H3C MSG320系列 MSG330系列 MSG880系列多业务网关 Web配置指导(E1119P02)-6W102

01-正文

本章节下载  (1.99 MB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/Xiao_Bei/H3C_MSG/Configure/User_Manual/H3C_MSG330_WCG(E1119P02)-6W102/202102/1384678_30005_0.htm

01-正文


1 登录设备

1.1  Web网管使用限制

·              Web网管支持的操作系统包括:Windows XP、Windows 2000、Windows Server 2003企业版、Windows Server 2003标准版、Windows Vista、Windows 7、Windows 8、Windows 10、Linux和MAC OS。

·              Web网管支持的浏览器包括:Microsoft Internet Explorer 11.0.9600.19及以上版本、Mozilla Firefox 45.0.2及以上版本、Google Chrome 68.0.3423.2及以上版本、Safari 5.1及以上版本,使用其它浏览器访问可能会不支持或显示效果不佳。

·              由于Windows操作系统自带的防火墙会对TCP连接数进行限制,使用Web网管时偶尔会出现无法打开Web网管页面的情况。为了避免这种情况,建议关闭Windows自带的防火墙。

·              设备的软件版本变化后,在通过Web网管登录设备时,建议先清除浏览器的缓存数据,否则Web网管的内容可能无法正确显示。

·              建议同时只登录一个用户进行配置和管理。

1.2  登录Web网管

1.2.1  登录Web网管的准备

1. 通过有线方式接入局域网

(1)      连接设备和PC

使用以太网线将PC和设备上的LAN接口(缺省情况下,所有端口均属于VLAN 4092)相连。

(2)      为PC配置IP地址,保证能与设备互通,以下两种方式任选其一:

¡  配置PC的IP地址为“自动获得IP地址”和“自动获得DNS服务器地址”,由设备为PC自动分配IP地址等网络参数。

图1-1 配置PC自动获取IP地址

 

¡  手动修改PC的IP地址为10.40.92.0/24网段内的任意地址(除10.40.92.1),例如10.40.92.2。(注意:后期修改了缺省登录地址后,请使用修改后的网段内的IP地址)

2. 使用无线方式接入局域网

本特性的支持情况与设备型号有关,请以设备的实际情况为准。

产品系列

产品型号

说明

MSG320系列

MSG320-W

支持

MSG330系列

MSG330

MSG330-W

·          MSG330:不支持

·          MSG330-W:支持

MSG880系列

MSG880

不支持

 

(1)      为PC配置IP地址,保证能与设备互通,详细配置方式请参见1. 通过有线方式接入局域网

(2)      缺省情况下,使用无线终端在设备的无线信号覆盖范围内,搜索SSID为“H3C_xxxxxx”(xxxxxx为设备MAC地址的后六位)的无线网络进行连接。

1.2.2  初始化设置

设备初始化设置的步骤如下:

(1)      运行浏览器,在地址栏中输入http://wlan.h3c.com或者http://10.40.92.1(缺省管理地址),回车后跳转到初始化设置页面,请根据页面提示的密码设置要求设置登录密码,点击<下一步>按钮,进入WAN口配置页面。

图1-2 初始化设置页面—密码设置

 

(2)      在WAN口配置页面,根据实际使用的运营商网络选择上网方式,上网方式包括:PPPoE、DHCP和静态地址。完成上网方式选择后,点击<下一步>按钮,进入云平台配置页面。若当前不需要配置WAN口和云平台,可以点击页面右下角的<退出>按钮,在弹出的登录页面输入设置的登录密码完成登录。

¡  当选择上网方式为“PPPoE”时,需要输入运营商分配的用户名和密码。

¡  当选择上网方式为“DHCP”时,设备会自动从上级设备请求获取IP地址等网络参数。

¡  当选择上网方式为“静态地址”时,需要填写静态IPv4地址、子网掩码、网关和DNS。

图1-3 初始化设置页面—WAN口配置

 

(3)      在云平台配置页面,若要对设备进行远程管理和配置,请点击<去云平台绑定设备>按钮,并登录云平台进行相关配置。若不需要,请直接点击<完成>或者<退出>按钮,在弹出的登录页面输入设置的登录密码完成登录,如图1-5所示。

图1-4 初始化设置页面—云平台配置

 

1.2.3  登录Web网管

非首次登录时,运行浏览器,在地址栏中输入http://wlan.h3c.com或者http://ip-address(其中,ip-address为设备的管理地址,如果修改了设备的缺省管理地址,请使用修改后的IP地址登录),回车后跳转到登录页面,输入登录密码后完成登录。

图1-5 登录Web管理页面

 

1.3  退出Web网管

在Web网管左侧导航栏的“主页”页面,点击右上角注销登录按钮,然后在弹出的提示框点击<确定>按钮即可退出Web网管。

图1-6 退出Web网管

 


2 配置Web网管

2.1  主页

在左侧导航栏的“主页”页面,可以查看设备连接云平台的状态、WAN状态、LAN状态以及商业Wi-Fi状态信息,也可以点击组网图中的图标进入相应的配置页面。

说明

·          在主页的左上角可以查看设备是否连接到云平台,如果已连接到云平台,会显示登录云平台的用户名以及场所名称。

·          MSG330和MSG880不支持无线相关显示信息。

 

图2-1 MSG330-W和MSG320-W主页

 

图2-2 MSG330和MSG880主页

点击“H3C云平台”图标,弹出云平台的登录页面,用户可以在云平台上添加设备并对设备进行配置

点击“设备”图标,跳转到“内网配置”页面

点击“Wi-Fi信号”图标,跳转到“Wi-Fi配置”页面

点击“无线终端”图标,跳转到“终端信息”页面

 

2.2  上网配置

点击左侧导航栏的“上网配置”,用户可以在“上网配置”页面配置WAN1口、切换LAN4/WAN2、配置NAT。

设备具有单WAN口和双WAN口功能,缺省情况下,设备工作在单WAN口模式。

如果需要双WAN口功能,在“LAN4/WAN2”页面,勾选WAN2并配置完成后,点击<确定>按钮,即可将设备的当前接口LAN4/WAN2切换为WAN模式,此时设备工作在双WAN口模式。

当设备工作在双WAN口模式时,工作模式包括主备模式、负载均衡模式:

·              主备模式:一个WAN口选择主连接,另一个WAN口选择备连接。当主连接WAN口出现故障时,流量会由备连接WAN口进行转发;当主连接WAN口故障恢复后,流量会切回到主连接WAN口进行转发。

·              负载均衡模式:两个WAN口都选择主连接。通过双WAN口对出口流量进行负载分担。

2.2.1  WAN1配置

说明

·          在“LAN4/WAN2”切换页面,勾选WAN2并配置完成后,点击<确定>按钮,WAN1接口才能配置连接方式。

·          设备连接到云平台后,无法通过本地Web页面进行连接方式配置。

·          WAN1接口的ping列表禁止ping WAN1以及WAN2接口的IP地址。

 

请根据实际使用的运营商网络选择上网方式,上网方式包括:PPPoE、DHCP和静态地址。

·              当选择上网方式为“PPPoE”时,需要输入运营商分配的用户名和密码。DNS地址可以选择“自动配置”或“手动配置”,当选择“手动配置”时,需要输入DNS地址,最多支持添加6条DNS地址;

图2-3 PPPoE方式

 

·              当选择上网方式为“DHCP”时,设备会自动从上级设备请求获取IP地址等网络参数,DNS地址可以选择“自动配置”或“手动配置”,当选择“手动配置”时,需要输入DNS地址,最多支持添加6条DNS地址;

图2-4 DHCP方式

 

·              当选择上网方式为“静态地址”时,需要填写静态IPv4地址、子网掩码、网关和DNS地址,最多支持添加6条DNS地址;

图2-5 静态地址方式

 

配置完成后点击<确定>按钮,完成操作。

2.2.2  LAN4/WAN2切换

说明

·          设备连接到云平台后,无法通过本地Web页面进行LAN4/WAN2切换和连接方式配置。

·          设备通过拨码开关开启双WAN口功能后,无法通过本地Web页面和云平台进行LAN4/WAN2切换。

·          勾选WAN2并配置完成后,点击<确定>按钮,WAN1接口才能配置连接方式。

·          WAN2接口的ping列表禁止ping WAN1以及WAN2接口的IP地址。

 

图2-6 LAN4/WAN2切换(未连接云平台且未开启拨码开关)

 

图2-7 LAN4/WAN2切换(已连接云平台但未开启拨码开关)

 

图2-8 LAN4/WAN2切换(未连接云平台但开启拨码开关)

 

图2-9 LAN4/WAN2切换(已连接云平台且开启拨码开关)

 

2.2.3  NAT配置

说明

设备连接到云平台后,无法通过本地Web页面进行NAT配置。

 

1. NAT功能简介

NAT隐藏了内部网络的结构,具有“屏蔽”内部主机的作用,但是在实际应用中,可能需要给外部网络提供一个访问内网主机的机会,如给外部网络提供一台Web服务器,或是一台FTP服务器。

NAT设备提供的内部服务器功能,就是通过静态配置“公网IP地址+端口号”与“私网IP地址+端口号”间的映射关系,实现公网IP地址到私网IP地址的“反向”转换。

图2-10所示,可以将20.1.1.1:8080配置为内网某Web服务器的外部网络地址和端口号供外部网络访问。

图2-10 NAT基本原理示意图

 

2. NAT配置

(1)      在“NAT配置”页面,点击<添加>按钮,可以配置内网服务器与外网接口的映射关系;

(2)      点击<确定>按钮,完成操作。

图2-11 添加NAT配置

 

表2-1 NAT配置说明

配置项

说明

WAN口名称

设置内网服务器映射的WAN接口

协议类型

设置传输层协议类型

Internet访问端口号

设置提供给外部访问的服务端口号

内网服务器地址

设置内网服务器在内部局域网的IP地址

内网服务器端口

设置内网服务器提供的服务端口号

 

2.3  Wi-Fi配置

说明

设备连接到云平台后,无法通过本地Web页面对Wi-Fi配置进行修改。

 

本特性的支持情况与设备型号有关,请以设备的实际情况为准。

产品系列

产品型号

说明

MSG320系列

MSG320-W

支持

MSG330系列

MSG330

MSG330-W

·          MSG330:不支持

·          MSG330-W:支持

MSG880系列

MSG880

不支持

 

设备未连接云平台时,点击左侧导航栏的“Wi-Fi配置”,首次配置时,用户可以选择“本地配置”或者“云平台配置”,如图2-12所示。

图2-12 Wi-Fi配置(未连接云平台)

 

设备已连接云平台时,在Wi-Fi配置页面中,只能选择“云平台配置”,如图2-13所示。

图2-13 Wi-Fi配置(已连接云平台)

 

2.3.1  本地配置

在如图2-12所示页面,点击本地配置的图标后进入Wi-Fi配置页面,本地配置支持“管理Wi-Fi”和“商业Wi-Fi”两种类型的无线服务。

1. 管理Wi-Fi

可以通过管理Wi-Fi访问并管理设备,配置步骤如下:

(1)      点击图2-14中的<开/关>按钮,可以开启或关闭管理Wi-Fi。

图2-14 开启或关闭管理Wi-Fi

 

(2)      点击图2-14中的<修改>按钮,进入管理Wi-Fi配置页面,可以配置无线服务的SSID名称、工作状态、隐藏SSID功能以及加密方式,完成配置后点击<确定>按钮,完成操作。

图2-15 配置管理Wi-Fi

 

2. 商业Wi-Fi

商业Wi-Fi为企业来访宾客提供无线服务,企业来访宾客不能通过商业Wi-Fi访问Web网管。配置步骤如下:

(1)      点击图2-16中的<开/关>按钮,可以开启或关闭指定的商业Wi-Fi。

图2-16 开启或关闭商业Wi-Fi

 

(2)      点击图2-16中某个商业Wi-Fi对应的<修改>按钮,进入商业Wi-Fi配置页面,可以配置无线服务的SSID名称、工作状态、加密方式以及VLAN,完成配置后点击<确定>按钮,完成操作。

图2-17 配置商业Wi-Fi

 

2.3.2  云平台配置

图2-12所示页面,点击“H3C云平台”图标,浏览器会弹出云平台的登录页面,用户登录云平台配置场所并添加设备后,可以对设备进行远程配置和管理。云平台的详细配置方法请参见云平台的相关资料。

注意

设备连接到云平台后,在云平台上完成的配置会下发到设备并覆盖本地配置,请谨慎操作。

 

2.4  内网配置

注意

·          修改“本机地址”或者VLAN 4092接口IP地址后,设备会进行重启,请谨慎操作。

·          设备连接到云平台后,无法通过本地Web页面进行内网配置。

 

点击左侧导航栏的“内网配置”,用户可以在内网配置页面进行本机地址、VLAN和接口配置。

2.4.1  本机地址

说明

·          本机地址即设备的管理地址,与VLAN 4092接口IP地址相同。

·          修改本机地址后,请使用修改后的IP地址重新登录设备的本地Web管理界面。

 

在“本机地址”页面,修改本机的IPv4地址后,点击<确定>按钮完成操作。

图2-18 本机地址

 

2.4.2  VLAN配置

说明

·          设备缺省配置的VLAN 1和VLAN 4092不可删除。

·          VLAN 4092为设备管理VLAN,VLAN 4092接口IP地址与本机地址相同,VLAN 1为缺省用户VLAN。

 

在“VLAN配置”页面,可以添加、修改、删除或者批量删除VLAN。

图2-19 VLAN配置

 

图2-19所示页面,点击<添加>按钮,可创建VLAN、配置VLAN接口IP地址等信息,点击<确定>按钮完成操作。

图2-20 创建VLAN

 

图2-19所示页面,点击VLAN所在行的<修改>按钮,可修改VLAN接口IP地址、子网掩码、DHCP开关等信息,点击<确定>按钮完成操作。

图2-21 修改VLAN

 

图2-22所示页面,点击VLAN所在行的<删除>按钮,删除当前VLAN;勾选需要批量删除的VLAN,点击<批量删除>按钮,可以将勾选的VLAN批量删除。

图2-22 删除VLAN

 

2.4.3  接口配置

说明

对于不支持无线登录方式的MSG330和MSG880设备,如果没有LAN口绑定在VLAN 4092,且设备未连接云平台,则需要将设备恢复出厂配置才能登录本地Web管理界面;如果没有LAN口绑定在VLAN 4092,但设备已连接云平台,可以在云平台上将LAN口绑定到VLAN 4092后再登录本地Web管理界面。

 

在“接口配置”页面,可以查看本地接口当前所属的VLAN、接口状态等信息。

图2-23 接口配置

 

图2-23所示页面,点击<修改>按钮,可以修改当前本地接口所属的VLAN。

图2-24 修改接口配置

 

2.5  AP管理

2.5.1  Wi-Fi配置

(1)      在“Wi-Fi配置”页面,可以查看Wi-Fi的SSID、开启/关闭状态等信息,并且可以修改Wi-Fi的配置以及绑定到AP,如图2-25所示。

图2-25 Wi-Fi配置

 

(2)      点击图2-25中的<修改>按钮,可以修改Wi-Fi的SSID、工作状态、加密方式以及VLAN,完成配置后点击<确定>按钮,完成操作。

图2-26 修改Wi-Fi配置

 

(3)      点击图2-25中的<绑定>按钮,可以将当前无线服务绑定到勾选的AP上,完成配置后点击<确定>按钮,完成操作。

图2-27 绑定AP

 

2.5.2  AP列表

(1)      在“AP列表”页面,可以查看AP总数、在线AP数、AP的状态、版本号、IP地址、客户端数量等信息,如图2-28所示。

图2-28 AP列表

 

(2)      点击图2-28中的<修改>按钮,可以修改AP名称、VLAN、射频等配置信息,完成配置后点击<确定>按钮,完成操作。(说明:本配置的VLAN是AP的LAN接口所在的VLAN)

图2-29 修改AP信息

 

(3)      点击图2-28中的的<刷新>按钮,可以刷新AP列表的最新显示信息。

(4)      点击图2-28中的<批量导入>按钮,在弹出的“批量导入”页面根据提示的配置步骤批量导入AP,降低了配置的工作量。(目前仅MSG880支持本功能)

图2-30 批量导入

 

(5)      勾选图2-28中的AP,并点击<批量删除>按钮可以将勾选的AP删除。

图2-31 批量删除

 

(6)      勾选图2-28中的在线AP,并点击<收集日志&配置>按钮可以收集选中的AP日志&配置信息。(注意:同时最多只能收集10台在线AP日志&配置信息)

(7)      勾选图2-28中的AP,并点击<批量重启>按钮可以重启选中的AP。(注意:只能重启在线AP)

图2-32 批量重启(选中的全部为在线AP)

 

图2-33 批量重启(选中的包含或者全部为离线AP)

 

(8)      勾选图2-28中的AP,并点击<批量重置>按钮可以重置选中的AP,即将选中的AP恢复出厂设置。(注意:只能重置在线AP)

图2-34 批量重置(选中的全部为在线AP)

 

图2-35 批量重置(选中的包含或者全部为离线AP)

 

2.5.3  AP版本管理

说明

·          最多可以上传5个版本,且版本文件最大为20MB。

·          将从官网获取的版本文件通过第三方软件进行MD5计算,并与当前页面上传的版本文件的MD5值进行比较,如果MD5值相同,则在传输过程中版本文件没有损坏;否则版本文件已经损坏,请重新上传新的版本文件。

 

(1)      在“AP版本管理”页面,可以上传AP设备的版本文件并对该型号的AP进行版本升级操作,如图2-36所示。

图2-36 AP版本管理

 

(2)      点击图2-36中的<版本上传>按钮,输入版本号、勾选版本对应的设备型号并选择本地保存的版本文件等配置信息,完成配置后点击<确定>按钮,即可将AP设备的版本文件上传到本设备。(注意:版本号需要按照版本文件实际的版本号填写,例如:R1113P01。实际版本号请从官网版本发布路径获取)

图2-37 版本上传

 

(3)      点击图2-36中的<升级>按钮,可以对当前版本适用设备型号的在线AP进行升级操作,仅对版本不一致的AP进行升级。

图2-38 升级版本

 

(4)      点击图2-36中的<修改>按钮,可以修改版本信息的版本号、版本描述和设备型号。

图2-39 修改版本信息

 

(5)      点击图2-36中的<删除>按钮,可以将已上传的当前AP版本删除。

2.5.4  高级功能

在“高级功能”页面,可以配置隐藏AP管理Wi-Fi和AP管理功能。

1. 隐藏AP管理Wi-Fi

隐藏AP管理Wi-Fi后,客户端不能搜索到该无线服务,提高AP设备的安全性,用户需要手动输入SSID才可以接入AP管理Wi-Fi。

图2-40 隐藏AP管理Wi-Fi

 

2. AP管理功能

开启AP管理功能后,AP就可以在本设备上线,设备可以对AP进行(批量)配置和管理。关闭AP管理功能后,AP将不能在本设备上线。

当设备已连接到云平台时,如需更改“AP管理功能”状态,请登录云平台配置。

图2-41 AP管理功能(未连接云平台)

 

图2-42 AP管理功能(已连接云平台)

 

2.6  终端信息

说明

MSG330和MSG880不支持“无线终端信息”显示。

 

点击左侧导航栏的“终端信息”,用户可以查看在线终端的数量、终端的名称、MAC地址、关联的SSID、IP地址、无线模式/带宽、在线时间、信号强度和已分配的DHCP租约信息等,如图2-43所示。

图2-43 终端信息

 

2.7  高级功能

点击左侧导航栏的“高级功能”,用户可以在“高级功能”页面修改登录密码、检测上行链路、设置指示灯状态、配置射频、指定云管理地址、配置IPsec VPN功能、获取系统日志、获取配置信息和系统还原。

2.7.1  修改登录密码

用户可以在“修改登录密码”处修改Web网管密码,输入新密码和新密码确认后,点击<确定>按钮完成操作,如图2-44所示。

图2-44 修改Web登录密码

 

2.7.2  上行链路检测

上行链路检测用于检测上行链路的连通性,可以在“主页”页面的组网图查看上行链路是否处于连通状态。

用户可以在“上行链路检测”处修改检测域名、端口号以及检测间隔,点击<确定>按钮完成操作,如图2-45所示。

图2-45 上行链路检测

 

2.7.3  指示灯状态

用户可以根据实际需要选择开启或关闭指示灯,勾选“开启”或者“关闭”即可完成配置,如图2-46所示。

图2-46 指示灯状态

 

2.7.4  射频配置

说明

设备连接到云平台后,无法对射频配置进行修改。

 

本特性的支持情况与设备型号有关,请以设备的实际情况为准。

产品系列

产品型号

说明

MSG320系列

MSG320-W

支持

MSG330系列

MSG330

MSG330-W

·          MSG330:不支持

·          MSG330-W:支持

MSG880系列

MSG880

不支持

 

用户可以在“射频配置”处勾选“开启”或者“关闭”2.4GHz和5GHz射频,也可以在“信道”的下拉框中指定射频的工作信道,点击<确定>按钮,完成操作,如图2-47所示。默认情况下,射频自动选择工作信道。

图2-47 射频配置

 

2.7.5  云管理

用户可以根据实际需要自定义云连接地址,并修改端口号,点击<确定>按钮完成操作,如图2-48所示。默认情况下,云连接地址为“H3C云平台”,端口号为“19443”。

图2-48 云管理

 

2.7.6  IPsec VPN

1. 基本配置

用户可以在“IPSec VPN”的“基本配置”中配置VPN的基本相关项,点击<确定>按钮,完成操作,如图2-49所示。

基本配置中的各参数介绍:

·              VPN名称:VPN的名称。

·              主动连接:是否主动连接VPN。默认情况下,“主动连接”被启用。

·              IKE PSK密钥:IKE预共享密钥,用于验证IPSec连接。

·              本端地址:本端设备的IP地址。

·              本端子网地址:本端设备的子网地址。

·              本端子网掩码:本端设备的子网掩码。

·              对端地址:VPN对端设备的IP地址。

·              对端子网地址:对端设备的子网地址。

·              对端子网掩码:对端设备的子网掩码。

图2-49 基本配置

 

2. 高级配置

用户可以在“IPSec VPN”的“高级配置”中配置VPN的高级功能。

高级配置中的各参数介绍:

·              IKE DH Group:设备支持的DH组有group2、group5和group14。密钥交换的安全性随着DH组的扩大而增加,但交换的时间也同时增加。默认设置为group2。

·              IKE加密算法:设备支持的加密算法有3DES、AES128、AES192和AES256。加密算法的安全度逐渐增强,但相对占用资源逐渐加大。默认设置为AES128。

·              IKE认证算法:设备支持的认证算法有MD5和SHA1。SHA1算法相对MD5安全性更高,但对资源占用率也更大。默认设置为SHA1。

·              IKE SA存活时间:取值范围为120~86400秒,默认设置为86400秒。

·              PFS:完全前向保密,开启PFS功能,可以防止因私钥泄露导致的数据被破解。默认设置为关闭。

·              IPSec数据加密算法:设备支持的加密算法有3DES、AES128、AES192和AES256。加密算法的安全度逐渐增强,但相对占用资源逐渐加大。默认设置为AES128。

·              IPSec数据认证算法:设备支持的认证算法有MD5和SHA1。SHA1算法相对MD5安全性更高,但对资源占用率也更大。默认设置为SHA1。

·              数据传输有效时间:取值范围为180~604800秒,默认设置为3600秒。

配置完成后,点击<确定>按钮,完成操作,如图2-50所示。

图2-50 高级配置

 

3. VPN状态

用户可以在“IPSec VPN”的“VPN状态”中查看VPN的状态。点击<连接>按钮,连接VPN;点击<断开>按钮,断开与VPN的连接;点击<删除>按钮,删除当前VPN,如图2-51所示。

图2-51 VPN状态

 

2.7.7  系统日志

注意

设备重启后会清空之前的系统日志重新记录,重启之前请先备份系统日志。

 

点击<获取系统日志>按钮,下载系统日志文件,点击<获取配置信息>按钮,下载配置信息文件,下载的文件在浏览器的下载记录中可以查看,如图2-52所示。

图2-52 获取系统日志和配置信息

 

2.7.8  系统还原

注意

恢复出厂设置将导致您的设备上的所有配置丢失,请慎重操作。

 

(1)      点击<恢复出厂设置>按钮,在弹出的对话框中选择是否清除所有个性化配置。

(2)      点击<确定>按钮,完成操作,请等待设备重启之后重新对设备进行配置。

图2-53 恢复出厂设置

 

2.8  网络工具

2.8.1  Ping工具

用户可以通过Ping功能完成网络连通性测试,如图2-54所示。

图2-54 Ping工具

 

2.8.2  Traceroute工具

通过使用Traceroute功能,用户可以查看IP报文从源端到达目的端所经过的三层设备,从而检查网络连接是否可用。当网络出现故障时,用户可以使用该功能分析出现故障的网络节点。

图2-55 Traceroute工具

 

2.9  安全配置

2.9.1  无线黑白名单

本特性的支持情况与设备型号有关,请以设备的实际情况为准。

产品系列

产品型号

说明

MSG320系列

MSG320-W

支持

MSG330系列

MSG330

MSG330-W

·          MSG330:不支持

·          MSG330-W:支持

MSG880系列

MSG880

不支持

 

无线黑白名单同时只能有一种模式生效:

·              黑名单模式:禁止黑名单列表中的终端通过无线接入本网络,且黑名单列表中最多可以添加64个终端MAC地址。

·              白名单模式:仅允许白名单列表中的终端通过无线接入本网络,且白名单列表中最多可以添加64个终端MAC地址。

# 用户可以选择“黑名单模式”或“白名单模式”,点击<保存并生效模式>按钮,完成模式选择。点击<从在线列表添加>或<手动添加>按钮,添加相应的名单列表,如图2-56所示。

图2-56 无线黑白名单配置

 

2.9.2  防攻击

在复杂网络环境中,常常由于计算机异常或中毒,导致其不断地发送一些攻击报文,造成设备资源和网络带宽不必要的消耗。防攻击的主要目的就是发现并丢弃非法报文,以保证整体网络的稳定性。

防攻击功能介绍如表2-2所示:

表2-2 防攻击功能说明

配置项

说明

WAN口ping扫描

启用该项,设备不回应来自因特网的Ping请求,可以防止因特网上恶意的Ping探测

TCP SYN扫描

启用该项,设备可以有效的防止恶意的TCP SYN扫描

TCP SYN扫描通常也叫做半连接扫描,因为它并不建立一个完整的TCP连接。攻击者像建立正常的TCP连接一样向某个端口发送一个SYN报文, 然后等待目标主机的回应,如果目标主机回应SYN|ACK报文,则说明这个端口是开放的;如果回应RST报文,则说明该端口没有开放。当收到的是SYN|ACK报文时,攻击者立即回送一个RST报文将连接中止,这就是它叫做半连接扫描的原因。其扫描原理是依据RFC 793

TCP Stealth Fin扫描

启用该项,设备可以有效的防止恶意的TCP Stealth Fin扫描

TCP Stealth Fin 扫描和TCP SYN扫描原理一样,只是发送只有FIN标志置位的TCP报文。其扫描原理是依据RFC 793

TCP NULL扫描

启用该项,设备可以有效的防止恶意的TCP NULL扫描

TCP NULL扫描和TCP SYN扫描原理一样,只是发送所有标志都不置位的TCP报文。其扫描原理是依据RFC 793

TCP XMAS TREE扫描

启用该项,设备可以有效的防止恶意的TCP Xmas Tree扫描

TCP Xmas Tree扫描和TCP SYN扫描原理一样,只是发送FIN、URG和PUSH标志置位的TCP报文。其扫描原理是依据RFC 793

SYN Flood攻击

启用该项,设备可以有效的防止恶意的SYN Flood攻击

SYN Flood攻击通过发送大量的SYN报文,使被攻击服务器中的数据结构逐渐会被填满,这样系统将无法再接受任何传入的新连接

ICMP Flood攻击

启用该项,设备可以有效的防止恶意的ICMP Flood攻击

ICMP Flood原理与SYN FLOOD类似,攻击者通过发送大量的ICMP报文给目标计算机,导致目标计算机忙于处理这些ICMP报文而无法继续处理正常的报文

ARP防攻击

启用该项,设备可以有效的防止恶意的ARP攻击

ARP协议本身存在缺陷,攻击者可以轻易地利用ARP协议的缺陷对其进行攻击。目前,网络中常见的ARP攻击包括ARP欺骗、ARP泛洪攻击等。

 

1. 开启防攻击

说明

可以同时开启多种防攻击功能。

 

在“防攻击”页面,首先勾选“开启”,然后勾选需要开启的防攻击功能,如图2-57所示。

图2-57 开启防攻击

 

2. 关闭防攻击

在“防攻击”页面,勾选“关闭”即可关闭所有已开启的防攻击功能,如图2-58所示。

图2-58 关闭防攻击

 

2.9.3  域名黑白名单

说明

目前MSG330和MSG880设备不支持域名白名单。

 

在“域名黑白名单”页面,可以添加、删除或者批量删除域名黑白名单。

·              域名白名单:终端接入开启Portal认证的无线服务时,不进行Portal认证也可以访问加入域名白名单的地址,最多支持添加10条域名。

·              域名黑名单:终端通过无线连接或者有线连接都无法访问加入域名黑名单的地址,最多支持添加10条域名。

若某地址同时出现在域名白名单与域名黑名单中,则域名黑名单生效。

图2-59 域名黑白名单

 

新增域名黑白名单时,设备支持对域名进行精确匹配和模糊匹配:

·              精确匹配:新增域名时不使用通配符“*”。

·              模糊匹配:新增域名时使用通配符“*”,域名不能只输入通配符,且不能连续输入多个通配符。

图2-60 新增域名黑白名单

 

2.10  版本升级

设备支持离线升级和在线升级两种方式,当设备没有连接到云平台时,用户可以采用离线升级的方式,当设备连接到云平台时,用户可以选择在线升级或离线升级方式完成升级。

图2-61 版本升级

 

2.10.1  升级前的准备

说明

仅MSG330-W和MSG320-W支持通过无线连接到设备。

 

1. 离线升级

在升级设备前,请将设备的升级文件拷贝到PC上,再通过有线或者无线方式将PC连接到设备,并登录到设备的Web管理页面。

图2-62 离线升级

 

2. 在线升级

在升级设备前,请将设备连接到云平台,再通过有线或者无线方式将PC连接到设备,并登录到设备的Web管理页面。

图2-63 在线升级

 

2.10.2  升级操作步骤

(1)      点击左侧导航栏的“关于”,可以查看设备的当前固件版本号,如图2-66所示。

(2)      点击左侧导航栏的“版本升级”,然后选择“在线升级”或“离线升级”。

¡  在线升级:需要将设备连接到云平台后才支持在线升级。点击<在线升级>按钮后,在弹出的对话框内显示云平台上该款型设备可升级的软件版本,勾选需要升级的版本,点击<升级>按钮后设备开始升级。

图2-64 在线升级

 

¡  离线升级:点击<离线升级>按钮,在弹出的“选择文件”对话框内点击文件夹图标,选择PC本地的待升级文件,点击<升级>按钮后设备开始升级。

图2-65 离线升级

 

(3)      完成升级后设备会自动重启,重启完成后请登录Web管理页面,点击左侧导航栏的“关于”,查看升级后的“固件版本号”,确定系统软件是否升级成功。

2.11  关于

点击左侧导航栏的“关于”,可以查看设备的相关信息,如图2-66所示。

请使用手机(Android4.0或iOS7.0及以上版本操作系统)扫描下图中“Cloudnet App”的二维码,下载并安装“Cloudnet App”应用程序,用户可以通过“Cloudnet App”登录云平台新增场所、添加设备等。

图2-66 查看设备信息

 

2.12  重启

重启设备的操作步骤如下:

(1)      点击左侧导航栏下方的重启按钮,在弹出的对话框中选择是否重启设备。

图2-67 重启设备

 

(2)      点击<确定>按钮,完成操作,请等待设备重启之后重新登录。

图2-68 正在重启

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们