UAG3000审计及流控培训资料.docx

UAG3000审计及流控实验指引（Ver 1.0）杭州迪普培训中心03月目 录1. 设备初始化 11.1 概览 11.2 网络拓扑 11.3 配备1：恢复设备出厂配备 21.4 配备2：登陆设备WEB页面 21.5 配备3：修改管理口IP地址 32. 组网模式选择 42.1 概览 42.2 网关模式[PPPoE] 42.3 网关模式[DHCP] 52.4 网关模式[固定IP] 62.5 网关模式[3G] 72.6 透明模式-模式 82.7 透明模式-旁路模式 92.8 透明桥接模式 103. 流量控制 123.1 概览 123.2 网络拓扑 123.3 配备1：带宽限速 121）选择组网模式 122）创立内网顾客 133）创立网络应用组 144）配备带宽限速 145）添加管理路由 156）配备DNS地址 153.4 配备2：访问控制 151）选择组网模式 152）创立内网顾客 163）创立网络应用组 174）配备访问控制 175）添加管理路由 186）配备DNS地址 187）配备日记输出 183.5 配备3：URL过滤 191）选择组网模式 192）创立内网顾客 203）配备URL过滤 204）添加管理路由 215）配备DNS地址 216）配备日记输出 214. 行为管理 234.1 概览 234.2 网络拓扑 234.3 配备1：行为审计 231）选择组网模式 232）创立内网顾客 243）配备行为审计 254）添加管理路由 255）配备DNS地址 256）配备日记输出 264.4 配备2：流量分析 261）选择组网模式 262）创立内网顾客 273）配备流量分析 284）添加管理路由 285）配备DNS地址 296）配备日记输出 295. 终端接入控制 305.1 概览 305.2 网络拓扑 305.3 配备1：WEB认证 301）选择组网模式 302）创立内网顾客 313）创立WEB认证顾客 324）启动WEB认证 325）配备WEB认证 326）添加管理路由 337）配备DNS地址 338）配备日记输出 345.4 配备2：MAC/IP绑定 341）选择组网模式 342）配备MAC/IP绑定 353）添加管理路由 364）配备DNS地址 375）配备日记输出 376. 其她常用配备 386.1 系统管理 381）系统名称及时间 382）启动SNMP配备 383）管理员权限配备 384）导出配备文献 395）特性库升级 406）软件版本升级 416.2 网络管理 411）软件BYPASS 412）诊断工作 426.3 日记管理 421）系统日记管理 422）操作日记管理 443）业务日记管理 457. 修订记录（内部保存） 461. 设备初始化1.1 概览通过此实验，您将学习到：l 恢复设备出厂配备l 登陆设备WEB页面l 修改管理口IP地址1.2 网络拓扑l 描述：Ø 管理PC通过串口线连接设备CON口（设备串口）Ø 管理PC通过以太网线连接设备MGMT口（设备管理口）l 配备：Ø 管理PC：本地配备192.168.0.5/24Ø 设备串口：9600波特率，密码DPTECHØ 设备管理口：默认地址192.168.0.1/24，顾客名admin，密码admin1.3 配备1：恢复设备出厂配备登陆设备串口，进行如下操作：Password:reset factory defaultWarning: reset factory default.Are you sure? (Y/N) [N]: y1.4 配备2：登陆设备WEB页面等待设备初始化完毕，直至串口信息显示“Password：”为止；输入顾客名、密码及验证码进行WEB登陆。

l 功能验证：无1.5 配备3：修改管理口IP地址措施1：访问基本 > 网络管理 > 接口配备（管理接口配备）措施2：使用串口进行管理地址修改Password:conf-mode[DPTECH]interface meth0_7[DPTECH-meth0_7]ip address 192.168.0.1/24l 功能验证：无2. 组网模式选择2.1 概览通过此实验，您将学习到：l 配备网关模式[PPPoE]l 配备网关模式[DHCP]l 配备网关模式[固定IP]l 配备网关模式[3G]l 配备透明模式-模式l 配备透明模式-旁路模式l 配备透明桥接模式2.2 网关模式[PPPoE]l 描述：此模式下，WAN口通过PPPoE拨号连接外网l 配备：访问基本 > 网络管理 > 组网模式访问基本 > 网络管理 > NAT（源NAT）l 功能验证：无2.3 网关模式[DHCP]l 描述：此模式下，WAN口通过DHCP获取IP地址连接外网l 配备：访问基本 > 网络管理 > 组网模式访问基本 > 网络管理 > NAT（源NAT）l 功能验证：无2.4 网关模式[固定IP]l 描述：此模式下，手动配备WAN口IP地址连接外网。

l 配备：访问基本 > 网络管理 > 组网模式访问基本 > 网络管理 > NAT（源NAT）l 功能验证：无2.5 网关模式[3G]l 描述：此模式下，WAN口通过3G拨号连接外网l 配备：访问基本 > 网络管理 > 组网模式访问基本 > 网络管理 > NAT（源NAT）l 功能验证：无2.6 透明模式-模式l 描述：此模式合用于设备串接在既有网络中使用，不变化网络拓扑，增长安全功能l 配备：访问基本 > 网络管理 > 组网模式l 功能验证：无2.7 透明模式-旁路模式l 描述：此模式下，旁路接口不存在接口对概念，只对镜像流量只做检测，无动作l 配备：访问基本 > 网络管理 > 组网模式l 功能验证：无2.8 透明桥接模式l 描述：此模式在透明模式的基本上，提供了认证功能和带内管理功能可以使用带内和带外两种管理方式（即：10.99.0.25/24或192.168.0.1/24，带内、带外地址不能冲突）l 配备：访问基本 > 网络管理 > 组网模式l 功能验证：无3. 流量控制3.1 概览通过此实验，您将学习到：l 配备带宽限速l 配备访问控制l 配备URL过滤3.2 网络拓扑l 描述：此模式在透明模式的基本上，提供了认证功能和带内管理功能。

可以使用带内和带外两种管理方式（即：10.99.0.25/24或192.168.0.1/24，带内、带外地址不能冲突）² Server端对外提供FTP及HTTP服务3.3 配备1：带宽限速1）选择组网模式访问基本 > 网络管理 > 组网模式，配备组网模式为透明桥接模式，并设立相应带内管理地址和掩码，点击“确认”进行组网模式修改² 注意1：物理接口上下行方向，eth0_0 -> eth0_1为上行方向² 注意2：如果连接物理线后，接口无法UP，请在串口下启动该接口Password:conf-mode[DPTECH]interface eth0_0[DPTECH-eth0_0]no shutdown[DPTECH-eth0_0]exit[DPTECH]interface eth0_1[DPTECH-eth0_1]no shutdown² 注意3：透明桥 IP地址的子网掩码，需与所在网段一致2）创立内网顾客访问基本 > 网络管理 > 网络顾客组 > IP地址（地址对象），创立内网顾客² 阐明：多种IP地址对象，可添加到一种IP地址对象组中² 注意：IP地址子网掩码的划分3）创立网络应用组访问业务 > 流控与审计 > 网络应用组管理，新建顾客自定义应用组“FTP限速”，将指定特性拖至顾客自定义应用组方略中，点击“确认”进行方略下发。

4）配备带宽限速访问基本 > 流控与审计 > 带宽限速（顾客组限速），将已创立的IP地址对象、网络应用组同步引用到上、下行接口，设立限速参数“FTP限速80Kbps”，点击“确认”进行方略下发² 注意：为突出限速效果，建议限速方略配备双向5）添加管理路由访问基本 > 网络管理 > 单播IPv4路由 > 静态路由（配备静态路由），添加管理路由，用于对设备跨网段管理，下一跳指向网关6）配备DNS地址访问基本 > 网络管理 > DNS配备（DNS配备），添加DNS服务器地址，用于对设备进行域名解析，特性库自动升级等地方使用l 功能验证：Client PC下载FTP服务器资源，达到限速效果3.4 配备2：访问控制1）选择组网模式访问基本 > 网络管理 > 组网模式，配备组网模式为透明桥接模式，并设立相应带内管理地址和掩码，点击“确认”进行组网模式修改² 注意1：物理接口上下行方向，eth0_0 -> eth0_1为上行方向² 注意2：如果连接物理线后，接口无法UP，请在串口下启动该接口Password:conf-mode[DPTECH]interface eth0_0[DPTECH-eth0_0]no shutdown[DPTECH-eth0_0]exit[DPTECH]interface eth0_1[DPTECH-eth0_1]no shutdown² 注意3：透明桥 IP地址的子网掩码，需与所在网段一致。

2）创立内网顾客访问基本 > 网络管理 > 网络顾客组 > IP地址（地址对象），创立内网顾客² 阐明：多种IP地址对象，可添加到一种IP地址对象组中² 注意：IP地址子网掩码的划分3）创立网络应用组访问业务 > 流控与审计 > 网络应用组管理，新建顾客自定义组“FTP限制”，将指定特性拖至顾客自定义应用组方略中，点击“确认”进行方略下发4）配备访问控制访问业务 > 流控与审计 > 访问控制，将已创立的IP地址对象、网络应用组同步引用到上下行接口，设立动作均阻断，点击“确认”进行方略下发² 建议：访问控制方略配备双向5）添加管理路由访问基本 > 网络管理 > 单播IPv4路由 > 静态路由（配备静态路由），添加管理路由，用于对设备跨网段管理，下一跳指向网关6）配备DNS地址访问基本 > 网络管理 > DNS配备（DNS配备），添加DNS服务器地址，用于对设备进行域名解析，特性库自动升级等地方使用7）配备日记输出访问基本 > 日记管理 > 业务日记（业务日记配备），勾选“输出到SYSLOG日记主机”，并填入日记主机IP地址，及端标语² 注意：通用端标语为514，UMC指定端标语为9514。

l 功能验证：Client PC下载。