国家 / 地区

H3C MER系列路由器 快速入门-AP101

手册下载

H3C MER系列路由器 快速入门

AP101

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

BOM: 3122A0GM


扫描二维码查看产品最新资料

·     配置案例视频

通过Web管理页面管理路由器的典型配置视频。

·     用户FAQ

解答路由器使用过程中的常见问题。

·     快速入门

路由器的硬件信息和快速配置上网的方法等。

·     用户手册

通过Web管理页面管理路由器的详细方法。

·     典型配置

路由器典型应用的配置举例。

·     安装指导

路由器安装前的准备、安装设备、硬件更换、设备安装故障处理等内容。

 


1 产品简介

H3C MER系列路由器包括如下的产品型号。

名称

具体型号

H3C MER系列路由器

MER3220

MER5200

MER8300

 

1.1  注意事项

为保证设备正常工作和延长使用寿命,请遵从以下注意事项:

·     设备仅允许在室内使用,请将其放置于干燥通风处;

·     设备的接口线缆要求在室内走线,禁止户外走线,以防止因雷电产生的过电压、过电流损坏设备的信号口;

·     请不要将设备放在不稳定的箱子或桌子上,一旦跌落,会对设备造成损害;

·     在设备周围应预留足够的空间(大于10cm),以便于设备正常散热;

·     请保证设备工作环境的清洁,过多的灰尘会造成静电吸附,不但会影响设备寿命,而且容易造成通信故障;

·     设备工作地最好不要与电力设备的接地装置或防雷接地装置合用,并尽可能相距远一些;

·     设备工作地应远离强功率无线电发射台、雷达发射台、高频大电流设备;

·     请使用随产品附带的电源线,严禁使用其它非配套产品。电源电压必须满足专用电源线的输入电压范围。

2 机箱外观及其说明

2.1  MER3220前视图

1: CONSOLE接口

2: RESET按钮

3: 千兆以太网LAN/WANGE2GE5

4: 千兆以太网WANGE0GE1

 

2.2  MER5200前视图

1:千兆以太网WANGE0

2: 千兆以太网WANGE1

3: CONSOLE接口

4: USB接口

5: Micro SD卡槽

6: RESET按钮

7: 千兆以太网LAN/WANGE2GE5

8: 光模块接口SFP0

 

 

面板上以太网电口GE0与光口SFP0对应同一个COMBO口。

2.3  MER3220/MER5200后视图

1: 接地端子

2: 交流电源插座

 

2.4  MER8300前视图

1:交流电源插座

2: 硬盘槽位

3: HD按钮

4: 千兆以太网WANGE0GE3

5: 光模块接口SFP2~SFP5

6: CONSOLE接口

7: Micro SD卡槽

8: USB接口

面板上以太网电口GE2与光口SFP2对应同一个COMBO口;以太网电口GE3与光口SFP3对应同一个COMBO口。

2.5  MER8300后视图

 

1: SIC接口模块插槽41

2: 接地端子

3: SIC-4GSW接口模块

 

3 设备安装

详细的安装方法请参见《H3C MER系列路由器 安装指导》。

4 登录设备

说明

建议使用以下浏览器访问WebInternet Explorer 10及以上版本、Firefox 35及以上版本、Chrome 57及以上版本。

 

·     将计算机连接到设备的GE LAN接口。

·     配置计算机为自动获取IP地址或手工配置计算机的IP地址和192.168.1.1/23在同一网段。

·     检查计算机的代理服务设置情况。如果当前计算机使用代理服务器访问互联网,则首先必须禁止代理服务。

·     运行Web浏览器。

在浏览器地址栏中输入http://192.168.1.1(设备缺省的管理IP地址,登录后可修改)并回车。

如下图所示,在弹出的窗口上输入管理员用户名和密码(缺省均为admin),点击<登录>按钮。

首次登录设备后,系统会自动弹出“修改密码”页面。输入旧密码、新密码,并确认新密码,点击<确定>按钮完成密码的修改。

 

5 快速上网配置

通过快速配置完成广域网WAN和局域网LAN的基本配置后,局域网内的用户便可以访问外网。设备支持单WAN和双WAN两种广域网接入场景。如果用户仅租用了一个运营商网络,则选择单WAN场景;如果用户租用了两个运营商网络,则使用双WAN场景。单WAN和双WAN场景的配置方法相同。

5.1  WAN场景上网配置

步骤1     场景选择

页面向导:快速设置→场景选择。

在场景选择页面,选择“单WAN场景”选项,点击<下一步>按钮,进入单WAN配置页面。

 

步骤2     WAN配置

页面向导:快速设置→场景选择→下一步→单WAN配置。

在单WAN配置页面,设置如下广域网接入参数:

·     线路1:选择要接入广域网的物理接口。

·     连接模式:根据实际上网方式选择对应的连接模式。

¡     PPPoE:通过运营商网络上网。

¡     DHCP:通过自动从DHCP服务器获取接入广域网的公网IP地址上网。

¡     固定地址:通过设置接入广域网的固定IP地址上网。

·     上网账号:运营商提供的PPPoE接入用户名。当连接模式设置为“PPPoE”时,需设置此参数。

·     上网口令:运营商提供的PPPoE接入密码。当连接模式设置为“PPPoE”时,需设置此参数。

·     IP地址:接入广域网的固定IP地址。当连接模式设置为“固定地址”时,需设置此参数。

·     子网掩码:IP地址的掩码或掩码长度,例如255.255.255.024。当连接模式设置为“固定地址”时,需设置此参数。

·     网关地址:接入广域网的网关地址。当连接模式设置为“固定地址”时,需设置此参数。

·     DNS1/DNS2:接入广域网的DNS服务器地址。设备优先使用DNS1进行域名解析。如果解析失败,则使用DNS2进行域名解析。当连接模式设置为“固定地址”时,需设置此参数。

·     NAT地址转换:选择是否开启NAT地址转换功能。当局域网中多台设备共用同一个公网IP时,需开启此功能。

设置完成后,点击<下一步>按钮,进入LAN配置页面。

 

步骤3     LAN配置

页面向导:快速设置→场景选择→下一步→单WAN配置→下一步→LAN配置。

LAN配置页面,设置如下参数:

·     局域网IP地址:设备在局域网中使用的IP地址。默认值为192.168.1.1,即设备出厂时默认的登录地址。

·     子网掩码:IP地址的掩码或掩码长度,例如255.255.255.024

·     DHCP服务:选择启用或禁用DHCP。如果设备需要作为DHCP服务器为局域网中的主机分配IP地址,则需要选择“启用”。

·     IP分配范围:待分配地址的起始IP地址和结束IP地址。当启用DHCP服务时,需设置此参数。

·     网关地址:设备为DHCP客户端分配的网关地址。当启用DHCP服务时,需设置此参数。

·     DNS:设备为DHCP客户端分配的DNS服务器的IP地址。当启用DHCP服务时,需设置此参数。

设置完成后,点击<下一步>按钮,进入完成页面。

注意

修改局域网IP地址以后,设备默认的DHCP分配地址范围也会随之改变,终端的地址需要修改为与设备局域网IP地址同网段的地址,然后才能用新的局域网IP地址登录设备。

 

 

在完成页面,确认配置信息无误后,点击<完成>按钮,完成快速配置。

步骤4     VLAN配置

页面向导:网络设置→LAN配置→VLAN划分。

LAN配置页面,单击“VLAN划分”页签,进入VLAN划分页面。在端口列表中,点击指定端口操作列对应的修改图标,弹出详细端口配置对话框。设置如下参数:

·     PVID:选择端口的PVID

·     将端口加入VLAN:单击待选VLAN下方的VLAN ID可以将端口加入该VLAN,或通过待选VLAN下方的向右方向按钮将端口加入当前所有的待选VLAN中。

·     将端口从VLAN移除:单击已选VLAN下方的VLAN ID可以将端口移除该VLAN,或通过已选VLAN下方的向左方向按钮将端口从所有已加入的VLAN中移除。

设置完成后,点击<确定>按钮,完成VLAN划分设置。

 

5.2  WAN场景上网配置

步骤1     场景选择

页面向导:快速设置→场景选择。

在场景选择页面,选择“双WAN场景”选项,点击<下一步>按钮。

 

步骤2     WAN配置

页面向导:快速设置→场景选择→下一步→双WAN配置。

在双WAN配置页面,根据实际情况,设置线路1和线路2对应的广域网接入参数:

·     线路1:选择线路1接入广域网的物理接口。

·     线路2:选择线路2接入广域网的物理接口。

·     连接模式:根据实际上网方式选择对应的连接模式。

¡     PPPoE:通过运营商网络上网。

¡     DHCP:通过自动从DHCP服务器获取接入广域网的公网IP地址上网。

¡     固定地址:通过设置接入广域网的固定IP地址上网。

·     上网账号:运营商提供的PPPoE接入用户名。当连接模式设置为“PPPoE”时,需设置此参数。

·     上网口令:运营商提供的PPPoE接入密码。当连接模式设置为“PPPoE”时,需设置此参数。

·     IP地址:接入广域网的固定IP地址。当连接模式设置为“固定地址”时,需设置此参数。

·     子网掩码:IP地址的掩码或掩码长度,例如255.255.255.024。当连接模式设置为“固定地址”时,需设置此参数。

·     网关地址:接入广域网的网关地址。当连接模式设置为“固定地址”时,需设置此参数。

·     DNS1/DNS2:接入广域网的DNS服务器地址。设备优先使用DNS1进行域名解析。如果解析失败,则使用DNS2进行域名解析。当连接模式设置为“固定地址”时,需设置此参数。

·     NAT地址转换:选择是否开启NAT地址转换功能。当局域网中多台设备共用同一个公网IP时,需开启此功能。

设置完成后,点击<下一步>按钮,进入LAN配置页面。

 

步骤3     LAN配置

页面向导:快速设置→场景选择→下一步→双WAN配置→下一步→LAN配置。

LAN配置页面,设置如下参数:

·     局域网IP地址:设备在局域网中使用的IP地址。默认值为192.168.1.1,即设备出厂时默认的登录地址。

·     子网掩码:IP地址的掩码或掩码长度,例如255.255.255.024

·     DHCP服务:选择启用或禁用DHCP。如果设备需要作为DHCP服务器为局域网中的主机分配IP地址,则需要选择“启用”。

·     IP分配范围:待分配地址的起始IP地址和结束IP地址。当启用DHCP服务时,需设置此参数。

·     网关地址:设备为DHCP客户端分配的网关地址。当启用DHCP服务时,需设置此参数。

·     DNS:设备为DHCP客户端分配的DNS服务器的IP地址。当启用DHCP服务时,需设置此参数。

设置完成后,点击<下一步>按钮,进入完成页面。

注意

修改局域网IP地址以后,设备默认的DHCP分配地址范围也会随之改变,终端的地址需要修改为与设备局域网IP地址同网段的地址,然后才能用新的局域网IP地址登录设备。

 

 

在完成页面,确认配置信息无误后,点击<完成>按钮,完成快速配置。

步骤4     VLAN配置

页面向导:网络设置→LAN配置→VLAN划分。

LAN配置页面,单击“VLAN划分”页签,进入VLAN划分页面。在端口列表中,点击指定端口操作列对应的修改图标,弹出详细端口配置对话框。设置如下参数:

·     PVID:选择端口的PVID

·     将端口加入VLAN:单击待选VLAN下方的VLAN ID可以将端口加入该VLAN,或通过待选VLAN下方的向右方向按钮将端口加入当前所有的待选VLAN中。

·     将端口从VLAN移除:单击已选VLAN下方的VLAN ID可以将端口移除该VLAN,或通过已选VLAN下方的向左方向按钮将端口从所有已加入的VLAN中移除。

设置完成后,点击<确定>按钮,完成VLAN划分设置。

 

6 Mini AP管理配置

通过Mini AP管理功能可以集中管理不同VLAN下接入的AP设备。

6.1  查看在线AP状态

在线AP管理功能支持查看已上线的AP设备,支持为AP绑定的服务模板。Mini AP通过组网正确连接AC并上线后,会自动显示在列表中,无需手动添加。

页面向导:Mini AP管理→在线AP管理→在线AP列表。

通过在线AP列表可查看上线的Mini AP的详细信息。Mini AP默认绑定default配置模板,如需更改Mini AP 绑定的服务模板,请参见4.4  更改Mini AP绑定的配置模板(可选)。

 

6.2  设置无线基本配置

通过无线基本配置功能可以修改系统提供的默认服务模板(default模板),可配置的参数包括:2.4G网络和5G网络的SSID名称、加密方式、共享密钥和无线信道。

说明

·     配置无线服务模板时,需要同时配置2.4G5G无线网络的相关参数信息。

·     修改服务模板中的加密方式、共享配置密钥等无线服务属性后,如AP中的配置未自动同步,需要通过点击在线AP列表页面中的<配置同步>按钮进行手动,将配置下发到AP设备。

 

页面向导:Mini AP管理→配置管理→无线基本配置。

在无线基本配置页面,设置如下参数:

配置无线网络设置-2.4G

·     SSID-1名称:2.4G无线服务的SSID名称。

·     加密方式:选择客户端是否通过加密方式连接无线服务。

·     为增强无线网络的安全性,推荐您使用WPA-PSK/WPA2-PSK安全模式进行加密。

·     共享密钥:无线服务密钥。当您选择通过加密方式接入无线服务时,需要设置共享密钥。

配置无线网络设置-5G

·     5G-SSID-1名称:5G无线服务的SSID名称。

·     加密方式:选择客户端是否通过加密方式连接无线服务。为增强无线网络的安全性,推荐您使用WPA-PSK/WPA2-PSK安全模式进行加密。

·     共享密钥:无线服务密钥。当您选择通过加密方式接入无线服务时,需要设置共享密钥。

设置完成后,点击<应用>按钮,完成无线基本配置。设置default服务模板的SSID名称,以及加密方式和共享密钥,点击<应用>按钮后完成配置。如需配置default服务模板的其他参数或新增服务模板,请参见4.3  管理配置模板(可选)。

 

6.3  管理配置模板(可选)

配置模板管理可以配置default模板的更多参数(无线网络模式、无线网络频宽、发射功率、修改SSID配置等),添加、修改和删除配置模板。

页面向导:Mini AP管理→配置管理→配置模板管理。

在配置管理页面,单击“配置模板管理”页签,进入配置模板管理页面。根据需要可以添加配置模板,删除和修改除default模板以外的配置模板。

6.3.1  添加和修改配置模板

在配置模板管理页面,点击<添加>按钮,弹出添加配置模板对话框;鼠标停留在需要修改的配置模板上,点击对应的修改图标,弹出修改配置模板对话框。

default模板及模板中的SSID-15G-SSID-1为默认配置,不支持删除操作。

在添加配置模板或修改配置模板对话框中,可设置如下参数:

1. 设置基本信息

·     模板名称:无线服务模板的名称。

·     模板描述:无线服务模板的描述信息。

说明

default模板的模板名称无法更改,仅能添加模板描述信息。

 

2. 设置2.4G配置和5G配置

A.无线网络基本设置

·     无线网络模式:选择无线网络的模式。

·     无线网络频宽:选择无线网络的频宽。

·     无线信道:选择无线网络的信道。

·     发射功率:选择无线设备的天线在无线介质中所辐射的功率,即无线设备辐射信号的强度。射频功率越大,射频覆盖的范围越广,客户端在同一位置收到的信号强度越强,也就越容易干扰邻近的网络。随着传输距离的增大,信号强度随之衰减。

B无线网络SSID设置

点击列表右上方的<添加>按钮,弹出添加SSID配置对话框。设置如下参数:

·     启用SSID:选择是否启动SSID

·     SSID名称:无线服务的SSID名称。

·     加密方式:选择客户端是否通过加密方式连接无线服务。为增强无线网络的安全性,推荐使用WPA-PSK/WPA2-PSK安全模式进行加密。

·     共享密钥:无线服务密钥。当加密方式设置为WPA-PSK/WPA2-PSK时,需要设置共享密钥。

·     加密协议:选择无线服务的加密协议,包括TKIPAESTKIP+AESAESTKIP采用更高级的加密技术,因此AESTKIP的安全性更好,但TKIP对网卡的兼容性更好,部分老网卡可能不支持AES

·     群组密钥更新周期:设置加密密钥更新周期。

·     高级设置:选择是否设置客户端接入管理的相关功能。

·     客户端隔离:选择是否启用基于SSID的用户隔离,即对使用同一公共无线服务进行通信的用户进行报文隔离,从而达到提高用户安全性、缓解设备转发压力和减少射频资源消耗的目的。

·     SSID广播:选择是否启用SSID广播功能。启用SSID广播后,在终端上可以查看到此无线服务;不开启SSID广播,在终端上无法查看到此无线服务。

·     客户端数量:设置客户端数量可以防止SSID接入的客户端数量过多而过载。

·     桥接VLAN:设置桥接VLAN可以将SSID接入的客户端划分在不同广播域中,充分利用有限的IP地址资源。

设置完成后,点击<确认>按钮,完成SSID配置的添加。

在添加配置模板或修改配置模板对话框中,点击<确认>按钮,完成配置模板的添加或修改。

6.3.2  删除配置模板

在配置模板管理页面,勾选需要删除的服务模板,点击<删除>按钮,删除选择的模板。default模板不支持删除操作。

6.3.3  更改Mini AP绑定的配置模板(可选)

通过AP配置管功能可以为AP更换绑定的配置模板。

页面向导:Mini AP管理→配置管理→AP配置管理。

在配置管理页面,单击“AP配置管理”页签,进入AP配置管理页面。通过MAC地址识别需要管理的AP,点击对应的修改图标,弹出修改AP配置模板对话框。设置如下参数:

·     MAC地址:AP设备的MAC地址。不支持修改。

·     备注信息:配置的备注信息。

·     模板选择:选择AP需要绑定的无线配置模板。

完成配置,点击<确定>按钮,完成AP配置模板的修改。

 

7 保存配置

当需要通过Web管理页面保存设备当前配置时,可单击页面右上角的保存图标,在弹出的确认对话框中,点击<>按钮,保存设备的当前配置。

 

8 修改管理员登录密码

登录Web管理页面成功后,用户可以修改当前密码。

单击页面右上角的“admin”或用户图标,在下拉菜单中单击“修改密码”菜单项,弹出修改管理员对话框。

 

输入旧密码、新密码,并确认新密码,点击<确定>按钮完成密码的修改。

 

9 DHCP配置

9.1  开启接口上的DHCP服务

开启指定接口上的DHCP服务后,可为连接到指定接口的客户端(如连接到设备的计算机等)动态分配IP地址。

页面向导:网络配置→LAN配置。

LAN配置页面,点击指定接口操作列对应的修改图标,弹出修改VLAN对话框。勾选“开启DHCP服务”选项,并设置如下参数:

·     地址池起始地址:设备可分配给客户端的起始IP地址。

·     地址池结束地址:设备可分配给客户端的结束IP地址。

·     排除地址:当地址池范围内的某些IP地址(如网关地址)不能分配给客户端时,则需要将其配置为排除地址。

·     网关地址:客户端的网关地址。

·     DNS1/DNS2DNS服务器地址。

·     地址租约:IP地址的使用时间,单位为分钟,如设置IP地址租约为5天,则需输入7200

设置完成后,点击<确定>按钮,完成VLAN的修改。

 

注意

接口上指定的地址池的地址范围不能与设备上WAN口的IP地址网段包含相同的IP地址。

 

9.2  配置静态DHCP

配置静态DHCP是将客户端的硬件地址与IP地址进行绑定,可为某些客户端分配固定的IP地址。

页面向导:网络配置→LAN配置→静态DHCP

LAN配置页面,单击“静态DHCP”页签,进入静态DHCP配置页面。点击<添加>按钮,弹出新增DHCP静态绑定关系对话框,设置如下参数:

·     接口:选择开启DHCP服务器功能的接口。

·     客户端MAC:客户端的MAC地址。对于PC类型的客户端,可以在网卡信息中查询到MAC地址;对于设备类型的客户端,可以通过display interface命令查询接口的MAC地址。

·     客户端IP:分配给客户端的IP地址。

设置完成后,点击<确定>按钮,完成静态DHCP的配置。

 

注意

·     静态绑定的客户端IP地址不能是设备上WAN口的IP地址网段包含的IP地址。

·     在任何一个接口上开启DHCP服务。如果仅需要使用静态DHCP方式分配IP地址,则还需要删除该接口上的DHCP参数配置。

 

10 设置ARP攻击防御

通过攻击防御管理可以限制是否仅允许ARP静态表项对应的用户能够访问外网,以及管理静态ARP表项。

页面向导:网络安全→ARP攻击防御→攻击防御管理。

ARP攻击防御页面,单击“攻击防御管理”页签,选择“仅允许ARP静态绑定的客户访问外网”选项,则表示只有静态ARP表项对应的客户可以访问外网,动态ARP表项对应的客户无法访问外网。选择“不限制”选项,则表示静态ARP表项和动态ARP表项对应的客户都能访问外网。

 

根据需要可对静态ARP表项执行以下管理操作:

·     点击<刷新>按钮,则可以刷新当前静态ARP表项的显示信息。

·     点击<导入>按钮,则可以批量导入静态ARP表项。

·     点击<导出>按钮,则可以批量导出静态ARP表项到文件中。

·     点击<添加>按钮,进入“添加ARP表项”页面。在“添加ARP表项”页面,输入静态ARP表项的IP地址和MAC地址,点击<确定>按钮,静态ARP表项添加成功。

·     选择指定的静态ARP表项,点击<删除>按钮,再点击<确定>按钮后,可以删除对应的静态ARP表项。

11 设置带宽限速

通过带宽限速功能可以对流量进行限速,用户可基于用户组和时间段等限制条件对流量进行精细控制。

页面向导:上网行为管理→带宽管理。

在带宽管理配置页面,点击<添加>按钮,进入新建带宽策略页面。设置如下参数:

·     应用接口:选择带宽策略适用的接口,设备将基于该接口进行带宽管理。

·     用户范围:选择带宽策略适用的用户组,设备将仅对该用户组内的成员进行带宽管理。

·     上传带宽:

¡     当流量分配方式为共享式时,上传带宽为所选用户组中各用户上传带宽的总和。若不设置上传带宽,则表示不对上传带宽进行限速。

¡     当流量分配方式为独享式时,上传带宽为所选用户组中单个用户的上传带宽。

·     下载带宽:

¡     当流量分配方式为共享式时,下载带宽为所选用户组中各用户下载带宽的总和。若不设置下载带宽,则表示不对下载带宽进行限速。

¡     当流量分配方式为独享式时,下载带宽为所选用户组中单个用户的下载带宽。

·     流量分配:包括如下类型:

¡     共享式:用户组中的所有用户共享带宽。

¡     独占式:用户组中的用户独享固定的带宽。

·     限制时段:包括如下选项:

¡     所有时段:带宽策略在所有时段都适用。

¡     选择现有时间组:选择带宽策略适用的时间组。

设置完成后,点击<确定>按钮,完成带宽策略的添加。

 

12 设置连接限制

连接限制功能是一种安全机制,通过该功能可以限制每个IP地址主动发起连接的个数,达到合理分配设备处理资源、防范恶意连接的效果。

如果设备发现来自某IP地址的TCPUDP连接数目超过指定的数目,将禁止该连接建立。直到该连接数低于限制数时,其才被允许新建连接。

页面向导:安全管理→连接限制。

在连接限制配置页面,勾选“开启网络连接限制数”选项后,点击<添加>按钮,进入新建网络连接限制数规则页面。设置如下参数:

·     起始IP地址:规则适用地址范围的起始IP地址。

·     结束IP地址:规则适用地址范围的结束IP地址。

·     IP总连接数上限:每个IP地址所允许发起连接的总个数。相同源IP,源端口、目的IP、目的端口或报文协议不完全相同的连接均属于不同的连接。

·     IP TCP连接数上限:每个IP地址所允许发起的TCP连接的总个数。在每IP总连接数限制下,对TCP连接数进行单独限制。

·     IP UDP连接数上限:每个IP地址所允许发起的UDP连接的总个数。在每IP总连接数限制下,对UDP连接数进行单独限制。

设置完成后,点击<确定>按钮,完成网络连接限制数规则的添加。

 

13 设置DDoS攻击防御

DDoS攻击是一类广泛存在于互联网中的攻击,能造成比传统DoS攻击(拒绝服务攻击)更大的危害。通过DDoS攻击防御功能可以使设备和网络免受如下DDoS攻击的困扰:

·     单包攻击:攻击者利用畸形报文发起攻击,旨在瘫痪目标系统。例如Land攻击报文是源IP和目的IP均为攻击目标IPTCP报文,此攻击将耗尽目标服务器的连接资源,使其无法处理正常业务。

·     异常流攻击

¡     扫描攻击:攻击者对主机地址和端口进行扫描,探测目标网络拓扑以及开放的服务端口,为进一步侵入目标系统做准备。

¡     泛洪攻击:攻击者向目标系统发送大量伪造请求,导致目标系统疲于应对无用信息,从而无法为合法用户提供正常服务。

设备可防御的DDoS攻击包括:

·     单包攻击:Fraggle攻击、Land攻击、WinNuke攻击、TCP Flag攻击、ICMP不可达报文攻击、ICMP重定向报文攻击、Smurf攻击、带源路由选项的IP报文攻击、带路由记录选项的IP报文攻击和超大ICMP报文攻击。

·     异常流攻击:扫描攻击、SYN flood攻击、UDP flood攻击和ICMP flood攻击。

页面向导:网络安全→DDoS攻击防御。

在攻击防御配置页面,点击<添加>按钮,进入新建攻击防御页面。设置如下参数:

·     应用接口:选择应用DDoS攻击防御策略的接口。

·     单包攻击防御:选择需要开启防御的单包攻击类型。建议开启全部单包攻击防御。

·     异常流攻击防御:选择需要开启防御的异常流攻击类型。建议根据网络流量类型开启对应的泛洪攻击防御。启动扫描攻击防御后,可选择将源IP地址加入黑名单。在一定时间内,来自扫描攻击源的报文将被设备直接丢弃。被加入黑名单的IP地址可在黑名单管理页面查看。

设置完成后,点击<确定>按钮,完成攻击防御的添加。

 

14 动态DNS设置

如果需要通过设备的WAN接口来提供WebMail或者FTP等服务,且希望在设备WAN接口的IP发生变化的情况下(如宽带拨号方式),用户仍然能够通过固定的域名访问设备提供的服务,那么需要在设备上的提供WebMail或者FTP等服务的WAN接口上配置DDNSDynamic Domain Name System,动态域名系统)服务。

在使用DDNS服务之前,需要提前在DDNS服务器(即DDNS服务提供商,如花生壳网站)上注册。设备向DDNS服务器申请域名时,需使用WAN接口获取的公网IP地址。

页面向导:高级选项→动态DNS

在进入动态DNS配置页面,点击<添加>按钮,进入新建动态DNS策略页面。设置如下参数:

·     WAN接口:选择设备上的提供WebMail或者FTP等服务的WAN接口。

·     域名:设备的域名。

·     服务提供商:选择服务提供商,如花生壳等。

·     服务器地址:服务提供商的服务器地址。如果服务器地址与缺省情况不同,勾选“修改服务器地址”后进行修改。

·     更新间隔:设置设备向服务器发送更新请求的时间间隔。如果配置时间间隔为0,设备只在WAN接口IP地址发生变化或者接口连接由down变为up时发送更新请求。

·     账户配置:服务提供商处注册的用户名和密码。

设置完成后,点击<确定>按钮,完成动态DNS策略的添加。

 

15 设置端口映射

端口映射可以将内网中的一组IP地址和不同的协议端口映射到一个公网IP地址和对应的协议端口上,使得一个公网IP地址可以同时分配给多个内网IP地址使用。

页面向导:网络配置→NAT配置。

NAT配置页面,单击“端口映射”页签,点击<添加>按钮,进入添加NAT端口映射页面。设置如下参数:

·     接口:选择用于连接Internet的端口。

·     协议类型:选择协议为“TCP”或“UDP”,此处需要根据内部服务器采用的传输层协议类型选择TCPUDP,比如FTP服务器采用TCP协议,TFTP采用UDP协议。

·     外部地址:选择使用当前端口的IP地址,也可以使用设备上的其它公网IP地址。

·     外部端口:选择FTPTelnet或自定义端口。若对外提供的服务不是FTPTelnet,需选择自定义端口,并输入提供的服务所使用的端口号,比如HTTP服务端口号为80

·     内部地址:输入允许外部网络访问的内网IP地址。

·     内部端口:输入内部网络资源使用的端口号。

设置完成后,点击<确定>按钮,完成端口映射的添加。

 

16 设置静态路由

静态路由是在路由器中通过手工方式设置的固定路由条目。当网络结构比较简单且比较稳定时,通过配置静态路由就可以实现网络互通。设置静态路由之前,需要知道当前网络的出接口和网关的IP地址。

注意

当静态路由中下一跳对应的接口失效时,本地的静态路由条目不会被删除,这种情况下需要您检查网络环境,然后修改静态路由的配置。

 

页面向导:高级选项→静态路由。

在静态路由配置页面,点击<添加>按钮,进入添加IPv4静态路由页面。设置如下参数:

·     目的IP地址:设备访问的目的网络的IP地址。

·     掩码长度:目的网络的掩码长度。

·     下一跳:设置去往目的网络的出接口和下一跳参数:

¡     选择出接口。选择Null0接口作为出接口时,设备会丢弃发送到指定目的网络的报文。当存在针对某个目的网络的攻击报文,或将报文发送到某个目的网络时产生环路,可以通过指定去往该目的网络的出接口为Null0接口,来避免攻击和环路。

¡     设置下一跳IP地址。

·     路由优先级:静态路由的优先级。当去往同一目的地存在多条静态路由时,如果需要优先选用某条静态路由,可以调整静态路由的优先级。优先级的值越小,对应的静态路由的优先级越高。

设置完成后,点击<确定>按钮,完成静态路由的添加。

 

17 设备软件升级

设备软件升级步骤如下:

步骤1     升级前请保存并备份当前版本的配置文件。在升级软件期间,请确保网络稳定,不要断电。

步骤2     下载最新版本软件。登录H3C官方网站,选择“首页→服务支持→软件下载→路由器→H3C MER系列路由器”。

步骤3     在设备Web管理页面升级设备。

页面向导:系统工具→系统升级。

在系统升级页面,点击<升级系统软件>按钮,选择下载好的.ipe文件(如果下载的文件是压缩包,则需要解压缩获取.ipe文件),并勾选“立即重启设备”选项,点击<确定>按钮开始升级。等待13分钟后设备自动重启,升级过程中,不要随便切换网页,直至完成升级。

 

18 设置HTTP/HTTPS登录端口

用户可以在PC上使用HTTP/HTTPS协议登录设备的Web管理界面,通过远程管理功能可以更改HTTP/HTTPS的登录端口。

页面向导:系统工具→远程管理→HTTP/HTTPS

在远程管理页面,单击“HTTP/HTTPS”页签,进入HTTP/HTTPS配置页面。根据需要设置如下参数:

·     HTTP登录端口:HTTP方式登录设备对应的端口号,缺省值为80。修改登录端口时,建议使用10000以上的端口号。

·     HTTPS登录端口:HTTP方式登录设备对应的端口号,的缺省值为433。修改登录端口时,建议使用10000以上的端口号。

·     登录超时时间:Web管理界面的闲置超时时间,缺省为10分钟。管理员登录Web管理界面后,当闲置时间超过登录超时时间时,系统会自动注销该管理员。

·     例外IP:添加一个或多个IPv4地址,表示与“允许远程登录”选择框选项相反操作。

¡     如果添加了IPv4地址,并在“HTTP/HTTPS”列表下勾选“允许远程登录”选择框,表示禁止通过该接口的IP地址以HTTP/HTTPS方式登录设备。

¡     如果添加了IPv4地址,并在“HTTP/HTTPS”列表下不勾选“允许远程登录”选择框,表示允许通过该接口的IP地址以HTTP/HTTPS方式登录设备。

¡     如果不添加IPv4地址,并在“HTTP/HTTPS”列表下勾选“允许远程登录”选择框,表示允许通过该接口的所有IP地址以HTTP/HTTPS方式登录设备。

¡     添加的IPv4地址必须是对应“接口”列表下接口的IP地址。

设置完成后,点击<应用>按钮,完成HTTP/HTTPS配置。

 

说明

·     HTTP/HTTPS登录端口为缺省值时,正确的格式为:http://xxx.xxx.xxx.xxxhttps://xxx.xxx.xxx.xxx,例如http://221.23.212.12

·     HTTP/HTTPS登录端口为非缺省值时,正确的格式为:http://xxx.xxx.xxx.xxx:porthttps://xxx.xxx.xxx.xxx:port,例如http://221.23.212.12:13333

 

19 恢复出厂配置

恢复出厂配置的方法有如下三种:

1. 通过设备Web管理页面恢复

页面向导:系统工具→配置管理。

在配置管理页面,单击“恢复出厂配置”页签,点击<重置>按钮,在确认提示框中选择“是”,完成恢复出厂配置并强制重启设备。

 

2. 通过RESET按钮恢复

长按设备前面板上的RESET按钮4秒钟以上,设备将立刻恢复出厂配置并重新启动。

3. 通过命令行恢复

将管理计算机串口连接到设备上或者通过管理计算机Telnet到设备,执行“restore factory-default”命令,确认执行该命令后,设备将恢复到出厂设置并重新启动。

20 License注册

在购买License并收到授权函之后,才能进行License注册。具体注册步骤如下:

步骤1     获取设备SNDID

页面向导:系统工具→License管理→获取DID

在获取DID页面,显示了设备的SNDID信息。在获取License之前,请拷贝或者记录设备的SNDID信息。

 

步骤2     获取License

获取设备SNDID后,登录到H3C官网的授权业务下,填写相关信息并输入设备的获取设备SNDID,即可获取设备的License文件。

浏览器中输入H3C官网的URLwww.h3c.com),选择“产品支持与服务”-“授权业务”菜单项。

 

选择“License首次激活申请”,进入License首次激活页面。在“产品分类”中选择“路由器_H3C MER”,在“授权信息”中输入授权函中的授权码信息,在“设备信息”中输入设备的SNDID信息,在“用户信息”中输入必填信息后,点击<获取激活码(文件)>按钮,将激活文件下载本地。

步骤3     安装License

页面向导:系统工具→License管理→License配置。

License配置页面,点击<添加>按钮,弹出安装License对话框。点击<选择文件>按钮,选择保存到本地的License激活文件后,点击<添加>按钮完成License的安装。

 


 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2019-2020 新华三技术有限公司

本文档中的信息如有更改,恕不另行通知

联系我们 联系我们
联系我们
回到顶部 回到顶部