實習總結2

防攻擊

ids防範：在複雜網路環境中，常常由於計算機異常或中毒，導致其不斷地傳送一些攻擊報文，造成路由器資源和網路頻寬不必要的消耗。防攻擊主要的目的就是發現並丟棄非法的報文，以保證整體網路的穩定性。通過「啟用ids防範功能」，裝置對來自外網和內網的常見攻擊型別進行防護，丟棄攻擊報文。同時，ids防範可以對相應的攻擊事件以日誌形式記錄下來。包括：wan口ping掃瞄、udp掃瞄、tcp syn掃瞄、tcp null掃瞄、tcp stealth fin掃瞄等。

報文源認證：本功能將對內網傳送的報文進行源ip和源mac認證，如果報文的源ip或源mac來自不存在的主機，該報文將被丟棄。開啟本功能可防止內網的欺騙報文，提高網路穩定性。包括啟用靜態路由的報文源認證、啟用基於arp繫結、dhcp分配arp防護下的報文源認證功能、啟用基於動態arp的報文源認證功能。

異常流量防護：開啟異常主機流量防護功能後，可以保證裝置受到異常流量攻擊時仍可正常工作。為了更準確的區分流量的合法性，建議開啟報文源認證頁面的相關功能。下掛路由器的流量不在異常流量防護功能處理範圍之內。異常主機流量防護閥值可自由設定，防護等級分為高中低三類，高：流量超過設定的閾值，將異常的主機新增到攻擊列表，生效時間5分鐘；中：流量超過設定的

vpnipsec vpn

安全聯盟：通過安全聯盟sa，ipsec能夠對不同的資料流提供不同級別的安全保護。在這裡可以查詢到相應隧道當前狀態，了解隧道建立的各個引數。

虛介面：虛介面的配置修改後，需要重新啟用(先禁用再啟用)引用該虛介面的ipsec安全策略或重新使能ipsec功能，新的配置才能生效。

ike安全協議：安全提議的配置修改後，需要重新啟用(先禁用再啟用)引用該安全提議的ipsec安全策略或重新使能ipsec功能，新的配置才能生效。

ike對等體：對等體的配置修改後，需要重新啟用(先禁用再啟用)引用該對等體的ipsec安全策略或重新使能ipsec功能，新的配置才能生效。

ipsec安全提議：安全提議的配置修改後，需要重新啟用(先禁用再啟用)引用該安全提議的ipsec安全策略或重新使能ipsec功能，新的配置才能生效。

ipsec安全策略：虛介面、ike安全提議、ike對等體和ipsec安全提議的配置都修改完成後，只需要重新啟用(先禁用再啟用)相關的ipsec安全策略一次或重新使能ipsec功能一次，新的配置就能生效；另外，修改ipsec安全策略的配置也能使新的配置生效。

l2tp vpn

l2tp狀態：顯示l2tp連線的狀態，對端資訊，隧道id等。

l2tp 服務端：lns，配置伺服器名稱，伺服器位址池，及隧道認證密碼。hello報文間隔：為了檢測lac和lns之間隧道的連通性，lac和lns會定期向對端傳送hello報文，接收方接收到hello報文後會進行響應。當lac或lns在指定時間間隔內未收到對端的hello響應報文時，重**送，如果重**送6次仍沒有收到對端的響應資訊則認為l2tp隧道已經斷開，需要重新建立隧道連線 lns端可以配置與lac端不同的hello報文間隔。

lns使用者管理：設定lns的使用者名稱和密碼，lac中輸入的使用者名稱和密碼需要存在於該列表中，隧道才能建立連線。

qos設定

流量管理

ip流量限制：路由器支援以下兩種ip流量限制方式：•允許借用空閒的頻寬：即彈性頻寬限制，在頻寬使用不緊張時（比如：早上，上網人數較少時），允許每個限速通道自由地使用系統頻寬，其實際流量可以超過限速值；•只能使用預設的頻寬：即固定頻寬限制，每個限速通道的實際流量不能超過限速值。即使系統還有空閒的頻寬，也不能利用。

可設定上行、下行限速，通過打雙向流量，驗證限速是否符合預期。

綠色通道管理：綠色通道以區分服務的方式對業務資料流進行**。裝置支援根據報文大小和埠號來區分資料業務流。通過設定「綠色專用通道」，為特定的資料業務流分配一定的頻寬，以達到對控制資料流、遊戲資料流的頻寬進行保證的目的。

連線限制

ip網路連線數上限、每

ip tcp

連線數上限、每

ip udp

連線數上限。

vlan網路連線限數：vlan網路連線限數即通過設定每個vlan的連線數上限，從而有效解決了部分vlan占用大量網路連線資源的問題，實現了網路資源的合理利用。

高階設定

位址轉換

一對一nat：當有多個公有ip位址時，可以固定地把區域網內某台計算機的私有ip位址與公網ip位址建立對映關係。在這種模式下，您區域網裡的計算機以及internet上的計算機都可以通過訪問該公網ip位址來訪問對應的計算機。內網ip與公網ip建立一對一對應關係。

虛擬伺服器：出於預設的安全的角度考慮，本裝置會阻斷從外部（網際網路）發起的請求。然而，如果您需要在網際網路上能夠訪問到在內部lan網路內的伺服器，您就需要設定虛擬伺服器的引數，設定外部埠、內部埠、內部伺服器ip。dmz主機實際上就是乙個預設的虛擬伺服器，如果本裝置收到乙個來自外部網路的請求，它首先根據外部請求所請求服務的埠號，檢視虛擬服務列表，看是否有匹配的。如果有，就把請求訊息傳送到對應的ip位址上去，如果沒有查到匹配的，就**到dmz主機上去。當然，您也可以設定為不**到dmz主機而直接丟棄請求訊息。

通過設定路由器的埠觸發規則，當客戶端訪問伺服器並觸發規則後，路由器會自動開放伺服器需要向客戶端請求的埠，從而可以保證通訊正常，需設定觸發埠與外來埠。當客戶端和路由器長時間沒有資料互動時，路由器自動關閉之前對外開放的埠，既保證應用的正常使用，又能最大限度地保證區域網的安全。

路由設定

靜態路由：靜態路由是一種特殊的路由，需要手工設定。設定靜態路由後，去往指定目的地的報文將按照指定的路徑進行**。在組網結構比較簡單的網路中，只需設定靜態路由就可以實現網路互通。恰當地設定和使用靜態路由可以改善網路的效能，並可為重要的網路應用保證頻寬。要設定目的位址、子網掩碼、下一跳位址、出介面。

應用服務

ddns：裝置通過pppoe或動態獲取ip位址上網時，獲取到的ip位址通常不固定，這給想訪問內網伺服器的網際網路使用者帶來很大的不便，dynamic dns（ddns）可以很好的解決這個問題。本裝置在ddns伺服器上會建立乙個ip與網域名稱（需要預先註冊）的關係表，當wan口ip變化時，本裝置會自動向指定的ddns伺服器發起更新請求，ddns伺服器上更新網域名稱與ip位址的對應關係。保證了無論本裝置的wan口ip位址如何改變，網際網路上的使用者仍可以通過網域名稱對其進行訪問。

upnp：upnp（universalplug and play)通用即插即用，是針對裝置彼此間的通訊而制定的一組協議的統稱。本裝置作為upnp閘道器，主要功能是完成埠自動對映，裝置啟用upnp後，可以為支援upnp的應用程式自動新增埠對映，加速點對點的傳輸，還可以解決一些傳統業務（比如，msn）不能穿越nat的問題。但開啟該功能同樣會為支援upnp功能的非法軟體建立對映，存在安全隱患。通過upnp實現埠自動對映需要滿足三個條件：1.本裝置必須啟用upnp功能；2.內網主機的作業系統必須支援並開啟upnp服務；3.應用程式必須支援並開啟upnp功能。開啟upnp功能，裝置定時主動傳送ssdp宣告，wan口可抓到ssdp報文。

dns sever：本裝置支援靜態dnsserver功能，您可以手動指定網路裝置的網域名稱和ip的對應關係。

遠端管理：web遠端管理：本裝置支援靜態dnsserver功能，您可以手動指定網路裝置的網域名稱和ip的對應關係。

遠端telnet管理：telnet wan口ip 2323。

本地telnet管理：telnet lan口 ip。

實習總結2

實習總結2

實習2天的總結

實習2個月總結

實習總結2

實習總結2

實習2天的總結

實習2個月總結

相關推薦