无
无
CPOS一般用在大型企业的广域网上。例如某地产集团,全国近三十个项目组。每个项目组通过SDH专网连接至集团总部。此时租用了电信的SDH专线。为了方便管理。在集团总部路由器上加CPOS口。直接连接到电信SDH网上。然后通过时隙管理与每个分公司的E1通信。
租赁SDH时,建议运营商提供给集团总部为CPOS接口,而不是使用运营商的接入汇聚设备。而分支机构也直接添加E1接口的路由器。
SSG-140-SH删除MIP失败。提示如下:
Mip ip(111.111.111.222) host(192.168.16.2) is in use
Mip: can't be removed
Failed command - unset interface untrust mip 111.111.111.222
无
get config查看对应的MIP策略。
先通过unset policy id **
然后unset interface untrust mip 111.111.111.222。即可
无
无
无
在成帧模式下思科E1卡帧格式缺省是带CRC4校验,而华为(含H3C)缺省时不带CRC4校验
因此需要在华为端配置中增加
frame-format crc4
或者思科端增加
framing no-crc4
无
无
无
Juniper SRX系列防火墙是基于Juniper的JNOS系统的。初次登陆用户名是root和密码分别空。
进入后请首先更改密码。命令如下:
root>
root> configure
Entering configuration mode
[edit]
Root#
root# set system root-authentication plain-text-password
root# new password : jun20110101
root# retype new password: jun20110101
创建新用户名jun,超级用户:
root# set system login user jun class super-user authentication plain-text-password
root# new password : jun20110101
root# retype new password: jun20110101
无
无
无
Juniper SRX防火墙基于JunOS系统。配置后不是马上生效。需要使用commit命令去激活生效。我们一般建议用户在配置好后先用commit check命令检查是否有错误。如果正确。再执行commit生效。
无
无
无
SRX因为主控板上有大容量硬盘,为防止强行断电关机造成硬件故障,要求设备关机必须按照下面的步骤进行操作:
1、管理终端连接SRX console口。
2、使用具有足够权限的用户名和密码登陆CLI命令行界面。
3、在提示符下输入下面的命令:
user@host> request system halt
…
The operating system has halted.
Please press any key to reboot(除非需要重启设备,此时不要敲任何键,否则设备将进行重启)
4、等待console输出上面提示信息后,确认操作系统已停止运行,关闭机箱背后电源模块电源。
无
无
无
USG2200/5100从V100R003升级到V100R005必须注意以下事项,
1、原版本为低于V100R003C01SPC800的,必须先升级到V100R003C01SPC800版本。再升级到V100R005相关版本
2、内存小于32M的,无法升级到V100R005版本。
3、V100R003C01SPC800升级到V100R005版本需先删除正使用的版本才可升级。否则提示空间不足。
无
无
无
自V100R005C01版本起,WEB管理文件名为.web.zip。配置如下:
1、上传.web.zip文件。如 S5700SI-V100R005.002.web.zip
2、执行: http server load flash:/S5700SI-V100R005.002.web.zip
3、http server enable
配置成功后用dis http server查看如下:
[SW-CORE-S5724-01]dis http server
http server status : Enabled (default: enabled)
http server port : 80 (default: 80)
http timeout interval : 30 (default: 30 minutes)
Current online users : 0
Maximum users allowed : 5
无
无
无
一、包过滤方面
1、允许192.168.0.2访问222.100.1.1。
V3平台配置命令,基于1条ACL规则:
[USG]acl 3001
[USG-acl-adv-3001]rule permit ip source 192.168.0.2 0 destination 222.100.1.1 0
[USG]firewall interzone trust untrust
[USG-interzone-trust-untrust]packet-filter 3001 outbound
V5平台配置命令,基于1条策略:
[USG]policy interzone trust untrust outbound
[USG-policy-interzone-trust-untrust-outbound]policy 10
[USG-policy-interzone-trust-untrust-outbound-10]policy source 192.168.0.2 0
[USG-policy-interzone-trust-untrust-outbound-10]action permit
[USG-policy-interzone-trust-untrust-outbound-10]policy destination 222.100.1.1 0
[USG-policy-interzone-trust-untrust-outbound-10]quit
[USG-policy-interzone-trust-untrust-outbound]policy 10 enable #可选,默认启用
2、允许内网访问互联网的www服务、ftp服务、udp 7000端口,其余全部禁止。
V3平台配置命令,基于4条ACL规则:
[USG]acl 3002
[USG-acl-adv-3002]rule permit tcp source 192.168.0.0 0.0.0.255 destination-port eq www
[USG-acl-adv-3002]rule permit tcp source 192.168.0.0 0.0.0.255 destination-port eq 21
[USG-acl-adv-3002]rule permit udp source 192.168.0.0 0.0.0.255 destination-port eq 7000
[USG-acl-adv-3002]rule deny ip
[USG]firewall interzone trust untrust
[USG-interzone-trust-untrust]packet-filter 3002 outbound
V5平台配置命令,基于服务集和2条策略:
[USG]ip service-set test1 type object #预定义的服务中不包含UDP7000服务,在此创建一个服务。
[USG-object-service-set-test1]service protocol udp destination-port 7000
[USG]policy interzone trust untrust outbound
[USG-policy-interzone-trust-untrust-outbound]policy 11
[USG-policy-interzone-trust-untrust-outbound-11]policy service service-set http ftp test1
[USG-policy-interzone-trust-untrust-outbound-11]policy source 192.168.0.0 0.0.0.255
[USG-policy-interzone-trust-untrust-outbound-11]policy destination any
[USG-policy-interzone-trust-untrust-outbound-11]action permit
[USG-policy-interzone-trust-untrust-outbound-11]quit
[USG-policy-interzone-trust-untrust-outbound]policy 12
[USG-policy-interzone-trust-untrust-outbound]action deny
二、网络地址转换(NAT)方面
1、域间NAT
要求对192.168.0.2不做NAT,对其余主机均做NAT。
V3平台配置命令,基于2条ACL规则、地址组(接口):
[USG]ACL 2020
[USG-acl-basic-2020]rule deny source 192.168.0.2 0
[USG-acl-basic-2020]rule permit source 192.168.0.0 0.0.0.255
[USG]nat address-group 10 222.100.1.2 222.100.1.2
[USG]firewall interzone trust untrust
[USG-interzone-trust-untrust]nat outbound 2020 address-group 10
或
[USG-interzone-trust-untrust]nat outbound 2020 interface GigabitEthernet0/0/0
V5平台配置命令,基于2条策略:
[USG]nat address-group 10 222.100.1.2 222.100.1.2
[USG]nat-policy interzone trust untrust outbound
[USG-nat-policy-interzone-trust-untrust-outbound]policy 1
[USG-nat-policy-interzone-trust-untrust-outbound-1]policy source 192.168.0.2 0
[USG-nat-policy-interzone-trust-untrust-outbound-1]action no-nat
[USG-nat-policy-interzone-trust-untrust-outbound]policy 3
[USG-nat-policy-interzone-trust-untrust-outbound-3]policy source 192.168.0.0 0.0.0.255
[USG-nat-policy-interzone-trust-untrust-outbound-3]address-group 10
2、基于目的NAT,仅对到100.0.0.0 /24的情况做地址转换
[USG]ACL 3020
[USG-acl-basic-3020]rule permit ip source 192.168.0.0 0.0.0.255 destination 100.0.0.0 0.255.255.255
[USG]nat address-group 10 222.100.1.2 222.100.1.2
[USG]firewall interzone trust untrust
[USG-interzone-trust-untrust]nat outbound 3020 address-group 10
或[USG-interzone-trust-untrust]nat outbound 3020 interface GigabitEthernet0/0/0
V5平台配置命令,基于1条策略:
[USG]nat address-group 1 9.9.9.9 9.9.9.9
[USG]nat-policy zone trust
[USG-nat-policy-zone-trust-1]policy source 192.168.0.0 0.0.0.255
[USG-nat-policy-zone-trust-1]policy destination 100.0.0.0 0.255.255.255
[USG-nat-policy-zone-trust-1]address-group 1
[USG-nat-policy-zone-trust-1]action source-nat
3、域内NAT
V3平台配置命令,基于含1条规则ACL、地址组:
[USG]nat address-group 1 9.9.9.9 9.9.9.9
[USG]ACL 2020
[USG-acl-basic-2020]rule permit source 192.168.0.0 0.0.0.255
[USG]firewall zone trust
[USG-zone-trust]nat 2020 address-group 1
V5平台配置命令,基于1条策略:
[USG]nat address-group 1 9.9.9.9 9.9.9.9
[USG]nat-policy zone trust
[USG-nat-policy-zone-trust-1]policy source 192.168.0.0 0.0.0.255
[USG-nat-policy-zone-trust-1]address-group 1
[USG-nat-policy-zone-trust-1]action source-nat
USG2000/5100系列V100R003为V3平台。V100R005为V5平台,USG5300 V100R002为V3平台,V100R003为V5平台
USG2130/USG2160仅有一个WAN口,如何在不添加模块的情况下。实现双ADSL接入。
无
通过VLAN的方式,将PPPOE-Client绑定在interface vlanif接口下。如:
interface Vlanif2
pppoe-client dial-bundle-number 1
无