收藏
下载资源

商务领航网关1-2和2-1配置与维护

上传人:宝路 文档编号:47999126 上传时间:2018-07-08 格式:PPT 页数:86 大小:6.14MB
返回 下载 相关 举报
商务领航网关1-2和2-1配置与维护_第1页
第1页 / 共86页
商务领航网关1-2和2-1配置与维护_第2页
第2页 / 共86页
商务领航网关1-2和2-1配置与维护_第3页
第3页 / 共86页
商务领航网关1-2和2-1配置与维护_第4页
第4页 / 共86页
商务领航网关1-2和2-1配置与维护_第5页
第5页 / 共86页
点击查看更多>>
资源描述

《商务领航网关1-2和2-1配置与维护》由会员分享,可在线阅读,更多相关《商务领航网关1-2和2-1配置与维护(86页珍藏版)》请在金锄头文库上搜索。

1、商务领航1-2及2-1网关配置与维护日期:杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播ISSUE 3.8n 熟悉华三1-2和2-1的外观和版本关系n 掌握常用功能的配置n 掌握一些基本故障的诊断课程目标学习完本课程,您应该能够:n 商务领航网关1-2及2-1介绍n 商务领航网关的配置与维护目录4商务领航网关家族1-2(ICG2000B )2-1(ICG2000) 逐渐被2-1+取代2-1+(ICG2000C )5控制口WAN x 2LAN x 4商务领航网关1-2WLAN天线 x 1 RESET: 长按5秒重启并恢复出厂配置 5秒以下重启接地6控制口WAN x 1 LAN x 4

2、接地扩展槽主天线从天线商务领航网关2-1长按5秒重启并恢复出厂配置 5秒以下重启主天线从天线WLAN天线 x 7商务领航网关2-1+WLAN天线 x 2从天线 主天线长按5秒重启并恢复出厂配置 5秒以下重启控制口 WAN x 2LAN x 8接地从天线主天线8版本选择和特性差异1-22-12-1+ 版本文件关键字ICG2000XICG2000_CTICG2000X示例ICG2000X- CMW520- E1809P11.BINICG2000_CT- CMW520- E1809P11.BINICG2000X- CMW520- E1809P11.BINICG2000X-CMW520-E1809P1

3、1.BIN设备型号标识版本编号l 三款设备都包装自MSR,只是性能、接口有所差别。l 在版本号相同的情况下,功能基本相同,配置方法完全一致。l 早期2-1设备使用的是16M Flash,一些新特性入SSL VPN没有合入。目录n 商务领航网关1-2及2-1介绍n 商务领航网关的配置与维护10商务领航网关的配置与维护n 快速向导 n 设置VLAN n 修改WLAN n 内部服务器 n 地址绑定 n 互联网访问控制 n 应用限制 n 群组功能 n 内部访问隔离 n QoS n 3G上网 n VPN-L2TP n VPN-IPSec目录11快速向导(一)快速向导能够快速的帮你完成设备的基本配置12快

4、速向导(二)第一步:设置WAN口参数13快速向导(三)第二步:设置WLAN参数14快速向导(四)第三步:设置LAN口参数15快速向导(五)第四步:完成配置16商务领航网关的配置与维护n 快速向导 n 设置VLAN n 修改WLAN n 内部服务器 n 地址绑定 n 互联网访问控制 n 应用限制 n 群组功能 n 内部访问隔离 n 3G上网 n QoS n VPN-L2TP n VPN-IPSec目录17设置VLAN无线VLAN1(默认) 192.168.1.2192.168.1.40有线VLAN2(新增) 192.168.2.2192.168.2.100有线VLAN3(新增) 192.168.

5、3.2192.168.3.50E0/2E0/7E0/8E0/9ChinaNet-A780按不同用途、不同接入方式 划分VLAN可以为后续业务 控制提供配置基础。I18设置VLAN 2 (一)19设置VLAN 2(二)通过相同的方法,我们可以设置VLAN3并修改VLAN20商务领航网关的配置与维护n 快速向导 n 设置VLAN n 修改WLAN n 内部服务器 n 地址绑定 n 互联网访问控制 n 应用限制 n 群组功能 n 内部访问隔离 n 3G上网 n QoS n VPN-L2TP n VPN-IPSec目录21修改WLAN无线VLAN1 默认使用WEP加密有线VLAN2有线VLAN3E0/

6、2E0/7E0/8E0/9ChinaNet-A780默认WLAN的接入认证密码 不利于安全性和记忆,通常 需要自行修改。I22修改WLAN接入服务(一)23修改WLAN接入服务(二)24商务领航网关的配置与维护n 快速向导 n 设置VLAN n 修改WLAN n 内部服务器 n 地址绑定 n 互联网访问控制 n 应用限制 n 群组功能 n 内部访问隔离 n 3G上网 n QoS n VPN-L2TP n VPN-IPSec目录25内部服务器访问需求Internet无线VLAN1 192.168.1.2192.168.1.40有线VLAN2 192.168.2.2192.168.2.100E0/

7、2E0/7E0/8E0/9ChinaNet-A780中小企业通常只有1个公网地址,并用在 公司网络出口。通过内部服务器端口映射 机制可以实现访问同一个公网地址提供多 种内部服务,避免服务器所有端口暴露的 安全隐患。192.168.3.2 TCP 80端口WAN地址:117.20.34.6 TCP 80端口映射 192.168.3.2-TCP 80 TCP 443端口映射 192.168.3.3-TCP 443192.168.3.3 TCP 443端口26内部服务器设置(一)27内部服务器设置(二)注意: 很多时候因为内部服务器没有设置网关地址,导致外部无法访问,请仔细检查。 如在本例中,内部服

8、务器192.168.2.2和192.168.2.3都要将网关设置为192.168.2.1。28内部服务器隐藏端口InternetE0/8E0/9192.168.3.2 TCP 80端口 TCP 37777端口(隐藏)WAN地址:117.20.34.6 TCP 80端口映射 192.168.3.2-TCP 80 TCP 37777端口映射(隐藏) 192.168.3.2-TCP 37777有的服务器,特别是视频监控服务器,通 常使用双端口,80端口提供WEB登录, 利用另外一个端口(隐藏是通常不被人不 了解)提供视频。确定隐藏端口的方法: 1. 访问客户端安装WireShark 2. 设置好浏览

9、器,确保打开网页所相关ActiveX插 件已经安装 3. 访问前启动WireShark抓包 4. 进行正常访问 5. 对抓包进行分析过滤,发现隐藏端口 6. 根据找出的隐藏端口添加内部映射29内网PC通过域名访问内网服务器Internet无线VLAN1 192.168.1.2192.168.1.40有线VLAN2 192.168.2.2192.168.2.100E0/8E0/9很多时候内部服务器也要对内部PC提供 访问,访问通常是通过域名方式进行,域 名访问对于互联网用户是完全没有问题的 ,对于内部PC访问则需要添加设置WAN地址:117.20.34.6 TCP 80端口映射 192.168.

10、3.2-TCP 80192.168.3.2 TCP 80端口 TCP 37777端口访问30原因31解决方案l 配置前准备 确定内部服务器地址及所有服务端口,本例中是假设是VLAN3中的192.168.3.2 的TCP 80和37777端口 确定需要访问内部服务器的内部PC地址范围,假设这里是VLAN2的 192.168.2.0/24和VLAN1的192.168.1.0/24 l 命令行配置l 命令行撤销可以使用undo命令 undo acl number 3400删除访问控制列表3400 undo nat outbound 3400可以在接口中的nat outbound 3400命令撤销ac

11、l number 3400 rule 0 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.3.2 0 destination-port eq 80 rule 5 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.3.2 0 destination-port eq 37777 rule 10 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0 destination-port

12、eq 80 rule 15 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0 destination-port eq 37777 interface vlan-interface 3 nat outbound 32商务领航网关的配置与维护n 快速向导 n 设置VLAN n 修改WLAN n 内部服务器 n 地址绑定 n 互联网访问控制 n 应用限制 n 群组功能 n 内部访问隔离 n 3G上网 n QoS n VPN-L2TP n VPN-IPSec目录33地址绑定无线VLAN1 192.168.1.2192.1

13、68.1.40有线VLAN2 192.168.2.2192.168.2.100有线VLAN3 192.168.3.2192.168.3.50E0/2E0/7E0/8E0/9ChinaNet-A780内部网络安全问题日益突出,尤以ARP 欺骗问题为甚,问题发生时,无法访问任 何网络。I34ARP扫描l 操作前准备 记录内部每个PC的MAC地址和IP地址,保证操作时的准确性 l 在网络正常时进行ARP扫描,对所有VLAN的所有IP进行记录 网络正常时扫描才能获得完全正确的IP-MAC对应关系通过相同的方法,我们也可以扫描VLAN1和VLAN3。35ARP固化l 扫描结束后可以对扫描结果固化下来 l

14、 可以将静态设置IP地址的记录固化,对于DHCP地址池中的IP可以不固化 固化前可以检查扫描结果是否和事前统计结果一致,如果不一致则说明存在ARP 欺骗或者统计错误,需要仔细确认 千万不要固化错误的记录,固化错误的后果和欺骗是一致的36商务领航网关的配置与维护n 快速向导 n 设置VLAN n 修改WLAN n 内部服务器 n 地址绑定 n 互联网访问控制 n 应用限制 n 群组功能 n 内部访问隔离 n 3G上网 n QoS n VPN-L2TP n VPN-IPSec目录37互联网访问控制(一)无线VLAN1 192.168.1.2192.168.1.40有线VLAN2 192.168.2.2192.168.2.100有线VLAN3 192.168.3.2192.168.3.50E0/2E0/7E0/8E0/9ChinaNet-A780有些PC因为信息安全原因,是不允许访 问互联网的。I38互联网访问控制(二)有人使用根据时间访问控制无效果? 原因在于设备系统时间不准确,1-2、2-1无内置电池,设备重启后 时间恢复成2007年1月1日。39解决方案NTP网络时间服务器l 互联网中有一些熟知的NTP服务器,对外提供时间同步工作: 比较著名的如和time.nist.gov 这些服务器都是分布式的,有诸多IP地址提供服务 这些服务器提供的

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 教学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号