99华三商务领航2-1信息通信网关配置与维护v2.12分析.ppt

2-1终端外观和相关器件 多功能和高性能的完美结合 路由 以太网交换 WLAN接入 语音接入和VoIP 基本网络安全功能 IPSec QoS ... 180Kpps转发性能 同时支持WEB和命令行 网络连接示意 打开WEB网管页面并登录 设备概览 基本业务配置向导 出厂已经配置LAN口和WLAN LAN口地址即vlan-interface1接口地址/24，建议不修改，修改会导致WEB连接中断，必须重新登录 LAN口默认已经打开DHCP功能，能够为LAN接入PC分配IP地址，同时指定为网关地址，建议不修改网关地址 LAN口DHCP默认分配DNS地址为，可以在向导中修改DNS地址 WLAN默认已经打开WEP连接认证，认证密码可以在随机手册底面找到，建议不修改 WAN口配置 配置WAN口为PPPoE 配置WAN口为静态IP方式，同时配置WAN口网关、DNS服务器 以上2种方式任选一种配置完成后既可以访问Internet 基本业务配置向导（1） 基本业务配置向导（2） 基本业务配置向导（2） 基本业务配置向导（3） 基本业务配置向导（4） 基本业务配置向导（5） 基本连通性诊断测试 DNS连通性诊断测试 设备升级原理 将设备当前运行的操作系统文件替换成其它操作系统文件并运行称为升级，可以分成2个过程 操作系统文件也称为启动文件，文件名为main.bin，main.bin大小一般为13M，存放在16M Flash中，所以必须使用新文件覆盖老文件方式替换，覆盖方式有2种 以U盘内新文件覆盖设备上旧文件 通过网络方式覆盖设备上旧文件 重新启动，即以新文件启动设备 可以在WEB中选择重启 可以通过硬件开关重启 升级过程中切勿断电 通过U盘覆盖旧文件 准备事项 Console线，通过超级终端登录2-1终端命令行 版本文件 U盘 注意事项 U盘文件备份，以免文件丢失，强烈推荐，然后可以将U盘格式化 将新文件拷入U盘，文件名必须是英文，如“E1710.bin” 把U盘插入2-1终端 通过命令行对2-1终端进行文件覆盖操作 举例从R1618P01升级到E1710 从E1710升级到其余版本要注意命令行变化 连接Console线和使用超级终端 打开超级终端 命令行操作（1） 命令行操作（2） 通过网络覆盖旧文件 准备事项 网络连接和TFTP服务器，如Cisco-TFTPServer 版本文件 命令行条件如telnet或console 注意事项 学会设置TFTP服务器 覆盖失败要尝试再次上传直到成功为止，覆盖失败切勿断电 举例从R1618P01升级到E1710 从E1710升级到其余版本要注意WEB页面变化 网络连接和文件准备 TFTP服务器设置 WEB操作（1） WEB操作（2） WEB操作（3） 文件覆盖完成后重启设备 确保文件成功覆盖后才能进行重启操作，否则设备将无法正常启动 重启前先保存配置，避免当前配置丢失 WEB中保存配置 命令行中通过save命令保存 硬重启 通过断电、重新上电方式重启，如：电源关开 软重启 WEB中重启 命令行中通过reboot命令重启 系统重启后检查 保存配置（1） 保存配置（2） 保存配置（3） 保存为安装配置 常见病毒、攻击原理 黑客扫描特定端口，并对特定端口发送特殊数据使系统崩溃或获取系统权限 来自WAN口的扫描、攻击 WAN口地址为公网地址，互联网黑客都可以访问WAN口 WAN口速率低 来自LAN口的扫描 常见防攻击病毒ACL 对常见病毒和攻击、扫描使用的TCP、UDP端口进行过滤 端口列表较长，WEB配置复杂，可以使用命令行方式下发 举例，warm.blaster蠕虫病毒使用如下常用端口 rule 1 deny tcp destination-port eq 4444 rule 2 deny tcp destination-port eq 135 rule 3 deny udp destination-port eq 135 详细ACL配置脚本 防攻击ACL的应用 IP-MAC绑定 内部网络安全问题日益突出，以ARP欺骗类攻击为主 2-1终端通过display arp all查看IP-MAC对应关系是否正确 PC通过命令行arp -a查看 通过全局配置静态ARP方式防止ARP欺骗 2-1终端执行arp static ip-address mac-address 举例：[Navigator]arp static 0015-c50d-1903 PC通过arp -s ip-address mac-address方式绑定 C:\arp -s 00-0f-e2-62-c6-09 IP地址限制 某些PC为受限PC，可以通过限制IP地址方式禁止PC上网 财务服务器存放公司机密数据，为保证安全，禁止上网 某员工PC中