01-正文
本章节下载: 01-正文 (1.95 MB)
如果您想 |
您可以查看 |
初识产品的大致形态、业务特性或者它在实际网络应用中的定位 |
“产品概述” |
通过Web来管理设备,同时想进一步熟悉其设置页面 |
|
通过Web设置页面来设置无线AP,比如:基本属性、接入控制、高级属性和接入客户端的查询 |
“无线设置” |
通过Web设置页面来设置设备WAN口的上网参数、LAN口相关功能、DHCP功能 |
“接口设置” |
通过Web设置页面来实现设备及网络环境的安全,比如:ARP安全、接入控制、防火墙等 |
“安全专区” |
通过Web设置页面来实现设备的高级业务功能,比如:NAT、虚拟服务器 |
“高级设置” |
通过Web设置页面对设备进行维护管理,比如:软件升级、用户管理、远程管理等 |
“设备管理” |
通过Web设置页面对设备当前的设置状态进行查询或对系统运行情况进行监控等 |
“系统监控” |
通过具体的典型组网举例来进一步理解设备的关键特性 |
“典型组网配置举例” |
通过命令行来简单地维护设备 |
|
定位或排除使用设备过程中遇到的问题 |
|
获取设备重要的缺省出厂配置信息 |
本章节主要包含以下内容:
· 产品简介
· 主要特性
· 典型组网应用
Aolynk WB524无线接入网桥(以下简称WB524)是杭州华三通信技术有限公司最新推出的一款无线接入终端设备。它支持上行双频(2.4G/5G)无线接入,下行2.4G接入。能满足市区高质量覆盖和乡镇远距离覆盖等需求,在市区2.4G设备较多,干扰比较严重的场合采用5G频段接入,保证服务质量;在乡镇等需要广覆盖的场合,采用2.4G频段保证覆盖范围。支持路由和桥接两种模式,有效地满足用户不同应用场合的无线接入需求。是运营商WLAN宽带覆盖方案的理想选择。
· 本手册中所涉及的Web设置页面仅供参考,请以实际为准。此外,手册中所描述的功能特性规格可能随产品的升级而发生改变,恕不另行通知。详情您可以向H3C公司市场人员或技术支援人员咨询获取。
· 本手册以介绍Web设置为主,命令行设置请参见“12 附录 - 命令行设置”。
· 支持使用无线方式接入因特网
用户可以设置使用有线方式或者无线方式接入因特网。
· 无线上行接入因特网可以支持路由或者桥接两种方式
如果选择无线方式接入因特网,用户可以选择使用路由方式接入或者桥接方式接入。使用路由方式接入,设备上行无线接口会自动接入因特网,由设备代理用户进行Portal认证,从而接入因特网;使用桥接方式接入,用户的访问请求会被转发给上行运营商的设备进行处理,由用户自行完成Portal认证的接入过程。
· 支持局域网无线接入功能
用户可以通过无线网络接入设备,通过设备进一步接入因特网。无线网络支持802.11n标准,最大速率可以达到150M。
· 上行无线支持2.4G和5G两个频段
上行无线网络支持2.4G和5G频段,用户可以使用两种频段中的一种接入因特网;无线局域网支持2.4G频段。
· 高性能防火墙
内置高性能防火墙,通过设置出站和入站通信策略来快速地实现访问控制。
· 防攻击
支持对来自因特网和内网的常见攻击进行防护。
· ARP双重防护
通过静态ARP绑定功能,固化了网关的ARP表项。另外,对于DHCP分配的IP地址,则采用DHCP授权ARP技术,自动绑定分配的IP地址/MAC地址信息,从而可以有效地防止ARP欺骗引起的内网通讯中断问题;同时,提供毫秒级的免费ARP定时发送机制,可以有效地避免局域网内主机中毒后引发的ARP攻击。
· 提供非常简便的Web设置页面,配置直观、易操作、使用复杂度低。
· 每个Web设置页面均提供详细的联机帮助,供您查阅。
· 提供了丰富的统计信息和状态信息显示功能,使您对设备当前的运行状态一目了然。
· 支持通过本地和远程Web方式对设备进行详细的配置和管理。
· 支持通过Telnet方式对设备进行简单的命令行管理。
图2-1 组网应用
如上图所示,WB524通过上行天线接入无线基站,用户可通过无线方式或有线方式接入到WB524实现网络连接。
本章节主要包含以下内容:
· 建立网络连接
完成硬件安装后(安装过程可参见《Aolynk WB524无线接入网桥 快速入门》),在登录设备的Web设置页面前,您需要确保管理计算机和网络满足一些基本要求。
您可以通过有线方式或无线方式连接到WB524。以下描述均在WB524缺省配置的基础上进行。
· 确认计算机已安装并启用了以太网网卡。
· 确认计算机已和WB524的LAN口相连(有线方式)。
建议您将计算机设置成缺省的“自动获得IP地址”和“自动获得DNS服务器地址”,由WB524自动分配IP地址。
如果您想给计算机指定静态IP地址,则需要将计算机的IP地址与WB524的IP地址设置在同一子网中(WB524缺省IP地址为:192.168.1.1,子网掩码为255.255.255.0)。
操作步骤如下:
单击屏幕左下角<开始>按钮进入[开始]菜单,选择“运行”,弹出“运行”对话框 |
|
输入“ping 192.168.1.1(设备的IP地址,此处是缺省IP地址)”,单击<确定>按钮。如果在弹出的对话框中显示了从设备侧返回的回应,则表示网络连通;否则请检查网络连接 |
· 确认计算机已安装了无线网卡,并处于开启状态。
· 将计算机放置于WB524的无线网络范围内(小于100m)。
建议您将计算机设置成缺省的“自动获得IP地址”和“自动获得DNS服务器地址”,由WB524自动分配IP地址。
如果您想给计算机指定静态IP地址,则需要将计算机的IP地址与WB524的IP地址设置在同一子网中(WB524缺省IP地址为:192.168.1.1,子网掩码为255.255.255.0)。
本手册以Windows XP自带的无线网络设置功能为例。
设置步骤如下:
· 单击屏幕左下角<开始>按钮,进入[开始]菜单,选择[控制面板],打开“网络连接” · 右键单击无线网络连接图标,选择“查看可用的无线连接”,弹出无线网络设置界面 |
|
选择“网络任务” 中的“刷新网络列表”,然后在“选择无线网络” 列表里找到需连接的无线网络,缺省情况下,WB524提供一个名为“H3C”的无线网络,且不加密,单击<连接>按钮即可 |
|
无线网络连接成功 |
如果当前管理计算机使用代理服务器访问因特网,则必须取消代理服务,操作步骤如下:
在浏览器窗口中,选择[工具/Internet 选项]进入“Internet 选项”窗口 |
|
选择“连接”页签,并单击<局域网设置(L)>按钮,进入“局域网(LAN)设置”页面。请确认未选中“为LAN使用代理服务器”选项;若已选中,请取消并单击<确定>按钮 |
运行Web浏览器,在地址栏中输入“http://192.168.1.1”,回车后跳转到Web登录页面,如图3-1所示。输入用户名、密码(缺省均为admin,区分大小写)以及验证码(不区分大小写),单击<登录>按钮或直接回车即可进入Web设置页面。
图3-1 登录设备Web设置页面
· 同一时间,设备最多允许五个用户通过Web设置页面进行管理。当对设备进行多用户管理时,建议不要同时对其进行配置操作,否则可能会导致数据配置不一致。
· 为了安全起见,建议您首次登录后修改缺省的登录密码,并保管好密码信息。如果忘记密码,请按住WB524后面板上的复位(Reset)按钮5秒钟以上,设备开始重启,重启后即可恢复WB524的缺省设置。连接到Web页面后就可以输入以上缺省的用户名和密码。
· 验证码功能会使您的系统安全性更高。如果您想在登录设备Web设置页面时不需要输入验证码,可以通过登录管理页面来设置其状态。
设备提供非常简便的Web设置页面,您可以通过该设置页面快速地完成所需功能的配置。本章将带领您先了解和熟悉Web设置页面。
本章节主要包含以下内容:
· 常用页面控件介绍
· 页面列表操作介绍
图4-1 Web设置页面示意图
以下控件是Web设置页面中经常出现的,有关它们的用途请参见下表。
页面控件 |
描述 |
文本框,用于输入文本 |
|
|
单选按钮,用于从多个选项中选择一项 |
|
复选框,用于开启(选中)和关闭(未选中)该功能或服务 |
|
下拉列表框,用于选择相应的列表项 |
|
当您完成了某页面设置项的操作后,必须单击该页面上的<应用>按钮,设置才能生效 |
如果页面中出现类似的蓝色字体项,您可以通过单击它来跳转到相应的页面进行设置修改 |
|
单击<刷新>按钮,您可以手动对设置页面的数据进行更新;在“自动刷新”列表框中选择刷新频率后,页面的数据会自动根据该刷新频率进行更新 |
设备的Web设置页面中经常会出现类似图4-2的页面,此处对其操作进行统一的介绍,以下不再赘述。
界面项 |
描述 |
您可通过设置关键字,单击<查询>按钮来查看符合条件的列表项 |
|
单击<显示全部>按钮,您可查看所有的列表项 |
|
单击<全选>按钮,您可选中所有的列表项对其进行批量操作 您也可以通过单击各列表项的方式来选中指定表项进行批量操作 |
|
单击<新增>按钮,您可在弹出的对话框中添加一个新的表项。添加完成后,您可以通过该页面中的查询功能来确认刚添加的表项是否已存在 选中指定的列表项,单击<删除>按钮,您可将该列表项删除 |
|
单击<导入>按钮,您可在弹出的对话框中添加待导入的表项。添加完成后,您可以通过该页面中的查询功能来确认刚添加的表项是否已存在 单击<导出>按钮,您可将相关的表项导出 |
|
单击该图标,您可在弹出的对话框中对该列表项进行修改 双击某列表项,同样也可在弹出的对话框中对该列表项进行修改 |
|
当列表中的标题栏出现箭头时,表示您可以根据对应的标题项进行排序操作。您可以通过单击标题项来切换升序和降序方式 “↓”表示降序,“↑”表示升序 |
当您长时间没有操作Web设置页面时,系统超时并将注销本次登录,返回到Web设置登录页面(如图3-1所示)。
本章节主要包含以下内容:
· 无线服务简介
· 无线接入组网
· 设置无线AP
WLAN技术是当今通信领域的热点之一,和有线相比,无线局域网的启动和实施相对简单,成本相对低廉,一般只要安放一个或多个接入点设备就可建立覆盖整个建筑或地区的局域网络。
使用WLAN解决方案,网络运营商和企业能够为用户提供方便的无线接入服务,主要包括:
· 应用具有无线局域网功能的设备建立无线网络,通过该网络,用户可以访问局域网或因特网;
· 使用不同认证和加密方式,提供安全的无线网络接入服务;
· 在无线网络内,用户可以在网络覆盖区域内自由移动,彻底摆脱有线束缚。
无线AP基于WLAN技术,实现了802.11无线网络标准中的无线接入功能。开启本功能后,无线客户端(带有无线网卡的PC或便携式笔记本电脑等终端)可通过无线方式方便快捷地连接到无线局域网,实现高速率的数据通信,部署灵活,免去了有线连接的繁琐。同时,无线AP支持多种加密功能,有效地保证了数据通信的安全性。
图5-1 无线接入组网
页面向导:无线设置→无线AP设置→基本设置
本页面为您提供如下主要功能:
· 开启/关闭无线网络功能 · 设置无线网络基本属性(比如:无线网络模式、无线信道等) · 显示当前各个SSID的基本信息(主页面)。 |
|
· 设置SSID的基本信息(在主页面中双击待配置的SSID表项,进入[SSID配置]页面) · 设置SSID加密方式为“不加密” |
|
设置SSID加密方式为“WEP加密” |
|
设置SSID加密方式为“WPA-PSK加密” |
|
设置SSID加密方式为“WPA2-PSK加密” |
|
设置SSID加密方式为“WPA-PSK/WPA2-PSK加密” |
· 因为802.11n不支持WEP加密方式和TKIP加密协议,所以当无线网络模式设置为“n-only”模式时,无法选用WEP和TKIP。此外,当无线网络模式设置为“b+g+n”时,推荐您把加密设置为AES,而不是WEP或TKIP,否则无线AP将不能提供802.11n的高速率数据传输服务。
· 当您发现无线网络运行不稳定时,请尝试换用其他的无线信道,或者把“无线发送速率”设置为较低值或“AUTO”。
页面中关键项的含义如下表所示。
表5-1 页面关键项描述
页面关键项 |
描述 |
启用无线网络 |
选择是否启用无线网络 缺省情况下,启用该功能 |
无线网络模式 |
选择无线网络工作模式 · b-only模式:设备工作在802.11b模式下 · g-only模式:设备工作在802.11g模式下 · n-only模式:设备工作在802.11n模式下 · b+g模式:设备工作在802.11b/g的混合模式下 · b+g+n模式:设备工作在802.11b/g/n的混合模式下 缺省情况下,无线网络模式为b+g+n模式,可以支持b、g、n三种工作模式的无线客户端 |
无线网络信道频宽 |
选择无线网络信道频宽 当无线模式选择“b+g+n”或“n-only”时,可选20MHz或40MHz,其余工作模式下均为20MHz 缺省情况下,无线网络信道频宽为40 MHz |
无线信道 |
选择无线网络的工作信道(频道) 为了提升网络性能,请尽量选择设备工作环境中未被使用的信道。本AP的所有SSID共用同一个信道 缺省情况下,无线信道为AUTO 在AUTO模式下,AP会自动选择一个合适的无线信道 |
无线发送速率 |
设置无线发送速率 缺省情况下,无线发送速率为AUTO 在AUTO模式下,AP会自动选择一个最合适的速率进行发送。在实际使用过程中,推荐用户使用缺省值 |
SSID名称 |
设置无线网络使用的SSID名称 不同的SSID用于区分不同的无线网络,只有同一SSID内的设备之间才可以直接通信 |
客户端隔离 |
选择与本设备建立连接的无线客户端之间是否可以互相通信 · 禁用:允许无线客户端之间进行通信 · 启用:禁止无线客户端之间进行通信 缺省情况下,允许无线客户端之间进行通信 启用客户端隔离后,无线客户端与有线客户端之间依然无法隔离 |
SSID广播 |
选择是否广播SSID · 如果启用本功能,当无线客户端搜寻本地可以接入的无线网络时,将检测到广播的SSID,从而可以建立连接 · 如果禁用该功能,则需要管理员向客户端知会其SSID名称,客户端才可以根据SSID名称接入无线网络 缺省情况下,启用SSID广播 |
加密方式 |
选择加密方式,各加密方式的说明请参见表5-2 建议选择WPA-PSK、WPA2-PSK、WPA-PSK/WAP2-PSK三种加密方式中的一种,以提供更高的网络安全性 缺省情况下,不加密 |
默认传输密钥(选择WEP加密时) |
选择SSID的默认密钥索引,无线客户端只有在选用的“默认密钥索引”和“密钥”都和AP中的设置一致时,才能通过正常使用无线网络 缺省情况下,默认传输密钥为1 |
密钥长度(选择WEP加密时) |
选择加密算法。位数越多,加密效果越好 缺省情况下,密钥长度为64位 |
密钥类型(选择WEP加密时) |
选择WEP密钥的形式 缺省情况下,密钥类型为HEX(即16进制) |
密钥(选择WEP加密时) |
根据密钥类型设置相应的密钥 HEX只可输入0~9、a~f、A~F所组成的字符串 |
加密协议(选择WPA-PSK、WPA2-PSK或WPA-PSK/WPA2-PSK加密时) |
选择加密协议 · TKIP:暂时密钥完整性协议 · AES:先进加密标准 · TKIP+AES:使用多种加密方式(加密方式选择WPA2-PSK或WPA-PSK/WPA2-PSK加密时) 缺省情况下,加密协议为AES |
群组密钥更新周期 |
设备会根据所设定的时间定期更新密钥,单位为秒 缺省情况下,群组密钥更新周期为3600 |
加密方式 |
描述 |
不加密 |
所有请求认证的客户端都会通过认证 |
WEP加密 |
通过共享密钥来实现认证,是一种基础的加密方式 |
WPA-PSK加密 |
WPA-PSK是WPA的一种简单模式,适合个人或家庭使用。WPA-PSK相对于WEP来说,更为安全可靠 |
WPA2-PSK加密 |
WPA2-PSK相对于WPA-PSK来说,是一种更加完善加密方式 |
WPA-PSK/WAP2-PSK加密 |
同时兼容WPA-PSK加密和/WAP2-PSK加密 |
页面向导:无线设置→无线AP设置→接入控制
本页面为您提供如下主要功能:
开启/关闭MAC地址接入控制功能(选中“启用MAC地址接入控制功能”,并选择相应的MAC接入无线网络功能,单击<应用>按钮生效) |
|
添加MAC地址。(单击主页面上的<新增>按钮,在弹出的对话框中输入MAC地址和描述信息,单击<增加>按钮生效) |
|
从接入客户端列表导入MAC地址(单击主页面上的<从接入客户列表导入>按钮,在弹出的对话框中选择待导入的表项,单击<导入到MAC地址过滤表>按钮生效) |
页面中关键项的含义如下表所示。
表5-3 页面关键项描述
界面项 |
描述 |
启用MAC地址接入控制功能 |
选中该项启用MAC地址过滤功能,否则允许所有客户端计算机接入无线网络 |
仅允许MAC地址列表中的MAC接入 |
选中该项表示仅允许MAC地址表中的客户端计算机接入无线网络 |
仅禁止MAC地址列表中的MAC接入 |
选中该项表示仅禁止MAC地址表中的客户端计算机接入无线网络 |
MAC地址 |
客户端计算机的MAC地址,输入格式为xx:xx:xx:xx:xx:xx (或xxxx-xxxx-xxxx),且不区分大小写 |
描述 |
MAC地址的说明信息 |
页面向导:无线设置→无线AP设置→高级设置
本页面为您提供如下主要功能:
设置无线网络的高级属性(比如:点亮间隔、RTS阈值等) |
页面中关键项的含义如下表所示。
表5-4 页面关键项描述
页面关键项 |
描述 |
点亮间隔 |
无线接入点周期性发送信号的时间周期,给无线局域网的客户端提供同步时钟 缺省情况下,点亮间隔为100毫秒 |
RTS阈值 |
如果传输的数据帧的长度超过RTS阈值,将采用RTS机制发送。如果没有隐藏节点的问题,建议使用缺省值。 缺省情况下,RTS阈值为2346 · RTS机制为先发送RTS报文,获得允许后,才能发送数据包。 · 当无线工作模式设置为“n-only”或“b+g+n”时,RTS阈值不能设置 |
分片阈值 |
如果传输的数据帧的长度超过分片阈值,该数据帧将被分片。只有在无线网络干扰较大或使用率较高时,才有必要采用较小的分片阈值。采用较小的分片阈值能增加传输的可靠性,但效率较低,而采用大的分片阈值则容易受干扰,但效率较高 缺省情况下为2346 当无线工作模式设置为“n-only”或“b+g+n”时,分配阈值不能设置 |
DTIM间隔 |
DTIM间隔决定了MAC层多播通信的频率 缺省情况下,DTIM间隔为1 |
发射功率 |
调节无线发射功率,值越大,作用的范围越大,信号越好 缺省情况下,发射功率为100% |
WMM |
开启/关闭无线QoS功能,启用QoS功能可以保证语音、视频等实时性要求较高的业务的服务质量 缺省情况下,为启用 |
页面向导:无线设置→无线AP设置→接入客户端列表
本页面为您提供如下主要功能:
显示当前所有连接到本设备的无线客户端的MAC地址 |
本章节主要包含以下内容:
· 设置WAN
· 设置LAN
· 设置DHCP
用户可以通过无线接入或者有线接入的方式来上网。设备支持桥接、静态地址、动态地址和PPPoE四种无线接入方式;设备支持静态地址、动态地址、PPPoE三种有线接入方式。具体选择何种方式请咨询当地运营商。
· 桥接:用户的访问请求会被转发给上行设备进行处理,由用户自行完成Portal认证的接入过程。
· 静态地址:手动为WAN口设置IP地址和子网掩码。
· 动态地址:设置WAN口作为DHCP客户端,使用DHCP方式获取IP地址。
· PPPoE:设置WAN口作为PPPoE客户端,使用PPPoE用户名和密码拨号连接获取IP地址。
桥接和其它无线接入方式的主要区别如下:
· 在桥接模式下,设备局域网内客户端的Portal认证的接入过程,由用户自行完成。
· 在非桥接模式下,设备局域网内客户端的Portal认证,可以通过WB524代为认证,客户端不再需要单独进行Portal认证。
页面向导:接口设置→WAN设置→连接到因特网
本页面为您提供如下主要功能:
选择上网方式为“无线接入” |
|
无线拨号方式有四种,用户可以根据实际需要来进行选择 · 通过桥接连接到因特网 · 通过静态地址连接到因特网 · 通过动态地址连接到因特网 · 通过PPPoE连接到因特网 |
|
设置Portal认证 |
|
设置无线网络 |
|
· 扫描无线网络 (单击无线网络名称后面的<扫描>按钮,在弹出的页面中单击<刷新无线基站列表>按钮刷新无线网络) · 点击<关闭>按钮,关闭该页面 |
页面中关键项的含义如下表所示。
描述 |
|
上网方式选择 |
用户可以选择无线方式或有线方式接入因特网 缺省情况下,上网方式选择无线接入 |
无线拨号方式 |
选择接入到无线网络后所使用的拨号方式,可选择桥接、静态地址、动态地址和PPPoE方式 缺省情况下,无线拨号方式为动态地址 |
MTU |
设置设备WAN口允许通过的最大传输单元,单位为字节。建议您使用缺省值 |
主机名称 |
设置在设备使用DHCP方式获取IP地址时,DHCP服务器侧显示的设备主机名 |
主DNS服务器 |
设置设备主域名服务器的地址,用于将便于记忆的、有意义的域名解析为正确的IP地址。由运营商提供 |
辅DNS服务器 |
设置设备辅域名服务器的地址,用于当主域名服务器失效时,可以由它来完成解析。由运营商提供 |
IP地址 |
设置设备WAN口的IP地址。由运营商提供 |
子网掩码 |
设置设备WAN口的IP地址子网掩码。由运营商提供 |
缺省网关 |
设置设备WAN口的缺省网关地址。由运营商提供 |
PPPoE用户名 |
设置PPPoE拨号上网时,身份验证使用的用户名。由运营商提供 |
PPPoE密码 |
设置PPPoE拨号上网时,身份验证使用的密码。由运营商提供 |
服务器名 |
设置PPPoE服务器的名称。由运营商提供 |
服务名 |
设置PPPoE服务器的服务名称。由运营商提供 |
自动进行Portal认证 |
开启/关闭自动进行Portal认证功能。开启该功能后,设备连接成功后会使用用户预配置的用户名和密码自动进行Portal认证,从而接入因特网 缺省情况下,关闭自动进行Portal认证功能 当无线拨号方式选择“桥接”时,不能设置Portal 认证 |
Portal用户名 |
Portal帐号的用户名,由运营商提供 |
Portal密码 |
Portal帐号的密码,由运营商提供 |
无线网络名称 |
用户接入上行无线网络的网络名称 |
基站BSSID |
选择连接无线网络基站BSSID的方式 · 自动选择:用户只需要输入无线网络名称,由设备自动选择信号最好的无线基站发起连接; · 手工指定:用户需要同时输入无线网络名称和基站BSSID的地址,设备仅向该无线基站发起连接; 缺省情况下,由设备自动选择基站BSSID |
BSSID |
基站BSSID的地址,通常为无线基站的MAC地址 |
<扫描> |
除了通过手工配置无线网络参数外,用户还可以通过扫描功能扫描当前环境中存在哪些无线网络,在扫描到的无线网络列表中选择一个无线网络进行连接 |
强制绑定所选基站的BSSID |
选中该项后,设备仅向无线网络中选定的基站进行连接 如果不勾选该选项,则默认选择相同网络名称中信号质量最好的 |
页面向导:接口设置→WAN设置→连接到因特网
本页面为您提供如下主要功能:
选择上网方式为“有线接入” |
有线拨号方式有三种,用户可以根据实际需要来进行选择 · 通过静态地址连接到因特网 · 通过动态地址连接到因特网 · 通过PPPoE连接到因特网 |
页面中关键项的含义请参考表6-1。
当您修改了设备LAN口的IP地址后,您需要在浏览器中输入新的IP地址重新登录,才能对设备继续进行配置和管理。比如:某企业事先已经将整个IP地址段均已规划好,因此,您需要根据已规划好的IP地址来修改设备LAN口的IP地址,以适应实际环境。
页面向导:接口设置→LAN设置→局域网设置
本页面为您提供如下主要功能:
修改LAN口的IP地址(缺省情况下,设备LAN口的IP地址为192.168.1.1,子网掩码为255.255.255.0) |
修改LAN口 IP地址后,其他页面中和IP地址相关的配置可能需要相应修改(如IP/MAC绑定表中的IP地址等),保持和LAN口IP在同一网段。
设备出厂时,LAN口均有一个缺省的MAC地址,一般情况下,无需改变。但是,比如:某企业之前为了防止ARP攻击,给局域网内的主机均设置了网关的静态ARP表项。此时,如果企业想升级设备,将原来的网关换成了设备(网关地址保持不变),局域网内的主机则无法学习到设备的MAC地址。因此,您需要逐个修改局域网内主机的静态ARP表项,才可使局域网内的主机恢复正常上网,这样维护效率会很低。
设备的LAN口MAC克隆功能可以使您免除这样的重复劳动,只需将设备的LAN口MAC地址设为原来网关的MAC地址,局域网内的主机即可正常上网了。
页面向导:接口设置→LAN设置→局域网设置
本页面为您提供如下主要功能:
设置LAN口MAC地址克隆 |
页面中关键项的含义如下表所示。
表6-2 页面关键项描述
页面关键项 |
描述 |
使用设备MAC |
选中该项,使用设备LAN口出厂时的MAC地址 |
手工输入MAC |
选中该项,输入原网关的MAC地址 |
DHCP采用“客户端/服务器”通信模式,由客户端向服务器提出配置申请,服务器返回为客户端分配的IP地址等配置信息,以实现网络资源的动态配置。
在DHCP的典型应用中,一般包含一台DHCP服务器和多台DHCP客户端(比如:PC和便携机),如图6-1所示。
图6-1 DHCP典型应用
设备作为DHCP服务器,提供两种IP地址分配策略:
· 手工分配地址:由管理员为特定客户端静态绑定IP地址。通过DHCP将配置的固定IP地址分配给客户端。
· 动态分配地址:DHCP为客户端分配具有一定有效期限的IP地址,当使用期限到期后,客户端需要重新申请地址。
(1) 设备接收到DHCP客户端申请IP地址的请求时,首先查找手工设置的DHCP静态表,如果这台DHCP客户端的MAC地址在DHCP静态表中,则把对应的IP地址分配给该DHCP客户端。
(2) 如果申请IP地址的DHCP客户端MAC地址不在DHCP静态表中,或者DHCP客户端申请的IP地址与LAN口的IP地址不在同一网段,设备会从地址池中选择一个在局域网中未被使用的IP地址分配给该主机。
(3) 如果地址池中没有任何可分配的IP地址,则主机获取不到IP地址。
如果主机离线(比如:主机关机了),设备不会马上把之前分给它的IP地址分配出去,只有在地址池中没有其他可分配的IP地址,且该离线主机IP地址的租约过期时,才会分配出去。
页面向导:接口设置→DHCP设置→DHCP设置
本页面为您提供如下主要功能:
DHCP服务器设置 |
页面中关键项的含义如下表所示。
表6-3 页面关键项描述
页面关键项 |
描述 |
启用DHCP服务器 |
缺省情况下,DHCP服务器功能处于开启状态 当无线拨号方式选择“桥接”时,DHCP服务器自动关闭;再切换回非“桥接”模式时,需要手动开启DHCP服务器 |
地址池起始地址 |
DHCP服务器地址池的起始地址 |
地址池结束地址 |
DHCP服务器地址池的结束地址,且地址池结束地址要大于起始地址 |
地址租约 |
设置DHCP服务器分配给客户端IP地址的租借期限。当租借期满后,DHCP服务器会收回该IP地址,客户端必须重新申请(客户端一般会自动申请) 缺省情况下,地址租约为1440分钟 |
客户端域名 |
设置DHCP服务器分配给客户端使用的域名地址后缀 |
主DNS服务器 |
设置DHCP服务器分配IP地址时所携带的主DNS服务器地址 缺省情况下,DNS服务器地址为网关地址 |
辅DNS服务器 |
设置DHCP服务器分配IP地址时所携带的辅DNS服务器地址 缺省情况下,DNS服务器地址为网关地址 |
如果您想让设备给某些特定的客户端分配固定的IP地址,可以事先通过DHCP静态表将客户端的MAC地址和IP地址进行绑定,使其成为一对一的分配关系。
当您设置设备通过DHCP方式为客户端分配IP地址的同时又设置了ARP绑定,此时,请确保DHCP静态表项与ARP绑定表项不冲突,否则对应的客户端可能无法上网。建议您可以将ARP绑定表导出,然后再将其导入到DHCP静态表中。
页面向导:接口设置→DHCP设置→DHCP静态表
本页面为您提供如下主要功能:
显示和修改已添加的DHCP静态表项(主页面) |
|
单个添加DHCP静态表项(单击主页面上的<新增>按钮,在弹出的对话框中设置相应的参数,并单击<增加>按钮完成操作) |
|
批量添加DHCP静态表项(您可以先在本地编辑一个.cfg文件,内容格式为“MAC地址 IP地址 描述”(比如:00:0A:EB:7F:AA:AB 192.168.1.2 zhangshan),且每条静态表项之间需换行。单击主页面上的<导入>按钮,在弹出的对话框中选择该文件将其导入即可) |
|
将设备当前的DHCP静态表项备份保存(.cfg文件),且您可用“记事本”程序打开该文件进行编辑(单击主页面上的<导出>按钮,确认后即可将其导出到本地) |
页面向导:接口设置→DHCP设置→DHCP客户列表
本页面为您提供如下主要功能:
· 显示已分配的DHCP客户列表信息 · 释放并回收指定客户端的IP地址,使该IP地址可以重新被分配(选择指定的客户项,比如:已关机客户PC,单击<释放>按钮即可) |
本章节主要包含以下内容:
· 设置ARP安全
· 设置网站过滤
· 设置防火墙
· 设置防攻击
ARP是将IP地址解析为以太网MAC地址(或称物理地址)的协议。
在局域网中,当主机或其他网络设备有数据要发送给另一个主机或设备时,它必须知道对方的网络层地址(即IP地址)。但是仅仅有IP地址是不够的,因为IP数据报文必须封装成帧才能通过物理网络发送。因此发送方还必须有接收方的物理地址,需要一个从IP地址到物理地址的映射。APR就是实现这个功能的协议。
图7-1 ARP报文结构
· 硬件类型:表示硬件地址的类型。它的值为1表示以太网地址。
· 协议类型:表示要映射的协议地址类型。它的值为0x0800即表示IP地址。
· 硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度,以字节为单位。对于以太网上IP地址的ARP请求或应答来说,它们的值分别为6和4。
· 操作类型(OP):1表示ARP请求,2表示ARP应答。
· 发送端MAC地址:发送方设备的硬件地址。
· 发送端IP地址:发送方设备的IP地址。
· 目标MAC地址:接收方设备的硬件地址。
· 目标IP地址:接收方设备的IP地址。
假设主机A和B在同一个网段,主机A要向主机B发送信息。如图7-2所示,具体的地址解析过程如下:
(1) 主机A首先查看自己的ARP表,确定其中是否包含有主机B对应的ARP表项。如果找到了对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给主机B。
(2) 如果主机A在ARP表中找不到对应的MAC地址,则将缓存该数据报文,然后以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址,目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机(即主机B)会对该请求进行处理。
(3) 主机B比较自己的IP地址和ARP请求报文中的目标IP地址,当两者相同时进行如下处理:将ARP请求报文中的发送端(即主机A)的IP地址和MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文给主机A,其中包含了自己的MAC地址。
(4) 主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP表中以用于后续报文的转发,同时将IP数据包进行封装后发送出去。
图7-2 ARP地址解析过程
当主机A和主机B不在同一网段时,主机A就会先向网关发出ARP请求,ARP请求报文中的目标IP地址为网关的IP地址。当主机A从收到的响应报文中获得网关的MAC地址后,将报文封装并发给网关。如果网关没有主机B的ARP表项,网关会广播ARP请求,目标IP地址为主机B的IP地址,当网关从收到的响应报文中获得主机B的MAC地址后,就可以将报文发给主机B;如果网关已经有主机B的ARP表项,网关直接把报文发给主机B。
设备通过ARP解析到目的MAC地址后,将会在自己的ARP表中增加IP地址到MAC地址的映射表项,以用于后续到同一目的地报文的转发。
ARP表项分为动态ARP表项和静态ARP表项。
· 动态ARP表项
动态ARP表项由ARP协议通过ARP报文自动生成和维护,会被新的ARP报文所更新。
· 静态ARP表项
静态ARP表项需要通过手工配置和维护,不会被动态的ARP表项所覆盖。
配置静态ARP表项可以增加通信的安全性。它可以限制和指定IP地址的设备通信时只使用指定的MAC地址,此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信。
通过设置ARP绑定,可以有效地防止设备的ARP表项受到攻击,保证了网络的安全。
为了防止通过DHCP方式获取IP地址的主机在设备上的ARP表项被篡改,您可以开启动态ARP绑定功能,使得所有通过DHCP服务器分配出去的IP地址和其对应的MAC地址自动绑定。且动态绑定的表项在地址租约到期后不会被删除。
页面向导:安全专区→ARP安全→ARP绑定
页面为您提供如下主要功能:
设置动态ARP绑定(选中“对DHCP分配的地址进行ARP保护”复选框,单击<应用>按钮生效) |
开启动态ARP绑定后,设备通过DHCP方式获取到的ARP表项状态为“动态绑定”。反之,则为“未绑定”。
静态ARP绑定即需要通过手工配置和维护。建议您将局域网内所有主机都添加到设备的静态ARP表项中。
页面向导:安全专区→ARP安全→ARP绑定
本页面为您提供如下主要功能:
· 显示和修改ARP表项(主页面) · 将动态获取到的ARP表项进行绑定(选中动态获取到的表项,单击<静态绑定>按钮即可完成绑定。此时,ARP表项状态则为“静态绑定”) |
|
单个添加静态ARP表项(单击主页上的<新增>按钮,在弹出的对话框中设置相应的参数,并单击<增加>按钮完成操作) |
|
批量添加静态ARP表项(您可以在本地用“记事本”程序创建一个.cfg文件,内容格式为“MAC地址 IP地址 描述”(比如:00:0A:EB:7F:AA:AB 192.168.1.2 zhangshan),且每条绑定项之间需换行。单击主页面上的<导入>按钮,在弹出的对话框中选择该文件将其导入即可) |
|
将设备当前的ARP静态表项备份保存(.cfg文件),且您可用“记事本”程序打开该文件进行编辑(单击主页面上的<导出>按钮,确认后即可将其导出到本地) |
免费ARP报文是一种特殊的ARP报文,该报文中携带的发送端IP地址和目标IP地址都是本机IP地址,报文源MAC地址是本机MAC地址,报文的目的MAC地址是广播地址。
设备通过对外发送免费ARP报文来实现以下功能:
· 确定其他设备的IP地址是否与本机的IP地址冲突。当其他设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址相同,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。
· 设备改变了硬件地址,通过发送免费ARP报文通知其他设备更新ARP表项。
设备支持定时发送免费ARP功能,这样可以及时通知下行设备更新ARP表项或者MAC地址表项,主要应用场景如下:
· 防止仿冒网关的ARP攻击
如果攻击者仿冒网关发送免费ARP报文,就可以欺骗同网段内的其他主机,使得被欺骗的主机访问网关的流量,被重定向到一个错误的MAC地址,导致其他用户无法正常访问网络。
为了尽量避免这种仿冒网关的ARP攻击,可以在网关的接口上开启能定时发送免费ARP功能。开启该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址的免费ARP报文。这样,每台主机都可以学习到正确的网关,从而正常访问网络。
· 防止主机ARP表项老化
在实际环境中,当网络负载较大或接收端主机的CPU占用率较高时,可能存在ARP报文被丢弃或主机无法及时处理接收到的ARP报文等现象。这种情况下,接收端主机的动态ARP表项会因超时而被老化,在其重新学习到发送设备的ARP表项之前,二者之间的流量就会发生中断。
为了解决上述问题,您可以在设备的接口上开启定时发送免费ARP功能。开启该功能后,设备接口上将按照配置的时间间隔周期性地发送接口主IP地址的免费ARP报文。这样,接收端主机可以及时更新ARP映射表,从而防止了上述流量中断现象。
页面向导:安全专区→ARP安全→ARP防护
本页面为您提供如下主要功能:
· 设置设备丢弃源MAC地址不合法的ARP报文,即选中该功能后,当设备接收到的ARP报文的源MAC地址为0、组播MAC地址或广播MAC地址时,则直接将其丢弃不对其进行ARP学习(缺省情况下,此功能处于开启状态) · 设置设备丢弃源MAC地址不一致的报文,即选中该功能后,当设备接收到的ARP报文的源MAC地址与该报文的二层源MAC地址不一致时(通常情况下,认为存在ARP欺骗),则直接将其丢弃不对其进行ARP学习(缺省情况下,此功能处于关闭状态) · 设置设备ARP报文学习抑制,即选中该功能后,设备在一段时间内只学习第一个返回的ARP响应报文,丢弃其他响应报文,从而防止有过多的ARP响应报文返回造成ARP表项异常(缺省情况下,此功能处于开启状态) |
|
· 设置设备检测到ARP欺骗时,LAN口或WAN口会主动发送免费ARP(缺省情况下,此功能处于开启状态) · 设置设备LAN口主动定时发送免费ARP(缺省情况下,此功能处于关闭状态) · 设置设备WAN口主动定时发送免费ARP(缺省情况下,此功能处于关闭状态) |
设置完成后,您可以通过查看运行状态页面中的“ARP防攻击”来验证功能是否已启用。
通过网站过滤功能,您可以灵活地限制局域网内的主机所能访问的网站。设备为您提供两种网站过滤功能:
· 仅允许访问列表中的网站地址:如果您想让局域网内的主机仅能访问固定的某些网站,可以选中此功能,然后添加相应的网站地址。
· 仅禁止访问列表中的网站地址:如果您想让局域网内的主机不能访问某些非法网站,可以选中此功能,然后添加相应的网站地址。
页面向导:安全专区→接入控制→网站过滤
本页面为您提供如下主要功能:
根据实际需求启用相应的网站过滤功能(主页面。选择相应的网站过滤功能后,单击<应用>按钮生效) |
|
单个添加网站地址(单击主页面上的<新增>按钮,在弹出的对话框中添加一个需要过滤的网站地址,单击<增加>按钮完成操作) |
|
批量添加网站地址(您可以在本地用“记事本”程序创建一个.cfg文件,内容格式为www.xxx.com,且每条过滤项之间需要换行。单击主页面上的<导入>按钮,在弹出的对话框中选择该文件将其导入即可) |
|
将当前您需要进行过滤处理的网站地址保存(.cfg文件),且您可用“记事本”程序打开该文件进行编辑(单击主页面上的<导出>按钮,确认后即可将其导出到本地) |
· 网站过滤仅对HTTP站点生效,且您输入站点时不能带有http://。比如:要禁止访问www.abc.com网站,可以输入“www.abc.com”,但不能输入“http://www.abc.com”。
· 设置完成后,您可以通过查看运行状态页面中的“网站过滤”来验证功能是否已启用。
设备的防火墙功能为您实现了根据报文的内容特征(比如:协议类型、源/目的IP地址等),来对入站方向(从因特网发向局域网的方向)和出站方向(从局域网发向因特网的方向)的数据流执行相应的控制,保证了设备和局域网内主机的安全运行。
页面向导:安全专区→防火墙→出站通信策略
本页面为您提供如下主要功能:
设置报文在出站方向上未匹配任何您预先设定的规则时,系统所采取的策略(主页面上,在“出站通信缺省策略”下拉框中选择指定的方式,单击<应用>按钮生效) |
|
添加匹配规则来控制指定的报文(在主页面上单击<新增>按钮,在弹出的对话框中设置相应的匹配项,单击<增加>按钮完成操作) |
页面中关键项的含义如下表所示。
表7-1 页面关键项描述
页面关键项 |
描述 |
出站通信缺省策略 |
· “允许”:允许内网主动发起的访问报文通过 · “禁止”:禁止内网主动发起的访问报文通过 缺省情况下,出站通信缺省策略为“允许” 当缺省策略是“允许”时,您手动添加的策略即为“禁止”,反之亦然 缺省策略更改后,所有已配置的出站通信策略将会被清空,且仅对新建立的访问连接生效 当您手动添加了出站通信策略后,系统会优先根据该策略对主机进行访问控制,如果未匹配手动添加的策略,则遵循缺省策略 |
协议类型 |
选择需要匹配的报文的协议类型 |
起始IP/结束IP(源IP地址范围) |
输入需要匹配的报文的源IP地址段 起始IP地址不能大于结束IP地址 如果无需匹配报文的源IP地址,您可以将起始IP地址设置为0.0.0.0,结束IP地址设置为255.255.255.255 |
源端口范围 |
输入需要匹配的报文的源端口范围 如果无需匹配报文的源端口号,您可以将其设置为1~65535 |
起始IP/结束IP(目的IP地址范围) |
输入需要匹配的报文的目的IP地址段 起始IP地址不能大于目的IP地址 如果无需匹配报文的目的IP地址,您可以将起始IP地址设置为0.0.0.0,结束IP地址设置为255.255.255.255 |
生效时间 |
设置此新增规则的生效时间 生效时间需要您指定具体的时间段,比如:某天的某个时间段 |
是否启用 |
在下拉列表框中选择“启用”,表示此匹配策略生效;选择“禁用”,表示此匹配策略不生效 |
描述 |
对此新增规则进行简单的描述 |
设置完成后,您可以通过查看运行状态页面中的“出站通信策略”来验证功能是否已启用。
页面向导:安全专区→防火墙→入站通信策略
本页面为您提供如下主要功能:
设置报文在入站方向上未匹配任何您预先设定的规则时,系统所采取的策略(主页面。在“入站通信缺省策略”下拉框中选择指定的方式,单击<应用>按钮生效) |
|
添加匹配规则来控制指定的报文(在主页面上单击<新增>按钮,在弹出的对话框中设置相应的匹配项,单击<增加>按钮完成操作) |
页面中关键项的含义如下表所示。
表7-2 页面关键项描述
页面关键项 |
描述 |
入站通信缺省策略 |
“禁止”:禁止外网主动发起的访问报文通过 设备工作于NAT模式时,入站通信缺省策略不允许配置,且仅为“禁止” 当缺省策略是“禁止”时,您手动添加的策略即为“允许” 当您手动添加了入站通信策略后,设备会优先根据该策略对主机进行访问控制,如果未匹配手动添加的策略,则遵循缺省策略 |
起始IP/结束IP(源IP地址范围) |
输入需要匹配的报文的源IP地址段 起始IP地址不能大于结束IP地址 如果无需匹配报文的源IP地址,您可以将起始IP地址设置为0.0.0.0,结束IP地址设置为255.255.255.255 |
源端口范围 |
输入需要匹配的报文的源端口范围 如果无需匹配报文的源端口号,您可以将其设置为1~65535 |
目的IP地址(目的IP地址范围) |
输入需要匹配的报文的目的IP地址 设备工作于NAT模式下时,仅允许设置单个目的IP地址 |
生效时间 |
设置此新增规则的生效时间 生效时间需要您指定具体的时间段,比如:某天的某个时间段 |
是否启用 |
在下拉列表框中选择“启用”,表示此匹配策略生效;选择“禁用”,表示此匹配策略不生效 |
描述 |
对此新增规则进行简单的描述 |
设置完成后,您可以通过查看运行状态页面中的“入站通信策略”来验证功能是否已启用。
在复杂网络环境中,常常由于主机异常或中毒,导致其不断地发送一些攻击报文,造成设备资源和网络带宽不必要的消耗。防攻击主要的目的就是发现并丢弃非法的报文,以保证整体网络的稳定性。
IDS防范主要用于发现一些常见的攻击类型报文对设备的扫描和一些常见的DOS攻击,并丢弃相应的报文。在一定程度上,可以有效地保护设备的正常运行。
页面向导:安全专区→防攻击→IDS防范
本页面为您提供如下主要功能:
· 开启指定攻击类型报文的IDS防范(选中您需要防范的攻击类型,单击<应用>按钮生效) |
本章节主要包含以下内容:
· 设置NAT
· 设置虚拟服务器
NAT可以实现局域网内的多台主机通过1个或多个公网IP地址接入因特网,即用少量的公网IP地址代表较多的私网IP地址,节省公网的IP地址。
私网IP地址是指内部网络或主机的IP地址,公网IP地址是指在因特网上全球唯一的IP地址。
RFC 1918为私网预留出了三个IP地址块,如下:
· A类:10.0.0.0~10.255.255.255
· B类:172.16.0.0~172.31.255.255
· C类:192.168.0.0~192.168.255.255
上述三个范围内的地址不会在因特网上被分配,因此可以不必向运营商或注册中心申请而在公司或企业内部自由使用。
建议您在H3C技术人员的指导下对网络连接参数进行操作。
页面向导:高级设置→地址转换→NAT设置
本页面为您提供如下主要功能:
· 设置设备支持的网络连接总数,即会话总数(一般情况下,请保留缺省值。比如:局域网内PC遭受病毒攻击从而建立大量无用的连接,您可以修改该参数来减少设备资源的浪费) · 清除指定接口的网络连接(一般情况下,如果设备运行正常,请勿执行此操作。因为,清除网络连接会导致现有的业务重新选择出接口,可能会影响现有业务的正常运行) |
为保证局域网的安全,设备会阻断从因特网主动发起的连接请求。因此,如果您想让因特网用户能够访问局域网内的服务器(比如:Web服务器、Email服务器、FTP服务器等),需要设置虚拟服务器。
虚拟服务器也可称为端口映射,它可以将WAN口IP地址、外部端口号和局域网内服务器IP地址、内部端口号建立映射关系,使所有对该WAN口某服务端口的访问重定向到指定的局域网内服务器的相应端口。
设备会根据以下步骤来进行端口映射:
图8-1 端口映射
页面向导:高级设置→地址转换→虚拟服务器
本页面为您提供如下主要功能:
设置当虚拟服务器列表中如果不存在对应的映射项时,对报文的处理方式(主页面上选择“丢弃”或“重定向到DMZ主机”,单击<应用>按钮生效) |
|
添加虚拟服务器列表项(单击主页面上的<新增>按钮,在弹出的对话框中设置相应的虚拟服务器参数,单击<增加>按钮完成操作) |
页面中关键项的含义如下表所示。
表8-1 页面关键项描述
页面关键项 |
描述 |
预置设置 |
设备提供一些常用服务的预置设置选项,比如:FTP、Web等服务 在下拉列表框中选择某服务,服务名称、外部端口、内部端口项均将自动完成设置 如果设备提供的预设服务没有您需要的,您可以自行设置服务信息 预设服务的端口号是常用端口号,如果需要,您可以自行修改 |
服务名称 |
输入虚拟服务器设置项的名称 |
外部端口 |
输入客户端访问虚拟服务器所使用的端口。取值范围:1~65535,端口范围必须从小到大。如果只有一个端口,则左右两边的文本框请填写同一端口号 各设置项的外部端口不能重复,且内部端口和外部端口的设定个数必须一样,即内部端口和外部端口一一对应。比如:设置某个虚拟服务器,外部端口为100~102,内部端口为10~12。如果设备收到外部101端口的访问请求,则设备会把报文转发到内部服务器的11端口 |
内部端口 |
输入内部服务器上真实开放的服务端口。取值范围:1~65535,端口范围必须从小到大。如果只有一个端口,则左右两边的文本框请填写同一端口号 各设置项的内部端口允许重复,且内部端口和外部端口的设定个数必须一样,即内部端口和外部端口一一对应 |
内部服务器IP |
输入内部服务器的IP地址 |
是否启用 |
在下拉列表框中选择“启用”,表示此虚拟服务器生效;选择“禁用”,表示此虚拟服务器不生效 |
本章节主要包含以下内容:
· 基本管理
· 用户管理
· 远程管理
页面向导:设备管理→基本管理→配置管理
本页面为您提供如下主要功能:
· 将当前设备的设置信息以.cfg文件的形式备份到本地(比如:当您发生误操作或其他情况导致设备的系统设置信息丢失时,您可用此备份文件进行恢复操作,保证设备的正常运行) · 将设备当前的设置恢复到您之前备份过的设置 · 将设备恢复到出厂设置(比如:当您从一个网络环境切换到另一个不同的网络环境的情况,可将设备恢复到出厂设置,然后再进行重新设置,以适应当前的组网) |
· 请不要编辑备份在本地的设置文件。因为,设置文件经过加密,修改后不能再次恢复到设备中。
· 恢复到出厂设置后,当前的设置将会丢失。如果您不希望丢失当前设置信息,请先对设备进行备份操作。
· 恢复出厂设置后,设备将会重新启动。在此期间请勿断开设备的电源。
设备支持通过NTP服务器来自动获取系统时间和手工设置系统时间两种方式。
NTP是由RFC 1305定义的时间同步协议,用来在分布式时间服务器和客户端之间进行时间同步。NTP基于UDP报文进行传输,使用的UDP端口号为123。
使用NTP的目的是对网络内所有具有时钟的设备进行时钟同步,使网络内所有设备的时钟保持一致,从而使设备能够提供基于统一时间的多种应用。对于运行NTP的本地系统,既可以接受来自其他时钟源的同步,又可以作为时钟源同步其他的时钟。
对于网络中的各台设备来说,如果单依靠管理员手工修改系统时间,不但工作量巨大,而且也不能保证时钟的精确性。通过NTP,可以很快将网络中设备的时钟同步,同时也能保证很高的精度。
当设备连接到因特网后,会自动从设备缺省的NTP服务器或您手工设置的NTP服务器中获取时间。当通过NTP成功获取到系统时间后,该时间还会根据您选择的时区做相应的调整。
如果设备无法通过NTP服务器获得到系统时间,则设备会在查看基本信息页面中的“系统时间“处显示“网络未获取时间”,此时您需要手工设置系统时间。
手工设置的系统时间不会与其他设备同步,也不支持时区的切换。当设备重新启动后,手工设置的系统时间会丢失,并且设备将恢复成了通过NTP服务器来自动获取系统时间。此时,如果您将设备连接到因特网后,它会通过缺省的NTP服务器来获取系统时间。
页面向导:设备管理→基本管理→时间设置
本页面为您提供如下主要功能:
· 通过NTP服务器来自动获到系统时间(单击“通过网络获到系统时间”单选按钮,并指定相应的NTP服务器及时区,单击<应用>按钮生效) · 手工设置系统时间(单击“手工设置系统时间”单选按钮,设置具体的时间参数,单击<应用>按钮生效) |
设置完成后,您可以通过查看查看基本信息页面中的“系统时间”来验证设置是否已生效。
通过软件升级,您可以加载最新版本的软件到设备,以便获得更多的功能和更为稳定的性能。
· 请您在软件升级之前备份设备当前的设置信息。如果升级过程中出现问题,您可以用其来恢复到原来的设置。
· 升级过程中请勿断开设备的电源,否则可能会造成设备不能正常工作。
· 设备升级成功后,将会重新启动。
页面向导:设备管理→基本管理→软件升级
单击页面上的“H3C的技术支持网站”链接下载对应产品的最新软件版本,保存到本地主机。然后,单击<浏览>按钮,选择相应的升级软件。最后,单击<升级>按钮,即可开始升级。
软件升级后,您可以通过查看基本信息页面中“软件版本”来验证当前运行的版本是否正确。
页面向导:设备管理→基本管理→重启动
· 重新启动期间,请勿断开设备的电源。
· 重新启动期间,网络通信将暂时中断。
单击页面上的<重启动>按钮,确认后,设备重新启动。
页面向导:设备管理→用户管理→登录管理
本页面为您提供如下主要功能:
· 设置局域网内允许管理设备的用户IP地址范围(在“LAN内管理PC的IP范围”文本框中输入允许管理设备的IP地址范围,单击<应用>按钮生效。此限制功能仅对http/https、telnet访问有效) · 设置Web用户超时时间(在“超时时间”文本框中输入时间参数,单击<应用>按钮生效) · 开启/关闭Web登录页面验证码功能(选择功能状态,单击<应用>按钮生效) · 查看当前已登录的用户信息 · 注销已登录用户(单击某用户所对应的<注销>按钮,即可将该用户强制退出。如需登录,需要重新认证) |
页面向导:设备管理→用户管理→密码管理
本页面为您提供如下主要功能:
修改设备的登录密码 |
设备为您提供了远程登录管理的功能,即因特网上的主机可以通过设备的WAN口来实现Web或Telnet登录。
远程Web管理支持HTTP和HTTPS两种访问方式。HTTPS相对于HTTP,在安全性方面有所增强,它将HTTP和SSL结合,通过SSL对客户端身份和服务器进行验证,对传输的数据进行加密,从而实现了对设备的安全管理。
HTTPS通过SSL协议,从以下几方面提高了安全性:
· 客户端通过数字证书对服务器进行身份验证,保证客户端访问正确的服务器;
· 服务器通过数字证书对客户端进行身份验证,保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备;
· 客户端与设备之间交互的数据需要经过加密,保证了数据传输的安全性和完整性,从而实现了对设备的安全管理。
· 同一时间,设备最多允许五个用户远程通过Web或Telnet进行管理和设置。
· 缺省情况下,设备的远程Web管理和远程Telnet管理均处于关闭状态。
页面向导:设备管理→远程管理→远程管理
本页面为您提供如下主要功能:
· 开启远程Web管理功能(选中“启用远程web管理”复选按钮,选择访问方式,并设置相关的参数,单击<应用>按钮生效) · 开启远程Telnet管理功能(选中“启用远程telnet管理”复选按钮,设置相关的参数,单击<应用>按钮生效) |
页面中关键项的含义如下表所示。
表9-1 页面关键项描述
页面关键项 |
描述 |
访问方式 |
当选择HTTP访问方式时,远程用户需要在浏览器的地址栏中输入http://xxx.xxx.xxx.xxx:port登录设备;当选择HTTPS访问方式时,远程用户需要在浏览器的地址栏输入https://xxx.xxx.xxx.xxx:port登录设备 xxx.xxx.xxx.xxx是指设备WAN口的IP地址,port是指您所指定的“设备的远程管理端口” 如果您使用HTTPS方式访问设备,设备会向您发放一份证书。此证书可能因为不受信任而被浏览器阻止,您只要选择信任此证书,继续操作便可进入设备的Web登录页面 |
远程管理PC的IP范围 |
设置远程用户的IP地址范围,仅在该指定范围内的用户才允许远程管理设备 缺省情况下,允许所有用户对设备进行远程管理 |
设备的远程管理端口号 |
设置对设备进行远程管理的端口号 |
设置完成后,您可以通过查看运行状态页面中的“设备管理”来验证远程管理功能是否已启用。
本章节主要包含以下内容:
· 查看运行信息
· 网络维护
页面向导:系统监控→运行信息→基本信息
本页面为您提供如下主要功能:
· 查看系统基本信息(比如:当前运行的软件版本号、CPU/内存使用率、运行时间等) · 查看无线AP当前的状态信息(比如:无线AP模式、无线AP信道等) · 查看上行口的状态信息(比如:上网方式、无线链路状态、连接方式等) |
页面中关键项的含义如下表所示。
表10-1 页面关键项描述
页面关键项 |
描述 |
生产序列号 |
显示设备的序列号 |
软件版本 |
显示设备当前的软件版本 页面中的软件版本信息仅作参考,请以设备加载软件版本后的最终显示为准 |
Bootrom版本 |
显示设备当前的Bootrom版本 |
硬件版本 |
显示设备当前的硬件版本 |
系统资源 |
显示设备 CPU及内存的使用百分比,您可以通过该参数值来简单判断设备当前是否运行正常 |
运行时间 |
显示设备从上一次通电后到现在的总运行时间 |
系统时间 |
显示设备当前的系统时间和系统时间设置方式 |
无线AP |
显示设备是否启用无线AP功能 |
无线AP模式 |
显示设备当前的无线AP网络模式 |
无线AP信道 |
显示设备当前的无线AP使用的信道 |
上网方式 |
显示设备当前的上网方式 |
无线链路状态 |
显示设备无线链路当前的状态,有关联成功和未关联两种状态 |
基站BSSID |
显示设备当前的基站BSSID,SSID是英文“Service Set Identifier”的缩写,是一个无线网络的标识名 |
基站频道 |
显示设备当前所连接的基站AP的工作频道 |
信号质量 |
显示设备当前所连接的基站的信号强度 |
Portal认证 |
显示设备当前Portal认证的状态 · 启用:设备开启了Portal认证,上行无线链路未关联成功或关联成功但上行无线接口未获取到IP地址 · 禁用:设备没有开启Portal认证 · 认证中…:当上行无线链路关联成功并且上行无线接口获取到IP地址后,Portal认证正在进行中 · 认证成功:设备开启了Portal认证,上行无线链路关联成功并且上行无线接口获取到IP地址 · 认证失败:连续3次认证失败后,状态显示为“认证失败” |
连接方式 |
显示设备WAN口连接到因特网的方式 |
显示设备WAN口当前的链路状态 · 已连接:WAN口工作正常 · 物理连接已断开:WAN口物理链路出现故障 · 连接中:在PPPoE、DHCP连接方式下,设备正在与服务器建立连接 · 服务器没响应:在PPPoE、DHCP连接方式下,对应的服务器无响应或线路异常 · IP地址已释放:在DHCP连接方式下,单击页面上的<释放>按钮主动断开连接,显示此状态。此状态下,接口不再尝试与服务器进行连接 · 连接已断开:在PPPoE连接方式下,单击页面上的<释放>按钮主动断开连接,显示此状态。此状态下,接口不再尝试与服务器进行连接 |
|
IP地址 |
显示WAN口当前的IP地址 |
子网掩码 |
显示WAN口当前的子网掩码 |
网关地址 |
显示WAN口当前的网关地址 |
主DNS服务器 |
显示WAN口的主DNS服务器地址 |
辅DNS服务器 |
显示WAN口的辅DNS服务器地址 |
MAC地址 |
显示WAN口当前生效的MAC地址 |
DHCP剩余时间 |
显示DHCP租约的剩余时间 仅当连接方式为DHCP方式时才显示 |
连接 |
单击此按钮建立WAN口的链路连接 仅当连接方式为PPPoE、DHCP时才显示此按钮 |
释放 |
单击此按钮释放当前设备WAN口动态获取到的IP地址 仅当连接方式为PPPoE、DHCP时才显示此按钮 |
页面向导:系统监控→运行信息→运行状态
本页面为您提供如下主要功能:
查看当前设备主要功能项的设置状态 |
页面向导:系统监控→运行信息→技术支持
本页面为您提供了设备相关的技术支持类信息,比如:H3C公司网站链接、客服热线/邮箱等。
设备能够记录当前运行过程中的设置状态变化、网络攻击等信息,可以帮助您快速定位设备故障、了解网络情况及对网络攻击进行定位。
设备还支持把日志信息实时发送给日志服务器的功能,以免设备重新启动后,所有记录的日志丢失。
当设备中的日志信息存满后,新的日志将会覆盖最早被记录的日志信息。因此,为了避免日志信息遗漏,建议您使用日志服务器来记录日志信息。此时,需要您预先在局域网内或外网建立相应的日志服务器,且与设备保持连通。
页面向导:系统监控→系统日志→日志信息
本页面为您提供如下主要功能:
· 显示和查询设备上电启动以来所产生的日志信息 · 将设备所记录的日志信息下载到本地(单击<下载>按钮,可将日志信息导出到本地保存) · 清除设备所记录的日志信息(单击<清除>按钮即可完成操作) |
页面向导:系统监控→系统日志→日志管理
本页面为您提供如下主要功能:
· 控制日志信息输出的等级(在“日志记录等级”下拉框中选择某个等级,单击<应用>按钮生效。此时,仅不大于该等级的日志信息才被设备记录或允许发送到日志服务器。日志等级的具体描述请参见“表10-2”) · 控制日志信息输出的来源(选择您需要关注的日志信息来源,单击<应用>按钮生效。日志信息来源描述请参见“表10-3”) · 将日志信息同步输出到日志服务器(选中“发送到日志服务器”复选框,输入服务器地址,单击<应用>按钮生效) · 开启/关闭设备日志信息记录功能(选中“本地不记录日志”复选框,单击<应用>按钮,本地记录日志信息功能关闭。反之,开启) |
表10-2 日志信息等级描述
严重等级 |
数值 |
描述 |
emergency |
0 |
系统不可用 |
alert |
1 |
需要立即做出反应的信息 |
critical |
2 |
严重信息 |
error |
3 |
错误信息 |
warning |
4 |
告警信息 |
notice |
5 |
正常出现但是重要的信息 |
informational |
6 |
需要记录的通知信息 |
debug |
7 |
调试过程产生的信息 |
日志来源 |
描述 |
系统 |
所有设备功能运行的日志信息。比如:您使用PPPoE方式连接因特网时,设备会输出相应的日志信息 |
配置 |
当更改了设备的配置操作时输出的日志信息。比如:功能的开启或关闭 |
安全 |
设备进行防攻击、报文过滤等操作时输出的日志信息 |
设备为您提供两种网络诊断工具:
· ping测试:检测设备与目标主机或另一台设备是否连通。
· 路由跟踪测试:检查从设备到达目标主机所经过的路由情况。
页面向导:系统监控→网络维护→网络诊断
本页面为您提供如下主要功能:
选择ping测试进行网络诊断(输入“目的地址”,选择测试的端口,单击<开始>按钮执行诊断) |
|
选择路由跟踪测试进行网络诊断(输入“目的地址”,选择测试的端口,单击<开始>按钮执行诊断) |
· ping测试结果
当设备可以接收到从目标主机侧返回的应答时,表示设备与目标主机连通(如上图所示);否则表示两者之间不连通,可能网络存在问题。
· 路由跟踪测试结果
如上图所示,只存在一跳,表示设备和目标主机之间属于直连路由。
页面向导:系统监控→网络维护→系统自检
设备为您提供简便的系统自检功能,您可以随时单击页面中的<开始>按钮,在弹出的页面中将会分类显示检测结果及一些注意事项。通过该检测信息,您可以判断设备当前的设置是否合理、运行是否正常等。
页面向导:系统监控→网络维护→一键导出
当设备运行出现异常时,您可以单击页面中的<导出>按钮,确认后,设备可以自动把当前的运行状态、故障定位所需的各种信息压缩成一个定位信息文件下载到本地。H3C技术支持人员可以根据该文件快速、准确地定位问题,从而可以更好地为您解决设备的使用问题。
某用户申请了移动WLAN宽带,使用WB524设备作为家庭网关使用,家中的PC使用无线方式和有线方式接入设备,设备使用无线WLAN接入无线基站。
· AP提供SSID为H3C的WPA-PSK加密方式的无线接入服务,以确保无线网络安全。
· AP采用b+g+n工作模式(最佳兼容模式),以支持工作模式为b、g或n的无线客户端。
· 用户通过从DHCP服务器获取IP地址,采用Portal认证的方式接入无线网络。
图11-1 无线上行典型配置组网图
此典型配置举例涉及的设置均在WB524缺省配置的基础上进行。如果您之前已经对WB524做过相应的设置,为了保证效果,请确保当前设置和以下设置不冲突。
在管理计算机的Web浏览器地址栏中输入http://192.168.1.1,回车。输入缺省的用户名、密码(缺省均为admin,区分大小写)以及验证码,单击<登录>按钮后便可进入Web设置页面 |
|
选择“接口设置→WAN设置→连接因特网”,确认上网方式选择“无线接入”,拨号方式选择“动态地址(从DHCP服务器自动获取)”。Portal认证为可选操作,如果开启了“自动进行Portal认证”,请输入运营商分配给用户的Portal用户名和密码 |
|
单击<扫描>按钮,搜索无线基站,选择一个网络名称为CMCC的无线网络,并单击<绑定该无线基站>按钮,单击<应用>按钮生效 |
选择“无线设置→无线AP设置→基本配置”,启用无线网络,并确认无线网络基本参数为默认配置,如右图所示,单击<应用>按钮生效 |
|
选择“无线设置→无线AP设置→基本配置”,单击“SSID-1”选项,并双击进入[SSID配置]页面 |
|
在SSID配置页面,选择加密方式为“WPA-PSK加密”,设置共享密钥为“12345678”,加密协议为“AES”,单击<修改>按钮生效 |
在安装有802.11无线网卡的Windows XP系统中选择“开始→控制面板→网络连接”。右键单击“无线网络连接”图标,在出现的右键菜单中选择“查看可用的无线网络连接”菜单项,进入[无线网络连接]页面 |
|
在[无线网络连接]页面中可搜索到SSID为H3C的无线网络,双击H3C网络,在弹出的对话框中输入WPA密钥12345678,最后单击<连接>按钮,即可开始无线网络连接 |
|
连接成功后的状态如右图所示 |
|
完成以上所有设置后,您可以通过选择“系统监控→运行信息→基本信息”和“系统监控→运行信息→运行状态”来查看您所设置的各功能项是否已正常开启。确认无误后,您就可以使用设备放心地上网了 |
某咖啡厅使用WB524设备作为无线桥接使用,PC1和PC2使用无线方式接入指定的SSID,WB524使用无线WLAN接入无线基站。
· AP采用b+g+n工作模式(最佳兼容模式),以支持工作模式为b、g或n的无线客户端。
· 客户端通过桥接方式接入无线网络。
· 客户端之间隔离
图11-2 无线上行典型配置组网图
此典型配置举例涉及的设置均在WB524缺省配置的基础上进行。如果您之前已经对WB524做过相应的设置,为了保证效果,请确保当前设置和以下设置不冲突。
在管理计算机的Web浏览器地址栏中输入http://192.168.1.1,回车。输入缺省的用户名、密码(缺省均为admin,区分大小写)以及验证码,单击<登录>按钮后便可进入Web设置页面 |
|
选择“接口设置→WAN设置→连接因特网”,确认上网方式选择“无线接入”,拨号方式选择“桥接”,配置无线网络参数,单击<应用>按钮生效 |
|
单击<扫描>按钮,搜索无线基站,选择一个信号质量最好的无线基站:CMCC,勾选“强制绑定所选基站的BSSID”,并单击<绑定该无线基站>按钮 |
|
单击<应用>按钮生效,从右图可以看出,由于勾选了“强制绑定所选基站的BSSID”,BSSID的取值就是所绑定的CMCC无线网络的BSSID |
选择“无线设置→无线AP设置→基本配置”,启用无线网络,并确认无线网络基本参数为默认配置,如右图所示,单击<应用>按钮生效 |
|
选择“无线设置→无线AP设置→基本配置”,单击“SSID-1”选项,并双击进入[SSID配置]页面 |
|
在SSID配置页面,修改SSID名称为“CMCC-H3C” ,开启“客户端隔离”功能,选择加密方式为“不加密” |
在安装有802.11无线网卡的Windows XP系统中选择“开始→控制面板→网络连接”。右键单击“无线网络连接”图标,在出现的右键菜单中选择“查看可用的无线网络连接”菜单项,进入[无线网络连接]页面 |
|
在[无线网络连接]页面中可搜索到SSID为CMCC-H3C的无线网络,即可开始无线网络连接,连接成功后的状态如右图所示。此时,无线客户端已连接上AP |
|
完成以上所有设置后,您可以通过选择“系统监控→运行信息→基本信息”和“系统监控→运行信息→运行状态”来查看您所设置的各功能项是否已正常开启。确认无误后,您就可以使用设备放心地上网了 |
桥接模式下,设备DHCP服务器会自动关闭,安全专区和高级设置涉及的功能不再生效。
您可以在局域网内通过Telnet本地登录设备进行命令行设置。
通过Telnet本地登录:请先确保管理计算机与设备之间网络连通。然后在管理计算机上单击屏幕左下角<开始>按钮进入“开始”菜单。选择[运行],在弹出的“运行” 对话框中输入“telnet xxx.xxx.xxx.xxx” (xxx.xxx.xxx.xxx为设备LAN口的IP地址)。回车后按界面提示输入用户名和密码(缺省情况下,两者均为admin)即可登录设备进行设置,具体命令行介绍请参
见“12.1 命令行在线帮助”。
设备为您提供以下简单的命令行维护:
表12-1 命令行索引
命令行 |
请参见 |
ip address |
|
restore default |
|
reboot |
|
display sysinfo |
|
display device manuinfo |
|
display version |
|
admin acl info |
|
admin acl default |
|
ping |
(1) 在任一视图下,键入<?>获取该视图下所有的命令及其简单描述。
reboot Reboot device
restore Restore configuration
ip Display the IP configuration
display Display current information
ping Ping function
admin Admin the LAN interface
(2) 键入一命令,后接以空格分隔的“?”,如果该命令行位置有关键字,则列出全部关键字及其简单描述。
<H3C>ip ?
address Display IP addresses
(3) 键入一字符串,其后紧接<?>,列出以该字符串开头的所有命令。
<H3C>di?
display
(4) 键入命令的某个关键字的前几个字母,按下<Tab>键,如果以输入字母开头的关键字唯一,则可以显示出完整的关键字。
<H3C>di ¬按下<Tab>键
<H3C>display
输入ip address命令并回车,即可显示设备LAN口的IP地址信息。
输入restore default命令并回车,确认后,设备将恢复到出厂设置并重新启动。
输入reboot命令并回车,确认后,设备将重新启动。
输入display sysinfo命令并回车,显示设备的CPU和内存使用情况。
输入display device manuinfo命令并回车,显示设备基本的硬件信息,比如:设备型号、设备序列号、设备MAC地址等。
输入display version命令并回车。
输入admin acl info命令并回车。
输入admin acl default命令并回车。
输入ping [ -a source-ip | -c count | -i interface-name | -s packet-size ] * host
表12-2 Ping命令参数项描述
参数 |
描述 |
-a source-ip |
指定ICMP回显请求(ECHO-REQUEST)报文的源IP地址。该地址必须是设备接口的IP地址 |
-c count |
指定ICMP回显请求报文的发送次数,取值范围为1~4294967295,缺省值为4 |
-i interface-name |
指定发送ICMP回显请求报文的设备接口名称。不指定该参数时,将根据目的IP查找路由表或者转发表来确定发送ICMP回显请求报文的接口 |
-s packet-size |
指定发送的ICMP回显请求报文的长度(不包括IP和ICMP报文头),取值范围为20~8100,单位为字节,缺省值为56字节 |
host |
目的端的IP地址或主机名,主机名为1~31个字符的字符串 |
本手册仅介绍简单的设备故障处理方法,如仍不能排除,可通过表13-2获取售后服务。
表13-1 故障排除
常见问题 |
故障排除 |
Power灯不亮 |
(1) 请检查电源线是否连接正确 (2) 请检查电源线插头是否插紧,无松动现象 |
端口指示灯不亮 |
(1) 请检查网线与设备的以太网端口是否卡紧,无松动现象 (2) 将网线的两端分别插到设备的两个以太网端口上,如果该两个端口对应的指示灯都亮,表示网线正常;否则该网线可能存在问题,请更换网线重新尝试 |
忘记登录密码 |
如果没有更改过缺省密码,则用户名和密码都是“admin”。否则,按住WB524后面板上的复位(Reset)按钮5秒钟以上,设备开始重启,重启后即可恢复WB524的缺省设置。连接到Web页面后就可以输入以上缺省的用户名和密码。 使用复位功能后,WB524将恢复成出厂配置 |
不能通过Web设置页面本地登录设备 |
(1) 使用MS-DOS方式的Ping命令检查网络连接 · Ping 127.0.0.1用来检查管理计算机的TCP/IP协议是否安装 · Ping设备LAN口的IP地址来检查管理计算机与设备是否连通 (2) 通过ip address命令来查看当前设备LAN口的地址,核对您输入的IP地址是否正确 (3) 如果管理计算机使用静态IP地址,请确认其IP地址是否与设备LAN口的IP地址处于同一网段 (4) 设备允许管理的用户数已经达到最大值(最多支持5个用户同时登录),请稍后再试 (5) 请检查Web浏览器是否设置代理服务器或拨号连接,若有,请取消设置 |
局域网内用户出现掉线,无法访问因特网 |
(1) 检查与设备级连的交换机的网线和设备WAN口的网线是否存在松动现象 (2) 检查设备是否已经对局域网内所有主机进行了ARP绑定 (3) 登录设备的Web设置页面,选择“安全专区→防火墙→出站通信策略”,查看是否配置了某IP地址段在某段时间内无法访问因特网 |
故障类型 |
描述 |
如何获取售后服务 |
硬件类故障 |
比如:出现设备不能正常通电、未插网线但以太网端口指示灯却常亮等问题 |
请联系当地授权服务中心予以确认后更换(各地区的H3C授权服务中心的联系方式可在H3C官方网站找到) |
软件类问题 |
比如:出现设备功能不可用、异常等问题或配置咨询 |
请联系H3C技术支持服务热线:400-810-0504获取帮助 |
表14-1列出了设备的一些重要的缺省设置信息,供您参考。
选项 |
缺省设置 |
接口设置 |
LAN口IP地址:192.168.1.1 子网掩码:255.255.255.0 使用无线方式接入因特网 DHCP自动获取地址方式 PORTAL认证缺省关闭 无线AP功能缺省开启 无线网络工作模式为b+g+n 无线网络名称为“H3C” |
安全专区 |
ARP防护采用设备检测到ARP攻击时,LAN口或WAN口会主动发送免费ARP 网站过滤关闭 防火墙出站通信缺省策略:允许 防火墙入站通信缺省策略:禁止 IDS防范开启各攻击类型防护 |
高级设置 |
NAT开启 DDNS关闭 |
设备管理 |
系统时间通过缺省的NTP服务器获取 远程Web管理:关闭 远程Telnet管理:关闭 用户:admin 密码:admin 超时时间5分钟 |
术语缩写 |
英文全称 |
中文名称 |
含义 |
100Base-TX |
100Base-TX |
100Base-TX |
100Mbit/s基带以太网规范,使用两对5类双绞线连接,可提供最大100Mbit/s的传输速率 |
10Base-T |
10Base-T |
10Base-T |
10Mbit/s基带以太网规范,使用两对双绞线(3/4/5类双绞线)连接,其中一对用于发送数据,另一对用于接收数据,提供最大10Mbit/s传输速率 |
DDNS |
Dynamic Domain Name Service |
动态域名服务 |
动态域名服务(Dynamic Domain Name Service),能实现固定域名到动态IP地址之间的解析 |
DHCP |
Dynamic Host Configuration Protocol |
动态主机配置协议 |
动态主机配置协议(Dynamic Host Configuration Protocol)为网络中的主机动态分配IP地址、子网掩码、网关等信息 |
DHCP Server |
Dynamic Host Configuration Protocol Server |
DHCP 服务器 |
动态主机配置协议服务器(Dynamic Host Configuration Protocol Server)是一台运行了DHCP动态主机配置协议的设备,主要用于给DHCP客户端分配IP地址 |
DNS |
Domain Name Service |
域名服务 |
域名服务(Domain Name Service)将域名解析成IP地址。DNS信息按等级分布在整个因特网上的DNS服务器间,当我们访问一个网址时,DNS服务器查看发出请求的域名并搜寻它所对应的IP地址。如果该DNS服务器无法找到这个IP地址,就将请求传送给上级DNS服务器,继续搜寻IP地址。例如,www.yahoo.com 这个域名所对应的IP地址为 216.115.108.243 |
DoS |
Denial of Service |
拒绝服务 |
拒绝服务(Denial of Service)是一种利用合法的方式请求占用过多的服务资源,从而使其他用户无法得到服务响应的网络攻击行为 |
DSL |
Digital Subscriber Line |
数字用户线路 |
数字用户线(Digital Subscriber Line)这种技术使得数字数据和仿真语音信号都可以在现有的电话线路上进行传输。目前比较受家庭用户青睐的是ADSL接入方式 |
Firewall |
Firewall |
防火墙 |
防火墙(Firewall)技术保护您的计算机或局域网免受来自外网的恶意攻击或访问 |
FTP |
File Transfer Protocol |
文件传输协议 |
文件传输协议(File Transfer Protocol)是一种描述网络上的计算机之间如何传输文件的协议 |
HTTP |
Hypertext Transfer Protocol |
超文本传送协议 |
超文本传送协议(Hypertext Transfer Protocol)是一种主要用于传输网页的标准协议 |
Hub |
Hub |
集线器 |
共享式网络连接设备,工作在物理层,主要用于扩展局域网规模 |
ISP |
Internet Service Provider |
因特网服务提供商 |
因特网服务提供商(Internet Service Provider),提供因特网接入服务的提供商 |
LAN |
Local Area Network |
局域网 |
局域网(Local Area Network)一般指内部网,例如家庭网络,中小型企业的内部网络等 |
MAC address |
Media Access Control address |
介质访问控制地址 |
介质访问控制地址(Media Access Control address),MAC地址是由厂商指定给设备的永久物理地址,它由6对十六进制数字所构成。例如:00-0F-E2-80-65-25。每一个网络设备都拥有一个全球唯一的MAC地址 |
NAT |
Network Address Translation |
网络地址转换 |
网络地址转换(Network Address Translation),可以把局域网内的多台计算机通过NAT转换后共享一个或多个公网IP地址,接入Internet,这种方式同时也可以屏蔽局域网用户,起到网络安全的作用。通常共享上网的宽带设备都使用这个技术 |
Ping |
Packet Internet Grope |
因特网包探测器 |
Ping 命令是用来测试本机与网络上的其它计算机能否进行通信的诊断工具。Ping命令将报文发送给指定的计算机,如果该计算机收到报文则会返回响应报文 |
PPP |
Point-to-Point Protocol |
点对点协议 |
点对点协议(Point-to-Point Protocol)是一种链路层通信协议 |
PPPoE |
PPP over Ethernet |
点对点以太网承载协议 |
点对点以太网承载协议(PPP over Ethernet)在以太网上承载PPP协议封装的报文,它是目前使用较多的业务形式 |
RJ-45 |
RJ-45 |
RJ-45 |
用于连接以太网交换机、集线器、设备等设备的标准插头。直连网线和交叉网线通常使用这种接头 |
Route |
Route |
路由 |
基于数据的目的地址和当前的网络条件,通过有效的路由选择能够到达目的网络或地址的出接口或网关,进行数据转发。具有路由功能的设备称作设备(router) |
TCP |
Transfer Control Protocol |
传输控制协议 |
传输控制协议(Transfer Control Protocol)是一种面向连接的、可靠的传输层协议。 |
TCP/IP |
Transmission Control Protocol/Internet Protocol |
传输控制协议/网际协议 |
传输控制协议/网际协议(Transmission Control Protocol/Internet Protocol),网络通信的基本通信协议簇。TCP/IP定义了一组协议,不仅仅是TCP和IP |
Telnet |
Telnet |
Telnet |
一种用来访问远程主机的基于字符的交互程序。Telnet允许用户远程登录并对设备进行管理 |
UDP |
User Datagram Protocol |
用户数据报协议 |
用户数据报协议(User Datagram Protocol)是一种面向非连接的传输层协议 |
WAN |
Wide Area Network |
广域网 |
广域网(Wide Area Network)是覆盖地理范围相对较广的数据通信网络,如因特网 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!