###############################################################################################
初始登录设置:
###############################################################################################
使用超级终端通过串口登录进入路由器/三层交换机。
超级终端设置:9600波特率,8数据位,1停止位,No奇偶校验,硬件流控制。
在login:状态输入用户名:
manager
密码:
friend
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
###############################################################################################
预备操作知识:
###############################################################################################
安奈特路由器/三层交换机的主要配置命令包括五个:
create <----> destroy
create:创建原本并不存在的实体。
例如,缺省所有交换机端口属于仅有的一个vlan1,不存在其他的vlan。如果要创建其他的vlan,则需使用create vlan=vlan-name vid=vlan-id
destroy:删除通过create创建的实体,在删除之前,需先删除其他的关联配置内容。
例如,如果要删除vlan2,则需先删除vlan2中所有的port,删除vlan2的ip地址(如果有),删除其他地方对于interface vlan2的引用,等等。
add <----> delete
add:对已有的实体增加属性。
例如,vlan1缺省存在,不能用create创建,也不能用destroy删除,如果要对vlan1增加端口,则:add vlan=1 port=port-list;
如果要对vlan1增加ip地址,则:add ip int=vlan1 ip=ip-address mask=ip-mask;
如果对已经创建的vlan2增加ip地址,则:add ip int=vlan2 ip=ip-address mask=ip-mask;
如果要增加路由,则:add ip route=dest-ip-segment mask=dest-ip-segment-mask int=out-interface-name nexthop=nexthop-ip-address;
delete:对已有的实体删除某些属性。
例如,将某些端口从vlan3删除,则:delete vlan=3 port=port-list;
如果要删除vlan4的ip地址设置,则:delete ip int=vlan4 ip=ip-address;
如果要删除已存在的防火墙规则条目10,则:delete firewall policy="fire" rule=10;
set
set:对已有的实体属性进行修改。
例如,直接修改接口vlan2的ip地址,则:set ip int=vlan2 ip=new-ip-address mask=new-ip-mask;
设置用户自身的密码,则:set password;
设置其他用户的密码(需具备高级权限),则:set user=user-name password=password;
注意:create与destroy对应,add与delete对应。因此,如果通过create创建的实体,不能使用delete删除;如果通过add增加的属性,不能使用destroy删除。
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
###############################################################################################
现在即可开始进行配置:
###############################################################################################
针对路由器/三层交换机配置IP内容,为每个网段指定IP地址,作为该网段客户端PC的网关地址。
假定int=eth1连接了Internet路由器,本地eth1的地址为192.168.2.253,Internet路由器与本地路由器相连的接口IP地址为192.168.2.254。
add ip int=eth1 ip=192.168.2.253 mask=255.255.255.0
添加缺省路由,以允许内部网络联接外部网络,例如联接Internet。
add ip route=0.0.0.0 mask=0.0.0.0 int=eth1 next=192.168.2.254
关于网络地址转换内容请见后文叙述。
在下面的配置中,假定允许eth1的客户端只可以访问内部企业网各网段,不能访问其他地址,例如不能访问INTERNET。
###############################################################################################
配置ACL(ip filter):
enable ip
add ip filter=1 so=0.0.0.0 ac=include prot=udp dp=bootps
add ip filter=1 so=0.0.0.0 ac=include prot=udp dp=bootpc
add ip filter=1 so=192.168.2.0 sm=255.255.255.0 des=10.94.3.0 dm=255.255.255.0 ac=include
add ip filter=1 so=192.168.2.0 sm=255.255.255.0 des=10.94.4.0 dm=255.255.255.0 ac=include
add ip filter=1 so=192.168.2.0 sm=255.255.255.0 des=10.94.5.0 dm=255.255.255.0 ac=include
add ip filter=1 so=192.168.2.0 sm=255.255.255.0 ac=exclude
(上面例子中最后这句可以省略,缺省的IP Filter的最后隐含了一句拒绝所有的流量通过,即add ip filter=1 so=0.0.0.0 sm=0.0.0.0 ac=exclude)
IP Filter在接口上的使用,总是应用于交换机接口的in方向!
每一个IP Filter组中包含的语句由Entry值定位其位置,如果在输入命令时,未指明Entry值,则缺省从1开始,依次累加。
通过show ip filter可以查看具体的每个语句的位置,在执行IP Filter的操作时,按照从顶向下的方向执行,一旦匹配某条语句,则立即执行相应操作,
并结束IP Filter的查找。
通过ACL来实现单向的访问控制非常困难,因为绝大多数时候的通信需求都是双向的,我们拒绝从低优先级侧主动发起会话,但是
必须允许从低优先级侧回复给高优先级的会话。(注意:对于无应答的UDP单向通信并不需要额外关心)
对于这种情况,所有ACL的实现只能有选择的针对TCP的会话实现单向通信。通过指定Established关键字实现(Cisco命令也类似):
ADD IP FILTER=filter-number SOURCE=ipadd [SMASK=ipadd] [SESSION={ANY|ESTABLISHED|START}]
譬如,我们可以在低优先级侧(假定接口为vlan100)配置访问控制列表如下:
add ip filter=99 so=0.0.0.0 session=established ac=include
set ip int=vlan100 filter=99
这样可以允许从Vlan100这个低优先级网段返回高优先级发起的通信,同时拒绝所有低优先级侧对外的所有其他通信。
将IP Filter应用于接口的命令为:
set ip interface=eth0 filter=filter_id
###############################################################################################
对于本地交换机配置的所有以太网接口,均为直连网段,缺省情况下,所有网段间通信都是被许可的。
对于eth1,做了上面所述的访问控制限制。
如果将访问控制列表从接口上去掉,可以使用:set ip int=eth1 filter=none。
add ip int=eth1 ip=192.168.2.253 filter=1
add ip int=eth0 ip=192.168.1.253
###############################################################################################
广播转发:
假定Windows服务器位于eth0,其地址为10.94.4.1/3/5/7。
客户端位于eth1,那么需要配置ip helper address转发NetBIOS流量。
##########
# port=137指明protocol port=137
##########
enable ip helper
add ip helper port=137 int=eth1 destination=10.94.4.1
add ip helper port=137 int=eth1 destination=10.94.4.3
add ip helper port=137 int=eth1 destination=10.94.4.5
add ip helper port=137 int=eth1 destination=10.94.4.7
add ip helper port=138 int=eth1 destination=10.94.4.1
add ip helper port=138 int=eth1 destination=10.94.4.3
如果需要,可以为每个以太网接口设置一个DHCP服务器。
###############################################################################################
#
# DHCP configuration - Post IP
#
enable dhcp
create dhcp poli="RJC" lease=14400
add dhcp poli="RJC" subn=255.255.255.0
add dhcp poli="RJC" rou=192.168.3.1
add dhcp poli="RJC" dnss=10.94.4.5
create dhcp ran="eth0" poli="RJC" ip=192.168.1.2 num=50
create dhcp poli="YZGH" lease=14400
add dhcp poli="YZGH" subn=255.255.255.0
add dhcp poli="YZGH" rou=192.168.2.1
add dhcp poli="YZGH" dnss=10.94.4.5
create dhcp ran="eth1" poli="YZGH" ip=192.168.2.2 num=50
对打印机等设备进行固定IP地址分配:
create dhcp poli="XXJSJ" lease=14400
add dhcp poli="XXJSJ" subn=255.255.255.0
add dhcp poli="XXJSJ" rou=192.168.25.1
add dhcp poli="XXJSJ" dnss=10.94.4.5
create dhcp ran="vlan25" poli="XXJSJ" ip=192.168.25.2 num=80
add dhcp range=office policy="XXJSJ" IP=192.168.25.50 address=00-00-0c-00-28-73
###############################################################################################
硬件包过滤的配置(HWF,可以代替IP Filter的工作,通过硬件执行过滤操作,不牵涉CPU的中断,只适用于三层交换机):
#
# CLASSIFIER general configuration
#
create class=7 tcpd=4444
create class=8 tcpd=445
create class=9 udpd=445
create class=10 tcpd=593
create class=11 udpd=1434
create class=12 udpd=135
create class=13 tcpd=135
create class=14 udpd=139
#
# SWITCH (post-VLAN) configuration
#
add switch hwf class=7 ac=discard
add switch hwf class=8 ac=discard
add switch hwf class=9 ac=discard
add switch hwf class=10 ac=discard
add switch hwf class=11 ac=discard
add switch hwf class=12 ac=discard
add switch hwf class=13 ac=discard
add switch hwf class=14 ac=discard
对于AT-Rapier系列的交换机,HWF的执行方式为,从顶向下执行“所有”的语句,即找到第一个匹配项以后,对数据包做相应的
标记,然后继续寻找随后的匹配语句,如果再次匹配某个语句,则做相应的标记。因此,可能出现开始的标记被覆盖的情况。
对于AT-SwitchBlade/AT-9900/AT-9800系列的交换机,HWF的执行方式为,从顶向下执行,找到匹配语句以后,则停止执行当
前HWF_id组中的其他语句。
对于所有的三层交换机,所有不匹配HWF任何语句的数据包均被“允许”通过,按照正常转发动作执行。
###############################################################################################
配置网络地址转换(NAT)(标准IP NAT只适用于路由器):
ENABLE IP NAT
静态NAT:
ADD IP NAT IP=192.168.1.2 GBLIP=203.56.3.78
静态ENAT:
ADD IP NAT IP=192.168.10.3 PROT=TCP PORT=80 GBLIP=203.56.3.78 GBLPORT=80
ADD IP NAT IP=192.168.10.4 PROT=TCP PORT=20 GBLIP=203.56.3.78 GBLPORT=20
ADD IP NAT IP=192.168.10.4 PROT=TCP PORT=21 GBLIP=203.56.3.78 GBLPORT=21
动态NAT:
ADD IP NAT IP=192.168.1.0 MASK=255.255.255.0 GBLIP=203.56.3.128 GBLMASK=255.255.255.128
动态ENAT:
ADD IP NAT IP=192.168.1.0 MASK=255.255.255.0 GBLIP=203.56.3.78
或者:
ADD IP NAT IP=192.168.1.0 MASK=255.255.255.0 GBLINT=eth0
###############################################################################################
对于具备防火墙功能的网络设备,如果开启了防火墙,则NAT功能由Firewall执行,IP NAT将被自动Disable。
关于Firewall的详细设置,请参考相应命令手册。
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
###############################################################################################
配置文件的保存及设置:
###############################################################################################
配置完毕以后,需要保存配置文件。
创建配置文件,命令create conf=<配置文件名.cfg>,例如:
create conf=test.cfg
由于路由器/三层交换机可以保存多个配置文件,因此需要设置启动时所使用的配置文件环境变量:
set conf=test.cfg
然后重新启动路由器/三层交换机,以便使环境变量改变为test.cfg。
重新启动路由器/三层交换机:
如果想重新启动并检测硬件:restart reboot
如果仅想改变配置文件,不执行POST自检,则使用:restart router或者restart switch
以后,每次更改配置,保存命令仍为create:
create conf=test.cfg
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
###############################################################################################
上传下载文件至路由器/三层交换机:
###############################################################################################
将文件从TFTP Server传送至路由器/三层交换机,命令为:load file=<文件名> server=<TFTP Server IP-address>
例如:load file=sb-273.rez server=192.168.0.1
将文件从路由器/三层交换机传送至TFTP Server,命令为:upload file=<文件名> server=<TFTP Server IP-address>
例如:upload file=config.cfg server=192.168.0.1
查看路由器/三层交换机保存的文件,show file;可以查看某种类型的文件,譬如配置文件,使用:show file=*.cfg
查看具体文件的内容,show file=<文件名>,例如show file=test.cfg
删除路由器/三层交换机的某个文件,delete file=<文件名>,例如delete file=sb273-01.paz
安装操作系统文件:
1、将文件(.rez文件)通过TFTP上传至路由器/三层交换机;
2、激活操作系统文件:enable release=xxx.rez num=x.xxxx pass=xxxxx(此密码需要安奈特公司提供)
3、set install=pref release=文件名.rez
4、重新启动路由器/三层交换机:restart reboot
安装补丁系统文件:
1、将文件(.paz文件)通过TFTP上传至路由器/三层交换机;
2、set install=pref patch=文件名.paz
3、重新启动路由器/三层交换机:restart reboot
安装GUI资源文件:
1、将文件通过TFTP上传至路由器/三层交换机;
2、set install=pref gui=<文件名.rsc>
3、缺省情况下,GUI和HTTP Server都是激活的,如果没有激活,使用:enable gui和enable http server
查看系统信息:show system
查看每个接口的IP配置:show ip interface
查看用户登录情况:show user
查看系统安装的操作系统、补丁系统和GUI资源文件:show install
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%