基础配置
目录
第1章系统管理配置 (1)
1.1 配置文件管理 (1)
1.1.1 文件系统的管理 (1)
1.1.2 文件系统命令 (1)
1.1.3 手工从某一文件中启动 (1)
1.1.4 软件更新 (2)
1.1.5 配置更新 (4)
1.1.6 使用ftp进行软件和配置的更新 (4)
1.2 基本系统管理配置 (5)
1.2.1 配置以太网IP地址 (5)
1.2.2 配置缺省路由 (6)
1.2.3 利用PING测试网络连通状态 (6)
1.3 HTTP配置 (7)
1.3.1 HTTP配置 (7)
1.3.2 http配置示例 (8)
第2章配置终端 (9)
2.1 VTY配置概述 (9)
2.2 配置任务 (9)
2.2.1 线路和接口之间的关系 (9)
2.3 监视与维护 (9)
2.4 VTY配置举例 (10)
第3章网络管理配置 (11)
3.1 配置SNMP (11)
3.1.1 概述 (11)
3.1.2 SNMP配置任务 (12)
3.1.3 配置实例 (16)
3.2 配置RMON (17)
3.2.1 RMON配置任务 (17)
3.3 配置PDP (20)
3.3.1 概述 (20)
3.3.2 PDP配置任务 (20)
3.3.3 PDP配置实例 (22)
第4章 SSH 配置命令 (23)
4.1 SSH概述 (23)
4.1.1 SSH server (23)
4.1.2 SSH client (23)
4.1.3 实现特性 (23)
4.2 配置任务 (23)
4.2.1 配置认证方法列表 (23)
4.2.2 配置访问列表 (23)
4.2.3 配置认证超时时长 (24)
4.2.4 配置认证重试次数 (24)
4.2.5 使能ssh server (24)
4.3 Ssh server配置示例 (24)
4.3.1 访问控制列表 (24)
4.3.2 全局配置 (24)
第1章系统管理配置
1.1 配置文件管理
1.1.1 文件系统的管理
FLASH中文件的名字最长只能有20个字符,且不区分大小写。
1.1.2 文件系统命令
所有命令黑体字部分为关键字,其余为参数。[ ]内的部分是可选配置。
命令目的
format 格式化文件系统,删除所有数据。
dir[filename]显示文件和目录名。[]内文件名是指显示以某几个字母开头的文件。文件显示
的格式如下:
索引号文件名
delete filename 删除一个文件,如果文件不存在,提示该文件不存在。
md dirname 建立一个目录。
rd dirname 删除一个目录,如果目录不存在,提示该目录不存在。
more filename 显示一个文件的内容,如果文件内容多于一屏,将会自动分页显示。
cd 更改当前文件系统路径。
pwd 显示当前的路径。
1.1.3 手工从某一文件中启动
monitor#boot flash
本命令是用来启动闪存中的某个交换机软件,闪存中可能存有多个交换机软件.
参数说明
参数参数说明
local_filename存于闪存中的文件名,用户必须输入文件名。
举例
monitor#boot flash switch.bin
1.1.4 软件更新
用户可使用本命令从本地或远程下载交换机系统软件, 以获得版本升级或您向本公司
定制的特殊功能版本(如数据加密等)。
监控状态下软件更新有两种方式。
1. 通过TFTP协议
monitor#copy tftp flash [ip_addr]
本命令是用来从tftp服务器拷贝文件到系统的闪存,用户键入命令后,系统会提示用户输
入远端服务器名和远端的文件名。
参数说明
参数参数说明
ip_addr Tftp 服务器的IP地址。若没有指定,copy命令执行后将提示用户
输入。
举例
从服务器读名为“main.bin”的文件,写入交换机叫“switch.bin”
monitor#copy tftp flash
提示:Source file name[]?main.bin
提示:Remote-server ip address[]?192.168.20.1
提示:Destination file name[main.bin]?switch.bin
please wait ...
######################################################################
######################################################################
######################################################################
######################################################################
######################################################################
#############################################
TFTP:successfully receive 3377 blocks ,1728902 bytes
monitor#
2. 通过串口通信协议zmodem
软件更新采用“download”命令。键入“download ?”可获得帮助。
monitor#download c0
本命令是用来通过串口通信协议zmodem拷贝文件到系统的闪存,用户键入命令后,系
统会提示用户输入端口速率。
参数说明
参数参数说明
local_filename存于闪存中的文件名,用户必须输入文件名
举例
终端程序可采用WINDOWS 95,NT 4.0中的超级终端(Hyper Terminal)程序或
WINDOWS 3.X中的终端仿真程序。
monitor#download c0 switch.bin
提示:speed[9600]?115200
然后,修改速率为115200,重新连接后,选择超级终端(终端仿真)的传送菜单中的发送
文件。这时出现发送文件对话框,如下图:
图 1-1 发送文件对话框
在文件名输入框中输入由本公司提供的交换机软件 main.bin的全路径,协议选择
Zmodem。按“发送”按纽发送文件。
文件传输完毕后,将出现如下信息:
ZMODEM:successfully receive 36 blocks ,18370 bytes
表明软件升级成功,此时应将超级终端的波特率重新设置为9600。
注意:
交换机S2026、S2224通过zmodem协议下载软件,最大速率为38400。
1.1.5 配置更新
交换机的配置以文件形式保存,文件名为startup-config,用户可以使用与软件更新类似
的命令来更新配置。
1. 通过TFTP协议
monitor#copy tftp flash startup-config
2. 通过串口通信协议zmodem.
monitor#download c0 startup-config
1.1.6 使用ftp进行软件和配置的更新
config #copy ftp flash [ip_addr|option]
在正式程序中管理态还可以使用ftp进行软件和配置的更新。使用copy命令可以从ftp
服务器下载文件到交换机,也可以将交换机文件系统中的某个文件上载到ftp服务器。用
户键入命令后,系统会提示用户输入远端服务器名和远端的文件名。
copy{ftp:[[[//login-name:[login-password]@]location]/directory]/filename}|flash:filenam
e>}{flash<:filename>|ftp:[[[//login-name:[login-password]@]location]/directory]/filenam
e}
参数说明
参数参数说明
login-nam ftp 服务器的用户名。若没有指定,copy命令执行后将提示用户输
入。
login-password ftp 服务器的用户口令。若没有指定,copy命令执行后将提示用户
输入。
nchecksize 在服务器上不检测文件大小
vrf 对支持MPLS的设备提供vrf绑定功能
blksize 数据传输块大小(缺省值512)
ip_addr ftp 服务器的IP地址。若没有指定,copy命令执行后将提示用户输
入。
active 指定以主动方式连接ftp server
passive 指定以被动方式连接ftp server
type 设置传输数据类型(以ascii方式还是Binary 方式)
举例
从服务器下载“main.bin”的文件,写入交换机叫“switch.bin”。
config#copy ftp flash
提示:ftp user name[anonymous]? login-nam
提示:ftp user password[anonymous]? login-password
提示:Source file name[]?main.bin
提示:Remote-server ip address[]?192.168.20.1
提示:Destination file name[main.bin]?switch.bin
或
config#copy ftp://login-nam:login-password@192.168.20.1/main.bin flash:switch.bin
######################################################################
######################################################################
FTP:successfully receive 3377 blocks ,1728902 bytes
config#
注:
1) 当ftp server无法访问,等待时间较长,由于tcp超时时间造成的(默认为75s),可
以通过设置全局命令ip tcp synwait-time修改tcp连接时间,但不建议使用。
2) 使用ftp时需要在某些网络状况下可能存在数据传输较慢情况,此时请适当调整传
输块大小以取得最好效果。默认大小为512字节,可以在绝大多数网络中取得较高
的运行效率。
1.2 基本系统管理配置
1.2.1 配置以太网IP地址
monitor#ip address
本命令是用来配置以太网IP地址,系统缺省为192.168.0. 1,网络掩码为255.255.255.0 参数说明
参数参数说明
ip_addr以太网IP地址。
net_mask以太网网络掩码。
举例
monitor#ip address 192.168.1.1 255.255.255.0
1.2.2 配置缺省路由
monitor#ip route default
本命令是用来配置缺省路由,只能配置一条缺省路由。
参数说明
参数参数说明ip_addr网关的IP地址。
举例
monitor#ip route default 192.168.1.1
1.2.3 利用PING测试网络连通状态
monitor#ping
本命令是用来测试网络连通状态。
参数说明
参数参数说明ip_address目的IP地址。
举例
monitor#ping 192.168.20.100
PING 192.168.20.100: 56 data bytes
64 bytes from 192.168.20.100: icmp_seq=0. time=0. ms
64 bytes from 192.168.20.100: icmp_seq=1. time=0. ms
64 bytes from 192.168.20.100: icmp_seq=2. time=0. ms
64 bytes from 192.168.20.100: icmp_seq=3. time=0. ms
----192.168.20.100 PING Statistics----
4 packets transmitted, 4 packets received, 0% packet loss
round-trip (ms) min/avg/max = 0/0/0
1.3 HTTP配置
1.3.1 HTTP配置
使能http服务
改变http服务的端口号
配置http服务的访问口令
为http服务指定访问控制列表
1. 使能http服务
默认情况下http服务是关闭的。
在全局配置态下使用下面的命令使能http服务:
命令目的
Ip http server 使能http 服务
2. 改变http服务的端口号
默认情况下http服务的监听端口是80。
在全局配置态下使用下面的命令进行改变http服务的端口号:
命令目的
Ip http port number 改变http服务的端口号
3. 配置http服务的访问口令
http使用enable口令作为访问口令,如果要对http访问进行认证需要设置enable口令,
在全局配置态下使用下面的命令可以配置enable口令:
命令目的
Enable password {0|7} line 配置enable口令。
4. 为http服务指定访问控制列表
为了控制主机对http服务的访问,可以为http服务指定访问控制列表,在全局配置态下
使用下面的命令可以为http服务指定访问控制列表。
命令目的
ip http access-class STRING 为http服务指定访问控制列表。
1.3.2 http配置示例
下面的示例使用默认端口(80)作为http的服务端口,并限制只允许从192.168.20.0/24
访问;
ip acl 配置:
ip access-list standard http-acl
permit 192.168.20.0 255.255.255.0
全局配置:
ip http access-class http-acl
ip http server
第2章配置终端
2.1 VTY配置概述
系统使用line命令配置终端参数,简单、灵活;配置过程符合用户的使用习惯;在line
命令中可对终端显示的宽度、高度等设置;
2.2 配置任务
系统有四种类型的线路:控制台,辅助,异步和虚拟终端线路。不同系统有不同数量的
这些类型的线路。参考下面的软件和硬件配置指南使设备有正确的配置。
线路类型接口描述线路编号规则CON(CTY)控制台用于登录到系统进行配置服务。编号0。
VTY 虚拟异步用于连接到系统上的同步端口[如以
太网和串行接口]的Telnet,X.25
PAD、HTTP和Rlogin等。
从一开始的32个编号。
2.2.1 线路和接口之间的关系
1. 同步接口和VTY线路间关系
虚拟终端线路提供了通过同步接口对系统进行的访问。当一个用户通过VTY线路连接到
系统时,用户正在连接至一个接口上的虚拟端口。对于每一个同步接口都可以有多个虚
拟端口。
例如,几个Telnet连接到一个接口[Ethernet或串行接口]。
VTY配置需做如下工作:
(1) 进入行配置模式。
(2) 对终端参数配置。
可以参见后面的“VTY配置举例”部分,了解VTY的配置。
2.3 监视与维护
用show line 命令查看VTY的配置。
2.4 VTY配置举例
下面配置将取消所有VTY的每屏输出行数限制,不出现more提示:
config#line vty 0 32
config_line#length 0
第3章网络管理配置
3.1 配置SNMP
3.1.1 概述
SNMP系统包括下面3个部分:
SNMP管理端 (NMS)
SNMP代理 (AGENT)
管理信息库(MIB)
SNMP是应用层协议。它提供了在SNMP管理端和代理之间进行通信的报文格式。
SNMP管理端可以是网络管理系统(NMS,如CiscoWorks)的一部分。代理和MIB驻
留在系统上。配置系统上的SNMP,需要定义管理端和代理间的关系。
SNMP代理包含MIB变量,SNMP管理端可以查询或改变这些变量的值。管理端可以从
代理处得到变量值,或者把变量值存储到代理处。代理从MIB收集数据。MIB是设备参
数和网络数据的信息库。代理也能响应管理端的读取或设置数据的请求。SNMP代理可
以主动向管理端发送陷阱(trap)。陷阱是针对网络的某一条件而向SNMP管理端报警的
消息。陷阱能指出不正确的用户认证、重启、链路状态(启动或关闭)、TCP连接的关闭、
与邻近系统连接的丢失或其它重要的事件。
1. SNMP 通告
特殊事件发生时系统能向SNMP管理端发送通知(inform)。例如,当代理系统遭遇一个错
误条件时,它可能向管理端发送一个消息。
SNMP通告可以作为陷阱(trap)或通知请求(inform request)来发送。由于接收方收
到一个陷阱时不发送任何应答,导致发送方不能确定是否陷阱已经被接收,所以陷阱不
可靠。与此相对的是,接收通知请求的SNMP管理端用SNMP响应PDU作为这个消息
的应答。如果管理端没有收到一个通知请求,也不会发送响应。如果发送方没有收到应
答,那么可以重新发送通知请求。这样,通告更可能到达它们计划中的目的地。
因为通知请求更加可靠,所以它们消耗了系统和网络的更多的资源。陷阱只要一发出便
被丢弃。与此不同的是,通知请求必须保留在内存中,直到收到响应或者请求超时。另
外,陷阱只发送一次,而通知请求可以重新发送多次。重新发送增加了网络通信量并在
网络上产生更多的负荷。因此,陷阱和通知请求在可靠性和资源间提供了平衡。如果
SNMP管理端非常需要收到每个通知,可使用通知请求;如果关心网络的通信量或系统
的内存,并且不必收到每个通知,可使用陷阱。
本公司系统目前支持陷阱,但提供了对通知请求的扩充。
2. SNMP的版本
本公司系统现支持下面的SNMP版本:
SNMPv1---简单网络管理协议,一个完全的Internet标准,在RFC1157中定义。
SNMPv2C--- SNMPv2的基于团体的管理框架, Internet试验协议,在RFC1901中定义。
本公司三层交换机还支持下面版本的SNMP:
SNMPv3--- 简单网络管理协议版本3,在RFC3410中定义。
SNMPv1使用基于团体的安全形式。能访问代理MIB的管理端团体用IP地址访问控制列
表和口令来定义。
SNMPv3通过对SNMP报文进行认证和加密操作来提供对设备访问的安全性。
SNMPv3提供了下列安全特性:
消息完整性:保证消息在传输过程中没有被篡改
认证:确保消息的来源地的合法性
加密:对消息题进行加密,未经认证的主机即使窃取到消息也无法解密阅读
SNMPv3提供安全模型和安全级别。安全模型是指一种认证策略,通过配置用户名和该
用户所属的组来实现。安全级别是指安全模型中支持的不同的认证方式。SNMPv3基于
用户的安全模型支持三种安全级别,按照从高到低的顺序排列分别是认证并加密、认证
不加密和不认证;通过使用MD5或SHA散列算法计算认证密钥的摘要值在网络间传送
并在SNMP引擎比对来实现密码不被泄漏,使用DES加密算法对报文进行加密保证设备
不被第三者窃听。通过配置用户/密码对和用户所属的组来实现管理者对设备的身份认证,
通过配置组和视图决定组内的用户不同操作对于管理信息库的访问权限;组同时限制了
组内用户的最低安全级别。
必须把SNMP代理配置为管理工作站支持的SNMP版本。代理能与多个管理端通信。3. 所支持的MIB
本公司系统的SNMP支持所有的MIB II变量(在RFC 1213中讲述)和SNMP陷阱(RFC
1215中讲述)。
本公司系统为每个系统提供了自己私有的MIB扩充。
3.1.2 SNMP配置任务
SNMP配置任务有:
配置SNMP视图
为SNMP团体创建或修改访问控制
设置该系统管理员的联系方法和系统所在位置
定义SNMP代理数据包的最大长度
监视SNMP状态
配置SNMP陷阱
配置SNMPv3组
配置SNMPv3用户
配置SNMPv3引擎ID
1. 配置SNMP视图
SNMP视图用于规定管理信息库的访问权限:允许访问和拒绝访问。使用下面的命令配
置SNMP视图
命令说明
snmp-server view name oid] [exclude | include] 将oid指定的管理信息库叶子或表加入SNMP视图name中,并指定SNMP视图name中oid指定的对象标示符的访问权限,exclude为拒绝访问,include 为允许访问
SNMP视图中可以访问的子集为所有配置了允许访问的管理信息库的对象除去所有配置
了拒绝访问的对象;未配置的对象默认权限为不可访问。
配置了SNMP视图后,可以将SNMP视图应用到SNMP团体名的配置中,用以限定该
团体名的可访问对象的子集。
2. 为SNMP团体创建或修改访问控制
使用SNMP团体字符串定义SNMP管理端和代理的关系。团体字符串类似于允许访问系
统上代理的口令。可选的是,可以指定下面一个或多个与团体字符串相关联的特性:
允许使用团体字符串获得代理访问权的SNMP管理端的IP地址访问列表。
定义对指定团体有访问权的所有MIB对象子集的MIB视图。
指定团体对有访问权的MIB对象的读写权限。
在全局配置模式下使用下面的命令来配置团体字符串:
命令目的
snmp-server community string[view
view-name] [ro | rw] [word]
定义团体访问字符串。
可以配置一个或多个团体字符串。使用no snmp-server community命令除去给定的团体
字符串。
关于配置团体字符串的示例,参见"SNMP命令”一章。
3. 设置该系统管理员的联系方法和系统所在位置
sysContact和sysLocation都是MIB中system组中的管理变量,分别定义了被管理该节
点(系统)的联系人标识和实际位置。这些信息可以通过配置文件进行访问。在全局配
置模式下使用下面的一个或多个命令:
命令目的
snmp-server contact text设置节点联系人字符串。
snmp-server location text设置节点位置字符串。
4. 定义SNMP代理数据包的最大长度
当SNMP代理接收请求或发出响应时,可以设置数据包的最大许可长度。在全局配置模
式下使用下面的命令:
命令目的
snmp-server packetsize byte-count设定数据包的最大许可长度。
5. 监视SNMP状态
在全局配置模式下使用下面的命令,监视SNMP输入和输出统计,包括非法团体字符串
条目,错误和请求变量的数量。
命令目的
show snmp监视SNMP状态。
6. 配置SNMP陷阱
使用下面的命令配置系统发送SNMP陷阱(第二个任务是可选的):
配置系统发送陷阱
在全局配置模式下使用下面的命令配置系统向一个主机发送陷阱。
命令目的
snmp-server host host community-string
[trap-type]
指定陷阱消息的接受者。
snmp-server host host [traps|informs]{version {v1 | v2c | v3 {auth | noauth | priv } }}community-string [trap-type] 指定陷阱消息的接受者,以及陷阱信息的版本号和用户名等
注意:对于SNMPv3的陷阱,在配置接
收陷阱的主机之前必须为该主机配置
SNMP引擎ID。
系统开机后,SNMP代理自动启动,所有类型的陷阱被激活。使用snmp-server host
命令指定哪个主机将要接收哪些类型的陷阱。
有些陷阱需要通过其它命令来控制。例如,如果要在接口打开或关闭时会发送
SNMP链路陷阱,需在接口配置模式下使用snmp trap link-status激活链路陷阱。
使用接口配置命令no snmp trap link-stat关闭这些陷阱。
为了使主机收到陷阱,必须为该主机配置snmp-server host命令。
改变陷阱运行参数
作为可选项,可以指定产生陷阱的源接口,为每个主机指定消息(数据包)队列长
度或重发间隔的值。
在全局配置模式下使用下面可选命令改变陷阱运行参数:
命令目的
snmp-server trap-source interface指定产生陷阱消息的源接口。该命令为信息也设置源IP
地址。
snmp-server queue-length length为每个陷阱主机建立消息队列长度。缺省为10。
snmp-server trap-timeout seconds定义重发队列中重发陷阱消息的频率。缺省为30秒。7. SNMP绑定源地址
在全局配置模式下使用下面的命令,设置SNMP报文的源地址功能。
命令目的
snmp source-addr ipaddress设置SNMP报文的源地址
8. 配置SNMPv3组
通过下面的命令配置组
命令目的
snmp-server group[groupname{v1 | v2c|v3[auth | noauth | priv]}][read readview][write writeview] [notify notifyview] [access access-list]配置一个SNMPv3组。默认情况下可以读internet子树下所有叶子,不可以写任何叶子。
9. 配置SNMPv3用户
通过下面的命令配置一个本地用户,管理者访问设备时,必须使用设备上配置的用户名
和密码进行访问。用户的安全级别不能低于用户所属的组的安全级别,否则用户不能通
过认证
命令目的
snmp-server user username
groupname{v1|v2c|v3[encrypted]
配置一个本地SNMPv3用户
groupname {v1 | v2c | v3 [encrypted] [auth {md5 | sha} auth-password ]} [access access-list ]
通过下面的命令配置一个远端用户,设备需要向远端管理站发送Trap 类报文时,如果管理站需要进行身份认证,则需要配置远程用户。远程用户的用户名和口令的配置必须与管理站上的配置一致,否则管理站不能接收到Trap 报文。
命令
目的
snmp-server user username groupname remote ip-address
[udp-port port ] {v1 | v2c | v3 [encrypted] [auth {md5 | sha} auth-password ]} [access access-list ]
配置一个远程SNMPv3用户 注意:配置远程用户之前,需要先为该IP 地址的管理站配置一个远程SNMP 引擎ID 10. 配置SNMPv3引擎ID
SNMP 引擎ID 用于标识一个SNMP 引擎。传统的SNMP 管理者和代理者在SNMPv3框架中都是SNMP 引擎的一部分
命令
目的
snmp-server engineID remote ip-address [udp-port port-number ] engineid-string
配置远端SNMP 引擎。
3.1.3 配置实例
1. 例一
snmp-server community public RO snmp-server community private RW snmp-server host 192.168.10.2 public
在这个例子中配置了对所有MIB 变量有读权限的团体字符串public 与对所有MIB 变量有读写权限的团体字符串private 。用户可以用团体字符串public 读系统中MIB 变量,用private 读系统中的MIB 变量与写系统中可写的MIB 变量。它还指定了当系统需要发送陷阱消息时,用团体字符串public 向192.168.20.2发送陷阱消息。例如当系统的某个端口down 时,系统会向192.168.20.2发送一条linkdown 的陷阱消息。
2. 例二
snmp-server engineID remote 90.0.0.3 80000523015a000003 snmp-server group getter v3 auth
snmp-server group setter v3 priv write v-write
snmp-server user get-user getter v3 auth sha 12345678
snmp-server user set-user setter v3 encrypted auth md5 12345678 snmp-server user notifier getter remote 90.0.0.3 v3 auth md5 abcdefghi
snmp-server host 90.0.0.3 informs version v3 auth notifier
snmp-server view v-write internet included
使用SNMPv3对设备进行管理。组getter可以对设备信息进行浏览,组setter可以对设
备进行设置操作。用户get-user属于组getter,安全级别为认证不加密,口令为12345678,
时用sha算法进行口令摘要;用户set-user属于组setter,安全级别为认证并加密,口
令为12345678,使用md5算法进行口令摘要。设备发生重要事件时,使用用户名notifier
向管理者所在主机90.0.0.3发送inform报文。
3.2 配置RMON
3.2.1 RMON配置任务
RMON配置任务有:
配置交换机rMon告警功能
配置交换机rMon事件功能
配置交换机rMon统计功能
配置交换机rMon历史功能
显示交换机rMon配置
1. 配置交换机rMon告警功能
可以通过命令行或SNMP网管配置rMon告警功能;如果通过SNMP网管配置,还需要
对交换机的SNMP进行配置。告警功能配置完成后,设备可以监控系统中某些统计值。
配置rMon告警功能步骤如下:
命令目的
configure 进入全局配置模式。
rmon alarm index variable interval {absolute | delta} rising-threshold value [eventnumber]
falling-threshold value [eventnumber] [owner string] 增加一个rMon告警表项。
index为该表项的索引,有效范围1~65535 。
variable为被监测MIB中对象,必须是系统中一个有效的MIB 对象,并且只有类型为INTEGER、Counter、Gauge或TimeTicks的对象才能被检测。
interval为取样的间隔时间,以秒为单位,有效范围1~4294967295。
使用absolute来直接监测MIB对象的取值;适用delta来监测两次取样之间MIB对象值的变化。
value用于表示产生告警的阈值,对应的eventnumber表示到达该阈值时产生的事件的索引;eventnumber是可选的。
新一代多核安全网关 SG-6000-M2105/M3100/M3108 SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。处理器模块化设计可以提升整体处理能力,突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps,广泛适用于企业分支、中小企业等机构,可部署在网络的主要结点及Internet出口,为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。 产品亮点 安全可视化 ●网络可视化 通过StoneOS?内置的网络流量分析模块,用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势,随时、随地监控自己的网络,从而对流量进行优化和精细化的管理。 ●接入可视化 StoneOS?基于角色的管理(RBNS)模块,让网络接入更加精细和直观化,实现了对接入用户更加人性化的管理,摆脱了过去只能通过IP地址来控制的尴尬,可以实时地监控、管理用户接入的状态,资源的分配,从而使网络资源的分配更加合理和可控化。 ●应用可视化 StoneOS?内置独创的应用识别模块,可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,即使加密过的数据流也能应付自如。StoneOS?识别的应用多达几百种,而且跟随着应用的发展每天都在增加;其中包
括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、、HTTP等协议的应用,应用特征库通过网络服务可以实时更新。 全面的VPN解决方案 SG-6000多核安全网关支持多种IPSecVPN的部署,它能够完全兼容标准的IPSec VPN。SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速,结合多核平台的处理能力,可为用户提供高容量、高性能的VPN解决方案。 Hillstone山石网科独具特色的即插即用VPN,可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置,完全解决了传统IPSecVPN设备配置难、使用难、维护成本高的问题。 SG-6000多核安全网关还通过集成第三代SSL VPN实现角色访问控制和即插即用特性,为用户提供方便、快捷的安全远程接入服务。 内容安全(UTM Plus?) SG-6000可选UTMPlus?软件包提供病毒过滤、入侵防御、内容过滤、网页访问控制和应用流量整形等功能,可以防范病毒、间谍软件、蠕虫、木马等网络攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页,提高工作效率和控制对不良网站的访问。病毒库、攻击库、网页库可以通过网络服务实时下载,确保对新爆发的病毒、攻击、新的网页做到及时响应。 模块化、全并行处理的安全架构(多核Plus? G2) Hillstone山石网科自主开发的64位实时安全操作系统StoneOS?采用专利的多处理器全并行架构,和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同;StoneOS?实现了从网络层到应用层的多核全并行处理。 因此SG-6000较业界其他的多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升,为同时开启多项防护功能奠定了性能基础,突破了传统安全网关的功能实用性和性能无法两全的局限。 SG-6000-M3108支持SD卡扩展。通过扩展SD卡可以在设备上实时记录各种审计日志和审计数据,满足公安部82号令的要求,也可以使用外置高性能日志服务器。 另外SG-6000多核安全网关还支持通过软件license方式进行设备高级扩展,
(一)初始化设备 1)初始化配置步骤: 1.用超级终端通过串口控制台连接(RJ-45 null-modem 线缆)来完成初始配置。完成初始配置后,可不再使用控制台。 2.打开NetEye 设备的电源开关。 3.终端控制台将显示如下提示: LILO 2 bootmgr Press key '2' to enter BOOTMGR command mode 该提示信息将显示约5 秒钟,在此期间输入1 并按回车。 4.配置设备。 Config the firewall or quit (y/n)(n)y 5.修改主机名。 Please input the host name for this system Host name:
(2) Chinese Please input a choice[1-2,q](2) <1、2 或q> 选择2,中文,回车 8.更改根管理员口令。(此步骤可选,但东软强烈建议首次登录后修改口令。) Changing default password of root(y/n)(y): Old password(6-128): neteye Password(6-128): < 新密码> Repeat Password(6-128): < 新密码> 这里我们不更改它的默认密码,选择n 9.添加根系统管理员及选择登录方式。 Creating an administrator(y/n)(y): Username: < 用户名> Please select a login type (1) Web (2) Telnet (3) SSH (4) SCM Please input a choice[1-4](1)(example: 1,2,3):1,2,3,4 Password(6-128): < 密码> Repeat Password(6-128): < 密码> 选择y,添加ycz用户,设备相应密码,Web管理,Telnet。
H3C路由器配置命令 一、路由器基本配置命令 1、system-view 进入系统视图模式 2、sysname R1 为设备命名为R 3、display ip routing-table 显示当前路由表 4、language-mode Chinese|English 中英文切换 5、interface Ethernet 0/0 进入以太网端口视图 6、ip address 192.168.1.1 255.255.255.0 配置IP地址和子网掩码 7、undo shutdown 打开以太网端口 8、shutdown 关闭以太网端口 9、quit 退出当前视图模式 10、ip route-static 192.168.2.0 255.255.255.0 192.168.12.2 description To.R2配置静态路由 11、ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 description To.R2配置默认的路由 基本配置案例 [Quidway]display version 显示版本信息 [Quidway]display current-configuration 显示当前配置 [Quidway]display interfaces 显示接口信息 [Quidway]display ip route 显示路由信息 [Quidway]sysname aabbcc 更改主机名 [Quidway]super passwrod 123456 设置口令 [Quidway]interface serial0 进入接口 [Quidway-serial0]ip address
华为s基础配置命令 The latest revision on November 22, 2020
华为S5700基础配置命令 2012-11-12 12:30:25| 分类:计算机技术 |字号订阅 # 设置设备的名称为GSH-FZ-Front
山石网科 申请功能 (平台) QOS 流量分配 AV 复合端口 IPS 入侵 NBC 网络行为管理支持SG型号 URLDB 是NBC子键支持SG型号 HSM 设备集 4GE-B 当断电后仍然可以通讯 SSH secure Shell 安全外壳协议 是一种在不安全网络上提供安全登录和其他安全网络服务的协议。 NAT 步骤: ①,接口IP ②,配路由 缺省路由:0.0.0.0 0.0.0.0 192.168.1.2 回值路由:0.0.0.0 192.168.1.x 192.168.1.1 策略路由: ③,NAT SNAT DNAT MAP ( IP PORT ) ④,policy(策略) 检查配置环境 show seccion generic 显示连接数 show interface (name) 显示接口信息 show zone(zone name) 显示安全域类型 show admin user 显示系统管理员信息 show admin user (name)显示系统管理员配置信息 show version 显示版本号信息 show arp 显示解析地址 show fib 显示路由信息 show snat 显示nat 配置 no snatrule id 号删除NAT配置 show ip route 显示路由信息 save 保存配置 unset all 清楚配置(恢复出厂设 置。
配接口 (config)# interface Ethernet0/2 (config-if-0/2)# zone trust 或/untrust 建立区信任/不信任 (config-if-0/2)# ip add 192.168.1.1/24 (config-if-0/2)# manage ping 开通PING (config-if-0/3)# manage http 开通HTTP (config-if-0/3)# manage telnet 开通telnet 配路由 (config)# ip vrouter trust-vr 这个命令意思是可以配置多个路由 (config-route)# ip route 0.0.0.0/0 192.168.1.1 配NAT (config)# nat (config-nat)# snatrule id 1 from any to any trans-to eif-ip mode dynamicport (config)#policy # rule from any to any server any dynamicport 系统管理 web: 系统--设备管理--基本信息 CLI: (config)# hostname (name) 配置安全网关名 (config)# no hostname 清楚安全网关名 管理员密码策略配置模式 hostname(config)# password policy 进入管理员策略配置式 hostname(config-pwd-policy)# admin complexity 1 启用密码复杂度限制 hostname(config=pwd-policy)# admin min-length (length value) 启用密码最少位限制 配置系统管理员 (config)# admin user (user-name) 配置管理员名称 (config)# no admin user (user-name) 删除管理员名称 (config-hostname)# privilege PX/RXW 管理员模式下:配置管理员特权 PX是读,执行 PXW 是读,执行,写。 (config-hostname)# password password 配置管理员密码 (config-hostname)# access{console|https|ssh|telnet|any} 配置管理员的访问方式 show admin user 显示管理员信息 show admin user (user-name) 显示管理员配置信息
天融信版本防火墙常用功能配置手册 北京天融信南京分公司 2008年5月
目录
一、前言 我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙(在本安装手册中简称为“天融信防火墙”)时,可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。 二、天融信版本防火墙配置概述 天融信防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全应用需求。在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求,建议参照以下思路和步骤对天融信防火墙进行配置和管理。 1、根据网络环境考虑防火墙部署模式(路由模式、透明模式、混合模式),根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。 2、防火墙接口IP配置 3、区域和缺省访问权限配置 4、防火墙管理权限配置 5、路由表配置 6、定义对象(地址对象、服务对象、时间对象) 7、制定地址转换策略(包括四种地址转换策略:源地址转换、目的地址转换、双向转换、不做转换) 8、制定访问控制策略 9、其他特殊应用配置 10、配置保存 11、配置文件备份 ?提示:每次修改配置前,建议首先备份防火墙再修改配置,避免防火墙配置不当造成网络长时间中断。
三、天融信防火墙一些基本概念 接口:和防火墙的物理端口一一对应,如Eth0、Eth1 等。 区域:可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上,防火墙的区域和接口并不是一一对应的,也就是说一个区域可以包括多个接口。在安装防火墙前,首先要对整个受控网络进行分析,并根据网络设备,如主机、服务器等所需要的安全保护等级来划分区域。 对象:防火墙大多数的功能配置都是基于对象的。如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。可以说,定义各种类型的对象是管理员在对防火墙进行配置前首先要做的工作之一。对象概念的使用大大简化了管理员对防火墙的管理工作。当某个对象的属性发生变化时,管理员只需要修改对象本身的属性即可,而无需修改所有涉及到这个对象的策略或规则。防火墙中,用户可定义的对象类型包括:区域、地址、地址组、服务、服务组、以及时间等。 ?提示:对象名称不允许出现的特殊字符:空格、“'”、“"”、“\”、“/”、“;”、“"”、“$”、“&”、“<”、“>”、“#”、“+”。 ?提示:防火墙所有需要引用对象的配置,请先定义对象,才能引用。四、防火墙管理 防火墙缺省管理接口为eth0口,管理地址为,缺省登录管理员帐号:用户名superman,口令talent。 防火墙出厂配置如下:
InfoExpress IOS InfoExpress l l l l 1.1 l console shell l 56/336modem LINE l Telnet l SNMP console 56/336modem LINE Telnet SNMP 1.2 InfoExpress IOS shell l l l Console Telnet l shell
InfoExpress IOS Shell l user EXEC l privileged EXEC l global configuration l interface configuration l router configuration l file system configuration l access list configuration l voice-port configuration l dial-peer configuration l crypto transform-set configuration l crypto map configuration l IKE isakmp configuration l pubkey-chain configuration l pubkey-key configuration l DHCP dhcp configuration 1-1 1-1 InfoExpress Lo en co in ro um
IP phone E1 filesystem router(config-fs)# exit ip access-list router(config-std-nacl)# cl)# voice-port ro rt) dial-peer router(config-dial-peer )# exit V oIP POTS crypto ipsec transform-set router(cfg-crypto-trans )# exit crypto map router(cfg-crypto-map) # exit IKE crypto isakmp router(config-isakmp)# crypto key pubkey-chain rsa router(config-pubkey-c hain)# exit RSA
Hillstone山石网科多核安全网关安装手册 Hillstone山石网科 SG-6000-IM0609-3.5R2C-01
前言 内容简介 感谢您选用Hillstone Networks的网络安全产品。 本手册为Hillstone山石网科多核安全网关的安装手册,能够帮助用户正确安装Hillstone山石网科多核安全网关。本手册的内容包括: ?第1章产品介绍 ?第2章安全网关安装前的准备工作 ?第3章安全网关的安装 ?第4章安全网关的启动和配置 ?第5章安全网关的硬件维护 ?第6章常见故障处理 手册约定 为方便用户阅读与理解,本手册遵循如下约定: ?警告:表示如果该项操作不正确,可能会给安全网关或安全网关操作者带来极大危险。因此操作者必须严格遵守正确的操作规程。 ?注意:表示在安装和使用安全网关过程中需要注意的操作。该操作不正确,可能影响安全网关的正常使用。 ?说明:为用户提供有助于理解内容的说明信息。
内容目录 第1章产品介绍 (1) 简介 (1) SG-6000系列多核安全网关的特点 (1) 创新的多核Plus TM网络安全构 (1) 强健的实时操作系统Hillstone (1) 主机硬件介绍 (1) 前面板介绍 (1) 后面板介绍 (4) 指示灯含义 (4) 系统参数 (6) 端口属性 (7) CLR按键 (9) 电源 (10) 第2章安全网关安装前的准备工作 (11) 介绍 (11) 洁净度要求 (11) 防静电要求 (11) 电磁环境要求 (11) 接地要求 (11) 检查安装台 (12) 其它安全注意事项 (12) 检查安全网关及其附件 (12) 安装设备、工具和电缆 (12) 第3章安全网关的安装 (13) 安装前说明 (13) 将安全网关安装在工作台上 (13) 将安全网关安装到标准机柜中 (14) 线缆连接 (14) 连接地线 (15) 连接配置电缆 (15) 连接以太网电缆或光纤 (15) 连接电源线 (16) 安装完成后的检查 (16) 第4章安全网关的启动和配置 (17) 介绍 (17) 搭建配置环境 (17) 搭建配置口(CON口)的配置环境 (17) 搭建WebUI配置环境 (18) 搭建Telnet和SSH配置环境 (18) 安全网关的基本配置 (18)
(一)初始化设备 1) 初始化配置步骤: 1.用超级终端通过串口控制台连接(RJ-45 null-modem 线缆)来完成初始配置。完成初始配置后,可不再使用控制台。 2.打开NetEye 设备的电源开关。 3.终端控制台将显示如下提示: LILO 22.7.1 1 NetEye_FW_4_2_build_200080.install 2 bootmgr Press key '2' to enter BOOTMGR command mode 该提示信息将显示约5 秒钟,在此期间输入1 并按回车。 4.配置设备。 Config the firewall or quit (y/n)(n)y 5.修改主机名。 Please input the host name for this system Host name:
Please set system language (1) English (2) Chinese Please input a choice[1-2,q](2) <1、2 或q> 选择2,中文,回车 8.更改根管理员口令。(此步骤可选,但东软强烈建议首次登录后修改口令。) Changing default password of root?(y/n)(y): Old password(6-128): neteye Password(6-128): < 新密码> Repeat Password(6-128): < 新密码> 这里我们不更改它的默认密码,选择n 9.添加根系统管理员及选择登录方式。 Creating an administrator?(y/n)(y): Username: < 用户名> Please select a login type (1) Web (2) Telnet (3) SSH (4) SCM Please input a choice[1-4](1)(example: 1,2,3):1,2,3,4
天融信防火墙命令 Document serial number【KK89K-LLS98YT-SS8CB-SSUT-SST108】
Helpmode chinesel 区域权限:pf service add name webui(gui/ping/telent) area 区域名 addressname any web管理服务开启:system httpd start web界面权限添加:pf service add name webui area 区域名 addressname any 添加网口ip: 禁用网口: network interface eth16 shutdown 启用网口: network interface eth16 no shutdown 交换模式: network interface eth16 switchport(no switchport路由模式) 区域设置: define area add name E1 attribute 网口 access off(on)《off权限禁止,on 权限允许》 主机地址: define host add name 主机名 子网地址: define host subnet add name 名字 自定义服务:define service add name 名称 protocol 6 port 端口号 (6是tcp的协议码) vlan添加ip: web服务器外网访问 1)设置 E1 区域 #define area add name E1 access on attribute eth1 2)定义 WEB 服务器真实地址 #define host add name WEB_server ipaddr 3)定义 WEB 服务器访问地址 #define host add name MAP_IP ipaddr 4)定义服务端口 #define service add name Web_port protocol 6 port 8080 说明:“6”是 TCP 协议的协议码 5)设置地址转换规则 #nat policy add srcarea E1 orig_dst MAP_IP orig_service http trans_dst Web_server trans_service Web_port 路由adls ADS拨号设置 1)设置 ADSL 拨号参数 #network adsl set dev eth0 username adsl1234 passwd 123456 attribute adsl 2)定义外网区域(adsl-a) #define area add name adsl-a attribute adsl access on 3)配置地址转换策略 #nat policy add srcarea area_eth1 dstarea adsl-a trans_src adsl 4)拨号 #network adsl start 5)查看拨号连接情况 # network adsl show status STATE: PHASE_RUNNING RX_BYTES: 815 TX_BYTES: 2021 RX_PKTS: 13
路由器设置指南 本指南主要针对现场的工程人员,描述了CISCO路由器的设置和应用 一、准备工作 1. 打开 包装箱,取出路由器及其附属线缆(包括电源线、兰色的控制线)。 2 .连接控制线:将兰色控制线的一头(RJ45)插在路由器后面板的“CONSOLE” 口(兰色的),另一头(DB9串口)插在计算机的COM1上 路由器专用控制线 3 ?插上路由器电源线 4. 打开计算机。进入超级终端程序(开始一程序 附件一通讯(Communications)一超级终端)。 Tcofc mmnnuu
syffl^nlsc ShcwRun... pcAiywh.. ■S D N X 5叙1J 強2W3 牡pp Expitwer 囤 rtcroGoft^teoTriai -7! rtcrowft Stutto 6.0 色 EymciiCK pc^nywhef ( B 金山词药2CO2 宜 Rsgsuis I uagx )2re2s FnotesJenai */5.Q -3 Mcrosoft Developer Networt 目OK 占al 2 画 I*tera5cift Wcxd 盲lit 空奈* *宣爭無工具 * 13荫戏 扇按乐 卜斟ThjrfType 遣宇程序 1111代咼扌換工且 *芒画朗 * 9A 计尊鬧 ”刖 WTdOWE 资诛管淫期 * ? ie?t a 命与?s 彌 新建一个连接: (1)输入新建连接的名称,如 ROUTER I ast^at 也图博处理 /写字乐 爭■MTdc*^ Uodate Q 金山影霸a?3 琏? fflft 冲 Wff oflteSHf ffl 1商建Of 麻文桂 Jrtffli ] ? 扛:1 0?」j 禹 A|JM 出S 盘Q :) |0他2血:朋心-[冷..当箱由圏段11寺印m..|p 云氏艺-吕屋 ? ffi l S 呵& 腊ff 期设 禹却舸 通过用制單调鬧或昔韭週制雪近蛊屯銀, |计 W> Jnlwra btm 诂点、虫幷牡駅务 |IBEE :?联机眼瓠以圧主40蛙不楚抓 |
天融信防火墙NGFW4000快速配置手册
目录 一、防火墙的几种管理方式 (3) 1.串口管理 (3) 2.TELNET管理 (4) 3.SSH管理 (5) 4.WEB管理 (6) 5.GUI管理 (6) 二、命令行常用配置 (12) 1.系统管理命令(SYSTEM) (12) 命令 (12) 功能 (12) WEBUI界面操作位置 (12) 二级命令名 (12) V ERSION (12) 系统版本信息 (12) 系统>基本信息 (12) INFORMATION (12) 当前设备状态信息 (12) 系统>运行状态 (12) TIME (12) 系统时钟管理 (12) 系统>系统时间 (12) CONFIG (12) 系统配置管理 (12) 管理器工具栏“保存设定”按钮 (12) REBOOT (12) 重新启动 (12) 系统>系统重启 (12) SSHD (12) SSH服务管理命令 (12) 系统>系统服务 (12) TELNETD (12) TELNET服务管理 (12) 系统>系统服务命令 (12) HTTPD (12) HTTP服务管理命 (12) 系统>系统服务令 (12) MONITORD (12) MONITOR (12) 服务管理命令无 (12) 2.网络配置命令(NETWORK) (13)
4.定义对象命令(DEFINE) (13) 5.包过滤命令(PF) (13) 6.显示运行配置命令(SHOW_RUNNING) (13) 7.保存配置命令(SAVE) (13) 三、WEB界面常用配置 (14) 1.系统管理配置 (14) A)系统> 基本信息 (14) B)系统> 运行状态 (14) C)系统> 配置维护 (15) D)系统> 系统服务 (15) E)系统> 开放服务 (16) F)系统> 系统重启 (16) 2.网络接口、路由配置 (16) A)设置防火墙接口属性 (16) B)设置路由 (18) 3.对象配置 (20) A)设置主机对象 (20) B)设置范围对象 (21) C)设置子网对象 (21) D)设置地址组 (21) E)自定义服务 (22) F)设置区域对象 (22) G)设置时间对象 (23) 4.访问策略配置 (23) 5.高可用性配置 (26) 四、透明模式配置示例 (28) 拓补结构: (28) 1.用串口管理方式进入命令行 (28) 2.配置接口属性 (28) 3.配置VLAN (28) 4.配置区域属性 (28) 5.定义对象 (28) 6.添加系统权限 (29) 7.配置访问策略 (29) 8.配置双机热备 (29) 五、路由模式配置示例 (30) 拓补结构: (30) 1.用串口管理方式进入命令行 (30) 2.配置接口属性 (30) 3.配置路由 (30) 4.配置区域属性 (30) 5.配置主机对象 (30) 6.配置访问策略 (30)
CISCO路由器配置手册 第一章路由器配置基础 一、基本设置方式 一般来说,可以用5种方式来设置路由器: 1.Console口接终端或运行终端仿真软件的微机; 2.AUX口接MODEM,通过电话线与远方的终端或运行终端仿真软件的微机相连;3.通过Ethernet上的TFTP服务器; 4.通过Ethernet上的TELNET程序; 5.通过Ethernet上的SNMP网管工作站。 但路由器的第一次设置必须通过第一种方式进行,此时终端的硬件设置如下: 波特率:9600 数据位:8 停止位:1 奇偶校验: 无
二、命令状态 1.router> 路由器处于用户命令状态,这时用户可以看路由器的连接状态,访问其它网络和主机,但不能看到和更改路由器的设置内容。 2.router# 在router>提示符下键入enable,路由器进入特权命令状态router#,这时不但可以执行所有的用户命令,还可以看到和更改路由器的设置内容。 3.router(config)# 在router#提示符下键入configure terminal,出现提示符router(config)#,此时路由器处于全局设置状态,这时可以设置路由器的全局参数。 4.router(config-if)#; router(config-line)#; router(config-router)#;… 路由器处于局部设置状态,这时可以设置路由器某个局部的参数。 5.> 路由器处于RXBOOT状态,在开机后60秒内按ctrl-break可进入此状态,这时路由器不能完成正常的功能,只能进行软件升级和手工引导。 6.设置对话状态 这是一台新路由器开机时自动进入的状态,在特权命令状态使用SETUP命令也可进入此状态,这时可通过对话方式对路由器进行设置。 三、设置对话过程 1.显示提示信息 2.全局参数的设置 3.接口参数的设置 4.显示结果 利用设置对话过程可以避免手工输入命令的烦琐,但它还不能完全代替手工设置,一些特殊的设置还必须通过手工输入的方式完成。
Hillstone山石网科多核安全网关 基础配置手册 version 5.0 https://www.doczj.com/doc/06822881.html,
目录 第1章设备管理 (1) 设备管理介绍 (1) 终端Console登录 (1) WebUI方式登录 (1) 恢复出厂设置 (2) 通过CLI方式 (2) 通过WebUI方式 (2) 通过CLR按键方式 (4) StoneOS版本升级 (4) 通过网络迅速升级StoneOS(TFTP) (4) 通过WebUI方式升级StoneOS (6) 许可证安装 (8) 通过CLI方式安装 (8) 通过WebUI方式安装 (8) 第2章基础上网配置 (10) 基础上网配置介绍 (10) 接口配置 (10) 路由配置 (11) 策略配置 (13) 源NAT配置 (14) 第3章常用功能配置 (16) 常用配置介绍 (16) PPPoE配置 (16) DHCP配置 (18) IP-MAC绑定配置 (20) 端到端IPsec VPN配置 (22) SCVPN配置 (29) DNAT配置 (36) 一对一IP映射 (37) 一对一端口映射 (39) 多对多端口映射 (42) 一对多映射(服务器负载均衡) (45)
第4章链路负载均衡 (47) 链路负载均衡介绍 (47) 基于目的路由的负载均衡 (48) 基于源路由的负载均衡 (49) 智能链路负载均衡 (49) 第5章QoS配置 (52) QoS介绍 (52) IP QoS配置 (52) 应用QoS配置 (54) 混合QoS配置 (57) QoS白名单配置 (58) 第6章网络行为控制 (59) URL过滤(有URL许可证) (59) 配置自定义URL库 (62) URL过滤(无URL许可证) (63) 网页关键字过滤 (64) 网络聊天控制 (68) 第7章VPN高级配置 (71) 基于USB Key的SCVPN配置 (71) 新建PKI信任域 (71) 配置SCVPN (76) 制作USB Key (77) 使用USB Key方式登录SCVPN (79) PnPVPN (81) 用户配置 (82) IKE VPN配置 (83) 隧道接口配置 (87) 路由配置 (88) 策略配置 (89) PnPVPN客户端配置 (90) 第8章高可靠性 (92) 高可靠性介绍 (92) 高可靠性配置 (93)
第5次实验路由器的配置 此次试验目的是了解思科网络设备的配置基本特点及IOS命令基本操作方法。这些是配置思科设备的重要前提。 一、实验知识: 1、实验环境搭建 添加一个空的路由器,单击Packet Tracer 5.0的工作区中刚添加的路由器,在弹出的配置窗口上添加一些模块: 图一 默认情况下,路由器的电源是打开的,添加模块时需要关闭路由器的电源,单击图一箭头所指的电源开关,将其关闭,路由器的电源关闭后绿色的电源指示灯也将变暗。
图二添加所需要的模块 在“MODULES”下寻找所需要的模块,选中某个模块时会在下方显示该模块的信息。然后拖到路由器的空插槽上即可。 图三各种模块添加完成,打开路由器的电源
图四添加一计算机,其RS-232与路由器的Console端口相连 图五用计算机的终端连接路由器
图六实验环境搭建完成 2、配置单个的路由器 路由器的几种模式:User mode(用户模式)、Privileged mode(特权模式)、Global configuration mode(全局配置模式)、Interface mode(接口配置模式)、Subinterface mode(子接口配置模式)、Line mode、Router configuration mode (路由配置模式)。每种模式对应不同的提示符。 (1)直接在packet tracer界面里配置路由器。 这种方法非常简单,直接在对应的项目里修改参数即可,比如修改路 由器主机名、修改某个以太网端口的IP和子网掩码等。
图七 图八
(2)但是事实上,现实中往往要计算机终端登录路由器进行配置(如图四),就必须使用路由器配置命令来配置路由器。如下面例子: 图九几各配置命令提示符 图十配置路由器的名字 图十一配置enable密码 图十二配置Console登录时的密码
建议用方法一:debug抓包 首先依次按顺序输入必要命令: < neteye > debug dump hook all 定义抓包类型 < neteye > debug match bidir on 开启双向监控 < neteye > debug dump complex on 输出包头详细信息 再定义过滤策略,按自己需求输入一个或多个命令 < neteye > debug match ip any/sip any/dip 指定源和目的IP抓包 < neteye > debug match protocol any/tcp/udp 指定通信协议抓包 < neteye > debug match port any/sport any/dport 指定源和目的端口抓包 开启debug命令 < neteye > debug start 600 抓600秒 停止debug命令 < neteye > debug stop 方法二:tcpdump 首先进入bash模式 < neteye > bash Password:neteye Neteye# 1、针对端口抓包: tcpdump -i eth* port 21 2、针对IP地址抓包: tcpdump -i eth* host 1.1.1.1 3、针对源IP和目的IP抓包: tcpdump -i eth* src host 1.1.1.1 and dst host 2.2.2.2 4、针对源IP和目的IP抓双向的: tcpdump -i eth* host 1.1.1.1 and host 2.2.2.2
5、针对协议抓包:安全产品营销中心售后服务部22 tcpdump -i eth* icmp Ctrl + C 停止抓包 Exit 退出到
天融信防火墙NGFW4000快速配置手册 一、防火墙的几种管理方式 1.串口管理 第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。 通过 CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。用户在初次使用防火 墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙: 1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用 com1)和防火墙的CONSOLE 口。 2)选择开始 > 程序 > 附件 > 通讯 > 超级终端,系统提示输入新建连接的名称。 3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用 com1)。 4)设置 com1 口的属性,按照以下参数进行设置。 参数名称取值 每秒位数:9600 数据位:8
奇偶校验:无 停止位: 1 5)成功连接到防火墙后,超级终端界面会出现输入用户名/密码的提示,如下图。 6)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火 墙。登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。 2.TELNET管理 TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置: 1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限 2)在串口下用“system telnetd start”命令启动TELNET管理服务 3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令 添加管理IP地址 4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET 192.168.1.250 5)最后输入用户名和密码进行管理命令行如图: 3.SSH管理