虚拟

接入点配置文件部分配置。

我想要将哪些安全服务应用到我的用户？

您想要完整的 SonicWall 安全套件保护

的公司用户。

启用所有 SonicWall 安全服务。

由于不在您的 LAN 上所以无需考虑的

访客用户。

禁用所有 SonicWall 安全服务。

您的配置：

虚拟接入点配置工作表

问题示例解决方案



如需配置现有 VAP 配置文件，单击该配置文件的编辑图标。如需添加新的 VAP 配置文件，请单击添加

按钮。

注：将显示的选项取决于您选择的其他选项。



主题：

• 虚拟结点点日程设置

• 虚拟接入点配置文件设置

• ACL 实施

• 远程 MAC 地址访问控制设置

虚拟结点点日程设置每个虚拟接入点都可以有自己的关联日程，并且通过扩展，每个配置文件也可以有一个为其定义的固定日程。

将日程与虚拟接入点配置文件进行关联的步骤如下：


2 在连接下，选择接入点 > 虚拟接入点。

3 如果要创建新的配置文件，请选择添加；如果要编辑现有配置文件，请选择一个虚拟接入点配置文件，然后单击编辑图标。

4 在 VAP 日程名称字段中，从下拉菜单的选项中选择所需的日程。

虚拟接入点配置文件设置

设定虚拟接入点配置文件设置的步骤如下：


2 在连接下，选择无线 > 虚拟接入点。


4 设置无线类型。如果使用接入点作为虚拟接入点（当前唯一支持的无线类型），则默认情况下，它将设置为 SonicPoint/SonicWave。

5 在配置文件名称字段中，输入此虚拟接入点配置文件的友好名称。选择易于记住的描述性名称，因为您会将此配置文件应用于新的 VAP。

6 从下拉列表中选择身份验证类型。从以下选项中选择：

验证类型定义

打开未指定身份验证；不安全的访问。

共享共享密钥用于进行身份验证并确保基础安全性。

两者不安全，共享访问。

WPA2-PSK 与受信任的公司无线客户端一起使用的佳安全。使用 Windows 登录进行透明身份验证。支持快速漫游功能。使用预共享密钥进行身份验证。

WPA2-EAP 与受信任的公司无线客户端一起使用的佳安全。使用 Windows 登录进行透明身份验证。支持快速漫游功能。使用可扩展身份验证协议。



根据您选择的身份验证类型，将自动填写单播加密字段。

根据所选的身份验证类型，“添加/编辑虚拟接入点配置文件”页面中会添加一个包含选项的附加部分。

• 如果选择了“打开”，请参阅 Radius 服务器和 Radius 计费以了解 RADIUS 设置。

• 如果选择了两者或共享，请参阅 WEP 加密设置以获取设置的相关信息。

• 如果选择了需要预共享密钥 (PSK) 的选项，请参阅 WPA-PSK > WPA2-PSK 加密设置以获取设置的相

关信息。

• 如果选择了使用可扩展身份验证协议 (EAP) 的选项，请参阅 Radius 服务器和 Radius 计费以获取设置

的相关信息。

WEP 加密设置

如果在先前过程的步骤 6 中选择了两者或共享，则会显示名为 WEP 加密设置的部分。WEP 设置通常由

共同物理接入点内的虚拟接入点共享。

设定加密设置的步骤如下：

1 从加密密钥字段的下拉列表中，选择密钥 1、密钥 2、密钥 3 或密钥 4。。

2 如果保持“远程 MAC 访问控制”处于启用状态，请转至 Radius 服务器和 Radius 计费以设置 RADIUS 设置。

WPA-PSK > WPA2-PSK 加密设置

如果在步骤 6 中选择了需要预共享密钥的选项 - WPA2-PSK 或 WPA2-自动-PSK，则会显示名为 WPA/WPA2-PSK 加密设置的部分。定义这些设置时，将使用预共享密钥进行身份验证。

设定加密设置的步骤如下：

1 在密码短语字段中输入密码。

2 如果保持“远程 MAC 访问控制”处于启用状态，请转至 Radius 服务器和 Radius 计费以设置 RADIUS 设置。

Radius 服务器和 Radius 计费

可以为步骤 6 中选择的任何选项设置 RADIUS 服务器。定义这些设置时，将使用支持外部 802.1x/EAP 的

RADIUS 服务器进行密钥生成和身份验证。在以下字段中输入值：

WPA2-AUTO-PSK 可尝试使用 WPA2 安全进行连接，如果客户端不支持 WPA2，则

连接将默认为 WPA。使用预共享密钥进行身份验证。

WPA2-AUTO-EAP 可尝试使用 WPA2 安全进行连接，如果客户端不支持 WPA2，连

接将默认为 WPA。使用可扩展身份验证协议。

注：页面上会显示不同的设置，具体取决于您选择的选项。

验证类型定义



设定 Radius 服务器设置的步骤如下：

设定 Radius 计费服务器设置的步骤如下：

ACL 实施每个虚拟接入点均可支持单独的访问控制列表 (ACL)，以提供更高效的身份验证控制。无线 ACL 增强功

能可配合 SonicOS 上目前可用的无线 MAC 过滤器列表使用。通过使用 ACL 实施功能，用户可以启用或禁

用 MAC 过滤器列表，设置“允许列表”和“拒绝列表”。

每个 VAP 都可以有自己的 MAC 过滤器列表设置或使用全局设置。启用全局设置后，默认情况下 SonicWave、

SonicPoint-N、SonicPointNDR/SonicPoint Ni/Ne、SonicPoint 或 SonicPoint-N 设备将使用这些设置。在虚拟

接入点 (VAP) 模式中，该群组的各虚拟接入点共享相同的 MAC 过滤器列表设置。

字段名称说明

Radius 服务器重试在访问被拒绝之前，输入用户可以尝试进行身份验证的次数。默认值为 4。

重试间隔 (秒) 输入重试有效的时间段。默认值为 0。

RADIUS 服务器 1 输入 RADIUS 身份验证服务器的名称/位置。

端口输入主要 RADIUS 身份验证服务器与客户端和网络设备进行通讯时使用

的端口。

RADIUS 服务器 1 密钥输入主要 RADIUS 身份验证服务器的密码。

RADIUS 服务器 2 输入备份 RADIUS 身份验证服务器的名称/位置。

端口输入备份 RADIUS 身份验证服务器与客户端和网络设备进行通讯时使用

的端口。

RADIUS 服务器 2 密钥输入备份 RADIUS 身份验证服务器的密码。

字段名称说明

服务器 1 IP 输入第一个 RADIUS 服务器的 IP 地址。

端口输入主要 RADIUS 计费服务器与客户端和网络设备进行通讯时使用的

端口。

服务器 1 密钥输入主要 RADIUS 计费服务器的密码。

服务器 2 IP 输入备份 RADIUS 服务器的 IP 地址。

端口输入备份 RADIUS 计费服务器与客户端和网络设备进行通讯时使用的

端口。

服务器 2 密钥输入备份 RADIUS 计费服务器的密码。

NAS 标识符类型从下拉菜单中选择 NAS 标识符类型。选项包括：不包括（默认值）、

接入点名称和接入点 MAC 地址

NAS IP 地址输入 NAS 系统 IP 地址。

群组密钥间隔群组密钥有效的时间段（秒），在此时间段后系统将强制更新群组密钥。默认值为 86400 秒（24 小时）。




虚拟接入点虚拟接入点设置功能用于设置常规虚拟接入点设置。SSID 和 VLAN ID 是通过 VAP 设置配置的。虚拟接入点

是从接入点 > 虚拟接入点页面配置的。

ACL 实施设置

选项说明

启用 MAC 过滤列表可通过允许或拒绝来自特定设备的流量强制实施访问控制。默认情况下未选中该选项，该部分的所有选项变暗且不可用。

使用全局 ACL 设置使用全局 ACL 设置

注：只有 SonicPointN 支持对每个虚拟接入点的 ACL 支持。如果一个虚拟接入

点由 SonicPoint/SonicWave 使用，则默认情况下将应用全局 ACL 配置。

允许列表选择一个 MAC 地址强制，以自动允许来自 MAC 地址在特定群组中列出的设

备的流量：

• 创建新 MAC 地址对象组... • 所有 MAC 地址

注：推荐将允许列表设置为所有 MAC 地址。

• 默认 SonicPoint/SonicWave ACL 允许群组

• 您开发的自定义 MAC 地址对象群组

拒绝列表从下拉菜单选择 MAC 地址组，以自动拒绝来自拥有该组中的 MAC 地址的所

有设备的流量。

注：拒绝列表在允许列表之前执行。

• 创建新 MAC 地址对象组... • 无 MAC 地址 • 默认 SonicPoint/SonicWave ACL 拒绝群组

注：推荐将拒绝列表设置为默认 SonicPoint/SonicWave ACL 拒绝群组。

• 您开发的自定义 MAC 地址对象群组

注：如果为验证类型选择了 WPA2-EAP/WPA2-自动-EAP，则不会显示此部分。


选项说明

启用远程 MAC 访问控制选中此框可以强制在远程 Radius 服务器实施基于 MAC 身份验证策略的无线电

访问控制。默认情况下，未选择该选项。

注：如果为验证类型选择了 WPA2-EAP/WPA2-自动-EAP 之外的选项，则选择

启用远程 MAC 访问控制将显示 Radius 服务器设置部分。



如需配置现有 VAP，请单击该虚拟接入点的编辑图标。如需添加新 VAP，请单击添加按钮。

主题：

• 第 187 页的通用面板

• 第 188 页的高级选项卡

通用面板

在常规面板上设置以下功能。

虚拟接入点常规设置

功能说明

名称为您的虚拟接入点创建合适的名称。

SSID 输入使用此 VAP 的接入点的 SSID 名称。当搜索可用的访问点时，此名称会出现

在无线客户端列表中。

VLAN ID 使用支持 VLAN 的平台时，您可以有选择性地选择与此虚拟接入点相关联的

VLAN ID。此虚拟接入点的设置将从您所选择的 VLAN 继承。

启用虚拟接入点启用此虚拟接入点。默认情况下已选中该选项。

启用 SSID 隐藏隐藏 SSID 名称的广播并禁用对探测请求的响应。如果不想要未授权的无线客户

端访问您的 SSID，请选择此选项。默认情况下未选中该选项。

启用动态 VLAN ID 分配

选中以启用。只能在身份验证类型设置为 EAP 时启用动态 VLAN。



高级选项卡

通过高级设置，您可以为特定的虚拟接入点配置身份验证和加密设置。选择配置文件名称以从用户创建的配置文件继承这些设置。由于添加/编辑虚拟接入点窗口和添加/编辑虚拟接入点的配置文件窗口的高

级选项卡相同，如需完整的验证和加密配置信息，请参见虚拟接入点配置文件。

虚拟接入点群组SonicWall NSA 设备提供有虚拟接入点群组功能。它允许对多个 VAP 对象进行分组，以将其同时应用于您

的接入点。虚拟接入点群组从连接 | 接入点 > 虚拟接入点页面配置。



添加虚拟接入点群组：




4 在提供的字段中输入虚拟接入点群组名称。

5 从可用的虚拟接入点对象列表中选择您要添加的对象，然后单击左箭头将其移至虚拟接入点群组成员列表。

或单击全部添加将所有对象添加到群组中。

6 选择一个对象并使用右箭头或全部删除按钮从群组中删除对象。

7 单击确定以保存您的设置。



22

配置 RF 监控

当今基于 802.11 的无线网络设备所使用的射频 (RF) 技术对入侵者颇具吸引力。如果不加管理，射频设备会

使您的无线（和有线）网络对于外部的各种威胁（从拒绝服务 (DoS) 到网络安全破坏）处于开放状态。

为了帮助保护 SonicWall 无线接入点，SonicWall 将帮助在不中断无线或有线网络当前运行的情况下检测

威胁。

SonicWall RF 监控提供对 SonicPoint 射频流量的实时威胁监控和管理。除有实时威胁监控功能外，SonicWall RF 监控还提供了集中收集 RF 威胁和流量统计的系统；还提供了一种直接从 SonicWall 安全设备网关轻松

管理射频功能的方法。

管理视图上的连接 | 接入点 > RF 监控页面提供了一个中心位置，用于选择 RF 签名类型、查看已发现的 RF 威胁工作站以及将所发现的威胁工作站添加到监视列表中。

主题：

• 前提条件

• RF 监视摘要


配置 RF 监控 190

前提条件为强制实施 RF 监控，您必须在所有可用接入点上启用 RF 监控选项。完成此操作的简单方法是更新接入

点配置文件，然后将该配置文件应用于适用的接入点。查找 RF 监控选项的步骤如下：


2 单击您要更新的配置文件上的编辑图标（或如果要创建新的配置文件，请从添加新配置文件下拉菜单中选择 SonicPoint/SonicWave 类型）。

3 选中常规窗口中的启用 RF 监控框。

如需设置配置文件的更多信息，请参阅创建/修改设置配置文件。

RF 监视摘要RF 监控摘要显示已针对 RF 监控配置的接入点的相关数据。

它还以红色显示已识别的 RF 威胁数以及度量间隔设置。可以通过在字段中输入一个新数字来重置度量

间隔。默认值为 300 秒。确保单击接受以保存设置。

通过单击蓝色的接入点链接，您将进入连接 | 接入点 > 基本设置页面来编辑配置文件或对象设置。

802.11 常规帧设置“802.11 通用帧设置”面板显示一般威胁的总数以及启用长久持续的选项。

选中该框可启用长久持续。通过将射频光谱划分为 14 个交错的信道，无线设备可共享电视广播。每个

设备在指定的（短）持续时间内都保留一个信道，在此期间，任何一个设备都保留有一个信道，其他已知的设备在该信道上不广播。长久持续攻击通过保留多个射频信道较长的时间来使用该过程，并通过找到开放的广播信道有效地停止合法的无线流量。默认情况下未指定该选项。

确保单击接受以保存设置。



802.11 管理帧设置802.11 管理帧设置面板用于配置您的管理帧设置，并显示每项设置的威胁数。

选中该框以启用其中任何选项，而且默认情况下，所有选项已启用。单击接受以保存设置。下表介绍了管理帧设置。

802.11 数据帧设置802.11 数据帧设置面板用于配置您的数据帧设置，并显示每项设置的威胁数。

802.11 管理帧设置

名称说明

所有管理威胁显示管理威胁的总数。

管理帧淹没 DoS 攻击的变体尝试用管理帧淹没无线接入点（例如关联或验证

请求），该管理帧使用伪造的请求填充管理表。

无探测回应无线客户端发送探测请求时，攻击者返回包含空 SSID 的响应。

该响应会使多个常见无线卡和设备停止响应。

广播取消验证这个 DoS 变异发送欺骗的取消验证帧给无线客户，强迫它们连

续的取消验证和持续的和接入点之间再验证

有效的站点含有无效的 SSID 在该攻击中，欺诈接入点尝试广播受信任的站点 ID (ESSID)。尽管

BSSID 通常无效，站点仍对客户端显示，好像它是受信任的接入

点。该攻击的目的是通常从受信任的客户端获取验证信息。

Wellenreiter 检测 Wellenreiter 是常用的软件应用程序，攻击者可使用它检索来自周

围无线网络的信息。

Ad-Hoc 站点检测 Ad-Hoc 站点是可提供无线客户端访问权限的节点，其访问方式为

充当实际接入点和用户之间的网桥。无线用户通常受欺骗连接

Ad-Hoc 站点而非实际的接入点，因为它们可能有相同的 SSID。这

使 Ad-Hoc 站点能拦截连接的客户端与接入点之间发送或接收的

任何无线流量。



选中该框以启用其中任何选项。单击接受以保存设置。默认情况下，未关联站点未处于选中状态；其他选项已启用。下表介绍了数据帧设置。

已发现 RF 威胁站点已发现 RF 威胁站点面板显示了有关已发现的 RF 威胁站点的信息。它可以显示所有已发现的威胁站点，

也可以仅显示观察列表群组中的威胁站点，具体取决于您从视图类型：工作站下拉菜单中选择的内容。

“威胁工作站”表中的数据的详细描述如下所示：

802.11 数据帧设置

名称说明

所有数据威胁显示数据威胁的总数。

未关联站点无线站点在与接入点相关联之前尝试进行验证，未关联的站点在未关联期间通过将淹没的验证请求发送给接入点可创建 DoS。

NetStumbler 检测通常用于找到免费的互联网访问和所需的网络。NetStumbler 与 GPS 接收器

和映射软件相结合，可自动映射无线网络的位置。攻击者也将 NetStumbler 用于从周围的无线网络检索信息。

EAPOL 数据包攻击局域网的扩展验证协议 (EAPOL) 数据包用在 WPA 和 WPA2 验证机制中。由

于这些数据包类似其他验证请求数据包，由无线接入点公开接收，因此这些数据包的攻击会使 DoS 进入您的网络。

弱 WEP IV WEP 安全机制使用您的 WEP 密钥以及随机选择的 24 位数字作为初始向量

(IV) 来加密数据。由于随机初始向量的数字比其它数字弱，网络攻击者通

常针对此类加密类型，使其更容易解密 WEP 密钥。



将威胁站点添加到监控列表中RF 监控已发现威胁站点“监视列表”功能用于创建无线网络的威胁监视列表。监视列表用于过滤已发现射

频威胁站点列表中的结果。

将站点添加到监视列表中的步骤如下：

1 在 SonicPoint > RF 监视页面中，转至已发现 RF 威胁站点部分。

2 单击与您想要添加到监视列表的威胁站点相对应的编辑图标。将显示确认对话框。

3 单击确定将站点添加到监视列表。

4 如果不慎将站点添加到监视列表或要从列表中删除某站点，请单击与您想要删除的威胁站点相对应的删除图标。

5 单击接受。

已发现 RF 威胁站点

名称说明

项目显示记录的威胁的总数。如果适用，请使用箭头按钮浏览页面。

视图样式：站点选择条目列表中显示的站点类型：

• 所有已发现的系统。 • 仅在监视列表群中的站点

MAC 地址按照 MAC 地址对条目排序。这是射频威胁站点的物理地址。

类型按照从威胁站点接收的无线信号的类型对条目排序。

供应商按供应商对条目排序。这是威胁站点的制造商（由 MAC 地址确定）。

RSSI 按照 SonicPoint 报告的接收信号的强度对条目排序。该条目以及传感器条目，

在对 RF 威胁设备的实际物理位置做三角测量时非常有用。

速率按照威胁站点的传输速率 (Mbps) 对条目进行排序。

加密按照威胁站点上的无线信号加密（无或已加密）对条目进行排序。

射频威胁按照射频威胁对条目进行排序（发生在近的时间）。

更新时间按照创建/更新此日志记录的时间对条目进行排序。

传感器按照记录此威胁的 SonicPoint 的 ID 对条目排序。该条目以及 Rssi 条目，在对 RF 威胁设备的实际物理位置做三角测量时非常有用。

备注显示用于添加有关威胁注释的文本框。

配置配置已发现站点的监视列表。

提示：使用记录的威胁统计可找到射频威胁设备的大概位置。如需使用射频管理威胁统计的实用性建议和信息，请参阅第 195 页的实用型 RF 监控字段应用程序。

提示：将一个或多个站点添加到监视列表中后，您可以通过选择视图样式下拉列表中的仅在监视列表群中的站点过滤结果，以便仅显示实时日志中的这些站点。



实用型 RF 监控字段应用程序本节概述了检测 Wi-Fi 威胁源时收集 RF 监控数据的实际用途。使用射频数据查找威胁时请注意，无线信

号受多方面的影响。

• 信号强度并不总是一个很好的距离指标。

墙壁等障碍物、无线干扰、设备功率输出甚至环境的温度和湿度等都会影响无线设备的信号强度。

• MAC 地址并不总是永久的。

虽然 MAC 地址通常可以很好地指示设备类型和制造商，但该地址容易发生变化且可能遭受欺诈。

同样，RF 威胁的发起人有多个硬件设备可供自行支配。

主题：

• 使用传感器 ID 确定射频威胁位置

• 第 196 页的使用 RSSI 确定邻近的射频威胁

使用传感器 ID 确定射频威胁位置在已发现 RF 威胁站点表中，传感器字段可指示哪个接入点正在检测特定的威胁。通过使用传感器 ID 和

接入点的 MAC 地址，您可以轻松地确定正在检测威胁的接入点的位置。

1 转至连接 | 接入点 > RF 监控页面。

2 在已发现 RF 威胁站点表中，找到检测目标 RF 威胁的 SonicPoint 的传感器，并记录其编号。

3 转至连接 | 接入点 > 基本设置。

4 在 SonicPoint/SonicWave 对象表中，找到与您在步骤 2 中记录的传感器编号相匹配的接入点。

5 记录此 SonicPoint 的 MAC 地址。

6 使用 MAC 地址查找接入点的物理位置。

RF 威胁可能位于此接入点服务的位置。

提示：尤其在本节中（且作为一般的良好习惯），您可能会发现它在保留位置记录和您的接入点的 MAC 地址时非常有用。



使用传感器 ID 确定 RF 威胁位置

使用 RSSI 确定邻近的射频威胁

本节基于使用传感器 ID 确定射频威胁位置中的内容。在“已发现 RF 威胁站点”列表中，Rssi 字段指示特

定的接入点检测 RF 威胁时的信号强度。

使用 RSSI 确定邻近的 RF 威胁

通过 Rssi 字段，您可以轻松确定 RF 威胁对于正在检测该威胁的接入点的邻近位置。较大的 Rssi 编号通常

表示威胁距离接入点很近。

重要：必须记住，墙壁可能会阻碍无线信号。虽然 Rssi 信号非常弱表明 RF 威胁距离接入点较远，但

它也可能说明威胁位于附近位置，但在室外或建筑物外。



1 转至连接 | 接入点 > RF 监控页面。

2 在已发现 RF 威胁站点表中，找到检测目标 RF 威胁的接入点的传感器和 Rssi，并记录这些编号。

3 转至连接 | 接入点 > 基本设置页面。

4 在 SonicPoint/SonicWave 对象表中，找到与您在步骤 2 中记录的传感器编号相匹配的 SonicPoint。

5 记录此 SonicPoint 的 MAC 地址。

6 使用 MAC 地址查找 SonicPoint 的物理位置。

较高的 Rssi 编号通常表示射频威胁距离 SonicPoint 很近。较低的 Rssi 编号表示存在障碍物或距离射

频威胁较远。



23

配置 FairNet

FairNet 功能为网络管理员提供了一种易于使用的方法来控制关联的无线客户端的带宽，并确保在这些

无线客户端之间公平地分配带宽。管理员可以为所有无线客户端、特定的 IP 地址范围或单独的客户端

配置 FairNet 带宽限制，以实现公平原则和提高网络效率。

这是典型 FairNet 拓扑的示例：

典型 FairNet 拓扑

如需部署 FairNet 功能，您必须具有配备 IEEE802.11b/g/n 无线网络接口控制器的笔记本电脑或 PC。

主题：

• 支持的平台

• FairNet 的功能

• 管理接口概述

• 配置 FairNet

支持的平台当前以下设备型号支持 FairNet 功能：

• SonicWall TZ 系列

• SonicWall NSA 系列

• SonicWall E 级 NSA 系列

• SonicWall SuperMassiv 系列


配置 FairNet 198

FairNet 的功能分布式协调功能 (DCF) 对每个访问媒体的客户端提供了相同的时间机会。但不能保证所有无线客户端之

间的站点预处理数据流量都相等。FairNet 功能在现有 802.11 DCF 的顶层实施，可保证无线客户端之间

带宽的公平性，而无需考虑流量的方向和数量。

流量控制功能可确定数据包是否排队或丢弃（例如，如果队列已达到某长度限制或流量超过某速度限制）。还可确定发送数据包的顺序（例如，对某些数据包优先发送），以及延迟数据包的发送（例如，限制出站流量的速率）。流量控制释放要发送的数据包后，设备驱动程序会拾取该数据包，并在网络上发送。

管理接口概述FairNet 显示组件如下表所述。

FairNet 接口组件

名称说明

按钮和复选框

添加针对 IP 地址或地址范围添加 FairNet 策略。随即显示添加 FairNet 策略对话框。

删除删除选定的 FairNet 策略。

接受应用新的配置设置。

取消取消任何已更改的配置设置。

复选框

启用 FairNet 启用 FairNet 策略。

FairNet 策略在 FairNet 策略表格标题：选择或取消选择 FairNet 策略表中的所有策略。

也可以从策略列表中选择各项策略。

FairNet 策略表列

方向显示每个策略的方向。方向包括：

• 上行• 下行• 两者

起始 IP 显示起始 IP 地址范围。

终止 IP 显示终止 IP 地址范围。

小比率(kbps) 保证客户端的小带宽。小速率为 1 Kbps。


配置 FairNet 199

配置 FairNet本节包含 FairNet 的配置示例。

将 FairNet 配置为提供更多的双向带宽的步骤如下：

1 转至连接 | 接入点 > FairNet 页面。

2 单击添加按钮。

3 选中启用策略框。默认情况下已选中该复选框。

4 从方向下拉菜单，选择双向。这会将策略应用到上传和下载内容的客户端。这是默认值。

5 在起始 IP 字段，输入 FairNet 策略的起始 IP 地址 (例如，172.16.29.100)。

6 在终止 IP 字段，输入 FairNet 策略的终止 IP 地址 (例如，172.16.29.100)。

7 在最小速率 (kbps) 字段中，输入 FairNet 策略的小带宽。小值和默认值是 100Kbps，而大值是

300Mbps (300,000Kbps)。

8 在最大速率 (kbps) 字段中，输入 FairNet 策略的大带宽。小值和默认值为 100Kbps，而大值为

300Mbps (300,000Kbps)，但典型设置为 20Mbps。

9 从接口下拉菜单中，选择接入点连接到的接口（例如，X2）。

10 单击确定按钮，FairNet 策略将添加到 FairNet 策略表中。

大比率(kbps) 客户端保证的大带宽。大速率为 54000 Kbps。

接口显示 FairNet 策略适用的范围。这是接入点连接到的管理防火墙上的接口。

启用选中该框时启用选定的 FairNet 策略。

配置单击编辑图标后可编辑现有的 FairNet 策略。单击删除图标后可删除特定的

FairNet 策略。

提示：IP 地址范围必须位于对 WLAN 接口配置的子网中。

FairNet 接口组件

名称说明


配置 FairNet 200

11 单击启用复选框。

12 单击接受按钮。

您的 SonicWall FairNet 策略现已配置。


配置 FairNet 201

24

配置 Wi-Fi 多媒体

SonicOS 接入点支持 Wi-Fi 多媒体 (WMM)，针对带宽密集型应用程序（如 VoIP、在 Wi-Fi 电话上提供 VoIP、

在无线 IEEE 802.11 网络上提供多媒体流量）提供更好的服务质量 (QoS) 体验。

WMM 是一项基于 IEEE 802.11e 标准的 Wi-Fi 联盟互操作性认证。它根据四个访问类别设置流量优先级：

• 语音 - 高优先级

• 视频 - 第二优先级

• 尽力而为 - 第三优先级（用于电子邮件和互联网浏览等应用）

• 后台 - 第四优先级（用于对延迟不敏感的应用，如打印等）

主题：

• WMM 访问类别

• 将流量分配到访问类别

• 配置 Wi-Fi 多媒体参数

• 删除 WMM 配置文件

WMM 访问类别每个访问类别都有自己的传输队列。根据应用或防火墙提供的服务类别 (ToS) 信息，将流量分配到相应

的访问类别。SonicWall 安全设备通过访问规则或 VLAN 标签分配 TOS。

下表显示了 WMM 访问类别与 802.1D 用户优先级的映射关系。

注：WMM 不保证吞吐量。


配置 Wi-Fi 多媒体 202

WMM 通过一个称为增强分布式信道接入(EDCA) 的过程来设置流量优先级。它通过为各访问类别定义一

系列不同的“回退”时间来设置流量优先级。WMM 退避时间由两个参数来定义：

• 仲裁帧间空间 (AIFS) - 无线信道变为空闲到 AC 可以开始协商接入信道的时间。

• 竞争窗口 (CW) - 随机退避时间的可能值范围。指定随机退避时间的范围。CW 由小值和大值来

定义：

• 最小竞争窗口 (CWMin) - CW 长度的初始上限。尝试传输之前，AC 会等待 0 到 CWMin 之间的

随机时间。AC 的优先级越高，则所分配的 CWMin 越短。

• 最大竞争窗口 (CWMax) - CW 的上限。如果发生冲突，AC 将 CW 的大小加倍，直至达到 CWMax，然后再次尝试传输。CWMax 必须大于 CWMin。

一般来说，AC 的优先级越高，则所分配的 AIFS、CWMin、CWMax 值越低。

为接入点和站点（SonicWall 安全设备）配置单独的 WMM 参数。下表显示了接入点和 SonicWall 安全设

备的默认 WMM 参数。

Wi-Fi 多媒体访问类别

优先级用户优先级（同 802.1D 用户优先级）

802.1D 名称WMM 访问类别 (AC)

WMM AC 名称

（易懂）

低 1 BK AC_BK 后台

2 - AC_BK 后台

0 BE AC_BE 尽力而为

3 EE AC_BE 尽力而为

4 CL AC_VI 视频

5 VI AC_VI 视频

6 VO AC_VO 语音

高 7 NC AC_VO 语音

注：AIFS、CWMin 和 CWMax 的度量单位是所用 802.11 标准的时间槽的倍数。对于 802.11b，一个

时间槽为 20 微秒。对于 802.11a 和 802.11g，一个时间槽为 9 微秒。

接入点的默认 WMM 参数

WMM 访问类

别 (AC)WMM AC 名称

（易懂）CWMin CWMax AIFS

AC_BE(0) 尽力而为 4 6 3

AC_BK(1) 后台 4 10 7

AC_VI(2) 视频 3 4 1

AC_VO(3) 语音 2 3 1

SonicWall 安全设备的默认 WMM 参数

WMM 访问类



AC_BE(0) 尽力而为 4 10 3

AC_BK(1) 后台 4 10 7



将流量分配到访问类别WMM 要求接入点为多个优先级访问类别实施多个队列。为区分流量类型，接入点依赖应用程序或防火墙

在 IP 数据中提供服务类型 (TOS) 信息。SonicWall 安全设备通过两种方法将流量分配到 WMM 访问类别：

• 指定防火墙服务和访问规则

• VLAN 标签

指定防火墙服务和访问规则可以区分使用某个端口的服务的优先级，并将这些服务置于合适的传输队列。例如，可以将发送到端口

2427 的 UDP 流量视为视频流。可以在策略 | 对象 > 服务对象页面上添加自定义服务。如需更多信息，

请参阅 SonicWall SonicOS 6.5 策略。

至少应在策略 | 规则 > 访问规则页面上为新服务添加一条访问规则。例如，如果 LAN 区域上的工作站到

WLAN 区域上的无线客户端发生此类服务，则可以在添加规则窗口的常规选项卡中配置访问规则。在添

加规则窗口的 QoS 选项卡中，将定义一个显式 DSCP 值。

随后，当通过防火墙使用 UDP 协议以目标端口 2427 将数据包发送到接入点时，将根据访问规则中的

QoS 设置设定其 TOS 字段。

VLAN 标签可以通过虚拟接入点在 VLAN 中设置优先级，因为 SonicWave、SonicPoint N 和 AC 允许将虚拟接入点配置

为使用同一 VLAN ID 连接 VLAN。您可以通过防火墙访问规则为 VLAN 流量设置优先级。

防火墙访问规则类似于为发送到某个端口（如 2427）的 UDP 服务设置优先级，但它是使用 VLAN（通过

VAP 的 VLAN）接口（如 WLAN 子网）配置的，因为源和目标是一项 WLAN 至 WLAN 规则。如需更多信

息，请参阅 SonicWall SonicOS 6.5 策略中的“策略 | 规则 > 访问规则”。

配置 Wi-Fi 多媒体参数默认情况下，SonicWall 安全设备配置一个 WMM 配置文件，参数设置为 802.11e 标准的值。

主题：

• 配置 WMM

• 为接入点创建一个 WMM 配置文件

• 删除 WMM 配置文件

AC_VI(2) 视频 3 4 2

AC_VO(3) 语音 2 3 2

SonicWall 安全设备的默认 WMM 参数

WMM 访问类





配置 WMM

自定义 WMM 配置的步骤如下：

1 转至连接 | 接入点 > Wi-Fi 多媒体页面。

2 如需修改 WMM 配置文件，请单击该配置文件的编辑图标。或如需创建新的 WMM 配置文件，请

单击添加按钮。

3 针对新的 WMM 配置文件，输入配置文件名称。默认名称为 wmmDefault。

4 修改参数以自定义 WMM 配置文件；默认 WMM 参数值在窗口中自动填写。如需这些类别的信息，

请参阅 Wi-Fi 多媒体访问类别表。



5 单击映射选项卡以自定义访问类别与 DSCP 值的映射关系。

6 将优先级别映射到 DSCP 值。默认的 DSCP 值与策略 | 规则 > 访问规则，QoS 映射中的值相同。

7 单击确定。

为接入点创建一个 WMM 配置文件管理视图上的连接 | 接入点 > Wi-Fi 多媒体页面提供了用于配置 WMM 配置文件（包括参数和优先级映

射）的方法。

从接入点 > 基本设置页面配置 SonicWave、SonicPoint N 或 SonicPoint AC 配置文件时，您还可以创建 WMM 配置文件或选择现有 WMM 配置文件。配置窗口在高级/无线 0/1 高级选项卡上提供了一个 WMM（Wi-Fi 多媒体）下拉菜单。

从 WMM（Wi-Fi 多媒体）下拉菜单中选择创建新 WMM 配置文件… 将显示添加 Wlan WMM 配置文件窗口。

删除 WMM 配置文件如需删除单个 WMM 配置文件，请单击该配置文件的配置列中的删除图标。

如需删除多个 WMM 配置文件，请选中要删除的配置文件旁边的框，然后单击删除按钮。

如需删除所有 WMM 配置文件，请单击全部删除按钮。此时会显示一条弹出消息，确认将删除所有配置

文件。

注：配置 WMM 配置文件时，您可以配置争用窗口 (CWMin/CWMax) 的大小并在创建 WMM 配

置文件时配置仲裁帧间间隔 (AIFS) 数。可以在接入点 (SonicPointN) 上为每个优先级

（AC_BK、AC_BE、AC_VI 和 AC_VO）以及为工作站（防火墙）配置这些值。



25

接入点 3G/4G/LTE WWAN

如果有一个 3G/4G/LTE 设备已连接到您的接入点之一，则连接 | 接入点 > 3G/4G/LTE WWAN 页面提供了有

关该设备的监控信息。

第一个面板提供连接数据和调制解调器状态，而第二个面板显示设备信号强度的图形表示。

单击“刷新”按钮以刷新面板中的数据。

如果在其中一个接入点上未检测到 3G/4G/LTE 设备，则您会在连接 | 接入点 > 3G/4G/LTE WWAN 页面上

看到下列信息：


接入点 3G/4G/LTE WWAN 207


接入点 3G/4G/LTE WWAN 208


无线

第 4 部分

209

无线

• 无线概述

• 配置无线设置

• 配置无线安全

• 配置高级无线设置

• 无线 MAC 过滤器列表

• 配置无线 IDS

• 配置使用内部无线网络的虚拟接入点

26

无线概述

SonicWall 无线安全设备支持 IEEE 802.11a、 802.11ac、802.11b、802.11g 和 802.11n，并通过无线传输发

送数据。这些传输通常称为 WI-FI 或无线。SonicWall 无线安全设备将这些网络组件组合使用，以提供完

全安全的无线防火墙：接入点、安全无线网关、有灵活 NAT 和 VPN 终端及启动功能的状态防火墙。通

过这种组合，无线安全设备提供了无线灵活性，但并未降低网络的安全性。

通常，无线安全设备是无线 LAN 的接入点，并作为 LAN 中计算机的中央接入点。此外，它还与网络中计

算机共享相同的宽带连接。由于无线安全设备还提供防火墙保护，来自互联网的入侵者无法访问您网络中的计算机或文件。对于“始终开启”的连接，例如由网络中计算机共享的 DSL 或 T1 线路，这一点尤为

重要。

但是，无线 LAN 容易受到其他无线网络“窃听”，这表示您应该为无线 LAN 建立无线安全策略。在无线安

全设备中，无线客户端连接到防火墙的接入点层。无线流量并非直接桥接到有线网络，而是首先传送到安全无线网关层，在此需要客户端通过用户级别身份验证。对访客服务和 MAC 过滤器列表的无线访问

由无线安全设备管理。如果符合所有安全条件，则无线网络流量可以通过以下分配系统之一进行传输：

• LAN

• WAN

• WLAN 上的无线客户端

• Opt 端口上的 DMZ 或其他区域

• VPN 隧道访问的网络

主题：

• FCC U-NII 新规则合规

• 使用无线连接的考虑事项

• 对佳无线性能的建议

• 调节天线

• 无线节点计数实施

• MAC 过滤列表

设备支持由 SonicOS 支持的无线设备包括：

• TZ 500W

• TZ 400W

• TZ 300W

• SOHO W


无线概述210

合规性无线设备必须符合在特定区域销售和使用这些设备的各种要求。如需 SonicWall 无线设备的监管审批和

限制的新信息，请参阅产品的“产品文档”页面，网址为 https://www.sonicwall.com/zh-cn/support。每

个设备都有提供相关信息的唯一监管文档或入门指南。

FCC U-NII 新规则合规自 SonicOS 6.2.5.1 开始，TZ 系列和 SOHO 无线设备支持 FCC U-NII（未获许可 - 国家信息基础设施）新规则

（报告和顺序 ET 案卷编号 13-49)。为符合 FCC 新规则中的动态频率选择 (DFS)，TZ 系列或 SOHO 无线设

备检测并避免干扰 DFS 频段雷达信号。

RED 合规性从 SonicOS 6.5 开始，TZ 系列和 SOHO 无线设备都支持无线合规指令 (RED)。RED (2014/53 / EU) 为无线频谱

的安全和健康、电磁兼容性及有效使用设定了基本要求。

使用无线连接的考虑事项在评估无线连接与有线连接时，请考虑基础结构和环境的优缺点：

对最佳无线性能的建议为了获得佳的无线性能，SonicWall 推荐采取以下措施：

• 将无线安全设备防止在所需网络的中央。这可以通过邻接无线网络来降低受到窃听的可能性。

• 大限度减少无线安全设备与接收点（例如 PC 或笔记本电脑）之间的墙壁或天花板数。

• 尝试将无线安全设备放置在与其他无线组件呈直线的位置。当无线组件彼此呈直线时可以达到佳性能。

• 建筑施工会影响无线性能。

• 避免将无线安全设备放置在墙壁、壁炉或其他较大固体附近。

• 将无线安全设备放置在计算机机箱、显示器和电器等金属物体附近会影响装置的性能。

注：仅有 SonicOS 6.2.5.1 及更高版本支持有符合 FCC 新规则的固件的 TZ 系列和 SOHO 无线设备。

移动性您的网络中大部分是笔记本电脑吗？无线比有线连接的便携性更高。

方便无线网络不需要通过线缆连接至个人计算机或打开计算机机箱来安装网卡。

速度如果网速对您很重要，您可能需要考虑使用以太网连接而不是无线连接。

范围和覆盖率如果您的网络环境中包含无数物理屏障或干扰因素，则您可能不适合使用无线网络。

安全由于无线传输具有不受限制的性质，因此无线网络存在固有的安全问题。但是，无线安全设备是防火墙且拥有提供安全性的 NAT 功能，您还可以使

用 WPA 或 WPA2 保障数据传输的安全。


无线概述211


• 如果无线安全设备安装在金属框、UV 窗膜、混凝土或砌石墙及金属漆等类型的材料附近，

会降低信号强度。

• 在高处安装无线安全设备有助于避开障碍物和改善建筑物高层的性能。

• 邻接的无线网络和设备会影响信号强度、速度和无线安全设备的范围。

• 无绳电话、收音机、微波炉和电视机等设备可能对无线安全设备造成干扰。

调节天线可以调节无线安全设备上的天线，已获得佳无线接收效果。首先将天线垂直指向上，然后根据需要调节。注意在某些区域，例如在无线安全设备正下方的区域，接收效果相对较差。将天线直指向其他无线设备不会改善接收效果。请勿将天线放置在金属门或墙壁附近，因为这会造成干扰。

无线节点计数实施未将连接到 WLAN 或通过 SonicWall GroupVPN 连接的用户计入 SonicWall 无线网络设备上的节点实施。只将

LAN 上和 Opt 端口上的非无线区域的用户计入节点限值。

“工作站状态”表列出所有连接的无线节点。

MAC 过滤列表SonicWall 无线安全设备网络协议提供本机 MAC 地址过滤功能。在启用 MAC 地址过滤时，会在 802.11 层

进行过滤，阻止无线客户端进行身份验证和与无线接入点关联。由于无法不经过身份验证和关联进行数据通信，因此无法授予访问网络的权限，直至客户端向网络管理员提供其无线网卡的 MAC 地址。


无线概述212

27

配置无线设置

可以将无线设备设置为接入点、无线客户端桥接或设置为接入点和工作站。

配置 802.11 无线天线的设置的步骤如下：

1 转至管理视图，然后选择连接 | 无线 > 基本设置。

2 选择您希望无线设备执行的无线角色。

以下部分介绍了为每个无线角色选项配置设备的方法：

• 接入点

• 无线桥接

• 接入点和工作站

接入点为无线角色选择接入点可以将 SonicWall 配置为无线客户端的互联网/网络网关，如下图所示：

无线传送模式：接入点

重要：从一种模式切换到另一种模式会导致客户端掉线，之后需要重启。

注：页面上的选项根据您选择的无线角色而变化。


配置无线设置213

主题：

• 接入点无线设置

• 接入点无线虚拟接入点

接入点无线设置


2 在连接下，选择无线 > 基本设置。

3 从无线角色字段的下拉菜单中，选择接入点。

4 选中启用 WLAN 无线框。这为移动用户提供了干净的无线访问。单击应用以使此设置生效。默认情

况下，WLAN 无线处于禁用状态。

5 从日程字段的下拉菜单中，选择 WLAN 无线活动的时间。“日程”列表显示了您在系统设置 | 设备 > 系统日程页面中创建和管理的日程对象。默认值为始终打开。

重要：将无线设备设置为接入点时，您必须遵守法规区域和/或有关无线运营场所规定的所有法规。



6 在国家/地区代码字段中，选择使用设备的国家/地区。国家或地区代码可确定无线操作由哪个管

理范围监管。

7 从无线模式字段的下拉菜单中，选择您的首选无线模式。无线安全设备支持以下模式：

• 802.11n/a/ac 混合模式 - 如果 802.11a、802.11ac 和 802.11n 客户端访问您的无线网络，则选择

该模式。

• 802.11ac 单一模式 - 如果仅 802.11ac 客户端访问您的无线网络，则选择该模式。

“无线设置”部分中的其他选项可能会更改，具体取决于您选择的无线模式。

主题：

• 802.11n 无线设置

• 802.11a/b/g 无线设置

• 802.11ac 无线设置

802.11n 无线设置当无线模式字段针对仅支持 802.11n 的模式或包含 802.11n 的混合模式进行了配置时，请设置以下选项：

提示：为使 802.11n 客户端达到独一无二的佳吞吐量速度，SonicWall 建议使用仅 802.11n 无线模式。对多个无线客户端身份验证的兼容性，可使用 802.11n/b/g 混合模式无线模式。

无线模式定义

2.4GHz 802.11n/g/b 混合模式

同时支持 802.11b、802.11g 和 802.11n 客户端。如果无线网络包含

多种类型的客户端，请选择该模式。

2.4GHz 802.11n 单一模式仅允许 802.11n 客户端访问您的无线网络。802.11a/b/g 客户端不能

在此受限的无线模式下连接。

2.4GHz 802.11g/b 混合模式同时支持 802.11g 和 802.11b 客户端。如果您的无线网络包含这两

种类型的客户端，请选择该模式。

2.4GHz 802.11g 单一模式如果您的无线网络仅包含 802.11g 客户端，请选择该模式，以提高

802.11g 的性能。如果想要避免 802.11b 客户端关联，也可以选择该

模式。

5GHz 802.11n/a 混合模式如果 802.11a 和 802.11n 客户端访问您的无线网络，请选择该模式。

5GHz 802.11n 单一模式如果仅 802.11n 客户端访问您的无线网络，请选择该模式。

5GHz 802.11a 单一模式如果仅 802.11a 客户端访问您的无线网络，则可选择该模式。

5GHz 802.11n/a/ac 混合模式如果 802.11a、802.11n 和 802.11ac 客户端访问您的无线网络，请

选择该模式。

5GHz 802.11ac 单一模式如果要提高吞吐量，请选择该模式。

注：您看到的选项可能略有不同，具体取决于要配置的设备的类型。

无线频段设置 802.11n 无线的频段

自动设备可以根据信号的强度和完整性自动检测和设置无线操作的佳信道。这是默认设置。



802.11a/b/g 无线设置

当无线模式字段针对支持仅 802.11a、802.11g/b 混合或仅 802.11b 的模式进行了配置时，请设置以下选项：

802.11ac 无线设置

对仅 802.11ac 配置无线时，将显示以下选项：

• “无线波段”下拉菜单 - 为 802.11ac 无线设置频段，这也运行支持频段带宽-80 MHz 信道。

• 信道下拉菜单 - 选择信道：

• 自动 - 使无线安全设备可以根据信号的强度和完整性自动检测和设置无线操作的佳信道。

默认信道设置为自动，将在右侧显示所选的操作信道。此外，可以明确定义您的调节区域范围内的操作信道。

• 特定信道 - 如需了解可用信道，请参阅设置配置文件的无线 0/1 基本设置。

标准 - 20 MHz 信道指定 802.11n 无线仅使用标准 20 MHz 信道。选择该选项后，将显示标

准信道下拉菜单

标准信道默认情况下，该项设置为自动，使设备可以根据信号强度和完整性设置佳信道。您可以在监管域的范围内选择单个信道。选择特定信道还可帮助您避免受到该区域内其他无线网络的干扰。

带宽 - 40 MHz 信道指定 802.11n 无线仅使用带宽 40 MHz 信道。选择此选项时，会显示主

要信道和次要信道下拉菜单。

主要信道默认情况下设置为自动，或您可以指定特定的主要频道。

次要信道该下拉菜单的配置由您所选择的主要信道控制：

• 如果主要信道设置为“自动”，则次要信道也将设置为“自动”。• 如果主要信道设置为某个特定的信道，则次要信道将设置为

可以避免受主要信道干扰的佳信道。

启用短期保护间隔如果支持，启用此功能以获得更高的发送/接收速率。它仅适用于

802.11ac/n 模式。

启用聚合启用 802.11n 帧聚合，将多个帧结合到一起以减少开销并增加吞吐

量。它仅适用于 802.11ac/n 模式。

启用 WDS AP 允许 WDS 客户端连接到此接入点。

SSID 填充的是 sonicwall- 加上 BSSID 的后四个字符；例如，

sonicwall-C587。可将 SSID 更改为任何字母数字值，多包含

32 个字符。

提示：启用短期保护间隔和启用聚合选项可稍微提高吞吐量。当用户有较强的信号且干扰较小时，它们可以在佳的网络条件下发挥大作用。在达不到佳条件的网络中（受到干扰、信号较弱等），这些选项可能会导致传输错误，从而消弱吞吐量中的任何有效增益。

信道设备可以根据信号的强度和完整性自动检测和设置无线操作的佳信道。这是默认设置。您可以在监管域的范围内选择单个信道。

启用 WDS AP 允许 WDS 客户端连接到此接入点。


sonicwall-C587。可将 SSID 更改为任何字母数字值，多包含 32 个字符。



接入点无线虚拟接入点如果使用无线虚拟接入点，请从无线虚拟接入点部分的下拉菜单中选择虚拟接入点群组。也可以选择以前定义的 VAP 群组。

完成所有接入点设置后，请单击接受以保存设置。

无线桥接无线设备通过无线桥接至另一个 SonicWall 无线设备或 SonicPoint 接入点提供互联网/网络访问，如无线

传送模式：无线客户端桥接中所示。通过选择无线客户端桥接作为无线角色，可以实现物理分离的位置之间的安全网络通信，而无需连接长而昂贵的以太网电缆。

无线传送模式：无线客户端桥接

主题：

• 客户端网桥无线设置

• 客户端桥接高级无线设置

客户端网桥无线设置



3 从无线角色字段的下拉菜单中，选择无线客户端桥接。

注：如果正在使用无线虚拟接入点，则该设备不能用作无线客户端网桥。

注：如需无线客户端桥接的更多信息，请参阅 http://www.SonicWall.com/us/support.html 提供的

SonicWall 安全无线网络集成解决方案指南或 SonicWall 无线桥接技术注释。



http://www.sonicwall.com/us/support.html

4 如果要使用无线接口作为 WAN，请选中该框。不会检查默认值。

5 在无线设置部分下，选中启用 WLAN 无线框。在客户端桥接模式下，启用无线后，它将用作客户

端而不是接入点，而且不会提供对客户端的无线访问。单击应用以使此设置生效。默认情况下，WLAN 无线处于禁用状态。

6 选择以下选项：


sonicwall-C587。可将 SSID 更改为任何字母数字值，多包

含 32 个字符。

启用短期保护间隔如果支持，启用此功能以获得更高的发送/接收速率。它仅适用

于 802.11ac/n 模式。

启用聚合启用 802.11n 帧聚合，将多个帧结合到一起以减少开销并增加吞

吐量。它仅适用于 802.11ac/n 模式。

启用无线客户端连接性检查和自动重连

通过对用户定义的 IP 地址执行 ping 操作来定期检查无线客户端

连接。如果连接丢失，请执行自动重新连接。

要对其执行 ping 操作的目标远

程 IP如果启用了上面的连接检查，请输入要对其执行 ping 操作的远

程 IP 地址。

重要提示：确保指定的 IP 地址是可以 ping 通的。



客户端桥接高级无线设置

设定高级无线设置的步骤如下：

1 设置天线分集。默认值为最佳。

2 从下拉菜单中选择传输功率：

• 全功率会在 WLAN 上发送强的信号。例如，如果信号在建筑物之间穿行，请选择全功率。

• 半功率 (-3 dB) 推荐在建筑物内部的办公室间使用。

• 四分之一功率 (-6 dB) 推荐用于短距离的通讯。

• 八分之一功率 (-9 dB) 推荐用于更短距离的通讯。

• 最小功率推荐用于很短距离的通信。

3 指定分片阈值（字节）。小值可以是 256，而大值是 2346。默认值设置为大值。

4 设置 RTS 阈值（字节）。小值为 1，而大值为 2346，这也是默认值。

5 单击接受以保存设置。

可以单击恢复默认设置来还原出厂默认设置。

接入点和工作站当两台或两台以上主机必须通过 802.11 协议相互连接，但距离太远而无法建立直接连接时，将使用无

线中继器来填补空缺。

SonicWall 无线安全设备具有接入点和网桥模式。在接入点和工作站模式下，可以将一个虚拟接入点创

建为工作站，并可以连接到另一个接入点。其他虚拟接入点用作普通接入点。也就是说，配置为接入点和工作站的单元在中继器模式下工作。在这种模式下，我们也可以设置工作站虚拟接入点用作 WAN 接

口的虚拟接口。

通过无线分配系统 (WDS)，您可以连接多个接入点。借助 WDS，接入点可以在没有线路的情况下以标

准方式相互通信。此功能对于为漫游客户端提供无缝体验以及管理多个无线网络至关重要。它还可以通过减少所需的电缆来简化网络基础设施。

如需将无线设备配置为接入点和工作站，请按以下所述定义选项：

• 接入点和工作站无线设置

• 接入点和工作站无线虚拟接入点

• 工作站设置

接入点和工作站无线设置



重要：将无线设备设置为接入点和工作站时，您必须遵守法规区域和/或有关无线运营场所规定的

所有法规。



3 从无线角色字段的下拉菜单中，选择接入点和工作站。

4 选中启用 WLAN 无线框。这为移动用户提供了干净的无线访问。单击应用以使此设置生效。默认情

况下，WLAN 无线已启用。

5 从日程字段的下拉菜单中，选择 WLAN 无线活动的时间。除了系统提供的选项之外，“日程”列表还

显示了您在系统设置 | 设备 > 系统日程页面中创建和管理的日程对象。默认值为始终打开。

6 在国家/地区代码字段中，选择使用设备的国家/地区。国家或地区代码可确定无线操作由哪个管

理范围监管。

7 选中启用 WDS AP 框。这允许 WDS 客户端作为接入点连接到此设备。

8 验证 SSID 字段是否填写正确。给出的默认值为 sonicwall- 加上 BSSID 的后四个字符；例如，

sonicwall-C587。可将 SSID 更改为任何字母数字值，多包含 32 个字符。


接入点和工作站无线虚拟接入点如果使用无线虚拟接入点，请从无线虚拟接入点部分的下拉菜单中选择虚拟接入点群组。也可以选择以前定义的 VAP 群组。

完成所有接入点设置后，请单击接受以保存设置。



工作站设置

配置工作站设置的步骤如下：

1 选中启用工作站模式。

2 在所提供的字段中输入 AP ssid。

3 从下拉菜单中选择 Ap 身份验证类型。选项包括：

• 打开

• WPA-PSK

• WPA2-PSK

4 从下拉菜单中选择加密类型。

5 输入预共享密钥。

6 从下拉菜单中选择 VLAN ID。

7 如需使用无线接口作为 WAN，请选中此框。

8 如需启用 WDS 工作站，请选中此框。




28

配置无线安全

在连接 | 无线 > 安全页面上，您可以为无线设备配置身份验证和加密设置。将显示不同的选项，具体取

决于您选择的身份验证类型。

主题：

• 第 222 页的关于身份验证

• 第 225 页的 WPA2 EAP 和 WPA EAP 设置

• 第 223 页的配置 WEP 设置

关于身份验证身份验证类型如下表所述：

身份验证类型

类型功能和使用

WEP

（有线等效协议）

• 通过无线网络保护数据• 未通过 SonicWall 设备提供保护

• 为所传输的数据提供低程度的保护。• 使用静态密钥进行加密• 用于较旧的传统设备、PDA、无线打印机

• 不推荐用于需要高度安全性的部署

WPA

（Wi-Fi 安全

访问）

• 良好的安全性（使用 TKIP）• 用于与受信任的公司无线客户端配合使用• 使用 Windows 登录进行透明验证

• 大多数情况下不需要客户端软件• 需要单独的身份验证协议（如 RADIUS）对用户进行身份验证

• 使用动态密钥

注：只有在诊断页面上启用后，此选项才可见。

WPA2

（Wi-Fi 安全

访问，v2）

• 佳的安全性（使用 AES）• 用于与受信任的公司无线客户端配合使用• 使用 Windows 登录进行透明验证

• 某些情况下可能需要安装客户端软件• 支持 802.11i WPA/WPA2 EAP 身份验证模式。

• 首次登录后无需后端验证• 支持两种用于存储和生成密钥的协议：PSK（预共享密钥）和 EAP（可扩展身份

验证协议）

注：EAP 支持仅在接入点模式下可用（在连接 | 无线 > 基本设置页面上选择）。桥接

模式不支持 EAP。WPA2-AUTO • 尝试使用 WPA2 安全连接。

• 如果客户端不支持 WPA2，则连接将默认为 WPA。


配置无线安全222

配置 WEP 设置如果为身份验证类型选择了其中一个 WEP 选项，则可以设置下列选项。

配置无线设备进行 WEP 身份验证的步骤如下：

1 转至连接 | 无线 > 安全页面。

2 从验证类型下拉菜单中选择相应的身份验证类型。

• WEP - 两者皆是（开放系统和共享密钥）（默认值）只要各字段使用相同的密钥，则默认密

钥的分配不重要。

• WEP - 开放系统：在开放系统身份验证中，防火墙允许不经过身份验证进行无线客户端访问。

所有 Web 加密设置都显示为灰色且无法进行选择。

• WEP - 共享密钥：使用 WEP 并需要在允许身份验证之前向无线客户端分发共享密钥。如果选

择了共享密钥，则默认密钥分配很重要。

3 从默认密钥下拉菜单中，选择哪个密钥是默认密钥：密钥 1、密钥 2、密钥 3 或密钥 4。

4 从密钥条目选项中，选择您的密钥是字母数字还是十六进制（0-9，A-F）。

5 多可以在指定字段中输入四个密钥。对于每个密钥，选择 64 位、128 位或 152 位。位数越多，

密钥越安全。请参阅下表以了解每种类型的密钥需要多少个字符。

6 单击接受。

密钥类型

密钥类型 WEP - 64 位 WEP - 128 位 WEP - 152 位

字母数字 5 个字符 13 个字符 16 个字符

十六进制 (0-9, A-F) 10 个字符 26 个字符 32 个字符



配置 WPA2 PSK 和 WPA PSK 设置为身份验证类型选择其中一个 WPA PSK 选项时，可以定义下列设置。

使用预设共享密钥配置无线设备进行 WPA 身份验证的步骤如下：



• WPA2 - PSK 使用 WPA2 和预设身份验证密钥进行连接。

• WPA2 - 自动 - PSK：自动尝试使用 WPA2 和预设身份验证密钥进行连接，但如果客户端不支

持 WPA2，则会回退到 WPA。

3 从下拉菜单中选择 EAPOL 版本设置：

• V2（默认值）- 选择版本 2。这提供比版本 1 更好的安全性，但有些无线客户端可能不支持。

• V1 - 选择协议的版本 1。

4 在 WPA2/WPA 设置部分中，指定以下设置：

• 加密类型 - 选择 TKIP。临时密钥完整性协议 (TKIP) 是按数据包实施密钥完整性的协议，但其

安全性和吞吐量较低。AES 和 AUTO 也是密码类型选项。

• 群组密钥更新 - 指定 SonicWall 安全设备何时更新密钥。选择按超时时间在指定的间隔秒数后

生成新群组密钥；此为默认选项。使用静态键时选择禁用。

• 间隔 - 如果您在群组密钥更新字段中选择了按超时时间，请输入在 WPA 自动生成新的群组

密钥之前的秒数。默认值为 86400 秒。如果您将群组密钥更新选择为禁用，将不再显示此

选项。



5 在密码字段输入用于生成密钥的密码。

6 单击接受以保存并应用设置。

WPA2 EAP 和 WPA EAP 设置为身份验证类型选择其中一个 WPA EAP 选项时，可以定义下列设置。

使用预设共享密钥配置无线设备进行 WPA 身份验证的步骤如下：



• WPA2 - EAP：使用 WPA2 和可扩展身份验证协议进行连接。

• WPA2 - 自动 - EAP：自动尝试使用 WPA2 和可扩展身份验证协议进行连接，但如果客户端不

支持 WPA2，则会回退到 WPA。

3 从下拉菜单中选择 EAPOL 版本设置：

注：EAP 支持仅可用在接入点模式中，但不可用在客户端桥接模式中。



• V1 - 选择通过 LAN 版本 1 的可扩展身份验证协议。

• V2 - 选择通过 LAN 版本 2 的可扩展身份验证协议。这提供比版本 1 更好的安全性，但有些无

线客户端可能不支持。

4 在 WPA2/WPA 设置部分中，指定以下设置：

• 加密类型-选择 TKIP。临时密钥完整性协议 (TKIP) 是按数据包实施密钥完整性的协议，但其安

全性和吞吐量较低。AES 和 AUTO 也是密码类型选项。

• 群组密钥更新 - 指定 SonicWall 安全设备何时更新密钥。选择按超时时间在指定的间隔秒数后

生成新群组密钥；此为默认选项。使用静态键时选择禁用。

• 间隔 - 如果您在群组密钥更新字段中选择了按超时时间，请输入在 WPA 自动生成新的群组密

钥之前的秒数。默认值为 86400 秒。如果您将群组密钥更新选择为禁用，将不再显示此

选项。

5 在可扩展身份验证协议设置 (EAP) 部分中，指定以下设置：

• Radius 服务器重试 - 输入验证的尝试次数。默认值为 4。

• 重试间隔(秒) - 输入两次重试之间等待的时间。默认值为 0（无延时）。

• Radius 服务器 1 IP 和端口 - 输入主要 RADIUS 服务器的 IP 地址和端口号。

• Radius 服务器 1 密钥 - 输入用于访问 Radius 服务器的密码

• Radius 服务器 2 IP 和端口 - 输入次要 RADIUS 服务器（如有）的 IP 地址和端口号。

• Radius 服务器 2 密钥 - 输入用于访问 Radius 服务器的密码

6 单击接受以应用 WPA2 EAP 设置。



29

配置高级无线设置

在“高级设置”上，您可以自定义无线设备的一系列功能。只有当防火墙用作接入点时，才能访问此页面。

主题：

• 信号发送和 SSID 控制

• 绿色接入点

• 高级无线设置

• 配置天线分集


配置高级无线设置227

信号发送和 SSID 控制

配置信号发送和 SSID 控制的步骤如下：

1 转至管理。

1 选择连接 | 无线 > 高级设置页面。

2 选中隐藏信标中的 SSID，这将禁止广播 SSID 名称并禁用对探测请求的响应。选中该选项有助于防

止未授权的无线客户端看到您的无线 SSID。默认禁用该设置。

3 输入信标间隔的毫秒数。缩短间隔时间将使被动扫描更可靠、更快，因为信号帧更频繁地宣告网络为无线连接。默认值为 200 毫秒。

4 单击“接受”以应用更改。单击“恢复默认设置”以还原出厂默认值。

绿色接入点

配置电源效率的步骤如下：

1 如需提高电源效率，请选择启用绿色接入点。默认禁用该设置。

2 在绿色接入点超时字段中指定超时的数字。默认值为 200。




高级无线设置

配置高级无线设置的步骤如下：

1 如果您预期只有 802.11g 流量，则选择启用短期 Slot 间隔提高性能。802.11b 与短时间槽不兼容。

默认禁用该设置。

2 从接收天线分集下拉菜单中选择无线安全设备使用哪个天线发送和接收数据。如需天线分集的更多信息，请参阅配置天线分集。默认为最佳。

3 从传输功率下拉菜单，选择：

• 全功率在 WLAN 上发送强的信号。例如，如果信号在建筑物之间穿行，则选择全功率。

• 半功率 (-3 dB) 推荐在建筑物内部的办公室间使用。

• 四分之一功率 (-6 dB) 推荐用于较短距离的通信。

• 八分之一功率 (-9 dB) 推荐用于较短距离的通信。

• 最小功率推荐用于很短距离的通信。

4 从前同步码长度下拉菜单中，选择短或长。短建议用于提高无线网络的效率和吞吐量。默认为长。

5 指定分片阈值（字节）。小值为 256，大值为 2346，而默认值为 2346。

您可以分割无线帧，以增加在有射频干扰或无线覆盖不佳的区域内的可靠性和吞吐量。较低的阈值数会产生较多的片段。增加该值意味着使用更低的费用传输帧，但必须放弃和重新传输损失或损坏的帧。

6 在 RTS 阈值（字节）字段中，指定请求发送 (RTS) 阈值。小值为 1，大值为 2347，而默认值为

2346。

此字段为数据包大小（以字节计）设置阈值，RTS 将在数据包传输前以该阈值发送。发送一个 RTS 可确保当多个客户端处于同一个访问点的范围（但彼此不再对方范围内）的情况下不会出现无线冲突。如果网络吞吐量慢或发生重新传输大量帧的情况，则降低 RTS 阈值以启用 RTS 清除。



7 在 DTIM 间隔字段中指定 DTIM（传输指示消息）间隔。小值为 1，大值为 256，默认值为 1。

对于流入组播数据包的 802.11 省电模式客户端，DTIM 间隔指定在发送 DTIM 之前等待的信标帧数。

增加 DTIM 间隔值允许更高效地保存功率。

8 在连接超时（秒数）字段中输入客户端关联的秒数。默认值是 300 秒，容许范围是 60 到 36000 秒。

如果您的网络繁忙，可以通过增加此字段中的秒数来提高超时值。

9 使用此配置文件为每个 SonicPoint 输入最大客户端关联数。小值为 1，大值为 128，而默认值为

128。此设置限制一次可以无线连接的站数。

10 从数据速率下拉菜单中，选择传输和接收数据的速度。最佳选项可自动选择在有干扰和其他因素的情况下您的区域中的佳可用速率。或您可以从介于 1 Mbps 到 54 Mbps 的选项中手动选择数

据速率。

11 从保护模式下拉菜单中，选择保护模式：无、始终或自动。

保护可以减少冲突，尤其是在您有两个重叠的 SonicPoint 时。但是，这会降低性能。自动可能是

佳设置，因为它仅在有重叠的 SonicPoint 时启用。

12 从下拉菜单中选择保护速率：1 Mbps、2 Mbps、5 Mbps 或 11 Mbps。保护速率决定了开启保护模

式的数据速率。低的速率提供高的保护级别，但数据传输速率也低。

13 从保护类型下拉菜单中，选择用于建立无线连接的信号交换类型：仅 CTS（默认）或 RTS-CTS。


配置天线分集无线 SonicWall 安全设备采用运行分集模式的双 5 dBi 天线。默认实施分集模式意味着一个天线用于传

输，两个天线均可能用作接收天线。由于无线信号到达安全无线设备的两个天线，评估其信号强度和完整性，然后使用收到的佳信号。两个天线之间的选择过程贯穿于整个操作期间，以始终提供佳的信号。为了允许使用外部（更高增益的单向）天线，可以禁用天线分集。

SonicWall NSA 220 和 250M 无线安全设备采用三个天线。将天线分集默认设为最佳，这是此类设备的唯

一设置。

天线分集设置决定了无线安全设备使用哪个天线发送和接收数据。最佳是默认设置。选择此选项后，无线安全设备将自动选择信号强清晰的天线。

注：802.11b 流量仅与 CTS 兼容。



30

无线 MAC 过滤器列表

无线网络提供本机 MAC 过滤功能，用于防止无线客户端进行身份验证和与无线安全设备进行关联。如

果在 WLAN 上实施 MAC 过滤，无线客户端必须向您提供其无线网卡的 MAC 地址。SonicOS 无线 MAC 过

滤器列表允许您配置无线网络允许或拒绝访问的客户端的列表。在没有 MAC 过滤的情况下，如果任何

无线客户端知道 SSID 和其他可以使它们“侵入”您的无线网络的安全参数，则它们可加入您的无线网络。

下方显示了典型的 232 MAC 过滤器列表部署应用场景：

典型的 SonicWall MAC 过滤器列表布局

主题：

• 部署注意事项

• 配置无线 > MAC 过滤器列表

部署注意事项部署 MAC 过滤器列表时考虑以下事项：

• 对于 SonicPoint-N 设备，该功能需要网关才能存储 MAC 过滤器列表的设置。

• 对于 SonicWall TZ 系列设备的内部无线功能，需要将有些成员添加到 VAP 结构以存储 MAC 过滤器

列表设置，且应该修改全部功能以根据驱动程序设置配置。

• 虚拟接入点可以配置其 MAC 过滤器列表，或继承连接 | 无线 > MAC 过滤器列表页面上配置的全局

设置。


无线 MAC 过滤器列表 231

配置无线 > MAC 过滤器列表

配置 MAC 过滤器列表的步骤如下：


2 在连接下，选择无线 > MAC 过滤器列表。

3 单击启用 MAC 过滤器列表复选框。默认禁用该设置。

4 从允许列表下拉菜单中，选择您要允许的地址群组：所有 MAC 地址（默认值）、默认 ACL 允许群

组或您创建的群组。

5 从拒绝列表下拉菜单中，选择您要拒绝的地址群组：无 MAC 地址（默认值）、默认 ACL 拒绝群组

或您创建的群组。

6 如果要将新的地址对象添加到允许列表和拒绝列表中，请从允许列表或拒绝列表下拉菜单中选择创建新 MAC 地址对象群组...。

a 在名称：文本字段中，输入新群组的名称。

b 在左侧列中，选择要允许或拒绝的群组或各地址对象。您可以使用 Ctrl-单击同时选择多项。

c 单击 -向右 -> 按钮向群组添加项目。

d 单击确定。将在下拉菜单显示地址以供选择。

e 根据需要选择对象。

7 单击接受按钮。


无线 MAC 过滤器列表 232

31

配置无线 IDS

主题：

• 关于无线 IDS

• 配置 IDS 设置

关于无线 IDS无线入侵检测服务 (IDS) 极大地提高了 SonicWall 无线安全设备的安全性能。它们能够识别常见的非法

无线活动类型并采取应对措施。无线 IDS 包含三种类型的服务：

• 次序号分析

• 关联攻击检测

• 流氓接入点检测

接入点 IDS在无线安全设备的无线角色设置为接入点模式时，全部三种 WIDS 服务类型均可用，但流氓接入点检测

默认采取被动模式（仅在所选操作信道被动监听其他接入点信号帧）。选择立即扫描可以即刻更改“无线角色”以允许无线安全设备执行活动扫描，并可能导致关联无线客户端在短时间内断开连接。在接入

点模式中，应该只有在未活动关联客户端或可以接受客户端中断时才使用立即扫描功能。

欺诈接入点欺诈接入点已发展成为对无线完全性严重的一种潜在威胁。如果某接入点未经授权而在网络上使用，则通常视之为欺诈接入点。不安全接入点有便利性、可负担性，还可轻松的添加到网络中，这为引入欺诈接入点创造了有利的环境。真正的威胁以多种方式存在，包括在无意和不知情的情况下连接到欺诈设备、通过不安全的信道传输敏感数据以及对 LAN 资源的意外访问。虽然这并不表示特定无线设备的安全

性不足，但它是无线网络整体安全性的漏洞。

安全设备可以通过识别可能尝试访问您网络的流氓接入点弥补这个缺陷。它通过两种方式实现此目的：主动扫描所有 802.11a、802.11g 和 802.11n 信道上的接入点；被动扫描（在接入点模式下）单一操作信

道上的信号接入点。


配置无线 IDS 233

配置 IDS 设置

主题：

• IDS 设置

• 发现的接入点

IDS 设置如需安排运行 IDS 扫描的时间，请从日程 IDS 扫描下拉菜单选择一个选项：

• 禁用

这是默认值。选中此项后，不会进行 IDS 扫描。

• 创建新日程...

将显示添加日程对话框，您可以根据本节中稍后所述内容创建自定义日程。

• 办公时间

• 星期一至星期五 08:00 到 17:00

• 下班后

• 星期一至星期五 0:00 到 8:00

• 星期一至星期五 17:00 到 24:00

• 星期六至星期日 0:00 到 24:00

• 双休日



将新的日程添加到日程 ID 扫描下拉菜单中的步骤如下：

1 在日程 IDS 扫描字段中，选择创建新日程安排...。

2 输入日程名称。

3 选择日程类型：

• 一次，您可以安排一次性事件且只有一次部分中的字段处于活动状态。

• 循环，您可以安排循环事件且只有循环部分中的字段处于活动状态。

• 混合，您可以安排混合事件且所有字段都处于活动状态。

4 在一次部分中，使用下拉菜单安排 IDS 扫描的开始和结束时间。

5 在循环部分中，请：

a 为扫描选择天。

b 使用 24 小时格式输入开始时间。

c 使用 24 小时格式输入停止时间。

d 单击添加将这些参数添加到日程列表中。

e 如需从列表中删除项目，请高亮显示该项目并单击删除。单击全部删除以清除日程列表。

6 单击确定将该日程添加到下拉列表中。



发现的接入点在无线安全设备启动且在任何时间单击表底部的立即扫描表时，将进行主动扫描。设备将扫描环境并识别附近的其他无线设备。表上方的注显示已发现的接入点数目和自上次扫描以来的时间（用天数、小时数、分钟数和秒数表示）。

如需刷新已发现接入点表，单击刷新。如需执行立即扫描，请单击立即扫描（位于表底部）。

当无线安全设备在桥接模式下运行时，立即扫描功能不会导致桥接中断。

设置已发现接入点表显示所有 SonicPoint 或各 SonicPoint 可以检测的每个接入点的信息：

• MAC 地址 (BSSID)：检测到的接入点的无线接口的 MAC 地址。

• SSID：接入点的无线 SSID。

• 信道：接入点使用的无线信道。

• 验证：验证类型。

• 密码：已使用的密码。

• 供应商：接入点的制造商。SonicPoint 将显示制造商 SonicWall 或 Senao。

• 信号强度：检测的无线信号的强度

• 最大速率：接入点无线允许的大速率，通常为 54 Mbps。

• 授权：单击授权列中的图标可以将接入点添加到授权接入点的地址对象群组。

在网络上对接入点进行授权直至识别为已获得操作授权，将无线安全设备检测到的接入点视为流氓接入点。如需对接入点进行授权，请单击授权图标。

重要：在“接入点模式”下运行时，立即扫描功能会导致服务短暂中断。该中断表现如下： • 非持续性无状态协议（例如 HTTP）不应出现任何不良效果。

• 持续性连接（例如 FTP 协议）受到影响或中断。

如果对此有顾虑，请在客户端都进入不活动状态时或可以接受可能出现中断的情况后，再使用立即扫描。



32

配置使用内部无线网络的虚拟接入点

虚拟接入点 (VAP) 是单个物理接入点的 (AP) 的多路复用表示 - 它将自己表示为多个独立的接入点。对于无

线 LAN 客户端，当实际上只存在一个物理接入点时，每个虚拟接入点都似乎是一个独立的物理接入点。

虚拟接入点允许您在单个物理接口上设置多项自定义配置，以控制无线用户访问和安全设置。其中的每项自定义配置都用作单独的（虚拟）接入点，并可在单个内部无线网络上进行分组和实施。

使用 VAP 的好处包括：

• 无线信号保留 - 通过允许将单个物理接入点用于多种用途来避免信道冲突问题，可避免构建重复的

基础结构。多供应商越来越成为公共空间（例如机场）的标准。例如，在机场可能需要支持 FAA 网

络、一个或多个航线网络以及可能的一个或多个无线 ISP。但在美国和欧洲，802.11b 网络只能支持

三个可用（不重叠）信道，在法国和日本，仅提供一个信道。现有接入点利用信道后，其他接入点将会相互干扰并降低性能。通过允许将单个网络用作多种用途，虚拟接入点可以保留信道。

• 优化无线 LAN 基础结构 - 在多个供应商之间共享同一个无线 LAN 基础结构，而非建立重叠的基础结

构，以降低安装和维护 WLAN 的资本开支。

主题：

• 无线虚拟接入点配置任务列表

• 虚拟接入点配置文件

• 虚拟接入点

• 虚拟接入点群组

• 启用虚拟接入点群组

无线虚拟接入点配置任务列表无线虚拟接入点部署需要多个配置步骤。本节提供涉及以下内容的简要概述：

1 网络区域 - 网络区域是 VAP 配置的重要部分。您创建的每个区域都有其各自的安全和访问控制设

置，而且您可以使用无线子网创建多个区域并将其应用于单个物理接口。如需网络区域的更多信息，请参阅 SonicWall SonicOS 6.5 系统设置中的管理 | 网络 > 区域。

2 无线接口 - W0 接口（及其 WLAN 子网）代表 SonicWall 网络安全设备与内部无线之间的物理连接。

您单独的区域设置将应用到这些接口，然后转发到无线设备。如需无线接口的更多信息，请参阅

SonicWall SonicOS 6.5 系统设置中的管理 | 网络 > 接口。

3 DHCP 服务器 - DHCP 服务器将租用的 IP 地址分配给指定范围内的用户，称为范围。DHCP 作用域的

默认范围通常很大，足以满足大多数无线部署的需求，例如对仅使用 30 个地址的接口使用 200 个

地址的范围。基于此原因，必须仔细设置 DHCP 范围才能确保不会用完可用的租用范围。如需设置

DHCP 服务器的更多信息，请参阅 SonicWall SonicOS 6.5 系统设置中的管理 | 网络 > DHCP 服务器。

4 虚拟接入点配置文件 - VAP 配置文件功能用于创建根据需要可轻松应用到新无线虚拟接入点的无线

设置配置文件。如需更多信息，请参见虚拟接入点配置文件。


配置使用内部无线网络的虚拟接入点237

5 虚拟接入点 - 虚拟接入点对象功能用于设置常规虚拟接入点设置。通过虚拟接入点设置可配置 SSID 和无线子网名称。如需更多信息，请参阅虚拟接入点。

6 虚拟接入点群组 - 虚拟接入点群组功能用于对多个虚拟接入点对象进行分组，并将它们同步应用

到您的单个无线设备。如需更多信息，请参阅虚拟接入点群组。

7 分配虚拟接入点群组到内部无线 - 将虚拟接入点群组应用于内部无线，并通过多个 SSID 提供给用

户。如需更多信息，请参阅启用虚拟接入点群组。

虚拟接入点配置文件虚拟接入点配置文件允许您预配置接入点设置并将其保存在配置文件中。虚拟接入点配置文件允许将设置轻松应用到新虚拟接入点。虚拟接入点配置文件是从管理 | 无线 > 虚拟接入点页面配置的。选择配置

文件名称，然后单击编辑图标或单击添加以创建新的虚拟接入点配置文件。完成时，单击确定。

提示：该功能尤其适用于在多个虚拟接入点共享相同身份验证方法的情况下进行快速设置。



主题：

• 虚拟结点点日程设置

• 虚拟接入点配置文件设置

• ACL 实施

虚拟结点点日程设置每个虚拟接入点都可以有自己的关联日程，并且通过扩展，每个配置文件也可以有一个为其定义的固定日程。

将日程与虚拟接入点配置文件进行关联的步骤如下：




4 在 VAP 日程名称字段中，从下拉菜单的选项中选择所需的日程。



虚拟接入点配置文件设置

设定虚拟接入点配置文件设置的步骤如下：




4 设置无线类型。默认情况下，它设置为内置无线。如果使用内部无线进行 VAP 访问，请保留此默认

设置；它是当前唯一支持的无线类型。

5 在配置文件名称字段中，输入此虚拟接入点配置文件的友好名称。选择易于记住的描述性名称，因为您会将此配置文件应用于新的 VAP。

6 从下拉列表中选择身份验证类型。从以下选项中选择：

根据您选择的身份验证类型，将自动填写单播加密字段。

7 在最大客户端数字段中，输入此虚拟接入点允许的大并发客户端连接数。

8 选中启用 VAP WDS（无线分配系统）框。默认情况下，未选择该选项。

9 选中允许 802.11b 客户端连接框。默认情况下，该选项处于选中状态

根据所选的身份验证类型，“添加/编辑虚拟接入点配置文件”页面中会添加一个包含选项的附加部分。

• 如果选择了两者或共享，请参阅 WEP 加密设置以获取设置的相关信息。

• 如果选择了需要预共享密钥 (PSK) 的选项，请参阅 WPA-PSK > WPA2-PSK 加密设置以获取设置的相

关信息。

• 如果选择了使用可扩展身份验证协议 (EAP) 的选项，请参阅 WPA-EAP > WPA2-EAP 加密设置以获取

设置的相关信息。

验证类型定义

打开未指定任何身份验证。

共享共享密钥用于对 WEP 加密设置进行验证

两者如果未配置共享密钥，则它与开放网络相同。

如果配置了共享密钥，则意味着使用加密的数据流量进行开放身份验证

WPA2-PSK 与受信任的公司无线客户端一起使用的佳安全。使用 Windows 登录进行透明身份验证。支持快速漫游功能。使用预共享密钥进行身份验证。

WPA2-EAP 与受信任的公司无线客户端一起使用的佳安全。使用 Windows 登录进行透明身份验证。支持快速漫游功能。使用可扩展身份验证协议。

WPA2-AUTO-PSK 可尝试使用 WPA2 安全进行连接，如果客户端不支持 WPA2，则

连接将默认为 WPA。使用预共享密钥进行身份验证。

WPA2-AUTO-EAP 可尝试使用 WPA2 安全进行连接，如果客户端不支持 WPA2，连

接将默认为 WPA。使用可扩展身份验证协议。

注：页面上会显示不同的设置，具体取决于您选择的选项。



WEP 加密设置

如果在先前过程的步骤 6 中选择了两者或共享，则会显示名为 WEP 加密设置的部分。WEP 设置通常由

共同物理接入点内的虚拟接入点共享。

从加密密钥字段的下拉列表中，选择密钥 1、密钥 2、密钥 3 或密钥 4。。

WPA-PSK > WPA2-PSK 加密设置

如果在步骤 6 中选择了需要预共享密钥的选项 - WPA2-PSK 或 WPA2-自动-PSK，则会显示名为 WPA/WPA2-PSK 加密设置的部分。定义这些设置时，将使用预共享密钥进行身份验证。在以下字段中输入值：

WPA-EAP > WPA2-EAP 加密设置

如果在步骤 6 中选择了需要 EAP 的选项 - WPA2-EAP 或 WPA2-自动-EAP，则会显示名为 Radius 服务器设

置的部分。定义这些设置时，将使用支持外部 802.1x/EAP 的 RADIUS 服务器进行密钥生成和身份验证。

在以下字段中输入值：

ACL 实施每个虚拟接入点均可支持单独的访问控制列表 (ACL)，以提供更高效的身份验证控制。无线 ACL 增强功

能可配合 SonicOS 上目前可用的无线 MAC 过滤器列表使用。通过使用 ACL 实施功能，用户可以启用或禁

用 MAC 过滤器列表，设置“允许列表”和“拒绝列表”。

每个 VAP 都可以有自己的 MAC 过滤器列表设置或使用全局设置。在虚拟接入点 (VAP) 模式中，该群组的

各虚拟接入点共享相同的 MAC 过滤器列表设置。

字段名称说明

密钥短语输入用户在连接基于 PSK 的身份验证时需要输入的共享密码。

群组密钥间隔输入群组密钥有效的时间段。默认值为 86400 秒。设置为较低的值会导致连

接问题。

字段名称说明

Radius 服务器重试在访问被拒绝之前，输入用户可以尝试进行身份验证的次数。默认值为 4。

重试间隔 (秒) 输入重试有效的时间段。默认值为 0。

RADIUS 服务器 1 输入 RADIUS 身份验证服务器的名称/位置。

端口输入主要 RADIUS 身份验证服务器与客户端和网络设备进行通讯时使用的端口。

RADIUS 服务器 1 密钥输入主要 RADIUS 身份验证服务器的密码。

RADIUS 服务器 2 输入备份 RADIUS 身份验证服务器的名称/位置。

端口输入备份 RADIUS 身份验证服务器与客户端和网络设备进行通讯时使用的端口。

RADIUS 服务器 2 密钥输入备份 RADIUS 身份验证服务器的密码。

群组密钥间隔输入强制使用 WPA/WPA2 群组密钥的时间段（秒）。默认值为 86400。



启用 MAC 过滤器列表实施的步骤如下：

1 选中启用 MAC 过滤器列表复选框。当 MAC 过滤器列表已启用时，其他设置也将处于启用状态，因

此您可以设置它们。

2 如果要使用全局 ACL 设置，请选中该框。这会将虚拟接入点与 SonicWall 网络安全设备的已有 MAC 过滤器列表设置进行关联。请注意，在启用此选项时，您无法编辑允许或拒绝列表。

3 从允许列表的下拉列表中，选择一个选项。这标识了您允许访问的 MAC 地址。

如果要创建一个由您希望具有访问权限的人员组成的新地址对象群组，请选择创建 MAC 地址对


4 从拒绝列表的下拉列表中，选择一个选项。这标识了您拒绝访问的 MAC 地址。

如果要创建一个由不应该具有访问权限的人员组成的新地址对象群组，请选择创建 MAC 地址对



虚拟接入点虚拟接入点设置功能用于设置常规虚拟接入点设置。通过虚拟接入点设置可配置 SSID 和无线子网名

称。虚拟接入点是从管理视图上的连接 | 无线 > 虚拟接入点配置的。

主题：

• VAP 常规设置

• VAP 高级设置

VAP 常规设置

定义虚拟接入点常规设置的步骤如下：





3 如需编辑现有的虚拟接入点，请单击该接入点的编辑图标。如需创建新的接入点，请单击虚拟接入点部分中的添加。

4 在名称字段中，为接入点创建一个友好名称。

5 在 SSID 字段中，输入唯一的名称。此名称是附加到数据包标题的唯一标识符。它区分大小写且

多可以包含 32 个字母数字字符。

6 从下拉菜单中选择 VLAN ID。

7 选中启用虚拟接入点的复选框。

8 如果不希望未经授权的无线客户端看到 SSID，请选中启用 SSID 隐蔽框。启用后，它会禁止广播 SSID 名称且禁用对探测请求的响应。

9 单击确定。

VAP 高级设置通过高级选项，您可以为此虚拟接入点配置身份验证和加密设置。列出的选项与为您为虚拟接入点配置文件定义的选项相同。

定义虚拟接入点高级设置的步骤如下：



3 如需编辑现有的虚拟接入点，请单击该接入点的编辑图标。如需创建新的接入点，请单击虚拟接入点部分中的添加。

4 单击高级。

5 在虚拟接入点高级设置标题下，从下拉列表中选择配置文件名称。该配置文件的所有设置都是根据配置文件自动填充的。

如果不想使用配置文件，请将配置文件名称设置为无配置文件，并按照虚拟接入点配置文件中的描述填写其余字段。

6 单击确定。



虚拟接入点群组虚拟接入点群组功能允许对多个 VAP 对象进行分组并同时将其应用于内部无线网络。虚拟接入点群组是

从管理视图上的连接 | 无线 > 虚拟接入点配置的。

创建虚拟接入点群组的步骤如下：



3 如需编辑现有的虚拟接入点群组，请单击该群组的编辑图标。

4 如需将对象添加到群组中，请从可用虚拟 AP 对象列表中选择您要添加的对象，然后单击右箭头。

5 如需从群组中删除对象，请从虚拟 AP 群组列表中选择要删除的对象，然后单击左箭头。


注：需要先设置多个虚拟接入点，然后您才能创建虚拟接入点群组。如果只有一个接入点，则会自动将其添加到默认群组“内部 AP 群组”中。



启用虚拟接入点群组在配置虚拟接入点并将其添加到 VAP 群组中之后，必须将该群组应用于内部无线网络，并提供给用户。

使群组可用的步骤如下：



3 滚动至无线虚拟接入点。

4 从虚拟接入点群组字段的下拉列表中，选择内部 AP 群组。

5 单击接收以更新配置。




3G/4G/ 调制解调器

第 5 部分

246

3G/4G/调制解调器

• 配置 3G/4G/调制解调器基本设置

• 配置 3G/4G/调制解调器高级设置

• 配置 3G/4G/调制解调器连接配置文件

• 监控 3G/4G 数据使用

33

3G/4G/调制解调器概述

配备 USB 扩展端口的 SonicWall 网络安全设备可以支持外部 3G/4G 接口或模拟调制解调器接口。

主题：

• 选择接口

• 理解 3G/4G

• 3G/4G 前提条件

• 启用 U0/U1/M0 接口

选择接口默认情况下，设备会尝试检测所连接的外部接口的类型。如果可成功识别它的类型，则左侧导航会发生变化，以显示检测到的内容。

可以通过转至连接 | 3G/4G/调制解调器 > 基本设置来手动指定您要配置的接口类型。

3G/4G/LTE/调制解调器设备类型下拉菜单提供了以下选项：

• 自动检测 - 选择此选项，设备将尝试确定已连接的设备的类型。

• 3G/4G/LTE/移动 - 选择此选项可手动配置 3G/4G/LTE/移动接口。

• 模拟调制解调器 - 选择此选项可手动配置模拟调制解调器接口。

注： SuperMassive 9800 不支持 3G/4G 和调制解调器接口。


3G/4G/ 调制解调器概述247

理解 3G/4GSonicWall 安全设备支持通过移动电话网络进行数据连接的 3G/4G 无线 WAN 连接。3G/4G 连接可用于：

• 与不依赖电线或网线的连接的 WAN 故障切换。

• 预配置连接不可用的临时网络，例如贸易展和网亭。

• SonicWall 设备位于车内的移动网络。

• 主要 WAN 的有线连接是不可用的，而 3G/4G 移动电话网络是可用的。

如需使用 3G/4G 接口，您必须有 3G/4G PC 卡或 USB 设备，并与无线服务提供商签订了合同。应主要基于

支持的硬件的可用性选择 3G/4G 服务提供商。SonicOS 支持以下网址中在线列出的设备： https://www.sonicwall.com/zh-cn/support/knowledge-base/170505473051240

SonicOS 支持以下 3G/4G 无线网络提供商（本列表可能变更）：

主题：

• 3G/4G 连接类型

• SonicWave MiFi Extender

• 3G/4G 故障切换

• 第 252 页的 3G/4G 前提条件

3G/4G 连接类型在启动设备前安装 3G/4G 设备时，设备将在管理视图上系统设置 | 网络 > 接口的“接口设置”表中列出。

接口名称在名称列中列示为 U0、U1 或 M0（仅限 NSA 240）。

3G/4G 连接类型设置对配备 3G/4G 接口的 SonicWall 设备的 WAN 连接提供灵活的控制。“连接类型”是您

在连接性 | 3G/4G > 连接配置文件上编辑配置文件时配置的。“3G/4G 配置文件配置”窗口的参数选项卡上

提供了以下连接类型：

• 持续连接 - 在 3G/4G 接口连至 3G/4G 服务提供商后，将保持连接直至管理员断开连接或发生网络事

件（例如 WAN 不可用）导致连接断开。

• 连接数据 - 3G/4G 接口在 SonicWall 设备检测到特定类型的网络流量时自动连接。

• 手动连接 - 仅在管理员手动发起连接时才连接 3G/4G 接口。

• AT&T • Telefonica

• H3G • T-Mobile

• Orange • TDC Song

• Sprint PCS Wireless • Verizon Wireless

• Telecom Italia Mobile • Vodaphone

小心：虽然可以在“系统设置 | 网络 > 接口”页面上手动启用 3G/4G 连接（通过单击 U0/U1/M0 接口

的“管理”按钮），但不推荐这样做；这会导致自动连接无法按预期正常工作。SonicWall 建议使用

上述连接类型管理 3G/4G 接口。



https://www.sonicwall.com/zh-cn/support/knowledge-base/170505473051240

SonicWave MiFi Extender在 SonicOS 6.5 中，SonicWave 3G/4G/LTE MiFi Extender 功能允许 SonicWall 无线接入点连接到 3G 或 4G 蜂

窝网络，以创建可在移动设备（如，智能手机、笔记本电脑和平板电脑）之间共享的无线热点。此

WWAN 解决方案允许多个终端用户和移动设备共享 3G 或 4G 移动宽带互联网连接。

如需使用此功能，请将 USB 设备插入 SonicWave 接入点中，然后它将通过 3G/4G 连接到互联网。在 SonicOS 中，将一个 VLAN 接口绑定到 USB 调制解调器。

所有运行 SonicOS 6.5 的 SonicWall 防火墙和所有拥有 USB 接口的 SonicWave 和接入点都支持此功能。需

要支持 3G (PPP)，4G (Hi-Link) 或 QMI 协议的 USB 设备。

为 VLAN 配置使用以下设置：

• 将“区域”设置为 WAN。

• 将父接口设置为接入点所连接的物理接口。

• 对于 3G USB 调制解调器，IP 分配应为静态，并为其分配私有 IP 地址。将网关和 DNS 服务器字段留

空；在接入点的配置完成后，系统将自动填充这些字段。

• 对于 4G 和 QMI 调制解调器，IP 分配应该是 DHCP。连接调制解调器后，它将从 USB 调制解调器服

务器中获得 DHCP 租赁。

此功能使用 SonicOS 3G/4G 模块提供的连接配置文件。转至连接 | 3G/4G 调制解调器页面添加正在使用的

3G USB 调制解调器的正确配置文件。如需配置信息，请参阅 XXX。

3G/4G 故障切换

以下章节说明 WAN 至 3G/4G 故障切换的三种不同方式。所有这些章节都假定配置 U0/U1/M0 接口为负

载均衡组中的终备用接口。

• 使用持续连接的 3G/4G 故障切换

• 3G/4G 故障切换和连接数据

• 手动拨号 3G/4G 故障切换

重要：当主要 WAN 接口关闭时，您可以管理 3G/4G 设备的故障切换行为。为了将 3G/4G 接口用作

备用接口，必须将其配置为默认负载均衡群组中的终备用接口。转至系统设置 | 网络 > 故障切换

和负载均衡页面，然后编辑包含 3G/4G 设备的群组。



使用持续连接的 3G/4G 故障切换

下图描绘了在 WAN 以太网连接失败且针对持续连接配置了 3G/4G 连接配置文件时的事件顺序。

3G/4G 故障切换的事件顺序：持续连接

1 主要以太网连接可用 - 以太网 WAN 接口已连接，并用作主要连接。在以太网 WAN 接口可用时，不

会连接 U0/U1/M0 接口（除非配置了指定 3G/4G 作为目标接口的明确路由）。

2 主要以太网连接失败 - 在以太网 WAN 连接断开时，将启动 U0/U1/M0 接口并保持处于始终开启

状态。

如果将另一个以太网 WAN 接口配置为负载均衡组的一部分，则设备在故障切换至 U0/U1/M0 接

口之前将首先故障切换至次要以太网 WAN。在这种情况下，只有在主要和次要 WAN 路径都不可

用时，才会故障切换至 U0/U1/M0 接口。

3 在故障切换后重新建立主要以太网连接 - 当以太网 WAN 连接（如配置的主要 WAN 端口或次要 WAN 端口）重新可用时，所有 LAN 至 WAN 流量将自动传回可用的以太网 WAN 连接。这包括活动的连

接和 VPN 连接。将关闭 U0/U1/M0 接口连接。

小心：在将 U0/U1/M0 接口配置为负载均衡组中的最终备用接口时，请勿配置使用 U0/U1/M0 接

口的基于策略的路由。如果配置了基于策略的路由使用 U0/U1/M0 接口，将保持连接直至达到最

长连接时间（如已配置）。



3G/4G 故障切换和连接数据

下图描绘了在 WAN 以太网连接失败且针对连接数据配置了 3G/4G 连接配置文件时将发生的事件的顺序。

3G/4G 故障切换的事件顺序：连接数据

1 主要以太网连接可用 - 以太网 WAN 接口已连接，并用作主要连接。在以太网 WAN 接口可用时，

不会连接 3G/4G（除非配置了指定 U0/U1/M0 接口作为目标接口的明确路由）。

2 主要以太网连接失败 - 不会建立 U0/U1/M0 接口连接，直至出站数据尝试通过 SonicWall 设备。

3 建立 3G/4G 连接 - 在设备或网络节点尝试向互联网传输数据时，将建立 U0/U1/M0 接口连接。

U0/U1/M0 接口保持连接，直至达到长连接时间（如已配置）。

4 在故障切换后重新建立 WAN 以太网连接 - 当以太网 WAN 连接重新可用或达到不活动定时（如已配

置）时，所有 LAN 至 WAN 流量将自动传回可用的以太网 WAN 连接。将终止 U0/U1/M0 接口连接。

注：如果 3G/4G 配置为备用 WAN，并且如果取消选中了当可能的话，抢占并且自动恢复到

优先接口的复选框（系统设置 | 网络 > 编辑默认 LB 群组，那么即使以太网 WAN 可用，U0 连接也仍然处于活动状态。

小心：在将 U0/U1/M0 接口配置为负载均衡组中的最终备用接口时，请勿配置基于策略的路由使

用 U0/U1/M0 接口。如果配置了基于策略的路由使用 U0/U1/M0 接口，将保持连接直至达到最长

连接时间（如已配置）。



手动拨号 3G/4G 故障切换

3G/4G 故障切换的事件顺序：手动拨号

1 主要以太网连接可用 - 以太网 WAN 已连接，并作为主要连接。在以太网 WAN 连接可用时，不会连

接 3G/4G。

2 主要以太网连接失败 - 不会建立 U0/U1/M0 接口连接，直至管理员手动启用连接。

3 建立 3G/4G 连接 - 在管理员手动启用 SonicWall 设备的连接后，U0/U1/M0 接口的连接建立。

U0/U1/M0 接口保持连接，直至手动禁用连接。

4 在故障切换后重新建立 WAN 以太网连接 - 不管以太网连接是否重新可用，所有 LAN 至 WAN 流量

将仍然使用手动启用的 3G/4G 连接，直至手动禁用连接。手动断开连接后，将使用可用的以太网

连接。

3G/4G 前提条件在配置 3G/4G 接口前，您必须满足以下前提条件：

• 向支持的第三方无线提供商购买 3G/4G 服务计划

• 配置和激活 3G/4G 卡

• 在接通 SonicWall 安全设备的电源前，在 SonicWall 设备中插入 3G/4G 卡。

如需配置这些前提条件的信息，请参阅您具体型号的《SonicWall 入门指南》。

小心：SonicWall 不推荐在计划使用 U0/U1/M0 接口作为主要 WAN 接口的故障切换备用接口时使用手

动拨号 3G/4G 连接配置文件。在 WAN 故障期间，设备会丢失 WAN 连接，直到管理员手动启动

U0/U1/M0 接口连接。下图描绘了在 WAN 以太网连接失败且针对手动拨号配置了 3G/4G 连接配置

文件时将发生的事件的顺序。

重要：只有在关闭 SonicWall 安全设备的电源时，才能插入或移除 3G/4G 卡。



启用 U0/U1/M0 接口

手动发起 U0/U1/M0 外部 3G/4G 接口连接的步骤如下：

1 在网络 > 接口页面上，单击 U0/U1/M0 接口的管理按钮。U0/U1/M0 连接状态对话框显示。

2 单击连接按钮。当连接进入活动状态，U0/U1/M0 连接状态对话框将显示有关会话的统计信息。

3 如需结束连接，请单击断开连接。

小心：不推荐在“网络 > 接口”页面（通过单击 U0/U1/M0 接口的“管理”按钮）手动启用 3G/4G 连

接。这可能会导致自动连接无法按预期正常工作。SonicWall 推荐使用 3G/4G 连接类型中描述的连

接类型来管理 3G/4G 接口。



34

配置 3G/4G/调制解调器基本设置

配置 3G/4G 设备或调制解调器的第一步是定义基本设置。如 3G/4G/调制解调器概述中所述，设备会尝试

检测已连接设备的类型。如果可成功识别类型，则左侧导航和配置页面会发生变化，以显示检测到的内容。如果要手动选择设备，请参阅选择接口。

需要定义以下基本设置：

主题：

• 设置

• 按需连接类别

• 管理/用户登录

• MiFi Extender 设置

设置对于本节中提供的说明，此设备已由设备进行自动检测，或它已进行手动设置。下面显示了自动检测到

3G/4G 设备类型的示例：

注：SuperMassive 9800 不支持 3G/4G 和调制解调器接口。

对于 3G/4G 设备对于调制解调器

3G/4G 设置 Modem 设置

按需连接类别按需连接类别

管理/用户登录管理/用户登录


配置 3G/4G/ 调制解调器基本设置 254

这显示了调制解调器的相同选项。请注意，有两个调制解调器设置部分。第一个部分显示调制解调器是自动检测到的。第二个部分提供了需要设置的选项。

必须配置调制解调器设置部分，以实现通过调制解调器接口对 SonicWall 设备的管理。

• 扬声器音量 - 选择是否开启或关闭（默认）扬声器。

• 调制解调器初始化 - 选择以下选项之一：

• 初始化 Modem 连接用于 - 从下拉列表中选择国家或地区。

• 使用 AT 命令初始化 Modem 连接 - 在字段中输入适当的 AT 命令。

按需连接类别如果选择了 3G/4G/LTE/移动或模拟调制解调器作为设备类型，则将显示按数据类别连接部分。这些设置

用于配置接口在 SonicWall 设备检测到特定的流量类型时自动连接至服务提供商。默认情况下，按数据

类别连接全部处于选中状态。

如需为连接数据操作配置 SonicWall 设备，必须为连接配置文件选择连接数据作为连接类型。如需更多

详细信息，请参阅配置 3G/4G/调制解调器连接配置文件。

管理/用户登录如果选择了 3G/4G/LTE/移动或模拟调制解调器作为设备类型，则将显示管理/用户登录部分。必须配置

管理/用户登录部分以实现通过接口对 SonicWall 设备的管理。



在管理字段中，选择任何或所有支持的协议：HTTPS、Ping、SNMP、SSH。

在用户登录字段中，选择 HTTP 和/或 HTTPS。但请记住，HTTP 流量的安全性低于 HTTPS。

如果您将管理和/或用户登录选择为 HTTPS，将自动选择添加规则，以启用从 HTTP 到 HTTPS 的重定向选

项。如果启用了此选项，防火墙可自动将 HTTP 请求转换为 HTTPS 请求，以增强安全性。如果您不想进

行转换，请取消选中该选项。

MiFi Extender 设置通过 3G/4G/LTE MiFi Extender 功能，SonicWall SonicWave 接入点可以连接到 3G 或 4G 蜂窝网络来创建无线

热点。多个终用户和移动设备可以共享 3G 或 4G 移动宽带互联网连接。

如需使用此功能，请将 USB 设备插入 SonicWave 接入点。在 SonicOS 中，将一个 VLAN 接口绑定到 USB 调

制解调器。

配置接入点的步骤如下：


2 在 SonicPoint/SonicWave 对象下，单击您要使用的接入点的配置按钮。

3 单击 3G/4G/LTE WWAN 按钮。

4 选中启用 3G/4G/LTE 调制解调器复选框。

5 从绑定到 WAN VLAN 接口下拉列表中，选择为 USB 设备创建的 VLAN。

6 如需使用特定连接配置文件，请选中启用连接配置文件复选框并填写相关字段。在许多情况下，可以使用默认连接配置文件，那么此步骤是可选的。

7 单击确定。

此设置被推送到接入点。可以在管理视图上的连接 | 接入点 > 3G/4G/LTE WWAN 页面中查看基本状态。

当多个接入点和 3G/4G 调制解调器（每个至少有两个）可用时，SonicOS 可以同时使用它们并在它们之间

执行负载均衡。首先，为每个 SonicPoint 和调制解调器对分配一个唯一的 VLAN。然后，将这些 VLAN 接

口添加到系统设置 | 网络 > 故障切换和负载均衡页面上的 LB 群组中。

注：在之前的 SonicOS 版本中，3G/4G 接口的探测在 3G/4G > 设置页面中配置。现在，探测监控是

在系统设置 | 网络 > 故障切换和负载均衡页面上配置的。如需更多信息，请参阅 SonicWall SonicOS 6.5 系统设置。

注：可以单击此页面底部的 3G/4G/LTE WWAN 向导按钮，让该向导帮助您创建或选择 VLAN 接口和 3G/4G/LTE 连接配置文件。



35

配置 3G/4G/调制解调器高级设置

高级设置页面用于为 3G/4G 设备和调制解调器配置以下功能：

• 远程触发拨出设置

• 带宽管理

• 连接限制

远程触发拨出设置远程触发拨出部分使您可以远程发起 WAN 调制解调器连接。以下流程描述了远程触发拨出如何调用功能：

1 网络管理员启动与位于远程办公室的 SonicWall 安全设备的调制解调器连接。

2 如果配置设备为须验证传入呼叫，将提示网络管理员输入密码。在呼叫通过身份验证后，设备终止呼叫。

3 然后，根据配置的拨号配置文件，设备启动与拨号 ISP 的调制解调器连接。

4 访问设备的 Web 管理接口以执行要求的任务。

在配置远程触发拨出功能之前，请确保您的配置满足以下先决条件：

• 将 3G/4G 连接配置文件配置为连接数据。

• SonicWall 安全设备配置为使用 HTTPS 管理，以使设备可远程访问。

• 虽然不是必需的，但您应该在启用不活动断开连接字段中输入值。此字段位于配置文件配置 > 参

数页面中。可以通过编辑设备的配置文件来访问此字段。如果不在此字段中输入值，拨出呼叫将无期限地保持连接状态，您必须通过单击断开按钮手动终止会话。

配置远程触发拨出的步骤如下：

1 在管理视图中，转至高级页面：

• 连接 | 3G/4G > 高级设置

• 连接 | 调制解调器 > 高级设置



配置 3G/4G/ 调制解调器高级设置 257

2 选中启用远程触发拨出复选框。

3 如果要求在远程连接上进行身份验证，请选中需要身份验证的框，然后在密码和确认密码字段中输入密码。

4 单击接受以保存您的设置。

带宽管理带宽管理部分允许您启用 3G/4G 接口的出口或入口带宽管理服务。

配置带宽管理的步骤如下：

1 在管理视图中，转至高级页面：

• 连接 | 3G/4G > 高级设置

• 连接 | 调制解调器 > 高级设置

2 选中启用出口带宽管理复选框。

3 选中启用入口带宽管理复选框。

4 从下拉菜单中选择压缩放大器：

1.0x（默认）、1.5x 2.0x、2.5x、3.0x、3.5x、4.0x

压缩放大器适用于出口和入口带宽。

5 单击接受以保存您的设置。

“带宽管理”下的注释还会告诉您选择了哪种带宽管理类型，并提供了一个用于在需要时对其进行更改的

链接。

连接限制通过连接限制部分，您可以设置 3G/4G 或调制解调器连接上的主机/节点限制。该功能对于在设备用作溢

出的部署或在负载均衡状况中用于避免连接超负荷尤其有用。

在主机最大数目字段中，输入连接此接口时允许的大主机数。默认值为 0，即允许无限数量的节点。

注：如需配置带宽管理的信息，请参阅 SonicWall SonicOS 6.5 安全配置中的防火墙设置。


配置 3G/4G/ 调制解调器高级设置 258

36

配置 3G/4G/调制解调器连接配置文件

使用连接配置文件页面来配置 3G/4G 和调制解调器连接配置文件。还可以设置主要和备用配置文件。

主题：

• 首选配置文件

• 连接配置文件

首选配置文件

设置首选配置文件的步骤如下：

1 在管理视图中，转至连接配置文件页面：

• 连接 | 3G/4G > 连接配置文件

• 连接 | 调制解调器 > 连接配置文件

2 从首选配置文件部分的下拉菜单中，选择主要配置文件。

3 如果需要，请从下拉菜单中选择备用配置文件 1 和备用配置文件 2。

4 单击接收以保存设置。

连接配置文件如需创建连接配置文件，请单击添加按钮；如需编辑现有配置文件，请单击表的配置列中的编辑图标。


注：调制解调器的选项与 3G/4G 设备的选项不同。


配置 3G/4G/ 调制解调器连接配置文件 259

执行以下章节中的步骤：

常规设置添加或更新连接配置文件时，默认视图将显示要为服务提供商配置的常规设置。在选择国家、服务提供商和计划类型后，将自动填写大部分服务提供商的其余字段。

配置常规连接设置的步骤如下：

对于调制解调器：对于 3G/4G 设备：

常规设置常规设置

ISP 地址

参数设置参数设置

IP 地址

日程日程

数据限制

高级高级

注：根据您在基本设置页面中为 3G/4G/调制解调器类型选择的内容，并非所有选项都可用。



1 选择 SonicWall 设备部署所在的国家或地区。

2 选择您创建帐户时使用的服务提供商。

3 从计划类型下拉菜单中，选择您订阅的计划。如果您的具体计划类型：

• 已在下拉菜单中列出（很多基本计划可能简单标记为标准），将自动填写常规选项卡中的其余字段。确认这些字段正确无误，然后跳至参数设置。

• 未在下拉菜单中列出，则选择其他。

4 在配置文件名称字段中，输入配置文件的名称。

5 验证是否选择了正确的连接类型。

6 验证已拨号码正确无误。

7 如果提供商要求，则在用户名、用户密码和确认用户密码字段中分别输入您的用户名和密码。

ISP 地址仅对调制解调器显示 ISP 地址设置。这使您可以定义调制解调器与基础结构的其余部分的通讯方式。

配置 ISP 地址的步骤如下：

1 选择 ISP 地址。

2 在 IP 地址下，选择以下选项之一：

• 自动获取 IP 地址

• 使用以下 IP 地址，并在该字段中输入地址。

注：仅显示您所在国家支持的服务提供商。

注：大多数服务提供商将自动填写该字段。

注：大多数服务提供商的已拨号码是 *99#。



3 在 DNS 服务器下，选择以下选项之一：

• 自动获取 IP 地址

• 使用以下 IP 地址，并在第一个字段中输入主要地址，而在下一个字段中输入次要地址。

参数设置通过参数设置，您可以定义服务的连接条件。三种连接类型是持续、按需连接和手动。这些连接类型的机制详见理解 3G/4G。

配置参数设置的步骤如下：

1 单击参数。

2 在连接类型下拉菜单，选择连接配置文件是持续连接、连接数据还是手动拨号。

3 选中启用不活动时断开连接（分钟数）框，然后输入断开连接之前连接可以处于不活动状态的分钟数。注意如果连接类型是持续连接，该选项不可用。

4 选中启用最大连接时间（分钟数）框，然后输入连接保持已连接状态（会话处于不活动或活动状态）的分钟数。

5 在重新连接之前的延迟时间（分钟数）中输入值，以使 SonicWall 设备在指定的分钟数之后自动重

新连接。

6 选中每个电话号码的重拨次数框，然后在字段中输入数字以指定 SonicWall 设备尝试重新连接的

次数。

7 选中两次重拨之间的延迟时间（秒）框，然后在字段中输入数字以指定两次重试之间的秒数。

8 选中拨号后禁用 VPN 复选框禁用通过 3G/4G 接口的 VPN 连接。

9 选中强制 PAP 身份验证框。

注：如需配置 SonicWall 设备的远程触发拨出，连接类型必须是连接数据。



IP 地址使用 IP 地址配置 3G/4G 接口的动态或静态 IP 寻址。在大多数情况下，您可能希望自动获取 IP 地址；但是，

如果您的服务提供商有相应的要求，则可以为网关 IP 地址和一个或多个 DNS 服务器 IP 地址配置手动 IP 地址。

配置 IP 寻址的步骤如下：

1 选择 IP 地址。

默认情况下，将 3G/4G 连接配置文件配置为自动获取 IP 地址和 DNS 服务器地址。

2 如需指定静态 IP 地址，请选中使用以下 IP 地址单选框，然后在字段中输入 IP 地址。

3 如需手动输入 DNS 服务器地址，请选中使用以下 IP 地址，然后在字段中输入主要和次要 DNS 服务器

的 IP 地址。

日程使用日程将连接限制为一周中特定几天的指定时间。该功能对于需要在一天的某些时间段限制访问权限的数据计划较为有用，例如区分夜晚/周末闲时的计划。

注：启用该功能后，如果未选中某天的复选框，则在这一整天都会拒绝 3G/4G 访问。



配置访问日程的步骤如下：

1 单击日程。

2 选中为连接配置文件限制时间复选框启用该接口的日程功能。

3 选中您希望允许访问的一周中各天的复选框。

4 输入各天所需的起始时间和结束时间（24 小时格式）。

数据限制数据限制仅可用于 3G/4G 设备。可以使用它来限制每月的数据使用量。该功能用于根据 3G/4G 提供商的

帐单周期跟踪使用情况，并在达到规定的限值时断开连接。

限制数据使用的步骤如下：

1 单击数据限制。

2 选中启用数据使用限制框，并在达到该月的指定数据量或时间限制时自动禁用 3G/4G 接口。

提示：如果您的 3G/4G 帐户每个月有数据量或时间限制，则强烈推荐启用数据使用限制。



3 在帐单周期开始日期下拉菜单选择月份中开始跟踪月数据或时间使用量的起始日。

4 在限制字段中输入值，然后选择相应的限制单位：GB、MB、KB 或分钟。

高级使用高级可以手动配置在 3G/4G 连接过程中使用的对话脚本。

配置对话脚本的步骤如下：


2 在聊天脚本字段中输入连接的对话脚本。

3 单击确定。

提示：只有在您需要向标准拨号连接脚本添加命令或特殊指令时，才需要配置对话脚本。




监控 3G/4G 数据使用

37

266

监控 3G/4G 数据使用

转至管理视图上的连接性 | 3G/4G > 数据使用，以监控数据使用并查看会话历史记录。

数据使用表显示当前年、月、周、日和帐单周期的当前数据使用情况和联机时间。只有在 3G/4G 连接配

置文件中启用了启用数据使用限制选项，才会计算帐单周期使用情况。

单击相应的重置按钮重置任何数据使用类别。

会话历史记录表显示有关 3G/4G 会话的信息摘要。如需查看特定会话的附加信息，请将光标置于属性列

的备注图标。如需清除表格，请单击清除按钮。


注：数据使用表只是当前使用情况的估计，不应用于计算实际费用。如需准确的计费信息，请联系您的服务提供商。


连接附录

第 6 部分

267

连接附录

• VAP 样本配置

• SonicWall 支持

A

VAP 样本配置

本节提供基于现实世界无线需求的 VAP 配置示例。

主题：

• 为学校教职工访问配置 VAP

• 向无线部署虚拟接入点

为学校教职工访问配置 VAP您可以使用针对经常在办公室、校园工作的用户群体的虚拟接入点，且已为其提供对所有网络资源的完整访问权限（假设连接已经过验证且是安全的）。这些用户应已属于网络的目录服务 Microsoft Active Directory，该服务通过 IAS（互联网验证服务）提供 EAP 接口。本章节包含以下内容：

• 配置区域

• 创建新无线子网

• 创建无线虚拟接入点配置文件

• 创建无线虚拟接入点

• 创建更多 > 部署当前 VAP

配置区域在本节中，您将创建并配置有 SonicWall 防火墙安全服务和增强的 WiFiSec/WPA2 无线安全性的新公司无

线区域。如需区域的更多详细信息，请参阅 SonicWall SonicOS 6.5 系统设置。

1 登录 SonicWall 网络安全设备的管理界面。


3 在系统设置下，选择网络 > 区域。

4 单击添加...按钮以添加新区域。

“常规设置”选项卡

1 在常规选项卡中，输入友好名称，例如在名称字段中输入“WLAN_Faculty”。

2 从安全类型下拉菜单中选择无线。

3 选中允许接口信任复选框以允许教职工用户之间的通信。

4 选中您通常对有线 LAN 上的教职工用户应用的所有安全服务的复选框。


VAP 样本配置 268

无线设置选项卡1 选中仅允许 SonicPoint/SonicWave 生成的流量复选框。

2 从 SonicPoint 控制配置文件下拉菜单选择设置配置文件。

3 单击确定按钮保存这些更改。

您的新区域现已显示在网络 > 区域页面底部，尽管您可能已注意到它尚未链接到成员界面。这是您的下

一个步骤。

创建新无线子网在本节中，您将在当前的 WLAN 上创建和配置新的无线子网。此无线子网将链接到您先前在配置区域中

创建的区域。

创建新无线子网的步骤如下：

1 在管理视图下，选择系统设置 | 网络 > 接口页面

2 在添加接口字段中，选择虚拟接口。

3 在区域下拉菜单中，选择您先前创建的区域。在本例中，我们选择了 WLAN_Faculty。

4 输入该接口的 VLAN 标签。VLAN 允许内部无线识别哪个流量属于此子网。在这种情况下，我们选择

100 作为我们的子网 VLAN 标签。

5 从父接口中选择 W0 接口。

6 输入该子接口所需的 IP 地址。

7 单击确定按钮添加此子接口。

您的 WLAN 子网接口现已显示在接口设置列表中。

创建无线虚拟接入点配置文件在本节中，您将创建并配置新的虚拟接入点配置文件。您可以为每个虚拟接入点类型创建虚拟接入点配置文件，并使用它们将高级设置轻松应用到新的虚拟接入点。本节为可选内容，但在配置多个 VAP 时可

以帮助您更好地使用产品。

创建无线 VAP 配置文件的步骤如下：



3 单击虚拟接入点配置文件部分中的添加。

4 从下拉列表中选择 VAP 日程名称。

5 输入此虚拟接入点配置文件的配置文件名称，例如“Corporate-WPA2”。

6 从验证类型下拉菜单中选择 WPA2-AUTO-EAP。这将根据您当前的 RADIUS 服务器设置（如下）使

用自动用户身份验证。

7 在最大客户端数字段中，输入 VAP 需要支持的并发连接的大数量。

8 在 Radius 服务器设置部分中，输入您当前的 RADIUS 服务器信息。此信息将用于支持新子网的已验

证登录。

9 单击确定按钮创建此虚拟接入点配置文件。



创建无线虚拟接入点在本节中，您将创建和配置新的虚拟接入点，并将其与您先前在创建新无线子网中创建的无线子网相关联。

创建无线 VAP 的步骤如下：

常规

1 转至连接 | 无线 > 虚拟接入点页面。

2 单击虚拟接入点部分中的添加按钮。

3 在名称字段中输入昵称。

4 输入 VAP 的 SSID 名称。在本例中，我们选择 Campus_Faculty。这是用户在选择要连接的无线网络

时看到的名称。

5 从下拉菜单中选择 VLAN ID。您创建的内容应在该处列出。在这种情况下，我们为 WLAN_Faculty 子

网选择了 VLAN 标签。

6 选中启用虚拟接入点复选框。

7 选中启用 SSID 隐藏复选框可以对用户隐藏此 SSID。

8 单击确定按钮添加此虚拟接入点。

新虚拟接入点现将显示在虚拟接入点列表中。

高级

1 单击高级以编辑加密设置。

2 如果您在之前的章节中创建了虚拟接入点配置文件，则从配置文件名称下拉菜单中选择该配置文件。我们已创建并选择“Corporate-WPA2”配置文件，该文件使用 WPA2-AUTO-EAP 作为身份验证方

法。如果您未设置虚拟接入点配置文件，请继续第 2 步到第 4 步。否则，请继续创建更多 > 部署

当前 VAP。

3 在高级选项卡中，选择验证类型下拉菜单中的 WPA2-AUTO-EAP。这将根据您当前的 RADIUS 服务器

设置（设置如下）使用自动用户验证。

4 在最大客户端数字段中，输入并发连接虚拟接入点将支持的大数量。

5 在 WPA-EAP 加密设置部分，输入您当前的 RADIUS 服务器信息。该信息将用于支持对无线子网的身

份验证登录。

创建更多 > 部署当前 VAP由于已成功设置用于教职工访问的无线子网，您可以选择添加更多的自定义 VAP 或将此配置部署到您的

内部无线网络中。

提示：请记住，可在稍后添加更多的虚拟接入点。按照向无线部署虚拟接入点中的步骤可以同时部署到新 VAP。



向无线部署虚拟接入点在下面一节中，您将对新的 VAP 进行分组，并将它们与内部无线网络相关联。如果未完成以下过程，用

户将无法访问您的 VAP：

• 对多个虚拟接入点分组

• 将虚拟接入点群组与您的无线相关联

对多个虚拟接入点分组在本节中，您可以将多个 VAP 添加到一个组中，以便与您的物理接入点相关联。

1 转至管理视图上的连接 | 无线 > 虚拟接入点。

2 单击内部 AP 群组的编辑按钮。

3 从列表中选择所需的虚拟接入点，并单击 -> 按钮，将它们添加到群组中。您可以选择单击全部添

加按钮，将所有虚拟接入点添加到单个群组中。

4 按确定按钮保存更改并创建群组。

5 如需设置 802.11g WEP 或 802.11a WEP/WPA 加密，或启用 MAC 地址过滤，请编辑虚拟接入点或虚拟

接入点配置文件，然后转至高级选项卡。如果任何 VAP 使用加密，则您必须先配置这些设置，然

后无线 VAP 才能正常工作。

6 单击确定按钮保存更改，并创建此无线设置配置文件。

将虚拟接入点群组与您的无线相关联在配置 VAP 并将其添加到内部 AP 群组后，必须在无线 > 设置页面中指定该群组，以便通过内部无线网络

使用 VAP。

1 转至连接 | 无线 > 基本设置。

2 从“无线虚拟接入点”部分的虚拟接入点群组下拉菜单中，选择在内部 AP 群组。

3 单击接受按钮以继续并将此 VAP 群组与您的内部无线网络相关联.

注：如果是首次设置访客服务，请务必按照 SonicWall SonicOS 6.5 系统设置中的描述在用户 > 访

客服务下执行必要配置。



B

SonicWall 支持

购买了拥有有效维护合同的 SonicWall 产品的客户和试用版本的客户都可以获得技术支持。

支持门户提供了各种自助工具，使您可以快速并独立地解决问题，一年 365 天，一天 24 小时不间断。

如需访问支持门户，请转至 https://www.sonicwall.com/zh-cn/support。

支持门户使您能：

• 查看知识库文章和技术文档

• 查看视频教程

• 访问 MySonicWall

• 了解 SonicWall 的专业服务

• 查看 SonicWall 支持服务和保修信息

• 注册培训和认证

• 请求技术支持或客户服务

如需联系 SonicWall 支持，请访问 https://www.sonicwall.com/zh-cn/support/contact-support。


SonicWall 支持 272


https://www.sonicwall.com/zh-cn/support/contact-support

关于本文档

SonicOS 连接更新日期 - 2018 年 1 月

软件版本 - 6.5 232-004122-00 修订版 B

版权所有 © 2017 SonicWall Inc. 保留所有权利。

SonicWall 是 SonicWall Inc. 和/或其附属公司在美国和/或其他国家/地区的商标或注册商标。所有其他商标和注册商标均为其各自所

有者的财产。

本文档中的信息与 SonicWall Inc. 和/或其附属公司的产品一起提供。本文档或者通过销售 SonicWall 产品不以禁止反言或其他方式

授予任何知识产权的许可，无论是明示的还是暗示的。除了本产品的许可协议中规定的条款与条件，SonicWall 和/或其附属公司

不承担有关其产品的任何责任和任何明确、暗示或法定的担保，包括但不限于暗示的适销性、适用于某一特定用途或不侵权的担

保。在任何情况下，即使已告知 SonicWall 和/或其附属公司发生此类损害的可能性，SonicWall 和/或其附属公司都不对由于停止使

用或无法使用本文档而产生的任何直接的、间接的、继发的、惩罚性的、特殊的或偶然的损害（包括但不限于利润损失，业务中

断或信息丢失的损失）承担任何责任。SonicWall 和/或其附属公司对本文档内容的准确性或完整性不作任何陈述或保证，并保留

随时更改规格和产品说明的权利，恕不另行通知。SonicWall Inc. 和/或其附属公司不作任何承诺更新本文档中包含的信息。

如需获取更多信息，请访问 https://www.sonicwall.com/zh-cn/legal。

最终用户产品协议

如需查看 SonicWall 终用户产品协议，请访问：https://www.sonicwall.com/zh-cn/legal/license-agreements。可根据地理位置选择

语言，以查看适用于所在地区的 EUPA。

开源代码

SonicWall 能在适用于每项许可证要求的情况下提供一张具有限制性许可证（例如，GPL、LGPL、AGPL）的开源代码的机读光盘。如

需获得完整版机读光盘，请将您的书面申请，附带保付支票或汇票（金额 25 美元，收款人为 "SonicWall Inc."）邮寄至以下地址：

通用公共许可证源代码请求 SonicWall Inc. Attn：Jennifer Anderson5455 Great America ParkwaySanta Clara, CA 95054

图例

警告：“警告”图标用来提示可能造成财产损失或人员伤亡的情况。

小心：“小心”图标用来提示如不按照相应说明进行操作，可能引起硬件损坏或数据丢失。

重要、注意、提示、手机或视频：信息图标表示支持的信息。


SonicWall 支持 273

https://www.sonicwall.com/zh-cn/legal

https://www.sonicwall.com/zh-cn/legal/license-agreements

sonicos 6.5 connectivity - sonicwall

Documents