管理员培训资料版ver

广汽本田特约店销售服务店 系统管理员培训手册 第 部分 特约店管理员培训手册 广汽本田汽车有限公司 2010 年 2 月 目目 录录 特约店管理员培训手册特约店管理员培训手册 1 第一章第一章 网络基础知识网络基础知识 3 1 基础概念基础概念 3 2 OSI 模型与模型与 TCP IP 模型模型 4 3 VPN 介绍介绍 6 第二章第二章 网络拓扑架构网络拓扑架构 7 1 广域网网络连接广域网网络连接 7 2 局域网网络连接局域网网络连接 8 3 特约店特约店 IP 地址规划地址规划 8 第三章第三章 防火墙基本配置防火墙基本配置 9 1 实验操作实验操作 9 第四章第四章 防火墙策略配置防火墙策略配置 11 1 策略规划策略规划 11 2 实验操作实验操作 12 第五章第五章 无线局域网建设无线局域网建设 13 1 通信协议分析比较通信协议分析比较 13 2 无线网络安全认证过程无线网络安全认证过程 13 第一章第一章 网络基础知识网络基础知识 1 基础概念基础概念 MAC 地址地址 MAC 地址 是在媒体接入层上使用的地址 俗称物理地址 是识别 LAN 局域网 节点的标识 MAC 地址的长度为 48 位 如 00 15 54 2E 82 BC 由网络设备制造商生产时写在硬件内部 IP 地址地址 IP 地址 指使用 TCP IP 协议指定给主机的 32 位地址 俗称逻辑地址 IP 地址由网络地址和主机 地址两部分组成 网络地址用于路由选择 主机地址用于在网络或子网内部寻找一个单独的主机 如 IP 地址 例 172 16 123 1 IP 地址分类地址分类 类别 网络号N 主机号 HN2 N3 H2 H3取值 AN1 H2 H3 H400000000 01111111 0 1270 255 BN1 N2 H3 H410000000 10111111 128 1910 255 CN1 N2 N3 H411000000 11011111 192 2230 255 D E N1取值 用于组播 前4位以1110引导 1110 xxxx xxxxxxxx xxxxxxxx xxxxxxxx 用于研究 前5位以11110引导 11110 xxx xxxxxxxx xxxxxxxx xxxxxxxx 特殊的特殊的 IP 地址地址 网络地址 主机号全为 0 的 IP 地址表示某网络号的网络本身 例 192 168 1 0 广播地址 主机号各位全为 1 的 IP 地址 例 172 16 123 255 24 代表该网络的所有主机 未知地址 0 0 0 0 在路由器配置中 表示为默认路由 私有地址私有地址 A 类10 0 0 0 10 255 255 255 B 类172 16 0 0 172 31 255 255 C 类192 168 0 0 192 168 255 255 NAT NAT Network Address Translation 网络地址转换 是一种把内部私有网络地址 IP 地址 翻 译成合法网络 IP 地址的技术 子网与子网掩码子网与子网掩码 子网 是指从有类别网络中划分出来的较小的网络 子网掩码 是一个 32 位地址 其作用是屏蔽 IP 地址的一部分以区分网络标识和主机标识 如 A 类网络的子网掩码为 255 0 0 0 B 类网络为 255 255 0 0 C 类网络地址为 255 255 255 0 VLSM VLSM 变长子网掩码 用于在同一网络中实现多层子网化 IP 地址 功能同一网络可以有多个子网 掩码 可以将子网进一步划分成多个子网 例 172 16 1 0 24 是 172 16 0 0 16 的子网 用子网 掩码 29 可进一步将 172 16 1 0 24 划分成 32 2 5 个子网 如 172 16 1 248 29 ARP RARP ARP 地址解析协议 负责把更高层的协议地址 IP 地址 转换为物理网络地址 即 IP 地址 MAC 地址 RARP 逆向地址解析协议 负责把物理网络地址转化为 IP 地址 即 MAC 地址 IP 地址 2 OSI 模型与模型与 TCP IP 模型模型 OSI 七层模型七层模型 O OS SI I模模型型 该该层层的的任任务务设设备备 协协议议 O OS SI I模模型型 该该层层的的任任务务设设备备 协协议议 TCP IP 模型模型 O OS SI I模模型型T TC CP P I IP P模模型型数数据据单单元元相相应应设设备备 应用层数据 Data防火墙 表示层数据 Data 会话层数据 Data 传输层传传输输层层 TCP UDP段段 S Se eg gm me en nt ts s四层交换机 网络层 网网络络层层 IP路由协议 如RIP ICMP ARP RARP 包包 P Pa ac ck ke et ts s 路由器 三层交 换机 防火墙 链路层帧帧 F Fr ra am me es s交换机 网桥 物理层比比特特流流 B Bi it ts s网卡 网线 应应用用层层 Ftp Telnet SMTP SNMP NFS 网网络络接接口口层层 数据包的封装数据包的封装 TCP报报头头 上上层层数数据据 IP报报头头 帧帧报报头头 TCP报报头头 上上层层数数据据上上层层数数据据 IP报报头头 帧帧报报头头 3 VPN 介绍介绍 VPN 的定义的定义 VPN Virtual Private Network 虚拟专用网 通过一个公用网络 通常是因特网 建立一个临时的 安全的连接 是一条穿过混乱的公用网络的安 全 稳定的隧道 VPN 的分类与加密算法的分类与加密算法 根据 OSI 分层模型 VPN 可以在第二层建立 也可以在第三层建立 甚至在更高层的 VPN 第二层隧道协议 这包括点到点隧道协议 PPTP 第二层转发协议 L2F 第二层隧道协议 L2TP 多协议标记交换 MPLS 等 第三层隧道协议 这包括通用路由封装协议 GRE IP 安全 IPSec 这是目前最流行的两种三层 协议 第二层和第三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装 IPSec 定义定义 IPSec IP Security 是由 IETF Internet 工程任务组 定义的安全标准框架 用以提供公用和专 用网络的端对端加密和验证服务 IPSec 的优点的优点 IPSec 面向协议堆栈的的网络层 对于应用程序来说是透明的 因而企业可以利用 IPSec 服务 而 无需修改应用程序以及 PC 或路由器等终端站 IPSec 还可与现有应用程序层安全解决方法配合使用 AH 和和 ESP IPSec 提供了两个主要元素用以保护网络通信 AH 验证头 实现了数据发送方的验证处理 用以确保数据既对于未经验证的站点不可用 也不 能在路由过程中更改 ESP 封闭安全负载 实现了发送方的验证处理和数据加密处理 用以确保数据不会被拦截 查看 或复制 第二章第二章 网络拓扑架构网络拓扑架构 1 广域网网络连接广域网网络连接 V VP PN N通通道道 1 2 3 V VP PN N通通道道 1 2 3 V VP PN N通通道道 1 2 3 客户端访问服务器过程 1 由特约店端防火墙与广本端防火墙建立恒定的 VPN 通道 2 使用动态密码卡通过 RSA 认证 3 登陆 G TECH DCS 传送服务器 2 局域网网络连接局域网网络连接 Console口用于 设备管理配置 F0 3 F0 6口用于网 吧区连接 LAN口 F0 0口用于互联 网连接 WAN口 F0 1 F0 2口用于 办公区连接 LAN口 F0 1 F0 2级联交换 机分接办公区电脑 F0 3 F0 6分 接网吧区电脑 通过防火墙安 全策略 实现 控制与管理 Console口用于 设备管理配置 F0 3 F0 6口用于网 吧区连接 LAN口 F0 0口用于互联 网连接 WAN口 F0 1 F0 2口用于 办公区连接 LAN口 F0 1 F0 2级联交换 机分接办公区电脑 F0 3 F0 6分 接网吧区电脑 通过防火墙安 全策略 实现 控制与管理 3 特约店特约店 IP 地址规划地址规划 DHCP自动分配 172 16 99 60 172 16 99 250 网吧 DMZ 网吧区 2 172 18 X 51 172 18 X 59 零部件管 理 172 18 X 41 172 18 X 50 售后服务 允许DHCP自动分配 172 18 X 60 172 18 X 250 172 18 X 31 172 18 X 40 整车销售 172 18 X 30 Office01 INTERNET地址组 172 18 X 21 172 18 X 29 172 18 X 20 Netadmin 行政办公 1 17 72 2 1 18 8 X X 8 8DMS 1 17 72 2 1 18 8 X X 3 3Gtech GHACVPN地址组 1 17 72 2 1 18 8 X X 2 2DCS 管理防火墙IP 172 18 X 4 172 18 X 10 1 17 72 2 1 18 8 X X 1 1 Juniper SSG5 Trust 办公区 1 预预留留分分配配范范围围已已分分配配 备备注注 特特约约店店I IP P地地址址规规划划 服服务务器器及及 相相关关部部门门 子子网网 划划分分 N NO O DHCP自动分配 172 16 99 60 172 16 99 250 网吧 DMZ 网吧区 2 172 18 X 51 172 18 X 59 零部件管 理 172 18 X 41 172 18 X 50 售后服务 允许DHCP自动分配 172 18 X 60 172 18 X 250 172 18 X 31 172 18 X 40 整车销售 172 18 X 30 Office01 INTERNET地址组 172 18 X 21 172 18 X 29 172 18 X 20 Netadmin 行政办公 1 17 72 2 1 18 8 X X 8 8DMS 1 17 72 2 1 18 8 X X 3 3Gtech GHACVPN地址组 1 17 72 2 1 18 8 X X 2 2DCS 管理防火墙IP 172 18 X 4 172 18 X 10 1 17 72 2 1 18 8 X X 1 1 Juniper SSG5 Trust 办公区 1 预预留留分分配配范范围围已已分分配配 备备注注 特特约约店店I IP P地地址址规规划划 服服务务器器及及 相相关关部部门门 子子网网 划划分分 N NO O 第三章第三章 防火墙基本配置防火墙基本配置 1 实验操作实验操作 一 接线方式 确认网卡自动获取 IP 地址 接入防火墙 F0 2 ipconfig 检查网关地址 192 168 1 1 二 登录方式 WEB http 192 168 1 1 Telnet telnet 192 168 1 1 Console 超级终端 三 用户名与密码 用户名 netscreen 密码 netscreen 四 修改用户密码 Configuration Admin Administrators Edit Old Password 输入旧密码 New Password 输入新密码 Confirm New Password 确认新密码 五 建立 只读 用户 Configuration Admin Administrators Configuration Administrator Name 输入用户名 New Password 输入新密码 Confirm New Password 确认新密码 Privileges 选择 Read Only 六 同步时间 Configuration Date Time 选择 Sync Clock With client 七 备份与恢复配置文件 Configuration Update Config File 备份 Save To File 选定配置文件路径 恢复 选择 Replace Current Configuration New Configuration File 选定配置文件路径 八 查看日志 Reports System Log Event Reports Policies 九 查看 ARP 列表 Telnet 登录后 get arp 十 映射逻辑端口与物理端口 Network Interfaces Edit Bind Port Bind to Current Bgroup 选择相应的物理端口 十一 关闭 启用 WEB 管理窗口 Network Interfaces Edit 关闭 Management Services 反选 Web UI 开启 Telnet 登录后 set interface bgroup1 manage web 十二 设置 WEB 管理端口 Configuration Admin Management HTTP Port 输入端口号 80 十三 设置 DHCP IP 地址自动分派 Network DHCP DHCP Server Address Edit Dynamic IP Address Start 输入起始 IP IP Address End 输入终止 IP 十四 绑定 IP 地址 Network DHCP DHCP Server Address Edit Reserved IP Address 绑定的 IP 地址 Ethernet Address 绑定的 MAC 地址 十五 设置外网端口 电话线接入 Network PPPoE Edit PPPoE Instance PPPoE 名称 Bound to Interface 选择 ethernet0 0 Username ADSl 帐户名 Password ADSL 帐户密码 Network Interfaces Edit ethernet0 0 选择 Obtain IP using PPPoE 选择 PPPoE 名称 Network DHCP Edit DNS 1 填写当地电信的 DNS 十六 设置外网端口 光线接入 Network Interfaces Edit ethernet0 0 选择 Static IP 输入 IP Address Netmask IP 地址 掩码 Network Routing Routing Entries Configuration Next Hop 选择 Gateway IP Address Netmask IP 地址 掩码 Interface 选择 ethernet0 0 Gateway IP Address 电信 联通提供的 网关地址 Network DHCP Edit DNS 1 填写当地电信的 DNS 第四章第四章 防火墙策略配置防火墙策略配置 1 策略规划策略规划 设备分区Untrust 不可信任区 Trust 可信任区 DMZ 非军事区 半信任区 网络分区互联网办公区 局域网 网吧区 局域网 设备接口F0 0F0 1 F0 2F0 3 F0 6 IP网段公网地址172 18 1 0 24172 16 99 0 24 DHCP范围 172 18 1 60 250172 16 99 60 250 GHAC DCS 192 168 1 33DCS 172 18 1 2 GHAC Gtech 192 168 1 26 Gtech 172 18 1 3 DMS 172 18 1 8 FW 172 18 1 1 具体应用 网络区域划分及应用 1 2 4 3 5 设备分区Untrust 不可信任区 Trust 可信任区 DMZ 非军事区 半信任区 网络分区互联网办公区 局域网 网吧区 局域网 设备接口F0 0F0 1 F0 2F0 3 F0 6 IP网段公网地址172 18 1 0 24172 16 99 0 24 DHCP范围 172 18 1 60 250172 16 99 60 250 GHAC DCS 192 168 1 33DCS 172 18 1 2 GHAC Gtech 192 168 1 26 Gtech 172 18 1 3 DMS 172 18 1 8 FW 172 18 1 1 具体应用 网络区域划分及应用 1 2 4 3 5 1 2 4 3 5 SourceDestinationServiceAction 源地址目标地址协议端口允许 禁止 1trust 办公区 DMZ 网吧区 anypermit 2DMZ 网吧区 trust 办公区 anydeny 3trust 办公区 untrust 互联网 anypermit 4untrust 互联网 trust 办公区 anydeny 5trust 办公区 DCS Gtech 互联网 anypermit NO 防火墙策略制定 2 实验操作实验操作 一 建立用户 Objects Addresses Configuration Address Name 用户名称 IP Address Netmask IP 地址 掩码 Zone 分区 二 用户分组 Objects Addresses Groups Configuration Zone 选择分区 Group Name 组名 Group Menbers 组成员 Available Members 可选用户 三 定制服务 Objects Services Custom Edit Service Name 服务名称 Transport protocol 协议类型 Source Port 起始端口 Destination Port 终止 端口 四 服务分组 Objects Services Groups Configuration Group Name 组名 Group Menbers 组成员 Available Members 可选服务 五 制定安全策略 Policies From To From 源分区 To 目标分区 点击 go Name 策略名称 Source Address 源地址 Destination Address 目标地址 Service 服务 Action 动 作 Policies Move Move location 策略排序 六 限定上网时间 制定时间表 Objects Schedule Edit Schedule Name 时间表 选择 Recurring Start Time 起始时间 End Time 结束时间 应用时间表 Policies From To 选中策略点击 Edit 点击 Advanced 进入 Advanced Policy Settings Schedule 选择 时间表 七 限定上网带宽 策略限定 Policies From To 选中策略点击 Edit 点击 Advanced 进入 Advanced Policy Settings 选择 Traffic Shaping Maximum Bandwidth 最大带宽 端口限定 Network Interfaces Edit 选择 Traf