- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-正文
本章节下载 (4.18 MB)
H3C Magic BR2005是企业级全千兆路由器,采用全新硬件架构、具备丰富的软件功能、支持全面的安全策略,主要面向写字楼、小微企业、办事处以及商铺等商业用户。
表1-1 本手册适用产品列表
|
产品 |
描述 |
|
BR2005 |
· 提供1个10/100/1000Base-T LAN口、3个10/100/1000Base-T LAN/WAN口、1个10/100/1000Base-T WAN口 · 内置蓝牙BLE5.1,支持H3C点点通APP快速开局 |
本手册中所涉及的Web设置页面仅供参考,且以H3C Magic BR2005路由器(下文简称BR2005)为例,请以实际为准。此外,手册中所描述的功能特性规格可能随产品的升级而发生改变,恕不另行通知。详情您可以向H3C公司市场人员或技术支援人员咨询获取。
· 支持LAN/WAN切换,便于多运营商接入,提高出口上网速率。
· 支持带宽保障,当其中一条运营商线路出现故障时,其余线路也能正常工作,上网不受影响。
· 内置AC功能,支持对H3C Magic商用系列AP的统一管理。
· 支持无线一键优化,无线网优一键搞定。
· AP零配置,即插即用。
路由及纯AC模式一键切换。模式切换后,需重启设备方可生效。
· “路由模式”:设备出厂缺省为路由模式,此时,设备既可用来管理AP,又具备路由功能。
· “纯AC模式”:此时设备只能作为AC(AP管理器),用于旁挂管理,不具备路由功能,无法给客户端分配IP地址。
支持IPSec VPN,通过简易的WEB配置实现端到端安全的VPN连接,支持多种加密算法,是分支节点理想的接入设备。
· 内置专业的防火墙,可以防护外部多种专业的攻击手段,如:ARP攻击等。
· 支持ARP防伪认证功能,可以有效避免内部PC中毒后引起的网络中断,保障上网体验。
· 提供非常简便的Web设置页面,配置直观、易操作、使用复杂度低。
· 每个Web设置页面均提供详细的联机帮助,供您查阅。
· 提供了丰富的统计信息和状态信息显示功能,使您对设备当前的运行状态一目了然。
· 支持通过本地和远程Web方式对设备进行详细的配置和管理。
图1-1 组网应用
完成硬件安装后,在登录设备的Web管理界面之前,您可选择有线或无线方式建立网络连接。
将设备的LAN口与管理计算机的网口相连,并设置管理计算机的IP地址。
操作步骤如下(以Windows 10系统为例):
|
1. 单击桌面右下角的网络图标,如 |
|
|
2. 单击“更改适配器选项”,打开网络连接窗口 |
|
|
3. 右键单击以太网的<属性>按钮,打开“以太网属性”窗口。双击“Internet协议版本4(TCP/IPv4)” |
|
|
4. 配置电脑的IP地址 · 当设备开启DHCP功能时,可选择自动获取IP地址和DNS服务器地址,或通过手动配置电脑IP地址,与设备IP地址(缺省192.168.124.1)保持同一网段 · 当设备关闭DHCP功能时,只能通过手动配置电脑IP地址,与设备IP地址(缺省192.168.124.1)保持同一网段 · 设置好IP地址后,单击<确定>按钮,返回[本地连接 属性]对话框,再单击<确定>按钮 |
|
操作步骤如下:
|
1. 单击屏幕左下角<开始>按钮进入[开始]菜单,选择“运行”,弹出“运行”对话框 2. 输入“ping 192.168.124.1(设备的IP地址,此处是缺省IP地址)”,单击<确定>按钮 |
|
|
3. 如果在弹出的对话框中显示了从设备侧返回的回应,则表示网络连通;否则请检查网络连接 |
|
· 台式电脑需要成功安装无线网卡才能进行无线连接。
· 通过无线方式建立网络连接,要求设备已连接无线AP。无线信号由AP提供,设备本身不提供无线信号。
· 将终端放置于无线网络范围内(小于100m),无线网络默认没有加密。
通过无线终端(手机或者带有无线网卡的电脑等),搜索Wi-Fi名称为“H3C_XXXXXX”的无线网络(默认没有加密),进行连接即可,XXXXXX为设备MAC地址后六位。
|
1. 单击电脑桌面右下角图标
如果找不到图标 |
|
|
2. 连接成功后,您的无线网络显示为“已连接” |
|
如果当前管理计算机使用代理服务器访问因特网,则必须取消代理服务,操作步骤如下:
|
1. 在浏览器窗口中,选择[工具/Internet 选项]进入“Internet 选项”窗口 |
|
|
2. 选择“连接”页签,并单击<局域网设置(L)>按钮,进入“局域网(LAN)设置”页面。请确认未选中“为LAN使用代理服务器”选项;若已选中,请取消并单击<确定>按钮 |
|
|
1. 打开Web浏览器,在浏览器地址栏中输入http://192.168.124.1,回车后进入设备欢迎页面,单击<马上体验>按钮 |
|
|
2. 设备自动检测网络环境,选择上网模式 · 以典型上网模式DHCP为例。设备检测到当前为自动方式(DHCP),对Wi-Fi名称密码以及设备的管理密码进行设置,之后单击<完成设置> · 也可以点击<其他模式>,手动选择上网模式: · 自动方式(DHCP):自动从网络服务商处获取IP地址。不需要填写任何内容 · 宽带拨号(PPPoE):ADSL虚拟拨号方式。需要填写网络服务商提供的宽带账号与密码 · 手动方式(静态IP):有网络服务商提供的固定IP地址。需要填写IP地址、子网掩码、默认网关地址和DNS服务器
如果WAN口与LAN口地址(192.168.124.1)冲突,设备会自动弹出LAN口设置页面。设置LAN口新的IP地址后,使用新的LAN口IP地址登录设备即可 |
|
|
3. (可选)如您所连的交换机为H3C Magic BS万兆系列,且此时交换机已与路由器正常通信,您可在配置向导中看到“智能划网”页 |
|
|
4. 配置完成后,可截图保存当前的Wi-Fi名称和密码、设备管理地址和密码 |
|
|
5. 设置完成后,设备自动跳转至登录页面。输入刚设置的管理密码,点击<登录>,即可进入Web管理页面进行更多设置 |
|
在首页,快速查看设备的组网拓扑图、当前工作模式、运行时长以及设备状态。
表3-1 页面关键项描述
|
页面关键项 |
描述 |
|
|
设备重启图标,点击并确认后,设备会直接重启 |
|
组网拓扑图 |
显示当前网络中的所有设备连接状态,包括互联网、路由器、交换机、AP、终端设备等,并实时显示各设备数量 |
|
工作模式 |
显示设备当前的工作模式,路由模式或纯AC模式 |
|
系统运行时长 |
显示设备从上一次通电后到现在的总运行时间 |
设置WAN口的上网连接方式,支持自动方式(DHCP)、手动方式(静态IP)、宽带拨号(PPPoE)三种连接方式。具体选择何种方式请咨询当地运营商。
(1) 选择需设置的WAN口。
(2) 根据实际需要及网络环境进行设置。点击<保存>。
¡ 自动方式(DHCP):无需设置,自动从运营商处获取IP地址。
¡ 手动方式(静态IP):手动填入运营商提供的IP地址、子网掩码、网关和DNS服务器。
¡ 宽带拨号(PPPoE):填入运营商提供的上网宽带账号和密码。
(1) 设置“双频合一”功能的开启/关闭。
开启“双频合一”后,2.4G和5G Wi-Fi将具有相同的配置(SSID、加密方式),支持双频的终端(手机等)会根据无线环境自动选择合适的信号。
(2) 设置无线名称和密码。点击<保存>。
查看所有连接在路由器下的终端接入信息,包括终端名称、IP/MAC地址、上传/下载速率、接入方式等。
(1) 点击<断开连接>图标
,可断开无线客户端与设备的连接。
(2) 鼠标停留在<详情>图标
,查看更多该终端的详细信息,包括连接时间、接入的无线SSID、信号强度、信道、频宽等。
(3) 输入终端关键信息,点击搜索图标,快速查找终端设备。
显示设备基本信息和端口链路状态等信息。
(1) 点击“更多→系统监控→系统信息”。
(2) 在“基本信息”区段中,查看设备型号、序列号、工作模式、Boot版本、软件版本。
(3) 在“端口状态”区段中,查看各端口的链路状态。鼠标移至各端口,可单独查看各端口的详细连接信息,包括端口协商速率、上网方式、IP/MAC地址等。
(4) 右侧可查看:
¡ 系统时间、运行时长;
¡ 无线网络的名称密码等无线信息;
¡ 内存和CPU使用率。
设备能够记录当前运行过程中的设置状态变化、网络攻击等信息,可以帮助您快速定位设备故障、了解网络情况及对网络攻击进行定位。
设备还支持把日志信息实时发送给日志服务器的功能,以免设备重新启动后,所有记录的日志都会丢失。
当设备中的日志信息存满后,新的日志将会覆盖最早被记录的日志信息。因此,为了避免日志信息遗漏,建议您使用日志服务器来记录日志信息。此时,需要您预先在局域网内或外网建立相应的日志服务器,且与设备保持连通。
根据日志记录等级和日志信息输出来源,可以快速定位日志信息。
|
日志等级 |
描述 |
|
紧急错误 |
导致系统不可用的错误 |
|
警戎错误 |
必须对其采取紧急措施的错误 |
|
严重错误 |
导致系统处于危险状态的错误 |
|
一般错误 |
一般性的错误提示 |
|
警告信息 |
系统仍然正常运行,但可能存在隐患的提示信息 |
|
通知信息 |
正常状态下的重要提示信息 |
|
信息报告 |
一般性的提示信息 |
|
调试信息 |
调试过程中产生的信息 |
表4-2 日志信息来源描述
|
日志来源 |
描述 |
|
系统 |
所有设备功能运行的日志信息。比如:使用PPPoE方式连接因特网、LAN/WAN切换 |
|
网络 |
对于网络规则配置相关的日志信息,比如:路由模式的切换 |
|
安全 |
设备进行防欺骗、报文过滤等操作时输出的日志信息 |
|
无线设置 |
无线配置参数的变更修改等 |
|
AP管理 |
对AP所进行的相关操作 |
|
交换机管理 |
对交换机所进行的相关操作 |
|
VPN |
设备IPSec VPN相关的日志信息 |
(1) 点击“更多→系统监控→系统日志”。
(2) 在日志列表中,显示设备上电启动后的所有日志信息。
(3) 点击<下载>图标
,将将设备所记录的日志信息下载到本地保存。
(4) 点击<全部清空>图标
,清除设备所记录的日志信息。
(1) 在“日志等级”配置项处,选择日志记录的级别。
(2) 在“日志来源”配置项处,选择日志的来源。
(3) 设置“发送系统日志”功能的开启/关闭,如开启,需输入日志服务器的IP地址或域名地址。
(4) 点击<保存>,完成配置。
设备为您提供了端口流量监控功能,对每个物理端口的流量进行实时采样。您可以根据设备所获取的统计数据,更好地了解当前的网络流量状态,掌握网络运行状况,便于管理与控制。
· 图模式:以直观的波动线图显示各端口上行和下行的速率和流量。
· 比特模式:以表格形式显示各端口流量、速率和链路状态。
(1) 点击“更多→系统监控→端口流量”。
(2) 选择查看方式,图模式或比特模式。
设置WAN接口,以实现设备访问外网。设备支持3个LAN/WAN转换口。
正常情况下,接口从LAN口转换到WAN口后,WAN口的连接到互联网方式为自动方式(动态IP),启用前请配置WAN口连接参数。接口相关的VLAN配置信息在接口转换后将会丢失。
设备出厂时,各WAN口都有一个缺省的MAC地址,一般情况下,无需改变。但是,比如:有些运营商要求只有注册过的设备才能连接到因特网,此时,您就需要使用设备WAN口MAC地址克隆功能,将WAN口MAC地址修改为在运营商侧注册过的MAC地址。
当进行WAN口MAC地址克隆设置时,如果更换了MAC地址,则WAN口会重新进行初始化。在此过程中,转发的流量会因为接口地址和路由的变化,会重新选择出接口。待接口初始化完成以后,新建立的转发业务才会按照您所设置的方式进行转发。
(1) 点击“更多→接口管理→WAN设置”。
(2) 根据接入因特网的链路个数,配置相应的WAN出口数量。
(3) 之后点击不同WAN图标,对各WAN口的具体参数进行设置
(4) 根据用户实际需要及网络环境,设置上网方式。具体选择何种方式请咨询当地运营商。
¡ 自动方式(DHCP):无需设置,自动从运营商处获取IP地址。
¡ 手动方式(静态IP):手动填入运营商提供的IP地址、子网掩码、网关和DNS服务器。
¡ 宽带拨号(PPPoE):设置WAN口作为PPPoE客户端,使用PPPoE用户名和密码拨号连接获取IP地址。
(5) 点击<展开更多设置>,设置MTU、MAC地址克隆等更多参数。
(6) 点击<保存>,完成配置。
|
页面关键项 |
描述 |
|
宽带账号 |
设置PPPoE拨号上网时,身份验证使用的用户名。由运营商提供 |
|
宽带密码 |
设置PPPoE拨号上网时,身份验证使用的密码。由运营商提供 |
|
链路状态 |
显示设备WAN口当前的链路状态 |
|
IP地址 |
设置设备WAN口的IP地址。由运营商提供
用于连接到因特网的WAN口IP地址不能和内网网段IP地址冲突 |
|
子网掩码 |
设置设备WAN口的IP地址子网掩码。由运营商提供 |
|
网关地址 |
设置设备WAN口的缺省网关地址。由运营商提供 |
|
主DNS服务器 |
设置设备主域名服务器的地址,用于将便于记忆的、有意义的域名解析为正确的IP地址。由运营商提供 |
|
辅DNS服务器 |
设置设备辅域名服务器的地址,当主域名服务器失效时,可以由它来完成解析。由运营商提供 |
|
MTU |
设置设备WAN口允许通过的最大传输单元,单位为字节。建议您使用缺省值 |
|
MAC克隆/MAC地址 |
选择“使用设备MAC”或“自定义MAC”: · 使用设备MAC:自动使用设备出厂时的MAC地址,无需配置 · 自定义MAC:手工输入在运营商侧注册过的MAC地址 |
设置LAN接口IP地址,以实现下行设备访问设备。
当您修改了设备LAN口的IP地址后:
· 您需要在浏览器中输入新的IP地址重新登录(如果电脑的IP地址配置为静态IP地址,还需要将电脑的IP地址与LAN口新设置的IP地址修改为同一网段),才能对设备继续进行配置管理。
· 其他页面中和IP地址相关的配置可能需要相应修改(如IP/MAC绑定表中的IP地址等),保持和LAN口IP在同一网段。
如果希望设备可以自动为连接到LAN接口的客户端(如连接到设备的计算机等)分配IP地址,则需要开启DHCP服务。
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网协议,主要用于为局域网内的主机分配IP地址。DHCP支持动态及静态地址分配机制:
· 动态地址分配功能配置在接口上,此功能给用户主机动态分配IP地址,时间到期或主机明确表示放弃该地址时,该地址可以被其它主机使用。该分配方式适用于局域网的主机获取有一定有效期限的地址的组网环境。
· 静态分配的IP地址不与客户端的接口绑定,仅需要与主机的网卡MAC地址进行绑定,具有永久使用权限。该分配方式适用于局域网的主机获取租期为无限长的IP地址的组网环境。
(1) 点击“更多→接口管理→LAN设置”。
(2) 根据规划好的IP地址,修改设备LAN口IP地址,以适应实际环境。
(3) 设置“DHCP服务”的开启/关闭。默认开启“DHCP服务”,即为连接到设备的客户端(例如连接到设备的计算机等)动态分配IP地址。需设置设备可分配给客户端的IP地址池范围(开始和结束地址)、以及IP地址的租期。
(4) 点击<保存>,完成配置。
指定的地址池的地址范围不能与设备上WAN口的IP地址网段包含相同的IP地址。
将设备上的LAN接口加入指定的VLAN,使得局域网内处于同一VLAN的主机能直接互通,处于不同VLAN的主机不能直接互通,从而实现广播域的隔离和虚拟工作组的划分。适用于连接位置比较固定的用户。
VLAN设置与智能划网设置有关联,两边的新增、修改和删除均会自动同步,请您注意配置。
(1) 点击“更多→接口管理→VLAN设置→VLAN列表”。
(2) 点击<添加>按钮,为设备创建连接内网的VLAN和VLAN接口,设置VLAN ID、IP地址及其掩码。
(3) 将VLAN接口作为内网设备的网关,设置其“DHCP服务”的开启/关闭。默认开启“DHCP服务”,即为连接到设备的客户端(例如连接到设备的计算机等)动态分配IP地址。需设置设备可分配给客户端的IP地址池范围(开始和结束地址)、以及IP地址的租期。
(4) 点击<确认>,完成配置。
(1) 点击“更多→接口管理→VLAN设置→端口VLAN”。
(2) 在端口列表中,点击指定端口上“操作”区段的<编辑>按钮。
(3) 在弹出的对话框中,修改端口的PVID以及端口允许通过的VLAN。点击<确认>,完成修改。
如果允许通过的VLAN配置中的VLAN未创建接口,需要您手动在“VLAN列表”页面创建对应的三层VLAN接口后才可生效。
表5-2 页面关键项描述
|
页面关键项 |
描述 |
|
PVID |
Port VLAN ID,端口的缺省VLAN。当端口收到未携带VLAN Tag的报文时,即认为此报文所属的VLAN为端口的缺省VLAN |
|
VLAN范围 |
设置报文允许通过的VLAN,可以为“自定义”或“全部” 如选择自定义,输入范围时,离散用“,”分隔,连续用“-”分隔,如2,5,6-10 |
显示已分配的DHCP客户列表信息。
如果您想让设备给某些特定的客户端分配固定的IP地址,可以事先通过DHCP静态表将客户端的MAC地址和IP地址进行绑定,使其成为一对一的分配关系。
· 静态绑定的客户端IP地址不能是设备上WAN口的IP地址网段包含的IP地址。
· 当您设置设备通过DHCP方式为客户端分配IP地址的同时又设置了ARP绑定,此时,请确保DHCP静态表项与ARP绑定表项不冲突,否则对应的客户端可能无法上网。
(1) 点击“更多→接口管理→DHCP列表→DHCP客户端列表”。
(2) 查看所有已分配的DHCP客户端列表信息。
(3) 点击<添加>按钮,路由自动将目前已经学习到的IP与MAC条目添加到静态地址分配列表中。
(1) 点击“更多→接口管理→DHCP列表→DHCP静态列表”。
(2) 点击<添加>按钮,为特定MAC地址分配固定的IP地址。
(3) 点击<确认>按钮,完成配置。
IPv6(Internet Protocol Version 6),全称为互联网协议第6版,是互联网工程任务组(IETF)设计的用于替代IPv4的下一代IP协议,有更大的地址空间,用于解决IPv4存在的网络地址资源不足等问题。
(1) 点击“更多→接口管理→IPv6设置”。
(2) 点击<IPv6>按钮,开启路由器的IPv6功能。
开启IPv6功能,对应IPv4 WAN口的MTU值须大于1280。
(1) 点击“更多→接口管理→IPv6设置→WAN设置”。
(2) 设置上网方式、默认网关、代理前缀等信息。目前上网方式仅支持自动获取,无需设置其他参数。
(3) 点击<保存>按钮,完成配置。
(1) 点击“更多→接口管理→IPv6设置→LAN设置”。
(2) 设置地址分配方式、主/辅DNS等信息。
(3) 点击<保存>按钮,完成配置。
表5-3 页面关键项描述
|
页面关键项 |
描述 |
|
地址分配方式 |
设置地址分配方式,可选自动、SLAAC和DHCPv6: · 自动:路由器自动选择SLAAC或DHCPv6分配方式 · SLAAC:局域网中的设备将根据路由通告自动生成IPv6地址 · DHCPv6:路由器自动为局域网内的设备分配IPv6地址、DNS等参数 |
当您需要手动增加AP、修改无线网络各种参数以便对无线网络进行优化或需要进行无线漫游时,可以使用无线管理功能。
对2.4G网络和5G网络的无线名称、加密方式、无线密码以及其他无线参数进行配置。
(1) 点击“更多→无线管理→无线配置→2.4G/5G设置”。
(2) 点击“SSID”页签,设置SSID参数(默认4个2.4G、4个5G):
a. 设置“无线开关”的开启/关闭。
b. 如开启,需设置无线名称、加密方式、无线密码等参数。
c. 点击<展开更多设置>,设置桥接VLAN、客户端数量等更多参数。
d. 点击<保存>,完成配置。
表6-1 页面关键项描述
|
页面关键项 |
描述 |
|
无线名称 |
设置无线网络名称,用于区分不同的无线网络 |
|
加密方式 |
选择加密方式 建议使用WPA2-PSK/WPA3-SAE加密方式,以提供更高的网络安全性 |
|
加密协议 |
选择加密协议 · TKIP:暂时密钥完整性协议 · AES:先进加密标准 · TKIP+AES:自动协商使用TKIP或AES
AES比TKIP采用更高级的加密技术,因此AES比TKIP的安全性更好,但TKIP对网卡的兼容性更好,部分老网卡可能不支持AES,实际中请根据网卡的支持情况选择加密协议 |
|
无线密码 |
设置无线网络密码,输入一个8~63字符的字符串 |
|
桥接VLAN |
SSID工作在桥接模式,设置该SSID(无线接口)与哪个VLAN桥接在一起,即该SSID的无线网络划入该VLAN 缺省情况下,SSID与VLAN1桥接在一起 |
|
客户端数量 |
设置允许多少个无线客户端接入该SSID,取值范围为0~32 |
|
客户端隔离 |
选择与某个SSID建立连接的无线客户端之间是否可以互相通信: · 禁用:允许无线客户端之间进行通信 · 启用:禁止无线客户端之间进行通信 缺省情况下,禁用客户端隔离功能
启用客户端隔离后,无线客户端与有线客户端之间依然无法隔离 |
|
隐藏无线名称 |
选择是否隐藏无线名称: · 如果禁用本功能,当无线客户端搜寻本地可以接入的无线网络时,将检测到该SSID,从而可以建立连接 · 如果启用该功能,则需要管理员向客户端知会其SSID名称和密码,客户端才可以根据SSID名称接入无线网络 |
(3) 点击“基本设置”页签,设置无线基本参数。
表6-2 页面关键项描述
|
页面关键项 |
描述 |
|
无线模式 |
· 选择2.4G无线网络工作模式: ¡ b+g+n模式:设备工作在802.11b/g/n的混合模式下 ¡ b+g+n+ax模式:设备工作在802.11b/g/n/ax的混合模式下 · 选择5G无线网络工作模式: ¡ a+n模式:设备工作在802.11a/n的混合模式下 ¡ a+n+ac模式:设备工作在802.11a/n/ac的混合模式下 ¡ a+n+ac+ax模式:设备工作在802.11a/n/ac/ax的混合模式下 缺省情况下,2.4G无线模式为b+g+n+ax模式,5G无线模式为a+n+ac+ax模式 |
|
无线频宽 |
· 选择2.4G无线网络的工作频宽: ¡ 可选20MHz、20/40MHz或40MHz · 选择5G无线网络的工作频宽: ¡ 当无线模式选择“a+n”时,可选20MHz、20/40MHz或40MHz ¡ 当无线模式选择“a+n+ac+ax”或“a+n+ac”时,可选20MHz、20/40MHz、40MHz、80MHz或160MHz 缺省情况下,无线频宽请以实际产品为准 |
|
无线信道 |
选择无线网络的工作信道(频道) 为了提升网络性能,请尽量选择设备工作环境中未被使用的信道 缺省情况下,无线信道为AUTO
在AUTO模式下,设备会自动选择一个合适的无线信道 |
|
无线功率 |
调节无线发射功率,值越大,覆盖范围越大,信号越好 缺省情况下,发射功率均为100% |
对2.4G网络和5G网络的无线全局参数进行配置。
在WLAN网络中,信号强度较弱的无线终端虽然能够接入网络,但其所能获取到的网络性能和服务质量相比信号强的无线终端要差很多。弱信号终端禁止接入功能通过拒绝信号低于指定信号强度门限值的终端接入,避免弱信号终端占用较多的信道资源,减少对网络中其它终端的影响,提升整网的用户体验。
(1) 点击“更多→无线管理→无线配置→全局设置”。
(2) 根据实际情况,选择是否开启如下功能:
a. 设置“二层漫游”功能的开启/关闭。如开启,则需设置“漫游阈值”。
b. 设置“弱信号终端禁止接入”功能的开启/关闭。如开启,则需设置“禁止接入信号强度”。
c. 勾选“广播探测”、“协议漫游”、“OFDMA”、“MU-MIMO”,设置各功能的开启/关闭。
(3) 点击<保存>,完成配置。
表6-3 页面关键项描述
|
页面关键项 |
描述 |
|
二层漫游 |
无线终端从一个AP上接入转移到另一个AP上接入的过程,称为漫游。漫游期间,终端的IP地址、授权信息等维持不变 启用后,可以让无线客户端切换到较强信号的AP上 |
|
漫游阈值 |
漫游阈值,即信号切换阈值,当开启二层漫游功能时,信号强度低于“漫游阈值”的终端会进行信号切换,尝试去连接信号强的AP 缺省情况下,信号切换阈值为-75dBm |
|
弱信号终端禁止接入 |
启用后,可以让弱信号的无线终端无法接入无线网络 |
|
禁止接入信号强度 |
当无线终端的信号强度低于此值时,终端将无法连接无线网络 缺省情况下,禁止接入信号强度为-80dBm
若同时启用“二层漫游”和“禁止弱信号客户端接入”,“禁止接入信号强度”需要比“信号切换阈值”低,否则“二层漫游”功能将不生效 |
|
广播探测 |
启用广播探测功能,AP会响应终端的探测 |
|
协议漫游 |
启用/禁用协议漫游功能,开启该功能可以让支持该功能的终端根据信号强度能自动切换信号 |
|
OFDMA |
启用后,多个终端数据可同时并行传输,提升传输效率,降低时延
该功能需要终端支持Wi-Fi 6,否则可能存在兼容性问题 |
|
MU-MIMO |
启用后,可提升网络性能与速度,使多用户同时传输大量数据时的网络体验更佳
该功能需要终端支持Wi-Fi 6,否则可能存在兼容性问题 |
您可通过开启AP管理功能,集中管理接入的AP设备。
(1) 点击“更多→无线管理→AP管理→AP管理”。
(2) 设置“AP管理”的开启/关闭。默认开启AP管理。
(3) 点击<展开更多设置>。
(4) 选择AP管理使用的管理VLAN。默认为VLAN1,如需选择其它VLAN,请先进入VLAN设置页面进行配置。
(5) 设置管理AP的私有管理地址和子网掩码。
(6) 设置AP注册成功后分配的IP地址池起始和结束地址。须与AP管理地址设置在同一子网内。
(7) 点击<保存>,完成配置。
· 管理地址不能与现网路由器地址冲突。
· AP注册成功后,须使用设备分配的IP地址访问。
· 如开启智能划网功能,则AP管理VLAN自动变更为VLAN 3999,且不可修改。
若需要通过Web管理页面登录AP设备,需统一设置下挂AP的Web管理页面登录密码。
(1) 点击“更多→无线管理→AP管理→密码管理”。
(2) 设置“密码管理”的开启/关闭。默认开启,与网关密码保持一致。也可选择“手动设置”,为AP设置统一的登录密码。
(3) 点击<保存>,完成配置。
显示路由器上是否上传了AP的最新版本。如果上传了则会显示当前的版本信息。
您可以将最新的AP版本上传至路由器。
AP版本保存在设备内存中,在设备重启后,该版本会丢失。
(1) 点击“更多→无线管理→AP管理→升级管理”。
(2) 点击<选择文件>按钮,访问待上传的AP软件版本存放路径,并选择版本文件。
(3) 点击<上传>按钮,将待上传的AP软件版本上传到设备中。
(4) 点击版本文件右侧的<删除>图标,即可删除设备中的版本文件。
可查看所有在线或离线的AP信息,并对AP进行配置修改。
无线网络状况不好时,可使用无线优化功能,重新部署AP网络、提高数据传输速率和网络资源利用率。
(1) 点击“更多→无线管理→AP列表”。
(2) 对各AP进行如下操作:
¡ 选中AP的模板设置项下拉框,直接切换AP模板。
¡ 点击<详情>,查看在线AP的详细接入信息。
¡ 点击更多符号
:
- 点击<AP查找>按钮,可以使支持查找功能的AP的系统指示灯闪烁。
- 点击<诊断导出>按钮,可以将AP的运行状态、故障定位等信息导出到本地。
(3) 勾选各AP前的复选框,可进行如下功能配置:
¡ 点击<配置同步>按钮,手动触发AP同步AC下发的配置。
¡ 点击<绑定模板>按钮,选择AP需要绑定的已经创建的AP模板。
¡ 点击无线优化:
- 网络分析:可自动分析您所选中的在线AP当前的网络状况,并以评分的形式在网络质量评分中显示出来。
- 一键优化:可优化选中的在线AP网络,自动选择最优无线信道,网络质量评分相应也会提升。
- 一键部署:自动部署全部在线AP的信道。
¡ 点击<版本升级>按钮,AC下发当前设备上的AP版本并升级该AP设备。
¡ 点击<重启>按钮,重启一个或多个选中的在线AP。
¡ 点击<删除离线>按钮,删除一个或多个离线AP的信息记录。
¡ 点击<诊断上传>按钮,可以将AP的运行状态、故障定位等信息上传到H3C云服务器。
设备的无线配置会作为默认模板下发给AP。如AP需要更多不同的配置,您可以通过配置本页面,添加不同的AP配置模板。当有AP上线时,可以绑定某一个AP配置模板。
(1) 点击“更多→无线管理→AP模板”。
(2) 点击<新增>按钮,可以添加新的AP配置模板:
a. 设置模板名称和模板描述。
b. 设置无线基本参数和SSID参数。
(3) 点击<新增>,完成配置。
设备支持管理H3C Magic BS系列云网交换机,您可通过开启交换机管理功能,集中管理接入的交换机设备。
交换机管理与智能划网设置有关联,请注意配置。如开启智能划网功能,则交换机管理功能同步自动开启。
(1) 点击“更多→交换机管理→交换机管理→交换机管理”。
(2) 设置“交换机管理”功能的开启/关闭。默认开启交换机管理。
显示路由器上是否上传了交换机的最新版本。如果上传了则会显示当前的版本信息。
您可以将最新的交换机版本上传至路由器。
交换机版本保存在设备内存中,在设备重启后,该版本会丢失。
(1) 点击“更多→交换机管理→交换机管理→升级管理”。
(2) 点击<版本上传>按钮,访问待上传的交换机软件版本存放路径,并选择版本文件。
(3) 点击<上传>按钮,将待上传的交换机软件版本上传到设备中。
(4) 点击版本文件右侧的<删除>图标,即可删除设备中的版本文件。
交换机列表包括交换机统计信息和交换机列表。
· 通过交换机统计信息,可知道设备在线/离线交换机数量,以及最多支持交换机的管理规格。
· 交换机列表中,您可以查看所有在线或离线的交换机信息,包括型号、序列号、IP地址、MAC地址、状态、工作模式、故障类型等。还可以对设备进行模式设置、重启、升级等操作。
(1) 点击“更多→交换机管理→交换机管理→升级管理”。
(2) 勾选各交换机前的复选框,点击列表上方按钮:
¡ 点击<模式设置>按钮,设置所选交换机运行的工作模式:
- 标准交换:开启流量控制、端口协商功能(缺省模式)。
- 端口隔离:开启下行端口之间的二层隔离功能,各端口只能与Uplink端口通信。
- 汇聚上联:开启流量控制、端口协商、4个Uplink光口或4个Uplink电口的聚合功能(源MAC+目的MAC,静态聚合)。
- 网络克隆:关闭流量控制功能,开启端口协商功能。
当交换机工作在汇聚上联模式时,Uplink的对端设备端口也需支持静态聚合功能,否则可能会造成环路!
¡ 点击<重启>按钮,重启一个或多个选中的在线交换机。
¡ 点击<删除离线>按钮,删除一个或多个离线交换机的信息记录。
¡ 点击<版本升级>按钮,手动下发当前设备上的交换机版本并升级该交换机设备。
(3) 直接点击交换机所在行的<进入>按钮,可进入交换机详细配置页面。
当交换机状态为离线、重启及版本升级三种时,<进入>按钮失效,无法点击。
在交换机列表中,点击交换机的<进入>按钮,可直接跳转到交换机详细设置页面。
(1) 点击“系统监控→基本信息”。
(2) 查看交换机的基本信息(如:当前运行的软件版本号、工作模式、运行时间等)。
(3) 如交换机支持PoE特性,可快速预览PoE当前的使用情况。
(4) 快速查看当前所有以太网端口的状态信息(如:链路状态、端口类型、速率、环路状态等)。您也可点击端口信息的任一端口图标,可快速跳转到端口配置页面。
(1) 点击“系统监控→端口统计”。
(2) 查看所有以太网端口当前的流量统计信息,包括端口开启状态、链路状态等。
(1) 点击“系统配置→基本设置”。
(2) 设置交换机的工作模式,包括4种不同的工作模式(标准交换、端口隔离、汇聚上联和网络克隆)。
(3) 选择是否开启交换机的自环检测功能。
(4) 输入合法的MAC地址,查询该MAC地址所对应的端口号。
表7-1 页面关键项描述
|
页面关键项 |
描述 |
|
工作模式 |
设置交换机运行的工作模式,包括:标准交换、端口隔离、汇聚上联和网络克隆 · “标准交换”:开启流量控制、端口协商功能(缺省模式) · “端口隔离”:开启下行端口之间的二层隔离功能,各端口只能与Uplink端口通信 · “汇聚上联”:开启流量控制、端口协商、4个Uplink光口或4个Uplink电口的聚合功能(源MAC+目的MAC,静态聚合) · “网络克隆”:关闭流量控制功能,开启端口协商功能
当交换机工作在汇聚上联模式时,Uplink的对端设备端口也需支持静态聚合功能,否则可能会造成环路! |
|
环路检测 |
开启或关闭设备的环路检测功能 设备通过发送环路监测报文、并监测其是否返回本设备(不要求收、发端口为同一端口)以确认是否存在环路,若某端口收到了由本设备发出的环路监测报文,就认定该端口存在环路。当交换机检测到存在环路时,会自动抑制出问题的端口以消除环路 |
|
MAC地址查询 |
用于查询某MAC地址实际连接到交换机的对应端口 |
· 流量控制:当本端端口收到对端发来的超过线速的报文时,会主动发送流控帧到对端,请求对端降低发送速率,以保证通信正常。
· 端口协商:通信前需先协商速率,以保持两端端口速率一致。若本端设备端口速率高于对端,开启端口协商功能可使本端设备端口降低协商速率,以保证通信正常。
· 端口聚合:两个Uplink端口进行静态聚合,组成一个聚合组,聚合组中各成员端口按接收数据中的源MAC+目的MAC进行负载分担。
如果局域网内存在大量的广播/组播/未知单播报文流量(可能由病毒导致)时,将会影响网络的正常通信。您可以通过设置设备上行口和下行口的风暴抑制功能,有效地抑制大量报文流量的传播,避免网络拥塞,保证网络业务的正常运行。
(1) 点击“系统配置→端口配置→端口设置”。
(2) 点击端口图标,选择要操作的端口(可多选);选择开启/关闭选中的端口,点击<应用>按钮生效。
(3) 选择上行口和下行口的风暴抑制级别(包括:不抑制、低、中、高),点击<应用>按钮生效。
表7-2 页面关键项描述
|
页面关键项 |
描述 |
|
选择端口 |
在面板示意图中,点击选择要进行开关设置的端口,或直接点击全选按钮 |
|
端口开关 |
设置端口的开启/关闭 缺省情况下,端口开关为开启状态
交换机与BR路由器设备连接的LAN口为管理口,无法关闭 |
|
风暴抑制 |
设置上行口和下行口的风暴抑制状态级别,包括:不抑制、低、中、高 这四个级别允许通过的报文流量依次减少,您可根据实际需求进行相应的设置 缺省情况下,风暴抑制功能处于关闭状态(即不抑制) |
PoE(Power over Ethernet,以太网供电,又称远程供电)是指设备通过以太网电口,利用双绞线对外接PD(Powered Device,受电设备)进行远程供电。
PD是接受交换机供电的设备,如IP电话、无线AP(Access Point,接入点)、便携设备充电器、刷卡机、网络摄像机等。
仅设备丝印中带有“-P”或“-HP”的设备支持PoE特性。
(1) 点击“系统配置→端口配置→PoE设置”。
(2) 显示设备当前PoE端口功率使用状态和工作情况。
(3) 点击端口图标,选择要操作的端口(可多选):
a. 开启/关闭选中端口的PoE开关;
b. 开启/关闭选择端口的长距离供电功能。
下方表格直观显示所有PoE端口的功率值、供电状态以及长距离供电状态,您也可通过表中的PoE开关快速进行切换。
表7-3 页面关键项描述
|
页面关键项 |
描述 |
|
PoE信息 |
· 剩余功率高于20W时,工作情况为“正常” · 剩余功率低于20W时,工作情况为“PoE异常”。此时,供电优先级低的PD将被断电。PoE供电优先级取决于端口号,端口号越小,供电优先级越高。被断电的端口供电状态将显示“电力不足” · 风扇出现异常时,工作情况为“风扇异常”
· 设备预设了20W的保护功率范围,以便适应PD设备的功率波动,从而防止由于PD的瞬间功率过大而导致PD断开。当设备剩余功率小于20W,且接入新的PD时,高优先级端口将抢占低优先级端口的功率,优先保证高优先级端口的正常工作;若低优先级端口的功率小于20W,将恢复该端口的PoE供电功能,否则该低优先级端口将不能正常工作 · 如果已接入的PD功率突然增加,造成设备功率过载时,将停止对连接在低优先级端口上PD的供电,以便保证给优先级高的PD供电 |
|
选择端口 |
在面板示意图中,点击选择要进行开关设置的端口,或直接点击全选按钮 |
|
PoE开关 |
开启/关闭端口PoE功能,缺省情况下,PoE开关为开启状态
交换机与BR路由器设备连接的LAN口为管理口,其PoE开关自动关闭,不支持供电 |
|
长距离供电 |
开启或关闭端口的长距离供电功能。开启后,传输速率将变为10M,可使用250米及以下长度的网线对设备供电 |
端口镜像是将指定镜像源端口的报文复制到目的镜像端口,目的镜像端口会与数据监测设备相连,用户利用这些数据监测设备来分析复制到目的端口的报文,从而进行网络监控和故障排除。
交换机重启后,设置的端口镜像会自动失效。
(1) 点击“系统配置→端口配置→端口镜像”。
(2) 点击端口图标,选择要操作的端口(可多选),作为源镜像端口成员。
(3) 在下拉框中分别选择指定的目的镜像端口和镜像作用的方向。
(4) 点击<应用>按钮,端口镜像设置生效。
(5) 点击<关闭镜像>按钮,可关闭当前已生效的端口镜像设置。
表7-4 页面关键项描述
|
页面关键项 |
描述 |
|
源镜像端口成员 |
允许把此接口的流量镜像到目的镜像端口 |
|
目的镜像端口 |
即监控接口,允许把源接口的流量镜像到的端口
交换机工作模式为“汇聚上联”时,所有Uplink口作为聚合口,不能设置为目的镜像端口 |
|
方向 |
根据端口镜像作用的方向来划分,包括: · 入口:只对从源端口接收的流量进行镜像 · 出口:只对从源端口发出的流量进行镜像 · 双向:对源端口接收和发出的双向流量进行镜像 |
(1) 点击“系统配置→系统设置→恢复出厂”。
(2) 点击<复原>按钮,将交换机恢复到出厂设置(比如:当您从一个网络环境切换到另一个不同的网络环境的情况,可将交换机恢复到出厂设置,然后再进行重新设置,以适应当前的组网)。
恢复出厂设置后,设备将会重新启动。在此期间请勿断开设备的电源。
智能划网,顾名思义,就是可以根据接入网络的终端设备类型,自动将终端设备划分到指定网络中。支持端口盲插,无论终端设备接在了哪个端口,都可以自动精准划分。
根据小微商业网络使用场景,设备预置了“有线终端网络”、“无线网络”、“监控网络”三种动态网络。在网络开局时,一键完成智能划网,实现三种类型设备的网络隔离划分,极大地简化了开局操作,简洁、快速、高效。
智能划网功能,包括“自动识别设备”+“网络划分”,其中识别设备主要依赖于交换机。
当前仅支持H3C Magic BS200FX系列万兆上行云网交换机,仅下挂在该系列交换机下的设备方可被识别。
您可以通过网络管理,划分不同的网络,每个网络属于不同的VLAN,相互隔离。各终端上线后,缺省为有线网络,无法删除。
(1) 点击“更多→智能划网→网络管理”。
(2) 设置“智能划网”功能的开启/关闭。
(3) 点击<添加>按钮,新增所需的隔离网络。如将AP自动添加到无线网络,手动将交换机的端口或接入终端分配到该网络下。点击<下一步>,进行高级设置。
· 自动添加:勾选终端类型后,设备会自动将之前已上线和之后上线的所有该类型,自动加入到该网络中。
· 手动添加:手动选择交换机端口,或直接选择交换机下接的终端设备。(交换机的管理口默认无法勾选)。如有设备在自动和手动端,被划分到不同网络时,手动添加的优先级高于自动添加。
(4) 输入该网络的VLAN ID,开启DHCP服务,修改IP地址网段等。点击<保存>,完成配置。
该页面显示所有交换机上下挂的终端及其详细信息。
您可自定义各个终端所属类型,以便更准确快捷的网络划分。
(1) 点击“更多→智能划网→接入终端管理”。
(2) 勾选需修改的终端,点击右上角的<编辑>按钮,添加该终端的备注信息,修改其终端类型。
终端类型可通过“更多→智能划网→终端类型”进行添加修改。
(3) 如勾选上“同步相同型号的终端为指定指定类型”,后续有同型号的该类中终端上线时,无需手动再次修改,设备会自动同步为您指定的终端类型。
(4) 如勾选上“修改终端类型后,立即对选中终端重新进行智能划网”,该终端将会立即切换VLAN到对应终端类型的网络中。此时,需注意确保该终端无下挂设备,否则可能导致其下挂设备无法访问Internet的情况。
(5) 点击<保存>,完成修改。
该页面显示所有交换机上下挂的终端及其详细信息。
您可自定义各个终端所属类型,以便更准确快捷的网络划分。
(1) 点击“更多→智能划网→终端类型”。
(2) 点击<添加>按钮,新增终端类型,如:门禁。
(3) 您也可以在该列表中修改或删除终端类型,默认的7种类型无法修改删除。
· 某企业使用电信线路接入,对应的带宽为1000M,带机量为100台。
· 企业有一个仓库,包含4个摄像机、1台录像机、1台门禁设备,需要单独网络管理。
· 办公区域有15台电脑、1台打印机,每台电脑都可以访问打印机。
· 访客都通过无线信号上网,不能访问办公区网络和仓库网络。
· 网关采用H3C Magic BR2005,交换机采用BS228FX-HP、BS228FX,AP采用BA3000C。
· 设置WAN口通过动态方式连接到因特网。
· 在网关的智能划网配置页面,手动将门禁设备划分到“监控网络”。
此典型配置举例仅体现BR2005上的设置,且所涉及的设置均在BR2005缺省配置的基础上进行。如果您之前已经对BR2005做过相应的设置,为了保证效果,请确保当前设置和以下设置不冲突。
|
1. 打开Web浏览器,在浏览器地址栏中输入http://192.168.124.1,回车。进入设备登录页面,输入您设置的管理密码,单击<登录>按钮 |
|
|
2. 点击“更多→智能划网”,开启“智能划网”功能 |
|
|
3. 点击“更多→智能划网→终端类型”,点击<添加>按钮,新增终端类型:门禁 |
|
|
4. 点击“更多→智能划网→网络管理”,点击<添加>按钮,新增所需的隔离网络: ¡ 无线网络:将无线接入点自动添加到该网络 ¡ 监控网络:将摄像机、录像机、门禁自动添加到该网络 |
|
|
5. 点击“更多→智能划网→接入终端管理”,找到未能正确识别的门禁设备,将其终端类型手动修改为“门禁”
交换机未能识别出门禁设备,将其识别为默认终端:有线终端。故,需手动变更门禁的终端类型 |
|
|
|
QoS是指针对网络中各种应用不同的需求,提供不同的服务质量,比如:提供专用带宽、减少报文丢失率、降低报文传送时延及抖动。
某些应用(比如:P2P下载等)在给用户带来方便的同时,也占用了大量的网络带宽。一个网络的总带宽是有限的,如果这些应用过度占用网络带宽,必将会影响其他用户正常使用网络。
为了保证局域网内所有用户都能正常使用网络资源,您可以通过IP流量限速功能对局域网内指定主机的流量进行限制。
(1) 点击“更多→上网管理→上网限速”。
(2) 设置“QoS”功能的开启/关闭。开启后,可以设置上网限速。
(3) 点击<新增>符号
,添加限速规则:
a. 设置被限速的主机的起始地址和结束地址。
b. 设置IP范围内各个主机的下载速率上限和上传速率上限。
(4) 点击<确认>,完成配置。
当对相同的单个IP地址或IP地址网段进行限速时,最新添加的限速规则生效。比如:
· 先添加规则1:设置用户(192.168.0.2)的IP流量下载限速为300Mbit/s。
· 后添加规则2:设置用户(192.168.0.2)的IP流量下载限速为500Mbit/s。
生效情况:规则2生效。
如果您希望控制局域网内的主机访问外网,则可以配置MAC地址黑白名单:
· 黑名单模式:禁止MAC地址在黑名单内的用户上网,其他默认允许上网。
· 白名单模式:仅允许MAC地址在白名单内的用户上网,其他默认禁止上网。
(1) 点击“更多→上网管理→黑白名单→上网管理”。
(2) 设置“上网管理”功能的开启/关闭,如开启,须选择管理模式为黑名单/白名单。
(3) 点击<保存>,完成配置。
(1) 点击“更多→上网管理→黑白名单→上网名单”。
(2) 点击<新增>符号
,设置黑/白名单中的MAC地址、描述。
(3) 点击<确认>,完成配置。
(4) 点击黑/白名单用户对应行的“操作”区段,可以修改或删除该名单。
IPSec是IETF制定的三层隧道加密协议,为IP层上的网络数据安全提供了一整套安全体系结构,包括安全协议AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安全载荷)、IKE(Internet Key Exchange,互联网密钥交换)以及用于网络认证及加密的一些算法等。其中,AH协议和ESP协议用于提供安全服务,IKE协议用于密钥交换。
IPSec在两个端点之间提供安全通信,端点被称为IPSec对等体。
安全联盟SA(Security Association)是IPSec的基础,也是IPSec的本质。SA是通信对等体间对某些要素的约定,例如,使用哪种协议(AH、ESP还是两者结合使用)、协议的封装模式(传输模式和隧道模式)、加密算法(DES、3DES和AES)、特定流中保护数据的共享密钥以及密钥的生存周期等。
SA是单向的,在两个对等体之间的双向通信,最少需要两个SA来分别对两个方向的数据流进行安全保护。同时,如果两个对等体希望同时使用AH和ESP来进行安全通信,则每个对等体都会针对每一种协议来构建一个独立的SA。
SA由一个三元组来唯一标识,这个三元组包括SPI(Security Parameter Index,安全参数索引)、目的IP地址、安全协议号(AH或ESP)。
SPI是为唯一标识SA而生成的一个32比特的数值,它在AH和ESP头中传输。使用IKE协商产生SA时,SPI将随机生成。
SA是具有生存周期的,且只对通过IKE方式建立的SA有效。生存周期到达指定的时间或指定的流量,SA就会失效。SA失效前,IKE将为IPSec协商建立新的SA,这样,在旧的SA失效前新的SA就已经准备好。在新的SA开始协商而没有协商好之前,继续使用旧的SA保护通信。在新的SA协商好之后,则立即采用新的SA保护通信。
【验证算法】:
验证算法的实现主要是通过杂凑函数。杂凑函数是一种能够接受任意长的消息输入,并产生固定长度输出的算法,该输出称为消息摘要。IPSec对等体计算摘要,如果两个摘要是相同的,则表示报文是完整未经篡改的。
IPSec使用以下两种验证算法:
表10-1 验证算法
|
验证算法 |
描述 |
|
MD5 |
MD5通过输入任意长度的消息,产生128bit的消息摘要 与SHA-1相比:计算速度快,但安全强度略低 |
|
SHA-1 |
SHA-1通过输入长度小于2的64次方bit的消息,产生160bit的消息摘要 与MD5相比:计算速度慢,但安全强度更高 |
【加密算法】:
加密算法实现主要通过对称密钥系统,它使用相同的密钥对数据进行加密和解密。
IPSec支持以下三种加密算法:
表10-2 加密算法
|
加密算法 |
描述 |
|
DES |
使用64bit的密钥对一个64bit的明文块进行加密 |
|
3DES |
使用三个64bit的DES密钥(共192bit密钥)对明文进行加密 |
|
AES |
使用128bit、192bit或256bit密钥长度的AES算法对明文进行加密 |
这三个加密算法的安全性由高到低依次是:AES、3DES、DES,安全性高的加密算法实现机制复杂,但运算速度慢。对于普通的安全要求,DES算法就可以满足需要。
IKE自动协商方式相对比较简单,只需要配置好IKE协商安全策略的信息,由IKE自动协商来创建和维护SA。
安全隧道是建立在本端和对端之间可以互通的一个通道,它由一对或多对SA组成。
1. IKE简介
在实施IPSec 的过程中,可以使用IKE协议来建立SA。该协议建立在由Internet SA和密钥管理协议ISAKMP定义的框架上。IKE为IPSec 提供了自动协商交换密钥、建立SA的服务,能够简化IPSec的使用和管理。
IKE不是在网络上直接传输密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥,并且即使第三者截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。
(1) IKE的安全机制
IKE具有一套自保护机制,可以在不安全的网络上安全地认证身份、分发密钥、建立IPSec SA。
【数据认证】:
数据认证有如下两方面的概念:
· 身份认证:身份认证确认通信双方的身份,支持预共享密钥认证。
· 身份保护:身份数据在密钥产生之后加密传送,实现了对身份数据的保护。
【DH】:
DH算法是一种公共密钥算法。通信双方在不传输密钥的情况下通过交换一些数据,计算出共享的密钥。即使第三者(如黑客)截获了双方用于计算密钥的所有交换数据,由于其复杂度很高,不足以计算出真正的密钥。所以,DH交换技术可以保证双方能够安全地获得公有信息。
【PFS】:
PFS特性是一种安全特性,指一个密钥被破解,并不影响其他密钥的安全性,因为这些密钥间没有派生关系。对于IPSec,是通过在IKE阶段2协商中增加一次密钥交换来实现的。PFS特性是由DH算法保障的。
(2) IKE的交换过程
IKE使用了两个阶段为IPSec进行密钥协商并建立SA:
· 第一阶段,通信各方彼此间建立了一个已通过身份认证和安全保护的通道,即建立一个ISAKMP SA。第一阶段有主模式和野蛮模式两种IKE交换方法。
· 第二阶段,用在第一阶段建立的安全隧道为IPSec协商安全服务,即为IPSec协商具体的SA,建立用于最终的IP数据安全传输的IPSec SA。
如图10-1所示,第一阶段主模式的IKE协商过程中包含三对消息:
· 第一对叫SA交换,是协商确认有关安全策略的过程;
· 第二对消息叫密钥交换,交换Diffie-Hellman公共值和辅助数据(如:随机数),密钥材料在这个阶段产生;
· 最后一对消息是ID信息和认证数据交换,进行身份认证和对整个SA交换进行认证。
野蛮模式交换与主模式交换的主要差别在于,野蛮模式不提供身份保护,只交换3条消息。在对身份保护要求不高的场合,使用交换报文较少的野蛮模式可以提高协商的速度;在对身份保护要求较高的场合,则应该使用主模式。
(3) IKE在IPSec中的作用
· 因为有了IKE,IPSec很多参数(如:密钥)都可以自动建立,降低了手工配置的复杂度。
· IKE协议中的DH交换过程,每次的计算和产生的结果都是不相关的。每次SA的建立都运行DH交换过程,保证了每个SA所使用的密钥互不相关。
· IPSec使用AH或ESP报文头中的序列号实现防重放。此序列号是一个32比特的值,此数溢出后,为实现防重放,SA需要重新建立,这个过程需要IKE协议的配合。
· 对安全通信的各方身份的认证和管理,将影响到IPSec的部署。IPSec的大规模使用,必须有认证机构或其他集中管理身份数据的机构的参与。
· IKE提供端与端之间动态认证。
(4) IPSec与IKE的关系
图10-2 IPSec与IKE的关系图
从图10-2中我们可以看出IKE和IPSec的关系:
· IKE是UDP之上的一个应用层协议,是IPSec的信令协议;
· IKE为IPSec协商建立SA,并把建立的参数及生成的密钥交给IPSec;
· IPSec使用IKE建立的SA对IP报文加密或认证处理。
对等模式应用在一对一网络中,如图10-3所示。
企业各分支网关之间均可主动建立IPsec隧道,来保护分支之间的数据通信。
在对等模式的网络中,两端的设备互为对等节点,都可以向对端发起IPSec SA的协商。
(1) 点击“更多→上网管理→VPN管理→IPSEC”。
(2) 设置“IPSec”功能的开启/关闭。
(1) 点击“更多→上网管理→VPN管理→IPSEC→IPSec设置”。
(2) 点击<新增>符号
,设置IPSec IKE协商安全策略相关参数。
(3) 设置IKE交换的两个阶段。第一阶段,设置IKE协商参数及安全提议;第二阶段,设置IPSec安全提议,为IPSec协商SA提供各种安全参数。
(4) 点击<确认>,完成配置。
表10-3 页面关键项描述
|
页面关键项 |
描述 |
|
|
安全策略名称 |
设置安全策略的名称 |
|
|
对端网关 |
指定IPSec对等体对端的地址信息,可输入IP地址或域名 通常为总部网关或对端分支机构网关的WAN口地址
如果对端地址不是固定地址而是动态地址,建议将对端地址配置为动态域名后,再进行连接 |
|
|
对端子网IP范围 |
对端子网IP范围和本端子网IP范围,分别用来指定IPSec VPN隧道本端和对端的子网网段 两个配置项组成一个访问控制规则。IPSec通过此访问控制规则来定义需要保护的数据流,访问控制规则匹配的报文将会被保护 |
|
|
本端子网IP范围 |
||
|
预共享密钥(PSK) |
设置IKE认证所需的预共享密钥(pre-shared-key) |
|
|
绑定接口 |
选择本端应用IPsec策略的接口,此接口需要与对端设备路由可达 |
|
|
启用状态 |
设置该安全策略的使用状态 |
|
|
第一阶段 |
安全提议 |
选择对等体需要引用的IKE安全提议,包括: · IKE验证算法,缺省情况下,使用MD5 · IKE加密算法,缺省情况下,使用3DES · IKE DH算法: ¡ DH1:768位DH组 ¡ DH2:1024位DH组 ¡ DH5:1536位DH组 ¡ DH14:2048位DH组 |
|
协商模式 |
选择协商模式: · 主模式:协商步骤多,身份验证位于密钥交互过程之后进行,适用于对身份保护要求较高的场合 · 野蛮模式:协商步骤少,身份验证与密钥交互同时进行,适用于对身份保护要求不高的场合 |
|
|
生命周期 |
设置IKE SA存在的生命周期(IKE SA实际的周期以协商结果为准),单位为秒 取值范围:60~604800 |
|
|
DPD检测 |
用于IPsec邻居状态的检测 启动DPD功能后,当接收端在触发DPD的时间间隔内收不到对端的IPSec加密报文时,会触发DPD查询,主动向对端发送请求报文,对IKE对等体是否存在进行检测 建议您开启此功能,使设备能够及时获悉IPsec隧道的可用情况 |
|
|
DPD周期 |
指定DPD检测周期,即触发DPD查询的间隔时间 |
|
|
DPD超时时间 |
指定DPD检测超时时间,即等待DPD应答报文超时的时间 |
|
|
第二阶段 |
安全提议 |
选择IPSec安全提议,包括: · 安全协议类型,使用ESP · 验证算法,缺省情况下,使用SHA-1 · 加密算法,缺省情况下,使用AES128
为了能够成功的协商IPSec的SA,两端必须使用相同的安全提议 |
|
PFS |
PFS特性是一种安全特性,指一个密钥被破解,并不影响其他密钥的安全性,因为这些密钥间没有派生关系。IKE在使用安全策略发起一个协商时,可以进行一个PFS交换。如果本端设置了PFS特性,则发起协商的对端也必须设置PFS特性,且本端和对端指定的DH组必须一致,否则协商会失败 · 空:关闭PFS特性 · DH1:768位DH组 · DH2:1024位DH组 · DH5:1536位DH组 · DH14:2048位DH组 |
|
|
触发模式 |
用来指定隧道的触发模式 · 流量触发:IKE隧道配置下发后,不会自动建立隧道,会等待兴趣流来触发隧道建立 · 长连模式:IKE隧道配置下发后或隧道异常断开后,会自动触发隧道建立,并且保证隧道长时间建立,不需等待兴趣流触发 |
|
(1) 点击“更多→上网管理→VPN管理→IPSEC→IPSec安全联盟”。
(2) 查看已建立的VPN隧道状态及对应的安全策略信息。
Portal认证是互联网接入的一种认证方式,通过对用户进行身份验证,以控制用户访问。用户需认证通过后,方可使用网络资源。
目前支持的认证方式包括:
· 一键认证
用户零输入,只需点击页面上的<一键上网>即可通过认证。
· 账号认证
拥有认证账号的用户(输入用户名和密码)才能接入网络。认证账号需在账号管理页面中提前创建。
· 短信认证
用户通过手机号和短信验证码完成认证并登录。避免用户记忆复杂的账号密码,简化用户认证接入。
短信认证,需要您先登录网易云信平台https://netease.im/,进行企业身份认证、购买短信服务、申请短信模板。
商家或企业可通过设置自定义的认证页面,实现身份验证、广告展示等信息。
(1) 点击“更多→认证管理→认证页面”。
(2) 设置自定义的认证页面,包括页面欢迎语、页面左上角logo、版本信息、背景图片。勾选认证方式。
(3) 之后在效果预览图中,可预览已配置完成的Portal认证页面。确认无误后,点击<保存>,完成配置。
支持为不同的接入用户开启不同的认证方案。
默认未开启认证方案的用户,可直接连接外网,无需认证。
(1) 点击“更多→认证管理→认证方案”。
(2) 设置“认证服务”功能的开启/关闭。认证服务需在外网连接正常情况下方能生效。
如关闭“认证服务”,所有认证方案将失效。如重启“认证服务”,所有用户需重新认证。
(3) 点击<新增>符号
,添加认证方案:
a. 设置该认证方案是否生效。如重启该方案,已认证用户无需再次认证,可直接上网。
b. 设置认证方案名称,选择启用认证方案的接口(该接口需已配置IP地址),设置认证成功后的跳转链接。
c. 设置允许用户免费上网的时长。如时长超过该值,设备会强制该用户下线。
d. 设置“无流量检测”功能的开启/关闭。
- 如开启,需设置无流量超时下线的检测时长。如检测到该时间段内,在线用户无流量使用,则将被强制下线,需重新认证后才能继续上网。
e. 选择认证方式。
f. 点击<保存>,完成配置。
如您选择账号认证,需提前配置可用于上网的认证账号列表。
(1) 点击“更多→认证管理→账号管理”。
(2) 点击<新增>符号
,添加用于认证登录的用户名及密码,并设置允许同时使用该账号登录的最大用户数量。
(3) 点击<保存>,完成配置。
(4) 在列表上方,通过点击<下载模板>、<导入账号>或<导出账号>,可将用户账号信息快速导入或导出。
设置免认证用户的IP地址或MAC地址,可无需认证直接上网,如打印机或部分用户。
设置未认证亦可直接访问的网址资源。
(1) 点击“更多→认证管理→免认证方案→用户IP白名单”。
(2) 点击<新增>符号
,添加免认证用户的IP地址范围。可以输入单个IP(如192.168.110.2),或者是IP地址范围(如192.168.110.2-192.168.110.254)。
(3) 点击<保存>,完成配置。
(1) 点击“更多→认证管理→免认证方案→用户MAC白名单”。
(2) 点击<新增>符号
,添加免认证用户的MAC地址。
(3) 点击<保存>,完成配置。
(1) 点击“更多→认证管理→免认证方案→目的IP白名单”。
(2) 点击<新增>符号
,添加所有用户(包括未认证用户)均可直接访问的IP地址。
(3) 点击<保存>,完成配置。
(1) 点击“更多→认证管理→免认证方案→域名白名单”。
(2) 点击<新增>符号
,添加免认证的网址。当用户的目的网址在域名白名单中时,无论用户是否完成认证,流量都会被直接放行。
(3) 点击<保存>,完成配置。
(1) 点击“更多→认证管理→用户管理”。
(2) 可查看所有已通过认证的在线用户信息。包括用户的IP/MAC地址、接入时采用的认证方式和时长等。
(3) 点击<断开连接>图标
,可将用户强制下线,断开连接,需重新认证后方可继续上网。
UPnP(Universal Plug and Play,通用即插即用)功能是针对设备彼此间通讯而定制的一组协议的统称。设备作为UPnP网关,主要功能是完成端口自动映射,UPnP实现端口自动映射需要满足三个条件:
· 设备必须开启UPnP功能;
· 内网主机的操作系统必须支持并开启UPnP功能;
· 应用程序必须支持并开启UPnP功能,如迅雷、BitComet、电骡eMule、MSN等软件都支持UPnP功能。
设备开启UPnP功能后,可以为支持该功能的应用程序自动添加端口映射,加速点对点的传输,还可以解决一些传统业务(比如,MSN)不能穿越NAT的问题。但开启UPnP功能也会为支持该功能的非法应用程序建立映射,存在安全隐患。
(1) 点击“更多→应用服务→UPnP”。
(2) 设置“UPnP”功能的开启/关闭。
当设备通过PPPoE方式或动态方式连接到因特网时,所获取到的IP地址是不固定的。因此,给想访问本局域网内服务器的因特网用户带来很大的不便。
DDNS(Dynamic Domain Name Server,动态域名解析服务)服务器则为此类用户端提供了一个固定的域名。开启DDNS功能后,设备会在DDNS服务器上建立一个IP与域名的映射表。当WAN口IP地址变化时,设备会自动向指定的DDNS服务器发起更新请求,DDNS服务器会更新域名与IP地址的映射关系。所以,无论设备的WAN口IP地址如何改变,因特网上的用户仍可以通过域名对本局域网内的服务器进行访问。
路由器作为DDNS客户端,本身并不提供动态DNS服务。因此,在使用此功能之前,必须进入DDNS服务提供商的官方主页注册,以获得用户名、密码和域名等信息。本路由器提供3322动态域名客户端。使用该功能之前,请先到www.pubyun.com去申请注册一个域名。
(1) 点击“更多→应用服务→DDNS→3322动态域名”。
(2) 点击<是否启用>按钮,开启或关闭动态域名服务。新用户可点击链接进行注册。
(3) 输入注册的用户名、密码和域名。
(4) 选择登录3322动态域名服务器的接口。
(5) 点击<保存>,完成配置。
ARP协议本身存在缺陷,攻击者可以轻易地利用ARP协议的缺陷对其进行攻击。ARP攻击防御技术提供了多种ARP攻击防御技术对局域网中的ARP攻击和ARP病毒进行防范、检测和解决。
ARP安全管理功能包括:
为了防止通过DHCP方式获取IP地址的主机在设备上的ARP表项被篡改,您可以开启动态ARP绑定功能,使得所有通过DHCP服务器分配出去的IP地址和其对应的MAC地址自动绑定。且动态绑定的表项在地址租约到期后不会被删除。
通过检测验证ARP报文的合法性:
· 丢弃源MAC地址不一致的ARP报文
当设备接收到的ARP报文的源MAC地址与该报文的二层源MAC地址不一致时(通常情况下,认为存在ARP欺骗),则直接将其丢弃,不对其进行ARP学习。
· ARP报文学习抑制
当设备发出一个ARP请求报文,收到了多个不同的ARP响应报文时,设备仅学习最先收到的ARP响应报文,丢弃其他响应报文,从而防止有过多的ARP响应报文返回造成ARP表项异常。
设备检测到ARP欺骗时,LAN口和WAN口会主动发送免费ARP。
免费ARP报文是一种特殊的ARP报文,该报文中携带的发送端IP地址和目标IP地址都是本机IP地址,报文源MAC地址是本机MAC地址,报文的目的MAC地址是广播地址。
设备通过对外发送免费ARP报文来实现以下功能:
· 确定其他设备的IP地址是否与本机的IP地址冲突。当其他设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址相同,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。
· 设备改变了硬件地址,通过发送免费ARP报文通知其他设备更新ARP表项。
静态ARP绑定需要通过手工配置和维护。建议您将局域网内所有主机都添加到设备的静态ARP表项中。
(1) 点击“更多→安全管理→ARP管理→ARP防护”。
(2) 选择是否勾选“动态ARP绑定”,如启用,可对DHCP分配的地址进行ARP保护。
(3) 选择是否勾选“APR报文合法检测”,如启用,可丢弃不一致的ARP报文,避免ARP表项异常。
(4) 选择是否勾选“APR防欺骗”,如启用,设备在检测到ARP欺骗时(比如源IP地址为设备接口IP地址但源MAC地址不是设备接口MAC地址的ARP报文),则会主送发送免费ARP。
(5) 点击<保存>,完成配置。
(1) 点击“更多→安全管理→ARP管理→ARP列表”。
(2) 可查看所有ARP表项,包括静态ARP、动态ARP和未绑定的ARP。
(3) 动态ARP和未绑定ARP表项,支持通过点击表项的“操作”区段,点击<静态绑定>按钮,将其绑定为静态ARP。
(4) 静态ARP支持修改、删除和新增。
(5) 点击右上角<新增>符号
,新增静态ARP表项。输入IP地址和MAC地址后,点击<确认>,完成新增。
静态路由是在路由器中通过手工方式设置的固定路由条目。当您的网络结构比较简单且比较稳定时,通过配置静态路由就可以实现网络互通。例如,当您知道网络的出接口,以及网关的IP地址时,设置静态路由即可实现正常通信。
静态路由的缺点在于:不能自动适应网络拓扑结构的变化,当网络发生故障或者拓扑发生变化后,可能会出现路由不可达,导致网络中断。此时必须由您手工修改静态路由的设置。
(1) 点击“更多→高级设置→路由设置→静态路由”。
(2) 点击右上角<新增>符号
,新增静态路由。输入目的地址、下一跳地址和出接口后,点击<确认>,完成新增。
您必须选择正确的出接口,所添加的静态路由才能生效。
策略路由是一种依据您所制定的策略进行路由选择的机制。设备提供独特的策略路由功能,可以根据报文的某些字段(比如:源/目的IP地址、协议类型等)来区分数据流,并从指定的接口发送出去,起到业务分流的作用。
比如:某企业拥有两条带宽大小不同的因特网线路,并设置了普通用户区(IP地址范围是192.168.124.2~192.168.124.100)和管理层用户区(IP地址范围是192.168.124.101~192.168.124.200)。此时,您可以通过策略路由功能(根据源IP地址段区分)来将带宽比较小的线路分配给普通区用户,将带宽比较大的线路分配给管理层用户。
(1) 点击“更多→高级设置→路由设置→策略路由”。
(2) 点击右上角<新增>符号
,新增策略路由。选定策略协议类型,输入源/目的地址等参数后,点击<确认>,完成新增。
为保证局域网的安全,设备会阻断从因特网主动发起的连接请求。因此,如果您想让因特网用户能够访问局域网内的服务器(比如:Web服务器、Email服务器、FTP服务器等),需要设置虚拟服务器。
DMZ主机实际上就是一个缺省的虚拟服务器,虚拟服务器也可称为端口映射,它可以将WAN口IP地址、外部端口号和局域网内服务器IP地址、内部端口号建立映射关系,使所有对该WAN口某服务端口的访问重定向到指定的局域网内服务器的相应端口。
设备会根据以下步骤来进行端口映射:
图14-1 端口映射
(1) 点击“更多→高级设置→虚拟服务器→DMZ”。
(2) 设置DMZ服务“状态”的开启/关闭:
¡ 如关闭,当虚拟服务器列表中不存在对应的映射项时,该数据包将被丢弃。
¡ 如开启,当虚拟服务器列表中不存在对应的映射项时,该数据包将被重定向到DMZ主机,输入主机地址后,点击<保存>,完成配置。
(1) 点击“更多→高级设置→虚拟服务器→虚拟服务器”。
(2) 点击右上角<新增>符号
,新增虚拟服务器。输入相应参数后,点击<确认>,完成新增。
页面中关键项的含义如下表所示。
表14-1 页面关键项描述
|
页面关键项 |
描述 |
|
服务名 |
输入虚拟服务器设置项的名称 |
|
外部端口 |
输入客户端访问虚拟服务器所使用的端口 取值范围:1~65535,端口范围必须从小到大,推荐设置10000以上的端口。如果只有一个端口,则左右两边的文本框请填写同一端口号
各设置项的外部端口不能重复,且内部端口和外部端口的设定个数必须一样,即内部端口和外部端口一一对应。比如:设置某个虚拟服务器,外部端口为100~102,内部端口为10~12。如果设备收到外部101端口的访问请求,则设备会把报文转发到内部服务器的11端口 |
|
内部端口 |
输入内部服务器上真实开放的服务端口 取值范围:1~65535,端口范围必须从小到大。如果只有一个端口,则左右两边的文本框请填写同一端口号
各设置项的内部端口允许重复,且内部端口和外部端口的设定个数必须一样,即内部端口和外部端口一一对应 |
|
内部服务器IP |
输入内部服务器的IP地址 |
|
状态 |
· 设置为“开启”,表示此虚拟服务器生效 · 设置为“关闭”,表示此虚拟服务器不生效 |
主要功能包括:
· 软件升级:
¡ 在线升级:您可一键升级网关及组网中其他已在线的下挂设备,包括交换机和AP。自动加载最新版本的软件到设备,升级过程中,您可直接查看到AP和交换机的升级状态(设备状态包括:下载中、升级中、成功、失败)。
¡ 本地升级:您可以手动上传最新版本的软件到设备,以便获得更多的功能和更为稳定的性能。
· 配置备份:如果希望将当前配置文件导出作为备份配置文件,则需通过本功能将当前配置文件导出保存到本地。
· 恢复配置:将设备当前的设置恢复到您之前备份过的配置(比如:当您发生误操作或其他情况导致设备的系统配置信息丢失时,您可用此备份文件进行恢复操作,保证设备的正常运行)。
· 恢复出厂配置:如果设备没有配置文件或者配置文件损坏时,希望设备能够正常启动运行;或者从一个网络环境切换到另一个不同的网络环境。则需通过本功能将设备上的配置恢复到出厂状态。
(1) 点击“更多→设备管理→设备管理→系统设置”。
(2) 在“版本在线升级”设置项,点击<升级>按钮:
¡ 如全网中,网关无下挂设备,升级设备仅为网关一台时,则在检测到有更新版本时,设备会弹出升级提示框,询问是否升级。点击<升级>按钮,设备直接升级到最新的软件版本。升级成功后,设备将自动重启。
¡ 如全网中,网关有在线的下挂设备时,网关会检测全网的软件版本,并将可升级列表显示在页面中。勾选需升级设备或直接点击<一键升级>按钮,按“AP→交换机→网关”顺序逐一进行升级。
(3) 在“本地升级”设置项,点击<升级>按钮,将从H3C官网下载的软件文件上传到设备上,之后再次点击<升级>,开始升级。升级成功后,设备将自动重启。
(4) 点击<点击备份>按钮,将设备当前的配置信息打包成一个文件,备份到本地。
(5) 在“恢复配置”设置项,点击<上传文件>按钮,将之前备份过的配置文件上传,之后再点击<配置>,开始将设备恢复到之前的配置状态。恢复配置后,设备将自动重启。
(6) 点击<还原>按钮,可将设备恢复到出厂设置状态。恢复完成后,设备将自动重启。
(7) 点击<重启>按钮,重启设备。
· 建议您在软件升级之前备份设备当前的设置信息。如果升级过程中出现问题,您可以用其来恢复到原来的设置。
· 请不要编辑备份在本地的设置文件。因为,设置文件经过加密,修改后不能再次恢复到设备中。
· 恢复到出厂设置后,当前的设置将会丢失。如果您不希望丢失当前设置信息,请先对设备进行备份操作。
· 设备升级或恢复出厂设置或重启过程中,请勿断开电源,否则可能会造成设备不能正常工作。
设置设备新的登录密码。
(1) 点击“更多→设备管理→设备管理→登录设置”。
(2) 设置设备新的登录密码。
(3) 点击<保存>,完成配置。
系统时间设置包括日期、时间和时区等。为了便于管理设备,并保证本设备与其它网络设备协同工作,您需要为设备配置准确的系统时间。
您需要先连接网络获取网络时间或手动设置系统时间后,其他功能中的时间限定才能正确生效。
系统时间的获取方式有两种:
· 从网络获取
该方式下,设备使用从NTP服务器获取的时间作为当前的系统时间,并周期性地同步NTP服务器的时间,以便和NTP服务器的系统时间保持一致。
当设备连接到因特网后,会自动从设备缺省的NTP服务器或您手工设置的NTP服务器中获取时间。当通过NTP成功获取到系统时间后,该时间还会根据您选择的时区做相应的调整。
即便本设备重启,设备也会迅速重新同步NTP服务器的系统时间。如果您管理的网络中有NTP服务器,推荐使用该方式,该方式获取的时间比手工配置的时间更精准。
· 手工设置
该方式下,用户手工指定的日期和时间即为当前的系统时间。后续,设备使用内部时钟信号计时。手工设置的系统时间不会与其他设备同步,也不支持时区的切换。如果设备重启,系统时间会丢失。
(1) 点击“更多→设备管理→设备管理→时间设置”。
(2) 选择“从网络获取”选项:
a. 将时区配置为设备所在地理区域的时区(比如,设备在中国,请选择“北京,重庆,香港特别行政区,乌鲁木齐”;如果设备位于美国,请选择“中部时间(美国和加拿大)”)。
b. 设置NTP服务器。
c. 点击<保存>,完成配置。
(3) 选择“手动设置”选项:
a. 将时间设置为设备所在地理区域的当前时间。
b. 选择年月日,选择时分秒。
c. 点击<保存>,完成配置。
用户通过开启远程运维功能,使运维人员直接远程登录管理设备,更简便更快捷地定位并处理用户的网络问题。
(1) 点击“更多→系统维护→系统运维→远程运维”。
(2) 选择运维人员是否可免密登录设备。
(3) 设置远程运维功能的生效时长。
如果要永久开启远程运维功能,您可以将时长设置为0。
(4) 设置“远程运维”功能的开启,设备将自动生成运维二维码,您可将其分享给运维人员,运维人员通过“H3C点点通”APP扫码远程登录并管理本设备。
用户通过开启设备蓝牙功能,与H3C点点通APP进行连接,快速完成设备开局和配置管理。
(1) 点击“更多→系统维护→系统运维→蓝牙运维”。
(2) 设置“蓝牙”功能的开启,此时,设备处于待连接状态,持续时间不超过10分钟。
当设备运行出现异常时,可以通过此页面,自动将设备当前的运行状态、故障定位所需的各种信息压缩成一个定位信息文件,上传至H3C云服务器或保存到本地,以便H3C技术支持人员能快速准确定位并解决问题。
(1) 点击“更多→系统维护→诊断报告”。
(2) 点击<发送给H3C>,可以将故障定位信息上传至H3C云服务器。
(3) 点击<导出到本地>,可以将定位信息文件下载到本地。
本手册仅介绍简单的设备故障处理方法,如仍不能排除,可通过表17-2获取售后服务。
表17-1 故障排除
|
常见问题 |
故障排除 |
|
Power灯不亮 |
1. 请检查电源线是否连接正确 2. 请检查电源线插头是否插紧,无松动现象 |
|
端口指示灯不亮 |
1. 请检查网线与设备的以太网端口是否卡紧,无松动现象 2. 将网线的两端分别插到设备的两个以太网端口上,如果该两个端口对应的指示灯都亮,表示网线正常;否则该网线可能存在问题,请更换网线重新尝试 |
|
不能通过Web设置页面本地登录设备 |
1. 使用MS-DOS方式的Ping命令检查网络连接 · Ping 127.0.0.1用来检查管理计算机的TCP/IP协议是否安装 · Ping设备LAN口的IP地址来检查管理计算机与设备是否连通 1. 如果管理计算机使用静态IP地址,请确认其IP地址是否与设备LAN口的IP地址处于同一网段 2. 设备允许管理的用户数已经达到最大值(最多支持5个用户同时登录),请稍后再试 3. 请检查Web浏览器是否设置代理服务器或拨号连接,若有,请取消设置 |
|
已进入Web页面,但是忘记设备登录密码 |
在设备通电情况下,通过Reset键进行恢复: · 用针状物按住Reset键5秒左右,直至系统指示灯慢速闪烁,可重置设备登录密码。连接到Web界面,设置新的管理密码即可 · 用针状物按住Reset键10秒左右,直至系统指示灯快速闪烁,可将设备恢复出厂设置并重启 |
|
部分老旧终端无法识别或无法连接路由器Wi-Fi |
本设备支持新一代Wi-Fi 6技术,可有效提升无线网络质量。部分老旧终端可能出现无法识别或无法连接Wi-Fi 6等兼容性问题 此时可尝试连接升级终端软件版本,或登录设备Web管理页面,在无线设置中,将无线网络模式修改为“b+g+n”和“a+n+ac”,老旧终端即可连接Wi-Fi 5信号 |
|
局域网内用户出现掉线,无法访问因特网 |
1. 检查与设备级连的交换机的网线和设备WAN口的网线是否存在松动现象 2. 检查设备是否已经对局域网内所有主机进行了ARP列表 |
|
故障类型 |
描述 |
如何获取售后服务 |
|
硬件类故障 |
比如:出现设备不能正常通电、未插网线但以太网端口指示灯却常亮等问题 |
请联系当地授权服务中心予以确认后更换 |
|
软件类问题 |
比如:出现设备功能不可用、异常等问题或配置咨询 |
请联系H3C技术支持服务人员获取帮助(您亦可关注“新华三智能终端”微信公众号,7×24小时专业微信客服) |
|
术语缩写 |
英文全称 |
中文名称 |
含义 |
|
1000Base-T |
1000Base-T |
1000Base-T |
1000Mbit/s基带以太网规范,使用两对5类双绞线连接,可提供最大1000Mbit/s的传输速率 |
|
100Base-TX |
100Base-TX |
100Base-TX |
100Mbit/s基带以太网规范,使用两对5类双绞线连接,可提供最大100Mbit/s的传输速率 |
|
10Base-T |
10Base-T |
10Base-T |
10Mbit/s基带以太网规范,使用两对双绞线(3/4/5类双绞线)连接,其中一对用于发送数据,另一对用于接收数据,提供最大10Mbit/s传输速率 |
|
DDNS |
Dynamic Domain Name Service |
动态域名服务 |
动态域名服务(Dynamic Domain Name Service),能实现固定域名到动态IP地址之间的解析 |
|
DHCP |
Dynamic Host Configuration Protocol |
动态主机配置协议 |
动态主机配置协议(Dynamic Host Configuration Protocol)为网络中的主机动态分配IP地址、子网掩码、网关等信息 |
|
DHCP Server |
Dynamic Host Configuration Protocol Server |
DHCP 服务器 |
动态主机配置协议服务器(Dynamic Host Configuration Protocol Server)是一台运行了DHCP动态主机配置协议的设备,主要用于给DHCP客户端分配IP地址 |
|
DNS |
Domain Name Service |
域名服务 |
域名服务(Domain Name Service)将域名解析成IP地址。DNS信息按等级分布在整个因特网上的DNS服务器间,当我们访问一个网址时,DNS服务器查看发出请求的域名并搜寻它所对应的IP地址。如果该DNS服务器无法找到这个IP地址,就将请求传送给上级DNS服务器,继续搜寻IP地址。例如,www.yahoo.com 这个域名所对应的IP地址为 216.115.108.243 |
|
DoS |
Denial of Service |
拒绝服务 |
拒绝服务(Denial of Service)是一种利用合法的方式请求占用过多的服务资源,从而使其他用户无法得到服务响应的网络攻击行为 |
|
DSL |
Digital Subscriber Line |
数字用户线路 |
数字用户线(Digital Subscriber Line)这种技术使得数字数据和仿真语音信号都可以在现有的电话线路上进行传输。目前比较受家庭用户青睐的是ADSL接入方式 |
|
Firewall |
Firewall |
防火墙 |
防火墙(Firewall)技术保护您的计算机或局域网免受来自外网的恶意攻击或访问 |
|
FTP |
File Transfer Protocol |
文件传输协议 |
文件传输协议(File Transfer Protocol)是一种描述网络上的计算机之间如何传输文件的协议 |
|
HTTP |
Hypertext Transfer Protocol |
超文本传送协议 |
超文本传送协议(Hypertext Transfer Protocol)是一种主要用于传输网页的标准协议 |
|
Hub |
Hub |
集线器 |
共享式网络连接设备,工作在物理层,主要用于扩展局域网规模 |
|
ISP |
Internet Service Provider |
因特网服务提供商 |
因特网服务提供商(Internet Service Provider),提供因特网接入服务的提供商 |
|
LAN |
Local Area Network |
局域网 |
局域网(Local Area Network)一般指内部网,例如家庭网络,中小型企业的内部网络等 |
|
MAC address |
Media Access Control address |
介质访问控制地址 |
介质访问控制地址(Media Access Control address),MAC地址是由厂商指定给设备的永久物理地址,它由6对十六进制数字所构成。例如:00-0F-E2-80-65-25。每一个网络设备都拥有一个全球唯一的MAC地址 |
|
NAT |
Network Address Translation |
网络地址转换 |
网络地址转换(Network Address Translation),可以把局域网内的多台计算机通过NAT转换后共享一个或多个公网IP地址,接入Internet,这种方式同时也可以屏蔽局域网用户,起到网络安全的作用。通常共享上网的宽带设备都使用这个技术 |
|
MU-MIMO |
Multi-User Multiple-Input Multiple-Output |
多用户-多输入多输出 |
MU-MIMO是一种多用户技术,实现物理空间上的多路并发,适用于大数据包的并行传输(如视频、下载等应用),提升多空间流的利用率与系统容量,提高单用户的有效频宽,同样能降低时延 |
|
NMS |
Network Management Station |
网络管理站 |
NMS运行SNMP客户端程序的工作站,能够提供非常友好的人机交互界面,方便网络管理员完成绝大多数的网络管理工作 |
|
OFDMA |
Orthogonal Frequency Division Multiple Access |
正交频分多址 |
OFDMA是一种多址技术,OFDMA将信道划分成不同资源单元RU(Resource Unit),这些RU彼此之间都是正交的,实现频域空间的多路并发。在发送数据时,不同的用户只会占用某一个资源单元而非整个信道,这样就能实现一次向多个用户发送数据 |
|
Ping |
Packet Internet Grope |
因特网包探测器 |
Ping命令是用来测试本机与网络上的其它计算机能否进行通信的诊断工具。Ping命令将报文发送给指定的计算机,如果该计算机收到报文则会返回响应报文 |
|
PPP |
Point-to-Point Protocol |
点对点协议 |
点对点协议(Point-to-Point Protocol)是一种链路层通信协议 |
|
PPPoE |
PPP over Ethernet |
点对点以太网承载协议 |
点对点以太网承载协议(PPP over Ethernet)在以太网上承载PPP协议封装的报文,它是目前使用较多的业务形式 |
|
QoS |
Quality of Service |
服务质量 |
服务质量(Quality of Service)是用来解决网络延迟和阻塞等问题的一种技术。当网络过载或拥塞时,QoS 能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行 |
|
RJ-45 |
RJ-45 |
RJ-45 |
用于连接以太网交换机、集线器、设备等设备的标准插头。直连网线和交叉网线通常使用这种接头 |
|
Route |
Route |
路由 |
基于数据的目的地址和当前的网络条件,通过有效的路由选择能够到达目的网络或地址的出接口或网关,进行数据转发。具有路由功能的设备称作设备(router) |
|
SNMP |
Simple Network Management Protocol |
简单网络管理协议 |
SNMP是网络中管理设备和被管理设备之间的通信规则,它定义了一系列消息、方法和语法,用于实现管理设备对被管理设备的访问和管理 |
|
TCP |
Transfer Control Protocol |
传输控制协议 |
传输控制协议(Transfer Control Protocol)是一种面向连接的、可靠的传输层协议 |
|
TCP/IP |
Transmission Control Protocol/Internet Protocol |
传输控制协议/网际协议 |
传输控制协议/网际协议(Transmission Control Protocol/Internet Protocol),网络通信的基本通信协议簇。TCP/IP定义了一组协议,不仅仅是TCP和IP |
|
Telnet |
Telnet |
Telnet |
一种用来访问远程主机的基于字符的交互程序。Telnet允许用户远程登录并对设备进行管理 |
|
UDP |
User Datagram Protocol |
用户数据报协议 |
用户数据报协议(User Datagram Protocol)是一种面向非连接的传输层协议 |
|
UPnP |
Universal Plug and Play |
通用即插即用 |
通用即插即用(Universal Plug and Play),支持UPnP的设备彼此可自动连接和协同工作 |
|
WAN |
Wide Area Network |
广域网 |
广域网(Wide Area Network)是覆盖地理范围相对较广的数据通信网络,如因特网 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
