netscreen使用指南Word文件下载.docx
《netscreen使用指南Word文件下载.docx》由会员分享,可在线阅读,更多相关《netscreen使用指南Word文件下载.docx(11页珍藏版)》请在冰点文库上搜索。
Y3
NS5XT->
setadminauthtimeout<
minute>
2.Netscreen的管理权限:
设置超级管理员(Root)RL|(DDF*7M
WEB:
ZQG
进入Configuration>
Administrators,在这里可以管理所有的管理员。
CLI:
D
setadminname<
loginname>
V
setadminpassword<
password>
添加本地管理员
L
点击New链接,打开配置页。
输入管理员登录名和密码,指定权限(可选ALL或Read_ONLY,ALL表示该管理员具有更改配置的权限,READ_ONLY表示该管理员只能查看配置,无权更改)。
CLI:
setadminuser<
password<
privilege<
all|read-only
3.设置DNS
Web:
打开Network>
DNS页面,可配置HostName(主机名),DomainName(域名),PrimaryDNSServer(主域名服务器),SecondDNSServer(副哉名服务器),还有DNS每天更新的时间。
配置完后按Apply按键实施。
NS5XT->
sethostname<
HostName>
hMR__r_6
NS5XT->
setdomain<
DominName>
B
setDNShost<
dns1|dns2>
<
a.b.c.d>
4.设置Zone(安全区域) Web:
Zones页面,可配置已存在于Netscreen设备的所有Zone(并不是所有Zone都可以配置,有许多默认的Zone是不允许配置的,在Configure中不会出现Edit)。
按New按键可以新增一个Zone。
ho
setzone<
zonename>
vrouter<
vroutername>
OWV_6jS
5.设置Interface(接口)v_
Interfaces,选择需要配置的接口对应的属性页(有四个可选接口Trust、Untrust、DMZ和Tunnel,其中Trust、Untrust和DMZ为物理接口,Tunnel接口为逻辑接口,用于VPN。
对于ns-5系列防火墙,无DMZ端口)。
点击对应接口Configure列中的Edit链接,打开接口配置窗口。
(对于不同模式的Interface,进入后的配置会不同,这里用NAT模式做例子,透明模式会少一些配置的内容)
Zonename:
设置从属的安全区域;
IPAddress/Netmask:
设置接口的IP和掩码;
ManageIP:
设置该接口的管理用IP,该IP必须与接口IP处在同一个网络段中,如果系统IP被设为0..0.0.0,则该ManageIP默认为接口IP。
InterfaceMode:
设置接口模式,仅trust接口具有该项。
可以选择NAT模式或Route模式。
当trust接口工作在NAT模式时,任何进入该接口的数据包都会被强制做地址转换。
当接口工作在Route模式时,防火墙的默认工作相当与一台路由器,如果要将防火墙实现基于策略的NAT功能,请将trust接口设置成此模式。
ManagementServices:
选中或清除web、telnet、snmp等复选框可以启用或禁止该接口的相应管理功能。
如清除web复选框,再点击save按钮后,该接口的web管理功能关闭,用户无法通过该接口的管理ip进入web管理界面,同时在该接口上的所有web管理连接都将丢失。
wF=W.da2
设置完成后点击Apply按钮记录设置。
设置接口IP:
NS5XT->
setinterface<
trust|untrust|dmz>
ip<
netmask>
设置接口网关:
$NS5XT->
trust|untrust|dmz>
gateway<
J_
启动接口的管理功能:
manage<
web|telnet|snmp|ssl…>
关闭接口的管理功能:
unsetinterface<
设置Trust接口工作模式:
setinterfacetrust<
nat|route>
结合CLI和WEB方式,我们能很轻松的将NS搞定
netscreen命令行基本信息收集
若网络出现问题,请您先提交以下信息给我们的工程师:
在命令行状态下:
命令行基本信息收集:
ns500>
getsyst(得到系统信息)
getconfig(得到config信息)
getlogevent(得到日志)
功能问题需收集下列信息:
setffiliter?
(设置过滤器)
debugflowbasic是开启基本的debug功能
cleardb是清除debug的缓冲区
getdbs就可以看到debug的信息了
性能问题需收集下列信息:
得到下列信息前,请不要重新启动机器,否则信息都会丢失,我们无法判定问题所在。
Getpercpudetail(得到CPU使用率)
Getsessioninfo(得到会话信息)
Getpersessiondetail(得到会话详细信息)
Getmac-learn(透明方式下使用,获取MAC硬件地址)
Getalarmevent(得到告警日志)
Gettech>
tftp202.101.98.36tech.txt(导出系统信息)
Getlogsystem(得到系统日志信息)
Getlogsystemsaved(得到系统出错后,系统自动记录信息,该记录重启后不会丢失)
Haveaniceday!
这是映射的命令:
setinteth3mipx.x.x.x(映射后的IP)hosty.y.y.y(主机的IP)netmask255.255.255.255
还需要加一条策略:
setpolicyfromuntrusttoglobalanymip(x.x.x.x)[要开放的服务]permitlog
netscreen防火墙上做端口映射很容易的
楼上有位兄弟已经说了命令
我在说一下在图形里面如何做
通过www上管理界面
然后点interface项
点untrust项
点mappingip
然后出现3行格式
外网ip电信给你的
mask255。
255。
255
内网ip
禁用QQ。
MSN
可以做一条policy,trusttountrust,anyany,然后下面的服务service中就开通http,dns,mail,pop3就可以了,这样包括bt都不能使用了。
我公司现在就是这样做的,当然其中也还是有问题的。
因为msn是使用https服务的,同时微软的升级及一些安全度高的网页都要用到https服务的,所以有时候必须另外开一条anyany的,当然总归一大批人是给deny了
msn服务器地址
65.54.225.254
65.54.226.254
65.54.228.244
65.54.228.253
65.54.229.248
65.54.229.253
65.54.225.241
65.54.226.247
qq服务器地址
219.133.40.15
218.17.209.23
202.104.129.252
218.18.95.153
202.104.129.251
61.144.238.145
202.104.129.253
61.141.194.203
202.104.129.254
218.18.95.165
61.144.238.146
219.133.40.91
211.248.99.252
218.17.217.66
61.144.238.156
219.133.40.89
219.133.40.115
219.133.40.90
219.133.40.113
219.133.40.114
210.22.12.126
61.141.194.223
61.172.249.135
202.104.128.233
202.96.170.164
218.17.217.103
218.66.59.233
61.141.194.207
202.96.170.163
202.96.170.166
202.96.140.18
202.96.140.119
202.96.140.8
202.96.140.12
QQ服务器分为三类:
1、UDP8000端口类13个:
速度最快,服务器最多。
QQ上线会向这11个服务器发送UDP数据包,选择回复速度最快的一个作为连接服务器。
这6个服务器名字均以SZ开头,域后缀是,域名与IP对应为
szsz2:
61.144.238.14561.144.238.14661.144.238.156
sz3sz4sz6sz7:
202.104.129.251202.104.129.254202.104.129.252202.104.129.253
sz5:
61.141.194.203
202.96.170.166218.18.95.221219.133.45.15
61.141.194.224
2、TCPHTTP连接服务器4个,使用HTTP80和443端口连接
这4个服务器名字均以tcpconn开头,域后缀是,域名与IP对应为
tcpconntcpconn3218.17.209.23
tcpconn2tcpconn4218.18.95.153
61.141.194.227
218.18.95.171
3、会员VIP登陆服务器,使用HTTP443安全连接
服务器IP218.17.209.42
如今宽带已经不再是一个新鲜名词了,很多朋友也希望能够为丰富网络资源贡献一
些自己的力量,而通过宽带架设Web网站或者是提供FTP下载服务则是最佳的选择。
不过
现在很多宽带用户都是使用电信、长城、聚友等一些城域网,也就是说整个公司在Inte
rnet上只有一个真正的IP地址,然后公司局域网内部的计算机通过服务器共享上网,对
于这种情况如何建造自己的FTP站点就是一件令人头痛不已的事情。
其实局域网内部的计
算机也可以架设FTP服务器的,不过这需要一个端口映射软件的帮助,如果你也想在局域
网中架设FTP网站的话,不妨一起来看看吧。
由于整个局域网在Internet上只有一个真正的IP地址,而这个IP地址是属于局域网
中服务器独有的,即使我们在其它计算机中通过Ser-U等软件架设了FTP站点,但是无法
让Internet上的朋友使用。
这是为什么呢?
打个比方说,如果你仅仅知道朋友在某幢写
字楼上班,但是不知道它具体的房间,你就无法找到他。
同样的道理,如果直接在局域
网中架设FTP,那么Internet上的朋友登录的时候仅仅可以找到局域网中的服务器,但是
至于怎样才能连接到你的计算机上就是一个问号了。
为了解决这个问题,我们在局域网
中建造自己FTP站点的时候需要一个端口映射软件来帮助,在此推荐一个小巧实用的工具
-PortTunnel,它可以帮助大家轻松搞定这一切。
顾名思义,PortTunnel的中文意思就
是“端口通道”,它的作用就是在服务器上为你的计算机指定一条通道,使得Internet
上的朋友可以顺利的与你建立连接。
在使用PortTunnel之前有一点需要强调,就是它必须运行在服务器端,这样才能够
实现端口映射的目的。
运行PortTunnel之后将会看见图所示的窗口:
这时点击下部的“增加”按钮进行相关的设置。
这里有几个比较重要的项目重点介
绍一下:
1、名称:
在此中填写你的名称,这在局域网中有多台计算机需要端口映射的时候能
够区分出每一台计算机。
2、输入端口:
如果服务器端没有运行FTP服务,则可以采用默认的“21”作为端口
,否则不能使用“21”,因为端口号重复将会导致系统冲突。
3、输出端口:
这里填写的是你计算机中的FTP服务端口,通常采用默认的“21”,
除非你另行指定了特殊的端口。
4、输出地址:
这里填写你的计算机在整个局域网中的IP地址,比如此处是“129.1
56.0.21”。
点击下部的“确定”按钮保存之后,服务器端的端口映射就完成了,这时会发现原
先的主窗口中多出了一项记录,按下“开始”就可以激活PortTunnel的端口映射服务了
。
此时你可以通过其他网友通过ftp:
//129.156.0.21:
21来访问你的FTP服务器,如果能
够顺利登录就说明已经全部搞定了。
怎么样,PortTunnel的设置与使用都非常简单吧,而且通过端口映射还可以实现在
局域网内的计算机上架设Web服务器和SMTP服务器的功能,它们的设置与上面介绍的差不
多,在此就不详述了,有兴趣的朋友不妨自行尝试一下。
说到这里,最后再提醒大家一下:
PortTunnel需要在服务器端才可以运行,至于怎
样才能让网络管理员为你开通端口映射就要看各位的本事了,大家就各显神通吧^_^
XP下强制要求使用L2TP+IPSEC拨号方式,win2000下可以单独使用不加密的L2TP。
在ScreenOS端的设置
一、设置L2TP用户
1.Objects>
Users>
Local>
New:
输入以下内容,然后单击OK:
UserName:
Adam
Status:
Enable
L2TPUser:
(选择)
UserPassword:
AJbioJ15
ConfirmPassword:
2.Objects>
Betty
BviPsoJ1
3.Objects>
Carol
Cs10kdD3
二、设置L2TP用户组
4.Objects>
UserGroups>
在“GroupName”字段中,键入fs,执行以下操作,然后单击
OK:
选择Adam,然后使用<
<
按钮将它从“Availablemembers”列中移动到
“Groupmembers”列中。
选择Betty,然后使用<
选择Carol,然后使用<
三、缺省L2TP设置
5.Objects>
IPPools>
IPPoolName:
global
StartIP:
10.10.2.100
EndIP:
10.10.2.180
6.VPNs>
L2TP>
DefaultSettings:
PPPAuthentication:
CHAP
DNSPrimaryServerIP:
210.11.6.2
DNSSecondaryServerIP:
210.11.40.3
WINSPrimaryServerIP:
0.0.0.0
WINSSecondaryServerIP:
四、设置L2TP通道
7.VPNs>
Tunnel>
Name:
sales_corp
DialupGroup:
LocalDialupGroup-fs
AuthenticationServer:
Local
OutgoingInterface:
ethernet3
PeerIP:
HostName(optional):
可以空着。
Secret(optional):
可以空着。
五、策略
8.Policies>
(From:
Untrust,To:
Trust)New:
SourceAddress:
AddressBook:
Dial-UpVPN
DestinationAddress:
Any
NAT:
Off
Service:
ANY
Action:
Tunnel
TunnelL2TP:
PositionatTop:
(选择)
在Win2000上创建VPN客户端连接
1、双击“控制面板\网络和拨号连接\新建连接”,然后“下一步”
2、“网络连接类型”选择“通过Internet连接到专用网络”,点“下一步”
3、公用网络,根据自己情况选择“不拨初始连接”或“自动拨此初始连接”,然后“下一步”
4、输入VPNSERVER的域名或IP地址,点“下一步”
5、最后给此链接起个名字就完成了这个新链接的创建
6、还需要修改一下此链接的属性,右键点此新链接,选择“属性”,在“安全措施”那里选中“高级”
7、点“设置”按钮,在“数据加密”那里选择“可选数据加密(没有加密也可以连接)”,然后“确定”保存就全部完成了
双击这个新创建的拨号连接,输入用户名和密码进行连接。
用户名和密码就是前面新增用户时输入的名字和密码。
XP下使用L2TP+ipsec模式
1、NetscreenVPNserver端无需更改设置
2、基本配置于win2000下基本一致
3、在WinXP下,修改注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\RasMan\Parameters,新增或修改ProhibitIpSec的值为1
4、如果客户端是在局域网中,避免与远程网络在同一个子网中。
升级会员 