SingleRAN TDSCDMA-LTE V100R001配置手册V1.4
内部公开
SingleRAN TDSCDMA-LTE V100R001配置手册
V1.4 (201210)
(仅供内部使用) For internal use only
华为技术有限公司
Huawei Technologies Co., Ltd.
版权所有 侵权必究 All rights reserved
修订记录Revision record
目录Table of Contents
修订记录Revision record (2)
目录Table of Contents (3)
表目录List of Tables (7)
图目录List of Figures (9)
1关于本文档 (11)
1.1目的 (11)
1.2文档获取 (11)
1.3使用说明 (11)
2产品基本配置说明 (12)
2.1产品综述 (12)
2.2 BBU基带模块配置原则 (14)
2.3 WMPT配置原则 (14)
2.4 UMPT配置原则 (15)
2.5 UBBPb配置原则 (15)
2.6 UBBPc配置原则 (16)
2.7 LBBPc配置原则 (16)
2.8 LBBPd配置原则 (16)
2.9 UTRP配置原则 (17)
2.10 UPEUc配置原则 (17)
2.11 UEIU配置原则 (18)
2.12 USCUb配置原则 (18)
2.13 UELP/UFLP/UFLPb配置原则 (18)
2.14 USLP2配置原则 (19)
2.15双模RRU配置原则 (19)
2.16单模RRU配置原则 (20)
2.17光模块配置原则 (20)
3调测整机配置说明 (21)
3.1产品配置清单及结构树介绍 (21)
3.2调测整机配置说明 (21)
3.3 BBU配置说明 (22)
3.4 BBU调测附件配置说明 (25)
3.5 RRU配置说明 (25)
3.6 RRU OEM编码汇总 (28)
4 TD-SCDMA外部电缆配置说明 (29)
4.1外部电缆配置清单 (29)
4.2 E1防雷转接线配置原则 (31)
4.3 RRU拉远解决方案 (32)
4.4外部光缆配置清单 (33)
4.5 BBU Iub、S1/X2接口外部成套光缆配置说明 (33)
4.6 TD-SCDMA CPRI/Ir接口单模光纤配置说明 (35)
5 TD-SCDMA发货附件配置说明 (39)
6 TD-SCDMA安装成套件配置说明 (41)
6.1 TD-SCDMA安装成套件配置说明 (41)
7 TD-SCDMA配套设备配置说明 (42)
7.1配套设备总清单 (42)
7.2室外GE电传输防雷配置说明 (44)
7.3 APM30H Ver.C电源系统配置说明 (45)
7.4 IBBS200D Ver.C外置蓄电池柜配置说明 (45)
7.5 TMC11H Ver.C直流传输柜配置说明 (46)
7.6 ILC29/ILC29 Ver.C室内机柜配置说明 (46)
7.7 DCDU直流配电盒配置说明 (47)
7.8 4815电源系统配置说明 (48)
7.9 AC/DC电源系统配置说明 (48)
7.10 OMB打包套件配置说明 (49)
8天馈系统配置说明 (50)
8.1馈线及打包套件配置清单 (50)
9卫星天馈系统配置说明 (52)
10扩容场景配置说明 (55)
10.1 TD-SCDMA 单模扩容场景配置说明: (55)
10.2扩容TDS-LTE双模场景配置说明: (59)
10.2.1场景一:室外单A->FA双模改造:DRRU3158e-fa/DRRU3168-fa替换DRRU268e
(59)
10.2.2场景二:室外FA->FA双模改造:DRRU3168-fa/DRRU3158-fa/3158e-fa双模
改造 (62)
10.2.3场景三:室外单A->FA双模改造:DRRU3158e-fa/DRRU3168-fa替换DRRU268i
(64)
10.2.4场景四:室外单A->FA双模改造:DRRU3158i-fa替换DRRU268i (68)
10.2.5场景五:室外单FA->FA双模改造:DRRU3162-fa/DRRU3152-fa双模改造 (71)
10.2.6场景六:室内单A(或F+A)->FAE双模改造:DRRU3151e-fae/DRRU3161-fae
替换261 (73)
10.2.7场景七:室内FAE->FAE双模升级:DRRU3161-fae/DRRU3151-fae双模升级 (75)
11 License (76)
11.1 Feature-DNB6200-BASIC-DNB6200功能特性 (76)
12附录 (77)
12.1 BBU辅料包清单 (77)
12.2 RRU辅料包清单 (77)
12.3 GPS RG-8U天馈包02237911清单 (78)
12.4 8通道RRU天馈套件(小于等于7m) 02237792清单 (78)
12.5 8通道RRU天馈套件(大于7m) 02237793清单 (78)
12.6单/双通道RRU 1/2"超柔天馈包(室内)02237794清单 (78)
12.7双模改造易损物料清单 (79)
12.8工勘备注时常用的编码汇总表 (79)
12.9测试小天线物料清单 (79)
12.10中国寒冷省份列表 (79)
表目录List of Tables
表2-1双模RRU种类汇总表 (19)
表2-2单模RRU种类汇总表 (20)
表3-1无线通信设备-HUAWEI DNB TD-SCDMA分布式基站系统 (21)
表3-2无线基站-HUAWEI DNB-TD1A1BBU-TD-SCDMA分布式基站基带单元 (22)
表3-3组件|附件-DNB6200 (25)
表3-4组件|附件-HUAWEI DNB-TD-SCDMA分布式基站射频拉远单元 (26)
表3-5 02319648OEM编码汇总表 (28)
表4-1外部成套电缆-HUAWEI DNB-TD-SCDMA分布式基站外部成套电缆 (29)
表4-2 RRU拉远解决方案表 (32)
表4-3成套光纤-HUAWEI DNB-TD-SCDMA分布式基站外部成套光缆 (33)
表4-4成套光纤-HUAWEI DNB-TD-SCDMA Iub、S1/X2接口外部成套光纤 (33)
表4-5 04100139成套光纤-HUAWEI DNB-TD-SCDMA CPRI接口-单模尾纤 (35)
表5-1 02237788组件|附件-TBS-TD-SCDMA分布式基站发货附件 (39)
表6-1 02239852组件|附件-HUAWEI DNB-TD-SCDMA分布式基站安装成套件 (41)
表7-1 02239849组件|附件-HUAWEI DNB-TD-SCDMA分布式基站配套设备 (42)
表7-2 02230LUL组件|附件-GE-Surge Protection Box (44)
表7-3 02239841组件|附件-HUAWEI DNB-APM一体化后备电源系统 (45)
表7-4 02239842组件|附件-HUAWEI DNB-外置蓄电池柜 (45)
表7-5 02239843组件|附件-HUAWEI DNB-TMC直流传输柜 (46)
表7-6 02239848 组件|附件- TD-SCDMA-BBP530/BBP530C室内机柜 (46)
表7-7 02239844组件|附件-HUAWEI DNB-DCDU-直流配电盒 (47)
表7-8 02239847组件|附件-HUAWEI DNB-EPS30-4815A-电源系统 (48)
表7-9 02239846组件|附件-HUAWEI DNB-OMB 电源柜 (49)
表8-1 02237791组件|附件-HUAWEI DNB-分布式基站天馈系统-馈线及安装套件 (50)
表9-1采用高灵敏度星卡GPS馈线配置说明 (52)
表9-2 02239850组件|附件-HUAWEI DNB系统 (52)
表10-1室内261替换为3151/3161-fae配置表 (56)
表10-2室内268e替换为3151e-fae/3161-fae配置表 (56)
表10-3室外268e替换为3158e-fa/3168-fa配置表 (57)
表10-4室外3158e-fa/3168-fa 替换268e配置表 (59)
表10-5室外3168-fa/3158-fa/3158e-fa双模改造配置表 (62)
表10-6室外3168-fa/3158e-fa 替换268i配置表 (64)
表10-7室外3158i-fa 替换268i配置表 (68)
表10-8室外DRRU3162-fa/DRRU3152-fa双模改造配置表 (71)
表10-9 DRRU3151e-fae 替换261双模改造配置表 (73)
表10-10室内DDRU3161-fae/DRRU3151-fae双模升级配置表 (75)
表12-1 02239912 组件|附件-DBS3900-BBU 低值辅料包-C/WI/TD归一 (77)
表12-2 02239917 组件|附件-DBS3900-RRU 低值辅料包-无线通用 (77)
表12-3 02237911 组件|附件-TD-SCDMA DNB-GPS-RG-8U 铜馈线包 (78)
表12-4 02237792 组件|附件-8通道RRU每扇区分布式基站1/2"超柔跳线-天馈套件-小于等于7m (78)
表12-5 02237793 组件|附件-8通道RRU每扇区分布式基站1/2"超柔跳线-天馈套件-大于7m (78)
表12-6 02237794 组件|附件-单通道RRU每扇区分布式基站1/2"超柔跳线-天馈套件-室内 (78)
图目录List of Figures
图2-1 SRAN系统架构示意图 (13)
图2-2 SRAN典型组网示意图 (13)
图2-3 DBBP530外观图 (14)
SingleRAN TDSCDMA-LTE V100R001配置手册V1.4 关键词Key words:
SingleRAN,TDSCDMA-LTE,配置手册
摘要Abstract:
本文档为TD-LTE系列产品中NODEB的产品配置手册,内容为TD-LTE系列基站配置说明,主要介绍TD-LTE的整机、总测、总装、天馈、电缆及发货附件等的配置情况,为商务、成套、工程勘测人员提供配置参考。
缩略语清单List of abbreviations:
1 关于本文档
1.1 目的
本文档用于公司内部使用,目的在于指导商务成套和实际销售、发货行为,属于对市场部门、供应链的技术交底,详细描述了基站产品的组成部分、配置清单、配置原则,同时描述了产品的实际情况和技术局限性。本文档用于网络版配置器的支撑工作。
1.2 文档获取
从市场技术资料管理平台(3MS网站)可获得该文档的电子版本。
1.3 使用说明
本文中灰色字体部分的内容表示本版本暂不支持的物料;蓝色字体部分为本版本新增内容,请读者重点关注;红色字体部分为特别提示,请特别关注。紫色字体部分为诺西物料编码。带删除线字体部分是该版本相对于上个版本删除的内容。
2 产品基本配置说明
TD-LTE基站的配置对象包括下面几个部分:BBU,射频模块,天馈系统,机柜以及电源系统。
基本配置原则:
物料成本最低原则:在多个硬件配置方式都可以实现所需网规配置参数时,除非运营商特别要求,否则选择初始成本最低的方案进行配置。
配置平滑升级原则:大容量配置一般是从某种小容量配置升级而来的,当多个硬件配置方式都可以实现所需的网规配置参数时,选择平滑升级的方案。
模块数量最少原则:在多个硬件配置方式都可以实现所需网规配置参数时,在不与前面原则冲突的前提下,选择模块数量最少的方案。一般不配置备份,局
方要求备份时才配置备份单板。
总装机柜数量最少原则:如有可能,尽量采用单机柜配置方式。
中继线最少原则:根据数据的流量决定中继线的数目。
2.1 产品综述
SRAN 1.0是TDS/TDL双模的第一个版本,实现TDS/TDL双模基本特性,目标是满足2012年中国移动基于TDS现网融合演进到TDL的商用要求。
SRAN采用分布式组网方式,适用于室内、室外场景。
图2-1SRAN系统架构示意图
图2-2SRAN典型组网示意图
NodeB与RNC/EPC之间是Iub/S1接口,与UE之间是空中接口Uu。
NodeB可以支持全向小区、三扇区和六扇区三种典型配置和其它不超过六扇区的特殊配置。
2.2 BBU基带模块配置原则
BBU采用19英寸标准机箱,可安装在19英寸标准机柜中,用于室内环境或有防护功能的室外机柜中。
BBU主要包括WMPT(TDS主控板)、UMPT(LTE主控板,分带Ublox星卡和不带星卡)、UBBPb(TDS基带处理板,四期/五期使用)、UBBPc(TDS基带处理板,五期使用)、LBBPc/LBBPd(LTE基带处理板)、UTRP2(IP光口扩展传输板)、UTRP3(E1扩展传输板)、UTRP9(IP电口扩展传输板)、UELP/UFLP/USLP2/UFLPb (防雷单元)、UPEUc(电源与环境监控单元)、UEIU(环境监控单元)、USCUb(星卡处理板)等功能单板,支持即插即用,可根据需要进行配置。
BBU外观和尺寸如下:
图2-3DBBP530外观图
2.3 WMPT配置原则
WMPT为TD-SCDMA主控板,提供基站的O&M功能,主控时钟功能和与RNC间的Iub接口,默认配置在Slot7槽位。主要功能:
主控:包括配置管理、设备管理、软件管理、性能监视、告警、日志等操作维护功能,并实现对系统内部各单板的控制;WMPT 还处理Iub 接口的
NBAP 协议,完成整个DNB6200 内的呼叫处理。
交换:框内各单板的低速用户面数据和控制/维护信号都经过WMPT板交换到目标端口。
时钟:集成OCXO及锁相模块,为基站各业务提供统一的时钟;WMPT集成单星卡,提供绝对时间信息和1PPS参考时钟源。
传输:WMPT在初始配置的时候,完成基本传输的功能,包括4个E1和1个电口FE、一个光口FE的传输接口。完成ATM 和IP over Ethernet 的
协议处理。
WMPT 4E1主控板面板接口图如下:
2.4 UMPT配置原则
UMPT为LTE主控板,分为UMPTa2(不带星卡)和UMPTa6(带Ublox星卡),上下行吞吐量1.5Gbps,支持单站点最大RRC用户数10800。
主要功能:
主控/交换:完成配置管理、设备管理、性能监视、信令处理、主备切换等O&M功能,并实现对系统内部各单板的控制;同时,基带框的各单板的低速用户面数据和控制/维护信号都经过UMPT板的低速总线交换到目标端口;
时钟:集成OCXO及锁相模块,为LTE各业务板提供统一的时钟。
传输:主控板在初始配置的时候,完成基本传输的功能,UMPT支持1个GE电口和1个GE光口的传输接口(4E1口不用),完成IP和GTPU协议处理。
UMPTa2面板接口图
UMPTa6面板接口图
2.5 UBBPb配置原则
UBBPb(Universal Base Band Processing board)是UBBP的下一代基带处理接口板,TDS单模时(LCR7.0)支持18载波,双模时支持18载波的基带处理相关功能(如PS业务、CS业务、HSDPA、HSUPA、MBMS等);提供6个光口,可通过光纤连接RRU,最大支持6.144G速率。
UBBPb面板接口图如下:
2.6 UBBPc配置原则
UBBPc(Universal Base Band Processing board)支持12载波的基带处理相关功能(如PS业务、CS业务、HSDPA、HSUPA、MBMS等);提供6个光口,可通过光纤连接RRU,最大支持6.144G速率。
UBBPc面板接口图如下:
2.7 LBBPc配置原则
LBBPc 为LTE的基带处理板,提供6个光口,仅slot1、slot2、slot3槽位上的单板提供接口功能。CPRI/Ir支持2.4576Gbps/4.9152Gbps/6.144 Gbps速率自动切换,LBBPc基带板支持的能力:
宏站:1*20M 8T8R(双模-DRRU3158系列,单模-RRU3233)
室分:3*20M 2T2R(单模-RRU3152-e),不支持跨基带板合并小区。
LBBPc面板接口如下:
2.8 LBBPd配置原则
LBBPd 为LTE的基带处理板,提供6个光口+1个QSFP接口,F频段时仅slot2、slot3槽位上的单板提供接口功能;E、D频段时仅slot4、slot5、slot1槽位上的单板提供接口功能。CPRI/Ir支持2.4576Gbps/4.9152Gbps/6.144 Gbps/9.8Gbps速率自动切换,LBBPd基带板支持的能力:
宏站:3*20M 8T8R ,6*20M 2T2R
室分:6*20M 1T1R/2T2R
最多6个RRU小区合并,最多3个小区,不支持跨基带板合并小区。
LBBPd面板接口如下:
2.9 UTRP配置原则
UTRP为DBBP530可选单板,提供扩展传输接口。UTRP通过配置不同的传输扣板,提供不同的端口,可以支持ATM或IP协议。
根据选扣的扣板不同实现不同的传输接口,支持E1/T1、FE、STM-1.GE等多种传输接口规格。每相邻配对槽位单板之间支持板级负荷分担。
UTRP3面板接口图如下:
UTRP2面板接口图如下:
UTRP9面板接口图如下:
2.10 UPEUc配置原则
UPEUc为DBBP530必配模块,-48VDC输入。
主要功能:
?为DBBP530内部供电
?提供2路485监控功能
?提供8路干结点告警功能
UPEUc面板接口图如下:
2.11 UEIU配置原则
UEIU单板是DBBP530的环境接口板,主要用于将环境监控设备信息传输给WMPT 单板。提供2路485监控功能,提供8路干结点告警功能。
UEIU面板接口图如下:
2.12 USCUb配置原则
USCUb(Universal Satellite card and Clock Unit)是USCU的下一代星卡时钟单元板,增加了对1pps+TOD、北斗星卡等功能。
需要1pps+TOD时钟源的时候,必须发USCUb。其他情况可以直接用主控板。
SRAN1.0不支持1pps+TOD时钟源。
单板面板如下图所示:
2.13 UELP/UFLP/UFLPb配置原则
UELP板:E1/T1防雷板,支持4路E1/T1信号的防雷处理。
UFLP板:FE防雷板,支持2路FE以太网信号的防雷处理。
UFLPb板:FE/GE防雷板,支持2路FE/GE以太网信号的防雷处理。
对于室外安装场景,我司默认配发防雷盒,室内安装场景默认不配。默认配置防雷盒可以提供8E1和2FE的防雷,当防雷盒不能满足E1/FE防雷需求时,配发防雷板,直接插在防雷盒的槽位里。SLPU中最多放置4个UELP支持16路E1防雷。
UELP面板接口图如下:
UFLP面板接口图如下:
UFLPb面板接口图如下:
2.14 USLP2配置原则
USLP2(Universal Signal Lightning Protection unit 2)是干接点防雷板,也可用于RS485 防雷,只配置在防雷盒SLPU 内。USLP2最多配置2pcs,固定在slot 2/3,无优先级。
USLP2面板接口图如下:
2.15 双模RRU配置原则
表2-1双模RRU种类汇总表
2.16 单模RRU配置原则
表2-2单模RRU种类汇总表
2.17 光模块配置原则
TD-LTE分布式基站由BBU、RRU模块组成。BBU的每块
UBBPb/UBBPc/LBBPc/LBBPd单板支持6个独立的CPRI/Ir接口用于连接RRU,RRU提供2个CPRI/Ir接口用于连接BBU或者级联RRU。BBU与RRU之间可采用星型、链型等组网方式。
其中BBU和RRU使用的光模块型号必须一致。SRAN1.0主要使用单模光模块。
fortigate 简易设置手册 一、更加语言设置: 1、首先把PC的网卡IP修改成192.168.1.*的网段地址,在IE中输入: https://192.168.1.99进入设置界面,如下图: 2、进入设置界面后,点击红框标注的位置(系统管理→状态→管理员设置), 进入如下图:在红框标注的位置进行语言选择。 二、工作模式的设置:
Fortigate防火墙可以工作在以下几种模式:路由/NAT模式、透明模式; 要修改工作模式可在下图标注处进行更改,然后设置相应的IP地址和掩码等。 三、网络接口的设置: 在系统管理→点击网络,就出现如下图所示,在下图所指的各个接口,您可以自已定义各个接口IP地址。 点击编辑按钮,进入如下图所示: 在下图地址模式中,在LAN口上根据自已需要进行IP地址的设置,接着在管理访问中指定管理访问方式。
在WAN口上,如果是采用路由/NAT模式可有两种方式: 1、采用静态IP的方式:如下图: 在红框标注的地方,选中自定义,输入ISP商给你的IP地址、网关、掩码。 在管理访问的红框中,指定您要通过哪种方式进行远程管理。 如果你从ISP商获得多个IP的话,你可以在如下图中输入进去。 在如下图红框标注的地方,输入IP地址和掩码以及管理访问方式,点击ADD 即可。
注: 采用静态IP地址的方式,一定要加一条静态路由,否则就不能上网。如下图:
2、如采用ADSL拨号的方式,如下图: 当你选中PPOE就会出现如下图所示的界面: 在红框标注的地址模式中,输入ADSL用户和口令,同时勾选上‘从服务器上重新获得网关‘和改变内部DNS。 在管理访问方式中根据自已的需要,选中相应的管理方式,对于MTU值一般情况下都采用默认值就行了.
飞塔防火墙fortigate的show命令显示相关配置,而使用get命令显示实时状态 show full-configuration显示当前完全配置 show system global 查看主机名,管理端口 显示结果如下 config system global set admin-sport 10443 set admintimeout 480 set hostname "VPN-FT3016-02" set language simch set optimize antivirus set sslvpn-sport 443 set timezone 55 end show system interface 查看接口配置 显示结果如下 edit "internal" set vdom "root" set ip 88.140.194.4 255.255.255.240 set allowaccess ping https ssh snmp http telnet set dns-query recursive set type physical next get system inter physical查看物理接口状态,,如果不加physical参数可以显示逻辑vpn接口的状态 ==[port1] mode: static ip: 218.94.115.50 255.255.255.248 status: up speed: 100Mbps Duplex: Full ==[port2] mode: static ip: 88.2.192.52 255.255.255.240 status: up speed: 1000Mbps Duplex: Full show router static 查看默认路由的配置 显示结果如下 config router static edit 1 set device "wan1" set gateway 27.151.120.X
F o r t i g a t e3.0M R4中文配置向导 目录 介绍(关于这篇文章介绍)-------------------------------------------------------------------------------------3 Fortigate 60防火墙介绍---------------------------------------------------------------------------------------4其他systex安全产品---------------------------------------------------------------------------------------4 SOHU&中小型网络拓扑结构-------------------------------------------------------------------------------5注:文中的IP地址以实际操作时配置的地址为准。不必照搬。 准备工作 1.修改自己电脑IP 2.进入防火墙界面 3.修改防火墙密码(以及忘记密码如何操作) 4. 配置防火墙的内网IP地址----------------------------------------------------------------------------------9目的:把防火墙的IP修改成自己想要的IP 配置局域网共享上网----------------------------------------------------------------------------------------10目的:使局域网的PC都能通过防火墙连接到Internet 设置ADSL用户名和密码拨号上网 设置固定IP上网 设置动态分配IP上网 配置双WAN共享上网---------------------------------------------------------------------------------------14目的:使用2根宽带线路连接到Internet 设置WAN2 设置WAN2 ADSL用户名和密码拨号上网 设置WAN2 固定IP上网 设置WAN2动态分配IP上网 配置特定人员从指定WAN口上网------------------------------------------------------------------------17目的:使特定人员从指定的WAN口上网 设置步骤 配置WEB服务器映射---------------------------------------------------------------------------------------19目的 设置虚拟服务器 设置地址映射 设置开放端口 配置过滤---------------------------------------------------------------------------------------------------------26目的 设置URL(网站地址)过滤
飞塔配置安装使用手册 FortiGuard产品家族 fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件,日志,报告,网络管理,安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。 更多fortinet产品信息,详见https://www.doczj.com/doc/2d7068599.html,/products. FortiGuard服务订制 fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。fortiguard服务均以最新的安全技术构建,以最低的运行成本考虑设计。 fortiguard 服务订制包括: 1、fortiguard 反病毒服务 2、fortiguard 入侵防护(ips)服务 3、fortiguard 网页过滤服务 4、fortiguard 垃圾邮件过滤服务 5、fortiguard premier伙伴服务 并可获得在线病毒扫描与病毒信息查看服务。 FortiClient forticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。forticlient的功能包括: 1、建立与远程网络的vpn连接 2、病毒实时防护 3、防止修改windows注册表 4、病毒扫描 forticlient还提供了无人值守的安装模式,管理员能够有效的将预先配置的forticlient分配到几个用户的计算机。 FortiMail
fortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。fortimail 单元在检测与屏蔽恶意附件例如dcc(distributed checksum clearinghouse)与bayesian扫描方面具有可靠的高性能。在fortinet卓越的fortios 与fortiasic技术的支持下,fortimail反病毒技术深入扩展到全部的内容检测功能,能够检测到最新的邮件威胁。 FortiAnalyzer fortianalyzer tm 为网络管理员提供了有关网络防护与安全性的信息,避免网络受到攻击与漏洞威胁。fortianalyzer具有以下功能: 1、从fortigate与syslog设备收集并存储日志。 2、创建日志用于收集日志数据。 3、扫描与报告漏洞。 4、存储fortigate设备隔离的文件。 fortianalyzer也可以配置作为网络分析器用来在使用了防火墙的网络区域捕捉实时的网络流量。您也可以将fortianalyzer用作存储设备,用户可以访问并共享存储在fortianalyzer 硬盘的报告与日志。 FortiReporter fortireporter安全性分析软件生成简洁明的报告并可以从任何的fortigate设备收集日志。fortireporter可以暴露网络滥用情况,管理带宽,监控网络使用情况,并确保员工能够较好的使用公司的网络。fortireporter还允许it管理员能够识别并对攻击作出响应,包括在安全威胁发生之前先发性的确定保护网络安全的方法。 FortiBridge fortibridge产品是设计应用于当停电或是fortigate系统故障时,提供给企业用户持续的网络流量。fortibridge绕过fortigate设备,确保网络能够继续进行流量处理。fortibridge产品使用简单,部署方便;您可以设置在电源或者fortigate系统故障发生的时fortibridge设备所应采取的操作。 FortiManager fortimanager系统设计用来满足负责在许多分散的fortigate安装区域建立与维护安全策略的大型企业(包括管理安全服务的提供商)的需要。拥有该系统,您可以配置多个fortigate 并监控其状态。您还能够查看fortigate设备的实时与历史日志,包括管理fortigate更新的固件镜像。fortimanager 系统注重操作的简便性包括与其他第三方系统简易的整合。 关于FortiGate设备 fortigate-60系列以及fortigate-100a设备是应用于小型企业级别的(包括远程工作用户),集基于网络的反病毒、内容过滤、防火墙、vpn以及基于网络的入侵检测与防护为一体的fortigate 系统模块。fortigate-60系列以及fortigate-100a设备支持高可靠性(ha)性能。
FortiAP 介绍 FortiAP 无线接入点提供企业级别的无线网络扩展的FortiGate整合安全功能的控制器管理的设备。每个FortiAP无线控制器将通过的流量集成到FortiGate平台,提供了一个单独的控制台来管理有线和无线网络通信。 FortiAP 无线接入点提供更多的网络可视性和策略执行能力,同时简化了整体网络环境。采用最新的802.11n为基础的无线芯片技术,提供高性能集成无线监控并支持多个虚拟AP的每个无线发送的无线接入。FortiAP与FortiGate 设备的controller(控制器)连接,可以提供强大完整的内容保护功能的无线部署空间。FortiGate设备controller控制器可以集中管理无线发送点操作、信道分配、发射功率,从而进一步简化了部署和管理。 FortiAP 外观与连接 这里我们用FortiAP 210B来做示例,FortiAP 210B 是可持续性使用的商务级802.11n解决方案,提供达300Mbps 的总吞吐率,可满足苛刻使用要求的应用场所。FortiAP 210B应用了单射频双频段(2.4GHz和5GHz)的2x2 MIMO 技术。FortiAP 210B是一款企业级接入点,不但提供快速客户端接入,而且具有智能应用检测和流量整形功能,具有两根内部天线,支持IEEE 802.11a、b、g和n无线标准。 这是FortiAP 210B正面的样子。
FortiAP 210B连接的方式很简单,只要一根网线的一端连接设备的ETH接口,另一端连接交换机或飞塔防火墙,设备带独立的12V、1.5A电源,如果防火墙或交换机支持PoE接口(自带48V电源),也可以直接通过网线供电,不需要连接独立的电源,这样在布线安装时会方便很多。 FortiAP 访问 和普通的交换机、路由器一样,FortiAP也可以通过浏览器进行访问,ETH接口的默认地址是192.168.1.2,用户名为admin,密码为空。笔记本电脑IP设为同网段的192.168.1.8,打开火狐浏览器,输入http://192.168.1.2进行访问。 输入用户名admin,密码不填,直接点击登录; 可以看到FortiAP 210B的基本信息,在这里可以升级固件,修改管理员密码(为了安全起见建议立即修改),当有多个AP时为了不引起冲突,又能访问每个IP,建议修改默认的192.168.1.2 IP地址。
I N S T A L L G U I D E FortiGate-1000A and FortiGate-1000AFA2 FortiOS 3.0 MR4 https://www.doczj.com/doc/2d7068599.html,
FortiGate-1000A and FortiGate-1000AFA2 Install Guide FortiOS 3.0 MR4 15 February 2007 01-30004-0284-20070215 ? Copyright 2007 Fortinet, Inc. All rights reserved. No part of this publication including text, examples, diagrams or illustrations may be reproduced, transmitted, or translated in any form or by any means, electronic, mechanical, manual, optical or otherwise, for any purpose, without prior written permission of Fortinet, Inc. Trademarks Dynamic Threat Prevention System (DTPS), APSecure, FortiASIC, FortiBIOS, FortiBridge, FortiClient, FortiGate, FortiGate Unified Threat Management System, FortiGuard, FortiGuard-Antispam, FortiGuard-Antivirus, FortiGuard-Intrusion, FortiGuard-Web, FortiLog, FortiAnalyzer, FortiManager, Fortinet, FortiOS, FortiPartner, FortiProtect, FortiReporter, FortiResponse, FortiShield, FortiVoIP, and FortiWiFi are trademarks of Fortinet, Inc. in the United States and/or other countries. The names of actual companies and products mentioned herein may be the trademarks of their respective owners. Regulatory compliance FCC Class A Part 15 CSA/CUS Risk of Explosion if Battery is replaced by an Incorrect Type.
FortiGate 常用配置命令 一、命令结构 config Configure object. 对策略,对象等进行配置 get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件 diagnose Diagnose facility. 诊断命令 execute Execute static commands. 常用的工具命令,如ping exit Exit the CLI. 退出 二、常用命令 1、配置接口地址: FortiGate # config system interface FortiGate (interface) # edit lan FortiGate (lan) # set ip 192.168.100.99/24 FortiGate (lan) # end 2、配置静态路由 FortiGate (static) # edit 1 FortiGate (1) # set device wan1
FortiGate (1) # set dst 10.0.0.0 255.0.0.0 FortiGate (1) # set gateway 192.168.57.1 FortiGate (1) # end 3、配置默认路由 FortiGate (1) # set gateway 192.168.57.1 FortiGate (1) # set device wan1 FortiGate (1) # end 4、添加地址 FortiGate # config firewall address FortiGate (address) # edit clientnet new entry 'clientnet' added FortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end 5、添加ip池 FortiGate (ippool) # edit nat-pool new entry 'nat-pool' added FortiGate (nat-pool) # set startip 100.100.100.1 FortiGate (nat-pool) # set endip 100.100.100.100 FortiGate (nat-pool) # end
飞塔防火墙f o r t i g a t e 的s h o w命令显示相关 配置 公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]
飞塔fortigate的show显示相关,而使用get显示实时状态 show full-configuration显示当前完全 show system global 查看主机名,管理端口 显示结果如下 config system global set admin-sport 10443 set admintimeout 480 set hostname "VPN-FT3016-02" set language simch set optimize antivirus set sslvpn-sport 443 set timezone 55 end show system interface 查看接口配置 显示结果如下 edit "internal" set vdom "root" set ip set allowaccess ping https ssh snmp http telnet set dns-query recursive set type physical next get system inter physical查看物理接口状态,,如果不加physical参数可以显示逻辑vpn接口的状态 ==[port1] mode: static ip: status: up speed: 100Mbps Duplex: Full ==[port2] mode: static ip: status: up speed: 1000Mbps Duplex: Full show router static 查看默认路由的配置 显示结果如下 config router static
FortiGate产品安装及快速配置 Fortinet公司是全球网络安全行业领导者,FortiGate正是这家公司的旗舰产品。FortiGate拥有强大的网络和安全功能,服务于全球数万家客户,产品型号也是业界覆盖最广的,从几十兆产品到几百G产品,能够满足不同规模用户的使用需求。对于大企业和运营商客户来说,IT人员能力强,资源多,对于设备的配置自然不在话下。但是对于规模不大的中小企业来说,IT人员的运维能力可能就没有那么强了。 大家印象中传统的企业级设备配置安装都比较麻烦,友好性远不如家用路由器。因此很多用户也希望他们购买的企业级产品能够像家用级设备一样简单配置。FortiGate就是一款这样的产品。我们以FortiGate-90D-POE设备为演示,来为大家介绍一下FortiGate产品的安装、配置。后续我们还会有设备功能的使用介绍。 图1:FortiGate-90D-POE包装 图2:FortiGate-90D-POE和配件
如上图所示,FortiGate-90D-POE内置了电源,光盘,手册,RJ45网线和一根USB 管理数据线。PC可以通过USB管理数据线,使用FortiExplorer软件实现设备的快速配置。稍后我们会有讲解。 图3:FortiGate-90D-POE前面板和后面板 如图3,前面板的左侧接口是用于调试的console口,中间四个灯为电源,状态等指示灯,右侧的双排指示灯是WAN口和交换口的状态指示灯,红色的ABCD四个灯标示了POE供电的四个接口。后面板的左侧为电源接口,螺丝钉为固定地线用,避免在漏电的情况下用户触电。螺丝钉下面的接口为USB2.0小接口,用于手机连接设备进行配置。再往右两个为USB管理口。后面板上的16个接口中,最右面两个为WAN口,其余14个为交换接口,红色标示的ABCD接口为POE供电口。 FortiGate管理方式 图4:接口示意图
手把手学配置FortiGate设备FortiGate Cookbook FortiOS 4.0 MR3
目录 介绍 (1) 有关本书中使用的IP地址 (3) 关于FortiGate设备 (3) 管理界面 (5) 基于Web的管理器 (5) CLI 命令行界面管理 (5) FortiExplorer (6) FortiGate产品注册 (6) 更多信息 (7) 飞塔知识库(Knowledge Base) (7) 培训 (7) 技术文档 (7) 客户服务与技术支持 (8) FortiGate新设备的安装与初始化 (9) 将运行于NAT/路由模式的FortiGate设备连接到互联网 (10) 面临的问题 (10) 解决方法 (11) 结果 (13) 一步完成私有网络到互联网的连接 (14) 面临的问题 (14) 解决方法 (15) 结果 (16) 如果这样的配置运行不通怎么办? (17) 使用FortiGate配置向导一步完成更改内网地址 (20) 面临的问题 (20) 解决方法 (20) 结果 (22) NAT/路由模式安装的故障诊断与排除 (23) 面临的问题 (23) 解决方法 (23) 不更改网络配置部署FortiGate设备(透明模式) (26)
解决方法 (27) 结果 (30) 透明模式安装的故障诊断与排除 (31) 面临的问题 (31) 解决方法 (32) 当前固件版本验证与升级 (36) 面临的问题 (36) 解决方法 (36) 结果 (39) FortiGuard服务连接及故障诊断与排除 (41) 面临的问题 (41) 解决方法 (42) 在FortiGate设备中建立管理帐户 (48) 面临的问题 (48) 解决方法 (48) 结果 (49) FortiGate设备高级安装与设置 (51) 将FortiGate设备连接到两个ISP保证冗余的互联网连接 (52) 面临的问题 (52) 解决方法 (53) 结果 (60) 使用调制解调器建立到互联网的冗余连接 (63) 面临的问题 (63) 解决方法 (64) 结果 (70) 使用基于使用率的ECMP在冗余链路间分配会话 (70) 面临的问题 (70) 解决方法 (71) 结果 (73) 保护DMZ网络中的web服务器 (74) 面临的问题 (74) 解决方法 (75) 结果 (81) 在不更改网络设置的情况下配置FortiGate设备保护邮件服务器(透明模式) (86)
Fortinet产品家族 fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件,日志,报告,网络管理,安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。 更多fortinet产品信息,详见 https://www.doczj.com/doc/2d7068599.html,/products. FortiGuard服务订制 fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。fortiguard服务均以最新的安全技术构建,以最低 的运行成本考虑设计。
fortiguard 服务订制包括: 1、fortiguard 反病毒服务 2、 fortiguard 入侵防护(ips)服务 3、 fortiguard 网页过滤服务 4、fortiguard 垃圾邮件过滤服务 5、fortiguard premier伙伴服务 并可获得在线病毒扫描与病毒信息查看服务。 FortiClient forticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。 forticlient的功能包括: 1、建立与远程网络的vpn连接
2、病毒实时防护 3、防止修改windows注册表 4、病毒扫描 forticlient还提供了无人值守的安装模式,管理员能够有效的将预先配置的forticlient分配到 几个用户的计算机。 FortiMail fortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。fortimail 单元在检测与屏蔽恶意附件例如dcc(distributed checksum clearinghouse)与bayesian扫描方面具有可靠的高性能。在fortinet卓越的fortios 与fortiasic技术的支持下,fortimail反病毒技术深入扩展到全部的内容检测功能,能够检测到最新的 邮件威胁。
1.FortiGate-200A fortigate-200a设备包装盒中部件: 1 fortigate-200a防火墙设备 2 一根橙色以太网交叉线缆(fortinet 部件号:cc300248) 3 一根灰色以太网普通线缆(fortinet 部件号:cc300249) 4 一根rj-45到db-9串连线缆(fortinet 部件号:cc300302) 5 两个19英寸大小的安装架 6 一根电源线 7 fortigate-200a设备快速启动指南册页 8 fortinet技术手册cd一张 图1:fortigate-200a设备部件 安装 fortigate-200a可以固定在标准的19英寸的机架上。需要占据机架1u的垂直空间。fortigate-200a 设备也可作为独立的器件放置在任何水平的表面。 表1:技术参数
尺寸:16.8×10×1.75英尺(42×25.4×4.5厘米) 重量:7.3磅(3.3千克) 功率:最大功率:50w 工作需求: ac输入电压:100至240vac ac输入电流:1.6a 频率:50至60hz 工作温度:32至104华氏度(0至40度摄氏度) 工作环境: 放置温度:-13至158华氏度(-25至70摄氏度) 湿度:5至95%(非冷凝) 2.启动FortiGate设备 1. 确定fortigate设备背面的电源开关是关闭的。 2. 将电源线与位于fortigate设备背面的电源接口连接。 3. 将电源线连接到电源插座。 4. 闭合电源开关。 数秒后, led 显示system staring(系统启动)。
系统启动后,led显示menu (主菜单)。 fortigate设备开始运行,led指示灯亮起。fortigate设备启动过程中led状态指示灯闪烁并在设备启动后保持亮着状态。 表6:led显示 关闭fortigate设备 请在闭合电源开关之前,关掉fortigate操作系统,以免造成硬件损伤。 关闭fortigate设备 1. 访问基于web的管理器,进入系统] 状态] 系统状态, 选择关闭系统,然后点击“确认”关闭系统;或者在命令行接口(cli)中,输入execute shutdown 2. 关闭电源开关。 3. 将电缆线从电源连接处拔掉。
飞塔防火墙f o r t i g a t e的s h o w命令显示相关配 置 YKK standardization office【 YKK5AB- YKK08- YKK2C- YKK18】
飞塔fortigate的show显示相关,而使用get显示实时状态 show full-configuration显示当前完全 show system global 查看主机名,管理端口 显示结果如下 config system global set admin-sport 10443 set admintimeout 480 set hostname "VPN-FT3016-02" set language simch set optimize antivirus set sslvpn-sport 443 set timezone 55 end show system interface 查看接口配置 显示结果如下 edit "internal" set vdom "root" set ip set allowaccess ping https ssh snmp http telnet set dns-query recursive set type physical next get system inter physical查看物理接口状态,,如果不加physical参数可以显示逻辑vpn接口的状态 ==[port1] mode: static ip: status: up speed: 100Mbps Duplex: Full ==[port2] mode: static ip: status: up speed: 1000Mbps Duplex: Full show router static 查看默认路由的配置 显示结果如下 config router static
FortiGate飞塔防火墙简明配置指南 说明:本文档针对所有飞塔 FortiGate设备的基本上网配置说明指南。 要求:FortiGate? 网络安全平台,支持的系统版本为FortiOS v3.0及更高。 步骤一:访问防火墙 连线:通过PC与防火墙直连需要交叉线(internal接口可以用直通线),也可用直通线经过交换机与防火墙连接。防火墙出厂接口配置:Internal或port1:192.168.1.99/24,访问方式:https、ping 把PC的IP设为同一网段后(例192.168.1.10/24),即可以在浏览器中访问防火墙https://192.168.1.99 防火墙的出厂帐户为admin,密码为空 登陆到web管理页面后默认的语言为英文,可以改为中文 在system----admin----settings中,将Idle TimeOut(超时时间)改为480分钟,Language 为simplified chinses (简体中文)。 如果连不上防火墙或不知道接口IP,可以通过console访问,并配置IP 连线:PC的com1(九针口)与防火墙的console(RJ45)通过console线连接,有些型号的防火墙console是九针口,这时需要console转RJ45的转接头 超级终端设置:所有程序----附件----通讯----超级终端 连接时使用选择com1,设置如下图 输入回车即可连接,如没有显示则断电重启防火墙即可
连接后会提示login,输入帐号、密码进入防火墙 查看接口IP:show system interface 配置接口IP: config system interface edit port1或internal 编辑接口 set ip 192.168.1.1 255.255.255.0 配置IP set allowaccess ping https http telnet 配置访问方式 set status up end 配置好后就可以通过网线连接并访问防火墙 步骤二:配置接口 在系统管理----网络中编辑接口配置IP和访问方式 本例中内网接口是internal,IP,192.168.1.1 访问方式,https ping http telnet 本例中外网接口是wan1,IP,192.168.100.1访问方式,https ping
设置FortiWeb基本配置 说明: 本文档针对出厂的FortiWeb基本配置进行说明。建议所有FortiWeb设备在进行简单配置后再开始部署。本文的后半部分介绍网页防篡改功能。 环境介绍: 本文使用FortiWeb1000B做演示。本文使用的系统版本为4.0.。 步骤一:访问设备 出厂设备默认的访问方式是:https、ping、ssh;接口,port1;IP,192.168.1.99; console访问方式:每秒位数9600;数据位8;奇偶校验无;停止位1;数据流控制无。 管理员登陆地址:https://192.168.1.99 登陆帐号:admin 密码为空 在命令行下恢复出厂设置的方法:execute factoryreset 步骤二:系统设置 在system—admin—settings中设置语言和超时时间 在系统—网络—接口中设置接口IP和访问方式 在系统—网络—DNS中配置DNS地址
在系统—配置—操作中设置模式 在系统—管理—管理员中设置管理员密码 点击按钮设置密码 在系统--维护—系统时间中设置时间 在路由—静态中设置路由 步骤三:网页防篡改设置 网页防篡改功能可以防止静态网页被恶意修改。它的原理是将所有静态页面备份到FortiWeb的硬盘中,并定期检查Web服务器上页面状态,当网页被恶意修改时,FortiWeb用备份页面还原,保护网站安全。 在网页防篡改中点击新建: 主机名/IP地址:输入Web服务器IP 连接类型:支持FTP,SSH和Windows共享 超过此大小的文件不做监控:默认为10M,可根据实际情况调整 不做监控的文件类型:可以规定某些较大的视频或压缩文件不做监控 文件有改动时自动恢复到改动前内容:建议勾选。开启次功能后监控文件有任何改动都会恢复到原始状态,管理员需要通过FortiWeb的上传工具更新页面。
3分钟搞定飞塔50B防火墙配置 飞塔防火墙的默认管理IP地址为192.168.1.99(internal口),可以将电脑与其internal 口进行连接,https://192.168.1.99就可以登录了,默认用户名为admin,密码为空。 该指导会完成以下功能的描述,其他功能需自己慢慢体会。 一.配置界面改中文 二.配置PPPoE和固定IP 三.封端口 四.禁止P2P,在线视频 五.升级防火墙系统软件 六.配置文件的备份和回复 七.恢复初始设置 八.恢复密码 如下图,初始配置界面是英文,通过选择System——Admin——Settings——Display setting——language——Simplified Chinese——Apply
二、PPPoE和固定IP设置 如下图,设置网络——接口——wan1——编辑
这里先配置用户名和密码,拨号成功后会获得IP地址,网关等,注意PPPoE拨号不用写路由。其他保持默认。 如果选择固定IP就用自定义。 防火墙策略
防火墙策略里面有很多选项,这里就不一一讲解了,只说我们会用到的方面。防火墙是有一个默认的策略在里面,all到all的全部都放通。 这里可以对策略进行配置,做到精确匹配。
这里可以配置每个主机的地址,调用在策略上方便管理。封端口 在服务——定制——新建 这里我新建了一个服务是封17991端口
流量整形器可以做共享和每IP的流量控制。具体可以自行操作。 虚拟IP的设置: 虚拟IP主要的作用是把内网主机的端口,映射到外网IP的端口地址,典型应用主要在总部,总部将内部主机17991,3000端口等映射出外网,让营业部的通信平台进行连接。 保护内容表 防护墙的保护内容表的内容是在UTM中进行设备,然后在这里统一调用的。所以我们要现在UTM功能区里做好内容。
FORTINET设置FortiGate目录服务认证 银兴技术支持QQ2642662476 说明: 本文档针对所有FortiGate设备的目录服务配置进行说明。目录服务指FortiGate从AD服务器上取得域用户信息,当用户登录到域时该用户信息会传到FortiGate,从而允许用户访问互联网。即可以实现单点认证功能。当用户不在域时FortiGate则不允许该用户上网。 环境介绍: 本文使用FortiGate400A做演示。本文支持的系统版本为FortiOS v3.0及更高。 AD服务器IP :192.168.100.21 DNS:192.168.100.21 用户电脑IP:192.168.100.22 DNS:192.168.100.21 步骤一:在AD上安装FSAE软件 在AD上安装FSAE_Setup_3.5.041.exe。提示的内容一般不需要更改,一直点击下一步直到安装完成。接着会提示安装DC Agent,继续安装,点击下一步直到安装完成。 (点击放大) 点击configure FSAE,界面如上图: 在Authentication选项下勾选Require authenticated Password: 输入认证密码,该密码必须与下一步目录服务中的密码一致 点击Apply或Save&close保存 步骤二:配置目录服务 在防火墙中配置:设置用户----目录服务,点击新建 FortiClient AD:输入一个名称 FSAE Collector IP/名称:AD服务器的IP 密码:输入密码,与上一步中密码一致点击OK (点击放大)
然后防火墙就会收集到AD服务器上的目录信息,展开可以查看 (点击放大) 步骤三:配置用户组 在设置用户----用户组中点击新建 名称:输入一个名称 类别:选目录服务 成员:可用的用户组 组员:选择哪些用户组需要认证,即哪些用户可以上网 (点击放大) 步骤四:配置策略 在防火墙----策略中编辑出网策略,勾选启用基于用户认证的策略,点击添加(点击放大)