DCME320新UI快速配置手册.docx
- 文档编号:23140981
- 上传时间:2023-05-08
- 格式:DOCX
- 页数:35
- 大小:1.57MB
DCME320新UI快速配置手册.docx
《DCME320新UI快速配置手册.docx》由会员分享,可在线阅读,更多相关《DCME320新UI快速配置手册.docx(35页珍藏版)》请在冰豆网上搜索。
DCME320新UI快速配置手册
DCME-320新UI快速配置手册
客服中心技术团队
2013.8
1.产品介绍
DCME-320多核出口网关采用MIPS64位多核高性能处理器,结合专用ASIC交换芯片,针对多用户数、多流量、多业务种类的业务需求而推出的新一代高性能互联网出口网关。
建议并发带机数量:
300
端口组成:
8GE电口+2GECombo+2USB2.0+1RJ-45Console口+1Reset键
支持接入方式:
静态IP、动态IP(DHCP获取)、PPPoE
2.快速设置上网
2.1.如何硬件连接?
首先使用网线连接设备G1口至本地管理计算机,连接电源线(220V)。
2.2.如何准备用于配置DCME-320的PC?
根据上图所示,选择使用如下IP地址,做如下配置:
IP地址:
192.168.0.10(或192.168.0.X子网内的任意地址[192.168.0.1除外])
子网掩码:
255.255.255.0
默认网关:
192.168.0.1
2.3.如何登录DCME-320?
打开PC浏览器窗口,输入http:
//192.168.0.1,并按回车。
当出现DCN网络管理登录页面,输入如下参数:
用户名:
admin
密码:
admin
验证码:
1728(每次登录验证码都会改变需要根据实际情况修改)
点击“登录”进入DCME-320WEB管理界面。
2.4.如何配置上网?
选择“快速向导”进入快速配置,两步轻松搞定上网!
2.4.1.步骤一:
设置WAN口模式
<1>根据外线数量选择“单外网口”、“双外网口”。
<2>选择连接外线的接口(HG1,HG2,G1-G8)[注意:
HG1和HG2为高安全端口拥有多种硬件防护功能从容应对各种复杂外网环境,建议外网接口选用HG端口]。
<3>线路类型:
1).如果是ADSL接入请选择“PPPoE获取地址”填入对应的“用户名”、“密码”、“上行带宽”、“下行带宽”;
2).如果是固定IP接入请选择“静态地址”填入对应的“IP/掩码长度”、“缺省网关”、“首选DNS服务器”、“备选DNS服务器”、“上行带宽”、“下行带宽”;
步骤二:
配置LAN口模式
<1>根据内网需要要划分网段数量选择“单内网口”、“双内网口”。
<2>选择用于连接内网设备的接口(G1——G8)。
<3>填入对应的“IP/掩码长度”。
<4>内网用户是否需要自动获取IP?
如果需要请启用“DHCP-Server”并填入“起始IP地址”、“结束IP地址”、“首选DNS服务器”、“备用DNS服务器”。
设置完上述两步点击“下一步”——“完成”即可实现快速上网功能。
2.5.如何恢复出厂设置?
DCME-320恢复出厂设置可以分为reset键恢复和WEB界面恢复两种方式。
如果是reset键恢复出厂设置,可以使用细的小圆棒按住reset键15s左右即可!
如果是WEB界面方式恢复进入【系统管理】--【基础选项】--【配置文件管理】如下图所示选择出厂配置后面的应用按钮即可完成出厂配置的恢复(WEB界面下恢复无需重启)。
3.端口映射
3.1.端口映射
某客户内网有一台服务器地址为192.168.1.214需要将此服务器的TCP33389端口映射到外网地址218.240.143.219的TCP33389端口。
3.1.1.建立地址簿
进入【基础网络】--【NAT选项】--【端口映射】--【新建端口映射】如下图所示
完成后点击“多个”按钮,如下图所示
地址类型:
IP成员
IP成员:
192.168.1.214(根据实际情况自行定义)
完成后点击‘添加‘然后“确定”即可!
另外还要建立一个正对外网接口IP的地址簿,IP成员为218.240.143.219
3.1.2.建立高级目的NAT条目
进入【基础网络】--【NAT选项】--【端口映射】新建“高级配置”如下图所示
源地址:
地址簿
地址簿:
any
目的地址:
IP地址
IP地址:
218.240.143.219
应用:
HTTP
行为:
NAT
NAT地址:
IP地址
地址簿:
192.168.1.214
NAT端口:
启用端口:
80
模式:
端口映射
完成后点击“确认”即可!
3.1.3.策略自动生成
进入【网络安全】--【安全策略】如下图所示:
源安全域:
WAN
源地址:
Any
目的安全域:
LAN
目的地址:
192.168.1.214/32
行为:
允许
3.1.4.建立源NAT条目
进入【基础网络】--【NAT选项】--【NAT】--【新建基本配置】如下图所示:
源地址:
Any
出接口:
HG1
行为:
NAT(出接口IP)
完成后点击“确认”即可!
4.IPSec配置(LAN-to-LAN)
4.1.应用环境
总部使用我司的DCME-320作为出口,分部使用其他型号的DCR路由器。
总部内网使用10.1.1.0/24网段,分部使用172.168.50.0/24网段,总部出口公网地址为1.1.1.2/24,分部公网IP为1.1.1.1/24。
用户想要总部和分部之间的内网能够相互访问。
4.2.总部DCME-320设置
4.2.1.建立IPSEC模版
进入【VPN】--【IPSecVPN】--【VPN模版】点击“新建”按钮新建模版如下图所示
模版名称:
IPSec(可以自行定义)
协商模式:
main(一般我们都选用主模式建立LAN-to-LANIPSec)
IKEVERSION:
1
P1(第一阶段协商参数)
认证算法:
pre-shared-key(预共享秘钥)
加密算法:
des(可选des、3des、aes128、aes192、aes256,IPsec两端必须一致)
验证算法:
md5(可选sha1、md5,IPSec两端设备必须一致)
DH组:
1(可选1、2、5,IPSec两端必须一致)
生存时间:
300(自己定义但IPSec两端必须一致)
P2(第二阶段协商参数)
加密算法:
des(可选des、3des、aes128、aes192、aes256,IPSec两端必须一致)
验证算法:
hamc-md5(可选hmac-sha1、hmac-md5,IPSec两端必须一致)
PFS功能:
1(可选1、2、5,IPSec两端必须一致)
P2SA生命周期:
300(自行定义但IPSec两端配置必须一致)
完成后点击“确认”即可!
4.2.2.建立动态VPN
如果使用IKE自动协商方式就选择”动态VPN”,如果需要手工协商就选择“静态VPN”,一般情况下我们优先选用IKE自动协商方式配置简单易于维护。
进入【VPN】--【IPSecVPN】--【动态VPN】点击“新建”按钮如下图所示
隧道名称:
ipsec(自行定义名称)
模版:
ipsec(需要调用的IPSec模版名称)
本端IP地址:
1.1.1.2(本地外网口的IP地址)
对端地址类型:
静态IP(如果有多个站点接入直接写动态IP那就表明本端被动协商)
对端IP地址:
1.1.1.1(对端设备的外网口地址)
预共享密钥:
12345(自行定义,IPSec两端一直即可)
完成后点击“确认”按钮即可!
4.2.3.建立IPSec策略
进入【VPN】--【IPSec策略】点击“新建”按钮
策略名称:
ipsec(自行定义)
匹配规则
协议:
any
本地地址:
172.168.50.0/24
对端地址:
10.1.1.0/24
VPN名称:
ipsec
模式:
tunnel
行为:
esp(可选esp、ah,IPSec两端必须一致)
优先级:
1
完成后点击“确认”按钮即可!
4.3.分部DCR路由器设置
!
cryptoisakmpkey012345address1.1.1.2255.255.255.255
cryptoisakmppolicy1
authenticationpre-share
hashmd5
lifetime300
!
cryptoipsectransform-setipsecesp-desesp-md5-hmac
!
cryptomapipsec0ipsec-isakmp
matchaddressipsec
setpeer1.1.1.2
setpfsgroup1
setsecurity-associationlifetimeseconds300
settransform-setipsec
!
interfaceLoopback0
ipaddress10.1.1.1255.255.255.0
noipdirected-broadcast
iphttpfirewalltype0
!
interfaceFastEthernet0/0
ipaddress1.1.1.1255.255.255.0
cryptomapipsec
!
iproutedefault1.1.1.2
!
ipaccess-listextendedipsec
permitip10.1.1.1255.255.255.0172.168.50.1255.255.255.0
!
4.4.DCME-320查看VPN状态
进入【VPN】--【VPN监控】点击“SAD”可以查看当前IPSEC是否建立成功如果建立在SAD可以看到如下信息:
下图表示SA建立,IPSECVPN已经建立成功。
5.L2TPLNS设定
DCME-320目前阶段只能提供L2TPLNS的服务,暂不支持L2TPLAC的功能。
5.1.应用环境介绍
用户使用我司的DCME-320作为出口设备,现在需要让出差人员能够随时随地访问到公司的内部资源,考虑使用DCME-320的L2TP服务来实现这一需求。
DCME-320外网口地址:
172.168.50.1.让出差人员分配得到172.168.60.0/24段的地址访问内部网络。
5.2.L2TP服务器配置
进入【VPN】-【L2TPVPN】点击“L2TP服务”按钮,如下图所示
绑定IP:
172.16.50.1(提供给外网用户的公网IP,一般为设备外网口IP)
DNS:
10.1.120.241(L2TP用户获取地址后,使用的DNS服务器)
加密方式:
any(可选any、pap、chap,any表示pap、chap都可使用)
本地地址:
172.168.60.1(本地的L2TP服务器的地址,根据实际情况定义)
地址池:
172.168.60.2-172.168.60.30(可以分配给L2TP用户的IP地址,自行定义地址范围不能小于16.)
完成后点击“确认”即可!
5.3.L2TP用户管理
进入【VPN】--【L2TPVPN】点击“用户管理”按钮如下图所示:
用户名:
dcn123(根据实际情况自行定义)
密码:
dcn123(根据实际情况自行定义)
确认密码:
dcn123(根据实际情况自行定义,必须和密码一致)
完成后点击“添加用户“按钮即可完成用户添加。
注意:
如果删除某个用户可以在”用户列表“里面找到该用户点击后面的删除按钮即可!
5.4.拨入用户查看
进入【VPN】--【L2TPVPN】点击”拨入列表“即可查看成功拨入的用户情况。
可以查看如下信息:
用户名、分配IP、拨入IP、拨入时间。
5.5.Win7系统L2TPclient设置
进入【控制面板】--【网络和Internet】--【网络和共享中心】选择”设置新的连接或网络“—“连接到工作区“后创建新连接。
选择”使用我的Internet连接(VPN)(I)“如下图所示
Internet地址:
172.168.50.1(L2TP服务器里面配置的绑定的公网IP)
目标名称:
VPN连接(根据实际情况自定义)
完成后点击“下一步”
输入用户名密码,如下图所示
完成后点击连接,后选择“跳过按钮”在桌面右下角的
图标,选择新建的VPN连接将“安全”选项中”VPN”类型修改为“使用IPSec的第2层隧道协议(L2TP/IPSec)”,将“数据加密”修改为“可选加密”即可!
如果不做修改会提示800错误。
6.限速设定
DCME-320可以提供接口带宽控制、针对IP的带宽控制、针对应用的带宽控制。
6.1.端口带宽控制
进入【基础网络】--【接口选项】--【接口列表】--【HG1】如下图所示可以针对DCME-320上的外网口的上下行带宽分别控制。
带宽的控制单位为kpbs(1M=1024k,设置的时候注意好单位的换算)
6.2.IPQoS
IPQoS是针对IP的带宽控制策略。
进入【流量控制】--【IPQoS】如下图所示:
规则名称:
自定义
接口绑定:
根据实际情况选择需要关联的接口
IP地址:
可以手动定义IP成员或地址范围
控制策略可以针对每个IP在接口的上下行带宽分别控制。
完成后点击“确认”按钮即可!
配置完成后在下方IPQoS列表里面会看到已经配置的IPQoS策略。
6.3.应用QoS
应用QoS是针对应用的带宽控制策略。
进入【流量控制】--【应用QoS】如下图所示:
规则名称:
p2p1(根据实际情况自行定义)
接口绑定:
HG1(根据实际情况绑定到对应的内网口)
应用:
HTTP多线程、P2Pdonwload(根据实际情况自行选择需要绑定的应用)
接口上行:
1024(单位为kbps,根据实际情况选择这个应用在接口上占用的带宽)
接口下行:
1024(单位为kbps,根据实际情况选择这个应用在接口上占用的带宽)
完成后点击“确定”按钮即可!
通过下方的QoS应用列表可以查看已经设定的应用QoS策略的基本情况。
7.SSLVPN配置
7.1.应用环境
用户使用我司的DCME-320作为出口设备,现在需要让出差人员能够更加安全的访问到公司的内部资源,考虑使用DCME-320的SSLVPN接入内网。
允许SSLVPN用户接入后访问内网的FTPServer:
192.168.10.252;允许SSLVPN用户接入后访问内网的WEBServer:
192.168.1.210
7.2.创建SSLVPN登录用户
进入【上网行为】--【用户管理】--【用户或用户组】点击“新建用户”按钮
名称:
wyliang(根据实际情况自行定义)
密码:
12345(根据实际情况自行定义)
重新输入密码:
12345(根据实际情况自行定义,必须和密码一致)
描述:
(自行定义)
超时启用:
(勾选后可以指定帐号的可用时间)
7.3.SSLVPN服务器端配置
7.3.1.创建SSLVPN实例
进入【VPN】--【SSLVPN】--【实例配置】点击“新建”按钮新建模版如下图所示
名称:
SSLvpn(根据实际情况自行定义)
SSLVPN端口:
4433(根据实际情况自行定义)
超始地址:
172.168.70.2(根据实际情况自行定义)
结束地址:
172.168.70.20(根据实际情况自行定义)
掩码:
255.255.525.0
接口:
HG1
完成后点击“确定”按钮即可
7.3.2.定义资源配置
进入【VPN】--【SSLVPN】--【资源配置】点击“新建”按钮新建模版如下图所示
名称:
ftp或http(根据实际应用服务填写)
IP/网络掩码:
192.168.10.252/24(内部服务器地址)
完成后点击“确定”按钮即可
7.3.3.将用户与资源关联
进入【VPN】--【SSLVPN】--【资源关联】点击“新建”按钮新建模版如下图所示
类型:
用户或用户组(根据实际应用服务填写)
用户:
wyliang(根据实际情况自行定义)
资源:
ftp、http(根据实际情况选用资源)
完成后点击“确定”按钮即可
7.3.4.定义客户端下载配置
进入【VPN】--【SSLVPN】--【客户端下载配置】如下图所示
启用:
勾选(根据实际情况进行勾选)
模式:
HTTP或HTTPS(根据实际情况自行选择)
服务器端口:
4436(根据实际情况自行定义,范围1024~65535)
完成后点击“确定”按钮即可
7.3.5.SSLVPN在线用户
进入【VPN】--【SSLVPN】--【在线用户】即可查看成功拨入的用户情况。
可以查看如下信息:
用户名、实例、登录时间、分配IP、公网IP、AAA服务器如下图所示
7.3.6.SSLVPN客户端下载方式
在IE浏览器中输入http:
//DCME320登录地址:
SSLvpn客户端下载端口号
例如:
http:
//192.168.1.254:
4436点击“下载”按钮如下图所示
客户端软件
7.4.SSLVPN客户端配置
客户端安装完毕后,点击
图标如下图所示:
服务器:
218.240.143.219(一般为DCME320的外网口)
端口:
4433(与实例中配置的SSLVPN端口号一致)
用户名:
wyliang
密码:
12345
完成后点击“登录”按钮即可
8.WEB认证配置
8.1.应用环境
内网用户首次访问Internet时需要通过WEB认证才能上网,且内网用户为user1,
其中用户user1在通过认证后可以浏览WEB界面。
8.1.1.开启WEB认证功能
进入【上网行为】--【WEB认证】--【认证配置】新建模版如下图所示
启用web认证:
勾选(以启用web认证服务)
模式:
HTTP模式(根据实际情况自行选择)
HTTP服务器端口:
8181(缺省值)
重定向URL:
(认证成功后跳转的界面,自定义)
页面超时:
260(缺省值)
完成后点击“确定”按钮即可
8.1.2.创建WEB认证登录用户
进入【上网行为】--【用户管理】--【用户或用户组】点击“新建用户”按钮
名称:
webwyliang(根据实际情况自行定义)
密码:
123456(根据实际情况自行定义)
重新输入密码:
123456(根据实际情况自行定义,必须和密码一致)
描述:
(自行定义)
超时启用:
(勾选后可以指定帐号的可用时间)
完成后点击“确定”按钮即可
8.1.3.创建配置策略
进入【网络安全】--【安全策略】点击“新建”按钮
webwyliang处于lan安全域,外网口处于wan安全域,需要配置1条策略
策略-用户认证服务策略
源安全域:
lan
源地址:
any
目的安全域:
wan
目的地址:
any
应用薄:
any
用户/组:
webwyliang
行为:
允许
8.1.4.配置验证
内网用户打开IE后输入某网站后可以看到页面马上重定向到认证页面,我们输入用户名和密码分别为webwyliang和123456认证通过后,访问某web时访问成功
进入【上网行为】--【WEB认证】--【在线用户】界面:
9.会话限制
9.1.应用环境
针对内网每IP限制TCP-ANY会话数到300条,针对内网每IP限制UDP-ANY会话数到200条。
9.2.会话限制配置
进入【上网行为】--【会话限制】点击“新建”按钮如下图所示
安全域:
lan(根据实际情况自行定义)
IP限制:
源IP或目的IP(根据实际情况自行定义)
应用限制:
TCPANY(根据实际情况自行定义)
会话数:
300(自行定义,0:
不限制)
时间表:
(勾选启用,根据实际情况自行定义)
完成后点击“确定”按钮即可
10.URL过滤配置
10.1.应用环境
限制内网用户访问baidu首页
10.2.URL过滤配置
10.2.1.创建http_profile,启用URL过滤功能
进入【上网行为】--【行为管理】--【profile】中新建一个名称为http_profile,并将URL过滤设置成启用状态,然后点击“确认”如下图所示
10.2.2.设置URL过滤规则
进入【上网行为】--【行为管理】--【网页内容过滤】中,设置URL过滤规则,实验中我们只是限制访问baidu首页,我们在黑名单URL过滤中输入点击添加将其添加到了黑名单列表中,点击确定即可
10.2.3.在策略中引用profile
进入【网络安全】--【安全策略】中,针对内网到外网的安全策略,引用URL过滤的profile
11.DCME320配置文件管理
11.1.应用环境
DCME320配置保存在本地及将配置备份与恢复操作
11.2.将当前配置保存在本地或PC
进入【系统管理】--【基础选项】--【配置文件管理】中,点击保存运行配置,这样就可以将当前配置文件保存到本地
进入【系统管理】--【基础选项】--【配置文件管理】中,点击导出运行配置,点保存这样就可以将当前配置文件导入到本地PC
11.3.将本地配置上传到DCME320并调用该配置
进入【系统管理】--【基础选项】--【配置文件管理】中,点击“浏览”,从本地PC选择将要上传的配置文件,然后点击“上传”
上传完毕后,点击该文件后的“应用“按钮
12.DCME320软件版本升级
12.1.应用环境
学会将现有产品版本进行升级操作
12.2.将软件从本地上传到DCME320
进入【系统管理】--【升级选项】--【系统软件】,点“升级“按钮,
点击“浏览”,从本地PC选择将要升级的系统文件,然后点击“确认”
系统中最多可以保存两个系统文件供用户选择使用。
默认情况下,系统下次启动时将使用新上载成功的系统文件
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DCME320 UI 快速 配置 手册