华三安全网关U200C开局指导书(20110309).doc

泉州移动安全网关 H3C U200-C开局指导书（V1.0） H3C Technologies Co., Ltd. 杭州华三通信技术有限公司 http:/ All rights reserved 版权所有 侵权必究 I 目 录 一、概述.1二、设备开通.11、连接设备.22、配置IP、网关、DNS等信息、DHCP.23、禁PING.34、开启ARP防护.3 5、端口映射.46、无线组网47、保存配置5三、网管配置.5 四、流控配置.6 五、开通信息收集.61 概述 该文档介绍了安全网关U200-C的基本配置，用户可以通过简单的几个步骤就可配置完成，将该设备应用于实际环境，并发挥其防火墙和深度检测的功能。2 设备开通2.1连接设备面板示意图U200-C注意：如果设备没有CF卡，则无法启用防病毒及防攻击等深度安全检测功能；只能做防火墙使用。PWR、SYS、CF卡指示灯CF卡插槽Console/AUX接口业务U200-C无线发射建立有线连接请按照以下步骤连接本产品。(1) 用一条网线连接本产品的WAN接口GE0/0 和入户信息点（以太网端口）。(2) 用一条网线连接本产品的LAN 接口（GE0/2GE0/4）和计算机的以太网接口缺省开启DHCP功能，网段为：/24。登录Web配置界面登录配置界面的步骤如下：（请确定设备的LAN接口与计算机网线连接正常）(1)PC接入G0/2-G0/4任意一个接口，等待自动获取到192.168.1.X段的IP地址：(2)浏览器的地址栏输入“”，按回车键。浏览器将弹出登录窗口，如下图所示：在登录窗口中输入用户名和密码（缺省用户名为“admin”，缺省密码为“admin”），以及验证码，然后点击【登录】按钮。密码验证通过后即可进入本产品的配置界面，如下图所示。 2.2配置IP、网关、DNS等信息、DHCP 使用快速配置向导，将帮助你完成设备的基本配置，包括设置LAN 口的DHCP 功能和WAN 口的配置。具体配置步骤如下所示：(1) 在本产品配置界面左侧的导航栏中选择【配置向导】，如下图所示：(2) 点击【下一步】，配置DHCP 功能，使用户可以自动或获取IP 地址，如下图所示（以下配置不用修改）： (3) 点击【下一步】按钮，配置WAN 口的参数，默认WAN口为GE0/0，如下图所示：(4) 点击【下一步】按钮，显示配置的信息，如下图所示：2.3禁PING外网接口 命令行模式:acl number 3010 rule 0 permit icmp destination 0 55(外网接口地址)#traffic classifier 1 operator and if-match acl 3010#traffic behavior 1 filter deny#qos policy 1 classifier 1 behavior 1#H3C-GigabitEthernet0/0qos apply policy 1 outbound /外网口2.4开启ARP防护2.5端口映射2.6无线组网 添加新的无线网络(1) 在左侧的导航栏中选择【接口配置】【无线设置】【接入服务】，点击【新建】按钮，如下图所示：(2) 在步骤1 中单击【确定】按钮，配置界面中出现高级设置和安全设置菜单，如下图所示：(3) 在左侧的导航栏中选择【接口配置】【无线设置】【接入服务】，使能新建无线服务，如下图所示：(4) 打开客户端的无线网络【属性】页签，如下图所示：(5) 点击【属性】，打开无线服务“属性”页签，如下图所示：输入网络密钥“12345”，更改密钥索引为“2”，保证与设备上配置的一致。缺省密钥索引为“1”。(6) 点击确定按钮完成设置，可以看到客户端成功连接到无线网络，如下图所示：2.7保存配置3 网管配置华三U200-C安全网关设备的默认IP地址为。PC机要与设备IP地址在同一网段。PC机通过网线连接设备Gi0/2-4网口，在PC机浏览器中输入默认地址：。接入登录Web 配置界面。管理员的用户名缺省是admin、密码缺省admin。设备开启SNMP网管左侧导航栏中选择【系统管理】【SNMP】，如下图：开启SNMP，版本V1&V2。SNMP只读口令为qzmcc，SNMP读写口令为。SNMP信任主机和TRAP接收主机为6。联系信息填写集团客户全称，设备位置填写集团客户地址，系统名称默认。开通调试人员配置以上参数后，按照3.1接入流程的附件格式填写“华三安全网关接入网管申请表”，并提交给专线监控值班人员，由专线监控值班人员添加到华三集中网管平台。安装SecCenter网管软件在哪台主机192.168.100.X上安装好网管SecCenter软件后，以IE浏览器访问http:/ 192.168.100.X，输入默认用户名为admin，密码为admin1，即可登陆SecCenter网管。网管SecCenter上添加U200-C设备选择“系统管理 设备管理 设备列表 添加设备”界面，“设备主机名或IP地址”为U200-C设备和主机可通的IP地址42，输入设备标签。如果U200-C的系统时区为UTC，则“时间矫正”选择默认的“以格林威治时钟处理”，其他选项采用默认配置即可。进入UTM管理组件，在界面左侧的导航栏中选择“系统管理 设备管理”，默认进入“设备管理”页签的页面，点击按钮。页面跳转到“添加设备”的页签，添加设备为UTM设备。添加设备为UTM设备在配置完设备并在H3C SecCenter上添加对应UTM设备后，整个SecCenter系统的配置基本完成，即可进行业务操作。4 流量控制流量管理规则,列表P2P/BT下载（限制）ICMP（保障）IMS（SIP）（保障）2M父通道限制到1.5M，单用户限速80KB保障0.5M，最高可达1M保障0.5M，最高可达1M4M父通道限制到3M，单用户限速1M保障1M，最高可达1M保障2M，最高可达2M6M父通道限制到5M，单用户限速1M保障1M，最高可达1M保障2M，最高可达2M8M父通道限制到7M，单用户限速1M保障1M，最高可达1M保障2M，最高可达2M10M父通道限制到8M，单用户限速1M保障1M，最高可达1M保障2M，最高可达2M10M父通道限制到80%，单用户限速1M保障1M，最高可达1M保障2M，最高可达2M注：除80KB外，其它流量单位均有bps注：IMS带宽保障根据原预留带宽配置，例如专线带宽8M，为IMS分配2M，为CMNET分配6M2M带宽为例 P2P/BT下载（限制）：父通道限制到1.5M，单用户限速80KB高级设置-QOS设置-新建网段带宽限速ICMP（保障）: 保障0.5M，最高可达1MIMS（SIP）（保障）: 保障0.5M，最高可达1M4M带宽为例 P2P/BT下载（限制）：父通道限制到3M，单用户限速1M高级设置-QOS设置-新建网段带宽限速ICMP（保障）: 保障1M，最高可达1MIMS（SIP）（保障）: 保障2M，最高可达2M6M带宽为例 P2P/BT下载（限制）：父通道限制到5M，单用户限速1M高级设置-QOS设置-新建网段带宽限速ICMP（保障）: 保障1M，最高可达1MIMS（SIP）（保障）: 保障2M，最高可达2M8M带宽为例 P2P/BT下载（限制）：父通道限制到7M，单用户限速1M高级设置-QOS设置-新建网段带宽限速ICMP（保障）: 保障1M，最高可达1MIMS（SIP）（保障）: 保障2M，最高可达2M10M带宽为例 P2P/BT下载（限制）：父通道限制到8M，单用户限速1M高级设置-QOS设置-新建网段带宽限速ICMP（保障）: 保障1M，