netscreen使用指南Word文件下载.docx

1、 Y3 NS5XTset admin auth timeout 2.Netscreen的管理权限: 设置超级管理员（Root） RL|（DDF*7M WEB： Z QG 进入ConfigurationAdministrators ，在这里可以管理所有的管理员。 CLI： Dset admin name Vset admin password 添加本地管理员 L 点击New链接，打开配置页。输入管理员登录名和密码，指定权限（可选ALL或Read_ONLY，ALL表示该管理员具有更改配置的权限，READ_ONLY表示该管理员只能查看配置，无权更改）。 CLI:set admin user pass

2、word privilege DNS页面，可配置Host Name（主机名），Domain Name（域名），Primary DNS Server（主域名服务器），Second DNS Server（副哉名服务器），还有DNS每天更新的时间。配置完后按Apply按键实施。NS5XTset hostname hMR_r_6 NS5XTset domain Bset DNS host 4.设置Zone（安全区域） Web：Zones页面，可配置已存在于Netscreen设备的所有Zone（并不是所有Zone都可以配置，有许多默认的Zone 是不允许配置的，在Configure中不会出现Edit）。

3、按New按键可以新增一个Zone。 hoset zone vrouter OWV_6jS 5.设置Interface（接口） v_Interfaces，选择需要配置的接口对应的属性页（有四个可选接口Trust、Untrust、DMZ和Tunnel，其中Trust、Untrust和DMZ为物理接口，Tunnel接口为逻辑接口，用于VPN。对于ns-5系列防火墙，无DMZ端口）。 点击对应接口Configure列中的Edit链接，打开接口配置窗口。（对于不同模式的Interface，进入后的配置会不同，这里用NAT模式做例子，透明模式会少一些配置的内容） Zone name: 设置从属的安全区域；

4、 IP Address/Netmask：设置接口的IP和掩码； Manage IP：设置该接口的管理用IP，该IP必须与接口IP处在同一个网络段中，如果系统IP被设为0.0.0.0，则该Manage IP默认为接口IP。 Interface Mode：设置接口模式，仅trust接口具有该项。可以选择NAT模式或Route模式。当trust接口工作在NAT模式时，任何进入该接口的数据包都会被强制做地址转换。当接口工作在Route模式时，防火墙的默认工作相当与一台路由器，如果要将防火墙实现基于策略的NAT功能，请将trust接口设置成此模式。 Management Services：选中或清除we

5、b、telnet、snmp等复选框可以启用或禁止该接口的相应管理功能。如清除web复选框，再点击save按钮后，该接口的web管理功能关闭，用户无法通过该接口的管理ip进入web管理界面，同时在该接口上的所有web管理连接都将丢失。 wF=W .da2 设置完成后点击Apply按钮记录设置。 设置接口IP：NS5XTset interface ip 设置接口网关： $NS5XT trust|untrust|dmz gateway J_ 启动接口的管理功能： manage 关闭接口的管理功能：unset interface 设置Trust接口工作模式：set interface trust 结合

6、CLI和WEB方式，我们能很轻松的将NS搞定netscreen命令行基本信息收集若网络出现问题，请您先提交以下信息给我们的工程师：在命令行状态下：命令行基本信息收集：ns500get syst （得到系统信息）get config （得到config信息）get log event （得到日志）功能问题需收集下列信息：set ffiliter ? （设置过滤器）debug flow basic 是开启基本的debug功能clear db 是清除debug的缓冲区 get db s 就可以看到debug的信息了性能问题需收集下列信息：得到下列信息前，请不要重新启动机器，否则信息都会丢失，我们无法

7、判定问题所在。Get per cpu detail （得到CPU使用率）Get session info （得到会话信息 ）Get per session detail （得到会话详细信息）Get mac-learn （透明方式下使用，获取MAC硬件地址）Get alarm event （得到告警日志）Get tech tftp 202.101.98.36 tech.txt （导出系统信息）Get log system （得到系统日志信息）Get log system saved （得到系统出错后，系统自动记录信息，该记录重启后不会丢失）Have a nice day!这是映射的命令：set

8、int eth3 mip x.x.x.x（映射后的IP） host y.y.y.y（主机的IP） netmask 255.255.255.255还需要加一条策略：set policy from untrust to global any mip（x.x.x.x） 要开放的服务 permit lognetscreen防火墙上做端口映射很容易的楼上有位兄弟已经说了命令我在说一下在图形里面如何做通过www上管理界面然后点interface 项点untrust 项点mapping ip然后出现3行格式外网ip 电信给你的mask 255。255。255内网ip禁用QQ。MSN可以做一条policy，t

9、rust to untrust,anyany,然后下面的服务service中就开通http,dns,mail,pop3就可以了，这样包括bt都不能使用了。我公司现在就是这样做的，当然其中也还是有问题的。因为msn是使用https服务的，同时微软的升级及一些安全度高的网页都要用到https服务的，所以有时候必须另外开一条anyany的,当然总归一大批人是给deny了msn服务器地址65.54.225.25465.54.226.25465.54.228.24465.54.228.25365.54.229.24865.54.229.25365.54.225.24165.54.226.247 qq服务

10、器地址219.133.40.15218.17.209.23202.104.129.252218.18.95.153202.104.129.25161.144.238.145202.104.129.25361.141.194.203202.104.129.254218.18.95.16561.144.238.146219.133.40.91211.248.99.252218.17.217.6661.144.238.156219.133.40.89219.133.40.115219.133.40.90219.133.40.113219.133.40.114210.22.12.12661.141.1

11、94.22361.172.249.135202.104.128.233202.96.170.164218.17.217.103218.66.59.23361.141.194.207202.96.170.163202.96.170.166202.96.140.18202.96.140.119202.96.140.8202.96.140.12QQ服务器分为三类：1、UDP 8000端口类13个：速度最快，服务器最多。QQ上线会向这11个服务器发送UDP数据包，选择回复速度最快的一个作为连接服务器。这6个服务器名字均以SZ开头，域后缀是，域名与IP对应为sz sz2 : 61.144.238.145

12、 61.144.238.146 61.144.238.156sz3 sz4 sz6 sz7 : 202.104.129.251 202.104.129.254 202.104.129.252 202.104.129.253sz5 : 61.141.194.203202.96.170.166 218.18.95.221 219.133.45.1561.141.194.2242、TCP HTTP连接服务器4个，使用HTTP 80 和443端口连接这4个服务器名字均以tcpconn开头，域后缀是，域名与IP对应为tcpconn tcpconn3 218.17.209.23tcpconn2 tcpco

13、nn4 218.18.95.15361.141.194.227218.18.95.1713、会员VIP登陆服务器，使用HTTP 443安全连接服务器IP 218.17.209.42如今宽带已经不再是一个新鲜名词了，很多朋友也希望能够为丰富网络资源贡献一 些自己的力量，而通过宽带架设Web网站或者是提供FTP下载服务则是最佳的选择。不过 现在很多宽带用户都是使用电信、长城、聚友等一些城域网，也就是说整个公司在Inte rnet上只有一个真正的IP地址，然后公司局域网内部的计算机通过服务器共享上网，对 于这种情况如何建造自己的FTP站点就是一件令人头痛不已的事情。其实局域网内部的计 算机也可以架设

14、FTP服务器的，不过这需要一个端口映射软件的帮助，如果你也想在局域 网中架设FTP网站的话，不妨一起来看看吧。由于整个局域网在Internet上只有一个真正的IP地址，而这个IP地址是属于局域网 中服务器独有的，即使我们在其它计算机中通过Ser-U等软件架设了FTP站点，但是无法 让Internet上的朋友使用。这是为什么呢？打个比方说，如果你仅仅知道朋友在某幢写 字楼上班，但是不知道它具体的房间，你就无法找到他。同样的道理，如果直接在局域 网中架设FTP，那么Internet上的朋友登录的时候仅仅可以找到局域网中的服务器，但是 至于怎样才能连接到你的计算机上就是一个问号了。为了解决这个问题，

15、我们在局域网 中建造自己FTP站点的时候需要一个端口映射软件来帮助，在此推荐一个小巧实用的工具 PortTunnel，它可以帮助大家轻松搞定这一切。顾名思义，PortTunnel的中文意思就 是“端口通道”，它的作用就是在服务器上为你的计算机指定一条通道，使得Internet 上的朋友可以顺利的与你建立连接。在使用PortTunnel之前有一点需要强调，就是它必须运行在服务器端，这样才能够 实现端口映射的目的。运行PortTunnel之后将会看见图所示的窗口：这时点击下部的“增加”按钮进行相关的设置。这里有几个比较重要的项目重点介 绍一下：1、名称：在此中填写你的名称，这在局域网中有多台计算机

16、需要端口映射的时候能 够区分出每一台计算机。2、输入端口：如果服务器端没有运行FTP服务，则可以采用默认的“21”作为端口 ，否则不能使用“21”，因为端口号重复将会导致系统冲突。3、输出端口：这里填写的是你计算机中的FTP服务端口，通常采用默认的“21”， 除非你另行指定了特殊的端口。4、输出地址：这里填写你的计算机在整个局域网中的IP地址，比如此处是“129.1 56.0.21”。点击下部的“确定”按钮保存之后，服务器端的端口映射就完成了，这时会发现原 先的主窗口中多出了一项记录，按下“开始”就可以激活PortTunnel的端口映射服务了 。此时你可以通过其他网友通过ftp:/129.15

17、6.0.21:21来访问你的FTP服务器，如果能 够顺利登录就说明已经全部搞定了。怎么样，PortTunnel的设置与使用都非常简单吧，而且通过端口映射还可以实现在 局域网内的计算机上架设Web服务器和SMTP服务器的功能，它们的设置与上面介绍的差不 多，在此就不详述了，有兴趣的朋友不妨自行尝试一下。说到这里，最后再提醒大家一下：PortTunnel需要在服务器端才可以运行，至于怎 样才能让网络管理员为你开通端口映射就要看各位的本事了，大家就各显神通吧_XP下强制要求使用L2TP+IPSEC拨号方式，win2000下可以单独使用不加密的L2TP。在ScreenOS端的设置 一、设置L2TP 用

18、户 1. Objects Users Local New：输入以下内容，然后单击OK：User Name: Adam Status: Enable L2TP User: （选择） User Password: AJbioJ15 Confirm Password:2. Objects Betty BviPsoJ1 3. Objects Carol Cs10kdD3 二、设置L2TP 用户组 4. Objects User Groups 在“Group Name”字段中，键入fs，执行以下操作，然后单击 OK：选择Adam，然后使用 按钮将它从“Available members”列中移动到 “G

19、roup members”列中。选择Betty，然后使用选择Carol，然后使用 IP Pools IP Pool Name: global Start IP: 10.10.2.100 End IP: 10.10.2.180 6. VPNs L2TP Default Settings：PPP Authentication: CHAP DNS Primary Server IP: 210.11.6.2 DNS Secondary Server IP: 210.11.40.3 WINS Primary Server IP: 0.0.0.0 WINS Secondary Server IP:四、设置

20、L2TP 通道 7. VPNs Tunnel Name: sales_corp Dialup Group: Local Dialup Group - fs Authentication Server: Local Outgoing Interface: ethernet3 Peer IP:Host Name （optional）:可以空着。Secret （optional）: 可以空着。五、策略 8. Policies （From: Untrust, To: Trust） New：Source Address:Address Book: Dial-Up VPN Destination Addr

21、ess： Any NAT: Off Service: ANY Action: Tunnel Tunnel L2TP:Position at Top:（选择） 在Win2000上创建VPN 客户端连接 1、双击“控制面板网络和拨号连接新建连接”，然后“下一步” 2、“网络连接类型”选择“通过Internet连接到专用网络”，点“下一步” 3、公用网络，根据自己情况选择“不拨初始连接”或“自动拨此初始连接”，然后“下一步” 4、输入VPN SERVER 的域名或IP地址，点“下一步” 5、最后给此链接起个名字就完成了这个新链接的创建 6、还需要修改一下此链接的属性，右键点此新链接，选择“属性”，在

22、“安全措施”那里选中“高级” 7、点“设置”按钮，在“数据加密”那里选择“可选数据加密（没有加密也可以连接）”，然后“确定”保存就全部完成了 双击这个新创建的拨号连接，输入用户名和密码进行连接。用户名和密码就是前面新增用户时输入的名字和密码。XP下使用L2TPipsec模式1、Netscreen VPN server端无需更改设置 2、基本配置于win2000下基本一致3、在WinXP下，修改注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceRasManParameters,新增或修改ProhibitIpSec的值为1 4、如果客户端是在局域网中，避免与远程网络在同一个子网中。