《领航者Navigator2_1客户使用手册范本》由会员分享,可在线阅读,更多相关《领航者Navigator2_1客户使用手册范本(168页珍藏版)》请在金锄头文库上搜索。
1、商务领航2-1产品配置维护手册,目录,商务领航2-1产品简介 商务领航2-1产品功能配置 商务领航2-1产品故障维护,2,商务领航2-1产品简介 面板介绍 功能简介 解决方案简述,3,面板介绍,4,5,商务领航2-1产品简介 面板介绍 功能简介 解决方案简述,功能简介,宽带上网功能。 链路备份和负载分担。 防ARP攻击功能。 虚拟局域网(vlan)。 安全隔离。 访问限制 网络访问控制。 强制门户功能。 QoS保证。 搭建外部服务器功能。 数据专线(VPN)的应用。 管理功能。,6,宽带上网功能,Navigator 2-1 主要面向带宽需求为4M 以上的中等规模的中小企业(1050 台PC),
2、提供宽带上网、无线组网,7,链路备份和负载分担,双链路多子接口再加上3G的上行接入,提供链路备份和负载分担,8,防ARP攻击功能,包检测机制时刻监视局域网内ARP发包数量,当网内出现攻击源时,网关通过源抑制和广播免费报文方式主动进行防攻击措施。,9,虚拟局域网(vlan),定制网关8LAN口的设计,提供创建多个虚拟局域网(VLAN)的功能,10,安全隔离,定制网关可以安全有效的隔离数据的流通,11,访问限制,定制网关可以轻松实现对网络访问的限制,可以禁止某些用户访问网络,12,13,网络访问控制,主要用于限制从企业网内部前往Internet的web访问。主要技术是URL过滤、内容过滤和文件类型
3、过滤:,强制门户功能,定制网关提供定时的强制访问门户网站功能。,14,QoS保证,定制网关提供基本的QoS保证,包括带宽限制,DSCP、VLAN标记,PQ队列优先级,主机限速和动态带宽调整等。,15,搭建外部服务器功能,定制网关提供搭建外部访问服务器的功能,16,数据专线(VPN)的应用,定制网关提供各种VPN的应用,17,18,管理功能,电信运营商BBMS管理平台为定制网关提供强大的管理,定制网关SNMP、SYSLOG、TR69的开发,为设备良好的运行和维护提供了强有力的支撑与保证。,19,商务领航2-1产品简介 面板介绍 功能简介 解决方案简述,20,解决方案简述,定制网关在普通网关的基础
4、上,拓展了应用,完善了维护,提高了性能,是一款可以提供电信级通信保证的设备,提供的服务主要适用在中小企业网络。随着信息时代业务多样化,高科技高效率的办公解决方案已是所有企业发展的必要条件。定制网关就是在这样的背景下产生的,多功能、高性能、高稳定性和完善的日常维护,都是定制网关为客户提供的优质的解决方案。,21,22,目录,商务领航2-1产品简介 商务领航2-1产品功能配置 商务领航2-1产品故障维护,23,商务领航2-1产品功能配置 设备升级 基本上网功能 链路备份和负载分担 防ARP攻击功能 虚拟局域网(vlan) 安全隔离,访问限制 网络访问控制 强制门户功能 QoS保证 搭建外部服务器功
5、能 数据专线(VPN)的应用 管理功能,24,设备升级,产品默认LAN口同属于VLAN1,VLAN1开启DHCP-server功能,分配192.168.1.0/24网段地址。默认配置下,如图连接,打开浏览器,输入192.168.1.1,进入管理界面。,Web方式,25,在“系统管理”中“维护”标签下,选择“升级管理”,选择升级版本方式“主版本”或“备版本”,点击“浏览”选择版本文件,然后“上传”,直到提示固件升级成功为止。注:升级过程中不要进行任何操作,26,命令行方式,如图拓扑连接。 命令行控制终端有两种连接方式,console和telnet。设备出厂配置默认关闭vlan1的telnet功能
6、,所以,如果使用telnet进行终端控制,需要首先开启vlan1的telnet功能。连接成功后,通过命令进行版本升级。,27,首先,登陆管理页面,然后在“基础配置”中选择“接口配置”,点击“VLAN接口配置”,点击vlan1中的“编辑”按钮,进入“修改配置”页面,勾选“telnet”,点击“提交”即可。,开启telnet功能:,28,host# copy tftp 192.168.1.2 ICGOS.V01R01B01D52.bin image 上传版本 Begin to store image file to disk host# host# boot file ICGOS.V01R01B0
7、1D52.bin main 设置主启动版本 host# boot file ICGOS.V01R01B01D51.bin backup 设置备启动版本 host#reboot 重启系统,终端执行命令如下:,默认配置下,定制网关vlan地址为192.168.1.1,计算机自动获取或手动配置192.168.1.X/24地址,开启tftp服务器,设置好版本文件目录.,注释:192.168.1.2- -tftp服务器地址 ICGOS.V01R01B01D52.bin-版本文件名,检查网关与tftp-server连通性:,host#ping tftp-server(ip地址),29,30,基本上网功能,
8、拓扑描述为基本上网方式,可采取双WAN和3G作为上行,下行接入通过有线和无线两种方式。,31,对于有线接入方式,设备提供快速向导配置功能,可完成基本上网功能配置。 配置参数如下: WAN口配置,可以配置WAN口的接入方式,DNS配置,管理访问方式等。 VLAN1配置,系统默认VLAN1接口地址为192.168.1.1,建议不要修改,否则会导致连接中断,需重新登录;可修改DHCP配置。 无线WIFI配置,可修改SSID、密钥。,注:出厂设备随机生成SSID和密钥,在用户手册黏贴标签处标识。,32,快速向导(1),配置步骤:,点击“下一步”,33,快速向导(2),点击“下一步”,34,快速向导(3
9、),点击“下一步”,35,快速向导(4),快速向导配置完成后,用户即可以访问网络。,36,快速向导(5),快速向导配置完成后,用户即可以访问网络。,37,3G上网,定制网关现在支持多种CDMA-3G上网卡,可以满足通过3G接入Internet的需要。 3G上网配置方法: 插入3G卡,查看界面状态,拨号成功后进行下一步 配置DNS和NAT,38,插入3G上网卡,查看3G卡、UIM卡及连接状态信息,默认连接状态为休眠。拨号方式为按需拨号,意为有流量时,3G进行拨号连接,无流量时自动休眠。,在“基础配置”中点击“接口配置”,选择“EVDO配置”。,39,DNS配置:“基础配置”“网络配置”DNS配置
10、:,NAT配置:“基础配置”“网络配置”NAT配置:,完成配置,40,完成配置后,进行流量触发,界面显示连接成功后,即表示3G拨号成功。,41,42,链路备份和负载分担,上行接入有三条链路,双WAN和3G,双WAN链路可做负载分担,3G可为WAN链路做备份。在两条上行链路的情况下,可以在负载分担的基础上做相互的备份。,43,拓扑描述,网关通过eth0、eth1、3G三条链路接入Internet,eth0通过PPPoE拨号方式。要求VLAN1、VLAN2下用户通过eth0访问网络,VLAN3、VLAN4下用户通过eth1访问网络,3G作为备份链路使用。 地址配置: VLAN1:192.168.1
11、.0/24 VLAN2:192.168.2.0/24 VLAN3:192.168.3.0/24 VLAN4:192.168.4.0/24,44,(1)设置基本网络环境,配置WAN口和EVDO,45,注:有线接入方式,接口配置完成后会自动生成NAT规则,手动添加NAT规则:在“基础配置”的“网络配置”中,46,(2)设置分担路由,采用策略路由进行负载分担:,首先配置地址对象:在“系统管理”中,选“地址对象”,点击“添加”,做相应设置后“提交” ,如图所示分别配置地址对象1和2,配置结果,47,配置策略路由:“基础配置”中,选择“网络配置”,再选“策略路由”,然后点击“添加” :如下图所示分别添加
12、1和2 两条策略路由,配置结果,48,(3)添加备份路由并保存配置,配置完成后,保存配置:在“系统管理”中,选 “配置维护”,注:3G添加的为静态路由 其他两个为策略路由,备份链路配置静态路由:在“基础配置”中,选“网络配置”,再选“静态路由”,然后点击“添加”,配置相关参数后“提交”,如下图:,49,50,防ARP攻击功能,通过源抑制的方式防治ARP攻击。,洪攻击,51,通过静态绑定和广播免费报文方式防治ARP欺骗。,ARP欺骗,52,(1)防flood攻击,通过源抑制方式,防止ARP的flood攻击,系统默认关闭。 手动开启:“安全配置”中,选“防ARP攻击”,点击“配置”后,选择“编辑”
13、按钮。开启和修改方法如下:(默认阈值为300包/秒和抑制时间为60秒),源抑制机制:当某个端口1秒钟内接收到来自同一个源的ARP报文超过阈值时,记录并阻断该源,阻断方式为只阻断该源ARP报文,阻断时间为所设置的主机抑制时间.,53,(2)防欺骗,一般欺骗的种类有欺骗网关ARP、欺骗主机ARP,针对不同的ARP欺骗,可以采取同样的方式进行处理,防欺骗的方法有:关闭ARP学习、静态绑定、设置端口保护、自定义发包。其中关闭ARP学习和静态绑定是最有效的防欺骗方法,下面介绍各种方法的配置:,关闭ARP学习和开启主动保护:“安全配置”中,选“防ARP攻击,注:开启主动保护,需要进行主动保护列表设置,如下
14、:,54,进行手动绑定ip-mac也可以有效防止欺骗,设置方式如下:,配置主动保护列表:,在“安全配置”中,选“防ARP攻击”,再选择“主动保护列表”,55,另外,进行有目的的自定义ARP广播,也可以一定程度上起到防欺骗的作用,如下:,提示:ARP攻击在局域网内很容易发生,有效地针对攻击方式做出应对措施十分重要,ARP攻击很容易导致网络瘫痪,所以,要十分注意。,56,57,虚拟局域网(vlan),VLAN实现的是不同部门之间的数据隔离,是进行网络优化常用的方法,各部门间数据隔离有利于日常工作的正常进行,避免某个部门的广播影响到另一个部门的工作,也方便网络管理员对企业网络进行管理,通过针对不同V
15、LAN设置数据策略,达到各部门间对网络的不同需求。,58,虚拟局域网(VLAN)的设置和划分方法很简单,但虚拟局域网的划分又十分的重要,在很多解决方案中都要进行虚拟局域网的划分,且虚拟局域网有效的隔离了广播域,一定程度上阻止了一些广播病毒及风暴的发生。虚拟局域网的划分方法总共分两步:,一、添加虚拟局域网:,“基础配置”中,选“接口配置”,然后选择“VLAN接口配置”,点击“添加”,59,VLAN添加完成后,在FE配置中进行端口的绑定,可以设置LAN口工作模式为access或trunk,默认8个LAN口为access工作模式。,二、划分端口:,60,61,安全隔离,对于内部共享数据,很多情况下是
16、部门内部共享,不需要其他部门有访问的权限,甚至需要禁止其他部门访问,定制网关提供安全隔离的功能,通过简单的策略规划,轻松实现数据的安全访问。,62,环境及配置简述,某公司内设研发部及财务部,研发和财务部门各有自己的数据共享服务器,但要求此服务器数据仅供部门内部人员使用,禁止其他部门的访问。 根据以上条件进行组网预设,设置研发部为VLAN1、财务部为VLAN2、其他部门为VLAN3。划分VLAN后,进行策略添加:,63,64,另:策略配置中还有源地址、目的地址、服务、时间等参数的匹配与设置,这几项参数可以让策略应用更加灵活,比如上述环境可以变化为防止部门外用户在工作时间内对部门中地址为192.168.2.3的服务器的访问,此服务器以4332端口提供服务。以财务部为例,服务器在财务部门,我们首先要进行各种对象建立,这里包括时间对象、地址对象、服务对象,如:,65,66,上图为策略添加,达到的效果即为需求效果,需要注意的是在配置各种对象的时候,明确地各种对象的应用环境,是在应用在
