《{通信公司管理}99华三商务领航21信息通信网关配置与维护v212》由会员分享,可在线阅读,更多相关《{通信公司管理}99华三商务领航21信息通信网关配置与维护v212(200页珍藏版)》请在金锄头文库上搜索。
1、配置与维护H3C领航者2-1信息通信网关,V2.12,了解2-1终端的基本特征 熟悉2-1终端的基本功能配置 掌握2-1终端高级功能配置 掌握2-1终端故障处理,课程目标,学习完本课程,您应该能够:,产品概述 WEB基本功能配置 高级功能配置介绍 常见问题分析,目录,2-1终端外观和相关器件,Reset键孔,USB接口,可以连接FAT 16/32格式USB存储介质,电源接口,电源开关,SIC/DSIC灵活插槽,E0/1E0/4,LAN接口,E0/0,WAN接口,WLAN天线,接地螺栓,Console/AUX接口,PWR、WLAN、SYS、ETH指示灯,FE,DMZ,传统用户,用户侧,电信侧,L
2、2,FW,Router,Navigator 2-1,IP电话,2-1终端可以为50人左右的小型企业或小型分支,提供一体化的宽带、安全、语音、WiFi接入,在运营商为接入单位提供统一的信息通信服务。,应用控制,传统用户,流量统计分析,多功能和高性能的完美结合,路由 以太网交换 WLAN接入 语音接入和VoIP 基本网络安全功能 IPSec QoS . 180Kpps转发性能 同时支持WEB和命令行,产品概述 WEB基本功能配置 高级功能配置 常见问题分析,目录,网络连接示意,2-1终端,Internet,接入交换机,BBMS,WAN连接,内部交换机/HUB,VLAN-Interface1 192
3、.168.1.1/24 PC上网网关 DHCP服务器 DNS代理服务器,打开WEB网管页面并登录,192.168.1.1,用户名useradmin 密码admin!#$% 还需要输入校验码,登录,版本:H3C ICG2000_CT CWM520 E1710,设备概览,基本业务配置向导 设备升级 配置保存,WEB网管基本功能配置,基本业务配置向导,出厂已经配置LAN口和WLAN LAN口地址即vlan-interface1接口地址192.168.1.1/24,建议不修改,修改会导致WEB连接中断,必须重新登录 LAN口默认已经打开DHCP功能,能够为LAN接入PC分配IP地址,同时指定192.1
4、68.1.1为网关地址,建议不修改网关地址 LAN口DHCP默认分配DNS地址为192.168.1.1,可以在向导中修改DNS地址 WLAN默认已经打开WEP连接认证,认证密码可以在随机手册底面找到,建议不修改 WAN口配置 配置WAN口为PPPoE 配置WAN口为静态IP方式,同时配置WAN口网关、DNS服务器 以上2种方式任选一种配置完成后既可以访问Internet,基本业务配置向导(1),基本业务配置向导(2),基本业务配置向导(2),缺省vlan-interface1 IP地址192.168.1.1/24,基本业务配置向导(3),基本业务配置向导(4),基本业务配置向导(5),基本连通
5、性诊断测试,DNS连通性诊断测试,基本业务配置向导 设备升级 配置保存,WEB网管基本功能配置,设备升级原理,将设备当前运行的操作系统文件替换成其它操作系统文件并运行称为升级,可以分成2个过程 操作系统文件也称为启动文件,文件名为main.bin,main.bin大小一般为13M,存放在16M Flash中,所以必须使用新文件覆盖老文件方式替换,覆盖方式有2种 以U盘内新文件覆盖设备上旧文件 通过网络方式覆盖设备上旧文件 重新启动,即以新文件启动设备 可以在WEB中选择重启 可以通过硬件开关重启 升级过程中切勿断电,通过U盘覆盖旧文件,准备事项 Console线,通过超级终端登录2-1终端命令
6、行 版本文件 U盘 注意事项 U盘文件备份,以免文件丢失,强烈推荐,然后可以将U盘格式化 将新文件拷入U盘,文件名必须是英文,如“E1710.bin” 把U盘插入2-1终端 通过命令行对2-1终端进行文件覆盖操作 举例从R1618P01升级到E1710 从E1710升级到其余版本要注意命令行变化,连接Console线和使用超级终端,Console线,Con/AUX,打开超级终端,命令行操作(1),pwd显示当前工作目录 present working directory,dir显示当前目录内容 directory,显示当前和下次启动文件,命令行操作(2),uf1: inserted into
7、slot 0 提示USB设备插入,cd转换当前目录到uf1:/ change directory,pwd显示当前工作目录 present working directory,dir显示当前目录内容 directory,copy文件拷贝,把uf1:/e1710.bin 拷贝到flash:/main.bin,提示是否要执行拷贝 以及是否要覆盖原有文件,拷贝成功,通过网络覆盖旧文件,准备事项 网络连接和TFTP服务器,如Cisco-TFTPServer 版本文件 命令行条件如telnet或console 注意事项 学会设置TFTP服务器 覆盖失败要尝试再次上传直到成功为止,覆盖失败切勿断电 举例从R
8、1618P01升级到E1710 从E1710升级到其余版本要注意WEB页面变化,网络连接和文件准备,VLAN1 192.168.1.1 Gateway DHCP-Server DNS,DHCP-Client 192.168.1.2,Console,准备 TFTP服务器 版本文件,TFTP服务器设置,WEB操作(1),WEB操作(2),WEB操作(3),升级时间较长,在读写Flash期间,Console操作响应慢!,文件覆盖完成后重启设备,确保文件成功覆盖后才能进行重启操作,否则设备将无法正常启动 重启前先保存配置,避免当前配置丢失 WEB中保存配置 命令行中通过save命令保存 硬重启 通过断
9、电、重新上电方式重启,如:电源关开 软重启 WEB中重启 命令行中通过reboot命令重启,系统重启后检查,基本业务配置向导 设备升级 配置保存,WEB网管基本功能配置,保存配置(1),保存配置(2),保存配置(3),保存为安装配置,china2008,产品概述 WEB基本功能配置 高级功能配置 常见问题分析,目录,防病毒、攻击ACL IP-MAC绑定 IP地址限制和URL过滤 MAC地址限制和MAC地址允许 内部PC每IP均等限速 内部服务器和系统服务端口修改 SNMP和TR-069设置 虚拟专用网(IPSec和L2TP) 无线高级功能设置,高级功能配置,常见病毒、攻击原理,黑客扫描特定端口
10、,并对特定端口发送特殊数据使系统崩溃或获取系统权限 来自WAN口的扫描、攻击 WAN口地址为公网地址,互联网黑客都可以访问WAN口 WAN口速率低 来自LAN口的扫描,扫描,攻击,Internet,黑客主机,黑客主机,常见防攻击病毒ACL,对常见病毒和攻击、扫描使用的TCP、UDP端口进行过滤 端口列表较长,WEB配置复杂,可以使用命令行方式下发 举例,warm.blaster蠕虫病毒使用如下常用端口 rule 1 deny tcp destination-port eq 4444 rule 2 deny tcp destination-port eq 135 rule 3 deny udp
11、destination-port eq 135 详细ACL配置脚本,脚本中没有考虑DDNS和TR-069,因为DDNS和TR-069端口会变化,可以根据实际情况添加放行主机,防攻击ACL的应用,根据脚本配置 防攻击ACL,检查/打开防火墙,应用LAN口ACL,应用WAN口ACL,Navigatorinterface Vlan-interface 1 Navigator-Vlan-interface1firewall packet-filter name landefend inbound,Navigatorinterface Ethernet 0/0 Navigator-Ethernet0/0
12、firewall packet-filter name wandefend inbound,Navigatorfirewall enable,防病毒、攻击ACL IP-MAC绑定 IP地址限制和URL过滤 MAC地址限制和MAC地址允许 内部PC每IP均等限速 内部服务器和系统服务端口修改 SNMP和TR-069设置 虚拟专用网(IPSec和L2TP) 无线高级功能设置,高级功能配置,IP-MAC绑定,内部网络安全问题日益突出,以ARP欺骗类攻击为主 2-1终端通过display arp all查看IP-MAC对应关系是否正确 PC通过命令行arp -a查看 通过全局配置静态ARP方式防止AR
13、P欺骗 2-1终端执行arp static ip-address mac-address 举例:Navigatorarp static 192.168.1.2 0015-c50d-1903 PC通过arp -s ip-address mac-address方式绑定 C:arp -s 192.168.1.1 00-0f-e2-62-c6-09,欺骗网关,Internet,病毒主机,欺骗PC,防病毒、攻击ACL IP-MAC绑定 IP地址限制和URL过滤 MAC地址限制和MAC地址允许 内部PC每IP均等限速 内部服务器和系统服务端口修改 SNMP和TR-069设置 虚拟专用网(IPSec和L2T
14、P) 无线高级功能设置,高级功能配置,IP地址限制,某些PC为受限PC,可以通过限制IP地址方式禁止PC上网 财务服务器存放公司机密数据,为保证安全,禁止上网 某员工PC中木马,源源不断主动连接外部黑客主机,为减少损失,禁止上网,Internet,电信线路,192.168.1.2 财务服务器,192.168.1.200 中木马PC,限制192.168.1.2/200主机上网,基于时间段的IP地址限制,可以根据时间针对IP地址进行更详细的访问控制 让部分PC在工作时间无法访问网络 让部分PC在下班期间无法访问网络 华三2-1终端断电后无法保存时间设置 重启后会恢复成2007年1月1日 为使基于时
15、间段控制能够正常工作,终端重启后需要设置时间 也可以采用设置NTP服务器方式启动后自动从互联网NTP服务器获取时间 对于下班后要求所有电器断电的客户可以推荐不使用基于时间段IP地址限制和URL过滤,手动设置系统时间,设置NTP服务器,基于时间段的访问控制,网页过滤,禁止访问新浪,防病毒、攻击ACL IP-MAC绑定 IP地址限制和URL过滤 MAC地址限制和MAC地址允许 内部PC每IP均等限速 内部服务器和系统服务端口修改 SNMP和TR-069设置 虚拟专用网(IPSec和L2TP) 无线高级功能设置,高级功能配置,MAC地址限制,某些PC为受限PC,可以通过限制IP地址方式禁止PC上网
16、限制IP方式有缺陷,PC更改IP地址后又能上网 可以通过限制MAC地址方式限制,Internet,电信线路,0015-c50d-1903 财务服务器,0001-0203-0405 中木马PC,限制MAC原理,通过QoS方式实现 定义流分类 通过ACL匹配内部PC访问网关流量和DHCP获取地址流量 匹配限制MAC地址列表 定义流行为 允许 拒绝 定义QoS策略绑定流分类和流行为,根据配置顺序生效 访问网关和DHCP流量允许通过,除此之外流量全部为访问外网流量,进行下一匹配 MAC地址列表拒绝通过,即限制MAC地址列表访问外网流量 在LAN接口入方向应用QoS策略,定义访问网关和DHCP请求的ACL,第一步:检查当前存在的ACL,定义访问网关和DHCP请求的ACL,第二步:创建30003999ACL,定义访问网关和DHCP请求的ACL,第三步:ACL 3700允许目的地址192.168
