H3C SecPath+U200典型配置指导
SecPath U200典型配置指导
1 介绍
H3C SecPath U200-S是H3C公司面向中小型企业/分支机构设计推出的新一代UTM (United Threat Management,统一威胁管理)设备,采用高性能的多核、多线程安全平台,保障在全部安全功能开启时性能不降低;在防火墙、VPN功能基础上,集成了IPS、防病毒、URL过滤、协议内容审计、带宽管理以及反垃圾邮件等安全功能,产品具有极高的性价比。
H3C公司的SecPath U200-S能够全面有效的保证用户网络的安全,同时还可以使用户避免部署多台安全设备所带来的运营成本和维护复杂性问题。
2 组网需求
2.1 组网图
2.2 三层模式
2.2.1 接口与安全域配置
G0/1 三层接口,Trust域,192.168.1.1/24
Eth0/0 Trust域,10.254.254.1/24
G0/2 三层接口,Untrust域,202.0.0.1/24
2.2.2 ACL配置
用于内网访问Internet时作NAT
用于iware访问内网、Internet时作NAT
用于深度安全策略
2.2.3 NAT配置
nat server配置
nat outbound配置
2.3 二层模式
2.3.1 接口与安全域配置
G0/1 二层access口,PVID 10,Trust域
G0/2 二层access口,PVID为10,Untrust
Eth0/0 三层接口,Trust域,10.254.254.1/24
vlan-interface 10 Trust域,192.168.1.1/24
2.3.2 ACL配置
用于iware访问内网时作NAT
用于深度安全策略
2.3.3 NAT配置
NAT Server配置
NAT outbound配置
3 U200典型配置举例
3.1 IPS/AV特征库升级
3.1.1 特征库自动升级
(1)功能简述
验证U200自动升级IPS/AV特征库
(2)测试步骤
防火墙Web管理界面,策略管理> 深度安全策略。点击“进入深度安全策略配
置”,进入i-ware WEB管理界面
系统管理> 升级管理> 自动升级
选择自动升级库类型,选中“启用自动升级”,设置“开始时间”、“间隔时
间”和“升级包的位置”。升级包的位置支持http、tftp两种协议。
点击< 确定>按钮保存配置。指定的时间后察看版本信息有结果A
(3)验证结果
A. 版本信息中当前版本更新时间显示自动更新在指定时间运行了,且特征库
已更新
(4)注意事项
A. 确保license文件存在且有效
B. 将开始时间设定在网络相对空闲的时间,如凌晨。
(5)故障排除
A. 提示license文件不存在,需要在iware隐含扩展视图,/mnt/system/config
目录下执行license重新生成license文件;或通过Web License文件管理>
文件操作页面导入license文件。
B. 提示license文件错误,察看devicebom、devicename和devicecode值是否
正确。
3.1.2 特征库手动升级
(1)功能简述
验证U200手动升级IPS/AV特征库
(2)测试步骤
进入i-ware WEB管理界面
系统管理> 升级管理> 手动升级
选择“特征库类型”、“协议(手动升级目前只支持tftp)”,输入“升级包的
位置”,点击< 确定> 。有结果A
(3)验证结果
A. 立刻开始升级特征库。结束后察看特征库版本信息,已更新
(4)注意事项
(5)故障排除
3.2 IPS配置
(1)功能简述
验证二层模式、三层模式下,U200对流量进行IPS检测
(2)测试步骤
防火墙Web管理页面,策略管理> 深度安全策略
点击<新建>,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”
(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略
建立Untrust->Trust深度安全策略
注:配置检测两个方向发起的访问流量的深度安全策略;
段3默认关联了AV+IPS策略。
内网PC运行漏洞扫描软件(如x-scan)对Internet上某台计算机进行扫描,察
看攻击日志,有结果A
(3)验证结果
A.攻击日志显示检测到攻击,并执行了相应的动作
(4)注意事项
(5)故障排除
3.3 防病毒配置
(1)功能简述
验证二层模式、三层模式下,U200对流量进行病毒扫描检测
(2)测试步骤
防火墙Web管理页面,策略管理> 深度安全策略
点击<新建>,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”
(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略
建立Untrust->Trust深度安全策略
注:配置检测两个方向发起的访问流量的深度安全策略;
段3默认关联了AV+IPS策略。
内网PC从https://www.wendangku.net/doc/9e12066059.html,下载eicar测试病毒,有结果A
(3)验证结果
A. 下载失败。察看病毒日志,显示病毒被检测到并阻断。
(4)注意事项
(5)故障排除
3.4 URL过滤
(1)功能简述
验证二层模式、三层模式下,U200对经过设备的URL请求进行过滤,阻断对不
良/恶意网站的访问。
(2)测试步骤
配置深度安全策略
防火墙Web管理页面,策略管理> 深度安全策略
点击<新建>,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”
(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略
建立Untrust->Trust深度安全策略
时间表配置
i-ware Web管理页面,对象管理> 时间表管理,点击创建时间表
输入“名称”(工作时间);在时间段2的输入框中输入该时间段的名称
( Worktime) ,点击时间段2对应的蓝色图标,然后在时间表格中选择所需的格
子
点击“检查方案”按钮查看当前时间分组所对应的时间段信息
URL过滤策略配置
i-ware WEB管理界面,对象管理> URL过滤> 策略管理,点击< 创建策略>
输入“名称”(Custom URL Filter),选择“时间表”(工作时间)
点击确定,进入“规则管理”页面。点击<创建规则> 按钮,
输入“名称”(https://www.wendangku.net/doc/9e12066059.html,),选择“过滤类型”(主机名),输入“固定字符串”(https://www.wendangku.net/doc/9e12066059.html,),选择“使能状态”(使能),选择“时间分组”(timegroup1),设置“动作集”(时间段default的动作集选择Permit,时间段Worktime的动作集选择Block)。
点击< 创建规则> 按钮,输入“名称”(Worm Site),选择“过滤类型”(IP 地址),输入“固定字符串”(61.154.3.2),选择“使能状态”(使能),
选择“时间分组”(任意时间),设置“动作集”(Block)。
对象管理> 段策略管理,点击< 新建段策略>
方向(内部到外部、外部到内部),点击确定。
点击< 激活> 使配置生效
内网PC访问https://www.wendangku.net/doc/9e12066059.html,和61.154.3.2,有结果A
(3)验证结果
A. 不能打开页面。察看系统状态页面,URL过滤中显示阻断计数
(4)注意事项
(5)故障排除
3.5 协议内容审计
(1)功能简述
验证二层模式、三层模式下,U200对经过设备的http、ftp、smtp协议内容进行
审计,并将审计日志发送到syslog服务器。
(2)测试步骤
配置深度安全策略
防火墙Web管理页面,策略管理> 深度安全策略
点击<新建>,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”
(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略
建立Untrust->Trust深度安全策略
协议内容审计策略配置
i-ware WEB管理界面,对象管理> 协议内容审计> 策略管理,点击< 创建
策略>
输入“名称”(Custom Audit Policy)
点击确定,进入“规则管理”页面。
禁止规则POP3
选中协议规则(pop3),点击< 禁止规则> 按钮
修改Notify动作
修改Notify动作,向syslog服务器发送审计日志
对象管理> 动作管理> 通知动作列表,点击通知动作“Notify”或操作栏中“修改通知动作资料”按钮
“通知方式”中选中“输出到syslog主机”,输入“名称”(192.168.1.2)、IP地址(192.168.1.2)和端口号(514)。
点击< 增加> 按钮,将syslog主机添加到左侧的列表框中,选中添加的syslog 主机,点击确定。
对象管理> 段策略管理,点击< 新建段策略>
(Custom Audit Policy)、方向(双向),点击确定。
内网PC进行到Internet的http、ftp、smtp和pop3访问,察看syslog主机,有结果A
(3)验证结果
A. 接收到http、ftp和smtp审计日志
(4)注意事项
(5)故障排除
3.6 带宽管理配置(应用带宽控制)
(1)功能简述
验证二层模式、三层模式下,U200对经过设备的应用流量进行管理(阻断、限
速)
(2)测试步骤
配置深度安全策略
防火墙Web管理页面,策略管理> 深度安全策略
点击<新建>,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”
(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略
建立Untrust->Trust深度安全策略
带宽控制配置
i-ware WEB管理界面,对象管理> BWC管理>应用带宽控制列表,点击< 增
加带宽控制>
输入“名称”(limit_p2p_400kbps)、“平均带宽限制”(400kbps)
动作集配置
对象管理> 动作管理> 限速动作列表,点击< 添加限速动作>
输入“名称”(limit_p2p_400kbps);“带宽控制”设置中,选中“从内网到外网(上行)方向带宽控制”并选择已添加的应用带宽控制规则(limit_p2p_400kbps),选中“从外网到内网(下行)方向带宽控制”并选择已添加的应用带宽控制规则(limit_p2p_400kbps)。
华为_MSR路由器_教育网双出口NAT服务器的典型配置
华为 MSR路由器教育网双出口NAT服务器的典型配置 一、组网需求: MSR 的 G0/0 连接某学校内网, G5/0 连接电信出口, G5/1 连接教育网出口,路由配置:访问教育网地址通过 G5/1 出去,其余通过默认路由通过 G5/0 出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的,因此电信主机访问该校 一、组网需求: MSR的G0/0连接某学校内网,G5/0连接电信出口,G5/1连接教育网出口,路由配置:访问教育网地址通过G5/1出去,其余通过默认路由通过G5/0出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的,因此电信主机访问该校都是从G5/1进来,如果以教育网源地址(211.1.1.0/24)从G5/0访问电信网络,会被电信过滤。该校内网服务器192.168.34.55需要对外提供访问,其域名是https://www.wendangku.net/doc/9e12066059.html,,对应DNS解析结果是211.1.1.4。先要求电信主机和校园网内部主机都可以通过域名或211.1.1.4正常访问,且要求校园网内部可以通过NAT任意访问电信网络或教育网络。 设备清单:MSR一台 二、组网图:
三、配置步骤: 适用设备和版本:MSR系列、Version 5.20, Release 1205P01后所有版本。
四、配置关键点: 1) 此案例所实现之功能只在MSR上验证过,不同设备由于内部处理机制差异不能保证能够实现; 2) 策略路由是保证内部服务器返回外网的流量从G5/1出去,如果不使用策略路由会按照普通路由转发从G5/0出去,这样转换后的源地址211.1.1.4会被电信给过滤掉,因此必须使用策略路由从G5/1出去; 3) 策略路由的拒绝节点的作用是只要匹配ACL就变成普通路由转发,而不被策
H3C交换机DHCP服务器接口地址池典型配置指导
1.2 DHCP服务器接口地址池典型配置指导 1.2.1 组网图 图1-2 DHCP服务器接口地址池配置举例 1.2.2 应用要求 ●Switch A作为DHCP服务器,其VLAN接口1的IP地址为192.168.0.1/24; ●客户端属于VLAN1,通过DHCP方式动态获取IP地址; ●DHCP服务器通过接口地址池为MAC地址为000D-88F7-0001的客户文件服务器分配固定的IP地址192.168.0.10/24,为其它客户端主机分配192.168.0.0/24网段的IP地址,有效期限为10天。DNS服务器地址为192.168.0.20/24,WINS服务器地址为192.168.0.30/24。 1.2.3 适用产品、版本 表1-2 配置适用的产品与软硬件版本关系 1.2.4 配置过程和解释 # 使能DHCP服务
[SwitchA-Vlan-interface1] ip address 192.168.0.1 24 # 配置VLAN接口1工作在DHCP接口地址池模式 [SwitchA-Vlan-interface1] dhcp select interface # 配置DHCP接口地址池中的静态绑定地址 [SwitchA-Vlan-interface1] dhcp server static-bind ip-address 192.168.0.10 mac-address 000D-88F7-0001 # 配置DHCP接口地址池的地址池范围、DNS服务器地址、WINS服务器地址 [SwitchA-Vlan-interface1] dhcp server expired day 10 [SwitchA-Vlan-interface1] dhcp server dns-list 192.168.0.20 [SwitchA-Vlan-interface1] dhcp server nbns-list 192.168.0.30 [SwitchA-Vlan-interface1] quit 1.2.5 完整配置 # interface Vlan-interface1 ip address 192.168.0.1 255.255.255.0 dhcp select interface dhcp server static-bind ip-address 192.168.1.10 mac-address 000d-88f7-0001 dhcp server dns-list 192.168.0.20 dhcp server nbns-list 192.168.0.30 dhcp server expired day 10 # dhcp server forbidden-ip 192.168.0.10 dhcp server forbidden-ip 192.168.0.20 dhcp server forbidden-ip 192.168.0.30 # 1.2.6 配置注意事项 当DHCP服务器采用接口地址池模式分配地址时,在接口地址池中的地址分配完之后,将会从包含该接口地址池网段的全局地址池中挑选IP地址分配给客户端,从而导致获取到全局地址池地址的客户端与获取到接口地址池地址的客户端处在不同网段,无法正常进行通信。 故在本例中,建议从VLAN接口1申请IP地址的客户端数目不要超过250个。
联想网御Power V系列配置案例集11(静态、默认、策略、ISP路由配置案例)
11.1 静态路由配置 配置需求:访问目的网络2.2.2.0/24,下一跳为192.168.83.108。 (1)进入到【路由管理】-【基本路由】-【静态路由表】中,新建一条静态路由表。 (2)目的地址:需要访问的目标网络 掩码:目标网络的掩码 下一跳地址:防火墙流出网口的对端设备地址 Metric:优先级,metric值越小优先级越高 网络接口:防火墙的流出接口 (3)在进入到【状态监控】-【状态信息】-【网络测试】中选择【routeshow】,开始调试。 如果静态路由生效,如下图所示。
注意事项: (1)下一跳地址一定要输入正确,这个地址不是防火墙的出口地址。 (2)下一跳地址一定可达有效的地址,可以在【状态监控】-【状态信息】-【网络测试】测试下可达性。 11.2 默认路由配置 配置需求:经过防火墙的数据包全部转发给211.211.211.210. (1)进入到【路由管理】-【基本路由】-【默认路由】中,新建一条默认路由。 (2)默认网关:211.211.211.210; 权重值:多条默认路由时使用,权重越大负载分担时流经的数据包所占比重越高
(3)在进入到【状态监控】-【状态信息】-【网络测试】中选择【routeshow】,开始调试。 如果默认路由生效,如下图所示。 注意事项: (1) 配置多条默认路由时,一定勾选【启用基于状态回包功能】,权重值越大,分担的流量越多。 (2) 默认路由生效了,在【状态监控】-【状态信息】-【网络测速】中选择【ping】下网关地址,确保可达性。 11.3 策略路由配置
配置需求:内网192.168.1.0/24网段访问8.8.8.0/24通过eth0口路由出去。 (1)进入到【路由管理】-【基本路由】-【策略路由】中,新建一条高级路由表。 命名路由表名称和路由表ID 点击新建路由表后面的操作按钮,新建路由表内容
telnet 远程登录交换机典型配置指导
telnet 远程登录交换机典型配置指导
[H3C-luser-guest]password simple 123456 [H3C-luser-guest]service-type telnet level 3 [H3C-luser-guest]quit [H3C]user-interface vty 0 [H3C-ui-vty0]authentication-mode scheme [H3C-ui-vty0]quit [H3C]save The configuration will be written to the device. Are you sure?[Y/N]y
Please input the file name(*.cfg)(To leave the existing filename unchanged press the enter key): Now saving current configuration to the device. Saving configuration. Please wait... ... Unit1 save configuration flash:/20111025.cfg successfully [H3C] %Apr 3 17:39:34:984 2000 H3C CFM/3/CFM_LOG:- 1 -Unit1 saved
CISCO 策略路由(PBR)配置实例
CISCO 策略路由(PBR)配置实例 时间:2010-02-17 22:56来源:未知作者:admin 点击:142次 策略路由选择可以选择修改下一跳地址以及标记数据包来提供不通的网络服务。PBR一般用于修改基于源地址的下一跳地址。推荐实现方式:PBR给于外发IP数据包标记IP优先位,这样方便了实施QoS策略。一般来说,PBR是通过路由映射来配置的。看个详细配置实例,你 策略路由选择可以选择修改下一跳地址以及标记数据包来提供不通的网络服务。PBR一般用于修改基于源地址的下一跳地址。推荐实现方式:PBR给于外发IP数据包标记IP优先位,这样方便了实施QoS策略。一般来说,PBR是通过路由映射来配置的。 看个详细配置实例,你会更加明白: 定义了两个访问列表:10和20,经过配置使来自网络192.168.1.0/24的数据包的下一跳地址改为192.168.100.1;使来自 192.168.2.0/24的数据包的下一跳地址改为192.168.100.2.其他源始发的数据包正常路由。 命令如下: My3377(config)#access-list 10 permit 192.168.1.0 //用访问控制列表先抓取路由 My3377(config)#access-list 20 permit 192.168.2.0 My3377(config)#route-map nexthop permit 10 //起个名字 My3377(config-route-map)#match ip address 10 //匹配一个列表 My3377(config-route-map)#set ip next-hop 192.168.100.1 //设置一个策略 My3377(config-route-map)#exit My3377(config)#route-map nexthop permit 20 My3377(config-route-map)#match ip address 20 My3377(config-route-map)#set ip next-hop 192.168.100.2 My3377(config-route-map)#exit My3377(config)#route-map nexthop permit 30 My3377(config)#int s2/1
华为链路聚合典型配置指导
链路聚合典型配置指导(版本切换前) 链路聚合是将多个物理以太网端口聚合在一起形成一个逻辑上的聚合组,使用链路聚合服务 的上层实体把同一聚合组内的多条物理链路视为一条逻辑链路。 链路聚合可以实现出/入负荷在聚合组中各个成员端口之间分担,以增加带宽。同时,同一 聚合组的各个成员端口之间彼此动态备份,提高了连接可靠性。 组网图 链路聚合配置示例图 应用要求 设备Switch A用3个端口聚合接入设备Switch B,从而实现出/入负荷在各成 员端口中分担。 Switch A 的接入端口为GigabitEthernet1/0/1 ?GigabitEthernet1/0/3 。 适用产品、版本 配置过程和解释 说明: 以下只列出对Switch A的配置,对Switch B也需要作相同的配置,才能实现链路聚合。 配置聚合组,实现端口的负载分担(下面两种方式任选其一) 采用手工聚合方式 #创建手工聚合组1。
[SwitchA-GigabitEthernet1/0/1] interface GigabitEthernet 1/0/2 [SwitchA-GigabitEthernet1/0/2] port link-aggregation group 1 [SwitchA-GigabitEthernet1/0/2] interface GigabitEthernet 1/0/3 [SwitchA-GigabitEthernet1/0/3] port link-aggregation group 1 采用静态LACP聚合方式 #创建静态LACP聚合组1。
H3C策略路由配置及实例
H3C策略路由配置及实例 2010-07-19 09:21 基于策略路由负载分担应用指导介绍 特性简介 目前网吧对网络的可靠性和稳定性要求越来越高,一般网吧与运营商都有两条线路保证一条线路出现故障时能够有另一条链路作为备份。当两条线路都正常时为了减少一条线路流量压力,将流量平均分配到另外一条线路,这样提高了网络速度。当一条链路出现故障接口DOWN掉时,系统自动将流量全部转到另一条线路转发,这样提高了网络的稳定性、可靠性。满足网吧对业务要求不能中断这种需求,确保承载的业务不受影响。 使用指南 使用场合 本特性可以用在双链路的组网环境内,两条链路分担流量。保证了网络的可靠性、稳定性。 配置指南 本指南以18-22-8产品为例,此产品有2个WAN接口。ethernet2/0、ethernet3/0互为备份。 可以通过以下几个配置步骤实现本特性: 1) 配置2个WAN接口是以太链路,本案例中以以太网直连连接方式为例; 2) 配置静态路由,并设置相同的优先级; 3) 配置策略路由将流量平均分配到2条链路上。 2 注意事项 两条路由的优先级相同。 配置策略路由地址为偶数走wan1,地址为奇数走wan2。 策略路由的优先级高于路由表中的优先级。只有策略路由所使用的接口出现down后,路由比表中配置的路由才起作用。 3 配置举例 组网需求 图1为2条链路负载分担的典型组网。 路由器以太网口ETH2/0连接到ISP1,网络地址为142.1.1.0/30,以太网口ETH3/0连接到ISP2,网络地址为162.1.1.0/30;以太网口ETH1/0连接到网吧局域网,私网IP网络地址为192.168.1.0/24。
H3C交换机IRF典型配置指导
目录 1 IRF典型配置举例 ······························································································································· 1-1 1.1 简介 ··················································································································································· 1-1 1.2 使用限制············································································································································ 1-1 1.2.1 硬件限制 ································································································································· 1-1 1.2.2 软件限制 ································································································································· 1-1 1.2.3 单板使用限制 ·························································································································· 1-1 1.2.4 IRF端口连接限制 ···················································································································· 1-1 1.3 选择MAD检测方式····························································································································· 1-2 1.4 使用四台设备搭建IRF典型配置举例(LACP MAD检测方式) ························································· 1-2 1.4.1 适用产品和版本 ······················································································································ 1-2 1.4.2 组网需求 ································································································································· 1-2 1.4.3 搭建IRF的配置························································································································ 1-3 1.4.4 LACP MAD配置 ······················································································································ 1-8 1.4.5 业务配置 ······························································································································· 1-10 1.4.6 验证配置 ······························································································································· 1-14 1.4.7 配置文件 ······························································································································· 1-16 1.5 使用四台设备搭建IRF典型配置举例(BFD MAD检测方式)·························································· 1-21 1.5.1 适用产品和版本 ···················································································································· 1-21 1.5.2 组网需求 ······························································································································· 1-21 1.5.3 搭建IRF的配置······················································································································ 1-22 1.5.4 BFD MAD配置 ······················································································································ 1-26 1.5.5 业务配置 ······························································································································· 1-28 1.5.6 验证配置 ······························································································································· 1-33 1.5.7 配置文件 ······························································································································· 1-35
华为策略路由配置实例
华为策略路由配置实例 1、组网需求 ?????????????????图1?策略路由组网示例图 ????公司希望上送外部网络的报文中,IP优先级为4、5、6、7的报文通过高速链路传输,而IP优先级为0、1、2、3的报文则通过低速链路传输。 2、配置思路 1、创建VLAN并配置各接口,实现公司和外部网络设备互连。 2、配置ACL规则,分别匹配IP优先级4、5、6、7,以及IP优先级0、1、2、3。 3、配置流分类,匹配规则为上述ACL规则,使设备可以对报文进行区分。 5、配置流策略,绑定上述流分类和流行为,并应用到接口GE2/0/1的入方向上,实现策略路由。 3、操作步骤 3.1、创建VLAN并配置各接口 #?在Switch上创建VLAN100和VLAN200。
[Switch]?interfacegigabitethernet1/0/2 [Switch-GigabitEthernet1/0/2]?portlink-typetrunk [Switch-GigabitEthernet1/0/2]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet1/0/2]?quit [Switch]?interfacegigabitethernet2/0/1 [Switch-GigabitEthernet2/0/1]?portlink-typetrunk [Switch-GigabitEthernet2/0/1]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet2/0/1]?quit 配置LSW与Switch对接的接口为Trunk类型接口,并加入VLAN100和VLAN200。#?创建VLANIF100和VLANIF200,并配置各虚拟接口IP地址。 [Switch]?interfacevlanif100 [Switch-Vlanif100]?ipaddress24 [Switch-Vlanif100]?quit [Switch]?interfacevlanif200 [Switch-Vlanif200]?ipaddress24 [Switch-Vlanif200]?quit 3.2、配置ACL规则 #?在Switch上创建编码为3001、3002的高级ACL,规则分别为允许IP优先级0、1、2、3和允许IP优先级4、5、6、7的报文通过。 [Switch]?acl3001 [Switch-acl-adv-3001]?rulepermitipprecedence0 [Switch-acl-adv-3001]?rulepermitipprecedence1 [Switch-acl-adv-3001]?rulepermitipprecedence2
EPON灵活QINQ典型配置指导手册V1.0
EPON灵活QINQ典型配置指导手册 编号: 版本:V1.0 编制:技术中心热线部 审核:熊志军 批准: 瑞斯康达科技发展股份有限公司
文档修订记录 文档说明: 本文档主要用于指导工程师完成EPON灵活QINQ典型配置,本文以某商用网络为例,介绍了新在EPON系统上具体的配置操作步骤和注意事项。
前言 读者对象: 本文档适合ISCOM5000系列EPON设备灵活QinQ操作维护管理人员使用,主要面向各区域工程师。本文档介绍ISCOM5000系列EPON设备根据灵活QinQ的配置、常用故障排查方法、FAQ 等内容。 编写时间:2010年3月 相关参考手册: ISCOM 5000 EPON设备主要手册及用途如下
目录 前言 (3) 一、Q-IN-Q概述 (6) 二、技术介绍 (6) 2.1 QinQ报文格式 (6) 2.2 QinQ封装 (7) 2.2.1 基于端口的QinQ封装 (7) 2.2.2 基于流的QinQ封装 (7) 三、典型案例配置 (8) 3.1 EPON交换端口VLAN配置 (8) 3.2 根据以太网报文类型灵活Q-IN-Q 应用拓扑 (10) 3.3三种数据的业务流向及处理过程 (12) 3.4配置流程 (13) 3.5 具体数据配置流程: (14) 1) 创建加载板卡 (14) 2) 在olt上配置数据业务,创建vlan ,修改TPID值 (14) 3)配置3槽位PON板第一个PON口 (14) 4)配置上联GE口(PORT 11) (15) 5)配置上联GE口(PORT 12) (15) 6)配置网管地址及网关 (15) 7)EPON 以太网报文类型灵活Q-IN-Q配置实例 (15) 8)灵活Q-IN-Q抓包样本 (15) 四、常见故障处理FAQ (16) EPON以太网报文类型灵活Q-IN-Q常见FAQ (16) Q1:在配置根据以太网报文的灵活Q-IN-Q时,若两种数据存在一样的以太网报文类 型,该怎么区分? (16) Q2:为什么从OLT上无法PING通EOC及交换机的网管地址,而经过USR或者BRAS 的网管服务器可以PING通EOC、交换机及OLT。 (16) Q3:为什么同一台电脑在测试过一个业务后,马上测试另外一种业务,该电脑会存在
高级IPv4 ACL典型配置指导
1.1 高级IPv4 ACL典型配置指导 高级IPv4 ACL可以使用报文的源IP地址信息、目的IP地址信息、IP承载的 协议类型、协议的特性(例如TCP或UDP的源端口、目的端口,ICMP协议 的消息类型、消息码等)等信息来制定匹配规则。 高级IPv4 ACL支持对三种报文优先级的分析处理: ●ToS(Type of Service,服务类型)优先级 ●IP优先级 ●DSCP(Differentiated Services CodePoint,差分服务编码点)优先级 用户可以利用高级IPv4 ACL定义比基本IPv4 ACL更准确、更丰富、更灵活的 匹配规则。 高级IPv4 ACL的序号取值范围为3000~3999。 1.1.1 组网图 总裁办公室 192.168.1.0/24 研发部门 192.168.2.0/24192.168.3.0/24 图1-1配置高级IPv4 ACL组网图 1.1.2 应用要求 公司企业网通过交换机(以S5500-EI为例)实现各部门之间的互连。要求配 置高级IPv4 ACL,禁止研发部门和市场部门在上班时间(8:00至18:00)访问 工资查询服务器(IP地址为192.168.4.1),而总裁办公室不受限制,可以随 时访问。
1.1.3 适用产品、版本 表1-1配置适用的产品与软硬件版本关系 1.1.4 配置过程和解释 (1) 定义工作时间段 # 定义8:00至18:00的周期时间段。
路由协议-ip策略路由典型配置
5.5IP策略路由典型配置 5.5.1策略路由基本配置 『需求』 在Router上做策略路由,从40.1.1.0/25来的报文送往S0口,从40.1.1.128/25来的报文送往S1。 【Router】 当前路由器提示视图依次输入的配置命令,重要的命令红色突出显示简单说明 ! 适用版本:vrp1.74/1.44 [Router] acl 1 定义acl1 [Router-acl-1] rule normal permit source 40.1.1.0 0.0.0.127 允许40.1.1.0/25源地址网段 [Router-acl-1] rule normal deny source any 禁止其他任何网段 ! [Router] acl 2 定义acl2 [Router-acl-2] rule normal permit source 40.1.1.128 0.0.0.127 允许40.1.1.128/25源地址 网段 [Router-acl-2] rule normal deny source any 禁止其他任何网段 ! [Router] interface Ethernet0 进入以太0口[Router-ethernet0] ip address 40.1.1.1 255.255.255.0 配置ip地址[Router-ethernet0] ip policy route-policy aaa 应用aaa策略 ! [Router] interface Serial0 进入串口0口[Router-Serial0] link-protocol ppp 封装ppp链路层协议
华为链路聚合典型配置指导(终审稿)
华为链路聚合典型配置 指导 文稿归稿存档编号:[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-
链路聚合典型配置指导(版本切换前) 链路聚合是将多个物理以太网端口聚合在一起形成一个逻辑上 的聚合组,使用链路聚合服务的上层实体把同一聚合组内的多 条物理链路视为一条逻辑链路。 链路聚合可以实现出/入负荷在聚合组中各个成员端口之间分 担,以增加带宽。同时,同一聚合组的各个成员端口之间彼此 动态备份,提高了连接可靠性。 组网图 链路聚合配置示例图 应用要求 设备Switch A用3个端口聚合接入设备Switch B,从而实现出/入负荷在各成员端口中分担。 Switch A的接入端口为GigabitEthernet1/0/1~ GigabitEthernet1/0/3。 适用产品、版本 配置适用的产品与软硬件版本关系
配置过程和解释 说明: 以下只列出对Switch A的配置,对Switch B也需要作相同的配置,才能实现链路聚合。 配置聚合组,实现端口的负载分担(下面两种方式任选其一) 采用手工聚合方式 # 创建手工聚合组1。
华为链路聚合典型配置指导
链路聚合典型配置指导(版本切换前) 链路聚合是将多个物理以太网端口聚合在一起形成一个逻辑上的聚合组,使用 链路聚合服务的上层实体把同一聚合组内的多条物理链路视为一条逻辑链路。 链路聚合可以实现出/入负荷在聚合组中各个成员端口之间分担,以增加带宽。 同时,同一聚合组的各个成员端口之间彼此动态备份,提高了连接可靠性。组网图 链路聚合配置示例图 应用要求 设备Switch A用3个端口聚合接入设备Switch B,从而实现出/入负荷在各成员端口中分担。 Switch A的接入端口为GigabitEthernet1/0/1~GigabitEthernet1/0/3。 适用产品、版本 配置适用的产品与软硬件版本关系 配置过程和解释 说明: 以下只列出对Switch A的配置,对Switch B也需要作相同的配置,才能实现链路聚合。 配置聚合组,实现端口的负载分担(下面两种方式任选其一) 采用手工聚合方式 # 创建手工聚合组1。
[SwitchA-GigabitEthernet1/0/1] interface GigabitEthernet 1/0/2 [SwitchA-GigabitEthernet1/0/2] port link-aggregation group 1 [SwitchA-GigabitEthernet1/0/2] interface GigabitEthernet 1/0/3 [SwitchA-GigabitEthernet1/0/3] port link-aggregation group 1 采用静态LACP聚合方式 # 创建静态LACP聚合组1。
- EPON灵活QINQ典型配置指导手册V1.0
- ASG典型配置指导
- S6500产品典型配置指导(端口+端口聚合)
- SecBlade LB典型配置指导
- H3C交换机DHCP服务器接口地址池典型配置指导
- 华为链路聚合典型配置指导
- H3C典型配置指导-整本手册
- 基于MAC的VLAN典型配置指导
- NewStart HA 典型配置指导
- H3C交换机IRF典型配置指导
- H3C交换机最详细配置实例手册
- MSR常见应用场景配置指导(内部服务器访问典型配置篇)
- 基于MAC的VLAN典型配置指导
- 华为链路聚合典型配置指导(终审稿)
- MSR常见应用场景配置指导(内部服务器访问典型配置篇)
- H3C SecPath+U200典型配置指导
- 最新802.1X典型配置指导
- 华为链路聚合典型配置指导
- Cluster典型配置指导
- H3C 带GK的VOIP典型配置指导