- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-正文
本章節下載: 01-正文 (6.89 MB)
|
如果您想? |
您可以查看 |
|
初識產品的大致形態、業務特性或者它在實際網絡應用中的定位 |
“產品概述” |
|
通過搭建Web環境來管理設備,同時想進一步熟悉其設置頁麵 |
|
|
通過Web設置頁麵對設備當前的設置狀態進行查詢或對係統運行情況進行監控等 |
“係統監控” |
|
通過Web設置頁麵來設置設備WAN口的上網參數、LAN口相關功能、VLAN應用、DHCP功能等 |
“接口管理” |
|
通過Web設置頁麵來設置設備的無線參數和AP參數,進行無線網絡管理 |
“無線管理” |
|
通過Web設置頁麵來設置交換機的工作模式、端口工作參數等 |
“交換機管理” |
|
通過Web設置頁麵來設置對用戶登錄設備的上網行為管理 |
“上網管理” |
|
通過Web設置頁麵來實現設備及網絡環境的安全性,比如:ARP安全、接入控製、防火牆等 |
“安全專區” |
|
通過Web設置頁麵來實現設備IPSec VPN功能和L2TP VPN功能 |
“設置IPSec VPN”和“設置L2TP特性” |
|
通過Web設置頁麵來設置設備WAN口的帶寬、IP流量限製 |
“設置QoS” |
|
通過Web設置頁麵來實現設備的高級業務功能,比如:NAT、虛擬服務器、路由管理等 |
“高級設置” |
|
通過Web設置頁麵對設備進行維護管理,比如:軟件升級、用戶管理等 |
“設備管理” |
|
通過具體的典型組網舉例來進一步理解設備的關鍵特性 |
“典型組網配置舉例” |
|
定位或排除使用設備過程中遇到的問題 |
|
|
獲取設備重要的缺省出廠配置信息 |
本章節主要包含以下內容:
· 產品簡介
· 主要特性
· 典型組網應用
H3C Mini GR-AX係列千兆無線路由器是高性能企業級Wi-Fi 6無線路由器,具備豐富的軟件功能、支持全麵的安全策略,主要麵向寫字樓、小微企業、辦事處以及商鋪等商業用戶。
設備使用了最新Wi-Fi 6無線技術,可以滿足超大麵積的無線覆蓋,以及多用戶高密接入需求,為企業提供專業、穩定、可靠的上網環境。同時提供非常簡便、易操作的Web設置頁麵,可以幫您快速地完成各功能特性需求的配置。
表2-1 本手冊適用產品列表
|
產品 |
描述 |
|
GR-3000AX |
· 提供1個10/100/1000Base-T LAN口、3個10/100/1000Base-T LAN/WAN口、1個10/100/1000Base-T WAN口 · 外置4根5dBi高增益全向天線,支持2.4GHz和5GHz雙頻覆蓋 · 工作頻段: ¡ 802.11b/g/n/ax:2.4GHz-2.483GHz(中國) ¡ 802.11a/n/ac/ax:5.15GHz-5.35GHz,5.725GHz-5.850GHz(中國) · 支持DC供電(12V/1.5A) · 無線傳輸速率:3000Mbps |
|
GR-5400AX |
· 提供1個10/100/1000Base-T LAN口、2個10/100/1000Base-T LAN/WAN口、1個10/100/1000Base-T WAN口、1個10/100/1000/2500Base-T WAN/LAN口 · 外置6根5dBi高增益全向天線,支持2.4GHz和5GHz雙頻覆蓋 · 工作頻段: ¡ 802.11b/g/n/ax:2.4GHz-2.483GHz(中國) ¡ 802.11a/n/ac/ax:5.15GHz-5.35GHz,5.725GHz-5.850GHz(中國) · 支持AC供電(100-240V) · 無線傳輸速率:5400Mbps |
本手冊中所涉及的Web設置頁麵僅供參考,且以H3C Mini GR-5400AX路由器(下文簡稱GR-5400AX)為例,請以實際為準。此外,手冊中所描述的功能特性規格可能隨產品的升級而發生改變,恕不另行通知。詳情您可以向H3C公司市場人員或技術支援人員谘詢獲取。
· Wi-Fi 6無線技術
¡ 支持最新Wi-Fi 6無線標準,接入用戶更多,每個用戶上網速率更快。
¡ 支持2.4GHz和5GHz雙頻覆蓋。
¡ 內置企業級無線信號放大器(PA),以及獨立的低噪功放接收電路(LNA),讓無線信號更強勁,有效過濾環境噪聲。
¡ 外置多根高增益全向天線,可實現超大麵積辦公區域的無線覆蓋。
· 支持LAN/WAN切換,負載均衡
¡ 支持LAN/WAN切換,便於多運營商接入,提高出口上網速率。
¡ 支持負載均衡,可以讓用戶根據線路實際帶寬分配網絡流量,達到充分利用帶寬的目的。
¡ 支持帶寬保障,當其中一條運營商線路出現故障時,其餘線路也能正常工作,上網不受影響。
· 易用無線
¡ 內置無線AC功能,支持對H3C Mini係列無線AP的統一管理。
¡ 支持無線一鍵優化,無線網優一鍵搞定。
¡ AP零配置,即插即用。
· 便捷的VPN組網能力
¡ 支持IPSec VPN,通過簡易的WEB配置實現端到端安全的VPN連接,支持多種加密算法,是分支節點理想的接入設備。
¡ 支持L2TP VPN,同時支持LNS(服務器模式)、LAC(客戶端模式),使總部+分支機構的組網方式更便捷、更安全。
· 企業級的安全防護
¡ 內置專業的防火牆,可以防護外部多種專業的攻擊手段,如:ARP攻擊等。
¡ 支持ARP防偽認證功能,可以有效地避免內部PC中毒後引起的網絡中斷,有效保障上網體驗。
· 提供非常簡便的Web設置頁麵,配置直觀、易操作、使用複雜度低。
· 每個Web設置頁麵均提供詳細的聯機幫助,供您查閱。
· 提供了豐富的統計信息和狀態信息顯示功能,使您對設備當前的運行狀態一目了然。
· 支持通過本地和遠程Web方式對設備進行詳細的配置和管理。
· 支持通過Telnet方式對設備進行簡單的命令行管理。
圖2-1 組網應用
本章節主要包含以下內容:
· 建立網絡連接
· 取消代理服務器
完成硬件安裝後,在登錄設備的Web管理界麵之前,您可選擇有線或無線方式建立網絡連接。
將設備的LAN口與管理計算機的網口相連,並設置管理計算機的IP地址。
操作步驟如下(以Windows 10係統為例):
|
1. 單擊桌麵右下角的網絡圖標,如 |
|
|
2. 單擊“更改適配器選項”,打開網絡連接窗口 |
|
|
3. 右鍵單擊以太網的<屬性>按鈕,打開“以太網屬性”窗口。雙擊“Internet協議版本4(TCP/IPv4)” |
|
|
4. 配置電腦的IP地址 · 當設備開啟DHCP功能時,可選擇自動獲取IP地址和DNS服務器地址,或通過手動配置電腦IP地址,與設備IP地址(缺省192.168.1.1)保持同一網段 · 當設備關閉DHCP功能時,隻能通過手動配置電腦IP地址,與設備IP地址(缺省192.168.1.1)保持同一網段 · 設置好IP地址後,單擊<確定>按鈕,返回[本地連接 屬性]對話框,再單擊<確定>按鈕 |
|
操作步驟如下:
|
1. 單擊屏幕左下角<開始>按鈕進入[開始]菜單,選擇“運行”,彈出“運行”對話框 2. 輸入“ping 192.168.1.1(設備的IP地址,此處是缺省IP地址)”,單擊<確定>按鈕 |
|
|
3. 如果在彈出的對話框中顯示了從設備側返回的回應,則表示網絡連通;否則請檢查網絡連接 |
|
通過無線終端(手機或者帶有無線網卡的電腦等),搜索Wi-Fi名稱為“H3C_XXXXXX”的無線網絡(默認沒有加密),進行連接即可,XXXXXX為設備MAC地址後六位。
|
1. 單擊電腦桌麵右下角圖標
如果找不到圖標 |
|
|
2. 連接成功後,您的無線網絡顯示為“已連接” |
|
如果當前管理計算機使用代理服務器訪問因特網,則必須取消代理服務,操作步驟如下:
|
1. 在瀏覽器窗口中,選擇[工具/Internet 選項]進入“Internet 選項”窗口 |
|
|
2. 選擇“連接”頁簽,並單擊<局域網設置(L)>按鈕,進入“局域網(LAN)設置”頁麵。請確認未選中“為LAN使用代理服務器”選項;若已選中,請取消並單擊<確定>按鈕 |
|
|
1. 打開Web瀏覽器,在瀏覽器地址欄中輸入http://192.168.1.1,回車後進入配置向導頁麵,單擊<開始配置>按鈕 |
|
|
2. 設備自動檢測網絡環境,選擇上網模式。 · 以典型上網模式DHCP為例。設備檢測到當前為自動方式(DHCP),對Wi-Fi 名稱密碼以及設備的管理密碼進行設置,之後單擊<完成配置> · 也可以點擊<其他模式>,手動選擇上網模式: ¡ 自動方式(DHCP):自動從網絡服務商處獲取IP地址。不需要填寫任何內容 ¡ 寬帶撥號(PPPoE):ADSL虛擬撥號方式。需要填寫網絡服務商提供的寬帶賬號與密碼 ¡ 手動方式(靜態IP):有網絡服務商提供的固定IP地址。需要填寫IP地址、子網掩碼、默認網關地址和DNS服務器
如果WAN口與LAN口地址(192.168.1.1)衝突,設備會自動彈出LAN口設置頁麵。設置LAN口新的IP地址後,使用新的LAN口IP地址登錄設備即可 |
|
|
3. 配置完成後,可截圖保存當前的Wi-Fi名稱和密碼、設備管理地址和密碼。 |
|
|
4. 在瀏覽器地址欄中重新輸入設備管理地址,即可進入登錄頁麵。輸入剛設置的管理密碼,點擊<登錄>,即可進入Web管理頁麵進行更多設置 |
|
設備提供非常簡便的Web設置頁麵,您可以通過該設置頁麵快速地完成所需功能的配置,配置會立即生效且自動保存。
本章將帶領您先了解和熟悉Web設置頁麵。
本章節主要包含以下內容:
· 常用頁麵控件介紹
· 頁麵列表操作介紹
圖4-1 Web設置頁麵示意圖
以下控件是Web設置頁麵中經常出現的,有關它們的用途請參見下表。
|
頁麵控件 |
描述 |
|
|
文本框,用於輸入文本 |
|
|
單選按鈕,用於從多個選項中選擇一項 |
|
|
複選框,用於開啟(選中)和關閉(未選中)該功能或服務 |
|
|
下拉列表框,用於選擇相應的列表項 |
|
|
當您完成了某頁麵設置項的操作後,必須單擊該頁麵上的<應用>按鈕,設置才能生效 |
|
|
如果頁麵中出現類似的藍色字體項,您可以通過單擊它來跳轉到相應的頁麵進行設置修改 |
|
|
單擊<刷新>按鈕,您可以手動對設置頁麵的數據進行更新;在“自動刷新”列表框中選擇刷新頻率後,頁麵的數據會自動根據該刷新頻率進行更新 |
設備的Web設置頁麵中經常會出現類似圖4-2的頁麵,此處對其操作進行統一的介紹,以下不再贅述。
|
界麵項 |
描述 |
|
|
您可通過設置關鍵字,單擊<查詢>按鈕來查看符合條件的列表項 |
|
|
單擊<顯示全部>按鈕,您可查看所有的列表項 |
|
|
單擊<全選>按鈕,您可選中所有的列表項對其進行批量操作
您也可以通過單擊各列表項的方式來選中指定表項進行批量操作 |
|
|
單擊<新增>按鈕,您可在彈出的對話框中添加一個新的表項。添加完成後,您可以通過該頁麵中的查詢功能來確認剛添加的表項是否已存在 選中指定的列表項,單擊<刪除>按鈕,您可將該列表項刪除 |
|
|
單擊該圖標,您可在彈出的對話框中對該列表項進行修改
雙擊某列表項,同樣也可在彈出的對話框中對該列表項進行修改 |
當您長時間沒有操作Web設置頁麵時,係統超時並將注銷本次登錄,返回到Web設置登錄頁麵。
單擊導航欄中的
,確認後即可退出Web設置頁麵。
登錄設備Web設置頁麵後,可點擊係統導航頁麵中的鏈接,跳轉至設備對應的設置頁麵,方便用戶快速設置。
本頁麵為您提供如下主要功能:
|
通過單擊下麵鏈接,頁麵可跳轉至對應的配置頁麵 |
|
頁麵中關鍵項的含義如下表所示。
表5-1 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
|
基本配置 |
連接到因特網 |
點擊後跳轉至WAN設置頁麵,進行WAN口參數設置 |
|
局域網(LAN)設置 |
點擊後跳轉至LAN設置頁麵,進行LAN設置或MAC克隆 |
|
|
無線(WLAN)管理 |
點擊後跳轉至無線管理頁麵,管理無線網絡以及在線AP等 |
|
|
無線網絡優化 |
一鍵部署 |
點擊後跳轉至無線網絡優化頁麵,一鍵部署所有AP的信道 |
|
一鍵優化 |
點擊後跳轉至無線網絡優化頁麵,一鍵優化選中AP的網絡 |
|
|
網絡分析 |
點擊後跳轉至無線網絡優化頁麵,分析選中AP的網絡狀況 |
|
|
設備狀態及維護 |
遠程運維 |
點擊後跳轉至遠程運維頁麵,啟用遠程運維功能 |
|
基本信息 |
點擊後跳轉至運行信息頁麵,查看係統信息、端口狀態等 |
|
|
流量統計 |
點擊後跳轉至端口流量統計頁麵,查看各端口的流量統計數據 |
|
|
軟件升級 |
點擊後跳轉至軟件升級頁麵,升級軟件 |
|
|
安全及高級設置 |
VPN設置 |
點擊後跳轉至IPSEC VPN頁麵,查看並進行VPN的相關設置 |
|
QoS設置 |
點擊後跳轉至QoS設置頁麵,對IP流量等進行限製 |
|
|
NAT設置 |
點擊後跳轉至NAT設置頁麵,設置NAT地址轉換方式 |
|
|
虛擬服務器(端口映射)、DMZ設置 |
點擊後跳轉至虛擬服務器設置頁麵,設置虛擬服務器端口映射 |
|
本章節主要包含以下內容:
· 查看運行信息
· 流量監控
· 網絡維護
頁麵向導:係統監控→運行信息→基本信息
本頁麵為您提供如下主要功能:
|
· 查看係統基本信息(比如:當前運行的軟件版本號、CPU/內存使用率、運行時間等) · 查看WAN口當前的狀態信息(比如:WAN口的工作模式、連接因特網的方式、IP地址等) · 查看LAN口當前的狀態信息(比如:MAC地址、IP地址等) · 查看設備具體的無線網絡狀態(比如:2.4G無線狀態、5G無線狀態) |
|
頁麵中關鍵項的含義如下表所示。
表6-1 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
生產序列號 |
顯示設備的序列號 |
|
軟件版本 |
顯示設備當前的軟件版本
頁麵中的軟件版本信息僅作參考,請以設備加載軟件版本後的最終顯示為準 |
|
Bootrom版本 |
顯示設備當前的Bootrom版本 |
|
硬件版本 |
顯示設備當前的硬件版本 |
|
係統資源 |
顯示設備CPU及內存的使用百分比,您可以通過該參數值來簡單判斷設備當前是否運行正常 |
|
運行時間 |
顯示設備從上一次通電後到現在的總運行時間 |
|
係統時間 |
顯示設備當前的係統時間和係統時間設置方式 |
|
連接方式 |
顯示設備WAN口連接到因特網的方式 |
|
鏈路狀態 |
顯示設備WAN口當前的鏈路狀態 · 已連接:WAN口工作正常 · 物理連接已斷開:WAN口物理鏈路出現故障 · 線路檢測失敗:WAN口檢測沒有成功。此時,WAN口不能轉發任何報文 · WAN口禁用:當前WAN口被禁用 · 接口空閑:接口物理鏈路正常,但該接口不進行工作。比如:在主備模式下,主接口工作正常時,備份接口處於空閑狀態 · 連接中:在PPPoE、DHCP連接方式下,設備正在與服務器建立連接 · 服務器沒響應:在PPPoE、DHCP連接方式下,對應的服務器無響應或線路異常 · IP地址已釋放:在DHCP連接方式下,單擊頁麵上的<釋放>按鈕主動斷開連接,顯示此狀態。此狀態下,接口不再嚐試與服務器進行連接 · 連接已斷開:在PPPoE連接方式下,單擊頁麵上的<釋放>按鈕主動斷開連接,顯示此狀態。此狀態下,接口不再嚐試與服務器進行連接 · 用戶名或密碼錯誤:在PPPoE連接方式下,輸入的用戶名和密碼錯誤 |
|
IP地址 |
顯示WAN口當前的IP地址 |
|
子網掩碼 |
顯示WAN口當前的子網掩碼 |
|
網關地址 |
顯示WAN口當前的網關地址 |
|
主DNS服務器 |
顯示WAN口的主DNS服務器地址 |
|
輔DNS服務器 |
顯示WAN口的輔DNS服務器地址 |
|
MAC地址(WAN網口) |
顯示WAN口當前生效的MAC地址
當您設置了WAN口的MAC地址克隆後,此MAC地址會出現相應的變化 |
|
DHCP剩餘時間 |
顯示DHCP租約的剩餘時間
僅當連接方式為DHCP方式時才顯示 |
|
連接 |
單擊此按鈕建立WAN口的鏈路連接
僅當連接方式為PPPoE、DHCP時才顯示此按鈕 |
|
釋放 |
單擊此按鈕釋放當前設備WAN口動態獲取到的IP地址
僅當連接方式為PPPoE、DHCP時才顯示此按鈕 |
|
MAC地址(LAN網口) |
顯示LAN(VLAN1)口當前生效的MAC地址 |
|
IP地址(LAN網口) |
顯示LAN(VLAN1)口當前的IP地址 |
|
子網掩碼(LAN網口) |
顯示LAN(VLAN1)口當前的子網掩碼 |
|
DHCP服務器 |
顯示LAN(VLAN1)口當前的DHCP服務器的使用狀態 |
|
地址池 |
顯示LAN(VLAN1)口當前配置的地址池信息 |
頁麵向導:係統監控→運行信息→技術支持
本頁麵為您提供了設備相關的技術支持類信息,比如:客服熱線/郵箱、公司網站、微信服務二維碼等。
設備能夠記錄當前運行過程中的設置狀態變化、網絡攻擊等信息,可以幫助您快速定位設備故障、了解網絡情況及對網絡攻擊進行定位。
設備還支持把日誌信息實時發送給日誌服務器的功能,以免設備重新啟動後,所有記錄的日誌都會丟失。
當設備中的日誌信息存滿後,新的日誌將會覆蓋最早被記錄的日誌信息。因此,為了避免日誌信息遺漏,建議您使用日誌服務器來記錄日誌信息。此時,需要您預先在局域網內或外網建立相應的日誌服務器,且與設備保持連通。
頁麵向導:係統監控→係統日誌→日誌信息
本頁麵為您提供如下主要功能:
|
· 顯示和查詢設備上電啟動以來所產生的日誌信息 · 將設備所記錄的日誌信息下載到本地(單擊<下載>按鈕,可將日誌信息導出到本地保存) · 清除設備所記錄的日誌信息(單擊<清除>按鈕即可完成操作) |
|
頁麵向導:係統監控→係統日誌→日誌管理
本頁麵為您提供如下主要功能:
|
· 控製日誌信息輸出的等級(在“日誌記錄等級”下拉框中選擇某個等級,單擊<應用>按鈕生效。此時,僅不大於該等級的日誌信息才被設備記錄或允許發送到日誌服務器。日誌等級的具體描述請參見“表6-2”) · 控製日誌信息輸出的來源(選擇您需要關注的日誌信息來源,單擊<應用>按鈕生效。日誌信息來源描述請參見“表6-3”) · 將日誌信息同步輸出到日誌服務器(選中“發送到日誌服務器”複選框,輸入服務器地址,單擊<應用>按鈕生效) · 開啟/關閉設備日誌信息記錄功能(選中“本地不記錄日誌”複選框,單擊<應用>按鈕,本地記錄日誌信息功能關閉。反之,開啟) |
|
|
嚴重等級 |
數值 |
描述 |
|
emergency |
0 |
係統不可用 |
|
alert |
1 |
需要立即做出反應的信息 |
|
critical |
2 |
嚴重信息 |
|
error |
3 |
錯誤信息 |
|
warning |
4 |
告警信息 |
|
notice |
5 |
正常出現但是重要的信息 |
|
informational |
6 |
需要記錄的通知信息 |
|
debug |
7 |
調試過程產生的信息 |
|
日誌來源 |
描述 |
|
係統 |
所有設備功能運行的日誌信息。比如:您使用PPPoE方式連接因特網時,設備會輸出相應的日誌信息 |
|
配置 |
當更改了設備的配置操作時輸出的日誌信息。比如:功能的開啟或關閉 |
|
安全 |
設備進行防攻擊、報文過濾等操作時輸出的日誌信息 |
|
流量信息 |
設備流量統計時輸出的日誌信息。比如:局域網內的某台主機的網絡連接數超過限速值時,設備會輸出相應的日誌信息 |
|
VPN |
設備IPSec VPN相關的日誌信息 |
設備為您提供了端口流量監控功能,統計每個物理端口的流量。您可以根據設備所獲取的統計數據,更好地了解網絡運行狀況,便於管理與控製。
設備支持比特模式進行監控:以每秒傳輸的比特數為單位來顯示流量和速率信息。
頁麵向導:係統監控→流量監控→端口流量
本頁麵為您提供如下主要功能:
|
在比特模式下查看設備各端口的發送/接收流量、發送/接收速率及鏈路狀態 |
|
頁麵中關鍵項的含義如下表所示。
表6-4 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
發送流量/接收流量 |
顯示設備相應端口發送/接收的總流量 |
|
發送速率/接收速率 |
顯示設備相應端口發送/接收報文的速率 |
|
鏈路狀態 |
顯示對應端口的鏈路狀態
如果該端口未有物理連接或出現鏈路故障,則顯示“未連接” |
設備為您提供兩種網絡診斷工具:
· ping測試:檢測設備與目標主機或另一台設備是否連通。
· 路由跟蹤測試:檢查從設備到達目標主機所經過的路由情況。
頁麵向導:係統監控→網絡維護→網絡診斷
本頁麵為您提供如下主要功能:
|
選擇ping測試進行網絡診斷(輸入“目的地址”,選擇測試的端口,單擊<開始>按鈕執行診斷) |
|
|
選擇路由跟蹤測試進行網絡診斷(輸入“目的地址”,選擇測試的端口,單擊<開始>按鈕執行診斷) |
|
· ping測試結果
當設備可以接收到從目標主機側返回的應答時,表示設備與目標主機連通(如上圖所示);否則表示兩者之間不連通,可能網絡存在問題。
· 路由跟蹤測試結果
如上圖所示,隻存在一跳,表示設備和目標主機之間屬於直連路由。
通過設置抓包工具的相關參數,直接抓取經過設備接口的數據包,便於維護人員更有效地分析及定位問題,降低維護成本。
頁麵向導:係統監控→網絡維護→抓包工具
本頁麵為您提供如下主要功能:
|
在對話框中設置匹配規則來控製抓包的數據報文 單擊<開始>按鈕,係統開始抓包,抓包過程中,當前抓取的分組數會顯示在頁麵上 |
|
|
單擊<停止>按鈕即可停止數據包的抓取,此時係統會自動提示您導出抓包文件“tcpdump.pcap”到本地 |
|
頁麵中關鍵項的含義如下表所示。
表6-5 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
接口 |
選擇抓取報文的來源接口
支持當前設備的所有WAN、VLAN等接口 |
|
協議 |
選擇需要抓取的報文的協議類型
· 缺省協議為ALL,即抓取所有類型的數據包 · 如您手動修改協議為ARP、RARP、ICMP時,源端口號和目的端口號將無法設置 |
|
源/目的主機 |
設置抓取報文的源/目的主機過濾條件,以抓取符合條件的數據包: · 所有主機:抓取所有源/目的主機的數據包 · IP地址過濾:僅允許抓取源/目的主機為所設置IP地址的數據包 · MAC地址過濾:僅允許抓取源/目的主機為所設置MAC地址的數據包 |
|
IP地址 |
設置抓取報文的源/目的IP地址,點分十進製類型,取值範圍:0.0.0.0~255.255.255.255 |
|
MAC地址 |
設置抓取報文的MAC地址,輸入格式為xx:xx:xx:xx:xx:xx(或xx-xx-xx-xx-xx-xx、或xxxx-xxxx-xxxx),且不區分大小寫 |
|
源/目的端口 |
輸入抓取報文的源/目的端口號,需要配置正確的端口號才能抓到相應端口的報文。 取值範圍:1~65535,最多可設置10個單一端口,端口間用英文逗號“,”隔開,比如:100,200,300
如果要抓取所有端口的報文,您可以將其設置為0 |
|
主機關係 |
設置源主機與目的主機之間的邏輯關係: · 或:設置抓取報文為源主機與目的主機之間所有報文的並集 · 與:設置抓取報文為源主機與目的主機之間所有報文的交集 |
|
雙向抓取 |
選中該項,則係統會抓取源主機與目的主機之間的雙向報文
隻有在主機關係設置為“與”時,該選項方可勾選 |
|
抓取包長度 |
設置抓包的最大報文長度,當tcpdump的數據包長度超過所設數值時,數據包將會被截斷。取值範圍:1~2000
如果您設置的抓取包長度過大,會增加包的處理時間,並減少可緩存數據包的數量,從而可能導致部分數據包的丟失。故而,在保證數據包長度足夠的前提下,建議您設置盡可能小的抓包長度 |
|
內存使用閾值 |
設置抓包過程中所允許的係統內存最大使用率,當內存使用率達到所設閾值時,係統會主動停止抓包,並提示用戶導出抓包文件。取值範圍為70~90,缺省值為80 |
頁麵向導:係統監控→網絡維護→係統自檢
設備為您提供簡便的係統自檢功能,您可以隨時單擊頁麵中的<開始>按鈕,在彈出的頁麵中將會分類顯示檢測結果及一些注意事項。通過該檢測信息,您可以判斷設備當前的設置是否合理、運行是否正常等。
頁麵向導:係統監控→網絡維護→一鍵導出
當設備運行出現異常時,您可以單擊頁麵中的<導出>按鈕,確認後,設備可以自動把當前的運行狀態、故障定位所需的各種信息壓縮成一個定位信息文件下載到本地。您也可以單擊頁麵中的<上傳>按鈕,將故障定位信息上傳至雲服務器。H3C技術支持人員可以根據該文件快速、準確地定位問題,從而可以更好地為您解決設備的使用問題。
本章節主要包含以下內容:
· 設置2.5G口
· 設置WAN
· 設置LAN
· 設置VLAN
· 設置DHCP
2.5G口支持LAN/WAN口轉換,缺省為LAN口。
當設置2.5G口為LAN口時,該接口不支持設置VLAN。
頁麵向導:接口管理→2.5G口設置→2.5G口設置
本頁麵為您提供如下主要功能:
|
· 設置2.5G口為LAN口或WAN口,單擊<應用>生效 · 設置完成後,可到對應的LAN或WAN口設置頁麵對2.5G網口進行設置 |
|
設備支持WAN/LAN口轉換。
頁麵向導:接口管理→WAN設置→接口轉換
本頁麵為您提供如下主要功能:
|
配置WAN口數目 |
|
頁麵中關鍵項的含義如下表所示。
表7-1 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
WAN口數目 |
設置設備WAN口的數目。根據接入因特網的鏈路個數配置相應的WAN出口個數 |
設備支持靜態地址、動態地址、PPPoE三種連接方式。具體選擇何種方式請谘詢當地運營商。
· 靜態地址:手動為WAN口設置IP地址、子網掩碼、缺省網關和DNS服務器。
· 動態地址:設置WAN口作為DHCP客戶端,使用DHCP方式獲取IP地址。
· PPPoE:設置WAN口作為PPPoE客戶端,使用PPPoE用戶名和密碼撥號連接獲取IP地址。
頁麵向導:接口管理→WAN設置→連接到因特網
本頁麵為您提供如下主要功能:
|
通過靜態地址連接到因特網 |
|
|
通過動態地址連接到因特網 |
|
|
通過PPPoE連接到因特網 |
|
|
關閉指定WAN口連接到因特網的功能 |
|
頁麵中關鍵項的含義如下表所示。
|
頁麵關鍵項 |
描述 |
|
IP地址 |
設置設備WAN口的IP地址。由運營商提供 |
|
子網掩碼 |
設置設備WAN口的IP地址子網掩碼。由運營商提供 |
|
缺省網關 |
設置設備WAN口的缺省網關地址。由運營商提供 |
|
MTU |
設置設備WAN口允許通過的最大傳輸單元,單位為字節。建議您使用缺省值 |
|
網絡帶寬 |
連接至設備WAN口的線路出口帶寬 |
|
主DNS服務器 |
設置設備主域名服務器的地址,用於將便於記憶的、有意義的域名解析為正確的IP地址。由運營商提供 |
|
輔DNS服務器 |
設置設備輔域名服務器的地址,當主域名服務器失效時,可以由它來完成解析。由運營商提供 |
|
主機名 |
設置在設備使用DHCP方式獲取IP地址時,DHCP服務器側顯示的設備主機名 |
|
PPPoE用戶名 |
設置PPPoE撥號上網時,身份驗證使用的用戶名。由運營商提供 |
|
PPPoE密碼 |
設置PPPoE撥號上網時,身份驗證使用的密碼。由運營商提供 |
|
服務器名 |
設置PPPoE服務器的名稱。由運營商提供 |
|
服務名 |
設置PPPoE服務器的服務名稱。由運營商提供 |
|
LCP主動檢測 |
設置PPPoE撥號上網時的鏈路檢測方式,缺省情況為“是”: · 選擇“是”,設備會主動發送LCP請求,即時檢測鏈路狀態 · 選擇“否”,設備如果在等待時間內沒有收到服務器的LCP請求,才會進行LCP檢測 |
· 當您需要設置運營商分配給您的帶寬時,相關操作請參見“14.1 設置IP流量限製”。
· 設置完成後,您可以通過查看基本信息頁麵中的“WAN網口狀態”來驗證設置是否已生效。
· 設備用於連接到因特網的WAN口IP地址不能和內網網段IP地址衝突。
設備的多WAN工作模式包括同運營商接入和不同運營商接入兩種。
表7-3 多WAN工作模式描述
|
工作模式 |
描述 |
|
同運營商接入模式 |
正常情況下,允許多條鏈路同時工作,流量會先根據路由表進行選擇鏈路,其它流量根據設置的比例將網絡連接分擔到各個WAN口上 同運營商接入模式主要應用於同一運營商接入網場景,流量根據設置的比例轉發 設置的流量比例為0的WAN口隻轉發路由表選擇的鏈路,不轉發其他流量 |
|
不同運營商接入模式 |
正常情況下,允許多條鏈路同時工作,接口轉發配置的運營商流量,其他流量根據配置的缺省運營商WAN口轉發 不同運營商接入模式主要應用於多路不同的運營商接入場景,根據地址範圍配置實現“電信走電信,聯通走聯通”功能 設置的流量比例為0的WAN口隻轉發路由表選擇的鏈路,不轉發其他流量 |
頁麵向導:接口管理→WAN設置→多WAN工作模式
本頁麵為您提供如下主要功能:
|
設置多WAN同運營商接入模式 |
|
|
設置多WAN不同運營商接入模式 |
|
|
導入運營商地址池 |
|
頁麵中關鍵項的含義如下表所示。
表7-4 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
添加導入 |
在原來的均衡路由表基礎上,將已編輯好的均衡路由表文件(.cfg格式)導入
cfg文件的格式是“目的IP地址/子網掩碼”。其中: · “目的IP地址”:輸入網段地址,到該網段的報文會從指定的出接口轉發 · “子網掩碼”:目的IP地址的子網掩碼,表示方式為網絡地址位數 舉例如下: 58.32.0.0/13 58.40.0.0/16 58.42.0.0/16 |
|
覆蓋導入 |
刪除原來的運營商地址池表項,然後再將已編輯好的均衡路由表文件(.cfg格式)導入 |
|
導出 |
將當前的運營商地址池文件導出到本地保存 |
|
刪除全部 |
刪除運營商地址池中的所有表項 |
· 當您選擇了均衡模式或者手動模式後,可以通過設置均衡路由表,使訪問特定目的IP地址的報文按指定的鏈路進行轉發。比如:在手動模式下,您可以通過導入新聯通的均衡路由表,使訪問新聯通的流量都通過WAN2轉發;然後再指定缺省鏈路為WAN1,使非訪問新聯通的流量都通過WAN1轉發,從而達到不同運營商流量在不同的鏈路上轉發的目的。
· 設置完成後,您可以通過查看基本信息頁麵中的“WAN網口模式”來驗證設置是否已生效。
如果您需要實時監控線路狀態,保證一條線路故障時能切換到另一條線路,您就需要設置設備的線路檢測功能。設備支持靈活的檢測機製,並提供多種線路檢測方法供您選擇(包括PING檢測、DNS檢測和NTP檢測三種方式),以滿足實際應用的需要。
· 啟用WAN口線路檢測後,如果您指定了一種或多種檢測方式,設備將隻使用指定的檢測方式。為了檢測的有效性,建議您同時使用多種檢測方式。
· 啟用WAN口線路檢測後,如果您沒有指定檢測方式,設備將使用缺省的檢測方式(PING檢測),即向WAN口對應的網關發送Ping報文,以檢測通信是否正常。
· 缺省情況下,設備不進行WAN口線路檢測。
· 由於運營商側的PPPoE服務器可能不響應Ping報文,因此,在PPPoE撥號方式下,如果您啟用了WAN口線路檢測功能且檢測方式為“PING檢測”時,請勿將“PING檢測”的目的地址設置為WAN口對應的網關地址。否則設備將判斷這個鏈路存在故障。
· 檢測結果您可通過查看基本信息頁麵中的“鏈路狀態”來獲取。
頁麵向導:接口管理→WAN設置→鏈路檢測
本頁麵為您提供如下主要功能:
|
設置WAN口線路檢測 |
|
頁麵中關鍵項的含義如下表所示。
表7-5 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
PING檢測 |
選中“PING檢測”複選框,輸入目的IP地址,單擊<應用>按鈕,設備會通過Ping報文來檢測與目的IP地址的連通性,有響應則認為線路正常 |
|
DNS檢測 |
選中“DNS檢測”複選框,輸入需要DNS解析的域名,設備會通過DNS報文來檢測與DNS服務器的連通性,有響應認為線路正常 |
|
NTP檢測 |
選中“NTP檢測”複選框,輸入NTP服務器的IP地址,設備會通過NTP報文來檢測與NTP服務器的連通性,有響應認為線路正常 |
設備出廠時,各WAN口都有一個缺省的MAC地址,一般情況下,無需改變。但是,比如:有些運營商要求隻有注冊過的設備才能連接到因特網,此時,您就需要使用設備WAN口MAC地址克隆功能,將WAN口MAC地址修改為在運營商側注冊過的MAC地址。
頁麵向導:接口管理→WAN設置→MAC地址克隆
本頁麵為您提供如下主要功能:
|
設置WAN口MAC地址克隆 |
|
頁麵中關鍵項的含義如下表所示。
表7-6 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
使用本設備的MAC地址 |
選中該項,使用設備出廠時的MAC地址 |
|
使用這台PC的MAC地址 |
選中該項,使用用來設置設備的管理計算機的MAC地址 |
|
手工輸入MAC地址 |
選中該項,輸入在運營商側注冊過的MAC地址 |
· 當進行WAN口MAC地址克隆設置時,如果更換了MAC地址,則WAN口會重新進行初始化。在此過程中,轉發的流量會因為接口地址和路由的變化,會重新選擇出接口。待接口初始化完成以後,新建立的轉發業務才會按照您所設置的方式進行轉發。
· 設置完成後,您可以通過查看基本信息頁麵中的“MAC地址”來驗證設置是否已生效。
設備的WAN口支持以下幾種速率和雙工模式的組合。
表7-7 WAN口的速率和雙工模式
|
項目 |
描述 |
|
Auto |
WAN口的雙工和速率狀態均由本端口和對端端口自動協商而定
缺省情況下,WAN口采用Auto模式 |
|
10M半雙工 |
WAN口工作在10Mbps速率下,且端口同一時刻隻能發送數據包或接收數據包 |
|
10M全雙工 |
WAN口工作在10Mbps速率下,且端口在發送數據包的同時可以接收數據包 |
|
100M半雙工 |
WAN口工作在100Mbps速率下,且端口同一時刻隻能發送數據包或接收數據包 |
|
100M全雙工 |
WAN口工作在100Mbps速率下,且端口在發送數據包的同時可以接收數據包 |
|
1000M全雙工 |
WAN口工作在1000Mbps速率下,且端口在發送數據包的同時可以接收數據包 |
|
2500M全雙工 |
WAN口工作在2500Mbps速率下,且端口在發送數據包的同時可以接收數據包
僅2.5G網口設置為WAN口時支持 |
頁麵向導:接口管理→WAN設置→網口模式
本頁麵為您提供如下主要功能:
|
選擇WAN口的速率和雙工模式 |
|
· 除了Auto模式外,設備WAN口的速率和雙工模式需要與對端設備保持一致。
· 設置完成後,您可以通過查看端口流量頁麵中的“鏈路狀態”來驗證設置是否已生效。
當您修改了設備LAN口的IP地址後,您需要在瀏覽器中輸入新的IP地址重新登錄,才能對設備繼續進行配置和管理。比如:某企業事先已經將整個IP地址段均已規劃好,因此,您需要根據已規劃好的IP地址來修改設備LAN口的IP地址,以適應實際環境。
頁麵向導:接口管理→LAN設置→局域網設置
本頁麵為您提供如下主要功能:
|
修改LAN口的IP地址(缺省情況下,設備LAN口的IP地址為192.168.1.1,子網掩碼為255.255.255.0) |
|
修改LAN口IP地址後,其他頁麵中和IP地址相關的配置可能需要相應修改(如IP/MAC綁定表中的IP地址等),保持和LAN口IP在同一網段。
設備出廠時,LAN口均有一個缺省的MAC地址,一般情況下,無需改變。但是,比如:某企業之前為了防止ARP攻擊,給局域網內的主機均設置了網關的靜態ARP表項。此時,如果企業想升級設備,將原來的網關換成了設備(網關地址保持不變),局域網內的主機則無法學習到設備的MAC地址。因此,您需要逐個修改局域網內主機的靜態ARP表項,才可使局域網內的主機恢複正常上網,這樣維護效率會很低。
設備的LAN口MAC克隆功能可以使您免除這樣的重複勞動,隻需將設備的LAN口MAC地址設為原來網關的MAC地址,局域網內的主機即可正常上網了。
頁麵向導:接口管理→LAN設置→局域網設置
本頁麵為您提供如下主要功能:
|
設置LAN口MAC地址克隆 |
|
頁麵中關鍵項的含義如下表所示。
表7-8 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
使用設備MAC |
選中該項,使用設備LAN口出廠時的MAC地址 |
|
手工輸入MAC |
選中該項,輸入原網關的MAC地址 |
設備LAN口的基本屬性包括端口的速率/雙工模式、廣播風暴抑製和流控功能。
設備的LAN口支持以下幾種速率和雙工模式的組合。
表7-9 LAN口的速率和雙工模式
|
項目 |
描述 |
|
Auto |
LAN口的雙工和速率狀態均由本端口和對端端口自動協商而定
缺省情況下,LAN口采用Auto模式 |
|
10M 半雙工 |
LAN口工作在10Mbps速率下,且端口同一時刻隻能發送數據包或接收數據包 |
|
10M 全雙工 |
LAN口工作在10Mbps速率下,且端口在發送數據包的同時可以接收數據包 |
|
100M 半雙工 |
LAN口工作在100Mbps速率下,且端口同一時刻隻能發送數據包或接收數據包 |
|
100M 全雙工 |
LAN口工作在100Mbps速率下,且端口在發送數據包的同時可以接收數據包 |
|
1000M 全雙工 |
LAN口工作在1000Mbps速率下,且端口在發送數據包的同時可以接收數據包 |
|
2500M全雙工 |
LAN口工作在2500Mbps速率下,且端口在發送數據包的同時可以接收數據包
僅2.5G網口設置為LAN口時支持 |
如果局域網內存在大量的廣播報文流量(可能由病毒導致)時,將會影響網絡的正常通信。您可以通過設置設備LAN口的廣播風暴抑製功能,可以有效地抑製大量廣播報文的傳播,避免網絡擁塞,保證網絡業務的正常運行。
設備允許您設置四種LAN口的廣播風暴抑製狀態級別:不抑製、低、中、高。這四個級別允許通過的報文流量依次減少,您可根據實際需求進行相應的設置。缺省情況下,LAN口的廣播風暴抑製功能處於關閉狀態(即不抑製)。
一般僅在網絡擁塞比較嚴重時,才開啟設備LAN口的流控功能。
當設備和對端設備都開啟了流量控製功能後,如果設備發生擁塞:
(1) 設備將向對端設備發送消息,通知對端設備暫時停止發送報文或減慢發送報文的速度。
(2) 對端設備在接收到該消息後,將暫停向設備發送報文或減慢發送報文的速度,從而避免了報文丟失現象的發生,保證了網絡業務的正常運行。
缺省情況下,設備LAN口的流控功能處於關閉狀態。
頁麵向導:接口管理→LAN設置→端口設置
本頁麵為您提供如下主要功能:
|
設置LAN口的基本屬性 |
|
· 除了Auto模式外,設備LAN口的速率和雙工模式需要與對端設備保持一致。
· 設置完成後,您可以通過查看端口流量頁麵中的“鏈路狀態”來驗證端口模式設置是否已生效。
以太網是一種基於CSMA/CD的共享通訊介質的數據網絡通訊技術,當主機數目較多時會導致衝突嚴重、廣播泛濫、性能顯著下降甚至使網絡不可用等問題。在這種情況下出現了VLAN技術,這種技術可以把一個LAN劃分成多個邏輯的LAN——VLAN,每個VLAN是一個廣播域。VLAN內的主機間通信就和在一個LAN內一樣,而VLAN間則不能直接互通,這樣,廣播報文被限製在一個VLAN內,如圖7-1所示。
圖7-1 VLAN示意圖
與傳統以太網相比,VLAN具有如下的優點:
· 控製廣播域的範圍:局域網內的廣播報文被限製在一個VLAN內,節省了帶寬,提高了網絡處理能力。
· 增強了LAN的安全性:由於報文在數據鏈路層被VLAN劃分的廣播域所隔離,因此各個VLAN內的主機間不能直接通信,需要通過設備或三層網絡設備對報文進行三層轉發。
· 靈活創建虛擬工作組:使用VLAN可以創建跨物理網絡範圍的虛擬工作組,當用戶的物理位置在虛擬工作組範圍內移動時,不需要更改網絡配置即可以正常訪問網絡。
不同VLAN間的主機不能直接通信,需要通過設備或三層網絡設備進行轉發。
VLAN接口是一種三層模式下的虛擬接口,主要用於實現VLAN間的三層互通,它不作為物理實體存在於設備上。每個VLAN對應一個VLAN接口,該接口可以為本VLAN內端口收到的報文根據其目的IP地址在網絡層進行轉發。通常情況下,由於VLAN能夠隔離廣播域,因此每個VLAN也對應一個IP網段,VLAN接口將作為該網段的網關對需要跨網段轉發的報文進行基於IP地址的三層轉發。
目前,設備支持基於端口的VLAN。
基於端口的VLAN是最簡單的一種VLAN劃分方法。您可以將設備上的端口劃分到不同的VLAN中,此後從某個端口接收的報文將隻能在相應的VLAN內進行傳輸,從而實現廣播域的隔離和虛擬工作組的劃分。
基於端口的VLAN具有實現簡單,易於管理的優點,適用於連接位置比較固定的用戶。
頁麵向導:接口管理→VLAN設置→VLAN設置
本頁麵為您提供如下主要功能:
|
顯示和修改已添加的VLAN接口(主頁麵) |
|
|
創建新的VLAN接口(單擊主頁麵上的<新增>按鈕,在彈出的對話框中輸入相應的VLAN接口信息,單擊<增加>按鈕完成操作) |
|
Trunk類型是以太網端口的鏈路類型之一。此類型的端口可以屬於多個VLAN,可以接收和發送多個VLAN的報文,一般用於連接交換機。
表7-10 Trunk端口收發報文的處理
|
接收報文時的處理 |
發送報文時的處理 |
|
|
當接收到的報文不帶Tag時 |
當接收到的報文帶有Tag時 |
|
|
· 當缺省VLAN ID(即PVID)在端口允許通過的VLAN ID列表裏時:接收該報文,且給報文添加缺省VLAN的Tag · 當缺省VLAN ID不在端口允許通過的VLAN ID列表裏時:丟棄該報文 |
· 當VLAN ID在端口允許通過的VLAN ID列表裏時:接收該報文 · 當VLAN ID不在端口允許通過的VLAN ID列表裏時:丟棄該報文 |
· 當VLAN ID與缺省VLAN ID相同,且是該端口允許通過的VLAN ID時:去掉Tag,發送該報文 · 當VLAN ID與缺省VLAN ID不同,且是該端口允許通過的VLAN ID時:保持原有Tag,發送該報文 |
頁麵向導:接口管理→VLAN設置→Trunk口設置
本頁麵為您提供如下主要功能:
|
設置指定端口的Trunk相關參數(PVID和端口允許通過的VLAN)
當設置2.5G口為LAN口時,該接口不支持設置VLAN |
|
DHCP采用“客戶端/服務器”通信模式,由客戶端向服務器提出配置申請,服務器返回為客戶端分配的IP地址等配置信息,以實現網絡資源的動態配置。
在DHCP的典型應用中,一般包含一台DHCP服務器和多台DHCP客戶端(比如:PC和便攜機),如圖7-2所示。
圖7-2 DHCP典型應用
設備作為DHCP服務器,提供兩種IP地址分配策略:
· 手工分配地址:由管理員為特定客戶端靜態綁定IP地址。通過DHCP將配置的固定IP地址分配給客戶端。
· 動態分配地址:DHCP為客戶端分配具有一定有效期限的IP地址,當使用期限到期後,客戶端需要重新申請地址。
(1) 設備接收到DHCP客戶端申請IP地址的請求時,首先查找手工設置的DHCP靜態表,如果這台DHCP客戶端的MAC地址在DHCP靜態表中,則把對應的IP地址分配給該DHCP客戶端。
(2) 如果申請IP地址的DHCP客戶端MAC地址不在DHCP靜態表中,或者DHCP客戶端申請的IP地址與LAN口的IP地址不在同一網段,設備會從地址池中選擇一個在局域網中未被使用的IP地址分配給該主機。
(3) 如果地址池中沒有任何可分配的IP地址,則主機獲取不到IP地址。
如果主機離線(比如:主機關機了),設備不會馬上把之前分給它的IP地址分配出去,隻有在地址池中沒有其他可分配的IP地址,且該離線主機IP地址的租約過期時,才會分配出去。
頁麵向導:接口管理→DHCP設置→DHCP設置
本頁麵為您提供如下主要功能:
|
顯示和修改已創建的DHCP服務器信息(主頁麵) |
|
|
創建新的DHCP服務器(單擊主頁麵中的<新增>按鈕,在彈出的對話框中選擇需要啟用DHCP服務器功能的VLAN接口,並設置DHCP服務相關參數,單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表7-11 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
VLAN接口 |
選擇啟用DHCP服務器功能的VLAN接口,且一個VLAN接口上隻能創建一個DHCP服務器 |
|
啟用DHCP服務器 |
缺省情況下,DHCP服務器功能處於開啟狀態 |
|
地址池起始地址 |
DHCP服務器地址池的起始地址 |
|
地址池結束地址 |
DHCP服務器地址池的結束地址,且地址池結束地址要大於起始地址 |
|
地址租約 |
設置DHCP服務器分配給客戶端IP地址的租借期限。當租借期滿後,DHCP服務器會收回該IP地址,客戶端必須重新申請(客戶端一般會自動申請) 缺省情況下,地址租約為1440分鍾 |
|
客戶端域名 |
設置DHCP服務器分配給客戶端使用的域名地址後綴 |
|
主DNS服務器 |
設置DHCP服務器分配IP地址時所攜帶的主DNS服務器地址 缺省情況下,DNS服務器地址為網關地址 |
|
輔DNS服務器 |
設置DHCP服務器分配IP地址時所攜帶的輔DNS服務器地址 缺省情況下,DNS服務器地址為網關地址 |
如果您想讓設備給某些特定的客戶端分配固定的IP地址,可以事先通過DHCP靜態表將客戶端的MAC地址和IP地址進行綁定,使其成為一對一的分配關係。
當您設置設備通過DHCP方式為客戶端分配IP地址的同時又設置了ARP綁定,此時,請確保DHCP靜態表項與ARP綁定表項不衝突,否則對應的客戶端可能無法上網。建議您可以將ARP綁定表導出,然後再將其導入到DHCP靜態表中。
頁麵向導:接口管理→DHCP設置→DHCP靜態表
本頁麵為您提供如下主要功能:
|
顯示和修改已添加的DHCP靜態表項(主頁麵) |
|
|
單個添加DHCP靜態表項(單擊主頁麵上的<新增>按鈕,在彈出的對話框中設置相應的參數,並單擊<增加>按鈕完成操作) |
|
|
批量添加DHCP靜態表項(您可以先在本地編輯一個.cfg文件,內容格式為“MAC地址 IP地址 描述”(比如:00:0A:EB:7F:AA:AB 192.168.3.1 zhangsan),且每條靜態表項之間需換行。單擊主頁麵上的<導入>按鈕,在彈出的對話框中選擇該文件將其導入即可) |
|
|
將設備當前的DHCP靜態表項備份保存(.cfg文件),且您可用“記事本”程序打開該文件進行編輯(單擊主頁麵上的<導出>按鈕,確認後即可將其導出到本地) |
|
頁麵向導:接口管理→DHCP設置→DHCP客戶列表
本頁麵為您提供如下主要功能:
|
· 顯示已分配的DHCP客戶列表信息 · 釋放並回收指定客戶端的IP地址,使該IP地址可以重新被分配(選擇指定的客戶項,比如:已關機客戶PC,單擊<釋放>按鈕即可) |
|
僅WAN1和VLAN1接口支持IPv6功能。
頁麵向導:接口設置→IPv6設置→IPv6設置
本頁麵為您提供如下主要功能:
|
根據您當前的上網方式,開啟或關閉IPv6功能 · 勾選“啟用IPv6”,開啟IPv6功能 · 設置上網方式 · 設置本地地址 · 設置路由通告 · 設置DHCPv6服務器 · 單擊<應用>按鈕,完成設置 |
|
頁麵中關鍵項的含義如下表所示。
表7-12 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
啟用IPv6 |
缺省情況下,IPv6功能處於關閉狀態 |
|
上網方式 |
設置WAN口的上網方式,可選“自動獲取”(PPPoE/DHCP)或“手動配置”(靜態) |
|
鏈路本地地址 |
設置LAN口的IPv6鏈路層地址 |
|
路由通告 |
設置路由通告方式,可選“自動配置”或“手動配置” · 自動配置:將WAN口IPv6地址的前綴分配給LAN側設備 · 手動配置:手動設置IPv6地址前綴分配給LAN側設備 |
|
DHCPv6服務器 |
設置DHCPv6服務器,可選“自動配置”、“手動配置”或“禁用” |
· 無線服務簡介
· 無線管理
WLAN技術是當今通信領域的熱點之一,使用WLAN解決方案,網絡運營商和企業能夠為用戶提供方便的無線接入服務,主要包括:
· 應用具有無線局域網功能的設備建立無線網絡,通過該網絡,用戶可以訪問局域網或因特網;
· 使用不同認證和加密方式,提供安全的無線網絡接入服務;
· 在無線網絡內,用戶可以在網絡覆蓋區域內自由移動,徹底擺脫有線束縛。
無線AP基於WLAN技術,實現了802.11無線網絡標準中的無線接入功能。開啟本功能後,無線客戶端(帶有無線網卡的PC或智能移動終端等)可通過無線方式方便快捷地連接到無線局域網,實現高速率的數據通信,部署靈活,免去了有線連接的繁瑣。同時,無線AP支持多種加密功能,有效地保證了數據通信的安全性。
您可以通過本頁麵設置內部網絡基礎SSID,內網用戶可以管理設備,但是無法與訪客網絡客戶端通信。
頁麵向導:無線管理→基本設置→內部網絡
本頁麵為您提供如下主要功能:
|
· 開啟/關閉2.4G和5G無線網絡功能 · 設置2.4G和5G基礎SSID的信息(設置2.4G和5G射頻的內部網絡基礎SSID名稱,並選擇加密方式,單擊<應用>按鈕生效) |
|
頁麵中關鍵項的含義如下表所示。
表8-1 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
啟用無線網絡 |
啟用/禁用整個無線網絡功能,包括訪客網絡功能 默認啟用無線網絡功能 |
|
SSID名稱 |
配置2.4G和5G的基礎SSID名稱,2.4G的SSID名稱默認為H3C_XXXXXX,5G的SSID名稱默認為H3C_XXXXXX_5G
XXXXXX為設備MAC地址後六位 |
|
加密方式 |
設置2.4G和5G的基本SSID的加密方式 |
|
共享密鑰 |
如果選擇加密,則輸入此密鑰才能連接上SSID,長度範圍為8~63個字符 |
您可以通過本頁麵設置訪客網絡SSID,通過訪客網絡,您的客人可以訪問外網資源,但是無法管理設備,也無法與內網客戶端通信。
頁麵向導:無線管理→基本設置→訪客網絡
本頁麵為您提供如下主要功能:
|
· 開啟/關閉2.4G和5G無線訪客網絡功能 · 設置2.4G和5G訪客網絡SSID的信息(設置2.4G和5G射頻的訪客網絡SSID名稱,並選擇加密方式,單擊<應用>按鈕生效) |
|
頁麵中關鍵項的含義如下表所示。
表8-2 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
啟用SSID |
啟用/禁用訪客網絡功能 |
|
SSID名稱 |
配置2.4G和5G的訪客網絡SSID名稱,2.4G的SSID的名稱默認為H3C_XXXXXX_GUEST,5G的SSID的名稱默認為H3C_XXXXXX_GUEST_5G
XXXXXX為設備MAC地址後六位 |
|
加密方式 |
設置2.4G和5G訪客網絡的基本SSID的加密方式 |
|
共享密鑰 |
如果選擇加密,則輸入此密鑰才能連接上SSID,長度範圍為8~63個字符 |
您可以通過本頁麵添加多個SSID並進行管理。
SSID設置時,需注意同射頻下的SSID名稱不能相同。
頁麵向導:無線管理→高級設置→多SSID設置
本頁麵為您提供如下主要功能:
|
顯示無線網絡SSID列表,默認為8個SSID,4個2.4G、4個5G |
|
|
· 設置5G SSID的基本信息(在主頁麵中雙擊待配置的SSID表項,進入[SSID配置]頁麵) · 設置SSID加密方式(可以設置為不加密、WPA-PSK/WPA2-PSK加密或WPA2-PSK/WPA3-SAE加密) |
|
頁麵中關鍵項的含義如下表所示。
表8-3 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
啟用SSID |
選擇是否啟用該SSID SSID1和SSID5默認啟用,其他默認禁用 |
|
SSID射頻 |
顯示射頻為2.4G或5G |
|
SSID名稱 |
設置無線網絡使用的SSID名稱 不同的SSID用於區分不同的無線網絡 |
|
中文編碼選擇 |
配置SSID名稱時,若輸入中文,需要選擇相應的編碼格式GB2312或UTF-8 不同的客戶端對中文編碼格式支持情況不同,部分客戶端僅支持GB2312或UTF-8其中一種編碼格式,具體信息可通過點擊了解編碼詳情獲取 缺省情況下,輸入中文後,編碼格式為UTF-8 |
|
橋接VLAN |
SSID工作在橋接模式,設置該SSID(無線接口)與哪個VLAN橋接在一起,即該SSID的無線網絡劃入該VLAN 缺省情況下,SSID與VLAN1橋接在一起 |
|
客戶端隔離 |
選擇與某個SSID建立連接的無線客戶端之間是否可以互相通信 · 禁用:允許無線客戶端之間進行通信 · 啟用:禁止無線客戶端之間進行通信 缺省情況下,禁用客戶端隔離功能
啟用客戶端隔離後,無線客戶端與有線客戶端之間依然無法隔離 |
|
隱藏SSID |
選擇是否隱藏SSID · 如果禁用本功能,當無線客戶端搜尋本地可以接入的無線網絡時,將檢測到該SSID,從而可以建立連接 · 如果啟用該功能,則需要管理員向客戶端知會其SSID名稱和密碼,客戶端才可以根據SSID名稱接入無線網絡 缺省情況下,禁用隱藏SSID |
|
允許接入客戶端數 |
設置允許多少個無線客戶端接入該SSID,取值範圍為0~32 缺省情況下,允許接入客戶端數均為32個 |
|
加密方式 |
選擇加密方式,不加密、WPA-PSK/WPA2-PSK加密或WPA2-PSK/WPA3-SAE加密。建議選擇WPA2-PSK/WPA3-SAE加密,以提供更高的網絡安全性 缺省情況下,不加密
如您選擇加密方式為“不加密”時,則無需設置共享密鑰、加密協議與群組密鑰更新周期 |
|
共享密鑰 |
如果選擇加密,則輸入此密鑰才能連接上SSID,長度範圍為8~63個字符 |
|
加密協議 |
選擇加密協議 · TKIP:暫時密鑰完整性協議 · AES:先進加密標準 · TKIP+AES:使用多種加密方式 缺省情況下,加密協議為AES |
|
群組密鑰更新周期 |
設備會根據所設定的時間定期更新密鑰,單位為秒 缺省情況下,群組密鑰更新周期為3600 |
您可以通過本頁麵設置無線網絡的MAC地址接入控製功能。本頁麵配置僅對設備本身的無線網絡生效,不對設備的下接AP生效。
頁麵向導:無線管理→高級設置→接入控製
本頁麵為您提供如下主要功能:
|
開啟/關閉MAC地址接入控製功能(選中“啟用MAC地址接入控製功能”,並選擇相應的MAC接入無線網絡功能,單擊<應用>按鈕生效) |
|
|
添加MAC地址(單擊主頁麵上的<新增>按鈕,在彈出的對話框中選擇生效射頻並輸入MAC地址和描述信息,單擊<增加>按鈕生效) |
|
|
從接入客戶端列表導入MAC地址(單擊主頁麵上的<從接入客戶列表導入>按鈕,在彈出的對話框中選擇生效的射頻並選擇待導入的表項,單擊<導入到MAC地址過濾表>按鈕生效) |
|
頁麵中關鍵項的含義如下表所示。
表8-4 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
啟用MAC地址接入控製功能 |
選中該項啟用MAC地址過濾功能,否則允許所有客戶端計算機接入無線網絡 |
|
僅允許MAC地址列表中的MAC接入 |
選中該項表示僅允許MAC地址表中的客戶端計算機接入無線網絡 |
|
僅禁止MAC地址列表中的MAC接入 |
選中該項表示僅禁止MAC地址表中的客戶端計算機接入無線網絡 |
|
生效射頻 |
用於控製MAC表項中的地址在哪個射頻上生效,可以選擇在2.4G射頻上或5G射頻上生效,也可以選擇在兩個射頻上同時生效 缺省情況下,在兩個射頻上同時生效 |
|
MAC地址 |
客戶端計算機的MAC地址,輸入格式為xx:xx:xx:xx:xx:xx(或xx-xx-xx-xx-xx-xx、或xxxx-xxxx-xxxx),且不區分大小寫 |
|
描述 |
MAC地址的說明信息 |
頁麵向導:無線管理→高級設置→高級參數設置
本頁麵為您提供如下主要功能:
|
通用無線網絡高級設置 · 設置無線網絡的通用高級屬性(比如:二層漫遊、信號切換閾值、禁止弱信號客戶端接入、禁止接入信號強度、廣播探測、OFDMA、MU-MIMO) · 單擊<應用>按鈕生效 |
|
|
協議漫遊設置 · 啟用/禁用協議漫遊 · 單擊<應用>按鈕生效 |
|
|
頻譜導航設置 · 啟用/禁用頻譜導航 · 單擊<應用>按鈕生效 |
|
|
2.4G/5G無線網絡高級設置 · 設置2.4G和5G無線網絡的高級屬性(比如:無線網絡模式、無線網絡信道頻寬、無線信道、發射功率) · 單擊<應用>按鈕生效 |
|
頁麵中關鍵項的含義如下表所示。
表8-5 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
二層漫遊 |
啟用/禁用二層漫遊功能,啟用二層漫遊功能可以讓無線客戶端切換到較強信號的AP上 缺省情況下,二層漫遊功能禁用 |
|
信號切換閾值 |
若啟用二層漫遊功能,則需設置信號切換閾值,主要用於無線客戶端在不同的AP之間切換。當客戶端的信號強度低於此閾值時,客戶端會被踢下線,去嚐試連接信號強的AP 缺省情況下,信號切換閾值為-75dBm |
|
禁止弱信號客戶端接入 |
啟用/禁用禁止弱信號客戶端接入功能,啟用禁止弱信號客戶端接入功能可以讓弱信號的無線客戶端無法接入到AP上 缺省情況下,禁止弱信號客戶端接入功能禁用 |
|
禁止接入信號強度 |
若啟用禁止弱信號客戶端接入功能,則需設置禁止接入信號強度值。當無線客戶端的信號強度低於此值時,客戶端將無法連接上AP 缺省情況下,禁止接入信號強度為-80dBm
若同時啟用“二層漫遊”和“禁止弱信號客戶端接入”,“禁止接入信號強度”需要比“信號切換閾值”低,否則“二層漫遊”功能將不生效 |
|
廣播探測 |
啟用/禁用廣播探測功能,啟用廣播探測功能,AP會響應客戶端的探測 缺省情況下,廣播探測功能為啟用 |
|
OFDMA |
啟用後,多個終端數據可同時並行傳輸,提升傳輸效率,降低時延
該功能需要終端支持Wi-Fi 6,否則可能存在兼容性問題 |
|
MU-MIMO |
啟用後,可提升網絡性能與速度,使多用戶同時傳輸大量數據時的網絡體驗更佳
該功能需要終端支持Wi-Fi 6,否則可能存在兼容性問題 |
|
協議漫遊 |
啟用/禁用協議漫遊功能,開啟該功能可以讓支持該功能的終端根據信號強度能自動切換信號 |
|
頻譜導航 |
啟用/禁用協議漫遊功能,終端會根據當前環境自動切換無線射頻 |
|
無線網絡模式 |
· 選擇2.4G無線網絡工作模式: ¡ b-only模式:設備工作在802.11b模式下 ¡ g-only模式:設備工作在802.11g模式下 ¡ b+g模式:設備工作在802.11b/g的混合模式下 ¡ n-only模式:設備工作在802.11n模式下 ¡ b+g+n模式:設備工作在802.11b/g/n的混合模式下 ¡ b+g+n+ax模式:設備工作在802.11b/g/n/ax的混合模式下 · 選擇5G無線網絡工作模式: ¡ a+n模式:設備工作在802.11a/n的混合模式下 ¡ a+n+ac模式:設備工作在802.11a/n/ac的混合模式下 ¡ a+n+ac+ax模式:設備工作在802.11a/n/ac/ax的混合模式下 缺省情況下,2.4G無線網絡模式為b+g+n+ax模式,5G無線網絡模式為a+n+ac+ax模式 |
|
無線網絡信道頻寬 |
· 選擇2.4G無線網絡的工作頻寬: ¡ 當無線模式選擇“b+g+n+ax”、“b+g+n”或“n-only”時,可選20MHz、20/40MHz或40MHz ¡ 其餘工作模式下均為20MHz · 選擇5G無線網絡的工作頻寬: ¡ 當無線模式選擇“a+n”時,可選20MHz、20/40MHz或40MHz ¡ 當無線模式選擇“a+n+ac+ax”或“a+n+ac”時,可選20MHz、20/40MHz、40MHz、80MHz或160MHz 缺省情況下,無線網絡信道頻寬請以實際產品為準 |
|
無線信道 |
選擇無線網絡的工作信道(頻道) 為了提升網絡性能,請盡量選擇設備工作環境中未被使用的信道 缺省情況下,無線信道為AUTO
在AUTO模式下,設備會自動選擇一個合適的無線信道 |
|
發射功率 |
調節無線發射功率,值越大,覆蓋範圍越大,信號越好 缺省情況下,發射功率均為100% |
通過AP管理設置開啟管理AP功能,如果啟用管理AP功能,需要設置管理VLAN。
頁麵向導:無線管理→AP管理→AP管理設置
|
啟用AP管理功能,選擇AP管理使用VLAN,單擊<應用>按鈕,完成設置 |
|
設備的無線配置會作為默認模板下發給AP。如AP需要更多不同的配置,您可以通過配置本頁麵,添加不同的AP配置模板。當有AP上線時,可以綁定某一個AP配置模板。
頁麵向導:無線管理→AP管理→AP模板管理
|
在AP配置模板列表中查看、新增或刪除模板 · 單擊<新增>按鈕,可以添加新的AP配置模板 · 選擇要刪除的配置模板,單擊<刪除>按鈕,再單擊<確定>按鈕便可刪除該配置模板 |
|
|
添加新的AP配置模板 · 單擊<新增>按鈕,彈出AP配置模板頁麵 · 設置模板名稱和模板描述 · 設置無線網絡模式、頻寬、無線信道、發射功率等無線參數 · 單擊<新增>按鈕,在彈出的頁麵中設置無線網絡SSID · 單擊<添加>按鈕,完成AP配置模板設置 |
|
|
設置無線網絡SSID · 設置SSID名稱和加密方式,如果SSID輸入了中文,會彈出中文編碼格式供選擇,且可以點擊了解編碼詳情 · 勾選“高級設置”後,可設置客戶端隔離、隱藏SSID、客戶端數量、橋接VLAN等參數 · 單擊<增加>按鈕,完成SSID設置 |
|
· 因為802.11n不支持TKIP加密協議,所以當無線網絡模式設置為“n-only”模式時,無法選用TKIP。此外,當無線網絡模式設置為“b+g+n”時,推薦您把加密設置為AES,而不是TKIP,否則無線AP將不能提供802.11n的高速率數據傳輸服務。
· 當您發現無線網絡運行不穩定時,請嚐試換用其他的無線信道。
頁麵中關鍵項的含義如下表所示。
表8-6 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
模板名稱 |
配置模板的名稱 |
|
模板描述 |
配置模板的描述信息 |
|
無線網絡模式 |
· 選擇2.4G無線網絡工作模式: ¡ b-only模式:設備工作在802.11b模式下 ¡ g-only模式:設備工作在802.11g模式下 ¡ b+g模式:設備工作在802.11b/g的混合模式下 ¡ n-only模式:設備工作在802.11n模式下 ¡ b+g+n模式:設備工作在802.11b/g/n的混合模式下 ¡ b+g+n+ax模式:設備工作在802.11b/g/n/ax的混合模式下 · 選擇5G無線網絡工作模式: ¡ a+n模式:設備工作在802.11a/n的混合模式下 ¡ a+n+ac模式:設備工作在802.11a/n/ac的混合模式下 ¡ a+n+ac+ax模式:設備工作在802.11a/n/ac/ax的混合模式下 缺省情況下,2.4G無線網絡模式為b+g+n+ax模式,5G無線網絡模式為a+n+ac+ax模式 |
|
無線網絡頻寬 |
· 選擇2.4G無線網絡的工作頻寬: ¡ 當無線模式選擇“b+g+n+ax”、“b+g+n”或“n-only”時,可選20MHz、20/40MHz或40MHz ¡ 其餘工作模式下均為20MHz · 選擇5G無線網絡的工作頻寬: ¡ 當無線模式選擇“a+n”時,可選20MHz、20/40MHz或40MHz ¡ 當無線模式選擇“a+n+ac+ax”或“a+n+ac”時,可選20MHz、20/40MHz、40MHz、80MHz或160MHz 缺省情況下,無線網絡信道頻寬請以實際產品為準 |
|
無線信道 |
選擇無線網絡的工作信道(頻道) 為了提升網絡性能,請盡量選擇設備工作環境中未被使用的信道。AP的2.4G所有SSID共用同一個信道,5G所有SSID共用同一個信道 缺省情況下,無線信道為AUTO
在AUTO模式下,AP會自動選擇一個合適的無線信道 |
|
發射功率 |
調節無線發射功率,值越大,覆蓋範圍越大,信號越好 |
|
SSID名稱 |
設置無線網絡使用的SSID名稱 不同的SSID用於區分不同的無線網絡 |
|
中文編碼選擇 |
配置SSID名稱時,若輸入中文,需要選擇相應的編碼格式GB2312或UTF-8 不同的客戶端對中文編碼格式支持情況不同,部分客戶端僅支持GB2312或UTF-8其中一種編碼格式,具體信息可通過點擊了解編碼詳情獲取 缺省情況下,輸入中文後,編碼格式為UTF-8 |
|
加密方式 |
選擇加密方式 建議使用WPA2-PSK/WPA3-SAE加密方式,以提供更高的網絡安全性 缺省情況下,不加密 |
|
共享密鑰 |
WPA共享密鑰,輸入一個8~63字符的字符串 |
|
加密協議 |
選擇加密協議 · TKIP:暫時密鑰完整性協議 · AES:先進加密標準 · TKIP+AES:自動協商使用TKIP或AES 缺省情況下,加密協議為AES |
|
群組密鑰更新周期 |
設備會根據時間定期更新密鑰,單位為秒 缺省情況下,群組密鑰更新周期為3600 |
|
客戶端隔離 |
選擇與某個SSID建立連接的無線客戶端之間是否可以互相通信 · 禁用:允許無線客戶端之間進行通信 · 啟用:禁止無線客戶端之間進行通信 缺省情況下,禁用客戶端隔離功能
啟用客戶端隔離後,無線客戶端與有線客戶端之間依然無法隔離 |
|
隱藏SSID |
選擇是否隱藏SSID · 禁用本功能,當無線客戶端搜尋本地可以接入的無線網絡時,將檢測到該SSID,從而可以建立連接 · 啟用本功能,則需要管理員向客戶端知會其SSID名稱,客戶端才可以根據SSID名稱接入無線網絡 缺省情況下,禁用隱藏SSID |
|
SSID最大能夠接入的無線客戶端數量,默認值為AP的客戶端默認數量值 若設備上配置的值大於AP允許接入的客戶端最大值,則以AP允許接入的客戶端最大值為準 |
|
|
橋接VLAN |
設置AP橋接VLAN的值,取值範圍為1~4094,默認為VLAN 1 |
AP版本信息顯示路由器上是否上傳了AP的最新版本。如果上傳了則會顯示當前的版本信息,並且可以通過<刪除>按鈕,刪除該版本。
您可以將最新的AP版本上傳至路由器。
AP版本保存在設備內存中,在設備重啟後,該版本會丟失。
頁麵向導:無線管理→AP管理→AP版本管理
|
· AP版本信息,單擊<刪除>按鈕便可刪除相應的AP版本 · 本地管理,單擊<瀏覽…>按鈕,在彈出的對話框中選擇需要上傳的AP版本文件,單擊<上傳>按鈕便可上傳該軟件版本) · 關於當前最新AP版本,可谘詢H3C技術支持人員 |
|
頁麵中關鍵項的含義如下表所示。
表8-7 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
AP版本信息 |
設備上保存的AP版本 |
|
本地管理 |
將本地的AP軟件版本上傳到設備 |
· AP升級設置:當AP上運行的版本高於管理器上保存的AP版本時,通過強製AP與管理器上的AP版本一致功能,可以將AP的版本強製升級為管理器上的AP版本。
· AP密碼設置:用於集中管理AP的登錄密碼。當啟用AP密碼設置功能後,可以選擇AP與管理器密碼一致,也可以手動設置AP密碼。
· AP管理地址設置:用於為AP分配管理地址。
頁麵向導:無線管理→AP管理→AP高級管理
|
· AP升級設置(啟用強製AP與管理器上的AP版本一致,單擊<應用>按鈕生效) · AP密碼設置(啟用AP密碼設置功能,選擇AP與設備密碼一致或選擇手動設置AP密碼,並輸入新密碼,單擊<應用>按鈕生效) · AP管理地址設置 ¡ 設置管理器管理AP的私有管理地址,可以通過該地址登錄管理器管理頁麵,進行管理操作。注意該地址不能與現網路由器地址衝突 ¡ 設置AP注冊成功後分配的IP地址池起始地址。注意AP注冊成功後不能使用默認地址訪問,必須使用管理器分配的IP地址訪問 |
|
頁麵中關鍵項的含義如下表所示。
表8-8 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
強製AP與管理器上的AP版本一致 |
將AP上運行的版本強製升級成與管理器上的AP版本一致 |
|
啟用AP密碼設置功能 |
開啟AP密碼管理功能 |
|
AP與無線管理器密碼一致 |
選擇AP的密碼與設備的密碼一致 |
|
手動設置AP密碼 |
手動設置AP的密碼 |
|
AP管理地址 |
設置AP管理地址 |
|
AP管理子網掩碼 |
設置AP管理地址對應的子網掩碼 |
|
地址池起始地址 |
設置地址池的起始地址,必須與AP管理地址設置在同一子網內 |
|
地址池結束地址 |
設置地址池的結束地址,必須與AP管理地址設置在同一子網內。地址池結束地址不能小於地址池起始地址 |
在線AP列表包括AP統計信息和在線AP列表。通過AP統計信息,可以知道設備最大支持AP數量,以及當前已接入的AP數量。在線AP列表中,你可以查看所有在線或離線的AP信息,包括IP地址、MAC地址、狀態、配置模板、信道等。其中紅色條目指表項異常,如:檢測到AP的狀態顯示為版本升級異常、配置同步異常或離線。
頁麵向導:無線管理→在線列表→在線AP列表
|
· 通過<綁定配置模板>按鈕,可以添加AP配置信息,包括修改AP配置模板和AP的無線參數 · 如果AP的版本低於當前管理器上的AP版本,或AP顯示版本升級異常,通過<版本升級>按鈕,可以給一個或多個在線AP手動升級到最新的版本 · 如果AP顯示配置同步異常,通過<配置同步>按鈕,可以給一個或多個在線AP手動進行配置同步 · 通過<刪除離線記錄>按鈕,可以刪除一個或多個離線AP的配置信息記錄 · 通過<重啟>按鈕,可以重啟一個或多個選中的在線AP · 通過<查找>按鈕,可以使支持查找功能的AP的係統指示燈閃爍 · 通過<定位信息導出>按鈕,可以將AP的運行狀態、故障定位等信息導出 |
|
|
· 查看在線AP的詳細接入信息(單擊主頁麵列表中的<詳細>按鈕,單擊<關閉>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表8-9 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
AP型號 |
顯示當前接入的AP型號 |
|
IP地址 |
顯示管理AP的私有IP地址 |
|
條碼SN |
顯示在線AP的條碼SN |
|
AP版本號 |
顯示在線AP的版本號 |
|
MAC |
顯示在線AP的MAC地址 |
|
狀態 |
顯示當前AP注冊運行過程中的各種操作狀態,包括正常、初始化、版本升級、版本升級異常、配置同步、配置同步異常和離線 |
|
配置模板 |
顯示在線AP使用的模板信息 |
|
信道 |
顯示AP的2.4G的工作信道 |
|
5G信道 |
顯示AP的5G的工作信道 |
|
AP客戶端數量 |
顯示接入當前AP的客戶端數量,點擊可查看該AP的無線客戶端接入信息 |
|
AP端口狀態 |
顯示AP的端口速率和雙工模式 |
|
備注 |
用戶對AP的自定義管理信息 |
|
詳細 |
點擊詳細,用戶可以查看到該在線AP的詳細接入信息 |
通過客戶端列表查看所有通過無線網絡接入的客戶端信息。包括客戶端MAC地址、連接SSID、接入信息、VLAN、信號強度、發送/接收速率、連接時間等。
頁麵向導:無線管理→在線列表→客戶端列表
|
· 查看無線客戶端的接入信息 · 選擇需要釋放的無線客戶端,單擊<釋放>按鈕,在彈出的頁麵中單擊<確定>,完成釋放操作 |
|
|
· 查看無線客戶端的詳細接入信息(單擊主頁麵列表中的<詳細>按鈕,單擊<關閉>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表8-10 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
客戶端MAC地址 |
接入的無線客戶端的MAC地址 |
|
連接SSID |
無線客戶端連接到AP或路由器的SSID名稱 |
|
接入信息 |
無線客戶端連接的AP信息或路由器的SSID信息 |
|
VLAN |
無線客戶端連接的SSID橋接的VLAN,表示客戶端在這個VLAN內通信 |
|
信號強度 |
表示AP或路由器跟客戶端之間的無線信號質量 |
|
信道 |
無線網絡的工作信道 |
|
頻寬 |
無線客戶端跟AP或路由器之間協商的工作頻寬 |
|
發送速率 |
無線AP或路由器的實時發送速率 |
|
接收速率 |
無線客戶端的實時發送速率 |
|
連接時間 |
無線客戶端連接到AP或路由器的總時長 |
|
備注 |
無線客戶端連接的AP或路由器的備注信息 |
|
詳細 |
點擊詳細,用戶可以查看到該無線客戶端的詳細接入信息 |
無線AP越來越多,相互信道疊加幹擾,可能會導致網絡擁堵、終端連接不穩定,此時,通過一鍵部署和一鍵優化,可重新部署AP網絡、提高數據傳輸速率和網絡資源利用率。
在在線AP列表中,您可以查看所有在線或離線的AP信息,其中紅色條目指表項異常,如:檢測到AP的狀態顯示為版本升級異常、配置同步異常或離線。
頁麵向導:無線管理→無線優化→無線網絡優化
|
· 點擊<一鍵部署>按鈕,可自動部署全部在線AP的信道 · 點擊<網絡分析>按鈕,可自動分析您所選中的在線AP當前的網絡狀況,並以評分的形式在網絡質量評分中顯示出來 · 點擊<一鍵優化>按鈕,可優化選中的在線AP網絡,自動選擇最優無線信道,網絡質量評分相應也會提升 |
|
頁麵中關鍵項的含義如下表所示。
表8-11 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
|
AP型號 |
顯示當前接入的AP型號 |
|
|
IP地址 |
顯示管理AP的私有IP地址 |
|
|
MAC |
顯示在線AP的MAC地址 |
|
|
狀態 |
顯示當前AP注冊運行過程中的各種操作狀態,包括正常、初始化、版本升級、版本升級異常、配置同步、配置同步異常和離線 |
|
|
信道 |
2.4G |
顯示AP在2.4G模式下的工作信道 |
|
5G |
顯示AP在5G模式下的工作信道,如不支持,則不顯示 |
|
|
信道利用率 |
2.4G |
顯示AP在2.4G模式下的信道利用率 |
|
5G |
顯示AP在5G模式下的信道利用率,如不支持,則不顯示 |
|
|
網絡質量評分 |
2.4G |
顯示AP在2.4G模式下的網絡狀況等級及評分 · 評分80~100為優 · 評分60~79為良 · 評分40~59為中 · 評分0~39為差 |
|
5G |
顯示AP在5G模式下的網絡狀況等級及評分 |
|
|
備注 |
用戶對AP的自定義管理信息 |
|
本章節主要包含以下內容:
· 交換機管理
· 交換機列表
· 版本管理
· 交換機係統設置
交換機管理支持管理H3C Mini係列雲管交換機,可設置交換機工作模式、版本升級、查看交換機各端口狀態等。
頁麵向導:交換機管理→交換機管理
|
啟用交換機管理功能,單擊<應用>按鈕,完成設置 |
|
交換機列表包括交換機統計信息和交換機列表。通過交換機統計信息,可以知道設備最大支持交換機數量,以及當前已接入的在線交換機數量。交換機列表中,您可以查看所有在線或離線的交換機信息,包括型號、序列號、IP地址、MAC地址、狀態、工作模式、故障類型等。其中紅色條目指表項異常,如:檢測到交換機的狀態顯示為模式設置異常、重啟異常、版本升級異常或離線。
頁麵向導:交換機管理→交換機列表
|
· 通過<工作模式設置>按鈕,可以設置所選交換機當前的工作模式 · 通過<重啟>按鈕,可以重啟一個或多個選中的交換機 · 如果交換機的版本與當前設備上的交換機版本不同,或交換機顯示版本升級異常,通過<版本升級>按鈕,可以給一個或多個在線交換機手動升級版本 · 通過<刪除離線記錄>按鈕,可以刪除一個或多個所選離線交換機的記錄信息 · 選中一個交換機,然後雙擊,可以為該交換機設置備注 |
|
|
· 進入所選交換機的交換機係統設置頁麵(單擊主頁麵列表中的<進入>按鈕) |
|
頁麵中關鍵項的含義如下表所示。
表9-1 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
型號 |
顯示交換機的產品型號 |
|
序列號 |
顯示交換機的序列號 |
|
IP地址 |
顯示交換機的私有IP地址 |
|
MAC地址 |
顯示交換機的MAC地址 |
|
狀態 |
顯示當前交換機注冊運行過程中的各種操作狀態 包括:在線、離線、重啟、版本升級、模式設置、備注設置、重啟異常、模式設置異常、版本升級異常和備注設置異常 |
|
軟件版本 |
顯示交換機的版本號 |
|
工作模式 |
顯示交換機運行的工作模式,包括:標準交換、端口隔離、彙聚上聯和網絡克隆 |
|
故障類型 |
顯示交換機的故障信息 包括:無、端口環路、PoE異常和端口環路+PoE異常 |
|
備注 |
顯示交換機的備注信息 |
|
進入係統 |
點擊<進入>,進入該交換機的係統管理頁麵
當交換機狀態為離線、重啟及版本升級三種時,<進入>按鈕失效,無法點擊 |
本地版本顯示路由器上是否上傳了交換機的最新版本;如果上傳了,則會顯示最新的版本信息,並且可以通過<刪除>按鈕,刪除該版本。通過本地升級功能,可將最新的交換機版本上傳至路由器。
交換機版本保存在路由器內存中,在路由器重啟後,該版本會丟失。
頁麵向導:交換機管理→版本管理→交換機版本上傳
|
· 本地升級(單擊<瀏覽…>按鈕,在彈出的對話框中選擇需要上傳的交換機版本文件,單擊<上傳>按鈕便可上傳該軟件版本) · 本地版本刪除(單擊<刪除>按鈕便可刪除相應的交換機版本) · 關於當前最新交換機版本,可谘詢H3C技術支持人員 |
|
頁麵中關鍵項的含義如下表所示。
表9-2 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
本地版本 |
設備上保存的交換機版本 |
|
本地升級 |
將交換機軟件版本上傳到路由器 |
頁麵向導:交換機管理→交換機列表→進入→係統監控→基本信息
本頁麵為您提供如下主要功能:
|
· 查看交換機的基本信息(比如:當前運行的軟件版本號、工作模式、運行時間等) · 查看所有以太網端口當前的狀態信息(比如:鏈路狀態、端口類型、速率、環路狀態等) · 單擊端口信息的任一端口圖標,可快速跳轉到配置端口工作參數頁麵 |
|
頁麵向導:交換機管理→交換機列表→進入→係統監控→端口統計
本頁麵為您提供如下主要功能:
|
查看所有以太網端口當前的流量統計信息,包括端口開啟狀態、鏈路狀態等 |
|
通過交換機的基本設置頁麵,可以設置交換機的工作模式、是否開啟環路檢測和查詢MAC地址對應的端口。
頁麵向導:交換機管理→交換機列表→進入→係統配置→基本設置
|
· 工作模式設置,包括4種不同的工作模式(標準交換、端口隔離、彙聚上聯和網絡克隆) · 單擊<應用>按鈕生效 |
|
|
· 環路檢測,開啟交換機的自環檢測功能 · 單擊<應用>按鈕生效 |
|
|
· MAC地址查詢,輸入合法的MAC地址 · 點擊<查詢>,可以獲取該MAC所對應的端口號 |
|
頁麵中關鍵項的含義如下表所示。
表9-3 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
工作模式 |
設置交換機運行的工作模式,包括:標準交換、端口隔離、彙聚上聯和網絡克隆 · “標準交換”:開啟流量控製、端口協商功能(缺省模式) · “端口隔離”:開啟下行端口之間的二層隔離功能,各端口隻能與Uplink端口通信 · “彙聚上聯”:開啟流量控製、端口協商、2個Uplink光口或2個Uplink電口的聚合功能(源MAC+目的MAC,靜態聚合) · “網絡克隆”:關閉流量控製功能,開啟端口協商功能
當交換機工作在彙聚上聯模式時,Uplink的對端設備端口也需支持靜態聚合功能,否則可能會造成環路! |
|
環路檢測 |
開啟或關閉設備的環路檢測功能 設備通過發送環路監測報文、並監測其是否返回本設備(不要求收、發端口為同一端口)以確認是否存在環路,若某端口收到了由本設備發出的環路監測報文,就認定該端口存在環路。當交換機檢測到存在環路時,會自動抑製出問題的端口以消除環路 |
|
MAC地址查詢 |
用於查詢某MAC地址實際連接到交換機的對應端口 |
· 流量控製:當本端端口收到對端發來的超過線速的報文時,會主動發送流控幀到對端,請求對端降低發送速率,以保證通信正常。
· 端口協商:通信前需先協商速率,以保持兩端端口速率一致。若本端設備端口速率高於對端,開啟端口協商功能可使本端設備端口降低協商速率,以保證通信正常。
· 端口聚合:兩個Uplink端口進行靜態聚合,組成一個聚合組,聚合組中各成員端口按接收數據中的源MAC+目的MAC進行負載分擔。
(1) 設置端口開關和風暴抑製級別
如果局域網內存在大量的廣播/組播/未知單播報文流量(可能由病毒導致)時,將會影響網絡的正常通信。您可以通過設置設備上行口和下行口的風暴抑製功能,有效地抑製大量報文流量的傳播,避免網絡擁塞,保證網絡業務的正常運行。
頁麵向導:交換機管理→交換機列表→進入→係統配置→端口配置→端口設置
|
· 點擊端口圖標,選擇要操作的端口(可多選) · 選擇開啟/關閉選中的端口,單擊<應用>按鈕生效 |
|
|
· 選擇上行口和下行口的風暴抑製級別(包括:不抑製、低、中、高) · 單擊<應用>按鈕生效 |
|
頁麵中關鍵項的含義如下表所示。
表9-4 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
選擇端口 |
在麵板示意圖中,點擊選擇要進行開關設置的端口,或直接點擊全選按鈕 |
|
端口開關 |
設置端口的開啟/關閉 缺省情況下,端口開關為開啟狀態
交換機與BR路由器設備連接的LAN口為管理口,無法關閉 |
|
風暴抑製 |
設置上行口和下行口的風暴抑製狀態級別,包括:不抑製、低、中、高 這四個級別允許通過的報文流量依次減少,您可根據實際需求進行相應的設置 缺省情況下,風暴抑製功能處於關閉狀態(即不抑製) |
(2) 設置PoE端口開關
僅設備絲印中帶有“-P”或“-HP”的設備支持PoE特性。
PoE(Power over Ethernet,以太網供電,又稱遠程供電)是指設備通過以太網電口,利用雙絞線對外接PD(Powered Device,受電設備)進行遠程供電。
PD是接受交換機供電的設備,如IP電話、無線AP(Access Point,接入點)、便攜設備充電器、刷卡機、網絡攝像頭等。
頁麵向導:交換機管理→交換機列表→進入→係統配置→端口配置→PoE設置
|
顯示設備當前PoE端口功率使用狀態和工作情況 |
|
|
· 點擊端口圖標,選擇要操作的端口(可多選): ¡ 開啟/關閉選中端口的PoE開關 ¡ 開啟/關閉選擇端口的長距離供電功能 · 表格直觀顯示所有PoE端口的功率值、供電狀態以及長距離供電狀態,您也可通過表中的PoE開關快速進行切換 |
|
頁麵中關鍵項的含義如下表所示。
表9-5 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
PoE信息 |
· 剩餘功率高於20W時,工作情況為“正常” · 剩餘功率低於20W時,工作情況為“PoE異常”。此時,供電優先級低的PD將被斷電。PoE供電優先級取決於端口號,端口號越小,供電優先級越高。被斷電的端口供電狀態將顯示“電力不足” · 風扇出現異常時,工作情況為“風扇異常”
· 設備預設了20W的保護功率範圍,以便適應PD設備的功率波動,從而防止由於PD的瞬間功率過大而導致PD斷開。當設備剩餘功率小於20W,且接入新的PD時,高優先級端口將搶占低優先級端口的功率,優先保證高優先級端口的正常工作;若低優先級端口的功率小於20W,將恢複該端口的PoE供電功能,否則該低優先級端口將不能正常工作 · 如果已接入的PD功率突然增加,造成設備功率過載時,將停止對連接在低優先級端口上PD的供電,以便保證給優先級高的PD供電 |
|
選擇端口 |
在麵板示意圖中,點擊選擇要進行開關設置的端口,或直接點擊全選按鈕 |
|
PoE開關 |
開啟/關閉端口PoE功能,缺省情況下,PoE開關為開啟狀態
交換機與BR路由器設備連接的LAN口為管理口,其PoE開關自動關閉,不支持供電 |
|
長距離供電 |
開啟或關閉端口的長距離供電功能。開啟後,傳輸速率將變為10M,可使用250米及以下長度的網線對設備供電 |
(3) 設置端口鏡像
端口鏡像是將指定鏡像源端口的報文複製到目的鏡像端口,目的鏡像端口會與數據監測設備相連,用戶利用這些數據監測設備來分析複製到目的端口的報文,從而進行網絡監控和故障排除。
交換機重啟後,設置的端口鏡像會自動失效。
頁麵向導:交換機管理→交換機列表→進入→係統配置→端口配置→端口鏡像
|
· 點擊端口圖標,選擇要操作的端口(可多選),作為源鏡像端口成員 · 在下拉框中分別選擇指定的目的鏡像端口和鏡像作用的方向 · 單擊<應用>按鈕,端口鏡像設置生效 · 單擊<關閉鏡像>按鈕,可關閉當前已生效的端口鏡像設置 |
|
頁麵中關鍵項的含義如下表所示。
表9-6 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
源鏡像端口成員 |
允許把此接口的流量鏡像到目的鏡像端口 |
|
目的鏡像端口 |
即監控接口,允許把源接口的流量鏡像到的端口
交換機工作模式為“彙聚上聯”時,所有Uplink口作為聚合口,不能設置為目的鏡像端口 |
|
方向 |
根據端口鏡像作用的方向來劃分,包括: · 入口:隻對從源端口接收的流量進行鏡像 · 出口:隻對從源端口發出的流量進行鏡像 · 雙向:對源端口接收和發出的雙向流量進行鏡像 |
頁麵向導:交換機管理→交換機列表→進入→係統配置→係統設置
|
點擊<複原>按鈕,將交換機恢複到出廠設置(比如:當您從一個網絡環境切換到另一個不同的網絡環境的情況,可將交換機恢複到出廠設置,然後再進行重新設置,以適應當前的組網) |
|
恢複出廠設置後,設備將會重新啟動。在此期間請勿斷開設備的電源。
本章節主要包含以下內容:
· 簡介
· 設置上網管理
伴隨互聯網的應用越來越廣泛,傳統的WEB服務承載了越來越多的業務,各種各樣的信息通過WEB方式提供給用戶。WEB使用者通過網絡獲取了大量的信息,同樣不法之徒也通過網絡將非法信息和內容進行傳播,基於上網行為的管理技術越來越成為各個企業管理者關注的部分。通過對上網行為的管理,對訪問行為進行過濾,使得企業內部的信息得到保護,更使得企業管理者時刻掌握著WEB服務的安全性和合法性,因此上網行為管理成為了各類網絡產品中必不可少的功能之一。
上網管理主要實現如下功能:
· 支持用戶組管理,包括列表顯示、新增、編輯和刪除。
· 支持時間段管理,包括列表顯示、新增、編輯和刪除。
支持行為策略管理,包括列表顯示、新增、編輯和刪除:
· 支持適用用戶組的設置,可設置零個或多個用戶組。
· 支持適用時間段的設置,可設置零個或多個時間段。
· 支持IM軟件的設置,可設置QQ的禁用。
· 在啟用IM軟件且禁用QQ上線的情況下,行為策略管理支持QQ特權號碼的設置。
· 支持網站過濾的設置。
· 支持文件類型過濾的設置。
· 支持列表顯示行為控製的狀態信息。
· 支持通過查詢一個IP地址或者用戶組,把該IP地址所屬的用戶組或者用戶組配置的所有行為控製策略通過列表顯示出來。
· 支持以用戶組為單位顯示行為控製狀態的詳細信息,包括IM軟件、網站過濾和文件類型過濾狀態的詳細信息。
用戶組管理設置頁麵,可以設置用戶組名,一條或者多條IP/MAC地址以及描述信息。
頁麵向導:上網管理→組管理→用戶組管理
|
顯示和修改已創建的用戶組信息(主頁麵) |
|
|
創建新的一條用戶組(單擊主頁麵中的<新增>按鈕,在彈出的對話框中添加用戶組名、IP/MAC地址、描述信息,單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表10-1 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
用戶組名 |
設置用戶組的名字。該名字可以提示用戶該用戶組中的用戶特征 |
|
地址類型 |
選擇區分該用戶所使用的地址類型,可以選擇“IP地址”或者“MAC地址” |
|
IP地址段 |
輸入用於標識該用戶的IP地址,僅僅當地址類型選擇為“IP地址”類型時,才會顯示此配置項 |
|
MAC地址 |
輸入用於標識該用戶的MAC地址,僅僅當地址類型選擇為“MAC地址”類型時,才會顯示此配置項 |
|
描述 |
設置用戶組的描述信息 |
時間段管理設置頁麵,可以設置時間段名、生效時間以及描述信息。
頁麵向導:上網管理→組管理→時間段管理
|
顯示和修改已創建的時間段信息(主頁麵) |
|
|
創建新的一條時間段(單擊主頁麵中的<新增>按鈕,在彈出的對話框中添加時間段名、生效時間、描述信息,單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表10-2 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
時間段名 |
設置時間段的名字。該名字可以提示用戶該時間段中的時間段特征 |
|
生效時間 |
設置該時間段的生效時間段範圍;生效時間包括兩部分內容:在一天中生效的時間段,時間使用24小時製,起始時間應早於結束時間,00:00~24:00表示該規則在一天內任何時間都生效;一周中哪幾天規則生效 |
|
描述 |
設置該時間段的描述信息 |
策略管理頁麵,對內網計算機訪問外網資源的行為進行統一管理,可以設置包括策略使能、表項序號、策略名稱、策略描述、適用用戶組、適用時間段、IM軟件、QQ特權號碼、網站和文件過濾。
頁麵向導:上網管理→策略管理→行為策略管理
|
顯示和修改已創建的行為策略管理信息(主頁麵) |
|
|
創建新的一條行為管理策略規則(單擊主頁麵中的<新增>按鈕,在彈出的對話框中勾選“啟用該策略”,並設置行為管理策略的相關參數,單擊<完成策略配置>按鈕完成操作) |
|
設置該條行為策略的適用用戶組,可以設置零條或者多條(零條默認為所有用戶組)。
頁麵向導:上網管理→策略管理→行為策略管理→適用用戶組
|
在彈出的對話框頁麵中點擊“適用用戶組”,在所有用戶組中雙擊想要添加的用戶組,或者單擊想要添加的用戶組,再點擊 |
|
設置該條行為策略的適用時間段,可以設置零條或者多條(零條默認為所有時間段)。
頁麵向導:上網管理→策略管理→行為策略管理→適用時間段
|
在彈出的對話框頁麵中點擊“適用時間段”或者單擊<下一步>按鈕,在所有時間段中雙擊想要添加的時間段,或者單擊想要添加的時間段,再點擊 |
|
設置該條行為策略是否禁用IM軟件(QQ)。並且可以設置RTX服務器地址。
頁麵向導:上網管理→策略管理→行為策略管理→IM軟件
|
在彈出的對話框頁麵中點擊“IM軟件”或者單擊<下一步>按鈕,勾選“啟用IM軟件控製功能”,並設置相應參數 |
|
如果該條行為策略開啟禁止QQ上線功能,可以設置是否啟用QQ特權號碼,可以新增、編輯、刪除特權QQ號碼。
頁麵向導:上網管理→策略管理→行為策略管理→QQ特權號碼
|
· 在彈出的對話框頁麵中點擊“QQ特權號碼”或者單擊<下一步>按鈕 · 如果在IM軟件中勾選“禁止QQ上線功能”,在該頁麵中勾選“啟用特權QQ號碼”,並設置相應參數 |
|
設置該條行為策略是否啟用網站過濾功能、網站過濾模式和新增、編輯或者刪除網站過濾列表。
頁麵向導:上網管理→策略管理→行為策略管理→網站過濾
|
在彈出的對話框頁麵中點擊“網站過濾”或者單擊<下一步>按鈕,勾選“啟用網站過濾功能”,並設置相應參數 |
|
設置該條行為策略是否啟用文件過濾功能和新增、編輯或者刪除文件過濾列表。
頁麵向導:上網管理→策略管理→行為策略管理→文件類型過濾
|
在彈出的對話框頁麵中點擊“文件類型過濾”或者單擊<下一步>按鈕,勾選“啟用文件類型過濾功能”,並設置相應參數 |
|
頁麵中關鍵項的含義如下表所示。
表10-3 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
適用用戶組 |
配置適用該行為策略的用戶組,可以配置零條或多條,當配置零條時,則默認為所有用戶生效 |
|
適用時間段 |
配置適用該行為策略的時間段,可以配置零條或多條,當配置零條時,則默認為所有時間生效 |
|
啟用IM軟件控製功能 |
選中該項,可以限製內網計算機使用IM軟件功能。缺省情況下,不啟用該功能 |
|
禁止QQ上線 |
選中該項,啟用禁止應用QQ的功能,內網的計算機將不能登錄QQ服務器。缺省情況下,不啟用該功能 |
|
RTX服務器IP地址 |
騰訊通RTX(Real Time eXchange)是騰訊公司推出的企業級即時通信平台。RTX與QQ屬於類似業務,如需禁止QQ上線但仍需使用RTX,請配置允許訪問的RTX服務器IP地址 |
|
啟用QQ特權號碼 |
選中該項,啟用特權QQ號碼功能,在“特權號碼”列表中的QQ號碼被允許使用QQ。缺省情況下,不啟用該功能 |
|
QQ特權號碼 |
添加到“特權號碼”列表的QQ號碼被稱為“特權號碼”。特權號碼用戶允許使用QQ,非特權號碼用戶不允許使用QQ |
|
啟用網站過濾功能 |
選中該項,可以通過網站地址對局域網內計算機進行上網控製。缺省情況下,不啟用該功能 |
|
僅允許訪問列表中的網站地址 |
選中該項,僅允許訪問列表中的網站地址。如果您想讓局域網內的計算機僅能訪問固定的某些網站,可以選中此功能,然後添加相應的網站地址 |
|
僅禁止訪問列表中的網站地址 |
選中該項,僅禁止訪問列表中的網站地址。如果您想讓局域網內的計算機不能訪問某些網站(比如:黑客、色情、反動等網站),可以選中此功能,然後添加相應的網站地址 |
|
過濾方式 |
網站地址的匹配方式,可分為精確匹配和模糊匹配 |
|
網站地址 |
需要控製的站點域名或IP地址 |
|
導入文件的格式 |
導入文件必須是.cfg文件。您可以先在本地編輯一個.cfg文件,內容格式為“匹配方式 網站地址 描述”(比如:0(1) www.abc.com desc)
每條表項必須單獨為一行,並且行尾不能存在空格 |
|
啟用文件類型過濾功能 |
選中該項,可以限製內網的計算機下載的文件類型。缺省情況下,不啟用該功能 |
|
文件後綴 |
添加文件類型過濾的後綴名,用於限製該類型文件的下載 |
行為控製信息頁麵,可以查看以用戶組為單位配置的行為管理策略信息。
頁麵向導:上網管理→策略查看→行為策略狀態
|
顯示以組為單位創建的行為策略管理信息(主頁麵) |
|
|
查看某個用戶組的行為管理策略信息(單擊主頁麵列表中的<詳細>按鈕,單擊<關閉>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表10-4 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
用戶組 |
查看行為策略使用的各個適用用戶組組名 |
|
IM軟件 |
查看該條用戶組IM軟件是否開啟 |
|
網站過濾 |
查看該條用戶組網站過濾是否開啟 |
|
文件類型過濾 |
查看該條用戶組文件類型過濾是否開啟 |
|
詳細 |
點擊<詳細>,用戶可以查看到該條用戶組相關的行為管理策略信息 |
本章節主要包含以下內容:
· 設置ARP安全
· 設置接入控製
· 設置防火牆
· 設置防攻擊
ARP是將IP地址解析為以太網MAC地址(或稱物理地址)的協議。
在局域網中,當主機或其他網絡設備有數據要發送給另一個主機或設備時,它必須知道對方的網絡層地址(即IP地址)。但是僅僅有IP地址是不夠的,因為IP數據報文必須封裝成幀才能通過物理網絡發送。因此發送方還必須有接收方的物理地址,需要一個從IP地址到物理地址的映射。ARP就是實現這個功能的協議。
圖11-1 ARP報文結構
· 硬件類型:表示硬件地址的類型。它的值為1表示以太網地址。
· 協議類型:表示要映射的協議地址類型。它的值為0x0800即表示IP地址。
· 硬件地址長度和協議地址長度分別指出硬件地址和協議地址的長度,以字節為單位。對於以太網上IP地址的ARP請求或應答來說,它們的值分別為6和4。
· 操作類型(OP):1表示ARP請求,2表示ARP應答。
· 發送端MAC地址:發送方設備的硬件地址。
· 發送端IP地址:發送方設備的IP地址。
· 目標MAC地址:接收方設備的硬件地址。
· 目標IP地址:接收方設備的IP地址。
假設主機A和B在同一個網段,主機A要向主機B發送信息。如圖11-2所示,具體的地址解析過程如下:
(1) 主機A首先查看自己的ARP表,確定其中是否包含有主機B對應的ARP表項。如果找到了對應的MAC地址,則主機A直接利用ARP表中的MAC地址,對IP數據包進行幀封裝,並將數據包發送給主機B。
(2) 如果主機A在ARP表中找不到對應的MAC地址,則將緩存該數據報文,然後以廣播方式發送一個ARP請求報文。ARP請求報文中的發送端IP地址和發送端MAC地址為主機A的IP地址和MAC地址,目標IP地址和目標MAC地址為主機B的IP地址和全0的MAC地址。由於ARP請求報文以廣播方式發送,該網段上的所有主機都可以接收到該請求,但隻有被請求的主機(即主機B)會對該請求進行處理。
(3) 主機B比較自己的IP地址和ARP請求報文中的目標IP地址,當兩者相同時進行如下處理:將ARP請求報文中的發送端(即主機A)的IP地址和MAC地址存入自己的ARP表中。之後以單播方式發送ARP響應報文給主機A,其中包含了自己的MAC地址。
(4) 主機A收到ARP響應報文後,將主機B的MAC地址加入到自己的ARP表中以用於後續報文的轉發,同時將IP數據包進行封裝後發送出去。
圖11-2 ARP地址解析過程
當主機A和主機B不在同一網段時,主機A就會先向網關發出ARP請求,ARP請求報文中的目標IP地址為網關的IP地址。當主機A從收到的響應報文中獲得網關的MAC地址後,將報文封裝並發給網關。如果網關沒有主機B的ARP表項,網關會廣播ARP請求,目標IP地址為主機B的IP地址,當網關從收到的響應報文中獲得主機B的MAC地址後,就可以將報文發給主機B;如果網關已經有主機B的ARP表項,網關直接把報文發給主機B。
設備通過ARP解析到目的MAC地址後,將會在自己的ARP表中增加IP地址到MAC地址的映射表項,以用於後續到同一目的地報文的轉發。
ARP表項分為動態ARP表項和靜態ARP表項。
· 動態ARP表項
動態ARP表項由ARP協議通過ARP報文自動生成和維護,會被新的ARP報文所更新。
· 靜態ARP表項
靜態ARP表項需要通過手工配置和維護,不會被動態的ARP表項所覆蓋。
配置靜態ARP表項可以增加通信的安全性。它可以限製和指定IP地址的設備通信時隻使用指定的MAC地址,此時攻擊報文無法修改此表項的IP地址和MAC地址的映射關係,從而保護了本設備和指定設備間的正常通信。
通過設置ARP綁定,可以有效地防止設備的ARP表項受到攻擊,保證了網絡的安全。
為了防止通過DHCP方式獲取IP地址的主機在設備上的ARP表項被篡改,您可以開啟動態ARP綁定功能,使得所有通過DHCP服務器分配出去的IP地址和其對應的MAC地址自動綁定。且動態綁定的表項在地址租約到期後不會被刪除。
頁麵向導:安全專區→ARP安全→ARP綁定
頁麵為您提供如下主要功能:
|
設置動態ARP綁定(選中“對DHCP分配的地址進行ARP保護”複選框,單擊<應用>按鈕生效) |
|
開啟動態ARP綁定後,設備通過DHCP方式獲取到的ARP表項狀態為“動態綁定”。反之,則為“未綁定”。
靜態ARP綁定即需要通過手工配置和維護。建議您將局域網內所有主機都添加到設備的靜態ARP表項中。
頁麵向導:安全專區→ARP安全→ARP綁定
本頁麵為您提供如下主要功能:
|
· 顯示和修改ARP表項(主頁麵) · 將動態獲取到的ARP表項進行綁定(選中動態獲取到的表項,單擊<靜態綁定>按鈕即可完成綁定。此時,ARP表項狀態則為“靜態綁定”) |
|
|
單個添加靜態ARP表項(單擊主頁上的<新增>按鈕,在彈出的對話框中設置相應的參數,並單擊<增加>按鈕完成操作) |
|
|
批量添加靜態ARP表項(您可以在本地用“記事本”程序創建一個.cfg文件,內容格式為“MAC地址 IP地址 描述”(比如:00:0A:EB:7F:AA:AB 192.168.1.2 zhangsan),且每條綁定項之間需換行。單擊主頁麵上的<導入>按鈕,在彈出的對話框中選擇該文件將其導入即可) |
|
通過ARP檢測功能,您可以快速地搜索到局域網內所有在線的主機,獲取相應的ARP表項。同時,係統會檢測這些表項當前的綁定狀態以及是否存在異常(比如:獲取的表項是否和設備的靜態ARP表項存在衝突等),並在頁麵的列表中以不同的顏色加以標明,幫助您更直觀地對ARP表項進行判斷和維護。
頁麵向導:安全專區→ARP安全→ARP檢測
本頁麵為您提供如下主要功能:
|
· 搜索在線主機,獲取ARP表項(輸入指定的地址範圍,單擊<掃描>按鈕即可。如果您想清除當前的搜索結果,請單擊<清除結果>按鈕) · 將獲取到的、未綁定的ARP表項進行批量綁定(選中未綁定項,單擊<靜態綁定>按鈕即可) |
|
免費ARP報文是一種特殊的ARP報文,該報文中攜帶的發送端IP地址和目標IP地址都是本機IP地址,報文源MAC地址是本機MAC地址,報文的目的MAC地址是廣播地址。
設備通過對外發送免費ARP報文來實現以下功能:
· 確定其他設備的IP地址是否與本機的IP地址衝突。當其他設備收到免費ARP報文後,如果發現報文中的IP地址和自己的IP地址相同,則給發送免費ARP報文的設備返回一個ARP應答,告知該設備IP地址衝突。
· 設備改變了硬件地址,通過發送免費ARP報文通知其他設備更新ARP表項。
設備支持定時發送免費ARP功能,這樣可以及時通知其他設備更新ARP表項或者MAC地址表項,主要應用場景如下:
· 防止仿冒網關的ARP攻擊
如果攻擊者仿冒網關發送免費ARP報文,就可以欺騙同網段內的其他主機,使得被欺騙的主機訪問網關的流量,被重定向到一個錯誤的MAC地址,導致其他用戶無法正常訪問網絡。
為了盡量避免這種仿冒網關的ARP攻擊,可以在網關的接口上開啟定時發送免費ARP功能。開啟該功能後,網關接口上將按照配置的時間間隔周期性發送接口主IP地址的免費ARP報文。這樣,每台主機都可以學習到正確的網關,從而正常訪問網絡。
· 防止主機ARP表項老化
在實際環境中,當網絡負載較大或接收端主機的CPU占用率較高時,可能存在ARP報文被丟棄或主機無法及時處理接收到的ARP報文等現象。這種情況下,接收端主機的動態ARP表項會因超時而被老化,在其重新學習到發送設備的ARP表項之前,二者之間的流量就會發生中斷。
為了解決上述問題,您可以在設備的接口上開啟定時發送免費ARP功能。開啟該功能後,設備接口上將按照配置的時間間隔周期性地發送接口主IP地址的免費ARP報文。這樣,接收端主機可以及時更新ARP映射表,從而防止了上述流量中斷現象。
頁麵向導:安全專區→ARP安全→ARP防護
本頁麵為您提供如下主要功能:
|
· 設置設備丟棄源MAC地址不合法的ARP報文,即選中該功能後,當設備接收到的ARP報文的源MAC地址為0、組播MAC地址或廣播MAC地址時,則直接將其丟棄不對其進行ARP學習(缺省情況下,此功能處於開啟狀態) · 設置設備丟棄源MAC地址不一致的報文,即選中該功能後,當設備接收到的ARP報文的源MAC地址與該報文的二層源MAC地址不一致時(通常情況下,認為存在ARP欺騙),則直接將其丟棄,不對其進行ARP學習(缺省情況下,此功能處於關閉狀態) · 設置設備ARP報文學習抑製,即選中該功能後,設備在一段時間內隻學習第一個返回的ARP響應報文,丟棄其他響應報文,從而防止有過多的ARP響應報文返回造成ARP表項異常(缺省情況下,此功能處於開啟狀態) |
|
|
· 設置設備檢測到ARP欺騙時,LAN口或WAN口會主動發送免費ARP(缺省情況下,此功能處於開啟狀態) · 設置設備LAN口主動定時發送免費ARP(缺省情況下,此功能處於關閉狀態) · 設置設備WAN口主動定時發送免費ARP(缺省情況下,此功能處於關閉狀態) |
|
通過MAC過濾功能,您可以有效地控製局域網內的主機訪問外網。設備為您提供兩種MAC過濾功能:
· 僅允許MAC地址列表中的MAC訪問外網:如果您僅允許局域網內的某些主機訪問外網,可以選中此功能,並添加相應的主機MAC地址表項。
· 僅禁止MAC地址列表中的MAC訪問外網:如果您想禁止局域網內的某些主機訪問外網,可以選中此功能,並添加相應的主機MAC地址表項。
頁麵向導:安全專區→接入控製→MAC過濾
本頁麵為您提供如下主要功能:
|
根據實際需求啟用相應的MAC過濾功能(主頁麵。選擇相應的MAC過濾功能後,單擊<應用>按鈕生效) |
|
|
單個添加MAC過濾表項(單擊主頁麵上的<新增>按鈕,在彈出的對話框中添加一個需要過濾的MAC地址,單擊<增加>按鈕完成操作) |
|
|
通過導入設備的ARP綁定表來批量添加MAC過濾表項(單擊主頁麵上的<從ARP表項導入>按鈕,在彈出的對話框中選擇需要過濾的MAC地址,單擊<導入到MAC地址過濾表>按鈕完成操作) |
|
|
通過配置文件批量添加MAC過濾表項(您可以在本地用“記事本”程序創建一個.cfg文件,內容格式為“MAC地址 描述”,且每條過濾項之間需要換行。單擊主頁麵上的<導入>按鈕,在彈出的對話框中選擇該文件將其導入即可) |
|
IPMAC過濾功能可以同時對報文中的源MAC地址和源IP地址進行匹配,僅當源MAC地址和源IP地址均符合條件的主機才允許訪問外網。IPMAC過濾功能支持以下兩種匹配方式:
· 僅允許DHCP服務器分配的客戶端訪問外網:即開啟此功能後,不在DHCP服務器分配的客戶列表中的用戶將無法訪問外網。此方式可以運用於企業環境中,因為企業通常使用DHCP方式為客戶端分配IP地址。
· 僅允許ARP靜態綁定的客戶端訪問外網:即開啟此功能後,不在ARP靜態綁定表中的客戶端將無法訪問外網。此方式可以運用於網吧環境中,因為網吧通常為客戶端設置靜態IP地址。
頁麵向導:安全專區→接入控製→IPMAC過濾
本頁麵為您提供如下主要功能:
|
設置IPMAC過濾功能(選擇相應的IPMAC過濾匹配方式,單擊<應用>按鈕生效) |
|
設備的防火牆功能為您實現了根據報文的內容特征(比如:協議類型、源/目的IP地址等),來對入站方向(從因特網發向局域網的方向)和出站方向(從局域網發向因特網的方向)的數據流進行相應的控製,保證了設備和局域網內主機的安全運行。
僅當防火牆功能開啟後,您定製的防火牆出站和入站通信策略才能生效。
頁麵向導:安全專區→防火牆→防火牆設置
本頁麵為您提供如下主要功能:
|
開啟/關閉防火牆功能 |
|
頁麵向導:安全專區→防火牆→出站通信策略
本頁麵為您提供如下主要功能:
|
設置報文在出站方向上未匹配任何您預先設定的規則時,係統所采取的策略(主頁麵。在“出站通信缺省策略”下拉框中選擇指定的方式,單擊<應用>按鈕生效) |
|
|
添加匹配規則來控製指定的報文(在主頁麵上單擊<新增>按鈕,在彈出的對話框中設置相應的匹配項,單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表11-1 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
出站通信缺省策略 |
· “允許”:允許內網主動發起的訪問報文通過 · “禁止”:禁止內網主動發起的訪問報文通過 缺省情況下,出站通信缺省策略為“允許”
· 當缺省策略是“允許”時,您手動添加的策略即為“禁止”,反之亦然 · 缺省策略更改後,所有已配置的出站通信策略將會被清空,且僅對新建立的訪問連接生效 · 當您手動添加了出站通信策略後,係統會優先根據該策略對主機進行訪問控製,如果未匹配手動添加的策略,則遵循缺省策略 |
|
源接口 |
設置報文的來源接口,即可以對從某一LAN側接口收到的報文進行控製 |
|
源地址 |
設置需要進行控製的源地址類型: · IP地址段:通過源IP地址範圍對局域網中的主機進行控製 · MAC地址:通過源MAC地址對局域網中的主機進行控製 · 用戶組:通過您預先劃分好的用戶組對局域網中的主機進行控製 |
|
起始IP/結束IP(源IP地址範圍) |
輸入需要匹配的報文的源IP地址段
· 起始IP地址不能大於結束IP地址 · 如果無需匹配報文的源IP地址,您可以將起始IP地址設置為0.0.0.0,結束IP地址設置為255.255.255.255 |
|
源端口範圍 |
輸入需要匹配的報文的源端口範圍
如果無需匹配報文的源端口號,您可以將其設置為1~65535 |
|
起始IP/結束IP(目的IP地址範圍) |
輸入需要匹配的報文的目的IP地址段
· 起始IP地址不能大於目的IP地址 · 如果無需匹配報文的目的IP地址,您可以將起始IP地址設置為0.0.0.0,結束IP地址設置為255.255.255.255 |
|
服務類型 |
選擇局域網中主機訪問因特網資源的服務類型
|
|
生效時間 |
設置此新增規則的生效時間
生效時間需要您指定具體的時間段,比如:某天的某個時間段 |
|
是否啟用 |
在下拉列表框中選擇“啟用”,表示此匹配策略生效;選擇“禁用”,表示此匹配策略不生效 |
|
描述 |
對此新增規則進行簡單的描述 |
頁麵向導:安全專區→防火牆→入站通信策略
本頁麵為您提供如下主要功能:
|
設置報文在入站方向上未匹配任何您預先設定的規則時,係統所采取的策略(主頁麵。在“入站通信缺省策略”下拉框中選擇指定的方式,單擊<應用>按鈕生效) |
|
|
添加匹配規則來控製指定的報文(在主頁麵上單擊<新增>按鈕,在彈出的對話框中設置相應的匹配項,單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表11-2 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
入站通信缺省策略 |
· “禁止”:禁止外網主動發起的訪問報文通過 · “允許”:允許外網主動發起的訪問報文通過
· 當設備工作於NAT模式下時(即開啟了NAT功能),入站通信缺省策略不允許配置,且僅為“禁止”;當設備工作於路由模式下時(即關閉了NAT功能),入站通信缺省策略才允許選擇配置,且缺省情況下為“允許” · 當缺省策略是“禁止”時,您手動添加的策略即為“允許”,反之亦然 · 缺省策略更改後,所有已配置的出站通信策略將會被清空,且僅對新建立的訪問連接生效 · 當您手動添加了入站通信策略後,設備會優先根據該策略對主機進行訪問控製,如果未匹配手動添加的策略,則遵循缺省策略 |
|
源接口 |
設置報文的來源接口,即可以對從某一WAN側接口收到的報文進行控製 |
|
起始IP/結束IP(源IP地址範圍) |
輸入需要匹配的報文的源IP地址段
· 起始IP地址不能大於結束IP地址 · 如果無需匹配報文的源IP地址,您可以將起始IP地址設置為0.0.0.0,結束IP地址設置為255.255.255.255 |
|
源端口範圍 |
輸入需要匹配的報文的源端口範圍
如果無需匹配報文的源端口號,您可以將其設置為1~65535 |
|
目的IP地址(目的IP地址範圍) |
輸入需要匹配的報文的目的IP地址
當設備工作於NAT模式下時(即開啟了NAT功能),僅允許設置單個目的IP地址;當設備工作於路由模式下時(即關閉了NAT功能),允許設置目的IP地址範圍 |
|
服務類型 |
選擇因特網中的主機訪問局域網資源的服務類型
|
|
生效時間 |
設置此新增規則的生效時間
生效時間需要您指定具體的時間段,比如:某天的某個時間段 |
|
是否啟用 |
在下拉列表框中選擇“啟用”,表示此匹配策略生效;選擇“禁用”,表示此匹配策略不生效 |
|
描述 |
對此新增規則進行簡單的描述 |
為了讓您能夠在定製防火牆策略時比較方便地指定需要過濾的協議和端口號,設備提供了服務類型管理功能。每一個服務類型均由協議和端口號兩部分構成,係統預定義一些常用的服務類型(比如:HTTP、FTP、TELNET等);同時,您也可以根據實際需求添加自定義的服務類型。
頁麵向導:安全專區→防火牆→服務類型
本頁麵為您提供如下主要功能:
|
顯示和修改已定義的服務類型(主頁麵。係統預定義的服務類型均不可修改和刪除) |
|
|
自定義服務類型(單擊主頁麵上的<新增>按鈕,在彈出的對話框中設置服務類型名稱、協議類型及目的端口範圍,單擊<增加>按鈕完成操作) |
|
在複雜網絡環境中,常常由於主機異常或中毒,導致其不斷地發送一些攻擊報文,造成設備資源和網絡帶寬不必要的消耗。防攻擊主要的目的就是發現並丟棄非法的報文,以保證整體網絡的穩定性。
設備為您提供了一種防攻擊方式:
IDS防範主要用於發現一些常見的攻擊類型報文對設備的掃描和一些常見的DOS攻擊,並丟棄相應的報文。在一定程度上,可以有效地保證設備的正常運行。
頁麵向導:安全專區→防攻擊→IDS防範
本頁麵為您提供如下主要功能:
|
開啟指定攻擊類型報文的IDS防範(選中您需要防範的攻擊類型,單擊<應用>按鈕生效) |
|
本章節主要包含以下內容:
· 設置虛接口
· 設置IKE
· 設置IPSec
· 查看VPN狀態
VPN是近年來隨著Internet的廣泛應用而迅速發展起來的一種新技術,用以實現在公用網絡上構建私人專用網絡。“虛擬”主要指這種網絡是一種邏輯上的網絡。
IPSec是IETF製定的三層隧道加密協議,它為Internet上數據的傳輸提供了高質量的、可互操作的、基於密碼學的安全保證。特定的通信方之間在IP層通過加密與數據源認證等方式,可以獲得以下的安全服務:
· 數據機密性(Confidentiality):IPSec發送方在通過網絡傳輸包前對包進行加密。
· 數據完整性(Data Integrity):IPSec接收方對發送方發送來的包進行認證,以確保數據在傳輸過程中沒有被篡改。
· 數據來源認證(Data Authentication):IPSec接收方可以認證IPSec報文的發送方是否合法。
· 防重放(Anti-Replay):IPSec接收方可檢測並拒絕接收過時或重複的報文。
可以通過IKE為IPSec提供自動協商交換密鑰、建立和維護SA的服務,以簡化IPSec的使用和管理。IKE協商並不是必須的,IPSec所使用的策略和算法等也可以手工協商。
IPSec通過如下兩種協議來實現安全服務:
· AH是認證頭協議,協議號為51。主要提供的功能有數據源認證、數據完整性校驗和防報文重放功能,可選擇的認證算法有MD5、SHA-1等。AH報文頭插在標準IP包頭後麵,保證數據包的完整性和真實性,防止黑客截獲數據包或向網絡中插入偽造的數據包。
· ESP是報文安全封裝協議,協議號為50。與AH協議不同的是,ESP將需要保護的用戶數據進行加密後再封裝到IP包中,以保證數據的機密性。常見的加密算法有DES、3DES、AES等。同時,作為可選項,用戶可以選擇MD5、SHA-1算法保證報文的完整性和真實性。
AH和ESP可以單獨使用,也可以聯合使用。設備支持的AH和ESP聯合使用的方式為:先對報文進行ESP封裝,再對報文進行AH封裝,封裝之後的報文從內到外依次是原始IP報文、ESP頭、AH頭和外部IP頭。
(1) SA
IPSec在兩個端點之間提供安全通信,端點被稱為IPSec對等體。
SA是IPSec的基礎,也是IPSec的本質。SA是通信對等體間對某些要素的約定,例如,使用哪種協議(AH、ESP還是兩者結合使用)、協議的封裝模式(傳輸模式和隧道模式)、加密算法(DES、3DES和AES)、特定流中保護數據的共享密鑰以及密鑰的生存周期等。
SA是單向的,在兩個對等體之間的雙向通信,最少需要兩個SA來分別對兩個方向的數據流進行安全保護。同時,如果兩個對等體希望同時使用AH和ESP來進行安全通信,則每個對等體都會針對每一種協議來構建一個獨立的SA。
SA由一個三元組來唯一標識,這個三元組包括SPI(Security Parameter Index,安全參數索引)、目的IP地址、安全協議號(AH或ESP)。
SPI是為唯一標識SA而生成的一個32比特的數值,它在AH和ESP頭中傳輸。在手工配置SA時,需要手工指定SPI的取值;使用IKE協商產生SA時,SPI將隨機生成。
SA是具有生存周期的,且隻對通過IKE方式建立的SA有效。生存周期到達指定的時間或指定的流量,SA就會失效。SA失效前,IKE將為IPSec協商建立新的SA,這樣,在舊的SA失效前新的SA就已經準備好。在新的SA開始協商而沒有協商好之前,繼續使用舊的SA保護通信。在新的SA協商好之後,則立即采用新的SA保護通信。
(2) 驗證算法與加密算法
【驗證算法】:
驗證算法的實現主要是通過雜湊函數。雜湊函數是一種能夠接受任意長的消息輸入,並產生固定長度輸出的算法,該輸出稱為消息摘要。IPSec對等體計算摘要,如果兩個摘要是相同的,則表示報文是完整未經篡改的。
IPSec使用以下兩種驗證算法:
表12-1 驗證算法
|
驗證算法 |
描述 |
|
MD5 |
MD5通過輸入任意長度的消息,產生128bit的消息摘要 與SHA-1相比:計算速度快,但安全強度略低 |
|
SHA-1 |
SHA-1通過輸入長度小於2的64次方bit的消息,產生160bit的消息摘要 與MD5相比:計算速度慢,但安全強度更高 |
【加密算法】:
加密算法實現主要通過對稱密鑰係統,它使用相同的密鑰對數據進行加密和解密。
IPSec支持以下三種加密算法:
表12-2 加密算法
|
加密算法 |
描述 |
|
DES |
使用64bit的密鑰對一個64bit的明文塊進行加密 |
|
3DES |
使用三個64bit的DES密鑰(共192bit密鑰)對明文進行加密 |
|
AES |
使用128bit、192bit或256bit密鑰長度的AES算法對明文進行加密 |
這三個加密算法的安全性由高到低依次是:AES、3DES、DES,安全性高的加密算法實現機製複雜,但運算速度慢。對於普通的安全要求,DES算法就可以滿足需要。
(3) 協商方式
有如下兩種協商方式建立SA:
· 手工方式配置比較複雜,創建SA所需的全部信息都必須手工配置,而且不支持一些高級特性(例如定時更新密鑰),但優點是可以不依賴IKE而單獨實現IPSec功能。
· IKE自動協商方式相對比較簡單,隻需要配置好IKE協商安全策略的信息,由IKE自動協商來創建和維護SA。
當與之進行通信的對等體設備數量較少時,或是在小型靜態環境中,手工配置SA是可行的。對於中、大型的動態網絡環境中,推薦使用IKE協商建立SA。
(4) 安全隧道
安全隧道是建立在本端和對端之間可以互通的一個通道,它由一對或多對SA組成。
· 中心/分支模式應用在一對多網絡中,如圖12-1所示。中心/分支模式的網絡采用野蠻模式進行IKE協商,可以使用安全網關名稱或IP地址作為本端ID。在中心/分支模式的網絡中,中心節點不會發起IPSec SA的協商,需要由分支節點首先向中心節點發起IPSec SA的協商。設備通常作為分支節點的VPN接入設備使用。
圖12-1 中心/分支模式組網
· 對等模式應用在一對一網絡中,如圖12-2所示。在對等模式的網絡中,兩端的設備互為對等節點,都可以向對端發起IPSec SA的協商。
IPSec是同虛接口進行綁定的,數據流首先通過靜態路由或者策略路由引入到虛接口,然後才會匹配規則進行IPSec加密處理。
虛接口需要映射到物理接口,隻有需要進行IPSec處理的報文才會通過虛接口發送,其他報文仍然從實接口轉發,另外路由加虛接口的配置模式使得VPN的配置更加靈活。
頁麵向導:VPN→IPSEC VPN→虛接口
本頁麵為您提供如下主要功能:
|
顯示和修改已創建的虛接口(主頁麵) |
|
|
創建虛接口(單擊主頁麵上的<新增>按鈕,在彈出的對話框中選擇一個虛接口通道以及映射的實際物理接口,單擊<增加>完成操作) |
|
在實施IPSec 的過程中,可以使用IKE協議來建立SA。該協議建立在由Internet SA和密鑰管理協議ISAKMP定義的框架上。IKE為IPSec 提供了自動協商交換密鑰、建立SA的服務,能夠簡化IPSec的使用和管理。
IKE不是在網絡上直接傳輸密鑰,而是通過一係列數據的交換,最終計算出雙方共享的密鑰,並且即使第三者截獲了雙方用於計算密鑰的所有交換數據,也不足以計算出真正的密鑰。
(1) IKE的安全機製
IKE具有一套自保護機製,可以在不安全的網絡上安全地認證身份、分發密鑰、建立IPSec SA。
【數據認證】:
數據認證有如下兩方麵的概念:
· 身份認證:身份認證確認通信雙方的身份,支持預共享密鑰認證。
· 身份保護:身份數據在密鑰產生之後加密傳送,實現了對身份數據的保護。
【DH】:
DH算法是一種公共密鑰算法。通信雙方在不傳輸密鑰的情況下通過交換一些數據,計算出共享的密鑰。即使第三者(如黑客)截獲了雙方用於計算密鑰的所有交換數據,由於其複雜度很高,不足以計算出真正的密鑰。所以,DH交換技術可以保證雙方能夠安全地獲得公有信息。
【PFS】:
PFS特性是一種安全特性,指一個密鑰被破解,並不影響其他密鑰的安全性,因為這些密鑰間沒有派生關係。對於IPSec,是通過在IKE階段2協商中增加一次密鑰交換來實現的。PFS特性是由DH算法保障的。
(2) IKE的交換過程
IKE使用了兩個階段為IPSec進行密鑰協商並建立SA:
· 第一階段,通信各方彼此間建立了一個已通過身份認證和安全保護的通道,即建立一個ISAKMP SA。第一階段有主模式和野蠻模式兩種IKE交換方法。
· 第二階段,用在第一階段建立的安全隧道為IPSec協商安全服務,即為IPSec協商具體的SA,建立用於最終的IP數據安全傳輸的IPSec SA。
如圖12-3所示,第一階段主模式的IKE協商過程中包含三對消息:
· 第一對叫SA交換,是協商確認有關安全策略的過程;
· 第二對消息叫密鑰交換,交換Diffie-Hellman公共值和輔助數據(如:隨機數),密鑰材料在這個階段產生;
· 最後一對消息是ID信息和認證數據交換,進行身份認證和對整個SA交換進行認證。
野蠻模式交換與主模式交換的主要差別在於,野蠻模式不提供身份保護,隻交換3條消息。在對身份保護要求不高的場合,使用交換報文較少的野蠻模式可以提高協商的速度;在對身份保護要求較高的場合,則應該使用主模式。
(3) IKE在IPSec中的作用
· 因為有了IKE,IPSec很多參數(如:密鑰)都可以自動建立,降低了手工配置的複雜度。
· IKE協議中的DH交換過程,每次的計算和產生的結果都是不相關的。每次SA的建立都運行DH交換過程,保證了每個SA所使用的密鑰互不相關。
· IPSec使用AH或ESP報文頭中的序列號實現防重放。此序列號是一個32比特的值,此數溢出後,為實現防重放,SA需要重新建立,這個過程需要IKE協議的配合。
· 對安全通信的各方身份的認證和管理,將影響到IPSec的部署。IPSec的大規模使用,必須有認證機構或其他集中管理身份數據的機構的參與。
· IKE提供端與端之間動態認證。
(4) IPSec與IKE的關係
圖12-4 IPSec與IKE的關係圖
從圖12-4中我們可以看出IKE和IPSec的關係:
· IKE是UDP之上的一個應用層協議,是IPSec的信令協議;
· IKE為IPSec協商建立SA,並把建立的參數及生成的密鑰交給IPSec;
· IPSec使用IKE建立的SA對IP報文加密或認證處理。
安全提議定義了一套屬性數據來描述IKE協商怎樣進行安全通信。配置IKE安全提議包括選擇加密算法、選擇驗證算法、選擇Diffie-Hellman組標識。
頁麵向導:VPN→IPSEC VPN→IKE安全提議
本頁麵為您提供如下主要功能:
|
顯示和修改已添加的IKE安全提議(主頁麵) |
|
|
添加一條新的IKE安全提議(單擊主頁麵上的<新增>按鈕,在彈出的對話框中設置相應的參數,並單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表12-3 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
安全提議名稱 |
輸入安全提議的名稱 |
|
IKE驗證算法 |
選擇IKE所使用的驗證算法 缺省情況下,使用MD5 |
|
IKE加密算法 |
選擇IKE所使用的加密算法 缺省情況下,使用3DES |
|
IKE DH組 |
選擇IKE所使用的DH算法 · DH1:768位DH組 · DH2:1024位DH組 · DH5:1536位DH組 · DH14:2048位DH組 缺省情況下,使用DH2 |
對等體定義了協商的雙方,包括本端發起協商接口、對端地址、采用的安全提議、協商模式、ID類型等信息。隻有經定義的雙方才能夠進行協商通信。
頁麵向導:VPN→IPSEC VPN→IKE對等體
本頁麵為您提供如下主要功能:
|
顯示和修改已添加的IKE對等體(主頁麵) |
|
|
添加一個新的IKE對等體單擊主頁麵上的<新增>按鈕,在彈出的對話框中設置相應的參數,並單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表12-4 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
對等體名稱 |
輸入對等體的名稱 |
|
虛接口 |
選擇本端發起協商的出接口 |
|
對端地址 |
設置對等體對端的地址信息
如果對端地址不是固定地址而是動態地址,建議通過將對端地址配置為動態域名的方式進行連接 |
|
協商模式 |
選擇協商模式。主模式一般應用於點對點的對等組網模式;野蠻模式一般應用於中心/分支組網模式 缺省情況下,使用主模式 |
|
ID類型、本端ID、對端ID |
此設置項需在野蠻模式下進行 當ID類型為NAME類型時,還需要指定相應的本端ID與對端ID |
|
安全提議 |
選擇對等體需要引用的IKE安全提議 |
|
預共享密鑰(PSK) |
設置IKE認證所需的預共享密鑰(pre-shared-key) |
|
生命周期 |
設置IKE SA存在的生命周期(IKE SA實際的周期以協商結果為準) |
|
DPD開啟 |
DPD用於IPsec鄰居狀態的檢測。啟動DPD功能後,當接收端在觸發DPD的時間間隔內收不到對端的IPSec加密報文時,會觸發DPD查詢,主動向對端發送請求報文,對IKE對等體是否存在進行檢測 |
|
DPD周期 |
指定對等體DPD檢測周期,即觸發DPD查詢的間隔時間 |
|
DPD超時時間 |
指定對等體DPD檢測超時時間,即等待DPD應答報文超時的時間 |
安全提議保存IPSec需要使用的特定安全性協議,以及加密/驗證算法,為IPSec協商SA提供各種安全參數。為了能夠成功的協商IPSec的SA,兩端必須使用相同的安全提議。
頁麵向導:VPN→IPSEC VPN→IPSec安全提議
本頁麵為您提供如下主要功能:
|
顯示和修改已添加的IPSec安全提議(主頁麵) |
|
|
添加一條新的IPSec安全提議(單擊主頁麵上的<新增>按鈕,在彈出的對話框中設置相應的參數,並單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表12-5 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
安全提議名稱 |
輸入安全提議的名稱 |
|
安全協議類型 |
選擇安全協議類型來實現安全服務 缺省情況下,使用ESP |
|
AH驗證算法 |
選擇AH驗證算法 缺省情況下,使用MD5 |
|
ESP驗證算法 |
選擇ESP驗證算法 缺省情況下,使用MD5 |
|
ESP加密算法 |
選擇ESP加密算法 缺省情況下,使用3DES |
安全策略規定了對什麼樣的數據流采用什麼樣的安全提議。安全策略分為手工安全策略和IKE協商安全策略。前者需要用戶手工配置密鑰、SPI等參數;後者則由IKE自動協商生成這些參數。
頁麵向導:VPN→IPSEC VPN→IPSec安全策略
本頁麵為您提供如下主要功能:
|
開啟IPSec功能、顯示和修改已添加的安全策略(主頁麵) |
|
|
設置使用IKE協商方式建立SA(單擊主頁麵上的<新增>按鈕,在彈出的對話框中選擇“協商類型”為IKE協商並設置相應的參數,單擊<增加>按鈕完成操作) |
|
|
設置使用手動協商方式建立SA(單擊主頁麵上的<新增>按鈕,在彈出的對話框中選擇“協商類型”為手動模式並設置相應的參數,單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表12-6 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
||
|
啟用IPSec |
選中“啟用IPSec”,開啟IPSec功能 缺省情況下,禁用IPSec功能 |
||
|
安全策略名稱 |
設置安全策略的名稱,後麵的複選框可以設置該安全策略的使用狀態 |
||
|
本地子網IP/掩碼 |
本地子網IP/掩碼和對端子網IP/掩碼,兩個配置項組成一個訪問控製規則。IPSec通過此訪問控製規則來定義需要保護的數據流,訪問控製規則匹配的報文將會被保護 本地子網IP/掩碼和對端子網IP/掩碼分別用來指定IPSec VPN隧道本端和對端的子網網段 |
||
|
對端子網IP/掩碼 |
|||
|
協商類型 |
選擇IPSec協商方式 缺省情況下,使用IKE協商方式 |
||
|
IKE協商模式 |
對等體 |
選擇需要引用的IKE對等體 |
|
|
安全提議 |
選擇需要引用的IPSec安全提議
此模式下,一條安全策略最多可以引用四個安全提議,根據組網需求可以靈活的加以配置 |
||
|
PFS |
PFS特性是一種安全特性,指一個密鑰被破解,並不影響其他密鑰的安全性,因為這些密鑰間沒有派生關係。IKE在使用安全策略發起一個協商時,可以進行一個PFS交換。如果本端設置了PFS特性,則發起協商的對端也必須設置PFS特性,且本端和對端指定的DH組必須一致,否則協商會失敗 · 禁止:關閉PFS特性 · DH1:768位DH組 · DH2:1024位DH組 · DH5:1536位DH組 · DH14:2048位DH組 缺省情況下,PFS特性處於關閉狀態 |
||
|
生命周期 |
設置IPSec SA存在的生命周期 缺省情況下,生命周期為28800秒 |
||
|
觸發模式 |
用來指定隧道的觸發模式 · 流量觸發:IKE隧道配置下發後,不會自動建立隧道,會等待興趣流來觸發隧道建立 · 長連模式:IKE隧道配置下發後或隧道異常斷開後,會自動觸發隧道建立,並且保證隧道長時間建立,不需等待興趣流觸發 |
||
|
手動模式 |
虛接口 |
指定與當前策略綁定的虛接口 |
|
|
對端地址 |
指定IPSec對等體另外一端的IP地址 |
||
|
安全提議 |
選擇需要引用的IPSec安全提議 |
||
|
入/出SPI值 |
在安全隧道的兩端設置的SA參數必須是完全匹配的。本端入方向SA的SPI必須和對端出方向SA的SPI一樣;本端出方向SA的SPI必須和對端入方向SA的SPI一樣。SPI具有唯一性,不允許輸入相同的SPI值 |
||
|
安全聯盟使用的密鑰 |
入/出ESP MD5密鑰 入/出ESP 3DES密鑰 |
在安全隧道的兩端設置的SA參數必須是完全匹配的。本端入方向SA的密鑰必須和對端出方向SA的密鑰一樣;本端出方向SA的密鑰必須和對端入方向SA的密鑰一樣 |
|
頁麵向導:VPN→IPSEC VPN→安全聯盟
本頁麵為您提供如下主要功能:
|
單擊<刷新>按鈕,您可以查看已建立的VPN隧道及對應的安全策略信息 |
|
在Router A(采用GR-5400AX)和Router B(采用GR-5400AX)之間建立一個安全隧道,對客戶分支機構A所在的子網(192.168.1.0/24)與客戶分支機構B所在的子網(172.16.0.0/16)之間的數據流進行安全保護。
安全協議采用ESP協議,加密算法采用3DES,認證算法采用SHA1。
圖12-5 組網示意圖
|
1. 選擇“VPN→IPSEC VPN→虛接口”。單擊<新增>按鈕,在彈出的對話框中選擇一個虛接口通道,並將其與對應的出接口進行綁定(此處假設為WAN1),單擊<增加>按鈕完成操作 |
|
|
2. 選擇“VPN→IPSEC VPN→IKE安全提議”。單擊<新增>按鈕,在彈出的對話框中輸入安全提議名稱,並設置驗證算法和加密算法分別為SHA1、3DES,單擊<增加>按鈕完成操作 |
|
|
1. 選擇“VPN→IPSEC VPN→IKE對等體”。單擊<新增>按鈕,在彈出的對話框中輸入對等體名稱,選擇對應的虛接口ipsec1。在“對端地址”文本框中輸入Router B的IP地址,並選擇已創建的安全提議等信息,單擊<增加>按鈕完成操作 |
|
|
2. 選擇“VPN→IPSEC VPN→IPSec安全提議”。單擊<新增>按鈕,在彈出的對話框中輸入安全提議名稱,選擇安全協議類型為ESP,並設置驗證算法和加密算法分別為SHA1、3DES,單擊<增加>按鈕完成操作 |
|
|
3. 選擇“VPN→IPSEC VPN→IPSec安全策略”。選中“啟用IPSec功能”複選框,單擊<應用>按鈕生效。單擊<新增>按鈕,在彈出的對話框中輸入安全策略名稱,在“本地子網IP/掩碼”和“對端子網IP/掩碼”文本框中分別輸入客戶分支機構A和B所處的子網信息,並選擇協商類型為“IKE協商”、對等體為“IKE-d1”、安全提議為“IPSEC-PRO”,單擊<增加>按鈕完成操作 |
|
|
4. 為經過IPSec VPN隧道處理的報文設置路由,才能使隧道兩端互通(一般情況下,隻需要為隧道報文配置靜態路由即可)。選擇“高級設置→路由設置→靜態路由”,單擊<新增>按鈕,在彈出的對話框中,設置目的地址、子網掩碼等參數,單擊<增加>按鈕完成操作 |
|
在對端Router B上,IPSec VPN的配置與Router A是相互對應的。因此,除了對等體的對端地址以及安全策略中的本地子網、對端子網需要做相應修改,其他的設置均一致。此處略。
兩端均設置完成後,您可以通過選擇設備的“VPN→IPSEC VPN→安全聯盟”頁麵,並單擊<刷新>按鈕來查看相應的隧道是否已成功建立。
· L2TP特性簡介
· 設置L2TP特性
VPDN(Virtual Private Dial-up Network,虛擬專用撥號網絡)是指利用公共網絡(如ISDN或PSTN)的撥號功能接入公共網絡,實現虛擬專用網,從而為企業、小型ISP、移動辦公人員等提供接入服務。即,VPDN為遠端用戶與私有企業網之間提供了一種經濟而有效的點到點連接方式。
VPDN采用隧道協議在公共網絡上為企業建立安全的虛擬專網。企業駐外機構和出差人員可從遠程經由公共網絡,通過虛擬隧道實現和企業總部之間的網絡連接,而公共網絡上其它用戶則無法穿過虛擬隧道訪問企業網內部的資源。
VPDN隧道協議主要包括以下三種:
· PPTP(Point-to-Point Tunneling Protocol,點到點隧道協議)
· L2F(Layer 2 Forwarding,二層轉發)
· L2TP(Layer 2 Tunneling Protocol,二層隧道協議)
L2TP結合了L2F和PPTP的各自優點,是目前使用最為廣泛的VPDN隧道協議。
L2TP(RFC 2661)是一種對PPP鏈路層數據包進行封裝,並通過隧道進行傳輸的技術。L2TP允許連接用戶的二層鏈路端點和PPP會話終點駐留在通過分組交換網絡連接的不同設備上,從而擴展了PPP模型,使得PPP會話可以跨越分組交換網絡,如Internet。
使用L2TP協議構建的VPDN應用的典型組網如圖13-1所示。
圖13-1 應用L2TP構建的VPDN服務
在L2TP構建的VPDN中,網絡組件包括以下三個部分:
· 遠端係統
遠端係統是要接入VPDN網絡的遠地用戶和遠地分支機構,通常是一個撥號用戶的主機或私有網絡的一台路由設備。
· LAC(L2TP Access Concentrator,L2TP訪問集中器)
LAC是具有PPP和L2TP協議處理能力的設備,通常是一個當地ISP的NAS(Network Access Server,網絡接入服務器),主要用於為PPP類型的用戶提供接入服務。
LAC作為L2TP隧道的端點,位於LNS和遠端係統之間,用於在LNS和遠端係統之間傳遞信息包。它把從遠端係統收到的信息包按照L2TP協議進行封裝並送往LNS,同時也將從LNS收到的信息包進行解封裝並送往遠端係統。
VPDN應用中,LAC與遠端係統之間通常采用PPP鏈路。
· LNS(L2TP Network Server,L2TP網絡服務器)
LNS既是PPP端係統,又是L2TP協議的服務器端,通常作為一個企業內部網的邊緣設備。
LNS作為L2TP隧道的另一側端點,是LAC的對端設備,是LAC進行隧道傳輸的PPP會話的邏輯終止端點。通過在公網中建立L2TP隧道,將遠端係統的PPP連接由原來的NAS在邏輯上延伸到了企業網內部的LNS。
L2TP中存在兩種消息:
· 控製消息:用戶隧道和會話連接的建立、維護和拆除。它的傳輸是可靠傳輸,並且支持對控製消息的流量控製和擁塞控製。
· 數據消息:用於封裝PPP幀,並在隧道上傳輸。它的傳輸是不可靠傳輸,若數據報文丟失,不予重傳,不支持對數據消息的流量控製和擁塞控製。
控製消息和數據消息共享相同的報文頭,通過報文頭中的Type字段來區分控製消息和數據消息。
圖13-2描述了控製通道以及PPP幀和數據通道之間的關係。PPP幀在不可靠的L2TP數據通道上進行傳輸,控製消息在可靠的L2TP控製通道內傳輸。
圖13-2 L2TP協議結構
圖13-3描述了LAC與LNS之間的L2TP數據報文的封裝結構。通常L2TP數據以UDP報文的形式發送。L2TP注冊了UDP 1701端口,但是這個端口僅用於初始的隧道建立過程中。L2TP隧道發起方任選一個空閑的端口(未必是1701)向接收方的1701端口發送報文;接收方收到報文後,也任選一個空閑的端口(未必是1701),給發送方的指定端口回送報文。至此,雙方的端口選定,並在隧道保持連通的時間段內不再改變。
圖13-3 L2TP報文封裝結構圖
在一個LNS和LAC對之間存在著兩種類型的連接。
· 隧道(Tunnel)連接:它對應了一個LNS和LAC對。
· 會話(Session)連接:它複用在隧道連接之上,用於表示承載在隧道連接中的每個PPP會話過程。
在同一對LAC和LNS之間可以建立多個L2TP隧道,隧道由一個控製連接和一個或多個會話連接組成。會話連接必須在隧道建立(包括身份保護、L2TP版本、幀類型、硬件傳輸類型等信息的交換)成功之後進行,每個會話連接對應於LAC和LNS之間的一個PPP數據流。
控製消息和PPP數據報文都在隧道上傳輸。L2TP使用Hello報文來檢測隧道的連通性。LAC和LNS定時向對端發送Hello報文,若在一段時間內未收到Hello報文的應答,隧道斷開。
L2TP隧道的建立支持以下兩種典型模式。
· Client-Initiated
如圖13-4所示,直接由LAC客戶(指本地支持L2TP協議的用戶)發起L2TP隧道連接。LAC客戶獲得Internet訪問權限後,可直接向LNS發起隧道連接請求,無需經過一個單獨的LAC設備建立隧道。LAC客戶的私網地址由LNS分配。
在Client-Initiated模式下,LAC客戶需要具有公網地址,能夠直接通過Internet與LNS通信。
圖13-4 Client-Initiated L2TP隧道模式
在該模式中,由設備設備擔當LNS角色。
· LAC-Auto-Initiated
如圖13-5所示,LAC上創建一個虛擬的PPP用戶,LAC將自動向LNS發起建立隧道連接的請求,為該虛擬PPP用戶建立L2TP隧道。遠端係統訪問LNS連接的內部網絡時,LAC將通過L2TP隧道轉發這些訪問數據。
在該模式下,遠端係統和LAC之間可以是任何基於IP的連接,不局限於撥號連接。
圖13-5 LAC-Auto-Initiated L2TP隧道模式
在該模式中,由設備設備擔當LAC角色。
與L2TP相關的協議規範有:
· RFC 1661:The Point-to-Point Protocol (PPP)
· RFC 1918:Address Allocation for Private Internets
· RFC 2661:Layer Two Tunneling Protocol “L2TP”
支持L2TP特性的設備,既可以擔任L2TP客戶端(LAC)的角色,又可以擔任L2TP服務端(LNS)的角色,下麵將對這兩種應用場景分別進行介紹。
頁麵向導:VPN→L2TP VPN→L2TP客戶端
本頁麵為您提供如下主要功能:
|
設置L2TP客戶端(LAC) |
|
頁麵中關鍵項的含義如下表所示。
表13-1 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
啟用LAC |
啟用或禁用LAC功能 缺省情況下,LAC處於禁用狀態 |
|
L2TP用戶名 |
LNS管理的允許建立會話的用戶名(由遠端的LNS管理員分配) |
|
L2TP密碼 |
LNS管理的允許建立會話的用戶密碼(由遠端的LNS管理員分配) |
|
L2TP服務器地址 |
LNS的公網地址(由遠端的LNS管理員分配) |
|
本端名稱 |
標記該L2TP客戶端的名稱 |
|
地址獲取方式 |
選擇LAC會話建立成功後PPP接口的IP地址獲取方式: · 動態:由LNS分配 · 靜態:LAC端手工設置一個IP地址 缺省情況下,地址獲取方式為動態獲取 |
|
靜態IP地址 |
LAC手工設置的IP,隻有在地址獲取方式選擇靜態時起作用(由遠端的LNS管理員分配) |
|
啟用隧道認證 |
設置是否啟用L2TP隧道認證功能,當啟用隧道認證時需要設置隧道認證密碼 隧道認證請求可由LAC或LNS任何一側發起。隻要有一端啟用了隧道認證,則隻有在對端也啟用了隧道認證,兩端密碼完全一致且不為空的情況下,隧道才能建立;否則本端將自動斷開隧道連接。若隧道兩端都禁止了隧道認證,隧道認證的密碼一致與否將不起作用 缺省情況下,未啟用隧道認證 |
|
隧道認證密碼 |
為了保證隧道安全,建議用戶啟用隧道認證功能。如果為了進行網絡連通性測試或者接收不知名對端發起的連接,則也可不進行隧道認證(隧道認證的密碼由遠端的LNS管理員分配) |
|
HELLO報文間隔 |
設置發送Hello報文的時間間隔,單位為秒 為了檢測LAC和LNS之間隧道的連通性,LAC和LNS會定期向對端發送Hello報文,接收方接收到Hello報文後會進行響應。當LAC或LNS在指定時間間隔內未收到對端的Hello響應報文時,重複發送,如果重複發送6次仍沒有收到對端的響應信息則認為L2TP隧道已經斷開,需要重新建立隧道連接 LNS端可以配置與LAC端不同的Hello報文間隔 缺省情況下,Hello報文間隔為60秒 |
|
綁定接口 |
用來指定l2tp0虛接口綁定的實接口信息 |
頁麵向導:VPN→L2TP VPN→L2TP服務端
本頁麵為您提供如下主要功能:
|
設置L2TP服務端(LNS) |
|
頁麵中關鍵項的含義如下表所示。
表13-2 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
啟用LNS |
啟用或禁用LNS功能 缺省情況下,LNS處於禁用狀態 |
|
L2TP服務器名稱 |
標識該L2TP網絡服務器的名稱 |
|
地址池 |
設置給L2TP客戶端分配地址所用的地址池 設置地址池的起始IP地址和結束IP地址 起始地址和結束地址前24位要一致,即輸入地址格式:x1.x2.x3.y~x1.x2.x3.y1,即起始與結束地址x1.x2.x3要一致,如:地址池設置為10.5.100.100~10.5.100.155,要確保起始地址和結束地址10.5.100一致即可
· 結束地址被LNS的PPP接口使用,不分配給接入客戶端 · 地址池不能和內網網段衝突 |
|
啟用隧道認證 |
設置是否在該組中啟用L2TP隧道認證功能,當啟用隧道認證時需要設置隧道認證密碼 隧道認證請求可由LAC側發起。隻要有一端啟用了隧道認證,則隻有在對端也啟用了隧道認證,兩端密碼完全一致且不為空的情況下,隧道才能建立;否則本端將自動斷開隧道連接。若隧道兩端都禁止了隧道認證,隧道認證的密碼一致與否將不起作用 缺省情況下,未啟用隧道認證
當PC作為LAC,設備作為LNS時,建議不要啟用LNS端的隧道認證功能 |
|
隧道認證密碼 |
為了保證隧道安全,建議啟用隧道認證功能。如果為了進行網絡連通性測試或者接收不知名對端發起的連接,則也可不進行隧道認證 |
|
HELLO報文間隔 |
設置發送Hello報文的時間間隔,單位為秒 為了檢測LAC和LNS之間隧道的連通性,LAC和LNS會定期向對端發送Hello報文,接收方接收到Hello報文後會進行響應。當LAC或LNS在指定時間間隔內未收到對端的Hello響應報文時,重複發送,如果重複發送6次仍沒有收到對端的響應信息則認為L2TP隧道已經斷開,需要重新建立隧道連接 LNS端可以配置與LAC端不同的Hello報文間隔 缺省情況下,Hello報文間隔為60秒 |
頁麵向導:VPN→L2TP VPN→LNS用戶管理
本頁麵為您提供如下主要功能:
|
LNS用戶查詢(關鍵字過濾選擇用戶名或狀態,在關鍵字中輸入用戶名或選擇用戶狀態,單擊<查詢>按鈕生效) |
|
|
LNS新增用戶(單擊主頁麵上的<新增>按鈕,在彈出的對話框中輸入用戶名、密碼和選擇用戶狀態,單擊<增加>按鈕生效) |
|
|
修改用戶信息(雙擊主頁麵上的列表中的用戶項或者單擊 |
|
頁麵中關鍵項的含義如下表所示。
表13-3 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
用戶名 |
LNS管理的用戶,LAC與該LNS建立會話時要使用的用戶名 |
|
密碼 |
LNS管理的用戶,LAC與該LNS建立會話時要使用的用戶密碼 |
|
狀態 |
LNS管理的用戶狀態 · 啟用:LNS允許遠端的L2TP客戶端使用該用戶建立會話 · 禁用:LNS不允許遠端的L2TP客戶端使用該用戶建立會話 |
頁麵向導:VPN→L2TP VPN→L2TP狀態
本頁麵為您提供如下主要功能:
|
· 顯示當前L2TP客戶端信息 · 連接或斷開L2TP客戶端連接 · 顯示當前作為LNS時已建立會話和隧道的信息 |
|
頁麵中關鍵項的含義如下表所示。
表13-4 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
鏈路狀態 |
顯示L2TP客戶端當前的連接狀態 |
|
本端IP地址 |
顯示當前L2TP客戶端,本端PPP接口的IP地址 |
|
對端IP地址 |
顯示當前L2TP客戶端,對端PPP接口的IP地址 |
|
用戶名 |
顯示LNS服務中,當前接入客戶端建立會話使用的用戶名 |
|
對端地址 |
顯示LNS服務中,當前接入客戶端的公網IP地址 |
|
對端主機名稱 |
顯示LNS服務中,當前接入客戶端的主機名稱 |
|
本端隧道ID |
顯示LNS服務中,當前已建立隧道的本端ID |
|
對端隧道ID |
顯示LNS服務中,當前已建立隧道的對端ID |
VPN用戶訪問公司總部過程如下:
(1) LAC上創建虛擬PPP用戶,LAC自動向LNS發起建立隧道連接的請求,為該虛擬PPP用戶建立L2TP隧道。
(2) VPN用戶通過LAN將訪問公司總部的報文發送給LAC。
(3) LAC封裝該報文,並通過已經建立的L2TP隧道將報文發送給LNS,VPN用戶與公司總部間的通信都通過LAC與LNS之間的隧道進行傳輸。
公司辦事處通過L2TP客戶端,與遠端的公司總部的LNS進行連接。
· 將設備的WAN口接公網線路;
· 設置WAN口通過靜態方式連接到因特網;
· 啟用LAC功能;
· 設置用於建立PPP連接的用戶名、密碼,以及公司總部提供的L2TP服務器地址;
· 設置公司總部提供的L2TP隧道認證密碼;
· 設置L2TP客戶端地址獲取方式為動態獲取;
· 設置指向隧道對端的靜態路由。
此典型配置案例中所涉及的設置均在設備缺省配置的基礎上進行。如果您之前已經對設備做過相應的配置,為了保證效果,請確保當前配置和以下配置不衝突。
(1) LAC側配置
|
在管理計算機的Web瀏覽器地址欄中輸入http://192.168.1.1,回車。輸入您設置的管理密碼,單擊<登錄>按鈕後便可進入Web設置頁麵 |
|
|
設置WAN口IP:192.16.100.19,網關地址:192.16.100.11(靜態IP和網關都是由運營商分配) |
|
|
配置LAC信息(啟用LAC功能,輸入用戶名:vpdnuser,密碼:hello,L2TP服務器IP:192.16.100.31,地址方式選擇動態獲取,啟用隧道認證,隧道認證密碼:tunnel-auth,單擊<應用>按鈕後發起L2TP連接請求) |
|
|
配置靜態路由(設置目的地址為L2TP VPN對端網段地址,出接口為L2TP VPN虛接口,單擊<增加>按鈕生效) |
|
(2) LNS側配置
公司總部的LNS服務器運行正常,並提供LNS側配置信息,如下表所示。
表13-5 LNS管理員提供的配置
|
關鍵項 |
內容 |
|
用戶名 |
vpdnuser |
|
密碼 |
hello |
|
隧道認證是否開啟 |
開啟隧道認證模式 |
|
隧道認證密碼 |
tunnel-auth |
|
LNS的公網IP地址 |
192.16.100.31 |
(3) 驗證配置結果
|
選擇“VPN→L2TP VPN→L2TP狀態→L2TP客戶端信息”來查看L2TP客戶端連接情況,當鏈路狀態為已連接時,則可正常訪問公司總部的資源了 |
|
VPN用戶訪問公司總部過程如下:
(1) 配置用戶側主機的IP地址和路由,確保用戶側主機和LNS之間路由可達。
(2) 由用戶向LNS發起Tunnel連接的請求。
(3) 在LNS接受此連接請求之後,VPN用戶與LNS之間就建立了一條虛擬的L2TP tunnel。
(4) 用戶與公司總部間的通信都通過VPN用戶與LNS之間的隧道進行傳輸。
公司辦事處員工通過Windows 7的L2TP客戶端接入公司總部的設置L2TP服務端,來訪問內部資源。
· 將設備的WAN口接公網線路;
· 設置WAN口通過靜態方式連接到因特網;
· 設置LNS服務為啟用狀態,並配置信息;
· 添加允許接入的用戶信息。
此典型配置案例中所涉及的設置均在設備缺省配置的基礎上進行。如果您之前已經對設備做過相應的配置,為了保證效果,請確保當前配置和以下配置不衝突。
(1) LNS側配置
|
在管理計算機的Web瀏覽器地址欄中輸入http://192.168.1.1,回車。輸入您設置的管理密碼,單擊<登錄>按鈕後便可進入Web設置頁麵 |
|
|
設置WAN口IP:192.16.100.31,網關地址:192.16.100.11(靜態IP和網關都是由運營商分配) |
|
|
配置LNS信息(啟用LNS,輸入L2TP服務器名稱:H3C-LNS,地址池:10.10.11.10~10.10.11.20,單擊<應用>按鈕生效) |
|
|
新增用戶(單擊主LNS用戶管理頁麵上的<新增>按鈕,在彈出的對話框中輸入用戶名:vpdnuser,密碼:hello,用戶狀態:啟用,單擊<增加>按鈕生效) |
|
完成以上所有設置後,您可以通過下列操作來查看當前LNS配置情況:
|
選擇“VPN→L2TP VPN→L2TP服務端”來查看當前LNS配置信息 |
|
|
選擇“VPN→L2TP VPN→LNS用戶管理”來查看允許L2TP客戶端使用的用戶信息 |
|
(2) 設置Windows 7的L2TP客戶端
|
單擊桌麵右下角的網絡圖標,如 |
|
|
單擊“設置新的連接或網絡”,創建一個L2TP客戶端 |
|
|
彈出“設置連接或網絡”,選擇“連接到工作區”選項,單擊<下一步>按鈕 |
|
|
選擇“使用我的Internet連接(VPN)(I)”選項 |
|
|
輸入要連接到的L2TP服務器的IP地址和該L2TP客戶端的連接的名稱,單擊<下一步>按鈕 |
|
|
輸入用戶名:vpdnuser,密碼:hello,單擊<連接>按鈕進行連接 |
|
|
單擊桌麵右下角的網絡圖標,如 |
|
|
在彈出窗口中,選擇“安全”頁簽,在“VPN類型(T)”中選擇“使用IPsec的第2層隧道協議(L2TP/IPSec)”,單擊<確定>按鈕生效 |
|
|
打開L2TP協議的撥號終端窗口,在彈出的窗口中輸入用戶名:vpdnuser,密碼:hello,單擊<連接>按鈕進行連接 |
|
(3) 驗證配置結果
|
LNS側,通過選擇“VPN→L2TP VPN→L2TP狀態”來查看當前的LNS服務端會話信息 |
|
|
打開Windows 7的L2TP客戶端,通過選擇L2TP協議連接終端的狀態選項,來查看當前的連接情況 |
|
QoS是指針對網絡中各種應用不同的需求,提供不同的服務質量,比如:提供專用帶寬、減少報文丟失率、降低報文傳送時延及抖動。
本章節主要包含以下內容:
· 設置IP流量限製
某些應用(比如:P2P下載等)在給用戶帶來方便的同時,也占用了大量的網絡帶寬。一個網絡的總帶寬是有限的,如果這些應用過度占用網絡帶寬,必將會影響其他用戶正常使用網絡。
為了保證局域網內所有用戶都能正常使用網絡資源,您可以通過IP流量限製功能對局域網內指定主機的流量進行限製。
頁麵向導:QoS設置→流量管理→IP流量限製
本頁麵為您提供如下主要功能:
|
啟用IP流量限製功能 |
|
|
添加限速規則(單擊<新增>按鈕,在彈出的對話框中設置限速規則,單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表14-1 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
啟用IP流量限製 |
開啟設備的IP流量限製功能 缺省情況下,IP流量限製功能處於關閉狀態 |
|
表項序號 |
由於係統會根據表項的序號來順序匹配,因此您可以通過此選項來調整該表項的匹配優先級 缺省情況下,新增的表項會排在最後 |
|
起始IP地址 |
輸入局域網內需要進行流量限製的主機的起始IP地址 |
|
結束IP地址 |
輸入局域網內需要進行流量限製的主機的結束IP地址 |
|
帶寬共享方式 |
選擇需要進行流量限製的計算機的帶寬共享方式,當受限地址類型為IP地址範圍時可選擇獨占或共享,為IP網段時,係統自動設定為共享,無法修改 · 獨占:受限地址範圍內的每台計算機各自占有給定的帶寬(即流量上限),如IP地址範圍為192.168.1.2~192.168.1.11,流量上限為1000Kbps,表示此IP範圍內的每台計算機的流量上限為1000Kbps · 共享:受限地址範圍內的所有計算機共享給定的帶寬,如IP地址範圍為192.168.1.2~192.168.1.11,流量上限為1000Kbps,表示此IP範圍內的所有主機的流量之和的上限為1000Kbps |
|
限速接口 |
選擇IP流量限速所應用的接口 · WAN1:僅當流量從WAN1口出入時,才進行限速 · WAN2:僅當流量從WAN2口出入時,才進行限速 |
|
限速方向 |
選擇IP流量限速方向: · “上行限速”:限製由局域網發送到因特網的數據流速率(比如:局域網內主機向因特網上的FTP服務器上傳文件) · “下行限速”:限製由因特網發送到局域網的數據流速率(比如:局域網內主機從因特網上的FTP服務器下載文件) · “雙向限速”:同時限製上行、下行兩個方向上的數據流速率 |
|
上行流量上限 |
輸入最大上行流量
此最大上行流量限製值是在“IP起始地址”和“IP結束地址”地址段中各個主機的上行帶寬,而不是IP地址段內所有主機的共享上行帶寬 |
|
下行流量上限 |
輸入最大下行流量
此最大下行流量限製值是在“IP起始地址”和“IP結束地址”地址段中各個主機的下行帶寬,而不是IP地址段內所有主機的共享下行帶寬 |
|
生效時間 |
選擇IP流量限製的生效時間。生效時間包括兩部分內容:在一天中生效的時間段,時間使用24小時製,起始時間應早於結束時間,00:00~24:00表示該規則在一天內任何時間都生效;星期選擇表示一周中哪些天規則生效。請為設備配置正確的係統時間 |
|
描述 |
對此條新增限速規則進行描述 |
缺省情況下,當對相同的單個IP地址或IP地址網段,在同一個限速接口上進行限速時,先添加的限速規則生效。比如:
· 先添加規則1:設置用戶(192.168.0.2)在WAN1接口上的IP流量限速為300Kbps。
· 後添加規則2:設置用戶(192.168.0.2)在WAN1接口上的IP流量限速為400Kbps。
生效情況:規則1生效。
未設置限速規則的用戶,帶寬不做限製,隻受係統轉發能力的限製;當設備開啟彈性帶寬後,係統為了合理地分配帶寬,限速的用戶可以占用一定的彈性帶寬。
本章節主要包含以下內容:
· 地址轉換
· 路由設置
· 應用服務
NAT可以實現局域網內的多台主機通過1個或多個公網IP地址接入因特網,即用少量的公網IP地址代表較多的私網IP地址,節省公網的IP地址。
私網IP地址是指內部網絡或主機的IP地址,公網IP地址是指在因特網上全球唯一的IP地址。
RFC 1918為私網預留出了三個IP地址塊,如下:
· A類:10.0.0.0~10.255.255.255
· B類:172.16.0.0~172.31.255.255
· C類:192.168.0.0~192.168.255.255
上述三個範圍內的地址不會在因特網上被分配,因此可以不必向運營商或注冊中心申請而在公司或企業內部自由使用。
設備支持提供以下兩種NAT轉換方式:
· 多對一NAT:當設備擁有單個公網IP地址時,如果局域網內的主機訪問外網,其私網IP地址均自動轉換為對應的WAN接口的IP地址。
· 多對多NAT:當設備擁有多個公網IP地址時,如果局域網內的主機訪問外網,其私網IP地址會自動轉換為公網IP地址池中的其中一個IP地址。
僅當開啟了NAT功能後,您所設置的多對一NAT和多對多NAT才會生效。
當您需要將設備作為普通的設備使用時,可以關閉NAT功能。
頁麵向導:高級設置→地址轉換→NAT設置
本頁麵為您提供如下主要功能:
|
· 開啟NAT功能(選中“使用NAT地址轉換”單選按鈕,單擊<應用>按鈕生效) · 關閉NAT功能(選中“不使用NAT地址轉換”單選按鈕,單擊<應用>按鈕生效) |
|
在您設置多對一和多對多NAT前,請先開啟NAT功能。
頁麵向導:高級設置→地址轉換→NAT設置
本頁麵為您提供如下主要功能:
|
設置多對一NAT(根據您實際所連接的線路,選擇相應的“自動使用WAN1的IP地址”或“自動使用WAN2的IP地址”單選按鈕,單擊<應用>按鈕生效) |
|
|
設置多對多NAT(根據您實際所連接的線路,設置相應WAN口的NAT地址池範圍,單擊<應用>按鈕生效) |
|
建議您在H3C技術人員的指導下對網絡連接參數進行操作。
頁麵向導:高級設置→地址轉換→NAT設置
本頁麵為您提供如下主要功能:
|
· 設置設備支持的網絡連接總數,即會話總數(一般情況下,請保留缺省值。比如:局域網內PC遭受病毒攻擊從而建立大量無用的連接,您可以修改該參數來減少設備資源的浪費) · 清除指定接口的網絡連接(一般情況下,如果設備運行正常,請勿執行此操作。因為,清除網絡連接會導致現有的業務重新選擇出接口,可能會影響現有業務的正常運行) |
|
為保證局域網的安全,設備會阻斷從因特網主動發起的連接請求。因此,如果您想讓因特網用戶能夠訪問局域網內的服務器(比如:Web服務器、Email服務器、FTP服務器等),需要設置虛擬服務器。
虛擬服務器也可稱為端口映射,它可以將WAN口IP地址、外部端口號和局域網內服務器IP地址、內部端口號建立映射關係,使所有對該WAN口某服務端口的訪問重定向到指定的局域網內服務器的相應端口。
設備會根據以下步驟來進行端口映射:
圖15-1 端口映射
頁麵向導:高級設置→地址轉換→虛擬服務器
本頁麵為您提供如下主要功能:
|
設置當虛擬服務器列表中如果不存在對應的映射項時,對報文的處理方式(主頁麵。選擇“丟棄”或“重定向到DMZ主機”,單擊<應用>按鈕生效) |
|
|
添加虛擬服務器列表項(單擊主頁麵上的<新增>按鈕,在彈出的對話框中設置相應的虛擬服務器參數,單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表15-1 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
預置設置 |
設備提供一些常用服務的預置設置選項,比如:FTP、Email(PoP3)等服務 在下拉列表框中選擇某服務,服務名稱、外部端口、內部端口項均將自動完成設置
· 如果設備提供的預設服務沒有您需要的,您可以自行設置服務信息 · 預設服務的端口號是常用端口號,如果需要,您可以自行修改 · 對於FTP、TFTP服務等,您需要開啟對應的ALG項,且內部端口必須設置為標準端口號。例如:WAN側客戶端通過PASV模式(被動FTP)訪問局域網內的FTP服務器,內部端口必須設置為21 |
|
服務名稱 |
輸入虛擬服務器設置項的名稱 |
|
外部端口 |
輸入客戶端訪問虛擬服務器所使用的端口 取值範圍:1~65535,端口範圍必須從小到大,推薦設置10000以上的端口。如果隻有一個端口,則左右兩邊的文本框請填寫同一端口號
各設置項的外部端口不能重複,且內部端口和外部端口的設定個數必須一樣,即內部端口和外部端口一一對應。比如:設置某個虛擬服務器,外部端口為100~102,內部端口為10~12。如果設備收到外部101端口的訪問請求,則設備會把報文轉發到內部服務器的11端口 |
|
內部端口 |
輸入內部服務器上真實開放的服務端口 取值範圍:1~65535,端口範圍必須從小到大。如果隻有一個端口,則左右兩邊的文本框請填寫同一端口號
各設置項的內部端口允許重複,且內部端口和外部端口的設定個數必須一樣,即內部端口和外部端口一一對應 |
|
內部服務器IP |
輸入內部服務器的IP地址 |
|
是否啟用 |
在下拉列表框中選擇“啟用”,表示此虛擬服務器生效;選擇“禁用”,表示此虛擬服務器不生效 |
通常情況下,NAT隻對報文頭中的IP地址和端口信息進行轉換,不對應用層數據載荷中的字段進行分析。
然而,對於一些特殊的協議(比如:FTP、TFTP等),它們報文的數據載荷中可能包含IP地址或端口信息,這些內容不能被NAT進行有效地轉換,就可能會出現問題。比如:FTP應用是由數據連接和控製連接共同完成的,而且數據連接的建立由控製連接中的載荷字段信息動態地決定,這就需要ALG來完成載荷字段信息的轉換,以保證後續數據連接的正確建立。
針對需要ALG的一些應用層協議,您在使用時隻需要在設備上開啟相應的項即可。
頁麵向導:高級設置→地址轉換→ALG應用
本頁麵為您提供如下主要功能:
|
設置ALG應用(缺省情況下,應用層協議的ALG應用均已經開啟,建議您保留缺省設置) |
|
靜態路由是一種特殊的路由,需要您手工設置。設置靜態路由後,去往指定目的地的報文將按照您指定的路徑進行轉發。在組網結構比較簡單的網絡中,隻需設置靜態路由就可以實現網絡互通。恰當地設置和使用靜態路由可以改善網絡的性能,並可為重要的網絡應用保證帶寬。
靜態路由的缺點在於:不能自動適應網絡拓撲結構的變化,當網絡發生故障或者拓撲發生變化後,可能會出現路由不可達,導致網絡中斷。此時必須由您手工修改靜態路由的設置。
比如:如圖15-2所示,如果您希望LAN A中PC1與LAN B中PC2可以相互訪問或LAN B中PC2通過本設備訪問因特網,則可以在設備上設置一條靜態路由(目的網段:192.168.2.0,下一跳地址:192.168.1.3)。
頁麵向導:高級設置→路由設置→靜態路由
本頁麵為您提供如下主要功能:
|
顯示和修改當前您已添加的靜態路由(主頁麵) |
|
|
添加靜態路由(主頁麵。單擊<新增>按鈕,在彈出的對話框中設置相應的參數,單擊<增加>按鈕完成操作) |
|
|
查看所添加的靜態路由的生效情況(單擊主頁麵上的“查看路由信息表”按鈕,您即可在彈出的頁麵中查看已經生效的靜態路由信息。如果您添加了一條錯誤的靜態路由,該路由不會生效。您可以通過對比主頁麵的靜態路由表和此處的路由信息,判斷您是否添加了錯誤路由) |
|
頁麵中關鍵項的含義如下表所示。
表15-2 頁麵關鍵項描述
|
頁麵關鍵項 |
說明 |
|
目的地址 |
輸入需要到達的目的IP地址 |
|
子網掩碼 |
輸入需要到達的目的地址的子網掩碼 |
|
下一跳地址 |
輸入數據在到達目的地址前,需要經過的下一個設備的IP地址 |
|
出接口 |
選擇靜態路由的出接口
您必須選擇正確的出接口,所添加的靜態路由才能生效 |
|
描述 |
對此靜態路由表項進行描述 |
策略路由是一種依據您所製定的策略進行路由選擇的機製。設備提供獨特的策略路由功能,可以根據報文的某些字段(比如:源/目的IP地址、協議類型等)來區分數據流,並從指定的接口發送出去,起到業務分流的作用。
比如:某企業擁有兩條帶寬大小不同的因特網線路,並設置了普通用戶區(IP地址範圍是192.168.1.2~192.168.1.100)和管理層用戶區(IP地址範圍是192.168.1.101~192.168.1.200)。此時,您可以通過策略路由功能(根據源IP地址段區分)來將帶寬比較小的線路分配給普通區用戶,將帶寬比較大的線路分配給管理層用戶。
頁麵向導:高級設置→路由設置→策略路由
本頁麵為您提供如下主要功能:
|
顯示和修改當前您已添加的策略路由(主頁麵) |
|
|
添加策略路由(單擊主頁麵上的<新增>按鈕,在彈出的對話框中設置相應的參數,單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表15-3 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
表項序號 |
由於係統會根據表項的序號來順序匹配,因此您可以通過此選項來調整該表項的匹配優先級 缺省情況下,新增的表項會排在最後 |
|
協議類型 |
選擇需要匹配的報文的協議類型(或輸入對應的協議號) |
|
源端口 |
輸入需要匹配的報文的源端口號(隻有選擇或者設置協議TCP/UDP之後,源端口才可配置) 源端口支持散列端口和端口範圍兩種輸入方式: · 散列端口:格式為[!] n,m · 端口範圍:格式為[!] n-m 缺省情況下,源端口號為1-65535,表示匹配所有的源端口
“!”表示取反的意思(可選),即匹配除了所設置端口外的其他端口。比如: · 您設置源端口為3-300,表示源端口在3~300範圍內的報文才會被匹配 · 您設置源端口為!3-300,表示源端口在3~300範圍內的報文均不會被匹配,其他源端口的報文都會被匹配 以下若涉及此“!”參數,意義相同,不再贅述 |
|
源IP地址段 |
輸入需要匹配的報文的源IP地址段 源IP地址段支持三種輸入方式: · 單獨的IP地址:格式為[!] a.b.c.d · IP地址網段:格式為[!] a.b.c.d/mask,mask表示網絡掩碼長度,取值範圍為0~32 · IP地址範圍:格式為[!] a.b.c.d-e.f.g.h 缺省情況下,源IP地址段為0.0.0.0-255.255.255.255,表示匹配所有的源IP地址 |
|
目的端口 |
輸入需要匹配的報文的目的端口號(隻有選擇或者設置協議TCP/UDP之後,目的端口才可配置) 目的端口支持散列端口和端口範圍兩種輸入方式: · 散列端口:格式為[!] n,m · 端口範圍:格式為[!] n-m 缺省情況下,目的端口號為1-65535,表示匹配所有的目的端口 |
|
目的IP地址段 |
輸入需要匹配的報文的目的IP地址段 目的IP地址段支持三種輸入方式: · 單獨的IP地址:格式為[!] a.b.c.d · IP地址網段:格式為[!] a.b.c.d/mask,mask表示網絡掩碼長度,取值範圍為0~32 · IP地址範圍:格式為[!] a.b.c.d-e.f.g.h 缺省情況下,目的IP地址段為0.0.0.0-255.255.255.255,表示匹配所有的目的IP地址 |
|
出接口 |
指定策略路由表項的出口 如果不選中“強製”複選框,當該出接口不可用時,匹配該策略的報文仍進行選路轉發;如果選中“強製”複選框,當該出接口不可用時,匹配該策略的報文會直接被丟棄 |
|
生效時間 |
設置此策略路由項生效的時間段 |
|
是否啟用 |
設置當前策略路由的狀態 選擇啟用,表示使用此策略路由;選擇禁用,表示不使用此策略路由 |
|
描述 |
對此策略路由項進行說明 |
當設備通過PPPoE方式或動態方式連接到因特網時,所獲取到的IP地址是不固定的。因此,給想訪問本局域網內服務器的因特網用戶帶來很大的不便。
開啟DDNS功能後,設備會在DDNS服務器上建立一個IP與域名的映射表。當WAN口IP地址變化時,設備會自動向指定的DDNS服務器發起更新請求,DDNS服務器會更新域名與IP地址的映射關係。所以,無論設備的WAN口IP地址如何改變,因特網上的用戶仍可以通過域名對本局域網內的服務器進行訪問。
設備的DDNS功能是作為DDNS服務的客戶端工具,需要與DDNS服務器協同工作。使用該功能之前,請先到www.pubyun.com去申請注冊一個域名。
頁麵向導:高級設置→應用服務→DDNS
本頁麵為您提供如下主要功能:
|
設置WAN口的DDNS |
|
頁麵中關鍵項的含義如下表所示。
表15-4 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
WAN1 / WAN2 DDNS |
啟用或禁用對應WAN口的DDNS功能 缺省情況下,WAN口的DDNS功能處於禁用狀態 |
|
用戶名 |
輸入在DDNS服務器上申請到的登錄用戶名 |
|
密碼 |
輸入在DDNS服務器上申請到的登錄密碼 |
|
注冊的主機名 |
輸入在DDNS服務器上申請的主機名,例如:ddnstest.3322.org |
|
DDNS服務器地址 |
選擇DDNS服務器地址 |
|
當前地址 |
顯示對應WAN口當前的IP地址 |
|
狀態 |
顯示當前對應WAN口的DDNS工作狀態 · 未連接:與DDNS服務器連接失敗 · 注冊成功:向DDNS服務器注冊成功 · 注冊失敗:DDNS服務器認證沒有通過,可能是用戶名或密碼錯誤 |
UPnP主要用於實現設備的智能互聯互通,無需用戶參與和使用主服務器,能自動發現和控製來自各家廠商的各種網絡設備。
啟用UPnP功能,設備可以實現NAT穿越:當局域網內的主機通過設備與因特網通信時,設備可以根據需要自動增加、刪除NAT映射表,從而解決一些傳統的業務不能穿越NAT的問題。
如需與UPnP功能配合使用,您所使用的計算機操作係統和應用程序均需要支持UPnP功能。
頁麵向導:高級設置→應用服務→UPnP
本頁麵為您提供如下主要功能:
|
開啟UPnP功能(選中“啟用UPnP功能”,單擊<應用>按鈕生效。缺省情況下,UPnP功能處於關閉狀態) |
|
本設備支持靜態DNS Server功能,通過手動指定網絡設備的域名和IP的對應關係可實現域名解析的目的。
頁麵向導:高級設置→應用服務→DNS Server
本頁麵為您提供如下主要功能:
|
設置靜態域名 |
|
|
單擊<新增>按鈕,在彈出的對話框中設置靜態dns,單擊<增加>完成操作 |
|
頁麵中關鍵項的含義如下表所示。
表15-5 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
域名 |
網絡設備的域名,域名不區分大小寫。例如:“myserver.com” |
|
IP |
網絡設備的IP地址 |
|
描述 |
對此靜態域名表項進行描述 |
本章包含如下內容:
· 基本管理
· 遠程管理
· 用戶管理
· APP管理
頁麵向導:設備管理→基本管理→配置管理
本頁麵為您提供如下主要功能:
|
· 將當前設備的設置信息以.cfg文件的形式備份到本地(比如:當您發生誤操作或其他情況導致設備的係統設置信息丟失時,您可用此備份文件進行恢複操作,保證設備的正常運行) · 將設備當前的設置恢複到您之前備份過的設置 · 將設備恢複到出廠設置(比如:當您從一個網絡環境切換到另一個不同的網絡環境的情況,可將設備恢複到出廠設置,然後再進行重新設置,以適應當前的組網) |
|
· 請不要編輯備份在本地的設置文件。因為,設置文件經過加密,修改後不能再次恢複到設備中。
· 恢複到出廠設置後,當前的設置將會丟失。如果您不希望丟失當前設置信息,請先對設備進行備份操作。
· 恢複出廠設置後,設備將會重新啟動。在此期間請勿斷開設備的電源。
設備支持通過NTP服務器來自動獲取係統時間和手工設置係統時間兩種方式。
NTP是由RFC 1305定義的時間同步協議,用來在分布式時間服務器和客戶端之間進行時間同步。NTP基於UDP報文進行傳輸,使用的UDP端口號為123。
使用NTP的目的是對網絡內所有具有時鍾的設備進行時鍾同步,使網絡內所有設備的時鍾保持一致,從而使設備能夠提供基於統一時間的多種應用。對於運行NTP的本地係統,既可以接受來自其他時鍾源的同步,又可以作為時鍾源同步其他的時鍾。
對於網絡中的各台設備來說,如果單依靠管理員手工修改係統時間,不但工作量巨大,而且也不能保證時鍾的精確性。通過NTP,可以很快將網絡中設備的時鍾同步,同時也能保證很高的精度。
當設備連接到因特網後,會自動從設備缺省的NTP服務器或您手工設置的NTP服務器中獲取時間。當通過NTP成功獲取到係統時間後,該時間還會根據您選擇的時區做相應的調整。
如果設備無法通過NTP服務器獲取係統時間,則設備會在基本信息頁麵中的“係統時間”處顯示“網絡未獲取時間”,此時您需要手工設置係統時間。
手工設置的係統時間不會與其他設備同步,也不支持時區的切換。當設備重新啟動後,手工設置的係統時間會丟失,並且設備將恢複成了通過NTP服務器來自動獲取係統時間。此時,如果您將設備連接到因特網後,它會通過缺省的NTP服務器來獲取係統時間。
頁麵向導:設備管理→基本管理→時間設置
本頁麵為您提供如下主要功能:
|
· 通過NTP服務器來自動獲取係統時間(單擊“通過網絡獲取係統時間”單選按鈕,並指定相應的NTP服務器及時區,單擊<應用>按鈕生效) · 手工設置係統時間(單擊“手工設置係統時間”單選按鈕,設置具體的時間參數,單擊<應用>按鈕生效) |
|
設置完成後,您可以通過查看基本信息頁麵中的“係統時間”來驗證設置是否已生效。
通過軟件升級,您可以加載最新版本的軟件到設備,以便獲得更多的功能和更為穩定的性能。
· 請您在軟件升級之前備份設備當前的設置信息。如果升級過程中出現問題,您可以用其來恢複到原來的設置。
· 升級過程中請勿斷開設備的電源,否則可能會造成設備不能正常工作。
· 設備升級成功後,將會重新啟動。
頁麵向導:設備管理→基本管理→軟件升級
本頁麵為您提供如下主要功能:
|
升級軟件 · 升級方法一:本地升級 點擊頁麵上的“H3C的技術支持網站”鏈接,下載對應產品的最新軟件版本,保存到本地主機。然後,單擊<瀏覽>按鈕,選擇相應的升級軟件。最後,單擊<升級>按鈕,開始升級 · 升級方法二:在線升級 單擊<在線升級>按鈕,如果當前有新版本可用,則設備會自動升級到最新的軟件版本 · 升級方法三:自動升級 開啟該功能後,當檢測到新的軟件版本時,設備會在空閑時段有選擇性地自動升級 |
|
軟件升級後,您可以通過查看基本信息頁麵中的“軟件版本”來驗證當前運行的版本是否正確。
頁麵向導:設備管理→基本管理→重啟動
· 重新啟動期間,請勿斷開設備的電源。
· 重新啟動期間,網絡通信將暫時中斷。
單擊頁麵上的<重啟動>按鈕,確認後,設備重新啟動。
設備為您提供了遠程登錄管理的功能,即因特網上的主機可以通過設備的WAN口來實現Web或Telnet登錄。
遠程Web管理支持HTTP和HTTPS兩種訪問方式。HTTPS相對於HTTP,在安全性方麵有所增強,它將HTTP和SSL結合,通過SSL對客戶端身份和服務器進行驗證,對傳輸的數據進行加密,從而實現了對設備的安全管理。
HTTPS通過SSL協議,從以下幾方麵提高了安全性:
· 客戶端通過數字證書對服務器進行身份驗證,保證客戶端訪問正確的服務器;
· 服務器通過數字證書對客戶端進行身份驗證,保證合法客戶端可以安全地訪問設備,禁止非法的客戶端訪問設備;
· 客戶端與設備之間交互的數據需要經過加密,保證了數據傳輸的安全性和完整性,從而實現了對設備的安全管理。
· 同一時間,設備最多允許5個用戶遠程通過Web或Telnet進行管理和設置。
· 缺省情況下,設備的遠程Web管理和遠程Telnet管理均處於關閉狀態。
頁麵向導:設備管理→遠程管理→遠程管理
本頁麵為您提供如下主要功能:
|
· 開啟遠程Web管理功能(選中“啟用遠程web管理”複選框,選擇訪問方式,並設置相關的參數,單擊<應用>按鈕生效) · 開啟遠程Telnet管理功能(選中“啟用遠程telnet管理”複選框,設置相關的參數,單擊<應用>按鈕生效) |
|
頁麵中關鍵項的含義如下表所示。
表16-1 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
訪問方式 |
當選擇HTTP訪問方式時,遠程用戶需要在瀏覽器的地址欄中輸入http://ip_address:port登錄設備;當選擇HTTPS訪問方式時,遠程用戶需要在瀏覽器的地址欄輸入https://ip_address:port登錄設備
· ip_address是指設備WAN口的IP地址,port是指您所指定的“設備的遠程管理端口” · 如果您使用HTTPS方式訪問設備,設備會向您發放一份證書。此證書可能因為不受信任而被瀏覽器阻止,您隻要選擇信任此證書,繼續操作便可進入設備的Web登錄頁麵 |
|
遠程管理PC的IP範圍 |
設置遠程用戶的IP地址範圍,僅在該指定範圍內的用戶才允許遠程管理設備 缺省情況下,允許所有用戶對設備進行遠程管理 |
|
設備的遠程管理端口 |
設置對設備進行遠程管理的端口號 推薦設置10000以上的端口 |
當您選擇使用H3C點點通APP進行設備管理時,設備支持遠程運維功能。即通過開啟遠程運維功能,使運維人員直接遠程登錄管理設備,更簡便更快捷地定位並處理您的網絡問題。
頁麵向導:設備管理→遠程管理→遠程運維
|
· 勾選“同意《遠程運維用戶協議》” · 選擇運維人員是否可免密登錄設備 · 確認遠程運維功能的生效時長後,點擊<啟用>按鈕,設備即可自動生成運維二維碼,將其分享給運維人員,運維人員即可通過“H3C點點通”APP遠程登錄管理設備 · 點擊<停止>按鈕,可直接終止遠程運維功能 |
|
頁麵中關鍵項的含義如下表所示。
表16-2 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
免密登錄 |
設置運維人員在遠程登錄管理設備時,是否需要輸入設備的管理密碼 · 是:不需要輸入管理密碼,直接登錄設備 · 否:必須輸入管理密碼,方能登錄設備 |
|
遠程運維時長 |
設置遠程運維功能的生效時長 取值範圍:0~365天,缺省為30天
如果要永久開啟遠程運維功能,您可以將時長設置為0 |
|
運維ID |
用戶將運維ID(即運維二維碼)發給運維人員,運維人員通過“H3C點點通”APP,即可遠程登錄管理設備 |
頁麵向導:設備管理→用戶管理→登錄管理
本頁麵為您提供如下主要功能:
|
· 設置局域網內允許管理設備的用戶IP地址範圍(在“LAN內管理PC的IP範圍”文本框中輸入允許管理設備的IP地址範圍,單擊<應用>按鈕生效。此限製功能僅對http/https、telnet訪問有效) · 設置Web用戶超時時間(在“超時時間”文本框中輸入時間參數,單擊<應用>按鈕生效) · 查看當前已登錄的用戶信息 · 注銷已登錄用戶(單擊某用戶所對應的<注銷>按鈕,即可將該用戶強製退出。如需登錄,需要重新認證) |
|
當由於誤操作而未將自身的IP劃入到允許管理設備的用戶IP地址範圍內,導致無法登錄設備時,您可以通過admin acl default命令將其恢複為缺省設置(缺省情況下,允許局域網內所有用戶訪問設備)。
頁麵向導:設備管理→用戶管理→密碼管理
本頁麵為您提供如下主要功能:
|
修改設備的登錄密碼,單擊<應用>按鈕生效 |
|
頁麵向導:設備管理→APP管理→APP管理設置
本頁麵為您提供如下主要功能:
|
您可選擇管理設備的APP,包括H3C點點通APP、H3C魔術家APP
遠程運維功能,當前僅H3C點點通APP支持 |
|
· 某企業使用電信線路接入,對應的帶寬為300M,帶機量為100台;
· 防止局域網內的ARP攻擊;
· 防止局域網內某些主機使用P2P軟件(比如:BT、迅雷等)過度占用網絡資源;
· 禁止局域網內某些主機(比如:192.168.1.2~192.168.1.10)在某個時間段(比如:每天的08:00~18:00)訪問外網;
· 禁止局域網內除某些主機(比如:192.168.1.50~192.168.1.55)外,其他主機在某個時間段(比如:每天的08:30~18:00)訪問某些網站(比如:www.example.com等)。
下麵以具體的組網配置方案為例進行說明:
· 網關使用H3C Mini GR-5400AX、彙聚交換機采用H3C S5024P、接入交換機采用H3C S1224R;
· 設置WAN口通過靜態方式連接到因特網;
· 使用DHCP服務器功能給局域網內各主機動態分配IP地址;
· 開啟ARP綁定功能來防止ARP表項受到攻擊;
· 設置IP流量限製,防止P2P軟件過度占用網絡資源;
· 設置防火牆的出站通信策略功能來禁止特定主機在某個時間段訪問外網;
· 設置網站過濾功能來禁止局域網內某些主機訪問指定網站;
· 設置業務控製功能來禁止某些主機使用QQ上線。
此典型配置舉例僅體現H3C Mini GR-5400AX上的設置,且所涉及的設置均在GR-5400AX缺省配置的基礎上進行。如果您之前已經對GR-5400AX做過相應的設置,為了保證效果,請確保當前設置和以下設置不衝突。
|
1. 在管理計算機的Web瀏覽器地址欄中輸入http://192.168.1.1,回車。輸入您設置的管理密碼,單擊<登錄>按鈕後便可進入Web設置頁麵 |
|
|
2. 選擇“接口管理→WAN設置→連接到因特網”,在“WAN網口”下拉框中選擇“靜態地址(手工配置地址)”選項。用電信提供的參數填寫WAN口的上網參數,單擊<應用>按鈕生效 |
|
|
3. 選擇“安全專區→ARP安全→ARP檢測”,設置IP地址搜索範圍,單擊<掃描>按鈕開始搜索。待搜索完畢後,請確認搜索是否有遺漏(比如:查看搜索到的條目數是否與客戶端的開機數一致)。如果沒有遺漏,單擊<全選>按鈕選中所有的表項,再單擊<靜態綁定>按鈕,將所有客戶端主機的IP/MAC進行綁定即可;如果存在遺漏,您還可以選擇“安全專區→ARP安全→ARP綁定”,手工添加ARP綁定項 |
|
|
4. 選擇“安全專區→ARP安全→ARP防護”,選中“檢測ARP欺騙時,發送免費ARP報文”複選框,單擊<應用>按鈕生效 |
|
|
5. 選擇“QoS設置→流量管理→IP流量限製”。選中“啟用IP流量限製”複選框,單擊<應用>按鈕生效 |
|
|
6. 單擊<新增>按鈕,在彈出的對話框中設置IP流量限製規則:建議上行和下行流量的上限值均設置為300Kbps。同時,您也可以根據實際的網絡情況對其進行適當地調整 |
|
|
7. 選擇“安全專區→防火牆→出站通信策略”,單擊<新增>按鈕,在彈出的對話框中設置相應的策略,如右圖所示。單擊<增加>按鈕完成操作 |
|
|
8. 選擇“上網管理→組管理→時間段管理”,單擊<新增>按鈕,在彈出的對話框中設置相應的時間段列表,如右圖所示。單擊<增加>按鈕完成操作 |
|
|
9. 選擇“上網管理→策略管理→行為策略管理”,單擊<新增>按鈕,在彈出的對話框中設置相應的上網行為管理策略,如右圖所示,設置策略名稱和策略描述,選擇適用時間段列表,並添加相應時間段 |
|
|
10. 選擇網站過濾,並進行相應設置,如右圖所示。選中“啟用網站過濾功能”複選框,再選中“僅禁止訪問列表中的網站地址”單選框,單擊<新增>按鈕,設置精確匹配的網站地址,並單擊<保存>按鈕生效,單擊<完成策略配置>按鈕完成操作 |
|
|
11. 選擇“上網管理→組管理→用戶組管理”,單擊<新增>按鈕,在彈出的對話框中設置“特權網段組”用戶組列表,如右圖所示。單擊<增加>按鈕完成操作 |
|
|
12. 選擇“上網管理→策略管理→行為策略管理”,單擊<新增>按鈕,在彈出的對話框中設置相應的上網行為管理策略,如右圖所示,設置策略名稱和策略描述,選擇適用用戶組列表,並添加相應用戶組 |
|
|
13. 選擇網站過濾,並進行相應設置,如右圖所示。不選中“啟用網站過濾功能”複選框,單擊<完成策略配置>按鈕完成操作 |
|
|
14. 選擇“上網管理→組管理→用戶組管理”,單擊<新增>按鈕,在彈出的對話框中設置“特權IP地址段”用戶組列表,如右圖所示。單擊<增加>按鈕完成操作 |
|
· 某網吧使用電信和聯通多條線路接入,其中兩條電信線路,一條聯通線路,對應的帶寬均為100M,帶機量為100台;
· 防止局域網內的ARP攻擊;
· 防止某些主機使用P2P軟件(比如:BT、迅雷等)過度占用網絡資源。
下麵以具體的組網配置方案為例進行說明:
· 將設備(GR-5400AX)的WAN1/WAN2口接電信線路,WAN3口接聯通線路;
· 設置WAN口通過靜態方式連接到因特網;
· 設置WAN口的工作模式為多WAN工作模式,並選擇缺省流量從電信線路轉發;
· 關閉DHCP服務器功能,手工給局域網內各主機分配靜態IP地址;
· 開啟ARP綁定功能來防止ARP表項受到攻擊;
· 設置IP流量限製,防止P2P軟件過度占用網絡資源。
圖17-2 典型應用組網圖
此典型配置舉例僅體現GR-5400AX上的設置,且所涉及的設置均在設備缺省配置的基礎上進行。如果您之前已經對設備做過相應的配置,為了保證效果,請確保當前配置和以下配置不衝突。
|
1. 在管理計算機的Web瀏覽器地址欄中輸入http://192.168.1.1,回車。輸入您設置的管理密碼,單擊<登錄>按鈕後便可進入Web設置頁麵 |
|
|
2. 選擇“接口管理→LAN設置→局域網設置”,設置設備LAN口IP地址為網吧已規劃好的IP地址段(比如:IP為192.168.0.1,子網掩碼為255.255.255.0),並使用修改後的IP地址登錄Web設置頁麵 |
|
|
3. 選擇“接口管理→DHCP設置→DHCP設置”,雙擊列表項,在彈出的對話框中去選“啟用DHCP服務器”,單擊<修改>按鈕完成操作 |
|
|
4. 開啟網吧內所有客戶端主機,包括無盤、遊戲、電影等服務器等。並將所有網吧客戶端主機的IP地址及DNS服務器地址手動依次設置為192.168.0.2~192.168.0.254、子網掩碼為255.255.255.0、默認網關為192.168.0.1、首選DNS為192.168.0.1、備用DNS為當地的某個DNS(比如:杭州為202.101.172.47)。此處以單個客戶端為例 |
|
|
5. 選擇“接口管理→WAN設置→多WAN工作模式”,設置WAN口數目為3,單擊<應用>按鈕生效 |
|
|
6. 選擇“接口管理→WAN設置→多WAN工作模式”,設置多WAN工作模式為“不同運營商接入”,選擇WAN網口1和WAN網口2均為轉發“電信”流量,權重比例為1:2,選擇WAN網口3為轉發“聯通”流量,並選擇缺省流量從電信轉發,單擊<應用>按鈕生效 |
|
|
7. 選擇“接口管理→WAN設置→連接到因特網”,在“WAN網口1”、“WAN網口2”和“WAN網口3”下拉框中選擇“靜態地址(手工配置地址)”選項。分別用對應的電信和聯通提供的參數填寫WAN口的上網參數,單擊<應用>按鈕生效 |
|
|
8. 選擇“安全專區→ARP安全→ARP檢測”,設置IP地址搜索範圍,單擊<掃描>按鈕開始搜索。待搜索完畢後,請確認搜索是否有遺漏(比如:查看搜索到的條目數是否與客戶端的開機數一致)。如果沒有遺漏,單擊<全選>按鈕選中所有的表項,再單擊<靜態綁定>按鈕,將所有客戶端主機的IP/MAC進行綁定即可;如果存在遺漏,您還可以選擇“安全專區→ARP安全→ARP綁定”,手工添加ARP綁定項 |
|
|
9. 選擇“安全專區→ARP安全→ARP防護”,選中“檢測ARP欺騙時,發送免費ARP報文”複選框,單擊<應用>按鈕生效 |
|
|
10. 選擇“QoS設置→流量管理→IP流量限製”。選中“啟用IP流量限製”複選框,單擊<應用>按鈕生效 |
|
|
11. 設置IP流量限製規則: · 單擊<新增>按鈕,在彈出的對話框中將WAN1上行和下行流量的上限值均設置為3000Kbps,單擊<增加>按鈕生效 · 單擊<新增>按鈕,在彈出的對話框中將WAN2上行和下行流量的上限值均設置為6000Kbps,單擊<增加>按鈕生效 · 單擊<新增>按鈕,在彈出的對話框中將WAN3上行和下行流量的上限值均設置為3000Kbps,單擊<增加>按鈕生效 |
|
本手冊僅介紹簡單的設備故障處理方法,如仍不能排除,可通過表18-2獲取售後服務。
表18-1 故障排除
|
常見問題 |
故障排除 |
|
Power燈不亮 |
1. 請檢查電源線是否連接正確 2. 請檢查電源線插頭是否插緊,無鬆動現象 |
|
端口指示燈不亮 |
1. 請檢查網線與設備的以太網端口是否卡緊,無鬆動現象 2. 將網線的兩端分別插到設備的兩個以太網端口上,如果該兩個端口對應的指示燈都亮,表示網線正常;否則該網線可能存在問題,請更換網線重新嚐試 |
|
不能通過Web設置頁麵本地登錄設備 |
1. 使用MS-DOS方式的Ping命令檢查網絡連接 · Ping 127.0.0.1用來檢查管理計算機的TCP/IP協議是否安裝 · Ping設備LAN口的IP地址來檢查管理計算機與設備是否連通 2. 通過ip address命令來查看當前設備LAN口的地址,核對您輸入的IP地址是否正確 3. 如果管理計算機使用靜態IP地址,請確認其IP地址是否與設備LAN口的IP地址處於同一網段 4. 設備允許管理的用戶數已經達到最大值(最多支持5個用戶同時登錄),請稍後再試 5. 請檢查Web瀏覽器是否設置代理服務器或撥號連接,若有,請取消設置 |
|
已進入Web頁麵,但是忘記設備登錄密碼 |
在設備通電情況下,通過Reset鍵進行恢複: · 用針狀物按住Reset鍵5秒左右,直至係統指示燈慢速閃爍,可重置設備登錄密碼。連接到Web界麵,設置新的管理密碼即可 · 用針狀物按住Reset鍵10秒左右,直至係統指示燈快速閃爍,可將設備恢複出廠設置並重啟 |
|
部分老舊終端無法識別或無法連接路由器Wi-Fi |
本設備支持新一代Wi-Fi 6技術,可有效提升無線網絡質量。部分老舊終端可能出現無法識別或無法連接Wi-Fi 6等兼容性問題 此時可嚐試連接升級終端軟件版本,或登錄設備Web管理頁麵,在無線設置中,將無線網絡模式修改為“b+g+n”和“a+n+ac”,老舊終端即可連接Wi-Fi 5信號 |
|
局域網內用戶出現掉線,無法訪問因特網 |
1. 檢查與設備級連的交換機的網線和設備WAN口的網線是否存在鬆動現象 2. 檢查設備是否已經對局域網內所有主機進行了ARP綁定 3. 登錄設備的Web設置頁麵,選擇“安全專區→防火牆→出站通信策略”,查看是否配置了某IP地址段在某段時間內無法訪問因特網 |
|
故障類型 |
描述 |
如何獲取售後服務 |
|
硬件類故障 |
比如:出現設備不能正常通電、未插網線但以太網端口指示燈卻常亮等問題 |
請聯係當地授權服務中心予以確認後更換 |
|
軟件類問題 |
比如:出現設備功能不可用、異常等問題或配置谘詢 |
請聯係技術支持服務人員 |
表19-1列出了設備的一些重要的缺省設置信息,供您參考。
|
選項 |
缺省設置 |
|
|
接口管理 |
LAN口IP地址 |
IP地址:192.168.1.1 子網掩碼:255.255.255.0 |
|
LAN口基本屬性 |
端口模式:Auto 廣播風暴抑製:不抑製 流控:關閉 |
|
|
連接因特網方式 |
DHCP自動獲取方式 |
|
|
WAN網口線路檢測 |
關閉 |
|
|
無線管理 |
內部網絡SSID名稱 |
H3C_XXXXXX和H3C_XXXXXX_5G |
|
加密方式 |
不加密 |
|
|
接入控製 |
關閉 |
|
|
二層漫遊 |
禁用 |
|
|
禁止弱信號客戶端接入 |
禁用 |
|
|
廣播探測 |
啟用 |
|
|
AP管理設置 |
啟用 |
|
|
AP配置模板 |
默認為當前無線配置 |
|
|
交換機管理 |
交換機管理設置 |
啟用 |
|
工作模式 |
標準交換 |
|
|
風暴抑製 |
不抑製 |
|
|
端口鏡像 |
無 |
|
|
安全專區 |
ARP防護 |
采用設備檢測到ARP攻擊時,LAN口或WAN口會主動發送免費ARP |
|
防火牆 |
出站通信缺省策略:允許 入站通信缺省策略:禁止 |
|
|
IDS防範 |
開啟各攻擊類型防護 |
|
|
QoS管理 |
IP流量限製 |
關閉 |
|
高級設置 |
NAT |
開啟 |
|
ALG應用 |
開啟 |
|
|
DDNS |
關閉 |
|
|
UPnP |
關閉 |
|
|
設備管理 |
係統時間 |
通過缺省的NTP服務器獲取 |
|
遠程管理 |
遠程Web管理:關閉 遠程Telnet管理:關閉 |
|
|
超時時間 |
5分鍾 |
|
|
術語縮寫 |
英文全稱 |
中文名稱 |
含義 |
|
2500Base-T |
2500Base-T |
2500Base-T |
2500Mbit/s基帶以太網規範,使用兩對超5/6類雙絞線連接,可提供最大2500Mbit/s的傳輸速率 |
|
1000Base-T |
1000Base-T |
1000Base-T |
1000Mbit/s基帶以太網規範,使用兩對5類雙絞線連接,可提供最大1000Mbit/s的傳輸速率 |
|
100Base-TX |
100Base-TX |
100Base-TX |
100Mbit/s基帶以太網規範,使用兩對5類雙絞線連接,可提供最大100Mbit/s的傳輸速率 |
|
10Base-T |
10Base-T |
10Base-T |
10Mbit/s基帶以太網規範,使用兩對雙絞線(3/4/5類雙絞線)連接,其中一對用於發送數據,另一對用於接收數據,提供最大10Mbit/s傳輸速率 |
|
DDNS |
Dynamic Domain Name Service |
動態域名服務 |
動態域名服務(Dynamic Domain Name Service),能實現固定域名到動態IP地址之間的解析 |
|
DHCP |
Dynamic Host Configuration Protocol |
動態主機配置協議 |
動態主機配置協議(Dynamic Host Configuration Protocol)為網絡中的主機動態分配IP地址、子網掩碼、網關等信息 |
|
DHCP Server |
Dynamic Host Configuration Protocol Server |
DHCP 服務器 |
動態主機配置協議服務器(Dynamic Host Configuration Protocol Server)是一台運行了DHCP動態主機配置協議的設備,主要用於給DHCP客戶端分配IP地址 |
|
DNS |
Domain Name Service |
域名服務 |
域名服務(Domain Name Service)將域名解析成IP地址。DNS信息按等級分布在整個因特網上的DNS服務器間,當我們訪問一個網址時,DNS服務器查看發出請求的域名並搜尋它所對應的IP地址。如果該DNS服務器無法找到這個IP地址,就將請求傳送給上級DNS服務器,繼續搜尋IP地址。例如,www.yahoo.com 這個域名所對應的IP地址為 216.115.108.243 |
|
DoS |
Denial of Service |
拒絕服務 |
拒絕服務(Denial of Service)是一種利用合法的方式請求占用過多的服務資源,從而使其他用戶無法得到服務響應的網絡攻擊行為 |
|
DSL |
Digital Subscriber Line |
數字用戶線路 |
數字用戶線(Digital Subscriber Line)這種技術使得數字數據和仿真語音信號都可以在現有的電話線路上進行傳輸。目前比較受家庭用戶青睞的是ADSL接入方式 |
|
Firewall |
Firewall |
防火牆 |
防火牆(Firewall)技術保護您的計算機或局域網免受來自外網的惡意攻擊或訪問 |
|
FTP |
File Transfer Protocol |
文件傳輸協議 |
文件傳輸協議(File Transfer Protocol)是一種描述網絡上的計算機之間如何傳輸文件的協議 |
|
HTTP |
Hypertext Transfer Protocol |
超文本傳送協議 |
超文本傳送協議(Hypertext Transfer Protocol)是一種主要用於傳輸網頁的標準協議 |
|
Hub |
Hub |
集線器 |
共享式網絡連接設備,工作在物理層,主要用於擴展局域網規模 |
|
ISP |
Internet Service Provider |
因特網服務提供商 |
因特網服務提供商(Internet Service Provider),提供因特網接入服務的提供商 |
|
LAN |
Local Area Network |
局域網 |
局域網(Local Area Network)一般指內部網,例如家庭網絡,中小型企業的內部網絡等 |
|
MAC address |
Media Access Control address |
介質訪問控製地址 |
介質訪問控製地址(Media Access Control address),MAC地址是由廠商指定給設備的永久物理地址,它由6對十六進製數字所構成。例如:00-0F-E2-80-65-25。每一個網絡設備都擁有一個全球唯一的MAC地址 |
|
NAT |
Network Address Translation |
網絡地址轉換 |
網絡地址轉換(Network Address Translation),可以把局域網內的多台計算機通過NAT轉換後共享一個或多個公網IP地址,接入Internet,這種方式同時也可以屏蔽局域網用戶,起到網絡安全的作用。通常共享上網的寬帶設備都使用這個技術 |
|
MU-MIMO |
Multi-User Multiple-Input Multiple-Output |
多用戶-多輸入多輸出 |
MU-MIMO是一種多用戶技術,實現物理空間上的多路並發,適用於大數據包的並行傳輸(如視頻、下載等應用),提升多空間流的利用率與係統容量,提高單用戶的有效頻寬,同樣能降低時延 |
|
NMS |
Network Management Station |
網絡管理站 |
NMS運行SNMP客戶端程序的工作站,能夠提供非常友好的人機交互界麵,方便網絡管理員完成絕大多數的網絡管理工作 |
|
OFDMA |
Orthogonal Frequency Division Multiple Access |
正交頻分多址 |
OFDMA是一種多址技術,OFDMA將信道劃分成不同資源單元RU(Resource Unit),這些RU彼此之間都是正交的,實現頻域空間的多路並發。在發送數據時,不同的用戶隻會占用某一個資源單元而非整個信道,這樣就能實現一次向多個用戶發送數據 |
|
Ping |
Packet Internet Grope |
因特網包探測器 |
Ping命令是用來測試本機與網絡上的其它計算機能否進行通信的診斷工具。Ping命令將報文發送給指定的計算機,如果該計算機收到報文則會返回響應報文 |
|
PPP |
Point-to-Point Protocol |
點對點協議 |
點對點協議(Point-to-Point Protocol)是一種鏈路層通信協議 |
|
PPPoE |
PPP over Ethernet |
點對點以太網承載協議 |
點對點以太網承載協議(PPP over Ethernet)在以太網上承載PPP協議封裝的報文,它是目前使用較多的業務形式 |
|
QoS |
Quality of Service |
服務質量 |
服務質量(Quality of Service)是用來解決網絡延遲和阻塞等問題的一種技術。當網絡過載或擁塞時,QoS 能確保重要業務量不受延遲或丟棄,同時保證網絡的高效運行 |
|
RJ-45 |
RJ-45 |
RJ-45 |
用於連接以太網交換機、集線器、設備等設備的標準插頭。直連網線和交叉網線通常使用這種接頭 |
|
Route |
Route |
路由 |
基於數據的目的地址和當前的網絡條件,通過有效的路由選擇能夠到達目的網絡或地址的出接口或網關,進行數據轉發。具有路由功能的設備稱作設備(router) |
|
SNMP |
Simple Network Management Protocol |
簡單網絡管理協議 |
SNMP是網絡中管理設備和被管理設備之間的通信規則,它定義了一係列消息、方法和語法,用於實現管理設備對被管理設備的訪問和管理 |
|
TCP |
Transfer Control Protocol |
傳輸控製協議 |
傳輸控製協議(Transfer Control Protocol)是一種麵向連接的、可靠的傳輸層協議 |
|
TCP/IP |
Transmission Control Protocol/Internet Protocol |
傳輸控製協議/網際協議 |
傳輸控製協議/網際協議(Transmission Control Protocol/Internet Protocol),網絡通信的基本通信協議簇。TCP/IP定義了一組協議,不僅僅是TCP和IP |
|
Telnet |
Telnet |
Telnet |
一種用來訪問遠程主機的基於字符的交互程序。Telnet允許用戶遠程登錄並對設備進行管理 |
|
UDP |
User Datagram Protocol |
用戶數據報協議 |
用戶數據報協議(User Datagram Protocol)是一種麵向非連接的傳輸層協議 |
|
UPnP |
Universal Plug and Play |
通用即插即用 |
通用即插即用(Universal Plug and Play),支持UPnP的設備彼此可自動連接和協同工作 |
|
WAN |
Wide Area Network |
廣域網 |
廣域網(Wide Area Network)是覆蓋地理範圍相對較廣的數據通信網絡,如因特網 |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
