RG-EG系列易网关产品初阶培训-牛.ppt

资源描述

1、配色参考方案：建议同一页面内不超过三种颜色，以下是10组配色方案，同一页面内只选择一组使用。（仅供参考）RG-EG系列易网关产品初阶培训牛永刚配色参考方案：建议同一页面内不超过三种颜色，以下是10组配色方案，同一页面内只选择一组使用。（仅供参考）目录 Contentsn n第一章第一章产品简介产品简介n n第二章第二章实施指导实施指导n n第三章第三章案例分析案例分析产品形态RG-1000CRG-1000SRG-1000M产品形态n nEG1000C外观PWRPWR：电源灯，绿色常亮表示正常；：电源灯，绿色常亮表示正常；SYSSYS：系统指示灯，上电初始化时绿色常闪，初：系统指示灯，上

2、电初始化时绿色常闪，初始化完成时绿色常亮，红色常亮表示告警始化完成时绿色常亮，红色常亮表示告警0/MGMT0/MGMT口，在网关模式下口，在网关模式下即表示即表示Gi0/0Gi0/0口，在桥模式口，在桥模式下表示管下表示管理口理口MGMTMGMTGi0/3Gi0/3Gi0/5Gi0/5、Gi0/4Gi0/6Gi0/4Gi0/6是硬件是硬件bypassbypass接口，当做桥串接到网络中时推荐使用接口，当做桥串接到网络中时推荐使用这两组接口做这两组接口做桥桥5F/6F5F/6F是光电复用口，和是光电复用口，和Gi0/5Gi0/5、Gi0/6Gi0/6电口分别复用电口分别复用SATASATA：硬盘

3、指示灯，闪烁表示硬盘在读写，常亮表示硬盘存在：硬盘指示灯，闪烁表示硬盘在读写，常亮表示硬盘存在SDSD卡卡/USB/USB接口：接口：U U盘推荐使用金士顿，并且文件系统格式为盘推荐使用金士顿，并且文件系统格式为FAT32FAT32，其他型号不保证，其他型号不保证兼容性兼容性243651产品形态n nEG1000S外观RESETRESET按钮：按下时间小于按钮：按下时间小于3 3 秒，出口网关重启；秒，出口网关重启；按下时间大于按下时间大于3 3 秒，出口网关恢复秒，出口网关恢复出厂设置并重启。出厂设置并重启。1F1F光电复用口，和光电复用口，和Gi0/1 Gi0/1 电口复用。电口复用。Gi

4、0/0Gi0/1Gi0/0Gi0/1、Gi0/3Gi0/4Gi0/3Gi0/4是是硬件硬件bypassbypass接口，当做桥串接到网络中时推荐使用接口，当做桥串接到网络中时推荐使用这两组接口做桥。这两组接口做桥。5/MGMT5/MGMT口，在网关模式下即口，在网关模式下即Gi0/5Gi0/5口，在桥模式下是管理口口，在桥模式下是管理口MGMTMGMT4231产品外观n nEG1000M外观双电源，支持热插拔。双电源，支持热插拔。独立的独立的MGMTMGMT口口Gi0/0Gi0/1Gi0/0Gi0/1、Gi0/2Gi0/3Gi0/2Gi0/3是硬件是硬件bypassbypass接口，当做桥串接

5、到网络中时推荐使用接口，当做桥串接到网络中时推荐使用这两组接口做桥这两组接口做桥支支持持8 8 对光电复用对光电复用端口端口扩展槽扩展槽2 2个个支持光支持光BYPASSBYPASS，需购买光，需购买光BYPASSBYPASS设备。设备。142356产品简介设备登录方式：1.WEB登录默认管理地址为192.168.1.12.Console登录3.Telnet登录配色参考方案：建议同一页面内不超过三种颜色，以下是10组配色方案，同一页面内只选择一组使用。（仅供参考）目录 Contentsn n第一章第一章产品简介产品简介n n第二章第二章实施指导实施指导n n第三章第三章案例分析案例分

6、析第二章实施指导p了解用户环境l了解用户拓扑情况，用户数量，IP地址规划；l了解线路数量，带宽大小和运营商类型。p收集用户需求l了解用户的功能需求是什么？l目前碰到的问题是什么，如何解决？p制定实施方案l确定实施时间、实施地点、实施人员、实施内容、实施方法和预期效果等。了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p确认软件版本请先确认当前使用版本是否是10.3(4B8)。版本获取途径，从官网下载或者致电4008111000索要。p库文件更新

7、4B8版本分“应用分类库”、“地址库”、“URL库”、“内容审计特征库”、“web网管”5个库文件，库文件均能在线更新。p硬盘检查流量审计、内容审计的历史数据均存储在硬盘上，请确保硬盘工作状态正常。在“系统首页”即能看到硬盘的工作状态。p系统时间检查系统时间关系到审计记录的时间准确性。需确保系统时间准确无误。了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本确认软件版本库文件更新库文件更新硬盘检查硬盘检查系统时间检查系统时间检查验证拓扑连接配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p拓扑连接EG具有两种模式：网关模式：设备作为出口

8、网关设备，起路由和地址转换作用网桥模式：设备桥接在网络中，透明转发，不改变现有拓扑，能进行流控和审计相关功能注意：网关模式和网桥模式在流控、上网行为管理、web认证上无区别，但是网桥模式无路由相关的功能。本实施指导以网关模式为例。了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接拓扑连接配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p拓扑连接网关模式内网口接内网外网口接外网注意：1.EG的接口属性具有内网口和外网口之分；2.内网口和外网口都是三层口；3.内网口和外网口能相互转换，转换之后需要重

9、启；4.如果端口数不够，可在“网络配置”“接口配置”“接口转换”中先进行转换再配置。了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接拓扑连接配置管理实施实施检查配置验证效果检查验证检查验证p配置管理快速配置l首次配置必须使用快速配置，以完成设备的初始化配置，否则可能出现不可预料的问题。l快速配置实现快速上网（默认管理接口LAN0口，IP地址为192.168.1.1，账号和密码是admin/admin，建议使用ie浏览器的兼容模式打开web管理界面）。1.选择网络模式为网关模式。第二章实施指导了解用户环境了解

10、用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p配置管理快速配置2.填写接口IP地址（配置内网口IP地址和掩码；选择外网口地址类型，支持静态IP地址、ADSL、DHCP；填写正确的带宽大小和ISP类型）。了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p配置管理快速配置3.选择流控方案（流控方案有

11、网吧、企业、酒店、普教、高校；除了高校是基于用户外，其他的方案是基于应用的，基于应用的流控方案，应用分类选型不一样）。了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p配置管理快速配置4.高级选项（如果需要进行地址转换一定要开启NAT配置，要能够访问外网一定要开启缺省路由）。了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置

12、验证效果检查验证检查验证第二章实施指导p配置管理流控模板的调整l流控模板调整4B8版本流控采用模板化的流控方案，流控方案是精心设计的，适用于绝大部分的应用场景。1.调整应用分类，通过鼠标拖动可以对应用进行快速分类（默认每种应用都属于其中某个分类）。了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p配置管理流控模板的调整2.点击左上角的“带宽配置”，打开带宽配置页面。了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案

13、准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p配置管理流控模板的调整3.流控模板对关键应用和普通应用在带宽紧张时做了带宽保障（建议保持默认比例）。4.流控模板保证在当普通和抑制应用无流量的时候，关键应用能借用所有带宽，依次类推普通应用也是如此，而抑制应用则能占用70%最大带宽（建议保持默认比例）。5.流控模板按照线路带宽自动计算每IP的最大带宽，因此每个IP地址是有带宽上限的，如果带宽比较充裕可调大普通应用和抑制应用的每IP最大带宽（可选调整）。*在单机测试的情况下需要调整每IP最大带宽和各类应用最大带宽

14、，否则流量上不去。*配置完一条线路后要先进行保存，再配置下一条线路。了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p配置管理流控高级策略l流控高级向导化的设计使得配置更加方便灵活（适用于工程师使用）。1.点击流控高级按钮，进入流控高级策略配置页面。2.选择接口Gi0/6，然后点击新建策略，新建流控策略。新建策略采用向导化。5个步骤：规则命名带宽分配选择用户选择应用高级选项完成配置。3.流控策略在一条线路设置好后，可通过“复制策略”复制

15、到其他线路上，减少配置的工作量。了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p配置管理流控高级策略u注意：1.开关闭流控进入“流控高级”，选择某条线路，可关闭某条流控策略或者线路所有流控。了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p配置管理流控高级策略2.带宽升级点击“带宽

16、配置”，选择某条线路，可进行流控带宽升级调整。需要注意的是升级带宽会相应的修改“各类应用各类应用保障带宽保障带宽”和“各类应用最大带宽各类应用最大带宽”，而不会修改“各类应用每各类应用每IP最大带宽最大带宽”。了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p配置管理流控高级策略3.流控方案切换点击切换按钮，可以快速切换流控方案，也能够将流控方案恢复为预设的流控方案。了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方

17、案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p配置管理流控高级策略4.应用阻断应用阻断无需配置高级策略来实现阻断，点击，添加需阻断的应用即可实现应用阻断。该阻断基于全局生效，无需在接口配置阻断策略。了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p配置管理应用路由l从10.3（4B8）版本开始支持应用路由，应用路由即基于应用进行选路，常用于以下场

18、景：1.多外网线路；2.线路质量或者线路价格存在差异；3.视频或者P2P占用了大量带宽影响了关键业务。因此需要将占用带宽比较大的分流到其他线路上，以保证关键业务不受影响，并且能够节约成本。例如：某深圳网吧，30M光纤 15000元/月，12M ADSL约800元/月，每M价格差距达到7-8倍。如果能够保证关键应用走光纤，其他抑制应用走的是比较低廉的ADSL线路，那么对于网吧经营者来说就意味成本降低，可以更好的利用线路，提升用户体验。了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配

19、置验证效果检查验证检查验证第二章实施指导了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证p配置管理应用路由1.在“网络配置”“路由/负载”“新建应用路由”。应用路由采用向导化配置如下图：u注意：1.应用路由要能生效，需要在接口上配置下一跳地址。2.为了达到更好的分流效果，当选择某项应用分类时系统会自动为您选择相关联的应用。3.应用可分流到一个接口组中，接口组可包含多个接口。4.接口组中的接口之间的负载均衡策略可采用基于负载或者基于带宽的负载均衡策略。如

20、果是接口组的接口带宽大小不一致推荐使用基于负载，如果一致两种策略均可。并不是所有应用都能应用路由，支持的类型会不断更新。第二章实施指导了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证p配置管理多链路负载均衡和过载保护多链路负载均衡用于解决ECMP路由（默认路由/静态路由/地址库）之间的选路问题，优化带宽利用率或者减低访问延时。适用如下场景：l单运营商多条线路：设备配置了多条默认路由形成ECMP路由，当各线路质量相同，采用mllb的带宽策略或者带宽利用率

21、策略，由于负载策略会兼顾到线路当前的负载情况，我们推荐使用负载策略；l多运营商多条线路：设备配置了多条默认路由或者多条线路启用同样的地址库，形成了EMCP路由。这种情况需首先明确各线路之间跨网延时会不会大，延时大采用时延策略，延时小采用带宽策略或负载策略。同时要分析能否开启地址库，即电信或联通的带宽够不够，如果足够，可以开启地址库。l开启基于时延的策略可能会引起某条线路带宽负载比较大，但低于缺省阀值，这是正常现象，高过阀值之后流量会分配到其他延时比较小的线路上。过载保护：l当接口组中一条线路超过阀值之后，流量分担到接口组中的其他线路上。第二章实施指导了解用户环境了解用户环境收集用户需求收集用

22、户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证p配置管理多链路负载均衡和过载保护选路优先级关系：RPL(源进源出源进源出)PBR(策策略路由略路由)过过载保护载保护应用路应用路由由普普通路由选路通路由选路/负载均负载均衡衡负载均衡配置：1.在接口配置中配置下一跳，并开启缺省路由，保证存在ECMP路由。在“网络配置”“路由/负载”“多链路负载均衡”开启负载均衡，同时选择负载策略策略类型。当所有线路都超过阀值（默认90%）时，流量选路走Gi0/6口（可选配置）。第二章实施指导p配置管理多链路负载

23、均衡和过载保护对于同一个接口组内的接口，如果某个接口的流量超过了链路阀值(90%)，而该接口的后续新建流从别的出口可达，会把后续新建流切换到组内的其余接口。过载保护配置1.在接口配置中配置下一跳地址。2.在“网络配置”“路由/负载”“多链路负载均衡”开启过载保护。将需要过载保护的接口配置到一个关键接口组中只有组中的接口才能进行相互间的过载保护。了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p配置管理广告推送广告推送适用于酒店行业，在普教

24、行业也可以使用该功能进行网上通知发布，中小企业则可以借此功能进行公司主页推送。1.在“网络配置”“DNS配置”设备上配置DNS（当地DNS，DNS要保证可用性）。了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p配置管理广告推送2.在“用户管理”“上网实名策略”中开启“内置web认证服务器”同时按照如下进行配置。开启无需认证广告推送，必须开启账号共享配置广告地址并设置广告间隔，时间间隔期间不会再次弹出广告开启广告推送必须配置了解用户环境了

25、解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p配置管理广告推送3.在“内置认证服务器”高级设置中设置开启下线检测后，如果用户15分钟无流量，那么认为用户不在线，当用户重新使用网络时，将再次弹出广告，而不是等时间间隔2小时到再弹广告。此功能可关闭。了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导

26、p配置管理广告推送4.首次上网时会弹出两个打开页，一个是广告页，一个是上网提示页，点击继续上网即可实现上网，没有点击的话会再次弹出广告。注意：广告页面不能是会跳转的网站，或者弹出框很多的门户网站。了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p配置管理上网实名策略在单EG出口的网络环境下，客户需要对pc上网进行控制：办公区域地址免认证且不弹出广告，其他区域则需要认证，认证用户先认证后广告。解决办法：解决办法：EG采用内置web认证模式，

27、广告推送模式设置为先认证后广告，办公区域IP加入免认证用户IP中。1.开启内置认证服务器2.管理认证用户：在“管理认证用户”中添加本地认证的用户名和密码。广告地址：设置广告推送方式为先认证后广告，并且配置要推送的广告地址。了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p配置管理上网实名策略4.假设办公区域为33.1.1.0网段，在高级选项中将其加入免认证用户IP中5.开启流量下线检测效果验证：办公区域访问外网无任何限制，其他区域IP访问

28、外网需要输入用户名和密码，认证通过后，推送广告，可以正常访问外网。了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p配置管理上网实名策略对于内置认证方式集成了简单的管理功能：禁止账号：禁止后，通过该账号上网的用户将无法认证通过。支持用户修改密码：该方式适用于本地认证，如果使用外部服务器认证，需开启“SMP用户修改密码”。踢用户下线：在“在线用户管理”中可踢用户下线。了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准

29、备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p配置管理VPN新版本极大地增强了VPN的性能，并且向导化的配置使得VPN更易部署。新版本支持的VPN类型：PPTP(服务端)L2TP（客户端或者服务端）L2TP IPsec（客户端或者服务端）IPSEC当使用NBR/EG作为分支机构或者总部时，系统能够对VPN线路中的流量进行应用识别，并能够流控。开启，勾选相关应用，即能够对VPN线路中的应用流量进行保障（vpn-key通道保障带宽是20%总带宽）。了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制

30、定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p配置管理VPNVPN配置向导u注意：1.通过该向导可以完成总部和分支机构所支持的所有VPN类型的配置。2.EG既可以作为分支机构同时也作为总部。3.可支持VPN连接拓扑图和表格显示，可显示VPN的连接状态和流量情况。了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p配置管理VPNVPN易部署工具

31、该工具适用于总部管理多分支机构时，为各个分支机构生成VPN配置，或者为移动用户生成VPN拨号软件。生成后缀名为ruijie的分支机构配置文件，该配置文件可从客户端设备的“增强功能”选项中导入生成后缀名为exe的可执行文件，该文件可在pc上进行安装，安装后可通过该软件进行VPN拨号，免除设置操作了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p配置管理行为管理（一键式配置）新版本支持一键式配置行为管理策略开启默认审计：开启相应功能的默认审计

32、，在未指定特殊策略的时候缺省全部进行审计记录。禁止应用：基于全局禁止某种应用禁止用户：禁止某个用户上网免审计用户：添加免审计或者免流控用户，免流控用户的流量为“免识别流量”。禁止网站：全局禁止访问某个URL禁止文件类型：全局禁止URL最后字符为文件类型后缀的URL如阻断doc文件类型，那么只有当文件下载的URL路径最后为.doc时才会有效。了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p配置管理行为管理（一键式配置）新版本支持一键式配置

33、行为管理策略不审计网站：开启后会对一些杀毒等软件的更新资源的URL不进行审计。禁止客户端邮箱：能够禁止如outlook，foxmail的邮箱客户端账号。禁止QQ/MSN账号：能够禁止客户端软件QQ/MSN的登陆账号网页重定向：能够将访问的某个URL重定向到另外一个指定的URL上。u注意：此功能在4T90版本上叫做访问监控和内容审计，在4B8合并成为行为管理。了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p配置管理联动管理（V2.0）EG

34、支持和锐捷交换机的联动，联动分为安全联动和管理联动。安全联动：即对交换机设备自动配置anti-arp-spoofing，防止冒充网关欺骗PC类型的arp欺骗。管理联动：即能够实现对交换机的web配置管理。通信机制：通信机制：路由器与交换机的通信采用的标准的HTTP通信机制，路由器作为HTTP客户端，交换机作为HTTP服务端，路由器可以主动与交换机进行连接，与交换机进行通信。u注意：联动支持交换机部署为三层模式或者二层模式联动交换机支持锐捷品牌交换机，支持如下型号：S5750/S5760/S29/S27/S3250/S3250E/S23/S2328G/S76了解用户环境了解用户环境收集用户需求收

35、集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p配置管理联动管理（V2.0）联动配置（以S29二层联动为例，下面是联动的主要配置，其他略）1.配置交换机enable secret 0 admin /设备密码enable service web-server/启动web服务ip http authentication enable/用enable secret的密码作web登陆密码interface VLAN 1 /配置与网关相连的vlan 的ip地址 no ip proxy

36、-arp ip address 10.1.1.2 255.255.255.0ip route 0.0.0.0 0.0.0.0 10.1.1.1/默认路由指向网关了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p配置管理联动管理（V2.0）联动配置2.在EG上添加交换机的管理地址和密码，并选择设备的地址（核心或者接入）了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验

37、证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p配置管理联动管理（V2.0）联动配置3.添加完毕后开启安全联动了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置验证效果检查验证检查验证第二章实施指导p配置管理联动管理（V2.0）联动配置4.选择某台交换机，可以对交换机进行web配置了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配

38、置验证效果检查验证检查验证第二章实施指导p检查配置首次实施推荐使用快速配置检查线路带宽值配置是否正确检查外网线路运营商类型是否选择正确也可以选择其他检查流控方案是否选择正确检查是否配置了正确的可用的DNS应用分类请谨慎将占用带宽大的应用放到关键应用中当出现策略不生效时，请按照系统提示进行修改了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置检查配置验证效果检查验证检查验证第二章实施指导p验证效果在流量监控中确认应用识别是否正确在流量监控中确认流量统计是否正确如果流量上不去，请

39、检查流控策略中的“带宽配置”“每IP最大带宽”并调整策略如果某应用限速限不准或者阻断不了，那么需检查应用选择是否按照推荐的类型进行选择行为管理策略是否生效，审计记录是否正常产生VPN状态和流量是否正常web认证是否正常了解用户环境了解用户环境收集用户需求收集用户需求制定实施方案制定实施方案准备准备确认软件版本库文件更新硬盘检查系统时间检查验证拓扑连接配置管理配置管理实施实施检查配置检查配置验证效果验证效果检查验证检查验证配色参考方案：建议同一页面内不超过三种颜色，以下是10组配色方案，同一页面内只选择一组使用。（仅供参考）目录 Contentsn n第一章第一章产品简介产品简介n n第二章

40、第二章实施指导实施指导n n第第三三章章案例分析案例分析第三章案例分析准备验证实施收尾p了解用户环境l客户是某地中学，主要分教师用户和学生用户，为了满足公安82号令，学校需对上网行为进行管理并记录实名信息出口设备使用的是产品EG1000C。l设备单出口10M电信，需保证关键业务网页浏览p收集用户需求l上网行为管理：学校禁止访问某些非法站点，并且对网站访问实名记录；对论坛发帖审计实名信息和发帖内容。l全校采用web认证，访问对教育局资源无需web认证。p制定实施方案l实施策略上以web认证和行为管理为主要实施内容。第三章案例分析p确认软件版本在“系统首页”即能看到设备CPU、内存、硬盘状

41、态以及版本信息。p库文件更新在“系统升级”中查看各类库文件更新情况p系统时间检查在“系统设置”“时间/语言”中检查时间是否正确。准备验证实施收尾p快速配置将网线连接到Gi0/0口，并将pc的ip地址配置为192.168.1.2，在浏览器的地址栏输入http:/192.168.1.1，打开EG的web管理界面，默认账号和密码是admin/admin，建议使用ie浏览器的兼容模式打开web管理界面。首次使用必须使用快速配置，以完成设备的初始化配置，避免出现不可预料的问题。第三章案例分析将设备部署为网关模式配置接口配置流控方案选择普教方案，保证网页浏览通过快速配置已经完成了流控。可参考案例分析部分

42、对流控进行调整。准备验证实施收尾p上网实名策略1.在上网实名策略中开启“内置认证服务器”2.在“管理认证用户”中添加用户信息第三章案例分析准备验证实施收尾p上网实名策略3.在“高级设置”中配置流量下线检测，并添加免认证可访问的教育网资源（假设服务器是8.8.8.8）免认证网络资源8.8.8.8在未认证前可以ping通，而120.35.11.201未认证前无法ping通。第三章案例分析准备验证实施收尾p行为策略在“行为策略”中开启“网站访问”和“论坛发发帖”默认审计（默认审计，即在未配置任何策略的情况能够对上网行为自动记录。如网站访问和论坛发帖审计并记录）。第三章案例分析准备验证实施收尾p

43、行为策略在“禁止网站”中添加如下黑名单网站。第三章案例分析准备验证实施收尾p行为策略指定个别用户禁止访问某网站如禁止用户“童小珍”访问百度。1.在“行为策略”中的高级配置新建网站访问策略。2.在弹出窗口点击“自定义网站类”3.添加自定义网站4.选择自定义网站类5.选择用户时输入“童小珍”6.访问控制选择“阻断并审计”。第三章案例分析准备验证实施收尾p行为策略当该用户未在线时，自定义的策略显示不生效。当用户认证上线后，策略自动生效童小珍认证上线之后去访问百度提示禁止信息第三章案例分析准备验证实施收尾p检查验证l检查各用户的三类应用是否在流控限制的范围内，关键业务是否得到优先保障。l检查web认证账号配置是否完整l检查是否能够正常认证上下线l检查免认证资源在未认证前是否能够正常访问l检查非法网站和自定义阻断URL策略是否正常生效l检查网站访问记录及论坛发帖记录是否审计并记录第三章案例分析准备验证实施收尾

展开阅读全文