资源描述
单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,Page,#,内页,:,标题前红色竖条可自由移动,标题,(1,级,):22-24pt,标题,(,2-5,级,):20-22pt,正文,:12-18pt,颜色,:R89 G89 B89,中文字体,:,微软雅黑,英文字体,:,Arial,单击此处编辑母版标题样式,配色参考方案:,建议同一页面内不超过三种颜色,以下是,10,组配色方案,同一页面内只选择一组使用。(仅供参考),单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,Page,#,内页,:,标题前红色竖条可自由移动,标题,(1,级,):22-24pt,标题,(,2-5,级,):20-22pt,正文,:12-18pt,颜色,:R89 G89 B89,中文字体,:,微软雅黑,英文字体,:,Arial,单击此处编辑母版标题样式,配色参考方案:,建议同一页面内不超过三种颜色,以下是,10,组配色方案,同一页面内只选择一组使用。(仅供参考),封底,:,请填写您的相关信息,中文字体,:,黑体,英文字体,:Arial,字号,:10-11pt,颜色,:R127 G127 B127,配色参考方案:,建议同一页面内不超过三种颜色,以下是,10,组配色方案,同一页面内只选择一组使用。(仅供参考),RG-EG,系列易网关产品初阶培训,牛永刚,第一章 产品简介,第二章 实施指导,第三章 案例分析,产品形态,RG-1000C,RG-1000S,RG-1000M,产品形态,EG1000C,外观,PWR,:电源灯,绿色常亮表示正常;,SYS,:系统指示灯,上电初始化时绿色常闪,初始化完成时绿色常亮,红色常亮表示告警,0/MGMT,口,在网关模式下即表示,Gi0/0,口,在桥模式下表示管理口,MGMT,Gi0/3Gi0/5,、,Gi0/4Gi0/6,是硬件,bypass,接口,当做桥串接到网络中时推荐使用这两组接口做桥,5F/6F,是光电复用口,和,Gi0/5,、,Gi0/6,电口分别复用,SATA,:硬盘指示灯,闪烁表示硬盘在读写,常亮表示硬盘存在,SD,卡,/USB,接口:,U,盘推荐使用金士顿,并且文件系统格式为,FAT32,,其他型号不保证兼容性,2,4,3,6,5,1,产品形态,EG1000S,外观,RESET,按钮:按下时间小于,3,秒,出口网关重启;按下时间大于,3,秒,出口网关恢复出厂设置并重启。,1F,光电复用口,和,Gi0/1,电口复用。,Gi0/0Gi0/1,、,Gi0/3Gi0/4,是硬件,bypass,接口,当做桥串接到网络中时推荐使用这两组接口做桥。,5/MGMT,口,在网关模式下即,Gi0/5,口,在桥模式下是管理口,MGMT,4,2,3,1,产品外观,EG1000M,外观,双电源,支持热插拔。,独立的,MGMT,口,Gi0/0Gi0/1,、,Gi0/2Gi0/3,是硬件,bypass,接口,当做桥串接到网络中时推荐使用这两组接口做桥,支持,8,对光电复用端口,扩展槽,2,个,支持光,BYPASS,,需购买光,BYPASS,设备。,1,4,2,3,5,6,产品简介,设备登录方式:,1.WEB,登录,默认管理地址为,192.168.1.1,2.Console,登录,3.Telnet,登录,第一章 产品简介,第二章 实施指导,第三章 案例分析,第二章 实施指导,了解用户环境,了解用户拓扑情况,用户数量,,IP,地址规划;,了解线路数量,带宽大小和运营商类型。,收集用户需求,了解用户的功能需求是什么?,目前碰到的问题是什么,如何解决?,制定实施方案,确定实施时间、实施地点、实施人员、实施内容、实施方法和预期效果等。,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,9,第二章 实施指导,确认软件版本,请先确认当前使用版本是否是,10.3(4B8),。版本获取途径,从官网下载或者致电,4008111000,索要。,库文件更新,4B8,版本分“应用分类库”、“地址库”、“,URL,库”、“内容审计特征库”、“,web,网管”,5,个库文件,库文件均能在线更新。,硬盘检查,流量审计、内容审计的历史数据均存储在硬盘上,请确保硬盘工作状态正常。在“系统首页”即能看到硬盘的工作状态。,系统时间检查,系统时间关系到审计记录的时间准确性。需确保系统时间准确无误。,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,10,第二章 实施指导,拓扑连接,EG,具有两种模式:,网关模式:,设备作为出口网关设备,起路由,和地址转换作用,网桥模式:,设备桥接在网络中,透明转发,,不改变现有拓扑,能进行流控和,审计相关功能,注意:网关模式和网桥模式在流控、上网行为管理、,web,认证上无区别,但是网桥模式无路由相关的功能。本实施指导以网关模式为例。,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,11,第二章 实施指导,拓扑连接,网关模式,内网口接内网,外网口接外网,注意:,EG,的接口属性具有内网口和外网口之分;,内网口和外网口都是三层口;,内网口和外网口能相互转换,转换之后需要重启;,如果端口数不够,可在“网络配置”,“,接口配置”,“,接口转换”中,先进行转换再配置。,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,12,配置管理,快速配置,首次配置必须使用快速配置,以完成设备的初始化配置,否则可能出现不可预料的问题。,快速配置,实现快速上网(默认管理接口,LAN0,口,,IP,地址为,192.168.1.1,,账号和密码是,admin/admin,,建议使用,ie,浏览器的兼容模式打开,web,管理界面)。,选择网络模式为网关模式。,第二章 实施指导,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,13,第二章 实施指导,配置管理,快速配置,填写接口,IP,地址(配置内网口,IP,地址和掩码;选择外网口地址类型,支持静态,IP,地址、,ADSL,、,DHCP,;填写正确的带宽大小和,ISP,类型)。,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,14,第二章 实施指导,配置管理,快速配置,选择流控方案(流控方案有网吧、企业、酒店、普教、高校;除了高校是基于用户外,其他的方案是基于应用的,基于应用的流控方案,应用分类选型不一样)。,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,15,第二章 实施指导,配置管理,快速配置,高级选项(如果需要进行地址转换一定要开启,NAT,配置,要能够访问外网一定要开启缺省路由)。,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,16,第二章 实施指导,配置管理,流控模板的调整,流控模板调整,4B8,版本流控采用模板化的流控方案,流控方案是精心设计的,适用于绝大部分的应用场景。,调整应用分类,通过鼠标拖动可以对应用进行快速分类(默认每种应用都属于其中某个分类)。,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,17,第二章 实施指导,配置管理,流控模板的调整,点击左上角的“带宽配置”,打开带宽配置页面。,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,18,第二章 实施指导,配置管理,流控模板的调整,流控模板对关键应用和普通应用在带宽紧张时做了带宽保障(建议保持默认比例)。,流控模板保证在当普通和抑制应用无流量的时候,关键应用能借用所有带宽,依次类推普通应用也是如此,而抑制应用则能占用,70%,最大带宽(建议保持默认比例)。,流控模板按照线路带宽自动计算每,IP,的最大带宽,因此每个,IP,地址是有带宽上限的,如果带宽比较充裕可调大普通应用和抑制应用的每,IP,最大带宽(可选调整)。,*在单机测试的情况下需要调整每,IP,最大带宽和各类应用最大带宽,否则流量上不去。,*配置完一条线路后要先进行保存,再配置下一条线路。,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,19,第二章 实施指导,配置管理,流控高级策略,流控高级,向导化的设计使得配置更加方便灵活(适用于工程师使用)。,点击流控高级按钮 ,进入流控高级策略配置页面。,选择接口,Gi0/6,,然后点击新建策略,新建流控策略。新建策略采用,向导化。,5,个步骤:,规则命名,带宽分配,选择用户,选择应用,高级选项,完成配置。,流控策略在一条线路设置好后,可通过,“复制策略”,复制到其他线路上,减少配置的工作量。,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,20,第二章 实施指导,配置管理,流控高级策略,注意:,开关闭流控,进入“流控高级”,选择某条线路,可关闭某条流控策略或者线路所有流控。,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,21,第二章 实施指导,配置管理,流控高级策略,带宽升级,点击“,带宽配置,”,选择某条线路,可进行流控带宽升级调整。需要注意的是升级带宽会相应的修改“,各类应用保障带宽,”和“,各类应用最大带宽,”,而不会修改“,各类应用每,IP,最大带宽,”。,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,22,第二章 实施指导,配置管理,流控高级策略,流控方案切换,点击切换按钮 ,可以快速切换流控方案,也能够将流控方案恢复为预设的流控方案。,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,23,第二章 实施指导,配置管理,流控高级策略,应用阻断,应用阻断无需配置高级策略来实现阻断,点击 ,添加需阻断的应用即可实现应用阻断。,该阻断基于全局生效,无需在接口配置阻断策略。,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,24,第二章 实施指导,配置管理,应用路由,从,10.3,(,4B8,)版本开始支持应用路由,应用路由即基于应用进行选路,常用于以下场景:,多外网线路;,线路质量或者线路价格存在差异;,视频或者,P2P,占用了大量带宽影响了关键业务。,因此需要将占用带宽比较大的分流到其他线路上,以保证关键业务不受影响,并且能够节约成本。,例如:,某深圳网吧,,30M,光纤,15000,元,/,月,,12M ADSL,约,800,元,/,月,每,M,价格差距达到,7-8,倍。如果能够保证关键应用走光纤,其他抑制应用走的是比较低廉的,ADSL,线路,那么对于网吧经营者来说就意味成本降低,可以更好的利用线路,提升用户体验。,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,25,第二章 实施指导,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,配置管理,应用路由,在“网络配置”,“路由,/,负载”,“新建应用路由”。应用路由采用向导化配置如下图:,注意:,应用路由要能生效,需要在接口上配置下一跳地址,。,为了达到更好的分流效果,当选择某项应用分类时系统,会自动为您选择相关联的应用。,应用可分流到一个接口组中,接口组可包含多个接口。,接口组中的接口之间的负载均衡策略可采用基于负载,或者基于带宽的负载均衡策略。如果是接口组的接口带宽,大小不一致推荐使用基于负载,如果一致两种策略均可。,并不是所有应用都能应用路由,支持的类型会不断更新。,Page,26,第二章 实施指导,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,配置管理,多链路负载均衡和过载保护,多链路负载均衡用于解决,ECMP,路由(默认路由,/,静态路由,/,地址库)之间的选路问题,优化带宽利用率或者减低访问延时。适用如下场景:,单运营商多条线路:设备配置了多条默认路由形成,ECMP,路由,当各线路质量相同,采用,mllb,的带宽策略或者带宽利用率策略,由于负载策略会兼顾到线路当前的负载情况,我们推荐使用负载策略;,多运营商多条线路:设备配置了多条默认路由或者多条线路启用同样的地址库,形成了,EMCP,路由。这种情况需首先明确各线路之间跨网延时会不会大,延时大采用时延策略,延时小采用带宽策略或负载策略。同时要分析能否开启地址库,即电信或联通的带宽够不够,如果足够,可以开启地址库。,开启基于时延的策略可能会引起某条线路带宽负载比较大,但低于缺省阀值,这是正常现象,高过阀值之后流量会分配到其他延时比较小的线路上。,过载保护:,当接口组中一条线路超过阀值之后,流量分担到接口组中的其他线路上。,Page,27,第二章 实施指导,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,配置管理,多链路负载均衡和过载保护,选路优先级关系:,RPL(,源进源出,),PBR(,策略路由,),过载保护,应用路由,普通路由选路,/,负载均衡,负载均衡配置:,在接口配置中配置下一跳,并开启缺省路由,,保证存在,ECMP,路由,。,在“网络配置”,“路由,/,负载”,“多,链路负载均衡”开启负载均衡,同时选择负载策略,策略类型。,当所有线路都超过阀值(默认,90%,)时,流量,选路走,Gi0/6,口(可选配置)。,Page,28,第二章 实施指导,配置管理,多链路负载均衡和过载保护,对于同一个接口组内的接口,如果某个接口的流量超过了链路阀值,(90%),,而该接口的后续新建流从别的出口可达,会把后续新建流切换到组内的其余接口。,过载保护配置,在接口配置中配置下一跳地址。,在“网络配置”,“路由,/,负载”,“多,链路负载均衡”,开启过载保护,。,将需要过载保护的接口配置到一个关键接口组中,只有组中的接口才能进行相互间的过载保护。,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,29,第二章 实施指导,配置管理,广告推送,广告推送适用于酒店行业,在普教行业也可以使用该功能进行网上通知发布,中小企业则可以借此功能进行公司主页推送。,在“网络配置”,“,DNS,配置”设备上,配置,DNS,(当地,DNS,,,DNS,要保证可用性)。,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,30,第二章 实施指导,配置管理,广告推送,在“用户管理”,“上网实名策略”中开启“内置,web,认证服务器”同时按照如下进行配置。,开启无需认证广告推送,必须开启账号共享,配置广告地址并设置广告间隔,时间间隔期间不会再次弹出广告,开启广告推送必须配置,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,31,第二章 实施指导,配置管理,广告推送,在“内置认证服务器”高级设置中设置,开启下线检测后,如果用户,15,分钟无流量,那么认为用户不在线,当用户重新使用网络时,将再次弹出广告,而不是等时间间隔,2,小时到再弹广告。此功能可关闭。,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,32,第二章 实施指导,配置管理,广告推送,首次上网时会弹出两个打开页,一个是广告,页,一个是上网提示页,点击继续上网即可,实现上网,没有点击的话会再次弹出广告。,注意:广告页面不能是会跳转的网站,或者,弹出框很多的门户网站。,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,33,第二章 实施指导,配置管理,上网实名策略,在单,EG,出口的网络环境下,客户需要对,pc,上网进行控制:办公区域地址免认证且不弹出广告,其他区域则需要认证,认证用户先认证后广告。,解决办法:,EG,采用内置,web,认证模式,,广告推送模式设置为先认证后广告,办,公区域,IP,加入免认证用户,IP,中。,开启内置认证服务器,管理认证用户:在“管理认证用户”,中添加本地认证的用户名和密码。,广告地址:设置广告推送方式为先认证,后广告,并且配置要推送的广告地址。,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,34,第二章 实施指导,配置管理,上网实名策略,假设办公区域为,33.1.1.0,网段,在,高级选项中将其加入免认证用户,IP,中,开启流量下线检测,效果验证:,办公区域访问外网无任何,限制,其他区域,IP,访问外网需要输入,用户名和密码,认证通过后,推送广,告,可以正常访问外网。,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,35,第二章 实施指导,配置管理,上网实名策略,对于内置认证方式集成了简单的管理功能:,禁止账号:禁止后,通过该账号上网的用户将无法认证通过。,支持用户修改密码:该方式适用于本地认证,如果使用外部服务器认证,需开启“,SMP,用户修改密码”。,踢用户下线:在“在线用户管理”中可踢用户下线。,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,36,第二章 实施指导,配置管理,VPN,新版本极大地增强了,VPN,的性能,并且向导化的配置使得,VPN,更易部署。,新版本支持的,VPN,类型:,PPTP(,服务端,),L2TP,(客户端或者服务端),L2TP IPsec,(客户端或者服务端),IPSEC,当使用,NBR/EG,作为分支机构或者总部时,系统能够对,VPN,线路中的流量进行应用识别,并能够流控。,开启 ,勾选相关应用,即能够对,VPN,线路中的应用流量进行保障(,vpn-key,通道保障带宽是,20%,总带宽)。,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,37,第二章 实施指导,配置管理,VPN,VPN,配置向导,注意:,通过该向导可以完成总部和分支机构所支持的所有,VPN,类型的配置。,EG,既可以作为分支机构同时也作为总部。,可支持,VPN,连接拓扑图和表格显示,可显示,VPN,的连,接状态和流量情况。,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,38,第二章 实施指导,配置管理,VPN,VPN,易部署工具,该工具适用于总部管理多分支机构时,为各个分支机构生成,VPN,配置,或者为移动用户生成,VPN,拨号软件。,生成后缀名为,ruijie,的分支机构配置文件,该配置文件可从客户端设备的“增强功能”选项中导入,生成后缀名为,exe,的可执行文件,该文件可在,pc,上进行安装,安装后可通过该软件进行,VPN,拨号,免除设置操作,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,39,第二章 实施指导,配置管理,行为管理(一键式配置),新版本支持一键式配置行为管理策略,开启默认审计:,开启相应功能的默认审计,在未指定特殊策略,的时候缺省全部进行审计记录。,禁止应用,:,基于全局禁止某种应用,禁止用户,:,禁止某个用户上网,免审计用户,:,添加免审计或者免流控用户,免流控用户的流,量为“免识别流量”。,禁止网站,:,全局禁止访问某个,URL,禁止文件类型,:,全局禁止,URL,最后字符为文件类型后缀的,URL,如阻断,doc,文件类型,那么只有当文件下载的,URL,路径最后为,.doc,时才会有效。,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,40,第二章 实施指导,配置管理,行为管理(一键式配置),新版本支持一键式配置行为管理策略,不审计网站,:,开启后会对一些杀毒等软件的更新资源的,URL,不进行审计。,禁止客户端邮箱:,能够禁止如,outlook,,,foxmail,的邮箱客户端,账号。,禁止,QQ/MSN,账号:,能够禁止客户端软件,QQ/MSN,的登陆账号,网页重定向,:,能够将访问的某个,URL,重定向到另外一个指定,的,URL,上。,注意:,此功能在,4T90,版本上叫做访问监控和内容审计,在,4B8,合并成为行为管理。,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,41,第二章 实施指导,配置管理,联动管理(,V2.0,),EG,支持和锐捷交换机的联动,联动分为安全联动和管理联动。,安全联动:,即对交换机设备自动配置,anti-arp-spoofing,,防止冒充网关欺骗,PC,类型的,arp,欺骗。,管理联动:,即能够实现对交换机的,web,配置管理。,通信机制:,路由器与交换机的通信采用的标准的,HTTP,通信机制,路由器作为,HTTP,客户端,交换机作为,HTTP,服务端,路由器可以主动与交换机进行连接,与交换机进行通信。,注意:,联动支持交换机部署为三层模式或者二层模式,联动交换机支持锐捷品牌交换机,支持如下型号:,S5750,/,S5760,/,S29,/,S27,/,S3250,/,S3250E,/,S23,/,S2328G,/,S76,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,42,第二章 实施指导,配置管理,联动管理(,V2.0,),联动配置(以,S29,二层联动为例,下面是联动的主要配置,其他略),配置交换机,enable secret 0 admin /,设备密码,enable service web-server/,启动,web,服务,ip http authentication enable/,用,enable secret,的密码作,web,登陆密码,interface VLAN 1 /,配置与网关相连的,vlan,的,ip,地址,no ip proxy-arp,ip address 10.1.1.2 255.255.255.0,ip route 0.0.0.0 0.0.0.0 10.1.1.1/,默认路由指向网关,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,43,第二章 实施指导,配置管理,联动管理(,V2.0,),联动配置,在,EG,上添加交换机的管理地址和密码,并选择设备的地址(核心或者接入),准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,44,第二章 实施指导,配置管理,联动管理(,V2.0,),联动配置,添加完毕后开启安全联动,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,45,第二章 实施指导,配置管理,联动管理(,V2.0,),联动配置,选择某台交换机,可以对交换机进行,web,配置,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,46,第二章 实施指导,检查配置,首次实施推荐使用快速配置,检查线路带宽值配置是否正确,检查外网线路运营商类型是否选择正确也可以选择其他,检查流控方案是否选择正确,检查是否配置了正确的可用的,DNS,应用分类请谨慎将占用带宽大的应用放到关键应用中,当出现策略不生效时,请按照系统提示进行修改,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,47,第二章 实施指导,验证效果,在流量监控中确认应用识别是否正确,在流量监控中确认流量统计是否正确,如果流量上不去,请检查流控策略中的“带宽配置”,“每,IP,最大带宽”并调整策略,如果某应用限速限不准或者阻断不了,那么需检查应用选择是否按照推荐的类型进行选择,行为管理策略是否生效,审计记录是否正常产生,VPN,状态和流量是否正常,web,认证是否正常,准备,了解用户环境,收集用户需求,制定实施方案,验证,确认软件版本,库文件更新,硬盘检查,系统时间检查,实施,拓扑连接,配置管理,检查验证,检查配置,验证效果,Page,48,第一章 产品简介,第二章 实施指导,第三章 案例分析,第三章 案例分析,准备,验证,实施,收尾,了解用户环境,客户是某地中学,主要分教师用户和学生用户,为了满足公安,82,号令,学校需对上网行为进行管理并记录实名信息出口设备使用的是产品,EG1000C,。,设备单出口,10M,电信,需保证关键业务网页浏览,收集用户需求,上网行为管理:学校禁止访问某些非法站点,并且对网站访问实名记录;对论坛发帖审计实名信息和发帖内容。,全校采用,web,认证,访问对教育局资源无需,web,认证。,制定实施方案,实施策略上以,web,认证和行为管理为主要实施内容。,Page,50,第三章 案例分析,确认软件版本,在“系统首页”即能看到设备,CPU,、内存、硬盘状态以及版本信息。,库文件更新,在“系统升级”中查看各类库文件更新情况,系统时间检查,在“系统设置”,“时间,/,语言”中检查时间是否正确。,准备,验证,实施,收尾,Page,51,快速配置,将网线连接到,Gi0/0,口,并将,pc,的,ip,地址配置为,192.168.1.2,,在浏览器的地址栏输入,192.168.1.1,,打开,EG,的,web,管理界面,默认账号和密码是,admin/admin,,建议使用,ie,浏览器的兼容模式打开,web,管理界面。,首次使用必须使用快速配置,以完成设备的初始化配置,避免出现不可预料的问题。,第三章 案例分析,将设备部署为网关模式,配置接口配置,流控方案选择普教方案,保证网页浏览,通过快速配置已经完成了流控。可参考案例分析部分对流控进行调整。,准备,验证,实施,收尾,Page,52,上网实名策略,在上网实名策略中开启“内置认证服务器”,在“管理认证用户”中添加用户信息,第三章 案例分析,准备,验证,实施,收尾,Page,53,上网实名策略,在“高级设置”中配置流量下线检测,并添加免认证可访问的教育网资源(假设服务器是,8.8.8.8,),免认证网络资源,8.8.8.8,在未认证前可以,ping,通,而,120.35.11.201,未认证前无法,ping,通。,第三章 案例分析,准备,验证,实施,收尾,Page,54,行为策略,在“行为策略”中开启,“网站访问”,和,“论坛发发帖”,默认审计(默认审计,即在未配置任何策略的情况能够对上网行为自动记录。如网站访问和论坛发帖审计并记录)。,第三章 案例分析,准备,验证,实施,收尾,Page,55,行为策略,在“禁止网站”中添加如下黑名单网站,。,第三章 案例分析,准备,验证,实施,收尾,Page,56,行为策略,指定个别用户禁止访问某网站,如禁止用户“童小珍”访问百度,。,在“行为策略”中的高级配置新建网站访,问策略。,在弹出窗口点击“自定义网站类”,添加自定义网站,选择自定义网站类,选择用户时输入“童小珍”,访问控制选择“阻断并审计”。,第三章 案例分析,准备,验证,实施,收尾,Page,57,行为策略,当该用户未在线时,自定义的策略显示不生效。,当用户认证上线后,策略自动生效,童小珍认证上线之后去访问百度提示禁止信息,第三章 案例分析,准备,验证,实施,收尾,Page,58,检查验证,检查各用户的三类应用是否在流控限制的范围内,关键业务是否得到优先保障。,检查,web,认证账号配置是否完整,检查是否能够正常认证上下线,检查免认证资源在未认证前是否能够正常访问,检查非法网站和自定义阻断,URL,策略是否正常生效,检查网站访问记录及论坛发帖记录是否审计并记录,第三章 案例分析,准备,验证,实施,收尾,Page,59,
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
