• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C ER G3系列路由器 用户手册-R0118-6W108

01-正文

本章节下载 01-正文  (5.03 MB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Routers/00-Public/Configure/User_Manual/H3C_ER_G3_UM/202201/1538914_30005_0.htm

01-正文

目  录

1 产品简介

1.1 前面板

1.1.1 ER3200G3

1.1.2 ER3208G3

1.1.3 ER3260G3

1.1.4 ER5200G3

1.2 指示灯说明

1.3 接口说明

1.4 注意事项

1.5 安装设备

1.5.1 安装到机柜

1.5.2 安装到工作台

1.6 连接线缆

1.6.1 连接接地线

1.6.2 连接电源线

1.7 技术规格

2 登录设备

3 系统信息

3.1 简介

3.2 CPU使用率和内存使用率

3.3 接入终端

3.4 上网流量

3.5 系统信息

3.6 端口状态

3.7 存储介质

3.8 功能向导

3.9 获取技术支持

4 快速设置

4.1 简介

4.2 配置WAN

4.3 配置LAN

5 系统监控

5.1 线路监控

5.1.1 简介

5.1.2 配置步骤

5.2 流量排行

5.2.1 简介

5.2.2 注意事项

5.2.3 配置步骤

6 MiniAP管理

6.1 AP管理设置

6.1.1 简介

6.1.2 注意事项

6.1.3 配置步骤

6.2 在线AP管理

6.2.1 简介

6.2.2 在线AP列表

6.2.3 客户端列表

6.3 配置管理

6.3.1 简介

6.3.2 无线基本配置

6.3.3 配置模板管理

6.3.4 AP配置管理

6.3.5 无线高级配置

6.3.6 WIFI5备用网络

6.4 版本管理

6.4.1 简介

6.4.2 AP版本上传

6.4.3 AP升级管理

6.5 高级管理

6.5.1 简介

6.5.2 注意事项

6.5.3 配置步骤

6.6 无线优化

6.6.1 简介

6.6.2 注意事项

6.6.3 配置步骤

7 网络设置

7.1 外网配置

7.1.1 简介

7.1.2 配置接口模式

7.1.3 WAN配置

7.1.4 修改多WAN策略

7.1.5 保存接口上一跳

7.2 LAN配置

7.2.1 简介

7.2.2 配置VLAN

7.2.3 配置LAN接口基本参数

7.2.4 配置接口上的DHCP服务

7.2.5 配置静态DHCP

7.2.6 回收DHCP分配的IP地址

7.2.7 静态绑定DHCP分配的IP地址

7.3 端口管理

7.3.1 简介

7.3.2 配置步骤

7.4 NAT配置

7.4.1 简介

7.4.2 配置虚拟服务器

7.4.3 配置一对一映射

7.4.4 配置地址池

7.4.5 配置端口触发

7.4.6 配置NAT hairpin

7.4.7 配置NAT ALG

7.5 地址组

7.5.1 简介

7.5.2 注意事项

7.5.3 配置步骤

7.6 时间组

7.6.1 简介

7.6.2 注意事项

7.6.3 配置步骤

7.7 应用组

7.7.1 简介

7.7.2 自定义应用

7.7.3 创建应用组

8 上网行为管理

8.1 带宽管理

8.1.1 简介

8.1.2 配置IP限速

8.1.3 配置限制通道

8.1.4 配置绿色通道

8.2 上网行为管理

8.2.1 简介

8.2.2 配置应用控制

8.2.3 配置网址控制

8.2.4 配置文件控制

8.2.5 配置自定义网络应用

8.3 审计日志

8.3.1 简介

8.3.2 应用审计日志

8.3.3 网址过滤日志

8.3.4 审计服务器

9 网络安全

9.1 防火墙

9.1.1 简介

9.1.2 注意事项

9.1.3 配置准备

9.1.4 配置步骤

9.2 连接限制

9.2.1 简介

9.2.2 配置网络连接限制数

9.2.3 配置VLAN网络连接限制数

9.3 MAC地址过滤

9.3.1 简介

9.3.2 注意事项

9.3.3 MAC过滤设置

9.3.4 MAC黑白名单管理

9.4 ARP安全

9.4.1 简介

9.4.2 ARP学习管理

9.4.3 动态ARP管理

9.4.4 静态ARP管理

9.4.5 ARP防护

9.4.6 ARP检测

9.5 DDOS攻击防御

9.5.1 简介

9.5.2 攻击防御

9.5.3 攻击防御统计

9.5.4 报文源认证

9.5.5 异常流量防护

9.6 安全统计

9.6.1 简介

9.6.2 配置步骤

9.7 黑名单管理

9.7.1 简介

9.7.2 配置步骤

9.8 终端接入控制

9.8.1 简介

9.8.2 配置步骤

10 认证管理

10.1 Portal认证

10.1.1 简介

10.1.2 配置云认证

10.1.3 配置免认证MAC地址

10.1.4 配置免认证IP地址

11 虚拟专网(VPN)

11.1 IPsec VPN

11.1.1 简介

11.1.2 配置IPsec分支节点

11.1.3 配置IPsec中心节点

11.1.4 监控信息

11.2 L2TP服务器端

11.2.1 简介

11.2.2 L2TP配置

11.2.3 隧道信息

11.2.4 L2TP用户

11.3 L2TP客户端

11.3.1 简介

11.3.2 L2TP配置

11.3.3 隧道信息

12 高级选项

12.1 应用服务

12.1.2 配置静态DNS

12.1.3 配置动态DNS

12.2 UPnP

12.2.1 简介

12.2.2 注意事项

12.2.3 配置步骤

12.3 静态路由

12.3.1 简介

12.3.2 注意事项

12.3.3 配置步骤

12.4 策略路由

12.4.1 简介

12.4.2 配置步骤

12.5 SNMP

12.5.1 简介

12.5.2 基本配置

12.5.3 团体名设置

12.5.4 用户设置

13 系统工具

13.1 系统设置

13.1.1 简介

13.1.2 配置设备信息

13.1.3 手工设置日期和时间

13.1.4 自动同步网络日期和时间

13.2 网络诊断

13.2.1 简介

13.2.2 Ping通信测试

13.2.3 Tracert通信测试

13.2.4 诊断信息

13.2.5 系统自检

13.2.6 端口镜像

13.2.7 抓包工具

13.3 远程管理

13.3.1 简介

13.3.2 配置Ping

13.3.3 配置Telnet

13.3.4 配置HTTP/HTTPS

13.3.5 配置云服务

13.4 配置管理

13.4.1 简介

13.4.2 恢复出厂配置

13.4.3 从备份文件恢复

13.4.4 导出当前配置

13.4.5 USB快速备份

13.4.6 USB快速恢复

13.5 系统升级

13.5.1 简介

13.5.2 手动升级

13.5.3 立即自动升级

13.5.4 预约自动升级

13.5.5 使用U盘恢复软件版本

13.6 重新启动

13.6.1 简介

13.6.2 立即重启

13.6.3 定时重启

13.7 系统日志

13.7.1 简介

13.7.2 将系统日志发往日志服务器

13.7.3 通过Web页面查看系统日志

13.7.4 清除系统日志

14 管理员

14.1 简介

14.2 修改管理员

 


1 产品简介

H3C ER G3系列路由器包括如下产品型号。

名称

具体型号

H3C ER G3系列路由器

ER3200G3、ER3208G3、ER3260G3ER5200G3

 

1.1  前面板

1.1.1  ER3200G3

图1-1 ER3200G3设备前面板

(1): 接地螺钉

(2): 系统指示灯(SYS)

(3): WAN接口及指示灯(10/100/1000Base-T电口)

(4): WAN/LAN接口及指示灯(10/100/1000Base-T电口)

(5): LAN接口及指示灯(10/100/1000Base-T电口)

(6): USB接口

(7): 复位键(RESET)

(8): 电源接口

(9): 电源线固定卡扣

 

1.1.2  ER3208G3

图1-2 ER3208G3设备前面板

(1): 接地螺钉

(2): 系统指示灯(SYS)

(3): WAN接口及指示灯(10/100/1000Base-T电口)

(4): WAN/LAN接口及指示灯(10/100/1000Base-T电口)

(5): LAN接口及指示灯(10/100/1000Base-T电口)

(6): USB接口

(7): 复位键(RESET)

(8): 电源接口

(9): 电源线固定卡扣

 

1.1.3  ER3260G3

图1-3 ER3260G3设备前面板

(1): 接地螺钉

(2): WAN接口及指示灯(10/100/1000Base-T电口)

(3): WAN/LAN接口及指示灯(10/100/1000Base-T电口)

(4): LAN接口及指示灯(10/100/1000Base-T电口)

(5): 系统指示灯(SYS)

(6): USB接口

(7): 复位键(RESET)

(8): 电源接口

(9): 电源线固定卡扣

 

1.1.4  ER5200G3

图1-4 ER5200G3设备前面板

(1): 接地螺钉

(2): WAN接口及指示灯(Combo口)

(3): WAN/LAN接口及指示灯(10/100/1000Base-T电口、1000BASE-X-SFP光口)

(4): LAN接口及指示灯(10/100/1000Base-T电口)

(5): 系统指示灯(SYS)

(6): USB接口

(7): 复位键(RESET)

(8): 电源接口

(9): 电源线固定卡扣

 

1.2  指示灯说明

指示灯

状态

含义

系统指示灯(SYS)

绿色常亮

设备正常运行中

黄色常亮

系统告警或故障

灯灭

电源关闭、电源故障或设备硬件故障

WAN/LAN接口状态指示灯(LINK/ACT)

绿色常亮

端口正常连接设备,且工作在1000Mbps速率下

绿色闪烁

端口在接收或发送数据,且工作在1000Mbps速率下

黄色常亮

端口正常连接设备,且工作在10/100Mbps速率下

黄色闪烁

端口在接收或发送数据,且工作在10/100Mbps速率下

灯灭

端口未连接设备

SFP接口状态指示灯

绿色常亮

端口正常连接设备,且工作在1000Mbps速率下

绿色闪烁

端口在接收或发送数据,且工作在1000Mbps速率下

黄色常亮

端口正常连接设备,且工作在10/100Mbps速率下

黄色闪烁

端口在接收或发送数据,且工作在10/100Mbps速率下

灯灭

端口未连接设备

 

1.3  接口说明

接口

用途

复位键(RESET)

·     短按(小于5秒),设备将重启

·     按住5秒左右,SYS指示灯黄色慢速闪烁(1Hz),设备将恢复缺省Web登录密码

·     按住10秒左右,SYS指示灯黄色快速闪烁(8Hz),设备将恢复出厂设置并重启

·     按住15秒左右,SYS指示灯恢复到绿色常亮,设备不执行任何恢复操作

USB接口

连接到存储介质(如U盘、移动硬盘等),可以快速备份或恢复设备配置

电源接口

连接到电源

LAN接口

连接计算机或下层交换机的以太网端口

WAN接口

连接到宽带运营商提供的网络接口,接入互联网

接地螺钉

用于连接接地线

 

1.4  注意事项

为保证设备正常工作和延长使用寿命,请遵从以下注意事项:

·     设备仅允许在室内使用,请将其放置于干燥通风处;

·     设备的接口线缆要求在室内走线,禁止户外走线,以防止因雷电产生的过电压、过电流损坏设备的信号口;

·     请不要将设备放在不稳定的箱子或桌子上,一旦跌落,会对设备造成损害;

·     在设备周围应预留足够的空间(大于10cm),以便于设备正常散热;

·     请保证设备工作环境的清洁,过多的灰尘会造成静电吸附,不但会影响设备寿命,而且容易造成通信故障;

·     设备工作地最好不要与电力设备的接地装置或防雷接地装置合用,并尽可能相距远一些;

·     设备工作地应远离强功率无线电发射台、雷达发射台、高频大电流设备;

·     请使用随产品附带的电源线,严禁使用其它非配套产品。电源电压必须满足专用电源线的输入电压范围。

1.5  安装设备

设备支持机柜安装和工作台安装两种方式,本文的安装过程以ER3208G3设备举例。

1.5.1  安装到机柜

1. 安装浮动螺母

 

2. 安装挂耳

 

3. 安装设备到机柜

 

1.5.2  安装到工作台

注意

请保证工作台的平稳和良好接地,并且不要在设备上放置重物。

 

粘贴脚垫到设备底部,将设备翻转后水平放置于工作台上。

 

1.6  连接线缆

1.6.1  连接接地线

(1)     将设备的接地线的一端安装到设备接地孔上。

 

(2)     接地线的另一端可以直接缠绕在接地排上,或者与OT端子进行组装后再安装到接地排上,OT端子的组装方法如下。

 

1.6.2  连接电源线

先将电源线一端插入到设备的电源接口,并用卡扣固定住电源线。再将另一端连接到外部的交流电源插座上。

 

1.7  技术规格

项目

ER3200G3

ER3208G3

ER3260G3

ER5200G3

外形尺寸(宽×深×高)

440mm×230mm×44mm

功耗

<10W

<12W

<10W

<12W

电源

100V AC~240V AC,50/60Hz

重量

3Kg

USB接口

1个USB2.0接口

LAN接口

1个

5个

1个

1个

LAN/WAN接口

3个

3个

4个

5个

WAN接口

1个千兆电口

2个千兆电口

1个千兆电口

1个Combo口

工作温度

0ºC~45ºC

工作湿度

5%RH~95%RH,非凝露

散热方式

自然散热


2 登录设备

说明

建议使用Internet Explorer 10及以上版本、Chrome 57及以上版本、Firefox 35及以上版本的浏览器访问Web管理页面。

 

·     将计算机连接到设备的LAN接口。

·     配置计算机为自动获取IP地址或手工配置计算机的IP地址和192.168.1.1/24在同一网段。

·     检查计算机的代理服务设置情况。如果当前计算机使用代理服务器访问互联网,则首先必须禁止代理服务。

·     运行Web浏览器。请在浏览器地址栏中输入http://192.168.1.1(设备缺省的管理IP地址,登录后可修改)并回车。

·     如下图所示,在弹出的窗口上输入管理员用户名和密码(缺省均为admin),点击<登录>按钮。首次登录设备后,系统会自动弹出“修改密码”页面。输入旧密码、新密码,并确认新密码,点击<确定>按钮完成密码的修改。

 


3 系统信息

3.1  简介

系统信息将展示设备的运行情况,基本功能的配置向导和技术支持信息。

3.2  CPU使用率和内存使用率

1. 配置需求

显示设备CPU使用率和内存使用率相关信息,包括:

·     CPU的当前使用率、平均使用率。

·     内存的当前使用率、平均使用率。

·     系统时间、运行时间。

·     产品型号、序列号、软件版本等信息。

·     存储介质上存储空间的使用情况。

·     端口状态:显示WAN口和LAN口的使用状态。

2. 配置步骤

(1)     单击导航树中[系统信息]菜单项,进入系统信息显示页面。

(2)     单击页面上方的“CPU使用率”区段或“内存使用率”区段,可查看CPU或内存的当前使用率、平均使用率。

3.3  接入终端

1. 配置需求

显示设备接入终端相关信息,包括:

·     实时流量排行TOP5。

·     在线主机数和在线主机网络连接数。

·     在线主机信息表,表中包含终端IP地址、终端名、网络连接数、接入方式、接口、终端MAC地址等信息。

2. 配置步骤

(1)     单击导航树中[系统信息]菜单项,进入系统信息显示页面。

(2)     单击页面上方的“接入终端”区段,可查看接入终端的相关信息。

3.4  上网流量

1. 配置需求

显示设备上网流量相关信息,例如:上行流量、当前上行速度、下行流量、当前下行速度,上网WAN接口的状态和上网参数等。

2. 配置步骤

(1)     单击导航树中[系统信息]菜单项,进入系统信息显示页面。

(2)     单击页面上方的“上网流量”区段,可查看上网流量的相关信息。

3.5  系统信息

1. 配置需求

显示设备系统时间和产品型号等信息。

2. 配置步骤

(1)     单击导航树中[系统信息]菜单项,进入系统信息页面。

(2)     在“系统时间”区段中,可查看系统时间和运行时间;在“产品型号”区段中,可参看产品型号、序列号、Boot ROM版本、硬件版本和软件版本等信息。

 

3.6  端口状态

1. 配置需求

显示WAN口和LAN口的使用状态。

2. 配置步骤

(1)     单击导航树中[系统信息]菜单项,进入系统信息显示页面。

(2)     在“端口状态”区段中,点击端口图标,可进入WAN或LAN配置页面。

 

3.7  存储介质

1. 配置需求

存储介质上存储空间的使用情况。

2. 配置步骤

(1)     单击导航树中[系统信息]菜单项,进入系统信息显示页面。

(2)     在页面右下方区段,可查看存储介质上存储空间的使用率。

3.8  功能向导

通过功能向导帮助用户快速的配置网络。

(1)     单击导航树中[系统信息]菜单项,进入系统信息页面。

(2)     单击“功能向导”页签,进入功能向导页面。

(3)     根据需要点击功能对应的链接,配置向导如下:

·     上网配置

¡     连接到因特网:单击“连接到因特网”链接,页面自动跳转至外网配置页面。

¡     局域网(LAN)设置:单击“局域网(LAN)设置”链接,页面自动跳转至LAN配置页面。

¡     NAT配置:单击“NAT配置”链接,页面自动跳转至NAT配置页面。

·     上网行为

¡     应用控制:单击“应用控制”链接,页面自动跳转至上网行为管理的应用控制页面。

¡     网址控制:单击“网址控制”链接,页面自动跳转至上网行为管理的网址控制页面。

¡     文件控制:单击“文件控制”链接,页面自动跳转至上网行为管理的文件控制页面。

¡     带宽限速:单击“带宽限速”链接,页面自动跳转至带宽管理的IP限速页面。

¡     连接限制:单击“连接限制”链接,页面自动跳转至连接限制的网络连接限制数页面。

¡     流量统计排名:单击“流量统计排名”链接,页面自动跳转至流量排行页面。

·     接入安全

¡     Portal认证:单击“Portal认证”链接,页面自动跳转至Portal认证页面。

¡     防火墙:单击“防火墙”链接,页面自动跳转至防火墙页面。

¡     VPN设置:单击“VPN设置”链接,页面自动跳转至IPsec VPN页面。

¡     MAC地址过滤:单击“MAC地址过滤”链接,页面自动跳转至MAC地址过滤页面。

¡     ARP安全:单击“ARP安全”链接,页面自动跳转至ARP安全页面。

·     设备维护

¡     配置管理:单击“配置管理”链接,页面自动跳转至配置管理页面。

¡     系统升级:单击“系统升级”链接,页面自动跳转至系统升级页面。

¡     网络诊断:单击“网络诊断”链接,页面自动跳转至网络诊断页面。

¡     重新启动:单击“重新启动”链接,页面自动跳转至重新启动页面。

¡     远程管理:单击“远程管理”链接,页面自动跳转至远程管理页面。

¡     用户FAQ:单击“用户FAQ”链接,页面自动跳转至用户FAQ页面。

 

3.9  获取技术支持

如果用户对产品存有疑问,可以通过本页签提供的联系方式联系我们。包括:

·     热线电话

·     服务网站

·     客服邮箱

·     微信公众号

 


4 快速设置

4.1  简介

通过快速设置完成广域网WAN和局域网LAN的基本配置后,局域网内的用户便可以访问外网。

4.2  配置WAN

1. 配置需求

设备支持单WAN和双WAN两种广域网接入场景(部分款型只支持双WAN场景,快速设置页面中无单WAN选项)。如果用户仅租用了一个运营商网络,则选择单WAN场景;如果用户租用了两个运营商网络,则使用双WAN场景。单WAN和双WAN场景的配置方法相同。

说明

·     ER3200G3、ER3260G3和ER5200G3设备的快速设置功能支持单WAN和双WAN场景,ER3208G3设备的快速设置功能仅支持双WAN场景。

·     快速设置页面仅支持设置单WAN或双WAN场景,多WAN模式可在[网络设置/外网配置]菜单项中的配置接口模式页面中配置。

 

2. 配置步骤

(1)     单击导航树中[快速设置]菜单项,进入快速设置页面。

(2)     根据使用场景需求,选择“单WAN场景”或“双WAN场景”,设置广域网接入参数。

(3)     在“线路1”或“线路2”配置项处选择要接入广域网的物理接口WANx。

(4)     根据用户实际的上网方式,在“连接模式”配置项处选择对应的连接模式:

¡     如果选择连接模式为“PPPoE”:

-     在“上网账号”配置项处,输入运营商提供的PPPoE接入用户名。

-     在“上网密码”配置项处,输入运营商提供的PPPoE接入密码。

-     在“DNS1”和“DNS2”配置项处,输入接入广域网的DNS服务器地址。注意设备优先使用DNS1进行域名解析。如果解析失败,则使用DNS2进行域名解析。

¡     如果选择连接模式为“DHCP”,将自动从DHCP服务器获取接入广域网的IP地址。

¡     如果选择连接模式为“固定地址”:

-     在“IP地址”配置项处,输入接入广域网的固定IP地址。

-     在“子网掩码”配置项处,输入IP地址的掩码或掩码长度,例如255.255.255.0或24,。

-     在“网关地址”配置项处,输入接入广域网的网关地址。

-     在“DNS1”和“DNS2”配置项处,输入接入广域网的DNS服务器地址。默认DNS1为114.114.114.114,DNS2为223.5.5.5。注意设备优先使用DNS1进行域名解析。如果解析失败,则使用DNS2进行域名解析。

(5)     在“NAT地址转换”配置项处,根据实际需求选择是否启用该功能。局域网中的多台设备共用同一个公网IP时,需要启用此功能。

(6)     点击<下一步>按钮,完成WAN配置。

 

 

 

4.3  配置LAN

完成WAN配置后,会进入到LAN配置的页面。

(1)     在“局域网IP地址”配置项处,输入设备在局域网中使用的IP地址。

(2)     在“子网掩码”配置项处,输入IP地址的掩码或掩码长度,例如255.255.255.0或24,输入的掩码长度会被自动转换为点分十进制的掩码格式。

(3)     在“DHCP服务器”配置项处,选择是否“启用”选项。如果设备需要作为DHCP服务器为局域网中的主机分配IP地址,则需要选择“启用”。

¡     如选择“启用”选项:

-     在“IP分配范围”配置项处,输入待分配地址的起始IP地址和结束IP地址;

-     在“网关地址”配置项处,输入设备为DHCP客户端分配的网关地址;

-     在“DNS”配置项处,输入设备为DHCP客户端分配的DNS服务器的IP地址。

¡     如不选择“启用”,则表示不启用设备的DHCP功能。

(4)     点击<下一步>按钮,会进入到完成配置的页面,显示用户在[快速设置]菜单项中的所有配置;点击<完成>按钮,完成LAN配置。

 


5 系统监控

5.1  线路监控

5.1.1  简介

线路监控功能用来查看设备端口状态和各线路的流量情况,方便管理员对设备线路流量进行分析与审计。

5.1.2  配置步骤

(1)     单击导航树中[系统监控/线路监控]菜单项,进入线路监控页面。

(2)     在“端口状态”区段下,点击端口图标,可进入WAN或LAN配置页面。

(3)     在“线路流量”区段下,可以通过列表查看各线路的流量信息。

 

5.2  流量排行

5.2.1  简介

流量排行功能用来展示终端流量使用情况,可查看终端IP地址、当日总流量和在线时长等信息,方便管理员对用户的上网行为进行分析与审计。

5.2.2  注意事项

流量排行列表中只会显示最近5分钟内连接过设备的终端的流量统计信息。

5.2.3  配置步骤

(1)     单击导航树中[系统监控/流量排行]菜单项,进入流量排行页面。

(2)     勾选“开启流量排行”选项,开启用户流量排行功能。

 


6 MiniAP管理

6.1  AP管理设置

6.1.1  简介

您可通过开启AP管理功能,集中管理接入的AP设备。

6.1.2  注意事项

AP管理功能的默认管理VLAN为VLAN1,如需选择其它VLAN,请先单击导航树中的[网络设置]菜单项,进入LAN配置页面进行配置。

6.1.3  配置步骤

(1)     单击导航树中[MiniAP管理/AP管理设置]菜单项,进入AP管理设置页面。

(2)     在“AP管理功能”配置项处,选择“启用”。

(3)     在“AP管理使用VLAN”配置项处,选择AP管理使用的管理VLAN。

(4)     在“AP管理地址”配置项处,输入管理VLAN的IP地址。

(5)     在“AP管理子网掩码”配置项处,输入管理VLAN的子网掩码。

(6)     在“地址池起始地址”配置项处,配置AP上线后获取IP地址的地址池起始地址。

(7)     在“地址池结束地址”配置项处,配置AP上线后获取IP地址的地址池结束地址。

(8)     点击<确定>按钮,完成AP管理设置服务。

 

6.2  在线AP管理

6.2.1  简介

您可通过在线AP管理功能查看已上线的AP设备和客户端。本页面显示AP设备与客户端的详细信息,支持管理客户端的上线状态。用户可使用在线AP管理功能,选择AP绑定的服务模板,手动升级AP版本或AP同步AC下发的配置。

6.2.2  在线AP列表

1. 注意事项

·     使用版本升级功能之前,请先将AP升级需要使用的软件版本上传到设备中。具体操作步骤,请单击导航树中[MiniAP管理/版本管理]菜单项,进入版本管理页面进行相关配置。

·     未开启“强制AP和管理器上的版本一致”功能时,版本升级功能仅用于AP设备从低版本到高版本的升级操作。

2. 配置步骤

(1)     单击导航树中[MiniAP管理/在线AP管理]菜单项,进入在线AP管理页面。

(2)     单击“在线AP列表”页签,进入在线AP列表页面。

(3)     在“关键字自动查询”配置项处,输入待查询AP设备的关键字,页面会自动显示出与关键字相关的AP设备列表。

(4)     单击<高级查询>按钮,进入“高级查询”配置页面,本页面可设定与AP设备相关的多个筛选条目,点击<查询>按钮,完成查询。

(5)     点击<刷新>按钮,完成在线AP列表的刷新。

(6)     在“自动刷新”配置项处,可设置在线AP列表自动刷新的时间。

(7)     勾选AP型号前的复选框,可进行如下功能配置:

¡     点击<绑定配置模板>按钮,选择AP需要绑定的已经创建的无线服务模板或者手工配置。

¡     点击<版本升级>按钮,AC下发软件版本并升级该AP设备。

¡     点击<配置同步>按钮,手动触发AP同步AC下发的配置。

¡     点击<删除离线记录>按钮,删除离线设备的状态显示项。

¡     点击<重新启动>按钮,重启AP设备。

(8)     在“每页显示”配置项处,设置当前显示页面的AP数据条数。

 

6.2.3  客户端列表

1. 配置步骤

(1)     单击导航树中[MiniAP管理/在线AP管理]菜单项,进入在线AP管理页面。

(2)     单击“客户端列表”页签,进入客户端列表配置页面。

(3)     在“关键字自动查询”配置项处,输入待查询客户端的关键字,页面会自动显示出与关键字相关的客户端列表。

(4)     单击<高级查询>按钮,进入“高级查询”配置页面,本页面可设定与客户端相关的多个筛选条目,点击<查询>按钮,完成查询。

(5)     点击<刷新>按钮,完成在线客户端列表的刷新。

(6)     在“自动刷新”配置项处,设置在线客户端列表自动刷新的时间。

(7)     勾选客户端前的复选框,点击<释放>按钮,断开客户端与无线服务的连接。

(8)     点击<全部释放>按钮,断开所有客户端与无线服务的连接。

 

6.3  配置管理

6.3.1  简介

当您需要手动增加AP、修改无线网络各种参数以便对无线网络进行优化或需要进行无线漫游时,可以使用配置管理功能。

为了方便您进行快速设置,设备提供了一套缺省的无线服务模板“default”。defalt模板中提供了一个2.4G网络配置和一个5G网络配置,您可以在“无线基本配置”页签”中对SSID名称、加密方式和共享密钥三项参数进行配置。如果您想配置default模板的更多参数(无线网络模式、无线网络频宽、无线信道、发射功率、修改SSID配置等)或创建及修改新的无线服务模板,可以到“配置模板管理”页签配置。

配置完无线服务模板后,如果需要增加手工AP或为上线的AP分配无线服务模板,请到“AP配置管理”页签中配置。

完成上述配置后,如果对无线网络还有二层漫游、禁止弱信号客户端接入以及关闭广播探测等高级需求,请到“无线高级配置”页签下进行配置。

6.3.2  无线基本配置

1. 配置简介

无线基本配置只对default模板中2.4G网络和5G网络的SSID名称、加密方式和共享密钥三项参数进行配置。

2. 注意事项

·     修改服务模板中的加密方式、共享配置密钥等无线服务属性后,如果AP中的配置未自动同步,需要手动点击<配置同步>按钮,将配置下发到AP设备。如需使用<配置同步>功能,请参考“在线AP管理”的联机帮助。

·     配置无线服务模板时,需要同时配置2.4G与5G无线网络的相关参数信息。

3. 配置步骤

(1)     单击导航树中[MiniAP管理/配置管理]菜单项,进入配置管理页面。

(2)     单击“无线基本配置”页签,进入无线基本配置页面。

(3)     配置无线网络设置SSID设置-2.4G:

¡     在“SSID-1名称”配置项处,输入2.4G无线服务的SSID名称,即无线用户接入网络时搜索到的网络名称。

¡     在“加密方式”配置项处,选择客户端是否通过加密方式连接无线服务。

¡     为增强无线网络的安全性,推荐您使用WPA-PSK/WPA2-PSK安全模式进行加密。

¡     在“共享密钥”配置项处,输入无线服务密钥,无线用户接入网络时需要输入此密钥。当您选择通过加密方式接入无线服务时,需要设置共享密钥。

(4)     配置无线网络SSID设置-5G:

¡     在“SSID-1名称”配置项处,输入5G无线服务的SSID名称,即无线用户接入网络时搜索到的网络名称。

¡     在“加密方式”配置项处,选择客户端是否通过加密方式连接无线服务。

¡     为增强无线网络的安全性,推荐您使用WPA-PSK/WPA2-PSK安全模式进行加密。

¡     在“共享密钥”配置项处,输入无线服务密钥,无线用户接入网络时需要输入此密钥。当您选择通过加密方式接入无线服务时,需要设置共享密钥。

(5)     点击<应用>按钮,完成配置。

 

6.3.3  配置模板管理

说明

一个模板可以配置多个SSID,最多配置8个2.4G的SSID和8个5G的SSID。如果AP支持N个SSID(N小于等于8),则AP只会同步前N个SSID。

 

1. 配置简介

配置模板管理用来配置default模板的更多参数(无线网络模式、无线网络频宽、发射功率、修改SSID配置等)或创建及修改新的无线服务模板。

2. 配置步骤

(1)     单击导航树中[MiniAP管理/配置管理]菜单项,进入配置管理页面。

(2)     单击“配置模板管理”页签,进入配置模板管理页面。

(3)     点击<添加>按钮,弹出“添加配置模板”对话框。

¡     在“模板名称”配置项处,输入无线服务模板的名称。

¡     在“模板描述”配置项处,输入该无线服务模板的相关描述信息。

¡     在“无线网络基本设置-2.4G”配置项处,选择无线网络模式、频宽、信道和发射功率参数信息。通常情况下选择缺省配置即可,如需更改配置,请确保相关配置符合所在国家或区域的管制要求。需要注意的是,发射功率是指天线在无线介质中所辐射的功率,反映的是WLAN设备辐射信号的强度。射频功率越大,射频覆盖的范围越广,客户端在同一位置收到的信号强度越强,也就越容易干扰邻近的网络。随着传输距离的增大,信号强度随之衰减。

¡     在“无线网络SSID设置-2.4G”配置项处,点击<添加>按钮,弹出“添加SSID配置”对话框。

-     勾选“启用SSID”复选框,在“SSID名称”配置项处,输入2.4G无线服务的SSID名称。

-     在“加密方式”配置项处,选择客户端是否通过加密方式连接无线服务。

为增强无线网络的安全性,推荐您使用WPA-PSK/WPA2-PSK安全模式进行加密。

-     在“共享密钥”配置项处,输入无线服务密钥。

当您选择通过加密方式接入无线服务时,需要设置共享密钥。

-     在“加密协议”配置项处,选择加密机制来保护您的数据安全。

设备提供的加密协议包括TKIP、AES及TKIP+AES。AES比TKIP采用更高级的加密技术,因此AES比TKIP的安全性更好,但TKIP对网卡的兼容性更好,部分老网卡可能不支持AES,实际中请根据网卡的支持情况选择加密协议。

-     在“群组密钥更新周期”配置项处,设置群组密钥更新周期。

-     设置密钥更新周期可以帮助您提高WLAN网络的安全性。

-     当您需要进一步设置客户端接入管理的相关功能时,请勾选“高级设置”复选框。启用客户端隔离功能可以开启基于SSID的用户隔离,即对使用同一公共无线服务进行通信的用户进行报文隔离,从而达到提高用户安全性、缓解设备转发压力和减少射频资源消耗的目的;启用SSID广播功能时,AP将SSID置于Beacon帧中向外广播发送。若BSS一段时间内不可用即客户端不能上线或不希望其它客户端上线,则可以配置关闭SSID广播功能。若关闭SSID广播功能,AP在Beacon帧中广播的SSID信息为空,可以借此保护网络免遭攻击。此时客户端若想连接此BSS,则需要手工指定该SSID,这时客户端会直接向该AP发送认证及关联报文连接该BSS;设置最大客户端数量可以防止SSID接入的客户端数量过多而过载;设置桥接VLAN可以将SSID接入的客户端划分在不同广播域中,充分利用有限的IP地址资源。

-     点击<确定>按钮,完成配置。

¡     在“无线网络基本设置-5G”配置项处,选择无线网络模式、频宽、信道和发射功率等参数信息。通常情况下选择缺省配置即可,如需更改配置,请确保相关配置符合所在国家或区域的管制要求。需要注意的是,发射功率是指天线在无线介质中所辐射的功率,反映的是WLAN设备辐射信号的强度。射频功率越大,射频覆盖的范围越广,客户端在同一位置收到的信号强度越强,也就越容易干扰邻近的网络。随着传输距离的增大,信号强度随之衰减。

¡     在“无线网络SSID设置-5G”配置项处,点击<添加>按钮,弹出添加SSID配置对话框。

-     勾选“启用SSID”复选框,在“SSID名称”配置项处,输入5G无线服务的SSID名称。

-     在“加密方式”配置项处,选择客户端是否通过加密方式连接无线服务。

为增强无线网络的安全性,推荐您使用WPA-PSK/WPA2-PSK安全模式进行加密。

-     在“共享密钥”配置项处,输入无线服务密钥。

当您选择通过加密方式接入无线服务时,需要设置共享密钥。

-     在“加密协议”配置项处,选择加密机制来保护您的数据安全。

-     在“群组密钥更新周期”配置项处,设置群组加密密钥更新周期。

设置密钥更新周期可以帮助您提高WLAN网络的安全性。

-     当您需要进一步设置客户端接入管理的相关功能时,请勾选“高级设置”复选框。启用客户端隔离功能可以开启基于SSID的用户隔离,即对使用同一公共无线服务进行通信的用户进行报文隔离,从而达到提高用户安全性、缓解设备转发压力和减少射频资源消耗的目的;启用SSID广播功能时,AP将SSID置于Beacon帧中向外广播发送。若BSS一段时间内不可用即客户端不能上线或不希望其它客户端上线,则可以配置关闭SSID广播。关闭SSID广播功能时,AP在Beacon帧中广播的SSID信息为空,可以借此保护网络免遭攻击。此时客户端若想连接此BSS,则需要手工指定该SSID,这时客户端会直接向该AP发送认证及关联报文连接该BSS;设置最大客户端数量可以防止SSID接入的客户端数量过多而过载;设置桥接VLAN可以将SSID接入的客户端划分在不同广播域中,充分利用有限的IP地址资源。

-     点击<确定>按钮,完成配置。

(4)     点击<确定>按钮,完成服务模板的配置。

(5)     如需修改配置好的无线服务模板,则在“配置模板管理”页签下,点击模板名称对应的操作列编辑图标,进入无线服务模板修改页面进行相关参数修改即可。

(6)     如需删除无线服务模板,则在则在“配置模板管理”页签下,勾选要删除的模板名称前的复选框,然后单击页面右上角的<删除>按钮即可,或者点击模板名称对应的操作列删除图标删除当前无线服务模板。注意,名称为“default”的缺省服务模板无法删除。

 

 

6.3.4  AP配置管理

1. 配置简介

AP配置管理用来添加、修改、删除AP。

2. 配置步骤

(1)     单击导航树中[MiniAP管理/配置管理]菜单项,进入配置管理页面。

(2)     单击“AP配置管理”页签,进入AP配置管理页面。

(3)     在“请输入关键字自动查询”配置项处,输入待查询AP的关键字,页面会自动显示出与关键字相关的AP列表。

(4)     点击<高级查询>按钮,进入高级查询配置页面,本页面可设定与AP相关的多个筛选条目,点击<查询>按钮,完成查询。

(5)     点击<添加>按钮,弹出“添加AP配置模板”对话框。

(6)     在“MAC地址”配置项处,输入AP设备的MAC地址。

您可通过AP机身查找AP设备的MAC地址。

(7)     在“备注信息”配置项处,填写配置信息。

(8)     在“模板选择”配置项处,选择AP需要绑定的已经创建的无线服务模板。

(9)     设置2.4G配置和5G配置,具体请参见“配置模板管理”页签的相关配置。

(10)     点击<确定>按钮,完成配置。

(11)     如需修改配置好的AP配置模板,则在“AP配置管理”页签下,点击AP MAC地址对应的操作列编辑图标,进入AP配置模板修改页面进行相关参数修改即可。

(12)     如需删除AP配置模板,则在“AP配置管理”页签下,勾选要删除的AP MAC地址前的复选框,然后单击页面右上角的<删除>按钮即可,或者点击AP MAC地址对应的操作列删除图标删除当前AP配置模板。注意,在线AP的配置模板无法删除。

 

 

6.3.5  无线高级配置

1. 配置简介

无线高级配置用来配置二层漫游、禁止弱信号客户端接入以及关闭广播探测高级需求。

2. 注意事项

·     若同时启用“二层漫游”与“禁止弱信号客户端接入”功能时,“禁止弱信号客户端接入”需要比“信号切换阈值”低,否则“二层漫游”功能将不生效。

·     客户端在AC内进行二层漫游时,要求两个AP处于相同的VLAN中,且AP绑定相同的SSID,即服务模板也保持一致。

·     配置禁止弱信号客户端接入功能,会导致信号强度低于指定门限值的无线客户端无法接入WLAN网络。

3. 配置步骤

(1)     单击导航树中[MiniAP管理/配置管理]菜单项,进入配置管理页面。

(2)     单击“无线高级配置”页签,进入无线高级配置管理页面。您可视实际情况选择开启如下功能:

¡     勾选“二层漫游”复选框,开启二层漫游功能。在“信号切换阀值”配置项处,输入信号切换阀值。

¡     WLAN客户端从一个AP上接入转移到另一个AP上接入的过程称为漫游。在漫游期间,客户端的IP地址、授权信息等维持不变。开启“二层漫游”功能时,低于“信号切换阀值”的客户端会进行信号切换。

¡     勾选“禁止弱信号客户端接入”复选框,在“禁止接入信号强度”配置项处,设置信号强度,低于“禁止接入信号强度”的客户端将无法接入无线网络。

在WLAN网络中,信号强度较弱的无线客户端虽然能够接入网络,但其所能获取到的网络性能和服务质量相比信号强的无线客户端要差很多。禁止弱信号客户端接入功能通过拒绝信号低于指定信号强度门限值的客户端接入,避免弱信号客户端占用较多的信道资源,减少对网络中其它客户端的影响,提升整网的用户体验。

¡     勾选“关闭广播探测”复选框,该功能关闭后,部分客户端无法扫描到本设备下挂AP的SSID。

(3)     点击<确定>按钮,完成配置。

6.3.6  WIFI5备用网络

1. 配置简介

Wi-Fi5备用网络配置提供2.4G和5G射频的Wi-Fi5备用网络SSID配置,当部分终端无法扫描到Wi-Fi6信号时,可以连接备用的Wi-Fi5兼容信号。

2. 配置步骤

(1)     单击导航树中[MiniAP管理/配置管理]菜单项,进入配置管理页面。

(2)     单击“WIFI5备用网络”页签,进入Wi-Fi5备用网络配置页面。

(3)     配置2.4G Wi-Fi5备用网络SSID:

¡     勾选“启用SSID”复选框,在“SSID名称”配置项处,输入2.4G无线服务的SSID名称,即无线用户接入网络时搜索到的网络名称。

¡     在“加密方式”配置项处,选择客户端是否通过加密方式连接无线服务。

为增强无线网络的安全性,推荐您使用WPA-PSK/WPA2-PSK安全模式进行加密。

¡     在“共享密钥”配置项处,输入无线服务密钥,无线用户接入网络时需要输入此密钥。

当您选择通过加密方式接入无线服务时,需要设置共享密钥。

(4)     配置5G WI-FI5备用网络SSID:

¡     勾选“启用SSID”复选框,在“SSID名称”配置项处,输入5G无线服务的SSID名称,即无线用户接入网络时搜索到的网络名称。

¡     在“加密方式”配置项处,选择客户端是否通过加密方式连接无线服务。

为增强无线网络的安全性,推荐您使用WPA-PSK/WPA2-PSK安全模式进行加密。

¡     在“共享密钥”配置项处,输入无线服务密钥,无线用户接入网络时需要输入此密钥。

当您选择通过加密方式接入无线服务时,需要设置共享密钥。

(5)     点击<应用>按钮,完成配置。

 

6.4  版本管理

6.4.1  简介

版本管理功能可以帮助您升级AP的软件版本或者强制AP同步管理器上的软件版本。

6.4.2  AP版本上传

1. 注意事项

·     AP断电重连后会自动同步设备管理器中的软件版本。

·     升级AP的软件版本时,如果设备管理器中待升级的软件版本高于AP的软件版本,AP会自动升级软件版本;反之,则需要开启“强制AP和管理器上的版本一致”,AP才能自动升级到该软件版本。

2. 配置步骤

(1)     单击导航树中[MiniAP管理/版本管理]菜单项,进入版本管理配置页面。

(2)     单击“AP版本上传”页签,进入AP版本上传配置页面。

(3)     点击<选择文件>按钮,访问待上传的AP软件版本存放路径,并选择版本文件。

(4)     点击<上传>按钮,将待上传的AP软件版本上传到设备中。

(5)     点击版本文件右侧的<删除>按钮,点击<确认>按钮,即可删除设备中的版本文件。

 

6.4.3  AP升级管理

1. 配置步骤

(1)     单击导航树中[MiniAP管理/版本管理]菜单项,进入版本管理配置页面。

(2)     单击“AP升级管理”页签,进入AP升级管理页面。

(3)     点击按钮,使得按钮状态为“ON”,开启“强制AP和管理器上的版本一致”功能。

当设备管理器中待升级的软件版本低于AP的软件版本时,需要开启“强制AP和管理器上的版本一致”功能,AP才能自动升级到该软件版本。

 

6.5  高级管理

6.5.1  简介

若需要通过Web管理页面登录AP设备,可通过高级管理功能统一设置下挂AP的Web管理页面登录密码。

6.5.2  注意事项

终端连接AP设备后单独设置的登录密码优先级高于管理器统一下发的登录密码配置。

6.5.3  配置步骤

(1)     单击导航树中[MiniAP管理/高级管理]菜单项,进入高级管理配置页面。

(2)     勾选“启用AP密码设置功能(手动设置AP密码)”,在“新密码”配置项处,输入新密码,在“确认密码”配置项处,再次输入新密码。在“密码提示”配置项处,输入密码提示信息。

(3)     点击<确认>按钮,完成配置。

 

6.6  无线优化

6.6.1  简介

无线优化功能提供了AP统计功能,对AP进行一键部署、一键优化和网络分析功能。

6.6.2  注意事项

在对AP进行一键优化网络优化之前,需要先将AP的无线信道设置为AUTO。

6.6.3  配置步骤

(1)     单击导航树中[MiniAP管理/无线优化]菜单项,进入无线优化配置页面。

(2)     点击<一键部署>按钮,可将所有在线且无线信道类型为AUTO的AP自动分配无线信道。

(3)     在列表中勾选需要优化的AP后,点击<一键优化>按钮,可对所选AP的无线网络进行优化。

(4)     在列表中勾选需要分析的AP后,点击<网络分析>按钮,可对所选AP的无线网络质量进行分析并评分。

 


7 网络设置

7.1  外网配置

7.1.1  简介

通常情况下,外网指的就是广域网(WAN,Wide Area Network),广域网是覆盖地理范围相对较广的数据通信网络,Internet就是一个巨大的广域网。

通常在设备上会有多个WAN接口,通过配置WAN接口可以实现设备访问外网。

7.1.2  配置接口模式

1. 配置需求

本功能用于配置设备WAN口接入的个数。

·     正常情况下,接口从LAN口转换到WAN口后,WAN口的连接到互联网方式为禁用,启用前请配置WAN口连接参数。接口相关的VLAN配置信息在接口转换后将会丢失。

·     正常情况下,接口转换会清除端口镜像配置信息,如你需要继续使用端口镜像功能,请在接口转换后重新配置。

2. 配置步骤

(1)     单击导航树中[网络设置/外网配置]菜单项,进入外网配置页面。

(2)     在“配置接口模式”页签下,勾选“双WAN模式”、“三WAN模式”、“四WAN模式”或“五WAN模式”选项,设置设备支持的WAN口数量。

(3)     点击<应用>按钮,完成配置。

 

7.1.3  WAN配置

(1)     单击导航树中[网络设置/外网配置]菜单项,进入外网配置页面。

(2)     单击“WAN配置”页签,进入WAN配置页面。

(3)     在线路列表中,点击指定线路对应的操作列编辑图标,进入修改WAN配置页面。

(4)     根据用户实际的上网方式,在“连接模式”配置项处选择对应的连接模式:

¡     如果选择连接模式为“PPPoE”:

-     在“上网账号”配置项处,输入运营商提供的PPPoE接入用户名。

-     在“上网密码”配置项处,输入运营商提供的PPPoE接入密码。

-     在“LCP主动检测”配置项处,选择在PPPoE链路处于异常状态时,是否开启保活报文检测功能。若选择“是”,表示开启,则每隔20秒钟检测一次;若选择“否”,表示关闭,则每隔2分钟检测一次。

-     “在线方式”为“始终在线”。

¡     如果选择连接模式为“DHCP”,将自动从DHCP服务器获取接入广域网的公网IP地址。

¡     如果选择连接模式为“固定地址”:

-     在“IP地址”配置项处,输入接入广域网的固定IP地址。

-     在“子网掩码”配置项处,输入IP地址的掩码或掩码长度,例如255.255.255.0或24。

-     在“网关地址”配置项处,输入接入广域网的网关地址。

-     在“DNS1”和“DNS2”配置项处,输入接入广域网的DNS服务器地址。默认DNS1为114.114.114.114,DNS2为223.5.5.5。注意设备优先使用DNS1进行域名解析。如果解析失败,则使用DNS2进行域名解析。

(5)     在“MAC地址”配置项处,根据实际需求选择“使用接口出厂MAC地址(例如:00-19-10-28-00-80)”或“使用静态指定的MAC”。通过运营商分配的公网地址访问外网时,此处需选择“使用静态指定的MAC”,并输入与运营商绑定的MAC地址。

(6)     在“网络上行带宽”和“网络下行带宽”配置项处,输入实际线路的带宽值,请咨询当地运营商。

(7)     在“拨号方式”配置项处,选择PPPoE连接的拨号方式,如果选择自动拨号,配置完成后点击对话框下方的<确定>按钮,将会自动完成拨号;如果选择手动拨号,配置完成后需要点击对话框下方的<拨号>按钮才能完成拨号。当连接模式为“PPPoE”时,才需配置此参数。

(8)     在“host-uniq”配置项处,输入PPPoE连接携带host-uniq字段。当连接模式为“PPPoE”时,才需配置此参数。

(9)     在“服务器名”配置项处,输入PPPoE连接的服务器名。当连接模式为“PPPoE”时,才需配置此参数。

(10)     在“服务名”配置项处,输入PPPoE连接的服务名。当连接模式为“PPPoE”时,才需配置此参数。

(11)     在“主机名”配置项处,输入需要通告给DHCP服务器的机器名。当连接模式为“DHCP”时,才需配置此参数。

(12)     在“NAT地址转换”配置项处,根据实际需求选择是否启用该功能。局域网中的多台设备共用同一个公网IP时,需要启用此功能。如果选择启用,可根据需要勾选“使用地址池转换”选项,并选择地址池。此处可选择的地址池是通过“网络设置-NAT配置”中的“地址池”页签添加的。

(13)     在“TCP MSS”配置项处,设置接口的TCP报文段的最大长度,默认长度为1280字节

(14)     在“MTU”配置项处,输入接口允许通过的MTU(Maximum Transmission Unit,最大传输单元)的大小。

(15)     在“链路探测”配置项处,可设置为未启用、ICMP探测、DNS探测和NTP探测。当选择ICMP探测、DNS探测或NTP探测时,需设置如下参数:

¡     在“探测地址”配置项处,输入链路探测的IP地址,如果链路探测配置为DNS探测,则也可以输入链路探测的域名。

¡     在“探测间隔”配置项处,输入链路探测的时间间隔。

¡     在“探测次数”配置项处,输入链路探测的探测次数。

启用链路探测功能后,可以对到达指定IP地址的链路状态进行判断,提高链路的可靠性。

(16)     点击<确定>按钮,完成WAN配置修改。

 

 

7.1.4  修改多WAN策略

1. 注意事项

只有多WAN场景可以进行本页面的配置。

2. 配置步骤

(1)     单击导航树中[网络设置/外网配置]菜单项,进入外网配置页面。

(2)     单击“修改多WAN策略”页签,进入修改多WAN策略配置页面。

(3)     根据实际应用,对多WAN策略进行修改:

¡     如果多WAN属于相同的运营商,建议选择“平均分配负载分担”或“带宽比例负载分担”。如果多WAN链路的带宽一致,可以选择“平均分配负载分担”,否则选择“带宽比例负载分担”,并设置分配链路带宽比例。

¡     如果多WAN属于不同的运营商,建议选择“基于运营商的负载分担”或“多链路高级负载分担”。如果每个运营商提供的链路带宽一致,可以选择“基于运营商的负载分担”,否则选择“多链路高级负载分担”,并设置分配链路带宽比例。

¡     为了保持网络的稳定性,可以进行链路备份,选择“主链路(请选择作为主链路的WAN接口)”以及对应的“WANn”,然后选择备份链路的“WANm”。注意n和m不能一致,否则不能实现链路备份。

(4)     点击<应用>按钮,完成多WAN策略修改。

 

7.1.5  保存接口上一跳

(1)     单击导航树中[网络设置/外网配置]菜单项,进入外网配置页面。

(2)     单击“保存接口上一跳”页签,进入保存接口上一跳配置页面。

(3)     勾选“开启保存接口上一跳功能”或“关闭保存接口上一跳功能”选项。多WAN场景下,为了确保进入和离开局域网的报文通过同一个WAN接口转发,需要开启保存接口上一跳功能。

 

7.2  LAN配置

7.2.1  简介

本功能主要用于将设备的局域网接口加入VLAN,配置VLAN接口参数,开启DHCP服务以及配置DHCP服务参数。

DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网协议,主要用于为局域网内的主机分配IP地址。DHCP支持动态及静态地址分配机制:

·     动态地址分配功能配置在接口上,此功能给用户主机动态分配IP地址,时间到期或主机明确表示放弃该地址时,该地址可以被其它主机使用。该分配方式适用于局域网的主机获取有一定有效期限的地址的组网环境。

·     静态分配的IP地址不与客户端的接口绑定,仅需要与主机的网卡MAC地址进行绑定,具有永久使用权限。该分配方式适用于局域网的主机获取租期为无限长的IP地址的组网环境。

7.2.2  配置VLAN

1. 配置需求

需要将设备上的LAN接口加入指定的VLAN,使得局域网内处于同一VLAN的主机能直接互通,处于不同VLAN的主机不能直接互通。

2. 注意事项

在详细端口配置页面配置端口的PVID时,只能指定已创建的VLAN。

提示

PVID(Port VLAN ID,端口的缺省VLAN):当端口收到未携带VLAN Tag的报文时,即认为此报文所属的VLAN为端口的缺省VLAN。

 

3. 配置准备

规划设备上LAN接口所属的VLAN,并在LAN配置页面上,创建对应的VLAN接口。

4. 配置步骤

(1)     单击导航树中[网络设置/LAN配置]菜单项,进入LAN配置页面。

(2)     单击“VLAN划分”页签,进入VLAN划分页面。

(3)     在端口列表中,点击指定端口上“操作”区段的按钮,弹出详细端口配置对话框。

(4)     在“PVID”配置项处,通过下拉框修改端口的PVID。

(5)     配置端口加入或移除VLAN:

¡     勾选“待选VLAN”复选框下方的VLAN编号,或直接勾选“待选VLAN”复选框以选中所有VLAN,然后点击待选VLAN下方的向右方向按钮将端口加入所选VLAN。

¡     勾选“已选VLAN”复选框下方的VLAN编号,或直接勾选“已选VLAN”复选框以选中所有VLAN,然后点击已选VLAN下方的向左方向按钮将端口从已加入的VLAN中移除。

(6)     点击<确定>按钮,完成配置。

 

 

7.2.3  配置LAN接口基本参数

1. 配置需求

为设备创建连接内网的VLAN与VLAN接口,并可将VLAN接口作为内网设备的网关,提供DHCP服务。

2. 配置步骤

(1)     单击导航树中[网络设置/LAN配置]菜单项,进入LAN配置页面。

(2)     单击“VLAN配置”页签,进入VLAN配置页面。

(3)     已创建的VLAN接口显示在接口列表中,可以通过单击指定VLAN接口上“操作”区段的按钮进行编辑;通过单击指定VLAN接口上“操作”区段的按钮或勾选VLAN接口后单击“删除”按钮对选中的数据进行删除。

(4)     点击<添加>按钮,进入添加LAN接口页面。

(5)     在“VLAN ID”配置项处,输入VLAN ID。

(6)     在“接口IP地址”配置项处,输入接口的IP地址。

(7)     在“子网掩码”配置项处,输入IP地址的掩码或掩码长度,例如255.255.255.0或24。

(8)     在“TCP MSS”配置项处,设置接口的TCP报文最大分段长度值,默认长度为1280字节。

(9)     在“MTU”配置项处,输入接口允许通过的MTU的大小。

(10)     勾选“开启DHCP服务”复选框,开启设备的DHCP服务,即为连接到设备的客户端(例如连接到设备的计算机等)动态分配IP地址。根据实际情况,设置如下参数。

¡     勾选“对DHCP分配的地址进行ARP保护(动态绑定)”复选框,为动态分配的IP地址绑定客户端。

¡     在“地址池起始地址”和“地址池结束地址”配置项处,设置设备可分配给客户端的IP地址范围。

¡     在“排除地址”配置项处,设置不能分配给客户端的IP地址。如果地址池范围内的某些IP地址(如网关地址)不能分配给客户端,就需要将其配置为排除地址。

¡     在“客户端域名”配置项处,输入为客户端分配的域名后缀。

¡     在“网关地址”和“DNS1”以及“DNS2”配置项处,输入客户端的网关地址和DNS服务器地址。

¡     在“地址租约”配置项处,以分钟为单位设置IP地址的使用时间,比如设置IP地址租约为5天,则输入7200。

(11)     点击<确定>按钮,完成配置。

 

 

7.2.4  配置接口上的DHCP服务

1. 配置需求

如果希望设备可以为连接到该接口的客户端(如连接到设备的计算机等)动态分配IP地址,则需要开启指定接口上的DHCP服务。

2. 注意事项

接口上指定的地址池的地址范围不能与设备上WAN口的IP地址网段包含相同的IP地址。

3. 配置步骤

(1)     单击导航树中[网络设置/LAN配置]菜单项,进入LAN配置页面。

(2)     单击“VLAN配置”页签,进入VLAN配置页面。

(3)     在接口列表中,点击指定接口对应的操作列编辑图标,进入修改接口配置页面。

(4)     勾选“开启DHCP服务”复选框,开启设备的DHCP服务,即为连接到设备的客户端(例如连接到设备的计算机等)动态分配IP地址。根据实际情况,设置如下参数。

¡     勾选“对DHCP分配的地址进行ARP保护(动态绑定)”复选框,为客户端绑定动态分配的IP地址。

¡     在“地址池起始地址”和“地址池结束地址”配置项处,设置设备可分配给客户端的IP地址范围。

¡     在“排除地址”配置项处,设置不能分配给客户端的IP地址。如果地址池范围内的某些IP地址(如网关地址)不能分配给客户端,就需要将其配置为排除地址。

¡     在“客户端域名”配置项处,输入为客户端分配的域名。

¡     在“网关地址”和“DNS1”以及“DNS2”配置项处,输入客户端的网关地址和DNS服务器地址。

¡     在“地址租约”配置项处,以分钟为单位设置IP地址的使用时间,比如设置IP地址租约为5天,则输入7200。

(5)     点击<确定>按钮,完成配置。

 

7.2.5  配置静态DHCP

1. 配置需求

如果需要为某些客户端分配固定的IP地址,则需要配置静态DHCP将客户端的硬件地址与IP地址进行绑定。

2. 注意事项

静态绑定的客户端IP地址不能是设备上WAN口的IP地址网段包含的IP地址。

3. 配置准备

在任何一个接口上开启DHCP服务。

4. 配置步骤

(1)     单击导航树中[网络设置/LAN配置]菜单项,进入LAN配置页面。

(2)     单击“静态DHCP”页签,进入静态DHCP配置页面。

(3)     点击<添加>按钮,弹出新增DHCP静态绑定关系对话框。

(4)     在“接口”配置项处,选择开启DHCP服务器功能的接口。

(5)     在“客户端MAC”配置项处,输入客户端的MAC地址。对于PC类型的客户端,可以在网卡信息中查询到MAC地址;对于设备类型的客户端,可以通过display interface命令查询接口的MAC地址。

(6)     在“客户端IP”配置项处,输入要分配给客户端的IP地址。

(7)     点击<确定>按钮,完成配置。

 

7.2.6  回收DHCP分配的IP地址

(1)     单击导航树中[网络设置/LAN配置]菜单项,进入LAN配置页面。

(2)     单击“DHCP分配列表”页签,进入DHCP分配列表页面。

(3)     在列表中选中需要回收的IP地址。

(4)     点击<一键回收>按钮,在弹出的确认提示框中,点击<是>按钮,确认回收选中的IP地址。

7.2.7  静态绑定DHCP分配的IP地址

(1)     单击导航树中[网络设置/LAN配置]菜单项,进入LAN配置页面。

(2)     单击“DHCP分配列表”页签,进入DHCP分配列表页面。

(3)     在列表中选中需要静态绑定的DHCP服务。

(4)     点击<静态分配>按钮,在弹出的确认提示框中,点击<是>按钮,确认将DHCP动态分配的IP地址设置为静态分配。

7.3  端口管理

7.3.1  简介

端口管理功能用来查看设备各个物理端口的端口类型、端口模式、速率、MAC地址和广播风暴抑制等信息,设置WAN口的管理状态,以及修改端口配置。

7.3.2  配置步骤

(1)     单击导航树中[网络设置/端口管理]菜单项,进入端口管理页面。

(2)     在物理端口列表中,点击指定端口对应的操作列编辑图标,弹出修改端口配置对话框。

(3)     在“管理状态”配置项处,设置开启或者关闭该端口。

(4)     在“端口模式”配置项处,选择配置的端口模式。

(5)     在“速率”配置项处,选择配置的端口速率。

(6)     在“广播风暴抑制”配置项处,设置端口是否抑制或者抑制级别。

(7)     在“MAC地址”配置项处,查看端口的MAC地址。

(8)     点击<确定>按钮,完成配置。

 

 

7.4  NAT配置

7.4.1  简介

NAT(Network Address Translation,网络地址转换)是一种将内部网络私有IP地址,转换成公网IP地址的技术。拥有私有IP地址的内网用户无法直接访问Internet,如果希望内网用户使用运营商提供的公网IP访问外网,或者允许外网用户使用公网IP访问内网资源,则需要配置NAT。

NAT支持如下两种地址转换方式:

·     端口映射:通过这种转换方式,可以实现利用一个公网地址和不同的协议端口同时对外网提供多个内网服务器(例如Web、Mail或FTP服务器)资源的目的。这种方式可以节约设备的公网IP地址资源。端口映射可以将内网中的一组IP地址和不同的协议端口映射到一个公网IP地址和对应的协议端口上,使得一个公网IP地址可以同时分配给多个内网IP地址使用。

·     一对一映射:这种方式适用于内外网之间存在固定访问需求的环境,比如某个网络管理员必须使用一个固定的外网IP去远程访问位于内网中对外提供服务的设备。一对一映射可以在设备上建立一个固定的一对一的映射关系,将内网中的一个私有IP地址转换为一个公网IP地址。

NAT还提供如下高级配置功能:

·     NAT hairpin:如果您的某些内网服务器通过公网IP地址对外提供服务,同时内网用户也有访问这些服务器的需求,为了确保这些内网用户访问内网服务器的流量也经过网关控制,则可以开启NAT hairpin功能。开启该功能后,内网用户将与外网用户一样,都可以使用公网IP地址访问内网服务器。

·     NAT ALG:如果内部网络与外部网络之间存在应用层业务,例如FTP/DNS,为了保证这些应用层协议的数据连接经过端口映射或一对一映射后还可以正确建立,就需要开启相应协议的NAT ALG功能。

7.4.2  配置虚拟服务器

(1)     单击导航树中[网络设置/NAT配置]菜单项,进入NAT配置页面。

(2)     单击“虚拟服务器”页签,进入虚拟服务器配置页面。

(3)     在“NAT DMZ服务”配置项处,勾选“开启”选项,开启NAT DMZ服务。

(4)     在“主机地址”配置项处,输入NAT DMZ服务的主机地址。

(5)     点击<应用>按钮,完成配置。

(6)     点击<添加>按钮,弹出添加NAT端口映射对话框。

(7)     在“协议类型”配置项处,选择协议为“TCP”、“UDP”或“TCP+UDP”。此处需要根据内部服务器采用的传输层协议类型选择TCP或UDP,例如FTP服务器采用TCP协议,TFTP采用UDP协议。

(8)     在“外部地址”配置项处,可以选择使用当前端口的IP地址,也可以使用设备上的其它公网IP地址。

(9)     在“外部端口”配置项处,选择FTP、Telnet或自定义端口。如果您对外提供的服务不是FTP或Telnet,请输入提供的服务所使用的端口号,比如HTTP服务端口号80。

(10)     在“内部地址”配置项处,输入允许外部网络访问的内网IP地址。

(11)     在“内部端口”配置项处,输入内部网络资源使用的端口号。

(12)     在“是否启用”配置项处,选择是否立即启用映射。

(13)     点击<确定>按钮,完成配置。

 

 

7.4.3  配置一对一映射

1. 注意事项

如果设备上仅有一个公网IP地址,不建议配置一对一映射来占用公网IP地址。

2. 配置步骤

(1)     单击导航树中[网络设置/NAT配置]菜单项,进入NAT配置页面。

(2)     单击“一对一映射”页签,进入一对一映射配置页面。

(3)     在“一对一映射”配置项处,勾选“开启”选项,开启一对一映射服务。

(4)     点击<添加>按钮,弹出添加NAT一对一映射对话框。

(5)     在“内部地址”配置项处,输入内网IP地址。

(6)     在“外部地址”配置项处,输入拥有的公网IP地址。

(7)     在“接口”配置项处,选择配置映射的接口。

(8)     在“是否启用”配置项处,选择是否立即启用映射。

(9)     点击<确定>按钮,完成配置。

 

 

7.4.4  配置地址池

(1)     单击导航树中[网络设置/NAT配置]菜单项,进入NAT配置页面。

(2)     单击“地址池”页签,进入地址池配置页面。

(3)     点击<添加>按钮,弹出添加NAT地址池对话框。

(4)     在“地址池名”配置项处,输入用于NAT转换的公网IP地址池名称。

(5)     在“IP地址”配置项处,输入单个IP地址。

(6)     在“起始”配置项处,输入IP地址段的起始IP地址。

(7)     在“终止”配置项处,输入IP地址段的终止IP地址。

(8)     点击配置项右侧的<àà>按钮,提交配置的IP地址或IP地址段内容。

(9)     重复(5)、(6)、(7)、(8)步骤可完成多个地址池的添加。

(10)     点击<确定>按钮,完成配置。

 

7.4.5  配置端口触发

(1)     单击导航树中[网络设置/NAT配置]菜单项,进入NAT配置页面。

(2)     单击“端口触发”页签,进入端口触发配置页面。

(3)     点击<添加>按钮,弹出添加端口触发列表对话框。

(4)     在“应用名称”配置项处,输入端口触发的应用名称。

(5)     在“生效接口”配置项处,选择用于接收外来报文的接口。

(6)     在“触发端口”配置项处,输入局域网内客户端向外网服务器发起请求的端口范围。

(7)     在“外来端口”配置项处,输入外网服务器需要向局域网内客户端主动发起请求的端口号。

(8)     在“是否开启”配置项处,选择是否开启端口触发功能。

(9)     点击<确定>按钮,完成配置。

 

7.4.6  配置NAT hairpin

1. 配置准备

在配置NAT hairping前,需要完成如下配置中的一项或多项:

·     在虚拟服务器配置页面上,配置内网服务器的IP地址/端口与公网IP地址/端口的映射关系。

·     在一对一映射配置页面上,配置内网用户IP地址与公网IP地址的映射关系。

2. 配置步骤

(1)     单击导航树中[网络设置/NAT配置]菜单项,进入NAT高级配置页面。

(2)     完成“虚拟服务器”或“一对一映射”的配置。

(3)     单击“高级配置”页签,进入高级配置页面。

(4)     点击<修改NAT hairpin生效接口>按钮,弹出修改NAT hairpin生效接口对话框。根据需要选择接口成为NAT hairpin功能的生效接口:

¡     将接口设置为生效接口:勾选“待选接口”选项或者在待选接口列表中选中接口,点击<→→>按钮,再点击<确定>按钮,完成配置。

¡     将接口设置为不生效接口:勾选“已选接口”选项或者在已选接口列表中选中接口,点击<←←>按钮,再点击<确定>按钮,完成配置。

(5)     在NAT hairpin区段,勾选“开启NAT hairpin功能”选项,在步骤(4)的接口上开启NAT hairpin功能。如果不再使用NAT hairpin功能,勾选“关闭NAT hairpin功能”选项,关闭步骤(4)的接口的NAT hairpin功能。

(6)     点击<应用>按钮,完成配置。

 

7.4.7  配置NAT ALG

(1)     单击导航树中[网络配置/NAT配置]菜单项,进入NAT配置页面。

(2)     单击“高级配置”页签,进入高级配置页面。

(3)     在NAT ALG区段,勾选对应的选项,启用指定协议的NAT ALG功能。

(4)     点击<应用>按钮,完成配置。

(5)     在网络连接区段,设置如下参数:

¡     在“当前网络连接数”配置项处,查看当前的网络连接数量,可点击<刷新>按钮刷新。

¡     在“网络连接总数”配置项处,设置允许建立的网络连接总数,推荐使用缺省值。

¡     在“选择要清除网络连接的接口”配置项处,选择需要清除网络连接的接口。

(6)     点击<应用>按钮,完成配置。

 

7.5  地址组

7.5.1  简介

地址组是一组主机名或IP地址的集合。每个地址组中可以添加若干成员,成员的类型包括IP地址和IP地址段。如果您的某些业务(例如带宽管理)需要使用地址组来识别用户报文,则需要提前配置符合业务需求的地址组。

7.5.2  注意事项

·     添加到地址组中的IP地址只支持IPv4地址格式,不支持IPv6地址格式。

·     添加到地址组中的IP地址段的起始地址必须小于结束地址。

7.5.3  配置步骤

(1)     单击导航树中[网络设置/地址组]菜单项,进入地址组配置页面。

(2)     点击<添加>按钮,弹出添加地址组对话框。

(3)     在“地址组名称”配置项处,输入地址组的名称。

(4)     在“描述信息”配置项处,输入地址组的描述信息。

(5)     配置地址组内容:

¡     配置添加到地址组的单个IP地址。

¡     配置添加到地址组IP地址段的起始IP地址及结束IP地址。

¡     配置地址组排除的IP地址。

(6)     点击配置项右侧的<àà>按钮,提交配置的地址组内容。

(7)     重复(5)、(6)步骤可完成多个同类型成员的添加。

(8)     点击<确定>按钮,完成地址组创建。

 

7.6  时间组

7.6.1  简介

如果您希望设备上的某些功能(例如带宽管理、上网行为管理)仅在特定时间生效,而其它时间不生效,可以创建一个时间组,并在配置相关功能时引用时间组。

一个时间组中可以配置一个或多个时间段。时间段的生效时间有如下两种方式:

·     周期性生效:以周作为周期,循环生效。例如,每周一的8至12点。

·     非周期生效:在指定的时间范围内生效。例如,2015年1月1日至2015年1月3日每天的8点至18点。

7.6.2  注意事项

·     您最多可以创建64个不同名称的时间组。

·     一个时间组内最多可以配置16个周期性生效的时间段或16个非周期生效的时间段。

7.6.3  配置步骤

(1)     单击导航树中[网络设置/时间组]菜单项,进入时间组配置页面。

(2)     点击<添加>按钮,弹出新建时间组对话框。

(3)     在“时间组名称”配置项处,输入时间组的名称。

(4)     在“生效时间”配置项处,选择“周期性生效”或“非周期性生效”,然后配置时间段。请选择其中一项进行配置。

¡     周期性生效

点选每周需要生效的具体星期,并在下面输入每天的具体生效时间,点击<+>按钮,完成本时间段的配置。

¡     非周期性生效

选择生效的起止日期,并在下面输入具体生效的起止时间,点击<+>按钮,完成本时间段的配置。

(5)     点击<确定>按钮,完成时间组创建。

 

 

7.7  应用组

7.7.1  简介

如果您希望设备上的带宽管理功能仅对特定的应用生效,而对其它的应用不生效,可以创建一个或者多个应用,将创建的应用添加到应用组,并在配置带宽管理时引用应用组。

7.7.2  自定义应用

1. 配置需求

对特定的应用协议和端口号进行严格的带宽管理。

2. 注意事项

自定义应用创建完成后,需要将其添加到“应用组”中,并在配置带宽管理时引用对应的应用组,才能实现对特性应用的带宽管理。

3. 配置步骤

(1)     单击导航树中[网络设置/应用组]菜单项,进入自定义应用配置页面。

(2)     点击<添加>按钮,弹出添加应用对话框。

(3)     在“应用名称”配置项处,输入应用的名称。

(4)     在“应用协议”配置项处,选择“TCP”、“UDP”或“TCP+UDP”。

(5)     在“端口号”配置项处,输入应用的端口号。

(6)     在“描述信息”配置项处,输入应用的描述信息。

(7)     点击<确定>按钮,完成应用创建。

 

 

7.7.3  创建应用组

1. 配置需求

通过对自定义应用进行分组,实现对一组自定义应用进行严格的带宽管理。

2. 注意事项

应用组创建完成后,在配置带宽管理时引用应用组,才能实现对特定的一组自定义应用进行带宽管理。

3. 配置步骤

(1)     单击“应用组”页签,进入应用组配置页面。

(2)     点击<添加>按钮,弹出新建应用组对话框。

(3)     在“应用组名称”配置项处,输入应用组的名称。

(4)     在“描述信息”配置项处,输入应用组的描述信息。

(5)     在“待选应用”选择框中,勾选应用,点击<→→>按钮,将应用添加到“已选应用”选择框中;在“已选应用”选择框中,勾选应用,点击<←←>按钮,将应用从“已选应用”选择框中移除。

(6)     点击<确定>按钮,完成应用组创建。

 

 


8 上网行为管理

8.1  带宽管理

8.1.1  简介

带宽管理功能用于对流量进行限速,管理员可基于地址组和时间组等限制条件对用户流量进行精细控制。对于需要进行限速的报文,例如占用大量带宽的P2P下载报文,可选择开启限制通道功能,来限制其带宽。对于需要保证时延的交互性应用流量,可选中开启绿色通道功能来保证其带宽。

8.1.2  配置IP限速

(1)     单击导航树中[上网行为管理/带宽管理]菜单项,进入带宽管理配置页面。

(2)     在“IP限速”页签下,点击<添加>按钮,弹出新建IP限速对话框。

(3)     在“应用接口”配置项处,选择接口,设备将基于该接口进行带宽管理。

(4)     在“用户范围”配置项处,选择地址组,设备将仅对该地址组内的成员进行带宽管理。

(5)     在“流量限制”配置项处,分别配置如下参数。

¡     当前线路上行带宽:请根据运营商提供的实际上行带宽配置当前线路上行带宽。

¡     当前线路下行带宽:请根据运营商提供的实际下行带宽配置当前线路下行带宽。

¡     上传带宽:指定地址组内的用户上传方向的最大带宽值。

¡     下载带宽:指定地址组内的用户下载方向的最大带宽值。

¡     流量分配方式:设置流量的分配方式,包括如下类型:

-     共享式:分配的带宽为总带宽,由所有用户平均分配。其中弹性共享表示当用户实际流量带宽超过流量限制配置的带宽时,最大可以共享当前线路上下行带宽的百分比。

-     独占式:分配的带宽为单用户的带宽,由单个用户独享。

¡     在“限制时段”配置项处,设置IP限速的生效时间段。

(6)     点击<确定>按钮,完成新建IP限速。

 

 

8.1.3  配置限制通道

(1)     单击“限制通道”页签,进入限制通道配置页面。

(2)     勾选“启用限制通道流速上限”选项,开启带宽管理的限制通道功能。

(3)     分别配置应用流量的上下行最大流速。

(4)     勾选“选择应用组”选项,选择已存在的匹配流量的应用分组,或点击<新增应用组>按钮,添加新的匹配流量的应用分组,点击“查看”链接,可以查看系统中已经创建的全部应用组。

(5)     点击<应用>按钮,完成限制通道的配置。

 

 

8.1.4  配置绿色通道

1. 注意事项

(1)     请勿将绿色通道带宽设置过大,以免对普通流量产生影响。

(2)     只有匹配“应用组”中配置的应用或符合“绿色通道数据包长度选择”中配置的流量数据包最大长度限制,绿色通道功能才生效。

2. 配置步骤

(1)     单击“绿色通道”页签,进入绿色通道配置页面。

(2)     勾选“启用绿色专用通道”选项,开启带宽管理的绿色通道功能,配置线路的上下行带宽。

(3)     勾选“限制绿色通道流速上限”选项,分别配置上下行最大流速为交互性应用流量提供带宽保障。

(4)     勾选“匹配绿色通道数据包长度选择”选项,配置流量数据包的最大长度。

(5)     勾选“选择应用组”选项,选择已存在的匹配流量的应用分组,或点击<新增应用组>按钮,添加新的匹配流量的应用分组,点击“查看”链接,可以查看系统中已经创建的全部应用组。

(6)     点击<应用>按钮,完成绿色通道的配置。

 

 

8.2  上网行为管理

8.2.1  简介

上网行为管理功能基于地址组、时间组以及应用等控制条件对用户的上网行为进行精细的管理。

8.2.2  配置应用控制

1. 配置步骤

(1)     单击导航树中[上网行为管理/上网行为管理]菜单项,进入上网行为管理配置页面。

(2)     单击“应用控制”页签,进入应用控制配置页面。

(3)     勾选“开启应用控制”选项,点击<确定>按钮,开启应用控制功能。

(4)     点击<添加>按钮,进入新建应用控制策略页面,配置如下参数。

¡     在“策略名称”配置项处,输入应用控制策略的名称。

¡     在“用户范围”配置项处,设置应用控制策略适用的地址组。

¡     在“限制时段”配置项处,设置应用控制策略的时间组。

¡     在“应用控制”配置项处,点击“选择网络应用”右侧的详情图标,选择网络应用,并配置对该应用的访问控制动作,包括如下:

-     阻断:阻断对应用的访问。

-     不阻断:不对应用的访问进行限制。

-     限速:设置应用报文上行带宽和下行带宽的最大值

(5)     点击<确定>按钮,完成新建应用控制策略。

 

8.2.3  配置网址控制

1. 配置需求

当管理员仅允许用户访问指定网址或禁止用户访问指定网址时,可通过配置网址控制功能实现。

2. 注意事项

(1)     开启网址黑名单模式后,设备会禁止指定的用户在指定的时间段内访问自定义网址分类中指定的网址;对于不在网址分类中的网址,则可以正常访问。

假设管理员创建一个网址黑名单,其网址分类的名称为网址组A,地址组的名称为用户组A。用户的匹配规则如下:

¡     如果用户User1属于用户组A,则用户User1不允许访问网址组A中的网址;

¡     如果用户User2不属于用户组A,则用户User2允许任何网址。

(2)     开启网址白名单模式后,设备只允许指定的用户在指定的时间段内访问自定义网址分类中指定的网址;对于不在网址分类中的网址,则无法访问。

假设管理员创建如下两个网址白名单:

¡     白名单A:网址分类的名称为网址组A,地址组的名称为用户组A

¡     白名单B:网址分类的名称为网址组B,地址组的名称为用户组B

用户的匹配规则如下:

¡     如果用户User1同时属于用户组A和用户组B,则用户User1只允许访问网址组A和网址组B中的网址;

¡     如果用户User2仅属于用户组A,则用户User21只允许访问网址组A中的网址;

¡     如果用户User3即不属于用户组A也不属于用户组B,则用户User3不允许访问任何网址。

(3)     自定义网址支持导出功能,当使用IE浏览器进行导出时,如果出现无法启动Excel的错误提示,请参考如下步骤修改浏览器配置:

点击浏览器的<工具>按钮,选择“Internet选项”,进入Internet选项窗口;选择“安全”页签,单击<自定义级别>按钮,找到“对为标记为可安全执行脚本的ActiveX 控件初始化并执行脚本”一项,选择“启用”。

(4)     配置网址关键字时,需采用正则表达式与网址进行配置。如需匹配所有网址配置,可将网址关键字设置为“.”,即英文句号。

3. 配置步骤

(1)     单击导航树中[上网行为管理/上网行为管理]菜单项,进入上网行为管理配置页面。

(2)     单击“网址控制”页签,进入网址控制配置页面。

(3)     根据需要勾选“关闭网址控制”、“网址黑名单模式”或“网址白名单模式”选项,勾选“网址黑名单模式”或“网址白名单模式”选项后,点击<确定>按钮,开启网址控制功能。

(4)     在“默认网址分类”下方的配置处,输入新建网址控制策略的网址分类名称。

(5)     在“所有用户”下方的配置处,选择网址控制策略适用的用户。

(6)     在“所有时间”下方的配置处,选择网址控制策略的生效时间。

(7)     点击右侧<+>按钮,新建一个空的网址分类成功。

(8)     为新建网址分类中添加网址:

¡     点击新建网址分类对应的详情图标,弹出设置网址关键字对话框。在“网址关键字”输入框中,配置网址,点击右侧的<+>按钮,逐条添加网址。点击<确定>按钮,完成添加网址关键字。

¡     点击新建网址分类对应的导入图标,弹出导入自定义网址列表对话框。点击<选择文件>按钮,选择需导入的自定义网址列表,点击<是>按钮,完成向新建的网址分类中导入网址。

 

 

8.2.4  配置文件控制

1. 注意事项

文件控制功能仅能控制用户使用HTTP协议下载不同类型的文件。

2. 配置步骤

(1)     单击导航树中[上网行为管理/上网行为管理]菜单项,进入上网行为管理配置页面。

(2)     单击“文件控制”页签,进入文件控制配置页面。

(3)     勾选“开启文件控制”选项,点击<确定>按钮,开启文件控制功能。

(4)     点击<添加>按钮,弹出添加文件控制策略对话框。

(5)     在“文件后缀类型”配置项处,输入不允许下载文件的后缀名。

(6)     在“描述”配置项处,输入文件控制策略的描述信息。

(7)     点击<确定>按钮,完成添加文件控制策略。

 

 

8.2.5  配置自定义网络应用

1. 注意事项

管理员需要通过网络应用使用的报文特征来限制用户使用的网络应用时,可以添加自定义网络应用,并将其添加到应用控制策略中。

添加自定义网络应用后,需要在“应用控制”页签添加应用控制策略时,选择已添加的自定义网络应用,才能实现生效。

自定义网络应用被添加到应用控制策略后,自定义网络应用不允许删除。

2. 配置步骤

(1)     单击“自定义网络应用”页签,进入自定义网络应用配置页面。

(2)     单击<添加>按钮,弹出添加自定义网络应用对话框。

(3)     在“应用名称”配置项处,输入自定义网络应用的名称。

(4)     在“描述信息”配置项处,输入自定义网络应用的描述信息。

(5)     在“协议类型”配置项处,选择协议类型和报文方向。支持的协议类型包括:TCP、UDP、HTTP和HTTPS;报文方向包括:客户端、服务器和任意,选择“任意”时,表示所有服务器。

(6)     在“目的端口”配置项处,输入自定义网络应用的目的端口号和报文长度。

(7)     根据报文结构,设置报文特征、URL、HOST、UserAgent、Referer或Body等特征值,自定义网络应用的报文特征。

(8)     设置完成后,单击<→→>按钮,将设置的报文特征添加到右侧方框中。

(9)     根据需要重复上述步骤,继续添加新的报文特征到右侧方框中。

(10)     完成报文特征的添加后,单击<确定>按钮,完成添加自定义网络应用。

 

 

8.3  审计日志

8.3.1  简介

审计日志功能用于对上网行为管理中的应用控制和网址控制的日志进行审计,并将日志发送到指定的服务器上。

8.3.2  应用审计日志

1. 配置需求

对上网行为管理中应用控制功能的日志进行审计。

2. 配置准备

在开启应用日志审计功能之前,需要先在上网行为管理中开启应用控制功能。

3. 配置步骤

(1)     单击导航树中[上网行为管理/审计日志]菜单项,进入应用审计日志配置页面。

(2)     勾选“开启审计日志”选项,开启应用的日志审计功能。

(3)     点击<清除日志>按钮,在确认提示框中,点击<是>按钮,清除所有的应用审计日志。

(4)     点击<导出Excel>按钮,可将所有应用审计日志保存到Excel文件中。

 

8.3.3  网址过滤日志

1. 配置需求

对上网行为管理中网址控制功能的日志进行审计。

2. 配置准备

在开启网址过滤日志功能之前,需要先在上网行为管理中开启网址控制功能。

3. 配置步骤

(1)     单击“网址过滤日志”页签,进入网址过滤日志配置页面。

(2)     勾选“开启网址过滤日志”选项,开启网址过滤的日志审计功能。

(3)     点击<清除日志>按钮,在确认提示框中,点击<是>按钮,清除所有的网址过滤日志。

(4)     点击<导出Excel>按钮,可将所有网址过滤日志保存到Excel文件中。

 

8.3.4  审计服务器

1. 配置需求

将审计日志发送到指定的服务器。

2. 配置准备

审计服务器的IP地址需要与当前路由器的IP地址互通。

3. 配置步骤

(1)     单击“审计服务器”页签,进入审计服务器页面。

(2)     勾选“审计服务器地址”选项,开启发送审计日志到服务器的功能。

(3)     在“审计服务器地址”配置项处,输入接收审计日志的服务器的IP地址。

(4)     在“端口号”配置项处,输入接收审计日志的服务器的端口号。

(5)     点击<应用>按钮,完成审计服务器的配置。

 


9 网络安全

9.1  防火墙

9.1.1  简介

防火墙功能是通过一系列的安全规则匹配网络中的报文,并执行相应的动作,从而达到阻断非法报文传输、正常转发合法报文的目的,为用户的网络提供一道安全屏障。

9.1.2  注意事项

·     当报文匹配到一个防火墙安全规则后,则不会继续向下匹配,所以请合理安排安全规则的优先级,避免报文匹配错误的规则而导致执行相反动作。

·     当缺省过滤规则设置为允许时,用户不需要配置任何安全规则,接入当前设备的所有终端都可以相互访问,且可以访问外网。

·     当缺省过滤规则设置为允许时,如果用户需要限制指定终端的访问特定外网的权限,可根据需求配置指定的VLAN接口与WAN接口之间的安全规则;如果用户需要限制指定终端访问其它VLAN下终端的权限,可根据需求配置指定的VLAN接口到VLAN接口的安全规则。

·     当缺省过滤规则设置为禁止时,如果用户未配置任何安全规则,所有终端不能访问外网,不同VLAN下的终端不能相互访问。

·     当缺省过滤规则设置为禁止时,如果用户需要允许指定终端可以访问特定外网,则需要根据需求配置指定VLAN接口与WAN接口之间的安全规则,且必须配置双向规则,即出站方向和入站方向各一条。如果用户需要让指定终端能够访问其它VLAN下的终端,则需要配置指定本端VLAN接口与对端VLAN接口之间的安全规则,且必须配置双向规则。

9.1.3  配置准备

·     请提前完成外网配置页面的相关配置,才可创建防火墙安全规则。

·     若需指定防火墙安全规则的生效时间和生效地址,请提前在时间组页面和地址组页面创建相应的时间组。

9.1.4  配置步骤

(1)     单击导航树中[网络安全/防火墙]菜单项,进入防火墙配置页面。

(2)     勾选“开启防火墙”选项,进入防火墙配置页面。

(3)     在“缺省过滤规则”配置项处,选择对未匹配任何安全规则报文的处理方式。若选择“允许”,则允许该报文通过防火墙;若选择“禁止”,则禁止该报文通过防火墙。点击“应用”按钮完成配置。

(4)     点击<添加>按钮,弹出创建安全规则对话框。

(5)     在“接口”配置项处,选择应用的接口,该规则将对指定接口接收到的报文进行匹配。

(6)     在“协议”配置项处,选择该规则所匹配报文的协议类型。若需匹配某传输层协议的报文,则选择“TCP”或“UDP”;若需匹配Ping、Tracert等ICMP协议报文,则选择“ICMP”;若需匹配所有协议报文,则选择“所有协议”。

(7)     在“源地址分组”配置项处,选择该规则所匹配的源地址分组。如需新增地址分组,可通过点击右侧“新增地址组”按钮创建新的地址组。

(8)     在“目的地址分组”配置项处,选择该规则所匹配的目的地址分组。如需新增地址分组,可通过点击右侧“新增地址组”按钮创建新的地址组。

(9)     在“目的端口范围”配置项处,配置该规则所匹配报文的目的端口号范围。

(10)     在“规则生效时间”配置项处,选择该规则生效时间对应的时间组。

(11)     在“动作”配置项处,选择该规则所匹配报文的执行动作。

(12)     在“优先级”配置项处,选择该规则的优先级类型。

¡     自动:系统自动为该规则分配优先级,即根据规则的配置顺序以5为步长进行依次分配。

¡     自定义:用户自定义规则的优先级,数值越小则优先级越高。

(13)     在“描述”配置项处,配置该安全规则的描述信息。

(14)     点击<确定>按钮,完成创建安全规则。

 

 

9.2  连接限制

9.2.1  简介

连接限制功能是一种安全机制,通过限制每个IP地址主动发起连接的个数,达到合理分配设备处理资源、防范恶意连接的效果。

如果设备发现来自某IP地址的TCP或UDP连接数目超过指定的数目,将禁止该连接建立。直到该连接数低于限制数时,其才被允许新建连接。

设备支持配置如下两种连接限制:

·     网络连接限制:在指定IP地址范围内,配置每个IP地址发起连接的个数限制。此方式用于对设备上的所有接口收到的连接进行控制。

·     VLAN网络连接限制:在指定VLAN接口上,配置每个IP地址发起连接的个数限制。此方式用于对指定VLAN接口收到的连接进行控制。

9.2.2  配置网络连接限制数

(1)     单击导航树中[网络安全/连接限制]菜单项,进入连接限制配置页面。

(2)     单击“网络连接限制数”页签。

(3)     勾选“开启网络连接限制数”选项,进入网络连接限制数配置页面。

(4)     点击<添加>按钮,弹出新建网络连接限制数规则对话框。

(5)     在“连接限制地址分组”配置项处,选择该规则所匹配的连接限制地址分组。如需新建地址分组,可通过点击右侧“新增地址组”按钮创建新的地址组。

(6)     在“每IP总连接数上限”配置项处,输入每个IP地址所允许发起连接的总个数上限。

相同源IP,源端口、目的IP、目的端口或报文协议不完全相同的连接均属于不同的连接。

(7)     在“每IP TCP连接数上限”配置项处,输入每个IP地址所允许发起的TCP连接的个数上限。您可以在上面设置的总连接限制数下,对TCP连接数进行单独限制。

(8)     在“每IP UDP连接数上限”配置项处,输入每个IP地址所允许发起的UDP连接的个数上限。您可以在上面设置的总连接限制数下,对UDP连接数进行单独限制。

(9)     在“描述”配置项处,输入规则描述信息。

(10)     点击<应用>按钮,完成配置。

 

 

9.2.3  配置VLAN网络连接限制数

(1)     单击导航树中[网络安全/连接限制]菜单项,进入连接限制配置页面。

(2)     单击“VLAN网络连接限制数”页签。

(3)     勾选“开启VLAN网络连接限制数”选项,进入VLAN网络连接限制数配置页面。

(4)     点击<添加>按钮,弹出新建VLAN网络连接限制数规则对话框。

(5)     在“VLAN接口”下拉菜单处,选择应用此规则的VLAN接口。

(6)     选择“启动连接限制功能”选项,启动连接限制功能。

(7)     在“总连接数上限”配置项处,输入VLAN接口所允许发起连接的总个数上限。。

相同源IP,源端口、目的IP、目的端口或报文协议不完全相同的连接均属于不同的连接。

(8)     在“TCP连接数上限”配置项处,输入VLAN接口所允许发起的TCP连接的个数上限。您可以在上面设置的总连接限制数下,对TCP连接数进行单独限制。

(9)     在“UDP连接数上限”配置项处,输入VLAN接口所允许发起的UDP连接的个数上限。您可以在上面设置的总连接限制数下,对UDP连接数进行单独限制。

(10)     在“描述”配置项处,输入规则描述信息。

(11)     点击<应用>按钮,完成配置。

 

 

9.3  MAC地址过滤

9.3.1  简介

如果您希望对某些设备发送过来的报文进行限制(允许或禁止其通过),则可以在VLAN接口上配置MAC地址过滤功能,本功能将根据接收报文的源MAC地址对其过滤。

配置方式有如下两种:

·     白名单:允许源MAC地址在白名单内的报文通过,其余禁止通过。

·     黑名单:禁止源MAC地址在黑名单内的报文通过,其余允许通过。

9.3.2  注意事项

如果需要在管理员终端连接的接口上开启白名单方式的MAC地址过滤功能,请先确保管理员的终端MAC地址已添加到白名单中。

9.3.3  MAC过滤设置

MAC地址过滤的配置方式有白名单和黑名单两种,下面以白名单为例进行配置步骤的讲解,黑名单的配置步骤同白名单。

(1)     单击导航树中[网络安全/MAC地址过滤]菜单项,进入MAC地址过滤设置页面。

(2)     单击“MAC过滤设置”页签,进入MAC过滤设置页面。

(3)     勾选“开启MAC地址过滤”选项,开启MAC地址过滤功能。

(4)     在指定接口的“过滤方式”列中选择“白名单”选项,并在“开启和关闭”列中勾选“开启”选项。

(5)     点击<应用>按钮,开启MAC地址过滤。

 

9.3.4  MAC黑白名单管理

(1)     单击导航树中[网络安全/MAC地址过滤]菜单项,进入MAC地址过滤设置页面。

(2)     单击“MAC黑白名单管理”页签,进入MAC黑白名单管理页面。

(3)     单击“白名单”页签,进入白名单设置页面。

(4)     如果需要添加单个MAC地址,请执行以下步骤:

a.     点击<添加>按钮,弹出添加源MAC地址对话框。

b.     在“MAC地址”配置项处,输入待过滤的源MAC地址。

c.     在“描述”配置项处,输入待过滤源MAC地址的描述信息。

d.     点击<确定>按钮,完成对白名单添加单个MAC地址的操作。

(5)     如果需要批量添加MAC地址,请执行以下步骤:

a.     点击<导出>按钮,选择“导出模板”菜单项。

b.     打开下载好的模板,添加待过滤的源MAC地址并在本地保存。

c.     点击<导入>按钮,弹出导入源MAC地址对话框。

d.     点击<浏览>按钮,弹出选择要加载的文件对话框。

e.     选中已编辑好的模板,点击<打开>按钮。

f.     点击<确定>按钮,完成对白名单批量添加MAC地址的操作。

(6)     如果需要从ARP表项导入MAC地址,请执行以下步骤:

a.     点击<从ARP表项导入>按钮,弹出导入ARP MAC表对话框。

b.     勾选需要导入的MAC地址。

c.     点击<导入>按钮,弹出确认提示对话框。

d.     点击<是>按钮,完成对白名单从ARP表项导入MAC地址的操作。

 

 

 

9.4  ARP安全

9.4.1  简介

ARP协议本身存在缺陷,攻击者可以轻易地利用ARP协议的缺陷对其进行攻击。ARP攻击防御技术提供了多种ARP攻击防御技术对局域网中的ARP攻击和ARP病毒进行防范、检测和解决。

ARP安全功能包括:

·     ARP学习管理:本功能支持开启和关闭接口的动态ARP表项学习功能,当执行关闭接口的动态ARP表项学习功能后,该接口无法再学习新的动态ARP表项,提高了安全性。当设备的某个接口已经学到了该接口下所有合法用户的ARP表项时,建议关闭动态ARP表项学习功能。

·     动态ARP管理:包括动态ARP表项管理功能和ARP扫描、固化功能。ARP扫描、固化功能即对局域网内的用户进行自动扫描,并将生成的动态ARP表项固化为静态ARP表项。建议环境稳定的小型网络(如网吧)中配置本功能。先配置ARP扫描、固化功能,再关闭动态ARP表项学习功能,可以防止设备学习到错误的ARP表项。

·     静态ARP管理:包括动态ARP表项管理、刷新、添加和导入导出功能。其中,刷新功能是指刷新静态ARP表项列表;添加功能是指手动新增静态ARP表项。导入功能是指从文件中批量获取静态ARP表项;导出功能是指将现有的静态ARP表项导出到本地文件中。

·     ARP防护:包括ARP报文合法性检查和免费ARP功能。ARP报文合法性检查是通过设置规则验证ARP报文的合法性。免费ARP报文是一种特殊的ARP报文,该报文中携带的发送端IP地址和目标IP地址都是本机IP地址,报文源MAC地址是本机MAC地址,报文的目的MAC地址是广播地址。设备通过对外发送免费ARP报文来实现以下功能:

¡     确定其它设备的IP地址是否与本机的IP地址冲突。当其它设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址相同,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。

¡     设备改变了硬件地址,通过发送免费ARP报文通知其它设备更新ARP表项。

·     ARP检测:探测到指定接口下所有在线设备,同时还能检查这些设备的信息是否和已存在ARP表项冲突。根据搜索结果,可以进行ARP绑定操作。

9.4.2  ARP学习管理

(1)     单击导航树中[网络安全/ARP安全]菜单项,进入ARP安全配置页面。

(2)     单击“ARP学习管理”页签,进入ARP学习管理配置页面。

(3)     在指定接口的“ARP学习管理”列,设置是否允许接口学习动态ARP表项:

¡     点击按钮,将其设置为开启,则该接口允许学习动态ARP表项;

¡     点击按钮,将其设置为关闭,则该接口不允许学习动态ARP表项。

 

9.4.3  动态ARP管理

(1)     单击导航树中[网络安全/ARP安全]菜单项,进入ARP安全配置页面。

(2)     单击“动态ARP管理”页签,进入动态ARP表项管理配置页面。

(3)     可对已有的动态ARP表项执行以下管理操作:

¡     点击<刷新>按钮,则可以刷新当前动态ARP表项的显示信息。

¡     选择指定的动态ARP表项,点击<删除>按钮,再点击<确定>按钮后,可以删除对应的动态ARP表项。

(4)     可对已有的动态ARP表项执行以下管理操作:

a.     点击<扫描>按钮,弹出扫描配置对话框。

b.     在“接口”配置项处,选择需要执行ARP扫描操作的接口。

c.     在“开始IP地址”和“结束IP地址”配置项处,设置ARP扫描操作的起止IP地址。此处指定起止IP地址需要和接口的IP地址处于同一网段。

d.     选择指定的动态ARP表项,再点击<固化>按钮,则可以将这些动态ARP表项固化为静态ARP表项。

 

9.4.4  静态ARP管理

(1)     单击导航树中[网络安全/ARP安全]菜单项,进入ARP安全配置页面。

(2)     单击“静态ARP管理”页签,进入静态ARP管理页面。

(3)     如果需要添加单个静态ARP表项,请执行以下步骤:

(4)     点击<添加>按钮,弹出添加ARP表项对话框。

a.     在“IP地址”配置项处,输入静态ARP表项的IP地址。

b.     在“MAC地址”配置项处,输入静态ARP表项的MAC地址。

c.     在“描述”配置项处,输入ARP表项的描述信息。

d.     点击<确定>按钮,完成静态ARP表项的添加。

(5)     如果需要批量添加静态ARP表项,请执行以下步骤:

a.     点击<导出>按钮,下载导出模板。

b.     打开下载好的模板,添加静态ARP表项并在本地保存。

c.     点击<导入>按钮,弹出导入ARP表项对话框。

d.     点击<选择文件>按钮,选择已编辑好的模板。

e.     点击<确定>按钮,完成静态ARP表项的批量添加。

 

 

9.4.5  ARP防护

1. 配置限制和指导

·     设备发送免费ARP可以防止LAN或WAN侧的主机受到ARP攻击和欺骗。设置免费ARP发送时间间隔越小,主机防止ARP攻击能力越强,但是占用网络资源越大,请合理设置免费ARP报文发送时间间隔。

·     由于有些设备(如交换机)可能会对ARP报文进行限制,过多的ARP报文可能会被 判定为攻击,请确定是否开启主动发送免费ARP的功能,并进行合理的参数设置。

·     路由器支持定时发送免费ARP功能,这样可以及时通知其它设备更新ARP表项或者MAC地址表项,以防止仿冒网关的ARP攻击、防止主机ARP表项老化等。

2. 配置步骤

(1)     单击导航树中[网络安全/ARP安全]菜单项,进入ARP安全配置页面。

(2)     单击“ARP防护”页签,进入ARP防护配置页面。

(3)     在“ARP报文合法性检查”区段,可进行如下设置:

¡     勾选“丢弃发送端MAC地址不合法的ARP报文(LAN口默认丢弃不合法的ARP报文)”选项,当设备接收的ARP报文中的源MAC地址为全零、组播、广播MAC地址时,则不学习该ARP报文,直接将该报文丢弃。

¡     勾选“丢弃报文头中源MAC地址和报文中发送端MAC地址不一致的ARP报文”选项,当设备接收的ARP报文中的源MAC地址与该报文的二层源MAC地址不一致时,则不学习该ARP报文,直接将该报文丢弃。

¡     勾选“ARP报文学习抑制”选项,当设备发出一个ARP请求报文,收到了多个不同的ARP响应报文时,设备仅学习最先收到的ARP响应报文。

(4)     在“免费ARP”区段,可进行如下设置:

¡     勾选“检测到ARP欺骗时,发送免费ARP报文”选项,当设备检测到ARP欺骗时(比如源IP地址为设备接口IP地址但源MAC地址不是设备接口MAC地址的ARP报文),则会主动发送免费ARP报文。

¡     勾选“LAN内主动发送免费ARP报文”选项,并在“发送间隔”配置项处,输入免费ARP报文的发送间隔。

¡     勾选“WAN口主动发送免费ARP报文”选项,并在“发送间隔”配置项处,输入免费ARP报文的发送间隔。

(5)     点击<应用>按钮,完成配置。

 

9.4.6  ARP检测

(1)     单击导航树中[网络安全/ARP安全]菜单项,进入ARP安全配置页面。

(2)     单击“ARP检测”页签,进入ARP检测配置页面。

(3)     在“扫描接口”配置项处,选择扫描的接口。

(4)     在“扫描地址范围”配置项处,选择扫描的起始IP地址和结束IP地址。

(5)     点击<扫描>按钮,开始进行扫描检测。检测结果将会在列表中显示,其中黑色条目信息表示静态表项,蓝色条目信息表示动态表项,红色条目表示错误表项。检测结果中ARP表项的状态分为:

¡     静态表项:表示该条表项为手动配置的或自动绑定的ARP表项。

¡     动态表项:表示该条表项为动态学习到的并且没有被自动绑定的ARP表项。

¡     错误表项:表示存在ARP冲突表项。

(6)     点击<清除>按钮,可以清除当前的检测结果。

 

9.5  DDOS攻击防御

9.5.1  简介

DDoS攻击是一类广泛存在于互联网中的攻击,能造成比传统DoS攻击(拒绝服务攻击)更大的危害,能让设备对来自外网和内网的常见攻击类型进行防护,丢弃攻击报文。同时,设备可以对相应的攻击事件以日志形式记录下来。

·     攻击防御:本功能能够让设备和网络免受如下DDOS攻击的困扰:

¡     单包攻击:攻击者利用畸形报文发起攻击,旨在瘫痪目标系统。例如Land攻击报文是源IP和目的IP均为攻击目标IP的TCP报文,此攻击将耗尽目标服务器的连接资源,使其无法处理正常业务。

¡     异常流攻击:攻击者向目标系统发送大量伪造请求,导致目标系统疲于应对无用信息,从而无法为合法用户提供正常服务。

¡     扫描攻击:攻击者对主机地址和端口进行扫描,探测目标网络拓扑以及开放的服务端口,为进一步侵入目标系统做准备。

·     攻击防御统计:本功能可以分别显示单包攻击防御和异常流量攻击防御的统计信息,可以导出Excel保存。

·     报文源认证:本功能是指设备对收到的内网报文的源IP/MAC进行认证,确认对端是否是一个合法的主机,以防止内网中可能存在的非法报文攻击,避免这些非法报文对设备资源和网络资源的消耗,提高整体网络的稳定性。

·     异常流量防护:本功能是指对内网异常大流量的主机进行控制,以防止该异常主机过度占用带宽和消耗系统性能。其中有三种防护等级,您可以根据你的实际网络状况选择较合适的级别进行防护。为了防止非法伪装报文流量被统计到合法主机流量中,建议尽量开启报文源认证页面的相关认证功能。

9.5.2  攻击防御

1. 配置步骤

(1)     单击导航树中[网络安全/DDOS攻击防御]菜单项,进入DDOS攻击防御配置页面。

(2)     单击“攻击防御”页签,进入攻击防御配置页面。

(3)     勾选“开启DDOS攻击防御”选项,开启DDOS攻击防御功能。

(4)     点击<添加>按钮,弹出新建攻击防御对话框。

(5)     在“应用接口”配置项处,选择应用该DDOS攻击防御策略的接口。

(6)     在“单包攻击防御”配置项处,选择需要开启防御的单包攻击类型。建议开启全部单包攻击防御。

¡     Fraggle攻击防御:启用该项后,设备可以有效防止Fraggle攻击。该攻击表现为攻击者向子网广播地址发送源地址为受害网络或者受害主机的UDP报文。子网内的每一个主机都会向受害网络或者主机发送响应报文,从而导致网络阻塞或者主机崩溃。

¡     Land攻击防御:启用该项后,设备可以有效防止Land攻击。该攻击表现为攻击者向目标发送带有SYN标志的TCP报文,并且这些报文的源地址和目的地址都设为被攻击目标的IP地址,当被攻击目标机收到这样的报文后,开始重复的进行内部应答风暴,消耗大量的CPU资源。

¡     WinNuke攻击防御:启用该项后,设备可以有效防止WinNuke攻击。该攻击表现为攻击者利用NetBIOS协议中OOB(Out of Band)漏洞对目标进行攻击,可造成部分主机死机或蓝屏。

¡     TCP flag攻击防御:启用该项后,设备可以有效防止TCP flag攻击。该攻击表现为攻击者发送带有非常规TCP标志的报文探测目标主机的操作系统类型,若操作系统对这类报文处理不当,攻击者便可达到使目标主机系统崩溃的目的。

¡     ICMP不可达报文攻击防御:启用该项后,设备可以有效防止ICMP不可达报文攻击。该攻击表现为攻击者向目标发送ICMP不可达报文,达到切断目标主机网络连接的目的。

¡     ICMP重定向报文攻击防御:启用该项后,设备可以有效防止ICMP重定向报文攻击。该攻击表现为攻击者向目标发送ICMP重定向报文,更改目标的路由表,干扰目标正常的IP报文转发。

¡     Smurf攻击防御:启用该项后,设备可以有效防止Smurf攻击。该攻击与Fraggle攻击类似,表现为攻击者向一个网段广播一个ICMP回显请求(ICMP ECHO REQUEST)报文,而源地址为被攻击主机,当网段中的所有主机收到回显请求后,都会向被攻击主机响应ICMP ECHO REPLY报文,造成攻击目标网络阻塞或者系统崩溃。

¡     带源路由选项的IP攻击防御:启用该项后,设备可以有效防止带源路由选项的IP攻击。该攻击表现为攻击者向目标发送带源路由选项的IP报文,达到探测网络结构的目的。

¡     带路由记录选项的IP攻击防御:启用该项后,设备可以有效防止带路由记录选项的IP攻击。该攻击表现为攻击者向目标发送带路由记录选项的IP报文,达到探测网络结构的目的。

¡     超大ICMP攻击防御:启用该项后,设备可以有效防止超大ICMP攻击。该攻击表现为攻击者向目标发送超大ICMP报文,使目标主机崩溃。

¡     防止IP Spoofing:启用该项后,设备可以有效防止IP Spoofing攻击。该攻击表现为攻击者使用相同的IP地址假冒网络上的合法主机,并访问关键信息。通常会伪装成LAN内的IP。

¡     防止TearDrop:启用该项后,设备可以有效防止TearDrop攻击,默认开启该功能。该攻击表现为攻击者向目标发送相互重叠的分片报文,目标主机处理这种分片时可能导致系统崩溃。

¡     防止碎片包:启用该项后,设备可以有效防止碎片包攻击,默认开启该功能。该攻击表现为攻击者向目标主机发送部分分片报文,而不发送所有的分片报文,这样目标主机会一直等待,直到计时器超时。如果攻击者发送了大量的分片报文,就会耗尽目标主机的资源,导致其不能响应正常的IP报文。

(7)     在“异常流攻击防御”配置项处,选择需要开启防御的异常流攻击类型。

¡     SYN Flood攻击防御:启用该项后,设备可以有效防止SYN Flood攻击。该攻击表现为攻击者向目标发送大量的SYN报文,消耗目标的连接资源,使目标系统无法再接受新连接。

¡     UDP Flood攻击防御:启用该项后,设备可以有效防止UDP Flood攻击。该攻击表现为攻击者向目标发送大量的UDP报文,导致目标主机忙于处理这些UDP报文而无法继续处理正常的报文。

¡     ICMP Flood攻击防御:启用该项后,设备可以有效防止ICMP Flood攻击。该攻击表现为攻击者向目标发送大量的ICMP报文,导致目标主机忙于处理这些ICMP报文而无法继续处理正常的报文。

(8)     在“扫描攻击防御”区段下,选择需要开启防御的扫描攻击类型。

¡     WAN口ping扫描:启用该项后,设备不回应来自Internet的Ping请求,可以防止Internet上恶意的Ping探测。

¡     UDP扫描:启用该项后,设备可以有效防止UDP扫描攻击。该攻击表现为攻击者向目标端口发送UDP报文,探测端口的开放情况。

¡     TCP SYN扫描:启用该项后,设备可以有效防止TCP SYN扫描攻击。该攻击表现为攻击者像建立正常的TCP连接一样向目标端口发送SYN报文,然后等待目标主机的回应,借此探测端口的开放情况。

¡     TCP NULL扫描:启用该项后,设备可以有效防止TCP NULL扫描。该攻击表现为攻击者向目标端口发送所有标志都不置位的TCP报文,然后等待目标主机的回应,借此探测端口的开放情况。

¡     TCP Stealth FIN扫描:启用该项后,设备可以有效防止TCP Stealth FIN扫描。该攻击表现为攻击者向目标端口发送只有FIN标志置位的TCP报文,然后等待目标主机的回应,借此探测端口的开放情况。

¡     TCP Xmas Tree扫描:启用该项后,设备可以有效防止TCP Xmas Tree扫描。该攻击表现为攻击者向目标端口发送FIN、URG和PUSH标志置位的TCP报文,然后等待目标主机的回应,借此探测端口的开放情况。

(9)     点击<确定>按钮,完成配置。

 

 

9.5.3  攻击防御统计

(1)     单击导航树中[网络安全/DDOS攻击防御]菜单项,进入DDOS攻击防御配置页面。

(2)     单击“攻击防御统计”页签,进入攻击防御统计页面。

(3)     勾选“单包攻击防御”选项,列表将会显示单包攻击防御的统计信息。

(4)     勾选“异常流量攻击防御”选项,列表将会显示异常流量攻击防御的统计信息。

(5)     点击<导出Excel>按钮,将攻击防御的统计信息导出到Excel中保存。

 

9.5.4  报文源认证

(1)     单击导航树中[网络安全/DDOS攻击防御]菜单项,进入DDOS攻击防御配置页面。

(2)     单击“报文源认证”页签,进入报文源认证配置页面。

(3)     根据需要可设置如下参数:

¡     启用基于静态路由的报文源认证功能:启用该项后,设备允许源IP与LAN接口同一网段或通过出接口为LAN口的静态路由表反向可达的内网路由器过来的流量通过,其它网段过来的数据包将被设备丢弃。

¡     启用基于ARP绑定、DHCP攻击防护报文源认证功能:启用该项后,设备将根据ARP绑定表中的静态绑定关系以及DHCP分配列表中的对应关系,来认证内网过来的数据包。如果数据包的源IP/MAC与ARP绑定表中的IP/MAC对应关系存在冲突,则该数据包将被设备丢弃。

¡     启用基于动态ARP的报文源认证功能:启用该项后,设备将会对内网数据包的源IP/MAC进行智能认证,确认对端是否是存在的合法的主机,如果数据包的源IP/MAC与已确认的合法主机的IP/MAC冲突,则该数据包将被设备丢弃。如果网络中存在相同MAC对应不同IP的应用,请将对应的IP/MAC进行静态ARP绑定,否则可能影响正常业务访问。

(4)     点击<应用>按钮,完成配置。

 

9.5.5  异常流量防护

(1)     单击导航树中[网络安全/DDOS攻击防御]菜单项,进入DDOS攻击防御配置页面。

(2)     单击“异常流量防护”页签,进入异常流量防护配置页面。

(3)     勾选“启用异常主机流量防护功能”选项,并设置异常流量阈值。

(4)     根据需要选择如下防护级别:

¡     高:防护等级最高。设备会进行异常主机流量检查,并且自动把检查到的攻击主机添加到攻击列表中,在指定的生效时间范围内,禁止其访问本设备和Internet,以尽量减少这台异常主机对网络造成的影响。

¡     中:防护等级居中。设备会把内网主机上行流量分别限制在异常流量阈值范围内,超过阈值的流量将被设备所丢弃。

¡     低:防护等级低。设备仅对超过异常流量阈值的事件记入日志,仍然允许对应的主机访问设备和Internet。

(5)     点击<应用>按钮,完成配置。

 

9.6  安全统计

9.6.1  简介

安全统计功能用于对设备接收到的非法或者可疑数据包进行统计,以方便查看网络环境是否存在欺骗或攻击行为。本功能支持统计如下类型的数据包:

·     报文源认证失败:表示由LAN网络中的非法主机发送的数据包。如需统计此类数据包,需先启用报文源认证的相关功能。

·     LAN侧可疑:表示由LAN网络中无法确定真实性的主机的发送数据包。

·     WAN侧非法:表示由Intetnet侧主动向设备WAN口发送的非法数据包。如需统计此类数据包,需先开启DDOS攻击防御功能,并将攻击防御配置应用到接口上。

9.6.2  配置步骤

(1)     单击导航树中[网络安全/安全统计]菜单项,进入安全统计配置页面。

(2)     勾选“开启安全统计”选项,列表中将会显示安全统计信息。

(3)     点击数据包类型对应的操作列<清除>按钮,清除该数据包类型的统计信息。

(4)     在弹出的确认提示对话框中,点击<是>按钮,完成清除操作。

 

9.7  黑名单管理

9.7.1  简介

黑名单管理用于对已经添加的黑名单用户进行管理。

9.7.2  配置步骤

(1)     单击导航树中[网络安全/黑名单管理]菜单项,进入黑名单管理页面。

(2)     在列表中点击黑名单用户对应的动作列图标,可将用户从黑名单中删除。

 

9.8  终端接入控制

9.8.1  简介

终端接入控制功能可以同时对数据报文中的源MAC地址和源IP地址进行匹配,只有源MAC地址和源IP地址同时匹配的设备,才允许访问外网。

9.8.2  配置步骤

(1)     单击导航树中[网络安全/终端接入控制]菜单项,进入终端接入控制配置页面。

(2)     根据需要设置规则,具体如下:

¡     仅允许DHCP服务器分配的客户端访问外网:用户可以指定仅允许DHCP服务器分配的客户端访问外网,使用此功能后不在DHCP Server分配的客户列表中的客户端将无法访问外网。因此需要注意,在使能该功能后如果出现无法访问外网,请将管理PC设置为DHCP方式获取IP地址。

¡     仅允许ARP静态绑定的用户访问外网:用户可以指定仅允许ARP静态绑定规则表中的客户端访问外网,使用此功能后不在ARP静态绑定规则表中的客户端将无法访问外网。因此需要注意,在使能该功能前需要把管理PC的IP或者MAC加入到ARP静态绑定规则表中,否则启用该功能后,管理PC将无法访问外网。

(3)     点击<应用>按钮,完成配置。

 


10 认证管理

10.1  Portal认证

10.1.1  简介

Portal是互联网接入的一种认证方式,通过对用户进行身份认证,以达到对用户访问进行控制的目的。本设备的Portal认证方式为云端认证方式,采用云端服务器来同时承担Portal认证服务器和Portal Web服务器的职责。

您可以为不需要通过Portal认证即可访问网络资源的用户设置免认证规则,免认证规则的匹配项包括MAC地址、IP地址。

10.1.2  配置云认证

1. 配置准备

开启云认证之前,需要先完成云管理平台(H3C绿洲平台)上的认证模板的配置,并开启云服务。

有关云服务的详细介绍,请参见“远程管理”中的“云服务”。

2. 配置步骤

(1)     单击导航树中[认证管理/Portal认证]菜单项,进入Portal认证配置页面。

(2)     单击“云认证”页签,进入认证设置页面。

(3)     在列表中的“开启和关闭”列的“开启/关闭”按钮,设置是否对接口下的Portal用户开启云认证功能。

 

10.1.3  配置免认证MAC地址

(1)     单击导航树中[认证管理/Portal认证]菜单项,进入Portal认证配置页面。

(2)     单击“免认证MAC地址”页签,进入免认证MAC地址配置页面。

(3)     点击<添加>按钮,弹出添加免认证MAC地址对话框。

(4)     在“MAC地址”配置项处,输入免认证MAC地址。

(5)     在“描述”配置项处,输入与本配置相关的描述。

(6)     点击<确定>按钮,完成配置。

 

 

10.1.4  配置免认证IP地址

(1)     单击导航树中[认证管理/Portal认证]菜单项,进入Portal认证配置页面。

(2)     单击“免认证IP地址”页签,进入免认证IP地址配置页面。

(3)     点击<添加>按钮,弹出添加免认证IP地址对话框。

(4)     在“地址添加方式”配置项处,选择免认证IP地址的方式。

¡     若选择“源IP地址组”选项,则需在“免认证源地址分组”配置项处,选择已存在的免认证源地址分组,或点击<新增地址组>按钮,添加新的免认证源地址组。点击“查看”链接,可以查看系统中已经创建的全部地址分组。

¡     若选择“目的IP地址组”选项,则需在“免认证目的地址分组”配置项处,选择已存在的免认证目的地址分组,或点击<新增地址组>按钮,添加新免认证目的地址组。

¡     选择“域名”选项,则需在“域名”配置项处,输入免认证的域名。

(5)     点击<确定>按钮,完成配置。

 

 


11 虚拟专网(VPN)

11.1  IPsec VPN

11.1.1  简介

IPsec VPN是利用IPsec技术建立的虚拟专用网。IPsec通过在特定通信方之间建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。

IPsec协议为IP层上的网络数据安全提供了一整套安全体系结构,包括安全协议AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安全载荷)、IKE(Internet Key Exchange,互联网密钥交换)以及用于网络认证及加密的一些算法等。其中,AH协议和ESP协议用于提供安全服务,IKE协议用于密钥交换。

设备支持两种IPsec VPN组网方式:

·     “中心—分支”方式组网:企业分支机构网关将主动与总部网关建立IPsec隧道,分支机构内部终端可以安全访问总部的网络资源。

·     “分支—分支”方式组网:企业各分支网关之间均可主动建立IPsec隧道,来保护分支之间的数据通信。

11.1.2  配置IPsec分支节点

1. 配置需求

“中心—分支”方式组网环境中的分支节点设备需要主动与对端设备建立IPsec隧道。

“分支—分支”方式组网环境中的设备之间均可主动建立IPsec隧道。

2. 配置步骤

IPsec基本配置

(1)     单击导航树中[虚拟专网(VPN)/IPsec VPN]菜单项,进入IPsec VPN配置页面。

(2)     单击“IPsec策略”页签,进入IPsec策略配置页面。

(3)     点击<添加>按钮,弹出添加IPsec策略对话框。

(4)     在“名称”配置项处,输入IPsec策略的名称。

(5)     在“接口”配置项处,选择应用IPsec策略的接口。请注意,此接口需要与对端设备路由可达。

(6)     在“组网方式”配置项处,选择“分支节点”选项。

(7)     在“对端网关地址”配置项处,输入IPsec隧道对端的IP地址或域名。通常为总部网关或对端分支机构网关的WAN口地址。

(8)     在“认证方式”配置项处,选择IPsec隧道的认证方式。此参数目前仅支持预共享密钥。

(9)     在“预共享密钥”配置项处,输入与对端设备相同的预共享密钥。该密钥需要提前进行协商和通告。

(10)     在“保护流措施”配置项处,进行如下配置:

a.     在“受保护协议”配置项处,选择受IPsec隧道保护的报文的协议类型。

b.     在“本端受保护网段/掩码”配置项处,输入本端受保护网段。

c.     在“本端受保护端口”配置项处,输入本端受保护端口。仅当受保护协议选择为TCP或UDP时支持配置。

由本端受保护网段内主机的受保护端口发送的报文将被设备进行IPsec隧道封装处理。

d.     在“对端受保护网段/掩码”配置项处,输入对端受保护网段。

e.     在“对端受保护端口”配置项处,输入对端受保护端口。仅当受保护协议选择为TCP或UDP时支持配置。

由对端受保护网段内主机的受保护端口发送的报文才可以被设备进行IPsec隧道解封装处理。

f.     根据需要可以在“操作”配置项处,添加多条保护流。

 

 

IKE高级配置

如您需要改变设备的缺省IKE配置,可按如下方式进行配置。

(1)     按上述方式完成IPsec基本配置。

(2)     点击<显示高级配置>链接,弹出高级配置对话框。

(3)     单击“IKE配置”页签,进入IKE配置页面。

(4)     在“IKE版本”配置项处,选择IKE版本。

(5)     在“协商模式”配置项处,选择IKE协商模式:

¡     主模式:协商步骤多,身份验证位于密钥交互过程之后进行,适用于对身份保护要求较高的场合。

¡     野蛮模式:协商步骤少,身份验证与密钥交互同时进行,适用于对身份保护要求不高的场合。

若设备公网IP地址是动态分配的,建议您选择IKE协商模式为野蛮模式。

(6)     在“本端身份类型”配置项处,配置用于IKE认证的本端设备身份类型和身份标识。身份类型可选择IP地址、FQDN名称或user FQDN名称。需要注意的是,此项必须与对端设备上执行步骤(6)配置的对端身份类型和身份标识一致。

如果您执行步骤(4)选择的IKE协商模式为主模式,您需要将本端设备身份类型配置为IP地址。

(7)     在“对端身份类型”配置项处,配置用于IKE认证的对端设备身份类型和身份标识。身份类型可选择IP地址、FQDN名称或user FQDN名称。需要注意的是,此项必须与对端设备上执行步骤(5)配置的本端身份类型和身份标识一致。

(8)     在“对等体存活检测(DPD)”配置项处,选择是否开启对等体存活检测功能。该功能可用于检测对端是否存活,设备将拆除对端失活的IPsec隧道。建议您开启此功能,使设备能够及时获悉IPsec隧道的可用情况。

(9)     在“算法组合”配置项处,选择IKE协议交互所需的加密和认证算法。如果选择“推荐”选项,需要选择推荐的算法组合;如果选择“自定义”选项,需要设置自定义的认证算法、加密算法和PFS算法。

IPsec隧道的两端所配置的认证算法、加密算法和PFS算法必须一致。

(10)     在“SA生存时间”配置项处,输入IKE重新协商的时间间隔,超过所配时间将触发IKE相关参数的重新协商。

 

IPsec高级配置

如您需要改变设备的缺省IPsec高级配置,可按如下方式进行配置。

(1)     按上述方式完成IPsec基本配置。

(2)     单击“IPsec配置”页签,进入IPsec配置页面。

(3)     在“算法组合”配置项处,选择IPsec协议交互使用的安全协议以及相应的加密和认证算法。如果选择“推荐”选项,需要选择推荐的算法组合;如果选择“自定义”选项,需要设置自定义的安全协议、ESP认证算法和ESP加密算法。

IPsec隧道的两端所配置的安全协议、认证算法、加密算法、封装模式和PFS算法必须一致。

(4)     在“封装模式”配置项处,选择IPsec隧道的封装模式。

若IPsec本端受保护网段与对端受保护网段均为私网网段,建议您选择封装模式为隧道模式。

IPsec隧道的两端所配置的封装模式必须一致。

(5)     在“PFS”配置项处,选择IPsec隧道的PFS算法。

IPsec隧道的两端所配置的PFS算法必须一致。

(6)     在“基于时间的SA生存时间”配置项处,输入触发IPsec重新协商的时间间隔,超过所配时间将触发IPsec相关参数的重新协商。

(7)     在“基于流量的生存时间”配置项处,输入触发IPsec重新协商的流量大小,超过所配流量将触发IPsec相关参数的重新协商。

(8)     在“触发模式”配置项处,选择触发IPsec重新协商的模式。

(9)     点击<返回基本配置>按钮,返回添加IPsec策略页面。

(10)     点击<确定>按钮,完成配置。

 

11.1.3  配置IPsec中心节点

1. 配置需求

“中心—分支”方式组网环境中的分支节点设备需要主动与中心节点设备建立IPsec隧道。

2. 配置步骤

IPsec基本配置

(1)     单击导航树中[虚拟专网(VPN)/IPsec VPN]菜单项,进入IPsec VPN配置页面。

(2)     单击“IPsec策略”页签,进入IPsec策略配置页面。

(3)     点击<添加>按钮,弹出添加IPsec策略对话框。

(4)     在“名称”配置项处,输入IPsec策略的名称。

(5)     在“接口”配置项处,选择应用IPsec策略的接口。请注意,此接口需要与分支节点设备路由可达。

(6)     在“组网方式”配置项处,选择“中心节点”选项。

(7)     在“预共享密钥”配置项处,输入与对端设备相同的预共享密钥。该密钥需要提前进行协商和通告。

 

 

IKE配置

如您需要改变设备的缺省IKE配置,可按如下方式进行配置。

(1)     按上述方式完成IPsec基本配置。

(2)     点击<显示高级配置>链接,进入高级配置页面。

(3)     单击“IKE配置”页签,进入IKE配置页面。

(4)     在“IKE版本”配置项处,选择IKE版本。

(5)     在“协商模式”配置项处,选择IKE协商模式:

¡     主模式:协商步骤多,身份验证位于密钥交互过程之后进行,适用于对身份保护要求较高的场合。

¡     野蛮模式:协商步骤少,身份验证与密钥交互同时进行,适用于对身份保护要求不高的场合。

若设备公网IP地址是动态分配的,建议您选择IKE协商模式为野蛮模式。

(6)     在“本端身份类型”配置项处,配置用于IKE认证的本端设备身份类型和身份标识。身份类型可选择IP地址、FQDN名称或user FQDN名称。需要注意的是,此项必须与分支节点设备上配置的对端身份类型和身份标识一致。

如果您执行步骤(4)选择的IKE协商模式为主模式,您需要将本端设备身份类型配置为IP地址。

(7)     在“对等体存活检测(DPD)”配置项处,选择是否开启对等体存活检测功能。该功能可用于检测对端是否存活,设备将拆除对端失活的IPsec隧道。建议您开启此功能,使设备能够及时获悉IPsec隧道的可用情况。

(8)     在“算法组合”配置项处,选择IKE协议交互所需的加密和认证算法。如果选择“推荐”选项,需要选择推荐的算法组合;如果选择“自定义”选项,需要设置自定义的认证算法、加密算法和PFS算法。

IPsec隧道的两端所配置的认证算法、加密算法和PFS算法必须一致。

(9)     在“SA生存时间”配置项处,输入IKE重新协商的时间间隔,超过所配时间将触发IKE相关参数的重新协商。

 

IPsec高级配置

如您需要改变设备的缺省IPsec高级配置,可按如下方式进行配置。

(1)     按上述方式完成IPsec基本配置。

(2)     单击“IPsec配置”页签,进入IPsec配置页面。

(3)     在“算法组合”配置项处,选择IPsec协议交互使用的安全协议以及相应的加密和认证算法。如果选择“推荐”选项,需要选择推荐的算法组合;如果选择“自定义”选项,需要设置自定义的安全协议、ESP认证算法和ESP加密算法。

IPsec隧道的两端所配置的安全协议、ESP认证算法和ESP加密算法必须一致。

(4)     在“封装模式”配置项处,选择IPsec隧道的封装模式。

若IPsec本端受保护网段与对端受保护网段均为私网网段,建议您选择封装模式为隧道模式。

IPsec隧道的两端所配置的封装模式必须一致。

(5)     在“PFS”配置项处,选择IPsec隧道的PFS算法。

IPsec隧道的两端所配置的PFS算法必须一致。

(6)     在“基于时间的SA生存时间”配置项处,输入触发IPsec重新协商的时间间隔,超过所配时间将触发IPsec相关参数的重新协商。

(7)     在“基于流量的生存时间”配置项处,输入触发IPsec重新协商的流量大小,超过所配流量将触发IPsec相关参数的重新协商。

(8)     在“触发模式”配置项处,选择触发IPsec重新协商的模式。

(9)     点击<返回基本配置>按钮,返回添加IPsec策略页面。

(10)     点击<确定>按钮,完成配置。

 

11.1.4  监控信息

(1)     单击导航树中[虚拟专网(VPN)/IPsec VPN]菜单项,进入IPsec VPN配置页面。

(2)     单击“监控信息”页签,进入监控信息页面。

11.2  L2TP服务器端

11.2.1  简介

本功能主要用于配置L2TP服务器端基本参数,开启L2TP服务。

如果您希望为企业驻外机构和出差人员等远端用户,提供一种安全且经济的方式,让他们能够与企业内部网络通信,访问企业内部网络资源,那么您可以通过配置L2TP服务器端来实现上述需求。

L2TP服务器端是具有PPP和L2TP协议处理能力的设备,通常位于企业内部网络的边缘。

11.2.2  L2TP配置

(1)     单击导航树中[虚拟专网(VPN)/L2TP服务器端]菜单项,进入L2TP服务器端页面。

(2)     单击“L2TP配置”页签,进入L2TP配置页面。

(3)     在“L2TP服务器端”配置项处,选择“启用L2TP服务器”选项,点击<确定>按钮,开启L2TP服务。

(4)     点击<添加>按钮,弹出新建L2TP组对话框。

(5)     在“L2TP配置”下,设置L2TP隧道参数:

¡     根据需要决定是否勾选“对端隧道名称”,如勾选,则在配置项处输入L2TP客户端的隧道名称。

¡     在“本端隧道名称”配置项处,输入L2TP服务器端的隧道名称。

¡     在“隧道验证”配置项处,根据实际需要选择“启用”或“禁用”。

-     如选择“启用”,则需在“隧道验证密码”配置项处,输入验证密码。该方式更加安全,但需要L2TP服务器端和L2TP客户端都启用隧道验证,且密码一致。

-     如选择“禁用”,则表示L2TP服务器端和L2TP客户端在建立隧道时无需验证。

(6)     在“PPP认证配置”下的“PPP认证方式”配置项处,根据需要选择认证方式为“None”、“PAP”或“CHAP”。

¡     如选择“None”,则表示对用户免认证。该方式,安全性最低,请谨慎使用。

¡     如选择“PAP”,则表示采用两次握手机制对用户进行认证。该方式,安全性中。

¡     如选择“CHAP”,则表示采用三次握手机制对用户进行认证。该方式,安全性最高。

(7)     在“PPP地址配置”下,设置PPP地址参数:

¡     在“虚拟模板接口地址”配置项处,输入虚拟模板接口的IP地址,使L2TP服务器端具有为L2TP客户端或用户分配IP地址的能力。

¡     在“子网掩码”配置项处,输入虚拟模板接口IP地址的子网掩码。

¡     在“DNS1”配置项处,输入用于分配给L2TP客户端或用户的主DNS。

¡     在“DNS2”配置项处。输入用于分配给L2TP客户端或用户的备用DNS。

¡     在“用户地址池”配置项处,输入用于分配给L2TP客户端或用户的IP地址。

(8)     单击<显示高级设置>按钮,展开高级配置页面。

(9)     在“高级配置”下的“Hello报文间隔”配置项处,输入保活报文的时间间隔。为了检测LAC和LNS之间隧道的连通性,LAC和LNS会定期向对端发送Hello报文,接收方接收到Hello报文后会进行响应。当LAC或LNS在指定时间间隔内未收到对端的Hello响应报文时,重复发送,如果重复发送多次仍没有收到对端的响应信息则认为L2TP隧道已经断开,需要重新建立隧道连接;LNS端可以配置与LAC端不同的Hello报文间隔;缺省情况下,Hello报文间隔为60秒。

(10)     点击<确定>按钮,完成配置。

 

 

11.2.3  隧道信息

(1)     单击导航树中[虚拟专网(VPN)/L2TP服务器端]菜单项,进入L2TP服务器端页面。

(2)     单击“隧道信息”页签,进入隧道信息页面。

 

11.2.4  L2TP用户

(1)     单击导航树中[虚拟专网(VPN)/L2TP服务器端]菜单项,进入L2TP服务器端页面。

(2)     单击“L2TP用户”页签,进入L2TP用户配置页面。

(3)     点击<添加>按钮,弹出添加用户对话框。

(4)     在“帐号名”配置项处,输入用户的帐号名。

(5)     在“状态”配置项处,选择用户的状态是否可用。

(6)     在“密码”配置项处,输入用户帐号的密码。

(7)     在“最大用户数”配置项处,输入用户的最大连接数。

(8)     在“有效日期”配置项处,选择是否配置用户权限的到期日期。如果选择“配置”选项,则需在日期选择框中选择用户权限的到期日期。

(9)     点击<确定>按钮,完成配置。

 

 

11.3  L2TP客户端

11.3.1  简介

本功能主要用于配置L2TP客户端基本参数,开启L2TP服务。

如果您希望为企业驻外机构,提供一种安全且经济的方式,让他们能够与企业内部网络通信,访问企业内部网络资源,那么您可以通过配置L2TP服务器端来实现上述需求。

L2TP客户端是具有PPP和L2TP协议处理能力的设备,通常位于企业驻外机构网络的出口。

11.3.2  L2TP配置

(1)     单击导航树中[虚拟专网(VPN)/L2TP客户端]菜单项,进入L2TP客户端页面。

(2)     单击“L2TP配置”页签,进入L2TP配置页面。

(3)     在“L2TP客户端”配置项处,选择“启用L2TP客户端”选项,点击<确定>按钮,开启L2TP服务。

(4)     点击<添加>按钮,弹出新建L2TP组对话框。

(5)     在“L2TP配置”下,设置L2TP隧道参数:

¡     在“本端隧道名称”配置项处,输入L2TP客户端的隧道名称。

¡     在“地址获取方式”配置项处,选择LAC会话建立成功后PPP接口的IP地址获取方式,若选择“静态”选项,则需输入LAC端手工设置一个IP地址(由远端的LNS管理员分配);若选择“动态”选项,则PPP接口的IP地址由LNS分配。

¡     在“隧道验证”配置项处,根据实际需要选择“启用”或“禁用”。

-     如选择“启用”,则需在“隧道验证密码”配置项处,输入验证密码。该方式更加安全,但需要L2TP服务器端和L2TP客户端都启用隧道验证,且密码一致。

-     如选择“禁用”,则表示L2TP服务器端和L2TP客户端在建立隧道时无需验证。

(6)     在“PPP认证配置”下的“PPP认证方式”配置项处,根据需要选择认证方式为“None”、“PAP”或“CHAP”。

¡     如选择“None”,则表示对用户免认证。该方式,安全性最低,请谨慎使用。

¡     如选择“PAP”,则表示采用两次握手机制对用户进行认证。该方式,安全性中。需输入用户名和密码。

¡     如选择“CHAP”,则表示采用三次握手机制对用户进行认证。该方式,安全性最高。需输入用户名和密码。

(7)     在“PPP认证配置”下的“NAT地址转换”配置项处,根据需要选择“启用”或“未启用”。

¡     如选择“启用”,则表示启用NAT地址转换。

¡     如选择“未启用”则表示不启用NAT地址转换。

(8)     在“L2TP服务器端配置”下的“L2TP服务器端地址”配置项处,输入L2TP服务器端的IP地址。

(9)     在“高级配置”下的“Hello报文间隔”配置项处,输入保活报文的时间间隔。为了检测LAC和LNS之间隧道的连通性,LAC和LNS会定期向对端发送Hello报文,接收方接收到Hello报文后会进行响应。当LAC或LNS在指定时间间隔内未收到对端的Hello响应报文时,重复发送,如果重复发送6次仍没有收到对端的响应信息则认为L2TP隧道已经断开,需要重新建立隧道连接;LNS端可以配置与LAC端不同的Hello报文间隔;缺省情况下,Hello报文间隔为60秒。

(10)     点击<确定>按钮,完成配置。

 

 

11.3.3  隧道信息

(1)     单击导航树中[虚拟专网(VPN)/L2TP客户端]菜单项,进入L2TP客户端页面。

(2)     单击“隧道信息”页签,进入隧道信息页面。

 


12 高级选项

12.1  应用服务

应用服务提供对DNS的配置功能,DNS(Domain Name System,域名系统)是一种用于TCP/IP应用程序的分布式数据库,提供域名与IP地址之间的转换。主要包括:

1. 静态DNS

静态DNS就是手工建立域名和IP地址之间的对应关系。当您使用域名访问设备提供的服务(Web、Mail或者FTP等服务)时,系统会查找静态DNS解析表,从中获取指定域名对应的IP地址。

2. 动态DNS

如果您通过设备的WAN接口来提供Web、Mail或者FTP等服务,且希望在设备WAN接口的IP发生变化的情况下(如宽带拨号方式下),用户仍然能够通过固定的域名访问设备提供的服务,那么需要在设备上的提供Web、Mail或者FTP等服务的WAN接口上配置DDNS(Dynamic Domain Name System,动态域名系统)服务。

使用DDNS服务之前,需要提前在DDNS服务器(即DDNS服务提供商,如花生壳网站)上注册。之后,当设备WAN接口的IP地址变化时,设备会自动通知DDNS服务器更新记录的IP地址和固定域名的映射关系。

12.1.2  配置静态DNS

(1)     单击导航树中[高级选项/应用服务]菜单项,进入应用服务配置页面。

(2)     单击“静态DNS”页签,进入静态DNS配置页面。

(3)     点击<添加>按钮,弹出新建静态DNS对话框。

(4)     在“域名”配置项处,输入网络设备的域名。

(5)     在“IP地址”配置项处,输入网络设备的IP地址。

(6)     点击<确定>按钮,完成设置。

12.1.3  配置动态DNS

1. 注意事项

设备向DDNS服务器申请域名时,请保证WAN接口地址为公网IP地址。

2. 配置准备

请提前在动态域名服务提供商(如花生壳网站)处注册账户,设置密码。

3. 配置步骤

(1)     单击导航树中[高级选项/应用服务]菜单项,进入应用服务配置页面。

(2)     单击“动态DNS”页签,进入动态DNS配置页面。

(3)     点击<添加>按钮,弹出新建动态DNS策略对话框。

(4)     在“WAN接口”配置项处,选择设备上的提供Web、Mail或者FTP等服务的WAN接口。

(5)     在“域名”配置项处,输入设备的域名。

(6)     在“服务器配置”下,设置动态DNS服务器参数:

¡     服务提供商:选择服务提供商,如花生壳等。

¡     服务器地址:服务提供商的服务器地址。如果服务器地址与缺省情况不同,勾选“修改服务器地址”后进行修改。

¡     更新间隔:设置设备向服务器发送更新请求的时间间隔。如果配置时间间隔为0,设备只在WAN接口IP地址发生变化或者接口连接由down变为up时发送更新请求。

(7)     在“账户配置”下,输入在服务提供商处注册的用户名和密码。

(8)     点击<确定>按钮,完成设置。

 

 

12.2  UPnP

12.2.1  简介

UPnP (Universal Plug and Play,通用即插即用)功能是针对设备彼此间通讯而定制的一组协议的统称。设备作为UPnP网关,主要功能是完成端口自动映射,UPnP实现端口自动映射需要满足三个条件:

·     设备必须开启UPnP功能;

·     内网主机的操作系统必须支持并开启UPnP功能;

·     应用程序必须支持并开启UPnP功能,如迅雷、BitComet、电骡eMule、MSN等软件都支持UPnP功能。

设备开启UPnP功能后,可以为支持该功能的应用程序自动添加端口映射,加速点对点的传输,还可以解决一些传统业务(比如,MSN)不能穿越NAT的问题。但开启UPnP功能也会为支持该功能的非法应用程序建立映射,存在安全隐患。

12.2.2  注意事项

如果您的操作系统或者应用程序不支持UPnP功能,可通过配置虚拟服务器或端口触发,手工配置完成端口映射的配置,其效果是一样的。

UPnP映射失败的原因很多,比如:

·     系统服务中禁止了SSDP服务(用于寻找UPnP设备),需要在系统服务中开启该服务。

·     开启了操作系统下的SP1的网络连接防火墙。操作系统的网络连接防火墙与UPnP设备发现有冲突,SP2修复了这个问题,但是仍然需要在防火墙设置中允许例外:UPnP框架。

·     应用软件或设备不支持UPnP功能。

12.2.3  配置步骤

(1)     单击导航树中[高级选项/UPnP]菜单项,进入UPnP页面。

(2)     选择“开启UPnP”选项,开启UPnP功能。

(3)     点击<应用>按钮,应用设置。

 

12.3  静态路由

12.3.1  简介

静态路由是在路由器中通过手工方式设置的固定路由条目。当您的网络结构比较简单且比较稳定时,通过配置静态路由就可以实现网络互通。例如,当您知道网络的出接口,以及网关的IP地址时,设置静态路由即可实现正常通信。

当去往同一目的地存在多条静态路由时,如果您希望优先选用某条静态路由,可以调整静态路由的优先级。优先级的值越小,对应的静态路由的优先级越高。

12.3.2  注意事项

当静态路由中下一跳对应的接口失效时,本地的静态路由条目不会被删除,这种情况下需要您检查网络环境,然后修改静态路由的配置。

12.3.3  配置步骤

(1)     单击导航树中[高级选项/静态路由]菜单项,进入静态路由配置页面。

(2)     点击<添加>按钮,弹出添加IPv4静态路由对话框。

(3)     在“目的IP地址”配置项处,输入设备要访问的目的网络的IP地址。

(4)     在“掩码长度”配置项处,输入目的网络的掩码长度。

(5)     在“下一跳”配置项处,设置去往目的网络的出接口和下一跳IP地址。

¡     选择出接口。当您不确定出接口时,可以不勾选“出接口”选项。通过设置下一跳IP地址,设备可以自己选择合适的出接口。

¡     设置下一跳IP地址。

(6)     在“优先级”配置项处,输入静态路由的优先级。

(7)     在“描述”配置项处,输入静态路由的描述信息。

(8)     点击<确定>按钮,完成静态路由的添加。

 

 

12.4  策略路由

12.4.1  简介

与单纯按照IP报文的目的地址查找路由表进行转发不同,策略路由是一种依据用户制定的策略进行路由转发的机制。策略路由可以对于满足一定条件(源地址和目的地址等)的报文,执行指定的操作(设置报文的下一跳和出接口等)。策略路由的匹配条件比普通路由更丰富,当需要按照报文的某些特征(如报文源地址和目的地址等)转发到不同的网络中时,可以配置策略路由功能。

策略路由的优先级会按照配置顺序生效,即先配置的策略路由优先级高于后配置的策略路由。

12.4.2  配置步骤

(1)     单击导航树中[高级选项/策略路由]菜单项,进入策略路由配置页面。

(2)     点击<添加>按钮,弹出新增策略路由列表对话框。

(3)     设置策略路由的匹配规则参数:

¡     在“接口”配置项处,选择策略路由适用的接口。

¡     在“协议类型”配置项处,选择匹配的协议类型,如果选择了“协议号”,则需要输入具体的协议编号,如HTTP的协议号为80。

如果协议类型指定为“TCP”或“UDP”,则需要设置匹配报文的源端口和目的端口。

¡     在“源IP地址段”和“目的IP地址段”配置项处,设置匹配报文的源IP地址范围和目的IP地址范围。输入地址段时,起始地址和结束地址间需要用短横线连接,如“1.1.1.1-1.1.1.2”,如果只指定一个地址,则起始地址和结束地址需要相同。如果在输入地址段或者地址前添加“!”,则表示取反,即除此地址段或者地址外的其它的地址都匹配,如“!1.1.1.1-1.1.1.10”。

¡     在“源端口”和“目的端口”配置项处,设置匹配报文的源端口和目的端口。如果在输入端口号前添加“!”,则表示取反,即除此端口号外的其它的端口都匹配,如“!1-5000”。

¡     在“生效时间”配置项处,设置匹配规则的时间组。

¡     在“优先级”配置项处,设置策略路由的优先级。如果选择“自定义”选项,则需设置具体的优先级。

¡     在“出接口”配置项处,设置匹配规则的报文通过指定出接口转发。

¡     在“是否启用”配置项处,设置策略路由是否启用。

¡     在“描述”配置项处,输入策略路由的描述信息,当某些策略用于特殊用途时,管理员可以配置描述信息,方便后续查询使用。

(4)     点击<确定>按钮,完成配置。

 

 

12.5  SNMP

12.5.1  简介

SNMP(Simple Network Management Protocol,简单网络管理协议)广泛用于网络设备的远程管理和操作。SNMP允许管理员通过NMS对网络上不同厂商、不同物理特性、采用不同互联技术的设备进行管理,包括状态监控、数据采集和故障处理。

1. 1.SNMP网络架构

SNMP网络架构由三部分组成:NMS、Agent和MIB。

·     NMS(Network Management System,网络管理系统)是SNMP网络的管理者,能够提供友好的人机交互界面,来获取、设置Agent上参数的值,方便网络管理员完成大多数的网络管理工作。

·     Agent是SNMP网络的被管理者,负责接收、处理来自NMS的SNMP报文。在某些情况下,如接口状态发生改变时,Agent也会主动向NMS发送告警信息。

·     MIB(Management Information Base,管理信息库)是被管理对象的集合。NMS管理设备的时候,通常会关注设备的一些参数,比如接口状态、CPU利用率等,这些参数就是被管理对象,在MIB中称为节点。每个Agent都有自己的MIB。MIB定义了节点之间的层次关系以及对象的一系列属性,比如对象的名称、访问权限和数据类型等。被管理设备都有自己的MIB文件,在NMS上编译这些MIB文件,就能生成该设备的MIB。NMS根据访问权限对MIB节点进行读/写操作,从而实现对Agent的管理。

2. 2.SNMP版本

设备支持SNMPv1、SNMPv2c和SNMPv3三种版本;设备运行于FIPS模式时,只支持SNMPv3版本。只有NMS和Agent使用的SNMP版本相同时,NMS才能和Agent建立连接。

·     SNMPv1采用团体名(Community Name)认证机制。团体名类似于密码,用来限制NMS和Agent之间的通信。如果NMS配置的团体名和被管理设备上配置的团体名不同,则NMS和Agent不能建立SNMP连接,从而导致NMS无法访问Agent,Agent发送的告警信息也会被NMS丢弃。

·     SNMPv2c也采用团体名认证机制。SNMPv2c对SNMPv1的功能进行了扩展:提供了更多的操作类型;支持更多的数据类型;提供了更丰富的错误代码,能够更细致地区分错误。

·     SNMPv3采用USM(User-Based Security Model,基于用户的安全模型)认证机制。网络管理员可以配置认证和加密功能。认证用于验证报文发送方的合法性,避免非法用户的访问;加密则是对NMS和Agent之间的传输报文进行加密,以免被窃听。采用认证和加密功能可以为NMS和Agent之间的通信提供更高的安全性。

12.5.2  基本配置

(1)     单击导航树中[高级选项/SNMP]菜单项,进入基本配置页面。

(2)     根据需要设置如下SNMP基本配置:

¡     在“SNMP”配置项处,选择“开启”选项,开启SNMP Agent功能。

¡     在“SNMP版本”配置项处,勾选SNMP版本的版本。只有选择了相应的SNMP版本,设备才会处理对应版本的SNMP数据报文。

¡     在“联系信息”配置项处,输入维护联系信息。

¡     在“设备位置”配置项处,输入设备的位置信息。

¡     在“本地引擎ID”配置项处,输入设备的本地引擎ID信息,可以设置为IP地址、MAC地址或者自定义的文本。

¡     在“SNMP信任主机IPv4地址”配置项处,输入SNMP Agent信任的NMS IP地址,即允许指定的NMS对SNMP Agent进行访问。若不设置该项,即不对NMS进行限制。

¡     在“NMS主监控接口”配置项处,选择NMS(网络管理工作站)管理本设备所用的主接口。

¡     在“NMS辅监控接口”配置项处,选择NMS(网络管理工作站)管理本设备所用的备接口,当设备设置为单WAN口时,不支持该设置。

(3)     根据需要设置如下TRAP配置:

¡     在“TRAP功能”配置项处,选择“开启”选项,开启SNMP TRAP功能。

¡     在“目的地址”配置项处,输入接收TRAP消息的主机地址或域名地址。

¡     在“UDP端口”配置项处,输入接收TRAP消息的UDP端口号。

¡     在“安全名”配置项处,输入安全名称,可以是SNMPv1、SNMPv2c的团体名或SNMPv3的用户名。

¡     在“安全模式”配置项处,选择安全名对应的SNMP Agent版本号。

(4)     点击<应用>按钮,完成设置。

 

12.5.3  团体名设置

1. 注意事项

团体名设置只支持SNMPv1、SNMPv2c版本。

2. 配置步骤

(1)     单击“团体名设置”页签,进入团体名设置页面。

(2)     在列表的最下方输入团体名,选择访问权限后,点击操作列的<+>按钮,完成团体名的添加。

(3)     点击团体名对应的操作列<修改>按钮,可以修改团体名及其访问权限。

(4)     点击团体名对应的操作列<删除>按钮,可以删除团体名

(5)     点击<应用>按钮,完成设置。

 

12.5.4  用户设置

1. 注意事项

用户设置只支持SNMPv3版本,用于添加SNMPv3版本的用户名。

2. 配置步骤

(1)     单击“用户设置”页签,进入用户设置页面。

(2)     点击<添加>按钮,弹出添加用户对话框。

(3)     根据需要配置如下参数:

¡     在“用户名”配置项处,输入用户名。

¡     在“认证模式”配置项处,选择认证算法,选项包括MD5、SHA和None。如果选择None,则表示不认证。

¡     在“认证密码”配置项处,输入认证的密码。当认证模式设置为MD5或SHA时,需要配置此参数。

¡     在“认证密码确认”配置项处,再次输入在“认证密码”配置项处设置的密码。

¡     在“加密模式”配置项处,选择加密模式,选项包括DES56和None。如果选择None,则表示不加密。

¡     在“加密密码”配置项处,输入加密的密码。当加密模式设置为DES56时,需要配置此参数。

¡     在“加密密码确认”配置项处,再次输入在“加密密码”配置项处设置的密码。

(4)     点击<确定>按钮,完成添加。

 


13 系统工具

13.1  系统设置

13.1.1  简介

通过本功能可以设置设备信息和系统时间。

设备信息包括设备名称、设备位置和设备管理员的联系方式,方便管理员管理和定位设备。

系统时间包括日期、时间和时区等。为了便于管理设备,并保证本设备与其它网络设备协同工作,您需要为设备配置准确的系统时间。

系统时间的获取方式有两种:

·     手工设置日期和时间。该方式下,用户手工指定的日期和时间即为当前的系统时间。后续,设备使用内部时钟信号计时。如果设备重启,系统时间将恢复到出厂时间。

·     自动同步网络日期和时间。该方式下,设备使用从NTP服务器获取的时间作为当前的系统时间,并周期性地同步NTP服务器的时间,以便和NTP服务器的系统时间保持一致。即便本设备重启,设备也会迅速重新同步NTP服务器的系统时间。如果您管理的网络中有NTP服务器,推荐使用该方式,该方式获取的时间比手工配置的时间更精准。

13.1.2  配置设备信息

(1)     单击导航树中[系统工具/系统设置]菜单项,进入系统设置配置页面。

(2)     单击“设备信息”页签,进入设备信息配置页面。

(3)     在“设备名称”配置项处,输入设备名称,例如以“设备型号.IP地址”为设备名称。

(4)     在“设备位置”配置项处,输入设备的位置信息。

(5)     在“联系方式”配置项处,输入设备管理员的联系方式。

(6)     点击<应用>按钮,完成配置。

 

13.1.3  手工设置日期和时间

1. 注意事项

如果设备重启,系统时间将恢复到出厂时间。

2. 配置准备

了解设备所处的时区。全球分为24个时区,请将设备的时区配置为设备所在地理区域的时区。例如,设备在中国,请选择“北京,重庆,香港特别行政区,乌鲁木齐(GMT+08:00)”;如果设备位于美国,请选择“中部时间(美国和加拿大)(GMT-06:00)”。

3. 配置步骤

(1)     单击导航树中[系统工具/系统设置]菜单项,进入系统设置配置页面。

(2)     单击“日期和时间”页签,进入系统时间配置页面。

(3)     选择“手工设置日期和时间”选项。

(4)     将系统时间配置为设备所在地理区域的当前时间。

a.     选择年月日。

b.     选择时分秒。

(5)     将时区配置为设备所在地理区域的时区。

(6)     点击<应用>按钮,完成配置。

 

13.1.4  自动同步网络日期和时间

1. 注意事项

设备和NTP服务器上配置的时区必须相同,否则,会导致设备的系统时间和NTP服务器的系统时间不一致。

2. 配置准备

了解设备所处的时区。全球分为24个时区,请将设备的时区配置为设备所在地理区域的时区。例如,设备在中国,请选择“北京,重庆,香港特别行政区,乌鲁木齐(GMT+08:00)”;如果设备位于美国,请选择“中部时间(美国和加拿大)(GMT-06:00)”。

3. 配置步骤

(1)     单击导航树中[系统工具/系统设置]菜单项,进入系统设置配置页面。

(2)     单击“日期和时间”页签,进入系统时间配置页面。

(3)     选择“自动同步网络日期和时间”选项。

(4)     在“NTP服务器1”配置项处,输入NTP服务器1的IP地址。

(5)     在“NTP服务器2”配置项处,输入NTP服务器2的IP地址。设备会自动从NTP服务器1和NTP服务器2中择优选取一台服务器的系统时间作为设备的系统时间。如果这台优选的服务器故障,则自动使用另一台NTP服务器的系统时间作为设备的系统时间。如果NTP服务器均故障,设备将使用内部时钟信号继续计时,待NTP服务器恢复后,再同步NTP服务器的时间。

(6)     点击“缺省NTP服务器列表”链接,弹出缺省NTP服务器对话框,查看设备内置的NTP服务器信息,点击<关闭>按钮,关闭对话框。

(7)     将时区配置为设备所在地理区域的时区。

(8)     点击<应用>按钮,完成配置。

 

13.2  网络诊断

13.2.1  简介

通过本功能可以对网络故障进行诊断,包括如下功能:

·     Ping通信测试:用于检测网络,测试另一台设备或主机是否可达。

·     Tracert通信测试:用于检查从设备到达目标主机所经过的路由情况。

·     诊断信息:诊断信息为各功能模块的运行信息,用于定位问题。设备会将该信息以压缩文件的形式自动保存到您的终端设备。

·     系统自检:用于检查设备当前的运行和配置情况进行,反馈设备配置是否合理及设备运行是否正常等信息。

·     端口镜像:用于将被镜像端口的报文自动复制到镜像端口,实时提供各端口传输状况的详细信息,方便网络管理人员进行流量监控、性能分析和故障诊断。

·     抓包工具:用于抓取网络数据报文,以便更有效地分析网络故障。本抓包工具使用tcpdump在后台运行,抓包完成后,会自动导出抓取的文件“capture.pcap”供用户保存到本地。

13.2.2  Ping通信测试

(1)     单击导航树中[系统工具/网络诊断]菜单项,进入网络诊断页面。

(2)     单击“Ping”页签,进入Ping通信测试页面。

(3)     在“目标IP地址或者主机名”配置项处,输入需要Ping的目标IP地址或者主机名。

(4)     在“选择出接口”配置项处,选择需要检测的接口。当选择“AUTO”时,表示自动选择检测的接口;当选择“源IP地址”时,表示将源IP地址对应的接口设置为需要检测的接口,在后面输入框中设置源IP地址。

(5)     点击<开始>按钮,系统开始进行检测。检测的过程和结果显示在当前页面,说明网络发包的测试情况和与测试主机的往返平均时延。

 

13.2.3  Tracert通信测试

(1)     单击导航树中[系统工具/网络诊断]菜单项,进入网络诊断页面。

(2)     单击“Tracert”页签,进入Tracert通信测试页面。

(3)     在“目标IP地址或者主机名”配置项处,输入需要路由跟踪的目标IP地址或者主机名。

(4)     在“选择出接口”配置项处,选择需要检测的接口。当选择“AUTO”时,表示自动选择检测的接口;当选择“源IP地址”时,表示将源IP地址对应的接口设置为需要检测的接口,在后面输入框中设置源IP地址。

(5)     点击<开始>按钮,系统开始进行检测。检测的过程和结果显示在当前页面。

 

13.2.4  诊断信息

(1)     单击导航树中[系统工具/网络诊断]菜单项,进入网络诊断页面。

(2)     单击“诊断”页签,进入搜集网络诊断信息页面。

(3)     点击<搜集诊断信息>按钮,系统开始收集诊断信息。

 

13.2.5  系统自检

(1)     单击导航树中[系统工具/网络诊断]菜单项,进入网络诊断页面。

(2)     单击“系统自检”页签,进入系统自检页面。

(3)     点击<自检>按钮,页面将会显示系统自检结果。

 

13.2.6  端口镜像

(1)     单击导航树中[系统工具/网络诊断]菜单项,进入网络诊断页面。

(2)     单击“端口镜像”页签,进入端口镜像页面。

(3)     在“源端口”配置项处,选择镜像的源端口,即与数据监测设备相连的端口。

(4)     在“方向”配置项处,选择镜像的方向。

¡     若选择“入方向”,表示仅复制源端口收到的报文。

¡     若选择“出方向”,表示仅复制源端口发出的报文。

¡     若选择“双方向”,表示对源端口收到和发出的报文都进行复制。

(5)     在“目的端口”配置项处,选择镜像的目的端口,即与数据监测设备相连的端口。

(6)     点击<确定>按钮,系统开始端口镜像。

 

13.2.7  抓包工具

1. 注意事项

使用该功能前,请确保存储介质上有足够的空间存储抓包文件,否则,会因为存储空间不够导致抓包任务提前终止。

2. 配置步骤

(1)     单击导航树中[系统工具/网络诊断]菜单项,进入网络诊断页面。

(2)     单击“抓包工具”页签,进入抓包工具页面。

(3)     在“接口”配置项处,选择需要抓取数据的接口,支持当前路由器的所有的WAN、VLAN等接口。

(4)     在“抓包长度”配置项处,输入tcpdump数据包的抓取长度,单位为字节。如果数据包长度大于此数值,数据包将会被截断。需要注意的是,采用长的抓取长度,会增加包的处理时间,并且会减少tcpdump可缓存的数据包的数量,从而会导致数据包的丢失。所以,在能抓取我们想要的包的前提下,抓取长度越小越好。

(5)     在“协议类型”配置项处,选择需要过滤的协议类型。如果选择ALL,将抓取当前接口下所有报文。

(6)     在“抓包文件大小”配置项处,输入抓取报文的大小,单位为MB。

(7)     在“抓包时间”配置项处,输入抓包的持续时长,单位为秒。

(8)     在“方向”配置项处,选择抓取报文的方向。

(9)     在“源主机”、“目的主机”配置项处,选择抓取报文时过滤发出或者接收报文的主机。

¡     所有主机:对源或者目的主机进行过滤,即抓取所有的源/目的主机的报文。

¡     IP地址过滤:选择此项时,需设置主机的IP地址。

¡     MAC地址过滤:选择此项时,需设置主机的MAC地址。

(10)     点击<开始>按钮,系统开始进行抓包。抓包的过程和当前抓取的分组数显示在当前页面,在抓包的过程中,您可以点击<取消>按钮,终止当前的操作,并导出抓取的文件“capture.pacp”。

 

13.3  远程管理

13.3.1  简介

远程管理功能既可以用来检测网络的连通性,又可以为用户提供登录设备、管理设备的方式。远程管理功能包括:

·     Ping:通过ping功能,可以检测网络的连通性,及时了解网络状况。

·     Telnet:是一种实现远程登录服务的协议。用户可以在PC上通过Telnet方式登录设备,对设备进行远程管理。

·     HTTP/HTTPS:是基于HTTP、HTTPS超文本传输协议的两种Web登录方式。HTTPS登录方式的安全性能高于HTTP登录方式。用户可以在PC上使用HTTP/HTTPS协议登录设备的Web界面,通过Web界面直观地配置和管理设备。

·     云服务:实现设备在绿洲平台中被管理。

13.3.2  配置Ping

(1)     单击导航树中[系统工具/远程管理]菜单项,进入远程管理页面。

(2)     单击“Ping”页签。

(3)     在列表中通过勾选接口对应的“允许ping”选项,设置该接口允许接收Ping报文。

(4)     点击<应用>按钮,完成配置。

 

13.3.3  配置Telnet

(1)     单击导航树中[系统工具/远程管理]菜单项,进入远程管理配置页面。

(2)     单击“Telnet”页签,进入Telnet配置页面。

(3)     在“Telnet服务”配置项处,点击按钮,使得按钮状态为“ON”,开启Telnet服务。

(4)     在“IPv4端口”配置项处,输入Telnet方式远程管理设备的端口号,外部用户通过此端口Telnet方式登录设备进行管理。

(5)     在“管理员列表”区段,点击<添加/编辑>按钮,弹出添加/编辑管理员IP地址对话框。

a.     在“IP地址”配置项处,输入允许通过Telnet访问设备的IP地址。

b.     在IP地址段“起始”和“结束”配置项处,分别输入允许通过Telnet访问设备的IP地址段的起始地址和结束地址。

c.     在“排除地址”配置项处,输入不允许通过Telnet访问设备的IP地址。

d.     点击配置项右侧的<àà>按钮,提交配置的地址段内容。

e.     重复a、b、c、d步骤可完成多个地址段的添加。

(6)     点击<确定>按钮,完成配置。

 

 

13.3.4  配置HTTP/HTTPS

(1)     单击导航树中[系统工具/远程管理]菜单项,进入远程管理配置页面。

(2)     单击“HTTP/HTTPS”页签,进入HTTP/HTTPS配置页面。

(3)     在“HTTP登录端口”配置项处,输入HTTP方式登录设备对应的端口号,建议使用10000以上的端口号。

(4)     在“HTTPS登录端口”配置项处,输入HTTPS方式登录设备对应的端口号,建议使用10000以上的端口号。

(5)     在“登录超时时间”配置项处,输入Web管理界面的闲置超时时间,缺省为10分钟。管理员登录Web管理界面后,当闲置时间超过登录超时时间时,系统会自动注销该管理员。

(6)     当允许所有用户访问WEB时,可勾选“允许所有用户访问WEB”选项来设置。

(7)     在“VLAN1管理地址”区段,点击<编辑>按钮,添加允许访问Web管理页面的管理员IP地址或地址段。在弹出的编辑VLAN1管理地址对话框中进行如下操作:

a.     在“IP地址”配置项处,输入允许通过HTTP/HTTPS访问设备的IP地址。

b.     在IP地址段“起始”和“结束”配置项处,分别输入允许通过HTTP/HTTPS访问设备的IP地址段的起始地址和结束地址。

c.     点击配置项右侧的<àà>按钮,提交配置的地址段内容。

d.     重复a、b、c步骤可完成多个地址段的添加。

e.     点击<确定>按钮,完成配置。

(8)     在“自定义管理地址”区段,点击<添加/编辑>按钮,添加允许访问Web管理页面的管理员IP地址或地址段。在弹出的添加/编辑自定义管理地址对话框中进行如下操作:

a.     在“IP地址”配置项处,输入允许通过HTTP/HTTPS访问设备的IP地址。

b.     在IP地址段“起始”和“结束”配置项处,分别输入允许通过HTTP/HTTPS访问设备的IP地址段的起始地址和结束地址。

c.     在“排除地址”配置项处,输入不允许通过HTTP/HTTPS访问设备的IP地址。

d.     点击配置项右侧的<àà>按钮,提交配置的地址段内容。

e.     重复a、b、c、d步骤可完成多个地址段的添加。

f.     点击<确定>按钮,完成配置。

 

 

13.3.5  配置云服务

(1)     单击导航树中[系统工具/远程管理]菜单项,进入远程管理配置页面。

(2)     单击“云服务”页签,进入云服务配置页面。

(3)     点击<云服务解绑>按钮,在弹出的确认提示对话框中进行如下操作:

a.     在“解绑码”配置项处,输入从云平台上获取的解绑码。

b.     点击<是>按钮,完成配置。

(4)     在“云服务”配置项处,点击按钮,使得按钮状态为“ON”,开启云服务。

(5)     在“云平台服务器域名”配置项处,输入H3C云简网络平台的域名。

(6)     在“云场所定义”配置项处,输入设备的系统名称。

(7)     点击<应用>按钮,完成配置。

 

13.4  配置管理

13.4.1  简介

本功能用于对设备的配置文件进行管理。配置文件是指用来保存设备配置的文件。

主要功能包括:

·     恢复出厂配置:如果设备没有配置文件或者配置文件损坏时,希望设备能够正常启动运行,则需通过本功能将设备上的配置恢复到出厂状态。

·     从备份文件恢复:设备配置错误后,如果希望设备恢复到正确配置运行状态,则需通过本功能恢复设备配置。

·     导出当前配置:如果希望将当前配置文件导出作为备份配置文件,则需通过本功能将当前配置文件导出保存到指定路径。

·     USB快速备份:备份设备当前的配置到U盘上。

·     USB快速恢复:通过U盘中配置文件恢复设备配置。

13.4.2  恢复出厂配置

(1)     单击导航树中[系统工具/配置管理]菜单项,进入配置管理页面。

(2)     单击“恢复出厂配置”页签,进入恢复出厂配置页面。

(3)     点击<恢复出厂配置>按钮,弹出恢复出厂配置对话框。

(4)     勾选“立即重启设备”选项,系统会立即重启设备。

(5)     点击<确定>按钮,完成恢复出厂配置并强制重启设备。

 

13.4.3  从备份文件恢复

(1)     单击导航树中[系统工具/配置管理]菜单项,进入配置管理页面。

(2)     单击“备份/恢复配置”页签,进入备份恢复配置页面。

(3)     点击<从备份文件恢复>按钮,进入从备份文件恢复页面。

(4)     点击“选择文件”按钮,选择特定路径下的备份配置文件。

(5)     点击<确定>按钮,弹出确认提示对话框。

(6)     点击<确定>按钮,开始恢复配置。

 

 

13.4.4  导出当前配置

(1)     单击导航树中[系统工具/配置管理]菜单项,进入配置管理页面。

(2)     单击“备份/恢复配置”页签,进入备份恢复配置页面。

(3)     点击<导出当前配置>按钮,选择保存路径,即可将当前配置保存到本地PC。

13.4.5  USB快速备份

1. 配置准备

·     目前仅支持fat32格式的U盘。

·     在执行快速恢复前,需先将U盘插入到设备上。

2. 注意事项

·     如果U盘存在多个分区,备份的配置文件将会保存在第一个分区中。

·     备份成功后的配置文件名称为backup.data,如果多次执行USB快速备份操作,系统会覆盖之前的配置文件,即U盘中仅存在一个backup.data配置文件。

3. 配置步骤

(1)     单击导航树中[系统工具/配置管理]菜单项,进入配置管理页面。

(2)     单击“备份/恢复配置”页签,进入备份恢复配置页面。

(3)     点击<USB快速备份>按钮,开始备份配置。

(4)     备份完成后,在弹出备份配置成功的确认对话框中,点击<确定>按钮,关闭对话框。

 

 

13.4.6  USB快速恢复

1. 配置准备

·     目前仅支持fat32格式的U盘。

·     在执行快速恢复前,需先将U盘插入到设备上,且该U盘中存有名称为backup.data的设备配置文件。设备将通过backup.data配置文件恢复设备配置。

·     如果U盘存在多个分区,用于恢复设备配置的配置文件backup.data需保存在第一个分区中。

2. 配置步骤

(1)     单击导航树中[系统工具/配置管理]菜单项,进入配置管理页面。

(2)     单击“备份/恢复配置”页签,进入备份恢复配置页面。

(3)     点击<USB快速恢复>按钮,开始恢复配置。

(4)     恢复完成后,在弹出恢复配置成功的确认对话框中,点击<确定>按钮,关闭对话框。

 

 

13.5  系统升级

13.5.1  简介

本功能用于对设备版本进行升级。如果希望完善当前软件版本漏洞或者更新应用功能,则需通过版本升级功能来实现。升级方式分为如下两种:

·     手动升级是通过特定路径下的系统软件文件对设备的系统软件进行升级。

·     自动升级是通过H3C云简网络平台对设备的系统软件进行升级。自动升级前,请确保设备与云平台已经连接。

13.5.2  手动升级

配置步骤

(1)     单击导航树中[系统工具/系统升级]菜单项,进入系统升级页面。

(2)     单击“手工升级”页签,进入手工升级配置页面。

(3)     点击<手工升级系统软件>按钮,弹出升级系统文件对话框。

(4)     点击<选择文件>按钮,选择特定路径下的系统软件文件。

(5)     若需要保存当前设备的配置,则勾选“保存当前配置”选项;若无需保存当前设备的配置,则不勾选“保存当前配置”选项。

(6)     点击<确定>按钮,开始软件升级。

 

13.5.3  立即自动升级

1. 注意事项

在进行自动升级前,需确保云连接状态为已连接,否则自动升级将会不成功。

2. 配置步骤

(1)     单击导航树中[系统工具/系统升级]菜单项,进入系统升级页面。

(2)     单击“自动升级”页签,进入自动升级配置页面。

(3)     点击<自动升级系统软件>按钮,弹出升级软件系统对话框。

(4)     点击<确定>按钮,进行升级操作。

 

 

13.5.4  预约自动升级

1. 注意事项

在进行自动升级前,需确保云连接状态为已连接,否则自动升级将会不成功。

2. 配置步骤

(1)     单击导航树中[系统工具/系统升级]菜单项,进入系统升级页面。

(2)     单击“自动升级”页签,进入自动升级配置页面。

(3)     在“预约升级”配置项处,选择开启。

(4)     在“检测时间限制”配置项处,设置检测的时间,系统会根据设置的时间检测是否存在新版本软件。如果检测到新版本软件,系统将立即升级软件。

(5)     在“重复”配置项处,设置是否重复检测,以及检测周期,选项包括:

¡     不重复:系统不进行重复检测。

¡     每日:系统根据设置的检测时间,在完成第一次检测后,每隔24小时检测一次。

¡     每周:系统根据设置的检测时间,在完成第一次检测后,每隔7天检测一次。

¡     每月:系统根据设置的检测时间,在完成第一次检测后,每隔30天检测一次。

¡     每季度:系统根据设置的检测时间,在完成第一次检测后,每隔90天检测一次。

¡     每年:系统根据设置的检测时间,在完成第一次检测后,每隔365天检测一次。

¡     点击<应用>按钮,完成自动升级设置。

 

13.5.5  使用U盘恢复软件版本

升级软件过程中出现异常情况(例如升级过程中断电),导致路由器无法正常启动时,可以使用U盘恢复软件版本。恢复方法如下:

(1)     准备文件格式为FAT32,接口为USB 2.0的U盘。

(2)     将待恢复的软件(.bin)拷贝到U盘。在U盘中将.bin复制两份,再将两份文件分别命名为“erg3_recover.bin”和“recover.bin”

(3)     先对路由器断电,再将U盘插入路由器的USB接口。

(4)     将路由器接通电源,等待10分钟左右,路由器正常启动后,即可重新登录。

13.6  重新启动

13.6.1  简介

重新启动功能用于立即和定时重新启动设备。

13.6.2  立即重启

1. 注意事项

重新启动设备可能会导致业务中断,请谨慎使用。

2. 配置步骤

(1)     单击导航树中[系统工具/重新启动]菜单项,进入重新启动配置页面。

(2)     在“立即重启”页签下,点击<重新启动设备>按钮,在弹出的确认提示对话框中,点击<是>按钮,立即重新启动设备。

 

13.6.3  定时重启

1. 注意事项

在使用定时重启功能之前,需在“系统设置—日期和时间—自动同步网络日期和时间”中配置NTP服务器。

2. 配置步骤

(1)     单击导航树中[系统工具/重新启动]菜单项,进入重新启动配置页面。

(2)     单击“定时重启”页签,进入定时重启配置页面。

(3)     在“定时重启”配置处,选择“开启”选项。开启定时重启设备的功能。

(4)     在“生效周期”配置处,设定每周设备重启的具体时间。

(5)     点击<确定>按钮,设备将会在设定时间进行重启。

 

13.7  系统日志

13.7.1  简介

设备在运行过程中会生成系统日志。日志中记录了管理员在设备上进行的配置、设备的状态变化以及设备内部发生的重要事件等,为用户进行设备维护和故障诊断提供参考。

用户可以将日志发送到日志服务器集中管理,也可以直接在Web页面查看日志。

日志划分为如表13-1所示的八个级别,各级别的严重性依照数值从0~7依次降低。了解日志级别,能帮助您迅速筛选出重点日志。

表13-1 日志级别列表

数值

信息级别

描述

0

emergency

表示设备不可用的信息,如系统授权已到期

1

alert

表示设备出现重大故障,需要立刻做出反应的信息,如流量超出接口上限

2

critical

表示严重信息,如设备温度已经超过预警值,设备电源、风扇出现故障等

3

error

表示错误信息,如接口链路状态变化等

4

warning

表示警告信息,如接口连接断开,内存耗尽告警等

5

notification

表示正常出现但是重要的信息,如通过终端登录设备,设备重启等

6

informational

表示需要记录的通知信息,如通过命令行输入命令的记录信息,执行ping命令的日志信息等

7

debugging

表示调试过程产生的信息

 

13.7.2  将系统日志发往日志服务器

1. 配置准备

请确保设备和日志服务器能互相ping通,日志服务器才能收到设备发送的日志。

2. 配置步骤

(1)     单击导航树中[系统工具/系统日志]菜单项,进入系统日志配置页面。

(2)     在“日志记录等级”配置项处,选择日志记录的级别。

(3)     在“日志来源”配置项处,选择日志的来源。

(4)     根据需要勾选“是否将系统日志记录到存储介质”选项。

(5)     勾选“发送到日志服务器”选项,输入日志服务器的IP地址或者域名地址。

(6)     点击<应用>按钮,完成配置。

 

13.7.3  通过Web页面查看系统日志

(1)     单击导航树中[系统工具/系统日志]菜单项,进入系统日志配置页面。设备会逐条显示日志的生成时间、级别以及详细信息。

(2)     用户可使用高级查询功能,通过时间、级别、详细信息这几个条件的任意组合来查找对应的系统日志。

(3)     点击<导出>按钮,可以将设备上已有的日志信息导出到登录PC上。

13.7.4  清除系统日志

(1)     单击导航树中[系统工具/系统日志]菜单项,进入系统日志配置页面。

(2)     点击<清除>按钮,清除路由器所记录的日志信息。


14 管理员

14.1  简介

管理员设置功能是对登录设备的管理员账户信息进行管理,包括修改用户名和密码。

14.2  修改管理员

1. 注意事项

系统中仅能存在一个管理员账户。

仅允许修改管理员账户的名称和密码,不允许删除管理员账户。

2. 配置步骤

(1)     单击Web页面执行区域右上角的“管理员”图标,选择“设置”菜单项,进入管理员账户配置页面。

(2)     如果您需要修改当前管理员的用户名,请在“用户名”配置项处输入新用户名。需要注意的是,修改用户名后,您还必须修改当前管理员密码。

(3)     如果您需要修改当前管理员的密码,请依次执行以下操作:

a.     在“当前管理员密码”配置项处,输入旧密码。

b.     在“新密码”配置项处,输入新密码。

新密码为10~63个字符的字符串,至少需要包含两类字符,至少需要包含4个不同的字符,不能包含与用户名或逆转的用户名一样的字符串,不能包含问号。

c.     在“确认密码”配置项处,再次输入新密码,并确保与之一致。

(4)     如果您希望在此页面上显示帮助管理员记忆密码的提示信息,请在“密码提示”配置项处输入相关提示信息。

(5)     点击<确定>按钮,完成配置。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们