下载文档原格式
目录第9章 IPv6基础配置.............................................................................................................9-19.1 简介....................................................................................................................................9-19.1.1 IPv6协议特点..........................................................................................................9-19.1.2 IPv6地址.................................................................................................................9-39.1.3 IPv6邻居发现..........................................................................................................9-69.1.4 PMTU发现..............................................................................................................9-89.1.5 FIB...........................................................................................................................9-99.1.6 参考信息..................................................................................................................9-99.2 配置接口的IPv6地址.......................................................................................................9-109.2.1 建立配置任务.........................................................................................................9-109.2.2 启动IPv6报文转发功能.........................................................................................9-119.2.3 配置接口的IPv6地址............................................................................................9-119.2.4 检查配置结果.........................................................................................................9-129.3 配置IPv6 ND...................................................................................................................9-129.3.1 建立配置任务.........................................................................................................9-129.3.2 配置静态邻居.........................................................................................................9-139.3.3 配置RA消息的相关参数.......................................................................................9-149.3.4 配置ND的跳数限制..............................................................................................9-149.3.5 设置自动配置的标志位..........................................................................................9-149.3.6 配置ND的参数.....................................................................................................9-159.3.7 检查配置结果.........................................................................................................9-159.4 配置PMTU.......................................................................................................................9-169.4.1 建立配置任务.........................................................................................................9-169.4.2 配置指定地址的PMTU..........................................................................................9-169.4.3 配置PMTU老化时间.............................................................................................9-179.4.4 检查配置结果.........................................................................................................9-179.5 配置TCP6........................................................................................................................9-179.5.1 建立配置任务.........................................................................................................9-179.5.2 配置TCP6的定时器..............................................................................................9-189.5.3 配置TCP6缓冲区的大小.......................................................................................9-189.5.4 检查配置结果.........................................................................................................9-189.6 启动FIB缓存能力............................................................................................................9-199.6.1 建立配置任务.........................................................................................................9-199.6.2 启动路由器的FIB缓存能力...................................................................................9-199.6.3 检查配置结果.........................................................................................................9-209.7 维护IPv6..........................................................................................................................9-209.7.1 清除运行信息.........................................................................................................9-209.7.2 调试IPv6...............................................................................................................9-21 9.8 配置IPv6地址举例..........................................................................................................9-21 9.9 故障处理...........................................................................................................................9-25第9章 IPv6基础配置IPv6(Internet Protocol Version 6)是IPv4的升级版本。
HillStone SA-2001配置手册之南宫帮珍创作1网络端口配置22防火墙设置123VPN配置144流量控制的配置245基础配置35本文是基于平安网关把持系统为进行编写, 如版天职歧, 配置过程有可能纷歧样.1 网络端口配置SA-2001平安网关前面板有5个千兆电口、1个配置口、1个CLR 按键、1个USB接口以及状态指示灯.下图为SA-2001的前面板示意图:将网线接入到E0/0.防火墙的ethernet0/0接口配有默认IP地址, 但该端口没有设置为DHCP服务器为客户端提供IP地址, 因此需要将PC机的IP地址设置为同一网段, 例如192.168.1.2/24才华连上防火墙.通过IE翻开192.168.1.1, 然后输入默认的用户名和密码(均为hillstone)登录后的首页面.可以看到CPU、内存、会话等使用情况.很多品牌的防火墙或者路由器等, 在默认情况下内网端口都是划分好而且形成一个小型交换机的, 可是hillstone的产物却需要自己手工设置.在本文档中, 我们准备将E0/0划分为UNTRUST口连接互联网, E0/1~E0/4总共4个端口我们则划到一个交换机中并作为TRUST口连接内网.在网络-接口界面中, 新建一个bgroup端口, 该端口是一个虚拟的端口.因为bgroup1接口需要提供路由功能, 因此需要划入到三层平安域(trust)中.输入由集团信息中心提供的IP地址.在管理设置中, 尽量将各个管理功能的协议翻开, 尤其是HTTP功能.建好bgroup1之后, 对网络-接口页面中的e0/1~e0/4分别修改, 依次将它们划归为bgroup1.设置好交换机功能后, 还需要设置DHCP功能, 以便PC机接入时可以自动获取IP地址.新建一个DHCP地址池根据集团信息中心提供的IP地址段设置IP地址池. 租约里尽量将时间设年夜一些, 这样在追查记录的时候, 不会因为PC机的IP地址频繁发生变更而难以追踪.确定之后, POOL1的地址则建好了, 不外, 还需要修改DNS才华让PC机可以访问到集团内网.编纂POOL1进入高级配置界面. DNS1和DNS2分别设置为集团总部的10.0.1.11和10.0.1.13两个DNS.设置完地址池之后, 需要将该地址池捆绑到bgroup1以便让bgroup1可以为PC机分配IP地址.确认以上步伐把持胜利后, 将原来连接到E0/0的网线任意拔出到E0/1~E0/4的一个端口中, 看看PC机是否可以获取到IP地址了.通过IPCONFIG/ALL命令可以看到, PC机这时候已经获取到IP及DNS了.将原来的IE浏览器关闭, 重新翻开IE浏览器、输入网关地址(即bgroup1的地址)并输入用户名密码.确认完E0/1-4的任意一个TRUST口能获取IP后, 即可修改E0/0为对外连接端口.本文档中是以E0/0为ADSL拨号连接为示例.新建一个PPPOE配置输入ADSL的用户名及密码.将自动重连间隔修改为1, 否则ADSL不会自动重拨.默认配置中, E0/0是属于trust域的, 需要将该端口修改为untrust并将PPPOE捆绑到该端口.点击网络-接口, 并修改E0/0的设置.启用设置路由.管理的协议中, 原来默认均开启了e0/0所有的管理端口, 我们可以在稍后确认所有的配置均调试完毕后关闭一些协议以增强防火墙的平安性.点击确定后, 可以看到e0/0已经划入到untrust的平安域中.2 防火墙设置源NAT规则指定是否对符合条件的流量的源IP地址做NAT转换.通过基本选项的配置指定源NAT规则中流量应符合的条件.符合条件的流量才华依照规则指定的行为进行转换.HillStone平安网关与其他品牌的防火墙在战略配置中的其中一个区别就是NAT设置.其他防火墙一般都是自动设置好, 但在HillStone中, 必需要手工将上网行为和访问内网的NAT战略明确区分才行.建立一条让项目PC可以访问互联网时进行NAT转换的战略.在防火墙-NAT-源NAT中新建一条基本配置的战略源地址选择ipv4.bgroup1_subnet, 出接口仍然是选择e0/0.行为选择NAT(出接口IP)NAT战略建立好之后, 在防火墙-战略中需要新建访问战略.源平安域选择trust, 目的平安域选择untrust, 点击新建服务簿中选择ANY, 即默认允许所有的网络应用均可使用.行为默认为允许3 VPN配置设置完网络端口的配置之后, 开始设置VPN.HillStone的VPN设置跟5GT或者FVS114有点区别, 需要手工先设置合适的P1提议和P2提议.点击VPN-IPSec VPN.在P1提议中新建一个提议, 如gemdale-p1.集团现在均使用pre-shared key-MD5-3DES-Group2的加密战略.同样的方式再新建一个P2.选用ESP-MD5-3DES-No PFS新建完P1和P2之后, 开始新建一个IPSec VPN.在IKE VPN列表中点新建输入对端名称gemdale(可以随便起名, 分歧防火墙设备均可以设置相同的名字.为方便识别, 这里可以统一设置为gemdale).接口设置为对外连接的端口-E/0. 模式为野蛮模式(aggressive mode).静态IP61.144.195.60指向集团总部防火墙.本地ID一定要设置, 一般由集团信息中心提供(常为城市+项目名+用途, 如上海赵巷项目部为shzhaoxxmb).对端ID可以不用设置.提议1则选用前面新增的gemdale-p1.共享密钥为便于记忆可以设置与本地ID一致.(这些设置均须与集团信息中心协商)点击高级,增加DPD功能:勾选对端存活体检测(DPD)设置好步伐1之后, 点击步伐2:隧道为便于管理, 隧道的名称与本地ID值一致.模式为tunnel, 提议名称选用前面设置好的gemdale-p2.自动连接:配置自动连接功能.默认情况下, 该功能是关闭的, 选择<启用>复选框开启该功能.平安网关提供两种触发建立SA的方式:自动方式和流量触发方式.自动方式时, 设备每60秒检查一次SA的状态, 如果SA未建立则自动发起协商请求;流量触发方式时, 当有数据流量需要通过隧道进行传输时, 该隧道才发起协商请求.默认情况下, 系统使用流量触发方式.为了访问集团内网, 需要制定一条不需要NAT转换的战略.点击防火墙-NAT-源NAT, 在源NAT列表中, 新建一条高级配置在源地址的地址簿中选择ipv4.bgroup1_subnet, 这个就是平安网关的内部网段.在目的地址中, 如果之前没有在对象-地址簿中建立过集团总部网段的信息, 则可以直接通过点目的地址的地址簿, 下拉菜单中会有【新建…】的提示点击【新建…】之后呈现下面的地址簿配置界面.名称起集团总部建好集团总部这个地址簿之后, 在目的地址的地址簿中就可以选择集团总部.出接口选择e0/0, 行为选择不做NAT除建立一条访问集团总部内网的NAT战略之外, 还需要继续新建VPN访问的战略.同样, 在防火墙-战略中, 选择新建一条从trust到untrust的战略.源地址选择, 目的地址选择集团总部, 行为选择【隧道】, 隧道中选择之前在VPN建好的IPSEC VPN战略.将双向VPN战略构选, 这样, 就不需要再建一条从untrust到trust的VPN防火墙战略了(如果配置的时候忘记构选该选项, 则需要再新建一条untrust到trust的战略, 行为则要选择来自隧道).此时, 点防火墙-战略可以看到之前设置好的3条战略.如果新建战略的时候顺序反了, 例如新建了VPN的防火墙战略之后再建上网战略, 则需要将点将顺序对换一下.下图为顺序建反的情况, 必需要将ANY到ANY的战略放在VPN防火墙战略的下面, 即将ID为1的战略放在ID为2的战略下面.4 流量控制的配置使用HillStone的最年夜目的则是利用其丰富的流量控制管理功能实现项目上的网络流量控制.默认情况下, 平安网关没有翻开应用识别功能, 需要在网络-平安域中, 将trust或者untrust或者两个平安域的应用识别启用.4.1 P2P限流对P2P流量, 可以实行限流.即允许用户使用迅雷或者电驴等软件, 但流量做了特另外限制, 例如只允许上下行带宽为32kbps (相当于4Kbyte/秒).这里可以根据各项目的实际情况而放宽流量的年夜小.在QoS-应用QoS中添加一条控制战略.例如, 规则名称起名为gemdale-p2p流量, 接口绑定到bgroup1, 应用选择P2P下载、P2P视频和HTTP_Download(这里的HTTP_Download其实不是是指IE中的直接下载, 而是指封堵迅雷中的80端口P2P下载功能).注意上行和下行.HillStone中对上行和下行的界说与在一些专业级路由器相似, 即根据端口的进出来决定上行还是下行.对bgroup1, PC机的下载流量对这个端口而言是出去的流量, 因此是上行流量;而PC机上传的流量对这个端口而言是进到平安网关的流量, 因此是下行流量.4.2 禁止P2P流量除限流这种控制方式之外, 我们也可以选择直接禁止P2P流量.在对象-服务簿中, 新建一个自界说服务组, 并将P2P所用到的协议划分到该服务组中.例如, 组名可以起禁止P2P服务, 组成员选择P2P下载、P2P视频和HTTP_Download(这里的HTTP_Download其实不是是指IE中的直接下载, 而是指封堵迅雷中的80端口P2P下载功能).建好自界说服务组之后, 在防火墙-战略中新建一条从trust到untrust的战略, 该战略用于禁止P2P流量的下载.在服务簿中选择之前建好的禁止P2P服务, 然后行为在选择拒绝.建好战略之后, 可以看到新建的战略是位于默认上网战略(ID 1)下面的, 因此, 还需要将该禁止战略放在ANY到ANY战略的上面.点击对其进行调整.将该条战略规则移到默认上网战略(ID 1)的前面移完之后再确认一下配置是否正确4.3 IP流量控制除控制P2P流量之外, 我们还要对单个IP进行流量控制.这是基于一下几点考虑的:一、有可能P2P的软件不竭更新, 而平安网关的应用特征库没有及时更新, 可能会招致新的P2P流量呈现从而招致带宽资源全部被占用;二、PC也有可能中病毒而发生年夜流量从而招致带宽资源全部被占用;三、用户有可能通过IE直接下载一些年夜流量的软件在QoS-IP QoS中新建一个规则.规则名称起名gemdale-qos;接口绑定到bgroup1;IP地址从地址簿的下拉菜单中选择ipv4.bgroup1_subnet;对项目部, 年夜大都都是选用2M的ADSL(下载到2M, 上传到512K), 因此, 可以考虑将每个IP的流量限制在上行400kbps, 下行100kbps.注意上行和下行.HillStone中对上行和下行的界说与在一些专业级路由器相似, 即根据端口的进出来决定上行还是下行.对bgroup1, PC机的下载流量对这个端口而言是出去的流量, 因此是上行流量;而PC机上传的流量对这个端口而言是进到平安网关的流量, 因此是下行流量.4.4 时间的设置如果需要设置人性化的流量管理, 可以考虑将时间考虑进去.例如, 可以计划每天早上8:30到晚上8点半这个时间段禁止(或者限流)进行P2P的下载.在对象-时间内外新建一个时间表.在防火墙-战略中找到禁止P2P服务的规则, 对它进行编纂, 并将时间表的下拉菜单中选择之前新建的时间表规则.如果是限流P2P流量的设置, 则在QoS-应用Qos中将上下行的时间表选中如果是对IP限流, 则在QoS-IP QoS中增加上下行的时间表4.5 统计功能默认情况下, 平安网关没有将流量情况进行统计, 需要根据实际情况开启自己所需的功能.在监控-统计集里, 构选接口+IP+应用带宽.(如果需要一登录平安网关即可在首页里看到统计, 则还需要构选系统全局统计中的IP上下行带宽等.构选完毕之后, 在监控-统计集里可以选择bgroup1看到项目上PC使用网络的情况.首页的界面可以看到前10IP的上下行带宽.创作时间:二零二一年六月三十日不外, 所有这些监控菜单中的统计数据均寄存在设备的缓存中而已, 一旦平安网关重启则全部丧失.如果配合HIllStone的HSM网管平台则可以解决这个问题.5 基础配置新设备购买过来之后, license一般都还没更新, 需要让供应商将合法的License发给我们后自行更新.2010年1月1日之后, License至少有两个, 一个是基础平台, 一个是QOS.升级如下:上图是两个License.升级的时候将license:开头的一段拷贝到系统-许可证-许可证装置下面的手工框里, 然后点确认.每导入一个License, 系统会提示需要重启等两个license均导入之后点击右上角的重启确认即可.为便于对设备进行管理, 可以为每台设备起一个名称, 如果有网管软件的时候尤其重要.在系统-设备管理-基本信息中, 为该主机名称起一个名字同时, 为平安起见, 需要修改登录密码.在平安性方面, 为防止外部一些攻击, 可以将连接互联网的E0/0的管理端口适当关闭(在网络-接口).例如, 仅开放HTTPS.全部配置确认完毕, 功能也均测试完毕之后, 可以将该配置进行备份.创作时间:二零二一年六月三十日。
金钱猫EOC头端配置简要
欧阳光明(2021.03.07)
设备端口简介:Console口为串口,主要仇家端进行软件升级等操纵Eth1口为上联口与ONU相连
Eth2口为测试口,在WEB对这个端口进行配置可以测试宽带,互动等
Eth3口为管理口,登岸头端web管理网页,登岸地址192.168.10.1
一、登录头端设备。
首先将电脑本地IP地址修改成192.168.10.xxx 即10网段地址即可。
网线连接电脑到EOC头端Eth3口,IE浏览器登录IP地址192.168.10.1(用户名:admin密码:admin)进入金钱猫WEB管理配置界面。
二、配置VLAN。
点击本地端口呈现配置VLAN界面。
点击上图中红色标1处添加新的业务VLAN,添加了vlan后对相应vlan进行编辑,上图标2处编辑为TAG。
若要对业务VLAN 如1225宽带在二口进行测试,就要将3处编辑为untag,且在4处将PVID改成相应业务VLAN号1225。
若为测试宽带即可在头端二口进行拨号。
三、模板配置
点击“业务管理—模板管理”如下图所示
点击1新建模板。
呈现下图在设备暗示符填写终端设备型号。
在模板页面最下面端口PVID处对应端口写上对应的VLAN号如一口为宽带1225,二口为互动701。
模板建好后在上图2处将“自动匹配模板功能”选择为开启。
四、保管配置。
杭州初灵EOC故障维护手册1.1状态指示灯解析: (2)2.1 总结几种实际应用中的频谱情况: (2)3.1实际运用中出现的几个案例: (7)3.1.1个别用户终端时常断线、速度很低、丢包严重; (7)3.1.2单个局端下多个用户常集体掉线; (8)3.1.3用户家中安装后,EOC终端的cab灯不亮; (9)3.1.4用户EOC终端的三个灯均亮但是就是上不了线; (9)3.1.5在用户家发现只有一个power灯亮; (9)3.1.6用户家里发现有几个频道出现不清楚或者有几个频道直接就没有; (10)3.1.7光机处放两个EOC头端,用户家发现时通时不通; (10)3.1.8用户家的点播或上网正常但客厅的电视有些频道不清楚; (10)3.1.9一切正常但是用户家里点播就是上不去; (10)3.1.10特殊案例、ONU故障现象 (10)3.1.11无法获取ip地址 (11)1.1状态指示灯解析:在局端和终端上都有“PWR ”灯、“LINK”灯和“CAB”等。
PWR:电源指示灯;LINK:以太网连接指示灯;CAB:设备工作灯;1、从“POWER”灯口显示现象,对局端或终端设备电源故障排查:2、 PWR灯正常亮时,代表设备供电正常,并且自检通过,设备硬件正常;3、 PWR灯闪烁时,表明设备供电正常,但自检不通过,设备硬件有故障或软件运行有问题。
4、 PWR灯不亮时,表明设备供电不正常,设备硬件有故障或供电电源有问题,建议更换AC/DC电源适配器。
5、从“Link”灯口显示现象,终端设备和电脑或机顶盒连接性故障排查:6、 LINK灯正常亮时表明终端与电脑或机顶盒通信正常。
7、 LINK灯不亮,终端以太网口没有连接到电脑等网口上8、 LINK灯不亮,网线或网卡可能有问题,请检查网线是否可以正常使用9、 LINK灯不亮或时亮时不亮,电脑等设备的往口是否已经有松动等接触不良现象。
10、 LINK灯3秒钟的闪亮周期,设备本身已经损坏,请速与厂家联系11、从“CAB”灯口显示现象,对局端或终端设备或连接性故障排查:12、设备CAB灯正常亮,且有点微微的闪动表明设备连接,通信正常。
