日常操作手册(纳智捷汽车生活馆)

纳智捷汽车生活馆IT主管日常操作指导目录一、设备维护 02二、网络设备密码重置步骤 20三、飞塔限速设置 05四、飞塔SSLVPN设置及应用 07五、服务需求 15六、安装调试流程 16七、备机服务流程 17八、安装及测试 18九、注意事项19一、设备维护1、登录防火墙内网登录防火墙，可在浏览器中https:/172.31.X.254 或 https:/192.168.X.254（注：登录地址中的X代表当前生活馆的X值），从外网登录可输当前生活馆的WAN1口的外网IP地址 （例如：https:/117.40.91.123） 进入界面输入用户名密码即可对防火墙进行管理和配置。2、登录交换机从内网登录交换机，在浏览器输入交换机的管理地址即可。http:/172.31.X.253252251250（注：同样登录地址中的X代表当前生活馆的X值）3、登录无线AP从内网登录无线AP，在浏览器输入无线AP的管理地址即可。员工区 http:/172.31.X.241客户区 http:/192.168.X.241（注：同样登录地址中的X代表当前生活馆的X值）二、网络设备密码重置步骤2.1 防火墙恢复出厂值或忘记密码防火墙Fortigate-80C恢复出厂值命令：execute factoryreset（谨慎使用）防火墙Fortigate-80C重置密码步骤1， 连上串口并配置好；2， 给设备加电启动；3， 启动完30秒内从串口登陆系统，用户名为：maintainer；4， 密码：bcpb序列号（区分大小写）；注意:有些序列号之间有-字符,需要输入.如序列号为FGT-100XXXXXXX,则密码为bcpbFGT-100XXXXXXX.不然无法登陆.5， 在命令行下执行如下系列命令重新配置“admin”的密码：config system adminedit adminset password “需要配置的新密码“end6，可以用新密码从Web界面登陆系统了。具体命令行如下图设置：2.2 交换机DES-3028密码重置步骤1， 连上串口并配置好；2， 给设备加电启动；3，当界面出现第二个100%时，立即按住shift + 6,然后出现一下界面4，按任意键，转入下一个命令行界面5，根据上图操作，最后重启设备；交换机所有配置恢复为出厂设置。2.3 无线DWP-2360恢复出厂默认设置方法找到设备网线接口LAN口旁有个reset按钮，长按5-10秒后，设备重新启动后恢复到出厂默认值。三、飞塔限速设置3.1：首先点击进入流量整形器点击”Per-IP”（针对策略中每个IP的流量设置）上图点击”创建新的”3.2：新建Per-IP的流量整形对象可以针对调用策略中的每个IP做下行限速，如上图最大带宽：调用策略中的每个IP最大下行带宽为100K同时可以限制每个IP的最大并发连接数，这里可以根据实际需求进行设置。3.3：设置流量整形器中”共享的”对象 点击”共享的”（针对单条策略中所有的IP或者所有调用流量整形对象策略中的所有IP）上图点击”创建新的”3.4：新建共享的流量整形对象根据上图可以看到，新建共享的流量整形器可以是针对每条策略的调用设置，也可以是针对所有使用这个流量控制器的策略。可以根据需求设置最大带宽和保证带宽（预留带宽）流量优先级：当所有策略中所有带宽分配大于实际带宽，调用流量优先级高的策略得到保证。3.5：下图是在策略中对流量整形器对象的调用示例四、飞塔SSLVPN设置及应用4.1: SSLVPN设置4.1.1：进入防火墙web页面，新建准备分配给SSLVPN拨号用户的IP地址范围；如下图：SSLVPN地址组，IP范围是172.16.0.1-172.16.0.104.1.2：下图为新建SSLVPN地址组具体设置界面4.1.3：进入虚拟专网中的SSL选项设置；首先勾选”启用SSL-VPN”，IP池选择刚才建立的SSLVPN地址组4.1.4：然后进入SSL-界面；针对默认的full-access界面进行编辑4.1.5：进入full-access编辑界面，如下图点击红色标注选项，针对”Tunnel Mode”进行编辑；4.1.6：在Tunnel Mode界面下，首先IP池”编辑”，选择之前建立的SSLVPN地址组，勾选”通道分割”；然后点击”确定”。（如不勾选”通道分割”，SSLVPN用户连接到防火墙，将无法上网）4.1.7：返回到full access界面，点选下图中的Apply，再点击OK，将提示保存成功的对话框。点击确定。4.1.8：SSLVPN界面设置完成，我们需要新建SSLVPN用户；进入设置用户，选择”创建新的”;4.1.9:添加新用户如下，设置用户名和密码；如需要新建多个用户，则重复以上步骤4.1.10：然后新建用户组，选择用户组界面，”创建新的”用户组;4.1.11:进入用户组编辑界面；设置名称，勾选”允许SSL-VPN接入”，下拉列表选择之前编辑的full access然后把刚才新建的用户添加到已选成员列表中；如下图：（如果有多个用户则选择多个用户到已选成员列表）4.1.12：以上步骤设置完成，我们需要新建SSLVPN用户访问策略；总共三条策略第一条策略首先新建一条允许由WAN1访问内部VLAN172接口的策略，源地址all，目的地址172网段，动作必须选择SSLVPN，然后点击”添加”选择刚才建立好的用户组，如刚才的sslgroup;4.1.13：第二条策略新建VLAN172接口可以访问sslvpn隧道接口，源地址选择172网段，目的地址选择最开始新建的SSLVPN地址组（即SSLVPN用户分配到的地址），动作选择ACCEPT；此策略的作用是可以让172网段访问到sslvpn用户；4.1.14：第三条策略正好和第二条策略方向相反；此条策略作用是可以让sslvpn用户访问到内部172网段；4.1.15：下图为新建好sslvpn策略的所有条目列表；4.1.16：最后我们还需要新建一条到SSLVPN用户的路由；所以我们需要新建一条静态路由，路由如下红色标注内4.1.17：具体新建路由界面如下，目的IP/子网掩码是分配给SSLVPN用户的所属的IP地址段，设备接口选择sslvpn隧道”ssl.root”.4.2: SSL VPN远程拨入使用SSL VPN有2种拨入方式，具体如下：4.2.1、网页登陆在IE浏览器中输入： https:/202.1.1.1:10443 ,其中 202.1.1.1 为防火墙外网口WAN1的地址； 提示输入用户名密码,输入后，出现如下界面：点击连接，可以看到“Link Status”显示成“Up”，并且有显示通过SSL VPN隧道收发的字节数，同时会在客户端操作系统里面虚拟出一个Fortinet的网络连接来，表示SSL VPN隧道已经建立并且可以被客户端使用了.4.2.2. SSL VPN客户端登陆 在电脑上安装好客户端软件后， 运行出现如下界面。 其中Server address: 防火墙外网口的ip地址。Username:用户名Password: 密码输入后，点击 connect 即可登陆，访问各分店的内部网络。五、服务需求纳智捷汽车生活馆需要提前1 2周左右的时间提出设备采购及网络技术支持需求，需求应该包括如下内容： 1 配置要求： 1.1 IP地址分配: 该分支机构的地址段分配，服务器的地址分配。 1.2 访问策略： 生活馆和员工区的访问权限等。 1.3 VPN：必要的VPN配置信息、SSL VPN、 IPsec VPN等。 2 项目信息： 由东风裕隆汽车有限公司网络部门提前提供纳智捷汽车生活馆建店准备，包括设备邮寄地址、当地技术负责人和联系方式等，北京源点思博科技有限公司根据纳智捷汽车生活馆实际需求日期，开始准备设备采购及网络需求。 3 工期需求。 工期按照纳智捷汽车生活馆要求规定时间内完成，遇到不可抗力因素，或者因纳智捷汽车生活馆方资源准备不充足情况除外。 4 环境要求 人员准备： 每个纳智捷汽车生活馆至少配备一名参加过东风裕隆汽车有限公司组织的专门培训，通过统一考试，具有上岗资质的IT主管； 环境准备：现场已经安装好互联网链路，可以进行网络测试； 建店准备：由东风裕隆汽车有限公司制定部门提供纳智捷汽车生活馆建店信息；六、安装调试流程七、备机服务流程备机服务说明：甲方：纳智捷汽车生活馆 乙方：北京源点思博科技有限公司1、属于以下的几个情况范围外的，乙方不提供维护服务（售后、备机、现场技术支持）： 1)甲方或因为甲方造成的人为对设备的疏忽或错误的使用造成的损坏（无论故意与否），纳智捷汽车生活馆的职员除外。 2)对设备的不稳定供电。 3)火灾、洪水、爆炸、雷电、风暴、地震或任何自然灾害，以及双方的不可抗因素。 4)在本协议服务范围之外的装置及有关设备。 2、增加、修改及变更： 1) 甲方自行增加、修改或变更任何有关设备或备件的技术支持，乙方将另收取费用。 2) 乙方将在可行的情况下，应客户的要求对设备作出相应的修改，修改部分乙方收取费用。 3) 如果乙方对设备的配置作出修改，以使其能更有效地运行，应事前通知并征得甲方对修改的同意。修改方案确认后，乙方应在双方协商的合理时间内完成此项工作。 4)如果变更、修改或增加牵涉到设备，双方在协商后合理确定其维护服务费用。 3、额外服务 对合同规定外的服务，乙方可以收取额外服务费。4、设备保修期东风裕隆项目我公司已经在飞塔和D-Link公司做过项目报备，同时也为东风裕隆各公司争取了更好的服务和保修周期。D-Link DES3028 交换机 硬件保修期3年D-Link DWP2360 AP 硬件保修期2年Fortigate-80C 防火墙 一年注：如果以上设备不是从我公司购买，飞塔设备如出现硬件故障将无法返修，D-Link设备保修期是默认一年。八、安装及测试8.1、网络环境拓扑如下：8.2、安装说明：1、安装Fortigate 80C，将Wan1接入6M链路，Wan2口接入2 M链路。2、将D-Link交换机的第25口接入到Fortigate 80C的 internal口。注：默认情况1-12口为VLAN192接口，13-24口为VLAN172接口。3、将无线DWP-2360的 LAN口接入到 D-link交换机相应的VLAN接口。注：生活馆员工使用的AP连接到交换机属于VLAN172的接口上客户区使用的AP连接到交换机属于VLAN192的接口上8.3、网络测试：网络连接好之后，在内网测试下面地址即可：Ping dms.dfyl.com.cn Ping dmstest.dfyl.com.cn 如果是二级店，请ping一级店的更新主机的IP(如172.31.X.220)X值是一级店X值九、注意事项1. FG-80C版本号：V4.0,build0342,120227 (MR2 Patch 11);2. 用户需按照手册上的说明做配置，在工程竣工之前，用户不得私自改动配置；3. 用户需按照手册上的说明正确连接线路，在工程竣工之前，不得私自更改端口接线方式；4. 用户如需更改配置，需要和我方联系，经商讨合理的时候再做更改；5. 工程竣工之后，如用户更改配置，造成的网络故障，由用户负责；6. 安装手册说明，做好配置，检查网络一切正常之后，将每个设备的配置备份、存档；7. 如果需要升级防火墙固件，需要提前备份配置文件，以免配置丢失造成不必要的损失；8. 升级防火墙会造成网络中断，请谨慎操作；9. 防火墙，交换机，无线AP需使用稳定电压，避免因断电或者电压不稳造成网络中断； 北京源点思博科技有限公司 2012-4-1721