- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-正文
本章節下載: 01-正文 (5.89 MB)
|
如果您想? |
您可以查看 |
|
初識產品的大致形態、業務特性或者它在實際網絡應用中的定位 |
“產品概述” |
|
通過搭建Web環境來管理設備,同時想進一步熟悉其設置頁麵 |
|
|
通過Web設置頁麵來設置設備WAN口的上網參數、LAN口相關功能、VLAN應用、DHCP功能等 |
“接口管理” |
|
通過Web設置頁麵來設置設備的無線參數和AP參數,進行無線網絡管理 |
“無線管理” |
|
通過Web設置頁麵來設置對用戶登錄設備的上網行為管理 |
“上網管理” |
|
通過Web設置頁麵來設置雲WiFi,進行注冊、綁定和升級 |
“雲WiFi” |
|
通過Web設置頁麵來實現設備及網絡環境的安全性,比如:ARP安全、接入控製、防火牆等 |
“安全專區” |
|
通過Web設置頁麵來實現設備IPSec VPN功能和L2TP VPN功能 |
“設置IPSec VPN”和“設置L2TP特性” |
|
通過Web設置頁麵來設置設備WAN口的帶寬、IP流量限製、網絡連接限數等 |
“設置QoS” |
|
通過Web設置頁麵來實現設備的高級業務功能,比如:NAT、虛擬服務器、路由管理等 |
“高級設置” |
|
通過Web設置頁麵對設備進行維護管理,比如:軟件升級、用戶管理等 |
“設備管理” |
|
通過Web設置頁麵對設備當前的設置狀態進行查詢或對係統運行情況進行監控等 |
“係統監控” |
|
通過具體的典型組網舉例來進一步理解設備的關鍵特性 |
“典型組網配置舉例” |
|
通過命令行來簡單地維護設備 |
|
|
定位或排除使用設備過程中遇到的問題 |
|
|
獲取設備重要的缺省出廠配置信息 |
本章節主要包含以下內容:
· 產品簡介
· 主要特性
· 典型組網應用
感謝您選擇了H3C ER G2係列企業級無線寬帶路由器(以下簡稱路由器),它們主要適用於SMB(Small and Medium Business,中小企業)、政府/企業機構等需要高速有線及無線接入的中小型網絡環境。
設備提供豐富的軟件特性(比如:IP流量限製、多WAN口負載均衡、策略路由、ARP綁定、ARP防護、防攻擊、QQ應用限製、IPSec/L2TP VPN等功能),可以幫您快速地完成各功能特性需求的配置。
表2-1 路由器列表
|
產品 |
描述 |
|
ERG2-450W |
· 提供1個固定LAN口和1個固定WAN口,3個WAN/LAN可變口,所有端口均為全千兆端口 · 外置3根5dBi高增益全向天線 · 工作頻段: ¡ 802.11b/g/n:2.4GHz-2.483GHz(中國) · 無線傳輸速率:450Mbps |
|
ERG2-1200W |
· 提供1個固定LAN口和1個固定WAN口,3個WAN/LAN可變口,所有端口均為全千兆端口 · 外置4根5dBi高增益全向天線,支持2.4GHz和5GHz雙頻覆蓋 · 工作頻段: ¡ 802.11b/g/n:2.4GHz-2.483GHz(中國) ¡ 802.11a/n/ac:5.15GHz-5.35GHz,5.725GHz-5.850GHz(中國) · 無線傳輸速率:1200Mbps |
|
ERG2-1350W |
· 提供1個固定LAN口和1個固定WAN口,3個WAN/LAN可變口,所有端口均為全千兆端口 · 外置5根5dBi高增益全向天線,支持2.4GHz和5GHz雙頻覆蓋 · 工作頻段: ¡ 802.11b/g/n:2.4GHz-2.483GHz(中國) ¡ 802.11a/n/ac:5.15GHz-5.35GHz,5.725GHz-5.850GHz(中國) · 無線傳輸速率:1350Mbps |
· 各產品間的軟件特性基本類似,若存在區別,本手冊會在具體特性描述時給出相關的說明。
· 本手冊中所涉及的Web設置頁麵僅供參考,且以ERG2-1350W為例,請以實際為準。此外,手冊中所描述的功能特性規格可能隨產品的升級而發生改變,恕不另行通知。詳情您可以向H3C公司市場人員或技術支援人員谘詢獲取。
· 豐富的無線特性
支持多個SSID,可為公司不同部門設置不同的SSID,並可通過啟用訪客網絡功能,使得來訪賓客使用的無線網絡與公司內網完全隔離,保障內網信息安全。
· 多WAN口
全千兆的多WAN口(默認雙WAN口)支持帶寬的負載均衡及線路備份功能。滿足企業多運營商接入的組網需求,可讓用戶根據線路實際帶寬分配網絡流量,充分利用帶寬;同時,保障網絡穩定性,在其中一條運營商線路出現故障時,其他線路也能正常工作。
· 無線AP擴展
支持AP管理功能,可自動發現並統一管理多達8台H3C Mini係列無線AP產品,實現AP接入後零配置功能,即插即用。
· 企業級VPN
通過VPN安全連接,最多支持50路IPSec連接到辦公網絡。同時,支持L2TP VPN服務器和客戶端模式。
· ARP雙重防護
通過ARP靜態綁定和動態綁定功能,有效防止ARP欺騙引起的內網通訊中斷問題;在遭受ARP欺騙時,提供毫秒級的免費ARP定時發送機製,有效地避免局域網內主機中毒後引發的ARP攻擊,有效保障上網體驗。
· 高性能防火牆
內置高性能防火牆,可防護外部多種專業的攻擊手段,如DDOS攻擊、端口掃描等行為。
內置內網異常流量防護模塊,對局域網內各主機流量進行檢查,並根據所選的防護等級(支持高、中、低三種)進行相應的處理,確保網絡在遭受此類異常攻擊時仍能正常工作。
· VLAN
支持多局域網功能,您可以方便的劃分局域網為多個網段,降低廣播域和ARP病毒的影響。針對每個局域網可以配置單獨的DHCP Server和防火牆規則。
· 網絡流量監控
提供流量實時監控和排序功能,同時提供多種安全日誌,包括內/外網攻擊實時日誌、地址綁定日誌、流量告警日誌和會話日誌,為網絡管理員實時監控網絡運行狀態和安全狀態提供了更快捷的窗口。
· 網絡流量限速
通過基於IP的網絡流量限速功能,可以有效地控製指定用戶的上/下行流量,限製了P2P軟件對網絡帶寬的過度占用。同時,提供彈性帶寬功能,在網絡空閑時可以智能地提升用戶的限製帶寬,既充分地提升了網絡帶寬的利用率,又保證了網絡繁忙時帶寬的可用性。
· 策略路由
實現按照用戶製定的策略選擇路由,如出接口的選擇等。
· 訪問控製
通過設置出站和入站通信策略,可允許或禁止特定應用數據流經過路由器;同時,支持基於用戶組和時間段配置策略,實現精細化管理。
· 業務控製
QQ等即時通訊軟件的大量普及,可能會引起員工辦公效率低下,無法集中精力。路由器獨有的應用控製功能,可以方便地限製內網用戶對QQ等應用的使用;同時還支持對大智慧/分析家/同花順/廣發至強/光大證券/國元證券等金融軟件的應用控製功能。另外,您還可以通過對特權用戶組的設置保證關鍵用戶的使用不受影響。
· USB管理
支持USB快速備份和快速恢複功能;還支持設備啟動的時候從USB中加載並恢複配置的功能。
· 提供非常簡便的Web設置頁麵,配置直觀、易操作。
· 每個Web設置頁麵均提供詳細的聯機幫助,有效降低配置難度。
· 提供了豐富的統計信息和狀態信息顯示功能,使您對路由器當前的運行狀態一目了然。
· 支持通過本地和遠程Web方式對路由器進行詳細的配置和管理。
· 支持通過Telnet方式對路由器進行簡單的命令行管理。
圖2-1 組網應用
本章節主要包含以下內容:
· 準備工作
完成硬件安裝後(安裝過程請參見《H3C ER G2係列企業級無線寬帶路由器 快速入門》),在登錄路由器的Web設置頁麵前,您需要確保管理計算機和網絡滿足一些基本要求。
請確認管理計算機已安裝了以太網卡。
· 自動獲取IP地址(推薦使用):請將管理計算機設置成“自動獲得IP地址”和“自動獲得DNS服務器地址”(計算機係統的缺省配置),由路由器自動為管理計算機分配IP地址。
· 設置靜態IP地址:請將管理計算機的IP地址與路由器的LAN口IP地址設置在同一網段內(LAN口缺省的IP地址為192.168.1.1,子網掩碼為255.255.255.0)。
操作步驟如下(以Windows 7係統為例):
|
1. 單擊桌麵右下角的網絡圖標,如 |
|
|
2. 單擊“本地連接”,單擊<屬性>按鈕,進入“本地連接屬性”窗口 |
|
|
3. 雙擊“Internet協議版本4(TCP/IPv4)” |
|
|
4. 配置電腦的IP地址 · 當路由器開啟DHCP功能時,可選擇自動獲取IP地址和DNS服務器地址,或通過手動配置電腦IP地址,與路由器IP地址(缺省192.168.1.1)保持同一網段 · 當路由器關閉DHCP功能時,隻能通過手動配置電腦IP地址,與路由器IP地址(缺省192.168.1.1)保持同一網段 設置好IP地址後,單擊<確定>按鈕,返回[本地連接 屬性]對話框,再單擊<確定>按鈕 |
|
操作步驟如下:
|
1. 單擊屏幕左下角<開始>按鈕進入[開始]菜單,選擇“運行”,彈出“運行”對話框 2. 輸入“ping 192.168.1.1(設備的IP地址,此處是缺省IP地址)”,單擊<確定>按鈕 |
|
|
3. 如果在彈出的對話框中顯示了從設備側返回的回應,則表示網絡連通;否則請檢查網絡連接 |
|
如果當前管理計算機使用代理服務器訪問因特網,則必須取消代理服務,操作步驟如下:
|
1. 在瀏覽器窗口中,選擇[工具/Internet 選項]進入“Internet 選項”窗口 |
|
|
2. 選擇“連接”頁簽,並單擊<局域網設置(L)>按鈕,進入“局域網(LAN)設置”頁麵。請確認未選中“為LAN使用代理服務器”選項;若已選中,請取消並單擊<確定>按鈕 |
|
運行Web瀏覽器,在地址欄中輸入“http://192.168.1.1”,回車後跳轉到Web登錄頁麵,如圖3-1所示。輸入用戶名、密碼(缺省均為admin,區分大小寫),單擊<登錄>按鈕或直接回車即可進入Web設置頁麵。
圖3-1 登錄路由器Web設置頁麵
· 同一時間,路由器最多允許五個用戶通過Web設置頁麵進行管理。當對路由器進行多用戶管理時,建議不要同時對其進行配置操作,否則可能會導致數據配置不一致。
· 為了安全起見,建議您首次登錄後修改缺省的登錄密碼,並保管好密碼信息。
路由器提供非常簡便的Web設置頁麵,您可以通過該設置頁麵快速地完成所需功能的配置,配置會立即生效且自動保存。
本章將帶領您先了解和熟悉Web設置頁麵。
本章節主要包含以下內容:
· 常用頁麵控件介紹
· 頁麵列表操作介紹
圖4-1 Web設置頁麵示意圖
以下控件是Web設置頁麵中經常出現的,有關它們的用途請參見下表。
|
頁麵控件 |
描述 |
|
|
文本框,用於輸入文本 |
|
|
單選按鈕,用於從多個選項中選擇一項 |
|
|
複選框,用於開啟(選中)和關閉(未選中)該功能或服務 |
|
|
下拉列表框,用於選擇相應的列表項 |
|
|
當您完成了某頁麵設置項的操作後,必須單擊該頁麵上的<應用>按鈕,設置才能生效 |
|
|
如果頁麵中出現類似的藍色字體項,您可以通過單擊它來跳轉到相應的頁麵進行設置修改 |
|
|
單擊<刷新>按鈕,您可以手動對設置頁麵的數據進行更新;在“自動刷新”列表框中選擇刷新頻率後,頁麵的數據會自動根據該刷新頻率進行更新 |
路由器的Web設置頁麵中經常會出現類似圖4-2的頁麵,此處對其操作進行統一的介紹,以下不再贅述。
|
界麵項 |
描述 |
|
|
您可通過設置關鍵字,單擊<查詢>按鈕來查看符合條件的列表項 |
|
|
單擊<顯示全部>按鈕,您可查看所有的列表項 |
|
|
單擊<全選>按鈕,您可選中所有的列表項對其進行批量操作
您也可以通過單擊各列表項的方式來選中指定表項進行批量操作 |
|
|
單擊<新增>按鈕,您可在彈出的對話框中添加一個新的表項。添加完成後,您可以通過該頁麵中的查詢功能來確認剛添加的表項是否已存在 選中指定的列表項,單擊<刪除>按鈕,您可將該列表項刪除 |
|
|
單擊該圖標,您可在彈出的對話框中對該列表項進行修改
雙擊某列表項,同樣也可在彈出的對話框中對該列表項進行修改 |
當您長時間沒有操作Web設置頁麵時,係統超時並將注銷本次登錄,返回到Web設置登錄頁麵(如圖3-1所示)。
單擊導航欄中的
,確認後即可退出Web設置頁麵。
路由器能自動進行撥號,您無需使用操作係統自帶的撥號軟件(如PPPoE撥號軟件)或其他客戶端撥號軟件。
本章節主要包含以下內容:
· 設置WAN
· 設置LAN
· 設置VLAN
· 設置DHCP
路由器缺省為雙WAN口,支持WAN/LAN口轉換,您可設置WAN口的數目。當WAN口數量更改時,會自動增加/刪除接口相關的條目。
頁麵向導:接口管理→WAN設置→接口轉換
本頁麵為您提供如下主要功能:
|
配置WAN口數目 |
|
頁麵中關鍵項的含義如下表所示。
表5-1 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
WAN口數目 |
設置路由器WAN口的數目。根據接入因特網的鏈路個數配置相應的WAN出口個數 |
路由器支持靜態地址、動態地址、PPPoE三種連接方式。具體選擇何種方式請谘詢當地運營商。
· 靜態地址:手動為WAN口設置IP地址、子網掩碼、缺省網關和DNS服務器。
· 動態地址:設置WAN口作為DHCP客戶端,使用DHCP方式獲取IP地址。
· PPPoE:設置WAN口作為PPPoE客戶端,使用PPPoE用戶名和密碼撥號連接獲取IP地址。
頁麵向導:接口管理→WAN設置→連接到因特網
本頁麵為您提供如下主要功能:
|
通過靜態地址連接到因特網 |
|
|
通過動態地址連接到因特網 |
|
|
通過PPPoE連接到因特網 |
|
|
關閉指定WAN口連接到因特網的功能 |
|
頁麵中關鍵項的含義如下表所示。
|
頁麵關鍵項 |
描述 |
|
IP地址 |
設置路由器WAN口的IP地址。由運營商提供 |
|
子網掩碼 |
設置路由器WAN口的IP地址子網掩碼。由運營商提供 |
|
缺省網關 |
設置路由器WAN口的缺省網關地址。由運營商提供 |
|
MTU |
設置路由器WAN口允許通過的最大傳輸單元,單位為字節。建議您使用缺省值 |
|
網絡帶寬 |
連接至設備WAN口的線路出口帶寬 |
|
主DNS服務器 |
設置路由器主域名服務器的地址,用於將便於記憶的、有意義的域名解析為正確的IP地址。由運營商提供 |
|
輔DNS服務器 |
設置路由器輔域名服務器的地址,當主域名服務器失效時,可以由它來完成解析。由運營商提供 |
|
主機名 |
設置在路由器使用DHCP方式獲取IP地址時,DHCP服務器側顯示的路由器主機名 |
|
PPPoE用戶名 |
設置PPPoE撥號上網時,身份驗證使用的用戶名。由運營商提供 |
|
PPPoE密碼 |
設置PPPoE撥號上網時,身份驗證使用的密碼。由運營商提供 |
|
服務器名 |
設置PPPoE服務器的名稱。由運營商提供 |
|
服務名 |
設置PPPoE服務器的服務名稱。由運營商提供 |
|
LCP主動檢測 |
設置PPPoE撥號上網時的鏈路檢測方式,缺省情況為“是”: · 選擇“是”,設備會主動發送LCP請求,即時檢測鏈路狀態 · 選擇“否”,設備如果在等待時間內沒有收到服務器的LCP請求,才會進行LCP檢測 |
· 當您需要設置運營商分配給您的帶寬時,相關操作請參見“12.1 設置IP流量限製”。
· 設置完成後,您可以通過查看基本信息頁麵中的“WAN網口狀態”來驗證設置是否已生效。
· 設備用於連接到因特網的WAN口IP地址不能和內網網段IP地址衝突。
路由器的多WAN工作模式包括同運營商接入和不同運營商接入兩種。
表5-3 多WAN工作模式描述
|
工作模式 |
描述 |
|
同運營商接入模式 |
正常情況下,允許多條鏈路同時工作,流量會先根據路由表進行選擇鏈路,其它流量根據設置的比例將網絡連接分擔到各個WAN口上 同運營商接入模式主要應用於同一運營商接入網場景,流量根據設置的比例轉發 設置的流量比例為0的WAN口隻轉發路由表選擇的鏈路,不轉發其他流量 |
|
不同運營商接入模式 |
正常情況下,允許多條鏈路同時工作,接口轉發配置的運營商流量,其他流量根據配置的缺省運營商WAN口轉發 不同運營商接入模式主要應用於多路不同的運營商接入場景,根據地址範圍配置實現“電信走電信,網通走網通”功能 設置的流量比例為0的WAN口隻轉發路由表選擇的鏈路,不轉發其他流量 |
頁麵向導:接口管理→WAN設置→多WAN工作模式
本頁麵為您提供如下主要功能:
|
設置多WAN同運營商接入模式 |
|
|
設置多WAN不同運營商接入模式 |
|
|
導入運營商地址池 |
|
頁麵中關鍵項的含義如下表所示。
表5-4 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
添加導入 |
在原來的均衡路由表基礎上,將已編輯好的均衡路由表文件(.cfg格式)導入
cfg文件的格式是“目的IP地址/子網掩碼”。其中: · “目的IP地址”:輸入網段地址,到該網段的報文會從指定的出接口轉發 · “子網掩碼”:目的IP地址的子網掩碼,表示方式為網絡地址位數 舉例如下: 58.32.0.0/13 58.40.0.0/16 58.42.0.0/16 |
|
覆蓋導入 |
刪除原來的運營商地址池表項,然後再將已編輯好的均衡路由表文件(.cfg格式)導入 |
|
導出 |
將當前的運營商地址池文件導出到本地保存 |
|
刪除全部 |
刪除運營商地址池中的所有表項 |
· 當您選擇了均衡模式或者手動模式後,可以通過設置均衡路由表,使訪問特定目的IP地址的報文按指定的鏈路進行轉發。比如:在手動模式下,您可以通過導入新聯通的均衡路由表,使訪問新聯通的流量都通過WAN2轉發;然後再指定缺省鏈路為WAN1,使非訪問新聯通的流量都通過WAN1轉發,從而達到不同運營商流量在不同的鏈路上轉發的目的。
· 設置完成後,您可以通過查看基本信息頁麵中的“WAN網口模式”來驗證設置是否已生效。
如果您需要實時監控線路狀態,保證一條線路故障時能切換到另一條線路,您就需要設置路由器的線路檢測功能。路由器支持靈活的檢測機製,並提供多種線路檢測方法供您選擇(包括PING檢測、DNS檢測和NTP檢測三種方式),以滿足實際應用的需要。
· 啟用WAN口線路檢測後,如果您指定了一種或多種檢測方式,路由器將隻使用指定的檢測方式。為了檢測的有效性,建議您同時使用多種檢測方式。
· 啟用WAN口線路檢測後,如果您沒有指定檢測方式,路由器將使用缺省的檢測方式(PING檢測),即向WAN口對應的網關發送Ping報文,以檢測通信是否正常。
· 缺省情況下,路由器不進行WAN口線路檢測。
· 由於運營商側的PPPoE服務器可能不響應Ping報文,因此,在PPPoE撥號方式下,如果您啟用了WAN口線路檢測功能且檢測方式為“PING檢測”時,請勿將“PING檢測”的目的地址設置為WAN口對應的網關地址。否則路由器將判斷這個鏈路存在故障。
· 檢測結果您可通過查看基本信息頁麵中的“鏈路狀態”來獲取。
頁麵向導:接口管理→WAN設置→鏈路檢測
本頁麵為您提供如下主要功能:
|
設置WAN口線路檢測 |
|
頁麵中關鍵項的含義如下表所示。
表5-5 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
PING檢測 |
選中“PING檢測”複選框,輸入目的IP地址,單擊<應用>按鈕,路由器會通過Ping報文來檢測與目的IP地址的連通性,有響應則認為線路正常 |
|
DNS檢測 |
選中“DNS檢測”複選框,輸入需要DNS解析的域名,路由器會通過DNS報文來檢測與DNS服務器的連通性,有響應認為線路正常 |
|
NTP檢測 |
選中“NTP檢測”複選框,輸入NTP服務器的IP地址,路由器會通過NTP報文來檢測與NTP服務器的連通性,有響應認為線路正常 |
路由器出廠時,各WAN口都有一個缺省的MAC地址,一般情況下,無需改變。但是,比如:有些運營商要求隻有注冊過的路由器才能連接到因特網,此時,您就需要使用路由器WAN口MAC地址克隆功能,將WAN口MAC地址修改為在運營商側注冊過的MAC地址。
頁麵向導:接口管理→WAN設置→MAC地址克隆
本頁麵為您提供如下主要功能:
|
設置WAN口MAC地址克隆 |
|
頁麵中關鍵項的含義如下表所示。
表5-6 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
使用本設備的MAC地址 |
選中該項,使用路由器出廠時的MAC地址 |
|
使用這台PC的MAC地址 |
選中該項,使用用來設置路由器的管理計算機的MAC地址 |
|
手工輸入MAC地址 |
選中該項,輸入在運營商側注冊過的MAC地址 |
· 當進行WAN口MAC地址克隆設置時,如果更換了MAC地址,則WAN口會重新進行初始化。在此過程中,轉發的流量會因為接口地址和路由的變化,會重新選擇出接口。待接口初始化完成以後,新建立的轉發業務才會按照您所設置的方式進行轉發。
· 設置完成後,您可以通過查看基本信息頁麵中的“MAC地址”來驗證設置是否已生效。
路由器的WAN口支持以下幾種速率和雙工模式的組合。
表5-7 WAN口的速率和雙工模式
|
項目 |
描述 |
|
Auto |
WAN口的雙工和速率狀態均由本端口和對端端口自動協商而定
缺省情況下,WAN口采用Auto模式 |
|
10M半雙工 |
WAN口工作在10Mbps速率下,且端口同一時刻隻能發送數據包或接收數據包 |
|
10M全雙工 |
WAN口工作在10Mbps速率下,且端口在發送數據包的同時可以接收數據包 |
|
100M半雙工 |
WAN口工作在100Mbps速率下,且端口同一時刻隻能發送數據包或接收數據包 |
|
100M全雙工 |
WAN口工作在100Mbps速率下,且端口在發送數據包的同時可以接收數據包 |
|
1000M全雙工 |
WAN口工作在1000Mbps速率下,且端口在發送數據包的同時可以接收數據包 |
頁麵向導:接口管理→WAN設置→網口模式
本頁麵為您提供如下主要功能:
|
選擇WAN口的速率和雙工模式 |
|
· 除了Auto模式外,路由器WAN口的速率和雙工模式需要與對端設備保持一致。
· 設置完成後,您可以通過查看端口流量頁麵中的“鏈路狀態”來驗證設置是否已生效。
當您修改了路由器LAN口的IP地址後,您需要在瀏覽器中輸入新的IP地址重新登錄,才能對路由器繼續進行配置和管理。比如:某企業事先已經將整個IP地址段均已規劃好,因此,您需要根據已規劃好的IP地址來修改路由器LAN口的IP地址,以適應實際環境。
頁麵向導:接口管理→LAN設置→局域網設置
本頁麵為您提供如下主要功能:
|
修改LAN口的IP地址(缺省情況下,路由器LAN口的IP地址為192.168.1.1,子網掩碼為255.255.255.0) |
|
修改LAN口IP地址後,其他頁麵中和IP地址相關的配置可能需要相應修改(如IP/MAC綁定表中的IP地址等),保持和LAN口IP在同一網段。
路由器出廠時,LAN口均有一個缺省的MAC地址,一般情況下,無需改變。但是,比如:某企業之前為了防止ARP攻擊,給局域網內的主機均設置了網關的靜態ARP表項。此時,如果企業想升級設備,將原來的網關換成了路由器(網關地址保持不變),局域網內的主機則無法學習到路由器的MAC地址。因此,您需要逐個修改局域網內主機的靜態ARP表項,才可使局域網內的主機恢複正常上網,這樣維護效率會很低。
路由器的LAN口MAC克隆功能可以使您免除這樣的重複勞動,隻需將路由器的LAN口MAC地址設為原來網關的MAC地址,局域網內的主機即可正常上網了。
頁麵向導:接口管理→LAN設置→局域網設置
本頁麵為您提供如下主要功能:
|
設置LAN口MAC地址克隆 |
|
頁麵中關鍵項的含義如下表所示。
表5-8 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
使用設備MAC |
選中該項,使用路由器LAN口出廠時的MAC地址 |
|
手工輸入MAC |
選中該項,輸入原網關的MAC地址 |
路由器LAN口的基本屬性包括端口的速率/雙工模式、廣播風暴抑製和流控功能。
路由器的LAN口支持以下幾種速率和雙工模式的組合。
表5-9 LAN口的速率和雙工模式
|
項目 |
描述 |
|
Auto |
LAN口的雙工和速率狀態均由本端口和對端端口自動協商而定
缺省情況下,LAN口采用Auto模式 |
|
10M半雙工 |
LAN口工作在10Mbps速率下,且端口同一時刻隻能發送數據包或接收數據包 |
|
10M全雙工 |
LAN口工作在10Mbps速率下,且端口在發送數據包的同時可以接收數據包 |
|
100M半雙工 |
LAN口工作在100Mbps速率下,且端口同一時刻隻能發送數據包或接收數據包 |
|
100M全雙工 |
LAN口工作在100Mbps速率下,且端口在發送數據包的同時可以接收數據包 |
|
1000M全雙工 |
LAN口工作在1000Mbps速率下,且端口在發送數據包的同時可以接收數據包 |
如果局域網內存在大量的廣播報文流量(可能由病毒導致)時,將會影響網絡的正常通信。您可以通過設置路由器LAN口的廣播風暴抑製功能,可以有效地抑製大量廣播報文的傳播,避免網絡擁塞,保證網絡業務的正常運行。
路由器允許您設置四種LAN口的廣播風暴抑製狀態級別:不抑製、低、中、高。這四個級別允許通過的報文流量依次減少,您可根據實際需求進行相應的設置。缺省情況下,LAN口的廣播風暴抑製功能處於關閉狀態(即不抑製)。
一般僅在網絡擁塞比較嚴重時,才開啟路由器LAN口的流控功能。
當路由器和對端設備都開啟了流量控製功能後,如果路由器發生擁塞:
(1) 路由器將向對端設備發送消息,通知對端設備暫時停止發送報文或減慢發送報文的速度。
(2) 對端設備在接收到該消息後,將暫停向路由器發送報文或減慢發送報文的速度,從而避免了報文丟失現象的發生,保證了網絡業務的正常運行。
缺省情況下,路由器LAN口的流控功能處於關閉狀態。
頁麵向導:接口管理→LAN設置→端口設置
本頁麵為您提供如下主要功能:
|
設置LAN口的基本屬性 |
|
· 除了Auto模式外,路由器LAN口的速率和雙工模式需要與對端設備保持一致。
· 設置完成後,您可以通過查看端口流量頁麵中的“鏈路狀態”來驗證端口模式設置是否已生效。
端口鏡像是將指定鏡像源端口的報文複製到鏡像目的端口,鏡像目的端口會與數據監測設備相連,用戶利用這些數據監測設備來分析複製到目的端口的報文,進行網絡監控和故障排除。
路由器提供本地端口鏡像功能,即鏡像源端口和鏡像目的端口在同一台設備上。
圖5-1 本地端口鏡像示意圖
頁麵向導:接口管理→LAN設置→端口鏡像
本頁麵為您提供如下主要功能:
|
通過設置鏡像源端口(被鏡像端口)和鏡像目的端口(鏡像端口)來實現路由器的本地端口鏡像 |
|
設置完成後,您可以通過查看端口流量頁麵中的“端口鏡像信息”來驗證設置是否已生效。
以太網是一種基於CSMA/CD的共享通訊介質的數據網絡通訊技術,當主機數目較多時會導致衝突嚴重、廣播泛濫、性能顯著下降甚至使網絡不可用等問題。在這種情況下出現了VLAN技術,這種技術可以把一個LAN劃分成多個邏輯的LAN——VLAN,每個VLAN是一個廣播域。VLAN內的主機間通信就和在一個LAN內一樣,而VLAN間則不能直接互通,這樣,廣播報文被限製在一個VLAN內,如圖5-2所示。
圖5-2 VLAN示意圖
與傳統以太網相比,VLAN具有如下的優點:
· 控製廣播域的範圍:局域網內的廣播報文被限製在一個VLAN內,節省了帶寬,提高了網絡處理能力。
· 增強了LAN的安全性:由於報文在數據鏈路層被VLAN劃分的廣播域所隔離,因此各個VLAN內的主機間不能直接通信,需要通過路由器或三層網絡設備對報文進行三層轉發。
· 靈活創建虛擬工作組:使用VLAN可以創建跨物理網絡範圍的虛擬工作組,當用戶的物理位置在虛擬工作組範圍內移動時,不需要更改網絡配置即可以正常訪問網絡。
不同VLAN間的主機不能直接通信,需要通過路由器或三層網絡設備進行轉發。
VLAN接口是一種三層模式下的虛擬接口,主要用於實現VLAN間的三層互通,它不作為物理實體存在於設備上。每個VLAN對應一個VLAN接口,該接口可以為本VLAN內端口收到的報文根據其目的IP地址在網絡層進行轉發。通常情況下,由於VLAN能夠隔離廣播域,因此每個VLAN也對應一個IP網段,VLAN接口將作為該網段的網關對需要跨網段轉發的報文進行基於IP地址的三層轉發。
目前,路由器支持基於端口的VLAN。
基於端口的VLAN是最簡單的一種VLAN劃分方法。您可以將設備上的端口劃分到不同的VLAN中,此後從某個端口接收的報文將隻能在相應的VLAN內進行傳輸,從而實現廣播域的隔離和虛擬工作組的劃分。
基於端口的VLAN具有實現簡單,易於管理的優點,適用於連接位置比較固定的用戶。
頁麵向導:接口管理→VLAN設置→VLAN設置
本頁麵為您提供如下主要功能:
|
顯示和修改已添加的VLAN接口(主頁麵) |
|
|
創建新的VLAN接口(單擊主頁麵上的<新增>按鈕,在彈出的對話框中輸入相應的VLAN接口信息,單擊<增加>按鈕完成操作) |
|
Trunk類型是以太網端口的鏈路類型之一。此類型的端口可以屬於多個VLAN,可以接收和發送多個VLAN的報文,一般用於連接交換機。
表5-10 Trunk端口收發報文的處理
|
接收報文時的處理 |
發送報文時的處理 |
|
|
當接收到的報文不帶Tag時 |
當接收到的報文帶有Tag時 |
|
|
· 當缺省VLAN ID(即PVID)在端口允許通過的VLAN ID列表裏時:接收該報文,且給報文添加缺省VLAN的Tag · 當缺省VLAN ID不在端口允許通過的VLAN ID列表裏時:丟棄該報文 |
· 當VLAN ID在端口允許通過的VLAN ID列表裏時:接收該報文 · 當VLAN ID不在端口允許通過的VLAN ID列表裏時:丟棄該報文 |
· 當VLAN ID與缺省VLAN ID相同,且是該端口允許通過的VLAN ID時:去掉Tag,發送該報文 · 當VLAN ID與缺省VLAN ID不同,且是該端口允許通過的VLAN ID時:保持原有Tag,發送該報文 |
頁麵向導:接口管理→VLAN設置→Trunk口設置
本頁麵為您提供如下主要功能:
|
設置指定端口的Trunk相關參數(PVID和端口允許通過的VLAN) |
|
DHCP采用“客戶端/服務器”通信模式,由客戶端向服務器提出配置申請,服務器返回為客戶端分配的IP地址等配置信息,以實現網絡資源的動態配置。
在DHCP的典型應用中,一般包含一台DHCP服務器和多台DHCP客戶端(比如:PC和便攜機),如圖5-3所示。
圖5-3 DHCP典型應用
路由器作為DHCP服務器,提供兩種IP地址分配策略:
· 手工分配地址:由管理員為特定客戶端靜態綁定IP地址。通過DHCP將配置的固定IP地址分配給客戶端。
· 動態分配地址:DHCP為客戶端分配具有一定有效期限的IP地址,當使用期限到期後,客戶端需要重新申請地址。
(1) 路由器接收到DHCP客戶端申請IP地址的請求時,首先查找手工設置的DHCP靜態表,如果這台DHCP客戶端的MAC地址在DHCP靜態表中,則把對應的IP地址分配給該DHCP客戶端。
(2) 如果申請IP地址的DHCP客戶端MAC地址不在DHCP靜態表中,或者DHCP客戶端申請的IP地址與LAN口的IP地址不在同一網段,路由器會從地址池中選擇一個在局域網中未被使用的IP地址分配給該主機。
(3) 如果地址池中沒有任何可分配的IP地址,則主機獲取不到IP地址。
如果主機離線(比如:主機關機了),路由器不會馬上把之前分給它的IP地址分配出去,隻有在地址池中沒有其他可分配的IP地址,且該離線主機IP地址的租約過期時,才會分配出去。
頁麵向導:接口管理→DHCP設置→DHCP設置
本頁麵為您提供如下主要功能:
|
顯示和修改已創建的DHCP服務器信息(主頁麵) |
|
|
創建新的DHCP服務器(單擊主頁麵中的<新增>按鈕,在彈出的對話框中選擇需要啟用DHCP服務器功能的VLAN接口,並設置DHCP服務相關參數,單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表5-11 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
VLAN接口 |
選擇啟用DHCP服務器功能的VLAN接口,且一個VLAN接口上隻能創建一個DHCP服務器 |
|
啟用DHCP服務器 |
缺省情況下,DHCP服務器功能處於開啟狀態 |
|
地址池起始地址 |
DHCP服務器地址池的起始地址 |
|
地址池結束地址 |
DHCP服務器地址池的結束地址,且地址池結束地址要大於起始地址 |
|
地址租約 |
設置DHCP服務器分配給客戶端IP地址的租借期限。當租借期滿後,DHCP服務器會收回該IP地址,客戶端必須重新申請(客戶端一般會自動申請) 缺省情況下,地址租約為1440分鍾 |
|
客戶端域名 |
設置DHCP服務器分配給客戶端使用的域名地址後綴 |
|
主DNS服務器 |
設置DHCP服務器分配IP地址時所攜帶的主DNS服務器地址 缺省情況下,DNS服務器地址為網關地址 |
|
輔DNS服務器 |
設置DHCP服務器分配IP地址時所攜帶的輔DNS服務器地址 缺省情況下,DNS服務器地址為網關地址 |
如果您想讓路由器給某些特定的客戶端分配固定的IP地址,可以事先通過DHCP靜態表將客戶端的MAC地址和IP地址進行綁定,使其成為一對一的分配關係。
當您設置路由器通過DHCP方式為客戶端分配IP地址的同時又設置了ARP綁定,此時,請確保DHCP靜態表項與ARP綁定表項不衝突,否則對應的客戶端可能無法上網。建議您可以將ARP綁定表導出,然後再將其導入到DHCP靜態表中。
頁麵向導:接口管理→DHCP設置→DHCP靜態表
本頁麵為您提供如下主要功能:
|
顯示和修改已添加的DHCP靜態表項(主頁麵) |
|
|
單個添加DHCP靜態表項(單擊主頁麵上的<新增>按鈕,在彈出的對話框中設置相應的參數,並單擊<增加>按鈕完成操作) |
|
|
批量添加DHCP靜態表項(您可以先在本地編輯一個.cfg文件,內容格式為“MAC地址 IP地址 描述”(比如:00:0A:EB:7F:AA:AB 192.168.1.2 zhangsan),且每條靜態表項之間需換行。單擊主頁麵上的<導入>按鈕,在彈出的對話框中選擇該文件將其導入即可) |
|
|
將路由器當前的DHCP靜態表項備份保存(.cfg文件),且您可用“記事本”程序打開該文件進行編輯(單擊主頁麵上的<導出>按鈕,確認後即可將其導出到本地) |
|
頁麵向導:接口管理→DHCP設置→DHCP客戶列表
本頁麵為您提供如下主要功能:
|
· 顯示已分配的DHCP客戶列表信息 · 釋放並回收指定客戶端的IP地址,使該IP地址可以重新被分配(選擇指定的客戶項,比如:已關機客戶PC,單擊<釋放>按鈕即可) |
|
· 無線服務簡介
· 無線管理
WLAN技術是當今通信領域的熱點之一,使用WLAN解決方案,網絡運營商和企業能夠為用戶提供方便的無線接入服務,主要包括:
· 應用具有無線局域網功能的設備建立無線網絡,通過該網絡,用戶可以訪問局域網或因特網;
· 使用不同認證和加密方式,提供安全的無線網絡接入服務;
· 在無線網絡內,用戶可以在網絡覆蓋區域內自由移動,徹底擺脫有線束縛。
無線AP基於WLAN技術,實現了802.11無線網絡標準中的無線接入功能。開啟本功能後,無線客戶端(帶有無線網卡的PC或智能移動終端等)可通過無線方式方便快捷地連接到無線局域網,實現高速率的數據通信,部署靈活,免去了有線連接的繁瑣。同時,無線AP支持多種加密功能,有效地保證了數據通信的安全性。
您可以通過本頁麵設置內部網絡基礎SSID,內網用戶可以管理設備,但是無法與訪客網絡客戶端通信。
頁麵向導:無線管理→基本設置→內部網絡
本頁麵為您提供如下主要功能:
|
· 開啟/關閉2.4G和5G無線網絡功能 · 設置2.4G和5G基礎SSID的信息(設置2.4G和5G射頻的內部網絡基礎SSID名稱,並選擇加密方式,單擊<應用>按鈕生效) |
|
頁麵中關鍵項的含義如下表所示。
表6-1 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
啟用無線網絡 |
啟用/禁用整個無線網絡功能,包括訪客網絡功能 默認啟用無線網絡功能 |
|
SSID名稱 |
配置2.4G和5G的基礎SSID名稱,2.4G的SSID-1名稱默認為H3C,5G的SSID-2名稱默認為H3C_5G |
|
加密方式 |
設置2.4G和5G的基本SSID的加密方式,可以設置為不加密或WPA-PSK/WPA2-PSK加密,默認為不加密 |
|
共享密鑰 |
如果選擇加密,則輸入此密鑰才能連接上SSID,長度範圍為8~63個字符 |
您可以通過本頁麵設置訪客網絡SSID,通過訪客網絡,您的客人可以訪問外網資源,但是無法管理設備,也無法與內網客戶端通信。
頁麵向導:無線管理→基本設置→訪客網絡
本頁麵為您提供如下主要功能:
|
· 開啟/關閉2.4G和5G無線訪客網絡功能 · 設置2.4G和5G訪客網絡SSID的信息(設置2.4G和5G射頻的訪客網絡SSID名稱,並選擇加密方式,單擊<應用>按鈕生效) |
|
頁麵中關鍵項的含義如下表所示。
表6-2 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
啟用SSID |
啟用/禁用訪客網絡功能 默認啟用該功能 |
|
SSID名稱 |
配置2.4G和5G的訪客網絡SSID名稱,2.4G的SSID的名稱默認為H3C_GUEST,5G的SSID的名稱默認為H3C_5G_GUEST |
|
加密方式 |
設置2.4G和5G訪客網絡的基本SSID的加密方式,可以設置為不加密或WPA-PSK/WPA2-PSK加密,默認為不加密 |
|
共享密鑰 |
如果選擇加密,則輸入此密鑰才能連接上SSID,長度範圍為8~63個字符 |
您可以通過本頁麵添加多個SSID並進行管理。
SSID設置時,需注意同射頻下的SSID名稱不能相同。
頁麵向導:無線管理→高級設置→多SSID設置
本頁麵為您提供如下主要功能:
|
· 設置2.4G SSID的基本信息(在主頁麵中雙擊待配置的SSID表項,進入[SSID配置]頁麵) · 設置SSID加密方式(可以設置為不加密或WPA-PSK/WPA2-PSK加密) |
|
頁麵中關鍵項的含義如下表所示。
表6-3 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
啟用SSID |
選擇是否啟用該SSID 缺省情況下,啟用該功能 |
|
SSID射頻 |
新增SSID時,可以選擇在2.4G或5G射頻上創建 |
|
SSID名稱 |
設置無線網絡使用的SSID名稱 不同的SSID用於區分不同的無線網絡 |
|
橋接VLAN |
SSID工作在橋接模式,設置該SSID(無線接口)與哪個VLAN橋接在一起,即將無線接口和VLAN放在同一個橋下 缺省情況下,SSID與VLAN1橋接在一起 |
|
客戶端隔離 |
選擇與某個SSID建立連接的無線客戶端之間是否可以互相通信 · 禁用:允許無線客戶端之間進行通信 · 啟用:禁止無線客戶端之間進行通信 缺省情況下,禁用客戶端隔離功能
啟用客戶端隔離後,無線客戶端與有線客戶端之間依然無法隔離 |
|
SSID廣播 |
選擇是否廣播SSID · 如果啟用本功能,當無線客戶端搜尋本地可以接入的無線網絡時,將檢測到廣播的SSID,從而可以建立連接 · 如果禁用該功能,則需要管理員向用戶知會其SSID名稱和密碼,用戶才可以根據SSID名稱接入無線網絡 缺省情況下,啟用SSID廣播 |
|
允許接入客戶端數 |
設置允許多少個無線客戶端接入該SSID,取值範圍為0~32 缺省情況下,允許接入的客戶端數為32個
如您配置了中文SSID,會同時支持UTF-8和GB2312兩種編碼格式,每種編碼格式的SSID都支持所設置的允許接入客戶端數 |
|
加密方式 |
選擇加密方式,不加密或WPA-PSK/WPA2-PSK加密。建議選擇WPA-PSK/WPA2-PSK加密,以提供更高的網絡安全性 缺省情況下,不加密
如您選擇加密方式為“不加密”時,則無需設置共享密鑰、加密協議與群組密鑰更新周期 |
|
共享密鑰 |
如果選擇加密,則輸入此密鑰才能連接上SSID,長度範圍為8~63個字符 |
|
加密協議(選擇Mixed WPA/WPA2-個人加密時) |
選擇加密協議 · TKIP:暫時密鑰完整性協議 · AES:先進加密標準 · TKIP+AES:使用多種加密方式 缺省情況下,加密協議為AES |
|
群組密鑰更新周期 |
設備會根據所設定的時間定期更新密鑰,單位為秒 缺省情況下,群組密鑰更新周期為3600 |
您可以通過本頁麵設置無線網絡的MAC地址接入控製功能。本頁麵配置僅對設備本身的無線網絡生效,不對設備的下接AP生效。
頁麵向導:無線管理→高級設置→接入控製
本頁麵為您提供如下主要功能:
|
開啟/關閉MAC地址接入控製功能(選中“啟用MAC地址接入控製功能”,並選擇相應的MAC接入無線網絡功能,單擊<應用>按鈕生效) |
|
|
添加MAC地址(單擊主頁麵上的<新增>按鈕,在彈出的對話框中選擇生效射頻並輸入MAC地址和描述信息,單擊<增加>按鈕生效) |
|
|
從接入客戶端列表導入MAC地址(單擊主頁麵上的<從接入客戶列表導入>按鈕,在彈出的對話框中選擇生效的射頻並選擇待導入的表項,單擊<導入到MAC地址過濾表>按鈕生效) |
|
頁麵中關鍵項的含義如下表所示。
表6-4 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
啟用MAC地址接入控製功能 |
選中該項啟用MAC地址過濾功能,否則允許所有客戶端計算機接入無線網絡 |
|
僅允許MAC地址列表中的MAC接入 |
選中該項表示僅允許MAC地址表中的客戶端計算機接入無線網絡 |
|
僅禁止MAC地址列表中的MAC接入 |
選中該項表示僅禁止MAC地址表中的客戶端計算機接入無線網絡 |
|
生效射頻 |
用於控製MAC表項中的地址在哪個射頻上生效,可以選擇在2.4G射頻上或5G射頻上生效,也可以選擇在兩個射頻上同時生效 缺省情況下,在兩個射頻上同時生效 |
|
MAC地址 |
客戶端計算機的MAC地址,輸入格式例如:00:19:10:28:00:80(或00-19-10-28-00-80、或0019-1028-0080),且不區分大小寫 |
|
描述 |
MAC地址的說明信息 |
頁麵向導:無線管理→高級設置→高級參數設置
本頁麵為您提供如下主要功能:
|
無線網絡高級設置 · 設置2.4G和5G無線網絡的高級屬性(比如:無線網絡模式、無線網絡信道頻寬、無線信道、發射功率、二層漫遊、信號切換閾值、禁止弱信號客戶端接入、禁止接入信號強度、廣播探測等) · 單擊標題欄切換2.4G和5G配置列表,單擊<應用>按鈕生效 |
|
頁麵中關鍵項的含義如下表所示。
表6-5 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
無線網絡模式 |
· 選擇2.4G無線網絡工作模式: ¡ b-only模式:設備工作在802.11b模式下 ¡ g-only模式:設備工作在802.11g模式下 ¡ b+g模式:設備工作在802.11b/g的混合模式下 ¡ n-only模式:設備工作在802.11n模式下 ¡ b+g+n模式:設備工作在802.11b/g/n的混合模式下 · 選擇5G無線網絡工作模式: ¡ a+n模式:設備工作在802.11a/n的混合模式下 ¡ a+n+ac模式:設備工作在802.11a/n/ac的混合模式下 缺省情況下,2.4G無線網絡模式為b+g+n模式,5G無線網絡模式為a+n+ac模式 |
|
無線網絡頻寬 |
· 選擇2.4G無線網絡的工作頻寬: ¡ 當無線模式選擇“b+g+n”或“n-only”時,可選20MHz、20/40MHz或40MHz ¡ 其餘工作模式下均為20MHz · 選擇5G無線網絡的工作頻寬: ¡ 當無線模式選擇“a+n”時,可選20MHz、20/40MHz或40MHz ¡ 當無線模式選擇“a+n+ac”時,可選20MHz、20/40MHz、40MHz或80MHz 缺省情況下,2.4G和5G的網絡頻寬均為20MHz |
|
無線信道 |
選擇無線網絡的工作信道(頻道) 為了提升網絡性能,請盡量選擇設備工作環境中未被使用的信道 缺省情況下,無線信道為AUTO
在AUTO模式下,設備會自動選擇一個合適的無線信道 |
|
發射功率 |
調節無線發射功率,值越大,覆蓋範圍越大,信號越好 缺省情況下,發射功率為100% |
|
二層漫遊 |
啟用/禁用二層漫遊功能,啟用二層漫遊功能可以讓無線客戶端切換到較強信號的AP上 缺省情況下,二層漫遊功能禁用 |
|
信號切換閾值 |
若啟用二層漫遊功能,則需設置信號切換閾值,主要用於無線客戶端在不同的AP之間切換。當客戶端的信號強度低於此閾值時,客戶端會被踢下線,去嚐試連接信號強的AP 缺省情況下,信號切換閾值為-75dBm |
|
禁止弱信號客戶端接入 |
啟用/禁用禁止弱信號客戶端接入功能,啟用禁止弱信號客戶端接入功能可以讓弱信號的無線客戶端無法接入到AP上 缺省情況下,禁止弱信號客戶端接入功能禁用 |
|
禁止接入信號強度 |
若啟用禁止弱信號客戶端接入功能,則需設置禁止接入信號強度值。當無線客戶端的信號強度低於此值時,客戶端將無法連接上AP 缺省情況下,禁止接入信號強度為-80dBm |
|
廣播探測 |
啟用/禁用廣播探測功能,啟用廣播探測功能,AP會響應客戶端的探測 缺省情況下,廣播探測功能為啟用 |
通過AP管理設置開啟管理AP功能,如果啟用管理AP功能,需要設置管理VLAN。
如需設置AP管理相關功能(如在線AP管理、配置管理等),請先啟用AP管理功能,否則AP管理相關功能處於關閉狀態。
頁麵向導:無線管理→AP管理→AP管理設置
|
啟用AP管理功能,選擇AP管理使用VLAN,單擊<應用>按鈕,完成設置 |
|
設備的無線配置會作為默認模板下發給AP。如AP需要更多不同的配置,您可以通過配置本頁麵,添加不同的AP配置模板。當有AP上線時,可以綁定某一個AP配置模板。
頁麵向導:無線管理→AP管理→AP模板管理
|
在AP配置模板列表中查看、新增或刪除模板 · 單擊<新增>按鈕,可以添加新的AP配置模板 · 選擇要刪除的配置模板,單擊<刪除>按鈕,再單擊<確定>按鈕便可刪除該配置模板 |
|
|
添加新的AP配置模板 · 單擊<新增>按鈕,彈出AP配置模板頁麵 · 設置模板名稱和模板描述 · 設置無線網絡模式、頻寬、無線信道、發射功率等無線參數 · 單擊<新增>按鈕,在彈出的頁麵中設置無線網絡SSID · 單擊<添加>按鈕,完成AP配置模板設置 |
|
|
· 設置SSID名稱和加密方式,如果SSID輸入了中文,會彈出中文編碼格式供選擇,且可以點擊了解編碼詳情 · 勾選“高級設置”後,可設置客戶端隔離、SSID廣播、客戶端數量、橋接VLAN等參數 · 單擊<增加>按鈕,完成SSID設置 |
|
· 因為802.11n不支持TKIP加密協議,所以當無線網絡模式設置為“n-only”模式時,無法選用TKIP。此外,當無線網絡模式設置為“b+g+n”時,推薦您把加密設置為AES,而不是TKIP,否則無線AP將不能提供802.11n的高速率數據傳輸服務。
· 當您發現無線網絡運行不穩定時,請嚐試換用其他的無線信道。
頁麵中關鍵項的含義如下表所示。
表6-6 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
模板名稱 |
配置模板的名稱 |
|
模板描述 |
配置模板的描述信息 |
|
無線網絡模式 |
· 選擇2.4G無線網絡工作模式: ¡ b-only模式:設備工作在802.11b模式下 ¡ g-only模式:設備工作在802.11g模式下 ¡ b+g模式:設備工作在802.11b/g的混合模式下 ¡ n-only模式:設備工作在802.11n模式下 ¡ b+g+n模式:設備工作在802.11b/g/n的混合模式下 · 選擇5G無線網絡工作模式: ¡ a+n模式:設備工作在802.11a/n的混合模式下 ¡ a+n+ac模式:設備工作在802.11a/n/ac的混合模式下 缺省情況下,2.4G無線網絡模式為b+g+n模式,5G無線網絡模式為a+n+ac模式 |
|
無線網絡頻寬 |
· 選擇2.4G無線網絡的工作頻寬: ¡ 當無線模式選擇“b+g+n”或“n-only”時,可選20MHz、20/40MHz或40MHz ¡ 其餘工作模式下均為20MHz · 選擇5G無線網絡的工作頻寬: ¡ 當無線模式選擇“a+n”時,可選20MHz、20/40MHz或40MHz ¡ 當無線模式選擇“a+n+ac”時,可選20MHz、20/40MHz、40MHz或80MHz 缺省情況下,2.4G和5G的網絡頻寬均為20MHz |
|
無線信道 |
選擇無線網絡的工作信道(頻道) 為了提升網絡性能,請盡量選擇設備工作環境中未被使用的信道。AP的2.4G所有SSID共用同一個信道,5G所有SSID共用同一個信道 缺省情況下,無線信道為AUTO
在AUTO模式下,AP會自動選擇一個合適的無線信道 |
|
發射功率 |
調節無線發射功率,值越大,覆蓋範圍越大,信號越好 |
|
SSID名稱 |
設置無線網絡使用的SSID名稱 不同的SSID用於區分不同的無線網絡 |
|
中文編碼選擇 |
配置SSID名稱時,若輸入中文,需要選擇相應的編碼格式GB2312或UTF-8 不同的客戶端對中文編碼格式支持情況不同,部分客戶端僅支持GB2312或UTF-8其中一種編碼格式,具體信息可通過點擊了解編碼詳情獲取 缺省情況下,輸入中文後,編碼格式為UTF-8 |
|
加密方式 |
選擇加密方式 建議使用WPA-PSK/WPA2-PSK加密方式,以提供更高的網絡安全性 缺省情況下,不加密 |
|
共享密鑰 |
WPA共享密鑰,輸入一個8~63字符的字符串 |
|
加密協議 |
選擇加密協議 · TKIP:暫時密鑰完整性協議 · AES:先進加密標準 · TKIP+AES:自動協商使用TKIP或AES 缺省情況下,加密協議為AES |
|
群組密鑰更新周期 |
設備會根據時間定期更新密鑰,單位為秒 缺省情況下,群組密鑰更新周期為3600 |
|
客戶端隔離 |
選擇與某個SSID建立連接的無線客戶端之間是否可以互相通信 · 禁用:允許無線客戶端之間進行通信 · 啟用:禁止無線客戶端之間進行通信 缺省情況下,禁用客戶端隔離功能
啟用客戶端隔離後,無線客戶端與有線客戶端之間依然無法隔離 |
|
SSID廣播 |
選擇是否廣播SSID · 啟用本功能,當無線客戶端搜尋本地可以接入的無線網絡時,將檢測到廣播的SSID,從而可以建立連接 · 禁用該功能,則需要管理員向用戶知會其SSID名稱和密碼,用戶才可以根據SSID名稱接入無線網絡 缺省情況下,啟用SSID廣播 |
|
SSID最大能夠接入的無線客戶端數量,默認值為AP的客戶端默認數量值 若無線管理器上配置的值大於AP允許接入的客戶端最大值,則以AP允許接入的客戶端最大值為準 |
|
|
橋接VLAN |
設置AP橋接VLAN的值,取值範圍為1~4094,默認為VLAN 1 |
因第三方公有雲平台底層架構變更,導致H3C商業營銷平台暫時無法向用戶提供服務(需進行升級維護),因此現階段ERG2係列產品雲平台相關功能暫不可用。
AP版本信息顯示管理器上是否上傳了或從雲平台上下載了AP的最新版本。如果上傳了或下載了,則會顯示當前的版本信息,並且可以通過<刪除>按鈕,刪除該版本。
您可以通過遠程管理功能,將最新的AP版本從雲平台上下載至管理器。也可通過本地管理功能,將最新的AP版本上傳至管理器。
遠程管理或本地管理的AP版本均保存在設備內存中,在設備重啟後,該版本會丟失。
頁麵向導:無線管理→AP管理→AP版本管理
|
· AP版本信息,單擊<刪除>按鈕便可刪除相應的AP版本 · 遠程管理,單擊<檢查更新>按鈕,可以檢查在線AP是否有最新版本,若有便可將版本下載至管理器 · 本地管理,單擊<瀏覽…>按鈕,在彈出的對話框中選擇需要上傳的AP版本文件,單擊<上傳>按鈕便可上傳該軟件版本) · 關於當前最新AP版本,可谘詢H3C技術支持人員 |
|
頁麵中關鍵項的含義如下表所示。
表6-7 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
AP版本信息 |
管理器上保存的AP版本 |
|
遠程管理 |
通過雲平台將AP軟件版本下載到管理器 |
|
本地管理 |
將本地的AP軟件版本上傳到管理器 |
· AP升級設置:當AP上運行的版本高於管理器上保存的AP版本時,通過強製AP與管理器上的AP版本一致功能,可以將AP的版本強製升級為管理器上的AP版本。
· AP密碼設置:用於集中管理AP的登錄密碼。當啟用AP密碼設置功能後,可以選擇AP與管理器密碼一致,也可以手動設置AP密碼。
· AP管理地址設置:用於為AP分配管理地址。
頁麵向導:無線管理→AP管理→AP高級管理
|
· AP升級設置(啟用強製AP與管理器上的AP版本一致,單擊<應用>按鈕生效) · AP密碼設置(啟用AP密碼設置功能,選擇AP與無線管理器密碼一致或選擇手動設置AP密碼,並輸入新密碼,單擊<應用>按鈕生效) · AP管理地址設置 ¡ 設置管理器管理AP的私有管理地址,可以通過該地址登錄管理器管理頁麵,進行管理操作。注意該地址不能與現網路由器地址衝突 ¡ 設置AP注冊成功後分配的IP地址池起始地址。注意AP注冊成功後不能使用默認地址訪問,必須使用管理器分配的IP地址訪問 |
|
頁麵中關鍵項的含義如下表所示。
表6-8 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
強製AP與管理器上的AP版本一致 |
將AP上運行的版本強製升級成與管理器上的AP版本一致 |
|
啟用AP密碼設置功能 |
開啟AP密碼管理功能 |
|
AP與無線管理器密碼一致 |
選擇AP的密碼與無線管理器的密碼一致 |
|
手動設置AP密碼 |
手動設置AP的密碼 |
|
AP管理地址 |
設置AP管理地址 |
|
AP管理子網掩碼 |
設置AP管理地址對應的子網掩碼 |
|
地址池起始地址 |
設置地址池的起始地址,必須與AP管理地址設置在同一子網內 |
|
地址池結束地址 |
設置地址池的結束地址,必須與AP管理地址設置在同一子網內。地址池結束地址不能小於地址池起始地址 |
在線AP列表包括AP統計信息和在線AP列表。通過AP統計信息,可以知道管理器最大支持AP數量,以及當前已接入的AP數量。在線AP列表中,你可以查看所有在線或離線的AP信息,包括IP地址、MAC地址、狀態、配置模板、信道等。其中紅色條目指表項異常,如:檢測到AP的狀態顯示為版本升級異常、配置同步異常或離線。
頁麵向導:無線管理→在線列表→在線AP列表
|
· 如果AP的版本低於當前管理器上的AP版本,或AP顯示版本升級異常,通過<版本升級>按鈕,可以給一個或多個在線AP手動升級到最新的版本 · 如果AP顯示配置同步異常,通過<配置同步>按鈕,可以給一個或多個在線AP手動進行配置同步 · 通過<刪除離線記錄>按鈕,可以刪除一個或多個離線AP的配置信息記錄 |
|
|
· 查看在線AP的詳細接入信息(單擊主頁麵列表中的<詳細>按鈕,單擊<關閉>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表6-9 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
AP型號 |
顯示當前接入的AP型號 |
|
IP地址 |
顯示管理AP的私有IP地址 |
|
條碼SN |
顯示在線AP的條碼SN |
|
AP版本號 |
顯示在線AP的版本號 |
|
MAC |
顯示在線AP的MAC地址 |
|
狀態 |
顯示當前AP注冊運行過程中的各種操作狀態,包括正常、初始化、版本升級、版本升級異常、配置同步、配置同步異常和離線 |
|
配置模板 |
顯示在線AP使用的模板信息 |
|
信道 |
顯示AP的2.4G的工作信道 |
|
5G信道 |
顯示AP的5G的工作信道 |
|
AP客戶端數量 |
顯示接入當前AP的客戶端數量,點擊可查看該AP的無線客戶端接入信息 |
|
AP端口狀態 |
顯示AP的端口速率和雙工模式 |
|
備注 |
用戶對AP的自定義管理信息 |
|
詳細 |
點擊詳細,用戶可以查看到該在線AP的詳細接入信息 |
通過客戶端列表查看所有通過無線網絡接入的客戶端信息。包括客戶端MAC地址、連接SSID、接入信息、VLAN、信號強度、發送/接收速率、連接時間等。
頁麵向導:無線管理→在線列表→客戶端列表
|
· 查看無線客戶端的接入信息 · 選擇需要釋放的無線客戶端,單擊<釋放>按鈕,在彈出的頁麵中單擊<確定>,完成釋放操作 |
|
|
· 查看無線客戶端的詳細接入信息(單擊主頁麵列表中的<詳細>按鈕,單擊<關閉>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表6-10 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
客戶端MAC地址 |
連接到AP的無線客戶端的MAC地址 |
|
連接SSID |
無線客戶端連接到AP的SSID名稱 |
|
接入信息 |
無線客戶端連接的AP信息或無線管理器的SSID信息 |
|
VLAN |
無線客戶端連接的SSID橋接的VLAN,表示客戶端在這個VLAN內通信 |
|
信號強度 |
表示AP跟客戶端之間的無線信號質量 |
|
信道 |
AP無線網絡的工作信道 |
|
頻寬 |
無線客戶端跟AP之間協商的工作頻寬 |
|
發送速率 |
無線AP的實時發送速率 |
|
接收速率 |
無線客戶端的實時發送速率 |
|
連接時間 |
無線客戶端連接到AP的總時長 |
|
備注 |
無線客戶端連接的AP的備注信息 |
|
詳細 |
點擊詳細,用戶可以查看到該無線客戶端的詳細接入信息 |
本章節主要包含以下內容:
· 簡介
· 設置上網管理
伴隨互聯網的應用越來越廣泛,傳統的WEB服務承載了越來越多的業務,各種各樣的信息通過WEB方式提供給用戶。WEB使用者通過網絡獲取了大量的信息,同樣不法之徒也通過網絡將非法信息和內容進行傳播,基於上網行為的管理技術越來越成為各個企業管理者關注的部分。通過對上網行為的管理,對訪問行為進行過濾,使得企業內部的信息得到保護,更使得企業管理者時刻掌握著WEB服務的安全性和合法性,因此上網行為管理成為了各類網絡產品中必不可少的功能之一。
上網管理主要實現如下功能:
· 支持用戶組管理,包括列表顯示、新增、編輯和刪除。
· 支持時間段管理,包括列表顯示、新增、編輯和刪除。
支持行為策略管理,包括列表顯示、新增、編輯和刪除:
· 支持適用用戶組的設置,可設置零個或多個用戶組。
· 支持適用時間段的設置,可設置零個或多個時間段。
· 支持應用軟件的設置,可設置某些金融軟件(同花順、廣發至強與國元證券、大智慧與分析家、光大證券)的禁用。
· 支持IM軟件的設置,可設置QQ的禁用。
· 在啟用IM軟件且禁用QQ上線的情況下,行為策略管理支持QQ特權號碼的設置。
· 支持網站過濾的設置。
· 支持文件類型過濾的設置。
· 支持列表顯示行為控製的狀態信息。
· 支持通過查詢一個IP地址或者用戶組,把該IP地址所屬的用戶組或者用戶組配置的所有行為控製策略通過列表顯示出來。
· 支持以用戶組為單位顯示行為控製狀態的詳細信息,包括應用控製、IM軟件、網站過濾和文件類型過濾狀態的詳細信息。
用戶組管理設置頁麵,可以設置用戶組名,一條或者多條IP/MAC地址以及描述信息。
頁麵向導:上網管理→組管理→用戶組管理
|
顯示和修改已創建的用戶組信息(主頁麵) |
|
|
創建新的一條用戶組(單擊主頁麵中的<新增>按鈕,在彈出的對話框中添加用戶組名、IP/MAC地址、描述信息,單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表7-1 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
用戶組名 |
設置用戶組的名字。該名字可以提示用戶該用戶組中的用戶特征 |
|
地址類型 |
選擇區分該用戶所使用的地址類型,可以選擇“IP地址”或者“MAC地址” |
|
IP地址段 |
輸入用於標識該用戶的IP地址,僅當地址類型選擇為“IP地址”類型時,才會顯示此配置項 |
|
MAC地址 |
輸入用於標識該用戶的MAC地址,僅當地址類型選擇為“MAC地址”類型時,才會顯示此配置項 |
|
描述 |
設置用戶組的描述信息 |
時間段管理設置頁麵,可以設置時間段名、生效時間以及描述信息。
頁麵向導:上網管理→組管理→時間段管理
|
顯示和修改已創建的時間段信息(主頁麵) |
|
|
創建新的一條時間段(單擊主頁麵中的<新增>按鈕,在彈出的對話框中添加時間段名、生效時間、描述信息,單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表7-2 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
時間段名 |
設置時間段的名字。該名字可以提示用戶該時間段中的時間段特征 |
|
生效時間 |
設置該時間段的生效時間段範圍;生效時間包括兩部分內容:在一天中生效的時間段,時間使用24小時製,起始時間應早於結束時間,00:00~24:00表示該規則在一天內任何時間都生效;一周中哪些天規則生效 |
|
描述 |
設置該時間段的描述信息 |
策略管理頁麵,對內網計算機訪問外網資源的行為進行統一管理,可以設置包括策略使能、表項序號、策略名稱、策略描述、適用用戶組、適用時間段、應用軟件、IM軟件、QQ特權號碼、網站和文件過濾。
頁麵向導:上網管理→策略管理→行為策略管理
|
顯示和修改已創建的行為策略管理信息(主頁麵) |
|
|
創建新的一條行為管理策略規則(單擊主頁麵中的<新增>按鈕,在彈出的對話框中勾選“啟用該策略”,並設置行為管理策略的相關參數,單擊<完成策略配置>按鈕完成操作) |
|
設置該條行為策略的適用用戶組,可以設置零條或者多條(零條默認為所有用戶組)。
頁麵向導:上網管理→策略管理→行為策略管理→適用用戶組
|
在彈出的對話框頁麵中點擊“適用用戶組”,在所有用戶組中雙擊想要添加的用戶組,或者單擊想要添加的用戶組,再點擊 |
|
設置該條行為策略的適用時間段,可以設置零條或者多條(零條默認為所有時間段)。
頁麵向導:上網管理→策略管理→行為策略管理→適用時間段
|
在彈出的對話框頁麵中點擊“適用時間段”或者單擊<下一步>按鈕,在所有時間段中雙擊想要添加的時間段,或者單擊想要添加的時間段,再點擊 |
|
設置該條行為策略是否禁用某種應用軟件,包括同花順、廣發至強與國元證券、大智慧與分析家、光大證券。
頁麵向導:上網管理→策略管理→行為策略管理→應用軟件
|
在彈出的對話框頁麵中點擊“應用軟件”或者單擊<下一步>按鈕,勾選“啟用應用軟件控製功能”複選框,並設置相應參數 |
|
設置該條行為策略是否禁用IM軟件(QQ)。並且可以設置RTX服務器地址。
頁麵向導:上網管理→策略管理→行為策略管理→IM軟件
|
在彈出的對話框頁麵中點擊“IM軟件”或者單擊<下一步>按鈕,勾選“啟用IM軟件控製功能”,並設置相應參數 |
|
如果該條行為策略開啟禁止QQ上線功能,可以設置是否啟用QQ特權號碼,可以新增、編輯、刪除特權QQ號碼。
頁麵向導:上網管理→策略管理→行為策略管理→QQ特權號碼
|
· 在彈出的對話框頁麵中點擊“QQ特權號碼”或者單擊<下一步>按鈕 · 如果在IM軟件中勾選“禁止QQ上線功能”,在該頁麵中勾選“啟用特權QQ號碼”,並設置相應參數 |
|
設置該條行為策略是否啟用網站過濾功能、網站過濾模式和新增、編輯或者刪除網站過濾列表。
頁麵向導:上網管理→策略管理→行為策略管理→網站過濾
|
在彈出的對話框頁麵中點擊“網站過濾”或者單擊<下一步>按鈕,勾選“啟用網站過濾功能”,並設置相應參數 |
|
設置該條行為策略是否啟用文件過濾功能和新增、編輯或者刪除文件過濾列表。
頁麵向導:上網管理→策略管理→行為策略管理→文件類型過濾
|
在彈出的對話框頁麵中點擊“文件類型過濾”或者單擊<下一步>按鈕,勾選“啟用文件類型過濾功能”,並設置相應參數 |
|
頁麵中關鍵項的含義如下表所示。
表7-3 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
適用用戶組 |
配置適用該行為策略的用戶組,可以配置零條或多條,當配置零條時,則默認為所有用戶生效 |
|
適用時間段 |
配置適用該行為策略的時間段,可以配置零條或多條,當配置零條時,則默認為所有時間生效 |
|
啟用應用軟件控製功能 |
選中該項,可以限製內網計算機使用應用軟件功能。缺省情況下,不啟用該功能 |
|
禁止同花順 |
選中該項,啟用禁止同花順股票軟件的功能,內網的計算機將不能使用同花順股票軟件 |
|
禁止廣發至強與國元證券 |
選中該項,啟用禁止廣發至強版和國元證券軟件的功能,內網的計算機將不能使用廣發至強版和國元證券軟件 |
|
禁止大智慧與分析家 |
選中該項,啟用禁止大智慧股票軟件和分析家的功能,內網的計算機將不能使用大智慧和分析家 |
|
禁止光大證券 |
選中該項,啟用禁止光大證券軟件的功能,內網的計算機將不能使用光大證券軟件 |
|
啟用IM軟件控製功能 |
選中該項,可以限製內網計算機使用IM軟件功能。缺省情況下,不啟用該功能 |
|
禁止QQ上線 |
選中該項,啟用禁止應用QQ的功能,內網的計算機將不能登錄QQ服務器。缺省情況下,不啟用該功能 |
|
RTX服務器IP地址 |
騰訊通RTX(Real Time eXchange)是騰訊公司推出的企業級即時通信平台。RTX與QQ屬於類似業務,如需禁止QQ上線但仍需使用RTX,請配置允許訪問的RTX服務器IP地址 |
|
啟用QQ特權號碼 |
選中該項,啟用特權QQ號碼功能,在“特權號碼”列表中的QQ號碼被允許使用QQ。缺省情況下,不啟用該功能 |
|
QQ特權號碼 |
添加到“特權號碼”列表的QQ號碼被稱為“特權號碼”。特權號碼用戶允許使用QQ,非特權號碼用戶不允許使用QQ |
|
啟用網站過濾功能 |
選中該項,可以通過網站地址對局域網內計算機進行上網控製。缺省情況下,不啟用該功能 |
|
僅允許訪問列表中的網站地址 |
選中該項,僅允許訪問列表中的網站地址。如果您想讓局域網內的計算機僅能訪問固定的某些網站,可以選中此功能,然後添加相應的網站地址 |
|
僅禁止訪問列表中的網站地址 |
選中該項,僅禁止訪問列表中的網站地址。如果您想讓局域網內的計算機不能訪問某些網站(比如:黑客、色情、反動等網站),可以選中此功能,然後添加相應的網站地址 |
|
匹配方式 |
網站地址的匹配方式,可分為精確匹配和模糊匹配 |
|
網站地址 |
需要控製的站點域名或IP地址 |
|
導入文件的格式 |
導入文件必須是.cfg文件。您可以先在本地編輯一個.cfg文件,內容格式為“匹配方式 網站地址 描述”(比如:0(1) www.abc.com desc)
每條表項必須單獨為一行,並且行尾不能存在空格 |
|
啟用文件類型功能 |
選中該項,可以限製內網的計算機下載的文件類型。缺省情況下,不啟用該功能 |
|
文件後綴 |
添加文件類型過濾的後綴名,用於限製該類型文件的下載 |
行為控製信息頁麵,可以查看以用戶組為單位配置的行為管理策略信息。
頁麵向導:上網管理→策略查看→行為策略狀態
|
顯示以組為單位創建的行為策略管理信息(主頁麵) |
|
|
查看某個用戶組的行為管理策略信息(單擊主頁麵列表中的<詳細>按鈕,單擊<關閉>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表7-4 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
用戶組 |
查看行為策略使用的各個適用用戶組組名 |
|
應用控製 |
查看該條用戶組應用控製是否開啟 |
|
IM軟件 |
查看該條用戶組IM軟件是否開啟 |
|
網站過濾 |
查看該條用戶組網站過濾是否開啟 |
|
文件類型過濾 |
查看該條用戶組文件類型過濾是否開啟 |
|
詳細 |
點擊詳細,用戶可以查看到該條用戶組相關的行為管理策略信息 |
因第三方公有雲平台底層架構變更,導致H3C商業營銷平台暫時無法向用戶提供服務(需進行升級維護),因此現階段ERG2係列產品雲平台相關功能暫不可用。
本章節主要包含以下內容:
· 雲WiFi簡介
· 設置雲WiFi
雲WiFi主要麵向企業和公眾用戶,通過手機號可以注冊一個商戶賬號,該賬號可對分散在不同位置的路由器進行統一管理,實現遠程監控、遠程管理、業務推送、用戶管理等功能,適用於無線網絡的業務部署。
接入Internet網絡後,單擊設備Web管理頁麵的<注冊>按鈕進行注冊。完成賬戶注冊和設備注冊激活後,可通過雲管理平台(gate.h3c.com)對用戶進行訪問控製以及業務推送。
雲WiFi不支持靜態ARP,請勿執行ARP綁定操作。
頁麵向導:雲WiFi→雲WiFi設置→雲WiFi
本頁麵為您提供如下主要功能:
|
啟用雲WiFi功能(選中“啟用雲WiFi功能”複選框,單擊<應用>按鈕生效) |
|
頁麵向導:雲WiFi→雲WiFi設置→雲WiFi
本頁麵為您提供如下主要功能:
|
顯示設備的連接狀態和注冊狀態 |
|
頁麵中關鍵項的含義如下表所示。
表8-1 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
連接狀態 |
顯示服務器連接狀態 · 已連接:設備與服務器連接成功 · 未連接:設備未與服務器建立連接或者與服務器連接失敗 |
|
注冊狀態 |
顯示設備注冊狀態 · 已注冊:設備在雲管理平台注冊成功 · 未注冊:設備未在雲管理平台注冊或者注冊失敗 |
頁麵向導:雲WiFi→雲WiFi設置→雲WiFi
本頁麵為您提供如下主要功能:
|
1. 注冊WiFi管理平台 單擊<注冊>按鈕,彈出雲平台注冊頁麵 |
|
|
· 新用戶請點擊“注冊新賬戶”,進行賬戶注冊 · 已有賬戶的用戶可以直接輸入用戶名(即注冊時使用的手機號)、密碼,單擊<注冊激活>按鈕完成設備注冊 |
|
|
3. 注冊新賬戶 · 填寫手機號、密碼並確認密碼後,單擊<發送驗證碼>按鈕,獲取手機驗證碼後進行填寫,並單擊<下一步>按鈕 · 填寫姓名、郵箱、商戶名、商戶描述等信息。勾選“我同意服務條款和隱私政策”複選框。單擊<注冊>按鈕,完成新賬戶注冊,並跳轉至2新設備注冊 |
|
|
4. 注冊成功 注冊完成後點擊“H3C雲平台網站”,跳轉至雲平台頁麵並自動登錄注冊賬戶 |
· 注冊新賬戶時隻能通過用戶輸入的手機號進行注冊,且該手機號作為賬戶的用戶名使用。
· 一個賬戶可以注冊激活多台設備。
接口啟用認證後,通過該接口接入的客戶端需要通過雲WiFi認證才能上網。
頁麵向導:雲WiFi→雲WiFi設置→雲WiFi
本頁麵為您提供如下主要功能:
|
啟用認證的接口(選擇需要啟用認證的接口,單擊<綁定>按鈕,完成設置) |
|
本章節主要包含以下內容:
· 設置ARP安全
· 設置接入控製
· 設置防火牆
· 設置防攻擊
ARP是將IP地址解析為以太網MAC地址(或稱物理地址)的協議。
在局域網中,當主機或其他網絡設備有數據要發送給另一個主機或設備時,它必須知道對方的網絡層地址(即IP地址)。但是僅僅有IP地址是不夠的,因為IP數據報文必須封裝成幀才能通過物理網絡發送。因此發送方還必須有接收方的物理地址,需要一個從IP地址到物理地址的映射。ARP就是實現這個功能的協議。
圖9-1 ARP報文結構
· 硬件類型:表示硬件地址的類型。它的值為1表示以太網地址。
· 協議類型:表示要映射的協議地址類型。它的值為0x0800即表示IP地址。
· 硬件地址長度和協議地址長度分別指出硬件地址和協議地址的長度,以字節為單位。對於以太網上IP地址的ARP請求或應答來說,它們的值分別為6和4。
· 操作類型(OP):1表示ARP請求,2表示ARP應答。
· 發送端MAC地址:發送方設備的硬件地址。
· 發送端IP地址:發送方設備的IP地址。
· 目標MAC地址:接收方設備的硬件地址。
· 目標IP地址:接收方設備的IP地址。
假設主機A和B在同一個網段,主機A要向主機B發送信息。如圖9-2所示,具體的地址解析過程如下:
(1) 主機A首先查看自己的ARP表,確定其中是否包含有主機B對應的ARP表項。如果找到了對應的MAC地址,則主機A直接利用ARP表中的MAC地址,對IP數據包進行幀封裝,並將數據包發送給主機B。
(2) 如果主機A在ARP表中找不到對應的MAC地址,則將緩存該數據報文,然後以廣播方式發送一個ARP請求報文。ARP請求報文中的發送端IP地址和發送端MAC地址為主機A的IP地址和MAC地址,目標IP地址和目標MAC地址為主機B的IP地址和全0的MAC地址。由於ARP請求報文以廣播方式發送,該網段上的所有主機都可以接收到該請求,但隻有被請求的主機(即主機B)會對該請求進行處理。
(3) 主機B比較自己的IP地址和ARP請求報文中的目標IP地址,當兩者相同時進行如下處理:將ARP請求報文中的發送端(即主機A)的IP地址和MAC地址存入自己的ARP表中。之後以單播方式發送ARP響應報文給主機A,其中包含了自己的MAC地址。
(4) 主機A收到ARP響應報文後,將主機B的MAC地址加入到自己的ARP表中以用於後續報文的轉發,同時將IP數據包進行封裝後發送出去。
圖9-2 ARP地址解析過程
當主機A和主機B不在同一網段時,主機A就會先向網關發出ARP請求,ARP請求報文中的目標IP地址為網關的IP地址。當主機A從收到的響應報文中獲得網關的MAC地址後,將報文封裝並發給網關。如果網關沒有主機B的ARP表項,網關會廣播ARP請求,目標IP地址為主機B的IP地址,當網關從收到的響應報文中獲得主機B的MAC地址後,就可以將報文發給主機B;如果網關已經有主機B的ARP表項,網關直接把報文發給主機B。
設備通過ARP解析到目的MAC地址後,將會在自己的ARP表中增加IP地址到MAC地址的映射表項,以用於後續到同一目的地報文的轉發。
ARP表項分為動態ARP表項和靜態ARP表項。
· 動態ARP表項
動態ARP表項由ARP協議通過ARP報文自動生成和維護,會被新的ARP報文所更新。
· 靜態ARP表項
靜態ARP表項需要通過手工配置和維護,不會被動態的ARP表項所覆蓋。
配置靜態ARP表項可以增加通信的安全性。它可以限製和指定IP地址的設備通信時隻使用指定的MAC地址,此時攻擊報文無法修改此表項的IP地址和MAC地址的映射關係,從而保護了本設備和指定設備間的正常通信。
通過設置ARP綁定,可以有效地防止路由器的ARP表項受到攻擊,保證了網絡的安全。
為了防止通過DHCP方式獲取IP地址的主機在路由器上的ARP表項被篡改,您可以開啟動態ARP綁定功能,使得所有通過DHCP服務器分配出去的IP地址和其對應的MAC地址自動綁定。且動態綁定的表項在地址租約到期後不會被刪除。
頁麵向導:安全專區→ARP安全→ARP綁定
頁麵為您提供如下主要功能:
|
設置動態ARP綁定(選中“對DHCP分配的地址進行ARP保護”複選框,單擊<應用>按鈕生效) |
|
開啟動態ARP綁定後,路由器通過DHCP方式獲取到的ARP表項狀態為“動態綁定”。反之,則為“未綁定”。
靜態ARP綁定即需要通過手工配置和維護。建議您將局域網內所有主機都添加到路由器的靜態ARP表項中。
頁麵向導:安全專區→ARP安全→ARP綁定
本頁麵為您提供如下主要功能:
|
· 顯示和修改ARP表項(主頁麵) · 將動態獲取到的ARP表項進行綁定(選中動態獲取到的表項,單擊<靜態綁定>按鈕即可完成綁定。此時,ARP表項狀態則為“靜態綁定”) |
|
|
單個添加靜態ARP表項(單擊主頁上的<新增>按鈕,在彈出的對話框中設置相應的參數,並單擊<增加>按鈕完成操作) |
|
|
批量添加靜態ARP表項(您可以在本地用“記事本”程序創建一個.cfg文件,內容格式為“MAC地址 IP地址 描述”(比如:00:0A:EB:7F:AA:AB 192.168.1.2 zhangsan),且每條綁定項之間需換行。單擊主頁麵上的<導入>按鈕,在彈出的對話框中選擇該文件將其導入即可) |
|
|
將路由器當前的ARP靜態表項備份保存(.cfg文件),且您可用“記事本”程序打開該文件進行編輯(單擊主頁麵上的<導出>按鈕,確認後即可將其導出到本地) |
|
通過ARP檢測功能,您可以快速地搜索到局域網內所有在線的主機,獲取相應的ARP表項。同時,係統會檢測這些表項當前的綁定狀態以及是否存在異常(比如:獲取的表項是否和路由器的靜態ARP表項存在衝突等),並在頁麵的列表中以不同的顏色加以標明,幫助您更直觀地對ARP表項進行判斷和維護。
頁麵向導:安全專區→ARP安全→ARP檢測
本頁麵為您提供如下主要功能:
|
· 搜索在線主機,獲取ARP表項(輸入指定的地址範圍,單擊<掃描>按鈕即可。如果您想清除當前的搜索結果,請單擊<清除結果>按鈕) · 將獲取到的、未綁定的ARP表項進行批量綁定(選中未綁定項,單擊<靜態綁定>按鈕即可) |
|
免費ARP報文是一種特殊的ARP報文,該報文中攜帶的發送端IP地址和目標IP地址都是本機IP地址,報文源MAC地址是本機MAC地址,報文的目的MAC地址是廣播地址。
設備通過對外發送免費ARP報文來實現以下功能:
· 確定其他設備的IP地址是否與本機的IP地址衝突。當其他設備收到免費ARP報文後,如果發現報文中的IP地址和自己的IP地址相同,則給發送免費ARP報文的設備返回一個ARP應答,告知該設備IP地址衝突。
· 設備改變了硬件地址,通過發送免費ARP報文通知其他設備更新ARP表項。
路由器支持定時發送免費ARP功能,這樣可以及時通知其他設備更新ARP表項或者MAC地址表項,主要應用場景如下:
· 防止仿冒網關的ARP攻擊
如果攻擊者仿冒網關發送免費ARP報文,就可以欺騙同網段內的其他主機,使得被欺騙的主機訪問網關的流量,被重定向到一個錯誤的MAC地址,導致其他用戶無法正常訪問網絡。
為了盡量避免這種仿冒網關的ARP攻擊,可以在網關的接口上開啟定時發送免費ARP功能。開啟該功能後,網關接口上將按照配置的時間間隔周期性發送接口主IP地址的免費ARP報文。這樣,每台主機都可以學習到正確的網關,從而正常訪問網絡。
· 防止主機ARP表項老化
在實際環境中,當網絡負載較大或接收端主機的CPU占用率較高時,可能存在ARP報文被丟棄或主機無法及時處理接收到的ARP報文等現象。這種情況下,接收端主機的動態ARP表項會因超時而被老化,在其重新學習到發送設備的ARP表項之前,二者之間的流量就會發生中斷。
為了解決上述問題,您可以在路由器的接口上開啟定時發送免費ARP功能。開啟該功能後,路由器接口上將按照配置的時間間隔周期性地發送接口主IP地址的免費ARP報文。這樣,接收端主機可以及時更新ARP映射表,從而防止了上述流量中斷現象。
頁麵向導:安全專區→ARP安全→ARP防護
本頁麵為您提供如下主要功能:
|
· 設置路由器丟棄源MAC地址不合法的ARP報文,即選中該功能後,當設備接收到的ARP報文的源MAC地址為0、組播MAC地址或廣播MAC地址時,則直接將其丟棄不對其進行ARP學習(缺省情況下,此功能處於開啟狀態) · 設置路由器丟棄源MAC地址不一致的報文,即選中該功能後,當設備接收到的ARP報文的源MAC地址與該報文的二層源MAC地址不一致時(通常情況下,認為存在ARP欺騙),則直接將其丟棄,不對其進行ARP學習(缺省情況下,此功能處於關閉狀態) · 設置路由器ARP報文學習抑製,即選中該功能後,設備在一段時間內隻學習第一個返回的ARP響應報文,丟棄其他響應報文,從而防止有過多的ARP響應報文返回造成ARP表項異常(缺省情況下,此功能處於開啟狀態) |
|
|
· 設置路由器檢測到ARP欺騙時,LAN口或WAN口會主動發送免費ARP(缺省情況下,此功能處於開啟狀態) · 設置路由器LAN口主動定時發送免費ARP(缺省情況下,此功能處於關閉狀態) · 設置路由器WAN口主動定時發送免費ARP(缺省情況下,此功能處於關閉狀態) |
|
通過MAC過濾功能,您可以有效地控製局域網內的主機訪問外網。路由器為您提供兩種MAC過濾功能:
· 僅允許MAC地址列表中的MAC訪問外網:如果您僅允許局域網內的某些主機訪問外網,可以選中此功能,並添加相應的主機MAC地址表項。
· 僅禁止MAC地址列表中的MAC訪問外網:如果您想禁止局域網內的某些主機訪問外網,可以選中此功能,並添加相應的主機MAC地址表項。
頁麵向導:安全專區→接入控製→MAC過濾
本頁麵為您提供如下主要功能:
|
根據實際需求啟用相應的MAC過濾功能(主頁麵。選擇相應的MAC過濾功能後,單擊<應用>按鈕生效) |
|
|
單個添加MAC過濾表項(單擊主頁麵上的<新增>按鈕,在彈出的對話框中添加一個需要過濾的MAC地址,單擊<增加>按鈕完成操作) |
|
|
通過導入路由器的ARP綁定表來批量添加MAC過濾表項(單擊主頁麵上的<從ARP表項導入>按鈕,在彈出的對話框中選擇需要過濾的MAC地址,單擊<導入到MAC地址過濾表>按鈕完成操作) |
|
|
通過配置文件批量添加MAC過濾表項(您可以在本地用“記事本”程序創建一個.cfg文件,內容格式為“MAC地址 描述”,且每條過濾項之間需要換行。單擊主頁麵上的<導入>按鈕,在彈出的對話框中選擇該文件將其導入即可) |
|
|
將當前您需要進行過濾處理的MAC地址保存(.cfg文件),且您可用“記事本”程序打開該文件進行編輯(單擊主頁麵上的<導出>按鈕,確認後即可將其導出到本地) |
|
IPMAC過濾功能可以同時對報文中的源MAC地址和源IP地址進行匹配,僅當源MAC地址和源IP地址均符合條件的主機才允許訪問外網。IPMAC過濾功能支持以下兩種匹配方式:
· 僅允許DHCP服務器分配的客戶端訪問外網:即開啟此功能後,不在路由器DHCP服務器分配的客戶列表中的用戶將無法訪問外網。此方式可以運用於企業環境中,因為企業通常使用DHCP方式為客戶端分配IP地址。
· 僅允許ARP靜態綁定的客戶端訪問外網:即開啟此功能後,不在ARP靜態綁定表中的客戶端將無法訪問外網。此方式可以運用於網吧環境中,因為網吧通常為客戶端設置靜態IP地址。
頁麵向導:安全專區→接入控製→IPMAC過濾
本頁麵為您提供如下主要功能:
|
設置IPMAC過濾功能(選擇相應的IPMAC過濾匹配方式,單擊<應用>按鈕生效) |
|
路由器的防火牆功能為您實現了根據報文的內容特征(比如:協議類型、源/目的IP地址等),來對入站方向(從因特網發向局域網的方向)和出站方向(從局域網發向因特網的方向)的數據流進行相應的控製,保證了路由器和局域網內主機的安全運行。
僅當防火牆功能開啟後,您定製的防火牆出站和入站通信策略才能生效。
頁麵向導:安全專區→防火牆→防火牆設置
本頁麵為您提供如下主要功能:
|
開啟/關閉防火牆功能 |
|
頁麵向導:安全專區→防火牆→出站通信策略
本頁麵為您提供如下主要功能:
|
設置報文在出站方向上未匹配任何您預先設定的規則時,係統所采取的策略(主頁麵。在“出站通信缺省策略”下拉框中選擇指定的方式,單擊<應用>按鈕生效) |
|
|
添加匹配規則來控製指定的報文(在主頁麵上單擊<新增>按鈕,在彈出的對話框中設置相應的匹配項,單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表9-1 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
出站通信缺省策略 |
· “允許”:允許內網主動發起的訪問報文通過 · “禁止”:禁止內網主動發起的訪問報文通過 缺省情況下,出站通信缺省策略為“允許”
· 當缺省策略是“允許”時,您手動添加的策略即為“禁止”,反之亦然 · 缺省策略更改後,所有已配置的出站通信策略將會被清空,且僅對新建立的訪問連接生效 · 當您手動添加了出站通信策略後,係統會優先根據該策略對主機進行訪問控製,如果未匹配手動添加的策略,則遵循缺省策略 |
|
源接口 |
設置報文的來源接口,即可以對從某一LAN側接口收到的報文進行控製 |
|
源地址 |
設置需要進行控製的源地址類型: · IP地址段:通過源IP地址範圍對局域網中的主機進行控製 · MAC地址:通過源MAC地址對局域網中的主機進行控製 · 用戶組:通過您預先劃分好的用戶組對局域網中的主機進行控製 |
|
起始IP/結束IP(源IP地址範圍) |
輸入需要匹配的報文的源IP地址段
· 起始IP地址不能大於結束IP地址 · 如果無需匹配報文的源IP地址,您可以將起始IP地址設置為0.0.0.0,結束IP地址設置為255.255.255.255 |
|
源端口範圍 |
輸入需要匹配的報文的源端口範圍
如果無需匹配報文的源端口號,您可以將其設置為1~65535 |
|
起始IP/結束IP(目的IP地址範圍) |
輸入需要匹配的報文的目的IP地址段
· 起始IP地址不能大於目的IP地址 · 如果無需匹配報文的目的IP地址,您可以將起始IP地址設置為0.0.0.0,結束IP地址設置為255.255.255.255 |
|
服務類型 |
選擇局域網中主機訪問因特網資源的服務類型
|
|
生效時間 |
設置此新增規則的生效時間
生效時間需要您指定具體的時間段,比如:某天的某個時間段 |
|
是否啟用 |
在下拉列表框中選擇“啟用”,表示此匹配策略生效;選擇“禁用”,表示此匹配策略不生效 |
|
描述 |
對此新增規則進行簡單的描述 |
頁麵向導:安全專區→防火牆→入站通信策略
本頁麵為您提供如下主要功能:
|
設置報文在入站方向上未匹配任何您預先設定的規則時,係統所采取的策略(主頁麵。在“入站通信缺省策略”下拉框中選擇指定的方式,單擊<應用>按鈕生效) |
|
|
添加匹配規則來控製指定的報文(在主頁麵上單擊<新增>按鈕,在彈出的對話框中設置相應的匹配項,單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表9-2 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
入站通信缺省策略 |
· “禁止”:禁止外網主動發起的訪問報文通過 · “允許”:允許外網主動發起的訪問報文通過
· 當路由器工作於NAT模式下時(即開啟了NAT功能),入站通信缺省策略不允許配置,且僅為“禁止”;當路由器工作於路由模式下時(即關閉了NAT功能),入站通信缺省策略才允許選擇配置,且缺省情況下為“允許” · 當缺省策略是“禁止”時,您手動添加的策略即為“允許”,反之亦然 · 缺省策略更改後,所有已配置的出站通信策略將會被清空,且僅對新建立的訪問連接生效 · 當您手動添加了入站通信策略後,路由器會優先根據該策略對主機進行訪問控製,如果未匹配手動添加的策略,則遵循缺省策略 |
|
源接口 |
設置報文的來源接口,即可以對從某一WAN側接口收到的報文進行控製 |
|
起始IP/結束IP(源IP地址範圍) |
輸入需要匹配的報文的源IP地址段
· 起始IP地址不能大於結束IP地址 · 如果無需匹配報文的源IP地址,您可以將起始IP地址設置為0.0.0.0,結束IP地址設置為255.255.255.255 |
|
源端口範圍 |
輸入需要匹配的報文的源端口範圍
如果無需匹配報文的源端口號,您可以將其設置為1~65535 |
|
目的IP地址(目的IP地址範圍) |
輸入需要匹配的報文的目的IP地址
當路由器工作於NAT模式下時(即開啟了NAT功能),僅允許設置單個目的IP地址;當路由器工作於路由模式下時(即關閉了NAT功能),允許設置目的IP地址範圍 |
|
服務類型 |
選擇因特網中的主機訪問局域網資源的服務類型
|
|
生效時間 |
設置此新增規則的生效時間
生效時間需要您指定具體的時間段,比如:某天的某個時間段 |
|
是否啟用 |
在下拉列表框中選擇“啟用”,表示此匹配策略生效;選擇“禁用”,表示此匹配策略不生效 |
|
描述 |
對此新增規則進行簡單的描述 |
為了讓您能夠在定製防火牆策略時比較方便地指定需要過濾的協議和端口號,路由器提供了服務類型管理功能。每一個服務類型均由協議和端口號兩部分構成,係統預定義一些常用的服務類型(比如:HTTP、FTP、TELNET等);同時,您也可以根據實際需求添加自定義的服務類型。
頁麵向導:安全專區→防火牆→服務類型
本頁麵為您提供如下主要功能:
|
顯示和修改已定義的服務類型(主頁麵。係統預定義的服務類型均不可修改和刪除) |
|
|
自定義服務類型(單擊主頁麵上的<新增>按鈕,在彈出的對話框中設置服務類型名稱、協議類型及目的端口範圍,單擊<增加>按鈕完成操作) |
|
在複雜網絡環境中,常常由於主機異常或中毒,導致其不斷地發送一些攻擊報文,造成路由器資源和網絡帶寬不必要的消耗。防攻擊主要的目的就是發現並丟棄非法的報文,以保證整體網絡的穩定性。
路由器為您提供了以下三種防攻擊方式:
· IDS防範
IDS防範主要用於發現一些常見的攻擊類型報文對路由器的掃描和一些常見的DOS攻擊,並丟棄相應的報文。在一定程度上,可以有效地保證路由器的正常運行。
· 報文源認證
攻擊類型的報文多種多樣,除了ARP欺騙外,最主要的是偽裝IP地址的報文和偽裝MAC地址的報文。您通過設置路由器的靜態路由表和ARP表項,可以在很大程度上認證內網發送的報文的合法性。比如:當報文的源IP地址屬於不可達網段,報文的源IP地址/源MAC地址和靜態ARP表項存在衝突等,則路由器會認為該報文是非法偽裝的報文,會直接將其丟棄。
· 異常流量防護
在網絡實際應用中,往往會由於單台主機中毒或異常,導致這台主機大量發送數據包。而這些報文並不能被路由器的報文源認證功能確定為非法的報文,此時會大量地消耗路由器的資源。開啟該功能後,路由器會對各台主機的流量進行檢查,並根據您所選擇的防護等級(包括:高、中、低三種)進行相應的處理,以確保路由器受到此類異常流量攻擊時仍可正常工作。
頁麵向導:安全專區→防攻擊→IDS防範
本頁麵為您提供如下主要功能:
|
開啟指定攻擊類型報文的IDS防範(選中您需要防範的攻擊類型,單擊<應用>按鈕生效) |
|
· 本頁麵中的各攻擊類型的介紹請參見路由器的在線聯機幫助。
· 僅當您選擇了“丟棄攻擊報文,並記入日誌”選項,路由器才會對攻擊事件以日誌的形式記錄。日誌信息的查看,請參見“15.2.1 查看日誌信息”。
頁麵向導:安全專區→防攻擊→報文源認證
本頁麵為您提供如下主要功能:
|
選擇基於哪個表項(靜態路由表、靜態ARP表、動態ARP表)來對報文進行源認證(選中相應的功能項,單擊<應用>按鈕生效) |
|
頁麵中關鍵項的含義如下表所示。
表9-3 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
啟用基於靜態路由的報文源認證功能 |
開啟該功能後,路由器將根據靜態路由表對所有報文的源IP地址進行檢查。如果靜態路由表中存在到該源IP地址的表項,則轉發該報文;否則丟棄該報文 比如:路由器LAN口下掛的設備接口地址為192.168.1.5/24,內網為192.200.200.0/24網段。同時,您設置靜態路由目的地址為192.200.200.0/24,下一跳為192.168.1.5,出接口為LAN口。此時,路由器允許從192.200.200.0/24網段轉發過來的報文通過 |
|
啟用基於ARP綁定、DHCP分配ARP防護下的報文源認證功能 |
開啟該功能後,路由器將根據靜態ARP表的綁定關係及DHCP分配列表中的對應關係,來認證內網的報文。如果報文的源IP地址/MAC地址與靜態ARP表中的IP地址/MAC地址對應關係存在衝突,則路由器將其直接丟棄 比如:您設置了一條ARP靜態綁定項(將源IP地址:192.168.1.100與源MAC地址:08:00:12:00:00:01綁定)。當路由器LAN側收到一個報文,其源IP地址為192.168.1.100,但源MAC地址為08:00:12:00:00:02,路由器會將該報文丟棄 |
|
啟用基於動態ARP的報文源認證功能 |
開啟該功能,路由器將會根據動態ARP表的對應關係,來認證內網的報文。如果報文的源IP地址/MAC地址與已確認合法的動態ARP表的IP地址/MAC地址對應關係存在衝突,則路由器將其直接丟棄 比如:路由器動態學習到一條ARP表項(源IP地址:192.168.1.100,源MAC地址:08:00:12:00:00:01),當路由器LAN側在該ARP表項老化之前收到一個報文,其源IP地址為192.168.1.100,但源MAC地址為08:00:12:00:00:02,路由器會將該報文丟棄 |
頁麵向導:安全專區→防攻擊→異常流量防護
本頁麵為您提供如下主要功能:
|
選擇防護等級來對異常主機流量進行防護(選中“啟用異常主機流量防護功能”複選框,並選擇相應的防護等級,單擊<應用>按鈕生效) |
|
頁麵中關鍵項的含義如下表所示。
表9-4 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
高 |
選中該單選框,路由器會把檢查到的攻擊主機添加到本頁麵下方的攻擊列表中,並在一段時間內(即您所選擇的“生效時間”)禁止其訪問路由器和因特網 |
|
中 |
選中該單選框,路由器會把檢查到的攻擊主機的上行流量限製在異常流量閾值範圍內 |
|
低 |
選中該單選框,路由器僅對上行流量超過異常流量閾值的攻擊主機以事件的形式記入日誌 |
本章節主要包含以下內容:
· 設置虛接口
· 設置IKE
· 設置IPSec
· 查看VPN狀態
VPN是近年來隨著Internet的廣泛應用而迅速發展起來的一種新技術,用以實現在公用網絡上構建私人專用網絡。“虛擬”主要指這種網絡是一種邏輯上的網絡。
IPSec是IETF製定的三層隧道加密協議,它為Internet上數據的傳輸提供了高質量的、可互操作的、基於密碼學的安全保證。特定的通信方之間在IP層通過加密與數據源認證等方式,可以獲得以下的安全服務:
· 數據機密性(Confidentiality):IPSec發送方在通過網絡傳輸包前對包進行加密。
· 數據完整性(Data Integrity):IPSec接收方對發送方發送來的包進行認證,以確保數據在傳輸過程中沒有被篡改。
· 數據來源認證(Data Authentication):IPSec接收方可以認證IPSec報文的發送方是否合法。
· 防重放(Anti-Replay):IPSec接收方可檢測並拒絕接收過時或重複的報文。
可以通過IKE為IPSec提供自動協商交換密鑰、建立和維護SA的服務,以簡化IPSec的使用和管理。IKE協商並不是必須的,IPSec所使用的策略和算法等也可以手工協商。
IPSec通過如下兩種協議來實現安全服務:
· AH是認證頭協議,協議號為51。主要提供的功能有數據源認證、數據完整性校驗和防報文重放功能,可選擇的認證算法有MD5、SHA-1等。AH報文頭插在標準IP包頭後麵,保證數據包的完整性和真實性,防止黑客截獲數據包或向網絡中插入偽造的數據包。
· ESP是報文安全封裝協議,協議號為50。與AH協議不同的是,ESP將需要保護的用戶數據進行加密後再封裝到IP包中,以保證數據的機密性。常見的加密算法有DES、3DES、AES等。同時,作為可選項,用戶可以選擇MD5、SHA-1算法保證報文的完整性和真實性。
AH和ESP可以單獨使用,也可以聯合使用。設備支持的AH和ESP聯合使用的方式為:先對報文進行ESP封裝,再對報文進行AH封裝,封裝之後的報文從內到外依次是原始IP報文、ESP頭、AH頭和外部IP頭。
(1) SA
IPSec在兩個端點之間提供安全通信,端點被稱為IPSec對等體。
SA是IPSec的基礎,也是IPSec的本質。SA是通信對等體間對某些要素的約定,例如,使用哪種協議(AH、ESP還是兩者結合使用)、協議的封裝模式(傳輸模式和隧道模式)、加密算法(DES、3DES和AES)、特定流中保護數據的共享密鑰以及密鑰的生存周期等。
SA是單向的,在兩個對等體之間的雙向通信,最少需要兩個SA來分別對兩個方向的數據流進行安全保護。同時,如果兩個對等體希望同時使用AH和ESP來進行安全通信,則每個對等體都會針對每一種協議來構建一個獨立的SA。
SA由一個三元組來唯一標識,這個三元組包括SPI(Security Parameter Index,安全參數索引)、目的IP地址、安全協議號(AH或ESP)。
SPI是為唯一標識SA而生成的一個32比特的數值,它在AH和ESP頭中傳輸。在手工配置SA時,需要手工指定SPI的取值;使用IKE協商產生SA時,SPI將隨機生成。
SA是具有生存周期的,且隻對通過IKE方式建立的SA有效。生存周期到達指定的時間或指定的流量,SA就會失效。SA失效前,IKE將為IPSec協商建立新的SA,這樣,在舊的SA失效前新的SA就已經準備好。在新的SA開始協商而沒有協商好之前,繼續使用舊的SA保護通信。在新的SA協商好之後,則立即采用新的SA保護通信。
(2) 驗證算法與加密算法
【驗證算法】:
驗證算法的實現主要是通過雜湊函數。雜湊函數是一種能夠接受任意長的消息輸入,並產生固定長度輸出的算法,該輸出稱為消息摘要。IPSec對等體計算摘要,如果兩個摘要是相同的,則表示報文是完整未經篡改的。
IPSec使用以下兩種驗證算法:
表10-1 驗證算法
|
驗證算法 |
描述 |
|
MD5 |
MD5通過輸入任意長度的消息,產生128bit的消息摘要 與SHA-1相比:計算速度快,但安全強度略低 |
|
SHA-1 |
SHA-1通過輸入長度小於2的64次方bit的消息,產生160bit的消息摘要 與MD5相比:計算速度慢,但安全強度更高 |
【加密算法】:
加密算法實現主要通過對稱密鑰係統,它使用相同的密鑰對數據進行加密和解密。
IPSec支持以下三種加密算法:
表10-2 加密算法
|
加密算法 |
描述 |
|
DES |
使用64bit的密鑰對一個64bit的明文塊進行加密 |
|
3DES |
使用三個64bit的DES密鑰(共192bit密鑰)對明文進行加密 |
|
AES |
使用128bit、192bit或256bit密鑰長度的AES算法對明文進行加密 |
這三個加密算法的安全性由高到低依次是:AES、3DES、DES,安全性高的加密算法實現機製複雜,但運算速度慢。對於普通的安全要求,DES算法就可以滿足需要。
(3) 協商方式
有如下兩種協商方式建立SA:
· 手工方式配置比較複雜,創建SA所需的全部信息都必須手工配置,而且不支持一些高級特性(例如定時更新密鑰),但優點是可以不依賴IKE而單獨實現IPSec功能。
· IKE自動協商方式相對比較簡單,隻需要配置好IKE協商安全策略的信息,由IKE自動協商來創建和維護SA。
當與之進行通信的對等體設備數量較少時,或是在小型靜態環境中,手工配置SA是可行的。對於中、大型的動態網絡環境中,推薦使用IKE協商建立SA。
(4) 安全隧道
安全隧道是建立在本端和對端之間可以互通的一個通道,它由一對或多對SA組成。
· 中心/分支模式應用在一對多網絡中,如圖10-1所示。中心/分支模式的網絡采用野蠻模式進行IKE協商,可以使用安全網關名稱或IP地址作為本端ID。在中心/分支模式的網絡中,中心節點不會發起IPSec SA的協商,需要由分支節點首先向中心節點發起IPSec SA的協商。路由器通常作為分支節點的VPN接入設備使用。
圖10-1 中心/分支模式組網
· 對等模式應用在一對一網絡中,如圖10-2所示。在對等模式的網絡中,兩端的設備互為對等節點,都可以向對端發起IPSec SA的協商。
IPSec是同虛接口進行綁定的,數據流首先通過靜態路由或者策略路由引入到虛接口,然後才會匹配規則進行IPSec加密處理。
虛接口需要映射到物理接口,隻有需要進行IPSec處理的報文才會通過虛接口發送,其他報文仍然從實接口轉發,另外路由加虛接口的配置模式使得VPN的配置更加靈活。
頁麵向導:VPN→IPSEC VPN→虛接口
本頁麵為您提供如下主要功能:
|
顯示和修改已創建的虛接口(主頁麵) |
|
|
創建虛接口(單擊主頁麵上的<新增>按鈕,在彈出的對話框中選擇一個虛接口通道以及映射的實際物理接口,單擊<增加>完成操作) |
|
在實施IPSec的過程中,可以使用IKE協議來建立SA。該協議建立在由Internet SA和密鑰管理協議ISAKMP定義的框架上。IKE為IPSec提供了自動協商交換密鑰、建立SA的服務,能夠簡化IPSec的使用和管理。
IKE不是在網絡上直接傳輸密鑰,而是通過一係列數據的交換,最終計算出雙方共享的密鑰,並且即使第三者截獲了雙方用於計算密鑰的所有交換數據,也不足以計算出真正的密鑰。
(1) IKE的安全機製
IKE具有一套自保護機製,可以在不安全的網絡上安全地認證身份、分發密鑰、建立IPSec SA。
【數據認證】:
數據認證有如下兩方麵的概念:
· 身份認證:身份認證確認通信雙方的身份,支持預共享密鑰認證。
· 身份保護:身份數據在密鑰產生之後加密傳送,實現了對身份數據的保護。
【DH】:
DH算法是一種公共密鑰算法。通信雙方在不傳輸密鑰的情況下通過交換一些數據,計算出共享的密鑰。即使第三者(如黑客)截獲了雙方用於計算密鑰的所有交換數據,由於其複雜度很高,不足以計算出真正的密鑰。所以,DH交換技術可以保證雙方能夠安全地獲得公有信息。
【PFS】:
PFS特性是一種安全特性,指一個密鑰被破解,並不影響其他密鑰的安全性,因為這些密鑰間沒有派生關係。對於IPSec,是通過在IKE階段2協商中增加一次密鑰交換來實現的。PFS特性是由DH算法保障的。
(2) IKE的交換過程
IKE使用了兩個階段為IPSec進行密鑰協商並建立SA:
· 第一階段,通信各方彼此間建立了一個已通過身份認證和安全保護的通道,即建立一個ISAKMP SA。第一階段有主模式和野蠻模式兩種IKE交換方法。
· 第二階段,用在第一階段建立的安全隧道為IPSec協商安全服務,即為IPSec協商具體的SA,建立用於最終的IP數據安全傳輸的IPSec SA。
如圖10-3所示,第一階段主模式的IKE協商過程中包含三對消息:
· 第一對叫SA交換,是協商確認有關安全策略的過程;
· 第二對消息叫密鑰交換,交換Diffie-Hellman公共值和輔助數據(如:隨機數),密鑰材料在這個階段產生;
· 最後一對消息是ID信息和認證數據交換,進行身份認證和對整個SA交換進行認證。
野蠻模式交換與主模式交換的主要差別在於,野蠻模式不提供身份保護,隻交換3條消息。在對身份保護要求不高的場合,使用交換報文較少的野蠻模式可以提高協商的速度;在對身份保護要求較高的場合,則應該使用主模式。
(3) IKE在IPSec中的作用
· 因為有了IKE,IPSec很多參數(如:密鑰)都可以自動建立,降低了手工配置的複雜度。
· IKE協議中的DH交換過程,每次的計算和產生的結果都是不相關的。每次SA的建立都運行DH交換過程,保證了每個SA所使用的密鑰互不相關。
· IPSec使用AH或ESP報文頭中的序列號實現防重放。此序列號是一個32比特的值,此數溢出後,為實現防重放,SA需要重新建立,這個過程需要IKE協議的配合。
· 對安全通信的各方身份的認證和管理,將影響到IPSec的部署。IPSec的大規模使用,必須有認證機構或其他集中管理身份數據的機構的參與。
· IKE提供端與端之間動態認證。
(4) IPSec與IKE的關係
圖10-4 IPSec與IKE的關係圖
從圖10-4中我們可以看出IKE和IPSec的關係:
· IKE是UDP之上的一個應用層協議,是IPSec的信令協議;
· IKE為IPSec協商建立SA,並把建立的參數及生成的密鑰交給IPSec;
· IPSec使用IKE建立的SA對IP報文加密或認證處理。
安全提議定義了一套屬性數據來描述IKE協商怎樣進行安全通信。配置IKE安全提議包括選擇加密算法、選擇驗證算法、選擇Diffie-Hellman組標識。
頁麵向導:VPN→IPSEC VPN→IKE安全提議
本頁麵為您提供如下主要功能:
|
顯示和修改已添加的IKE安全提議(主頁麵) |
|
|
添加一條新的IKE安全提議(單擊主頁麵上的<新增>按鈕,在彈出的對話框中設置相應的參數,並單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表10-3 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
安全提議名稱 |
輸入安全提議的名稱 |
|
IKE驗證算法 |
選擇IKE所使用的驗證算法 缺省情況下,使用MD5 |
|
IKE加密算法 |
選擇IKE所使用的加密算法 缺省情況下,使用3DES |
|
IKE DH組 |
選擇IKE所使用的DH算法 · DH1:768位DH組 · DH2:1024位DH組 · DH5:1536位DH組 · DH14:2048位DH組 缺省情況下,使用DH2 |
對等體定義了協商的雙方,包括本端發起協商接口、對端地址、采用的安全提議、協商模式、ID類型等信息。隻有經定義的雙方才能夠進行協商通信。
頁麵向導:VPN→IPSEC VPN→IKE對等體
本頁麵為您提供如下主要功能:
|
顯示和修改已添加的IKE對等體(主頁麵) |
|
|
添加一個新的IKE對等體單擊主頁麵上的<新增>按鈕,在彈出的對話框中設置相應的參數,並單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表10-4 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
對等體名稱 |
輸入對等體的名稱 |
|
虛接口 |
選擇本端發起協商的出接口 |
|
對端地址 |
設置對等體對端的地址信息
如果對端地址不是固定地址而是動態地址,建議通過將對端地址配置為動態域名的方式進行連接 |
|
協商模式 |
選擇協商模式。主模式一般應用於點對點的對等組網模式;野蠻模式一般應用於中心/分支組網模式 缺省情況下,使用主模式 |
|
ID類型、本端ID、對端ID |
此設置項需在野蠻模式下進行 當ID類型為NAME類型時,還需要指定相應的本端ID與對端ID |
|
安全提議 |
選擇對等體需要引用的IKE安全提議 |
|
預共享密鑰(PSK) |
設置IKE認證所需的預共享密鑰(pre-shared-key) |
|
生命周期 |
設置IKE SA存在的生命周期(IKE SA實際的周期以協商結果為準) |
|
DPD開啟 |
DPD用於IPsec鄰居狀態的檢測。啟動DPD功能後,當接收端在觸發DPD的時間間隔內收不到對端的IPSec加密報文時,會觸發DPD查詢,主動向對端發送請求報文,對IKE對等體是否存在進行檢測 |
|
DPD周期 |
指定對等體DPD檢測周期,即觸發DPD查詢的間隔時間 |
|
DPD超時時間 |
指定對等體DPD檢測超時時間,即等待DPD應答報文超時的時間 |
安全提議保存IPSec需要使用的特定安全性協議,以及加密/驗證算法,為IPSec協商SA提供各種安全參數。為了能夠成功的協商IPSec的SA,兩端必須使用相同的安全提議。
頁麵向導:VPN→IPSEC VPN→IPSec安全提議
本頁麵為您提供如下主要功能:
|
顯示和修改已添加的IPSec安全提議(主頁麵) |
|
|
添加一條新的IPSec安全提議(單擊主頁麵上的<新增>按鈕,在彈出的對話框中設置相應的參數,並單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表10-5 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
安全提議名稱 |
輸入安全提議的名稱 |
|
安全協議類型 |
選擇安全協議類型來實現安全服務 缺省情況下,使用ESP |
|
AH驗證算法 |
選擇AH驗證算法 缺省情況下,使用MD5 |
|
ESP驗證算法 |
選擇ESP驗證算法 缺省情況下,使用MD5 |
|
ESP加密算法 |
選擇ESP加密算法 缺省情況下,使用3DES |
安全策略規定了對什麼樣的數據流采用什麼樣的安全提議。安全策略分為手工安全策略和IKE協商安全策略。前者需要用戶手工配置密鑰、SPI等參數;後者則由IKE自動協商生成這些參數。
頁麵向導:VPN→IPSEC VPN→IPSec安全策略
本頁麵為您提供如下主要功能:
|
開啟IPSec功能、顯示和修改已添加的安全策略(主頁麵) |
|
|
設置使用IKE協商方式建立SA(單擊主頁麵上的<新增>按鈕,在彈出的對話框中選擇“協商類型”為IKE協商並設置相應的參數,單擊<增加>按鈕完成操作) |
|
|
設置使用手動協商方式建立SA(單擊主頁麵上的<新增>按鈕,在彈出的對話框中選擇“協商類型”為手動模式並設置相應的參數,單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表10-6 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
||
|
啟用IPSec |
選中“啟用IPSec”,開啟IPSec功能 缺省情況下,禁用IPSec功能 |
||
|
安全策略名稱 |
設置安全策略的名稱,後麵的複選框可以設置該安全策略的使用狀態 |
||
|
本地子網IP/掩碼 |
本地子網IP/掩碼和對端子網IP/掩碼,兩個配置項組成一個訪問控製規則。IPSec通過此訪問控製規則來定義需要保護的數據流,訪問控製規則匹配的報文將會被保護 本地子網IP/掩碼和對端子網IP/掩碼分別用來指定IPSec VPN隧道本端和對端的子網網段 |
||
|
對端子網IP/掩碼 |
|||
|
協商類型 |
選擇IPSec協商方式 缺省情況下,使用IKE協商方式 |
||
|
IKE協商模式 |
對等體 |
選擇需要引用的IKE對等體 |
|
|
安全提議 |
選擇需要引用的IPSec安全提議
此模式下,一條安全策略最多可以引用四個安全提議,根據組網需求可以靈活的加以配置 |
||
|
PFS |
PFS特性是一種安全特性,指一個密鑰被破解,並不影響其他密鑰的安全性,因為這些密鑰間沒有派生關係。IKE在使用安全策略發起一個協商時,可以進行一個PFS交換。如果本端設置了PFS特性,則發起協商的對端也必須設置PFS特性,且本端和對端指定的DH組必須一致,否則協商會失敗 · 禁止:關閉PFS特性 · DH1:768位DH組 · DH2:1024位DH組 · DH5:1536位DH組 · DH14:2048位DH組 缺省情況下,PFS特性處於關閉狀態 |
||
|
生命周期 |
設置IPSec SA存在的生命周期 缺省情況下,生命周期為28800秒 |
||
|
觸發模式 |
用來指定隧道的觸發模式 · 流量觸發:IKE隧道配置下發後,不會自動建立隧道,會等待興趣流來觸發隧道建立 · 長連模式:IKE隧道配置下發後或隧道異常斷開後,會自動觸發隧道建立,並且保證隧道長時間建立,不需等待興趣流觸發 |
||
|
手動模式 |
虛接口 |
指定與當前策略綁定的虛接口 |
|
|
對端地址 |
指定IPSec對等體另外一端的IP地址 |
||
|
安全提議 |
選擇需要引用的IPSec安全提議 |
||
|
入/出SPI值 |
在安全隧道的兩端設置的SA參數必須是完全匹配的。本端入方向SA的SPI必須和對端出方向SA的SPI一樣;本端出方向SA的SPI必須和對端入方向SA的SPI一樣。SPI具有唯一性,不允許輸入相同的SPI值 |
||
|
安全聯盟使用的密鑰 |
入/出ESP MD5密鑰 |
在安全隧道的兩端設置的SA參數必須是完全匹配的。本端入方向SA的密鑰必須和對端出方向SA的密鑰一樣;本端出方向SA的密鑰必須和對端入方向SA的密鑰一樣 |
|
|
入/出ESP 3DES密鑰 |
|||
頁麵向導:VPN→IPSEC VPN→安全聯盟
本頁麵為您提供如下主要功能:
|
單擊<刷新>按鈕,您可以查看已建立的VPN隧道及對應的安全策略信息 |
|
在Router A(采用ERG2-1350W)和Router B(采用ERG2-1350W)之間建立一個安全隧道,對客戶分支機構A所在的子網(192.168.1.0/24)與客戶分支機構B所在的子網(172.16.0.0/16)之間的數據流進行安全保護。
安全協議采用ESP協議,加密算法采用3DES,認證算法采用SHA1。
圖10-5 組網示意圖
|
1. 選擇“VPN→IPSEC VPN→虛接口”。單擊<新增>按鈕,在彈出的對話框中選擇一個虛接口通道,並將其與對應的出接口進行綁定(此處假設為WAN1),單擊<增加>按鈕完成操作 |
|
|
2. 選擇“VPN→IPSEC VPN→IKE安全提議”。單擊<新增>按鈕,在彈出的對話框中輸入安全提議名稱,並設置驗證算法和加密算法分別為SHA1、3DES,單擊<增加>按鈕完成操作 |
|
|
3. 選擇“VPN→IPSEC VPN→IKE對等體”。單擊<新增>按鈕,在彈出的對話框中輸入對等體名稱,選擇對應的虛接口ipsec1。在“對端地址”文本框中輸入Router B的IP地址,並選擇已創建的安全提議等信息,單擊<增加>按鈕完成操作 |
|
|
4. 選擇“VPN→IPSEC VPN→IPSec安全提議”。單擊<新增>按鈕,在彈出的對話框中輸入安全提議名稱,選擇安全協議類型為ESP,並設置驗證算法和加密算法分別為SHA1、3DES,單擊<增加>按鈕完成操作 |
|
|
5. 選擇“VPN→IPSEC VPN→IPSec安全策略”。選中“啟用IPSec功能”複選框,單擊<應用>按鈕生效。單擊<新增>按鈕,在彈出的對話框中輸入安全策略名稱,在“本地子網IP/掩碼”和“對端子網IP/掩碼”文本框中分別輸入客戶分支機構A和B所處的子網信息,並選擇協商類型為“IKE協商”、對等體為“IKE-d1”、安全提議為“IPSEC-PRO”,單擊<增加>按鈕完成操作 |
|
|
6. 為經過IPSec VPN隧道處理的報文設置路由,才能使隧道兩端互通(一般情況下,隻需要為隧道報文配置靜態路由即可)。選擇“高級設置→路由設置→靜態路由”,單擊<新增>按鈕,在彈出的對話框中,設置目的地址、子網掩碼等參數,單擊<增加>按鈕完成操作 |
|
在對端Router B上,IPSec VPN的配置與Router A是相互對應的。因此,除了對等體的對端地址以及安全策略中的本地子網、對端子網需要做相應修改,其他的設置均一致。此處略。
兩端均設置完成後,您可以通過選擇路由器的“VPN→IPSEC VPN→安全聯盟”頁麵,並單擊<刷新>按鈕來查看相應的隧道是否已成功建立。
· L2TP特性簡介
· 設置L2TP特性
VPDN(Virtual Private Dial-up Network,虛擬專用撥號網絡)是指利用公共網絡(如ISDN或PSTN)的撥號功能接入公共網絡,實現虛擬專用網,從而為企業、小型ISP、移動辦公人員等提供接入服務。即,VPDN為遠端用戶與私有企業網之間提供了一種經濟而有效的點到點連接方式。
VPDN采用隧道協議在公共網絡上為企業建立安全的虛擬專網。企業駐外機構和出差人員可從遠程經由公共網絡,通過虛擬隧道實現和企業總部之間的網絡連接,而公共網絡上其它用戶則無法穿過虛擬隧道訪問企業網內部的資源。
VPDN隧道協議主要包括以下三種:
· PPTP(Point-to-Point Tunneling Protocol,點到點隧道協議)
· L2F(Layer 2 Forwarding,二層轉發)
· L2TP(Layer 2 Tunneling Protocol,二層隧道協議)
L2TP結合了L2F和PPTP的各自優點,是目前使用最為廣泛的VPDN隧道協議。
L2TP(RFC 2661)是一種對PPP鏈路層數據包進行封裝,並通過隧道進行傳輸的技術。L2TP允許連接用戶的二層鏈路端點和PPP會話終點駐留在通過分組交換網絡連接的不同設備上,從而擴展了PPP模型,使得PPP會話可以跨越分組交換網絡,如Internet。
使用L2TP協議構建的VPDN應用的典型組網如圖11-1所示。
圖11-1 應用L2TP構建的VPDN服務
在L2TP構建的VPDN中,網絡組件包括以下三個部分:
· 遠端係統
遠端係統是要接入VPDN網絡的遠地用戶和遠地分支機構,通常是一個撥號用戶的主機或私有網絡的一台路由設備。
· LAC(L2TP Access Concentrator,L2TP訪問集中器)
LAC是具有PPP和L2TP協議處理能力的設備,通常是一個當地ISP的NAS(Network Access Server,網絡接入服務器),主要用於為PPP類型的用戶提供接入服務。
LAC作為L2TP隧道的端點,位於LNS和遠端係統之間,用於在LNS和遠端係統之間傳遞信息包。它把從遠端係統收到的信息包按照L2TP協議進行封裝並送往LNS,同時也將從LNS收到的信息包進行解封裝並送往遠端係統。
VPDN應用中,LAC與遠端係統之間通常采用PPP鏈路。
· LNS(L2TP Network Server,L2TP網絡服務器)
LNS既是PPP端係統,又是L2TP協議的服務器端,通常作為一個企業內部網的邊緣設備。
LNS作為L2TP隧道的另一側端點,是LAC的對端設備,是LAC進行隧道傳輸的PPP會話的邏輯終止端點。通過在公網中建立L2TP隧道,將遠端係統的PPP連接由原來的NAS在邏輯上延伸到了企業網內部的LNS。
L2TP中存在兩種消息:
· 控製消息:用戶隧道和會話連接的建立、維護和拆除。它的傳輸是可靠傳輸,並且支持對控製消息的流量控製和擁塞控製。
· 數據消息:用於封裝PPP幀,並在隧道上傳輸。它的傳輸是不可靠傳輸,若數據報文丟失,不予重傳,不支持對數據消息的流量控製和擁塞控製。
控製消息和數據消息共享相同的報文頭,通過報文頭中的Type字段來區分控製消息和數據消息。
圖11-2描述了控製通道以及PPP幀和數據通道之間的關係。PPP幀在不可靠的L2TP數據通道上進行傳輸,控製消息在可靠的L2TP控製通道內傳輸。
圖11-2 L2TP協議結構
圖11-3描述了LAC與LNS之間的L2TP數據報文的封裝結構。通常L2TP數據以UDP報文的形式發送。L2TP注冊了UDP 1701端口,但是這個端口僅用於初始的隧道建立過程中。L2TP隧道發起方任選一個空閑的端口(未必是1701)向接收方的1701端口發送報文;接收方收到報文後,也任選一個空閑的端口(未必是1701),給發送方的指定端口回送報文。至此,雙方的端口選定,並在隧道保持連通的時間段內不再改變。
圖11-3 L2TP報文封裝結構圖
在一個LNS和LAC對之間存在著兩種類型的連接。
· 隧道(Tunnel)連接:它對應了一個LNS和LAC對。
· 會話(Session)連接:它複用在隧道連接之上,用於表示承載在隧道連接中的每個PPP會話過程。
在同一對LAC和LNS之間可以建立多個L2TP隧道,隧道由一個控製連接和一個或多個會話連接組成。會話連接必須在隧道建立(包括身份保護、L2TP版本、幀類型、硬件傳輸類型等信息的交換)成功之後進行,每個會話連接對應於LAC和LNS之間的一個PPP數據流。
控製消息和PPP數據報文都在隧道上傳輸。L2TP使用Hello報文來檢測隧道的連通性。LAC和LNS定時向對端發送Hello報文,若在一段時間內未收到Hello報文的應答,隧道斷開。
L2TP隧道的建立支持以下兩種典型模式。
· Client-Initiated
如圖11-4所示,直接由LAC客戶(指本地支持L2TP協議的用戶)發起L2TP隧道連接。LAC客戶獲得Internet訪問權限後,可直接向LNS發起隧道連接請求,無需經過一個單獨的LAC設備建立隧道。LAC客戶的私網地址由LNS分配。
在Client-Initiated模式下,LAC客戶需要具有公網地址,能夠直接通過Internet與LNS通信。
圖11-4 Client-Initiated L2TP隧道模式
在該模式中,由路由器設備擔當LNS角色。
· LAC-Auto-Initiated
如圖11-5所示,LAC上創建一個虛擬的PPP用戶,LAC將自動向LNS發起建立隧道連接的請求,為該虛擬PPP用戶建立L2TP隧道。遠端係統訪問LNS連接的內部網絡時,LAC將通過L2TP隧道轉發這些訪問數據。
在該模式下,遠端係統和LAC之間可以是任何基於IP的連接,不局限於撥號連接。
圖11-5 LAC-Auto-Initiated L2TP隧道模式
在該模式中,由路由器設備擔當LAC角色。
與L2TP相關的協議規範有:
· RFC 1661:The Point-to-Point Protocol (PPP)
· RFC 1918:Address Allocation for Private Internets
· RFC 2661:Layer Two Tunneling Protocol “L2TP”
支持L2TP特性的設備,既可以擔任L2TP客戶端(LAC)的角色,又可以擔任L2TP服務端(LNS)的角色,下麵將對這兩種應用場景分別進行介紹。
頁麵向導:VPN→L2TP VPN→L2TP客戶端
本頁麵為您提供如下主要功能:
|
設置L2TP客戶端(LAC) |
|
頁麵中關鍵項的含義如下表所示。
表11-1 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
啟用LAC |
啟用或禁用LAC功能 缺省情況下,LAC處於禁用狀態 |
|
L2TP用戶名 |
LNS管理的允許建立會話的用戶名(由遠端的LNS管理員分配) |
|
L2TP密碼 |
LNS管理的允許建立會話的用戶密碼(由遠端的LNS管理員分配) |
|
L2TP服務器地址 |
LNS的公網地址(由遠端的LNS管理員分配) |
|
本端名稱 |
標記該L2TP客戶端的名稱 |
|
地址獲取方式 |
選擇LAC會話建立成功後PPP接口的IP地址獲取方式: · 動態:由LNS分配 · 靜態:LAC端手工設置一個IP地址 缺省情況下,地址獲取方式為動態獲取 |
|
靜態IP地址 |
LAC手工設置的IP,隻有在地址獲取方式選擇靜態時起作用(由遠端的LNS管理員分配) |
|
啟用隧道認證 |
設置是否啟用L2TP隧道認證功能,當啟用隧道認證時需要設置隧道認證密碼 隧道認證請求可由LAC或LNS任何一側發起。隻要有一端啟用了隧道認證,則隻有在對端也啟用了隧道認證,兩端密碼完全一致且不為空的情況下,隧道才能建立;否則本端將自動斷開隧道連接。若隧道兩端都禁止了隧道認證,隧道認證的密碼一致與否將不起作用 缺省情況下,未啟用隧道認證 |
|
隧道認證密碼 |
為了保證隧道安全,建議用戶啟用隧道認證功能。如果為了進行網絡連通性測試或者接收不知名對端發起的連接,則也可不進行隧道認證(隧道認證的密碼由遠端的LNS管理員分配) |
|
HELLO報文間隔 |
設置發送Hello報文的時間間隔,單位為秒 為了檢測LAC和LNS之間隧道的連通性,LAC和LNS會定期向對端發送Hello報文,接收方接收到Hello報文後會進行響應。當LAC或LNS在指定時間間隔內未收到對端的Hello響應報文時,重複發送,如果重複發送6次仍沒有收到對端的響應信息則認為L2TP隧道已經斷開,需要重新建立隧道連接 LNS端可以配置與LAC端不同的Hello報文間隔 缺省情況下,Hello報文間隔為60秒 |
|
綁定接口 |
用來指定l2tp0虛接口綁定的實接口信息 |
頁麵向導:VPN→L2TP VPN→L2TP服務端
本頁麵為您提供如下主要功能:
|
設置L2TP服務端(LNS) |
|
頁麵中關鍵項的含義如下表所示。
表11-2 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
啟用LNS |
啟用或禁用LNS功能 缺省情況下,LNS處於禁用狀態 |
|
L2TP服務器名稱 |
標識該L2TP服務器的名稱 |
|
地址池 |
設置給L2TP客戶端分配地址所用的地址池 設置地址池的起始IP地址和結束IP地址 起始地址和結束地址前24位要一致,即輸入地址格式:x1.x2.x3.y~x1.x2.x3.y1,即起始與結束地址x1.x2.x3要一致,如:地址池設置為10.5.100.100~10.5.100.155,要確保起始地址和結束地址10.5.100一致即可
· 結束地址被LNS的PPP接口使用,不分配給接入客戶端 · 地址池不能和內網網段衝突 |
|
啟用隧道認證 |
設置是否在該組中啟用L2TP隧道認證功能,當啟用隧道認證時需要設置隧道認證密碼 隧道認證請求可由LAC側發起。隻要有一端啟用了隧道認證,則隻有在對端也啟用了隧道認證,兩端密碼完全一致且不為空的情況下,隧道才能建立;否則本端將自動斷開隧道連接。若隧道兩端都禁止了隧道認證,隧道認證的密碼一致與否將不起作用 缺省情況下,未啟用隧道認證
當PC作為LAC,設備作為LNS時,建議不要啟用LNS端的隧道認證功能 |
|
隧道認證密碼 |
為了保證隧道安全,建議啟用隧道認證功能。如果為了進行網絡連通性測試或者接收不知名對端發起的連接,則也可不進行隧道認證 |
|
HELLO報文間隔 |
設置發送Hello報文的時間間隔,單位為秒 為了檢測LAC和LNS之間隧道的連通性,LAC和LNS會定期向對端發送Hello報文,接收方接收到Hello報文後會進行響應。當LAC或LNS在指定時間間隔內未收到對端的Hello響應報文時,重複發送,如果重複發送6次仍沒有收到對端的響應信息則認為L2TP隧道已經斷開,需要重新建立隧道連接 LNS端可以配置與LAC端不同的Hello報文間隔 缺省情況下,Hello報文間隔為60秒 |
頁麵向導:VPN→L2TP VPN→LNS用戶管理
本頁麵為您提供如下主要功能:
|
LNS用戶查詢(關鍵字過濾選擇用戶名或狀態,在關鍵字中輸入用戶名或選擇用戶狀態,單擊<查詢>按鈕生效) |
|
|
LNS新增用戶(單擊主頁麵上的<新增>按鈕,在彈出的對話框中輸入用戶名、密碼和選擇用戶狀態,單擊<增加>按鈕生效) |
|
|
修改用戶信息(雙擊主頁麵上的列表中的用戶項或者單擊 |
|
頁麵中關鍵項的含義如下表所示。
表11-3 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
用戶名 |
LNS管理的用戶,LAC與該LNS建立會話時要使用的用戶名 |
|
密碼 |
LNS管理的用戶,LAC與該LNS建立會話時要使用的用戶密碼 |
|
狀態 |
LNS管理的用戶狀態 啟用:LNS允許遠端的L2TP客戶端使用該用戶建立會話 禁用:LNS不允許遠端的L2TP客戶端使用該用戶建立會話 |
頁麵向導:VPN→L2TP VPN→L2TP狀態
本頁麵為您提供如下主要功能:
|
· 顯示當前L2TP客戶端信息 · 連接或斷開L2TP客戶端連接 · 顯示當前作為LNS時已建立會話和隧道的信息 |
|
頁麵中關鍵項的含義如下表所示。
表11-4 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
鏈路狀態 |
顯示L2TP客戶端當前的連接狀態 |
|
本端IP地址 |
顯示當前L2TP客戶端,本端PPP接口的IP地址 |
|
對端IP地址 |
顯示當前L2TP客戶端,對端PPP接口的IP地址 |
|
用戶名 |
顯示LNS服務中,當前接入客戶端建立會話使用的用戶名 |
|
對端地址 |
顯示LNS服務中,當前接入客戶端的公網IP地址 |
|
對端主機名稱 |
顯示LNS服務中,當前接入客戶端的主機名稱 |
|
本端隧道ID |
顯示LNS服務中,當前已建立隧道的本端ID |
|
對端隧道ID |
顯示LNS服務中,當前已建立隧道的對端ID |
VPN用戶訪問公司總部過程如下:
(1) LAC上創建虛擬PPP用戶,LAC自動向LNS發起建立隧道連接的請求,為該虛擬PPP用戶建立L2TP隧道。
(2) VPN用戶通過LAN將訪問公司總部的報文發送給LAC。
(3) LAC封裝該報文,並通過已經建立的L2TP隧道將報文發送給LNS,VPN用戶與公司總部間的通信都通過LAC與LNS之間的隧道進行傳輸。
公司辦事處通過L2TP客戶端,與遠端的公司總部的LNS進行連接。
· 將路由器的WAN口接公網線路;
· 設置WAN口通過靜態方式連接到因特網;
· 啟用LAC功能;
· 設置用於建立PPP連接的用戶名、密碼,以及公司總部提供的L2TP服務器地址;
· 設置L2TP客戶端地址獲取方式為動態獲取;
· 設置公司總部提供的L2TP隧道認證密碼;
· 設置指向隧道對端的靜態路由。
此典型配置案例中所涉及的設置均在路由器缺省配置的基礎上進行。如果您之前已經對路由器做過相應的配置,為了保證效果,請確保當前配置和以下配置不衝突。
(1) LAC側配置
|
在管理計算機的Web瀏覽器地址欄中輸入http://192.168.1.1,回車。輸入缺省的用戶名:admin,密碼:admin,單擊<登錄>按鈕後便可進入Web設置頁麵 |
|
|
設置WAN口IP:192.16.100.19,網關地址:192.16.100.11(靜態IP和網關都是由運營商分配) |
|
|
配置LAC信息(啟用LAC功能,輸入用戶名:vpdnuser,密碼:hello,L2TP服務器IP:192.16.100.31,地址方式選擇動態獲取,啟用隧道認證,隧道認證密碼:tunnel-auth,單擊<應用>按鈕後發起L2TP連接請求) |
|
|
配置靜態路由(設置目的地址為L2TP VPN對端網段地址,出接口為L2TP VPN虛接口,單擊<增加>按鈕生效) |
|
(2) LNS側配置
公司總部的LNS服務器運行正常,並提供LNS側配置信息,如下表所示。
表11-5 LNS管理員提供的配置
|
關鍵項 |
內容 |
|
用戶名 |
vpdnuser |
|
密碼 |
hello |
|
隧道認證是否開啟 |
開啟隧道認證模式 |
|
隧道認證密碼 |
tunnel-auth |
|
LNS的公網IP地址 |
192.16.100.31 |
(3) 驗證配置結果
|
選擇“VPN→L2TP VPN→L2TP狀態→L2TP客戶端信息”來查看L2TP客戶端連接情況,當鏈路狀態為已連接時,則可正常訪問公司總部的資源了 |
|
VPN用戶訪問公司總部過程如下:
(1) 配置用戶側主機的IP地址和路由,確保用戶側主機和LNS之間路由可達。
(2) 由用戶向LNS發起Tunnel連接的請求。
(3) 在LNS接受此連接請求之後,VPN用戶與LNS之間就建立了一條虛擬的L2TP tunnel。
(4) 用戶與公司總部間的通信都通過VPN用戶與LNS之間的隧道進行傳輸。
公司辦事處員工通過Windows 7的L2TP客戶端接入公司總部的設置L2TP服務端,來訪問內部資源。
· 將路由器的WAN口接公網線路;
· 設置WAN口通過靜態方式連接到因特網;
· 設置LNS服務為啟用狀態,並配置信息;
· 添加允許接入的用戶信息。
此典型配置案例中所涉及的設置均在路由器缺省配置的基礎上進行。如果您之前已經對路由器做過相應的配置,為了保證效果,請確保當前配置和以下配置不衝突。
(1) LNS側配置
|
在管理計算機的Web瀏覽器地址欄中輸入http://192.168.1.1,回車。輸入缺省的用戶名:admin,密碼:admin,單擊<登錄>按鈕後便可進入Web設置頁麵 |
|
|
設置WAN口IP:192.16.100.31,網關地址:192.16.100.11(靜態IP和網關都是由運營商分配) |
|
|
配置LNS信息(啟用LNS,輸入L2TP服務器名稱:H3C-LNS,地址池:10.10.11.10~10.10.11.20,單擊<應用>按鈕生效) |
|
|
新增用戶(單擊主LNS用戶管理頁麵上的<新增>按鈕,在彈出的對話框中輸入用戶名:vpdnuser,密碼:hello,用戶狀態:啟用,單擊<增加>按鈕生效) |
|
完成以上所有設置後,您可以通過下列操作來查看當前LNS配置情況:
|
選擇“VPN→L2TP VPN→L2TP服務端”來查看當前LNS配置信息 |
|
|
選擇“VPN→L2TP VPN→LNS用戶管理”來查看允許L2TP客戶端使用的用戶信息 |
|
(2) 設置Windows 7的L2TP客戶端
|
單擊桌麵右下角的網絡圖標,如 |
|
|
單擊“設置新的連接或網絡”,創建一個L2TP客戶端 |
|
|
彈出“設置連接或網絡”,選擇“連接到工作區”選項,單擊<下一步>按鈕 |
|
|
選擇“使用我的Internet連接(VPN)(I)”選項 |
|
|
輸入要連接到的L2TP服務器的IP地址和該L2TP客戶端的連接的名稱,單擊<下一步>按鈕 |
|
|
輸入用戶名:vpdnuser,密碼:hello,單擊<連接>按鈕進行連接 |
|
|
單擊桌麵右下角的網絡圖標,如 |
|
|
在彈出窗口中,選擇“安全”頁簽,在“VPN類型(T)”中選擇“使用IPsec的第2層隧道協議(L2TP/IPSec)”,單擊<確定>按鈕生效 |
|
|
打開L2TP協議的撥號終端窗口,在彈出的窗口中輸入用戶名:vpdnuser,密碼:hello,單擊<連接>按鈕進行連接 |
|
(3) 驗證配置結果
|
LNS側,通過選擇“VPN→L2TP VPN→L2TP狀態”來查看當前的LNS服務端會話信息 |
|
|
打開Windows 7的L2TP客戶端,通過選擇L2TP協議連接終端的狀態選項,來查看當前的連接情況 |
|
QoS是指針對網絡中各種應用不同的需求,提供不同的服務質量,比如:提供專用帶寬、減少報文丟失率、降低報文傳送時延及抖動。
本章節主要包含以下內容:
· 設置IP流量限製
· 設置專用通道
· 設置網絡連接限數
某些應用(比如:P2P下載等)在給用戶帶來方便的同時,也占用了大量的網絡帶寬。一個網絡的總帶寬是有限的,如果這些應用過度占用網絡帶寬,必將會影響其他用戶正常使用網絡。
為了保證局域網內所有用戶都能正常使用網絡資源,您可以通過IP流量限製功能對局域網內指定主機的流量進行限製。
路由器支持以下兩種IP流量限製方式:
· 允許每IP通道借用空閑的帶寬(推薦使用):即彈性帶寬限製,在帶寬使用不緊張時,允許每台主機可以使用係統空閑帶寬,其實際流量可以超過限速值。
· 每IP通道隻能使用預設的帶寬:即固定帶寬限製,每台主機的實際流量不能超過限速值。即使係統還有空閑的帶寬,也不能利用。
一般情況下,上網流量都通過正常通道來轉發(正常通道是指除了綠色專用通道和限製專用通道以外的通道),IP流量限製僅對該通道中的流量生效。正常通道的帶寬=接口帶寬(從運營商申請到的實際帶寬)-綠色專用通道的帶寬。
頁麵向導:QoS設置→流量管理→IP流量限製
本頁麵為您提供如下主要功能:
|
啟用IP流量限製功能,並設置您所需的限製方式(主頁麵。選中“啟用IP流量限製”複選框,選擇相應的限製方式,並設置正確的接口帶寬(否則可能發生掉線),單擊<應用>按鈕生效) |
|
|
添加限速規則(單擊<新增>按鈕,在彈出的對話框中設置限速規則,單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表12-1 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
啟用IP流量限製 |
開啟路由器的IP流量限製功能 缺省情況下,IP流量限製功能處於關閉狀態 |
|
允許每IP通道借用空閑的帶寬 |
選擇路由器的IP流量限製方式 缺省情況下,路由器采用每IP通道隻能使用預設的帶寬
以出口帶寬為30M,帶機量為10台為例:每IP上行和下行流量上限均可設置為3000Kbps,同時開啟使用允許每IP通道借用空閑的帶寬 |
|
每IP通道隻能使用預設的帶寬 |
|
|
表項序號 |
由於係統會根據表項的序號來順序匹配,因此您可以通過此選項來調整該表項的匹配優先級 缺省情況下,新增的表項會排在最後 |
|
IP起始地址 |
輸入局域網內需要進行流量限製的主機的起始IP地址 |
|
IP結束地址 |
輸入局域網內需要進行流量限製的主機的結束IP地址 |
|
帶寬共享方式 |
選擇需要進行流量限製的計算機的帶寬共享方式,當受限地址類型為IP地址範圍時可選擇獨占或共享,為IP網段時,係統自動設定為共享,無法修改 · 獨占:受限地址範圍內的每台計算機各自占有給定的帶寬(即流量上限),如IP地址範圍為192.168.1.2~192.168.1.11,流量上限為3000Kbps,表示此IP範圍內的每台計算機的流量上限為3000Kbps · 共享:受限地址範圍內的所有計算機共享給定的帶寬,如IP地址範圍為192.168.1.2~192.168.1.11,流量上限為3000Kbps,表示此IP範圍內的所有主機的流量之和的上限為3000Kbps |
|
限速接口 |
選擇IP流量限速所應用的接口 · WAN1:僅當流量從WAN1口出入時,才進行限速 · WAN2:僅當流量從WAN2口出入時,才進行限速 |
|
限速方向 |
選擇IP流量限速方向: · “上行限速”:限製由局域網發送到因特網的數據流速率(比如:局域網內主機向因特網上的FTP服務器上傳文件) · “下行限速”:限製由因特網發送到局域網的數據流速率(比如:局域網內主機從因特網上的FTP服務器下載文件) · “雙向限速”:同時限製上行、下行兩個方向上的數據流速率 |
|
上行流量上限 |
輸入最大上行流量
此最大上行流量限製值是在“IP起始地址”和“IP結束地址”地址段中各個主機的上行帶寬,而不是IP地址段內所有主機的共享上行帶寬 |
|
下行流量上限 |
輸入最大下行流量
此最大下行流量限製值是在“IP起始地址”和“IP結束地址”地址段中各個主機的下行帶寬,而不是IP地址段內所有主機的共享下行帶寬 |
|
生效時間 |
選擇IP流量限製的生效時間。生效時間包括兩部分內容:在一天中生效的時間段,時間使用24小時製,起始時間應早於結束時間,00:00~24:00表示該規則在一天內任何時間都生效;星期選擇表示一周中哪些天規則生效。請為設備配置正確的係統時間 |
|
描述 |
對此條新增限速規則進行描述 |
缺省情況下,當對相同的單個IP地址或IP地址網段,在同一個限速接口上進行限速時,先添加的限速規則生效。比如:
· 先添加規則1:設置用戶(192.168.1.2)在WAN1接口上的IP流量限速為3000Kbps。
· 後添加規則2:設置用戶(192.168.1.2)在WAN1接口上的IP流量限速為4000Kbps。
生效情況:規則1生效。
未設置限速規則的用戶,帶寬不做限製,隻受係統轉發能力的限製;當路由器開啟彈性帶寬後,係統為了合理地分配帶寬,限速的用戶可以占用一定的彈性帶寬。
路由器為您提供了綠色專用通道和限製專用通道的設置:
· 綠色專用通道:您可以將特定的數據業務流通過綠色通道轉發,從而可以保證對時延要求較高的應用(比如:網絡遊戲)有足夠帶寬。在綠色專用通道中,路由器支持根據您設置的報文長度大小和協議端口號來匹配數據流。
· 限製專用通道:您可以將特定的數據業務流通過限製通道轉發,從而可以限製大流量P2P應用的帶寬。在限製通道中,路由器支持根據您設置的報文協議端口號來匹配數據流。
比如:某網吧的實際帶寬為10Mbps,有100人在上網,其中大部分用戶都在玩某類遊戲,還有部分用戶在使用P2P軟件下載影片。此時,您可以為玩某類遊戲的用戶設置綠色專用通道,為P2P下載影片的用戶設置限製專用通道。從而保證即使線路存在擁塞時,遊戲數據包仍然能得到及時轉發,並可以限製P2P下載過度占用帶寬。
頁麵向導:QoS設置→流量管理→綠色通道管理
本頁麵為您提供如下主要功能:
|
啟用綠色通道功能,並設置相關參數(主頁麵。選中“啟用綠色專用通道”複選框,設置此綠色通道的每接口上/下行流量限速,並選擇數據流匹配方式,單擊<應用>按鈕生效) |
|
|
添加用於匹配數據流的協議端口號(單擊主頁麵上的<新增>按鈕,在彈出的對話框中設置匹配項,單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表12-2 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
啟用綠色專用通道 |
缺省情況下,綠色專用通道處於關閉狀態 |
|
每接口上行流量上限 |
輸入每個WAN接口所占用的綠色專用通道的最大上行流量 |
|
每接口下行流量上限 |
輸入每個WAN接口所占用的綠色專用通道的最大下行流量 |
|
啟用數據包長度選擇 |
選中該複選框,並設置報文長度,路由器會根據報文的長度來識別需要發送到綠色專用通道的流量 缺省情況下,此功能處於關閉狀態 |
|
啟用端口選擇 |
選中該複選框,路由器會根據協議端口來識別需要發送到綠色專用通道的流量 缺省情況下,此功能處於關閉狀態 |
|
應用名稱 |
設置需要識別的端口組的描述名稱,可以為空 |
|
端口號 |
設置需要識別的協議端口號
對局域網發送到因特網的流量,路由器匹配目的端口號;對因特網發送到局域網的流量,路由器匹配源端口號 |
如果報文長度選擇和端口選擇同時開啟時,隻要匹配其中一項即可識別成功,且報文長度選擇優先匹配。
頁麵向導:QoS設置→流量管理→限製通道管理
本頁麵為您提供如下主要功能:
|
啟用限製通道功能,並設置相關參數(主頁麵。選中“啟用限製通道”複選框,設置此限製通道的每接口上/下行流量限速,單擊<應用>按鈕生效) |
|
|
添加用於匹配數據流的協議端口號(單擊主頁麵上的<新增>按鈕,在彈出的對話框中設置匹配項,單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表12-3 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
啟用限製通道 |
缺省情況下,限製通道處於關閉狀態 |
|
每接口上行流量上限 |
輸入每個WAN接口所占用的限製通道的最大上行流量 |
|
每接口下行流量上限 |
輸入每個WAN接口所占用的限製通道的最大下行流量 |
|
應用名稱 |
設置需要識別的端口組的描述名稱,可以為空 |
|
端口號 |
設置需要識別的協議端口號
對局域網發送到因特網的流量,路由器匹配目的端口號;對因特網發送到局域網的流量,路由器匹配源端口號 |
當局域網內的主機遭受NAT攻擊時,主機的網絡連接數可能會超過幾萬個,從而會嚴重影響業務的正常運行或出現網絡掉線現象。此時,您可對指定主機的最大網絡連接數進行限製,保證網絡資源的有效利用。
頁麵向導:QoS設置→連接限製→網絡連接限數
本頁麵為您提供如下主要功能:
|
啟用網絡連接限數功能(主頁麵。選中“啟用網絡連接限數”複選框,單擊<應用>按鈕生效) |
|
|
添加指定IP地址範圍內每台主機同時發起的最大網絡連接數(單擊主頁麵上的<新增>按鈕,在彈出的對話框中設置相應參數,單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表12-4 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
啟用網絡連接限數 |
缺省情況下,網絡連接限數功能處於關閉狀態 |
|
表項序號 |
由於係統會根據表項的序號來順序匹配,因此您可以通過此選項來調整該表項的匹配優先級 缺省情況下,新增的表項會排在最後 |
|
IP起始地址 |
輸入對局域網內進行網絡連接限數的主機的起始IP地址 |
|
IP結束地址 |
輸入對局域網內進行網絡連接限數的主機的結束IP地址 |
|
每IP網絡連接數上限 |
輸入指定主機的網絡連接數上限值 |
|
每IP TCP連接數上限 |
允許指定IP範圍的每台主機同時向WAN側發起的最大TCP連接數,可留空 |
|
每IP UDP連接數上限 |
允許指定IP範圍的每台主機同時向WAN側發起的最大UDP連接數,可留空 |
|
描述 |
對此網絡連接限數項進行描述 |
缺省情況下,當對相同的單個IP地址或IP地址網段進行網絡連接限數時,先添加的限數規則生效。比如:
· 先添加規則1:設置192.168.1.2~192.168.1.100網段中的用戶網絡連接數上限為40。
· 後添加規則2:設置192.168.1.2~192.168.1.100網段中的用戶網絡連接數上限為50。
生效情況:規則1生效。
VLAN網絡連接限數即通過設置每個VLAN的連接數上限,從而有效解決了部分VLAN占用大量網絡連接資源的問題,實現了網絡資源的合理利用。設置網絡連接數時,除總連接數上限以外,您還可以設置TCP連接數上限和UDP連接數上限。通過設置UDP連接數上限,您可以有效解決BT和視頻播放等軟件建立過多UDP連接,導致網頁訪問緩慢等問題(連接數過多,TCP連接無法建立)。
頁麵向導:QoS設置→連接限製→VLAN網絡連接限數
本頁麵為您提供如下主要功能:
|
啟用VLAN網絡連接限數功能(主頁麵。選中“啟用VLAN網絡連接限數”複選框,單擊<應用>按鈕生效) |
|
|
添加指定VLAN的總連接數上限(單擊主頁麵上的<新增>按鈕,在彈出的對話框中設置相應參數,單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表12-5 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
啟用VLAN網絡連接限數 |
開啟和關閉VLAN內網絡連接限數功能 |
|
VLAN接口 |
需要進行網絡連接限數的VLAN接口名稱 |
|
總連接數 |
指定VLAN允許占用的最大網絡連接數,避免個別VLAN占用過多的資源 |
|
TCP連接數 |
指定VLAN允許占用的最大TCP連接數 |
|
UDP連接數 |
指定VLAN允許占用的最大UDP連接數 |
|
描述 |
對此VLAN網絡連接限數項進行描述 |
本章節主要包含以下內容:
· 地址轉換
· 路由設置
· 應用服務
NAT可以實現局域網內的多台主機通過1個或多個公網IP地址接入因特網,即用少量的公網IP地址代表較多的私網IP地址,節省公網的IP地址。
私網IP地址是指內部網絡或主機的IP地址,公網IP地址是指在因特網上全球唯一的IP地址。
RFC 1918為私網預留出了三個IP地址塊,如下:
· A類:10.0.0.0~10.255.255.255
· B類:172.16.0.0~172.31.255.255
· C類:192.168.0.0~192.168.255.255
上述三個範圍內的地址不會在因特網上被分配,因此可以不必向運營商或注冊中心申請而在公司或企業內部自由使用。
路由器支持提供以下三種NAT轉換方式:
· 一對一NAT:將局域網內主機的IP地址一對一轉換為指定的公網IP地址,即對應主機訪問因特網時有自己的公網IP地址。在這種方式下,局域網內的其他主機及因特網上的主機都可以通過訪問對應的公網IP地址來訪問該主機。
· 多對一NAT:當路由器擁有單個公網IP地址時,如果局域網內的主機訪問外網,其私網IP地址均自動轉換為對應的WAN接口的IP地址。
· 多對多NAT:當路由器擁有多個公網IP地址時,如果局域網內的主機訪問外網,其私網IP地址會自動轉換為公網IP地址池中的其中一個IP地址。
比如:某企業申請了一條電信線路,分配的公網IP地址範圍是218.3.55.20~218.3.55.30。該企業需要對外開放Web服務器(IP地址為192.168.1.5)、Mail服務器(IP地址為192.168.1.6)和FTP服務器(IP地址為192.168.1.7)。此時,您可以使用一對一NAT方式將服務器IP地址與公網IP地址建立一對一地址轉換,其他主機上網時可使用公網IP地址池中的其他IP地址,從而可以充分利用所有的公網IP地址。
僅當開啟了NAT功能後,您所設置的一對一NAT、多對一NAT和多對多NAT才會生效。
當您需要將設備作為普通的路由器使用時,可以關閉NAT功能。
頁麵向導:高級設置→地址轉換→NAT設置
本頁麵為您提供如下主要功能:
|
· 開啟NAT功能(選中“使用NAT地址轉換”單選按鈕,單擊<應用>按鈕生效) · 關閉NAT功能(選中“不使用NAT地址轉換”單選按鈕,單擊<應用>按鈕生效) |
|
在您設置多對一和多對多NAT前,請先開啟NAT功能。
頁麵向導:高級設置→地址轉換→NAT設置
本頁麵為您提供如下主要功能:
|
設置多對一NAT(根據您實際所連接的線路,選擇相應的“自動使用WAN1的IP地址”或“自動使用WAN2的IP地址”單選按鈕,單擊<應用>按鈕生效) |
|
|
設置多對多NAT(根據您實際所連接的線路,設置相應WAN口的NAT地址池範圍,單擊<應用>按鈕生效) |
|
建議您在H3C技術人員的指導下對網絡連接參數進行操作。
頁麵向導:高級設置→地址轉換→NAT設置
本頁麵為您提供如下主要功能:
|
· 設置路由器支持的網絡連接總數,即會話總數(一般情況下,請保留缺省值。比如:局域網內PC遭受病毒攻擊從而建立大量無用的連接,您可以修改該參數來減少路由器資源的浪費) · 清除指定接口的網絡連接(一般情況下,如果路由器運行正常,請勿執行此操作。因為,清除網絡連接會導致現有的業務重新選擇出接口,可能會影響現有業務的正常運行) |
|
在您設置一對一NAT前,請先開啟NAT功能。
頁麵向導:高級設置→地址轉換→一對一NAT
本頁麵為您提供如下主要功能:
|
設置一對一NAT(選中“啟用”複選框,設置指定的內網IP與公網IP的映射關係,並選擇相應的WAN出接口,單擊<應用>按鈕生效) |
|
為保證局域網的安全,路由器會阻斷從因特網主動發起的連接請求。因此,如果您想讓因特網用戶能夠訪問局域網內的服務器(比如:Web服務器、Email服務器、FTP服務器等),需要設置虛擬服務器。
虛擬服務器也可稱為端口映射,它可以將WAN口IP地址、外部端口號和局域網內服務器IP地址、內部端口號建立映射關係,使所有對該WAN口某服務端口的訪問重定向到指定的局域網內服務器的相應端口。
路由器會根據以下步驟來進行端口映射:
圖13-1 端口映射
頁麵向導:高級設置→地址轉換→虛擬服務器
本頁麵為您提供如下主要功能:
|
設置當虛擬服務器列表中如果不存在對應的映射項時,對報文的處理方式(主頁麵。選擇“丟棄”或“重定向到DMZ主機”,單擊<應用>按鈕生效) |
|
|
添加虛擬服務器列表項(單擊主頁麵上的<新增>按鈕,在彈出的對話框中設置相應的虛擬服務器參數,單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表13-1 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
預置設置 |
路由器提供一些常用服務的預置設置選項,比如:FTP、Email(PoP3)等服務 在下拉列表框中選擇某服務,服務名稱、外部端口、內部端口項均將自動完成設置
· 如果路由器提供的預設服務沒有您需要的,您可以自行設置服務信息 · 預設服務的端口號是常用端口號,如果需要,您可以自行修改 · 對於FTP、TFTP服務等,您需要開啟對應的ALG項,且內部端口必須設置為標準端口號。例如:WAN側客戶端通過PASV模式(被動FTP)訪問局域網內的FTP服務器,內部端口必須設置為21 |
|
服務名稱 |
輸入虛擬服務器設置項的名稱 |
|
外部端口 |
輸入客戶端訪問虛擬服務器所使用的端口 取值範圍:1~65535,端口範圍必須從小到大,推薦設置10000以上的端口。如果隻有一個端口,則左右兩邊的文本框請填寫同一端口號
各設置項的外部端口不能重複,且內部端口和外部端口的設定個數必須一樣,即內部端口和外部端口一一對應。比如:設置某個虛擬服務器,外部端口為100~102,內部端口為10~12。如果路由器收到外部101端口的訪問請求,則路由器會把報文轉發到內部服務器的11端口 |
|
內部端口 |
輸入內部服務器上真實開放的服務端口 取值範圍:1~65535,端口範圍必須從小到大。如果隻有一個端口,則左右兩邊的文本框請填寫同一端口號
各設置項的內部端口允許重複,且內部端口和外部端口的設定個數必須一樣,即內部端口和外部端口一一對應 |
|
內部服務器IP |
輸入內部服務器的IP地址 |
|
是否啟用 |
在下拉列表框中選擇“啟用”,表示此虛擬服務器生效;選擇“禁用”,表示此虛擬服務器不生效 |
當局域網內的客戶端訪問因特網上的服務器時,對於某些應用(比如:IP電話、視頻會議等),客戶端向服務器主動發起連接的同時,也需要服務器向客戶端發起連接請求。而缺省情況下,路由器收到WAN側主動連接的請求都會拒絕,此時通信會被中斷。
通過設置路由器的端口觸發規則,當客戶端訪問服務器並觸發規則後,路由器會自動開放服務器需要向客戶端請求的端口,從而可以保證通信正常。當客戶端和路由器長時間沒有數據交互時,路由器會自動關閉之前對外開放的端口,最大限度地保證了局域網的安全。
頁麵向導:高級設置→地址轉換→端口觸發
本頁麵為您提供如下主要功能:
|
顯示和修改當前您已添加的端口觸發規則(主頁麵) |
|
|
添加端口觸發規則(單擊主頁麵上的<新增>按鈕,在彈出的對話框中設置相應的參數,單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表13-2 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
應用名稱 |
輸入端口觸發設置項的名稱 |
|
觸發端口 |
輸入局域網內的客戶端向外網服務器發起請求的端口 取值範圍:1~65535,端口範圍必須從小到大。如果隻有一個端口,則左右兩邊的文本框請填寫同一端口號
當局域網內的客戶端通過觸發端口與外部網絡建立連接時,其相應的外來端口也將被打開。此時,外部網絡的主機可以通過這些端口來訪問局域網 |
|
外來端口 |
輸入外網服務器需要主動向局域網內客戶端請求的端口 取值範圍:1~65535,可設置單一端口、端口範圍或兩者的組合,端口間用英文逗號“,”隔開,比如:100,200-300,400,表示請求端口為端口100,400及200到300之間的端口 |
|
是否啟用 |
在下拉列表框中選擇“啟用”,表示此端口觸發生效;選擇“禁用”,表示此端口觸發不生效 |
通常情況下,NAT隻對報文頭中的IP地址和端口信息進行轉換,不對應用層數據載荷中的字段進行分析。
然而,對於一些特殊的協議(比如:FTP、TFTP等),它們報文的數據載荷中可能包含IP地址或端口信息,這些內容不能被NAT進行有效地轉換,就可能會出現問題。比如:FTP應用是由數據連接和控製連接共同完成的,而且數據連接的建立由控製連接中的載荷字段信息動態地決定,這就需要ALG來完成載荷字段信息的轉換,以保證後續數據連接的正確建立。
針對需要ALG的一些應用層協議,您在使用時隻需要在路由器上開啟相應的項即可。
頁麵向導:高級設置→地址轉換→ALG應用
本頁麵為您提供如下主要功能:
|
設置ALG應用(缺省情況下,應用層協議的ALG應用均已經開啟,建議您保留缺省設置) |
|
靜態路由是一種特殊的路由,需要您手工設置。設置靜態路由後,去往指定目的地的報文將按照您指定的路徑進行轉發。在組網結構比較簡單的網絡中,隻需設置靜態路由就可以實現網絡互通。恰當地設置和使用靜態路由可以改善網絡的性能,並可為重要的網絡應用保證帶寬。
靜態路由的缺點在於:不能自動適應網絡拓撲結構的變化,當網絡發生故障或者拓撲發生變化後,可能會出現路由不可達,導致網絡中斷。此時必須由您手工修改靜態路由的設置。
比如:如圖13-2所示,如果您希望LAN A中PC1與LAN B中PC2可以相互訪問或LAN B中PC2通過ER G2無線係列路由器訪問因特網,則可以在ER G2無線係列路由器上設置一條靜態路由(目的網段:192.168.2.0,下一跳地址:192.168.1.3)。
頁麵向導:高級設置→路由設置→靜態路由
本頁麵為您提供如下主要功能:
|
顯示和修改當前您已添加的靜態路由(主頁麵) |
|
|
添加靜態路由(主頁麵。單擊<新增>按鈕,在彈出的對話框中設置相應的參數,單擊<增加>按鈕完成操作) |
|
|
查看所添加的靜態路由的生效情況(單擊主頁麵上的“查看路由信息表”按鈕,您即可在彈出的頁麵中查看已經生效的靜態路由信息。如果您添加了一條錯誤的靜態路由,該路由不會生效。您可以通過對比主頁麵的靜態路由表和此處的路由信息,判斷您是否添加了錯誤路由) |
|
頁麵中關鍵項的含義如下表所示。
表13-3 頁麵關鍵項描述
|
頁麵關鍵項 |
說明 |
|
目的地址 |
輸入需要到達的目的IP地址 |
|
子網掩碼 |
輸入需要到達的目的地址的子網掩碼 |
|
下一跳地址 |
輸入數據在到達目的地址前,需要經過的下一個路由器的IP地址 |
|
出接口 |
選擇靜態路由的出接口
您必須選擇正確的出接口,所添加的靜態路由才能生效 |
|
描述 |
對此靜態路由表項進行描述 |
策略路由是一種依據您所製定的策略進行路由選擇的機製。路由器提供獨特的策略路由功能,可以根據報文的某些字段(比如:源/目的IP地址、協議類型等)來區分數據流,並從指定的接口發送出去,起到業務分流的作用。
比如:某企業擁有兩條帶寬大小不同的因特網線路,並設置了普通用戶區(IP地址範圍是192.168.1.2~192.168.1.100)和管理層用戶區(IP地址範圍是192.168.1.101~192.168.1.200)。此時,您可以通過策略路由功能(根據源IP地址段區分)來將帶寬比較小的線路分配給普通區用戶,將帶寬比較大的線路分配給管理層用戶。
頁麵向導:高級設置→路由設置→策略路由
本頁麵為您提供如下主要功能:
|
顯示和修改當前您已添加的策略路由(主頁麵) |
|
|
添加策略路由(單擊主頁麵上的<新增>按鈕,在彈出的對話框中設置相應的參數,單擊<增加>按鈕完成操作) |
|
頁麵中關鍵項的含義如下表所示。
表13-4 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
表項序號 |
由於係統會根據表項的序號來順序匹配,因此您可以通過此選項來調整該表項的匹配優先級 缺省情況下,新增的表項會排在最後 |
|
協議類型 |
選擇需要匹配的報文的協議類型(或輸入對應的協議號) |
|
源端口 |
輸入需要匹配的報文的源端口號(隻有選擇或者設置協議TCP/UDP之後,源端口才可配置) 源端口支持散列端口和端口範圍兩種輸入方式: · 散列端口:格式為n,m或!n,m · 端口範圍:格式為n-m或!n-m 缺省情況下,源端口號為1-65535,表示匹配所有的源端口
“!”表示取反的意思,即匹配除了所設置端口外的其他端口。比如:您設置源端口為!3-300,表示源端口在3~300範圍內的報文均不會被匹配,其他源端口的報文都會被匹配;反之,如果您設置源端口為3-300,表示源端口在3~300範圍內的報文才會被匹配。以下若涉及此“!”參數,意義相同,不再贅述 |
|
源IP地址段 |
輸入需要匹配的報文的源IP地址段 源IP地址段支持三種輸入方式: · 單獨的IP地址:格式為a.b.c.d或!a.b.c.d · IP地址網段:格式為a.b.c.d/mask或!a.b.c.d/mask,mask表示網絡掩碼長度,取值範圍為0~32 · IP地址範圍:格式為a.b.c.d-e.f.g.h或!a.b.c.d-e.f.g.h 缺省情況下,源IP地址段為0.0.0.0-255.255.255.255,表示匹配所有的源IP地址 |
|
目的端口 |
輸入需要匹配的報文的目的端口號(隻有選擇或者設置協議TCP/UDP之後,目的端口才可配置) 目的端口支持散列端口和端口範圍兩種輸入方式: · 散列端口:格式為n,m或!n,m · 端口範圍:格式為n-m或!n-m 缺省情況下,目的端口號為1-65535,表示匹配所有的目的端口 |
|
目的IP地址段 |
輸入需要匹配的報文的目的IP地址段 目的IP地址段支持三種輸入方式: · 單獨的IP地址:格式為a.b.c.d或!a.b.c.d · IP地址網段:格式為a.b.c.d/mask或!a.b.c.d/mask,mask表示網絡掩碼長度,取值範圍為0~32 · IP地址範圍:格式為a.b.c.d-e.f.g.h或!a.b.c.d-e.f.g.h 缺省情況下,目的IP地址段為0.0.0.0-255.255.255.255,表示匹配所有的目的IP地址 |
|
出接口 |
指定策略路由表項的出口 如果不選中“強製”複選框,當該出接口不可用時,匹配該策略的報文仍進行選路轉發;如果選中“強製”複選框,當該出接口不可用時,匹配該策略的報文會直接被丟棄 |
|
生效時間 |
設置此策略路由項生效的時間段 |
|
是否啟用 |
設置當前策略路由的狀態 選擇啟用,表示使用此策略路由;選擇禁用,表示不使用此策略路由 |
|
描述 |
對此策略路由項進行說明 |
當路由器通過PPPoE方式或動態方式連接到因特網時,所獲取到的IP地址是不固定的。因此,給想訪問本局域網內服務器的因特網用戶帶來很大的不便。
開啟DDNS功能後,路由器會在DDNS服務器上建立一個IP與域名的映射表。當WAN口IP地址變化時,路由器會自動向指定的DDNS服務器發起更新請求,DDNS服務器會更新域名與IP地址的映射關係。所以,無論路由器的WAN口IP地址如何改變,因特網上的用戶仍可以通過域名對本局域網內的服務器進行訪問。
路由器的DDNS功能是作為DDNS服務的客戶端工具,需要與DDNS服務器協同工作。使用該功能之前,請先到www.pubyun.com去申請注冊一個域名。
頁麵向導:高級設置→應用服務→DDNS
本頁麵為您提供如下主要功能:
|
設置WAN口的DDNS |
|
頁麵中關鍵項的含義如下表所示。
表13-5 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
WAN1/WAN2 DDNS |
開啟或關閉對應WAN口的DDNS功能 缺省情況下,WAN口的DDNS功能處於關閉狀態 |
|
用戶名 |
輸入在DDNS服務器上申請的用戶名 |
|
密碼 |
輸入在DDNS服務器上申請的密碼 |
|
注冊的主機名 |
輸入在DDNS服務器上申請的主機名,例如:ddnstest.3322.org |
|
DDNS服務器地址 |
選擇DDNS服務器地址 |
|
當前地址 |
顯示對應WAN口當前的IP地址 |
|
狀態 |
顯示當前對應WAN口的DDNS工作狀態 · 未連接:與DDNS服務器連接失敗 · 注冊成功:向DDNS服務器注冊成功 · 注冊失敗:DDNS服務器認證沒有通過,可能是用戶名或密碼錯誤 |
UPnP主要用於實現設備的智能互聯互通,無需用戶參與和使用主服務器,能自動發現和控製來自各家廠商的各種網絡設備。
啟用UPnP功能,路由器可以實現NAT穿越:當局域網內的主機通過路由器與因特網通信時,路由器可以根據需要自動增加、刪除NAT映射表,從而解決一些傳統的業務不能穿越NAT的問題。
如需與UPnP功能配合使用,您所使用的計算機操作係統和應用程序均需要支持UPnP功能(比如:操作係統:Windows 7,應用程序:MSN)。
頁麵向導:高級設置→應用服務→UPnP
本頁麵為您提供如下主要功能:
|
開啟UPnP功能(選中“啟用UPnP功能”,單擊<應用>按鈕生效。缺省情況下,UPnP功能處於關閉狀態) |
|
本設備支持靜態DNS Server功能,通過手動指定網絡設備的域名和IP的對應關係可實現域名解析的目的。
頁麵向導:高級設置→應用服務→DNS Server
本頁麵為您提供如下主要功能:
|
設置靜態域名 |
|
|
單擊<新增>按鈕,在彈出的對話框中設置靜態dns,單擊<增加>完成操作 |
|
頁麵中關鍵項的含義如下表所示。
表13-6 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
域名 |
網絡設備的域名,域名不區分大小寫。輸入格式例如:“myserver.com” |
|
IP |
網絡設備的IP地址 |
|
描述 |
對此靜態域名表項進行描述 |
本章節主要包含以下內容:
· 基本管理
· USB管理
· 遠程管理
· 用戶管理
頁麵向導:設備管理→基本管理→配置管理
本頁麵為您提供如下主要功能:
|
· 將當前路由器的設置信息以.cfg文件的形式備份到本地(比如:當您發生誤操作或其他情況導致路由器的係統設置信息丟失時,您可用此備份文件進行恢複操作,保證路由器的正常運行) · 將路由器當前的設置恢複到您之前備份過的設置 · 將路由器恢複到出廠設置(比如:當您從一個網絡環境切換到另一個不同的網絡環境的情況,可將路由器恢複到出廠設置,然後再進行重新設置,以適應當前的組網) |
|
· 請不要編輯備份在本地的設置文件。因為,設置文件經過加密,修改後不能再次恢複到路由器中。
· 恢複到出廠設置後,當前的設置將會丟失。如果您不希望丟失當前設置信息,請先對路由器進行備份操作。
· 恢複出廠設置後,路由器將會重新啟動。在此期間請勿斷開設備的電源。
路由器支持通過NTP服務器來自動獲取係統時間和手工設置係統時間兩種方式。
NTP是由RFC 1305定義的時間同步協議,用來在分布式時間服務器和客戶端之間進行時間同步。NTP基於UDP報文進行傳輸,使用的UDP端口號為123。
使用NTP的目的是對網絡內所有具有時鍾的設備進行時鍾同步,使網絡內所有設備的時鍾保持一致,從而使設備能夠提供基於統一時間的多種應用。對於運行NTP的本地係統,既可以接受來自其他時鍾源的同步,又可以作為時鍾源同步其他的時鍾。
對於網絡中的各台設備來說,如果單依靠管理員手工修改係統時間,不但工作量巨大,而且也不能保證時鍾的精確性。通過NTP,可以很快將網絡中設備的時鍾同步,同時也能保證很高的精度。
當路由器連接到因特網後,會自動從路由器缺省的NTP服務器或您手工設置的NTP服務器中獲取時間。當通過NTP成功獲取到係統時間後,該時間還會根據您選擇的時區做相應的調整。
如果路由器無法通過NTP服務器獲取係統時間,則路由器會在基本信息頁麵中的“係統時間”處顯示“網絡未獲取時間”,此時您需要手工設置係統時間。
手工設置的係統時間不會與其他設備同步,也不支持時區的切換。當路由器重新啟動後,手工設置的係統時間會丟失,並且路由器將恢複成了通過NTP服務器來自動獲取係統時間。此時,如果您將路由器連接到因特網後,它會通過缺省的NTP服務器來獲取係統時間。
頁麵向導:設備管理→基本管理→時間設置
本頁麵為您提供如下主要功能:
|
· 通過NTP服務器來自動獲取係統時間(單擊“通過網絡獲取係統時間”單選按鈕,並指定相應的NTP服務器及時區,單擊<應用>按鈕生效) · 手工設置係統時間(單擊“手工設置係統時間”單選按鈕,設置具體的時間參數,單擊<應用>按鈕生效) |
|
設置完成後,您可以通過查看基本信息頁麵中的“係統時間”來驗證設置是否已生效。
通過軟件升級,您可以加載最新版本的軟件到路由器,以便獲得更多的功能和更為穩定的性能。
· 請您在軟件升級之前備份路由器當前的設置信息。如果升級過程中出現問題,您可以用其來恢複到原來的設置。
· 升級過程中請勿斷開路由器的電源,否則可能會造成路由器不能正常工作。
· 路由器升級成功後,將會重新啟動。
頁麵向導:設備管理→基本管理→軟件升級
本頁麵為您提供如下主要功能:
|
升級軟件 · 通過遠程升級(單擊<檢查更新>按鈕,查看是否有新版本可供升級,如檢測到新版本,<檢測更新>按鈕將變成<升級>,單擊<升級>按鈕,即可開始升級) · 通過本地升級(單擊頁麵上的“H3C的技術支持網站”鏈接下載對應產品的最新軟件版本,保存到本地主機。然後,單擊<瀏覽>按鈕,選擇相應的升級軟件。最後,單擊<升級>按鈕,即可開始升級) |
|
軟件升級後,您可以通過查看基本信息頁麵中“軟件版本”來驗證當前運行的版本是否正確。
· 重新啟動期間,請勿斷開路由器的電源。
· 重新啟動期間,網絡通信將暫時中斷。
頁麵向導:設備管理→基本管理→重啟動
單擊頁麵上的<重啟動>按鈕,確認後,路由器重新啟動。
頁麵向導:設備管理→USB管理→快速備份和恢複
本頁麵為您提供如下主要功能:
|
· 當插上U盤等存儲設備,USB接口會顯示已連接,並根據設備類型,USB模式會顯示為存儲模式。缺省情況下,USB接口上沒有插任何設備,USB狀態和USB模式均顯示未連接 · 將當前路由器的配置信息以.cfg文件的形式快速備份到USB設備上(比如:當您發生誤操作或其他情況導致路由器的係統配置信息丟失時,您可用此備份文件進行恢複操作,保證路由器的正常運行) · 將路由器當前的配置從USB設備上恢複到您之前備份過的配置 · 設備啟動的時候,可以從USB設備加載並恢複您之前備份過的配置 |
|
插上USB設備後,您可以通過查看基本信息頁麵中“軟件版本”來驗證當前運行的版本是否正確。
· 請不要編輯備份在USB設備上的配置文件。因為配置文件經過加密,修改後不能再次恢複到路由器中。
· 恢複到出廠配置後,當前的配置將會丟失。如果您不希望丟失當前配置信息,請先對路由器進行備份操作。
· 恢複出廠配置後,路由器將會重新啟動。在此期間請勿斷開設備的電源。
路由器為您提供了遠程登錄管理的功能,即因特網上的主機可以通過路由器的WAN口來實現Web或Telnet登錄。
遠程Web管理支持HTTP和HTTPS兩種訪問方式。HTTPS相對於HTTP,在安全性方麵有所增強,它將HTTP和SSL結合,通過SSL對客戶端身份和服務器進行驗證,對傳輸的數據進行加密,從而實現了對設備的安全管理。
HTTPS通過SSL協議,從以下幾方麵提高了安全性:
· 客戶端通過數字證書對服務器進行身份驗證,保證客戶端訪問正確的服務器;
· 服務器通過數字證書對客戶端進行身份驗證,保證合法客戶端可以安全地訪問設備,禁止非法的客戶端訪問設備;
· 客戶端與設備之間交互的數據需要經過加密,保證了數據傳輸的安全性和完整性,從而實現了對設備的安全管理。
· 同一時間,路由器最多允許五個用戶遠程通過Web或Telnet進行管理和設置。
· 缺省情況下,路由器的遠程Web管理和遠程Telnet管理均處於關閉狀態。
頁麵向導:設備管理→遠程管理→遠程管理
本頁麵為您提供如下主要功能:
|
· 開啟遠程Web管理功能(選中“啟用遠程web管理”複選框,選擇訪問方式,並設置相關的參數,單擊<應用>按鈕生效) · 開啟遠程Telnet管理功能(選中“啟用遠程telnet管理”複選框,設置相關的參數,單擊<應用>按鈕生效) |
|
頁麵中關鍵項的含義如下表所示。
表14-1 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
訪問方式 |
當選擇HTTP訪問方式時,遠程用戶需要在瀏覽器的地址欄中輸入http://ip-address:port登錄路由器;當選擇HTTPS訪問方式時,遠程用戶需要在瀏覽器的地址欄輸入https://ip-address:port登錄路由器,注意port前用英文冒號“:”
· ip-address是指路由器WAN口的IP地址,port是指您所指定的“設備的遠程管理端口” · 如果您使用HTTPS方式訪問路由器,路由器會向您發放一份證書。此證書可能因為不受信任而被瀏覽器阻止,您隻要選擇信任此證書,繼續操作便可進入路由器的Web登錄頁麵 |
|
遠程管理PC的IP範圍 |
設置遠程用戶的IP地址範圍,僅在該指定範圍內的用戶才允許遠程管理路由器 缺省情況下,允許所有用戶對路由器進行遠程管理 |
|
設備的遠程管理端口 |
設置對路由器進行遠程管理的端口號 推薦設置10000以上的端口 |
頁麵向導:設備管理→用戶管理→登錄管理
本頁麵為您提供如下主要功能:
|
· 設置局域網內允許管理路由器的用戶IP地址範圍(在“LAN內管理PC的IP範圍”文本框中輸入允許管理路由器的IP地址範圍,單擊<應用>按鈕生效。此限製功能僅對http/https、telnet訪問有效) · 設置Web用戶超時時間(在“超時時間”文本框中輸入時間參數,單擊<應用>按鈕生效) · 開啟/關閉Web登錄頁麵驗證碼功能(選擇功能狀態,單擊<應用>按鈕生效) · 查看當前已登錄的用戶信息 · 注銷已登錄用戶(單擊某用戶所對應的<注銷>按鈕,即可將該用戶強製退出。如需登錄,需要重新認證) |
|
· 當由於誤操作而未將自身的IP劃入到允許管理路由器的用戶IP地址範圍內,導致無法登錄路由器時,您可以通過admin acl default命令將其恢複為缺省設置(缺省情況下,允許局域網內所有用戶訪問路由器)。
· 驗證碼功能會使您的係統安全性更高。如果您想在登錄路由器Web設置頁麵時不需要輸入驗證碼,可禁用驗證碼功能。
頁麵向導:設備管理→用戶管理→密碼管理
本頁麵為您提供如下主要功能:
|
修改路由器的登錄密碼 |
|
本章節主要包含以下內容:
· 查看運行信息
· 流量監控
· 網絡維護
頁麵向導:係統監控→運行信息→基本信息
本頁麵為您提供如下主要功能:
|
· 查看設備基本信息(比如:當前運行的軟件版本號、CPU/內存使用率、運行時間等) · 查看WAN口當前的狀態信息(比如:WAN口的工作模式、連接因特網的方式、IP地址等) · 查看設備具體的無線網絡狀態(比如:2.4G無線狀態、5G無線狀態) |
|
頁麵中關鍵項的含義如下表所示。
表15-1 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
生產序列號 |
顯示路由器的序列號 |
|
軟件版本 |
顯示路由器當前的軟件版本
頁麵中的軟件版本信息僅作參考,請以路由器加載軟件版本後的最終顯示為準 |
|
Bootrom版本 |
顯示路由器當前的Bootrom版本 |
|
硬件版本 |
顯示路由器當前的硬件版本 |
|
係統資源 |
顯示路由器CPU及內存的使用百分比,您可以通過該參數值來簡單判斷路由器當前是否運行正常 |
|
運行時間 |
顯示路由器從上一次通電後到現在的總運行時間 |
|
係統時間 |
顯示路由器當前的係統時間和係統時間設置方式 |
|
USB狀態 |
顯示路由器當前的USB接口狀態信息 |
|
連接方式 |
顯示路由器WAN口連接到因特網的方式 |
|
鏈路狀態 |
顯示路由器WAN口當前的鏈路狀態 · 已連接:WAN口工作正常 · 物理連接已斷開:WAN口物理鏈路出現故障 · 線路檢測失敗:WAN口檢測沒有成功。此時,WAN口不能轉發任何報文 · WAN口禁用:當前WAN口被禁用 · 接口空閑:接口物理鏈路正常,但該接口不進行工作。比如:在主備模式下,主接口工作正常時,備份接口處於空閑狀態 · 連接中:在PPPoE、DHCP連接方式下,路由器正在與服務器建立連接 · 服務器沒響應:在PPPoE、DHCP連接方式下,對應的服務器無響應或線路異常 · IP地址已釋放:在DHCP連接方式下,單擊頁麵上的<釋放>按鈕主動斷開連接,顯示此狀態。此狀態下,接口不再嚐試與服務器進行連接 · 連接已斷開:在PPPoE連接方式下,單擊頁麵上的<釋放>按鈕主動斷開連接,顯示此狀態。此狀態下,接口不再嚐試與服務器進行連接 · 用戶名或密碼錯誤:在PPPoE連接方式下,輸入的用戶名和密碼錯誤 |
|
IP地址 |
顯示WAN口當前的IP地址 |
|
子網掩碼 |
顯示WAN口當前的子網掩碼 |
|
網關地址 |
顯示WAN口當前的網關地址 |
|
主DNS服務器 |
顯示WAN口的主DNS服務器地址 |
|
輔DNS服務器 |
顯示WAN口的輔DNS服務器地址 |
|
DHCP剩餘時間 |
顯示DHCP租約的剩餘時間
僅當連接方式為DHCP方式時才顯示 |
|
MAC地址 |
顯示WAN口當前生效的MAC地址
當您設置了WAN口的MAC地址克隆後,此MAC地址會出現相應的變化 |
|
連接 |
單擊此按鈕建立WAN口的鏈路連接
僅當連接方式為PPPoE、DHCP時才顯示此按鈕 |
|
釋放 |
單擊此按鈕釋放當前路由器WAN口動態獲取到的IP地址
僅當連接方式為PPPoE、DHCP時才顯示此按鈕 |
當您開啟性能實時監視功能後,係統會對路由器CPU和內存的使用進行實時采樣,並通過一個直觀的滾動折線圖來顯示數據變化,供您及時了解CPU和內存的使用率是否過高,波動是否正常。
頁麵向導:係統監控→運行信息→性能監視
本頁麵為您提供如下主要功能:
|
單擊頁麵中的<開始監視>按鈕,您即可在彈出的頁麵中實時監視路由器CPU和內存的使用狀態 |
|
頁麵向導:係統監控→運行信息→技術支持
本頁麵為您提供了路由器相關的技術支持類信息,比如:客服熱線、H3C公司網站/技術論壇鏈接等。
路由器能夠記錄當前運行過程中的設置狀態變化、網絡攻擊等信息,可以幫助您快速定位設備故障、了解網絡情況及對網絡攻擊進行定位。
路由器還支持把日誌信息實時發送給日誌服務器的功能,以免路由器重新啟動後,所有記錄的日誌都會丟失。
當路由器中的日誌信息存滿後,新的日誌將會覆蓋最早被記錄的日誌信息。因此,為了避免日誌信息遺漏,建議您使用日誌服務器來記錄日誌信息。此時,需要您預先在局域網內或外網建立相應的日誌服務器,且與路由器保持連通。
頁麵向導:係統監控→係統日誌→日誌信息
本頁麵為您提供如下主要功能:
|
· 顯示和查詢路由器上電啟動以來所產生的日誌信息 · 將路由器所記錄的日誌信息下載到本地(單擊<下載>按鈕,可將日誌信息導出到本地保存) · 清除路由器所記錄的日誌信息(單擊<清除>按鈕即可完成操作) |
|
頁麵向導:係統監控→係統日誌→日誌管理
本頁麵為您提供如下主要功能:
|
· 控製日誌信息輸出的等級(在“日誌記錄等級”下拉框中選擇某個等級,單擊<應用>按鈕生效。此時,僅不大於該等級的日誌信息才被路由器記錄或允許發送到日誌服務器。日誌等級的具體描述請參見“表15-2”) · 控製日誌信息輸出的來源(選擇您需要關注的日誌信息來源,單擊<應用>按鈕生效。日誌信息來源描述請參見“表15-3”) · 將日誌信息同步輸出到日誌服務器(選中“發送到日誌服務器”複選框,輸入服務器地址,單擊<應用>按鈕生效) · 開啟/關閉路由器日誌信息記錄功能(選中“本地不記錄日誌”複選框,單擊<應用>按鈕,本地記錄日誌信息功能關閉。反之,開啟) |
|
表15-2 日誌信息等級描述
|
嚴重等級 |
數值 |
描述 |
|
emergency |
0 |
係統不可用 |
|
alert |
1 |
需要立即做出反應的信息 |
|
critical |
2 |
嚴重信息 |
|
error |
3 |
錯誤信息 |
|
warning |
4 |
告警信息 |
|
notice |
5 |
正常出現但是重要的信息 |
|
informational |
6 |
需要記錄的通知信息 |
|
debug |
7 |
調試過程產生的信息 |
|
日誌來源 |
描述 |
|
係統 |
所有路由器功能運行的日誌信息。比如:您使用PPPoE方式連接因特網時,路由器會輸出相應的日誌信息 |
|
配置 |
當更改了路由器的配置操作時輸出的日誌信息。比如:功能的開啟或關閉 |
|
安全 |
路由器進行防攻擊、報文過濾等操作時輸出的日誌信息 |
|
流量信息 |
路由器流量統計時輸出的日誌信息。比如:局域網內的某台主機的網絡連接數超過限速值時,路由器會輸出相應的日誌信息 |
|
VPN |
路由器IPSec VPN相關的日誌信息 |
路由器為您提供了端口流量和IP流量的監控功能,您可以根據路由器所獲取的統計數據,更好地了解網絡運行狀況,便於管理與控製。
· 監控端口流量:統計每個物理端口的流量。
· 監控IP流量:統計局域網內各在線主機通過WAN口的流量。
路由器支持以下兩種查看模式供您對端口流量和IP流量進行監控:
· 比特模式:以每秒傳輸的比特數為單位來顯示流量和速率信息。
· 包模式:以每秒傳輸的報文個數為單位來顯示流量和速率信息。
頁麵向導:係統監控→流量監控→端口流量
本頁麵為您提供如下主要功能:
|
在比特模式下查看路由器各端口的發送/接收流量、發送/接收速率及鏈路狀態 |
|
|
在包模式下查看路由器各端口的發送/接收流量、發送/接收速率及鏈路狀態 |
|
頁麵中關鍵項的含義如下表所示。
表15-4 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
統計周期 |
選擇頁麵統計數據刷新的時間間隔,缺省為10秒 |
|
自動刷新 |
選中該複選框,頁麵的統計數據會根據統計周期自動刷新 |
|
查看方式 |
選擇端口流量統計的顯示方式 缺省情況下,路由器使用列表模式 |
|
查看模式 |
選擇端口流量統計的顯示模式 缺省情況下,路由器使用比特模式 |
|
端口鏡像信息 |
顯示路由器各物理端口之間的端口鏡像狀態 |
|
發送流量/接收流量 |
顯示路由器相應端口發送/接收的總流量 |
|
發送速率/接收速率 發送包速率/接收包速率 |
顯示路由器相應端口發送/接收報文的速率 |
|
錯誤包數 |
顯示路由器相應端口發送/接收的錯誤包總數 |
|
丟包數 |
顯示路由器相應端口丟包的總數 |
|
鏈路狀態 |
顯示對應端口的鏈路狀態
如果該端口未有物理連接或出現鏈路故障,則顯示“未連接” |
頁麵向導:係統監控→流量監控→IP流量
本頁麵為您提供如下主要功能:
|
啟用局域網IP流量統計功能(選中“啟用內網IP流量統計”複選框,單擊<應用>按鈕生效。缺省情況下,IP流量統計功能處於關閉狀態) |
|
|
在比特模式下查看局域網內各在線主機通過WAN口的總流量、總速率、上行/下行速率及網絡連接數 |
|
|
在包模式下查看局域網內各在線主機通過WAN口的總流量、總速率、上行/下行速率及網絡連接數 |
|
頁麵中關鍵項的含義如下表所示。
表15-5 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
統計周期 |
選擇頁麵統計數據刷新的時間間隔,缺省為10秒 |
|
自動刷新 |
選中該複選框,頁麵的統計數據會根據統計周期自動刷新 |
|
查看方式 |
選擇IP流量統計的顯示方式 缺省情況下,路由器使用列表模式 |
|
查看模式 |
選擇IP流量統計的顯示模式 缺省情況下,路由器使用比特模式 |
|
總流量 |
顯示相應主機通過WAN口的總流量 |
|
速率 包速率 |
顯示相應主機通過WAN口的總速率 |
|
上行速率/限速前下行速率/限速後下行速率 上行包速率/限速前下行包速率/限速後下行包速率 |
顯示相應主機通過WAN口的上行速率和限速前後下行速率
您可以通過路由器的IP流量限製功能來限製對應主機的上行速率/下行速率 |
|
網絡連接數 |
顯示對應的主機所嚐試的網絡連接總數
您可以通過路由器的網絡連接限數功能來限製對應主機的網絡連接總數 |
當您開啟了路由器防攻擊相應的功能後,路由器的安全統計模塊會對攻擊報文的個數和可疑的一些報文進行統計。您可以通過查看和分析統計數據的變化,來判斷網絡環境是否存在欺騙和攻擊行為。
頁麵向導:係統監控→流量監控→安全統計
本頁麵為您提供如下主要功能:
|
· 開啟路由器的報文統計功能(選中“開啟數據包統計功能”複選框,單擊<應用>按鈕生效) · 對源認證失敗的和可疑的報文進行統計(具體報文的描述請參見“表15-6”) |
|
頁麵中關鍵項的含義如下表所示。
|
頁麵關鍵項 |
描述 |
|
報文源認證失敗 |
源認證失敗的判斷依賴於路由器的報文源認證設置。對於源認證失敗的報文,路由器會直接將其丟棄。如果您在統計數據中發現此類報文的個數不斷增加,可能您的網絡環境中存在IP欺騙或MAC欺騙攻擊行為 |
|
LAN側可疑 |
當來自LAN側的報文未與路由器表項衝突(比如:ARP表項),但又不能確認該報文是否來源於合法的主機時,則認為是可疑報文。缺省情況下,路由器允許其通過。但如果您在統計數據中發現此類報文的個數不斷增加,可能您的組網環境出現了問題或存在攻擊行為 |
|
WAN側非法 |
由因特網側主動向路由器發送的報文,比如:因特網側主機主動嚐試與路由器建立Telnet連接,則認為是非法報文。如果在特定時間段內,您在統計數據中發現此類報文的個數不斷增加,並造成網絡穩定性下降,則可能遭受到了來自因特網側的攻擊,建議您更改WAN口的IP地址,或者聯係運營商進行處理 |
路由器為您提供兩種網絡診斷工具:
· ping測試:檢測路由器與目標主機或另一台設備是否連通。
· 路由跟蹤測試:檢查從路由器到達目標主機所經過的路由情況。
頁麵向導:係統監控→網絡維護→網絡診斷
本頁麵為您提供如下主要功能:
|
選擇ping測試進行網絡診斷(輸入“目的地址”,選擇測試的端口,單擊<開始>按鈕執行診斷) |
|
|
選擇路由跟蹤測試進行網絡診斷(輸入“目的地址”,選擇測試的端口,單擊<開始>按鈕執行診斷) |
|
· ping測試結果
當路由器可以接收到從目標主機側返回的應答時,表示路由器與目標主機連通(如上圖所示);否則表示兩者之間不連通,可能網絡存在問題。
· 路由跟蹤測試結果
如上圖所示,隻存在一跳,表示路由器和目標主機之間屬於直連路由。
通過設置抓包工具的相關參數,直接抓取經過路由器接口的數據包,便於維護人員更有效地分析及定位問題,降低維護成本。
頁麵向導:係統監控→網絡維護→抓包工具
本頁麵為您提供如下主要功能:
|
在對話框中設置匹配規則來控製抓包的數據報文 單擊<開始>按鈕,係統開始抓包,抓包過程中,當前抓取的分組數會顯示在頁麵上 |
|
|
單擊<停止>按鈕即可停止數據包的抓取,此時係統會自動提示您導出抓包文件“tcpdump.pcap”到本地,該文件可使用wireshark(ethereal)等軟件打開 |
|
頁麵中關鍵項的含義如下表所示。
表15-7 頁麵關鍵項描述
|
頁麵關鍵項 |
描述 |
|
接口 |
選擇抓取報文的來源接口
支持當前路由器的所有WAN、VLAN等接口 |
|
協議 |
選擇需要抓取的報文的協議類型
· 缺省協議為ALL,即抓取所有類型的數據包 · 如您手動修改協議為ARP、RARP、ICMP時,源端口號和目的端口號將無法設置 |
|
源/目的主機 |
設置抓取報文的源/目的主機過濾條件,以抓取符合條件的數據包: · 所有主機:抓取所有源/目的主機的數據包 · IP地址過濾:僅允許抓取源/目的主機為所設置IP地址的數據包 · MAC地址過濾:僅允許抓取源/目的主機為所設置MAC地址的數據包 |
|
IP地址 |
設置抓取報文的源/目的IP地址,點分十進製類型,取值範圍:0.0.0.0~255.255.255.255 |
|
MAC地址 |
設置抓取報文的MAC地址,輸入格式例如:00:19:10:28:00:80(或00-19-10-28-00-80、或0019-1028-0080),且不區分大小寫 |
|
源/目的端口 |
輸入抓取報文的源/目的端口號,需要配置正確的端口號才能抓到相應端口的報文。 取值範圍:1~65535,最多可設置10個單一端口,端口間用英文逗號“,”隔開,比如:100,200,300
如果要抓取所有端口的報文,您可以將其設置為0 |
|
主機關係 |
設置源主機與目的主機之間的邏輯關係: · 或:設置抓取報文為源主機與目的主機之間所有報文的並集 · 與:設置抓取報文為源主機與目的主機之間所有報文的交集 |
|
雙向抓取 |
選中該項,則係統會抓取源主機與目的主機之間的雙向報文
隻有在主機關係設置為“與”時,該選項方可勾選 |
|
抓取包長度 |
設置抓包的最大報文長度,當tcpdump的數據包長度超過所設數值時,數據包將會被截斷。取值範圍:1~2000
如果您設置的抓取包長度過大,會增加包的處理時間,並減少可緩存數據包的數量,從而可能導致部分數據包的丟失。故而,在保證數據包長度足夠的前提下,建議您設置盡可能小的抓包長度 |
|
內存使用閾值 |
設置抓包過程中所允許的係統內存最大使用率,當內存使用率達到所設閾值時,係統會主動停止抓包,並提示用戶導出抓包文件。取值範圍為70~90,缺省值為80 |
頁麵向導:係統監控→網絡維護→係統自檢
路由器為您提供簡便的係統自檢功能,您可以隨時單擊頁麵中的<開始>按鈕,在彈出的頁麵中將會分類顯示檢測結果及一些注意事項。通過該檢測信息,您可以判斷路由器當前的設置是否合理、運行是否正常等。
頁麵向導:係統監控→網絡維護→一鍵導出
當路由器運行出現異常時,您可以單擊頁麵中的<導出>按鈕,確認後,路由器可以自動把當前的運行狀態、故障定位所需的各種信息壓縮成一個定位信息文件下載到本地。H3C技術支持人員可以根據該文件快速、準確地定位問題,從而可以更好地為您解決路由器的使用問題。
· 某企業使用電信線路接入,對應的帶寬為100M,帶機量為100台;
· 提供內部網絡SSID為H3C、訪客網絡SSID為H3C_GUEST,加密方式為WPA-PSK/WPA2-PSK加密的無線接入服務,以確保內網和外網的無線網絡安全;
· 防止局域網內的ARP攻擊;
· 防止局域網內某些主機使用P2P軟件(比如:BT、迅雷等)過度占用網絡資源;
· 禁止局域網內某些主機(比如:192.168.1.2~192.168.1.10)在某個時間段(比如:每天的08:00~18:00)訪問外網;
· 禁止局域網內除某些主機(比如:192.168.1.50~192.168.1.55)外,其他主機在某個時間段(比如:每天的08:30~18:00)訪問某些網站(比如:www.example.com等);
· 禁止局域網內某些主機(比如:192.168.1.15~192.168.1.20)使用QQ上線。
下麵以具體的組網配置方案為例進行說明:
· 網關使用H3C ERG2-1350W、彙聚交換機采用H3C S5024P、接入交換機采用H3C S1224R;
· 設置WAN口通過靜態方式連接到因特網;
· 使用DHCP服務器功能給局域網內各主機動態分配IP地址;
· 開啟ARP綁定功能來防止ARP表項受到攻擊;
· 設置IP流量限製和網絡連接數限製,防止P2P軟件過度占用網絡資源;
· 設置防火牆的出站通信策略功能來禁止特定主機在某個時間段訪問外網;
· 設置網站過濾功能來禁止局域網內某些主機訪問指定網站;
· 設置業務控製功能來禁止某些主機使用QQ上線。
此典型配置舉例僅體現ERG2-1350W上的設置,且所涉及的設置均在ERG2-1350W缺省配置的基礎上進行。如果您之前已經對ERG2-1350W做過相應的設置,為了保證效果,請確保當前設置和以下設置不衝突。
|
1. 在管理計算機的Web瀏覽器地址欄中輸入http://192.168.1.1,回車。輸入用戶名和密碼(缺省均為admin,區分大小寫),單擊<登錄>按鈕後便可進入Web設置頁麵 |
|
|
2. 選擇“無線管理→基本設置→內部網絡”,設置內部網絡SSID名稱、加密方式和密鑰,供公司員工辦公時使用,單擊<應用>按鈕生效 |
|
|
3. 選擇“無線管理→基本設置→訪客網絡”,設置訪客網絡SSID名稱、加密方式和密鑰,供訪客使用,單擊<應用>按鈕生效 |
|
|
4. 選擇“接口管理→WAN設置→連接到因特網”,在“WAN網口”下拉框中選擇“靜態地址(手工配置地址)”選項。用電信提供的參數填寫WAN口的上網參數,單擊<應用>按鈕生效 |
|
|
5. 選擇“安全專區→ARP安全→ARP檢測”,設置IP地址搜索範圍,單擊<掃描>按鈕開始搜索。待搜索完畢後,請確認搜索是否有遺漏(比如:查看搜索到的條目數是否與客戶端的開機數一致)。如果沒有遺漏,單擊<全選>按鈕選中所有的表項,再單擊<靜態綁定>按鈕,將所有客戶端主機的IP/MAC進行綁定即可;如果存在遺漏,您還可以選擇“安全專區→ARP安全→ARP綁定”,手工添加ARP綁定項 |
|
|
6. 選擇“安全專區→ARP安全→ARP防護”,選中“檢測到ARP欺騙時,發送免費ARP報文”複選框,單擊<應用>按鈕生效 |
|
|
7. 選擇“QoS設置→流量管理→IP流量限製”。選中“啟用IP流量限製”複選框和“允許每IP通道借用空閑的帶寬”單選框,單擊<應用>按鈕生效 |
|
|
8. 單擊<新增>按鈕,在彈出的對話框中設置IP流量限製規則:建議上行和下行流量的上限值均設置為1000Kbps。同時,您也可以根據實際的網絡情況對其進行適當地調整 |
|
|
9. 選擇“QoS設置→連接限製→網絡連接限數”,選中“啟用網絡連接限數”複選框,單擊<應用>按鈕生效 |
|
|
10. 單擊<新增>按鈕,在彈出的對話框中設置對每台客戶端主機進行網絡連接數限製(建議網絡連接數設置在300~500之間),單擊<增加>按鈕完成操作 |
|
|
11. 選擇“安全專區→防火牆→出站通信策略”,單擊<新增>按鈕,在彈出的對話框中設置相應的策略,如右圖所示。單擊<增加>按鈕完成操作 |
|
|
12. 選擇“上網管理→組管理→時間段管理”,單擊<新增>按鈕,在彈出的對話框中設置相應的時間段列表,如右圖所示。單擊<增加>按鈕完成操作 |
|
|
13. 選擇“上網管理→策略管理→行為策略管理”,單擊<新增>按鈕,在彈出的對話框中設置相應的上網行為管理策略,如右圖所示,設置策略名稱和策略描述,選擇適用時間段列表,並添加相應時間段 |
|
|
14. 選擇網站過濾,並進行相應設置,如右圖所示。選中“啟用網站過濾功能”複選框,再選中“僅禁止訪問列表中的網站地址”單選框,單擊<新增>按鈕,設置模糊匹配的網站地址為“example”,並單擊<保存>按鈕生效,單擊<完成策略配置>按鈕完成操作 |
|
|
15. 選擇“上網管理→組管理→用戶組管理”,單擊<新增>按鈕,在彈出的對話框中設置“特權網段組”用戶組列表,如右圖所示。單擊<增加>按鈕完成操作 |
|
|
16. 選擇“上網管理→策略管理→行為策略管理”,單擊<新增>按鈕,在彈出的對話框中設置相應的上網行為管理策略,如右圖所示,設置策略名稱和策略描述,選擇適用用戶組列表,並添加相應用戶組 |
|
|
17. 選擇網站過濾,並進行相應設置,如右圖所示。不選中“啟用網站過濾功能”複選框,單擊<完成策略配置>按鈕完成操作 |
|
|
18. 選擇“上網管理→組管理→用戶組管理”,單擊<新增>按鈕,在彈出的對話框中設置“特權IP地址段”用戶組列表,如右圖所示。單擊<增加>按鈕完成操作 |
|
|
19. 選擇“上網管理→策略管理→行為策略管理”,單擊<新增>按鈕,在彈出的對話框中設置相應的上網行為管理策略,如右圖所示,設置策略名稱和策略描述,選擇適用用戶組列表,並添加相應用戶組 |
|
|
20. 選擇IM軟件,並進行相應設置,如右圖所示。選中“啟用IM軟件控製功能”複選框,再選中“禁止QQ上線”複選框,單擊<完成策略配置>按鈕完成操作 |
|
企業某部門通過ERG2-1350W連接網絡,對該區域用戶群進行上網行為管理,具體需求如下:
(1) 設置區域內用戶群的IP地址範圍為192.168.1.0~192.168.1.100;
(2) 限製該區域內時間為工作日,即周一到周五、每天8:00~18:00;
(3) 限製該區域內的用戶以下具體的上網行為:
· 禁止工作日內使用同花順軟件,但是允許使用廣發至強與國元證券軟件、大智慧與分析家軟件、光大證券軟件;
· 禁止工作日內使用QQ軟件;
· 工作日內允許QQ號碼為81293624、12936245、22936335等用戶上線;
· 禁止工作日內瀏覽某些網站(www.example.com);
· 禁止工作日內下載後綴名為cfg和jpg文件。
圖16-2 組網示意圖
此典型配置案例中所涉及的設置均在ERG2-1350W缺省配置的基礎上進行。本案例為配置一條組網需求的行為策略規則,如果需要配置其他類型規則,通過編輯或者新增行為策略表項即可。
|
1. 在管理計算機的Web瀏覽器地址欄中輸入http://192.168.1.1,回車。輸入用戶名和密碼(缺省均為admin,區分大小寫)。單擊<登錄>按鈕後便可進入Web設置頁麵 |
|
|
2. 選擇“上網管理→組管理→用戶組管理”,單擊<新增>按鈕,在彈出的對話框中設置用戶組列表,用戶組名為group1,在IP地址段輸入192.168.1.0到192.168.1.100,單擊<添加>按鈕,並添加相應的描述信息,單擊<增加>按鈕完成操作 |
|
|
3. 選擇“上網管理→組管理→時間段管理”,單擊<新增>按鈕,在彈出的對話框中設置時間段列表,時間段名為time1,設置生效時間為08:30~18:00,勾選一、二、三、四、五,並添加相應的描述信息,單擊<增加>按鈕完成操作 |
|
|
4. 選擇“上網管理→策略管理→行為策略管理”,單擊<新增>按鈕,在彈出的對話框中,勾選“啟用該策略”,設置策略名稱和策略描述信息;在適用用戶組頁簽中,添加group1到“已添加用戶組”中 |
|
|
5. 在適用時間段頁簽中,添加time1到“已添加時間段”中 |
|
|
6. 在應用軟件頁簽中,選中“啟用應用軟件控製功能”複選框,並在金融軟件列表中選中“禁止同花順”複選框(如果您想限製其他金融軟件,在需要禁止的軟件前勾選即可) |
|
|
7. 在IM軟件頁簽中,選中“啟用IM軟件控製功能”複選框,並選中“禁止QQ上線”複選框(如果您仍允許訪問RTX服務器,可以輸入最多三個RTX服務器地址) |
|
|
8. 在QQ特權號碼頁簽中,選中“啟用QQ特權號碼”複選框,並設置QQ特權號碼。在下麵列表中,單擊<新增>按鈕,逐次添加81293624、12936245、22936335等您想要添加的特權QQ號碼,並添加描述信息,單擊<保存>按鈕保存該列表 |
|
|
9. 在網站過濾頁簽中,選中“啟用網站過濾功能”複選框和“僅禁止訪問列表中的網站地址”,並設置訪問列表中的網站地址。在下麵的列表中,單擊<新增>按鈕,逐次添加模糊匹配的網站地址以及描述信息,單擊<保存>按鈕保存該列表 |
|
|
10. 在文件類型過濾頁簽中,選中“啟用文件類型過濾”複選框,單擊<新增>按鈕,在文件過濾列表中添加文件類型為cfg、jpg等您想要添加的文件後綴名,並添加相應的描述信息,單擊<保存>按鈕保存該列表 11. 最後單擊<完成策略配置>按鈕完成操作 |
|
· 命令行在線幫助
· 命令行操作
您可以在局域網內通過Telnet本地登錄路由器進行命令行設置。
請先確保管理計算機與路由器之間網絡連通。然後在管理計算機上單擊屏幕左下角<開始>按鈕進入“開始”菜單。選擇[運行],在彈出的“運行”對話框中輸入“telnet ip-address”(ip-address為路由器LAN口的IP地址)。回車後按界麵提示輸入用戶名和密碼(缺省情況下,兩者均為admin)即可登錄路由器進行設置,具體命令行介紹請參見“17.1 命令行在線幫助”。
路由器為您提供以下簡單的命令行維護。
表17-1 命令行索引
|
命令行 |
請參見 |
|
ip address |
|
|
restore default |
|
|
reboot |
|
|
display sysinfo |
|
|
display device manuinfo |
|
|
display version |
|
|
admin acl info |
|
|
admin acl default |
|
|
ping |
(1) 在任一視圖下,鍵入<?>獲取該視圖下所有的命令及其簡單描述。
reboot Reboot device
restore Restore configuration
ip Display the IP configuration
display Display current information
ping Ping function
quit Exit from the device
admin Admin the LAN interface
(2) 鍵入一命令,後接以空格分隔的“?”,如果該命令行位置有關鍵字,則列出全部關鍵字及其簡單描述。
<H3C>ip ?
address Display IP addresses
(3) 鍵入一字符串,其後緊接<?>,列出以該字符串開頭的所有命令。
<H3C>di?
display
(4) 鍵入命令的某個關鍵字的前幾個字母,按下<Tab>鍵,如果以輸入字母開頭的關鍵字唯一,則可以顯示出完整的關鍵字。
<H3C>di ¬按下<Tab>鍵
<H3C>display
輸入ip address命令並回車,即可顯示路由器LAN口的IP地址信息。
輸入restore default命令並回車,確認後,路由器將恢複到出廠設置並重新啟動。
輸入reboot命令並回車,確認後,路由器將重新啟動。
輸入display sysinfo命令並回車,顯示路由器的CPU和內存使用情況。
輸入display device manuinfo命令並回車,顯示路由器基本的硬件信息,比如:設備型號、設備序列號、設備MAC地址等。
輸入display version命令並回車。
輸入admin acl info命令並回車。
輸入admin acl default命令並回車。
輸入ping [ -a source-ip | -c count | -i interface-name | -s packet-size ] * host
表17-2 Ping命令參數項描述
|
參數 |
描述 |
|
-a source-ip |
指定ICMP回顯請求(ECHO-REQUEST)報文的源IP地址。該地址必須是路由器接口的IP地址 |
|
-c count |
指定ICMP回顯請求報文的發送次數,取值範圍為1~4294967295,缺省值為4 |
|
-i interface-name |
指定發送ICMP回顯請求報文的路由器接口名稱。不指定該參數時,將根據目的IP查找路由表或者轉發表來確定發送ICMP回顯請求報文的接口 |
|
-s packet-size |
指定發送的ICMP回顯請求報文的長度(不包括IP和ICMP報文頭),取值範圍為20~8100,單位為字節,缺省值為56字節 |
|
host |
目的端的IP地址或主機名,主機名為1~31個字符的字符串 |
本手冊僅介紹簡單的路由器故障處理方法,如仍不能排除,可通過表18-2獲取售後服務。
表18-1 故障排除
|
常見問題 |
故障排除 |
|
Power燈不亮 |
1. 請檢查電源線是否連接正確 2. 請檢查電源線插頭是否插緊,無鬆動現象 |
|
端口指示燈不亮 |
1. 請檢查網線與路由器的以太網端口是否卡緊,無鬆動現象 2. 將網線的兩端分別插到路由器的兩個以太網端口上,如果該兩個端口對應的指示燈都亮,表示網線正常;否則該網線可能存在問題,請更換網線重新嚐試 |
|
不能通過Web設置頁麵本地登錄路由器 |
1. 使用MS-DOS方式的ping命令檢查網絡連接 · Ping 127.0.0.1用來檢查管理計算機的TCP/IP協議是否安裝 · Ping路由器LAN口的IP地址來檢查管理計算機與路由器是否連通 2. 通過ip address命令來查看當前路由器LAN口的地址,核對您輸入的IP地址是否正確 3. 如果管理計算機使用靜態IP地址,請確認其IP地址是否與路由器LAN口的IP地址處於同一網段 4. 路由器允許管理的用戶數已經達到最大值(最多支持5個用戶同時登錄),請稍後再試 5. 請檢查Web瀏覽器是否設置代理服務器或撥號連接,若有,請取消設置 |
|
局域網內用戶出現掉線,無法訪問因特網 |
1. 檢查與路由器級連的交換機的網線和路由器WAN口的網線是否存在鬆動現象 2. 檢查路由器是否已經對局域網內所有主機進行了ARP綁定 3. 登錄路由器的Web設置頁麵,選擇“安全專區→防火牆→出站通信策略”,查看是否配置了某IP地址段在某段時間內無法訪問因特網 |
|
局域網內用戶出現玩遊戲時比較卡(可能某些用戶正在使用P2P軟件下載) |
1. 登錄路由器的Web設置頁麵,選擇“係統監控→流量監控→IP流量”,單擊列表上的標題欄利用排序功能找出當前占用帶寬最大的主機,並對該主機進行限速設置 |
|
忘記設備Web管理登錄密碼 |
· 單擊Web登錄界麵的“忘記密碼?”鏈接進入頁麵後下載文件“name_restore.txt”(點擊右鍵,選擇“目標另存為”保存該文件到本地,IE8及以下版本先直接點擊文件,再點擊右鍵保存文件,name為產品名稱,比如ERG2-1350W),將該文件放入U盤(FAT32格式)根目錄,將U盤插入USB接口,設備可恢複缺省登錄密碼。如果不能正常下載該文件,可手動創建同名文件,在文件第一行頂格輸入restore password保存即可(注意:恢複缺省登錄密碼後會在U盤中將該文件刪除) · 通過Reset鍵進行恢複(在設備通電情況下,用針狀物按住Reset鍵5秒鍾左右,直至診斷指示燈慢速閃爍,可恢複設備的缺省登錄密碼,連接到Web界麵,輸入缺省用戶名和密碼進行登錄) |
|
故障類型 |
描述 |
如何獲取售後服務 |
|
硬件類故障 |
比如:出現設備不能正常通電、未插網線但以太網端口指示燈卻常亮等問題 |
請聯係當地授權服務中心予以確認後更換(各地區的H3C授權服務中心的聯係方式可在H3C官方網站找到) |
|
軟件類問題 |
比如:出現設備功能不可用、異常等問題或配置谘詢 |
請聯係H3C技術支持服務熱線:400-810-0504 |
表19-1列出了路由器的一些重要的缺省設置信息,供您參考。
|
選項 |
缺省設置 |
|
|
接口管理 |
LAN口IP地址 |
IP地址:192.168.1.1 子網掩碼:255.255.255.0 |
|
LAN口基本屬性 |
端口模式:Auto 廣播風暴抑製:不抑製 流控:關閉 |
|
|
多WAN工作模式 |
均衡模式 |
|
|
連接因特網方式 |
DHCP自動獲取方式 |
|
|
WAN網口線路檢測 |
關閉 |
|
|
端口鏡像 |
無 |
|
|
無線管理 |
內部網絡SSID名稱 |
H3C和H3C_5G |
|
訪客網絡SSID名稱 |
H3C_GUEST和H3C_5G_GUEST |
|
|
SSID加密 |
不加密 |
|
|
接入控製 |
關閉 |
|
|
二層漫遊 |
禁用 |
|
|
禁止弱信號客戶端接入 |
禁用 |
|
|
廣播探測 |
禁用 |
|
|
AP管理設置 |
禁用 |
|
|
AP配置模板 |
默認為當前無線配置 |
|
|
安全專區 |
ARP防護 |
采用路由器檢測到ARP攻擊時,LAN口或WAN口會主動發送免費ARP |
|
網站過濾 |
關閉 |
|
|
防火牆 |
出站通信缺省策略:允許 入站通信缺省策略:禁止 |
|
|
IDS防範 |
開啟各攻擊類型防護 |
|
|
報文源認證 |
開啟基於靜態路由、靜態ARP表、動態ARP表的報文源認證 |
|
|
異常流量防護 |
開啟,且防護等級為高 |
|
|
QoS管理 |
IP流量限製 |
關閉 |
|
綠色通道管理 |
關閉 |
|
|
限製通道管理 |
關閉 |
|
|
網絡連接限數 |
關閉 |
|
|
高級設置 |
NAT |
開啟 |
|
ALG應用 |
開啟 |
|
|
DDNS |
關閉 |
|
|
UPnP |
關閉 |
|
|
設備管理 |
係統時間 |
通過缺省的NTP服務器獲取 |
|
遠程管理 |
遠程Web管理:關閉 遠程Telnet管理:關閉 |
|
|
用戶管理 |
用戶:admin 密碼:admin |
|
|
超時時間 |
5分鍾 |
|
|
術語縮寫 |
英文全稱 |
中文名稱 |
含義 |
|
1000Base-T |
1000Base-T |
1000Base-T |
1000Mbit/s基帶以太網規範,使用兩對5類雙絞線連接,可提供最大1000Mbit/s的傳輸速率 |
|
100Base-TX |
100Base-TX |
100Base-TX |
100Mbit/s基帶以太網規範,使用兩對5類雙絞線連接,可提供最大100Mbit/s的傳輸速率 |
|
10Base-T |
10Base-T |
10Base-T |
10Mbit/s基帶以太網規範,使用兩對雙絞線(3/4/5類雙絞線)連接,其中一對用於發送數據,另一對用於接收數據,提供最大10Mbit/s傳輸速率 |
|
DDNS |
Dynamic Domain Name Service |
動態域名服務 |
動態域名服務(Dynamic Domain Name Service),能實現固定域名到動態IP地址之間的解析 |
|
DHCP |
Dynamic Host Configuration Protocol |
動態主機配置協議 |
動態主機配置協議(Dynamic Host Configuration Protocol)為網絡中的主機動態分配IP地址、子網掩碼、網關等信息 |
|
DHCP Server |
Dynamic Host Configuration Protocol Server |
DHCP 服務器 |
動態主機配置協議服務器(Dynamic Host Configuration Protocol Server)是一台運行了DHCP動態主機配置協議的設備,主要用於給DHCP客戶端分配IP地址 |
|
DNS |
Domain Name Service |
域名服務 |
域名服務(Domain Name Service)將域名解析成IP地址。DNS信息按等級分布在整個因特網上的DNS服務器間,當我們訪問一個網址時,DNS服務器查看發出請求的域名並搜尋它所對應的IP地址。如果該DNS服務器無法找到這個IP地址,就將請求傳送給上級DNS服務器,繼續搜尋IP地址。例如,www.yahoo.com 這個域名所對應的IP地址為 216.115.108.243 |
|
DoS |
Denial of Service |
拒絕服務 |
拒絕服務(Denial of Service)是一種利用合法的方式請求占用過多的服務資源,從而使其他用戶無法得到服務響應的網絡攻擊行為 |
|
DSL |
Digital Subscriber Line |
數字用戶線路 |
數字用戶線(Digital Subscriber Line)這種技術使得數字數據和仿真語音信號都可以在現有的電話線路上進行傳輸。目前比較受家庭用戶青睞的是ADSL接入方式 |
|
Firewall |
Firewall |
防火牆 |
防火牆(Firewall)技術保護您的計算機或局域網免受來自外網的惡意攻擊或訪問 |
|
FTP |
File Transfer Protocol |
文件傳輸協議 |
文件傳輸協議(File Transfer Protocol)是一種描述網絡上的計算機之間如何傳輸文件的協議 |
|
HTTP |
Hypertext Transfer Protocol |
超文本傳送協議 |
超文本傳送協議(Hypertext Transfer Protocol)是一種主要用於傳輸網頁的標準協議 |
|
Hub |
Hub |
集線器 |
共享式網絡連接設備,工作在物理層,主要用於擴展局域網規模 |
|
ISP |
Internet Service Provider |
因特網服務提供商 |
因特網服務提供商(Internet Service Provider),提供因特網接入服務的提供商 |
|
LAN |
Local Area Network |
局域網 |
局域網(Local Area Network)一般指內部網,例如家庭網絡,中小型企業的內部網絡等 |
|
MAC address |
Media Access Control address |
介質訪問控製地址 |
介質訪問控製地址(Media Access Control address),MAC地址是由廠商指定給設備的永久物理地址,它由6對十六進製數字所構成。例如:00-0F-E2-80-65-25。每一個網絡設備都擁有一個全球唯一的MAC地址 |
|
NAT |
Network Address Translation |
網絡地址轉換 |
網絡地址轉換(Network Address Translation),可以把局域網內的多台計算機通過NAT轉換後共享一個或多個公網IP地址,接入Internet,這種方式同時也可以屏蔽局域網用戶,起到網絡安全的作用。通常共享上網的寬帶路由器都使用這個技術 |
|
NMS |
Network Management Station |
網絡管理站 |
NMS運行SNMP客戶端程序的工作站,能夠提供非常友好的人機交互界麵,方便網絡管理員完成絕大多數的網絡管理工作 |
|
Ping |
Packet Internet Grope |
因特網包探測器 |
Ping 命令是用來測試本機與網絡上的其它計算機能否進行通信的診斷工具。Ping命令將報文發送給指定的計算機,如果該計算機收到報文則會返回響應報文 |
|
PPP |
Point-to-Point Protocol |
點對點協議 |
點對點協議(Point-to-Point Protocol)是一種鏈路層通信協議 |
|
PPPoE |
PPP over Ethernet |
點對點以太網承載協議 |
點對點以太網承載協議(PPP over Ethernet)在以太網上承載PPP協議封裝的報文,它是目前使用較多的業務形式 |
|
QoS |
Quality of Service |
服務質量 |
服務質量(Quality of Service)是用來解決網絡延遲和阻塞等問題的一種技術。當網絡過載或擁塞時,QoS 能確保重要業務量不受延遲或丟棄,同時保證網絡的高效運行 |
|
RJ-45 |
RJ-45 |
RJ-45 |
用於連接以太網交換機、集線器、路由器等設備的標準插頭。直連網線和交叉網線通常使用這種接頭 |
|
Route |
Route |
路由 |
基於數據的目的地址和當前的網絡條件,通過有效的路由選擇能夠到達目的網絡或地址的出接口或網關,進行數據轉發。具有路由功能的設備稱作路由器(router) |
|
SNMP |
Simple Network Management Protocol |
簡單網絡管理協議 |
SNMP是網絡中管理設備和被管理設備之間的通信規則,它定義了一係列消息、方法和語法,用於實現管理設備對被管理設備的訪問和管理 |
|
TCP |
Transfer Control Protocol |
傳輸控製協議 |
傳輸控製協議(Transfer Control Protocol)是一種麵向連接的、可靠的傳輸層協議 |
|
TCP/IP |
Transmission Control Protocol/Internet Protocol |
傳輸控製協議/網際協議 |
傳輸控製協議/網際協議(Transmission Control Protocol/Internet Protocol),網絡通信的基本通信協議簇。TCP/IP定義了一組協議,不僅僅是TCP和IP |
|
Telnet |
Telnet |
Telnet |
一種用來訪問遠程主機的基於字符的交互程序。Telnet允許用戶遠程登錄並對設備進行管理 |
|
UDP |
User Datagram Protocol |
用戶數據報協議 |
用戶數據報協議(User Datagram Protocol)是一種麵向非連接的傳輸層協議 |
|
UPnP |
Universal Plug and Play |
通用即插即用 |
通用即插即用(Universal Plug and Play),支持UPnP的設備彼此可自動連接和協同工作 |
|
WAN |
Wide Area Network |
廣域網 |
廣域網(Wide Area Network)是覆蓋地理範圍相對較廣的數據通信網絡,如因特網 |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
