ICG 21 FAQ V10.docx
- 文档编号:26421559
- 上传时间:2023-06-19
- 格式:DOCX
- 页数:42
- 大小:2.19MB
ICG 21 FAQ V10.docx
《ICG 21 FAQ V10.docx》由会员分享,可在线阅读,更多相关《ICG 21 FAQ V10.docx(42页珍藏版)》请在冰豆网上搜索。
ICG21FAQV10
目录
问题1:
ICG在实际应用中如何配置?
2
问题2:
如何增加并设置VLAN?
3
问题3:
如何修改WLAN相关配置?
5
问题4:
如何配置内部服务器?
7
问题5:
如何进行互联网访问控制?
8
问题6:
如何设置网站过滤?
9
问题7:
网络中有的用户因为使用BT、迅雷等下载电影或游戏占用过多带宽,使其余用户PC工作带宽不够用,如何做限制?
10
问题8:
网络中配置NAT内部服务器,外网可以访问,但内部PC通过域名访问此服务器需要增加其他配置吗?
10
问题9:
ICG路由器如何防止内网的ARP欺骗呢?
11
问题10:
如何对不同级别的员工采用差异化的上网限制?
12
问题11:
公司要求内网几个VLAN权限不同,比如VLAN2可以访问VLAN3,但VLAN3不能访问VLAN2?
14
问题12:
如何使用3G上网?
15
问题13:
如何对一些驻外人员或出差员工提供拨号方式访问公司内部网络?
16
问题14:
如何在ICG网关之间实现安全互访?
22
问题15:
如何对某些数据流进行限速?
25
问题16:
ICG如何进行配置备份?
26
问题17:
为什么设备运行一段时间后,上网速度慢?
26
问题18:
为什么设备部分管理页面无法打开?
29
问题19:
ICG重启后系统时间恢复到2007年?
29
问题20:
配置NAT映射后无法访问设备WEB?
30
问题21:
配置NAT映射无法访问内部服务器?
31
问题22:
ICG双线路,上网慢,且部分网页打不开?
31
问题23:
ICG路由器上电后web界面无法控制,PC、网线都没有问题,连接console口有路由器启动界面,如何恢复正常?
32
问题24:
用户使用命令行delete文件后,想升级主机文件,但发现提示存储空间不够,断电重启又启动不了?
33
问题1:
ICG在实际应用中如何配置?
ICG产品如果第一次上电会有默认配置。
默认配置是指:
ICG产品版本中自带的,路由器上电后自动生成的配置。
ICG可以通过web界面配置路由器,也可通过命令行进行。
下面列出web配置方法:
1)PC通过网线连接到某个LAN口,然后启动IE浏览器。
2)在IE地址栏中输入“http:
//192.168.1.1”。
出厂已经配置LAN口和WLAN:
LAN口地址即vlan-interface1接口地址192.168.1.1/24,建议不修改,修改会导致WEB连接中断,必须重新登录。
LAN口默认已经打开DHCP功能,能够为LAN接入PC分配IP地址,同时指定192.168.1.1为网关地址,建议不修改网关地址。
3)回车后,请输入用户名和密码。
4)然后进入WEB配置界面。
5)进入WEB配置界面后,可以根据菜单选项进行配置。
问题2:
如何增加并设置VLAN?
组网如下:
1)在导航栏中选择“接口配置”,再选择“LAN设置”,点击“VLAN接口设置”标签项。
2)先创建新的VLAN接口,再将LAN口加入到相应的VLAN中。
最终显示如下。
3)关闭此窗口后,会如下显示,看到VLAN,并看到有哪些LAN口加入了此VLAN。
问题3:
如何修改WLAN相关配置?
组网如下:
1)在导航栏的“接口配置”中选中“无线”,然后填写接入服务栏。
2)在导航栏的“安全配置”中,注意:
使用Open-System才能使用WPA,为兼容各无线网卡,建议选择TKIP软加密类型。
WPA使用预共享密钥psk方式接入验证。
Pass-phrase表明密码是字符。
3)设置完成后,点击确定可以看到wlan的基本设置成功。
4)再选中无线下的接入服务菜单,并点击开启按钮。
5)然后就可以使用PC等无线设备扫描AP了,如图所示。
问题4:
如何配置内部服务器?
中小企业通常只有1个公网地址,并用在公司网络出口。
通过内部服务器端口映射机制可以实现访问同一个公网地址提供多种内部服务,避免服务器所有端口暴露的安全隐患。
例如:
公司内网有两个服务器,分别提供WWW和FTP业务,对应ETH0/8和ETH0/9两个LAN口,在VLAN3中,只提供唯一的外网地址117.20.34.6。
实现方法如下:
协议类型:
内部服务器协议,大部分网络为TCP。
当前接口即使用WAN口地址作为互联网访问接入地址。
注意:
很多时候因为内部服务器没有设置网关地址,导致外部无法访问,请仔细检查。
如在本例中,内部服务器192.168.3.2和192.168.3.3都要将网关设置为192.168.3.1(VLAN的IP地址)。
详细讲解请参考下面文档:
问题5:
如何进行互联网访问控制?
内网PC通过网关使用URL地址上网的详细过程请参考:
有关互联网的访问控制原理请参考:
如果客户对互联网访问控制有更高的要求,可以通过配置指定IP地址段、时间段、协议、目的端口号、操作等来实现。
进入导航栏的“安全配置”的访问控制菜单,按照如下实例配置:
问题6:
如何设置网站过滤?
网站过滤有三种方式,选择其中之一进行过滤:
1)通过URL地址全匹配。
2)通过URL地址的关键字匹配。
3)通过文件过滤列表匹配。
关于文件过滤列表的生成请看页面下方的格式说明。
问题7:
网络中有的用户因为使用BT、迅雷等下载电影或游戏占用过多带宽,使其余用户PC工作带宽不够用,如何做限制?
可以通过对每个用户(IP)限速的方法解决,比如限制每IP下载1Mbps,上传512Kbps。
如下图所示配置。
注意:
其中“限速类型”中“共享”是指:
后面的限速速率带宽被前面配置的所有用户共享,所以在本例中100个用户应该配置100Mbps。
配置共享带宽的好处是:
路由器根据当前存在流量的IP地址数量,动态平均分配各IP地址占用的带宽;另一种限速类型是“独占”:
各IP地址独享的限制带宽,不能被网段内其他IP流量共享。
所以,如果配置独占,则限制速率带宽应该配置成每个IP独占的带宽,在此例中为1Mbps。
问题8:
网络中配置NAT内部服务器,外网可以访问,但内部PC通过域名访问此服务器需要增加其他配置吗?
由于内部PC如果通过域名访问服务器,发给服务器报文的目的地址是外网地址,此报文到达服务器后,服务器的回应报文的源地址如果不经过NAT网关转换就是自己的内网地址,如果PC收到报文的源地址和先前发出报文的目的地址不一致的话,那么就会认为收到的报文不是其想要的,就会丢弃。
所以需要增加配置,使服务器的回应报文经过网关,从而把其源地址通过配置的natserver转换为PC开始访问的目的地址(外网地址),比如下面的例子:
确定内部服务器地址及所有服务端口分别是在VLAN3中192.168.3.2的TCP80和37777端口。
访问内部服务器的内部PC地址范围是VLAN2的192.168.2.0/24和VLAN1的192.168.1.0/24。
则需要增加配置:
aclnumber3400
rule0permittcpsource192.168.2.00.0.0.255destination192.168.3.20destination-porteq80
rule5permittcpsource192.168.2.00.0.0.255destination192.168.3.20destination-porteq37777
rule10permittcpsource192.168.1.00.0.0.255destination192.168.3.20destination-porteq80
rule15permittcpsource192.168.1.00.0.0.255destination192.168.3.20destination-porteq37777
interfacevlan-interface3
natoutbound3400
问题9:
ICG路由器如何防止内网的ARP欺骗呢?
ARP欺骗的原理请-参考下面的文档:
此类问题的解决方法是准确记录内网每个PC的MAC地址和IP地址。
在网络正常时进行ARP扫描,对所有VLAN的所有IP进行记录网络正常时扫描才能获得完全正确的IP-MAC对应关系扫描结束后可以对扫描结果固化下来。
可以将静态设置IP地址的记录固化,对于DHCP地址池中的IP可以不固化。
固化前可以检查扫描结果是否和事前统计结果一致,如果不一致则说明存在ARP欺骗或者统计错误,需要仔细确认。
千万不要固化错误的记录,固化错误的后果与欺骗是一致的。
问题10:
如何对不同级别的员工采用差异化的上网限制?
可以通过ICG提供的群组功能解决此类问题。
然后,可针对具体的群组进行接入控制、应用控制、带宽管理和包过滤等操作。
问题11:
公司要求内网几个VLAN权限不同,对内网VLAN间的互访进行控制,比如VLAN2可以访问VLAN3,但VLAN3不能访问VLAN2?
假设VLAN2的网段为192.168.2.0/24,VLAN3的网段为192.168.3.0/24。
使用ASPF策略实现此功能:
VLAN3禁止192.168.3.0/24主动发起任何访问。
建立ASPF策略,探测TCP和UDP,在VLAN3接口应用ASPF,探测访问VLAN3方向的TCP、UDP连接,为该连接建立允许规则。
VLAN3的回复数据匹配允许规则,可以到达VLAN2。
firewallenable
aclnumber2301
rule0deny
aspf-policy1
detecttcp
detectudp
interfacevlan-interface3
firewallpacket-filter2301inbound
firewallaspf1outbound
实际上本例属于局域网访问隔离问题,请看下面专述:
问题12:
如何使用3G上网?
ICG网关通过插USBEVDO上网卡可以连入3G网络,接入组合更灵活、更可靠。
具体配置如下:
---icg只支持evdo
1)先查看3G上网卡是否能被识别:
2)再配置拨号参数:
3)请检查静态路由出接口设置的是否正确。
问题13:
如何对一些驻外人员或出差员工提供通过拨号的方式访问公司内网的服务?
可以使用L2TPVPN来实现该功能。
ICG路由器作为LNS,LAC的配置这里不作介绍。
流动性很强的VPN用户想使用PC通过LNS,连接到公司内网。
VPN用户可以和内网用户同一网段,也可以是不同网段。
举例如下图:
WAN口地址是117.20.34.6,VPN网关地址借用VLAN1接口地址。
LNS的配置如下:
1)配置用户名、密码。
local-userpc
passwordsimplepc
service-typeppp
2)设置拨号域,此例中为ct10000,拨号客户端使用用户名pc@ct10000进行拨号。
在域中设置VPN地址段192.168.1.50~192.168.1.100,假设和VLAN1同一网段。
domainct10000
ippool0192.168.1.50192.168.1.100
3)设置L2TP虚模板,接口地址借用VLAN1接口地址192.168.1.1,接口认证使用PPPCHAP。
interfacevirtual-template0
ipaddressunnumberedinterfaceVlan-interface1
pppauthentication-modechap
remote-addresspool
4)配置L2TP
l2tpenable
l2tp-group1
undotunnelauthentication
allowl2tpvirtual-template0
5)由于VPN网段和VLAN1在同一网段,为使VPN和VLAN1能够互访必须在VLAN1接口使能代理ARP。
interfacevlan-interface1
proxy-arpenable
6)如果VPN和各VLAN在不同网段则可以不用使能代理ARP,如使用192.168.5.2到192.168.5.50作为VPN地址段,虚模板使用192.168.5.1作为地址。
domainct10000
ippool0192.168.5.2192.168.5.50
interfacevirtual-template0
ipaddress192.168.5.1255.255.255.0
pppauthentication-modechap
remote-addresspool
7)修改PC的注册表:
增加键值ProhibitIpSec,数值为1。
然后重启PC。
8)设置网络连接:
问题14:
如何在ICG网关之间实现安全互访?
使用IPSecVPN,在网关与网关之间建立隧道。
举例如下图:
1)注意:
需要将NAT配置进行修改:
ØNAT会改变通过WAN口上行流量的源地址。
ØIPSEC通过检查经WAN口上行的数据流是否匹配兴趣流(ACL中指定的流量)来判断是否进行加密处理。
Ø网关默认对所有经WAN口上行的流量都进行NAT转换。
Ø网关默认对经WAN口上行的数据流先进行NAT转换,再进行IPSEC处理(检查流量是否匹配兴趣流)。
Ø因此一般情况下,数据流的源地址被NAT转换过后就匹配不上兴趣流了,也就无法触发IPSEC进行加密处理了,也就会传送失败了。
2)需要修改NAT部分配置,对匹配兴趣流的数据不做地址转换:
ØIPSec兴趣流定义为源地址192.168.5.0/24,目的地址192.168.3.0/24的数据流。
ØIPSec通过检查经WAN口上行的数据流是否匹配兴趣流来判断是否进行加密处理。
Ø可以将目的是192.168.3.0/24的数据不做转换,可以自行添加目的是其余网段,如192.168.1.0/24和192.168.2.0/24的情况。
aclnumber3040
rule0denyipdestination192.168.3.00.0.0.255
rule1denyipdestination192.168.1.00.0.0.255
...
rule1000permitip
interfaceethernet0/0
undonatoutbound
natoutbound3040
问题15:
如何对某些数据流进行限速?
高级带宽限速可以对数据流进行精确匹配,从而使限速行为更为灵活有效。
方法如下所示:
可以对限制带宽的时间做设置,但是要保证设备时间的准确性。
可以限制指定协议的流量,但是只能选择其中的一项协议(上图中下面的五个应用总共算一项),也就是说只能在上面的8种协议中选择一种打钩,或者在下面的5种应用程序中选择任意几种打钩。
问题16:
ICG如何进行配置备份?
备份配置时必须同时备份两个文件,两者不是或的关系。
cfg文件主要用来保存有命令行的配置文件。
xml文件主要用来保存没有命令行的配置文件,如无线相关配置。
同理,配置恢复时必须恢复两个配置文件。
问题17:
为什么设备运行一段时间后,上网速度慢?
排查分以下几步:
1)查看设备CPU和内存使用情况,正常情况下设备内存和CPU占用率不会超过90%,可以登陆设备WEB管理页面,在设备概览页面查看CPU和内存占用率情况,如下:
2)如果CPU或者内存占用率异常,需要首先判断是否是攻击流量或异常流量导致。
打开设备LAN接口流量统计功能,查看内网PC发送和接收流量是否正常,打开LAN口流量统计操作如下,打开WEB页面中高级配置->流量统计排名,选中“打开流量统计排名”,点击“确定”。
3)选中Vlan-interface1,点击“增加”。
4)点击排名页面,查看内网PC的流量是否正常(用户普通上网出方向流量一般小于30KB,入方向流量一般小于100KB),如果存在异常,说明部分IP下载或上传占用绝大部分带宽,建议启用基于IP地址限速功能。
5)关闭vlan-interface1的流量统计(在配置页面,选中vlan-interface1,然后点击删除),打开WAN接口的流量统计(操作同上),查看是否有攻击流量或者异常流量(一般从同一源地址发送的流量超过链路申请带宽的50%)发送到设备,如果存在攻击流量需要知会运营商,对攻击流量进行过滤。
6)查看设备WAN接口带宽使用情况,看是否目前网络实际流量已经达到链路申请带宽的上限,如果实际流量已经达到或超过申请带宽的90%,则说明网络已经拥塞。
建议启用基于IP地址限速功能,以降低网络带宽占用率,查看WAN接口带宽流量操作如下,点击接口配置->WAN接口设置。
7)查看设备是否启用NAT连接数限制。
启用此功能后每台PC同时建立的NAT连接数不会超过设定值,一般用来限制BT、迅雷等P2P软件的下载。
如果NAT连接数限制的值设置的不合适就会影响上网速度。
正常情况下打开门户网站(如:
sina、163、sohu)需要同时建立70~90连接,如果启用NAT连接数限制,并设置限定值为默认的100,这样同时打开多个门户网站就会出现打开网页慢的情况(建议使用基于IP地址限速来限制P2P软件的下载速率,如果启用NAT连接数限制,建议限制值为300)。
通过以下操作设置NAT连接数限制,WEB页面NAT配置->NAT配置->连接数限制,可以在此页面关闭、开启,并设定连接数限制值。
问题18:
为什么设备部分管理页面无法打开?
此问题主要是由于PC以前访问过设备的WEB管理页面,会将部分WEB页面进行缓存;设备升级软件版本后,WEB页面进行了比较大的优化和改动,而PC仍然使用缓存的内容访问设备WEB管理页面,导致与设备目前的管理页面不匹配,因此无法打开部分页面。
解决方法:
删除IE浏览器中的缓存信息,然后重新刷新WEB管理页面。
问题19:
ICG重启后系统时间恢复到2007年?
ICG设备必须通过配置NTP服务器,与网络上的时间服务器进行时间同步,操作步骤如下,登陆WEB,系统管理->时间设置,选中自动同步,输入NTP服务器地址(建议输入NTP服务器地址192.43.244.18,219.142.114.252)。
注意:
查看当前的时间是否与北京时间差8小时。
如果是,则需要通过命令行增加东8区的配置。
clocktimezoneGMTadd08:
00:
00
问题20:
配置NAT映射后无法访问设备WEB?
设备默认使用80端口做为WEB管理端口,如果配置的NAT映射的端口也是80端口,则设备会优先进行NAT映射转发到内网服务器,而导致无法登陆设备WEB管理界面。
解决方法:
需要修改设备HTTP服务监控端口。
设备在下面页面修改HTTP服务端口(只有权限为3级的用户才可以进行此步操作),注意:
修改HTTP服务端口后需要重新使用新的端口登陆设备WEB。
修改其他服务,如:
FTP、HTTPS类似。
问题21:
配置NAT映射无法访问内部服务器?
1)首先检查设备上NAT映射配置是否正确:
NAT映射管理的接口、内/外部端口、内网地址、协议类型是否正确。
2)然后在设备辅助工具->诊断工具->Ping页面对内部服务器地址进行Ping操作,判断设备与内部服务器的连接是否正常。
3)最后请检查下内部服务器是否已启用防火墙,如果已启用,请尝试关闭防火墙后是否可以通过外网访问内部服务器。
问题22:
ICG双线路,上网慢,且部分网页打不开?
这个问题主要是由于两个原因造成的:
1)部分应用程序完成一个业务需要多个TCP或者UDP连接,同时要求每个连接的源地址必须相同,ICG两条线路默认工作在负载分担情况下,每个五元组做为一条流,属于同一业务的不同流可能会从不同链路转发,同时做NAT处理后源地址不相同,因此导致此问题。
2)ICG默认开启快转,同一条流建立快转表项后固定从同一个出接口发出,但是快转表会在某些特定条件下删除,如:
ARP更新、路由发生变化等,因此会使原来走WAN1的报文转发到WAN2上,同时ICGNAT表项是全局的,在WAN2做NAT处理时仍然会使用原来的NAT表项,源地址变为WAN1的,如果运营商接入设备启用了源地址检查功能,会将此报文丢弃,因此会导致问题。
3)解决方法:
在ICG上启用基于用户负载分担的功能,使同一用户发出的报文始终通过相同WAN接口转发。
问题23:
ICG路由器上电后web界面无法控制,PC、网线都没有问题,连接console口有路由器启动界面,如何恢复正常?
请按照下面步骤,使用PC连接路由器console口,进行手动恢复:
先在PC上启动tftpserver程序,并指定主机文件的路径,将网线连接到以太口0/0,将PC网卡的ip地址配置为192.168.1.100,就可以升级了。
超级终端上显示如下。
****************************************************************************
*H3CICG2000CBootWare,Version1.10
****************************************************************************
Copyright(c)2004-2009HangzhouH3CTechnologiesCo.,Ltd.
CompiledDate:
Jul222009
CPUType:
MPC8313
CPUL1Cache:
16KB
CPUClockSpeed:
266MHz
MemoryType:
DDR2SDRAM
MemorySize:
256MB
MemorySpeed:
266MHz
BootWareSize:
2048KB
CPLDVersion:
1.0
PCBVersion:
2.0
BootWareValidating...
PressCtrl+Btoenterextendedbootmenu...
Applicationprogramdoesnotexist.
Pleasesetnetworkparameterstodownloadtheappfile;
Theapplicationwillautomaticallyloadandrun.
Protocol(FTPorTFTP):
tftp
LoadFileName:
main.bin
:
mainicg2000bc.bin
ServerIPAddress:
192.168.1.100
LocalIPAddress:
192.168.1.1
GatewayIPAddress:
0.0.0.0
Loading...................................................................
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ICG 21 FAQ V10