- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-正文
本章节下载: 01-正文 (5.17 MB)
目 录
H3C UR系列企业级路由器主要适用于中小企业、政府、企业机构等需要高速有线及无线接入的中小型网络环境。该系列路由器融合了路由、交换、AC、防火墙和PoE等功能于一身,能够大大简化组网。
设备提供丰富的软件特性(比如:多WAN口负载均衡、上网行为管理、内置AC以及IPSec/L2TP VPN等功能),可以帮您快速地完成各功能特性需求的配置,主要支持功能特性如下。
· 多WAN负载均衡
全千兆的多WAN口支持带宽的负载均衡及线路备份功能,满足企业多运营商接入的组网需求。用户可以根据线路实际带宽分配网络流量,充分利用带宽,并在其中一条运营商线路出现故障时,其他线路也能正常工作,保障网络稳定性。
· 内置AC功能
支持对小贝系列无线AP的统一管理、配置和升级,实现AP接入后零配置功能,即插即用。
· 企业级VPN功能
支持SD-WAN、IPSec VPN和L2TP VPN,方便企业通过Internet构建虚拟私有网络。
· 上网行为管理
支持全新的用户上网行为管理模块,支持组策略的配置,通过该模块可以轻松的制定企业用户的访问权限和策略。
· 高性能防火墙
内置高性能防火墙,可防护外部多种专业的攻击手段,如DDOS攻击、端口扫描等行为。
· 网络流量限速
通过基于IP的网络流量限速机制,可以有效控制BT/迅雷等P2P软件对网络带宽的过度占用。
· 智能化管理
通过云管理平台实现智能网络管理和运维,降低网络管理成本并提升管理体验。同时,也可以通过H3C小贝APP管理进行网络开局部署、常用设备管理、运维操作和产品资料查询,提高网络管理工作效率。
完成硬件安装后,在登录设备的Web管理界面之前,您可选择有线或无线方式建立网络连接。
将设备的LAN口与管理计算机的网口相连,并设置管理计算机的IP地址。
操作步骤如下(以Windows 10系统为例):
|
1. 单击桌面右下角的网络图标,如 |
|
|
2. 单击“更改适配器选项”,打开网络连接窗口 |
|
|
3. 右键单击以太网的<属性>按钮,打开“以太网属性”窗口。双击“Internet协议版本4(TCP/IPv4)” |
|
|
4. 配置电脑的IP地址 · 当设备开启DHCP功能时,可选择自动获取IP地址和DNS服务器地址,或通过手动配置电脑IP地址,与设备IP地址(缺省192.168.77.1)保持同一网段 · 当设备关闭DHCP功能时,只能通过手动配置电脑IP地址,与设备IP地址(缺省192.168.77.1)保持同一网段 · 设置好IP地址后,单击<确定>按钮,返回[本地连接 属性]对话框,再单击<确定>按钮 |
|
操作步骤如下:
|
1. 单击屏幕左下角<开始>按钮进入[开始]菜单,选择“运行”,弹出“运行”对话框 2. 输入“ping 192.168.77.1(设备的IP地址,此处是缺省IP地址)”,单击<确定>按钮 |
|
|
3. 如果在弹出的对话框中显示了从设备侧返回的回应,则表示网络连通;否则请检查网络连接 |
|
· 台式电脑需要成功安装无线网卡才能进行无线连接。
· 通过无线方式建立网络连接,要求设备具有无线功能,或已连接无线AP。
· 将终端放置于无线网络范围内,无线网络默认没有加密。
通过无线终端(手机或者带有无线网卡的电脑等),搜索Wi-Fi名称为“H3C_QuickNet_”开头的无线网络(默认没有加密),进行连接即可。
|
1. 单击电脑桌面右下角图标 ,从扫描到的无线信号名称中选择您自己的无线信号名称,单击<连接>按钮,之后根据电脑提示进行操作 |
|
|
2. 连接成功后,您的无线网络显示为“已连接” |
|
如果当前管理计算机使用代理服务器访问因特网,则必须取消代理服务,操作步骤如下:
|
1. 单击桌面右下角的网络图标,如 |
|
|
2. 进入“代理”设置页面。请确认“使用代理服务器”为关闭状态 |
|
· 建议使用Chrome 64及以上版本、Firefox 78及以上版本、Edge 79及以上版本、Safiri 12及以上版本的浏览器访问Web管理页面。
· 此开局配置以UR7204W举例。不同型号设备开局页面略有不同,请以实际为准。
配置步骤如下:
(1) 运行Web浏览器。请在浏览器地址栏中输入设备管理地址(默认为192.168.77.1),进入UWEB管理页面。
(2) 查看组网内的设备是否全部被发现,确认无误后,单击<开始配置>按钮,进入配置页面。
图3-1 UWEB发现设备页面
(3) 创建项目并配置各项参数。
a. 在项目设置区域:输入项目名称,并设置管理密码。
b. 在上网设置区域:选择网关设备及WAN口,并根据实际运营商提供的网络服务设置上网方式。上网方式支持DHCP、静态IP和PPPoE。
c. 在Wi-Fi设置区域:设置Wi-Fi的基本参数,如Wi-Fi名称、加密方式和生效射频。
d. 在时区设置区域:设置设备所在地区的时区。
图3-2 整网管理开局
e. 单击<完成配置>按钮,系统将弹出提示框。单击<确认>按钮,完成开局配置。
图3-3 提示页面
f. 配置完成后,设备自动跳转至整网管理页面。点击UWEB页面左上角“整网管理”,选择“本地管理”可切换至本地管理页面。
图3-4 切换本地管理
展示设备的流量总览、端口状态、基本信息和接入终端等内容。
显示设备上网流量相关信息,可选择WAN口、刷新周期、监控时长。
页面向导:设备概览
|
查看上网流量的相关信息 |
|
页面中各参数的含义如下表所示。
表4-1 页面关键参数说明
|
关键参数 |
描述 |
|
WAN口 |
选择设备WAN口,查看其流量信息 |
|
刷新周期 |
端口流量数据界面刷新周期。可根据需要进行选择: · 手动刷新:点击<刷新>图标按钮,进行手动刷新操作。 · 5分钟、10分钟、15分钟:每隔设置的时间,系统自动刷新端口流量数据界面。 |
|
监控时长 |
选择监控指定WAN接口流量的时长。可选“每1个小时、每1天、每1个月 |
显示WAN口和LAN口的使用状态。
页面向导:设备概览
|
查看端口使用状态。鼠标悬停至相应端口处,可查看该端口的管理状态、端口模式和速率等参数 PoE款型还可查看设备PoE功率使用情况 |
|
页面中各参数的含义如下表所示。
表4-2 页面关键参数说明
|
关键参数 |
描述 |
|
端口状态 |
点击端口图标,可跳转至端口管理界面 |
|
PoE功率使用 |
整机当前已使用供电功率占整机最大供电功率的百分比 |
查看设备的软硬件基本信息。
页面向导:设备概览
|
查看设备软硬件基本信息。点击右上角“…”可查看更多 |
|
页面中各参数的含义如下表所示。
表4-3 页面关键参数说明
|
关键参数 |
描述 |
|
系统时间 |
显示设备的系统时间 |
|
运行时间 |
显示设备的运行时间 |
|
IP地址 |
显示设备的IP地址 |
|
序列号 |
显示设备的序列号信息 |
|
设备模式 |
显示设备当前工作模式 |
|
硬件版本 |
显示设备的硬件版本信息 |
|
CPU使用率 |
显示当前设备CPU的使用率 |
|
内存使用率 |
显示当前设备内存的使用率 |
|
Flash使用率 |
设备当前Flash存储空间的使用率 |
|
管理模式 |
显示设备当前管理模式。点击切换图标,可切换整网模式/本地管理模式 |
|
软件版本 |
显示设备的软件版本信息 |
显示局域网内接入终端的相关信息。
页面向导:设备概览
|
查看接入终端信息 |
|
页面中各参数的含义如下表所示。
表4-4 页面关键参数说明
|
关键参数 |
描述 |
|
接入终端 |
显示终端接入网络使用的方式及数量: · Portal终端:终端使用Portal认证方式接入网络。 · DHCPv4终端:终端使用设备DHCP分配的IP地址接入网络。 · 固定IP终端:终端使用固定IP地址接入网络。 · PPPoE终端:终端使用PPPoE认证方式接入网络。 |
端口信息可直观查看端口发送/接收的速率和数据大小,方便管理员对端口流量进行分析与审计。
页面向导:系统监控
|
查看端口发送/接收报文速率、累计发送/接收报文大小 |
|
页面中各参数的含义如下表所示。
表5-1 页面关键参数说明
|
描述 |
|
|
线路 |
设备物理端口,包括LAN接口和WAN接口 |
|
发送速率 |
该线路发送报文速率 |
|
接收速率 |
该线路接收报文速率 |
|
累计发送 |
该线路下累计发送报文大小 |
|
累计接收 |
该线路下累计接收报文大小 |
端口管理包含设备的物理端口管理和多WAN策略选择。
· 端口管理可对设备的各个物理端口进行相应配置,可直观查看端口信息。
· 多WAN策略可在多个WAN口的情况下对WAN口的流量负载进行分担设置。
在端口选择处,展示设备的LAN口和WAN口。点击相应LAN口和WAN口,可对该端口进行端口配置。若端口不够用,点击“LAN/WAN切换”,可将设备LAN/WAN切换端口按需切换为LAN口或者WAN口。
正常情况下,接口从LAN口转换到WAN口后,WAN口的连接到互联网方式为DHCP。接口相关的VLAN配置信息在接口转换后将会丢失。
页面向导:网络管理→端口管理→端口管理
|
点击“LAN/WAN切换”,在弹窗中选择LAN/WAN切换口的模式 |
|
|
确认端口模式,点击<确定>按钮完成切换 |
|
通过配置WAN口实现设备访问外网,当端口选择“WAN口”时可进行配置。
页面向导:网络管理→端口管理→端口管理
|
在“端口选择”处,点击WAN口图标 |
|
|
WAN口配置 配置所选WAN口连接模式: · 通过“PPPoE”连接外网 |
|
|
· 通过“DHCP”连接外网 |
|
|
· 通过“固定地址”连接外网 |
|
|
高级配置 配置WAN口MAC地址、网络带宽、主机名、NAT地址转换等参数 |
|
|
端口配置 配置端口管理状态、端口模式、速率、广播风暴抑制等参数 |
|
页面中各参数的含义如下表所示。
表6-1 页面关键参数说明
|
关键参数 |
描述 |
|
WAN接口 |
设备接入广域网的接口 |
|
连接模式 |
用户实际的上网方式,根据需要进行选择: · PPPoE:宽带拨号上网方式 · DHCP:从DHCP服务器自动获取地址来接入广域网的上网方式 · 固定地址:由运营商提供固定地址来接入广域网的上网方式 |
|
上网账号 |
身份验证使用的用户名。此参数由运营商提供。当连接模式设置为PPPoE时,可配置该参数 |
|
上网密码 |
身份验证使用的密码。此参数由运营商提供。当连接模式设置为PPPoE时,可配置该参数 |
|
LCP主动检测 |
检测PPPoE链路异常状态,根据需要选择是否开启: · 开启:每隔20秒钟检测一次链路状态 · 关闭:每隔2分钟检测一次链路状态 当连接模式设置为PPPoE时,可配置该参数 |
|
始终在线 |
当前在线方式仅支持“始终在线”。当连接模式设置为PPPoE时,缺省启用该项,无法取消 |
|
IP地址 |
设备接入广域网的固定IP地址,仅允许输入A、B、C类IP地址。当连接模式设置为固定地址时,需配置此参数 |
|
子网掩码 |
IP地址的掩码或掩码长度,例如255.255.255.0。当连接模式设置为固定地址时,需配置此参数 |
|
网关地址 |
设备接入广域网的网关地址,仅允许输入A、B、C类IP地址。当连接模式设置为固定地址时,需配置此参数 |
|
DNS1和DNS2 |
设备接入广域网的DNS服务器地址。优先使用DNS1进行域名解析,如果解析失败,则使用DNS2进行域名解析 |
|
MAC地址 |
设备接入广域网使用的MAC地址,可根据需要进行选择: · 使用接口出厂MAC地址:设备接口出厂缺省地址为00-11-22-44-33-11 · 使用静态指定的MAC:手动输入12位指定MAC地址 |
|
网络上行带宽 |
实际线路的上行带宽值,请咨询当地运营商确认 |
|
网络下行带宽 |
实际线路的下行带宽值,请咨询当地运营商确认 |
|
主机名 |
设备需要通告给DHCP服务器的机器名。当连接模式设置为DHCP时,可配置该参数 |
|
NAT地址转换 |
选择是否启用NAT地址转换 |
|
地址池转换 |
设置局域网中的多台设备是否共用同一个公网IP。当NAT地址转换启用时,可根据需要进行选择: · 若设备公网IP仅有一个,则不选择“使用地址池转换” · 若设备公网IP有多个,则选择“使用地址池转换”,需选择已创建的NAT地址池。如需新增地址池,可通过点击<添加>按钮创建新的地址池 |
|
端口范围 |
当NAT地址转换启用时,可通过配置端口范围,限制NAT地址转换后的源端口范围 |
|
TCP MSS |
设备接口的TCP报文段的最大长度 |
|
MTU |
设备接口允许通过的MTU(Maximum Transmission Unit,最大传输单元)的大小 |
|
允许Ping |
允许用户验证指定的IP地址是否存在并且可以接受请求,可根据需要选择是否开启。 · 开启:允许IP地址的Ping命令响应 · 关闭:禁止IP地址使用Ping命令 |
|
是否为专线 |
选择是否将当前线路设置为专线。专线通常是不能访问外网的专用线路,例如医务专线: · 是:将当前线路设置为专线。设置专线后,用户需要手工配置静态路由 · 否:不将当前线路设置为专线 |
|
链路探测 |
对到达指定IP地址或域名的链路状态进行判断,提高链路的可靠性。可根据需要进行选择: · 未启用:不需探测链路状态 · ICMP探测:使用ICMP报文探测链路状态 · DNS探测:使用DNS报文探测链路状态 · NTP探测:使用NTP报文探测链路状态 |
|
探测地址 |
链路探测的IP地址或域名。当链路探测设置为ICMP探测、DNS探测或NTP探测时,需配置此参数 |
|
探测间隔 |
链路探测的时间间隔。当链路探测设置为ICMP探测、DNS探测或NTP探测时,需配置此参数 |
|
探测次数 |
链路探测的探测次数。当链路探测设置为ICMP探测、DNS探测或NTP探测时,可配置该参数 |
|
管理状态 |
是否启用端口,LAN口为常开状态。可根据需要选择是否开启: · 开启:设备开启此端口 · 关闭:设备关闭此端口 |
|
端口模式 |
端口的工作模式,可根据需要进行选择: · 自协商:双工和速率状态均由本端口和对端端口自动协商而定 · 全双工:端口在发送数据包的同时可以接收数据包 · 半双工:端口同一时刻只能发送数据包或接收数据包 |
|
速率 |
端口的速率,包括自协商、10Mbps、100Mbps、1Gbps、2.5Gbps(部分设备端口支持)、10Gbps(部分设备端口支持) |
|
广播风暴抑制 |
抑制局域网内大量广播报文传播的功能,可避免网络拥塞,保证网络业务的正常运行。可根据需要进行选择抑制程度:“不抑制”、“低”、 “中”、“高”。这四个级别允许通过的广播报文数依次减少。 配置完成后,点击<应用>按钮,使配置生效 |
|
MAC地址 |
显示端口的MAC地址 |
当端口选择“LAN口”时可进行配置。
将设备的LAN口加入指定的VLAN,使得局域网内处于同一VLAN的主机能直接互通。
配置VLAN前,需规划设备上LAN接口所属的VLAN,并在“VLAN配置”页面上,创建对应的VLAN接口。
页面向导:网络管理→端口管理→端口管理
|
在“端口选择”处,点击LAN口图标,可选择多个LAN口 |
|
|
LAN口配置 配置所选LAN口的PVID、放行VLAN; PoE款型支持设置端口PoE开关,查看端口PoE使用功率 |
|
|
端口配置 配置端口管理状态、端口模式、速率、广播风暴抑制等参数 |
|
页面中各参数的含义如下表所示。
表6-2 页面关键参数说明
|
关键参数 |
描述 |
|
已选端口 |
在端口选择处点击需要配置的LAN口,可批量选择 |
|
PVID |
该端口的缺省VLAN。配置端口的PVID时,只能指定已创建的VLAN |
|
放行VLAN |
设置该LAN口允许通过的VLAN。配置完成后,点击<应用>按钮,使配置生效 |
|
PoE |
开启或关闭端口的PoE供电功能,仅PoE款型支持 |
|
PoE功率 |
查看端口PoE使用功率,仅PoE款型支持 |
|
管理状态 |
是否启用端口,LAN口为常开状态。可根据需要选择是否开启: · 开启:设备开启此端口 · 关闭:设备关闭此端口 |
|
端口模式 |
端口的工作模式,可根据需要进行选择: · 自协商:双工和速率状态均由本端口和对端端口自动协商而定 · 全双工:端口在发送数据包的同时可以接收数据包 · 半双工:端口同一时刻只能发送数据包或接收数据包 |
|
速率 |
端口的速率,包括自协商、10Mbps、100Mbps、1Gbps、2.5Gbps(部分设备端口支持)、10Gbps(部分设备端口支持) |
|
广播风暴抑制 |
抑制局域网内大量广播报文传播的功能,可避免网络拥塞,保证网络业务的正常运行。可根据需要进行选择抑制程度:“不抑制”、“低”、 “中”、“高”。这四个级别允许通过的广播报文数依次减少。 配置完成后,点击<应用>按钮,使配置生效 |
|
MAC地址 |
显示端口的MAC地址 |
端口信息可直观查看LAN口和WAN口的端口配置情况,方便管理。
页面向导:网络管理→端口管理→端口管理
|
显示设备端口的详细信息 |
|
页面中各参数的含义如下表所示。
表6-3 页面关键参数说明
|
关键参数 |
描述 |
|
端口名称 |
设备的物理端口名称 |
|
端口类型 |
设备的端口类型,主要分为: · WAN:接入广域网的接口 · LAN:接入局域网的接口 |
|
端口模式 |
端口的工作模式,主要分为: · 自协商:双工和速率状态均由本端口和对端端口自动协商而定 · 全双工:端口在发送数据包的同时可以接收数据包 · 半双工:端口同一时刻只能发送数据包或接收数据包 |
|
速率 |
端口的速率 |
|
MAC地址 |
端口的MAC地址 |
|
广播风暴抑制 |
抑制局域网内大量广播报文传播的功能,可避免网络拥塞,保证网络业务的正常运行。可根据需要进行选择抑制程度:“不抑制”、“低”、“中”、“高” |
|
管理状态 |
端口的工作状态,主要分为: · 开启:设备开启此端口 · 关闭:设备关闭此端口 当端口类型为LAN时,此参数不支持修改,缺省为开启状态 |
|
PoE |
端口的PoE供电功能状态,仅PoE款型支持 |
|
PoE功率 |
端口PoE使用功率,仅PoE款型支持 |
· 只有多WAN场景可以进行本页面的配置。WAN口数量变化时,请重新应用多WAN策略。
· WAN口配置为“专线”时,该WAN口默认不参与多WAN负载分担计算。
设备使用多个WAN口时,通过多WAN策略可对流量进行负载分担。
页面向导:网络管理→端口管理→多WAN配置
|
配置多WAN策略,配置完成后,点击<应用>按钮,使配置生效: · 负载均衡-平均负载分担:每条链路负载分担相同 |
|
|
· 负载均衡-带宽比例负载分担:设置多WAN口的流量比例 |
|
|
· 负载均衡-高级模式:基于运营商进行WAN口负载分担。若WAN口的运营商相同,则需配置链路带宽比例 |
|
|
· 主备模式:主端口正常工作时,流量全部通过主端口转发。如果主端口发生故障,流量自动切换到备份端口转发 |
|
|
配置“保存接口上一跳”功能: 在多WAN口连接运营商、配置等价路由时,让设备记录报文从哪个WAN口接收到,返回报文依旧从该WAN口出公网,保证报文来回路径一致。 |
|
页面中各参数的含义如下表所示。
表6-4 页面关键参数说明
|
关键项 |
描述 |
|
多WAN策略 |
设备提供“负载均衡”和“主备模式”两种WAN策略,可根据需要进行选择: · 负载均衡:流量在WAN端口间按比例负载分担。 · 主备模式:主端口正常工作时,流量全部通过主端口转发。如果主端口发生故障,流量自动切换到备份端口转发。 |
|
负载均衡方式 |
策略选择“负载均衡”时,可选三种分担方式,可根据需要进行选择: · 若各条链路带宽一致,建议选择“平均负载分担”。 · 若各条链路带宽不一致,建议选择“带宽比例负载分担”,并设置链路带宽比例。 · 高级模式:支持选择多个运营商进行配置,需对运营商进行相关设置。 |
|
运营商 |
支持“移动”、“联通”、“电信” |
|
链路带宽比例 |
设置各链路缺省的带宽比例 |
|
下载运营商地址库 |
选择相应运营商,跳转至新华三官网下载路由器运营商地址表文件包 |
|
移动/联通/电信地址库 |
需上传WAN口选择的运营商地址库文件,地址库文件类型必须为.txt |
|
主链路 |
主备模式下的主端口,正常工作时流量全部通过主端口转发 |
|
备份链路 |
主备模式下的备份端口,如果主端口发生故障,流量自动切换到备份端口转发 |
|
保存接口上一跳 |
在多WAN口连接运营商、配置等价路由时,让设备记录报文从哪个WAN口接收到,返回报文依旧从该WAN口出公网,保证报文来回路径一致。 |
本功能主要用于将设备的局域网接口加入VLAN,配置VLAN接口参数,查看DHCP分配列表以及管理静态DHCP。
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网协议,主要用于为局域网内的主机分配IP地址。DHCP支持动态及静态地址分配机制:
· 动态地址分配功能配置在接口上,此功能给用户主机动态分配IP地址,时间到期或主机明确表示放弃该地址时,该地址可以被其他主机使用。该分配方式适用于局域网的主机获取有一定有效期限的地址的组网环境。
· 静态分配的IP地址不与客户端的接口绑定,仅需要与主机的网卡MAC地址进行绑定,具有永久使用权限。该分配方式适用于局域网的主机获取租期为无限长的IP地址的组网环境。
为设备创建连接内网的VLAN接口,并可将VLAN接口作为内网设备的网关,提供DHCP服务。将设备上的LAN接口加入指定的VLAN后,局域网内处于同一VLAN的主机能直接互通,处于不同VLAN的主机不能直接互通。
页面向导:网络管理→VLAN配置→VLAN配置
|
本页面为您提供如下主要功能: · 显示已添加VLAN的详细信息 · 新增VLAN · 设置端口放行VLAN · 修改/删除已添加的VLAN |
|
|
新增VLAN: 1. 单击<新增>按钮,在弹出的对话框中,设置VLAN ID、IP地址、子网掩码、绑定端口等参数信息 2. 点击<应用>按钮,完成配置 |
|
|
设置端口放行VLAN: 1. 单击<端口放行VLAN>按钮,在弹出的对话框中,选择LAN口和需要放行的VLAN ID 2. 点击<确认>按钮,完成配置 |
|
|
修改/删除已添加的VLAN:点击列表操作栏的“编辑”、“删除”图标,可对该VLAN进行修改和删除操作 |
|
页面中各参数的含义如下表所示。
表6-5 页面关键参数说明
|
关键参数 |
描述 |
|
VLAN ID |
该VLAN接口的ID号 |
|
IP地址 |
该VLAN接口的IP地址 |
|
子网掩码 |
该IP地址的掩码或掩码长度,例如255.255.255.0 |
|
绑定端口 |
选择需要绑定的LAN口 |
|
TCP MSS |
该VLAN接口的TCP报文最大分段长度值 |
|
MTU |
该VLAN接口允许通过的MTU值的大小 |
|
DHCP服务 |
是否开启DHCP服务功能。若开启该功能,设备将为连接到设备的客户端(例如连接到设备的计算机等)动态分配IP地址。缺省关闭DHCP服务功能 |
|
动态绑定 |
是否开启动态绑定功能。若开启该功能,设备将为动态分配的IP地址绑定客户端的MAC地址。缺省关闭动态绑定功能 |
|
地址池起始地址 |
DHCP服务器地址池的起始IP地址。开启DHCP服务后可配置 |
|
地址池结束地址 |
DHCP服务器地址池的结束IP地址,地址池结束地址不能小于地址池起始地址。开启DHCP服务后可配置 |
|
排除地址 |
设备不能分配给客户端的IP地址。例如:网关地址。开启DHCP服务后可配置 |
|
网关地址 |
地址池对应的网关地址,若不配置网关地址,有可能造成网络不通。开启DHCP服务后可配置 |
|
客户端域名 |
设备为客户端分配的域名后缀。客户端域名允许设置的字符包括英文字母[a-z,A-Z]、数字,以及符号-和.,不能以符号.开头或结尾 · 包含符号.时,符号.前后的字符长度都不能超过63个字符。如果同时存在多个符号.时,则符号.不能连续输入,例如.. · 不包括符号.时,取值为1-63个字符 开启DHCP服务后可配置 |
|
DNS1和DNS2 |
DHCP服务器分配IP地址时所携带的DNS服务器地址,优先使用DNS1进行域名解析。如果解析失败,则使用DNS2进行域名解析。开启DHCP服务后可配置 |
|
地址租约 |
DHCP服务器分配给客户端IP地址的租借期限。当租借期满后,DHCP服务器会收回该IP地址,客户端必须重新向路由器申请(客户端一般会自动申请)。开启DHCP服务后可配置 |
|
操作 |
可对VLAN配置数据进行修改、删除操作 |
可对DHCP分配的IP地址进行一键回收操作。
页面向导:网络管理→VLAN配置→DHCP分配列表
|
本页面为您提供如下主要功能: · 显示设备DHCP分配的详细信息 · 一键回收IP地址 · 静态分配IP地址 |
|
|
一键回收IP地址: 1. 在列表中选中需要回收的IP地址 2. 单击<一键回收>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
|
静态分配IP地址: 1. 在列表中选中需要静态分配的IP地址 2. 单击<静态分配>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表6-6 页面关键参数说明
|
关键参数 |
描述 |
|
DHCP服务 |
设备上开启DHCP服务的VLAN接口 |
|
客户端IP |
客户端的IP地址 |
|
客户端名 |
客户端的主机名 |
|
客户端MAC |
客户端的MAC地址 |
|
有效时间 |
DHCP服务器分配给客户端IP地址的租借期限。当租借期满后,DHCP服务器会收回该IP地址,客户端必须重新向路由器申请(客户端一般会自动申请) |
|
一键回收 |
回收DHCP服务器分配的IP地址。注:正在使用该地址的设备不受影响(仍可正常上网),仅从分配列表中移除该IP记录 |
|
静态分配 |
将DHCP服务器动态分配的IP地址进行静态绑定 |
如果需要为某些客户端分配固定的IP地址,则需要配置静态DHCP将客户端的硬件地址与IP地址进行绑定。
· 静态绑定的客户端IP地址不能是设备上WAN口的IP地址网段包含的IP地址。
· 配置静态DHCP时,如果设置的客户端IP地址已被其他终端占用,那么客户端MAC对应的终端上线时会被分配其他IP地址。当此前设置的客户端IP地址被释放后,客户端MAC对应的终端会被重新分配设定的IP地址。
· 在配置静态DHCP之前,需要先开启VLAN接口的DHCP服务。
页面向导:网络管理→VLAN配置→静态DHCP
|
本页面为您提供如下主要功能: · 显示已添加DHCP静态绑定关系的详细信息 · 新增DHCP静态绑定关系 · 修改/删除DHCP静态绑定关系 · 导入/导出静态DHCP地址表 |
|
|
新增DHCP静态绑定关系: 1. 单击<新增>按钮,弹出新增DHCP静态绑定关系对话框,设置接口、客户端MAC地址、客户端IP等参数信息 2. 点击<应用>按钮,完成配置 |
|
|
修改/删除已添加的DHCP静态绑定关系:点击列表操作栏的“编辑”、“删除”图标,可对该表项进行修改和删除操作 |
|
|
导入静态DHCP地址表: 1. 点击“导入”图标,弹出导入静态DHCP地址表对话框。点击<上传文件>按钮,选择需导入的静态DHCP地址表 2. 点击<导入>按钮,完成配置 导出静态DHCP地址表: 点击“导出”图标,即可将设备静态DHCP表项导出 |
|
页面中各参数的含义如下表所示。
表6-7 页面关键参数说明
|
关键参数 |
描述 |
|
接口 |
设备上已创建的VLAN接口。即策略对从某一接口获取的IP地址和MAC地址进行绑定 |
|
客户端MAC |
客户端的MAC地址。此处不支持全0或全F的MAC地址 |
|
客户端IP |
分配给该客户端的IP地址 |
|
子网掩码 |
该IP地址的掩码或掩码长度。例如255.255.255.0 |
|
描述 |
策略的描述信息,可对策略进行简单的描述,方便使用 |
|
导入 |
导入静态DHCP数据至本地。点击<上传文件>按钮,在弹出的界面选中.csv文件,点击<导入>按钮即可。 若需要模版,点击<下载模版>按钮导出至本地即可 |
|
导出 |
将系统界面静态DHCP数据导出至本地 |
|
操作 |
可对该配置进行编辑和删除操作 |
NAT(Network Address Translation,网络地址转换)是一种将内部网络私有IP地址,转换成公网IP地址的技术。拥有私有IP地址的内网用户无法直接访问Internet,如果希望内网用户使用运营商提供的公网IP访问外网,或者允许外网用户使用公网IP访问内网资源,则需要配置NAT。
本设备NAT支持端口映射转换方式。
端口映射:通过这种转换方式,可以实现利用一个公网地址和不同的协议端口同时对外网提供多个内网服务器(例如Web、Mail或FTP服务器)资源的目的。这种方式可以节约设备的公网IP地址资源。端口映射可以将内网中的一组IP地址和不同的协议端口映射到一个公网IP地址和对应的协议端口上,使得一个公网IP地址可以同时分配给多个内网IP地址使用。
配置端口映射规则需要保证外部地址、外部端口组合的唯一性。
NAT还提供如下高级配置功能:
· NAT hairpin:如果您的某些内网服务器通过公网IP地址对外提供服务,同时内网用户也有访问这些服务器的需求,为了确保这些内网用户访问内网服务器的流量也经过网关控制,则可以开启NAT hairpin功能。开启该功能后,内网用户将与外网用户一样,都可以使用公网IP地址访问内网服务器。
· NAT ALG:如果内部网络与外部网络之间存在应用层业务,例如FTP/RTSP,为了保证这些应用层协议的数据连接经过端口映射或一对一映射后还可以正确建立,就需要开启相应协议的NAT ALG功能。
· 一对一映射:这种方式适用于内外网之间存在固定访问需求的环境,比如某个网络管理员必须使用一个固定的外网IP去远程访问位于内网中对外提供服务的设备。一对一映射可以在设备上建立一个固定的一对一的映射关系,将内网中的一个私有IP地址转换为一个公网IP地址。
页面向导:网络管理→NAT配置→端口映射
|
本页面为您提供如下主要功能: · 显示已添加端口映射的详细信息 · 启用NAT DMZ服务器 · 新增NAT端口映射 · 修改/删除已添加的NAT端口映射 |
|
|
启用NAT DMZ服务器: 1. 开启NAT DMZ服务,设置主机地址参数 2. 单击<应用>按钮,完成配置 |
|
|
新增NAT端口映射: 1. 单击<新增>按钮,弹出新增端口映射对话框,设置协议类型、外部地址、外部端口等参数信息 2. 点击<确定>按钮,完成配置 |
|
|
修改/删除已添加的NAT端口映射: 点击列表操作栏的“编辑”、“删除”图标,可对该表项进行修改和删除操作 |
|
页面中各参数的含义如下表所示。
表6-8 页面关键参数说明
|
关键参数 |
描述 |
|
NAT DMZ服务 |
虚拟服务器功能,可提高局域网安全性。可根据需要选择是否开启。 · 开启:设备收到一个来自外部网络的请求,首先查询虚拟服务列表,如有匹配则发送到对应的IP地址,若无匹配,转发到DMZ主机上。 · 关闭:当外部请求和虚拟服务列表不匹配,则直接丢弃请求消息。 |
|
主机地址 |
DMZ主机的IP地址。配置完成后,点击<应用>按钮,使配置生效 |
|
协议类型 |
内网主机使用的传输协议,配置该参数时,可根据需要进行选择: · 若内网主机使用的是TCP传输协议,则选择“TCP” · 若内网主机使用的是UDP传输协议,则选择“UDP” · 若内网主机使用的是TCP和UDP传输协议,则选择“TCP+UDP” |
|
外部地址 |
设备上的公网地址,设置方式有两种: · 当前接口IP地址:当前设备WAN口的IP地址 · 自定义地址:设备上的其他公网IP地址,需手动设置 |
|
外部端口 |
内网主机映射到外部地址上,外部地址开放的端口,配置该参数时,可根据需要进行选择: · 若对外提供的是FTP服务,则选择“FTP” · 若对外提供的是TELNET服务,则选择“TELNET” · 若对外提供的是其他的服务,则输入服务所使用的端口号范围。配置该参数时,起始端口号不能大于结束端口号 |
|
内部地址 |
内网主机的IP地址。即该主机需要对外提供指定服务 |
|
内部端口范围 |
内网主机上真实开放的服务端口 |
|
状态 |
配置策略生效,可根据需要选择是否开启。 · 启用:表示启用此策略,配置完成后,策略立即生效 · 未启用:表示暂不启用此策略 |
|
描述 |
策略的描述信息,可对策略进行简单的描述,方便使用。 配置完成后,点击<确认>按钮,使配置生效。 |
|
操作 |
可对该配置进行编辑和删除操作 |
如果内网用户需要与外网用户一样,使用公网IP地址访问内网服务器,则可以开启NAT hairpin功能。
在配置NAT hairping前,需要完成如下配置中的一项或多项:
· 在虚拟服务器配置页面上,配置内网服务器的IP地址/端口与公网IP地址/端口的映射关系。
· 在一对一映射配置页面上,配置内网用户IP地址与公网IP地址的映射关系。
页面向导:网络管理→NAT配置→高级配置
|
设置NAT Hairpin: 1. 启用NAT hairping功能,设置当前NAT hairping生效接口 2. 单击<应用>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表6-9 页面关键参数说明
|
关键参数 |
描述 |
|
NAT Hairpin |
开启NAT hairpin的内网侧接口上会对报文同时进行源地址和目的地址的转换,用于满足位于内网侧的用户之间或内网侧的用户与服务器之间通过NAT地址进行访问的需求。 |
页面向导:网络管理→NAT配置→高级配置
|
设置NAT ALG: 1. 选择启用协议,设置SIP端口号 2. 单击<应用>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表6-10 页面关键参数说明
|
关键参数 |
描述 |
|
NAT ALG |
为了保证一些应用层协议的数据连接经过端口映射或一对一映射后还可以正确建立,需启用指定协议的NAT ALG功能。 |
如果需要一个内网IP地址一对一映射到一个公网IP地址上,则可以设置该功能。如果设备上仅有一个公网IP地址,不建议配置一对一映射来占用公网IP地址。
页面向导:网络管理→NAT配置→高级配置
|
开启一对一映射功能 |
|
|
添加NAT一对一映射: 1. 单击<新增>按钮,弹出新增对话框,设置内部地址、外部地址、接口、状态等参数信息 2. 点击<确认>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表6-11 页面关键参数说明
|
关键参数 |
描述 |
|
内部地址 |
内网主机的IP地址。即该主机需要对外提供指定服务 |
|
外部地址 |
设备上的公网IP地址 |
|
接口 |
内网主机对外映射的设备WAN口,既报文经过此接口进行映射。 |
|
状态 |
此策略的执行动作,主要分为: · 启用:表示启用此策略,配置完成后,策略立即生效 · 未启用:表示暂不启用此策略 |
|
描述 |
策略的描述信息,可对策略进行简单的描述,方便使用 |
本功能主要用于开启设备的IPv6功能,配置WAN接口、VLAN接口参数以及配置静态DHCPv6。
IPv6(Internet Protocol Version 6,互联网协议版本6)是网络层协议的第二代标准协议,也被称为IPng(IP Next Generation,下一代互联网协议)。它是IETF(Internet Engineering Task Force,互联网工程任务组)设计的一套规范,是IPv4的升级版本。
页面向导:网络管理→IPv6配置
|
开启设备的IPv6功能 |
|
表6-12 页面参数描述
|
关键项 |
描述 |
|
IPv6开关 |
是否开启IPv6功能。若开启该功能,设备在具有IPv6地址后,可以与其他启用了IPv6的设备进行通信。缺省关闭IPv6功能。 |
(1) WAN接口连接模式设置为自动获取时,DHCPv6报文会携带IANA以及IAPD,且IAPD中不携带IA Prefix,是否可获取到IPv6前缀以及IPv6前缀长度将由服务端算法决定。
(2) WAN接口连接模式设置为固定地址时,若IPv6前缀长度输入范围为48~64,则该地址将作为前缀使用。
页面向导:网络管理→IPv6配置→WAN配置
|
显示当前WAN口的IPv6相关配置信息,点击操作栏的编辑图标可修改WAN口配置 |
|
|
WAN口不启用IPv6访问外网功能 |
|
|
WAN口通过自动获取的方式获取IPv6地址 |
|
|
WAN口通过手动输入的方式获取IPv6地址 |
|
表6-13 页面参数描述
|
关键项 |
描述 |
|
接口 |
设备接入广域网的接口。 |
|
连接模式 |
设备WAN口获取IPv6地址的方式,包括: · 未启用:表示该WAN口不启用IPv6访问外网功能。 · 自动获取:从DHCPv6服务器自动获取接入广域网的公网IPv6地址。 ¡ NAT66地址转换:根据实际需求选择是否启用该功能。当需要在IPv6网络中隐藏内部网络的IPv6地址时,可启用此功能。 · 固定地址:手动输入IPv6地址、IPv6前缀长度、网关地址等信息。 ¡ IPv6地址:接入广域网的固定IPv6地址 ¡ IPv6前缀长度:IPv6地址的前缀长度,取值为48~64。 ¡ 网关地址:接入广域网的IPv6网关地址 ¡ DNS1和DNS2:输入接入广域网的DNS服务器地址。注意设备优先使用DNS1进行域名解析。如果解析失败,则使用DNS2进行域名解析。 ¡ NAT66地址转换:根据实际需求选择是否启用该功能。当需要在IPv6网络中隐藏内部网络的IPv6地址时,可启用此功能。 |
|
链路本地地址 |
用于同一链路内通信的特定于链路的IPv6地址。 |
|
操作 |
可对该配置进行编辑操作。 |
为设备创建连接内网的VLAN与VLAN接口,并可将VLAN接口作为内网设备的网关,提供DHCPv6服务。
(1) VLAN接口进行DHCPv6分配时,若设置VLAN接口的IPv6前缀长度属于[0,32]以及[64,128]时,将无法分出IPv6前缀,若设置的VLAN接口的IPv6前缀长度属于(64,128]时,将无法分出IPv6地址。
(2) VLAN接口在进行IPv6前缀分配时,若VLAN接口设置的IPv6前缀长度小于62且收到的DHCPv6报文中的IAPD不携带IA Prefix,则VLAN接口将默认分出前缀长度为62的前缀,若VLAN接口设置的IPv6前缀长度等于62将默认分出前缀长度为63的前缀,以此类推,VLAN接口最多分出前缀长度为64的前缀。
(3) IPv6前缀长度输入范围为48~64,则该地址将作为前缀使用。
页面向导:网络管理→IPv6配置→VLAN配置
|
显示当前VLAN接口的IPv6相关配置信息,点击操作栏的编辑图标可修改配置 |
|
|
不启用IPv6 VLAN |
|
|
同时使用DHCPv6和SLAAC方式分配IPv6地址 |
|
|
通过DHCPv6服务器分配IPv6地址 |
|
|
根据设备的链路层地址及路由器发布的前缀信息自动配置IPv6地址 |
|
|
通过从指定WAN接口获取前缀后再生成接口的IPv6地址 |
|
表6-14 页面参数描述
|
关键项 |
描述 |
|
VLAN ID |
该VLAN接口的ID号。 |
|
地址分配方式 |
设备获取IPv6地址的方式,选项包括: · 未启用:不进行IPv6地址配置。 · 自动:同时使用DHCPv6和SLAAC方式分配IPv6地址。 ¡ IPv6地址:分配给该VLAN接口的IPv6地址。 ¡ IPv6前缀长度:IPv6地址的前缀长度,取值为48~64。 ¡ DNS1和DNS2:输入接入广域网的DNS服务器地址。注意设备优先使用DNS1进行域名解析。如果解析失败,则使用DNS2进行域名解析。 ¡ 地址租约:IPv6地址的租用时间。 · DHCPv6:设备从DHCPv6服务器获取IP地址,选择该选项时,网络环境中需要存在DHCPv6服务器。为动态分配IPv6地址 ¡ IPv6地址:分配给该VLAN接口的IPv6地址。 ¡ IPv6前缀长度:IPv6地址的前缀长度,取值为48~64。 ¡ DNS1和DNS2:输入接入广域网的DNS服务器地址。注意设备优先使用DNS1进行域名解析。如果解析失败,则使用DNS2进行域名解析。 ¡ 地址租约:IPv6地址的租用时间。 · SLAAC:将根据设备的链路层地址及路由器发布的前缀信息自动配置IPv6地址。 ¡ IPv6地址:分配给该VLAN接口的IPv6地址。 ¡ IPv6前缀长度:IPv6地址的前缀长度,取值为48~64。 ¡ DNS1和DNS2:输入接入广域网的DNS服务器地址。注意设备优先使用DNS1进行域名解析。如果解析失败,则使用DNS2进行域名解析。 ¡ 地址租约:IPv6地址的租用时间。 · DHCPv6-PD:通过从指定WAN接口获取前缀后再生成接口的IPv6地址 ¡ 子网前缀名称:子网的标识名称,可设置从哪一个WAN接口获取前缀,默认为全部接口。 ¡ 子网前缀长度:指定子网掩码的长度,用于定义子网范围,取值为48~64。 ¡ 子网ID:指定特定子网的标识符。 ¡ DNS1和DNS2:输入接入广域网的DNS服务器地址。注意设备优先使用DNS1进行域名解析。如果解析失败,则使用DNS2进行域名解析。 ¡ 地址租约:IPv6地址的租用时间。 |
|
链路本地地址 |
用于同一网络链路内通信的专用IPv6地址。 |
|
操作 |
可对该配置进行编辑和删除操作。 |
如果需要为某些客户端分配固定的IPv6地址,则需要配置静态DHCPv6将客户端的DUID与IPv6地址进行绑定。
页面向导:网络管理→IPv6配置→静态DHCPv6
|
本页面为您提供如下主要功能: · 显示已添加DHCPv6静态绑定关系的详细信息 · 新增/DHCPv6静态绑定关系 · 删除DHCPv6静态绑定关系 · 修改已添加的DHCPv6静态绑定关系 |
|
|
新增DHCPv6静态绑定关系: 1. 单击<新增>按钮,弹出添加DHCPv6对话框,设置接口、IPv6后缀、DUID的参数信息 2. 点击<确认>按钮,完成配置 |
|
|
删除已添加的DHCPv6静态绑定关系: 1. 勾选需要删除的DHCPv6静态绑定关系前方单选框 2. 单击<删除>按钮,弹出确认提示对话框,单击<确认>按钮,完成配置 |
|
|
修改已添加的DHCPv6静态绑定关系: 1. 点击需要修改的DHCPv6静态绑定关系对应操作列的编辑图标,弹出DHCP静态绑定关系对话框,修改相关配置项 2. 单击<确认>按钮,完成配置 |
|
表6-15 页面参数描述
|
关键项 |
描述 |
|
应用接口 |
设备上已创建的VLAN接口。 |
|
IPv6后缀 |
与IPv6前缀共同生成IPv6地址的接口标识,即IPv6后缀。 |
|
DUID |
客户端的唯一标识符 (DHCP Unique Identifier),用于区分不同设备。 |
DHCPv6服务器通过动态分配或者静态绑定为DHCPv6客户端分配IPv6地址后,可以通过本页面查看分配给DHCPv6客户端的IPv6地址信息。
页面向导:网络管理→IPv6配置→DHCPv6客户端
|
显示设备DHCP分配的详细信息 |
|
表6-16 页面参数描述
|
关键项 |
描述 |
|
DHCPv6服务 |
设备上开启DHCPv6服务的VLAN接口。 |
|
IPv6地址 |
分配给客户端设备的IPv6地址。 |
|
DUID |
客户端的唯一标识符,用于区分不同设备。 |
|
有效时间 |
地址租约的剩余有效时间,以秒为单位。 |
IPv6邻居列表是IPv6网络中的一个重要概念,它用于跟踪和管理IPv6网络中邻居设备的信息。每个IPv6设备都会维护一个邻居列表,其中包含了与本设备直接相连的其他IPv6设备的信息,如MAC地址、邻居状态、以及可达性状态等。邻居列表在IPv6网络中扮演着重要的角色,它可以帮助设备进行数据包转发、地址解析和邻居发现等功能,同时也有助于网络管理和故障排查。
邻居表项保存的是设备在链路范围内的邻居信息,除了通过邻居请求消息NS及邻居通告消息NA来动态创建邻居表项外,还可以通过手工配置来静态创建邻居表项。
页面向导:网络管理→IPv6配置→IPv6邻居
|
本页面提供如下主要功能: · 显示已创建的IPv6邻居表项 · 添加静态IPv6邻居 · 编辑IPv6邻居表项 · 删除IPv6邻居表项 |
|
|
添加静态IPv6邻居: 1. 单击<新增>按钮,弹出添加IPv6邻居对话框,选择应用接口、输入IPv6地址和MAC地址 2. 单击<确认>按钮,完成添加 |
|
表6-17 页面参数描述
|
关键项 |
描述 |
|
应用接口 |
本节点的三层接口,请选择VLAN划分里设置过的VLAN |
|
IPv6地址 |
本节点的三层接口相连的邻居节点的IPv6地址 |
|
MAC地址 |
本节点的三层接口相连的邻居节点的MAC地址 |
|
绑定开关 |
对于动态生成的IPv6邻居表项,开启绑定开关后可将其转化为静态IPv6邻居表项 |
IPv6静态路由是在路由器中通过手工方式设置的固定路由条目。当您的IPv6网络结构比较简单且比较稳定时,通过配置IPv6静态路由就可以实现网络互通。例如,当您知道网络的出接口,以及网关的IPv6地址时,设置IPv6静态路由即可实现正常通信。
当去往同一目的地存在多条IPv6静态路由时,如果您希望优先选用某条IPv6静态路由,可以调整IPv6静态路由的优先级。优先级的值越小,对应的静态路由的优先级越高。
当IPv6静态路由中下一跳对应的接口失效时,本地的IPv6静态路由条目不会被删除,这种情况下需要您检查网络环境,然后修改IPv6静态路由的配置。
页面向导:网络管理→IPv6配置→IPv6静态路由
|
本页面为您提供如下主要功能: · 显示已添加的IPv6静态路由详细信息 · 添加IPv6静态路由 · 删除已添加的IPv6静态路由 · 修改已添加的IPv6静态路由 · 查看IPv6路由信息表 |
|
|
添加IPv6静态路由: 1. 单击<新增>按钮,弹出添加IPv6静态路由对话框,输入目的IP地址、IPv6前缀长度和下一跳等信息 2. 单击<确认>按钮,完成配置 |
|
|
删除IPv6静态路由: 1. 勾选需要删除的IPv6静态路由条目 2. 单击<删除>按钮,弹出提示对话框 3. 单击<确认>按钮,完成配置 |
|
|
修改IPv6静态路由: 1. 单击需要修改的IPv6静态路由操作列的编辑图标,弹出修改IPv6静态路由对话框,修改相关参数 2. 单击<确定>按钮,完成配置 |
|
|
查看IPv6路由信息表: 单击<路由信息表>按钮,可查看路由信息表 |
|
表6-18 页面参数描述
|
页面参数 |
描述 |
|
目的IPv6地址 |
设备要访问的目的网络的IP地址 |
|
IPv6前缀长度 |
目的网络的IPv6前缀长度,例如64 |
|
出接口 |
选择去往目标IP地址的设备接口 |
|
下一跳IP地址 |
数据在到达目的地址前,需要经过的下一个路由器的IP地址 |
|
优先级 |
IPv6静态路由的优先级,配置该参数时,数值越小则优先级越高 |
|
描述 |
规则的描述信息,可对规则进行简单的描述,方便使用 |
|
操作 |
可对该配置进行编辑和删除操作 |
静态路由是在路由器中通过手工方式设置的固定路由条目。当您的网络结构比较简单且比较稳定时,通过配置静态路由就可以实现网络互通。例如,当您知道网络的出接口,以及网关的IP地址时,设置静态路由即可实现正常通信。
· 当去往同一目的地存在多条静态路由时,如果您希望优先选用某条静态路由,可以调整静态路由的优先级。优先级的值越小,对应的静态路由的优先级越高。
· 当静态路由中下一跳对应的接口失效时,本地的静态路由条目不会被删除,这种情况下需要您检查网络环境,然后修改静态路由的配置。
页面向导:网络管理→路由配置→静态路由
|
本页面为您提供如下主要功能: · 显示已添加的静态路由信息 · 新增静态路由 · 修改/删除已添加的静态路由 · 查看路由信息表 |
|
|
新增静态路由: 1. 单击<新增>按钮,弹出添加IPv4静态路由对话框,输入目的IP地址、掩码长度和下一跳等信息 2. 单击<确认>按钮,完成配置 |
|
|
修改/删除静态路由: 点击列表操作栏的“编辑”、“删除”图标,可对该表项进行修改和删除操作 |
|
|
查看路由信息表: 单击<路由信息表>按钮,可查看路由信息表 |
|
页面中各参数的含义如下表所示。
表6-19 页面关键参数说明
|
关键参数 |
描述 |
|
目的地址/掩码长度 |
设备要访问目的网络的IP地址; 目的网络的掩码长度,例如24 |
|
出接口 |
是否开启下一跳IP地址的出接口,可根据需要选择是否开启。 · 若确定数据经过的设备出口,则开启“出接口”选项,并设置下一跳IP地址,下一跳地址必须和所选接口在相同网段。 · 若不确定出接口时,则不开启“出接口”选项。通过设置下一跳IP地址,设备可以自己选择合适的出接口。 |
|
下一跳IP地址 |
数据在到达目的地址前,需要经过的下一个路由器的IP地址 |
|
优先级 |
为同一目的地配置多条路由,如果指定相同的优先级,则实现路由负载分担;如果指定不同的优级,则实现路由备份。优先级高(数值小)的路由将成为当前的最优路由,范围为1~255 |
|
描述 |
静态路由的描述信息,可对本次路由进行简单描述,方便使用; 配置完成后,点击<确认>按钮,使配置生效 |
|
操作 |
可对该配置进行编辑和删除操作 |
与单纯按照IP报文的目的地址查找路由表进行转发不同,策略路由是一种依据用户制定的策略进行路由转发的机制。策略路由可以对于满足一定条件(源地址和目的地址等)的报文,执行指定的操作(设置报文的下一跳和出接口等)。策略路由的匹配条件比普通路由更丰富,当需要按照报文的某些特征(如报文源地址和目的地址等)转发到不同的网络中时,可以配置策略路由功能。
策略路由的优先级会按照配置顺序生效,即先配置的策略路由优先级高于后配置的策略路由。
策略路由的优先级可以自定义配置,取值越小优先级越高。
· 在开启策略路由的强制功能前,请确保已启用WAN接口的链路探测功能,以便设备判断该接口的外网连通状态。
· 策略路由中引用的WAN接口物理状态必须为UP,否则策略路由将无法生效。
页面向导:网络管理→路由配置→策略路由
|
本页面为您提供如下主要功能: · 显示已添加的策略路由详细信息 · 添加策略路由 · 删除已添加的策略路由 · 修改已添加的策略路由 |
|
|
添加策略路由: 1. 单击<新增>按钮,弹出新增策略路由列表对话框,设置接口、协议类型、源和目的IP地址段等信息 2. 单击<确认>按钮,完成配置 |
|
|
删除策略路由: 1. 勾选需要删除的策略路由条目 2. 单击<删除>按钮,弹出提示对话框 3. 单击<确认>按钮,完成配置 |
|
|
修改策略路由: 1. 单击需要修改的策略路由操作列的编辑图标,弹出修改策略路由列表对话框,修改相关参数 2. 单击<确认>按钮,完成配置 |
|
表6-20 页面参数描述
|
页面参数 |
描述 |
|
接口 |
报文的来源接口,即策略对从某一接口收到的数据包进行控制 |
|
协议类型 |
策略需要控制的报文协议类型。配置该参数时,可根据需要进行选择: · 若需控制某传输层协议的报文,则选择“TCP”或“UDP” · 若需控制某网络层协议的报文,则选择“IP” · 若需控制Ping、Tracert等ICMP协议报文,则选择“ICMP” · 若需控制其他协议报文,则选择“协议号”并配置协议号编号 |
|
源IP地址段 |
规则需要控制的源IP地址范围。配置该参数时,起始地址和结束地址间需要用短横线连接,如“1.1.1.1-1.1.1.2” · 若只指定一个地址,则起始地址和结束地址需要相同 · 若在输入地址段或者地址前添加“!”,则表示取反,即除此地址段或者地址外的其他的地址都匹配,如“!1.1.1.1-1.1.1.10” |
|
目的IP地址段 |
规则需要控制的目的IP地址范围。配置该参数时,起始地址和结束地址间需要用短横线连接,如“1.1.1.1-1.1.1.2” · 若只指定一个地址,则起始地址和结束地址需要相同 · 若在输入地址段或者地址前添加“!”,则表示取反,即除此地址段或者地址外的其他的地址都匹配,如“!1.1.1.1-1.1.1.10” |
|
源端口 |
规则需要控制的源端口。仅当协议类型指定为“TCP”或“UDP”,才需配置该参数。若在输入端口号前添加“!”,则表示取反,即除此端口号外的其他的端口都匹配,如“!1-5000” |
|
目的端口 |
规则需要控制的目的端口。仅当协议类型指定为“TCP”或“UDP”,才需配置该参数。若在输入端口号前添加“!”,则表示取反,即除此端口号外的其他的端口都匹配,如“!1-5000” |
|
生效时间 |
规则的生效时间。配置该参数时,需选择已创建的时间组。如需新增时间组,可通过点击<添加>按钮创建新的时间组 |
|
优先级 |
数值越小则优先级越高。若未设置优先级,系统按照规则的创建顺序以“5”为步长依次分配优先级,即先创建的规则优先级高 |
|
出接口 |
报文的转发接口,即匹配规则的报文通过指定出接口转发 |
|
强制生效 |
当WAN口的端口状态为外网未连通时,指向该WAN口的策略路由会失效。通过配置该参数,可以使策略路由在WAN口的端口状态为外网未连通时强制生效。 · 若开启了“强制生效”选项,当WAN口的端口状态为外网未连通时,则当前策略路由仍然会生效,转发数据 · 若未开启“强制生效”选项,当WAN口的端口状态为外网未连通时,则当前策略路由不会生效 |
|
状态 |
是否开启该路由规则。若启用该规则,设备将按照配置的路由策略及规则进行工作 |
|
描述 |
规则的描述信息,可对规则进行简单的描述,方便使用 |
|
操作 |
可对该配置进行编辑和删除操作 |
将特定的URL地址映射到相应的处理程序或资源,以便路由器能够根据URL来转发网络请求。从而实现更灵活的网络流量管理和应用程序访问控制。
页面向导:网络管理→路由配置→URL路由
|
本页面为您提供如下主要功能: · 显示已添加的URL路由详细信息 · 添加URL路由 · 删除已添加的URL路由 · 修改已添加的URL路由 |
|
|
添加URL路由: 1. 单击<新增>按钮,弹出新增URL路由列表对话框,设置接口、目的域名、生效时间、出接口等信息 2. 单击<确认>按钮,完成配置 |
|
|
删除URL路由: 1. 勾选需要删除的URL路由条目 2. 单击<删除>按钮,弹出提示对话框 3. 单击<确认>按钮,完成配置 |
|
|
修改URL路由: 1. 单击需要修改的URL路由操作列的编辑图标,弹出修改URL路由列表对话框,修改相关参数 2. 单击<确认>按钮,完成配置 |
|
表6-21 页面参数描述
|
页面参数 |
描述 |
|
接口 |
报文的来源接口,即对从某一接口收到的数据包进行控制 |
|
目的域名 |
规则需要控制的目的域名地址。 配置目的域名地址时不允许输入用来访问主机的域名 |
|
生效时间 |
规则的生效时间。配置该参数时,需选择已创建的时间组。如需新增时间组,可通过点击<添加>按钮创建新的时间组 |
|
出接口 |
报文的转发接口,即匹配规则的报文通过指定出接口转发 |
|
强制生效 |
当WAN口的端口状态为外网未连通时,指向该WAN口的URL路由会失效。通过配置该参数,可以使URL路由在WAN口的端口状态为外网未连通时强制生效。 · 若开启了“强制生效”选项,当WAN口的端口状态为外网未连通时,则当前URL路由仍然会生效,转发数据 · 若未开启“强制生效”选项,当WAN口的端口状态为外网未连通时,则当前URL路由不会生效 |
|
优先级 |
数值越小则优先级越高。若未设置优先级,系统按照规则的创建顺序以“5”为步长依次分配优先级,即先创建的规则优先级高 |
|
状态 |
是否开启该路由规则。若启用该规则,设备将按照配置的路由规则进行工作 |
|
描述 |
规则的描述信息,可对规则进行简单的描述,方便使用 |
|
操作 |
可对该配置进行编辑和删除操作 |
设备支持路由模式和AC控制器模式。路由模式可连接不同网络进行数据包的转发和路由选择,AC控制器主要用于集中管理和控制多个AP。可根据实际网络需求和环境,选择相应的设备模式。
· 设备默认工作在路由模式。
· 模式切换后,设备IP地址可能发生改变,需重新输入IP地址访问页面。
· 界面不显示当前已使用的设备模式,仅显示可切换的模式。
AC控制器模式:设备作为透明网桥,不改变网络拓扑结构。适用于已有路由器的网络环境中进行流量审计和控制。AC模式时不支持云管理。
页面向导:网络管理→设备模式
|
选择“AC控制器模式”,单击<应用>按钮,在弹出的提示框中单击<确定>,设备将切换至AC控制器模式,恢复出厂并重启 |
|
页面中各参数的含义如下表所示。
表6-22 页面关键参数说明
|
关键参数 |
描述 |
|
AC控制器模式 |
设备作为透明网桥,不改变网络拓扑结构。适用于已有路由器的网络环境中进行流量审计和控制 |
· 不同款型的设备对本功能的支持情况不同,请以设备的实际情况为准。
· 若设备为整网管理模式或绑定了云平台,部分功能参数无法配置,请以页面实际情况为准。
页面向导:无线管理→无线服务
|
本页面为您提供如下主要功能: · 显示已创建的无线服务 · 修改Wi-Fi配置 |
|
|
修改Wi-Fi配置: 1. 单击管理Wi-Fi操作栏的<编辑>按钮,弹出编辑对话框,设置Wi-Fi名称、密码、生效射频等参数 2. 单击<确认>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表7-1 页面关键参数说明
|
关键参数 |
描述 |
|
Wi-Fi名称 |
无线服务的SSID名称,即无线客户端搜索到的网络名称 |
|
运行状态 |
开启或关闭无线网络,可根据需要选择是否开启 |
|
加密方式 |
是否对无线网络进行加密,可根据需要进行选择是否开启: · 开启:需选择加密类型并设置相应密码。 ¡ WPA/WPA2(兼容模式):适用于包含旧设备(不支持WPA2的设备)的网络环境,提供基础安全性。 ¡ WPA2(推荐模式):广泛适用于大多数场景,确保安全性和兼容性。 ¡ WPA3(安全模式):适用于对安全性要求较高的环境。 · 关闭:当前无线网络处于关闭状态。 |
|
VLAN |
该无线网络所属的VLAN,缺省情况下为VLAN 1 |
|
生效射频 |
选择当前SSID的频段,可根据需要进行选择: · 若只勾选2.4GHz:将当前SSID设置为2.4G频段。 · 若只勾选5GHz:将当前SSID设置为5G频段。 · 若同时勾选2.4GHz和5GHz:当前SSID在2.4G和5G频段共用。 |
|
隐藏Wi-Fi |
是否隐藏当前SSID,可根据需要进行选择是否开启。 · 开启:管理员需要向客户端知会其SSID名称,客户端才可以根据SSID名称接入无线网络。 · 关闭:当无线客户端搜寻本地可以接入的无线网络时,将检测到广播的SSID,从而可以建立连接。 配置完成后,点击<确认>按钮,使配置生效。 |
射频配置可对本机的2.4G和5G的射频的频率、信道、功率等参数进行配置。
页面向导:无线管理→射频设置
|
修改2.4G射频频宽、信道、功率等参数 |
|
|
修改5G射频频宽、信道、功率等参数 |
|
页面中各参数的含义如下表所示。
表7-2 页面关键参数说明
|
关键参数 |
描述 |
|
工作状态 |
是否启用该无线频段,可根据需要选择是否开启。 · 开启:该频段无线网络将正常工作。 · 关闭:该频段无线网络将被禁用 |
|
模式 |
显示本机无线传输模式 |
|
频宽 |
设置无线频段的工作带宽 |
|
信道 |
选择无线网络的工作信道。缺省为AUTO |
|
功率配置方式 |
射频功率越大,覆盖的范围越广,客户端在同一位置收到的信号强度越强。 功率配置方式,可根据需要进行选择: · 自动:系统自动配置。 · 手动:手动调整功率数值百分比。 缺省情况下为自动 |
|
最大终端数量 |
接入该射频的最大无线客户端数量 |
本功能用于查看接入无线网络的客户端。
页面向导:无线管理→客户端列表
|
显示接入无线网络的客户端信息 |
|
页面中各参数的含义如下表所示。
表7-3 页面关键参数说明
|
关键参数 |
描述 |
|
MAC地址 |
无线客户端MAC地址 |
|
IP地址 |
无线客户端IP地址 |
|
射频类型 |
无线客户端接入Wi-Fi的生效射频 |
|
Wi-Fi名称 |
无线客户端连接的无线信号名称 |
|
无线模式 |
无线客户端接入Wi-Fi的无线模式 |
|
在线时长 |
客户端接入设备的持续时间 |
|
协商速率 |
无线信号传输数据的速度 |
|
频宽 |
无线客户端接入Wi-Fi射频的频宽 |
|
上行流量统计 |
无线客户端发送数据的流量 |
|
下行流量统计 |
无线客户端接收数据的流量 |
|
信号强度 |
设备无线信号的信号强度 |
页面向导:无线管理→无线优化→智能网优
|
对无线网络进行智能网优 |
|
页面中各参数的含义如下表所示。
表7-4 页面关键参数说明
|
关键参数 |
描述 |
|
自动调优 |
开启后,系统将实时监测无线设备,并在适当时对局部进行调优,以确保无线服务始终处于最佳状态。调优完成后,可以查看调优记录。若终端设备存在服务时,系统暂时停止自动调优 |
|
立即执行 |
系统将立即根据当前网络环境进行一次无线网络优化,以充分提升无线性能 |
|
调优记录 |
显示无线网络智能调优记录信息 |
页面向导:无线管理→无线优化→漫游优化
|
对漫游功能进行优化 |
|
页面中各参数的含义如下表所示。
表7-5 页面关键参数说明
|
关键参数 |
描述 |
|
漫游优化 |
设备将进行扫描来获取潜在的漫游邻居,帮助终端更及时、精确地漫游 |
|
漫游门限 |
调节终端漫游的灵敏程度。它能够调整终端发起漫游的信号强度门限值。在密集部署情况下,可以适当提高漫游灵敏度;相反,在稀疏部署情况下,可以降低漫游灵敏度 |
|
推荐 |
漫游门限的推荐配置 |
页面向导:无线管理→无线优化→弱信号终端策略
|
对无线弱信号进行优化 |
|
页面中各参数的含义如下表所示。
表7-6 页面关键参数说明
|
关键参数 |
描述 |
|
弱信号终端策略 |
对无线弱信号进行优化 |
|
禁止弱信号接入门限 |
设置禁止弱信号接入的门限值。未接入无线服务的客户端,信号强度低于门限值时,将无法接入;门限值过大会导致客户端接入困难 |
|
弱信号重关联门限 |
设置弱信号重关联门限值。已接入无线服务的客户端,信号强度低于门限值时,将被踢下线 某些特殊客户端在多次被踢下线后会出现无法接入的现象,此类客户端场景下请谨慎开启本功能 |
页面向导:无线管理→无线优化→5G优先
|
选择开启或关闭“5G优先”功能 |
|
页面中各参数的含义如下表所示。
表7-7 页面关键参数说明
|
关键参数 |
描述 |
|
5G优先 |
开启本功能后,终端将被引导优先接入5G频段,以获得更好的用户体验 |
用户隔离功能用于限制用户之间的直接通信,增强网络安全性和用户隐私保护。
· 开启用户隔离会隔离设备上终端之间的流量,达到保护用户隐私和减少网络中报文的目的。
· 允许转发MAC地址列表中的终端不受隔离,可以访问其他设备。
· 用户隔离可能会影响投屏或打印等依赖二层发现的业务。
页面向导:无线管理→用户隔离
|
配置用户隔离功能: 1. 开启用户隔离功能 2. 设置生效VLAN 3. 点击<应用>按钮,完成配置 |
|
|
配置允许转发MAC地址列表: 1. 点击<新增>按钮,在对话框中输入允许转发设备的MAC地址 2. 点击<确认>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表7-8 页面关键参数说明
|
关键参数 |
描述 |
|
用户隔离 |
启用后,将隔离设备上终端之间的流量,提高隐私并减少网络中报文传播 |
|
生效VLAN |
选择要应用用户隔离功能的VLAN。注意:请将生效VLAN的网关及DHCP服务器MAC地址加入允许转发列表,否则对应终端无法联网 |
|
允许转发MAC地址列表 |
允许转发MAC地址列表中的终端不受隔离,可以访问其他设备 |
|
操作 |
管理允许转发MAC地址列表数据。可对MAC地址数据进行修改和删除操作 |
通过配置黑名单/白名单,可控制对终端接入无线网络。
切换黑名单模式/白名单模式,会将当前在线终端下线,请谨慎操作。
页面向导:无线管理→黑白名单
|
对黑名单/白名单进行配置 |
|
|
在“无线黑/白名单列表”配置项处,单击“新增”,新增黑/白名单的MAC地址及备注信息 |
|
页面中各参数的含义如下表所示。
表7-9 页面关键参数说明
|
关键参数 |
描述 |
|
黑名单 |
禁止特定的MAC地址接入Wi-Fi上网 |
|
白名单 |
仅允许特定的MAC地址接入Wi-Fi上网 |
|
新增 |
新增黑名单/白名单的MAC地址及备注信息 |
|
编辑 |
修改黑名单/白名单的MAC地址及备注信息 |
|
批量删除 |
批量删除黑名单/白名单的MAC地址及备注信息 |
若设备为整网管理模式,AP管理功能将无法使用。
您可通过开启AP管理功能,集中管理接入的AP设备。
页面向导:AP管理→AP管理
|
启用AP管理功能。显示AP的详细信息,包括AP名称、AP序列号,型号等: · 通过<批量删除>按钮,可删除选中的AP · 通过<自动升级>按钮,可对AP的软件版本进行云升级 · 通过<收集日志&配置>按钮,可收集选中AP的日志和配置信息 · 通过<重启>按钮,可重启选中的AP · 通过<重置>按钮,可将选中的AP进行恢复出厂设置 · 通过<全部开灯>或<全部关灯>按钮,可打开或者关闭AP上的指示灯 |
|
|
修改AP信息: 1. 单击AP对应的操作列“编辑”图标,弹出修改AP信息对话框,您可以根据需要修改AP相关信息 2. 单击<确定>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表8-1 页面参数描述
|
页面参数 |
描述 |
|
AP管理 |
是否开启AP管理功能,若开启该功能,设备可以集中管理接入的AP设备 |
|
自动升级 |
通过云平台对AP版本进行升级。升级前,请确保设备与云平台已经连接 |
|
收集日志&配置 |
在列表中选择在线状态的AP,点击<收集日志&配置>按钮,可对选中AP的日志和配置进行收集 |
|
重启 |
在列表中选择在线状态的AP,点击<重启>按钮,可对选中的AP进行重启 |
|
重置 |
在列表中选择在线状态的AP,点击<重置>按钮,AP重启后将会以出厂设置上线,使用缺省的无线服务模板 |
|
AP名称 |
AP的名称 |
|
VLAN |
AP设备所属VLAN |
|
状态 |
是否开启2.4GHz和5GHz无线网络 |
|
Wi-Fi标准 |
设置2.4GHz和5GHz的Wi-Fi标准 |
|
信道 |
选择无线网络的工作信道 缺省为AUTO |
|
功率配置方式 |
选择2.4GHz和5GHz设置AP的功率配置方式,包含自动和手动设置 |
|
功率 |
天线在无线介质中所辐射的功率,即WLAN设备辐射信号的强度。射频功率越大,射频覆盖的范围越广,客户端在同一位置收到的信号强度越强 缺省为100% |
|
频宽(MHz) |
无线网络频段带宽 |
|
漫游灵敏度 |
设置调整终端发起漫游的信号强度门限值,用于调节终端漫游的难易程度。AP密集部署时,可以适当调高,反之调低。缺省值为2 |
AP版本管理功能可以帮助您升级AP的软件版本。
使用AP版本升级功能之前,请先将AP升级需要使用的软件版本上传到设备中。
页面向导:AP管理→AP版本管理
|
显示已上传的AP软件版本的信息 · 通过<版本上传>按钮,上传需要升级的软件版本 · 通过<版本升级>按钮,升级AP的软件版本 |
|
|
版本上传: 1. 单击<版本上传>按钮,弹出版本上传对话框,上传需要升级的软件版本和选择AP的型号 2. 单击<确定>按钮,完成配置 |
|
|
版本升级: 勾选软件版本号,单击<版本升级>按钮,进行版本升级 |
|
页面中各参数的含义如下表所示。
表8-2 页面参数描述
|
页面参数 |
描述 |
|
版本号 |
AP软件的版本号 |
|
适用设备型号 |
AP软件的适用AP型号 |
|
文件名称 |
AP软件版本的文件名称 |
|
文件大小 |
AP软件版本的文件大小 |
|
MD5 |
AP软件版本的MD5,用于确认版本的唯一性 |
|
版本描述 |
AP软件版本的描述信息 |
|
操作 |
单击“编辑”图标,可编辑对应的AP软件版本的信息;单击“删除”图标,可删除对应的AP软件版本 |
|
版本上传 |
从本地上传AP软件版本至设备 |
|
版本升级 |
在列表中选择需要升级的AP软件版本,点击<版本升级>按钮,可对适用该软件版本的AP进行软件升级 |
无线服务配置功能可用于设置无线服务模板,您可以通过该功能查看各无线服务模板的SSID、工作状态和加密情况,并可修改各服务模板的无线SSID、工作状态和密码。
设备默认情况下提供了七个无线服务模板,所有AP在设备集中管理时默认绑定前三个服务模板。
页面向导:AP管理→无线服务
|
隐藏AP管理Wi-Fi |
|
|
显示已有无线服务模板的信息,包括SSID信息、工作状态、加密情况 |
|
|
修改Wi-Fi配置: 1. 单击指定SSID对应的操作列编辑图标,在弹出的对话框中配置SSID、加密方式等参数 2. 单击<确定>按钮完成操作 |
|
|
将无线服务模板与AP进行绑定: 1. 单击指定SSID对应的AP绑定列<绑定>按钮,在弹出的对话框勾选需要绑定的AP 2. 单击<确认>按钮完成操作 |
|
页面中各参数的含义如下表所示。
表8-3 页面参数描述
|
页面参数 |
描述 |
|
SSID |
无线服务的SSID名称 |
|
工作状态 |
是否开启无线服务的工作状态。若开启该功能,与AP绑定后,无线用户可通过当前无线服务接入网络 缺省情况下第一个无线服务模板为开启状态,其余服务模板为关闭状态 |
|
加密类型 |
无线服务的加密方式,配置该参数时,可根据需要进行选择: · 不加密:不对无线信号加密; · WPA/WPA2(兼容模式):适用于包含旧设备(不支持WPA2的设备)的网络环境,提供基础安全性; · WPA2(推荐模式):广泛适用于大多数场景,确保安全性和兼容性; · WPA3(安全模式):适用于对安全性要求较高的环境 |
|
VLAN |
无线服务绑定的VLAN,缺省为1 |
|
生效射频 |
选择当前SSID的频段: · 若只勾选2.4GHz:将当前SSID设置为2.4G频段 · 若只勾选5GHz:将当前SSID设置为5G频段 · 若同时勾选2.4GHz和5GHz:当前SSID在2.4G和5G频段共用 |
|
MLO |
是否开启MLO(多链路操作)功能。开启后,设备可同时使用2.4GHz和5GHz两个频段进行数据传输,从而提高传输速率 |
|
用户限速 |
是否开启终端限速功能。若开启该功能,可以分别设置上行和下行的最大流量 · 上行:设置允许终端发送至设备的最大流量 · 下行:设置允许对设备发送至终端的最大流量 |
|
隐藏SSID |
选择是否隐藏当前SSID: · 若未勾选,当无线客户端搜寻本地可以接入的无线网络时,将检测到广播的SSID,从而可以建立连接 · 若勾选,管理员需要向客户端知会其SSID名称,客户端才可以根据SSID名称接入无线网络 |
|
绑定 |
在用户Wi-Fi配置列表处,在需要与Wi-Fi绑定的AP设备处,点击<绑定>按钮。勾选需要绑定的设备,点击<应用>按钮,即可完成AP设备和Wi-Fi的一键绑定 |
射频配置可对全局的2.4G和5G射频的Wi-Fi模式、最大终端数量等参数进行配置。
页面向导:AP管理→射频设置
|
修改2.4G/5G射频的Wi-Fi模式、最大终端数量等参数 |
|
页面中各参数的含义如下表所示。
表8-4 页面关键参数说明
|
关键参数 |
描述 |
|
Wi-Fi模式 |
选择Wi-Fi模式。可选“兼容模式”、“802.11ax(Wi-Fi6)”、“802.11be(Wi-Fi7)” |
|
最大终端数量 |
接入该射频的最大无线客户端数量。 全局无线配置是最大集,具体生效情况依据AP实际功能 |
本功能显示无线客户端的详细信息。
页面向导:AP管理→客户端列表
|
显示无线客户端的详细信息,包括MAC地址、IP地址等 |
|
页面中各参数的含义如下表所示。
表8-5 页面参数描述
|
页面参数 |
描述 |
|
客户端MAC地址 |
已接入AP的客户端MAC地址 |
|
客户端IP地址 |
已接入AP的客户端IP地址 |
|
客户端名称 |
已接入AP的客户端名称 |
|
客户端品牌 |
已接入AP的客户端品牌 |
|
AP MAC地址 |
接入AP的MAC地址 |
|
连接SSID |
客户端连接的无线信号名称 |
|
连接频段 |
客户端连接SSID的频段 |
|
发送速率 |
客户端发送数据的速率 |
|
连接时间 |
客户端接入AP的持续时间 |
用户隔离功能用于限制用户之间的直接通信,增强网络安全性和用户隐私保护。
· 开启用户隔离会隔离设备上终端之间的流量,达到保护用户隐私和减少网络中报文的目的。
· 允许转发MAC地址列表中的终端不受隔离,可以访问其他设备。
· 用户隔离可能会影响投屏或打印等依赖二层发现的业务。
页面向导:AP管理→用户隔离
|
配置用户隔离功能: 1. 开启用户隔离功能 2. 设置生效VLAN 3. 点击<应用>按钮,完成配置 |
|
|
配置允许转发MAC地址列表: 1. 点击<新增>按钮,在对话框中输入允许转发设备的MAC地址 2. 点击<确认>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表8-6 页面关键参数说明
|
关键参数 |
描述 |
|
用户隔离 |
启用后,将隔离设备上终端之间的流量,提高隐私并减少网络中报文传播 |
|
生效VLAN |
选择要应用用户隔离功能的VLAN。注意:请将生效VLAN的网关及DHCP服务器MAC地址加入允许转发列表,否则对应终端无法联网 |
|
允许转发MAC地址列表 |
允许转发MAC地址列表中的终端不受隔离,可以访问其他设备 |
|
操作 |
管理允许转发MAC地址列表数据。可对MAC地址数据进行修改和删除操作 |
通过配置黑名单/白名单,可控制对终端接入无线网络。
切换黑名单模式/白名单模式,会将当前在线终端下线,请谨慎操作。
页面向导:AP管理→黑白名单
|
对黑名单/白名单进行配置 |
|
|
在“无线黑/白名单列表”配置项处,单击“新增”,新增黑/白名单的MAC地址及备注信息 |
|
页面中各参数的含义如下表所示。
表8-7 页面关键参数说明
|
关键参数 |
描述 |
|
黑名单 |
禁止特定的MAC地址接入Wi-Fi上网 |
|
白名单 |
仅允许特定的MAC地址接入Wi-Fi上网 |
|
新增 |
新增黑名单/白名单的MAC地址及备注信息 |
|
编辑 |
修改黑名单/白名单的MAC地址及备注信息 |
|
批量删除 |
批量删除黑名单/白名单的MAC地址及备注信息 |
页面向导:AP管理→无线优化→智能网优
|
智能网优功能可自动调整无线设备的工作信道、功率或频宽参数,以确保无线服务处于最佳状态 |
|
页面中各参数的含义如下表所示。
表8-8 页面关键参数说明
|
关键参数 |
描述 |
|
智能网优 |
启用后,系统将自动分析网络情况并调整相关参数以优化性能 |
页面向导:AP管理→无线优化→漫游优化
|
对漫游功能进行优化 |
|
页面中各参数的含义如下表所示。
表8-9 页面关键参数说明
|
关键参数 |
描述 |
|
漫游优化 |
设备将进行扫描来获取潜在的漫游邻居,帮助终端更及时、精确地漫游 |
|
漫游门限 |
调节终端漫游的灵敏程度。它能够调整终端发起漫游的信号强度门限值。在密集部署情况下,可以适当提高漫游灵敏度;相反,在稀疏部署情况下,可以降低漫游灵敏度 |
|
推荐 |
漫游门限的推荐配置 |
页面向导:AP管理→无线优化→弱信号终端策略
|
对无线弱信号进行优化 |
|
页面中各参数的含义如下表所示。
表8-10 页面关键参数说明
|
关键参数 |
描述 |
|
弱信号终端策略 |
对无线弱信号进行优化 |
|
禁止弱信号接入门限 |
设置禁止弱信号接入的门限值。未接入无线服务的客户端,信号强度低于门限值时,将无法接入;门限值过大会导致客户端接入困难 |
|
弱信号重关联门限 |
设置弱信号重关联门限值。已接入无线服务的客户端,信号强度低于门限值时,将被踢下线 某些特殊客户端在多次被踢下线后会出现无法接入的现象,此类客户端场景下请谨慎开启本功能 |
页面向导:无线管理→无线优化→5G优先
|
选择开启或关闭“5G优先”功能 |
|
页面中各参数的含义如下表所示。
表8-11 页面关键参数说明
|
关键参数 |
描述 |
|
5G优先 |
开启本功能后,终端将被引导优先接入5G频段,以获得更好的用户体验 |
带宽管理功能用于对流量进行管理,管理员可基于地址组和时间组等限制条件对用户流量进行精细控制。对于需要进行限速的报文,例如占用大量带宽的P2P下载报文,可选择开启限制通道功能,来限制其带宽。对于需要保证时延的交互性应用流量,可选中开启绿色通道功能来保证其带宽。
· 一般应用场景下,可以把游戏报文、交互报文等对时延要求较高的应用流量通过绿色通道转发,把BT等对系统转发影响较大的P2P流量通过限制通道转发。其余流量会自动通过正常通道转发。
· 数据包匹配的优先级顺序如下:
¡ 如果流量符合绿色通道的规则,则进入绿色通道进行处理。
¡ 如果不符合绿色通道但符合限制通道的规则,则进入限制通道进行处理。
¡ 如果绿色通道和限制通道的规则都不符合,则进入正常通道(IP流量限制通道)发送,受到IP限速规则的限制。
· 配置的流量上限值是指所有进入限制通道的流量之和。
· 绿色通道识别流量时,如果数据包长度选择和端口选择同时启用,则符合其中一项即识别成功,并且数据包长度选择优先起作用。
页面向导:行为管理→带宽管理→IP限速
|
本页面为您提供如下主要功能: · 显示已添加的宽带管理信息 · 新增带宽管理 · 修改/删除已添加的带宽管理 |
|
|
新增带宽管理: 1. 单击<新增>按钮,弹出新增对话框,设置应用接口、用户范围、当前线路上/下行带宽、上传/下载带宽、流量分配、限制时段等参数信息 2. 点击<确认>按钮,完成配置 |
|
|
修改/删除带宽管理: 点击列表操作栏的“编辑”、“删除”图标,可对该表项进行修改和删除操作 |
|
页面中各参数的含义如下表所示。
表9-1 页面关键参数说明
|
关键参数 |
描述 |
|
应用接口 |
报文的来源接口,即规则对从某一接口收到的数据包进行控制 |
|
用户范围 |
规则需要控制的地址组。配置该参数时,需选择已创建的地址组。如需新增地址分组,可点击<添加>按钮创建新的地址组 |
|
当前线路上行带宽 |
设置当前线路的上行带宽 |
|
当前线路下行带宽 |
设置当前线路的下行带宽 |
|
上传带宽 |
地址组内的用户上传方向的最大带宽值 |
|
下载带宽 |
地址组内的用户下载方向的最大带宽值 |
|
流量分配 |
流量的分配方式: · 共享式:指定地址组内的所有终端共享给定的带宽 · 独占式:指定地址组内的每台终端各自占有给定的带宽(即流量上限) |
|
弹性共享 |
用户实际流量带宽超过流量限制配置的带宽时,需限制线路带宽。流量分配选择共享式时需设置弹性共享线路带宽,即最大可以共享当前线路上下行带宽的百分比 |
|
限制时段 |
IP限速的生效时间段,可选择: · 所有时段 · 选择已创建的时间组。如需新增时间组,可点击<添加>按钮创建新的时间组 |
页面向导:行为管理→带宽管理→限制通道
|
设置限制通道: · 启用限制通道功能,设置每接口上下行最大流速和应用组信息 · 单击<应用>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表9-2 页面关键参数说明
|
关键参数 |
描述 |
|
限制通道 |
是否开启限制通道流速上限功能。若开启该功能,设备将按照配置的规则进行工作。缺省关闭功能限制通道流速上限功能 |
|
每接口上行最大流速 |
各接口允许报文上行通过的最大数据流量。如果已设置线路N的上行带宽,则每接口上行最大流速需要小于或等于线路N上行带宽的最小值 |
|
每接口下行最大流速 |
各接口允许报文下行通过的最大数据流量。如果已设置线路N的下行带宽,则每接口下行最大流速需要小于或等于线路N下行带宽的最小值 |
|
选择应用组 |
匹配通道流速上限限制的应用组。配置该参数时,需选择已创建的应用组。如需新增应用组,可通过点击<增加>图标按钮,添加新的应用组 |
页面向导:行为管理→带宽管理→绿色通道
|
设置绿色通道: · 启用绿色专用通道功能,配置线路的上下行带宽、流量数据包的最大长度和应用组信息 · 单击<应用>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表9-3 页面关键参数说明
|
关键参数 |
描述 |
|
绿色专用通道 |
是否开启绿色专用通道功能。若开启该功能,该通道中的业务数据流将保证使用设定的带宽值 |
|
限制绿色通道流速上限 |
报文通过绿色通道的流速上限。可根据需要配置该参数,若开启该功能,则设置各线路的上下行最大流速,为交互性应用流量提供带宽保障 |
|
匹配绿色通道数据包长度选择 |
报文通过绿色通道的最大长度,可根据需要配置该参数。若开启该功能,路由器会根据设置的报文长度来识别报文,小于该长度的报文将通过绿色专用通道转发 |
|
选择应用组 |
绿色专用通道限制规则需要控制的应用组。配置该参数时,需选择已创建的应用组。如需新增应用组,可通过点击<增加>图标按钮,添加新的应用组 |
上网行为管理功能基于地址组、时间组以及应用等控制条件对用户的上网行为进行精细的管理。
页面向导:行为管理→上网行为管理→应用控制
|
本页面为您提供如下主要功能: · 开启应用控制 · 显示已添加的应用控制 · 新增应用控制 · 修改/删除已添加的应用控制 |
|
|
新增应用控制: 1. 单击<新增>按钮,配置策略名称、用户范围、限制时段和网络应用信息 2. 点击<应用>按钮,完成配置 |
|
|
修改/删除应用控制: 点击列表操作栏的“编辑”、“删除”图标,可对该表项进行修改和删除操作 |
|
页面中各参数的含义如下表所示。
表9-4 页面关键参数说明
|
关键参数 |
描述 |
|
开启应用控制 |
是否开启应用控制功能。若开启该功能,设备将按照配置的应用控制策略及规则进行工作。缺省关闭应用控制功能 |
|
策略名称 |
应用控制策略的名称 |
|
用户范围 |
策略需要控制的地址范围。配置该参数时,需选择已创建的地址组。如需新增地址分组,可通过点击右侧<新增地址组>按钮创建新的地址组 |
|
限制时段 |
规则的生效时间。配置该参数时,可选择所有时段,或选择已创建的时间组。如需新增时间组,可通过点击右侧的<新增时间组>按钮创建新的时间组 |
|
应用控制 |
策略需要控制的网络应用,并配置对该应用的访问控制的动作,主要分为: · 阻断:表示阻断用户对此应用的访问 · 不阻断不限速:表示不限制用户对此应用的访问 · 限速:表示对用户访问此应用进行限速,并可设置单个用户的最大上行带宽和最大下行带宽 |
|
操作 |
可对该策略进行编辑或者删除操作 |
当管理员仅允许用户访问指定网址或禁止用户访问指定网址时,可通过配置网址控制功能实现。
(1) 开启网址拒绝模式后,设备会禁止指定的用户在指定的时间段内访问自定义网址分类中指定的网址;对于不在网址分类中的网址,则可以正常访问。
假设管理员创建一个网址拒绝名单,其网址分类的名称为网址组A,地址组的名称为用户组A。用户的匹配规则如下:
¡ 如果用户User1属于用户组A,则用户User1不允许访问网址组A中的网址;
¡ 如果用户User2不属于用户组A,则用户User2允许访问任何网址。
(2) 开启网址允许名单模式后,设备只允许指定的用户在指定的时间段内访问自定义网址分类中指定的网址;对于不在网址分类中的网址,则无法访问。
假设管理员创建如下两个网址允许名单:
¡ 允许名单A:网址分类的名称为网址组A,地址组的名称为用户组A;
¡ 允许名单B:网址分类的名称为网址组B,地址组的名称为用户组B。
用户的匹配规则如下:
¡ 如果用户User1同时属于用户组A和用户组B,则用户User1只允许访问网址组A和网址组B中的网址;
¡ 如果用户User2仅属于用户组A,则用户User2只允许访问网址组A中的网址;
¡ 如果用户User3既不属于用户组A也不属于用户组B,则用户User3不允许访问任何网址。
(3) 配置网址关键字时,如需精确匹配网址,则关键字不加通配符*,例如www.baidu.com;如需模糊匹配网址,则关键字添加通配符*,例如*.baidu.com、www.baidu*或*baidu*;如需配置所有网址,则关键字设置为*.*。注意通配符不能配置在字符串中间或者只配置通配符,例如aaa*11和*,否则会导致配置无法下发。
页面向导:行为管理→上网行为管理→网址控制
|
本页面为您提供如下主要功能: · 开启网址控制功能 · 设置管理模式 · 新增自定义网址分类 · 删除已添加的网址分类 · 导入自定义网址列表 |
|
|
设置管理模式: 1. 选择“拒绝模式”或“允许模式” 2. 单击<应用>按钮,完成配置 |
|
|
新增自定义网址分类: 1. 单击<新增>按钮,在弹出的对话框中设置网址组名称、地址组和时间组 2. 点击新建网址组对应的详情图标,在弹出设置网址关键字对话框中配置网址关键字 3. 单击<确认>按钮,完成配置 |
|
|
修改/删除网址组: 点击列表操作栏的“编辑”、“删除”图标,可对该表项进行修改和删除操作 |
|
|
导入自定义网址列表 1. 点击新建网址分类对应的导入图标,弹出导入自定义网址列表对话框。点击<上传文件>按钮,选择需导入的自定义网址列表 2. 点击<导入>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表9-5 页面关键参数说明
|
关键参数 |
描述 |
|
网址控制 |
是否开启网址控制功能。若开启该功能,设备根据配置的管理模式生效。允许或禁止指定用户在指定时段访问指定网址 |
|
管理模式 |
设置管理模式。根据实际需求进行选择: · 允许:指定用户仅在指定时段访问指定网址,其它网址禁止访问。 · 禁止:指定用户在指定时段禁止访问指定网址,其它网址可正常访问。 |
|
网址组 |
设置网址组的名称 |
|
地址组 |
策略需要控制的地址范围。选择策略需要控制的IP地址组。若需添加新的地址组,点击<增加>按钮,添加新的地址组 |
|
时间组 |
规则的生效时间。选择策略需要控制的生效时间。若需添加新的时间组,点击<增加>按钮,添加新的时间组 |
|
操作 |
可对该条策略进行如下操作: · 编辑:修改此条策略。 · 详情:设置网址关键字。点击<增加>图标按钮,新增关键字;点击<删减>图标按钮,删除该条关键字。 · 导入:若自定义网址分类策略数量过多,可先导出.CSV格式的自定义网址列表,填好策略后,再导入设备中。 · 导出:导出.CSV格式的自定义网址列表。 · 删除:删除此条策略。 |
|
网址关键字 |
策略的网址关键字。点击网址控制策略对应的操作列详情图标,在弹出的设置网址关键字对话框中,可设置网址关键字。范围1-63个字符,可输入英文字母、数字,以及特殊字符(除/ \'"<>;&`:和空格以外),英文字母不区分大小写 关键字不加通配符*时,网址控制策略将根据关键字做精确匹配,例如www.baidu.com;关键字添加通配符*时,网址控制策略将根据关键字做模糊匹配,例如*.baidu.com、www.baidu*或*baidu*;关键字设置为*.*时,表示关键字匹配所有网址 |
文件控制功能仅能控制用户使用HTTP协议下载不同类型的文件,且仅对HTTP协议默认的80和8080端口生效。
支持文件下载控制需要满足以下两个条件:
· URL字段长度小于512字节。
· 使用HTTP Get方法,文件类型必须在URL的尾部,如http://serveraddr.com?filename=xxx.txt。
页面向导:行为管理→上网行为管理→文件控制
|
本页面为您提供如下主要功能: · 开启文件控制 · 添加禁止下载的文件类型 · 修改/删除已添加的文件控制表项 |
|
|
新增文件控制: 1. 单击<新增>按钮,弹出添加文件控制对话框,输入文件类型和描述信息 2. 点击<确认>按钮,完成配置 |
|
|
修改/删除文件控制类型: 点击列表操作栏的“编辑”、“删除”图标,可对该表项进行修改和删除操作 |
|
表9-6 页面参数描述
|
页面参数 |
描述 |
|
文件控制 |
是否开启文件控制功能。若开启该功能,设备将按照配置的文件控制策略及规则进行工作。缺省开启文件控制功能 |
|
文件类型 |
不允许下载的文件后缀类型。例如.jpg |
|
描述 |
策略的描述信息,可对策略进行简单的描述,方便使用 |
|
操作 |
可对该策略进行编辑或者删除操作 |
(1) 管理员需要通过网络应用使用的报文特征来限制用户使用的网络应用时,可以添加自定义网络应用,并将其添加到应用控制策略中。
(2) 添加自定义网络应用后,需要在“应用控制”页签添加应用控制策略时,选择已添加的自定义网络应用,才能实现生效。
(3) 自定义网络应用被添加到应用控制策略后,自定义网络应用不允许删除。
(4) 在添加自定义网络应用时,建议只输入受限制网址的域名,避免输入资源路径,以免影响应用控制功能。
页面向导:行为管理→上网行为管理→自定义网络应用
|
本页面为您提供如下主要功能: · 显示已添加自定义网络应用的详细信息 · 添加自定义网络应用 · 修改/删除已添加的自定义网络应用 · 导入自定义网络应用列表 |
|
|
新增自定义网络应用: 1. 单击<添加>按钮,弹出添加自定义网络应用对话框,输入应用名称、描述信息、协议类型、目的端口等参数信息 2. 点击<应用>按钮,完成配置 |
|
|
修改/删除自定义网络应用: 点击列表操作栏的“编辑”、“删除”图标,可对该表项进行修改和删除操作 |
|
表9-7 页面参数描述
|
页面参数 |
描述 |
|
应用名称 |
自定义网络应用的名称 |
|
描述 |
规则的描述信息,可对规则进行简单的描述,方便使用 |
|
协议类型 |
该网络应用支持的协议类型,包括:TCP、UDP、HTTP、HTTPS和SSL 当协议类型为TCP、UDP时,报文特征为必填项;当协议类型为SSL时,目的端口和HOST为必填项 |
|
报文方向 |
报文的转发方向,主要分为: · 客户端:表示设备发送的报文 · 服务器:表示设备接收的报文 · 任意:选择“任意”时,表示设备接收的所有报文 |
|
目的端口 |
该网络应用的目的端口号 |
|
报文长度 |
该网络应用的报文长度 |
|
目的IP |
该网络应用的目的IP地址 |
|
报文特征 |
根据报文结构自定义网络应用的报文特征,主要包括: · 报文特征:自定义TCP、UDP协议报文中的特征 · URL:自定义HTTP协议报文中URL信息的特征 · HOST:自定义HTTP、HTTPS和SSL协议报文中HOST信息的特征 · UserAgent:自定义HTTP协议报文中UserAgent信息的特征 · Referer:自定义HTTP协议报文中Referer信息的特征 · Body:自定义HTTP协议报文中Body信息的特征 报文特征不支持输入“和{}字符,设置完成后,单击“>”按钮,将设置的报文特征添加到右侧方框中 |
|
管理状态 |
策略的开启或关闭状态 |
|
操作 |
可对该策略进行编辑或者删除操作 |
审计日志功能用于对上网行为管理中的应用控制和网址控制的日志进行审计,并将日志发送到指定的服务器上。
对上网行为管理中应用控制功能的日志进行审计。
页面向导:行为管理→审计日志→应用审计日志
|
本页面为您提供如下主要功能: · 开启审计日志功能 · 清除日志:点击<清除日志>按钮,在确认提示框中,点击<确认>按钮,清除所有的日志 · 导出日志:点击<导出日志>按钮,将日志导出至本地 |
|
表9-8 页面参数描述
|
页面参数 |
描述 |
|
用户名/IP地址 |
触发应用控制规则的用户名或IP地址 |
|
应用类型 |
触发应用控制规则的网络应用 |
|
日期和时间 |
日志生成时的日期和具体时间 |
|
计数 |
生成此类日志的总数 |
|
动作 |
应用控制策略对需要控制的报文的执行动作,主要分为: · 阻断:表示策略拒绝报文通过,并记录日志 · 限速:表示策略限速报文通过,并记录日志 |
对上网行为管理中网址控制功能的日志进行审计。
在开启网址过滤日志功能之前,需要先在上网行为管理中开启网址控制功能。
页面向导:行为管理→审计日志→网址过滤日志
|
本页面为您提供如下主要功能: · 开启网址过滤日志功能 · 清除日志:点击<清除日志>按钮,在确认提示框中,点击<确认>按钮,清除所有的日志 · 导出日志:点击<导出日志>按钮,将日志导出至本地 |
|
表9-9 页面参数描述
|
页面参数 |
描述 |
|
用户名/IP地址 |
触发应用控制规则的用户名或IP地址 |
|
目标网址 |
网址过滤规则中被禁止访问的网址 |
|
网址分类 |
目标网址的所属类别,例如:搜索门户等 |
|
日期和时间 |
日志生成时的日期和具体时间 |
|
计数 |
生成此类日志的总数 |
|
动作 |
应用控制策略对需要控制的报文的执行动作,主要分为: · 阻断:表示策略拒绝报文通过,并记录日志 · 允许:表示策略允许报文通过,并记录日志 |
将审计日志发送到指定的服务器。
审计服务器的IP地址需要与当前路由器的IP地址互通。
页面向导:行为管理→审计日志→审计服务器
|
设置审计服务器: 1. 启用发送审计日志到服务器的功能,设置审计服务器地址和端口号 2. 单击<应用>按钮,完成配置 |
|
表9-10 页面参数描述
|
页面参数 |
描述 |
|
审计服务器 |
接收审计日志的指定服务器。若开启此功能,应用审计日志和网址过滤日志将会发送到此服务器 |
|
审计服务器地址 |
审计日志的服务器的IP地址或域名地址 |
|
端口 |
接收审计日志的服务器的端口号 |
地址组是一组用户主机名或IP地址的集合。每个地址组中可以添加若干成员,成员的类型包括IP地址和IP地址段。如果某些业务(例如带宽管理)需要使用地址组来识别用户报文,则需要提前配置符合业务需求的地址组。
· 添加到地址组中的IP地址只支持IPv4地址格式,不支持IPv6地址格式。
· 添加到地址组中的IP地址段的起始地址必须小于结束地址。
· 单个IP地址段内的IP地址数量不能超过256个,且不能存在不合理的IP地址。
页面向导:行为管理→模板管理→地址组
|
本页面为您提供如下主要功能: · 显示已添加的地址组详细信息 · 新增地址组 · 修改/删除已添加的地址组 |
|
|
新增地址组: 1. 单击<新增>按钮,弹出新增地址组对话框,输入地址组的名称、描述信息、IP地址等参数信息 2. 点击<确认>按钮,完成配置 |
|
|
修改/删除已添加的地址组: 点击列表操作栏的“编辑”、“删除”图标,可对该表项进行修改和删除操作 |
|
页面中各参数的含义如下表所示。
表9-11 页面关键参数说明
|
关键参数 |
描述 |
|
地址组名称 |
一组用户主机名或IP地址集合的名称。配置该参数时,该名称可以提示用户该地址组中的地址特征。地址组名称不支持命名为any(不区分大小写) |
|
描述 |
地址组的描述信息,可对地址组进行简单的描述,方便使用 |
|
IP地址 |
添加到地址组的单个IP地址,手动输入IPv4格式地址。 点击右侧的<添加>图标按钮,可添加多个IP地址;点击右侧的<删除>图标按钮,可删除该IP地址 |
|
IP地址段 |
添加到地址组中的IP地址段,手动输入起始IP地址和结束IP地址。 点击右侧的<添加>图标按钮,可添加多个IP地址段;点击右侧的<删除>图标按钮,可删除该IP地址段 |
|
排除地址 |
地址组中需排除的IP地址。手动输入需要排除的IPv4格式地址。 点击右侧的<添加>图标按钮,可添加多个需排除的IP地址;点击右侧的<删除>图标按钮,可删除该需要排除的IP地址 |
如果您希望设备上的某些功能(例如带宽管理)仅在特定时间生效,而其它时间不生效,可以创建一个时间组,并在配置相关功能时引用时间组。
一个时间组中可以配置一个或多个时间段。时间段的生效时间有如下两种方式:
· 周期性生效:以周作为周期,循环生效。例如,每周一的8至12点。
· 非周期生效:在指定的时间范围内生效。例如,2015年1月1日至2015年1月3日每天的8点至18点。
· 最多可以创建64个不同名称的时间组。
· 一个时间组内最多可以配置16个周期性生效的时间段或16个非周期生效的时间段。
页面向导:行为管理→模板管理→时间组
|
本页面为您提供如下主要功能: · 显示已添加的时间组详细信息 · 新增时间组 · 修改/删除已添加的时间组 |
|
|
新增时间组: 1. 单击<新增>按钮,弹出新增时间组对话框,输入时间组的名称、生效时间等参数信息 2. 点击<确认>按钮,完成配置 |
|
|
修改/删除已添加的时间组: 点击列表操作栏的“编辑”、“删除”图标,可对该表项进行修改和删除操作 |
|
页面中各参数的含义如下表所示。
表9-12 页面关键参数说明
|
关键参数 |
描述 |
|
时间组名称 |
特定时间段的名称。配置该参数时,该名称可以提示用户该时间段中的时间段特征。时间组名称不支持命名为any(不区分大小写)。 |
|
生效时间 |
该时间组的生效时间,可根据需要进行选择: · 周期性时间:以周作为周期,循环生效。配置该参数时,选择每周需要生效的具体星期,并在时间处设置每天的具体生效时间。 · 非周期性时间:在指定的时间范围内生效。在日期和时间处设置具体时间即可。 · 点击<添加>图标按钮,可添加多个时间组;点击<删除>图标按钮,删除该条时间组。 |
对特定的应用协议和端口号进行严格的带宽管理。
自定义应用创建完成后,需要将其添加到“应用组”中,并在配置带宽管理时引用对应的应用组,才能实现对特性应用的带宽管理。
页面向导:行为管理→模板管理→自定义应用
|
本页面为您提供如下主要功能: · 显示已添加应用的详细信息 · 新增应用 · 修改/删除已添加的应用 |
|
|
新增应用: 1. 单击<新增>按钮,弹出新增应用对话框,输入应用名称、应用协议、端口号等参数信息 2. 点击<确认>按钮,完成配置 |
|
|
修改/删除已添加的应用: 点击列表操作栏的“编辑”、“删除”图标,可对该表项进行修改和删除操作 |
|
页面中各参数的含义如下表所示。
表9-13 页面关键参数说明
|
关键参数 |
描述 |
|
应用名称 |
特定应用的名称 |
|
应用协议 |
应用使用的协议类型,配置该参数时,可根据需要进行选择: · 若应用为TCP报文,则选择“TCP”或“UDP” · 若应用为UDP报文,则选择“TCP”或“UDP” · 若应用为TCP和UDP报文,则选择“TCP+UDP” |
|
端口号 |
应用实际使用的端口号 |
|
描述信息 |
配置的描述信息,可对配置进行简单的描述,方便使用 |
|
操作 |
可对该配置进行编辑或者删除操作 |
通过对自定义应用进行分组,实现对一组自定义应用进行严格的带宽管理。
应用组创建完成后,在配置带宽管理时引用应用组,才能实现对特定的一组自定义应用进行带宽管理。
页面向导:行为管理→模板管理→应用组
|
本页面为您提供如下主要功能: · 显示已添加应用组的详细信息 · 新增应用组 · 修改/删除已添加的应用组 |
|
|
新增应用组: 1. 单击<新增>按钮,弹出新增应用组对话框,输入应用组名称、选择应用 2. 点击<确认>按钮,完成配置 |
|
|
修改/删除已添加的应用组: 点击列表操作栏的“编辑”、“删除”图标,可对该表项进行修改和删除操作 |
|
页面中各参数的含义如下表所示。
表9-14 页面关键参数说明
|
关键参数 |
描述 |
|
应用组名称 |
一组特定应用集合的名称。配置该参数时,该名称可以提示用户该应用组中的应用组特征。 |
|
选择应用 |
设备上已创建的所有应用 |
|
描述 |
该应用组的描述信息,可对应用组进行简单的描述,方便使用 |
|
操作 |
可对该配置进行编辑或者删除操作 |
终端管理功能可控制终端设备的接入情况,并灵活管理终端设备上网时间,以提高网络资源的利用效率和安全性。
页面向导:终端管理→终端列表
|
本页面为您提供如下主要功能: · 显示已接入的终端信息 · 设置终端限速 · 拉黑终端 |
|
|
设置终端限速: 1. 单击终端列表右侧的<终端限速>按钮,在弹出对话框中开启终端限速,并设置上传/下载带宽 2. 点击<应用>按钮,完成配置 |
|
|
拉黑终端: 1. 单击终端列表右侧的<拉黑>按钮,在弹出对话框中设置拉黑时间 2. 点击<应用>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表10-1 页面关键参数说明
|
关键参数 |
描述 |
|
流量开关 |
开启后,页面会显示接入终端的流量信息。此功能会消耗设备一定资源,请谨慎开启 |
|
基础信息 |
接入终端的名称、IP地址和MAC地址。点击<编辑>图标按钮,可修改终端名称 |
|
状态 |
终端设备接入状态,包含“离线”、“在线”。 当设备断开网络连接后,系统将在3~5分钟后将该终端设备标记为“离线” |
|
上行/下行流速 |
接入终端的上行/下行流量速率 |
|
网络连接数(TCP/UDP/其他) |
终端连接网络的会话数。主要分为: · 若终端传输的是TCP报文,则页面显示TCP报文的网络连接数。 · 若终端传输的是UDP报文,则页面显示UDP报文的网络连接数。 · 若终端传输的是其他报文,则页面显示其他报文的网络连接数。 |
|
接入方式 |
终端接入网络使用的方式,可根据需要进行选择: · 有线终端:终端设备使用网线连接的方式接入设备。 · 无线终端:终端设备通过无线方式连接设备的Wi-Fi网络 |
|
接入VLAN |
终端接入网络使用的设备接口,例如VLAN1 |
|
在线时长 |
终端接入网络的时长 |
|
上线/下线时间 |
终端设备接入和断开的时间 |
|
当日总流量 |
接入终端的当日总传输流量 |
|
操作 |
可对在线终端进行限速和拉黑,对离线终端进行删除操作。 · 终端限速:开启终端限速功能,设置终端的上传带宽和下行带宽。 · 拉黑:拉黑终端用户。设置拉黑时间,在该段时间内该终端无法访问互联网。 · 删除:在离线的终端设备列表处,点击<删除>图标按钮,即可删除该条数据。 |
页面向导:终端管理→终端控制→终端上网控制
|
本页面为您提供如下主要功能: · 显示已接入的终端信息 · 设置终端定时上网 |
|
|
设置定时上网: 1. 单击终端列表右侧的<定时上网>按钮,弹出对话框,设置定时上网时间,该终端只能在添加的时间段内上网 2. 点击<确认>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表10-2 页面关键参数说明
|
关键参数 |
描述 |
|
终端名称 |
终端设备名称 |
|
状态 |
终端设备接入状态,包含“离线”、“在线” |
|
IP地址 |
终端设备的IP地址 |
|
终端MAC |
终端设备的MAC地址 |
|
允许上网时间 |
显示在操作处设置的定时上网时间,终端设备仅在规定的时间内允许上网 |
|
操作 |
可对终端设备进行定时上网和数据删除操作 · 定时上网:点击<定时上网>图标按钮,设置允许上网的星期、具体开始时间和具体结束时间。 ¡ 点击<新增>按钮,增加定时上网时间段; ¡ 点击<删除>图标按钮,可删除该上网时间段。 · 删除:在离线的终端设备列表处,点击<删除>图标按钮,即可删除该条数据 |
终端接入控制功能可以同时对数据报文中的源MAC地址和源IP地址进行匹配,只有源MAC地址和源IP地址同时匹配的设备,才允许访问外网。
页面向导:终端管理→终端控制→终端接入控制
|
本页面为您提供如下主要功能: · 设置终端接入控制 · 显示终端接入网络的方式 |
|
页面中各参数的含义如下表所示。
表10-3 页面关键参数说明
|
关键参数 |
描述 |
|
仅允许DHCP服务器分配的客户端访问外网 |
若开启此功能,用户可以指定仅允许DHCP服务器分配的客户端访问外网,使用此功能后不在DHCP Server分配的客户列表中的客户端将无法访问外网 设置完成,需单击<应用>按钮,使配置生效 |
|
仅允许ARP静态绑定的用户访问外网 |
若开启此功能,用户可以指定仅允许ARP静态绑定规则表中的客户端访问外网,使用此功能后不在ARP静态绑定规则表中的客户端将无法访问外网 设置完成,需单击<应用>按钮,使配置生效 |
|
IP地址 |
策略控制的IP地址 |
|
MAC地址 |
策略控制的MAC地址 |
|
终端类型 |
用户接入网络的控制方式,主要分为: · DHCP动态分配:表示允许DHCP服务器动态分配的客户端访问外网 · DHCP静态分配:表示允许DHCP服务器静态分配的客户端访问外网 · ARP静态绑定:表示允许ARP静态绑定规则表中的客户端访问外网 |
防火墙功能是通过一系列的安全规则匹配网络中的报文,并执行相应的动作,从而达到阻断非法报文传输、正常转发合法报文的目的,为用户的网络提供一道安全屏障。
· 当报文匹配到一个防火墙安全规则后,则不会继续向下匹配,所以请合理安排安全规则的优先级,避免报文匹配错误的规则而导致执行相反动作。
· 当缺省过滤规则设置为允许时,用户不需要配置任何安全规则,接入当前设备的所有终端都可以相互访问,且可以访问外网。
· 当缺省过滤规则设置为允许时,如果用户需要限制指定终端的访问特定外网的权限,可根据需求配置指定的VLAN接口与WAN接口之间的安全规则;如果用户需要限制指定终端访问其它VLAN下终端的权限,可根据需求配置指定的VLAN接口到VLAN接口的安全规则。
· 当缺省过滤规则设置为禁止时,如果用户未配置任何安全规则,所有终端不能访问外网,不同VLAN下的终端不能相互访问。
· 当缺省过滤规则设置为禁止时,如果用户需要允许指定终端可以访问特定外网,则需要根据需求配置指定VLAN接口与WAN接口之间的安全规则,且必须配置双向规则,即出站方向和入站方向各一条。如果用户需要让指定终端能够访问其它VLAN下的终端,则需要配置指定本端VLAN接口与对端VLAN接口之间的安全规则,且必须配置双向规则。
页面向导:网络安全→防火墙
|
本页面为您提供如下主要功能: · 开启或关闭防火墙 · 设置缺省过滤规则 · 新增安全规则 · 修改/删除安全规则 · 显示已创建的安全规则信息 |
|
|
开启/关闭防火墙功能 |
|
|
设置缺省过滤规则 |
|
|
新增安全规则: 1. 单击<新增>按钮,弹出新增对话框,配置接口、方向、协议等参数信息 2. 单击<确认>按钮,完成配置 |
|
|
修改/删除安全规则: 点击列表操作栏的“编辑”、“删除”图标,可对该表项进行修改和删除操作 |
|
表11-1 页面参数描述
|
关键参数 |
描述 |
|
开启防火墙 |
是否开启防火墙功能。若开启该功能,设备将按照配置的防火墙及规则进行工作 缺省情况下为关闭状态 |
|
缺省过滤规则 |
对未匹配任何规则报文的处理方式,即当一个报文在未匹配任何规则时,设备对该报文的执行动作,可根据需要进行选择: · 允许:所有终端可互通和上网,需配置规则限制特定访问 · 禁止:所有访问被阻断,需配置双向安全规则放行制定外网或跨VLAN通信 |
|
接口 |
报文的来源接口,即规则对从某一接口收到的数据包进行控制 |
|
方向 |
显示安全规则的方向,包括入站方向和出站方向。 当接口为WAN接口时,安全规则的方向为入站方向,即控制从公网侧进入设备的流量 当接口为VLAN接口时,安全规则的方向为出站方向,即控制从内网侧进入进入设备的流量 |
|
协议 |
规则需要控制的报文协议类型。配置该参数时,可根据需要进行选择: · 若需控制某传输层协议的报文,则选择“TCP”或“UDP” · 若需控制Ping、Tracert等ICMP协议报文,则选择“ICMP” · 若需控制所有协议报文,则选择“所有协议” |
|
源地址分组 |
规则需要控制的源IP地址范围。配置该参数时,需选择已创建的地址组。如需新增地址分组,可点击<添加>按钮创建新的地址组 |
|
目的地址分组 |
规则需要控制的目的IP地址范围。配置该参数时,需选择已创建的地址组。如需新增地址分组,可点击<添加>按钮创建新的地址组 |
|
目的端口范围 |
规则需要控制的目的端口号范围。配置该参数时,起始端口号不能大于结束端口号 |
|
规则生效时间 |
规则的生效时间。配置该参数时,需选择已创建的时间组。如需新增时间组,可点击<添加>按钮创建新的时间组 |
|
动作 |
规则对需要控制的报文的执行动作,主要分为: · 允许:表示规则允许报文通过 · 拒绝:表示规则拒绝报文通过 |
|
优先级 |
系统默认按照规则的创建顺序以5为步长依次分配优先级,即先创建的规则优先级高。 用户也可以自定义规则的优先级,数值越小则优先级越高 |
|
描述 |
规则的描述信息,可对规则进行简单的描述,方便使用 |
ARP协议本身存在缺陷,攻击者可以轻易地利用ARP协议的缺陷对其进行攻击。ARP攻击防御技术提供了多种ARP攻击防御技术对局域网中的ARP攻击和ARP病毒进行防范、检测和解决。
本功能包括动态ARP表项管理功能和ARP扫描、固化功能。ARP扫描、固化功能即对局域网内的用户进行自动扫描,并将生成的动态ARP表项固化为静态ARP表项。建议环境稳定的小型网络(如网吧)中配置本功能。先配置ARP扫描、固化功能,再关闭动态ARP表项学习功能,可以防止设备学习到错误的ARP表项。
页面向导:网络安全→ARP安全→ARP动态管理
|
本页面为您提供如下主要功能: · 显示指定接口的动态ARP信息 · 删除指定的动态ARP · 扫描指定接口、指定IP地址范围内的动态ARP · 固化动态ARP |
|
|
删除指定的动态ARP: 1. 勾选动态ARP列表中的指定选项,单击<删除>按钮,弹出确认提示对话框 2. 单击<确认>按钮,完成配置 |
|
|
扫描指定接口、指定IP地址范围内的动态ARP: 1. 单击<扫描>按钮,弹出扫描对话框,选择指定接口,输入指定的IP地址范围 2. 单击<确认>按钮,完成配置 |
|
|
固化指定的动态ARP: 1. 勾选动态ARP列表中的指定选项 2. 单击<固化>按钮,完成配置 |
|
表11-2 页面参数描述
|
页面参数 |
描述 |
|
IP地址 |
该动态ARP信息中的IP地址 |
|
MAC地址 |
该动态ARP信息中的MAC地址 |
|
类型 |
该动态ARP信息的所属类型,主要分为: · 未绑定:表示该条表项为动态学习到的ARP表项 · 动态绑定:表示该条表项为对DHCP分配的地址进行ARP保护时自动进行了绑定 |
|
VLAN |
该动态ARP信息的所属VLAN |
|
接口 |
该动态ARP信息的所属接口 |
|
操作 |
可对此动态ARP信息进行编辑操作 |
本功能包括静态ARP表项管理、刷新、添加和导入导出功能。其中,刷新功能是指刷新静态ARP表项列表;添加功能是指手动新增静态ARP表项;导入功能是指从文件中批量获取静态ARP表项;导出功能是指将现有的静态ARP表项导出到本地文件中。
页面向导:网络安全→ARP安全→ARP静态管理
|
本页面为您提供如下主要功能: · 显示静态ARP信息 · 新增静态ARP表项 · 修改/删除静态ARP表项 · 导入/导出静态ARP表项 |
|
|
新增静态ARP表项: 1. 单击<新增>按钮,弹出添加ARP表项对话框,输入IP地址和MAC地址 2. 单击<确认>按钮,完成配置 |
|
|
修改/删除已添加的静态ARP表项: 点击列表操作栏的“编辑”、“删除”图标,可对该表项进行修改和删除操作 |
|
|
导入静态ARP表项: 1. 单击<导入>按钮,弹出导入ARP表项对话框,单击<上传文件>按钮,上传ARP表项 2. 单击<导入>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表11-3 页面参数描述
|
关键项 |
描述 |
|
IP地址 |
该静态ARP信息中的IP地址 |
|
MAC地址 |
该静态ARP信息中的MAC地址。此处不支持全0或全F的MAC地址 |
|
类型 |
该静态ARP信息的所属类型,取值为静态,表示将设备的IP地址与MAC地址进行绑定,形成静态ARP表项 |
|
描述 |
ARP表项的描述信息,可对表项进行简单的描述,方便使用 |
|
操作 |
可对此静态ARP信息进行编辑或者删除操作 |
包括ARP报文合法性检查和免费ARP功能。ARP报文合法性检查是通过设置规则验证ARP报文的合法性。免费ARP报文是一种特殊的ARP报文,该报文中携带的发送端IP地址和目标IP地址都是本机IP地址,报文源MAC地址是本机MAC地址,报文的目的MAC地址是广播地址。设备通过对外发送免费ARP报文来实现以下功能:
· 确定其它设备的IP地址是否与本机的IP地址冲突。当其它设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址相同,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。
· 设备改变了硬件地址,通过发送免费ARP报文通知其它设备更新ARP表项。
· 发送免费ARP可以防止LAN或WAN侧的主机受到ARP攻击和欺骗。设置免费ARP发送时间间隔越小,主机防止ARP攻击能力越强,但是占用网络资源越大,请合理设置免费ARP报文发送时间间隔。
· 由于有些设备(如交换机)可能会对ARP报文进行限制,过多的ARP报文可能会被判定为攻击,请确定是否开启主动发送免费ARP的功能,并进行合理的参数设置。
· 路由器支持定时发送免费ARP功能,这样可以及时通知其它设备更新ARP表项或者MAC地址表项,以防止仿冒网关的ARP攻击、防止主机ARP表项老化等。
页面向导:网络安全→ARP安全→ARP防护
|
1. 设置ARP报文合法性检查和免费ARP 2. 单击<应用>按钮,完配置 |
|
表11-4 页面参数描述
|
页面参数 |
描述 |
|
ARP报文合法性检查 |
通过设置规则验证ARP报文的合法性,主要分为: · 丢弃发送端MAC地址不合法的ARP报文(LAN口默认丢弃不合法的ARP报文):当设备接收的ARP报文中的源MAC地址为全零、组播、广播MAC地址时,则不学习该ARP报文,直接将该报文丢弃 · 丢弃报文头中源MAC地址和报文中发送端MAC地址不一致的ARP报文:当设备接收的ARP报文中的源MAC地址与该报文的二层源MAC地址不一致时,则不学习该ARP报文,直接将该报文丢弃 · ARP报文学习抑制:当设备发出一个ARP请求报文,收到了多个不同的ARP响应报文时,设备仅学习最先收到的ARP响应报文 |
|
免费ARP |
一种特殊的ARP报文,该报文中携带的发送端IP地址和目标IP地址都是本机IP地址,报文源MAC地址是本机MAC地址,报文的目的MAC地址是广播地址。主要分为: · 检测到ARP欺骗时,发送免费ARP报文:当设备检测到ARP欺骗时(比如源IP地址为设备接口IP地址但源MAC地址不是设备接口MAC地址的ARP报文),则会主动发送免费ARP报文 · LAN内主动发送免费ARP报文:并在“发送间隔”配置项处,输入免费ARP报文的发送间隔 · WAN口主动发送免费ARP报文:并在“发送间隔”配置项处,输入免费ARP报文的发送间隔。当WAN口处于固定地址/DHCP连接模式上网时,主动发送免费ARP报文;处于PPPoE连接模式上网时,不支持发送免费ARP报文 |
ARP检测:探测到指定接口下所有在线设备,同时还能检查这些设备的信息是否和已存在ARP表项冲突。根据搜索结果,可以进行ARP绑定操作。
页面向导:网络安全→ARP安全→ARP检测
|
1. 选择指定接口,输入指定IP地址范围 2. 单击<扫描>按钮,进行ARP检测 |
|
表11-5 页面参数描述
|
页面参数 |
描述 |
|
接口 |
设备进行ARP检测的接口 |
|
IP地址范围 |
进行ARP检测的起始IP地址和结束IP地址 设置完成,需点击“扫描”按钮,进行ARP检测 |
|
序号 |
检测到的ARP表项的编号 |
|
IP地址 |
该ARP信息中的IP地址 |
|
MAC地址 |
该ARP信息中的MAC地址 |
|
接口 |
该ARP信息的所属接口 |
|
状态 |
ARP检测结果状态,主要分为: · 静态表项:该条表项为黑色条目,表示手动配置的或自动绑定的ARP表项 · 动态表项:该条表项为蓝色条目,表示动态学习到的并且没有被自动绑定的ARP表项 · 错误表项:该条表项为红色条目,表示存在ARP冲突表项 |
网络连接数管理功能是一种安全机制,通过限制每个IP地址主动发起连接的个数,达到合理分配设备处理资源、防范恶意连接的效果。
如果设备发现来自某IP地址的TCP或UDP连接数目超过指定的数目,将禁止该连接建立。直到该连接数低于限制数时,其才被允许新建连接。
页面向导:网络安全→网络连接数管理→网络连接数管理
|
本页面为您提供如下主要功能: · 显示近一小时网络连接数曲线图 · 网络连接数基础配置 |
|
|
网络连接数基础配置: 1. 设置网络连接总数 2. 选择对应接口,清除网络连接 3. 单击<应用>按钮,完成配置 |
|
表11-6 页面参数描述
|
页面参数 |
描述 |
|
网络连接总数 |
设备允许的网络连接数量的最大值 |
|
清除网络连接 |
清除该接口上建立的所有网络连接。清除网络连接可能会影响现有业务的正常运行,请谨慎操作 |
网络连接限制是指在指定IP地址范围内,配置每个IP地址发起连接的个数限制。此方式用于对设备上的所有接口收到的连接进行控制。
· 每条网络连接数限制规则,如果是IP地址范围,表示该地址段内的每个IP最多建立的网络连接数都将限制到设定的上限值。如果起始地址和结束地址相同,表示仅限制该IP的网络连接数。
· 限制规则表中可以加入多条网络连接数限制规则,配置规则时允许某几条中的IP地址重叠,但以先加入的规则优先级为高。也就是对于相同的IP地址,后加入的网络连接数限制设置不会覆盖先前的设置,仍以先前配置的连接数限制为准。
· 允许在限制规则表中对先前配置的规则进行删除、修改等操作。但修改不能改变规则的优先级,生效规则仍以规则要点 2 的约定为准。
· 网络连接限速仅限制内网IP向因特网发起的网络连接;下列情形不在限制范围内:向设备本身和内网其它IP发起的连接,以及由因特网向内网IP发起的连接。
· 总连接数=TCP连接数+UDP连接数+其他连接数,其他连接指除TCP和UDP连接之外的连接,如ICMP等。某IP可以建立新连接的条件是:此IP已经建立的连接数未达到设置的上限值。比如某IP需要建立一条TCP连接,则必须满足此IP已经建立的总连接数未达到总连接数上限,TCP连接数未达到TCP连接数上限,建立UDP连接和其他连接的条件跟TCP相同。
· TCP连接数设为0和留空的区别是:设置为0表示不允许建立TCP连接,留空表示不对TCP连接数进行单独限制,但仍需满足总连接数限制条件。UDP连接数情况类似。
· 每条VLAN网络连接限数规则,表示指定VLAN内最多建立的网络连接数都将被限制到设定的上限值。注意,这里设置的连接数上限指的是该VLAN内所有IP的连接数之和的上限,而非每IP各自的连接数上限
· 总连接数=TCP连接数+UDP连接数+其他连接数,其他连接指除TCP和UDP连接之外的连接,如ICMP等。某VLAN可以建立新连接的条件是:此VLAN内IP已经建立的连接数未达到设置的上限值。比如某VLAN内某个IP需要建立一条TCP连接,则必须满足此VLAN已经建立的总连接数未达到总连接数上限,TCP连接数未达到TCP连接数上限,建立UDP连接的条件跟建立TCP连接类似
页面向导:网络安全→网络连接数管理→IP网络连接限制数
|
本页面为您提供如下主要功能: · 开启或关闭IP网络连接限制数 · 新增IP网络连接限制数规则 · 删除/修改IP网络连接限制数规则 · 显示添加的IP网络连接限制数规则相关信息 |
|
|
新增IP网络连接限制数规则: 1. 单击<新增>按钮,弹出新建网络连接限制数规则对话框,配置相关参数 2. 单击<确认>按钮,完成配置 |
|
|
修改/删除已添加的IP网络连接限制数规则: 点击列表操作栏的“编辑”、“删除”图标,可对该表项进行修改和删除操作 |
|
表11-7 页面参数描述
|
页面参数 |
描述 |
|
IP网络连接限制数 |
是否开启网络连接限制数功能。若开启该功能,设备将按照配置的网络连接限制数规则进行工作,缺省关闭网络连接数限制数功能 |
|
地址分组 |
规则需要控制的IP地址范围 |
|
每IP总连接数 |
允许每个IP地址发起的最大网络连接数 |
|
每IP TCP连接数 |
允许每个IP地址发起的最大TCP网络连接数 |
|
每IP UDP连接数 |
允许每个IP地址发起的最大UDP网络连接数 |
|
描述 |
规则的描述信息,可对规则进行简单的描述,方便使用 |
VLAN网络连接限制是指在指定VLAN接口上,配置每个IP地址发起连接的个数限制。此方式用于对指定VLAN接口收到的连接进行控制。
页面向导:网络安全→网络连接数管理→VLAN网络连接限制数
|
本页面为您提供如下主要功能: · 开启或关闭VLAN网络连接限制数 · 新增VLAN网络连接限制数规则 · 修改/删除VLAN网络连接限制数规则 · 显示添加的VLAN网络连接限制数规则相关信息 |
|
|
新增VLAN网络连接限制数规则: 1. 单击<新增>按钮,弹出新建VLAN网络连接限制数规则对话框,配置相关参数 2. 单击<确认>按钮,完成配置 |
|
|
修改/删除已添加的VLAN网络连接限制数规则: 点击列表操作栏的“编辑”、“删除”图标,可对该表项进行修改和删除操作 |
|
表11-8 页面参数描述
|
页面参数 |
描述 |
|
VLAN网络连接限制 |
是否开启VLAN网络连接限制功能。若开启该功能,设备将按照配置的VLAN网络连接限制规则进行工作,缺省关闭VLAN网络连接限制数功能 |
|
VLAN接口 |
规则需要控制的VLAN接口 |
|
状态 |
开启选择VLAN接口的连接限制功能 |
|
总连接数上限 |
允许指定的VLAN接口占用的最大网络连接数,避免个别VLAN占用过多的资源 |
|
TCP连接数上限 |
允许指定的VLAN接口发起的最大TCP网络连接数 |
|
UDP连接数上限 |
允许指定的VLAN接口发起的最大UDP网络连接数 |
|
描述 |
规则的描述信息,可对规则进行简单的描述,方便使用 |
如果您希望对某些设备发送过来的报文进行限制(允许或禁止其通过),则可以在VLAN接口上配置MAC地址过滤功能。
过滤方式有如下两种:
· 允许访问外网:在指定的VLAN接口下,仅允许名单内的源MAC地址访问外网,其余禁止访问。
· 禁止访问外网:在指定的VLAN接口下,仅禁止在名单内的源MAC地址访问外网,其余允许访问。
· 如果需要在管理员终端连接的接口上开启MAC地址过滤功能,请先确保管理员的终端MAC地址已添加至允许访问外网名单,或未添加到禁止访问外网名单。
· MAC地址中的英文字符不区分大小写。
页面向导:网络安全→MAC过滤
|
本页面为您提供如下主要功能: · 开启或关闭MAC地址过滤 · 设置允许访问外网名单 · 设置禁止访问外网名单 · 导入/导出MAC地址表 · 修改/删除MAC地址 |
|
|
开启/关闭MAC地址过滤功能 |
|
|
设置允许访问外网名单: 1. 设置应用端口:选择已创建的VLAN接口 2. 单击<新增>按钮,弹出新增对话框,配置MAC地址、描述等参数信息 3. 单击<确认>按钮,完成配置 |
|
|
设置禁止访问外网名单: 1. 设置应用端口:选择已创建的VLAN接口 2. 单击<新增>按钮,弹出新增对话框,配置MAC地址、描述等参数信息 3. 单击<确认>按钮,完成配置 |
|
|
导入MAC地址表至名单中: 单击<导入>按钮,选择导入方式 · 导入源MAC地址:点击<上传文件>按钮,在弹出的界面选择需要导入的.csv文件,点击<导入>按钮即可 · 从ARP表项导入:从ARP表项勾选需要导入的MAC地址
导出MAC地址表: 点击“导出”图标,即可将当前MAC地址表项导出 |
· 导入源MAC地址
· 从ARP表项导入
|
|
修改/删除已添加的MAC地址:点击列表操作栏的“编辑”、“删除”图标,可对该MAC地址进行修改和删除操作 |
|
表11-9 页面参数描述
|
关键参数 |
描述 |
|
MAC地址过滤 |
是否开启MAC地址过滤功能: · 若开启该功能,设备将根据MAC地址列表中的MAC地址控制内网计算机访问因特网。 · 若不开启该功能,局域网内的所有计算机都可以不受限制地访问因特网。 |
|
应用端口 |
匹配MAC地址过滤策略的接口 |
|
MAC地址 |
策略需要控制的MAC地址。不支持全0或全F的MAC地址 |
|
导入 |
将MAC地址批量导入名单中: · 导入源MAC地址:点击<上传文件>按钮,在弹出的界面选择需要导入的.csv文件,点击<导入>按钮即可。若需要模板,点击<下载模板>按钮,将模板导出至本地。 · 从ARP表项导入:从ARP表项勾选需要导入的MAC地址。 |
|
导出 |
将名单中的MAC表项导出至本地 |
DDoS攻击是一类广泛存在于互联网中的攻击,能造成比传统DoS攻击(拒绝服务攻击)更大的危害,能让设备对来自外网和内网的常见攻击类型进行防护,丢弃攻击报文。同时,设备可以对相应的攻击事件以日志形式记录下来。
本功能能够让设备和网络免受如下DDOS攻击的困扰:
· 单包攻击:攻击者利用畸形报文发起攻击,旨在瘫痪目标系统。例如Land攻击报文是源IP和目的IP均为攻击目标IP的TCP报文,此攻击将耗尽目标服务器的连接资源,使其无法处理正常业务。
· 异常流攻击:攻击者向目标系统发送大量伪造请求,导致目标系统疲于应对无用信息,从而无法为合法用户提供正常服务。
· 扫描攻击:攻击者对主机地址和端口进行扫描,探测目标网络拓扑以及开放的服务端口,为进一步侵入目标系统做准备。
页面向导:网络安全→DDoS防御→攻击防御
|
本页面提供如下主要功能: · 开启或关闭DDOS攻击防御 · 显示已添加的DDOS攻击防御策略 · 新增DDOS攻击防御策略 · 修改/删除DDOS攻击防御策略 |
|
|
新增DDOS攻击防御策略: 1. 单击<新增>按钮,弹出新增攻击防御对话框,选择应用接口和攻击防御类型 2. 单击<确认>按钮,完成配置 |
|
|
修改/删除DDOS攻击防御策略: 点击列表操作栏的“编辑”、“删除”图标,可对该表项进行修改和删除操作 |
|
表11-10 页面参数描述
|
页面参数 |
描述 |
|
DDoS攻击防御 |
是否开启该功能,若开启该功能,设备将对来自外网和内网的常见DDoS攻击进行防御,丢弃攻击报文,并以日志形式记录相应的攻击事件 |
|
应用接口 |
攻击报文的来源接口,即规则对从某一接口收到的数据包进行DDoS攻击防御 |
|
攻击防御 |
设备进行DDoS攻击防御的类型,主要分为: · 单包攻击防御:防御攻击者利用畸形报文发起攻击,导致瘫痪目标系统。主要包括: ¡ Fraggle攻击防御:启用该项后,设备可以有效防止Fraggle攻击。该攻击表现为攻击者向子网广播地址发送源地址为受害网络或者受害主机的UDP报文。子网内的每一个主机都会向受害网络或者主机发送响应报文,从而导致网络阻塞或者主机崩溃 ¡ Land攻击防御:启用该项后,设备可以有效防止Land攻击。该攻击表现为攻击者向目标发送带有SYN标志的TCP报文,并且这些报文的源地址和目的地址都设为被攻击目标的IP地址,当被攻击目标机收到这样的报文后,开始重复的进行内部应答风暴,消耗大量的CPU资源 ¡ WinNuke攻击防御:启用该项后,设备可以有效防止WinNuke攻击。该攻击表现为攻击者利用NetBIOS协议中OOB(Out of Band)漏洞对目标进行攻击,可造成部分主机死机或蓝屏 ¡ TCP flag攻击防御:启用该项后,设备可以有效防止TCP flag攻击。该攻击表现为攻击者发送带有非常规TCP标志的报文探测目标主机的操作系统类型,若操作系统对这类报文处理不当,攻击者便可达到使目标主机系统崩溃的目的 ¡ ICMP不可达报文攻击防御:启用该项后,设备可以有效防止ICMP不可达报文攻击。该攻击表现为攻击者向目标发送ICMP不可达报文,达到切断目标主机网络连接的目的 ¡ ICMP重定向报文攻击防御:启用该项后,设备可以有效防止ICMP重定向报文攻击。该攻击表现为攻击者向目标发送ICMP重定向报文,更改目标的路由表,干扰目标正常的IP报文转发 ¡ Smurf攻击防御:启用该项后,设备可以有效防止Smurf攻击。该攻击与Fraggle攻击类似,表现为攻击者向一个网段广播一个ICMP回显请求(ICMP ECHO REQUEST)报文,而源地址为被攻击主机,当网段中的所有主机收到回显请求后,都会向被攻击主机响应ICMP ECHO REPLY报文,造成攻击目标网络阻塞或者系统崩溃 ¡ 带源路由选项的IP攻击防御:启用该项后,设备可以有效防止带源路由选项的IP攻击。该攻击表现为攻击者向目标发送带源路由选项的IP报文,达到探测网络结构的目的 ¡ 带路由记录选项的IP攻击防御:启用该项后,设备可以有效防止带路由记录选项的IP攻击。该攻击表现为攻击者向目标发送带路由记录选项的IP报文,达到探测网络结构的目的 ¡ 超大ICMP攻击防御:启用该项后,设备可以有效防止超大ICMP攻击。该攻击表现为攻击者向目标发送超大ICMP报文,使目标主机崩溃 ¡ 防止IP Spoofing:启用该项后,设备可以有效防止IP Spoofing攻击。该攻击表现为攻击者使用相同的IP地址假冒网络上的合法主机,并访问关键信息。通常会伪装成LAN内的IP地址 ¡ 防止TearDrop:启用该项后,设备可以有效防止TearDrop攻击。缺省启用该项,无法取消。该攻击表现为攻击者向目标发送相互重叠的分片报文,目标主机处理这种分片时可能导致系统崩溃 ¡ 防止碎片包:启用该项后,设备可以有效防止碎片包攻击。缺省启用该项,无法取消。该攻击表现为攻击者向目标主机发送部分分片报文,而不发送所有的分片报文,这样目标主机会一直等待,直到计时器超时。如果攻击者发送了大量的分片报文,就会耗尽目标主机的资源,导致其不能响应正常的IP报文 · 异常流攻击防御:防御攻击者向目标系统发送大量伪造请求,导致目标系统疲于应对无用信息,从而无法为合法用户提供正常服务。主要包括: ¡ SYN Flood攻击防御:勾选该选项,并设置启用防止SYN Flood攻击的阈值。当流量速率超过该阈值,设备将启用SYN Flood攻击防御。该攻击表现为攻击者向目标发送大量的SYN报文,消耗目标的连接资源,使目标系统无法再接受新连接 ¡ UDP Flood攻击防御:勾选该选项,并设置启用防止UDP Flood攻击的阈值。当流量速率超过该阈值,设备将启用UDP Flood攻击防御。该攻击表现为攻击者向目标发送大量的UDP报文,导致目标主机忙于处理这些UDP报文而无法继续处理正常的报文 ¡ ICMP Flood攻击防御:勾选该选项,并设置启用防止ICMP Flood攻击的阈值。当流量速率超过该阈值,设备将启用ICMP Flood攻击防御。该攻击表现为攻击者向目标发送大量的ICMP报文,导致目标主机忙于处理这些ICMP报文而无法继续处理正常的报文 · 扫描攻击防御:防御攻击者对主机地址和端口进行扫描,探测目标网络拓扑以及开放的服务端口,为进一步侵入目标系统做准备。主要包括: ¡ WAN口ping扫描:启用该项后,设备不回应来自Internet的Ping请求,可以防止Internet上恶意的Ping探测 ¡ UDP扫描:启用该项后,设备可以有效防止UDP扫描攻击。该攻击表现为攻击者向目标端口发送UDP报文,探测端口的开放情况 ¡ TCP SYN扫描:启用该项后,设备可以有效防止TCP SYN扫描攻击。该攻击表现为攻击者像建立正常的TCP连接一样向目标端口发送SYN报文, 然后等待目标主机的回应,借此探测端口的开放情况 ¡ TCP NULL扫描:启用该项后,设备可以有效防止TCP NULL扫描。该攻击表现为攻击者向目标端口发送所有标志都不置位的TCP报文, 然后等待目标主机的回应,借此探测端口的开放情况 ¡ TCP Stealth FIN扫描:启用该项后,设备可以有效防止TCP Stealth FIN扫描。该攻击表现为攻击者向目标端口发送只有FIN标志置位的TCP报文, 然后等待目标主机的回应,借此探测端口的开放情况 ¡ TCP Xmas Tree扫描:启用该项后,设备可以有效防止TCP Xmas Tree扫描。该攻击表现为攻击者向目标端口发送FIN、URG和PUSH标志置位的TCP报文, 然后等待目标主机的回应,借此探测端口的开放情况 |
本功能可以分别显示单包攻击防御和异常流量攻击防御的统计信息,可以导出Excel保存。
页面向导:网络安全→DDoS防御→攻击防御统计
|
查看“单包攻击防御”和“异常攻击防御”的详细信息,并支持将这些信息以Excel形式导出 |
|
表11-11 页面参数描述
|
页面参数 |
描述 |
|
攻击类型 |
设备遭受攻击的类型。包括单包攻击防御和异常流量攻击防御中的具体攻击类型 |
|
总次数 |
设备遭受此类攻击的总次数 |
|
最后发生时间 |
设备最后遭受此类攻击的具体时间 |
|
被攻击接口 |
设备被攻击的接口 |
|
发生的用户IP |
发动攻击的用户IP地址 |
本功能是指设备对收到的内网报文的源IP/MAC进行认证,确认对端是否是一个合法的主机,以防止内网中可能存在的非法报文攻击,避免这些非法报文对设备资源和网络资源的消耗,提高整体网络的稳定性。
页面向导:网络安全→DDOS防御→高级配置
|
1. 选择报文源认证方式 2. 单击<应用>按钮,完成配置 |
|
表11-12 页面参数描述
|
页面参数 |
描述 |
|
报文源认证 |
设备对收到的内网报文的源IP/MAC进行认证,确认对端是否是一个合法的主机,以防止内网中可能存在的非法报文攻击,避免这些非法报文对设备资源和网络资源的消耗,提高整体网络的稳定性。主要分为: · 启用基于静态路由的报文源认证功能:应用该项后,设备允许源IP与LAN接口同一网段或通过出接口为LAN口的静态路由表反向可达的内网路由器过来的流量通过,其它内网数据包将被设备丢弃 · 启用基于ARP绑定、DHCP攻击防护报文源认证功能:应用该项后,设备将根据ARP绑定表中的静态绑定关系以及DHCP分配列表中的对应关系,来认证内网过来的数据包。如果数据包的源IP/MAC与ARP绑定表中的IP/MAC对应关系存在冲突,则该数据包将被设备丢弃 · 启用基于动态ARP的报文源认证功能:应用该项后,设备将会对内网数据包的源IP/MAC进行智能认证,确认对端是否为合法主机,如果数据包的源IP/MAC与已确认的合法主机的IP/MAC冲突,则该数据包将被设备丢弃。如果网络中存在相同MAC对应不同IP的应用,请将对应的IP/MAC进行静态ARP绑定,否则可能影响正常业务访问 |
本功能是指对内网异常大流量的主机进行控制,以防止该异常主机过度占用带宽和消耗系统性能。其中有三种防护等级,您可以根据你的实际网络状况选择较合适的级别进行防护。为了防止非法伪装报文流量被统计到合法主机流量中,建议尽量开启报文源认证页面的相关认证功能。
页面向导:网络安全→DDOS防御→高级配置
|
配置异常流量防护 |
|
表11-13 页面参数描述
|
页面参数 |
描述 |
|
异常流量防护 |
对内网主机发来的异常大流量进行控制,以防止其过度占用设备带宽,消耗设备处理性能。防护等级主要分为: · 高:防护等级最高。高防护等级下,设备会进行异常主机流量检测,并且自动把检测到的攻击主机添加到黑名单中,在指定的生效时间范围内,禁止其访问本设备和Internet,以尽量减少该异常主机对网络造成的影响 · 中:防护等级居中。中防护等级下,设备会把单个内网主机的上行流量限制在异常流量阈值范围内,超过阈值的流量将被设备丢弃 · 低:防护等级低。低防护等级下,设备仅记录异常流量日志,仍然允许相应主机访问设备和Internet |
|
异常流量阈值 |
异常流量的最大值,超过设定的阈值,设备将会对此异常流量做出控制 |
黑名单管理功能用于查看和解除已添加的黑名单用户。
页面向导:[网络安全/黑名单管理]
|
查看加入到黑名单用户信息,并支持将其从黑名单中解除 |
|
表11-14 页面参数描述
|
关键项 |
描述 |
|
黑名单用户 |
黑名单用户的IP地址 |
|
MAC地址 |
黑名单用户的MAC地址 |
|
类型 |
黑名单用户的类型,主要分为:动态黑名单、流量异常。 单击左侧导航栏[网络安全-DDOS防御-高级配置]页面中启用异常流量防护功能,并设置“防护等级”为“高”。当设备接收到的异常流量超过设定的阈值时,就会将异常的主机添加到黑名单管理,即为动态黑名单;未超过阈值的即为流量异常。 |
|
动作 |
对此黑名单用户的处理操作,若此黑名单用户为正常访问用户,可将此黑名单解除 |
Portal是互联网接入的一种认证方式,通过对用户进行身份认证,以达到对用户访问进行控制的目的。本设备的Portal认证方式为云端认证方式,采用云端服务器来同时承担Portal认证服务器和Portal Web服务器的职责。
您可以为不需要通过Portal认证即可访问网络资源的用户设置免认证规则,免认证规则的匹配项包括MAC地址、IP地址。
开启云认证之前,需要先完成云管理平台(H3C云平台)上的认证模板的配置,并开启云服务。
有关云服务的配置,请在“系统工具>远程管理”中的“云服务”页签中配置。
页面向导:认证管理→Portal认证→云认证
|
开启接口的云认证功能 |
|
表12-1 页面参数描述
|
页面参数 |
描述 |
|
接口名称 |
设备的VLAN接口 |
|
IP地址 |
VLAN接口的IP地址 |
|
子网掩码 |
该IP地址的子网掩码 |
|
云认证功能 |
是否开启云认证功能,若开启该功能,本设备的Portal认证方式为云端认证方式,将采用云端服务器来同时承担Portal认证服务器和Portal Web服务器的职责 |
页面向导:认证管理→Portal认证→免认证MAC地址
|
本页面为您提供如下主要功能: · 显示已添加的免认证MAC地址 · 添加免认证MAC地址 · 修改/删除免认证MAC地址 |
|
|
新增免认证MAC地址: 1. 单击<新增>按钮,弹出添加免认证MAC地址对话框,输入MAC地址 2. 单击<应用>按钮,完成配置 |
|
|
修改/删除已添加的免认证MAC地址:点击列表操作栏的“编辑”、“删除”图标,可对该MAC地址进行修改和删除操作 |
|
页面中各参数的含义如下表所示。
表12-2 页面参数描述
|
页面参数 |
描述 |
|
MAC地址 |
规则需要控制的MAC地址,即该MAC地址不需要通过Portal认证即可访问网络资源。此处不支持全0或全F的MAC地址 |
|
描述 |
规则的描述信息,可对规则进行简单的描述,方便使用 |
|
操作 |
可对该配置进行编辑或者删除操作 |
在添加免认证IP地址时,免认证源IP地址分组或免认证目的地址分组不能为空。当系统不存在地址分组时,需要先新增地址组。
在添加免认证IP地址时,免认证源IP地址分组或免认证目的地址分组不能为空。当系统不存在地址分组时,需要先新增地址组。
页面向导:认证管理→Portal认证→免认证IP地址
|
本页面为您提供如下主要功能: · 显示已添加的免认证IP地址 · 添加免认证IP地址 · 修改/删除免认证IP地址 |
|
|
添加免认证IP地址: 1. 单击<新增>按钮,配置相关参数 2. 单击<确认>按钮,完成配置 |
|
|
修改/删除已添加的免认证IP地址:点击列表操作栏的“编辑”、“删除”图标,可对该MAC地址进行修改和删除操作 |
|
页面中各参数的含义如下表所示。
表12-3 页面参数描述
|
页面参数 |
描述 |
|
地址添加方式 |
免认证IP地址的添加方式。主要分为: · 源IP地址组:规则需要控制的源IP地址范围。配置该参数时,需在“免认证源地址分组”配置项处,选择已创建的地址分组。如需新增地址分组,可通过点击右侧<新增地址组>按钮创建新的地址组 · 目的IP地址组:规则需要控制的目的IP地址范围。配置该参数时,需在“免认证目的地址分组”配置项处,选择已创建的地址分组。如需新增地址分组,可通过点击右侧<新增地址组>按钮创建新的地址组 · 域名:规则需要控制的域名。配置该参数时,需要在“域名”配置项处,输入免认证的域名 |
|
免认证IP地址组 |
规则需要控制的IP地址组 |
|
地址类型 |
免认证IP地址的添加方式。包括源IP地址组、目的IP地址组、域名三种 |
|
描述 |
规则的描述信息,可对规则进行简单的描述,方便使用 |
|
操作 |
可对该配置进行编辑或者删除操作 |
IPsec VPN是利用IPsec技术建立的虚拟专用网。IPsec通过在特定通信方之间建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。
IPsec协议为IP层上的网络数据安全提供了一整套安全体系结构,包括安全协议AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安全载荷)、IKE(Internet Key Exchange,互联网密钥交换)以及用于网络认证及加密的一些算法等。其中,AH协议和ESP协议用于提供安全服务,IKE协议用于密钥交换。
设备支持两种IPsec VPN组网方式:
· 分支节点:适用于对端公网地址已知。
· 中心节点:适用于对端公网地址未知。
页面向导:虚拟专网→IPsec→IPsec策略
|
本页面为您提供如下主要功能: · 显示已添加的IPsec策略信息 · 新增IPsec策略(包括IPsec基本配置、IKE配置和IPsec配置) · 修改/删除IPsec策略 |
|
· 当设备作为中心节点,一个接口下只能配置一条中心节点策略。在添加IPsec中心节点策略选择接口时,需选择未创建过中心节点策略的接口。
· 在添加保护流措施时,不建议同时配置多个相同IP地址不同掩码的保护流,例如不建议同时配置192.168.1.1/24和192.168.1.1/16的保护流。
|
1. 单击<新增>按钮,弹出新增IPsec策略对话框,配置相关参数 2. 单击<下一步>按钮,完成配置,并进入IKE配置页面 |
|
页面中各参数的含义如下表所示。
表13-1 页面参数描述
|
页面参数 |
描述 |
|
策略名称 |
当前安全策略的名称,用来唯一标识这个安全策略 |
|
接口 |
报文的来源接口,即规则对从某一接口收到的数据包进行控制。配置该参数时,此接口需要与对端设备路由可达 |
|
组网方式 |
IPsec VPN网络的组建方式,根据需要进行选择: · 分支节点:已知对端公网。设备作为分支节点,与中心节点建立IPsec隧道。配置该参数时,需设置IPsec隧道对端的IP地址或域名。通常为总部网关或对端分支机构网关的WAN口地址 · 中心节点:未知对端公网。设备作为中心节点,与分支节点建立IPsec隧道。企业各分支网关之间均可主动建立IPsec隧道,来保护分支之间的数据通信 |
|
对端地址 |
IPsec隧道对端的IP地址或域名 |
|
预共享密钥 |
IPsec隧道的认证密码。配置该参数时,需输入与对端设备相同的预共享密钥,该密钥需要提前进行协商和通告 |
|
受保护协议 |
受IPsec隧道保护的报文的协议类型。主要分为: · 若需控制某网络层协议的报文,则选择“IP”、“IGMP”、“GRE”、“IPINIP”或者“OSPF” · 若需控制某传输层协议的报文,则选择“TCP”或“UDP” · 若需控制Ping、Tracert等ICMP协议报文,则选择“ICMP” |
|
本端网段/掩码 |
本端受保护网段。例如1.1.1.1/24 |
|
本端端口 |
本端受保护端口。当受保护协议选择为TCP或UDP时。需配置此参数 |
|
对端网段/掩码 |
对端节点受保护网段。例如2.2.2.2/24 |
|
对端端口 |
对端节点受保护端口。当受保护协议选择为TCP或UDP时。需配置此参数 |
|
1. 配置IKE相关参数 2. 单击<下一步>按钮,完成配置,并进入IPsec配置页面 |
|
页面中各参数的含义如下表所示。
表13-2 页面参数描述
|
页面参数 |
描述 |
|
IKE版本 |
Internet密钥交换协议的版本,主要分为: · 若对端节点使用的IKE版本为V1,则本端选择“V1” · 若对端节点使用的IKE版本为V2,则本端选择“V2” |
|
协商模式: |
对等体的协商模式。主要分为: · 主模式:协商步骤多,身份验证位于密钥交互过程之后进行,适用于对身份保护要求较高的场合 · 野蛮模式:协商步骤少,身份验证与密钥交互同时进行,适用于对身份保护要求不高的场合 若设备公网IP地址是动态分配的,建议选择IKE协商模式为“野蛮模式” |
|
本端身份类型 |
IKE认证的本端设备身份类型。主要分为: · 若对端节点IKE身份类型为IP地址,则本端选择“IP地址”,IKE协商模式若设置为主模式,需要将本端设备身份类型配置为IP地址。缺省使用设备出接口IP地址 · 若对端节点IKE身份类型为FQDN,则本端选择“FQDN”,即为标识本端身份的FQDN名称 · 若对端节点IKE身份类型为User-FQDN,则本端选择“User-FQDN”,即为标识本端身份的User FQDN名称 |
|
本端身份 |
IKE认证的本端设备身份信息 |
|
对端身份类型 |
IKE认证的对端设备身份类型和身份标识。主要分为: · 若对端节点IKE身份类型为IP地址,则本端选择“IP地址”,IKE协商模式若设置为主模式,需要将本端设备身份类型配置为IP地址。一般使用设备出接口IP地址 · 若对端节点IKE身份类型为FQDN,则本端选择“FQDN”,即为标识本端身份的FQDN名称 · 若对端节点IKE身份类型为User-FQDN,则本端选择“User-FQDN”,即为标识本端身份的User FQDN名称 |
|
对端身份 |
IKE认证的对端设备身份信息 |
|
对等体存活检测(DPD) |
是否开启对等体存活检测(DPD)功能,若开启该功能,设备将检测隧道对端是否存活,拆除对端失活的IPsec隧道。配置该参数时,需配置: · 探测时间:每隔一个探测时间,设备将进行一次存活检测。取值为1~60,单位为秒 · 超时时间:超过该时间阈值,设备检测不到对端,则认定对端失活。取值为2~300,单位为秒 |
|
算法组合(IKE) |
IKE协议交互所需的加密和认证算法,可根据需要进行选择: · 设备厂商默认:设备推荐的默认算法组合。IPsec隧道的两端所配置的推荐算法组合需保持一致 · Windows7默认:Windows7默认的算法组合。IPsec隧道的两端所配置的推荐算法组合需保持一致 · 自定义:用户自定义的IKE的算法,选项包括: ¡ 认证算法:IKE的认证算法。IPsec隧道的两端所配置的认证算法需保持一致 ¡ 加密方式:IKE的加密算法。IPsec隧道的两端所配置的加密算法需保持一致 ¡ PFS:指一个密钥被破解,并不影响其他密钥的安全特性。IPsec隧道的两端所配置的PFS算法需保持一致 |
|
SA生存时间 |
IKE重新协商的时间间隔,即超过该时间间隔将触发IKE相关参数的重新协商。建议SA生存时间设置不低于600秒 |
|
配置IPsec相关参数 |
|
页面中各参数的含义如下表所示。
表13-3 页面参数描述
|
页面参数 |
描述 |
|
算法组合(IPSEC配置) |
IPsec隧道的加密和认证算法,可根据需要进行选择: · 推荐:设备推荐的算法组合。IPsec隧道的两端所配置的推荐算法组合需保持一致 · Windows7默认:Windows7默认的算法组合。IPsec隧道的两端所配置的推荐算法组合需保持一致 · 自定义:用户自定义的IPsec的算法,需选择安全协议,对IP报文的完整性进行验证,以判别报文在传输过程中是否被篡改。IPsec隧道的两端所配置的安全协议需保持一致。安全协议包括“ESP”和“AH”,可根据需要进行选择。 ¡ ESP:需设置ESP认证算法和加密算法。IPsec隧道的两端所配置的ESP认证和加密算法需保持一致 ¡ AH:需设置AH的认证算法。IPsec隧道的两端所配置的AH算法需保持一致 |
|
封装模式 |
IPsec隧道的封装模式,主要分为: · 传输模式:适用于主机与主机之间建立隧道 · 隧道模式:适用于网关和网关之间建立隧道 若IPsec本端受保护网段与对端受保护网段均为私网网段,建议选择封装模式为隧道模式。IPsec隧道的两端所配置的封装模式必须一致 |
|
PFS |
IPsec隧道的PFS算法。如果本端配置了PFS特性,则发起协商的对端也必须配置PFS特性,而且本端和对端指定的DH组必须一致,否则协商会失败 |
|
SA生存时间 |
触发IPsec重新协商的时间间隔,即超过所配时间将触发IPsec相关参数的重新协商 |
|
触发模式 |
触发IPsec重新协商的模式,主要分为: · 自协商:IKE隧道配置下发后或隧道异常断开后,会自动触发隧道建立,并且保证隧道长时间建立,不需等待兴趣流触发 · 流量触发:IKE隧道配置下发后,不会自动建立隧道,会等待兴趣流来触发隧道建立 |
|
管理状态 |
IPsec策略的使用状态,主要分为: · 开启:启用此策略 · 关闭:禁用此策略 |
|
操作 |
可对该策略进行编辑和删除操作 |
页面向导:虚拟专网→IPsec→监控信息
|
显示已添加的IPsec策略信息 |
|
页面中各参数的含义如下表所示。
表13-4 页面参数描述
|
页面参数 |
描述 |
|
策略名称 |
已建立的IPSEC隧道策略的名称 |
|
管理状态 |
已建立的IPsec VPN隧道的状态。仅显示建立成功的IPsec VPN隧道,状态为UP |
|
接口 |
报文的来源接口,即规则对从某一接口收到的数据包进行控制 |
|
本端地址 |
本端设备出口地址 |
|
对端地址 |
对端设备出口地址 |
|
安全协议 |
IPsec VPN使用的算法信息 |
|
操作 |
可对该隧道信息进行删除操作 |
本功能主要用于配置L2TP服务器端基本参数,开启L2TP服务。
如果您希望为企业驻外机构和出差人员等远端用户,提供一种安全且经济的方式,让他们能够与企业内部网络通信,访问企业内部网络资源,那么您可以通过配置L2TP服务器端来实现上述需求。
L2TP服务器端是具有PPP和L2TP协议处理能力的设备,通常位于企业内部网络的边缘。
页面向导:虚拟专网→L2TP→L2TP服务端
|
本页面为您提供如下主要功能: · 启用和关闭L2TP服务器端 · 添加L2TP组 · 修改/删除L2TP组 |
|
|
点击按钮开启/关闭L2TP服务端 |
|
|
新增L2TP组: 1. 单击<新增>按钮,弹出新增L2TP服务端对话框,配置相关参数 2. 单击<确认>按钮,完成配置 |
|
|
修改/删除L2TP组: 点击列表操作栏的“编辑”、“删除”图标,可对该表项进行修改和删除操作 |
|
页面中各参数的含义如下表所示。
表13-5 页面参数描述
|
页面参数 |
描述 |
|
启用L2TP服务器端 |
是否开启L2TP服务器端功能。若开启该功能,企业内部成员可在出差时通过该方式远程访问企业内部资源。 缺省关闭L2TP服务器端功能 |
|
对端隧道名称 |
L2TP客户端的隧道名称。可根据需要进行选择是否勾该配置项,配置该参数时,则在配置项处输入L2TP客户端的隧道名称。取值为1~31个字符,不支持输入#、英文分号和空格 |
|
本端隧道名称 |
L2TP服务器端的隧道名称。取值为1~31个字符,仅支持英文字母[a-z,A-Z]、数字和下划线 |
|
隧道验证 |
是否开启L2TP隧道验证功能,若开启该功能,则需输入隧道验证密码。该方式更加安全,但需要L2TP服务器端和L2TP客户端都启用隧道验证,且密码一致。隧道验证密码不支持输入#、英文问号、英文分号和空格 |
|
PPP认证方式 |
L2TP用户的认证方式,主要分为: · None:对用户免认证。该方式,安全性最低,请谨慎使用 · PAP:采用两次握手机制对用户进行认证。该方式,安全性中 · CHAP:采用三次握手机制对用户进行认证。该方式,安全性最高 · MSCHAP:采用了对称加密来增强安全性 · MSCHAPv2:MS-CHAP的改进版本,采用了更强的哈希算法并加强了加密过程 |
|
虚拟模板接口地址 |
虚拟模板接口的IP地址,即L2TP服务器端可为L2TP客户端或用户分配IP地址 |
|
子网掩码 |
虚拟模板接口IP地址的子网掩码,例如255.255.255.0 |
|
DNS1和DNS2 |
分配给L2TP客户端或用户的主备DNS。DNS1与DNS2不能相同 |
|
用户地址池 |
给L2TP客户端分配地址所用的地址池。用户地址池中不能包含已配置的虚拟模板接口地址 |
|
Hello报文间隔 |
L2TP服务端和客户端之间发送Hello报文的时间间隔,Hello报文用于检测LAC和LNS之间隧道的连通性,单位为秒 |
页面向导:虚拟专网→L2TP→L2TP服务端
|
本页面为您提供如下主要功能: · 显示已添加的L2TP用户信息 · 单个添加L2TP用户 · 批量导入L2TP用户 · 导出L2TP用户 · 修改/删除L2TP用户 |
|
|
单个添加L2TP用户: 1. 单击<新增>按钮,弹出新增L2TP用户对话框,输入相关配置项 2. 单击<确认>按钮,完成操作 |
|
|
批量导入L2TP用户: 1. 单击<导入>按钮,弹出导入L2TP用户列表对话框 2. 点击<上传文件>按钮,弹出选择要加载的文件对话框,选中已编辑好的模板 3. 单击<导入>按钮,完成配置 |
|
|
导出当前L2TP用户(单击<导出>按钮,系统会自动导出当前L2TP用户列表。) |
|
|
修改/删除L2TP用户: 点击列表操作栏的“编辑”、“删除”图标,可对该表项进行修改和删除操作 |
|
页面中各参数的含义如下表所示。
表13-6 页面参数描述
|
页面参数 |
描述 |
|
账号名 |
L2TP客户端的用户名。取值为1~55个字符,仅支持英文字母[a-z,A-Z]、数字和下划线 |
|
状态 |
L2TP客户端的状态。主要分为: · 启用:允许L2TP客户端使用该用户建立会话 · 禁用:禁止L2TP客户端使用该用户建立会话 |
|
密码 |
L2TP客户端的账号密码 |
|
最大用户数 |
最多允许多少个L2TP客户端连入企业内部网络 |
|
有效日期 |
L2TP客户端权限的到期日期。主要分为: · 开启:需在日期选择框中选择用户权限的到期日期 · 关闭:用户权限一直有效 |
|
连接数 |
L2TP客户端的在线数量 |
|
描述 |
规则的描述信息,可对规则进行简单的描述,方便使用 |
|
操作 |
可对该配置进行编辑和删除操作 |
本功能主要用于配置L2TP客户端基本参数,开启L2TP服务。
如果您希望为企业驻外机构,提供一种安全且经济的方式,让他们能够与企业内部网络通信,访问企业内部网络资源,那么您可以通过配置L2TP客户端来实现上述需求。
L2TP客户端是具有PPP和L2TP协议处理能力的设备,通常位于企业驻外机构网络的出口。
|
本页面为您提供如下主要功能: · 启用和关闭L2TP客户端 · 新增L2TP组 · 修改/删除L2TP组 |
|
|
点击按钮开启/关闭L2TP服务端 |
|
|
新增L2TP组: 1. 单击<新增>按钮,弹出新增L2TP客户端对话框,配置相关参数 2. 单击<确认>按钮,完成配置 |
|
|
修改/删除L2TP组: 点击列表操作栏的“编辑”、“删除”图标,可对该表项进行修改和删除操作 |
|
页面中各参数的含义如下表所示。
表13-7 页面参数描述
|
页面参数 |
描述 |
|
启用L2TP客户端 |
是否开启L2TP客户端功能。若开启该功能,设备将作为L2TP客户端访问企业内部网络资源 |
|
本端隧道名称 |
L2TP客户端的隧道名称。取值为1~31个字符,仅支持英文字母[a-z,A-Z]、数字和下划线 |
|
地址获取方式 |
L2TP隧道建立成功后PPP接口的IP地址获取方式, 主要分为: · 静态:L2TP客户端手工设置一个IP(由L2TP服务端管理员分配) · 动态:由L2TP服务端为虚拟PPP接口动态分配IP地址。缺省为动态获取 |
|
隧道验证 |
是否开启L2TP隧道验证功能。若开启该功能,则需输入隧道验证密码,该方式更加安全,但需要L2TP服务器端和L2TP客户端都启用隧道验证,且密码一致。隧道验证密码不支持输入#、英文问号、英文分号和空格 |
|
隧道密码 |
认证使用的用户名对应的密码 |
|
PPP认证方式 |
L2TP用户的认证方式,主要分为: · None:对用户免认证。该方式,安全性最低,请谨慎使用 · PAP:采用两次握手机制对用户进行认证。该方式,安全性中 · CHAP:采用三次握手机制对用户进行认证。该方式,安全性最高 · MSCHAP:采用了对称加密来增强安全性 · MSCHAPv2:MS-CHAP的改进版本,采用了更强的哈希算法并加强了加密过程 |
|
用户名 |
认证使用的用户名。取值为1~55个字符,不能包含英文问号(?)。当“PPP认证方式”选择PAP或CHAP时,需设置该参数 |
|
密码 |
认证使用的用户名对应的密码。取值为1~63个字符。当“PPP认证方式”选择PAP或CHAP时,需设置该参数 |
|
NAT地址转换 |
地址转换功能,配置该参数时,可根据实际需求选择是否启用该功能 · 开启:L2TP服务器端不需配置到达客户端的路由 · 关闭:L2TP服务器端需配置到达客户端的路由,L2TP客户端才能正常访问服务端资源 |
|
服务器地址 |
L2TP服务端的IP地址或域名 |
|
Hello报文间隔 |
L2TP服务端和客户端之间发送Hello报文的时间间隔,hello报文用于检测LAC和LNS之间隧道的连通性,单位为秒 |
页面向导:虚拟专网→L2TP→隧道信息
|
显示L2TP隧道信息 |
|
页面中各参数的含义如下表所示。
表13-8 页面参数描述
|
页面参数 |
描述 |
|
账号名 |
L2TP服务端/客户端的用户名 |
|
本端隧道编号 |
本端已建立隧道的ID号 |
|
对端隧道编号 |
对端已建立隧道的ID号 |
|
本端地址 |
L2TP客户端的IP地址 |
|
对端隧道端口 |
L2TP客户端和服务端建立连接使用的服务端口 |
|
对端隧道IP地址 |
L2TP服务端的IP地址 |
|
对端隧道名称 |
L2TP服务端的隧道名称 |
|
会话数目 |
L2TP服务端和客户端之间建立会话的数目 |
|
上行流速(Mbps) |
L2TP客户端访问企业内部网络的上行流量速率 |
|
下行流速(Mbps) |
L2TP客户端访问企业内部网络的下行流量速率 |
|
操作 |
可对该隧道信息做删除操作 |
蒲公英SD-WAN,为个人和企业用户提供简单、安全、稳定、灵活的异地组网方案。让用户不受地域及公网IP限制,快速组建异地虚拟局域网络,打破信息传输壁垒,解决数据远程互访的难题。
页面向导:虚拟专网→蒲公英
|
本页面为您提供如下主要功能: · 开启/关闭蒲公英智能组网 · 输入贝锐账号或SN码、密码后单击<登录>按钮,快速组建异地虚拟局域网络 |
|
|
· 登录成功后,单击<查看网络>按钮,可跳转至蒲公英管理平台查看组网详情 · 单击<退出登录>按钮,设备将自动退出蒲公英智能组网 |
|
页面中各参数的含义如下表所示。
表13-9 页面参数描述
|
页面参数 |
描述 |
|
蒲公英智能组网 |
是否开启蒲公英智能组网功能。若开启该功能,可通过登录贝锐账号或SN码,快速组建异地虚拟局域网络 |
|
注册账号 |
跳转至贝锐账号注册界面,根据实际情况选择账号类型,进行注册 |
|
登录 |
· 使用贝锐账号登录:登录后会自动生成一个SN码,实现设备组网 · 使用SN码登录:在蒲公英管理平台完成创建SN码和组网后,使用创建的SN码登录,实现设备组网。注意:若使用相同的SN码在不同的设备上登录,会导致先前的设备退出组网 |
|
查看网络 |
跳转至蒲公英管理平台,查看组网详情。 |
|
退出登录 |
退出登录后,设备将自动退出蒲公英智能组网。 |
如果您通过设备的WAN接口来提供Web、Mail或者FTP等服务,且希望在设备WAN接口的IP发生变化的情况下(如宽带拨号方式下),用户仍然能够通过固定的域名访问设备提供的服务,那么需要在设备上的提供Web、Mail或者FTP等服务的WAN接口上配置DDNS(Dynamic Domain Name System,动态域名系统)服务。
使用DDNS服务之前,需要提前在DDNS服务器(即DDNS服务提供商,如花生壳网站)上注册账户,设置密码。之后,当设备WAN接口的IP地址变化时,设备会自动通知DDNS服务器更新记录的IP地址和固定域名的映射关系。
设备向DDNS服务器申请域名时,请保证WAN接口地址为公网IP地址。
页面向导:高级选项→域名服务→动态DNS
|
本页面为您提供如下主要功能: · 显示已添加的动态DNS详细信息 · 新增动态DNS · 修改/删除已添加的动态DNS |
|
|
新增动态DNS: 1. 单击<新增>按钮,弹出新增对话框,选择设备上提供相应服务的WAN接口,并输入服务提供商处注册的域名、用户名和密码等信息 2. 单击<确认>按钮,完成配置 |
|
|
修改/删除动态DNS: 点击列表操作栏的“编辑”、“删除”图标,可对该表项进行修改和删除操作 |
|
表14-1 页面参数描述
|
页面参数 |
描述 |
|
WAN接口 |
设备上提供服务的WAN接口,例如WAN1口 |
|
域名 |
为设备分配的域名,配置该参数时,需提前在DDNS服务器(即DDNS服务提供商,如花生壳网站)上注册 |
|
服务提供商 |
动态DNS服务提供商,主要包括: · www.3322.org、ORAY(花生壳)、阿里云、腾讯云:若服务器地址与缺省情况不同,需在“服务器地址”配置项处修改DDNS服务器地址 · 自定义:选择此选项,需在“服务器地址”配置项处手动输入DDNS服务器地址 |
|
用户名 |
在动态DNS服务提供商处注册的用户名 |
|
密码 |
在动态DNS服务提供商处注册的密码 |
|
DDNS功能 |
是否开启DDNS功能。若开启该功能,设备将按照配置的DDNS策略及规则进行工作。缺省开启DDNS功能 |
|
状态 |
动态DNS的连接状态,主要分为: · 已连接:该WAN接口已与域名建立动态DNS连接 · 未连接:该WAN接口未与域名建立动态DNS连接 |
|
操作 |
可对该配置进行编辑和删除操作 |
静态DNS就是手工建立域名和IP地址之间的对应关系。当您使用域名访问设备提供的服务(Web、Mail或者FTP等服务)时,系统会查找静态DNS解析表,从中获取指定域名对应的IP地址。
页面向导:高级选项→域名服务→静态DNS
|
本页面为您提供如下主要功能: · 显示已添加的静态DNS详细信息 · 添加静态DNS · 修改/删除已添加的静态DNS |
|
|
添加静态DNS: 1. 单击<新增>按钮,弹出新建静态DNS对话框,输入网络设备的域名和IP地址 2. 单击<确认>按钮,完成配置 |
|
|
修改/删除静态DNS: 点击列表操作栏的“编辑”、“删除”图标,可对该表项进行修改和删除操作 |
|
表14-2 页面参数描述
|
页面参数 |
描述 |
|
域名 |
为设备分配的域名。配置该参数时,该域名需与设备IP地址一一对应 |
|
IP地址 |
设备的IP地址,即域名对应的IP地址 |
|
描述 |
规则的描述信息,可对规则进行简单的描述,方便使用 |
|
操作 |
可对该配置进行编辑和删除操作 |
内网终端可以通过本地域名地址访问设备的Web管理页面。
设置的本地域名地址不能与互联网中已注册的域名重复。
页面向导:高级选项→域名服务→本地域名服务
|
设置本地域名服务: 1. 开启本地域名服务功能 2. 设置本地域名地址 3. 单击<应用>按钮,完成配置 |
|
表14-3 页面各参数项描述
|
页面参数 |
描述 |
|
本地域名服务 |
选择是否开启本地域名服务。缺省为开启 |
|
本地域名地址 |
内网终端用于访问设备Web管理页面的域名 |
内网终端在连接无线热点时可以自动跳转设置的终端自动访问地址,该地址既可以是内网服务器的IP地址、域名或者URL,也可以是公网的IP地址、域名或者URL。
· 当配置访问地址为域名或者URL时,请确保域名部分能够正确解析为IP地址,否则可能会导致无法正常跳转。
· 此功能通常用于跳转至内部服务器地址,不建议配置公网地址,某些公网网站(例如百度,淘宝等)无法正常使用该功能。
页面向导:高级选项→域名服务→终端自动访问Web服务
|
设置终端自动访问Web服务: 1. 开启终端自动访问Web服务功能 2. 输入内网终端用于自动跳转的Web页面的域名或者IP地址 3. 单击<应用>按钮,完成配置 |
|
表14-4 页面各参数项描述
|
页面参数 |
描述 |
|
终端自动访问Web服务 |
选择是否开启终端自动访问Web服务。缺省为关闭 |
|
终端自动访问地址 |
内网终端用于自动跳转的Web页面的IP地址、域名或者URL |
SNMP(Simple Network Management Protocol,简单网络管理协议)广泛用于网络设备的远程管理和操作。SNMP允许管理员通过NMS对网络上不同厂商、不同物理特性、采用不同互联技术的设备进行管理,包括状态监控、数据采集和故障处理。
SNMP网络架构由三部分组成:NMS、Agent和MIB。
· NMS(Network Management System,网络管理系统)是SNMP网络的管理者,能够提供友好的人机交互界面,来获取、设置Agent上参数的值,方便网络管理员完成大多数的网络管理工作。
· Agent是SNMP网络的被管理者,负责接收、处理来自NMS的SNMP报文。在某些情况下,如接口状态发生改变时,Agent也会主动向NMS发送告警信息。
· MIB(Management Information Base,管理信息库)是被管理对象的集合。NMS管理设备的时候,通常会关注设备的一些参数,比如接口状态、CPU利用率等,这些参数就是被管理对象,在MIB中称为节点。每个Agent都有自己的MIB。MIB定义了节点之间的层次关系以及对象的一系列属性,比如对象的名称、访问权限和数据类型等。被管理设备都有自己的MIB文件,在NMS上编译这些MIB文件,就能生成该设备的MIB。NMS根据访问权限对MIB节点进行读/写操作,从而实现对Agent的管理。
设备支持SNMPv1、SNMPv2c和SNMPv3三种版本,只有NMS和Agent使用的SNMP版本相同时,NMS才能和Agent建立连接。
· SNMPv1采用团体名(Community Name)认证机制。团体名类似于密码,用来限制NMS和Agent之间的通信。如果NMS配置的团体名和被管理设备上配置的团体名不同,则NMS和Agent不能建立SNMP连接,从而导致NMS无法访问Agent,Agent发送的告警信息也会被NMS丢弃。
· SNMPv2c也采用团体名认证机制。SNMPv2c对SNMPv1的功能进行了扩展:提供了更多的操作类型;支持更多的数据类型;提供了更丰富的错误代码,能够更细致地区分错误。
· SNMPv3采用USM(User-Based Security Model,基于用户的安全模型)认证机制。网络管理员可以配置认证和加密功能。认证用于验证报文发送方的合法性,避免非法用户的访问;加密则是对NMS和Agent之间的传输报文进行加密,以免被窃听。采用认证和加密功能可以为NMS和Agent之间的通信提供更高的安全性。
页面向导:高级选项→SNMP→基本设置
|
SNMP基本设置: 1. 开启SNMP功能,并设置SNMP版本、联系信息、设备位置和本地引擎ID等信息 2. 单击<应用>按钮,完成配置 |
|
表14-5 页面参数描述
|
页面参数 |
描述 |
|
SNMP |
是否开启SNMP功能。若开启该功能,设备将允许管理员通过NMS(网络管理系统)对SNMP Agent进行管理,包括状态监控、数据采集和故障处理 |
|
SNMP版本 |
设备使用的SNMP版本号,配置该参数时,可根据需要进行选择: · 若NMS(网络管理系统)使用的是SNMPv1版本,则选择“SNMPv1” · 若NMS(网络管理系统)使用的是SNMPv2版本,则选择“SNMPv2” · 若NMS(网络管理系统)使用的是SNMPv3版本,则选择“SNMPv3” |
|
联系信息 |
设备维护联系信息。若设备发生故障,维护人员可利用维护联系信息,及时与设备生产厂商取得联系。联系信息长度为1-255个字符,不支持中文、英文格式的问号、全空格,以及换行符 |
|
设备位置 |
设备物理位置的信息。设备位置长度为1-255个字符,不支持中文、英文格式的问号、全空格,以及换行符 |
|
本地引擎ID |
设备的本地引擎ID信息。ID信息为10-64位、16进制格式的字符,只支持输入0-9、a-f和A-F字符,且长度必须为偶数 |
|
SNMP信任主机IPv4地址 |
NMS(网络管理系统)的IP地址,即允许指定的NMS对SNMP Agent进行访问。若不设置该项,即不对NMS进行限制 |
|
NMS主监控接口 |
NMS(网络管理系统)管理SNMP Agent所用到的Agent的主接口。例如:WAN1 |
|
NMS辅监控接口 |
NMS(网络管理系统)管理SNMP Agent所用到的Agent的备用接口。当设备设置为单WAN口时,不支持该设置 |
|
TRAP功能 |
是否开启TRAP功能。若开启该功能,当SNMP Agent出现特定事件,例如性能问题或者网络设备接口宕机等,SNMP Agent会主动给NMS(网络管理系统)发送告警信息 |
|
目的地址 |
NMS(网络管理系统)的IP地址或域名地址。即接收设备TRAP消息的主机地址 |
|
UDP端口 |
TRAP消息转发使用的UDP端口号,缺省为162。若不使用缺省端口号,可以自定义端口号,取值为1~65535 |
|
安全名 |
SNMPv1、SNMPv2c的团体名或SNMPv3的用户名 |
|
安全模式 |
安全名对应的SNMP Agent版本号 |
团体名设置只支持SNMPv1、SNMPv2c版本。
页面向导:高级选项→SNMP→团体名设置
|
本页面为您提供如下主要功能: · 显示已添加的团体名详细信息 · 添加团体名 · 修改/删除已添加的团体名 |
|
|
添加团体名: 1. 单击<新增>按钮,弹出对话框,输入团体名和访问权限 2. 单击<确认>按钮,完成配置 |
|
|
修改/删除团体名: 点击列表操作栏的“编辑”、“删除”图标,可对该表项进行修改和删除操作 |
|
表14-6 页面参数描述
|
页面参数 |
描述 |
|
团体名 |
SNMPv1、SNMPv2c版本采用的认证机制,用于SNMP Agent对NMS(网络管理系统)进行认证。配置该参数时,NMS上配置的团体名和SNMP Agent上配置的团体名需一致 |
|
访问权限 |
该团体的访问权限,主要分为:只读、读写 |
|
操作 |
可对该配置进行编辑操作 |
用户设置只支持SNMPv3版本,用于添加SNMPv3版本的用户名。
页面向导:高级选项→SNMP→用户设置
|
本页面为您提供如下主要功能: · 显示已添加的用户设置详细信息 · 添加用户信息 · 修改/删除已添加的用户信息 |
|
|
添加用户信息: 1. 单击<新增>按钮,弹出添加用户对话框,输入用户名、认证密码和加密密码等信息 2. 单击<确认>按钮,完成配置 |
|
|
修改/删除用户信息: 点击列表操作栏的“编辑”、“删除”图标,可对该表项进行修改和删除操作 |
|
表14-7 页面参数描述
|
页面参数 |
描述 |
|
用户名 |
SNMPv3版本的用户名 |
|
认证模式 |
用户认证的算法,主要分为: · MD5:表示采用MD5认证算法 · SHA:表示采用SHA认证算法 · None:表示不认证 |
|
认证密码 |
用户认证的密码。当认证模式设置为MD5或SHA时,需要配置此参数。密码长度为1-64个字符,能包含英文字母[a-z,A-Z]、数字,以及~!@#$%^&*()_+`-={}|[]:'<>?,./字符;区分大小写 |
|
认证密码确认 |
再次输入认证密码 |
|
加密模式 |
用户认证的加密模式,主要分为: · DES56:表示采用DES56加密模式 · None:表示不加密 |
|
加密密码 |
加密的密码。当认证模式和加密模式设置不为None时,需配置此参数。密码长度为1-64个字符,能包含英文字母[a-z,A-Z]、数字,以及~!@#$%^&*()_+`-={}|[]:'<>?,./字符;区分大小写 |
|
加密密码确认 |
再次输入加密密码 |
PPPoE(Point-to-Point Protocol over Ethernet,在以太网上承载PPP协议)是一种将PPP协议应用于以太网的扩展技术。通过为用户分配宽带账号和密码,并结合认证与计费服务,实现对每台接入设备的控制、认证和计费功能。目前,这项技术被广泛应用于小区网络和租户环境。
· PPPoE服务器的地址池范围不能与其他接口的IP地址和网段冲突。
· 基于VLAN的防火墙规则、流量排行等功能暂时无法对PPPoE虚拟接口生效。
页面向导:高级选项→PPPoE服务器→配置管理
|
本页面为您提供如下主要功能: · 开启/关闭PPPoE服务器功能 · 配置PPPoE服务器相关参数 · 单击<应用>按钮,完成配置 |
|
表14-8 页面参数描述
|
页面参数 |
描述 |
|
PPPoE服务器 |
启用或关闭PPPoE服务器功能。 |
|
强制PPPoE拨号 |
启用或关闭强制拨号功能。启用后,该VLAN下仅拨号用户和例外IP的用户可以访问网络。 |
|
IP地址 |
PPPoE服务器的地址 |
|
地址池 |
为客户端分配的IP地址池的起始地址和结束地址 |
|
VLAN |
需要进行PPPoE拨号的局域网VLAN。 |
|
DNS1 |
首选DNS服务器地址。 |
|
DNS2 |
备选DNS服务器地址。 |
|
LCP超时重传次数 |
最大未响应链路控制协议包数量。当一个连接的未响应LCP包数超过此数值时,PPPoE服务器将自动断开该连接。 |
|
认证方式 |
对用户身份验证的认证方式,包括PAP、CHAP、MSCHAP和MSCHAPv2,使用时至少选择一种。 |
最多配置账户管理数据80条,最多同时登录人数40人。
页面向导:高级选项→PPPoE服务器→账户管理
|
本页面为您提供如下主要功能: · 显示已添加的账户详细信息 · 添加账户 · 删除已添加的账户 · 修改已添加的账户 |
|
|
添加账户: 1. 单击<新增>按钮,弹出添加账户对话框,设置账户名、密码、有效日期、状态等信息 2. 单击<确认>按钮,完成配置 |
|
|
修改/删除账户信息: 点击列表操作栏的“编辑”、“删除”图标,可对该表项进行修改和删除操作 |
|
表14-9 页面参数描述
|
页面参数 |
描述 |
|
账号名 |
自定义用户拨号所使用的用户名。 |
|
密码 |
自定义用户拨号所使用的密码。 |
|
有效日期 |
账户的到期时间。 |
|
状态 |
账户的当前状态。 |
|
启用流量套餐限速 |
启用或禁用流量套餐限速功能。启动后,可选择特定账户套餐,对PPPoE拨号用户进行带宽限制。 |
|
描述 |
规则的描述信息,可对规则进行简单的描述,方便使用。 |
|
操作 |
可对该配置进行编辑和删除操作。 |
对PPPoE拨号上网用户进行共享带宽限速,该账户套餐内的所有用户共同使用设定的限制带宽。
页面向导:高级选项→PPPoE服务器→账户套餐
|
本页面为您提供如下主要功能: · 显示已添加的套餐信息 · 添加套餐 · 修改/删除已添加的套餐 |
|
|
添加套餐: 1. 单击<新增>按钮,弹出添加套餐对话框,设置套餐名称、上下行带宽、应用接口等信息 2. 单击<确认>按钮,完成配置 |
|
|
修改/删除套餐信息: 点击列表操作栏的“编辑”、“删除”图标,可对该表项进行修改和删除操作 |
|
表14-10 页面参数描述
|
页面参数 |
描述 |
|
套餐名称 |
自定义账户套餐的名称。 |
|
上行保证带宽 |
当线路拥塞时,套餐内所有用户上传方向可共享的最大带宽值。 |
|
上行弹性最大带宽 |
当线路空闲时,套餐内所有用户上传方向可共享的最大带宽值。 |
|
下行保证带宽 |
当线路拥塞时,套餐内所有用户下载方向可共享的最大带宽值。 |
|
下行弹性最大带宽 |
当线路空闲时,套餐内所有用户下载方向可共享的最大带宽值。 |
|
应用接口 |
选择应用此套餐的网络接口。 |
|
操作 |
可对该配置进行编辑和删除操作。 |
例外IP管理的用户无需拨号即可上网,即使启用了强制PPPoE拨号功能。
例外IP管理中的IP地址为局域网用户终端的本地IP地址。
页面向导:高级选项→PPPoE服务器→例外IP管理
|
本页面为您提供如下主要功能: · 显示已添加的例外IP地址信息 · 添加例外IP · 修改/删除已添加的例外IP |
|
|
添加例外IP: 1. 单击<新增>按钮,弹出添加例外IP对话框,选择现有地址组或新创建地址组、设置该例外IP状态 2. 单击<确认>按钮,完成配置 |
|
|
修改/删除例外IP: 点击列表操作栏的“编辑”、“删除”图标,可对该表项进行修改和删除操作 |
|
表14-11 页面参数描述
|
页面参数 |
描述 |
|
地址组 |
选择IP所属的分组。 |
|
备注 |
对该例外IP的备注说明。 |
|
状态 |
开启或关闭此例外IP的功能。 |
页面向导:高级选项→PPPoE服务器→在线用户
|
本页面为您提供如下主要功能: · 显示当前通过PPPoE拨号上网的用户信息 · 断开用户与PPPoE服务器的连接 |
|
表14-12 页面参数描述
|
页面参数 |
描述 |
|
用户名 |
PPPoE拨号的账户名。 |
|
用户地址 |
为已拨号客户端分配的PPPoE地址。 |
|
用户MAC |
客户端MAC地址。 |
|
上线日期 |
客户端拨号上网的日期。 |
|
断开连接 |
可对在线用户进行断开连接操作。 |
UPnP(Universal Plug and Play,通用即插即用)功能是针对设备彼此间通讯而定制的一组协议的统称。设备作为UPnP网关,主要功能是完成端口自动映射,UPnP实现端口自动映射需要满足三个条件:
· 设备必须开启UPnP功能;
· 内网主机的操作系统必须支持并开启UPnP功能;
· 应用程序必须支持并开启UPnP功能,如迅雷、BitComet、电骡eMule、MSN等软件都支持UPnP功能。
设备开启UPnP功能后,可以为支持该功能的应用程序自动添加端口映射,加速点对点的传输,还可以解决一些传统业务(比如,MSN)不能穿越NAT的问题。但开启UPnP功能也会为支持该功能的非法应用程序建立映射,存在安全隐患。
· 如果您的操作系统或者应用程序不支持UPnP功能,可通过配置虚拟服务器或端口触发,手工配置完成端口映射的配置,其效果是一样的。
· UPnP映射失败的原因很多,比如:
¡ 系统服务中禁止了SSDP服务(用于寻找UPnP设备),需要在系统服务中开启该服务。
¡ 开启了操作系统下的SP1的网络连接防火墙。操作系统的网络连接防火墙与UPnP设备发现有冲突,SP2修复了这个问题,但是仍然需要在防火墙设置中允许例外:UPnP框架。
¡ 应用软件或设备不支持UPnP功能。
页面向导:高级选项→UpnP
|
设置UPnP |
|
表14-13 页面参数项述
|
页面参数 |
描述 |
|
UPnP |
是否开启UPnP功能。若开启该功能,设备将为支持该功能的应用程序自动添加端口映射,加速点对点的传输,还可以解决一些传统业务(比如,MSN)不能穿越NAT的问题。缺省关闭UPnP功能 设置完成,需点击“应用”按钮,使配置生效 |
通过本功能可以设置设备信息和系统时间。设备信息包括设备名称、设备位置和网络管理员的联系信息,方便管理员管理和定位设备。系统时间包括日期、时间和时区等。为了便于管理设备,并保证本设备与其它网络设备协同工作,您需要为设备配置准确的系统时间。
系统时间的获取方式有两种:
· 手工设置日期和时间。该方式下,用户手工指定的日期和时间即为当前的系统时间。后续,设备使用内部时钟信号计时。如果设备重启,系统时间将恢复到出厂时间。
· 自动同步网络日期和时间。该方式下,设备使用从NTP服务器获取的时间作为当前的系统时间,并周期性地同步NTP服务器的时间,以便和NTP服务器的系统时间保持一致。即便本设备重启,设备也会迅速重新同步NTP服务器的系统时间。如果您管理的网络中有NTP服务器,推荐使用该方式,该方式获取的时间比手工配置的时间更精准。
设置系统时间,包括以下两种方式:
· 手动设置日期和时间。
· 自动同步网络日期和时间。
了解设备所处的时区。全球分为24个时区,请将设备的时区配置为设备所在地理区域的时区。例如,设备在中国,请选择“北京,重庆,香港特别行政区,乌鲁木齐(GMT+08:00)”;如果设备位于美国,请选择“中部时间(美国和加拿大)(GMT-06:00)”。
页面向导:系统工具→系统设置
|
选择自动同步方式: 1. 将时区配置为设备所在地理区域的时区 2. 配置NTP服务器的IP地址或域名 3. 单击<应用>按钮,完成配置 |
|
|
选择手动设置方式: 1. 将时区配置为设备所在地理区域的时区 2. 设置日期和时间 3. 单击<应用>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表15-1 页面参数描述
|
页面参数 |
描述 |
|
系统时间 |
设备所在地理区域的当前时间 |
|
时区 |
设备所在地理区域的时区 |
|
同步方式 |
设备日期和时间的同步方式。可根据需要进行选择: · 手动设置:手动将设备时间配置为设备所在地理区域的当前时间 · 自动同步:设备自动同步NTP服务器的时间 |
|
NTP服务器 |
输入NTP服务器的IP地址或者域名 |
|
缺省NTP服务器列表 |
查看设备内置的NTP服务器信息 |
为了更便于网络管理员管理网络中的设备,需要设置设备信息,其中包括设备的名称、位置以及网络管理员的联系信息。
页面向导:系统工具→系统设置
|
设置设备信息,包括设备名称、设备位置和网络管理员的联系信息 |
|
页面中各参数的含义如下表所示。
表15-2 页面参数描述
|
页面参数 |
描述 |
|
设备名称 |
输入设备的名称 |
|
设备位置 |
输入设备的位置 |
|
联系信息 |
输入网络管理员的联系信息 |
页面向导:系统工具→网络诊断→Ping
|
用于检测网络,测试另一台设备或主机是否可达 |
|
页面中各参数的含义如下表所示。
表15-3 页面参数描述
|
页面参数 |
描述 |
|
类型 |
Ping操作的类型 |
|
IPv4 |
使用IPv4协议进行操作,报文类型及地址格式为IPv4 |
|
IPv6 |
使用IPv6协议进行操作,报文类型及地址格式为IPv6。开启IPv6功能时可用 |
|
目标地址 |
输入需要Ping的目标IP地址或者域名。不支持输入\ ' " < > ; & ` #字符以及中文字符和空格。如果目标IP地址是设备的源IP地址,请选择接口为AUTO。 |
|
出接口 |
选择去往目标IP地址或者域名的设备接口。可根据需要进行选择: · AUTO:设备自动选择某一接口转发Ping报文 · WAN:从指定的WAN接口转发Ping报文 · VLAN:从指定的VLAN接口转发Ping报文 |
|
源IP地址 |
选择Ping操作的源IP地址。可根据需要进行选择: · AUTO:设备自动选择Ping操作的源IP地址 · WAN:指定WAN接口IP地址作为Ping操作的源IP地址 · VLAN:指定VLAN接口IP地址作为Ping操作的源IP地址 |
|
次数 |
Ping发送的次数。达到设置的数值时,发送停止 |
|
大小 |
Ping发送的数据包大小 |
|
开始 |
系统开始检测 |
|
停止 |
系统停止检测 |
|
结果 |
显示检测的过程和结果,说明网络发包的测试情况和与测试主机的往返平均时延 |
页面向导:系统工具→网络诊断→Tracert
|
用于检查从设备到达目标主机所经过的路由情况 |
|
页面中各参数的含义如下表所示。
表15-4 页面参数描述
|
页面参数 |
描述 |
|
类型 |
Tracert操作的类型 |
|
IPv4 |
使用IPv4协议进行操作,报文类型及地址格式为IPv4 |
|
IPv6 |
使用IPv6协议进行操作,报文类型及地址格式为IPv6。开启IPv6功能时可用 |
|
目标地址 |
需要路由跟踪的目标IP地址或域名 |
|
出接口 |
去往目标IP地址或者域名的设备接口。可根据需要进行选择: · AUTO:设备自动选择某一接口转发Tracert报文 · WAN:从指定的WAN接口转发Tracert报文 · VLAN:从指定的VLAN接口转发Tracert报文 |
|
源IP地址 |
选择Tracert操作的源IP地址。可根据需要进行选择: · AUTO:设备自动选择Tracert操作的源IP地址 · WAN:指定WAN接口IP地址作为Tracert操作的源IP地址 · VLAN:指定VLAN接口IP地址作为Tracert操作的源IP地址 |
|
TTL |
设置数据包在网络中的存活时间。系统根据设置的数值,限制数据包的转发。每经过一次路由,TTL的数值则-1;当TTL数值为0时,则系统丢弃该数据包 |
|
开始 |
系统开始检测 |
|
停止 |
系统停止检测 |
|
结果 |
显示检测的过程和结果 |
AC模式下,不支持网络自检。
页面向导:系统工具→网络诊断→网络自检
|
系统对网口接线、速率协商、WAN口设置、DHCP检测等配置进行自动网络检测 |
|
页面中各参数的含义如下表所示。
表15-5 页面参数描述
|
页面参数 |
描述 |
|
开始检测 |
系统进行检测并显示检测结果 |
页面向导:系统工具→网络诊断→抓包工具
|
用于将被镜像端口的报文自动复制到镜像端口,实时提供各端口传输状况的详细信息,方便网络管理人员进行流量监控、性能分析和故障诊断 |
|
页面中各参数的含义如下表所示。
表15-6 页面参数描述
|
页面参数 |
描述 |
|
源端口 |
选择镜像的源端口,即被监测的端口 |
|
方向 |
选择镜像的方向: · 若选择“入方向”,表示仅复制源端口收到的报文 · 若选择“出方向”,表示仅复制源端口发出的报文 · 若选择“双向”,表示对源端口收到和发出的报文都进行复制 |
|
目的端口 |
选择镜像的目的端口,即与数据监测设备相连的端口 |
|
应用 |
系统开始端口镜像 |
|
取消镜像 |
取消当前的端口镜像 |
页面向导:系统工具→网络诊断→抓包工具
|
用于抓取网络数据报文,以便更有效地分析网络故障。抓包完成后,会自动导出抓取的文件“capture-******.pcap”供用户保存到本地 |
|
页面中各参数的含义如下表所示。
表15-7 页面参数描述
|
页面参数 |
描述 |
|
接口 |
选择需要抓取数据的接口,支持当前路由器的所有的WAN、VLAN等接口 |
|
抓包长度 |
输入数据包的抓取长度,单位为字节。如果数据包长度大于此数值,数据包将会被截断。需要注意的是,采用长的抓取长度,会增加包的处理时间,并且会减少可缓存的数据包的数量,从而会导致数据包的丢失。所以,在能抓取我们想要的包的前提下,抓取长度越小越好 |
|
协议类型 |
选择需要过滤的协议类型。配置该参数时,可根据需要进行选择: · 若需控制所有协议报文,则选择“ALL” · 若需控制某网络层协议的报文,则选择“IP”或“ARP” · 若需控制Ping、Tracert等ICMP协议报文,则选择“ICMP” · 若需控制某传输层协议的报文,则选择“TCP”或“UDP” · 若需控制ISAKMP协议报文,则选择“ISAKMP” |
|
抓包文件大小 |
输入抓取报文的大小,单位为MB |
|
方向 |
选择抓取报文的方向,主要分为: · 入方向:表示仅抓取端口收到的报文 · 出方向:表示仅抓取端口发送的报文 · 双向:表示抓取端口收到和发送的报文。缺省为双向 |
|
源主机 |
抓取报文时过滤发出报文的主机。当抓包方向为“入方向”或“出方向”时,需配置此参数。 · 所有主机:抓取所有源主机的报文 · IP地址过滤:抓取特定IP地址发出的报文 · MAC地址过滤:抓取特定MAC地址发出的报文 |
|
目的主机 |
抓取报文时过滤接收报文的主机。当抓包方向为“入方向”或“出方向”时,需配置此参数。 · 所有主机:抓取所有目的主机的报文 · IP地址过滤:抓取特定IP地址接收的报文 · MAC地址过滤:抓取特定MAC地址接收的报文 |
|
过滤主机 |
抓取报文时过滤发出和接收报文的主机。当抓包方向为“双向”时,需配置此参数。 · 所有主机:抓取所有的目的主机的报文 · IP地址过滤:抓取特定IP地址接收的报文 · MAC地址过滤:抓取特定MAC地址接收的报文 |
|
开始抓包 |
系统开始进行抓包。抓包的过程和当前抓取的分组数显示在当前页面 |
|
取消 |
在抓包的过程中,您可以,终止当前的操作,并导出抓取的文件“capture-******.pacp” |
AC模式下,仅支持显示云连接状态。
页面向导:系统工具→远程管理
|
实现设备在云平台中被管理 |
|
页面中各参数的含义如下表所示。
表15-8 页面参数描述
|
页面参数 |
描述 |
|
云服务 |
是否开启云服务功能,若开启该功能,可实现设备在云平台中被管理 |
|
云平台服务器域名 |
云平台的域名 |
|
云连接状态 |
当前云连接状态 |
|
云管理状态 |
当前云管理状态 |
|
应用 |
完成配置 |
当管理员更改VLAN1的所在网段时,远程管理IP地址范围会自动随之更改。
页面向导:系统工具→远程管理
|
基于HTTP、HTTPS超文本传输协议的两种Web登录方式。HTTPS登录方式的安全性能高于HTTP登录方式。用户可以在PC上使用HTTP/HTTPS协议登录设备的Web界面,通过Web界面直观地配置和管理设备 |
|
页面中各参数的含义如下表所示。
表15-9 页面参数描述
|
页面参数 |
描述 |
|
允许所有用户访问web |
是否允许所有用户通过HTTP/HTTPS访问该设备 |
|
VLAN1管理地址 |
系统默认将VLAN1的直连网段地址加入预留管理地址,以保证WEB的正常访问 |
|
远程管理IP地址 |
通过Web访问设备的IP地址 |
|
远程管理IP地址范围 |
通过Web访问设备的IP地址段的起始地址和结束地址 |
|
远程管理排除IP地址 |
禁止通过Web访问设备的IP地址段的起始地址和结束地址 |
|
HTTP登录端口 |
输入HTTP方式登录设备对应的端口号 |
|
HTTPS登录端口 |
输入HTTPS方式登录设备对应的端口号 |
|
登录超时时间 |
Web管理界面的闲置超时时间。即管理员登录Web管理界面后,当闲置时间超过登录超时时间时,系统会自动注销该管理员。配置此参数后,在管理员下一次登录时生效 |
页面向导:系统工具→远程管理
|
SSH(Secure Shell)是一种加密的网络协议,用于在不安全的网络中安全地进行远程登录、文件传输和命令执行 |
|
页面中各参数的含义如下表所示。
表15-10 页面参数描述
|
页面参数 |
描述 |
|
SSH服务 |
是否开启SSH服务,若开启该服务,则允许计算机通过WAN口远程SSH管理此设备 |
|
远程管理IP地址 |
通过SSH访问设备的IP地址 |
|
远程管理IP地址范围 |
通过SSH访问设备的IP地址段的起始地址和结束地址 |
|
远程管理排除IP地址 |
禁止通过SSH访问设备的IP地址 |
|
远程管理端口 |
SSH方式远程管理设备的端口号,外部用户通过此端口号SSH方式登录设备进行管理,缺省值为22 |
页面向导:系统工具→远程管理
|
Telnet是一种实现远程登录服务的协议。用户可以在PC上通过Telnet方式登录设备,对设备进行远程管理 |
|
页面中各参数的含义如下表所示。
表15-11 页面参数描述
|
页面参数 |
描述 |
|
Telnet服务 |
是否开启Telnet服务。若开启该服务,则允许计算机通过WAN口远程Telnet管理此设备 |
|
远程管理IP地址 |
通过Telnet访问设备的IP地址 |
|
远程管理IP地址范围 |
通过Telnet访问设备的IP地址段的起始地址和结束地址 |
|
远程管理排除IP地址 |
禁止通过Telnet访问设备的IP地址 |
|
远程管理端口 |
输入Telnet方式远程管理设备的端口号,外部用户通过此端口Telnet方式登录设备进行管理 |
本功能用于对设备的配置文件进行管理。配置文件是指用来保存设备配置的文件。
主要功能包括:
· 备份配置:如果希望将当前配置文件导出作为备份配置文件,则需通过本功能将当前配置文件导出
· 导入配置信息:设备配置错误后,如果希望设备恢复到正确配置运行状态,则需通过本功能恢复设备配置。
· 恢复出厂配置:如果设备没有配置文件或者配置文件损坏时,希望设备能够正常启动运行,则需通过本功能将设备上的配置恢复到出厂状态。
· 从备份文件恢复设备配置时,需选择后缀名为.rar的文件。
· 在恢复设备配置的过程中,请确保设备供电正常。
· 恢复设备配置完成后,设备会自动根据新的配置重新启动。
页面向导:系统工具→配置管理
|
备份配置:单击<点击备份>按钮,将当前配置文件导出到本地 |
|
|
导入配置信息:单击<上传文件>按钮,在弹出的界面点击<上传文件>按钮,选择需要导入的文件,点击<确认>按钮即可 |
|
页面中各参数的含义如下表所示。
表15-12 页面参数描述
|
页面参数 |
描述 |
|
备份配置 |
将设备当前配置文件导出作为备份配置文件 |
|
导入配置信息 |
导入已备份的本地文件 |
页面向导:系统工具→配置管理
|
恢复出厂配置:单击<还原>按钮,在弹出的界面点击<确认>按钮,设备将恢复出厂配置并重启 |
|
页面中各参数的含义如下表所示。
表15-13 页面参数描述
|
页面参数 |
描述 |
|
恢复出厂配置 |
本操作将会删除设备上保存的配置文件,并立即重启设备,启动时系统将以出厂配置启动 |
· 请您在软件升级之前备份路由器当前的设置信息。如果升级过程中出现问题,您可以用其来恢复到原来的设置。
· 上传完成后,设备自动更新软件,完成后将重新启动。
· 升级过程中请勿给路由器断电,否则可能会造成路由器不能正常工作。
· 如果升级使用版本号更小或发布时间更早的版本文件,设备可能会出现配置兼容问题,不建议这样操作。
页面向导:系统工具→系统升级
|
通过手动升级方式: 1. 单击<上传文件>按钮,选择软件版本文件 2. 若需要设备在升级系统软件之后恢复出厂配置,则勾选“恢复出厂配置”选项 3. 单击<升级>按钮,升级软件版本 |
|
页面中各参数的含义如下表所示。
表15-14 页面参数描述
|
页面参数 |
描述 |
|
手动升级 |
通过手工升级系统软件,对设备版本进行升级 |
|
恢复出厂配置 |
设备在升级系统软件之后恢复出厂配置 |
· 自动升级前,请确保设备与云平台的状态为已连接。
· 在使用预约升级功能之前,请确认系统时间已设置为自动同步。
页面向导:系统工具→系统升级
|
通过自动升级方式 · 单击<自动升级>按钮,设备将从云平台自动升级最新的版本文件 · 开启预约升级功能后,设置预约升级时间,若检测到新软件版本,设备将在预约的时间自动升级 · 单击<查看>按钮,可查看预约升级的日志信息 |
|
页面中各参数的含义如下表所示。
表15-15 页面参数描述
|
页面参数 |
描述 |
|
自动升级 |
通过云平台对设备的系统软件进行升级 |
|
预约升级 |
通过检测时间设置,预约对系统软件进行自动升级操作。在进行自动升级前,需确保云连接状态为已连接 |
|
升级时间 |
设置检测的时间,系统会根据设置的时间检测是否存在新版本软件。如果检测到新版本软件,系统将立即升级软件 |
|
升级日志 |
查看预约升级的日志信息 |
重新启动设备可能会导致业务中断,请谨慎使用。
页面向导:系统工具→重新启动
|
立即重新启动设备 |
|
页面中各参数的含义如下表所示。
表15-16 页面参数描述
|
页面参数 |
描述 |
|
立即重启 |
立即重新启动设备 |
在使用定时重启功能之前,请确认系统时间已设置为自动同步。
页面向导:系统工具→重新启动
|
定时重新启动设备 |
|
页面中各参数的含义如下表所示。
表15-17 页面参数描述
|
页面参数 |
描述 |
|
定时重启 |
定时重新启动设备 |
|
定时时间 |
设定每周设备重启的具体时间 |
设备在运行过程中会生成系统日志。日志中记录了管理员在设备上进行的配置、设备的状态变化以及设备内部发生的重要事件等,为用户进行设备维护和故障诊断提供参考。
页面向导:系统工具→日志管理
|
单击<收集诊断信息>按钮,设备将收集设备诊断信息,并保存至本地 |
|
页面中各参数的含义如下表所示。
表15-18 页面参数描述
|
页面参数 |
描述 |
|
收集诊断信息 |
诊断信息为各功能模块的运行信息,用于定位问题。设备将该信息以压缩文件的形式自动保存到您的终端设备 |
用户可以将日志发送到日志服务器集中管理,也可以直接在Web页面查看日志。
日志划分为如下表所示的五个级别,各级别的严重性依照数值从0~4依次降低。了解日志级别,能帮助您迅速筛选出重点日志。
|
数值 |
信息级别 |
描述 |
|
0 |
错误 |
表示错误信息 |
|
1 |
警告 |
表示警告信息 |
|
2 |
通知 |
表示正常出现但是重要的信息 |
|
3 |
消息 |
表示需要记录的通知信息 |
|
4 |
纠错 |
表示调试过程产生的信息 |
页面向导:系统工具→日志管理
|
管理及显示日志信息 |
|
页面中各参数的含义如下表所示。
表15-20 页面参数描述
|
页面参数 |
描述 |
|
日志记录等级 |
选择日志记录的级别。当等级数值不大于日志记录等级数值的日志信息才会被路由器记录或允许发送到日志服务器 |
|
日志来源 |
日志信息的来源。可通过选择日志来源,控制日志信息的输出。可根据需要进行勾选: · 系统:记录设备运行中,记录部分功能模块的运行状态相关信息。缺省选择该参数,不可取消 · 配置:记录设备配置发生变化的信息 · 安全:记录设备防攻击、报文过滤、防火墙等相关信息 · 流量信息:记录IP、端口等流量信息 · VPN:记录VPN相关信息 |
|
记录到存储介质 |
若开启,系统生成的日志会记录到存储介质。 |
|
发送到日志服务器 |
若开启,系统产生的日志信息将发送到日志服务器进行统一管理。开启后,需输入日志服务器的IP地址,请确保设备和日志服务器能互相ping通 |
管理员设置功能是对登录设备的管理员账户信息进行管理。
|
1. 单击Web页面执行区域右上角的“管理员”图标,选择“修改密码”,进入修改密码页面 2. 分别输入旧密码、新密码、确认新密码 3. 单击<确定>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表16-1 页面参数描述
|
页面参数 |
描述 |
|
用户名 |
管理员的用户名 |
|
旧密码 |
管理员当前的登录密码 |
|
新密码 |
管理员新的登录密码。密码长度为10~63个字符,只能包含数字、英文字母或英文符号(除“空格”、“?”、“’”、“””、“\”字符之外)。密码必须包含至少两种类型的组合,并且不能包含admin的顺序或反序组合 |
|
确认密码 |
再次输入新密码,并确保与之前输入的新密码保持一致 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
