商务领航网关1-2和2-1配置与维护课件_第1页
商务领航网关1-2和2-1配置与维护课件_第2页
商务领航网关1-2和2-1配置与维护课件_第3页
商务领航网关1-2和2-1配置与维护课件_第4页
商务领航网关1-2和2-1配置与维护课件_第5页
已阅读5页,还剩81页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

商务领航1-2及2-1网关配置与维护日期:ISSUE3.8熟悉华三1-2和2-1的外观和版本关系掌握常用功能的配置掌握一些基本故障的诊断课程目标学习完本课程,您应该能够:商务领航网关1-2及2-1介绍商务领航网关的配置与维护目录控制口WANx2LANx4商务领航网关1-2WLAN天线x1RESET:长按5秒重启并恢复出厂配置5秒以下重启接地控制口WANx1LANx4接地扩展槽主天线从天线商务领航网关2-1长按5秒重启并恢复出厂配置5秒以下重启主天线从天线WLAN天线x2商务领航网关2-1+WLAN天线x2从天线主天线长按5秒重启并恢复出厂配置5秒以下重启控制口WANx2LANx8接地从天线主天线目录商务领航网关1-2及2-1介绍商务领航网关的配置与维护商务领航网关的配置与维护快速向导设置VLAN修改WLAN内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离QoS3G上网VPN-L2TPVPN-IPSec目录快速向导(一)快速向导能够快速的帮你完成设备的基本配置快速向导(三)第二步:设置WLAN参数快速向导(四)第三步:设置LAN口参数快速向导(五)第四步:完成配置设置VLAN无线VLAN1(默认)~0有线VLAN2(新增)~00有线VLAN3(新增)~0E0/2~E0/7E0/8~E0/9ChinaNet-A780按不同用途、不同接入方式划分VLAN可以为后续业务控制提供配置基础。Internet设置VLAN2(一)设置VLAN2(二)通过相同的方法,我们可以设置VLAN3并修改VLAN1修改WLAN无线VLAN1默认使用WEP加密有线VLAN2有线VLAN3E0/2~E0/7E0/8~E0/9ChinaNet-A780默认WLAN的接入认证密码不利于安全性和记忆,通常需要自行修改。Internet修改WLAN接入服务(一)修改WLAN接入服务(二)内部服务器访问需求Internet无线VLAN1~0有线VLAN2~00E0/2~E0/7E0/8~E0/9ChinaNet-A780中小企业通常只有1个公网地址,并用在公司网络出口。通过内部服务器端口映射机制可以实现访问同一个公网地址提供多种内部服务,避免服务器所有端口暴露的安全隐患。TCP80端口WAN地址:TCP80端口映射-TCP80TCP443端口映射-TCP443TCP443端口内部服务器设置(一)内网PC通过域名访问内网服务器Internet无线VLAN1~0有线VLAN2~00E0/8~E0/9很多时候内部服务器也要对内部PC提供访问,访问通常是通过域名方式进行,域名访问对于互联网用户是完全没有问题的,对于内部PC访问则需要添加设置WAN地址:TCP80端口映射-TCP80TCP80端口TCP37777端口访问原因解决方案配置前准备确定内部服务器地址及所有服务端口,本例中是假设是VLAN3中的的TCP80和37777端口确定需要访问内部服务器的内部PC地址范围,假设这里是VLAN2的/24和VLAN1的/24命令行配置命令行撤销可以使用undo命令undoaclnumber3400删除访问控制列表3400undonatoutbound3400可以在接口中的natoutbound3400命令撤销aclnumber3400rule0permittcpsource55destination0destination-porteq80rule5permittcpsource55destination0destination-porteq37777rule10permittcpsource55destination0destination-porteq80rule15permittcpsource55destination0destination-porteq37777interfacevlan-interface3natoutbound3400商务领航网关的配置与维护快速向导设置VLAN修改WLAN内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离3G上网QoSVPN-L2TPVPN-IPSec目录地址绑定无线VLAN1~0有线VLAN2~00有线VLAN3~0E0/2~E0/7E0/8~E0/9ChinaNet-A780内部网络安全问题日益突出,尤以ARP欺骗问题为甚,问题发生时,无法访问任何网络。InternetARP扫描操作前准备记录内部每个PC的MAC地址和IP地址,保证操作时的准确性在网络正常时进行ARP扫描,对所有VLAN的所有IP进行记录网络正常时扫描才能获得完全正确的IP-MAC对应关系通过相同的方法,我们也可以扫描VLAN1和VLAN3。ARP固化扫描结束后可以对扫描结果固化下来可以将静态设置IP地址的记录固化,对于DHCP地址池中的IP可以不固化固化前可以检查扫描结果是否和事前统计结果一致,如果不一致则说明存在ARP欺骗或者统计错误,需要仔细确认千万不要固化错误的记录,固化错误的后果和欺骗是一致的商务领航网关的配置与维护快速向导设置VLAN修改WLAN内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离3G上网QoSVPN-L2TPVPN-IPSec目录互联网访问控制(一)无线VLAN1~0有线VLAN2~00有线VLAN3~0E0/2~E0/7E0/8~E0/9ChinaNet-A780有些PC因为信息安全原因,是不允许访问互联网的。Internet00互联网访问控制(二)有人使用根据时间访问控制无效果?原因在于设备系统时间不准确,1-2、2-1无内置电池,设备重启后时间恢复成2007年1月1日。解决方案—NTP网络时间服务器互联网中有一些熟知的NTP服务器,对外提供时间同步工作:比较著名的如和这些服务器都是分布式的,有诸多IP地址提供服务这些服务器提供的多是格林威治时间,调整为北京时间还需设置时区修正如果设备解析或失败,可以使用如下几条命令替代:displayclockntp-serviceunicast-serverntp-serviceunicast-serverclocktimezoneBeiJingadd8:00:00displayclockdisplayclockntp-serviceunicast-serverntp-serviceunicast-serverclocktimezoneBeiJingadd8:00:00displayclockURL过滤有时候需要对所有员工访问WEB进行限制,如限制访问开心网,人人网等。商务领航网关的配置与维护快速向导设置VLAN修改WLAN内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离3G上网QoSVPN-L2TPVPN-IPSec目录应用限制无线VLAN1~0有线VLAN2~00有线VLAN3~0E0/2~E0/7E0/8~E0/9ChinaNet-A780因为信息安全原因,允许员工上网,但是限制所有PC使用QQ、MSN、BT、电驴等应用。Internet加载特征码进行应用限制(一)加载特征码进行应用限制(二)应用后会对新连接采取阻断行为,对于已经存在的连接不会生效商务领航网关的配置与维护快速向导设置VLAN修改WLAN内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离QoS3G上网VPN-L2TPVPN-IPSec目录群组功能无线VLAN1~0有线VLAN2~00有线VLAN3~0E0/2~E0/7E0/8~E0/9ChinaNet-A780对主管网络行为不进行限制,只是对部分员工要进行限制,可以对限制员工PC建立群组,对该群组进行限制。Internet00建立群组群组访问控制和应用控制群组带宽和包过滤防火墙商务领航网关的配置与维护快速向导设置VLAN修改WLAN内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离QoS3G上网VPN-L2TPVPN-IPSec目录内部访问隔离无线VLAN1~0有线VLAN2~00有线VLAN3~0E0/2~E0/7E0/8~E0/9ChinaNet-A780某些公司内部信息比较机密,要求无线VLAN1和VLAN2、VLAN3不允许相互访问,VLAN2能够访问VLAN3,但VLAN3不允许访问VLAN2。Internet内部访问隔离配置(一)传统的网络控制都是限制互联网应用,对于局域网之间的隔离考虑较少双向隔离,双方不能互访,可以采用简单的包过滤防火墙单向隔离,流量是双向的,但只能从一侧对另一侧发起访问,要使用更高级的应用状态包过滤技术ASPF限制VLAN1和VLAN2、VLAN3互访vlan1网段/24vlan2网段/24vlan3网段/24firewallenableaclnumber2300rule0denysource55interfacevlan-interface2firewallpacket-filter2300outboundinterfacevlan-interface3firewallpacket-filter2300outbound内部访问隔离配置(二)VLAN2可以访问VLan3,但VLAN3不能访问VLAN2vlan2网段/24vlan3网段/24ASPF原理LAN3禁止/24主动发起任何访问建立ASPF策略,探测TCP和UDP在LAN3接口应用ASPF,探测访问LAN3方向的TCP、UDP连接,为该连接建立允许规则LAN3的回复数据匹配允许规则,而可以到达LAN2firewallenableaclnumber2301rule0denyaspf-policy1detecttcpdetectudpinterfacevlan-interface3firewallpacket-filter2301inboundfirewallaspf1outbound商务领航网关的配置与维护快速向导设置VLAN修改WLAN内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离QoS3G上网VPN-L2TPVPN-IPSec目录QoS无线VLAN1~0有线VLAN2~00有线VLAN3~0E0/2~E0/7E0/8~E0/9ChinaNet-A780QoS应用可以灵活的对网段或者每个IP进行带宽限速和带宽保证。Internet00每IP限速有的员工因为下载或游戏占用过多带宽,使其余PC工作带宽不够用可以使用每IP限速,将每个IP所占用的最大上下行带宽控制在合理的范围经验值下载1M,上传512K可以指定为某地址范围灵活限速高级带宽限速(一)高级带宽限速可以对数据流进行精确匹配,从而使限速行为更为灵活有效。”匹配条件“设置待续高级带宽限速(二)注意:可以对限制带宽的时间做设置,但是要保证设备时间的准确性。可以限制指定协议的流量,但是只能选择其中的一项协议(下面的五个应用总共算一项),也就是说只能在上面的8种协议中选择一种打钩,或者在下面的5种应用程序中选择任意几种打钩。高级带宽保证(一)高级带宽保证可以对数据流进行精确匹配,从而使带宽保证行为更为灵活有效。高级带宽保证(二)定义数据流的配置如之前的高级带宽限速中的配置。商务领航网关的配置与维护快速向导设置VLAN修改WLAN内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离QoS3G上网VPN-L2TPVPN-IPSec目录3G上网无线VLAN1~0有线VLAN2~00有线VLAN3~0E0/2~E0/7E0/8~E0/9ChinaNet-A780商务领航网关通过插USBEVDO上网卡可以连入3G网络,实现更灵活、更可靠的接入组合。Internet主用WAN上行EVDO上行备份查看3G上网卡是否能够被识别配置拨号参数配置备份路由商务领航网关的配置与维护快速向导设置VLAN修改WLAN内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离QoS3G上网VPN-L2TPVPN-IPSec目录L2TP无线VLAN1~0有线VLAN2~00有线VLAN3~0E0/2~E0/7E0/8~E0/9ChinaNet-A780针对一些驻外人员或出差员工,提供拨号方式访问内部网络。VPN用户可以和内网用户同一网段,也可以不同网段。InternetL2TP拨号客户端0~00L2TP隧道WAN地址VPN网关地址借用VLAN1接口地址L2TP配置(一)配置拨号用户名、密码,此示例中均为pc设置拨号域,此例中为ct10000,拨号客户端使用用户名pc@ct10000进行拨号在域中设置VPN地址段0~00,假设和VLAN1同一网段设置L2TP虚模板接口地址借用VLAN1接口地址接口认证使用PPPCHAPlocal-userpcpasswordsimplepcservice-typeppplocal-userpcpasswordsimplepcservice-typepppinterfacevirtual-template0ipaddressunnumberedinterfaceVlan-interface1pppauthentication-modechapremote-addresspoolL2TP配置(二)配置L2TP由于VPN网段和VLAN1在同一网段,为使VPN和VLAN1能够互访必须在VLAN1接口使能代理ARP如果VPN和各VLAN在不同网段则可以不用使能代理ARP如使用到0作为VPN地址段虚模板使用作为地址l2tpenablel2tp-group1undotunnelauthenticationallowl2tpvirtual-template0interfacevlan-interface1proxy-arpenabledomainct10000ippool00interfacevirtual-template0ipaddresspppauthentication-modechapremote-addresspoolWindows设置L2TP拨号(一)PC导入注册表文件ProhibitIpSec.reg,重启PC生效Windows的L2TP默认是带IPSec拨号,无法和网关兼容导入后开始设置网络连接Windows设置L2TP拨号(二)Windows设置L2TP拨号(三)Windows设置L2TP拨号(四)Windows设置L2TP拨号(五)Windows设置L2TP拨号(六)Windows设置L2TP拨号(七)Windows设置L2TP拨号(八)商务领航网关的配置与维护快速向导设置VLAN修改WLAN内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离QoS3G上网VPN-L2TPVPN-IPSec目录IPsecVPN无线VLAN1~0有线VLAN2~00有线VLAN3~0E0/2~E0/7E0/8~E0/9ChinaNet-A780IPSecVPN适合在网关和网关之间建立隧道。InternetVLAN1~0IPSec隧道W

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论