RG-EG系列易网关产品初阶培训,牛永刚,第一章 产品简介 第二章 实施指导 第三章 案例分析,产品形态,RG-1000C,RG-1000S,RG-1000M,产品形态,EG1000C外观 PWR:电源灯,绿色常亮表示正常;SYS:系统指示灯,上电初始化时绿色常闪,初始化完成时绿色常亮,红色常亮表示告警 0/MGMT口,在网关模式下即表示Gi0/0口,在桥模式下表示管理口MGMT Gi0/3Gi0/5、Gi0/4Gi0/6是硬件bypass接口,当做桥串接到网络中时推荐使用这两组接口做桥 5F/6F是光电复用口,和Gi0/5、Gi0/6电口分别复用 SATA:硬盘指示灯,闪烁表示硬盘在读写,常亮表示硬盘存在 SD卡/USB接口:U盘推荐使用金士顿,并且文件系统格式为FAT32,其他型号不保证兼容性,,2,4,3,6,5,1,产品形态,EG1000S外观 RESET按钮:按下时间小于3 秒,出口网关重启; 按下时间大于3 秒,出口网关恢复出厂设置并重启 1F光电复用口,和Gi0/1 电口复用 Gi0/0Gi0/1、Gi0/3Gi0/4是硬件bypass接口,当做桥串接到网络中时推荐使用这两组接口做桥。
5/MGMT口,在网关模式下即Gi0/5口,在桥模式下是管理口MGMT,4,2,3,1,产品外观,EG1000M外观 双电源,支持热插拔 独立的MGMT口 Gi0/0Gi0/1、Gi0/2Gi0/3是硬件bypass接口,当做桥串接到网络中时推荐使用这两组接口做桥 支持8 对光电复用端口 扩展槽2个 支持光BYPASS,需购买光BYPASS设备1,4,2,3,5,6,产品简介,设备登录方式: 1.WEB登录 默认管理地址为192.168.1.1 2.Console登录 3.Telnet登录,第一章 产品简介 第二章 实施指导 第三章 案例分析,第二章 实施指导,了解用户环境 了解用户拓扑情况,用户数量,IP地址规划; 了解线路数量,带宽大小和运营商类型 收集用户需求 了解用户的功能需求是什么? 目前碰到的问题是什么,如何解决? 制定实施方案 确定实施时间、实施地点、实施人员、实施内容、实施方法和预期效果等第二章 实施指导,确认软件版本 请先确认当前使用版本是否是10.3(4B8)版本获取途径,从官网下载或者致电4008111000索要 库文件更新 4B8版本分“应用分类库”、“地址库”、“URL库”、“内容审计特征库”、“web网管”5个库文件,库文件均能更新。
硬盘检查 流量审计、内容审计的历史数据均存储在硬盘上,请确保硬盘工作状态正常在“系统首页”即能看到硬盘的工作状态 系统时间检查 系统时间关系到审计记录的时间准确性需确保系统时间准确无误第二章 实施指导,拓扑连接 EG具有两种模式:,网关模式: 设备作为出口网关设备,起路由 和地址转换作用 网桥模式: 设备桥接在网络中,透明转发, 不改变现有拓扑,能进行流控和 审计相关功能 注意:网关模式和网桥模式在流控、上网行为管理、web认证上无区别,但是网桥模式无路由相关的功能本实施指导以网关模式为例第二章 实施指导,拓扑连接——网关模式 内网口接内网 外网口接外网 注意: EG的接口属性具有内网口和外网口之分; 内网口和外网口都是三层口; 内网口和外网口能相互转换,转换之后需要重启; 如果端口数不够,可在“网络配置”——“接口配置”——“接口转换”中 先进行转换再配置配置管理——快速配置 首次配置必须使用快速配置,以完成设备的初始化配置,否则可能出现不可预料的问题 快速配置——实现快速上网(默认管理接口LAN0口,IP地址为192.168.1.1,账号和密码是admin/admin,建议使用ie浏览器的兼容模式打开web管理界面)。
选择网络模式为网关模式第二章 实施指导,第二章 实施指导,配置管理——快速配置 填写接口IP地址(配置内网口IP地址和掩码;选择外网口地址类型,支持静态IP地址、ADSL、DHCP;填写正确的带宽大小和ISP类型)第二章 实施指导,配置管理——快速配置 选择流控方案(流控方案有网吧、企业、酒店、普教、高校;除了高校是基于用户外,其他的方案是基于应用的,基于应用的流控方案,应用分类选型不一样)第二章 实施指导,配置管理——快速配置 高级选项(如果需要进行地址转换一定要开启NAT配置,要能够访问外网一定要开启缺省路由)第二章 实施指导,配置管理——流控模板的调整 流控模板调整——4B8版本流控采用模板化的流控方案,流控方案是精心设计的,适用于绝大部分的应用场景 调整应用分类,通过鼠标拖动可以对应用进行快速分类(默认每种应用都属于其中某个分类)第二章 实施指导,配置管理——流控模板的调整 点击左上角的“带宽配置” ,打开带宽配置页面第二章 实施指导,配置管理——流控模板的调整 流控模板对关键应用和普通应用在带宽紧张时做了带宽保障(建议保持默认比例) 流控模板保证在当普通和抑制应用无流量的时候,关键应用能借用所有带宽,依次类推普通应用也是如此,而抑制应用则能占用70%最大带宽(建议保持默认比例)。
流控模板按照线路带宽自动计算每IP的最大带宽,因此每个IP地址是有带宽上限的,如果带宽比较充裕可调大普通应用和抑制应用的每IP最大带宽(可选调整) *在单机测试的情况下需要调整每IP最大带宽和各类应用最大带宽,否则流量上不去 *配置完一条线路后要先进行保存,再配置下一条线路第二章 实施指导,配置管理——流控高级策略 流控高级——向导化的设计使得配置更加方便灵活(适用于工程师使用) 点击流控高级按钮 ,进入流控高级策略配置页面 选择接口Gi0/6,然后点击新建策略,新建流控策略新建策略采用向导化 5个步骤:规则命名——带宽分配——选择用户——选择应用——高级选项——完成配置 流控策略在一条线路设置好后,可通过“复制策略”复制到其他线路上,减少配置的工作量第二章 实施指导,配置管理——流控高级策略 注意: 开关闭流控 进入“流控高级”,选择某条线路,可关闭某条流控策略或者线路所有流控第二章 实施指导,配置管理——流控高级策略 带宽升级 点击“带宽配置” ,选择某条线路,可进行流控带宽升级调整需要注意的是升级带宽会相应的修改“各类应用保障带宽”和“各类应用最大带宽”,而不会修改“各类应用每IP最大带宽”。
第二章 实施指导,配置管理——流控高级策略 流控方案切换 点击切换按钮 ,可以快速切换流控方案,也能够将流控方案恢复为预设的流控方案第二章 实施指导,配置管理——流控高级策略 应用阻断 应用阻断无需配置高级策略来实现阻断,点击 ,添加需阻断的应用即可实现应用阻断 该阻断基于全局生效,无需在接口配置阻断策略第二章 实施指导,配置管理——应用路由 从10.3(4B8)版本开始支持应用路由,应用路由即基于应用进行选路,常用于以下场景: 多外网线路; 线路质量或者线路价格存在差异; 视频或者P2P占用了大量带宽影响了关键业务 因此需要将占用带宽比较大的分流到其他线路上,以保证关键业务不受影响,并且能够节约成本 例如: 某深圳网吧,30M光纤 15000元/月,12M ADSL约800元/月,每M价格差距达到7-8倍如果能够保证关键应用走光纤,其他抑制应用走的是比较低廉的ADSL线路,那么对于网吧经营者来说就意味成本降低,可以更好的利用线路,提升用户体验第二章 实施指导,配置管理——应用路由 在“网络配置”——“路由/负载”——“新建应用路由”应用路由采用向导化配置如下图: 注意: 应用路由要能生效,需要在接口上配置下一跳地址。
为了达到更好的分流效果,当选择某项应用分类时系统 会自动为您选择相关联的应用 应用可分流到一个接口组中,接口组可包含多个接口 接口组中的接口之间的负载均衡策略可采用基于负载 或者基于带宽的负载均衡策略如果是接口组的接口带宽 大小不一致推荐使用基于负载,如果一致两种策略均可 并不是所有应用都能应用路由,支持的类型会不断更新第二章 实施指导,配置管理——多链路负载均衡和过载保护 多链路负载均衡用于解决ECMP路由(默认路由/静态路由/地址库)之间的选路问题,优化带宽利用率或者减低访问延时适用如下场景: 单运营商多条线路:设备配置了多条默认路由形成ECMP路由,当各线路质量相同,采用mllb的带宽策略或者带宽利用率策略,由于负载策略会兼顾到线路当前的负载情况,我们推荐使用负载策略; 多运营商多条线路:设备配置了多条默认路由或者多条线路启用同样的地址库,形成了EMCP路由这种情况需首先明确各线路之间跨网延时会不会大,延时大采用时延策略,延时小采用带宽策略或负载策略同时要分析能否开启地址库,即电信或联通的带宽够不够,如果足够,可以开启地址库 开启基于时延的策略可能会引起某条线路带宽负载比较大,但低于缺省阀值,这是正常现象,高过阀值之后流量会分配到其他延时比较小的线路上。
过载保护: 当接口组中一条线路超过阀值之后,流量分担到接口组中的其他线路上第二章 实施指导,配置管理——多链路负载均衡和过载保护 选路优先级关系: RPL(源进源出)PBR(策略路由)过载保护应用路由普通路由选路/负载均衡 负载均衡配置: 在接口配置中配置下一跳,并开启缺省路由, 保证存在ECMP路由 在“网络配置”——“路由/负载”——“多 链路负载均衡”开启负载均衡,同时选择负载策略 策略类型 当所有线路都超过阀值(默认90%)时,流量 选路走Gi0/6口(可选配置)第二章 实施指导,配置管理——多链路负载均衡和过载保护 对于同一个接口组内的接口,如果某个接口的流量超过了链路阀值(90%),而该接口的后续新建流从别的出口可达,会把后续新建流切换到组内的其余接口 过载保护配置 在接口配置中配置下一跳地址 在“网络配置”——“路由/负载”——“多 链路负载均衡”开启过载保护 将需要过载保护的接口配置到一个关键接口组中 只有组中的接口才能进行相互间的过载保护第二章 实施指导,配置管理——广告推送 广告推送适用于酒店行业,在普教行业也可以使用该功能进行网上通知发布,中小企业则可以借此功能进行公司主页推送。
在“网络配置”——“DNS配置”设备上 配置DNS(当地DNS,DNS要保证可用性)第二章 实施指导,配置管理——广告推送 在“用户管理”——“上网实名策略”中开启“内置web认证服务器”同时按照如下进行配置开启无需认证广告推送,必须开启账号共享,配置广告地址并设置广告间隔,时间间隔期间不会再次弹出广告,开启广告推送必须配置,第二章 实施指导,配置管理——广告推送 在 “内置认证服务器”高级设置中设置,,开启下线检测后,如果用户15分钟无流量,那么认为用户不,当用户重新使用网络时,将再次弹出广告,而不是等时间间隔2小时到再弹广告此功能可关闭第二章 实施指导,配置管理——广告推送 首次上网时会弹出两个打开页,一个是广告 页,一个是上网提示页,点击继续上网即可 实现上网,没有点击的话会再次弹出广告 注意:广告页面不能是会跳转的网站,或者 弹出框很多的门户网站第二章 实施指导,配置管理——上网实名策略 在单EG出口的网络环境下,客户需要对pc上网进行控制:办公区域地址免认证且不弹出广告,其他区域则需要认证,认证用户先认证后广告 解决办法:EG采用内置web认证模式, 广告推送模式设置为先认证后广告,办 公区域IP加入免认证用户IP中。
开启内置认证服务器 管理认证用户:在“管理认证用户” 中添加本地认证的用户名和密码 广告地址:设置广告推送方式为先认证 后广告,并且配置要推送的广告地址第二章 实施指导,配置管理——上网实名策略 假设办公区域为33.1.1.0网段,在 高级选项中将其加入免认证用户I。