01-正文
本章节下载: 01-正文 (955.25 KB)
目 录
本章节仅介绍如何本地登录路由器的Web设置页面。如果您想实现远程登录路由器进行管理,需要先本地登录路由器,并开启其远程管理功能,相关的介绍请参见“远程管理”。
· 准备工作
完成硬件安装后(安装过程请参见《H3C MSR860-XS千兆综合业务网关 快速入门》),在登录路由器的Web页面前,您需要确保管理计算机和网络满足一些基本要求。
请确认管理计算机已安装了以太网卡。
· 自动获取IP地址(推荐使用):请将管理计算机设置成“自动获得IP地址”和“自动获得DNS服务器地址”(计算机系统的缺省配置),由路由器自动为管理计算机分配IP地址。
· 设置静态IP地址:请将管理计算机的IP地址与路由器的LAN口IP地址设置在同一网段内(LAN口缺省的IP地址为192.168.1.1,子网掩码为255.255.254.0)。
操作步骤如下(以Window 7系统为例):
2. 单击“本地连接”,单击<属性>按钮,进入“本地连接属性”窗口 |
|
3. 双击“Internet协议版本4(TCP/IPv4)” |
|
4. 配置计算机的IP地址 · 当路由器开启DHCP功能时,可选择自动获得IP地址和DNS服务器地址,或通过手动配置电脑IP地址,与路由器IP地址(缺省192.168.1.1)保持同一网段 · 当路由器关闭DHCP功能时,只能通过手动配置电脑IP地址,与路由器IP地址(缺省192.168.1.1)保持同一网段 设置好IP地址后,单击<确定>按钮,返回[本地连接 属性]对话框,再单击<确定>按钮 |
操作步骤如下:
1. 单击屏幕左下角<开始>按钮进入[开始]菜单,选择“运行”,弹出“运行”对话框 2. 输入“ping 192.168.1.1(路由器的IP地址,此处是缺省IP地址)”,单击<确定>按钮 |
|
3. 如果在弹出的对话框中显示了从路由器侧返回的回应,则表示网络连通;否则请检查网络连接 |
如果当前管理计算机使用代理服务器访问因特网,则必须取消代理服务,操作步骤如下:
1. 在浏览器窗口中,选择[工具/Internet选项]进入“Internet选项”窗口 |
|
2. 选择“连接”页签,并单击<局域网设置(L)>按钮,进入“局域网(LAN)设置”页面。请确认未选中“为LAN使用代理服务器”选项;若已选中,请取消并单击<确定>按钮 |
建议使用Internet Explorer 10及以上版本、Chrome 57及以上版本、Firefox 35及以上版本的浏览器访问Web管理页面。
运行Web浏览器,在地址栏中输入“http://192.168.1.1”,回车后跳转到Web登录页面,如图1-1所示,输入用户名、密码(缺省均为admin,区分大小写),首次登录路由器之后,系统会自动弹出“修改密码”页面,输入旧密码、新密码,并确认新密码,单击<确定>按钮即可进入Web设置页面。
图1-1 登录路由器Web设置页面
本章节介绍快速配置的相关内容,包括:
· 简介
· 配置WAN
· 配置LAN
通过快速配置完成广域网WAN和局域网LAN的基本配置后,局域网内的用户便可以访问外网。
MSR860-6EI-XS/MSR860-6HI-XS暂不支持3G/4G Modem接入广域网。
设备支持单WAN和双WAN两种广域网接入场景。如果用户仅租用了一个运营商网络,则选择单WAN场景;如果用户租用了两个运营商网络,则使用双WAN场景。单WAN和双WAN场景的配置方法相同。
设备可以通过物理接口或3G/4G Modem接入广域网。
(1) 单击导航树中[快速配置]菜单项,进入快速配置页面。
(2) 根据使用场景需求,选择“单WAN场景”或“双WAN场景”,设置广域网接入参数。
(3) 在“线路1”或“线路2”配置项处选择要接入广域网的物理接口WANx。
(4) 根据用户实际的上网方式,在“连接模式”配置项处选择对应的连接模式:
¡ 如果选择连接模式为“PPPoE”:
- 在“上网账号”配置项处,输入运营商提供的PPPoE接入用户名。
- 在“上网口令”配置项处,输入运营商提供的PPPoE接入密码。
¡ 如果选择连接模式为“DHCP”,将自动从DHCP服务器获取接入广域网的公网IP地址。
¡ 如果选择连接模式为“固定地址”:
- 在“IP地址”配置项处,输入接入广域网的固定IP地址。
- 在“子网掩码”配置项处,输入IP地址的掩码或掩码长度,例如255.255.255.0或24。
- 在“网关地址”配置项处,输入接入广域网的网关地址。
- 在“DNS1”和“DNS2”配置项处,输入接入广域网的DNS服务器地址。注意设备优先使用DNS1进行域名解析。如果解析失败,则使用DNS2进行域名解析。
(5) 在“NAT地址转换”配置项处,根据实际需求选择是否启用该功能。局域网中的多台设备共用同一个公网IP时需要启用此功能。
(6) 点击<下一步>按钮,完成WAN配置。
(1) 单击导航树中[快速配置]菜单项,进入快速配置页面。
(2) 根据使用场景需求,选择“单WAN场景”或“双WAN场景”,设置广域网接入参数。
(3) 在“线路1”或“线路2”配置项处选择3G/4G Modem对应的Cellular接口。
(4) 在“运营商”配置项处,根据实际使用的运营商情况选择“移动”、“联通”、“电信”或“自定义”:
¡ 如果选择运营商为“移动”、“联通”或“电信”:
- 在“用户名”配置项处,输入从运营商处获取的用户名。
- 在“密码”配置项处,输入从运营商处获取的密码。
¡ 如果选择连接模式为“自定义”:
- 在“APN”配置项处,输入从运营商处获取的APN。
- 在“对端号”配置项处,输入从运营商处获取的拨号串。
- 在“用户名”配置项处,输入从运营商处获取的用户名。
- 在“密码”配置项处,输入从运营商处获取的密码。
当使用国外的运营商或其他物联网的SIM卡时,需要选择“自定义”连接模式。
(5) 在“制式选择”配置项处,选择当前运营商对应的网络制式。
(6) 在“NAT地址转换”配置项处,根据实际需求选择是否启用该功能。局域网中的多台设备共用同一个公网IP时需要启用此功能。
(7) 点击<下一步>按钮,完成WAN配置。
完成WAN配置后,会进入到LAN配置的页面。
(1) 在“局域网IP地址”配置项处,输入设备在局域网中使用的IP地址。
(2) 在“子网掩码”配置项处,输入IP地址的掩码或掩码长度,例如255.255.255.0或24。
(3) 在“DHCP服务”配置项处,选择“启用”或“禁用”。如果设备需要作为DHCP服务器为局域网中的主机分配IP地址,则需要选择“启用”。
¡ 如选择“启用”:
- 在“IP分配范围”配置项处,输入待分配地址的起始IP地址和结束IP地址;
- 在“网关地址”配置项处,输入设备为DHCP客户端分配的网关地址;
- 在“DNS”配置项处,输入设备为DHCP客户端分配的DNS服务器的IP地址。
¡ 如选择“禁用”,则表示不启用设备的DHCP功能。
(4) 点击<下一步>按钮,完成LAN配置。
本章节介绍外网配置的相关内容,包括:
· 简介
· 场景定义
· WAN配置
· 修改多WAN策略
· 保存接口上一跳
通常情况下,外网指的就是广域网(WAN,Wide Area Network),广域网是覆盖地理范围相对较广的数据通信网络,Internet就是一个巨大的广域网。
通常在设备上会有多个WAN接口,通过配置WAN接口可以实现设备访问外网。
设备支持单WAN和多WAN两种广域网接入场景。如果用户仅租用了一个运营商网络,则选择单WAN场景;如果用户租用了两个运营商网络,则使用多WAN场景。单WAN和多WAN场景的配置方法相同。
(1) 单击导航树中[网络配置/外网配置]菜单项,进入外网配置页面。
(2) 单击“场景定义”页签,进入场景定义配置页面。
(3) 根据使用场景需求,选择“单WAN场景”或“多WAN场景”。
(4) 选择要接入广域网的接口,该接口可以是设备上物理的WAN接口或3G/4G Modem对应的Cellular接口:
¡ 单WAN场景下,在“线路1”配置项处选择接入广域网的接口。
¡ 多WAN场景下,在“线路1”、“线路2”、“线路3”或“线路4”配置项处选择多个接入广域网的接口。
(5) 点击<应用>按钮,完成场景定义配置。
设备支持通过物理接口和3G/4G Modem接入广域网,两种方式需要配置的参数不同。
(1) 单击导航树中[网络配置/外网配置]菜单项,进入外网配置页面。
(2) 单击“WAN配置”页签,进入WAN配置页面。
(3) 在线路列表中,单击指定线路上“操作”区段的“修改”按钮,进入修改WAN配置页面。
(4) 根据用户实际的上网方式,在“连接模式”配置项处选择对应的连接模式:
¡ 如果选择连接模式为“PPPoE”:
- 在“上网账号”配置项处,输入运营商提供的PPPoE接入用户名。
- 在“上网口令”配置项处,输入运营商提供的PPPoE接入密码。
- “在线方式”为“始终在线”。
¡ 如果选择连接模式为“DHCP”,将自动从DHCP服务器获取接入广域网的公网IP地址。
¡ 如果选择连接模式为“固定地址”:
- 在“IP地址”配置项处,输入接入广域网的固定IP地址。
- 在“子网掩码”配置项处,输入IP地址的掩码或掩码长度,例如255.255.255.0或24。
- 在“网关地址”配置项处,输入接入广域网的网关地址。
- 在“DNS1”和“DNS2”配置项处,输入接入广域网的DNS服务器地址。注意设备优先使用DNS1进行域名解析。如果解析失败,则使用DNS2进行域名解析。
(5) 在“MAC地址”配置项处,根据实际需求选择“使用接口出厂MAC地址(例如:00-19-10-28-00-80)”或“使用静态指定的MAC”。如果选择“使用静态指定的MAC”,则在配置项处输入配置的静态MAC地址,通过运营商分配的公网地址访问外网时,需要配置静态MAC地址进行MAC地址绑定。
(6) 在“NAT地址转换”配置项处,根据实际需求选择是否启用该功能。局域网中的多台设备共用同一个公网IP时需要启用此功能。
(7) 在“TCP MSS”配置项处,设置接口的TCP报文段的最大长度。
(8) 在“MTU”配置项处,输入接口允许通过的MTU(Maximum Transmission Unit,最大传输单元)的大小。
(9) 在“链路探测”配置项处,根据实际情况选择是否启用该功能,如果选择启用:
¡ 在“探测地址”配置项处,输入链路探测的IP地址。
¡ 在“探测间隔”配置项处,输入链路探测的时间间隔。
启用链路探测功能后,可以对到达指定IP地址的链路状态进行判断,提高链路的可靠性。
(10) 点击<确定>按钮,完成WAN配置修改。
(1) 单击导航树中[网络配置/外网配置]菜单项,进入外网配置页面。
(2) 单击“WAN配置”页签,进入WAN配置页面。
(3) 在线路列表中,单击指定线路上“操作”区段的“修改”按钮,进入修改WAN配置页面。
(4) 在“运营商”配置项处,根据实际使用的运营商情况选择“移动”、“联通”、“电信”或“自定义”:
¡ 如果选择运营商为“移动”、“联通”或“电信”:。
- 在“用户名”配置项处,输入从运营商处获取的用户名。
- 在“密码”配置项处,输入从运营商处获取的密码。
¡ 如果选择连接模式为“自定义”:
- 在“APN”配置项处,输入从运营商处获取的APN。
- 在“拨号串”配置项处,输入从运营商处获取的拨号串。
- 在“用户名”配置项处,输入从运营商处获取的用户名。
- 在“密码”配置项处,输入从运营商处获取的密码。
当使用国外的运营商或其他物联网的SIM卡时,需要选择“自定义”连接模式。
(5) 在“制式选择”配置项处,选择当前运营商对应的网络制式。
(6) 在“NAT地址转换”配置项处,根据实际需求选择是否启用该功能。局域网中的多台设备共用同一个公网IP时需要启用此功能。
(7) 在“链路探测”配置项处,根据实际情况选择是否启用该功能,如果选择启用:
¡ 在“探测地址”配置项处,输入链路探测的IP地址。
¡ 在“探测间隔”配置项处,输入链路探测的时间间隔。
启用链路探测功能后,可以对到达指定IP地址的链路状态进行判断,提高链路的可靠性。
(8) PIN(Personal Identification Number,个人识别密码)码是保护SIM卡的一种安全措施,防止别人盗用SIM卡,可以点击<更多配置>按钮,进入PIN码配置页面:
¡ 根据需要决定是否勾选“开启 PIN码认证功能”,如勾选,则在配置项处输PIN码。建议开启PIN码认证功能,提高设备安全性。
¡ 如果开启PIN码认证功能时输入的PIN码有误,可以点击<修改PIN码>按钮,进入修改PIN码配置页面:
- 在“原PIN码”配置项处,输入原有的PIN码。
- 在“新PIN码”配置项处,输入新的PIN码。
- 在“确认新PIN码”配置项处,再次输入新的PIN码。
- 点击<提交修改>按钮完成PIN码修改,点击<返回>按钮取消修改操作。
¡ 如果多次输入PIN码错误,需要点击<PIN码解锁>按钮,进入PIN码解锁配置页面:
- 在“PUK码”配置项处,输入解锁的PUK码。
- 在“新PIN码”配置项处,输入新的PIN码。
- 在“确认新PIN码”配置项处,再次输入新的PIN码。
- 点击<解锁>按钮完成PIN码解锁,点击<返回>按钮取消解锁操作。
¡ 如果需要重启3G/4G Modem,可以点击<重启Modem>按钮。
(9) 点击<保存配置>按钮,完成WAN配置修改。
只有多WAN场景可以进行本页面的配置。
(1) 单击导航树中[网络配置/外网配置]菜单项,进入外网配置页面。
(2) 单击“修改多WAN策略”页签,进入修改多WAN策略配置页面。
(3) 根据实际应用,对多WAN策略进行修改:
¡ 如果多WAN属于相同的运营商,建议选择“平均分配负载分担”或“带宽比例负载分担”。如果多WAN链路的带宽一致,可以选择“平均分配负载分担”,否则选择“带宽比例负载分担”。
¡ 如果多WAN属于不同的运营商,建议选择“基于运营商的负载分担”或“多链路高级负载分担”。如果每个运营商提供的链路带宽一致,可以选择“基于运营商的负载分担”,否则选择“多链路高级负载分担”。
¡ 为了保持网络的稳定性,可以进行链路备份,选择“主链路(请选择作为主链路的WAN接口)”以及对应的“线路n”,然后选择备份链路的“线路m”。注意n和m不能一致,否则不能实现链路备份。
(4) 点击<应用>按钮,完成多WAN策略修改。
(1) 单击导航树中[网络配置/外网配置]菜单项,进入外网配置页面。
(2) 单击“保存接口上一跳”页签,进入配置页面。
(3) 选择“开启保存接口上一跳功能”或“关闭保存接口上一跳功能”。多WAN场景下,为了确保进入和离开局域网的报文通过同一个WAN接口转发,需要开启保存接口上一跳功能。
本章节介绍LAN配置的相关内容,包括:
· 简介
· 配置静态DHCP
· 配置VLAN
本功能主要用于配置设备连接内网的LAN接口参数,开启DHCP服务,以及将接口加入VLAN。
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网协议,主要用于为局域网内的主机分配IP地址。DHCP支持动态及静态地址分配机制:
· 动态地址分配功能配置在接口上,此功能给用户主机动态分配IP地址,时间到期或主机明确表示放弃该地址时,该地址可以被其他主机使用。该分配方式适用于局域网的主机获取有一定有效期限的地址的组网环境。
· 静态分配的IP地址不和接口绑定,仅需要与主机的网卡MAC地址进行绑定,具有永久使用权限。该分配方式适用于局域网的主机获取租期为无限长的IP地址的组网环境。
为设备连接内网的GE接口配置IP地址,或创建VLAN与VLAN接口。
(1) 单击导航树中[网络配置/LAN配置]菜单项,进入LAN配置页面。
(2) 单击“LAN配置”页签,进入LAN接口配置页面。
(3) 点击<添加>按钮,进入添加LAN接口页面。
(4) 在“LAN接口类型”配置项处,选择配置的接口类型:
¡ 如果选择“VLAN接口”,则表示创建VLAN与VLAN接口,还需要输入VLAN ID。
¡ 如果选择“GE接口”,则表示配置指定的GE接口,还需要选择GE接口。
(5) 在“接口IP地址”配置项处,输入接口的IP地址。
(6) 在“子网掩码”配置项处,输入IP地址的掩码或掩码长度,例如255.255.255.0或24。
(7) 在“TCP MSS”配置项处,设置接口的TCP报文最大分段长度值。
(8) 在“MTU”配置项处,输入接口允许通过的MTU的大小。
(9) 如果还希望设备为连接到设备的客户端(如连接到设备的计算机等)动态分配IP地址,则需要勾选“开启DHCP服务”复选框,开启设备的DHCP服务。
(10) 点击<确定>按钮,完成配置。
如果希望设备可以为连接到该接口的客户端(如连接到设备的计算机等)动态分配IP地址,则需要开启指定接口上的DHCP服务。
接口上指定的地址池的地址范围不能与设备上WAN口的IP地址网段包含相同的IP地址。
(1) 单击导航树中[网络配置/LAN配置]菜单项,进入LAN配置页面。
(2) 单击“LAN配置”页签,进入LAN接口配置页面。
(3) 在接口列表中,单击指定接口上“操作”区段的“修改”按钮,进入修改接口配置页面。
(4) 单击“开启DHCP服务”配置项。
(5) 在“地址池起始地址”和“地址池结束地址”配置项处,设置设备可分配给客户端的IP地址范围。
(6) 在“排除地址”配置项处,设置不能分配给客户端的IP地址。
如果地址池范围内的某些IP地址(如网关地址)不能分配给客户端,就需要将其配置为排除地址。
(7) 在“网关地址”和“DNS1”以及“DNS2”配置项处,输入客户端的网关地址和DNS服务器地址。
(8) 在“地址租约”配置项处,以分钟为单位设置IP地址的使用时间,比如设置IP地址租约为5天,则输入7200。
(9) 点击<确定>按钮,完成配置。
如果需要为某些客户端分配固定的IP地址,则需要配置静态DHCP将客户端的硬件地址与IP地址进行绑定。
静态绑定的客户端IP地址不能是设备上WAN口的IP地址网段包含的IP地址。
在任何一个接口上开启DHCP服务。如果仅需要使用静态DHCP方式分配IP地址,则还需要删除该接口上的DHCP参数配置。
(1) 单击导航树中[网络配置/LAN配置]菜单项,进入LAN配置页面。
(2) 单击“静态DHCP”页签,进入静态DHCP配置页面。
(3) 点击<添加>按钮,进入新增DHCP静态绑定关系配置页面。
(4) 在“接口”配置项处,点击下拉单选择开启DHCP服务器功能的接口。
(5) 在“客户端MAC”配置项处,输入客户端的MAC地址。对于PC类型的客户端,可以在网卡信息中查询到MAC地址;对于设备类型的客户端,可以通过display interface命令查询接口的MAC地址。
(6) 在“客户端IP”配置项处,输入要分配给客户端的IP地址。
(7) 点击<确定>按钮,完成配置。
需要将设备上的LAN接口加入指定的VLAN,使得局域网内处于同一VLAN的主机能直接互通,处于不同VLAN的主机不能直接互通。
在端口详细配置页面配置端口的PVID时,只能指定已创建的VLAN。
PVID(Port VLAN ID,端口的缺省VLAN):当端口收到未携带VLAN Tag的报文时,即认为此报文所属的VLAN为端口的缺省VLAN。
规划设备上LAN接口所属的VLAN,并在LAN接口配置页面上,创建对应的VLAN接口。
(1) 单击导航树中[网络配置/LAN配置]菜单项,进入LAN配置页面。
(2) 单击“VLAN划分”页签,进入VLAN划分页面。
(3) 在端口列表中,单击指定端口上“操作”区段的“修改”按钮,进入详细端口配置页面。
(4) 单击在PVID配置项处的下拉框,修改端口的PVID。
(5) 配置端口加入或移除VLAN:
¡ 单击待选VLAN下方的VLAN编号可以将端口加入该VLAN,或通过待选VLAN下方的向右方向按钮将端口加入当前所有的待选VLAN中。
¡ 单击已选VLAN下方的VLAN编号可以将端口移除该VLAN,或通过已选VLAN下方的向左方向按钮将端口从所有已加入的VLAN中移除。
(6) 点击<确定>按钮,完成配置。
本章节介绍NAT的相关内容,包括:
· 简介
· 配置端口映射
· 配置一对一映射
NAT(Network Address Translation,网络地址转换)是一种将内部网络私有IP地址,转换成公网IP地址的技术。拥有私有IP地址的内网用户无法直接访问Internet,如果希望内网用户使用运营商提供的公网IP访问外网,或者允许外网用户使用公网IP访问内网资源,则需要配置NAT。
NAT支持如下两种地址转换方式:
· 端口映射:通过这种转换方式,可以实现利用一个公网地址和不同的协议端口同时对外网提供多个内网服务器(例如Web\Mail\FTP服务器)资源的目的。这种方式可以节约设备的公网IP地址资源。端口映射可以将内网中的一组IP地址和不同的协议端口映射到一个公网IP地址和对应的协议端口上,使得一个公网IP地址可以同时分配给多个内网IP地址使用。
· 一对一映射:这种方式适用于内外网之间存在固定访问需求的环境,比如某个网络管理员必须使用一个固定的外网IP去远程访问位于内网中对外提供服务的设备。一对一映射可以在设备上建立一个固定的一对一的映射关系,将内网中的一个私有IP地址转换为一个公网IP地址。
NAT还提供如下高级功能:
· NAT hairpin:如果您的某些内网服务器通过公网IP地址对外提供服务,同时内网用户也有访问这些服务器的需求,为了确保这些内网用户访问内网服务器的流量也经过网关控制,则可以开启NAT hairpin功能。开启该功能后,内网用户将与外网用户一样,都可以使用公网IP地址访问内网服务器。
· NAT ALG:如果内部网络与外部网络之间存在应用层业务,例如FTP/DNS,为了保证这些应用层协议的数据连接经过端口映射或一对一映射后还可以正确建立,就需要开启相应协议的NAT ALG功能。
(1) 单击导航树中[网络配置/NAT配置]菜单项,进入NAT配置页面。
(2) 单击“端口映射”页签,进入端口映射配置页面。
(3) 点击<添加>按钮,进入添加NAT端口映射页面。
(4) 在“接口”配置项处,选择用于连接Internet的端口。
(5) 在“协议类型”配置项处,选择协议为“TCP”或“UDP”。
此处需要根据内部服务器采用的传输层协议类型选择TCP或UDP,比如FTP服务器采用TCP协议,TFTP采用UDP协议。
(6) 在“外部地址”配置项处,可以选择使用当前端口的IP地址,也可以使用设备上的其它公网IP地址。
(7) 在“外部端口”配置项处,选择FTP、Telnet或自定义端口。
如果您对外提供的服务不是FTP或Telnet,请输入提供的服务所使用的端口号,比如HTTP服务端口号80。
(8) 在“内部地址”配置项处,输入允许外部网络访问的内网IP地址。
(9) 在“内部端口”配置项处,输入内部网络资源使用的端口号。
(10) 点击<确定>按钮,完成配置。
如果设备上仅有一个公网IP地址,不建议配置一对一映射来占用公网IP地址。
(1) 单击导航树中[网络配置/NAT配置]菜单项,进入NAT配置页面。
(2) 单击“一对一映射”页签,进入一对一映射配置页面。
(3) 点击<添加>按钮,进入添加NAT一对一映射页面。
(4) 在“内部地址”配置项处,输入内网IP地址。
(5) 在“外部地址”配置项处,输入拥有的公网IP地址。
(6) 点击<确定>按钮,完成配置。
(7) 在一对一映射配置页面上,开启一对一映射功能。
在配置NAT hairping前,需要完成如下配置中的一项或多项:
· 在端口映射配置页面上,配置内网服务器的IP地址/端口与公网IP地址/端口的映射关系。
· 在一对一映射配置页面上,配置内网用户IP地址与公网IP地址的映射关系。
(1) 单击导航树中[网络配置/NAT配置]菜单项,进入NAT配置页面。
(2) 完成“端口映射”或“一对一映射”的配置。
(3) 单击“高级配置”页签,进入高级配置页面。
(4) 开启NAT hairpin功能。
(5) 点击<应用>按钮,完成配置。
(1) 单击导航树中[网络配置/NAT配置]菜单项,进入NAT配置页面。
(2) 单击“高级配置”页签,进入高级配置页面。
(3) 启用指定协议的NAT ALG功能。
(4) 点击<应用>按钮,完成配置。
端口管理功能用来查看设备各个物理端口的端口类型、端口模式、速率、MAC地址等信息,设置WAN口的管理状态,以及修改端口配置。
(1) 单击导航树中[网络设置/端口管理]菜单项,进入端口管理页面。
(2) 在物理端口列表中,点击指定端口对应的管理状态列按钮,设置开启或者关闭该端口。
(3) 在物理端口列表中,点击指定端口对应的操作列编辑图标,弹出修改端口配置对话框。
(4) 在“端口模式”配置项处,选择配置的端口模式。
(5) 在“速率”配置项处,选择配置的端口速率。
(6) 点击<确定>按钮,完成配置。
本章节介绍用户组的相关内容,包括:
· 简介
· 注意事项
· 配置步骤
用户组是一组用户主机名或IP地址的集合。每个用户组中可以添加若干成员,成员的类型包括主机名、IP地址以及IP地址段。如果您的某些业务(例如带宽管理)需要使用用户组来识别用户报文,则需要提前配置符合业务需求的用户组。
· 添加到用户组中的IP地址只支持IPv4地址格式,不支持IPv6地址格式。
· 添加到用户组中的IP地址段的起始地址必须小于结束地址。
(1) 单击导航树中[上网行为管理/用户组]菜单项,进入用户组配置页面。
(2) 点击<添加>按钮,进入新建用户组页面。
(3) 在“用户组名称”配置项处,输入用户组的名称。
(4) 在“描述信息”配置项处,输入用户组的描述信息。
(5) 配置用户组内容:
¡ 配置添加到用户组的主机名。
¡ 配置添加到用户组的单个IP地址。
¡ 配置添加到用户组IP地址段的起始IP地址及结束IP地址。
¡ 配置用户组排除的IP地址。
(6) 点击配置项右侧的<→>按钮,提交配置的用户组内容。
(7) 重复(5)、(6)步骤可完成多个同类型成员的添加。
(8) 点击<确定>按钮,完成新建用户组。
本章节介绍时间组的相关内容,包括:
· 简介
· 注意事项
· 配置步骤
如果您希望设备上的某些功能(例如带宽管理、上网行为管理)仅在特定时间生效,而其他时间不生效,可以创建一个时间组,并在配置相关功能时引用时间组。
一个时间组中可以配置一个或多个时间段。时间段的生效时间有如下两种方式:
· 周期性生效:以周作为周期,循环生效。例如,每周一的8至12点。
· 非周期生效:在指定的时间范围内生效。例如,2015年1月1日8点至2015年1月3日18点。
如果一个时间组中配置了多个周期性生效和非周期生效的时间段,设备将取所有周期性生效时间段的并集和所有非周期生效时间段的并集,再取这两个并集的交集作为该时间组最终的生效时间。
例如,对名称为test的时间组配置如下时间段:
· 周期性生效的时间段为每周一至周五:
¡ 上午08:30~12:00;
¡ 下午13:30~18:00;
· 非周期时间段为2019年4月1日至2019年4月30日:
¡ 上午10:00~12:00;
¡ 下午14:00~16:00。
则该时间组在2019年4月份每周一至周五的上午10点至12点和下午14点至16点生效。
· 您最多可以创建1024个不同名称的时间组。
· 对于同一个时间组,不可以使用命令行和web页面混合配置。
· 一个时间组内最多可以配置32个周期性生效的时间段和12个非周期生效的时间段。
如果您想创建一个仅含有周期性生效时间段的时间组,或一个仅含有非周期生效时间段的时间组,请按照如下配置步骤操作。
(1) 单击导航树中[上网行为管理/时间组]菜单项,进入时间组配置页面。
(2) 点击<添加>按钮,进入新建时间组页面。
(3) 在“时间组名称”配置项处,输入时间组的名称。
(4) 在“生效时间”配置项处,选择“周期性生效”或“非周期生效”,配置时间段。请选择其中一项进行配置。
¡ 周期性生效
点选每周需要生效的具体天数,并在下面输入每天的具体生效时间,点击<加号>按钮,完成本时间段的配置。
¡ 非周期生效
选择生效的起止日期,并在下面输入具体生效的起止时间,点击<加号>按钮,完成本时间段的配置。
(5) 点击<确定>按钮,完成时间组创建。
如果您想创建一个同时含有周期性生效时间段和非周期生效时间段的时间组,请按照如下配置步骤操作。
(6) 单击导航树中[上网行为管理/时间组]菜单项,进入时间组配置页面。
(7) 点击<添加>按钮,进入新建时间组页面。
(8) 在“时间组名称”配置项处,输入时间组的名称。
(9) 在“生效时间”配置项处,选择“周期性生效”。
(10) 点选每周需要生效的具体天数,并在下面输入每天的具体生效时间,点击<加号>按钮,完成本时间段的配置。
(11) 在“生效时间”配置项处,选择“非周期生效”。
(12) 选择生效的起止日期,并在下面输入具体生效的起止时间,点击<加号>按钮,完成本时间段的配置。
(13) 点击<确定>按钮,完成时间组创建。
如果您想将一个同时含有周期性生效时间段和非周期生效时间段的时间组,修改成一个只含有一种生效方式的时间组,请按照如下配置步骤操作。
(14) 单击导航树中[上网行为管理/时间组]菜单项,进入时间组配置页面。
(15) 在指定时间组的“操作”区段上,单击<编辑>按钮,进入修改时间组页面。
(16) 在“生效时间”配置项处,选择想删除的生效方式:“周期性生效”或“非周期生效”。
(17) 依次点击具体生效时间后面的<删除>按钮,删除所有的具体生效时间。
(18) 单击<确定>按钮,完成时间组的修改。
本章节介绍上网行为管理的相关内容,包括:
· 简介
上网行为管理功能是指对用户访问的应用以及网址进行控制,并可以配置用户组和时间段等限制条件对用户的上网行为进行更精细的控制。
因为网址过滤功能基于HTTP协议进行识别,所以设备上不应该阻断HTTP协议流量,即在应用控制功能中不能阻断HTTP协议,否则将影响设备对网址的识别,导致网址过滤功能不生效。
(1) 单击导航树中[上网行为管理/上网行为管理]菜单项,进入上网行为管理配置页面。
(2) 在“上网行为管理策略”页签下,点击<添加>按钮,进入新建上网行为管理策略页面。
¡ 在“策略名”配置项处,配置上网行为管理策略名。
¡ 在“用户范围”配置项处,选择用户组。
¡ 在“限制时段”配置项处,选择时间组。
¡ 在“网址控制”配置项处,进行如下配置:
- 选择网址分类:包括预定义和自定义网址分类,自定义网址分类的配置步骤请参见“配置自定义网址分类”。
- 配置网址控制动作:对所选的网址分类执行的动作,包括放行和阻断。配置以上任何一个动作时,也可同时配置记录动作,对放行和阻断行为进行记录。
¡ 在“应用控制”配置项处,点击“选择网络应用”右侧的<详情>按钮,选择应用,并配置对该应用的访问执行的动作,包括如下:
- 阻断:阻断对应用的访问。
- 不阻断不限速:不对应用的访问进行限制。
- 限速:对应用的访问进行限速,并通过点击右侧的<编辑>按钮,分别配置上下行最大带宽。
(3) 点击<确定>按钮,完成新建上网行为管理策略。
(4) 在上网行为管理页面,选择“全局控制”页签,点击<开启上网行为管理>按钮,使新建的上网行为管理策略生效。
当用户需要对指定的网址进行放行或阻断时,可通过开启Web白名单或黑名单实现。
(1) 单击导航树中[上网行为管理/上网行为管理]菜单项,进入上网行为管理配置页面。
(2) 在“网址黑白名单”页签下,点击<启用web黑名单>或<启用web白名单>按钮,在网址关键字配置项中,输入网址。
(3) 点击右侧的<+>按钮,逐一添加网址。
(4) 点击<应用>按钮,完成web黑名单或白名单的配置。
当设备已有的网址分类不能满足用户需求时,可通过自定义网址分类的方式按需添加网址。
自定义网址支持导出功能,当使用IE浏览器进行导出时,如果出现无法启动Excel的错误提示,请参考如下步骤修改浏览器配置:
单击浏览器的<工具>按钮,选择“Internet选项”,进入Internet选项窗口;选择“安全”页签,单击<自定义级别>按钮,找到“对为标记为可安全执行脚本的ActiveX 控件初始化并执行脚本”一项,选择“启用”。
(1) 单击导航树中[上网行为管理/上网行为管理]菜单项,进入上网行为管理配置页面。
(2) 在“自定义网址”页签下,新建网址分类。
(3) 在默认网址分类下方的输入框中,配置新建网址分类的名称,点击右侧<+>按钮,新建一个空的网址分类成功,点击<编辑>按钮,进入设置网址关键字页面,向新建的网址分类中添加网址。
(4) 在“网址关键字”输入框中,配置网址,点击右侧的<+>按钮,逐条添加网址。
(5) 添加网址后,点击<确定>按钮,完成新建自定义网址分类。
本章节介绍审计日志的相关内容,包括:
· 简介
· 配置步骤
审计日志包括应用审计日志和网址控制日志,是上网行为管理功能的应用控制和网址控制产生的日志信息。日志内容包括用户的IP地址或用户名、访问的应用、访问的网址以及设备对访问行为执行的动作等,方便管理员对用户的上网行为进行分析与审计。
(1) 单击导航树中[上网行为管理/审计日志]菜单项,进入审计日志页面。
(2) 在“应用审计日志”页签下,点击<开启日志>按钮。将同时开启应用控制和网址控制日志的显示功能,用户可通过切换“应用审计日志”页签和“网址过滤日志”页签,分别查看相应的日志信息。
(3) 在“应用审计日志”页签下,点击<关闭日志>按钮,将同时关闭应用控制和网址控制日志的显示功能,已生成的日志不会被删除,用户可通过点击<开启日志>按钮再次开启日志显示功能。
本章节介绍上网行为管理的相关内容,包括:
· 简介
· 注意事项
· 本地更新特征库
· 在线更新特征库
特征库是用来识别应用或网址的特征的集合,包括应用特征库和网址特征库。管理员需要及时更新设备中的特征库,对用户的上网行为进行更好的管理。
设备提供如下升级方式:
· 本地升级:管理员先手工从设备的官方网站获取最新的特征库,再导入到设备中进行升级。
· 在线升级:管理员触发在线升级功能后,设备自动从设备的官方网站获取最新的特征库文件,并自动导入设备中进行升级。
· 更新特征库时,请确保License已正确安装,并处于生效状态。
· 当系统内存处于告警门限状态时,请勿进行特征库更新,否则易导致设备特征库更新失败,进而影响上网行为管理功能的正常使用。
· 在线更新特征库时,需要确保设备能通过静态或动态域名解析方式获得官方网站的IP地址,并与之路由可达,否则设备更新特征库会失败。
(1) 单击导航树中[上网行为管理/特征库管理]菜单项,进入特征库管理页面。
(2) 在“应用特征库”或“网址特征库”页签下,点击<本地更新特征库>按钮,进入应用特征导入页面。
(3) 点击<选择文件>按钮,选择特征库文件。
(4) 点击<确定>按钮,完成本地更新特征库。
(1) 单击导航树中[上网行为管理/特征库管理]菜单项,进入特征库管理页面。
(2) 在“应用特征库”或“网址特征库”页签下,点击<在线更新特征库>按钮,完成在线更新特征库。
本章节介绍带宽管理的相关内容,包括:
· 配置带宽限速
· 配置绿色通道
带宽管理功能用于对流量进行限速,用户可基于用户组和时间段等限制条件对流量进行精细控制。
对于需要保证时延的交互性应用流量,可通过启用绿色专用通道功能来保证带宽。
(1) 单击导航树中[上网行为管理/带宽管理]菜单项,进入带宽管理配置页面。
(2) 在“带宽限速”页签下,点击<添加>按钮,进入新建带宽策略页面。
¡ 在“应用接口”配置项处,选择接口,设备将基于该接口进行带宽管理。
¡ 在“用户范围”配置项处,选择用户组,设备将仅对该用户组内的成员进行带宽管理。
¡ 在“流量限制”配置项处,分别配置上传带宽、下载带宽和流量分配方式。若不配置上传或下载中任意一个方向的带宽值,则表示不对该方向的带宽进行限速。
流量分配方式包括如下类型:
- 共享式:分配的带宽为总带宽,由所有用户平均分配。
- 独占式:分配的带宽为单用户的带宽,由单用户独享。
¡ 在“限制时段”配置项处,选择时间组。
(3) 点击<确定>按钮,完成新建带宽策略。
请勿将绿色通道带宽设置过大,以免对普通流量产生影响。
(1) 单击导航树中[上网行为管理/带宽管理]菜单项,进入带宽管理配置页面。
(2) 单击“绿色通道”页签,进入绿色通道配置页面。
(3) 勾选“启用绿色专用通道”复选框,开启带宽管理的绿色通道功能。
(4) 对于需要保证时延的交互性应用流量,需要用户根据实际情况自行配置应用的协议和端口号。只有匹配应用的流量才能进入绿色通道传输,具体配置步骤如下:
¡ 勾选“自定义应用端口匹配绿色通道”复选框,点击自定义应用端口配置项右侧的<添加>按钮,进入新建界面,配置应用名称、应用协议和端口号。
¡ 点击<确定>按钮,完成新建自定义应用。
(5) 配置绿色通道中需要传输的应用后,还可以针对通道中所有应用进行如下限制:
¡ 如果还希望对绿色通道中的流速上限进行限制,则需要勾选“限制绿色通道流速上限”复选框,并配置最大流速。
¡ 如果还希望对绿色通道中传输的数据包长度进行限制,则需要勾选“匹配绿色通道数据包长度”复选框,并配置数据包的最大长度。超过最大长度的数据包不会进入绿色通道传输。
(6) 点击<应用>按钮,完成绿色通道的配置。
本章节介绍ARP攻击防御的相关内容,包括:
· 简介
· 动态ARP管理
· 攻击防御管理
ARP协议本身存在缺陷,攻击者可以轻易地利用ARP协议的缺陷对其进行攻击。ARP攻击防御技术提供了多种ARP攻击防御技术对局域网中的ARP攻击和ARP病毒进行防范、检测和解决。
ARP攻击防御功能包括:
· 动态ARP表项学习:本功能支持开启和关闭接口的动态ARP表项学习功能,当执行关闭接口的动态ARP表项学习功能后,该接口无法再学习新的动态ARP表项,提高了安全性。当设备的某个接口已经学到了该接口下所有合法用户的ARP表项时,建议关闭动态ARP表项学习功能。
· 动态ARP管理:包括动态ARP表项管理功能和ARP扫描、固化功能。ARP扫描、固化功能即对局域网内的用户进行自动扫描,并将生成的动态ARP表项固化为静态ARP表项。建议环境稳定的小型网络(如网吧)中配置本功能。先配置ARP扫描、固化功能,再关闭动态ARP表项学习功能,可以防止设备学习到错误的ARP表项。
· 攻击防御管理:包括静态ARP表项管理功能和仅允许ARP静态表项对应的用户访问外网功能。先配置ARP扫描、固化功能,再配置仅允许ARP静态表项对应的用户访问外网功能,可以防止攻击用户访问外网。
(1) 单击导航树中[网络安全/ARP攻击防御]菜单项,进入ARP攻击防御配置页面。
(2) 单击“动态ARP表项学习”页签,进入动态ARP表项学习配置页面。
(3) 在接口的“ARP学习”项,设置是否允许学习动态ARP表项:
¡ 点击<开启>按钮,则该接口允许学习动态ARP表项;
¡ 点击<关闭>按钮,则该接口不允许学习动态ARP表项。
(1) 单击导航树中[网络安全/ARP攻击防御]菜单项,进入ARP攻击防御配置页面。
(2) 单击“动态ARP管理”页签,进入动态ARP表项管理配置页面。
(3) 可对已有的动态ARP表项执行以下管理操作:
¡ 点击<刷新>按钮,则可以刷新当前动态ARP表项的显示信息。
¡ 点击<清除>按钮,则可以清除当前显示的所有动态ARP表项。
¡ 选择指定的动态ARP表项,点击<删除>按钮,再点击<确定>按钮后,可以删除对应的动态ARP表项。
(4) 可对已有的动态ARP表项执行以下管理操作:
a. 点击<扫描>按钮,进入扫描配置页面。
b. 在“接口”配置项处,选择需要执行ARP扫描操作的接口。
c. 在“开始IP地址”和“结束IP地址”配置项处,设置ARP扫描操作的起止IP地址。此处指定起止IP地址需要和接口的IP地址处于同一网段。
d. 选择“对已存在ARP表项的IP地址也进行扫描”后,ARP扫描功能会对开始IP地址和结束IP地址中的所有IP地址进行扫描,不会区分是否已存在ARP表项。
e. 选择指定的动态ARP表项,再点击<固化>按钮,则可以将这些动态ARP表项固化为静态ARP表项。
需要保证管理客户端的ARP表项是静态ARP表项,否则管理客户端可能无法工作。
如果需要执行批量添加静态ARP表项操作,还需要提前将记录静态ARP表项的文件保存在本地,然后再执行静态ARP表项的导入操作。建议通过Web页面导出一个ARP表项文件,在该文件中批量添加静态ARP表项后,再使用它进行导入操作。
(1) 单击导航树中[网络安全/ARP攻击防御]菜单项,进入ARP攻击防御配置页面。
(2) 单击“攻击防御管理”页签,进入攻击防御管理配置页面。
(3) 选择“仅允许ARP静态绑定的客户访问外网”,则只有静态ARP表项对应的客户可以访问外网,动态ARP表项对应的客户无法访问外网。选择“不限制”,则静态ARP表项和动态ARP表项对应的客户都能访问外网。
(4) 可对静态ARP表项执行以下管理操作:
¡ 点击<刷新>按钮,则可以刷新当前静态ARP表项的显示信息。
¡ 点击<导入>按钮,则可以批量导入静态ARP表项。
¡ 点击<导出>按钮,则可以批量导出静态ARP表项到文件中。
¡ 点击<添加>按钮,进入“添加ARP表项”页面。在“添加ARP表项”页面,输入静态ARP表项的IP地址和MAC地址,点击“确定”按钮,静态ARP表项添加成功。
¡ 选择指定的静态ARP表项,点击<删除>按钮,再点击<确定>按钮后,可以删除对应的静态ARP表项。
本章节介绍MAC地址过滤的相关内容,包括:
· 简介
· 注意事项
· 配置步骤
如果您希望对某些设备发送过来的报文进行限制(允许或禁止其通过),则可以在三层接口上配置MAC地址过滤功能,本功能将根据接收报文的源MAC地址对其过滤。
配置方式有如下两种:
· 白名单:允许源MAC地址在白名单内的报文通过,其余禁止通过。
· 黑名单:禁止源MAC地址在黑名单内的报文通过,其余允许通过。
如果您想在管理员终端连接的接口上开启白名单方式的MAC地址过滤功能,请先确保管理员的终端MAC地址已添加到白名单中。
MAC地址过滤的配置方式有白名单和黑名单两种,下面以白名单为例进行配置步骤的讲解,黑名单的配置步骤同白名单。
(1) 单击导航树中[网络安全/MAC地址过滤]菜单项,进入MAC地址过滤配置页面。
(2) 单击“MAC过滤设置”页签,进入MAC过滤设置页面。
(3) 在指定接口的“过滤方式”区段上,选择“白名单”,并在“开启和关闭”区段上勾选“开启”。
(4) 点击<应用>按钮,开启MAC地址过滤。
(5) 单击“MAC黑白名单管理”页签,进入MAC黑白名单管理设置页面。
(6) 单击“白名单”页签,进入白名单设置页面。
¡ 如果需要添加单个MAC地址,请执行以下步骤:
a. 点击<添加>按钮,进入添加源MAC地址页面。
b. 输入待过滤的源MAC地址。
c. 点击<确定>按钮,完成对白名单添加单个MAC地址的操作。
¡ 如果需要批量添加MAC地址,请执行以下步骤:
d. 点击<导出>按钮,选择“导出模板”。
e. 打开下载好的模板,添加待过滤的源MAC地址并在本地保存。
f. 点击<导入>按钮,进入导入源MAC地址页面。
g. 点击<选择文件>按钮,选择已编辑好的模板。
h. 点击<确定>按钮,完成对白名单批量添加MAC地址的操作。
本章节介绍防火墙的相关内容,包括:
· 简介
· 注意事项
· 配置准备
· 配置步骤
防火墙功能是通过一系列的安全规则匹配网络中的报文,并执行相应的动作,从而达到阻断非法报文传输、正常转发合法报文的目的,为用户的网络提供一道安全屏障。
当报文匹配到一个防火墙安全规则后,则不会继续向下匹配,所以请合理安排安全规则的优先级,避免报文匹配错误的规则而导致执行相反动作。
· 请提前完成外网配置页面的相关配置,才可创建防火墙安全规则。
· 若需指定防火墙安全规则的生效时间,请提前在时间组页面创建相应的时间组。
(1) 单击导航树中[网络安全/防火墙]菜单项,进入防火墙配置页面。
(2) 点击<添加>按钮,进入创建安全规则页面。
(3) 在“接口”配置项处,选择应用的接口,该规则将对指定接口接收到的报文进行匹配。
(4) 在“协议”配置项处,选择该规则所匹配报文的协议类型。若需匹配某传输层协议的报文,则选择“TCP”或“UDP”;若需匹配Ping、Tracert等ICMP协议报文,则选择“ICMP”;若需匹配所有协议报文,则选择“所有协议”。
(5) 在“源IP地址/掩码”配置项处,配置该规则所匹配报文发送端的IP地址及掩码,输入“any”则代表匹配所有源IP地址。
(6) 在“目的IP地址/掩码”配置项处,配置该规则所匹配报文接收端的IP地址及掩码,输入“any”则代表匹配所有目的IP地址。
(7) 在“目的端口”配置项处,配置该规则所匹配报文的目的端口号,例如HTTP协议报文的目的端口号为80。
(8) 在“规则生效时间”配置项处,选择该规则生效时间对应的时间组。
(9) 在“动作”配置项处,选择该规则所匹配报文的执行动作。
(10) 在“优先级”配置项处,选择该规则的优先级类型。
¡ 自动:系统自动为该规则分配优先级,即根据规则的配置顺序以5为步长进行依次分配。
¡ 自定义:用户自定义规则的优先级,数值越小则优先级越高。
(11) 在“描述”配置项处,配置该安全规则的描述信息。
(12) 点击<确定>按钮,完成创建安全规则。
本章节介绍DDoS攻击防御的相关内容,包括:
· 简介
· 配置步骤
DDoS攻击是一类广泛存在于互联网中的攻击,能造成比传统DoS攻击(拒绝服务攻击)更大的危害。配置本功能能让您的设备和网络免受如下DDoS攻击的困扰:
· 单包攻击:攻击者利用畸形报文发起攻击,旨在瘫痪目标系统。例如Land攻击报文是源IP和目的IP均为攻击目标IP的TCP报文,此攻击将耗尽目标服务器的连接资源,使其无法处理正常业务。
· 异常流攻击
¡ 扫描攻击:攻击者对主机地址和端口进行扫描,探测目标网络拓扑以及开放的服务端口,为进一步侵入目标系统做准备。
¡ 泛洪攻击:攻击者向目标系统发送大量伪造请求,导致目标系统疲于应对无用信息,从而无法为合法用户提供正常服务。
设备可防御的DDoS攻击包括:
· 单包攻击:Fraggle攻击、Land攻击、WinNuke攻击、TCP Flag攻击、ICMP不可达报文攻击、ICMP重定向报文攻击、Smurf攻击、带源路由选项的IP报文攻击、带路由记录选项的IP报文攻击和超大ICMP报文攻击。
· 异常流攻击:扫描攻击、SYN flood攻击、UDP flood攻击和ICMP flood攻击。
(1) 单击导航树中[网络安全/DDoS攻击防御]菜单项,进入DDoS攻击防御配置页面。
(2) 单击“攻击防御”页签,进入攻击防御配置页面。
(3) 点击<添加>按钮,进入新建攻击防御页面。
¡ 在“应用接口”配置项处,选择应用该DDoS攻击防御策略的接口。
¡ 在“单包攻击防御”配置项处,选择需要开启防御的单包攻击类型。
建议您开启全部单包攻击防御。
¡ 在“异常流攻击防御”配置项处,选择需要开启防御的异常流攻击类型。
- 启动扫描攻击防御后,可选择将源IP地址加入黑名单。在一定时间内,来自扫描攻击源的报文将被设备直接丢弃。被加入黑名单的IP地址可在黑名单管理页面查看。
- 建议您根据网络流量类型开启对应的泛洪攻击防御。
(4) 点击<确定>按钮,完成配置。
本章节介绍连接限制的相关内容,包括:
· 简介
连接限制功能是一种安全机制,通过限制每个IP地址主动发起连接的个数,达到合理分配设备处理资源、防范恶意连接的效果。
如果设备发现来自某IP地址的TCP或UDP连接数目超过指定的数目,将禁止该连接建立。直到该连接数低于限制数时,其才被允许新建连接。
设备支持配置如下两种连接限制:
· 网络连接限制:在指定IP地址范围内,配置每个IP地址发起连接的个数限制。此方式用于对设备上的所有接口收到的连接进行控制。
· VLAN网络连接限制:在指定VLAN接口上,配置每个IP地址发起连接的个数限制。此方式用于对指定VLAN接口收到的连接进行控制。
(1) 单击导航树中[安全管理/连接限制]菜单项,进入连接限制配置页面。
(2) 单击“网络连接限制数”页签。
(3) 勾选“开启网络连接限制数”选项,进入网络连接限制数配置页面。
(4) 点击<添加>按钮,进入新建网络连接限制数规则页面。
(5) 在“起始IP地址”配置项处,输入地址范围的起始IP地址。
(6) 在“结束IP地址”配置项处,输入地址范围的结束IP地址。
(7) 在“每IP总连接数上限”配置项处,输入每个IP地址所允许发起连接的总个数上限。
相同源IP,源端口、目的IP、目的端口或报文协议不完全相同的连接均属于不同的连接。
(8) 在“每IP TCP连接数上限”配置项处,输入每个IP地址所允许发起的TCP连接的个数上限。您可以在上面设置的总连接限制数下,对TCP连接数进行单独限制。
(9) 在“每IP UDP连接数上限”配置项处,输入每个IP地址所允许发起的UDP连接的个数上限。您可以在上面设置的总连接限制数下,对UDP连接数进行单独限制。
(10) 在“描述”配置项处,输入规则描述信息。
(11) 点击<确定>按钮,完成配置。
(1) 单击导航树中[安全管理/连接限制]菜单项,进入连接限制配置页面。
(2) 单击“VLAN网络连接限制数”页签。
(3) 点击<添加>按钮,进入新建VLAN网络连接限制数规则页面。
(4) 在“VLAN接口”下拉菜单处,选择应用此规则的VLAN接口。
(5) 选择“启动连接限制功能”选项。
(6) 在“每IP总连接数上限”配置项处,输入每个IP地址所允许发起连接的总个数上限。
相同源IP,源端口、目的IP、目的端口或报文协议不完全相同的连接均属于不同的连接。
(7) 在“每IP TCP连接数上限”配置项处,输入每个IP地址所允许发起的TCP连接的个数上限。您可以在上面设置的总连接限制数下,对TCP连接数进行单独限制。
(8) 在“每IP UDP连接数上限”配置项处,输入每个IP地址所允许发起的UDP连接的个数上限。您可以在上面设置的总连接限制数下,对UDP连接数进行单独限制。
(9) 在“描述”配置项处,输入规则描述信息。
(10) 点击<确定>按钮,完成配置。
本章节介绍IPsec VPN的相关内容,包括:
· 简介
IPsec VPN是利用IPsec技术建立的虚拟专用网。IPsec通过在特定通信方之间建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。
IPsec协议为IP层上的网络数据安全提供了一整套安全体系结构,包括安全协议AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安全载荷)、IKE(Internet Key Exchange,互联网密钥交换)以及用于网络认证及加密的一些算法等。其中,AH协议和ESP协议用于提供安全服务,IKE协议用于密钥交换。
设备支持两种IPsec VPN组网方式:
· “中心—分支”方式组网:企业分支机构网关将主动与总部网关建立IPsec隧道,分支机构内部终端可以安全访问总部的网络资源。
· 对等方式组网:企业各分支网关之间均可主动建立IPsec隧道,来保护分支之间的数据通信。
“中心—分支”方式组网环境中的分支节点设备需要主动建立IPsec隧道与中心节点通信。
对等方式组网环境中的设备需要与对端设备主动建立IPsec隧道。
(1) 单击导航树中[虚拟专网/IPsec VPN]菜单项,进入IPsec VPN配置页面。
单击“IPsec策略”页签,进入IPsec策略配置页面。
(2) 点击<添加>按钮,进入添加IPsec策略页面。
(3) 在“名称”配置项处,输入IPsec策略的名称。
(4) 在“接口”配置项处,选择应用IPsec策略的接口。请注意,此接口需要与对端设备路由可达。
(5) 在“组网方式”配置项处,选择分支节点。
(6) 在“对端网关地址”配置项处,输入IPsec隧道对端的IP地址。通常为总部网关或对端分支机构网关的WAN口地址。
(7) 在“预共享密钥”配置项处,输入与对端设备相同的预共享密钥。该密钥需要提前进行协商和通告。
(8) 在“保护流配置”配置项处,进行如下配置:
a. 在“受保护协议”配置项处,选择受IPsec隧道保护的报文的协议类型。
b. 在“本端受保护网段/掩码”配置项处,输入本端受保护网段。
c. 在“本端受保护端口”配置项处,输入本端受保护端口。仅当受保护协议选择为TCP或UDP时支持配置。
由本端受保护网段内主机的受保护端口发送的报文将被设备进行IPsec隧道封装处理。
d. 在“对端受保护网段/掩码”配置项处,输入对端受保护网段。
e. 在“对端受保护端口”配置项处,输入对端受保护端口。仅当受保护协议选择为TCP或UDP时支持配置。
由对端受保护网段内主机的受保护端口发送的报文才可以被设备进行IPsec隧道解封装处理。
f. 可以通过多次执行步骤(9)添加多条保护流。
如您需要改变设备的缺省IKE配置,可按如下方式进行配置。
(1) 按上述方式完成IPsec基本配置。
(2) 点击<显示高级配置>链接,进入高级配置页面。
(3) 单击“IKE配置”页签,进入IKE配置页面。
(4) 在“协商模式”配置项处,选择IKE协商模式:
¡ 主模式:协商步骤多,身份验证位于密钥交互过程之后进行,适用于对身份保护要求较高的场合。
¡ 野蛮模式:协商步骤少,身份验证与密钥交互同时进行,适用于对身份保护要求不高的场合。
若设备公网IP地址是动态分配的,建议您选择IKE协商模式为野蛮模式。
(5) 在“本端身份类型”配置项处,配置用于IKE认证的本端设备身份类型和身份标识。身份类型可选择IP地址、FQDN名称或user FQDN名称。需要注意的是,此项必须与对端设备上执行步骤(6)配置的对端身份类型和身份标识一致。
如果您执行步骤(4)选择的IKE协商模式为主模式,您需要将本端设备身份类型配置为IP地址。
(6) 在“对端身份类型”配置项处,配置用于IKE认证的对端设备身份类型和身份标识。身份类型可选择IP地址、FQDN名称或user FQDN名称。需要注意的是,此项必须与对端设备上执行步骤(5)配置的本端身份类型和身份标识一致。
(7) 在“对等体存活检测(DPD)”配置项处,选择是否开启对等体存活检测功能。该功能可用于检测对端是否存活,设备将拆除对端失活的IPsec隧道。建议您开启此功能,使设备能够及时获悉IPsec隧道的可用情况。
(8) 在“算法组合”配置项处,选择IKE协议交互所需的加密和认证算法。您可选择推荐的算法组合亦可自定义认证算法、加密算法和PFS算法。
IPsec隧道的两端所配置的认证算法、加密算法和PFS算法必须一致。
(9) 在“SA生存时间”配置项处,输入IKE重新协商的时间间隔,超过所配时间将触发IKE相关参数的重新协商。
如您需要改变设备的缺省IPsec高级配置,可按如下方式进行配置。
(1) 按上述方式完成IPsec基本配置。
(2) 单击“IPsec配置”页签,进入IPsec配置页面。
(3) 在“算法组合”配置项处,选择IPsec协议交互使用的安全协议以及相应的加密和认证算法。您可选择推荐的算法组合亦可自定义安全协议、认证算法、加密算法、封装模式和PFS算法。
若IPsec本端受保护网段与对端受保护网段均为私网网段,建议您选择封装模式为隧道模式。
IPsec隧道的两端所配置的安全协议、认证算法、加密算法、封装模式和PFS算法必须一致。
(4) 在“基于时间的SA生存时间”配置项处,输入触发IPsec重新协商的时间间隔,超过所配时间将触发IPsec相关参数的重新协商。
(5) 在“基于流量的SA生存时间”配置项处,输入触发IPsec重新协商的流量大小,超过所配流量将触发IPsec相关参数的重新协商。
(6) 点击<返回基本配置>按钮,返回添加IPsec策略页面。
(7) 点击<确定>按钮,完成配置。
“中心—分支”方式组网环境中的中心节点设备需要主动建立IPsec隧道与分支节点通信。
(1) 单击导航树中[虚拟专网/IPsec VPN]菜单项,进入IPsec VPN配置页面。
(2) 单击“IPsec策略”页签,进入IPsec策略配置页面。
(3) 点击<添加>按钮,进入添加IPsec策略页面。
(4) 在“名称”配置项处,输入IPsec策略的名称。
(5) 在“接口”配置项处,选择应用IPsec策略的接口。请注意,此接口需要与分支节点设备路由可达。
(6) 在“组网方式”配置项处,选择中心节点。
(7) 在“预共享密钥”配置项处,输入与对端设备相同的预共享密钥。该密钥需要提前进行协商和通告。
如您需要改变设备的缺省IKE配置,可按如下方式进行配置。
(1) 按上述方式完成IPsec基本配置。
(2) 点击<显示高级配置>链接,进入高级配置页面。
(3) 单击“IKE配置”页签,进入IKE配置页面。
(4) 在“协商模式”配置项处,选择IKE协商模式:
¡ 主模式:协商步骤多,身份验证位于密钥交互过程之后进行,适用于对身份保护要求较高的场合。
¡ 野蛮模式:协商步骤少,身份验证与密钥交互同时进行,适用于对身份保护要求不高的场合。
若设备公网IP地址是动态分配的,建议您选择IKE协商模式为野蛮模式。
(5) 在“本端身份类型”配置项处,配置用于IKE认证的本端设备身份类型和身份标识。身份类型可选择IP地址、FQDN名称或user FQDN名称。需要注意的是,此项必须与分支节点设备上配置的对端身份类型和身份标识一致。
如果您执行步骤(4)选择的IKE协商模式为主模式,您需要将本端设备身份类型配置为IP地址。
(6) 在“对等体存活检测(DPD)”配置项处,选择是否开启对等体存活检测功能。该功能可用于检测对端是否存活,设备将拆除对端失活的IPsec隧道。建议您开启此功能,使设备能够及时获悉IPsec隧道的可用情况。
(7) 在“算法组合”配置项处,选择IKE协议交互所需的加密和认证算法。您可选择推荐的算法组合亦可自定义认证算法、加密算法和PFS算法。
IPsec隧道的两端所配置的认证算法、加密算法和PFS算法必须一致。
(8) 在“SA生存时间”配置项处,输入IKE重新协商的时间间隔,超过所配时间将触发IKE相关参数的重新协商。
如您需要改变设备的缺省IPsec高级配置,可按如下方式进行配置。
(1) 按上述方式完成IPsec基本配置。
(2) 单击“IPsec配置”页签,进入IPsec配置页面。
(3) 在“算法组合”配置项处,选择IPsec协议交互使用的安全协议以及相应的加密和认证算法。您可选择推荐的算法组合亦可自定义安全协议、认证算法、加密算法、封装模式和PFS算法。
若IPsec本端受保护网段与对端受保护网段均为私网网段,建议您选择封装模式为隧道模式。
IPsec隧道的两端所配置的安全协议、认证算法、加密算法、封装模式和PFS算法必须一致。
(4) 在“基于时间的SA生存时间”配置项处,输入触发IPsec重新协商的时间间隔,超过所配时间将触发IPsec相关参数的重新协商。
(5) 在“基于流量的SA生存时间”配置项处,输入触发IPsec重新协商的流量大小,超过所配流量将触发IPsec相关参数的重新协商。
(6) 点击<返回基本配置>按钮,返回添加IPsec策略页面。
(7) 点击<确定>按钮,完成配置。
本章节介绍L2TP服务器端的相关内容,包括:
· 简介
· 配置步骤
本功能主要用于配置L2TP服务器端基本参数,开启L2TP服务。
如果您希望为企业驻外机构和出差人员等远端用户,提供一种安全且经济的方式,让他们能够与企业内部网络通信,访问企业内部网络资源,那么您可以通过配置L2TP服务器端来实现上述需求。
L2TP服务器端是具有PPP和L2TP协议处理能力的设备,通常位于企业内部网络的边缘。
(1) 单击导航树中[虚拟专网/L2TP服务器端]菜单项,进入L2TP服务器端页面。
(2) 单击“L2TP配置”页签,进入L2TP配置页面。
(3) 在“L2TP服务器端”配置项处,选择“开启”,开启L2TP服务。
(4) 点击<添加>按钮,进入新建L2TP组页面。
(5) 在“L2TP配置”下,设置L2TP隧道参数:
¡ 根据需要决定是否勾选“对端隧道名称”,如勾选,则在配置项处输入L2TP客户端的隧道名称。
¡ 在“本端隧道名称”配置项处,输入L2TP服务器端的隧道名称。
¡ 在“隧道验证”配置项处,根据实际需要选择“启用”或“禁用”。
- 如选择“启用”,则需在“隧道验证密码”配置项处,输入验证密码。该方式更加安全,但需要L2TP服务器端和L2TP客户端都启用隧道验证,且密码一致。
- 如选择“禁用”,则表示L2TP服务器端和L2TP客户端在建立隧道时无需验证。
(6) 在“PPP认证配置”下的“PPP认证方式”配置项处,根据需要选择认证方式为“None”、“PAP”或“CHAP”。
¡ 如选择“None”,则表示对用户免认证。该方式,安全性最低,请谨慎使用。
¡ 如选择“PAP”,则表示采用两次握手机制对用户进行认证。该方式,安全性中。
¡ 如选择“CHAP”,则表示采用三次握手机制对用户进行认证。该方式,安全性最高。
(7) 在“PPP地址配置”下,设置PPP地址参数:
¡ 在“虚拟模板接口地址”配置项处,输入虚拟模板接口的IP地址,使L2TP服务器端具有为L2TP客户端或用户分配IP地址的能力。
¡ 在“子网掩码”配置项处,输入虚拟模板接口IP地址的子网掩码。
¡ 在“用户地址池”配置项处,输入用于分配给L2TP客户端或用户的IP地址。
(8) 在“LNS用户管理”下根据提示添加指定接入的PPP用户。
(9) 单击<显示高级设置>按钮,展开高级配置页面。
(10) 在“高级配置”下,设置高级配置参数:
¡ 在“Hello报文间隔”配置项处,输入保活报文的时间间隔。
¡ 在“AVP数据隐藏”配置项处,根据实际需要选择“启用”或“禁用”。
- 如选择“启用”,则表示利用隧道验证密码对AVP数据(例如隧道协商参数、会话协商参数和用户认证信息)进行加密传输,增强数据传输的安全性。
- 如选择“禁用”,则表示不对AVP数据进行加密传输。
¡ 在“流量控制”配置项处,根据实际需要选择“启用”或“禁用”。
- 如选择“启用”,则表示在L2TP数据报文的接收与发送过程中,基于报文中携带的序列号来检测是存在否丢包,并根据序列号对乱序报文进行排序,提高L2TP数据报文传输的正确性和可靠性。在L2TP服务器端和L2TP客户端中的任意一端启用流量控制,该功能即可生效。
- 如选择“禁用”,则表示不对报文进行检测及排序。
¡ 在“强制本端CHAP认证”配置项处,根据实际需要选择“启用”或“禁用”。
- 如选择“启用”,则表示在L2TP客户端对用户进行验证后,再由L2TP服务器端采用CHAP方式对用户进行二次认证,增强安全性。启用强制CHAP认证时,PPP认证方式必须选择为“CHAP”。
- 如选择“禁用”,则表示不在L2TP服务器端对用户进行强制CHAP验证。对于不支持进行第二次CHAP认证的用户,建议禁用本功能。
¡ 在“强制LCP重协商”配置项处,根据实际需要选择“启用”或“禁用”。
- 如选择“启用”,则表示在L2TP客户端对用户进行验证后,再由L2TP服务器端采用LCP重协商方式对用户进行二次LCP协商及认证,增强安全性。如果同时启用了强制LCP重协商和强制CHAP认证,则仅强制LCP重协商生效。
- 如选择“禁用”,则表示不在L2TP服务器端与用户进行强制LCP重协商。对于不支持LCP协商的用户,建议禁用本功能。
(11) 点击<确定>按钮,完成配置。
本章节介绍L2TP客户端的相关内容,包括:
· 简介
· 配置步骤
本功能主要用于配置L2TP客户端基本参数,开启L2TP服务。
如果您希望为企业驻外机构,提供一种安全且经济的方式,让他们能够与企业内部网络通信,访问企业内部网络资源,那么您可以通过配置L2TP服务器端来实现上述需求。
L2TP客户端是具有PPP和L2TP协议处理能力的设备,通常位于企业驻外机构网络的出口。
(1) 单击导航树中[虚拟专网/L2TP客户端]菜单项,进入L2TP客户端页面。
(2) 单击“L2TP配置”页签,进入L2TP配置页面。
(3) 在“L2TP客户端”配置项处,选择“开启”,开启L2TP服务。
(4) 点击<添加>按钮,进入新建L2TP组页面。
(5) 在“L2TP配置”下,设置L2TP隧道参数:
¡ 在“本端隧道名称”配置项处,输入L2TP客户端的隧道名称。
¡ 在“隧道验证”配置项处,根据实际需要选择“启用”或“禁用”。
- 如选择“启用”,则需在“隧道验证密码”配置项处,输入验证密码。该方式更加安全,但需要L2TP服务器端和L2TP客户端都启用隧道验证,且密码一致。
- 如选择“禁用”,则表示L2TP服务器端和L2TP客户端在建立隧道时无需验证。
(6) 在“PPP认证配置”下的“PPP认证方式”配置项处,,根据需要选择认证方式为“None”、“PAP”或“CHAP”。
¡ 如选择“None”,则表示对用户免认证。该方式,安全性最低,请谨慎使用。
¡ 如选择“PAP”,则表示采用两次握手机制对用户进行认证。该方式,安全性中。
¡ 如选择“CHAP”,则表示采用三次握手机制对用户进行认证。该方式,安全性最高。
(7) 在“L2TP服务器端配置”下的“L2TP服务器端地址”配置项处,输入L2TP服务器端的IP地址。
(8) 在“高级配置”下,设置高级配置参数:
¡ 在“Hello报文间隔”配置项处,输入保活报文的时间间隔。
¡ 在“AVP数据隐藏”配置项处,根据实际需要选择“启用”或“禁用”。
- 如选择“启用”,则表示利用隧道验证密码对AVP数据(例如隧道协商参数、会话协商参数和用户认证信息)进行加密传输,增强数据传输的安全性。
- 如选择“禁用”,则表示不对AVP数据进行加密传输。
¡ 在“流量控制”配置项处,根据实际需要选择“启用”或“禁用”。
- 如选择“启用”,则表示在L2TP数据报文的接收与发送过程中,基于报文中携带的序列号来检测是存在否丢包,并根据序列号对乱序报文进行排序,提高L2TP数据报文传输的正确性和可靠性。在L2TP服务器端和L2TP客户端中的任意一端启用流量控制,该功能即可生效。
- 如选择“禁用”,则表示不对报文进行检测及排序。
(9) 点击<确定>按钮,完成配置。
本章节介绍用户管理的相关内容,包括:
· 简介
· 添加上网用户账户
· 删除上网用户账户
如果您需要对通过设备访问外部网络的用户进行身份认证(例如Portal认证、PPPoE认证),则需要通过本功能配置相应的用户账户,来维护用户的身份信息和与其相关的网络服务信息(例如用户名、密码、可用的服务、有效期等)。通过身份认证的用户将可以获得访问外部网络的权限。
如果待添加的用户账户需要与某个MAC地址绑定,请提前收集该客户端网卡的MAC地址。
(1) 单击导航树中[认证管理/用户管理]菜单项,进入用户管理配置页面。
(2) 单击“用户设置”页签,进入用户配置页面。
(3) 点击<添加>按钮,进入添加用户页面。
(4) 在“用户名”配置项处,输入账户名称。
(5) 在“状态”配置项处,选择“可用”或“禁用”。
¡ 如果需要该账户在配置完成后立即生效,请选择“可用”。
¡ 如果暂时不需要该账户生效,请选择“禁用”。
(6) 在“密码”配置项处,输入用户密码。如果不设置用户密码,则该用户进行身份认证时,不需要提供密码。为提高用户帐户的安全性,建议您设置用户密码。
(7) 在“可用服务”配置项处,选择该账户可使用的接入认证方式。
(8) 在“MAC地址”配置项处,选择该账户是否需要与某个客户端的MAC地址绑定。
¡ 如果选择“绑定“,请同时输入要绑定的MAC地址,输入格式例如:00-e0-fc-00-58-29,用户进行身份认证时,设备会检查该用户客户端的MAC地址与此处绑定的MAC地址是否一致,如果不一致则用户认证失败。
¡ 如果您不希望该账户仅能由指定MAC地址的客户端设备使用,请选择“不绑定”。
(9) 在“最大用户数”配置项处,输入允许同时使用该账户在线的用户数目。如果不设置该值,则表示不限制使用该账户在线的用户数。
(10) 在“有效日期”配置项处,选择该账户的有效期。如果指定了有效期,则用户只能在有效期内使用账户进行认证。
(11) 在“描述”配置项处,可输入相应的描述信息以便记忆和管理用户。
(12) 点击<确定>按钮,完成配置。
删除用户账户并不会导致正在使用该账户的在线用户下线,仅会导致新用户无法使用该账户上线。
(1) 单击导航树中[认证管理/用户管理]菜单项,进入用户管理配置页面。
(2) 在用户行的“操作”区域,点击删除按钮,删除该用户账户。
(3) 在弹出的“确认提示”对话框中,点击<是>按钮,完成删除操作。
本章节介绍PPPoE服务器的相关内容,包括:
· 简介
· 注意事项
· 配置步骤
如果您希望对用户提供PPPoE宽带拨号服务,以实现对拨号用户的地址分配管理和认证管理,那么您可以通过配置PPPoE服务器来满足上述需求。
本节配置完成后,设备仅作为PPPoE服务器为拨号用户提供地址分配和认证管理服务。如果您希望为拨号用户提供上网服务,以便用户可以访问互联网,除完成本节配置外,还需要完成外网的设置。外网的具体设置步骤具体请参见[快速设置]或[网络设置/外网配置]菜单项中的配置。
(1) 单击导航树中[认证管理/PPPoE服务器]菜单项,进入PPPoE服务器配置页面。
(2) 点击<添加>按钮,进入新建PPPoE服务器页面。
(3) 在“应用于”配置项处,选择设备用于提供PPPoE拨号服务的接口。
(4) 在“虚拟模板接口地址”配置项处,输入虚拟模板接口的IP地址,使PPPoE服务器具有为用户分配IP地址的能力。
(5) 在“子网掩码”配置项处,输入虚拟模板接口IP地址的子网掩码。
(6) 在“用户地址池”配置项处,输入用于分配给PPPoE拨号用户的IP地址。
(7) 在“DNS1”配置项处,输入用于分配给PPPoE拨号用户的主DNS服务器IPv4地址。
(8) 在“DNS2”配置项处,输入用于分配给PPPoE拨号用户的从DNS服务器IPv4地址。
(9) 在“当前服务器可接入的终端数”配置项处,输入允许拨号上网的最大用户数。
(10) 点击<确定>按钮,启动PPPoE服务。
本章节介绍Portal认证配置的相关内容,包括:
· 简介
Portal是互联网接入的一种认证方式,通过对用户进行身份认证,以达到对用户访问进行控制的目的。
· Web网页认证应用场景下,用户无需安装客户端软件,直接通过Web页面接受用户输入的用户名和密码,设备对用户进行身份认证,用户通过Portal认证后,可以访问互联网资源。
· 微信客户端认证应用场景下,用户关注微信公众号进行认证,在微信公众号中点击上网链接即可进行认证,用户通过Portal认证后,可以访问互联网资源。
您可以为不需要通过Portal认证即可访问网络资源的用户设置免认证规则,免认证规则的匹配项包括MAC地址、IP地址或主机名。
为设备连接Portal用户终端的接口配置IP地址。
将需要导入的背景图片文件保存到本地。该图片的分辨率为1440×900,大小为255K,名称为background-logon.jpg。
(1) 单击导航树中[认证管理/Portal认证]菜单项,进入Portal认证配置页面。
(2) 单击“认证设置”页签,进入认证设置页面。
(3) 选择“Web网页认证”。
(4) 勾选“启用Web认证服务”,使用Portal认证功能,必须开启Web认证服务。
¡ 在“会话超时时间”配置项处,输入Portal会话的超时时间。
如果用户在线时长超过该值,设备会强制该用户下线。
¡ 在“认证服务接口”配置项处,选择需要开启Portal功能的接口。
该接口必须已配置IP地址。
(5) 在“窗口标题”配置项处,输入窗口标题的内容,例如“欢迎登录Portal认证页面”。
(6) 在“窗口提示信息”配置项处,输入窗口提示信息,例如“XXX公司”。
(7) 在“导入背景图片”配置项处,点击<选择文件>按钮,选择要导入的图片文件。
(8) 点击<确定>按钮,完成配置。
(9) 点击<预览>按钮,可以预览已配置完成的Portal认证页面。
为设备连接Portal用户终端的接口配置IP地址。
将需要导入的背景图片文件保存到本地。该图片的分辨率为422×251,大小为47K,名称为guanzhu.jpg。
(1) 单击导航树中[认证管理/Portal认证]菜单项,进入Portal认证配置页面。
(2) 单击“认证设置”页签,进入认证设置页面。
(3) 选择“微信客户端认证”。
(4) 勾选“启用Web认证服务”,使用Portal认证功能,必须开启Web认证服务。
¡ 在“会话超时时间”配置项处,输入Portal会话的超时时间。
如果用户在线时长超过该值,设备会强制该用户下线。
¡ 在“认证服务接口”配置项处,选择需要开启Portal功能的接口。
该接口必须已配置IP地址。
(5) 在“窗口标题”配置项处,输入窗口标题的内容,例如“欢迎登录Portal认证页面”。
(6) 在“窗口提示信息”配置项处,输入窗口提示信息,例如“XXX公司”。
在“导入背景图片”配置项处,点击<选择文件>按钮,选择要导入的图片文件。
(7) 在“微信DNS”配置项处,输入微信公众号上面设置的设备的域名。
输入设备的域名时,只能输入字母、数字、“-”、“_”和“.”,且不能以“.”开头。
(8) 点击<确定>按钮,完成配置。
(9) 点击<预览>按钮,可以预览已配置完成的Portal认证页面。
(1) 单击导航树中[认证管理/Portal认证]菜单项,进入Portal认证配置页面。
(2) 单击“免认证MAC地址”页签,进入免认证MAC地址配置页面。
(3) 点击<添加>按钮,进入添加免认证MAC地址页面。
(4) 在“MAC地址”配置项处,输入免认证MAC地址。
(5) 在“描述”配置项处,输入与本配置相关的描述。
(6) 点击<确定>按钮,完成配置。
(1) 单击导航树中[认证管理/Portal认证]菜单项,进入Portal认证配置页面。
(2) 单击“免认证IP地址/域名”页签,进入免认证IP地址/域名配置页面。
(3) 点击<添加>按钮,进入添加免认证地址页面。
(4) 在“地址添加方式”配置项处,选择免认证地址的类型。
¡ 选择“源地址”或“目的地址”,请继续在“IP地址”配置项处,输入免认证的IP地址及掩码。
¡ 选择“域名”,请继续在“域名”配置项处,输入域名。
(5) 在“描述”配置项处,输入与本配置相关的描述。
(6) 点击<确定>按钮,完成配置。
本章节介绍静态路由的相关内容,包括:
· 简介
· 注意事项
· 配置步骤
静态路由是在路由器中通过手工方式设置的固定路由条目。当您的网络结构比较简单且比较稳定时,通过配置静态路由就可以实现网络互通。例如,当您知道网络的出接口,以及网关的IP地址时,设置静态路由即可实现正常通信。
当去往同一目的地存在多条静态路由时,如果您希望优先选用某条静态路由,可以调整静态路由的优先级。优先级的值越小,对应的静态路由的优先级越高。
当静态路由中下一跳对应的接口失效时,本地的静态路由条目不会被删除,这种情况下需要您检查网络环境,然后修改静态路由的配置。
(1) 单击导航树中[高级选项/静态路由]菜单项,进入静态路由配置页面。
(2) 点击<添加>按钮,进入添加IPv4静态路由页面。
(3) 在“目的IP地址”配置项处,输入设备要访问的目的网络的IP地址。
(4) 在“掩码长度”配置项处,输入目的网络的掩码长度。
(5) 在“下一跳”下,设置去往目的网络的出接口和下一跳参数:
¡ 选择出接口。选择Null0接口作为出接口时,设备会丢弃发送到指定目的网络的报文。当存在针对某个目的网络的攻击报文,或将报文发送到某个目的网络时产生环路,可以通过指定去往该目的网络的出接口为Null0接口,来避免攻击和环路。
¡ 设置下一跳IP地址。
(6) 在“路由优先级”下,输入静态路由的优先级。
(7) 在“描述”下,输入静态路由的描述信息。
(8) 点击<确定>按钮,完成静态路由的添加。
本章节介绍策略路由的相关内容,包括:
· 简介
· 配置步骤
与单纯按照IP报文的目的地址查找路由表进行转发不同,策略路由是一种依据用户制定的策略进行路由转发的机制。策略路由可以对于满足一定条件(源地址和目的地址等)的报文,执行指定的操作(设置报文的下一跳、出接口、缺省下一跳和缺省出接口等)。策略路由的匹配条件比普通路由更丰富,当需要按照报文的某些特征(如报文源地址和目的地址等)转发到不同的网络中时,可以配置策略路由功能。
(1) 单击导航树中[高级选项/策略路由]菜单项,进入策略路由配置页面。
(2) 选择应用策略路由的接口。
(3) 点击<添加>按钮,进入“新增策略路由列表”页面。
(4) 在“匹配规则”下,设置策略路由的匹配规则参数:
¡ 选择匹配的协议类型,如果选择了“协议号”,则需要输入具体的协议编号,如HTTP的协议号为80。
¡ 如果协议类型指定为“TCP”或“UDP”,则需要设置匹配报文的源端口和目的端口。
¡ 在“源IP地址段”和“目的IP地址段”配置项处,设置匹配报文的源IP地址范围和目的IP地址范围。输入地址段时,起始地址和结束地址间需要用短横线连接,如“1.1.1.1-1.1.1.2”,如果只指定一个地址,则起始地址和结束地址需要相同。
¡ 设置匹配规则的生效时间。如果策略需要全天生效,则设置为00:00-23:59。
(5) 在“出接口”或“下一跳”配置项处,配置匹配规则的报文通过指定出接口转发或转发到指定的下一跳。
(6) 配置策略的描述信息,当某些策略用于特殊用途时,管理员可以配置描述信息,方便后续查询使用。
(7) 点击<确定>按钮,完成配置。
本章节介绍动态DNS的相关内容,包括:
· 简介
· 注意事项
· 配置准备
· 配置步骤
如果您通过设备的WAN接口来提供Web、Mail或者FTP等服务,且希望在设备WAN接口的IP发生变化的情况下(如宽带拨号方式下),用户仍然能够通过固定的域名访问设备提供的服务,那么需要在设备上的提供Web、Mail或者FTP等服务的WAN接口上配置DDNS(Dynamic Domain Name System,动态域名系统)服务。
使用DDNS服务之前,需要提前在DDNS服务器(即DDNS服务提供商,如花生壳网站)上注册。之后,当设备WAN接口的IP地址变化时,设备会自动通知DDNS服务器更新记录的IP地址和固定域名的映射关系。
设备向DDNS服务器申请域名时,请保证WAN接口地址为公网IP地址。
请提前在动态域名服务提供商(如花生壳网站)处注册账户,设置密码。
(1) 单击导航树中[高级选项/动态DNS]菜单项,进入动态DNS配置页面。
(2) 点击<添加>按钮,进入“新建动态DNS策略”页面。
(3) 在“WAN接口”配置项处,选择设备上的提供Web、Mail或者FTP等服务的WAN接口。
(4) 在“域名”配置项处,输入设备的域名。
(5) 在“服务器配置”下,设置DDNS服务器参数:
¡ 选择服务提供商,如花生壳等。
¡ 设置服务器地址。如果服务器地址与缺省情况不同,勾选“修改服务器地址”后进行修改。
¡ 设置设备向服务器发送更新请求的时间间隔。如果配置时间间隔为0,设备只在WAN接口IP地址发生变化或者接口连接由down变为up时发送更新请求。
(6) 在“账户配置”下,输入在服务提供商处注册的用户名和密码。
(7) 点击<确定>按钮,启动动态DNS服务。
本章节介绍SNMP的相关内容,包括:
· 简介
· 配置准备
· 配置SNMPv3
SNMP(Simple Network Management Protocol,简单网络管理协议)是互联网中的一种网络管理标准协议,广泛用于实现管理设备对被管理设备的访问和管理。
如果您希望通过网管软件(比如iMC、MIB Browser等)实现对设备的管理,或者设备发生紧急事件(比如接口Up或者Down、CPU利用率高、内存耗尽等)时能自动通过告警信息告知网管软件,则需要配置SNMP。
设备支持SNMPv1、SNMPv2c和SNMPv3三种版本。SNMPv3比SNMPv1和SNMPv2c更安全。
· SNMPv1和SNMPv2c使用口令认证。
· SNMPv3采用用户名认证,并且必须配置认证密码和加密密码。其中:
¡ 用户名和认证密码用于对网管软件进行身份认证,以免非法网管软件访问设备。
¡ 加密密码用于对网管软件和设备之间传输的报文进行加密,以免报文被窃听。
确定SNMP版本号,网管软件和设备必须配置相同的SNMP版本号。
网管软件和设备必须配置相同的SNMP口令。SNMP口令包括只读口令和读写口令,二者至少配置一项。
· 如果您仅需读取设备上参数的值,则只需配置只读口令。
· 如果您既需要读取设备上参数的值、又需要设置参数的值,则需配置读写口令。
(1) 单击导航树中[高级选项/SNMP]菜单项,进入SNMP配置页面。
(2) 选择“开启”SNMP。
(3) 选择“SNMPv1和SNMPv2c”版本。
(4) 在“SNMP口令”配置项处,输入口令。
(5) 在“SNMP信任主机IPv4地址”配置项处,输入网管软件的地址。只有指定地址的网管软件可以管理设备。如果不配置该参数,则拥有口令的网管软件均可以管理设备。
(6) 在“Trap接收主机IPv4地址/域名”配置项处,输入接收告警信息的主机的IPv4地址或域名,通常为网管软件的IP地址。
(7) 在“联系信息”配置项处,输入设备管理员的联系方式。
(8) 在“设备位置”配置项处,输入设备所处的地理位置,方便快速定位设备。
(9) 点击<确定>按钮,完成配置。
网管软件和设备必须配置相同的用户名、认证密码和加密密码。
(1) 单击导航树中[高级选项/SNMP]菜单项,进入SNMP配置页面。
(2) 选择“开启”SNMP。
(3) 选择“SNMPv3”版本。
(4) 在“用户名”配置项处,输入用户名。
(5) 在“认证密码”配置项处,输入认证密码。
(6) 在“加密密码”配置项处,输入加密密码。
(7) 在“SNMP信任主机IPv4地址”配置项处,输入网管软件的地址。只有指定地址的网管软件可以管理设备。如果不配置该参数,则用户名、认证密码和加密密码正确的网管软件均可以管理设备。
(8) 在“Trap接收主机IPv4地址/域名”配置项处,输入接收告警信息的主机的IPv4地址或域名,通常为网管软件的IP地址。
(9) 在“联系信息”配置项处,输入设备管理员的联系方式。
(10) 在“设备位置”配置项处,输入设备所处的地理位置,方便快速定位设备。
(11) 点击<确定>按钮,完成配置。
本章节介绍CWMP的相关内容,包括:
· 简介
· 配置准备
· 配置步骤
CWMP(CPE WAN Management Protocol,CPE广域网管理协议)通过ACS(Auto-Configuration Server,自动配置服务器)对CPE(Customer Premises Equipment,用户侧设备)进行远程集中管理,解决了CPE设备管理困难的问题,并节约了维护成本。
需要准备安装了iMC BIMS功能的iMC服务器作为ACS服务器或者其他支持ACS功能的服务器,并完成ACS服务器的配置。
(1) 单击导航树中[高级选项/CWMP]菜单项,进入CWMP页面。
(2) 选择开启CWMP。
(3) 在“ACS”配置项处,输入ACS的URL地址、用户名和密码。
CPE向ACS发起的连接请求中携带ACS的用户名和密码。只有该用户名和密码与ACS本地配置的用户名和密码一致时,ACS才会接受CPE的连接请求。
(4) 在“CPE”配置项处,配置CPE相关参数:
¡ CPE的用户名和密码。为了防止被恶意控制,当ACS向CPE发送管理指令时,携带CPE的用户名和密码,只有该用户名和密码与CPE上配置的一致时,ACS才能控制CPE。
¡ 是否发送Inform报文,及Inform报文的发送时间间隔。
CPE通过向ACS发送Inform报文发起连接请求,Inform报文中携带CPE和ACS的用户名、密码等信息。
如果希望设备可以周期性地自动连接ACS,则需要开启Inform报文发送功能。
¡ CPE上用于连接ACS的接口。
(5) 点击<确定>按钮,完成配置。
本章节介绍管理账户的相关内容,包括:
· 简介
· 添加管理账户
· 修改管理账户
· 删除管理账户
可以通过本页面对登录设备的管理员账户信息进行管理和维护,包括添加管理账户以及修改或删除管理账户。
(1) 单击导航树中[系统工具/管理账户]菜单项,进入管理账户配置页面。
(2) 点击<添加>按钮,进入添加管理员页面。
(3) 在“用户名”配置项处,输入管理员名称。
(4) 在“密码”配置项处,输入管理员密码。如果不设置管理员密码,则管理员登录设备时,不需要提供密码。为提高管理员帐户的安全性,建议您设置管理员密码。
(5) 在“确认密码”配置项处,请再次输入您设置的密码,并确保与之一致。
(6) 在“角色”配置项处,选择该账户登录时的角色。
¡ 如果该账户需要具有最高管理权限,请选择“Administrator”
¡ 如果该账户仅拥有普通的查看权限,无配置权限,请选择“Operator”。
(7) 在“可用服务”配置项处,点击复选框选择允许该管理员账户使用的网络服务。
¡ Console:表示管理员可通过Console口登录设备。
¡ Telnet:表示管理员可通过Telnet方式登录设备。使用该服务的管理员需要使用Telnet客户端来访问设备,设备将作为Telnet服务器为其提供服务。
¡ FTP:表示管理员可通过FTP访问设备文件系统资源。使用该服务的管理员需要使用FTP客户端来访问设备,设备将作为FTP服务器为其提供服务。
¡ WEB:表示管理员可通过Web页面登录设备。
¡ SSH:表示管理员可通过SSH方式登录设备,该方式比Telnet方式更安全。使用该服务的管理员需要使用SSH客户端来访问设备,设备将作为SSH服务器为其提供服务。
(8) 在“同时在线最大用户数”配置项处,输入允许同时使用该账户在线的用户数目。如果不设置该值,则表示不限制使用该账户在线的用户数。需要注意的是,使用FTP服务的管理员不受此配置限制。
(9) 在“FTP目录”配置项处,输入管理员通过FTP方式访问设备时的工作路径,例如flash:/dpi。建议您首先通过[系统工具/系统升级]菜单项的“文件管理”页面查看系统中已有的文件路径,以确保此处输入的工作路径准确。
(10) 点击<确定>按钮,完成配置。
(1) 单击导航树中[系统工具/管理账户]菜单项,进入管理账户配置页面。
(2) 在用户行的“操作”区域,点击编辑按钮,进入修改管理员配置页面。
(3) 可在“密码”配置项处,输入新密码。重置了管理员账户的密码后,该管理员下次登录设备时还需要修改密码。
(4) 如果您修改了密码,请在“确认密码”配置项处,再次输入新密码,并确保与之一致。
(5) 可在“角色”配置项处,选择该账户的新角色,并删除不需要的角色。
¡ 如果该账户需要具有最高管理权限,请选择“Administrator”
¡ 如果该账户仅拥有普通的查看权限,无配置权限,请选择“Operator”。
(6) 可在“可用服务”配置项处,点击复选框选择允许该管理员账户使用的网络服务。
¡ Console:表示管理员可通过Console口登录设备。
¡ Telnet:表示管理员可通过Telnet方式登录设备。使用该服务的管理员需要使用Telnet客户端来访问设备,设备将作为Telnet服务器为其提供服务。
¡ FTP:表示管理员可通过FTP访问设备文件系统资源。使用该服务的管理员需要使用FTP客户端来访问设备,设备将作为FTP服务器为其提供服务。
¡ WEB:表示管理员可通过Web页面登录设备。
(7) SSH:表示管理员可通过SSH方式登录设备,该方式比Telnet方式更安全。使用该服务的管理员需要使用SSH客户端来访问设备,设备将作为SSH服务器为其提供服务。
(8) 可在“同时在线最大用户数”配置项处,输入允许同时使用该账户在线的用户数目。如果不设置该值,则表示不限制使用该账户在线的用户数。需要注意的是,使用FTP服务的管理员不受此配置限制。
(9) 可在“FTP目录”配置项处,输入管理员通过FTP方式访问设备时的工作路径,例如flash:/dpi。建议您首先通过[系统工具/系统升级]菜单项的“文件管理”页面查看系统中已有的文件路径,以确保此处输入的工作路径准确。
(10) 点击<确定>按钮,完成配置。
(1) 单击导航树中[系统工具/管理账户]菜单项,进入管理账户配置页面。
(2) 在用户行的“操作”区域,点击删除按钮,删除该管理员账户。
(3) 在弹出的“确认提示”对话框中,点击<是>按钮,完成删除操作。
本章节介绍配置管理的相关内容,包括:
· 简介
· 恢复出厂配置
· 保存当前配置
· 从备份文件恢复
· 导出当前配置
本功能主要用于对设备的配置文件进行管理。配置文件是指用来保存设备配置的文件。
通过本功能可以:
· 查看当前配置:如果希望查看设备的当前配置,例如设备版本号、接口IP地址等,则需通过单击导航树中[系统工具/配置管理]菜单项,点击“查看当前配置”页签查看设备的当前配置。
· 恢复出厂配置:如果设备没有配置文件或者配置文件损坏时,希望设备能够正常启动运行,则需通过本功能将设备上的配置恢复到出厂状态。
· 保存当前配置:对设备进行配置后,如果希望设备重启后配置能继续生效,则需通过本功能保存设备当前所有配置。
· 从备份文件恢复:设备配置错误后,如果希望设备恢复到正确配置运行状态,则需通过本功能恢复设备配置。
· 导出当前配置:如果希望将当前配置文件导出作为备份配置文件,则需通过本功能将当前配置文件导出保存到指定路径。
(1) 单击导航树中[系统工具/配置管理]菜单项,进入配置管理页面。
(2) 单击“恢复出厂配置”页签,进入恢复出厂配置页面。
(3) 点击<重置>按钮,在确认提示框中选择“是”选项,完成恢复出厂配置并强制重启设备。
(1) 单击导航树中[系统工具/配置管理]菜单项,进入配置管理页面。
(2) 单击“备份恢复配置”页签,进入备份恢复配置页面。
(3) 点击<保存当前配置>按钮,进入保存当前配置页面。
(4) 选择当前配置的保存方式:
¡ 如果选择“保存到下次启动配置文件”,将当前配置保存到存储介质的根目录下,并将该文件设置为设备下次启动使用的配置文件。
¡ 如果选择“保存到指定配置文件”,则可以需输入自定义的配置文件名称。
(5) 点击<确定>按钮,完成保存当前配置。
(1) 单击导航树中[系统工具/配置管理]菜单项,进入配置管理页面。
(2) 单击“备份恢复配置”页签,进入备份恢复配置页面。
(3) 点击<从备份文件恢复>按钮,进入从备份文件恢复页面。
(4) 点击“浏览”按钮选择特定路径下的备份配置文件。
(5) 点击<确定>按钮,完成当前配置。
¡ 如果勾选“立即执行导入后的配置文件”,点击<确定>按钮,系统会立即使用导入的配置替换当前运行的配置,无需重启设备。
¡ 如果不勾选“立即执行导入后的配置文件”,点击<确定>按钮后,需手动重启设备,才可以恢复配置。
(1) 单击导航树中[系统工具/配置管理]菜单项,进入配置管理页面。
(2) 单击“备份恢复配置”页签,进入备份恢复配置页面。
(3) 点击<导出当前配置>按钮,选择保存路径,即可将当前配置保存到本地PC。
本章节介绍系统日志的相关内容,包括:
· 简介
设备在运行过程中会生成系统日志。日志中记录了管理员在设备上进行的配置、设备的状态变化以及设备内部发生的重要事件等,为用户进行设备维护和故障诊断提供参考。
用户可以将日志发送到日志服务器集中管理,也可以直接在Web页面查看日志。
日志划分为如表9-1所示的八个级别,各级别的严重性依照数值从0~7依次降低。了解日志级别,能章节您迅速筛选出重点日志。
数值 |
信息级别 |
描述 |
0 |
emergency |
表示设备不可用的信息,如系统授权已到期 |
1 |
alert |
表示设备出现重大故障,需要立刻做出反应的信息,如流量超出接口上限 |
2 |
critical |
表示严重信息,如设备温度已经超过预警值,设备电源、风扇出现故障等 |
3 |
error |
表示错误信息,如接口链路状态变化等 |
4 |
warning |
表示警告信息,如接口连接断开,内存耗尽告警等 |
5 |
notification |
表示正常出现但是重要的信息,如通过终端登录设备,设备重启等 |
6 |
informational |
表示需要记录的通知信息,如通过命令行输入命令的记录信息,执行ping命令的日志信息等 |
7 |
debugging |
表示调试过程产生的信息 |
请确保设备和日志服务器能互相ping通,日志服务器才能收到设备发送的日志。
(1) 单击导航树中[系统工具/系统日志]菜单项,进入系统日志配置页面。
(2) 选择“发送到日志服务器”,输入日志服务器的IP地址或者域名地址。
(3) 点击<应用>按钮,完成配置。
(1) 单击导航树中[系统工具/系统日志]菜单项,进入系统日志配置页面。设备会逐条显示日志的生成时间、级别以及详细信息。
(2) 点击<导出>按钮,可以将设备上已有的日志信息导出到登录PC上。
本章节介绍系统设置的相关内容,包括:
· 简介
· 配置设备信息
通过本功能可以设置设备信息和系统时间。
设备信息包括设备名称、设备位置和设备管理员的联系方式,方便管理员管理和定位设备。
系统时间包括日期、时间和时区等。为了便于管理设备,并保证本设备与其它网络设备协同工作,您需要为设备配置准确的系统时间。
系统时间的获取方式有两种:
· 手工设置日期和时间。该方式下,用户手工指定的日期和时间即为当前的系统时间。后续,设备使用内部时钟信号计时。如果设备重启,系统时间将恢复到出厂时间。
· 自动同步网络日期和时间。该方式下,设备使用从NTP服务器获取的时间作为当前的系统时间,并周期性地同步NTP服务器的时间,以便和NTP服务器的系统时间保持一致。即便本设备重启,设备也会迅速重新同步NTP服务器的系统时间。如果您管理的网络中有NTP服务器,推荐使用该方式,该方式获取的时间比手工配置的时间更精准。
(1) 单击导航树中[系统工具/系统设置]菜单项,进入系统设置配置页面。
(2) 单击“设备信息”页签,进入设备信息配置页面。
(3) 在“设备名称”配置项处,输入设备名称,例如以“设备型号.IP地址”为设备名称。
(4) 在“设备位置”配置项处,输入设备所处的地理位置,方便快速定位设备。
(5) 在“联系方式”配置项处,输入设备管理员的联系方式。
(6) 点击<应用>按钮,完成配置。
如果设备重启,系统时间将恢复到出厂时间。
了解设备所处的时区。全球分为24个时区,请将设备的时区配置为设备所在地理区域的时区。例如,设备在中国,请选择“北京,重庆,香港特别行政区,乌鲁木齐(GMT+08:00)”;如果设备位于美国,请选择“中部时间(美国和加拿大)(GMT-06:00)”。
(1) 单击导航树中[系统工具/系统设置]菜单项,进入系统设置配置页面。
(2) 单击“日期/时间”页签,进入系统时间配置页面。
(3) 选择“手工设置日期和时间”。
(4) 将系统时间配置为设备所在地理区域的当前时间。
a. 选择年月日。
b. 选择时分秒。界面中供选择的分钟和秒钟数值为3的倍数(00、03、06、09、……、57),您可以通过向上或者向下的箭头来进行微调。例如要配置分钟数为20,则先选中18,再点击两次向上的箭头即可得到20。
(5) 将时区配置为设备所在地理区域的时区。
(6) 点击<应用>按钮,完成配置。
设备和NTP服务器上配置的时区必须相同,否则,会导致设备的系统时间和NTP服务器的系统时间不一致。
了解设备所处的时区。全球分为24个时区,请将设备的时区配置为设备所在地理区域的时区。例如,设备在中国,请选择“北京,重庆,香港特别行政区,乌鲁木齐(GMT+08:00)”;如果设备位于美国,请选择“中部时间(美国和加拿大)(GMT-06:00)”。
(1) 单击导航树中[系统工具/系统设置]菜单项,进入系统设置配置页面。
(2) 单击“日期/时间”页签,进入系统时间配置页面。
(3) 选择“自动同步网络日期和时间”。
(4) 在“NTP服务器1”配置项处,输入NTP服务器1的IP地址。
(5) 在“NTP服务器2”配置项处,输入NTP服务器2的IP地址。设备会自动从NTP服务器1和NTP服务器2中择优选取一台服务器的系统时间作为设备的系统时间。如果这台优选的服务器故障,则自动使用另一台NTP服务器的系统时间作为设备的系统时间。如果NTP服务器均故障,设备将使用内部时钟信号继续计时,待NTP服务器恢复后,再同步NTP服务器的时间。
(6) 将时区配置为设备所在地理区域的时区。
(7) 点击<应用>按钮,完成配置。
本章节介绍网络诊断的相关内容,包括:
· 简介
· Ping通信测试
· 诊断信息
· 端口镜像
· 抓包工具
通过本功能可以对网络故障进行诊断,包括如下功能:
· Tracert通信测试:用于检查从设备到达目标主机所经过的路由情况。
· Ping通信测试:用于检测网络,测试另一台设备或主机是否可达。
· 诊断信息:诊断信息为各功能模块的运行信息,用于定位问题。设备会将该信息以压缩文件的形式自动保存到您的终端设备。
· 端口镜像:用于将被镜像端口的报文自动复制到镜像端口,实时提供各端口传输状况的详细信息,方便网络管理人员进行流量监控、性能分析和故障诊断。
· 抓包工具:用于抓取网络数据报文,以便更有效地分析网络故障。本抓包工具使用tcpdump在后台运行,抓包完成后,会自动导出抓取的文件“capture.pcap”供用户保存到本地。
(1) 单击导航树中[系统工具/网络诊断]菜单项,进入网络诊断页面。
(2) 单击“Tracert”页签,进入Tracert通信测试页面。
(3) 在“目标IP地址或者主机名”配置项处,输入需要路由跟踪的目标IP地址或者主机名。
(4) 点击<开始>按钮,系统开始进行检测。检测的过程和结果显示在当前页面。
(1) 单击导航树中[系统工具/网络诊断]菜单项,进入网络诊断页面。
(2) 单击“Ping”页签,进入Ping通信测试页面。
(3) 在“目标IP地址或者主机名”配置项处,输入需要Ping的目标IP地址或者主机名。
(4) 点击<开始>按钮,系统开始进行检测。检测的过程和结果显示在当前页面,说明网络发包的测试情况和与测试主机的往返平均时延。
(1) 单击导航树中[系统工具/网络诊断]菜单项,进入网络诊断页面。
(2) 单击“诊断”页签,进入搜集网络诊断信息页面。
(3) 点击<搜集诊断信息>按钮,系统开始收集诊断信息。
(1) 单击导航树中[系统工具/网络诊断]菜单项,进入网络诊断页面。
(2) 单击“端口镜像”页签,进入端口镜像页面。
(3) 根据需要选择“二层镜像”或者“三层镜像”。
(4) 在“源端口”配置项处,选择镜像的源端口。
(5) 在“方向”配置项处,选择镜像的方向。
(6) 在“目的端口”配置项处,选择镜像的目的端口。
(7) 点击<确定>按钮,系统开始端口镜像。
使用本页面进行抓包时,将会把抓取到的临时文件保存到系统中。随着临时文件占用空间持续增加到某个阀值时,系统会主动停止抓包并导出抓取的文件。
(1) 单击导航树中[系统工具/网络诊断]菜单项,进入网络诊断页面。
(2) 单击“抓包工具”页签,进入抓包工具页面。
(3) 在“接口”配置项处,选择需要抓取数据的接口,支持当前路由器的所有的WAN、VLAN等接口。
(4) 在“抓包长度”配置项处,输入tcpdump数据包的抓取长度。如果数据包长度大于此数值,数据包将会被截断。需要注意的是,采用长的抓取长度,会增加包的处理时间,并且会减少tcpdump可缓存的数据包的数量,从而会导致数据包的丢失。所以,在能抓取我们想要的包的前提下,抓取长度越小越好。
(5) 在“协议”配置项处,选择需要过滤的协议类型。如果选择ALL,将抓取当前接口下所有报文。
(6) 在“抓包文件大小”配置项处,输入抓取报文的大小。
(7) 在“抓包时间”配置项处,输入抓包的持续时长。
(8) 在“源主机”、“目的主机”配置项处,选择抓取报文时过滤发出或者接收报文的主机。
¡ 所有主机:对源或者目的主机进行过滤,即抓取所有的源/目的主机的报文。
¡ IP地址过滤:选择此项时,需设置主机的IP地址。
¡ MAC地址过滤:选择此项时,需设置主机的MAC地址。
(9) 点击<开始>按钮,系统开始进行抓包。抓包的过程和当前抓取的分组数显示在当前页面,在抓包的过程中,您可以点击<取消>按钮,终止当前的操作,并导出抓取的文件“capture.pacp”。
本章节介绍远程管理的相关内容,包括:
· 简介
· 配置Ping
· 配置Telnet
· 配置SSH
远程管理功能既可以用来检测网络的连通性,又可以为用户提供登录设备、管理设备的方式。远程管理功能包括:
· Ping:通过ping功能,可以检测网络的连通性,及时了解网络状况。
· Telnet:是一种实现远程登录服务的协议。用户可以在PC上通过Telnet方式登录设备,对设备进行远程管理。
· HTTP/HTTPS:是基于HTTP、HTTPS超文本传输协议的两种Web登录方式。HTTPS登录方式的安全性能高于HTTP登录方式。用户可以在PC上使用HTTP/HTTPS协议登录设备的Web界面,通过Web界面直观地配置和管理设备。
· SSH(Secure Shell,安全外壳):用来在不安全的网络环境中,通过加密机制和认证机制,实现安全的远程访问以及文件传输。如果希望用户更安全地访问设备,则可以使用SSH服务。设备作为SSH服务器,提供如下几种服务:
¡ Stelnet:即安全的Telnet。Stelnet实现的功能与Telnet相同,但访问方式更加安全可靠。
¡ SFTP:即安全的FTP。可提供安全可靠的网络文件传输服务,使得用户可以安全登录到设备上进行文件管理操作,且能保证文件传输的安全性。
¡ SCP:即Secure Copy。可提供安全的文件复制功能。
(1) 单击导航树中[系统工具/远程管理]菜单项,进入远程管理页面。
(2) 单击Ping页签。
(3) 勾选一个发送Ping报文的接口。
(4) 单击<应用>按钮。
(1) 单击导航树中[系统工具/远程管理]菜单项,进入远程管理配置页面。
(2) 单击“Telnet”页签,进入Telnet配置页面。
(3) 在“Telnet服务”配置项处,单击按钮,使得按钮状态为“ON”,开启Telnet服务。
(4) 在“IPv4端口”或“IPv6端口”配置项处,输入Telnet服务使用的端口号。
请根据组网需求选择IP协议对应的端口类型:
¡ 如果用户通过IPv4网络Telnet登录设备时,使用的端口号需要与本配置项指定的端口号相同。
¡ 如果用户通过IPv6网络Telnet登录设备时,使用的端口号需要与本配置项指定的端口号相同。
(5) 在“管理员IP”列表下可配置一个或者多个IPv4地址用于远程管理设备。在“Telnet”列表下勾选“允许远程登录”选择框,则可通过“接口”列表对应接口的IP地址远程登录设备。
(6) 点击<应用>按钮,完成配置。
(1) 单击导航树中[系统工具/远程管理]菜单项,进入远程管理配置页面。
(2) 单击“SSH”页签,进入SSH配置页面。
(3) 根据需要执行以下任意一个或多个操作,开启相应的SSH服务。
¡ 单击“Stelnet服务”后的按钮,使其置为“ON”状态,开启Stelnet服务。
¡ 单击“SFTP服务”后的按钮,使其置为“ON”状态,开启SFTP服务。
¡ 单击“SCP”服务后的按钮,使其置为“ON”状态,开启SCP服务。
(1) 单击导航树中[系统工具/远程管理]菜单项,进入远程管理配置页面。
(2) 单击“HTTP/HTTPS”页签,进入HTTP/HTTPS配置页面。
(3) 在“HTTP登录端口”配置项处输入HTTP方式登录设备对应的端口号,建议使用10000以上的端口号。
(4) 在“HTTPS登录端口”配置项处输入HTTP方式登录设备对应的端口号,建议使用10000以上的端口号。
(5) 在“例外IP”配置项处,可以添加一个或多个IPv4地址,表示与“允许远程登录”选择框选项相反操作。
¡ 如果添加了IPv4地址,并在“HTTP/HTTPS”列表下勾选“允许远程登录”选择框,表示禁止通过该接口的IP地址以HTTP/HTTPS方式登录设备。
¡ 如果添加了IPv4地址,并在“HTTP/HTTPS”列表下不勾选“允许远程登录”选择框,表示允许通过该接口的IP地址以HTTP/HTTPS方式登录设备。
¡ 如果不添加IPv4地址,并在“HTTP/HTTPS”列表下勾选“允许远程登录”选择框,表示允许通过该接口的所有IP地址以HTTP/HTTPS方式登录设备。
添加的IPv4地址必须是对应“接口”列表下接口的IP地址。
(6) 点击<应用>按钮,完成配置。
章节介绍系统升级相关内容,包括:
· 简介
· 上传
· 删除
· 下载
本功能主要用来对设备版本进行升级以及对设备上的文件进行管理。如果希望完善当前软件版本漏洞或者更新应用功能,则需通过版本升级功能来实现。文件管理支持以下三种操作:
· 上传:本地的文件上传至设备。例如,对设备进行系统升级前,需要将IPE文件上传到设备。
· 删除:删除设备上的文件。上传文件到设备时,如果内存空间不足以存储要上传的文件,则需要删除某些非重要文件,释放存储空间。
· 下载:将设备上保存的文件下载到本地。用户可以根据自己需求将设备上的文件下载到本地,以便备份或者数据分析。
(1) 单击导航树中[系统工具/系统升级]菜单项,进入系统升级页面。
(2) 单击“文件管理”页签,进入文件管理配置页面。
(3) 点击<上传>按钮,进入上传页面。
(4) 点击<浏览>按钮,选择特定路径下保存的文件。
(5) 点击<确定>按钮,完成文件上传。
不能删除版本文件,否则会导致设备运行出错。
(1) 单击导航树中[系统工具/系统升级]菜单项,进入系统升级页面。
(2) 单击“文件管理”页签,进入文件管理配置页面。
(3) 在文件名列表中勾选要删除的文件。
(4) 点击<删除>按钮,完成文件删除。
(1) 单击导航树中[系统工具/系统升级]菜单项,进入系统升级页面。
(2) 单击“文件管理”页签,进入文件管理配置页面。
(3) 在文件名列表中勾选要下载的文件。
(4) 点击<下载>按钮,选择保存路径即可实现文件下载。
本章节介绍License管理的相关内容,包括:
· 简介
· 注意事项
用户需要为设备购买授权码、申请激活文件、安装License,才能使用设备上基于License的特性。哪些特性需要安装License可通过“License和特性”页签来查看。
对于一台设备,请不要多个用户同时进行License操作,以免操作失败。
(1) 单击导航树中[系统工具/License管理]菜单项,进入License管理配置页面。
(2) 单击“License和特性”页签,进入License和特性显示页面。
(3) 了解特性的授权情况。
¡ “特性名称”列:表示设备支持的、需安装License才能正常使用的特性。
¡ “是否授权”列:取值为“Y”时,表示已安装了License;取值为“N”时,表示未安装License。
¡ “状态”列:表示License的状态。取值为“Formal”时表示当前已经为该特性安装了正式License,License处于有效状态;取值为“Trial”时表示当前已经为该特性安装了临时License,License处于有效状态;取值为“-”时表示当前无有效License,用户如需使用该特性,请安装对应的License。
过期后的License会一直占用License存储区。如果License存储区空间耗尽,会导致新的License安装失败。此时,需要压缩License存储区来释放空间。
压缩License可能会导致DID变化。因此,在压缩License存储区前,请确保使用旧DID申请的License已经安装完毕。否则,License存储区压缩后,使用旧DID申请的License将无法继续安装。
(1) 单击导航树中[系统工具/License管理]菜单项,进入License管理配置页面。
(2) 单击“压缩”页签,进入压缩License存储区配置页面。
(3) 确认设备还可安装的激活文件的个数。“设备还可安装的激活文件的个数”=“可安装激活文件个数”-“已安装激活文件的个数”。
(4) 如果您当前需要安装的激活文件的个数大于“设备还可安装的激活文件的个数”,请点击<压缩>按钮,完成配置。否则,不需要压缩License存储区。
请登录H3C License管理平台(网址为http://www.h3c.com/cn/License),获取License激活文件,具体方法请参见《H3C 交换机及路由器产品 通用License使用指南》。
(1) 单击导航树中[系统工具/License管理]菜单项,进入License管理配置页面。
(2) 单击“License配置”页签,进入License配置页面。
(3) 点击<添加>按钮,进入添加License页面。
(4) 选择激活文件。
本章节介绍重新启动的相关内容,包括:
· 简介
· 立即重启
· 定时重启
重新启动功能用于立即和定时重新启动设备。
重新启动设备可能会导致业务中断,请谨慎使用。
(1) 单击导航树中[系统工具/重新启动]菜单项,进入重新启动配置页面。
(2) 在“立即重启”页签下,点击<重新启动设备>按钮,在弹出的确认提示对话框中,点击<是>按钮,立即重新启动设备。
(1) 单击导航树中[系统工具/重新启动]菜单项,进入重新启动配置页面。
(2) 单击“定时重启”页签,进入定时重启配置页面。
(3) 在“定时重启”配置处,选择“开启”选项。开启定时重启设备的功能。
(4) 在“生效周期”配置处,设定每周设备重启的具体时间。
(5) 点击<确定>按钮,设备将会在设定时间进行重启。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!