ICG2000信息通信网关配置与维护v2.01

配置与维护商务领航ICG2000信息通信网关V2.01熟悉商务领航定制终端和ICG关系熟悉定制终端现有WEB网管熟悉定制终端基本故障处理课程目标学习完本课程，您应该能够：产品概述WEB基本功能配置高级功能配置介绍常见问题分析目录ICG2000外观Reset键孔USB接口，可以连接FAT16/32格式USB存储介质电源接口电源开关SIC/DSIC灵活插槽E0/1~E0/4，LAN接口E0/0，WAN接口WLAN天线接地螺栓Console/AUX接口PWR、WLAN、SYS、ETH指示灯FE服务器DMZ传统用户用户侧电信侧L2FWRouterH3CICG2000IP电话ICG2000可以为50人左右的小型企业或小型分支，提供一体化的宽带、安全、语音、WiFi接入，在运营商为接入单位提供统一的信息通信服务。应用控制传统用户流量统计分析多功能和高性能的完美结合路由以太网交换防火墙防攻击应用控制流量统计/限速WLAN语音IPSec产品概述WEB基本功能配置高级功能配置常见问题分析目录网络连接示意ICG2000Internet接入交换机BBMSWAN连接内部交换机/HUBVLAN-Interface1<地址>/24<角色>PC上网网关DHCP服务器DNS代理服务器打开WEB网管页面并登录用户名useradmin密码admin!@#$%^还需要输入校验码登录版本：H3CICG2000_CTCWM520E1710设备概览基本业务配置向导设备升级配置保存WEB网管基本功能配置基本业务配置向导出厂已经配置LAN口和WLANLAN口地址即vlan-interface1接口地址/24，建议不修改，修改会导致WEB连接中断，必须重新登录LAN口默认已经打开DHCP功能，能够为LAN接入PC分配IP地址，同时指定为网关地址，建议不修改网关地址LAN口DHCP默认分配DNS地址为，可以在向导中修改DNS地址WLAN默认已经打开WEP连接认证，认证密码可以在随机手册底面找到，建议不修改WAN口配置配置WAN口为PPPoE配置WAN口为静态IP方式，同时配置WAN口网关、DNS服务器以上2种方式任选一种配置完成后既可以访问Internet基本业务配置向导（1）基本业务配置向导（2）基本业务配置向导（2）缺省vlan-interface1IP地址/24基本业务配置向导（3）基本业务配置向导（4）基本业务配置向导（5）基本连通性诊断测试DNS连通性诊断测试基本业务配置向导设备升级配置保存WEB网管基本功能配置设备升级原理将设备当前运行的操作系统文件替换成其它操作系统文件并运行称为升级，可以分成2个过程操作系统文件也称为启动文件，文件名为main.bin，main.bin大小一般为13M，存放在ICG200016MFlash中，所以必须使用新文件覆盖老文件方式替换，覆盖方式有2种以U盘内新文件覆盖设备上旧文件通过网络方式覆盖设备上旧文件重新启动，即以新文件启动设备可以在WEB中选择重启可以通过硬件开关重启升级过程中切勿断电通过U盘覆盖旧文件准备事项Console线，通过超级终端登录ICG2000命令行版本文件U盘注意事项U盘文件备份，以免文件丢失，强烈推荐，然后可以将U盘格式化将新文件拷入U盘，文件名必须是英文，如“E1710.bin”把U盘插入ICG2000通过命令行对ICG2000进行文件覆盖操作举例从R1618P01升级到E1710从E1710升级到其余版本要注意命令行变化连接Console线和使用超级终端Console线Con/AUX打开超级终端命令行操作（1）pwd显示当前工作目录presentworkingdirectorydir显示当前目录内容directory显示当前和下次启动文件命令行操作（2）uf1:insertedintoslot0提示USB设备插入cd转换当前目录到uf1:/changedirectorypwd显示当前工作目录presentworkingdirectorydir显示当前目录内容directorycopy文件拷贝，把uf1:/e1710.bin拷贝到flash:/main.bin提示是否要执行拷贝以及是否要覆盖原有文件拷贝成功通过网络覆盖旧文件准备事项网络连接和TFTP服务器，如Cisco-TFTPServer版本文件命令行条件如telnet或console注意事项学会设置TFTP服务器覆盖失败要尝试再次上传直到成功为止，覆盖失败切勿断电举例从R1618P01升级到E1710从E1710升级到其余版本要注意WEB页面变化网络连接和文件准备VLAN1GatewayDHCP-ServerDNSDHCP-ClientConsole准备TFTP服务器版本文件TFTP服务器设置WEB操作（1）WEB操作（2）WEB操作（3）升级时间较长，在读写Flash期间，Console操作响应慢！文件覆盖完成后重启设备确保文件成功覆盖后才能进行重启操作，否则设备将无法正常启动重启前先保存配置，避免当前配置丢失WEB中保存配置命令行中通过save命令保存硬重启通过断电、重新上电方式重启，如：电源关开软重启WEB中重启命令行中通过reboot命令重启系统重启后检查基本业务配置向导设备升级配置保存WEB网管基本功能配置保存配置（1）保存配置（2）保存配置（3）保存为安装配置china2008产品概述WEB基本功能配置高级功能配置常见问题分析目录防病毒、攻击ACLIP-MAC绑定调整NAT老化时间内部PC每IP均等限速NAT连接数限制内部服务器设置系统服务端口修改基于时间段的访问控制虚拟专用网高级功能配置常见防攻击病毒ACL对常见病毒和攻击、扫描使用的TCP、UDP端口进行过滤端口列表较长，WEB配置复杂，可以使用命令行方式下发举例，warm.blaster蠕虫病毒使用如下常用端口rule1denytcpdestination-porteq4444rule2denytcpdestination-porteq135rule3denyudpdestination-porteq135详细ACL配置脚本脚本中没有考虑DDNS和TR-069，因为DDNS和TR-069端口会变化，可以根据实际情况添加放行主机防攻击ACL的应用根据脚本配置防攻击ACL检查/打开防火墙应用LAN口ACL应用WAN口ACL[Navigator]interfaceVlan-interface1

[Navigator-Vlan-interface1]firewallpacket-filternamelandefendinbound[Navigator]interfaceEthernet0/0[Navigator-Ethernet0/0]firewallpacket-filternamewandefendinbound[Navigator]firewallenable防病毒、攻击ACLIP-MAC绑定调整NAT老化时间内部PC每IP均等限速NAT连接数限制内部服务器设置系统服务端口修改基于时间段的访问控制虚拟专用网高级功能配置IP-MAC绑定内部网络安全问题日益突出，以ARP类攻击为主通过全局配置静态ARP方式限制IP地址冒用普通绑定arpstatic

ip-addressmac-address

举例：[Navigator]arpstatic0015-c50d-1903带VLAN和接口绑定arpstatic

ip-addressmac-address

vlan-id

interface-typeinterface-number举例：[Navigator]arpstatic0015-c50d-19031Ethernet0/3举例：[Navigator]arpstatic0015-c50d-19031WLAN-BSS0防病毒、攻击ACLIP-MAC绑定调整NAT老化时间内部PC每IP均等限速NAT连接数限制内部服务器设置系统服务端口修改基于时间段的访问控制虚拟专用网高级功能配置调整NAT老化时间内部PC访问Internet的每个应用都换占用若干个NAT表项，NAT表项过多会影响一些性能可以在不影响内部PC使用情况下调整NAT表项老化时间[Navigator]nataging-timetcp300//修改TCP老化时间为300秒，默认为86400秒[Navigator]nat

aging-timeudp180//修改UDP老化时间为180秒，默认为300秒[Navigator]nataging-timepptp300//修改PPTP老化时间为300秒，默认为86400秒[Navigator]nataging-timeftp-ctrl300//修改ftp-ctrl老化时间为300秒，默认为7200秒[Navigator]nataging-timeicmp10//修改ICMP老化时间为10秒，默认为60秒[Navigator]nataging-timedns10//修改DNS老化时间为10秒，默认为60秒[Navigator]nataging-timetcp-fin10//修改tcp-fin老化时间为10秒，默认为60秒[Navigator]nataging-timetcp-syn10//修改tcp-syn老化时间为10秒，默认为60秒防病毒、攻击ACLIP-MAC绑定调整NAT老化时间内部PC每IP均等限速NAT连接数限制内部服务器设置系统服务端口修改基于时间段的访问控制虚拟专用网高级功能配置内部PC每IP均等限速BT等P2P应用会贪婪地占用任何带宽为了保证内部PC都能够公平地享有足够的带宽，需要对每台PC进行限速，保证BT等应用不会占用过多的带宽配置双向QoSCarl在LAN应用QoSCarl[Navigator]qoscarl1source-ip-addressrangeto54per-address[Navigator]qoscarl2destination-ip-addressrangeto54per-address[Navigator]interfaceVlan-interface1[Navigator-Vlan-interface1]qoscarinboundcarl1cir512[Navigator-Vlan-interface1]qoscaroutboundcarl2cir1024防病毒、攻击ACLIP-MAC绑定调整NAT老化时间内部PC每IP均等限速NAT连接数限制内部服务器设置系统服务端口修改基于时间段的访问控制虚拟专用网高级功能配置对每台PC的NAT连接数进行限制防病毒、攻击ACLIP-MAC绑定调整NAT老化时间内部PC每IP均等限速NAT连接数限制内部服务器设置系统服务端口修改基于时间段的访问控制虚拟专用网高级功能配置内部服务器配置防病毒、攻击ACLIP-MAC绑定调整NAT老化时间内部PC每IP均等限速NAT连接数限制内部服务器设置系统服务端口修改基于时间段的访问控制虚拟专用网高级功能配置系统服务端口修改如果配置了WANDefend防火墙策略，修改服务端口后要修改ACL，保证系统服务可用防病毒、攻击ACLIP-MAC绑定调整NAT老化时间内部PC每IP均等限速NAT连接数限制内部服务器设置系统服务端口修改基于时间段的访问控制虚拟专用网高级功能配置基于时间段的访问控制防病毒、攻击ACLIP-MAC绑定调整NAT老化时间内部PC每IP均等限速NAT连接数限制内部服务器设置系统服务端口修改基于时间段的访问控制虚拟专用网高级功能配置虚拟专用网（IPSec）配置IPSec是在IP网络中保证数据完整性、来源认证、私密性、防重放的框架协议AH：AuthenticationHeader，通过校验保证数据完整性、来源认证和防重放ESP：EncapsulatingSecurePayload，提供完整性、私密性和防重放通过数学算法在加解密双方交换密钥，涉及加密和校验的密钥和算法、兴趣流称为SA（SecureAssociation安全联盟），SA为IPSec配置的关键SA可以通过手工方式建立，配置繁琐，密钥需要手动更新，存在安全隐患使用IKE（InternetKeyExchange）动态协商SA，且可以动态更新、可达性检测已经成为IPSec中不可或缺的一部分IPSec/IKE配置流程配置IKE配置ACL确定兴趣流配置IPSecProposal确定IPSec加密、校验配置IPSecPolicy接口应用IPSec策略IKE全局配置IKELocalNameIKEProposalIKEDPDIKEPeer配置remote-addressremote-namelocal-addresspre-shared-keyexchange-modeid-typenattransversalIPsecPolicy配置ike-peerIPSecProposalsecurityacl设置IKELocalName配置IKEPeer设置IKEProposal配置或选择IPSecProposal配置IPSecPolicy应用策略产品概述WEB基本功能配置高级功能配置常见问题分析目录ICG游戏对抗区贵宾商务区数码体验区无线体验区普通上网区VIP视频区电影服务器游戏服务器计费服务器监控服务器电信视频服务器InternetPC数、线路带宽、业务类型等都是确定设备型号的主要因素ICG常见组网方案安装前的准备事项了解客户网络情况网络情况，IP、MAC情况PC数常用业务网络连接PPPo