HC110310007-HCNA-Security-CBSN-第七章-防火墙网络互联技术V2.0

1、Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 0修订记录课程编码课程编码适用产品适用产品产品版本产品版本课程版本课程版本ISSUEHC110310007华为防火墙V300R001V2.0开发开发/优化者优化者时间时间审核人审核人开发类型（新开发开发类型（新开发/优化）优化）陈灵光2011.7余雷第一版王锐2013.5余雷第二版本页不打印Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. 第七章 防火墙网络互联技术Copy

2、right 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 2目标l学完本课程后，您将能够:p掌握VLAN的基本技术p掌握SA与E1广域接口技术p掌握ADSL的基本技术p掌握WLAN与3G无线技术Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 3目录1.1. VLANVLAN特性技术特性技术2. WLAN特性技术3. 广域网接口技术Copyright 2010 Huawei Technologies Co., Ltd. All

3、rights reserved. Page 4广广 播播 域域VLAN产生背景广播风暴Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 5广播域广播域广播域广播域通过VLAN划分广播域Port 1 : VLAN-1Port 2 : VLAN-2Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 6VLAN帧格式DASATYPEDATACRCDASATAGTYPEDATACRC标准以太网帧带有IEEE802.1Q标记

4、以太网帧0 x8100PRICFIVLAN IDTPIDTCICopyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 7以太网交换机端口分类lAccess端口lTrunk端口lHybrid端口缺省缺省ID（PVID)作用是什么？作用是什么？Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 8Access-Link配置l默认情况下，交换机所有端口都是Access-Link端口，并属于VLAN-1，即PVID (Port

5、VLAN ID)为1Port-0/1 : VLAN3Port-0/2 : VLAN3l配置端口类型： port link-type accessl 创建VLAN： vlan 3l 向VLAN中添加端口： port ethernet 0/1l 或将端口加入VLAN： port access vlan 3Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 9Trunk-Link配置l负责传输多个VLAN的数据lTrunk-Link端口PVID默认为1l配置端口类型：port link-type trunkl配

6、置Trunk-Link所允许传递VLAN：port trunk permit vlan alll配置Trunk-Link端口PVID：port trunk pvid 1Port-0/3 Port-0/3Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 10Hybrid-Link配置l负责传输多个VLAN的数据，并确定是否剥离TaglHybrid-Link端口PVID默认为1l配置端口类型： port link-type hybridl配置hybrid端口允许通过的VLAN信息及PVID ： port h

7、ybrid pvid 1 vlan 10 to 20 taggedPort-0/3 Port-0/3Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 11VLAN接口配置（Web）选择接口的连接类型Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 12VLAN间路由l不同VLAN之间的流量不能直接跨越VLAN的边界，需要通过三层设备 ，将报文从一个VLAN转发到另外一个VLAN。VLAN 100VLAN 200V

8、LAN 300Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 13目录1. VLAN特性技术2. WLAN特性技术特性技术3. 广域网接口技术Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 14WLAN概述lWLAN （Wireless Local Area Network，无线局域网)服务内容包括：p应用具有无线局域网功能的设备建立无线网络，带有无线网卡的用户可以连接到无线网络，并能够接入固定网络或因特网。

9、p无线用户可以访问传统802.3局域网。p使用不同认证和加密方式，安全地访问WLAN。p为无线用户提供安全的网络接入和移动区域内的无缝漫游 。WLAN, WIFI, WLAN, WIFI, 802.11802.11是一个概念。是一个概念。Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 15WLAN基本概念l无线客户端lAPl开放系统认证l共享密钥认证lWEP加密lTKIP加密l客户端l无线路由器lAES加密lWPACopyright 2010 Huawei Technologies Co., Ltd.

10、 All rights reserved. Page 16WLAN基本概念l无线客户端lAPl开放系统认证l共享密钥认证lWEP加密lTKIP加密l客户端l无线路由器lAES加密lWPACopyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 17WLAN配置举例 (命令行)l组网需求pAP通过Ethernet0/0/0接口（已经加入非信任区域）连接Router。pEthernet0/0/0有固定IP地址：/24；Router上Ethernet1/0/0的IP地址为202.169.10.

11、2/24。pStation的IP地址分别为/24和/24。pStation使用无线网卡连接到AP（USG），SSID为WLAN100。p使用WPA2-PSK认证模式，CCMP加密套件，预共享（PSK）密钥为abcdefghp要求通过配置WLAN，实现Station的无线上网 Ethernet 1/0/0Ethernet 0/0/0APWLAN-BSS2StationStationCopyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 18WLAN配置举例(Web)l

12、无线服务的安全模式： p不加密 pWEPpWPA、WPA2pWPA-PSK、WPA2-PSKpWPA-WPA2pWPA-WPA2-PSK采用加密方式的安全模式。Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 19WLAN配置举例(Web)决定了射频信号的属性，如能量级别、信道总数和信道分布。无线局域网使用的802.11协议类型有：802.11a 、802.11an、802.11b 、802.11g 、802.11gn当设置为“auto”时，每当设备重启、射频类型变化、射频接口关闭再开启时，都会重新扫描

13、信道，选择一个空闲的信道使用。Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 20WLAN配置举例(Web)决定了射频信号的属性，如能量级别、信道总数和信道分布。无线局域网使用的802.11协议类型有：802.11a 、802.11an、802.11b 、802.11g 、802.11gn当设置为“auto”时，每当设备重启、射频类型变化、射频接口关闭再开启时，都会重新扫描信道，选择一个空闲的信道使用。Copyright 2010 Huawei Technologies Co., Ltd. All r

14、ights reserved. Page 21目录1. VLAN特性技术2. WLAN特性技术3. 广域网接口技术广域网接口技术Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 22什么是SA串口l串口是最常用的广域网接口之一，分为同步串口和异步串口；lSA可以工作在DTE和DCE两种方式；lSA作为上行接口，链路上可以承载多种类型的业务，如HTTP、FTP等；lSA支持的链路层协议类型包括PPP、HDLC；lSA支持IP网络层协议；Copyright 2010 Huawei Technologies

15、Co., Ltd. All rights reserved. Page 23SA串口-配置举例-命令行方式l配置USG 2200A#配置serial1/0/0接口，封装协议采用PPP，其他采用默认值system-viewUSG2200Ainterface serial 1/0/0USG2200A-serial1/0/0ip address 1 USG2200A-serial1/0/0link-protocol pppUSG2200A-serial1/0/0shutdownUSG2200A-serial1/0/0undo shutdown注意：配置完

16、毕后，要将serial1/0/0接口加入安全域中，并打开域间默认包过滤规则。Serial 1/0/0Serial 1/0/00/241/24USG2200 BUSG2200 ACopyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 24SA串口-配置举例(Web)接口封装的链路层协议为“PPP”或者“HDLC”。选中“启用访问管理”，表示启用接口访问控制管理。Copyright 2010 Huawei Technologies Co., Ltd. All rights

17、reserved. Page 25什么是E1/cE1lE1接口是广泛应用的低速WAN物理接口，处于PDH速率体系的底层，通过不同的应用模式为用户提供灵活的低速接入方式。lUSG支持的E1有两种模式：E1模式和CE1模式，在E1模式下所有时隙都被用于传输数据；在CE1模式下，为31路PCM，其中16号时隙也被用于传输数据。Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 26E1典型组网l点对点互联l点对多点互联运营商运营商SDH/PDHE1E1运营商运营商SDH/PDHcE1 2M协议转换器串口总部E1

18、分支1分支2512K128KCopyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 27配置方法 配置时钟 配置线路编码(AMI/HDB3)配置帧格式(校验CRC)配置信道的时隙捆绑 配置时钟 配置线路编码(AMI/HDB3)配置链路层参数，PPP/HDLC设置E1工作模式进入E1接口视图设置cE1工作模式物理接口参数逻辑接口参数配置网络层参数，IP地址，路由协议等配置对应的Serial接口Copyright 2010 Huawei Technologies Co., Ltd. All rights rese

19、rved. Page 28E1/cE1配置举例(Web)点击该图标进入E1接口修改界面，但接口名称不能修改。该参数只在“当前E1模式”为“成帧模式”时需要配置。Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 29什么是ADSL？lADSL（Asymmetric Digital Subscribers Line）：p非对称数字用户线路,其特点是从服务提供商到用户端（下行）与从用户端到服务提供商（上行）具有不同的数据速率。lADSL下行传输速率最大可以达到8Mbps，上行传输速率最大可以达到896kbps

20、，由于ADSL的下行速率不等于且远远大于上行速率，所以被称作非对称DSL技术。Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 30ADSL关键配置思路配置拨号规则配置拨号接口创建虚接口配置PVC配置PPPoE会话设置域间安全策略配置NAT配置缺省路由Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 31ADSL关键配置思路配置拨号规则配置拨号接口创建虚接口配置PVC配置PPPoE会话设置域间安全策略配置NAT配

21、置缺省路由Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 32ADSL关键配置思路配置拨号规则配置拨号接口创建虚接口配置PVC配置PPPoE会话设置域间安全策略配置NAT配置缺省路由Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 33ADSL关键配置举例(Web)这部分参数需要根据运营商相应的参数进行配置。一直在线：适用于不计流量、不计时间的场合；空闲自动断线（秒）：适用于对流量和链路使用时间敏感的场合。Co

22、pyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 34什么是3Gl3G是Third Generation的缩写，全称第三代移动通信系统。l3G的标准pWCDMApTD-SCDMApCDMA2000宽带上网宽带上网视频通话视频通话手机电视手机电视无线搜索无线搜索手机音乐手机音乐Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 353G应用配置举例命令行方式l场景描述pUSG2200使用Ethernet 1/0/0接口连

23、接企业内部网络，使用USB 3G 5/0/0接口接入Internet。l组网要求：p企业内网所在网段为/24。p使用Dialer 0接口进行按需拨号。pExpress-3G接口的IP地址由无线网络协商分配。/24Ethernet 1/0/09Dialer 0USG2100Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 36NOTENOTE：l因为不同的运营商所提供的网络服务中的各参数有所不同，3G配置也会有所差异。配置前请查看对应的用户手册。3G应用配置思路配置3G拨号配置NAT和路由配置DHCP配置拨号规则配置拨号规则配置拨号串配置拨号串配置配置Cellular接口接口配置配置Dialer接口接口Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 373G应用配置举例(Web)Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 38总结lVLAN的基本技术lWLAN的基本技术lSA、E1、ADSL、