商务领航网关1-2和2-1配置与维护.ppt

商务领航1-2及2-1网关配置与维护,日期：,杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播,ISSUE 3.8,熟悉华三1-2和2-1的外观和版本关系 掌握常用功能的配置 掌握一些基本故障的诊断,课程目标,学习完本课程，您应该能够：,商务领航网关1-2及2-1介绍 商务领航网关的配置与维护,目录,商务领航网关家族,1-2（ICG2000B）,2-1（ICG2000）逐渐被2-1+取代,2-1+（ICG2000C）,商务领航网关1-2,WLAN天线 x 1,RESET: 长按5秒重启并恢复出厂配置 5秒以下重启,接地,控制口,WAN x 1,LAN x 4,接地,扩展槽,主天线,从天线,商务领航网关2-1,长按5秒重启并恢复出厂配置 5秒以下重启,主天线,从天线,WLAN天线 x 2,商务领航网关2-1+,WLAN天线 x 2,从天线,主天线,长按5秒重启并恢复出厂配置 5秒以下重启,控制口,WAN x 2,LAN x 8,接地,从天线,主天线,版本选择和特性差异,ICG2000X-CMW520-E1809P11.BIN,设备型号标识,版本编号,三款设备都包装自MSR，只是性能、接口有所差别。 在版本号相同的情况下，功能基本相同，配置方法完全一致。 早期2-1设备使用的是16M Flash，一些新特性入SSL VPN没有合入。,目录,商务领航网关1-2及2-1介绍 商务领航网关的配置与维护,商务领航网关的配置与维护,快速向导 设置VLAN 修改WLAN 内部服务器 地址绑定 互联网访问控制 应用限制 群组功能 内部访问隔离 QoS 3G上网 VPN-L2TP VPN-IPSec,目录,快速向导（一）,快速向导能够快速的帮你完成设备的基本配置,快速向导（二）,第一步：设置WAN口参数,快速向导（三）,第二步：设置WLAN参数,快速向导（四）,第三步：设置LAN口参数,快速向导（五）,第四步：完成配置,商务领航网关的配置与维护,快速向导 设置VLAN 修改WLAN 内部服务器 地址绑定 互联网访问控制 应用限制 群组功能 内部访问隔离 3G上网 QoS VPN-L2TP VPN-IPSec,目录,设置VLAN,无线VLAN1（默认） 0,有线VLAN2（新增） 00,有线VLAN3（新增） 0,E0/2E0/7,E0/8E0/9,ChinaNet-A780,按不同用途、不同接入方式划分VLAN可以为后续业务控制提供配置基础。,Internet,设置VLAN 2 （一）,设置VLAN 2（二）,通过相同的方法，我们可以设置VLAN3并修改VLAN1,商务领航网关的配置与维护,快速向导 设置VLAN 修改WLAN 内部服务器 地址绑定 互联网访问控制 应用限制 群组功能 内部访问隔离 3G上网 QoS VPN-L2TP VPN-IPSec,目录,修改WLAN,无线VLAN1 默认使用WEP加密,有线VLAN2,有线VLAN3,E0/2E0/7,E0/8E0/9,ChinaNet-A780,默认WLAN的接入认证密码不利于安全性和记忆，通常需要自行修改。,Internet,修改WLAN接入服务（一）,修改WLAN接入服务（二）,商务领航网关的配置与维护,快速向导 设置VLAN 修改WLAN 内部服务器 地址绑定 互联网访问控制 应用限制 群组功能 内部访问隔离 3G上网 QoS VPN-L2TP VPN-IPSec,目录,内部服务器访问需求,Internet,无线VLAN1 0,有线VLAN2 00,E0/2E0/7,E0/8E0/9,ChinaNet-A780,中小企业通常只有1个公网地址，并用在公司网络出口。通过内部服务器端口映射机制可以实现访问同一个公网地址提供多种内部服务，避免服务器所有端口暴露的安全隐患。, TCP 80端口,WAN地址： TCP 80端口映射 -TCP 80 TCP 443端口映射 -TCP 443, TCP 443端口,内部服务器设置（一）,内部服务器设置（二）,通过相同的方法，我们可以设置TCP 443端口映射到,注意: 很多时候因为内部服务器没有设置网关地址，导致外部无法访问，请仔细检查。 如在本例中，内部服务器和都要将网关设置为。,内部服务器隐藏端口,Internet,E0/8E0/9, TCP 80端口 TCP 37777端口（隐藏）,WAN地址： TCP 80端口映射 -TCP 80 TCP 37777端口映射（隐藏） -TCP 37777,有的服务器，特别是视频监控服务器，通常使用双端口，80端口提供WEB登录，利用另外一个端口（隐藏是通常不被人不了解）提供视频。,确定隐藏端口的方法： 访问客户端安装WireShark 设置好浏览器，确保打开网页所相关ActiveX插件已经安装 访问前启动WireShark抓包 进行正常访问 对抓包进行分析过滤，发现隐藏端口 根据找出的隐藏端口添加内部映射,内网PC通过域名访问内网服务器,Internet,无线VLAN1 0,有线VLAN2 00,E0/8E0/9,很多时候内部服务器也要对内部PC提供访问，访问通常是通过域名方式进行，域名访问对于互联网用户是完全没有问题的，对于内部PC访问则需要添加设置,WAN地址： TCP 80端口映射 -TCP 80, TCP 80端口 TCP 37777端口,访问,原因,解决方案,配置前准备 确定内部服务器地址及所有服务端口，本例中是假设是VLAN3中的的TCP 80和37777端口 确定需要访问内部服务器的内部PC地址范围，假设这里是VLAN2的/24和VLAN1的/24 命令行配置 命令行撤销可以使用undo命令 undo acl number 3400删除访问控制列表3400 undo nat outbound 3400可以在接口中的nat outbound 3400命令撤销,acl number 3400 rule 0 permit tcp source 55 destination 0 destination-port eq 80 rule 5 permit tcp source 55 destination 0 destination-port eq 37777 rule 10 permit tcp source 55 destination 0 destination-port eq 80 rule 15 permit tcp source 55 destination 0 destination-port eq 37777 interface vlan-interface 3 nat outbound 3400,商务领航网关的配置与维护,快速向导 设置VLAN 修改WLAN 内部服务器 地址绑定 互联网访问控制 应用限制 群组功能 内部访问隔离 3G上网 QoS VPN-L2TP VPN-IPSec,目录,地址绑定,无线VLAN1 0,有线VLAN2 00,有线VLAN3 0,E0/2E0/7,E0/8E0/9,ChinaNet-A780,内部网络安全问题日益突出，尤以ARP欺骗问题为甚，问题发生时，无法访问任何网络。,Internet,ARP扫描,操作前准备 记录内部每个PC的MAC地址和IP地址，保证操作时的准确性 在网络正常时进行ARP扫描，对所有VLAN的所有IP进行记录 网络正常时扫描才能获得完全正确的IP-MAC对应关系,通过相同的方法，我们也可以扫描VLAN1和VLAN3。,ARP固化,扫描结束后可以对扫描结果固化下来 可以将静态设置IP地址的记录固化，对于DHCP地址池中的IP可以不固化 固化前可以检查扫描结果是否和事前统计结果一致，如果不一致则说明存在ARP欺骗或者统计错误，需要仔细确认 千万不要固化错误的记录，固化错误的后果和欺骗是一致的,商务领航网关的配置与维护,快速向导 设置VLAN 修改WLAN 内部服务器 地址绑定 互联网访问控制 应用限制 群组功能 内部访问隔离 3G上网 QoS VPN-L2TP VPN-IPSec,目录,互联网访问控制（一）,无线VLAN1 0,有线VLAN2 00,有线VLAN3 0,E0/2E0/7,E0/8E0/9,ChinaNet-A780,有些PC因为信息安全原因，是不允许访问互联网的。,Internet,0,0,互联网访问控制（二）,有人使用根据时间访问控制无效果？ 原因在于设备系统时间不准确，1-2、2-1无内置电池，设备重启后时间恢复成2007年1月1日。,解决方案NTP网络时间服务器,互联网中有一些熟知的NTP服务器，对外提供时间同步工作： 比较著名的如和 这些服务器都是分布式的，有诸多IP地址提供服务 这些服务器提供的多是格林威治时间，调整为北京时间还需设置时区修正 如果设备解析或失败，可以使用如下几条命令替代：,display clock ntp-service unicast-server ntp-service unicast-server clock timezone BeiJing add 8:00:00 display clock,display clock ntp-service unicast-server ntp-service unicast-server clock timezone BeiJing add 8:00:00 display clock,URL过滤,有时候需要对所有员工访问WEB进行限制，如限制访问开心网，人人网等。,商务领航网关的配置与维护,快速向导 设置VLAN 修改WLAN 内部服务器 地址绑定 互联网访问控制 应用限制 群组功能 内部访问隔离 3G上网 QoS VPN-L2TP VPN-IPSec,目录,应用限制,无线VLAN1 0,有线VLAN2 00,有线VLAN3 0,E0/2E0/7,E0/8E0/9,ChinaNet-A780,因为信息安全原因，允许员工上网，但是限制所有PC使用QQ、MSN、BT、电驴等应用。,Internet,加载特征码进行应用限制（一）,加载特征码进行应用限制（二）,应用后会对新连接采取阻断行为，对于已经存在的连接不会生效,商务领航网关的配置与维护,快速向导 设置VLAN 修改WLAN 内部服务器 地址绑定 互联网访问控制 应用限制 群组功能 内部访问隔离 QoS 3G上网 VPN-L2TP VPN-IPSec,目录,群组功能,无线VLAN1 0,有线VLAN2 00,有线VLAN3 0,E0/2E0/7,E0/8E0/9,ChinaNet-A780,对主管网络行为不进行限制，只是对部分员工要进行限制，可以对限制员工PC建立群组，对该群组进行限制。,Internet,0,0,建立群组,群组访问控制和应用控制,群组带宽和包过滤防火墙,商务领航网关的配置与维护,快速向导 设置VLAN 修改WLAN 内部服务器 地址绑定 互联网访问控制 应用限制 群组功能 内部访问隔离 QoS 3G上网 VPN-L2TP VPN-IPSec,目录,内部访问隔离,无线VLAN1 0,有线VLAN2 00,有线VLAN3 0,E0/2E0/7,E0/8E0/9,ChinaNet-A780,某些公司内部信息比较机密，要求无线VLAN1和VLAN2、VLAN3不允许相互访问，VLAN2能够访问VLAN3，但VLAN3不允许访问VLAN2。,Internet,内部访问隔离配置（一）,传统的网络控制都是限制互联网应用，对于局域网之间的隔离考虑较少 双向隔离，双方不能互访，可以采用简单的包过滤防火墙 单向隔离，流量是双向的，但只能从一侧对另一侧发起访问，要使用更高级的应用状态包过滤技术ASPF 限制VLAN1和VLAN2、VLAN3互访 vlan1网段/24 vlan2网段/24 vlan3网段/24,firewall enable acl number 2300 rule 0 deny source 55 interface vlan-interface 2 firewall packet-filter 2300 outbound interface vlan-interface 3 firewall packet-filter 2300 outbound,内部访问隔离配置（二）,VLAN2可以访问VLan3，但VLAN3不能访问VLAN2 vlan2网段/24 vlan3网段/24 ASPF原理 LAN3禁止/24主动发起任何访问 建立ASPF策略，探测TCP和UDP 在LAN3接口应用ASPF，探测访问LAN3方向的TCP、UDP连接，为该连接建立允许规则 LAN3的回复数据匹配允许规则，而可以到达LAN2,firewall enable acl number 2301 rule 0 deny aspf-policy 1 detect tcp detect udp interface vlan-interface 3 firewall packet-filter 2301 inbound firewall aspf 1 outbound,商务领航网关的配置与维护,快速向导 设置VLAN 修改WLAN 内部服务器 地址绑定 互联网访问控制 应用限制 群组功能 内部访问隔离 QoS 3G上网 VPN-L2TP VPN-IPSec,目录,QoS,无线VLAN1 0,有线VLAN2 00,有线VLAN3 0,E0/2E0/7,E0/8E0/9,ChinaNet-A780,QoS应用可以灵活的对网段或者每个IP进行带宽限速和带宽保证。,Internet,0,0,每IP限速,有的员工因为下载或游戏占用过多带宽，使其余PC工作带宽不够用 可以使用每IP限速，将每个IP所占用的最大上下行带宽控制在合理的范围 经验值下载1M，上传512K 可以指定为某地址范围灵活限速,高级带宽限速（一）,高级带宽限速可以对数据流进行精确匹配，从而使限速行为更为灵活有效。,”匹配条件“设置待续,高级带宽限速（二）,注意： 可以对限制带宽的时间做设置，但是要保证设备时间的准确性。 可以限制指定协议的流量，但是只能选择其中的一项协议（下面的五个应用总共算一项），也就是说只能在上面的8种协议中选择一种打钩，或者在下面的5种应用程序中选择任意几种打钩。,高级带宽保证（一）,高级带宽保证可以对数据流进行精确匹配，从而使带宽保证行为更为灵活有效。,高级带宽保证（二）,定义数据流的配置如之前的高级带宽限速中的配置。,商务领航网关的配置与维护,快速向导 设置VLAN 修改WLAN 内部服务器 地址绑定 互联网访问控制 应用限制 群组功能 内部访问隔离 QoS 3G上网 VPN-L2TP VPN-IPSec,目录,3G上网,无线VLAN1 0,有线VLAN2 00,有线VLAN3 0,E0/2E0/7,E0/8E0/9,ChinaNet-A780,商务领航网关通过插USB EVDO上网卡可以连入3G网络，实现更灵活、更可靠的接入组合。,Internet,主用WAN上行,EVDO上行备份,查看3G上网卡是否能够被识别,配置拨号参数,配置备份路由,商务领航网关的配置与维护,快速向导 设置VLAN 修改WLAN 内部服务器 地址绑定 互联网访问控制 应用限制 群组功能 内部访问隔离 QoS 3G上网 VPN-L2TP VPN-IPSec,目录,L2TP,无线VLAN1 0,有线VLAN2 00,有线VLAN3 0,E0/2E0/7,E0/8E0/9,ChinaNet-A780,针对一些驻外人员或出差员工，提供拨号方式访问内部网络。VPN用户可以和内网用户同一网段，也可以不同网段。,Internet,L2TP拨号客户端 000,L2TP隧道,WAN地址 VPN网关地址借用VLAN1接口地址,L2TP配置（一）,配置拨号用户名、密码，此示例中均为pc 设置拨号域，此例中为ct10000，拨号客户端使用用户名pcct10000进行拨号 在域中设置VPN地址段000，假设和VLAN1同一网段 设置L2TP虚模板 接口地址借用VLAN1接口地址 接口认证使用PPP CHAP,local-user pc password simple pc service-type ppp,local-user pc password simple pc service-type ppp,interface virtual-template 0 ip address unnumbered interface Vlan-interface1 ppp authentication-mode chap remote-address pool,L2TP配置（二）,配置L2TP 由于VPN网段和VLAN1在同一网段，为使VPN和VLAN1能够互访必须在VLAN1接口使能代理ARP 如果VPN和各VLAN在不同网段则可以不用使能代理ARP 如使用到0作为VPN地址段 虚模板使用作为地址,l2tp enable l2tp-group 1 undo tunnel authentication allow l2tp virtual-template 0,interface vlan-interface 1 proxy-arp enable,domain ct10000 ip pool 0 0 interface virtual-template 0 ip address ppp authentication-mode chap remote-address pool,Windows设置L2TP拨号（一）,PC导入注册表文件ProhibitIpSec.reg，重启PC生效 Windows的L2TP默认是带IPSec拨号，无法和网关兼容 导入后开始设置网络连接,Windows设置L2TP拨号（二）,Windows设置L2TP拨号（三）,Windows设置L2TP拨号（四）,Windows设置L2TP拨号（五）,Windows设置L2TP拨号（六）,Windows设置L2TP拨号（七）,Windows设置L2TP拨号（八）,商务领航网关的配置与维护,快速向导 设置VLAN 修改WLAN 内部服务器 地址绑定 互联网访问控制 应用限制 群组功能 内部访问隔离 QoS 3G上网 VPN-L2TP VPN-IPSec,目录,IPsec VPN,无线VLAN1 192.168