99华三商务领航2-1信息通信网关配置与维护v212

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

配置与维护H3C领航者2-1信息通信网关V2.121了解2-1终端的基本特征熟悉2-1终端的基本功能配置掌握2-1终端高级功能配置掌握2-1终端故障处理课程目标学习完本课程,您应该能够:产品概述WEB基本功能配置高级功能配置介绍常见问题分析目录32-1终端外观和相关器件Reset键孔USB接口,可以连接FAT16/32格式USB存储介质电源接口电源开关SIC/DSIC灵活插槽E0/1~E0/4,LAN接口E0/0,WAN接口WLAN天线接地螺栓Console/AUX接口PWR、WLAN、SYS、ETH指示灯4FE服务器DMZ传统用户用户侧电信侧L2FWRouterNavigator2-1IP电话2-1终端可以为50人左右的小型企业或小型分支,提供一体化的宽带、安全、语音、WiFi接入,在运营商为接入单位提供统一的信息通信服务。应用控制传统用户流量统计分析多功能和高性能的完美结合•路由•以太网交换•WLAN接入•语音接入和VoIP•基本网络安全功能•IPSec•QoS•...•180Kpps转发性能•同时支持WEB和命令行5产品概述WEB基本功能配置高级功能配置常见问题分析目录6网络连接示意2-1终端Internet接入交换机BBMSWAN连接内部交换机/HUBVLAN-Interface1地址192.168.1.1/24角色PC上网网关DHCP服务器DNS代理服务器7打开WEB网管页面并登录192.168.1.1用户名useradmin密码admin!@#$%^还需要输入校验码登录版本:H3CICG2000_CTCWM520E17108设备概览9基本业务配置向导设备升级配置保存WEB网管基本功能配置10基本业务配置向导•出厂已经配置LAN口和WLAN–LAN口地址即vlan-interface1接口地址192.168.1.1/24,建议不修改,修改会导致WEB连接中断,必须重新登录–LAN口默认已经打开DHCP功能,能够为LAN接入PC分配IP地址,同时指定192.168.1.1为网关地址,建议不修改网关地址–LAN口DHCP默认分配DNS地址为192.168.1.1,可以在向导中修改DNS地址–WLAN默认已经打开WEP连接认证,认证密码可以在随机手册底面找到,建议不修改•WAN口配置–配置WAN口为PPPoE–配置WAN口为静态IP方式,同时配置WAN口网关、DNS服务器–以上2种方式任选一种配置完成后既可以访问Internet11基本业务配置向导(1)12基本业务配置向导(2)13基本业务配置向导(2)缺省vlan-interface1IP地址192.168.1.1/2414基本业务配置向导(3)15基本业务配置向导(4)16基本业务配置向导(5)17基本连通性诊断测试18DNS连通性诊断测试19基本业务配置向导设备升级配置保存WEB网管基本功能配置20设备升级原理•将设备当前运行的操作系统文件替换成其它操作系统文件并运行称为升级,可以分成2个过程–操作系统文件也称为启动文件,文件名为main.bin,main.bin大小一般为13M,存放在16MFlash中,所以必须使用新文件覆盖老文件方式替换,覆盖方式有2种•以U盘内新文件覆盖设备上旧文件•通过网络方式覆盖设备上旧文件–重新启动,即以新文件启动设备•可以在WEB中选择重启•可以通过硬件开关重启•升级过程中切勿断电21通过U盘覆盖旧文件•准备事项–Console线,通过超级终端登录2-1终端命令行–版本文件–U盘•注意事项–U盘文件备份,以免文件丢失,强烈推荐,然后可以将U盘格式化–将新文件拷入U盘,文件名必须是英文,如“E1710.bin”–把U盘插入2-1终端–通过命令行对2-1终端进行文件覆盖操作•举例从R1618P01升级到E1710–从E1710升级到其余版本要注意命令行变化22连接Console线和使用超级终端Console线Con/AUX23打开超级终端24命令行操作(1)pwd显示当前工作目录presentworkingdirectorydir显示当前目录内容directory显示当前和下次启动文件25命令行操作(2)uf1:insertedintoslot0提示USB设备插入cd转换当前目录到uf1:/changedirectorypwd显示当前工作目录presentworkingdirectorydir显示当前目录内容directorycopy文件拷贝,把uf1:/e1710.bin拷贝到flash:/main.bin提示是否要执行拷贝以及是否要覆盖原有文件拷贝成功26通过网络覆盖旧文件•准备事项–网络连接和TFTP服务器,如Cisco-TFTPServer–版本文件–命令行条件如telnet或console•注意事项–学会设置TFTP服务器–覆盖失败要尝试再次上传直到成功为止,覆盖失败切勿断电•举例从R1618P01升级到E1710–从E1710升级到其余版本要注意WEB页面变化27网络连接和文件准备VLAN1192.168.1.1GatewayDHCP-ServerDNSDHCP-Client192.168.1.2Console准备TFTP服务器版本文件28TFTP服务器设置29WEB操作(1)30WEB操作(2)31WEB操作(3)升级时间较长,在读写Flash期间,Console操作响应慢!32文件覆盖完成后重启设备•确保文件成功覆盖后才能进行重启操作,否则设备将无法正常启动•重启前先保存配置,避免当前配置丢失–WEB中保存配置–命令行中通过save命令保存•硬重启–通过断电、重新上电方式重启,如:电源关开•软重启–WEB中重启–命令行中通过reboot命令重启33系统重启后检查34基本业务配置向导设备升级配置保存WEB网管基本功能配置35保存配置(1)36保存配置(2)37保存配置(3)38保存为安装配置china200839产品概述WEB基本功能配置高级功能配置常见问题分析目录40防病毒、攻击ACLIP-MAC绑定IP地址限制和URL过滤MAC地址限制和MAC地址允许内部PC每IP均等限速内部服务器和系统服务端口修改SNMP和TR-069设置虚拟专用网(IPSec和L2TP)无线高级功能设置高级功能配置41常见病毒、攻击原理•黑客扫描特定端口,并对特定端口发送特殊数据使系统崩溃或获取系统权限•来自WAN口的扫描、攻击–WAN口地址为公网地址,互联网黑客都可以访问WAN口–WAN口速率低•来自LAN口的扫描扫描,攻击Internet黑客主机黑客主机42常见防攻击病毒ACL•对常见病毒和攻击、扫描使用的TCP、UDP端口进行过滤•端口列表较长,WEB配置复杂,可以使用命令行方式下发•举例,warm.blaster蠕虫病毒使用如下常用端口–rule1denytcpdestination-porteq4444–rule2denytcpdestination-porteq135–rule3denyudpdestination-porteq135•详细ACL配置脚本脚本中没有考虑DDNS和TR-069,因为DDNS和TR-069端口会变化,可以根据实际情况添加放行主机43防攻击ACL的应用根据脚本配置防攻击ACL检查/打开防火墙应用LAN口ACL应用WAN口ACL[Navigator]interfaceVlan-interface1[Navigator-Vlan-interface1]firewallpacket-filternamelandefendinbound[Navigator]interfaceEthernet0/0[Navigator-Ethernet0/0]firewallpacket-filternamewandefendinbound[Navigator]firewallenable44防病毒、攻击ACLIP-MAC绑定IP地址限制和URL过滤MAC地址限制和MAC地址允许内部PC每IP均等限速内部服务器和系统服务端口修改SNMP和TR-069设置虚拟专用网(IPSec和L2TP)无线高级功能设置高级功能配置45IP-MAC绑定•内部网络安全问题日益突出,以ARP欺骗类攻击为主–2-1终端通过displayarpall查看IP-MAC对应关系是否正确–PC通过命令行arp-a查看•通过全局配置静态ARP方式防止ARP欺骗–2-1终端执行arpstaticip-addressmac-address•举例:[Navigator]arpstatic192.168.1.20015-c50d-1903–PC通过arp-sip-addressmac-address方式绑定•C:\arp-s192.168.1.100-0f-e2-62-c6-09欺骗网关Internet病毒主机欺骗PC46防病毒、攻击ACLIP-MAC绑定IP地址限制和URL过滤MAC地址限制和MAC地址允许内部PC每IP均等限速内部服务器和系统服务端口修改SNMP和TR-069设置虚拟专用网(IPSec和L2TP)无线高级功能设置高级功能配置47IP地址限制•某些PC为受限PC,可以通过限制IP地址方式禁止PC上网–财务服务器存放公司机密数据,为保证安全,禁止上网–某员工PC中木马,源源不断主动连接外部黑客主机,为减少损失,禁止上网Internet电信线路192.168.1.2财务服务器192.168.1.200中木马PC48限制192.168.1.2/200主机上网49基于时间段的IP地址限制•可以根据时间针对IP地址进行更详细的访问控制–让部分PC在工作时间无法访问网络–让部分PC在下班期间无法访问网络•华三2-1终端断电后无法保存时间设置–重启后会恢复成2007年1月1日–为使基于时间段控制能够正常工作,终端重启后需要设置时间–也可以采用设置NTP服务器方式启动后自动从互联网NTP服务器获取时间–对于下班后要求所有电器断电的客户可以推荐不使用基于时间段IP地址限制和URL过滤50手动设置系统时间51设置NTP服务器52基于时间段的访问控制53网页过滤,禁止访问新浪54防病毒、攻击ACLIP-MAC绑定IP地址限制和URL过滤MAC地址限制和MAC地址允许内部PC每IP均等限速内部服务器和系统服务端口修改SNMP和TR-069设置虚拟专用网(IPSec和L2TP)无线高级功能设置高级功能配置55MAC地址限制•某些PC为受限PC,可以通过限制IP地址方式禁止PC上网•限制IP方式有缺陷,PC更改IP地址后又能上网•可以通过限制MAC地址方式限制Internet电信线路0015-c50d-1903财务服务器0001-0203-0405中木马PC56限制MAC原理•通过QoS方式实现–定义流分类•通过ACL匹配内部PC访问网关流量和DHCP获取地址流量•匹配限制MAC地址列表–定义流行为•允许•拒绝–定义QoS策略绑定流分类和流行为,根据配置顺序生效•访问网关和DHCP流量允许通过,除此之外流量全部为访问外网流量,进行下一匹配•MAC地址列表拒绝通过,即限制MAC地址列表访问外网流量–在LAN接口入方向应用QoS策略57定义访问网关和DHCP请求的ACL第一步:检查当前存在的ACL58定义访问网关和DHCP请求的ACL第二步:创建3000~3999ACL59定义访问网关和DHCP请求的ACL第三步:ACL3700允许目的地址192.168.1.1注意:目的地址通配符采用反掩码60定义访问网关和DHCP请求的ACL第三步:ACL3700允许UDP目的端口67,即DHCP获取地址请求所使用端口61定义访问网关和DHCP请求的ACL第四步:检查ACL3700设置62定义流分类匹配ACL3700第一步:检查当前存在的流分类63定义流分类匹配ACL3700第二步:创建流分类,命名为gw&dhcp64定义流分类匹配ACL3700第三步:设置

1 / 200
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功