- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-正文
本章节下载 (7.09 MB)
目 录
H3C UG系列路由器包括如下产品型号。
|
名称 |
具体型号 |
|
H3C UG系列路由器 |
UG8103、UG8206、UG-1800W |
图1-1 UG8103设备前面板
|
(1): 复位键(RESET) |
(2): 系统指示灯(SYS) |
|
(3): USB接口 |
(4): WAN接口及指示灯(10/100/1000Base-T电口) |
|
(5): WAN/LAN接口及指示灯(10/100/1000Base-T电口) |
(6): LAN接口及指示灯(10/100/1000Base-T电口) |
|
(7): 电源接口 |
|
图1-2 UG8103设备后面板
|
(1): 接地螺钉 |
图1-3 UG8206设备前面板
|
(1): 接地螺钉 |
(2): 系统指示灯(SYS) |
|
(3): WAN接口及指示灯(10/100/1000Base-T电口) |
(4): WAN/LAN接口及指示灯(10/100/1000Base-T电口) |
|
(5): LAN接口及指示灯(10/100/1000Base-T电口) |
(6): USB接口 |
|
(7): 复位键(RESET) |
(8): 电源接口 |
|
(9): 电源线固定卡扣 |
|
图1-4 UG-1800W设备前面板
|
(1): 2.4G天线 |
(2): 5G天线 |
|
(3): 复位键(RESET) |
(4): 2.4G射频状态指示灯 |
|
(5): 5G射频状态指示灯 |
(6): 系统指示灯(SYS) |
|
(7): USB接口 |
(8): WAN接口及指示灯(10/100/1000Base-T电口) |
|
(9): WAN/LAN接口及指示灯(10/100/1000Base-T电口) |
(10): LAN接口及指示灯(10/100/1000Base-T电口) |
|
(11): 电源接口 |
|
图1-5 UG-1800W设备后面板
|
(1): 接地螺钉 |
|
指示灯 |
状态 |
含义 |
|
系统指示灯(SYS) |
绿色常亮 |
设备正常运行中 |
|
黄色常亮 |
系统告警或故障 |
|
|
黄色慢速闪烁 |
设备将恢复缺省Web登录密码 |
|
|
黄色快速闪烁 |
设备将恢复出厂设置并重启 |
|
|
灯灭 |
电源关闭、电源故障或设备硬件故障 |
|
|
WAN/LAN接口状态指示灯(LINK/ACT)(适用于UG8206) |
绿色常亮 |
端口正常连接设备,且工作在1000Mbps速率下 |
|
绿色闪烁 |
端口在接收或发送数据,且工作在1000Mbps速率下 |
|
|
黄色常亮 |
端口正常连接设备,且工作在10/100Mbps速率下 |
|
|
黄色闪烁 |
端口在接收或发送数据,且工作在10/100Mbps速率下 |
|
|
灯灭 |
端口未连接设备 |
|
|
WAN/LAN接口状态指示灯(LINK/ACT)(适用于UG8103、UG-1800W) |
绿色常亮、黄色常亮 |
端口正常连接设备,且工作在1000Mbps速率下 |
|
绿色常亮、黄色闪烁 |
端口在接收或发送数据,且工作在1000Mbps速率下 |
|
|
绿色灭、黄色常亮 |
端口正常连接设备,且工作在10/100Mbps速率下 |
|
|
绿色灭、黄色闪烁 |
端口在接收或发送数据,且工作在10/100Mbps速率下 |
|
|
灯灭 |
端口未连接设备 |
|
|
2.4G射频状态指示灯 |
绿色常亮 |
2.4G射频处于待机状态,但是没有连接客户端 |
|
绿色闪烁 |
2.4G射频接口有客户端在线,且有数据收发 |
|
|
灯灭 |
2.4G射频关闭 |
|
|
5G射频状态指示灯 |
绿色常亮 |
5G射频处于待机状态,但是没有连接客户端 |
|
绿色闪烁 |
5G射频接口有客户端在线,且有数据收发 |
|
|
灯灭 |
5G射频关闭 |
|
接口 |
用途 |
|
复位键(RESET) |
· 短按(小于5秒),设备将重启 · 按住5~10秒,当SYS指示灯黄色慢速闪烁时,松开复位键,设备将恢复缺省Web登录密码 · 按住10~15秒,当SYS指示灯黄色快速闪烁时,松开复位键,设备将恢复出厂设置并重启 · 按住超过15秒,SYS指示灯会恢复到绿色常亮,设备不执行任何恢复操作 |
|
USB接口 |
连接到存储介质(如U盘、移动硬盘等),可以快速备份或恢复设备配置,以及恢复软件版本 |
|
电源接口 |
连接到电源 |
|
LAN接口 |
连接计算机或下层交换机的以太网端口 |
|
WAN接口 |
连接到宽带运营商提供的网络接口,接入互联网 |
|
接地螺钉 |
用于连接接地线 |
|
WLAN接口(天线) |
用于连接无线客户端 |
为保证设备正常工作和延长使用寿命,请遵从以下注意事项:
· 设备仅允许在室内使用,请将其放置于干燥通风处;
· 设备的接口线缆要求在室内走线,禁止户外走线,以防止因雷电产生的过电压、过电流损坏设备的信号口;
· 请不要将设备放在不稳定的箱子或桌子上,一旦跌落,会对设备造成损害;
· 在设备周围应预留足够的空间(大于10cm),以便于设备正常散热;
· 请保证设备工作环境的清洁,过多的灰尘会造成静电吸附,不但会影响设备寿命,而且容易造成通信故障;
· 设备工作地的接地装置最好不要与电力设备的接地装置或防雷接地装置合用,并尽可能相距远一些;
· 设备工作地应远离强功率无线电发射台、雷达发射台、高频大电流设备;
· 请使用随产品附带的电源线,严禁使用其它非配套产品。电源电压必须满足专用电源线的输入电压范围。
设备支持机柜安装和工作台安装两种方式,本文的安装过程以UG8206设备举例。
仅UG-1800W不支持安装到机柜。
请保证工作台的平稳和良好接地,并且不要在设备上放置重物。
粘贴脚垫到设备底部,将设备翻转后水平放置于工作台上。
仅UG-1800W随机不附带接地线,只提供一个OT端子,接地线需要用户自行购买安装。
不同设备安装接地线方法基本相同,具体方法如下。需要注意的是,由于UG-1800W随机不附带接地线,需要先组装好OT端子,再将装配好OT端子的接地线安装到设备上。
(1) 将设备的接地线的一端安装到设备接地孔上。
(2) 接地线的另一端可以直接缠绕在接地排上,或者与OT端子进行组装后再安装到接地排上,OT端子的组装方法如下。
(1) 先将电源线一端插入到设备的电源接口,并用卡扣固定住电源线。部分设备面板上无卡扣,无需进行固定。
(2) 再将另一端连接到外部的交流电源插座上。
|
项目 |
UG8103 |
UG8206 |
UG-1800W |
|
|
外形尺寸(宽×深×高) |
266mm×161mm×44mm |
440mm×227mm×44mm |
266mm×161mm×44mm |
|
|
功耗 |
<18W |
<11W |
<18W |
|
|
额定输入电压 |
100V AC~240V AC,50/60Hz |
|||
|
设备电源输入 |
12V/1.5A |
12V/1A |
12V/1.5A |
|
|
重量 |
0.8Kg |
1.7Kg |
0.8Kg |
|
|
USB接口 |
1个USB3.0接口 |
1个USB2.0接口 |
1个USB3.0接口 |
|
|
LAN接口 |
1个 |
4个 |
1个 |
|
|
LAN/WAN接口 |
3个 |
2个 |
3个 |
|
|
WAN接口 |
1个千兆电口 |
2个千兆电口 |
1个千兆电口 |
|
|
技术标准 |
- |
- |
· IEEE802.11ax/n/b/g · IEEE802.11ax/ac/a/n |
|
|
WLAN接口 |
- |
- |
· 2个2.4G天线接口 · 2个5G天线接口 |
|
|
无线速率 |
- |
- |
1800Mbps |
|
|
工作温度 |
0ºC~45ºC |
|||
|
工作湿度 |
5%RH~95%RH,非凝露 |
|||
|
散热方式 |
自然散热 |
|||
建议使用Internet Explorer 10及以上版本、Chrome 57及以上版本、Firefox 35及以上版本的浏览器访问Web管理页面。
(1) 将PC连接到设备的LAN接口。
(2) 配置PC为自动获取IP地址(推荐)或手工配置PC的IP地址和192.168.1.0/24在同一网段。
(3) 检查PC的代理服务设置情况。如果当前PC使用代理服务器访问互联网,则首先必须禁止代理服务。
(4) 运行Web浏览器。请在浏览器地址栏中输入http://192.168.1.1(设备缺省的管理IP地址,登录后可修改)并回车。
(5) 如下图所示,在弹出的窗口上输入管理员用户名和密码(缺省均为admin),点击<登录>按钮。首次登录设备后,系统会自动弹出“修改密码”页面。输入缺省密码、新密码,并确认新密码,点击<确定>按钮完成密码的修改。
系统信息将展示设备的运行情况,基本功能的配置向导和技术支持信息。
显示设备CPU使用率和内存使用率相关信息,包括:
· CPU的当前使用率、平均使用率。
· 内存的当前使用率、平均使用率。
· 系统时间、运行时间。
· 产品型号、序列号、软件版本等信息。
· 存储介质上存储空间的使用情况。
· 端口状态:显示WAN口和LAN口的使用状态。
(1) 单击导航树中[系统信息]菜单项,进入系统信息显示页面。
(2) 单击页面上方的“CPU使用率”区段或“内存使用率”区段,可查看CPU或内存的当前使用率、平均使用率。
显示设备接入终端相关信息,包括:
· 实时流量排行TOP5。
· 在线主机数和在线主机网络连接数。
· 在线主机信息表,表中包含终端IP地址、终端名、网络连接数、接入方式、接口、终端MAC地址等信息。
(1) 单击导航树中[系统信息]菜单项,进入系统信息显示页面。
(2) 单击页面上方的“接入终端”区段,可查看接入终端的相关信息。
显示设备上网流量相关信息,例如:最近5分钟平均上行速度、最近5分钟平均下行速度、上网WAN接口的状态和上网参数等。
(1) 单击导航树中[系统信息]菜单项,进入系统信息显示页面。
(2) 单击页面上方的“上网流量”区段,可查看上网流量的相关信息。
显示设备系统时间和产品型号等信息。
(1) 单击导航树中[系统信息]菜单项,进入系统信息页面。
(2) 在“系统时间”区段中,可查看系统时间和运行时间;在“产品型号”区段中,可查看产品型号、序列号、Boot ROM版本、硬件版本和软件版本等信息。
显示WAN口和LAN口的使用状态。
(1) 单击导航树中[系统信息]菜单项,进入系统信息显示页面。
(2) 在“端口状态”区段中,点击端口图标,可进入WAN或LAN配置页面。
存储介质上存储空间的使用情况。
(1) 单击导航树中[系统信息]菜单项,进入系统信息显示页面。
(2) 在页面右下方区段,可查看Flash上存储空间的使用率。
通过功能向导帮助用户快速的配置网络。
(1) 单击导航树中[系统信息]菜单项,进入系统信息页面。
(2) 单击“功能向导”页签,进入功能向导页面。
(3) 根据需要点击功能对应的链接,配置向导如下:
· 上网配置
¡ 连接到因特网:单击“连接到因特网”链接,页面自动跳转至外网配置页面。
¡ 局域网(LAN)配置:单击“局域网(LAN)配置”链接,页面自动跳转至LAN配置页面。
¡ NAT配置:单击“NAT配置”链接,页面自动跳转至NAT配置页面。
· 上网行为
¡ 应用控制:单击“应用控制”链接,页面自动跳转至上网行为管理的应用控制页面。
¡ 网址控制:单击“网址控制”链接,页面自动跳转至上网行为管理的网址控制页面。
¡ 文件控制:单击“文件控制”链接,页面自动跳转至上网行为管理的文件控制页面。
¡ 带宽限速:单击“带宽限速”链接,页面自动跳转至带宽管理的IP限速页面。
¡ 连接限制:单击“连接限制”链接,页面自动跳转至连接限制的网络连接限制数页面。
¡ 流量统计排名:单击“流量统计排名”链接,页面自动跳转至流量排行页面。
· 接入安全
¡ ARP安全:单击“ARP安全”链接,页面自动跳转至ARP安全页面。
¡ Portal认证:单击“Portal认证”链接,页面自动跳转至Portal认证页面。
¡ 防火墙:单击“防火墙”链接,页面自动跳转至防火墙页面。
¡ VPN设置:单击“VPN设置”链接,页面自动跳转至IPsec VPN页面。
¡ MAC地址过滤:单击“MAC地址过滤”链接,页面自动跳转至MAC地址过滤页面。
· 设备维护
¡ 配置管理:单击“配置管理”链接,页面自动跳转至配置管理页面。
¡ 系统升级:单击“系统升级”链接,页面自动跳转至系统升级页面。
¡ 重新启动:单击“重新启动”链接,页面自动跳转至重新启动页面。
¡ 远程管理:单击“远程管理”链接,页面自动跳转至远程管理页面。
¡ 网络诊断:单击“网络诊断”链接,页面自动跳转至网络诊断页面。
¡ 用户FAQ:单击“用户FAQ”链接,页面自动跳转至用户FAQ页面。
如果用户对产品存有疑问,可以通过本页签提供的联系方式联系我们。包括:
· 技术论坛
· 客服邮箱
· 微信公众号
通过快速设置完成广域网WAN、局域网LAN和无线设置的基本配置后,局域网内的用户便可以访问外网。
设备支持单WAN和双WAN两种广域网接入场景(部分款型只支持双WAN场景,快速设置页面中无单WAN选项)。如果用户仅租用了一个运营商网络,则选择单WAN场景;如果用户租用了两个运营商网络,则使用双WAN场景。单WAN和双WAN场景的配置方法相同。
· UG8103和UG-1800W设备的快速设置功能支持单WAN和双WAN场景,UG8206设备的快速设置功能仅支持双WAN场景。
· 快速设置页面仅支持设置单WAN或双WAN场景,多WAN模式可在[网络设置/外网配置]菜单项中的配置接口模式页面中配置。
(1) 单击导航树中[快速设置]菜单项,进入快速设置页面。
(2) 根据使用场景需求,选择“单WAN场景”或“双WAN场景”,设置广域网接入参数。
(3) 在“线路1”或“线路2”配置项处选择要接入广域网的物理接口WANx。
(4) 根据用户实际的上网方式,在“连接模式”配置项处选择对应的连接模式:
¡ 如果选择连接模式为“PPPoE”:
- 在“上网账号”配置项处,输入运营商提供的PPPoE接入用户名。
- 在“上网密码”配置项处,输入运营商提供的PPPoE接入密码。
- 在“DNS1”和“DNS2”配置项处,输入接入广域网的DNS服务器地址。注意设备优先使用DNS1进行域名解析。如果解析失败,则使用DNS2进行域名解析。
¡ 如果选择连接模式为“DHCP”:
在“DNS1”和“DNS2”配置项处,输入接入广域网的DNS服务器地址。注意设备优先使用DNS1进行域名解析。如果解析失败,则使用DNS2进行域名解析。
¡ 如果选择连接模式为“固定地址”:
- 在“IP地址”配置项处,输入接入广域网的固定IP地址,仅允许输入A、B、C类IP地址。
- 在“子网掩码”配置项处,输入IP地址的掩码或掩码长度,例如255.255.255.0或24,。
- 在“网关地址”配置项处,输入接入广域网的网关地址,仅允许输入A、B、C类IP地址。
- 在“DNS1”和“DNS2”配置项处,输入接入广域网的DNS服务器地址。DNS1缺省为114.114.114.114,DNS2缺省为223.5.5.5。注意设备会优先使用DNS1进行域名解析。如果解析失败,则使用DNS2进行域名解析。
(5) 在“NAT地址转换”配置项处,根据实际需求选择是否启用该功能。局域网中的多台设备共用同一个公网IP时,需要启用此功能。
(6) 点击<下一步>按钮,完成WAN配置。
完成WAN配置后,会进入到LAN配置的页面。
(1) 在“局域网IP地址”配置项处,输入设备在局域网中使用的IP地址。
(2) 在“子网掩码”配置项处,输入IP地址的掩码或掩码长度,例如255.255.255.0或24,输入的掩码长度会被自动转换为点分十进制的掩码格式。
(3) 在“DHCP服务”配置项处,选择是否“启用”选项。如果设备需要作为DHCP服务器为局域网中的主机分配IP地址,则需要选择“启用”。
¡ 如选择“启用”选项:
- 在“IP分配范围”配置项处,输入待分配地址的起始IP地址和结束IP地址;
- 在“网关地址”配置项处,输入设备为DHCP客户端分配的网关地址;
- 在“DNS”配置项处,输入设备为DHCP客户端分配的DNS服务器的IP地址。
¡ 如不选择“启用”,则表示不启用设备的DHCP功能。
(4) 设置完成后,点击<下一步>按钮,若路由器是有线款型,则进入完成配置页面,确认所有配置无误后,点击<完成>按钮,完成快速设置。若路由器是无线款型,则进入无线设置页面,需继续进行无线设置。
仅无线款型路由器支持此功能。
完成LAN配置后,会进入到无线设置的页面。
(1) 配置无线网络设置SSID设置-2.4G:
¡ 勾选“启用无线网络”选项,启用无线2.4G网络。
¡ 在“SSID-1名称”配置项处,输入2.4G无线服务的SSID名称,即无线用户接入网络时搜索到的网络名称。SSID名称长度为1-31个字符,可输入中文、英文字母[a-z,A-Z]、数字,以及特殊字符(空格~!@#$%^&*()_+-={}|[]:;’<>,./),其中1个中文字符占3个英文字符,英文字母区分大小写。
¡ 在“加密方式”配置项处,选择客户端是否通过加密方式连接无线服务:
- 不加密:不对无线信号加密。
- WPA-PSK/WPA2-PSK加密:若无线客户端支持WIFI5无线协议,推荐使用WPA-PSK/WPA2-PSK加密。
- WPA2-PSK/WPA3-PSK加密:若无线客户端支持WIFI6无线协议,推荐使用WPA2-PSK/WPA3-PSK加密。
¡ 在“共享密钥”配置项处,输入无线服务密钥,无线用户在接入网络时需要输入此密钥。当您选择WPA-PSK/WPA2-PSK或WPA2-PSK/WPA3-PSK加密方式时,需要设置共享密钥。密钥长度为8-63个字符,只能包含英文字母[a-z,A-Z]、数字,以及特殊字符(~!@#$%^&*()_+-={}|[]:<>,./),区分大小写。
(2) 配置无线网络设置SSID设置-5G:
¡ 勾选“启用无线网络”选项,启用无线5G网络。
¡ 在“SSID-1名称”配置项处,输入5G无线服务的SSID名称,即无线用户接入网络时搜索到的网络名称。SSID名称长度为1-31个字符,可输入中文、英文字母[a-z,A-Z]、数字,以及特殊字符(空格~!@#$%^&*()_+-={}|[]:;’<>,./),其中1个中文字符占3个英文字符,英文字母区分大小写。
¡ 在“加密方式”配置项处,选择客户端是否通过加密方式连接无线服务。
- 不加密:不对无线信号加密。
- WPA-PSK/WPA2-PSK加密:若无线客户端支持WIFI5无线协议,推荐使用WPA-PSK/WPA2-PSK加密。
- WPA2-PSK/WPA3-PSK加密:若无线客户端支持WIFI6无线协议,推荐使用WPA2-PSK/WPA3-PSK加密。
¡ 在“共享密钥”配置项处,输入无线服务密钥,无线用户在接入网络时需要输入此密钥。当您选择WPA-PSK/WPA2-PSK或WPA2-PSK/WPA3-PSK加密方式时,需要设置共享密钥。密钥长度为8-63个字符,只能包含英文字母[a-z,A-Z]、数字,以及特殊字符(~!@#$%^&*()_+-={}|[]:<>,./),区分大小写。
(3) 点击<下一步>按钮,会进入到完成配置的页面,显示用户在[快速设置]菜单项中的所有配置。
(4) 点击<完成>按钮,完成快速设置。
线路监控功能用来查看设备端口状态和各线路的流量情况,方便管理员对设备线路流量进行分析与审计。
(1) 单击导航树中[系统监控/线路监控]菜单项,进入线路监控页面。
(2) 在“端口状态”区段下,点击端口图标,可进入WAN或LAN配置页面。
(3) 在“线路流量”区段下,可以通过列表查看各线路的流量信息。
流量排行功能用来展示终端流量使用情况,可查看终端IP地址、当日总流量和在线时长等信息,方便管理员对用户的上网行为进行分析与审计。
· 流量排行列表仅显示当前正在访问因特网的在线IP流量信息。
· 流量排行列表仅显示最近5分钟内连接过设备的终端的流量统计信息。
· 网络连接数统计是指内网IP向因特网发起的连接,对如下连接不予统计:向设备本身和内网其它IP发起的连接,以及由因特网向内网IP发起的连接。
· 流量排行列表中网络连接数包括TCP连接数、UDP连接数和其他连接数(除了TCP和UDP之外的连接,如ICMP)。
· 总流量是指当前IP持续通过的总体流量,如果IP持续一段时间没有访问因特网的业务进行,将进行重新统计。
· 流量统计的单位换算关系为1G bit= 1,000M bit= 1,000,000K bit= 1,000,000,000 bit。
(1) 单击导航树中[系统监控/流量排行]菜单项,进入流量排行页面。
(2) 勾选“开启流量排行”选项,开启用户流量排行功能。
(3) 配置终端限速。
a. 在流量排行列表中,点击指定终端IP地址对应的操作列限速图标,弹出终端限速配置对话框。
b. 在“上传带宽”配置项处,设置终端的上传带宽。
c. 在“下载带宽”配置项处,设置终端的下载带宽。
d. 在“取消限速”配置项处,勾选此项,将取消对指定终端的限速。
e. 点击<确定>按钮,完成配置。
(4) 配置终端拉黑。
a. 在流量排行列表中,点击指定终端IP地址对应的操作列拉黑图标,弹出拉黑配置对话框。
b. 在“拉黑时间”配置项处,设置终端的拉黑时间。
c. 在“永久拉黑”配置项处,勾选此项,将指定终端永久拉黑。
d. 点击<确定>按钮,完成配置。
若设备纳入快网络管理,小贝AP管理功能将无法使用。
当网络管理员需要自定义无线服务时,可根据如下步骤配置。
|
步骤 |
配置内容 |
详情 |
|
1 |
添加VLAN(可选) |
添加无线业务VLAN(即桥接VLAN),具体配置方法请见参见配置VLAN。 |
|
2 |
启用AP管理功能(必选) |
启用AP管理功能,使得AP上线,具体配置方法请见参见AP管理设置。 |
|
3 |
修改无线服务模板(必选) |
根据需要修改无线服务模板,具体配置方法请参见WI-FI配置。 |
您可通过开启AP管理功能,集中管理接入的AP设备。
(1) 单击导航树中[小贝AP管理/AP管理设置]菜单项,进入AP管理设置页面。
(2) 点击“查看支持AP型号列表”按钮,可查看设备支持的AP型号列表。
(3) 在“AP管理功能”配置项处,选择“开启”选项。开启AP管理功能。
(4) 在“隐藏AP管理Wi-Fi”配置项处,选择是否隐藏AP管理Wi-Fi。
¡ 若选择“是”选项,客户端将无法搜索到用于管理AP的无线服务,如需对AP进行管理,用户需要向管理员获取管理AP的无线服务SSID,通过手工输入SSID的方式接入网络。
¡ 若选择“否”选项,则客户端可以搜索到所有接入AP的AP管理无线服务。
(5) 点击<应用>按钮,完成配置。
本功能用于显示设备的Wi-Fi配置,需要与AP绑定后,AP才能提供对应的无线服务
(1) 单击导航树中[小贝AP管理/Wi-Fi配置]菜单项,进入Wi-Fi配置页面。
(2) 在列表中点击SSID对应的<绑定>按钮,弹出AP绑定对话框。
(3) 在AP列表中选中待绑定的AP。
(4) 点击<确定>按钮,完成该SSID和选中AP的绑定。
(5) 在SSID列表中,点击指定SSID对应的操作列编辑图标,弹出修改Wi-Fi配置对话框。
(6) 在“SSID”配置项处,可修改下发给AP的SSID名称。
(7) 在“工作状态”配置项处,选择是否开启该无线服务。
(8) 在“加密方式”配置项处,选择客户端是否通过加密方式连接无线服务:
¡ 不加密:不对无线信号加密。
¡ 加密:对无线信号加密。
(9) 在“共享密钥”配置项处,输入无线服务密钥,无线用户在接入网络时需要输入此密钥。当您选择对无线信号进行加密时,需要设置共享密钥。密钥长度为8-63个字符,只能包含英文字母[a-z,A-Z]、数字,以及特殊字符(~!@#$%^&*()_+-={}|[]:<>,./),区分大小写。
(10) 在“VLAN”配置项处,输入AP的管理VLAN,缺省为1。
(11) 点击<确定>按钮,完成配置。
您可通过在线AP管理功能查看已上线的AP设备和客户端。本功能显示AP设备的详细信息。
(1) 单击导航树中[小贝AP管理/AP列表]菜单项,进入AP列表配置页面。
(2) 在列表中点击AP对应的操作列“编辑”图标,弹出修改AP信息对话框。可修改AP的如下信息:
¡ 在“AP名称”配置项处,修改AP的名称。
¡ 在“VLAN”配置项处,修改AP的业务VLAN。
¡ 在“状态”配置项处,选择是否开启AP的无线服务。
¡ 在“信道”配置项处,修改无线网络的工作信道。
¡ 在“功率”配置项处,修改天线在无线介质中所辐射的功率。
¡ 在“频宽(MHz)”配置项处,修改无线网络频段带宽。
¡ 点击<确定>按钮,完成AP信息的修改。
(3) 在列表中选择需要删除的AP,点击<删除>按钮,可删除选中的AP。
(4) 在列表中选择在线状态的AP,点击<收集日志&配置>按钮,可对选中AP的日志和配置进行收集。
(5) 在列表中选择在线状态的AP,点击<重启>按钮,可对选中的AP进行重启。
(6) 在列表中选择在线状态的AP,点击<重置>按钮,观察列表中AP的状态。当AP状态为离线时,选中离线的AP,点击<删除>按钮删除AP的记录,完成对AP恢复出厂设置的操作。待AP重启后,AP将使用缺省的无线服务模板上线。
如果仅点击<重置>按钮,不删除AP记录,则无法对AP恢复出厂设置。
(7) 在“每页显示”配置项处,设置当前显示页面的AP数据条数。
AP版本管理功能可以帮助您升级AP的软件版本。
使用AP版本升级功能之前,请先将AP升级需要使用的软件版本上传到设备中。
(1) 单击导航树中[小贝AP管理/AP版本管理]菜单项,进入AP版本管理配置页面。
(2) 点击<版本上传>按钮,弹出版本上传对话框。
¡ 点击<选择文件>按钮,访问待上传的AP软件版本存放路径,并选择版本文件。
¡ 在“版本号”配置项处,显示在上传版本文件时设备自动校验版本文件生成的版本号,无需手工输入。
¡ 在“版本描述”配置项处,输入版本的描述信息。
¡ 在“设备型号”配置项处,选中对应AP的型号。
¡ 点击<确定>按钮,完成配置。
(3) 勾选AP型号前的复选框,点击<版本升级>按钮,设备下发软件版本并升级该AP设备。
仅UG-1800W设备支持无线设置功能。
当网络管理员需要自定义无线服务时,可根据如下步骤配置。
|
步骤 |
配置内容 |
详情 |
|
1 |
添加VLAN(可选) |
根据需要添加无线业务VLAN(即桥接VLAN),具体配置方法请见参见配置VLAN。 |
|
2 |
配置内部网络和访客网络(可选) |
根据需要配置内部网络和访客网络,具体配置方法请见参见基本设置。 |
|
3 |
配置无线名称和密码(必选) |
根据需要配置2.4G或5G网络的无线名称和密码,具体配置方法请见参见无线射频管理。 |
您可以在基本设置的“内部网络”页签和“访客网络”页签中分别对SSID名称、加密方式和共享密钥三项参数进行配置。
配置无线服务模板时,需要同时配置2.4G与5G无线网络的相关参数信息。
(1) 单击导航树中[无线设置/基本设置]菜单项,进入基本设置页面。
(2) 单击“内部网络”页签,进入内部网络的基本设置页面。
(3) 配置无线网络设置SSID设置-2.4G:
¡ 勾选“启用无线网络”选项,启用无线2.4G网络。
¡ 在“SSID-1名称”配置项处,输入2.4G无线服务的SSID名称,即无线用户接入网络时搜索到的网络名称。SSID名称长度为1-31个字符,可输入中文、英文字母[a-z,A-Z]、数字,以及特殊字符(空格~!@#$%^&*()_+-={}|[]:;’<>,./),其中1个中文字符占3个英文字符,英文字母区分大小写。
¡ 在“加密方式”配置项处,选择客户端是否通过加密方式连接无线服务:
- 不加密:不对无线信号加密。
- WPA-PSK/WPA2-PSK加密:若无线客户端支持WIFI5无线协议,推荐使用WPA-PSK/WPA2-PSK加密。
- WPA2-PSK/WPA3-PSK加密:若无线客户端支持WIFI6无线协议,推荐使用WPA2-PSK/WPA3-PSK加密。
¡ 在“共享密钥”配置项处,输入无线服务密钥,无线用户在接入网络时需要输入此密钥。当您选择WPA-PSK/WPA2-PSK或WPA2-PSK/WPA3-PSK加密方式时,需要设置共享密钥。密钥长度为8-63个字符,只能包含英文字母[a-z,A-Z]、数字,以及特殊字符(~!@#$%^&*()_+-={}|[]:<>,./),区分大小写。
(4) 配置无线网络设置SSID设置-5G:
¡ 勾选“启用无线网络”选项,启用无线5G网络。
¡ 在“SSID-1名称”配置项处,输入5G无线服务的SSID名称,即无线用户接入网络时搜索到的网络名称。SSID名称长度为1-31个字符,可输入中文、英文字母[a-z,A-Z]、数字,以及特殊字符(空格~!@#$%^&*()_+-={}|[]:;’<>,./),其中1个中文字符占3个英文字符,英文字母区分大小写。
¡ 在“加密方式”配置项处,选择客户端是否通过加密方式连接无线服务。
- 不加密:不对无线信号加密。
- WPA-PSK/WPA2-PSK加密:若无线客户端支持WIFI5无线协议,推荐使用WPA-PSK/WPA2-PSK加密。
- WPA2-PSK/WPA3-PSK加密:若无线客户端支持WIFI6无线协议,推荐使用WPA2-PSK/WPA3-PSK加密。
¡ 在“共享密钥”配置项处,输入无线服务密钥,无线用户在接入网络时需要输入此密钥。当您选择WPA-PSK/WPA2-PSK或WPA2-PSK/WPA3-PSK加密方式时,需要设置共享密钥。密钥长度为8-63个字符,只能包含英文字母[a-z,A-Z]、数字,以及特殊字符(~!@#$%^&*()_+-={}|[]:<>,./),区分大小写。
(5) 点击<应用>按钮,完成配置。
访客网络的无线基本配置支持对2.4G网络和5G网络的SSID名称、加密方式和共享密钥三项参数进行配置。
配置无线服务模板时,需要同时配置2.4G与5G无线网络的相关参数信息。
(1) 单击导航树中[无线设置/基本设置]菜单项,进入基本设置页面。
(2) 单击“访客网络”页签,进入访客网络的基本设置页面。
(3) 配置访客网络设置SSID设置-2.4G:
¡ 勾选“启用SSID”选项,启用无线2.4G网络。
¡ 在“SSID-1名称”配置项处,输入2.4G无线服务的SSID名称,即无线用户接入网络时搜索到的网络名称。SSID名称长度为1-31个字符,可输入中文、英文字母[a-z,A-Z]、数字,以及特殊字符(空格~!@#$%^&*()_+-={}|[]:;’<>,./),其中1个中文字符占3个英文字符,英文字母区分大小写。
¡ 在“加密方式”配置项处,选择客户端是否通过加密方式连接无线服务。
- 不加密:不对无线信号加密。
- WPA-PSK/WPA2-PSK加密:若无线客户端支持WIFI5无线协议,推荐使用WPA-PSK/WPA2-PSK加密。
- WPA2-PSK/WPA3-PSK加密:若无线客户端支持WIFI6无线协议,推荐使用WPA2-PSK/WPA3-PSK加密。
¡ 在“共享密钥”配置项处,输入无线服务密钥,无线用户在接入网络时需要输入此密钥。
当您选择WPA-PSK/WPA2-PSK或WPA2-PSK/WPA3-PSK加密方式时,需要设置共享密钥。密钥长度为8-63个字符,只能包含英文字母[a-z,A-Z]、数字,以及特殊字符(~!@#$%^&*()_+-={}|[]:<>,./),区分大小写。
(4) 配置访客网络设置SSID设置-5G:
¡ 勾选“启用SSID”选项,启用无线5G网络。
¡ 在“SSID-1名称”配置项处,输入5G无线服务的SSID名称,即无线用户接入网络时搜索到的网络名称。
¡ 在“加密方式”配置项处,选择客户端是否通过加密方式连接无线服务。
- 不加密:不对无线信号加密。
- WPA-PSK/WPA2-PSK加密:若无线客户端支持WIFI5无线协议,推荐使用WPA-PSK/WPA2-PSK加密。
- WPA2-PSK/WPA3-PSK加密:若无线客户端支持WIFI6无线协议,推荐使用WPA2-PSK/WPA3-PSK加密。
¡ 在“共享密钥”配置项处,输入无线服务密钥,无线用户在接入网络时需要输入此密钥。
当您选择WPA-PSK/WPA2-PSK或WPA2-PSK/WPA3-PSK加密方式时,需要设置共享密钥。密钥长度为8-63个字符,只能包含英文字母[a-z,A-Z]、数字,以及特殊字符(~!@#$%^&*()_+-={}|[]:<>,./),区分大小写。
(5) 点击<应用>按钮,完成配置。
无线射频管理用来配置无线服务的更多参数(无线网络模式、无线网络信道频宽、无线信道、发射功率、修改SSID配置等)或创建及修改新的无线服务模板。
名称为“H3C_WIFI”、“H3C_WIFI_GUEST”、“H3C_WIFI_5G”和“H3C_WIFI_GUEST_5G”的SSID为系统默认的SSID,不能被删除。
(1) 单击导航树中[无线设置/高级设置]菜单项,进入高级设置页面。
(2) 单击“无线射频管理”页签,进入无线射频管理页面。
(3) 配置无线网络设置SSID设置-2.4G:
在“无线网络基本设置-2.4G”配置项处,选择无线网络模式、频宽、信道和发射功率参数信息。通常情况下选择缺省配置即可,如需更改配置,请确保相关配置符合所在国家或区域的管制要求。配置完成后,点击<应用>按钮。
发射功率是指天线在无线介质中所辐射的功率,反映的是WLAN设备辐射信号的强度。射频功率越大,射频覆盖的范围越广,客户端在同一位置收到的信号强度越强,也就越容易干扰邻近的网络。随着传输距离的增大,信号强度随之衰减。
(4) 添加2.4G SSID配置模板:
¡ 在“无线网络SSID设置-2.4G”配置项处,点击<添加>按钮,弹出“添加SSID配置”对话框。
¡ 勾选“启用SSID”选项,启用无线2.4G网络。
¡ 在“SSID名称”配置项处,输入2.4G无线服务的SSID名称。SSID名称长度为1-31个字符,可输入中文、英文字母[a-z,A-Z]、数字,以及特殊字符(空格~!@#$%^&*()_+-={}|[]:;’<>,./),其中1个中文字符占3个英文字符,英文字母区分大小写。
¡ 在“加密方式”配置项处,选择客户端是否通过加密方式连接无线服务。
- 不加密:不对无线信号加密。
- WPA-PSK/WPA2-PSK加密:若无线客户端支持WIFI5无线协议,推荐使用WPA-PSK/WPA2-PSK加密。
- WPA2-PSK/WPA3-PSK加密:若无线客户端支持WIFI6无线协议,推荐使用WPA2-PSK/WPA3-PSK加密。
¡ 在“共享密钥”配置项处,输入无线服务密钥,无线用户在接入网络时需要输入此密钥。
当您选择WPA-PSK/WPA2-PSK或WPA2-PSK/WPA3-PSK加密方式时,需要设置共享密钥。密钥长度为8-63个字符,只能包含英文字母[a-z,A-Z]、数字,以及特殊字符(~!@#$%^&*()_+-={}|[]:<>,./),区分大小写。
¡ 在“加密协议”配置项处,选择加密机制来保护您的数据安全。
- AES:在新无线网卡上使用,适用于802.11n无线传输协议,安全性更好。
- TKIP:在老无线网卡上使用,适用于802.11x无线传输协议。
- TKIP+AES:设备根据终端网卡情况自动选择加密协议。
AES比TKIP采用更高级的加密技术,因此AES比TKIP的安全性更好,但TKIP对网卡的兼容性更好,部分老网卡可能不支持AES,实际中请根据网卡的支持情况选择加密协议。
¡ 在“群组密钥更新周期”配置项处,设置群组密钥更新周期。
设置密钥更新周期可以帮助您提高WLAN网络的安全性。
¡ 当您需要进一步设置客户端接入管理的相关功能时,请勾选“高级设置”选项。
- 客户端隔离:选择与某个SSID建立连接的无线客户端之间是否可以互相通信。
禁用:允许无线客户端之间进行通信。
启用:禁止无线客户端之间进行通信。
- SSID广播:选择是否广播SSID功能。
启用:当无线客户端搜寻本地可以接入的无线网络时,将检测到广播的SSID,从而可以建立连接。
禁用:管理员需要向客户端知会其SSID名称,客户端才可以根据SSID名称接入无线网络。
- 最大客户端数量:设置SSID最大能够接入的无线客户端数量。
- 桥接VLAN:设置无线桥接VLAN的值。
¡ 点击<确定>按钮,完成配置。
(5) 配置无线网络设置SSID设置-5G:
在“无线网络基本设置-5G”配置项处,选择无线网络模式、频宽、信道和发射功率等参数信息。通常情况下选择缺省配置即可,如需更改配置,请确保相关配置符合所在国家或区域的管制要求。配置完成后,点击<应用>按钮。
发射功率是指天线在无线介质中所辐射的功率,反映的是WLAN设备辐射信号的强度。射频功率越大,射频覆盖的范围越广,客户端在同一位置收到的信号强度越强,也就越容易干扰邻近的网络。随着传输距离的增大,信号强度随之衰减。
(6) 添加5G SSID配置模板:
¡ 在“无线网络SSID设置-5G”配置项处,点击<添加>按钮,弹出“添加SSID配置”对话框。
¡ 勾选“启用SSID”选项,启用无线5G网络。
¡ 在“SSID名称”配置项处,输入5G无线服务的SSID名称。SSID名称长度为1-31个字符,可输入中文、英文字母[a-z,A-Z]、数字,以及特殊字符(空格~!@#$%^&*()_+-={}|[]:;’<>,./),其中1个中文字符占3个英文字符,英文字母区分大小写。
¡ 在“加密方式”配置项处,选择客户端是否通过加密方式连接无线服务。
- 不加密:不对无线信号加密。
- WPA-PSK/WPA2-PSK加密:若无线客户端支持WIFI5无线协议,推荐使用WPA-PSK/WPA2-PSK加密。
- WPA2-PSK/WPA3-PSK加密:若无线客户端支持WIFI6无线协议,推荐使用WPA2-PSK/WPA3-PSK加密。
¡ 在“共享密钥”配置项处,输入无线服务密钥,无线用户在接入网络时需要输入此密钥。
当您选择WPA-PSK/WPA2-PSK或WPA2-PSK/WPA3-PSK加密方式时,需要设置共享密钥。密钥长度为8-63个字符,只能包含英文字母[a-z,A-Z]、数字,以及特殊字符(~!@#$%^&*()_+-={}|[]:<>,./),区分大小写。
¡ 在“加密协议”配置项处,选择加密机制来保护您的数据安全。
¡ 在“群组密钥更新周期”配置项处,设置群组密钥更新周期。
设置密钥更新周期可以帮助您提高WLAN网络的安全性。
¡ 当您需要进一步设置客户端接入管理的相关功能时,请勾选“高级设置”选项。
- 客户端隔离:选择与某个SSID建立连接的无线客户端之间是否可以互相通信。
禁用:允许无线客户端之间进行通信。
启用:禁止无线客户端之间进行通信。
- SSID广播:选择是否广播SSID功能。
启用:当无线客户端搜寻本地可以接入的无线网络时,将检测到广播的SSID,从而可以建立连接。
禁用:管理员需要向客户端知会其SSID名称,客户端才可以根据SSID名称接入无线网络。
- 最大客户端数量:设置SSID最大能够接入的无线客户端数量。
- 桥接VLAN:设置无线桥接VLAN的值。
¡ 点击<确定>按钮,完成配置。
无线高级配置用来配置禁止弱信号客户端接入和关闭广播探测高级需求。
· 客户端在设备内进行二层漫游时,要求两个AP处于相同的VLAN中,且AP绑定相同的SSID,即服务模板也保持一致。
· 配置禁止弱信号客户端接入功能,会导致信号强度低于指定门限值的无线客户端无法接入WLAN网络。
(1) 单击导航树中[无线设置/高级设置]菜单项,进入高级设置页面。
(2) 单击“无线高级配置”页签,进入无线高级配置管理页面。您可视实际情况选择开启如下功能:
¡ 勾选“禁止弱信号客户端接入”选项,启用禁止弱信号客户端接入功能。
¡ 在“禁止接入信号强度”配置项处,设置信号强度,低于“禁止接入信号强度”的客户端将无法接入无线网络。
在WLAN网络中,信号强度较弱的无线客户端虽然能够接入网络,但其所能获取到的网络性能和服务质量相比信号强的无线客户端要差很多。禁止弱信号客户端接入功能通过拒绝信号低于指定信号强度门限值的客户端接入,避免弱信号客户端占用较多的信道资源,减少对网络中其他客户端的影响,提升整网的用户体验。
¡ 勾选“关闭广播探测”选项,开启关闭广播探测功能,部分客户端将无法扫描到本设备接入AP的SSID。
(3) 点击<确定>按钮,完成配置。
本功能用于查看接入无线网络的客户端。
(1) 单击导航树中[无线设置/客户端列表]菜单项,进入客户端列表配置页面。
(2) 勾选客户端前的复选框,点击<释放>按钮,断开客户端与无线服务的连接。
(3) 点击<全部释放>按钮,断开所有客户端与无线服务的连接。
通常情况下,外网指的就是广域网(WAN,Wide Area Network),广域网是覆盖地理范围相对较广的数据通信网络,Internet就是一个巨大的广域网。
通常在设备上会有多个WAN接口,通过配置WAN接口可以实现设备访问外网。
仅UG8103和UG-1800W设备支持单WAN模式,仅UG8206设备支持五WAN模式。
本功能用于配置设备WAN口接入的个数。
· 正常情况下,接口从LAN口转换到WAN口后,WAN口的连接到互联网方式为DHCP。接口相关的VLAN配置信息在接口转换后将会丢失。
· 正常情况下,接口转换会清除端口镜像配置信息,如你需要继续使用端口镜像功能,请在接口转换后重新配置。
(1) 单击导航树中[网络设置/外网配置]菜单项,进入外网配置页面。
(2) 在“配置接口模式”页签下,勾选“单WAN模式”、“双WAN模式”、“三WAN模式”、“四WAN模式”或“五WAN模式”选项,设置设备支持的WAN口数量。
(3) 点击<应用>按钮,完成配置。
(1) 单击导航树中[网络设置/外网配置]菜单项,进入外网配置页面。
(2) 单击“WAN配置”页签,进入WAN配置页面。
(3) 在线路列表中,点击指定线路对应的操作列编辑图标,进入修改WAN配置页面。
(4) 根据用户实际的上网方式,在“连接模式”配置项处选择对应的连接模式:
¡ 如果选择连接模式为“PPPoE”:
- 在“上网账号”配置项处,输入运营商提供的PPPoE接入用户名。
- 在“上网密码”配置项处,输入运营商提供的PPPoE接入密码。
- 在“LCP主动检测”配置项处,选择在PPPoE链路处于异常状态时,是否开启保活报文检测功能。若选择“是”,表示开启,则每隔20秒钟检测一次;若选择“否”,表示关闭,则每隔2分钟检测一次。
- “在线方式”为“始终在线”。
¡ 如果选择连接模式为“DHCP”,将自动从DHCP服务器获取接入外网的IP地址。
¡ 如果选择连接模式为“固定地址”:
- 在“IP地址”配置项处,输入接入广域网的固定IP地址,仅允许输入A、B、C类IP地址。
- 在“子网掩码”配置项处,输入IP地址的掩码或掩码长度,例如255.255.255.0或24。
- 在“网关地址”配置项处,输入接入广域网的网关地址,仅允许输入A、B、C类IP地址。
- 在“DNS1”和“DNS2”配置项处,输入接入广域网的DNS服务器地址。DNS1缺省为114.114.114.114,DNS2缺省为223.5.5.5。注意设备会优先使用DNS1进行域名解析。如果解析失败,则使用DNS2进行域名解析。
(5) 在“MAC地址”配置项处,根据实际需求选择“使用接口出厂MAC地址(例如:00-19-10-28-00-80)”或“使用静态指定的MAC”。通过运营商分配的公网地址访问外网时,此处需选择“使用静态指定的MAC”,并输入与运营商绑定的MAC地址。
(6) 在“网络上行带宽”和“网络下行带宽”配置项处,输入运营商提供的带宽值。
(7) 在“拨号方式”配置项处,选择PPPoE连接的拨号方式,如果选择自动拨号,配置完成后点击对话框下方的<确定>按钮,将会自动完成拨号;如果选择手动拨号,配置完成后需要点击对话框下方的<拨号>按钮才能完成拨号。当连接模式为“PPPoE”时,可配置该参数。
(8) 在“host-uniq”配置项处,设置PPPoE client呼叫报文是否携带host-uniq字段。
¡ 携带host-uniq字段:PPPoE client呼叫报文中携带host-uniq字段。
¡ 不携带host-uniq字段:PPPoE client呼叫报文中不携带host-uniq字段。
当连接模式为“PPPoE”时,当前设备将作为PPPoE client向PPPoE server发送呼叫报文,呼叫报文可以设置携带host-uniq字段,用来唯一标识发送呼叫报文的PPPoE client。PPPoE server收到携带host-uniq字段的报文后,必须在应答报文中携带host-uniq字段,内容和请求报文中的host-uniq字段相同。
当连接模式为“PPPoE”时,可配置该参数。因为在某些场景下,PPPoE server会要求PPPoE client发送的呼叫报文中携带host-uniq字段,所以推荐选择“携带host-uniq字段”选项。
(9) 在“服务器名”配置项处,输入PPPoE连接的服务器名。当连接模式为“PPPoE”时,可配置该参数。
(10) 在“服务名”配置项处,输入PPPoE连接的服务名。当连接模式为“PPPoE”时,可配置该参数。
(11) 在“主机名”配置项处,输入需要通告给DHCP服务器的机器名。当连接模式为“DHCP”时,可配置该参数。
(12) 在“NAT地址转换”配置项处,根据实际需求选择是否启用该功能。局域网中的多台设备共用同一个公网IP时,需要启用此功能。如果选择启用,可根据需要勾选“使用地址池转换”选项,并选择地址池。此处可选择的地址池是通过“网络设置-NAT配置”中的“地址池”页签添加的。
(13) 在“TCP MSS”配置项处,设置接口的TCP报文段的最大长度,缺省为1280字节。
(14) 在“MTU”配置项处,输入接口允许通过的MTU(Maximum Transmission Unit,最大传输单元)的大小。
(15) 在“链路探测”配置项处,可设置为未启用、ICMP探测、DNS探测和NTP探测。当选择ICMP探测、DNS探测或NTP探测时,需设置如下参数:
¡ 在“探测地址”配置项处,输入链路探测的IP地址,如果链路探测配置为DNS探测,则也可以输入链路探测的域名。
¡ 在“探测间隔”配置项处,输入链路探测的时间间隔。
¡ 在“探测次数”配置项处,输入链路探测的探测次数。
启用链路探测功能后,可以对到达指定IP地址的链路状态进行判断,提高链路的可靠性。
(16) 点击<确定>按钮,完成WAN配置修改。
只有多WAN场景可以进行本页面的配置。
(1) 单击导航树中[网络设置/外网配置]菜单项,进入外网配置页面。
(2) 单击“修改多WAN策略”页签,进入修改多WAN策略配置页面。
(3) 根据实际应用,对多WAN策略进行修改:
¡ 如果多WAN属于相同的运营商,建议选择“平均分配负载分担”或“带宽比例负载分担”。如果多WAN链路的带宽一致,建议选择“平均分配负载分担”,否则选择“带宽比例负载分担”,并设置分配链路带宽比例。配置设备双WAN口上网时,如果WAN1和WAN2带宽比例设置为0:1,此时所有流量仅通过WAN2口转发。
¡ 如果多WAN属于不同的运营商,建议选择“基于运营商的负载分担”或“多链路高级负载分担”。如果每个运营商提供的链路带宽一致,建议选择“基于运营商的负载分担”,否则选择“多链路高级负载分担”,并设置分配链路带宽比例。
¡ 为了保持网络的稳定性,可以进行链路备份,选择“主链路(请选择作为主链路的WAN接口)”以及对应的“WANn”,然后选择备份链路的“WANm”。注意n和m不能一致,否则不能实现链路备份。若所选的主链路已开启链路探测功能(在外网配置-WAN配置中配置),系统会根据链路的探测结果更换实际生效的主链路;若所选的主链路未开启链路探测功能,系统会根据接口物理状态更换实际生效的主链路。
(4) 点击<应用>按钮,完成多WAN策略修改。
(1) 单击导航树中[网络设置/外网配置]菜单项,进入外网配置页面。
(2) 单击“保存接口上一跳”页签,进入保存接口上一跳配置页面。
(3) 勾选“开启保存接口上一跳功能”或“关闭保存接口上一跳功能”选项。多WAN场景下,为了确保进入和离开局域网的报文通过同一个WAN接口转发,需要开启保存接口上一跳功能。
本功能主要用于将设备的局域网接口加入VLAN,配置VLAN接口参数,开启DHCP服务以及配置DHCP服务参数。
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网协议,主要用于为局域网内的主机分配IP地址。DHCP支持动态及静态地址分配机制:
· 动态地址分配功能配置在接口上,此功能给用户主机动态分配IP地址,时间到期或主机明确表示放弃该地址时,该地址可以被其它主机使用。该分配方式适用于局域网的主机获取有一定有效期限的地址的组网环境。
· 静态分配的IP地址不与客户端的接口绑定,仅需要与主机的网卡MAC地址进行绑定,具有永久使用权限。该分配方式适用于局域网的主机获取租期为无限长的IP地址的组网环境。
需要将设备上的LAN接口加入指定的VLAN,使得局域网内处于同一VLAN的主机能直接互通,处于不同VLAN的主机不能直接互通。
在详细端口配置页面配置端口的PVID时,只能指定已创建的VLAN。
PVID(Port VLAN ID,端口的缺省VLAN):当端口收到未携带VLAN Tag的报文时,即认为此报文所属的VLAN为端口的缺省VLAN。
规划设备上LAN接口所属的VLAN,并在LAN配置页面上,创建对应的VLAN接口。
(1) 单击导航树中[网络设置/LAN配置]菜单项,进入LAN配置页面。
(2) 单击“VLAN划分”页签,进入VLAN划分页面。
(3) 在端口列表中,点击指定端口上“操作”区段的
按钮,弹出详细端口配置对话框。
(4) 在“PVID”配置项处,通过下拉框修改端口的PVID。
(5) 配置端口加入或移除VLAN:
¡ 勾选“待选VLAN”复选框下方的VLAN编号,或直接勾选“待选VLAN”复选框以选中所有VLAN,然后点击待选VLAN下方的向右方向按钮将端口加入所选VLAN。
¡ 勾选“已选VLAN”复选框下方的VLAN编号,或直接勾选“已选VLAN”复选框以选中所有VLAN,然后点击已选VLAN下方的向左方向按钮将端口从已加入的VLAN中移除。
(6) 点击<确定>按钮,完成配置。
为设备创建连接内网的VLAN接口,并可将VLAN接口作为内网设备的网关,提供DHCP服务。
若开启VLAN接口的DHCP服务后再关闭,则系统会同步删除静态DHCP页面中该VLAN接口已绑定的静态DHCP。
(1) 单击导航树中[网络设置/LAN配置]菜单项,进入LAN配置页面。
(2) 单击“VLAN配置”页签,进入VLAN配置页面。
(3) 已创建的VLAN接口显示在接口列表中,可以通过单击指定VLAN接口上“操作”区段的
按钮进行编辑;通过单击指定VLAN接口上“操作”区段的
按钮或勾选VLAN接口后单击“删除”按钮对选中的数据进行删除。
(4) 点击<添加>按钮,进入添加LAN接口页面。
(5) 在“VLAN ID”配置项处,输入VLAN ID。
(6) 在“接口IP地址”配置项处,输入接口的IP地址。
(7) 在“子网掩码”配置项处,输入IP地址的掩码或掩码长度,例如255.255.255.0或24。
(8) 在“TCP MSS”配置项处,设置接口的TCP报文最大分段长度值,默认长度为1280字节。
(9) 在“MTU”配置项处,输入接口允许通过的MTU的大小。
(10) 勾选“开启DHCP服务”复选框,开启设备的DHCP服务,即为连接到设备的客户端(例如连接到设备的PC等)动态分配IP地址。根据实际情况,设置如下参数。
¡ 勾选“对DHCP分配的地址进行ARP保护(动态绑定)”复选框,为动态分配的IP地址绑定客户端的MAC地址。
¡ 在“地址池起始地址”和“地址池结束地址”配置项处,设置设备可分配给客户端的IP地址范围。
¡ 在“排除地址”配置项处,设置不能分配给客户端的IP地址。如果地址池范围内的某些IP地址(如网关地址)不能分配给客户端,就需要将其配置为排除地址。
¡ 在“客户端域名”配置项处,输入为客户端分配的域名后缀。
¡ 在“网关地址”和“DNS1”以及“DNS2”配置项处,输入客户端的网关地址和DNS服务器地址。
¡ 在“地址租约”配置项处,以分钟为单位设置IP地址的使用时间,比如设置IP地址租约为5天,则输入7200。
(11) 点击<确定>按钮,完成配置。
如果需要为某些客户端分配固定的IP地址,则需要配置静态DHCP将客户端的硬件地址与IP地址进行绑定。
静态绑定的客户端IP地址不能是设备上WAN口的IP地址网段包含的IP地址。
在配置静态DHCP之前,需要先开启VLAN接口的DHCP服务。
(1) 单击导航树中[网络设置/LAN配置]菜单项,进入LAN配置页面。
(2) 单击“静态DHCP”页签,进入静态DHCP配置页面。
(3) 点击<添加>按钮,弹出新增DHCP静态绑定关系对话框。
(4) 在“接口”配置项处,选择开启DHCP服务器功能的接口。
(5) 在“客户端MAC”配置项处,输入客户端的MAC地址。例如PC类型的客户端,可以在网卡信息中查询到MAC地址。
(6) 在“客户端IP”配置项处,输入要分配给客户端的IP地址。
(7) 点击<确定>按钮,完成配置。
(1) 单击导航树中[网络设置/LAN配置]菜单项,进入LAN配置页面。
(2) 单击“DHCP分配列表”页签,进入DHCP分配列表页面。
(3) 在列表中选中需要回收的IP地址。
(4) 点击<一键回收>按钮,在弹出的确认提示框中,点击<是>按钮,确认回收选中的IP地址。
(1) 单击导航树中[网络设置/LAN配置]菜单项,进入LAN配置页面。
(2) 单击“DHCP分配列表”页签,进入DHCP分配列表页面。
(3) 在列表中选中需要静态绑定的客户端IP。
(4) 点击<静态分配>按钮,在弹出的确认提示框中,点击<是>按钮,确认将DHCP动态分配的IP地址设置为静态分配。
端口管理功能用来查看设备各个物理端口的端口类型、端口模式、速率、MAC地址和广播风暴抑制等信息,设置WAN口的管理状态,以及修改端口配置。
(1) 单击导航树中[网络设置/端口管理]菜单项,进入端口管理页面。
(2) 在物理端口列表中,点击指定端口对应的操作列编辑图标,弹出修改端口配置对话框。
(3) 在“管理状态”配置项处,设置开启或者关闭该端口。
(4) 在“端口模式”配置项处,选择配置的端口模式。
(5) 在“速率”配置项处,选择配置的端口速率。
(6) 在“广播风暴抑制”配置项处,可根据需要选择不抑制或者抑制级别。抑制级别分为低、中、高,三个级别对应的允许通过的广播报文数量依次增加。
(7) 在“MAC地址”配置项处,查看端口的MAC地址。
(8) 点击<确定>按钮,完成配置。
NAT(Network Address Translation,网络地址转换)是一种将内部网络私有IP地址,转换成公网IP地址的技术。拥有私有IP地址的内网用户无法直接访问Internet,如果希望内网用户使用运营商提供的公网IP访问外网,或者允许外网用户使用公网IP访问内网资源,则需要配置NAT。
NAT支持如下两种地址转换方式:
· 端口映射:通过这种转换方式,可以实现利用一个公网地址和不同的协议端口同时对外网提供多个内网服务器(例如Web、Mail或FTP服务器)资源的目的。这种方式可以节约设备的公网IP地址资源。端口映射可以将内网中的一组IP地址和不同的协议端口映射到一个公网IP地址和对应的协议端口上,使得一个公网IP地址可以同时分配给多个内网IP地址使用。
· 一对一映射:这种方式适用于内外网之间存在固定访问需求的环境,比如某个网络管理员必须使用一个固定的外网IP去远程访问位于内网中对外提供服务的设备。一对一映射可以在设备上建立一个固定的一对一的映射关系,将内网中的一个私有IP地址转换为一个公网IP地址。
· 端口触发:当局域网内的客户端访问因特网上的服务器时,对于某些应用(比如:IP电话、视频会议等),客户端向服务器主动发起连接的同时,也需要服务器向客户端发起连接请求。而缺省情况下,设备收到WAN侧主动连接的请求都会拒绝,此时通信会被中断。通过设置设备的端口触发规则,当客户端访问服务器并触发规则后,设备会自动开放服务器需要向客户端请求的端口,从而可以保证通信正常。当客户端和设备长时间没有数据交互时,设备自动关闭之前对外开放的端口,既保证应用的正常使用,又能最大限度地保证局域网的安全。
NAT还提供如下高级配置功能:
· NAT hairpin:如果您的某些内网服务器通过公网IP地址对外提供服务,同时内网用户也有访问这些服务器的需求,为了确保这些内网用户访问内网服务器的流量也经过网关控制,则可以开启NAT hairpin功能。开启该功能后,内网用户将与外网用户一样,都可以使用公网IP地址访问内网服务器。
· NAT ALG:如果内部网络与外部网络之间存在应用层业务,例如FTP/RTSP,为了保证这些应用层协议的数据连接经过端口映射或一对一映射后还可以正确建立,就需要开启相应协议的NAT ALG功能。
(1) 单击导航树中[网络设置/NAT配置]菜单项,进入NAT配置页面。
(2) 单击“虚拟服务器”页签,进入虚拟服务器配置页面。
(3) 在“NAT DMZ服务”配置项处,勾选“开启”选项,开启NAT DMZ服务。
(4) 在“主机地址”配置项处,输入NAT DMZ服务的主机地址。
(5) 点击<应用>按钮,完成配置。
(6) 点击<添加>按钮,弹出添加NAT端口映射对话框。
(7) 在“协议类型”配置项处,选择协议为“TCP”、“UDP”或“TCP+UDP”。此处需要根据内部服务器采用的传输层协议类型选择TCP或UDP,例如FTP服务器采用TCP协议,TFTP采用UDP协议。
(8) 在“外部地址”配置项处,可以选择使用当前端口的IP地址,也可以使用设备上的其它公网IP地址。
(9) 在“外部端口”配置项处,选择FTP、Telnet或自定义端口。如果您对外提供的服务不是FTP或Telnet,请输入提供的服务所使用的端口号,比如HTTP服务端口号80。
(10) 在“内部地址”配置项处,输入允许外部网络访问的内网IP地址。
(11) 在“内部端口”配置项处,输入内部网络资源使用的端口号。
(12) 在“是否启用”配置项处,选择是否立即启用映射。
(13) 点击<确定>按钮,完成配置。
如果设备上仅有一个公网IP地址,不建议配置一对一映射来占用公网IP地址。
(1) 单击导航树中[网络设置/NAT配置]菜单项,进入NAT配置页面。
(2) 单击“一对一映射”页签,进入一对一映射配置页面。
(3) 在“一对一映射”配置项处,勾选“开启”选项,开启一对一映射服务。
(4) 点击<添加>按钮,弹出添加NAT一对一映射对话框。
(5) 在“内部地址”配置项处,输入内网IP地址。
(6) 在“外部地址”配置项处,输入拥有的公网IP地址。
(7) 在“接口”配置项处,选择配置映射的接口。若不设置此参数,则表示对所有WAN口生效。
(8) 在“是否启用”配置项处,选择是否立即启用映射。
(9) 点击<确定>按钮,完成配置。
(1) 单击导航树中[网络设置/NAT配置]菜单项,进入NAT配置页面。
(2) 单击“地址池”页签,进入地址池配置页面。
(3) 点击<添加>按钮,弹出添加NAT地址池对话框。
(4) 在“地址池名”配置项处,输入用于NAT转换的公网IP地址池名称,可以由中文、数字、字母、下划线组成。
(5) 在“IP地址”配置项处,输入单个IP地址。
(6) 在“起始”配置项处,输入IP地址段的起始IP地址。
(7) 在“结束”配置项处,输入IP地址段的终止IP地址。单个IP地址段内的IP地址数量不能超过256个,且不能存在不合理的IP地址。
(8) 点击配置项右侧的<àà>按钮,提交配置的IP地址或IP地址段内容。
(9) 重复(5)、(6)、(7)、(8)步骤可完成多个地址池的添加。
(10) 点击<确定>按钮,完成配置。
(1) 单击导航树中[网络设置/NAT配置]菜单项,进入NAT配置页面。
(2) 单击“端口触发”页签,进入端口触发配置页面。
(3) 点击<添加>按钮,弹出添加NAT端口触发对话框。
(4) 在“应用名称”配置项处,输入端口触发的应用名称。
(5) 在“生效接口”配置项处,选择用于接收外来报文的接口。
(6) 在“触发端口”配置项处,输入局域网内客户端向外网服务器发起请求的端口范围。
(7) 在“外来端口”配置项处,输入外网服务器需要向局域网内客户端主动发起请求的端口号。可设置单一端口、端口范围或两者的组合,端口间用英文逗号“,”隔开,例如:100,200-300,400。最多可输入10个端口或端口范围。
(8) 在“是否启用”配置项处,选择是否启用端口触发功能。
(9) 点击<确定>按钮,完成配置。
在配置NAT hairping前,需要完成如下配置中的一项或多项:
· 在虚拟服务器配置页面上,配置内网服务器的IP地址/端口与公网IP地址/端口的映射关系。
· 在一对一映射配置页面上,配置内网用户IP地址与公网IP地址的映射关系。
(1) 单击导航树中[网络设置/NAT配置]菜单项,进入NAT高级配置页面。
(2) 完成“虚拟服务器”或“一对一映射”的配置。
(3) 单击“高级配置”页签,进入高级配置页面。
(4) 勾选“开启NAT hairpin”选项,点击<应用>按钮,启用NAT hairpin功能。
(5) 点击<设置>按钮,弹出修改NAT hairpin生效接口对话框。根据需要选择接口成为NAT hairpin功能的生效接口:
¡ 将接口设置为生效接口:勾选“待选接口”选项或者在待选接口列表中选中接口,点击<→→>按钮,再点击<确定>按钮,完成配置。
¡ 将接口设置为不生效接口:勾选“已选接口”选项或者在已选接口列表中选中接口,点击<←←>按钮,再点击<确定>按钮,完成配置。
(6) 点击<确定>按钮,完成配置。
(1) 单击导航树中[网络配置/NAT配置]菜单项,进入NAT配置页面。
(2) 单击“高级配置”页签,进入高级配置页面。
(3) 在NAT ALG区段,勾选对应的选项,启用指定协议的NAT ALG功能。
(4) 点击<应用>按钮,完成配置。
(1) 单击导航树中[网络配置/NAT配置]菜单项,进入NAT配置页面。
(2) 单击“高级配置”页签,进入高级配置页面。
(3) 在自定义协议端口号区段,根据需要设置“SIP端口号”配置项,在搭建SIP服务器时,如果使用的SIP协议端口号不是5060,则需要自定义SIP协议端口号。
(4) 点击<应用>按钮,完成配置。
(1) 单击导航树中[网络配置/NAT配置]菜单项,进入NAT配置页面。
(2) 单击“高级配置”页签,进入高级配置页面。
(3) 在网络连接区段,设置如下参数:
¡ 在“当前网络连接数”配置项处,查看当前的网络连接数量,可点击<刷新>按钮刷新。
¡ 在“网络连接总数”配置项处,设置允许建立的网络连接总数,推荐使用缺省值。对于不同型号的设备,本参数的取值范围和缺省值可能会不同,请以Web页面实际显示情况为准。
¡ 在“选择要清除网络连接的接口”配置项处,选择需要清除网络连接的接口。
(4) 点击<应用>按钮,完成配置。
地址组是一组主机名或IP地址的集合。每个地址组中可以添加若干成员,成员的类型包括IP地址和IP地址段。如果您的某些业务(例如带宽管理)需要使用地址组来识别用户报文,则需要提前配置符合业务需求的地址组。
· 添加到地址组中的IP地址只支持IPv4地址格式,不支持IPv6地址格式。
· 添加到地址组中的IP地址段的起始地址必须小于结束地址。
· 单个IP地址段内的IP地址数量不能超过256个,且不能存在不合理的IP地址。
(1) 单击导航树中[网络设置/地址组]菜单项,进入地址组配置页面。
(2) 点击<添加>按钮,弹出添加地址组对话框。
(3) 在“地址组名称”配置项处,输入地址组的名称。
(4) 在“描述信息”配置项处,输入地址组的描述信息。
(5) 配置地址组内容:
¡ 配置添加到地址组的单个IP地址。
¡ 配置添加到地址组IP地址段的起始IP地址及结束IP地址。
¡ 配置地址组排除的IP地址。
(6) 点击配置项右侧的<àà>按钮,提交配置的地址组内容。
(7) 重复(5)、(6)步骤可完成多个同类型成员的添加。
(8) 点击<确定>按钮,完成地址组创建。
如果您希望设备上的某些功能(例如带宽管理、上网行为管理)仅在特定时间生效,而其它时间不生效,可以创建一个时间组,并在配置相关功能时引用时间组。
一个时间组中可以配置一个或多个时间段。时间段的生效时间有如下两种方式:
· 周期性生效:以周作为周期,循环生效。例如,每周一的8至12点。
· 非周期生效:在指定的时间范围内生效。例如,2015年1月1日至2015年1月3日每天的8点至18点。
· 最多可以创建64个不同名称的时间组。
· 一个时间组内最多可以配置16个周期性生效的时间段或16个非周期生效的时间段。
(1) 单击导航树中[网络设置/时间组]菜单项,进入时间组配置页面。
(2) 点击<添加>按钮,弹出新建时间组对话框。
(3) 在“时间组名称”配置项处,输入时间组的名称。
(4) 在“生效时间”配置项处,选择“周期性生效”或“非周期性生效”,然后配置时间段。请选择其中一项进行配置。
¡ 周期性生效
点选每周需要生效的具体星期,并在下面输入每天的具体生效时间,点击<+>按钮,完成本时间段的配置。
¡ 非周期性生效
选择生效的起止日期,并在下面输入具体生效的起止时间,点击<+>按钮,完成本时间段的配置。
(5) 点击<确定>按钮,完成时间组创建。
如果您希望设备上的带宽管理功能仅对特定的应用生效,而对其它的应用不生效,可以创建一个或者多个应用,将创建的应用添加到应用组,并在配置带宽管理时引用应用组。
对特定的应用协议和端口号进行严格的带宽管理。
自定义应用创建完成后,需要将其添加到“应用组”中,并在配置带宽管理时引用对应的应用组,才能实现对特性应用的带宽管理。
(1) 单击导航树中[网络设置/应用组]菜单项,进入自定义应用配置页面。
(2) 点击<添加>按钮,弹出添加应用对话框。
(3) 在“应用名称”配置项处,输入应用的名称。
(4) 在“应用协议”配置项处,选择“TCP”、“UDP”或“TCP+UDP”。
(5) 在“端口号”配置项处,输入应用的端口号。
(6) 在“描述”配置项处,输入应用的描述信息。
(7) 点击<确定>按钮,完成应用创建。
通过对自定义应用进行分组,实现对一组自定义应用进行严格的带宽管理。
应用组创建完成后,在配置带宽管理时引用应用组,才能实现对特定的一组自定义应用进行带宽管理。
(1) 单击“应用组”页签,进入应用组配置页面。
(2) 点击<添加>按钮,弹出新建应用组对话框。
(3) 在“应用组名称”配置项处,输入应用组的名称。
(4) 在“描述”配置项处,输入应用组的描述信息。
(5) 在“待选应用”选择框中,勾选应用,点击<→→>按钮,将应用添加到“已选应用”选择框中;在“已选应用”选择框中,勾选应用,点击<←←>按钮,将应用从“已选应用”选择框中移除。
(6) 点击<确定>按钮,完成应用组创建。
当管理员需要限制特定WAN口的带宽时,可以根据如下步骤进行配置。
|
步骤 |
配置内容 |
详情 |
|
1 |
配置地址组(必选) |
将需要限制带宽的用户IP地址加入到地址组中,具体配置方法请见参见地址组。 |
|
1 |
配置时间组(可选) |
设定限制带宽的时间段,具体配置方法请见参见时间组。 |
|
2 |
配置IP限速(必选) |
添加IP限速策略,设置各参数,选择地址组,具体配置方法请见参见配置IP限速。 |
当管理员需要限制某些应用的带宽时,可以根据如下步骤进行配置。
|
步骤 |
配置内容 |
详情 |
|
1 |
添加自定义应用(必选) |
添加需要限制带宽的应用到自定义应用列表中,具体配置方法请见参见自定义应用。 |
|
2 |
创建应用组(必选) |
创建应用组,将需要限制带宽的应用加入到应用组中,具体配置方法请见参见创建应用组。 |
|
3 |
配置限制通道(必选) |
启用限制通道流速上限,设置各参数,选择应用组,具体配置方法请见参见配置限制通道。 |
当管理员需要保障某些应用的可用带宽时,可以根据如下步骤进行配置。
|
步骤 |
配置内容 |
详情 |
|
1 |
添加自定义应用(必选) |
添加需要保障可用带宽的应用到自定义应用列表中,具体配置方法请见参见自定义应用。 |
|
2 |
创建应用组(必选) |
创建应用组,将需要保障可用带宽的应用加入到应用组中,具体配置方法请见参见创建应用组。 |
|
3 |
配置绿色通道(必选) |
启用绿色专用通道后,设置各参数,选择应用组,具体配置方法请见参见配置绿色通道。 |
当管理员需要限制特定用户使用的某些应用时,可以根据如下步骤进行配置。
|
步骤 |
配置内容 |
详情 |
|
1 |
配置地址组(可选) |
将需要设置的用户IP地址加入到地址组中,具体配置方法请见参见地址组。 |
|
2 |
配置时间组(可选) |
设定限制用户使用应用的时间段,具体配置方法请见参见时间组。 |
|
3 |
配置应用控制(必选) |
如果限制用户使用常见的应用,可以在配置应用控制时指定应用,具体配置方法请见参见配置应用控制;如果限制用户使用不常见的应用,需要先自定义网络应用,具体配置方法请见参见配置自定义网络应用,然后再配置应用控制。 |
当管理员需要为特定用户设置允许访问的网址时,可以根据如下步骤进行配置。
|
步骤 |
配置内容 |
详情 |
|
1 |
配置地址组(可选) |
将需要设置的用户IP地址加入到地址组中,具体配置方法请见参见地址组。 |
|
2 |
配置时间组(可选) |
设定允许用户访问网址的时间段,具体配置方法请见参见时间组。 |
|
3 |
配置网址控制(必选) |
开启网址白名单模式,并添加自定义网址分类,具体配置方法请见参见配置网址控制。 |
当管理员需要为特定用户设置禁止访问的网址时,可以根据如下步骤进行配置。
|
步骤 |
配置内容 |
详情 |
|
1 |
配置地址组(可选) |
将需要设置的用户IP地址加入到地址组中,具体配置方法请见参见地址组。 |
|
2 |
配置时间组(可选) |
设定禁止用户访问网址的时间段,具体配置方法请见参见时间组。 |
|
3 |
配置网址控制(必选) |
开启网址黑名单模式,并添加自定义网址分类,具体配置方法请见参见配置网址控制。 |
当管理员需要为特定用户设置允许下载的文件类型时,可以根据如下步骤进行配置。
|
步骤 |
配置内容 |
详情 |
|
1 |
配置地址组(可选) |
将需要设置的用户IP地址加入到地址组中,具体配置方法请见参见地址组。 |
|
2 |
配置时间组(可选) |
设定允许用户下载在指定类型文件的时间段,具体配置方法请见参见时间组。 |
|
3 |
配置文件控制(必选) |
设置允许用户下载的文件类型,具体配置方法请见参见配置文件控制。 |
带宽管理功能用于对流量进行管理,管理员可基于地址组和时间组等限制条件对用户流量进行精细控制。对于需要进行限速的报文,例如占用大量带宽的P2P下载报文,可选择开启限制通道功能,来限制其带宽。对于需要保证时延的交互性应用流量,可选中开启绿色通道功能来保证其带宽。
· 一般应用场景下,可以把游戏报文、交互报文等对时延要求较高的应用流量通过绿色通道转发,把BT等对系统转发影响较大的P2P流量通过限制通道转发。其余流量会自动通过正常通道转发。
· 数据包匹配的优先级顺序如下:
¡ 如果流量符合绿色通道的规则,则进入绿色通道进行处理。
¡ 如果不符合绿色通道但符合限制通道的规则,则进入限制通道进行处理。
¡ 如果绿色通道和限制通道的规则都不符合,则进入正常通道(IP流量限制通道)发送,受到IP限速规则的限制。
· 配置的流量上限值是指所有进入限制通道的流量之和。
· 绿色通道识别流量时,如果数据包长度选择和端口选择同时启用,则符合其中一项即识别成功,并且数据包长度选择优先起作用。
对指定接口或指定用户的流量进行带宽管理。
配置IP限速前,请先在[网络设置/外网配置]配置页面上的“WAN配置”页签中设置线路的上下行带宽。如没有预先配置,也可以在“流量限制”配置项处点击“设置”链接,跳转到WAN配置页面配置当前线路的上下行带宽。
(1) 单击导航树中[上网行为管理/带宽管理]菜单项,进入带宽管理配置页面。
(2) 在“IP限速”页签下,点击<添加>按钮,弹出新建IP限速对话框。
(3) 在“应用接口”配置项处,选择接口,设备将基于该接口进行带宽管理。
(4) 在“用户范围”配置项处,选择地址组,设备将仅对该地址组内的成员进行带宽管理。
(5) 在“流量限制”配置项处,分别配置如下参数。
¡ 当前线路上行带宽:请根据运营商提供的实际上行带宽配置当前线路上行带宽。
¡ 当前线路下行带宽:请根据运营商提供的实际下行带宽配置当前线路下行带宽。
¡ 上传带宽:指定地址组内的用户上传方向的最大带宽值。
¡ 下载带宽:指定地址组内的用户下载方向的最大带宽值。
¡ 流量分配方式:设置流量的分配方式,包括如下类型:
- 共享式:分配的带宽为总带宽,由所有用户平均分配。
- 独占式:分配的带宽为单用户的带宽,由单个用户独享。
¡ 在“弹性共享”配置项处,设置当用户实际流量带宽超过流量限制配置的带宽时,最大可以共享当前线路上下行带宽的百分比。流量分配选择共享式时,可根据需要配置该参数。。
¡ 在“限制时段”配置项处,设置IP限速的生效时间段。
(6) 点击<确定>按钮,完成新建IP限速。
对需要进行限速的应用流量(如占用大量带宽的P2P类应用)进行严格的带宽管理。
流量只有匹配“应用组”中配置的应用,限制通道功能才生效。
(1) 单击“限制通道”页签,进入限制通道配置页面。
(2) 勾选“启用限制通道流速上限”选项,开启带宽管理的限制通道功能。
(3) 分别配置应用流量的上下行最大流速。
(4) 勾选“选择应用组”选项,选择已存在的匹配流量的应用分组,或点击<新增应用组>按钮,添加新的匹配流量的应用分组,点击“查看”链接,可以查看系统中已经创建的全部应用组。
(5) 点击<应用>按钮,完成限制通道的配置。
· 请勿将绿色通道带宽设置过大,以免对普通流量产生影响。
· 只有匹配“应用组”中配置的应用或符合“绿色通道数据包长度选择”中配置的流量数据包最大长度限制,绿色通道功能才生效。
· 一般应用场景下,可以把游戏报文、交互报文等对时延要求较高的应用流量通过绿色通道转发,把BT等对系统转发影响较大的P2P流量通过限制通道转发。其余流量会自动通过正常通道转发。
· 数据包匹配的优先级顺序如下:
¡ 如果流量符合绿色通道的规则,则进入绿色通道进行处理。
¡ 如果不符合绿色通道但符合限制通道的规则,则进入限制通道进行处理。
¡ 如果绿色通道和限制通道的规则都不符合,则进入正常通道(IP流量限制通道)发送,受到IP限速规则的限制。
(1) 单击“绿色通道”页签,进入绿色通道配置页面。
(2) 勾选“启用绿色专用通道”选项,开启带宽管理的绿色通道功能,配置线路的上下行带宽。当带宽显示为未设置时,可通过点击“设置”链接进行设置。点击“设置”链接后,跳转到WAN配置页面。在线路列表中,点击指定线路对应的操作列编辑图标,进入修改WAN配置页面,设置网络上行带宽、网络下行带宽后,点击<确定>按钮完成设置。
(3) 勾选“限制绿色通道流速上限”选项,分别配置各线路的上下行最大流速,为交互性应用流量提供带宽保障。
(4) 勾选“匹配绿色通道数据包长度选择”选项,配置流量数据包的最大长度。
(5) 勾选“选择应用组”选项,选择已存在的匹配流量的应用分组,或点击<新增应用组>按钮,添加新的匹配流量的应用分组,点击“查看”链接,可以查看系统中已经创建的全部应用组。
(6) 点击<应用>按钮,完成绿色通道的配置。
上网行为管理功能基于地址组、时间组以及应用等控制条件对用户的上网行为进行精细的管理。
(1) 单击导航树中[上网行为管理/上网行为管理]菜单项,进入上网行为管理配置页面。
(2) 单击“应用控制”页签,进入应用控制配置页面。
(3) 勾选“开启应用控制”选项,点击<确定>按钮,开启应用控制功能。
(4) 点击<添加>按钮,进入新建应用控制策略页面,配置如下参数。
¡ 在“策略名称”配置项处,输入应用控制策略的名称。
¡ 在“用户范围”配置项处,设置应用控制策略适用的地址组。
¡ 在“限制时段”配置项处,设置应用控制策略的时间组。
¡ 在“应用控制”配置项处,点击“选择网络应用”右侧的详情图标,选择网络应用,并配置对该应用的访问控制动作,包括如下:
- 阻断:表示阻断用户对此应用的访问。
- 不阻断不限速:表示不限制用户对此应用的访问。
- 限速:表示对用户访问此应用进行限速,并可设置单个用户的最大上行带宽和最大下行带宽。
(5) 点击<确定>按钮,完成新建应用控制策略。
当管理员仅允许用户访问指定网址或禁止用户访问指定网址时,可通过配置网址控制功能实现。
(1) 开启网址黑名单模式后,设备会禁止指定的用户在指定的时间段内访问自定义网址分类中指定的网址;对于不在网址分类中的网址,则可以正常访问。
假设管理员创建一个网址黑名单,其网址分类的名称为网址组A,地址组的名称为用户组A。用户的匹配规则如下:
¡ 如果用户User1属于用户组A,则用户User1不允许访问网址组A中的网址;
¡ 如果用户User2不属于用户组A,则用户User2允许访问任何网址。
(2) 开启网址白名单模式后,设备只允许指定的用户在指定的时间段内访问自定义网址分类中指定的网址;对于不在网址分类中的网址,则无法访问。
假设管理员创建如下两个网址白名单:
¡ 白名单A:网址分类的名称为网址组A,地址组的名称为用户组A;
¡ 白名单B:网址分类的名称为网址组B,地址组的名称为用户组B。
用户的匹配规则如下:
¡ 如果用户User1同时属于用户组A和用户组B,则用户User1只允许访问网址组A和网址组B中的网址;
¡ 如果用户User2仅属于用户组A,则用户User2只允许访问网址组A中的网址;
¡ 如果用户User3既不属于用户组A也不属于用户组B,则用户User3不允许访问任何网址。
(3) 自定义网址支持导出功能,当使用IE浏览器进行导出时,如果出现无法启动Excel的错误提示,请参考如下步骤修改浏览器配置:
点击浏览器的<工具>按钮,选择“Internet选项”,进入Internet选项窗口;选择“安全”页签,点击<自定义级别>按钮,找到“对为标记为可安全执行脚本的ActiveX 控件初始化并执行脚本”一项,选择“启用”。
(4) 配置网址关键字时,如需精确匹配网址,则关键字不加通配符*,例如www.baidu.com;如需模糊匹配网址,则关键字添加通配符*,例如*.baidu.com、www.baidu*或*baidu*;如需配置所有网址,则关键字设置为*.*。
(1) 单击导航树中[上网行为管理/上网行为管理]菜单项,进入上网行为管理配置页面。
(2) 单击“网址控制”页签,进入网址控制配置页面。
(3) 根据需要勾选“关闭网址控制”、“网址黑名单模式”或“网址白名单模式”选项,勾选“网址黑名单模式”或“网址白名单模式”选项后,点击<确定>按钮,开启网址控制功能。
(4) 在“默认网址分类”下方的配置处,输入新建网址控制策略的网址分类名称。
(5) 在“所有用户”下方的配置处,选择网址控制策略适用的用户。
(6) 在“所有时间”下方的配置处,选择网址控制策略的生效时间。
(7) 点击右侧<+>按钮,新建一个空的网址分类成功。
(8) 为新建网址分类中添加网址:
¡ 点击新建网址分类对应的详情图标,弹出设置网址关键字对话框。在“网址关键字”输入框中,配置网址关键字,范围1-63个字符,可输入英文字母、数字,以及特殊字符(除/ \'"<>;&`:和空格以外),英文字母不区分大小写。关键字不加通配符*时,网址控制策略将根据关键字做精确匹配,例如www.baidu.com;关键字添加通配符*时,网址控制策略将根据关键字做模糊匹配,例如*.baidu.com、www.baidu*或*baidu*;关键字设置为*.*时,表示关键字匹配所有网址。点击右侧的<+>按钮,逐条添加网址。点击<确定>按钮,完成添加网址关键字。
¡ 点击新建网址分类对应的导入图标,弹出导入自定义网址列表对话框。点击<选择文件>按钮,选择需导入的自定义网址列表,点击<是>按钮,完成向新建的网址分类中导入网址。
文件控制功能仅能控制用户使用HTTP协议下载不同类型的文件。
(1) 单击导航树中[上网行为管理/上网行为管理]菜单项,进入上网行为管理配置页面。
(2) 单击“文件控制”页签,进入文件控制配置页面。
(3) 勾选“开启文件控制”选项,点击<确定>按钮,开启文件控制功能。
(4) 点击<添加>按钮,弹出添加禁止下载的文件类型对话框。
(5) 在“文件类型”配置项处,输入不允许下载文件的后缀名。
(6) 在“描述”配置项处,输入文件控制策略的描述信息。
(7) 点击<应用>按钮,完成添加文件控制策略。
· 管理员需要通过网络应用使用的报文特征来限制用户使用的网络应用时,可以添加自定义网络应用,并将其添加到应用控制策略中。
· 添加自定义网络应用后,需要在“应用控制”页签添加应用控制策略时,选择已添加的自定义网络应用,才能实现生效。
· 自定义网络应用被添加到应用控制策略后,自定义网络应用不允许删除。
(1) 单击“自定义网络应用”页签,进入自定义网络应用配置页面。
(2) 点击<添加>按钮,弹出添加自定义网络应用对话框。
(3) 在“应用名称”配置项处,输入自定义网络应用的名称。
(4) 在“描述信息”配置项处,输入自定义网络应用的描述信息。
(5) 在“协议类型”配置项处,选择协议类型和报文方向。支持的协议类型包括:TCP、UDP、HTTP、HTTPS和SSL。当协议类型为TCP、UDP时,报文特征为必填项;当协议类型为SSL时,目的端口和HOST为必填项。报文方向包括:客户端、服务器和任意,选择“任意”时,表示设备接收的所有报文。
(6) 在“目的端口”配置项处,输入自定义网络应用的目的端口号和报文长度。
(7) 根据报文结构自定义网络应用的报文特征,主要包括:
¡ 报文特征:自定义TCP、UDP协议报文中的特征。
¡ URL:自定义HTTP协议报文中URL信息的特征。
¡ HOST:自定义HTTP、HTTPS和SSL协议报文中HOST信息的特征。
¡ UserAgent:自定义HTTP协议报文中UserAgent信息的特征。
¡ Referer:自定义HTTP协议报文中Referer信息的特征。
¡ Body:自定义HTTP协议报文中Body信息的特征。
(8) 设置完成后,点击<→→>按钮,将设置的报文特征添加到右侧方框中。
(9) 根据需要重复上述步骤,继续添加新的报文特征到右侧方框中。
(10) 完成报文特征的添加后,点击<确定>按钮,完成添加自定义网络应用。
审计日志功能用于对上网行为管理中的应用控制和网址控制的日志进行审计,并将日志发送到指定的服务器上。
对上网行为管理中应用控制功能的日志进行审计。
在开启应用日志审计功能之前,需要先在上网行为管理中开启应用控制功能。
(1) 单击导航树中[上网行为管理/审计日志]菜单项,进入应用审计日志配置页面。
(2) 勾选“开启审计日志”选项,开启应用的日志审计功能。
(3) 点击<清除日志>按钮,在确认提示框中,点击<是>按钮,清除所有的应用审计日志。
(4) 点击<导出Excel>按钮,可将所有应用审计日志保存到Excel文件中。
对上网行为管理中网址控制功能的日志进行审计。
在开启网址过滤日志功能之前,需要先在上网行为管理中开启网址控制功能。
(1) 单击“网址过滤日志”页签,进入网址过滤日志配置页面。
(2) 勾选“开启网址过滤日志”选项,开启网址过滤的日志审计功能。
(3) 点击<清除日志>按钮,在确认提示框中,点击<是>按钮,清除所有的网址过滤日志。
(4) 点击<导出Excel>按钮,可将所有网址过滤日志保存到Excel文件中。
将审计日志发送到指定的服务器。
审计服务器的IP地址需要与当前路由器的IP地址互通。
(1) 单击“审计服务器”页签,进入审计服务器页面。
(2) 勾选“审计服务器地址”选项,开启发送审计日志到服务器的功能。
(3) 在“审计服务器地址”配置项处,输入接收审计日志的服务器的IP地址。
(4) 在“端口”配置项处,输入接收审计日志的服务器的端口号。
(5) 点击<应用>按钮,完成审计服务器的配置。
当网络管理员需要禁止不同部门(VLAN)之间互访时,可以通过配置防火墙功能来实现。配置步骤如下:
|
步骤 |
配置内容 |
详情 |
|
1 |
添加VLAN(必选) |
创建各个部门所使用的VLAN,具体配置方法请见参见配置VLAN。 |
|
2 |
添加防火墙策略(必选) |
开启防火墙,并根据实际情况添加防火墙策略,使得各个部门VLAN之间不能互访,具体配置方法参见防火墙。 |
防火墙功能是通过一系列的安全规则匹配网络中的报文,并执行相应的动作,从而达到阻断非法报文传输、正常转发合法报文的目的,为用户的网络提供一道安全屏障。
· 当报文匹配到一个防火墙安全规则后,则不会继续向下匹配,所以请合理安排安全规则的优先级,避免报文匹配错误的规则而导致执行相反动作。
· 当缺省过滤规则设置为允许时,用户不需要配置任何安全规则,接入当前设备的所有终端都可以相互访问,且可以访问外网。
· 当缺省过滤规则设置为允许时,如果用户需要限制指定终端的访问特定外网的权限,可根据需求配置指定的VLAN接口与WAN接口之间的安全规则;如果用户需要限制指定终端访问其它VLAN下终端的权限,可根据需求配置指定的VLAN接口到VLAN接口的安全规则。
· 当缺省过滤规则设置为禁止时,如果用户未配置任何安全规则,所有终端不能访问外网,不同VLAN下的终端不能相互访问。
· 当缺省过滤规则设置为禁止时,如果用户需要允许指定终端可以访问特定外网,则需要根据需求配置指定VLAN接口与WAN接口之间的安全规则,且必须配置双向规则,即出站方向和入站方向各一条。如果用户需要让指定终端能够访问其它VLAN下的终端,则需要配置指定本端VLAN接口与对端VLAN接口之间的安全规则,且必须配置双向规则。
· 请提前完成外网配置页面的相关配置,才可创建防火墙安全规则。
· 若需指定防火墙安全规则的生效时间和生效地址,请提前在时间组页面和地址组页面创建相应的时间组。
(1) 单击导航树中[网络安全/防火墙]菜单项,进入防火墙配置页面。
(2) 勾选“开启防火墙”选项,进入防火墙配置页面。
(3) 在“缺省过滤规则”配置项处,选择对未匹配任何安全规则报文的处理方式。若选择“允许”,则允许该报文通过防火墙;若选择“禁止”,则禁止该报文通过防火墙。点击“应用”按钮完成配置。
(4) 点击<添加>按钮,弹出创建安全规则对话框。
(5) 在“接口”配置项处,选择应用的接口,该规则将对指定接口接收到的报文进行匹配。
(6) 在“方向”配置项处,显示安全规则的方向,包括入站方向和出站方向。当“接口”配置项处选择为WAN接口时,安全规则的方向为入站方向,即控制从公网侧进入设备的流量;当“接口”配置项处选择为VLAN接口时,安全规则的方向为出站方向,即控制从内网侧进入设备的流量。
(7) 在“协议类型”配置项处,选择该规则所匹配报文的协议类型。若需匹配某传输层协议的报文,则选择“TCP”或“UDP”;若需匹配Ping、Tracert等ICMP协议报文,则选择“ICMP”;若需匹配所有协议报文,则选择“所有协议”。
(8) 在“源地址分组”配置项处,选择该规则所匹配的源地址分组。如需新增地址分组,可通过点击右侧“新增地址组”按钮创建新的地址组。
(9) 在“目的地址分组”配置项处,选择该规则所匹配的目的地址分组。如需新增地址分组,可通过点击右侧“新增地址组”按钮创建新的地址组。
(10) 在“目的端口范围”配置项处,配置该规则所匹配报文的目的端口号范围。
(11) 在“规则生效时间”配置项处,选择该规则生效时间对应的时间组。
(12) 在“动作”配置项处,选择该规则所匹配报文的执行动作。
¡ 允许:允许报文通过防火墙。
¡ 拒绝:禁止报文通过防火墙。
(13) 在“优先级”配置项处,选择该规则的优先级类型。
¡ 自动:系统自动为该规则分配优先级,即根据规则的配置顺序以5为步长进行依次分配。
¡ 自定义:用户自定义规则的优先级,数值越小则优先级越高。
(14) 在“描述”配置项处,配置该安全规则的描述信息。
(15) 点击<确定>按钮,完成创建安全规则。
连接限制功能是一种安全机制,通过限制每个IP地址主动发起连接的个数,达到合理分配设备处理资源、防范恶意连接的效果。
如果设备发现来自某IP地址的TCP或UDP连接数目超过指定的数目,将禁止该连接建立。直到该连接数低于限制数时,其才被允许新建连接。
设备支持配置如下两种连接限制:
· 网络连接限制:在指定IP地址范围内,配置每个IP地址发起连接的个数限制。此方式用于对设备上的所有接口收到的连接进行控制。
· VLAN网络连接限制:在指定VLAN接口上,配置每个IP地址发起连接的个数限制。此方式用于对指定VLAN接口收到的连接进行控制。
· 每条网络连接数限制规则,如果是IP地址范围,表示该地址段内的每个IP最多建立的网络连接数都将限制到设定的上限值。如果起始地址和结束地址相同,表示仅限制该IP的网络连接数。
· 限制规则表中可以加入多条网络连接数限制规则,配置规则时允许某几条中的IP地址重叠,但以先加入的规则优先级为高。也就是对于相同的IP地址,后加入的网络连接数限制设置不会覆盖先前的设置,仍以先前配置的连接数限制为准。
· 允许在限制规则表中对先前配置的规则进行删除、修改等操作。但修改不能改变规则的优先级,生效规则仍以规则要点 2 的约定为准。
· 网络连接限速仅限制内网IP向因特网发起的网络连接;下列情形不在限制范围内:向设备本身和内网其它IP发起的连接,以及由因特网向内网IP发起的连接。
· 总连接数=TCP连接数+UDP连接数+其他连接数,其他连接指除TCP和UDP连接之外的连接,如ICMP等。某IP可以建立新连接的条件是:此IP已经建立的连接数未达到设置的上限值。比如某IP需要建立一条TCP连接,则必须满足此IP已经建立的总连接数未达到总连接数上限,TCP连接数未达到TCP连接数上限,建立UDP连接和其他连接的条件跟TCP相同。
· TCP连接数设为0和留空的区别是:设置为0表示不允许建立TCP连接,留空表示不对TCP连接数进行单独限制,但仍需满足总连接数限制条件。UDP连接数情况类似。
· 每条VLAN网络连接限数规则,表示指定VLAN内最多建立的网络连接数都将被限制到设定的上限值。注意,这里设置的连接数上限指的是该VLAN内所有IP的连接数之和的上限,而非每IP各自的连接数上限
· 总连接数=TCP连接数+UDP连接数+其他连接数,其他连接指除TCP和UDP连接之外的连接,如ICMP等。某VLAN可以建立新连接的条件是:此VLAN内IP已经建立的连接数未达到设置的上限值。比如某VLAN内某个IP需要建立一条TCP连接,则必须满足此VLAN已经建立的总连接数未达到总连接数上限,TCP连接数未达到TCP连接数上限,建立UDP连接的条件跟建立TCP连接类似。
· VLAN网络连接限数仅限制VLAN内各IP向因特网发起的网络连接;下列情形不在限制范围内:向设备本身、同一个VLAN内不同IP之间发起的连接、不同VLAN内的IP相互发起的连接,以及由因特网向VLAN内的IP发起的连接。
· TCP连接数设为0和留空的区别是:设置为0表示不允许建立TCP连接,留空表示不对TCP连接数进行单独限制,但仍需满足总连接数限制条件。UDP连接数情况类似。
(1) 单击导航树中[网络安全/连接限制]菜单项,进入连接限制配置页面。
(2) 单击“网络连接限制数”页签,进入网络连接限制数配置页面。
(3) 勾选“开启网络连接限制数”选项,进入网络连接限制数配置页面。
(4) 点击<添加>按钮,弹出新建网络连接限制数规则对话框。
(5) 在“连接限制地址分组”配置项处,选择该规则所匹配的连接限制地址分组。如需新建地址分组,可通过点击右侧“新增地址组”按钮创建新的地址组。
(6) 在“每IP总连接数上限”配置项处,输入每个IP地址所允许发起连接的总个数上限。
相同源IP,源端口、目的IP、目的端口或报文协议不完全相同的连接均属于不同的连接。
(7) 在“每IP TCP连接数上限”配置项处,输入每个IP地址所允许发起的TCP连接的个数上限。您可以在上面设置的总连接限制数下,对TCP连接数进行单独限制。
(8) 在“每IP UDP连接数上限”配置项处,输入每个IP地址所允许发起的UDP连接的个数上限。您可以在上面设置的总连接限制数下,对UDP连接数进行单独限制。
(9) 在“描述”配置项处,输入规则描述信息。
(10) 点击<应用>按钮,完成配置。
(1) 单击导航树中[网络安全/连接限制]菜单项,进入连接限制配置页面。
(2) 单击“VLAN网络连接限制数”页签,进入VLAN网络连接限制数配置页面。
(3) 勾选“开启VLAN网络连接限制数”选项,进入VLAN网络连接限制数配置页面。
(4) 点击<添加>按钮,弹出新建VLAN网络连接限制数规则对话框。
(5) 在“VLAN接口”下拉菜单处,选择应用此规则的VLAN接口。
(6) 选择“启动连接限制功能”选项,启动连接限制功能。
(7) 在“总连接数上限”配置项处,输入VLAN接口所允许发起连接的总个数上限。。
相同源IP,源端口、目的IP、目的端口或报文协议不完全相同的连接均属于不同的连接。
(8) 在“TCP连接数上限”配置项处,输入VLAN接口所允许发起的TCP连接的个数上限。您可以在上面设置的总连接限制数下,对TCP连接数进行单独限制。
(9) 在“UDP连接数上限”配置项处,输入VLAN接口所允许发起的UDP连接的个数上限。您可以在上面设置的总连接限制数下,对UDP连接数进行单独限制。
(10) 在“描述”配置项处,输入规则描述信息。
(11) 点击<应用>按钮,完成配置。
如果您希望对某些设备发送过来的报文进行限制(允许或禁止其通过),则可以在VLAN接口上配置MAC地址过滤功能,在开启MAC地址过滤功能后,本功能将根据MAC黑白名单对接收报文的源MAC地址进行过滤。
过滤方式有如下两种:
· 白名单:仅允许在白名单内的源MAC地址访问外网,其余禁止访问。
· 黑名单:仅禁止在黑名单内的源MAC地址访问外网,其余允许访问。
· 如果需要在管理员终端连接的接口上开启MAC地址过滤功能,请先确保管理员的终端MAC地址已添加到白名单中或未添加到黑名单。
· MAC地址中的英文字符不区分大小写。
(1) 单击导航树中[网络安全/MAC地址过滤]菜单项,进入MAC地址过滤设置页面。
(2) 单击“MAC过滤设置”页签,进入MAC过滤设置页面。
(3) 勾选“开启MAC地址过滤”选项,开启MAC地址过滤功能。
(4) 在指定接口的“过滤方式”列中选择“白名单”或“黑名单”选项,并在“开启和关闭”列中勾选“开启”选项。
(5) 点击<应用>按钮,开启MAC地址过滤。
单个添加黑白名单的方法相同,下面以白名单为例介绍配置步骤。
(1) 单击导航树中[网络安全/MAC地址过滤]菜单项,进入MAC地址过滤设置页面。
(2) 单击“MAC黑白名单管理”页签,进入MAC黑白名单管理页面。
(3) 单击“白名单”页签,进入白名单设置页面。
(4) 如果需要添加单个MAC地址,请执行以下步骤:
a. 点击<添加>按钮,弹出添加源MAC地址对话框。
b. 在“MAC地址”配置项处,输入待过滤的源MAC地址。
c. 在“描述”配置项处,输入待过滤源MAC地址的描述信息。
d. 点击<确定>按钮,完成对白名单添加单个MAC地址的操作。
(5) 如果需要批量添加MAC地址,请执行以下步骤:
a. 点击<导出>按钮,选择“导出模板”菜单项。
b. 打开下载好的模板,添加待过滤的源MAC地址并在本地保存。
c. 点击<导入>按钮,弹出导入源MAC地址对话框。
d. 点击<浏览>按钮,弹出选择要加载的文件对话框。
e. 选中已编辑好的模板,点击<打开>按钮。
f. 点击<确定>按钮,完成对白名单批量添加MAC地址的操作。
(6) 如果需要从ARP表项导入MAC地址,请执行以下步骤:
a. 点击<从ARP表项导入>按钮,弹出导入ARP MAC表对话框。
b. 勾选需要导入的MAC地址。
c. 点击<导入>按钮,弹出确认提示对话框。
d. 点击<是>按钮,完成对白名单从ARP表项导入MAC地址的操作。
ARP协议本身存在缺陷,攻击者可以轻易地利用ARP协议的缺陷对其进行攻击。ARP攻击防御技术提供了多种ARP攻击防御技术对局域网中的ARP攻击和ARP病毒进行防范、检测和解决。
ARP安全功能包括:
· ARP学习管理:本功能支持开启和关闭接口的动态ARP表项学习功能,当执行关闭接口的动态ARP表项学习功能后,该接口无法再学习新的动态ARP表项,提高了安全性。当设备的某个接口已经学到了该接口下所有合法用户的ARP表项时,建议关闭动态ARP表项学习功能。
· 动态ARP管理:包括动态ARP表项管理功能和ARP扫描、固化功能。ARP扫描、固化功能即对局域网内的用户进行自动扫描,并将生成的动态ARP表项固化为静态ARP表项。建议环境稳定的小型网络(如网吧)中配置本功能。先配置ARP扫描、固化功能,再关闭动态ARP表项学习功能,可以防止设备学习到错误的ARP表项。
· 静态ARP管理:包括动态ARP表项管理、刷新、添加和导入导出功能。其中,刷新功能是指刷新静态ARP表项列表;添加功能是指手动新增静态ARP表项;导入功能是指从文件中批量获取静态ARP表项;导出功能是指将现有的静态ARP表项导出到本地文件中。
· ARP防护:包括ARP报文合法性检查和免费ARP功能。ARP报文合法性检查是通过设置规则验证ARP报文的合法性。免费ARP报文是一种特殊的ARP报文,该报文中携带的发送端IP地址和目标IP地址都是本机IP地址,报文源MAC地址是本机MAC地址,报文的目的MAC地址是广播地址。设备通过对外发送免费ARP报文来实现以下功能:
¡ 确定其它设备的IP地址是否与本机的IP地址冲突。当其它设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址相同,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。
¡ 设备改变了硬件地址,通过发送免费ARP报文通知其它设备更新ARP表项。
· ARP检测:探测到指定接口下所有在线设备,同时还能检查这些设备的信息是否和已存在ARP表项冲突。根据搜索结果,可以进行ARP绑定操作。
(1) 单击导航树中[网络安全/ARP安全]菜单项,进入ARP安全配置页面。
(2) 单击“ARP学习管理”页签,进入ARP学习管理配置页面。
(3) 在指定接口的“ARP学习管理”列,设置是否允许接口学习动态ARP表项:
¡ 点击按钮,将其设置为开启,则该接口允许学习动态ARP表项;
¡ 点击按钮,将其设置为关闭,则该接口不允许学习动态ARP表项。
(1) 单击导航树中[网络安全/ARP安全]菜单项,进入ARP安全配置页面。
(2) 单击“动态ARP管理”页签,进入动态ARP表项管理配置页面。
(3) 可对已有的动态ARP表项执行以下管理操作:
¡ 点击<刷新>按钮,则可以刷新当前动态ARP表项的显示信息。
¡ 选择指定的动态ARP表项,点击<删除>按钮,再点击<确定>按钮后,可以删除对应的动态ARP表项。
¡ 点击<扫描>按钮,弹出扫描配置对话框。
a. 在“接口”配置项处,选择需要执行ARP扫描操作的接口。
b. 在“开始IP地址”和“结束IP地址”配置项处,设置ARP扫描操作的起止IP地址。此处指定起止IP地址需要和接口的IP地址处于同一网段。
c. 点击<确定>按钮,完成扫描地址段的添加。
d. 选择指定的动态ARP表项,再点击<固化>按钮,则可以将这些动态ARP表项固化为静态ARP表项。
(1) 单击导航树中[网络安全/ARP安全]菜单项,进入ARP安全配置页面。
(2) 单击“静态ARP管理”页签,进入静态ARP管理页面。
(3) 如果需要添加单个静态ARP表项,请执行以下步骤:
(4) 点击<添加>按钮,弹出添加ARP表项对话框。
a. 在“IP地址”配置项处,输入静态ARP表项的IP地址。
b. 在“MAC地址”配置项处,输入静态ARP表项的MAC地址。
c. 在“描述”配置项处,输入ARP表项的描述信息。
d. 点击<确定>按钮,完成静态ARP表项的添加。
(5) 如果需要批量添加静态ARP表项,请执行以下步骤:
a. 点击<导出>按钮,下载导出模板。
b. 打开下载好的模板,添加静态ARP表项并在本地保存。
c. 点击<导入>按钮,弹出导入ARP表项对话框。
d. 点击<选择文件>按钮,选择已编辑好的模板。
e. 点击<确定>按钮,完成静态ARP表项的批量添加。
· 设备发送免费ARP可以防止LAN或WAN侧的主机受到ARP攻击和欺骗。设置免费ARP发送时间间隔越小,主机防止ARP攻击能力越强,但是占用网络资源越大,请合理设置免费ARP报文发送时间间隔。
· 由于有些设备(如交换机)可能会对ARP报文进行限制,过多的ARP报文可能会被判定为攻击,请确定是否开启主动发送免费ARP的功能,并进行合理的参数设置。
· 路由器支持定时发送免费ARP功能,这样可以及时通知其它设备更新ARP表项或者MAC地址表项,以防止仿冒网关的ARP攻击、防止主机ARP表项老化等。
(1) 单击导航树中[网络安全/ARP安全]菜单项,进入ARP安全配置页面。
(2) 单击“ARP防护”页签,进入ARP防护配置页面。
(3) 在“ARP报文合法性检查”区段,可进行如下设置:
¡ 勾选“丢弃发送端MAC地址不合法的ARP报文(LAN口默认丢弃不合法的ARP报文)”选项,当设备接收的ARP报文中的源MAC地址为全零、组播、广播MAC地址时,则不学习该ARP报文,直接将该报文丢弃。
¡ 勾选“丢弃报文头中源MAC地址和报文中发送端MAC地址不一致的ARP报文”选项,当设备接收的ARP报文中的源MAC地址与该报文的二层源MAC地址不一致时,则不学习该ARP报文,直接将该报文丢弃。
¡ 勾选“ARP报文学习抑制”选项,当设备发出一个ARP请求报文,收到了多个不同的ARP响应报文时,设备仅学习最先收到的ARP响应报文。
(4) 在“免费ARP”区段,可进行如下设置:
¡ 勾选“检测到ARP欺骗时,发送免费ARP报文”选项,当设备检测到ARP欺骗时(比如源IP地址为设备接口IP地址但源MAC地址不是设备接口MAC地址的ARP报文),则会主动发送免费ARP报文。
¡ 勾选“LAN内主动发送免费ARP报文”选项,并在“发送间隔”配置项处,输入免费ARP报文的发送间隔。
¡ 勾选“WAN口主动发送免费ARP报文”选项,并在“发送间隔”配置项处,输入免费ARP报文的发送间隔。
(5) 点击<应用>按钮,完成配置。
(1) 单击导航树中[网络安全/ARP安全]菜单项,进入ARP安全配置页面。
(2) 单击“ARP检测”页签,进入ARP检测配置页面。
(3) 在“扫描接口”配置项处,选择扫描的接口。
(4) 在“扫描地址范围”配置项处,选择扫描的起始IP地址和结束IP地址。
(5) 点击<扫描>按钮,开始进行扫描检测。检测结果将会在列表中显示,其中黑色条目表示表项绑定,蓝色条目表示表项未绑定,红色条目表示错误表项。检测结果中ARP表项的状态分为:
¡ 静态表项:表示该条表项为手动配置的或自动绑定的ARP表项。
¡ 动态表项:表示该条表项为动态学习到的并且没有被自动绑定的ARP表项。
¡ 错误表项:表示存在ARP冲突表项。
(6) 点击<清除>按钮,可以清除当前的检测结果。
DDoS攻击是一类广泛存在于互联网中的攻击,能造成比传统DoS攻击(拒绝服务攻击)更大的危害,能让设备对来自外网和内网的常见攻击类型进行防护,丢弃攻击报文。同时,设备可以对相应的攻击事件以日志形式记录下来。
· 攻击防御:本功能能够让设备和网络免受如下DDOS攻击的困扰:
¡ 单包攻击:攻击者利用畸形报文发起攻击,旨在瘫痪目标系统。例如Land攻击报文是源IP和目的IP均为攻击目标IP的TCP报文,此攻击将耗尽目标服务器的连接资源,使其无法处理正常业务。
¡ 异常流攻击:攻击者向目标系统发送大量伪造请求,导致目标系统疲于应对无用信息,从而无法为合法用户提供正常服务。
¡ 扫描攻击:攻击者对主机地址和端口进行扫描,探测目标网络拓扑以及开放的服务端口,为进一步侵入目标系统做准备。
· 攻击防御统计:本功能可以分别显示单包攻击防御和异常流量攻击防御的统计信息,可以导出Excel保存。
· 报文源认证:本功能是指设备对收到的内网报文的源IP/MAC进行认证,确认对端是否是一个合法的主机,以防止内网中可能存在的非法报文攻击,避免这些非法报文对设备资源和网络资源的消耗,提高整体网络的稳定性。
· 异常流量防护:本功能是指对内网异常大流量的主机进行控制,以防止该异常主机过度占用带宽和消耗系统性能。其中有三种防护等级,您可以根据你的实际网络状况选择较合适的级别进行防护。为了防止非法伪装报文流量被统计到合法主机流量中,建议尽量开启报文源认证页面的相关认证功能。
· 开启日志记录功能将会降低部分系统抗攻击能力,建议不必要的情况下不用开启该功能。
· DDOS攻击防御功能无法从WAN侧防御L2TP隧道封装的流量。
· 对于PPPoE连接的WAN口,无法配置单包攻击防御中的“Smurf攻击防御”。
(1) 单击导航树中[网络安全/DDOS攻击防御]菜单项,进入DDOS攻击防御配置页面。
(2) 单击“攻击防御”页签,进入攻击防御配置页面。
(3) 勾选“开启DDOS攻击防御”选项,开启DDOS攻击防御功能。
(4) 点击<添加>按钮,弹出新建攻击防御对话框。
(5) 在“应用接口”配置项处,选择应用该DDOS攻击防御策略的接口。
(6) 在“单包攻击防御”配置项处,选择需要开启防御的单包攻击类型。建议开启全部单包攻击防御。
¡ Fraggle攻击防御:启用该项后,设备可以有效防止Fraggle攻击。该攻击表现为攻击者向子网广播地址发送源地址为受害网络或者受害主机的UDP报文。子网内的每一个主机都会向受害网络或者主机发送响应报文,从而导致网络阻塞或者主机崩溃。
¡ Land攻击防御:启用该项后,设备可以有效防止Land攻击。该攻击表现为攻击者向目标发送带有SYN标志的TCP报文,并且这些报文的源地址和目的地址都设为被攻击目标的IP地址,当被攻击目标机收到这样的报文后,开始重复的进行内部应答风暴,消耗大量的CPU资源。
¡ WinNuke攻击防御:启用该项后,设备可以有效防止WinNuke攻击。该攻击表现为攻击者利用NetBIOS协议中OOB(Out of Band)漏洞对目标进行攻击,可造成部分主机死机或蓝屏。
¡ TCP flag攻击防御:启用该项后,设备可以有效防止TCP flag攻击。该攻击表现为攻击者发送带有非常规TCP标志的报文探测目标主机的操作系统类型,若操作系统对这类报文处理不当,攻击者便可达到使目标主机系统崩溃的目的。
¡ ICMP不可达报文攻击防御:启用该项后,设备可以有效防止ICMP不可达报文攻击。该攻击表现为攻击者向目标发送ICMP不可达报文,达到切断目标主机网络连接的目的。
¡ ICMP重定向报文攻击防御:启用该项后,设备可以有效防止ICMP重定向报文攻击。该攻击表现为攻击者向目标发送ICMP重定向报文,更改目标的路由表,干扰目标正常的IP报文转发。
¡ Smurf攻击防御:启用该项后,设备可以有效防止Smurf攻击。该攻击与Fraggle攻击类似,表现为攻击者向一个网段广播一个ICMP回显请求(ICMP ECHO REQUEST)报文,而源地址为被攻击主机,当网段中的所有主机收到回显请求后,都会向被攻击主机响应ICMP ECHO REPLY报文,造成攻击目标网络阻塞或者系统崩溃。
¡ 带源路由选项的IP攻击防御:启用该项后,设备可以有效防止带源路由选项的IP攻击。该攻击表现为攻击者向目标发送带源路由选项的IP报文,达到探测网络结构的目的。
¡ 带路由记录选项的IP攻击防御:启用该项后,设备可以有效防止带路由记录选项的IP攻击。该攻击表现为攻击者向目标发送带路由记录选项的IP报文,达到探测网络结构的目的。
¡ 超大ICMP攻击防御:启用该项后,设备可以有效防止超大ICMP攻击。该攻击表现为攻击者向目标发送超大ICMP报文,使目标主机崩溃。
¡ 防止IP Spoofing:启用该项后,设备可以有效防止IP Spoofing攻击。该攻击表现为攻击者使用相同的IP地址假冒网络上的合法主机,并访问关键信息。通常会伪装成LAN内的IP。
¡ 防止TearDrop:启用该项后,设备可以有效防止TearDrop攻击,缺省启用该项,无法取消。该攻击表现为攻击者向目标发送相互重叠的分片报文,目标主机处理这种分片时可能导致系统崩溃。
¡ 防止碎片包:启用该项后,设备可以有效防止碎片包攻击,缺省启用该项,无法取消。该攻击表现为攻击者向目标主机发送部分分片报文,而不发送所有的分片报文,这样目标主机会一直等待,直到计时器超时。如果攻击者发送了大量的分片报文,就会耗尽目标主机的资源,导致其不能响应正常的IP报文。
(7) 在“异常流攻击防御”配置项处,选择需要开启防御的异常流攻击类型。
¡ SYN Flood攻击防御:启用该项后,设备可以有效防止SYN Flood攻击。该攻击表现为攻击者向目标发送大量的SYN报文,消耗目标的连接资源,使目标系统无法再接受新连接。
¡ UDP Flood攻击防御:启用该项后,设备可以有效防止UDP Flood攻击。该攻击表现为攻击者向目标发送大量的UDP报文,导致目标主机忙于处理这些UDP报文而无法继续处理正常的报文。
¡ ICMP Flood攻击防御:启用该项后,设备可以有效防止ICMP Flood攻击。该攻击表现为攻击者向目标发送大量的ICMP报文,导致目标主机忙于处理这些ICMP报文而无法继续处理正常的报文。
(8) 在“扫描攻击防御”区段下,选择需要开启防御的扫描攻击类型。
¡ WAN口ping扫描:启用该项后,设备不回应来自Internet的Ping请求,可以防止Internet上恶意的Ping探测。
¡ UDP扫描:启用该项后,设备可以有效防止UDP扫描攻击。该攻击表现为攻击者向目标端口发送UDP报文,探测端口的开放情况。
¡ TCP SYN扫描:启用该项后,设备可以有效防止TCP SYN扫描攻击。该攻击表现为攻击者像建立正常的TCP连接一样向目标端口发送SYN报文,然后等待目标主机的回应,借此探测端口的开放情况。
¡ TCP NULL扫描:启用该项后,设备可以有效防止TCP NULL扫描。该攻击表现为攻击者向目标端口发送所有标志都不置位的TCP报文,然后等待目标主机的回应,借此探测端口的开放情况。
¡ TCP Stealth FIN扫描:启用该项后,设备可以有效防止TCP Stealth FIN扫描。该攻击表现为攻击者向目标端口发送只有FIN标志置位的TCP报文,然后等待目标主机的回应,借此探测端口的开放情况。
¡ TCP Xmas Tree扫描:启用该项后,设备可以有效防止TCP Xmas Tree扫描。该攻击表现为攻击者向目标端口发送FIN、URG和PUSH标志置位的TCP报文,然后等待目标主机的回应,借此探测端口的开放情况。
(9) 点击<确定>按钮,完成配置。
(1) 单击导航树中[网络安全/DDOS攻击防御]菜单项,进入DDOS攻击防御配置页面。
(2) 单击“攻击防御统计”页签,进入攻击防御统计页面。
(3) 勾选“单包攻击防御”选项,列表将会显示单包攻击防御的统计信息。
(4) 勾选“异常流量攻击防御”选项,列表将会显示异常流量攻击防御的统计信息。
(5) 点击<导出Excel>按钮,将攻击防御的统计信息导出到Excel中保存。
(1) 单击导航树中[网络安全/DDOS攻击防御]菜单项,进入DDOS攻击防御配置页面。
(2) 单击“报文源认证”页签,进入报文源认证配置页面。
(3) 根据需要可设置如下参数:
¡ 启用基于静态路由的报文源认证功能:启用该项后,设备允许源IP与LAN接口同一网段或通过出接口为LAN口的静态路由表反向可达的内网路由器过来的流量通过,其它网段过来的数据包将被设备丢弃。
¡ 启用基于ARP绑定、DHCP攻击防护报文源认证功能:启用该项后,设备将根据ARP绑定表中的静态绑定关系以及DHCP分配列表中的对应关系,来认证内网过来的数据包。如果数据包的源IP/MAC与ARP绑定表中的IP/MAC对应关系存在冲突,则该数据包将被设备丢弃。
¡ 启用基于动态ARP的报文源认证功能:启用该项后,设备将会对内网数据包的源IP/MAC进行智能认证,确认对端是否是存在的合法的主机,如果数据包的源IP/MAC与已确认的合法主机的IP/MAC冲突,则该数据包将被设备丢弃。如果网络中存在相同MAC对应不同IP的应用,请将对应的IP/MAC进行静态ARP绑定,否则可能影响正常业务访问。
(4) 点击<应用>按钮,完成配置。
(1) 单击导航树中[网络安全/DDOS攻击防御]菜单项,进入DDOS攻击防御配置页面。
(2) 单击“异常流量防护”页签,进入异常流量防护配置页面。
(3) 勾选“启用异常主机流量防护功能”选项,并设置异常流量阈值。
(4) 根据需要选择如下防护级别:
¡ 高:防护等级最高。高防护等级下,设备会进行异常主机流量检测,并且自动把检测到的攻击主机添加到黑名单中,在指定的生效时间范围内,禁止其访问本设备和Internet,以尽量减少该异常主机对网络造成的影响。
¡ 中:防护等级居中。中防护等级下,设备会把单个内网主机的上行流量限制在异常流量阈值范围内,超过阈值的流量将被设备丢弃。
¡ 低:防护等级低。低防护等级下,设备仅记录异常流量日志,仍然允许相应主机访问设备和Internet。
(5) 点击<应用>按钮,完成配置。
安全统计功能用于对设备接收到的非法或者可疑数据包进行统计,以方便查看网络环境是否存在欺骗或攻击行为。本功能支持统计如下类型的数据包:
· 报文源认证失败:表示由LAN网络中的非法主机发送的数据包。如需统计此类数据包,需先启用报文源认证的相关功能。
· LAN侧可疑:表示由LAN网络中无法确定真实性的主机的发送数据包。
· WAN侧非法:表示由Intetnet侧主动向设备WAN口发送的非法数据包。
(1) 单击导航树中[网络安全/安全统计]菜单项,进入安全统计配置页面。
(2) 勾选“开启安全统计”选项,列表中将会显示安全统计信息。
(3) 点击数据包类型对应的操作列<清除>按钮,清除该数据包类型的统计信息。
(4) 在弹出的确认提示对话框中,点击<是>按钮,完成清除操作。
黑名单管理功能用于查看和解除已添加的黑名单用户。
(1) 单击导航树中[网络安全/黑名单管理]菜单项,进入黑名单管理页面。
(2) 在列表中点击黑名单用户对应的动作列图标,可将用户从黑名单中删除。
终端接入控制功能可以同时对数据报文中的源MAC地址和源IP地址进行匹配,只有源MAC地址和源IP地址同时匹配的设备,才允许访问外网。
(1) 单击导航树中[网络安全/终端接入控制]菜单项,进入终端接入控制配置页面。
(2) 根据需要设置规则,具体如下:
¡ 仅允许DHCP服务器分配的客户端访问外网:用户可以指定仅允许DHCP服务器分配的客户端访问外网,使用此功能后不在DHCP Server分配的客户列表中的客户端将无法访问外网。因此需要注意,在使能该功能后如果出现无法访问外网,请将管理PC设置为DHCP方式获取IP地址。
¡ 仅允许ARP静态绑定的用户访问外网:用户可以指定仅允许ARP静态绑定规则表中的客户端访问外网,使用此功能后不在ARP静态绑定规则表中的客户端将无法访问外网。因此需要注意,在使能该功能前需要把管理PC的IP或者MAC加入到ARP静态绑定规则表中,否则启用该功能后,管理PC将无法访问外网。
(3) 点击<应用>按钮,完成配置。
当网络管理员需要对接入设备的用户身份进行验证时,可以通过配置Portal认证功能来实现,可根据如下步骤配置。
|
步骤 |
配置内容 |
详情 |
|
1 |
在云平台中绑定路由器(必选) |
在云平台中绑定路由器的方法,具体配置方法请见参见《H3C ER G3系列路由器如何连接云平台配置举例》。 |
|
2 |
设置认证配置(必选) |
在云平台中设置认证配置,具体配置方法请见参见《H3C云简网络部署手册》。 |
|
3 |
启用云认证功能(必选) |
对指定的VLAN开启云认证功能,具体配置方法请见参见配置云认证。 |
|
4 |
配置免认证(可选) |
根据需要对无需认证主机配置免认证,可选择基于IP地址或MAC地址进行免认证。具体配置方法请参见配置免认证MAC地址或配置免认证IP地址。 |
Portal是互联网接入的一种认证方式,通过对用户进行身份认证,以达到对用户访问进行控制的目的。本设备的Portal认证方式为云端认证方式,采用云端服务器来同时承担Portal认证服务器和Portal Web服务器的职责。
您可以为不需要通过Portal认证即可访问网络资源的用户设置免认证规则,免认证规则的匹配项包括MAC地址、IP地址。
开启云认证之前,需要先完成云管理平台(H3C云平台)上的认证模板的配置,并开启云服务。
有关云服务的配置,请在“系统工具>远程管理”中的“云服务”页签中配置。
(1) 单击导航树中[认证管理/Portal认证]菜单项,进入Portal认证配置页面。
(2) 单击“云认证”页签,进入认证设置页面。
(3) 在列表中的“开启和关闭”列的“开启/关闭”按钮,设置是否对接口下的Portal用户开启云认证功能。
(1) 单击导航树中[认证管理/Portal认证]菜单项,进入Portal认证配置页面。
(2) 单击“免认证MAC地址”页签,进入免认证MAC地址配置页面。
(3) 点击<添加>按钮,弹出添加免认证MAC地址对话框。
(4) 在“MAC地址”配置项处,输入免认证MAC地址。
(5) 在“描述”配置项处,输入与本配置相关的描述。
(6) 点击<确定>按钮,完成配置。
在添加免认证IP地址时,免认证源IP地址分组或免认证目的地址分组不能为空。当系统不存在地址分组时,需要先新增地址组。
(1) 单击导航树中[认证管理/Portal认证]菜单项,进入Portal认证配置页面。
(2) 单击“免认证IP地址”页签,进入免认证IP地址配置页面。
(3) 点击<添加>按钮,弹出添加免认证IP地址对话框。
(4) 在“地址添加方式”配置项处,选择免认证IP地址的方式。
¡ 若选择“源IP地址组”选项,则需在“免认证源地址分组”配置项处,选择已存在的免认证源地址分组,或点击<新增地址组>按钮,添加新的免认证源地址组。点击“查看”链接,可以查看系统中已经创建的全部地址分组。
¡ 若选择“目的IP地址组”选项,则需在“免认证目的地址分组”配置项处,选择已存在的免认证目的地址分组,或点击<新增地址组>按钮,添加新免认证目的地址组。
¡ 选择“域名”选项,则需在“域名”配置项处,输入免认证的域名。
(5) 点击<确定>按钮,完成配置。
建立IPsec VPN时,需要对两端设备进行配置。配置步骤如下:
|
步骤 |
配置内容 |
详情 |
|
1 |
完成LAN的基本配置(可选) |
根据需要修改VLAN1的IP地址或创建新的VLAN,具体配置方法请见参见配置VLAN。 |
|
2 |
完成WAN的基本配置(必选) |
将WAN接口连接Internet,完成WAN配置,具体配置方法请见参见WAN配置。 |
|
3 |
添加IPsec策略(必选) |
根据实际需要添加IPsec策略,具体配置方法请见参见配置IPsec分支节点或配置IPsec中心节点。 |
建立L2TP VPN时,需要对两端设备进行配置。一端配置为L2TP服务器,另一端配置为L2TP客户端,配置步骤如下:
|
步骤 |
配置内容 |
详情 |
|
1 |
完成WAN的基本配置(必选) |
将WAN接口连接Internet,完成WAN配置,具体配置方法请见参见WAN配置。 |
|
2 |
启用并配置L2TP服务器端(必选) |
启用L2TP服务器,并根据实际需要新建L2TP组和添加L2TP用户,具体配置方法请见参见L2TP服务器的L2TP配置或L2TP用户。 |
|
3 |
启用并配置L2TP客户端(必选) |
启用L2TP客户端,并根据实际需要新建L2TP组,具体配置方法请见参见L2TP客户端的L2TP配置。 |
IPsec VPN是利用IPsec技术建立的虚拟专用网。IPsec通过在特定通信方之间建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。
IPsec协议为IP层上的网络数据安全提供了一整套安全体系结构,包括安全协议AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安全载荷)、IKE(Internet Key Exchange,互联网密钥交换)以及用于网络认证及加密的一些算法等。其中,AH协议和ESP协议用于提供安全服务,IKE协议用于密钥交换。
设备支持两种IPsec VPN组网方式:
· “中心—分支”方式组网:企业分支机构网关将主动与总部网关建立IPsec隧道,分支机构内部终端可以安全访问总部的网络资源。
· “分支—分支”方式组网:企业各分支网关之间均可主动建立IPsec隧道,来保护分支之间的数据通信。
“分支—分支”方式组网环境中的设备之间均可主动建立IPsec隧道。
(1) 单击导航树中[虚拟专网(VPN)/IPsec VPN]菜单项,进入IPsec VPN配置页面。
(2) 单击“IPsec策略”页签,进入IPsec策略配置页面。
(3) 点击<添加>按钮,弹出添加IPsec策略对话框。
(4) 在“名称”配置项处,输入IPsec策略的名称。
(5) 在“接口”配置项处,选择应用IPsec策略的接口。请注意,此接口需要与对端设备路由可达。
(6) 在“组网方式”配置项处,选择“分支节点”选项。
(7) 在“对端网关地址”配置项处,输入IPsec隧道对端的IP地址或域名。通常为总部网关或对端分支机构网关的WAN口地址。
(8) 在“认证方式”配置项处,选择IPsec隧道的认证方式。此参数目前仅支持预共享密钥。
(9) 在“预共享密钥”配置项处,输入与对端设备相同的预共享密钥。该密钥需要提前进行协商和通告。
(10) 在“保护流措施”配置项处,进行如下配置:
a. 在“受保护协议”配置项处,选择受IPsec隧道保护的报文的协议类型。
b. 在“本端受保护网段/掩码”配置项处,输入本端受保护网段。
c. 在“本端受保护端口”配置项处,输入本端受保护端口。仅当受保护协议选择为TCP或UDP时支持配置。
由本端受保护网段内主机的受保护端口发送的报文将被设备进行IPsec隧道封装处理。
d. 在“对端受保护网段/掩码”配置项处,输入对端受保护网段。
e. 在“对端受保护端口”配置项处,输入对端受保护端口。仅当受保护协议选择为TCP或UDP时支持配置。
由对端受保护网段内主机的受保护端口发送的报文才可以被设备进行IPsec隧道解封装处理。
f. 根据需要可以在“操作”配置项处,添加多条保护流。
如您需要改变设备的缺省IKE配置,可按如下方式进行配置。
(1) 按上述方式完成IPsec基本配置。
(2) 点击<显示高级配置>链接,弹出高级配置对话框。
(3) 单击“IKE配置”页签,进入IKE配置页面。
(4) 在“IKE版本”配置项处,选择IKE版本。
(5) 在“协商模式”配置项处,选择IKE协商模式:
¡ 主模式:协商步骤多,身份验证位于密钥交互过程之后进行,适用于对身份保护要求较高的场合。
¡ 野蛮模式:协商步骤少,身份验证与密钥交互同时进行,适用于对身份保护要求不高的场合。
当IKE版本为V1时,可配置此参数。若设备公网IP地址是动态分配的,建议您选择IKE协商模式为野蛮模式。
(6) 在“本端身份类型”配置项处,配置用于IKE认证的本端设备身份类型和身份标识。身份类型可选择IP地址、FQDN名称或user FQDN名称。需要注意的是,此项必须与对端设备上执行步骤(7)配置的对端身份类型和身份标识一致。
如果您执行步骤(5)选择的IKE协商模式为主模式,您需要将本端设备身份类型配置为IP地址。
(7) 在“对端身份类型”配置项处,配置用于IKE认证的对端设备身份类型和身份标识。身份类型可选择IP地址、FQDN名称或user FQDN名称。需要注意的是,此项必须与对端设备上执行步骤(6)配置的本端身份类型和身份标识一致。
(8) 在“对等体存活检测(DPD)”配置项处,选择是否开启对等体存活检测功能。该功能可用于检测对端是否存活,设备将拆除对端失活的IPsec隧道。建议您开启此功能,使设备能够及时获悉IPsec隧道的可用情况。
(9) 在“算法组合”配置项处,选择IKE协议交互所需的加密和认证算法。如果选择“推荐”选项,需要选择推荐的算法组合;如果选择“自定义”选项,需要设置自定义的认证算法、加密算法和PFS算法。
IPsec隧道的两端所配置的认证算法、加密算法和PFS算法必须一致。
(10) 在“SA生存时间”配置项处,输入IKE重新协商的时间间隔,超过所配时间将触发IKE相关参数的重新协商。建议SA生存时间设置不低于600秒。
如您需要改变设备的缺省IPsec高级配置,可按如下方式进行配置。
(1) 按上述方式完成IPsec基本配置。
(2) 单击“IPsec配置”页签,进入IPsec配置页面。
(3) 在“算法组合”配置项处,选择IPsec协议交互使用的安全协议以及相应的加密和认证算法。如果选择“推荐”选项,需要选择推荐的算法组合;如果选择“自定义”选项,需要设置自定义的安全协议、ESP认证算法和ESP加密算法。
IPsec隧道的两端所配置的安全协议、认证算法、加密算法、封装模式和PFS算法必须一致。
(4) 在“封装模式”配置项处,选择IPsec隧道的封装模式。
若IPsec本端受保护网段与对端受保护网段均为私网网段,建议您选择封装模式为隧道模式。
IPsec隧道的两端所配置的封装模式必须一致。
(5) 在“PFS”配置项处,选择IPsec隧道的PFS算法。
IPsec隧道的两端所配置的PFS算法必须一致。
(6) 在“基于时间的SA生存时间”配置项处,输入触发IPsec重新协商的时间间隔,超过所配时间将触发IPsec相关参数的重新协商。
(7) 在“基于流量的生存时间”配置项处,输入触发IPsec重新协商的流量大小,超过所配流量将触发IPsec相关参数的重新协商。
(8) 在“触发模式”配置项处,选择触发IPsec重新协商的模式。
(9) 点击<返回基本配置>按钮,返回添加IPsec策略页面。
(10) 点击<确定>按钮,完成配置。
“中心—分支”方式组网环境中的分支节点设备需要主动建立IPsec隧道与中心节点通信。
当设备作为中心节点,一个接口下只能配置一条中心节点策略。在添加IPsec中心节点策略选择接口时,需选择未创建过中心节点策略的接口。
(1) 单击导航树中[虚拟专网(VPN)/IPsec VPN]菜单项,进入IPsec VPN配置页面。
(2) 单击“IPsec策略”页签,进入IPsec策略配置页面。
(3) 点击<添加>按钮,弹出添加IPsec策略对话框。
(4) 在“名称”配置项处,输入IPsec策略的名称。
(5) 在“接口”配置项处,选择应用IPsec策略的接口。请注意,此接口需要与分支节点设备路由可达。
(6) 在“组网方式”配置项处,选择“中心节点”选项。
(7) 在“预共享密钥”配置项处,输入与对端设备相同的预共享密钥。该密钥需要提前进行协商和通告。
如您需要改变设备的缺省IKE配置,可按如下方式进行配置。
(1) 按上述方式完成IPsec基本配置。
(2) 点击<显示高级配置>链接,进入高级配置页面。
(3) 单击“IKE配置”页签,进入IKE配置页面。
(4) 在“IKE版本”配置项处,选择IKE版本。
(5) 在“协商模式”配置项处,选择IKE协商模式:
¡ 主模式:协商步骤多,身份验证位于密钥交互过程之后进行,适用于对身份保护要求较高的场合。
¡ 野蛮模式:协商步骤少,身份验证与密钥交互同时进行,适用于对身份保护要求不高的场合。
当IKE版本为V1时,可配置此参数。若设备公网IP地址是动态分配的,建议您选择IKE协商模式为野蛮模式。
(6) 在“本端身份类型”配置项处,配置用于IKE认证的本端设备身份类型和身份标识。身份类型可选择IP地址、FQDN名称或user FQDN名称。需要注意的是,此项必须与分支节点设备上配置的对端身份类型和身份标识一致。
如果您执行步骤(5)选择的IKE协商模式为主模式,您需要将本端设备身份类型配置为IP地址。
(7) 在“对等体存活检测(DPD)”配置项处,选择是否开启对等体存活检测功能。该功能可用于检测对端是否存活,设备将拆除对端失活的IPsec隧道。建议您开启此功能,使设备能够及时获悉IPsec隧道的可用情况。
(8) 在“算法组合”配置项处,选择IKE协议交互所需的加密和认证算法。如果选择“推荐”选项,需要选择推荐的算法组合;如果选择“自定义”选项,需要设置自定义的认证算法、加密算法和PFS算法。
IPsec隧道的两端所配置的认证算法、加密算法和PFS算法必须一致。
(9) 在“SA生存时间”配置项处,输入IKE重新协商的时间间隔,超过所配时间将触发IKE相关参数的重新协商。建议SA生存时间设置不低于600秒。
如您需要改变设备的缺省IPsec高级配置,可按如下方式进行配置。
(1) 按上述方式完成IPsec基本配置。
(2) 单击“IPsec配置”页签,进入IPsec配置页面。
(3) 在“算法组合”配置项处,选择IPsec协议交互使用的安全协议以及相应的加密和认证算法。如果选择“推荐”选项,需要选择推荐的算法组合;如果选择“自定义”选项,需要设置自定义的安全协议、ESP认证算法和ESP加密算法。
IPsec隧道的两端所配置的安全协议、ESP认证算法和ESP加密算法必须一致。
(4) 在“封装模式”配置项处,选择IPsec隧道的封装模式。
若IPsec本端受保护网段与对端受保护网段均为私网网段,建议您选择封装模式为隧道模式。
IPsec隧道的两端所配置的封装模式必须一致。
(5) 在“PFS”配置项处,选择IPsec隧道的PFS算法。
IPsec隧道的两端所配置的PFS算法必须一致。
(6) 在“基于时间的SA生存时间”配置项处,输入触发IPsec重新协商的时间间隔,超过所配时间将触发IPsec相关参数的重新协商。
(7) 在“基于流量的生存时间”配置项处,输入触发IPsec重新协商的流量大小,超过所配流量将触发IPsec相关参数的重新协商。
(8) 在“触发模式”配置项处,选择触发IPsec重新协商的模式。
(9) 点击<返回基本配置>按钮,返回添加IPsec策略页面。
(10) 点击<确定>按钮,完成配置。
(1) 单击导航树中[虚拟专网(VPN)/IPsec VPN]菜单项,进入IPsec VPN配置页面。
(2) 单击“监控信息”页签,进入监控信息页面。
本功能主要用于配置L2TP服务器端基本参数,开启L2TP服务。
如果您希望为企业驻外机构和出差人员等远端用户,提供一种安全且经济的方式,让他们能够与企业内部网络通信,访问企业内部网络资源,那么您可以通过配置L2TP服务器端来实现上述需求。
L2TP服务器端是具有PPP和L2TP协议处理能力的设备,通常位于企业内部网络的边缘。
(1) 单击导航树中[虚拟专网(VPN)/L2TP服务器端]菜单项,进入L2TP服务器端页面。
(2) 单击“L2TP配置”页签,进入L2TP配置页面。
(3) 选择“启用L2TP服务器”选项,点击<确定>按钮,开启L2TP服务。
(4) 点击<添加>按钮,弹出新建L2TP组对话框。
(5) 在“L2TP配置”下,设置L2TP隧道参数:
¡ 根据需要决定是否勾选“对端隧道名称”,如勾选,则在配置项处输入L2TP客户端的隧道名称。
¡ 在“本端隧道名称”配置项处,输入L2TP服务器端的隧道名称。
¡ 在“隧道验证”配置项处,根据实际需要选择“启用”或“禁用”。
- 如选择“启用”,则需在“隧道验证密码”配置项处,输入验证密码。该方式更加安全,但需要L2TP服务器端和L2TP客户端都启用隧道验证,且密码一致。
- 如选择“禁用”,则表示L2TP服务器端和L2TP客户端在建立隧道时无需验证。
(6) 在“PPP认证配置”下的“PPP认证方式”配置项处,根据需要选择认证方式为“None”、“PAP”或“CHAP”。
¡ 如选择“None”,则表示对用户免认证。该方式,安全性最低,请谨慎使用。
¡ 如选择“PAP”,则表示采用两次握手机制对用户进行认证。该方式,安全性中。
¡ 如选择“CHAP”,则表示采用三次握手机制对用户进行认证。该方式,安全性最高。
(7) 在“PPP地址配置”下,设置PPP地址参数:
¡ 在“虚拟模板接口地址”配置项处,输入虚拟模板接口的IP地址,使L2TP服务器端具有为L2TP客户端或用户分配IP地址的能力。
¡ 在“子网掩码”配置项处,输入虚拟模板接口IP地址的子网掩码。
¡ 在“DNS1”配置项处,输入用于分配给L2TP客户端或用户的主DNS。
¡ 在“DNS2”配置项处。输入用于分配给L2TP客户端或用户的备用DNS。DNS1与DNS2不能相同。
¡ 在“用户地址池”配置项处,输入用于分配给L2TP客户端或用户的IP地址。
(8) 点击<显示高级设置>按钮,展开高级配置页面。
(9) 在“高级配置”下的“Hello报文间隔”配置项处,输入保活报文的时间间隔。为了检测LAC和LNS之间隧道的连通性,LAC和LNS会定期向对端发送Hello报文,接收方接收到Hello报文后会进行响应。当LAC或LNS在指定时间间隔内未收到对端的Hello响应报文时,重复发送,如果重复发送5次仍没有收到对端的响应信息则认为L2TP隧道已经断开,需要重新建立隧道连接;LNS端可以配置与LAC端不同的Hello报文间隔;缺省情况下,Hello报文间隔为60秒。
(10) 点击<确定>按钮,完成配置。
(1) 单击导航树中[虚拟专网(VPN)/L2TP服务器端]菜单项,进入L2TP服务器端页面。
(2) 单击“隧道信息”页签,进入隧道信息页面。
(1) 单击导航树中[虚拟专网(VPN)/L2TP服务器端]菜单项,进入L2TP服务器端页面。
(2) 单击“L2TP用户”页签,进入L2TP用户配置页面。
(3) 如果需要添加单个L2TP用户,请执行以下步骤:
a. 点击<添加>按钮,弹出添加用户对话框。
b. 在“账号名”配置项处,输入用户的账号名。
c. 在“状态”配置项处,选择用户的状态是否可用。
d. 在“密码”配置项处,输入用户账号的密码。
e. 在“最大用户数”配置项处,输入用户的最大连接数。
f. 在“有效日期”配置项处,选择是否配置用户权限的到期日期。如果选择“配置”选项,则需在日期选择框中选择用户权限的到期日期。
g. 点击<确定>按钮,完成配置。
(4) 如果需要批量添加L2TP用户,请执行以下步骤:
a. 点击<导出>按钮,下载导出模板。
b. 打开下载好的模板,添加L2TP用户并在本地保存。
c. 点击<导入>按钮,弹出导入L2TP用户列表对话框。
d. 点击<选择文件>按钮,选择已编辑好的模板。
e. 点击<确定>按钮,完成L2TP用户的批量添加
本功能主要用于配置L2TP客户端基本参数,开启L2TP服务。
如果您希望为企业驻外机构,提供一种安全且经济的方式,让他们能够与企业内部网络通信,访问企业内部网络资源,那么您可以通过配置L2TP客户端来实现上述需求。
L2TP客户端是具有PPP和L2TP协议处理能力的设备,通常位于企业驻外机构网络的出口。
(1) 单击导航树中[虚拟专网(VPN)/L2TP客户端]菜单项,进入L2TP客户端页面。
(2) 单击“L2TP配置”页签,进入L2TP配置页面。
(3) 在“L2TP客户端”配置项处,选择“启用L2TP客户端”选项,点击<确定>按钮,开启L2TP服务。
(4) 点击<添加>按钮,弹出新建L2TP组对话框。
(5) 在“L2TP配置”下,设置L2TP隧道参数:
¡ 在“本端隧道名称”配置项处,输入L2TP客户端的隧道名称。
¡ 在“地址获取方式”配置项处,选择LAC会话建立成功后PPP接口的IP地址获取方式,若选择“静态”选项,则需输入LAC端手工设置一个IP地址(由远端的LNS管理员分配);若选择“动态”选项,则PPP接口的IP地址由LNS分配。
¡ 在“隧道验证”配置项处,根据实际需要选择“启用”或“禁用”。
- 如选择“启用”,则需在“隧道验证密码”配置项处,输入验证密码。该方式更加安全,但需要L2TP服务器端和L2TP客户端都启用隧道验证,且密码一致。
- 如选择“禁用”,则表示L2TP服务器端和L2TP客户端在建立隧道时无需验证。
(6) 在“PPP认证配置”下的“PPP认证方式”配置项处,根据需要选择认证方式为“None”、“PAP”或“CHAP”。
¡ 如选择“None”,则表示对用户免认证。该方式,安全性最低,请谨慎使用。
¡ 如选择“PAP”,则表示采用两次握手机制对用户进行认证。该方式,安全性中。需输入用户名和密码。
¡ 如选择“CHAP”,则表示采用三次握手机制对用户进行认证。该方式,安全性最高。需输入用户名和密码。
(7) 在“PPP认证配置”下的“NAT地址转换”配置项处,根据需要选择“启用”或“未启用”。
¡ 如选择“启用”,则L2TP服务器端不需配置到达客户端的路由。
¡ 如选择“未启用”,则L2TP服务器端需配置到达客户端的路由,L2TP客户端才能正常访问服务端资源。
(8) 在“L2TP服务器端配置”下的“L2TP服务器端地址”配置项处,输入L2TP服务器端的IP地址。
(9) 在“高级配置”下的“Hello报文间隔”配置项处,输入保活报文的时间间隔。为了检测LAC和LNS之间隧道的连通性,LAC和LNS会定期向对端发送Hello报文,接收方接收到Hello报文后会进行响应。当LAC或LNS在指定时间间隔内未收到对端的Hello响应报文时,重复发送,如果重复发送6次仍没有收到对端的响应信息则认为L2TP隧道已经断开,需要重新建立隧道连接;LNS端可以配置与LAC端不同的Hello报文间隔;缺省情况下,Hello报文间隔为60秒。
(10) 点击<确定>按钮,完成配置。
(1) 单击导航树中[虚拟专网(VPN)/L2TP客户端]菜单项,进入L2TP客户端页面。
(2) 单击“隧道信息”页签,进入隧道信息页面。
当用户希望通过固定的域名访问设备提供的服务时,可以在设备提供服务的WAN接口上配置DDNS服务。配置步骤如下:
|
步骤 |
配置内容 |
详情 |
|
1 |
注册域名(必选) |
在DDNS服务器(即DDNS服务提供商,如花生壳网站)上注册域名。 |
|
2 |
配置DDNS服务(必选) |
将在DDNS服务器上注册的域名与设备上的提供服务的WAN接口进行绑定,具体配置方法请见参见配置动态DNS。 |
为特定目的IP地址的报文指定出接口,可根据如下步骤配置静态路由来实现。
|
步骤 |
配置内容 |
详情 |
|
1 |
添加VLAN(可选) |
在路由器上添加用于互访的VLAN,并将对应的LAN口划分VLAN,具体配置方法请见参见配置VLAN。 |
|
2 |
添加静态路由(必选) |
为主机所在子网添加静态路由,具体配置方法请见参见静态路由。 |
当网络管理员需要在某个时间段将局域网指定的主机的上网流量从指定的WAN口发送出去时,可以通过定制策略路由来实现,配置步骤如下:
|
步骤 |
配置内容 |
详情 |
|
1 |
添加时间组(必选) |
设定策略路由实现的时间段,具体配置方法请见参见时间组。 |
|
2 |
添加定策略路由(必选) |
根据实际需要添加策略路由,具体配置方法请见参见策略路由。 |
如需使用NMS对路由器进行监控管理,则需配置SNMP,配置步骤如下:
|
步骤 |
配置内容 |
详情 |
|
1 |
连接NMS(必选) |
将路由器的LAN口连接网络网管NMS。 |
|
2 |
配置SNMP基本配置(必选) |
选择SNMP版本,并配置SNMP基本配置,具体配置方法请见参见基本配置。 |
|
3 |
添加团体名(可选) |
当选择SNMP版本为SNMPv1或SNMPv2c版本时,可根据需要添加SNMP的团体名,具体配置方法请见参见团体名设置。 |
|
4 |
添加用户名(可选) |
当选择SNMP版本为SNMPv3时,可根据需要添加SNMP的用户名,具体配置方法请见参见用户设置。 |
|
5 |
配置NMS的SNMP设置(必选) |
在NMS中配置使用的SNMP版本、团体名等,需确保与路由器上的SNMP配置一致。 |
应用服务提供对DNS的配置功能,DNS(Domain Name System,域名系统)是一种用于TCP/IP应用程序的分布式数据库,提供域名与IP地址之间的转换。主要包括:静态DNS、动态DNS和本地域名服务。
“域名”、“本地域名地址”和“服务器地址”的设置规则如下:
· “域名”和“服务器地址”长度为1-253个字符;“本地域名地址”长度为1-250个字符。
· “域名”、“本地域名地址”和“服务器地址”只能包含字母,数字,符号-,以及符号.。
· “域名”、“本地域名地址”和“服务器地址”不能以符号.或者符号-开头和结尾,不能连续使用两个以及上的符号.或者符号-。
· “域名”和“服务器地址”中必须包含符号.,且最后一个符号.后面的字符不能为全数字。
静态DNS就是手工建立域名和IP地址之间的对应关系。当您使用域名访问设备提供的服务(Web、Mail或者FTP等服务)时,系统会查找静态DNS解析表,从中获取指定域名对应的IP地址。
(1) 单击导航树中[高级选项/应用服务]菜单项,进入应用服务配置页面。
(2) 单击“静态DNS”页签,进入静态DNS配置页面。
(3) 点击<添加>按钮,弹出新建静态DNS对话框。
(4) 在“域名”配置项处,输入网络设备的域名。
(5) 在“IP地址”配置项处,输入网络设备的IP地址。
(6) 点击<确定>按钮,完成设置。
如果您通过设备的WAN接口来提供Web、Mail或者FTP等服务,且希望在设备WAN接口的IP发生变化的情况下(如宽带拨号方式下),用户仍然能够通过固定的域名访问设备提供的服务,那么需要在设备上的提供Web、Mail或者FTP等服务的WAN接口上配置DDNS(Dynamic Domain Name System,动态域名系统)服务。
使用DDNS服务之前,需要提前在DDNS服务器(即DDNS服务提供商,如花生壳网站)上注册。之后,当设备WAN接口的IP地址变化时,设备会自动通知DDNS服务器更新记录的IP地址和固定域名的映射关系。
设备向DDNS服务器申请域名时,请保证WAN接口地址为公网IP地址。
请提前在动态域名服务提供商(如花生壳网站)处注册账户,设置密码。
(1) 单击导航树中[高级选项/应用服务]菜单项,进入应用服务配置页面。
(2) 单击“动态DNS”页签,进入动态DNS配置页面。
(3) 点击<添加>按钮,弹出新建动态DNS策略对话框。
(4) 在“WAN接口”配置项处,选择设备上的提供Web、Mail或者FTP等服务的WAN接口。
(5) 在“域名”配置项处,输入设备的域名。
(6) 在“服务器配置”下,设置动态DNS服务器参数:
¡ 服务提供商:选择服务提供商,如花生壳等。
¡ 服务器地址:服务提供商的服务器地址。如果服务器地址与缺省情况不同,勾选“修改服务器地址”后进行修改。
¡ 更新间隔:设置设备向服务器发送更新请求的时间间隔。如果配置时间间隔为0,设备只在WAN接口IP地址发生变化或者接口连接由down变为up时发送更新请求。
(7) 在“账户配置”下,输入在服务提供商处注册的用户名和密码。
(8) 点击<确定>按钮,完成设置。
内网终端可以通过本地域名地址访问设备的Web管理页面。
设置的本地域名地址不能与互联网中已注册的域名重复。
(1) 单击导航树中[高级选项/应用服务]菜单项,进入应用服务配置页面。
(2) 单击“本地域名服务”页签,进入本地域名服务页面。
(3) 在“本地域名服务”配置项处,选择“开启”选项,开启本地域名服务功能。
(4) 在“本地域名地址”配置项处,输入本地域名的地址。
(5) 点击<应用>按钮,完成配置。
UPnP(Universal Plug and Play,通用即插即用)功能是针对设备彼此间通讯而定制的一组协议的统称。设备作为UPnP网关,主要功能是完成端口自动映射,UPnP实现端口自动映射需要满足三个条件:
· 设备必须开启UPnP功能;
· 内网主机的操作系统必须支持并开启UPnP功能;
· 应用程序必须支持并开启UPnP功能,如迅雷、BitComet、电骡eMule、MSN等软件都支持UPnP功能。
设备开启UPnP功能后,可以为支持该功能的应用程序自动添加端口映射,加速点对点的传输,还可以解决一些传统业务(比如,MSN)不能穿越NAT的问题。但开启UPnP功能也会为支持该功能的非法应用程序建立映射,存在安全隐患。
如果您的操作系统或者应用程序不支持UPnP功能,可通过配置虚拟服务器或端口触发,手工配置完成端口映射的配置,其效果是一样的。
UPnP映射失败的原因很多,比如:
· 系统服务中禁止了SSDP服务(用于寻找UPnP设备),需要在系统服务中开启该服务。
· 开启了操作系统下的SP1的网络连接防火墙。操作系统的网络连接防火墙与UPnP设备发现有冲突,SP2修复了这个问题,但是仍然需要在防火墙设置中允许例外:UPnP框架。
· 应用软件或设备不支持UPnP功能。
(1) 单击导航树中[高级选项/UPnP]菜单项,进入UPnP页面。
(2) 选择“开启UPnP”选项,开启UPnP功能。
(3) 点击<应用>按钮,完成设置。
· 静态路由是在路由器中通过手工方式设置的固定路由条目。当您的网络结构比较简单且比较稳定时,通过配置静态路由就可以实现网络互通。例如,当您知道网络的出接口,以及网关的IP地址时,设置静态路由即可实现正常通信。
· 当去往同一目的地存在多条静态路由时,如果您希望优先选用某条静态路由,可以调整静态路由的优先级。优先级的值越小,对应的静态路由的优先级越高。
当静态路由中下一跳对应的接口失效时,本地的静态路由条目不会被删除,这种情况下需要您检查网络环境,然后修改静态路由的配置。
(1) 单击导航树中[高级选项/静态路由]菜单项,进入静态路由配置页面。
(2) 点击<添加>按钮,弹出添加IPv4静态路由对话框。
(3) 在“目的IP地址”配置项处,输入设备要访问的目的网络的IP地址。
(4) 在“掩码长度”配置项处,输入目的网络的掩码长度。
(5) 在“下一跳”配置项处,设置去往目的网络的出接口和下一跳IP地址。
¡ 选择出接口。当您不确定出接口时,可以不勾选“出接口”选项。通过设置下一跳IP地址,设备可以自己选择合适的出接口。
¡ 设置下一跳IP地址。
(6) 在“优先级”配置项处,输入静态路由的优先级。
(7) 在“描述”配置项处,输入静态路由的描述信息。
(8) 点击<确定>按钮,完成静态路由的添加。
(9) 点击“查看路由信息表”按钮,查看设备的路由信息。
与单纯按照IP报文的目的地址查找路由表进行转发不同,策略路由是一种依据用户制定的策略进行路由转发的机制。策略路由可以对于满足一定条件(源地址和目的地址等)的报文,执行指定的操作(设置报文的下一跳和出接口等)。策略路由的匹配条件比普通路由更丰富,当需要按照报文的某些特征(如报文源地址和目的地址等)转发到不同的网络中时,可以配置策略路由功能。
策略路由的优先级会按照配置顺序生效,即先配置的策略路由优先级高于后配置的策略路由。
策略路由的优先级可以自定义配置,取值越小优先级越高。
(1) 单击导航树中[高级选项/策略路由]菜单项,进入策略路由配置页面。
(2) 点击<添加>按钮,弹出新增策略路由列表对话框。
(3) 设置策略路由的匹配规则参数:
¡ 在“接口”配置项处,选择策略路由适用的接口。
¡ 在“协议类型”配置项处,选择匹配的协议类型,如果选择了“协议号”,则需要输入具体的协议编号。
如果协议类型指定为“TCP”或“UDP”,则需要设置匹配报文的源端口和目的端口。
¡ 在“源IP地址段”和“目的IP地址段”配置项处,设置匹配报文的源IP地址范围和目的IP地址范围。输入地址段时,起始地址和结束地址间需要用短横线连接,如“1.1.1.1-1.1.1.2”,如果只指定一个地址,则起始地址和结束地址需要相同。如果在输入地址段或者地址前添加“!”,则表示取反,即除此地址段或者地址外的其它的地址都匹配,如“!1.1.1.1-1.1.1.10”。
¡ 在“源端口”和“目的端口”配置项处,设置匹配报文的源端口和目的端口。如果在输入端口号前添加“!”,则表示取反,即除此端口号外的其它的端口都匹配,如“!1-5000”。
¡ 在“生效时间”配置项处,设置匹配规则的时间组。
¡ 在“优先级”配置项处,设置策略路由的优先级。如果选择“自定义”选项,则需设置具体的优先级。
¡ 在“出接口”配置项处,设置匹配规则的报文通过指定出接口转发。
¡ 在“强制”配置项处,选择开启链路探测功能后,是否强制报文通过指定出接口转发。配置该参数时,可根据需要进行选择:
- 若选择“强制”选项,则当链路探测结果为出接口不可用时,匹配报文仍从该接口转发。
- 若未选择“强制”选项,则当链路探测结果为出接口不可用时,该条策略路由不生效,报文通过其他正常的路由转发。
¡ 在“是否启用”配置项处,设置策略路由是否启用。
¡ 在“描述”配置项处,输入策略路由的描述信息,当某些策略用于特殊用途时,管理员可以配置描述信息,方便后续查询使用。
(4) 点击<确定>按钮,完成配置。
SNMP(Simple Network Management Protocol,简单网络管理协议)广泛用于网络设备的远程管理和操作。SNMP允许管理员通过NMS对网络上不同厂商、不同物理特性、采用不同互联技术的设备进行管理,包括状态监控、数据采集和故障处理。
SNMP网络架构由三部分组成:NMS、Agent和MIB。
· NMS(Network Management System,网络管理系统)是SNMP网络的管理者,能够提供友好的人机交互界面,来获取、设置Agent上参数的值,方便网络管理员完成大多数的网络管理工作。
· Agent是SNMP网络的被管理者,负责接收、处理来自NMS的SNMP报文。在某些情况下,如接口状态发生改变时,Agent也会主动向NMS发送告警信息。
· MIB(Management Information Base,管理信息库)是被管理对象的集合。NMS管理设备的时候,通常会关注设备的一些参数,比如接口状态、CPU利用率等,这些参数就是被管理对象,在MIB中称为节点。每个Agent都有自己的MIB。MIB定义了节点之间的层次关系以及对象的一系列属性,比如对象的名称、访问权限和数据类型等。被管理设备都有自己的MIB文件,在NMS上编译这些MIB文件,就能生成该设备的MIB。NMS根据访问权限对MIB节点进行读/写操作,从而实现对Agent的管理。
设备支持SNMPv1、SNMPv2c和SNMPv3三种版本,只有NMS和Agent使用的SNMP版本相同时,NMS才能和Agent建立连接。
· SNMPv1采用团体名(Community Name)认证机制。团体名类似于密码,用来限制NMS和Agent之间的通信。如果NMS配置的团体名和被管理设备上配置的团体名不同,则NMS和Agent不能建立SNMP连接,从而导致NMS无法访问Agent,Agent发送的告警信息也会被NMS丢弃。
· SNMPv2c也采用团体名认证机制。SNMPv2c对SNMPv1的功能进行了扩展:提供了更多的操作类型;支持更多的数据类型;提供了更丰富的错误代码,能够更细致地区分错误。
· SNMPv3采用USM(User-Based Security Model,基于用户的安全模型)认证机制。网络管理员可以配置认证和加密功能。认证用于验证报文发送方的合法性,避免非法用户的访问;加密则是对NMS和Agent之间的传输报文进行加密,以免被窃听。采用认证和加密功能可以为NMS和Agent之间的通信提供更高的安全性。
(1) 单击导航树中[高级选项/SNMP]菜单项,进入基本配置页面。
(2) 根据需要设置如下SNMP基本配置:
¡ 在“SNMP”配置项处,选择“开启”选项,开启SNMP Agent功能。
¡ 在“SNMP版本”配置项处,勾选SNMP版本的版本。只有选择了相应的SNMP版本,设备才会处理对应版本的SNMP数据报文。
¡ 在“联系信息”配置项处,输入维护联系信息。联系信息长度为1-255个字符,不能为中文。
¡ 在“设备位置”配置项处,输入设备的位置信息。设备位置长度为1-255个字符,不能为中文。
¡ 在“本地引擎ID”配置项处,输入设备的本地引擎ID信息。ID信息为10-64位、16进制格式的字符,只支持输入0-9、a-f和A-F字符,且字符数量必须为偶数。
¡ 在“SNMP信任主机IPv4地址”配置项处,输入SNMP Agent信任的NMS IP地址,即允许指定的NMS对SNMP Agent进行访问。若不设置该项,即不对NMS进行限制。
¡ 在“NMS主监控接口”配置项处,选择NMS(网络管理工作站)管理本设备所用的主接口。
¡ 在“NMS辅监控接口”配置项处,选择NMS(网络管理工作站)管理本设备所用的备接口,当设备设置为单WAN口时,不支持该设置。
(3) 根据需要设置如下TRAP配置:
¡ 在“TRAP功能”配置项处,选择“开启”选项,开启SNMP TRAP功能。
¡ 在“目的地址”配置项处,输入接收TRAP消息的主机地址或域名地址。
¡ 在“UDP端口”配置项处,输入接收TRAP消息的UDP端口号。
¡ 在“安全名”配置项处,输入安全名称,可以是SNMPv1、SNMPv2c的团体名或SNMPv3的用户名。
¡ 在“安全模式”配置项处,选择安全名对应的SNMP Agent版本号。
(4) 点击<应用>按钮,完成设置。
团体名设置只支持SNMPv1、SNMPv2c版本。
(1) 单击“团体名设置”页签,进入团体名设置页面。
(2) 在列表的最下方输入团体名,选择访问权限后,点击操作列的<+>按钮,完成团体名的添加。
(3) 点击团体名对应的操作列<修改>按钮,可以修改团体名及其访问权限。
(4) 点击团体名对应的操作列<删除>按钮,可以删除团体名
(5) 点击<应用>按钮,完成设置。
用户设置只支持SNMPv3版本,用于添加SNMPv3版本的用户名。
(1) 单击“用户设置”页签,进入用户设置页面。
(2) 点击<添加>按钮,弹出添加用户对话框。
(3) 根据需要配置如下参数:
¡ 在“用户名”配置项处,输入用户名。
¡ 在“认证模式”配置项处,选择认证算法,选项包括MD5、SHA和None。如果选择None,则表示不认证。
¡ 在“认证密码”配置项处,输入认证的密码。当认证模式设置为MD5或SHA时,需要配置此参数。密码长度为1-64个字符,只能包含英文字母[a-z,A-Z]、数字,以及~!@#$%^&*()_+`-={}|[]:'<>?,./字符;区分大小写。
¡ 在“认证密码确认”配置项处,再次输入在“认证密码”配置项处设置的密码。
¡ 在“加密模式”配置项处,选择加密模式,选项包括DES56和None。如果选择None,则表示不加密。
¡ 在“加密密码”配置项处,输入加密的密码。当加密模式设置为DES56时,需要配置此参数。密码长度为1-64个字符,只能包含英文字母[a-z,A-Z]、数字,以及~!@#$%^&*()_+`-={}|[]:'<>?,./字符;区分大小写。
¡ 在“加密密码确认”配置项处,再次输入在“加密密码”配置项处设置的密码。
(4) 点击<确定>按钮,完成添加。
通过本功能可以设置设备信息和系统时间。设备信息包括设备名称、设备位置和设备管理员的联系信息,方便管理员管理和定位设备。系统时间包括日期、时间和时区等。为了便于管理设备,并保证本设备与其它网络设备协同工作,您需要为设备配置准确的系统时间。
系统时间的获取方式有两种:
· 手工设置日期和时间。该方式下,用户手工指定的日期和时间即为当前的系统时间。后续,设备使用内部时钟信号计时。如果设备重启,系统时间将恢复到出厂时间。
· 自动同步网络日期和时间。该方式下,设备使用从NTP服务器获取的时间作为当前的系统时间,并周期性地同步NTP服务器的时间,以便和NTP服务器的系统时间保持一致。即便本设备重启,设备也会迅速重新同步NTP服务器的系统时间。如果您管理的网络中有NTP服务器,推荐使用该方式,该方式获取的时间比手工配置的时间更精准。
(1) 单击导航树中[系统工具/系统设置]菜单项,进入系统设置配置页面。
(2) 单击“设备信息”页签,进入设备信息配置页面。
(3) 在“设备名称”配置项处,输入设备名称,例如以“设备型号.IP地址”为设备名称。设备名称为1-64个字符,只支持数字、字母、下划线、中划线和空格,不能为中文,不能为全空格。
(4) 在“设备位置”配置项处,输入设备的位置信息。设备位置长度为1-255个字符,不能为中文。
(5) 在“联系信息”配置项处,输入设备管理员的联系信息。联系信息长度为1-255个字符,不能为中文。
(6) 点击<应用>按钮,完成配置。
了解设备所处的时区。全球分为24个时区,请将设备的时区配置为设备所在地理区域的时区。例如,设备在中国,请选择“北京,重庆,香港特别行政区,乌鲁木齐(GMT+08:00)”;如果设备位于美国,请选择“中部时间(美国和加拿大)(GMT-06:00)”。
如果设备重启,系统时间将恢复到出厂时间。
(1) 单击导航树中[系统工具/系统设置]菜单项,进入系统设置配置页面。
(2) 单击“日期和时间”页签,进入系统时间配置页面。
(3) 选择“手工设置日期和时间”选项。
(4) 将系统时间配置为设备所在地理区域的当前时间。
a. 选择年月日。
b. 选择时分秒。
(5) 将时区配置为设备所在地理区域的时区。
(6) 点击<应用>按钮,完成配置。
了解设备所处的时区。全球分为24个时区,请将设备的时区配置为设备所在地理区域的时区。例如,设备在中国,请选择“北京,重庆,香港特别行政区,乌鲁木齐(GMT+08:00)”;如果设备位于美国,请选择“中部时间(美国和加拿大)(GMT-06:00)”。
设备和NTP服务器上配置的时区必须相同,否则,会导致设备的系统时间和NTP服务器的系统时间不一致。
(1) 单击导航树中[系统工具/系统设置]菜单项,进入系统设置配置页面。
(2) 单击“日期和时间”页签,进入系统时间配置页面。
(3) 选择“自动同步网络日期和时间”选项。
(4) 在“NTP服务器1”配置项处,输入NTP服务器1的IP地址或者域名地址。
(5) 在“NTP服务器2”配置项处,输入NTP服务器2的IP地址或者域名地址。设备会自动从NTP服务器1和NTP服务器2中择优选取一台服务器的系统时间作为设备的系统时间。如果这台优选的服务器故障,则自动使用另一台NTP服务器的系统时间作为设备的系统时间。如果NTP服务器均故障,设备将使用内部时钟信号继续计时,待NTP服务器恢复后,再同步NTP服务器的时间。
(6) 点击“缺省NTP服务器列表”链接,弹出缺省NTP服务器对话框,查看设备内置的NTP服务器信息,点击<关闭>按钮,关闭对话框。
(7) 将时区配置为设备所在地理区域的时区。
(8) 点击<应用>按钮,完成配置。
通过本功能可以对网络故障进行诊断,包括如下功能:
· Ping:用于检测网络,测试另一台设备或主机是否可达。
· Tracert:用于检查从设备到达目标主机所经过的路由情况。
· 系统自检:用于检查设备当前的运行和配置情况进行,反馈设备配置是否合理及设备运行是否正常等信息。
· 诊断:诊断信息为各功能模块的运行信息,用于定位问题。设备会将该信息以压缩文件的形式自动保存到您的终端设备。
· 端口镜像:用于将被镜像端口的报文自动复制到镜像端口,实时提供各端口传输状况的详细信息,方便网络管理人员进行流量监控、性能分析和故障诊断。
· 抓包工具:用于抓取网络数据报文,以便更有效地分析网络故障。抓包完成后,会自动导出抓取的文件“capture-******.pcap”供用户保存到本地。
(1) 单击导航树中[系统工具/网络诊断]菜单项,进入网络诊断页面。
(2) 单击“Ping”页签,进入Ping通信测试页面。
(3) 在“目标IP地址或者主机名”配置项处,输入需要Ping的目标IP地址或者主机名。不支持输入\ ' " < > ; & ` #字符以及中文字符和空格。
(4) 在“选择出接口”配置项处,选择去往目标IP地址或者主机名的设备接口。当选择“AUTO”时,表示设备自动选择某一接口转发Ping报文。
(5) 在“源IP地址”配置项处,选择Ping操作的源IP地址。当选择“AUTO”时,表示设备自动选择Ping操作的源IP地址;当选择“源IP地址”时,需手动输入Ping操作的源IP地址。
(6) 点击<开始>按钮,系统开始进行检测。检测的过程和结果显示在当前页面,说明网络发包的测试情况和与测试主机的往返平均时延。
(1) 单击导航树中[系统工具/网络诊断]菜单项,进入网络诊断页面。
(2) 单击“Tracert”页签,进入Tracert通信测试页面。
(3) 在“目标IP地址或者主机名”配置项处,输入需要路由跟踪的目标IP地址或者主机名。
(4) 在“选择出接口”配置项处,选择去往目标IP地址或者主机名的设备接口。当选择“AUTO”时,表示设备自动选择某一接口转发Tracert报文。
(5) 在“源地址”配置项处,选择Tracert操作的源IP地址。当选择“AUTO”时,表示设备自动选择Tracert操作的源IP地址;当选择“源IP地址”时,需手动输入Tracert操作的源IP地址
(6) 点击<开始>按钮,系统开始进行检测。检测的过程和结果显示在当前页面。
(1) 单击导航树中[系统工具/网络诊断]菜单项,进入网络诊断页面。
(2) 单击“系统自检”页签,进入系统自检页面。
(3) 点击<自检>按钮,页面将会显示系统自检结果。
(1) 单击导航树中[系统工具/网络诊断]菜单项,进入网络诊断页面。
(2) 单击“诊断”页签,进入搜集网络诊断信息页面。
(3) 点击<搜集诊断信息>按钮,系统开始收集诊断信息。
(1) 单击导航树中[系统工具/网络诊断]菜单项,进入网络诊断页面。
(2) 单击“端口镜像”页签,进入端口镜像页面。
(3) 在“源端口”配置项处,选择镜像的源端口,即与数据监测设备相连的端口。
(4) 在“方向”配置项处,选择镜像的方向。
¡ 若选择“入方向”,表示仅复制源端口收到的报文。
¡ 若选择“出方向”,表示仅复制源端口发出的报文。
¡ 若选择“双方向”,表示对源端口收到和发出的报文都进行复制。
(5) 在“目的端口”配置项处,选择镜像的目的端口,即与数据监测设备相连的端口。
(6) 点击<确定>按钮,系统开始端口镜像。
(1) 单击导航树中[系统工具/网络诊断]菜单项,进入网络诊断页面。
(2) 单击“抓包工具”页签,进入抓包工具页面。
(3) 在“接口”配置项处,选择需要抓取数据的接口,支持当前路由器的所有的WAN、VLAN等接口。
(4) 在“抓包长度”配置项处,输入数据包的抓取长度,单位为字节。如果数据包长度大于此数值,数据包将会被截断。需要注意的是,采用长的抓取长度,会增加包的处理时间,并且会减少可缓存的数据包的数量,从而会导致数据包的丢失。所以,在能抓取我们想要的包的前提下,抓取长度越小越好。
(5) 在“协议类型”配置项处,选择需要过滤的协议类型。如果选择ALL,将抓取当前接口下所有报文。
(6) 在“抓包文件大小”配置项处,输入抓取报文的大小,单位为MB。
(7) 在“抓包时间”配置项处,输入抓包的持续时长,单位为秒。
(8) 在“方向”配置项处,选择抓取报文的方向。主要分为:
¡ 入方向:表示仅抓取端口收到的报文。
¡ 出方向:表示仅抓取端口发送的报文。
¡ 双向:表示抓取端口收到和发送的报文。缺省为双向。
(9) 在“源主机”、“目的主机”、“过滤主机”配置项处,选择抓取报文时过滤发出或者接收报文的主机。
¡ 所有主机:对源或者目的主机进行过滤,即抓取所有的源/目的主机的报文。
¡ IP地址过滤:选择此项时,需设置主机的IP地址。
¡ MAC地址过滤:选择此项时,需设置主机的MAC地址。
(10) 点击<开始>按钮,系统开始进行抓包。抓包的过程和当前抓取的分组数显示在当前页面,在抓包的过程中,您可以点击<取消>按钮,终止当前的操作,并导出抓取的文件“capture-******.pacp”。
远程管理功能既可以用来检测网络的连通性,又可以为用户提供登录设备、管理设备的方式。远程管理功能包括:
· Ping:通过ping功能,可以检测网络的连通性,及时了解网络状况。
· Telnet:是一种实现远程登录服务的协议。用户可以在PC上通过Telnet方式登录设备,对设备进行远程管理。
· HTTP/HTTPS:是基于HTTP、HTTPS超文本传输协议的两种Web登录方式。HTTPS登录方式的安全性能高于HTTP登录方式。用户可以在PC上使用HTTP/HTTPS协议登录设备的Web界面,通过Web界面直观地配置和管理设备。
· 云服务:实现设备在云平台中被管理。
(1) 单击导航树中[系统工具/远程管理]菜单项,进入远程管理页面。
(2) 单击“Ping”页签。
(3) 在列表中通过勾选接口对应的“允许ping”选项,设置该接口允许接收Ping报文。
(4) 点击<应用>按钮,完成配置。
(1) 单击导航树中[系统工具/远程管理]菜单项,进入远程管理配置页面。
(2) 单击“Telnet”页签,进入Telnet配置页面。
(3) 在“Telnet服务”配置项处,点击按钮,使得按钮状态为“ON”,开启Telnet服务。
(4) 在“IPv4端口”配置项处,输入Telnet方式远程管理设备的端口号,外部用户通过此端口Telnet方式登录设备进行管理。
(5) 在“管理员列表”区段,点击<添加/编辑>按钮,弹出添加/编辑管理员列表对话框。
a. 在“IP地址”配置项处,输入允许通过Telnet访问设备的IP地址。
b. 在IP地址段“起始”和“结束”配置项处,分别输入允许通过Telnet访问设备的IP地址段的起始地址和结束地址。
c. 在“排除地址”配置项处,输入不允许通过Telnet访问设备的IP地址。
d. 点击配置项右侧的<àà>按钮,提交配置的地址段内容。
e. 重复a、b、c、d步骤可完成多个地址段的添加。
(6) 点击<确定>按钮,完成配置。
(1) 单击导航树中[系统工具/远程管理]菜单项,进入远程管理配置页面。
(2) 单击“HTTP/HTTPS”页签,进入HTTP/HTTPS配置页面。
(3) 在“HTTP登录端口”配置项处,输入HTTP方式登录设备对应的端口号,建议使用10000以上的端口号。
(4) 在“HTTPS登录端口”配置项处,输入HTTPS方式登录设备对应的端口号,建议使用10000以上的端口号。
(5) 在“登录超时时间”配置项处,输入Web管理页面的闲置超时时间,缺省为10分钟。管理员登录Web管理页面后,当闲置时间超过登录超时时间时,系统会自动注销该管理员。配置此参数后,在管理员下一次登录时生效。
(6) 当允许所有用户访问WEB时,可勾选“允许所有用户访问WEB”选项来设置。
(7) 在“VLAN1管理地址”区段,点击<编辑>按钮,添加允许访问Web管理页面的管理员IP地址或地址段。在弹出的编辑VLAN1管理地址对话框中进行如下操作:
a. 在“IP地址”配置项处,输入允许通过HTTP/HTTPS访问设备的IP地址。
b. 在IP地址段“起始”和“结束”配置项处,分别输入允许通过HTTP/HTTPS访问设备的IP地址段的起始地址和结束地址。
c. 点击配置项右侧的<àà>按钮,提交配置的地址段内容。
d. 重复a、b、c步骤可完成多个地址段的添加。
e. 点击<确定>按钮,完成配置。
(8) 在“自定义管理地址”区段,点击<添加/编辑>按钮,添加允许访问Web管理页面的管理员IP地址或地址段。在弹出的添加/编辑自定义管理地址对话框中进行如下操作:
a. 在“IP地址”配置项处,输入允许通过HTTP/HTTPS访问设备的IP地址。
b. 在IP地址段“起始”和“结束”配置项处,分别输入允许通过HTTP/HTTPS访问设备的IP地址段的起始地址和结束地址。
c. 在“排除地址”配置项处,输入不允许通过HTTP/HTTPS访问设备的IP地址。
d. 点击配置项右侧的<àà>按钮,提交配置的地址段内容。
e. 重复a、b、c、d步骤可完成多个地址段的添加。
f. 点击<确定>按钮,完成配置。
(1) 单击导航树中[系统工具/远程管理]菜单项,进入远程管理配置页面。
(2) 单击“云服务”页签,进入云服务配置页面。
(3) 点击<云服务解绑>按钮,在弹出的确认提示对话框中进行如下操作:
a. 在“解绑码”配置项处,输入从云平台上获取的解绑码。
b. 点击<是>按钮,完成配置。
(4) 在“云服务”配置项处,点击按钮,使得按钮状态为“ON”,开启云服务。
(5) 在“云平台服务器域名”配置项处,输入H3C云简网络平台的域名。
(6) 在“云场所定义”配置项处,输入设备的系统名称。云场所定义长度为1-255个字符,只支持数字、字母、下划线、中划线和空格,不能为中文,不能为全空格。
(7) 点击<应用>按钮,完成配置。
本功能用于对设备的配置文件进行管理。配置文件是指用来保存设备配置的文件。
主要功能包括:
· 恢复出厂配置:如果设备没有配置文件或者配置文件损坏时,希望设备能够正常启动运行,则需通过本功能将设备上的配置恢复到出厂状态。
· 从备份文件恢复:设备配置错误后,如果希望设备恢复到正确配置运行状态,则需通过本功能恢复设备配置。
· 导出当前配置:如果希望将当前配置文件导出作为备份配置文件,则需通过本功能将当前配置文件导出保存到指定路径。
· USB快速备份:备份设备当前的配置到U盘上。
· USB快速恢复:通过U盘中配置文件恢复设备配置。
恢复到出厂设置后,当前的设置将会丢失。如果您不希望丢失当前设置信息,请先对路由器进行备份操作。恢复出厂设置后,路由器将会重新启动。在此期间请勿断开设备的电源。
(1) 单击导航树中[系统工具/配置管理]菜单项,进入配置管理页面。
(2) 单击“恢复出厂配置”页签,进入恢复出厂配置页面。
(3) 点击<恢复出厂配置>按钮,弹出恢复出厂配置对话框。
(4) 勾选“立即重启设备”选项,系统会立即重启设备。
(5) 点击<确定>按钮,完成恢复出厂配置并强制重启设备。
· 从备份文件恢复设备配置时,需选择后缀名为.rar的文件。
· 在恢复设备配置的过程中,请确保设备供电正常。
· 恢复设备配置完成后,设备会自动根据新的配置重新启动。
(1) 单击导航树中[系统工具/配置管理]菜单项,进入配置管理页面。
(2) 单击“备份/恢复配置”页签,进入备份恢复配置页面。
(3) 点击<从备份文件恢复>按钮,进入从备份文件恢复页面。
(4) 点击“选择文件”按钮,选择特定路径下的备份配置文件。
(5) 点击<确定>按钮,弹出确认提示对话框。
(6) 点击<确定>按钮,开始恢复配置。
(1) 单击导航树中[系统工具/配置管理]菜单项,进入配置管理页面。
(2) 单击“备份/恢复配置”页签,进入备份恢复配置页面。
(3) 点击<导出当前配置>按钮,选择保存路径,即可将当前配置保存到本地PC。
· 目前仅支持fat32格式的U盘。
· 在执行快速恢复前,需先将U盘插入到设备上。
· 如果U盘存在多个分区,备份的配置文件将会保存在第一个分区中。
· 备份成功后的配置文件名称为backup.data,如果多次执行USB快速备份操作,系统会覆盖之前的配置文件,即U盘中仅存在一个backup.data配置文件。
(1) 单击导航树中[系统工具/配置管理]菜单项,进入配置管理页面。
(2) 单击“备份/恢复配置”页签,进入备份恢复配置页面。
(3) 点击<USB快速备份>按钮,开始备份配置。
(4) 备份完成后,在弹出备份配置成功的确认对话框中,点击<确定>按钮,关闭对话框。
· 目前仅支持fat32格式的U盘。
· 在执行快速恢复前,需先将U盘插入到设备上,且该U盘中存有名称为backup.data的设备配置文件。设备将通过backup.data配置文件恢复设备配置。
· 如果U盘存在多个分区,用于恢复设备配置的配置文件backup.data需保存在第一个分区中。
· 在恢复设备配置的过程中,请确保设备供电正常。
· 恢复设备配置完成后,设备会自动根据新的配置重新启动。
(1) 单击导航树中[系统工具/配置管理]菜单项,进入配置管理页面。
(2) 单击“备份/恢复配置”页签,进入备份恢复配置页面。
(3) 点击<USB快速恢复>按钮,开始恢复配置。
(4) 恢复完成后,在弹出恢复配置成功的确认对话框中,点击<确定>按钮,关闭对话框。
本功能用于对设备版本进行升级。如果希望完善当前软件版本漏洞或者更新应用功能,则需通过版本升级功能来实现。升级方式分为如下两种:
· 手动升级是通过特定路径下的系统软件文件对设备的系统软件进行升级。
· 自动升级是通过H3C云简网络平台对设备的系统软件进行升级。自动升级前,请确保设备与云平台已经连接。
· 请您在软件升级之前备份路由器当前的设置信息。如果升级过程中出现问题,您可以用其来恢复到原来的设置。
· 上传完成后,设备自动更新软件,完成后将重新启动。
· 升级过程中请勿给路由器断电,否则可能会造成路由器不能正常工作。
手工升级前,请先到“网络安全->DDOS攻击防御->异常流量防护”页面确认是否启用了异常主机流量防护功能。如果已启用,需关闭异常主机流量防护功能后,再进行手工升级,否则将无法进行手工升级。
(1) 单击导航树中[系统工具/系统升级]菜单项,进入系统升级页面。
(2) 单击“手工升级”页签,进入手工升级配置页面。
(3) 点击<手工升级系统软件>按钮,弹出手工升级系统软件对话框。
(4) 点击<选择文件>按钮,选择特定路径下的系统软件文件。
(5) 若需要设备在升级系统软件之后恢复出厂配置,则勾选“恢复出厂配置”选项;若无需设备在升级系统软件之后恢复出厂配置,则不勾选“恢复出厂配置”选项。
(6) 点击<确定>按钮,开始软件升级。
(1) 单击导航树中[系统工具/系统升级]菜单项,进入系统升级页面。
(2) 单击“自动升级”页签,进入自动升级配置页面。
(3) 点击<自动升级系统软件>按钮,弹出升级软件系统对话框。
(4) 点击<确定>按钮,进行升级操作。
在进行自动升级前,需确保云连接状态为已连接,否则自动升级将会不成功。
(1) 单击导航树中[系统工具/系统升级]菜单项,进入系统升级页面。
(2) 单击“自动升级”页签,进入自动升级配置页面。
(3) 在“预约升级”配置项处,选择开启。
(4) 在“检测时间限制”配置项处,设置检测的时间,系统会根据设置的时间检测是否存在新版本软件。如果检测到新版本软件,系统将立即升级软件。
(5) 点击<应用>按钮,完成自动升级设置。
(6) 在“预约升级日志”配置项处,点击<查看>按钮,查看预约升级的日志信息。
路由器使用过程中出现异常情况,例如升级过程中断电、设备无法正常运行等,可以使用U盘恢复软件版本。
使用U盘恢复软件版本后,路由器将会恢复出厂设置,请谨慎使用此功能。
恢复方法如下:
(1) 准备文件格式为FAT32,接口为USB 2.0或者USB 3.0(同时向下兼容USB 2.0)的U盘。
(2) 将待恢复的软件(后缀名为.bin)拷贝到U盘。在U盘中将.bin文件命名为“recover.bin”。
(3) 先对路由器断电,再将U盘插入路由器的USB接口。
(4) 将路由器接通电源,等待10分钟左右,路由器正常启动后,即可重新登录。
重新启动功能用于立即和定时重新启动设备。
重新启动设备可能会导致业务中断,请谨慎使用。
(1) 单击导航树中[系统工具/重新启动]菜单项,进入重新启动配置页面。
(2) 在“立即重启”页签下,点击<重新启动设备>按钮,在弹出的确认提示对话框中,点击<是>按钮,立即重新启动设备。
在使用定时重启功能之前,需在“系统设置—日期和时间—自动同步网络日期和时间”中配置NTP服务器。
(1) 单击导航树中[系统工具/重新启动]菜单项,进入重新启动配置页面。
(2) 单击“定时重启”页签,进入定时重启配置页面。
(3) 在“定时重启”配置处,选择“开启”选项。开启定时重启设备的功能。
(4) 在“生效周期”配置处,设定每周设备重启的具体时间。
(5) 点击<确定>按钮,设备将会在设定时间进行重启。
设备在运行过程中会生成系统日志。日志中记录了管理员在设备上进行的配置、设备的状态变化以及设备内部发生的重要事件等,为用户进行设备维护和故障诊断提供参考。
用户可以将日志发送到日志服务器集中管理,也可以直接在Web页面查看日志。
日志划分为如表14-1所示的五个级别,各级别的严重性依照数值从0~4依次降低。了解日志级别,能帮助您迅速筛选出重点日志。
|
数值 |
信息级别 |
描述 |
|
0 |
Error(0) |
表示错误信息 |
|
1 |
Warning(1) |
表示警告信息 |
|
2 |
Notification(2) |
表示正常出现但是重要的信息 |
|
3 |
Informational(3) |
表示需要记录的通知信息 |
|
4 |
Debugging(4) |
表示调试过程产生的信息 |
请确保设备和日志服务器能互相ping通,日志服务器才能收到设备发送的日志。
(1) 单击导航树中[系统工具/系统日志]菜单项,进入系统日志配置页面。
(2) 在“日志记录等级”配置项处,选择日志记录的级别。
(3) 在“日志来源”配置项处,选择日志的来源,控制日志信息的输出。主要分为:
¡ 系统:记录设备运行中,记录所有功能模块的运行状态相关信息。缺省选择该参数,不可取消。
¡ 配置:记录设备配置发生变化的信息。
¡ 安全:记录设备防攻击、报文过滤、防火墙等相关信息。
¡ 流量信息:记录IP、端口等流量信息。
¡ VPN:记录VPN相关信息。
(4) 根据需要勾选“是否将系统日志记录到存储介质”选项。
(5) 勾选“发送到日志服务器”选项,输入日志服务器的IP地址或者域名地址。
(6) 点击<应用>按钮,完成配置。
(1) 单击导航树中[系统工具/系统日志]菜单项,进入系统日志配置页面。设备会逐条显示日志的生成时间、级别以及详细信息。
(2) 用户可使用高级查询功能,通过时间、级别、信息来源和详细信息这几个条件的任意组合来查找对应的系统日志。
(3) 点击<导出>按钮,可以将设备上已有的日志信息导出到登录Web管理页面的PC上。
(1) 单击导航树中[系统工具/系统日志]菜单项,进入系统日志配置页面。
(2) 点击<清除>按钮,清除路由器所记录的日志信息。
管理员设置功能是对登录设备的管理员账户信息进行管理,包括修改用户名和密码。
系统中仅能存在一个管理员账户。
仅允许修改管理员账户的名称和密码,不允许删除管理员账户。
(1) 单击Web页面执行区域右上角的“管理员”图标,选择“设置”菜单项,进入管理员账户配置页面。
(2) 如果您需要修改当前管理员的用户名,请在“用户名”配置项处输入新用户名。需要注意的是,修改用户名后,您还必须修改当前管理员密码。
(3) 如果您需要修改当前管理员的密码,请依次执行以下操作:
a. 在“当前管理员密码”配置项处,输入旧密码。
b. 在“新密码”配置项处,输入新密码。密码设置规则如下:
- 密码长度为10~63个字符。
- 密码的组成元素包括以下4种类型:A~Z、a~z、0~9、特殊字符(空格~`!@#$%^&*()_+-={}|[]\:;'<>,./)。
- 至少包含4个不同的字符,且至少包含2种以上类型的字符。
- 不能包含用户名或者逆转用户名,且密码或倒序的密码是否为用户名的一部分,例如,用户名为admin,则密码admin12356、nimda12356是不符合要求的。
c. 在“确认密码”配置项处,再次输入新密码,并确保与之一致。
(4) 如果您希望在此页面上显示帮助管理员记忆密码的提示信息,请在“密码提示”配置项处输入相关提示信息。
(5) 点击<确定>按钮,完成配置。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
