ICG2000信息通信網(wǎng)關配置與維護v2.01

配置與維護商務領航ICG2000信息通信網(wǎng)關V2.01熟悉商務領航定制終端和ICG關系熟悉定制終端現(xiàn)有WEB網(wǎng)管熟悉定制終端基本故障處理課程目標學習完本課程，您應該能夠：產(chǎn)品概述WEB基本功能配置高級功能配置介紹常見問題分析目錄ICG2000外觀Reset鍵孔USB接口，可以連接FAT16/32格式USB存儲介質(zhì)電源接口電源開關SIC/DSIC靈活插槽E0/1~E0/4，LAN接口E0/0，WAN接口WLAN天線接地螺栓Console/AUX接口PWR、WLAN、SYS、ETH指示燈FE服務器DMZ傳統(tǒng)用戶用戶側(cè)電信側(cè)L2FWRouterH3CICG2000IP電話ICG2000可以為50人左右的小型企業(yè)或小型分支，提供一體化的寬帶、安全、語音、WiFi接入，在運營商為接入單位提供統(tǒng)一的信息通信服務。應用控制傳統(tǒng)用戶流量統(tǒng)計分析多功能和高性能的完美結(jié)合路由以太網(wǎng)交換防火墻防攻擊應用控制流量統(tǒng)計/限速WLAN語音IPSec產(chǎn)品概述WEB基本功能配置高級功能配置常見問題分析目錄網(wǎng)絡連接示意ICG2000Internet接入交換機BBMSWAN連接內(nèi)部交換機/HUBVLAN-Interface1<地址>/24<角色>PC上網(wǎng)網(wǎng)關DHCP服務器DNS代理服務器打開WEB網(wǎng)管頁面并登錄用戶名useradmin密碼admin!@#$%^還需要輸入校驗碼登錄版本：H3CICG2000_CTCWM520E1710設備概覽基本業(yè)務配置向?qū)гO備升級配置保存WEB網(wǎng)管基本功能配置基本業(yè)務配置向?qū)С鰪S已經(jīng)配置LAN口和WLANLAN口地址即vlan-interface1接口地址/24，建議不修改，修改會導致WEB連接中斷，必須重新登錄LAN口默認已經(jīng)打開DHCP功能，能夠為LAN接入PC分配IP地址，同時指定為網(wǎng)關地址，建議不修改網(wǎng)關地址LAN口DHCP默認分配DNS地址為，可以在向?qū)е行薷腄NS地址WLAN默認已經(jīng)打開WEP連接認證，認證密碼可以在隨機手冊底面找到，建議不修改WAN口配置配置WAN口為PPPoE配置WAN口為靜態(tài)IP方式，同時配置WAN口網(wǎng)關、DNS服務器以上2種方式任選一種配置完成后既可以訪問Internet基本業(yè)務配置向?qū)В?）基本業(yè)務配置向?qū)В?）基本業(yè)務配置向?qū)В?）缺省vlan-interface1IP地址/24基本業(yè)務配置向?qū)В?）基本業(yè)務配置向?qū)В?）基本業(yè)務配置向?qū)В?）基本連通性診斷測試DNS連通性診斷測試基本業(yè)務配置向?qū)гO備升級配置保存WEB網(wǎng)管基本功能配置設備升級原理將設備當前運行的操作系統(tǒng)文件替換成其它操作系統(tǒng)文件并運行稱為升級，可以分成2個過程操作系統(tǒng)文件也稱為啟動文件，文件名為main.bin，main.bin大小一般為13M，存放在ICG200016MFlash中，所以必須使用新文件覆蓋老文件方式替換，覆蓋方式有2種以U盤內(nèi)新文件覆蓋設備上舊文件通過網(wǎng)絡方式覆蓋設備上舊文件重新啟動，即以新文件啟動設備可以在WEB中選擇重啟可以通過硬件開關重啟升級過程中切勿斷電通過U盤覆蓋舊文件準備事項Console線，通過超級終端登錄ICG2000命令行版本文件U盤注意事項U盤文件備份，以免文件丟失，強烈推薦，然后可以將U盤格式化將新文件拷入U盤，文件名必須是英文，如“E1710.bin”把U盤插入ICG2000通過命令行對ICG2000進行文件覆蓋操作舉例從R1618P01升級到E1710從E1710升級到其余版本要注意命令行變化連接Console線和使用超級終端Console線Con/AUX打開超級終端命令行操作（1）pwd顯示當前工作目錄presentworkingdirectorydir顯示當前目錄內(nèi)容directory顯示當前和下次啟動文件命令行操作（2）uf1:insertedintoslot0提示USB設備插入cd轉(zhuǎn)換當前目錄到uf1:/changedirectorypwd顯示當前工作目錄presentworkingdirectorydir顯示當前目錄內(nèi)容directorycopy文件拷貝，把uf1:/e1710.bin拷貝到flash:/main.bin提示是否要執(zhí)行拷貝以及是否要覆蓋原有文件拷貝成功通過網(wǎng)絡覆蓋舊文件準備事項網(wǎng)絡連接和TFTP服務器，如Cisco-TFTPServer版本文件命令行條件如telnet或console注意事項學會設置TFTP服務器覆蓋失敗要嘗試再次上傳直到成功為止，覆蓋失敗切勿斷電舉例從R1618P01升級到E1710從E1710升級到其余版本要注意WEB頁面變化網(wǎng)絡連接和文件準備VLAN1GatewayDHCP-ServerDNSDHCP-ClientConsole準備TFTP服務器版本文件TFTP服務器設置WEB操作（1）WEB操作（2）WEB操作（3）升級時間較長，在讀寫Flash期間，Console操作響應慢！文件覆蓋完成后重啟設備確保文件成功覆蓋后才能進行重啟操作，否則設備將無法正常啟動重啟前先保存配置，避免當前配置丟失WEB中保存配置命令行中通過save命令保存硬重啟通過斷電、重新上電方式重啟，如：電源關開軟重啟WEB中重啟命令行中通過reboot命令重啟系統(tǒng)重啟后檢查基本業(yè)務配置向?qū)гO備升級配置保存WEB網(wǎng)管基本功能配置保存配置（1）保存配置（2）保存配置（3）保存為安裝配置china2008產(chǎn)品概述WEB基本功能配置高級功能配置常見問題分析目錄防病毒、攻擊ACLIP-MAC綁定調(diào)整NAT老化時間內(nèi)部PC每IP均等限速NAT連接數(shù)限制內(nèi)部服務器設置系統(tǒng)服務端口修改基于時間段的訪問控制虛擬專用網(wǎng)高級功能配置常見防攻擊病毒ACL對常見病毒和攻擊、掃描使用的TCP、UDP端口進行過濾端口列表較長，WEB配置復雜，可以使用命令行方式下發(fā)舉例，warm.blaster蠕蟲病毒使用如下常用端口rule1denytcpdestination-porteq4444rule2denytcpdestination-porteq135rule3denyudpdestination-porteq135詳細ACL配置腳本腳本中沒有考慮DDNS和TR-069，因為DDNS和TR-069端口會變化，可以根據(jù)實際情況添加放行主機防攻擊ACL的應用根據(jù)腳本配置防攻擊ACL檢查/打開防火墻應用LAN口ACL應用WAN口ACL[Navigator]interfaceVlan-interface1

[Navigator-Vlan-interface1]firewallpacket-filternamelandefendinbound[Navigator]interfaceEthernet0/0[Navigator-Ethernet0/0]firewallpacket-filternamewandefendinbound[Navigator]firewallenable防病毒、攻擊ACLIP-MAC綁定調(diào)整NAT老化時間內(nèi)部PC每IP均等限速NAT連接數(shù)限制內(nèi)部服務器設置系統(tǒng)服務端口修改基于時間段的訪問控制虛擬專用網(wǎng)高級功能配置IP-MAC綁定內(nèi)部網(wǎng)絡安全問題日益突出，以ARP類攻擊為主通過全局配置靜態(tài)ARP方式限制IP地址冒用普通綁定arpstatic

ip-addressmac-address

舉例：[Navigator]arpstatic0015-c50d-1903帶VLAN和接口綁定arpstatic

ip-addressmac-address

vlan-id

interface-typeinterface-number舉例：[Navigator]arpstatic0015-c50d-19031Ethernet0/3舉例：[Navigator]arpstatic0015-c50d-19031WLAN-BSS0防病毒、攻擊ACLIP-MAC綁定調(diào)整NAT老化時間內(nèi)部PC每IP均等限速NAT連接數(shù)限制內(nèi)部服務器設置系統(tǒng)服務端口修改基于時間段的訪問控制虛擬專用網(wǎng)高級功能配置調(diào)整NAT老化時間內(nèi)部PC訪問Internet的每個應用都換占用若干個NAT表項，NAT表項過多會影響一些性能可以在不影響內(nèi)部PC使用情況下調(diào)整NAT表項老化時間[Navigator]nataging-timetcp300//修改TCP老化時間為300秒，默認為86400秒[Navigator]nat

aging-timeudp180//修改UDP老化時間為180秒，默認為300秒[Navigator]nataging-timepptp300//修改PPTP老化時間為300秒，默認為86400秒[Navigator]nataging-timeftp-ctrl300//修改ftp-ctrl老化時間為300秒，默認為7200秒[Navigator]nataging-timeicmp10//修改ICMP老化時間為10秒，默認為60秒[Navigator]nataging-timedns10//修改DNS老化時間為10秒，默認為60秒[Navigator]nataging-timetcp-fin10//修改tcp-fin老化時間為10秒，默認為60秒[Navigator]nataging-timetcp-syn10//修改tcp-syn老化時間為10秒，默認為60秒防病毒、攻擊ACLIP-MAC綁定調(diào)整NAT老化時間內(nèi)部PC每IP均等限速NAT連接數(shù)限制內(nèi)部服務器設置系統(tǒng)服務端口修改基于時間段的訪問控制虛擬專用網(wǎng)高級功能配置內(nèi)部PC每IP均等限速BT等P2P應用會貪婪地占用任何帶寬為了保證內(nèi)部PC都能夠公平地享有足夠的帶寬，需要對每臺PC進行限速，保證BT等應用不會占用過多的帶寬配置雙向QoSCarl在LAN應用QoSCarl[Navigator]qoscarl1source-ip-addressrangeto54per-address[Navigator]qoscarl2destination-ip-addressrangeto54per-address[Navigator]interfaceVlan-interface1[Navigator-Vlan-interface1]qoscarinboundcarl1cir512[Navigator-Vlan-interface1]qoscaroutboundcarl2cir1024防病毒、攻擊ACLIP-MAC綁定調(diào)整NAT老化時間內(nèi)部PC每IP均等限速NAT連接數(shù)限制內(nèi)部服務器設置系統(tǒng)服務端口修改基于時間段的訪問控制虛擬專用網(wǎng)高級功能配置對每臺PC的NAT連接數(shù)進行限制防病毒、攻擊ACLIP-MAC綁定調(diào)整NAT老化時間內(nèi)部PC每IP均等限速NAT連接數(shù)限制內(nèi)部服務器設置系統(tǒng)服務端口修改基于時間段的訪問控制虛擬專用網(wǎng)高級功能配置內(nèi)部服務器配置防病毒、攻擊ACLIP-MAC綁定調(diào)整NAT老化時間內(nèi)部PC每IP均等限速NAT連接數(shù)限制內(nèi)部服務器設置系統(tǒng)服務端口修改基于時間段的訪問控制虛擬專用網(wǎng)高級功能配置系統(tǒng)服務端口修改如果配置了WANDefend防火墻策略，修改服務端口后要修改ACL，保證系統(tǒng)服務可用防病毒、攻擊ACLIP-MAC綁定調(diào)整NAT老化時間內(nèi)部PC每IP均等限速NAT連接數(shù)限制內(nèi)部服務器設置系統(tǒng)服務端口修改基于時間段的訪問控制虛擬專用網(wǎng)高級功能配置基于時間段的訪問控制防病毒、攻擊ACLIP-MAC綁定調(diào)整NAT老化時間內(nèi)部PC每IP均等限速NAT連接數(shù)限制內(nèi)部服務器設置系統(tǒng)服務端口修改基于時間段的訪問控制虛擬專用網(wǎng)高級功能配置虛擬專用網(wǎng)（IPSec）配置IPSec是在IP網(wǎng)絡中保證數(shù)據(jù)完整性、來源認證、私密性、防重放的框架協(xié)議AH：AuthenticationHeader，通過校驗保證數(shù)據(jù)完整性、來源認證和防重放ESP：EncapsulatingSecurePayload，提供完整性、私密性和防重放通過數(shù)學算法在加解密雙方交換密鑰，涉及加密和校驗的密鑰和算法、興趣流稱為SA（SecureAssociation安全聯(lián)盟），SA為IPSec配置的關鍵SA可以通過手工方式建立，配置繁瑣，密鑰需要手動更新，存在安全隱患使用IKE（InternetKeyExchange）動態(tài)協(xié)商SA，且可以動態(tài)更新、可達性檢測已經(jīng)成為IPSec中不可或缺的一部分IPSec/IKE配置流程配置IKE配置ACL確定興趣流配置IPSecProposal確定IPSec加密、校驗配置IPSecPolicy接口應用IPSec策略IKE全局配置IKELocalNameIKEProposalIKEDPDIKEPeer配置remote-addressremote-namelocal-addresspre-shared-keyexchange-modeid-typenattransversalIPsecPolicy配置ike-peerIPSecProposalsecurityacl設置IKELocalName配置IKEPeer設置IKEProposal配置或選擇IPSecProposal配置IPSecPolicy應用策略產(chǎn)品概述WEB基本功能配置高級功能配置常見問題分析目錄ICG游戲?qū)箙^(qū)貴賓商務區(qū)數(shù)碼體驗區(qū)無線體驗區(qū)普通上網(wǎng)區(qū)VIP視頻區(qū)電影服務器游戲服務器計費服務器監(jiān)控服務器電信視頻服務器InternetPC數(shù)、線路帶寬、業(yè)務類型等都是確定設備型號的主要因素ICG常見組網(wǎng)方案安裝前的準備事項了解客戶網(wǎng)絡情況網(wǎng)絡情況，IP、MAC情況PC數(shù)常用業(yè)務網(wǎng)絡連接PPPo