定制终端配置与维护手册

商务领航2-1产品配置维护手册目录商务领航2-1产品简介商务领航2-1产品功能配置商务领航2-1产品故障维护2商务领航2-1产品简介面板介绍功能简介解决方案简述3面板介绍consoleWANLAN接地电源恢复出厂指示灯USB/3GWlan天线45商务领航2-1产品简介面板介绍功能简介解决方案简述功能简介•宽带上网功能。•链路备份和负载分担。•防ARP攻击功能。•虚拟局域网（vlan）。•安全隔离。•访问限制•网络访问控制。•强制门户功能。•QoS保证。•搭建外部服务器功能。•数据专线（VPN）的应用。•管理功能。6宽带上网功能Navigator2-1主要面向带宽需求为4M以上的中等规模的中小企业（10～50台PC），提供宽带上网、无线组网7链路备份和负载分担双链路多子接口再加上3G的上行接入，提供链路备份和负载分担8防ARP攻击功能包检测机制时刻监视局域网内ARP发包数量，当网内出现攻击源时，网关通过源抑制和广播免费报文方式主动进行防攻击措施。9攻击源虚拟局域网（vlan）定制网关8LAN口的设计，提供创建多个虚拟局域网（VLAN）的功能10安全隔离定制网关可以安全有效的隔离数据的流通11访问限制定制网关可以轻松实现对网络访问的限制，可以禁止某些用户访问网络1213网络访问控制主要用于限制从企业网内部前往Internet的web访问。主要技术是URL过滤、内容过滤和文件类型过滤：强制门户功能定制网关提供定时的强制访问门户网站功能。14QoS保证定制网关提供基本的QoS保证，包括带宽限制，DSCP、VLAN标记，PQ队列优先级，主机限速和动态带宽调整等。15搭建外部服务器功能192.168.1.2:123461.194.27.61:80定制网关提供搭建外部访问服务器的功能16数据专线（VPN）的应用定制网关提供各种VPN的应用1718管理功能BBMS电信运营商BBMS管理平台为定制网关提供强大的管理，定制网关SNMP、SYSLOG、TR69的开发，为设备良好的运行和维护提供了强有力的支撑与保证。19商务领航2-1产品简介面板介绍功能简介解决方案简述20解决方案简述定制网关在普通网关的基础上，拓展了应用，完善了维护，提高了性能，是一款可以提供电信级通信保证的设备，提供的服务主要适用在中小企业网络。随着信息时代业务多样化，高科技高效率的办公解决方案已是所有企业发展的必要条件。定制网关就是在这样的背景下产生的，多功能、高性能、高稳定性和完善的日常维护，都是定制网关为客户提供的优质的解决方案。21BBMS虚拟数据专线（VPN）管理通道3G备份链路22目录商务领航2-1产品简介商务领航2-1产品功能配置商务领航2-1产品故障维护23商务领航2-1产品功能配置设备升级基本上网功能链路备份和负载分担防ARP攻击功能虚拟局域网（vlan）安全隔离访问限制网络访问控制强制门户功能QoS保证搭建外部服务器功能数据专线（VPN）的应用管理功能24设备升级192.168.1.2192.168.1.1产品默认LAN口同属于VLAN1，VLAN1开启DHCP-server功能，分配192.168.1.0/24网段地址。默认配置下，如图连接，打开浏览器，输入192.168.1.1，进入管理界面。Web方式25在“系统管理”中“维护”标签下，选择“升级管理”，选择升级版本方式“主版本”或“备版本”，点击“浏览”选择版本文件，然后“上传”，直到提示固件升级成功为止。注：升级过程中不要进行任何操作26命令行方式192.168.1.2192.168.1.1Console如图拓扑连接。命令行控制终端有两种连接方式，console和telnet。设备出厂配置默认关闭vlan1的telnet功能，所以，如果使用telnet进行终端控制，需要首先开启vlan1的telnet功能。连接成功后，通过命令进行版本升级。27首先，登陆管理页面，然后在“基础配置”中选择“接口配置”，点击“VLAN接口配置”，点击vlan1中的“编辑”按钮，进入“修改配置”页面，勾选“telnet”，点击“提交”即可。开启telnet功能：28host#copytftp192.168.1.2ICGOS.V01R01B01D52.binimage\\上传版本Begintostoreimagefiletodisk......host#host#bootfileICGOS.V01R01B01D52.binmain\\设置主启动版本host#bootfileICGOS.V01R01B01D51.binbackup\\设置备启动版本host#reboot\\重启系统终端执行命令如下：默认配置下，定制网关vlan地址为192.168.1.1，计算机自动获取或手动配置192.168.1.X/24地址，开启tftp服务器，设置好版本文件目录.注释：192.168.1.2-----------tftp服务器地址ICGOS.V01R01B01D52.bin----版本文件名检查网关与tftp-server连通性:host#pingtftp-server(ip地址）29商务领航2-1产品功能配置设备升级基本上网功能链路备份和负载分担防ARP攻击功能虚拟局域网（vlan）安全隔离访问限制网络访问控制强制门户功能QoS保证搭建外部服务器功能数据专线（VPN）的应用管理功能30基本上网功能3G双WAN上行VLAN1VLAN2VLAN3VLAN4ChinaNet-abcd拓扑描述为基本上网方式，可采取双WAN和3G作为上行，下行接入通过有线和无线两种方式。31对于有线接入方式，设备提供快速向导配置功能，可完成基本上网功能配置。配置参数如下：1.WAN口配置，可以配置WAN口的接入方式，DNS配置，管理访问方式等。2.VLAN1配置，系统默认VLAN1接口地址为192.168.1.1，建议不要修改，否则会导致连接中断，需重新登录；可修改DHCP配置。3.无线WIFI配置，可修改SSID、密钥。注：出厂设备随机生成SSID和密钥，在用户手册黏贴标签处标识。32快速向导（1）配置步骤：点击“下一步”33快速向导（2）点击“下一步”34快速向导（3）点击“下一步”35快速向导（4）快速向导配置完成后，用户即可以访问网络。36快速向导（5）快速向导配置完成后，用户即可以访问网络。373G上网定制网关现在支持多种CDMA-3G上网卡，可以满足通过3G接入Internet的需要。3G上网配置方法：1.插入3G卡，查看界面状态，拨号成功后进行下一步2.配置DNS和NAT38插入3G上网卡，查看3G卡、UIM卡及连接状态信息，默认连接状态为休眠。拨号方式为按需拨号，意为有流量时，3G进行拨号连接，无流量时自动休眠。在“基础配置”中点击“接口配置”，选择“EVDO配置”。39DNS配置：“基础配置”—“网络配置”—DNS配置：NAT配置：“基础配置”—“网络配置”—NAT配置：完成配置40完成配置后，进行流量触发，界面显示连接成功后，即表示3G拨号成功。41商务领航2-1产品功能配置设备升级基本上网功能链路备份和负载分担防ARP攻击功能虚拟局域网（vlan）安全隔离访问限制网络访问控制强制门户功能QoS保证搭建外部服务器功能数据专线（VPN）的应用管理功能42链路备份和负载分担3G双WAN上行VLAN1VLAN2VLAN3VLAN4ChinaNet-abcd数据链路备份链路上行接入有三条链路，双WAN和3G，双WAN链路可做负载分担，3G可为WAN链路做备份。在两条上行链路的情况下，可以在负载分担的基础上做相互的备份。43拓扑描述网关通过eth0、eth1、3G三条链路接入Internet，eth0通过PPPoE拨号方式。要求VLAN1、VLAN2下用户通过eth0访问网络，VLAN3、VLAN4下用户通过eth1访问网络，3G作为备份链路使用。地址配置：VLAN1：192.168.1.0/24VLAN2：192.168.2.0/24VLAN3：192.168.3.0/24VLAN4：192.168.4.0/2444（1）设置基本网络环境配置WAN口和EVDO45注：有线接入方式，接口配置完成后会自动生成NAT规则手动添加NAT规则：在“基础配置”的“网络配置”中46（2）设置分担路由采用策略路由进行负载分担：首先配置地址对象：在“系统管理”中，选“地址对象”，点击“添加”，做相应设置后“提交”，如图所示分别配置地址对象1和2配置结果47配置策略路由：“基础配置”中，选择“网络配置”，再选“策略路由”，然后点击“添加”：如下图所示分别添加1和2两条策略路由配置结果48（3）添加备份路由并保存配置配置完成后，保存配置：在“系统管理”中，选“配置维护”注：3G添加的为静态路由其他两个为策略路由备份链路配置静态路由：在“基础配置”中，选“网络配置”，再选“静态路由”，然后点击“添加”，配置相关参数后“提交”，如下图：49商务领航2-1产品功能配置设备升级基本上网功能链路备份和负载分担防ARP攻击功能虚拟局域网（vlan）安全隔离访问限制网络访问控制强制门户功能QoS保证搭建外部服务器功能数据专线（VPN）的应用管理功能50防ARP攻击功能ARP攻击报文攻击者大量ARP报文被广播设备处理和转发ARP报文，导致CPU和带宽资源耗尽源抑制之前ARP攻击报文攻击者丢弃丢弃报文，CPU不进行运算无多余负载，不转发，带宽良好源抑制之后通过源抑制的方式防治ARP攻击。洪攻击51ARP欺骗报文攻击者ARP欺骗报文被广播，导致网内主机无法正常访问免费报文广播前免费报文广播后ARP欺骗报文攻击者网关向往内广播免费报文，强制网内主机适时更新网关ARP，保证网络畅通通过静态绑定和广播免费报文方式防治ARP欺骗。ARP欺骗52（1）防flood攻击通过源抑制方式，防止ARP的flood攻击，系统默认关闭。手动开启：“安全配置”中，选“防ARP攻击”，点击“配置”后，选择“编辑”按钮。开启和修改方法如下：（默认阈值为300包/秒和抑制时间为60秒）源抑制机制：当某个端口1秒钟内接收到来自同一个源的ARP报文超过阈值时，记录并阻断该源，阻断方式为只阻断该源ARP报文，阻断时间为所设置的主机抑制时间.53（2）防欺骗一般欺骗的种类有欺骗网关ARP、欺骗主机ARP，针对不同的ARP欺骗，可以采取同样的方式进行处理，防欺骗的方法有：关闭ARP学习、静态绑定、设置端口保护、自定义发包。其中关闭ARP学习和静态绑定是最有效的防欺骗方法，下面介绍各种方法的配置：关闭ARP学习和开启主动保护：“安全配置”中，选“防ARP攻击注：开启主动保护，需要进行主动保护列表设置，如下：54进行手动绑定ip-mac也可以有效防止欺骗，设置方式如下：配置主动保护列表：在“安全配置”中，选“防ARP攻击”，再选择“主动保护列表”55另外，进行有目的的自定义ARP广播，也可以一定程度上起到防欺骗的作用，如下：提示：ARP攻击在局域网内很容易发生，有效地针对攻击方式做出应对措施十分重要，ARP攻击很容易导致网络瘫痪，所以，要十分注意。56商务领航2-1产品功能配置设备升级基本上网功能链路备份和负载分担防ARP攻击功能虚拟局域网（vlan）安全隔离访问限制网络访问控制强制门户功能QoS保证搭建外部服务器功能数据专线（VPN）的应用管理功能57虚拟局域网（vlan）VLAN实现的是不同部门之间的数据隔离，是进行网络优化常用的方法，各部门间数据隔离有利于日常工作的正常进行，避免某个部门的广播影响到另一个部门的工作，也方便网络管理员对企业网络进行管理，通过针对不同VLAN设置数据策略，达到各部门间对网络的不同需求。58虚拟局域网（VLAN）的设置和划分方法很简单，但虚拟局域网的划分又十分的重要，在很多解决方案中都要进行虚拟局域网