Aruba 无线控制器 PEF 防火墙策略配置
防火墙原理(WEB登录模式):
1:创建两组(或以上)的角色,其中一组角色为登录角色,这个角色只要一打开浏览器马上登录到一个带有密码验证的的页面,在没有输对密码前,用户一直都处在这个登录角色中。一般情况下这个角色关于在网络应用方面什么都不能干,能达到这个目的都是由这个登录角色下所包含的具体防火墙策略所造成的。
2:在登录成功后,用户会转换成某一角色,这个角色可能是GUEST或者ADMIN或者USER,每个角色都有各自的防火墙策略控制,权限也各不相同。
简略过程:
1:新建policies(策略集合)——>创建Rules(角色)
注:一个角色可以包含N个策略集合,一个策略集合包含N个具体策略,例如开通POP3或者屏蔽网段。
2:在“User Roles”下除了可以增加、减少策略外,还可以设置(Bandwidth Contract)带宽。在web页面验证的情况下,如果这个角色是“登录角色”,还需要在这里选择(Captive Portal Profile)强制登录页面。
3:在Advanced Services > All Profile Management下创建AAA,创建完毕后,为AAA选择一个初始的角色,例如如果需要WEB验证,选择刚才设置过的带有(Captive Portal Profile)
强制登录页面的角色。
4:下拉列框在Captive Portal Profile中新建一个页面设置,在刚才创建的的页面设置中点击“+”号,打开设置选项,在“Server Group”中选择“Internal”
5:创建虚拟AP的SSID及选择具体的AAA,在这里需要填写具体的VLAN。
6:在“Internal DB”下创建用户及密码,在Role项中选择该验证用户的具体角色,例如某些用户可上内网,某些用户不能上外网等,具体的角色是由刚才所创建的Role下选择的。
具体案例:
1:在没有安装防火墙licence,是默认所有接入用户都是无限制角色,在接通网络后可立刻登录互联网。当安装了licence后,所有通过无线AP接入的用户都处于登录角色状态。
2:在安装licence后,不想实行任何的防火墙策略,可以在AAA设置项页面下,把“Initial role”从原来的“logon”改为“authenticated”,此时接入的用户都是无限制的可信任角色。
实例:创建一个有登录页面,登录后有两种不同的角色(GUEST和ADMIN)的过程如下:
1:其中GUEST可以上外网,不可以进行其他的网络应用,ADMIN无则任何限制。为了节省创建策略的时间,可用系统已创建完成好的角色,Access Control > System Roles> System Roles
在这里可以添加策略,在这里,特别添加了已经创建好的mail策略,该策略的作用是可以用邮件客户端收发邮件。在此实验中,一共用到了三个系统自带的角色:logon,guest ,authenticated;其中logon为登录角色,guest为guest用户角色,authenticated为admin用户角色
2:在Advanced Services中选择All Profile,依次打开Wireless LAN> Captive Portal Authentication Profile> default,在Server Group选择internal
3:在Security > Authentication> Internal DB下创建用户,其中2为guest用户,带有guest 权限控制,1为admin用户,没有任何限制。
4:现在只要通过无线连接打开网页,就会有余下的登录页面。
h3c无线控制器配置
WLAN 目录 目录 第1章 WLAN配置..................................................................................................................1-1 1.1 概述....................................................................................................................................1-1 1.1.1 WLAN的工作机制....................................................................................................1-1 1.1.2 WLAN组网...............................................................................................................1-2 1.1.3 WLAN的协议标准....................................................................................................1-4 1.1.4 WLAN的基本配置项................................................................................................1-4 1.2 配置WLAN.........................................................................................................................1-5 1.2.1 配置概述..................................................................................................................1-5 1.2.2 设置Country Code...................................................................................................1-7 1.2.3 配置WLAN-ESS接口...............................................................................................1-8 1.2.4 配置Radio Policy.....................................................................................................1-8 1.2.5 创建服务模板...........................................................................................................1-9 1.2.6 设置服务模板.........................................................................................................1-10 1.2.7 创建AP模板...........................................................................................................1-10 1.2.8 设置AP参数...........................................................................................................1-10 1.2.9 设置 Radio.............................................................................................................1-11 1.2.10 设置RadioST.......................................................................................................1-11 1.2.11 管理AP&Client.....................................................................................................1-12 1.2.12 获取系统当前AP&Client的详细信息....................................................................1-13 1.3 WLAN典型配置举例.........................................................................................................1-14 1.3.1 Single BSS组网.....................................................................................................1-14 1.3.2 Multiple ESS组网...................................................................................................1-16 1.3.3 WLAN Based on VLAN组网..................................................................................1-19 1.4 注意事项...........................................................................................................................1-22
无线控制器WLC配置
无线控制器(WLC)配置 1.无线控制器WLC的初始配置 连接到WLC的console口,启动超级终端或其它终端软件,把com口属性设置还原为默认值(如下图),点确定应用配置 回车进入命令行管理界面 选择“5. Clear Configuration”,(注意:不同版本的选项顺序不同,要注意查看,而且该处停留时间较短,请及时选择操作序号),清除原有设置,并进行初始设置。 随后根据系统提示完成以下配置: Welcome to the Cisco Wizard Configuration Tool
Use the '-' character to backup System Name [Cisco_40:4a:03]: Enter Administrative User Name (24 characters max): admin //管理员帐号和密码 Enter Administrative Password (24 characters max): ***** Re-enter Administrative Password: ***** Management Interface IP Address: 10.10.11.100 //通过网络远程管理的IP Management Interface Netmask: 255.255.255.0 //掩码 Management Interface Default Router: 10.10.11.1 //管理地址默认路由地址Management Interface VLAN Identifier (0 = untagged): 0 //指定vlan号,0表示WLC工作在vlan 0网段,该vlan 0网段相当于交换机的默认vlan网段,即相当于vlan 1网段。 Management Interface DHCP Server IP Address: 10.10.11.1 //指向DHCP服务器地址,服务器负责DHCP服务功能。 Virtual Gateway IP Address: 1.1.1.1 //cisco推荐的虚拟地址 Mobility/RF Group Name: wuxian Network Name (SSID):wuxian //设置初始wlan Allow Static IP Addresses [YES][no]: yes //允许手工配置IP地址 Configure a RADIUS Server now? [YES][no]: no Enter Country Code list (enter 'help' for a list of countries) [US]: CN //选择中国区域CN Enable 802.11b Network [YES][no]: yes Enable 802.11a Network [YES][no]: yes Enable 802.11g Network [YES][no]: yes //开启802.11a,802.11b,802.11g协议Enable Auto-RF [YES][no]: yes //开启无线射频 Configure a NTP server now? [YES][no]: no Configure the system time now? [YES][no]: yes Enter the date in MM/DD/YY format: //月/日/年,时间设置 ...... Configuration saved! Resetting system with new configuration...
Juniper 防火墙策略路由配置
Juniper 防火墙策略路由配置 一、网络拓扑图 要求: 1、默认路由走电信; 2、源地址为192.168.1.10 的pc 访问电信1.0.0.0/8 的地址,走电信,访问互联网走网通; 二、建立extended acl 1、选择network---routing---pbr---extended acl list,点击new 添加:
Extended acl id:acl 编号Sequence No.:条目编号源地址:192.168.1.10/32 目的地址:1.0.0.0/8 Protocol:选择为any 端口号选择为:1-65535 点击ok:
2、点击add seg No.再建立一条同样的acl,但protocol 为icmp,否则在trace route 的时候仍然后走默认路由:
3、建立目的地址为0.0.0.0 的acl: 切记添加一条协议为icmp 的acl; 命令行: set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 protocol icmp entry 20 set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 protocol
实验:防火墙基本配置
实验七交换机基本配置 一、实验目的 (1)使用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理,行能根据需要进行简单网络的规划和设计。 实验设备与器材 熟悉交换机开机界面; (2)掌握Quidway S系列中低端交换机几种常用配置方法; (3)掌握Quidway S系列中低端交换机基本配置命令。 二、实验环境 Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。 交换机,标准Console配置线。 三、实验内容 学习使用Quidway R2611模块化路由器的访问控制列表(ACL)进行防火墙实验。 预备知识 1、防火墙 防火墙作为Internet访问控制的基本技术,其主要作用是监视和过滤通过它的数据包,根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃,以拒绝非法用户访问网络并保障合法用户正常工作。 2、包过滤技术 一般情况下,包过滤是指对转发IP数据包的过滤。对路由器需要转发的数据包,先获取包头信息,包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等,然后与设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。 3、访问控制列表 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL(Access Control List)定义的。
访问控制列表是由permit | deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。 访问控制列表(Access Control List )的作用 访问控制列表可以用于防火墙; 访问控制列表可用于Qos(Quality of Service),对数据流量进行控制; 访问控制列表还可以用于地址转换; 在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。 一个IP数据包如下图所示(图中IP所承载的上层协议为TCP) ACL示意图 ACL的分类 按照访问控制列表的用途,可以分为四类: ●基本的访问控制列表(basic acl) ●高级的访问控制列表(advanced acl) ●基于接口的访问控制列表(interface-based acl) ●基于MAC的访问控制列表(mac-based acl) 访问控制列表的使用用途是依靠数字的范围来指定的,1000~1999是基于接口的访问控制列表,2000~2999范围的数字型访问控制列表是基本的访问控制列表,3000~3999范围的数字型访问控制列表是高级的访问控制列表,4000~4999范围的数字型访问控制列表是基于MAC地址访问控制列表。 4、防火墙的配置项目 防火墙的配置包括:
Cisco无线控制器配置
Cisco无线控制器配置 一组网图 System Name [Cisco_01:00:01] (31 characters max):wlc-1//输入设备名称 Would you like to terminate autoinstall? [yes]: //是否终止自动安装,默认是yes #配置管理用户和密码 Enter Administrative User Name (24 characters max): admin Enter Administrative Password (3 to 24 characters): ******** Re-enter Administrative Password : ******** #配置服务接口的IP 注:用于带外管理、系统恢复和维护必须跟带内管理接口在不同子网 Service Interface IP Address Configuration [static][DHCP]: static Service Interface IP Address: 10.10.10.10 Service Interface Netmask: 255.255.255.0 #配置管理接口 注:带内管理接口,可以通过web ssh或者telnet连接的接口,同时也是跟内网其他设备如认证服务器连接的接口 Management Interface IP Address: 192.168.99.250 Management Interface Netmask: 255.255.255.0
Management Interface Default Router: 192.168.99.254 Management Interface VLAN Identifier (0 = untagged): 99 Management Interface Port Num [1 to 1]: 1 Management Interface DHCP Server IP Address: 192.168.99.254 #设置虚拟网关 注:为三层漫游而设置的虚拟接口,在同一个mobility group里的WLC都必须配置相同的虚拟接口 Virtual Gateway IP Address: 1.1.1.1 #配置Mobility/RF Group名称 注:用于用户在不同控制器下的AP间的三层漫游,所以不同控制器的该组必须相同Mobility/RF Group Name: test #配置默认的SSID 注:LAP加入控制器时将使用它,LAP加入后WLC会把其他的SSID提供给LAP Network Name (SSID): test #dhcp桥接 注:Bridging Mode 将会把DHCP 请求透传出去,不做处理;一般都使用WLC本身中继代理功能,默认NO。警告!启用桥接模式将停用内部DHCP服务器和DHCP代理功能。 Configure DHCP Bridging Mode [yes][NO]: no #客户端IP地址配置方式 注:yes为允许客户端使用静态IP,no则为强制客户端使用DHCP来获取IP
防火墙安全规则和配置
网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信 息安全的首要目标。网络安全技术主要有,认证授权、数据加密、访问 控制、安全审计等。而提供安全网关服务的类型有:地址转换、包过滤、 应用代理、访问控制和DoS防御。本文主要介绍地址转换和访问控制两 种安全网关服务,利用cisco路由器对ISDN拨号上网做安全规则设置。 试验环境是一台有fir ewall 版本IOS的cisco2621 路由器、一台交换 机组成的局域网利用ISDN拨号上网。 一、地址转换 我们知道,Internet 技术是基丁IP协议的技术,所有的信息通信都 是通过IP包来实现的,每一个设备需要进行通信都必须有一个唯一的 IP地址。因此,当一个网络需要接入Inte rnet的时候,需要在Internet 上进行通信的设备就必须有一个在全球Internet 网络上唯一的地址。当一个网络需要接入Internet 上使用时,网络中的每一台设备都有一个I nternet 地址,这在实行各种Internet 应用上当然是最理想不过的。但 是,这样也导致每一个设备都暴露在网络上,任何人都可以对这些设备 攻击,同时由丁I nternet目前采用的IPV4协议在网络发展到现在,所 剩下的可用的IP地址已经不多了,网络中的每一台设备都需要一个IP 地址,这几乎是不可能的事情。 采用端口地址转换,管理员只需要设定一个可以用作端口地址转换的公 有Internet 地址,用户的访问将会映射到IP池中IP的一个端口上去, 这使每个合法Internet IP 可以映射六万多台部网主机。从而隐藏部网
路地址信息,使外界无法直接访问部网络设备。 Cisco路由器提供了几种NAT转换的功能: 1、部地址与出口地址的——对应 缺点:在出口地址资源稀少的情况下只能使较少主机连到internet 。2、部地址分享出口地址 路由器利用出口地址和端口号以及外部主机地址和端口号作为接口。其 中部地址的端口号为随机产生的大丁1024的,而外部主机端口号为公认 的标准端口号。这样可以用同一个出口地址来分配不同的端口号连接任 意数量的部主机到外网。 具体配置:由丁实验用的是ISDN拨号上网,在internet 上只能随机获得出口地址,所以NAT转换的地址池设置为BRI 口上拨号所获得的地址。interface FastEthernet0/0 ip address 172.16.18.200 255.255.255.0 ip nat inside the interface connected to inside world ! interface BRI0/0 ip address negotiated ip nat outside the interface connected to outside network encapsulation ppp no ip split-horizon dialer string 163 dialer load-threshold 150 inbound
使用域组策略及脚本统一配置防火墙
使用域组策略/脚本统一配置防火墙 目前企业内网多为域环境,部分企业应用例如入侵检测等需要客户端统一开放某一端口比如Ping,如果企业环境较大,客户端数千个逐个设置将是浪费工作效率且不灵活的方案;所以可以通过使用域策略来统一设置; 统一配置可以通过域策略中自带的防火墙模板来设置,也可以通过使用bat脚本来配置,下面即分别演示配置方法; 1 域组策略统一配置防火墙 使用域管理员登录域控制器,打开“管理工具>组策略管理”; 在目标组织单位右击,新建GPO; 1.1 禁用客户端防火墙 1.1.1 域策略配置 右击目标OU的GPO,选择编辑GPO,选择“计算机配置>策略>Windows设置>安全设置>系统服务”;
选择Windows Firewall/Internet Connection Sharing(ICS)俩项服务,并禁用该俩项服务; 结果如下; 1.1.2 查看客户端结果 重启XP客户端查看结果
重启Win7客户端查看结果 1.2 开放客户端防火墙端口 (注:首先将上面组策略中的系统服务设置还原在进行下一步的配置) 1.2.1 域策略配置 右击目标GPO选择编辑,选择“计算机配置>策略>管理模板>网络>网络连接>Windows防火墙”,下面的子集即为客户端防火墙配置项目,此处主要包含俩个子集“域配置文件”和“标准配置文件”两个策略子集,其中,域配置文件主要在包含域DC的网络中应用,也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用;
组策略设置描述 Windows 防火墙: 保护所有网络连接 用于指定所有网络连接都已启用Windows 防火墙。 Windows 防火墙: 不允许例外 用于指定所有未经请求的传入通信将被丢弃,包括已添加到例外列表的通信。 Windows 防火墙: 定义程序例外 用于通过应用程序文件名定义已添加到例外列表的通信。 Windows 防火墙: 允许本地程序例外 用于启用程序例外的本地配置。 Windows 防火墙: 允许远程管理例外 用于启用远程过程调用(RPC) 和分布式组件对象模型(DCOM),它们对于很多使用诸如Microsoft 管理控制台(MMC) 和Windows Management Instrumentation (WMI) 等工具执行的远程管理任务是必需的。
(战略管理)防火墙策略的组成
3.1 防火墙策略的组成 在ISA服务器安装成功后,其防火墙策略默认为禁止所有内外通讯,所以我们需要在服务器上建立相应的防火墙策略,以使内外通讯成功。在本章,我们将介绍ISA的基本配置,使内部的所有用户无限制的访问外部网络。 在ISA Server 2004中,防火墙策略是由网络规则、访问规则和服务器发布规则三者的共同组成。 网络规则:定义了不同网络间能否进行通讯、以及知用何各方式进行通讯。 ●?? 访问规则:则定义了内、外网的进行通讯的具体细节。 ●?? 服务器发布规则:定义了如何让用户访问服务器。 ●?? 3.1.1 网络规则 ISA2004通过网络规则来定义并描述网络拓扑,其描述了两个网络实体之间是否存在连接,以及定义如何进行连接。相对于ISA2000,可以说网络规则是ISA Server 2004中的一个很大的进步,它没有了ISA Server 2000只有一个LAT表的限制,可以很好的支持多网络的复杂环境。 在ISA2004的网络规则中定义的网络连接的方式有:路由和网络地址转换。 3.1.1.1 路由 路由是指相互连接起来的网络之间进行路径寻找和转发数据包的过程,由于ISA与Windows 2000 Server和Windows Server 2003路由和远程访问功能的紧密集成,使其具有很强的路由功能。 在ISA2004中,当指定这种类型的连接时,来自源网络的客户端请求将被直接转发到目标网络,而无须进行地址的转换。当需要发布位于DMZ网络中的服务器时,我们可以配置相应的路由网络规则。 需要注意的是,路由网络关系是双向的。如果定义了从网络 A 到网络 B 的路由关系,那么从网络B到网络 A 也同样存在着路由关系,这同我们在进行硬件或软件路由器配置的原理相同。 3.1.1.2 网络地址转换(NAT) NAT即网络地址转换(Network Address Translator),在Windows 2000 Server和Windows server 2003中,NAT是其IP路由的一项重要功能。NAT方式也称之为Internet的路由连接,通过它在局域网和Internet 主机间转发数据包从而实现Internet的共享。ISA2004由于同Windows 20 00 Server和Windows server 2003的路由和远程访问功能集成,所以支持 NAT的的连接类型。 当运行NAT的计算机从一台内部客户机接收到外出请求数据包时,它会把信息包的包头换掉,把客户机的内部IP地址和端口号翻译成NAT服务器自己的外部IP地址和端口号,然后再将请求包发送给Internet上的目标主机。当N
双思科无线控制器冗余配置
WLC故障切换配置(冗余) 为了实现WLC故障切换或冗余,必须完成以下步骤: A.为两台WLC配置移动组. B.为LAP指定主、备WLC C.配置WLC Fallback 特性为2台WLC配置移动组 通过配置移动组可以让无线客户端在一组WLC之间无缝漫游及提供负载均衡和冗余 的功能。如果一台WLC故障,相关联的AP可以自动启动换到移动组中其他WLC 上。当主WLC恢复正常,AP可以重新注册到该台WLC上。故障切换时间为30秒, 这个期间通信将会中断。 提示:所有属于同一个移动组的WLC配置的移动组名字要一致,且大小写敏感。 移动组成员必须包括该组内所有的WLC,以确保可以做到WLC的无缝切换,以及当 主WLC恢复正常,能够让AP重新注册。 本实例移动组包括两台WLC,通过以下步骤配置无线移动组: 1. WLC图形界面下,在上方的菜单下点击进入Controller,然后在左边菜单 选择Mobility Groups .出现窗口Static Mobility Group Members,在这里可以增加
(■VMBBTT DHC F ■4rirtpM l V, *0>*44 iMfH M 4 vis i -t MrtnAnr Tbw Pm I M. *4 QqA IMflBr* 2. 增加一个新的移动组本例只包括两台WLC. a.选择New . b.设定移动组成员IP、MAC以及组名称本实例 第二台WLC的IP为172.16.1.50 , MAC地址为 00:0b:85:33:52:80,移动组为Test. c. 点击Apply . I* A4fa*F*Hr ?■Tlj ■輕側榔 f MM* FI HMI iPfhj^w vl 宇\ —|3t M. I ? I >^4 >4* * K■- wwf ? HI finqp Z?i— (I M ■] Wrvtr 如?I T* Viife* 通过Ping菜单检测移动组成员的连通性 Piw功龍止右上仙卩iy纠采如卜国所示: lM*ff Aa *1 ■[jofilf n|pf
无线控制器WLC配置
无线控制器W L C配置 WTD standardization office【WTD 5AB- WTDK 08- WTD 2C】
无线控制器(W L C)配置无线控制器WLC的初始配置 ?连接到WLC的console口,启动超级终端或其它终端软件,把com口属性设置还原为默认值(如下图),点确定应用配置 ?回车进入命令行管理界面 选择“5. Clear Configuration”,(注意:不同版本的选项顺序不同,要注意查看,而且该处停留时间较短,请及时选择操作序号),清除原有设置,并进行初始设置。 ?随后根据系统提示完成以下配置: Welcome to the Cisco Wizard Configuration Tool Use the '-' character to backupSystem Name [Cisco_40:4a:03]: Enter Administrative User Name (24 characters max): admin .... Configuration saved! Resetting system with new configuration... WLC的WEB网管设置 1.1.登录WEB网管界面 ?通过浏览器地址栏,点击login键,出现登录会话框。 输入用户名和密码:User: admin;Password:****** ?Monitor 页面中的摘要信息,可以看到AP的数量和传输所使用的带宽状态,AP 的管理地址以及WLC的名字,显示如下: 1.2.添加接口Interfaces ?controller页面,左侧点击Interfaces选项,点击右边的new按钮,添加一个新的业务接口地址,相当于建立一个vlan ?填入业务网段的名称vlan 号,点击右上角Apply
防火墙安全策略配置
防火墙安全策略配置 -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
一、防火墙设置外网不能访问内网的方法: 1、登录到天融信防火墙集中管理器; 2、打开“高级管理”→“网络对象”→“内网”,在右边窗口空白处点击右键,在弹出的快捷菜单中选择“定义新对象”→“子网”,填入子网名称(自己命名),如“120段”,地址范围中,输入能够上网机器的所有IP范围(能够上网的电脑IP 范围)。点击确定。 3、在“网络对象”中选择“外网”,在右边窗口空白处点击右键,在弹出的快捷菜单中选择“定义新对象”“子网”,填入子网名称(自己命名),如“外网IP”,地址范围中,输入所有IP范围。点击确定。
4、访问策略设置 A、在“高级管理”中选择“访问策略”“内网”,在右边的窗口中,点击右键,选择“增加”,点击“下一步”。 B、在“策略源”中选择“外网IP”(刚才设置的外网IP),点击“下一步”。
C、在“策略目的”中选择“内网”和“120段”(刚才设置的上网IP),点击“下一步”。
D、在“策略服务”中,我们不做任何选择,直接点击“下一步”。(因为我们要限制所有外网对我们内网的访问,在此我们要禁用所有服务,因此不做选择) E、在“访问控制”中,“访问权限”选择“禁止”(因为我们上一步没有选择服务,在此我们选择禁止,表示我们将禁止外网对我们的所有服务),“访问时间”选择“任何”,“日志选项”选择“日志会话”,其他的不做修改,点击“下一步”。
F、最后,点击“完成”。 5、至此,我们就完成了对外网访问内网的设置。
Aruba无线控制器用户初始配置手册(suning)
ARUBA 无线控制器用户配置手册 苏宁电器 Aruba 无线控制器用户配置手册 Version 1.3
苏宁电器 Aruba 无线控制器用户配置手册 一、连接 Aruba 无线控制器 1.将 console 线 RJ45 一端连接至无线控制器的SERIAL端口,另一端连接至电脑COM 口(笔记本没有COM 口的可以使用USB-COM线)。 2.打开相应的配置终端软件(可以使用Secure-CRT或者使用系统自带的超级终端软件, 建议使用Secure-CRT这款第三方终端软件) 3.配置终端软件的参数 Secure-CRT配置步骤: 协议选择Serial,点击“下一步” 端口选择好本电脑上使用的 COM 接口,波特率选择“ 9600 ”,数据流控制选型将前面 的勾全部去掉,其它选项保持不变,点击“下一步”
点击“完成”即可登录到配置界面。 超级终端配置步骤: 点击“开始” >“所有程序” >“附件” >“通讯” >“超级终端” 在名称一栏自定义输入一个名称,例如:“ suning ”,点击“确定”
在连接时使用选择好相应的COM 接口,点击“确定” 点击“还原为默认值” ,再点击“确定”即可登录到配置界面。 二、配置向导 第一次登录控制器会出现配置向导进行简单的配置 开机运行到如下图所示,即到了配置向导界面
配置如下: Enter System name [Aruba200]: 此处直接回车即选择 []内的内容,例如此处回车即选择设 备名称为: Aruba200 ,也可自己自定义系统名称 Enter VLAN 1 interface IP address [172.16.0.254]: 此处直接回车即选择 VLAN 1 的 IP 地址为:172.16.0.254,一般此处直接回车,后面可以另行更改 Enter VLAN 1 interface subnet mask [255.255.255.0]: 此处直接回车即选择 VLAN 1 的 IP 地址 的子网掩码为: 255.255.255.0 Enter IP Default gateway [none]: 此处为指定控制器的网关地址,即路由地址,一般这边 不指定,等进入系统后重新配置指定 Enter Switch Role, (master|local) [master]:此处为指定控制器角色,一般默认为master ,可直接回车到下一步
Fortigate防火墙安全配置规范
Fortigate防火墙安全配置规范
1.概述 1.1. 目的 本规范明确了Fortigate防火墙安全配置方面的基本要求。为了提高Fortigate防火墙的安全性而提出的。 1.2. 范围 本标准适用于 XXXX使用的Fortigate 60防火墙的整体安全配置,针对不同型号详细的配置操作可以和产品用户手册中的相关内容相对应。
2.设备基本设置 2.1. 配置设备名称 制定一个全网统一的名称规范,以便管理。 2.2. 配置设备时钟 建议采用NTP server同步全网设备时钟。如果没有时钟服务器,则手工设置,注意做HA的两台设备的时钟要一致。 2.3. 设置Admin口令 缺省情况下,admin的口令为空,需要设置一个口令。密码长度不少于8个字符,且密码复杂。 2.4. 设置LCD口令 从设备前面板的LCD可以设置各接口IP地址、设备模式等。需要设置口令,只允许管理员修改。密码长度不少于8个字符,且密码复杂。 2.5. 用户管理 用户管理部分实现的是对使用防火墙某些功能的需认证用户(如需用户认证激活的防火墙策略、IPSEC扩展认证等)的管理,注意和防火墙管理员用于区分。用户可以直接在fortigate上添加,或者使用RADIUS、LDAP服务器上的用户数据库实现用户身份认证。 单个用户需要归并为用户组,防火墙策略、IPSEC扩展认证都是和用户组关联的。 2.6. 设备管理权限设置 为每个设备接口设置访问权限,如下表所示:
接口名称允许的访问方式 Port1 Ping/HTTPS/SSH Port2 Ping/HTTPS/SSH Port3 Ping/HTTPS/SSH Port4 HA心跳线,不提供管理方式 Port5 (保留) Port6 (保留) 且只允许内网的可信主机管理Fortinet设备。 2.7. 管理会话超时 管理会话空闲超时不要太长,缺省5分钟是合适的。 2.8. SNMP设置 设置SNMP Community值和TrapHost的IP。监控接口状态及接口流量、监控CPU/Memory等系统资源使用情况。 2.9. 系统日志设置 系统日志是了解设备运行情况、网络流量的最原始的数据,系统日志功能是设备有效管理维护的基础。在启用日志功能前首先要做日志配置,包括日志保存的位 置(fortigate内存、syslog服务器等)、需要激活日志功能的安全模块等。如下图 所示:
防火墙策略配置向导
目录 1 防火墙策略配置向导..........................................................................................................................1-1 1.1 概述...................................................................................................................................................1-1 1.2 防火墙策略配置.................................................................................................................................1-1 1.2.1 配置概述.................................................................................................................................1-1 1.2.2 配置防火墙策略......................................................................................................................1-1
h3c无线控制器加fit-ap配置实例
一栋大楼内部组建公共无线网络,考虑到客户端数量可能众多,而客户端频繁及接入层交无线ap移动可能性不大,规划将无线客户端划分到不同的vlan内,vlan内。网络连接示意图如下:换机划在一个 无线控制器配置文件: # version 5.20, Release 2308P10 # sysname wx5004 # domain default enable system # port-security enable # wlan auto-ap enable # vlan 1 # vlan 96 description ap-client # vlan 97 description ap-client # vlan 98 description ap-client # vlan 99 description ap-client # vlan 100 description ap-client # vlan 101 description ap-client # vlan 102 description ap-client # vlan 103 description managerdevice #
domain system access-limit disable state active idle-cut disable self-service-url disable # public-key peer 192.168.103.254 public-key-code begin 30819F300D06092A864886F70D3818D00308C2171D5A373DAB7E 0E2B1B202AA91185612713CB3BC6CAD3557BB740D5F9CF3CA1935F20EB05B823B1CAC A18E0 CC401FE26B61DDE098EE75610ACF51084980E2FCD305EE3CF30F6D5E8885F0D3BA5AD E913B CD672E038FEACBD4B3CDB9809B2E1D57B660CDCF7F50282DF5EF8D973B264191552DE 82E5C 3EC3B7C9F11D54357D020******* public-key-code end peer-public-key end # dhcp server ip-pool manager network 192.168.103.0 mask 255.255.255.0 gateway-list 192.168.103.254 expired day 7 # dhcp server ip-pool pub-wireless-use network 192.168.96.0 mask 255.255.248.0 dns-list 211.95.193.97 211.94.33.193 8.8.8.8 #. dhcp server ip-pool vlan100 network 192.168.100.0 mask 255.255.255.0 gateway-list 192.168.100.254 # dhcp server ip-pool vlan101 network 192.168.101.0 mask 255.255.255.0 gateway-list 192.168.101.254 # dhcp server ip-pool vlan102 network 192.168.102.0 mask 255.255.255.0 gateway-list 192.168.102.254 # dhcp server ip-pool vlan96