- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
H3C MER系列路由器 快速入门-R0821-6P103-整本手册.pdf (1.33 MB)
· 配置案例视频
通过Web管理页面管理路由器的典型配置视频。
· 用户FAQ
解答路由器使用过程中的常见问题。
· 快速入门
登录路由器和配置快速上网的方法等。
· 用户手册
通过Web管理页面管理路由器的详细方法。
· 典型配置
路由器典型应用的配置举例。
设备软件页面如有变更恕不另行通知,请参考网站最新资料。
H3C MER系列路由器包括如下的产品型号。
|
名称 |
具体型号 |
|
H3C MER系列路由器 |
MER3220 MER5200 MER8300 |
为保证设备正常工作和延长使用寿命,请遵从以下注意事项:
· 设备仅允许在室内使用,请将其放置于干燥通风处;
· 设备的接口线缆要求在室内走线,禁止户外走线,以防止因雷电产生的过电压、过电流损坏设备的信号口;
· 请不要将设备放在不稳定的箱子或桌子上,一旦跌落,会对设备造成损害;
· 在设备周围应预留足够的空间(大于10cm),以便于设备正常散热;
· 请保证设备工作环境的清洁,过多的灰尘会造成静电吸附,不但会影响设备寿命,而且容易造成通信故障;
· 设备工作地最好不要与电力设备的接地装置或防雷接地装置合用,并尽可能相距远一些;
· 设备工作地应远离强功率无线电发射台、雷达发射台、高频大电流设备;
· 请使用随产品附带的电源线,严禁使用其它非配套产品。电源电压必须满足专用电源线的输入电压范围。
|
(1): CONSOLE接口 |
(2): RESET按钮 |
|
(3): 千兆以太网LAN/WAN口GE2~GE5 |
(4): 千兆以太网WAN口GE0、GE1 |
|
(1): 千兆以太网WAN口GE0 |
(2): 千兆以太网WAN口GE1 |
|
(3): CONSOLE接口 |
(4): USB接口 |
|
(5): Micro SD卡槽 |
(6): RESET按钮 |
|
(7): 千兆以太网LAN/WAN口GE2~GE5 |
(8): 光模块接口SFP0 |
面板上以太网电口GE0与光口SFP0对应同一个COMBO口。
|
(1): 接地端子 |
(2): 交流电源插座 |
|
(1): 交流电源插座 |
(2): 硬盘槽位 |
|
(3): HD按钮 |
(4): 千兆以太网WAN口GE0~GE3 |
|
(5): 光模块接口SFP2~SFP5 |
(6): CONSOLE接口 |
|
(7): Micro SD卡槽 |
(8): USB接口 |
面板上以太网电口GE2与光口SFP2对应同一个COMBO口;以太网电口GE3与光口SFP3对应同一个COMBO口。
|
(1): SIC接口模块插槽4~1 |
(2): 接地端子 |
|
(3): SIC-4GSW接口模块 |
|
详细的安装方法请参见《H3C MER系列路由器 安装指导》。
建议使用以下浏览器访问Web:Internet Explorer 10及以上版本、Chrome 57及以上版本、Firefox 35及以上版本。
· 将计算机连接到设备的GE LAN接口。
· 配置计算机为自动获取IP地址或手工配置计算机的IP地址和192.168.1.1/23在同一网段。
· 检查计算机的代理服务设置情况。如果当前计算机使用代理服务器访问互联网,则首先必须禁止代理服务。
· 运行Web浏览器。
在浏览器地址栏中输入http://192.168.1.1(设备缺省的管理IP地址,登录后可修改)并回车。
如下图所示,在弹出的窗口上输入管理员用户名和密码(缺省均为admin),点击<登录>按钮。
首次登录设备后,系统会自动弹出“修改密码”页面。输入旧密码、新密码,并确认新密码,点击<确定>按钮完成密码的修改。
通过快速配置完成广域网WAN和局域网LAN的基本配置后,局域网内的用户便可以访问外网。设备支持单WAN和双WAN两种广域网接入场景。如果用户仅租用了一个运营商网络,则选择单WAN场景;如果用户租用了两个运营商网络,则使用双WAN场景。单WAN和双WAN场景的配置方法相同。
步骤1 场景选择
页面向导:快速设置→场景选择。
在场景选择页面,选择“单WAN场景”选项,点击<下一步>按钮,进入单WAN配置页面。
步骤2 单WAN配置
页面向导:快速设置→场景选择→下一步→单WAN配置。
在单WAN配置页面,设置如下广域网接入参数:
· 线路1:选择要接入广域网的物理接口。
· 连接模式:根据实际上网方式选择对应的连接模式。
¡ PPPoE:通过运营商网络上网。
¡ DHCP:通过自动从DHCP服务器获取接入广域网的公网IP地址上网。
¡ 固定地址:通过设置接入广域网的固定IP地址上网。
· 上网账号:运营商提供的PPPoE接入用户名。当连接模式设置为“PPPoE”时,需设置此参数。
· 上网口令:运营商提供的PPPoE接入密码。当连接模式设置为“PPPoE”时,需设置此参数。
· IP地址:接入广域网的固定IP地址。当连接模式设置为“固定地址”时,需设置此参数。
· 子网掩码:IP地址的掩码或掩码长度,例如255.255.255.0或24。当连接模式设置为“固定地址”时,需设置此参数。
· 网关地址:接入广域网的网关地址。当连接模式设置为“固定地址”时,需设置此参数。
· DNS1/DNS2:接入广域网的DNS服务器地址。设备优先使用DNS1进行域名解析。如果解析失败,则使用DNS2进行域名解析。当连接模式设置为“固定地址”时,需设置此参数。
· NAT地址转换:选择是否开启NAT地址转换功能。当局域网中多台设备共用同一个公网IP时,需开启此功能。
设置完成后,点击<下一步>按钮,进入LAN配置页面。
步骤3 LAN配置
页面向导:快速设置→场景选择→下一步→单WAN配置→下一步→LAN配置。
在LAN配置页面,设置如下参数:
· 局域网IP地址:设备在局域网中使用的IP地址。默认值为192.168.1.1,即设备出厂时默认的登录地址。
· 子网掩码:IP地址的掩码或掩码长度,例如255.255.255.0或24。
· DHCP服务:选择启用或禁用DHCP。如果设备需要作为DHCP服务器为局域网中的主机分配IP地址,则需要选择“启用”。
· IP分配范围:待分配地址的起始IP地址和结束IP地址。当启用DHCP服务时,需设置此参数。
· 网关地址:设备为DHCP客户端分配的网关地址。当启用DHCP服务时,需设置此参数。
· DNS:设备为DHCP客户端分配的DNS服务器的IP地址。当启用DHCP服务时,需设置此参数。
设置完成后,点击<下一步>按钮,进入完成页面。
修改局域网IP地址以后,设备默认的DHCP分配地址范围也会随之改变,终端的地址需要修改为与设备局域网IP地址同网段的地址,然后才能用新的局域网IP地址登录设备。
在完成页面,确认配置信息无误后,点击<完成>按钮,完成快速配置。
步骤4 VLAN配置
页面向导:网络设置→LAN配置→VLAN划分。
在LAN配置页面,单击“VLAN划分”页签,进入VLAN划分页面。在端口列表中,点击指定端口操作列对应的修改图标,弹出详细端口配置对话框。设置如下参数:
· PVID:选择端口的PVID。
· 将端口加入VLAN:单击待选VLAN下方的VLAN ID可以将端口加入该VLAN,或通过待选VLAN下方的向右方向按钮将端口加入当前所有的待选VLAN中。
· 将端口从VLAN移除:单击已选VLAN下方的VLAN ID可以将端口移除该VLAN,或通过已选VLAN下方的向左方向按钮将端口从所有已加入的VLAN中移除。
设置完成后,点击<确定>按钮,完成VLAN划分设置。
步骤1 场景选择
页面向导:快速设置→场景选择。
在场景选择页面,选择“双WAN场景”选项,点击<下一步>按钮。
步骤2 双WAN配置
页面向导:快速设置→场景选择→下一步→双WAN配置。
在双WAN配置页面,根据实际情况,设置线路1和线路2对应的广域网接入参数:
· 线路1:选择线路1接入广域网的物理接口。
· 线路2:选择线路2接入广域网的物理接口。
· 连接模式:根据实际上网方式选择对应的连接模式。
¡ PPPoE:通过运营商网络上网。
¡ DHCP:通过自动从DHCP服务器获取接入广域网的公网IP地址上网。
¡ 固定地址:通过设置接入广域网的固定IP地址上网。
· 上网账号:运营商提供的PPPoE接入用户名。当连接模式设置为“PPPoE”时,需设置此参数。
· 上网口令:运营商提供的PPPoE接入密码。当连接模式设置为“PPPoE”时,需设置此参数。
· IP地址:接入广域网的固定IP地址。当连接模式设置为“固定地址”时,需设置此参数。
· 子网掩码:IP地址的掩码或掩码长度,例如255.255.255.0或24。当连接模式设置为“固定地址”时,需设置此参数。
· 网关地址:接入广域网的网关地址。当连接模式设置为“固定地址”时,需设置此参数。
· DNS1/DNS2:接入广域网的DNS服务器地址。设备优先使用DNS1进行域名解析。如果解析失败,则使用DNS2进行域名解析。当连接模式设置为“固定地址”时,需设置此参数。
· NAT地址转换:选择是否开启NAT地址转换功能。当局域网中多台设备共用同一个公网IP时,需开启此功能。
设置完成后,点击<下一步>按钮,进入LAN配置页面。
步骤3 LAN配置
页面向导:快速设置→场景选择→下一步→双WAN配置→下一步→LAN配置。
在LAN配置页面,设置如下参数:
· 局域网IP地址:设备在局域网中使用的IP地址。默认值为192.168.1.1,即设备出厂时默认的登录地址。
· 子网掩码:IP地址的掩码或掩码长度,例如255.255.255.0或24。
· DHCP服务:选择启用或禁用DHCP。如果设备需要作为DHCP服务器为局域网中的主机分配IP地址,则需要选择“启用”。
· IP分配范围:待分配地址的起始IP地址和结束IP地址。当启用DHCP服务时,需设置此参数。
· 网关地址:设备为DHCP客户端分配的网关地址。当启用DHCP服务时,需设置此参数。
· DNS:设备为DHCP客户端分配的DNS服务器的IP地址。当启用DHCP服务时,需设置此参数。
设置完成后,点击<下一步>按钮,进入完成页面。
修改局域网IP地址以后,设备默认的DHCP分配地址范围也会随之改变,终端的地址需要修改为与设备局域网IP地址同网段的地址,然后才能用新的局域网IP地址登录设备。
在完成页面,确认配置信息无误后,点击<完成>按钮,完成快速配置。
步骤4 VLAN配置
页面向导:网络设置→LAN配置→VLAN划分。
在LAN配置页面,单击“VLAN划分”页签,进入VLAN划分页面。在端口列表中,点击指定端口操作列对应的修改图标,弹出详细端口配置对话框。设置如下参数:
· PVID:选择端口的PVID。
· 将端口加入VLAN:单击待选VLAN下方的VLAN ID可以将端口加入该VLAN,或通过待选VLAN下方的向右方向按钮将端口加入当前所有的待选VLAN中。
· 将端口从VLAN移除:单击已选VLAN下方的VLAN ID可以将端口移除该VLAN,或通过已选VLAN下方的向左方向按钮将端口从所有已加入的VLAN中移除。
设置完成后,点击<确定>按钮,完成VLAN划分设置。
通过Mini AP管理功能可以集中管理不同VLAN下接入的AP设备。
在线AP管理功能支持查看已上线的AP设备,支持为AP绑定的服务模板。Mini AP通过组网正确连接AC并上线后,会自动显示在列表中,无需手动添加。
页面向导:Mini AP管理→在线AP管理→在线AP列表。
通过在线AP列表可查看上线的Mini AP的详细信息。Mini AP默认绑定default配置模板,如需更改Mini AP 绑定的服务模板,请参见6.3.3 更改Mini AP绑定的配置模板(可选)。
通过无线基本配置功能可以修改系统提供的默认服务模板(default模板),可配置的参数包括:2.4G网络和5G网络的SSID名称、加密方式、共享密钥和无线信道。
· 配置无线服务模板时,需要同时配置2.4G与5G无线网络的相关参数信息。
· 修改服务模板中的加密方式、共享配置密钥等无线服务属性后,如AP中的配置未自动同步,需要通过点击在线AP列表页面中的<配置同步>按钮进行手动,将配置下发到AP设备。
页面向导:Mini AP管理→配置管理→无线基本配置。
在无线基本配置页面,设置如下参数:
配置无线网络设置-2.4G:
· SSID-1名称:2.4G无线服务的SSID名称。
· 加密方式:选择客户端是否通过加密方式连接无线服务。
· 为增强无线网络的安全性,推荐您使用WPA-PSK/WPA2-PSK安全模式进行加密。
· 共享密钥:无线服务密钥。当您选择通过加密方式接入无线服务时,需要设置共享密钥。
配置无线网络设置-5G:
· 5G-SSID-1名称:5G无线服务的SSID名称。
· 加密方式:选择客户端是否通过加密方式连接无线服务。为增强无线网络的安全性,推荐您使用WPA-PSK/WPA2-PSK安全模式进行加密。
· 共享密钥:无线服务密钥。当您选择通过加密方式接入无线服务时,需要设置共享密钥。
设置完成后,点击<应用>按钮,完成无线基本配置。设置default服务模板的SSID名称,以及加密方式和共享密钥,点击<应用>按钮后完成配置。如需配置default服务模板的其他参数或新增服务模板,请参见6.3 管理配置模板(可选)。
配置模板管理可以配置default模板的更多参数(无线网络模式、无线网络频宽、发射功率、修改SSID配置等),添加、修改和删除配置模板。
页面向导:Mini AP管理→配置管理→配置模板管理。
在配置管理页面,单击“配置模板管理”页签,进入配置模板管理页面。根据需要可以添加配置模板,删除和修改除default模板以外的配置模板。
在配置模板管理页面,点击<添加>按钮,弹出添加配置模板对话框;鼠标停留在需要修改的配置模板上,点击对应的修改图标,弹出修改配置模板对话框。
default模板及模板中的SSID-1、5G-SSID-1为默认配置,不支持删除操作。
在添加配置模板或修改配置模板对话框中,可设置如下参数:
· 模板名称:无线服务模板的名称。
· 模板描述:无线服务模板的描述信息。
default模板的模板名称无法更改,仅能添加模板描述信息。
A.无线网络基本设置
· 无线网络模式:选择无线网络的模式。
· 无线网络频宽:选择无线网络的频宽。
· 无线信道:选择无线网络的信道。
· 发射功率:选择无线设备的天线在无线介质中所辐射的功率,即无线设备辐射信号的强度。射频功率越大,射频覆盖的范围越广,客户端在同一位置收到的信号强度越强,也就越容易干扰邻近的网络。随着传输距离的增大,信号强度随之衰减。
B无线网络SSID设置
点击列表右上方的<添加>按钮,弹出添加SSID配置对话框。设置如下参数:
· 启用SSID:选择是否启动SSID。
· SSID名称:无线服务的SSID名称。
· 加密方式:选择客户端是否通过加密方式连接无线服务。为增强无线网络的安全性,推荐使用WPA-PSK/WPA2-PSK安全模式进行加密。
· 共享密钥:无线服务密钥。当加密方式设置为WPA-PSK/WPA2-PSK时,需要设置共享密钥。
· 加密协议:选择无线服务的加密协议,包括TKIP、AES及TKIP+AES。AES比TKIP采用更高级的加密技术,因此AES比TKIP的安全性更好,但TKIP对网卡的兼容性更好,部分老网卡可能不支持AES。
· 群组密钥更新周期:设置加密密钥更新周期。
· 高级设置:选择是否设置客户端接入管理的相关功能。
· 客户端隔离:选择是否启用基于SSID的用户隔离,即对使用同一公共无线服务进行通信的用户进行报文隔离,从而达到提高用户安全性、缓解设备转发压力和减少射频资源消耗的目的。
· SSID广播:选择是否启用SSID广播功能。启用SSID广播后,在终端上可以查看到此无线服务;不开启SSID广播,在终端上无法查看到此无线服务。
· 客户端数量:设置客户端数量可以防止SSID接入的客户端数量过多而过载。
· 桥接VLAN:设置桥接VLAN可以将SSID接入的客户端划分在不同广播域中,充分利用有限的IP地址资源。
设置完成后,点击<确认>按钮,完成SSID配置的添加。
在添加配置模板或修改配置模板对话框中,点击<确认>按钮,完成配置模板的添加或修改。
在配置模板管理页面,勾选需要删除的服务模板,点击<删除>按钮,删除选择的模板。default模板不支持删除操作。
通过AP配置管功能可以为AP更换绑定的配置模板。
页面向导:Mini AP管理→配置管理→AP配置管理。
在配置管理页面,单击“AP配置管理”页签,进入AP配置管理页面。通过MAC地址识别需要管理的AP,点击对应的修改图标,弹出修改AP配置模板对话框。设置如下参数:
· MAC地址:AP设备的MAC地址。不支持修改。
· 备注信息:配置的备注信息。
· 模板选择:选择AP需要绑定的无线配置模板。
完成配置,点击<确定>按钮,完成AP配置模板的修改。
当需要通过Web管理页面保存设备当前配置时,可单击页面右上角的保存图标,在弹出的确认对话框中,点击<是>按钮,保存设备的当前配置。
登录Web管理页面成功后,用户可以修改当前密码。
单击页面右上角的“admin”或用户图标,在下拉菜单中单击“修改密码”菜单项,弹出修改管理员对话框。
输入旧密码、新密码,并确认新密码,点击<确定>按钮完成密码的修改。
开启指定接口上的DHCP服务后,可为连接到指定接口的客户端(如连接到设备的计算机等)动态分配IP地址。
页面向导:网络配置→LAN配置。
在LAN配置页面,点击指定接口操作列对应的修改图标,弹出修改VLAN对话框。勾选“开启DHCP服务”选项,并设置如下参数:
· 地址池起始地址:设备可分配给客户端的起始IP地址。
· 地址池结束地址:设备可分配给客户端的结束IP地址。
· 排除地址:当地址池范围内的某些IP地址(如网关地址)不能分配给客户端时,则需要将其配置为排除地址。
· 网关地址:客户端的网关地址。
· DNS1/DNS2:DNS服务器地址。
· 地址租约:IP地址的使用时间,单位为分钟,如设置IP地址租约为5天,则需输入7200。
设置完成后,点击<确定>按钮,完成VLAN的修改。
接口上指定的地址池的地址范围不能与设备上WAN口的IP地址网段包含相同的IP地址。
配置静态DHCP是将客户端的硬件地址与IP地址进行绑定,可为某些客户端分配固定的IP地址。
页面向导:网络配置→LAN配置→静态DHCP。
在LAN配置页面,单击“静态DHCP”页签,进入静态DHCP配置页面。点击<添加>按钮,弹出新增DHCP静态绑定关系对话框,设置如下参数:
· 接口:选择开启DHCP服务器功能的接口。
· 客户端MAC:客户端的MAC地址。对于PC类型的客户端,可以在网卡信息中查询到MAC地址;对于设备类型的客户端,可以通过display interface命令查询接口的MAC地址。
· 客户端IP:分配给客户端的IP地址。
设置完成后,点击<确定>按钮,完成静态DHCP的配置。
· 静态绑定的客户端IP地址不能是设备上WAN口的IP地址网段包含的IP地址。
· 在任何一个接口上开启DHCP服务。如果仅需要使用静态DHCP方式分配IP地址,则还需要删除该接口上的DHCP参数配置。
通过攻击防御管理可以限制是否仅允许ARP静态表项对应的用户能够访问外网,以及管理静态ARP表项。
页面向导:网络安全→ARP攻击防御→攻击防御管理。
在ARP攻击防御页面,单击“攻击防御管理”页签,选择“仅允许ARP静态绑定的客户访问外网”选项,则表示只有静态ARP表项对应的客户可以访问外网,动态ARP表项对应的客户无法访问外网。选择“不限制”选项,则表示静态ARP表项和动态ARP表项对应的客户都能访问外网。
根据需要可对静态ARP表项执行以下管理操作:
· 点击<刷新>按钮,则可以刷新当前静态ARP表项的显示信息。
· 点击<导入>按钮,则可以批量导入静态ARP表项。
· 点击<导出>按钮,则可以批量导出静态ARP表项到文件中。
· 点击<添加>按钮,进入“添加ARP表项”页面。在“添加ARP表项”页面,输入静态ARP表项的IP地址和MAC地址,点击<确定>按钮,静态ARP表项添加成功。
· 选择指定的静态ARP表项,点击<删除>按钮,再点击<确定>按钮后,可以删除对应的静态ARP表项。
通过带宽限速功能可以对流量进行限速,用户可基于用户组和时间段等限制条件对流量进行精细控制。
页面向导:上网行为管理→带宽管理。
在带宽管理配置页面,点击<添加>按钮,进入新建带宽策略页面。设置如下参数:
· 应用接口:选择带宽策略适用的接口,设备将基于该接口进行带宽管理。
· 用户范围:选择带宽策略适用的用户组,设备将仅对该用户组内的成员进行带宽管理。
· 上传带宽:
¡ 当流量分配方式为共享式时,上传带宽为所选用户组中各用户上传带宽的总和。若不设置上传带宽,则表示不对上传带宽进行限速。
¡ 当流量分配方式为独享式时,上传带宽为所选用户组中单个用户的上传带宽。
· 下载带宽:
¡ 当流量分配方式为共享式时,下载带宽为所选用户组中各用户下载带宽的总和。若不设置下载带宽,则表示不对下载带宽进行限速。
¡ 当流量分配方式为独享式时,下载带宽为所选用户组中单个用户的下载带宽。
· 流量分配:包括如下类型:
¡ 共享式:用户组中的所有用户共享带宽。
¡ 独占式:用户组中的用户独享固定的带宽。
· 限制时段:包括如下选项:
¡ 所有时段:带宽策略在所有时段都适用。
¡ 选择现有时间组:选择带宽策略适用的时间组。
设置完成后,点击<确定>按钮,完成带宽策略的添加。
连接限制功能是一种安全机制,通过该功能可以限制每个IP地址主动发起连接的个数,达到合理分配设备处理资源、防范恶意连接的效果。
如果设备发现来自某IP地址的TCP或UDP连接数目超过指定的数目,将禁止该连接建立。直到该连接数低于限制数时,其才被允许新建连接。
页面向导:安全管理→连接限制。
在连接限制配置页面,勾选“开启网络连接限制数”选项后,点击<添加>按钮,进入新建网络连接限制数规则页面。设置如下参数:
· 起始IP地址:规则适用地址范围的起始IP地址。
· 结束IP地址:规则适用地址范围的结束IP地址。
· 每IP总连接数上限:每个IP地址所允许发起连接的总个数。相同源IP,源端口、目的IP、目的端口或报文协议不完全相同的连接均属于不同的连接。
· 每IP TCP连接数上限:每个IP地址所允许发起的TCP连接的总个数。在每IP总连接数限制下,对TCP连接数进行单独限制。
· 每IP UDP连接数上限:每个IP地址所允许发起的UDP连接的总个数。在每IP总连接数限制下,对UDP连接数进行单独限制。
设置完成后,点击<确定>按钮,完成网络连接限制数规则的添加。
DDoS攻击是一类广泛存在于互联网中的攻击,能造成比传统DoS攻击(拒绝服务攻击)更大的危害。通过DDoS攻击防御功能可以使设备和网络免受如下DDoS攻击的困扰:
· 单包攻击:攻击者利用畸形报文发起攻击,旨在瘫痪目标系统。例如Land攻击报文是源IP和目的IP均为攻击目标IP的TCP报文,此攻击将耗尽目标服务器的连接资源,使其无法处理正常业务。
· 异常流攻击
¡ 扫描攻击:攻击者对主机地址和端口进行扫描,探测目标网络拓扑以及开放的服务端口,为进一步侵入目标系统做准备。
¡ 泛洪攻击:攻击者向目标系统发送大量伪造请求,导致目标系统疲于应对无用信息,从而无法为合法用户提供正常服务。
设备可防御的DDoS攻击包括:
· 单包攻击:Fraggle攻击、Land攻击、WinNuke攻击、TCP Flag攻击、ICMP不可达报文攻击、ICMP重定向报文攻击、Smurf攻击、带源路由选项的IP报文攻击、带路由记录选项的IP报文攻击和超大ICMP报文攻击。
· 异常流攻击:扫描攻击、SYN flood攻击、UDP flood攻击和ICMP flood攻击。
页面向导:网络安全→DDoS攻击防御。
在攻击防御配置页面,点击<添加>按钮,进入新建攻击防御页面。设置如下参数:
· 应用接口:选择应用DDoS攻击防御策略的接口。
· 单包攻击防御:选择需要开启防御的单包攻击类型。建议开启全部单包攻击防御。
· 异常流攻击防御:选择需要开启防御的异常流攻击类型。建议根据网络流量类型开启对应的泛洪攻击防御。启动扫描攻击防御后,可选择将源IP地址加入黑名单。在一定时间内,来自扫描攻击源的报文将被设备直接丢弃。被加入黑名单的IP地址可在黑名单管理页面查看。
设置完成后,点击<确定>按钮,完成攻击防御的添加。
如果需要通过设备的WAN接口来提供Web、Mail或者FTP等服务,且希望在设备WAN接口的IP发生变化的情况下(如宽带拨号方式),用户仍然能够通过固定的域名访问设备提供的服务,那么需要在设备上的提供Web、Mail或者FTP等服务的WAN接口上配置DDNS(Dynamic Domain Name System,动态域名系统)服务。
在使用DDNS服务之前,需要提前在DDNS服务器(即DDNS服务提供商,如花生壳网站)上注册。设备向DDNS服务器申请域名时,需使用WAN接口获取的公网IP地址。
页面向导:高级选项→动态DNS。
在进入动态DNS配置页面,点击<添加>按钮,进入新建动态DNS策略页面。设置如下参数:
· WAN接口:选择设备上的提供Web、Mail或者FTP等服务的WAN接口。
· 域名:设备的域名。
· 服务提供商:选择服务提供商,如花生壳等。
· 服务器地址:服务提供商的服务器地址。如果服务器地址与缺省情况不同,勾选“修改服务器地址”后进行修改。
· 更新间隔:设置设备向服务器发送更新请求的时间间隔。如果配置时间间隔为0,设备只在WAN接口IP地址发生变化或者接口连接由down变为up时发送更新请求。
· 账户配置:服务提供商处注册的用户名和密码。
设置完成后,点击<确定>按钮,完成动态DNS策略的添加。
端口映射可以将内网中的一组IP地址和不同的协议端口映射到一个公网IP地址和对应的协议端口上,使得一个公网IP地址可以同时分配给多个内网IP地址使用。
页面向导:网络配置→NAT配置。
在NAT配置页面,单击“端口映射”页签,点击<添加>按钮,进入添加NAT端口映射页面。设置如下参数:
· 接口:选择用于连接Internet的端口。
· 协议类型:选择协议为“TCP”或“UDP”,此处需要根据内部服务器采用的传输层协议类型选择TCP或UDP,比如FTP服务器采用TCP协议,TFTP采用UDP协议。
· 外部地址:选择使用当前端口的IP地址,也可以使用设备上的其它公网IP地址。
· 外部端口:选择FTP、Telnet或自定义端口。若对外提供的服务不是FTP或Telnet,需选择自定义端口,并输入提供的服务所使用的端口号,比如HTTP服务端口号为80。
· 内部地址:输入允许外部网络访问的内网IP地址。
· 内部端口:输入内部网络资源使用的端口号。
设置完成后,点击<确定>按钮,完成端口映射的添加。
静态路由是在路由器中通过手工方式设置的固定路由条目。当网络结构比较简单且比较稳定时,通过配置静态路由就可以实现网络互通。设置静态路由之前,需要知道当前网络的出接口和网关的IP地址。
当静态路由中下一跳对应的接口失效时,本地的静态路由条目不会被删除,这种情况下需要您检查网络环境,然后修改静态路由的配置。
页面向导:高级选项→静态路由。
在静态路由配置页面,点击<添加>按钮,进入添加IPv4静态路由页面。设置如下参数:
· 目的IP地址:设备访问的目的网络的IP地址。
· 掩码长度:目的网络的掩码长度。
· 下一跳:设置去往目的网络的出接口和下一跳参数:
¡ 选择出接口。选择Null0接口作为出接口时,设备会丢弃发送到指定目的网络的报文。当存在针对某个目的网络的攻击报文,或将报文发送到某个目的网络时产生环路,可以通过指定去往该目的网络的出接口为Null0接口,来避免攻击和环路。
¡ 设置下一跳IP地址。
· 路由优先级:静态路由的优先级。当去往同一目的地存在多条静态路由时,如果需要优先选用某条静态路由,可以调整静态路由的优先级。优先级的值越小,对应的静态路由的优先级越高。
设置完成后,点击<确定>按钮,完成静态路由的添加。
设备软件升级步骤如下:
步骤1 升级前请保存并备份当前版本的配置文件。在升级软件期间,请确保网络稳定,不要断电。
步骤2 下载最新版本软件。登录H3C官方网站,选择“首页→服务支持→软件下载→路由器→H3C MER系列路由器”。
步骤3 在设备Web管理页面升级设备。
页面向导:系统工具→系统升级。
在系统升级页面,点击<升级系统软件>按钮,选择下载好的.ipe文件(如果下载的文件是压缩包,则需要解压缩获取.ipe文件),并勾选“立即重启设备”选项,点击<确定>按钮开始升级。等待1~3分钟后设备自动重启,升级过程中,不要随便切换网页,直至完成升级。
用户可以在PC上使用HTTP/HTTPS协议登录设备的Web管理界面,通过远程管理功能可以更改HTTP/HTTPS的登录端口。
页面向导:系统工具→远程管理→HTTP/HTTPS。
在远程管理页面,单击“HTTP/HTTPS”页签,进入HTTP/HTTPS配置页面。根据需要设置如下参数:
· HTTP登录端口:HTTP方式登录设备对应的端口号,缺省值为80。修改登录端口时,建议使用10000以上的端口号。
· HTTPS登录端口:HTTP方式登录设备对应的端口号,的缺省值为433。修改登录端口时,建议使用10000以上的端口号。
· 登录超时时间:Web管理界面的闲置超时时间,缺省为10分钟。管理员登录Web管理界面后,当闲置时间超过登录超时时间时,系统会自动注销该管理员。
· 例外IP:添加一个或多个IPv4地址,表示与“允许远程登录”选择框选项相反操作。
¡ 如果添加了IPv4地址,并在“HTTP/HTTPS”列表下勾选“允许远程登录”选择框,表示禁止通过该接口的IP地址以HTTP/HTTPS方式登录设备。
¡ 如果添加了IPv4地址,并在“HTTP/HTTPS”列表下不勾选“允许远程登录”选择框,表示允许通过该接口的IP地址以HTTP/HTTPS方式登录设备。
¡ 如果不添加IPv4地址,并在“HTTP/HTTPS”列表下勾选“允许远程登录”选择框,表示允许通过该接口的所有IP地址以HTTP/HTTPS方式登录设备。
¡ 添加的IPv4地址必须是对应“接口”列表下接口的IP地址。
设置完成后,点击<应用>按钮,完成HTTP/HTTPS配置。
· 当HTTP/HTTPS登录端口为缺省值时,正确的格式为:http://ip-address或https://ip-address,例如http://221.23.212.12;
· 当HTTP/HTTPS登录端口为非缺省值时,正确的格式为:http://ip-address:port或https://ip-address:port,例如http://221.23.212.12:13333。
恢复出厂配置的方法有如下三种:
页面向导:系统工具→配置管理。
在配置管理页面,单击“恢复出厂配置”页签,点击<重置>按钮,在确认提示框中选择“是”,完成恢复出厂配置并强制重启设备。
长按设备前面板上的RESET按钮4秒钟以上,设备将立刻恢复出厂配置并重新启动。
将管理计算机串口连接到设备上或者通过管理计算机Telnet到设备,执行“restore factory-default”命令,确认执行该命令后,设备将恢复到出厂设置并重新启动。
License注册的步骤如下:
通过H3C官方渠道购买授权,获取授权书。授权书上印有授权码(License Key)。
页面向导:系统工具→License管理→获取DID。
在获取DID页面,显示了设备的SN和DID信息。在获取License之前,请拷贝或者记录设备的SN和DID信息。
获取设备SN和DID后,登录H3C License管理平台(网址为http://www.h3c.com/cn/License),获取License激活文件,具体方法请参见《H3C 交换机及路由器产品 通用License使用指南》。
请登录设备Web界面,执行以下操作安装激活文件:
页面向导:系统工具→License管理→License配置。
在License配置页面,点击<添加>按钮,进入添加License页面。选择激活文件,点击<确定>按钮,完成安装。
如需了解License注册的详细操作步骤,请参见《H3C 交换机及路由器产品 通用License使用指南》。
支持
售前咨询
售后咨询
人工在线咨询
