神州数码2626常用功能及配置

多核防火墙快速配置手册防火墙配置一：SNAT配置 (2)防火墙配置二：DNAT配置 (5)防火墙配置三：透明模式配置 (11)防火墙配置四：混合模式配置 (14)防火墙配置五：DHCP配置 (17)防火墙配置六：DNS代理配置 (19)防火墙配置七：DDNS配置 (21)防火墙配置八：负载均衡配置 (24)防火墙配置九：源路由配置 (26)防火墙配置十：双机热备配置 (28)防火墙配置十一：QoS配置 (32)防火墙配置十二：Web认证配置 (36)防火墙配置十三：会话统计和会话控制配置 (44)防火墙配置十四：IP-MAC绑定配置 (46)防火墙配置十五：禁用IM配置 (48)防火墙配置十六：URL过滤配置 (50)防火墙配置十七：网页内容过滤配置 (54)防火墙配置十八：IPSEC VPN配置 (58)防火墙配置十九：SSL VPN配置 (65)防火墙配置二十：日志服务器配置 (74)防火墙配置二十一：记录上网URL配置 (76)防火墙配置二十二：配置管理及恢复出厂 (79)防火墙配置二十三：软件版本升级 (82)防火墙配置一：SNAT配置一、网络拓扑网络拓扑二、需求描述配置防火墙使内网192.168.1.0/24网段可以访问internet三、配置步骤第一步：配置接口首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置通过Webui登录防火墙界面输入缺省用户名admin，密码admin后点击登录，配置外网接口地址内口网地址使用缺省192.168.1.1第二步：添加路由添加到外网的缺省路由，在目的路由中新建路由条目添加下一条地址这里的子网掩码既可以写成0也可以写成0.0.0.0，防火墙会自动识别第三步：添加SNAT策略在网络/NAT/SNAT中添加源NAT策略第四步：添加安全策略在安全/策略中，选择好源安全域和目的安全域后，新建策略关于SNAT ，我们只需要建立一条内网口安全域到外网口安全域放行的一条策略就可以保证内网能够访问到外网。

神州数码交换机ACL配置神州数码交换机 ACL 配置ACL 配置创建编号为 110 的数字扩展访问列表。

拒绝 icmp 报文通过，允许目的地址为192.168.0.1 目的端口为32 的udp 包通过。

Switch(Config)#access-list 110 deny icmp any-source any-destination Switch(Config)#access-list 110 permit udp any-source host-destination 192.168.0.1 dPort 32创建一条编号为20的数字标准IP访问列表，允许源地址为10.1.1.0/24的数据包通过，拒绝其余源地址为10.1.1.0/16 的数据包通过。

Switch(Config)#access-list 20 permit 10.1.1.0 0.0.0.255Switch(Config)#access-list 20 deny 10.1.1.0 0.0.255.255允许防火墙起作用Switch(Config)#firewall enable创建一条名为tcpFlow的命名扩展IP 访问列表Switch(Config)#ip access-list extended tcpFlow创建一条名为ipFlow的命名标准 IP 访问列表Switch(Config)#ip access-list standard ipFlow将名为aaa 的访问列表绑定到端口的出方向上Switch(Config-Ethernet0/0/1)#ip access-group aaa out创建名为udpFlow的扩展访问列表。

拒绝igmp报文通过，允许目的地址为192.168.0.1目的端口为32 的udp 包通过。

Switch(Config)#ip access-list extended udpFlowSwitch(Config-Ext-Nacl-udpFlow)#access-list 110 deny igmp any-source any-destinationSwitch(Config-Ext-Nacl-udpFlow)#access-list 110 permit udp any-source host-destination 192.168.0.1 dPort 32 允许源地址为10.1.1.0/24 的数据包通过，拒绝其余源地址为10.1.1.0/16 的数据包通过。

神州数码设备配置总结交换机实验交换机的堆叠实验：3526s没有堆叠配置但堆叠的个数为不能超过8台交换机.而3926s堆叠个数不能超过9台。

堆叠（stack）协议是一种交换机管理技术，可将物理上的若干台交换机堆叠在一起，逻辑上当成一台交换机进行管理。

根据交换机之间连接方式的不同，堆叠交换机有三种配置方式：1．simplex方式：一台交换机的TX端口和另一台交换机的RX端口之间通过单向数据线连接，从而形成一个单向链路环。

simplex方式形成的堆叠组，每台交换机只需要一个全双工端口用于堆叠交换机之间的通讯。

缺点是容错性较差，任何一条链路出现故障，都会造成堆叠组瘫痪。

图 6-1 simplex方式2．duplex方式：交换机之间通过双向数据线连接形成双向两路环。

duplex方式形成的堆叠组，每台交换机必须两个全双工端口用于堆叠交换机之间的通讯。

为避免形成数据环，堆叠协议把其中一条数据链路作为冗余链路，并设置为PASSIVE状态。

Duplex堆叠方式具有较好的容错性，如果一条数据链路出现故障，堆叠协议可以启用冗余链路进行通讯，从而可以保持堆叠组稳定运行。

为节约级联端口，也可以取消冗余链路，而把交换机链接成为线形。

图 6-2 duplex方式3．chassis方式：以一台高性能交换机作为MASTER形成星形。

Chassis堆叠方式，任一两台交换机之间进行通讯，都必需经过MASTER交换机。

MASTER交换机必须是一台处理能力较强的高性能交换机，否则容易形成通讯瓶颈。

3926s的堆叠配置:图 6-3 chassis方式DCS-3926S支持duplex堆叠方式,下面我们就来看一下如何配置交换机堆叠。

目前，DCS-3926S支持duplex堆叠方式。

堆叠交换机启动后，首先运行MDP（MasterDiscovery Protocol）选举一台交换机作为MASTER，其它交换机作为SLAVE。

MASTER负责管理所有SLAVE交换机，并负责为每台SLAVE分配一个ID号，MASTER的ID为0。

神州数码网络设备配置命令集合网路信息安全技能大赛网络搭建部分资料整理第一部分：交换机配置：1. 基本配置：开启SSH服务：debug ssh-server设置特权模式密码：enable password [8] <password> 注释：8为加密的密码设置退出特权模式超时时间：：exec-timeout <minutes > [<seconds>]Switch(config)#exec-timeout 5 30（退出时间为5分30秒）更改主机名：hostname 主机名设置主机名与IP地址的映射关系：Switch(config)#ip host beijing 200.121.1.1（beijing为主机）开启web配置服务：Switch(config)#ip http serve显示帮户信息的语言类型：language {chinese|english}使用密码验证：login使用本地用户密码验证：Switch(config)#login local设置用户在console上进入一般用户配置模式时的口令：Switch(config)#password 8 test 热启动交换机：reload加密系统密码：service password-encryption恢复交换机出厂配置：set default保存当前配置：write配置交换机作为Telnet 服务器允许登录的Telnet 客户端的安全IP 地址：Switch(config)#telnet-server securityip 192.168.1.21设置Telnet 客户端的用户名及口令：Switch(config)#telnet-user Antony password 0 switch 打开交换机的SSH服务器功能：Switch(config)#ssh-server enable设置SSH客户端的用户名及口令：Switch(config)#ssh-user switch password 0 switch 通过DHCP 方式获取IP地址。

//重点：两个三层交换机之间可以通过Vlan 1 进行路由退出的命令的运用在神州数码的视图下是没有quit的命令的，但并不代表不能用quit，在大多数的视图下，都可以用quit命令退回上一级视图，当然用exit也可以，看个人喜好，但有视图也是例外的，例如：# spanning-tree mst configuration视图下就要用它专用的退出命令：abrotNAT配置：1、配置acl允许通过的网段；//一般用标准acl2、配置地址池；ip nat pool+名字+起始IP+终止IP+子网掩码3、配置nat转换那个网段；Ip nat inside source list +acl名字pool +地址池名字4、配置int接口和out接口；【接口试图】ip nat inside【接口试图】ip nat insideNAT server：# ip nat inside source static tcp + 服务的IP地址+ 服务端口+ 要转换成公网的IP地址+ 端口号在发布FTP的时候最好把21和20的都发布出去DNS一定要使用UDP服务路由器enable用户密码和时间配置：1、enable password 0/7（不验证和验证）+密码level+权限（默认不配置的时候是15）2、date（接下来按照指示配置就OK了）配置语言：1、路由器Chinese2、交换机language ChineseOSPF路由协议的配置：1、router id的配置，可以选择配置，配置的时候，要指向路由器接入的端口上的IP地址2、router ospf +数字（可以随意）network +使能的网段+子网掩码+area +区域号（ospf 分单区域和多区域两种,单区域的配置要注意每一个使能的网段后面的区域号都要一致，多区域配置两个区域相交的那路由器使能网段的时候要配置和对端相对应的区域号）3、ospf的虚连接配置（ospf的虚连接是只多个不能直接相连接的区域通过建立逻辑的上虚拟连接，建立邻居关系）：area +本网段的区域号+ virtual-link + 相同区域对端的路由器的router id（虚连接链路的配置是运用在至少3个不同区域的ospf上，而且其中两个区域，分别和第三个区域连接）4、可以使用neighbor + 邻接路由的IP地址Ping命令有趣使用：问题：ping 1.0.0.1 可以学成ping 1.001 ，写成1.1也能ping通因为ping 的协议的编写时采用了IPV6的机制的，中间是出现连续两个0的情况的话，可以合并，可以可以不写。

神州数码路由器的基本配置神州数码路由器的基本配置⒈硬件准备在进行神州数码路由器的基本配置之前，请确保您已经完成以下硬件准备：●神州数码路由器设备●电源适配器●网络电缆（Ethernet cable）●电脑或其他设备⒉连接路由器将神州数码路由器与电脑或其他设备连接起来，按照以下步骤进行操作：⑴将电源适配器插入神州数码路由器的电源口。

⑵使用网络电缆将一端插入神州数码路由器的LAN口（标有LAN或Ethernet的端口）。

⑶使用另一端将网络电缆插入电脑或其他设备的网卡接口。

⒊访问路由器管理界面通过以下步骤，访问神州数码路由器的管理界面：⑴打开您的浏览器（如Chrome、Firefox等）。

⑵在浏览器的地址栏中，输入默认的神州数码路由器IP地址（例如19⑴6⒏⑴）。

⑶按下Enter键，访问路由器管理界面。

⒋登录路由器登录神州数码路由器的管理界面，您需要进行以下操作：⑴在登录页面中输入默认的用户名和密码。

您可以在路由器的说明书或官方网站上找到这些信息。

⑵登录按钮，确认您的用户名和密码是否正确。

⑶如果登录成功，您将进入路由器的管理界面。

⒌基本设置在路由器的管理界面中，您可以进行路由器的基本配置。

以下是一些常见的基本设置：⑴更改路由器的名称（SSID）：在Wireless设置中，您可以修改路由器的名称，使其更容易识别。

⑵设置无线密码：在Security设置中，您可以设置一个强密码以保护您的无线网络。

⑶ DHCP设置：在DHCP设置中，您可以启用或禁用DHCP服务，并设置IP地址范围。

⑷ WAN设置：在WAN设置中，您可以配置路由器连接到互联网的方式，例如ADSL、动态IP或静态IP等。

⒍保存配置完成基本设置后，确保保存或应用按钮来保存所做的更改。

附件：无法律名词及注释：●IP地址：网络中设备的唯一标识符，用来进行网络通信。

●LAN：Local Area Network，局域网的简称，是指一定范围内的局部网络。

第一部分交换机配置一、基础配置1、模式进入Switch>Switch>enSwitch#configSwitch(Config)#interface ethernet 0/22、配置交换机主机名命令：hostname <主机名>3、配置交换机IP地址Switch(Config)#interface vlan 1Switch(Config-If-Vlan1)#ip address 10.1.128.251 255.255.255.0Switch(Config-If-Vlan1)#no shut4、为交换机设置Telnet授权用户和口令：登录到Telnet的配置界面，需要输入正确的用户名和口令，否则交换机将拒绝该Telnet用户的访问。

该项措施是为了保护交换机免受非授权用户的非法操作。

若交换机没有设置授权Telnet用户，则任何用户都无法进入交换机的Telnet配置界面。

因此在允许Telnet方式配置管理交换机时，必须在Console的全局配置模式下使用命令username <username>privilege <privilege> [password (0 | 7) <password>]为交换机设置Telnet授权用户和口令并使用命令authentication line vty login local打开本地验证方式，其中privilege选项必须存在且为15。

例：Switch>enableSwitch#configSwitch(config)#username test privilege 15 password 0 testSwitch(config)#authentication line vty login localSwitch(Config)#telnet-user test password 0 testSwitch (Config)#telnet-server enable：//启动远程服务功能5、配置允许Telnet管理交换机的地址限制（单独IP或IP地址段）（1）限制单个IP允许Telnet登录交换机switch(config)#authentication security ip 192.168.1.2（2）限制允许IP地址段Telnet登录交换机switch(config)#access-list 1 permit 192.168.1.0 0.0.0.255switch(config)#authentication ip access-class 1 in5、为交换机设置Web授权用户和口令：web-user <用户名>password {0|7} <密码>例：Switch(Config)#web-user admin password 0 digital6、设置系统日期和时钟：clock set <HH:MM:SS> <YYYY/MM/DD>7、设置退出特权用户配置模式超时时间exec timeout <minutes > //单位为分钟，取值范围为0~3008、保存配置：write9、显示系统当前的时钟：Switch#show clock10、指定登录用户的身份是管理级还是访问级Enable [level {visitor|admin} [<密码>]]11、指定登录配置模式的密码：Enable password level {visitor|admin}12、配置交换机的用户名密码：username admin privilege 15 password 0 admin00013、配置enable密码为ddd：enable password 0 ddd level 1514、配置登录时认证：authentication line vty login local15、设置端口的速率和双工模式（接口配置模式下）命令：speed-duplex {auto | force10-half | force10-full | force100-half | force100-full | {{force1g-half | force1g-full} [nonegotiate [master | slave]] } }no speed-duplex二、单交换机VLAN划分1、VLAN基本配置（1）新建VLAN：vlan <vlan-id>（2）命名VLAN：name <vlan-name>（3）为VLAN 分配交换机端口Switch(Config-If-Vlan1)#switchport interface Ethernet 0/2（4）设置Trunk 端口允许通过VLAN：Switch(Config-ethernet0/0/5)#switchport trunk allowed vlan 1;3;5-202、划分VLAN：（1）进入相应端口：Switch(config)#interface Ethernet 0/2（2）修改模式：Switch(Config-ethernet0/0/5)switchport mode access（3）划分VLAN：Switch(Config-ethernet0/0/5)#switchport access vlan 4三、跨交换机VLAN划分（两台交换机作相同操作）1、新建VLAN2、划分VLAN3、修改链路模式（1）进入相应端口：Switch(config)#interface Ethernet 0/1（2）修改模式：Switch(config-if)#switchport mode trunk四、VLAN间主机的通信1、新建VLAN2、划分VLAN3、修改链路模式（1）进入相应端口：Switch(config)#interface Ethernet 0/1（2）修改模式：Switch(config-if)#switchport mode trunk注意：如果是三层交换机，在修改模式先封装802.1协议：Switch(config-if)#switchport trunk encapsulation dot1q4、建立VLAN子接口（1）、进入VLAN接口模式：Switch(config)#interface vlan 2（2）、设置VLAN子接口地址：Switch(config-if)#ip address 192.168.0.1 255.255.255.0 （3）、打开端口：Switch(config-if)#no shutdown5、设置各主机IP地址、子网掩码、网关注意：（1）各主机IP地址应与其所在的VLAN在同一网段。