华三商务领航2-1信息通信网关配置与维护v212详细

1、配置与维护H3C领航者2-1信息通信网关V2.12了解2-1终端的基本特征熟悉2-1终端的基本功能配置掌握2-1终端高级功能配置掌握2-1终端故障处理课程目标学习完本课程，您应该能够：产品概述WEB基本功能配置高级功能配置介绍常见问题分析目录2-1终端外观和相关器件Reset键孔USB接口，可以连接FAT 16/32格式USB存储介质电源接口电源开关SIC/DSIC灵活插槽E0/1E0/4，LAN接口E0/0，WAN接口WLAN天线接地螺栓Console/AUX接口PWR、WLAN、SYS、ETH指示灯FE服务器DMZ传统用户用户侧电信侧L2FWRouterNavigator 2-1IP电话2

2、-1终端可以为50人左右的小型企业或小型分支，提供一体化的宽带、安全、语音、WiFi接入，在运营商为接入单位提供统一的信息通信服务。应用控制传统用户流量统计分析多功能和高性能的完美结合路由以太网交换WLAN接入语音接入和VoIP基本网络安全功能IPSecQoS.180Kpps转发性能同时支持WEB和命令行产品概述WEB基本功能配置高级功能配置常见问题分析目录网络连接示意2-1终端Internet接入交换机BBMSWAN连接内部交换机/HUBVLAN-Interface1/24PC上网网关DHCP服务器DNS代理服务器打开WEB网管页面并登录用户名useradmin密码admin!#$%还需要输

3、入校验码登录版本：H3C ICG2000_CT CWM520 E1710设备概览基本业务配置向导设备升级配置保存WEB网管基本功能配置基本业务配置向导出厂已经配置LAN口和WLANLAN口地址即vlan-interface1接口地址/24，建议不修改，修改会导致WEB连接中断，必须重新登录LAN口默认已经打开DHCP功能，能够为LAN接入PC分配IP地址，同时指定为网关地址，建议不修改网关地址LAN口DHCP默认分配DNS地址为，可以在向导中修改DNS地址WLAN默认已经打开WEP连接认证，认证密码可以在随机手册底面找到，建议不修改WAN口配置配置WAN口为PPPoE配置WAN口为静态IP方式

4、，同时配置WAN口网关、DNS服务器以上2种方式任选一种配置完成后既可以访问Internet基本业务配置向导（1）基本业务配置向导（2）基本业务配置向导（2）缺省vlan-interface1IP地址/24基本业务配置向导（3）基本业务配置向导（4）基本业务配置向导（5）基本连通性诊断测试DNS连通性诊断测试基本业务配置向导设备升级配置保存WEB网管基本功能配置设备升级原理将设备当前运行的操作系统文件替换成其它操作系统文件并运行称为升级，可以分成2个过程操作系统文件也称为启动文件，文件名为main.bin，main.bin大小一般为13M，存放在16M Flash中，所以必须使用新文件覆盖老文

5、件方式替换，覆盖方式有2种以U盘内新文件覆盖设备上旧文件通过网络方式覆盖设备上旧文件重新启动，即以新文件启动设备可以在WEB中选择重启可以通过硬件开关重启升级过程中切勿断电通过U盘覆盖旧文件准备事项Console线，通过超级终端登录2-1终端命令行版本文件U盘注意事项U盘文件备份，以免文件丢失，强烈推荐，然后可以将U盘格式化将新文件拷入U盘，文件名必须是英文，如“E1710.bin”把U盘插入2-1终端通过命令行对2-1终端进行文件覆盖操作举例从R1618P01升级到E1710从E1710升级到其余版本要注意命令行变化连接Console线和使用超级终端Console线Con/AUX打开超级终端

6、命令行操作（1）pwd显示当前工作目录present working directorydir显示当前目录内容directory显示当前和下次启动文件命令行操作（2）uf1: inserted into slot 0提示USB设备插入cd转换当前目录到uf1:/change directorypwd显示当前工作目录present working directorydir显示当前目录内容directorycopy文件拷贝，把uf1:/e1710.bin拷贝到flash:/main.bin提示是否要执行拷贝以及是否要覆盖原有文件拷贝成功通过网络覆盖旧文件准备事项网络连接和TFTP服务器，如Cisc

7、o-TFTPServer版本文件命令行条件如telnet或console注意事项学会设置TFTP服务器覆盖失败要尝试再次上传直到成功为止，覆盖失败切勿断电举例从R1618P01升级到E1710从E1710升级到其余版本要注意WEB页面变化网络连接和文件准备VLAN1GatewayDHCP-ServerDNSDHCP-ClientConsole准备TFTP服务器版本文件TFTP服务器设置WEB操作（1）WEB操作（2）WEB操作（3）升级时间较长，在读写Flash期间，Console操作响应慢！文件覆盖完成后重启设备确保文件成功覆盖后才能进行重启操作，否则设备将无法正常启动重启前先保存配置，避免

8、当前配置丢失WEB中保存配置命令行中通过save命令保存硬重启通过断电、重新上电方式重启，如：电源关开软重启WEB中重启命令行中通过reboot命令重启系统重启后检查基本业务配置向导设备升级配置保存WEB网管基本功能配置保存配置（1）保存配置（2）保存配置（3）保存为安装配置china2008产品概述WEB基本功能配置高级功能配置常见问题分析目录防病毒、攻击ACLIP-MAC绑定IP地址限制和URL过滤MAC地址限制和MAC地址允许内部PC每IP均等限速内部服务器和系统服务端口修改SNMP和TR-069设置虚拟专用网（IPSec和L2TP）无线高级功能设置高级功能配置常见病毒、攻击原理黑客扫描

9、特定端口，并对特定端口发送特殊数据使系统崩溃或获取系统权限来自WAN口的扫描、攻击WAN口地址为公网地址，互联网黑客都可以访问WAN口WAN口速率低来自LAN口的扫描扫描，攻击Internet黑客主机黑客主机常见防攻击病毒ACL对常见病毒和攻击、扫描使用的TCP、UDP端口进行过滤端口列表较长，WEB配置复杂，可以使用命令行方式下发举例，warm.blaster蠕虫病毒使用如下常用端口rule 1 deny tcp destination-port eq 4444rule 2 deny tcp destination-port eq 135rule 3 deny udp destination

10、-port eq 135详细ACL配置脚本脚本中没有考虑DDNS和TR-069，因为DDNS和TR-069端口会变化，可以根据实际情况添加放行主机防攻击ACL的应用根据脚本配置防攻击ACL检查/打开防火墙应用LAN口ACL应用WAN口ACLNavigatorinterface Vlan-interface 1 Navigator-Vlan-interface1firewall packet-filter name landefend inboundNavigatorinterface Ethernet 0/0Navigator-Ethernet0/0firewall packet-filter

11、 name wandefend inboundNavigatorfirewall enable防病毒、攻击ACLIP-MAC绑定IP地址限制和URL过滤MAC地址限制和MAC地址允许内部PC每IP均等限速内部服务器和系统服务端口修改SNMP和TR-069设置虚拟专用网（IPSec和L2TP）无线高级功能设置高级功能配置IP-MAC绑定内部网络安全问题日益突出，以ARP欺骗类攻击为主2-1终端通过display arp all查看IP-MAC对应关系是否正确PC通过命令行arp -a查看通过全局配置静态ARP方式防止ARP欺骗2-1终端执行arp static ip-address mac-ad

12、dress 举例：Navigatorarp static 0015-c50d-1903PC通过arp -s ip-address mac-address方式绑定C:arp -s 00-0f-e2-62-c6-09欺骗网关Internet病毒主机欺骗PC防病毒、攻击ACLIP-MAC绑定IP地址限制和URL过滤MAC地址限制和MAC地址允许内部PC每IP均等限速内部服务器和系统服务端口修改SNMP和TR-069设置虚拟专用网（IPSec和L2TP）无线高级功能设置高级功能配置IP地址限制某些PC为受限PC，可以通过限制IP地址方式禁止PC上网财务服务器存放公司机密数据，为保证安全，禁止上网某员工

13、PC中木马，源源不断主动连接外部黑客主机，为减少损失，禁止上网Internet电信线路财务服务器00中木马PC限制/200主机上网基于时间段的IP地址限制可以根据时间针对IP地址进行更详细的访问控制让部分PC在工作时间无法访问网络让部分PC在下班期间无法访问网络华三2-1终端断电后无法保存时间设置重启后会恢复成2007年1月1日为使基于时间段控制能够正常工作，终端重启后需要设置时间也可以采用设置NTP服务器方式启动后自动从互联网NTP服务器获取时间对于下班后要求所有电器断电的客户可以推荐不使用基于时间段IP地址限制和URL过滤手动设置系统时间设置NTP服务器基于时间段的访问控制网页过滤，禁止访

14、问新浪防病毒、攻击ACLIP-MAC绑定IP地址限制和URL过滤MAC地址限制和MAC地址允许内部PC每IP均等限速内部服务器和系统服务端口修改SNMP和TR-069设置虚拟专用网（IPSec和L2TP）无线高级功能设置高级功能配置MAC地址限制某些PC为受限PC，可以通过限制IP地址方式禁止PC上网限制IP方式有缺陷，PC更改IP地址后又能上网可以通过限制MAC地址方式限制Internet电信线路0015-c50d-1903财务服务器0001-0203-0405中木马PC限制MAC原理通过QoS方式实现定义流分类通过ACL匹配内部PC访问网关流量和DHCP获取地址流量匹配限制MAC地址列表定

15、义流行为允许拒绝定义QoS策略绑定流分类和流行为，根据配置顺序生效访问网关和DHCP流量允许通过，除此之外流量全部为访问外网流量，进行下一匹配MAC地址列表拒绝通过，即限制MAC地址列表访问外网流量在LAN接口入方向应用QoS策略定义访问网关和DHCP请求的ACL第一步：检查当前存在的ACL定义访问网关和DHCP请求的ACL第二步：创建30003999ACL定义访问网关和DHCP请求的ACL第三步：ACL 3700允许目的地址注意：目的地址通配符采用反掩码定义访问网关和DHCP请求的ACL第三步：ACL 3700允许UDP目的端口67，即DHCP获取地址请求所使用端口定义访问网关和DHCP请求

16、的ACL第四步：检查ACL3700设置定义流分类匹配ACL 3700第一步：检查当前存在的流分类定义流分类匹配ACL 3700第二步：创建流分类，命名为gw&dhcp定义流分类匹配ACL 3700第三步：设置gw&dhcp匹配条件为ACL3700定义流分类匹配MAC地址列表第一步：创建流分类，命名为MAC注意：操作要选择or，表示匹配关系为“逻辑或”定义流分类匹配MAC地址列表第二步：设置mac匹配条件为源MAC 0015-c50d-1903注意：限制多个MAC需要多次操作定义流分类匹配MAC地址列表第三步：检查mac匹配条件，即MAC地址列表定义流行为permit第一步：检查当前存在的流行为

17、定义流行为permit第二步：创建流行为，命名为permit定义流行为permit第三步：设置permit过滤动作为permit定义流行为deny第一步：创建流行为，命名为deny定义流行为deny第二步：设置deny过滤动作为deny定义QoS策略myqos第一步：检查当前存在的QoS策略定义QoS策略myqos第二步：创建QoS策略，命名为myqos定义QoS策略myqos第三步：把流分类gw&dhcp和流行为permit绑定定义QoS策略myqos第四步：把流分类mac和流行为deny绑定LAN口入方向应用策略第一步：查看当前端口策略定义QoS策略myqos第二步：在LAN口（vlan-

18、interface 1）的入方向应用策略myqosMAC地址允许大部分PC为受限PC，只允许少量PC上网限制IP方式有缺陷，PC更改IP地址后又能上网可以通过允许MAC地址方式限制其余MAC地址上网Internet电信线路0015-c50d-1903允许上网PC.0001-0203-0405禁止上网PC允许MAC原理通过QoS方式实现定义流分类，匹配任意以下条件之一皆允许通过，在定义一个流分类匹配其余流量通过ACL匹配内部PC访问网关流量和DHCP获取地址流量配置允许MAC列表定义流行为允许拒绝定义QoS策略绑定流分类和流行为，根据配置顺序生效访问网关、DHCP流量、允许MAC列表通过，除此之

19、外流量进行下一匹配其余流量绑定拒绝动作在LAN接口入方向应用QoS策略定义访问网关和DHCP请求的ACL第一步：检查当前存在的ACL定义访问网关和DHCP请求的ACL第二步：创建30003999范围ACL定义访问网关和DHCP请求的ACL第三步：ACL 3700允许目的地址注意：目的地址通配符采用反掩码定义访问网关和DHCP请求的ACL第三步：ACL 3700允许UDP目的端口67，即DHCP获取地址请求所使用端口定义访问网关和DHCP请求的ACL第四步：检查ACL3700设置定义流分类匹配ACL 3700第一步：检查当前存在的流分类定义流分类匹配ACL 3700第二步：创建流分类，命名为gw

20、&dhcp&mac匹配操作为or定义流分类匹配ACL 3700第三步：设置gw&dhcp&mac匹配条件为ACL3700定义流分类匹配ACL 3700第四步：分若干次添加gw&dhcp&mac匹配条件为mac地址定义流分类匹配其余流量第一步：创建流分类，命名为other定义流分类匹配所有流量第二步：设置other匹配条件为“匹配每个报文”定义流行为permit第一步：检查当前存在的流行为定义流行为permit第二步：创建流行为，命名为permit定义流行为permit第三步：设置permit过滤动作为permit定义流行为deny第一步：创建流行为，命名为deny定义流行为deny第二步：设置

21、deny过滤动作为deny定义QoS策略myqos第一步：检查当前存在的QoS策略定义QoS策略myqos第二步：创建QoS策略，命名为myqos定义QoS策略myqos第三步：把流分类gw&dhcp&mac和流行为permit绑定定义QoS策略myqos第四步：把流分类other和流行为deny绑定LAN口入方向应用策略第一步：查看当前端口策略定义QoS策略myqos第二步：在LAN口（vlan-interface 1）的入方向应用策略myqos防病毒、攻击ACLIP-MAC绑定IP地址限制和URL过滤MAC地址限制和MAC地址允许内部PC每IP均等限速内部服务器和系统服务端口修改SNMP和

22、TR-069设置虚拟专用网（IPSec和L2TP）无线高级功能设置高级功能配置内部PC每IP均等限速BT等P2P应用会贪婪地占用任何带宽为了保证内部PC都能够公平地享有足够的带宽，需要对每台PC进行限速，保证BT等应用不会占用过多的带宽配置双向QoS Carl在LAN应用QoS CarlNavigatorqos carl 1 source-ip-address range to 54 per-addressNavigatorqos carl 2 destination-ip-address range to 54 per-addressNavigatorinterface Vlan-inter

23、face 1Navigator-Vlan-interface1qos car inbound carl 1 cir 512Navigator-Vlan-interface1qos car outbound carl 2 cir 1024Internet每台PC下载限速1Mbps，上传限速512kpbs防病毒、攻击ACLIP-MAC绑定IP地址限制和URL过滤MAC地址限制和MAC地址允许内部PC每IP均等限速内部服务器和系统服务端口修改SNMP和TR-069设置虚拟专用网（IPSec和L2TP）无线高级功能设置高级功能配置内部服务器原理服务器位于客户网络内部，使用私网地址如/24，网关为服务器

24、要对外部网络即Internet提供服务，使用TCP 80端口，即WWW服务2-1终端可以开放该端口，结合2-1的WAN口地址，对Internet用户提供服务访问能力，2-1终端会将来访的访问映射给内部服务器Internet内部服务器WAN40访问40的TCP 80端口把访问转换成访问 TCP 80端口内部服务器配置系统服务端口修改如果配置了WANDefend防火墙策略，修改服务端口后要修改ACL，保证系统服务可用防病毒、攻击ACLIP-MAC绑定IP地址限制和URL过滤MAC地址限制和MAC地址允许内部PC每IP均等限速内部服务器和系统服务端口修改SNMP和TR-069设置虚拟专用网（IPSe

25、c和L2TP）无线高级功能设置高级功能配置NetworkSNMP原理SNMP原理SNMP服务器如网管平台主动向客户端即网络设备发起请求要求网管服务器提前获得客户端IP地址常见行业网络中大量使用SNMP，非常成熟不适合运营商海量接入设备管理，因为无法提前配置海量IP地址需要了解各网络设备IP地址并设置统一SNMP参数NetworkNetworkSNMP服务器SNMP服务器主动向一些网络设备发起查询、设置请求SNMPv1和v2c配置system-viewNavigatorsnmp-agent community read publicNavigatorsnmp-agent community wr

26、ite privateNavigatorsnmp-agent sys-info version all进入系统视图配置只读团体字public配置读写团体字private使能SNMP所有版本，即v1，v2c和v3TR-069原理TR-069/CWMP原理客户端CPE如2-1终端向服务器ACS发起连接，ACS再向客户端发请求不需要ACS提前获得客户端地址一种新兴协议，专门为海量接入设备CPE网管而设计各省BBMS系统就是TR-069协议中的ACS，各省有各自的ACS URL、用户名和密码，需要提前向省中心咨询ADSL阿朗 1-2H3C 2-1阿朗 1-2阿朗 1-2H3C 2-110M专线电信网络

27、ACS服务器2:xxxx.终端向设定的ACS URL主动发起连接，并注册到ACS系统设置CWMP/TR-069防病毒、攻击ACLIP-MAC绑定IP地址限制和URL过滤MAC地址限制和MAC地址允许内部PC每IP均等限速内部服务器和系统服务端口修改SNMP和TR-069设置虚拟专用网（IPSec和L2TP）无线高级功能设置高级功能配置虚拟专用网（IPSec）配置IPSec是在IP网络中保证数据完整性、来源认证、私密性、防重放的框架协议AH：Authentication Header，通过校验保证数据完整性、来源认证和防重放ESP：Encapsulating Secure Payload，提供完

28、整性、私密性和防重放通过数学算法在加解密双方交换密钥，涉及加密和校验的密钥和算法、兴趣流称为SA（Secure Association安全联盟），SA为IPSec配置的关键SA可以通过手工方式建立，配置繁琐，密钥需要手动更新，存在安全隐患使用IKE（Internet Key Exchange）动态协商SA，且可以动态更新、可达性检测已经成为IPSec中不可或缺的一部分工作原理发起方主动向响应方发起IKE协商，协商IKE安全联盟（过程1中的加密、验证算法）IKE安全联盟协商完成后开始协商IPSec安全联盟（过程2中的加密、验证算法）IPSec安全联盟协商完成后就可以对数据流进行加密、验证传输了2

29、-1终端既可以作为VPN的发起方，也可以作为VPN的响应方H3C 2-1常见IPSec VPN组网方式LAN/24Internet400095H3C 2-14LAN/24LAN/24LAN/24发起连接发起连接发起连接注：所有设备使用相同的安全设置阿朗 1-2阿朗 1-2H3C 2-1作为响应方的配置步骤在E1710版本默认VPN响应方配置的基础上进行修改即可WEB中配置IKE对等体修改预共享密钥WEB中配置IKE安全提议过程一所使用的加密算法、验证算法、DH组、SA生命期WEB中配置IPSec安全提议过程二所使用的协议类型、加密算法、验证算法、封装模式WEB中配置IPSec策略模板命令行中修

30、改WAN口NAT设置WAN口同时设置NAT和VPN，先进行NAT转换，在进行VPN传输NAT转换源地址后，数据流不符合加密规则修改NAT使目的地址是VPN网段的，拒绝NAT转换步骤一：修改IKE对等体由于所有VPN设备要采用相同的预共享密钥，这里采用123456以Bell 1-2配置为基准H3C 2-1 IKE对等体配置界面将预共享密钥设置成12345678以Bell 1-2配置为基准H3C 2-1 IKE对等体修改页面步骤二：配置IKE安全提议由于所有VPN设备要采用相同的安全提议，所以要提前商量好安全提议中的加密算法、验证算法、SA生存期以Bell 1-2配置为基准H3C 2-1配置界面新

31、建IKE安全提议和1-2一致以Bell 1-2配置为基准H3C 2-1新建安全提议界面参数对应关系IKE安全提议配置结束步骤三：配置IPSec安全提议以Bell 1-2配置为基准新建IPSec安全提议和1-2一致参数对应关系步骤四：配置IPSec策略模板修改策略模板参数对应关系模板配置结束步骤五：命令行新建ACLsystem-view System View: return to User View with Ctrl+Z.Navigatoracl number 3999Navigator-acl-adv-3999display this#acl number 3999 #returnNavi

32、gator-acl-adv-3999rule deny ip destination 55Navigator-acl-adv-3999rule 1000 permit ipNavigator-acl-adv-3999display this#acl number 3999 rule 0 deny ip destination 55 rule 1000 permit ip #returnNavigator-acl-adv-3999quit进入系统视图创建高级ACL 3999查看ACL 3999当前配置过滤目的地址/16第1000条规则允许任何IP包查看ACL 3999当前配置退出ACL配置视图命

33、令行修改WAN口NAT配置Navigatorinterface Ethernet 0/0Navigator-Ethernet0/0display this#interface Ethernet0/0 port link-mode route nat outbound ip address 40 ipsec policy navigator#returnNavigator-Ethernet0/0nat outbound 3999Navigator-Ethernet0/0undo nat outboundNavigator-Ethernet0/0display this#interface Eth

34、ernet0/0 port link-mode route nat outbound 3999 ip address 40 ipsec policy navigator#进入WAN口接口视图显示WAN口当前配置添加ACL 3999方式NAT取消原有nat outbound显示WAN口当前配置查看IPSec安全联盟H3C 2-1作为发起方的配置步骤在E1710版本默认VPN响应方配置的基础上进行修改即可命令行中修改WAN口NAT设置WAN口同时设置NAT和VPN，先进行NAT转换，在进行VPN传输NAT转换源地址后，数据流不符合加密规则修改NAT使目的地址是VPN网段的，拒绝NAT转换命令行中增

35、加用于发起IPSec连接的ACL 3500WEB中配置IKE对等体修改预共享密钥WEB中配置IKE安全提议过程一所使用的加密算法、验证算法、DH组、SA生命期WEB中配置IPSec安全提议过程二所使用的协议类型、加密算法、验证算法、封装模式WEB中删除IPSec应用和策略WEB中添加IPSec策略并应用步骤一：命令行新建ACL 3999system-view System View: return to User View with Ctrl+Z.Navigatoracl number 3999Navigator-acl-adv-3999display this#acl number 3999

36、 #returnNavigator-acl-adv-3999rule deny ip destination 55Navigator-acl-adv-3999rule 1000 permit ipNavigator-acl-adv-3999display this#acl number 3999 rule 0 deny ip destination 55 rule 1000 permit ip #returnNavigator-acl-adv-3999quit进入系统视图创建高级ACL 3999查看ACL 3999当前配置过滤目的地址/16第1000条规则允许任何IP包查看ACL 3999当前

37、配置退出ACL配置视图命令行修改WAN口NAT配置Navigatorinterface Ethernet 0/0Navigator-Ethernet0/0display this#interface Ethernet0/0 port link-mode route nat outbound ip address 95 ipsec policy navigator#returnNavigator-Ethernet0/0nat outbound 3999Navigator-Ethernet0/0undo nat outboundNavigator-Ethernet0/0display this#i

38、nterface Ethernet0/0 port link-mode route nat outbound 3999 ip address 95 ipsec policy navigator#进入WAN口接口视图显示WAN口当前配置添加ACL 3999方式NAT取消原有nat outbound显示WAN口当前配置步骤二：配置用于发起IPSec的ACL 3500Navigatoracl number 3500Navigator-acl-adv-3999display this#acl number 3500#returnNavigator-acl-adv-3500rule permit ip

39、source 55 destination 55Navigator-acl-adv-3500display this#acl number 3999 rule 0 permit ip source 55 destination 55#returnNavigator-acl-adv-3500创建高级ACL 3500查看ACL 3500当前配置允许源地址是/24目的地址是/16查看ACL 3500当前配置步骤三：修改IKE对等体由于所有VPN设备要采用相同的预共享密钥，这里采用123456以Bell 1-2配置为基准H3C 2-1 IKE对等体配置界面将预共享密钥设置成12345678以Bell

40、1-2配置为基准H3C 2-1 IKE对等体修改页面步骤四：配置IKE安全提议由于所有VPN设备要采用相同的安全提议，所以要提前商量好安全提议中的加密算法、验证算法、SA生存期以Bell 1-2配置为基准H3C 2-1配置界面新建IKE安全提议和1-2一致以Bell 1-2配置为基准H3C 2-1新建安全提议界面参数对应关系IKE安全提议配置结束步骤五：配置IPSec安全提议以Bell 1-2配置为基准新建IPSec安全提议和1-2一致参数对应关系步骤六：删除应用和策略步骤七：新建策略并应用步骤八：应用策略查看安全联盟L2TP背景为远程移动办公员工如出差员工提供专有网络VPN接入的一种技术企业

41、Intranet在Internet出口提供L2TP接入网关，供远程L2TP客户端接入远程L2TP客户端要首先接入到Internet，并能与L2TP接入网关互联L2TP客户端向服务器发起隧道连接请求，L2TP隧道（UDP层隧道）支持认证隧道建立完成后进行PPP协商，协商成功服务器会向客户端分配PPP链路地址，客户端通过构建在L2TP隧道的PPP链路与Intranet网络进行互联PC直接向LNS发起L2TP隧道建立请求InternetIntranetL2TP会话L2TP会话E0/0400LNS配置#/使能l2tpl2tp enable#/test域的配置domain testaccess-limi

42、t disablestate activeidle-cut disableself-service-url disable/地址池0的配置ip pool 0 53#/配置pc，服务类型为ppplocal-user pcpassword simple pcservice-type ppp#/建立l2tp组1l2tp-group 1 undo tunnel authenticationallow l2tp virtual-template 0#/供用户接入的接口interface Ethernet0/0port link-mode routeip address /24#/建立虚模板0interf

43、ace Virtual-Template0/使用chap认证ppp authentication-mode chap/指定地址池，默认为0remote address pool/指定虚模板地址ip address 54 #PC使用Windows自带客户端（未完）把下面注册表导入后重启PC添加网络连接PC建立连接（未完）PC建立连接（未完）PC建立连接（未完）PC建立连接（未完）PC建立连接（未完）PC建立连接（未完）PC建立连接（结束）防病毒、攻击ACLIP-MAC绑定IP地址限制和URL过滤MAC地址限制和MAC地址允许内部PC每IP均等限速内部服务器和系统服务端口修改SNMP和TR-069

44、设置虚拟专用网（IPSec和L2TP）无线高级功能设置高级功能配置无线高级功能设置将无线加密方式从WEP修改成WPA-PSK方式，提高防破解能力2-1终端面向中小企业应用时，作为所有应用的出口网关，需要采取一些基本安全策略保证企业信息不受非法入侵无线接入存在安全隐患，即使是WPA或WPA2方式也可以通过暴力方法破解，因此无线接入属于非受信接入方式有线接入属于一种受信接入方式，通常公司敏感信息都存放在有线接入的服务器上为保证信息安全需要把非受信和受信接入方式隔离把无线接入专门划分到VLAN2中有线接入依然属于VLAN1通过设置防火墙隔离VLAN1和VLAN2无线有线网络隔离示意Internet电

45、信线路VLAN1有线主机VLAN2无线主机/24WPA-PSKVLAN1禁止转发源地址/24修改加密方式为WPA-PSK将无线接入划入到VLAN2第一步：创建VLAN2和VLAN接口将无线接入划入到VLAN2第二步：将WLAN-BSS0加入到VLAN2将无线接入划入到VLAN2第三步：配置VLAN2接口地址和DHCP创建基本ACL2500在ACL2500中添加VLAN2源地址网段通过防火墙禁止vlan2访问vlan1Navigatorfirewall enable Navigatorinterface Vlan-interface 1Navigator-Vlan-interface1firew

46、all packet-filter 2500 outboundNavigator-Vlan-interface1display this #interface Vlan-interface1 ip address dhcp server apply ip-pool vlan1 firewall packet-filter 2500 outbound#returnNavigator-Vlan-interface1使能防火墙进入VLAN1接口接口出方向应用2500防火墙策略检查接口设置产品概述WEB基本功能配置高级功能配置常见问题分析目录升级失败后在Bootrom中恢复升级到E1710后无法Tel

47、netNAT内部服务器没有生效基于时间段访问控制失效无线可以连接，但无法获得IP地址内部PC上网慢使用LAN镜像WAN口流量常见资料查询及信息反馈常见问题分析准备工作在Bootrom中只能通过TFTP方式恢复启动文件连接准备PC准备版本文件TFTP服务器软件超级终端设置静态IP地址Console线Con/AUX以太网线WAN口00参考设备升级U盘覆盖旧启动文件部分胶片00进入Bootrom操作界面Press Ctrl+B to .密码为空，按完Ctrl+B后直接回车Init DDR初始化内存，开始启动修改以太网参数 Enter Ethernet SubMenu选择3进入以太网子菜单Enter

48、your choice(1-a)选择菜单项：3 Change Ethernet Parameter选择5修改以太网参数Enter your choice(1-6)选择菜单项：5填写参数File NamePC上版本文件名：e1710.bininet on ethernet配置wan口地址：Host inet指定TFTP服务器：00flags使用TFTP方式：0 x80下载文件并保存成main.bin Update Main Application File选择2升级主启动文件Enter your choice(1-6)选择菜单项：2Loading.表示开始下载Done！表示下载完成Input t

49、he file Name:输入保存文件名：main.bin退回到Bootrom主菜单Update Success！表示保存成功 Exit to Main Menu选择6退回到主菜单Enter your choice(1-6)选择菜单项：6重启设备 Reboot选择a重启Enter your choice(1-a)选择菜单项：a查看重启过程Decompressing. Done！解压缩成功，表明恢复完成善后工作恢复PC的地址设置方式登录2-1终端修改配置升级失败后在Bootrom中恢复升级到E1710后无法TelnetNAT内部服务器没有生效基于时间段访问控制失效无线可以连接，但无法获得IP地址

50、内部PC上网慢使用LAN镜像WAN口流量常见资料查询及信息反馈常见问题分析E1710版本说明E1710版本出厂配置打开telnet功能登录用户名useradmin，登录密码admin!#$%E1710之前版本默认关闭telnet功能可以通过如下命令打开telnetNavigatortelnet server enable开启telnet服务功能Navigatorconfigure-user count 5并发配置设备用户数量为5Navigatoruser-interface vty 0 4进入telnet用户使用的用户接口vty 0到4视图，配置认证模式Navigator-ui-vty0-4a

51、uthentication-mode scheme采用方案认证模式，即系统域认证模式升级E1710无法Telnet分析和处理升级前没有正确开启或配置telnet，并且已保存配置升级到E1710后，由于以保存配置启动，继承了无法telnet的配置处理方法恢复出厂配置后重新配置，要求操作人员到现场操作设备上电后长按reset键5秒以上，设备启动完成后重新配置按照前页命令行修改配置，要求操作人员到现场使用console登录命令行Navigatortelnet server enable开启telnet服务功能Navigatorconfigure-user count 5并发配置设备用户数量为5Nav

52、igatoruser-interface vty 0 4进入telnet用户使用的用户接口vty 0到4视图，配置认证模式Navigator-ui-vty0-4authentication-mode scheme采用方案认证模式，即系统域认证模式升级失败后在Bootrom中恢复升级到E1710后无法TelnetNAT内部服务器没有生效基于时间段访问控制失效无线可以连接，但无法获得IP地址内部PC上网慢使用LAN镜像WAN口流量常见资料查询及信息反馈常见问题分析内部服务器错误处理步骤检查内部服务器IP地址、掩码和网关设置很多情况下都是由于网关设置错误引起的问题掌握内部服务器所提供服务的类型TCP

53、还是UDP端口号检查2-1终端配置是否正确根据高级配置介绍内部服务器配置检查调试信息开关检查工作是否正常，telnet登录设备按Ctrl+Z进入用户视图display current-configurationdebugging nat packetterminal debugging，简写t dterminal monitor，简写t m找Internet一台PC访问该服务，访问结束使用u t m关闭调试信息输出升级失败后在Bootrom中恢复升级到E1710后无法TelnetNAT内部服务器没有生效基于时间段访问控制失效无线可以连接，但无法获得IP地址内部PC上网慢使用LAN镜像WAN口流量常见资料查询及信息反馈常见问题分析基于时间段访问控制无效2-1终端断电后无法保存时间，启动后以2007年1月1日0时0分0秒开始计时由于时间不准确，所以基于时间段的访问控制失效解决方法设备启动后手工配置当前时间通过设置NTP服务器，自动从网络获取时间，只要开机后连入互联网就能够自动同步时间升级失败后在Bootrom中恢复升级到E1710后无法TelnetNAT内部服务器没有生效基于时间段访问控制失