ICG2000信息通信網(wǎng)關(guān)配置與維護(hù)v2.01

配置與維護(hù)商務(wù)領(lǐng)航ICG2000信息通信網(wǎng)關(guān)V2.01熟悉商務(wù)領(lǐng)航定制終端和ICG關(guān)系熟悉定制終端現(xiàn)有WEB網(wǎng)管熟悉定制終端基本故障處理課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：產(chǎn)品概述WEB基本功能配置高級功能配置介紹常見問題分析目錄ICG2000外觀Reset鍵孔USB接口，可以連接FAT16/32格式USB存儲介質(zhì)電源接口電源開關(guān)SIC/DSIC靈活插槽E0/1~E0/4，LAN接口E0/0，WAN接口WLAN天線接地螺栓Console/AUX接口PWR、WLAN、SYS、ETH指示燈FE服務(wù)器DMZ傳統(tǒng)用戶用戶側(cè)電信側(cè)L2FWRouterH3CICG2000IP電話ICG2000可以為50人左右的小型企業(yè)或小型分支，提供一體化的寬帶、安全、語音、WiFi接入，在運(yùn)營商為接入單位提供統(tǒng)一的信息通信服務(wù)。應(yīng)用控制傳統(tǒng)用戶流量統(tǒng)計(jì)分析多功能和高性能的完美結(jié)合路由以太網(wǎng)交換防火墻防攻擊應(yīng)用控制流量統(tǒng)計(jì)/限速WLAN語音IPSec產(chǎn)品概述WEB基本功能配置高級功能配置常見問題分析目錄網(wǎng)絡(luò)連接示意ICG2000Internet接入交換機(jī)BBMSWAN連接內(nèi)部交換機(jī)/HUBVLAN-Interface1<地址>/24<角色>PC上網(wǎng)網(wǎng)關(guān)DHCP服務(wù)器DNS代理服務(wù)器打開WEB網(wǎng)管頁面并登錄用戶名useradmin密碼admin!@#$%^還需要輸入校驗(yàn)碼登錄版本：H3CICG2000_CTCWM520E1710設(shè)備概覽基本業(yè)務(wù)配置向?qū)гO(shè)備升級配置保存WEB網(wǎng)管基本功能配置基本業(yè)務(wù)配置向?qū)С鰪S已經(jīng)配置LAN口和WLANLAN口地址即vlan-interface1接口地址/24，建議不修改，修改會導(dǎo)致WEB連接中斷，必須重新登錄LAN口默認(rèn)已經(jīng)打開DHCP功能，能夠?yàn)長AN接入PC分配IP地址，同時(shí)指定為網(wǎng)關(guān)地址，建議不修改網(wǎng)關(guān)地址LAN口DHCP默認(rèn)分配DNS地址為，可以在向?qū)е行薷腄NS地址WLAN默認(rèn)已經(jīng)打開WEP連接認(rèn)證，認(rèn)證密碼可以在隨機(jī)手冊底面找到，建議不修改WAN口配置配置WAN口為PPPoE配置WAN口為靜態(tài)IP方式，同時(shí)配置WAN口網(wǎng)關(guān)、DNS服務(wù)器以上2種方式任選一種配置完成后既可以訪問Internet基本業(yè)務(wù)配置向?qū)В?）基本業(yè)務(wù)配置向?qū)В?）基本業(yè)務(wù)配置向?qū)В?）缺省vlan-interface1IP地址/24基本業(yè)務(wù)配置向?qū)В?）基本業(yè)務(wù)配置向?qū)В?）基本業(yè)務(wù)配置向?qū)В?）基本連通性診斷測試DNS連通性診斷測試基本業(yè)務(wù)配置向?qū)гO(shè)備升級配置保存WEB網(wǎng)管基本功能配置設(shè)備升級原理將設(shè)備當(dāng)前運(yùn)行的操作系統(tǒng)文件替換成其它操作系統(tǒng)文件并運(yùn)行稱為升級，可以分成2個(gè)過程操作系統(tǒng)文件也稱為啟動文件，文件名為main.bin，main.bin大小一般為13M，存放在ICG200016MFlash中，所以必須使用新文件覆蓋老文件方式替換，覆蓋方式有2種以U盤內(nèi)新文件覆蓋設(shè)備上舊文件通過網(wǎng)絡(luò)方式覆蓋設(shè)備上舊文件重新啟動，即以新文件啟動設(shè)備可以在WEB中選擇重啟可以通過硬件開關(guān)重啟升級過程中切勿斷電通過U盤覆蓋舊文件準(zhǔn)備事項(xiàng)Console線，通過超級終端登錄ICG2000命令行版本文件U盤注意事項(xiàng)U盤文件備份，以免文件丟失，強(qiáng)烈推薦，然后可以將U盤格式化將新文件拷入U(xiǎn)盤，文件名必須是英文，如“E1710.bin”把U盤插入ICG2000通過命令行對ICG2000進(jìn)行文件覆蓋操作舉例從R1618P01升級到E1710從E1710升級到其余版本要注意命令行變化連接Console線和使用超級終端Console線Con/AUX打開超級終端命令行操作（1）pwd顯示當(dāng)前工作目錄presentworkingdirectorydir顯示當(dāng)前目錄內(nèi)容directory顯示當(dāng)前和下次啟動文件命令行操作（2）uf1:insertedintoslot0提示USB設(shè)備插入cd轉(zhuǎn)換當(dāng)前目錄到uf1:/changedirectorypwd顯示當(dāng)前工作目錄presentworkingdirectorydir顯示當(dāng)前目錄內(nèi)容directorycopy文件拷貝，把uf1:/e1710.bin拷貝到flash:/main.bin提示是否要執(zhí)行拷貝以及是否要覆蓋原有文件拷貝成功通過網(wǎng)絡(luò)覆蓋舊文件準(zhǔn)備事項(xiàng)網(wǎng)絡(luò)連接和TFTP服務(wù)器，如Cisco-TFTPServer版本文件命令行條件如telnet或console注意事項(xiàng)學(xué)會設(shè)置TFTP服務(wù)器覆蓋失敗要嘗試再次上傳直到成功為止，覆蓋失敗切勿斷電舉例從R1618P01升級到E1710從E1710升級到其余版本要注意WEB頁面變化網(wǎng)絡(luò)連接和文件準(zhǔn)備VLAN1GatewayDHCP-ServerDNSDHCP-ClientConsole準(zhǔn)備TFTP服務(wù)器版本文件TFTP服務(wù)器設(shè)置WEB操作（1）WEB操作（2）WEB操作（3）升級時(shí)間較長，在讀寫Flash期間，Console操作響應(yīng)慢！文件覆蓋完成后重啟設(shè)備確保文件成功覆蓋后才能進(jìn)行重啟操作，否則設(shè)備將無法正常啟動重啟前先保存配置，避免當(dāng)前配置丟失WEB中保存配置命令行中通過save命令保存硬重啟通過斷電、重新上電方式重啟，如：電源關(guān)開軟重啟WEB中重啟命令行中通過reboot命令重啟系統(tǒng)重啟后檢查基本業(yè)務(wù)配置向?qū)гO(shè)備升級配置保存WEB網(wǎng)管基本功能配置保存配置（1）保存配置（2）保存配置（3）保存為安裝配置china2008產(chǎn)品概述WEB基本功能配置高級功能配置常見問題分析目錄防病毒、攻擊ACLIP-MAC綁定調(diào)整NAT老化時(shí)間內(nèi)部PC每IP均等限速NAT連接數(shù)限制內(nèi)部服務(wù)器設(shè)置系統(tǒng)服務(wù)端口修改基于時(shí)間段的訪問控制虛擬專用網(wǎng)高級功能配置常見防攻擊病毒ACL對常見病毒和攻擊、掃描使用的TCP、UDP端口進(jìn)行過濾端口列表較長，WEB配置復(fù)雜，可以使用命令行方式下發(fā)舉例，warm.blaster蠕蟲病毒使用如下常用端口rule1denytcpdestination-porteq4444rule2denytcpdestination-porteq135rule3denyudpdestination-porteq135詳細(xì)ACL配置腳本腳本中沒有考慮DDNS和TR-069，因?yàn)镈DNS和TR-069端口會變化，可以根據(jù)實(shí)際情況添加放行主機(jī)防攻擊ACL的應(yīng)用根據(jù)腳本配置防攻擊ACL檢查/打開防火墻應(yīng)用LAN口ACL應(yīng)用WAN口ACL[Navigator]interfaceVlan-interface1

[Navigator-Vlan-interface1]firewallpacket-filternamelandefendinbound[Navigator]interfaceEthernet0/0[Navigator-Ethernet0/0]firewallpacket-filternamewandefendinbound[Navigator]firewallenable防病毒、攻擊ACLIP-MAC綁定調(diào)整NAT老化時(shí)間內(nèi)部PC每IP均等限速NAT連接數(shù)限制內(nèi)部服務(wù)器設(shè)置系統(tǒng)服務(wù)端口修改基于時(shí)間段的訪問控制虛擬專用網(wǎng)高級功能配置IP-MAC綁定內(nèi)部網(wǎng)絡(luò)安全問題日益突出，以ARP類攻擊為主通過全局配置靜態(tài)ARP方式限制IP地址冒用普通綁定arpstatic

ip-addressmac-address

舉例：[Navigator]arpstatic0015-c50d-1903帶VLAN和接口綁定arpstatic

ip-addressmac-address

vlan-id

interface-typeinterface-number舉例：[Navigator]arpstatic0015-c50d-19031Ethernet0/3舉例：[Navigator]arpstatic0015-c50d-19031WLAN-BSS0防病毒、攻擊ACLIP-MAC綁定調(diào)整NAT老化時(shí)間內(nèi)部PC每IP均等限速NAT連接數(shù)限制內(nèi)部服務(wù)器設(shè)置系統(tǒng)服務(wù)端口修改基于時(shí)間段的訪問控制虛擬專用網(wǎng)高級功能配置調(diào)整NAT老化時(shí)間內(nèi)部PC訪問Internet的每個(gè)應(yīng)用都換占用若干個(gè)NAT表項(xiàng)，NAT表項(xiàng)過多會影響一些性能可以在不影響內(nèi)部PC使用情況下調(diào)整NAT表項(xiàng)老化時(shí)間[Navigator]nataging-timetcp300//修改TCP老化時(shí)間為300秒，默認(rèn)為86400秒[Navigator]nat

aging-timeudp180//修改UDP老化時(shí)間為180秒，默認(rèn)為300秒[Navigator]nataging-timepptp300//修改PPTP老化時(shí)間為300秒，默認(rèn)為86400秒[Navigator]nataging-timeftp-ctrl300//修改ftp-ctrl老化時(shí)間為300秒，默認(rèn)為7200秒[Navigator]nataging-timeicmp10//修改ICMP老化時(shí)間為10秒，默認(rèn)為60秒[Navigator]nataging-timedns10//修改DNS老化時(shí)間為10秒，默認(rèn)為60秒[Navigator]nataging-timetcp-fin10//修改tcp-fin老化時(shí)間為10秒，默認(rèn)為60秒[Navigator]nataging-timetcp-syn10//修改tcp-syn老化時(shí)間為10秒，默認(rèn)為60秒防病毒、攻擊ACLIP-MAC綁定調(diào)整NAT老化時(shí)間內(nèi)部PC每IP均等限速NAT連接數(shù)限制內(nèi)部服務(wù)器設(shè)置系統(tǒng)服務(wù)端口修改基于時(shí)間段的訪問控制虛擬專用網(wǎng)高級功能配置內(nèi)部PC每IP均等限速BT等P2P應(yīng)用會貪婪地占用任何帶寬為了保證內(nèi)部PC都能夠公平地享有足夠的帶寬，需要對每臺PC進(jìn)行限速，保證BT等應(yīng)用不會占用過多的帶寬配置雙向QoSCarl在LAN應(yīng)用QoSCarl[Navigator]qoscarl1source-ip-addressrangeto54per-address[Navigator]qoscarl2destination-ip-addressrangeto54per-address[Navigator]interfaceVlan-interface1[Navigator-Vlan-interface1]qoscarinboundcarl1cir512[Navigator-Vlan-interface1]qoscaroutboundcarl2cir1024防病毒、攻擊ACLIP-MAC綁定調(diào)整NAT老化時(shí)間內(nèi)部PC每IP均等限速NAT連接數(shù)限制內(nèi)部服務(wù)器設(shè)置系統(tǒng)服務(wù)端口修改基于時(shí)間段的訪問控制虛擬專用網(wǎng)高級功能配置對每臺PC的NAT連接數(shù)進(jìn)行限制防病毒、攻擊ACLIP-MAC綁定調(diào)整NAT老化時(shí)間內(nèi)部PC每IP均等限速NAT連接數(shù)限制內(nèi)部服務(wù)器設(shè)置系統(tǒng)服務(wù)端口修改基于時(shí)間段的訪問控制虛擬專用網(wǎng)高級功能配置內(nèi)部服務(wù)器配置防病毒、攻擊ACLIP-MAC綁定調(diào)整NAT老化時(shí)間內(nèi)部PC每IP均等限速NAT連接數(shù)限制內(nèi)部服務(wù)器設(shè)置系統(tǒng)服務(wù)端口修改基于時(shí)間段的訪問控制虛擬專用網(wǎng)高級功能配置系統(tǒng)服務(wù)端口修改如果配置了WANDefend防火墻策略，修改服務(wù)端口后要修改ACL，保證系統(tǒng)服務(wù)可用防病毒、攻擊ACLIP-MAC綁定調(diào)整NAT老化時(shí)間內(nèi)部PC每IP均等限速NAT連接數(shù)限制內(nèi)部服務(wù)器設(shè)置系統(tǒng)服務(wù)端口修改基于時(shí)間段的訪問控制虛擬專用網(wǎng)高級功能配置基于時(shí)間段的訪問控制防病毒、攻擊ACLIP-MAC綁定調(diào)整NAT老化時(shí)間內(nèi)部PC每IP均等限速NAT連接數(shù)限制內(nèi)部服務(wù)器設(shè)置系統(tǒng)服務(wù)端口修改基于時(shí)間段的訪問控制虛擬專用網(wǎng)高級功能配置虛擬專用網(wǎng)（IPSec）配置IPSec是在IP網(wǎng)絡(luò)中保證數(shù)據(jù)完整性、來源認(rèn)證、私密性、防重放的框架協(xié)議AH：AuthenticationHeader，通過校驗(yàn)保證數(shù)據(jù)完整性、來源認(rèn)證和防重放ESP：EncapsulatingSecurePayload，提供完整性、私密性和防重放通過數(shù)學(xué)算法在加解密雙方交換密鑰，涉及加密和校驗(yàn)的密鑰和算法、興趣流稱為SA（SecureAssociation安全聯(lián)盟），SA為IPSec配置的關(guān)鍵SA可以通過手工方式建立，配置繁瑣，密鑰需要手動更新，存在安全隱患使用IKE（InternetKeyExchange）動態(tài)協(xié)商SA，且可以動態(tài)更新、可達(dá)性檢測已經(jīng)成為IPSec中不可或缺的一部分IPSec/IKE配置流程配置IKE配置ACL確定興趣流配置IPSecProposal確定IPSec加密、校驗(yàn)配置IPSecPolicy接口應(yīng)用IPSec策略IKE全局配置IKELocalNameIKEProposalIKEDPDIKEPeer配置remote-addressremote-namelocal-addresspre-shared-keyexchange-modeid-typenattransversalIPsecPolicy配置ike-peerIPSecProposalsecurityacl設(shè)置IKELocalName配置IKEPeer設(shè)置IKEProposal配置或選擇IPSecProposal配置IPSecPolicy應(yīng)用策略產(chǎn)品概述WEB基本功能配置高級功能配置常見問題分析目錄ICG游戲?qū)箙^(qū)貴賓商務(wù)區(qū)數(shù)碼體驗(yàn)區(qū)無線體驗(yàn)區(qū)普通上網(wǎng)區(qū)VIP視頻區(qū)電影服務(wù)器游戲服務(wù)器計(jì)費(fèi)服務(wù)器監(jiān)控服務(wù)器電信視頻服務(wù)器InternetPC數(shù)、線路帶寬、業(yè)務(wù)類型等都是確定設(shè)備型號的主要因素ICG常見組網(wǎng)方案安裝前的準(zhǔn)備事項(xiàng)了解客戶網(wǎng)絡(luò)情況網(wǎng)絡(luò)情況，IP、MAC情況PC數(shù)常用業(yè)務(wù)網(wǎng)絡(luò)連接PPPo