接口互连网

JuniperNetworks,Inc.
1194NorthMathildaAvenueSunnyvale,CA94089USA408-745-2000www.
juniper.
net编号:530-017778-01-SC,修订本02概念与范例ScreenOS参考指南第12卷:WAN、DSL、拨号和无线版本6.
0.
0,修订本02iiCopyrightNoticeCopyright2007JuniperNetworks,Inc.
Allrightsreserved.
JuniperNetworksandtheJuniperNetworkslogoareregisteredtrademarksofJuniperNetworks,Inc.
intheUnitedStatesandothercountries.
Allothertrademarks,servicemarks,registeredtrademarks,orregisteredservicemarksinthisdocumentarethepropertyofJuniperNetworksortheirrespectiveowners.
Allspecificationsaresubjecttochangewithoutnotice.
JuniperNetworksassumesnoresponsibilityforanyinaccuraciesinthisdocumentorforanyobligationtoupdateinformationinthisdocument.
JuniperNetworksreservestherighttochange,modify,transfer,orotherwiserevisethispublicationwithoutnotice.
FCCStatementThefollowinginformationisforFCCcomplianceofClassAdevices:ThisequipmenthasbeentestedandfoundtocomplywiththelimitsforaClassAdigitaldevice,pursuanttopart15oftheFCCrules.
Theselimitsaredesignedtoprovidereasonableprotectionagainstharmfulinterferencewhentheequipmentisoperatedinacommercialenvironment.
Theequipmentgenerates,uses,andcanradiateradio-frequencyenergyand,ifnotinstalledandusedinaccordancewiththeinstructionmanual,maycauseharmfulinterferencetoradiocommunications.
Operationofthisequipmentinaresidentialareaislikelytocauseharmfulinterference,inwhichcaseuserswillberequiredtocorrecttheinterferenceattheirownexpense.
ThefollowinginformationisforFCCcomplianceofClassBdevices:Theequipmentdescribedinthismanualgeneratesandmayradiateradio-frequencyenergy.
IfitisnotinstalledinaccordancewithJuniperNetworks'installationinstructions,itmaycauseinterferencewithradioandtelevisionreception.
ThisequipmenthasbeentestedandfoundtocomplywiththelimitsforaClassBdigitaldeviceinaccordancewiththespecificationsinpart15oftheFCCrules.
Thesespecificationsaredesignedtoprovidereasonableprotectionagainstsuchinterferenceinaresidentialinstallation.
However,thereisnoguaranteethatinterferencewillnotoccurinaparticularinstallation.
Ifthisequipmentdoescauseharmfulinterferencetoradioortelevisionreception,whichcanbedeterminedbyturningtheequipmentoffandon,theuserisencouragedtotrytocorrecttheinterferencebyoneormoreofthefollowingmeasures:Reorientorrelocatethereceivingantenna.
Increasetheseparationbetweentheequipmentandreceiver.
Consultthedealeroranexperiencedradio/TVtechnicianforhelp.
Connecttheequipmenttoanoutletonacircuitdifferentfromthattowhichthereceiverisconnected.
Caution:Changesormodificationstothisproductcouldvoidtheuser'swarrantyandauthoritytooperatethisdevice.
DisclaimerTHESOFTWARELICENSEANDLIMITEDWARRANTYFORTHEACCOMPANYINGPRODUCTARESETFORTHINTHEINFORMATIONPACKETTHATSHIPPEDWITHTHEPRODUCTANDAREINCORPORATEDHEREINBYTHISREFERENCE.
IFYOUAREUNABLETOLOCATETHESOFTWARELICENSEORLIMITEDWARRANTY,CONTACTYOURJUNIPERNETWORKSREPRESENTATIVEFORACOPY.
目录iii目录关于本卷ix文档约定.
xWeb用户界面约定.
x命令行界面约定.
xi命名约定和字符类型xi插图约定xii技术文档和支持xiii第1章广域网1WAN概述.
1串行.
2T1.
3E1.
3T3.
4E3.
4ISDN.
5WAN接口选项.
7等待时间8帧校验和9空闲周期标记9开始/结束标记9线路编码10交替信号反转编码10B8ZS和HDB3线路编码10字节编码.
11线路扩展.
11成帧模式12T1的超帧12T1的扩展超帧12T3的C位奇偶成帧12Clocking12时钟模式.
13时钟源14内部时钟频率.
14传输时钟反转.
15信号处理16回传信号17远程和本地回传17回传模式.
17CSU兼容性模式.
19远程回传响应.
20FEAC响应.
20iv目录概念与范例ScreenOS参考指南时隙.
21部分T121部分E121误码率测试.
22ISDN选项.
23交换机类型23SPID.
23TEI协商.
24呼叫号码.
24T310值.
24发送完成.
25BRI模式25租用线路模式.
25拨号器启用26拨号器选项.
26禁用WAN接口27WAN接口封装.
28点对点协议.
28帧中继.
29Cisco高级数据链路控制(Cisco-HDLC)29基本封装选项30无编号接口30协议最大传输单位配置30静态IP地址配置.
31激活31PPP封装选项32PPP访问配置文件32PPP认证方法.
33密码33PPP认证协议34质询握手认证协议34密码认证协议.
34本地数据库用户34帧中继封装选项.
35激活消息.
35帧中继LMI类型36创建并配置PVC.
36反向地址解析协议37多链路封装38概述.
38基本多链路束配置.
38链路束标识符.
39丢弃超时值39碎片临界值40最小链路数40基本配置步骤.
41最大接收重构单位41序列包头格式.
41多链路帧中继配置选项.
42基本配置步骤.
42MLFR的链路指派43确认重试次数.
43确认计时器43Hello计时器43目录目录vWAN接口配置范例.
44配置串行接口44配置T1接口45配置E1接口46配置T3接口46配置E3接口47针对ISDN连接配置设备.
48步骤1:选择ISDN交换机类型48步骤2:配置PPP配置文件.
48步骤3:设置ISDNBRI接口.
49仅拨号到单个目标49用拨号接口拨出49使用租用线路模式53步骤4:将信息流路由到目标53封装配置范例.
55配置PPP封装55配置MLPPP封装56配置帧中继封装.
58配置MLFR封装58配置CiscoHDLC封装60第2章数字用户线61数字用户线概述62异步传输模式63ATM服务质量.
63ATM点对点协议64多链路点对点协议65DSL接口的离散多音65Annex模式66虚拟电路66VPI/VCI和多路传输方法67PPPoE或PPPoA67静态IP地址和网络掩码68ADSL接口.
68G.
SHDSL接口69回传模式70操作、管理和维护.
70信噪比.
71ADSL配置范例72范例1:(小型企业/家庭)ADSL接口上的PPPoA.
73范例2:(小型企业/家庭)ADSL接口上的1483桥接75范例3:(小型企业)ADSL接口上的1483桥接77范例4:(小型企业/家庭)拨号备份.
79范例5:(小型企业/家庭)以太网备份82范例6:(小型企业/家庭)ADSL备份.
85范例7:(小型企业)MLPPPADSL.
88范例8:(小型企业)允许访问本地服务器.
90范例9:(分公司)通过ADSL的VPN通道.
92范例10:(分公司)辅助VPN通道.
96vi目录概念与范例ScreenOS参考指南第3章ISP故障切换和拨号恢复103为故障切换设置ISP优先级103定义ISP故障切换的条件.
104配置拨号恢复解决方案104第4章无线局域网109概述110无线产品接口命名差异.
111无线网络基本功能配置111创建服务集标识符.
112抑制SSID广播.
112隔离客户端112为2.
4GHz无线电收发器设置运行模式.
113为5GHz无线电收发器设置运行模式.
113配置最低数据传输速率.
114配置传输功率115重新激活WLAN配置115为SSID配置认证和加密116配置有线等效加密.
116多个WEP密钥116配置开放式认证118配置WEP共享密钥认证.
120配置Wi-Fi网络安全存取.
121为WPA和WPA2配置802.
1X认证.
122为WPA和WPA2配置预共享密钥认证122指定天线用法.
123设置国家/地区代码、通道和频率124使用扩展通道.
124执行站点勘测.
125查找可用通道.
125设置访问控制列表条目126配置SuperG.
127配置AtherosXR(ExtendedRange)127配置Wi-Fi多媒体服务质量.
128启用WMM128配置WMM服务质量.
128访问类别.
129WMM缺省设置.
129范例131配置高级无线参数132配置老化时间间隔.
133配置信标时间间隔.
133配置传送信息流指示消息周期.
134配置猝发临界值.
134配置分段临界值.
134配置请求发送临界值135配置清除发送模式.
135配置清除发送速率.
136配置清除发送类型.
136配置时隙时间136配置前导码长度.
137目录目录vii使用无线接口.
137将SSID绑定到无线接口.
137将无线接口绑定到无线电收发装置.
138创建无线桥接组.
138禁用无线接口139查看无线配置信息139配置范例.
139范例1:开放式认证和WEP加密140范例2:使用密码短语和自动加密的WPA-PSK认证140范例3:透明模式下的WLAN141范例4:多个差异化配置文件145索引IX-Iviii目录概念与范例ScreenOS参考指南ix关于本卷第12卷:WAN、DSL、拨号和无线介绍广域网(WAN)、数字用户线(DSL)、拨号和无线局域网(WLAN)接口.
本卷包含以下章节:第1章,"广域网"介绍如何配置广域网(WAN).
第2章,"数字用户线"介绍非对称数字用户线(ADSL)和对称数字用户线(G.
SHDSL)接口.
第3章,"ISP故障切换和拨号恢复"介绍如何为ISP故障切换设置优先级和定义条件,以及如何配置拨号恢复解决方案.
第4章,"无线局域网"介绍JuniperNetworks无线设备上的无线接口并提供范例配置.
附录A,"无线信息"列出可用的通道、频率和调节域,以及每个国家/地区无线设备上可用的通道.
概念与范例ScreenOS参考指南x文档约定文档约定本文档使用下列部分中描述的约定:第x页上的"Web用户界面约定"第xi页上的"命令行界面约定"第xi页上的"命名约定和字符类型"第xii页上的"插图约定"Web用户界面约定在Web用户界面(WebUI)中,每个任务的指令集都分为导航路径和配置设置.
要打开可用来输入配置设置的WebUI页面,可单击屏幕左侧导航树中的某个菜单项,然后单击随后出现的项目.
在您进行操作时,导航路径会出现在屏幕顶部,每个页面都由尖括号分隔.
以下是用于定义地址的WebUI路径和参数:Policy>PolicyElements>Addresses>List>New:输入以下内容,然后单击OK:AddressName:addr_1IPAddress/DomainName:IP/Netmask:(选择),10.
2.
2.
5/32Zone:Untrust要打开配置设置的"在线帮助",请单击屏幕左上方的问号().
导航树还提供了Help>ConfigGuide配置页,帮助您配置安全策略和"互联网协议安全性"(IPSec).
从下拉菜单选择一个选项,然后按照该页面上的说明进行操作.
单击ConfigGuide左上方的字符可获得"在线帮助".
文档约定xi关于本卷命令行界面约定在范例和文本中出现命令行界面(CLI)命令的语法时,使用下列约定.
在范例中:在中括号[]中的任何内容都是可选的.
在大括号{}中的任何内容都是必需的.
如果选项不止一个,则使用竖线(|)分隔每个选项.
例如:setinterface{ethernet1|ethernet2|ethernet3}manage变量为斜体形式:setadminusername1passwordxyz在文本中,命令为粗体形式,变量为斜体形式.
命名约定和字符类型关于ScreenOS配置中定义的对象(如地址、admin用户、auth服务器、IKE网关、虚拟系统、VPN通道和区段)的名称,ScreenOS采用下列约定:如果名称字符串包含一个或多个空格,则整个字符串必须括在双引号内;例如:setaddresstrust"localLAN"10.
1.
1.
0/24一对双引号内的文本的任何前导或结尾空格都将被删除;例如,"localLAN"将变为"localLAN".
多个连续空格按一个空格处理.
尽管许多CLI关键字不区分大小写,但名称字符串是区分大小写的.
例如,"localLAN"不同于"locallan".
ScreenOS支持以下字符类型:单字节字符集(SBCS)和多字节字符集(MBCS).
SBCS的范例是ASCII、欧洲语和希伯莱语.
MBCS(也称为双字节字符集,DBCS)的例子是中文、韩文和日文.
ASCII字符从32(十六进制0x20)到255(0xff),双引号(")除外,该字符有特殊的意义,它用作包含空格的名称字符串的开始或结尾指示符.
注意:输入关键字时,只需键入足够的字母便可唯一地标识单词.
键入setadmuwheej12fmt54将输入命令setadminuserwheezerj12fmt54.
但必须以完整形式提供此处说明的所有命令.
注意:控制台连接只支持SBCS.
WebUI同时支持SBCS和MBCS,这取决于浏览器所支持的字符集.
概念与范例ScreenOS参考指南xii文档约定插图约定下图显示了本卷所有插图中使用的基本图像集.
图1:插图中的图像自治系统还是虚拟路由域安全区段接口:白色=受保护区段接口(范例=Trust区段)黑色=区段外接口(范例=Untrust区段)JuniperNetworks安全设备集线器交换机路由器服务器VPN通道通用网络设备动态IP(DIP)池互联网包含单个子网的局域网(LAN)还是安全区段通道接口策略引擎技术文档和支持xiii关于本卷技术文档和支持要获取任何JuniperNetworks产品的技术文档,请访问www.
juniper.
net/techpubs/.
要获取技术支持,请使用http://www.
juniper.
net/customers/support/中的CaseManager链接打开支持案例,还可拨打电话1-888-314-JTAC(美国国内)或1-408-745-9500(美国以外).
如果在本文档中发现任何错误或遗漏,请通过techpubs-comments@juniper.
net与JuniperNetworks联系.
概念与范例ScreenOS参考指南xiv技术文档和支持WAN概述1第1章广域网某些安全设备允许您使用广域网(WAN)数据链路在地理分布较为分散的网络之间传输和接收信息流.
这些网络可以是个人专用网络,但通常会包括公用或共享网络.
在WAN链接能够正常运转之前,必须首先对某些属性进行配置,例如,时钟和信号处理选项(用于物理线路)和封装方法(用于在WAN之间传输数据).
本章包括以下部分:第1页上的"WAN概述"第7页上的"WAN接口选项"第28页上的"WAN接口封装"第38页上的"多链路封装"第44页上的"WAN接口配置范例"第55页上的"封装配置范例"WAN概述本节定义以下WAN接口:第2页上的"串行"第3页上的"T1"第3页上的"E1"第4页上的"T3"第4页上的"E3"第5页上的"ISDN"概念与范例ScreenOS参考指南2WAN概述串行串行链接可提供双向链接,这些双向链接要求很少的控制信号.
在基本串行设置中,数据电路终端设备(DCE)负责建立、维护和终止连接.
调制解调器是典型的DCE设备.
串行电缆将DCE与电话网络相连,最终会在电话网络上与数据终端设备(DTE)建立链接.
DTE通常为链接终止位置.
某些安全设备支持以下类型的串行接口:TIA/EIA530-"通信工业协会/电子工业联盟"(TIA/EIA)标准530,High-Speed25-PositionInterfaceforDataTerminalEquipmentandDataCircuit-TerminatingEquipment,描述了DTE与DCE之间的互联,该互联使用串行二进制数据与在独立控制电路上交换的控制信息之间的交互.
V.
35-国际电信同盟通信标准化部门(ITU-T)推荐项V.
35,DataTransmissionat48kbit/sUsing60-108kHzGroupBandCircuits,描述用于网络访问设备与封包网络之间通信的同步、物理层协议.
在美国和欧洲,V.
35的使用最为广泛.
X.
21-ITU-T推荐项X.
21,InterfaceBetweenDataTerminalEquipmentandDataCircuit-TerminatingEquipmentforSynchronousOperationonPublicDataNetworks,描述通过同步数字线路进行的串行通信.
X.
21协议主要是在欧洲和日本使用.
RS-232-TIA/EIA-232-F(当前修订本),InterfaceBetweenDataTerminalEquipmentandDataCircuit-TerminatingEquipmentEmployingSerialBinaryDataInterchange,描述用于与调制解调器和其它串行设备进行通讯的物理接口和协议.
RS-449-EIA标准EIA-449GeneralPurpose37-Positionand9-PositionInterfaceforDataTerminalEquipmentandDataCircuit-TerminatingEquipmentEmployingSerialBinaryDataInterchange,指定DTE和DCE之间的接口.
串行连接建立后,串行线路协议(例如EIA-530、X.
21、RS-422/449、RS-232或V.
35)即会按如下方式开始控制线路间信号的传输:1.
DCE向DTE传输DSR信号,DTE以DTR信号进行响应.
此传输结束后,即会建立链接,并可传递信息流.
2.
当DTE设备准备好接收数据时,它会将其RTS信号置为已标记状态(全部为1)以通知DCE其可以进行数据传输.
3.
当DCE设备准备好接收数据时,它会将其"清除发送"(CTS)信号置为已标记状态以通知DTE其可以进行数据传输.
4.
当已就发送信息进行了协商后,即会在传输数据(TD)和接收数据(RD)线路之间传输数据:TD线路-数据由DTE设备传输到DCE设备所用的线路.
RD线路-数据由DCE设备传输到DTE设备所用的线路.
WAN概述3第1章:广域网T1T1,也称为数据信号1(DS1),是一种数字数据传输方法,能够处理24个以组合速率1.
544Mbps运行的同步连接(也称为时隙或通道).
T1将这24个独立的通道组合为一个链接.
T1数据流被分解为许多帧.
每一帧由一个成帧位和24个8位通道组成,每个T1帧总计有193位.
帧每秒钟传送8,000次,数据传输率为1.
544Mbps(8,000x193=1.
544Mbps).
接收和处理每个帧时,每个8位通道中的数据由来自先前帧的通道数据进行维护,这就能够将T1信息流在单个媒介中分为24个独立的数据流.
所支持的T1标准包括:"美国国家标准学会"(ANSI)T1.
107,DigitalHierarchy-FormatsSpecifications,描述数字层次格式,且与T1.
102,DigitalHierarchy-ElectricalInterfaces结合使用.
TelcordiaGR499-CORE,TransportSystemsGenericRequirements(TSGR):CommonRequirements,描述传输系统常用的基本通用要求.
TelcordiaGR253-CORE,SynchronousOpticalNetwork(SONET)TransportSystems:CommonGenericCriteria,描述通用SONET标准.
AT&T技术文献54014,ACCUNETT45andT45RServiceDescriptionandInterfaceSpecification,描述AT&TACCUNETT45和T45R服务的服务说明及接口规范.
"国际电信同盟"(ITU-T)推荐项G.
751和G.
703描述分层数字接口的物理和电学特性.
E1E1是DS1数字传输的欧洲格式.
E1链接与T1链接类似,只是E1链接以2.
048Mbps的传送速率传送信号.
每个信号具有32个通道,每个通道的传输速率为64Kbps.
同T1链接相比,E1链接的带宽更高,因为E1链接使用所有8个通道位.
以下标准适用于E1接口:ITU-T推荐项G.
703,Physical/ElectricalCharacteristicsofHierarchicalDigitalInterfaces,描述数据传输速率和多路传输方案.
ITU-T推荐项G.
751,GeneralAspectsofDigitalTransmissionSystems:TerminalEquipment,描述成帧方法.
ITU-T推荐项G.
775,LossofSignal(LOS)andAlarmIndicationSignal(AIS)DefectDetectionandClearanceCriteria,描述警告报告方法.
概念与范例ScreenOS参考指南4WAN概述T3T3,也称为数据信号3(DS3),是一种高速数据传输方法,将28个DS1信号分为七个独立的DS2信号进行多路传输,并将DS2信号组合成一个DS3信号.
T3链接的运行速率为43.
736Mbps.
所支持的T3标准包括:"美国国家标准学会"(ANSI)T1.
107,DigitalHierarchy-FormatsSpecifications,描述数字层次格式,且与T1.
102,DigitalHierarchy-ElectricalInterfaces结合使用.
TelcordiaGR499-CORE,TransportSystemsGenericRequirements(TSGR):CommonRequirements,描述传输系统常用的基本通用要求.
TelcordiaGR253-CORE,SynchronousOpticalNetwork(SONET)TransportSystems:CommonGenericCriteria,描述通用SONET标准.
TelcordiaTR-TSY-000009,synchronousDigitalMultiplexes,RequirementsandObjectives,描述以速率DS1C(3.
152Mbps)、DS2(6.
312Mbps)和/或DS3(44.
736Mbps)运行的异步复用的通用技术要求和目的.
AT&T技术文献54014,ACCUNETT45andT45RServiceDescriptionandInterfaceSpecification,描述AT&TACCUNETT45和T45R服务的服务说明及接口规范.
ITUG.
751,Digitalmultiplexequipmentoperatingatthethirdorderbitrateof34368kbit/sandthefourthorderbitrateof139264kbit/sandusingpositivejustification,G.
703,Physical/electricalcharacteristicsofhierarchicaldigitalinterfaces以及G.
823,Thecontrolofjitterandwanderwithindigitalnetworkswhicharebasedonthe2048kbit/shierarchy,描述传输系统和媒体、数字系统及网络.
E3欧洲的E3等同于T3.
它由多路传输16个单独E1信号一起组成.
它以34.
368Mbps的速率运行.
所支持的E3标准包括:ITUG.
751,Digitalmultiplexequipmentoperatingatthethirdorderbitrateof34368kbit/sandthefourthorderbitrateof139264kbit/sandusingpositivejustification,G.
703,Physical/electricalcharacteristicsofhierarchicaldigitalinterfaces以及G.
823,Thecontrolofjitterandwanderwithindigitalnetworkswhicharebasedonthe2048kbit/shierarchy,描述传输系统和媒体、数字系统及网络.
TelcordiaGR499-CORE,TransportSystemsGenericRequirements(TSGR):CommonRequirements,描述传输系统常用的基本通用要求.
TelcordiaGR253-CORE,SynchronousOpticalNetwork(SONET)TransportSystems:CommonGenericCriteria,描述通用SONET标准.
WAN概述5第1章:广域网ISDN"集成服务数字网路"(ISDN)是通过数字电话线路发送语音、视频和数据的国际通信标准.
作为一种按需拨号服务,ISDN具有快速呼叫设置和低延迟,并能够进行高质量的语音、数据和视频传输.
ISDN也是一种电路切换服务,可将其用于多点和点对点连接.
图2说明了ISDN连接的基本设置.
分支机构通过ISDN连接到企业总部.
当有任何要求向互连网发送封包的请求将自动建立连接,而在经过指定秒数后仍没有信息流时将自动丢弃连接.
由于通常只需几毫秒的时间即可建立ISDN连接(几乎瞬间即可完成),因此,可随时根据需要很轻松地建立和断开连接.
图2:基本ISDN拓扑结构在北美洲,大多数电信运营商都提供U接口以进行ISDN连接.
要与安全设备进行通讯,必须使用其它设备(网络终端设备(NT1))将U接口转换为S/T接口.
JuniperNetworks安全设备只提供S/T接口.
NT1位于客户站点上(请参阅图2中的分支机构),可由电信运营商提供.
Trust区段FTP服务器HTTP服务器www.
juniper.
net分支机构A10.
1.
1.
1/16ISDN交换互联网/电信网络Trust区段BRIU-接口BRIS/T-接口安全设备企业总部11.
0.
0.
0/16NT1NT1分支机构B10.
2.
2.
2/16PRI(23-B+D)概念与范例ScreenOS参考指南6WAN概述ScreenOS中的ISDN在您的安全设备上支持以下功能:按需拨号路由选择(DDR)DDR允许安全设备根据传输站的需要自动启动和关闭会话.
设备欺骗keepalives以便终端站认为会话是活动的.
DDR只允许用户在必要时建立WAN链接,进而减少远程站点访问成本.
基本速率接口(BRI)BRI也称为2B+D,因为它由两个64Kbps的B通道和一个16Kbps的D通道组成.
B通道用于传输用户数据,而D通道负责传送信号信息流以在站点之间建立和终止连接.
每个ISDNBRI都使用命名约定brix/0,其中x=插槽id而x/0代表插槽id/端口id.
例如,bri0/0的两个B通道将被标识为bri0/0.
1和bri0/0.
2.
按需分配带宽可对两个64Kbps的B通道进行组合以根据需要形成一个128Kbps的连接.
设备以如下方式在ISDN接口上支持"按需分配带宽":当信息流超出所配置的临界值时使用更多的通道当信息流少于所配置的临界值时断开通道"按需分配带宽"在您的安全设备上使用多链路PPP(MLPPP)封装来实现.
拨号接口与拨号池当目标数超过可用物理线路数时,拨号接口和拨号池将允许ISDN接口向多个目标拨号.
ISDN接口可属于多个池,允许使用单条线路向多个目标拨号.
有关该功能的详细信息,请参阅第49页上的"用拨号接口拨出".
拨号备份当主同步线路出现故障时,可将ISDN接口用作拨号备份以激活次WAN链接.
租用线路ISDN租用线路支持128Kbps.
在"租用线路"模式中,ISDN接口作为只能传送数据的第3层接口运行,因此不需要D通道.
监控ISDN和拨号接口WAN接口选项7第1章:广域网WAN接口选项本节说明某些安全设备上可用的WAN接口选项.
表1显示了WAN接口上的可用物理属性.
表1:WAN接口物理属性物理属性串行T1E1T3E3ISDN(BRI)HoldtimeXXXXXXDTEoptionsXFramechecksumXXXXIdle-cycleFlagXXXXXStart/EndFlagXXXXSignalHandlingX时钟ClockingModeXClockingsourceXXXXInternalClockrateXTransmitclockInversionX时隙FractionalT1TimeSlotsXFractionalE1TimeSlotsX线路编码AMIXB8ZSXHDB3XByteEncodingXDataInversionXX成帧SuperframeXExtendedFrameXG.
704FrameXG.
751FrameXC-BitParityFrameX回传信号LoopbackModeXXXBitErrorRateTest(BERT)XXXXCSUCompatibilityModeXRemoteloopbackresponseXXXFEACResponseX概念与范例ScreenOS参考指南8WAN接口选项等待时间等待时间用来指定在设备判断接口连接为连接或中断状态之前可经过的时间长度.
当接口与分插复用器(ADM)或波分复用器(WDM)连接时,或者可能由于不希望接口通告其连接状态为连接或中断而针对同步光纤网络/同步数字层次(SONET/SDH)成帧器漏洞进行保护时,等待时间将很有用.
例如,如果接口状态由连接变为中断,则当其中断时不会向系统的其余部分进行通告,直到其保持中断状态的持续时间长达指定的等待时间为止.
同样,当接口处于连接状态时也不会向系统的其余部分进行通告,直到其保持连接状态的持续时间长达指定的等待时间为止.
WebUINetwork>Interfaces>List>Edit(WAN接口)>WAN:输入以下内容,然后单击Apply:HoldtimeDown:500Up:500CLIsetinterfaceinterfacehold-time{down500|up500}saveISDN选项SwitchtypeXSPID1SPID2XTEInegotiationXCallingnumberXT310valueXSendcompleteXBRIMode(leasedline/dialer)X拨号器选项Primary/alternatenumbersXLoadThresholdXIdletimeXRetrytimesXIntervalXDialerpoolX物理属性串行T1E1T3E3ISDN(BRI)注意:等待时间为0表示当设备接收到接口状态变为中断的消息时,接口将丢弃信息流.
WAN接口选项9第1章:广域网帧校验和帧校验和使用位编码方案验证通过设备的帧是否有效.
某些WAN接口使用16位帧校验和,但可以配置32位校验和以进行更可靠的封包验证.
要将WAN接口配置为使用32位校验和(x为t1、e1或t3):WebUINetwork>Interfaces>List>Edit(WAN接口)>WAN:对于FrameChecksum选项,选择32-bits,然后单击Apply.
CLIsetinterfaceinterfacex-optionsfcs32save空闲周期标记空闲周期是指设备没有数据需要传输的持续时间.
空闲周期标记允许某些WAN接口在空闲周期中传输值0x7E.
要将WAN接口配置为传输值0xFF(全部为1)(x为t1、e1、t3或bri):WebUINetwork>Interfaces>List>Edit(WAN接口)>WAN:对于Idle-cycleFlags选项,选择0xFF(全部为1),然后单击Apply.
CLIsetinterfaceinterfacex-optionsidle-cycle-flagonessave开始/结束标记T1或E1接口的开始和结束标记将在发送开始和结束标记之间等待两个空闲周期.
要将接口配置为共享传输开始和结束标记(x为t1或e1):WebUINetwork>Interfaces>List>Edit(WAN接口)>WAN:对于Start/EndFlagsonTransmission选项,选择Shared,然后单击Apply.
CLIsetinterfaceinterfacex-optionsstart-end-flagshared要在T3接口上共享传输开始和结束标记:WebUINetwork>Interfaces>List>Edit(WAN接口)>WAN:选择线路编码类型,然后单击Apply.
CLIsetinterfaceinterfacet3-optionsstart-end-flagsave概念与范例ScreenOS参考指南10WAN接口选项线路编码以下是通用T1和E1编码技术:交替传号反转(AMI)-T1和E1双极性8零替代(B8ZS)-仅限T13阶高密度双极性码(HDB3)-仅限E1要更改编码类型(x为t1或e1):WebUINetwork>Interfaces>List>Edit(X接口)>WAN:选择线路编码类型,然后单击Apply.
CLIsetinterfaceinterfacex-optionsline-encodingoptionsave交替信号反转编码AMI编码在T1或E1线路上强制1信号以在各个后继1传输的正电压和负电压之间进行转换.
使用交替信号反转(AMI)编码后,具有长序列0的数据传输在线路上将没有电压转换.
在这种情况下,设备很难维持时钟同步,因为它们要依靠电压波动来持续地与传输时钟同步.
为应对这种情况,数据流中连续0的数量被限定为15个.
该限制称为1密度要求,因为它要求每传输15个0中就要求有一定数量的1.
在AMI编码的线路中,两个连续的同极(为正或为负)脉冲称为双极性破坏(BPV),通常将其标记为错误.
数据反转启用数据反转后,数据流中的所有数据位都将反转传输,即,零将以一传输,而一将以零传输.
数据反转通常只用于AMI模式以提供传输流中所需的密度.
要启用数据反转:WebUINetwork>Interfaces>List>Edit(WAN接口)>WAN:选中InvertData复选框,然后单击Apply.
CLIsetinterfaceinterfacet1-optionsinvert-datasaveB8ZS和HDB3线路编码双极性8零替代(B8ZS)和3阶高密度双极性码(HDB3)编码均不对可在线路上传输的0的数量进行限制.
相反,这些编码方法检测0序列并替代其位置处的位模式,以提供维持链接上定时所需的信号振荡.
T1线路的B8ZS编码方法检测连续八个0的传输序列并替代两个连续BPV(11110000)的模式.
由于接收端也使用相同的编码,因此,它将检测到作为0替代的BPV,且不会标记BPV错误.
如果单个BPV与11110000替换位序列不匹配,则可能会生成错误,这取决于设备的配置.
E1线路的HDB3编码方法检测连续四个0的传输序列并替代单个BPV(1100).
与B8ZS编码类似,接收设备可检测0替代且不会生成BPV错误.
WAN接口选项11第1章:广域网字节编码T1接口使用每字节8位(nx64)的字节编码.
可配置每字节7位(nx56)的备用字节编码.
要配置接口字节编码:WebUINetwork>Interfaces>List>Edit(WAN接口)>WAN:选择字节编码类型,然后单击Apply.
CLIsetinterfaceinterfacet1-optionsbyte-encodingoptionsave线路扩展某些WAN接口允许用户配置线路扩展,线路扩展是指设备与主要办公室之间的一段可设定距离.
T1接口的线路扩展具有五种可能的设置范围:0至132英尺(ft)[0至40米(m)]133至265ft(40至81m)266至398ft(81至121m)399至531ft(121至162m)532至655ft(162至200m)T3接口的T3线路扩展具有两种设置:一种为短距离设置,小于255英尺(约68米),一种为长距离设置,在255英尺和450英尺之间(约137米).
要设置接口线路范围(X为t1或t3)或CLI:WebUINetwork>Interfaces>List>Edit(X接口)>WAN:选择线路扩展范围,然后单击Apply.
CLIsetinterfaceinterfacet1-optionsbuildoutrangesave或setinterfaceinterfacet3-optionslong-buildoutsave概念与范例ScreenOS参考指南12WAN接口选项成帧模式T1接口使用两种成帧类型:超帧(SF)和扩展超帧(ESF).
E1接口使用G.
704成帧或不带有CRC4成帧的G.
704,或者可处于无帧模式下.
E3接口使用G.
751成帧或者可处于无帧模式下.
要配置WAN接口的成帧(x为t1、e1、t3或e3):WebUINetwork>Interfaces>List>Edit(WAN接口)>WAN:选择成帧模式,然后单击Apply.
CLIsetinterfaceinterfacex-optionsframingoptionsT1的超帧超帧(SF)也称为D4帧,由192个数据位组成:24个8位通道和一个成帧位.
该单个成帧位是12位成帧序列的一部分.
将为每个T1帧的第193位设置一个值,并对每12个连续帧进行检查以确定12位SF的成帧位模式.
接收设备将检测到这些位以与内向数据流保持同步,并确定成帧模式的开始和结束时间.
T1的扩展超帧扩展超帧(ESF)将D4SF由12帧扩展为24帧,从而也将12位增加至24位.
其余位将用于帧同步、错误检测以及经由设备数据链路(FDL)的维护通信.
将仅使用SF序列中帧4、8、12、16、20和24中的成帧位来创建同步模式.
T3的C位奇偶成帧C位奇偶模式可控制显示在所传输的T3信号上的成帧类型.
启用C位奇偶模式后,C位位置将用于远端块错误(FEBE)、远程报警和控制(FEAC)、终端数据链路、路径奇偶及模式指示符位,这些位都在ANSIT1.
107a-1989中进行了定义.
禁用C位奇偶模式后,将使用基本T3成帧模式(M13).
要为T3接口禁用C位奇偶模式并使用M13成帧:WebUINetwork>Interfaces>List>Edit(WAN接口)>WAN:选择成帧模式,然后单击Apply.
CLIunsetinterfaceinterfacet3-optionscbit-paritysaveClocking时钟将决定网络对所传输数据的采样方式.
当网络中的路由器接收信息流时,时钟源将指定何时对数据进行采样.
某些WAN接口允许用户配置以下时钟信息:时钟模式时钟源内部时钟频率传输时钟反转WAN接口选项13第1章:广域网时钟模式共有三种时钟模式:环路时钟模式使用DCE接收(RX)时钟对由DCE到DTE的数据进行定时.
DCE时钟模式使用DTE传输(TX)时钟,DCE为DTE生成该时钟以将其用作DTE的传输时钟.
内部时钟模式,也称为线路定时,使用内部生成的时钟.
DCE时钟模式和环路时钟模式使用由DCE生成的外部时钟.
图3显示了环路、DCE和内部时钟模式的时钟源.
图3:串行接口时钟模式要配置串行接口的时钟模式:WebUINetwork>Interfaces>List>Edit(WAN接口)>WAN:HoldTimeClockMode选择时钟模式,然后单击Apply.
CLIsetinterfaceinterfaceserial-optionsclocking-mode{dce|internal|loop}注意:对于TIA/EIA530、V.
35、RS0232和RS-449接口,可独立地配置各个接口以使用环路、DCE或内部时钟模式.
对于X.
21接口,仅支持环路时钟模式.
RX数据RX时钟TXC时钟TX源时钟TX数据TX时钟DCE设备DTE设备DCE环路DTE内部时钟概念与范例ScreenOS参考指南14WAN接口选项时钟源时钟源可以是位于控制板上的内部第3层时钟,或者是从当前配置的接口接收的外部时钟.
缺省情况下,接口时钟源是内部的,这就意味着,所有接口均使用内部第3层时钟.
对于可使用不同时钟源的接口,源可以是内部的(也称为线路定时或常规定时),也可以是外部的(也称为环路定时).
要将接口的时钟源设置为使用外部时钟:WebUINetwork>Interfaces>List>Edit(WAN接口)>WAN:HoldTimeClocking选择时钟模式,然后单击Apply.
CLIsetinterfaceinterfaceclockingexternal内部时钟频率内部时钟频率是指内部时钟的速度,通常与内部时钟模式配合使用.
要配置时钟频率:WebUINetwork>Interfaces>List>Edit(WAN接口)>WAN:选择以下内容,然后单击Apply:HoldTimeClockRate:选择相应的频率CLIsetinterfaceinterfaceserial-optionsclock-ratenumbersave可配置以下接口频率:注意:对于已配置内部时钟模式的RS-232接口,时钟频率必须小于20KHz.
1.
2KHz2.
4KHz9.
6KHz19.
2KHz38.
4KHz56.
0KHz64.
0KHz72.
0KHz125.
0KHz148.
0KHz250.
0KHz500.
0KHz800.
0KHz1.
0Mhz1.
3Mhz2.
0Mhz4.
0Mhz8.
0MhzWAN接口选项15第1章:广域网尽管WAN接口应在默认频率8.
0MHz下使用,不过,在以下任意一种情况下,您可能需要使用较慢的频率:互连电缆过长,不利于有效操作.
互连电缆暴露于外来噪声源中,这可能会产生超过+1伏的有害电压,在信号导体和电路间所测得的电压会有所不同,通常在电缆负载末端使用50欧姆的电阻器来替代发生器.
需要将对其它信号的干扰降至最低.
需要反转一个或多个信号.
有关信号频率和接口电缆距离之间关系的详细信息,请参阅以下标准:EIA422-A,ElectricalCharacteristicsofBalancedVoltageDigitalInterfaceCircuitsEIA423-A,ElectricalCharacteristicsofUnbalancedVoltageDigitalInterfaceCircuits传输时钟反转传输时钟会校准通过WAN接口传输的所有外向封包.
当设备使用外部定时时钟模式(DCE或环路)时,长电缆可能会导致DTE传输时钟和数据发生相位偏移.
速度很高时,该相位偏移可导致错误.
反转传输时钟可修正相位偏移,从而降低了出错率.
要设置反转传输:WebUINetwork>Interfaces>List>Edit(WAN接口)>WAN:选择以下内容,然后单击Apply:SerialOptionsTransmitclockinvert:(选择)CLIsetinterfaceinterfaceserial-optionstransmit-clockinvertsave注意:对于启用了内部时钟模式的TIA/EIA530、V.
35、RS-232和RS-449接口,可配置时钟频率.
有关内部时钟模式的详细信息,请参阅第13页上的"时钟模式".
概念与范例ScreenOS参考指南16WAN接口选项信号处理常规信号处理由以下标准进行定义:TIA/EIA标准530ITU-T推荐项V.
35ITU-T推荐项X.
21表2显示了支持各个信号类型的串行接口模式.
表2:按串行接口类型划分的信号处理要配置串行接口特性:WebUINetwork>Interfaces>List>Edit(WAN接口)>WAN:选择以下内容,然后单击Apply:DTEOptions选择所需选项CLIsetinterfaceinterfaceserial-optionsdte-options{.
.
.
}save信号串行接口来自DCE的信号:清除发送(CTS)TIA/EIA530、V.
35、RS-232、RS-449数据载波检测(DCD)TIA/EIA530、V.
35、RS-232、RS-449数据设备就绪(DSR)TIA/EIA530、V.
35、RS-232、RS-449测试模式(TM)仅限TIA/EIA530至DCE的信号:数据传送就绪(DTR)TIA/EIA530、V.
35、RS-232、RS-449请求发送(RTS)TIA/EIA530、V.
35、RS-232、RS-449注意:如果指定了ignore-all,将无法配置其它信号处理选项.
WAN接口选项17第1章:广域网回传信号T1、E1、T3或E3链接上的控制信号为回传信号.
使用回传信号,网络控制中心的操作员可强制链路远端的设备将其接收到的信号重新传回传输路径.
随后传输设备便可验证所接收的信号是否与所传输的信号匹配,以对链路执行端对端检查.
远程和本地回传远程线路接口设备(LIU)回传将传送(TX)数据和TX时钟回传给设备充当接收(RX)数据和RX时钟.
在线路中,LIU回传将RX数据和RX时钟回传出线路充当TX数据和TX时钟,如图4中所示.
图4:WAN接口LIU回传DCE本地和DCE远程可控制TIA/EIA530特定于接口的信号,这些信号用于启用链接合作伙伴DCE上的本地和远程回传.
图5显示了本地回传.
图5:WAN接口本地回传回传模式可在本地T1、T3、E1、E3或ISDN(bri)接口与远程通道服务设备(CSU)之间配置回传模式,如图6中所示.
可将回传模式配置为本地或远程.
通过本地回传,接口可向CSU传输封包,不过,将再次接收其自身的传输并忽略来自CSU的数据.
通过远程回传,从CSU发送的封包由接口接收(如果存在有效路由,将进行转发),并立即重新传输给CSU.
本地和远程回传传输均会回传数据和时钟信息.
在本地路由平台或远程CSU上均可回传封包.
至设备来自设备TX数据TX时钟RX数据RX时钟TX数据TX时钟RX数据RX时钟到线路外来自线路DTE设备至设备来自设备TX数据TX时钟RX数据RX时钟到线路外来自线路DTE设备来自未连接线路的RX数据和RX时钟概念与范例ScreenOS参考指南18WAN接口选项要配置串行接口上的回传模式:WebUINetwork>Interfaces>List>Edit(串行接口)>WAN:选择以下内容,然后单击Apply:DiagnosisOptionsLoopbackMode:CLIsetinterfaceinterfaceserial-optionsloopback{dce-local|local|remote}save图6:远程和本地WAN接口回传信息流要配置E1、E3或ISDN(bri)接口上的回传模式:WebUINetwork>Interfaces>List>Edit(WAN接口)>WAN:选择以下内容,然后单击Apply:DiagnosisOptionsLoopbackMode:local或remoteCLIsetinterfaceinterfacee1-optionsloopback{local|remote}setinterfaceinterfacee3-optionsloopback{local|remote}setinterfaceinterfacebri-optionsloopback{local|remote}save某些WAN接口允许指定loopbackpayload选项以便回传不含远程路由器上时钟信息的数据.
要配置T1和T3接口上的回传负荷:WebUINetwork>Interfaces>List>Edit(WAN接口)>WAN:选择以下内容,然后单击Apply:DiagnosisOptionsLoopbackMode:payloadCLIsetinterfaceinterfacet1-optionsloopbackpayloadsetinterfaceinterfacet3-optionsloopbackpayloadsaveDTE设备本地回传T1远程回传CSUWAN接口选项19第1章:广域网T3HDLC负荷不规则编码提供了更好的链接稳定性.
连接的两端必须同时使用或都不使用不规则编码.
要在接口的T3或E3通道上配置不规则编码:WebUINetwork>Interfaces>List>Edit(WAN接口)>WAN:T3Options选中PayloadScrambling复选框CLIsetinterfaceinterfacet3-optionspayload-scramblersetinterfaceinterfacee3-optionspayload-scramblersaveCSU兼容性模式通过限制HDLC封装的负荷,对T3或E3接口进行次速率处理降低了所允许的最高速率值.
次速率模式将接口配置为与使用多路传输专有方法的CSU相连接.
可将T3接口配置为与DigitalLink、Kentrox、Adtran、Verilink或LarscomCSU兼容.
可将E3接口配置为与DigitalLink或KentroxCSU兼容.
要将T3或E3接口配置为与线路远端的CSU相兼容:WebUINetwork>Interfaces>List>Edit(WAN接口)>WAN:T3Options选择CSUCompatibilityModeCLIsetinterfaceinterfacet3-optionscompatibility-mode{adtran|digital-link|kentrox|larscom|verilink}numbersetinterfaceinterfacee3-optionscompatibility-mode{digital-link|kentrox}numbersaveT3或E3接口的次速率必须与远程CSU的次速率完全匹配.
各个CSU兼容性模式具有不同的配置参数:Adtran:所指定的次速率必须介于1和588之间,且与CSU上所配置的值完全匹配.
次速率的值为588对应于44.
2Mbps或100%的HDLC封装负荷.
次速率的值为1对应于44.
2/588(即75.
17Kbps)或0.
17%的HDLC封装负荷.
DigitalLink:必须将次速率指定为在CSU上所配置的数据速率,格式为xKb或x.
xMb.
对于DigitalLinkCSU,可指定次速率值,使其与在CSU上所配置的数据速率相匹配,格式为xkb或x.
xMb.
对于所支持值的列表,请在compatibility-modedigital-linksubrate选项后输入.
Kentrox:所指定的次速率必须介于1和69之间,且与CSU上所配置的值完全匹配.
次速率的值为69对应于34.
995097Mbps或79.
17%的HDLC封装负荷(44.
2Mbps).
次速率的值为1对应于999.
958Kbps,即2.
26%的HDLC封装负荷.
次速率的值每递增1,速率值将相应地增加约0.
5Mbps.
概念与范例ScreenOS参考指南20WAN接口选项Larscom:所指定的次速率必须介于1和14之间,且与CSU上所配置的值完全匹配.
次速率的值为14对应于44.
2Mbps或100%的HDLC封装负荷.
次速率的值为1对应于44.
2/14(即3.
16Kbps),也就是7.
15%的HDLC封装负荷.
Verilink:所指定的次速率必须介于1和28之间,且与CSU上所配置的值完全匹配.
要计算所允许的最高速率值,应将所配置的次速率乘以1.
578Mbps.
例如,次速率值为28,则用28乘以1.
578Mbps,结果为44.
2Mbps,也就是100%的HDLC封装负荷.
次速率的值1对应于1.
578Mbps,也就是3.
57%的HDLC封装负荷.
次速率的值为20,则用20乘以1.
578Mbps,结果为31.
56Kbps,也就是71.
42%的HDLC封装负荷.
远程回传响应T1设备数据链路回路请求信号用于以在职监控和诊断的形式传送各种网络信息.
经由设备数据链路(FDL)的扩展超帧(ESF)支持非干扰信号和控制,从而可提供通畅的通道通信.
远程回传请求可通过FDL或带内.
要将接口配置为响应远程回传请求:WebUINetwork>Interfaces>List>Edit(WAN接口)>WAN:选择以下内容,然后单击Apply:T1OptionsRemoteLoopbackRespond:(选择)CLIsetinterfaceinterfacet1-optionsremote-loopback-respondsaveFEAC响应T3远端报警和控制(FEAC)信号用于将报警或状态信息从远端终端发送回近端终端,并从近端终端启动远端终端的T3回传.
为允许远程通道服务设备(CSU)将本地路由平台放入回传中,必须将路由平台配置为响应CSU的FEAC请求:WebUINetwork>Interfaces>List>Edit(WAN接口)>WAN:选择以下内容,然后单击Apply:T3OptionsRemoteLoopbackRespond:(选择)CLIsetinterfaceinterfacet3-optionsfeac-loop-respondsave注意:如果使用T3loopback选项配置远程或本地回传,则路由平台不会响应CSU的FEAC请求,即使配置中包含feac-loop-respond选项也将如此.
为使路由平台能够进行响应,必须从配置中删除loopback选项.
WAN接口选项21第1章:广域网时隙时隙(也称通道或连接器)与T1和E1链接配合使用,其允许用户分割针脚的使用或使用所有针脚创建一个链接.
部分T1可指定任意组合的时隙.
对于T1接口,时隙应介于1和24之间.
要将特定一组时隙分配给部分T1接口:WebUINetwork>Interfaces>List>Edit(WAN接口)>WAN:输入以下内容,然后单击Apply:T1OptionsTimeslots:1-5,10,24CLIsetinterfaceinterfacet1-optionstimeslots1-5,10,24save部分E1可指定任意组合的时隙.
ScreenOS将预留槽1用于成帧,因此无法使用槽1来配置部分E1接口.
对于E1接口,时隙介于2和32之间.
要将特定一组时隙分配给部分E1接口:WebUINetwork>Interfaces>List>Edit(WAN接口)>WAN:输入以下内容,然后单击Apply:E1OptionsTimeslots:4-6,11,25CLIsetinterfaceinterfacee1-optionstimeslots4-6,11,25save注意:使用连字符来配置时隙范围.
使用逗号来配置不连续时隙.
不要包含空格.
注意:使用连字符来配置时隙范围.
使用逗号来配置不连续时隙.
不要包含空格.
概念与范例ScreenOS参考指南22WAN接口选项误码率测试误码率测试(BERT)可检查链路的质量,并可用来对接口错误进行故障排除.
可以将某些WAN接口配置为在接收到BERT测试的运行请求时执行BERT.
BERT要求线路回接到传输设备或远端路由器.
本地路由器会生成已知的位模式,然后将其从传输路径发送出去.
接着,将接收的模式与发送的模式进行比较.
所接收模式的误码率(BER)越高,实际电路中的噪音干扰就越严重.
随着线路回接位置逐渐向远端路由器的方向移动,可以隔离出链路中有故障的部分.
开始进行BERT之前,请先通过setinterfaceinterfacedisableCLI命令禁用接口.
要配置BERT参数,请执行以下步骤:1.
设置要通过传输路径发送的位模式或算法.
2.
设置接收入站模式时要监视的误码率.
将此误码率指定为0(缺省值)至7之间的整数值,它对应于10-0(每位有1个错误)到10-7(每1千万位有1个错误)之间的BER.
3.
设置测试持续时间.
4.
保存配置.
5.
启动BERT.
在本例中,您将设置T3接口BERT参数来运行60秒的测试,使用的算法为pseudo-2t35-o151,误码率为10-4:WebUINetwork>Interfaces>List>Edit(WAN接口)>WAN:输入以下内容,然后单击Apply:BERTAlgorithm:pseudo-2e9-o153(选择)BERTErrorRate:4BERTTestLength:60Loopbackmode:None(选择)CLIsetinterfaceserial1/0t3-optionsbert-algorithmpseudo-2t35-o151setinterfaceserial1/0t3-optionsbert-error-rate4setinterfaceserial1/0t3-optionsbert-period60saveexecinterfaceserial1/0bert-teststart要查看BERT的结果,请使用getcounterstatisticsinterfaceinterfaceextensiveCLI命令.
注意:如果要尽快终止测试,请使用execinterfaceinterfacebert-teststopCLI命令.
注意:要在本地和远程路由平台之间交换BERT模式,请在链路远端的接口配置中加入loopbackremote选项.
从本地路由平台发出execinterfaceinterfacebert-teststartCLI命令.
WAN接口选项23第1章:广域网可以通过showinterfaceinterfaceextensiveCLI命令检查输出中的错误计数器,从而确定是否存在内部或外部问题.
ISDN选项在ISDN选项中,至少必须配置ISDN交换机类型.
其它选项则要由电信运营商决定.
交换机类型支持的ISDN交换机类型包括ATT5E、NTDMS-100、INS-NET、ETSI和NI1.
WebUINetwork>Interfaces>List>Edit(bri)>WAN:输入以下内容,然后单击Apply:SwitchTypeAfterReboot:CLIsetinterfacebri0/0isdnswitch-typeatt5eSPID如果使用需要服务配置文件标识符(SPID)的ISP,则ISDN设备在与访问交换机以初始化连接期间向ISP发送由其指派的有效SPID之前,将无法发出或接收呼叫.
SPID通常由七位电话号码外加一些可选的号码组成.
但是,不同的ISP可能使用不同的编号方案.
对于DMS-100交换机类型,会指派两个SPID,每个SPID适用于一个B通道.
SPID号码由电信运营商定义.
目前,只有DMS-100和NI1交换机类型需要SPID.
AT&T5ESS交换机类型可能支持SPID,但是我们建议设置该ISDN服务时不要使用SPID.
此外,SPID只有在本地访问ISDN接口才有意义.
远程路由器永远不会接收SPID.
WebUINetwork>Interfaces>List>Edit(bri)>ISDN:输入以下内容,然后单击Apply:SPID1:123456789SPID2:987654321CLIsetinterfacebri0/0isdnspid1123456789概念与范例ScreenOS参考指南24WAN接口选项TEI协商终端端点标识符(TEI)协商对于可能会在没有活动呼叫时禁用第1层或第2层的交换机非常有用.
此项设置一般适用于欧洲地区的ISDN服务产品以及与旨在启动TEI协商的DMS-100交换机的连接.
WebUINetwork>Interfaces>List>Edit(bri)>ISDN:输入以下内容,然后单击Apply:TEInegotiation:FirstCallCLIsetinterfacebri0/0isdntei-negotiationfirst-call可以在第一次呼叫(缺省值)或设备启动时进行TEI协商.
呼叫号码ISDNBRI提供给ISDN交换机的外向呼叫号码.
某些网络为显示此号码的呼叫提供优惠的价格.
WebUINetwork>Interfaces>List>Edit(bri)>ISDN:输入以下内容,然后单击Apply:CallingNumber:1234567890CLIsetinterfacebri0/0isdncalling-number1234567890呼叫号码的字符数必须少于32个.
T310值如果安全设备在接收到CALLPROC消息后未接收到ALERT、CONNECT、DISC或PROGRESS消息,它会在达到T310超时值后将一条DISC消息发送到网络中.
WebUINetwork>Interfaces>List>Edit(bri)>ISDN:输入以下内容,然后单击Apply:T310Value:20CLIsetinterfacebri0/0isdnt310-value20可以输入介于5与100秒之间的值.
缺省T310超时值为10秒.
WAN接口选项25第1章:广域网发送完成在有些地理位置(例如中国香港和台湾地区),ISDN交换机要求在外向呼叫设置消息中加入"发送完成信息元素",以指示整个号码都包含其中.
其它地区通常不需要此信息元素.
WebUINetwork>Interfaces>List>Edit(bri)>ISDN:输入以下内容,然后单击Apply:SendComplete:选中CLIsetinterfacebri0/0isdnsending-complete缺省设置是不包含发送完成信息元素.
BRI模式ISDN接口(bri)可配置为支持租用线路模式或拨号器.
租用线路模式BRI可以配置为支持租用线路模式,这样可以避免D通道的信号发送.
如果将BRI配置为支持租用线路模式,它即成为只能传送数据的第3层接口.
如果您的BRI处于租用线路模式,还必须提供安全设备的IP地址,并在BRI配置中加入PPP封装.
设置通道时不需要Q931拨号.
有关Q931和Q921协议的更多信息,请参阅ScreenOSCLIReferenceGuide:IPv4CommandDescriptions.
所有其它ISDN选项在租用线路模式中都不起作用.
WebUINetwork>Interfaces>List>Edit(bri):输入以下内容,然后单击Apply:BRIModeLeasedLine(128kps):选中CLIsetinterfacebri0/0isdnleased-line128kbps概念与范例ScreenOS参考指南26WAN接口选项拨号器启用如果将ISDNBRI设置为启用拨号,则BRI可以充当拨号接口.
BRI必须配置为拨号接口,才能提供按需拨号路由选择(DDR).
缺省情况下,ISDNBRI不会启用拨号器.
WebUINetwork>Interfaces>List>Edit(bri):输入以下内容,然后单击Apply:BRIModeDialusingBRI:选中CLIsetinterfacebri0/0isdndialer-enable单击apply后,将显示拨号器选项.
有关配置拨号器选项的详细信息,请参阅"拨号器选项".
拨号器选项拨号接口名称的格式为dialerx,其中x为0至9之间的一个数值.
如果尚未创建拨号接口,则它会根据您所指定的编号自动创建拨号接口.
以下拨号器选项可使用setinterfacedialerx命令设置:Primary/alternatenumber主号码为安全设备提供要呼叫的远程目标.
如果主号码未能连接,则使用备用号码.
主号码和备用号码可以是32个字符以内的任何字符串.
Loadthreshold此选项可根据需要提供额外的带宽.
如果设置了此选项,则当信息流超出为一个B通道指定的负载临界值时,将使用第二个B通道.
B通道负载临界值的范围是1至100(百分比形式).
缺省值为80%.
Idletime此选项用于设置设备在丢弃连接之前要等待信息流的时间量(以秒为单位).
空闲时间可以设置为0至60000秒,其中设置为零(0)表示连接不能空闲.
缺省值为180秒.
Retrytimes此选项用于设置安全设备可尝试拨打所指定电话号码的次数.
如果拨打后未连接,会尝试将该号码重拨指定的次数(一至六次).
缺省设置为尝试三次.
WAN接口选项27第1章:广域网Interval此选项用于设置连接失败后每次重拨尝试之间的拨号间隔(以秒为单位).
可以指定1至60秒;缺省值为30秒.
Dialerpool此选项用于指定要让拨号接口使用的拨号池.
拨号池标识可以是32个字符以内的任何字符串.
可使用以下命令创建拨号接口:WebUINetwork>Interfaces>List>New>DialerIF:输入以下内容,然后单击Apply:InterfaceName:dialerxPrimaryNumber:16900AlternateNumber:44440LoadThreshold:80IdleTime:100Retrytimes:3Interval:30DialerPool:CLIsetinterfacedialerxprimary-number16900setinterfacedialerxalternative-number44440setinterfacedialerxload-threshold80setinterfacedialerxidle-time100setinterfacedialerxretry30禁用WAN接口可通过WebUI或CLI禁用WAN接口.
WebUINetwork>Interfaces>Edit(接口)>WAN:取消选中Enable复选框,然后单击Apply.
CLIsetinterfaceinterfacedisablesave概念与范例ScreenOS参考指南28WAN接口封装WAN接口封装配置完WAN接口后,即可设置接口封装.
本节介绍以下WAN接口封装类型:第28页上的"点对点协议"第29页上的"帧中继"第29页上的"Cisco高级数据链路控制(Cisco-HDLC)"点对点协议点对点协议(PPP)链路提供同步的双向全双工操作,是用来轻松连接各种主机、桥接器和路由器的常见解决方案.
PPP封装允许在常用的物理链路上对不同"网络层"协议同时进行多工处理.
PPP采用"高级数据链路控制"(HDLC)进行封包封装.
HDLC是一种面向比特位的同步数据链路层协议,它通过帧字符及校验和指定同步串行链路上的数据封装方法.
PPP封装在RFC1661,ThePoint-to-PointProtocol(PPP)中定义.
为建立PPP连接,PPP链路的每一端都通过交换"链路控制协议"(LCP)封包来配置链路.
LCP用于建立、配置和测试数据链路选项.
这些选项包括封装格式选项、链路上对等方的认证、各种封包大小限制的处理、回接链路及其它常见配置错误的检测、链路正常或故障时间的判定以及链路的终止.
PPP允许在建立链路时进行认证,以允许或拒绝设备的连接.
此项认证可使用"密码认证协议"(PAP)或"质询握手认证协议"(CHAP)来完成,这在RFC1334,PPPAuthenticationProtocols中有介绍.
这些认证协议主要供通过交换式电路或拨号线路连接到网路服务器的主机和路由器使用,但是也用于专用线路.
单个接口封装选项支持的封装类型UnnumberedInterfacesPPP、FR和Cisco-HDLCProtocolMTUPPP和FRStaticIPPPP和Cisco-HDLCKeepalivesPPP、FR和Cisco-HDLCKeepaliveLMIFRWAN接口封装29第1章:广域网帧中继帧中继是运作于"开放式系统互联(OSI)参考模型"的"数据链路层"上的WAN协议.
帧中继封装在RFC1490,MultiprotocolInterconnectoverFrameRelay及帧中继论坛实施协议FRF3.
1/3.
2中定义.
帧中继协议允许您使用帧中继服务提供商所管理的共享数据传输设备来降低成本.
您只需针对从帧中继网路中每个站点到提供商维护帧中继交换机的第一个出现点(POP)的本地连接支付固定的费用.
帧中继交换机之间的网络部分则由服务提供商的所有客户共享.
图7说明了帧中继网络中的各个设备.
图7:帧中继网络中的设备帧中继网络可以连接以下两类设备:数据终端设备(DTE)通常是特定网络的终端设备,一般位于客户端.
数据电路终端设备(DCE)通常是电信运营商所拥有的网际互联设备,可在网络中提供交换服务.
DCE通常是封包交换机.
帧中继永久虚拟电路(PVC)为跨帧中继网络的两个DTE设备提供逻辑连接.
多个PVC可通过多工方法组成单个实际电路,用以进行跨网络的传输.
每个PVC都被指派了唯一的数据链路连接标识符(DLCI),以确保每个客户只接收自己的信息流.
Cisco高级数据链路控制(Cisco-HDLC)Cisco路由器和桥接器上串行接口的缺省协议为Cisco高级数据链路控制(Cisco-HDLC).
Cisco-HDLC用于封装局域网(LAN)协议封包,以通过WAN链路进行传输.
Cisco-HDLC是国际标准化组织(ISO)所开发的标准HDLC协议的扩展.
HDLC是一种面向比特位的同步数据链路层协议,它通过帧字符和校验和指定同步串行链路上的数据封装方法.
Cisco-HDLC通过与对等网络设备交换激活消息来监控串行接口上的线路状态.
激活消息是从一个端点发送到另一个端点的信号,说明第一个端点仍处在活动状态.
激活通常用于识别非活动或发生故障的连接.
激活也能允许路由器通过与对等网络设备交换"串行线路地址解析协议"(SLARP)地址请求和地址响应消息来发现邻接方的IP地址.
DTEDTEDCEDCEDCE概念与范例ScreenOS参考指南30WAN接口封装基本封装选项要配置WAN接口的封装:WebUINetwork>Interfaces>Edit(WAN接口):选择WAN封装类型和安全区,然后单击Apply.
(可选)配置物理链路的封装选项.
只有在需要更改链路的缺省HDLC选项时,才需要执行此步骤.
CLIsetinterfaceinterfaceencapsulationtypesetinterfaceinterfacezonezone无编号接口无编号接口不会被指派其自己的IP地址,而是借用其它接口的IP地址.
这样可节约地址空间.
如果无编号接口指向某个不工作的接口(不显示接口状态UP或协议UP),则此无编号接口也不工作.
我们建议将无编号接口指向回传接口,因为回传接口不会发生故障.
要配置IP无编号接口:WebUINetwork>Interface>Edit(WAN接口):选择未编号选项、源接口,然后单击Apply.
CLIsetinterfaceinterfaceipunnumberedinterfacesrcinterfacesave协议最大传输单位配置可以在有PPP或帧中继封装的各物理接口上配置协议最大传输单位(MTU).
缺省的协议MTU为1500字节(对于串行、T1、E1和多链路接口)和4470字节(对于T3接口).
可以指定800至8192字节间的数值.
介质MTU源自协议MTU.
如果增加协议MTU的大小,必须确保介质MTU的大小不小于协议MTU与封装开销的总和.
要在物理接口上配置协议MTU:WebUINetwork>Interfaces>Edit(WAN接口):在MaximumTransferUnit(MTU)字段中输入介于800和8192之间的数值,然后单击OK.
CLIsetinterfaceinterfacemtunumbersave注意:可通过配置代表物理链路的接口来配置链路.
WAN接口封装31第1章:广域网静态IP地址配置WAN接口使用由WAN数据链路另一端的服务器所自动指派的IP地址.
或者也可以为接口明确指派一个静态IP地址.
要为WAN接口指派IP地址:WebUINetwork>Interfaces>Edit(WAN接口):在IPAddress/Netmask字段中输入IP地址和网络掩码,然后单击Apply.
CLIsetinterfaceinterfaceipip_addr/masksave激活激活消息是从一个端点发送到另一个端点的信号,说明第一个端点仍处在活动状态.
激活通常用于识别非活动或发生故障的连接.
已配置WAN封装的物理接口将每隔10秒发送一次激活封包.
要将此接口配置为以其它时间间隔发送激活封包:WebUINetwork>Interfaces>Edit(WAN接口)>WAN封装类型:在KeepaliveInterval中输入秒数,然后单击Apply.
CLIsetinterfaceinterfacekeepalivessecondssave要在物理接口上禁用激活发送功能:WebUINetwork>Interfaces>Edit(WAN接口)>WAN封装类型:取消选中Keepalive复选框,然后单击Apply.
CLIunsetinterfaceinterfacekeepalivessave通过目标是否收到激活封包可以确定此链路的连通性.
缺省情况下,如果目标未能收到三个连续的激活封包,ScreenOS就会判定链路已中断.
当目标收到一个激活封包时,说明中断的链路恢复到连接状态.
概念与范例ScreenOS参考指南32WAN接口封装要更改目标用来判定链路连通性的计数:WebUINetwork>Interfaces>Edit(WAN接口)>WAN封装类型:在DownCounter或UpCounter中输入计数值,然后单击Apply.
CLIsetinterfaceinterfacekeepalivesdown-countnumbersetinterfaceinterfacekeepalivesup-countnumbersavePPP封装选项本节介绍可以在某些WAN接口上使用的"点对点协议"(PPP)封装选项.
要配置MLPPP,请参阅第41页上的"多链路PPP配置选项".
在支持WAN接口的设备的单个物理链路上配置PPP:1.
配置物理链路上的PPP封装,并将此链路指派给一个安全区.
配置物理链路上的IP地址.
2.
(可选)配置物理链路的PPP选项.
只有在需要更改链路的缺省PPP选项时,才需要执行此步骤.
3.
配置PPP访问配置文件,并将其绑定到接口.
即使PPP数据链路上没有使用任何认证,也同样需要执行这一步骤.
4.
(可选)如果使用了CHAP或PAP认证,请在设备的本地数据库中配置对等方的用户名和密码.
PPP访问配置文件PPP访问配置文件包含以下信息:在"链路控制协议"(LCP)链路设置期间是否使用认证来允许或拒绝设备的连接.
如果已指定使用认证,则可以配置所选认证方法的选项.
接口是否使用已经配置的静态IP地址.
如果接口使用由服务器动态指派的IP地址,则可以为此IP地址指定网络掩码.
在LCP链路设置期间,可使用认证来允许或拒绝设备的连接;如果认证失败,则终止PPP链路.
缺省情况下,配置了PPP加密的接口上会禁用认证.
如果没有在接口上明确启用认证,接口就不会执行任何认证请求,并会拒绝所有内向认证质询.
可以将接口配置为支持以下认证协议中的一个或两个:密码认证协议(PAP),如RFC1334,PPPAuthenticationProtocols所定义质询握手认证协议(CHAP),如RFC1994,PPPChallengeHandshakeAuthenticationProtocol(CHAP)所定义注意:即使PPP连接上没有使用任何认证,也必须配置未指定任何认证方法的访问配置文件,并将其绑定到接口.
WAN接口封装33第1章:广域网要配置WAN接口的PPP封装:WebUINetwork>PPP>PPPProfile>New:在PPPProfile字段中输入profile_name并输入其它选项,然后单击OK.
Network>Interfaces>Edit(WAN接口):在BindingaPPPProfile下拉列表中选择profile_name,然后单击Apply.
CLIsetpppprofileprofile_name.
.
.
setinterfaceinterfacepppprofileprofile_namesavePPP认证方法在LCP链路设置期间,可使用认证来允许或拒绝设备的连接;如果认证失败,则终止PPP链路.
要设置PPP认证方法:WebUINetwork>PPP>PPPProfile>Edit(profile_name):选择Any、CHAP、PAP或none,然后单击OK.
CLIsetpppprofileprofile_name{chap|pap|any|none}save如果在访问配置文件中使用静态IP地址,则只能将配置文件绑定到已明确配置了IP地址的接口.
相反,如果接口拥有静态IP地址,则绑定到此接口的访问配置文件必须指定staticIP选项.
如果接口的IP地址是由服务器动态指派的,则此接口的网络掩码为/32(255.
255.
255.
255).
要为接口指定其它网络掩码值:WebUINetwork>PPP>PPPProfile>Edit(profile_name):在Netmask字段中输入新的mask值,然后单击OK.
CLIsetpppprofileprofile_namenetmaskmasksave密码密码用于向其对等方认证接口上的PPP客户端.
要设置密码:WebUINetwork>PPP>PPPProfile>Edit(profile_name):在Password中输入一个字符串,然后单击OK.
CLIsetpppprofileprofile_nameauthsecretpasswordsave概念与范例ScreenOS参考指南34WAN接口封装PPP认证协议本节介绍可以在某些WAN接口上使用的PPP认证协议.
质询握手认证协议在某个接口上启用"质询握手认证协议"(CHAP)认证后,此接口会使用系统主机名作为在质询和响应封包中发送的名称.
也可以为接口配置其它名称来用在质询和响应封包中.
要更改CHAP本地名称:WebUINetwork>PPP>PPPProfile>Edit(profile_name):在LocalName字段中输入一个名称,然后单击OK.
CLIsetpppprofileprofile_nameauthlocal-namenamesave缺省情况下,在接口上启用PPP认证后,接口会始终向其对等方发出质询,并对来自对等方的质询做出响应.
可以将接口配置为不质询其对等方,而只是在收到质询时做出响应(这种行为模式称为被动模式).
要启用被动模式:WebUINetwork>PPP>PPPProfile>Edit(profile_name):选择Passive,然后单击OK.
CLIsetpppprofileprofile_namepassivesave密码认证协议"密码认证协议"(PAP)采用两方握手形式,并通过链路以明文形式传送帐户名和密码.
系统通常只在没有其它公共认证协议时才使用PAP.
要将认证协议设置为PAP:WebUINetwork>PPP>Edit(profile_name):选择认证类型,然后单击Apply.
CLIsetpppprofileprofile_nameauthtypepapsave本地数据库用户如果在PPP链路上使用CHAP或PAP,则对等方设备会将其用户名和密码发送给该设备进行认证.
设备会将所接收到的用户名和密码与其本地数据库中配置的WAN用户类型条目加以比较.
只有用户名和密码与本地数据库中某个条目匹配的等对方,才会被允许连接到该设备,以发送或接收数据.
注意:被动模式仅适用于"质询握手认证协议"(CHAP).
WAN接口封装35第1章:广域网要配置WAN用户:WebUIObjects>Users>Local>New:输入以下内容,然后单击OK:WANUser:(选择)UserName:name_strUserPassword:pswd_strConfirmPassword:pswd_strCLIsetusername_strpasswordpswd_strsetusername_strtypewansave帧中继封装选项本节介绍如何配置可以某些WAN接口上使用的帧中继封装选项.
要配置MLFR,请参阅第42页上的"多链路帧中继配置选项".
激活消息帧中继激活消息是通过"本地管理接口"(LMI)封包的发送来实施的.
缺省情况下,ScreenOS在帧中继接口上发送LMI激活消息.
对于背对背帧中继连接,可以在连接两端禁用激活发送功能,也可以将连接的一端配置为DTE(缺省的ScreenOS配置),另一端配置为DCE.
如果启用激活,多点或组播连接上可能的DLCI配置数受针对接口选定的MTU大小的限制.
要计算可用的DLCI数,请使用以下公式:(MTU-12)/5要增加可能的DLCI数,请禁用激活.
要在物理接口上禁用激活发送功能,请使用WebUI或CLI.
WebUINetwork>Interfaces>Edit(接口)>FR:选择No-Keepalive,然后单击Apply.
CLIsetinterfaceinterfaceframe-relaylmino-keepalivesave注意:WAN用户只能在本地数据库中配置.
注意:务必在WAN接口的BasicProperties页选择MainLink选项.
概念与范例ScreenOS参考指南36WAN接口封装帧中继LMI类型缺省情况下,ScreenOS会发送ANSIT1.
617AnnexD所指定的LMI.
要将LMI类型更改为ITUQ933AnnexA:WebUINetwork>Interfaces>Edit(WAN接口)>FR:选择ITU,然后单击Apply.
CLIsetinterfaceinterfaceframe-relaylmitypeitusave可以配置以下帧中继LMI激活选项:DTEfullstatuspollinginterval(在CLI中以n391-dte关键字表示).
DTE会以DTE轮询时间计时器所指定的时间间隔向DCE发送状态查询.
轮询时间间隔指定了这些查询接收完整状态报告时的频率:例如,值为10时表示每隔十次查询传回一个完整状态报告.
中间的查询只用来请求激活消息交换.
DTEerrorthreshold(在CLI中以n392-dte关键字表示).
要中断链路所需的错误数,该值应在DTEmonitoredevent-count所指定的事件计数范围内.
DTEmonitoredevent-count(在CLI中以n393-dte关键字表示).
其值范围为1到10,缺省值为4.
DTEkeepalivetimer(在CLI中以t391-dte关键字表示).
DTE向DCE发出激活响应请求并根据DTEerror-threshold值更新状态的时段.
要配置帧中继LMI选项:WebUINetwork>Interfaces>Edit(WAN接口)>FR:针对LMI选项输入相应的值,然后单击Apply.
CLIsetinterfaceinterfaceframe-relaylmioptionsave创建并配置PVC在单个帧中继物理接口内,可以创建多个点对点虚拟接口,这些接口会被识别为子接口.
每个子接口都映射到一个永久虚拟电路(PVC),该电路以数据链路连接标识符(DLCI)来标识.
每个子接口只能指定一个DLCI.
DLCI是介于16到1022之间的数值.
(1到15是保留数字.
)可以选择将多个PVC以多工方式组成单个物理链路,以进行跨帧中继封包交换网络的传输.
子接口名称由物理接口名称和子接口号组成.
例如,如果物理接口名称为serial1/1,则其子接口可以是serial1/1.
1和serial1/1.
2.
注意:所指定的DLCI值是本地提供商指派给您的PVC的DLCI.
注意:在WebUI中,子接口号会在您选择接口名称时自动添加.
而在CLI中,则必须输入接口名称和子接口号.
WAN接口封装37第1章:广域网还可以配置子接口来执行管理功能(例如管理IP地址、服务选项及其它功能).
(有关在接口上配置管理IP和服务选项的详细信息,请参阅第2卷:基本原理.
)图8显示了为物理接口serial1配置的两个点对点PVC.
每个PVC可以与不同的安全区关联;每个PVC的安全区可以不同于指派给物理接口的安全区.
图8:点对点帧中继子接口要配置点对点帧中继子接口,创建子接口并将其指派给一个安全区,然后向此子接口指派帧中继DLCI和IP地址:WebUINetwork>Interface>New>WANSub-IF:输入以下内容,然后单击OK:InterfaceName:interface(选择)ZoneName:(选择)FrameRelayDLCI:(输入id_num)IPAddress/Netmask:(输入ip_addr)CLIsetinterfacesubinterfacezonezonesetinterfacesubinterfaceframe-relaydlciid_numsetinterfacesubinterfaceipip_addrsave反向地址解析协议帧中继子接口可以支持反向地址解析协议(ARP),如RFC2390,InverseAddressResolutionProtocol所述.
启用反向ARP后,设备会以向帧中继PVC另一端的请求设备提供IP地址信息的方式,来响应所接收的反向帧中继ARP请求.
设备不会发起反向帧中继ARP请求.
缺省情况下,反向帧中继ARP是禁用的.
要将设备配置为响应反向帧中继ARP请求:WebUINetwork>Interface>Edit(子接口):选择FrameRelayInverseARP,然后单击Apply.
CLIsetinterfacesubinterfaceframe-relayinverse-arpsaveDTEWAN链路站点B站点A帧中继网络注意:为子接口指派的安全区可以不同于指派给物理接口的安全区.
概念与范例ScreenOS参考指南38多链路封装多链路封装本节提供了有关WAN接口上多链路封装的以下信息:第38页上的"概述"第38页上的"基本多链路束配置"第41页上的"多链路PPP配置选项"第42页上的"多链路帧中继配置选项"概述WAN接口支持"用户对网络接口"(UNI)的"多链路帧中继"(MLFR)和"多链路点对点协议"(MLPPP),这基于帧中继论坛FRF.
16中的MultilinkFrameRelayUNI/Network-to-NetworkInterface(NNI)ImplementationAgreement.
两种多链路封装类型为增加应用程序带宽提供了一种更加节省成本的方法,即将多个物理链路聚合为一个链路束.
链路束中的每个物理链路称为束链路.
例如,如果某个应用程序需要的带宽宽于单个T1线路的可用带宽,您有两种方式可以增加应用程序所用的带宽:租用一条T3线路将多个T1链路结成链路束MLFR和MLPPP还提供了容错机制.
例如,当链路束中的某一个束链路发生故障时,该链路束会继续通过其余束链路进行传输,从而继续支持帧中继或PPP服务.
MLFR和MLPPP还在链路束内提供跨链路的负载均衡.
如果选择用来进行传输的束链路正忙于传输一个长封包,则数据会由另一个链路进行传输.
基本多链路束配置链路束由创建的多链路接口进行访问.
多链路接口的名称必须是mlid_num.
例如,多链路接口名称可以是ml1、ml2等等.
多链路封装选项支持的封装类型MinimumLinksMLPPP和MLFRFragmentThresholdMLPPP和MLFRMRRUMLPPPDropTimeoutMLPPP和MLFRAcknowledgeRetriesMLFRAcknowledgeTimeMLFRHelloTimerMLFR注意:在WebUI中,id_num会在您新建多链路接口时自动添加.
在CLI中,则必须指定id_num值.
缺省情况下,新的多链路接口的封装类型为MLPPP.
对于支持帧中继的多链路接口,MLFR封装必须要明确配置.
多链路封装39第1章:广域网要创建多链路接口并配置其MLFR封装:WebUINetwork>Interfaces>New>MultilinkIF:选择Multi-LinkFrameRelay作为WAN封装,然后单击Apply.
CLIsetinterfaceinterfaceencapsulationmlfr-uni-nnisave链路束标识符链路束ID(如FRF.
16所指定)将本地和远程端点与特定的链束关联在一起.
ML链路束中的所有束链路都必须使用同一链路束ID,其最多可包含80个字节.
如果要在两台设备之间配置多个链路束,则各链路束ID应该是唯一的.
例如,可在链路束ID中使用网络节点标识符、系统序列号或网络地址.
如果没有为多链路接口配置特定的链路束ID,则使用多链路接口名(例如,ml1或ml2).
要配置链路束ID:WebUINetwork>Interfaces>Edit(接口)>Basic:输入MLType作为WAN封装,然后单击Apply.
CLIsetinterfaceinterfacebundle-idname_strsave丢弃超时值您可以配置一个丢弃超时值,以作为多链路束中的单个链路丢弃一个或多个封包时的恢复机制.
丢弃超时值并不是差动延迟极限设置,对整体延迟没有任何限制.
我们建议设置的丢弃超时值要远大于链路间的预期差动延迟;这样,当发生实际封包丢失而非正常抖动时,就会经历这一超时时间.
要配置丢弃超时值:WebUINetwork>Interfaces>Edit(接口)>MLEncapsulationType:在DropTimeout中输入毫秒数,然后单击Apply.
CLIsetinterfaceinterfacedrop-timeoutmillisecondssave建议不要设置小于5毫秒的值;零(0)表示禁用超时值.
最小链路数值可介于1至8之间.
如果指定8,链路束中所有已配置的链路必须都处于连接状态,该链路束才能连接.
注意:对于多链路接口,当绑定到禁用的链路束或链路时,如果某个封包或碎片在网络中遇到错误状况,则它们不会作为丢弃封包和碎片计入链路束统计数据中.
ScreenOS会将封包计入全局错误统计数据中,但不计入全局输出字节或输出封包统计值中.
这种不正常的计数形式只有在多链路接口内发生错误状况时才会出现,而当封包在网络的其它位置遇到错误时则不会发生.
概念与范例ScreenOS参考指南40多链路封装碎片临界值可以配置一个碎片临界值,为多链路电路内个别链路传输的封包负荷大小设置上限.
ScreenOS会将超出碎片临界值的内向封包拆分成适合电路大小的更小单位;然后在另一端对这些碎片进行重组,但这并不会影响到输出信息流.
要配置分段临界值:WebUINetwork>Interfaces>Edit(接口)>MLEncapsulationType:输入Bundle-linkFragmentationThreshold值,然后单击Apply.
CLIsetinterfaceinterfacemlfr-uni-nnifragment-thresholdnumbersave缺省情况下,碎片临界值就是物理接口的MTU.
(对于串行、T1和E1束链路,缺省的MTU大小为1500字节;对于T3束链路,缺省的MTU大小为4470字节.
)碎片大小的最大值可介于128到16,320字节之间.
所设置的任何值都必须是64字节的倍数(Nx64).
要配置碎片临界值:WebUINetwork>Interfaces>Edit(接口)>MLEncapsulationType:输入FragmentThreshold值,然后单击Apply.
CLIsetinterfaceinterfacefragment-thresholdbytessave最小链路数可以设置要使整个链路束连接所要连接的最小链路数.
缺省情况下,要使链路束连接,只需连接一个链路.
要设置链路束中的最小链路数:WebUINetwork>Interfaces>Edit(接口)>MLEncapsulationType:在MinimumLinks中输入一个新数值,然后单击Apply.
CLIsetinterfaceinterfaceminimum-linksnumbersave注意:为确保MLPPPWAN接口的正确负载均衡,请不要同时在配置中设置碎片临界值和短序列选项.
对于MLPPP接口,如果链路束中链路的MTU小于链路束MTU与封装开销之和,碎片功能会自动启用.
在启用了短序列的MLPPPWAN接口上应避免发生此类情况.
多链路封装41第1章:广域网多链路PPP配置选项本节介绍可以在某些WAN接口上使用的其它MLPPP配置选项.
基本配置步骤要在支持MLPPP封装的接口上配置MLPPP:1.
创建一个链路束,并为其配置MLPPP封装.
将该链路束指派给一个安全区.
也可以为该链路束设置其它选项,例如链路束标识或MTU.
2.
(可选)配置链路束的MLPPP选项.
只有在需要更改链路束的缺省MLPPP选项时,才需要执行此步骤.
3.
配置PPP访问配置文件,并将其绑定到接口.
即使PPP数据链路上没有使用任何认证,也同样需要执行这一步骤.
4.
(可选)如果使用了CHAP或PAP认证,请在安全设备的本地数据库中配置对等方的用户名和密码.
5.
将束链路指派给链路束.
6.
(可选)为链路束中的每个束链路配置PPP选项.
只有在需要更改该链路的缺省PPP选项时,才需要执行此步骤.
最大接收重构单位最大接收重构单位(MRRU)与最大传输单位(MTU)类似,但它只适用于多链路束;它是多链路接口可以处理的最大封包大小.
缺省情况下,MRRU被设置为1500字节;如果对等方设备允许,也可以配置一个不同的MRRU值.
MRRU包括初始负荷外加2个字节的PPP包头,但不包括各多链路封包在链路束中的单独链路上传输时所应用的附加MLPPP包头.
要配置不同的MRRU:WebUINetwork>Interfaces>Edit(接口)>MLPPP:在MaximumReceivedReconstructedUnit中输入字节数,然后单击Apply.
CLIsetinterfaceinterfacemrrubytessave序列包头格式序列包头格式是空白的,可以设置为12或24位,但对于大多数网络来说,24位是更稳定的值.
要配置12位的序列包头格式:WebUINetwork>Interfaces>Edit(接口)>MLPPP:选择Short-SequenceMLPPPNumber,然后单击Apply.
CLIsetinterfaceinterfaceshort-sequencesave概念与范例ScreenOS参考指南42多链路封装多链路帧中继配置选项本节介绍可以在某些WAN接口上使用的其它MLFR配置选项.
基本配置步骤要在支持MLFR封装的接口上配置MLFR:1.
创建一个链路束,并为其配置MLFR封装.
将该链路束指派给一个安全区.
也可以为该链路束设置其它选项,例如链路束标识或MTU.
2.
(可选)配置链路束的帧中继选项.
只有在需要更改链路束的缺省帧中继选项时,才需要执行此步骤.
3.
将束链路指派给链路束.
4.
(可选)配置链路束的MLFR选项.
只有在需要更改链路的缺省MLFR选项时,才需要执行此步骤.
5.
为该链路束创建一个或多个PVC,并为每个PVC指派帧中继DLCI和IP地址.
图9显示了MLFR如何允许多个T1束链路聚合为一个链路束.
图9:多链路帧中继链路束帧中继功能是在多链路接口上配置,而不是在每个束链路上配置.
(尽管束链路对于对等方DTE和DCE设备是可见的,但它们对于"帧中继数据链路层"来说不可见.
)本地设备与对等方设备交换"链路完整性协议"(LIP)控制消息,以判定哪些束链路可以工作,并同步与每个链路束关联的束链路.
为进行链路管理,束链路的各端都遵从MLFRLIP,并与束链路另一端的对等方交换链路控制消息.
为启动束链路,链路的两端都必须完成ADD_LINK与ADD_LINK_ACK消息的交换.
为维护此链路,两端应定期交换HELLO和HELLO_ACK消息.
hello消息和确认的交换就相当于链路的激活机制.
如果设备发送了hello消息,但并未接收到任何确认,它会重新发送hello消息,重发次数不超过所配置的最大尝试次数.
如果设备发送次数达到最大尝试次数时仍未接收到确认,ScreenOS会将此束链路视为中断.
当对等方设备确认其将使用链路束的该链路时,ScreenOS会启动这个束链路.
当对等方设备确认来自本地设备的hello消息时,链路会保持连接.
启用"本地管理接口"(LMI)后,如果本地设备和对等方设备上的"帧中继数据链路层"使用LMI进行同步,则此束链路将被视为处于连接状态.
只要LMI激活成功,束链路就会保持连接状态.
帧中继网络多链路接口链路束束链路DTEDTEDCEDCE多链路封装43第1章:广域网MLFR的链路指派MLFR接口可以是DCE或DTE(缺省的ScreenOS配置).
DTE充当主接口,它会向链路的DCE部分请求状态信息.
对于配置了MLFR封装的物理链路,链路束中的每个链路端点都通过传输add-link消息向其对等方发出链路束操作请求.
hello消息可通知对等端点:本地端点处于连接状态.
链路两端会定期或根据hello计时器的配置生成hello消息.
Remove-link消息可通知对等方:本地端管理正在从链路束操作中移除该链路.
端点通过发送确认消息来响应add-link、remove-link和hello消息.
确认重试次数对于束链路,可以配置在超过确认计时器指定的时间后重新连续传输hello或remove-link消息的次数.
要配置重新传输尝试次数:WebUINetwork>Interfaces>Edit(接口)>MLFR:输入LineInterfaceProtocol(LIP)RetransmissionCountbeforeLink-Down的值,然后单击Apply.
CLIsetinterfaceinterfacemlfr-uni-nniacknowledge-retriesnumbersave确认计时器可以配置等待add-link、hello或remove-link确认消息的时间长度上限.
要配置确认时间:WebUINetwork>Interfaces>Edit(接口)>MLFR:输入MaximumPeriodtoWaitforanAcknowledgement的值,然后单击Apply.
CLIsetinterfaceinterfacemlfr-uni-nniacknowledge-timersecondssaveHello计时器要配置hello消息的发送速率:WebUINetwork>Interfaces>Edit(接口)>MLFR:输入LIPHelloKeepaliveInterval的值,然后单击Apply.
CLIsetinterfaceinterfacemlfr-uni-nnihello-timersecondssave在指定的时间(以毫秒为单位)到后,会传输hello消息.
超过hello计时器指定的时间后,链路端点会生成add-link消息.
概念与范例ScreenOS参考指南44WAN接口配置范例WAN接口配置范例本节提供以下WAN配置范例:第44页上的"配置串行接口"第45页上的"配置T1接口"第46页上的"配置E1接口"第46页上的"配置T3接口"第47页上的"配置E3接口"第48页上的"针对ISDN连接配置设备"配置串行接口本例中将配置串行接口的WAN属性.
配置WAN接口属性后,请参阅第55页上的"封装配置范例"来配置WAN封装.
WebUINetwork>Interfaces>Edit(serial6/0)>WAN:选择以下内容,然后单击Apply:HoldTimeClockMode:Internal(选择)ClockRate:8.
0(选择)DTEOptionsLineEncoding:Non-Return-To-Zero(选择)CLI1.
设置时钟信息setinterfaceserial6/0serial-optionsclocking-modeinternalsetinterfaceserial6/0serial-optionsclock-rate8.
02.
设置线路编码setinterfaceserial6/0serial-optionsencodingnrzsaveWAN接口配置范例45第1章:广域网配置T1接口本例中将配置T1接口的WAN属性.
配置WAN接口属性后,请参阅第55页上的"封装配置范例"来配置WAN封装.
WebUINetwork>Interfaces>Edit(serial3/0)>WAN:选择以下内容,然后单击Apply:HoldTimeClockMode:External(选择)T1OptionsLinebuildout:0-132(选择)LineEncoding:8-bitsZeroSuppression(选择)ByteEncoding:8-bitsperbyte(选择)FrameChecksum:16-bits(选择)FramingMode:ExtendedSuperFrame(选择)TransmittingFlaginIdleCycles:0x7E(选择)Start/EndFlagsonTransmission:Filler(选择)InvertData:(取消选择)CLI1.
设置时钟源setinterfaceserial3/0clockingexternal2.
设置线路扩展setinterfaceserial3/0t1-optionsbuildout0-1323.
设置线路编码setinterfaceserial3/0t1-optionline-encodingb8zsunsetinterfaceserial3/0t1-optioninvert-data4.
设置字节编码setinterfaceserial3/0t1-optionbyte-encodingnx565.
设置帧选项setinterfaceserial3/0t1-optionsfcs16setinterfaceserial3/0t1-optionsframingesf6.
设置标志选项setinterfaceserial3/0t1-optionsidle-cycle-flagflagssetinterfaceserial3/0t1-optionsstart-end-flagfillersave概念与范例ScreenOS参考指南46WAN接口配置范例配置E1接口本例中将配置E1接口的WAN属性.
配置WAN接口属性后,请参阅第55页上的"封装配置范例"来配置WAN封装.
WebUINetwork>Interfaces>Edit(serial6/1)>WAN:选择以下内容,然后单击Apply:HoldTimeClockMode:External(选择)E1OptionsFrameChecksum:16-bits(选择)FramingMode:withCRC4(选择)TransmittingFlaginIdleCycles:0x7E(选择)Start/EndFlagsonTransmission:Filler(选择)InvertData:(取消选择)(可选)Timeslots:2-32CLI1.
设置时钟源setinterfaceserial6/1clockingexternal2.
设置帧选项setinterfaceserial6/1e1-optionsfcs16setinterfaceserial6/1e1-optionsframingg7043.
设置标志setinterfaceserial6/1e1-optionsidle-cycle-flagflagssetinterfaceserial6/1e1-optionsstart-end-flagfillerunsetinterfaceserial6/1e1-optionsinvert-data4.
(可选)设置时隙setinterfaceserial6/1e1-optionstimeslots2-32save配置T3接口本例中将配置T3接口的WAN属性.
配置WAN接口属性后,请参阅第55页上的"封装配置范例"来配置WAN封装.
WebUINetwork>Interfaces>Edit(serial4/0)>WAN:选择以下内容,然后单击Apply:HoldTimeClockMode:External(选择)T3OptionsFrameChecksum:16-bits(选择)TransmittingFlaginIdleCycles:0x7E(选择)Start/EndFlagsonTransmission:Filler(选择)WAN接口配置范例47第1章:广域网CLI1.
设置时钟源setinterfaceserial4/0clockingexternal2.
设置帧选项setinterfaceserial4/0t3-optionsfcs163.
设置标志setinterfaceserial4/0t3-optionsidle-cycle-flagflagssetinterfaceserial4/0t3-optionsstart-end-flagfillersave配置E3接口本例中将配置E3接口的WAN属性.
配置WAN接口属性后,请参阅第55页上的"封装配置范例"来配置WAN封装.
WebUINetwork>Interfaces>Edit(serial4/0)>WAN:选择以下内容,然后单击Apply:HoldTimeClockMode:External(选择)E3OptionsFrameChecksum:16-bits(选择)TransmittingFlaginIdleCycles:0x7E(选择)Start/EndFlagsonTransmission:Filler(选择)CLI1.
设置时钟源setinterfaceserial4/0clockingexternal2.
设置帧选项setinterfaceserial4/0e3-optionsfcs163.
设置标志setinterfaceserial4/0e3-optionsidle-cycle-flagflagssetinterfaceserial4/0e3-optionsstart-end-flagfillersave概念与范例ScreenOS参考指南48WAN接口配置范例针对ISDN连接配置设备下列步骤汇总了使用缺省选项针对ISDN配置设备时所需执行的基本设置操作:步骤1:选择ISDN交换机类型在ISDN选项中,至少必须选择设备所连接的ISDN交换机类型.
有关其它ISDN选项的详细信息,请参阅第23页上的"ISDN选项".
WebUINetwork>Interfaces>List>Edit(bri):选择WAN和适用的选项值,然后单击Apply:SwitchtypeafterReboot:etsiCLIsetinbri0/0isdnswitch-typeetsi使用getintbri2/0isdn命令显示ISDN栈配置.
步骤2:配置PPP配置文件使用静态或动态IP地址配置PPP配置文件.
WebUINetwork>PPP>PPPProfile>New:输入适用的选项值,然后单击OK:PPPProfile:isdn-pppAuthentication:CHAPPassive:选中LocalName:169Password:169CLIsetpppprofileisdn-pppsetpppprofileisdn-pppauthlocal-name169setpppprofileisdn-pppauthsecret169setpppprofileisdn-pppauthtypechapsetpppprofileisdn-ppppassive配置步骤请参阅1.
选择ISDN交换机类型.
第48页2.
配置PPP配置文件.
第48页3.
设置ISDN接口(BRI).
第49页4.
通过ISDNBRI路由信息流.
第53页WAN接口配置范例49第1章:广域网步骤3:设置ISDNBRI接口本节介绍为支持ISDN而配置ISDNBRI的三种方法:有关为支持ISDN而进行设备配置的其它范例,请参阅相应的章节.
仅拨号到单个目标在本例中,将ISDN接口(BRI)配置为拨号器,以将分公司(请参阅第5页上的图2)的端点连接到企业总部.
如果在两个站点之间间歇性地交换信息流时只需要拨号到单个目标,请设置此项配置.
一旦信息流不存在,连接即中断.
10.
1.
1.
1网络上的分公司A通过bri0/0接口可拨号到10.
2.
2.
2/16网络上的分公司B,也可以拨号到11.
0.
0.
0/16网络上的公司总部.
WebUINetwork>Interfaces>List>Edit(bri):选择Basic和适用的选项值,然后单击Apply:BRIMode:DialUsingBRIDialerEnableOptionsPrimaryNumber:16900WANEncapsulation:PPP单击Apply.
BindingaPPPProfile:isdn-pppCLIsetinbri0/0dialer-enablesetinbri0/0encappppsetinbri0/0pppprofileisdn-pppsetinbri0/0primary-number16900用拨号接口拨出在本例中,您将使用拨号接口拨出.
如果目标数超出可用的物理线路数,则可使用此方法拨号到多个目标.
此配置支持按需拨号路由选择(DDR)和按需分配带宽.
拨号池可以利用ISDNBRI,方式是通过拨号接口使用逻辑拨号对等方.
这样可以将实际的物理链路与所有潜在的目标分离.
当目标数超出可用的物理线路数时,可将物理接口配置为拨号池的一个成员.
物理接口也可以属于多个池,以允许使用单个线路向多个目标拨号.
配置ISDNBRI请参阅使用ISDNBRI作为拨号器第49页上的"仅拨号到单个目标"使用拨号接口拨出呼叫第49页上的"用拨号接口拨出"使用租用线路模式第53页上的"使用租用线路模式"概念与范例ScreenOS参考指南50WAN接口配置范例图10说明了拨号接口、拨号池与ISDNBRI之间的关系.
图10:用拨号接口拨出缺省情况下,ISDNBRI不属于任何拨号池.
另外,每个ISDNBRI都可以添加到多个拨号池中.
以下部分提供了有关使用WebUI和CLI配置dialer1和dialer10(如第50页上的图10所示)的详细步骤说明.
在配置结束时,分公司A中的两个站点(请参阅第5页上的图2)可以通过拨号接口dialer1连接到分公司B.
与此同时,分公司A的其它工作站可通过dialer10拨号到总部.
1.
配置dialer1和dialer10接口.
a.
创建并配置拨号接口.
b.
将PPP配置文件(isdn-ppp)绑定到拨号接口.
2.
配置拨号池pool-1和pool-10.
a.
创建两个拨号池.
b.
将拨号池绑定到相应的拨号接口.
将pool-1绑定到dialer1,pool-10绑定到dialer10.
3.
将ISDN接口(BRI)添加到拨号池.
将bri1/0和bri2/0添加到拨号池pool-1.
将bri1/0添加到拨号池pool-10.
要设置其它BRI选项,请参阅第25页上的"BRI模式".
bri1/0bri2/0pool-1安全设备bri1/0dialer1dialer10pool-10WAN接口配置范例51第1章:广域网WebUI1.
配置dialer1接口Network>Interface>List>New>DialerIF:输入以下内容,然后单击OK:InterfaceName:dialer1PrimaryNumber:16900WANEncapsulation:Multi-linkPPPZoneName:UntrustMTU:1500单击Apply.
BindingaPPPProfile:isdn-pppNetwork>Interfaces>List>Edit(dialer1)>DialerPool:输入适用的选项值,然后单击Apply:Dialerpool:pool-1单击Add.
Network>Interfaces>List>Edit(bri1/0):选择Basic和适用的选项值,然后单击Apply:BRIMode:LeasedLineMode(128kbps):取消选中DialUsingBRI:取消选中选择DialerPool和适用的选项值,然后单击Apply.
为pool-1设置优先级,并选中SelectasMember框.
Priority:1SelectasMember:选中Network>Interfaces>List>Edit(bri2/0):选择Basic和适用的选项值,然后单击Apply:BRIMode:LeasedLineMode(128kbps):取消选中DialUsingBRI:取消选中选择DialerPool和适用的选项值,然后单击Apply.
为pool-1设置优先级,并选中SelectasMember框.
Priority:1SelectasMember:选中概念与范例ScreenOS参考指南52WAN接口配置范例2.
配置dialer10接口Network>Interface>List>New>DialerIF:输入以下内容,然后单击OK:InterfaceName:dialer10PrimaryNumber:16900WANEncapsulation:Multi-linkPPPZoneName:UntrustMTU:1500单击Apply.
BindingaPPPProfile:isdn-pppNetwork>Interfaces>List>Edit(dialer10)>DialerPool:输入适用的选项值,然后单击Apply.
Dialerpool:pool-10单击Add.
Network>Interfaces>List>Edit(bri1/0):选择Basic和适用的选项值,然后单击Apply:BRIMode:LeasedLineMode(128kbps):取消选中DialUsingBRI:取消选中选择DialerPool和适用的选项值,然后单击Apply.
为pool-10设置优先级,并选中SelectasMember框.
Priority:1SelectasMember:选中CLI1.
配置dialer1接口setinterfacedialer1zoneUntrustsetinterfacedialer1primary-number16900setinterfacedialer1encapmlpppsetinterfacedialer1mtu1500setinterfacedialer1pppprofileisdn-pppsetdialerpoolnamepool-1setinterfacedialer1dialer-poolpool-1setdialerpoolpool-1member-interfacebri2/0priority12.
配置dialer10接口setinterfacedialer10zoneUntrustsetinterfacedialer10primary-number16900setinterfacedialer10encapmlpppsetinterfacedialer10mtu1500setinterfacedialer10pppprofileisdn-pppsetdialerpoolnamepool-1setinterfacedialer10dialer-poolpool-10setdialerpoolpool-10member-interfacebri1/0priority1WAN接口配置范例53第1章:广域网如第5页上的图2中所示,分公司A的两个站点可以通过拨号接口dialer1连接到分公司B.
与此同时,分公司A的其它工作站可通过dialer10拨号到总部.
使用租用线路模式在本例中,您将使用租用线路建立ISDN连接.
如果将BRI配置为支持租用线路模式,它即成为只能传送数据的第3层接口,因此不需要D通道.
仅支持一个总数据传输速率为128Kbps的通道(B+B).
设置通道时不需要Q931拨号.
有关Q931和Q921协议的更多信息,请参阅ScreenOSCLIReferenceGuide:IPv4CommandDescriptions.
使用此配置方法可通过经济、可靠而高速的连接来连接两个站点.
WebUINetwork>Interfaces>List>Edit(bri):选择Basic和适用的选项值,然后单击OK:BRIMode:LeasedLineWANEncapsulation:PPP单击Apply.
BindingaPPPProfile:isdn-pppCLIsetinbri0/0isdnleased-line128kbpssetinbri0/0encappppsetinbri0/0pppprofileisdn-ppp步骤4:将信息流路由到目标在分公司A的安全设备上配置以下内容,以通过ISDN(BRI)接口和拨号接口路由信息流.
WebUINetwork>Routing>Destination>New:选择适用的选项值,然后单击OK:IPAddress/Netmask:10.
2.
2.
2/16NextHop:GatewayInterface:bri1/0Network>Routing>Destination>New:选择适用的选项值,然后单击OK:IPAddress/Netmask:11.
0.
0.
0/16NextHop:GatewayInterface:bri1/0Network>Routing>Destination>New:选择适用的选项值,然后单击OK:IPAddress/Netmask:10.
2.
2.
2/16NextHop:GatewayInterface:bri2/0Network>Routing>Destination>New:选择适用的选项值,然后单击OK:IPAddress/Netmask:11.
0.
0.
0/16NextHop:GatewayInterface:bri2/0概念与范例ScreenOS参考指南54WAN接口配置范例CLIsetroute10.
2.
2.
2/16interfacebri1/0setroute10.
2.
2.
2/16interfacebri2/0setroute11.
0.
0.
0/16interfacebri1/0setroute11.
0.
0.
0/16interfacebri2/0WebUINetwork>Routing>Destination>New:选择适用的选项值,然后单击OK:IPAddress/Netmask:10.
2.
2.
2/16NextHop:GatewayInterface:dialer1Network>Routing>Destination>New:选择适用的选项值,然后单击OK:IPAddress/Netmask:11.
0.
0.
0/16NextHop:GatewayInterface:dialer1Network>Routing>Destination>New:选择适用的选项值,然后单击OK:IPAddress/Netmask:10.
2.
2.
2/16NextHop:GatewayInterface:dialer10Network>Routing>Destination>New:选择适用的选项值,然后单击OK:IPAddress/Netmask:11.
0.
0.
0/16NextHop:GatewayInterface:dialer10CLIsetroute10.
2.
2.
2/16interfacedialer1setroute11.
0.
0.
0/16interfacedialer1setroute10.
2.
2.
2/16interfacedialer10setroute11.
0.
0.
0/16interfacedialer10分公司A的两个站点可以通过拨号接口dialer1连接到分公司B.
与此同时,分公司A的其它工作站可通过dialer10拨号到总部.
封装配置范例55第1章:广域网封装配置范例本节提供以下WAN封装范例:第55页上的"配置PPP封装"第56页上的"配置MLPPP封装"第58页上的"配置帧中继封装"第58页上的"配置MLFR封装"第60页上的"配置CiscoHDLC封装"配置PPP封装本例显示基本的PPP封装配置.
WebUI1.
设置PPP访问配置文件Network>PPP>Edit>New:输入以下内容,然后单击Apply:PPPProfile:juniper1Authentication:CHAP(选择)StaticIP:(选择)LocalName:local-firewallPassword:abcd1234#B2.
设置用户信息Objects>User>Local>New:输入以下内容,然后单击Apply:UserName:routerWANUser:(选择)AuthenticationUser:(选择)UserPassword:abcd1234#CConfirmPassword:abcd1234#C3.
为WAN接口指派juniper1访问配置文件Network>Interfaces>List>Edit(serial2/0):选择以下内容,然后单击Apply:WANEncapsulation:PPP(选择)BindingaPPPProfile:juniper1(选择)ZoneName:untrust(选择)FixedIP:(选择)IPAddress/Netmask:192.
168.
100.
1/24Manageable:(选择)注意:在配置封装信息之前,应先配置WAN接口属性.
概念与范例ScreenOS参考指南56封装配置范例CLI1.
设置PPP访问配置文件setpppprofilejuniper1authtypechapsetpppprofilejuniper1authlocal-namelocal-firewallsetpppprofilejuniper1authsecretabcd1234#Bsetpppprofilejuniper1static-ip2.
设置用户信息setuserrouterpasswordabcd1234#Csetuserroutertypewan3.
为WAN接口指派juniper1访问配置文件setinterfaceserial2/0untrustzonesetinterfaceserial2/0encappppsetinterfaceserial2/0pppprofilejuniper1setinterfaceserial2/0ip192.
168.
100.
1/24setinterfaceserial2/0managesave配置MLPPP封装本例显示基本的MLPPP封装配置.
WebUI1.
设置PPP访问配置文件Network>PPP>Edit>New:输入以下内容,然后单击Apply:PPPProfile:juniper-mlpppAuthentication:CHAP(选择)StaticIP:(选择)LocalName:local-firewallPassword:abcd12342.
设置用户信息Objects>User>Local>New:输入以下内容,然后单击Apply:UserName:routerWANUser:(选择)AuthenticationUser:(选择)UserPassword:abcd1234ConfirmPassword:abcd1234封装配置范例57第1章:广域网3.
设置多链路接口Network>Interfaces>List>NewMultilinkIF:输入以下内容,然后单击Apply:InterfaceName:ML.
1WANEncapsulation:Multi-LinkPPP(选择)ZoneName:Untrust(选择)Edit(ml1interface):输入以下内容,然后单击Apply:BindingaPPPProfile:juniper-mlppp(选择)FixedIP:(选择)IPAddress/Netmask:192.
168.
100.
1/24Manageable:(取消选择)ServiceOptionsOtherServices:ping(选择)4.
设置多链路束中的WAN接口Network>Interfaces>List>Edit(serial1/0):选择Memberlink选项、ml1MultilinkInterface选项,然后单击Apply.
Network>Interfaces>List>Edit(serial2/0):选择Memberlink选项、ml1MultilinkInterface选项,然后单击Apply.
CLI1.
设置PPP访问配置文件setpppprofilejuniper-mlpppauthtypechapsetpppprofilejuniper-mlpppauthlocal-namelocal-firewallsetpppprofilejuniper-mlpppauthsecretabcd1234setpppprofilejuniper-mlpppstatic-ip2.
设置用户信息setuserrouterpasswordabcd1234setuserroutertypewan3.
设置多链路接口setinterfaceml1zoneuntrustsetinterfaceml1encapmlpppsetinterfaceml1pppprofilejuniper-mlppp4.
设置多链路束中的WAN接口setinterfaceserial1/0bundleml1setinterfaceserial2/0bundleml1setinterfaceml1ip192.
168.
100.
1/24setinterfaceml1managepingsave概念与范例ScreenOS参考指南58封装配置范例配置帧中继封装本例显示基本的帧中继封装配置.
WebUI1.
设置帧中继封装Network>Interfaces>List>Edit(serial2/0):对于WAN封装,选择FrameRelay,然后单击Apply:Edit(serial2/0)>FR:选择ITU类型,然后单击Apply.
2.
设置PVCNetwork>Interfaces>List>NewWANSub-IF:输入以下内容,然后单击Apply:InterfaceName:serial2/0(选择).
1ZoneName:Untrust(选择)FrameRelayDLCI:200FixedIP:(选择)IPAddress/Netmask:192.
168.
100.
1/24Manageable:(取消选择)ServiceOptionsOtherServices:ping(选择)CLI1.
设置帧中继封装setinterfaceserial2/0encapframe-relaysetinterfaceserial2/0frame-relaylmitypeitu2.
设置PVCsetinterfaceserial2/0.
1zoneuntrustsetinterfaceserial2/0.
1frame-relaydlci200setinterfaceserial2/0.
1ip192.
168.
100.
1/24setinterfaceserial2/0.
1managepingsave配置MLFR封装本例显示基本的多链路帧中继(MLFR)封装配置.
WebUI1.
创建多链路接口Network>Interfaces>List>NewMultilinkIF:输入以下内容,然后单击Apply:InterfaceName:ML1WANEncapsulation:Multi-LinkFR(选择)ZoneName:Untrust(选择)注意:所指定的DLCI值是本地提供商指派给您的PVC的DLCI.
封装配置范例59第1章:广域网Network>Interfaces>List>Edit(serial2/0):对于WAN封装,选择FrameRelay,然后单击Apply:Edit(serial2/0)>FR:选择ITU类型,然后单击Apply.
2.
设置链路束中的WAN接口Network>Interfaces>List>Edit(serial1/0):选择Memberlink选项、ml1MultilinkInterface选项,然后单击Apply.
Network>Interfaces>List>Edit(serial2/0):选择Memberlink选项、ml1MultilinkInterface选项,然后单击Apply.
3.
设置链路束PVCNetwork>Interfaces>List>NewWANSub-IF:输入以下内容,然后单击Apply:InterfaceName:ml(选择).
1ZoneName:Untrust(选择)FrameRelayDLCI:200FrameRelayInverseARP:(选择)FixedIP:(选择)IPAddress/Netmask:192.
168.
100.
1/24Manageable:(取消选择)ServiceOptionsOtherServices:ping(选择)CLI1.
创建多链路接口setinterfaceml1zoneuntrustsetinterfaceml1encapmlfr-uni-nnisetinterfaceml1frame-relaylmitypeitu2.
设置链路束中的WAN接口setinterfaceserial1/0bundleml1setinterfaceserial2/0bundleml13.
设置链路束PVCsetinterfaceml1.
1zoneuntrustsetinterfaceml1.
1frame-relaydlci200setinterfaceml1.
1frame-relayinverse-arpsetinterfaceml1.
1ip192.
168.
100.
1/24setinterfaceml1.
1managepingsave注意:所指定的DLCI值是本地提供商指派给您的PVC的DLCI.
概念与范例ScreenOS参考指南60封装配置范例配置CiscoHDLC封装本例显示基本的CiscoHDLC封装配置.
WebUI设备ANetwork>Interfaces>List>Edit(serial2/0):输入以下内容,然后单击Apply:WANEncapsulation:CiscoHDLC(选择)ZoneName:Trust(选择)FixedIP:(选择)IPAddress/Netmask:192.
168.
3.
1/24设备BNetwork>Interfaces>List>Edit(serial2/0):输入以下内容,然后单击Apply:WANEncapsulation:CiscoHDLC(选择)ZoneName:Trust(选择)FixedIP:(选择)IPAddress/Netmask:192.
168.
3.
2/24CLI设备A1.
将WAN接口绑定到安全区setinterfaceserial2/0zonetrust2.
设置封装类型setinterfaceserial2/0encapcisco-hdlc3.
设置接口IP地址setinterfaceserial2/0ip192.
168.
3.
1/24save设备B1.
将WAN接口绑定到安全区setinterfaceserial2/0zonetrust2.
设置封装类型setinterfaceserial2/0encapcisco-hdlc3.
设置接口IP地址setinterfaceserial2/0ip192.
168.
3.
2/24save61第2章数字用户线ScreenOS允许使用集成式"互联网协议安全虚拟专用网"(IPSecVPN)和防火墙服务为宽带远程通信者、分公司或零售渠道配置非对称数字用户线(ADSL)和对称高速数字用户线(G.
SHDSL)连接.
本节介绍可用的DSL接口并提供范例配置.
可用的数据传输速率取决于您从服务提供商处得到的DSL服务类型.
大多数服务提供商都提供多种速率级,高速传输比低速传输要昂贵一些.
本章包括以下部分:第62页上的"数字用户线概述"第68页上的"ADSL接口"第69页上的"G.
SHDSL接口"第72页上的"ADSL配置范例"注意:有关在安全设备上配置IPSecVPN和防火墙功能的信息,请参阅第5卷:虚拟专用网.
概念与范例ScreenOS参考指南62数字用户线概述数字用户线概述传统电话线通过铜双绞线使用模拟信号传送语音服务.
但模拟传输仅使用可用带宽的一小部分.
数字传输允许服务提供商针对同一介质使用更宽的带宽.
服务提供商可将模拟传输和数字传输分开,仅使用可用带宽的一小部分来传输语音.
这种分离允许在同一线路上同时使用电话和计算机.
在服务提供商总部,"DSL接入多路复用器"(DSLAM)将许多DSL线路连接到高速网络,如"异步传输模式"(ATM)网络.
配置DSL接口的信息必须与DSL连接的DSLAM配置相符,因此必须先从服务提供商处获得以下信息,然后再配置接口:"虚拟路径标识符"和"虚拟通道标识符"(VPI/VCI),用来标识DSLAM上的VC.
ATM封装方法.
ScreenOS支持DSL接口的下列ATM封装:基于虚拟电路(VC)的多路传输,分别通过单独的ATMVC来传输每个协议.
"逻辑链路控制"(LLC),它允许在同一ATMVC上传输多个协议.
此为缺省封装方法.
"点对点协议"(PPP)是一种标准协议,用于通过串行点对点链路(如ATM永久虚拟电路,PVC)传送IP数据包.
ScreenOS支持以下传送PPP数据包的方法:"以太网点对点协议"(PPPoE).
RFC2516介绍通过以太网的PPP数据包的封装.
有关PPPoE的详细信息,请参阅第2-197页上的"系统参数".
"ATM点对点协议"(PPPoA).
RFC1483介绍通过ATM的网络信息流的封装.
有关PPPoA的详细信息,请参阅第64页上的"ATM点对点协议".
服务提供商可能会为网络提供一个静态IP地址或IP地址范围.
服务提供商还应提供"域名系统"(DNS)服务器的地址,以用于DNS名称和地址解析.
注意:向您的服务提供商查询DSL连接上使用的多路传输类型.
注意:如果服务提供商的网络使用PPPoE或PPPoA,则服务提供商需要提供连接的用户名和密码、使用的认证方法及任何其它特定于协议的参数.
数字用户线概述63第2章:数字用户线异步传输模式DSL接口将ATM用作其"传输层".
有两种类型的ATM虚拟电路(VC):交换式虚拟电路(SVC)属于临时逻辑网络连接,针对单个数据传输会话而创建和维持;而永久虚拟电路(PVC)则是到网络的连续可用逻辑连接.
DSL接口支持单个物理线路上的多个PVC.
要在物理线路上设置PVC:WebUINetwork>Interfaces>Edit(adsl或shdsl接口):输入以下内容,然后单击OK:ZoneName:Untrust(已选择)VPI/VCI:8/35MultiplexingMethod:LLC(选定)RFC1483ProtocolMode:Bridged(已选择)CLIsetinterfaceinterfacepvc835muxllcprotocolbridgezoneuntrustsaveATM服务质量ATM服务质量(QoS)可对用户传送的ATM信息流进行整形,从而限制传输速率.
ATMQoS具有许多优点:确保来自一个VC的信息流不会占用接口的整个带宽,致使对其它VC造成不利影响并导致数据丢失.
当策略规定给定VC的平均速率不得超过某一速率时,对带宽访问进行控制.
将本地接口的传输速率与远程目标接口的速度相匹配.
例如,试想链路一端的传输速率是256Kbps,而另一端为128Kbps.
如果没有相同的端对端管道,中间交换机可能必须在速度较低的一端丢弃一些数据包,这会中断使用链路的应用程序.
在ADSL小型PIM上,JuniperNetworks支持三种ATMQoS服务:恒定比特率(CBR):传送固定速率的未压缩视频时常用的服务.
未指定比特率(UBR):传送允许延迟的数据时所常用的服务.
非实时可变比特率(VBR-NRT):传送压缩的封包语音和视频数据(如视频会议)时常用的服务.
要设置ATMQoS:WebUINetwork>Interfaces>Edit(adsl接口):输入以下内容,然后单击OK:ZoneName:Untrust(已选择)VPI/VCI:8/35QoS:UBR(已选择)RFC1483ProtocolMethod:Bridged(已选择)概念与范例ScreenOS参考指南64数字用户线概述CLIsetinterfaceadsl1/0qosubrsaveATM点对点协议"ATM点对点协议"(PPPoA)通常用于PPP会话,这些会话将在带有DSL接口的安全设备上终止.
PPPoA主要用于商业级服务,因为它不需要桌面客户端.
以下是PPPoA客户端实例的配置参数:用于PPPoA连接的用户名和密码.
PPPoA实例所绑定的接口(DSL接口或子接口)以及该接口的掩码(缺省值为255.
255.
255.
255).
认证方法:"质询握手认证协议"(CHAP)、"密码认证协议"(PAP)或任一认证协议(任一认证协议是缺省值).
自动连接:在自动重新启动先前关闭的连接之前所经历的秒数.
缺省值(0)将禁用此功能.
断开连接时清除:指定在连接关闭时清除IP信息.
在缺省情况下禁用此功能.
空闲时间间隔:指定在安全设备终止连接前,连接处于空闲状态的分钟数.
缺省值为30分钟.
用于发送LCP-Echo请求的PPP"链路控制协议"(LCP)参数.
建立PPPoA连接时,PPPoA服务器会自动为Untrust区段接口和DNS服务器提供IP地址.
当设备从PPPoA收到DNS服务器地址后,它会用这些DNS服务器地址更新设备上的DHCP服务器.
如果不希望更新DHCP服务器上的DNS服务器地址,可以禁用对通过PPPoA连接所收到的DNS参数的自动更新.
要显示PPPoA实例的状态,请使用WebUI(Network>PPPoA)或使用getpppoaallCLI命令.
getpppoaall命令还显示物理接口的状态.
安全设备上PPP会话的缺省超时值为1800秒(30分钟).
该值由重试LCP-Echo请求的缺省次数(10)乘以各请求之间的时间间隔(180秒)计算得出.
您可以对重试LCP-Echo请求的次数及请求之间的时间间隔进行配置.
要将重试LCP-Echo请求的次数设置为12,将请求之间的时间间隔设置为190:WebUINetwork>PPP>PPPoAProfile>Edit(对于PPPoA实例):输入以下内容,然后单击OK:PPPLcpEchoRetries:12PPPLcpEchoTimeout:190CLIsetpppoanamepoa1ppplcp-echo-retries12setpppoanamepoa1ppplcp-echo-timeout190save数字用户线概述65第2章:数字用户线多链路点对点协议ScreenOS允许通过ADSL配置"多链路点对点协议"(MLPPP),它用于将两个或多个通道捆绑成一个高速连接.
此捆绑可使上游和下游带宽加倍.
当两个接口绑定到一个多链路(ML)接口且接口启用时,"链路控制协议"(LCP)将启动.
在LCP协商成功完成之前,ML接口不会将其状态更改为正常.
如果ML接口不使用静态IP地址,则它会在LCP协商结束后取得一个动态IP地址.
下列限制适用于与ADSL接口协同工作的MLPPP:两个PIM必须连接到同一个BRAS只能为MLPPP捆绑两个接口接口必须与ML接口位于同一个安全区段内DSL接口的离散多音离散多音(DMT)是一种在模拟信号中编码数字数据的方法.
在缺省情况下,ADSL接口会自动与服务提供商的DSLAM协商DMT的操作模式.
ADSL接口上的模式是可以更改的,从而使该接口仅使用以下DMT标准之一:"美国国家标准学会"(ANSI)TI.
413Issue2,支持高达8Mbps的下游数据速率和1Mbps的上游数据速率.
"国际电信同盟"(ITU)G.
992.
1(也称作G.
dmt),支持6.
144Mbps的下游数据速率和640kbps的上游数据速率.
ITU992.
2(也称作G.
lite),支持高达1.
536Mbps的下游数据速率和512kbps的上游数据速率.
此标准也被称为无分配器DSL,因为用户无需在ADSL线路上安装信号分离器.
服务提供商的设备将远程分离信号.
ITU992.
3(也称作ADSL2),支持高达1.
2Mbps的上游数据速率和12Mbps的下游数据速率.
ITU992.
5(也称作ADSL2+),支持高达1.
2Mbps的上游数据速率和24Mbps的下游数据速率.
要将ADSLDMT操作模式设置为ADSL2+:WebUINetwork>Interfaces>Edit(adsl接口):输入以下内容,然后单击OK:OperatingMode:ADSL2+(已选择)CLIsetinterfaceadsl1/0phyoperating-modeadsl2plussaveG.
SHDSL接口的DMT定义为ITUG.
991.
2、单对高速数字用户线(SHDSL)无线电收发器.
注意:有关操作模式兼容性,请联系ISP.
建议使用自动模式来确定您的连接支持哪种操作模式.
概念与范例ScreenOS参考指南66数字用户线概述Annex模式Annex模式为将DSL网络连接到普通老式电话业务(POTS)定义了"系统参考模型".
ScreenOS支持以下Annex模式:AnnexA:在北美网络实施中使用AnnexB:在欧洲网络实施中使用要配置ADSL接口以使用annexB模式:WebUINetwork>Interfaces>Edit(adsl1/0接口):输入以下内容,然后单击OK:OperatingMode:NON-UR2(已选择)CLIsetinterfaceadsl1/0phyoperating-modenon-ur2save要配置G.
SHDSL接口以使用annexA模式:WebUINetwork>Interfaces>Edit(shdsl1/0接口):输入以下内容,然后单击OK:OperatingModeAnnex:Annex-A(已选择)CLIsetinterfaceshdsl1/0operating-modeannex-asave虚拟电路要添加虚拟电路,创建ADSL或G.
SHDSL接口的子接口.
最多可创建10个子接口.
例如,要创建绑定到名为Untrust预定义区段的新接口adsl1/0.
1:WebUINetwork>Interfaces>List>NewADSLSub-IF:输入以下内容,然后单击Apply:InterfaceName:adsl1/.
1VPI/VCI:0/35ZoneName:Untrust(选择)CLIsetinterfaceadsl1/0.
1pvc035zoneUntrustsave需要按配置主接口的方法配置子接口,包括设置VPI/VCI值,如第67页上的"VPI/VCI和多路传输方法"中所述.
独立于主接口配置子接口;即,可以在子接口(不是主接口)上配置不同的多路传输方法、VPI/VCI和PPP客户端.
即使主接口没有静态IP地址,也可以在子接口上配置静态IP地址.
数字用户线概述67第2章:数字用户线VPI/VCI和多路传输方法服务提供商为每个虚拟电路连接分配VPI/VCI对.
例如,您可能收到VPI/VCI对1/32,这表示VPI值为1,VCI值为32.
这些值必须与服务提供商在"数字用户线接入多路复用器"(DSLAM)的用户端上配置的值匹配.
要在adsl1/0接口上配置VPI/VCI对1/32:WebUINetwork>Interfaces>List>Edit(对于adsl1/0接口):在VPI/VCI字段中输入1/32,然后单击Apply.
CLIsetinterfaceadsl1/0pvc132save缺省情况下,设备将基于"逻辑链路控制"(LLC)的多路传输用于每个虚拟电路.
要在adslx/0接口上配置VPI/VCI1/32并在虚拟电路上使用LLC封装:WebUINetwork>Interfaces>List>Edit(对于adsl1/0接口):输入以下内容,然后单击Apply:VPI/VCI:1/32MultiplexingMethod:LLC(选定)CLIsetinterfaceadsl1/0pvc132muxllcsavePPPoE或PPPoAPPPoE是ADSL和G.
SHDSL封装的最常见形式,并可用于在网络中的每个主机上进行终止.
PPPoA主要用于商业级服务,因为可以在设备上终止PPP会话.
要允许设备连接到服务提供商的网络,需要配置由服务提供商分配的用户名和密码.
PPPoA的配置与PPPoE的配置类似.
要为PPPoE配置用户名roswell和密码area51并将PPPoE配置绑定到adsl1/0接口:WebUINetwork>PPP>PPPoEProfile>New:输入以下内容,然后单击OK:PPPoEInstance:poe1BoundtoInterface:adsl1/0(选择)Username:roswellPassword:area51CLIsetpppoenamepoe1usernameroswellpasswordarea51setpppoenamepoe1interfaceadsl1/0save注意:设备在每个虚拟电路上只支持一个PPPoE会话.
概念与范例ScreenOS参考指南68ADSL接口在设备上可以配置其它PPPoE或PPPoA参数,其中包括验证方法(缺省情况下,设备支持"质询握手认证协议"或"密码认证协议")、空闲超时(缺省值为30分钟)等.
请向服务提供商咨询,是否需要配置其它PPPoE或PPPoA参数才能与服务提供商服务器正确通信.
静态IP地址和网络掩码如果您的服务给出了网络的特定、固定的IP地址和网络掩码,则配置网络的IP地址和网络掩码以及连接到设备的路由器端口的IP地址.
还需要指定设备将使用静态IP地址.
(通常,设备充当PPPoE或PPPoA客户端,并且通过与PPPoE或PPPoA服务器协商接收ADSL接口的IP地址.
)需要配置PPPoE或PPPoA实例,并将其绑定到adsl1/0接口,如第67页上的"PPPoE或PPPoA"中所述.
确保您选择了ObtainIPusingPPPoE或ObtainIPusingPPPoA以及PPPoE或PPPoA实例的名称.
要为网络配置静态IP地址1.
1.
1.
1/24:WebUINetwork>Interfaces>List>Edit(对于adsl1/0接口):输入以下内容,然后单击Apply:IPAddress/Netmask:1.
1.
1.
1/24StaticIP:(选择)CLIsetinterfaceadsl1/0ip1.
1.
1.
1/24setpppoenamepoe1static-ipsave或setinterfaceadsl1/0ip1.
1.
1.
1/24setpppoanamepoa1static-ipsaveADSL接口非对称数字用户线(ADSL)是一项数字用户线(DSL)技术,它允许现有电话线同时传送语音电话服务和高速数字传输.
将有越来越多的服务提供商为家庭和商业客户提供ADSL服务.
这种传输是非对称的,因为发送数据的速率(上游速率)要大大低于接收数据的速率(下游速率).
这非常适用于互联网访问,因为发送到互联网的大多数消息都很小,无需太大的上游带宽,而从互联网接收的大多数数据(如图片、视频或音频内容)则需要更大的下游带宽.
一些安全设备随附的ADSL电缆用于将设备上的ADSL端口连接到电话接口,而无需ADSL调制解调器.
如果从服务提供商处得到信号分离器和微型过滤器,也可以将它们安装上.
G.
SHDSL接口69第2章:数字用户线您的网络使用设备上的ADSL2/2+接口adslx/0,其中x代表PIM插槽,以便通过"异步传输模式"(ATM)虚拟电路将设备连接到服务提供商的网络.
通过创建ADSL2/2+子接口可以配置其它虚拟电路.
有关详细信息,请参阅第66页上的"虚拟电路".
在WebUI中,导航到Network>Interfaces>List页面以查看设备上的当前接口的列表.
如果使用的是Telnet或Console会话,请输入getinterfaceCLI命令.
您应查看adslx/0接口是否绑定到Untrust区段.
如果使用ADSL2/2+接口连接到提供商的服务网络,则必须配置adsl(x/0)接口.
为此,必须从服务提供商处获取下列信息:"虚拟路径标识符"和"虚拟通道标识符"(VPI/VCI)值ATM适配层5(AAL5)多路传输方法,可以是下列某种情况:基于虚拟电路的多路传输,分别通过单独的ATM虚拟电路来传输每个协议.
"逻辑链路控制"(LLC)封装,它允许在同一ATM虚拟电路(缺省多路传输方法)上传输多个协议.
由服务提供商分配的用户名和密码,用来通过以太网点对点协议(PPPoE)或ATM点对点协议(PPPoA)连接到服务提供商的网络为PPPoE或PPPoA连接提供的验证方法(如果有)或者,网络的静态IP地址和网络掩码值G.
SHDSL接口对称高速数字用户线(G.
SHDSL)接口支持多速率、高速、对称数字用户线技术,以便在单个客户端设备(CPE)用户和总部(CO)之间传输数据.
SHDSL与ADSL不同,ADSL向下游传送的带宽比上游多,而SHDSL是对称的,并且在两个方向上都传送2.
3Mbp的带宽.
G.
SHDSL接口只支持SHDSL上的ATM模式.
G.
SHDSL接口可以使用ATM接口通过点对点连接将网络信息流发送到DSLAM.
可以配置"以太网点对点协议"(PPPoE)或"ATM点对点协议"(PPPoE)以通过DSL连接进行连接.
ScreenOS允许指定可用的线速(单位:千字节/秒).
在G.
SHDSL接口上可以配置两种PIC模式.
在每个接口上只能配置一种模式:2个端口两芯线模式-支持线速或固定线速的自动检测,并提供从192Kbps到2.
3Mbps的速率(增量为64-Kbps).
两芯线模式提供两个单独的、速度较慢的SHDSL接口.
1个端口四芯线模式-只支持固定线速,并且提供384Kbps到4.
6Mbps的网络速率(增量为128-Kbps),使带宽加倍.
四芯线模式提供单个的、速度更快的SHDSL接口.
概念与范例ScreenOS参考指南70G.
SHDSL接口要配置G.
SHDSL线速:WebUINetwork>Interfaces>Edit(shdsl):选择以下内容,然后单击OK:OperatingModeLineRate:auto(已选择)CLIsetinterfaceshdsl1/0phyoperating-modeline-rateautosave回传模式回传测试是传输信号并且在信号通过所有或部分网络或电路后返回到发送设备的诊断过程.
返回的信号会与传输的信号进行比较,以便评估设备或传输路径的完整性.
ScreenOS允许为G.
SHDSL接口指定回传测试的类型.
要配置G.
SHDSL接口回传模式:WebUINetwork>Interfaces>Edit(shdsl):选择以下内容,然后单击OK:OperatingModeLoopback:local(已选择)CLIsetinterfaceshdsl1/0phyoperatingmodeloopbacklocalsave操作、管理和维护ScreenOS允许在ATM虚拟电路上设置操作、管理和维护(OAM)F5回传单元临界值,也称为活跃度.
OAM回传用于确认特定PVC的连通性.
也可以设置OAM期间,它是在ATM虚拟电路上传输OAM单元的间隔(单位为秒).
要设置OAM活跃度:WebUINetwork>Interfaces>Edit(shdsl):选择以下内容,然后单击OK:OperatingModeOam-Liveness:Down5Up5CLIsetinterfaceshdsl1/0phyoperating-modeoam-liveness5saveG.
SHDSL接口71第2章:数字用户线要设置OAM期间:WebUINetwork>Interfaces>Edit(shdsl):选择以下内容,然后单击OK:OperatingModeOam-Period:Period5CLIsetinterfaceshdsl1/0phyoperating-modeoam-period5save信噪比信噪比(SNR)测量传输通道或网络通道上的音频信号的质量.
设置SNR会创建更稳定的G.
SHDSL连接,方法是使SNR容限的线路行高于临界值.
如果小于临界值的外部噪音应用到线路,则线路会保持稳定.
也可以禁用SNR容限临界值.
SNR为零表示无法从无用的噪音中区分出信号.
ScreenOS允许配置下列临界值之一或两者:current:高于当前噪音容限的线路行加上SNR临界值.
取值范围为0至10db,缺省值为0.
snext:高于自身近端串音(SNEXT)临界值的线路行.
缺省值为disabled.
要配置SNR临界值:WebUINetwork>Interfaces>Edit(shdsl):选择以下内容,然后单击OK:OperatingModeSnr-margin:Current0Snext11CLIsetinterfaceshdsl1/0phyoperating-modesnr-margincurrent0setinterfaceshdsl1/0phyoperating-modesnr-marginsnext11save概念与范例ScreenOS参考指南72ADSL配置范例ADSL配置范例本节包含以下配置范例:第73页上的"范例1:(小型企业/家庭)ADSL接口上的PPPoA".
通过使用PPPoA(或PPPoE)的ADSL接口,将安全设备配置为互联网连接的防火墙.
第75页上的"范例2:(小型企业/家庭)ADSL接口上的1483桥接".
通过使用"1483桥接"的ADSL接口,将安全设备配置为互联网连接的防火墙.
第77页上的"范例3:(小型企业)ADSL接口上的1483桥接".
通过使用RFC1483路由的ADSL接口,将安全设备配置为互联网连接的防火墙.
第79页上的"范例4:(小型企业/家庭)拨号备份".
将安全设备配置为主互联网连接的防火墙(通过使用PPPoE的ADSL接口)和备份连接的防火墙(通过拨号).
第82页上的"范例5:(小型企业/家庭)以太网备份".
将安全设备配置为主互联网连接的防火墙(通过使用PPPoE的ADSL接口)和备份连接的防火墙(通过以太网).
第85页上的"范例6:(小型企业/家庭)ADSL备份".
将安全设备配置为主互联网连接的防火墙(通过使用PPPoE的ADSL接口)和备份连接的防火墙(通过另一ADSL接口).
第88页上的"范例7:(小型企业)MLPPPADSL".
通过多链路PPPADSL连接,将安全设备配置为互联网连接的防火墙.
第90页上的"范例8:(小型企业)允许访问本地服务器".
通过ADSL接口,将安全设备配置为互联网连接的防火墙.
允许通过互联网访问本地Web服务器,而不允许从互联网直接访问其它内部主机.
第92页上的"范例9:(分公司)通过ADSL的VPN通道".
通过ADSL接口,将安全设备配置为到企业总部的VPN通道的防火墙.
允许通过互联网访问本地Web服务器,而不允许从互联网直接访问其它内部主机.
第96页上的"范例10:(分公司)辅助VPN通道".
通过ADSL接口,将安全设备配置为互联网和到企业总部这两种连接的防火墙.
将经由互联网到企业总部的VPN通道配置为辅助连接.
ADSL配置范例73第2章:数字用户线范例1:(小型企业/家庭)ADSL接口上的PPPoA本例(如图11中所示)介绍如何通过使用PPPoA的ADSL接口,将安全设备配置为互联网连接的防火墙.
有些安全设备既充当PPPoA客户端又充当DHCP服务器.
ADSL接口的PPPoA配置包括下列内容:1.
将ehternet0/1接口分配给Trust区段并将其设置为DHCP服务器.
当安全设备为Trust区段中的主机分配IP地址时,它还会为这些主机提供从服务提供商处获得的DNS服务器地址.
2.
通过使用LLC封装的VPI/VCI对值0/35和绑定到ADSL接口的一个名为"poa1"的PPPoA实例,在ADSL接口上配置一个PVC.
在安全设备接收ADSL接口的IP地址时,它还会接收DNS服务器的一个或多个IP地址.
3.
激活安全设备上的PPPoA.
安全设备将通过PPPoA从服务提供商那里接收为其ADSL接口(adsl1/0)动态分配的IP地址,然后还要为其Trust区段内的主机动态分配IP地址.
4.
激活内部网络上的DHCP.
图11:使用PPPoA的ADSL接口Untrust区段DNS服务器互联网DSLAMADSL1/0Trust区段DHCP范围:192.
168.
1.
3-192.
168.
1.
33ethernet0/1:192.
168.
1.
1/24概念与范例ScreenOS参考指南74ADSL配置范例WebUI1.
以太网接口和DHCP服务器Network>Interfaces>ethernet0/1>Edit:输入以下内容,然后单击OK:Zone:TrustStaticIP:(选择)IPAddress/Netmask:192.
168.
1.
1/24Network>DHCP>Edit(对于ethernet2/1)>DHCPServer:选择Apply.
>Addresses>New:输入以下内容,然后单击OK:Dynamic:(选择)IPAddressStart:192.
168.
1.
3IPAddressEnd:192.
168.
1.
332.
ADSL接口和PPPoANetwork>Interfaces>Edit(对于adsl1/0):输入以下内容,然后单击OK:VPI/VCI:0/35Encapsulation:LLC(选择)ZoneName:UntrustNetwork>PPP>PPPoAProfile>New:输入以下内容,然后单击OK:PPPoAInstance:poa1BoundtoInterface:adsl1/0(已选择)Username:alexPassword:tSOCbme4NW5iYPshGxCy67Ww48ngtHC0Bw==AutomaticUpdateofDHCPServer'sDNSParameters:(选择)3.
激活安全设备上的PPPoA关闭安全设备和Trust区段中工作站的电源.
开启安全设备.
安全设备将与DSLAM建立PPPoA连接,并获得ADSL接口的IP地址和DNS服务器的IP地址.
4.
激活内部网络上的DHCP开启工作站.
工作站将自动接收DNS服务器的IP地址,并在尝试建立TCP/IP连接时获得本身的IP地址.
CLI1.
Trust接口和DHCP服务器setinterfaceethernet0/1zonetrustsetinterfaceethernet0/1ip192.
168.
1.
1/24setinterfaceethernet0/1dhcpserverservicesetinterfaceethernet0/1dhcpserverip192.
168.
1.
3192.
168.
1.
33ADSL配置范例75第2章:数字用户线2.
ADSL接口和PPPoAsetinterfaceadsl2/1pvc035muxllczoneuntrustsetpppoanamepoa1usernamealexpasswordtSOCbme4NW5iYPshGxCy67Ww48ngtHC0Bw==setpppoanamepoa1interfaceadsl1/0setpppoanamepoa1update-dhcpserversave3.
激活安全设备上的PPPoA关闭安全设备和Trust区段中工作站的电源.
开启安全设备.
安全设备将与DSLAM建立PPPoA连接,并获得ADSL接口的IP地址和DNS服务器的IP地址.
4.
激活内部网络上的DHCP开启工作站.
工作站将自动接收DNS服务器的IP地址,并在尝试建立TCP/IP连接时获得本身的IP地址.
范例2:(小型企业/家庭)ADSL接口上的1483桥接RFC1483介绍通过AAL5链路传送桥接协议数据单元(PDU)的方法.
桥接PDU无需IPSec处理的开销,因而为数据信息流提供了更多的可用带宽.
此类信息流在"IP数据包l层"中并不安全且只能在具有专用VC的地方使用(服务提供商为您的ADSL接口分配了一个静态IP地址).
本例(如图12中所示)介绍如何通过使用1483桥接的ADSL接口,将安全设备配置为互联网连接的防火墙.
服务提供商为您的网络分配了静态IP地址1.
1.
1.
1/32,还为DNS服务器分配了一个IP地址.
要在ADSL接口上配置1483桥接,请执行以下操作:1.
配置trust接口,并将其设置为DHCP服务器.
2.
利用VPI/VCI对0/35和服务提供商分配的静态IP地址1.
1.
1.
1/32,在ADSL接口上配置一个PVC.
3.
激活内部网络上的DHCP.
安全设备还为其Trust区段中的主机动态分配IP地址.
安全设备为Trust区段中的主机分配IP地址时,它还会提供来自服务提供商的DNS服务器地址.
概念与范例ScreenOS参考指南76ADSL配置范例图12:使用RFC1483桥接的ADSL接口WebUI1.
以太网接口和DHCP服务器Network>Interfaces>Edit(对于ethernet0/1):输入以下内容,然后单击OK:Zone:TrustStaticIP:(选择)IPAddress/Netmask:192.
168.
1.
1/24InterfaceMode:NATNetwork>DHCP>Edit(对于trust接口)>DHCPServer:输入以下内容,然后单击Apply.
Gateway:1.
1.
1.
1Netmask:255.
255.
255.
0DNS#1:1.
1.
1.
221>Addresses>New:输入以下内容,然后单击OK:Dynamic:(选择)IPAddressStart:192.
168.
1.
3IPAddressEnd:192.
168.
1.
332.
ADSL接口Network>Interfaces>Edit(对于adsl1/0接口):输入以下内容,然后单击Apply:VPI/VCI:0/35ZoneName:UntrustStaticIP:(选择)IPAddress/Netmask:1.
1.
1.
1/32DNS服务器互联网DSLAMEthernet0/1:192.
168.
1.
1/24Untrust接口(adsl1/0):PPPoATrust区段DHCP范围:192.
168.
1.
3-192.
168.
1.
33Untrust区段ADSL配置范例77第2章:数字用户线3.
激活内部网络上的DHCP关闭工作站.
工作站将自动接收DNS服务器的IP地址,并在尝试建立TCP/IP连接时获得本身的IP地址.
CLI1.
Trust接口和DHCP服务器setinterfaceethernet0/1zonetrustsetinterfaceethernet0/1ip192.
168.
1.
1/24setinterfaceethernet0/1dhcpserverservicesetinterfaceethernet0/1dhcpserverip192.
168.
1.
3192.
168.
1.
332.
ADSL接口setinterfaceadsl1/0pvc035muxllczoneuntrustsetinterfaceadsl1/0ip1.
1.
1.
1/32save3.
激活内部网络上的DHCP关闭工作站.
工作站将自动接收DNS服务器的IP地址,并在尝试建立TCP/IP连接时获得本身的IP地址.
范例3:(小型企业)ADSL接口上的1483桥接RFC1483介绍通过AAL5链路传送路由协议数据单元(PDU)的方法.
使用此配置能够使设备通过ADSL接口与其它路由器交换路由信息.
本例(如图13中所示)介绍如何通过使用1483路由和LLC封装的ADSL接口,将安全设备配置为互联网连接的防火墙.
要在ADSL接口上配置1483路由,请执行以下操作:1.
配置ADSL接口.
利用VPI/VCI对0/35和静态IP地址1.
1.
1.
1/24在ADSL接口上设置一个PVC.
还可将ADSL接口配置为DHCP客户端,从运行于邻接路由器上的DHCP服务器接收其IP地址.
2.
配置以太网接口.
将IP地址设置为192.
168.
1.
1/24并将接口模式设置为route.
3.
在trust-vr虚拟路由器中及ADSL和trust接口上启用动态路由协议(可以是RIP、OSPF或BGP);在本例中,动态路由协议为RIP.
还要将邻接路由器上的接口配置为LLC封装和1483路由.
概念与范例ScreenOS参考指南78ADSL配置范例图13:ADSL接口上的1483路由WebUI1.
ADSL接口Network>Interfaces>Edit(对于adsl1/0接口):输入以下内容,然后单击OK:VPI/VCI:0/35MultiplexingMethod:LLC(选择)RFC1483ProtocolMode:Routed(选择)Zone:UntrustStaticIP:(选择)IPAddress/Netmask:1.
1.
1.
1/242.
以太网接口Network>Interfaces>Edit(对于Ethernet0.
1):输入以下内容,然后单击OK:Zone:TrustStaticIP:(选择)IPAddress/Netmask:192.
168.
1.
1/24InterfaceMode:Route互联网DSLAM邻接路由器Untrust区段Ethernet0/1接口192.
168.
1.
1/24Trust区段Untrust接口(adsl1/0)1.
1.
1.
1/24ADSL配置范例79第2章:数字用户线3.
动态路由协议Network>Routing>VirtualRouter(trust-vr)>Edit:选择CreateRIPInstance.
选择EnableRIP,然后单击OK.
Network>Interface>Edit(对于adsl1接口)>RIP:选择ProtocolRIPEnable,然后单击Apply.
Network>Interface>Edit(对于trust接口)>RIP:选择ProtocolRIPEnable,然后单击Apply.
CLI1.
ADSL接口setintadsl1/0pvc035muxllcprotocolroutedzoneuntrustsetintadsl1/0ip1.
1.
1.
1/242.
Trust接口setinterfaceethernet0/1zonetrustsetinterfaceethernet0/1ip192.
168.
1.
1/24setinterfaceethernet0/1route3.
动态路由协议setvrtrust-vrprotocolripsetvrtrust-vrprotocolripenablesetinterfaceadsl1/0protocolripsetinterfaceadsl1/0protocolripenablesetinterfaceethernet0/1protocolripsetinterfaceethernet0/1protocolripenablesave范例4:(小型企业/家庭)拨号备份本例(如图14中所示)介绍如何将安全设备配置为主互联网连接的防火墙(通过使用PPPoE的ADSL接口)和备份互联网连接的防火墙(通过拨号连接).
要配置主连接(通过ADSL接口)和备份连接(通过拨号),请执行以下操作:1.
配置ADSL接口和PPPoE.
通过使用LLC封装的VPI/VCI对值0/35和绑定到ADSL接口的一个名为"poe1"的PPPoE实例,在ADSL接口上配置一个PVC.
2.
使用调制解调器端口上的串行接口,配置互联网的备份连接.
当ADSL和串行接口均被绑定到Untrust区段时,将自动配置接口故障切换.
这意味着如果ADSL接口变为不可用,安全设备会自动将外向信息流发送到串行接口,方法是通过"集成服务数字网络"(ISDN)终端适配器或调制解调器对您的ISP帐户进行拨号.
而当ADSL接口再次可用时,安全设备会自动将外向信息流发送到adsl1接口.
有关接口故障切换的信息,请参阅第11-87页上的"故障切换".
有关ISDN配置的信息,请参阅第103页上的"ISP故障切换和拨号恢复".
3.
配置Global区段.
将Global区段的静态IP设置为192.
168.
1.
1/24,将接口模式设置为NAT.
注意:一些设备不支持备份功能.
概念与范例ScreenOS参考指南80ADSL配置范例4.
配置Self区段.
将Self区段的静态IP设置为192.
168.
2.
1/24,将接口模式设置为NAT.
5.
激活Self和Global区段上的DHCP.
图14:带有拨号备份的ADSL(需要新图形)要配置串行接口,需要以下信息:到拨号服务提供商的帐户的登录名和密码拨入帐户的主电话连接调制解调器初始化字符串WebUI1.
ADSL接口和PPPoENetwork>Interfaces>Edit(对于adsl1/0接口):输入以下内容,然后单击OK:VPI/VCI:0/35Encapsulation:LLC(选定)ZoneName:UntrustNetwork>PPP>PPPoEProfile>New:输入以下内容,然后单击OK:PPPoEInstance:poe1BoundtoInterface:adsl1/0(选择)Username:alexPassword:tSOCbme4NW5iYPshGxCy67Ww48ngtHC0Bw==AutomaticUpdateofDHCPServer'sDNSParameters:(选择)串行:ISPDSLAMDHCP范围:192.
168.
1.
3-192.
168.
1.
33互联网ISDNethernet0/1:192.
168.
1.
1/24DHCP范围:192.
168.
2.
2-192.
168.
2.
4adsl1/0:PPPoE模式ethernet0/2:192.
168.
2.
1/24Untrust区段ISDN终端适配器Global区段Self区段ADSL配置范例81第2章:数字用户线2.
备份拨号接口Network>Interfaces>Backup:输入以下内容,然后单击OK:PrimaryInterface:adsl1/0BackupInterface:serial0/0Type:trackipNetwork>Interfaces>Edit>Monitor(对于adsl1/0接口):输入以下内容,然后单击OK:EnableTrackIP:(选择)Threshold:1Weight:255Network>Interfaces>Edit>Monitor>TrackIP>单击ADD:输入以下内容,然后单击OK:Dynamic:(选择)3.
LAN接口Network>Interfaces>Edit(对于ethernet1接口):输入以下内容,然后单击OK:Zone:Work(已选定)StaticIP:(选择)IPAddress/Netmask:192.
168.
1.
1/24InterfaceMode:NATNetwork>DHCP>Edit(对于ethernet0/1接口)>DHCPServer:选择Apply.
>Addresses>New:输入以下内容,然后单击OK:Dynamic:(选择)IPAddressStart:192.
168.
1.
3IPAddressEnd:192.
168.
1.
334.
Self接口Network>Interfaces>Edit(对于ethernet0/2接口):输入以下内容,然后单击OK:Zone:Home(已选定)StaticIP:(选择)IPAddress/Netmask:192.
168.
2.
1/24InterfaceMode:NATNetwork>DHCP>Edit(对于ethernet2接口)>DHCPServer:选择Apply.
>Addresses>New:输入以下内容,然后单击OK:Dynamic:(选择)IPAddressStart:192.
168.
2.
2IPAddressEnd:192.
168.
2.
5概念与范例ScreenOS参考指南82ADSL配置范例5.
激活Home和Work区段上的DHCP关闭工作站.
工作站将自动接收DNS服务器的IP地址,并在尝试建立TCP/IP连接时获得本身的IP地址.
CLI1.
ADSL接口和PPPoEsetinterfaceadsl1/0pvc035muxllczoneuntrustsetpppoenamepoe1usernamealexpasswordtSOCbme4NW5iYPshGxCy67Ww48ngtHC0Bw==setpppoenamepoe1interfaceadsl1/02.
备份拨号接口setinterfaceadsl1/0backupinterfaceserial0/0typetrack-ipsetinterfaceadsl1/0monitortrackipsetinterfaceadsl1/0monitortrack-ipdynamic3.
LAN接口setinterfaceethernet0/1ip192.
168.
1.
1/24setinterfaceethernet0/1dhcpserverservicesetinterfaceethernet0/1dhcpserverip192.
168.
1.
3192.
168.
1.
334.
Self接口setinterfaceethernet0/2ip192.
168.
2.
1/24setinterfaceethernet0/2dhcpserverservicesetinterfaceethernet0/2dhcpserverip192.
168.
2.
2192.
168.
2.
5save5.
激活Home和Work区段上的DHCP关闭工作站.
工作站将自动接收DNS服务器的IP地址,并在尝试建立TCP/IP连接时获得本身的IP地址.
范例5:(小型企业/家庭)以太网备份本例(如图15中所示)介绍如何将安全设备配置为主互联网连接的防火墙(通过使用PPPoE的ADSL接口)和备份互联网连接的防火墙(通过以太网连接).
要配置主连接(通过ADSL接口)和备份连接(通过以太网连接),请执行以下操作:1.
用PPPoE配置ADSL接口.
通过使用LLC封装的VPI/VCI对值0/35和绑定到ADSL接口的一个名为"poe1"的PPPoE实例,在ADSL接口上配置一个PVC.
2.
将备份接口配置为ethernet3.
3.
配置Global区段.
4.
配置Self区段.
注意:本例与第79页上的"范例4:(小型企业/家庭)拨号备份"中显示的配置相似,只是互联网的备份连接是通过Untrusted以太网端口实现的.
ADSL配置范例83第2章:数字用户线图15:带有以太网备份的ADSL(需要新图形)WebUI1.
ADSL接口和PPPoENetwork>Interfaces>Edit(对于adsl1/0):输入以下内容,然后单击OK:VPI/VCI:0/35Encapsulation:LLC(选定)Zone:UntrustNetwork>PPP>PPPoEProfile>New:输入以下内容,然后单击OK:PPPoEInstance:poe1BoundtoInterface:adsl1/0(选择)Username:alexPassword:tSOCbme4NW5iYPshGxCy67Ww48ngtHC0Bw==AutomaticUpdateofDHCPServer'sDNSParameters:(选择)2.
备份以太网接口Network>Interfaces>Edit(对于ethernet0/3):输入以下内容,然后单击OK:ZoneName:Untrust(选择)ObtainIPusingDHCP:(选择)AutomaticupdateDHCPserverparameters:(选择)ethernet0/3:DHCPDSLAMDHCP范围:192.
168.
1.
3-192.
168.
1.
33互联网ISDNethernet0/1:192.
168.
1.
1/24adsl1/0:PPPoE模式ethernet0/2:192.
168.
2.
1/24Untrust区段Global区段DHCP范围:192.
168.
2.
2-192.
168.
2.
4Self区段概念与范例ScreenOS参考指南84ADSL配置范例3.
Global区段Network>Interfaces>Edit(对于ethernet0/1):输入以下内容,然后单击OK:Zone:GlobalStaticIP:(选择)IPAddress/Netmask:192.
168.
1.
1/24InterfaceMode:NATNetwork>DHCP>Edit(对于ethernet0/1)>DHCPServer:选择Apply.
>Addresses>New:输入以下内容,然后单击OK:Dynamic:(选择)IPAddressStart:192.
168.
1.
3IPAddressEnd:192.
168.
1.
334.
Self区段Network>Interfaces>Edit(对于ethernet0/2):输入以下内容,然后单击OK:Zone:SelfStaticIP:(选择)IPAddress/Netmask:192.
168.
2.
1/24InterfaceMode:NATNetwork>DHCP>Edit(对于ethernet0/2)>DHCPServer:选择Apply.
>Addresses>New:输入以下内容,然后单击OK:Dynamic:(选择)IPAddressStart:192.
168.
2.
2IPAddressEnd:192.
168.
2.
5CLI1.
ADSL接口和PPPoEsetinterfaceadsl1/0pvc035muxllczoneuntrustsetpppoenamepoe1usernamealexpasswordtSOCbme4NW5iYPshGxCy67Ww48ngtHC0Bw==setpppoenamepoe1interfaceadsl1/02.
备份以太网接口setinterfaceethernet0/3zoneuntrustsetinterfaceethernet0/3dhcpclientsetinterfaceethernet0/3update-dhcpserver3.
Global区段setinterfaceethernet0/1ip192.
168.
1.
1/24setinterfaceethernet0/1dhcpserverservicesetinterfaceethernet0/1dhcpserverip192.
168.
1.
3192.
168.
1.
334.
Self区段setinterfaceethernet0/2ip192.
168.
2.
1/24setinterfaceethernet0/2dhcpserverservicesetinterfaceethernet0/2dhcpserverip192.
168.
2.
2192.
168.
2.
5saveADSL配置范例85第2章:数字用户线范例6:(小型企业/家庭)ADSL备份本例(如图16中所示)介绍如何将安全设备配置为主互联网连接的防火墙(通过使用PPPoE的ADSL接口)和备份互联网连接的防火墙(通过另一ADSL连接).
要配置主连接(通过ADSL接口)和备份连接(通过以太网连接),请执行以下操作:1.
用PPPoE配置ADSL接口.
通过使用LLC封装的VPI/VCI对值0/35和绑定到ADSL接口的一个名为"poe1"的PPPoE实例,在ADSL接口上配置一个PVC.
2.
将备份ADSL接口配置为adsl2/0.
3.
配置Global区段.
4.
配置Self区段.
图16:带有ADSL备份的ADSLadsl2/0:PPPoE模式DSLAMDHCP范围:192.
168.
1.
3-192.
168.
1.
33互联网DSLAMethernet0/2接口:192.
168.
1.
1/24adsl1/0:PPPoE模式ethernet0/1接口:192.
168.
2.
1/24Untrust区段Global区段DHCP范围:192.
168.
2.
2-192.
168.
2.
4Self区段概念与范例ScreenOS参考指南86ADSL配置范例WebUI1.
ADSL接口和PPPoENetwork>Interfaces>Edit(对于adsl1/0):输入以下内容,然后单击OK:VPI/VCI:0/35Encapsulation:LLC(选定)Zone:UntrustNetwork>PPP>PPPoEProfile>New:输入以下内容,然后单击OK:PPPoEInstance:poe1BoundtoInterface:adsl1/0(选择)Username:alexPassword:tSOCbme4NW5iYPshGxCy67Ww48ngtHC0Bw==AutomaticUpdateofDHCPServer'sDNSParameters:(选择)2.
备份ADSL接口Network>Interfaces>Edit(对于adsl2/0):输入以下内容,然后单击OK:VPI/VCI:8/35Encapsulation:LLC(选定)Zone:UntrustNetwork>PPP>PPPoEProfile>New:输入以下内容,然后单击OK:PPPoEInstance:poe2BoundtoInterface:adsl2/0(选择)Username:alexPassword:tSOCbme4NW5iYPshGxCy67Ww48ngtHC0Bw==AutomaticUpdateofDHCPServer'sDNSParameters:(选择)Network>Interfaces>Backup:输入以下内容,然后单击OK:PrimaryInterface:adsl1/0BackupInterface:adsl2/0Type:trackipNetwork>Interfaces>Edit>Monitor(对于adsl1/0接口):输入以下内容,然后单击OK:EnableTrackIP:(选择)Threshold:1Weight:2553.
Global区段Network>Interfaces>Edit(对于ethernet0/2):输入以下内容,然后单击OK:Zone:GlobalStaticIP:(选择)IPAddress/Netmask:192.
168.
1.
1/24InterfaceMode:NATADSL配置范例87第2章:数字用户线Network>DHCP>Edit(对于ethernet0/2)>DHCPServer:选择Apply.
>Addresses>New:输入以下内容,然后单击OK:Dynamic:(选择)IPAddressStart:192.
168.
1.
3IPAddressEnd:192.
168.
1.
334.
Self区段Network>Interfaces>Edit(对于ethernet0/1):输入以下内容,然后单击OK:Zone:SelfStaticIP:(选择)IPAddress/Netmask:192.
168.
2.
1/24InterfaceMode:NATNetwork>DHCP>Edit(对于ethernet0/1)>DHCPServer:选择Apply.
>Addresses>New:输入以下内容,然后单击OK:Dynamic:(选择)IPAddressStart:192.
168.
2.
2IPAddressEnd:192.
168.
2.
5CLI1.
ADSL接口和PPPoEsetinterfaceadsl1/0pvc035muxllczoneuntrustsetpppoenamepoe1usernamealexpasswordtSOCbme4NW5iYPshGxCy67Ww48ngtHC0Bw==setpppoenamepoe1interfaceadsl1/02.
备份ADSL接口setinterfaceadsl2/0pvc835muxllczoneuntrustsetpppoenamepoe1usernamealexpasswordtSOCbme4NW5iYPshGxCy67Ww48ngtHC0Bw==setpppoenamepoe2interfaceadsl2/0setinterfaceadsl1/0backupinterfaceadsl2/0typetrack-ipsetinterfaceadsl1/0monitortrackipsetinterfaceadsl1/0monitortrack-ipdynamic3.
Global区段setinterfaceethernet0/2ip192.
168.
1.
1/24setinterfaceethernet0/2dhcpserverservicesetinterfaceethernet0/2dhcpserverip192.
168.
1.
3192.
168.
1.
334.
Self区段setinterfaceethernet0/1ip192.
168.
2.
1/24setinterfaceethernet0/1dhcpserverservicesetinterfaceethernet0/1dhcpserverip192.
168.
2.
2192.
168.
2.
5save概念与范例ScreenOS参考指南88ADSL配置范例范例7:(小型企业)MLPPPADSL本例(如图14中所示)介绍如何通过使用MLPPP封装的VPI/VCI对值8/35和绑定到ML接口的一个名为"adsltest"的PPP配置文件在ADSL接口上配置一个PVC.
要通过ADSL配置MLPPP,请执行以下操作:1.
配置多链路接口.
2.
用动态IP地址配置PPP配置文件.
3.
将PPP配置文件绑定到多链路接口.
4.
将ADSL接口捆绑到多链路接口.
图17:通过ADSL的MLPPPWebUI1.
多链路接口Network>Interfaces>New(多链路接口):输入以下内容,然后单击OK:InterfaceName:1WANEncapsulation:Multi-LinkPPP(选择)ZoneName:Untrust(选择)注意:一些设备不支持MLPP封装.
DSLAM和BRASMLIP192.
168.
3.
22/32绑定到adsltestPPP配置文件Trust区段Untrust区段互联网ADSL配置范例89第2章:数字用户线2.
带有动态IP地址的PPP配置文件Network>PPPProfile>Edit:输入以下内容,然后单击OK:PPPProfile:adsltestAuthentication:CHAP(选择)和PAP(选择)StaticIP:(取消选择)Netmask:255.
255.
255.
255Passive:Don'tchallengepeer(取消选择)LocalName:rootPassword:123456(不显示)带有静态IP地址的PPP配置文件(可选)StaticIP:(选择)3.
将PPP配置文件绑定到ML接口Network>Interfaces>Edit(ml1接口)>Basicproperties:输入以下内容,然后单击OK:WANEncapsulation:Multi-LinkPPP(选择)BindingaPPPProfile:adsltest(选择)FixedIP:(选择)IPAddress/Netmask:192.
168.
3.
22/24ManageIP:0.
0.
0.
0InterfaceMode:Route(选择)MaximumTransferUnit(MTU):15004.
将ADSL接口捆绑到ML接口Network>Interfaces>Edit(对于adsl1/0接口):输入以下内容,然后单击OK:VPI/VCI:8/35QoSOptions:UBR(选择)MultiplexingMethod:LLC(选择)RFC1483ProtocolMode:Bridged(选择)OperatingMode:Auto(选择)Bindtoamultilinkinterface:ml1(选择)DNSProxy:(选择)CLI1.
多链路接口setinterfaceml1zoneuntrustsetinterfaceml1encapmlppp2.
带有动态IP地址的PPP配置文件setpppprofileadsltestsetpppprofileadsltestauthtypeanysetpppprofileadsltestauthlocal-namerootsetpppprofileadsltestauthsecret123456带有静态IP地址的PPP配置文件(可选)setpppprofileadslteststatic-ipsetinterfaceml1ip192.
168.
3.
22/323.
将PPP配置文件绑定到ML接口setinterfaceml1pppprofileadsltest概念与范例ScreenOS参考指南90ADSL配置范例4.
将ADSL接口捆绑到ML接口setinterfaceadsl1/0pvc835zoneuntrustsetinterfaceadsl2/0pvc835zoneuntrustsetinterfaceadsl1/0bundleml1setinterfaceadsl2/0bundleml15.
从捆绑中移除一个成员链接unsetinterfaceadsl1/0bundleunsetinterfaceadsl2/0bundle范例8:(小型企业)允许访问本地服务器本例(如图18中所示)介绍如何配置安全设备以允许内部主机通过ADSL接口访问互联网,以及允许互联网用户访问本地Web服务器而不得访问其它内部主机.
为了将到Web服务器的信息流与内部网络的其余信息流分开,请执行以下操作:1.
配置trust和dmz接口.
2.
配置ADSL接口和映射IP(MIP).
利用VPI/VCI对0/35和服务提供商分配的静态IP地址1.
1.
1.
1/24,在ADSL接口上设置一个PVC.
请将Trust接口绑定到Trust区段并为其分配IP地址192.
168.
1.
1/24.
配置一个MIP,以将发往主机1.
1.
1.
5的内向HTTP信息流引导至DMZ区段中地址为10.
1.
1.
5的Web服务器.
3.
创建一种策略,以仅允许HTTP信息流流向Web服务器所在的区段.
(缺省策略是允许所有信息流从Trust区段流向Untrust区段并阻止所有信息流从Untrust区段流向Trust区段.
)图18:允许访问本地服务器的ADSL接口(需要新图形)Untrust区段互联网DSLAMethernet1/0:192.
168.
1.
1/24Web服务器10.
1.
1.
5ethernet2/0:10.
1.
1.
1/24adsl1/0:1.
1.
1.
1/24MIP1.
1.
1.
5->10.
1.
1.
5Untrust区段DMZ区段ADSL配置范例91第2章:数字用户线WebUI1.
以太网接口Network>Interfaces>Edit(对于ethernet1/0):输入以下内容,然后单击OK:StaticIP:(选择)IPAddress/Netmask:192.
168.
1.
1/24InterfaceMode:NATNetwork>DHCP>Edit(对于ethernet1/0)>DHCPServer:选择Apply.
>Addresses>New:输入以下内容,然后单击OK:Dynamic:(选择)IPAddressStart:192.
168.
1.
3IPAddressEnd:192.
168.
1.
33Network>Interfaces>Edit(对于ethernet2/0):输入以下内容,然后单击OK:StaticIP:(选择)IPAddress/Netmask:10.
1.
1.
1/24InterfaceMode:NAT2.
ADSL接口和MIPNetwork>Interfaces>Edit(对于adsl1/0):输入以下内容,然后单击Apply:VPI/VCI:0/35ZoneName:UntrustStaticIP:(选择)IPAddress/Netmask:1.
1.
1.
1/24>MIP>New:输入以下内容,然后单击OK:MappedIP:1.
1.
1.
5Netmask:255.
255.
255.
255HostIPAddress:10.
1.
1.
5HostVirtualRouterName:trust-vr3.
策略Policies>(From:Untrust,To:DMZ)New:输入以下内容,然后单击OK:SourceAddress:AddressBookEntry:(选择)AnyDestinationAddress:AddressBookEntry:(选择),MIP(1.
1.
1.
5)Service:HTTPAction:PermitCLI1.
Trust和DMZ接口setinterfaceethernet1/0ip192.
168.
1.
1/24setinterfaceethernet1/0natsetinterfaceethernet1/0dhcpserverservicesetinterfaceethernet1/0dhcpserverip192.
168.
1.
3192.
168.
1.
33setinterfaceethernet2/0ip10.
1.
1.
1/24setinterfaceethernet2/0nat概念与范例ScreenOS参考指南92ADSL配置范例2.
ADSL接口和MIPsetinterfaceadsl1pvc035zoneuntrustsetinterfaceadsl1/0ip1.
1.
1.
1/24setinterfaceadsl1/0mip1.
1.
1.
5host10.
1.
1.
5netmask255.
255.
255.
255vroutertrust-vr3.
策略setpolicyfromuntrusttodmzanymip(1.
1.
1.
5)httppermitsave范例9:(分公司)通过ADSL的VPN通道本例(如图19中所示)介绍如何通过安全设备上的ADSL接口配置到企业总部的VPN通道,以及如何允许互联网访问本地Web服务器,而不允许从互联网直接访问其它内部主机,如第88页上的"范例7:(小型企业)MLPPPADSL"中所述.
图19:通过ADSL接口的VPN通道(需要新图形)本例还介绍了如何使用预共享机密配置基于路由的"自动密钥IKE"通道.
对于"阶段1"和"阶段2"安全级别,为"阶段1"提议配置pre-g2-3des-sha,为"阶段2"配置预定义的"Compatible"提议集.
要通过ADSL接口配置VPN通道,请执行以下操作:1.
配置trust和dmz接口.
2.
配置ADSL接口和映射IP(MIP).
利用VPI/VCI对0/35和服务提供商分配的静态IP地址1.
1.
1.
1/24,在ADSL接口上设置一个PVC.
请将Trust接口绑定到Trust区段并为其分配IP地址192.
168.
1.
1/24.
配置一个MIP,以将发往主机1.
1.
1.
5的内向HTTP信息流引导至DMZ区段中地址为10.
1.
1.
5的Web服务器.
10.
2.
2.
0/24互联网DSLAMethernet0/1:192.
168.
1.
1/24Web服务器10.
1.
1.
5通道1adsl1/0:1.
1.
1.
1/24MIP1.
1.
1.
5->10.
1.
1.
5Trust区段Untrust区段企业IKE对等方网关2.
2.
2.
2DMZ区段ADSL配置范例93第2章:数字用户线3.
创建一个通道接口并将其绑定到Untrust安全区段.
要创建通道,请执行以下操作:a.
将通道接口配置为借用adsl1接口的IP地址,adsl1接口也被绑定到Untrust安全区段(该通道接口也称作"无编号"接口).
b.
配置VPN通道,指定adsl1接口作为其在Untrust区段中的外向接口,将其绑定到通道接口,并为其配置代理ID.
c.
输入经由通道接口通向"企业LAN"的路由.
d.
为在分公司和企业总部之间通过的VPN信息流设置策略.
4.
创建一种策略,以仅允许HTTP信息流流向Web服务器所在的区段.
(缺省策略是允许所有信息流从Trust区段流向Untrust区段并阻止所有信息流从Untrust区段流向Trust区段.
)WebUI1.
Trust和DMZ接口Network>Interfaces>Edit(对于ethernet0/1):输入以下内容,然后单击OK:StaticIP:(选择)IPAddress/Netmask:192.
168.
1.
1/24InterfaceMode:NATNetwork>DHCP>Edit(对于ethernet0/1)>DHCPServer:选择Apply.
>Addresses>New:输入以下内容,然后单击OK:Dynamic:(选择)IPAddressStart:192.
168.
1.
3IPAddressEnd:192.
168.
1.
33Network>Interfaces>Edit(对于ethernet0/2):输入以下内容,然后单击OK:StaticIP:(选择)IPAddress/Netmask:10.
1.
1.
1/24InterfaceMode:NAT2.
ADSL接口和MIPNetwork>Interfaces>Edit(对于adsl1/0):输入以下内容,然后单击Apply:VPI/VCI:0/35ZoneName:UntrustStaticIP:(选择)IPAddress/Netmask:1.
1.
1.
1/24>MIP>New:输入以下内容,然后单击OK:MappedIP:1.
1.
1.
5Netmask:255.
255.
255.
255HostIPAddress:10.
1.
1.
5HostVirtualRouterName:trust-vr概念与范例ScreenOS参考指南94ADSL配置范例3.
VPN通道Network>Interfaces>NewTunnelIF:输入以下内容,然后单击OK:TunnelInterfaceName:tunnel.
1Zone(VR):Untrust(trust-vr)Unnumbered:(选择)Interface:adsl1(trust-vr)VPNs>AutoKeyAdvanced>Gateway>New:输入以下内容,然后单击OK:GatewayName:To_CorpSecurityLevel:CustomRemoteGatewayType:StaticIPAddress:(选择),IPAddress/Hostname:2.
2.
2.
2PresharedKey:h1p8A24nG5>Advanced:输入以下高级设置,然后单击Return,返回基本Gateway配置页:SecurityLevel:CustomPhase1Proposal(对于CustomSecurityLevel):pre-g2-3des-shaMode(Initiator):Main(IDProtection)VPNs>AutoKeyIKE>New:输入以下内容,然后单击OK:VPNName:Branch1_CorpSecurityLevel:CompatibleRemoteGateway:Predefined:(选择),To_Corp>Advanced:输入以下高级设置,然后单击Return,返回基本AutoKeyIKE配置页:SecurityLevel:CompatibleBindto:TunnelInterface,tunnel.
1Proxy-ID:(选择)LocalIP/Netmask:192.
168.
1.
1/24RemoteIP/Netmask:10.
2.
2.
0/24Service:ANYNetwork>Routing>Destination>trustvr>New:输入以下内容,然后单击OK:NetworkAddress/Netmask:10.
2.
2.
0/24Gateway:(选择)Interface:Tunnel.
14.
策略Policies>(From:Untrust,To:DMZ)New:输入以下内容,然后单击OK:SourceAddress:AddressBookEntry:(选择)AnyDestinationAddress:AddressBookEntry:(选择),MIP(1.
1.
1.
5)Service:HTTPAction:PermitADSL配置范例95第2章:数字用户线Policies>(From:Trust,To:Untrust)New:输入以下内容,然后单击OK:Name:To_CorpSourceAddress:192.
168.
1.
1/24DestinationAddress:10.
2.
2.
0/24Service:ANYAction:PermitPositionatTop:(选择)Policies>(From:Untrust,To:Trust)New:输入以下内容,然后单击OK:Name:From_CorpSourceAddress:10.
2.
2.
0/24DestinationAddress:192.
168.
1.
1/24Service:ALLAction:PermitPositionatTop:(选择)CLI1.
Trust和DMZ接口setinterfaceethernet0/1ip192.
168.
1.
1/24setinterfaceethernet0/1natsetinterfaceethernet0/1dhcpserverservicesetinterfaceethernet0/1dhcpserverip192.
168.
1.
3192.
168.
1.
33setinterfaceethernet0/2ip10.
1.
1.
1/24setinterfaceethernet0/2nat2.
ADSL接口和MIPsetinterfaceadsl1/0pvc035zoneuntrustsetinterfaceadsl1/0ip1.
1.
1.
1/24setinterfaceadsl1/0mip1.
1.
1.
5host10.
1.
1.
5netmask255.
255.
255.
255vroutertrust-vr3.
VPN通道setinterfacetunnel.
1zoneuntrustsetinterfacetunnel.
1ipunnumberedinterfaceadsl1setikegatewayTo_Corpaddress2.
2.
2.
2mainoutgoing-interfaceadsl1/0presharehlp8A24nG5proposalpre-g2-3des-shasetvpnBranch1_CorpgatewayTo_Corpsec-levelcompatiblesetvpnBranch1_Corpbindinterfacetunnel.
1setvpnBranch1_Corpproxy-idlocal-ip192.
168.
1.
1/24remote-ip10.
2.
2.
0/24anysetvroutertrust-vrroute10.
2.
2.
0/24interfacetunnel.
14.
策略setpolicyfromuntrusttodmzanymip(1.
1.
1.
5)httppermitsetpolicytopname"ToCorp"fromtrusttountrust192.
168.
1.
1/2410.
2.
2.
0/24anypermitsetpolicytopname"FromCorp"fromuntrusttotrust10.
2.
2.
0/24192.
168.
1.
1/24anypermitsave概念与范例ScreenOS参考指南96ADSL配置范例范例10:(分公司)辅助VPN通道本例(如图20中所示)介绍如何通过ADSL接口,将安全设备配置为互联网和到企业总部这两种连接的防火墙.
本例与第92页上的"范例9:(分公司)通过ADSL的VPN通道"中所示配置类似,但需要创建两个PVC:一个到互联网,另一个到企业总部.
您还需要将经由互联网到企业总部的VPN通道配置为辅助连接.
要通过ADSL配置主、辅VPN通道,请执行以下操作:1.
配置trust和dmz接口.
2.
配置ADSL接口和映射IP(MIP).
利用VPI/VCI对0/35和服务提供商分配的静态IP地址1.
1.
1.
1/24,在ADSL接口上设置一个PVC.
请将Trust接口绑定到Trust区段并为其分配IP地址192.
168.
1.
1/24.
配置一个MIP,以将发往主机1.
1.
1.
5的内向HTTP信息流引导至DMZ区段中地址为10.
1.
1.
5的Web服务器.
3.
配置总部(HQ)定制区段.
4.
配置ADSL子接口.
通过创建ADSL子接口adsl1.
1,在安全设备上设置另外一个PVC.
通过使用LLC封装的VPI/VCI对值1/35和绑定到子接口的一个名为poe1的PPPoE实例配置adsl1.
1子接口.
然后需要定义策略,以允许信息流进出HQ区段.
5.
创建一个通道接口并将其绑定到Untrust安全区段.
要创建通道,请执行以下操作:a.
将通道接口配置为借用adsl1接口的IP地址,adsl1接口也被绑定到Untrust安全区段(该通道接口也称作"无编号"接口).
b.
配置IKE网关.
c.
配置VPN通道,指定adsl1接口作为其在Untrust区段中的外向接口,将其绑定到通道接口,并为其配置代理ID.
6.
创建虚拟路由(trust-vr).
7.
为在分公司和企业总部之间通过的VPN信息流设置策略.
(缺省策略是允许所有信息流从Trust区段流向Untrust区段并阻止所有信息流从Untrust区段流向Trust区段.
)注意:您可将ADSL接口及其每个子接口分别绑定到不同的安全区段;将ADSL子接口绑定到定制区段"HQ"(在缺省情况下,主ADSL接口被绑定到Untrust区段).
ADSL配置范例97第2章:数字用户线图20:带有辅助通道的ADSL接口(需要新图形)由于在企业总部及Trust区段中的工作站之间存在两条不同的路由(一条使用adsl1.
1接口,另一条使用VPN通道接口),您需要指定哪条路由为"首选".
这可通过将经由VPN通道的路由的度量值设置为高于经由adsl1.
1接口的路由的度量值来实现.
WebUI1.
Trust和DMZ接口Network>Interfaces>Edit(对于ethernet0/1):输入以下内容,然后单击OK:StaticIP:(选择)IPAddress/Netmask:192.
168.
1.
1/24InterfaceMode:NATNetwork>DHCP>Edit(对于ethernet0/1)>DHCPServer:选择Apply.
>Addresses>New:输入以下内容,然后单击OK:Dynamic:(选择)IPAddressStart:192.
168.
1.
3IPAddressEnd:192.
168.
1.
33Network>Interfaces>Edit(对于ethernet0/2):输入以下内容,然后单击OK:StaticIP:(选择)IPAddress/Netmask:10.
1.
1.
1/24InterfaceMode:NAT10.
2.
2.
0/24ATM网络DSLAM互联网DSLAMadsl1/0:1.
1.
1.
1/24MIP1.
1.
1.
5->10.
1.
1.
5ethernet0/1:192.
168.
1.
1/24Web服务器10.
1.
1.
1/24ethernet0/2:10.
1.
1.
1/24adsl1/.
1:PPPoEDMZ区段Trust区段Untrust区段HQ区段企业IKE对等方网关2.
2.
2.
2概念与范例ScreenOS参考指南98ADSL配置范例2.
ADSL接口和MIPNetwork>Interfaces>Edit(对于adsl1/0):输入以下内容,然后单击Apply:VPI/VCI:0/35ZoneName:UntrustStaticIP:(选择)IPAddress/Netmask:1.
1.
1.
1/24>MIP>New:输入以下内容,然后单击OK:MappedIP:1.
1.
1.
5Netmask:255.
255.
255.
255HostIPAddress:10.
1.
1.
5HostVirtualRouterName:trust-vr3.
HQ区段Network>Zones>New:输入以下内容,然后单击OK:ZoneName:HQBlockIntra-ZoneTraffic:(选择)4.
ADSL子接口Network>Interfaces>NewADSLSub-IF:输入以下内容,然后单击OK:InterfaceName:adsl1/.
1VPI/VCI:1/35Encapsulation:LLC(选定)Zone:HQ(选择)Network>PPPoE>New:输入以下内容,然后单击OK:PPPoEInstance:poe1BoundtoInterface:adsl1/.
1(选择)Username:felixPassword:ioP936QNlwab48Rc5.
VPN通道Network>Interfaces>NewTunnelIF:输入以下内容,然后单击OK:TunnelInterfaceName:tunnel.
1Zone(VR):Untrust(trust-vr)Unnumbered:(选择)Interface:adsl1(trust-vr)VPNs>AutoKeyAdvanced>Gateway>New:输入以下内容,然后单击OK:GatewayName:To_CorpSecurityLevel:CustomRemoteGatewayType:StaticIPAddress:(选择),IPAddress/Hostname:2.
2.
2.
2PresharedKey:h1p8A24nG5ADSL配置范例99第2章:数字用户线>Advanced:输入以下高级设置,然后单击Return,返回基本Gateway配置页:SecurityLevel:CustomPhase1Proposal(对于CustomSecurityLevel):pre-g2-3des-shaMode(Initiator):Main(IDProtection)VPNs>AutoKeyIKE>New:输入以下内容,然后单击OK:VPNName:Branch1_CorpSecurityLevel:CompatibleRemoteGateway:Predefined:(选择),To_Corp>Advanced:输入以下高级设置,然后单击Return,返回基本AutoKeyIKE配置页:SecurityLevel:CompatibleBindto:TunnelInterface,tunnel.
1Proxy-ID:(选择)LocalIP/Netmask:192.
168.
1.
1/24RemoteIP/Netmask:10.
2.
2.
0/24Service:ANY6.
路由Network>Routing>Destination>trustvr>New:输入以下内容,然后单击OK:NetworkAddress/Netmask:10.
2.
2.
0/24Gateway:(选择)Interface:adsl1.
1Metric:1Network>Routing>Destination>trustvr>New:输入以下内容,然后单击OK:NetworkAddress/Netmask:10.
2.
2.
0/24Gateway:(选择)Interface:Tunnel.
1Metric:57.
策略Policies(From:Trust,To:HQ)>New:输入以下内容,然后单击OK:SourceAddress:AddressBookEntry:(选择)AnyDestinationAddress:AddressBookEntry:(选择)AnyService:ANYAction:Permit概念与范例ScreenOS参考指南100ADSL配置范例Policies(From:HQ,To:Trust)>New:输入以下内容,然后单击OK:SourceAddress:AddressBookEntry:(选择)AnyDestinationAddress:AddressBookEntry:(选择)AnyService:ANYAction:PermitPolicies(From:DMZ,To:HQ)>New:输入以下内容,然后单击OK:SourceAddress:AddressBookEntry:(选择)AnyDestinationAddress:AddressBookEntry:(选择)AnyService:ANYAction:PermitPolicies(From:HQ,To:DMZ)>New:输入以下内容,然后单击OK:SourceAddress:AddressBookEntry:(选择)AnyDestinationAddress:AddressBookEntry:(选择)AnyService:ANYAction:PermitPolicies>(From:Untrust,To:DMZ)New:输入以下内容,然后单击OK:SourceAddress:AddressBookEntry:(选择)AnyDestinationAddress:AddressBookEntry:(选择),MIP(1.
1.
1.
5)Service:HTTPAction:PermitPolicies>(From:Trust,To:Untrust)New:输入以下内容,然后单击OK:Name:To_CorpSourceAddress:192.
168.
1.
1/24DestinationAddress:10.
2.
2.
0/24Service:ANYAction:PermitPositionatTop:(选择)Policies>(From:Untrust,To:Trust)New:输入以下内容,然后单击OK:Name:From_CorpSourceAddress:10.
2.
2.
0/24DestinationAddress:192.
168.
1.
1/24Service:ALLAction:PermitPositionatTop:(选择)ADSL配置范例101第2章:数字用户线CLI1.
Trust和DMZ接口setinterfaceethernet0/1ip192.
168.
1.
1/24setinterfaceethernet0/1natsetinterfaceethernet0/1dhcpserverservicesetinterfaceethernet0/1dhcpserverip192.
168.
1.
3192.
168.
1.
33setinterfaceethernet0/2ip10.
1.
1.
1/24setinterfaceethernet0/2nat2.
ADSL接口和MIPsetinterfaceadsl1/0pvc035zoneuntrustsetinterfaceadsl1/0ip1.
1.
1.
1/24setinterfaceadsl1/0mip1.
1.
1.
5host10.
1.
1.
5netmask255.
255.
255.
255vroutertrust-vr3.
HQ区段setzonenameHQsetzoneHQblocksetzoneHQvroutertrust-vr4.
ADSL子接口setinterfaceadsl1/0.
1pvc135muxllczoneHQsetpppoenamepoe1usernamefelixpasswordioP936QNlwab48Rcsetpppoenamepoe1interfaceadsl1/0.
15.
VPN通道setinterfacetunnel.
1zoneuntrustsetinterfacetunnel.
1ipunnumberedinterfaceadsl1/0setikegatewayTo_Corpaddress2.
2.
2.
2mainoutgoing-interfaceadsl1/0presharehlp8A24nG5proposalpre-g2-3des-shasetvpnBranch1_CorpgatewayTo_Corpsec-levelcompatiblesetvpnBranch1_Corpbindinterfacetunnel.
1setvpnBranch1_Corpproxy-idlocal-ip192.
168.
1.
1/24remote-ip10.
2.
2.
0/24any6.
路由setvroutertrust-vrroute10.
2.
2.
0/24interfaceadsl1/0.
1metric1setvroutertrust-vrroute10.
2.
2.
0/24interfacetunnel.
1metric57.
策略setpolicyfromtrusttoHQanyanyanypermitsetpolicyfromHQtotrustanyanyanypermitsetpolicyfromdmztoHQanyanyanypermitsetpolicyfromHQtodmzanyanyanypermitsetpolicyfromuntrusttodmzanymip(1.
1.
1.
5)httppermitsetpolicytopname"ToCorp"fromtrusttountrust192.
168.
1.
1/2410.
2.
2.
0/24anypermitsetpolicytopname"FromCorp"fromuntrusttotrust10.
2.
2.
0/24192.
168.
1.
1/24anypermitsave概念与范例ScreenOS参考指南102ADSL配置范例为故障切换设置ISP优先级103第3章ISP故障切换和拨号恢复支持ISP故障切换和拨号恢复的设备具有Aux串行端口(对于外部V.
92调制解调器)或ISDNBRI端口或内置的V.
92模拟调制解调器端口.
对于某些型号,这些功能以小型PIM选项的形式提供.
在主链接(以太网端口)发生故障时,通常将这些端口用作备份端口.
主链接通常是一个ADSL调制解调器,其连接到能够与安全设备进行以太网连接的ISP.
VPN监控或物理端口故障通常会导致故障切换到备份接口.
本章包括以下部分:第103页上的"为故障切换设置ISP优先级"第104页上的"定义ISP故障切换的条件"第104页上的"配置拨号恢复解决方案"为故障切换设置ISP优先级以根管理员(而非托管管理员)的身份总共可以配置四个ISP.
每个ISP的优先级必须是一个唯一数字.
您还可以将一个或多个ISP条目的优先级配置为零以进行测试(监控);但是,分配了零优先级的任何ISP条目都不能用于故障切换.
在使用调制解调器连接时,托管管理员可手动更改ISP优先级.
如果发生故障切换,分配给ISP的优先级将指示与特定ISP进行联系的顺序(相对于其它ISP而言).
值越小,ISP的优先级越高.
托管管理员还可以通过将优先级设置为零(0)来检查ISP的可用性.
WebUIHome>Interfacelinkstatus:单击Edit.
然后单击串行接口的ISP.
CLIsetinterfaceserial0/0modemisppac-bell-1priority1setinterfaceserial0/0modemisppac-bell-1primary-number555-55-55alternative-number666-66-66setinterfaceserial0/0modemisppac-bell-1accountloginrbrockiepassword!
2007ahsetinterfaceserial0/0modemisppac-bell-2priority2setinterfaceserial0/0modemisppac-bell-2primary-number777-77-77alternative-number888-88-88setinterfaceserial0/0modemisppac-bell-2accountloginrbrockiepassword!
2007ahsave概念与范例ScreenOS参考指南104定义ISP故障切换的条件定义ISP故障切换的条件设置完ISP信息和优先级之后,可以有选择性地监控untrust-vr中的一条路由,当所监控的路由从untrust-vr路由表中消失时,它会触发到下一最高优先级ISP(下一最小优先级号)的故障切换.
当发生到ISP2的故障切换时,并不一定表明ISP1已中断或出现故障.
它表明您要访问的ISP1之外的某条特定路由变为不可用,并且您希望设备等待指定的秒数,之后再放弃并呼叫备份ISP.
要使用此功能,请指定当前显示在untrust-vr中的带有IP地址的特定路由.
此外,还可以指定设备在呼叫备份ISP之前等待的秒数.
缺省等待时间为30秒.
在上例中,您以根管理员的身份设置了一个优先级为1的ISP和一个备份ISP.
在本例中,您要将安全设备设置为监控路由1.
1.
1.
1/24,已事先将该路由标识为感兴趣或重要路由.
此路由当前存在于untrust-vr中.
将等待时间设置为100秒.
还要必须使用CLI来设置希望监控Untrust-vr中的哪条路由.
如果指定的路由变为不可用,将发生到下一ISP(优先级2)的故障切换.
WebUIHome>Interfacelinkstatus:单击Edit.
然后单击串行接口的ISPFailover.
CLIsetinterfaceserial0/0modemisp-failoverholddown100setinterfaceserial0/0modemisp-failovertyperoutevrouteruntrust-vr1.
1.
1.
1/24save配置拨号恢复解决方案通过配置以下各项,可为您的网络建立拨号灾难恢复解决方案:安全设备调制解调器或ISDN终端适配器(TA)接口故障切换触发机制远端设备(另一个路由器或防火墙设备)标识到发送设备的返回路径的方法您可以选择以下三种不同故障切换机制中的一种来触发接口故障切换:跟踪IP监控指定IPv4地址的可用性以确定故障切换.
要使用IP跟踪,请输入setinterfaceinterfacebackupinterfaceserial0/0typetrack-ip命令(其中interface是主接口).
通道跟踪监控VPN通道状态以确定故障切换.
要通过通道接口跟踪,请输入setinterfaceinterfacebackupinterfaceserial0/0typetunnel-if命令(其中interface是主接口).
配置拨号恢复解决方案105第3章:ISP故障切换和拨号恢复路由跟踪监控已知路由的状态.
可通过动态路由协议(如BGP或OSPF)传播路由条目.
如果BGP邻接方丢失,安全设备将删除从该BGP对等方获知的所有路由.
如果路由条目在超过了等待时间的期间内未处于活动状态,安全设备将触发到备份接口的接口故障切换.
该功能要求准确的地址来匹配在指定的虚拟路由器路由表中的活动路由器,以避免故障切换.
要通过路由实现故障切换,请输入setinterfaceinterfacebackupinterfaceserial0/0typeroutevrouteuntrust1.
1.
1.
1/24命令(其中interface是主接口,1.
1.
1.
1是监控路由的IP地址).
在下面的示例中(请参阅图21),位于加利福尼亚圣何塞市区的一台计算机已联网到位于圣何塞另一地区的远程办公室中的服务器.
安全设备始终使用tunnel.
1(一个绑定到ethernet3(e3)的VPN通道),将来自计算机(PC)的信息流通过互联网发送到防火墙,以访问远程服务器.
信息流使用静态路由和VPN监控(缺省设置).
tunnel.
1的度量值为1,确保其始终为到防火墙的首选路由;tunnel.
2的度量值为180,较高,因此不会成为首选路由.
如果tunnel.
1中断,安全设备将启用绑定到串行接口的tunnel.
2,以联系防火墙.
在本例中,在实现接口故障切换时,通道跟踪要优先于IP跟踪.
使用IP跟踪时,如果链接中断,则发生故障切换;但将无法得知是否由于VPN通道的实际中断而发生了故障切换.
通道跟踪功能仅在绑定到主Untrust接口的通道接口中断时才发生故障切换.
如果拔去电缆或者触发VPN监控器,主Untrust接口会发生故障,这也意味着通道发生故障.
安全设备tunnel.
2(串行)接口使用一个由ISP分配的IP地址来通过ISDN连接到防火墙.
已将故障切换设置为"auto",因此当接口重新变为可用时,将进行到tunnel.
1的故障恢复.
当输入setvpnnamemonitorrekey命令时,VPN监控将变为活动状态.
必要时,可以选择更改缺省的间隔和临界值设置,方法是输入setvpnmonitor{interval|threshold}命令.
通过输入getvpnmonitor命令可查看VPN监控设置.
图21:拨号恢复配置tunnel.
2(串行连接)Router111.
11.
11.
11e3193.
60.
60.
20(ISP分配的IP地址)远程安全设备Router212.
12.
12.
12防火墙13.
13.
13.
13互联网tunnel.
1PC服务器概念与范例ScreenOS参考指南106配置拨号恢复解决方案下面是远程安全设备的配置,如图21所示.
WebUI配置串行接口和通道接口Network>Interfaces:对于串行接口,选择Edit并将该接口绑定到Untrust区段.
单击Apply.
Network>Interfaces:对于通道接口(tunnel.
1),选择New并将该接口绑定到Untrust区段.
根据需要配置设置,然后单击Apply.
Network>Interfaces:对于通道接口(tunnel.
2),选择New并将该接口绑定到Untrust区段.
根据需要配置设置,然后单击Apply.
设置静态路由和度量值Network>Routing>Destination:为untrust-vr选择New路由;设置IP地址、网关信息和度量值,然后单击OK.
Network>Routing>Destinations:为untrust-vr选择New路由,设置IP地址(ISP将该IP地址分配给串行连接)、网关信息(如果适用)和度量值(高于前一条目的数值),然后单击OK.
设置IKE网关VPNs>AutoKeyIKE>Edit:输入IKE要求,然后单击OK.
将VPN绑定到IKE网关VPNs>AutoKeyIKE>Edit:对于tunnel.
1,选择Advanced并将VPN绑定到IKE网关.
单击OK.
VPNs>AutoKeyIKE>Edit:对于tunnel.
2,选择Advanced并将VPN绑定到IKE网关.
单击OK.
配置接口故障切换通过CLI配置.
配置带内调制解调器端口设置Network>Interface(调制解调器)设置主ISP帐户Network>Interface(ISP)CLI配置串行接口和通道接口setinterfaceserial0/0zoneuntrustsetinterfaceethernet0/3zoneuntrustsetinterfaceethernet0/3ip111.
11.
11.
10/24setinterfacetunnel.
1ipunnumberedinterfaceethernet0/3setinterfaceserial0/0ip193.
60.
60.
19/24setinterfacetunnel.
2ipunnumberedinterfaceserial0/0设置静态路由和度量值setroute0.
0.
0.
0/0interfaceethernet0/3metric1setroute0.
0.
0.
0/0interfaceserial0/0metric180配置拨号恢复解决方案107第3章:ISP故障切换和拨号恢复设置IKE网关setikegatewayethaddress13.
13.
13.
13Mainoutgoing-interfaceethernet0/3preshare123qwe!
sec-levelstandardsetikegatewayserialaddress13.
13.
13.
13Mainoutgoing-interfaceserial0/0preshare123qwe!
sec-levelstandard将VPN绑定到IKE网关setvpnethgatewayethno-replaytunnelidletime0sec-levelstandardsetvpnethmonitorrekeysetvpnethid1bindinterfacetunnel.
1setvpnserialgatewayserialno-replaytunnelidletime0sec-levelstandardsetvpnserialmonitorrekeysetvpnserialid2bindinterfacetunnel.
2配置接口故障切换setinterfaceethernet0/3backupinterfaceserial0/0typetunnel-ifsetinterfaceethernet0/3backupdeactivation-delay5setinterfaceethernet0/3backupactivation-delay5setinterfaceethernet0/3backupautosetvpnethbackup-weight100配置带内调制解调器端口设置setinterfaceserial0/0modemsettingsport-1init-stringsAT&Fsetinterfaceserial0/0modemsettingsport-1active设置主ISP帐户setinterfaceserial0/0modemispisp-1priority1setinterfaceserial0/0modemispisp-1primary-number555-55-55alternative-number666-66-66setinterfaceserial0/0modemispisp-1accountloginrbrockiepass!
2007ah概念与范例ScreenOS参考指南108配置拨号恢复解决方案109第4章无线局域网JuniperNetworks无线设备和系统为无线客户端(例如,远程通信者、分支机构或零售渠道)提供了带有集成式"互联网协议安全虚拟专用网"(IPsecVPN)和防火墙服务的无线局域网(WLAN)连接.
本章将介绍如何配置无线接口并提供了配置范例.
本章包括以下部分:第110页上的"概述"第111页上的"无线网络基本功能配置"第116页上的"为SSID配置认证和加密"第123页上的"指定天线用法"第124页上的"设置国家/地区代码、通道和频率"第124页上的"使用扩展通道"第125页上的"执行站点勘测"第125页上的"查找可用通道"第126页上的"设置访问控制列表条目"第127页上的"配置SuperG"第127页上的"配置AtherosXR(ExtendedRange)"第128页上的"配置Wi-Fi多媒体服务质量"第132页上的"配置高级无线参数"第137页上的"使用无线接口"第139页上的"查看无线配置信息"第139页上的"配置范例"概念与范例ScreenOS参考指南110概述概述无线安全设备和系统可将无线用户或其它无线设备连接到有线或无线网络.
使无线设备可以访问局域网的设备即是无线接入点(AP).
本章中列出的功能要求使用具备内置无线接口的安全设备或系统.
ScreenOS在无线安全设备上运行以提供要与您现有或计划的有线网络接合的路由或防火墙服务.
与处理有线接口相同,可以为无线接口配置以下内容:IP地址/网络掩码和管理IP地址管理选项,例如WebUI、SNMP、Telnet、SSH或SSL地址转换域名服务(DNS)代理WebAuth动态主机配置协议(DHCP)服务器功能(不支持DHCP客户端或中继功能)以下无线ScreenOS功能使您可以管理和确保WLAN安全:每个系统最多支持四个WLAN最多支持16个服务集标识符(SSID)认证开放式有线等效加密(WEP)(共享密钥)WEP(802.
1X)Wi-Fi网络安全存取(WPA)(预共享密钥)WPA(802.
1X)WPA2(预共享密钥)WPA2(802.
1X)注意:所有无线平台都可一次支持多达四个活动无线接口.
注意:请参阅第2卷:基本原理和第8卷:地址转换.
无线网络基本功能配置111第4章:无线局域网加密高级加密标准(AES)临时密钥完整性协议(TKIP)WEPWi-Fi多媒体(WMM)服务质量功能使每个无线电波段性能几乎增加一倍的Turbo模式无线产品接口命名差异无线产品最多支持四个WLAN.
在WebUI和CLI中输入的命令因产品而异.
有些无线产品具有两个无线电收发器:2.
4GHz(WAN0)5GHz(WAN1)无线电收发器特定的参数自动显示在WebUI或CLI中.
无线网络基本功能配置某些无线功能必须进行配置,而对于其它功能则可以任意选择是否配置.
但每次对无线接口进行更改时,都必须重新激活WLAN(有关详细信息,请参阅第115页上的"重新激活WLAN配置").
本节包括以下内容:第112页上的"创建服务集标识符"第113页上的"为2.
4GHz无线电收发器设置运行模式"第113页上的"为5GHz无线电收发器设置运行模式"第115页上的"重新激活WLAN配置"注意:请参阅产品随附的有关容量声明的数据表.
概念与范例ScreenOS参考指南112无线网络基本功能配置创建服务集标识符无线网络由服务集标识符(SSID)来标识.
SSID使您可以使用一个无线安全设备来维护多个WLAN.
必须将SSID绑定到一个可绑定到某个安全区段的无线接口.
SSID是长度最多可达32个文本字符的唯一名称.
要在名称中使用空格,必须用双引号将名称括起来.
在下例中,您配置一个名称为"MyHomeNetwork"的SSID.
为增强安全性,应使该名称难以猜测,并且不要在SSID名称中包含设备地址.
WebUIWireless>SSID>New:在SSID字段中输入名称,然后单击OK.
CLIsetssidname"MyHomeNetwork"抑制SSID广播创建SSID后,可以禁用以安全设备通告的信标形式进行的SSID广播.
如果SSID广播被禁用,则只能与知道该SSID的无线客户端相关联.
缺省情况下,SSID以信标形式广播.
要抑制SSID广播,请使用以下WebUI:WebUIWireless>SSID>Edit(对于name_str):选择DisableSSIDBroadcast,然后单击OK.
CLIsetssidname_strssid-suppression隔离客户端通过隔离客户端,可禁止同一子网中的无线客户端相互直接通信.
这样可强制每个客户端通过防火墙通信.
缺省情况下,此选项禁用.
要禁止同一子网中的无线客户端相互直接通信,请使用以下步骤之一.
WebUIWireless>SSID>Edit(对于name_str):选择SSIDClientIsolation,然后单击OK.
CLIsetssidname_strclient-isolationenable注意:创建SSID时,不会受到安全设备上无线接口数量的限制.
SSID的数量可以超过无线接口的数量.
最多可将四个SSID绑定到无线接口.
在网络需要更改时,可通过将SSID绑定到无线接口或解除无线接口绑定来激活特定于站点或时间的WLAN.
无线网络基本功能配置113第4章:无线局域网为2.
4GHz无线电收发器设置运行模式可将WLAN0配置为在以下模式之一下运行:802.
11b模式(11b)兼容802.
11b的11g模式(11g)不兼容802.
11b的11g模式(11g-only)Turbo静态11g-only模式不兼容802.
11b的11g模式(11g-only)选项可防止安全设备与802.
11b客户端关联.
当选择11g选项时,设备允许与802.
11b和802.
11g客户端关联.
当选择11b选项时,则将设备设置为仅允许与802.
11b客户端关联.
Turbo模式为高性能选项.
缺省模式被设置为802.
11g;该模式允许连接802.
11g和802.
11b客户端.
要将运行模式设置为802.
11g,请使用以下步骤之一:WebUIWireless>WLAN>GeneralSettings:从OperationMode列表中选择802.
11g,然后单击Apply.
(如果安全设备具有一个以上无线电收发装置,请针对2.
4GHz无线电收发装置进行选择.
)CLI要将只具有一个无线电收发装置的安全设备的运行模式设置为802.
11g,请输入以下命令:setwlanmode11g要将具有两个无线电收发装置的安全设备的运行模式设置为802.
11g,请输入以下命令:setwlan0mode11g为5GHz无线电收发器设置运行模式可将WLAN1(即5GHz无线电收发器)配置为在802.
11a模式或Turbo模式下运行.
802.
11a模式在5GHz频段内运行并且是缺省运行模式.
通过启用Turbo模式,可提高下载性能.
在下例中,为WLAN1启用了Turbo模式.
注意:为安全设备启用Turbo模式时,只可连接支持11gturbo模式的客户端.
注意:为安全设备启用Turbo模式时,只可关联支持11aTurbo模式的客户端.
概念与范例ScreenOS参考指南114无线网络基本功能配置WebUIWireless>WLAN>GeneralSettings:从OperationMode列表中选择Turbo,然后单击Apply.
CLI要为WLAN1启用Turbo模式,请输入以下命令:setwlan1modeturbo配置最低数据传输速率可以每秒的兆位数(Mbps)为单位为发送帧设置最低数据传输速率.
数据传输速率取决于无线电类型,它可以是以下数字之一.
802.
11a:6,9,12,18,24,36,48,54启用了XR的802.
11a:0.
25,0.
5,3,6,9,12,18,24,36,48,54802.
11b:1,2,5.
5,11802.
11g:1,2,5.
5,6,9,11,12,18,24,36,48,54启用了XR的802.
11g:0.
25,0.
5,1,2,3,5.
5,11,6,9,12,18,24,36,48,54如果启用了Turbo模式:12,18,24,36,48,72,96,108作为缺省值的auto速率首先使用最佳速率,如果传输失败,则自动下降到下一个速率.
要配置数据传输速率,请使用以下步骤之一:WebUIWireless>GeneralSettings:从TransmitDataRate列表中选择速率(如果安全设备具有一个以上无线电收发装置,请针对所需无线电收发装置进行选择).
CLI要将只具有一个无线电收发装置的安全设备的数据传输速率设置为11Mbps,请输入以下命令:setwlantransmitrate11要将具有两个无线电收发装置的安全设备的5GHz无线电收发装置的数据传输速率设置为54Mbps,请输入以下命令:setwlan1transmitrate54无线网络基本功能配置115第4章:无线局域网配置传输功率可为安全设备设置传输功率并调整无线电量程.
可以最大传输功率为标准将功率级别设置为八分之一、四分之一、二分之一、最低功率或全功率,这里的最大传输功率即安全设备运行时所在国家/地区所允许的最大功率.
缺省设置是全功率.
要配置传输功率,请使用以下步骤之一:WebUIWireless>GeneralSettings:从TransmitPower列表中选择功率级别(如果安全设备具有一个以上无线电收发装置,请针对所需无线电收发装置进行选择).
CLI要将只具有一个无线电收发装置的安全设备的传输功率级别设置为二分之一,请输入以下命令:setwlantransmitpowerhalf要将具有两个无线电收发装置的安全设备的5GHz无线电收发装置的传输功率级别设置为二分之一,请输入以下命令:setwlan1transmitpowerhalf重新激活WLAN配置在对WLAN配置进行更改后,必须重新激活设备中的WLAN子系统,该子系统将重新启动无线接口.
仅当重新激活该子系统之后,任何与WLAN相关的配置更改才会生效.
重新激活过程需要60秒或更长时间才能完成,具体要取决于网络情况.
无线信息流被中断,并且无线客户端会话终止.
无线客户端必须重新连接到无线网络才能重新建立连接.
要重新激活系统,请使用以下步骤之一:WebUI对于只具有一个无线电收发装置的安全设备:Wireless>ActivateChanges:单击ActivateChanges按钮.
对于具有两个无线电收发装置的安全设备:单击任一无线页面顶部的ActivateChanges按钮.
CLI要重新激活WLAN,请输入以下命令:execwlanreactivate概念与范例ScreenOS参考指南116为SSID配置认证和加密为SSID配置认证和加密认证和加密设置特定于每个SSID.
可为每个SSID配置不同的认证和加密优先级.
ScreenOS支持WLAN的以下认证和加密机制:认证开放式WEP(共享密钥)WEP(802.
1X)WPA(预共享密钥)WPA(802.
1X)WPA2(预共享密钥)WPA2(802.
1X)加密高级加密标准(AES)临时密钥完整性协议(TKIP)WEP以下各节将介绍WEP、WPA和WPA2并说明如何在SSID中配置它们.
有关EAP和802.
1X的详细信息,请参阅第9-83页上的"无线接口和以太网接口的可扩展认证".
配置有线等效加密"有线等效加密"(WEP)为无线通信提供了机密性.
通过无线链接传送数据时,它使用RivestCipher4(RC4)流密码算法来加密和解密数据.
可在本地存储WEP密钥或与外部认证服务器动态协商密钥.
而无线客户端又将此密钥存储在其系统上.
ScreenOS支持两种WEP密钥长度:40和104位.
由于密钥与24位初始化向量(IV)连接,因此最终长度为64和128位.
多个WEP密钥最多可为每个SSID创建四个WEP密钥.
如果只创建一个WEP密钥,无线设备将使用该密钥对此SSID中的无线客户端进行认证并且加密和解密其本身与客户端之间发送的信息流.
注意:有些第三方无线客户端在指定其WEP密钥长度时包括了24位IV.
为避免连接问题,在无线设备上描述为40或104位的WEP密钥长度实际上可能与客户端上描述为64或128位的密钥长度相同.
为SSID配置认证和加密117第4章:无线局域网还可在无线设备上定义多个WEP密钥,最多可为一个SSID定义四个密钥.
通过使用多个密钥,您可以针对同一SSID中的不同无线客户端来调整安全级别.
对于有些信息流,可以使用较长的密钥来提供更高的安全性,而对于其它不太重要的信息流,则可以使用较短的密钥以降低处理开销.
无线设备将指定为default的WEP密钥用于加密,将其它密钥(或再次使用缺省密钥)用于认证和解密.
如果没有指定缺省密钥,则定义的第一个密钥将成为缺省密钥.
关于WEP密钥存储和密钥ID号,请注意以下几点:当客户端使用来自外部RADIUS服务器的唯一的、动态创建的WEP密钥时,无线设备也将使用此唯一的特定密钥进行双向通信(无线设备也是从RADIUS服务器接收此密钥).
当无线客户端使用本地存储在无线设备上的、静态定义的WEP密钥时,设备将使用缺省密钥来对其发送的所有无线信息流进行加密.
客户端还要必须加载此密钥才能解密来自无线设备的信息流.
如果将多个WEP密钥均存储在无线设备上,缺省密钥ID可为1、2、3或4.
如果将一些WEP密钥存储在无线设备上但使用来自外部RADIUS服务器的、动态创建的WEP密钥,则无线设备上的缺省WEP密钥的ID不能为1,因为RADIUS服务器将1用作其所有密钥的ID.
无线设备可将密钥ID为2、3或4的缺省WEP密钥用于加密,并将ID为1、2、3或4的静态定义的WEP密钥用于认证和解密.
如果独占使用来自RADIUS服务器的WEP密钥,则服务器的所有密钥的密钥ID都将使用1.
RADIUS将为每个客户端的每个会话都创建并分发一个不同的密钥.
在对接收自无线客户端的信息流进行认证和解密时,可指定另外一个本地存储的密钥以供无线设备使用.
客户端必须加载此密钥及其ID号才能对其自身进行认证以及对发送到设备的信息流进行加密.
(如果客户端未提供密钥ID,设备将尝试使用缺省WEP密钥对客户端进行认证以及对其信息流进行解密.
)图22显示了在WEP密钥分别为本地存储和来自RADIUS服务器时,无线设备将如何处理无线连接请求.
注意:如果客户端仅将一个密钥用于加密、解密和认证,则它必须使用缺省WEP密钥.
概念与范例ScreenOS参考指南118为SSID配置认证和加密图22:在RADIUS服务器上使用WEP的连接过程配置开放式认证可以配置开放式认证,这种认证规定不进行任何认证.
无线客户端提供SSID并且与无线网络连接.
使用开放式认证时,可以指定以下加密密钥选项:NoencryptionWEPencryptionLocalkeysource:WEP密钥存储在安全设备上.
必须指定缺省密钥.
Server:WEP密钥是从RADIUS服务器协商的动态密钥.
Both:仅供具有一个无线电收发装置的安全设备使用,WEP密钥存储在该设备和RADIUS服务器上.
必须指定缺省密钥.
最多可为每个SSID指定四个WEP密钥.
数据包是否加密否数据包是否为EAPOL*使用来自RADIUS服务器的协商密钥进行认证和解密.
将数据包转发给RADIUS服务器,该服务器将对客户端进行认证并协商一个唯一密钥.
RADIUS服务器将密钥资料分发给客户端和AP.
密钥ID是否为1使用本地指定的WEP密钥(ID=1)进行认证和解密.
*丢弃数据密钥ID1是否在本地定义*可以指定与缺省密钥相同或不同的密钥.
数据包到达无线接口客户端是否拥有唯一密钥使用本地指定的WEP密钥(ID=2、3或4)进行认证和解密.
*丢弃数据包是否否否是是是是否为SSID配置认证和加密119第4章:无线局域网使用从RADIUS服务器获取的WEP密钥配置开放式认证以下范例对名为hr的SSID使用了以下参数:开放式认证WEP加密从名为rs1的RADIUS服务器获取的动态生成的WEP密钥WebUI如果您的安全设备只具有一个无线电收发装置,请使用以下步骤:Wireless>SSID>Edit:输入以下内容,然后单击OK:WEPBasedAuthenticationandEncryptionMethods:Open,WEPEncryptionKeySource:ServerAuthServer:rs1(如果尚未存在,则单击CreatenewAuthServer来定义RADIUS服务器)如果您的安全设备具有两个无线电收发装置,请使用以下步骤:Wireless>SSID>Edit:输入以下内容,然后单击OK.
802.
1XBasedAuthenticationandEncryptionMethods:802.
1XAuthServer:rs1(如果尚未存在,则单击CreatenewAuthServer来定义RADIUS服务器)CLI如果您的安全设备只具有一个无线电收发装置,请使用以下命令:setssidhrauthenticationopenencryptionwepkey-sourceserverrs1如果您的安全设备具有两个无线电收发装置,请使用以下命令:setssidhrauthentication802.
1xauth-serverrs1使用本地WEP密钥配置开放式认证以下范例对名为hr的SSID使用了以下参数:开放式认证WEP加密本地存储在安全设备上的WEP密钥KeyID:1Keylength:40-bitASCIItext:1a2i3KeywithID1isdefaultkey概念与范例ScreenOS参考指南120为SSID配置认证和加密WebUI如果您的安全设备具有两个无线电收发装置,请使用以下步骤:Wireless>SSID>Edit:输入以下内容,然后单击OK.
WEPBasedAuthenticationandEncryptionMethods:Open,WEPEncryption单击WEPKey,输入以下内容,然后单击Add:KeyID:1KeyLength:40KeyString:选择ASCII并输入1a2i3(在Confirm字段中再次提供)DefaultKey(选择)CLI如果您的安全设备具有两个无线电收发装置,请使用以下命令:setssidhrkey-id1length40methodasciitext1a2i3defaultsetssidhrauthenticationopenencryptionwep配置WEP共享密钥认证可配置一个静态WEP密钥存储在用于认证客户端的安全设备上,被认证的客户端也会在其自身的无线设备上配置该静态WEP密钥.
最多可为每个SSID创建四个WEP密钥.
可通过提供一个5位数的十六进制数字或一个由5个ASCII字符组成的字符串来指定40位加密.
通过提供一个26位数的十六进制数字或一个由13个ASCII字符组成的字符串来指定104位加密.
以下范例对名为hr的SSID使用了以下参数:WEPshared-keyKeyID:1Keylength:40-bitASCIItext:1a2i3KeywithID1isdefaultkeyWebUIWireless>SSID>Edit:输入以下内容,然后单击OK.
WEPBasedAuthenticationandEncryptionMethods:WEPSharedKey单击WEPKey,输入以下内容,然后单击Add:KeyID:1KeyLength:40KeyString:选择ASCII并输入1a2i3(在Confirm字段中再次提供)DefaultKey(选择)为SSID配置认证和加密121第4章:无线局域网CLIsetssidhrauthenticationshared-keysetssidhrkey-id1length40methodasciitext1a2i3defaultScreenOS提供了用于与无线客户端自动协商的机制(无论该客户端是否用WEP共享密钥对其自身进行认证).
如果要允许使用支持不同WEP实现的多种操作系统来访问无线客户端,则使用此选项可以提高兼容性.
要启用自动协商,请执行以下操作之一:WebUIWireless>SSID>Edit(对于name_str):选择Auto.
CLIsetssidname_strauthenticationauto配置Wi-Fi网络安全存取"Wi-Fi网络安全存取"(WPA)是针对WLAN认证和加密问题的一种更为安全的解决方案,它旨在解决WEP中存在的许多缺点.
ScreenOS支持WPA和WPA2.
WPA和WPA2支持802.
1X认证,该认证使用"可扩展认证协议"(EAP)方法通过RADIUS服务器进行认证.
EAP是一种用于认证的封装协议,它在"数据链路层"(第2层)运行.
有关详细信息,请参阅RFC2284,PPPExtensibleAuthenticationProtocol(EAP).
ScreenOS可与符合802.
1X的RADIUS服务器实现互操作,如JuniperNetworksSteel-BeltedRADIUS服务器和MicrosoftInternetAuthenticationService(IAS)RADIUS服务器.
在将WPA或WPA2与RADIUS服务器配合使用时,安全设备会在无线客户端和RADIUS服务器之间转发认证请求和回复.
成功认证某客户端后,RADIUS服务器会向该客户端和安全设备发送一个加密密钥.
从这时起,开始由安全设备管理加密过程,包括加密类型("临时密钥完整性协议"(TKIP)或"高级加密标准"(AES))和重定密钥时间间隔.
有关TKIP的信息,请参阅IEEE标准802.
11.
有关AES的信息,请参阅RFC3268,AdvancedEncryptionStandard(AES)CiphersuitesforTransportLayerSecurity(TLS).
还可将WPA或WPA2与预共享密钥配合使用,预共享密钥是在安全设备和客户端设备上配置的静态密钥.
两个设备均使用该密钥为会话生成一个唯一密钥(组密钥).
可使用ASCII密码短语(密码)或以十六进制格式指定预共享密钥.
还可使用802.
1X认证使用的同一加密类型:TKIP或AES.
如果想要允许将WPA和WPA2用作认证类型,在将802.
1X用作认证方法的情况下,可指定wpa-auto关键字(或WebUI选项),在将预共享密钥用作认证方法的情况下,则指定wpa-auto-psk关键字(或WebUI选项).
注意:尽管可为所有SSID配置WEP,但设备会有意限制WEP的使用,每次只能用于一个接口.
基于上述原因,我们建议使用WPA或WPA2.
概念与范例ScreenOS参考指南122为SSID配置认证和加密为WPA和WPA2配置802.
1X认证要为WPA和WPA2配置802.
1X认证,请指定以下内容:RADIUS服务器加密类型:除TKIP或AES之外,还可指定auto,该选项将TKIP和AES指定为加密类型.
重定密钥时间间隔:在客户端的组密钥更新之前所经过的时间.
缺省情况下,重定密钥时间间隔为1800秒(30分钟).
取值范围为30到4294967295秒.
使用disableCLI关键字或在WebUI中指定零(0)来禁用重定密钥时间间隔.
除了将WPA或WPA2指定为认证类型之外,还可指定auto选项,该选项允许将WPA和WPA2用作认证类型.
以下范例对名为hr的SSID使用了以下参数:WPA(autooption)RADIUSservernamedrs1Rekeyintervalof3600secondsEncryptiontypeofAESWebUIWireless>SSID>(选择hrSSID):输入以下信息,然后单击OK:WPABasedAuthenticationandEncryptionMethods:WPAAutoPre-sharedKeyAuthServer:rs1(如果尚未存在,则单击CreatenewAuthServer来定义RADIUS服务器)RekeyInterval:3600EncryptionType:AESCLIsetssidhrauthenticationwpa-autorekey-interval3600encryptionaesauth-serverrs1为WPA和WPA2配置预共享密钥认证要为WPA和WPA2配置预共享密钥认证,请指定以下内容:预共享密钥十六进制格式:以原始格式指定密钥,即256位(64个字符)十六进制值.
ASCII密码短语:指定一个用于访问SSID的密码短语,由8到63个ASCII字符组成.
加密类型:除TKIP或AES之外,还可指定auto,该选项将TKIP和AES指定为加密类型.
重定密钥时间间隔:在客户端的组密钥更新之前所经过的时间.
缺省情况下,重定密钥时间间隔为1800秒(30分钟).
取值范围为30到4294967295秒.
使用disableCLI关键字或在WebUI中指定零(0)来禁用重定密钥时间间隔.
指定天线用法123第4章:无线局域网除了将WPA或WPA2指定为认证类型之外,还可指定auto选项,该选项允许将WPA和WPA2用作认证类型.
以下范例对名为hr的SSID使用了以下参数:WPA2PresharedkeyusingASCIIpassphraseof$FKwinnisJamesTown8fg4Rekeyintervalof3600secondsEncryptiontypeofTKIPWebUIWireless>SSID>(选择hrSSID):输入以下信息,然后单击OK:WPABasedAuthenticationandEncryptionMethods:WPA2Pre-sharedKeyKeybyPassword:$FKwinnisJamesTown8fg4(在ConfirmKeybyPassword字段中再次提供密码短语)RekeyInterval:3600EncryptionType:TKIPCLIsetssidhrauthenticationwpa2-pskpassphrase$FKwinnisJamesTown8fg4encryptiontkiprekey-interval3600指定天线用法无线安全设备允许您选择一个特定天线或启用天线分集.
选择分集后,将使用天线A或天线B中信号较强的那个天线.
缺省设置为分集.
分集设置适用于大多数情况.
要使用外部单向天线,可指定天线A或天线B.
对于某些安全设备,天线A是最靠近电源插座的天线.
天线A和天线B已在某些安全设备上予以标注.
有关详细信息,请参阅您的硬件手册.
要更改天线设置,请使用以下步骤之一:WebUIWireless>GeneralSettings:从AntennaDiversity列表中选择天线设置,然后单击OK.
CLI要为只具有一个无线电收发装置的安全设备选择天线A,请输入以下命令:setwlanantennaa要为具有两个无线电收发装置的安全设备的5GHz无线电收发装置选择天线A,请输入以下命令:setwlan1antennaa概念与范例ScreenOS参考指南124设置国家/地区代码、通道和频率设置国家/地区代码、通道和频率用于通道分配的调节域已被预设为FCC(美国)、TELEC(日本)、ETSI(欧洲)或WORLD(所有国家/地区).
ETSI调节域仅可供具有两个无线电收发装置的安全设备使用.
无法更改预设调节域.
如果调节域被预设为FCC或TELEC,则不能选择国家/地区.
如果调节域为WORLD或ETSI,则必须选择一个国家/地区.
如果未为预设为WORLD或ETSI的设备设置国家/地区,将显示一条警告消息,并且无线功能将失效.
无线安全设备对同一无线电收发器中的所有SSID都使用相同的通道和频率.
该设备会根据所输入的国家/地区代码自动选择相应的通道(除非手动选择一个特定通道).
正在使用的通道在WebUI中的通道列表中显示.
如果将设置保留为auto,则设备可自己选择通道.
有关可用国家/地区代码、通道和频率的列表,请参阅第A-I页上的"无线信息".
要配置国家/地区代码和通道,请使用以下步骤之一:WebUIWireless>GeneralSettings:从下拉列表中选择国家/地区代码、通道和频率,然后单击Apply.
CLIsetwlancountry-codecountry_abbreviationsetwlan{0|1}channel{auto|1|2|3|.
.
.
}使用扩展通道如果安全设备位于允许使用通道12和13的调节域,则可启用2.
4GHz无线电收发器来使用它们.
WebUIWireless>GeneralSettings:选中ExtendedChannelMode复选框.
CLI对于只具有一个无线电收发装置的安全设备,请输入以下命令:setwlanextended-channel对于具有两个无线电收发装置的安全设备,请输入以下命令:setwlan0extended-channel执行站点勘测125第4章:无线局域网执行站点勘测可对广播周围进行扫描以查看附近是否有其它任何在广播的接入点.
运行站点勘测使您可以查看该区域内是否有任何恶意接入点.
站点勘测将检测其区域内是否存在任何发射信标的接入点,并对于检测到的每个接入点都会记录以下详细信息:服务集标识符(SSID)MAC地址接收信号强度指示器(RSSI)RSSI数以分贝(dB)为单位测量,用来指示信噪比(SNR).
SNR是用信号电平除以噪声电平,计算得出的值代表信号强度.
广播通道除了在最初执行站点勘测之外,您可能还希望不定期地执行勘测以确保区域中不会出现恶意接入点.
要执行站点勘测:WebUIWIreless>Statistics>SiteSurveyCLIexecwlansite-survey查找可用通道使用CLI,可以为用于传输的设备查找最佳无线电通道.
如果不想使用自动选择通道的缺省设置而是想查找干扰最低的通道,请使用此命令.
要查找可用的最佳通道,请使用以下命令:execwlanfind-channel注意:根据网络情况,最多可能需要60秒来完成站点勘测和中断无线网络信息流.
注意:WebUI中未提供此功能.
概念与范例ScreenOS参考指南126设置访问控制列表条目设置访问控制列表条目通过访问控制列表(ACL),您可对哪些无线客户端有权访问网络进行控制.
ACL用客户端的MAC地址来标识客户端,并指定无线设备是允许还是拒绝对每个地址的访问.
ACL可在以下三种访问模式之一下运行:Disabled:无线设备不过滤任何MAC地址.
此为缺省模式.
Enabled:无线设备允许访问除标有Deny操作的客户端之外的所有客户端.
Strict:无线设备拒绝访问除标有Allow操作的客户端之外的所有客户端.
最多可以定义64个拒绝的客户端和64个允许的客户端.
要将MAC地址添加到ACL,请使用以下步骤之一:WebUIWireless>MACAccessList:输入以下内容,然后单击Add:AccessMode:(从列表中选择三种模式之一)InputanewMACaddress:(键入无线客户端的MAC地址)ControlStatus:(选择Allow或Deny)在WebUI中,也可以从SelectalearnedMACaddress列表中选择一个MAC地址.
当某个无线客户端与该无线设备建立关联时,相应条目将显示在此列表中.
此列表是所有当前已关联的无线客户端的动态显示,而不管它们属于哪个SSID.
CLIsetwlanaclmode{disable|enable|strict}setwlanaclmac_addr{deny|allow}注意:ACL设置以全局方式应用于所有SSID.
注意:还可以通过Wireless>GeneralSettings页面上的MACAddressAccessControl列表设置访问模式.
配置SuperG127第4章:无线局域网配置SuperG在使用具备SuperG功能的AtherosCommunications芯片集的无线设备中,可以启用SuperG,该技术可利用以下方法将802.
11a和802.
11g客户端的用户数据吞吐率提高到4Mbps:猝发:使设备可以在一次猝发中传输多个帧而不是在传输每个帧之后都暂停一段时间.
快速帧:通过允许帧大小超出标准来允许每个帧传输更多信息.
压缩:链路级硬件压缩由内置的数据压缩引擎执行.
缺省情况下,此功能禁用.
如果无线客户端不支持SuperG而安全设备启用了SuperG,则这些无线客户端仍可连接到无线网络,但SuperG功能不可用.
要启用SuperG,请使用以下步骤之一:WebUIWireless>GeneralSettings:选中Super-G复选框(如果安全设备具有一个以上无线电收发装置,请针对所需无线电收发装置进行选择).
CLI要对只具有一个无线电收发装置的安全设备启用SuperG,请输入以下命令:setwlansuper-g要对具有两个无线电收发装置的安全设备的5GHz无线电收发装置启用SuperG,请输入以下命令:setwlan1super-g配置AtherosXR(ExtendedRange)您可以启用AtherosCommunicationseXtendedRange(XR)技术.
XR处理由IEEE802.
11a和802.
11g标准定义的802.
11信号,以使无线网络比往常具有更少的"死点"和更大的量程.
XR可更有效地处理较弱信号并且实现了更大的覆盖范围.
XR以较低的数据传输速率来提供增大的覆盖范围.
只有每个无线电收发装置的第一个活动SSID才支持XR.
当启用XR后,每个无线电收发装置的第一个活动SSID就会使用XR功能.
要启用XR,请使用以下步骤之一:WebUIWireless>GeneralSettings:选中XRSupport复选框(如果安全设备具有一个以上无线电收发装置,请针对所需无线电收发装置进行选择).
注意:有关AtherosCommunicationsSuperG芯片集的详细信息,请访问www.
atheros.
com.
概念与范例ScreenOS参考指南128配置Wi-Fi多媒体服务质量CLI要对只具有一个无线电收发装置的安全设备启用XR,请输入以下命令:setwlanxr要对具有两个无线电收发装置的安全设备的5GHz无线电收发装置启用XR,请输入以下命令:setwlan1xr配置Wi-Fi多媒体服务质量Wi-Fi多媒体(WMM)服务质量(QoS)功能使您可以调整音频、视频和语音应用程序的传输优先级以适应每个应用程序的不同等待时间和吞吐量要求,从而提高无线网络性能.
缺省情况下,WMM禁用.
WMM基于802.
11e中所定义的"增强分散式通道存取"(EDCA).
有关WMM的详细信息,请访问http://www.
wi-fi.
org.
并非所有安全设备都可使用此功能.
启用WMM可对2.
4GHz无线电收发装置(WLAN0)或5GHz无线电收发装置(WLAN1)启用WMM.
要启用WMM,请使用以下步骤之一:WebUIWireless>WMMSettings:选择所需无线电收发装置的Enable单选按钮,然后单击Apply.
CLIsetwlan[0|1]wmmenable配置WMM服务质量启用WMM后,可配置WMM参数以适应网络要求.
可将WMM配置为从每个连接末端开始运行:接入点(ap)和站(sta).
ap是安全设备的WMM配置.
sta是客户端的WMM配置.
客户端在内部根据四个AC将信息流排队,然后在基于所设置的参数检测到传输机会时再发送数据包.
仅在安全设备或客户端(站)发送数据包时才使用WMM设置.
配置Wi-Fi多媒体服务质量129第4章:无线局域网访问类别基于"互联网工程工作小组"(IETF)的"差异服务代码点"(DSCP)报头,安全设备和客户端将信息流划分到四种访问类别(AC)之一中:Besteffort(尽力服务)(0)-无法处理QoS级别的信息流以及对等待时间不太敏感但可被长时间延迟影响的信息流.
Backgroundpriority(后台优先级)(1)-低优先级信息流Video(视频)(2)-视频信息流的优先级要高于其它数据信息流Voice(语音)(3)-语音信息流的优先级最高表3列出了访问类别和"服务类型"(TOS)之间的映射关系.
表3:访问类别和TOS的映射关系虽然特定优先级和设置与每个AC相关联,但可通过WebUI或CLI覆盖这些设置.
WMM缺省设置以下术语描述了可配置的WMM参数并且在表4和表5中作为列标题显示,这两个表格列出了接入点(安全设备)和站(客户端)配置的缺省设置:aifs"独有帧间间隔数"(AIFSN)用于指定在一个SIFS期间过后,某AC所对应的安全设备和客户端在传输或执行退避之前检查媒质是否空闲所用的时隙数.
logcwmin和logcwmaxWMM定义了一个等同于随机退避时段的"竞争窗口"(CW).
CWmin参数用于指定某特定AC所对应的安全设备和客户端为退避生成随机数所使用的竞争窗口最小时隙数.
如果logcwmin为x,则CWmin为2x-1.
CWmax参数用于指定某特定AC所对应的安全设备和客户端为退避生成随机数所使用的竞争窗口最大时隙数.
如果logcwmax为x,则CWmax为2x-1.
ScreenOS不支持无竞争访问或计划访问.
访问类别TOS值Voice0xC0、0xB8、0xE0Video0x80、0xA0、0x88Besteffort0x00、0x60或其它Background0x40、0x20注意:不支持802.
1d标记.
概念与范例ScreenOS参考指南130配置Wi-Fi多媒体服务质量txoplimit"传输机会"用于指定安全设备和客户端可发起传输的最长时间.
如果将txoplimit设置为x,则最长时间为32*x微秒.
ackpolicy可为接入点启用或禁用确认策略.
此参数不适用于客户端.
表4列出了应用程序类型WMM中的安全设备在所有受支持无线模式下的缺省值.
缺省情况下,所有无线模式都禁用ackpolicy.
表4:按AC排列的接入点WMM缺省值AC无线模式aifslogcwminlogcwmaxtxoplimitBestEffort(0)802.
11a3460802.
11aTurbo2350802.
11b3570802.
11g3460802.
11gTurbo2350XR0330Background(1)802.
11a74100802.
11aTurbo73100802.
11b75100802.
11g74100802.
11gTurbo74100XR0330Video(2)802.
11a13494802.
11aTurbo12394802.
11b145188802.
11g13494802.
11gTurbo12394XR0330Voice(3)802.
11a12347802.
11aTurbo12247802.
11b134102802.
11g12347802.
11gTurbo12247XR0330配置Wi-Fi多媒体服务质量131第4章:无线局域网表5列出了在客户端(sta)WMM配置的所有受支持无线模式下的缺省值.
表5:按AC排列的站WMM缺省值范例在下例中,对5GHz无线电收发器使用了WMM的站配置,并如下更改了语音信息流(A=0)的设置:logcwmin:零(0)logcwmax:15aifs:4txoplimit:10AC无线模式aifslogcwminlogcwmaxtxoplimitBestEffort802.
11a34100802.
11aTurbo23100802.
11b35100802.
11g34100802.
11gTurbo23100XR0330Background802.
11a74100802.
11aTurbo73100802.
11b75100802.
11g74100802.
11gTurbo74100XR0330Video802.
11a23494802.
11aTurbo22394802.
11b245188802.
11g23494802.
11gTurbo22394XR0330Voice802.
11a22347802.
11aTurbo12247802.
11b234102802.
11g22347802.
11gTurbo12247XR0330概念与范例ScreenOS参考指南132配置高级无线参数要使用这些设置配置WMM:WebUIWireless>WMMSettings:输入所需设置,然后单击Apply.
CLIsetwlan1wmmsta0logcwmin0setwlan1wmmstalogcwmax15setwlan1aifs4setwlan1txoplimit10save配置高级无线参数本节包含有关高级无线参数的信息.
您可能需要在某些类型的无线部署中稍作更改以提高性能.
本节介绍了以下高级无线功能:第133页上的"配置老化时间间隔"第133页上的"配置信标时间间隔"第134页上的"配置传送信息流指示消息周期"第134页上的"配置猝发临界值"第134页上的"配置分段临界值"第135页上的"配置请求发送临界值"第135页上的"配置清除发送模式"第136页上的"配置清除发送速率"第136页上的"配置清除发送类型"第136页上的"配置时隙时间"第137页上的"配置前导码长度"配置高级无线参数133第4章:无线局域网配置老化时间间隔可指定在没有任何信息流发往或发自某无线客户端的情况下该客户端断开连接前所经过的时间.
此值可介于60秒到1,000,000秒之间.
缺省值为300秒.
要禁用老化,请使用setwlanadvancedaging-intervaldisable命令.
当老化时间间隔过去且客户端断开连接后,该客户端的MAC信息将从安全设备的MAC表中删除.
每个无线电收发装置的MAC表最多可包含60个客户端MAC地址.
由于在MAC表被占满时将会拒绝连接新客户端,因此设置老化时间间隔可以将连接未被使用的现有客户端断开并及时将其MAC地址从MAC表中删除.
要将2.
4GHz无线电收发装置的老化时间间隔设置为500秒,请使用以下步骤之一:WebUIWireless>GeneralSettings>Advanced:输入以下内容,然后单击Return:AgingInterval:500(对于具有两个无线电收发装置的设备,指定WLAN0的老化时间间隔)CLI要更改具有一个无线电收发装置的安全设备的老化时间间隔,请输入以下命令:setwlanadvancedaging-interval500要将具有两个无线电收发装置的安全设备的2.
4GHz无线电收发装置的老化时间间隔更改为500秒,请输入以下命令:setwlan0advancedaging-interval500配置信标时间间隔可配置发送信标的时间间隔.
取值范围为20到1,000个时间单位(1个时间单位等于1024s).
缺省值为100个时间单位.
要将2.
4GHz无线电收发器的信标时间间隔设置为200个时间单位(2048s),请使用以下步骤之一:WebUIWireless>GeneralSettings>Advanced:输入以下内容,然后单击Return:BeaconInterval:200(对于具有两个无线电收发装置的设备,指定WLAN0的信标时间间隔)CLI要更改具有一个无线电收发装置的安全设备的信标时间间隔,请输入以下命令:setwlanadvancedbeacon-interval200要更改具有两个无线电收发装置的安全设备的2.
4GHz无线电收发装置的信标时间间隔,请输入以下命令:setwlan0advancedbeacon-interval200概念与范例ScreenOS参考指南134配置高级无线参数配置传送信息流指示消息周期可设置在发送传送信息流指示消息(DTIM)之前要发送的信标数.
增加DTIM周期将减少发送到客户端的广播数量.
取值范围为1到255.
缺省值为1个信标时间间隔.
要将DTIM周期设置为2,请使用以下步骤之一:WebUIWireless>GeneralSettings>Advanced:输入以下内容,然后单击Return:DTIMPeriod:2(对于具有两个无线电收发装置的设备,指定WLAN0的DTIM周期)CLI要更改具有一个无线电收发装置的安全设备的DTIM周期,请输入以下命令:setwlanadvanceddtim-period2要更改具有两个无线电收发装置的安全设备的2.
4GHz无线电收发装置的DTIM周期,请输入以下命令:setwlan0advanceddtim-period2配置猝发临界值可设置一次猝发中的最多帧数.
有效值范围介于2到255之间.
缺省值为3.
并非所有安全设备都可使用此功能.
要将猝发临界值更改为5,请使用以下步骤之一:WebUIWireless>GeneralSettings>Advanced:输入以下内容,然后单击Return:BurstThreshold:5CLIsetwlanadvancedburst-threshold5配置分段临界值可设置某个帧在传输前要被分为多个帧所应遵守的最大长度限值.
取值范围介于偶数256到2346之间.
缺省值为2346.
要将2.
4GHz无线电收发装置的分段临界值设置为500,请使用以下步骤之一:WebUIWireless>GeneralSettings>Advanced:输入以下内容,然后单击Return:FragmentThreshold:500(对于具有两个无线电收发装置的设备,指定WLAN0的分段临界值)配置高级无线参数135第4章:无线局域网CLI要更改具有一个无线电收发装置的安全设备的分段临界值,请输入以下命令:setwlanadvancedfragment-threshold500要设置具有两个无线电收发装置的安全设备的2.
4GHz无线电收发装置的分段临界值,请输入以下命令:setwlan0advancedfragment-threshold500配置请求发送临界值可设置使用"请求发送"(RTS)方法发送某帧之前该帧应遵守的最大长度限值.
取值范围介于256到2346之间.
缺省值为2346.
要将2.
4GHz无线电收发装置的RTS临界值设置为500,请使用以下步骤之一:WebUIWireless>GeneralSettings>Advanced:输入以下内容,然后单击Return:RTSThreshold:500(对于具有两个无线电收发装置的设备,指定WLAN0的RTS临界值)CLI要更改具有一个无线电收发装置的安全设备的RTS临界值,请输入以下命令:setwlanadvancedrts-threshold500要设置具有两个无线电收发装置的安全设备的2.
4GHz无线电收发装置的RTS临界值,请输入以下命令:setwlan0advancedrts-threshold500配置清除发送模式"清除发送"(CTS)保护可阻塞确认(ACK)数据包以减少运行802.
11所需的某些开销.
缺省设置为auto.
缺省情况下,安全设备将检测客户端的CTS设置.
还可以选择on以始终使用CTS或选择off以始终禁用CTS.
在修改安全设备的缺省行为时,可能还必须修改CTS速率和类型,详见"配置清除发送速率"和"配置清除发送类型".
要关闭CTS保护,请使用以下步骤之一:WebUIWireless>GeneralSettings>Advanced:选择以下内容,然后单击Return:CTSMode:OffCLIsetwlanadvancedcts-modeoff注意:此功能在802.
11b无线模式下无效且并非可供所有安全设备使用.
概念与范例ScreenOS参考指南136配置高级无线参数配置清除发送速率可以设置发送CTS帧的速率(以Mbps为单位).
此功能在802.
11b无线模式下无效且并非可供所有安全设备使用.
有效值为1、2、5.
5和11Mbps.
缺省值为11Mbps.
要将CTS速率设置为5.
5,请使用以下步骤之一:WebUIWireless>GeneralSettings>Advanced:选择以下内容,然后单击Return:CTSRate:5.
5CLIsetwlanadvancedcts-rate5.
5配置清除发送类型ScreenOS提供两种"清除发送"(CTS)保护类型:CTS-only和CTS-RTS.
CTS的用途是减少两个无线客户端之间的冲突.
CTS-only选项(缺省设置)可强制安全设备在转发任何数据之前先等待一个CTS帧.
CTS-RTS(请求发送)选项可强制安全设备在转发数据之前先完成一次RTS-CTS握手.
并非所有安全设备都可使用此功能.
要将CTS类型设置为CTS-only,请使用以下步骤之一:WebUIWireless>GeneralSettings>Advanced:选择以下内容,然后单击Return:CTSType:CTSOnlyCLIsetwlanadvancedcts-typects-only配置时隙时间如果将时隙时间设置为long,则安全设备仅使用长时隙时间.
缺省情况下,安全设备使用短时隙时间.
此功能仅在802.
11g模式下使用.
要为2.
4GHz无线电收发装置启用长时隙时间,请使用以下步骤之一:WebUIWireless>GeneralSettings>Advanced:选中LongSlotTime复选框,然后单击Return.
CLI要为具有一个无线电收发装置的安全设备启用长时隙时间,请输入以下命令:setwlanadvancedslot-timelong要为具有两个无线电收发装置的安全设备的2.
4GHz无线电收发装置启用长时隙时间,请输入以下命令:setwlan0advancedslot-timelong使用无线接口137第4章:无线局域网配置前导码长度可将传输前导码从短型修改为长型.
当设置为长型时,只使用长前导码.
当启用短型时,长短两种前导码都可使用.
缺省设置为短型.
此命令仅在设置802.
11b和802.
11g模式下的2.
4GHz无线电收发器时适用.
WebUIWireless>GeneralSettings>Advanced:选中LongTransmitPreamble复选框,然后单击Return.
CLI要为具有一个无线电收发装置的安全设备启用长前导码,请输入以下命令:setwlanadvancedlong-preamble要为具有两个无线电收发装置的安全设备的2.
4GHz无线电收发装置启用长前导码,请输入以下命令:setwlan0advancedlong-preamble使用无线接口本节将介绍以下可通过无线接口执行的任务.
将SSID绑定到无线接口最初启动安全设备时,存在数个无线接口,但它们并未与SSID关联.
创建SSID后,需要将接口绑定到该SSID才能激活接口.
对于具有一个无线电收发装置的安全设备,创建SSID后,必须将其绑定到一个已绑定到特定安全区段的无线接口.
对于具有两个无线电收发装置的安全设备,可将无线接口绑定到某区段或放置在某个桥接组(bgroup)中.
有关桥接组的详细信息,请参阅第138页上的"创建无线桥接组".
要将SSID绑定到无线接口,请使用以下步骤之一:WebUIWireless>SSID>Edit(对于要绑定到接口的SSID):从WirelessInterfaceBinding列表中选择一个接口,然后单击OK.
或对于具有一个无线电收发装置的安全设备,执行以下操作:Network>Interfaces>Edit:从BindtoSSID列表中选择SSID,然后单击OK.
对于具有两个无线电收发装置的安全设备,执行以下操作:Network>Interfaces>List>Edit:从BindtoSSID列表中选择SSID,然后单击OK.
CLIsetssidname_strinterfaceinterface概念与范例ScreenOS参考指南138使用无线接口将无线接口绑定到无线电收发装置在某些安全设备上,可指定某无线接口所使用的无线电收发装置.
缺省情况下,无线接口被绑定到两个无线电收发装置并且可在802.
11a、802.
11b或802.
11g模式下运行.
可以启用以下选项:0,在802.
11b和802.
11g模式下只启用2.
4GHz无线电收发器.
1,在802.
11a模式下只启用5GHz无线电收发器.
both,对接口同时启用两个无线电收发器(2.
4GHz和5GHz)(802.
11a/b/g模式下).
例如,如果使用setwlanmode命令将802.
11b指定为运行模式并且选择0选项,则只有2.
4GHz无线电收发装置可供用于绑定无线接口.
要指定wireless0/0接口使用2.
4GHz无线电收发装置,请使用以下步骤之一:WebUINetwork>Interface>List>Edit(对于无线接口):从Wlan列表中选择2.
4G(802.
11b/g),然后单击OK.
CLIsetinterfacewireless0/0wlan0创建无线桥接组有些安全设备支持桥接组(bgroups).
bgroup使网络用户可以在有线/无线信息流之间进行切换而无需重新配置或重新启动其计算机.
可配置运行同一个bgroup的多个SSID或配置一个在与有线子网合一的子网中运行的SSID.
在支持桥接组的无线安全设备上,桥接组分别标识为bgroup0到bgroup3.
要将以太网接口和无线接口设置为同一bgroup,请使用以下步骤之一:WebUINetwork>Interfaces>List>Edit(对于bgroup)>BindPort:为接口选择BindtoCurrentBgroup,然后单击Apply.
CLI要将以太网接口和无线接口设置为同一个桥接组接口,请执行以下命令:setinterfacebgroup_nameportwireless_interfacesetinterfacebgroup_nameportethernet_interface注意:bgroup_name可以是bgroup0到bgroup3.
ethernet_interface可以是ethernet0/0到ethernet0/4.
wireless_interface可以是wireless0/0到wireless0/3.
查看无线配置信息139第4章:无线局域网禁用无线接口可从WebUI或CLI禁用特定无线接口.
缺省情况下,将某接口绑定到SSID时,该接口被激活.
并非所有平台都可使用此功能.
要禁用无线接口,请使用以下步骤之一:WebUINetwork>Interfaces>List>Deactivate(对于要禁用的无线接口)CLIsetinterfacewlan_if_nameshutdown查看无线配置信息可以查看无线配置和统计数据的详细信息.
这些命令可从CLI获取,但WebUI并未提供.
要查看WLAN配置,请输入以下命令:device->getwlanAPsoftwareversion:5.
0APbootromversion:1.
.
1RegulatoryDomainisWorld,CountryCodeisChinaACLmodeisdisabledWLANModeAntennaChannelRatePowerSuperG0b/gDiversityAUTO11fullEnabled1aa116(5580)54fullDisabled要查看无线接口关联信息,请输入以下命令:getinterfacewlan_if_nameassociation[mac_addr]要查看WLAN的"访问控制列表"(ACL),请输入以下命令:getwlanacl要查看WLAN接口的接口详细信息,请输入以下命令:getinterfacewlan_if_name配置范例本节包含以下配置范例:第140页上的"范例1:开放式认证和WEP加密"第140页上的"范例2:使用密码短语和自动加密的WPA-PSK认证"第141页上的"范例3:透明模式下的WLAN"第145页上的"范例4:多个差异化配置文件"概念与范例ScreenOS参考指南140配置范例范例1:开放式认证和WEP加密在本例中,将为具有一个无线电收发装置的安全设备创建一个BSS,其SSID名为openwep,然后将该SSID绑定到wireless2接口.
该配置将WEP密钥ID设置为1,并使用一个40位的ASCII输入字符串.
该配置允许任何人进行认证,但使用WEP密钥对通信进行加密.
WebUIWireless>SSID>New:输入以下内容,然后单击OK:SSID:openwep>WEPKey:输入以下内容,然后单击BacktoSSIDEdit:KeyID:1KeyLength:40KeyStringASCII:(选择),abcdeAdd:(选择)>WEPBasedAuthenticationandEncryptionMethodsOpen:(选择)WEPEncryption:(选择);KeySource:LocalWirelessInterfaceBinding:wireless2Wireless>ActivateChanges:单击ActivateChanges按钮.
CLIsetssidnameopenwepsetssidopenwepkey-id1length40methodasciiabcdesetssidopenwepauthenticationopenencryptionwepsetssidopenwepinterfacewireless2execwlanreactivate范例2:使用密码短语和自动加密的WPA-PSK认证在本例中,将为具有一个无线电收发装置的安全设备创建一个名为wpapsk的SSID,然后将该SSID绑定到wireless2接口.
该配置将用预共享密钥和自动加密设置"Wi-Fi网络安全存取"(WPA)认证.
要连接到wireless2接口以访问网络的无线客户端在建立无线连接时必须使用WPA密码短语i7BB92-5o23iJ.
WebUIWireless>SSID>New:输入以下内容,然后单击OK:SSID:wpapsk>WPABasedAuthenticationMethodsWPAPre-sharedKey:(选择)KeybyPassword:(选择),i7BB92-5o23iJConfirmkeybyPassword:i7BB92-5o23iJEncryptionType:AutoWirelessInterfaceBinding:wireless2Wireless>ActivateChanges:单击ActivateChanges按钮.
配置范例141第4章:无线局域网CLIsetssidnamewpapsksetssidwpapskauthenticationwpa-pskpassphrasei7BB92-5o23iJencryptionautosetssidwpapskinterfacewireless2execwlanreactivate范例3:透明模式下的WLAN在本例中,单个WLAN在"透明"模式下由具有一个无线电收发装置的安全设备保护.
要增强管理信息流的安全性,请执行以下操作:1.
将WebUI管理的HTTP端口号从80更改为5555,将CLI管理的Telnet端口号从23更改为4646.
2.
使用VLAN1IP地址(1.
1.
1.
1/24)来管理V1-Trust安全区段中的安全设备.
3.
配置一条缺省路由,指向位于1.
1.
1.
250处的外部路由器,以便安全设备能够向其发送出站VPN信息流.
(V1-Trust区段中所有主机的缺省网关也是1.
1.
1.
250.
)图23:透明模式下的WLAN设备WebUI1.
VLAN1接口Network>Interfaces>Edit(对于VLAN1接口):输入以下内容,然后单击OK:IPAddress/Netmask:1.
1.
1.
1/24ManagementServices:WebUI,Telnet(选择)OtherServices:Ping(选择)2.
端口模式Configuration>PortMode:在PortMode下拉列表中选择Trust-Untrust.
wireless1wireless2V1-Trust接口ethernet10.
0.
0.
0/0外部路由器1.
1.
1.
250互联网1.
1.
1.
0/24地址空间VLAN1IP1.
1.
1.
1/24V1-Trust区段V1-Untrust接口untrust0.
0.
0.
0/0V1-Untrust区段LAN概念与范例ScreenOS参考指南142配置范例3.
HTTP端口Configuration>Admin>Management:在HTTPPort字段中,键入5555,然后单击Apply.
4.
接口Network>Interfaces>Edit(对于trust):输入以下内容,然后单击OK:ZoneName:V1-TrustIPAddress/Netmask:0.
0.
0.
0/0Network>Interfaces>Edit(对于untrust):输入以下内容,然后单击OK:ZoneName:V1-UntrustIPAddress/Netmask:0.
0.
0.
0/0Network>Interfaces>Edit(对于wireless1):输入以下内容,然后单击OK:ZoneName:V1-TrustIPAddress/Netmask:0.
0.
0.
0/0Network>Interfaces>Edit(对于wireless2):输入以下内容,然后单击OK:ZoneName:V1-TrustIPAddress/Netmask:0.
0.
0.
0/05.
区段V1-Trust、V1-Untrust和VLAN区段的缺省虚拟路由器为trust-vr.
6.
SSIDWireless>SSID>New:输入以下内容,然后单击OK:SSID:xparent-wpa>WPABasedAuthenticationMethodsWPAPre-sharedKey:(选择)KeybyPassword:(选择),12345678ConfirmkeybyPassword:12345678EncryptionType:TKIPWirelessInterfaceBinding:wireless2注意:缺省端口号为80.
建议将此号码改为1024和32,767之间的数字,以阻止对配置的未授权访问.
以后登录以管理设备时,请在浏览器的URL字段中输入以下地址:http://1.
1.
1.
1:5555.
配置范例143第4章:无线局域网Wireless>SSID>New:输入以下内容,然后单击OK:SSID:xparent-share>WEPBasedAuthenticationandEncryptionMethods>WEPKey:输入以下内容,然后单击BacktoSSIDEdit:KeyID:1KeyLength:40KeyStringASCII:(选择),abcdeDefaultKey:(选择)Add:(选择)>WEPBasedAuthenticationandEncryptionMethodsWEPSharedKey:(选择)WirelessInterfaceBinding:wireless17.
路由Network>Routing>Destination>trust-vrNew:输入以下内容,然后单击OK:NetworkAddress/Netmask:0.
0.
0.
0/0Gateway:(选择)Interface:vlan1(trust-vr)GatewayIPAddress:1.
1.
1.
250Metric:18.
策略Policies>(From:V1-Trust,To:V1-Untrust)New:输入以下内容,然后单击OK:SourceAddress:AddressBookEntry:(选择),AnyDestinationAddress:AddressBookEntry:(选择),AnyService:AnyAction:Permit9.
WLAN配置激活Wireless>ActivateChanges:单击ActivateChanges按钮.
概念与范例ScreenOS参考指南144配置范例CLI1.
VLAN1setinterfacevlan1ip1.
1.
1.
1/24setinterfacevlan1managewebsetinterfacevlan1managetelnetsetinterfacevlan1manageping2.
端口模式execport-modetrust-untrust3.
HTTP端口setadmintelnetport46464.
接口setinterfacetrustip0.
0.
0.
0/0setinterfacetrustzonev1-trustsetinterfaceuntrustip0.
0.
0.
0/0setinterfaceuntrustzonev1-untrustsetinterfacewireless1ip0.
0.
0.
0/0setinterfacewireless1zonev1-trustsetinterfacewireless2ip0.
0.
0.
0/0setinterfacewireless2zonev1-trust5.
区段setzoneV1-Trustvroutertrust-vrsetzoneV1-Untrustvroutertrust-vrsetzoneVLANvroutertrust-vr6.
SSIDsetssidnamexparent-wpasetssidxparent-wpaauthenticationwpa-pskpassphrase12345678encryptiontkipsetssidxparent-wpainterfacewireless2setssidnamexparent-sharesetssidxparent-sharekey-id1length40methodasciitextabcdedefaultsetssidxparent-shareauthenticationshared-keysetssidxparent-shareinterfacewireless1execwlanreactivate7.
路由setvroutertrust-vrroute0.
0.
0.
0/0interfacevlan1gateway1.
1.
1.
250metric18.
策略setpolicyfromv1-trusttov1-untrustanyanyanypermitsave注意:Telnet的缺省端口号为23.
建议将此号码改为1024和32,767之间的数字,以阻止对配置的未授权访问.
以后通过Telnet登录以管理设备时,输入以下地址:1.
1.
1.
14646.
配置范例145第4章:无线局域网范例4:多个差异化配置文件在本例中,将在"Extended"端口模式下为具有一个无线电收发装置的无线安全设备创建四个SSID,每个SSID都使用不同的名称和认证与加密方案.
此模式提供以下端口、接口和区段绑定:图24:具有多个差异化配置文件的无线设备在本例中,将执行以下操作:1.
通过分配SSID名称、设置加密和认证方法以及将SSID绑定到无线接口来设置"基本服务集"(BSS).
2.
将每个无线接口设置为充当DHCP服务器,以便为每个SSID的无线客户端动态分配地址.
3.
对wireless1接口启用无线设备管理.
4.
将无线设备配置为使用RADIUS服务器进行WPA加密.
5.
为每个无线接口创建策略.
6.
重新激活WLAN.
接口安全区段基本服务集名称ethernet1(端口1和2)TrustNAethernet2(端口3和4)DMZNAethernet3(Untrust端口)UntrustNAwireless1Wzone1SSID:wzone1-wpa,使用WPA预共享密钥wireless2TrustSSID:trust-wpa,通过使用RADIUS服务器进行WPA认证wireless3DMZSSID:dmz-share,使用WEP共享密钥wireless4Wzone2SSID:wzone2-open,使用WEP开放式/无加密CalloutsRESET4UNTRUSTED321MODEMCONSOLEDCPOWER9-12V1A互联网wireless1WLANwireless4WLANwireless2WLAN4Trust区段无线接入点ethernet2DMZ区段wireless3WLANRADIUS服务器邮件服务器ethernet3Untrust区段Web服务器Wzone1LANWzone2概念与范例ScreenOS参考指南146配置范例可通过WebUI或CLI配置此范例:WebUI1.
设置基本服务集Wireless>SSID>New:输入以下内容,然后单击OK:SSID:wzone1-wpa>WPABasedAuthenticationMethodsWPAPre-sharedKey:(选择)KeybyPassword:(选择),12345678ConfirmkeybyPassword:12345678EncryptionType:AutoWirelessInterfaceBinding:wireless1Wireless>SSID>New:输入以下内容,然后单击OK:SSID:trust-wpa>WPABasedAuthenticationMethodsWPA:(选择)EncryptionType:AutoWirelessInterfaceBinding:wireless2Wireless>SSID>New:输入以下内容,然后单击OK:SSID:dmz-share>WEPBasedAuthenticationandEncryptionMethodsWEPKey:输入以下内容,然后单击BacktoSSIDEdit:KeyID:1KeyLength:40KeyStringASCII:(选择),abcdeAdd:(选择)WEPSharedKey:(选择)WirelessInterfaceBinding:wireless3Wireless>SSID>New:输入以下内容,然后单击OK:SSID:wzone2-open>WEPBasedAuthenticationandEncryptionMethodsOpen:(选择)NoEncryption:(选择)WirelessInterfaceBinding:wireless4配置范例147第4章:无线局域网2.
接口Network>Interfaces>Edit(对于ethernet3):输入以下内容,然后单击OK:ObtainIPusingDHCP:(选择)AutomaticupdateDHCPserverparameters:(选择)Network>Interfaces>Edit(对于wireless1):输入以下内容,然后单击OK:IPAddress/Netmask:192.
168.
5.
1/24>ManagementOptionsManagementServices:WebUI,Telent,SSH,SNMP,SSLOtherServices:PingNetwork>DHCP>Edit(对于wireless1)>DHCPServer:输入以下内容,然后单击OK:DHCPServer:(选择)DHCPServerMode:EnableLease:UnlimitedDNS#1:192.
168.
5.
30>Addresses>New:输入以下内容,然后单击OK:Dynamic:(选择)IPAddressStart:192.
168.
5.
2IPAddressEnd:192.
168.
5.
22Network>DHCP>Edit(对于wireless2)>DHCPServer:输入以下内容,然后单击OK:DHCPServer:(选择)DHCPServerMode:EnableLease:Unlimited>Addresses>New:输入以下内容,然后单击OK:Dynamic:(选择)IPAddressStart:192.
168.
2.
2IPAddressEnd:192.
168.
2.
22Network>Interfaces>Edit(对于wireless3):在IPAddress/Netmask字段中输入192.
168.
3.
1/24,然后单击OK.
注意:缺省情况下,wireless2启用设备管理,缺省IP地址为192.
168.
2.
1/24.
概念与范例ScreenOS参考指南148配置范例Network>DHCP>Edit(对于wireless3)>DHCPServer:输入以下内容,然后单击OK:DHCPServer:(选择)DHCPServerMode:EnableLease:Unlimited>Addresses>New:输入以下内容,然后单击OK:Dynamic:(选择)IPAddressStart:192.
168.
3.
2IPAddressEnd:192.
168.
3.
22Network>Interfaces>Edit(对于wireless4):在IPAddress/Netmask字段中输入192.
168.
4.
1/24,然后单击OK.
Network>DHCP>Edit(对于wireless4)>DHCPServer:输入以下内容,然后单击OK:DHCPServer:(选择)DHCPServerMode:EnableLease:Unlimited>Addresses>New:输入以下内容,然后单击OK:Dynamic:(选择)IPAddressStart:192.
168.
4.
2IPAddressEnd:192.
168.
4.
223.
RADIUSAuth服务器Configuration>Auth>Servers>New:输入以下内容,然后单击OK:Name:radius1IP/DomainName:192.
168.
1.
50Backup1:192.
168.
1.
60Backup2:192.
168.
1.
61Timeout:30AccountType:802.
1XRADIUS:(选择)SharedSecret:456htYY97kl4.
策略Policies>(From:Wzone1,To:Untrust)New:输入以下内容,然后单击OK:SourceAddress:AddressBookEntry:(选择),AnyDestinationAddress:AddressBookEntry:(选择),AnyService:ANYAction:Permit配置范例149第4章:无线局域网Policies>(From:Wzone1,To:DMZ)New:输入以下内容,然后单击OK:SourceAddress:AddressBookEntry:(选择),AnyDestinationAddress:AddressBookEntry:(选择),AnyService:ANYAction:PermitPolicies>(From:Wzone2,To:Untrust)New:输入以下内容,然后单击OK:SourceAddress:AddressBookEntry:(选择),AnyDestinationAddress:AddressBookEntry:(选择),AnyService:ANYAction:PermitPolicies>(From:Untrust,To:DMZ)New:输入以下内容,然后单击OK:SourceAddress:AddressBookEntry:(选择),AnyDestinationAddress:AddressBookEntry:(选择),AnyService:HTTPAction:PermitPolicies>(From:Untrust,To:DMZ)New:输入以下内容,然后单击OK:SourceAddress:AddressBookEntry:(选择),AnyDestinationAddress:AddressBookEntry:(选择),AnyService:MAILAction:Permit5.
WLAN配置激活Wireless>ActivateChanges:单击ActivateChanges按钮.
CLI1.
基本服务集setssidnamewzone1-wpasetssidwzone1-wpaauthenticationwpa-pskpassphrase12345678encryptionautosetssidwzone1-wpainterfacewireless1setssidnametrust-wpasetssidtrust-wpaauthenticationwpaencryptionautosetssidtrust-wpainterfacewireless2setssidnamedmz-sharesetssiddmz-sharekey-id1length40methodasciiabcdesetssiddmz-shareauthenticationshared-keysetssiddmz-shareinterfacewireless3setssidnamewzone2-opensetssidwzone2-openauthenticationopenencryptionnonesetssidwzone2-openinterfacewireless4概念与范例ScreenOS参考指南150配置范例2.
接口setinterfaceethernet3dhcpclientsettingsupdate-dhcpserversetinterfaceethernet3dhcpclientsetinterfacewireless1ip192.
168.
5.
1/24setinterfacewireless1routesetinterfacewireless1ipmanageablesetinterfacewireless1dhcpserverservicesetinterfacewireless1dhcpserverenablesetinterfacewireless1dhcpserveroptiongateway192.
168.
5.
1setinterfacewireless1dhcpserveroptionnetmask255.
255.
255.
0setinterfacewireless1dhcpserveroptiondns1192.
168.
5.
30setinterfacewireless1dhcpserverip192.
168.
5.
2to192.
168.
5.
22setinterfacewireless2dhcpserverip192.
168.
2.
2to192.
168.
2.
22setinterfacewireless3ip192.
168.
3.
1/24setinterfacewireless3dhcpserverip192.
168.
3.
2to192.
168.
3.
22setinterfacewireless4ip192.
168.
4.
1/24setinterfacewireless4dhcpserverip192.
168.
4.
2to192.
168.
4.
223.
RADIUSAuth服务器setauth-serverradius1server-name192.
168.
1.
50setauth-serverradius1typeradiussetauth-serverradius1account-type802.
1Xsetauth-serverradius1backup1192.
168.
1.
60setauth-serverradius1backup2192.
168.
1.
61setauth-serverradius1timeout30setauth-serverradius1radiussecretA56htYY97kl4.
策略setpolicyfromwzone1tountrustanyanyanypermitsetpolicyfromwzone1todmzanyanyanypermitsetpolicyfromwzone2tountrustanyanyanypermitsetpolicyfromuntrusttodmzanyanyhttppermitsetpolicyfromuntrusttodmzanyanymailpermit5.
WLAN配置激活execwlanreactivate索引IX-I索引AAAL5多路传输69AAL5封装62ACL126ADSL概述.
68配置接口.
69VPN通道.
92ATM63ATM点对点协议请参阅PPPoAATM适配层5.
69CC位奇偶模式12CSU兼容性,T3接口.
19次速率选项.
19DDMT.
65多路传输,配置.
67F访问控制列表请参阅ACL服务提供商,信息来源.
62G国家/地区代码、通道和调节域.
124国家/地区代码和通道.
124IIP跟踪104ISP故障切换等待计时器.
104优先级.
103ISPIP地址和网络掩码.
68J兼容性模式选项T3接口.
19静态IP地址69K扩展通道,WLAN的设置.
124L离散多音请参阅DMT路由跟踪.
104PPPP62PPPoA.
62,64,69PPPoE.
62,69配置ADSL2/2+PIM.
69VPI/VCI对67虚拟电路.
66R认证和加密多个WEP密钥116Wi-Fi网络安全存取请参阅WPA无线等效加密请参阅WEP认证和加密,使用RADIUS服务器.
117SSSID绑定到无线接口.
137SuperG127TT3接口C位奇偶模式12CSU兼容性19通道,查找可用.
125通道跟踪.
104托管管理员.
103VVC62VCI.
62VPI.
62IX-II索引概念与范例ScreenOS参考指南VPI/VCI配置67值69VPN监控105WWEP116WLAN查看无线配置信息139查找可用通道125猝发临界值134DTIM.
134访问控制列表126分段临界值134高级参数132国家/地区代码和通道124扩展通道124老化时间间隔133配置SuperG.
127配置,重新激活127前导码长度137桥接组138清除发送类型136清除发送模式135清除发送速率136请求发送临界值135认证和加密116时隙时间136WMM.
128XR127信标时间间隔133站点勘测125WLANWAP运行模式802.
11b客户端,配置.
113802.
11g客户端,配置.
113WLAN,无线接口绑定137WMM访问类别129配置服务质量128启用128缺省设置129物理接口C位奇偶模式.
12CSU兼容性.
19无线接口绑定到无线电收发装置138将SSID绑定到.
137禁用139配置137无线局域网请参阅WLAN无线桥接组.
138XXR,配置.
127虚拟电路请参阅VC虚拟路径标识符请参阅VPI虚拟路径标识符/虚拟通道标识符请参阅VPI/VCI虚拟通道标识符请参阅VCIY以太网点对点协议请参阅PPPoE异步传输模式请参阅ATM有线等效加密请参阅WEPZ站点勘测.
125