Support for QoS (TOSDSCP, WMM, 802.1p)

Support for QoS (TOSDSCP, WMM, 802.1p)
Support for QoS (TOSDSCP, WMM, 802.1p)

Support for QoS (TOS/DSCP, WMM, 802.1p)

Table of Contents

1.Introduction on QoS

https://www.360docs.net/doc/832425648.html,yer 2: IEEE 80

2.1p for Ethernet

https://www.360docs.net/doc/832425648.html,yer 2: WMM

https://www.360docs.net/doc/832425648.html,yer 3: DSCP

https://www.360docs.net/doc/832425648.html,yer 3: Other

2.Availability

1.Summary

2.Linux

3.MacOS X

4.Windows and Windows Mobile

5.Symbian S60 3rd Ed

3.Objective

4.Design

1.Portable High Level API

2.Fine Grained Control API

5.Limitations

https://www.360docs.net/doc/832425648.html,ing QoS in PJSIP Applications

1.PJSUA-LIB

2.Low Level Transports

7.References

This article describes the QoS support in PJSIP and how to use it.

Introduction on QoS

QoS settings are available for both Layer 2 and Layer 3 of TCP/IP protocols: Layer 2: IEEE 802.1p for Ethernet

IEEE 802.1p tagging will mark frames sent by a host for prioritized delivery using a 3-bit Priority field in the virtual local area network (VLAN) header of the Ethernet frame. The VLAN header is placed inside the Ethernet header, between the Source Address field and either the Length field (for an IEEE 802.3 frame) or the EtherType field (for an Ethernet II frame).

Layer 2: WMM

At the Network Interface layer for IEEE 802.11 wireless, the Wi-Fi Alliance

certification for Wi-Fi Multimedia (WMM) defines four access categories for

prioritizing network traffic. These access categories are (in order of highest to lowest priority) voice, video, best-effort, and background. Host support for WMM prioritization requires that both wireless network adapters and their drivers support WMM. Wireless access points (APs) must have WMM enabled.

Layer 3: DSCP

At the Internet layer, you can use Differentiated Services/Diffserv? and set the value of the Differentiated Services Code Point (DSCP) in the IP header. As defined in RFC 2472, the DSCP value is the high-order 6 bits of the IP version 4 (IPv4) TOS field and the IP version 6 (IPv6) Traffic Class field.

Layer 3: Other

Other mechanisms exist (such as RSVP, IntServ) but this will not be implemented.

Availability

Summary

The following table summarizes the availability/accessability of various QoS settings on platforms that PJSIP supports. "XXX is supported" row shows whether the OS is able to set that QoS setting. Whether that setting can be controlled

programmatically depends on "XXX is user settable" row. For example, on Windows Mobile 6 (WM6), both DSCP and WMM priority can be changed by the OS, but these settings are applied based on IP_DSCP_TRAFFIC_TYPE and user (i.e. PJLIB) cannot directly change the DSCP and WMM prio settings.

Win2k/ol der XP, Vista,

WM2003,

WM5

WM6 Symbian S60 Linux

MacOS

X

iPhone1

)

High level

API

Yes No Yes Yes Yes Yes Yes

API backend qos_bsd.

c2)

qos_dum

my.c

qos_w

m.c

qos_symbian

.cpp

qos_bs

d.c

qos_bs

d.c

qos_bs

d.c

DSCP is

supported

Yes No Yes Yes Yes Yes Yes DSCP is Yes No No Yes Yes Yes Yes

user

settable

WMM prio

No No Yes Yes No No No is

supported

WMM prio

No No No No No No No is user

settable

SO_PRIO

No No No No Yes Yes Yes RITY is

supported

SO_PRIO

No No No No Yes Yes Yes RITY is

settable

Notes:

1) iPhone availability is assumed based on MacOS X

2) On win32, sock_qos_dummy.c is used by default.

Set PJ_QOS_IMPLEMENTATION to PJ_QOS_BSD to enable the use of sock_qos_bsd.c. Linux

DSCP is available via IP TOS option.

Ethernet 802.1p tagging is done by setting setsockopt(SO_PRIORITY) option of the socket, then with the set_egress_map option of the vconfig utility to convert this to set vlan-qos field of the packet.

WMM is not known to be available.

MacOS X

DSCP is available via IP TOS option.

Windows and Windows Mobile

(It's a mess!)

DSCP is settable with setsockopt() on Windows 2000 or older, but Windows would silently ignore this call on WinXP or later, unless administrator modifies the registry.

On Windows 2000, Windows XP, and Windows Server 2003, GQoS (Generic QoS) API is the standard API, but this API may not be supported in the future. On Vista

and Windows 7, the is a new QoS2 API, also known as Quality Windows Audio-Video Experience (qWAVE).

IEEE 802.1p tagging is available via Traffic Control (TC) API, available on Windows XP SP2, but this needs administrator access. For Vista and later, it's in qWAVE.

WMM is available for mobile platforms on Windows Mobile 6 platform and Windows Embedded CE 6, via setsockopt(IP_DSCP_TRAFFIC_TYPE). qWAVE supports this as well.

Symbian S60 3rd Ed

Both DSCP and WMM is supported via RSocket::SetOpt() with will set both Layer

2 and Layer

3 QoS settings accordingly.

Objective

The objective of this ticket is to add new API to PJLIB socket API to enable

manipulation of the QoS parameters above in a uniform and portable manner.

Design

Based on the above, the following API is proposed.

Declare the following "standard" traffic types.

typedef enum pj_qos_type

{

PJ_QOS_TYPE_BEST_EFFORT,

PJ_QOS_TYPE_BACKGROUND,

PJ_QOS_TYPE_VIDEO,

PJ_QOS_TYPE_VOICE,

PJ_QOS_TYPE_CONTROL

} pj_qos_type;

The traffic classes above will determine how the Layer 2 and 3 QoS settings will be used. The standard mapping between the classes above to the corresponding Layer

2 and

3 settings are as follows:

PJLIB Traffic Type IP DSCP WMM 802.1p

BEST_EFFORT 0x00 BE (Bulk Effort) 0

BACKGROUND 0x08 BK (Bulk) 2

VIDEO 0x28 VI (Video) 5

VOICE 0x30 VO (Voice) 6

CONTROL 0x38 VO (Voice) 7

There are two sets of API provided to manipulate the QoS parameters.

Portable High Level API

The first set of API is:

// Set QoS parameters

PJ_DECL(pj_status_t) pj_sock_set_qos_type(pj_sock_t sock,

pj_qos_type val);

// Get QoS parameters

PJ_DECL(pj_status_t) pj_sock_get_qos_type(pj_sock_t sock,

pj_qos_type *p_val);

The API will set the traffic type according to the DSCP class, for both Layer 2 and Layer 3 QoS settings, where it's available. If any of the layer QoS setting is not settable, the API will silently ignore it. If both layers are not setable, the API will return error.

The API above is the recommended use of QoS, since it is the most portable across all platforms.

Fine Grained Control API

The second set of API is intended for application that wants to fine tune the QoS parameters.

The Layer 2 and 3 QoS parameters are stored in pj_qos_params structure:

typedef enum pj_qos_flag

{

PJ_QOS_PARAM_HAS_DSCP = 1,

PJ_QOS_PARAM_HAS_802_1_P = 2,

PJ_QOS_PARAM_HAS_WMM = 4

} pj_qos_flag;

typedef enum pj_qos_wmm_prio

{

PJ_QOS_WMM_TYPE_BULK_EFFORT_PRIO,

PJ_QOS_WMM_TYPE_BULK_PRIO,

PJ_QOS_WMM_TYPE_VIDEO_PRIO,

PJ_QOS_WMM_TYPE_VOICE_PRIO

} pj_qos_wmm_prio;

typedef struct pj_qos_params

{

pj_uint8_t flags; // Determines which values to

// set, bitmask of pj_qos_flag

pj_uint8_t dscp_val; // DSCP value to set

pj_uint8_t so_prio; // SO_PRIORITY value

pj_qos_wmm_prio wmm_prio; // WMM priority value

} pj_qos_params;

The second set of API with more fine-grained control over the parameters are: // Retrieve QoS params for the specified traffic type

PJ_DECL(pj_status_t) pj_qos_get_params(pj_qos_type type,

pj_qos_params *p);

// Set QoS parameters to the socket

PJ_DECL(pj_status_t) pj_sock_set_qos_params(pj_sock_t sock,

const pj_qos_params *p);

// Get QoS parameters from the socket

PJ_DECL(pj_status_t) pj_sock_get_qos_params(pj_sock_t sock,

pj_qos_params *p);

Important:

The pj_sock_set/get_qos_params() APIs are not portable, and it's probably only going to be implemented on Linux. Application should always try to

use pj_sock_set_qos_type() instead.

Limitations

Win32 currently is not be implemented.

Using QoS in PJSIP Applications

PJSUA-LIB

On PJSUA-LIB, QoS parameters have been added to pjsua_transport_config.

Please see pjsua_transport_config reference for more info.

Examples

To set QoS of RTP/RTCP traffic to Voice type (this will activate the appropriate DSCP, WMM, and SO_PRIORITY settings, if the OS supports it):

// Media transport setting is configurable on per account basis

pjsua_acc_config acc_cfg;

pjsua_acc_config_default(&acc_cfg);

// Set account settings

...

// Set media transport settings (listening start port etc) according to app settings

...

// Set media transport traffic type to Voice

acc_cfg.rtp_cfg.qos_type = PJ_QOS_TYPE_VOICE;

// Create account with this config

pjsua_acc_add(&acc_cfg, ...);

To tag SIP transport traffic with a specific DSCP value (in this case, DSCP CS3 or value 24). Note that not all platforms allow this, see the table above:

pjsua_transport_config sip_tcfg;

pjsua_transport_config_default(&sip_tcfg);

// Set listening port etc according to app settings

...

// Set QoS to DSCP CS3 (DSCP value 24)

sip_tcfg.qos_params.flags = PJ_QOS_PARAM_HAS_DSCP;

sip_tcfg.qos_params.dscp_val = 24;

// Create SIP transport with this config

pjsua_transport_create(..., &sip_tcfg, ...);

Low Level Transports

If you are using the low level transports (such as SIP transports, media transports, or STUN/TURN/ICE transports) directly instead of from PJSUA-LIB, the QoS settings are available in one of its creation parameters. Hint: they are normally named

as qos_type and qos_params.

References

1.QoS Support in Windows - good intro for QoS on Windows and in general

2.WMM (Wi-Fi Multimedia) (Windows Mobile 6)

3.VoIP developer guidelines for S60

4.WiFi QoS Support in Windows Vista: WMM part 2

神码网络设备防ARP

齐头并进堵源治本高校校园网ARP攻击防御解决方案 DIGTIAL CHINA DIGITAL CAMPUS 神州数码网络有限公司 2008-07

前言 自2006年以来,基于病毒的arp攻击愈演愈烈,几乎所有的校园网都有遭遇过。地址转换协议ARP(Address Resolution Protocol)是个链路层协议,它工作在OSI参考模型的第二层即数据链路层,与下层物理层之间通过硬件接口进行联系,同时为上层网络层提供服务。ARP攻击原理虽然简单,易于分析,但是网络攻击往往是越简单越易于散布,造成的危害越大。对于网络协议,可以说只要没有验证机制,那么就可以存在欺骗攻击,可以被非法利用。下面我们介绍几种常见ARP攻击典型的症状: ?上网的时候经常会弹出一些广告,有弹出窗口形式的,也有嵌入网页形式的。下载的软件不是原本要下载的,而是其它非法程序。 ?网关设备ARP表项存在大量虚假信息,上网时断时续;网页打开速度让使用者无法接受。 ?终端不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。 对于ARP攻击,可以简单分为两类: 一、ARP欺骗攻击,又分为ARP仿冒网关攻击和ARP仿冒主机攻击。 二、ARP泛洪(Flood)攻击,也可以称为ARP扫描攻击。 对于这两类攻击,攻击程序都是通过构造非法的ARP报文,修改报文中的源IP地址与(或)源MAC地址,不同之处在于前者用自己的MAC地址进行欺骗,后者则大量发送虚假的ARP报文,拥塞网络。 图一 ARP仿冒网关攻击示例

神州数码网络秉承“IT服务随需而动”的理念,对于困扰高教各位老师已久的ARP 攻击问题,结合各个学校网络现状,推出业内最全、适用面最广、最彻底的ARP整体解决方案。 神州数码网络公司从客户端程序、接入交换机、汇聚交换机,最后到网关设备,都研发了ARP攻击防护功能,高校老师可以通过根据自己学校的网络特点,选取相关的网络设备和方案进行实施。

神州数码交换机路由器命令汇总(最简输入版)

神州数码交换机路由器命令汇总(部分) 2016年3月23日星期三修改_________________________________________________________________________ 注:本文档命令为最简命令,如不懂请在机器上实验 注:交换机版本信息: DCRS-5650-28(R4) Device, Compiled on Aug 12 10:58:26 2013 sysLocation China CPU Mac 00:03:0f:24:a2:a7 Vlan MAC 00:03:0f:24:a2:a6 SoftWare Version 7.0.3.1(B0043.0003) BootRom Version 7.1.103 HardWare Version 2.0.1 CPLD Version N/A Serial No.:1 Copyright (C) 2001-2013 by Digital China Networks Limited. All rights reserved Last reboot is warm reset. Uptime is 0 weeks, 0 days, 1 hours, 42 minutes 路由器版本信息: Digital China Networks Limited Internetwork Operating System Software DCR-2659 Series Software, Version 1.3.3H (MIDDLE), RELEASE SOFTWARE Copyright 2012 by Digital China Networks(BeiJing) Limited Compiled: 2012-06-07 11:58:07 by system, Image text-base: 0x6004 ROM: System Bootstrap, Version 0.4.2 Serial num:8IRTJ610CA15000001, ID num:201404 System image file is "DCR-2659_1.3.3H.bin" Digital China-DCR-2659 (PowerPC) Processor 65536K bytes of memory,16384K bytes of flash Router uptime is 0:00:44:44, The current time: 2002-01-01 00:44:44 Slot 0: SCC Slot Port 0: 10/100Mbps full-duplex Ethernet Port 1: 2M full-duplex Serial Port 2: 2M full-duplex Serial Port 3: 1000Mbps full-duplex Ethernet Port 4: 1000Mbps full-duplex Ethernet Port 5: 1000Mbps full-duplex Ethernet Port 6: 1000Mbps full-duplex Ethernet

神州数码配置命令总结 (已更新)

第一部分交换机配置 一、基础配置 1、模式进入 Switch> Switch>en Switch#config Switch(Config)#interface ethernet 0/2 2、配置交换机主机名 命令:hostname <主机名> 3、配置交换机IP地址 Switch(Config)#interface vlan 1 Switch(Config-If-Vlan1)#ip address 10.1.128.251 255.255.255.0 Switch(Config-If-Vlan1)#no shut 4、为交换机设置Telnet授权用户和口令: 登录到Telnet的配置界面,需要输入正确的用户名和口令,否则交换机将拒绝该Telnet用户的访问。该项措施是为了保护交换机免受非授权用户的非法操作。若交换机没有设置授权Telnet用户,则任何用户都无法进入交换机的Telnet配置界面。因此在允许Telnet方式配置管理交换机时,必须在Console的全局配置模式下使用命令username privilege [password (0 | 7) ]为交换机设置Telnet授权用户和口令并使用命令authentication line vty login local打开本地验证方式,其中privilege选项必须存在且为15。 例:Switch>enable Switch#config Switch(config)#username test privilege 15 password 0 test Switch(config)#authentication line vty login local Switch(Config)#telnet-user test password 0 test Switch (Config)#telnet-server enable://启动远程服务功能 5、配置允许Telnet管理交换机的地址限制(单独IP或IP地址段) (1)限制单个IP允许Telnet登录交换机 switch(config)#authentication security ip 192.168.1.2 (2)限制允许IP地址段Telnet登录交换机 switch(config)#access-list 1 permit 192.168.1.0 0.0.0.255 switch(config)#authentication ip access-class 1 in 5、为交换机设置Web授权用户和口令:web-user <用户名>password {0|7} <密码> 例:Switch(Config)#web-user admin password 0 digital 6、设置系统日期和时钟:clock set 7、设置退出特权用户配置模式超时时间 exec timeout //单位为分钟,取值范围为0~300 8、保存配置:write 9、显示系统当前的时钟:Switch#show clock 10、指定登录用户的身份是管理级还是访问级 Enable [level {visitor|admin} [<密码>]] 11、指定登录配置模式的密码:Enable password level {visitor|admin}

神州数码模拟试题

1.下列应用使用TCP连接的有(本题3项正确) A.Telnet B.BGP C.FTP D.TFTP 2.TCP和UDP协议的相似之处是 A.传输层协议 B.面向连接的协议 C.面向非连接的协议 D.其它三项均不对 3.下列应用使用UDP连接的有(本题3项正确) A.TFTP B.Syslog C.SNMP D.HTTP 4.第一个八位组以二进1110开头的IP地址是()地址 A.Class A B.Class B C.Class C D.Class D 5.下面哪些不是ICMP提供的信息 A.目的地不可达 B.目标重定向 C.回声应答 D.源逆制 6.C类地址最大可能子网位数是 A.6 B.8 C.12 D.14 7.()协议是一种基于广播的协议,主机通过它可以动态的发现对应于一个IP地址的MAC地址 A.ARP B.DNS C.ICMP D.RARP 8.IP地址为子网掩码为的地址,可以划分多少个子网位,多少个主机位 A.2,32 B.4,30 C.254,254 D.2,30 9.关于IPX的描述正确的是(本题3项正确) A.IPX地址总长度为80位,其中网络地址占48位,节点地址占32位 B.IPX地址总长度为80位,其中网络地址占32位,节点地址占48位

C.IPX是一个对应于OSI参考模型的第三层的可路由的协议 D.NCP属于应用层的协议,主要在工作站和服务器间建立连接,并在服务器和客户 机间传送请求和响应 10.在无盘工作站向服务器申请IP地址时,使用的是()协议 A.ARP B.RARP C.BOOTP D.ICMP 11.以太网交换机的数据转发方式可以被设置为(本题2项正确) A.自动协商方式 B.存储转发方式 C.迂回方式 D.直通方式 12.当交换机检测到一个数据包携带的目的地址与源地址属于同一个端口时,交换机会怎样处理? A.把数据转发到网络上的其他端口 B.不再把数据转发到其他端口 C.在两个端口间传送数据 D.在工作在不同协议的网络间传送数据 13.下面哪个标准描述了生成树协议 A. B. C. D. 14.下列有关端口隔离的描述正确的是:(本题2项正确) A.DCS-3726B出厂时即是端口隔离状态,所有端口都可以与第一个端口通信,但之 间不可以互通 B.DCS-3726S可以通过配置实现与3726B一样的端口隔离功能,但出厂默认不时隔 离状态 C.可以通过配置私有VLAN功能实现端口隔离 D.可以通过配置公用端口实现端口隔离 15.下列关于静态配置链路聚合和动态配置链路聚合的理解正确的是: A.静态配置链路聚合需要在聚合组的每个聚合端口中进行配置 B.动态配置链路聚合只需要在主端口中配置一次,在全局模式中配置启用lacp协 议即可 C.静态配置链路聚合不能进行负载均衡 D.动态配置链路聚合不需要配置聚合组号,交换机会根据目前聚合组的情况自动 指定 16.网络接口卡(NIC)可以做什么? A.建立、管理、终止应用之间的会话,管理表示层实体之间的数据交换 B.在计算机之间建立网络通信机制 C.为应用进程提供服务 D.提供建立、维护、终止应用之间的会话,管理表示层实体之间的数据交换17.以下关于以太网交换机的说法哪些是正确的?

神州数码路由交换配置命令(全)

路由 ssh aaa authentication login ssh local aaa authentication enable default enable enable password 0 123456 username admin password 0 123456 ip sshd enable ip sshd auth-method ssh ip sshd auth-retries 5 ip sshd timeout 60 TELNET R1_config#aaa authentication login default local R1_config#aaa authentication enable default enable R1_config#enable password 0 ruijie R1_config#line vty 0 4 R1_config_line#login authentication default R1_config_line#password 0 cisco 方法2,不需要经过3A认证 R1_config#aaa authentication login default none R1_config#aaa authentication enable default enable R1_config#enable password 0 cisco R1_config#line vty 0 4 R1_config_line#login authentication default CHAP认证单向认证,密码可以不一致 R2_config#aaa authentication ppp test local R2_config#username R2 password 0 123456 R2_config_s0/2#enc ppp R2_config_s0/2#ppp authentication chap test R2_config_s0/2#ppp chap hostname R1 R1_config#aaa authentication ppp test local R1_config#username R1 password 0 123456 R1_config_s0/1#enc ppp R1_config_s0/1#ppp authentication chap test R1_config_s0/1#ppp chap hostname R2

DCN配置命令

1. 基本配置: 开启SSH服务:debug ssh-server 设置特权模式密码:enable password [8] 注释:8为加密的密码 设置退出特权模式超时时间::exec-timeout [] Switch(config)#exec-timeout 5 30(退出时间为5分30秒) 更改主机名:hostname 主机名 设置主机名与IP地址的映射关系:Switch(config)#ip host beijing 200.121.1.1(beijing为主机) 开启web配置服务:Switch(config)#ip http serve 显示帮户信息的语言类型:language {chinese|english} 使用密码验证:login 使用本地用户密码验证:Switch(config)#login local 设置用户在 console上进入一般用户配置模式时的口令:Switch(config)#password 8 test 热启动交换机:reload 加密系统密码:service password-encryption 恢复交换机出厂配置:set default 保存当前配置:write 配置交换机作为 Telnet 服务器允许登录的 Telnet 客户端的安全 IP 地址: Switch(config)#telnet-server securityip 192.168.1.21 设置Telnet 客户端的用户名及口令:Switch(config)#telnet-user Antony password 0 switch 打开交换机的 SSH服务器功能:Switch(config)#ssh-server enable 设置SSH客户端的用户名及口令:Switch(config)#ssh-user switch password 0 switch 通过DHCP 方式获取 IP 地址。 Switch(config)#interface vlan 1 Switch(Config-if-Vlan1)#ip dhcp-client enable Switch(Config-if-Vlan1)#exit 交换机 Switch1 端口 1 同交换机 Switch2 端口 1 用线相连,将该两个端口设置为强制100Mbit/s 速率,半双工模式。 Switch1(config)#interface ethernet1/1 Switch1(Config-If-Ethernet1/1)#speed-duplex force100-half Switch2(config)#interface ethernet1/1 Switch2(Config-If-Ethernet1/1)#speed-duplex force100-half 配置名称为 test的隔离组。 Switch>enable Switch#config Switch(config)#isolate-port group test 打开LACP调试开关。 Switch#debug lacp 新建一个 port group,并且采用默认的流量分担方式。

神州数码路由器实训手册

10级网络设备常规实训【router】文档 -2011-2012学年第一学期- 实训老师:沈广东刘海涛 编辑:蒋立彪沈广东 目录 一、路由器基本配置-------------------------------------------03 二、使用访问控制列表(ACL)过滤网络数据包-------06 三、路由器的NAT功能--------------------------------------08 四、路由器DHCP 配置--------------------------------------10 五、本地局域网互联(路由协议配置)------------------14 六、使用DCVG-204实现VOIP ---------------------------19 七、跨路由使用DCVG-204---------------------------------22

一、路由器基本配置 一、试验目的: 1.掌握路由器本地设置的方法。 2.掌握路由器设置命令。(设置端口IP) 3.掌握路由器远程设置的方法。(telnet 服务) 二、试验设备 1.DCR-1700路由器1台 2.Console 线、直通双绞线 3.DCRS-3926S交换机1台 三、试验拓扑结构 :192.168.1.2/24 192.168.1.254 线 //思考1:如果路由器要直接和PC连接,是用直通线?还是交叉线? 三、实验任务及步骤 1.Console 口连接 2.任务模式:enable 特权配置模式 Config 全局配置模式 3.测试计算机与路由器的连通性 PC机配置: Route 配置: Router#delete this file will be erased,are you sure?(y/n)y no such file Router#reboot Do you want to reboot the router(y/n)? //恢复出厂设置并重启 Router_config#hostname RouterA RouterA _config# //修改主机名 RouterA _config#interface fastEthernet 0/0 (//进入100M端口,) //思考2:若想进入10M口如何? // RouterA _config#interface ethernet 0/1 进入10M口

神州数码交换机基本配置

神州数码交换机基本配置 恢复交换机的出厂设置 命令:set default 功能:恢复交换机的出厂设置。 命令模式:特权用户配置模式。 使用指南:恢复交换机的出厂设置,即用户对交换机做的所有配置都消失,用户重新启动交换机后,出现的提示与交换机首次上电一样。 注意:配置本命令后,必须执行write 命令,进行配置保留后重启交换机即可使交换机恢复到出厂设置。 举例: Switch#set default Are you sure? [Y/N] = y Switch#write Switch#reload 进入交换机的Setup配置模式 命令:setup 功能:进入交换机的Setup配置模式。 命令模式:特权用户配置模式。 使用指南:在Setup配置模式下用户可进行IP地址、Web 服务等的配置。 举例: Switch#setup Setup Configuration ---System Configuration Dialog--- At any point you may enter Ctrl+C to exit. Default settings are in square brackets [ ]. If you don't want to change the default settings, you can input enter. Continue with configuration dialog? [y/n]:y Please select language [0]:English [1]:中文 Selection(0|1) [0]:0 Configure menu [0]:Config hostname [1]:Config interface-Vlan1 [2]:Config telnet-server [3]:Config web-server [4]:Config SNMP [5]:Exit setup configuration without saving [6]:Exit setup configuration after saving

山石网科SG神州数码DCFW-1800系列安全网关至中神通UTMWALL的功能迁移手册

山石网科SG/神州数码DCFW-1800系列安全网关至中神通UTMWALL的功能迁移手册 更多产品迁移说明: 山石网科安全网关是Hillstone针对中小企业及分支机构用户的安全现状和需求推出的全新高性能多核安全网关。产品采用业界领先的多核Plus G2安全架构和64位实时安全操作系统StoneOS?,提供全方位的安全防护、易用的可视化管理和卓越的性能,为中小企业和分支机构用户提供高性价比的全面安全解决方案。山石网科下一代智能防火墙采用创新的主动检测技术和智能多维处理架构,通过全网健康指数帮助用户实时掌握安全状况;基于先进的应用识别和用户识别技术,为用户提供高性能应用层安全防护及增强的智能流量管理功能。 神州数码DCFW-1800系列防火墙是神州数码网络有限公司自主开发、拥有知识产权的新一代高性能纯硬件网络安全产品,能够为大中型企业、政府机关、教育机构等的网络安全问题提供安全高速的解决方案。DCFW-1800系列防火墙拥有集成的网络安全硬件平台,采用专有的实时操作系统,可以灵活的划分安全域,并且可以自定义其它安全级别的域,防火墙的安全策略规则会对信息流进行检查和处理,从而保证网络的安全。 武汉中神通信息技术有限公司历经15年的开发和用户使用形成了中神通UTMWALL?系列产品,有硬件整机、OS软件、虚拟化云网关等三种产品形式,OS 由50多个不断增长的功能APP、32种内置日志和5种特征库组成,每个APP都有配套的在线帮助、任务向导、视频演示和状态统计,可以担当安全网关、防火墙、UTM、NGFW等角色,胜任局域网接入、服务器接入、远程VPN接入、流控审计、行为管理、安全防护等重任,具备稳定、易用、全面、节能、自主性高、扩展性好、性价比优的特点,是云计算时代的网络安全产品。 以下是两者之间的功能对比迁移表: 山石网科SG v5.0功能项页码中神通UTMWALL v1.8功能项页码第1章产品概述 1 A功能简介8 第2章搭建配置环境 6 B快速安装指南9 第3章命令行接口(CLI)10 B快速安装指南9 第4章系统管理15 2系统管理47

神州数码交换机配置

神州数码交换机配置基本命令 交换机基本状态: hostname> ;用户模式 hostname# ;特权模式 hostname(config)# ;全局配置模式 hostname(config-if)# ;接口状态 交换机口令设置: switch>enable ;进入特权模式 switch#config terminal ;进入全局配置模式 switch(config)#hostname ;设置交换机的主机名 switch(config)#enable secret xxx ;设置特权加密口令 switch(config)#enable password xxa ;设置特权非密口令 switch(config)#line console 0 ;进入控制台口 switch(config-line)#line vty 0 4 ;进入虚拟终端 switch(config-line)#login ;允许登录 switch(config-line)#password xx ;设置登录口令xx switch#exit ;返回命令 交换机VLAN设置: switch#vlan database ;进入VLAN设置 switch(vlan)#vlan 2 ;建VLAN 2 switch(vlan)#no vlan 2 ;删vlan 2 switch(config)#int f0/1 ;进入端口1 switch(config-if)#switchport access vlan 2 ;当前端口加入vlan 2 switch(config-if)#switchport mode trunk ;设置为干线 switch(config-if)#switchport trunk allowed vlan 1,2 ;设置允许的vlan switch(config-if)#switchport trunk encap dot1q ;设置vlan 中继switch(config)#vtp domain ;设置发vtp域名 switch(config)#vtp password ;设置发vtp密码 switch(config)#vtp mode server ;设置发vtp模式 switch(config)#vtp mode client ;设置发vtp模式 交换机设置IP地址: switch(config)#interface vlan 1 ;进入vlan 1 switch(config-if)#ip address ;设置IP地址 switch(config)#ip default-gateway ;设置默认网关 switch#dir Flash: ;查看闪存 交换机显示命令: switch#write ;保存配置信息 switch#show vtp ;查看vtp配置信息 switch#show run ;查看当前配置信息 switch#show vlan ;查看vlan配置信息 switch#show interface ;查看端口信息 switch#show int f0/0 ;查看指定端口信息 完了最最要的一步。要记得保存设置俄,

神州数码路由器配置相关命令

一、路由器工作模式: 用户模式:Router> 特权模式:Router # 全局配置模式:Router (config)# 接口配置模式:Router (config-if)# 路由配置模式:Router(config-router)# Line配置模式:Router(config-line)# 二、路由器口令设置: Router>enable;进入特权模式 Router#configterminal;进入全局配置模式 Router(config)#hostname xxx;设置路由器的主机名 Router(config)#enable secret level 15 0 xxx ;设置特权明文加密口令xxx Router (config)#enable password xxx;设置特权非密口令 Router(config)#line console 0;进入控制台口 Router(config-line)#line vty 0 4;进入虚拟终端 Router(config-line)#login;允许登录 Router(config-line)#password xx ;设置登录口令xx Router#exit;返回命令 三、路由器VLAN设置: 配置WAN接口 选择接口:Router(config)#i nterface s0/0/0 配置IP地址Router(config-if)#ip address 192.168.10.1 255.255.255.0 设置时钟频率:Router(config-if)#clock rate 64000(另一端无需配置)启用端口:Router(config-if)#no shutdown 四、路由协议设置: 静态路由:Router(config)#ip route network 目标网络网络掩码下一跳IP Router(config)#ip route 192.168.1.0 255.255.255.0 10.1.1.1 默认路由:Router(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1

防火墙解决方案

大型企业网络防火墙解决方案 神州数码大型企业网络防火墙整体解决方案,在大型企业网络中心采用神州数码 DCFW-1800E防火墙以满足网络中心对防火墙高性能、高流量、高安全性的需求,在各分支机构和分公司采用神州数码DCFW-1800S防火墙在满足需要的基础上为用户节约投资成本。另一方面,神州数码DCFW-1800系列防火墙还内置了VPN功能,可以实现利用Internet构建企业的虚拟专用网络。 防火墙VPN解决方案 作为增值模块,神州数码DCFW-1800防火墙内置了VPN模块支持,既可以利用因特网(Internet)IPSEC通道为用户提供具有保密性,安全性,低成本,配置简单等特性的虚拟专网服务,也可以为移动的用户提供一个安全访问公司内部资源的途径,通过对PPTP协议的支持,用户可以从外部虚拟拨号,从而进入公司内部网络。神州数码DCFW-1800系列防火墙的虚拟专网具备以下特性: 标准的IPSEC,IKE与PPTP协议

支持Gateway-to-Gateway网关至网关模式虚拟专网 支持VPN的星形(star)连接方式 VPN隧道的NAT穿越 支持IP与非IP协议通过VPN 支持手工密钥,预共享密钥与X.509 V3数字证书,PKI体系支持IPSEC安全策略的灵活启用:管理员可以根据自己的实际需要,手工禁止和启用单条IPSEC安全策略,也为用户提供了更大的方便。 支持密钥生存周期可定制 支持完美前项保密 支持多种加密与认证算法: 加密算法:DES, 3DES,AES,CAST,BLF,PAP,CHAP 认证算法:SHA, MD5, Rmd160 支持Client-to-Gateway移动用户模式虚拟专网 支持PPTP定制:管理员可以根据自己的实际需要,手工禁止和启用PPTP。

神州数码路由配置

一:RIP路由协议 1.RIP的工作原理: (1)采用的协议类型:RIP采用的协议类型为距离矢量路由协议,主要是以跳数做为度量值。 (2)路由表的行成:使用相同RIP协议之间路由器以广播形式发送路由表信息,相邻的路由器学习后经过周期时间后再发送给相邻的路由器,从而网络中所有使用相同RIP协议的路由器之间可以相互学习到整个网络的所有网段,这个状态称之为收检。网络收检后路由器为了维护路由表,并且及时发现网络拓扑的改变,仍每隔一段时间发送路由更新信息。 (3)RIP的更新时间:默认每隔30s从每个启动RIP协议的接口不断发送路由更新信息。它采用的协议类型为UDP 端口号为520 (4)水平分割:就是为了防止环路的产生,主要原理是从一个接口学习到的路由信息不再从这个接口发出去。 2.RIP使用的版本: (1)RIP v1: 有类路由协议 广播发送路由信息 不支持部连续子网。 不支持长掩码 不能够禁用路由汇总 (2)RIP v2: 无类路由协议 组播方式发送路由信息 支持长掩码 支持部连续子网 可以禁止路由汇总 3.RIP配置命令: Router(config)#router rip /启用RIP进程 Router(config-router)#version 2 /RIP版本号为RIP v2 Router(config-router)#no auto-summary /禁止路由汇总 Router(config-router)#network 网段 /发布网络号 Router#show ip protocols /查看路由协议 二:OSPF路由协议 1.OSPF路由协议概述:OSPF是链路状态路由协议,OSPF将自治系统分割多个小的区域,OSPF的路由器只在区域内学习完整的链路状态信息,不必要了解自治系统内所有的链路状态。设置OPPF协议的路由器之间相互建立邻接关系,互相传递链路状态信息,从而了解整个网络的拓扑结构,在链路状态信息中,包含路由器的各个链路,这些链路与哪个路由器相连,连接的路径成本等信息。在链路状态路由协议收敛后,同域中所有路由器都可以了解本区域完整的链路信息。

神州数码训练A

1 / 9

一、交换机VLAN分配表 二、IP地址分配表

三、网络配置 上图为某企业网络的拓扑图,出口防火墙DCFW-1800S-H-V2、路由器为3台DCR-2655、核心交换机为两台DCRS-5650-28、接入交换机DCS-3950-28C及接在接入交换机下的多业务公司。网络为了网络的稳定,在网络运行VRRP+MSTP实现双链路双核心。公司通过DCFW-1800S-H-V2访问互联网,防火墙实现出差员工SSLVPN接入,VLAN10是行政VLAN,VLAN20是销售VLAN。 说明: 1.请将每台网络设备的配置通过超级终端导出。文档名称:二层交换机为 sw1.txt,路由器为R1.txt,R2.txt,R3.txt,三层交换机分别为sw2.txt和sw3.txt,防火墙为FW.txt,最后将所有的文档保存在PC4物理机桌面上名称为组号文件夹中(否则酌情扣分)。 2.特请注意:输入多余无关命令会酌情扣分。 网络配置要求如下: (1)按图示要求制作一定数量的直通线和交叉线。 (2)按图示正确连接设备及配置参数 (3)将三层交换机和路由器都设置telnet登录,用户名和密码均为shenzhou,密码以明文方式存储。 (4)将图中交换机DCS-3950-28C命名为sw1,交换机DCRS-5650-28分别命名为sw2和sw3。

(5)在二层交换机上并按图示要求正确配置VLAN及端口的交换模式。E0/0/1- E0/0/12端口上端口安全设置为自动学习最多3个MAC地址,违例规则为关闭模式,并且将源端口E0/0/7镜像到E0/0/1。 (6)在三台交换机上配置MSTP协议,并且创建两个MSTP实例:Instance10、Instance20。其中,Instance10包括VLAN10,并以sw2为根;Instance20包括VLAN20,以sw3为根。 (7)sw2和sw3之间启用链路聚合。加入的聚合端口为E0/0/9和E0/0/10,聚合端口交换模式为TRUNK。 (8)sw2和sw3上配置VRRP组1虚拟IP为192.168.10.1,VRRP组2虚拟IP 为192.168.20.1,实现VLAN10通过sw2转发数据,VLAN20通过sw3转发数据。(9)将图中3台路由器命名为R1,R2和R3,并设置相应的接口IP地址。(10)三层交换机和路由器之间均运行动态路由协议,具体信息描述如下:R1和R2连接口之间运行RIP v2路由协议,其他设备的各连接口之间运行OSPF协议。其中R2和R3之间的接口处于area 2,并进行MD5验证,密码为:123456;R1和R3之间的接口处于area 1,R1、sw2、sw3之间的接口处于area 0,所有的用户网关也置于area 0中。在R3上设置缺省路由,并进行路由重发布,实现内网用户访问外网的需求。在区域边界路由器R1、R3上配置虚链路,使R2 能够学习到完整的路由信息。在R1上进行RIP和OSPF协议之间的路由重发布,使核心设备能够学习到RIP协议的路由信息。 (11)在所有的三层设备上建立环回接口,并配置管理地址。sw2:4.4.4.4/32,sw3:5.5.5.5/32,R1:1.1.1.1/32,R2:2.2.2.2/32,R3:3.3.3.3/32。所有三层设备OSPF Router ID均与管理地址。在用户机上能够Ping通所有设备的管理地址。

神州数码配置命令

Telnet远程Shell管理 ?设置交换机IP地址 –Switch(config)#interface vlan 1 –Switch(config-If-Vlan1)#ip address 10.1.1.1 255.255.255.0 –Switch(config-If-Vlan1)#no shutdown ?交换机设置Telnet授权用户和口令;若交换机没有设置授权Telnet用户,则任何用户都无法进入交换机的CLI配置界面。 –Switch(config)#telnet-user test password 0 test HTTP远程图形管理 ?设置交换机IP地址 –Switch(config)#interface vlan 1 –Switch(config-If-Vlan1)#ip address 10.1.1.1 255.255.255.0 –Switch(config-If-Vlan1)#no shutdown ?交换机启动HTTP Server功能 –Switch(config)#ip http server ?交换机设置Web授权用户和口令;若交换机没有设置授权Web用户,则任何用户都无法进入交换机的Web配置界面。 –Switch(config)#web-user test password 0 test SSH配置 ?Switch(Config)#ssh-user test password 0 test ?Switch(Config)#ssh-server enable VLAN的基本配置 ?划分VLAN 100和VLAN 200,并加入端口; –Switch(Config)#vlan 100 –Switch(Config-Vlan100)#switchport interface e0/0/1-5 –Switch(Config)#vlan 200 –Switch(Config-Vlan200)#switchport interface e0/0/6-10 ?配置0/0/24端口为级联端口 –Switch(Config)#interface ethernet 0/0/24 –Switch(Config-ethernet0/0/24)#switchport mode trunk –switchport trunk allowed vlan 100;200 –/#Trunk端口缺省允许通过所有VLAN;用户可以通过上述命令设置哪些VLAN 的流量可以通过Trunk口,没有包含的VLAN流量则被禁止。 ?察看配置:show vlan 利用三层交换机实现VLAN间路由 ?为VLAN接口设置IP地址; –Switch(Config)#interface vlan 100 –Switch(Config-If-Vlan100)#ip address 192.168.1.1 255.255.255.0 –Switch(Config)#interface vlan 200 –Switch(Config-If-Vlan200)#ip address 192.168.2.1 255.255.255.0

神码防火墙配置-配置步骤

1800 E/S 网桥模式的配置步骤 (本部分内容适用于:DCFW-1800E 和DCFW-1800S系列防火墙)在本章节我们来介绍一下1800E和1800S防火墙网桥模式的配置方法以及步骤。 网络结构: 内网网段为:10.1.157.0 /24,路由器连接内部网的接口IP地址为:10.1.157.2 ,内网主机的网关设为:10.1.157.2 pc1 IP地址为:10.1.157.61 防火墙工作在网桥模式下,管理地址为:10.1.157.131 ,防火墙网关设为:10.1.157.2 管理主机设为:10.1.157.61 要求: 添加放行规则,放行内网到外网的tcp,udp,ping ;外网能够访问pc1 的http,ftp,ping 服务。 地址转换在路由器上作。 注意: 1800E和1800S在启用网桥模式后,只能在内网口上配置管理ip地址,外网口不能配置IP 地址,DMZ口在网桥模式下不能用。并且启用网桥后只能在内网中管理防火墙!!!。

实验步骤: 说明: 防火墙的网络地址的默认配置:内网口192.168.1.1 , 外网口192.168.0.1 ,DMZ口192.168.3.1 系统管理员的名称:admin 密码:admin. 一根据需求更改防火墙IP地址,添加管理主机,然后进入web管理界面 1.1进入超级终端,添加管理防火墙的IP地址: ( 超级终端的配置) 点击确定,然后按数下回车,进入到1800E/S防火墙的超级终端配置界面:

1.2 根据网络环境更改防火墙的内网口的IP地址和防火墙的网关 说明:if0 为防火墙的外网口;if1 为防火墙的内网口;if2 为防火墙的DMZ口

神州数码 交换机 Vlan配置命令

VLAN配置命令 8.2.2.1 vlan 命令:vlan [vlan-id] no vlan [vlan-id] 功能:创建vlan 并且进入vlan 配置模式,在vlan 模式中,用户可以配置vlan 名称和为该vlan 分配交换机端口;本命令的no 操作为删除指定的vlan。 参数:[vlan-id]为要创建/删除的vlan 的vid,取值范围为1~4094。 命令模式:全局配置模式 缺省情况:交换机缺省只有vlan1。 使用指南:vlan1 为交换机的缺省vlan,用户不能配置和删除vlan1。允许配置vlan的总共数量为4094 个。另需要提醒的是不能使用本命令删除通过gvrp 学习到的动态vlan。 举例:创建vlan100,并且进入vlan100 的配置模式。 switch (config)#vlan 100 switch (config-vlan100)# 8.2.2.2 name 命令:name [vlan-name] no name 功能:为vlan 指定名称,vlan 的名称是对该vlan 一个描述性字符串;本命令的no 操作为删除vlan 的名称。 参数:[vlan-name]为指定的vlan 名称字符串。 命令模式:vlan 配置模式 缺省情况:vlan 缺省名称为vlanxxx,其中xxx 为vid。 使用指南:交换机提供为不同的vlan 指定名称的功能,有助于用户记忆vlan,方便管理。 举例:为vlan100 指定名称为testvlan。

switch (config-vlan100)#name testvlan 8.2.2.3 switchport access vlan 命令:switchport access vlan [vlan-id] no switchport access vlan 功能:将当前access 端口加入到指定vlan;本命令no 操作为将当前端口从vlan 里删除。 参数:[vlan-id]为当前端口要加入的vlan vid,取值范围为1~4094。 命令模式:接口配置模式 缺省情况:所有端口默认属于vlan1。 使用指南:只有属于access mode 的端口才能加入到指定的vlan 中,并且access 端口同时只能加入到一个vlan 里去。 举例:设置某access 端口加入vlan100。 switch (config)#interface ethernet 0/0/8 switch (config-ethernet0/0/8)#switchport mode access switch (config-ethernet0/0/8)#switchport access vlan 100 switch (config-ethernet0/0/8)#exit 8.2.2.4 switchport interface 命令:switchport interface [interface-list] no switchport interface [interface-list] 功能:给vlan 分配以太网端口的命令;本命令的no 操作为删除指定vlan 内的一个或一组端口。 参数:[interface-list] 要添加或者删除的端口的列表,支持”;””-”,如:ethernet 0/0/1;2;5或ethernet 0/0/ 1-6;8。 命令模式:vlan 配置模式 缺省情况:新建立的vlan 缺省不包含任何端口。 使用指南:access 端口为普通端口,可以加入vlan,但同时只允许加入一个vlan。

相关文档
最新文档