收藏
下载资源

华三商务领航网关1-2和2-1配置与维护v3.3

上传人:平*** 文档编号:47557464 上传时间:2018-07-02 格式:PPT 页数:92 大小:6.13MB
返回 下载 相关 举报
华三商务领航网关1-2和2-1配置与维护v3.3_第1页
第1页 / 共92页
华三商务领航网关1-2和2-1配置与维护v3.3_第2页
第2页 / 共92页
华三商务领航网关1-2和2-1配置与维护v3.3_第3页
第3页 / 共92页
华三商务领航网关1-2和2-1配置与维护v3.3_第4页
第4页 / 共92页
华三商务领航网关1-2和2-1配置与维护v3.3_第5页
第5页 / 共92页
点击查看更多>>
资源描述

《华三商务领航网关1-2和2-1配置与维护v3.3》由会员分享,可在线阅读,更多相关《华三商务领航网关1-2和2-1配置与维护v3.3(92页珍藏版)》请在金锄头文库上搜索。

1、商务领航1-2及2-1网关配置与维护ISSUE 3.3日期:杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播2n 商领1-2及2-1网关介绍n 商领网关功能配置与维护目录3商务领航网关1-2和2-1家族1-21-22-1(逐渐使用2-1+替换供应)2-1+2-1+4商务领航网关1-2控制口WAN x 2LAN x 4WLAN天线 x 1长按5秒重启并恢复出厂配置 5秒以下重启接地5商领网关2-1WLAN天线 x 2控制口WAN x 1LAN x 4长按5秒重启并恢复出厂配置 5秒以下重启接地扩展槽主天线从天线主天线从天线6商领网关2-1+WLAN天线 x 2控制口WAN x 2LAN

2、 x 8长按5秒重启并恢复出厂配置 5秒以下重启接地主天线从天线主天线从天线7网关版本的选择和特性差异1-22-12-1+版本文件关键 字ICG2000XICG2000_CTICG2000X示例ICG2000X- CMW520- E1807P01.BINICG2000_CT- CMW520- E1807P01.BINICG2000X- CMW520- E1807P01.BIN 三款设备师出同门,只是性能、接口数量有所差别 在版本号相同情况下,功能基本相同,配置方法完全一致 早期2-1设备使用16M Flash,一些新特性如SSL VPN没有合入ICG2000X-CMW520-E1807P01.

3、BIN 设备型号标识版本编号 ICG2000_CT-CMW520-E1807P01.BIN8n 商领1-2及2-1网关介绍n 商领网关功能配置与维护目录91-2及2-1配置与维护n 设置VLAN n 修改WLAN n 内部服务器 n 地址绑定 n 互联网访问控制 n 应用限制 n 群组功能 n 内部访问隔离 n 3G上网 n VPN-L2TP n VPN-SSL VPN n VPN-IPSec目录10设置VLAN无线VLAN1(默认) 192.168.1.2192.168.1.40有线VLAN2(新增) 192.168.2.2192.168.2.100有线VLAN3(新增) 192.168.3

4、.2192.168.3.50E0/2E0/7E0/8E0/9ChinaNet-A780按不同用途、不同接入方式 划分VLAN可以为后续业务 控制提供配置基础I11设置VLAN2(未完)12设置VLAN2(完成)131-2及2-1配置与维护n 设置VLAN n 修改WLAN n 内部服务器 n 地址绑定 n 互联网访问控制 n 应用限制 n 群组功能 n 内部访问隔离 n 3G上网 n VPN-L2TP n VPN-SSL VPN n VPN-IPSec目录14修改WLAN无线VLAN1 默认使用WEP加密有线VLAN2有线VLAN3E0/2E0/7E0/8E0/9ChinaNet-A780默认

5、WLAN的接入认证密码 不利于安全性和记忆,通常 需要自行修改I15修改WLAN接入服务(未完)16修改WLAN接入服务(完成)171-2及2-1配置与维护n 设置VLAN n 修改WLAN n 内部服务器 n 地址绑定 n 互联网访问控制 n 应用限制 n 群组功能 n 内部访问隔离 n 3G上网 n VPN-L2TP n VPN-SSL VPN n VPN-IPSec目录18Internet内部服务器访问需求无线VLAN1 192.168.1.2192.168.1.40有线VLAN2 192.168.2.2192.168.2.100E0/2E0/7E0/8E0/9ChinaNet-A780

6、中小企业通常只有1个公网地址,并用在 公司网络出口。通过内部服务器端口映射 机制可以实现访问同一个公网地址提供多 种内部服务,避免服务器所有端口暴露的 安全隐患。192.168.3.2 TCP 80端口WAN地址:117.20.34.6 TCP 80端口映射 192.168.3.2-TCP 80 TCP 443端口映射 192.168.3.3-TCP 443192.168.3.3 TCP 443端口19内部服务器设置(未完)20内部服务器设置(结束)注意 很多时候因为内部服务器没有设置网关地址,导致外部无法访问,请仔细检 查。 如在本例中,内部服务器192.168.3.2和192.168.3.

7、3都要将网关设置为 192.168.3.1。21Internet内部服务器隐藏端口E0/8E0/9192.168.3.2 TCP 80端口 TCP 37777端口(隐藏)WAN地址:117.20.34.6 TCP 80端口映射 192.168.3.2-TCP 80 TCP 37777端口映射(隐藏) 192.168.3.2-TCP 37777有的服务器,特别是视频监控服务器,通 常使用双端口,80端口提供WEB登录, 利用另外一个端口(隐藏是通常不被人不 了解)提供视频。确定隐藏端口的方法: 1. 访问客户端安装WireShark 2. 设置好浏览器,确保打开网页所相关ActiveX插 件已经

8、安装 3. 访问前启动WireShark抓包 4. 进行正常访问 5. 对抓包进行分析过滤,发现隐藏端口 6. 根据找出的隐藏端口添加内部映射22内部PC通过域名访问内部服务器Internet无线VLAN1 192.168.1.2192.168.1.40有线VLAN2 192.168.2.2192.168.2.100E0/8E0/9很多时候内部服务器也要对内部PC提供 访问,访问通常是通过域名方式进行,域 名访问对于互联网用户是完全没有问题的 ,对于内部PC访问则需要添加设置WAN地址:117.20.34.6 TCP 80端口映射 192.168.3.2-TCP 80192.168.3.2 T

9、CP 80端口 TCP 37777端口访问23原因24解决方案配置前准备 确定内部服务器地址及所有服务端口,本例中是假设是VLAN3中的 192.168.3.2的TCP 80和37777端口 确定需要访问内部服务器的内部PC地址范围,假设这里是VLAN2的 192.168.2.0/24和VLAN1的192.168.1.0/24 命令行配置命令行撤销可以使用undo命令 undo acl number 3400删除访问控制列表3400 undo nat outbound 3400可以在接口中的nat outbound 3400命令撤销acl number 3400 rule 0 permit t

10、cp source 192.168.2.0 0.0.0.255 destination 192.168.3.2 0 destination-port eq 80 rule 5 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.3.2 0 destination-port eq 37777 rule 10 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0 destination-port eq 80 rule 15 permit tcp sour

11、ce 192.168.1.0 0.0.0.255 destination 192.168.3.2 0 destination-port eq 37777 interface vlan-interface 3 nat outbound 251-2及2-1配置与维护n 设置VLAN n 修改WLAN n 内部服务器 n 地址绑定 n 互联网访问控制 n 应用限制 n 内部访问隔离 n 3G上网 n VPN-L2TP n VPN-SSL VPN n VPN-IPSec目录26地址绑定无线VLAN1 192.168.1.2192.168.1.40有线VLAN2 192.168.2.2192.168.2

12、.100有线VLAN3 192.168.3.2192.168.3.50E0/2E0/7E0/8E0/9ChinaNet-A780内部网络安全问题日益突出,尤以ARP 欺骗问题为甚,问题发生时,无法访问任 何网络。I27ARP扫描 操作前准备 记录内部每个PC的MAC地址和IP地址,保证操作时的准确性 在网络正常时进行ARP扫描,对所有VLAN的所有IP进行 记录 网络正常时扫描才能获得完全正确的IP-MAC对应关系28ARP固化扫描结束后可以对扫描结果固化下来 可以将静态设置IP地址的记录固化,对于DHCP地址池中的IP可以不固化 固化前可以检查扫描结果是否和事前统计结果一致,如果不一致则说明

13、存在ARP 欺骗或者统计错误,需要仔细确认 千万不要固化错误的记录,固化错误的后果和欺骗是一致的291-2及2-1配置与维护n 设置VLAN n 修改WLAN n 内部服务器 n 地址绑定 n 互联网访问控制 n 应用限制 n 群组功能 n 内部访问隔离 n 3G上网 n VPN-L2TP n VPN-SSL VPN n VPN-IPSec目录30无线VLAN1 192.168.1.2192.168.1.40有线VLAN2 192.168.2.2192.168.2.100有线VLAN3 192.168.3.2192.168.3.50E0/2E0/7E0/8E0/9ChinaNet-A780有些

14、PC因为信息安全原因,是不允许访 问互联网的。 Internet互联网访问控制31互联网访问控制有人使用根据时间访问控制无效果? 原因在于设备系统时间不准确,1-2、2-1无内置电池,设备重启后 时间恢复成2007年1月1日。32解决方案-NTP网络时间服务器互联网中有一些熟知的NTP服务器,对外提供时间同步工作 比较著名的如和time.nist.gov 这些服务器都是分布式的,有诸多IP地址提供服务 这些服务器提供的多是格林威治时间,调整为北京时间还需设置时区修 正如果设备解析time.nist.gov或失败,可以使用如下 几条命令替代display clock ntp-service unicast-server ntp-service unicast-server time.nist.gov clock timezone BeiJing add 8:00:00 display clockdisplay clock ntp-service unicast-server 207.46.232.182 ntp-service unicast-server 207.46

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号