日常操作手册(纳智捷汽车生活馆)

1、 PAGE 6纳智捷汽车生活馆IT 主管日常操作指导目录 HYPERLINK l _TOC_250005 一、设备维护02 HYPERLINK l _TOC_250004 二、网络设备密码重置步骤20 HYPERLINK l _TOC_250003 三、飞塔限速设置05四、飞塔 SSLVPN 设置及应用07 HYPERLINK l _TOC_250002 五、服务需求15六、安装调试流程16七、备机服务流程17 HYPERLINK l _TOC_250001 八、安装及测试 1. 8 HYPERLINK l _TOC_250000 九、注意事项19一、设备维护1、登录防火墙内网登录防火墙，可在

2、浏览器中 https:/172.31。X.254 或 https:/192.168。X。254（注： 登录地址中的X 代表当前生活馆的X 值），从外网登录可输当前生活馆的WAN1 口的外网 IP地址 （例如：https：/23） 进入界面输入用户名密码即可对防火墙进行管理和配置。2、登录交换机从内网登录交换机，在浏览器输入交换机的管理地址即可。 HYPERLINK http:/172.31/ http:/172.31。X。253252251250（注：同样登录地址中的X 代表当前生活馆的X 值） 3、登录无线 AP从内网登录无线AP，在浏览器输入无线AP 的管理地址即可. 员工区 HYPERL

3、INK http:/172.31/ http:/172.31。X.241客户区 http：/192。168。X。241（注：同样登录地址中的X 代表当前生活馆的X 值）二、网络设备密码重置步骤2。1防火墙恢复出厂值或忘记密码防火墙Fortigate-80C 恢复出厂值命令：executefactoryreset(谨慎使用）防火墙 Fortigate80C 重置密码步骤1， 连上串口并配置好；2， 给设备加电启动；3， 启动完 30 秒内从串口登陆系统，用户名为：maintainer；4， 密码：bcpb序列号（区分大小写）；注意：有些序列号之间有字符,需要输入.如序列号为FGT-100XXXX

4、XXX,则密码为bcpbFGT-100XXXXXXX。不然无法登陆。5， 在命令行下执行如下系列命令重新配置“admin”的密码： config system adminedit adminset password “需要配置的新密码“ end6，可以用新密码从Web 界面登陆系统了。具体命令行如下图设置:交换机 DES3028 密码重置步骤1， 连上串口并配置好;2, 给设备加电启动;3,当界面出现第二个 100%时，立即按住 shift + 6,然后出现一下界面4，按任意键，转入下一个命令行界面5,根据上图操作,最后重启设备;交换机所有配置恢复为出厂设置.无线 DWP-2360 恢复出厂默

5、认设置方法找到设备网线接口 LAN 口旁有个 reset 按钮，长按510 秒后，设备重新启动后恢复到出厂默认值。三、飞塔限速设置3。1:首先点击进入流量整形器点击”Per-IP（针对策略中每个 IP 的流量设置） 上图点击”创建新的”3.2：新建 PerIP 的流量整形对象可以针对调用策略中的每个 IP 做下行限速，如上图最大带宽：调用策略中的每个 IP 最大下行带宽为 100K同时可以限制每个 IP 的最大并发连接数，这里可以根据实际需求进行设置。3。3:设置流量整形器中共享的对象点击”共享的（针对单条策略中所有的 IP 或者所有调用流量整形对象策略中的所有IP） 上图点击”创建新的”3。

6、4:新建共享的流量整形对象根据上图可以看到,新建共享的流量整形器可以是针对每条策略的调用设置，也可以是针对所有使用这个流量控制器的策略。可以根据需求设置最大带宽和保证带宽（预留带宽）流量优先级：当所有策略中所有带宽分配大于实际带宽，调用流量优先级高的策略得到保证. 3.5：下图是在策略中对流量整形器对象的调用示例四、飞塔 SSLVPN 设置及应用4。1： SSLVPN 设置4.1。1:进入防火墙 web 页面，新建准备分配给 SSLVPN 拨号用户的 IP 地址范围;如下图：SSLVPN 地址组，IP 范围是 172。16。0.1-172。16.0。10 4.1。2：下图为新建 SSLVPN

7、地址组具体设置界面4。1.3：进入虚拟专网中的 SSL 选项设置；首先勾选”启用 SSLVPN，IP 池选择刚才建立的 SSLVPN 地址组4。1。4：然后进入 SSL-界面；针对默认的 fullaccess 界面进行编辑4。1。5:进入 full-access 编辑界面，如下图点击红色标注选项,针对”Tunnel Mode”进行编辑； 4.1。6：在 Tunnel Mode 界面下，首先 IP 池”编辑”，选择之前建立的SSLVPN 地址组，勾选” 通道分割”；然后点击”确定.（如不勾选通道分割，SSLVPN 用户连接到防火墙，将无法上网）4。1。7：返回到 full access 界面，点

8、选下图中的 Apply,再点击 OK，将提示保存成功的对话框。点击确定.4。1。8:SSLVPN 界面设置完成，我们需要新建 SSLVPN 用户；进入设置用户，选择创建新的”;4.1.9:添加新用户如下,设置用户名和密码； 如需要新建多个用户，则重复以上步骤4。1。10:然后新建用户组，选择用户组界面，”创建新的”用户组；4。1.11:进入用户组编辑界面；设置名称，勾选”允许 SSLVPN 接入”，下拉列表选择之前编辑的 full access然后把刚才新建的用户添加到已选成员列表中；如下图：（如果有多个用户则选择多个用户到已选成员列表）4。1。12:以上步骤设置完成，我们需要新建SSLVPN

9、 用户访问策略;总共三条策略第一条策略首先新建一条允许由 WAN1 访问内部 VLAN172 接口的策略,源地址 all，目的地址172 网段,动作必须选择SSLVPN，然后点击 ”添加”选择刚才建立好的用户组，如刚才的sslgroup;4.1.13：第二条策略新建VLAN172 接口可以访问 sslvpn 隧道接口，源地址选择172 网段，目的地址选择最开始新建的SSLVPN 地址组(即 SSLVPN 用户分配到的地址），动作选择 ACCEPT； 此策略的作用是可以让 172 网段访问到 sslvpn 用户;4.1。14：第三条策略正好和第二条策略方向相反；此条策略作用是可以让 sslvpn

10、 用户访问到内部 172 网段；4.1。15：下图为新建好 sslvpn 策略的所有条目列表；。16：最后我们还需要新建一条到SSLVPN 用户的路由； 所以我们需要新建一条静态路由，路由如下红色标注内4。1。17：具体新建路由界面如下，目的 IP/子网掩码是分配给 SSLVPN 用户的所属的 IP 地址段，设备接口选择 sslvpn 隧道”ssl。root。: SSL VPN 远程拨入使用SSL VPN 有 2 种拨入方式，具体如下:4。2。1、网页登陆在 IE 浏览器中输入： https:/202。1.1。1:10443 ，其中 为防火墙外网口 WAN1的地址；提示输入用户名密码，输入后，

11、出现如下界面: 点击连接，可以看到“Link Status”显示成“Up”，并且有显示通过 SSL VPN 隧道收发的字节数，同时会在客户端操作系统里面虚拟出一个Fortinet 的网络连接来,表示 SSL VPN 隧道已经建立并且可以被客户端使用了。4.2。2. SSL VPN 客户端登陆在电脑上安装好客户端软件后， 运行出现如下界面。其中Server address: 防火墙外网口的 ip 地址. Username:用户名Password： 密码输入后，点击 connect 即可登陆，访问各分店的内部网络。五、服务需求纳智捷汽车生活馆需要提前1 2周左右的时间提出设备采购及网络技术支持需求

12、，需求应该包括如下内容：配置要求：IP地址分配： 该分支机构的地址段分配，服务器的地址分配。1。2 访问策略： 生活馆和员工区的访问权限等。1。3 VPN：必要的VPN配置信息、SSL VPN、 IPsec VPN等。项目信息： 由东风裕隆汽车有限公司网络部门提前提供纳智捷汽车生活馆建店准备，包括设备邮寄地址、当地技术负责人和联系方式等,北京源点思博科技有限公司根据纳智捷汽车生活馆实际需求日期，开始准备设备采购及网络需求.工期需求。工期按照纳智捷汽车生活馆要求规定时间内完成，遇到不可抗力因素，或者因纳智捷汽车生活馆方资源准备不充足情况除外。环境要求人员准备： 每个纳智捷汽车生活馆至少配备一名参

13、加过东风裕隆汽车有限公司组织的专门培训,通过统一考试，具有上岗资质的IT主管;环境准备：现场已经安装好互联网链路，可以进行网络测试；建店准备：由东风裕隆汽车有限公司制定部门提供纳智捷汽车生活馆建店信息；六、安装调试流程七、备机服务流程备机服务说明：甲方：纳智捷汽车生活馆 乙方:北京源点思博科技有限公司1、属于以下的几个情况范围外的,乙方不提供维护服务(售后、备机、现场技术支持）：1)甲方或因为甲方造成的人为对设备的疏忽或错误的使用造成的损坏（无论故意与否），纳智捷汽车生活馆的职员除外。对设备的不稳定供电。火灾、洪水、爆炸、雷电、风暴、地震或任何自然灾害，以及双方的不可抗因素.4)在本协议服务范

14、围之外的装置及有关设备。2、增加、修改及变更：甲方自行增加、修改或变更任何有关设备或备件的技术支持，乙方将另收取费用。乙方将在可行的情况下,应客户的要求对设备作出相应的修改,修改部分乙方收取费用。如果乙方对设备的配置作出修改，以使其能更有效地运行，应事前通知并征得甲方对修改的同意。修改方案确认后，乙方应在双方协商的合理时间内完成此项工作。如果变更、修改或增加牵涉到设备，双方在协商后合理确定其维护服务费用。3、额外服务对合同规定外的服务,乙方可以收取额外服务费。 4、设备保修期东风裕隆项目我公司已经在飞塔和D-Link公司做过项目报备，同时也为东风裕隆各公司争取了更好的服务和保修周期。D-Lin

15、k DES3028交换机硬件保修期3年D-Link DWP2360AP硬件保修期2年Fortigate-80C防火墙一年注：如果以上设备不是从我公司购买，飞塔设备如出现硬件故障将无法返修，DLink设备保修期是默认一年。八、安装及测试8。1、网络环境拓扑如下：、安装说明：1、安装 Fortigate 80C，将 Wan1 接入 6M 链路,Wan2 口接入 2 M 链路.2、将DLink 交换机的第 25 口接入到 Fortigate 80C 的 internal 口。注：默认情况 1-12 口为 VLAN192 接口,13-24 口为 VLAN172 接口.3、将无线 DWP-2360 的 LAN 口接入到 D-link 交换机相应的 VLAN 接口。注：生活馆员工使用的 AP 连接到交换机属于 VLAN172 的接口上客户区使用的 AP 连接到交换机属于 VLAN192 的接口上、网络测试:网络连接好之后,在内网测试下面地址即可：Ping Ping 如果是二级店，请 ping 一级店的更新主机的 IP(如 172。31。X.220）X 值是一级店X 值九、注意事项1.FG-80C 版本号:V4。0,build0342，120227 （MR2 Patch 11)；用户需按照手册上的说明做配置,在工程竣工之前,用户不得私自改动配置；用户