- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-正文
本章节下载 (2.88 MB)
10.3.2 查看/设置LAN口IP地址(ip address)
10.3.3 恢复出厂设置(restore default)
10.3.5 启用/禁用“仅允许IP/MAC绑定的客户端访问外网”(ipmac-restrict)
10.3.6 显示系统资源使用情况(display sysinfo)
10.3.7 设备的故障定位信息(download debug-file)
ER酒店路由器(以下简称酒店路由器)是一款高性能千兆下行路由器,主要定位于SMB(Small and Medium Business,中小企业)、酒店等网络环境。
酒店路由器采用专业的64位网络处理器,并且支持丰富的软件特性,如VLAN终结、IP/MAC绑定、ARP防欺骗、流量控制、策略路由、设备自检等功能,是中型酒店和企业用户的理想选择。
l 高处理性能
酒店路由器采用64位双核网络处理器,主频高达500MHz,处理能力相当于1GHz的专业网络处理器,同时配合DDRII高速RAM进行高速转发(可以达到100M的线速转发)。
l VLAN终结
酒店路由器可以配合安全监控系统实现VLAN终结功能,能够有效地监控到酒店每间客房的客人上网情况。
l ARP攻击防护
酒店路由器通过IP/MAC地址的绑定功能,有效地防止ARP攻击。
l ARP欺骗防护
酒店路由器通过触发发送或定时发送免费ARP报文,有效避免办公区局域网计算机中毒后引发的ARP欺骗。
l 网络流量限速
BT、迅雷等软件过度占用网络带宽会影响到网内其他用户的正常业务,酒店路由器通过基于IP或基于NAT表项的网络流量限速机制,可以有效地限制BT、迅雷等软件对网络带宽的过度占用。
l 静态NAT
当有多个公网IP时,用户可以通过静态NAT功能,实现公网IP和私网IP的一对一地址转换,即将一个公网IP映射到一个特定的内网服务器上,无需了解服务的类型和通讯协议/端口号,也无需设置复杂的虚拟服务器规则。
l 多种管理方式
酒店路由器支持三种管理方式:Web页面、串口和telnet。通过Web页面,您可以对酒店路由器进行全面的设置;通过串口或telnet,能实现重启、恢复缺省值、修改密码、修改IP地址等基本功能。
除了本地管理,酒店路由器还支持远程管理,在因特网上的计算机也可以对酒店路由器进行远程管理。
酒店路由器前面板如下图所示。
图1-1 酒店路由器前面板示意图
如下图所示。
表1-1 接口用途
|
接口 |
数量 |
用途 |
|
WAN |
1 |
连接到DSL(Digital Subscriber Line,数字用户线路)/Cable Modem或ISP(Internet Service Provider,因特网服务提供商)提供的网络接口,接入因特网 |
|
LAN |
3 |
连接计算机或交换机的以太网端口 |
|
Console |
1 |
连接到管理计算机,并通过命令行管理酒店路由器 |
|
电源接口 |
1 |
连接到电源 |
|
接地柱 |
1 |
接地,可防止雷击 |
表1-2 指示灯说明
|
指示灯 |
状态 |
含义 |
|
Power |
亮 |
供电正常 |
|
灭 |
电源关闭或电源故障 |
|
|
100M(WAN) |
亮 |
端口工作在100Mbit/s |
|
灭 |
端口工作在10Mbit/s或链路未建立 |
|
|
Link/Act(WAN) |
亮 |
链路建立 |
|
闪烁 |
端口在收发数据 |
|
|
灭 |
链路未建立 |
|
|
1000M(LAN) |
亮 |
端口工作在1000Mbit/s |
|
灭 |
端口工作在10/100Mbit/s或链路未建立 |
|
|
Link/Act(LAN) |
亮 |
链路建立 |
|
闪烁 |
端口在收发数据 |
|
|
灭 |
链路未建立 |
表1-3列出了一些重要的缺省设置信息,所有特性将在后面的章节进行全面详细的描述。缺省设置适用于多数情况,如果缺省设置与实际组网需求不符,请对酒店路由器进行手工设置,具体请参见后续章节。
|
选项 |
缺省设置 |
说明 |
|
用户名/密码 |
admin/admin |
使用该帐号登录Web设置页面 |
|
LAN口IP地址 |
IP地址:192.168.1.1 子网掩码:255.255.255.0 |
办公区内用户可以通过该地址对酒店路由器进行管理。通常不需要更改这个地址 |
|
DHCP (Dynamic Host Configuration Protocol,动态主机设置协议) |
DHCP服务器启动,可分配地址的范围为: 192.168.1.2~192.168.1.254 |
酒店路由器为当前办公区局域网内计算机提供了DHCP服务器功能,要使用该项功能先要将计算机设置为自动获得IP地址,具体请参见“12.2.1 自动获取IP地址” |
|
WAN口 |
启用且上网方式为DHCP |
带宽缺省为100Mbps |
|
ISP |
电信 |
- |
|
WAN速率和双工 |
10/100M自适应 |
- |
|
广播风暴抑制 |
禁用 |
启用广播风暴抑制功能可以有效地抑制大量广播报文的传播,避免网络拥塞,保证网络业务的正常运行。 |
|
端口镜像 |
禁用 |
启用端口镜像可将被镜像端口的报文复制到镜像端口,以进行网络检测和故障排除。 |
|
防火墙 |
部分启用 |
启用功能:防止短包、碎片包、TearDrop攻击、Land攻击、TCP空连接攻击、Ping Of Death攻击、Syn-Flood攻击。 禁用功能:防止WAN口的Ping。 |
|
远程管理 |
禁用 |
启用远程管理,用户可以通过WAN口访问并管理酒店路由器。 |
|
UPnP(Universal Plug and Play,通用即插即用) |
禁用 |
|
|
ALG(Application Level Gateway,应用层网关) |
启用 |
为保证酒店路由器正常工作和延长使用寿命,请遵从以下的注意事项:
l 酒店路由器只在室内使用,请将酒店路由器放置于干燥通风处;
l 酒店路由器的接口线缆要求在室内走线,禁止户外走线,以防止因雷电产生的过电压、过电流损坏酒店路由器信号口;
l 请不要将酒店路由器放在不稳定的箱子或桌子上,一旦跌落,会对酒店路由器造成损害;
l 在酒店路由器周围应预留足够的空间(大于10cm),以便于酒店路由器正常散热;
l 请保证酒店路由器工作环境的清洁,过多的灰尘会造成静电吸附,不但会影响酒店路由器寿命,而且容易造成通信故障;
l 酒店路由器工作地最好不要与电力设备的接地装置或防雷接地装置合用,并尽可能相距远一些;
l 酒店路由器工作地应远离强功率无线电发射台、雷达发射台、高频大电流设备;
l 请使用随产品附带的配置线缆,严禁使用其它非配套产品;
l 请使用随产品附带的电源线,严禁使用其它非配套产品。电源电压必须满足专用电源线的输入电压范围。
酒店路由器既可以安装在19英寸标准机柜上,也可以直接放置在工作台上。
注意:
在安装或移动酒店路由器前,请务必将电源线拔出。
安装到机柜的过程如下:
(1) 检查机柜的接地与稳定性。
(2) 用螺钉将安装挂耳固定在酒店路由器前面板两侧。
(3) 将酒店路由器放置在机柜的一个托架上,沿机柜导槽移动酒店路由器至合适位置。
(4) 用螺钉将安装挂耳固定在机柜两端的固定导槽上,确保酒店路由器稳定地安装在机柜槽位的托架上。
图2-2 安装到19英寸机柜示意图
& 说明:
酒店路由器的安装挂耳并不用来承重,它只起固定作用。安装酒店路由器于19英寸机柜时,酒店路由器机箱的下边需要有托架(固定在机柜上)来支撑。
若没有19英寸标准机架,可直接将酒店路由器放置在干净的工作台上。安装过程如下:
(1) 小心地将酒店路由器倒置。用软布清洁酒店路由器机箱底板上的凹槽,确保没有油污或灰尘吸附。
(2) 撕掉随机附带的脚垫表面的粘贴纸。将脚垫粘贴到酒店路由器机箱底板上的凹槽内,脚垫安装示意图如下所示。
(3) 将酒店路由器正置,放在工作台上。
注意:
请保证工作台的平稳性和良好接地,并且不要在酒店路由器上面放置重物。
注意:
连接线缆前,建议先将所有设备断电/关机。连接完成后,再通电/开机。
连接线缆示意图如下所示。
& 说明:
l 酒店路由器的LAN、WAN口均支持MDI/MDI-X自适应,使用交叉网线或直连网线均可进行连接。
l 酒店路由器的LAN口、WAN口均支持速率双工自协商,无论连接10M/100M或1000M的设备,均可自协商。
l 酒店路由器只有一个WAN口,连接一个ISP线路。
使用网线将酒店路由器的LAN口连接到计算机或者交换机。
l 如果您采用光纤接入的方式,请用网线将酒店路由器的WAN口和光纤收发器相连;
l 如果您采用DSL/Cable Modem宽带接入方式,请用网线将酒店路由器的WAN口和Modem相连;
l 如果您采用以太网宽带接入的方式,请用网线将酒店路由器的WAN口与ISP提供的接口相连。
安装完成后,将酒店路由器和所连的网络设备都通电/开机,这时您可以通过检查指示灯状态来判断酒店路由器是否工作正常。指示灯状态说明请参见“1.4 指示灯说明”。
酒店路由器提供Web设置页面,本章将带领您进入并熟悉Web设置页面。
在访问酒店路由器的Web设置页面前,您的计算机还需要满足以下要求:
l 已安装以太网卡;
l 已安装Web浏览器(IE6.0或更高版本);
l 安装并启动TCP/IP协议。
在访问设置页面前,建议将计算机设置成“自动获得IP地址”和“自动获得DNS服务器地址”,由酒店路由器分配IP地址。
如果您需要给计算机指定静态IP地址,则需要将计算机的IP地址与酒店路由器办公区的LAN口IP地址设置在同一子网中(酒店路由器办公区的LAN口缺省IP地址为:192.168.1.1,子网掩码为255.255.255.0)。
使用Ping命令确认计算机和酒店路由器之间的网络是否连通。
如果当前计算机使用代理服务器访问因特网,则首先必须禁止代理服务,操作如下:
(1) 在浏览器窗口中,选择[工具/Internet 选项]进入[Internet 选项]窗口。
(2) 在[Internet 选项]窗口中选择“连接”页签并单击<局域网(LAN)设置>按钮,如图3-1所示。
(3) 确认未选中“为LAN使用代理服务器”选项。若已选中,请取消并单击<确定>按钮。
图3-1 局域网(LAN)设置
在Web浏览器地址栏中输入“http://192.168.1.1”,在弹出框中输入用户名和密码。首次登录时请输入缺省的用户名:admin,密码:admin。
& 说明:
登录成功后,进入Web设置页面,这时您就可以对酒店路由器进行设置和管理了。
注意:
设置完成后,必须单击该页面上的<确定>按钮,该页面的设置才能生效。
页面左侧为导航栏,页面右侧为设置区域。
图3-3 Web设置页面
表3-1 Web菜单项介绍
|
导航栏 |
页签 |
页面说明 |
|
系统维护 |
状态 |
查看设备的软硬件版本,WAN口、LAN口的状态信息等 |
|
流量统计 |
查看设备各端口的流量和局域网IP的流量,以及查看当前在线主机的数目 |
|
|
日志 |
查看设备的日志信息 |
|
|
维护 |
查看设备的故障定位信息、运行状态信息 |
|
|
技术支持 |
链接到H3C网站以获取帮助 |
|
|
WAN设置 |
连接到因特网 |
设置WAN口上网方式 |
|
MAC地址克隆 |
修改WAN口MAC地址 |
|
|
网口模式 |
设置WAN口的连接速度和双工模式 |
|
|
静态NAT |
使用公网IP地址池进行地址转换,以及进行私网与公网的一对一IP地址映射 |
|
|
LAN设置 |
端口设置 |
设置LAN口的端口模式、VLAN信息、广播风暴抑制以及流控 |
|
端口镜像 |
设置镜像端口和被镜像端口,用于网络流量监控、网络检测和故障排除 |
|
|
DHCP客户列表 |
查看局域网中的DHCP客户端 |
|
|
办公区管理 |
办公区局域网设置 |
设置办公区VLAN ID, IP地址,以及DHCP服务器 |
|
办公区QoS |
设置办公区流量限速,NAT表项限制 |
|
|
客房区管理 |
客房区局域网设置 |
设置客房区的IP网段,每房间的限制数,以及VLAN ID段 |
|
客房区QoS |
设置办公区流量限速,NAT表项限制 |
|
|
访问控制 |
IP/MAC绑定 |
控制办公区局域网内的计算机访问因特网,防止ARP攻击 |
|
访问控制 |
通过时间、星期、源IP地址、目的IP地址、目的端口、协议类型等条件控制局域网内的计算机访问因特网 |
|
|
URL过滤 |
用于禁止办公区局域网内计算机访问因特网上的某些网站 |
|
|
业务控制 |
用于控制办公区局域网内的计算机使用QQ或MSN |
|
|
安全设置 |
ARP防攻击 |
用于防止ARP攻击和ARP欺骗,保证办公区局域网内计算机正常上网 |
|
防火墙 |
用于保护设备和局域网内计算免受网络攻击 |
|
|
UPnP |
用于实现NAT穿透,解决某些传统业务不能穿越NAT的问题 |
|
|
系统服务 |
虚拟服务器 |
设置内部服务器提供给因特网用户访问 |
|
端口触发 |
设置某些应用的触发端口,保证该应用的正常运行 |
|
|
ALG应用 |
启用/禁用ALG应用,缺省情况下启用,无需修改 |
|
|
动态域名 |
设置设备的动态域名,方便外部用户访问 |
|
|
路由设置 |
静态路由 |
手工指定路由 |
|
设备管理 |
时间设置 |
设置系统时间 |
|
设置信息 |
备份系统设置信息、从文件中恢复设置信息、恢复到出厂设置 |
|
|
软件升级 |
升级软件 |
|
|
远程管理 |
通过Web或Telnet方式远程管理设备 |
|
|
重启动 |
重启设备 |
|
|
修改密码 |
修改设备的登录密码 |
|
|
诊断工具 |
Ping |
使用Ping测试,测试设备和其它网络设备之间的连接是否正常 |
|
Tracert |
使用路由跟踪测试,测试设备到某计算机或网络设备所经过的链路是否正常 |
以下控件是Web设置页面中经常出现的,有关它们的用途请参见下表。
|
页面控件 |
功能 |
|
|
单击这些按钮来进行相应操作。 设置完成后,都需要按<确定>按钮,将设置保存 |
|
|
文本框,输入文本 |
|
|
单选按钮。从多个选项中选择一项 |
|
|
单击选中选择框,表示启用该功能或服务 |
|
|
下拉列表框。单击 |
酒店路由器的界面中经常会出现这种用来显示设置的列表,下面对其操作进行简单介绍,后面不再赘述。
|
界面项 |
描述 |
|
|
增加:单击该按钮,将页面上方设置栏中的内容添加进页面下方汇总表中。 修改:选中汇总表中的项,单击<编辑>按钮后,原来的<增加>按钮变成<修改>按钮,单击该按钮确认所进行的修改 |
|
|
全选:选中该复选框即可对所有列表项进行操作。 |
|
|
导入:单击该按钮导入计算机上保存的列表。 导出:单击该按钮导出这个列表中的内容到计算机 说明:导出功能可以起备份作用,导出的配置信息保存在指定位置,如果配置丢失,可以使用<导入>按钮将之前备份配置信息重新导入 |
|
|
刷新:单击该按钮刷新列表。 删除:单击该按钮删除选中的列表项 编辑:单击该按钮编辑选中的列表项。此时原来的<增加>按钮变成<修改>按钮,您可以在页面上方设置栏中进行设置 |
单击导航栏的[退出]项,确认后即可退出Web设置页面。
& 说明:
l 如果您直接关闭浏览器而没有单击[退出],那么您会在超时时间过后退出,期间其他人无法登录。
l Web设置页面的超时时间是5分钟,如果超过5分钟没有在页面进行任何操作,则需要重新输入密码验证。
& 说明:
l Web基础设置主要包括设置WAN口和LAN口,设置完成后,您即可通过酒店路由器上网。
l 酒店路由器能自动进行拨号,您无需使用操作系统自带的拨号软件(如PPPoE拨号软件)或其他客户端拨号软件。
在WAN设置中,您可以设置:
l 上网方式。用于设置通过WAN口接入到因特网的上网方式,可选择的方式有静态地址、动态地址和PPPoE。请结合ISP提供的信息选择合适的上网方式。
l WAN口MAC地址克隆。有些ISP要求只有经过注册的MAC地址才能上网,这种情况下,酒店路由器的MAC地址必须改为被注册的MAC地址。
l 网口模式。设置酒店路由器的WAN口的连接速度和双工模式。
l 静态NAT。可以使用公网IP地址池进行地址转换,以及进行私网与公网的一对一IP地址映射。
WAN设置→连接到因特网
WAN口接入到因特网可选择的方式有静态地址、动态地址、PPPoE。具体选择何种方式请咨询当地ISP。
(1) PPPoE方式
界面项描述如下:
表4-1 设置上网方式(PPPoE)
|
界面项 |
描述 |
|
PPPoE用户名 |
由ISP提供 |
|
PPPoE密码 |
由ISP提供 |
|
MTU |
最大传输单元(Maximum Transmission Unit),是在一定的物理网络中能够传送的最大数据单元。参数取值范围为546~1492,单位为字节,缺省为1492,建议保持缺省值 |
|
主DNS服务器 |
可选项,输入ISP提供的主DNS服务器地址,也可以自行设置 |
|
辅DNS服务器 |
可选项,输入ISP提供的辅DNS服务器地址,也可以自行设置 |
|
服务器名 |
可选项,输入ISP提供的PPPoE的服务器的名称。缺省为空 |
|
服务名 |
可选项,输入ISP提供的PPPoE服务器的服务名称。缺省为空 |
(2) 动态地址
界面项描述如下:
表4-2 设置上网方式(动态地址)
|
界面项 |
描述 |
|
MTU |
最大传输单元(Maximum Transmission Unit),是在一定的物理网络中能够传送的最大数据单元。参数范围为576~1500,单位为字节,缺省为1500字节,建议保持缺省值 |
|
主DNS服务器 |
可选项,输入ISP提供的主DNS服务器地址,也可以自行设置 |
|
辅DNS服务器 |
可选项,输入ISP提供的辅DNS服务器地址,也可以自行设置 |
|
主机名 |
可选项,网络中其他设备看到的酒店路由器的名称,缺省是空 |
(3) 静态地址
界面项描述如下:
表4-3 设置上网方式(静态地址)
|
界面项 |
描述 |
|
IP地址 |
由ISP提供 |
|
子网掩码 |
由ISP提供 |
|
缺省网关 |
由ISP提供 |
|
MTU |
最大传输单元(Maximum Transmission Unit),是在一定的物理网络中能够传送的最大数据单元。参数范围为576~1500,单位为字节,缺省为1500字节,建议保持缺省值 |
|
主DNS服务器 |
可选项,输入ISP提供的主DNS服务器地址,也可以自行设置 |
|
辅DNS服务器 |
可选项,输入ISP提供的辅DNS服务器地址,也可以自行设置 |
WAN设置→MAC地址克隆
酒店路由器出厂时,各个接口(LAN、WAN口)都有一个缺省的MAC地址,一般情况下,无需改变。
有些ISP要求只有注册的那个MAC地址才能上网,这种情况下,应选择“使用下面手工输入的MAC地址”,将MAC地址改为ISP指定注册的MAC地址。设置界面如下图所示。
图4-4 WAN口MAC地址克隆
界面项描述如下:
表4-4 WAN口MAC地址克隆
|
界面项 |
描述 |
|
使用本设备的MAC地址 |
选中该项,使用酒店路由器原来的MAC地址。缺省情况下,启用该项 |
|
使用这台PC的MAC地址 |
选中该项,使用用来设置酒店路由器的计算机的MAC地址 |
|
手工输入MAC地址 |
选中该项,输入ISP指定注册的MAC地址 |
WAN设置→网口模式
在这个页面中,您可以设置酒店路由器WAN口的连接速度和双工模式。缺省是10M/100M 自适应。酒店路由器只需设置一个WAN口。
图4-5 WAN口模式
WAN设置→静态NAT
NAT(Network Address Translation,网络地址转换)可以实现局域网内的多台计算机通过1个或多个公网IP地址接入因特网,即用少量的公网IP地址代表较多的私网IP地址,节省公网IP地址。由于局域网与因特网隔离,NAT也可以对网络的安全性提供一些保证。
在静态NAT页面可以静态指定地址转换范围。具体包括以下两项。
l NAT设置,使用WAN出接口公网IP或公网IP地址池进行地址转换,即局域网内的计算机上网时,其私网IP地址转换为对应WAN出接口的公网IP地址或者公网IP地址池中的一个IP地址。
l 一对一地址转换,将指定局域网内IP地址一对一转换为指定公网IP地址,即对应计算机访问因特网时有自己的公网IP地址。在这种模式下,局域网内的其他计算机及因特网上的计算机都可以通过访问对应公网IP地址来访问该计算机。当您的局域网需要提供对外服务器时,您可以将服务器IP地址与公网IP地址设置一对一地址转换。
& 说明:
仅当相应的WAN口上网方式设为“静态地址”时(WAN设置→连接到因特网),本页面的配置才会生效,其它上网方式下(PPPoE或动态地址),配置不生效(此时局域网内IP地址仍转换为对应WAN出接口的IP地址)。
图4-6 设置静态NAT
界面项描述如下:
表4-5 设置静态NAT
|
界面项 |
描述 |
|
自动使用WAN的IP地址 |
选中该项,局域网内计算机访问因特网时,IP地址转换为WAN口的IP地址。缺省情况下,启用该项 |
|
使用地址池中的地址 |
选中该项,并设置地址池范围。局域网内计算机访问因特网时,IP地址转换为地址池中的地址。在该选项下,同一个私有IP地址会转换到固定的公网IP地址 |
|
一对一地址转换 |
选择“启用”复选框,设置内网IP、公网IP,并选择WAN接口,您即可实现将局域网内的IP地址与公网IP地址一对一地址转换。在这种模式下,局域网内的其他计算机及因特网上的计算机都可以通过访问对应公网IP地址来访问该计算机 |
注意:
设置一对一地址转换后,局域网内对应计算机或服务器就等于暴露在了因特网中,安全性降低。
在LAN设置中,您可以设置:
l LAN端口设置,用于设置LAN口各端口工作模式、VLAN设置、广播风暴抑制功能、流控功能。
l LAN端口镜像,用于设置镜像端口和被镜像端口,方便网络流量监控。
l DHCP客户列表,显示了通过LAN口连接到本设备,而且是通过DHCP方式从路由器获取IP地址的所有PC的信息,
LAN设置→端口设置
可以在本页面设置广播风暴抑制、LAN端口的端口模式、VLAN ID、Trunk/Access广播风暴抑制以及流控。
l 广播风暴抑制:如果局域网内有大量的广播报文(可能由病毒导致),会影响网络的正常通信。通过LAN口的广播风暴抑制功能,可以有效地抑制大量广播报文的传播,避免网络拥塞,保证网络业务的正常运行。
l 端口模式:一般情况下,两个对接设备都支持端口模式自适应功能,会自动协商出最佳工作模式,但如果遇到兼容性问题导致不能正常协商的,可以根据情况手工设置端口模式,以便更好的与其它设备对接。
l VLAN ID:虚拟局域网(Virtual Local Area Network)是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。VLAN只支持二层隔离。酒店路由器的三个LAN口支持VLAN。可以根据组网需要,对各端口进行VLAN ID设置。
l TRUNK端口:为了实现对客房区的监控,采用了VLAN Tag进行识别。因此需要酒店路由器具有VLAN终结的功能来保证内网能正常访问外网。
l 流控启用:如果其它设备向酒店路由器发送的报文太多,造成网络堵塞,酒店路由器就会丢弃一部分报文,从而影响网络正常通信。流控功能可以解决这个问题,当对端设备发送的报文超出酒店路由器的最大转发能力,酒店路由器会通知对端设备降低报文发送速率,从而避免网络拥塞。
& 说明:
l 要使流控功能生效,连接的对端设备也必须支持并启用流控功能。
l 缺省情况下,禁用流控功能。
界面项描述如下:
|
界面项 |
描述 |
|
广播风暴抑制 |
可选择高、中、低或不抑制来决定广播风暴抑制程度: l 选择“高”表示允许通过该端口的广播报文最少。 l 选择“中”表示允许通过该端口的广播报文介于“高”和“低”之间。 l 选择“低”表示允许通过的该端口广播报文较多。 l 选择“不抑制”,表示不对广播报文作限制。 缺省是“不抑制” |
|
端口模式 |
选择端口的工作模式。一般情况下不需要设置,缺省为“Auto” |
|
VLAN -ID |
根据组网需要,给LAN口配置VLAN ID。VLAN ID相同的端口属于同一VLAN。其中LAN3口的VLAN ID和办公区的VLAN ID一致 |
|
TRUNK端口 |
根据组网需要,LAN口可配置Trunk或Access属性。其中LAN3口固定为Access口 |
|
流控启用 |
选中该项,启用流控功能,否则禁用流控功能 |
LAN设置→端口镜像
端口镜像,可将被镜像端口的报文复制到镜像端口,以进行网络检测和故障排除。酒店路由器提供基于端口的镜像功能,可将被镜像端口的报文自动复制到镜像端口,实时提供各端口传输状况的详细资料,以便网络管理人员进行流量监控、性能分析和故障诊断。例如:在酒店中,将被镜像端口LAN 1端口上的报文复制到镜像端口LAN 2上,通过镜像端口LAN 2上连接的协议分析仪进行分析和记录,该镜像报文均为带Tag的报文,以此来区分酒店各客房区的数据。
& 说明:
l 镜像端口能监控所有被镜像端口的数据。
l WAN口不可以作为镜像端口。
l WAN口和LAN口不能同时作为被镜像端口。
l 同一个端口不能既作为镜像端口又作为被镜像端口。
界面项描述如下:
|
界面项 |
描述 |
|
镜像端口 |
复制经过被镜像端口的所有报文。只有LAN口可以设置镜像端口 |
|
被镜像端口 |
端口的所有报文被复制到镜像端口。WAN口、LAN口都可设置为被镜像端口 |
LAN设置→DHCP客户列表
可以在这里查看办公区局域网中通过DHCP方式从酒店路由器获取IP地址的计算机的信息:计算机的MAC地址、计算机的主机名以及获取的IP地址。
& 说明:
只有启用DHCP服务器功能时,才会维护更新这张表。
图4-9 DHCP客户列表
界面项描述如下:
表4-8 DHCP 客户列表
|
界面项 |
描述 |
|
操作 |
如果分配出去的计算机已经不在线或需要重新分配IP地址,可以通过手工点击<释放>按钮将此IP地址释放 说明:如果分配的IP地址和MAC做了绑定,则<释放>按钮灰化,不能释放 |
|
IP地址 |
显示计算机获取的IP地址 |
|
主机名 |
显示获取此IP地址的计算机的名称 |
|
MAC地址 |
显示获取此IP地址的计算机的MAC地址 |
办公区管理→办公区局域网设置
设置办公区的VLAN ID,以便划分办公区域,方便管理。
图4-10 办公区VLAN ID设置
办公区局域网内计算机可以通过办公区IP地址来管理酒店路由器。
界面项描述如下:
|
界面项 |
描述 |
|
IP地址 |
酒店路由器的办公区IP地址,缺省是192.168.1.1,掩码缺省是255.255.255.0。您可以通过该IP地址管理酒店路由器 |
|
子网掩码 |
办公区的IP地址对应的子网掩码,缺省是255.255.255.0 |
& 说明:
修改办公区 IP地址后,您需要使用新IP地址重新登录设备,才能继续配置。
修改办公区 IP地址后,其他页面中和IP地址相关的配置可能需要相应修改(如IP/MAC绑定表中的IP地址等),保持和办公区IP在同一网段。
酒店路由器可以作为DHCP服务器,给办公区局域网内计算机分配IP地址。
酒店路由器的DHCP服务器IP地址分配机制:
(1) 酒店路由器接收到DHCP客户端获取IP地址的请求时,首先查找IP/MAC绑定关系表(设置路径:访问控制→IP/MAC绑定,具体请参见“5.1.1 设置IP/MAC绑定”),如果这台计算机在IP/MAC绑定表中,则把对应的的IP地址分配给该计算机。
& 说明:
IP/MAC绑定的IP地址可以不在DHCP地址池范围内,但必须和设备办公区IP在同一个网段内。绑定的IP地址只分配给指定的计算机。
(2) 如果请求获取IP地址的计算机不在IP/MAC绑定表中,酒店路由器会从地址池中选择一个在局域网中未被使用的IP地址分配给该计算机。
(3) 如果计算机离线(如关机),酒店路由器不会马上把之前分给它的IP地址分配出去,只有在地址池中没有其它可分配的IP地址,且该离线计算机IP地址的租约过期时,才会分配出去。
(4) 如果地址池中没有任何可分配的IP地址,则计算机获取不到IP地址。
比如,假设酒店路由器的地址池范围为192.168.1.90~192.168.1.100,计算机A设置IP/MAC地址绑定,绑定的IP地址为192.168.1.110;计算机B未设置IP/MAC地址绑定关系。这种情况下,计算机A分配到IP地址192.168.1.110。计算机B分配到地址池范围内的一个IP地址,如192.168.1.91。
图4-12 DHCP服务器
界面项描述如下:
表4-10 DHCP服务器
|
界面项 |
描述 |
|
启用DHCP服务器 |
选中此项,启用酒店路由器的DHCP服务器功能,否则禁用。缺省为启用 |
|
地址池起始地址 |
DHCP服务器地址池的起始地址,必须与LAN口设置在同一子网内。地址池起始地址缺省为192.168.1.2 |
|
地址池结束地址 |
DHCP服务器地址池的的结束地址,必须与LAN口设置在同一子网内。地址池结束地址要大于地址池起始地址。地址池结束地址缺省为192.168.1.254 |
|
地址租约 |
输入给计算机分配IP地址的租约时间,当租约时间到后,计算机必须重新向酒店路由器申请一次(一般计算机会自动申请)。单位为分钟,缺省为1440分钟 |
图4-13 办公区流量限制
图4-14 NAT表项限制
界面项描述如下:
表4-11 办公区QoS
|
界面项 |
描述 |
|
上行流量上限 |
允许办公区上行通过的总的最大数据流量,单位是KB/s 。上行流量上限的取值范围是1~10000KB/s 。 |
|
下行流量上限 |
允许办公区下行通过的总的最大数据流量,单位是KB/s 。下行流量上限的取值范围是1~10000KB/s 。 |
|
NAT表项个数上限 |
允许办公区同时发起的总的最大NAT连接数,单位是条。NAT表项个数上限的取值范围是0~10000 。 |
& 说明:
办公区的流量限制只针对办公区的总流量。
客房区管理→客房区局域网设置
在该页面,您可以设置客房区的IP网段、每房间的IP地址数和VLAN ID段。客房区局域网内计算机自动启用DHCP服务器。
图4-15 客房区局域网设置
页面说明如下:
表4-12 客房区局域网设置
|
界面项 |
描述 |
|
客房区IP网段 |
配置客房区的一个大的B类地址,客房区可以按照此IP网段自动有规则地生成C类地址段。例如:如果配置IP网段为192.168.0.0,则生成的C类地址为:192.168.10.0,第三位从11依次增1。 |
|
IP掩码 |
确定客房区的B类地址有效范围 |
|
每房间IP地址数 |
每个房间可分配的IP地址数目范围(8~32) |
|
注释 |
描述此表项 |
|
VLAN ID |
配置客房的VLAN ID范围(1~4079),且不能与办公区的ID重复 |
图4-16 客房区流量限制
图4-17 NAT表项限制
界面项描述如下:
表4-13 客房区QoS
|
界面项 |
描述 |
|
上行流量上限 |
允许每个房间上行通过的最大数据流量,单位是KB/s 。上行流量上限的取值范围是1~10000KB/s 。 |
|
下行流量上限 |
允许每个房间下行通过的最大数据流量,单位是KB/s 。下行流量上限的取值范围是1~10000KB/s 。 |
|
NAT表项个数上限 |
允许每个房间向外网同时发起的最大NAT连接数,单位是条。NAT表项个数上限的取值范围是0~10000 。 |
& 说明:
客房区的流量限制只针对客房区的总流量。
& 说明:
高级设置主要包括访问控制设置、安全设置、QoS设置、系统服务、路由设置、查看日志。
在访问控制中,您可以设置:
l IP/MAC绑定,用于控制(允许或禁止)办公区局域网内的计算机访问因特网,防止ARP攻击。
l 访问控制,通过配置不同的访问控制规则,可根据时间、星期、源IP地址、目的IP地址、目的端口、协议类型等条件控制(允许或禁止)局域网内的计算机访问因特网。
l URL过滤,用于禁止办公区局域网内计算机访问因特网上的某些网站。
l 业务控制,用于控制办公区局域网内计算机用QQ、MSN登录。
访问控制→IP/MAC绑定
IP/MAC绑定功能就是指将计算机的MAC地址和IP地址一一对应,使得只有符合IP/MAC绑定关系的计算机才能访问因特网,而且该功能还可以有效防止ARP攻击。
& 说明:
l 最多支持512个IP/MAC绑定表项。
l 缺省情况下,未进行IP/MAC地址绑定。
l 该绑定只对办公区有效。
IP/MAC绑定功能可以通过三种方式实现:
l 手工逐条配置,单击下图中的<增加>按钮,将设置添加到IP/MAC绑定表中;
l 在网络稳定并且所有计算机都在线的情况下,单击<ARP列表导入>按钮,导入酒店路由器的ARP列表;
l 先写好.cfg格式的文件,然后单击<导入>按钮导入。
.cfg文件的格式是“MAC地址 IP地址 主机名”,举例如下:
01:00:e8:f5:6e:3a 192.168.1.255 host
00:00:00:00:11:11 192.168.1.201 host 1
界面项描述如下:
|
界面项 |
描述 |
|
主机名 |
输入进行IP和MAC地址绑定的计算机名称。支持1~15个数字和英文字符 |
|
IP地址 |
输入该计算机的IP地址。IP地址可以不在酒店路由器 DHCP服务器分配的地址池内,但要与办公区IP地址在同一子网内 |
|
MAC地址 |
输入该计算机的MAC地址。输入格式为xx:xx:xx:xx:xx:xx |
|
<ARP列表导入> |
单击该按钮,弹出一个ARP_IP/MAC绑定表。选择需要绑定的ARP表项,单击<导入到IP/MAC绑定表>,即可导入页面下方的IP/MAC绑定表 说明:这种方法比较适合网络稳定、所有计算机在线的情况下使用,可轻松获得办公区局域网内计算机IP/MAC绑定表项。但使用这种方式,可能由于ARP表项老化等情况,ARP缓存表中缺少一些计算机的信息,即这些IP/MAC地址未绑定。建议通过此方法设置完后,检查希望绑定的计算机是否在绑定列表中,如果没有,再手工添加 |
|
仅允许DHCP服务器分配的客户端访问外网 |
缺省情况下,此项禁用。 只有通过DHCP服务器分配到地址的客户端可以访问外网; |
|
仅允许IP/MAC绑定的客户端访问外网 |
缺省情况下,此项禁用。 选中此项,产生以下两个结果: l 只有IP/MAC绑定列表中绑定关系匹配的计算机才能访问因特网; l 启用酒店路由器的ARP防攻击功能(“安全设置→ARP防攻击”页面中“启用ARP防攻击功能”自动选中) 注意:选中该项时,管理酒店路由器的计算机必须在绑定列表中,否则不能管理 |
【举例】:某酒店由于办公区内计算机有病毒或其它原因,ARP攻击报文不停攻击酒店路由器,导致办公区内计算机上网不正常。希望实现以下需求:
l 办公区内计算机通过DHCP动态获取到IP地址;
l 计算机IP地址与设置的绑定关系表不一致时,该计算机就不能上网,从而避免上网用户随意修改计算机的IP地址;
l 办公区的ARP攻击不影响办公区内计算机访问因特网。
设置步骤:
(1) 启用酒店路由器的DHCP服务器功能(LAN设置→DHCP服务器),设置IP地址池范围,如192.168.1.2~192.168.1.254,使办公区内计算机动态获取IP地址。(计算机必须设置为自动获取IP地址,设置方法请参见“12.2.1 自动获取IP地址”)。
(2) 设置IP/MAC绑定关系表,把办公区内所有计算机的IP地址与MAC地址对应关系设置到列表中。
(3) 选中“仅允许DHCP服务器分配的客户端访问外网”复选框。
(4) 选中“仅允许IP/MAC绑定的客户端访问外网”复选框。
(5) 单击<确定>按钮,配置完成。
访问控制→访问控制
& 说明:
l 最大支持100条访问控制规则。
l 缺省情况下,未进行访问控制。
l 设置基于时间的访问控制规则时,这个规则的时间和系统时间有关,系统时间的设置请参见“7.1 时间设置”。
l 访问控制是从上往下进行规则匹配,当报文匹配到某一规则后,不再往下匹配。所以如果要设置多条访问控制规则,就需要考虑规则的先后顺序。设置时,需注意填写规则位置,缺省情况下新增的规则是添加到第1位的。
您可根据时间段、星期、源IP地址、目的IP地址、目的端口范围或协议类型等来控制局域网内的计算机访问因特网。
界面项描述如下:
|
界面项 |
描述 |
|
时间 |
选择规则每天生效的时间段,时间使用24小时制。起始时间应早于终止时间,00:00~24:00表示该规则在一天内任何时间都生效 |
|
星期 |
选择一周内哪些天规则生效 |
|
源地址IP |
输入需要控制的局域网内计算机的IP地址。如果无需控制源IP地址,此项设置为:0.0.0.0~255.255.255.255。起始IP地址不能大于目的IP地址 |
|
目的地址IP |
输入需要控制的目的IP地址。如果无需控制目的地址,此项设置为:0.0.0.0~255.255.255.255。起始IP地址不能大于目的IP地址 |
|
目的端口范围 |
输入需要控制的目的端口号。如果无需控制目的端口,此项请设置1~65535。起始端口号应不能大于终止端口号 |
|
协议 |
选择需要控制的协议类型。有ALL、TCP、UDP和ICMP四个选项,其中ALL包括TCP、UDP和ICMP。缺省是ALL |
|
操作 |
选择允许匹配的报文通过(允许)还是丢弃(禁止) |
|
位置 |
输入该规则在访问控制列表中的位置。例如:若希望此规则插入在第5、第6条规则之间,输入数字6即可。缺省情况下是第1位 |
【举例1】:某网吧为了减少病毒对网络的影响,需要封锁常被病毒传播利用的一些端口(如135~139)。
设置如下:
单击<增加>按钮,增加这条规则。此时,酒店路由器将目的端口为135~139的报文直接丢弃,使病毒不能再通过这些端口进行传播。
【举例2】:某酒店需要禁止办公区内计算机在上班时间上网(上班时间为9:00~17:00,周一~周五),其他时间允许。
设置如下:
单击<增加>按钮,增加这条规则。此时,办公区内所有计算机在周一至周五上班时间都不能上网了。
【举例3】:网络管理员希望仅允许IP地址为192.168.1.2~192.168.1.50的计算机使用Web业务(端口为80),其它计算机都不允许上网(此例只适合办公区)。。
设置如下:
(1) 添加一条访问控制规则,允许IP地址为192.168.1.2~192.168.1.50的计算机访问因特网:
(2) 单击<增加>按钮,增加这条规则。
(3) 添加一条访问控制规则,禁止其他计算机上网。注意,该条规则的位置应写添加到第“2”号。
(4) 单击<增加>按钮,增加这条规则。
(5) 单击<确定>按钮,配置完成。
此时,只有IP地址为192.168.1.2~192.168.1.50的计算机能使用Web业务,其它计算机不能上网。
访问控制→URL过滤
& 说明:
l 最大支持100条URL过滤规则。
l 缺省情况下,允许访问所有站点。
l 该功能仅对办公区内计算机有效。
如果您想禁止办公区局域网内的计算机访问某些特定网站,即可通过设置URL过滤实现。
图5-7 URL过滤
界面项描述如下:
表5-3 URL过滤
|
界面项 |
描述 |
|
不开启站点控制功能,LAN内的PC可以不受限地访问Internet站点 |
选中该项,办公区局域网内的计算机都可以不受限地访问因特网站点。缺省选中该项 |
|
按照配置的策略访问Internet站点 |
选中该项,启用URL过滤功能,并根据URL控制列表中过滤规则控制办公区局域网内计算机访问因特网站点 |
|
URL控制列表 |
选择“禁止”或“不生效”,并在后面文本框中输入要控制的站点域名或IP地址,支持1~63个数字和英文字符。 “禁止”表示禁止办公区局域网内计算机访问指定网站,当“禁止”规则暂时不需要生效时,可以先切换到“不生效”状态 |
& 说明:
l URL过滤只对HTTP站点生效。
l 输入站点时不能带有“http://”。比如:要禁止访问www.abc.com网站,可以输入“www.abc.com”或“www.abc.com:8080”,但不能输入“http://www.abc.com”。
您也可以在本地配置URL控制列表来设置URL过滤,具体设置格式请参见以下举例。
【举例】:某酒店希望通过导入URL控制列表来设置URL过滤,禁止办公区所有计算机访问新浪网、搜狐网。
操作步骤:
(1) 在本地新建一个.cfg格式的文件,如url.cfg。在此文件中输入要禁止的新浪网、搜狐网的网址,格式如下(“0”代表“禁止”,“1”代表“不生效”,以英文状态下的分号隔开0/1与URL):
0;www.sina.com.cn
1;www.sohu.com
(2) 在URL过滤页面中单击<导入>按钮,在弹出的对话框中选择本地文件url.cfg,单击<确定>按钮,即可导入过滤文件。在该页面上就可以看到新增的URL过滤规则。
(3) 单击<确定>按钮,配置完成。
访问控制→业务控制
& 说明:
l 只支持对QQ和MSN的控制。
l 该功能仅对办公区计算机有效。
如果您想禁止办公区局域网内的计算机访问QQ和MSN,可以通过此进行配置。
图5-8 业务控制
界面项描述如下:
表5-4 URL过滤
|
界面项 |
描述 |
|
禁止QQ上线 |
选中该项,办公区局域网内的计算机不能使用QQ。缺省不启用该项 |
|
禁止MSN上线 |
选中该项,办公区局域网内的计算机不能使用MSN。缺省不启用该项 |
|
特权IP地址 |
可配置具有特殊权限的用户可以使用QQ或MSN的用户IP地址 |
|
QQ特权 |
选中该项,那么对应的特权IP地址段中的用户可以使用QQ,缺省不启用该项 |
|
MSN特权 |
选中该项,那么对应的特权IP地址段中的用户可以使用MSN,缺省不启用该项 |
在安全设置中,您可以设置:
l ARP防攻击,用于防止ARP攻击和ARP欺骗,保证办公区局域网内计算机正常上网。
l 防火墙,用于保护酒店路由器和局域网内计算免受网络攻击。
l UPnP,用于实现NAT穿透,解决某些传统业务不能穿越NAT的问题。
安全设置→ARP防攻击
& 说明:
l 缺省不启用ARP防攻击和防欺骗功能。
l 该功能仅对办公区有效。
ARP防攻击功能主要防止办公区内大量的无效ARP请求数据包导致设备的ARP表项占满,从而使正常计算机无法访问设备或是外网的情况。该功能是与IP/MAC绑定表与DHCP Snooping功能相配合共同实现的。
启用IP/MAC绑定功能后,会自动钩选ARP防攻击功能,此时酒店路由器只对符合IP/MAC绑定关系的ARP数据包进行处理,对其它ARP数据包直接丢弃,从而达到防止恶意ARP攻击的功能。
启用DHCP Snooping功能后,也会自动钩选ARP防攻击功能,此时酒店路由器只对与DHCP服务器所分配的客户列表中一致的ARP数据包进行处理,对其它ARP数据包直接丢弃,从而达到防止恶意ARP攻击的功能。
& 说明:
要达到最佳的ARP防攻击的作用,除了IP/MAC绑定,建议为办公区局域网内的计算机设置静态ARP表项,保证办公区局域网内计算机的ARP表项不会被恶意修改。
ARP 防欺骗功能主要防止办公区局域网内的某些计算机冒充网关设备的 IP 地址发送 ARP 信息,导致正常计算机无法访问设备或外网的情况。启用该功能后,您还可以选择是否让网关设备定期发送其自己的 ARP 信息(主动发送免费ARP报文),以更新办公区局域网中计算机设备上与酒店路由器相关的ARP信息。
图5-9 ARP防攻击
界面项描述如下:
表5-5 ARP防攻击
|
界面项 |
描述 |
|
启用ARP防攻击功能 |
选中“仅允许IP/MAC绑定的客户端访问外网”或“仅允许DHCP服务器分配的客户端访问外网”后(在“访问控制→IP/MAC绑定”页面,具体请参见“5.1.1 设置IP/MAC绑定”),ARP防攻击功能自动开启。否则,ARP防攻击功能禁用 |
|
启用ARP防欺骗功能 |
选中该项,则启用ARP防欺骗功能 |
|
主动发送免费ARP报文 |
l 选中该项,则启用主动发送免费ARP报文功能。酒店路由器都会在设置的时间间隔内发送免费ARP报文,使办公区局域网内计算机刷新自己的ARP表项,建立酒店路由器的正确ARP表项,从而预防ARP欺骗的发生。 l 不选中该项,则酒店路由器只有检测到办公区局域网内有ARP欺骗攻击,才会发送免费ARP报文。 缺省情况下,该功能禁用 |
|
发送免费ARP报文的时间间隔 |
设置主动发送免费ARP报文的时间间隔。取值范围为1~300,单位为秒。缺省是30秒 |
安全设置→防火墙
启用防火墙功能后,可防止因特网对酒店路由器或局域网内计算机的恶意攻击,保证酒店路由器和局域网计算机的安全运行。特别是一些对外开放的服务器(如虚拟服务器、DMZ主机等),启用酒店路由器防火墙功能可以阻断恶意攻击源,防止DoS攻击。
界面项描述如下:
|
界面项 |
描述 |
|
启用防止WAN网口的Ping |
启用该项,酒店路由器不回应来自因特网的Ping请求,可以防止因特网上恶意攻击的Ping探测。缺省禁用该功能 |
|
启用防止Syn-Flood |
启用该项,酒店路由器可以防止Syn-Flood攻击。可以根据服务器正常情况下的访问量来设定最大Syn包速率值,一般保持缺省值500包/秒即可。缺省启用该功能 |
|
启用防止短包 |
启用该项,酒店路由器可以防止短包攻击。缺省启用该功能 |
|
启用防止碎片包 |
启用该项,酒店路由器可以防止碎片包攻击。缺省启用该功能 |
|
启用防止TearDrop攻击 |
启用该项,酒店路由器可以防止TearDrop攻击。缺省启用该功能 |
|
启用防止Land攻击 |
启用该项,酒店路由器可以防止Land攻击。缺省启用该功能 |
|
启用防止TCP空连接攻击 |
启用该项,酒店路由器可以防止TCP空连接攻击。缺省启用该功能 |
|
启用防止Ping Of Death攻击 |
启用该项,酒店路由器可以防止Ping Of Death攻击。缺省启用该功能 |
安全设置→UPnP
& 说明:
l 缺省情况下,禁用UPnP功能。
l 如需与酒店路由器的UPnP功能配合使用,您使用的计算机操作系统需要支持UPnP功能(如Windows XP系统)。
l 该功能仅对办公区计算机有效。-.
UPnP(Universal Plug and Play,通用即插即用)主要用于实现设备的智能互联互通,无需用户参与和使用主服务器,能自动发现和控制来自各家厂商的各种网络设备。
启用UPnP功能,酒店路由器可以实现NAT穿越:当办公区局域网内的计算机通过酒店路由器与因特网通信时,酒店路由器可以根据需要自动增加、删除NAT映射表,从而解决一些传统业务(比如NetMeeting)不能穿越NAT的问题。
选中“启用UPnP”复选框,启用UPnP功能。
在系统服务中,您可以设置:
l 虚拟服务器,DMZ(Demilitarized zone,非管制区),DMZ的主机,实际就是缺省的虚拟服务器,当需要设置的虚拟服务器的开放端口不确定时,可以把它设置成DMZ主机;p设置内部服务器提供给因特网用户访问。
l 端口触发,可以实现酒店路由器根据局域网访问因特网的端口来自动开放向内的服务端口。
l ALG(Application Layer Gateway,应用层网关)应用,对某些需要ALG处理的协议,可以启用或禁用酒店路由器的ALG功能。
l 动态域名,用于把酒店路由器的WAN口的IP与申请的动态域名建立对应关系,当WAN口IP地址变化时,因特网用户也能方便地通过域名来访问虚拟服务器。
系统服务→虚拟服务器
DMZ主机实际上就是一个缺省的虚拟服务器,优先级低于虚拟服务器。
如果酒店路由器收到一个来自外部网络的连接请求时,它将首先根据外部请求的服务端口号,查找虚拟服务列表,检查是否有匹配的映射表项:
l 如果有匹配的表项,就把请求消息发送到该表项对应的虚拟服务器上去;
l 如果没有查到匹配的表项,检查是否有匹配的DMZ主机,如果DMZ主机存在,就把请求消息全都转发到DMZ主机上去,否则丢弃。
& 说明:
l 启用DMZ功能之后,DMZ主机就等于暴露在了因特网中,安全性降低。
l 访问DMZ主机的端口号应与DMZ实际开启的服务端口号一样。
图5-12 DMZ
界面项描述如下:
表5-7 DMZ
|
界面项 |
描述 |
|
丢弃 |
选中该项,当外来报文没有匹配到任何虚拟服务器表项时,酒店路由器将丢弃该报文 |
|
重定向到DMZ主机 |
选中该项,当外来报文没有匹配到任何虚拟服务器表项时,酒店路由器会把报文全都转发到DMZ主机上。 选中该项后,还需要设置“DMZ主机IP地址”。如果设置的DMZ主机IP地址不存在,则酒店路由器丢弃该报文 |
|
DMZ主机IP地址 |
设置DMZ主机的IP地址 说明:局域网内只能设置一个DMZ主机 |
为保证局域网的安全,酒店路由器会阻断从因特网主动发起的连接请求,因此,如果要使因特网用户能够访问局域网内的服务器(如Web服务器、Email服务器、FTP服务器等),需要设置虚拟服务器。
虚拟服务器也可称为端口映射,它可以将WAN口IP地址、外部端口号和局域网内服务器IP地址、内部端口号建立映射关系,使所有对该WAN口某服务端口的访问重定向到指定的局域网内服务器的相应内部端口。
& 说明:
最多支持20条虚拟服务器设置项。
界面项描述如下:
|
界面项 |
描述 |
|
预置设置 |
系统提供常用的服务选项,如FTP、Web等服务。 在下拉列表框中选择一项服务,服务名称、外部端口、内部端口项都将自动完成设置 说明: l 如果酒店路由器提供的预设服务没有您需要的,您可以自行设置下面的服务信息。 l 预设服务的端口号是常用端口号,如果需要,您可以自行修改 |
|
服务名称 |
该条虚拟服务器设置项的名称。支持0~15个数字和英文字符 |
|
外部端口 |
客户端访问虚拟服务器所使用的端口。取值范围:1~65535,端口范围必须从小到大。如果只有一个端口,则两处填写同一端口号 说明:各设置项的外部端口不能重复,且内部端口和外部端口的设定个数必须一样,即内部端口和外部端口一一对应。例如,设置一条虚拟服务器,外部端口为100-102,内部端口为10-12,如果酒店路由器收到外部101端口的访问请求,则酒店路由器把数据报文转发到内部服务器的11端口 |
|
内部端口 |
虚拟服务器上真实开放的服务端口。取值范围:1~65535,端口范围必须从小到大。如果只有一个端口,则两处填写同一端口号 说明:各设置项的内部端口允许重复,且内部端口和外部端口的设定个数必须一样,即内部端口和外部端口一一对应 |
|
内部服务器IP |
虚拟服务器的IP地址 |
【举例】:某酒店的内部局域网,通过酒店路由器连接因特网,局域网内有一台Web服务器(IP地址为192.168.1.100,服务端口为80),客户端(因特网上用户或本公司局域网用户)需要通过8080端口访问这台服务器的Web服务。
设置如下:
设置完成后,只需在客户端浏览器中输入http://xxx.xxx.xxx.xxx:8080,就可以访问Web服务器(xxx.xxx.xxx.xxx为酒店路由器当前的WAN口地址)了。
注意:
l 对于FTP、TFTP等需要使用ALG处理的虚拟服务器应用,需要启用对应的ALG项。(设置路径:系统服务→ALG应用,具体配置请参考“5.3.3 设置ALG应用”)
l 客户端访问虚拟服务器的业务,如果需要做ALG处理,内部端口必须设置为标准端口号。例如:WAN侧客户端通过PASV模式(被动FTP)访问局域网内的FTP服务器,内部端口必须设置为21。
系统服务→端口触发
局域网客户端访问因特网上服务器,对于某些应用,客户端向服务器主动发起连接的同时,也需要服务器向客户端主动发起连接请求,而缺省情况下酒店路由器收到WAN侧主动连接的请求都会拒绝,这样就会中断通信。通过定义端口触发规则,当客户端访问服务器触发此规则后,酒店路由器自动开放服务器需要向客户端请求的端口,这样可以保证通信正常。
客户端和酒店路由器没有数据交互一段时间后,酒店路由器自动关闭之前对外开放的端口,既保证应用的正常使用,又能最大限度地保证局域网的安全。
& 说明:
l 端口触发最多支持20条设置项。
l 各设置项中,触发端口、外来端口允许有重叠。
l 当局域网内计算机通过触发端口与外部网络建立连接,其相应的外来端口也将被打开,这时外部网络的计算机可以通过这些端口来访问局域网。
l 每个定义的端口触发只能同时被一台计算机所使用。如果有多台机器同时打开同一个“触发端口”,那么“外来端口”的连接只会被重定向到最后一次打开“触发端口”的那台计算机。
界面项描述如下:
|
界面项 |
描述 |
|
应用名称 |
该条端口触发设置项的名称。支持1~15个数字和英文字符 |
|
触发端口 |
局域网客户端向服务器发起请求的端口。取值范围:1~65535,端口范围必须从小到大。如果只有一个端口,则两处填写同一端口号 |
|
外来端口 |
服务器需要主动向局域网内客户端请求的端口。取值范围:1~65535,可设置单一端口、端口范围或两者的组合,端口间用英文逗号“,”隔开。例如:100,200-300,400 |
|
启用 |
在下拉列表框中选择“使能”,启用该条端口触发规则;选择“禁用”,禁用该条端口触发规则 |
系统服务→ALG应用
有些应用协议需要创建动态连接,创建动态连接所需的IP地址和端口是在协议内容中动态描述的,而酒店路由器会拒绝WAN侧主动发起的连接,通过配置静态过滤规则无法允许这些动态连接的建立,所以需要启用ALG来解决,把协议中携带的地址和端口号改成NAT网关的IP地址和空闲的端口号,并把对端传输过来的数据重定向到局域网内的设备。
针对需要做ALG的一些应用协议,酒店路由器进行了ALG处理,在使用时只需要设置启用即可。
缺省情况下,以下协议的ALG已经启用,建议保留缺省设置,不做修改。
系统服务→动态域名
由于通过PPPoE或动态获取IP地址上网时,获取到的IP地址不固定,这给想访问本局域网服务器的因特网用户带来很大的不便。DDNS(Dynamic Domain Name Service,动态域名服务)可以解决这个问题。
酒店路由器在DDNS服务器上会建立一个IP与域名(需要预先注册)的关系表,当WAN口IP地址变化时,酒店路由器会自动向指定的DDNS服务器发起更新请求,DDNS服务器上更新域名与IP地址的对应关系,无论酒店路由器的WAN口IP地址如何改变,因特网上的用户仍可以通过域名对其进行访问。
& 说明:
DDNS功能是作为DDNS服务的客户端工具,需要与DDNS服务器协同工作。使用该功能之前,请先到www.3322.org或www.oray.net(花生壳)去申请注册一个域名。
界面项描述如下:
|
界面项 |
描述 |
|
DDNS |
启用或禁用对应WAN口的DDNS功能。缺省是禁用DDNS |
|
用户名 |
输入在DDNS服务器上申请的登录用户名,支持1~31个数字、英文字符和特殊字符 |
|
密码 |
输入在DDNS服务器上申请的登录密码,支持1~31个数字、英文字符和特殊字符 |
|
注册的主机名 |
输入在DDNS服务器上申请的主机名。例如:ddnstest.3322.org |
|
DDNS服务器地址 |
选择DDNS服务器地址。此项选择要与注册的服务器保持一致。 本项提供3322.org、花生壳两种选择 |
|
当前地址 |
显示对应WAN口的当前IP地址 |
|
状态 |
当前对应WAN口DDNS工作状态 l “未连接”表示DDNS功能未启用; l “注册成功” 表示向DDNS服务器注册服务成功; l “注册失败” 表示当前接口的DDNS服务注册没有成功,可能是用户名或密码错误。 只有状态处于“注册成功”时。对应WAN口的DDNS功能才可用 |
【举例】:如果您已经在www.3322.org上注册了域名ER.3322.org,建立该域名与酒店路由器的WAN口IP地址之间动态对应关系的方法如下图。
在路由设置中,您可以设置:
l 静态路由,根据需要手工指定路由。在简单的网络中,静态路由是易于设置和维护的。
l 源地址路由,用于根据源IP地址来选择网络路径。
& 说明:
当设置的源地址路由和静态路由有冲突时,源地址路由优先级低于静态路由。
路由设置→静态路由
静态路由通过手工设定目的地址、子网掩码、下一跳地址和出接口等来使到指定目的地址的报文走指定的路径。静态路由不会根据网络结构的变化而变化,当到目的网络路径变化或网络故障时,只能通过手工修改对应的静态路由表重新指定报文到目的网络的路径。
静态路由添加完毕后,单击<查看路由信息表>按钮查看所添加的静态路由是否生效。如果添加了错误的路由,则只在下图中的静态路由表中显示,却并不生效,路由信息表中没有该路由。
注意:
客房区不支持设置静态路由。
界面项描述如下:
|
界面项 |
说明 |
|
目的地址 |
需要到达的目的IP地址 |
|
子网掩码 |
需要到达的目的地址子网掩码 |
|
下一跳地址 |
数据在到达目的地址前,需要经过的下一个路由器的IP地址 |
|
出接口 |
选择静态路由的出接口。必须选择正确的出接口,添加的静态路由才能正确生效 |
|
注释 |
可以对所设的静态路由进行注释说明。支持1~15个数字和英文字符 |
|
<查看路由信息表> |
单击该按钮,查看当前生效的静态路由 |
【举例】:如下图所示,在LAN B内的PC 2通过路由器和酒店路由器相连,而在LAN A内的PC 1是直接连接到酒店路由器的LAN口的。如果希望LAN A中计算机与LAN B中计算机相互访问或LAN B中计算机通过酒店路由器访问因特网,需要在酒店路由器上设置静态路由。
设置步骤:
(1) 根据上图配置完成各设备的IP地址。
(2) 在路由器Router上设置其缺省网关为酒店路由器的LAN口地址。
(3) 在酒店路由器上设置一条到LAN B的静态路由,如下图:
(4) 单击<增加>按钮,增加到静态路由表中。
(5) 单击<确定>按钮,配置完成。
l 查看状态信息,了解酒店路由器的软件、硬件版本等信息,以及WAN口和LAN口的当前信息。
l 流量统计,提供流量统计功能,可以统计端口流量和IP流量。
l 查看日志信息,帮助您快速定位设备故障或了解网络情况。
l 查看维护信息,通过导出故障定位信息帮助您快速定位设备故障,通过进行设备自检,帮助您了解酒店路由器的配置信息和运行情况。
l 技术支持,您可以访问H3C网站,获取更多的技术支持信息和产品信息。
系统维护→状态
在状态页面,您可以查看:
l 基本信息,如软件版本、硬件版本、设备运行时间、系统时间、CPU和内存使用率等。
l WAN状态,即WAN口当前状态信息:如连接方式、链路状态、地址信息等。
l LAN状态,即LAN口的当前状态信息:如LAN口地址、DHCP服务器状态等。
图6-1 基本信息
界面项描述如下:
表6-1 基本信息
|
界面项 |
描述 |
|
软件版本 |
显示酒店路由器的软件版本 |
|
引导器版本 |
显示酒店路由器的引导器版本 |
|
硬件版本 |
显示酒店路由器的硬件版本 |
|
系统资源 |
显示CPU及内存的使用百分比 |
|
运行时间 |
显示酒店路由器从上一次上电到现在的总运行时间 |
|
系统时间 |
显示当前的系统时间。若没有获取到时间,则显示“未获取” |
您可以通过WAN状态页面了解WAN口的运行状态,可有效判断酒店路由器的运行情况,并快速定位网络故障。
图6-2 WAN状态
界面项描述如下:
表6-2 WAN状态
|
界面项 |
描述 |
|
连接方式 |
显示WAN口的上网方式,包含3种:PPPoE、静态IP、动态IP |
|
链路状态 |
显示对应WAN口的当前链路状态 l “物理连接已断开”表示WAN口连接的网线已断开或线路发生故障。 l “线路正常”链路检测成功或该接口有IP地址但没有启用链路检测功能。 l “端口禁用”表示该接口被禁用。 l “接口空闲”表示该接口物理链路正常,但该接口不进行工作。比如主接口工作正常时,备份接口就处于该状态。 l “连接中”表示PPPoE或DHCP上网方式下,正在与服务器的连接过程中 |
|
IP地址 |
显示WAN口当前的IP地址 |
|
子网掩码 |
显示WAN口当前的子网掩码 |
|
网关地址 |
显示WAN口当前的网关地址 |
|
DHCP剩余时间 |
显示DHCP租约的剩余时间 |
|
主DNS服务器 |
可选项,输入ISP提供的主DNS服务器地址,也可以自行设置 |
|
辅DNS服务器 |
可选项,输入ISP提供的辅DNS服务器地址,也可以自行设置 |
|
MAC地址 |
显示WAN口当前生效的MAC地址(设置WAN口MAC克隆后,此处会相应改变) |
|
<连接> |
建立对应WAN口的链路连接,只在当前连接方式为“PPPoE”方式下有效 |
|
<断开> |
断开对应WAN口的链路连接,只在当前连接方式为“PPPoE”方式下有效 |
|
<释放> |
释放现在的IP地址,只在当前连接方式为“动态IP”方式下有效 |
|
<更新> |
更新获取的IP地址,只在当前连接方式为“动态IP”方式下有效 |
您可以通过这些信息了解LAN口的运行状态。
图6-3 LAN状态
界面项描述如下:
表6-3 LAN状态
|
界面项 |
描述 |
|
LAN IP地址 |
显示LAN口当前的IP地址 |
|
LAN子网掩码 |
显示LAN口当前的子网掩码 |
|
DHCP服务器 |
显示酒店路由器的DHCP服务器状态(启用或停用) |
|
LAN口MAC地址 |
显示LAN口当前生效的MAC地址(设置LAN口MAC克隆后,此处会相应改变) |
酒店路由器提供流量统计功能,可以统计端口流量和IP流量,您可以根据这些统计数据,更好地了解网络运行状况,方便管理与控制。
IP流量统计是指统计局域网内每台计算机或网络设备通过WAN口的流量(局域网内的流量不统计),IP流量统计可以根据统计项对流量统计结果进行排序。端口流量统计是统计每个物理端口(WANLAN 1、LAN 2、LAN3)的流量,端口流量统计不可以排序。
& 说明:
l 缺省情况下,端口流量统计功能启用,且不能禁用。
l 缺省情况下,IP流量统计禁用,可以选择启用或禁用。设备重启后,IP流量统计仍为禁用。
图6-5 IP流量统计
界面项描述如下:
|
界面项 |
描述 |
|
统计周期 |
刷新统计数据的时间间隔。缺省是10秒。 |
|
自动刷新 |
选中该项,页面显示的统计数据会根据统计周期自动刷新。 |
|
启用内网IP流量统计 |
选中该项,启用酒店路由器的局域网IP流量统计功能,统计局域网内的PC与因特网交互的上行/下行IP流量,对于局域网内部PC之间的IP报文流量不统计。 |
|
查看 |
可以查看端口流量和IP流量(如果已经“启用内网IP流量统计”)。 查看IP流量统计时,可以按某项数据排序查看。在下拉列表框中选择“IP流量”,即可查看局域网IP流量统计结果。此时,页面右边出现下拉列表框,您可以选择显示的统计信息条数,可选项有10、20、30、40、ALL。缺省为10,表示显示10个统计信息项。如果您选择“总包数”降序排序,则该参数10表示只显示总包数降序统计结果表中的前10个统计项。 |
|
在线主机数目 |
可以查看当前在线的主机数目。 |
& 说明:
l 缺省情况下,统计信息按照端口(WAN1,WAN2,LAN 1,LAN 2,LAN3)排序。
l 选择IP流量时,缺省按照IP升序显示统计结果。
选择“IP流量”后,您可以通过单击某统计项,根据此项对统计数据进行降序排列,再单击一次以升序排列。
【举例】:单击“总包数(PKt)”项,显示的统计信息以总包数从大到小排列,再次单击,则从小到大排列。
系统维护→日志
在日志页面,可以查看系统日志信息和设置日志服务器参数。
& 说明:
l 在局域网内建立日志服务器,可以实时接收酒店路由器的日志信息。
l 当日志存满后,则新的日志将覆盖最早的日志信息。
日志信息可以帮助您快速定位设备故障或了解网络情况。酒店路由器提供的日志功能可记录酒店路由器在运行过程中的设置状态变化、网络攻击等信息。
酒店路由器重启后,所有记录的日志都会丢失。酒店路由器支持把日志实时传送给日志服务器,启用该功能,即使酒店路由器重启,也能查看到其重启前的运行情况。
图6-6 日志信息
界面项描述如下:
表6-5 基本信息
|
界面项 |
描述 |
|
下载 |
下载当前显示的日志信息到计算机 说明:因为日志文件大小有限制,所以当前显示的日志并不一定是酒店路由器的所有日志 |
|
清除 |
清除所有日志信息 |
|
发送到日志服务器 |
选中该项,输入日志服务器的IP地址,可以把酒店路由器的日志信息实时传送到日志服务器 |
|
本地不再保存日志 |
选中该项,把日志全部传送给日志服务器,酒店路由器不再显示新的日志信息 |
系统维护→维护
在维护页面,您可以:
l 导出定位信息。当设备运行异常时,单击<导出>按钮,设备能自动把当前的运行状态、故障定位所需的各种信息压缩成一个定位信息文件下载下来。技术人员可以根据该文件快速、准确地定位问题,从而更好得为您解决设备使用的问题。
l 进行设备自检。您在使用过程中,可以随时单击<开始>按钮,检测设备的当前配置是否合理及运行是否正常,设备将弹出页面(如图6-8所示)分类显示检测结果。
图6-7 维护信息
单击<开始>按钮后,设备弹出页面显示自检报告,如下图。报告中包含基本的设备信息,并提示某些设置可能造成的影响或隐患。
界面描述如下。
表6-6 设备自检信息
|
界面项 |
描述 |
|
设备信息 |
显示设备的基本项检测结果,包括设备当前的软硬件版本、WAN口模式、链路状态和当前系统时间。 如果系统时间未获取或者为手动设置,页面会提示 |
|
网络信息 |
显示设备的网络状态检测结果并根据检测结果做简单提示。检测结果包括WAN口设置的带宽、WAN口速率、IP流量限制是否启用、NAT限制是否启用。 如果启用IP流量限制或NAT表现限制,页面会出现提示。当IP流量或者NAT表项达接近限制值时,页面会出现提示 |
|
系统安全 |
显示设备的安全配置检测结果并根据检测结果做简单提示。检测结果包括上次登录设备的用户、时间,以及ARP防攻击和防火墙是否启用的信息。 如果启用UPnP,页面会出现提示。 无论启用或者未启用IP/MAC绑定、ARP防欺骗和防火墙功能,页面都会出现提示 |
|
故障诊断 |
显示设备的常见故障的检测结果,包括接口收发包状况、WAN口的通断记录以及对环回口、网关和主、辅DNS的ping检测结果等信息 说明:故障诊断的过程需要几秒钟,此时故障诊断栏目框显示“检测中…” |
系统维护→技术支持
您可以登录H3C网站,下载最新软件版本和用户手册。
如果您对产品的使用有任何疑问、意见或建议,欢迎登录该网站咨询或反馈。
图6-9 技术支持
单击<转到 H3C 网站>按钮,获得更多产品信息和技术支持。
在设备管理中,您可以进行如下操作:
l 时间设置,用于设置当地所在时区,获取真实的网络时间。
l NTP服务器设置,用于设置指定的NTP服务器的地址,为路由器、交换机和工作站之间提供时间同步。
l 备份系统设置信息,用于备份系统设置信息,防止信息意外丢失。
l 从文件中恢复设置信息,用于将当前设置恢复到以前备份过的设置。
l 恢复到出厂设置,用于将酒店路由器恢复到出厂的初始状态。
l 软件升级,用于通过Web页面升级酒店路由器的软件。
l 远程管理,用于允许/禁止用户通过WAN口远程登录酒店路由器的设置页面对酒店路由器进行管理。
l 重启动,用于通过Web页面重新启动酒店路由器。
l 修改密码,用于防止非授权人员随意登录Web设置页面。
设备管理→时间设置
设置系统时间有两种方式,通过网络获取时间和手工设置系统时间。缺省情况下,酒店路由器通过缺省的NTP服务器获取时间。
NTP(Network Time Protocol,网络时间协议)用来为路由器、交换机和工作站之间提供时间同步。时间同步的作用是可以将多台网络设备上的相关事件记录放在一起看,有助于分析较复杂的故障和安全事件等。
NTP服务器获取时间的方式有以下两种:
l 当酒店路由器连接到因特网后,会自动从设备缺省的NTP服务器获取时间。(缺省情况下采用这种方式)
l 手工输入指定的NTP服务器的地址,酒店路由器从指定的NTP服务器上获取时间。
如果酒店路由器通过NTP服务器无法获得时间,则在状态页面的因特网时间显示“未获取”。此时需要手工设置系统时间。
& 说明:
设置完系统时间后,访问控制功能就以系统时间为准。
界面项描述如下:
|
界面项 |
描述 |
|
通过网络获取系统时间 |
选中该项,启用该功能。缺省情况下,启用该功能 |
|
时区 |
选择酒店路由器所在的时区,缺省为(GMT+08:00)Beijing |
|
使用本设备缺省的NTP服务器 |
选中该项,酒店路由器从缺省的NTP服务器更新时间。缺省情况下,使用酒店路由器的缺省NTP服务器 |
|
使用下面手工输入的NTP服务器 |
若您需要设置其他的NTP服务器,请选中该项,并在文本框中输入该NTP服务器的地址(IP地址形式或域名形式),酒店路由器向指定的NTP服务器更新时间 |
|
手动设置系统时间 |
选中该项,启用该功能。缺省情况下,禁用该功能 |
设备管理→设置信息
如果您之前备份过系统设置信息,当发生误操作或其他情况导致酒店路由器的系统设置信息丢失时,您可将当前设置恢复到之前备份的设置,保证酒店路由器的正常运行,并减少信息丢失带来的损失。备份系统设置信息还有助于进行故障分析。
单击<备份>按钮,选择设置信息备份路径后,单击<确定>按钮,将酒店路由器当前的设置信息保存到计算机上,方便以后通过该文件(后缀名为.cfg)恢复设置。
注意:
请不要编辑这个保存在计算机上的设置文件。设置文件经过加密,修改后不能再次恢复到设备中。
注意:
您可以使用此功能将当前设置恢复到以前备份过的设置。
单击<浏览>按钮,在计算机上选择一个以前备份的文件(*.cfg),然后单击<恢复>按钮,即可将设置恢复到备份文件的状态。
注意:
恢复到出厂设置将清除酒店路由器的所有设置信息,恢复到初始状态。该功能一般用于设备从一个网络环境换到另一个不同的网络环境的情况,将设备恢复到出厂设置,然后再进行重新设置,以更适合当前的组网。
单击<复原>按钮,确认后,恢复出厂设置。
设备管理→软件升级
注意:
l 升级软件后,现有所有设置信息将丢失,建议在升级软件之前备份现有设置信息,备份方法请参见“7.2.1 备份系统设置信息”。
l 升级过程中请勿断电,否则可能造成酒店路由器不能正常工作。
l 酒店路由器升级成功后,将会重新启动。
通过软件升级,您可以加载最新版本的软件到酒店路由器,以获得更多的功能和更为稳定的性能。
软件升级步骤如下:
(1) 点击页面上的链接,登录公司网站下载最新的软件版本,保存到本地计算机。
(2) 单击<浏览>按钮,选择需要升级的软件。
(3) 单击<确定>按钮,开始升级。
设备管理→远程管理
注意:
l 在同一时间,远程、本地同时只能有一台计算机通过Web管理设备。
l 在同一时间,远程、本地同时只能有一台计算机通过telnet管理设备。
您可以采用远程管理的方式设置与管理酒店路由器。
界面项描述如下:
表7-2 远程管理
|
界面项 |
描述 |
|
启用远程Web管理 |
选中该项表明可以通过Web方式对酒店路由器进行远程管理。缺省禁用远程管理功能 |
|
远程管理PC的IP范围 |
设置远程管理计算机的IP地址范围,只有IP地址在范围内的计算机才允许远程管理酒店路由器。缺省情况下,允许所有计算机对酒店路由器进行远程管理 |
|
设置的远程管理端口 |
输入远程管理端口号,外部用户通过此端口登录酒店路由器的设置页面对酒店路由器进行管理。缺省为8000。例如,若设置端口号为8000,则用户可以在浏览器中输入“http://xxx.xxx.xxx.xxx:8000”来远程登录(xxx.xxx.xxx.xxx为酒店路由器当前的WAN口地址) |
|
启用远程telnet管理 |
选中该项表明可以通过telnet方式对酒店路由器进行远程管理。缺省禁用远程管理功能 |
|
远程管理PC的IP范围 |
设置远程管理计算机的IP地址范围,只有IP地址在范围内的计算机才允许远程管理酒店路由器。缺省情况下,允许所有计算机对酒店路由器进行远程管理 |
|
设置的远程管理端口 |
输入远程管理端口号,外部用户通过此端口登录酒店路由器的设置页面对酒店路由器进行管理。缺省为52000。例如,若设置端口号为52000,则用户可以在[开始/运行]中输入“telnet xxx.xxx.xxx.xxx 52000”远程登录(xxx.xxx.xxx.xxx为酒店路由器当前的WAN口地址) |
【举例】:只允许因特网上的一台计算机(IP地址:202.2.3.54)通过8000端口管理酒店路由器(WAN口IP:222.1.1.162)。
设置如下图:
以后只要在这台计算机的浏览器地址栏输入“http://222.1.1.162:8000”即可登录酒店路由器,进行配置管理。
设备管理→重启动
注意:
l 重启动期间,请勿断电。
l 重启动期间,网络通信将暂时中断。
单击<重启动>按钮,酒店路由器重新启动。
设备管理→修改密码
酒店路由器缺省的用户名/密码为admin,用户名不可修改,密码可修改。为了安全起见,建议修改此密码,并保管好密码信息。
设置步骤如下:
(1) 在“原密码”文本框中输入原来的密码;在“新密码”文本框中输入新的密码,在“确认密码”文本框中重新输入新密码以确认。
(2) 单击<确定>按钮,完成密码修改。
& 说明:
密码长度为1~15个字符,密码区分大小写。
在诊断工具中,您可以进行:
l Ping通信测试,用于测试酒店路由器和其它网络设备之间的连接是否正常。
l 路由跟踪测试,用于测试酒店路由器到某计算机或网络设备所经过的链路是否正常。
诊断工具→Ping
Ping功能用来测试酒店路由器和其它网络设备之间的连接是否正常。
测试界面如下图所示。
输入目的设备的IP地址或域名,选择广域网链路,单击<开始>按钮开始测试。
测试完成后,显示测试结果。连接正常显示如图8-2所示;连接失败显示如图8-3所示。
图8-2 Ping结果显示(Ping目的地址成功)
图8-3 Ping结果显示(Ping目的地址失败)
诊断工具→Tracert
Trace Route(路由跟踪)功能用来测试酒店路由器到某计算机或网络设备所经过的各设备之间的连接是否正常。
测试界面如下图所示。
输入跟踪计算机的IP地址或域名,选择广域网链路,单击<开始>按钮开始测试。
请耐心等待测试结果。测试完成后,显示测试结果。连接正常如图8-5所示;连接失败如图8-6所示
图8-5 路由跟踪结果显示界面(跟踪成功)
第一列为序号;第二列和第三列为路由跟踪过程中经过网关的IP地址;第四列到第六列为酒店路由器发送报文到网关的回应时间。
如上图所示,*表示路由不可达,路由跟踪可以到达第一跳,但无法到达第二跳。
& 说明:
本章介绍酒店路由器的典型配置案例。
某酒店需要满足以下需求:
l 监控酒店各房间的流量;
l 防ARP病毒攻击;
l 通过WEB管理酒店路由器。
为满足以上典型需求,采用如下配置:
l WAN口接入方式采用静态IP地址接入方式;
l 启用DHCP服务器功能,给局域网内办公区和客房区分别开启DHCP 服务器功能,并启用办公区授权ARP,预防遭受ARP病毒;
l 设置客房区VLAN,隔离各客房,方便数据流监控,主要是根据交换机给各个客房分配的VLAN Tag表进行设置。
通过连接到酒店路由器LAN3口的计算机进行设置。在计算机Web浏览器的地址栏中输入“http://192.168.1.1”(如果用户已经更改地址,则需要输入新地址),按回车后出现登录对话框。在登录对话框中输入缺省的管理员用户名:admin,密码:admin(如果密码已更改,则需要输入新密码),单击<确定>按钮后便可进入Web配置页面。
配置如下:
注意:
每个页面设置完成后都要单击<确定>按钮,保存设置。
(1) 设置上网方式。设置路径:WAN设置→连接到因特网,设置如下。
(1) 启用酒店路由器的办公区DHCP服务器。设置路径:办公区管理→办公区局域网设置,如下图所示。
图9-3 启用DHCP服务器功能
(1) 设置酒店路由器的客房区地址池。设置路径:客房区管理→客房区局域网设置,如下图所示。
图9-4 设置客房区地址池功能
(2) 设置客房区VLAN,这样保证每个客房都是独立的,互相不受影响。设置路径:客房区管理→客房区局域网设置,如下图所示。
图9-5 设置客房区VLAN功能
(1) 设置IP/MAC地址绑定。设置路径:访问控制→IP/MAC绑定,单击<ARP列表导入>按钮。
(2) 选中“全选”复选框,单击<导入到IP/MAC绑定表>,IP/MAC绑定关系导入到IP/MAC绑定表。
& 说明:
l 请将局域网内办公区的计算机都开机,保证所有计算机的IP/MAC表项都被导入。如果还有其他表项需要导入,请进行手工设置。
l 为更好地防止ARP攻击,建议将局域网内办公区的计算机都设置成静态ARP。
(3) 选中“仅允许DHCP服务器分配的客户端访问外网”和“仅允许IP/MAC绑定的客户端访问外网”,单击<确定>按钮,ARP防攻击生效。
图9-8 仅允许IP/MAC绑定的客户端访问外网
(4) 设置ARP防欺骗。设置路径:安全设置→ARP防攻击,选中“启用ARP防欺骗功能”,并选中“主动发送免费ARP报文”,并将“发送免费ARP报文的时间间隔”设为1秒。单击<确定>按钮,完成配置。
图9-9 设置ARP防欺骗
完成所有设置步骤后,您就可以放心地通过酒店路由器进行上网了。
酒店路由器支持以下命令行设置项:重启(reboot)、恢复出厂设置(restore default)、修改Web管理密码(password)、查看和修改LAN口IP地址(ip address)、启用/禁用“仅允许IP/MAC绑定的客户端访问外网”(ipmac-restrict)、显示系统资源使用情况(display sysinfo)、下载设备的故障定位信息(download debug-file)。
您可以在局域网内通过Console口或telnet进行设置。
l 通过Console配置需要搭建配置环境,请参见“10.1 通过Console口搭建配置环境”。
l 通过telnet配置,则只需将计算机通过网线连接到LAN口。可以略过“10.1 通过Console口搭建配置环境”,直接跳至“10.2 命令行在线帮助”。telnet登录方式是进入[开始/运行]栏,输入“telnet xxx.xxx.xxx.xxx”(xxx.xxx.xxx.xxx即酒店路由器的LAN口IP地址)回车,然后按界面提示输入用户名和密码即可对酒店路由器进行设置。
如图10-1所示,建立本地配置环境,只需将配置终端的串口通过配置线缆与酒店路由器的Console口连接。
注意:
由于配置线缆不支持热插拔,建议连接配置线缆前先将计算机和酒店路由器断电。
(1) 打开计算机,在计算机Windows界面上点击[开始/(所有)程序/附件/通讯],运行终端仿真程序,建立新的连接。以Windows XP的超级终端为例,如图10-2所示,在“名称”文本框中键入新建连接的名称,单击<确定>按钮。
(2) 选择连接串口。如图10-3所示,在“连接时使用”下拉列表框中选择进行连接的串口(注意选择的串口应与配置线缆实际连接的串口相一致),单击<确定>按钮。
(3) 设置串口参数。如图10-4所示,在串口的属性对话框中设置波特率为9600bps,数据位为8,奇偶校验为无,停止位为1,流量控制为无。单击<确定>按钮,进入[超级终端]窗口。
(4) 配置超级终端属性。在[超级终端]窗口中选择[文件/属性/设置],进入如图10-5所示的属性设置窗口。选择终端仿真类型为VT100或自动检测,单击<确定>按钮,返回[超级终端]窗口。
配置环境搭建完成后,就可以使用命令行进行设置了。酒店路由器提供命令行在线帮助,帮助您使用命令行。
(1) 在任一视图下,键入<?>获取该视图下所有的命令及其简单描述。
reboot Reboot device
restore Restore configuration
password Set administrator's password
ip Display or Set the IP configuration of LAN interface
ipmac-restrict Specify ipmac-restrict configuration information
display Display current information
download Download debug file by serial port
(2) 键入一命令,后接以空格分隔的“?”,如果该命令行位置有关键字,则列出全部关键字及其简单描述。
<H3C>ip ?
address Display or set IP address
(3) 键入一字符串,其后紧接<?>,列出以该字符串开头的所有命令。
<H3C>pa?
password
(4) 键入命令的某个关键字的前几个字母,按下<Tab>键,如果以输入字母开头的关键字唯一,则可以显示出完整的关键字。
<H3C> pa ¬按下<Tab>键
<H3C> password
配置环境搭建完成后,终端上显示如下:
<H3C>
在<H3C>后面输入password并回车,按照系统提示,首先输入旧的密码,而后输入新密码,并重新输入一次以确认。
& 说明:
l 缺省情况下,Web管理密码为admin。
l 密码长度为1~15个字符(数字或英文字母),区分大小写。
l 查看IP地址:在<H3C>后面输入ip address xxx.xxx.xxx.xxx。
l 修改IP地址:在<H3C>后面输入ip address xxx.xxx.xxx.xxx并回车。
l 修改IP地址和子网掩码:在<H3C>后面输入 ip address xxx.xxx.xxx.xxx mask xxx.xxx.xxx.xxx并回车。
例:设置LAN口的IP地址为192.168.1.2,子网掩码为255.255.0.0。
<H3C>ip address 192.168.1.2 mask 255.255.0.0
& 说明:
l 缺省情况下,LAN口IP地址是192.168.1.1,子网掩码是255.255.255.0。
l 修改LAN口 IP地址后,其他页面中和IP地址相关的配置可能需要相应修改(如IP/MAC绑定表中的IP地址等),保持和LAN口IP在统一网段。
在<H3C>后面输入restore default并回车,按系统提示确认,酒店路由器将恢复出厂设置并重启。
注意:
恢复出厂设置后,酒店路由器的用户名、密码以及IP地址等所有设置都会被恢复到出厂时的缺省设置,登录时请使用缺省的用户名、密码以及IP地址。
在<H3C>后面输入reboot并回车,按系统提示确认,酒店路由器将重启。
l 查看是否启用“仅允许IP/MAC绑定的客户端访问外网”:在<H3C>后面输入ipmac-restrict并回车。
l 在<H3C>后面输入ipmac-restrict enable并回车,则仅允许IP/MAC绑定的客户端访问外网。
l 在<H3C>后面输入ipmac-restrict disable并回车,则所有客户端都可以访问外网。
缺省情况下,禁用“仅允许IP/MAC绑定的客户端访问外网”。
在<H3C>后面输入display sysinfo,将显示设备的CPU使用情况和内存使用情况。
<H3C>display sysinfo
CPU Used Rate: 0.5%
Memory Used Rate: 30.8%
在<H3C>后面输入download debug-file,将下载设备的故障定位信息,以供技术人员对设备故障进行分析定位。
<H3C>download debug-file
Creating debug file......
Ready to download debug file......
Please choose Xmodem protocol and select file.
If you want to exit, please press <ctrl+x>.
此时,系统提示需要创建一个接收文件来保存这些设备的故障定位信息。步骤如下:
(1)
单击[超级终端]窗口中的
按钮,创建接收文件。
(2) 请您输入要保存这些故障定位信息的文件夹名,使用Xmodem接收协议,单击<接收>。
(3) 在弹出的对话框中输入文件名,单击<确定>。
下载完成后,终端上显示“Download completed.”,请到指定路径下获取下载文件。
& 说明:
您也可在download debug-file命令后直接输入端口接收的波特率,例如download debug-file 9600,但必须要与图10-4端口通信参数设置中的波特率一致。可用波特率为9600和115200两种。
|
项目 |
描述 |
|
端口 |
1个10/100Base-TX WAN口 3个10/100/1000Base-T LAN口 1个Console接口 |
|
外形尺寸 (长×宽×高) |
440mm×230mm×44mm |
|
输入电压 |
100~240V AC,50/60Hz |
|
最大功耗 |
20W |
|
工作温度 |
0℃~40℃ |
|
存储温度 |
-10℃~70℃ |
|
工作湿度 |
10%~90%无凝结 |
|
存储湿度 |
5%~90%无凝结 |
|
散热方式 |
风扇散热 |
& 说明:
一般操作系统都安装了TCP/IP协议,设置TCP/IP协议请直接跳至“12.2 设置TCP/IP协议”。
用户计算机要求必须安装TCP/IP协议。如果不确定TCP/IP协议是否已经安装,请按照以下步骤检查或安装。
注意:
Windows 2000/XP系统通常缺省已经安装了TCP/IP协议,以下仅为Windows 98/ME/NT系统中的安装步骤,中文版系统界面文字稍有差异,步骤并无不同。
(1) 单击[开始]菜单,选择“设置”,再选择“控制面板”。
(2) 双击“网络连接”图标,选择“设置”页签。
(3) 检查TCP/IP是否已经安装到计算机指定的网卡。如果没有,请单击<添加>按钮。
(4) 在网络组件类型里双击“协议”,或者选中“协议”后单击<添加>。
(5) 在厂商列表里选择“Microsoft”。从右边的列表里双击“TCP/IP”或者选择“TCP/IP”,然后单击<确定> 按钮。几秒钟以后,返回到“网络”窗口。在已安装的组件列表中将会出现“TCP/IP”这一项。
图12-3 “选择 网络协议”窗口示意图
(6) 单击<属性>按钮,选择“IP地址”页签。选择“自动获取IP地址”,单击<确定>,重新启动计算机完成TCP/IP的安装。
图12-4 “TCP/IP属性”窗口示意图
在Windows 98/ME/NT系统中,请参见“12.1 安装TCP/IP协议步骤12.1 (6)”。在Windows 2000/XP系统中,请按照以下步骤进行设置。
(1) 单击屏幕左下角<开始>按钮进入“开始”菜单,选择[设置/控制面板]。双击“网络连接”图标,再双击弹出的“本地连接”图标,弹出“本地连接 状态”页面。
图12-5 “本地连接 状态”页面
(2) 单击<属性>按钮,进入“本地连接属性”页面,选择“Internet协议(TCP/IP)”,单击<确定>按钮。
(3) 设置TCP/IP属性,选择“自动获得IP地址”,单击<确定>。
图12-7 “Internet协议(TCP/IP)属性”窗口示意图
对大多数用户来说,无需为当前局域网内的计算机分配静态IP,因为本设备缺省启用DHCP功能,LAN计算机能够自动获取相关信息。不过在某些情况下,可能需要直接为当前网内的某些或所有计算机设置网络信息。
缺省情况下,本设备的LAN口的地址为192.168.1.1,子网掩码为255.255.255.0,用户计算机IP地址只要与192.168.1.1/24在同一网段即可(在192.168.1.2~192.168.1.254任意选择其一)。
(1) 指定用户计算机IP地址。在图12-4的“TCP/IP属性”窗口中选择“IP地址”页签,然后选择“指定IP地址”,(在Windows2000/XP中,请参考图12-4,选择“常规”页签,然后选择“使用下面的IP地址”),分别填写IP地址及子网掩码,单击<确定>按钮。
(2) 指定网关IP地址。在Windows 98/ME/NT中,在图12-4中选择“网关”页签,在“新网关”一栏中输入本设备的缺省地址192.168.1.1,单击<添加>按钮;在Windows2000/XP中,参考图12-7选择“使用下面的IP地址”后,在“默认网关”一栏中输入本设备的缺省地址192.168.1.1,单击<确定>按钮。
(3) 指定DNS服务器IP地址。在Windows 98/ME/NT中,在图12-4中选择“DNS设置”页签,设置DNS的IP地址(本设备的LAN口缺省地址192.168.1.1);在Windows2000/XP中,在图12-7中,单击<高级>按钮,然后选中“DNS”页签,单击<添加>按钮,在“DNS 服务器”一栏输入本设备的LAN口缺省地址192.168.1.1,最后单击<添加>按钮。
在Windows 98/ME/NT中,单击<确定>按钮,重新启动计算机完成静态IP地址的设置;在Windows2000/XP中,单击<确定>按钮即可。
|
术语缩写 |
英文全称 |
中文名称 |
含义 |
|
100Base-TX |
100Base-TX |
100Base-TX |
100Mbit/s基带以太网规范,使用两对5类双绞线连接,可提供最大100Mbit/s的传输速率。 |
|
10Base-T |
10Base-T |
10Base-T |
10Mbit/s基带以太网规范,使用两对双绞线(3/4/5类双绞线)连接,其中一对用于发送数据,另一对用于接收数据,提供最大10Mbit/s传输速率。 |
|
DDNS |
Dynamic Domain Name Service |
动态域名服务 |
动态域名服务(Dynamic Domain Name Service),能实现固定域名到动态IP地址之间的解析。 |
|
DHCP |
Dynamic Host Configuration Protocol |
动态主机配置协议 |
动态主机配置协议(Dynamic Host Configuration Protocol)为网络中的主机动态分配IP地址、子网掩码、网关等信息。 |
|
DHCP Server |
Dynamic Host Configuration Protocol Server |
DHCP 服务器 |
动态主机配置协议服务器(Dynamic Host Configuration Protocol Server)是一台运行了DHCP动态主机配置协议的设备,主要用于给DHCP客户端分配IP地址。 |
|
DNS |
Domain Name Service |
域名服务 |
域名服务(Domain Name Service)将域名解析成IP地址。DNS信息按等级分布在整个因特网上的DNS服务器间,当我们访问一个网址时,DNS服务器查看发出请求的域名并搜寻它所对应的IP地址。如果该DNS服务器无法找到这个IP地址,就将请求传送给上级DNS服务器,继续搜寻IP地址。例如,www.yahoo.com 这个域名所对应的IP地址为 216.115.108.243。 |
|
DoS |
Denial of Service |
拒绝服务 |
拒绝服务(Denial of Service)是一种利用合法的方式请求占用过多的服务资源,从而使其他用户无法得到服务响应的网络攻击行为。 |
|
DSL |
Digital Subscriber Line |
数字用户线路 |
数字用户线(Digital Subscriber Line)这种技术使得数字数据和仿真语音信号都可以在现有的电话线路上进行传输。目前比较受家庭用户青睐的是ADSL接入方式。 |
|
Firewall |
Firewall |
防火墙 |
防火墙(Firewall)技术保护您的计算机或局域网免受来自外网的恶意攻击或访问。 |
|
FTP |
File Transfer Protocol |
文件传输协议 |
文件传输协议(File Transfer Protocol)是一种描述网络上的计算机之间如何传输文件的协议。 |
|
HTTP |
Hypertext Transfer Protocol |
超文本传送协议 |
超文本传送协议(Hypertext Transfer Protocol)是一种主要用于传输网页的标准协议。 |
|
Hub |
Hub |
集线器 |
共享式网络连接设备,工作在物理层,主要用于扩展局域网规模。 |
|
ISP |
Internet Service Provider |
因特网服务提供商 |
因特网服务提供商(Internet Service Provider),提供因特网接入服务的提供商。 |
|
LAN |
Local Area Network |
局域网 |
局域网(Local Area Network)一般指内部网,例如家庭网络,中小型企业的内部网络等。 |
|
MAC address |
Media Access Control address |
介质访问控制地址 |
介质访问控制地址(Media Access Control address),MAC地址是由厂商指定给设备的永久物理地址,它由6对十六进制数字所构成。例如:00-0F-E2-80-65-25。每一个网络设备都拥有一个全球唯一的MAC地址。 |
|
NAT |
Network Address Translation |
网络地址转换 |
网络地址转换(Network Address Translation),可以把局域网内的多台计算机通过NAT转换后共享一个或多个公网IP地址,接入Internet,这种方式同时也可以屏蔽局域网用户,起到网络安全的作用。通常共享上网的宽带路由器都使用这个技术。 |
|
Ping |
Packet Internet Grope |
因特网包探测器 |
Ping 命令是用来测试本机与网络上的其它计算机能否进行通信的诊断工具。Ping命令将报文发送给指定的计算机,如果该计算机收到报文则会返回响应报文。 |
|
PPP |
Point-to-Point Protocol |
点对点协议 |
点对点协议(Point-to-Point Protocol)是一种链路层通信协议。 |
|
PPPoE |
PPP over Ethernet |
点对点以太网承载协议 |
点对点以太网承载协议(PPP over Ethernet)在以太网上承载PPP协议封装的报文,它是目前使用较多的业务形式。 |
|
QoS |
Quality of Service |
服务质量 |
服务质量(Quality of Service)是用来解决网络延迟和阻塞等问题的一种技术。当网络过载或拥塞时,QoS 能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。 |
|
RJ-45 |
RJ-45 |
RJ-45 |
用于连接以太网交换机、集线器、路由器等设备的标准插头。直连网线和交叉网线通常使用这种接头。 |
|
route |
route |
路由 |
基于数据的目的地址和当前的网络条件,通过有效的路由选择能够到达目的网络或地址的出接口或网关,进行数据转发。具有路由功能的设备称作路由器(router)。 |
|
TCP |
Transfer Control Protocol |
传输控制协议 |
传输控制协议(Transfer Control Protocol)是一种面向连接的、可靠的传输层协议。 |
|
TCP/IP |
Transmission Control Protocol/Internet Protocol |
传输控制协议/网际协议 |
传输控制协议/网际协议(Transmission Control Protocol/Internet Protocol),网络通信的基本通信协议簇。TCP/IP定义了一组协议,不仅仅是TCP和IP。 |
|
Telnet |
Telnet |
Telnet |
一种用来访问远程主机的基于字符的交互程序。Telnet允许用户远程登录并对设备进行管理。 |
|
UDP |
User Datagram Protocol |
用户数据报协议 |
用户数据报协议(User Datagram Protocol)是一种面向非连接的传输层协议。 |
|
UPnP |
Universal Plug and Play |
通用即插即用 |
通用即插即用(Universal Plug and Play),支持UPnP的设备彼此可自动连接和协同工作。 |
|
WAN |
Wide Area Network |
广域网 |
广域网(Wide Area Network)是覆盖地理范围相对较广的数据通信网络,如因特网。 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
,会弹出一个下拉菜单,将鼠标指针移到某个项目上,单击左键选中它
售前咨询
售后咨询
人工在线咨询
