- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-正文
本章节下载: 01-正文 (5.14 MB)
|
如果您想? |
您可以查看 |
|
初识产品的大致形态、业务特性或者它在实际网络应用中的定位 |
“产品介绍” |
|
通过搭建Web环境来管理设备,同时想查看设备的运行情况,基本功能的配置向导 |
|
|
通过Web设置页面快速设置设备WAN口和LAN口相关参数 |
“快速设置” |
|
通过Web设置页面来设置WAN口、LAN口等相关功能,另外,实现设备的高级业务功能设置,例如端口映射、一对一NAT映射等 |
“网络设置” |
|
通过Web设置页面来设置带宽管理和上网行为管理功能 |
“上网行为管理” |
|
通过Web设置页面来实现设备及网络环境的安全性设置,比如:防火墙、连接限制、MAC地址过滤和ARP攻击防御等 |
“网络安全” |
|
通过Web设置页面设置Portal认证功能 |
“认证管理” |
|
通过Web设置页面来实现设备IPSec VPN功能和L2TP VPN功能 |
“虚拟专网” |
|
通过Web设置页面设置静态DNS、动态DNS和静态路由等功能 |
“高级选项” |
|
通过Web设置页面对设备进行维护管理,比如:软件升级、远程管理等 |
“系统工具” |
|
通过Web设置页面来设置无线AC功能 |
“无线AC” |
H3C MSR系列路由器是H3C自主研发的多业务路由器,它搭载了先进的Comware V9网络操作系统。既可作为中小企业的出口路由器,也可以作为政府或企业的分支接入路由器,为政府、电力、金融、企业等行业用户提供全方位的网络解决方案。
表2-1 路由器列表
|
产品 |
描述 |
|
MSR1004-G |
提供5个千兆以太网电口和2个千兆以太网光口 |
|
MSR1008 |
提供2个Combo口、8个千兆以太网电口和2个10G以太网光口 |
|
MSR2630E-X1 |
· 提供2个Combo口、8个千兆以太网电口和3个10G以太网光口 · 支持2个SIC接口模块 |
|
MSR3610E-X1/MSR3610E-X1-DP |
· 提供2个Combo口、8个千兆以太网电口和3个10G以太网光口 · 支持4个SIC接口模块 |
|
MSR2660-XS |
提供2个Combo口、8个千兆以太网电口和2个10G以太网光口 |
|
MSR2680-XS |
· 提供2个Combo口、8个千兆以太网电口和3个10G以太网光口 · 支持2个SIC接口模块 |
|
MSR2600-12X-WiNet |
提供2个Combo口、8个千兆以太网电口和2个10G以太网光口 |
|
MSR2610-13X-WiNet |
· 提供2个Combo口、8个千兆以太网电口和3个10G以太网光口 · 支持2个SIC接口模块 |
设备提供丰富的软件特性(比如:多WAN口负载均衡、上网行为管理以及IPSec/L2TP VPN等功能),可以帮您快速地完成各功能特性需求的配置,主要支持功能特性如下。
· 多WAN负载均衡
多WAN口支持带宽的负载均衡及线路备份功能,满足企业多运营商接入的组网需求。用户可以根据线路实际带宽分配网络流量,充分利用带宽,并在其中一条运营商线路出现故障时,其他线路也能正常工作,保障网络稳定性。
· 企业级VPN功能
支持IPSec VPN和L2TP VPN,方便企业通过Internet构建虚拟私有网络。
· 上网行为管理
支持游戏类或者购物类等互联网常见应用的识别和控制。
· 高性能防火墙
内置高性能防火墙,可防护外部多种专业的攻击手段,如DDOS攻击等行为。
· 网络流量限速
通过基于IP的网络流量限速功能,可以有效地控制指定用户的上/下行流量,限制了P2P软件对网络带宽的过度占用。
· 安全策略防护
支持基于源目的地址、端口定义防火墙过滤策略,可允许或禁止特定应用数据流经过路由器。
· 本章节仅介绍如何首次本地登录设备的Web管理页面。
· 建议使用Chrome 57及以上版本、Firefox 124及以上版本的浏览器访问Web管理页面。
本章节主要包含以下内容:
· 准备工作
完成硬件安装后(安装过程请参见对应款型的安装指导手册),在登录设备的Web设置页面前,您需要确保管理计算机和网络满足一些基本要求。
请确认管理计算机已安装了以太网卡。
· 自动获取IP地址(推荐使用):请将管理计算机设置成“自动获得IP地址”和“自动获得DNS服务器地址”(计算机系统的缺省配置),由设备自动为管理计算机分配IP地址。
· 设置静态IP地址:请将管理计算机的IP地址与设备的LAN口IP地址设置在同一网段内(LAN口缺省的IP地址为192.168.0.1,子网掩码为255.255.254.0)。
操作步骤如下(以Windows 7系统为例):
|
1. 单击桌面右下角的网络图标,如 |
|
|
2. 单击“本地连接”,单击<属性>按钮,进入“本地连接属性”窗口 |
|
|
3. 双击“Internet协议版本4(TCP/IPv4)” |
|
|
4. 配置电脑的IP地址 · 可选择自动获取IP地址和DNS服务器地址,或通过手动配置电脑IP地址,与设备缺省IP地址保持同一网段 · 设置好IP地址后,单击<确定>按钮,返回[本地连接 属性]对话框,再单击<确定>按钮 |
|
操作步骤如下:
|
1. 单击屏幕左下角<开始>按钮进入[开始]菜单,选择“运行”,弹出“运行”对话框 2. 输入“ping 192.168.0.1(设备的IP地址,此处是缺省IP地址)”,单击<确定>按钮 |
|
|
3. 如果在弹出的对话框中显示了从设备侧返回的回应,则表示网络连通;否则请检查网络连接 |
|
如果当前管理计算机使用代理服务器访问因特网,则必须取消代理服务,操作步骤如下:
|
1. 在Internet Explorer浏览器窗口中,选择[工具/Internet 选项]进入“Internet 选项”窗口 |
|
|
2. 选择“连接”页签,并单击<局域网设置(L)>按钮,进入“局域网(LAN)设置”页面。请确认未选中“为LAN使用代理服务器”选项;若已选中,请取消并单击<确定>按钮 |
|
运行Web浏览器,在地址栏中输入“http://192.168.0.1”,回车后跳转到Web登录页面。输入用户名、密码(缺省均为admin,区分大小写),单击<登录>按钮或直接回车即可进入Web设置页面。
为了安全起见,首次登录后系统会提示您修改缺省的登录密码,请您修改并保管好密码信息。
系统信息将展示设备的运行情况,基本功能的配置向导和技术支持信息。
页面向导:[系统信息/系统信息]
|
查看CPU使用率和内存使用率 |
|
表4-1 页面关键参数说明
|
关键参数 |
描述 |
|
CPU使用率 |
设备CPU的当前使用率。单击页面上方的“CPU使用率”区段,可查看CPU的当前使用率和平均使用率 |
|
内存使用率 |
设备内存的当前使用率。单击页面上方的“内存使用率”区段,可查看内存的当前使用率和平均使用率 |
页面向导:[系统信息/系统信息]
|
查看接入终端的相关信息 |
|
表4-2 页面关键参数说明
|
关键参数 |
描述 |
|
接入终端 |
局域网内接入终端的相关信息,单击页面上方的“接入终端”区段,可查看接入终端的相关信息,主要包括: · DHCP终端 · 静态IP终端 · PPPOE终端 · L2TO终端 · Portal终端 |
|
实时流量排行TOP5 |
接入终端使用流量的TOP5。点击右侧的“点击查看更多”链接,可以查看设备上当前所有接入终端的排行信息 |
|
终端IP地址 |
接入终端的IP地址 |
|
用户名 |
接入终端的用户名 |
|
接入方式 |
终端接入网络使用的方式,主要分为: · 固定IP:终端使用固定IP地址接入网络 · DHCP分配:终端使用设备DHCP分配的IP地址接入网络 · PORTAL:一种认证方式,终端使用Portal认证的方式接入网络 |
|
接口 |
终端接入网络使用的设备接口,例如VLAN1 |
|
终端MAC地址 |
接入终端的MAC地址 |
|
上行流速 |
接入终端的上行流量速率 |
|
下行流速 |
接入终端的下行流量速率 |
|
在线时长 |
终端接入网络的时长 |
|
流量详情 |
该终端使用流量的详细信息 |
显示设备的接口速率相关信息,例如:上行流量、当前上行速度、下行流量、当前下行速度,上网WAN接口的状态和上网参数等。还可以对接口进行重连接或者断开操作,刷新接口的显示信息。
页面向导:[系统信息/系统信息]
|
在页面上方的“接口速率”区段,可查看接口流量的相关信息 |
|
显示设备系统日志相关信息,包括:
· 设备记录的日志信息。
· 日志统计信息。
页面向导:[系统信息/系统信息]
|
在页面上方的“系统日志”区段,可查看系统日志的相关信息 |
|
显示设备系统时间和产品型号等信息。
页面向导:[系统信息/系统信息]
|
在“系统时间”区段中,可查看系统时间和运行时间;在“产品型号”区段中,可查看产品型号、序列号、Boot ROM版本、硬件版本和软件版本等信息 |
|
表4-3 页面关键参数说明
|
关键项 |
描述 |
|
系统时间 |
显示设备的系统时间 |
|
运行时间 |
显示设备的运行时间 |
|
产品型号 |
显示产品型号信息 |
|
序列号 |
显示设备的序列号信息 |
|
Boot ROM版本 |
显示设备的Boot ROM版本信息,点击“显示更多...”可查看 |
|
硬件版本 |
显示设备的硬件版本信息,点击“显示更多...”可查看 |
|
软件版本 |
显示设备的软件版本信息 |
显示WAN口和LAN口的使用状态。
页面向导:[系统信息/系统信息]
|
在“端口状态”区段中,点击端口图标,可进入WAN或LAN配置页面 |
· WAN配置界面:
· LAN配置界面:
|
表4-4 页面关键参数说明
|
关键项 |
描述 |
|
端口状态 |
WAN口和LAN口的当前使用状态。在“端口状态”区段中,点击端口图标,可进入WAN或LAN配置页面 |
页面向导:[系统信息/系统信息]
|
可查看Flash上存储空间的使用率 |
|
表4-5 页面关键参数说明
|
关键项 |
描述 |
|
存储介质 |
设备存储空间的当前使用状态。在页面右下方区段,可查看存储介质上存储空间的使用率 |
通过快捷导航帮助用户快速的配置网络。
|
在快捷导航页面,根据需要点击功能对应的链接 |
|
表4-6 页面关键参数说明
|
关键参数 |
描述 |
|
上网配置 |
设备上网的配置功能,主要包括: · 连接到因特网:单击“连接到因特网”链接,页面自动跳转至外网配置页面。 · 局域网(LAN)设置:单击“局域网(LAN)设置”链接,页面自动跳转至LAN配置页面。 · NAT配置:单击“NAT配置”链接,页面自动跳转至NAT配置页面。 |
|
上网行为 |
设备上网行为管理的功能,主要包括: · 全局控制:单击"全局控制",页面自动跳转至上网行为管理的全局控制页面 · 上网行为管理策略:单击"上网行为管理策略",页面自动跳转至上网行为管理策略页面 · 带宽限速:单击"带宽限速",页面自动跳转至带宽限速页面 · 连接限制:单击"连接限制",页面自动跳转至连接限制页面 · 流量统计排名:单击"流量统计排名",页面自动跳转至流量排行页面 |
|
接入安全 |
用户接入网络的安全功能,主要包括: · 用户管理:单击“用户管理”链接,页面自动跳转至用户管理的用户设置页面。 · IPsec策略:单击“IPsec策略”链接,页面自动跳转至IPsec VPN的IPsec策略页面。 · 本地(微信/Portal)认证:单击“本地(微信/portal)认证”链接,页面自动跳转至Portal认证的认证设置页面。 · MAC地址过滤:单击“MAC地址过滤”链接,页面自动跳转至MAC地址过滤的MAC地址设置页面。 · 防火墙:单击“防火墙”链接,页面自动跳转至防火墙页面。 · ARP攻击防御:单击“ARP攻击防御”链接,页面自动跳转至ARP攻击防御的动态ARP表项学习页面。 |
|
设备维护 |
设备的运行维护功能,主要包括: · 配置管理:单击“配置管理”链接,页面自动跳转至配置管理的查看当前配置页面。 · 重新启动:单击“重新启动”链接,页面自动跳转至重新启动的立即重启页面。 · 系统升级:单击“系统升级”链接,页面自动跳转至系统升级的版本升级页面。 · 远程管理(Web,Telnet):单击“远程管理(Web,Telnet)”链接,页面自动跳转至远程管理的Ping页面。 · 用户FAQ:单击“用户FAQ”链接,页面自动跳转至用户FAQ页面。 · 网络诊断:单击“网络诊断”链接,页面自动跳转至网络诊断的Tracert页面。 |
如果用户对产品存有疑问,可以通过本页签提供的联系方式联系我们。包括:
· 热线电话
· 客服邮箱
· 知了社区
· 微信公众号
图4-1 技术支持
通过快速设置完成广域网WAN和局域网LAN的基本配置后,局域网内的用户便可以访问外网。
设备支持单WAN和双WAN两种广域网接入场景。如果用户仅租用了一个运营商网络,则选择单WAN场景;如果用户租用了两个运营商网络,则使用双WAN场景。单WAN和双WAN场景的配置方法相同。
设备支持PPPoE、DHCP和固定地址三种接入广域网方式。
表5-1 接入广域网方式介绍
|
接入方式 |
描述 |
应用场景 |
|
PPPOE |
PPPOE是一种在以太网上建立点对点连接的协议,通常用于在宽带接入环境下实现认证和拨号连接 使用PPPOE方式接入广域网时,用户需要提供特定账号和密码信息,通过路由器对用户进行拨号连接,从而实现接入到互联网 |
PPPoE方式适用于家庭宽带接入适用于家庭用户、小型企业等需要拨号连接的网络环境,用户可以通过宽带调制解调器(如ADSL调制解调器)进行拨号连接,将家庭局域网与互联网进行连接 |
|
DHCP |
DHCP是一种动态分配IP地址的网络连接方式,当设备连接到网络时,它会向DHCP服务器发送请求,服务器会动态分配IP地址、子网掩码、网关和DNS服务器等网络参数,使设备能够快速连接到网络并获取必要的IP配置信息 |
DHCP方式适用于大型局域网或企业网络环境,通过网络中的DHCP服务器自动分配IP地址,可以方便地管理大量设备的IP地址分配,并减少了手动配置IP地址的工作量 |
|
固定地址 |
固定地址是指手动配置的静态IP地址,子网掩码、网关和DNS服务器等网络参数,这些配置不会随着设备连接情况而改变 |
固定地址方式需要手动为网络设备配置固定的IP地址,确保设备始终使用同一IP地址。这种方式通常适用于需要长期稳定的IP地址分配和不需要频繁变化的网络设备够稳定地进行访问 |
页面向导:[快速设置/场景选择]
|
场景选择 |
|
|
通过PPPOE方式接入广域网 |
|
|
通过DHCP方式接入广域网 |
|
|
通过固定地址方式接入广域网 |
|
表5-2 页面关键参数说明
|
关键参数 |
描述 |
|
场景选择 |
设备接入广域网的场景选择,配置该参数时,可根据需要进行选择: · 若用户仅租用了一个运营商网络,则选择“单WAN场景” · 若用户租用了两个运营商网络,则选择“双WAN场景” 单WAN和双WAN场景的配置方法相同 |
|
“线路1”或“线路2 |
设备接入广域网的物理接口WANx |
|
连接模式 |
用户实际的上网方式,选项包括: · PPPoE:宽带拨号上网方式 · DHCP:从DHCP服务器自动获取地址来接入广域网的上网方式 · 固定地址:由运营商提供固定地址来接入广域网的上网方式 |
|
上网账号 |
身份验证使用的用户名。此参数由运营商提供。当连接模式设置为PPPoE时,需配置此参数 |
|
上网密码 |
身份验证使用的密码。此参数由运营商提供。当连接模式设置为PPPoE时,需配置此参数 |
|
IP地址 |
设备接入广域网的固定IP地址,仅允许输入A、B、C类IP地址。当连接模式设置为固定地址时,该参数为必填项 |
|
子网掩码 |
IP地址的掩码或掩码长度,例如255.255.255.0。当连接模式设置为固定地址时,该参数为必填项 |
|
网关地址 |
设备接入广域网的网关地址,仅允许输入A、B、C类IP地址。当连接模式设置为固定地址时,该参数为必填项 |
|
DNS1和DNS2 |
设备接入广域网的DNS服务器地址。优先使用DNS1进行域名解析,如果解析失败,则使用DNS2进行域名解析 |
|
NAT地址转换 |
是否开启NAT地址转换功能,若开启该功能,则局域网中的多台设备是否共用同一个公网IP |
完成WAN配置后,会进入到LAN配置的页面。
页面向导:[快速设置/WAN配置/LAN配置]
|
LAN配置:配置局域网IP地址、子网掩码等参数 |
|
表5-3 页面关键参数说明
|
关键参数 |
描述 |
|
局域网IP地址 |
设备在局域网中使用的IP地址 |
|
子网掩码 |
IP地址的掩码或掩码长度,例如:255.255.255.0 |
|
DHCP服务 |
是否启用DHCP服务,若开启该服务,设备将作为DHCP服务器为局域网中的主机分配IP地址 |
|
IP分配范围 |
待分配地址的起始IP地址和结束IP地址 |
|
网关地址 |
设备为局域网中的主机分配的网关地址 |
|
DNS |
设备为DHCP客户端分配的DNS服务器的IP地址 |
通常情况下,外网指的就是广域网(WAN,Wide Area Network),广域网是覆盖地理范围相对较广的数据通信网络,Internet就是一个巨大的广域网。
通常在设备上会有多个WAN接口,通过配置WAN接口可以实现设备访问外网。
表6-1 场景定义
|
接入场景 |
描述 |
应用场景 |
|
单WAN场景 |
设备使用单个WAN口连接广域网 |
用户仅租用了一个运营商网络,则选择单WAN场景 |
|
多WAN场景 |
设备使用多个WAN口连接广域网 |
如果用户租用了两个运营商网络,则使用多WAN场景 |
页面向导:[网络设置/外网配置/场景定义]
|
配置设备单WAN和多WAN两种广域网接入场景: 1. 根据使用场景需求,选择“单WAN场景”或“多WAN场景” 2. 选择要接入广域网的接口: 3. 单击<应用>按钮,完成配置 |
|
表6-2 页面各参数项描述
|
页面参数 |
描述 |
|
场景定义 |
根据使用场景需求,选择“单WAN场景”或“多WAN场景” |
|
单WAN场景 |
设备使用单个WAN口连接广域网,单WAN场景下,在“线路1”配置项处选择接入广域网的接口 |
|
多WAN场景 |
设备使用多个WAN口连接广域网,多WAN场景下,在“线路1”、“线路2”、“线路3”或“线路4”配置项处选择多个接入广域网的接口 |
设备支持通过物理接口接入广域网。
设备支持PPPoE、DHCP和固定地址三种接入广域网方式。
表6-3 接入广域网方式介绍
|
接入方式 |
描述 |
应用场景 |
|
PPPOE |
PPPOE是一种在以太网上建立点对点连接的协议,通常用于在宽带接入环境下实现认证和拨号连接 使用PPPOE方式接入广域网时,用户需要提供特定账号和密码信息,通过路由器对用户进行拨号连接,从而实现接入到互联网 |
PPPoE方式适用于家庭宽带接入适用于家庭用户、小型企业等需要拨号连接的网络环境,用户可以通过宽带调制解调器(如ADSL调制解调器)进行拨号连接,将家庭局域网与互联网进行连接 |
|
DHCP |
DHCP是一种动态分配IP地址的网络连接方式,当设备连接到网络时,它会向DHCP服务器发送请求,服务器会动态分配IP地址、子网掩码、网关和DNS服务器等网络参数,使设备能够快速连接到网络并获取必要的IP配置信息 |
DHCP方式适用于大型局域网或企业网络环境,通过网络中的DHCP服务器自动分配IP地址,可以方便地管理大量设备的IP地址分配,并减少了手动配置IP地址的工作量 |
|
固定地址 |
固定地址是指手动配置的静态IP地址,子网掩码、网关和DNS服务器等网络参数,这些配置不会随着设备连接情况而改变 |
固定地址方式需要手动为网络设备配置固定的IP地址,确保设备始终使用同一IP地址。这种方式通常适用于需要长期稳定的IP地址分配和不需要频繁变化的网络设备够稳定地进行访问 |
页面向导:[网络设置/外网配置/WAN配置]
|
关键项 |
描述 |
|
WAN口通过PPPOE方式连接到广域网 |
|
|
WAN口通过DHCP方式连接到广域网 |
|
|
WAN口通过固定地址方式连接到广域网 |
|
表6-4 页面各参数项描述
|
页面参数 |
描述 |
|
线路 |
设备接入广域网的线路序号 |
|
WAN接口 |
设备接入广域网的接口 |
|
连接模式 |
用户实际的上网方式,选项包括: · PPPoE:宽带拨号上网方式 · DHCP:从DHCP服务器自动获取地址来接入广域网的上网方式 · 固定地址:由运营商提供固定地址来接入广域网的上网方式 |
|
上网账号 |
身份验证使用的用户名。此参数由运营商提供。当连接模式设置为PPPoE时,可配置该参数 |
|
上网密码 |
身份验证使用的密码。此参数由运营商提供。当连接模式设置为PPPoE时,可配置该参数 |
|
在线方式 |
当前在线方式仅支持“始终在线”。当连接模式设置为PPPoE时,缺省启用该项,无法取消 |
|
IP地址 |
设备接入广域网的固定IP地址,仅允许输入A、B、C类IP地址。当连接模式设置为固定地址时,需配置此参数 |
|
子网掩码 |
IP地址的掩码或掩码长度,例如255.255.255.0。当连接模式设置为固定地址时,需配置此参数 |
|
网关地址 |
设备接入广域网的网关地址,仅允许输入A、B、C类IP地址。当连接模式设置为固定地址时,需配置此参数 |
|
DNS1和DNS2 |
设备接入广域网的DNS服务器地址。优先使用DNS1进行域名解析,如果解析失败,则使用DNS2进行域名解析 |
|
NAT地址转换 |
设置局域网中的多台设备是否共用同一个公网IP。当选择“启用”时,可根据需要进行选择: · 若设备公网IP仅有一个,则不选择“使用地址池转换” · 若设备公网IP有多个,则选择“使用地址池转换”,需选择已创建的NAT地址池。如需新增地址池,可通过点击右侧<新增地址池>按钮创建新的地址池 |
|
TCP MSS |
设备接口的TCP报文段的最大长度 |
|
MTU |
设备接口允许通过的MTU(Maximum Transmission Unit,最大传输单元)的大小 |
|
链路探测 |
对到达指定IP地址或域名的链路状态进行判断,提高链路的可靠性,配置该参数时,可根据需要进行选择: · 若需测链路状态,则选择“启用” · 若不需探测链路状态,则选择“不启用” |
|
探测地址 |
链路探测的IP地址。当启用链路探测时,需配置此参数 |
|
探测间隔 |
链路探测的时间间隔。当启用链路探测时,需配置此参数 |
|
MAC地址 |
设备接入广域网使用的MAC地址 |
|
操作 |
可对该配置进行编辑操作 |
只有多WAN场景可以进行本页面的配置。
表6-5 多WAN口负载分担策略介绍
|
多WAN策略 |
描述 |
应用场景 |
|
平均分配负载分担 |
每条链路负载分担相同 |
WAN口属于相同运营商,各条链路带宽一致 |
|
带宽比例负载分担 |
每条链路按照比例负载分担 |
WAN口属于相同运营商,各条链路带宽不一致 |
|
基于运营商的负载分担 |
每条链路负载分担相同 |
WAN口属于不同运营商,每个运营商提供的链路带宽一致 |
|
多链路高级负载分担 |
每条链路按照比例负载分担 |
WAN口属于不同运营商,个运营商提供的链路带宽不一致 |
|
链路备份 |
一条链路为主链路,其它为备份链路,以保持网络的稳定性 |
如对网络稳定性要求比较高,可以设置备份链路。 |
页面向导:[网络设置/外网配置/修改多WAN策略]
|
设置多WAN同运营商接入模式: 1. 选择“平均分配负载分担”或“带宽比例负载分担”模式 2. 点击<应用>按钮,完成配置 |
|
|
设置多WAN不同运营商接入模式: 1. 选择“基于运营商的负载分担”或“多链路高级负载分担”模式 2. 点击<应用>按钮,完成配置 |
|
|
设置链路备份: 1. 选择主链路和备份链路 2. 点击<应用>按钮,完成配置 |
|
表6-6 页面参数描述
|
关键项 |
描述 |
|
多WAN属于相同运营商 |
设备多个WAN口接入相同运营商线路,可根据需要选择负载分担模式: · 若各条链路带宽一致,建议选择“平均分配负载分担” · 若各条链路带宽不一致,建议选择“带宽比例负载分担”,并设置分配链路带宽比例 设置完成,需点击“应用”按钮,使配置生效 |
|
多WAN属于不同运营商 |
设备多个WAN口接入不同运营商线路,可根据需要选择负载分担模式: · 若每个运营商提供的链路带宽一致,建议选择“基于运营商的负载分担”。并选择WAN口对应的运营商和默认链路 · 若每个运营商提供的链路带宽不一致,建议选择“多链路高级负载分担”,并设置分配链路带宽比例,选择WAN口对应的运营商和默认链路 设置完成,需点击“应用”按钮,使配置生效 |
|
链路备份 |
多WAN接入时,其中一条链路为主链路,其它为备份链路,以保持网络的稳定性。配置该参数时,先选择“主链路(请选择作为主链路的WAN接口)”以及对应的“链路n”,然后选择其中备份链路的“链路m”。注意n和m不能一致,否则不能实现链路备份 若所选的主链路已开启链路探测功能(在外网配置-WAN配置中配置),系统会根据链路的探测结果更换实际生效的主链路;若所选的主链路未开启链路探测功能,系统会根据接口物理状态更换实际生效的主链路 |
|
分配链路带宽比例 |
设置各链路缺省的带宽比例。设置此参数时,需确保至少有一个链路的带宽比例不为0 当多WAN策略设置为“带宽比例负载分担”或“多链路高级负载分担”时,需要设置此参数 注意:该参数的输入范围为0-100的整数 |
页面向导:[网络设置/外网配置/保存接口上一跳]
|
设置WAN口保存接口上一跳功能 |
|
表6-7 页面各参数项描述
|
页面参数 |
描述 |
|
开启保存接口上一跳功能 |
是否开启保存接口上一跳功能,若开启该功能,多WAN场景下,进入和离开局域网的报文将通过同一个WAN接口转发 |
本功能主要用于配置设备连接内网的LAN接口参数,开启DHCP服务,以及将接口加入VLAN。
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网协议,主要用于为局域网内的主机分配IP地址。DHCP支持动态及静态地址分配机制:
· 动态地址分配功能配置在接口上,此功能给用户主机动态分配IP地址,时间到期或主机明确表示放弃该地址时,该地址可以被其他主机使用。该分配方式适用于局域网的主机获取有一定有效期限的地址的组网环境。
· 静态分配的IP地址不和接口绑定,仅需要与主机的网卡MAC地址进行绑定,具有永久使用权限。该分配方式适用于局域网的主机获取租期为无限长的IP地址的组网环境。
为设备连接内网的GE接口配置IP地址,或创建VLAN与VLAN接口。
页面向导:[网络设置/LAN配置/LAN配置]
|
本页面为您提供如下主要功能: · 显示已添加LAN的详细信息 · 添加LAN · 删除已添加的LAN · 修改已添加的LAN |
|
|
添加LAN: 1. 单击<添加>按钮,弹出LAN对话框,设置VLAN ID、IP地址、子网掩码等参数信息 2. 点击<确定>按钮,完成配置 |
|
|
删除已添加的LAN: 1. 勾选需要删除的LAN前方单选框 2. 单击<删除>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
|
修改已添加的LAN: 1. 点击需要修改的LAN对应操作列的编辑图标,弹出修改LAN对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
表6-8 页面各参数项描述
|
关键项 |
描述 |
|
接口名称 |
该VLAN接口的名称 |
|
VLAN ID |
该VLAN接口的ID号 |
|
接口IP地址 |
该VLAN接口的IP地址 |
|
子网掩码 |
该IP地址的掩码或掩码长度,例如255.255.255.0 |
|
TCP MSS |
该VLAN接口的TCP报文最大分段长度值 |
|
MTU |
该VLAN接口允许通过的MTU值的大小 |
|
开启DHCP服务 |
是否开启DHCP服务功能。若开启该功能,设备将为连接到设备的客户端(例如连接到设备的计算机等)动态分配IP地址。缺省关闭DHCP服务功能 |
|
地址池起始地址 |
DHCP服务器地址池的起始IP地址 |
|
地址池结束地址 |
DHCP服务器地址池的结束IP地址,地址池结束地址不能小于地址池起始地址 |
|
排除地址 |
设备不能分配给客户端的IP地址。例如:网关地址 |
|
网关地址 |
地址池对应的网关地址,若不配置网关地址,有可能造成网络不通 |
|
DNS1和DNS2 |
DHCP服务器分配IP地址时所携带的DNS服务器地址,优先使用DNS1进行域名解析。如果解析失败,则使用DNS2进行域名解析 |
|
地址租约 |
DHCP服务器分配给客户端IP地址的租借期限。当租借期满后,DHCP服务器会收回该IP地址,客户端必须重新向路由器申请(客户端一般会自动申请) |
|
操作 |
可对该配置进行编辑和删除操作 |
需要将设备上的LAN接口加入指定的VLAN,使得局域网内处于同一VLAN的主机能直接互通,处于不同VLAN的主机不能直接互通。
在详细端口配置页面配置端口的PVID时,只能指定已创建的VLAN。
规划设备上LAN接口所属的VLAN,并在LAN配置页面上,创建对应的VLAN接口。
PVID(Port VLAN ID,端口的缺省VLAN):当端口收到未携带VLAN Tag的报文时,即认为此报文所属的VLAN为端口的缺省VLAN。
页面向导:[网络设置/LAN配置/VLAN划分]
|
本页面为您提供如下主要功能: · 显示端口允许通过VLAN的信息 · 设置端口允许通过的VLAN |
|
|
设置端口允许通过的VLAN |
|
表6-9 页面各参数项描述
|
关键项 |
描述 |
|
端口名称 |
需划分VLAN的LAN接口 |
|
PVID |
该端口的缺省VLAN |
|
允许通过的VLAN |
该LAN口允许通过的所有VLAN |
|
待选VLAN |
设备上已创建的所有VLAN。配置该参数时,勾选“待选VLAN”复选框下方的VLAN编号,或直接勾选“待选VLAN”复选框以选中所有VLAN,然后点击待选VLAN下方的向右方向按钮将端口加入所选VLAN |
|
已选VLAN |
该端口已被划分的VLAN。配置该参数时,勾选“已选VLAN”复选框下方的VLAN编号,或直接勾选“已选VLAN”复选框以选中所有VLAN,然后点击已选VLAN下方的向左方向按钮将端口从已加入的VLAN中移除 |
|
操作 |
可对该配置进行编辑操作 |
如果需要为某些客户端分配固定的IP地址,则需要配置静态DHCP将客户端的硬件地址与IP地址进行绑定。
静态绑定的客户端IP地址不能是设备上WAN口的IP地址网段包含的IP地址。
在任何一个接口上开启DHCP服务。如果仅需要使用静态DHCP方式分配IP地址,则还需要删除该接口上的DHCP参数配置。
页面向导:[网络设置/LAN配置/静态DHCP]
|
本页面为您提供如下主要功能: · 显示已添加DHCP静态绑定关系的详细信息 · 添加DHCP静态绑定关系 · 删除DHCP静态绑定关系 · 修改已添加的DHCP静态绑定关系 |
|
|
添加DHCP静态绑定关系: 1. 添加DHCP静态绑定关系:新增DHCP静态绑定关系对话框,设置接口、客户端MAC地址、客户端IP等参数信息 2. 点击<确定>按钮,完成配置 |
|
|
删除已添加的DHCP静态绑定关系: 1. 勾选需要删除的DHCP静态绑定关系前方单选框 2. 单击<删除>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
|
修改已添加的DHCP静态绑定关系: 1. 点击需要修改的DHCP静态绑定关系对应操作列的编辑图标,弹出修改DHCP静态绑定关系对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
表6-10 页面各参数项描述
|
关键项 |
描述 |
|
序号 |
静态DHCP策略的编号 |
|
接口 |
设备上已创建的VLAN接口。即策略对从某一接口获取的IP地址和MAC地址进行绑定 |
|
客户端MAC |
客户端的MAC地址。此处不支持全0或全F的MAC地址 |
|
客户端IP |
分配给该客户端的IP地址 |
|
子网掩码 |
该IP地址的掩码或掩码长度。例如255.255.255.0 |
|
描述 |
策略的描述信息,可对策略进行简单的描述,方便使用 |
|
操作 |
可对该配置进行编辑和删除操作 |
在设备接口上开启DHCP服务或者配置静态DHCP后,可以在DHCP地址分配表中查看分配给DHCP客户端的IP地址信息。
页面向导:[网络设置/LAN配置/DHCP分配列表]
|
本页面为您提供如下主要功能: · 显示设备DHCP分配的详细信息 |
|
表6-11 页面各参数项描述
|
页面参数 |
描述 |
|
DHCP服务接口 |
设备上开启DHCP服务的VLAN接口 |
|
DHCP客户端IP地址 |
客户端的IP地址 |
|
DHCP客户端MAC地址 |
客户端的MAC地址 |
|
租约到期时间 |
DHCP服务器分配给客户端IP地址的租借期限。当租借期满后,DHCP服务器会收回该IP地址,客户端必须重新向路由器申请(客户端一般会自动申请) |
端口管理功能用来查看设备各个物理端口的端口类型、端口模式、速率、MAC地址等信息,设置端口的物理状态,以及修改端口的双工模式和速率。
页面向导:[网络设置/端口管理]
|
本页面为您提供如下主要功能: · 显示设备端口的详细信息 · 修改端口配置 |
|
|
修改端口配置: 1. 勾选需要修改的端口对应操作列的编辑图标,弹出修改端口对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
表6-12 页面各参数项描述
|
关键项 |
描述 |
|
物理端口 |
设备的物理端口。例如WAN1、LAN1 |
|
端口类型 |
设备的端口类型,主要分为: · WAN:接入广域网的接口 · LAN:接入局域网的接口 |
|
端口模式 |
端口的工作模式,主要分为: · 自协商:双工和速率状态均由本端口和对端端口自动协商而定 · 全双工:端口在发送数据包的同时可以接收数据包 · 半双工:端口同一时刻只能发送数据包或接收数据包 |
|
速率 |
端口的速率,包括自协商、10Mbps、100Mbps、1Gbps |
|
MAC地址 |
端口的MAC地址 |
|
物理状态 |
端口的工作状态,主要分为: • 开启:设备开启此端口 • 关闭:设备关闭此端口 当端口类型为LAN时,此参数不支持修改,缺省为开启状态 |
|
光电模式 |
端口的工作模式,分为: · 光口:该端口为光口模式 · 电口:该端口为电口模式 |
|
操作 |
可对该配置进行编辑操作 |
NAT(Network Address Translation,网络地址转换)是一种将内部网络私有IP地址,转换成公网IP地址的技术。拥有私有IP地址的内网用户无法直接访问Internet,如果希望内网用户使用运营商提供的公网IP访问外网,或者允许外网用户使用公网IP访问内网资源,则需要配置NAT。
NAT支持如下两种地址转换方式:
· 端口映射:通过这种转换方式,可以实现利用一个公网地址和不同的协议端口同时对外网提供多个内网服务器(例如Web\Mail\FTP服务器)资源的目的。这种方式可以节约设备的公网IP地址资源。端口映射可以将内网中的一组IP地址和不同的协议端口映射到一个公网IP地址和对应的协议端口上,使得一个公网IP地址可以同时分配给多个内网IP地址使用。
· 一对一映射:这种方式适用于内外网之间存在固定访问需求的环境,比如某个网络管理员必须使用一个固定的外网IP去远程访问位于内网中对外提供服务的设备。一对一映射可以在设备上建立一个固定的一对一的映射关系,将内网中的一个私有IP地址转换为一个公网IP地址。
NAT还提供如下高级功能:
· NAT hairpin:如果您的某些内网服务器通过公网IP地址对外提供服务,同时内网用户也有访问这些服务器的需求,为了确保这些内网用户访问内网服务器的流量也经过网关控制,则可以开启NAT hairpin功能。开启该功能后,内网用户将与外网用户一样,都可以使用公网IP地址访问内网服务器。
· NAT ALG:如果内部网络与外部网络之间存在应用层业务,例如FTP/DNS,为了保证这些应用层协议的数据连接经过端口映射或一对一映射后还可以正确建立,就需要开启相应协议的NAT ALG功能。
页面向导:[网络设置/NAT配置/端口映射]
|
本页面为您提供如下主要功能: · 显示已添加端口映射的详细信息 · 添加NAT端口映射 · 删除已添加的NAT端口映射 · 修改已添加的NAT端口映射 |
|
|
添加NAT端口映射: 1. 单击<添加>按钮,弹出添加NAT端口映射对话框,设置协议类型、外部地址、外部端口等参数信息 2. 点击<确定>按钮,完成配置 |
|
|
删除已添加的NAT端口映射: 1. 勾选需要删除的NAT端口映射前方单选框 2. 单击<删除>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
|
修改已添加的NAT端口映射: 1. 点击需要修改的NAT端口映射对应操作列的编辑图标,弹出修改NAT端口对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
表6-13 页面各参数项描述
|
页面参数 |
描述 |
|
接口 |
选择接口时可直接使用WAN接口IP地址作为外部地址 |
|
协议类型 |
内网主机使用的传输协议,配置该参数时,可根据需要进行选择: · 若内网主机使用的是TCP传输协议,则选择“TCP” · 若内网主机使用的是UDP传输协议,则选择“UDP” · 若内网主机使用的是TCP和UDP传输协议,则选择“TCP+UDP” |
|
外部地址 |
设备上的公网地址,设置方式有两种: · 当前接口IP地址:当前设备WAN口的IP地址 · 其他地址:设备上的其他公网IP地址 |
|
外部端口 |
内网主机映射到外部地址上,外部地址开放的端口,配置该参数时,可根据需要进行选择: · 若对外提供的是FTP服务,则选择“FTP” · 若对外提供的是TELNET服务,则选择“TELNET” · 若对外提供的是其他的服务,则输入服务所使用的端口号范围。配置该参数时,起始端口号不能大于结束端口号 |
|
内部地址 |
内网主机的IP地址。即该主机需要对外提供指定服务 |
|
内部端口 |
内网主机上真实开放的服务端口 |
|
操作 |
可对该配置进行编辑和删除操作 |
如果设备上仅有一个公网IP地址,不建议配置一对一映射来占用公网IP地址。
页面向导:[网络设置/NAT配置/一对一映射]
|
本页面为您提供如下主要功能: · 显示已添加的一对一映射详细信息 · 启用一对一映射 · 添加NAT一对一映射 · 删除已添加的NAT一对一映射 · 修改已添加的NAT一对一映射 |
|
|
勾选“开启”选项,启用一对一映射功能 |
|
|
添加NAT一对一映射: 1. 单击<添加>按钮,弹出添加NAT一对一映射对话框,设置内部地址、外部地址、接口等参数信息 2. 点击<确定>按钮,完成配置 |
|
|
删除已添加的NAT一对一映射: 1. 勾选需要删除的NAT一对一映射前方单选框 2. 单击<删除>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
|
修改已添加的NAT一对一映射: 1. 点击需要修改的NAT一对一映射对应操作列的编辑图标,弹出修改应用对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
表6-14 页面各参数项描述
|
页面参数 |
描述 |
|
内部地址 |
内网主机的IP地址。即该主机需要对外提供指定服务 |
|
外部地址 |
设备上的公网IP地址 |
|
外部网络来源地址范围 |
内部主机可以访问的目的地址范围。 · 若勾选“外部网络来源地址范围”选项,设置该范围后,仅对目的地址在该范围内的报文进行地址转换 · 若未勾选“外部网络来源地址范围”选项,则对所有从内网到外网的报文进行地址转换。 |
|
操作 |
可对该配置进行编辑操作 |
在配置NAT hairping前,需要完成如下配置中的一项或多项:
· 在端口映射配置页面上,配置内网服务器的IP地址/端口与公网IP地址/端口的映射关系。
· 在一对一映射配置页面上,配置内网用户IP地址与公网IP地址的映射关系。
页面向导:[网络设置/NAT配置/高级配置]
|
设置NAT hairping: 1. 启用指定协议的NAT ALG功能。 2. 单击<应用>按钮,完成配置 |
|
表6-15 页面各参数项描述
|
页面参数 |
描述 |
|
NAT hairpin |
选择是否开启NAT hairpin功能,点击<应用>按钮完成配置。若开启NAT hairpin功能,内网用户将与外网用户一样,都可以使用公网IP地址访问内网服务器 |
页面向导:[网络设置/NAT配置/高级配置]
|
设置NAT ALG: 1. 启用指定协议的NAT ALG功能。 2. 单击<应用>按钮,完成配置 |
|
表6-16 页面各参数项描述
|
页面参数 |
描述 |
|
NAT ALG |
为了保证一些应用层协议的数据连接经过端口映射或一对一映射后还可以正确建立,需启用指定协议的NAT ALG功能 配置该参数时,可根据需要进行选择: · 若报文使用的是DNS协议,则选择“启用DNS” · 若报文使用的是FTP协议,则选择“启用FTP” · 若报文使用的是H323协议,则选择“启用H323” · 若报文使用的是ICMP-ERROR协议,则选择“ICMP-ERROR” · 若报文使用的是ILS协议,则选择“ILS” · 若报文使用的是MGCP协议,则选择“MGCP” · 若报文使用的是NBT协议,则选择“NBT” · 若报文使用的是RTSP协议,则选择“启用RTSP” · 若报文使用的是RSH协议,则选择“启用RSH” · 若报文使用的是SCCP协议,则选择“启用SCCP” · 若报文使用的是SIP协议,则选择“启用SIP” · 若报文使用的是SQLNET协议,则选择“启用SQLNET” · 若报文使用的是TFTP协议,则选择“启用TFTP” · 若报文使用的是XDMCP协议,则选择“启用XDMCP” 设置完成,需点击“应用”按钮,使配置生效 |
用户组是一组用户主机名或IP地址的集合。每个用户组中可以添加若干成员,成员的类型包括主机名、IP地址以及IP地址段。如果您的某些业务(例如带宽管理)需要使用用户组来识别用户报文,则需要提前配置符合业务需求的用户组。
· 添加到用户组中的IP地址只支持IPv4地址格式,不支持IPv6地址格式。
· 添加到用户组中的IP地址段的起始地址必须小于结束地址。
页面向导:[上网行为管理/用户组]
|
本页面为您提供如下主要功能: · 显示已添加的用户组详细信息 · 添加用户组 · 删除已添加的用户组 · 修改已添加的用户组 |
|
|
添加用户组: 1. 单击<添加>按钮,弹出新建用户组对话框,输入用户组的名称、描述信息、IP地址等参数信息 2. 点击<确定>按钮,完成配置 |
|
|
删除已添加的用户组: 1. 勾选需要删除的用户组前方单选框 2. 单击<删除>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
|
修改已添加的用户组: 1. 点击需要修改的时间组对应操作列的编辑图标,弹出修改时间组对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
表7-1 页面各参数项描述
|
页面参数 |
描述 |
|
用户组名称 |
一组用户主机名或IP地址集合的名称。配置该参数时,该名称可以提示用户该用户组中的地址特征。用户组名称不支持命名为any(不区分大小写) |
|
用户组内容 |
添加到用户组的IP地址信息和主机名信息 |
|
描述信息 |
用户组的描述信息,可对用户组进行简单的描述,方便使用 |
|
主机名 |
添加到用户组中的主机的名称 |
|
IP地址 |
添加到用户的单个IP地址。配置该参数时,输入IP地址后,需点击配置项右侧的<→→>按钮,提交配置的地址池内容 |
|
IP地址段 |
添加到用户中的IP地址范围,配置该参数时,输入起始IP地址和结束IP后,需点击配置项右侧的<→→>按钮,提交配置的地址池内容 |
|
排除地址 |
用户中需排除的IP地址。配置该参数时,输入排除地址后,需点击配置项右侧的<→→>按钮,提交配置的地址池内容 |
|
操作 |
可对该配置进行编辑、删除和查看详情操作 |
如果您希望设备上的某些功能(例如带宽管理、上网行为管理)仅在特定时间生效,而其他时间不生效,可以创建一个时间组,并在配置相关功能时引用时间组。
一个时间组中可以配置一个或多个时间段。时间段的生效时间有如下两种方式:
· 周期性生效:以周作为周期,循环生效。例如,每周一的8至12点。
· 非周期生效:在指定的时间范围内生效。例如,2015年1月1日8点至2015年1月3日18点。
如果一个时间组中配置了多个周期性生效和非周期生效的时间段,设备将取所有周期性生效时间段的并集和所有非周期生效时间段的并集,再取这两个并集的交集作为该时间组最终的生效时间。
例如,对名称为test的时间组配置如下时间段:
· 周期性生效的时间段为每周一至周五:
¡ 上午08:30~12:00;
¡ 下午13:30~18:00;
· 非周期时间段为2019年4月1日至2019年4月30日:
¡ 上午10:00~12:00;
¡ 下午14:00~16:00。
则该时间组在2019年4月份每周一至周五的上午10点至12点和下午14点至16点生效。
您最多可以创建1024个不同名称的时间组。
对于同一个时间组,不可以使用命令行和web页面混合配置。
一个时间组内最多可以配置32个周期性生效的时间段和12个非周期生效的时间段。
页面向导:[上网行为管理/时间组]
|
本页面为您提供如下主要功能: · 显示已添加的时间组详细信息 · 添加时间组 · 删除已添加的时间组 · 修改已添加的时间组 |
|
|
添加时间组: 1. 单击<添加>按钮,弹出新建时间组对话框,输入时间组的名称、生效时间等参数信息 2. 点击<确定>按钮,完成配置 |
|
|
删除已添加的时间组: 1. 勾选需要删除的时间组前方单选框 2. 单击<删除>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
|
修改已添加的时间组: 1. 点击需要修改的时间组对应操作列的编辑图标,弹出修改时间组对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
表7-2 页面参数描述
|
页面参数 |
描述 |
|
时间组名称 |
特定时间段的名称。配置该参数时,该名称可以提示用户该时间段中的时间段特征。时间组名称不支持命名为any(不区分大小写) |
|
生效时间 |
该时间组的生效时间,设置方式有两种: · 周期性生效:以周作为周期,循环生效。配置该参数时,选择每周需要生效的具体星期,并在下面输入每天的具体生效时间,点击<+>按钮,完成本时间段的配置 · 非周期生效:在指定的时间范围内生效。配置该参数时,选择生效的起止日期,并在下面输入具体生效的起止时间,点击<+>按钮,完成本时间段的配置 |
|
引用 |
显示该时间组是否被其他策略引用,分为: · 是:表示该时间组被其他策略引用 · 否:表示该时间组未被其他策略引用 |
|
操作 |
可对该配置进行编辑或者删除操作 |
带宽管理功能用于对流量进行限速,用户可基于用户组和时间段等限制条件对流量进行精细控制。
页面向导:[上网行为管理/带宽管理/带宽限速]
|
本页面为您提供如下主要功能: · 显示已添加带宽限速的详细信息 · 添加带宽策略 · 删除已添加的带宽策略 · 修改已添加的带宽策略 |
|
|
添加带宽策略: 1. 单击<添加>按钮,弹出带宽策略对话框,设置应用接口、用户范围、流量限制和限制时段等参数信息 2. 点击<确定>按钮,完成配置 |
|
|
删除已添加的带宽策略: 1. 勾选需要删除的带宽策略前方单选框 2. 单击<删除>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
|
修改已添加的带宽策略: 1. 点击需要修改的带宽策略对应操作列的编辑图标,弹出编辑带宽策略对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
表7-3 页面参数描述
|
页面参数 |
描述 |
|
应用接口 |
报文的来源接口,即规则对从某一接口收到的数据包进行控制 |
|
用户范围 |
规则需要控制的用户IP地址组。配置该参数时,需选择已创建的用户组。如需新增用户分组,可通过点击右侧<新增用户组>按钮创建新的用户组 |
|
上传带宽 |
用户组内的用户上传方向的最大带宽值。单位为Mbps。配置此参数之前,需根据运营商提供的实际上行带宽配置当前线路上行带宽 |
|
下载带宽 |
用户组内的用户下载方向的最大带宽值。单位为Mbps。配置此参数之前,需根据运营商提供的实际上行带宽配置当前线路下行带宽 |
|
流量分配 |
流量的分配方式:主要分为: · 共享式:指定用户组内的所有计算机共享给定的带宽 · 独占式:指定用户组内的每台计算机各自占有给定的带宽(即流量上限) |
|
限制时段 |
带宽策略的生效时间段,配置该参数时,可选择: · 所有时段 · 选择已创建的时间组。如需新增时间分组,可通过点击右侧<新增时间组>按钮创建新的时间组 |
|
操作 |
可对此规则进行编辑和删除操作 |
只有设置了出口带宽的接口,配置的带宽保障策略才能生效。
一个接口只允许绑定一个策略;一个策略下可绑定多个匹配规则;一个匹配规则可添加多个匹配条件,其保证速率是确保符合当前匹配条件的所有用户能够使用到的总速率。
页面向导:[上网行为管理/带宽管理/带宽保障]
|
本页面为您提供如下主要功能: · 设置设备WAN的出口带宽速率 · 添加带宽保障策略 · 删除已添加的带宽保障策略 · 修改已添加的带宽保障策略 |
|
|
设置带宽保障: 1. 设置设备WAN口的出口带宽速率 2. 单击<应用>按钮,完成配置 |
|
|
添加带宽保障策略: 1. 单击<添加>按钮,弹出新建带宽保障策略对话框,输入策略的名称、应用接口等参数信息 2. 单击<添加>按钮,弹出新建匹配规则对话框,输入队列类型、保证速率、匹配条件配置等参数信息,单击<确定>按钮,完成新建匹配规则配置 3. 单击<确定>按钮,完成带宽保障策略配置 |
|
|
删除已添加的带宽保障策略: 1. 勾选需要删除的带宽保障策略前方单选框 2. 单击<删除>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
|
修改已添加的带宽保障策略: 1. 点击需要修改的带宽保障策略对应操作列的编辑图标,弹出编辑带宽保障策略对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
表7-4 页面参数描述
|
页面参数 |
描述 |
|
策略名 |
带宽保障策略的名称 |
|
应用接口 |
应用带宽保障策略的接口 |
|
队列类型 |
匹配规则的队列调度机制,EF(快速转发)的转发优先级高于AF(确保转发)的转发优先级。 |
|
保证速率 |
确保符合当前匹配条件的所有用户能够使用到的总速率 |
|
协议名 |
带宽保障策略匹配规则的协议名称 |
|
协议号 |
用于标识和区分不同协议的数字代码 |
|
本端网段/掩码 |
本地网络的IP地址范围和子网掩码的参数 |
|
本端端口 |
和对端通信时,本端网络使用的端口 |
|
对端网段/掩码 |
对端网络的IP地址范围和子网掩码的参数 |
|
对端端口 |
和本端通信时,对端网络使用的端口 |
|
操作 |
可对此规则进行编辑和删除操作 |
上网行为管理功能用于对用户访问的应用以及网址进行控制,并可基于用户组和时间段等限制条件对用户的上网行为进行更精细的控制。
当用户需要使配置的上网行为管理策略和网址过滤功能生效时,需要在全局控制页面中开启上网行为管理功能。
页面向导:[上网行为管理/上网行为管理/全局控制]
|
配置全局控制: 1. 勾选“开启上网行为管理”选项 2. 点击<应用>按钮,完成配置 |
|
表7-5 页面参数描述
|
页面参数 |
描述 |
|
全局控制 |
是否开启上网行为管理功能。若开启该功能,设备将按照配置的上网行为管理策略进行工作。 |
因为网址过滤功能基于HTTP协议,所以应用控制功能中不能将HTTP协议阻断,否则将影响设备对网址的识别,导致网址过滤功能不生效。
页面向导:[上网行为管理/上网行为管理/上网行为管理策略]
|
本页面为您提供如下主要功能: · 显示已添加的上网行为管理策略的详细信息 · 添加上网行为管理策略 · 删除已添加的上网行为管理策略 · 修改已添加的上网行为管理策略 |
|
|
添加上网行为管理策略: 1. 单击<添加>按钮,弹出新建上网行为管理对话框,设置策略名、用户范围、限制时段等参数信息 2. 点击<确定>按钮,完成配置 |
|
|
删除已添加的上网行为管理策略: 1. 勾选需要删除的上网行为管理策略前方单选框 2. 单击<删除>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
|
修改已添加的上网行为管理策略: 1. 点击需要修改的上网行为管理策略对应操作列的编辑图标,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表7-6 页面参数描述
|
页面参数 |
描述 |
|
策略名称 |
应用控制策略的名称 |
|
用户范围 |
策略需要控制的地址范围。配置该参数时,需选择已创建的用户组。如需新增用户分组,可通过点击右侧<新增用户组>按钮创建新的用户组 |
|
限制时段 |
规则的生效时间。配置该参数时,可选择所有时段,或选择已创建的时间组。如需新增时间组,可通过点击右侧的<新增时间组>按钮创建新的时间组 |
|
应用控制 |
策略需要控制的网络应用,并配置对该应用的访问控制的动作,主要分为: · 阻断:表示阻断用户对此应用的访问 · 不阻断不限速:表示不限制用户对此应用的访问 · 限速:表示对用户访问此应用进行限速,并可设置单个用户的最大上行带宽和最大下行带宽 |
|
应用控制日志 |
用户的上网行为记录,当报文与策略成功匹配后将生成日志 |
|
操作 |
可对该策略进行编辑或者删除操作 |
特征库是用来对经过设备的应用层流量进行识别的资源库,包括应用特征库和网址特征库。管理员需要及时更新设备中的特征库,对用户的上网行为进行更好的管理。
设备提供如下升级方式:
· 本地升级:管理员先手工从设备的官方网站获取最新的特征库,再导入到设备中进行升级。
· 在线升级:管理员触发在线升级功能后,设备自动从设备的官方网站获取最新的特征库文件,并自动导入设备中进行升级。
更新特征库时,请确保License已正确安装,并处于生效状态。
当系统内存处于告警门限状态时,请勿进行特征库更新,否则易导致设备特征库更新失败,进而影响上网行为管理功能的正常使用。
在线更新特征库时,需要确保设备能通过静态或动态域名解析方式获得官方网站的IP地址,并与之路由可达,否则设备更新特征库会失败。
页面向导:[上网行为管理/特征库管理]
|
配置特征库升级: · 本地更新特征库 · 在线更新特征库 |
|
表7-7 页面参数描述
|
页面参数 |
描述 |
|
本地更新特征库 |
使用本地保存的特征库文件手动离线升级系统上的特征库版本 |
|
在线更新特征库 |
设备能够访问官方网站上的特征库服务专区时,管理员可以选择立即自动在线升级方式来及时升级特征库版本 |
全局控制页面可以对用户的流量排行和应用流量排行进行开启和关闭的操作。
· 如果开启用户流量排行,在用户流量排行界面可查看到用户流量数据。
· 如果开启应用流量排行,在应用流量排行界面可查看到应用流量数据。
(1) 增加LAN接口时,需要单独开启该接口的用户流量排行。
(2) 如果接口下存在Portal配置,则在全局控制界面不显示该接口名称。删除该接口的Portal配置后可在全局控制页面显示该接口。
页面向导:[上网行为管理/流量排行/全局控制]
|
配置应用流量排行: 勾选“应用流量排行”选项,开启应用流量排行功能 |
|
|
配置用户流量排行: 1. 在接口列表中可通过点击单个接口后的<开启>按钮,开启该接口上静态IP用户和DHCP用户的流量排行功能 2. 反之,可关闭相应接口上静态IP用户和DHCP用户的流量排行功能 |
|
|
添加内网网段: 1. 需要修改的接口对应操作列的编辑图标,弹出“添加内网网段”页面。配置IP地址信息 2. 点击<确定>按钮,完成配置 |
|
表7-8 页面关键参数说明
|
关键项 |
描述 |
|
应用流量排行 |
是否开启应用流量排行功能。若开启该功能,页面会显示网络中各个应用程序的流量和排名信息 |
|
用户流量排行 |
是否开启用户流量排行功能。若开启该功能,页面会显示接入终端的流量信息 |
|
接口名称 |
终端接入网络使用的设备接口名称,例如VLAN1 |
|
内网网段 |
系统仅对内网网段中的IP地址进行流量统计和排行。系统默认配置的内网网段为直连网段,为保证网络连通性,请务必正确配置内网网段,若内网网段变化,请及时修改 |
|
操作 |
点击操作栏下的编辑按钮,可对该VLAN接口添加内网网段 |
认证用户的用户流量排行功能默认固定开启,无需用户操作。如需查看非认证用户的用户流量排行功能,需先在“全局控制”页面开启相应接口上的用户流量排行功能。
页面向导:[上网行为管理/流量排行/全局控制]
|
显示用户流量排行的详细信息,包括终端IP地址、终端名,用户名等信息 |
|
表7-9 页面关键参数说明
|
关键项 |
描述 |
|
终端IP地址 |
接入终端的IP地址 |
|
终端名 |
接入终端的名称或标识 |
|
用户名 |
接入终端的用户名 |
|
接入方式 |
终端接入网络使用的方式,主要分为: · 静态IP:终端使用固定IP地址接入网络 · DHCP:终端使用设备DHCP分配的IP地址接入网络 · PORTAL:一种认证方式,终端使用Portal认证的方式接入网络 · PPPoE:终端使用PPPoE的方式接入网络 · L2TP:终端使用L2TP的方式接入网络 |
|
接口 |
终端接入网络使用的设备接口,例如VLAN1 |
|
终端MAC地址 |
接入终端的MAC地址 |
|
上行流速 |
接入终端的上行流量速率 |
|
下行流速 |
接入终端的下行流量速率 |
|
在线时长 |
终端接入网络的时长 |
|
操作 |
点击操作栏下的限速按钮,可对需要应用的接口,配置上传带宽和下载带宽 |
配置应用流量排行前需要先在“全局控制”页面开启应用流量排行功能。
页面向导:[上网行为管理/流量排行/应用流量排行]
|
显示应用流量排行的详细信息,包括应用类型、上行流速,下行流速等信息 |
|
表7-10 页面关键参数说明
|
关键项 |
描述 |
|
应用类型 |
应用的分类 |
|
上行流速 |
终端设备发送数据到该应用实时的流量速率 |
|
下行流速 |
从该应用传输数据到终端设备实时的流量速率 |
|
当日上行流量 |
当天终端设备发送数据到该应用的流量 |
|
当日下行流量 |
当天从该应用传输数据到终端设备的流量 |
|
当日总流量 |
当天终端访问该应用上行和下行的总流量 |
|
操作 |
单击操作栏下的<详情>按钮,进入详情页面。在该页面可查看到应用流量等相关信息 |
防火墙功能是通过一系列的安全规则匹配网络中的报文,并执行相应的动作,从而达到阻断非法报文传输、正常转发合法报文的目的,为用户的网络提供一道安全屏障。
· 当报文匹配到一个防火墙安全规则后,则不会继续向下匹配,所以请合理安排安全规则的优先级下,避免报文匹配错误的规则而导致执行相反动作。
· 防火墙功能的相关配置仅对接口入方向生效。
· 请提前完成外网配置页面的相关配置,才可创建防火墙安全规则。
· 若需指定防火墙安全规则的生效时间,请提前在时间组页面创建相应的时间组。
页面向导:[网络安全/防火墙]
|
本页面为您提供如下主要功能: · 添加安全规则 · 删除安全规则 · 修改已创建的安全规则 · 显示已创建的安全规则信息 |
|
|
添加安全规则: 1. 单击<添加>按钮,弹出创建安全规则页面,配置接口、优先级等参数信息 2. 单击<确定>按钮,完成配置 |
|
|
删除安全规则: 1. 勾选需要删除的安全规则 2. 单击<删除>按钮,弹出提示对话框 3. 单击<确定>按钮,完成配置 |
|
|
修改安全规则: 1. 单击需要修改的安全规则操作列的编辑图标,弹出修改安全规则对话框,修改相关参数 2. 单击<确定>按钮,完成配置 |
|
表8-1 页面关键参数说明
|
页面参数 |
描述 |
|
接口 |
报文的来源接口,即规则对从某一接口收到的数据包进行控制 |
|
协议类型 |
规则需要控制的报文协议类型。配置该参数时,可根据需要进行选择: · 若需控制某传输层协议的报文,则选择“TCP”或“UDP” · 若需控制Ping、Tracert等ICMP协议报文,则选择“ICMP” · 若需控制所有协议报文,则选择“所有协议” |
|
源IP地址/掩码 |
配置该规则所匹配报文发送端的IP地址及掩码,输入“any”则代表匹配所有源IP地址。 |
|
目的IP地址/掩码 |
配置该规则所匹配报文接收端的IP地址及掩码,输入“any”则代表匹配所有目的IP地址。 |
|
目的端口范围 |
配置该规则所匹配报文的目的端口号,例如HTTP协议报文的目的端口号为80。 |
|
规则生效时间 |
规则的生效时间。配置该参数时,需选择已创建的时间组。 |
|
动作 |
规则对需要控制的报文的执行动作,主要分为: · 允许:表示规则允许报文通过 · 拒绝:表示规则拒绝报文通过 |
|
优先级 |
规则的优先级。设置方式有两种: · 自动:系统自动为该规则分配优先级,即根据规则的配置顺序以5为步长进行依次分配 · 自定义:用户自定义规则的优先级,数值越小则优先级越高 |
|
描述 |
规则的描述信息,可对规则进行简单的描述,方便使用 |
DDoS攻击是一类广泛存在于互联网中的攻击,能造成比传统DoS攻击(拒绝服务攻击)更大的危害。配置本功能能让您的设备和网络免受如下DDoS攻击的困扰:
· 单包攻击:攻击者利用畸形报文发起攻击,旨在瘫痪目标系统。例如Land攻击报文是源IP和目的IP均为攻击目标IP的TCP报文,此攻击将耗尽目标服务器的连接资源,使其无法处理正常业务。
· 异常流攻击
¡ 扫描攻击:攻击者对主机地址和端口进行扫描,探测目标网络拓扑以及开放的服务端口,为进一步侵入目标系统做准备。
¡ 泛洪攻击:攻击者向目标系统发送大量伪造请求,导致目标系统疲于应对无用信息,从而无法为合法用户提供正常服务。
设备可防御的DDoS攻击包括:
· 单包攻击:Fraggle攻击、Land攻击、WinNuke攻击、TCP Flag攻击、ICMP不可达报文攻击、ICMP重定向报文攻击、Smurf攻击、带源路由选项的IP报文攻击、带路由记录选项的IP报文攻击和超大ICMP报文攻击。
· 异常流攻击:扫描攻击、SYN flood攻击、UDP flood攻击和ICMP flood攻击。
攻击防御是保护系统或网络免受恶意攻击的策略和技术,确保其安全性和正常运行。
页面向导:[网络安全/DDOS攻击防御/攻击防御]
|
本页面提供如下主要功能: · 显示已添加的DDOS攻击防御策略 · 开启或关闭DDOS攻击防御 · 添加DDOS攻击防御策略 · 删除DDOS攻击防御策略 · 编辑已添加的DDOS攻击防御策略 |
|
|
添加DDOS攻击防御策略: 1. 单击<添加>按钮,弹出新建攻击防御对话框,选择应用接口和攻击防御类型 2. 单击<确定>按钮,完成配置 |
|
|
删除DDOS攻击防御策略: 1. 勾选需要删除的攻击防御策略后单击<删除>按钮,弹出确认提示对话框 2. 单击<确定>按钮,完成配置 |
|
|
编辑已添加的DDOS攻击防御策略: 1. 单需要编辑的攻击防御对应操作列的编辑图标,弹出编辑攻击防御对话框,修改相关配置 2. 单击<确定>按钮,完成配置 |
|
表8-2 页面关键参数说明
|
页面参数 |
描述 |
|
DDoS攻击防御 |
是否开启该功能,若开启该功能,设备将对来自外网和内网的常见DDoS攻击进行防御,丢弃攻击报文,并以日志形式记录相应的攻击事件 |
|
应用接口 |
攻击报文的来源接口,即规则对从某一接口收到的数据包进行DDoS攻击防御 |
|
攻击防御 |
设备进行DDoS攻击防御的类型,主要分为: · 单包攻击防御:防御攻击者利用畸形报文发起攻击,导致瘫痪目标系统。主要包括: ¡ Fraggle攻击防御:启用该项后,设备可以有效防止Fraggle攻击。该攻击表现为攻击者向子网广播地址发送源地址为受害网络或者受害主机的UDP报文。子网内的每一个主机都会向受害网络或者主机发送响应报文,从而导致网络阻塞或者主机崩溃 ¡ Land攻击防御:启用该项后,设备可以有效防止Land攻击。该攻击表现为攻击者向目标发送带有SYN标志的TCP报文,并且这些报文的源地址和目的地址都设为被攻击目标的IP地址,当被攻击目标机收到这样的报文后,开始重复的进行内部应答风暴,消耗大量的CPU资源 ¡ WinNuke攻击防御:启用该项后,设备可以有效防止WinNuke攻击。该攻击表现为攻击者利用NetBIOS协议中OOB(Out of Band)漏洞对目标进行攻击,可造成部分主机死机或蓝屏 ¡ TCP flag攻击防御:启用该项后,设备可以有效防止TCP flag攻击。该攻击表现为攻击者发送带有非常规TCP标志的报文探测目标主机的操作系统类型,若操作系统对这类报文处理不当,攻击者便可达到使目标主机系统崩溃的目的 ¡ ICMP不可达报文攻击防御:启用该项后,设备可以有效防止ICMP不可达报文攻击。该攻击表现为攻击者向目标发送ICMP不可达报文,达到切断目标主机网络连接的目的 ¡ ICMP重定向报文攻击防御:启用该项后,设备可以有效防止ICMP重定向报文攻击。该攻击表现为攻击者向目标发送ICMP重定向报文,更改目标的路由表,干扰目标正常的IP报文转发 ¡ Smurf攻击防御:启用该项后,设备可以有效防止Smurf攻击。该攻击与Fraggle攻击类似,表现为攻击者向一个网段广播一个ICMP回显请求(ICMP ECHO REQUEST)报文,而源地址为被攻击主机,当网段中的所有主机收到回显请求后,都会向被攻击主机响应ICMP ECHO REPLY报文,造成攻击目标网络阻塞或者系统崩溃 ¡ 带源路由选项的IP攻击防御:启用该项后,设备可以有效防止带源路由选项的IP攻击。该攻击表现为攻击者向目标发送带源路由选项的IP报文,达到探测网络结构的目的 ¡ 带路由记录选项的IP攻击防御:启用该项后,设备可以有效防止带路由记录选项的IP攻击。该攻击表现为攻击者向目标发送带路由记录选项的IP报文,达到探测网络结构的目的 ¡ 超大ICMP攻击防御:启用该项后,设备可以有效防止超大ICMP攻击。该攻击表现为攻击者向目标发送超大ICMP报文,使目标主机崩溃 · 异常流攻击防御:防御攻击者向目标系统发送大量伪造请求,导致目标系统疲于应对无用信息,从而无法为合法用户提供正常服务。主要包括: ¡ SYN Flood攻击防御:勾选该选项,并设置启用防止SYN Flood攻击的阈值。当流量速率超过该阈值,设备将启用SYN Flood攻击防御。该攻击表现为攻击者向目标发送大量的SYN报文,消耗目标的连接资源,使目标系统无法再接受新连接 ¡ UDP Flood攻击防御:勾选该选项,并设置启用防止UDP Flood攻击的阈值。当流量速率超过该阈值,设备将启用UDP Flood攻击防御。该攻击表现为攻击者向目标发送大量的UDP报文,导致目标主机忙于处理这些UDP报文而无法继续处理正常的报文 ¡ ICMP Flood攻击防御:勾选该选项,并设置启用防止ICMP Flood攻击的阈值。当流量速率超过该阈值,设备将启用ICMP Flood攻击防御。该攻击表现为攻击者向目标发送大量的ICMP报文,导致目标主机忙于处理这些ICMP报文而无法继续处理正常的报文 · 扫描攻击防御:防御攻击者对主机地址和端口进行扫描,探测目标网络拓扑以及开放的服务端口,为进一步侵入目标系统做准备。主要包括: ¡ WAN口ping扫描:启用该项后,设备不回应来自Internet的Ping请求,可以防止Internet上恶意的Ping探测 ¡ UDP扫描:启用该项后,设备可以有效防止UDP扫描攻击。该攻击表现为攻击者向目标端口发送UDP报文,探测端口的开放情况 ¡ TCP SYN扫描:启用该项后,设备可以有效防止TCP SYN扫描攻击。该攻击表现为攻击者像建立正常的TCP连接一样向目标端口发送SYN报文, 然后等待目标主机的回应,借此探测端口的开放情况 ¡ TCP NULL扫描:启用该项后,设备可以有效防止TCP NULL扫描。该攻击表现为攻击者向目标端口发送所有标志都不置位的TCP报文, 然后等待目标主机的回应,借此探测端口的开放情况 ¡ TCP Stealth FIN扫描:启用该项后,设备可以有效防止TCP Stealth FIN扫描。该攻击表现为攻击者向目标端口发送只有FIN标志置位的TCP报文, 然后等待目标主机的回应,借此探测端口的开放情况 ¡ TCP Xmas Tree扫描:启用该项后,设备可以有效防止TCP Xmas Tree扫描。该攻击表现为攻击者向目标端口发送FIN、URG和PUSH标志置位的TCP报文, 然后等待目标主机的回应,借此探测端口的开放情况 |
攻击防御统计是用来统计单包攻击防御和异常流攻击防御的详细信息。
页面向导:[网络安全/DDOS攻击防御/攻击防御统计]
|
查看“单包攻击防御”和“异常攻击防御”的详细信息,并支持将这些信息以Excel形式导出。 |
|
表8-3 页面参数描述
|
页面参数 |
描述 |
|
序号 |
设备遭受攻击的编号 |
|
攻击类型 |
设备遭受攻击的类型。包括单包攻击防御和异常流量攻击防御中的具体攻击类型 |
|
总次数 |
设备遭受此类攻击的总次数。查看单包攻击防御统计时,显示该参数 |
|
最后发生时间 |
设备最后遭受此类攻击的具体时间 |
|
被攻击接口/被攻击安全域 |
设备被攻击的接口或安全区域 |
|
发生的用户IP |
发动攻击的用户IP地址 |
|
详情 |
该攻击的详细信息,包括:序号、攻击类型、源地址、目的地址、防御动作、日期和时间 |
启动扫描攻击防御后,可选择将源IP地址加入黑名单。在一定时间内,来自扫描攻击源的报文将被设备直接丢弃。
被加入黑名单的用户可在黑名单管理页面查看,该页面用来记录黑名单相关信息,包括黑名单用户、MAC地址、类型和动作。
页面向导:[网络安全/DDOS攻击防御/黑名单管理]
|
用来记录黑名单相关信息 |
|
连接限制功能是一种安全机制,通过限制每个IP地址主动发起连接的个数,达到合理分配设备处理资源、防范恶意连接的效果。
如果设备发现来自某IP地址的TCP或UDP连接数目超过指定的数目,将禁止该连接建立。直到该连接数低于限制数时,其才被允许新建连接。
网络连接限制是指在指定IP地址范围内,配置每个IP地址发起连接的个数限制。此方式用于对设备上的所有接口收到的连接进行控制。
· 每条网络连接数限制规则,如果是IP地址范围,表示该地址段内的每个IP最多建立的网络连接数都将限制到设定的上限值。如果起始地址和结束地址相同,表示仅限制该IP的网络连接数。
· 限制规则表中可以加入多条网络连接数限制规则,配置规则时允许某几条中的IP地址重叠,但以先加入的规则优先级为高。也就是对于相同的IP地址,后加入的网络连接数限制设置不会覆盖先前的设置,仍以先前配置的连接数限制为准。
· 允许在限制规则表中对先前配置的规则进行删除、修改等操作。但修改不能改变规则的优先级,生效规则仍以规则要点 2 的约定为准。
· 网络连接限速仅限制内网IP向因特网发起的网络连接;下列情形不在限制范围内:向设备本身和内网其它IP发起的连接,以及由因特网向内网IP发起的连接。
· 总连接数=TCP连接数+UDP连接数+其他连接数,其他连接指除TCP和UDP连接之外的连接,如ICMP等。某IP可以建立新连接的条件是:此IP已经建立的连接数未达到设置的上限值。比如某IP需要建立一条TCP连接,则必须满足此IP已经建立的总连接数未达到总连接数上限,TCP连接数未达到TCP连接数上限,建立UDP连接和其他连接的条件跟TCP相同。
· TCP连接数设为0和留空的区别是:设置为0表示不允许建立TCP连接,留空表示不对TCP连接数进行单独限制,但仍需满足总连接数限制条件。UDP连接数情况类似。
· 每条VLAN网络连接限数规则,表示指定VLAN内最多建立的网络连接数都将被限制到设定的上限值。注意,这里设置的连接数上限指的是该VLAN内所有IP的连接数之和的上限,而非每IP各自的连接数上限
· 总连接数=TCP连接数+UDP连接数+其他连接数,其他连接指除TCP和UDP连接之外的连接,如ICMP等。某VLAN可以建立新连接的条件是:此VLAN内IP已经建立的连接数未达到设置的上限值。比如某VLAN内某个IP需要建立一条TCP连接,则必须满足此VLAN已经建立的总连接数未达到总连接数上限,TCP连接数未达到TCP连接数上限,建立UDP连接的条件跟建立TCP连接类似。
页面向导:[网络安全/连接限制/网络连接限制数]
|
本页面为您提供如下主要功能: · 开启或关闭网络连接限制数 · 添加网络连接限制数规则 · 删除网络连接限制数规则 · 修改已添加的网络限制数规则 · 显示添加的网络连接限制数规则相关信息 |
|
|
添加网络连接限制数规则: 1. 单击<添加>按钮,弹出新建网络连接限制数规则对话框,配置相关参数 2. 单击<应用>按钮,完成配置 |
|
|
删除网络连接限制数规则: 1. 勾选需要删除的网络连接限制数规则,单击<删除>按钮,弹出确认提示对话框 2. 单击<确定>按钮,完成配置 |
|
|
修改网络连接限制数规则: 1. 单击需要修改的网络连接限制数规则对应操作列的编辑图标,单击<删除>按钮,弹出修改网络连接限制数规则对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
表8-4 页面参数描述
|
页面参数 |
描述 |
|
开启网络连接限制数 |
是否开启网络连接限制数功能。若开启该功能,设备将按照配置的网络连接限制数规则进行工作,缺省关闭网络连接数限制数功能 |
|
连接限制地址分组 |
规则需要控制的IP地址范围 |
|
每IP总连接数上限 |
允许每个IP地址发起的最大网络连接数 |
|
每IP TCP连接数上限 |
允许每个IP地址发起的最大TCP网络连接数 |
|
每IP UDP连接数上限 |
允许每个IP地址发起的最大UDP网络连接数 |
|
描述 |
规则的描述信息,可对规则进行简单的描述,方便使用 |
VLAN网络连接限制是指在指定VLAN接口上,配置每个IP地址发起连接的个数限制。此方式用于对指定VLAN接口收到的连接进行控制。
页面向导:[网络安全/连接限制/ VLAN网络连接限制数]
|
本页面为您提供如下主要功能: · 开启或关闭VLAN网络连接限制数 · 添加VLAN网络连接限制数规则 · 删除VLAN网络连接限制数规则 · 修改已添加的VLAN网络限制数规则 · 显示添加的VLAN网络连接限制数规则相关信息 |
|
|
添加VLAN网络连接限制数规则: 1. 单击<添加>按钮,弹出新建VLAN网络连接限制数规则对话框,配置相关参数 2. 单击<应用>按钮,完成配置 |
|
|
删除VLAN网络连接限制数规则: 1. 勾选需要删除的VLAN网络连接限制数规则,单击<删除>按钮,弹出确认提示对话框 2. 单击<确定>按钮,完成配置 |
|
|
修改VLAN网络连接限制数规则: 1. 单击需要修改的VLAN网络连接限制数规则对应操作列的编辑图标,单击<删除>按钮,弹出修改VLAN网络连接限制数规则对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
表8-5 页面参数描述
|
页面参数 |
描述 |
|
开启VLAN网络连接限制 |
是否开启VLAN网络连接限制功能。若开启该功能,设备将按照配置的VLAN网络连接限制规则进行工作,缺省关闭VLAN网络连接限制数功能 |
|
VLAN接口 |
规则需要控制的VLAN接口 |
|
总连接数上限 |
允许指定的VLAN接口占用的最大网络连接数,避免个别VLAN占用过多的资源 |
|
TCP连接数上限 |
允许指定的VLAN接口发起的最大TCP网络连接数 |
|
UDP连接数上限 |
允许指定的VLAN接口发起的最大UDP网络连接数 |
|
描述 |
规则的描述信息,可对规则进行简单的描述,方便使用 |
如果您希望对某些设备发送过来的报文进行限制(允许或禁止其通过),则可以在VLAN接口上配置MAC地址过滤功能,在开启MAC地址过滤功能后,本功能将根据MAC黑白名单对接收报文的源MAC地址进行过滤。
过滤方式有如下两种:
· 白名单:仅允许在白名单内的源MAC地址访问外网,其余禁止访问。
· 黑名单:仅禁止在黑名单内的源MAC地址访问外网,其余允许访问。
· 如果需要在管理员终端连接的接口上开启MAC地址过滤功能,请先确保管理员的终端MAC地址已添加到白名单中或未添加到黑名单。
· MAC地址中的英文字符不区分大小写。
页面向导:[网络安全/MAC地址过滤/MAC过滤设置]
|
设置MAC地址过滤: 1. 在指定接口的“过滤方式”列中选择“白名单”或“黑名单”选项,并在“开启和关闭”列中勾选“开启”选项 2. 单击<应用>按钮,完成配置 |
|
表8-6 页面参数描述
|
页面参数 |
描述 |
|
端口 |
匹配MAC地址过滤策略的接口 |
|
过滤方式 |
设备进行MAC地址过滤的方式,主要分为: · 白名单:仅允许在白名单内的源MAC地址访问外网,其余禁止访问 · 黑名单:仅禁止在黑名单内的源MAC地址访问外网,其余允许访问 |
|
开启和关闭 |
是否开启MAC地址过滤功能: · 若开启该功能,设备将根据MAC地址列表中的MAC地址控制内网计算机访问因特网 · 若不开启该功能,局域网内的所有计算机都可以不受限制地访问因特网 |
添加或删除白名单。
页面向导:[网络安全/MA地址过滤/MAC过滤设置/MAC黑白名单管理/白名单]
|
本页面为您提供如下主要功能: · 显示已添加到白名单中的MAC地址详细信息 · 添加单个MAC地址到白名单 · 删除已添加到白名单中的MAC地址 · 修改已添加到白名单中的MaC地址 |
|
|
添加单个MAC地址到白名单: 1. 单击<添加>按钮,弹出添加源MAC地址对话框,输入需要添加的MAC地址和描述。 2. 单击<确定>按钮,完成操作。 |
|
|
删除已添加到白名单中的MAC地址: 1. 单击需要删除的MAC地址前方单选框 2. 单击<删除>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置。 |
|
|
修改已添加到白名单中的MaC地址: 1. 勾选需要修改的MAC地址对应操作列的编辑图标,弹出编辑源MAC地址对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
表8-7 页面参数描述
|
页面参数 |
描述 |
|
序号 |
MAC黑白名单管理策略的编号 |
|
类别 |
MAC地址过滤策略的类别,主要分为: · 白名单:仅允许在白名单内的源MAC地址访问外网,其余禁止访问 · 黑名单:仅禁止在黑名单内的源MAC地址访问外网,其余允许访问 |
|
MAC地址 |
策略需要控制的MAC地址。此处不支持全0或全F的MAC地址 |
|
描述 |
策略的描述信息,可对策略进行简单的描述,方便使用 |
|
操作 |
可对添加的策略进行编辑和删除操作 |
页面向导:[网络安全/MA地址过滤/MAC过滤设置/MAC黑白名单管理/黑名单]
黑名单页面相关功能配置步骤和页面参数和白名单类似,可参考黑名单进行配置,此处不做描述。
ARP协议本身存在缺陷,攻击者可以轻易地利用ARP协议的缺陷对其进行攻击。ARP攻击防御技术提供了多种ARP攻击防御技术对局域网中的ARP攻击和ARP病毒进行防范、检测和解决。
本功能支持开启和关闭接口的动态ARP表项学习功能,当执行关闭接口的动态ARP表项学习功能后,该接口无法再学习新的动态ARP表项,提高了安全性。当设备的某个接口已经学到了该接口下所有合法用户的ARP表项时,建议关闭动态ARP表项学习功能。
页面向导:[网络安全/ARP攻击防御/动态ARP表项学习]
|
在指定接口的“ARP学习管理”列,设置是否允许接口学习动态ARP表项 |
|
表8-8 页面参数描述
|
页面参数 |
描述 |
|
端口 |
接口,例如VLAN1。 |
|
端口类型 |
设备的接口类型。 |
|
ARP学习管理 |
动态ARP表项的学习功能,主要分为: · 开启:允许该接口学习动态ARP表项。 · 关闭:不允许该接口学习动态ARP表项。 当设备的某个接口已经学到了该接口下所有合法用户的ARP表项时,建议关闭动态ARP表项学习功能。当DHCP分配IP地址时会临时生成动态ARP表项,该表项会在动态ARP管理页面中显示,不受接口的ARP学习管理开关控制。 |
动态ARP管理包括动态ARP表项管理功能和ARP扫描、固化功能。ARP扫描、固化功能即对局域网内的用户进行自动扫描,并将生成的动态ARP表项固化为静态ARP表项。建议环境稳定的小型网络(如网吧)中配置本功能。先配置ARP扫描、固化功能,再关闭动态ARP表项学习功能,可以防止设备学习到错误的ARP表项。
页面向导:[网络安全/ARP攻击防御/动态ARP管理]
|
本页面为您提供如下主要功能: · 显示指定接口的动态ARP信息 · 删除指定的动态ARP · 扫描指定接口、指定IP地址范围内的动态ARP · 固化动态ARP |
|
|
删除指定的动态ARP: 1. 勾选动态ARP列表中的指定选项,单击<删除>按钮,弹出确认提示对话框 2. 单击<确定>按钮,完成配置 |
|
|
扫描指定接口、指定IP地址范围内的动态ARP: 1. 单击<扫描>按钮,弹出扫描对话框,选择指定接口,输入指定的IP地址范围 2. 单击<确定>按钮,完成配置 |
|
表8-9 页面参数描述
|
页面参数 |
描述 |
|
IP地址 |
该动态ARP信息中的IP地址 |
|
MAC地址 |
该动态ARP信息中的的MAC地址 |
|
类型 |
该动态ARP信息的所属类型,主要分为: · 未绑定:表示该条表项为动态学习到的ARP表项 · 动态绑定:表示该条表项为对DHCP分配的地址进行ARP保护时自动进行了绑定 |
|
VLAN |
该动态ARP信息的所属VLAN |
|
接口 |
该动态ARP信息的所属接口 |
|
操作 |
可对此动态ARP信息进行编辑操作 |
Portal是互联网接入的一种认证方式,通过对用户进行身份认证,以达到对用户访问进行控制的目的。
Web网页认证是指用户无需安装客户端软件,直接通过Web页面接受用户输入的用户名和密码,设备对用户进行身份认证,用户通过Portal认证后,可以访问互联网资源。
页面向导:[认证管理/Portal认证/认证设置]
|
启用Web认证,并设置相关参数,单击<应用>按钮完成配置。 |
|
表9-1 页面参数描述
|
页面参数 |
描述 |
|
启用Web认证服务 |
使用Portal认证功能,必须开启Web认证服务 |
|
会话超时时间 |
Portal会话的超时时间 |
|
认证服务接口 |
选择需要开启Portal功能的接口 |
|
认证页面语言 |
选择Portal认证页面的语言 |
|
允许修改密码 |
是否允许修改Web认证用户的登录密码 |
|
导入背景图片 |
选择要导入的图片文件,该图片的分辨率为1440×900,大小不超过255K,名称为background-logon.jpg。 |
用户可以为不需要通过Portal认证即可访问网络资源的用户设置免认证规则,免认证规则的匹配项包括MAC地址、IP地址或域名。
页面向导:[认证管理/Portal认证/免认证MAC地址]
|
本页面为您提供如下主要功能: · 显示已添加的免认证MAC地址 · 添加免认证MAC地址 · 删除免认证MAC地址 · 编辑已添加的MAC地址 |
|
|
添加免认证MAC地址: 1. 单击<添加>按钮,弹出添加免认证MAC地址对话框,输入MAC地址 2. 单击<确定>按钮,完成配置 |
|
|
删除免认证MAC地址: 1. 勾选需要删除的免认证MAC地址,单击<删除>按钮,弹出确认提示按钮 2. 单击<确定>按钮,完成配置 |
|
表9-2 页面参数描述
|
页面参数 |
描述 |
|
MAC地址 |
规则需要控制的MAC地址,即该MAC地址不需要通过Portal认证即可访问网络资源。此处不支持全0或全F的MAC地址 |
|
描述 |
规则的描述信息,可对规则进行简单的描述,方便使用 |
|
操作 |
可对该配置进行编辑或者删除操作 |
用户可以为不需要通过Portal认证即可访问网络资源的用户设置免认证规则,免认证规则的匹配项包括MAC地址、IP地址或域名。
在添加免认证IP地址时,免认证源IP地址分组或免认证目的地址分组不能为空。当系统不存在地址分组时,需要先新增地址组。
页面向导:[认证管理/Portal认证/免认证IP地址/域名]
|
本页面为您提供如下主要功能: · 显示已添加的免认证IP地址/域名 · 添加免认证IP地址/域名 · 删除免认证IP地址/域名 · 编辑已添加的IP地址/域名 |
|
|
添加免认证IP地址: 1. 单击<添加>按钮,配置相关参数 2. 单击<确定>按钮,完成配置 |
|
|
删除免认证IP地址: 1. 勾选需要删除的免认证IP地址,单击<删除>按钮,弹出确认提示按钮 2. 单击<确定>按钮,完成配置 |
|
表9-3 页面参数描述
|
页面参数 |
描述 |
|
地址添加方式 |
免认证IP地址的添加方式。主要分为: · 源IP地址组:规则需要控制的源IP地址范围。配置该参数时,需在“免认证源地址分组”配置项处,选择已创建的地址分组。如需新增地址分组,可通过点击右侧<新增地址组>按钮创建新的地址组 · 目的IP地址组:规则需要控制的目的IP地址范围。配置该参数时,需在“免认证目的地址分组”配置项处,选择已创建的地址分组。如需新增地址分组,可通过点击右侧<新增地址组>按钮创建新的地址组 · 域名:规则需要控制的域名。配置该参数时,需要在“域名”配置项处,输入免认证的域名 |
|
免认证IP地址组 |
规则需要控制的IP地址组 |
|
地址类型 |
免认证IP地址的添加方式。包括源IP地址组、目的IP地址组、域名三种 |
如果您希望对用户提供PPPoE宽带拨号服务,以实现对拨号用户的地址分配管理和认证管理,那么您可以通过配置PPPoE服务器来满足上述需求。
本节配置完成后,设备仅作为PPPoE服务器为拨号用户提供地址分配和认证管理服务。如果您希望为拨号用户提供上网服务,以便用户可以访问互联网,除完成本节配置外,还需要完成外网的设置。外网的具体设置步骤具体请参见[快速设置]或[网络设置/外网配置]菜单项中的配置。
页面向导:[认证管理/PPPoE服务器]
|
本页面为您提供如下主要功能: · 显示已添加的PPPoE服务器 · 添加PPPoE服务器 · 删除PPPoE服务器 |
|
|
添加PPPoE服务器: 1. 单击<添加>按钮,配置相关参数 2. 单击<确定>按钮,完成配置 |
|
|
删除PPPoE服务器: 1. 勾选需要删除的PPPoE服务器,单击<删除>按钮,弹出确认提示按钮 2. 单击<确定>按钮,完成配置 |
|
表9-4 页面参数描述
|
页面参数 |
描述 |
|
应用于 |
选择设备用于提供PPPoE拨号服务的接口 |
|
虚拟模板接口地址 |
虚拟模板接口的IP地址,使PPPoE服务器具有为用户分配IP地址的能力 |
|
用户地址池 |
用于分配给PPPoE拨号用户的IP地址 |
|
DNS1 |
分配给PPPoE拨号用户的主DNS服务器IPv4地址 |
|
DNS2 |
分配给PPPoE拨号用户的从DNS服务器IPv4地址 |
|
当前服务器可接入的终端数 |
允许拨号上网的最大用户数 |
如果您需要对通过设备访问外部网络的用户进行身份认证(例如Portal认证、PPPoE认证),则需要通过本功能配置相应的用户账户,来维护用户的身份信息和与其相关的网络服务信息(例如用户名、密码、可用的服务、有效期等)。通过身份认证的用户将可以获得访问外部网络的权限。
配置相应的用户账户,来维护用户的身份信息和与其相关的网络服务信息
如果待添加的用户账户需要与某个MAC地址绑定,请提前收集该客户端网卡的MAC地址。
页面向导:[认证管理/PPPoE服务器/用户设置]
|
本页面为您提供如下主要功能: · 显示已添加的用户信息 · 添加用户 · 删除用户 · 修改已添加的用户信息 |
|
|
添加用户: 1. 单击<添加>按钮,配置相关参数 2. 单击<确定>按钮,完成配置 |
|
|
删除用户: 1. 勾选需要删除的免认证IP地址,单击<删除>按钮,弹出确认提示按钮 2. 单击<确定>按钮,完成配置 |
|
|
修改用户: 1. 单击需要修改的用户操作列的编辑图标,弹出修改对话框,修改相关参数 2. 单击<确定>按钮,完成配置 |
|
表9-5 页面参数描述
|
页面参数 |
描述 |
|
用户名 |
账户名称 |
|
状态 |
选择“可用”或“禁用”。 · 如果需要该账户在配置完成后立即生效,请选择“可用”。 · 如果暂时不需要该账户生效,请选择“禁用”。 |
|
密码 |
配置用户密码。如果不设置用户密码,则该用户进行身份认证时,不需要提供密码。为提高用户帐户的安全性,建议您设置用户密码。 |
|
可用服务 |
该账户可使用的接入认证方式,您可以选择Portal或PPP |
|
MAC地址 |
根据需要选择该账户是否需要与某个客户端的MAC地址绑定。 · 如果选择“绑定”,请同时输入要绑定的MAC地址,MAC地址格式为xx-xx-xx-xx-xx-xx。例如,此处绑定MAC地址00-e0-fc-00-58-29,用户进行身份认证时,设备会检查该用户客户端的MAC地址与此处绑定的MAC地址是否一致,如果不一致则用户认证失败。 · 如果选择“不绑定”,则该账户可以在任一客户端设备上使用。 |
|
有效日期 |
在“有效日期”配置项处,根据需要选择是否配置账户的有效期。 · 如果选择“配置”,则用户只能在有效期内使用账户进行认证。 · 如果选择“不配置”,则用户可以永久使用账户进行认证。 |
|
描述 |
输入相应的描述信息以便记忆和管理用户 |
本功能用于查看在线用户的相关信息
页面向导:[认证管理/PPPoE服务器/在线用户]
|
查看在线用户的相关信息 |
|
IPsec VPN是利用IPsec技术建立的虚拟专用网。IPsec通过在特定通信方之间建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。
IPsec协议为IP层上的网络数据安全提供了一整套安全体系结构,包括安全协议AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安全载荷)、IKE(Internet Key Exchange,互联网密钥交换)以及用于网络认证及加密的一些算法等。其中,AH协议和ESP协议用于提供安全服务,IKE协议用于密钥交换。
设备支持两种IPsec VPN组网方式:
· “中心—分支”方式组网:企业分支机构网关将主动与总部网关建立IPsec隧道,分支机构内部终端可以安全访问总部的网络资源。
· “分支—分支”方式组网:企业各分支网关之间均可主动建立IPsec隧道,来保护分支之间的数据通信。
添加IPsec基本策略信息。
· 当设备作为中心节点,一个接口下只能配置一条中心节点策略。在添加IPsec中心节点策略选择接口时,需选择未创建过中心节点策略的接口。
· 在添加保护流措施时,不建议同时配置多个相同IP地址不同掩码的保护流,例如不建议同时配置192.168.1.1/24和192.168.1.1/16的保护流。
页面向导:[虚拟专网/ IPsec VPN / IPsec策略]
|
本页面为您提供如下主要功能: · 显示已添加的IPsec策略信息 · 添加IPsec策略 · 删除IPsec策略 · 编辑已添加的IPsec策略 |
|
|
1. 单击<添加>按钮,弹出添加IPsec策略对话框,配置相关参数 2. 单击<显示高级配置>按钮,完成配置,并进入IKE配置页面 |
|
表10-1 页面参数描述
|
页面参数 |
描述 |
|
名称 |
策略名称 |
|
接口 |
报文的来源接口,即规则对从某一接口收到的数据包进行控制。配置该参数时,此接口需要与对端设备路由可达 |
|
组网方式 |
IPsec VPN网络的组建方式,主要分为: · 分支节点:设备作为分支节点,与中心节点建立IPsec隧道。配置该参数时,需设置IPsec隧道对端的IP地址或域名。通常为总部网关或对端分支机构网关的WAN口地址 · 中心节点:设备作为中心节点,与分支节点建立IPsec隧道 |
|
认证方式 |
IPsec隧道的认证方式。此参数目前仅支持预共享密钥 |
|
预共享密钥 |
IPsec隧道的认证密码。配置该参数时,需输入与对端设备相同的预共享密钥,该密钥需要提前进行协商和通告 |
|
序号 |
受保护流量的编号 |
|
受保护协议 |
受IPsec隧道保护的报文的协议类型。主要分为: · 若需控制某网络层协议的报文,则选择“IP”、“IGMP”、“GRE”“IPINIP”或者“OSPF” · 若需控制某传输层协议的报文,则选择“TCP”或“UDP” · 若需控制Ping、Tracert等ICMP协议报文,则选择“ICMP” |
|
本端受保护网段/掩码 |
本端受保护网段。例如1.1.1.1/24 |
|
本端受保护端口 |
本端受保护端口。当受保护协议选择为TCP或UDP时。需配置此参数 |
|
对端受保护网段/掩码 |
对端节点受保护网段。例如2.2.2.2/24 |
|
对端受保护端口 |
对端节点受保护端口。当受保护协议选择为TCP或UDP时。需配置此参数 |
IPSec高级配置,配置IKE相关参数。
|
1. 配置IKE相关参数 2. 单击IPsec页签,进入IPSec配置页面 |
|
表10-2 页面参数描述
|
页面参数 |
描述 |
|
协商模式: |
对等体的协商模式。主要分为: · 主模式:协商步骤多,身份验证位于密钥交互过程之后进行,适用于对身份保护要求较高的场合 · 野蛮模式:协商步骤少,身份验证与密钥交互同时进行,适用于对身份保护要求不高的场合 当IKE版本为V1时,可配置此参数。若设备公网IP地址是动态分配的,建议选择IKE协商模式为野蛮模式 |
|
本端身份类型 |
IKE认证的本端设备身份类型和身份标识。主要分为: · 若对端节点IKE身份类型为IP地址,则本端选择“IP地址”,IKE协商模式若设置为主模式,需要将本端设备身份类型配置为IP地址。缺省使用设备出接口IP地址 · 若对端节点IKE身份类型为FQDN,则本端选择“FQDN”,即为标识本端身份的FQDN名称 · 若对端节点IKE身份类型为User-FQDN,则本端选择“User-FQDN”,即为标识本端身份的User FQDN名称 |
|
对端身份类型 |
IKE认证的对端设备身份类型和身份标识。主要分为: · 若对端节点IKE身份类型为IP地址,则本端选择“IP地址”,IKE协商模式若设置为主模式,需要将本端设备身份类型配置为IP地址。一般使用设备出接口IP地址 · 若对端节点IKE身份类型为FQDN,则本端选择“FQDN”,即为标识本端身份的FQDN名称 · 若对端节点IKE身份类型为User-FQDN,则本端选择“User-FQDN”,即为标识本端身份的User FQDN名称 |
|
对等体存活检测(DPD) |
是否开启对等体存活检测(DPD)功能,若开启该功能,设备将检测隧道对端是否存活,拆除对端失活的IPsec隧道。配置该参数时,需配置: · 探测时间:每隔一个探测时间,设备将进行一次存活检测。取值为1~60,单位为秒 · 超时时间:超过该时间阈值,设备检测不到对端,则认定对端失活。取值为2~300,单位为秒 |
|
算法组合(IKE) |
IKE协议交互所需的加密和认证算法,设置方式有两种: · 推荐:设备推荐的算法组合。-IPsec隧道的两端所配置的推荐算法组合需保持一致 · 自定义:用户自定义的IKE的算法,选项包括: ¡ 认证算法:IKE的认证算法。IPsec隧道的两端所配置的认证算法需保持一致 ¡ 加密方式:IKE的加密算法。IPsec隧道的两端所配置的加密算法需保持一致 ¡ PFS:指一个密钥被破解,并不影响其他密钥的安全特性。IPsec隧道的两端所配置的PFS算法需保持一致 |
|
SA生存时间 |
IKE重新协商的时间间隔,即超过该时间间隔将触发IKE相关参数的重新协商。建议SA生存时间设置不低于600秒 |
IPSec高级配置,配置IPsec相关参数。
|
配置IPsec相关参数。 |
|
表10-3 页面参数描述
|
页面参数 |
描述 |
|
算法组合(IPSEC配置) |
IPsec隧道的加密和认证算法,设置方式有两种: · 推荐:设备推荐的算法组合。-IPsec隧道的两端所配置的推荐算法组合需保持一致 · 自定义:用户自定义的IKE的算法,主要分为: ¡ 安全协议:对IP报文的完整性进行验证,以判别报文在传输过程中是否被篡改。IPsec隧道的两端所配置的安全协议需保持一致 ¡ ESP认证算法:ESP的认证算法。IPsec隧道的两端所配置的ESP认证算法需保持一致 ¡ ESP加密算法:ESP的加密算法。IPsec隧道的两端所配置的ESP加密算法需保持一致 |
|
封装模式 |
IPsec隧道的封装模式,主要分为: · 传输模式:适用于主机与主机之间建立隧道 · 隧道模式:适用于网关和网关之间 建立隧道 若IPsec本端受保护网段与对端受保护网段均为私网网段,建议选择封装模式为隧道模式。IPsec隧道的两端所配置的封装模式必须一致 |
|
PFS |
IPsec隧道的PFS算法。如果本端配置了PFS特性,则发起协商的对端也必须配置PFS特性,而且本端和对端指定的DH组必须一致,否则协商会失败 |
|
基于时间的SA生存时间 |
触发IPsec重新协商的时间间隔,即超过所配时间将触发IPsec相关参数的重新协商 |
|
基于流量的生存时间 |
触发IPsec重新协商的流量大小,即超过所配流量将触发IPsec相关参数的重新协商 |
|
触发模式 |
触发IPsec重新协商的模式,主要分为: · 流量触发:IKE隧道配置下发后,不会自动建立隧道,会等待兴趣流来触发隧道建立。 · 自协商模式:IKE隧道配置下发后或隧道异常断开后,会自动触发隧道建立,并且保证隧道长时间建立,不需等待兴趣流触发 |
|
管理状态 |
IPsec策略的使用状态,主要分为: · 开启:启用此策略 · 关闭:禁用此策略 |
|
操作 |
可对该策略进行编辑和删除操作 |
显示已添加的IPsec策略信息。
页面向导:[虚拟专网/IPsec VPN/监控信息]
|
显示已添加的IPsec策略信息。 |
|
表10-4 页面参数描述
|
页面参数 |
描述 |
|
策略名称 |
已建立的IPSEC隧道策略的名称 |
|
状态 |
已建立的IPsec VPN隧道的状态。仅显示建立成功的IPsec VPN隧道,状态为UP |
|
接口 |
报文的来源接口,即规则对从某一接口收到的数据包进行控制 |
|
本端地址 |
本端设备出口地址 |
|
对端地址 |
对端设备出口地址 |
|
安全提议 |
IPsec VPN使用的算法信息 |
|
操作 |
可对该隧道信息进行删除操作 |
本功能主要用于配置L2TP服务器端基本参数,开启L2TP服务。
如果您希望为企业驻外机构和出差人员等远端用户,提供一种安全且经济的方式,让他们能够与企业内部网络通信,访问企业内部网络资源,那么您可以通过配置L2TP服务器端来实现上述需求。
L2TP服务器端是具有PPP和L2TP协议处理能力的设备,通常位于企业内部网络的边缘。
配置L2TP服务器端相关参数。
页面向导:[虚拟专网/L2TP 服务器端/L2TP配置]
|
本页面为您提供如下主要功能: · 启用和关闭L2TP服务器端 · 添加L2TP组 · 删除L2TP组 · 编辑已添加的L2TP组 |
|
|
添加L2TP组: 1. 单击<添加>按钮,弹出新建L2TP组页面,配置相关参数 2. 单击<确定>按钮,完成配置 |
|
|
删除L2TP组: 1. 勾选需要删除的L2TP组前方单选框,弹出确认提示对话框 2. 单击<确定>按钮,完成配置 |
|
|
编辑已添加的L2TP组: 1. 单击需要编辑的L2TP组对应操作列的编辑图标,弹出修改L2TP组对话框,修改相关参数。 2. 单击<确定>按钮,完成配置 |
|
表10-5 页面参数描述
|
页面参数 |
描述 |
|
启用L2TP服务器端 |
是否开启L2TP服务器端功能。若开启该功能,设备将为企业驻外机构和出差人员等远端用户,提供一种安全且经济的方式,让他们能够与企业内部网络通信,访问企业内部网络资源。缺省关闭L2TP服务器端功能 |
|
对端隧道名称 |
L2TP客户端的隧道名称。可根据需要进行选择是否勾该配置项,配置该参数时,则在配置项处输入L2TP客户端的隧道名称。取值为1~31个字符,不支持输入#、英文分号和空格 |
|
本端隧道名称 |
L2TP服务器端的隧道名称。取值为1~31个字符,仅支持英文字母[a-z,A-Z]、数字和下划线 |
|
隧道验证 |
是否开启L2TP隧道验证功能,若开启该功能,则需输入隧道验证密码。该方式更加安全,但需要L2TP服务器端和L2TP客户端都启用隧道验证,且密码一致。隧道验证密码不支持输入#、英文问号、英文分号和空格 |
|
PPP认证方式 |
L2TP用户的认证方式,主要分为: · None:对用户免认证。该方式,安全性最低,请谨慎使用 · PAP:采用两次握手机制对用户进行认证。该方式,安全性中 · CHAP:采用三次握手机制对用户进行认证。该方式,安全性最高 |
|
虚拟模板接口地址 |
虚拟模板接口的IP地址,即L2TP服务器端可为L2TP客户端或用户分配IP地址 |
|
子网掩码 |
虚拟模板接口IP地址的子网掩码,例如255.255.255.0 |
|
DNS1和DNS2 |
分配给L2TP客户端或用户的主备DNS。DNS1与DNS2不能相同 |
|
用户地址池 |
给L2TP客户端分配地址所用的地址池。用户地址池中不能包含已配置的虚拟模板接口地址 |
|
Hello报文间隔 |
L2TP服务端和客户端之间发送Hello报文的时间间隔,Hello报文用于检测LAC和LNS之间隧道的连通性,单位为秒 |
|
流量控制 |
根据实际需要选择“启用”或“禁用”。 · 如选择“启用”,则表示在L2TP数据报文的接收与发送过程中,基于报文中携带的序列号来检测是存在否丢包,并根据序列号对乱序报文进行排序,提高L2TP数据报文传输的正确性和可靠性。在L2TP服务器端和L2TP客户端中的任意一端启用流量控制,该功能即可生效。 · 如选择“禁用”,则表示不对报文进行检测及排序。 |
|
强制本端CHAP认证 |
根据实际需要选择“启用”或“禁用”。 · 如选择“启用”,则表示在L2TP客户端对用户进行验证后,再由L2TP服务器端采用CHAP方式对用户进行二次认证,增强安全性。启用强制CHAP认证时,PPP认证方式必须选择为“CHAP”。 · 如选择“禁用”,则表示不在L2TP服务器端对用户进行强制CHAP验证。对于不支持进行第二次CHAP认证的用户,建议禁用本功能。 |
|
强制LCP重协商 |
根据实际需要选择“启用”或“禁用”。 · 如选择“启用”,则表示在L2TP客户端对用户进行验证后,再由L2TP服务器端采用LCP重协商方式对用户进行二次LCP协商及认证,增强安全性。如果同时启用了强制LCP重协商和强制CHAP认证,则仅强制LCP重协商生效。 · 如选择“禁用”,则表示不在L2TP服务器端与用户进行强制LCP重协商。对于不支持LCP协商的用户,建议禁用本功能。 |
显示L2TP隧道相关信息。
页面向导:[虚拟专网/L2TP服务器端/隧道信息]
|
显示L2TP隧道信息 |
|
表10-6 页面参数描述
|
页面参数 |
描述 |
|
本端隧道编号 |
本端已建立隧道的ID号 |
|
对端隧道编号 |
对端已建立隧道的ID号 |
|
对端隧道端口 |
L2TP客户端和服务端建立连接使用的服务端口 |
|
对端隧道IP地址 |
L2TP客户端的IP地址 |
|
会话数目 |
L2TP服务端和客户端之间建立会话的数目 |
|
对端隧道名称 |
L2TP客户端的隧道名称 |
|
操作 |
可对该隧道信息做删除操作 |
本功能主要用于配置L2TP客户端基本参数,开启L2TP服务。
如果您希望为企业驻外机构,提供一种安全且经济的方式,让他们能够与企业内部网络通信,访问企业内部网络资源,那么您可以通过配置L2TP客户端来实现上述需求。
L2TP客户端是具有PPP和L2TP协议处理能力的设备,通常位于企业驻外机构网络的出口。
配置L2TP客户端相关参数。
页面向导:[虚拟专网/L2TP客户端/L2TP配置]
|
本页面为您提供如下主要功能: · 启用和关闭L2TP客户端 · 添加L2TP组 · 删除L2TP组 · 编辑已添加的L2TP组 |
|
|
添加L2TP组: 1. 单击<添加>按钮,弹出新建L2TP组页面,配置相关参数 2. 单击<确定>按钮,完成配置 |
|
|
删除L2TP组: 1. 勾选需要删除的L2TP组前方单选框,弹出确认提示对话框 2. 单击<确定>按钮,完成配置 |
|
|
编辑已添加的L2TP组: 1. 单击需要编辑的L2TP组对应操作列的编辑图标,弹出修改L2TP组对话框,修改相关参数。 2. 单击<确定>按钮,完成配置 |
|
表10-7 页面参数描述
|
页面参数 |
描述 |
|
L2TP组号 |
L2TP客户端规则的编号 |
|
L2TP客户端 |
是否开启L2TP客户端功能。若开启该功能,设备将作为L2TP客户端访问企业内部网络资源 |
|
本端隧道名称 |
L2TP客户端的隧道名称。取值为1~31个字符,仅支持英文字母[a-z,A-Z]、数字和下划线 |
|
地址获取方式 |
L2TP隧道建立成功后PPP接口的IP地址获取方式, 主要分为: · 静态:L2TP客户端手工设置一个IP(由L2TP服务端管理员分配) · 动态:由L2TP服务端为虚拟PPP接口动态分配IP地址。缺省为动态获取 |
|
隧道验证 |
是否开启L2TP隧道验证功能。若开启该功能,则需输入隧道验证密码,该方式更加安全,但需要L2TP服务器端和L2TP客户端都启用隧道验证,且密码一致。隧道验证密码不支持输入#、英文问号、英文分号和空格 |
|
PPP认证方式 |
L2TP用户的认证方式,主要分为: · None:对用户免认证。该方式,安全性最低,请谨慎使用 · PAP:采用两次握手机制对用户进行认证。该方式,安全性中 · CHAP:采用三次握手机制对用户进行认证。该方式,安全性最高 |
|
用户名 |
认证使用的用户名。取值为1~55个字符,不能包含英文问号(?)。当“PPP认证方式”选择PAP或CHAP时,需设置该参数 |
|
密码 |
认证使用的用户名对应的密码。取值为1~63个字符。当“PPP认证方式”选择PAP或CHAP时,需设置该参数 |
|
L2TP服务器端地址 |
L2TP服务端的IP地址或域名 |
|
Hello报文间隔 |
L2TP服务端和客户端之间发送Hello报文的时间间隔,hello报文用于检测LAC和LNS之间隧道的连通性,单位为秒 |
|
流量控制 |
根据实际需要选择“启用”或“禁用”。 · 如选择“启用”,则表示在L2TP数据报文的接收与发送过程中,基于报文中携带的序列号来检测是存在否丢包,并根据序列号对乱序报文进行排序,提高L2TP数据报文传输的正确性和可靠性。在L2TP服务器端和L2TP客户端中的任意一端启用流量控制,该功能即可生效。 · 如选择“禁用”,则表示不对报文进行检测及排序。 |
显示已添加的IPsec策略信息。
页面向导:[虚拟专网/L2TP客户端/L2TP配置]
|
显示L2TP隧道信息 |
|
表10-8 页面参数描述
|
页面参数 |
描述 |
|
本端隧道编号 |
本端已建立隧道的ID号 |
|
对端隧道编号 |
对端已建立隧道的ID号 |
|
对端隧道端口 |
L2TP客户端和服务端建立连接使用的服务端口 |
|
对端隧道IP地址 |
L2TP服务端的IP地址 |
|
对端隧道名称 |
L2TP服务端的隧道名称 |
|
会话数目 |
L2TP服务端和客户端之间建立会话的数目 |
|
操作 |
可对该隧道信息做删除操作 |
静态DNS就是手工建立域名和IP地址之间的对应关系。当您使用域名访问设备提供的服务(Web、Mail或者FTP等服务)时,系统会查找静态DNS解析表,从中获取指定域名对应的IP地址。
页面向导:[高级选项/应用服务/静态DNS]
|
本页面为您提供如下主要功能: · 显示已添加的静态DNS详细信息 · 添加静态DNS · 删除已添加的静态DNS · 修改已添加的静态DNS |
|
|
添加静态DNS: 1. 单击<添加>按钮,弹出新建静态DNS对话框,输入网络设备的域名和IP地址 2. 单击<确定>按钮,完成配置 |
|
|
删除静态DNS: 1. 勾选需要删除的静态DNS 2. 单击<删除>按钮,弹出提示对话框 3. 单击<是>按钮,完成配置 |
|
|
修改静态DNS: 1. 单击需要修改的静态DNS操作列的编辑图标,弹出修改静态DNS对话框,修改相关参数 2. 单击<确定>按钮,完成配置 |
|
表11-1 页面参数描述
|
页面参数 |
描述 |
|
域名 |
为网络设备分配的域名。配置该参数时,该域名需与设备IP地址一一对应 |
|
IP地址 |
网络设备的IP地址,即域名对应的IP地址 |
如果您通过设备的WAN接口来提供Web、Mail或者FTP等服务,且希望在设备WAN接口的IP发生变化的情况下(如宽带拨号方式下),用户仍然能够通过固定的域名访问设备提供的服务,那么需要在设备上的提供Web、Mail或者FTP等服务的WAN接口上配置DDNS(Dynamic Domain Name System,动态域名系统)服务。
使用DDNS服务之前,需要提前在DDNS服务器(即DDNS服务提供商,如花生壳网站)上注册账户,设置密码。之后,当设备WAN接口的IP地址变化时,设备会自动通知DDNS服务器更新记录的IP地址和固定域名的映射关系。
设备向DDNS服务器申请域名时,请保证WAN接口地址为公网IP地址。
页面向导:[高级选项/应用服务/动态DNS]
|
本页面为您提供如下主要功能: · 显示已添加的动态DNS详细信息 · 添加动态DNS · 删除已添加的动态DNS · 修改已添加的动态DNS |
|
|
添加动态DNS: 1. 单击<添加>按钮,弹出新建动态DNS策略对话框,选择设备上提供相应服务的WAN接口,并输入服务提供商处注册的域名、用户名和密码等信息 2. 单击<确定>按钮,完成配置 |
|
|
删除动态DNS: 1. 勾选需要删除的动态DNS 2. 单击<删除>按钮,弹出提示对话框 3. 单击<是>按钮,完成配置 |
|
|
修改动态DNS: 1. 单击需要修改的动态DNS操作列的编辑图标,弹出修改动态DNS策略对话框,修改相关参数 2. 单击<确定>按钮,完成配置 |
|
表11-2 页面参数描述
|
页面参数 |
描述 |
|
WAN接口 |
设备上提供服务的WAN接口,例如WAN0口 |
|
域名 |
为设备分配的域名,配置该参数时,需提前在DDNS服务器(即DDNS服务提供商,如花生壳网站)上注册 |
|
服务提供商 |
动态DNS服务提供商,主要包括: · www.3322.org、ORAY(花生壳)等其它服务商:若服务器地址与缺省情况不同,需勾选“修改服务器地址”后,在“服务器地址”配置项处修改DDNS服务器地址 · Others:选择此选项,需在“服务器地址”配置项处手动输入DDNS服务器地址 |
|
更新间隔 |
设备向服务器发送更新请求的时间间隔。配置该参数时,需配置天数、小时和分钟,若配置时间间隔为0,设备只在WAN接口IP地址发生变化或者接口连接由down变为up时发送更新请求 |
|
账户配置 |
动态DNS的账户信息。主要包括: · 用户名:在动态DNS服务提供商处注册的用户名 · 密码:在动态DNS服务提供商处注册的密码 |
|
状态 |
动态DNS的连接状态,主要分为: · 已连接:该WAN接口已与域名建立动态DNS连接 · 未连接:该WAN接口未与域名建立动态DNS连接 |
|
操作 |
可对该配置进行编辑和删除操作 |
静态路由是在路由器中通过手工方式设置的固定路由条目。当您的网络结构比较简单且比较稳定时,通过配置静态路由就可以实现网络互通。例如,当您知道网络的出接口,以及网关的IP地址时,设置静态路由即可实现正常通信。
当去往同一目的地存在多条静态路由时,如果您希望优先选用某条静态路由,可以调整静态路由的优先级。优先级的值越小,对应的静态路由的优先级越高。
当静态路由中下一跳对应的接口失效时,本地的静态路由条目不会被删除,这种情况下需要您检查网络环境,然后修改静态路由的配置。
页面向导:[高级选项/静态路由]
|
本页面为您提供如下主要功能: · 显示已添加的静态路由详细信息 · 添加静态路由 · 删除已添加的静态路由 · 修改已添加的静态路由 |
|
|
添加静态路由: 1. 单击<添加>按钮,弹出添加IPv4静态路由对话框,输入目的IP地址、掩码长度和下一跳等信息 2. 单击<确定>按钮,完成配置 |
|
|
删除静态路由: 1. 勾选需要删除的静态路由条目 2. 单击<删除>按钮,弹出提示对话框 3. 单击<是>按钮,完成配置 |
|
|
修改静态路由: 1. 单击需要修改的静态路由操作列的编辑图标,弹出修改IPv4静态路由对话框,修改相关参数 2. 单击<确定>按钮,完成配置 |
|
表11-3 页面参数描述
|
页面参数 |
描述 |
|
目的IP地址 |
设备要访问的目的网络的IP地址 |
|
掩码长度 |
目的网络的掩码长度,例如24 |
|
下一跳 |
数据在到达目的地址前,需要经过的下一个路由器的IP地址。配置该参数时,可根据需要选择是否勾选“出接口”选项 · 若确定数据经过的设备出口,则勾选“出接口”选项,并设置下一跳IP地址,下一跳地址必须和所选接口在相同网段 · 若不确定出接口时,则不勾选“出接口”选项。通过设置下一跳IP地址,设备可以自己选择合适的出接口 |
|
路由优先级 |
静态路由的优先级,配置该参数时,数值越小则优先级越高 |
|
描述 |
规则的描述信息,可对规则进行简单的描述,方便使用 |
|
操作 |
可对该配置进行编辑和删除操作 |
与单纯按照IP报文的目的地址查找路由表进行转发不同,策略路由是一种依据用户制定的策略进行路由转发的机制。策略路由可以对于满足一定条件(源地址和目的地址等)的报文,执行指定的操作(设置报文的下一跳和出接口等)。策略路由的匹配条件比普通路由更丰富,当需要按照报文的某些特征(如报文源地址和目的地址等)转发到不同的网络中时,可以配置策略路由功能。
页面向导:[高级选项/策略路由]
|
本页面为您提供如下主要功能: · 显示已添加的策略路由详细信息 · 添加策略路由 · 删除已添加的策略路由 · 修改已添加的策略路由 |
|
|
添加策略路由: 1. 单击<添加>按钮,弹出新增策略路由列表对话框,设置协议类型、源和目的IP地址段等信息 2. 单击<确定>按钮,完成配置 |
|
|
删除策略路由: 1. 勾选需要删除的策略路由条目 2. 单击<删除>按钮,弹出提示对话框 3. 单击<是>按钮,完成配置 |
|
|
修改策略路由: 1. 单击需要修改的策略路由操作列的编辑图标,弹出修改策略路由列表对话框,修改相关参数 2. 单击<确定>按钮,完成配置 |
|
表11-4 页面参数描述
|
页面参数 |
描述 |
|
协议类型 |
策略需要控制的报文协议类型。配置该参数时,可根据需要进行选择: · 若需控制某传输层协议的报文,则选择“TCP”或“UDP” · 若需控制某网络层协议的报文,则选择“IP” · 若需控制Ping、Tracert等ICMP协议报文,则选择“ICMP” · 若需控制其他协议报文,则选择“协议号”并配置协议号编号 |
|
源IP地址段 |
规则需要控制的源IP地址范围。配置该参数时,起始地址和结束地址间需要用短横线连接,如“1.1.1.1-1.1.1.2”,若只指定一个地址,则起始地址和结束地址需要相同 |
|
目的IP地址段 |
规则需要控制的目的IP地址范围。配置该参数时,起始地址和结束地址间需要用短横线连接,如“1.1.1.1-1.1.1.2”,若只指定一个地址,则起始地址和结束地址需要相同 |
|
源端口 |
规则需要控制的源端口。仅当协议类型指定为“TCP”或“UDP”,才需配置该参数 |
|
目的端口 |
规则需要控制的目的端口。仅当协议类型指定为“TCP”或“UDP”,才需配置该参数 |
|
生效时间 |
规则的生效时间。如果策略需要全天生效,则设置为00:00-24:00 |
|
出接口和下一跳 |
报文的转发接口和IP地址,即配置匹配规则的报文通过指定出接口和下一跳转发 |
|
描述 |
规则的描述信息,可对规则进行简单的描述,方便使用 |
|
操作 |
可对该配置进行编辑和删除操作 |
SNMP(Simple Network Management Protocol,简单网络管理协议)是互联网中的一种网络管理标准协议,广泛用于实现管理设备对被管理设备的访问和管理。
如果您希望通过网管软件(如MIB Browser)实现对设备的管理,或者设备发生紧急事件(比如接口Up或者Down、CPU利用率高、内存耗尽等)时能自动通过告警信息告知网管软件,则需要配置SNMP。
设备支持SNMPv1、SNMPv2c和SNMPv3三种版本。SNMPv3比SNMPv1和SNMPv2c更安全。
· SNMPv1和SNMPv2c使用口令认证。
· SNMPv3采用用户名认证,并且必须配置认证密码和加密密码。其中:
¡ 用户名和认证密码用于对网管软件进行身份认证,以免非法网管软件访问设备。
¡ 加密密码用于对网管软件和设备之间传输的报文进行加密,以免报文被窃听。
配置SNMP前,需要确定SNMP版本号,网管软件和设备必须配置相同的SNMP版本号。
网管软件和设备必须配置相同的SNMP口令。SNMP口令包括只读口令和读写口令,二者至少配置一项。
· 如果您仅需读取设备上参数的值,则只需配置只读口令。
· 如果您既需要读取设备上参数的值、又需要设置参数的值,则需配置读写口令。
页面向导:[高级选项/SNMP]
|
配置SNMPv1和SNMPv2c: 1. 开启SNMP功能,并设置SNMP版本、SNMP口令等信息 2. 单击<应用>按钮,完成配置 |
|
表11-5 页面参数描述
|
页面参数 |
描述 |
|
SNMP |
是否开启SNMP功能。若开启该功能,设备将允许管理员通过网管软件(如MIB Browser)实现对设备的管理,包括状态监控、数据采集和故障处理 |
|
SNMP版本 |
设备使用的SNMP版本号,配置该参数时,可根据需要进行选择: · 若网管软件使用的是SNMPv1或者SNMPv2c版本,则选择“SNMPv1和SNMPv2c” · 若网管软件使用的是SNMPv3版本,则选择“SNMPv3” |
|
SNMP口令 |
包括只读口令和读写口令,二者至少配置一项。仅当SNMP版本为“SNMPv1和SNMPv2c”版本时,才需配置该参数 · 如果您仅需读取设备上参数的值,则只需配置只读口令 · 如果您既需要读取设备上参数的值、又需要设置参数的值,则需配置读写口令 |
|
SNMP信任主机IPv4地址 |
网管软件的IP地址,只有指定地址的网管软件可以管理设备。如果不配置该参数,则拥有口令的网管软件均可以管理设备 |
|
Trap接收主机IPv4地址/域名 |
接收告警信息的主机的IPv4地址或域名,通常为网管软件的IP地址 |
|
联系信息 |
设备维护联系信息。若设备发生故障,维护人员可利用维护联系信息,及时与设备生产厂商取得联系。联系信息长度为1-255个字符,不支持中文、英文格式的问号、全空格,以及换行符 |
|
设备位置 |
设备物理位置的信息。设备位置长度为1-255个字符,不支持中文、英文格式的问号、全空格,以及换行符 |
网管软件和设备必须配置相同的用户名、认证密码和加密密码。
页面向导:[高级选项/SNMP]
|
配置SNMPv3: 1. 开启SNMP功能,并设置SNMP版本、SNMP用户名和认证密码等信息 2. 单击<应用>按钮,完成配置 |
|
表11-6 页面参数描述
|
页面参数 |
描述 |
|
SNMP |
是否开启SNMP功能。若开启该功能,设备将允许管理员通过网管软件(如MIB Browser)实现对设备的管理,包括状态监控、数据采集和故障处理 |
|
SNMP版本 |
设备使用的SNMP版本号,配置该参数时,可根据需要进行选择: · 若网管软件使用的是SNMPv1或者SNMPv2c版本,则选择“SNMPv1和SNMPv2c” · 若网管软件使用的是SNMPv3版本,则选择“SNMPv3” |
|
用户名 |
SNMPv3版本的用户名 |
|
认证密码 |
用户认证的密码 |
|
加密密码 |
加密的密码 |
|
SNMP信任主机IPv4地址 |
网管软件的IP地址,只有指定地址的网管软件可以管理设备。如果不配置该参数,则用户名、认证密码和加密密码正确的网管软件均可以管理设备 |
|
Trap接收主机IPv4地址/域名 |
接收告警信息的主机的IPv4地址或域名,通常为网管软件的IP地址 |
|
联系信息 |
设备维护联系信息。若设备发生故障,维护人员可利用维护联系信息,及时与设备生产厂商取得联系。联系信息长度为1-255个字符,不支持中文、英文格式的问号、全空格,以及换行符 |
|
设备位置 |
设备物理位置的信息。设备位置长度为1-255个字符,不支持中文、英文格式的问号、全空格,以及换行符 |
通过本功能可以设置设备信息和系统时间。
设备信息包括设备名称、设备位置和设备管理员的联系方式,方便管理员管理和定位设备。其中,设备名称可以修改,设备位置和联系方式不可修改。
系统时间包括日期、时间和时区等。为了便于管理设备,并保证本设备与其它网络设备协同工作,您需要为设备配置准确的系统时间。
系统时间的获取方式有两种:
· 手工设置日期和时间。该方式下,用户手工指定的日期和时间即为当前的系统时间。后续,设备使用内部时钟信号计时。如果设备重启,系统时间将恢复到出厂时间。
· 自动同步网络日期和时间。该方式下,设备使用从NTP服务器获取的时间作为当前的系统时间,并周期性地同步NTP服务器的时间,以便和NTP服务器的系统时间保持一致。即便本设备重启,设备也会迅速重新同步NTP服务器的系统时间。如果您管理的网络中有NTP服务器,推荐使用该方式,该方式获取的时间比手工配置的时间更精准。
· 设备出厂是否携带缺省NTP服务器与设备的型号有关,请以设备的实际情况为准。
· 如果设备出厂配置了NTP服务器,用户可使用缺省的NTP服务器,也可以自行指定NTP服务器。设备会从这些服务器中选择一台当前可用的、时间精度最高的服务器保持同步。如果NTP服务器均故障,设备将使用内部时钟信号继续计时,待NTP服务器恢复后,再同步NTP服务器的时间。
为了更便于网络管理员管理网络中的设备,需要设置设备信息,其中包括设备的名称、位置以及网络管理员的联系信息。
建议使用以下浏览器访问Web:Chrome 57及以上版本、Firefox 124及以上版本。
页面向导:[系统工具/系统设置/设备信息]
|
设置设备信息,包括设备名称、设备位置和网络管理员的联系信息 |
|
页面中各参数的含义如下表所示。
表12-1 页面参数描述
|
页面参数 |
描述 |
|
设备名称 |
输入设备的名称,例如以“设备型号.IP地址”为设备名称 |
|
设备位置 |
输入设备的位置 |
|
联系方式 |
输入网络管理员的联系信息 |
|
应用 |
点击<应用>按钮,完成配置 |
设置系统时间,包括以下两种方式:
· 手工设置日期和时间。
· 自动同步网络日期和时间。
了解设备所处的时区。全球分为24个时区,请将设备的时区配置为设备所在地理区域的时区。例如,设备在中国,请选择“北京,重庆,香港特别行政区,乌鲁木齐(GMT+08:00)”;如果设备位于美国,请选择“中部时间(美国和加拿大)(GMT-06:00)”。
页面向导:[系统工具/系统设置/日期和时间]
|
设置系统时间 |
|
|
单击“手工设置日期和时间”,将系统时间配置为设备所在地理区域的当前时间: 1. 选择年月日 2. 选择时分秒。界面中供选择的分钟和秒钟数值为3的倍数(00、03、06、09、……、57),您可以通过向上或者向下的箭头来进行微调。例如要配置分钟数为20,则先选中18,再点击两次向上的箭头即可得到20 3. 在“时区”配置项处,将时区配置为设备所在地理区域的时区 4. 单击<应用>按钮,完成配置 |
|
|
选择“自动同步网络日期和时间”选项 1. 在“NTP服务器1”配置项处,输入NTP服务器1的IP地址 2. 在“NTP服务器2”配置项处,输入NTP服务器2的IP地址 3. 在“时区”配置项处,将时区配置为设备所在地理区域的时区 4. 单击<应用>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表12-2 页面参数描述
|
页面参数 |
描述 |
|
系统时间 |
当前系统实际 |
|
手工设置日期和时间 |
手工设置系统日期和时间,如果设备重启,系统时间将恢复到出厂时间 |
|
自动同步网络日期和时间 |
自动同步网络日期和时间,设备和NTP服务器上配置的时区必须相同,否则,会导致设备的系统时间和NTP服务器的系统时间不一致 |
|
NTP服务器1 |
输入NTP服务器1的IP地址或者域名地址 |
|
NTP服务器2 |
输入NTP服务器2的IP地址或者域名地址 |
|
缺省NTP服务器列表 |
查看设备内置的NTP服务器信息 |
|
时区 |
设备所处的时区 |
|
应用 |
完成配置 |
页面向导:[系统工具/网络诊断/Tracert]
|
用于检查从设备到达目标主机所经过的路由情况 |
|
表12-3 页面参数描述
|
页面参数 |
描述 |
|
目标IP地址或者主机名 |
输入需要路由跟踪的目标IP地址或者主机名 |
|
开始 |
系统开始检测 |
|
结果 |
显示检测的过程和结果 |
页面向导:[系统工具/网络诊断/Ping]
|
用于检测网络,测试另一台设备或主机是否可达 |
|
表12-4 页面参数描述
|
页面参数 |
描述 |
|
目标IP地址或者主机名 |
输入需要Ping的目标IP地址或者主机名 |
|
开始 |
系统开始进行检测。检测的过程和结果显示在当前页面,说明网络发包的测试情况和与测试主机的往返平均时延 |
|
结果 |
显示检测的过程和结果,说明网络发包的测试情况和与测试主机的往返平均时延 |
页面向导:[系统工具/网络诊断/诊断]
|
诊断信息为各功能模块的运行信息,用于定位问题。设备会将该信息以压缩文件的形式自动保存到您的终端设备 |
|
表12-5 页面参数描述
|
页面参数 |
描述 |
|
收集诊断信息 |
系统开始收集诊断信息 |
页面向导:[系统工具/网络诊断/端口镜像]
|
用于将被镜像端口的报文自动复制到镜像端口,实时提供各端口传输状况的详细信息,方便网络管理人员进行流量监控、性能分析和故障诊断 |
|
表12-6 页面参数描述
|
页面参数 |
描述 |
|
二层镜像 |
选择“二层镜像”,源设备与目的设备之间通过二层网络进行连接 |
|
三层镜像 |
选择“三层镜像”,源设备与目的设备之间通过三层网络进行连接 |
|
源端口 |
选择镜像的源端口,即被监测的端口 |
|
方向 |
选择镜像的方向: · 若选择“入方向”,表示仅复制源端口收到的报文 · 若选择“出方向”,表示仅复制源端口发出的报文 · 若选择“双方向”,表示对源端口收到和发出的报文都进行复制 |
|
+ |
完成“接口”和“方向”配置项的选择后,点击“+”图标,添加镜像的源端口。可根据需要添加多个镜像的源端口 |
|
目的端口 |
选择镜像的目的端口,即与数据监测设备相连的端口 |
|
应用 |
系统开始端口镜像 |
使用该功能前,请确保存储介质上有足够的空间存储抓包文件,否则,会因为存储空间不够导致抓包任务提前终止。
页面向导:[系统工具/网络诊断/抓包工具]
|
用于抓取网络数据报文,以便更有效地分析网络故障 |
|
表12-7 页面参数描述
|
页面参数 |
描述 |
|
接口 |
选择需要抓取数据的接口,支持当前路由器的所有的WAN接口 |
|
抓包长度 |
输入tcpdump数据包的抓取长度,单位为字节。如果数据包长度大于此数值,数据包将会被截断。需要注意的是,采用长的抓取长度,会增加包的处理时间,并且会减少tcpdump可缓存的数据包的数量,从而会导致数据包的丢失。所以,在能抓取我们想要的包的前提下,抓取长度越小越好 |
|
协议 |
选择需要过滤的协议类型。如果选择ALL,将抓取当前接口下所有报文 |
|
抓包文件大小 |
输入抓取报文的大小,单位为MB |
|
抓包时间 |
输入抓包的持续时长,单位为秒 |
|
源主机 |
选择抓取报文时过滤发出或者接收报文的源主机 |
|
目的主机 |
选择抓取报文时过滤发出或者接收报文的目的主机 |
|
所有主机 |
对源或者目的主机进行过滤,即抓取所有的源/目的主机的报文 |
|
IP地址过滤 |
需要设置主机的IP地址,选择此项时,需设置主机的IP地址 |
|
MAC地址过滤 |
需要设置主机的MAC地址,选择此项时,需设置主机的MAC地址 |
|
开始 |
系统开始进行抓包。抓包的过程和当前抓取的分组数显示在当前页面 |
|
取消 |
在抓包的过程中,您可以点击<取消>按钮,终止当前的操作,并导出抓取的文件“flash--packetCapture.pcap” |
页面向导:[系统工具/管理账户]
|
可以通过本页面对登录设备的管理员账户信息进行管理和维护,包括添加管理账户以及修改或删除管理账户 |
|
|
点击<添加>按钮,进入添加管理员页面,添加管理账号: 1. 在“用户名”配置项处,输入管理员名称 2. 在“密码”配置项处,输入管理员密码 3. 在“确认密码”配置项处,请再次输入您设置的密码,并确保与之一致 4. 在“角色”配置项处,选择该账户登录时的角色 5. 在“可用服务”配置项处,点击复选框选择允许该管理员账户使用的网络服务 6. 在“同时在线最大用户数”配置项处,输入允许同时使用该账户在线的用户数目 7. 在“FTP目录”配置项处,输入管理员通过FTP方式访问设备时的工作路径 8. 点击<确定>按钮,完成配置 |
|
|
在用户行的“操作”区域,点击编辑按钮,进入修改管理员配置页面,修改管理账户: 1. 在“重置密码”配置项处,输入新密码 2. 在“确认密码”配置项处,再次输入新密码,并确保与之一致 3. 可在“角色”配置项处,选择该账户的新角色,并删除不需要的角色 4. 可在“可用服务”配置项处,点击复选框选择允许该管理员账户使用的网络服务 5. 可在“同时在线最大用户数”配置项处,输入允许同时使用该账户在线的用户数目 6. 可在“FTP目录”配置项处,输入管理员通过FTP方式访问设备时的工作路径 7. 点击<确定>按钮,完成配置 |
|
|
在用户行的“操作”区域,点击删除按钮,删除该管理员账户,在弹出的“确认提示”对话框中,点击<是>按钮,完成删除操作 |
|
表12-8 页面参数描述
|
页面参数 |
描述 |
|
添加 |
添加管理账号 |
|
编辑 |
单击< |
|
删除 |
单击< |
|
用户名 |
输入管理员名称 |
|
密码 |
输入管理员密码。如果不设置管理员密码,则管理员登录设备时,不需要提供密码。为提高管理员帐户的安全性,建议您设置管理员密码 |
|
确认密码 |
请再次输入您设置的密码,并确保与之一致 |
|
角色 |
选择该账户登录时的角色: · 如果该账户需要具有最高管理权限,请选择“Administrator” · 如果该账户仅拥有普通的查看权限,无配置权限,请选择“Operator” |
|
可用服务 |
点击复选框选择允许该管理员账户使用的网络服务。 · Console:表示管理员可通过Console口登录设备。 · Telnet:表示管理员可通过Telnet方式登录设备。使用该服务的管理员需要使用Telnet客户端来访问设备,设备将作为Telnet服务器为其提供服务。 · FTP:表示管理员可通过FTP访问设备文件系统资源。使用该服务的管理员需要使用FTP客户端来访问设备,设备将作为FTP服务器为其提供服务。 · WEB:表示管理员可通过Web页面登录设备。 · SSH:表示管理员可通过SSH方式登录设备,该方式比Telnet方式更安全。使用该服务的管理员需要使用SSH客户端来访问设备,设备将作为SSH服务器为其提供服务 |
|
同时在线最大用户数 |
输入允许同时使用该账户在线的用户数目。如果不设置该值,则表示不限制使用该账户在线的用户数。需要注意的是,使用FTP服务的管理员不受此配置限制 |
|
FTP目录 |
输入管理员通过FTP方式访问设备时的工作路径,例如flash:/dpi。建议您首先通过[系统工具/系统升级]菜单项的“文件管理”页面查看系统中已有的文件路径,以确保此处输入的工作路径准确 |
|
确定 |
点击<确定>按钮,完成配置 |
|
重置密码 |
输入新密码。重置了管理员账户的密码后,该管理员下次登录设备时还需要修改密码 |
页面向导:[系统工具/远程管理/Ping]
|
通过ping功能,可以检测网络的连通性,及时了解网络状况 |
|
表12-9 页面参数描述
|
页面参数 |
描述 |
|
允许ping |
在列表中通过勾选接口对应的“允许ping”选项,设置该接口允许接收Ping报文 |
|
应用 |
完成配置 |
页面向导:[系统工具/远程管理/Telnet]
|
是一种实现远程登录服务的协议。用户可以在PC上通过Telnet方式登录设备,对设备进行远程管理 |
|
|
“管理员列表”区段,单击<添加/编辑>按钮,弹出添加/编辑管理员列表 |
|
表12-10 页面参数描述
|
页面参数 |
描述 |
|
Telnet服务 |
· 单击按钮,使得按钮状态为“ON”,开启Telnet服务 · 单击按钮,使得按钮状态为“OFF”,关闭Telnet服务 |
|
IPv4端口 |
输入Telnet服务使用的端口号,请根据组网需求选择IP协议对应的端口类型,如果用户通过IPv4网络Telnet登录设备时,使用的端口号需要与本配置项指定的端口号相同 |
|
IPv6端口 |
输入Telnet服务使用的端口号,请根据组网需求选择IP协议对应的端口类型,如果用户通过IPv6网络Telnet登录设备时,使用的端口号需要与本配置项指定的端口号相同 |
|
应用 |
完成Telnet的配置 |
|
添加/编辑 |
单击<添加/编辑>按钮,弹出添加/编辑管理员列表对话框 |
|
IP地址 |
输入管理员IP地址 |
|
IP地址段 |
配置管理员IP地址段。所配置的起始地址必须小于结束地址,IP地址可以不在IP地址段内 |
|
起始 |
允许通过Telnet访问设备的IP地址段的起始地址 |
|
结束 |
允许通过Telnet访问设备的IP地址段的结束地址 |
|
排除地址 |
输入排除的IP地址。排除地址必须在IP地址段内,排除地址不能通过Telnet访问设备 |
|
确定 |
完成管理员IP地址的配置 |
页面向导:[系统工具/远程管理/SSH]
|
用来在不安全的网络环境中,通过加密机制和认证机制,实现安全的远程访问以及文件传输。如果希望用户更安全地访问设备,则可以使用SSH服务。设备作为SSH服务器,提供如下几种服务: · Stelnet:即安全的Telnet。Stelnet实现的功能与Telnet相同,但访问方式更加安全可靠 · SFTP:即安全的FTP。可提供安全可靠的网络文件传输服务,使得用户可以安全登录到设备上进行文件管理操作,且能保证文件传输的安全性 · SCP:即Secure Copy。可提供安全的文件复制功能 |
|
表12-11 页面参数描述
|
页面参数 |
描述 |
|
Stelnet服务 |
· 使其置为“ON”状态,开启Stelnet服务 · 使其置为“OFF”状态,关闭Stelnet服务 |
|
SFTP服务 |
· 使其置为“ON”状态,开启SFTP服务 · 使其置为“OFF”状态,关闭SFTP服务 |
|
SCP服务 |
· 使其置为“ON”状态,开启SCP服务 · 使其置为“OFF”状态,关闭SCP服务 |
页面向导:[系统工具/远程管理/HTTP/HTTPS]
|
是基于HTTP、HTTPS超文本传输协议的两种Web登录方式。HTTPS登录方式的安全性能高于HTTP登录方式。用户可以在PC上使用HTTP/HTTPS协议登录设备的Web界面,通过Web界面直观地配置和管理设备 |
|
|
单击<添加>按钮,进入添加管理员IP地址页面,配置IP地址、IP地址段或排除地址等 |
|
表12-12 页面参数描述
|
页面参数 |
描述 |
|
HTTP登录端口 |
输入HTTP方式登录设备对应的端口号,建议使用10000以上的端口号 |
|
HTTPS登录端口 |
输入HTTPS方式登录设备对应的端口号,建议使用10000以上的端口号 |
|
登录超时时间 |
输入Web管理页面的闲置超时时间,缺省为10分钟。管理员登录Web管理页面后,当闲置时间超过登录超时时间时,系统会自动注销该管理员。配置此参数后,在管理员下一次登录时生效 |
|
应用 |
完成HTTP/HTTPS服务的端口号和登录超时时间的配置 |
|
添加 |
添加允许访问Web管理页面的管理员IP地址或地址段 |
|
IP地址 |
输入允许通过HTTP/HTTPS访问设备的IP地址 |
|
IP地址段 |
输入允许通过HTTP/HTTPS访问设备的IP地址段的起始地址和结束地址,配置管理员IP地址段。所配置的起始地址必须小于结束地址,IP地址可以不在IP地址段内 |
|
起始 |
输入允许通过HTTP/HTTPS访问设备的IP地址段的起始地址 |
|
结束 |
输入允许通过HTTP/HTTPS访问设备的IP地址段的结束地址 |
|
排除地址 |
输入排除的IP地址。排除地址必须在IP地址段内,排除地址不能访问Web |
|
确定 |
完成管理员IP地址配置。缺省情况下,设备允许IP地址段“1.1.1.1~255.255.255.255”访问Web,用户可以根据实际需求修改管理员IP地址,修改时,请保证设置正确,即保证有管理员能够正常访问Web。建议用户将一个VLAN接口所在的地址段添加到管理员IP地址中,且不要删除 |
|
取消 |
取消管理员IP地址配置 |
页面向导:[系统工具/远程管理/云服务]
|
设备与H3C云平台服务器(H3C Cloud server)通过Internet建立的远程管理通道。网络管理员可以通过云平台服务器对分布在不同地域的设备进行远程管理和维护 |
|
表12-13 页面参数描述
|
页面参数 |
描述 |
|
云服务 |
· 若选择开启,则开启云服务 · 若选择关闭,则关闭云服务 |
|
云平台服务器域名 |
输入云平台的域名 |
|
云场所定义 |
输入设备的系统名称 |
|
云连接状态 |
当前云连接状态 |
|
云管理状态 |
当前云管理状态 |
|
应用 |
完成配置 |
|
二维码 |
使用手机扫描页面右侧的二维码,下载并安装“Cloudnet”应用程序,然后在手机上打开“Cloudnet”应用程序登录云平台,实现对设备的远程管理和维护 |
页面向导:[系统工具/配置管理/查看当前配置]
|
查看设备的当前配置,例如设备版本号、接口IP地址等 |
|
页面向导:[系统工具/配置管理/恢复出厂配置]
|
如果设备没有配置文件或者配置文件损坏时,希望设备能够正常启动运行,则需通过本功能将设备上的配置恢复到出厂状态 |
|
表12-14 页面参数描述
|
页面参数 |
描述 |
|
重置 |
恢复出厂配置并强制重启设备 |
页面向导:[系统工具/配置管理/备份恢复配置]
|
· 对设备进行配置后,如果希望设备重启后配置能继续生效,则需通过“保存当前配置”功能,保存设备当前所有配置 · 设备配置错误后,如果希望设备恢复到正确配置运行状态,则需通过“从备份文件恢复”功能,恢复设备配置 · 如果希望将当前配置文件导出作为备份配置文件,则需通过“导出当前配置”功能,将当前配置文件导出 |
|
|
点击<保存当前配置>按钮,进入保存当前配置页面: 1. 选择当前配置的保存方式: ¡ 如果选择“保存到下次启动配置文件”,将当前配置保存到存储介质的根目录下,并将该文件设置为主用下次启动配置文件 ¡ 如果选择“保存到指定配置文件”,则可以输入自定义的配置文件名称。设备会将当前配置保存到指定的配置文件中,并将该文件设置为主用下次启动配置文件 2. 点击<确定>按钮,完成保存当前配置 |
|
|
点击<从备份文件恢复>按钮,进入从备份文件恢复页面: 1. 点击“选择文件”按钮,选择特定路径下的备份配置文件 2. 点击<确定>按钮,需手动重启设备,才可以恢复配置 |
|
|
点击<导出当前配置>按钮,即可将当前配置下载到本地PC |
|
表12-15 页面参数描述
|
页面参数 |
描述 |
|
保存当前配置 |
对设备进行配置后,如果希望设备重启后配置能继续生效,则需通过本功能保存设备当前所有配置 |
|
保存到下次启动配置文件 |
将当前配置保存到存储介质的根目录下,并将该文件设置为主用下次启动配置文件 |
|
保存到指定配置文件 |
可以输入自定义的配置文件名称。设备会将当前配置保存到指定的配置文件中,并将该文件设置为主用下次启动配置文件 |
|
从备份文件恢复 |
设备配置错误后,如果希望设备恢复到正确配置运行状态,则需通过本功能恢复设备配置 |
|
选择文件 |
选择特定路径下的备份配置文件 |
|
导出当前配置 |
如果希望将当前配置文件导出作为备份配置文件,则需通过本功能将当前配置文件导出 |
页面向导:[系统工具/系统升级/版本升级]
|
本功能主要用来对设备版本进行升级以及对设备上的文件进行管理。如果希望完善当前软件版本漏洞或者更新应用功能,则需通过版本升级功能来实现: · 使用“手动升级系统软件”功能,将本地的IPE文件上传至设备并进行升级 · 使用“自动升级系统软件”功能,设备会从云平台下载最新版本的软件包并进行升级 |
|
|
点击<手动升级系统软件>按钮,进入升级系统软件页面,将本地的IPE文件上传至设备并进行升级 1. 点击<选择文件>按钮,选择设备升级使用的IPE文件 2. 如果希望设备在完成软件升级后立即重启,则需要勾选“立即重启设备” 3. 点击<确定>按钮,设备会从本地下载选择的IPE文件并进行升级 |
|
|
点击<自动升级系统软件>按钮,设备会从云平台下载最新版本的软件包并进行升级 |
|
表12-16 页面参数描述
|
页面参数 |
描述 |
|
手动升级系统软件 |
将本地的IPE文件上传至设备并进行升级 |
|
选择文件 |
选择设备升级使用的IPE文件 |
|
立即重启设备 |
勾选“立即重启设备”,设备在完成软件升级后立即重启 |
|
自动升级系统软件 |
设备从云平台下载最新版本的软件包并进行升级。在自动升级系统软件前请先配置云服务,保证设备与云平台成功连接。先单击导航树中[系统工具/远程管理]菜单项进入远程管理配置页面,再单击“云服务”页签进入云服务配置页面 |
页面向导:[系统工具/系统升级/文件管理]
|
文件管理支持以下三种操作: · 上传:本地的文件上传至设备 · 删除:删除设备上的文件 · 下载:将设备上保存的文件下载到本地 |
|
|
点击<上传>按钮,进入上传页面,将本地的文件上传至设备: 1. 点击<请选择文件>按钮,选择特定路径下保存的文件 2. 点击<确定>按钮,完成文件上传 |
|
|
1. 在文件名列表中勾选要删除的文件 2. 点击<删除>按钮,删除设备上的文件 3. 点击<是>按钮,完成文件删除 |
|
|
点击<下载>按钮,即可实现文件下载到本地PC |
|
表12-17 页面参数描述
|
页面参数 |
描述 |
|
上传 |
本地的文件上传至设备。例如,对设备进行系统升级前,需要将IPE文件上传到设备 |
|
请选择文件 |
选择特定路径下保存的文件 |
|
删除 |
删除设备上的文件。上传文件到设备时,如果内存空间不足以存储要上传的文件,则需要删除某些非重要文件,释放存储空间。不能删除版本文件,否则会导致设备运行出错 |
|
下载 |
将设备上保存的文件下载到本地。用户可以根据自己需求将设备上的文件下载到本地,以便备份或者数据分析 |
用户需要为设备购买授权码、申请激活文件、安装License,才能使用设备上基于License的特性。
对于一台设备,请不要多个用户同时进行License操作,以免操作失败。
页面向导:[系统工具/License管理/License配置]
|
License配置分为如下方式: · 在线自动安装License · 本地手动安装License |
|
|
1. 点击<在线自动安装>按钮,进入在线自动安装页面 2. 设置License管理平台域名 3. 点击<检测>按钮,检测域名对应的License管理平台是否能够提供在线自动安装License的服务 ¡ 灰灯表示正在检查过程中 ¡ 红灯表示此域名对应的License管理平台不能提供在线自动安装License的服务。 ¡ 绿灯表示此域名对应的License管理平台能够提供在线自动安装License的服务 4. 输入授权码 ¡ 正式授权的授权码包含在授权书中,对应授权书上的授权序列号(License Key) ¡ 临时授权的授权码需要联系技术支持人员获取。产品是否支持临时授权,请查阅产品License支持情况说明文档 ¡ 根据需要设置最终客户单位名称、申请单位名称、申请联系人姓名、申请联系人电话、申请联系人E-mail等信息 5. 点击<确定>按钮,即可自动完成安装 |
|
|
1. 点击<本地手动安装>按钮,进入本地手动安装页面 2. 选择激活文件 3. 点击<确定>按钮,完成安装 |
|
表12-18 页面参数描述
|
页面参数 |
描述 |
|
在线自动安装License |
使用购买的授权码,即可使得设备获取License对应特性的授权,无需手动申请并安装激活文件 |
|
位置 |
License和特性的位置 |
|
License管理平台域名 |
设置License管理平台域名 |
|
检测 |
检测域名对应的License管理平台是否能够提供在线自动安装License的服务: · 灰灯表示正在检查过程中。 · 红灯表示此域名对应的License管理平台不能提供在线自动安装License的服务。 · 绿灯表示此域名对应的License管理平台能够提供在线自动安装License的服务 |
|
授权码 |
输入授权码: · 正式授权的授权码包含在授权书中,对应授权书上的授权序列号(License Key) · 临时授权的授权码需要联系技术支持人员获取。产品是否支持临时授权,请查阅产品License支持情况说明文档 |
|
最终客户单位名称 |
可输入最终客户单位名称 |
|
申请单位名称 |
可输入申请单位名称 |
|
申请联系人姓名 |
可输入申请联系人姓名 |
|
申请联系人电话 |
可输入申请联系人电话 |
|
申请联系人E-mail |
可输入申请联系人E-mail |
|
申请联系人邮编 |
可输入申请联系人邮编 |
|
申请联系人地址 |
可输入申请联系人地址 |
|
项目名称 |
可输入项目名称 |
|
本地手动安装License |
申请激活文件成功后,需要在设备上安装激活文件,设备才能获得License对应特性的授权 |
|
选择激活文件 |
选择待激活文件 |
· 用户获取到激活文件之后请妥善保存并备份,以免不慎丢失。
· 请不要打开激活文件,以免影响文件的格式,导致文件无效。
· 请不要修改激活文件的名称,以免影响授权。
· 如果在H3C License管理平台填写正确信息后,仍申请激活文件失败,请联系技术支持人员。
页面向导:[系统工具/License管理/获取DID]
|
单击“获取DID”页签,进入DID显示页面,获取设备SN和DID,可以申请激活文件: 1. 通过购买授权书获取授权码 2. 获取设备SN和DID 3. 登录H3C License管理平台(网址为http://www.h3c.com/cn/License),获取License激活文件,具体方法请参见《http://www.h3c.com/cn/home/qr/default.htm?id=602》 |
|
表12-19 页面参数描述
|
页面参数 |
描述 |
|
位置 |
License和特性的位置 |
页面向导:[系统工具/License管理/License和特性]
|
查看哪些特性需要License |
|
表12-20 页面参数描述
|
页面参数 |
描述 |
|
位置 |
License和特性的位置 |
|
特性名称 |
表示设备支持的、需安装License才能正常使用的特性 |
|
是否授权 |
· 取值为“Y”时,表示已安装了License · 取值为“N”时,表示未安装License |
|
状态 |
表示License的状态: · 取值为“Formal”时表示当前已经为该特性安装了正式License,License处于有效状态 · 取值为“Trial”时表示当前已经为该特性安装了临时License,License处于有效状态 · 取值为“Pre-licensed”时表示在出厂时已经为该特性安装了预授权,License处于有效状态 · 取值为“-”时表示当前无有效License,用户如需使用该特性,请安装对应的License |
|
高级查询 |
通过位置、特性名称、是否授权或状态的任意组合来查找对应的License和特性信息 |
|
查询 |
查询License和特性信息 |
|
重置 |
重置位置、特性名称、是否授权或状态的查询项 |
|
刷新 |
刷新License和特性信息 |
压缩License可能会导致DID变化。因此,在压缩License存储区前,请确保使用旧DID申请的License已经安装完毕。否则,License存储区压缩后,使用旧DID申请的License将无法继续安装。
页面向导:[系统工具/License管理/压缩]
|
过期后的License会一直占用License存储区。如果License存储区空间耗尽,会导致新的License安装失败。此时,需要压缩License存储区来释放空间: 1. 确认设备还可安装的激活文件的个数。“设备还可安装的激活文件的个数”=“可安装激活文件个数”-“已安装激活文件的个数” 2. 如果您当前需要安装的激活文件的个数大于“设备还可安装的激活文件的个数”,请点击<压缩>按钮,完成配置。否则,不需要压缩License存储区 |
|
表12-21 页面参数描述
|
页面参数 |
描述 |
|
位置 |
License和特性的位置 |
|
压缩 |
压缩License存储区来释放空间 |
重新启动设备可能会导致业务中断,请谨慎使用。
页面向导:[系统工具/重新启动/立即重启]
|
立即重新启动设备 |
|
表12-22 页面参数描述
|
页面参数 |
描述 |
|
立即重启 |
立即重新启动设备 |
|
保存配置 |
勾选“保存配置”配置项,设备在重启之前先保存配置,以防止配置丢失 |
|
强制设备不进行任何检查直接重启 |
勾选“强制设备不进行任何检查直接重启”配置项,则设备不进行自检,直接重启 |
页面向导:系统工具→重新启动→定时重启
|
定时重新启动设备 |
|
表12-23 页面参数描述
|
页面参数 |
描述 |
|
定时重启 |
定时重新启动设备 |
|
开启 |
开启定时重启设备的功能 |
|
关闭 |
关闭定时重启设备的功能 |
|
生效时间 |
设定每周设备重启的具体时间 |
|
应用 |
设备将会在设定时间进行重启 |
设备在运行过程中会生成系统日志。日志中记录了管理员在设备上进行的配置、设备的状态变化以及设备内部发生的重要事件等,为用户进行设备维护和故障诊断提供参考。
用户可以将日志发送到日志服务器集中管理,也可以直接在Web页面查看日志。
日志划分为如表12-24所示的八个级别,各级别的严重性依照数值从0~7依次降低。了解日志级别,能帮助您迅速筛选出重点日志。
|
数值 |
信息级别 |
描述 |
|
0 |
emergency |
表示设备不可用的信息,如系统授权已到期 |
|
1 |
alert |
表示设备出现重大故障,需要立刻做出反应的信息,如流量超出接口上限 |
|
2 |
critical |
表示严重信息,如设备温度已经超过预警值,设备电源、风扇出现故障等 |
|
3 |
error |
表示错误信息,如接口链路状态变化等 |
|
4 |
warning |
表示警告信息,如接口连接断开,内存耗尽告警等 |
|
5 |
notification |
表示正常出现但是重要的信息,如通过终端登录设备,设备重启等 |
|
6 |
informational |
表示需要记录的通知信息,如通过命令行输入命令的记录信息,执行ping命令的日志信息等 |
|
7 |
debugging |
表示调试过程产生的信息 |
请确保设备和日志服务器能互相ping通,日志服务器才能收到设备发送的日志。
页面向导:[系统工具/系统日志]
|
管理及显示日志信息 |
|
表12-25 页面参数描述
|
页面参数 |
描述 |
|
发送到日志服务器 |
输入日志服务器的IP地址或者域名地址 |
|
应用 |
完成发送到日志服务配置 |
|
WEB日志记录 |
· 选择开启,开启WEB日志记录功能,WEB可打印操作日志,日志内容可在系统日志页面查看 · 选择关闭,关闭WEB日志记录功能,WEB不可打印操作日志,日志内容不可在系统日志页面查看 |
|
高级查询 |
通过时间、模块、级别、详细信息这几个条件的任意组合来查找对应的系统日志 |
|
时间 |
通过时间查找对应的系统日志 |
|
模块 |
通过模块查找对应的系统日志 |
|
级别 |
通过级别查找对应的系统日志 |
|
详细信息 |
通过详细信息查找对应的系统日志 |
|
清除 |
清除路由器所记录的日志信息 |
|
导出 |
将设备上已有的日志信息导出到登录Web管理页面的PC上 |
|
刷新 |
刷新系统日志信息 |
无线AC相关功能配置请参考无线控制器相关手册。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
