1-2及2-1网关配置介绍和维护

1、1-2及2-1网关配置介绍和维护日期：商领1-2及2-1网关介绍商领网关功能配置与维护目录商务领航网关1-2和2-1家族1-22-1（逐渐使用2-1+替换供应）2-1+商务领航网关1-2控制口WAN x 2LAN x 4WLAN天线 x 1长按5秒重启并恢复出厂配置5秒以下重启接地商领网关2-1WLAN天线 x 2控制口WAN x 1LAN x 4长按5秒重启并恢复出厂配置5秒以下重启接地扩展槽主天线从天线主天线从天线商领网关2-1+WLAN天线 x 2控制口WAN x 2LAN x 8长按5秒重启并恢复出厂配置5秒以下重启接地主天线从天线主天线从天线网关版本的选择和特性差异1-22-12-1

2、+版本文件关键字ICG2000XICG2000_CTICG2000X示例ICG2000X-CMW520-E1807P01.BINICG2000_CT-CMW520-E1807P01.BINICG2000X-CMW520-E1807P01.BIN三款设备师出同门，只是性能、接口数量有所差别在版本号相同情况下，功能基本相同，配置方法完全一致早期2-1设备使用16M Flash，一些新特性如SSL VPN没有合入ICG2000X-CMW520-E1807P01.BIN设备型号标识版本编号ICG2000_CT-CMW520-E1807P01.BIN商领1-2及2-1网关介绍商领网关功能配置与维护目录1

3、-2及2-1配置与维护设置VLAN修改WLAN内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离3G上网VPN-L2TPVPN-SSL VPNVPN-IPSec目录设置VLAN无线VLAN1（默认）有线VLAN2（新增）有线VLAN3（新增）E0/2E0/7E0/8E0/9ChinaNet-A780按不同用途、不同接入方式划分VLAN可以为后续业务控制提供配置基础Internet设置VLAN2（未完）设置VLAN2（完成）通过相同的方法，我们可以设置VLAN3并修改VLAN11-2及2-1配置与维护设置VLAN修改WLAN内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离3

4、G上网VPN-L2TPVPN-SSL VPNVPN-IPSec目录修改WLAN无线VLAN1默认使用WEP加密有线VLAN2有线VLAN3E0/2E0/7E0/8E0/9ChinaNet-A780默认WLAN的接入认证密码不利于安全性和记忆，通常需要自行修改Internet修改WLAN接入服务（未完）修改WLAN接入服务（完成）1-2及2-1配置与维护设置VLAN修改WLAN内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离3G上网VPN-L2TPVPN-SSL VPNVPN-IPSec目录Internet内部服务器访问需求无线VLAN1有线VLAN2E0/2E0/7E0/8E0/9

5、ChinaNet-A780中小企业通常只有1个公网地址，并用在公司网络出口。通过内部服务器端口映射机制可以实现访问同一个公网地址提供多种内部服务，避免服务器所有端口暴露的安全隐患。TCP 80端口WAN地址：TCP 80端口映射-TCP 80TCP 443端口映射-TCP 443TCP 443端口内部服务器设置（未完）内部服务器设置（结束）通过相同的方法，我们可以设置TCP 443端口映射到注意很多时候因为内部服务器没有设置网关地址，导致外部无法访问，请仔细检查。如在本例中，内部服务器和都要将网关设置为。Internet内部服务器隐藏端口E0/8E0/9TCP 80端口TCP 37777端口（

6、隐藏）WAN地址：TCP 80端口映射-TCP 80TCP 37777端口映射（隐藏）-TCP 37777有的服务器，特别是视频监控服务器，通常使用双端口，80端口提供WEB登录，利用另外一个端口（隐藏是通常不被人不了解）提供视频。确定隐藏端口的方法：访问客户端安装WireShark设置好浏览器，确保打开网页所相关ActiveX插件已经安装访问前启动WireShark抓包进行正常访问对抓包进行分析过滤，发现隐藏端口根据找出的隐藏端口添加内部映射内部PC通过域名访问内部服务器Internet无线VLAN1有线VLAN2E0/8E0/9很多时候内部服务器也要对内部PC提供访问，访问通常是通过域名方

7、式进行，域名访问对于互联网用户是完全没有问题的，对于内部PC访问则需要添加设置WAN地址：TCP 80端口映射-TCP 80TCP 80端口TCP 37777端口访问原因解决方案配置前准备确定内部服务器地址及所有服务端口，本例中是假设是VLAN3中的的TCP 80和37777端口确定需要访问内部服务器的内部PC地址范围，假设这里是VLAN2的和VLAN1的命令行配置命令行撤销可以使用undo命令undo acl number 3400删除访问控制列表3400undo nat outbound 3400可以在接口中的nat outbound 3400命令撤销acl number 3400rule

8、 0 permit tcp source 55 destination 0 destination-port eq 80rule 5 permit tcp source 55 destination 0 destination-port eq 37777rule 10 permit tcp source 55 destination 0 destination-port eq 80rule 15 permit tcp source 55 destination 0 destination-port eq 37777interface vlan-interface 3nat outbound 3

9、4001-2及2-1配置与维护设置VLAN修改WLAN内部服务器地址绑定互联网访问控制应用限制内部访问隔离3G上网VPN-L2TPVPN-SSL VPNVPN-IPSec目录地址绑定无线VLAN1有线VLAN2有线VLAN3E0/2E0/7E0/8E0/9ChinaNet-A780内部网络安全问题日益突出，尤以ARP欺骗问题为甚，问题发生时，无法访问任何网络。InternetARP扫描操作前准备记录内部每个PC的MAC地址和IP地址，保证操作时的准确性在网络正常时进行ARP扫描，对所有VLAN的所有IP进行记录网络正常时扫描才能获得完全正确的IP-MAC对应关系通过相同的方法，我们可以扫描VL

10、AN1和VLAN3ARP固化扫描结束后可以对扫描结果固化下来可以将静态设置IP地址的记录固化，对于DHCP地址池中的IP可以不固化固化前可以检查扫描结果是否和事前统计结果一致，如果不一致则说明存在ARP欺骗或者统计错误，需要仔细确认千万不要固化错误的记录，固化错误的后果和欺骗是一致的1-2及2-1配置与维护设置VLAN修改WLAN内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离3G上网VPN-L2TPVPN-SSL VPNVPN-IPSec目录无线VLAN1有线VLAN2有线VLAN3E0/2E0/7E0/8E0/9ChinaNet-A780有些PC因为信息安全原因，是不允许访问互

11、联网的。Internet互联网访问控制互联网访问控制有人使用根据时间访问控制无效果？原因在于设备系统时间不准确，1-2、2-1无内置电池，设备重启后时间恢复成2007年1月1日。解决方案-NTP网络时间服务器互联网中有一些熟知的NTP服务器，对外提供时间同步工作比较著名的如和这些服务器都是分布式的，有诸多IP地址提供服务这些服务器提供的多是格林威治时间，调整为北京时间还需设置时区修正如果设备解析或失败，可以使用如下几条命令替代display clockclock timezone BeiJing add 8:00:00display clockdisplay clockclock timezo

12、ne BeiJing add 8:00:00display clockURL过滤有时候需要对所有员工访问WEB进行限制，如限制访问视频网站优酷和酷6等每IP限速（未完）有的员工因为下载或游戏占用过多带宽，使其余PC工作带宽不够用可以使用每IP限速，将每个IP所占用的最大上下行带宽控制在合理的范围经验值下载1M，上传512K可以指定为某地址范围灵活限速每IP限速（完成）1-2及2-1配置与维护设置VLAN修改WLAN内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离3G上网VPN-L2TPVPN-SSL VPNVPN-IPSec目录无线VLAN1有线VLAN2有线VLAN3E0/2E0

13、/7E0/8E0/9ChinaNet-A780因为信息安全原因，允许员工上网，但是限制所有PC使用 、MSN、BT、电驴等应用。Internet应用限制加载特征码进行应用限制（未完）加载特征码进行应用限制（完成）应用后对新连接会采取阻断行为，对于已存在连接不会生效1-2及2-1配置与维护设置VLAN修改WLAN内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离3G上网VPN-L2TPVPN-SSL VPNVPN-IPSec目录无线VLAN1有线VLAN2有线VLAN3E0/2E0/7E0/8E0/9ChinaNet-A780对主管网络行为不进行限制，只是对部分员工要进行限制，可以对限

14、制员工PC建立群组，对该群组进行限制。Internet群组功能建立群组群组访问控制和应用控制群组带宽和包过滤防火墙1-2及2-1配置与维护设置VLAN修改WLAN内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离3G上网VPN-L2TPVPN-SSL VPNVPN-IPSec目录无线VLAN1有线VLAN2有线VLAN3E0/2E0/7E0/8E0/9ChinaNet-A780某些公司内部信息比较机密，要求无线VLAN1和VLAN2、VLAN3不允许相互访问，VLAN2能够访问VLAN3，但VLAN3不允许访问VLAN2。Internet内部访问隔离配置（未完）传统的网络控制都是限制

15、互联网应用，对于局域网之间的隔离考虑较少双向隔离，双方不能互访，可以采用简单的包过滤防火墙单向隔离，流量是双向的，但只能从一侧对另一侧发起访问，要使用更高级的应用状态包过滤技术ASPF限制VLAN1和VLAN2、VLAN3互访vlan1网段vlan2网段vlan3网段firewall enableacl number 2300interface vlan-interface 2firewall packet-filter 2300 outboundinterface vlan-interface 3firewall packet-filter 2300 outbound配置（完成）VLAN2可

16、以访问VLan3，但VLAN3不能访问VLAN2vlan2网段vlan3网段ASPF原理LAN3禁止主动发起任何访问建立ASPF策略，探测TCP和UDP在LAN3接口应用ASPF，探测访问LAN3方向的TCP、UDP连接，为该连接建立允许规则LAN3的回复数据匹配允许规则，而可以到达LAN2firewall enableacl number 2301rule 0 denyaspf-policy 1detect tcpdetect udpinterface vlan-interface 3firewall packet-filter 2301 inboundfirewall aspf 1 out

17、bound1-2及2-1配置与维护设置VLAN修改WLAN内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离3G上网VPN-L2TPVPN-SSL VPNVPN-IPSec目录无线VLAN1有线VLAN2有线VLAN3E0/2E0/7E0/8E0/9ChinaNet-A780华三网关通过查USB EVDO上网卡可以连入3G网络，实现更灵活、更可靠的接入组合。Internet3G上网主用WAN上行EVDO上行备份查看3G上网卡是否能被识别配置拨号参数配置备份路由1-2及2-1配置与维护设置VLAN修改WLAN内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离3G上网VPN-L

18、2TPVPN-SSL VPNVPN-IPSec目录无线VLAN1有线VLAN2有线VLAN3E0/2E0/7E0/8E0/9ChinaNet-A780针对一些驻外人员或出差员工，提供拨号方式访问内部网络。VPN用户可以和内网用户同一网段，也可以不同网段。InternetL2TPL2TP拨号客户端L2TP隧道WAN地址VPN网关地址借用VLAN1接口地址L2TP配置（未完）配置拨号用户名、密码，此示例中均为pc设置拨号域，此例中为ct10000，拨号客户端使用用户名pcct10000进行拨号在域中设置VPN地址段，假设和VLAN1同一网段设置L2TP虚模板接口地址借用VLAN1接口地址接口认证使

19、用PPP CHAPlocal-user pcpassword simple pcservice-type pppdomain ct10000interface virtual-template 0ip address unnumbered interface Vlan-interface1ppp authentication-mode chapremote-address poolL2TP配置（完成）配置L2TP由于VPN网段和VLAN1在同一网段，为使VPN和VLAN1能够互访必须在VLAN1接口使能代理ARP如果VPN和各VLAN在不同网段则可以不用使能代理ARP如使用到作为VPN地址段虚

20、模板使用作为地址l2tp enablel2tp-group 1undo tunnel authenticationallow l2tp virtual-template 0interface vlan-interface 1proxy-arp enabledomain ct10000interface virtual-template 0ppp authentication-mode chapremote-address poolWindows设置L2TP拨号（未完）PC导入注册表文件Windows的L2TP默认是带IPSec拨号，无法和网关兼容导入后开始设置网络连接Windows设置L2TP

21、拨号（未完）Windows设置L2TP拨号（未完）Windows设置L2TP拨号（未完）Windows设置L2TP拨号（未完）Windows设置L2TP拨号（未完）Windows设置L2TP拨号（未完）Windows设置L2TP拨号（完成）1-2及2-1配置与维护设置VLAN修改WLAN内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离3G上网VPN-L2TPVPN-SSL VPNVPN-IPSec目录无线VLAN1有线VLAN2有线VLAN3E0/2E0/7E0/8E0/9ChinaNet-A780和L2TP相同的应用场景，L2TP无加密功能，而SSL是经过加密的VPN，安全性更好

22、。SSL VPN必须使用单独的网段，不能和任何现有网段冲突。InternetSSL VPNSSL客户端SSL隧道WAN地址VPN网关地址SSL VPN配置原理资源组0资源a资源b资源组1资源c资源b用户组0用户a用户b用户组1用户c用户d域ct10000全WEB配置界面域是SSL VPN功能集域中包含若干用户组类似于用户角色每个用户组有若干用户每个域有一管理员用户负责配置域中包含若干资源组每个资源组包含若干资源通常使用IP资源更为便捷使用IP资源需要划定VPN地址段WEB资源TCP资源每个用户只能属于一个用户组每个资源可以属于多个资源组每个用户组可以享用若干资源组一台设备支持若干个域SSL V

23、PN配置（未完）配置SSL服务器策略，命名为chinanet在策略中使用设备出厂配置的pki域navigator调用服务策略chinanet后启动SSL VPN功能配置好后打开SSL VPN管理页面ssl server-policy chinanetpki-domain navigatorssl-vpn server-policy chinanetssl-vpn enableSSL VPN配置（未完）SSL VPN配置（未完）SSL VPN配置（未完）SSL VPN配置（未完）可以创建多个网络服务，如的TCP可以创建多个IP资源，如VLAN2、VLAN1SSL VPN配置（未完）SSL VPN

24、配置（未完）可以创建多个用户，如zhansan、lisi等SSL VPN配置（未完）可以创建多个用户组，如managerSSL VPN配置（完成）SSL VPN登录（未完）首次登录VPN可能需要重新登录2次，并强制老用户下线SSL VPN登录（未完）FTP登录（完成）1-2及2-1配置与维护设置VLAN修改WLAN内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离3G上网VPN-L2TPPN-SSL VPNVPN-IPSec目录无线VLAN1有线VLAN2有线VLAN3E0/2E0/7E0/8E0/9ChinaNet-A780IPSec VPN适合在网关和网关之间建立隧道，方便。In

25、ternetIPSec VPNVLAN1IPSec隧道WAN地址IPSec响应方IPSec发起方IPSec配置步骤响应方配置IKE Peer，响应方可以不需要指定对端地址配置IKE Proposal，要和发起方一致一阶段验证、加密算法、生存时间、前向安全性等IPSec Proposal，要和发起方一致二阶段验证、加密算法IPSec策略模板将IKE Peer和IPSec Proposal包装起来兴趣流由发起方指定特别适合多发起方或发起方地址不确定环境IPSec策略根据策略模板建立策略WAN口应用策略，并修改NAT设置发起方配置IKE Peer，发起方必须指定对端地址配置IKE Proposal，

26、要和响应方一致一阶段验证、加密算法、生存时间、前向安全性等IPSec Proposal，要和发起方一致二阶段验证、加密算法配置ACL指定兴趣流IPSec策略将ACL、IKE Peer、IPSec ProposalWAN口应用策略，并修改NAT设置ike proposal 1authentication-algorithm shaencryption-algorithm aes-cbcdh group2sa duration 3600配置IKE Proposal假设使用aes加密、sha1作为验证，密钥生存时间3600s，使用dh组2配置IKE Peer指定对端地址，指定预共享身份，指定IKE

27、Proposal配置确定兴趣流的ACL发起方配置步骤（未完）ike peer centerproposal 1pre-shared-key ct10000acl number 3050ipsec proposal defesp encryption-algorithm desesp authentication-algorithm md5配置IPSec Proposal假设使用des加密、md5作为验证配置IPSec策略将ACL、IKE Peer和IPSec Proposal包装起来，密钥生存期900s，pfs使用dh组2接口应用发起方配置步骤（未完）ipsec policy center 1

28、 isakmpsecurity acl 3050ike-peer centerproposal defpfs dh-group2sa duration time-based 900interface Ethernet 0/0ipsec policy centeracl number 3040.rule 1000 permit ipinterface ethernet 0/0undo nat outboundnat outbound 3040将WAN口共享上网（NAT地址转换）配置进行修改共享上网会改变WAN口上行流量源地址IPSec依靠WAN口上行时源、目的匹配ACL确定兴趣流WAN默认打开所

29、有数据的共享上网功能WAN应用IPSec策略后，先进行NAT处理，再进行IPSec数据匹配因此一般情况下经过NAT处理后，数据流无法匹配IPSec ACL，也就无法触发IPSec协商，也不会被加密传送，也就会传送失败需要修改NAT部分配置，对符合IPSec兴趣流的数据不作地址转换IPSec兴趣流定义是源，目的可以将目的是的数据不作转换可以自行添加目的是其余网段，如和的情况发起方配置步骤（完成）ike proposal 1authentication-algorithm shaencryption-algorithm aes-cbcdh group2sa duration 3600配置IKE Proposal假设使用aes加密、sha1作为验