中国普天CP-GW2100商务领航定制网关配置与维护手册v1.1

2024/12/1中国普天版权所有12024/12/1中国普天版权所有1封面配置与维护手册V1.1

中国普天CPGW2100商务领航2-1型定制网关2024/12/1中国普天版权所有2商务领航2-1产品简介商务领航2-1产品功能配置商务领航2-1产品故障维护目录2024/12/1中国普天版权所有3面板介绍功能介绍解决方案简述产品介绍2024/12/1中国普天版权所有4面板介绍2024/12/1中国普天版权所有5面板介绍功能介绍解决方案简述产品介绍2024/12/1中国普天版权所有6宽带上网功能链路备份和负载分担防ARP攻击功能虚拟局域网（vlan）安全隔离访问限制强制门户功能QoS保证搭建外部服务器功能数据专线（VPN）的应用管理功能功能简介2024/12/1中国普天版权所有7Navigator2-1主要面向带宽需求为4M以上的中等规模的中小企业（10～50台PC）,提供宽带上网、无线组网宽带上网功能2024/12/1中国普天版权所有8双链路多子接口再加上3G的上行接入,提供链路备份和负载分担链路备份和负载分担2024/12/1中国普天版权所有9包检测机制时刻监视局域网内ARP发包数量,当网内出现攻击源时,网关通过源抑制和广播免费报文方式主动进行防攻击措施。防ARP攻击功能2024/12/1中国普天版权所有10定制网关8LAN口的设计,提供创建多个虚拟局域网（VLAN）的功能虚拟局域网（vlan）2024/12/1中国普天版权所有11定制网关可以安全有效的隔离数据的流通安全隔离2024/12/1中国普天版权所有12定制网关可以轻松实现网络访问的限制,可以禁止某些用户访问网络,可以限制访问网络的用户访问的内容。访问限制2024/12/1中国普天版权所有13定制网关提供定时的强制访问门户网站功能。强制门户功能2024/12/1中国普天版权所有14定制网关提供基本的QoS保证,包括带宽限制,DSCP、VLAN标记,PQ队列优先级,主机限速和动态带宽调整等。QoS保证2024/12/1中国普天版权所有15定制网关提供搭建外部访问服务器的功能搭建外部服务器功能2024/12/1中国普天版权所有16定制网关提供各种VPN的应用数据专线（VPN）的应用2024/12/1中国普天版权所有17电信运营商BBMS管理平台为定制网关提供强大的管理,定制网关SNMP、SYSLOG、TR069的开发,为设备良好的运行和维护提供了强有力的支撑与保证。管理功能2024/12/1中国普天版权所有18面板介绍功能介绍解决方案简述产品介绍2024/12/1中国普天版权所有19定制网关在普通网关的基础上,拓展了应用,完善了维护,提高了性能,是一款可以提供电信级通信保证的设备,提供服务主要适用在中小企业网络。随着信息时代业务多样化,高科技高效率的办公解决方案已是所有企业发展的必要条件。定制网关就是在这样的背景下产生的,多功能、高性能、高稳定性和完善的日常维护,都是定制网关为客户提供的优质的解决方案。解决方案简述2024/12/1中国普天版权所有20系统方案2024/12/1中国普天版权所有21商务领航2-1产品简介商务领航2-1产品功能配置商务领航2-1产品故障维护目录2024/12/1中国普天版权所有22设备升级基本上网功能链路备份和负载分担防ARP攻击功能虚拟局域网（vlan）安全隔离访问限制强制门户功能QoS保证搭建外部服务器功能数据专线（VPN）的应用管理功能产品功能配置2024/12/1中国普天版权所有23产品默认LAN口同属于VLAN1,VLAN1开启DHCP,分配网段地址。默认配置下,如图连接,打开浏览器,输入,进入管理界面。Web方式设备升级2024/12/1中国普天版权所有24在“系统管理”中“维护标签下”,选择系统升级,选择升级版本方式并点击“浏览”选择升级版本,然后“上传”,升级过程中不要进行任何操作,指导提示固件升级成功为止。2024/12/1中国普天版权所有25命令行方式如图拓扑连接。命令行控制终端可以通过两种方式，console和telnet。设备出厂配置没有开启vlan的telnet，所以，如果使用telnet进行终端控制，需要首先开启vlan的telnet功能。开启方式如下:2024/12/1中国普天版权所有26在“基础配置”中选择“接口配置”,点击“VLAN接口配置”,编辑vlan1,如下,勾选telnet,“提交”即可。2024/12/1中国普天版权所有27设备升级基本上网功能链路备份和负载分担防ARP攻击功能虚拟局域网（vlan）安全隔离访问限制强制门户功能QoS保证搭建外部服务器功能数据专线（VPN）的应用管理功能产品功能配置2024/12/1中国普天版权所有28拓扑描述为基本上网方式,可采取双WAN和3G作为上行,下行接入通过有线和无线两种方式。基本上网功能2024/12/1中国普天版权所有29快速向导（1）2024/12/1中国普天版权所有30快速向导（2）2024/12/1中国普天版权所有31快速向导（3）2024/12/1中国普天版权所有32快速向导配置完成后,用户即可以访问网络。快速向导（4）2024/12/1中国普天版权所有33定制网关现在支持多种CDMA3G上网卡，可以满足通过3G接入Internet的需要。3G上网配置方法:插入3G卡，查看界面状态，拨号成功后进行下一步配置DNS和NAT3G上网2024/12/1中国普天版权所有34查看3G卡及UIM在位信息,查看连接状态为休眠。设备出厂配置3G卡位按需拨号模式,意为有流量是,3G进行连接,无流量时自动休眠。2024/12/1中国普天版权所有35DNS和NAT配置完成后,进行流量触发,界面显示连接成功后,即表示3G拨号成功。2024/12/1中国普天版权所有36设备升级基本上网功能链路备份和负载分担防ARP攻击功能虚拟局域网（vlan）安全隔离访问限制强制门户功能QoS保证搭建外部服务器功能数据专线（VPN）的应用管理功能产品功能配置2024/12/1中国普天版权所有37上行接入有三条链路,双WAN和3G,双WAN链路做负载分担,3G为WAN链路做备份。在两条上行链路的情况下,可以在负载分担的基础上做相互的备份。链路备份和负载分担2024/12/1中国普天版权所有38网关通过eth0、eth1、3G三条链路接入Internet，eth0通过PPPoE拨号方式。要求VLAN1、VLAN2下用户通过eth0访问网络，VLAN3.VLAN4下用户通过eth1访问网络，3G作为备份链路使用。VLAN1：/24VLAN2：/24VLAN3：/24VLAN4：/24拓扑描述2024/12/1中国普天版权所有39（1）设置基本网络环境2024/12/1中国普天版权所有40有线接入方式,接口配置完成后会自动生成NAT规则,3G需要手动添加NAT规则。2024/12/1中国普天版权所有41采用策略路由进行负载分担,需要进行策略路由添加。（2）设置分担路由2024/12/1中国普天版权所有422024/12/1中国普天版权所有43配置完成后,保存配置注:3G添加的为静态路由，其他两个为策略路由（3）添加备份路由并保存配置2024/12/1中国普天版权所有44设备升级基本上网功能链路备份和负载分担防ARP攻击功能虚拟局域网（vlan）安全隔离访问限制强制门户功能QoS保证搭建外部服务器功能数据专线（VPN）的应用管理功能产品功能配置2024/12/1中国普天版权所有45通过源抑制的方式防治ARP攻击。防ARP攻击功能2024/12/1中国普天版权所有46通过静态绑定和广播免费报文方式防治ARP欺骗。2024/12/1中国普天版权所有47通过源抑制方式，防止ARP的flood攻击，系统默认未开启，手动开启后系统默认阈值为每秒钟300个。开启和修改方法如下:源抑制机制为,当某个端口1秒钟内接收到来自同一个源的ARP报文超过阈值时,记录并阻断该源,阻断方式为只阻断该源ARP报文,阻断时间为所设置的主机抑制时间,默认为60秒。（1）防flood攻击2024/12/1中国普天版权所有48一般欺骗的种类有欺骗网关ARP、欺骗主机ARP，针对不同的ARP欺骗，可以采取同样的方式进行处理，防欺骗的方法有:关闭ARP学习、静态绑定、设置端口保护、自定义发包。其中关闭ARP学习和静态绑定是最有效的防欺骗方法，下面介绍各种方法的配置:关闭ARP学习和开启主动保护，可以有效地防止欺骗，开启主动保护，需要进行主动保护列表设置，如下:（2）防欺骗2024/12/1中国普天版权所有49设备升级基本上网功能链路备份和负载分担防ARP攻击功能虚拟局域网（vlan）安全隔离访问限制强制门户功能QoS保证搭建外部服务器功能数据专线（VPN）的应用管理功能产品功能配置2024/12/1中国普天版权所有50VLAN实现的是不同部门之间的数据隔离,是进行网络优化常用的方法,各部门间数据隔离有利于日常工作的正常进行,避免某个部门的广播影响到另一个部门的工作,也方便网络管理员对企业网络进行管理,通过针对不同VLAN设置数据策略,达到各部门间对网络的不同需求。虚拟局域网（vlan）2024/12/1中国普天版权所有51虚拟局域网（VLAN）的设置和划分方法很简单，但虚拟局域网的划分又十分的重要，在很多解决方案中都要进行虚拟局域网的划分，且虚拟局域网有效的隔离了广播域，一定程度上阻止了一些广播病毒及风暴的发生。虚拟局域网的划分方法总共分两步:一、添加虚拟局域网；二、划分端口。如下:2024/12/1中国普天版权所有52VLAN添加完成后,在FE配置中进行端口的绑定,可以设置LAN口工作模式为access或trunk,默认8个LAN口为access工作模式。2024/12/1中国普天版权所有53设备升级基本上网功能链路备份和负载分担防ARP攻击功能虚拟局域网（vlan）安全隔离访问限制强制门户功能QoS保证搭建外部服务器功能数据专线（VPN）的应用管理功能产品功能配置2024/12/1中国普天版权所有54对于内部共享数据,很多情况下是部门内部共享,不需要其他部门有访问的权限,甚至需要禁止其他部门访问,定制网关提供安全隔离的功能,通过简单的策略规划,轻松实现数据的安全访问。安全隔离2024/12/1中国普天版权所有55某公司内设研发部及财务部，研发和财务部门各有自己的数据共享服务器，但要求此服务器数据仅供部门内部人员使用，禁止其他部门的访问。根据以上条件进行组网预设，设置研发部为VLAN1、财务部位VLAN2.其他部门为VLAN3。划分VLAN后，进行策略添加：环境及配置简述2024/12/1中国普天版权所有562024/12/1中国普天版权所有57另:策略配置中还有源地址、目的地址、服务、时间等参数的匹配与设置，这几项参数可以让策略应用更加灵活，比如上述环境可以变化为防止部门外用户在工作时间内对部门中地址为的服务器的访问，此服务器以4332端口提供服务。以财务部为例，服务器在财务部门，我们首先要进行各种对象建立，这里包括时间对象、地址对象、服务对象，如:2024/12/1中国普天版权所有582024/12/1中国普天版权所有59上图为策略添加,达到的效果即为需求效果,需要注意的是在配置各种对象的时候,明确地各种对象的应用环境,是在应用在源还是目的。2024/12/1中国普天版权所有60设备升级基本上网功能链路备份和负载分担防ARP攻击功能虚拟局域网（vlan）安全隔离访问限制强制门户功能QoS保证搭建外部服务器功能数据专线（VPN）的应用管理功能产品功能配置2024/12/1中国普天版权所有61访问限制可以做到限制企业部门员工进行网络访问,限制分为两种方式,一种是进制部门员工进行网络访问,只允许访问内部网络；另一种是通过黑名单和文件类型控制限制部门员工访问某些网站和类型文件。访问限制2024/12/1中国普天版权所有62网络访问权限指的是部分人禁止访问网络，其他人享有网络访问权限。此配置有两种配置方式，通过NAT或策略都可以实现。预设某企业内部，划分为四个区域，其中一个区域进制其访问网络，我们定义这个区域为VLAN1，其他几个区域为VLAN2、VLAN3、VLAN4，各区域地址空间依次为/.0/.0/.0/24。下面分别以两种配置方式进行说明：网络访问权限设置2024/12/1中国普天版权所有63在一般情况下，网络配置完成后，系统NAT规则应经自动生成，所以在进行此项配置时，需要先删除原有配置，然后进行配置:使用NAT设置上网权限的原理为，只对有权限上网的用户进行地址转换，这里需要地址对象的设置，然后进行源NAT规则添加:（1）NAT配置方式2024/12/1中国普天版权所有64利用策略达到限制上网的原理为，禁止没有网络访问权限的用户数据，配置如下:NAT和策略配置其中一个都可以实现这个方案,就实际情况选择更方便的配置方法。（2）策略配置方式2024/12/1中国普天版权所有65设备升级基本上网功能链路备份和负载分担防ARP攻击功能虚拟局域网（vlan）安全隔离访问限制强制门户功能QoS保证搭建外部服务器功能数据专线（VPN）的应用管理功能产品功能配置2024/12/1中国普天版权所有66强制门户功能是指在用户访问网页的时候，定时并随机地强制某一用户访问固定网站。主要用作让企业员工强制访问公司门户，达到适时了解更新的效果。配置强制门户需要两个步骤:1.配置强制网站，设置强制时间2.配置策略，对指定用户开启强退功能强制访问间隔时间默认为最长时间86400秒,强推机制为,每隔配置时间进行一次推送,推送对象为访问网页的某一个用户。2024/12/1中国普天版权所有67开启推送与开启过滤属于一个功能项,推送的功能是基于过滤来实现的。2024/12/1中国普天版权所有68设备升级基本上网功能链路备份和负载分担防ARP攻击功能虚拟局域网（vlan）安全隔离访问限制强制门户功能QoS保证搭建外部服务器功能数据专线（VPN）的应用管理功能产品功能配置2024/12/1中国普天版权所有69QoS是针对网络应用提供的多种服务质量保证方案，定制网关关于QoS的功能主要包括:优先级队列（PQ）、带宽限制、主机带宽限制、动态带宽调整、DSCP着色、VLAN优先级标记等功能，根据策略的灵活配置，QoS可在网络优化和管理方面起到重大作用。QoS保证2024/12/1中国普天版权所有70QoS提供基于策略的限速机制，可以进行主机限速，也可以设置基于主机限速的动态带宽调整功能。组网描述:企业出口为10M上行，要求内部员工访问网络的时候，相互不影响使用。针对上述要求，可以进行两种方式配置，分别是主机限速和动态带宽调整，后者是在前者基础上进行优化。下面分别描述两种配置带来的效果。主机限速:比如主机限速设置为1M，那么每个用户享有的带宽最高为1M，这种方式的缺点是当网络空闲时，比如只有一个人在上网，他所能享有的带宽依然是1M，导致带宽的浪费。动态带宽调整:动态带宽调整是在主机限速基础上解决合理利用带宽的问题，设置为动态带宽调整后，网内所有用户进行平分总带宽，且相互间不争用，有效提高带宽利用率。下面就上述两种方式分别配置演示，设网内用户全部下挂在VLAN1下。限速设置2024/12/1中国普天版权所有71QoS配置是基于策略实现的,配置QoS时在策略高级选项中进行。主机限速2024/12/1中国普天版权所有72动态带宽调整2024/12/1中国普天版权所有73定制网关提供一种基于优先级处理的保证带宽方法，QoS的优先级设置可以对数据流进行优先通过处理，高优先级数据流存在的情况下一定是高优先级数据通过，定制网关QoS提供四个等级的优先级处理，可以灵活使用。高优先级的设置会有一个弊端，如果把某一个用户或一组用户数据流设置为高优先级，当这个或这些用户疯狂使用网络时会造成网络十分拥堵，只有他们畅通无阻，这种情况下，就需要进行限速，加入总带宽为10M，那么给高优先级的用户限速为5M，那么就等于高优先级用户优先享有5M的带宽，也就是保证了5M的带宽。下面构造网络环境，配置说明。描述：企业用户按应用分为两个区域，分别对应VLAN1.VLAN2，对VLAN1实施保证带宽配置，企业总带宽为10M，保证带宽为5M。优先级处理及保证带宽2024/12/1中国普天版权所有742024/12/1中国普天版权所有75设备升级基本上网功能链路备份和负载分担防ARP攻击功能虚拟局域网（vlan）安全隔离访问限制强制门户功能QoS保证搭建外部服务器功能数据专线（VPN）的应用管理功能产品功能配置2024/12/1中国普天版权所有76定制网关提供端口映射的功能,可以轻松的实现搭建外部服务器的功能,结合DDNS的功能,PPPoE等随机IP接入方式,也可以轻松实现服务器的搭建。搭建外部服务器功能2024/12/1中国普天版权所有77远程桌面使用的是固定端口3389,远程PC通过访问网关公网地址的3389端口,达到登录内部PC桌面的目的。1.建立服务对象。3389端口非知名端口,需要自定义服务对象。应用:远程桌面2024/12/1中国普天版权所有782.设置NAT地址池3.添加目的地址转换规则2024/12/1中国普天版权所有792024/12/1中国普天版权所有80设备升级基本上网功能链路备份和负载分担防ARP攻击功能虚拟局域网（vlan）安全隔离访问限制强制门户功能QoS保证搭建外部服务器功能数据专线（VPN）的应用管理功能产品功能配置2024/12/1中国普天版权所有81定制网关提供多种虚拟专线的功能,为外出用户远程办公和不同公司间数据安全通信提供解决方案。数据专线（VPN）的应用2024/12/1中国普天版权所有82VPN在应用中一般有两种模式:远程拨号方式和点对点方式。基于定制网关的VPN设置，对远程拨号提供两种方案；对点对点方式提出一种方案。下面简单介绍一下这两种模式的特点:远程拨号:远程拨号建立的VPN隧道起点为远程拨号的PC，终点是VPN网关，用户可以通过VPN隧道访问网关的内部资源。点对点方式:这种方式VPN隧道的起止点均为VPN网关，一般情况下两端VPN是对等体，通过隧道，两端内网可以相互访问并有可靠地安全保证；还有一种情况是两端VPN网关中，其中一个充当中心网关，此网关可以和多个网关建立隧道。2024/12/1中国普天版权所有83远程拨号提供L2TP和IPSec两种配置方式，下面分别简述配置方法:1.L2TP配置方式如上拓扑，利用L2TP实现上述方案，配置方法和步骤如下:步骤一:配置网络环境，接口使能L2TP。远程拨号VPN2024/12/1中国普天版权所有84步骤二:配置认证用户和认证用户组2024/12/1中国普天版权所有85步骤三:配置L2TP使能及参数步骤四:配置L2TP组信息2024/12/1中国普天版权所有86步骤五:远程PC设置，以windowsXP系统为例，需要进行两个部分设置:1).修改注册表，双击运行下面文件即可，运行成功后重启系统。2).建立VPN拨号连接:“网上邻居”---右键“属性”---“创建一个新的连接”2024/12/1中国普天版权所有872024/12/1中国普天版权所有882024/12/1中国普天版权所有892024/12/1中国普天版权所有902024/12/1中国普天版权所有912024/12/1中国普天版权所有922024/12/1中国普天版权所有932024/12/1中国普天版权所有942024/12/1中国普天版权所有95如上拓