Zywall Usg 100 v3-00 Ed2.en - Es

Serie ZyWALL USG
Unified Security Gateway
la versión 3.30
Edición 2, 9/2013
Guía de inicio rápido
Guía de usuario
Login por defecto detalles

Dirección IP de la LAN http://192.168.1.1
Nombre de usuario administración
Contraseña www.zyxel.com 1234
Copyright © 2013 ZyXEL Communications Corporation

¡IMPORTANTE!
LEA antes de utilizarlo. MANTENER ESTA GUÍA para
futuras referencias.
Imágenes y gráficos en este libro pueden diferir ligeramente de su producto debido a las diferencias en el firmware de su producto o su
sistema operativo del ordenador. Se ha hecho todo lo posible para asegurar que la información en este manual es exacta.
Documentación relacionada
• Guía de inicio rápido
La guía de inicio rápido muestra cómo conectar el ZyWALL y accede a los asistentes Web del configurador. (Consulte la ayuda en tiempo
real asistente para obtener información sobre la configuración de cada pantalla.) También contiene una lista diagrama de conexión y el
contenido del paquete.
• Guía de referencia de la CLI
La Guía de referencia de la CLI se explica cómo utilizar la interfaz de línea de comandos (CLI) para configurar el ZyWALL.
Nota: Se recomienda que utilice el configurador Web para configurar el ZyWALL.
• Ayuda Web configurador online
Haga clic en el icono de ayuda en cualquier pantalla de ayuda en la configuración de esa pantalla y la información suplementaria.
2 Guía ZyWALL USG 20-2000 del usuario

Contenido
Contenido
Introducción................................................. .................................................. ........................................ 5
1.1 Descripción general ................................................ .................................................. ........................................... 5
Zonas 1,2 predeterminada, las interfaces y los puertos .......................................... .................................................. ....... 8
1.3 Administración general ............................................... .................................................. ...................... 9
1.4 configurador Web ............................................... .................................................. ............................. 10
1.5 Detener el ZyWALL .............................................. .................................................. ....................... 20
1.6 Montaje en rack de .............................................. .................................................. .................................. 20
1.8 Panel frontal ............................................... .................................................. ....................................... 22
Cómo configurar su red ............................................ .................................................. ............... 29
2.1 Introducción al asistente ............................................... .................................................. .............................. 29
2.2 Configuración de una interfaz, funciones de los puertos y las zonas ....................................... ................................. 29
2.3 Cómo configurar una interfaz celular ........................................... .................................................. ..32
2.4 Cómo configurar una LAN inalámbrica .......................................... .................................................. ............. 34
2.5 Cómo configurar Ethernet, PPP, VLAN, el puente y Política de Enrutamiento .................................... ............ 37
2.6 Cómo configurar IPv6 Interfaces para Pure ....................................... enrutamiento IPv6 .............................. 38
2.7 Cómo configurar un túnel IPv6 6to4 ......................................... .................................................. ....... 44
2.8 Cómo configurar un ...................................... IPv6-en-IPv4 túnel .................................................. ..... 48
Protección de la red ............................................... .................................................. ................... 53
3.1 Firewall ................................................ .................................................. ............................................ 53
3.2 el usuario consciente de Control de Acceso ............................................ .................................................. ................ 54
3.3 Endpoint Security (EPS) ............................................ .................................................. ..................... 55
3.4 Dispositivo de Registro y Servicio ............................................. .................................................. ........ 55
3.5 Anti-Virus configuración de políticas ............................................ .................................................. ............ 56
3.6 IDP perfil de configuración .............................................. .................................................. ................... 58
3.7 ADP perfil de configuración .............................................. .................................................. ................. 59
3.8 Contenido de configuración del filtro Perfil ............................................. .................................................. .... 61
3.9 Visualización de informes filtro de contenido ............................................. .................................................. .......... 63
3.10 Anti-Spam configuración de políticas ............................................ .................................................. ......... 66
Crear conexiones seguras a través de Internet ............................................ ................................. 69
4.1 VPN IPSec ............................................... .................................................. ....................................... 69
4.2 VPN Concentrator Ejemplo .............................................. .................................................. .............. 71
4.3 hub-and-spoke VPN IPSec VPN Sin ....................................... Concentrador ............................ 73
4.4 ZyWALL IPSec VPN Client Configuración de aprovisionamiento ........................................... ......................... 75
4.5 VPN SSL ............................................... .................................................. .......................................... 77
4.6 L2TP VPN con Android, iOS y Windows ........................................ ............................................. 79
4.7 One-Time Password Version 2 (OTPv2) ........................................ .................................................. 0.92
Gestión de Tráfico ................................................ .................................................. .............................. 95
Guía ZyWALL USG 20-2000 del usuario 3

Contenido
5.1 Cómo configurar la gestión de ancho de banda ............................................ ........................................... 95
5.2 Cómo configurar una troncal de WAN de equilibrio de carga ........................................ ............................... 102
5.3 Cómo utilizar varias direcciones IP estáticas de WAN pública para LAN a WAN Tráfico .............................. 104
5.4 Cómo utilizar HA dispositivo de copia de seguridad a su ZyWALL ........................................ .................................... 105
5.5 Cómo configurar el DNS entrante equilibrio de carga .......................................... .................................. 110
5.6 Cómo permitir el acceso público a un servidor Web ........................................ ......................................... 112
5.7 Cómo gestionar el tráfico de voz ............................................ .................................................. ............ 114
5.8 Cómo limitar Web Surfing y MSN a personas específicas ....................................... ........................... 120
Mantenimiento ................................................. .................................................. ................................... 125
6.1 Cómo permitir el Servicio de Gestión de WAN .......................................... ..................................... 125
6.2 Cómo utilizar un servidor RADIUS para autenticar cuentas de usuario basado en Grupos .......................... 128
6.3 Cómo utilizar SSH para acceso Telnet Secure ......................................... ........................................... 129
6.4 Cómo gestionar archivos de configuración ZyWALL ........................................... ...................................... 130
6.5 Cómo administrar ZyWALL firmware ............................................ .................................................. ..131
6.6 Cómo descargar y cargar un script de shell ......................................... ......................................... 132
6.7 Cómo cambiar un módulo de alimentación ........................................... .................................................. ....... 133
6.8 Cómo guardar los registros del sistema a un dispositivo de almacenamiento USB ....................................... .............................. 135
6.9 Cómo obtener el archivo de diagnóstico del ZyWALL .......................................... ............................................. 138
6.10 Cómo capturar paquetes en el ZyWALL .......................................... ............................................ 139
6.11 Cómo utilizar Flujo de paquetes Explorar para solucionar problemas ......................................... ......................... 143
Apéndice A Información Legal .............................................. .................................................. .......... 145

do CAPÍTULO 1
Introducción
1.1 Visión general
Esta guía cubre la serie ZyWALL USG y se refiere a todos los modelos como “ZyWALL”. Características y nombres de interfaz varían según el modelo.
diferencias en las funciones fundamentales entre los modelos ZyWALL son los siguientes. Otras características son comunes a todos los modelos aunque las
características pueden variar ligeramente según el modelo. Ver ficha técnica del producto específico para obtener especificaciones detalladas.
tabla 1 Características específica de los modelos
CARACTERÍSTICA ZyWALL USG
Patrulla aplicación 50, 100, 100-PLUS, 200, 300,

1000, 2000
Anti-Virus 50, 100, 100-PLUS, 200, 300,

1000, 2000
Intrusiones, Protección y Detección 50, 100, 100-PLUS, 200, 300,

1000, 2000
Dos puertos WAN Ethernet 50, 100, 100-PLUS
Dos puertos WAN Ethernet Plus 200, 300, 1000, 2000
WiFi (integrado o tarjeta opcional) 20W, 300, 100, 200
Interfaces doble personalidad (1000BASE-T / puertos combo mini-GBIC) 2000
Duales buses internos para Gigabit Interfaces 2000
De montaje en rack 50, 100, 100-PLUS, 200, 300,

1000, 2000
Para montaje en pared 20, 20W
Módulos de alimentación duales 2000
Ranura de seguridad Módulo Extensor 2000
Ranura de disco duro Un 2000
Dispositivo de alta disponibilidad 100, 200, 300, 1000, 2000
puerto auxiliar 100, 200, 300, 1000, 2000
A. Reservado para uso futuro.
1.1.1 Aplicaciones clave
Éstos son algunos escenarios de aplicación ZyWALL. Los siguientes capítulos tienen tutoriales de configuración.
Router de seguridad
Las características de seguridad incluyen un firewall de inspección de estado, la intrusión, detección y prevención, detección y prevención de
anomalías, filtrado de contenidos, anti-virus y anti-spam.

Capítulo 1 Introducción
Figura 1 Aplicaciones: Router de Seguridad
enrutamiento IPv6
El ZyWALL soporta IPv6 Ethernet, PPP, VLAN y enrutamiento puente. También puede crear rutas de política IPv6 y objetos IPv6. El
ZyWALL también puede enrutar paquetes IPv6 a través de redes IPv4 utilizando diferentes métodos de tunelización.
Figura 2 Aplicaciones: Enrutamiento IPv6
Conectividad VPN
Creados túneles VPN con otras empresas, sucursales, teletrabajadores, y viajeros de negocios para proporcionar un acceso seguro a la red.
También puede comprar el ZyWALL OTPv2 Sistema One-Time Password para una fuerte autenticación de dos factores para el configurador
web, acceso a la Web, SSL VPN, y los inicios de sesión de usuario del cliente ZyXEL VPN IPSec.
figura 3 Aplicaciones: Conectividad VPN
* * * * *
OTP PIN
SafeWord 2008 Servidor de

autenticación
Archivo Email basada en la Web

Servidor Servidor Solicitud

Acceso a la red VPN SSL
SSL VPN permite a los usuarios remotos utilizan sus navegadores web para una solución muy fácil de usar VPN. Un usuario simplemente
navega a la dirección web del ZyWALL y entra su nombre de usuario y contraseña para conectarse de forma segura a la red del ZyWALL.
Aquí el modo de túnel completo crea una conexión virtual para un usuario remoto y le da una dirección IP privada en la misma subred que la
red local para que pueda acceder a los recursos de red de la misma manera como si fuera parte de la red interna.
Figura 4 SSL VPN Con el modo de túnel completo

LAN (192.168.1.X.)
Mail web compartido de archivos No web

https: //
Aplicación basada en la Web Servidor de aplicaciones
Control de acceso de usuario-Aware
Establecer políticas de seguridad para restringir el acceso a la información sensible y recursos compartidos basados en el usuario que está intentando tener
acceso a ella. En la siguiente figura usuario UN puede acceder tanto a Internet y un servidor de archivos interno. Usuario segundo tiene un menor nivel de
acceso y sólo se puede acceder a Internet. Usuario do ni siquiera está conectado y no se puede acceder a cualquiera.
Figura 5 User Access Control-Aware: aplicaciones
UN
segundo
do
Balanceo de carga
Configurar varias conexiones a Internet en el mismo puerto o puertos diferentes, incluidas las interfaces celulares. En cualquiera de los
casos, se puede equilibrar las cargas de tráfico entre ellos.
Figura 6 Aplicaciones: Múltiples interfaces WAN

1.2 predeterminados zonas, Interfaces, y puertos
Las configuraciones por defecto para las zonas, interfaces, y los puertos son como sigue. Las referencias a las interfaces pueden ser
genéricos en lugar del nombre específico utilizado en su modelo. Por ejemplo, esta guía puede utilizar “la interfaz WAN” en lugar de “ge2”
o”ge3” .
Figura 7 Zonas, interfaces y puertos Ethernet físicas
zonas LAN PÁLIDO DMZ

Interfaces ge1 ge3 ge2 GE5 ge4 GE6 GE7 GE8
USG 2000
Puertos físicos P1 P2 P3 P4 P5 P6 P7 P8
zonas LAN PÁLIDO DMZ

Interfaces ge1 ge3 ge2 GE5 ge4
USG 1000
Puertos físicos P1 P2 P3 P4 P5
zonas LAN PÁLIDO DMZ WLAN

Interfaces ge1 ge3 ge2 GE5 ge4 GE6
USG 300
Puertos físicos P1 P2 P3 P4 P5 P6
Configurar el (opcional) puerto Gigabit Ethernet OPT de ZyWALL USG 200 como un tercer puerto WAN, una LAN1 adicional, WLAN, o
puerto DMZ o una red independiente.
zonas PÁLIDO OPTAR LAN1 WLAN DMZ

Interfaces WAN1 wan2 optar lan1 LAN2lan2
LAN2 ext-wlan DMZ
USG 200
Puertos físicos P1 P2 P4 P5 P6 P3 P7

zonas PÁLIDO LAN1 LAN2 WLAN DMZ
USG 100 Interfaces WAN1 wan2 lan1 lan2 ext-wlan DMZ
Puertos físicos P1 P2 P4 P5 P6 P3 P7
zonas PÁLIDO LAN1 LAN2 DMZ

Interfaces WAN1 wan2 lan1 lan2 DMZ
USG 100
MÁS

Interfaces WAN1 wan2 lan1 lan2 DMZ
USG 50
Interfaces WAN1 lan1 lan2 DMZ

USG 20 / 20W
Puertos físicos P1 P2 S3 S4 S5
1.3 Gestión de Información general
Puede administrar el ZyWALL de las siguientes maneras.
configurador web
El configurador Web permite una instalación fácil y ZyWALL gestión utilizando un navegador de Internet. Esta Guía del usuario proporciona
información sobre el configurador Web.

Figura 8 La gestión de la ZyWALL: Web Configura colina
Interfaz de línea (CLI)
La CLI permite el uso de comandos basados en texto para configurar el ZyWALL. Puede acceder a él mediante la gestión remota (por ejemplo, SSH
o Telnet) o mediante el puerto de consola física o configurador Web. Consulte la Guía de referencia de comandos para los detalles de la CLI. La
configuración predeterminada para el puerto de consola son:
Tabla 2 Puerto de consola Ajustes por defecto gs
AJUSTE VALOR
Velocidad 115200 bps
Bits de datos 8
Paridad Ninguna
Bit de parada 1
Control de flujo Apagado
Vantage CNM
El Vantage CNM basada en navegador (centralizado de gestión de red) herramienta de gestión global permite a los administradores para gestionar
múltiples dispositivos. Utilizar el Sistema> Vantage CNM pantalla para permitir su ZyWALL que será gestionado por el servidor Vantage CNM.
Consulte el Manual del usuario de Vantage CNM para más detalles.
Configurador Web 1.4

Para utilizar el configurador web, usted debe:
• Utilice una de las siguientes versiones de navegadores web o posterior: Internet Explorer 7, Firefox 3.5, Chrome
9.0, Opera 10.0, Safari 4.0
• Permitir que las ventanas pop-up (bloqueado por defecto en Windows XP Service Pack 2)
• Habilitar JavaScript, permisos de Java, y galletas
La resolución recomendada es de 1024 x 768 píxeles.
1.4.1 Acceso Web Configurator
1 Asegúrese de que su hardware ZyWALL está conectado correctamente. Consulte la Guía de inicio rápido.

2 En su navegador ir a http://192.168.1.1 . Por defecto, el ZyWALL desviará automáticamente esta solicitud a su servidor HTTPS, y se recomienda
mantener esta configuración. los Iniciar sesión Aparece la pantalla.
3 Escriba el nombre de usuario (por defecto: “admin”) y una contraseña (por defecto: “1234”).
Si usted tiene un OTP (One-Time Password) de token generar un número e introducirlo en el Uno-Time Password campo. El número es
únicamente para un solo inicio de sesión. Debe utilizar el token para generar un nuevo número de la próxima vez que se conecte.
4 Hacer clic Iniciar sesión. Si inició la sesión utilizando el nombre de usuario y contraseña por defecto, el Actualización de información de administración
Aparece la pantalla. De lo contrario, aparece el cuadro de mandos.
5 los Red de Advertencia de Riesgo la pantalla muestra todos los servicios de seguridad no registrados o discapacitados. Seleccionar
¿con qué frecuencia para mostrar la pantalla y haga clic DE ACUERDO.
6 Siga las instrucciones de la Actualización de información de administración pantalla. Si cambia la contraseña por defecto, el
UN
Iniciar sesión la pantalla aparece después de hacer clic Aplicar. Si hace clic Ignorar, el Asistente de configuración de la instalación
Si se abre el ZyWALL está utilizando su configuración por defecto; de lo contrario aparece el tablero de instrumentos.
CB

1.4.2 Pantallas Web del configurador general
La pantalla del configurador web se divide en estas partes (como se ilustra en página 11 ):
• UN - barra de título
• segundo - panel de navegación
• do - ventana principal
Barra de título
Figura 9 Barra de título
Los iconos de la barra de título en la esquina superior derecha proporcionan las siguientes funciones.
Tabla 3 Barra de título: Web del configurador iconos
ETIQUETA DESCRIPCIÓN
Cerrar sesión Haga clic aquí para cerrar sesión en el configurador Web.
Ayuda Haga clic en este para abrir la página de ayuda para la pantalla actual.
Acerca de Haga clic en este para mostrar información básica sobre el ZyWALL.
Mapa del sitio Haga clic aquí para ver un resumen de los enlaces a las pantallas del configurador Web.
Objeto de referencia Haga clic en este para comprobar qué artículos configuración de referencia de un objeto. Consola
Haga clic aquí para abrir una ventana de consola basada en Java desde el que se puede ejecutar comandos de la interfaz de línea de comandos
(CLI). Se le pedirá que introduzca su nombre de usuario y contraseña. Consulte la Guía de referencia de comandos para obtener información
sobre los comandos.
CLI Haga clic aquí para abrir una ventana emergente que muestra los comandos de la CLI enviados por el configurador web para el ZyWALL.
1.4.3 Panel de navegación
Utilice los elementos del menú de navegación del panel para abrir las pantallas de estado y configuración. Haga clic en la flecha en el centro del borde
derecho del panel de navegación para ocultar el panel o arrastre para cambiar su tamaño. Las siguientes secciones presentan los menús del panel de
navegación del ZyWALL y sus pantallas.
Figura 10 Panel de navegación

Tablero
El tablero de instrumentos muestra información general del dispositivo, el estado del sistema, uso de recursos del sistema, estado de servicio autorizado, y estado de la interfaz
en los widgets que se pueden reordenar para que se adapte a sus necesidades. Consulte la Ayuda Web para obtener detalles sobre el tablero de instrumentos.
Menú del monitor
Las pantallas de menú del monitor de estado, y estadísticas de información.
Tabla 4 Monitor de las pantallas de menús Resumen
Carpeta o TAB enlace de función
Estado del sistema
Estadísticas de puerto Muestra por paquetes, estadísticas de cada puerto físico.
Estado de la Muestra información de la interfaz general y estadísticas de paquetes.

interfaz
estadísticas de Recoger y mostrar las estadísticas de tráfico.

tráfico
monitor de Muestra el estado de todas las sesiones actuales.

sesión
DDNS Estado Muestra el estado de los nombres de dominio DDNS del ZyWALL.
La unión de IP / MAC Muestra una lista de los dispositivos que han recibido una dirección IP de las interfaces ZyWALL utilizando la unión de IP / MAC.
Los usuarios de inicio de sesión Muestra los usuarios conectados en ese momento el ZyWALL.
Estado WLAN Muestra el estado de conexión de los clientes inalámbricos del ZyWALL.
Estado celular Muestra detalles sobre el estado de la conexión 3G del ZyWALL.
Almacenamiento USB Muestra detalles sobre el dispositivo USB conectado al ZyWALL.
Estadísticas Muestra ancho de banda y estadísticas de protocolo.

AppPatrol
monitor VPN
IPSec Muestra y administra el activo IPSec.
SSL Listas de usuarios conectados actualmente en el portal del cliente de VPN SSL. También puede cerrar la sesión usuarios individuales y
borrar información de la sesión correspondiente.
L2TP sobre Muestra detalles sobre las sesiones L2TP actuales.

IPSec
Estadísticas anti-X
Anti-Virus Recoger y mostrar las estadísticas sobre los virus que se ha detectado el ZyWALL.
IDP Recoger y mostrar las estadísticas sobre las intrusiones que el ZyWALL ha detectado.
Filtro de contenido Informe recopilar y mostrar el contenido de las estadísticas de filtro caché
Administrar caché URL del ZyWALL.
Anti-Spam Informe recopilar y mostrar las estadísticas de spam.
Estado Muestra cuántas sesiones de correo ZyWALL está comprobando actualmente y DNSBL
(Lista Negro spam basado en Servicio de Nombres de Dominio) estadísticas.
Iniciar sesión Listas de entradas de registro.

Menú de configuración
Utilice las pantallas de menú de configuración para configurar las funciones del ZyWALL.
Tabla 5 Configuración de las pantallas de menús Resumen
Carpeta o ENLACE TAB FUNCIÓN
Configuración rápida configurar rápidamente interfaces WAN o conexiones VPN.
la concesión de licencias
Registro Registro Registrar el dispositivo y activar los servicios de prueba.
Servicio Ver el estado del servicio con licencia y mejorar los servicios autorizados.
de firmas de Anti-Virus Actualizar firmas antivirus inmediatamente o por un horario.
IDP / AppPatrol Actualizar las firmas de desplazados inmediatamente o por un horario.
System Protect Vista del sistema de protección contra el estado de firmas.
Red
Interfaz Agrupación puerto Configurar grupos de puertos físicos.
El papel del puerto Utilice esta pantalla para configurar los puertos flexibles del ZyWALL como LAN1, WLAN o DMZ.
Ethernet Manejo de interfaces Ethernet e interfaces Ethernet virtuales.
PPP Crear y administrar las interfaces PPPoE y PPTP.
Celular Configurar una conexión a Internet móvil para obtener una tarjeta 3G instalado.
Túnel Configurar un túnel entre las redes IPv4 e IPv6.
WLAN Configurar los ajustes de una tarjeta de red LAN inalámbrica instalada.
VLAN Crear y administrar interfaces VLAN VLAN e interfaces virtuales.
Puente Crear y gestionar los puentes y las interfaces de puente virtual.
Auxiliar gestionar el AUX Puerto.
El maletero Crear y administrar grupos de troncos (interfaces) para el equilibrio de carga y enlace de alta disponibilidad
(HA).
enrutamiento Ruta Política Crear y administrar las políticas de enrutamiento.
Ruta estática Crear y gestionar la información de IP enrutamiento estático.
q.e.p.d. Configurar las opciones de RIP a nivel de dispositivo.
OSPF Configurar las opciones de OSPF a nivel de dispositivo, incluyendo áreas y enlaces virtuales.
Zona Configurar zonas usadas para definir diferentes políticas.
DDNS Perfil Definir y gestionar los nombres de dominio DDNS del ZyWALL.
NAT Configurar y gestionar las reglas de reenvío de puertos.
redirección HTTP Configurar y gestionar las reglas de redirección HTTP.
ALG Configurar SIP, H.323, y los ajustes de paso a través de FTP.
La unión de IP Resumen Configurar IP para enlaces de direcciones MAC de los dispositivos conectados a cada interfaz
/ MAC compatible.
Lista exentos Configurar los rangos de direcciones IP a la que el ZyWALL no se aplica vinculante IP / MAC.
DNS entrante LB Equilibrio de carga Configurar el equilibrio de carga de DNS.

de DNS
Auth. Política Definir reglas para forzar la autenticación de usuarios.
firewall firewall Crear y gestionar las reglas de tráfico de nivel 3.
límite de sesiones Limitar el número de sesiones simultáneas de clientes NAT / firewall.

Tabla 5 Configuración de las pantallas de menús Resumen (continuación)
VPN
VPN IPSec conexión VPN Configurar túneles IPSec.
Pasarela VPN Configurar túneles IKE.
concentrador Combinar conexiones VPN IPSec en una sola red segura
configuración de Establece que se puede recuperar parámetros de la regla de VPN desde el ZyWALL utilizando el Cliente VPN
aprovisionamiento IPSec ZyWALL.
VPN SSL Privilegio de acceso Configurar los derechos de acceso VPN SSL para usuarios y grupos.
Configuración global Configurar los ajustes de VPN SSL del ZyWALL que se aplican a todas las conexiones.
L2TP VPN L2TP VPN L2TP sobre configurar túneles IPSec.
AppPatrol General Activar o desactivar la gestión del tráfico mediante la aplicación y ver el registro y la firma de la
información.
Consulta Manejo de la gestión del tráfico por la aplicación.
Otro Gestionar otros tipos de tráfico.
BWM BWM Activar y configurar las reglas de gestión de ancho de banda.
Anti-X
Anti-Virus General Girar antivirus encendido o apagado, establecer políticas anti-virus y comprobar el tipo de motor anti-virus
y la licencia y la firma de estado anti-virus.
Lista de negro / blanco Configurar negro antivirus (bloqueado) y blancas (permitidos) listas de patrones de archivo de virus.
Firma La búsqueda de firmas por nombre de la firma o atributos y configurar el modo en el ZyWALL
los utiliza.
IDP General Pantalla y administrar los enlaces de desplazados internos.
Perfil Crear y gestionar perfiles de desplazados internos.
Firmas personalizados Cree, firmas de importación o exportación personalizados.
ADP General Pantalla y administrar los enlaces de ADP.
Perfil Crear y gestionar perfiles de ADP.
Filtro de contenido General Crear y administrar las políticas de filtrado de contenido.
Perfil de filtro Crear y administrar las reglas de filtrado detalladas para las políticas de filtrado de contenidos.
Sitios Web de confianza Crear una lista de sitios web permiten que omiten las políticas de filtrado de contenidos.
Sitios Web prohibidos Crear una lista de sitios web para bloquear independientemente de las políticas de filtrado de contenidos.
Anti-Spam General Girar anti-spam encendido o apagado y gestionar las políticas anti-spam.
Exploración de correo Configuración del correo electrónico detalles de la exploración.
Lista de negro / blanco Configurar una lista de negro para identificar el spam y una lista blanca para identificar el correo electrónico
legítimo.
DNSBL Tener el cheque ZyWALL correo electrónico con las listas negras DNS.

dispositivo de HA General Configurar el dispositivo de HA configuración global, y ver el estado de cada interfaz supervisada por
HA dispositivo.
Modo Activo-Pasivo Configurar HA dispositivo en modo activo-pasivo.
el modo de herencia Configurar el dispositivo el modo tradicional de HA para su uso con ZyWALLs que ya tienen la configuración de
HA dispositivo utilizando una versión de firmware anterior a
2.10.
Objeto
Grupo de usuario Usuario Crear y administrar usuarios.
Grupo Crear y gestionar grupos de usuarios.
Ajuste Administrar la configuración por defecto para todos los usuarios, la configuración general de las sesiones de usuario,
y reglas para forzar la autenticación de usuarios.
Dirección Dirección Crear y gestionar anfitrión, el alcance y las direcciones de red (subred).
dirección de grupo Crear y administrar grupos de direcciones.
Servicio Servicio Crear y gestionar servicios TCP y UDP.
Service Group Crear y gestionar grupos de servicios.
Programar Programar Crear una sola vez y horarios recurrentes.
servidor AAA Directorio Activo Configurar los valores de Active Directory.
LDAP Configurar los valores de LDAP.
RADIO Configurar los valores de RADIUS.
Auth. Método método de Crear y administrar formas de autenticación de usuarios.

autentificación
Certificado Mis Certificados Crear y gestionar los certificados del ZyWALL.
Los certificados de importación de confianza y gestionar certificados de fuentes confiables.
cuenta ISP cuenta ISP Crear y gestionar la información de la cuenta del ISP para interfaces PPPoE / PPTP.
Aplicación SSL Crear objetos de aplicación web SSL.
Puesto final de Crear objetos Endpoint Security (EPS).

Seguridad
DHCPv6 Solicitud Configurar IPv6 DHCP Tipo de solicitud e información de interfaz.
Arrendamiento Configurar IPv6 DHCP Tipo de contrato de arrendamiento y la información de interfaz.
Sistema
Nombre de host Configurar el sistema y el nombre de dominio para el ZyWALL.
Almacenamiento USB ajustes Configurar los ajustes de los dispositivos USB conectados.
Fecha y hora Configurar la fecha actual, la hora y la zona horaria en el ZyWALL.
velocidad de la consola Ajuste la velocidad de la consola.
DNS Configurar el servidor DNS y los registros de direcciones para el ZyWALL.
WWW de control de servicios Configurar HTTP, HTTPS y autenticación general.
Página de inicio de sesión Configurar el aspecto de las pantallas de inicio de sesión y el acceso de los usuarios.
SSH Configurar el servidor SSH y ajustes de servicio SSH.
TELNET Configurar el servidor telnet para el ZyWALL.
FTP Configurar el servidor FTP.
SNMP Configurar las comunidades y los servicios SNMP.
dieciséis Guía ZyWALL USG 20-2000 del usuario

Gestión de marcación de entrada. Configurar los ajustes de una conexión de gestión fuera de banda a través de un módem conectado a
la AUX Puerto.
Vantage CNM Configurar y permitir que su ZyWALL que será gestionado por el servidor Vantage CNM.
Idioma Seleccionar el idioma del configurador Web.
IPv6 Activar IPv6 a nivel mundial en el ZyWALL aquí.
Registro y informe
Informe diario correo Configurar dónde y cómo enviar informes diarios y lo informa a enviar.
electrónico
Ajuste de registro Configurar el registro del sistema, registros de correo electrónico y servidores de registro del sistema remoto.
Menú de mantenimiento
Utilice las pantallas de menú de mantenimiento para gestionar archivos de configuración y firmware, ejecute diagnósticos, y reiniciar o
apagar el ZyWALL.
Tabla 6 Mantenimiento de las pantallas de menús Resumen
Carpeta o ENLACE
TAB FUNCIÓN
Administrador de Archivo de configuración Administrar y cargar archivos de configuración para el ZyWALL. Paquete de firmware Muestra la
archivos
versión del firmware actual y para cargar el firmware. Shell script
Gestionar y ejecutar archivos de comandos shell para el ZyWALL.
diagnóstico de diagnóstico Recoger información de diagnóstico.
Captura de paquetes capturar paquetes para el análisis.
Registro del sistema Conectar un dispositivo USB al ZyWALL y archivar los registros del sistema de ZyWALL aquí.
Flujo de Estado de enrutamiento Comprobar cómo el ZyWALL determina dónde encaminar un paquete.
paquetes
SNAT Estado Ver una imagen clara de cómo el ZyWALL convierte dirección IP de origen de un paquete y comprobar los ajustes
Explora
relacionados.
Reiniciar Reinicie el ZyWALL.
Apagar Apagar el ZyWALL.
1.4.4 Tablas y Listas
tablas y listas configurador web son flexibles con varias opciones de cómo mostrar sus entradas.
Haga clic en un encabezado de columna para ordenar las entradas de la tabla de acuerdo con los criterios de esa columna.
Figura 11 Clasificación de entradas de la tabla por criterios de una columna

Haga clic en la flecha hacia abajo junto a un encabezado de columna para más opciones acerca de cómo mostrar las entradas. Las opciones
disponibles varían en función del tipo de campos en la columna. Estos son algunos ejemplos de lo que puede hacer:
• Ordenar en orden ascendente o descendente (inverso) orden alfabético
• Seleccionar qué columnas mostrar
• las entradas de grupo por campo
• Mostrar entradas en grupos
• Filtrar por operadores matemáticos (<,> o =) o la búsqueda de texto
Figura 12 Opciones de columna Tabla común
Seleccionar borde y arrastre hacia la derecha un encabezado de celda de la columna para cambiar el tamaño de la columna.
Figura 13 Cambiar el tamaño de una columna de tabla
Seleccione un encabezado de columna y arrastrar y soltar para cambiar el orden de las columnas. Una marca verde aparece junto al
título de la columna al arrastrar la columna a una nueva ubicación válida.
Figura 14 mover Columnas
Utilice los iconos y campos en la parte inferior de la tabla para desplazarse a diferentes páginas de entradas y controlar el número de
entradas se muestran a la vez.

Figura 15 Navegación por páginas de entradas de la tabla
Las mesas tienen iconos para trabajar con entradas de la tabla. A menudo se puede utilizar la tecla [Ctrl] [Shift] o para seleccionar varias
entradas para eliminar, activar o desactivar.
Figura 16 Iconos de mesa común
Aquí están las descripciones de los iconos de mesa más comunes.
Tabla 7 Iconos de mesa común
ETIQUETA DESCRIPCIÓN
Añadir Haga clic aquí para crear una nueva entrada. Para características donde la posición de la entrada en la lista numerada es importante (características,
donde se aplica el ZyWALL entradas de la tabla con el fin como el servidor de seguridad, por ejemplo), puede seleccionar una entrada y haga clic Añadir para
crear una nueva entrada después de la entrada seleccionada.
Editar Haga doble clic en una entrada o seleccionarlo y hacer clic Editar para abrir una pantalla en la que puede modificar la configuración de la entrada. En
algunos cuadros que acaba de hacer clic en una entrada de la tabla y editarlo directamente en la tabla. Para esos tipos de tablas pequeños triángulos rojos
muestran para entradas de la tabla con los cambios que aún no se ha aplicado.
retirar Para eliminar una entrada, selecciónela y haga clic Retirar. El ZyWALL confirma que desea eliminarlo antes de hacerlo.
Activar Para activar una entrada, selecciónela y haga clic Activar.
Inactivar Para desactivar una entrada, selecciónela y haga clic Inactivar.
Conectar Para conectar una entrada, selecciónela y haga clic Conectar.
Desconectar Para desconectar una entrada, selecciónela y haga clic Desconectar.
Objeto
Referencias seleccionar una entrada y haga clic Las referencias a objetos para comprobar qué ajustes utilizar la entrada.
Movimiento Para cambiar la posición de una entrada en una lista numerada, seleccione y haga clic Movimiento para mostrar un campo para escribir un número para la
que desea poner esa entrada y presione [ENTER] para mover la entrada al número que ha escrito. Por ejemplo, si escribe 6, la entrada a la que se está
moviendo convierte en el número 6 y la entrada anterior 6 (si lo hay) es empujado hacia arriba (o hacia abajo) uno.
Trabajando con Listas
Cuando una lista de entradas disponibles presenta junto a una lista de entradas seleccionadas, a menudo se puede simplemente haga doble clic en
una entrada para moverlo de una lista a la otra. En las listas también se puede utilizar la tecla [Ctrl] [Shift] o para seleccionar varias entradas, y
luego usar el botón de flecha para moverlos a la otra lista.

Figura 17 Trabajando con Listas
1.5 Detener el ZyWALL

Siempre usa Mantenimiento> Apagar> Apagar o el apagar comando antes de apagar el ZyWALL o quitar el poder. No hacerlo puede
causar el firmware a corromperse.
1.6 Montaje en rack de
Ver Tabla 1 en la página 5 para los modelos ZyWALL USG que puede ser montado en rack. Utilice los pasos siguientes para montar el ZyWALL en un
EIA tamaño estándar, bastidor de 19 pulgadas o en un armario de cableado con otros equipos usando un kit de montaje en bastidor. Asegúrese de
que el bastidor capaz de soportar firmemente el peso combinado de todos los equipos que contiene y que la posición de la ZyWALL no hace que el
estante inestable o de altos cargos. Tomar todas las precauciones necesarias para anclar el bastidor de forma segura antes de instalar la unidad.
Nota: Deje 10 cm de espacio libre a los lados y 20 cm en la parte trasera.
Utilice un destornillador Phillips # 2 para instalar los tornillos.
Nota: Si no se utilizan los tornillos adecuados pueden dañar la unidad.
1 Alinear un soporte con los orificios en un lado de la ZyWALL y fijarlo con el soporte incluido
tornillos (más pequeño que los tornillos de montaje en bastidor).
2 Coloque el otro soporte de una manera similar.
3 Después de unir los dos soportes de montaje, coloque el ZyWALL en el bastidor y hasta los orificios del soporte
con los orificios del bastidor. Asegurar el ZyWALL a la cremallera con los tornillos de montaje en bastidor.

1,7 para montaje en pared
Ver Tabla 1 en la página 5 para los modelos ZyWALL USG que pueden ser montado en la pared. Haga lo siguiente para conectar el ZyWALL en una
pared.
1 Atornillar dos tornillos con 6 mm ~ 8 mm (0.24" ~ 0.31" ) cabezas de ancho en la pared 150 mm aparte (ver
la figura en el paso 2). No atornille los tornillos hasta el fondo de la pared; dejar un pequeño espacio entre la cabeza del tornillo y la pared.
El espacio debe ser lo suficientemente grande para las cabezas de los tornillos que se deslizan en las ranuras de los tornillos y los cables de conexión a correr por la
parte posterior del ZyWALL.
Nota: Asegúrese de que los tornillos se fijan firmemente a la pared y lo suficientemente fuerte como para mantener la
peso de los ZyWALL con los cables de conexión.
2 Utilice los agujeros en la parte inferior de la ZyWALL para colgar el ZyWALL en los tornillos.

USG 20W
De montaje en pared del ZyWALL horizontalmente. los paneles laterales del ZyWALL con ranuras de ventilación no
deben estar hacia arriba o hacia abajo ya que esta posición es menos seguro.
1.8 Panel Frontal
En esta sección se presenta el panel frontal del ZyWALL.
Figura 18 Panel frontal ZyWALL
USG 2000
USG 1000
USG 300

USG 200
100 PLUS
USG USG 100
USG 50
USG 20W
USG 20
1.8.1 Interfaces doble personalidad
Una interfaz de doble personalidad es un puerto combinado 1000BASE-T / mini-GBIC. Para cada interfaz se puede conectar ya sea al puerto
1000Base-T o el puerto mini-GBIC. El puerto mini-GBIC tiene prioridad sobre el puerto 1000Base-T por lo que el puerto 1000BASE-T se
desactiva si ambos están conectados al mismo tiempo.
1000BASE-T Puertos
Los puertos Ethernet 1000Base-T auto-negociación, auto-cruce apoyan 100/1000 Mbps Gigabit Ethernet de modo que la velocidad puede
ser de 100 Mbps o 1000 Mbps. El modo dúplex está lleno a 1000 Mbps y media o total a 100 Mbps. Un puerto de negociación automática
puede detectar y adaptarse a la velocidad óptima Ethernet (100/1000 Mbps) y el modo dúplex (dúplex completo o semidúplex) del dispositivo
conectado. Un auto-cruce (auto-MDI / MDI-X) puerto funciona automáticamente con un cable Ethernet directo o cruzado. Los ajustes de
negociación de fábrica para los puertos Ethernet de los ZyWALL son la velocidad: automático, dúplex: auto, y control de flujo: en (no puede
configurar el ajuste de control de flujo, pero el ZyWALL pueden negociar con los pares y desactivarla si es necesario)
Las ranuras mini-GBIC
Estos son ranuras para transceptores Small Form Factor (SFP) (no incluidas). Un transceptor es una sola unidad que alberga un transmisor y
un receptor. Use un transceptor para conectar un cable de fibra óptica para el ZyWALL. Utilice transceptores que cumplen con el factor de
forma pequeño (SFP) Transceptor Acuerdo MultiSource (MSA). Ver INF-8074i, Revision del comité SFF

1.0 para los detalles. Puede cambiar transceptores mientras que el ZyWALL está funcionando. Se pueden utilizar diferentes transceptores para
conectar a dispositivos con diferentes tipos de conectores de fibra óptica.
• Tipo: interfaz de conexión SFP
• La velocidad de conexión: 1 Gigabit por segundo (Gbps)
Para evitar posibles lesiones oculares, no se ven en los conectores de un módulo de fibra óptica de
funcionamiento o cable de fibra óptica.
Transceptor de fibra óptica y cable de instalación
Utilice los siguientes pasos para instalar un mini transceptor GBIC (SFP módulo).
1 Insertar el transceptor en la ranura con la sección expuesta de

placa PCB hacia abajo.
2 Presione el transceptor firmemente hasta que encaje en su lugar.
3 Empujar el extremo del cable de fibra óptica con firmeza en la

transceptor hasta que encaje en su lugar. Cuando el otro extremo del cable de fibra óptica está
conectado, compruebe los LEDs para verificar el estado del enlace.
Desmontaje del cable y el transceptor de fibra óptica
Utilice los siguientes pasos para eliminar un mini transceptor GBIC (SFP módulo).
1 Presione hacia abajo en la parte superior del cable de fibra óptica donde
se conecta al transceptor para liberarlo. A continuación, tire del cable de fibra óptica a
cabo.

2 Abrir el pestillo del transceptor (estilos varían de enganche).
3 Tire del transceptor de la ranura.
1.8.2 maximizar el rendimiento
Un USG ZyWALL con buses internos duales (véase Tabla 1 en la página 5 ) Para las interfaces Gigabit tiene un bus interno para los puertos P1-P7
y otro para el puerto P8. Para maximizar el rendimiento del ZyWALL, utilizar
P8 para su conexión con la mayor parte del tráfico.
Figura 19 Interfaces Gigabit y buses internos
Algunos ZyWALLs (ver Tabla 1 en la página 5 ) Le permiten agregar un módulo opcional de extensión de seguridad (SEM) para mejorar la
capacidad de gestión unificada de amenazas (UTM) VPN o VPN y.
Figura 20 Módulo de Extensión de Seguridad
• El módulo de VPN (SEM-VPN) aumenta el máximo rendimiento VPN a partir de 100 Mbps a 500 Mbps, el número máximo de
túneles VPN IPSec de 1.000 a 2.000 y el número máximo de usuarios de VPN SSL de 250 (con licencia) a 750 (con una licencia).
• El módulo SEM-DUAL proporciona las mejoras de rendimiento de VPN y aumenta el máximo anti-virus y rendimiento de
tráfico IDP de 100 Mbps a 400 Mbps.
1.8.3 LED del panel frontal
Las siguientes tablas describen los LED.
Tabla 8 ZyWALL USG 20 ~ USG 1000 LED del panel frontal
LED COLOR ESTADO DESCRIPCIÓN
PWR Apagado El ZyWALL está apagado.
Verde En El ZyWALL está encendida.
rojo En Hay un fallo de un componente de hardware. Apagar el dispositivo, espere unos minutos y luego reiniciar el dispositivo
(véase Sección 1.5 en la página 20 ). Si el LED se ilumina en rojo de nuevo, a continuación, póngase en contacto con su
proveedor.

Tabla 8 ZyWALL USG 20 ~ USG 1000 Panel frontal LEDs (continuación)
SYS Verde Apagado El ZyWALL no está preparado o ha fallado.
En El ZyWALL está listo y en funcionamiento.
Parpadeo El ZyWALL está arrancando.
rojo En El ZyWALL tenía un error o ha fallado.
AUX Verde Apagado los AUX puerto no está conectado.
La parpadeante AUX el puerto está enviando o recibiendo paquetes. En
los AUX puerto está conectado.
1, 2 ... Verde Apagado No hay tráfico en este puerto.
Parpadeo El ZyWALL está enviando o recibiendo paquetes en este puerto.
naranja Desactivado No hay ninguna conexión en este puerto.
En Este puerto tiene un enlace con éxito.
USB Verde Apagado No hay ningún dispositivo está conectado al puerto USB del ZyWALL o el dispositivo conectado no es compatible con el
ZyWALL.
En Una tarjeta USB o dispositivo de almacenamiento USB 3G se conecta al puerto USB.
En naranja Conectado a una red 3G a través de la tarjeta 3G USB conectado.
WLAN Verde Apagado La función inalámbrica está desactivada en el ZyWALL.
En La función inalámbrica está activada en el ZyWALL.
P1 ~ P5 Verde Apagado No hay tráfico en este puerto.
Parpadeo El ZyWALL está enviando o recibiendo paquetes en este puerto.
Card1,2 verde Apagado No hay ninguna tarjeta en la ranura.
En Hay una tarjeta en la ranura.
Intermitente La tarjeta en la ranura está enviando o recibiendo tráfico.
Tabla 9 ZyWALL USG 2000 LED del panel frontal
PWR1, Apagado Ambos módulos de potencia están apagados, no recibe alimentación, o no funciona.
PWR2
Verde En El módulo de alimentación está funcionando.
rojo En El módulo de alimentación no funciona correctamente. Gire el módulo de alimentación, espere unos minutos, y gire el
módulo de alimentación de nuevo (véase Sección 1.5 en la página 20 ). Si el LED brilla rojo otra vez, por favor, póngase en
contacto con su proveedor.
SYS Apagado El ZyWALL está apagado.
Verde En El ZyWALL está listo y funcionando normalmente.
Intermitente El ZyWALL es auto-prueba.
rojo En El ZyWALL está funcionando mal.
AUX Apagado los AUX puerto no está conectado.
En naranja los AUX puerto tiene una conexión de acceso telefónico en la gestión.
La parpadeante AUX el puerto está enviando o recibiendo paquetes para la gestión de acceso telefónico
conexión.
Verde En los AUX puerto tiene una conexión de línea de copia de seguridad.
La parpadeante AUX el puerto está enviando o recibiendo paquetes para la conexión de reserva de línea.

Tabla 9 ZyWALL USG 2000 Panel frontal LEDs (continuación)
TARJETA Verde Apagado Reservado para uso futuro. No hay ninguna tarjeta en el RANURA PARA TARJETAS.
En Hay una tarjeta en el RANURA PARA TARJETAS.
HDD Este LED está reservado para uso futuro.
P1 ~ P8 Verde Apagado No hay tráfico en este puerto.
Intermitente El ZyWALL está enviando o recibiendo paquetes en este puerto.
LNK naranja Desactivado El enlace Ethernet está abajo.
En El enlace Ethernet está activa.
ACTO Verde Apagado El sistema no está transmitiendo / recibiendo tráfico Ethernet.
Parpadeante El sistema está transmitiendo / recibiendo tráfico Ethernet.


do CAPÍTULO 2
Cómo configurar su red
Aquí hay ejemplos de uso del configurador Web para configurar su red en el ZyWALL.
Nota: Los tutoriales ofrecen aquí requieren un conocimiento básico de conexión y el uso del configurador Web, ver Sección 1.4 en la página 10 para
detalles. Para descripciones de los campos de las pantallas individuales, consulte la Ayuda de Web configurador en línea.
• Descripción general asistente en la página 29
• Configuración de una interfaz, funciones de los puertos, y zonas en la página 29
• Cómo configurar una interfaz móvil en la página 32
• Cómo configurar una red LAN inalámbrica en la página 34
• Cómo configurar Ethernet, PPP, VLAN, el puente y Política de Enrutamiento en la página 37
• Cómo configurar IPv6 Interfaces para Pure Enrutamiento IPv6 en la página 38
• Cómo configurar un túnel IPv6 6to4 en la página 44
• Cómo configurar un túnel IPv6-en-IPv4 en la página 48
2.1 Introducción al asistente
Utilizar los asistentes para configurar de forma rápida conexión a Internet y configuración de VPN, así como servicios de suscripción de activación.
MAGO DESCRIPCIÓN
Asistente de configuración de instalación Utilice este asistente el primer registro de tiempo en el configurador Web para configurar WAN
conexiones y registrar ZyWALL.
Configuración rápida Puede encontrar los siguientes asistentes en el CONFIGURACIÓN panel de navegación.
Interfaz WAN Utilice estas pantallas del asistente para configurar rápidamente la configuración de encapsulación y la dirección IP de una interfaz
WAN.
Configuración de VPN Utilice estas pantallas del asistente para configurar rápidamente una VPN IPSec o VPN IPSec aprovisionamiento de
configuración.
Después de completar un asistente, puede ir a la CONFIGURACIÓN pantallas para configurar los parámetros avanzados.
2.2 Configuración de una interfaz, funciones de los puertos y las zonas
Este tutorial muestra cómo configurar las interfaces de Ethernet, los roles de puertos, y las zonas para la configuración siguiente ejemplo.

Capítulo 2 Cómo configurar su red
• Los WAN1 interfaz utiliza una dirección IP estática del 1.2.3.4.
• Añadir P5 ( lan2) a la interfaz DMZ (Nota: En USG 20 / 20W, uso P4 ( lan2) en lugar de P5 en este ejemplo). La interfaz DMZ se utiliza para
una red local protegido. Se utiliza la dirección IP
192.168.3.1 y sirve como un servidor DHCP por defecto.
• ¿Quieres ser capaz de aplicar la configuración de seguridad específicas para el túnel VPN creada por la Quick Setup - Configuración de
VPN asistente (llamado WIZ_VPN). Así se crea una nueva zona y añadir WIZ_VPN
lo.
Figura 21 Interfaz Ethernet, funciones de los puertos, y en el ejemplo de configuración de zonas
2.2.1 Configurar una interfaz Ethernet WAN
Es necesario asignar la década de ZyWALL WAN1 interconectar una dirección IP estática del 1.2.3.4.
Hacer clic Configuración> Red> Interfaz> Ethernet y haga doble clic en el WAN1 La entrada de interfaz en el Configuración sección.
Seleccionar Utilizar la dirección IP fija y configurar la dirección IP, máscara de subred y puerta de enlace predeterminada y haga clic DE
ACUERDO.

2.2.2 Funciones de configurar el puerto
Aquí es cómo tomar la P5 puerto de la interfaz lan2 y añadirlo a la interfaz DMZ.
1 Hacer clic Configuración> Red> Interfaz> Papel puerto.
2 Debajo P5 Selecciona el DMZ (zona desmilitarizada) botón de opción y haga clic Aplicar.
2.2.3 Zonas Configurar
En este ejemplo se ha creado un WIZ_VPN túnel a través de la Quick Setup - Configuración de VPN
mago. Por defecto, se le asigna a la IPSec_VPN zona. Haga lo siguiente para mover WIZ_VPN
desde el IPSec_VPN zona a una nueva zona.
1 Hacer clic Configuración> Red > Zona y haga doble clic en el IPSec_VPN entrada.
2 Seleccionar WIZ_VPN y sacarlo de la Miembro cuadro y haga clic DE ACUERDO.

3 De vuelta a Configuración> Red > Zona pantalla y haga clic Añadir en la configuración del usuario
sección.
4 Entrar VPN como el nombre de la nueva zona. Seleccionar WIZ_VPN y moverlo a la Miembro cuadro y haga clic
DE ACUERDO.
A continuación, puede configurar reglas de firewall para aplicar la configuración de seguridad específicas a esta VPN zona.
2.3 Cómo configurar una interfaz celular

Utilizar tarjetas 3G para conexiones celulares WAN (Internet). Ver www.zyxel.com para una tarjeta 3G compatible. En este ejemplo se
conecta la tarjeta USB 3G antes de configurar las interfaces celulares, pero también es posible invertir la secuencia.
1 Asegúrese de que está instalada la tarjeta SIM del dispositivo 3G.
2 Conectar el dispositivo 3G a uno de los puertos USB del ZyWALL.
3 Hacer clic Configuración> Red> Interfaz> celular. Seleccione la entrada del dispositivo 3G y haga clic
Editar.
4 Habilitar la interfaz y añadirlo a una zona. Es muy recomendable que ajuste el Zona a PÁLIDO
para aplicar la configuración de seguridad de zona WAN a esta conexión 3G. Dejando Zona ajustado a ninguna ha ZyWALL no aplicar ninguna
configuración de seguridad a la conexión 3G. Introducir el Código PIN proporcionado por el proveedor celular servicio 3G (0000 en este
ejemplo).

Nota la Seleccion de red se establece en auto por defecto. Esto significa que el USB 3G
módem puede conectarse a otra red 3G cuando el operador no está dentro del rango o cuando sea necesario. Seleccionar Casa para
que el dispositivo 3G conectar sólo a su red doméstica o proveedor de servicios local. Esto le impide ser cargada utilizando el tipo
de un ISP diferente.
5 Ve a la Tablero. los Estado de la interfaz Resumen sección debe contener una entrada de “celular”.
Cuando su estado de conexión es Conectado puede utilizar la conexión 3G para acceder a Internet.
6 El ZyWALL añade automáticamente la interfaz celular al tronco de la WAN por defecto del sistema. Si el
ZyWALL está utilizando un tronco configurado por el usuario como su tronco por defecto y desea que este interfaz celular a ser parte de ella, utilice el El
maletero pantallas para añadirlo.

De esta manera el ZyWALL puede equilibrar automáticamente la carga de tráfico entre las conexiones WAN disponibles para mejorar el
rendimiento global de la red. Además, si una conexión WAN, el ZyWALL todavía envía tráfico a través de las conexiones WAN restantes. Por
una sencilla prueba, desconecte todas las conexiones WAN conectados del ZyWALL. Si todavía se puede acceder a Internet, su interfaz
celular está configurado correctamente y que su dispositivo celular está funcionando.
2.4 Cómo configurar una red LAN inalámbrica
Este tutorial sólo se aplica a los modelos que incluyen LAN inalámbrica.
Puede configurar diferentes interfaces para usar en la tarjeta de red LAN inalámbrica. Esto le permite tener diferentes redes LAN
inalámbricas que utilizan diferentes SSID. Puede configurar las interfaces WLAN antes o después de instalar la tarjeta de red LAN
inalámbrica. Este ejemplo muestra cómo crear una interfaz WLAN que utiliza WPA o WPA2 seguridad y la base de datos local del ZyWALL
para la autenticación.
2.4.1 configurar cuentas de usuario
Además WPA-PSK, el ZyWALL también es compatible con el uso de PAP TTLS esta manera puede utilizar base de datos local de usuarios del ZyWALL con
WPA o WPA2 en lugar de tener un servidor RADIUS externo. Para cada usuario inalámbrico, configurar una cuenta de usuario que contiene el nombre de
usuario y la contraseña del usuario de WLAN debe introducir para conectarse a la red LAN inalámbrica.
1 Hacer clic Configuración> Objeto> Usuario / Grupo> Usuario y el Añadir icono.
2 Selecciona el Nombre de usuario a wlan_user. Introducir (y volver a entrar) la contraseña del usuario. Hacer clic DE ACUERDO.
3 Utilizar el Añadir icono de la Configuración> Objeto> Usuario / Grupo> Usuario pantalla para configurar el
usuario restante representa de manera similar.
2.4.2 Crear la interfaz WLAN
1 Hacer clic Configuración> Red> Interfaces> WLAN> Añadir para abrir el Añadir WLAN pantalla.

2 Editar esta pantalla de la siguiente manera.
Un nombre (interno) para las pantallas de interfaz WLAN. Puede modificarlo si lo desea. configuración de seguridad del ZyWALL se
configuran por zonas. Seleccionar a qué zona de seguridad desea que la interfaz WLAN de pertenecer (la zona de WLAN en este ejemplo).
Esto determina qué configuración de seguridad del ZyWALL se aplica a la interfaz WLAN. configurar el SSID ( ZYXEL_WPA en este ejemplo).
Si todos sus clientes inalámbricos son compatibles con WPA2, seleccione WPA2-Enterprise como el Tipo de seguridad,
de lo contrario seleccione WPA / WPA-2-Empresa. Selecciona el tipo de autenticación a Método de autenticación. El ZyWALL puede utilizar su método
de autenticación por defecto (la base de datos de usuarios local) y su certificado predeterminado para autenticar a los usuarios. Configurar la dirección IP
de la interfaz y la puso a Servidor DHCP. Hacer clic DE ACUERDO.
3 A su vez en la LAN inalámbrica y haga clic Aplicar.

4 Configurar los clientes inalámbricos para conectarse a la red inalámbrica.
2.4.2.1 clientes inalámbricos para importación de certificados del ZyWALL
Debe importar el certificado del ZyWALL en los clientes inalámbricos para que puedan validar el certificado del ZyWALL. Utilizar el Configuración>
Objeto> Certificado> Editar pantalla para exportar el certificado del ZyWALL está utilizando para la interfaz WLAN. A continuación, haga lo
siguiente para importar el certificado en cada equipo cliente inalámbrico.
1 En Internet Explorer, haga clic Herramientas> Opciones de Internet> Contenido y haga clic en el certificados botón.
2 Hacer clic Importar.
3 Utilizar las pantallas del asistente para importar el certificado. Es posible que necesite cambiar la Los archivos de tipo ajuste
a Todos los archivos con el fin de ver el archivo de certificado.
4 Al llegar a la Almacén de certificados pantalla, seleccione la opción de seleccionar automáticamente el

almacén de certificados en base al tipo de certificado.
5 Si aparece una pantalla de advertencia de seguridad, haga clic Sí para proceder.
6 los Los certificados de Internet Explorer pantalla permanece abierta después de la importación se realiza. Puedes ver el
certificado recién importadas que figuran en el Entidades de certificación raíz de confianza lengüeta. Los valores de la Para emitido y Emitido por campos
deben coincidir con los de la década de ZyWALL Mis Certificados la pantalla del
Tema y Editor campos (respectivamente).

los Mis Certificados pantalla indica qué tipo de información se está mostrando, como el nombre común (CN), unidad organizativa (OU),
Organización (O) y País (C).
Repita los pasos para importar el certificado en cada equipo cliente inalámbrico que es validar el certificado del ZyWALL cuando se utiliza la
interfaz WLAN.
2.4.2.2 clientes inalámbricos utilizar la interfaz WLAN
Los clientes inalámbricos introducen su nombre de usuario y contraseña cuando se conectan a la red inalámbrica.
2.5 Cómo configurar Ethernet, PPP, VLAN, Puente y Política de

enrutamiento
La siguiente tabla describe cuándo configurar la red Ethernet, PPP pantallas, VLAN, bajo el puente
Configuración> Red> Interfaz y el Configuración> Red> Routing> Routing Política pantalla.

Tabla 10 Ethernet, PPP, VLAN, el puente y la política de enrutamiento Relaciones pantalla
DESCRIPCIÓN DE PANTALLAS
Ethernet Configurar esto si cualquier interfaz en el ZyWALL está conectando a una red Ethernet. Ethernet
las interfaces son la base para la definición de interfaces y otras políticas de red.
PPP Configurar esta opción si necesita su proveedor de servicios para proporcionar una dirección IP a través de PPPoE o PPTP con el fin de acceder a Internet u
otra red.
VLAN Configurar esta opción si desea dividir sus redes físicas en múltiples VLAN, o su proveedor de servicios o una red agregada necesita el ZyWALL para
reconocer las etiquetas VLAN en los paquetes que circulan a través del ZyWALL.
Puente Configurar esto si desea que el ZyWALL para combinar dos o múltiples segmentos de red en una sola red. Aunque el ZyWALL es “transparente” en este
modo, todavía se puede aplicar la comprobación de seguridad en los paquetes que circulan por el ZyWALL.
Política de Configurar esto si desea anular el comportamiento de enrutamiento por defecto del ZyWALL con el fin de enviar paquetes a través de la interfaz
enrutamiento adecuada o túnel VPN.
Desde la versión de firmware 3.00, el ZyWALL admite la configuración IPv6 en estos Ethernet, PPP, VLAN, Puente y Ruta Política pantallas
menores Configuración > Red > Interfaz y
Configuración > Red > Routing. Básicamente, estos son los mismos que los de las redes IPv4, excepto las siguientes diferencias:
• Tienes que habilitar IPv6 a nivel mundial en el CONFIGURACIÓN > Sistema > IPv6 pantalla para hacer los ajustes de IPv6 trabajo.
• Un Activar IPv6 configuración - Seleccione esta en las pantallas enumeradas arriba para el ZyWALL para poder enviar y recibir paquetes
IPv6 a través de la interfaz. De lo contrario, el ZyWALL descarta los paquetes IPv6 que fluyen a través de la interfaz.
• Asignación de direcciones IPv6 - Esta sección le permite activar la configuración automática y configurar la delegación de prefijo.
• Ajuste DHCPv6 - Esta sección le permite configurar la función DHCPv6 y los ajustes correspondientes para la interfaz.
2.6 Cómo configurar IPv6 Interfaces para el enrutamiento IPv6 puro
Este ejemplo muestra cómo configurar su ZyWALL Z 's interfaces WAN y LAN que conecta dos redes IPv6. ZyWALL Z anuncia periódicamente
un prefijo de red de 2006: 1111: 1111: 1111 :: / 64 a la LAN a través de anuncios de enrutador.
Nota: En lugar de utilizar anuncio de enrutador, puede utilizar DHCPv6 para pasar a la red
ajustes a los ordenadores de la LAN.
Figura 22 Ejemplo puro red IPv6
LAN Z PÁLIDO
IPv6 IPv6 IPv6
2006: 1111: 1111: 1111 :: / 64

2.6.1 configuración de la interfaz WAN IPv6
1 En el CONFIGURACIÓN > Red > Interfaz > Ethernet la pantalla del Configuración de IPv6
sección, haga doble clic en el WAN1.
2 los Editar Ethernet Aparece la pantalla. Seleccionar Habilitar interfaz y Activar IPv6. Seleccionar Habilitar
Configuración automática. Hacer clic DE ACUERDO.
Nota: El router ISP o de enlace ascendente debería permitir anuncio de enrutador.
2.6.2 configuración de la interfaz LAN
1 En el CONFIGURACIÓN > Red > Interfaz > Ethernet pantalla, haga doble clic en el lan1 en
el Configuración de IPv6 sección.
2 los Editar Ethernet Aparece la pantalla. Seleccionar Habilitar interfaz y Activar IPv6.
Seleccionar Habilitar el anuncio de enrutador y haga clic Añadir y configurar un prefijo de red para la LAN1 (2006: 1111: 1111: 1111 :: / 64 en este
ejemplo). Hacer clic DE ACUERDO.

Ha finalizado la configuración de la ZyWALL. Pero si desea solicitar un prefijo de dirección de red de su proveedor de Internet para sus
ordenadores de la LAN, se puede configurar la delegación de prefijo (ver Sección Sección 2.6.3 en la página 40 ).
2.6.3 configuración de delegación de prefijo y de anuncio de enrutador
Este ejemplo muestra cómo configurar el prefijo delegación de la WAN y ZyWALL anuncio de enrutador en la LAN.
2.6.3.1 Aplicar un prefijo de red de su ISP
En primer lugar, usted tiene que solicitar un prefijo de red de su ISP o administrador del router de enlace ascendente. Se requiere DUID del
puerto WAN cuando se aplica el prefijo. Puede comprobar la información en el DUID WAN IPv6 interfaz de edición pantalla.
En este ejemplo se asume que se haya dado un prefijo de red de 2001: B050: 2d :: / 48 y se decide dividir y darle 2001: B050: 2d: 1111 :: /
64 a la red LAN. la dirección IP de LAN1 es 2001: B050: 2d: 1111 :: 1/128.

Figura 23 Pura de red IPv6 Ejemplo de uso de delegación de prefijo
LAN Z PÁLIDO
IPv6 IPv6 IPv6
2001: B050: 2d: 1111 :: 1/128
2002: B050: 2d: 1111 :: / 64
2.6.3.2 configuración de la interfaz WAN IPv6
1 En el Configuración > Red > Interfaz > Ethernet la pantalla del Configuración de IPv6 sección,
Haga doble clic en el WAN1.
Hacer clic Crear un nuevo objeto añadir una Solicitud DHCPv6 objeto con el Delegación prefijo tipo. Seleccionar Habilitar configuración
automática.
Seleccionar Cliente en el DHCPv6 campo. (Aparece DUID de WAN1.) Haga clic Añadir en el DHCPv6 Opciones de las peticiones mesa y
seleccionar el objeto de solicitud de DHCPv6 que acaba de crear. No se puede ver el prefijo de su ISP le dio en el Valor campo hasta que haga
clic DE ACUERDO y luego volver a esta pantalla de nuevo. Es 2001: B050: 2d :: / 48 en este ejemplo.
Nota: su proveedor de Internet o un servidor DHCPv6 en la misma red que la WAN deben asignar una
dirección IPv6 IP para la interfaz WAN.

2.6.3.3 configuración de la interfaz LAN
1 En el Configuración > Red > Interfaz > Ethernet pantalla, haga doble clic en el lan1 en el
Configuración de IPv6 sección.
2 los Editar Ethernet Aparece la pantalla. Hacer clic Mostrar configuración avanzada para mostrar más ajustes en
esta pantalla. Seleccionar Habilitar interfaz y Activar IPv6.
En el Dirección de DHCPv6 delegación de prefijo tabla, haga clic Añadir y seleccione el objeto de solicitud DHCPv6 de la lista desplegable,
el tipo :: 1111: 0: 0: 0: 1/128 en el Dirección sufijo campo. (El combinado de direcciones 2001: B050: 2d: 1111 :: 1/128 se mostrará como la
dirección IPv6 de LAN 1 después de hacer clic
DE ACUERDO y volver a esta pantalla de nuevo).
Nota: Puede configurar el campo Longitud Dirección IPv6 / Prefijo lugar si el delegado
prefijo no se cambia nunca.
Seleccionar Habilitar el anuncio de enrutador.
En el Anuncian Prefijo de DHCPv6 delegación de prefijo tabla, haga clic Añadir y seleccione el objeto de solicitud DHCPv6 de la lista
desplegable, el tipo :: 1111-1164 en el Dirección sufijo campo. (La combinación del prefijo 2001: B050: 2d: 1111 :: / 64 se mostrarán durante
prefijo de red de la LAN 1 después de hacer clic
DE ACUERDO y volver a esta pantalla de nuevo).

2.6.4 Prueba
1 Conectar un ordenador a LAN1 del ZyWALL.

2 Habilitar el soporte IPv6 en su computadora.
En Windows XP, es necesario utilizar el ipv6 install comando en un símbolo del sistema. En Windows 7, se admite IPv6 de forma
predeterminada. Puede habilitar IPv6 en el Panel de control > Centro de redes y recursos compartidos > Conexión de área local pantalla.
3 El ordenador debe obtener una dirección IP IPv6 (a partir de 2001: B050: 2d: 1111: para este ejemplo)
Del ZyWALL.
4 Abra un navegador web y escriba http://www.kame.net. Si la configuración de IPv6 son correctos, se puede ver
una tortuga bailando en el sitio web.
2.6.5 ¿Qué puede fallar?
1 Si ha olvidado activar Configuración automática en la interfaz WAN1 IPv6, no tendrá ningún

Ruta por defecto para enviar paquetes IPv6 de la LAN.
2 Para utilizar la delegación de prefijo, debe configurar la interfaz WAN a un cliente DHCPv6, permitirá a enrutador
anuncios en la interfaz LAN, así como configurar el Anuncian Prefijo de DHCPv6 delegación de prefijo mesa.
3 Si el Valor campo en el WAN1 de DHCPv6 Opciones de las peticiones pantallas de mesa n / A, póngase en contacto con su proveedor de Internet
Para más soporte.
4 En Windows, algunos túneles IPv6 relacionados pueden ser activadas por defecto como Teredo y 6to4
túneles. Se puede hacer que el equipo para manejar los paquetes IPv6 de una manera inesperada. Se recomienda desactivar
los túneles en su ordenador.
2.7 Cómo configurar un túnel IPv6 6to4

Este ejemplo muestra cómo utilizar las pantallas de configuración de interfaz para crear el siguiente túnel 6a4.
Figura 24 Ejemplo de túnel 6a4
Z R
LAN PÁLIDO
IPv6 IPv4
192.99.88.1
2002: 7a64: DCEE: 1 :: 111/128 122.100.220.238
2002: 7a64: DCEE: 1 :: / 64
En este ejemplo, el ZyWALL ( Z) actúa como un router 6a4 que conecta el IPv4 de Internet (a través de WAN1 con una dirección IP de
122.100.220.238) y una red intranet IPv6. En la aplicación del túnel 6to4, debe configurar la LAN 1 con una dirección IP a partir de 2002:
7a64: DCEE :: / 48 si decide utilizar la dirección IP WAN1 para reenviar paquetes 6a4 a la red IPv4. Los conjuntos de segunda y tercera de la
dirección IP de 16 bits desde la izquierda deben convertirse de 122.100.220.238. Se convierte en 7a64: DCEE en hexadecimal. Usted es
libre de utilizar el cuarto juego de la dirección IP de 16 bits de la izquierda con el fin de asignar direcciones de red diferentes (prefijos) a las
interfaces de IPv6. En este ejemplo,

la dirección de red LAN 1 se asigna a utilizar 2002: 7a64: DCEE: 1 :: / 64 y la dirección IP LAN1 se establece en 2002: 7a64: DCEE: 1 ::
111/128.
Un relé router R ( 192.99.88.1) se utiliza en este ejemplo con el fin de reenviar paquetes 6a4 a ninguna de las direcciones IPv6
desconocidas.
2.7.1 Concepto de configuración
Después de la configuración de túnel 6a4 son completos, los paquetes IPv4 e IPv6 transmitidos entre WAN1 y LAN1 serán manejadas por el
ZyWALL a través del siguiente flujo.
Figura 25 Concepto de configuración de túnel 6to4
LAN1 WAN1
TÚNEL 6a4
(IPv6) (IPv4)
2.7.2 configuración de la interfaz LAN IPv6
1 En el CONFIGURACIÓN > Red > Interfaz > Ethernet la pantalla del Configuración de IPv6
sección, haga doble clic en el lan1.
Tipo 2002: 7a64: DCEE: 1 :: 111/128 en el Dirección IPv6 / longitud del prefijo campo de la dirección IP de la LAN 1. Habilitar Anuncio de
enrutador. A continuación, haga clic Añadir en el Anuncian Prefijo de tabla añadir
2002: 7a64: DCEE: 1 :: / 64. Los anfitriones LAN1 obtener el prefijo de red a través de los mensajes de anuncio de enrutador enviados
por la interfaz LAN1 IPv6 periódicamente. Hacer clic DE ACUERDO.

2.7.3 Configuración del túnel 6to4
1 Hacer clic Añadir en el CONFIGURACIÓN > Red > Interfaz > túnel pantalla.
2 los Añadir túnel Aparece la pantalla. Seleccionar Habilitar.
Entrar tunnel0 como el Nombre de interfaz y seleccione 6a4 como el Modo túnel.
En el 6a4 túnel de parámetros sección, este ejemplo simplemente utiliza el valor por defecto 6a4 prefijo,
2002 :: // 16. Introduzca la dirección IP del router relé (192.88.99.1 en este ejemplo). Seleccionar WAN1 como la puerta de enlace.
Hacer clic DE ACUERDO.

2.7.4 Prueba del túnel 6to4
3 Usted debe obtener una dirección IP IPv6 a partir de 2002: 7a64: DCEE: 1 :.
4 Tipo de ping -6 ipv6.google.com en un símbolo del sistema de prueba. Usted debe obtener una respuesta.
1 No habilite de configuración automática para la interfaz LAN1 IPv6. Lo que le causará dos por defecto
rutas, sin embargo, el ZyWALL sólo necesita una ruta predeterminada generada por la configuración del router relé. En 6a4, el ZyWALL no
necesita una ruta política para determinar dónde enviar un paquete 6a4 (a partir de 2002, en la dirección IP IPv6). La siguiente información
de puerta de enlace de dónde enviar un paquete 6a4 puede ser recuperada desde la dirección IP de destino del paquete. El ZyWALL
solamente envía un paquete al router 6a4 relé utilizando la ruta por defecto si el destino del paquete no es una dirección IP a partir de 2002.

2 No es necesario para activar la interfaz WAN1 IPv6, pero asegúrese de habilitar la WAN1 IPv4
interfaz. En 6a4, el ZyWALL utiliza la interfaz WAN1 IPv4 para reenviar los paquetes 6to4 través de la red IPv4.
Nota: Para 6a4, que no es necesario para habilitar IPv6 en el WAN1 ya que los paquetes IPv6 serán redirigidos hacia el túnel
6to4.
2.8 Cómo configurar un túnel IPv6-en-IPv4

Este ejemplo muestra cómo utilizar las pantallas de configuración de interfaz de ruta y de política para crear un túnel IPv6-en-IPv4.
Figura 26 IPv6-en-IPv4 túnel Ejemplo
Z Y
LAN PÁLIDO PÁLIDO LAN
IPv6 IPv4 IPv6
2003: 1111: 1111: 1 :: 1/128 1.2.3.4 5.6.7.8 2004: 2222: 2222: 2 :: 1/128
2003: 1111: 1111: 1 :: / 64 2004: 2222: 2222: 2 :: / 64
En este ejemplo, los ZyWALLs ( Z y Y) actúan como routers IPv6-en-IPv4 que se conectan a Internet IPv4 y una red IPv6 individual. Este
ejemplo de configuración sólo muestra la configuración de ZyWALL Z. Se puede utilizar una configuración similar a configurar ZyWALL Y.
Nota: En la aplicación túnel IPv6 en IPv4, debe configurar la puerta de enlace WAN de pares
dirección IPv4 como el IP de la pasarela remota.
2.8.1 Concepto de configuración
Después de la configuración de túnel IPv6-en-IPv4 son completos, los paquetes IPv4 e IPv6 transmitidos entre WAN1 y LAN1 serán
manejadas por el ZyWALL a través del siguiente flujo.
Figura 27 IPv6-en-IPv4 Concepto de configuración del túnel
LAN1 IPv6-en-IPv4 WAN1

TÚNEL Ruta Política
(IPv6) (IPv4)
2.8.2 Configuración del IPv4 IPv6-en-túnel
1 Hacer clic Añadir en el CONFIGURACIÓN > Red > Interfaz > túnel pantalla.

2 los Editar túnel Aparece la pantalla. Seleccionar Habilitar.
Entrar tunnel0 como el Nombre de interfaz y seleccione IPv6-en-IPv4 como el Modo túnel.
Seleccionar WAN1 en el Interfaz en el campo Configuración de puerta de enlace sección. Entrar 5.6.7.8 como la dirección IP
de la puerta de enlace remota. Hacer clic DE ACUERDO.
2.8.3 configuración de la interfaz LAN IPv6
1 Seleccionar en el lan1 Configuración de IPv6 sección en el CONFIGURACIÓN > Red > Interfaz
> Ethernet pantalla y haga clic Editar.
Tipo 2003: 1111: 1111: 1 :: 1/128 en el Dirección IPv6 / longitud del prefijo campo de la dirección IP de la LAN 1. Habilitar Anuncio de
enrutador. A continuación, haga clic Añadir en el Anuncian Prefijo de tabla añadir
2003: 1111: 1111: 1 :: / 64. Los anfitriones LAN1 obtener el prefijo de red a través de anuncios de enrutador enviados por la
interfaz LAN1 IPv6 periódicamente. Hacer clic DE ACUERDO.

2.8.4 Configuración de la Ruta Política
1 Ve a la CONFIGURACIÓN > Red > enrutamiento pantalla y haga clic Añadir en el IPv6
Configuración mesa.
2 los Agregar ruta Política Aparece la pantalla. Hacer clic Crear nuevo objeto para crear un objeto de dirección IPv6
con el prefijo de la dirección de 2003: 1111: 1111: 1 :: / 64.
Seleccionar Habilitar.
Seleccione el objeto de dirección que acaba de crear en el Dirección de la fuente campo. Seleccionar alguna en el Dirección de
destino campo. Seleccionar Interfaz como el tipo de salto siguiente y luego tunnel0 como la interfaz. Hacer clic DE ACUERDO.

2.8.5 Comprobación de la IPv6-en-IPv4 túnel
3 Usted debe obtener una dirección IP IPv6 a partir de 2003: 1111: 1111: 1000 :.
4 Utilizar el [Dirección IP IPv6] de ping -6 comando en un símbolo del sistema para comprobar si puede
ping a un equipo detrás ZyWALL Y. Usted debe obtener una respuesta.
1 No es necesario para activar la interfaz WAN1 IPv6, pero asegúrese de habilitar la WAN1 IPv4
interfaz. En IPv6-en-IPv4, el ZyWALL utiliza la interfaz WAN1 IPv4 para reenviar los paquetes 6to4 a la red IPv4.


do CAPÍTULO 3
Protección de la red
Estas secciones cubren configurar el ZyWALL para proteger la red.
• Cortafuegos en la página 53
• El usuario consciente de control de acceso en la página 54
• Endpoint Security (EPS) en la página 55
• Dispositivo y servicio de registro en la página 55
• Configuración de la política Anti-Virus en la página 56
• IDP perfil de configuración en la página 58
• ADP perfil de configuración en la página 59
• Filtrar el contenido de configuración del perfil en la página 61
• Visualización de informes de filtro de contenido en la página 63
• Anti Spam-configuración de políticas en la página 66
3.1 Firewall
El cortafuegos controla el desplazamiento del tráfico entre o dentro de las zonas de servicios que utilizan números de puerto estáticos. Utilice patrulla de
aplicación para controlar los servicios utilizando números de puerto flexible / dinámicas (véase
Sección 5.8 en la página 120 para un ejemplo). El servidor de seguridad también puede controlar el tráfico para NAT (DNAT) y rutas de política (SNAT).
Las reglas de firewall pueden utilizar horario, usuarios, grupos de usuarios, dirección, dirección de grupo, el servicio y los objetos del grupo de servicio.
Para controlar el acceso ZyWALL-reglas de cortafuegos para la propia ZyWALL incluyendo el acceso de administración. Por defecto, el cortafuegos
permite varios tipos de gestión de la LAN, HTTPS de la WAN y no hay gestión de la DMZ. El servidor de seguridad también limita el número de
sesiones de usuario.
Este ejemplo muestra el comportamiento predeterminado del cortafuegos del ZyWALL de WAN a LAN tráfico y cómo funciona con estado de inspección.
Un usuario de LAN puede iniciar una sesión Telnet desde el interior de la zona de LAN y el servidor de seguridad permite la respuesta. Sin embargo, el
cortafuegos bloquea el tráfico de Telnet inicia a partir de la zona destinada WAN y LAN para la zona. El cortafuegos permite el tráfico VPN entre
cualquiera de las redes.
Figura 28 Por defecto Firewall Acción
LAN PÁLIDO

Capítulo 3 Protección de la red
3.1.1 ¿Qué puede fallar

• El ZyWALL comprueba las reglas de firewall en orden y se aplica la primera regla de cortafuegos coincide con el tráfico. Si el tráfico está bloqueado
o permitido de forma inesperada, asegúrese de que la regla del cortafuegos que desea aplicar al tráfico viene antes que cualquier otra regla que
también se correspondería con el tráfico.
• Incluso si ha configurado el servidor de seguridad para permitir el acceso a un servicio de gestión tales como HTTP, también debe habilitar el
servicio en las reglas de control de servicio.
• El ZyWALL no está aplicando las reglas del cortafuegos para determinados interfaces. El ZyWALL sólo se aplican reglas de de una zona
como las interfaces que pertenecen a la zona. Asegúrese de asignar las interfaces a las zonas apropiadas. Cuando se crea una interfaz,
no hay seguridad aplicado en él hasta que se asigne a una zona.
Control de acceso de usuario 3.2-consciente
Puede configurar muchas de las políticas y la configuración de seguridad para los usuarios o grupos de usuarios específicos. Los usuarios pueden ser
autenticados localmente por el ZyWALL o mediante un servidor de autenticación externo (AD, RADIUS o LDAP). Aquí es cómo hacer que el ZyWALL
utilizar un servidor RADIUS para autenticar a los usuarios antes de darles acceso.
1 Configurar cuentas de usuario en el servidor RADIUS.
2 Configurar cuentas de usuario y grupos en el ZyWALL ( Configuración> Objeto> usuario / grupo).
3 Configurar un objeto para el servidor RADIUS. Hacer clic Configuración> Objeto> AAA Servidor>
RADIO y haga doble clic en el radio entrada.
4 A continuación, configure el método de autenticación, haga clic Configuración> Objeto> Aut. Método. Doble-
haga clic en el defecto entrada. Haga clic en el Añadir icono.
5 Configurar las opciones de seguridad del ZyWALL. El ZyWALL puede utilizar el método de autenticación en
autenticar los clientes inalámbricos, HTTP y HTTPS clientes, puertas de enlace IPSec (autenticación extendida), L2TP VPN, y la política de
autenticación.

• El ZyWALL siempre autentica el defecto administración dar cuenta a nivel local, independientemente del ajuste de método de
autenticación. No se puede tener el servidor RADIUS autentica cuenta de administrador por defecto del ZyWALL.
• El intento de autenticación siempre fallará si el ZyWALL intenta utilizar la base de datos local para autenticar una ext-usuario. Un servidor
externo, tal como AD, LDAP o RADIUS debe autenticar las cuentas ext-usuario.
• Los intentos para agregar los usuarios administradores de un grupo de usuarios con los usuarios de acceso fallará. No se puede poner a los usuarios de acceso y los
usuarios administradores en el mismo grupo de usuarios.
• Los intentos para agregar la cuenta predeterminada de administrador a un grupo de usuarios se producirá un error. No se puede poner el valor por defecto
administración cuenta en cualquier grupo de usuarios.

3.3 Endpoint Security (EPS)

Utilizar los objetos de seguridad de punto final con las políticas de autenticación o VPN SSL para hacer que los ordenadores de los usuarios seguro que
cumplen con los requisitos específicos de seguridad antes de que puedan acceder a la red.
1 Configurar los objetos de seguridad de punto final ( Configuración> Objeto> Endpoint Security > Añadir).
2 Configurar una política de autenticación a utilizar los objetos de seguridad de punto final ( Configuration> Auth.
Política> Añadir).

• comprobación de seguridad de punto final falla si los ordenadores de los usuarios no tienen Java de Sun (Java Runtime ronment bientes o
'JRE') instalado y activado con una versión mínima de 1,4.
• Cuando las políticas de autenticación SSL o VPN utilizan objetos de seguridad de punto final de varios equipos los cheques ZyWALL de los usuarios contra
los objetos de seguridad de punto final en orden. Esto puede tomar un tiempo si es necesario comprobar muchos objetos. Coloque los objetos de seguridad
de punto final que la mayoría de los inicios de sesión de usuario debe coincidir más alto en la lista.
3.4 Dispositivo de Registro y Servicio

En este tutorial se muestra cómo crear una cuenta de myZyXEL.com y registrar el ZyWALL. A continuación, puede activar su suscripción al
servicio.
1 Puede crear una cuenta directamente myZyXEL.com y registrar el ZyWALL en el Registro

pantalla. Hacer clic Configuración> Licencias> Registro para abrir la siguiente pantalla. Seleccionar
myZyXEL.com nueva cuenta. Rellenar los campos marcados en rojo en esta pantalla. Hacer clic Aplicar para crear su cuenta y registrar el
dispositivo.
2 Haga clic en el Servicio lengüeta. Para activar o ampliar una suscripción de servicio estándar de introducir sus icard
de licencia en el Clave de licencia campo. La clave de licencia se puede encontrar en el reverso de la iCard.

Configuración de la política 3.5 Anti-Virus
En este tutorial se muestra cómo configurar una política Anti-Virus.
Nota: Es necesario activar primero la licencia de servicio o Anti-Virus juicio. Ver dispositivo y
Registro de servicio en la página 55 .
1 Hacer clic Configuración> Anti-X> Anti-Virus para visualizar el Anti-Virus General pantalla. En el
políticas sección haga clic Añadir para mostrar la Agregar regla pantalla. Seleccionar Habilitar. En el Dirección
sección, puede seleccionar el De y A zonas de tráfico para detectar virus. También puede seleccionar los tipos de tráfico para detectar virus en virtud Protocolos
que deben analizarse. Hacer clic DE ACUERDO.

2 La directiva configurada en el paso anterior se mostrará en el políticas sección. Seleccionar Activar Anti-
Virus y Anti-Spyware y haga clic Aplicar.

• El ZyWALL no examina los siguientes tipos de archivos / de tráfico:
• descargas simultáneas de un archivo con múltiples conexiones. Por ejemplo, cuando se utiliza FlashGet descargar secciones
de un archivo al mismo tiempo.
• el tráfico cifrado. Esto podría ser archivos protegidos con contraseña o el tráfico VPN, donde el ZyWALL no es el punto final (el tráfico
de paso a través de VPN).
• Tráfico a través de los puertos personalizados (no estándar). La única excepción es el tráfico FTP. Las exploraciones ZyWALL cualquier
número de puerto se especifica para FTP en la pantalla ALG.
• archivo (s) postal dentro de un archivo ZIP.

3.6 Configuración del perfil IDP
IDP (Intrusión, Detección y Prevención) detecta paquetes maliciosos o sospechosos y protege contra las intrusiones basados en red.
Nota: Es necesario activar primero la licencia de servicio IDP ni juicio. Ver Dispositivo y Servicio
Registro en la página 55 .
Es posible que desee crear un nuevo perfil si no todas las firmas en un perfil de base son aplicables a la red. En este caso, debe
desactivar las firmas que no se aplican con el fin de mejorar la eficiencia de procesamiento ZyWALL IDP.
También puede encontrar que algunas firmas están provocando demasiados falsos positivos o falsos negativos. Un falso positivo es válida
cuando el tráfico se marca como un ataque. Un falso negativo es cuando se permite que el tráfico no válido erróneamente que pasar por el
ZyWALL. A medida que cada red es diferente, los falsos positivos y falsos negativos son comunes en el despliegue inicial IDP.
Se puede crear un nuevo perfil de monitor 'que crea los registros de todas las acciones, pero están desactivados. Observar los registros con el
tiempo y tratar de eliminar las causas de las falsas alarmas. Cuando esté satisfecho de que se han reducido a un nivel aceptable, entonces
podría crear un perfil en línea "mediante el cual se configuran las acciones apropiadas que deben tomarse cuando un paquete coincide con una
firma.
3.6.1 Procedimiento para crear un nuevo perfil
Para crear un nuevo perfil:
1 Hacer clic Configuración> Anti-X> PDI> Perfil y en el Gestión de perfiles sección de este
pantalla, haga clic en el Añadir icono. Aparecerá una pantalla emergente que le permite elegir un perfil de base. Seleccionar un perfil de base para ir a la
pantalla de detalles de perfil.
Nota: Si Internet Explorer se abre una pantalla de advertencia sobre un script haciendo Internet Explorer
correr lentamente y el ordenador puede que deje de responder, basta con hacer clic No continuar.
2 Escriba un nuevo perfil Nombre. Activar o desactivar las firmas individuales mediante la selección de una fila y haciendo clic
Activar o Inactivar. Hacer clic DE ACUERDO.

3 Editar las opciones y acciones de registro por defecto.
3.7 Configuración del perfil de ADP
ADP (detección y prevención de anomalías) protege contra las anomalías en base a violaciónes de las normas de protocolo (RFC - Petición
de comentarios) y los flujos de tráfico anormal, como análisis de puertos.
Es posible que desee crear un nuevo perfil si no todas las normas de tráfico o de protocolo en un perfil de base son aplicables a la red. En
este caso, debe desactivar reglas que no se aplican con el fin de mejorar la eficiencia de procesamiento ZyWALL ADP.
También puede encontrar que ciertas reglas están provocando demasiados falsos positivos o falsos negativos. Un falso positivo es válida cuando el
tráfico se marca como un ataque. Un falso negativo es cuando se permite que el tráfico no válido erróneamente que pasar por el ZyWALL. A
medida que cada red es diferente, los falsos positivos y falsos negativos son comunes en el despliegue inicial de ADP.
Se puede crear un nuevo perfil de monitor 'que crea los registros de todas las acciones, pero están desactivados. Observar los registros con el
tiempo y tratar de eliminar las causas de las falsas alarmas. Cuando esté satisfecho de que se han reducido a un nivel aceptable, entonces
podría crear un perfil en línea "mediante el cual se configuran las acciones apropiadas que deben tomarse cuando un paquete coincide con una
detección.
3.7.1 Procedimiento Para crear un nuevo perfil de ADP
Para crear un nuevo perfil:
1 Hacer clic Configuración> Anti-X> ADP> Perfil y en el Gestión de perfiles sección de este
pantalla, haga clic en el Añadir icono. Aparecerá una pantalla emergente que le permite elegir un perfil de base. Seleccionar un perfil de base
para ir a la pantalla de detalles de perfil.

Nota: Si Internet Explorer se abre una pantalla de advertencia sobre un script haciendo Internet Explorer
correr lentamente y el ordenador puede que deje de responder, basta con hacer clic No continuar.
2 los tráfico Anomalía la pantalla mostrará. Escriba un nuevo perfil Nombre. Activar o desactivar individuo
escanear o tipos de inundaciones mediante la selección de una fila y haciendo clic Activar o Inactivar. Selección de diferentes niveles en el Sensibilidad menú
desplegable ajusta los niveles de umbrales de exploración y los tiempos de muestreo. Editar las opciones y acciones de registro por defecto al seleccionar una
fila y haciendo una selección en el Iniciar sesión o Acción
menús desplegables. Hacer clic DE ACUERDO.
3 Haga clic en el anomalías de protocolo lengüeta. Escriba un nuevo perfil Nombre. Activar o desactivar reglas individuales por
la selección de una fila y haciendo clic Activar o Inactivar. Editar las opciones y acciones de registro por defecto al seleccionar una fila y haciendo una
selección en el Iniciar sesión o Acción menús desplegables. Hacer clic DE ACUERDO.

3.8 Contenido de configuración del filtro Perfil
El filtro de contenido le permite controlar el acceso a sitios web específicos o filtro de contenido web mediante la comprobación contra una base de
datos externa. En este tutorial se muestra cómo configurar un perfil de filtro de contenido.
Nota: Es necesario activar primero la licencia de servicio de filtro de contenido ni juicio a utilizar
Commtouch o servicio de filtrado de contenido BlueCoat. Ver Dispositivo y servicio de registro en la página 55 .
1 Usted primero configurar un perfil de filtrado de contenido. Hacer clic Configuración> Anti-X> El filtro de contenido>
Filtro Perfil> Añadir para abrir la siguiente pantalla. Introduzca un perfil Nombre y seleccione Habilitar el contenido de servicio del filtro Categoría y
seleccionar las acciones deseadas para las diferentes categorías de páginas web. A continuación, seleccione las categorías para incluir en el perfil o
seleccione Seleccionar todas las categorías. Hacer clic Aplicar.

2 Haga clic en el General pestaña y en el políticas sección haga clic Añadir. En el Agregar directiva pantalla que
aparece, seleccione el Perfil de filtro que ha creado en el paso anterior. Hacer clic DE ACUERDO.
3 En el General pantalla, la política configurada aparecerá en el políticas sección. Seleccionar Habilitar

Filtro de contenido y seleccione Abrigo azul. A continuación, seleccione Habilitar filtro de contenido Informe del Servicio para recopilar estadísticas de filtrado de
contenidos para los informes. Hacer clic Aplicar.

3.9 Visualización de informes filtro de contenido
informes de filtrado de contenidos se generan estadísticas y gráficos de los intentos de acceso a sitios web pertenecientes a las categorías que ha
seleccionado en la pantalla de su dispositivo de filtro de contenido. Es necesario registrar su iCard antes de poder ver los informes de filtrado de
contenido. Alternativamente, también puede ver los informes de filtrado de contenidos durante la prueba gratuita (hasta 30 días).
1 Ir http://www.myZyXEL.com. Rellene su myZyXEL.com información de la cuenta y haga clic Iniciar sesión.
2 Aparece una pantalla de bienvenida. Haga clic en el nombre del modelo del ZyWALL y / o la dirección MAC bajo
Registrados Productos ZyXEL ( el ZyWALL 20W se muestra como un ejemplo aquí). Puede cambiar el nombre descriptivo para su ZyWALL
utilizando el Rebautizar en el botón Gestión De Servicios pantalla.
3 En el Gestión De Servicios clic en la pantalla El filtro de contenido (BlueCoat) o Filtro de contenido

(Commtouch) en el Nombre del Servicio columna para abrir el filtro de contenido informa pantallas.

4 En el Web Filter Inicio pantalla, haga clic Informe Commtouch o BlueCoat Informe.
5 Seleccione los elementos menores Los informes globales para ver los informes correspondientes.
6 Seleccionar un período de tiempo en el Rango de fechas campo, ya sea Permitido o Obstruido en el Acción tomada campo
y una categoría (o introduzca el nombre de usuario si desea ver informes de los usuarios individuales) y haga clic Sacar un reporte. Las
pantallas varían según el tipo de informe seleccionado en el Resumen Locales pantalla.

7 Un gráfico y / o una lista de categorías de sitios web solicitadas se muestran en la mitad inferior de la pantalla.
8 Puede hacer clic en una categoría en el categorías reportar o haga clic URL en el Resumen Locales pantalla para ver
las direcciones URL que se solicitaron.
Guía ZyWALL USG 20-2000 del usuario sesenta y cinco

3.10 Configuración de la política anti-spam
En este tutorial se muestra cómo configurar una política anti-spam con funciones de exploración del correo y la lista de Negro DNS (DNSBL).
Nota: Es necesario activar primero la licencia de servicio Anti-Spam ni juicio a utilizar el correo
funciones de escaneado (la reputación del remitente, el análisis de contenido de correo y detección de brotes de virus). Ver Dispositivo
y servicio de registro en la página 55 .
1 Para utilizar las funciones de Exploración de correo (la reputación del remitente, análisis de contenido de correo y Brotes de Virus
Detección) que necesita a fin de que en el Exploración de correo pantalla. Hacer clic Configuración> Anti-X> Antispam> Exploración de correo abrir
esta pantalla. Habilitar las funciones de escaneo de correo deseado. Hacer clic Aplicar.
2 Para configurar el DNS Lista Negro (DNSBL), haga clic en el DNSBL lengüeta. Seleccionar Activar DNS Lista Negro
(DNSBL) de cheques. En el DNSBL dominio sección haga clic Añadir. Introducir el DNSBL dominio para un servicio DNSBL. En este
ejemplo, zen.spamhaus.org se utiliza. Hacer clic Aplicar.

3 Haga clic en el General lengüeta. En el Resumen de políticas sección, haga clic Añadir para mostrar la Añadir regla pantalla.
Seleccionar de la lista de disponibles Opciones de escaneo y haga clic DE ACUERDO para volver a la General pantalla.
4 En el General pantalla, la directiva configurada en el paso anterior se mostrará en el Política

Resumen sección. Seleccionar Activar Anti-Spam y haga clic Aplicar.


do CAPÍTULO 4
Crear conexiones seguras a través de la

Internet
Estas secciones cubren mediante VPN para crear conexiones seguras a través de Internet.
• VPN IPSec en la página 69
• Ejemplo Concentrador de VPN en la página 71
• Hub-and-spoke VPN IPSec VPN Sin Concentrador en la página 73
• ZyWALL VPN IPSec de aprovisionamiento de configuración del cliente en la página 75
• VPN SSL en la página 77
• L2TP VPN con Android, iOS y Windows en la página 79
• Uno-Time Password Versión 2 (OTPv2) en la página 92
4.1 VPN IPSec

Además de utilizar el asistente de configuración rápida VPN para configurar los parámetros para un túnel VPN IPSec, se puede utilizar el Configuración>
VPN> VPN IPSec pantallas para configurar y activar o desactivar el gateway VPN y políticas de conexión VPN IPSec. También puede
conectar o desconectar las conexiones VPN IPSec.
• Utilizar el Pasarela VPN pantallas para gestionar pasarelas VPN del ZyWALL. Una puerta de enlace VPN especifica los routers IPSec en
cualquier extremo de un túnel VPN y la configuración de IKE SA (fase 1 ajustes). También puede activar o desactivar cada puerta de enlace
VPN.
• Utilizar el conexión VPN pantallas para especificar qué puerta de enlace VPN IPSec una política conexión IPSec VPN utiliza, qué
dispositivos detrás de los enrutadores IPsec puede utilizar el túnel VPN y la configuración de IPSec SA (fase 2 ajustes). También puede
activar o desactivar y conectar o desconectar cada conexión VPN (IPSec cada SA).
4.1.1 Prueba de la conexión VPN
Después de configurar el gateway VPN y la configuración de conexión VPN, configurar los ajustes de VPN en el interlocutor IPSec router y
tratar de establecer el túnel VPN. Para activar la VPN, o bien tratar de conectarse a un dispositivo de LAN al interlocutor IPSec del router o
clic Configuración> VPN> VPN IPSec> conexión VPN y utilizar la conexión VPN de pantalla Conectar icono.
4.1.2 Configurar directivas de seguridad para el túnel VPN
A configurar las directivas de seguridad basadas en las zonas. La nueva conexión VPN se asigna a la zona IPSec_VPN. Por defecto, no
hay restricciones de seguridad en la zona IPSec_VPN, por lo que, a continuación, se deben establecer políticas de seguridad que se
aplican a la zona IPSec_VPN.

Capítulo 4 Crear conexiones seguras a través de Internet
Si el túnel IPSec no se construye correctamente, el problema es probablemente un error de configuración en uno de los enrutadores IPSec. Iniciar
sesión en ambos routers IPSec y compruebe la configuración en cada campo de forma metódica y lentamente. Asegúrese de que tanto el ZyWALL y
el enrutador IPSec tienen los mismos valores de seguridad para el túnel VPN. Se puede ayudar a visualizar las opciones para las dos routers de lado
a lado.
Aquí están algunas sugerencias generales.
• El registro del sistema a menudo puede ayudar a identificar un problema de configuración.
• Si habilita NAT transversal, el dispositivo IPSec también debe tener activado NAT transversal.
• Ambos routers deben utilizar el mismo método de autenticación para establecer la SA IKE.
• Ambos routers deben utilizar el mismo modo de negociación, algoritmo de cifrado, el algoritmo de autenticación y DH grupo
clave.
• Al utilizar claves manuales, ambos routers deben utilizar la misma clave de cifrado y la clave de autenticación.
• Al utilizar claves pre-compartidas, ambos routers deben utilizar la misma clave pre-compartida.
• ID de tipo local y los compañeros del ZyWALL y el contenido deben coincidir con los compañeros y local de tipo ID del mando a distancia del enrutador IPSec y el
contenido, respectivamente.
• Ambos routers deben utilizar el mismo protocolo activo, encapsulado, y SPI.
• Si los sitios están / estaban conectados previamente mediante una línea arrendada o router RDSI, desconecte físicamente estos
dispositivos de la red antes de probar la nueva conexión VPN. La antigua ruta puede haber sido aprendido por PIR y tener prioridad
sobre la nueva conexión VPN.
• Para probar si o no un túnel está trabajando, ping desde una computadora en un sitio a un ordenador en el otro.
Antes de hacerlo, asegúrese de que ambos equipos tienen acceso a Internet (a través de los routers IPSec).
• También es útil tener una manera de mirar a los paquetes que están siendo enviados y recibidos por el ZyWALL y enrutador IPSec (por
ejemplo, mediante el uso de un analizador de paquetes como Wireshark).
Compruebe la configuración de las siguientes características ZyWALL.
• Asegúrese de que las reglas de cortafuegos para permitir el tráfico-ZyWALL IPSec VPN para el ZyWALL. IKE utiliza el puerto UDP
500, AH utiliza protocolo IP 51, y ESP utiliza el protocolo IP 50.
• El ZyWALL es compatible con el puerto UDP 500 y el puerto UDP 4500 para NAT transversal. Si se activa esta opción, asegúrese de que las reglas de
cortafuegos para permitir ZyWALL-puerto UDP 4500 también.
• Asegúrese de que las reglas del firewall regulares permiten el tráfico entre el túnel VPN y el resto de la red. reglas de firewall regulares
comprobar paquetes envía el ZyWALL antes de que el ZyWALL los cifra y comprobar paquetes ZyWALL recibe después de la ZyWALL
ellos descifra. Esto depende de la zona a la que se asigna el túnel VPN y la zona de la cual y para el cual se puede dirigir el tráfico.
• Si se configura un túnel VPN a través de Internet, asegúrese de que su ISP admite AH o ESP (el que está utilizando).
• Si usted tiene el ZyWALL y certificados de uso de router remoto IPSec para autenticar mutuamente, debe configurar los certificados para el
ZyWALL y el enrutador IPSec primero y asegurarse de que confían en los certificados de cada uno. Si se firma auto-certificado del ZyWALL,
importarlo en el enrutador IPsec remoto. Si está firmado por una CA, asegúrese de que los fideicomisos remotas enrutador IPsec esa CA. El
ZyWALL utiliza uno de sus Los certificados de confianza certificado para autenticar el mando a distancia del enrutador IPSec. El certificado de
confianza puede ser certificado autofirmado el mando a distancia del enrutador IPSec o la de una CA de confianza que firmó el certificado del
mando a distancia del enrutador IPSec.
• Múltiples SA de conexión a través de una pasarela segura deben tener el mismo modo de negociación.

Si usted tiene la Configuración> VPN> VPN IPSec> conexión VPN la pantalla del Utilice la ruta política para controlar opción
dinámica reglas IPSec habilitado y la conexión VPN es de hasta el tráfico VPN pero no puede transmitirse a través del túnel VPN,
compruebe las políticas de enrutamiento para ver si están enviando tráfico a otra parte en lugar de a través de los túneles VPN.
4.2 VPN Concentrator Ejemplo

Un concentrador VPN utiliza hub-and-spoke VPN topología para combinar múltiples conexiones IPSec VPN en una red segura. El centro de
tráfico rutas de VPN entre los enrutadores radiales y en sí. Esto reduce el número de conexiones VPN para configurar y mantener. Aquí una
VPN concentrador conecta ZyWALLs basados en ZLD en la sede (HQ) y sucursales A y B en una red segura.
• Una rama de ZyWALL utiliza una regla de VPN para acceder tanto a la sede (HQ) de la red y la red de oficinas B.
• Rama de B ZyWALL utiliza una regla de VPN para acceder sólo a la red de sucursales de una. No se permite la rama B para
acceder a la red de la sede.
Figura 29 IPSec VPN Concentrator Ejemplo
Este ejemplo concentrador VPN IPSec utiliza los siguientes ajustes.
Sucursal A
VPN Gateway (túnel VPN 1):
• Mi Dirección: 10.0.0.2
• Peer Dirección de pasarela: 10.0.0.1
Conexión VPN (túnel VPN 1):
• Política Local: 192.168.11.0/255.255.255.0
• Política remoto: 192.168.1.0/255.255.255.0
• Desactivar de aplicación de políticas
Ruta Política
• Fuente: 192.168.11.0

• Destino: 192.168.12.0
• Siguiente salto: túnel VPN 1
Sede
• Política Local: 192.168.1.0/255.255.255.0
• Política remoto: 192.168.11.0/255.255.255.0
• Política Local: 192.168.1.0/255.255.255.0
• Política remoto: 192.168.12.0/255.255.255.0
concentrador
• Añadir túnel VPN 1 y 2 túnel VPN a un concentrador de VPN IPSec.
firewall
• Bloquear el tráfico de túnel VPN 2 tengan acceso a la LAN.
Sucursal B
• Política Local: 192.168.12.0/255.255.255.0
• Política remoto: 192.168.1.0/255.255.255.0
Ruta Política
• Fuente: 192.168.12.0

• Destino: 192.168.11.0
• Siguiente salto: túnel VPN 2
Considere lo siguiente cuando se utiliza el concentrador VPN.
• Las direcciones IP locales configurados en las reglas de VPN no deben solaparse.
• El concentrador debe tener al menos una regla de VPN separado para cada radio. En la política local, indique las direcciones IP de las
redes con las que el radio es poder tener un túnel VPN. Esto puede requerir que usted utilice más de una regla de VPN para cada radio.
• Para tener todo el acceso a Internet desde el radio routers pasan por el túnel VPN, establecer las reglas de VPN en los routers spoke
utilizar 0.0.0.0 (ninguna) como la dirección IP remota.
• Las reglas del cortafuegos todavía pueden bloquear los paquetes VPN.
• Si en un ZyWALL USG ZyWALL 1050 o túneles VPN del concentrador son miembros de una sola zona, asegúrese de que no está
configurado para bloquear el tráfico intra-zona.
4.3 hub-and-spoke VPN IPSec VPN Sin Concentrador

Aquí está un ejemplo de una VPN hub-and-spoke que no utiliza función del concentrador VPN ZyWALL. Aquí sucursal A tiene un ZyWALL y
el cuartel general basada en ZyNOS (HQ) y la sucursal B tienen ZyWALLs basados en ZLD.
• Una rama de ZyWALL utiliza una regla de VPN para acceder tanto a la sede (HQ) de la red y la red de oficinas B.
• Rama de B ZyWALL utiliza una regla de VPN para acceder tanto a la sede central y las redes de sucursales de a.
Figura 30 Hub-and-spoke Ejemplo VPN
Este hub-and-spoke ejemplo VPN utiliza la siguiente configuración.
Sucursal A (ZyWALL ZyNOS-based):
Política de puerta de enlace (Fase 1):
• Primaria puerta de enlace remota: 10.0.0.1

Directivas de redes (Fase 2): Red Local: 192.168.167.0/255.255.255.0; Red remota:

192.168.168.0 192.168.169.255 ~
Sede (ZyWALL ZLD-base):
• Política Local: 192.168.168.0 192.168.169.255 ~
• Política remoto: 192.168.167.0/255.255.255.0
• Política Local: 192.168.167.0 192.168.168.255 ~
• Política remoto: 192.168.169.0/255.255.255.0
Sucursal B (ZyWALL ZLD-based):
Pasarela VPN:
Conexión VPN:
• Política Local: 192.168.169.0/255.255.255.0
• Política remoto: 192.168.167.0 192.168.168.255 ~
Considere lo siguiente cuando se implementa un hub-and-spoke VPN.
• Este ejemplo utiliza una amplia gama de red remota de ZyWALL basado en ZyNOS los, para usar un intervalo más estrecho, ver Sección 4.3
en la página 73 para un ejemplo de configuración de un concentrador de VPN.
• Las direcciones IP locales configurados en las reglas de VPN no deben solaparse.
• El enrutador concentrador debe tener al menos una regla de VPN separado para cada radio. En la política local, indique las
direcciones IP de las redes hub-and-spoke con la que el radio es poder tener un túnel VPN. Esto puede requerir que usted utilice más
de una regla de VPN.

• Para tener todo el acceso a Internet desde los enrutadores radiales que pasar por el túnel VPN, establecer las reglas de VPN en los routers
spoke utilizar 0.0.0.0 (ninguna) como la dirección IP remota.
• Las reglas del cortafuegos todavía pueden bloquear los paquetes VPN.
• Si los túneles VPN basados en ZyWALLs ZLD son miembros de una sola zona, asegúrese de que no está configurado para bloquear el tráfico intra-zona.
• Los ZyWALLs ZyNOS base no tienen políticas de enrutamiento configurados por el usuario por lo que la única manera de conseguir tráfico destinado a
otro router radios que pasar por el túnel VPN de ZyNOS ZyWALL es hacer que la cobertura de la póliza a distancia ambos túneles.
• Dado que los ZyWALLs basados en ZLD manejar automáticamente el enrutamiento para túneles VPN, si un ZyWALL ZyWALL basado en ZLD
es un router hub y la directiva local abarca tanto los túneles, el enrutamiento automático se encarga de ello sin necesidad de un concentrador de
VPN.
• Si la configuración de red remoto de un ZyWALL basada en ZyNOS se solapa con sus parámetros de red local, establecer
IPSec swSkipOverlapIp a en para enviar el tráfico destinado a la red local de la A a la red local de A en lugar de a través del túnel VPN.
4.4 ZyWALL IPSec VPN Client Configuración de aprovisionamiento
VPN aprovisionamiento de configuración ofrece a los usuarios de clientes ZyWALL VPN IPSec VPN parámetros de la regla de forma automática.
Figura 31 Proceso de configuración VPN IPSec de aprovisionamiento
1 Charlotte usuario con el Cliente VPN IPSec ZyWALL envía su nombre de usuario y contraseña para el
ZyWALL.
2 El ZyWALL envía la configuración de la regla de VPN a juego.
4.4.1 Descripción general de qué hacer
1 Crear una regla de VPN en el ZyWALL utilizando el asistente de configuración VPN de aprovisionamiento.
2 Configurar un nombre de usuario y la contraseña para la regla en el ZyWALL.
3 En un equipo, utilice el cliente ZyWALL VPN IPSec para obtener la configuración de la regla de VPN.
Ahora el usuario puede tener acceso a Charlotte la red detrás de los ZyWALL a través del túnel VPN.

Figura 32 Cliente ZyWALL VPN IPSec con túnel VPN conectados
4.4.2 Pasos de configuración
1 En el ZyWALL Configuración rápida asistente, utilice el Ajustes de VPN para la configuración de aprovisionamiento
asistente para crear una regla de VPN que se puede utilizar con el Cliente VPN IPSec ZyWALL.
2 Hacer clic Configuración> Objeto> Usuario / Grupo y crear una cuenta de usuario para el ZyWALL IPSec
de usuario del cliente VPN.
3 A continuación, habilite configuración de aprovisionamiento en Configuración> VPN> VPN IPSec>

configuración de aprovisionamiento y configurarlo para permitir al usuario recién creado para recuperar los ajustes de esta regla mediante el
Cliente VPN IPSec ZyWALL.
4 En el cliente ZyWALL IPSec VPN, seleccione Configuración> Obtener del servidor.
5 Introduzca la dirección IP WAN o dirección URL para el ZyWALL. Si ha cambiado el puerto HTTPS predeterminado en el
ZyWALL, a continuación, introduzca la nueva aquí. Introduzca el nombre de usuario ( Iniciar sesión) y y contraseña exactamente como se configura en el ZyWALL
o un servidor de autenticación externo. Hacer clic Siguiente.

6 Hacer clic DE ACUERDO. Los parámetros de la regla se importan ahora a partir de los ZyWALL en el Cliente VPN IPSec ZyWALL.

• parámetros de la regla de VPN violan las restricciones de los ZyWALL cliente VPN IPSec:
Compruebe que la regla no contiene AH protocolo activo, NULO encriptación, SHA512

autenticación, o un / Política remota rango de subred.
El Cliente VPN IPSec ZyWALL también puede indicar violaciónes regla. Comprobar su pantalla de advertencia. Aunque la
configuración de reglas pueden ser válidas, si el túnel funciona realmente depende del entorno de red. Por ejemplo, una dirección IP
remota de políticas para un servidor puede ser válida, pero el servidor esté inactivo o tener una dirección IP real diferente.
• Hay un problema de inicio de sesión:
Vuelva a introducir el nombre de usuario ( Iniciar sesión) y la contraseña en el cliente de ZyWALL VPN IPSec exactamente como se configura
en el ZyWALL o el servidor de autenticación externo.
Compruebe que el método de autenticación del cliente seleccionado en el ZyWALL es donde se configuran el nombre de usuario y
contraseña. Por ejemplo, si el nombre de usuario y contraseña se configuran en el ZyWALL, entonces el método de autenticación
configurado debe ser Local.
• Hay un problema de conectividad de red entre el ZyWALL y el Cliente VPN IPSec ZyWALL:
Compruebe que se ha introducido la dirección correcta ZyWALL IP y el puerto HTTPS (si el puerto por defecto se ha cambiado).
Ping al ZyWALL desde el equipo en el que está instalado el cliente ZyWALL VPN IPSec. Si no hay respuesta, comprobar
que el ordenador tiene acceso a Internet. Si el ordenador tiene acceso a Internet, póngase en contacto con el administrador
ZyWALL.
• La entrada no se activa:
Asegúrese de que tanto Habilitar la configuración de aprovisionamiento en Configuración> VPN> VPN IPSec> Configuración de
aprovisionamiento está seleccionado y que la entrada tiene un color amarillo Estado icono.
4.5 VPN SSL

SSL VPN utiliza navegadores web de los usuarios remotos para proporcionar el uso fácil de las soluciones VPN del ZyWALL. Un usuario sólo los
tipos de direcciones web del ZyWALL y entra su nombre de usuario y contraseña para acceder de forma segura a la red del ZyWALL. Aquí un
usuario utiliza su navegador para conectarse de forma segura a los recursos de red de la misma manera como si fuera parte de la red interna.

Figura 33 VPN SSL

LAN (192.168.1.X.)
Mail web compartido de archivos No web

https: //
Aplicación basada en la Web Servidor de aplicaciones
• Hacer clic Configuración> Objeto> Aplicación SSL y configurar un objeto de aplicación SSL para especificar el tipo de aplicación y la
dirección del ordenador, servidor o sitio web local de usuarios de SSL son para poder acceder.
• Hacer clic Configuración> VPN> VPN SSL> Privilegio de acceso para configurar las políticas de acceso SSL.
• Utilizar el Configuración> VPN> VPN SSL> Configuración general pantalla para configurar la dirección IP del ZyWALL (o un dispositivo de puerta de
enlace) en su red para tener acceso completo modo de túnel, introduzca mensajes de acceso o cargar un logotipo personalizado que se mostrará en la
pantalla del usuario remoto.
Los usuarios remotos pueden acceder a los recursos de la red local usando uno de los siguientes métodos:
• El uso de un navegador web compatible
Una vez que haya iniciado la sesión correctamente a través del ZyWALL, puede acceder a los sitios de intranet, la Web, aplicaciones basadas o correos
electrónicos basados en la Web utilizando uno de los navegadores web compatibles.
• Utilizando el cliente ZyWALL SecuExtender
Una vez que haya entrado con éxito en el ZyWALL, si la política de acceso a la VPN SSL tiene habilitada la extensión de la red del
ZyWALL carga automáticamente el programa cliente ZyWALL SecuExtender a su ordenador. Con el ZyWALL SecuExtender, puede
acceder a los recursos de red, equipos de escritorio remoto y gestionar archivos como si estuviera en la red local.

• Si ha cargado un logotipo para mostrar en las pantallas de usuario de VPN SSL, pero no se muestra correctamente, compruebe que el logotipo
gráfico está en formato GIF, JPG o PNG. El gráfico debe utilizar una resolución de 103 x 29 píxeles para evitar la distorsión cuando se muestra.
El ZyWALL cambia automáticamente el tamaño de un gráfico de una resolución diferente a 103 x 29 píxeles. El tamaño del archivo debe ser de
100 kilobytes o menos. Se recomienda fondo transparente.
• Si los usuarios pueden iniciar sesión en la VPN SSL, pero no pueden ver algunos de los enlaces de recursos comprobación de la configuración del objeto de la
aplicación SSL.
• Si la cuenta de usuario no está incluido en una política de acceso VPN SSL, el ZyWALL redirige al usuario a la pantalla de cuenta de usuario.
• Requisitos de sistema operativo y navegador para el ordenador del usuario remoto:
• Windows 7 (32 o 64 bits), Vista (32 o 64 bits), 2003 (32-bit), XP (32 bits) o 2000 (32 bits)
• Internet Explorer 7 o superior o Firefox 1.5 y superior
• Mediante RDP requiere Internet Explorer
• Runtime Environment (JRE) versión de Sun 1.6 o posterior instalado y activado.
• Cambio de la configuración de HTTP / HTTPS SSL VPN desconecta sesiones de extensión de la red. Los usuarios tienen que volver a conectarse si
esto sucede.

4.6 L2TP VPN con Android, iOS y Windows

L2TP VPN utiliza el L2TP e IPSec software de cliente incluido en los sistemas operativos Android, iOS o Windows de los usuarios
remotos para conexiones seguras a la red detrás del ZyWALL.
1 L2TP VPN utiliza una de las conexiones VPN IPSec del ZyWALL. Editar Default_L2TP_VPN_GW como
de la siguiente manera:
• Ajuste Mi dirección al nombre de dominio interfaz WAN o dirección IP que desea utilizar.
• Sustituir el valor por defecto Pre-Shared Key.
2 Crear un objeto de dirección de tipo huésped que contiene el Mi dirección dirección IP configurada en el
Default_L2TP_VPN_GW y establecer el Default_L2TP_VPN_Connection 's política local para usarlo.
3 En Configuración> VPN> VPN L2TP habilitar la conexión y establecer la conexión VPN L2TP
VPN utiliza, la piscina L2TP IP del cliente dirección, el método de autenticación, y los usuarios permitidos.
4 Configurar una ruta política para permitir a los usuarios remotos acceder a los recursos de la red detrás del ZyWALL.
• Establecer la ruta de la política Dirección de la fuente al objeto de dirección que desea permitir que los usuarios remotos acceder a ( LAN1_SUBNET
en el siguiente ejemplo).
• Selecciona el Dirección de destino al conjunto de direcciones IP que el ZyWALL asigna a los usuarios remotos ( L2TP_POOL en el
siguiente ejemplo).
• Establecer el siguiente salto para ser el túnel VPN está utilizando para L2TP.
4.6.1 L2TP Ejemplo VPN
Aquí un representante de ventas utiliza un ordenador portátil para conectarse de forma segura a la red del ZyWALL.
Figura 34 Ejemplo VPN L2TP
172.16.1.2
L2TP_POOL:
LAN1_SUBNET:
192.168.10.10 192.168.10.20 ~
192.168.1.x
• El ZyWALL tiene una interfaz WAN con una dirección IP estática de 172.16.1.2.
• El usuario remoto tiene una dirección IP pública dinámica y se conecta a través de Internet.
• Se configura un objeto llamado conjunto de direcciones IP L2TP_POOL para asignar las direcciones IP de los usuarios remotos desde
192.168.10.10 192.168.10.20 a para su uso en el túnel VPN L2TP.
• La regla de VPN permite al usuario remoto para acceder a la LAN1_SUBNET ( la subred 192.168.1.x).
Haga lo siguiente para configurar el ejemplo L2TP VPN:

1 Hacer clic Configuración> VPN> VPN IPSec> VPN Gateway y haga doble clic en el
Default_L2TP_VPN_GW entrada. Seleccionar Habilitar.
Conjunto Mi dirección. En este ejemplo se utiliza una interfaz WAN con 172.16.1.2 dirección IP estática. Conjunto Autenticación a Pre-Shared
Key y configurar una contraseña. Este ejemplo utiliza ultra secreto. Hacer clic DE ACUERDO.
172.16.1.2
2 Haga clic en el conexión VPN ficha y haga doble clic en el Default_L2TP_VPN_Connection entrada.
Hacer clic Crear nuevo objeto> Dirección y crear un objeto de dirección tipo de host que contiene el Mi dirección la dirección IP que
configuró en la Default_L2TP_VPN_GW. El objeto de dirección en este ejemplo se utiliza la dirección IP de la interfaz WAN (172.16.1.2) y se
nombra L2TP_IFACE.
Seleccionar Habilitar, conjunto escenario de aplicación a de acceso remoto y política local a L2TP_IFACE,
y haga clic DE ACUERDO.

3 Hacer clic Configuración> VPN> VPN L2TP y entonces Crear nuevo objeto> Dirección para crear una
conjunto de direcciones IP para los clientes VPN L2TP. Este ejemplo utiliza L2TP_POOL con una gama de
192.168.10.10 a 192.168.10.20. Hacer clic Crear nuevo objeto> Usuario / Grupo para crear un objeto de usuario para los usuarios autorizados a
utilizar el túnel. Este ejemplo utiliza un objeto de usuario llamado L2TP prueba.
Habilitar la conexión. Conjunto conexión VPN a Default_L2TP_VPN_Connection.
Conjunto Dirección IP piscina a L2TP_POOL.
Seleccione el método de autenticación (por defecto en este ejemplo), y seleccione los usuarios que pueden utilizar el túnel ( L2TP-test en
este ejemplo).
4.6.2 Configuración del enrutamiento Política
También debe configurar una ruta política para permitir a los usuarios remotos acceder a los recursos de la red detrás del ZyWALL.
• Establecer la ruta de la política Dirección de la fuente al objeto de dirección que desea permitir que los usuarios remotos acceder a ( LAN_1SUBNET
en este ejemplo).
• Selecciona el Dirección de destino al conjunto de direcciones IP que el ZyWALL asigna a los usuarios remotos ( L2TP_POOL en
este ejemplo)).
• Establecer el siguiente salto para ser el túnel VPN que está utilizando para L2TP VPN.

Para gestionar los ZyWALL a través del túnel VPN L2TP, crear una política de enrutamiento que envía el tráfico de retorno del
ZyWALL a través del túnel VPN L2TP.
• Ajuste Entrante a ZyWALL.
• Ajuste Dirección de destino al conjunto de direcciones L2TP.
• Establecer el siguiente salto para ser el túnel VPN que está utilizando para L2TP.
Si una parte del tráfico de los clientes L2TP tiene que ir a la Internet, crear una ruta política para enviar tráfico desde el L2TP túneles a través
de un tronco WAN.
• Ajuste Entrante a Túnel y seleccione su conexión VPN L2TP.
• Selecciona el Dirección de la fuente al conjunto de direcciones L2TP.

• Selecciona el Tipo del salto siguiente a El maletero y seleccione el tronco WAN adecuada.
4.6.3 Configuración de VPN L2TP en Android
Para configurar L2TP VPN en un dispositivo Android, vaya a Menú> Configuración> Conexiones inalámbricas y redes> Configuración de VPN>
Añadir VPN> Añadir L2TP / IPSec PSK VPN y configurar de la siguiente manera. Las configuraciones de ejemplo aquí van junto con el ejemplo de
configuración VPN L2TP en Sección 4.6.1 en la página 79 .
• nombre de VPN es para el usuario para identificar la configuración de la VPN.
• Establecer servidor VPN es la dirección IP WAN del ZyWALL.
• Establecer clave precompartida IPSec es la clave pre-compartida de la pasarela VPN IPSec utiliza para el ZyWALL VPN L2TP sobre
IPSec (alto secreto en este ejemplo).
• Activar L2TP secreto desactivar esta opción.
• dominio de búsqueda de DNS salir de esto.
• Al marcar la VPN L2TP, el usuario tendrá que entrar en su cuenta y contraseña.
4.6.4 Configuración de VPN L2TP en IOS
Para configurar L2TP VPN en un dispositivo iOS, vaya a Ajustes> VPN> Añadir VPN Configuración> L2TP
y configurar de la siguiente manera. Las configuraciones de ejemplo aquí van junto con el ejemplo de configuración VPN L2TP en Sección 4.6.1
en la página 79 .
• Descripción es para el usuario para identificar la configuración de la VPN.
• Servidor es la dirección IP WAN del ZyWALL.
• Cuenta es la cuenta del usuario para el uso de la VPN L2TP (L2TP-test en este ejemplo).
• RSA SecurID dejar esto adelante.
• Contraseña es la contraseña de la cuenta del usuario.

• Secreto es la clave pre-compartida de la pasarela VPN IPSec utiliza para el ZyWALL VPN L2TP sobre IPSec (alto secreto en este
ejemplo).
• Enviar todo el tráfico salir de esto.
• Apoderado dejar esto adelante.
4.6.5 Configuración de L2TP VPN en Windows
Las siguientes secciones cubren cómo configurar L2TP en los ordenadores de los usuarios remotos con Windows 7, Vista o XP. Las
configuraciones de ejemplo aquí van junto con el ejemplo de configuración VPN L2TP en
Sección 4.6.1 en la página 79 .
4.6.5.1 Configuración de L2TP en Windows 7 o Windows Vista
Haga lo siguiente para establecer una conexión VPN L2TP.
Crear un objeto de conexión
1 Abre el Redes y recursos compartidos pantalla.
Windows 7: haga clic Inicio> Panel de control> Ver estado de la red y las tareas> Configurar una nueva conexión o red.
Windows Vista: Haga Inicio> Red> Centro de redes y recursos compartidos> Configurar una conexión o red).
2 Seleccionar Conectarse a un lugar de trabajo y haga clic Siguiente.
3 Seleccionar Usar mi conexión a Internet (VPN).
4 Para el dirección de Internet introducir el Mi dirección nombre de dominio o la dirección IP WAN de la VPN
gateway el ZyWALL está utilizando para L2TP VPN (172.16.1.2 en este ejemplo).
4a Para el Nombre del destino, especificar un nombre para identificar esta VPN (L2TP para ZyWALL para
ejemplo).
4b Seleccionar No conecte ahora, sólo configurarlo para que pueda conectar más tarde y haga clic Siguiente.
5 Introduzca su nombre de usuario y contraseña y haga clic en ZyWALL Crear.

6 Hacer clic Cerca.
Configurar el objeto de conexión
1 En el Redes y recursos compartidos pantalla, haga clic Conectar a una red. Haga clic con el L2TP
conexión VPN y seleccione Propiedades.
2 En Windows 7, haga clic Seguridad y establecer el Tipo de VPN a Layer 2 Tunneling Protocol con
IPsec (L2TP / IPSec). A continuación, haga clic Ajustes avanzados.
En Windows Vista, haga clic Redes. Selecciona el Tipo de VPN a L2TP VPN IPSec y haga clic Configuración de IPsec.
windows 7 Windows Vista
3 Seleccionar Usar clave previamente compartida para la autenticación e introduzca la clave pre-compartida de la puerta de enlace VPN
entrada el ZyWALL está utilizando para L2TP VPN (de alto secreto en este ejemplo). Hacer clic DE ACUERDO para guardar los cambios y cerrar el Propiedades
avanzadas pantalla. A continuación, haga clic DE ACUERDO de nuevo para cerrar la propiedades ventana.

4 Si una pantalla de advertencia sobre el cifrado de datos que no ocurre si se negocia PAP o CHAP, haga clic Sí.
Cuando se utiliza L2TP VPN para conectar con el ZyWALL, el ZyWALL establece un túnel VPN IPSec cifrado primero y luego construye
un túnel L2TP en su interior. El propio túnel L2TP no necesita cifrado ya que es en el interior del túnel VPN IPSec cifrado.
Conectar utilizando VPN L2TP
1 En el Redes y recursos compartidos pantalla, haga clic Conectar a una red, seleccione la VPN L2TP
conexión y haga clic Conectar para visualizar una pantalla de inicio de sesión. Introduzca el nombre de usuario y la contraseña de su cuenta de usuario y haga clic
en ZyWALL Conectar.
2 Aparece una ventana mientras que el nombre de usuario y la contraseña son verificados. los Conectar a una red
demostraciones de la pantalla Conectado después de que el L2TP a través de túnel VPN IPSec se construye.

L2TP para ZyWALL
3 Después de que la conexión es una conexión icono en la bandeja del sistema. Haga clic en él y luego el L2TP
conexión para abrir una pantalla de estado.
4 Haga clic en la conexión de L2TP Ver el estado de vínculo para abrir una pantalla de estado.
5 Hacer clic detalles para ver la dirección que ha recibido es de la gama L2TP que ha especificado en el
ZyWALL (192.168.10.10-192.168.10.20 en el ejemplo).
6 Acceder a un servidor u otro recurso de red detrás del ZyWALL para asegurarse de que sus obras de acceso.
4.6.5.2 Configuración de L2TP en Windows XP
En Windows XP, primero ejecute el siguiente comando desde la línea de comandos de Windows (incluyendo las comillas) para asegurarse de
que el equipo se está ejecutando el servicio de Microsoft IPSec.
start "servicios IPSec" red.
A continuación, haga lo siguiente para establecer una conexión VPN L2TP.
1 Hacer clic Inicio> Panel de control> Conexiones de red> Asistente para conexión nueva.

2 Hacer clic Siguiente en el Bienvenido pantalla.
3 Seleccionar Conectarse a la red de mi lugar de trabajo y haga clic Siguiente.
4 Seleccionar Conexión de red privada virtual y haga clic Siguiente.
5 Tipo L2TP para ZyWALL como el Nombre de empresa.
6 Seleccionar No usar la conexión inicial y haga clic Siguiente.

7 Introduzca el nombre de dominio o la dirección IP WAN configurado como el Mi dirección en la pasarela VPN
configuración que el ZyWALL está utilizando para L2TP VPN (172.16.1.2 en este ejemplo).
172.16.1.2
8 Hacer clic Terminar.
9 los Conecte L2TP para ZyWALL Aparece la pantalla. Hacer clic Propiedades> Seguridad.
10 Hacer clic Seguridad, seleccionar (configuración personalizada) avanzada y haga clic Ajustes.
11 Seleccionar Cifrado opcional (conectar incluso sin cifrado) y el Permitir estos protocolos
boton de radio. Seleccionar contraseña encriptada (PAP) y desactivar todas las demás casillas de verificación. Hacer clic
DE ACUERDO.

12 Hacer clic Configuración de IPsec.
13 Selecciona el Usar clave previamente compartida para la autenticación casilla de verificación e introduzca la clave pre-compartida utilizado
en la configuración de la pasarela VPN que el ZyWALL está utilizando para L2TP VPN. Hacer clic DE ACUERDO.
14 Hacer clic Redes. Seleccionar L2TP VPN IPSec como el Tipo de VPN. Hacer clic DE ACUERDO.

15 Introduzca el nombre de usuario y la contraseña de su cuenta ZyWALL. Hacer clic Conectar.
dieciséis Aparece una ventana mientras que el nombre de usuario y la contraseña son verificados.
17 Un icono ZyWALL-L2TP se muestra en la bandeja del sistema. Haga doble clic en él para abrir una pantalla de estado.
18 Hacer clic detalles para ver la dirección que ha recibido de la gama L2TP que ha especificado en el
ZyWALL (192.168.10.10-192.168.10.20).

19 Acceder a un servidor u otro recurso de red detrás del ZyWALL para asegurarse de que sus obras de acceso.
La conexión VPN IPSec debe:
• estar habilitado
• Utilice el modo de transporte
• No puede ser una conexión VPN manual de claves
• Utilizar Pre-Shared Key autenticación
• Utilizar una pasarela VPN con el Secure gateway ajustado a 0.0.0.0 si es necesario para permitir que los clientes VPN L2TP para conectar
desde más de una dirección IP.
Desconectar todas las sesiones L2TP VPN existentes antes de modificar la configuración de L2TP VPN. Los usuarios remotos deben realizar
cambios de configuración necesarios coincidentes y reestablecer las sesiones con los nuevos valores.
4.7 One-Time Password Version 2 (OTPv2)

La autenticación de dos factores requiere un usuario para proporcionar dos tipos de identificación. Comprar el ZyWALL OTPv2 Sistema One-Time
Password para una fuerte autenticación de dos factores para el configurador web, acceso a la Web, SSL VPN, y los inicios de sesión de usuario
del cliente ZyXEL VPN IPSec. Para cada inicio de sesión de un usuario debe utilizar su ficha ZyWALL OTPv2 para generar una nueva contraseña
OTP y utilizarlo junto con su nombre normal de cuenta de usuario y la contraseña (el segundo tipo de identificación). Un atacante no puede volver
a usar una contraseña OTP que ya se utilizó para iniciar la sesión debido a que ya no es válida. El sistema contiene SafeWord 2008 software de
autenticación del servidor, hardware OTPv2 fichas, y el software OTPv2 fichas para ordenadores Windows y dispositivos móviles Android y iOS.
Figura 35 Ejemplo OTPv2
* * * * *
OTP PIN
SafeWord 2008 Servidor de

autenticación
Archivo Email basada en la Web

Servidor Servidor Solicitud
He aquí un resumen de cómo utilizar OTP. Véase la nota de apoyo ZyWALL OTPv2 para más detalles.

1 Instalar el software de servidor de autenticación SafeWord 2008 en un equipo.
2 Crear cuentas de usuario en el ZyWALL y en el servidor de autenticación SafeWord 2008.
3 Importar el archivo de base de datos de cada uno de ZyWALL OTPv2 token (ubicado en el CD incluido) en el servidor.
4 Asignar usuarios a ZyWALL OTPv2 fichas en el servidor.
5 Configurar el servidor de autenticación SafeWord 2008 como un servidor RADIUS en la década de ZyWALL
Configuración> Objeto> Servidor AAA pantallas.
6 Configurar el objeto de método de autenticación apropiado utilizar la autenticación de SafeWord 2008

RADIUS del servidor de objetos de servidor.
7 Configurar autenticación. Política y VPN para utilizar el objeto método de autenticación.
8 Dar las fichas ZyWALL OTPv2 a los usuarios asignados.
9 Un usuario presiona el botón de su ZyWALL OTPv2 de contadores a generar una contraseña para entrar en el Iniciar sesión
pantallas Uno-Time Password campo.

• Los usuarios no pueden iniciar sesión en si tratan de volver a usar una contraseña que ya han utilizado para iniciar sesión. Los usuarios deben generar una nueva
contraseña para cada inicio de sesión.
• La autenticación falla si el servidor de autenticación SafeWord 2008 cae, pierde su conexión a la red, o está demasiado ocupado. Los usuarios
pueden probar de nuevo un poco más tarde.


do CAPÍTULO 5
tráfico gestionar
Estas secciones cubren controlar el tráfico que pasa por el ZyWALL.
• Cómo configurar la gestión de ancho de banda en la página 95
• Cómo configurar una troncal de WAN Load Balancing
• Cómo utilizar múltiples direcciones IP estáticas WAN pública para LAN a WAN Tráfico en la página 104
• Cómo utilizar HA dispositivo de copia de seguridad a su ZyWALL en la página 105
• Cómo configurar DNS entrante equilibrio de carga en la página 110
• Cómo permitir el acceso público a un servidor Web en la página 112
• Cómo gestionar el tráfico de voz en la página 114
• Cómo limitar Web Surfing y MSN a personas específicas en la página 120
5.1 Cómo configurar la administración de ancho de banda
gestión de ancho de banda es muy útil cuando las aplicaciones están compitiendo por el ancho de banda limitado.
De conexión y de paquetes llegar
gestión de ancho de banda se ve en la dirección de la conexión de la interfaz que se inició en la interfaz se apaga. El iniciador de conexión
envía el tráfico saliente y recibe el tráfico entrante. El ZyWALL controla el ancho de banda de cada flujo, ya que va a través de una interfaz o
túnel VPN. Por ejemplo, un LAN1 a la conexión WAN se inicia desde LAN1 y va a la WAN.
Figura 36 LAN1 de conexión WAN y el paquete de llegar
Conexión
LAN1
saliente BWM
Entrante
BWM
• El tráfico saliente va desde un dispositivo de LAN1 a la WAN. El ZyWALL aplica la gestión de ancho de banda antes de
enviar los paquetes a cabo una interfaz WAN.
• El tráfico entrante regresa de la WAN al dispositivo LAN1. El ZyWALL aplica la gestión de ancho de banda antes de enviar el tráfico de
una interfaz LAN1.
Puede establecer anchos de banda entrantes y salientes garantizado y máximo para una aplicación.

Capítulo 5 Gestión de Tráfico
5.1.1 Ancho de banda Ejemplo de Asignación
Digamos que una oficina de 10 personas se ha conectado a WAN1 a 50 Mbps de bajada y 5 Mbps de línea VDSL aguas arriba y que desea
asignar ancho de banda para el siguiente:
• SIP: Hasta 10 Kbps simultáneas 100 llamadas garantizada
• Videoconferencia: Hasta 10 Kbps simultáneas 128 videollamadas de Skype garantizados
• Video Streaming: hasta 10 Kbps simultáneas 256 sesiones
• Acceso a Internet, incluyendo la descarga de archivos para 10 usuarios: HTTP
• SMTP: 10 usuarios que envían correo electrónico
• POP3: 10 usuarios que reciben correo electrónico
• FTP: 10 usuarios cargar y descargar archivos
Aquí está un ejemplo de asignación de la ninguna a los flujos de paquetes entrantes y salientes de conexión WAN. Habilitar Maximizar ancho de banda
de uso (Max BU) en un flujo de paquetes para establecer ningún límite en él y dejar que se utilice cualquier ancho de banda disponible en la interfaz
saliente.
Tabla 11 50 Mbps / 5 Mbps de conexión Cualquier a la asignación de ancho de banda WAN Ejemplo
PRIORIDAD Y APLICACIÓN GARANTIZADO K / MÁXIMO K o MAX BU

ENTRANTE OUTBOUND
1 sorbo 1000/2000 1000/2000
2 Videoconferencia 1280/3840 1280/3840
3 Vídeo transmitido en vivo 2560/3584 *
4 HTTP 10240/46080 *
4 SMTP * 2048 / Max BU
4 POP3 10240 / Max BU *
5 FTP 10240/46080 792/3072
Total de ancho de banda garantizado: 35560 Kbps 5120 Kbps
* Esta aplicación no suele generar suficiente tráfico en esta dirección que exigen la gestión.
5.1.2 Ajuste del ancho de banda de la interfaz
Utilizar el Configuración > Interfaz pantallas para ajustar el ancho de banda aguas arriba (salida) de la interfaz WAN1 para ser igual a
(o ligeramente menor que) lo que el dispositivo conectado puede soportar. Este ejemplo utiliza 5120 Kbps.
5.1.3 SIP administración de banda ancha
La manera más eficaz para garantizar la calidad de las llamadas SIP es ir a la Configuración > BWM
pantalla y permitir BWM y seleccione Habilitar más alta prioridad de ancho de banda para el tráfico SIP. Consulte la sección siguiente, si lo prefiere
para configurar las reglas específicas de gestión de ancho de banda para SIP en su lugar.
5.1.4 SIP Cualquier a WAN y WAN-a-Cualquier Ejemplo de gestión de ancho de banda
• Gestionar el tráfico SIP va a WAN1 de los usuarios de la LAN o DMZ.

• Tráfico entrante y saliente están garantizados tanto 1000 kbps y limitado a 2000 kbps.
Figura 37 SIP Cualquier a WAN Garantizada / Máximo Anchuras de banda Ejemplo

Saliente: 1000/2000 kbps
BWM
BWM
Entrante: 1000/2000 kbps
1 En el Configuración > BWM pantalla, haga clic Añadir.
2 En el Agregar directiva pantalla, seleccione Habilitar y el tipo Cualquier SIP a WAN como el nombre de la política.
Deje la interfaz de entrada a alguna y seleccione WAN1 como interfaz de salida. Seleccionar Patrullas aplicación y sorbo como el tipo de
servicio. Ajuste el ancho de banda de entrada y salida garantizada a 1000 ( kbps) y el ancho de banda máximo de
2000 kbps y la prioridad 1. Hacer clic DE ACUERDO.
Nota: El uso Patrullas aplicación para los servicios de paquetes clasificados por IDP del ZyWALL
firmas de inspección. Utilizar objeto del servicio para servicios de pre-definido.
3 Repita los pasos anteriores para crear otra directiva llamada SIP WAN-a-Cualquier para las llamadas que vienen de
el servidor SIP en la WAN. Es el mismo que el Cualquier SIP a WAN política, pero con las direcciones inversa (WAN-a-Cualquier lugar de
cualquier-a-WAN).
5.1.5 HTTP Cualquier a WAN de ancho de banda Ejemplo Gestión
• Fijar las tasas de entrantes garantizado y máximo que los usuarios locales de la LAN y DMZ es probable que descargar más de lo que
suben a internet.
• Establecer cuarta prioridad más alta (4) para el tráfico HTTP en ambas direcciones.

Figura 38 HTTP Cualquier a WAN de ancho de banda Ejemplo Gestión
saliente:
Ancho de banda no logró
BWM
Entrantes: 10240 kbps garantizados

46080 kbps máximo
2 En el Agregar directiva pantalla, seleccione Habilitar y el tipo Cualquier HTTP a WAN como el nombre de la política.
Deje la interfaz de entrada a alguna y seleccione WAN1 como interfaz de salida. Seleccionar Patrullas aplicación y http como el tipo de
servicio. Ajuste el ancho de banda garantizado para entrante 10240 ( kbps) y asigna la prioridad de 4. Establecer el máximo de
46080 ( kbps). Establecer la prioridad de salida a 4. Hacer clic DE ACUERDO.

5.1.6 FTP WAN-a-DMZ de ancho de banda Ejemplo Gestión
Supongamos que la oficina tiene un servidor FTP en la zona de distensión. Aquí es cómo limitar WAN1 al tráfico DMZ FTP de modo que no interfiera
con el tráfico SIP y HTTP.
• Permitir a los usuarios remotos sólo 2.048 kbps entrantes para su descarga desde el servidor FTP DMZ pero hasta 10240 kbps saliente
para subir al servidor FTP DMZ.
• Ajuste de la quinta prioridad más alta (5) para el tráfico FTP.
Figura 39 FTP WAN-a-DMZ de ancho de banda Ejemplo Gestión
Salientes: 5120 kbps garantizados

10240 kbps máximo
BWM
BWM
Entrantes: 792 kbps garantizados

2048 kbps máximo
2 En el Agregar directiva pantalla, seleccione Habilitar y el tipo FTP WAN-a-DMZ como el nombre de la política.
Seleccionar WAN1 como la interfaz de entrada y DMZ como interfaz de salida. Seleccionar Patrullas aplicación y ftp como el tipo de servicio.
Establecer el ancho de banda garantizado para entrante 792 kbps, la prioridad 5, y el máximo 2048 kbps. Establecer el ancho de banda de
salida garantizada a 5120 kbps, la prioridad 5, y el máximo 10240 kbps. Hacer clic
DE ACUERDO.

5.1.7 FTP LAN a DMZ ancho de banda Ejemplo de Gestión
el tráfico FTP de la LAN1 a la DMZ puede usar más ancho de banda ya que las interfaces soportan hasta 1 Gbps, pero le dan baja prioridad
y limitarlo para evitar interferencias con el resto del tráfico.
• Limitar el tráfico de salida como de entrada a 50 Mbps.
• Establecer quinta prioridad más alta (5) para el tráfico FTP.
Figura 40 FTP LAN a DMZ ancho de banda Ejemplo de Gestión
50 Mbps
BWM
entrante: 50 Mbps BWM de salida:

2 En el Agregar directiva pantalla, seleccione Habilitar y el tipo FTP LAN a DMZ como el nombre de la política.
Seleccionar lan1 como la interfaz de entrada y DMZ como interfaz de salida. Seleccionar Patrullas aplicación y ftp como el tipo de servicio.
Tipo 10240 ( kbps) con prioridad 5 tanto para el ancho de banda de entrada y salida garantizada. No seleccione la Maximizar el uso de
ancho de banda. Establecer el máximo de 51200 ( kbps). Hacer clic DE ACUERDO.
Por último, en el BWM pantalla, seleccione Habilitar BWM. Hacer clic Aplicar.


• El “saliente” en la configuración del ancho de banda garantizado aplican al tráfico que va desde el iniciador de la conexión a la interfaz de
salida. El “entrante” se refiere a la dirección inversa.
• Asegúrese de que ha registrado el servicio IDP / App.Patrol en el ZyWALL utilizar Patrullas aplicación como el tipo de servicio en las normas
de gestión de ancho de banda. El servicio de aplicación patrulla utiliza firmas de inspección de paquetes de desplazados internos del ZyWALL
para clasificar los servicios.
5.2 Cómo configurar un tronco de equilibrio de carga WAN
Estos ejemplos muestran cómo configurar un tronco de dos conexiones WAN a Internet. El ancho de banda disponible para las
conexiones es de 1 Mbps ( WAN1) y 512 Kbps ( wan2 o cellular1)
respectivamente. A medida que estas conexiones tienen diferentes anchos de banda, utilice el Ponderada Round Robin
algoritmo para enviar tráfico a WAN1 y wan2 (o cellular1) en una proporción de 2: 1.
Figura 41 Ejemplo Trunk para Dual WAN
WAN1: 1 Mbps
WAN2: 512 Kbps
Figura 42 Ejemplo maletero para WAN y la interfaz de 3G
WAN1: 1 Mbps cellular1:
512 Kbps
Usted no tiene que cambiar muchas de las configuraciones del ZyWALL de los valores predeterminados para configurar este tronco. Sólo hay que
configurar el ancho de banda de salida en cada una de las interfaces WAN y configurar los ajustes de equilibrio de carga del maletero WAN_TRUNK.
5.2.1 Configurar Ancho de Banda Disponible en interfaces Ethernet
Aquí es cómo establecer un límite en la cantidad de tráfico el ZyWALL intenta enviar a través de cada interfaz WAN.
1 Hacer clic Configuración> Red> Interfaz> Ethernet y haga doble clic en el WAN1 entrada. Entrar
el ancho de banda disponible (1000 kbps) en el Salida de ancho de banda campo. Hacer clic DE ACUERDO.

2 Repita el proceso para establecer el ancho de banda de salida para wan2 a 512 Kbps.
3 Para la configuración de la interfaz 3G, vaya a Configuración> Red> Interfaz> celular. Haga doble clic
el cellular1 la entrada y ajustar el ancho de banda de salida para cellular1 a 512 Kbps.
5.2.2 Configurar la WAN del tronco
1 Hacer clic Configuración> Red> Interfaz> Tronco. Haga clic en el Añadir icono.
2 Nombre del tronco y fijar el Equilibrio de carga Algoritmo campo para Ponderada Round Robin.
Añadir WAN1 e introduzca 2 en el Peso columna. Añadir wan2 (o cellular1) e introduzca 1
en el Peso columna. Hacer clic DE ACUERDO.

3 Seleccione el tronco como el tronco predeterminado y haga clic Aplicar.
5.3 Cómo utilizar varias direcciones IP estáticas de WAN pública para LAN a
WAN Tráfico
Si su ISP le ha proporcionado un rango de direcciones IP públicas estáticas, este ejemplo muestra cómo configurar una ruta política para
que el ZyWALL los utilizan para el tráfico se envía desde la LAN.
5.3.1 Crear el objeto de rango de dirección IP pública
Hacer clic Configuración> Objeto> Dirección> Añadir ( en Configuración de la dirección IPv4) para crear el objeto de dirección que
representa el rango de direcciones IP públicas estáticas. En este ejemplo lo que sea
Público-IPs y va desde 1.1.1.10 a 1.1.1.17.

5.3.2 Configurar la Ruta Política
Ahora tiene que configurar una ruta política que tiene el ZyWALL utilizar el rango de direcciones IP públicas como dirección de origen para la
WAN para el tráfico de LAN.
Hacer clic Configuración> Red> Routing> Ruta Política> Añadir ( en Configuración IPv4).
Se recomienda añadir una descripción. Este ejemplo utiliza LAN a WAN-Rango.
Especificación de una Dirección de la fuente También se recomienda. Este ejemplo utiliza LAN1_SUBNET.
Selecciona el Fuente Network Address Translation a Público-IPs y haga clic DE ACUERDO.
5.4 Cómo utilizar HA dispositivo de copia de seguridad a su ZyWALL
El uso de dispositivos de alta disponibilidad (HA) para establecer una ZyWALL adicional como puerta de entrada de copia de seguridad para asegurar la puerta de enlace
predeterminada está siempre disponible para la red.
Modo activo-pasivo y el modo de herencia
El modo activo-pasivo tiene una copia de seguridad ZyWALL hacerse cargo de si el maestro ZyWALL falla y se recomienda para los despliegues de
dispositivos de conmutación por error general. Utilice el modo de herencia si necesita una relación más compleja entre el maestro y ZyWALLs de
copia de seguridad, como tener dos ZyWALLs activo o utilizando diferentes ZyWALLs como maestro para interfaces individuales. Todas las ZyWALLs
deben utilizar el mismo modo de HA dispositivo (ya sea activo-pasivo o legacy).

Direcciones IP de acceso de administración
Para cada interfaz se puede configurar una dirección IP en la misma subred que la dirección IP de la interfaz a utilizar para gestionar el
ZyWALL si es el maestro o la copia de seguridad.
Sincronización
Sincronizar ZyWALLs de la misma versión de firmware y el modelo a copiar la configuración del maestro del ZyWALL, firmas (antivirus,
patrulla IDP / aplicación, y el sistema de protección), y certificados al ZyWALL copia de seguridad por lo que no es necesario hacerlo de forma
manual.
5.4.1 activo-pasivo de dispositivo en modo HA Ejemplo
Aquí dispositivo en modo activo-pasivo HA tiene ZyWALL copia de seguridad segundo hace cargo automáticamente de todas maestro ZyWALL UN 's
funciones En caso UN falla o pierde su conexión LAN o WAN.
Un conmutador Ethernet conecta las interfaces LAN ambos ZyWALLs' a la LAN. Sea cual sea el ZyWALL funciona como el maestro utiliza la
dirección IP de puerta de enlace predeterminada de los equipos de la LAN (192.168.1.1) para su interfaz LAN y la dirección IP estática
pública (1.1.1.1) por su interfaz WAN. Si ZyWALL UN
(se recupera tiene sus dos interfaces LAN y WAN conectados), reanuda su papel como maestro y se hace cargo de todas sus funciones
de nuevo.
F igura 43 HA dispositivo: maestro falla y Seguridad se hace cargo
UN
1.1.1.1
LAN 192.168.1.1
segundo
192.168.1.1 1.1.1.1
Cada interfaz LAN del ZyWALL también tiene una dirección IP de administración independiente que se mantiene igual si las funciones ZyWALL como
el maestro o una copia de seguridad. ZyWALL UN 'S dirección IP de administración es
192.168.1.3 y ZyWALL segundo 'S es 192.168.1.5.
F igura 44 HA dispositivo: IP Gestión direcciones
LAN 192.168.1.3 UN
192.168.1.5 segundo

5.4.2 Antes de empezar
ZyWALL UN ya debe estar configurado. Que va a utilizar HA dispositivo para copiar ZyWALL UN 's ajustes a segundo
más tarde Sección 5.4.4 en la página 108 ). Para evitar un conflicto de direcciones IP, no conecte ZyWALL segundo a la subred LAN hasta después de
configurar su configuración de HA dispositivo y las instrucciones dicen que le permite desplegar ella (en Sección 5.4.5 en la página 110 ).
5.4.3 Configurar dispositivo de HA en el Master ZyWALL
1 Iniciar sesión en ZyWALL UN ( el maestro) y haga clic Configuración> Dispositivo HA> modo activo-pasivo.
Haga doble clic en la entrada de la interfaz LAN.
2 Configurar 192.168.1.3 como el IP de administración y 255.255.255.0 como la Manejo de Máscara de subred IP.
3 Selecciona el Rol dispositivo a Dominar. Este ejemplo se centra en la conexión de la LAN a la

Internet a través de la interfaz WAN, así que seleccione las interfaces LAN y WAN y haga clic Activar. Entrar a La sincronización de
contraseñas ( “MySyncPassword” en este ejemplo). Vuelva a escribir la contraseña y haga clic Aplicar.

4 Haga clic en el General pestaña, permiten dispositivo de HA, y haga clic Aplicar.
5.4.4 Configurar la copia de seguridad ZyWALL
1 Conectar un ordenador a ZyWALL segundo 'S interfaz LAN e iniciar sesión en su configurador Web. Conectar
ZyWALL segundo a Internet y suscribirse a los mismos servicios de suscripción (como el filtrado de contenido y anti-virus) a la que ZyWALL
UN está suscrito. ver el Registro pantallas para más información sobre los servicios de suscripción.
2 en ZyWALL segundo hacer clic Configuración> HA Dispositivo> Modo Activo-Pasivo y la interfaz LAN
Editar icono.
3 Configurar 192.168.1.5 como el IP de administración y 255.255.255.0 como la Máscara de subred. Hacer clic DE ACUERDO.

4 Selecciona el Rol dispositivo a Apoyo. Activar la vigilancia de las interfaces LAN y WAN. Selecciona el
Dirección del servidor de sincronización a 192.168.1.1, la Puerto a 21, y el Contraseña a “mySyncPassword”. Vuelva a escribir la contraseña,
seleccione Sincronizar automáticamente, y establecer el Intervalo 60. Haga clic para Aplicar.
5 En el General pestaña permitirá HA dispositivo y haga clic Aplicar.

5.4.5 Implementar la copia de seguridad ZyWALL
conecte ZyWALL segundo 'S interfaz LAN a la red LAN. conecte ZyWALL segundo 'S interfaz WAN al mismo router que ZyWALL UN 'S
interfaz WAN utiliza para acceder a Internet. ZyWALL segundo copias UN 'S de configuración (y re-sincroniza con UN cada hora). Si ZyWALL UN
falla o pierde su conexión LAN o WAN, ZyWALL segundo funciona como el maestro.
5.4.6 Comprobar el dispositivo de configuración de HA
1 Para asegurarse de ZyWALL segundo copiados ZyWALL UN ajustes 's, se puede iniciar sesión en ZyWALL segundo 'S gestión de la PI
abordar (192.168.1.5) y comprobar la configuración. Se puede utilizar el Mantenimiento> Administrador de archivos> archivo de configuración pantalla
para guardar copias de los archivos de configuración ZyWALLs' que se pueden comparar.
2 Para probar la configuración de HA dispositivo, desconecte ZyWALL UN 'S interfaz LAN o WAN. Los ordenadores de
LAN aún debe ser capaz de acceder a Internet. Si no pueden, compruebe las conexiones y configuración de HA dispositivo.
¡Felicitaciones! Ahora que ha configurado HA dispositivo para LAN, puede utilizar el mismo proceso para cualquiera de otras redes locales
del ZyWALL. Por ejemplo, permitir la supervisión HA dispositivo en las interfaces de DMZ y el uso de un conmutador Ethernet para conectar
interfaces de DMZ ambos ZyWALLs' a sus servidores disponibles públicamente.
5.5 Cómo configurar DNS entrante de equilibrio de carga
Este ejemplo muestra cómo configurar el ZyWALL para responder a los mensajes de consulta de DNS con la dirección IP de la interfaz con
menor carga. Los remitentes de consulta DNS entonces transmitir paquetes a esa interfaz en lugar de un interfaz que tiene una carga pesada.
En este ejemplo se asume que el nombre de dominio de su empresa es www.example.com. Que desea de su ZyWALL WAN1 (202.1.2.3) y
WAN2 (202.5.6.7) para utilizar DNS carga de entrada de equilibrado para equilibrar la carga de tráfico procedente de Internet.
1 En el CONFIGURACIÓN > Red > Entrante LB pantalla, seleccione Habilitar carga de DNS
Equilibrio. Hacer clic Aplicar.

2 Hacer clic Añadir en el Configuración mesa. Aparece la siguiente pantalla.
Seleccionar Habilitar, introduzca *. example.com como el Nombre de Dominio consulta.
Entrar 300 en el Tiempo para vivir campo para que los remitentes de consulta DNS mantienen las entradas DNS resueltos en sus equipos durante 5 minutos.
Seleccionar alguna en el Dirección IP de campo y PÁLIDO en el Zona campo para aplicar esta regla para todos los mensajes de consulta DNS de la zona WAN
recibe. Seleccionar Menos carga - Total como el algoritmo de balanceo de carga. Hacer clic Añadir añadir WAN1 y WAN2 como las interfaces miembros.
Continuar para ir a la Configuración> Firewall y Configuración> Red> NAT pantallas para configurar las reglas de cortafuegos y servidores
virtuales correspondientes NAT para el acceso de servicio de entrada.

• El uso de un mayor valor de TTL DNS hace que el equilibrio de carga de entrada se convierten en ineficaces, aunque puede reducir la carga del
ZyWALL como los remitentes petición DNS no necesita enviar nuevas consultas para el ZyWALL que a menudo.
• Si tu eliges Personalizado en el Equilibrio de carga miembro pantalla y entrar en otra dirección IP para una interfaz de miembro, asegúrese de que
la dirección IP introducida se configura en el servidor de seguridad correspondientes y las reglas del servidor virtual NAT.

5.6 Cómo permitir el acceso público a un servidor Web
Este es un ejemplo de lo que un servidor HTTP (web) en la zona DMZ accesible desde Internet (la zona WAN). En este ejemplo, tiene la
dirección IP pública 1.1.1.1 que va a utilizar en la interfaz WAN y el mapa a la dirección IP privada del servidor HTTP de 192.168.3.7.
F igura 45 Ejemplo de red pública del servidor topología
192.168.3.7 1.1.1.1
DMZ
5.6.1 Configurar NAT
Crear una regla de NAT para enviar el tráfico HTTP procedente de la dirección IP WAN 1.1.1.1 a la dirección IP privada del servidor HTTP de
192.168.3.7.
1 Hacer clic Configuración> Red> NAT> Añadir> Crear nuevo objeto> Dirección y crear una
IPv4 objeto de dirección host llamado DMZ_HTTP para la dirección IP privada del servidor HTTP de
192.168.3.7. Repita el procedimiento para crear un objeto de dirección de host que se llama Public_HTTP_Server_IP para la dirección IP WAN pública
1.1.1.1.
2 Configurar la regla de NAT.
Para el Interfaz de entrada seleccione la interfaz WAN. Selecciona el IP original al Public_HTTP_Server_IP objeto y la direcciones
IP asignadas al
DMZ_HTTP objeto.
el tráfico HTTP y el servidor HTTP en este ejemplo, tanto el uso del puerto TCP 80. Así se establece el Tipo de puerto de Mapeo a Puerto, el Tipo
de protocolo a TCP, y los puertos originales y asignadas a 80. Mantener Habilitar NAT Loopback seleccionado para permitir a los usuarios
conectados a otras interfaces para acceder al servidor HTTP.

5.6.2 Configurar una regla de firewall
Crear una regla de cortafuegos para permitir al público a enviar el tráfico HTTP a la dirección IP 1.1.1.1 con el fin de acceder al servidor HTTP. Si un
nombre de dominio está registrado para la dirección IP 1.1.1.1, los usuarios sólo pueden ir al nombre de dominio para acceder al servidor web.
Hacer clic Configuración> Firewall > Agregar. Selecciona el De campo, PÁLIDO y el A campo, DMZ. Selecciona el Destino al objeto de
dirección IP DMZ del servidor HTTP ( DMZ_HTTP). DMZ_HTTP es el destino, porque el ZyWALL aplica NAT al tráfico antes de aplicar la regla
de cortafuegos. Selecciona el
Acceso campo para permitir y el Servicio a HTTP, y haga clic DE ACUERDO.


• El ZyWALL comprueba las reglas de firewall en orden y se aplica la primera regla de cortafuegos coincide con el tráfico. Si el tráfico coincide con
una regla que viene antes en la lista, puede ser bloqueado de forma inesperada.
• El ZyWALL no se aplica la regla de cortafuegos. El ZyWALL sólo se aplican reglas de de una zona como las interfaces que
pertenecen a la zona. Asegúrese de que la interfaz WAN se asigna a la zona de la WAN.
5.7 Cómo gestionar el tráfico de voz
Estos son algunos ejemplos de lo que permite el tráfico H.323 y SIP a través del ZyWALL.
5.7.1 Cómo permitir llamadas entrantes H.323-Peer-to-peer
Suponga que tiene un dispositivo H.323 en la LAN para llamadas VoIP y usted quiere que sea capaz de recibir llamadas peer-to-peer de la
WAN. Aquí está un ejemplo de cómo configurar el NAT y el firewall para que el tráfico H.323 hacia adelante ZyWALL con destino a la
dirección IP WAN 10.0.0.8 a un dispositivo H.323 situado en la LAN y utilizando la dirección IP 192.168.1.56.
Figura 46 WAN a LAN H.323 Peer-to-peer llamadas Ejemplo
192.168.1.56
10.0.0.8
5.7.1.1 Activar el ALG
Hacer clic Configuración> Red> ALG. Seleccionar Habilitar H.323 ALG y Habilitar transformaciones H.323 y haga clic Aplicar.

Figura 47 Configuración> Red> ALG
5.7.1.2 establecer una política de NAT para H.323
En este ejemplo, se necesita una política de NAT para reenviar H.323 (puerto TCP 1720) el tráfico recibido en la dirección IP WAN del
ZyWALL 10.0.0.8 a la dirección IP de la LAN 192.168.1.56.
1 Hacer clic Configuración> Red> NAT> Añadir> Crear nuevo objeto> Dirección y crear una
IPv4 objeto de dirección de host para la dirección pública IP WAN (llamado WAN_IP-para-H323 aquí). Repita para crear un objeto de
dirección para la dirección IP LAN privada del dispositivo H.323 (llamado LAN_H323 aquí). Configurar un nombre para la regla
(WAN-LAN_H323 aquí).
Desea que el dispositivo de LAN H.323 para recibir llamadas peer-to-peer de la WAN y también ser capaz de iniciar llamadas a la WAN
por lo que se establece la Clasificación a NAT 1: 1.
Selecciona el Interfaz de entrada a la interfaz WAN. Selecciona el IP original al objeto de dirección
WAN ( WAN_IP-para-H323).
Selecciona el direcciones IP asignadas al objeto de dirección IP LAN del dispositivo H.323 ( LAN_H323).
Selecciona el Tipo de puerto de Mapeo a Puerto, el Tipo de protocolo a TCP y los puertos originales y asignadas a 1720. Haga clic DE ACUERDO.

5.7.1.3 configurar una regla de firewall para H.323
Configurar una regla de cortafuegos para permitir H.323 (puerto TCP 1720) el tráfico recibido en la dirección IP WAN_IP-para-H323 para ir a la dirección
IP de la LAN 192.168.1.56.
1 Hacer clic Configuración> Firewall > Agregar.
En el De Selección de Campos WAN. En el A campo
de selección de LAN1.
Configurar un nombre para la regla (WAN-a-LAN_H323 aquí). Selecciona el Destino al objeto de dirección IP LAN1 del dispositivo H.323 ( LAN_H323).
LAN_H323 es el destino, porque el ZyWALL aplica NAT al tráfico antes de aplicar la regla de cortafuegos. Selecciona el Servicio a H.323.

5.7.2 Cómo utilizar un IPPBX en la DMZ
Este es un ejemplo de fabricación de un X6004 IPPBX usando SIP en la zona DMZ accesible desde Internet (la zona WAN). En este
ejemplo, tiene la dirección IP pública 1.1.1.2 que va a utilizar en la interfaz WAN y el mapa a la dirección IP privada del IPPBX de
192.168.3.9. Los clientes SIP locales están en la LAN.
Figura 48 Ejemplo IPPBX topología de red
5.7.2.1 Activar el ALG
Hacer clic Configuración> Red> ALG. Seleccionar Activar SIP ALG y Activar SIP Transformaciones y haga clic Aplicar.
Figura 49 Configuración> Red> ALG

5.7.2.2 establecer una política de NAT para el IPPBX
Hacer clic Configuración> Red> NAT> Añadir> Crear nuevo objeto> Dirección y crear un objeto de dirección host IPv4 dirección IP DMZ
privada del IPPBX de 192.168.3.9. Repita el procedimiento para crear un objeto de dirección de host que se llama IPPBX-Pública para la
dirección IP WAN pública 1.1.1.2.
• Configurar un nombre para la regla (WAN-DMZ_IPPBX aquí).
• Desea que el IPPBX para recibir llamadas desde la red WAN y también ser capaz de enviar llamadas a la WAN por lo que se establece la Clasificación
a NAT 1: 1.
• Selecciona el Interfaz de entrada utilizar la interfaz WAN.
• Selecciona el IP original al objeto de dirección WAN ( IPPBX-Pública). Si un nombre de dominio está registrado para la dirección IP 1.1.1.2, los usuarios
pueden utilizarlo para conectarse a para realizar llamadas SIP.
• Selecciona el direcciones IP asignadas al objeto de dirección IP DMZ del IPPBX ( IPPBX-DMZ).
• Selecciona el Tipo de puerto de Mapeo a Puerto, el Tipo de protocolo a UDP y los puertos originales y mapeados a 5060.
• Mantener Habilitar NAT Loopback seleccionado para permitir que los usuarios de LAN para utilizar el IPPBX.
• Hacer clic DE ACUERDO.
Figura 50 Configuración> Red> NAT> Añadir
5.7.2.3 Configurar una red WAN en DMZ reglas de firewall para SIP
El cortafuegos bloquea el tráfico de la zona WAN a la zona DMZ por defecto por lo que necesita para crear una regla de cortafuegos para permitir al
público a enviar tráfico SIP a la IPPBX. Si un nombre de dominio está registrado para la dirección IP 1.1.1.2, los usuarios pueden utilizarlo para
conectarse a para realizar llamadas SIP.
Hacer clic Configuración> Firewall > Agregar. Selecciona el De campo, PÁLIDO y el A campo, DMZ. Selecciona el Destino al objeto de
dirección IP DMZ del IPPBX ( DMZ_SIP). IPPBX_DMZ es el destino, porque el ZyWALL aplica NAT al tráfico antes de aplicar la regla de
cortafuegos. Selecciona el
Acceso campo para permitir y haga clic DE ACUERDO.

5.7.2.4 configurar una DMZ para LAN reglas de firewall para SIP
El cortafuegos bloquea el tráfico de la zona DMZ a la zona LAN1 por defecto por lo que necesita para crear una regla de cortafuegos para permitir
que el IPPBX para enviar tráfico SIP a los clientes SIP de la LAN.
1 Hacer clic Configuración> Firewall > Agregar. Selecciona el De campo, DMZ y el A campo, LAN1. Conjunto
el Destino al objeto de dirección IP DMZ del IPPBX ( DMZ_SIP). Selecciona el Fuente a
IPPBX_DMZ. Deje el Acceso campo para permitir y haga clic DE ACUERDO.

• El ZyWALL comprueba las reglas de firewall en orden y se aplica la primera regla de cortafuegos coincide con el tráfico. Si el tráfico coincide con
una regla que viene antes en la lista, puede ser bloqueado de forma inesperada.
• El ZyWALL no se aplica la regla de cortafuegos. El ZyWALL sólo se aplican reglas de de una zona como las interfaces que
pertenecen a la zona. Asegúrese de que la interfaz WAN se asigna a la zona de la WAN.

5.8 Cómo contener navegación web y MSN a personas específicas
El siguiente es un ejemplo del uso patrulla de aplicación (AppPatrol) para hacer cumplir las políticas de MSN para el departamento de ventas de una
empresa de navegación en la web y.
5.8.1 establecer políticas navegación en la web
Antes de configurar las políticas, se debe haber suscrito para el servicio de la aplicación de patrulla. Suscribirse, puede utilizar la Configuración>
Licencias> Registro pantallas o usando uno de los asistentes.
1 Hacer clic Configuración> AppPatrol. Si patrulla de aplicación no está habilitada, activarlo, y haga clic Aplicar.
2 Hacer clic Configuración> AppPatrol> Consulta. En el primer menú desplegable, seleccione Por categoria y
en el segundo menú desplegable, seleccione Web, a continuación, haga clic Buscar. Haga doble clic en el http entrada para modificarla.
3 Haga doble clic en el Defecto política.

4 Cambiar el acceso a soltar porque no desea que nadie, excepto a grupos de usuarios autorizados a
navegar por la web. Hacer clic DE ACUERDO.
5 Haga clic en el Añadir icono en la lista de directivas. En la nueva política, seleccione Ventas como el grupo de usuarios permitido
navegar por la web. (El grupo de usuarios se debe establecer en el Configuración> Objeto> Usuario / Grupo> Grupo> Añadir pantalla.) Haga clic DE
ACUERDO.
5.8.2 establecer políticas de MSN
En esta parte del tutorial, se puede configurar una programación periódica y aplicarlo a la regla de la aplicación MSN patrulla de modo que se permite
utilizar MSN durante las horas de trabajo de lunes a viernes sólo el departamento de ventas.

1 Hacer clic Configuración> AppPatrol> Consulta, y en el segundo menú desplegable, seleccione Instante
Messager, y haga clic Buscar. A continuación, haga doble clic en el msn entrada para modificarla.
2 Haga doble clic en el Defecto política.
3 Cambiar el acceso a soltar porque no desea que nadie, excepto el grupo de usuarios autorizados
(ventas) para utilizar MSN. Hacer clic DE ACUERDO.
4 Ahora tendrá que configurar una programación periódica objeto en primer lugar. Hacer clic Configuración> Objeto>
Programar. Haga clic en el Añadir Icono para recurrente horarios.
5 Dar a la programación un nombre descriptivo como Horas laborales. Configurar los días (de lunes a
Viernes) y los tiempos (08:00 - 17:30), cuando se permite que el grupo de ventas a utilizar MSN. Hacer clic DE ACUERDO.

6 Hacer clic Configuración> AppPatrol> Consulta, y en el segundo menú desplegable, seleccione Instante
Messager, y haga clic Buscar. A continuación, haga doble clic en el msn entrada para modificarla.
7 Haga clic en el Añadir icono en la lista de directivas. En la nueva política, seleccione Horas laborales como el horario y
Ventas como el grupo de usuarios que se permite utilizar MSN en el horario designado. A continuación, seleccione adelante
en el Acceso campo. Hacer clic Aceptar para finalizar la configuración.

Ahora sólo el grupo de ventas puede utilizar MSN durante horas de trabajo en días de semana.
Si aún no lo ha suscrito para el servicio de la aplicación de patrulla, usted no será capaz de configurar cualquier política. Puede hacerlo
utilizando el Configuración> Licencias> Registro
pantallas o usando uno de los asistentes.

do CAPÍTULO 6
Mantenimiento
Estas secciones cubren Administración y Mantenimiento del ZyWALL.
• Cómo permitir el Servicio de Gestión de WAN en la página 125
• Cómo utilizar un servidor RADIUS para autenticar las cuentas de usuario basado en grupos en la página 128
• Cómo utilizar SSH para acceso Telnet segura en la página 129
• Cómo administrar los archivos de configuración en la página 130 ZyWALL
• Cómo administrar ZyWALL firmware en la página 131
• Cómo descargar y cargar un script de shell en la página 132
• Cómo cambiar un módulo de alimentación en la página 133
• Cómo guardar los registros del sistema a un dispositivo de almacenamiento USB en la página 135
• Cómo obtener archivos de diagnóstico del ZyWALL en la página 138
• Cómo capturar paquetes en el ZyWALL en la página 139
• Cómo utilizar Flujo de paquetes explorar en busca de problemas en la página 143
6.1 Cómo permitir el Servicio de Gestión de WAN

Hay varias maneras de que los usuarios remotos puedan gestionar el ZyWALL: a través de Internet, SSH, Telnet, FTP y SNMP. HTTPS y el
acceso SSH son más seguros que otros. Para permitir que el ZyWALL que se accede desde un usuario remoto a través de uno de estos
servicios, asegúrese de que usted no tiene una regla de control de servicio o de reglas de firewall a ZyWALL para bloquear este tráfico.
Para permitir un servicio de gestión remota, debe asegurarse de lo siguiente:
• El servicio está habilitado en su pantalla del sistema correspondiente (por ejemplo, se asegura el servicio HTTPS en el Configuración>
Sistema> WWW la pantalla está habilitado para que funcione).
• La dirección IP permitido (objeto de dirección) en el de control de servicios tabla debe coincidir con la dirección IP del cliente.
• La dirección IP (objeto de dirección) en el de control de servicios tabla está en la zona permitida y la acción se establece en aceptar.
• Las reglas de firewall-ZyWALL a permitir este tráfico.
El siguiente ejemplo se utiliza para comprobar que los administradores y usuarios están autorizados para acceder al ZyWALL desde la WAN
mediante HTTPS.
6.1.1 Registro de control de servicios
1 Hacer clic Configuración> Sistema> WWW.

Capítulo 6 Mantenimiento
2 Comprobar el Control de Servicio de administración y Control de Servicio de usuario secciones:
• aceptar debajo Acción significa que el usuario va a acceder al ZyWALL desde los equipos especificados.
• TODAS debajo Zona significa que todas las zonas ZyWALL se les permite utilizar este servicio.
• TODAS debajo Dirección significa que todos los equipos se les permite comunicarse con el ZyWALL uso de este servicio.
3 Si desea crear una regla de control de servicio diferente para el servicio HTTPS, haga clic en el Añadir icono para hacerlo.
Referirse a Cómo configurar el control de servicio en el tutoriales capítulo para más detalles.
6.1.2 Comprobar configuración del cortafuegos
1 Hacer clic Configuración> Firewall.
2 Si el PÁLIDO a ZyWALL regla de cortafuegos deniega el acceso, doble clic en él para editarlo.
Del ratón sobre la Servicio campo y si HTTPS no está en el Default_Allow_WAN_To_ZyWALL

Lista de grupo de servicio ir a la Objeto> Servicio> Service Group pantalla para editarlo.

En el Editar regla de Firewall pantalla, también puede configurar un objeto de programación, objeto de dirección, o aplicarlo a ciertos grupos de usuarios /
usuario. Referirse a 24.1.4 Ejemplo de configuración del cortafuegos Regla para más detalles sobre la configuración del cortafuegos.

6.2 Cómo utilizar un servidor RADIUS para autenticar cuentas de usuario

basado en Grupos
El ejemplo anterior mostró cómo tener un servidor RADIUS autenticar cuentas de usuario individuales. Si el servidor RADIUS tiene diferentes
grupos de usuarios que se distinguen por el valor de un atributo específico, se puede hacer un par de ligeros cambios en la configuración
para que los grupos servidor de autenticación RADIUS de cuentas de usuario definidas en el servidor RADIUS.
1 Hacer clic Configuración> Objeto> AAA Servidor> RADIUS. Haga doble clic en el radio entrada. Además
configurar la dirección del servidor RADIUS, puerto de autenticación, y la clave; selecciona el La pertenencia a grupos Atributo campo para
el atributo que el ZyWALL es comprobar para determinar a qué grupo pertenece un usuario. Este ejemplo utiliza Clase. el valor de este
atributo se denomina un identificador de grupo; que determina a qué grupo pertenece un usuario. En este ejemplo, los valores son Finanzas,
Ingeniero de Ventas y Jefe.
2 Ahora se agrega objetos de usuario ext-grupo-usuario para identificar grupos en función de los valores de identificador de grupo.
Configurar una cuenta de usuario para cada grupo de cuentas de usuario en el servidor RADIUS. Hacer clic Configuración
> Objeto> Usuario / Grupo> Usuario. Haga clic en el Añadir icono. Introduzca un nombre de usuario y establecer el Tipo de usuario a ext-grupo-usuario. En
el Identificador de grupo campo, introduzca Finanzas y establecer el Asociado de objetos de servidor AAA a radio.

3 Repita los pasos anteriores si es necesario agregar otros grupos de usuarios.
6.3 Cómo utilizar SSH para acceso Telnet seguro

En esta sección se muestran dos ejemplos que utilizan una interfaz de comandos y un programa gráfico cliente de interfaz SSH para acceder de forma
remota el ZyWALL. Los pasos de configuración y de conexión son similares para la mayoría de los programas cliente SSH. Consulte la guía de su cliente
SSH del usuario del programa.
6.3.1 Ejemplo 1: Microsoft Windows
En esta sección se describe cómo acceder al ZyWALL utilizando el programa cliente de Secure Shell.
1 Iniciar el cliente SSH y especifique la información de conexión (dirección IP, número de puerto) para el
ZyWALL.
2 Configurar el cliente de SSH para aceptar la conexión a través de SSH versión 1.
3 Aparece una ventana que le pide que almacenan la clave de host en su computadora. Hacer clic Sí continuar.
Introduzca la contraseña para iniciar sesión en el ZyWALL. Se mostrará la pantalla CLI siguiente.

6.3.2 Ejemplo 2: Linux
En esta sección se describe cómo acceder al ZyWALL utilizando el programa cliente OpenSSH que viene con la mayoría de las distribuciones de
Linux.
1 Comprobar si el servicio SSH está disponible en el ZyWALL.
Enter “ 192.168.1.1 telnet 22 ”En un símbolo y pulse el terminal [ ENTRAR]. El equipo intenta conectarse al puerto 22 en el ZyWALL
(utilizando la dirección IP por defecto 192.168.1.1). Se muestra un mensaje que indica la versión del protocolo SSH apoyado por el
ZyWALL.
$ Telnet 192.168.1.1 192.168.1.1 22

Tratando ... Estás conectado a
192.168.1.1. carácter de escape es '^]'.
SSH-1.5- 1.0.0
2 Enter “ ssh -1 192.168.1.1 ”. Este comando hace que su ordenador para conectarse a la ZyWALL usando
SSH versión 1. Si esta es la primera vez que se está conectando el ZyWALL a través de SSH, se muestra un mensaje que llevó a guardar la
información de host del ZyWALL. Tipo " sí ”Y pulse [ ENTRAR].
A continuación, introduzca la contraseña para iniciar sesión en el ZyWALL.
$ Ssh -1 192.168.1.1
La autenticidad de anfitrión '192.168.1.1 (192.168.1.1)' no puede ser establecida. huella de la clave RSA1 es 21: 6c: 07: 25: 7e:
f4: 75: 80: ec: af: BD: d4: 3d: 80: 53: d1. ¿Seguro que desea continuar conexión (sí / no)? Sí Advertencia: se ha añadido de
forma permanente '192.168.1.1' (RSA1) a la lista de hosts conocidos. Administrator@192.168.1.1's contraseña:
3 Se mostrará la pantalla CLI siguiente.
6.4 Cómo administrar archivos de configuración ZyWALL
Los archivos de configuración definen la configuración del ZyWALL. Se puede utilizar el Archivo de configuración pantalla de configuración de copia de
seguridad de archivos desde el ZyWALL a su ordenador y restaurarlos desde el ordenador a la ZyWALL.
Para respaldar sus archivos de configuración, haga clic Mantenimiento> Administrador de archivos> archivo de configuración.
Seleccione el archivo de configuración que desea guardar en su ordenador y haga clic Descargar. Si desea cargar un archivo de configuración, seleccione el
archivo .conf * de su trayectoria y de clic Subir. Después de la carga se realiza correctamente, se puede encontrar el archivo .conf * en la lista de archivos de
configuración. Hacer clic Aplicar para ejecutar el archivo de configuración seleccionado.

Los archivos de configuración por defecto son:
• sistema de default.conf: Este archivo contiene todos los ajustes ZyWALL. Si se aplica este archivo, se restaurarán dirección IP por
defecto y la contraseña del ZyWALL.
• startup-config.conf: Este es el archivo de configuración que el ZyWALL está utilizando actualmente. Todos los cambios que ha guardado /
aplicados en el configurador Web o en los comandos de la CLI (cuando se utiliza el comando de escritura) se aplican a este archivo.
• lastgood.conf: Este es el archivo de configuración utilizado más recientemente (válida) que se guardó cuando el dispositivo reiniciado por
última vez. Si subes y aplicar un archivo de configuración con un error, se puede aplicar lastgood.conf para volver a una configuración válida.

• No se puede cargar sistema de default.conf o lastgood.conf.
• Durante el arranque, el ZyWALL aplica primero puesta en up.conf. Si la solicitud es aceptada, se copia en lastgood.conf. Si la aplicación
falla, el ZyWALL tratará de aplicar lastgood.conf.
• Si lastgood.conf. no puede aplicar, el ZyWALL restaurará mediante el uso de la sistema de default.conf archivo para que el dispositivo pueda
arrancar normalmente.
6.5 Cómo administrar ZyWALL firmware

Hacer clic Mantenimiento> Administrador de archivos> paquete de firmware. Utilice esta pantalla para comprobar la versión del firmware
actual y cargar firmware para el ZyWALL.

Usted puede encontrar y descargar el último paquete de firmware para el ZyWALL en www.zyxel.com en un archivo * .zip. Después de
descomprimir el archivo, se encuentran varios archivos contenidos en el paquete. El archivo que se debe utilizar para la carga del firmware
es un archivo * .bin, por ejemplo “300BDS0C0.bin”. En la regla de denominación de firmware, 300 es la versión principal del firmware; BDS0
es el modelo USG (por ejemplo, BDS es USG50 y BDQ es USG20) y su versión del parche; y C0 es la versión del firmware. Otros archivos
como * .nor, * .db y archivos * .RI no se pueden cargar mediante el configurador Web y podrían causar daños en el ZyWALL si se usa
incorrectamente. Consulte la nota de lanzamiento (disponible en el paquete de firmware) con el propósito de estos archivos.
Después de cargar el archivo * .bin, el ZyWALL se reinicia automáticamente causando una desconexión temporal de la red. En algunos
sistemas operativos, es posible que aparezca el siguiente icono en el escritorio.
Un mensaje mostrará el progreso de la carga, que por lo general tarda cinco minutos o más. No apague o reinicie el ZyWALL durante la
carga.
El ZyWALL se reiniciará automáticamente después de que la carga está completa y usted será automáticamente redirigido a la pantalla de
inicio de sesión. Ve a la Tablero pantalla para comprobar si su versión de firmware es la última.

• Si aparece un mensaje de error durante la carga del firmware, compruebe si ha cargado el archivo correcto.
• Un archivo de firmware debe tener una extensión .bin.
• No cargar otros tipos de archivos que pueden causar daños en el ZyWALL.
6.6 Cómo descargar y cargar un script de shell

Una secuencia de comandos shell es una lista de comandos que el ZyWALL ejecuta en secuencia. Puede editar los scripts de shell en un editor de texto y
cargarlas en los guiones ZyWALL.Shell utilizar una extensión .zysh.
Para respaldar su script de shell, haga clic Mantenimiento> Administrador de archivos> archivo de configuración. Seleccionar el script que desea guardar en
su ordenador y haga clic Descargar. Si desea cargar un script de shell, seleccione el archivo * .zysh de su trayectoria y de clic Subir. Después de la carga se realiza
correctamente, se puede encontrar el archivo .zysh * en la lista de secuencia de comandos shell. Hacer clic Aplicar para ejecutar la secuencia de comandos shell
seleccionado.
Cuando se ejecuta un script de shell, el ZyWALL sólo se aplica a los comandos que contiene. Otros parámetros no cambian.

Cuando se ejecuta un script de shell, el ZyWALL procesa la línea por línea del archivo. El ZyWALL comprueba la primera línea y la línea se
aplica si no se detectan errores. Luego continúa con la siguiente línea. Si el ZyWALL encuentra un error, se deja de aplicar el script de shell.
Si desea que el ZyWALL hacer caso omiso de cualquier error en el script de shell y se aplica a todos los comandos válidos, incluye setenv stop-on-error fuera
en la secuencia de comandos shell. La secuencia de comandos shell seguirá funcionando independientemente de error. Todavía se puede encontrar los
registros de errores de script de shell.
6.7 Cómo cambiar un módulo de alimentación
En este tutorial se aplica sólo a USG 2000.
El ZyWALL tiene dos módulos de potencia. Puede seguir operando en un módulo de potencia individual, si uno falla. Los módulos de potencia
están cerca de la parte superior del panel frontal del chasis principal. Obtener módulos de potencia ZyWALL desde su vendedor local. Utilice el
siguiente procedimiento para cambiar un módulo de potencia.
1 Asegúrese de que el módulo de potencia que desea desconectar tiene el interruptor de encendido en la posición de apagado.
Sólo es necesario apagar el módulo de alimentación que ha fallado. El ZyWALL puede continuar operando en el poder desde el otro módulo
de potencia.
2 Desconectar el cable de alimentación de la toma de corriente.
3 Desconecte el cable de alimentación del módulo de potencia del ZyWALL.
4 Utilice un destornillador Phillips para quitar el tornillo de sujeción del módulo de potencia.

5 Utilice el asa para introducir el módulo de potencia y eliminarlo.
6 Instalar el nuevo módulo de potencia ZyWALL.
7 Apretar el tornillo de sujeción del módulo de potencia.

8 Conectar el cable de alimentación al nuevo módulo de potencia ZyWALL.
9 Vuelva a conectar el cable de alimentación a la toma de corriente.
10 Empuje el interruptor del módulo de alimentación ZyWALL a la posición de encendido.
6.8 Cómo guardar los registros del sistema a un dispositivo de almacenamiento USB
El ZyWALL utiliza el espacio de memoria para almacenar los registros del sistema. Una vez que la memoria está llena, el ZyWALL tiene nuevos registros anulan
los registros antiguos. Si la memoria de su ZyWALL está lleno o el tamaño del sistema registra desea guardar podrá exceder el espacio restante, se puede utilizar
un dispositivo de almacenamiento USB. En este tutorial se muestra cómo guardar los registros del sistema del ZyWALL a un dispositivo de almacenamiento USB
conectado directamente al ZyWALL.
Nota: Puede comprobar el espacio de memoria restante en el Tablero pantalla. Nota: los registros del sistema guardados en el ZyWALL no
se pueden transferir a un dispositivo USB directamente

conectado a la ZyWALL. El ZyWALL ahorra nuevos registros del sistema para el almacenamiento USB conectado después de
completar los ajustes que se muestran aquí.
1 Inserte un dispositivo de almacenamiento USB a cualquier puerto USB de su ZyWALL. En el Monitor > Estado del sistema > Almacenamiento USB pantalla, se
puede ver la información del dispositivo USB.
Nota: Asegúrese de que el sistema de archivos del dispositivo USB es compatible con el ZyWALL. (No debería
mostrar “Desconocido”.)

2 Ir Configuración > Sistema > Almacenamiento USB, seleccionar Activar el servicio de almacenamiento USB y haga clic
Aplicar para permitir que el ZyWALL para guardar los datos de diagnóstico al dispositivo USB conectado.
3 Ir Configuración > Registro y informe > Registro de Configuración, Selecciona el Almacenamiento USB entrada y haga clic
Editar.
4 En el Editar Desconectar de La posición de almacenamiento USB pantalla, seleccione Duplicar registros de almacenamiento USB.
Seleccione las marcas de verificación de color verde para registrar información regular y alertas de las categorías correspondientes. También puede simplemente hacer clic Selección
y entonces habilitar los registros normales para seleccionar las marcas de verificación de color verde para todas las categorías, como se muestra en este ejemplo. Hacer clic DE
ACUERDO.

5 En el Configuración > Registro y informe > Ajustes registro pantalla, seleccione la Almacenamiento USB entrada de nuevo
y haga clic Activar. Hacer clic Aplicar tener el ZyWALL iniciar la grabación de los registros del sistema en el dispositivo USB.
6 En el Mantenimiento > Diagnóstico > Registro del sistema pantalla, se puede ver un archivo de registro que es
el registro de los registros del sistema. Puede seleccionarlo y hacer clic Descargar si desea guardarlo en su computadora.


• Antes de quitar un dispositivo USB conectado, vaya a Supervisar> Estado del sistema> almacenamiento USB y haga clic Ahora retire.
• Si desea utilizar el dispositivo USB y no se ha eliminar físicamente, haga clic Es utilizar en la misma pantalla para desmontar el
dispositivo.
6.9 Cómo obtener archivos de diagnóstico del ZyWALL
Este ejemplo muestra cómo generar un archivo que contiene la configuración de la información de diagnóstico y ZyWALL si
necesita que le proporcione a la atención al cliente para solucionar problemas.
1 Ve a la Mantenimiento > Diagnóstico > Recopilar pantalla, haga clic Ahora recoger.
2 Después de que el proceso se realiza, la información del archivo se muestra en la pantalla. Hacer clic Descargar para guardar el
archivo en el ordenador.
El ZyWALL utiliza el espacio de flash para almacenar archivos de diagnóstico. Una vez que el flash está llena, el ZyWALL deje de generar el archivo. Si el flash
de su ZyWALL está casi lleno, se puede utilizar un dispositivo de almacenamiento USB.

Nota: Puede comprobar el espacio restante en el destello Tablero o Mantenimiento > Diagnóstico > Captura de paquetes pantalla.
Para guardar archivos de diagnóstico a un dispositivo de almacenamiento USB, haga lo siguiente antes de recoger un archivo de diagnóstico:
1 Inserte el dispositivo de almacenamiento USB a cualquier puerto USB de su ZyWALL. En el Monitor > Estado del sistema
> Almacenamiento USB pantalla, asegúrese de que el sistema de archivos del dispositivo USB no se muestra “desconocido”.
Aplicar.
3 En el Mantenimiento > Diagnóstico > Recopilar pantalla, seleccione Copiar el archivo de diagnóstico de USB
almacenamiento. Hacer clic Aplicar.
6.10 Cómo capturar paquetes en el ZyWALL

Este ejemplo rastrea los paquetes IPv4 (también puede capturar los paquetes IPv6) enviados desde o hacia una dirección IP específica (172.16.1.33)
a través de LAN1 y WAN1 del ZyWALL. Usted tiene que evaluar cuándo es el mejor momento es para capturar paquetes de solución de problemas y
lo hace en el momento adecuado.
1 Ir Mantenimiento > Diagnóstico > Captura de paquetes > Captura, seleccionar WAN1 y lan1 y
moverlos a la Interfaces de captura caja. Seleccionar IPv4 en el IP versión campo. Seleccionar Usuario definido e introduzca 172.16.1.33 en el IP de
host campo. Seleccionar Guardar los datos en solamente almacenamiento a bordo ( si el tamaño de muestra es lo suficientemente disponibles).
Hacer clic
Capturar.

2 Haga clic en el Detener botón para finalizar la sesión de captura de paquetes cuando se cree que ha capturado suficientes
paquetes. ¿Por cuánto tiempo puede tomar depende del tipo de paquete y el comportamiento de la red que desea capturar.
3 Haga clic en el archivos pestaña, se pueden ver dos archivos (PAC y TXT) generado para cada interfaz. Seleccione un archivo
y haga clic Descargar.
Los archivos TXT muestran las estadísticas de paquetes, tales como paquetes capturados de acuerdo a sus filtros, los paquetes recibidos en
total, y los paquetes descartados.
Los archivos CAP muestran los detalles de cada paquete capturado. Usted necesitará una herramienta de analizador de paquetes para ver ellos (véase Sección
6.10.1 en la página 142 para un ejemplo).

El ZyWALL utiliza el espacio de flash para almacenar archivos de captura de paquetes. Una vez que el flash está llena, el ZyWALL deje de generar el archivo
o haya nuevos paquetes capturados anular viejos paquetes dependiendo de su configuración. Si el flash de su ZyWALL está lleno o el tamaño de los archivos
de captura de paquetes que desea capturar podrá exceder el espacio restante, se puede utilizar un dispositivo de almacenamiento USB.
Nota: Puede comprobar el espacio restante en el destello Tablero o Mantenimiento > Diagnóstico > Captura de paquetes pantalla.
Para guardar archivos de captura de paquetes a un dispositivo de almacenamiento USB conectado, haga lo siguiente:
1 Inserte un dispositivo de almacenamiento USB a cualquier puerto USB de su ZyWALL. En el Monitor > Estado del sistema > Almacenamiento USB pantalla, asegúrese
de que el sistema de archivos del dispositivo USB no se muestra “Desconocido”.
Aplicar.
3 En el Mantenimiento > Diagnóstico > Captura de paquetes > Recopilar pantalla, seleccione Guardar los datos en
Almacenamiento USB.

6.10.1 Ejemplo de visualización de un archivo de captura de paquetes (PAC)
Aquí está un ejemplo de un archivo de captura de paquetes se ve en el analizador de paquetes de Wireshark. Observe que el tamaño de marco 15
en el alambre es 1514 bytes mientras que el tamaño capturado es de sólo 1.500 bytes. El ZyWALL trunca el marco debido a que la pantalla de
captura de Número de bytes que se captura (por paquete)
campo se establece en 1500 bytes.

Figura 51 Ejemplo de paquetes captura de archivo
6.11 Cómo utilizar Flujo de paquetes explorar en busca de solución de problemas
Utilice la función de flujo de paquetes para ayudar a explorar problemas de enrutamiento resolver o NAT. Por ejemplo: una interfaz pasa
bruscamente hacia abajo, se configura una ruta política, pero los paquetes no ir a través de la interfaz configurada o ir a través de otra
ruta.
los Mantenimiento > Flujo de paquetes Explorar> estado de enrutamiento pantalla muestra el flujo de enrutamiento actual del ZyWALL. Haga clic en un
cuadro de función para obtener las rutas activas correspondientes. Las rutas ZyWALL paquetes en el orden de la secuencia como se muestra de izquierda
a derecha. Una vez que un paquete coincide con los criterios de una ruta, las rutas ZyWALL el paquete y no realiza ninguna comprobación de
enrutamiento más.

los Mantenimiento > Flujo de paquetes Explorar> Estado SNAT pantalla muestra NAT (SNAT) de flujo de fuente actual del ZyWALL. Haga clic en un
cuadro de función para ver las correspondientes reglas de SNAT activos. Los cheques ZyWALL si un paquete coincide con los criterios de una regla
SNAT siguiendo el orden de la secuencia como se muestra de izquierda a derecha. Una vez que un paquete coincide con los criterios de una regla de
SNAT, el ZyWALL toma la acción correspondiente en el paquete y no realiza ninguna comprobación aún más el flujo SNAT.

UN PÉNDICE UN
Información legal
Derechos de autor
Copyright © 2013 por ZyXEL Communications Corporation.
El contenido de esta publicación no pueden ser reproducidos en cualquier parte o en su conjunto, transcripción, almacenamiento en un sistema de recuperación, traducidos a cualquier idioma, o transmitirse en
cualquier forma o por cualquier medio, electrónico, mecánico, magnético, óptico, químico, fotocopiado, manual o cualquier otro, sin la previa autorización por escrito de ZyXEL Communications Corporation.
Publicado por ZyXEL Communications Corporation. Todos los derechos reservados.
Renuncia
ZyXEL no asume ninguna responsabilidad derivada de la aplicación o uso de cualquier producto o software descritos en este documento. Tampoco se concede licencia alguna sobre sus derechos de patente
ni los derechos de patente de terceros. ZyXEL se reserva además el derecho de hacer cambios en los productos descritos en este documento sin previo aviso. Esta publicación está sujeta a cambios sin
previo aviso.
Certificados (Clase B para ZyWALL USG 20, 20W, 50, 100, 100-PLUS, y 200)
Comisión Federal de Comunicaciones (FCC) Declaración de interferencia

El dispositivo cumple con la Parte 15 de las normas de la FCC. El funcionamiento está sujeto a las dos condiciones siguientes:
• Este dispositivo no puede causar interferencias perjudiciales.

• Este dispositivo debe aceptar cualquier interferencia recibida, incluyendo interferencias que puedan provocar un funcionamiento no deseado. Este dispositivo ha sido probado y cumple con los límites de un
dispositivo digital de Clase B, de acuerdo a la Parte 15 de las normas de la FCC. Estos límites están diseñados para proporcionar una protección razonable frente a interferencias perjudiciales en una instalación
residencial. Este dispositivo genera, utiliza, y puede emitir energía de radiofrecuencia, y si no se instala y utiliza de acuerdo con las instrucciones, puede causar interferencias en las comunicaciones de radio. Sin
embargo, no hay garantía de que no se produzcan interferencias en una instalación particular. Si este equipo causa interferencias perjudiciales en la recepción de radio / televisión, que puede ser determinada
girando el dispositivo de vez en cuando,
1 Reorientar o reubicar la antena receptora.

2 Aumentar la separación entre el equipo y el receptor.
3 Conectar el equipo a una toma de corriente de un circuito distinto de aquel al que está conectado el receptor.
4 Consulte al distribuidor oa un técnico de radio / TV para obtener ayuda.
Radiación de la FCC Declaración de exposición

• Este transmisor no debe ser co-situado o que opera en conjunción con cualquier otra antena o transmisor.
• IEEE 802.11n (20MHz) funcionamiento de este producto en los EE.UU. es firmware limitado a los canales 1 a 11. IEEE 802.11n (40 MHz) funcionamiento de este producto en los EE.UU. es
firmware-limitado a los canales 3 a 9.
• Para cumplir con los requisitos de exposición a RF de la FCC, una distancia de separación de al menos 20 cm se debe mantener entre la antena de este dispositivo y todas las personas.
• Para el producto disponible en el mercado de EE.UU., sólo el canal 1 ~ 11 pueden ser operados. La selección de otros canales no es posible.
注意! 依據低功率電波輻射性電機管理辦法
第十二條經型式認證合格之低功率射頻電機, 非經許可, 公司, 商號或使用者均不得擅自變更頻率, 加大功

率或變更原設計之特性及功能.
第十四條低功率射頻電機之使用不得影響飛航安全及干擾合法通信;. 經發現有干擾現象時, 應立即停用
, 並改善至無干擾時方得繼續使用前項合法通信, 指依電信規定作業之無線電信. 低功率射頻電機須忍
受合法通信或工業, 科學及醫療用電波輻射性電機設備之干擾.
本機限在不干擾合法電臺與不受被干擾保障條件下於室內使用. 減少電磁波影響, 請

妥適使用.
avisos
Los cambios o modificaciones no aprobados expresamente por la parte responsable del cumplimiento podrían anular la autoridad del usuario para operar el equipo.
Este aparato digital de Clase B cumple con ICES-003 de Canadá. Cet appareil numérique de la classe B est conforme à la norme
NMB-003 du Canada.

Apéndice A Información Legal
Certificados (Clase A para ZyWALL USG 300, 1000, y 2000)
Comisión Federal de Comunicaciones (FCC) Declaración de interferencia

Este dispositivo cumple con la Parte 15 de las normas de la FCC. El funcionamiento está sujeto a las dos condiciones siguientes: Este dispositivo no puede
causar interferencias perjudiciales.
Este dispositivo debe aceptar cualquier interferencia recibida, incluyendo interferencias que puedan provocar un funcionamiento no deseado.
Advertencia de la FCC
Este dispositivo ha sido probado y cumple con los límites para una Clase de un conmutador digital, según la Parte 15 de las normas de la FCC. Estos límites están diseñados para proporcionar una protección
razonable contra interferencias perjudiciales en un entorno comercial. Este dispositivo genera, utiliza, y puede radiar energía de frecuencia de radio y, si no se instala y utiliza de acuerdo con el manual de
instrucciones, puede provocar interferencias en las comunicaciones de radio. El funcionamiento de este dispositivo en un área residencial puede causar interferencias perjudiciales, en cuyo caso será necesario
que el usuario deberá corregir la interferencia a sus propias expensas.
Advertencia de la CE:
Este es un producto de clase A. En un entorno doméstico, este producto puede causar interferencias de radio, en cuyo caso puede ser necesario que el usuario tome las medidas adecuadas.
Taiwanesa BSMI (Oficina de Normas, Metrología e Inspección) Una advertencia:
avisos
Los cambios o modificaciones no aprobados expresamente por la parte responsable del cumplimiento podrían anular la autoridad del usuario para operar el equipo.
Cet appareil numérique de la classe A est conforme à la norme NMB-003 du Canada. LÁSER DE CLASE 1 APPAREIL
PRODUCTO DE CLASE un láser 1
El producto cumple con la norma 21 CFR 1040.10 y 1040.11. PRODUIT CONFORME
SELON 21 CFR 1040.10 1040.11 ET.
Viendo el Certificaciones
1 Ir http://www.zyxel.com .
2 Seleccione su producto en la página principal de ZyXEL para ir a la página de ese producto.
3 Seleccione la certificación que desea ver en esta página.
Garantía limitada ZyXEL

ZyXEL garantiza al usuario final original (comprador) que este producto está libre de cualquier defecto de materiales o de fabricación durante un período específico (el periodo de garantía) a partir de la fecha de
compra. El período de garantía varía según la región. Consulte con su proveedor y / o el distribuidor local autorizado de ZyXEL para obtener detalles sobre el período de garantía de este producto. Durante el
período de garantía, y sobre la prueba de compra, si el producto tiene indicaciones de fallo debido a la mano de obra y / o materiales defectuosos, ZyXEL, a su discreción, reparar o reemplazar los productos o
componentes defectuosos sin cargo en piezas y mano de obra, y en cualquier medida que juzgue necesarios para que el producto o sus componentes a condiciones de funcionamiento. Cualquier reemplazo
consistirá de un producto funcionalmente equivalente nuevo o re-fabricado de igual o mayor valor, y estará a discreción de ZyXEL. Esta garantía no se aplicará si el producto ha sido modificado, utilizado
erróneamente, manipulado, dañado por un acto de Dios, o sometidas a condiciones anormales de trabajo.
Nota
La reparación o sustitución, según lo previsto por esta garantía, es el único recurso del comprador. Esta garantía sustituye a cualquier otra garantía, expresa o implícita, incluyendo cualquier garantía de
comerciabilidad o idoneidad para un uso o propósito particular. ZyXEL no será en ningún caso responsable de los daños indirectos o consecuentes de ningún tipo al comprador.
Para obtener los servicios de esta garantía, póngase en contacto con su proveedor. También puede referirse a la política de garantía para la región en la que ha adquirido el dispositivo en
http://www.zyxel.com/web/support_warranty_info.php.
Registro
Registre su producto en línea para recibir notificaciones por correo electrónico de actualizaciones de firmware y la información en www.zyxel.com de productos globales, o al www.us.zyxel.com para los productos
norteamericanos.
Licencias de código abierto

Este producto contiene en parte, cierto software libre distribuido bajo los términos de la licencia GPL y / o GPL como licencias. licencias de código abierto se proporcionan con el paquete de firmware. Puede
descargar la última versión del firmware en www.zyxel.com. Para obtener el código fuente cubierto bajo las licencias, por favor, póngase en contacto con support@zyxel.com.tw conseguirlo.

Información reglamentaria
Unión Europea
La siguiente información se aplica si se utiliza el producto dentro de la Unión Europea.
Declaración de conformidad con respecto a la Directiva de la UE 1999/5 / CE (R & TTE)

Información de cumplimiento de 2,4 GHz y 5 GHz Wireless productos relevantes a la UE y otros países A raíz de la Directiva de la UE 1999/5 / CE (R & TTE)
ZyXEL tímto prohlašuje, že tento zařízení je ve Shode se základními požadavky un dalšími příslušnými ustanoveními směrnice 1999/5 / CE.
[Danés] Undertegnede ZyXEL erklærer herved, en følgende udstyr udstyr overholder de væsentlige krav og øvrige relevante krav i direktiv 1999/5 / EF.
[Alemán] erklärt Hiermit ZyXEL, dass sich das Gerät Ausstattung en Übereinstimmung mit den grundlegenden Anforderungen und den übrigen einschlägigen Bestimmungen der Richtlinie
1999/5 / UE befindet.
[Estonio] Käesolevaga kinnitab ZyXEL seadme seadmed vastavust direktiivi 1999/5 / EÜ ja põhinõuetele nimetatud direktiivist tulenevatele teistele asjakohastele sätetele.
Inglés Por la presente, ZyXEL declara que este equipo cumple con los requisitos esenciales y otras disposiciones relevantes de la Directiva 1999/5 / CE.
[Español] Por medio de la Presente ZyXEL DeCLARA Que El equipo cumple con los Requisitos ESENCIALES Y cualesquiera de otras: disposiciones aplicables o exigibles de la
directiva 1999/5 / CE.
[Griego] ΜΕ ΤΗΝ ΠΑΡΟΥΣΑ ZyXEL ΔΗΛΩΝΕΙ ΟΤΙ εξοπλισμός ΣΥΜΜΟΡΦΩΝΕΤΑΙ ΠΡΟΣ ΤΙΣ ΟΥΣΙΩΔΕΙΣ ΑΠΑΙΤΗΣΕΙΣ ΚΑΙ ΤΙΣ ΛΟΙΠΕΣ ΣΧΕΤΙΚΕΣ ΔΙΑΤΑΞΕΙΣ ΤΗΣ ΟΔΗΓΙΑΣ 1999/5
/ ΕC.
[Francés] Par la présente ZyXEL declaran que l'appareil Équipements est Conforme aux exigences essentielles et aux autres disposiciones pertinentes de la Directiva 1999/5 / CE.
[Italiano] Con la Presente ZyXEL Dichiara che questo attrezzatura è Conforme ai Requisiti essenziali ed Alle altre Disposizioni pertinenti Stabilite dalla direttiva 1999/5 / CE.
[Letón] Ar šo ZyXEL deklarē, ka iekārtas atbilst Direktīvas 1999/5 / EK būtiskajām prasībām ONU ar citiem a saistītajiem noteikumiem.
[Lituano] Šiuo ZyXEL deklaruoja, kad šis įranga atitinka esminius reikalavimus ir KITAS 1999 nuostatas / 5 / EB Direktyvos.
[Holandés] Hierbij verklaart ZyXEL dat het toestel Uitrusting en overeenstemming se cumple de essentiële eisen de es relevante Otros bepalingen van Richtlijn 1999/5 / CE.
[Maltés] Hawnhekk, ZyXEL, jiddikjara li dan tagħmir jikkonforma mala ħtiġijiet essenzjali u ma provvedimenti oħrajn li relevanti Hemm fid-Dirrettiva 1999/5 / CE.
[Húngaro]
[Checa] Alulírott, ZyXEL nyilatkozom, hogy un berendezés megfelel un vonatkozó alapvetõ követelményeknek és az 1999/5 / EK irányelv Egyéb elõírásainak.
[Polaco] Niniejszym ZyXEL oświadcza, że Sprzęt broma zgodny z zasadniczymi wymogami oraz pozostałymi stosownymi postanowieniami dyrektywy 1999/5 / CE.
[Portugués] ZyXEL DeCLARA Que this this equipamento del conforme com os requirements essenciais e outras disposições da directiva 1999/5 / CE.
[Esloveno] ZyXEL izjavlja, da je ta oprema v skladu z bistvenimi zahtevami en ostalimi relevantnimi določili Direktive 1999/5 / CE.
[Eslovaco] ZyXEL týmto vyhlasuje, že zariadenia spĺňa základné požiadavky un všetky Príslušné ustanovenia smernice 1999/5 / CE.
[Finlandés] ZyXEL vakuuttaa Taten että laitteet tyyppinen laite en direktiivin 1999/5 / EY oleellisten vaatimusten ja sitä koskevien direktiivin muiden ehtojen mukainen.
[Sueco] DAÑÓ intygar ZyXEL Denna att utrustning Star I med överensstämmelse de väsentliga egenskapskrav och Övriga relevanta bestämmelser som framgår av direktiv 1999/5 / CE.
[Búlgaro] С настоящото декларира ZyXEL, че това оборудване е в съответствие със съществените изисквания и другите приложими разпоредбите на Директива 1999/5 / ЕC.
[Islandés] Hér með lýsir, ZyXEL því yfir AD Thessi búnaður er í samræmi við grunnkröfur og önnur viðeigandi ákvæði tilskipunar 1999/5 / CE.
[Noruego] Erklærer herved ZyXEL en dette er utstyret I med samsvar de grunnleggende kravene og andre relevante bestemmelser I direktiv 1999/5 / EF.
[Rumano] Prin prezenta, ZyXEL DeCLARA că acest Echipament Este en conformitate cu cerinţele esenţiale şi alte prevederi relevante ale Directivei 1999/5 / CE.
Las restricciones nacionales

Este producto puede ser utilizado en todos los países de la UE (y de otros países como consecuencia del directiva de la UE 1999/5 / CE) y sin ningún tipo de limitación a excepción de los países mencionados a continuación:

Ce produit peut être utilisé dans tous les pays de l'UE (et dans tous les paga ayant transpone la Directiva 1999/5 / CE) limitación sans aucune, excepté pour les paga mentionnés ci-dessous:
Questo prodotto è utilizzabile en tutte i paesi UE (ed en tutti gli altri paesi che seguono le direttive de la UE 1999/5 / EC) senza nessuna limitazione, eccetto per i paesii menzionati di seguito:
Das Produkt kann en allen UE Staaten ohne Einschränkungen eingesetzt werden (sowie en anderen Staaten morir der UE Direktive 1995/5 / CE folgen) mit der Außnahme folgenden aufgeführten Staaten:
En la mayor parte de la UE y otros países europeos, se han puesto a disposición los 2, 4 y 5 GHz para el uso de redes inalámbricas de área local (LAN). Más adelante en este documento encontrará una
descripción general de los países inwhich restricciones o requisitos adicionales o ambos son aplicables.
Los requisitos para cualquier país pueden evolucionar. ZyXEL recomienda que consulte con las autoridades locales para el último estado de su reglamentación nacional, tanto para las redes LAN inalámbricas
de 2,4 GHz y 5.
Los siguientes países tienen restricciones y / o requisitos, además de los indicados en la tabla denominada “ Descripción de los requisitos reglamentarios para LAN inalámbricas “:.
Nivel de potencia máxima sólo en interiores Interior y exterior

(PIRE) 1 (MW)
2400-2483,5 100 V
5150-5350 200 V
5470-5725 1000 V
Bélgica
El Instituto Belga de Servicios Postales y de Telecomunicaciones (BIPT) debe ser notificado de cualquier enlace inalámbrico exterior que tiene una distancia superior a 300 metros. Por favor, compruebe
http://www.bipt.be para más detalles.
Draadloze Verbindingen voor een buitengebruik es conocido reikwijdte Van Meer dan 300 metros dienen aangemeld te Worden bij het Belgisch Institut voor postdiensten en telecommunicatie (BIPT). Zie
http://www.bipt.be gegevens voor meer.
Les Liaisons sans fil verter la utilización de la norma UNE EN extérieur d'une Superior distancia A 300 mètres doivent être à l'Institut notifiées Belge des servicios Postaux et des Télécommunications (IBPT).
Visitez http://www.ibpt.be vertido de plus amples detalles. Dinamarca
En Dinamarca, la banda 5150 - también se permite MHz 5350 para uso en exteriores. Me Danmark
frekvensbåndet Må 5150 - 5350 også anvendes de emplazamientos. Italia
Este producto cumple con la Interfaz de Radio Nacional y los requisitos especificados en el cuadro nacional de atribución de frecuencias para Italia. A menos que este producto LAN inalámbrica está funcionando
dentro de los límites de la propiedad del dueño, su uso requiere una “autorización general.” Por favor marque http://www.sviluppoeconomico.gov.it/ para más detalles.
Questo prodotto è del conforme alla Specifiche di Interfaccia Radio Nazionali e rispetta il Piano Nazionale delle di ripartizione frequenze en Italia. Se non Viene installato todos 'interno del fondo proprio,
l'utilizzo di prodotti inalámbrica a internet richiede una ‘Autorizzazione Generale’. Consultare http://www.sviluppoeconomico.gov.it/ por dettagli Maggiori. Letonia
El uso al aire libre de la banda de 2,4 GHz requiere una autorización de la Oficina de Comunicaciones Electrónicas. por favor, compruebe http: // www.esd.lv para más detalles.
2.4 GHz frekvenèu joslas izmantoðanai ARPUs telpâm nepiecieðama atïauja direkcijas sin Elektronisko Sakaru. Informācijas Vairak: http://www.esd.lv .
reglamentarios para las LAN inalámbricas Banda de frecuencias (MHz)
notas:
1. Aunque Noruega, Suiza y Liechtenstein no son estados miembros de la UE, la Directiva de la UE 1999/5 / CE también ha puesto en práctica en esos países.
2. Los límites regulatorios para potencia de salida máxima se especifican en EIRP. El nivel EIRP (en dBm) de un dispositivo se puede calcular mediante la adición de la ganancia de la antena utilizada
(especificado en dBi) a la potencia de salida disponible en el conector (especificado en dBm).
Advertencias de seguridad
• NO utilice este producto cerca del agua, por ejemplo, en un sótano húmedo o cerca de una piscina.
• No exponga el dispositivo a la humedad, polvo o líquidos corrosivos.
• No almacene cosas en el dispositivo.
• NO instale, uso o servicio de este dispositivo durante una tormenta eléctrica. Existe un riesgo remoto de descarga eléctrica de un rayo.
• Conectar los accesorios sólo es adecuado para el dispositivo.
• No abra el dispositivo o unidad. El abrir o quitar las cubiertas puede exponerse a puntos de alta tensión peligrosos u otros riesgos. Sólo el personal cualificado debe reparar o desmontar este dispositivo.
Por favor, póngase en contacto con su proveedor para obtener más información.
• Asegúrese de conectar los cables a los puertos correctos.
• Coloque los cables de conexión con cuidado para que nadie se va a intensificar en ellos o tropezar con ellos.
• Siempre desconecte todos los cables de este dispositivo antes de reparar o desmontar.
• Utilice solo un adaptador de alimentación adecuada o el cable para su dispositivo. Conectarlo a la tensión de alimentación correcta (por ejemplo, 110 V AC en América del Norte o CA 230V en Europa).
• NO quite el tapón y conectarlo a una toma de corriente por sí mismo; siempre conecte el enchufe para el adaptador de alimentación primero antes de conectarlo a una toma de corriente.
• NO permita que ningún objeto sobre el adaptador de alimentación o el cable y no coloque el producto donde cualquier persona puede caminar sobre el adaptador de alimentación o el cable.
• No utilice el dispositivo si el adaptador de alimentación o el cable está dañado, ya que podría causar la electrocución.
• Si el adaptador de alimentación o el cable está dañado, retírelo del dispositivo y la fuente de alimentación.
• NO intente reparar el adaptador de alimentación o el cable. Póngase en contacto con su proveedor local para pedir uno nuevo.
• No utilice el dispositivo exterior, y asegúrese de que todas las conexiones están en el interior. Existe un riesgo remoto de descarga eléctrica de un rayo.
• PRECAUCIÓN: RIESGO DE EXPLOSIÓN SI LA BATERÍA (en la placa base) se sustituye por un tipo incorrecto. DESECHE LAS BATERÍAS USADAS DE ACUERDO CON LAS INSTRUCCIONES.
Desechar ellos en el punto de recogida para el reciclaje de equipos eléctricos y electrónicos. Para obtener información detallada sobre el reciclaje de este producto, póngase en contacto con su
ayuntamiento, el punto de recogida más cercano o el establecimiento donde adquirió el producto.
• No obstruya las ranuras de ventilación del dispositivo, como insuficiente flujo de aire puede dañar el dispositivo. Descripción de los requisitos

• ZyWALL USG 20W: Antena Advertencia! Este dispositivo cumple con los requisitos de certificación del ETSI y la FCC cuando se utiliza la antena (s) incluida. Utilice sólo la antena (s) incluida.
• ZyWALL USG 20, 20W: Si montaje en pared el dispositivo, asegúrese de que no hay cables eléctricos, tuberías de gas o agua serán dañados. Su producto está marcado con este símbolo, que
se conoce como la marca WEEE. WEEE es sinónimo de residuos electrónicos y equipos eléctricos. Esto significa que los productos eléctricos y electrónicos usados no deben mezclarse con los
residuos generales. equipos eléctricos y electrónicos usados deben ser tratados por separado.
ROHS
INGLÉS DEUTSCH ESPAÑOL FRANÇAIS

Declaración del producto verde Grünes Produkt Erklärung Declaración de producto ecológico Déclaration De Producto Vert
Directiva RoHS 2011/65 / UE Cumple Richtlinie 2011/65 / UE Directiva RoHS 2011/65 / UE Directiva RoHS 2011/65 / UE
Directiva WEEE 2002/96 / CE (RAEE: Residuos de ElektroG Richtlinie 2002/96 / EG (ElektroG: Directiva RAEE 2002/96 / CE (RAEE: Directiva RAEE 2002/96 / CE (RAEE: déchets
Aparatos Eléctricos y Electrónicos) 2003/108 / CE; Über Elektro- und Elektronik-Altgeräte) Residuos de Aparatos Eléctricos y d'équipements et électriques électroniques)
2008/34 / CE 2003/108 / EG; 2008/34 / EG Electrónicos) 2003/108 / CE; 2008/34 / CE 2003/108 / CE; 2008/34 / CE
Declaración Firma: Unterschrift des Erklärenden: Nombre / Título: Raymond Huang / Calidad Firma de Declaración: Nombre / Título: Raymond Huang / División de Calidad Firma de la declaración: Nom / Titre: Raymond Huang / Calidad y
Nombre / Título: Raymond División de Servicio al Cliente / Asistente VP y / Servicio al Cliente Asistente VP. Fecha (AAAA / mm / dd): 02/01/2013 Servicio al Cliente División / Asistente VP. Fecha (AAAA / mm / jj):
y Servicio al Cliente División / Asistente VP. Fecha (aaaa / mm / dd):
Huang / Calidad y. Fecha (aaaa / mm / dd): 02/01/2013
02/01/2013 02/01/2013
ITALIANO EDERLANDS SVENSKA

Prodotto dichiarazione di Verde Productmilieuverklaring Miljödeklaration
Direttiva RoHS 2011/65 / UE Cumple Richtlijn 2011/65 / UE Cumple Direktiv 2011/65 / UE
Direttiva RAEE 2002/96 / CE (RAEE: Rifiuti di AEEA-Richtlijn 2002/96 / EG (AEEA: Afgedankte WEEE Direktiv 2002/96 / EG (WEEE: om avfall som
Apparecchiature Elettriche ed Elettroniche) Elektrische en Elektronische apparatuur) 2003/108 utgörs av Eller Innehåller Elektriska Eller elektroniska
2003/108 / CE; 2008/34 / CE / EG; 2008/34 / EG Produkter) 2003/108 / EG; 2008/34 / EG
Firma dichiarazione: Verklaringshandtekening: Naam / Título: Raymond Huang / Calidad y

Deklaration av undertecknad: NAMN / Título: Raymond Huang / Calidad y
Nombre / Titolo: Raymond División de Servicio al Cliente / Asistente VP Servicio al Cliente División / Asistente VP. Datum (jjjj / mm / dd):
Servicio al Cliente División / Asistente VP. Datum (AAAA / mm / dd):
Huang / Calidad y. Los datos (AAAA / mm / GG): 02/01/2013 02/01/2013
02/01/2013


Zywall Usg 100 v3-00 Ed2.en - Es

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Zywall Usg 100 v3-00 Ed2.en - Es

Încărcat de

Drepturi de autor:

Formate disponibile

Serie ZyWALL USG

Unified Security Gateway

Guía de inicio rápido

Login por defecto detalles

Nombre de usuario administración

Contraseña www.zyxel.com 1234

Copyright © 2013 ZyXEL Communications Corporation

LEA antes de utilizarlo. MANTENER ESTA GUÍA para

• Guía de inicio rápido

• Guía de referencia de la CLI

Nota: Se recomienda que utilice el configurador Web para configurar el ZyWALL.

• Ayuda Web configurador online

2 Guía ZyWALL USG 20-2000 del usuario

Introducción................................................. .................................................. ........................................ 5

1.1 Descripción general ................................................ .................................................. ........................................... 5

1.3 Administración general ............................................... .................................................. ...................... 9

1.4 configurador Web ............................................... .................................................. ............................. 10

1.5 Detener el ZyWALL .............................................. .................................................. ....................... 20

1.6 Montaje en rack de .............................................. .................................................. .................................. 20

1.8 Panel frontal ............................................... .................................................. ....................................... 22

Cómo configurar su red ............................................ .................................................. ............... 29

2.1 Introducción al asistente ............................................... .................................................. .............................. 29

2.3 Cómo configurar una interfaz celular ........................................... .................................................. ..32

2.4 Cómo configurar una LAN inalámbrica .......................................... .................................................. ............. 34

2.7 Cómo configurar un túnel IPv6 6to4 ......................................... .................................................. ....... 44

2.8 Cómo configurar un ...................................... IPv6-en-IPv4 túnel .................................................. ..... 48

Protección de la red ............................................... .................................................. ................... 53

3.1 Firewall ................................................ .................................................. ............................................ 53

3.2 el usuario consciente de Control de Acceso ............................................ .................................................. ................ 54

3.3 Endpoint Security (EPS) ............................................ .................................................. ..................... 55

3.4 Dispositivo de Registro y Servicio ............................................. .................................................. ........ 55

3.5 Anti-Virus configuración de políticas ............................................ .................................................. ............ 56

3.6 IDP perfil de configuración .............................................. .................................................. ................... 58

3.7 ADP perfil de configuración .............................................. .................................................. ................. 59

3.8 Contenido de configuración del filtro Perfil ............................................. .................................................. .... 61

3.9 Visualización de informes filtro de contenido ............................................. .................................................. .......... 63

3.10 Anti-Spam configuración de políticas ............................................ .................................................. ......... 66

Crear conexiones seguras a través de Internet ............................................ ................................. 69

4.1 VPN IPSec ............................................... .................................................. ....................................... 69

4.2 VPN Concentrator Ejemplo .............................................. .................................................. .............. 71

4.3 hub-and-spoke VPN IPSec VPN Sin ....................................... Concentrador ............................ 73

4.4 ZyWALL IPSec VPN Client Configuración de aprovisionamiento ........................................... ......................... 75

4.5 VPN SSL ............................................... .................................................. .......................................... 77

4.6 L2TP VPN con Android, iOS y Windows ........................................ ............................................. 79

4.7 One-Time Password Version 2 (OTPv2) ........................................ .................................................. 0.92

Gestión de Tráfico ................................................ .................................................. .............................. 95

Guía ZyWALL USG 20-2000 del usuario 3

5.1 Cómo configurar la gestión de ancho de banda ............................................ ........................................... 95

5.7 Cómo gestionar el tráfico de voz ............................................ .................................................. ............ 114

Mantenimiento ................................................. .................................................. ................................... 125

6.1 Cómo permitir el Servicio de Gestión de WAN .......................................... ..................................... 125

6.4 Cómo gestionar archivos de configuración ZyWALL ........................................... ...................................... 130

6.5 Cómo administrar ZyWALL firmware ............................................ .................................................. ..131

6.6 Cómo descargar y cargar un script de shell ......................................... ......................................... 132

6.7 Cómo cambiar un módulo de alimentación ........................................... .................................................. ....... 133

6.10 Cómo capturar paquetes en el ZyWALL .......................................... ............................................ 139

Apéndice A Información Legal .............................................. .................................................. .......... 145

4 Guía ZyWALL USG 20-2000 del usuario

1.1 Visión general

tabla 1 Características específica de los modelos

CARACTERÍSTICA ZyWALL USG

Patrulla aplicación 50, 100, 100-PLUS, 200, 300,

Anti-Virus 50, 100, 100-PLUS, 200, 300,