Cisco-Navigator-典型功能具体配置操作-JS

CiscoNavigator典型功能配置操作双WAN口上连一、两条WAN线路都是电信线路的情况：可配置为“负载均衡”模式（也可以配置为主备模式），将出口流量按照百分比分配到两条线路上传输（两条线路流量可分摊为20%&80%,50%&50%,80%&20%）。具体配置步骤：1、配置两个WAN口地址：“配置”-“接口和连接”-“WAN”-“WAN设置”中，进行WAN0和WAN1口的配置（目前支持“静态”、“动态”、“PPPOE”等连接类型）。2、设置两个WAN口的模式为“负载均衡”：“配置”-“接口和连接”-“WAN”-“双WAN”中，“双WAN”选项中选择“负载均衡”，并可根据实际情况进行两条线路流量的百分比分配的配置。（navigator出厂默认是“负载均衡”模式）3、配置好两个WAN口地址以及连通两条上行线路后，可进行相关配置检查：是否在“监视”-“总览”中可正确看到两个WAN口的ip地址，且接口状态是UP的；是否在“监视”-“路由”中可看到有两条默认路由指向两个WAN口。二、两条WAN线路是两个运营商线路的情况：可配置为“路由表选路”模式（也可以配置为主备模式）具体配置步骤：1、配置两个WAN口地址：“配置”-“接口和连接”-“WAN”-“WAN设置”中，进行和查看WAN0和WAN1口的配置（目前支持“静态”“动态”“PPPOE”等连接类型）。2、设置两个WAN口的模式为“路由表选路”：“配置”-“接口和连接”-“WAN”-“双WAN”中，“双WAN”选项中选择“路由表选路”。3、添加静态路由：“配置”-“路由”-“静态路由”中，添加一条默认路由指向电信线路的WAN口，另外可根据其他运营商的路由表（具体的路由表条目可向省公司或者集团公司申请）以及最终用户的路由需求添加若干静态路由指向另一条线路的WAN口。另，如路由条目较多一条一条添加较繁琐，可通过“汇入”和“汇出”进行路由条目的批量导入和导出操作。（2.0.23以上软件版本支持）4、配置好两个WAN口地址以及将两条上行线路进行物理连通后，可进行相关配置检查：是否在“监视”-“总览”中可正确看到两个WAN口的ip地址，且接口状态是UP的；是否在“监视”-“路由”中可看到所有手工添加的路由条目。无线网络及安全一、添加或修改无线网络：说明：navigator出厂时已开启一个名为“navigator”的无线网络；如需添加或修改无线网络（navigator至多可开放4个无线网络），可在“配置”-“接口和连接”-“无线设置”-“基本无线设置”中，进行SSID的修改或添加。二、进行无线网络的密钥加密:“配置”-“接口和连接”-“无线设置”-“无线安全”中，选择想要进行访问控制的无线网络，然后根据用户需求选择不同的“安全模式”并进行相应的密钥配置。（如用户无太高安全需求，可选择较为简单的“WAP个人级”模式。）三、进行无线网络白名单或黑名单的用户配置：为进一步保障无线网络的访问安全，可对访问无线网络的用户进行白名单或黑名单的鉴权控制：“配置”-“接口和连接”-“无线设置”-“无线连接控制”中，先选择想要进行鉴权的无线网络，然后填写要“允许”或要“阻止”的PC的MAC地址。（说明：至多添加16个地址）四、将不同的SSID放在不同的VLAN中：可通过将不同的SSID无线网络放在不同的VLAN下，使访问不同SSID的无线用户获取不同VLAN的IP地址；如果此前已对某VLAN进行了访问公网以及其他限制的配置，此时归属此VLAN下的无线用户也将同样受到相同的限制。“配置”-“接口和连接”-“LAN设置”中，可将SSID勾选在不同的VLAN中。（前提：已在此界面添加了相关的VLAN。）内部网络安全一、对部分公网页面（URL地址）的访问限制：1、配置WAN口，和互联网连接正常。（配置可见如上说明）2、在“配置”-“防火墙和ACL”-“访问规则”-“URL过滤”中，添加所需添加的公网URL地址（如）,保存配置后内网用户即无法对此过滤的URL进行访问。二、限制内部部分PC访问互联网：方法一：1、配置WAN口，和互联网连接正常。（配置可见如上说明）2、在“配置”-“防火墙和ACL”-“访问规则”-“源地址”中填入需要限制的ip地址或ip地址段或MAC地址，“目前地址”选择为”所有”；保存配置后此内部PC或属于此网段的PC即无法对互联网网进行访问。（另，也可在“应用此规则”处设置控制访问的时间段。）方法二：举例说明：可设置允许VLAN1能访问互联网，VLAN2不允许访问互联网，然后将部分PC（或部门）放置在VLAN1下，部分PC（或部门）放置在VLAN2下，这样VLAN2下的PC（或部门）将无法访问互联网。当然，VLAN1和VLAN2还是能够做到互相访问的。具体配置步骤：1、配置WAN口，和互联网连接正常。（配置可见如上说明）2、配置多个VLAN：“配置”-“接口和连接”-“LAN设置”中，VLAN配置框中添加想增加的VLAN的“VLANID”以及点击“配置”进行此VLAN的ip地址段配置，并根据实际情况把某个或某些LAN口归属于此新建VLAN中。3、取消新建VLAN共享Internet连接：“配置”-“NAT”-“动态NAT”中，将新VLAN中地址段前的“WAN0”“WAN1”的选择钩去掉，这样新建VLAN下的PC即无法共享Internet连接访问互联网。4、将PC连接上归属于新建VLAN的LAN口（如PC数较多，可下挂交换机，PC通过交换机连接到navigator），将获取到新建VLAN的ip地址，此时PC可以访问其他VLAN的PC，但无法对互联网进行访问。三、限制内部部分PC访问内部网络：1、配置WAN口，和互联网连接正常。（配置可见如上说明）2、“配置”-“接口和连接”-“LAN设置”-“以太网访问控制”中，在“阻止下列MAC地址连接到有线网络”中，添加想要限制的PC的MAC地址后，此PC将被禁止访问内部网络和互联网。（注：至多添加16个MAC地址。）内部服务器的映射以及安全一、使用端口转发功能进行映射：如用户的对外服务器是某特定的业务服务器，如web服务器、ftp服务器等，又或者是只需要对互联网开放几个已知的服务端口或端口段，则可以使用端口转发模式进行映射。1、配置WAN口，和互联网连接正常。（配置可见如上说明）2、配置端口转发：“配置”-“NAT”-“端口转发”中，在“应用程序”中选择服务器需开启的服务（如不在此列表中或者是端口段的话，可在第五行后手动添加一个任意的“应用名称”，然后在“开始~终止”栏中添加上端口或者端口段），然后在“ip地址”栏中填写服务器的私网ip地址，选择“启动”，保存即完成端口转发配置。3、功能验证：在互联网上访问navigator的WAN口地址（如双WAN都已开启，两个口的地址都可以访问）的某端口（此端口是服务器配置端口转发的端口），即可直接访问此服务器。二、通过将服务器放在DMZ区进行映射：如果用户不清楚内部服务器需要对外开放哪些端口又或者服务器需要对外开放非常多且不连续的端口的话，可以建议考虑把服务器放置在DMZ区。但这需要专门为此服务器申请一个公网的ip地址。且根据DMZ区的特性，为了保障内网的安全，服务器能被内网和公网访问，但无法访问内网和公网。具体配置步骤：1、配置WAN口，和互联网连接正常。（配置可见如上说明）2、启用DMZ区：“配置”-“接口和连接”-“LAN设置”中，点选“启用DMZ”栏，这时“VLAN6”框将会显示为“DMZ”框，然后可通过“配置”框进行DMZ区ip地址段的配置。3、将服务器连接上GE9口，可自动获取DMZ区ip地址也可手动配置ip地址（建议手动配置ip地址和网关）。4、在“配置”-“NAT”-“静态NAT（DMZ）”中，填入服务器的“起始私有地址”和需要映射的“公网地址”，然后“添加入列表”。5、功能验证：在互联网上访问此专为服务器申请的公网地址即可直接访问此服务器。三、通过使用虚拟服务器功能进行映射：如果用户不清楚内部服务器需要对外开放哪些端口又或者服务器需要对外开放非常多且不连续的端口的话，且用户又没有多余的公网ip地址可以专门提供给服务器使用的话，则可以考虑使用虚拟服务器功能，启用虚拟服务器功能后，互联网用户访问WAN口地址的任意端口将是访问此虚拟服务器的端口。另，虽然用户不需再为服务器申请专门的ip地址，但这样的话用户将无法通过访问navigator的WAN口的远程访问端口对navigator进行远程访问，所以建议在不得已的情况下才使用虚拟服务器功能。具体配置：“配置”-“NAT”-“虚拟服务器”中，选择“已启动”虚拟服务器，并填入内部服务器的ip地址即可。建立VPN通道进行异地私网间互访一、站点到站点（site-site）VPN建立：用于在两个或多个异地网络之间建立安全的私有的传输通道，两个网络的私网之间可以互相访问。1、配置WAN口，和互联网连接正常。（配置可见如上说明，需要WAN口获取静态ip地址）2、协商两端VPN参数：在“配置”-“VPN”-“VPN组件”中的IPSEC的“转换集”以及IKE的“IKE策略”中，有VPN两端需要协商的数据，可先和对端协商好数据并可通过“编辑”进行相应的修改（如是两台navigator进行连接，则无需进行数据改动）。3、在“配置”-“VPN”中“选择VPN类型”中选择“IPSec(站点到站点)VPN”。4、创建VPN连接：在“配置”-“VPN”-“站点到站点VPN”中，选择“创建站点到站点VPN”；然后在弹出的框中选择“快速安装”（如果用的是“转换集”以及“IKE策略”中新增的条目而不是选用“默认的”或是修改的“默认的”，则选择“逐步操作向导”然后进行新增条目的选择），然后在“VPN连接信息”中填入对端相关信息：“对端主机标识”填入对端路由器的WAN口ip地址，“验证”中填写两端一致的密钥，“目标”填写对端内网的网段地址。5、配置完成后，可在“配置”-“VPN”-“站点到站点VPN”-“编辑站点到站点VPN”框中选中刚才添加的条目，点击“连接”（可让对端也开始尝试建立连接），当“启用”项内容显示为启用，navigator前面板”VPN”指示灯显示为常绿，即表明VPN已建立成功。设置不同队列保障重要业务先行一、保障内部服务器或PC的被访问带宽：可根据将服务器的服务端口（如80，21等）/ip地址/连接的LAN口号的相关的队列设置为较高等级，保障服务器的被访问带宽。1、配置WAN口，和互联网连接正常。（配置可见如上说明）2、“配置”-“服务质量”-“带宽控制和出口队列”-“Qos设置”设置为“启用”。3、根据需要修改的是LAN口或是IP地址/MAC地址或是服务端口，在“带宽控制和出口队列”-“Qos设置”中进行相关的是“基于端口”、“基于主机”还是“基于应用程序”的选项选择。4、在“配置”-“服务质量”-“通信规则”中的“基于端口”或“基于主机”或“基于应用程序”中，进行相关LAN口号或IP地址/MAC地址或服务端口的“流量类别”的高队列选择。二、对内部服务器或PC的被访问流量进行限速：1、配置WAN口，和互联网连接正常。（配置可见如上说明）2、“配置”-“服务质量”-“带宽控制和出口队列”-“Qos设置”设置为“启用”。3、在“带宽控制和出口队列”-“Qos设置”中进行相关的“基于主机”或“基于应用程序”（服务端口）的选项选择。4、在“配置”-“服务质量”-“通信规则”中的“基于主机”或“基于应用程序”中，进行相关IP地址/MAC地址或服务端口的“流量限制”的具体限速流量输入。对即时(QQ、MSN等)消息和应用（BT等）控制可对多种即时消息（如QQ、MSN等）以及多种应用（BT、迅雷、电驴、pp_stream、pp_live等）进行使用的阻隔。1、配置WAN口，和互联网连接正常。（配置可见如上说明