锐捷网络安全及网络出口

合集下载

《锐捷网络设备》课件

在某高校中，由于学生数量众多且流动性大，采用锐捷无线设备进行覆盖，方便学生随时随地上网，提高了网络使用率。
在某医院中，由于医疗设备众多且需要保证数据传输的稳定性，采用锐捷无线设备进行覆盖，确保了医疗设备的正常运行和数据的及时传输。
05
锐捷网络设备的配置与管理
锐捷网络设备的配置方法
配置前的准备工作
锐捷交换机采用先进的网络交换技术和芯片技术，具备高速的数据传输能力和强大的数据处理能力。
锐捷交换机支持多种网络协议，能够满足不同网络环境的需求，广泛应用于数据中心、云计算、企业网络等领域。
锐捷交换机的功能与特点
强大的扩展能力
锐捷交换机支持高密度端口扩展，可连接更多的服务器和存储设备，满足大规模数
政府机构
锐捷网络设备符合政府对于网络安全和信息化的高标准要求，为政府机构提供安全可靠的网络解决方案。
锐捷网络设备的优势与特点
高性能锐捷网络设备采用先进的网络技术和硬件配置，具备高速数据传输和处理能力，满足用户对于高性能网络的需求。
易用性锐捷网络设备采用人性化的设计和操作界面，方便用户进行配置和管理，降低网络管理的难度和成本。
满足用户不同的需求。
设备具有高速数据传输、信号覆盖广、信号干扰小等特点，保证用户能够享受到更加流畅的网络
体验。
锐捷无线设备还具有安全保障功能，如WPA3加密、MAC地址绑定等，有效保护用户的网络安全
。
锐捷无线设备的应用案例
在某大型企业中，由于员工众多且办公区域较大，传统的有线网络无法满足需求，因此采用了锐捷无线设备进行覆盖，实现了高速、稳定的无线网络连接。
易于管理
锐捷路由器支持Web浏览器、命令行界面等多种管理方式，方便用户进行设备管理和配置。

锐捷网络RGRIILBMC关键业务运行管理中心产品介绍

RG-RIIL-BMC关键业务运行管理中心产品介绍星网锐捷网络有限公司目录1 产品图片 (1)2 产品概述 (2)3 产品特性 (6)4 技术参数 (14)5 典型应用 ............................................................................................................................ 错误!未定义书签。

6 订购信息 (15)1 产品图片产品运行界面图2 产品概述锐捷网络基于RIIL平台的“关键业务系统运行监控中心”实施对网络和业务应用系统的集中智能管理，可以让有限的IT运维人员精力和IT预算投入到最关键的资源的维护和保障中，降低复杂IT环境的管理难度，更轻松地把握支撑关键业务的网络和系统的运行状态，并不断提升关键业务系统的运行服务质量水平，提升用户满意度。

随着信息化建设的推进，为了让凝聚了巨大人力物力投入的信息基础设施发挥出其效益，保障整个信息系统的平稳可靠运行，需要有一个可从整体上对包括IP网络，存储，安全等组件在内的IT基础设施环境进行综合管理的平台，并能够提供业务系统运行异常的实时告警和进行图形化问题定位，性能趋势分析和预警，能够基于关键业务系统的角度，以业务重要性为导向进行事件处理和通知。

由于信息系统是一个包括了众多软件，硬件技术，设计多厂家产品，从网络，安全，存储，计算到中间件和应用的复杂异构环境，而且随着信息建设的深入和持续优化和发展，这个复杂庞大的基础设施，还会随之不断进行演进，在产品，技术和网络结构，业务关系上不断发生变化，因此，要求针对该环境进行管理的系统具有良好的可扩展性，能够将下层网络和的复杂度有效的通过抽象屏蔽起来，向上层应用和运维流程开放稳定的接口。

基于这样的需求背景，我们从融合，开放的技术理念出发，提出了基于实时智能基础设施库的“关键业务系统运行监控中心（RIIL-BMC）”的建设思路。

锐捷网络认证系统使用说明

锐捷网络认证系统使用说明
一、认证登陆
1.连接校园网，打开浏览器，会自动弹出上网认证界面，如果没有弹出，您可以输入http://10.100.10.251或http://1.1.1.1。

2.输入用户名和密码。

用户号是您的工号，密码默认为身份证后6位（X用数字0代替）。

服务选择“校园网络CampusNetwork”，单击“连接Login”即可。

二、密码修改
登陆后，单击界面左上角的“自动服务”，再找到“密码修改”链接，修改密码即可。

密码应具有一定的复杂度，并保管好密码。

三、密码重置
方法一：自助找回。

您事先要在自助服务平台（http://10.100.10.250:8080）上的安全中心登记您的邮箱，在忘记密码时就可以在登录界面使用“找回密码”功能，自行重置密码。

方法二：持身份证等有效证件到东区逸夫楼608现代教育技术中心办公室办理重置手续。

锐捷路由器配置流程

锐捷路由器配置流程1. 硬件准备1. 将锐捷路由器连接到电源，并确保其正常开机。

2. 使用网线将计算机与路由器的LAN口相连。

2. 登录管理界面1. 打开浏览器，输入默认IP地址（一般为192.168.x.x）进入登录页面。

2. 输入默认用户名和密码进行登录。

如果没有修改过，默认用户名是admin，密码为空或者也是admin。

3 . 配置基本网络设置a) WAN设置：- 进入WAN设置页面，在其中选择接入方式（如ADSL、静态IP等），并填写相关参数。

- 如果需要使用PPPoE拨号上网，则需提供运营商分配的账号和密码信息。

b) LAN设置：- 在LAN设置页面中可以更改局域网的IP地址及子网掩码等信息。

根据实际情况进行调整，并保存配置。

4 . WLAN无线网络配置a) 进入WLAN无线网络配置界面，i ) 开启Wi-Fi功能；ii ) 设置SSID名称以标识该无线网络；iii ) 根据安全性要求选择加密类型并设定对应的加密算法及秘钥；5 . DHCP服务器配置a).在DHCP服务器菜单下, 可以指定起始/结束 IP 地址范围来动态分配给局域网内的设备，并设置租约时间。

6 . 高级功能配置a) 路由器端口映射：用于将外部网络请求转发到特定的主机或服务。

b) DMZ 主机：允许指定一个 IP 地址，使其处于公共互联网和本地 LAN 之间。

c）虚拟服务器: 允许在路由器上创建虚拟IP地址并将流量转发至该地址对应的计算机/服务器等。

7. 安全性设置a). 修改默认登录密码；b). 启用防火墙及其他安全策略来保护网络安全；8. 系统管理- 在系统管理菜单下可以进行一些常规操作, 如重启、恢复出厂设置以及升级固件等。

附件：1. 锐捷路由器用户手册.pdf（包含详细说明和操作步骤）法律名词及注释：- WAN (Wide Area Network): 广域网，是连接不同地理位置上广泛分布且相距较远的计算机与站点所构成的通信组合体系结构.- LAN (Local Area Network): 局域网，是位於某个区块范围内两台以上电脑互连而形成数据传输路径的集群.。

锐捷EG2000系列下一代网关产品介绍

锐捷网络股份有限公司了解更多产品信息，欢迎登陆，咨询电话：400-620-8818。

下一代网关RG-EG2000系列产品概述锐捷网络RG-EG2000系列网关是适用于多个行业的具有多合一功能特性的出口产品。

设备配以高性能的MIPS多核硬件体系架构，拥有高性能NAT、智能选路、集成AC、广域网加速、上网业务优化、智能流控、上网行为管理、内容审计、可视化IPSEC VPN、SSL VPN、防火墙、Web认证等多个功能。

凭借着丰富的功能，RG-EG系列能够极有效的优化用户网络，规范上网行为，全方位的加速关键业务开展，提高业务系统使用体验。

产品特性广域网优化——总部分支双边部署，加速分支访问总部业务RG-EG2000系列网关广域网优化技术适用于总部分支型网络，在总部和分支双边部署模式下，通过TCP协议优化、应用层协议优化、数据优化、低质量链路优化等关键性技术，实现分支访问总部业务系统的加速功能。

保证跨广域网访问业务系统能够达到局域网相接近的访问体验，提升业务系统的应用交付能力。

优化上网体验——“Mini Cache”，加速网页浏览、文件下载RG-EG2000系列网关还具备简单的缓存功能，能够对html、css、js、图片、ﬂash等网页元素以及doc、tar、gz等大文件进行缓存。

减少网页浏览的响应时间、大文件下载缓存到本地，优化上网体验。

集成软AC——降低小型无线网络建网成本，配置简单易用RG-EG2000系列网关集成了无线AC控制器功能，最大可以支持32个AP的集中配置管理，对于小型的无线网络无需专门配备一台单独的AC设备，同时图形化的配置界面只需几步轻松完成配置，既省钱又易用。

适用于普教中小学无线校园网、商贸连锁、咖啡厅、小型企业无线办公网等场景。

RG-EG2000系列网关对内网用户的上网行为进行精细化管理。

屏蔽各种与工作无关的网站，营造良好工作氛围，提高工作效率；可对聊天工具、邮件、论坛、微博、搜索引擎等提供安全审计功能，保护内网信息安全。

锐捷网络RG-RAP1200(FE)无线设备AP_3.0(1)B11P59 WEB管理手册说明书

未得到锐捷网络的书面许可，任何单位和个人不得以任何方式或形式对本文档的部分或全部内容进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。

、、和其他锐捷网络商标均为锐捷网络的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

免责声明您所购买的产品、服务或特性等应受商业合同和条款的约束，本文档中描述的部分或全部产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，锐捷网络对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

锐捷网络保留在没有任何通知或者提示的情况下对文档内容进行修改的权利。

本手册仅作为使用指导。

锐捷网络在编写本手册时已尽力保证其内容准确可靠，但并不确保手册内容完全没有错误或遗漏，本手册中的所有信息也不构成任何明示或暗示的担保。

前言读者对象本书适合下列人员阅读●网络工程师●技术推广人员●网络管理员技术支持●锐捷睿易官方网站：https:///●锐捷睿易在线客服：https:///?p=smb●锐捷网络官方网站服务与支持版块：https:///service.aspx●7天无休技术服务热线：4001-000-078●锐捷睿易技术论坛：/●常见问题搜索：https:///service/know.aspx●锐捷睿易技术支持与反馈信箱：*********************.cn●锐捷网络服务公众号：【锐捷服务】扫码关注本书约定1. 图形界面格式约定界面图标解释举例《》按钮点击《保存配置》按钮> 分级页面，子菜单项依次点击“无线管理 > 无线设置”“”配置项，提示信息，链接按钮等提示“保存配置成功” 点击“开启”选项点击“忘记密码”链接2. 各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的意义如下：警告表示用户必须严格遵守的规则。

锐捷网络产品线介绍

物联网管理平台
RG-IBS1260
室内物联网AP
RG-IBS6250 室外物联网AP
RG-IBS1210系列室内物联网扩展单元
RG-IUR8104
RFID固定阅读器
RG-IUR2101（I） RFID手持机
RG-IOTP-基础组件锐捷物联网平台
物联网模组
NB-IoT通讯模组
RG-IRT6110系列 LoRa无线通讯模组
25列交换机系列路由器系列智能控制中心rgscc600智能控制中心主机m600cav云终端音视频矩阵模块rgops工业电脑rgboardmateb电子白板软件普教rgiibp86m1交互智能平板86寸rgiibp75m1交互智能平板75寸rgamp600智能功放主机rgsounder100g音箱rgscp智慧教室综合管理平台智能交互音视频系列本地扩音系列应用软件rggtsrggtss多屏调度软件rgwlss无线投屏软件rgscc1000智能控制中心主机scc1000sim智能互动模块rgwls无线投屏器rgboardmateh电子白板软件高教m600cp触控面板rgsct教师端app锐捷网络产品线介绍实验室系列认证计费系列网关系列安全系列云桌面系列it管理系列互联网产品系列智慧教室系列无线系列交换机系列路由器系列教学资源系列实验管理系列实验平台系列rgcvpack大数据课程资源包rgrcms实验室机架控制和管理服务器rgntc拓扑连接器rgcvp200m云实训控制节点rgcvp200s云实训运算节点锐捷网络产品线介绍此课件下载可自行编辑修改供参考
RG-MTFI-M520系列
RG-MTFI-S系列
RG-MTFI-H530系列
RG-AP740系列
RG-AP730系列
RG-AP720系列

RG-NBR 出口网关 Web 管理手册说明书

、、和其他锐捷网络商标均为锐捷网络的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

除非合同另有约定，锐捷网络对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

锐捷网络保留在没有任何通知或者提示的情况下对文档内容进行修改的权利。

本手册仅作为使用指导。

前言读者对象本书适合下列人员阅读●网络工程师●技术推广人员●网络管理员技术支持●锐捷睿易官方网站：https:///●锐捷睿易在线客服：https:///?p=smb●锐捷网络官方网站服务与支持版块：https:///service.aspx●7天无休技术服务热线：4001-000-078●锐捷睿易技术论坛：/●常见问题搜索：https:///service/know.aspx●锐捷睿易技术支持与反馈信箱：*********************.cn●锐捷网络文档支持与反馈信箱：**************.cn●锐捷网络服务公众号：【锐捷服务】扫码关注本书约定1. 图形界面格式约定2. 各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的意义如下：警告表示用户必须严格遵守的规则。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

！设置处理违例的方式
注意：
1、端口安全功能只能在access端口上进行配置。 2、当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。
配置安全端口
端口的安全地址绑定
switchport port-security ！打开该接口的端口安全功能 switchport port-security mac-address mac-address ip-address ipaddress ！手工配置接口上的安全地址
IP访问列表配置注意事项
1、一个端口在一个方向上只能应用一组ACL 2、锐捷全系列交换机可针对物理接口和SVI接口应用ACL
针对物理接口，只能配置入栈应用(In) 针对SVI（虚拟VLAN）接口，可以配置入栈（In）和出栈（Out）应用
3、访问列表的缺省规则是：拒绝所有
基于时间的ACL
基于时间的ACL
1 00d0.f800.073c 192.168.12.202 Configured Fa0/3
课程议题
IP访问控制列表
什么是访问列表
IP Access-list：IP访问列表或访问控制列表，简称IP ACL
ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤
√
ISP
访问列表的组成
按规则链来进行匹配
使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配
规则匹配原则
从头到尾，至顶向下的匹配方式匹配成功马上停止立刻使用该规则的“允许/拒绝……”
IP标准访问列表的配置
1.定义标准ACL
编号的标准访问列表 Router(config)#access-list <1-99> {permit|deny} 源地址 [反掩码] 命名的标准访问列表 switch(config)# ip access-list standard < name > switch(config-std-nacl)#{permit|deny} 源地址 [反掩码]
配置静态端口地址转换
第一步：在路由器上配置IP路由选择和IP地址。第二步：至少指定一个内部接口和一个外部接口，并执行命令ip nat { inside | outside }。第三步：使用全局命令ip nat inside source static { tcp | udp } local-ip localport { interface interface | global-ip } global-port指定静态PAT条目。
Switch(config)# interface gigabitethernet 1/3
Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 8
查看配置信息
查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等
Switch#show port-security Secure Port MaxSecureAddr CurrentAddr Security Action ----------------Gi1/3 -------8 --------1 -------------Protect
经某接口进入设备内部的数据包进行安全规则过滤
2.出栈应用（out）
设备从某接口向外发送数据时进行安全规则过滤
一个接口在一个方向只能应用一组访问控制列表
IN F1/0
OUT
F1/1
IP ACL的基本准则
一切未被允许的就是禁止的
定义访问控制列表规则时，最终的缺省规则是拒绝所有数据包通过
查看安全地址信息
Switch# show port-security address
Vlan Mac Address IP Address ----------------------Type ------Port Remaining Age(mins) ---------------8 1
示例：absolute start 08:00 1 Jan 2007 end 10:00 1 Feb 2008
配置时间段（续）
配置周期时间
Router(config-time-range)#
periodic day-of-the-week hh:mm to [ day-of-the-week ] hh:mm periodic { weekdays | weekend | daily } hh:mm to hh:mm
配置绝对时间
Router(config-time-range)# absolute { start time date [ end time date ] | end time date } start time date：表示时间段的起始时间。time表示时间，格式为 “hh:mm”。date表示日期，格式为“日月年” end time date：表示时间段的结束时间，格式与起始时间相同
名称IP ACL配置示例
访问列表的验证
显示全部的访问列表
Router#show access-lists
显示指定的访问列表
Router#show access-lists <1-199>
显示接口的访问列表应用
Router#show ip interface 接口名称接口编号
Switch(config-if)# switchport port-security violation protect Switch(config-if)# end
案例（二）
下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口绑定地址，主机MAC为00d0.f800.073c，IP为 192.168.12.202
定义访问列表的步骤
第一步，定义规则（哪些数据允许通过，哪些数据不允许通过）第二步，将规则应用在路由器（或交换机）的接口上
访问控制列表规则的分类：
1、标准访问控制列表 2、扩展访问控制列表
访问列表规则的应用
路由器应用访问列表对流经接口的数据包进行控制
1.入栈应用（in）
课程议题
网络地址转换 NAT
NAT实施
NAT优点：
节省公共地址可减少编址方案重叠的情况发生将私有网络转化成公网时，无需要重新进行编址
NAT缺点：
NAT会增加延迟无法进行端到端的IP跟踪 NAT使某些在有效负载中使用IP地址的应用无法运行
配置静态NAT
第一步：在路由器上配置IP路由选择和IP地址。第二步：至少指定一个内部接口和一个外部接口，方法是进入接口配置模式下，执行命令ip nat { inside | outside }。第三步：使用全局命令ip nat inside source static local-ip { interface interface | global-ip } 配置静态转换条目。
Switch# configure terminal
Switch(config)# interface fastethernet 0/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 192.168.12.202 Switch(config-if)# end
限制交换机端口的最大连接数
端口的安全地址绑定
交换机端口安全
安全违例产生于以下情况：
如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数如果该端口收到一个源地址不属于端口上的安全地址的包
当安全违例产生时，你可以选择多种方式来处理违例：
Protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包 Restrict：当违例产生时，将发送一个Trap通知 Shutdown：当违例产生时，将关闭端口并发送一个Trap通知
中职职业技能大赛培训
网络安全及网络出口
本章内容
交换机端口安全 IP访问控制列表 NAT技术
课程议题
交换机端口安全
交换机端口安全
利用交换机的端口安全功能实现
防止局域网大部分的内部攻击对用户、网络设备造成的破坏，如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。
交换机端口安全的基本功能
2.应用ACL到接口
Router(config-if)#ip access-group <1-99> { in | out }
标准IP ACL配置示例
要求172.16.1.0网段的主机不可以访问服务器172.17.1.1，其它主机访问服务器172.17.1.1不受限制。
IP扩展访问列表的配置
对于不同的时间段实施不同的访问控制规则在原有ACL的基础上应用时间段任何类型的ACL都可以应用时间段
时间段
绝对时间段（absolute）周期时间段（periodic）混合时间段
配置时间段
配置时间段
Router(config)# time-range time-range-name