商务领航网关1-2和2-1配置与维护.ppt

资源描述

《商务领航网关1-2和2-1配置与维护.ppt》由会员分享，可在线阅读，更多相关《商务领航网关1-2和2-1配置与维护.ppt（86页珍藏版）》请在三一文库上搜索。

1、商务领航1-2及2-1网关配置与维护,日期：,杭州华三通信技术有限公司版权所有，未经授权不得使用与传播,ISSUE 3.8,熟悉华三1-2和2-1的外观和版本关系掌握常用功能的配置掌握一些基本故障的诊断,课程目标,学习完本课程，您应该能够：,商务领航网关1-2及2-1介绍商务领航网关的配置与维护,目录,商务领航网关家族,1-2（ICG2000B）,2-1（ICG2000）逐渐被2-1+取代,2-1+（ICG2000C）,商务领航网关1-2,WLAN天线 x 1,RESET: 长按5秒重启并恢复出厂配置 5秒以下重启,接地,控制口,WAN x 1,LAN x 4,接地,扩展槽,主天线,从

2、天线,商务领航网关2-1,长按5秒重启并恢复出厂配置 5秒以下重启,主天线,从天线,WLAN天线 x 2,商务领航网关2-1+,WLAN天线 x 2,从天线,主天线,长按5秒重启并恢复出厂配置 5秒以下重启,控制口,WAN x 2,LAN x 8,接地,从天线,主天线,版本选择和特性差异,ICG2000X-CMW520-E1809P11.BIN,设备型号标识,版本编号,三款设备都包装自MSR，只是性能、接口有所差别。在版本号相同的情况下，功能基本相同，配置方法完全一致。早期2-1设备使用的是16M Flash，一些新特性入SSL VPN没有合入。,目录,商务领航网关1-2及2-1介绍商务

3、领航网关的配置与维护,商务领航网关的配置与维护,快速向导设置VLAN 修改WLAN 内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离 QoS 3G上网 VPN-L2TP VPN-IPSec,目录,快速向导（一）,快速向导能够快速的帮你完成设备的基本配置,快速向导（二）,第一步：设置WAN口参数,快速向导（三）,第二步：设置WLAN参数,快速向导（四）,第三步：设置LAN口参数,快速向导（五）,第四步：完成配置,商务领航网关的配置与维护,快速向导设置VLAN 修改WLAN 内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离 3G上网 QoS VPN-

4、L2TP VPN-IPSec,目录,设置VLAN,无线VLAN1（默认） 192.168.1.2192.168.1.40,有线VLAN2（新增） 192.168.2.2192.168.2.100,有线VLAN3（新增） 192.168.3.2192.168.3.50,E0/2E0/7,E0/8E0/9,ChinaNet-A780,按不同用途、不同接入方式划分VLAN可以为后续业务控制提供配置基础。,Internet,设置VLAN 2 （一）,设置VLAN 2（二）,通过相同的方法，我们可以设置VLAN3并修改VLAN1,商务领航网关的配置与维护,快速向导设置VLAN 修改WLAN 内部服务器

5、地址绑定互联网访问控制应用限制群组功能内部访问隔离 3G上网 QoS VPN-L2TP VPN-IPSec,目录,修改WLAN,无线VLAN1 默认使用WEP加密,有线VLAN2,有线VLAN3,E0/2E0/7,E0/8E0/9,ChinaNet-A780,默认WLAN的接入认证密码不利于安全性和记忆，通常需要自行修改。,Internet,修改WLAN接入服务（一）,修改WLAN接入服务（二）,商务领航网关的配置与维护,快速向导设置VLAN 修改WLAN 内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离 3G上网 QoS VPN-L2TP VPN-IPSec

6、,目录,内部服务器访问需求,Internet,无线VLAN1 192.168.1.2192.168.1.40,有线VLAN2 192.168.2.2192.168.2.100,E0/2E0/7,E0/8E0/9,ChinaNet-A780,中小企业通常只有1个公网地址，并用在公司网络出口。通过内部服务器端口映射机制可以实现访问同一个公网地址提供多种内部服务，避免服务器所有端口暴露的安全隐患。,192.168.3.2 TCP 80端口,WAN地址：117.20.34.6 TCP 80端口映射 192.168.3.2-TCP 80 TCP 443端口映射 192.168.3.3-TCP 443,1

7、92.168.3.3 TCP 443端口,内部服务器设置（一）,内部服务器设置（二）,通过相同的方法，我们可以设置TCP 443端口映射到192.168.2.3,注意: 很多时候因为内部服务器没有设置网关地址，导致外部无法访问，请仔细检查。如在本例中，内部服务器192.168.2.2和192.168.2.3都要将网关设置为192.168.2.1。,内部服务器隐藏端口,Internet,E0/8E0/9,192.168.3.2 TCP 80端口 TCP 37777端口（隐藏）,WAN地址：117.20.34.6 TCP 80端口映射 192.168.3.2-TCP 80 TCP 37777端口

8、映射（隐藏） 192.168.3.2-TCP 37777,有的服务器，特别是视频监控服务器，通常使用双端口，80端口提供WEB登录，利用另外一个端口（隐藏是通常不被人不了解）提供视频。,确定隐藏端口的方法：访问客户端安装WireShark 设置好浏览器，确保打开网页所相关ActiveX插件已经安装访问前启动WireShark抓包进行正常访问对抓包进行分析过滤，发现隐藏端口根据找出的隐藏端口添加内部映射,内网PC通过域名访问内网服务器,Internet,无线VLAN1 192.168.1.2192.168.1.40,有线VLAN2 192.168.2.2192.168.2.100,E0

9、/8E0/9,很多时候内部服务器也要对内部PC提供访问，访问通常是通过域名方式进行，域名访问对于互联网用户是完全没有问题的，对于内部PC访问则需要添加设置,WAN地址：117.20.34.6 TCP 80端口映射 192.168.3.2-TCP 80,192.168.3.2 TCP 80端口 TCP 37777端口,访问117.20.34.6,原因,解决方案,配置前准备确定内部服务器地址及所有服务端口，本例中是假设是VLAN3中的192.168.3.2的TCP 80和37777端口确定需要访问内部服务器的内部PC地址范围，假设这里是VLAN2的192.168.2.0/24和VLAN1的19

10、2.168.1.0/24 命令行配置命令行撤销可以使用undo命令 undo acl number 3400删除访问控制列表3400 undo nat outbound 3400可以在接口中的nat outbound 3400命令撤销,acl number 3400 rule 0 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.3.2 0 destination-port eq 80 rule 5 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.3.

11、2 0 destination-port eq 37777 rule 10 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0 destination-port eq 80 rule 15 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0 destination-port eq 37777 interface vlan-interface 3 nat outbound 3400,商务领航网关的配置与维护,快速向导设置VLAN 修改W

12、LAN 内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离 3G上网 QoS VPN-L2TP VPN-IPSec,目录,地址绑定,无线VLAN1 192.168.1.2192.168.1.40,有线VLAN2 192.168.2.2192.168.2.100,有线VLAN3 192.168.3.2192.168.3.50,E0/2E0/7,E0/8E0/9,ChinaNet-A780,内部网络安全问题日益突出，尤以ARP欺骗问题为甚，问题发生时，无法访问任何网络。,Internet,ARP扫描,操作前准备记录内部每个PC的MAC地址和IP地址，保证操作时的准确性在网络

13、正常时进行ARP扫描，对所有VLAN的所有IP进行记录网络正常时扫描才能获得完全正确的IP-MAC对应关系,通过相同的方法，我们也可以扫描VLAN1和VLAN3。,ARP固化,扫描结束后可以对扫描结果固化下来可以将静态设置IP地址的记录固化，对于DHCP地址池中的IP可以不固化固化前可以检查扫描结果是否和事前统计结果一致，如果不一致则说明存在ARP欺骗或者统计错误，需要仔细确认千万不要固化错误的记录，固化错误的后果和欺骗是一致的,商务领航网关的配置与维护,快速向导设置VLAN 修改WLAN 内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离 3G上网 QoS VP

14、N-L2TP VPN-IPSec,目录,互联网访问控制（一）,无线VLAN1 192.168.1.2192.168.1.40,有线VLAN2 192.168.2.2192.168.2.100,有线VLAN3 192.168.3.2192.168.3.50,E0/2E0/7,E0/8E0/9,ChinaNet-A780,有些PC因为信息安全原因，是不允许访问互联网的。,Internet,192.168.2.10,192.168.1.20,互联网访问控制（二）,有人使用根据时间访问控制无效果？原因在于设备系统时间不准确，1-2、2-1无内置电池，设备重启后时间恢复成2007年1月1日。,解决方案

15、NTP网络时间服务器,互联网中有一些熟知的NTP服务器，对外提供时间同步工作：比较著名的如和time.nist.gov 这些服务器都是分布式的，有诸多IP地址提供服务这些服务器提供的多是格林威治时间，调整为北京时间还需设置时区修正如果设备解析time.nist.gov或失败，可以使用如下几条命令替代：,display clock ntp-service unicast-server ntp-service unicast-server time.nist.gov clock timezone BeiJing add 8:00:00 display clock,display clock

16、 ntp-service unicast-server ntp-service unicast-server time.nist.gov clock timezone BeiJing add 8:00:00 display clock,URL过滤,有时候需要对所有员工访问WEB进行限制，如限制访问开心网，人人网等。,商务领航网关的配置与维护,快速向导设置VLAN 修改WLAN 内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离 3G上网 QoS VPN-L2TP VPN-IPSec,目录,应用限制,无线VLAN1 192.168.1.2192.168.1.40,有线VL

17、AN2 192.168.2.2192.168.2.100,有线VLAN3 192.168.3.2192.168.3.50,E0/2E0/7,E0/8E0/9,ChinaNet-A780,因为信息安全原因，允许员工上网，但是限制所有PC使用QQ、MSN、BT、电驴等应用。,Internet,加载特征码进行应用限制（一）,加载特征码进行应用限制（二）,应用后会对新连接采取阻断行为，对于已经存在的连接不会生效,商务领航网关的配置与维护,快速向导设置VLAN 修改WLAN 内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离 QoS 3G上网 VPN-L2TP VPN-IPSec,

18、目录,群组功能,无线VLAN1 192.168.1.2192.168.1.40,有线VLAN2 192.168.2.2192.168.2.100,有线VLAN3 192.168.3.2192.168.3.50,E0/2E0/7,E0/8E0/9,ChinaNet-A780,对主管网络行为不进行限制，只是对部分员工要进行限制，可以对限制员工PC建立群组，对该群组进行限制。,Internet,192.168.2.10,192.168.1.20,建立群组,群组访问控制和应用控制,群组带宽和包过滤防火墙,商务领航网关的配置与维护,快速向导设置VLAN 修改WLAN 内部服务器地址绑定互联网访问控

19、制应用限制群组功能内部访问隔离 QoS 3G上网 VPN-L2TP VPN-IPSec,目录,内部访问隔离,无线VLAN1 192.168.1.2192.168.1.40,有线VLAN2 192.168.2.2192.168.2.100,有线VLAN3 192.168.3.2192.168.3.50,E0/2E0/7,E0/8E0/9,ChinaNet-A780,某些公司内部信息比较机密，要求无线VLAN1和VLAN2、VLAN3不允许相互访问，VLAN2能够访问VLAN3，但VLAN3不允许访问VLAN2。,Internet,内部访问隔离配置（一）,传统的网络控制都是限制互联网应用，对

20、于局域网之间的隔离考虑较少双向隔离，双方不能互访，可以采用简单的包过滤防火墙单向隔离，流量是双向的，但只能从一侧对另一侧发起访问，要使用更高级的应用状态包过滤技术ASPF 限制VLAN1和VLAN2、VLAN3互访 vlan1网段192.168.1.0/24 vlan2网段192.168.2.0/24 vlan3网段192.168.3.0/24,firewall enable acl number 2300 rule 0 deny source 192.168.1.0 0.0.0.255 interface vlan-interface 2 firewall packet-filter 2

21、300 outbound interface vlan-interface 3 firewall packet-filter 2300 outbound,内部访问隔离配置（二）,VLAN2可以访问VLan3，但VLAN3不能访问VLAN2 vlan2网段192.168.2.0/24 vlan3网段192.168.3.0/24 ASPF原理 LAN3禁止192.168.3.0/24主动发起任何访问建立ASPF策略，探测TCP和UDP 在LAN3接口应用ASPF，探测访问LAN3方向的TCP、UDP连接，为该连接建立允许规则 LAN3的回复数据匹配允许规则，而可以到达LAN2,firewall

22、enable acl number 2301 rule 0 deny aspf-policy 1 detect tcp detect udp interface vlan-interface 3 firewall packet-filter 2301 inbound firewall aspf 1 outbound,商务领航网关的配置与维护,快速向导设置VLAN 修改WLAN 内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离 QoS 3G上网 VPN-L2TP VPN-IPSec,目录,QoS,无线VLAN1 192.168.1.2192.168.1.40,有线VLAN

23、2 192.168.2.2192.168.2.100,有线VLAN3 192.168.3.2192.168.3.50,E0/2E0/7,E0/8E0/9,ChinaNet-A780,QoS应用可以灵活的对网段或者每个IP进行带宽限速和带宽保证。,Internet,192.168.2.10,192.168.1.20,每IP限速,有的员工因为下载或游戏占用过多带宽，使其余PC工作带宽不够用可以使用每IP限速，将每个IP所占用的最大上下行带宽控制在合理的范围经验值下载1M，上传512K 可以指定为某地址范围灵活限速,高级带宽限速（一）,高级带宽限速可以对数据流进行精确匹配，从而使限速行为更为灵活

24、有效。,”匹配条件“设置待续,高级带宽限速（二）,注意：可以对限制带宽的时间做设置，但是要保证设备时间的准确性。可以限制指定协议的流量，但是只能选择其中的一项协议（下面的五个应用总共算一项），也就是说只能在上面的8种协议中选择一种打钩，或者在下面的5种应用程序中选择任意几种打钩。,高级带宽保证（一）,高级带宽保证可以对数据流进行精确匹配，从而使带宽保证行为更为灵活有效。,高级带宽保证（二）,定义数据流的配置如之前的高级带宽限速中的配置。,商务领航网关的配置与维护,快速向导设置VLAN 修改WLAN 内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离 QoS 3G上网

25、VPN-L2TP VPN-IPSec,目录,3G上网,无线VLAN1 192.168.1.2192.168.1.40,有线VLAN2 192.168.2.2192.168.2.100,有线VLAN3 192.168.3.2192.168.3.50,E0/2E0/7,E0/8E0/9,ChinaNet-A780,商务领航网关通过插USB EVDO上网卡可以连入3G网络，实现更灵活、更可靠的接入组合。,Internet,主用WAN上行,EVDO上行备份,查看3G上网卡是否能够被识别,配置拨号参数,配置备份路由,商务领航网关的配置与维护,快速向导设置VLAN 修改WLAN 内部服务器地址绑定互

26、联网访问控制应用限制群组功能内部访问隔离 QoS 3G上网 VPN-L2TP VPN-IPSec,目录,L2TP,无线VLAN1 192.168.1.2192.168.1.40,有线VLAN2 192.168.2.2192.168.2.100,有线VLAN3 192.168.3.2192.168.3.50,E0/2E0/7,E0/8E0/9,ChinaNet-A780,针对一些驻外人员或出差员工，提供拨号方式访问内部网络。VPN用户可以和内网用户同一网段，也可以不同网段。,Internet,L2TP拨号客户端 192.168.1.50192.168.1.100,L2TP隧道,WAN地址

27、117.20.34.6 VPN网关地址借用VLAN1接口地址,L2TP配置（一）,配置拨号用户名、密码，此示例中均为pc 设置拨号域，此例中为ct10000，拨号客户端使用用户名pcct10000进行拨号在域中设置VPN地址段192.168.1.50192.168.1.100，假设和VLAN1同一网段设置L2TP虚模板接口地址借用VLAN1接口地址192.168.1.1 接口认证使用PPP CHAP,local-user pc password simple pc service-type ppp,local-user pc password simple pc service-type

28、 ppp,interface virtual-template 0 ip address unnumbered interface Vlan-interface1 ppp authentication-mode chap remote-address pool,L2TP配置（二）,配置L2TP 由于VPN网段和VLAN1在同一网段，为使VPN和VLAN1能够互访必须在VLAN1接口使能代理ARP 如果VPN和各VLAN在不同网段则可以不用使能代理ARP 如使用192.168.5.2到192.168.5.50作为VPN地址段虚模板使用192.168.5.1作为地址,l2tp enable l2

29、tp-group 1 undo tunnel authentication allow l2tp virtual-template 0,interface vlan-interface 1 proxy-arp enable,domain ct10000 ip pool 0 192.168.5.2 192.168.5.50 interface virtual-template 0 ip address 192.168.5.1 255.255.255.0 ppp authentication-mode chap remote-address pool,Windows设置L2TP拨号（一）,PC导入

30、注册表文件ProhibitIpSec.reg，重启PC生效 Windows的L2TP默认是带IPSec拨号，无法和网关兼容导入后开始设置网络连接,Windows设置L2TP拨号（二）,Windows设置L2TP拨号（三）,Windows设置L2TP拨号（四）,Windows设置L2TP拨号（五）,Windows设置L2TP拨号（六）,Windows设置L2TP拨号（七）,Windows设置L2TP拨号（八）,商务领航网关的配置与维护,快速向导设置VLAN 修改WLAN 内部服务器地址绑定互联网访问控制应用限制群组功能内部访问隔离 QoS 3G上网 VPN-L2TP VPN-IPS

31、ec,目录,IPsec VPN,无线VLAN1 192.168.1.2192.168.1.40,有线VLAN2 192.168.2.2192.168.2.100,有线VLAN3 192.168.3.2192.168.3.50,E0/2E0/7,E0/8E0/9,ChinaNet-A780,IPSec VPN适合在网关和网关之间建立隧道。,Internet,VLAN1 192.168.5.2192.168.5.50,IPSec隧道,WAN地址 117.20.34.6,IPSec 响应方,IPSec 发起方,IPsec VPN配置（一）,IPsec VPN配置（二）,Network,SNMP原理,

32、SNMP原理 SNMP服务器如网管平台主动向客户端即网络设备发起请求要求网管服务器提前获得客户端IP地址常见行业网络中大量使用SNMP，非常成熟不适合运营商海量接入设备管理，因为无法提前配置海量IP地址需要了解各网络设备IP地址并设置统一SNMP参数,Network,Network,202.1.1.2,202.2.1.2,202.3.1.2,202.4.1.2,SNMP服务器 202.0.1.2,SNMP服务器主动向一些网络设备发起查询、设置请求,SNMP配置,system-view NavigatorB2-2snmp-agent community read navigator Na

33、vigatorB2-2snmp-agent community write private NavigatorB2-2snmp-agent sys-info version all,进入系统视图,配置只读团体字navigator,配置读写团体字private,使能SNMP所有版本，即v1，v2c和v3,TR-069原理,TR-069/CWMP原理客户端CPE如B2-2终端向服务器ACS发起连接，ACS再向客户端发请求不需要ACS提前获得客户端地址一种新兴协议，专门为海量接入设备CPE网管而设计各省BBMS系统就是TR-069协议中的ACS，各省有各自的ACS URL、用户名和密码，需要提前向省中心咨询,ADSL,阿朗 1-2,阿朗 1-2,阿朗 1-2,10M专线,电信网络,ACS服务器 http:/192.168.15.22:xxxx.,终端向设定的ACS URL主动发起连接，并注册到ACS系统,H3C B2-2,H3C B2-2,设置CWMP/TR-069,

展开阅读全文