- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-正文
本章節下載: 01-正文 (11.41 MB)
目 錄
H3C ER G3係列路由器包括如下產品型號。
|
名稱 |
具體型號 |
|
H3C ER G3係列路由器 |
ER2200G3、ER3200G3、ER3200G3-X、ER3208G3、ER3208G3-P、ER3208G3-P-E、ER3208G3-X、ER3260G3、ER3260G3-X、ER5200G3、ER5200G3-X、ER6300G3、ER8300G3、ERG3-1800W |
圖1-1 ER2200G3設備前麵板
|
(1): 複位鍵(RESET) |
(2): 係統指示燈(SYS) |
|
(3): USB接口 |
(4): WAN接口及指示燈(10/100/1000Base-T電口) |
|
(5): WAN/LAN接口及指示燈(10/100/1000Base-T電口) |
(6): LAN接口及指示燈(10/100/1000Base-T電口) |
|
(7): 電源接口 |
|
圖1-2 ER2200G3設備後麵板
|
(1): 接地螺釘 |
圖1-3 ER3200G3設備前麵板
|
(1): 接地螺釘 |
(2): 係統指示燈(SYS) |
|
(3): WAN接口及指示燈(10/100/1000Base-T電口) |
(4): WAN/LAN接口及指示燈(10/100/1000Base-T電口) |
|
(5): LAN接口及指示燈(10/100/1000Base-T電口) |
(6): USB接口 |
|
(7): 複位鍵(RESET) |
(8): 電源接口 |
|
(9): 電源線固定卡扣 |
|
圖1-4 ER3200G3-X設備前麵板
|
(1): 接地螺釘 |
(2): 係統指示燈(SYS) |
|
(3): WAN接口及指示燈(10/100/1000Base-T電口) |
(4): WAN/LAN接口及指示燈(10/100/1000Base-T電口) |
|
(5): LAN接口及指示燈(10/100/1000Base-T電口) |
(6): USB接口 |
|
(7): 複位鍵(RESET) |
|
圖1-5 ER3200G3-X設備後麵板
|
(1): 電源接口 |
圖1-6 ER3208G3設備前麵板
|
(1): 接地螺釘 |
(2): 係統指示燈(SYS) |
|
(3): WAN接口及指示燈(10/100/1000Base-T電口) |
(4): WAN/LAN接口及指示燈(10/100/1000Base-T電口) |
|
(5): LAN接口及指示燈(10/100/1000Base-T電口) |
(6): USB接口 |
|
(7): 複位鍵(RESET) |
(8): 電源接口 |
|
(9): 電源線固定卡扣 |
|
圖1-7 ER3208G3-P設備前麵板
|
(1): 電源接口 |
(2): LAN接口及指示燈(10/100/1000Base-T電口) |
|
(3): LAN/WAN接口及指示燈(10/100/1000Base-T電口) |
(4): WAN/LAN接口及指示燈(10/100/1000Base-T電口) |
|
(5): WAN接口及指示燈(10/100/1000Base-T電口) |
(6): PoE-MAX指示燈(MAX) |
|
(7): 複位鍵(RESET) |
(8): 係統指示燈(SYS) |
圖1-8 ER3208G3-P設備後麵板
|
(1): 接地螺釘 |
圖1-9 ER3208G3-P-E設備前麵板
|
(1): 電源接口 |
(2): LAN接口及指示燈(10/100/1000Base-T電口) |
|
(3): LAN/WAN接口及指示燈(10/100/1000Base-T電口) |
(4): WAN接口及指示燈(10/100/1000Base-T電口) |
|
(5): USB接口 |
(6): 係統指示燈(SYS) |
圖1-10 ER3208G3-P-E設備後麵板
|
(1): 複位鍵(RESET) |
圖1-11 ER3208G3-P-E設備右側麵板
|
(1): 接地螺釘 |
圖1-12 ER3208G3-X設備前麵板
|
(1): 接地螺釘 |
(2): 係統指示燈(SYS) |
|
(3): WAN接口及指示燈(10/100/1000Base-T電口) |
(4): WAN/LAN接口及指示燈(10/100/1000Base-T電口) |
|
(5): LAN接口及指示燈(10/100/1000Base-T電口) |
(6): USB接口 |
|
(7): 複位鍵(RESET) |
|
圖1-13 ER3208G3-X設備後麵板
|
(1): 電源接口 |
圖1-14 ER3260G3設備前麵板
|
(1): 接地螺釘 |
(2): WAN接口及指示燈(10/100/1000Base-T電口) |
|
(3): WAN/LAN接口及指示燈(10/100/1000Base-T電口) |
(4): LAN接口及指示燈(10/100/1000Base-T電口) |
|
(5): 係統指示燈(SYS) |
(6): USB接口 |
|
(7): 複位鍵(RESET) |
(8): 電源接口 |
|
(9): 電源線固定卡扣 |
|
圖1-15 ER3260G3-X設備前麵板
|
(1): 接地螺釘 |
(2): WAN接口及指示燈(10/100/1000Base-T電口) |
|
(3): WAN/LAN接口及指示燈(10/100/1000Base-T電口) |
(4): LAN接口及指示燈(10/100/1000Base-T電口) |
|
(5): 係統指示燈(SYS) |
(6): USB接口 |
|
(7): 複位鍵(RESET) |
|
圖1-16 ER3260G3-X設備後麵板
|
(1): 電源接口 |
圖1-17 ER5200G3設備前麵板
|
(1): 接地螺釘 |
(2): WAN接口及指示燈(Combo口) |
|
(3): WAN/LAN接口及指示燈(10/100/1000Base-T電口、1000BASE-X-SFP光口) |
(4): LAN接口及指示燈(10/100/1000Base-T電口) |
|
(5): 係統指示燈(SYS) |
(6): USB接口 |
|
(7): 複位鍵(RESET) |
(8): 電源接口 |
|
(9): 電源線固定卡扣 |
|
圖1-18 ER5200G3-X設備前麵板
|
(1): 接地螺釘 |
(2): WAN接口及指示燈(Combo口) |
|
(3): WAN/LAN接口及指示燈(10/100/1000Base-T電口、1000BASE-X-SFP光口) |
(4): LAN接口及指示燈(10/100/1000Base-T電口) |
|
(5): 係統指示燈(SYS) |
(6): USB接口 |
|
(7): 複位鍵(RESET) |
|
圖1-19 ER5200G3-X設備後麵板
|
(1): 電源接口 |
圖1-20 ER6300G3設備前麵板
|
(1): 接地螺釘 |
(2): LAN接口及指示燈(10/100/1000Base-T電口) |
|
(3): LAN/WAN接口及指示燈(10/100/1000Base-T電口) |
(4): WAN/LAN接口及指示燈(10GBASE-R-SFP+光口) |
|
(5): WAN接口及指示燈(Combo口) |
(6): Console接口 |
|
(7): 係統指示燈(SYS) |
(8): USB接口 |
|
(9): 複位鍵(RESET) |
|
圖1-21 ER6300G3設備後麵板
|
(1): 電源接口 |
圖1-22 ER8300G3設備前麵板
|
(1): 接地螺釘 |
(2): LAN接口及指示燈(10/100/1000Base-T電口) |
|
(3): LAN/WAN接口及指示燈(10/100/1000Base-T電口) |
(4): WAN/LAN接口及指示燈(10GBASE-R-SFP+光口) |
|
(5): WAN接口及指示燈(Combo口) |
(6): Console接口 |
|
(7): 係統指示燈(SYS) |
(8): USB接口 |
|
(9): 複位鍵(RESET) |
|
圖1-23 ER8300G3設備後麵板
|
(1): 電源接口 |
圖1-24 ERG3-1800W設備前麵板
|
(1): 2.4G天線 |
(2): 5G天線 |
|
(3): 複位鍵(RESET) |
(4): 2.4G射頻狀態指示燈 |
|
(5): 5G射頻狀態指示燈 |
(6): 係統指示燈(SYS) |
|
(7): USB接口 |
(8): WAN接口及指示燈(10/100/1000Base-T電口) |
|
(9): WAN/LAN接口及指示燈(10/100/1000Base-T電口) |
(10): LAN接口及指示燈(10/100/1000Base-T電口) |
|
(11): 電源接口 |
|
圖1-25 ERG3-1800W設備後麵板
|
(1): 接地螺釘 |
|
指示燈 |
狀態 |
含義 |
|
係統指示燈(SYS) |
綠色常亮 |
設備正常運行中 |
|
黃色常亮 |
係統告警或故障 |
|
|
黃色慢速閃爍 |
設備將恢複缺省Web登錄密碼 |
|
|
黃色快速閃爍 |
設備將恢複出廠設置並重啟 |
|
|
燈滅 |
電源關閉、電源故障或設備硬件故障 |
|
|
WAN/LAN接口狀態指示燈(LINK/ACT)(適用於ER3200G3、ER3200G3-X、ER3208G3、ER3208G3-P、ER3208G3-P-E、ER3208G3-X、ER3260G3、ER3260G3-X、ER5200G3、ER5200G3-X、ER6300G3、ER8300G3) |
綠色常亮 |
端口正常連接設備,且工作在1000Mbps速率下 |
|
綠色閃爍 |
端口在接收或發送數據,且工作在1000Mbps速率下 |
|
|
黃色常亮 |
端口正常連接設備,且工作在10/100Mbps速率下 |
|
|
黃色閃爍 |
端口在接收或發送數據,且工作在10/100Mbps速率下 |
|
|
燈滅 |
端口未連接設備 |
|
|
WAN/LAN接口狀態指示燈(LINK/ACT)(適用於ER2200G3、ERG3-1800W) |
綠色常亮、黃色常亮 |
端口正常連接設備,且工作在1000Mbps速率下 |
|
綠色常亮、黃色閃爍 |
端口在接收或發送數據,且工作在1000Mbps速率下 |
|
|
綠色滅、黃色常亮 |
端口正常連接設備,且工作在10/100Mbps速率下 |
|
|
綠色滅、黃色閃爍 |
端口在接收或發送數據,且工作在10/100Mbps速率下 |
|
|
燈滅 |
端口未連接設備 |
|
|
SFP光口狀態指示燈 |
綠色常亮 |
端口正常連接設備,且工作在1000Mbps速率下 |
|
綠色閃爍 |
端口在接收或發送數據,且工作在1000Mbps速率下 |
|
|
黃色常亮 |
端口正常連接設備,且工作在10/100Mbps速率下 |
|
|
黃色閃爍 |
端口在接收或發送數據,且工作在10/100Mbps速率下 |
|
|
燈滅 |
端口未連接設備 |
|
|
SFP+光口狀態指示燈 |
綠色常亮 |
端口正常連接設備,且工作在10Gbps速率下 |
|
綠色閃爍 |
端口在接收或發送數據,且工作在10Gbps速率下 |
|
|
黃色常亮 |
端口正常連接設備,且工作在1000Mbps速率下 |
|
|
黃色閃爍 |
端口在接收或發送數據,且工作在1000Mbps速率下 |
|
|
燈滅 |
端口未連接設備 |
|
|
2.4G射頻狀態指示燈 |
綠色常亮 |
2.4G射頻處於待機狀態,但是沒有連接客戶端 |
|
綠色閃爍 |
2.4G射頻接口有客戶端在線,且有數據收發 |
|
|
燈滅 |
2.4G射頻關閉 |
|
|
5G射頻狀態指示燈 |
綠色常亮 |
5G射頻處於待機狀態,但是沒有連接客戶端 |
|
綠色閃爍 |
5G射頻接口有客戶端在線,且有數據收發 |
|
|
燈滅 |
5G射頻關閉 |
|
|
PoE-MAX指示燈 |
綠色常亮 |
PoE路由器供電的功率在其保護功率範圍以內,保護功率範圍為60W~75W |
|
燈滅 |
PoE路由器供電的功率未達到保護功率範圍的最小值 |
|
接口 |
用途 |
|
複位鍵(RESET) |
· 短按(小於5秒),設備將重啟 · 按住5~10秒,當SYS指示燈黃色慢速閃爍時,鬆開複位鍵,設備將恢複缺省Web登錄密碼 · 按住10~15秒,當SYS指示燈黃色快速閃爍時,鬆開複位鍵,設備將恢複出廠設置並重啟 · 按住超過15秒,SYS指示燈會恢複到綠色常亮,設備不執行任何恢複操作 |
|
USB接口 |
連接到存儲介質(如U盤、移動硬盤等),可以快速備份或恢複設備配置,以及恢複軟件版本 |
|
電源接口 |
連接到電源 |
|
LAN接口 |
連接計算機或下層交換機的以太網端口 |
|
WAN接口 |
連接到寬帶運營商提供的網絡接口,接入互聯網 |
|
LAN/WAN接口、WAN/LAN接口 |
· 既可以作為LAN接口使用,也可以作為WAN接口使用 · LAN/WAN接口默認為LAN接口;WAN/LAN接口默認為WAN接口 |
|
Console接口 |
計算機通過連接Console口登錄路由器進行命令行設置 |
|
接地螺釘 |
用於連接接地線 |
|
WLAN接口(天線) |
用於連接無線客戶端 |
|
項目 |
ER2200G3 |
ER3200G3 |
ER3200G3-X |
ER3208G3 |
|
外形尺寸(寬×深×高) |
266mm×161mm×44mm |
440mm×230mm×44mm |
440mm×230mm×44mm |
440mm×230mm×44mm |
|
功耗 |
<18W |
<10W |
<12W |
<12W |
|
電源適配器額定輸入電壓 |
100V AC~240V AC,50/60Hz |
100V AC~240V AC,50/60Hz |
- |
100V AC~240V AC,50/60Hz |
|
設備電源輸入 |
12V±5% / 1.5A |
12V±5% / 1A |
100V AC~240V AC,50/60Hz |
12V±5% / 1A |
|
單端口最大輸出功率 |
- |
- |
- |
- |
|
PoE負載功率 |
- |
- |
- |
- |
|
重量 |
0.8Kg |
3Kg |
2.5Kg |
3Kg |
|
Console接口 |
- |
- |
- |
- |
|
USB接口 |
1個USB3.0接口 |
1個USB2.0接口 |
1個USB2.0接口 |
1個USB2.0接口 |
|
LAN接口 |
1個千兆電口 |
1個千兆電口 |
1個千兆電口 |
5個千兆電口 |
|
LAN/WAN接口 |
- |
- |
- |
- |
|
WAN/LAN接口 |
3個千兆電口 |
3個千兆電口 |
3個千兆電口 |
3個千兆電口 |
|
WAN接口 |
1個千兆電口 |
1個千兆電口 |
1個千兆電口 |
2個千兆電口 |
|
技術標準 |
- |
- |
- |
- |
|
WLAN天接 |
- |
- |
- |
- |
|
無線速率 |
- |
- |
- |
- |
|
工作溫度 |
0ºC~45ºC |
0ºC~45ºC |
0ºC~45ºC |
0ºC~45ºC |
|
工作濕度 |
5%RH~95%RH,非凝露 |
5%RH~95%RH,非凝露 |
5%RH~95%RH,非凝露 |
5%RH~95%RH,非凝露 |
|
散熱方式 |
自然散熱 |
自然散熱 |
自然散熱 |
自然散熱 |
|
項目 |
ER3208G3-P |
ER3208G3-P-E |
ER3208G3-X |
|
外形尺寸(寬×深×高) |
190mm×125mm×27mm |
202mm×104mm×28mm |
440mm×230mm×44mm |
|
功耗 |
<80W |
<120W |
<12W |
|
電源適配器額定輸入電壓 |
100V AC~240V AC,50/60Hz |
100V AC~240V AC,50/60Hz |
- |
|
設備電源輸入 |
54V±5% / 1.48A |
54V±5% / 2.22A |
100V AC~240V AC,50/60Hz |
|
單端口最大輸出功率 |
30W |
30W |
- |
|
PoE負載功率 |
75W |
110W |
- |
|
重量 |
0.5Kg |
0.7Kg |
2.5Kg |
|
Console接口 |
- |
- |
- |
|
USB接口 |
- |
1個USB2.0接口 |
1個USB2.0接口 |
|
LAN接口 |
6個千兆電口 |
5個千兆電口 |
5個千兆電口 |
|
LAN/WAN接口 |
2個千兆電口 |
3個千兆電口 |
- |
|
WAN/LAN接口 |
1個千兆電口 |
- |
3個千兆電口 |
|
WAN接口 |
1個千兆電口 |
2個千兆電口 |
2個千兆電口 |
|
技術標準 |
- |
- |
- |
|
WLAN天線 |
- |
- |
- |
|
無線速率 |
- |
- |
- |
|
工作溫度 |
0ºC~40ºC |
0ºC~40ºC |
0ºC~45ºC |
|
工作濕度 |
5%RH~95%RH,非凝露 |
5%RH~95%RH,非凝露 |
5%RH~95%RH,非凝露 |
|
散熱方式 |
自然散熱 |
自然散熱 |
自然散熱 |
|
項目 |
ER3260G3 |
ER3260G3-X |
ER5200G3 |
ER5200G3-X |
|
外形尺寸(寬×深×高) |
440mm×230mm×44mm |
440mm×230mm×44mm |
440mm×230mm×44mm |
440mm×230mm×44mm |
|
功耗 |
<10W |
<12W |
<12W |
<12W |
|
電源適配器額定輸入電壓 |
100V AC~240V AC,50/60Hz |
- |
100V AC~240V AC,50/60Hz |
- |
|
設備電源輸入 |
12V±5% / 1A |
100V AC~240V AC,50/60Hz |
12V±5% / 1A |
100V AC~240V AC,50/60Hz |
|
重量 |
3Kg |
2.5Kg |
3Kg |
2.5Kg |
|
Console接口 |
- |
- |
- |
- |
|
USB接口 |
1個USB2.0接口 |
1個USB2.0接口 |
1個USB2.0接口 |
1個USB2.0接口 |
|
LAN接口 |
1個千兆電口 |
1個千兆電口 |
1個千兆電口 |
1個千兆電口 |
|
LAN/WAN接口 |
- |
- |
- |
- |
|
WAN/LAN接口 |
4個千兆電口 |
4個千兆電口 |
· 4個千兆電口 · 1個千兆光口 |
· 4個千兆電口 · 1個千兆光口 |
|
WAN接口 |
1個千兆電口 |
1個千兆電口 |
1個Combo口 |
1個Combo口 |
|
技術標準 |
- |
- |
- |
- |
|
WLAN天線 |
- |
- |
- |
- |
|
無線速率 |
- |
- |
- |
- |
|
工作溫度 |
0ºC~45ºC |
0ºC~45ºC |
0ºC~45ºC |
0ºC~45ºC |
|
工作濕度 |
5%RH~95%RH,非凝露 |
5%RH~95%RH,非凝露 |
5%RH~95%RH,非凝露 |
5%RH~95%RH,非凝露 |
|
散熱方式 |
自然散熱 |
自然散熱 |
自然散熱 |
自然散熱 |
|
項目 |
ERG3-1800W |
ER6300G3 |
ER8300G3 |
|
外形尺寸(寬×深×高) |
266mm×161mm×44mm |
440mm×230mm×44mm |
440mm×230mm×44mm |
|
功耗 |
<18W |
<36W |
<36W |
|
電源適配器額定輸入電壓 |
100V AC~240V AC,50/60Hz |
- |
- |
|
設備電源輸入 |
12V±5% / 1.5A |
100V AC~240V AC,50/60Hz |
100V AC~240V AC,50/60Hz |
|
重量 |
0.8Kg |
2.7Kg |
2.85Kg |
|
Console接口 |
- |
1個 |
1個 |
|
USB接口 |
1個USB3.0接口 |
1個USB3.0接口 |
1個USB3.0接口 |
|
LAN接口 |
1個千兆電口 |
4個千兆電口 |
4個千兆電口 |
|
LAN/WAN接口 |
- |
4個千兆電口 |
4個千兆電口 |
|
WAN/LAN接口 |
3個千兆電口 |
2個萬兆光口 |
2個萬兆光口 |
|
WAN接口 |
1個千兆電口 |
2個Combo口 |
2個Combo口 |
|
技術標準 |
· IEEE802.11ax/n/b/g · IEEE802.11ax/ac/a/n |
- |
- |
|
WLAN天線 |
· 2個2.4G高增益天線 · 2個5G高增益天線 |
- |
- |
|
無線速率 |
1800Mbps |
- |
- |
|
工作溫度 |
0ºC~45ºC |
0ºC~45ºC |
0ºC~45ºC |
|
工作濕度 |
5%RH~95%RH,非凝露 |
5%RH~95%RH,非凝露 |
5%RH~95%RH,非凝露 |
|
散熱方式 |
自然散熱 |
風扇散熱 |
風扇散熱 |
設備支持機櫃安裝和工作台安裝兩種方式,本文的安裝過程以ER3208G3設備舉例。
為保證設備正常工作和延長使用壽命,請遵從以下注意事項:
· 設備僅允許在室內使用,請將其放置於幹燥通風處;
· 設備的接口線纜要求在室內走線,禁止戶外走線,以防止因雷電產生的過電壓、過電流損壞設備的信號口;
· 請不要將設備放在不穩定的箱子或桌子上,一旦跌落,會對設備造成損害;
· 在設備周圍應預留足夠的空間(大於10cm),以便於設備正常散熱;
· 請保證設備工作環境的清潔,過多的灰塵會造成靜電吸附,不但會影響設備壽命,而且容易造成通信故障;
· 設備工作地的接地裝置最好不要與電力設備的接地裝置或防雷接地裝置合用,並盡可能相距遠一些;
· 設備工作地應遠離強功率無線電發射台、雷達發射台、高頻大電流設備;
· 請使用隨產品附帶的電源線,嚴禁使用其它非配套產品。電源電壓必須滿足專用電源線的輸入電壓範圍。
僅ER3208G3-P、ER3208G3-P-E和ERG3-1800W不支持安裝到機櫃。
請保證工作台的平穩和良好接地,並且不要在設備上放置重物。
粘貼腳墊到設備底部,將設備翻轉後水平放置於工作台上。
僅ERG3-1800W隨機不附帶接地線,隻提供一個OT端子,接地線需要用戶自行購買安裝。
不同設備安裝接地線方法基本相同,具體方法如下。需要注意的是,由於ERG3-1800W隨機不附帶接地線,需要先組裝好OT端子,再將裝配好OT端子的接地線安裝到設備上。
(1) 將設備的接地線的一端安裝到設備接地孔上。
(2) 接地線的另一端可以直接纏繞在接地排上,或者與OT端子進行組裝後再安裝到接地排上,OT端子的組裝方法如下。
· 僅ER6300G3和ER8300G3支持Console接口。
· Console口配置電纜不隨機提供,請用戶根據實際需要自行選購。
設備提供了兩種Console口配置電纜用於連接設備和配置終端,具體請參見下表。
表2-1 配置電纜介紹
|
配置電纜類型 |
圖示 |
設備側連接器類型 |
配置終端側連接器類型 |
連接方法 |
|
DB9-to-RJ45 Console口配置電纜 |
|
DB-9孔式插頭 |
RJ-45 |
|
|
USB-to-RJ45 Console口配置電纜 |
|
USB口 |
RJ-45 |
通過配置串口線連接路由器的步驟如下:
(1) 選定配置終端,配置終端可以是標準的具有RS-232串口的字符終端,也可以是一台普通的PC機,更常用的是後者。
(2) 將Console口電纜帶有RJ45連接器的一端連接到路由器的Console口,將帶有DB9(母)連接器的另一端連接到PC的串口。
圖2-1 通過配置串口線連接路由器
· PC通過Console口電纜與路由器連接時,應先連接Console口電纜的DB9端到PC的RS-232接口,再連接Console口電纜的RJ45連接器到路由器的Console口。
· 當PC沒有RS-232接口隻有USB接口時,需要使用USB轉RS-232轉接器連接到Console口電纜,並正確安裝相應的驅動程序。
· 通過USB-to-RJ45口配置電纜進行配置連接時,用戶需要到H3C官方網站或掃描電纜包裝袋上的二維碼下載對應的驅動程序,並將驅動程序安裝到配置終端上。
· 請先安裝驅動程序再連接配置電纜。若您安裝驅動程序時,已完成配置電纜的安裝,安裝完驅動程序後,需要重新插拔配置終端側的USB口。
以下以安裝驅動程序到Windows係統為例進行介紹。安裝驅動程序到其它操作係統的安裝方式,請參照驅動程序壓縮包中對應文件夾(文件夾按照操作係統類型命名)內的相關的安裝指導文檔。
USB-to-RJ45 Console口配置電纜連接步驟如下:
(1) 通過單擊如下鏈接或者將鏈接拷貝到瀏覽器的地址欄,登錄到USB-to-RJ45 Console驅動的下載界麵,將驅動程序下載並保存在本地。
//www.yolosolive.com/cn/Home/QR/USB_to_RJ45_Console.htm
(2) 通過查看Windows文件夾下的“Read me.txt”文件,判斷配置終端操作係統軟件版本是否支持該驅動程序。
(3) 如果支持,請安裝驅動程序“PL23XX-M_LogoDriver_Setup_v200_20190815.exe”。
(4) 在安裝向導的歡迎頁麵,點擊<Next>按鈕。
圖2-2 安裝向導歡迎頁麵
(5) 驅動程序安裝完成,點擊<Finish>按鈕,退出向導。
圖2-3 安裝向導完成頁麵
(6) 將標準USB接頭端連接PC。
(7) 將另一端RJ45接頭連接到設備的Console口。
在通過Console口搭建本地配置環境時,需要通過超級終端或PuTTY等終端仿真程序與設備建立連接。用戶可以運行這些程序來連接網絡設備、Telnet或SSH站點,這些程序的詳細介紹和使用方法請參見該程序的使用指導。
打開終端仿真程序後,請按如下要求設置終端參數:
· 波特率:9600
· 數據位:8
· 停止位:1
· 奇偶校驗:無
· 流量控製:無
· 僅ER3200G3-X、ER3208G3-X、ER3260G3-X、ER5200G3-X、ER6300G3和ER8300G3支持直接連接交流電源線,其它款型需要連接電源適配器進行供電。
· 請使用設備隨機附帶的電源適配器供電,避免因功率不足造成的適配器損毀。
· 連接電源線之前,請確保設備已正確接地。
(1) 先將電源線一端插入到設備的電源接口,並用卡扣固定住電源線。部分設備麵板上無卡扣,無需進行固定。
(2) 再將另一端連接到外部的交流電源插座上。
(1) 將交流電源線一端插到路由器的交流電源插座上,並用紮帶固定。
(2) 再將另一端連接到外部的交流電源插座上。
建議使用Internet Explorer 10及以上版本、Chrome 57及以上版本、Firefox 35及以上版本的瀏覽器訪問Web管理頁麵。
(1) 將PC連接到設備的LAN接口。
(2) 配置PC為自動獲取IP地址。
(3) 檢查PC的代理服務設置情況。如果當前PC使用代理服務器訪問互聯網,則首先必須禁止代理服務。
(4) 運行Web瀏覽器。請在瀏覽器地址欄中輸入設備銘牌上顯示的管理地址並回車。
(5) 如下圖所示,在彈出的窗口上輸入管理員用戶名和密碼(缺省均為admin),點擊<登錄>按鈕。首次登錄設備後,係統會自動彈出“修改密碼”頁麵。輸入缺省密碼、新密碼,並確認新密碼,點擊<確定>按鈕完成密碼的修改。
係統信息將展示設備的運行情況,基本功能的配置向導和技術支持信息。
顯示設備CPU使用率和內存使用率相關信息,包括:
· CPU的當前使用率、平均使用率。
· 內存的當前使用率、平均使用率。
· 係統時間、運行時間。
· 產品型號、序列號、軟件版本等信息。
· 存儲介質上存儲空間的使用情況。
· 端口狀態:顯示WAN口和LAN口的使用狀態。
(1) 單擊導航樹中[係統信息]菜單項,進入係統信息顯示頁麵。
(2) 單擊頁麵上方的“CPU使用率”區段或“內存使用率”區段,可查看CPU或內存的當前使用率、平均使用率。
顯示設備接入終端相關信息,包括:
· 實時流量排行TOP5。
· 在線終端數和在線終端網絡連接數。
· 在線終端信息表,表中包含終端IP地址、終端名、網絡連接數、接入方式、接口、終端MAC地址等信息。
(1) 單擊導航樹中[係統信息]菜單項,進入係統信息顯示頁麵。
(2) 單擊頁麵上方的“接入終端”區段,可查看接入終端的相關信息。
顯示設備上網流量相關信息,例如:最近5分鍾平均上行速度、最近5分鍾平均下行速度、上網WAN接口的狀態和上網參數等。
(1) 單擊導航樹中[係統信息]菜單項,進入係統信息顯示頁麵。
(2) 單擊頁麵上方的“上網流量”區段,可查看上網流量的相關信息。
顯示設備係統時間和產品型號等信息。
(1) 單擊導航樹中[係統信息]菜單項,進入係統信息頁麵。
(2) 在“係統時間”區段中,可查看係統時間和運行時間;在“產品型號”區段中,可查看產品型號、序列號、Boot ROM版本、硬件版本和軟件版本等信息。
顯示WAN口和LAN口的使用狀態。
(1) 單擊導航樹中[係統信息]菜單項,進入係統信息顯示頁麵。
(2) 在“端口狀態”區段中,點擊端口圖標,可進入WAN或LAN配置頁麵。
存儲介質上存儲空間的使用情況。
(1) 單擊導航樹中[係統信息]菜單項,進入係統信息顯示頁麵。
(2) 在頁麵右下方區段,可查看Flash上存儲空間的使用率。
通過快捷導航幫助用戶快速的配置網絡。
(1) 單擊導航樹中[係統信息]菜單項,進入係統信息頁麵。
(2) 單擊“快捷導航”頁簽,進入快捷導航頁麵。
(3) 根據需要點擊功能對應的鏈接,配置向導如下:
· 上網配置
¡ 連接到因特網:單擊“連接到因特網”鏈接,頁麵自動跳轉至外網配置頁麵。
¡ 局域網(LAN)配置:單擊“局域網(LAN)配置”鏈接,頁麵自動跳轉至LAN配置頁麵。
¡ NAT配置:單擊“NAT配置”鏈接,頁麵自動跳轉至NAT配置頁麵。
· 上網行為
¡ 應用控製:單擊“應用控製”鏈接,頁麵自動跳轉至上網行為管理的應用控製頁麵。
¡ 網址控製:單擊“網址控製”鏈接,頁麵自動跳轉至上網行為管理的網址控製頁麵。
¡ 文件控製:單擊“文件控製”鏈接,頁麵自動跳轉至上網行為管理的文件控製頁麵。
¡ 帶寬限速:單擊“帶寬限速”鏈接,頁麵自動跳轉至帶寬管理的IP限速頁麵。
¡ 連接限製:單擊“連接限製”鏈接,頁麵自動跳轉至連接限製的網絡連接限製數頁麵。
¡ 流量統計排名:單擊“流量統計排名”鏈接,頁麵自動跳轉至流量排行頁麵。
· 接入安全
¡ ARP安全:單擊“ARP安全”鏈接,頁麵自動跳轉至ARP安全頁麵。
¡ Portal認證:單擊“Portal認證”鏈接,頁麵自動跳轉至Portal認證頁麵。
¡ 防火牆:單擊“防火牆”鏈接,頁麵自動跳轉至防火牆頁麵。
¡ VPN設置:單擊“VPN設置”鏈接,頁麵自動跳轉至IPsec VPN頁麵。
¡ MAC地址過濾:單擊“MAC地址過濾”鏈接,頁麵自動跳轉至MAC地址過濾頁麵。
· 設備維護
¡ 配置管理:單擊“配置管理”鏈接,頁麵自動跳轉至配置管理頁麵。
¡ 係統升級:單擊“係統升級”鏈接,頁麵自動跳轉至係統升級頁麵。
¡ 重新啟動:單擊“重新啟動”鏈接,頁麵自動跳轉至重新啟動頁麵。
¡ 遠程管理:單擊“遠程管理”鏈接,頁麵自動跳轉至遠程管理頁麵。
¡ 網絡診斷:單擊“網絡診斷”鏈接,頁麵自動跳轉至網絡診斷頁麵。
¡ 用戶FAQ:單擊“用戶FAQ”鏈接,頁麵自動跳轉至用戶FAQ頁麵。
如果用戶對產品存有疑問,可以通過本頁簽提供的聯係方式聯係我們。包括:
· 技術論壇
· 客服郵箱
· 微信公眾號
通過快速設置完成廣域網WAN、局域網LAN和無線設置的基本配置後,局域網內的用戶便可以訪問外網。僅無線款型路由器需要配置無線設置功能。
設備支持單WAN和雙WAN兩種廣域網接入場景(部分款型隻支持雙WAN場景,快速設置頁麵中無單WAN選項)。如果用戶僅租用了一個運營商網絡,則選擇單WAN場景;如果用戶租用了兩個運營商網絡,則使用雙WAN場景。單WAN和雙WAN場景的配置方法相同。
· 快速設置頁麵僅支持設置單WAN或雙WAN場景,多WAN模式可在[網絡設置/外網配置]菜單項中的配置接口模式頁麵中配置。
· 不同款型的設備,在快速設置中對單WAN和雙WAN場景的支持情況不同,請以設備的實際情況為準。
(1) 單擊導航樹中[快速設置]菜單項,進入快速設置頁麵。
(2) 根據使用場景需求,選擇“單WAN場景”或“雙WAN場景”,設置廣域網接入參數。
(3) 在“線路1”或“線路2”配置項處選擇要接入廣域網的物理接口WANx。
(4) 根據用戶實際的上網方式,在“連接模式”配置項處選擇對應的連接模式:
¡ 如果選擇連接模式為“PPPoE”:
- 在“上網賬號”配置項處,輸入運營商提供的PPPoE接入用戶名。
- 在“上網密碼”配置項處,輸入運營商提供的PPPoE接入密碼。
- 在“DNS1”和“DNS2”配置項處,輸入接入廣域網的DNS服務器地址。注意設備優先使用DNS1進行域名解析。如果解析失敗,則使用DNS2進行域名解析。
¡ 如果選擇連接模式為“DHCP”:
在“DNS1”和“DNS2”配置項處,輸入接入廣域網的DNS服務器地址。注意設備優先使用DNS1進行域名解析。如果解析失敗,則使用DNS2進行域名解析。
¡ 如果選擇連接模式為“固定地址”:
- 在“IP地址”配置項處,輸入接入廣域網的固定IP地址,僅允許輸入A、B、C類IP地址。
- 在“子網掩碼”配置項處,輸入IP地址的掩碼或掩碼長度,例如255.255.255.0或24,。
- 在“網關地址”配置項處,輸入接入廣域網的網關地址,僅允許輸入A、B、C類IP地址。
- 在“DNS1”和“DNS2”配置項處,輸入接入廣域網的DNS服務器地址。DNS1缺省為114.114.114.114,DNS2缺省為223.5.5.5。注意設備會優先使用DNS1進行域名解析。如果解析失敗,則使用DNS2進行域名解析。
(5) 在“NAT地址轉換”配置項處,根據實際需求選擇是否啟用該功能。局域網中的多台設備共用同一個公網IP時,需要啟用此功能。
(6) 在“是否為專線”配置項處,選擇是否將當前線路設置為專線。專線通常是不能訪問外網的專用線路,例如醫務專線、公安專線等。
¡ 是:將當前線路設置為專線。設置專線後,用戶需要手工配置靜態路由。
¡ 否:不將當前線路設置為專線。
(7) 點擊<下一步>按鈕,完成WAN配置。
完成WAN配置後,會進入到LAN配置的頁麵。
(1) 在“局域網IP地址”配置項處,輸入設備在局域網中使用的IP地址。
(2) 在“子網掩碼”配置項處,輸入IP地址的掩碼或掩碼長度,例如255.255.255.0或24,輸入的掩碼長度會被自動轉換為點分十進製的掩碼格式。
(3) 在“DHCP服務”配置項處,選擇是否“啟用”選項。如果設備需要作為DHCP服務器為局域網中的主機分配IP地址,則需要選擇“啟用”。
¡ 如選擇“啟用”選項:
- 在“IP分配範圍”配置項處,輸入待分配地址的起始IP地址和結束IP地址;
- 在“排除地址”配置項處,輸入設備不能分配給客戶端的IP地址。
- 在“網關地址”配置項處,輸入設備為DHCP客戶端分配的網關地址;
- 在“DNS1”和“DNS2”配置項處,輸入設備為DHCP客戶端分配的DNS服務器的IP地址。注意設備優先使用DNS1進行域名解析。如果解析失敗,則使用DNS2進行域名解析。
¡ 如不選擇“啟用”,則表示不啟用設備的DHCP功能。
(4) 設置完成後,點擊<下一步>按鈕,若路由器是有線款型,則進入完成配置頁麵,確認所有配置無誤後,點擊<完成>按鈕,完成快速設置。若路由器是無線款型,則進入無線設置頁麵,需繼續進行無線設置。
僅無線款型路由器支持此功能。
完成LAN配置後,會進入到無線設置的頁麵。
(1) 配置無線網絡設置SSID設置-2.4G:
¡ 勾選“啟用無線網絡”選項,啟用無線2.4G網絡。
¡ 在“SSID-1名稱”配置項處,輸入2.4G無線服務的SSID名稱,即無線用戶接入網絡時搜索到的網絡名稱。SSID名稱長度為1-31個字符,可輸入中文、英文字母[a-z,A-Z]、數字,以及特殊字符(空格~!@#$%^&*()_+-={}|[]:;’<>,./),其中1個中文字符占3個英文字符,英文字母區分大小寫。
¡ 在“加密方式”配置項處,選擇客戶端是否通過加密方式連接無線服務:
- 不加密:不對無線信號加密。
- WPA-PSK/WPA2-PSK加密:若無線客戶端支持WIFI5無線協議,推薦使用WPA-PSK/WPA2-PSK加密。
- WPA2-PSK/WPA3-PSK加密:若無線客戶端支持WIFI6無線協議,推薦使用WPA2-PSK/WPA3-PSK加密。
¡ 在“共享密鑰”配置項處,輸入無線服務密鑰,無線用戶在接入網絡時需要輸入此密鑰。當您選擇WPA-PSK/WPA2-PSK或WPA2-PSK/WPA3-PSK加密方式時,需要設置共享密鑰。密鑰長度為8-63個字符,隻能包含英文字母[a-z,A-Z]、數字,以及特殊字符(~!@#$%^&*()_+-={}|[]:<>,./),區分大小寫。
(2) 配置無線網絡設置SSID設置-5G:
¡ 勾選“啟用無線網絡”選項,啟用無線5G網絡。
¡ 在“SSID-1名稱”配置項處,輸入5G無線服務的SSID名稱,即無線用戶接入網絡時搜索到的網絡名稱。SSID名稱長度為1-31個字符,可輸入中文、英文字母[a-z,A-Z]、數字,以及特殊字符(空格~!@#$%^&*()_+-={}|[]:;’<>,./),其中1個中文字符占3個英文字符,英文字母區分大小寫。
¡ 在“加密方式”配置項處,選擇客戶端是否通過加密方式連接無線服務。
- 不加密:不對無線信號加密。
- WPA-PSK/WPA2-PSK加密:若無線客戶端支持WIFI5無線協議,推薦使用WPA-PSK/WPA2-PSK加密。
- WPA2-PSK/WPA3-PSK加密:若無線客戶端支持WIFI6無線協議,推薦使用WPA2-PSK/WPA3-PSK加密。
¡ 在“共享密鑰”配置項處,輸入無線服務密鑰,無線用戶在接入網絡時需要輸入此密鑰。當您選擇WPA-PSK/WPA2-PSK或WPA2-PSK/WPA3-PSK加密方式時,需要設置共享密鑰。密鑰長度為8-63個字符,隻能包含英文字母[a-z,A-Z]、數字,以及特殊字符(~!@#$%^&*()_+-={}|[]:<>,./),區分大小寫。
(3) 點擊<下一步>按鈕,會進入到完成配置的頁麵,顯示用戶在[快速設置]菜單項中的所有配置。
(4) 點擊<完成>按鈕,完成快速設置。
線路監控功能用來查看設備端口狀態和各線路的流量情況,方便管理員對設備線路流量進行分析與審計。
(1) 單擊導航樹中[係統監控/線路監控]菜單項,進入線路監控頁麵。
(2) 在“端口狀態”區段下,點擊端口圖標,可進入WAN或LAN配置頁麵。
(3) 在“線路流量”區段下,可以通過列表查看各線路的流量信息。
流量排行功能用來展示終端流量使用情況,可查看終端IP地址、當日總流量和在線時長等信息,方便管理員對用戶的上網行為進行分析與審計。
· 流量排行列表僅顯示當前正在訪問因特網的在線IP流量信息。
· 流量排行列表僅顯示最近5分鍾內連接過設備的終端的流量統計信息。
· 網絡連接數統計是指內網IP向因特網發起的連接,對如下連接不予統計:向設備本身和內網其它IP發起的連接,以及由因特網向內網IP發起的連接。
· 流量排行列表中網絡連接數包括TCP連接數、UDP連接數和其他連接數(除了TCP和UDP之外的連接,如ICMP)。
· 總流量是指當前IP持續通過的總體流量,如果IP持續一段時間沒有訪問因特網的業務進行,將進行重新統計。
· 流量統計的單位換算關係為1G bit= 1,000M bit= 1,000,000K bit= 1,000,000,000 bit。
(1) 單擊導航樹中[係統監控/流量排行]菜單項,進入流量排行頁麵。
(2) 勾選“開啟流量排行”選項,開啟用戶流量排行功能。
(3) 配置終端限速。
a. 在流量排行列表中,點擊指定終端IP地址對應的操作列限速圖標,彈出終端限速配置對話框。
b. 在“上傳帶寬”配置項處,設置終端的上傳帶寬。
c. 在“下載帶寬”配置項處,設置終端的下載帶寬。
d. 在“取消限速”配置項處,勾選此項,將取消對指定終端的限速。
e. 點擊<確定>按鈕,完成配置。
(4) 配置終端拉黑。
a. 在流量排行列表中,點擊指定終端IP地址對應的操作列拉黑圖標,彈出拉黑配置對話框。
b. 在“拉黑時間”配置項處,設置終端的拉黑時間。
c. 在“永久拉黑”配置項處,勾選此項,將指定終端永久拉黑。
d. 點擊<確定>按鈕,完成配置。
當網絡管理員需要自定義無線服務時,可根據如下步驟配置。
|
步驟 |
配置內容 |
詳情 |
|
1 |
添加VLAN(可選) |
添加無線業務VLAN(即橋接VLAN),具體配置方法請見參見配置VLAN。 |
|
2 |
啟用AP管理功能(必選) |
啟用AP管理功能,使得AP上線,具體配置方法請見參見AP管理設置。 |
|
3 |
配置無線服務模板(必選) |
根據需要配置無線服務模板,具體配置方法請參見配置模板管理。 |
|
4 |
下發無線服務模板(必選) |
為上線AP選擇綁定的無線服務模板,具體配置方法請參見AP配置管理。 |
您可通過開啟AP管理功能,集中管理接入的AP設備。
AP管理功能的默認管理VLAN為VLAN1,如需選擇其它VLAN,請先單擊導航樹中的[網絡設置]菜單項,進入LAN配置頁麵進行配置。
(1) 單擊導航樹中[MiniAP管理/AP管理設置]菜單項,進入AP管理設置頁麵。
(2) 點擊“查看支持AP型號列表”按鈕,可查看設備支持的AP型號列表。
(3) 在“AP管理功能”配置項處,選擇“啟用”。
(4) 在“AP管理使用VLAN”配置項處,選擇AP管理使用的管理VLAN。
您可通過在線AP管理功能查看已上線的AP設備和客戶端。本頁麵顯示AP設備與客戶端的詳細信息,支持管理客戶端的上線狀態,支持定時重啟AP。用戶可使用在線AP管理功能,選擇AP綁定的服務模板,手動升級AP版本或AP同步AC下發的配置。
· 使用版本升級功能之前,請先將AP升級需要使用的軟件版本上傳到設備中。具體操作步驟,請單擊導航樹中[MiniAP管理/版本管理]菜單項,進入版本管理頁麵進行相關配置。
· 未開啟“強製AP和管理器上的版本一致”功能時,版本升級功能僅用於AP設備從低版本到高版本的升級操作。
(1) 單擊導航樹中[MiniAP管理/在線AP管理]菜單項,進入在線AP管理頁麵。
(2) 單擊“在線AP列表”頁簽,進入在線AP列表頁麵。
(3) 勾選AP型號前的複選框,可進行如下功能配置:
¡ 點擊<綁定配置模板>按鈕,選擇AP需要綁定的已經創建的無線服務模板或者手工配置。
¡ 點擊<版本升級>按鈕,AC下發軟件版本並升級該AP設備。
¡ 點擊<配置同步>按鈕,手動觸發AP同步AC下發的配置。
¡ 點擊<刪除離線記錄>按鈕,刪除離線設備的狀態顯示項。
¡ 點擊<重新啟動>按鈕,重啟AP設備。
¡ 點擊<射頻管理>按鈕,可根據需要開啟或關閉2.4GHz射頻和5GHz射頻。
(4) 在“每頁顯示”配置項處,設置當前顯示頁麵的AP數據條數。
(1) 單擊導航樹中[MiniAP管理/在線AP管理]菜單項,進入在線AP管理頁麵。
(2) 單擊“客戶端列表”頁簽,進入客戶端列表配置頁麵。
(3) 勾選客戶端前的複選框,點擊<釋放>按鈕,斷開客戶端與無線服務的連接。
(4) 點擊<全部釋放>按鈕,斷開所有客戶端與無線服務的連接。
在使用定時重啟功能之前,需在“係統設置—日期和時間—自動同步網絡日期和時間”中配置NTP服務器。
(1) 單擊導航樹中[MiniAP管理/在線AP管理]菜單項,進入在線AP管理頁麵。
(2) 單擊“定時重啟AP”頁簽,進入定時重啟AP配置頁麵。
(3) 在“定時重啟”配置處,選擇“開啟”選項。開啟定時重啟AP的功能。
(4) 在“生效周期”配置處,設定每周設備重啟的具體時間。
(5) 點擊<確定>按鈕,設備將會在設定時間進行重啟。
當您需要手動增加AP、修改無線網絡各種參數以便對無線網絡進行優化或需要進行無線漫遊時,可以使用配置管理功能。
為了方便您進行快速設置,設備提供了一套缺省的無線服務模板“default”。defalt模板中提供了一個2.4G網絡配置和一個5G網絡配置,您可以在“無線基本配置”頁簽”中對SSID名稱、加密方式和共享密鑰三項參數進行配置。如果您想配置default模板的更多參數(無線網絡模式、無線網絡頻寬、無線信道、發射功率、修改SSID配置等)或創建及修改新的無線服務模板,可以到“配置模板管理”頁簽配置。
配置完無線服務模板後,如果需要增加手工AP或為上線的AP分配無線服務模板,請到“AP配置管理”頁簽中配置。
完成上述配置後,如果對無線網絡還有二層漫遊、禁止弱信號客戶端接入以及關閉廣播探測等高級需求,請到“無線高級配置”頁簽下進行配置。
無線基本配置隻對default模板中2.4G網絡和5G網絡的SSID-1名稱、加密方式和共享密鑰三項參數進行配置。
· 修改服務模板中的加密方式、共享配置密鑰等無線服務屬性後,如果AP中的配置未自動同步,需要手動點擊<配置同步>按鈕,將配置下發到AP設備。如需使用<配置同步>功能,請參考“在線AP管理”的聯機幫助。
· 配置無線服務模板時,需要同時配置2.4G與5G無線網絡的相關參數信息。
(1) 單擊導航樹中[MiniAP管理/配置管理]菜單項,進入配置管理頁麵。
(2) 單擊“無線基本配置”頁簽,進入無線基本配置頁麵。
(3) 配置無線網絡設置SSID設置-2.4G:
¡ 在“SSID-1名稱”配置項處,輸入2.4G無線服務的SSID名稱,即無線用戶接入網絡時搜索到的網絡名稱。支持英文字母[a-z,A-Z]、數字、中文、下劃線、連接符、英文句號和空格。
¡ 在“加密方式”配置項處,選擇客戶端是否通過加密方式連接無線服務:
- 不加密:不對無線信號加密。
- WPA-PSK/WPA2-PSK加密:若無線客戶端支持WIFI5無線協議,推薦使用WPA-PSK/WPA2-PSK加密。
- WPA2-PSK/WPA3-PSK加密:若無線客戶端支持WIFI6無線協議,推薦使用WPA2-PSK/WPA3-PSK加密。
¡ 在“共享密鑰”配置項處,輸入無線服務密鑰,無線用戶在接入網絡時需要輸入此密鑰。當您選擇WPA-PSK/WPA2-PSK或WPA2-PSK/WPA3-PSK加密方式時,需要設置共享密鑰。密鑰長度為8-63個字符,隻能包含英文字母[a-z,A-Z]、數字,以及特殊字符(~!@#$%^&*()_+-={}|[]:<>,./),區分大小寫。
(4) 配置無線網絡SSID設置-5G:
¡ 在“SSID-1名稱”配置項處,輸入5G無線服務的SSID名稱,即無線用戶接入網絡時搜索到的網絡名稱。支持英文字母[a-z,A-Z]、數字、中文、下劃線、連接符、英文句號和空格。
¡ 在“加密方式”配置項處,選擇客戶端是否通過加密方式連接無線服務:
- 不加密:不對無線信號加密。
- WPA-PSK/WPA2-PSK加密:若無線客戶端支持WIFI5無線協議,推薦使用WPA-PSK/WPA2-PSK加密。
- WPA2-PSK/WPA3-PSK加密:若無線客戶端支持WIFI6無線協議,推薦使用WPA2-PSK/WPA3-PSK加密。
¡ 在“共享密鑰”配置項處,輸入無線服務密鑰,無線用戶在接入網絡時需要輸入此密鑰。當您選擇WPA-PSK/WPA2-PSK或WPA2-PSK/WPA3-PSK加密方式時,需要設置共享密鑰。密鑰長度為8-63個字符,隻能包含英文字母[a-z,A-Z]、數字,以及特殊字符(~!@#$%^&*()_+-={}|[]:<>,./),區分大小寫。
(5) 點擊<應用>按鈕,完成配置。
一個模板可以配置多個SSID,最多配置8個2.4G的SSID和8個5G的SSID。如果AP支持N個SSID(N小於等於8),則AP隻會同步前N個SSID。
配置模板管理用來配置default模板的更多參數(無線網絡模式、無線網絡頻寬、發射功率、修改SSID配置等)或創建及修改新的無線服務模板。
(1) 單擊導航樹中[MiniAP管理/配置管理]菜單項,進入配置管理頁麵。
(2) 單擊“配置模板管理”頁簽,進入配置模板管理頁麵。
(3) 點擊<添加>按鈕,彈出“添加配置模板”對話框。
¡ 在“模板名稱”配置項處,輸入無線服務模板的名稱。
¡ 在“模板描述”配置項處,輸入該無線服務模板的相關描述信息。
¡ 在“無線網絡基本設置-2.4G”配置項處,選擇無線網絡模式、頻寬、信道和發射功率參數信息。通常情況下選擇缺省配置即可,如需更改配置,請確保相關配置符合所在國家或區域的管製要求。需要注意的是,發射功率是指天線在無線介質中所輻射的功率,反映的是WLAN設備輻射信號的強度。射頻功率越大,射頻覆蓋的範圍越廣,客戶端在同一位置收到的信號強度越強,也就越容易幹擾鄰近的網絡。隨著傳輸距離的增大,信號強度隨之衰減。
¡ 在“無線網絡SSID設置-2.4G”配置項處,點擊<添加>按鈕,彈出“添加SSID配置”對話框。
- 勾選“啟用SSID”選項,啟用無線2.4G網絡。
- 在“SSID名稱”配置項處,輸入2.4G無線服務的SSID名稱。
- 在“加密方式”配置項處,選擇客戶端是否通過加密方式連接無線服務:
不加密:不對無線信號加密。
WPA-PSK/WPA2-PSK加密:若無線客戶端支持WIFI5無線協議,推薦使用WPA-PSK/WPA2-PSK加密。
WPA2-PSK/WPA3-PSK加密:若無線客戶端支持WIFI6無線協議,推薦使用WPA2-PSK/WPA3-PSK加密。
- 在“共享密鑰”配置項處,輸入無線服務密鑰,無線用戶在接入網絡時需要輸入此密鑰。當您選擇WPA-PSK/WPA2-PSK或WPA2-PSK/WPA3-PSK加密方式時,需要設置共享密鑰。密鑰長度為8-63個字符,隻能包含英文字母[a-z,A-Z]、數字,以及特殊字符(~!@#$%^&*()_+-={}|[]:<>,./),區分大小寫。
- 在“加密協議”配置項處,選擇加密機製來保護您的數據安全。
設備提供的加密協議包括TKIP、AES及TKIP+AES。AES比TKIP采用更高級的加密技術,因此AES比TKIP的安全性更好,但TKIP對網卡的兼容性更好,部分老網卡可能不支持AES,實際中請根據網卡的支持情況選擇加密協議。
- 在“群組密鑰更新周期”配置項處,設置群組密鑰更新周期。設置密鑰更新周期可以幫助您提高WLAN網絡的安全性。
- 當您需要進一步設置客戶端接入管理的相關功能時,請勾選“高級設置”選項。
客戶端隔離:選擇與某個SSID建立連接的無線客戶端之間是否可以互相通信。選擇禁用,允許無線客戶端之間進行通信。選擇啟用,禁止無線客戶端之間進行通信。
SSID廣播:選擇是否廣播SSID功能。選擇啟用,當無線客戶端搜尋本地可以接入的無線網絡時,將檢測到廣播的SSID,從而可以建立連接。選擇禁用,管理員需要向客戶端知會其SSID名稱,客戶端才可以根據SSID名稱接入無線網絡。
最大客戶端數量:設置SSID最大能夠接入的無線客戶端數量。
橋接VLAN:設置無線橋接VLAN的值。
- 點擊<確定>按鈕,完成配置。
¡ 在“無線網絡基本設置-5G”配置項處,選擇無線網絡模式、頻寬、信道和發射功率等參數信息。通常情況下選擇缺省配置即可,如需更改配置,請確保相關配置符合所在國家或區域的管製要求。需要注意的是,發射功率是指天線在無線介質中所輻射的功率,反映的是WLAN設備輻射信號的強度。射頻功率越大,射頻覆蓋的範圍越廣,客戶端在同一位置收到的信號強度越強,也就越容易幹擾鄰近的網絡。隨著傳輸距離的增大,信號強度隨之衰減。
¡ 在“無線網絡SSID設置-5G”配置項處,點擊<添加>按鈕,彈出添加SSID配置對話框。
- 勾選“啟用SSID”選項,啟用無線5G網絡。
- 在“SSID名稱”配置項處,輸入5G無線服務的SSID名稱。
- 在“加密方式”配置項處,選擇客戶端是否通過加密方式連接無線服務:
不加密:不對無線信號加密。
WPA-PSK/WPA2-PSK加密:若無線客戶端支持WIFI5無線協議,推薦使用WPA-PSK/WPA2-PSK加密。
WPA2-PSK/WPA3-PSK加密:若無線客戶端支持WIFI6無線協議,推薦使用WPA2-PSK/WPA3-PSK加密。
- 在“共享密鑰”配置項處,輸入無線服務密鑰,無線用戶在接入網絡時需要輸入此密鑰。
當您選擇WPA-PSK/WPA2-PSK或WPA2-PSK/WPA3-PSK加密方式時,需要設置共享密鑰。密鑰長度為8-63個字符,隻能包含英文字母[a-z,A-Z]、數字,以及特殊字符(~!@#$%^&*()_+-={}|[]:<>,./),區分大小寫。
- 在“加密協議”配置項處,選擇加密機製來保護您的數據安全。
- 在“群組密鑰更新周期”配置項處,設置群組加密密鑰更新周期。設置密鑰更新周期可以幫助您提高WLAN網絡的安全性。
- 當您需要進一步設置客戶端接入管理的相關功能時,請勾選“高級設置”選項。
客戶端隔離:選擇與某個SSID建立連接的無線客戶端之間是否可以互相通信。選擇禁用,允許無線客戶端之間進行通信。選擇啟用,禁止無線客戶端之間進行通信。
SSID廣播:選擇是否廣播SSID功能。選擇啟用,當無線客戶端搜尋本地可以接入的無線網絡時,將檢測到廣播的SSID,從而可以建立連接。選擇禁用,管理員需要向客戶端知會其SSID名稱,客戶端才可以根據SSID名稱接入無線網絡。
最大客戶端數量:設置SSID最大能夠接入的無線客戶端數量。
橋接VLAN:設置無線橋接VLAN的值。
- 點擊<確定>按鈕,完成配置。
(4) 點擊<確定>按鈕,完成服務模板的配置。
(5) 如需修改配置好的無線服務模板,則在“配置模板管理”頁簽下,點擊模板名稱對應的操作列編輯圖標,進入無線服務模板修改頁麵進行相關參數修改即可。
(6) 如需刪除無線服務模板,則在則在“配置模板管理”頁簽下,勾選要刪除的模板名稱前的複選框,然後單擊頁麵右上角的<刪除>按鈕即可,或者點擊模板名稱對應的操作列刪除圖標刪除當前無線服務模板。注意,名稱為“default”的缺省服務模板無法刪除。
AP配置管理用來添加、修改、刪除AP。
(1) 單擊導航樹中[MiniAP管理/配置管理]菜單項,進入配置管理頁麵。
(2) 單擊“AP配置管理”頁簽,進入AP配置管理頁麵。
(3) 點擊<添加>按鈕,彈出“添加AP配置模板”對話框。
(4) 在“MAC地址”配置項處,輸入AP設備的MAC地址。
您可通過AP機身查找AP設備的MAC地址。
(5) 在“備注信息”配置項處,填寫配置信息。
(6) 在“模板選擇”配置項處,選擇AP需要綁定的已經創建的無線服務模板。
(7) 設置2.4G配置和5G配置,具體請參見“配置模板管理”頁簽的相關配置。
(8) 點擊<確定>按鈕,完成配置。
(9) 如需修改配置好的AP配置模板,則在“AP配置管理”頁簽下,點擊AP MAC地址對應的操作列編輯圖標,進入AP配置模板修改頁麵進行相關參數修改即可。
(10) 如需刪除AP配置模板,則在“AP配置管理”頁簽下,勾選要刪除的AP MAC地址前的複選框,然後單擊頁麵右上角的<刪除>按鈕即可,或者點擊AP MAC地址對應的操作列刪除圖標刪除當前AP配置模板。注意,在線AP的配置模板無法刪除。
無線高級配置用來配置二層漫遊、禁止弱信號客戶端接入以及關閉廣播探測高級需求。
· 若同時啟用“二層漫遊”與“禁止弱信號客戶端接入”功能時,“禁止弱信號客戶端接入”需要比“信號切換閾值”低,否則“二層漫遊”功能將不生效。
· 客戶端在AC內進行二層漫遊時,要求兩個AP處於相同的VLAN中,且AP綁定相同的SSID,即服務模板也保持一致。
· 配置禁止弱信號客戶端接入功能,會導致信號強度低於指定門限值的無線客戶端無法接入WLAN網絡。
(1) 單擊導航樹中[MiniAP管理/配置管理]菜單項,進入配置管理頁麵。
(2) 單擊“無線高級配置”頁簽,進入無線高級配置管理頁麵。您可視實際情況選擇開啟如下功能:
¡ 勾選“二層漫遊”選項,開啟二層漫遊功能。
¡ 在“信號切換閥值”配置項處,輸入信號切換閥值。
¡ WLAN客戶端從一個AP上接入轉移到另一個AP上接入的過程稱為漫遊。在漫遊期間,客戶端的IP地址、授權信息等維持不變。開啟“二層漫遊”功能時,低於“信號切換閥值”的客戶端會進行信號切換。
¡ 勾選“禁止弱信號客戶端接入”選項,開啟禁止弱信號客戶端接入功能。
¡ 在“禁止接入信號強度”配置項處,設置信號強度,低於“禁止接入信號強度”的客戶端將無法接入無線網絡。
在WLAN網絡中,信號強度較弱的無線客戶端雖然能夠接入網絡,但其所能獲取到的網絡性能和服務質量相比信號強的無線客戶端要差很多。禁止弱信號客戶端接入功能通過拒絕信號低於指定信號強度門限值的客戶端接入,避免弱信號客戶端占用較多的信道資源,減少對網絡中其它客戶端的影響,提升整網的用戶體驗。
¡ 勾選“關閉廣播探測”選項,開啟關閉廣播探測功能,部分客戶端將無法掃描到本設備接入AP的SSID。
(3) 點擊<確定>按鈕,完成配置。
Wi-Fi5備用網絡配置提供2.4G和5G射頻的Wi-Fi5備用網絡SSID配置,當部分終端無法掃描到Wi-Fi6信號時,可以連接備用的Wi-Fi5兼容信號。
(1) 單擊導航樹中[MiniAP管理/配置管理]菜單項,進入配置管理頁麵。
(2) 單擊“WIFI5備用網絡”頁簽,進入Wi-Fi5備用網絡配置頁麵。
(3) 配置2.4G Wi-Fi5備用網絡SSID:
¡ 勾選“啟用SSID”選項,啟用無線2.4G網絡。
¡ 在“SSID名稱”配置項處,輸入2.4G無線服務的SSID名稱,即無線用戶接入網絡時搜索到的網絡名稱。支持英文字母[a-z,A-Z]、數字、中文、下劃線、連接符、英文句號和空格。
¡ 在“加密方式”配置項處,選擇客戶端是否通過加密方式連接無線服務:
- 不加密:不對無線信號加密。
- WPA-PSK/WPA2-PSK加密:若無線客戶端支持WIFI5無線協議,推薦使用WPA-PSK/WPA2-PSK加密。
¡ 在“共享密鑰”配置項處,輸入無線服務密鑰,無線用戶在接入網絡時需要輸入此密鑰。
當您選擇WPA-PSK/WPA2-PSK加密方式時,需要設置共享密鑰。密鑰長度為8-63個字符,隻能包含英文字母[a-z,A-Z]、數字,下劃線,區分大小寫。
(4) 配置5G WI-FI5備用網絡SSID:
¡ 勾選“啟用SSID”選項,啟用無線5G網絡。
¡ 在“SSID名稱”配置項處,輸入5G無線服務的SSID名稱,即無線用戶接入網絡時搜索到的網絡名稱。支持英文字母[a-z,A-Z]、數字、中文、下劃線、連接符、英文句號和空格。
¡ 在“加密方式”配置項處,選擇客戶端是否通過加密方式連接無線服務。
- 不加密:不對無線信號加密。
- WPA-PSK/WPA2-PSK加密:若無線客戶端支持WIFI5無線協議,推薦使用WPA-PSK/WPA2-PSK加密。
¡ 在“共享密鑰”配置項處,輸入無線服務密鑰,無線用戶在接入網絡時需要輸入此密鑰。
當您選擇WPA-PSK/WPA2-PSK加密方式時,需要設置共享密鑰。密鑰長度為8-63個字符,隻能包含英文字母[a-z,A-Z]、數字,下劃線,區分大小寫。
(5) 點擊<應用>按鈕,完成配置。
版本管理功能可以幫助您升級AP的軟件版本或者強製AP同步管理器上的軟件版本。
· AP斷電重連後會自動同步設備管理器中的軟件版本。
· 升級AP的軟件版本時,如果設備管理器中待升級的軟件版本高於AP的軟件版本,AP會自動升級軟件版本;反之,則需要開啟“強製AP和管理器上的版本一致”,AP才能自動升級到該軟件版本。
(1) 單擊導航樹中[MiniAP管理/版本管理]菜單項,進入版本管理配置頁麵。
(2) 單擊“AP版本上傳”頁簽,進入AP版本上傳配置頁麵。
(3) 點擊<選擇文件>按鈕,訪問待上傳的AP軟件版本存放路徑,並選擇版本文件。
(4) 點擊<上傳>按鈕,將待上傳的AP軟件版本上傳到設備中。
(5) 點擊版本文件右側的<刪除>按鈕,點擊<確認>按鈕,即可刪除設備中的版本文件。
(1) 單擊導航樹中[MiniAP管理/版本管理]菜單項,進入版本管理配置頁麵。
(2) 單擊“AP升級管理”頁簽,進入AP升級管理頁麵。
(3) 點擊按鈕,使得按鈕狀態為“ON”,開啟“強製AP和管理器上的版本一致”功能。
當設備管理器中待升級的軟件版本低於AP的軟件版本時,需要開啟“強製AP和管理器上的版本一致”功能,AP才能自動升級到該軟件版本。
若需要通過Web管理頁麵登錄AP設備,可通過高級管理功能統一設置下掛AP的Web管理頁麵登錄密碼。
· 終端連接AP設備後單獨設置的登錄密碼優先級高於管理器統一下發的登錄密碼配置。
· 配置IP地址時,請確保不要與網絡上其它IP地址發生衝突。例如,可先通過“係統工具”->“網絡診斷”頁麵的“ping”功能,檢測網絡上是否有相同的IP地址。
· 配置AP管理地址池時,起始地址不得大於結束地址;AP管理地址和地址池必須在同一網段。
(1) 單擊導航樹中[MiniAP管理/高級管理]菜單項,進入高級管理配置頁麵。
(2) 單擊“地址管理設置”頁簽,進入地址管理設置頁麵。
(3) 在“AP管理地址”配置項處,輸入管理VLAN的IP地址。
(4) 在“AP管理子網掩碼”配置項處,輸入管理VLAN的子網掩碼,例如255.255.255.0。
(5) 在“地址池起始地址”配置項處,配置AP上線後獲取IP地址的地址池起始地址。
(6) 在“地址池結束地址”配置項處,配置AP上線後獲取IP地址的地址池結束地址。
(7) 點擊<確定>按鈕,完成地址管理設置服務。
(1) 單擊導航樹中[MiniAP管理/高級管理]菜單項,進入高級管理配置頁麵。
(2) 單擊“AP密碼管理”頁簽,進入AP密碼管理配置頁麵。
(3) 勾選“啟用AP密碼設置功能(手動設置AP密碼)”,在“新密碼”配置項處,輸入新密碼,密碼長度為1-31個字符,隻能包含英文字母[a-z,A-Z]、數字,下劃線,區分大小寫。
(4) 在“確認密碼”配置項處,再次輸入新密碼。
(5) 在“密碼提示”配置項處,輸入密碼提示信息。
(6) 點擊<確定>按鈕,完成配置。
無線優化功能提供了AP統計功能,對AP進行一鍵部署、一鍵優化和網絡分析功能。
在對AP進行一鍵部署和一鍵優化之前,需要先將AP的無線信道設置為AUTO。
(1) 單擊導航樹中[MiniAP管理/無線優化]菜單項,進入無線優化配置頁麵。
(2) 點擊<一鍵部署>按鈕,可將所有在線且無線信道類型為AUTO的AP自動分配無線信道。
(3) 在列表中勾選需要優化的AP後,點擊<一鍵優化>按鈕,可對所選AP的無線網絡進行優化。
(4) 在列表中勾選需要分析的AP後,點擊<網絡分析>按鈕,可對所選AP的無線網絡質量進行分析並評分。
不同款型的設備對本功能的支持情況不同,請以設備的實際情況為準。
當網絡管理員需要自定義無線服務時,可根據如下步驟配置。
|
步驟 |
配置內容 |
詳情 |
|
1 |
添加VLAN(可選) |
根據需要添加無線業務VLAN(即橋接VLAN),具體配置方法請見參見配置VLAN。 |
|
2 |
配置內部網絡和訪客網絡(可選) |
根據需要配置內部網絡和訪客網絡,具體配置方法請見參見基本設置。 |
|
3 |
配置無線名稱和密碼(必選) |
根據需要配置2.4G或5G網絡的無線名稱和密碼,具體配置方法請見參見無線射頻管理。 |
您可以在基本設置的“內部網絡”頁簽和“訪客網絡”頁簽中分別對SSID名稱、加密方式和共享密鑰三項參數進行配置。
配置無線服務模板時,需要同時配置2.4G與5G無線網絡的相關參數信息。
(1) 單擊導航樹中[無線設置/基本設置]菜單項,進入基本設置頁麵。
(2) 單擊“內部網絡”頁簽,進入內部網絡的基本設置頁麵。
(3) 配置無線網絡設置SSID設置-2.4G:
¡ 勾選“啟用無線網絡”選項,啟用無線2.4G網絡。
¡ 在“SSID-1名稱”配置項處,輸入2.4G無線服務的SSID名稱,即無線用戶接入網絡時搜索到的網絡名稱。SSID名稱長度為1-31個字符,可輸入中文、英文字母[a-z,A-Z]、數字,以及特殊字符(空格~!@#$%^&*()_+-={}|[]:;’<>,./),其中1個中文字符占3個英文字符,英文字母區分大小寫。
¡ 在“加密方式”配置項處,選擇客戶端是否通過加密方式連接無線服務:
- 不加密:不對無線信號加密。
- WPA-PSK/WPA2-PSK加密:若無線客戶端支持WIFI5無線協議,推薦使用WPA-PSK/WPA2-PSK加密。
- WPA2-PSK/WPA3-PSK加密:若無線客戶端支持WIFI6無線協議,推薦使用WPA2-PSK/WPA3-PSK加密。
¡ 在“共享密鑰”配置項處,輸入無線服務密鑰,無線用戶在接入網絡時需要輸入此密鑰。當您選擇WPA-PSK/WPA2-PSK或WPA2-PSK/WPA3-PSK加密方式時,需要設置共享密鑰。密鑰長度為8-63個字符,隻能包含英文字母[a-z,A-Z]、數字,以及特殊字符(~!@#$%^&*()_+-={}|[]:<>,./),區分大小寫。
(4) 配置無線網絡設置SSID設置-5G:
¡ 勾選“啟用無線網絡”選項,啟用無線5G網絡。
¡ 在“SSID-1名稱”配置項處,輸入5G無線服務的SSID名稱,即無線用戶接入網絡時搜索到的網絡名稱。SSID名稱長度為1-31個字符,可輸入中文、英文字母[a-z,A-Z]、數字,以及特殊字符(空格~!@#$%^&*()_+-={}|[]:;’<>,./),其中1個中文字符占3個英文字符,英文字母區分大小寫。
¡ 在“加密方式”配置項處,選擇客戶端是否通過加密方式連接無線服務。
- 不加密:不對無線信號加密。
- WPA-PSK/WPA2-PSK加密:若無線客戶端支持WIFI5無線協議,推薦使用WPA-PSK/WPA2-PSK加密。
- WPA2-PSK/WPA3-PSK加密:若無線客戶端支持WIFI6無線協議,推薦使用WPA2-PSK/WPA3-PSK加密。
¡ 在“共享密鑰”配置項處,輸入無線服務密鑰,無線用戶在接入網絡時需要輸入此密鑰。當您選擇WPA-PSK/WPA2-PSK或WPA2-PSK/WPA3-PSK加密方式時,需要設置共享密鑰。密鑰長度為8-63個字符,隻能包含英文字母[a-z,A-Z]、數字,以及特殊字符(~!@#$%^&*()_+-={}|[]:<>,./),區分大小寫。
(5) 點擊<應用>按鈕,完成配置。
訪客網絡的無線基本配置支持對2.4G網絡和5G網絡的SSID名稱、加密方式和共享密鑰三項參數進行配置。
配置無線服務模板時,需要同時配置2.4G與5G無線網絡的相關參數信息。
(1) 單擊導航樹中[無線設置/基本設置]菜單項,進入基本設置頁麵。
(2) 單擊“訪客網絡”頁簽,進入訪客網絡的基本設置頁麵。
(3) 配置訪客網絡設置SSID設置-2.4G:
¡ 勾選“啟用SSID”選項,啟用無線2.4G網絡。
¡ 在“SSID-1名稱”配置項處,輸入2.4G無線服務的SSID名稱,即無線用戶接入網絡時搜索到的網絡名稱。SSID名稱長度為1-31個字符,可輸入中文、英文字母[a-z,A-Z]、數字,以及特殊字符(空格~!@#$%^&*()_+-={}|[]:;’<>,./),其中1個中文字符占3個英文字符,英文字母區分大小寫。
¡ 在“加密方式”配置項處,選擇客戶端是否通過加密方式連接無線服務。
- 不加密:不對無線信號加密。
- WPA-PSK/WPA2-PSK加密:若無線客戶端支持WIFI5無線協議,推薦使用WPA-PSK/WPA2-PSK加密。
- WPA2-PSK/WPA3-PSK加密:若無線客戶端支持WIFI6無線協議,推薦使用WPA2-PSK/WPA3-PSK加密。
¡ 在“共享密鑰”配置項處,輸入無線服務密鑰,無線用戶在接入網絡時需要輸入此密鑰。
當您選擇WPA-PSK/WPA2-PSK或WPA2-PSK/WPA3-PSK加密方式時,需要設置共享密鑰。密鑰長度為8-63個字符,隻能包含英文字母[a-z,A-Z]、數字,以及特殊字符(~!@#$%^&*()_+-={}|[]:<>,./),區分大小寫。
(4) 配置訪客網絡設置SSID設置-5G:
¡ 勾選“啟用SSID”選項,啟用無線5G網絡。
¡ 在“SSID-1名稱”配置項處,輸入5G無線服務的SSID名稱,即無線用戶接入網絡時搜索到的網絡名稱。
¡ 在“加密方式”配置項處,選擇客戶端是否通過加密方式連接無線服務。
- 不加密:不對無線信號加密。
- WPA-PSK/WPA2-PSK加密:若無線客戶端支持WIFI5無線協議,推薦使用WPA-PSK/WPA2-PSK加密。
- WPA2-PSK/WPA3-PSK加密:若無線客戶端支持WIFI6無線協議,推薦使用WPA2-PSK/WPA3-PSK加密。
¡ 在“共享密鑰”配置項處,輸入無線服務密鑰,無線用戶在接入網絡時需要輸入此密鑰。
當您選擇WPA-PSK/WPA2-PSK或WPA2-PSK/WPA3-PSK加密方式時,需要設置共享密鑰。密鑰長度為8-63個字符,隻能包含英文字母[a-z,A-Z]、數字,以及特殊字符(~!@#$%^&*()_+-={}|[]:<>,./),區分大小寫。
(5) 點擊<應用>按鈕,完成配置。
無線射頻管理用來配置無線服務的更多參數(無線網絡模式、無線網絡信道頻寬、無線信道、發射功率、修改SSID配置等)或創建及修改新的無線服務模板。
名稱為“H3C_WIFI”、“H3C_WIFI_GUEST”、“H3C_WIFI_5G”和“H3C_WIFI_GUEST_5G”的SSID為係統默認的SSID,不能被刪除。
(1) 單擊導航樹中[無線設置/高級設置]菜單項,進入高級設置頁麵。
(2) 單擊“無線射頻管理”頁簽,進入無線射頻管理頁麵。
(3) 配置無線網絡設置SSID設置-2.4G:
在“無線網絡基本設置-2.4G”配置項處,選擇無線網絡模式、頻寬、信道和發射功率參數信息。通常情況下選擇缺省配置即可,如需更改配置,請確保相關配置符合所在國家或區域的管製要求。配置完成後,點擊<應用>按鈕。
發射功率是指天線在無線介質中所輻射的功率,反映的是WLAN設備輻射信號的強度。射頻功率越大,射頻覆蓋的範圍越廣,客戶端在同一位置收到的信號強度越強,也就越容易幹擾鄰近的網絡。隨著傳輸距離的增大,信號強度隨之衰減。
(4) 添加2.4G SSID配置模板:
¡ 在“無線網絡SSID設置-2.4G”配置項處,點擊<添加>按鈕,彈出“添加SSID配置”對話框。
¡ 勾選“啟用SSID”選項,啟用無線2.4G網絡。
¡ 在“SSID名稱”配置項處,輸入2.4G無線服務的SSID名稱。SSID名稱長度為1-31個字符,可輸入中文、英文字母[a-z,A-Z]、數字,以及特殊字符(空格~!@#$%^&*()_+-={}|[]:;’<>,./),其中1個中文字符占3個英文字符,英文字母區分大小寫。
¡ 在“加密方式”配置項處,選擇客戶端是否通過加密方式連接無線服務。
- 不加密:不對無線信號加密。
- WPA-PSK/WPA2-PSK加密:若無線客戶端支持WIFI5無線協議,推薦使用WPA-PSK/WPA2-PSK加密。
- WPA2-PSK/WPA3-PSK加密:若無線客戶端支持WIFI6無線協議,推薦使用WPA2-PSK/WPA3-PSK加密。
¡ 在“共享密鑰”配置項處,輸入無線服務密鑰,無線用戶在接入網絡時需要輸入此密鑰。
當您選擇WPA-PSK/WPA2-PSK或WPA2-PSK/WPA3-PSK加密方式時,需要設置共享密鑰。密鑰長度為8-63個字符,隻能包含英文字母[a-z,A-Z]、數字,以及特殊字符(~!@#$%^&*()_+-={}|[]:<>,./),區分大小寫。
¡ 在“加密協議”配置項處,選擇加密機製來保護您的數據安全。
- AES:在新無線網卡上使用,適用於802.11n無線傳輸協議,安全性更好。
- TKIP:在老無線網卡上使用,適用於802.11x無線傳輸協議。
- TKIP+AES:設備根據終端網卡情況自動選擇加密協議。
AES比TKIP采用更高級的加密技術,因此AES比TKIP的安全性更好,但TKIP對網卡的兼容性更好,部分老網卡可能不支持AES,實際中請根據網卡的支持情況選擇加密協議。
¡ 在“群組密鑰更新周期”配置項處,設置群組密鑰更新周期。
設置密鑰更新周期可以幫助您提高WLAN網絡的安全性。
¡ 當您需要進一步設置客戶端接入管理的相關功能時,請勾選“高級設置”選項。
- 客戶端隔離:選擇與某個SSID建立連接的無線客戶端之間是否可以互相通信。
禁用:允許無線客戶端之間進行通信。
啟用:禁止無線客戶端之間進行通信。
- SSID廣播:選擇是否廣播SSID功能。
啟用:當無線客戶端搜尋本地可以接入的無線網絡時,將檢測到廣播的SSID,從而可以建立連接。
禁用:管理員需要向客戶端知會其SSID名稱,客戶端才可以根據SSID名稱接入無線網絡。
- 最大客戶端數量:設置SSID最大能夠接入的無線客戶端數量。
- 橋接VLAN:設置無線橋接VLAN的值。
¡ 點擊<確定>按鈕,完成配置。
(5) 配置無線網絡設置SSID設置-5G:
在“無線網絡基本設置-5G”配置項處,選擇無線網絡模式、頻寬、信道和發射功率等參數信息。通常情況下選擇缺省配置即可,如需更改配置,請確保相關配置符合所在國家或區域的管製要求。配置完成後,點擊<應用>按鈕。
發射功率是指天線在無線介質中所輻射的功率,反映的是WLAN設備輻射信號的強度。射頻功率越大,射頻覆蓋的範圍越廣,客戶端在同一位置收到的信號強度越強,也就越容易幹擾鄰近的網絡。隨著傳輸距離的增大,信號強度隨之衰減。
(6) 添加5G SSID配置模板:
¡ 在“無線網絡SSID設置-5G”配置項處,點擊<添加>按鈕,彈出“添加SSID配置”對話框。
¡ 勾選“啟用SSID”選項,啟用無線5G網絡。
¡ 在“SSID名稱”配置項處,輸入5G無線服務的SSID名稱。SSID名稱長度為1-31個字符,可輸入中文、英文字母[a-z,A-Z]、數字,以及特殊字符(空格~!@#$%^&*()_+-={}|[]:;’<>,./),其中1個中文字符占3個英文字符,英文字母區分大小寫。
¡ 在“加密方式”配置項處,選擇客戶端是否通過加密方式連接無線服務。
- 不加密:不對無線信號加密。
- WPA-PSK/WPA2-PSK加密:若無線客戶端支持WIFI5無線協議,推薦使用WPA-PSK/WPA2-PSK加密。
- WPA2-PSK/WPA3-PSK加密:若無線客戶端支持WIFI6無線協議,推薦使用WPA2-PSK/WPA3-PSK加密。
¡ 在“共享密鑰”配置項處,輸入無線服務密鑰,無線用戶在接入網絡時需要輸入此密鑰。
當您選擇WPA-PSK/WPA2-PSK或WPA2-PSK/WPA3-PSK加密方式時,需要設置共享密鑰。密鑰長度為8-63個字符,隻能包含英文字母[a-z,A-Z]、數字,以及特殊字符(~!@#$%^&*()_+-={}|[]:<>,./),區分大小寫。
¡ 在“加密協議”配置項處,選擇加密機製來保護您的數據安全。
¡ 在“群組密鑰更新周期”配置項處,設置群組密鑰更新周期。
設置密鑰更新周期可以幫助您提高WLAN網絡的安全性。
¡ 當您需要進一步設置客戶端接入管理的相關功能時,請勾選“高級設置”選項。
- 客戶端隔離:選擇與某個SSID建立連接的無線客戶端之間是否可以互相通信。
禁用:允許無線客戶端之間進行通信。
啟用:禁止無線客戶端之間進行通信。
- SSID廣播:選擇是否廣播SSID功能。
啟用:當無線客戶端搜尋本地可以接入的無線網絡時,將檢測到廣播的SSID,從而可以建立連接。
禁用:管理員需要向客戶端知會其SSID名稱,客戶端才可以根據SSID名稱接入無線網絡。
- 最大客戶端數量:設置SSID最大能夠接入的無線客戶端數量。
- 橋接VLAN:設置無線橋接VLAN的值。
¡ 點擊<確定>按鈕,完成配置。
無線高級配置用來配置禁止弱信號客戶端接入和關閉廣播探測高級需求。
· 客戶端在設備內進行二層漫遊時,要求兩個AP處於相同的VLAN中,且AP綁定相同的SSID,即服務模板也保持一致。
· 配置禁止弱信號客戶端接入功能,會導致信號強度低於指定門限值的無線客戶端無法接入WLAN網絡。
(1) 單擊導航樹中[無線設置/高級設置]菜單項,進入高級設置頁麵。
(2) 單擊“無線高級配置”頁簽,進入無線高級配置管理頁麵。您可視實際情況選擇開啟如下功能:
¡ 勾選“禁止弱信號客戶端接入”選項,啟用禁止弱信號客戶端接入功能。
¡ 在“禁止接入信號強度”配置項處,設置信號強度,低於“禁止接入信號強度”的客戶端將無法接入無線網絡。
在WLAN網絡中,信號強度較弱的無線客戶端雖然能夠接入網絡,但其所能獲取到的網絡性能和服務質量相比信號強的無線客戶端要差很多。禁止弱信號客戶端接入功能通過拒絕信號低於指定信號強度門限值的客戶端接入,避免弱信號客戶端占用較多的信道資源,減少對網絡中其他客戶端的影響,提升整網的用戶體驗。
¡ 勾選“關閉廣播探測”選項,開啟關閉廣播探測功能,部分客戶端將無法掃描到本設備接入AP的SSID。
(3) 點擊<確定>按鈕,完成配置。
本功能用於查看接入無線網絡的客戶端。
(1) 單擊導航樹中[無線設置/客戶端列表]菜單項,進入客戶端列表配置頁麵。
(2) 勾選客戶端前的複選框,點擊<釋放>按鈕,斷開客戶端與無線服務的連接。
(3) 點擊<全部釋放>按鈕,斷開所有客戶端與無線服務的連接。
通常情況下,外網指的就是廣域網(WAN,Wide Area Network),廣域網是覆蓋地理範圍相對較廣的數據通信網絡,Internet就是一個巨大的廣域網。
通常在設備上會有多個WAN接口,通過配置WAN接口可以實現設備訪問外網。
本功能用於配置設備WAN口接入的個數。
· 正常情況下,接口從LAN口轉換到WAN口後,WAN口的連接到互聯網方式為DHCP。接口相關的VLAN配置信息在接口轉換後將會丟失。
· 正常情況下,接口轉換會清除端口鏡像配置信息,如你需要繼續使用端口鏡像功能,請在接口轉換後重新配置。
(1) 單擊導航樹中[網絡設置/外網配置]菜單項,進入外網配置頁麵。
(2) 在“配置接口模式”頁簽下,勾選對應的選項,設置設備支持的WAN口數量。不同款型的設備支持WAN口數量(即接口模式)不同,請以設備的實際情況為準。
(3) 點擊<應用>按鈕,完成配置。
(1) 單擊導航樹中[網絡設置/外網配置]菜單項,進入外網配置頁麵。
(2) 單擊“WAN配置”頁簽,進入WAN配置頁麵。
(3) 在線路列表中,點擊指定線路對應的操作列編輯圖標,進入修改WAN配置頁麵。
(4) 根據用戶實際的上網方式,在“連接模式”配置項處選擇對應的連接模式:
¡ 如果選擇連接模式為“PPPoE”:
- 在“上網賬號”配置項處,輸入運營商提供的PPPoE接入用戶名。
- 在“上網密碼”配置項處,輸入運營商提供的PPPoE接入密碼。
- 在“LCP主動檢測”配置項處,選擇在PPPoE鏈路處於異常狀態時,是否開啟保活報文檢測功能。若選擇“是”,表示開啟,則每隔20秒鍾檢測一次;若選擇“否”,表示關閉,則每隔2分鍾檢測一次。
- “在線方式”為“始終在線”。
¡ 如果選擇連接模式為“DHCP”,將自動從DHCP服務器獲取接入外網的IP地址。
¡ 如果選擇連接模式為“固定地址”:
- 在“IP地址”配置項處,輸入接入廣域網的固定IP地址,僅允許輸入A、B、C類IP地址。
- 在“子網掩碼”配置項處,輸入IP地址的掩碼或掩碼長度,例如255.255.255.0或24。
- 在“網關地址”配置項處,輸入接入廣域網的網關地址,僅允許輸入A、B、C類IP地址。
- 在“DNS1”和“DNS2”配置項處,輸入接入廣域網的DNS服務器地址。DNS1缺省為114.114.114.114,DNS2缺省為223.5.5.5。注意設備會優先使用DNS1進行域名解析。如果解析失敗,則使用DNS2進行域名解析。
(5) 在“MAC地址”配置項處,根據實際需求選擇“使用接口出廠MAC地址(例如:00-19-10-28-00-80)”或“使用靜態指定的MAC”。通過運營商分配的公網地址訪問外網時,此處需選擇“使用靜態指定的MAC”,並輸入與運營商綁定的MAC地址。
(6) 在“網絡上行帶寬”和“網絡下行帶寬”配置項處,輸入運營商提供的帶寬值。
(7) 在“撥號方式”配置項處,選擇PPPoE連接的撥號方式,如果選擇自動撥號,配置完成後點擊對話框下方的<確定>按鈕,將會自動完成撥號;如果選擇手動撥號,配置完成後需要點擊對話框下方的<撥號>按鈕才能完成撥號。當連接模式為“PPPoE”時,可配置該參數。
(8) 在“host-uniq”配置項處,設置PPPoE client呼叫報文是否攜帶host-uniq字段。
¡ 攜帶host-uniq字段:PPPoE client呼叫報文中攜帶host-uniq字段。
¡ 不攜帶host-uniq字段:PPPoE client呼叫報文中不攜帶host-uniq字段。
當連接模式為“PPPoE”時,當前設備將作為PPPoE client向PPPoE server發送呼叫報文,呼叫報文可以設置攜帶host-uniq字段,用來唯一標識發送呼叫報文的PPPoE client。PPPoE server收到攜帶host-uniq字段的報文後,必須在應答報文中攜帶host-uniq字段,內容和請求報文中的host-uniq字段相同。
當連接模式為“PPPoE”時,可配置該參數。因為在某些場景下,PPPoE server會要求PPPoE client發送的呼叫報文中攜帶host-uniq字段,所以推薦選擇“攜帶host-uniq字段”選項。
(9) 在“服務器名”配置項處,輸入PPPoE連接的服務器名。當連接模式為“PPPoE”時,可配置該參數。
(10) 在“服務名”配置項處,輸入PPPoE連接的服務名。當連接模式為“PPPoE”時,可配置該參數。
(11) 在“主機名”配置項處,輸入需要通告給DHCP服務器的機器名。當連接模式為“DHCP”時,可配置該參數。
(12) 在“NAT地址轉換”配置項處,根據實際需求選擇是否啟用該功能。局域網中的多台設備共用同一個公網IP時,需要啟用此功能。如果選擇啟用,可根據需要勾選“使用地址池轉換”選項,並選擇地址池。此處可選擇的地址池是通過“網絡設置-NAT配置”中的“地址池”頁簽添加的。
(13) 在“TCP MSS”配置項處,設置接口的TCP報文段的最大長度,缺省為1280字節。
(14) 在“MTU”配置項處,輸入接口允許通過的MTU(Maximum Transmission Unit,最大傳輸單元)的大小。
(15) 在“鏈路探測”配置項處,可設置為未啟用、ICMP探測、DNS探測和NTP探測。當選擇ICMP探測、DNS探測或NTP探測時,需設置如下參數:
¡ 在“探測地址”配置項處,輸入鏈路探測的IP地址,如果鏈路探測配置為DNS探測,則也可以輸入鏈路探測的域名。
¡ 在“探測間隔”配置項處,輸入鏈路探測的時間間隔。
¡ 在“探測次數”配置項處,輸入鏈路探測的探測次數。
啟用鏈路探測功能後,可以對到達指定IP地址的鏈路狀態進行判斷,提高鏈路的可靠性。
(16) 在“是否為專線”配置項處,選擇是否將當前線路設置為專線。專線通常是不能訪問外網的專用線路,例如醫務專線、公安專線等。
¡ 是:將當前線路設置為專線。設置專線後,用戶需要手工配置靜態路由。
¡ 否:不將當前線路設置為專線。
(17) 點擊<確定>按鈕,完成WAN配置修改。
隻有多WAN場景可以進行本頁麵的配置。
(1) 單擊導航樹中[網絡設置/外網配置]菜單項,進入外網配置頁麵。
(2) 單擊“修改多WAN策略”頁簽,進入修改多WAN策略配置頁麵。
(3) 根據實際應用,對多WAN策略進行修改:
¡ 如果多WAN屬於相同的運營商,建議選擇“平均分配負載分擔”或“帶寬比例負載分擔”。如果多WAN鏈路的帶寬一致,建議選擇“平均分配負載分擔”,否則選擇“帶寬比例負載分擔”,並設置分配鏈路帶寬比例。配置設備雙WAN口上網時,如果WAN1和WAN2帶寬比例設置為0:1,此時所有流量僅通過WAN2口轉發。
¡ 如果多WAN屬於不同的運營商,建議選擇“基於運營商的負載分擔”或“多鏈路高級負載分擔”。如果每個運營商提供的鏈路帶寬一致,建議選擇“基於運營商的負載分擔”,否則選擇“多鏈路高級負載分擔”,並設置分配鏈路帶寬比例。
¡ 為了保持網絡的穩定性,可以進行鏈路備份,選擇“主鏈路(請選擇作為主鏈路的WAN接口)”以及對應的“WANn”,然後選擇備份鏈路的“WANm”。注意n和m不能一致,否則不能實現鏈路備份。若所選的主鏈路已開啟鏈路探測功能(在外網配置-WAN配置中配置),係統會根據鏈路的探測結果更換實際生效的主鏈路;若所選的主鏈路未開啟鏈路探測功能,係統會根據接口物理狀態更換實際生效的主鏈路。
(4) 點擊<應用>按鈕,完成多WAN策略修改。
(1) 單擊導航樹中[網絡設置/外網配置]菜單項,進入外網配置頁麵。
(2) 單擊“保存接口上一跳”頁簽,進入保存接口上一跳配置頁麵。
(3) 勾選“開啟保存接口上一跳功能”或“關閉保存接口上一跳功能”選項。多WAN場景下,為了確保進入和離開局域網的報文通過同一個WAN接口轉發,需要開啟保存接口上一跳功能。
本功能主要用於將設備的局域網接口加入VLAN,配置VLAN接口參數,開啟DHCP服務以及配置DHCP服務參數。
DHCP(Dynamic Host Configuration Protocol,動態主機配置協議)是一個局域網協議,主要用於為局域網內的主機分配IP地址。DHCP支持動態及靜態地址分配機製:
· 動態地址分配功能配置在接口上,此功能給用戶主機動態分配IP地址,時間到期或主機明確表示放棄該地址時,該地址可以被其它主機使用。該分配方式適用於局域網的主機獲取有一定有效期限的地址的組網環境。
· 靜態分配的IP地址不與客戶端的接口綁定,僅需要與主機的網卡MAC地址進行綁定,具有永久使用權限。該分配方式適用於局域網的主機獲取租期為無限長的IP地址的組網環境。
需要將設備上的LAN接口加入指定的VLAN,使得局域網內處於同一VLAN的主機能直接互通,處於不同VLAN的主機不能直接互通。
在詳細端口配置頁麵配置端口的PVID時,隻能指定已創建的VLAN。
PVID(Port VLAN ID,端口的缺省VLAN):當端口收到未攜帶VLAN Tag的報文時,即認為此報文所屬的VLAN為端口的缺省VLAN。
規劃設備上LAN接口所屬的VLAN,並在LAN配置頁麵上,創建對應的VLAN接口。
(1) 單擊導航樹中[網絡設置/LAN配置]菜單項,進入LAN配置頁麵。
(2) 單擊“VLAN劃分”頁簽,進入VLAN劃分頁麵。
(3) 在端口列表中,點擊指定端口上“操作”區段的
按鈕,彈出詳細端口配置對話框。
(4) 在“PVID”配置項處,通過下拉框修改端口的PVID。
(5) 配置端口加入或移除VLAN:
¡ 勾選“待選VLAN”複選框下方的VLAN編號,或直接勾選“待選VLAN”複選框以選中所有VLAN,然後點擊待選VLAN下方的向右方向按鈕將端口加入所選VLAN。
¡ 勾選“已選VLAN”複選框下方的VLAN編號,或直接勾選“已選VLAN”複選框以選中所有VLAN,然後點擊已選VLAN下方的向左方向按鈕將端口從已加入的VLAN中移除。
(6) 點擊<確定>按鈕,完成配置。
為設備創建連接內網的VLAN接口,並可將VLAN接口作為內網設備的網關,提供DHCP服務。
若開啟VLAN接口的DHCP服務後再關閉,則係統會同步刪除靜態DHCP頁麵中該VLAN接口已綁定的靜態DHCP。
(1) 單擊導航樹中[網絡設置/LAN配置]菜單項,進入LAN配置頁麵。
(2) 單擊“VLAN配置”頁簽,進入VLAN配置頁麵。
(3) 已創建的VLAN接口顯示在接口列表中,可以通過單擊指定VLAN接口上“操作”區段的
按鈕進行編輯;通過單擊指定VLAN接口上“操作”區段的
按鈕或勾選VLAN接口後單擊“刪除”按鈕對選中的數據進行刪除。
(4) 點擊<添加>按鈕,進入添加VLAN接口頁麵。
(5) 在“VLAN ID”配置項處,輸入VLAN ID。
(6) 在“IP地址”配置項處,輸入接口的IP地址。
(7) 在“子網掩碼”配置項處,輸入IP地址的掩碼或掩碼長度,例如255.255.255.0或24。
(8) 在“TCP MSS”配置項處,設置接口的TCP報文最大分段長度值,默認長度為1280字節。
(9) 在“MTU”配置項處,輸入接口允許通過的MTU的大小。
(10) 勾選“開啟DHCP服務”複選框,開啟設備的DHCP服務,即為連接到設備的客戶端(例如連接到設備的PC等)動態分配IP地址。根據實際情況,設置如下參數。
¡ 勾選“對DHCP分配的地址進行ARP保護(動態綁定)”複選框,為動態分配的IP地址綁定客戶端的MAC地址。
¡ 在“地址池起始地址”和“地址池結束地址”配置項處,設置設備可分配給客戶端的IP地址範圍。
¡ 在“排除地址”配置項處,設置不能分配給客戶端的IP地址。如果地址池範圍內的某些IP地址(如網關地址)不能分配給客戶端,就需要將其配置為排除地址。
¡ 在“客戶端域名”配置項處,輸入為客戶端分配的域名後綴。
¡ 在“網關地址”和“DNS1”以及“DNS2”配置項處,輸入客戶端的網關地址和DNS服務器地址。
¡ 在“地址租約”配置項處,以分鍾為單位設置IP地址的使用時間,比如設置IP地址租約為5天,則輸入7200。
(11) 點擊<確定>按鈕,完成配置。
如果需要為某些客戶端分配固定的IP地址,則需要配置靜態DHCP將客戶端的硬件地址與IP地址進行綁定。
· 靜態綁定的客戶端IP地址不能是設備上WAN口的IP地址網段包含的IP地址。
· 配置靜態DHCP時,如果設置的客戶端IP地址已被其他終端占用,那麼客戶端MAC對應的終端上線時會被分配其他IP地址。當此前設置的客戶端IP地址被釋放後,客戶端MAC對應的終端會被重新分配設定的IP地址。
在配置靜態DHCP之前,需要先開啟VLAN接口的DHCP服務。
(1) 單擊導航樹中[網絡設置/LAN配置]菜單項,進入LAN配置頁麵。
(2) 單擊“靜態DHCP”頁簽,進入靜態DHCP配置頁麵。
(3) 點擊<添加>按鈕,彈出新增DHCP靜態綁定關係對話框。
(4) 在“接口”配置項處,選擇開啟DHCP服務器功能的接口。
(5) 在“客戶端MAC”配置項處,輸入客戶端的MAC地址。例如PC類型的客戶端,可以在網卡信息中查詢到MAC地址。
(6) 在“客戶端IP”配置項處,輸入要分配給客戶端的IP地址。
(7) 點擊<確定>按鈕,完成配置。
(1) 單擊導航樹中[網絡設置/LAN配置]菜單項,進入LAN配置頁麵。
(2) 單擊“DHCP分配列表”頁簽,進入DHCP分配列表頁麵。
(3) 在列表中選中需要回收的IP地址。
(4) 點擊<一鍵回收>按鈕,在彈出的確認提示框中,點擊<是>按鈕,確認回收選中的IP地址。
(1) 單擊導航樹中[網絡設置/LAN配置]菜單項,進入LAN配置頁麵。
(2) 單擊“DHCP分配列表”頁簽,進入DHCP分配列表頁麵。
(3) 在列表中選中需要靜態綁定的客戶端IP。
(4) 點擊<靜態分配>按鈕,在彈出的確認提示框中,點擊<是>按鈕,確認將DHCP動態分配的IP地址設置為靜態分配。
端口管理功能用來查看設備各個物理端口的端口類型、端口模式、速率、MAC地址和廣播風暴抑製等信息,設置WAN口的管理狀態,以及修改端口配置。
(1) 單擊導航樹中[網絡設置/端口管理]菜單項,進入端口管理頁麵。
(2) 在物理端口列表中,點擊指定端口對應的操作列編輯圖標,彈出修改端口配置對話框。
(3) 在“管理狀態”配置項處,設置開啟或者關閉該端口。
(4) 在“端口模式”配置項處,選擇配置的端口模式。
(5) 在“速率”配置項處,選擇配置的端口速率。
(6) 在“廣播風暴抑製”配置項處,可根據需要選擇不抑製或者抑製級別。抑製級別分為低、中、高,在端口速率相同的情況下,三個級別對應的允許通過的廣播報文數量依次減少。
(7) 在“MAC地址”配置項處,查看端口的MAC地址。
(8) 點擊<確定>按鈕,完成配置。
NAT(Network Address Translation,網絡地址轉換)是一種將內部網絡私有IP地址,轉換成公網IP地址的技術。擁有私有IP地址的內網用戶無法直接訪問Internet,如果希望內網用戶使用運營商提供的公網IP訪問外網,或者允許外網用戶使用公網IP訪問內網資源,則需要配置NAT。
NAT支持如下兩種地址轉換方式:
· 端口映射:通過這種轉換方式,可以實現利用一個公網地址和不同的協議端口同時對外網提供多個內網服務器(例如Web、Mail或FTP服務器)資源的目的。這種方式可以節約設備的公網IP地址資源。端口映射可以將內網中的一組IP地址和不同的協議端口映射到一個公網IP地址和對應的協議端口上,使得一個公網IP地址可以同時分配給多個內網IP地址使用。
· 一對一映射:這種方式適用於內外網之間存在固定訪問需求的環境,比如某個網絡管理員必須使用一個固定的外網IP去遠程訪問位於內網中對外提供服務的設備。一對一映射可以在設備上建立一個固定的一對一的映射關係,將內網中的一個私有IP地址轉換為一個公網IP地址。
· 端口觸發:當局域網內的客戶端訪問因特網上的服務器時,對於某些應用(比如:IP電話、視頻會議等),客戶端向服務器主動發起連接的同時,也需要服務器向客戶端發起連接請求。而缺省情況下,設備收到WAN側主動連接的請求都會拒絕,此時通信會被中斷。通過設置設備的端口觸發規則,當客戶端訪問服務器並觸發規則後,設備會自動開放服務器需要向客戶端請求的端口,從而可以保證通信正常。當客戶端和設備長時間沒有數據交互時,設備自動關閉之前對外開放的端口,既保證應用的正常使用,又能最大限度地保證局域網的安全。
NAT還提供如下高級配置功能:
· NAT hairpin:如果您的某些內網服務器通過公網IP地址對外提供服務,同時內網用戶也有訪問這些服務器的需求,為了確保這些內網用戶訪問內網服務器的流量也經過網關控製,則可以開啟NAT hairpin功能。開啟該功能後,內網用戶將與外網用戶一樣,都可以使用公網IP地址訪問內網服務器。
· NAT ALG:如果內部網絡與外部網絡之間存在應用層業務,例如FTP/RTSP,為了保證這些應用層協議的數據連接經過端口映射或一對一映射後還可以正確建立,就需要開啟相應協議的NAT ALG功能。
(1) 單擊導航樹中[網絡設置/NAT配置]菜單項,進入NAT配置頁麵。
(2) 單擊“虛擬服務器”頁簽,進入虛擬服務器配置頁麵。
(3) 在“NAT DMZ服務”配置項處,勾選“開啟”選項,開啟NAT DMZ服務。
(4) 在“主機地址”配置項處,輸入NAT DMZ服務的主機地址。
(5) 點擊<應用>按鈕,完成配置。
(6) 點擊<添加>按鈕,彈出添加NAT端口映射對話框。
(7) 在“協議類型”配置項處,選擇協議為“TCP”、“UDP”或“TCP+UDP”。此處需要根據內部服務器采用的傳輸層協議類型選擇TCP或UDP,例如FTP服務器采用TCP協議,TFTP采用UDP協議。
(8) 在“外部地址”配置項處,可以選擇使用當前端口的IP地址,也可以使用設備上的其它公網IP地址。
(9) 在“外部端口”配置項處,選擇FTP、Telnet或自定義端口。如果您對外提供的服務不是FTP或Telnet,請輸入提供的服務所使用的端口號,比如HTTP服務端口號80。
(10) 在“內部地址”配置項處,輸入允許外部網絡訪問的內網IP地址。
(11) 在“內部端口”配置項處,輸入內部網絡資源使用的端口號。
(12) 在“是否啟用”配置項處,選擇是否立即啟用映射。
(13) 點擊<確定>按鈕,完成配置。
如果設備上僅有一個公網IP地址,不建議配置一對一映射來占用公網IP地址。
(1) 單擊導航樹中[網絡設置/NAT配置]菜單項,進入NAT配置頁麵。
(2) 單擊“一對一映射”頁簽,進入一對一映射配置頁麵。
(3) 在“一對一映射”配置項處,勾選“開啟”選項,開啟一對一映射服務。
(4) 點擊<添加>按鈕,彈出添加NAT一對一映射對話框。
(5) 在“內部地址”配置項處,輸入內網IP地址。
(6) 在“外部地址”配置項處,輸入擁有的公網IP地址。
(7) 在“接口”配置項處,選擇配置映射的接口。若不設置此參數,則表示對所有WAN口生效。
(8) 在“是否啟用”配置項處,選擇是否立即啟用映射。
(9) 點擊<確定>按鈕,完成配置。
(1) 單擊導航樹中[網絡設置/NAT配置]菜單項,進入NAT配置頁麵。
(2) 單擊“地址池”頁簽,進入地址池配置頁麵。
(3) 點擊<添加>按鈕,彈出添加NAT地址池對話框。
(4) 在“地址池名”配置項處,輸入用於NAT轉換的公網IP地址池名稱,可以由中文、數字、字母、下劃線組成。
(5) 在“IP地址”配置項處,輸入單個IP地址。
(6) 在“起始”配置項處,輸入IP地址段的起始IP地址。
(7) 在“結束”配置項處,輸入IP地址段的終止IP地址。單個IP地址段內的IP地址數量不能超過256個,且不能存在不合理的IP地址。
(8) 點擊配置項右側的< > >按鈕,提交配置的IP地址或IP地址段內容。
(9) 重複(5)、(6)、(7)、(8)步驟可完成多個地址池的添加。
(10) 點擊<確定>按鈕,完成配置。
當觸發端口包含多個端口時,外來端口的連接隻能對最後一個觸發端口生效。
(1) 單擊導航樹中[網絡設置/NAT配置]菜單項,進入NAT配置頁麵。
(2) 單擊“端口觸發”頁簽,進入端口觸發配置頁麵。
(3) 點擊<添加>按鈕,彈出添加NAT端口觸發對話框。
(4) 在“應用名稱”配置項處,輸入端口觸發的應用名稱。
(5) 在“生效接口”配置項處,選擇用於接收外來報文的接口。
(6) 在“觸發端口”配置項處,輸入局域網內客戶端向外網服務器發起請求的端口範圍。
(7) 在“外來端口”配置項處,輸入外網服務器需要向局域網內客戶端主動發起請求的端口號。可設置單一端口、端口範圍或兩者的組合,端口間用英文逗號“,”隔開,例如:100,200-300,400。最多可輸入10個端口或端口範圍。
(8) 在“是否啟用”配置項處,選擇是否啟用端口觸發功能。
(9) 點擊<確定>按鈕,完成配置。
在配置NAT hairping前,需要完成如下配置中的一項或多項:
· 在虛擬服務器配置頁麵上,配置內網服務器的IP地址/端口與公網IP地址/端口的映射關係。
· 在一對一映射配置頁麵上,配置內網用戶IP地址與公網IP地址的映射關係。
(1) 單擊導航樹中[網絡設置/NAT配置]菜單項,進入NAT高級配置頁麵。
(2) 完成“虛擬服務器”或“一對一映射”的配置。
(3) 單擊“高級配置”頁簽,進入高級配置頁麵。
(4) 勾選“開啟NAT hairpin”選項,點擊<應用>按鈕,啟用NAT hairpin功能。
(5) 點擊<設置>按鈕,彈出修改NAT hairpin生效接口對話框。根據需要選擇接口成為NAT hairpin功能的生效接口:
¡ 將接口設置為生效接口:勾選左側框中的接口,點擊< > >按鈕,將接口移至右側框,再點擊<確定>按鈕,完成配置。
¡ 將接口設置為不生效接口:勾選右側框中接口,點擊< < >按鈕,將接口移至左側框,再點擊<確定>按鈕,完成配置。
(6) 點擊<確定>按鈕,完成配置。
(1) 單擊導航樹中[網絡配置/NAT配置]菜單項,進入NAT配置頁麵。
(2) 單擊“高級配置”頁簽,進入高級配置頁麵。
(3) 在NAT ALG區段,勾選對應的選項,啟用指定協議的NAT ALG功能。
(4) 點擊<應用>按鈕,完成配置。
(1) 單擊導航樹中[網絡配置/NAT配置]菜單項,進入NAT配置頁麵。
(2) 單擊“高級配置”頁簽,進入高級配置頁麵。
(3) 在自定義協議端口號區段,根據需要設置“SIP端口號”配置項,在搭建SIP服務器時,如果使用的SIP協議端口號不是5060,則需要自定義SIP協議端口號。
(4) 點擊<應用>按鈕,完成配置。
(1) 單擊導航樹中[網絡配置/NAT配置]菜單項,進入NAT配置頁麵。
(2) 單擊“高級配置”頁簽,進入高級配置頁麵。
(3) 在網絡連接區段,設置如下參數:
¡ 在“當前網絡連接數”配置項處,查看當前的網絡連接數量,可點擊<刷新>按鈕刷新。
¡ 在“網絡連接總數”配置項處,設置允許建立的網絡連接總數,推薦使用缺省值。對於不同型號的設備,本參數的取值範圍和缺省值可能會不同,請以Web頁麵實際顯示情況為準。
¡ 在“選擇要清除網絡連接的接口”配置項處,選擇需要清除網絡連接的接口。
(4) 點擊<應用>按鈕,完成配置。
地址組是一組主機名或IP地址的集合。每個地址組中可以添加若幹成員,成員的類型包括IP地址和IP地址段。如果您的某些業務(例如帶寬管理)需要使用地址組來識別用戶報文,則需要提前配置符合業務需求的地址組。
· 添加到地址組中的IP地址隻支持IPv4地址格式,不支持IPv6地址格式。
· 添加到地址組中的IP地址段的起始地址必須小於結束地址。
· 單個IP地址段內的IP地址數量不能超過256個,且不能存在不合理的IP地址。
(1) 單擊導航樹中[網絡設置/地址組]菜單項,進入地址組配置頁麵。
(2) 點擊<添加>按鈕,彈出添加地址組對話框。
(3) 在“地址組名稱”配置項處,輸入地址組的名稱。
(4) 在“描述信息”配置項處,輸入地址組的描述信息。
(5) 配置地址組內容:
¡ 配置添加到地址組的單個IP地址。
¡ 配置添加到地址組IP地址段的起始IP地址及結束IP地址。
¡ 配置地址組排除的IP地址。
(6) 點擊配置項右側的< > >按鈕,提交配置的地址組內容。
(7) 重複(5)、(6)步驟可完成多個同類型成員的添加。
(8) 點擊<確定>按鈕,完成地址組創建。
不同款型的設備對本功能的支持情況不同,請以設備的實際情況為準。
PoE(Power over Ethernet,以太網供電),又稱遠程供電,是指設備通過以太網電口,利用雙絞線對外接PD(Powered Device,受電設備)進行遠程供電。
開啟設備PoE端口的供電功能。
(1) 單擊導航樹中[網絡設置/PoE供電]菜單項,進入PoE供電配置頁麵。
(2) 點擊對應LAN接口下方的“開啟/關閉”按鈕,設置是否開啟該LAN接口的PoE功能。
如果您希望設備上的某些功能(例如帶寬管理、上網行為管理)僅在特定時間生效,而其它時間不生效,可以創建一個時間組,並在配置相關功能時引用時間組。
一個時間組中可以配置一個或多個時間段。時間段的生效時間有如下兩種方式:
· 周期性生效:以周作為周期,循環生效。例如,每周一的8至12點。
· 非周期生效:在指定的時間範圍內生效。例如,2015年1月1日至2015年1月3日每天的8點至18點。
· 最多可以創建64個不同名稱的時間組。
· 一個時間組內最多可以配置16個周期性生效的時間段或16個非周期生效的時間段。
(1) 單擊導航樹中[網絡設置/時間組]菜單項,進入時間組配置頁麵。
(2) 點擊<添加>按鈕,彈出新建時間組對話框。
(3) 在“時間組名稱”配置項處,輸入時間組的名稱。
(4) 在“生效時間”配置項處,選擇“周期性生效”或“非周期性生效”,然後配置時間段。請選擇其中一項進行配置。
¡ 周期性生效
點選每周需要生效的具體星期,並在下麵輸入每天的具體生效時間,點擊<+>按鈕,完成本時間段的配置。
¡ 非周期性生效
選擇生效的起止日期,並在下麵輸入具體生效的起止時間,點擊<+>按鈕,完成本時間段的配置。
(5) 點擊<確定>按鈕,完成時間組創建。
如果您希望設備上的帶寬管理功能僅對特定的應用生效,而對其它的應用不生效,可以創建一個或者多個應用,將創建的應用添加到應用組,並在配置帶寬管理時引用應用組。
對特定的應用協議和端口號進行嚴格的帶寬管理。
自定義應用創建完成後,需要將其添加到“應用組”中,並在配置帶寬管理時引用對應的應用組,才能實現對特性應用的帶寬管理。
(1) 單擊導航樹中[網絡設置/應用組]菜單項,進入自定義應用配置頁麵。
(2) 點擊<添加>按鈕,彈出添加應用對話框。
(3) 在“應用名稱”配置項處,輸入應用的名稱。
(4) 在“應用協議”配置項處,選擇“TCP”、“UDP”或“TCP+UDP”。
(5) 在“端口號”配置項處,輸入應用的端口號。
(6) 在“描述”配置項處,輸入應用的描述信息。
(7) 點擊<確定>按鈕,完成應用創建。
通過對自定義應用進行分組,實現對一組自定義應用進行嚴格的帶寬管理。
應用組創建完成後,在配置帶寬管理時引用應用組,才能實現對特定的一組自定義應用進行帶寬管理。
(1) 單擊“應用組”頁簽,進入應用組配置頁麵。
(2) 點擊<添加>按鈕,彈出新建應用組對話框。
(3) 在“應用組名稱”配置項處,輸入應用組的名稱。
(4) 在“描述”配置項處,輸入應用組的描述信息。
(5) 在左側選擇框中,勾選應用,點擊< > >按鈕,將應用添加到右側選擇框中,說明應用已被添加;在右側選擇框中,勾選應用,點擊< < >按鈕,將應用移至左側選擇框中,說明應用已被移除。
(6) 點擊<確定>按鈕,完成應用組創建。
當管理員需要限製特定WAN口的帶寬時,可以根據如下步驟進行配置。
|
步驟 |
配置內容 |
詳情 |
|
1 |
配置地址組(必選) |
將需要限製帶寬的用戶IP地址加入到地址組中,具體配置方法請見參見地址組。 |
|
2 |
配置時間組(可選) |
設定限製帶寬的時間段,具體配置方法請見參見時間組。 |
|
3 |
配置IP限速(必選) |
添加IP限速策略,設置各參數,選擇地址組,具體配置方法請見參見配置IP限速。 |
當管理員需要限製某些應用的帶寬時,可以根據如下步驟進行配置。
|
步驟 |
配置內容 |
詳情 |
|
1 |
添加自定義應用(必選) |
添加需要限製帶寬的應用到自定義應用列表中,具體配置方法請見參見自定義應用。 |
|
2 |
創建應用組(必選) |
創建應用組,將需要限製帶寬的應用加入到應用組中,具體配置方法請見參見創建應用組。 |
|
3 |
配置限製通道(必選) |
啟用限製通道流速上限,設置各參數,選擇應用組,具體配置方法請見參見配置限製通道。 |
當管理員需要保障某些應用的可用帶寬時,可以根據如下步驟進行配置。
|
步驟 |
配置內容 |
詳情 |
|
1 |
添加自定義應用(必選) |
添加需要保障可用帶寬的應用到自定義應用列表中,具體配置方法請見參見自定義應用。 |
|
2 |
創建應用組(必選) |
創建應用組,將需要保障可用帶寬的應用加入到應用組中,具體配置方法請見參見創建應用組。 |
|
3 |
配置綠色通道(必選) |
啟用綠色專用通道後,設置各參數,選擇應用組,具體配置方法請見參見配置綠色通道。 |
當管理員需要限製特定用戶使用的某些應用時,可以根據如下步驟進行配置。
|
步驟 |
配置內容 |
詳情 |
|
1 |
配置地址組(可選) |
將需要設置的用戶IP地址加入到地址組中,具體配置方法請見參見地址組。 |
|
2 |
配置時間組(可選) |
設定限製用戶使用應用的時間段,具體配置方法請見參見時間組。 |
|
3 |
配置應用控製(必選) |
如果限製用戶使用常見的應用,可以在配置應用控製時指定應用,具體配置方法請見參見配置應用控製;如果限製用戶使用不常見的應用,需要先自定義網絡應用,具體配置方法請見參見配置自定義網絡應用,然後再配置應用控製。 |
當管理員需要為特定用戶設置允許訪問的網址時,可以根據如下步驟進行配置。
|
步驟 |
配置內容 |
詳情 |
|
1 |
配置地址組(可選) |
將需要設置的用戶IP地址加入到地址組中,具體配置方法請見參見地址組。 |
|
2 |
配置時間組(可選) |
設定允許用戶訪問網址的時間段,具體配置方法請見參見時間組。 |
|
3 |
配置網址控製(必選) |
開啟網址白名單模式,並添加自定義網址分類,具體配置方法請見參見配置網址控製。 |
當管理員需要為特定用戶設置禁止訪問的網址時,可以根據如下步驟進行配置。
|
步驟 |
配置內容 |
詳情 |
|
1 |
配置地址組(可選) |
將需要設置的用戶IP地址加入到地址組中,具體配置方法請見參見地址組。 |
|
2 |
配置時間組(可選) |
設定禁止用戶訪問網址的時間段,具體配置方法請見參見時間組。 |
|
3 |
配置網址控製(必選) |
開啟網址黑名單模式,並添加自定義網址分類,具體配置方法請見參見配置網址控製。 |
當管理員需要為特定用戶設置允許下載的文件類型時,可以根據如下步驟進行配置。
|
步驟 |
配置內容 |
詳情 |
|
1 |
配置地址組(可選) |
將需要設置的用戶IP地址加入到地址組中,具體配置方法請見參見地址組。 |
|
2 |
配置時間組(可選) |
設定允許用戶下載在指定類型文件的時間段,具體配置方法請見參見時間組。 |
|
3 |
配置文件控製(必選) |
設置允許用戶下載的文件類型,具體配置方法請見參見配置文件控製。 |
帶寬管理功能用於對流量進行管理,管理員可基於地址組和時間組等限製條件對用戶流量進行精細控製。對於需要進行限速的報文,例如占用大量帶寬的P2P下載報文,可選擇開啟限製通道功能,來限製其帶寬。對於需要保證時延的交互性應用流量,可選中開啟綠色通道功能來保證其帶寬。
· 一般應用場景下,可以把遊戲報文、交互報文等對時延要求較高的應用流量通過綠色通道轉發,把BT等對係統轉發影響較大的P2P流量通過限製通道轉發。其餘流量會自動通過正常通道轉發。
· 數據包匹配的優先級順序如下:
¡ 如果流量符合綠色通道的規則,則進入綠色通道進行處理。
¡ 如果不符合綠色通道但符合限製通道的規則,則進入限製通道進行處理。
¡ 如果綠色通道和限製通道的規則都不符合,則進入正常通道(IP流量限製通道)發送,受到IP限速規則的限製。
· 配置的流量上限值是指所有進入限製通道的流量之和。
· 綠色通道識別流量時,如果數據包長度選擇和端口選擇同時啟用,則符合其中一項即識別成功,並且數據包長度選擇優先起作用。
對指定接口或指定用戶的流量進行帶寬管理。
配置IP限速前,請先在[網絡設置/外網配置]配置頁麵上的“WAN配置”頁簽中設置線路的上下行帶寬。如沒有預先配置,也可以在“流量限製”配置項處點擊“設置”鏈接,跳轉到WAN配置頁麵配置當前線路的上下行帶寬。
(1) 單擊導航樹中[上網行為管理/帶寬管理]菜單項,進入帶寬管理配置頁麵。
(2) 在“IP限速”頁簽下,點擊<添加>按鈕,彈出新建IP限速對話框。
(3) 在“應用接口”配置項處,選擇接口,設備將基於該接口進行帶寬管理。
(4) 在“用戶範圍”配置項處,選擇地址組,設備將僅對該地址組內的成員進行帶寬管理。
(5) 在“流量限製”配置項處,分別配置如下參數。
¡ 當前線路上行帶寬:請根據運營商提供的實際上行帶寬配置當前線路上行帶寬。
¡ 當前線路下行帶寬:請根據運營商提供的實際下行帶寬配置當前線路下行帶寬。
¡ 上傳帶寬:指定地址組內的用戶上傳方向的最大帶寬值。
¡ 下載帶寬:指定地址組內的用戶下載方向的最大帶寬值。
¡ 流量分配方式:設置流量的分配方式,包括如下類型:
- 共享式:分配的帶寬為總帶寬,由所有用戶平均分配。
- 獨占式:分配的帶寬為單用戶的帶寬,由單個用戶獨享。
¡ 在“彈性共享”配置項處,設置當用戶實際流量帶寬超過流量限製配置的帶寬時,最大可以共享當前線路上下行帶寬的百分比。流量分配選擇共享式時,可根據需要配置該參數。。
¡ 在“限製時段”配置項處,設置IP限速的生效時間段。
(6) 點擊<確定>按鈕,完成新建IP限速。
對需要進行限速的應用流量(如占用大量帶寬的P2P類應用)進行嚴格的帶寬管理。
流量隻有匹配“應用組”中配置的應用,限製通道功能才生效。
(1) 單擊“限製通道”頁簽,進入限製通道配置頁麵。
(2) 勾選“啟用限製通道”選項,開啟帶寬管理的限製通道功能。
(3) 在“每接口上行最大流速”配置項處,輸入接口允許報文上行通過的最大數據流量。如果已設置線路N的上行帶寬,則每接口上行最大流速需要小於或等於線路N上行帶寬的最小值。
(4) 在“每接口下行最大流速”配置項處,設置接口允許報文下行通過的最大數據流量。如果已設置線路N的下行帶寬,則每接口下行最大流速需要小於或等於線路N下行帶寬的最小值。
(5) 在“選擇應用組”配置項處,選擇已存在的匹配流量的應用分組,或點擊<新增應用組>按鈕,添加新的匹配流量的應用分組,點擊“查看”鏈接,可以查看係統中已經創建的全部應用組。
(6) 點擊<應用>按鈕,完成限製通道的配置。
· 請勿將綠色通道帶寬設置過大,以免對普通流量產生影響。
· 隻有匹配“應用組”中配置的應用或符合“綠色通道數據包長度選擇”中配置的流量數據包最大長度限製,綠色通道功能才生效。
· 一般應用場景下,可以把遊戲報文、交互報文等對時延要求較高的應用流量通過綠色通道轉發,把BT等對係統轉發影響較大的P2P流量通過限製通道轉發。其餘流量會自動通過正常通道轉發。
· 數據包匹配的優先級順序如下:
¡ 如果流量符合綠色通道的規則,則進入綠色通道進行處理。
¡ 如果不符合綠色通道但符合限製通道的規則,則進入限製通道進行處理。
¡ 如果綠色通道和限製通道的規則都不符合,則進入正常通道(IP流量限製通道)發送,受到IP限速規則的限製。
(1) 單擊“綠色通道”頁簽,進入綠色通道配置頁麵。
(2) 勾選“啟用綠色專用通道”選項,開啟帶寬管理的綠色通道功能,配置線路的上下行帶寬。當帶寬顯示為未設置時,可通過點擊“設置”鏈接進行設置。點擊“設置”鏈接後,跳轉到WAN配置頁麵。在線路列表中,點擊指定線路對應的操作列編輯圖標,進入修改WAN配置頁麵,設置網絡上行帶寬、網絡下行帶寬後,點擊<確定>按鈕完成設置。
(3) 勾選“限製綠色通道流速上限”選項,分別配置各線路的上下行最大流速,為交互性應用流量提供帶寬保障。
(4) 勾選“匹配綠色通道數據包長度選擇”選項,配置流量數據包的最大長度。
(5) 勾選“選擇應用組”選項,選擇已存在的匹配流量的應用分組,或點擊<新增應用組>按鈕,添加新的匹配流量的應用分組,點擊“查看”鏈接,可以查看係統中已經創建的全部應用組。
(6) 點擊<應用>按鈕,完成綠色通道的配置。
上網行為管理功能基於地址組、時間組以及應用等控製條件對用戶的上網行為進行精細的管理。
(1) 單擊導航樹中[上網行為管理/上網行為管理]菜單項,進入上網行為管理配置頁麵。
(2) 單擊“應用控製”頁簽,進入應用控製配置頁麵。
(3) 勾選“開啟應用控製”選項,點擊<確定>按鈕,開啟應用控製功能。
(4) 點擊<添加>按鈕,進入新建應用控製策略頁麵,配置如下參數。
¡ 在“策略名稱”配置項處,輸入應用控製策略的名稱。
¡ 在“用戶範圍”配置項處,設置應用控製策略適用的地址組。
¡ 在“限製時段”配置項處,設置應用控製策略的時間組。
¡ 在“應用控製”配置項處,點擊“選擇網絡應用”右側的詳情圖標,選擇網絡應用,並配置對該應用的訪問控製動作,包括如下:
- 阻斷:表示阻斷用戶對此應用的訪問。
- 不阻斷不限速:表示不限製用戶對此應用的訪問。
- 限速:表示對用戶訪問此應用進行限速,並可設置單個用戶的最大上行帶寬和最大下行帶寬。
(5) 點擊<確定>按鈕,完成新建應用控製策略。
當管理員僅允許用戶訪問指定網址或禁止用戶訪問指定網址時,可通過配置網址控製功能實現。
(1) 開啟網址黑名單模式後,設備會禁止指定的用戶在指定的時間段內訪問自定義網址分類中指定的網址;對於不在網址分類中的網址,則可以正常訪問。
假設管理員創建一個網址黑名單,其網址分類的名稱為網址組A,地址組的名稱為用戶組A。用戶的匹配規則如下:
¡ 如果用戶User1屬於用戶組A,則用戶User1不允許訪問網址組A中的網址;
¡ 如果用戶User2不屬於用戶組A,則用戶User2允許訪問任何網址。
(2) 開啟網址白名單模式後,設備隻允許指定的用戶在指定的時間段內訪問自定義網址分類中指定的網址;對於不在網址分類中的網址,則無法訪問。
假設管理員創建如下兩個網址白名單:
¡ 白名單A:網址分類的名稱為網址組A,地址組的名稱為用戶組A;
¡ 白名單B:網址分類的名稱為網址組B,地址組的名稱為用戶組B。
用戶的匹配規則如下:
¡ 如果用戶User1同時屬於用戶組A和用戶組B,則用戶User1隻允許訪問網址組A和網址組B中的網址;
¡ 如果用戶User2僅屬於用戶組A,則用戶User2隻允許訪問網址組A中的網址;
¡ 如果用戶User3既不屬於用戶組A也不屬於用戶組B,則用戶User3不允許訪問任何網址。
(3) 自定義網址支持導出功能,當使用IE瀏覽器進行導出時,如果出現無法啟動Excel的錯誤提示,請參考如下步驟修改瀏覽器配置:
點擊瀏覽器的<工具>按鈕,選擇“Internet選項”,進入Internet選項窗口;選擇“安全”頁簽,點擊<自定義級別>按鈕,找到“對為標記為可安全執行腳本的ActiveX 控件初始化並執行腳本”一項,選擇“啟用”。
(4) 配置網址關鍵字時,如需精確匹配網址,則關鍵字不加通配符*,例如www.baidu.com;如需模糊匹配網址,則關鍵字添加通配符*,例如*.baidu.com、www.baidu*或*baidu*;如需配置所有網址,則關鍵字設置為*.*。注意通配符不能配置在字符串中間或者隻配置通配符,例如aaa*11和*,否則會導致配置無法下發。
(5) 針對以HTTPS開頭的網址,對於設置網址黑名單和網址白名單時,需要注意:
¡ 網址白名單:需要在網址關鍵字中配置能夠正確匹配該網站TLS認證涉及的所有服務器名。為了獲得這些服務器名,可以通過抓包分析獲取。
¡ 網址黑名單:需要在網址關鍵字中配置能夠正確匹配該網站TLS認證涉及的任一服務器名。一般情況下,網站的TLS認證服務器名會包含該網站的域名服務器名。因此,這時用戶隻需在網址關鍵字中指定網站的域名即可正常生效。
(1) 單擊導航樹中[上網行為管理/上網行為管理]菜單項,進入上網行為管理配置頁麵。
(2) 單擊“網址控製”頁簽,進入網址控製配置頁麵。
(3) 根據需要勾選“關閉網址控製”、“網址黑名單模式”或“網址白名單模式”選項,勾選“網址黑名單模式”或“網址白名單模式”選項後,點擊<確定>按鈕,開啟網址控製功能。
(4) 在“默認網址分類”下方的配置處,輸入新建網址控製策略的網址分類名稱。
(5) 在“所有用戶”下方的配置處,選擇網址控製策略適用的用戶。
(6) 在“所有時間”下方的配置處,選擇網址控製策略的生效時間。
(7) 點擊右側<+>按鈕,新建一個空的網址分類成功。
(8) 為新建網址分類中添加網址:
¡ 點擊新建網址分類對應的詳情圖標,彈出設置網址關鍵字對話框。在“網址關鍵字”輸入框中,配置網址關鍵字,範圍1-63個字符,可輸入英文字母、數字,以及特殊字符(除/ \'"<>;&`:和空格以外),英文字母不區分大小寫。關鍵字不加通配符*時,網址控製策略將根據關鍵字做精確匹配,例如www.baidu.com;關鍵字添加通配符*時,網址控製策略將根據關鍵字做模糊匹配,例如*.baidu.com、www.baidu*或*baidu*;關鍵字設置為*.*時,表示關鍵字匹配所有網址。點擊右側的<+>按鈕,逐條添加網址。點擊<確定>按鈕,完成添加網址關鍵字。
¡ 點擊新建網址分類對應的導入圖標,彈出導入自定義網址列表對話框。點擊<選擇文件>按鈕,選擇需導入的自定義網址列表,點擊<是>按鈕,完成向新建的網址分類中導入網址。
文件控製功能僅能控製用戶使用HTTP協議下載不同類型的文件。
支持文件下載控製需要滿足以下三個條件:
· 協議類型為HTTP。
· URL字段長度小於512字節。
· 使用HTTP Get方法,文件類型必須在URL的尾部,如http://serveraddr.com?filename=xxx.txt。
(1) 單擊導航樹中[上網行為管理/上網行為管理]菜單項,進入上網行為管理配置頁麵。
(2) 單擊“文件控製”頁簽,進入文件控製配置頁麵。
(3) 勾選“開啟文件控製”選項,點擊<確定>按鈕,開啟文件控製功能。
(4) 點擊<添加>按鈕,彈出添加禁止下載的文件類型對話框。
(5) 在“文件類型”配置項處,輸入不允許下載文件的後綴名。
(6) 在“描述”配置項處,輸入文件控製策略的描述信息。
(7) 點擊<應用>按鈕,完成添加文件控製策略。
· 管理員需要通過網絡應用使用的報文特征來限製用戶使用的網絡應用時,可以添加自定義網絡應用,並將其添加到應用控製策略中。
· 添加自定義網絡應用後,需要在“應用控製”頁簽添加應用控製策略時,選擇已添加的自定義網絡應用,才能實現生效。
· 自定義網絡應用被添加到應用控製策略後,自定義網絡應用不允許刪除。
(1) 單擊“自定義網絡應用”頁簽,進入自定義網絡應用配置頁麵。
(2) 點擊<添加>按鈕,彈出添加自定義網絡應用對話框。
(3) 在“應用名稱”配置項處,輸入自定義網絡應用的名稱。
(4) 在“描述信息”配置項處,輸入自定義網絡應用的描述信息。
(5) 在“協議類型”配置項處,選擇協議類型和報文方向。支持的協議類型包括:TCP、UDP、HTTP、HTTPS和SSL。當協議類型為TCP、UDP時,報文特征為必填項;當協議類型為SSL時,目的端口和HOST為必填項。報文方向包括:客戶端、服務器和任意,選擇“任意”時,表示設備接收的所有報文。
(6) 在“目的端口”配置項處,輸入自定義網絡應用的目的端口號和報文長度。
(7) 在“目的IP”配置項處,輸入自定義網絡應用的目的IP地址。
(8) 根據報文結構自定義網絡應用的報文特征,主要包括:
¡ 報文特征:自定義TCP、UDP協議報文中的特征。
¡ URL:自定義HTTP協議報文中URL信息的特征。
¡ HOST:自定義HTTP、HTTPS和SSL協議報文中HOST信息的特征。
¡ UserAgent:自定義HTTP協議報文中UserAgent信息的特征。
¡ Referer:自定義HTTP協議報文中Referer信息的特征。
¡ Body:自定義HTTP協議報文中Body信息的特征。
(9) 設置完成後,點擊< > >按鈕,將設置的報文特征添加到右側方框中。
(10) 根據需要重複上述步驟,繼續添加新的報文特征到右側方框中。
(11) 完成報文特征的添加後,點擊<確定>按鈕,完成添加自定義網絡應用。
審計日誌功能用於對上網行為管理中的應用控製和網址控製的日誌進行審計,並將日誌發送到指定的服務器上。
對上網行為管理中應用控製功能的日誌進行審計。
在開啟應用日誌審計功能之前,需要先在上網行為管理中開啟應用控製功能。
(1) 單擊導航樹中[上網行為管理/審計日誌]菜單項,進入應用審計日誌配置頁麵。
(2) 勾選“開啟審計日誌”選項,開啟應用的日誌審計功能。
(3) 點擊<清除日誌>按鈕,在確認提示框中,點擊<是>按鈕,清除所有的應用審計日誌。
(4) 點擊<導出Excel>按鈕,可將所有應用審計日誌保存到Excel文件中。
對上網行為管理中網址控製功能的日誌進行審計。
在開啟網址過濾日誌功能之前,需要先在上網行為管理中開啟網址控製功能。
(1) 單擊“網址過濾日誌”頁簽,進入網址過濾日誌配置頁麵。
(2) 勾選“開啟網址過濾日誌”選項,開啟網址過濾的日誌審計功能。
(3) 點擊<清除日誌>按鈕,在確認提示框中,點擊<是>按鈕,清除所有的網址過濾日誌。
(4) 點擊<導出Excel>按鈕,可將所有網址過濾日誌保存到Excel文件中。
將審計日誌發送到指定的服務器。
審計服務器的IP地址需要與當前路由器的IP地址互通。
(1) 單擊“審計服務器”頁簽,進入審計服務器頁麵。
(2) 勾選“審計服務器地址”選項,開啟發送審計日誌到服務器的功能。
(3) 在“審計服務器地址”配置項處,輸入接收審計日誌的服務器的IP地址或域名地址。
(4) 在“端口”配置項處,輸入接收審計日誌的服務器的端口號。
(5) 點擊<應用>按鈕,完成審計服務器的配置。
當網絡管理員需要禁止不同部門(VLAN)之間互訪時,可以通過配置防火牆功能來實現。配置步驟如下:
|
步驟 |
配置內容 |
詳情 |
|
1 |
添加VLAN(必選) |
創建各個部門所使用的VLAN,具體配置方法請見參見配置VLAN。 |
|
2 |
添加防火牆(必選) |
開啟防火牆,並根據實際情況添加防火牆,使得各個部門VLAN之間不能互訪,具體配置方法參見防火牆。 |
防火牆功能是通過一係列的安全規則匹配網絡中的報文,並執行相應的動作,從而達到阻斷非法報文傳輸、正常轉發合法報文的目的,為用戶的網絡提供一道安全屏障。
· 當報文匹配到一個防火牆安全規則後,則不會繼續向下匹配,所以請合理安排安全規則的優先級,避免報文匹配錯誤的規則而導致執行相反動作。
· 當缺省過濾規則設置為允許時,用戶不需要配置任何安全規則,接入當前設備的所有終端都可以相互訪問,且可以訪問外網。
· 當缺省過濾規則設置為允許時,如果用戶需要限製指定終端的訪問特定外網的權限,可根據需求配置指定的VLAN接口與WAN接口之間的安全規則;如果用戶需要限製指定終端訪問其它VLAN下終端的權限,可根據需求配置指定的VLAN接口到VLAN接口的安全規則。
· 當缺省過濾規則設置為禁止時,如果用戶未配置任何安全規則,所有終端不能訪問外網,不同VLAN下的終端不能相互訪問。
· 當缺省過濾規則設置為禁止時,如果用戶需要允許指定終端可以訪問特定外網,則需要根據需求配置指定VLAN接口與WAN接口之間的安全規則,且必須配置雙向規則,即出站方向和入站方向各一條。如果用戶需要讓指定終端能夠訪問其它VLAN下的終端,則需要配置指定本端VLAN接口與對端VLAN接口之間的安全規則,且必須配置雙向規則。
· 請提前完成外網配置頁麵的相關配置,才可創建防火牆安全規則。
· 若需指定防火牆安全規則的生效時間和生效地址,請提前在時間組頁麵和地址組頁麵創建相應的時間組。
(1) 單擊導航樹中[網絡安全/防火牆]菜單項,進入防火牆配置頁麵。
(2) 勾選“開啟防火牆”選項,進入防火牆配置頁麵。
(3) 在“缺省過濾規則”配置項處,選擇對未匹配任何安全規則報文的處理方式。若選擇“允許”,則允許該報文通過防火牆;若選擇“禁止”,則禁止該報文通過防火牆。點擊“應用”按鈕完成配置。
(4) 點擊<添加>按鈕,彈出創建安全規則對話框。
(5) 在“接口”配置項處,選擇應用的接口,該規則將對指定接口接收到的報文進行匹配。
(6) 在“方向”配置項處,顯示安全規則的方向,包括入站方向和出站方向。當“接口”配置項處選擇為WAN接口時,安全規則的方向為入站方向,即控製從公網側進入設備的流量;當“接口”配置項處選擇為VLAN接口時,安全規則的方向為出站方向,即控製從內網側進入設備的流量。
(7) 在“協議”配置項處,選擇該規則所匹配報文的協議類型。若需匹配某傳輸層協議的報文,則選擇“TCP”或“UDP”;若需匹配Ping、Tracert等ICMP協議報文,則選擇“ICMP”;若需匹配所有協議報文,則選擇“所有協議”。
(8) 在“源地址分組”配置項處,選擇該規則所匹配的源地址分組。如需新增地址分組,可通過點擊右側“新增地址組”按鈕創建新的地址組。
(9) 在“目的地址分組”配置項處,選擇該規則所匹配的目的地址分組。如需新增地址分組,可通過點擊右側“新增地址組”按鈕創建新的地址組。
(10) 在“目的端口範圍”配置項處,配置該規則所匹配報文的目的端口號範圍。
(11) 在“規則生效時間”配置項處,選擇該規則生效時間對應的時間組。
(12) 在“動作”配置項處,選擇該規則所匹配報文的執行動作。
¡ 允許:允許報文通過防火牆。
¡ 拒絕:禁止報文通過防火牆。
(13) 在“優先級”配置項處,選擇該規則的優先級類型。
¡ 自動:係統自動為該規則分配優先級,即根據規則的配置順序以5為步長進行依次分配。
¡ 自定義:用戶自定義規則的優先級,數值越小則優先級越高。
(14) 在“描述”配置項處,配置該安全規則的描述信息。
(15) 點擊<確定>按鈕,完成創建安全規則。
連接限製功能是一種安全機製,通過限製每個IP地址主動發起連接的個數,達到合理分配設備處理資源、防範惡意連接的效果。
如果設備發現來自某IP地址的TCP或UDP連接數目超過指定的數目,將禁止該連接建立。直到該連接數低於限製數時,其才被允許新建連接。
設備支持配置如下兩種連接限製:
· 網絡連接限製:在指定IP地址範圍內,配置每個IP地址發起連接的個數限製。此方式用於對設備上的所有接口收到的連接進行控製。
· VLAN網絡連接限製:在指定VLAN接口上,配置每個IP地址發起連接的個數限製。此方式用於對指定VLAN接口收到的連接進行控製。
· 每條網絡連接數限製規則,如果是IP地址範圍,表示該地址段內的每個IP最多建立的網絡連接數都將限製到設定的上限值。如果起始地址和結束地址相同,表示僅限製該IP的網絡連接數。
· 限製規則表中可以加入多條網絡連接數限製規則,配置規則時允許某幾條中的IP地址重疊,但以先加入的規則優先級為高。也就是對於相同的IP地址,後加入的網絡連接數限製設置不會覆蓋先前的設置,仍以先前配置的連接數限製為準。
· 允許在限製規則表中對先前配置的規則進行刪除、修改等操作。但修改不能改變規則的優先級,生效規則仍以規則要點 2 的約定為準。
· 網絡連接限速僅限製內網IP向因特網發起的網絡連接;下列情形不在限製範圍內:向設備本身和內網其它IP發起的連接,以及由因特網向內網IP發起的連接。
· 總連接數=TCP連接數+UDP連接數+其他連接數,其他連接指除TCP和UDP連接之外的連接,如ICMP等。某IP可以建立新連接的條件是:此IP已經建立的連接數未達到設置的上限值。比如某IP需要建立一條TCP連接,則必須滿足此IP已經建立的總連接數未達到總連接數上限,TCP連接數未達到TCP連接數上限,建立UDP連接和其他連接的條件跟TCP相同。
· TCP連接數設為0和留空的區別是:設置為0表示不允許建立TCP連接,留空表示不對TCP連接數進行單獨限製,但仍需滿足總連接數限製條件。UDP連接數情況類似。
· 每條VLAN網絡連接限數規則,表示指定VLAN內最多建立的網絡連接數都將被限製到設定的上限值。注意,這裏設置的連接數上限指的是該VLAN內所有IP的連接數之和的上限,而非每IP各自的連接數上限
· 總連接數=TCP連接數+UDP連接數+其他連接數,其他連接指除TCP和UDP連接之外的連接,如ICMP等。某VLAN可以建立新連接的條件是:此VLAN內IP已經建立的連接數未達到設置的上限值。比如某VLAN內某個IP需要建立一條TCP連接,則必須滿足此VLAN已經建立的總連接數未達到總連接數上限,TCP連接數未達到TCP連接數上限,建立UDP連接的條件跟建立TCP連接類似。
· VLAN網絡連接限數僅限製VLAN內各IP向因特網發起的網絡連接;下列情形不在限製範圍內:向設備本身、同一個VLAN內不同IP之間發起的連接、不同VLAN內的IP相互發起的連接,以及由因特網向VLAN內的IP發起的連接。
· TCP連接數設為0和留空的區別是:設置為0表示不允許建立TCP連接,留空表示不對TCP連接數進行單獨限製,但仍需滿足總連接數限製條件。UDP連接數情況類似。
(1) 單擊導航樹中[網絡安全/連接限製]菜單項,進入連接限製配置頁麵。
(2) 單擊“網絡連接限製數”頁簽,進入網絡連接限製數配置頁麵。
(3) 勾選“開啟網絡連接限製數”選項,進入網絡連接限製數配置頁麵。
(4) 點擊<添加>按鈕,彈出新建網絡連接限製數規則對話框。
(5) 在“連接限製地址分組”配置項處,選擇該規則所匹配的連接限製地址分組。如需新建地址分組,可通過點擊右側“新增地址組”按鈕創建新的地址組。
(6) 在“每IP總連接數上限”配置項處,輸入每個IP地址所允許發起連接的總個數上限。
相同源IP,源端口、目的IP、目的端口或報文協議不完全相同的連接均屬於不同的連接。
(7) 在“每IP TCP連接數上限”配置項處,輸入每個IP地址所允許發起的TCP連接的個數上限。您可以在上麵設置的總連接限製數下,對TCP連接數進行單獨限製。
(8) 在“每IP UDP連接數上限”配置項處,輸入每個IP地址所允許發起的UDP連接的個數上限。您可以在上麵設置的總連接限製數下,對UDP連接數進行單獨限製。
(9) 在“描述”配置項處,輸入規則描述信息。
(10) 點擊<應用>按鈕,完成配置。
(1) 單擊導航樹中[網絡安全/連接限製]菜單項,進入連接限製配置頁麵。
(2) 單擊“VLAN網絡連接限製數”頁簽,進入VLAN網絡連接限製數配置頁麵。
(3) 勾選“開啟VLAN網絡連接限製數”選項,進入VLAN網絡連接限製數配置頁麵。
(4) 點擊<添加>按鈕,彈出新建VLAN網絡連接限製數規則對話框。
(5) 在“VLAN接口”下拉菜單處,選擇應用此規則的VLAN接口。
(6) 選擇“啟動連接限製功能”選項,啟動連接限製功能。
(7) 在“總連接數上限”配置項處,輸入VLAN接口所允許發起連接的總個數上限。。
相同源IP,源端口、目的IP、目的端口或報文協議不完全相同的連接均屬於不同的連接。
(8) 在“TCP連接數上限”配置項處,輸入VLAN接口所允許發起的TCP連接的個數上限。您可以在上麵設置的總連接限製數下,對TCP連接數進行單獨限製。
(9) 在“UDP連接數上限”配置項處,輸入VLAN接口所允許發起的UDP連接的個數上限。您可以在上麵設置的總連接限製數下,對UDP連接數進行單獨限製。
(10) 在“描述”配置項處,輸入規則描述信息。
(11) 點擊<應用>按鈕,完成配置。
如果您希望對某些設備發送過來的報文進行限製(允許或禁止其通過),則可以在VLAN接口上配置MAC地址過濾功能,在開啟MAC地址過濾功能後,本功能將根據MAC黑白名單對接收報文的源MAC地址進行過濾。
過濾方式有如下兩種:
· 白名單:僅允許在白名單內的源MAC地址訪問外網,其餘禁止訪問。
· 黑名單:僅禁止在黑名單內的源MAC地址訪問外網,其餘允許訪問。
· 如果需要在管理員終端連接的接口上開啟MAC地址過濾功能,請先確保管理員的終端MAC地址已添加到白名單中或未添加到黑名單。
· MAC地址中的英文字符不區分大小寫。
(1) 單擊導航樹中[網絡安全/MAC地址過濾]菜單項,進入MAC地址過濾設置頁麵。
(2) 單擊“MAC過濾設置”頁簽,進入MAC過濾設置頁麵。
(3) 勾選“開啟MAC地址過濾”選項,開啟MAC地址過濾功能。
(4) 在指定接口的“過濾方式”列中選擇“白名單”或“黑名單”選項,並在“開啟和關閉”列中勾選“開啟”選項。
(5) 點擊<應用>按鈕,開啟MAC地址過濾。
單個添加黑白名單的方法相同,下麵以白名單為例介紹配置步驟。
(1) 單擊導航樹中[網絡安全/MAC地址過濾]菜單項,進入MAC地址過濾設置頁麵。
(2) 單擊“MAC黑白名單管理”頁簽,進入MAC黑白名單管理頁麵。
(3) 單擊“白名單”頁簽,進入白名單設置頁麵。
(4) 如果需要添加單個MAC地址,請執行以下步驟:
a. 點擊<添加>按鈕,彈出添加源MAC地址對話框。
b. 在“MAC地址”配置項處,輸入待過濾的源MAC地址。
c. 在“描述”配置項處,輸入待過濾源MAC地址的描述信息。
d. 點擊<確定>按鈕,完成對白名單添加單個MAC地址的操作。
(5) 如果需要批量添加MAC地址,請執行以下步驟:
a. 點擊<導出>按鈕,選擇“導出模板”菜單項。
b. 打開下載好的模板,添加待過濾的源MAC地址並在本地保存。
c. 點擊<導入>按鈕,彈出導入源MAC地址對話框。
d. 點擊<選擇文件>按鈕,彈出選擇要加載的文件對話框。
e. 選中已編輯好的模板,點擊<打開>按鈕。
f. 點擊<確定>按鈕,完成對白名單批量添加MAC地址的操作。
(6) 如果需要從ARP表項導入MAC地址,請執行以下步驟:
a. 點擊<從ARP表項導入>按鈕,彈出導入ARP MAC表對話框。
b. 勾選需要導入的MAC地址。
c. 點擊<導入>按鈕,彈出確認提示對話框。
d. 點擊<是>按鈕,完成對白名單從ARP表項導入MAC地址的操作。
ARP協議本身存在缺陷,攻擊者可以輕易地利用ARP協議的缺陷對其進行攻擊。ARP攻擊防禦技術提供了多種ARP攻擊防禦技術對局域網中的ARP攻擊和ARP病毒進行防範、檢測和解決。
ARP安全功能包括:
· ARP學習管理:本功能支持開啟和關閉接口的動態ARP表項學習功能,當執行關閉接口的動態ARP表項學習功能後,該接口無法再學習新的動態ARP表項,提高了安全性。當設備的某個接口已經學到了該接口下所有合法用戶的ARP表項時,建議關閉動態ARP表項學習功能。
· 動態ARP管理:包括動態ARP表項管理功能和ARP掃描、固化功能。ARP掃描、固化功能即對局域網內的用戶進行自動掃描,並將生成的動態ARP表項固化為靜態ARP表項。建議環境穩定的小型網絡(如網吧)中配置本功能。先配置ARP掃描、固化功能,再關閉動態ARP表項學習功能,可以防止設備學習到錯誤的ARP表項。
· 靜態ARP管理:包括靜態ARP表項管理、刷新、添加和導入導出功能。其中,刷新功能是指刷新靜態ARP表項列表;添加功能是指手動新增靜態ARP表項;導入功能是指從文件中批量獲取靜態ARP表項;導出功能是指將現有的靜態ARP表項導出到本地文件中。
· ARP防護:包括ARP報文合法性檢查和免費ARP功能。ARP報文合法性檢查是通過設置規則驗證ARP報文的合法性。免費ARP報文是一種特殊的ARP報文,該報文中攜帶的發送端IP地址和目標IP地址都是本機IP地址,報文源MAC地址是本機MAC地址,報文的目的MAC地址是廣播地址。設備通過對外發送免費ARP報文來實現以下功能:
¡ 確定其它設備的IP地址是否與本機的IP地址衝突。當其它設備收到免費ARP報文後,如果發現報文中的IP地址和自己的IP地址相同,則給發送免費ARP報文的設備返回一個ARP應答,告知該設備IP地址衝突。
¡ 設備改變了硬件地址,通過發送免費ARP報文通知其它設備更新ARP表項。
· ARP檢測:探測到指定接口下所有在線設備,同時還能檢查這些設備的信息是否和已存在ARP表項衝突。根據搜索結果,可以進行ARP綁定操作。
(1) 單擊導航樹中[網絡安全/ARP安全]菜單項,進入ARP安全配置頁麵。
(2) 單擊“ARP學習管理”頁簽,進入ARP學習管理配置頁麵。
(3) 在指定接口的“ARP學習管理”列,設置是否允許接口學習動態ARP表項:
¡ 點擊按鈕,將其設置為開啟,則該接口允許學習動態ARP表項;
¡ 點擊按鈕,將其設置為關閉,則該接口不允許學習動態ARP表項。
(1) 單擊導航樹中[網絡安全/ARP安全]菜單項,進入ARP安全配置頁麵。
(2) 單擊“動態ARP管理”頁簽,進入動態ARP表項管理配置頁麵。
(3) 可對已有的動態ARP表項執行以下管理操作:
¡ 點擊<刷新>按鈕,則可以刷新當前動態ARP表項的顯示信息。
¡ 選擇指定的動態ARP表項,點擊<刪除>按鈕,再點擊<確定>按鈕後,可以刪除對應的動態ARP表項。
¡ 點擊<掃描>按鈕,彈出掃描配置對話框。
a. 在“接口”配置項處,選擇需要執行ARP掃描操作的接口。
b. 在“開始IP地址”和“結束IP地址”配置項處,設置ARP掃描操作的起止IP地址。此處指定起止IP地址需要和接口的IP地址處於同一網段。
c. 點擊<確定>按鈕,完成掃描地址段的添加。
d. 選擇指定的動態ARP表項,再點擊<固化>按鈕,則可以將這些動態ARP表項固化為靜態ARP表項。
(1) 單擊導航樹中[網絡安全/ARP安全]菜單項,進入ARP安全配置頁麵。
(2) 單擊“靜態ARP管理”頁簽,進入靜態ARP管理頁麵。
(3) 如果需要添加單個靜態ARP表項,請執行以下步驟:
(4) 點擊<添加>按鈕,彈出添加ARP表項對話框。
a. 在“IP地址”配置項處,輸入靜態ARP表項的IP地址。
b. 在“MAC地址”配置項處,輸入靜態ARP表項的MAC地址。
c. 在“描述”配置項處,輸入ARP表項的描述信息。
d. 點擊<確定>按鈕,完成靜態ARP表項的添加。
(5) 如果需要批量添加靜態ARP表項,請執行以下步驟:
a. 點擊<導出>按鈕,下載導出模板。
b. 打開下載好的模板,添加靜態ARP表項並在本地保存。
c. 點擊<導入>按鈕,彈出導入ARP表項對話框。
d. 點擊<選擇文件>按鈕,選擇已編輯好的模板。
e. 點擊<確定>按鈕,完成靜態ARP表項的批量添加。
· 設備發送免費ARP可以防止LAN或WAN側的主機受到ARP攻擊和欺騙。設置免費ARP發送時間間隔越小,主機防止ARP攻擊能力越強,但是占用網絡資源越大,請合理設置免費ARP報文發送時間間隔。
· 由於有些設備(如交換機)可能會對ARP報文進行限製,過多的ARP報文可能會被判定為攻擊,請確定是否開啟主動發送免費ARP的功能,並進行合理的參數設置。
· 路由器支持定時發送免費ARP功能,這樣可以及時通知其它設備更新ARP表項或者MAC地址表項,以防止仿冒網關的ARP攻擊、防止主機ARP表項老化等。
(1) 單擊導航樹中[網絡安全/ARP安全]菜單項,進入ARP安全配置頁麵。
(2) 單擊“ARP防護”頁簽,進入ARP防護配置頁麵。
(3) 在“ARP報文合法性檢查”區段,可進行如下設置:
¡ 勾選“丟棄發送端MAC地址不合法的ARP報文(LAN口默認丟棄不合法的ARP報文)”選項,當設備接收的ARP報文中的源MAC地址為全零、組播、廣播MAC地址時,則不學習該ARP報文,直接將該報文丟棄。
¡ 勾選“丟棄報文頭中源MAC地址和報文中發送端MAC地址不一致的ARP報文”選項,當設備接收的ARP報文中的源MAC地址與該報文的二層源MAC地址不一致時,則不學習該ARP報文,直接將該報文丟棄。
¡ 勾選“ARP報文學習抑製”選項,當設備發出一個ARP請求報文,收到了多個不同的ARP響應報文時,設備僅學習最先收到的ARP響應報文。
(4) 在“免費ARP”區段,可進行如下設置:
¡ 勾選“檢測到ARP欺騙時,發送免費ARP報文”選項,當設備檢測到ARP欺騙時(比如源IP地址為設備接口IP地址但源MAC地址不是設備接口MAC地址的ARP報文),則會主動發送免費ARP報文。
¡ 勾選“LAN內主動發送免費ARP報文”選項,並在“發送間隔”配置項處,輸入免費ARP報文的發送間隔。
¡ 勾選“WAN口主動發送免費ARP報文”選項,並在“發送間隔”配置項處,輸入免費ARP報文的發送間隔。
(5) 點擊<應用>按鈕,完成配置。
(1) 單擊導航樹中[網絡安全/ARP安全]菜單項,進入ARP安全配置頁麵。
(2) 單擊“ARP檢測”頁簽,進入ARP檢測配置頁麵。
(3) 在“掃描接口”配置項處,選擇掃描的接口。
(4) 在“掃描地址範圍”配置項處,選擇掃描的起始IP地址和結束IP地址。
(5) 點擊<掃描>按鈕,開始進行掃描檢測。檢測結果將會在列表中顯示,其中黑色條目表示表項綁定,藍色條目表示表項未綁定,紅色條目表示錯誤表項。檢測結果中ARP表項的狀態分為:
¡ 靜態表項:表示該條表項為手動配置的或自動綁定的ARP表項。
¡ 動態表項:表示該條表項為動態學習到的並且沒有被自動綁定的ARP表項。
¡ 錯誤表項:表示存在ARP衝突表項。
(6) 點擊<清除>按鈕,可以清除當前的檢測結果。
DDoS攻擊是一類廣泛存在於互聯網中的攻擊,能造成比傳統DoS攻擊(拒絕服務攻擊)更大的危害,能讓設備對來自外網和內網的常見攻擊類型進行防護,丟棄攻擊報文。同時,設備可以對相應的攻擊事件以日誌形式記錄下來。
· 攻擊防禦:本功能能夠讓設備和網絡免受如下DDOS攻擊的困擾:
¡ 單包攻擊:攻擊者利用畸形報文發起攻擊,旨在癱瘓目標係統。例如Land攻擊報文是源IP和目的IP均為攻擊目標IP的TCP報文,此攻擊將耗盡目標服務器的連接資源,使其無法處理正常業務。
¡ 異常流攻擊:攻擊者向目標係統發送大量偽造請求,導致目標係統疲於應對無用信息,從而無法為合法用戶提供正常服務。
¡ 掃描攻擊:攻擊者對主機地址和端口進行掃描,探測目標網絡拓撲以及開放的服務端口,為進一步侵入目標係統做準備。
· 攻擊防禦統計:本功能可以分別顯示單包攻擊防禦和異常流量攻擊防禦的統計信息,可以導出Excel保存。
· 報文源認證:本功能是指設備對收到的內網報文的源IP/MAC進行認證,確認對端是否是一個合法的主機,以防止內網中可能存在的非法報文攻擊,避免這些非法報文對設備資源和網絡資源的消耗,提高整體網絡的穩定性。
· 異常流量防護:本功能是指對內網異常大流量的主機進行控製,以防止該異常主機過度占用帶寬和消耗係統性能。其中有三種防護等級,您可以根據你的實際網絡狀況選擇較合適的級別進行防護。為了防止非法偽裝報文流量被統計到合法主機流量中,建議盡量開啟報文源認證頁麵的相關認證功能。
· 開啟日誌記錄功能將會降低部分係統抗攻擊能力,建議不必要的情況下不用開啟該功能。
· DDOS攻擊防禦功能無法從WAN側防禦L2TP隧道封裝的流量。
· 對於PPPoE連接的WAN口,無法配置單包攻擊防禦中的“Smurf攻擊防禦”。
(1) 單擊導航樹中[網絡安全/DDOS攻擊防禦]菜單項,進入DDOS攻擊防禦配置頁麵。
(2) 單擊“攻擊防禦”頁簽,進入攻擊防禦配置頁麵。
(3) 勾選“開啟DDOS攻擊防禦”選項,開啟DDOS攻擊防禦功能。
(4) 點擊<添加>按鈕,彈出新建攻擊防禦對話框。
(5) 在“應用接口”配置項處,選擇應用該DDOS攻擊防禦策略的接口。
(6) 在“單包攻擊防禦”配置項處,選擇需要開啟防禦的單包攻擊類型。建議開啟全部單包攻擊防禦。
¡ Fraggle攻擊防禦:啟用該項後,設備可以有效防止Fraggle攻擊。該攻擊表現為攻擊者向子網廣播地址發送源地址為受害網絡或者受害主機的UDP報文。子網內的每一個主機都會向受害網絡或者主機發送響應報文,從而導致網絡阻塞或者主機崩潰。
¡ Land攻擊防禦:啟用該項後,設備可以有效防止Land攻擊。該攻擊表現為攻擊者向目標發送帶有SYN標誌的TCP報文,並且這些報文的源地址和目的地址都設為被攻擊目標的IP地址,當被攻擊目標機收到這樣的報文後,開始重複的進行內部應答風暴,消耗大量的CPU資源。
¡ WinNuke攻擊防禦:啟用該項後,設備可以有效防止WinNuke攻擊。該攻擊表現為攻擊者利用NetBIOS協議中OOB(Out of Band)漏洞對目標進行攻擊,可造成部分主機死機或藍屏。
¡ TCP flag攻擊防禦:啟用該項後,設備可以有效防止TCP flag攻擊。該攻擊表現為攻擊者發送帶有非常規TCP標誌的報文探測目標主機的操作係統類型,若操作係統對這類報文處理不當,攻擊者便可達到使目標主機係統崩潰的目的。
¡ ICMP不可達報文攻擊防禦:啟用該項後,設備可以有效防止ICMP不可達報文攻擊。該攻擊表現為攻擊者向目標發送ICMP不可達報文,達到切斷目標主機網絡連接的目的。
¡ ICMP重定向報文攻擊防禦:啟用該項後,設備可以有效防止ICMP重定向報文攻擊。該攻擊表現為攻擊者向目標發送ICMP重定向報文,更改目標的路由表,幹擾目標正常的IP報文轉發。
¡ Smurf攻擊防禦:啟用該項後,設備可以有效防止Smurf攻擊。該攻擊與Fraggle攻擊類似,表現為攻擊者向一個網段廣播一個ICMP回顯請求(ICMP ECHO REQUEST)報文,而源地址為被攻擊主機,當網段中的所有主機收到回顯請求後,都會向被攻擊主機響應ICMP ECHO REPLY報文,造成攻擊目標網絡阻塞或者係統崩潰。
¡ 帶源路由選項的IP攻擊防禦:啟用該項後,設備可以有效防止帶源路由選項的IP攻擊。該攻擊表現為攻擊者向目標發送帶源路由選項的IP報文,達到探測網絡結構的目的。
¡ 帶路由記錄選項的IP攻擊防禦:啟用該項後,設備可以有效防止帶路由記錄選項的IP攻擊。該攻擊表現為攻擊者向目標發送帶路由記錄選項的IP報文,達到探測網絡結構的目的。
¡ 超大ICMP攻擊防禦:啟用該項後,設備可以有效防止超大ICMP攻擊。該攻擊表現為攻擊者向目標發送超大ICMP報文,使目標主機崩潰。
¡ 防止IP Spoofing:啟用該項後,設備可以有效防止IP Spoofing攻擊。該攻擊表現為攻擊者使用相同的IP地址假冒網絡上的合法主機,並訪問關鍵信息。通常會偽裝成LAN內的IP。
¡ 防止TearDrop:啟用該項後,設備可以有效防止TearDrop攻擊,缺省啟用該項,無法取消。該攻擊表現為攻擊者向目標發送相互重疊的分片報文,目標主機處理這種分片時可能導致係統崩潰。
¡ 防止碎片包:啟用該項後,設備可以有效防止碎片包攻擊,缺省啟用該項,無法取消。該攻擊表現為攻擊者向目標主機發送部分分片報文,而不發送所有的分片報文,這樣目標主機會一直等待,直到計時器超時。如果攻擊者發送了大量的分片報文,就會耗盡目標主機的資源,導致其不能響應正常的IP報文。
(7) 在“異常流攻擊防禦”配置項處,選擇需要開啟防禦的異常流攻擊類型。
¡ SYN Flood攻擊防禦:勾選該選項,並設置啟用防止SYN Flood攻擊的閾值。當流量速率超過該閾值,設備將啟用SYN Flood攻擊防禦。該攻擊表現為攻擊者向目標發送大量的SYN報文,消耗目標的連接資源,使目標係統無法再接受新連接。
¡ UDP Flood攻擊防禦:勾選該選項,並設置啟用防止UDP Flood攻擊的閾值。當流量速率超過該閾值,設備將啟用UDP Flood攻擊防禦。該攻擊表現為攻擊者向目標發送大量的UDP報文,導致目標主機忙於處理這些UDP報文而無法繼續處理正常的報文。
¡ ICMP Flood攻擊防禦:勾選該選項,並設置啟用防止ICMP Flood攻擊的閾值。當流量速率超過該閾值,設備將啟用ICMP Flood攻擊防禦。該攻擊表現為攻擊者向目標發送大量的ICMP報文,導致目標主機忙於處理這些ICMP報文而無法繼續處理正常的報文。
(8) 在“掃描攻擊防禦”區段下,選擇需要開啟防禦的掃描攻擊類型。
¡ WAN口ping掃描:啟用該項後,設備不回應來自Internet的Ping請求,可以防止Internet上惡意的Ping探測。
¡ UDP掃描:啟用該項後,設備可以有效防止UDP掃描攻擊。該攻擊表現為攻擊者向目標端口發送UDP報文,探測端口的開放情況。
¡ TCP SYN掃描:啟用該項後,設備可以有效防止TCP SYN掃描攻擊。該攻擊表現為攻擊者像建立正常的TCP連接一樣向目標端口發送SYN報文,然後等待目標主機的回應,借此探測端口的開放情況。
¡ TCP NULL掃描:啟用該項後,設備可以有效防止TCP NULL掃描。該攻擊表現為攻擊者向目標端口發送所有標誌都不置位的TCP報文,然後等待目標主機的回應,借此探測端口的開放情況。
¡ TCP Stealth FIN掃描:啟用該項後,設備可以有效防止TCP Stealth FIN掃描。該攻擊表現為攻擊者向目標端口發送隻有FIN標誌置位的TCP報文,然後等待目標主機的回應,借此探測端口的開放情況。
¡ TCP Xmas Tree掃描:啟用該項後,設備可以有效防止TCP Xmas Tree掃描。該攻擊表現為攻擊者向目標端口發送FIN、URG和PUSH標誌置位的TCP報文,然後等待目標主機的回應,借此探測端口的開放情況。
(9) 點擊<確定>按鈕,完成配置。
(1) 單擊導航樹中[網絡安全/DDOS攻擊防禦]菜單項,進入DDOS攻擊防禦配置頁麵。
(2) 單擊“攻擊防禦統計”頁簽,進入攻擊防禦統計頁麵。
(3) 勾選“單包攻擊防禦”選項,列表將會顯示單包攻擊防禦的統計信息。
(4) 勾選“異常流量攻擊防禦”選項,列表將會顯示異常流量攻擊防禦的統計信息。
(5) 點擊<導出Excel>按鈕,將攻擊防禦的統計信息導出到Excel中保存。
(1) 單擊導航樹中[網絡安全/DDOS攻擊防禦]菜單項,進入DDOS攻擊防禦配置頁麵。
(2) 單擊“報文源認證”頁簽,進入報文源認證配置頁麵。
(3) 根據需要可設置如下參數:
¡ 啟用基於靜態路由的報文源認證功能:啟用該項後,設備允許源IP與LAN接口同一網段或通過出接口為LAN口的靜態路由表反向可達的內網路由器過來的流量通過,其它網段過來的數據包將被設備丟棄。
¡ 啟用基於ARP綁定、DHCP攻擊防護報文源認證功能:啟用該項後,設備將根據ARP綁定表中的靜態綁定關係以及DHCP分配列表中的對應關係,來認證內網過來的數據包。如果數據包的源IP/MAC與ARP綁定表中的IP/MAC對應關係存在衝突,則該數據包將被設備丟棄。
¡ 啟用基於動態ARP的報文源認證功能:啟用該項後,設備將會對內網數據包的源IP/MAC進行智能認證,確認對端是否是存在的合法的主機,如果數據包的源IP/MAC與已確認的合法主機的IP/MAC衝突,則該數據包將被設備丟棄。如果網絡中存在相同MAC對應不同IP的應用,請將對應的IP/MAC進行靜態ARP綁定,否則可能影響正常業務訪問。
(4) 點擊<應用>按鈕,完成配置。
當啟用異常主機流量防護功能且設置防護級別為高時,會將檢測到的攻擊主機自動添加到黑名單中。如果降低防護級別或者關閉異常主機流量防護功能,已添加到黑名單的攻擊主機會從黑名單中刪除。
(1) 單擊導航樹中[網絡安全/DDOS攻擊防禦]菜單項,進入DDOS攻擊防禦配置頁麵。
(2) 單擊“異常流量防護”頁簽,進入異常流量防護配置頁麵。
(3) 勾選“啟用異常主機流量防護功能”選項,並設置異常流量閾值。
(4) 根據需要選擇如下防護級別:
¡ 高:防護等級最高。高防護等級下,設備會進行異常主機流量檢測,並且自動把檢測到的攻擊主機添加到黑名單中,在指定的生效時間範圍內,禁止其訪問本設備和Internet,以盡量減少該異常主機對網絡造成的影響。
¡ 中:防護等級居中。中防護等級下,設備會把單個內網主機的上行流量限製在異常流量閾值範圍內,超過閾值的流量將被設備丟棄。
¡ 低:防護等級低。低防護等級下,設備僅記錄異常流量日誌,仍然允許相應主機訪問設備和Internet。
(5) 點擊<應用>按鈕,完成配置。
安全統計功能用於對設備接收到的非法或者可疑數據包進行統計,以方便查看網絡環境是否存在欺騙或攻擊行為。本功能支持統計如下類型的數據包:
· 報文源認證失敗:表示由LAN網絡中的非法主機發送的數據包。如需統計此類數據包,需先啟用報文源認證的相關功能。
· LAN側可疑:表示由LAN網絡中無法確定真實性的主機的發送數據包。
· WAN側非法:表示由Intetnet側主動向設備WAN口發送的非法數據包。
(1) 單擊導航樹中[網絡安全/安全統計]菜單項,進入安全統計配置頁麵。
(2) 勾選“開啟安全統計”選項,列表中將會顯示安全統計信息。
(3) 點擊數據包類型對應的操作列<清除>按鈕,清除該數據包類型的統計信息。
(4) 在彈出的確認提示對話框中,點擊<是>按鈕,完成清除操作。
黑名單管理功能用於查看和解除已添加的黑名單用戶。
(1) 單擊導航樹中[網絡安全/黑名單管理]菜單項,進入黑名單管理頁麵。
(2) 在列表中點擊黑名單用戶對應的操作列圖標,可將用戶從黑名單中刪除。
終端接入控製功能可以同時對數據報文中的源MAC地址和源IP地址進行匹配,隻有源MAC地址和源IP地址同時匹配的設備,才允許訪問外網。
(1) 單擊導航樹中[網絡安全/終端接入控製]菜單項,進入終端接入控製配置頁麵。
(2) 根據需要設置規則,具體如下:
¡ 僅允許DHCP服務器分配的客戶端訪問外網:用戶可以指定僅允許DHCP服務器分配的客戶端訪問外網,使用此功能後不在DHCP Server分配的客戶列表中的客戶端將無法訪問外網。因此需要注意,在使能該功能後如果出現無法訪問外網,請將管理PC設置為DHCP方式獲取IP地址。
¡ 僅允許ARP靜態綁定的用戶訪問外網:用戶可以指定僅允許ARP靜態綁定規則表中的客戶端訪問外網,使用此功能後不在ARP靜態綁定規則表中的客戶端將無法訪問外網。因此需要注意,在使能該功能前需要把管理PC的IP或者MAC加入到ARP靜態綁定規則表中,否則啟用該功能後,管理PC將無法訪問外網。
(3) 點擊<應用>按鈕,完成配置。
當網絡管理員需要對接入設備的用戶身份進行驗證時,可以通過配置Portal認證功能來實現,可根據如下步驟配置。
|
步驟 |
配置內容 |
詳情 |
|
1 |
在雲平台中綁定路由器(必選) |
在雲平台中綁定路由器的方法,具體配置方法請見參見《H3C ER G3係列路由器如何連接雲平台配置舉例》。 |
|
2 |
設置認證配置(必選) |
在雲平台中設置認證配置,具體配置方法請見參見《H3C雲簡網絡部署手冊》。 |
|
3 |
啟用雲認證功能(必選) |
對指定的VLAN開啟雲認證功能,具體配置方法請見參見配置雲認證。 |
|
4 |
配置免認證(可選) |
根據需要對無需認證主機配置免認證,可選擇基於IP地址或MAC地址進行免認證。具體配置方法請參見配置免認證MAC地址或配置免認證IP地址。 |
Portal是互聯網接入的一種認證方式,通過對用戶進行身份認證,以達到對用戶訪問進行控製的目的。本設備的Portal認證方式為雲端認證方式,采用雲端服務器來同時承擔Portal認證服務器和Portal Web服務器的職責。
您可以為不需要通過Portal認證即可訪問網絡資源的用戶設置免認證規則,免認證規則的匹配項包括MAC地址、IP地址。
開啟雲認證之前,需要先完成雲管理平台(H3C雲平台)上的認證模板的配置,並開啟雲服務。
有關雲服務的配置,請在“係統工具>遠程管理”中的“雲服務”頁簽中配置。
(1) 單擊導航樹中[認證管理/Portal認證]菜單項,進入Portal認證配置頁麵。
(2) 單擊“雲認證”頁簽,進入認證設置頁麵。
(3) 在列表中的“開啟和關閉”列的“開啟/關閉”按鈕,設置是否對接口下的Portal用戶開啟雲認證功能。
(1) 單擊導航樹中[認證管理/Portal認證]菜單項,進入Portal認證配置頁麵。
(2) 單擊“免認證MAC地址”頁簽,進入免認證MAC地址配置頁麵。
(3) 點擊<添加>按鈕,彈出添加免認證MAC地址對話框。
(4) 在“MAC地址”配置項處,輸入免認證MAC地址。
(5) 在“描述”配置項處,輸入與本配置相關的描述。
(6) 點擊<確定>按鈕,完成配置。
在添加免認證IP地址時,免認證源IP地址分組或免認證目的地址分組不能為空。當係統不存在地址分組時,需要先新增地址組。
(1) 單擊導航樹中[認證管理/Portal認證]菜單項,進入Portal認證配置頁麵。
(2) 單擊“免認證IP地址”頁簽,進入免認證IP地址配置頁麵。
(3) 點擊<添加>按鈕,彈出添加免認證IP地址對話框。
(4) 在“地址添加方式”配置項處,選擇免認證IP地址的方式。
¡ 若選擇“源IP地址組”選項,則需在“免認證源地址分組”配置項處,選擇已存在的免認證源地址分組,或點擊<新增地址組>按鈕,添加新的免認證源地址組。點擊“查看”鏈接,可以查看係統中已經創建的全部地址分組。
¡ 若選擇“目的IP地址組”選項,則需在“免認證目的地址分組”配置項處,選擇已存在的免認證目的地址分組,或點擊<新增地址組>按鈕,添加新免認證目的地址組。
¡ 選擇“域名”選項,則需在“域名”配置項處,輸入免認證的域名。
(5) 點擊<確定>按鈕,完成配置。
建立IPsec VPN時,需要對兩端設備進行配置。配置步驟如下:
|
步驟 |
配置內容 |
詳情 |
|
1 |
完成LAN的基本配置(可選) |
根據需要修改VLAN1的IP地址或創建新的VLAN,具體配置方法請見參見配置VLAN。 |
|
2 |
完成WAN的基本配置(必選) |
將WAN接口連接Internet,完成WAN配置,具體配置方法請見參見WAN配置。 |
|
3 |
添加IPsec策略(必選) |
根據實際需要添加IPsec策略,具體配置方法請見參見配置IPsec分支節點或配置IPsec中心節點。 |
建立L2TP VPN時,需要對兩端設備進行配置。一端配置為L2TP服務器,另一端配置為L2TP客戶端,配置步驟如下:
|
步驟 |
配置內容 |
詳情 |
|
1 |
完成WAN的基本配置(必選) |
將WAN接口連接Internet,完成WAN配置,具體配置方法請見參見WAN配置。 |
|
2 |
啟用並配置L2TP服務器端(必選) |
啟用L2TP服務器,並根據實際需要新建L2TP組和添加L2TP用戶,具體配置方法請見參見L2TP服務器的L2TP配置或L2TP用戶。 |
|
3 |
啟用並配置L2TP客戶端(必選) |
啟用L2TP客戶端,並根據實際需要新建L2TP組,具體配置方法請見參見L2TP客戶端的L2TP配置。 |
IPsec VPN是利用IPsec技術建立的虛擬專用網。IPsec通過在特定通信方之間建立“通道”,來保護通信方之間傳輸的用戶數據,該通道通常稱為IPsec隧道。
IPsec協議為IP層上的網絡數據安全提供了一整套安全體係結構,包括安全協議AH(Authentication Header,認證頭)和ESP(Encapsulating Security Payload,封裝安全載荷)、IKE(Internet Key Exchange,互聯網密鑰交換)以及用於網絡認證及加密的一些算法等。其中,AH協議和ESP協議用於提供安全服務,IKE協議用於密鑰交換。
設備支持兩種IPsec VPN組網方式:
· “中心—分支”方式組網:企業分支機構網關將主動與總部網關建立IPsec隧道,分支機構內部終端可以安全訪問總部的網絡資源。
· “分支—分支”方式組網:企業各分支網關之間均可主動建立IPsec隧道,來保護分支之間的數據通信。
“分支—分支”方式組網環境中的設備之間均可主動建立IPsec隧道。
在添加保護流措施時,不建議同時配置多個相同IP地址不同掩碼的保護流,例如不建議同時配置192.168.1.1/24和192.168.1.1/16的保護流。
(1) 單擊導航樹中[虛擬專網(VPN)/IPsec VPN]菜單項,進入IPsec VPN配置頁麵。
(2) 單擊“IPsec策略”頁簽,進入IPsec策略配置頁麵。
(3) 點擊<添加>按鈕,彈出添加IPsec策略對話框。
(4) 在“名稱”配置項處,輸入IPsec策略的名稱。
(5) 在“接口”配置項處,選擇應用IPsec策略的接口。請注意,此接口需要與對端設備路由可達。
(6) 在“組網方式”配置項處,選擇“分支節點”選項。
(7) 在“對端網關地址”配置項處,輸入IPsec隧道對端的IP地址或域名。通常為總部網關或對端分支機構網關的WAN口地址。
(8) 在“認證方式”配置項處,選擇IPsec隧道的認證方式。此參數目前僅支持預共享密鑰。
(9) 在“預共享密鑰”配置項處,輸入與對端設備相同的預共享密鑰。該密鑰需要提前進行協商和通告。
(10) 在“保護流措施”配置項處,進行如下配置:
a. 在“受保護協議”配置項處,選擇受IPsec隧道保護的報文的協議類型。
b. 在“本端受保護網段/掩碼”配置項處,輸入本端受保護網段。
c. 在“本端受保護端口”配置項處,輸入本端受保護端口。僅當受保護協議選擇為TCP或UDP時支持配置。
由本端受保護網段內主機的受保護端口發送的報文將被設備進行IPsec隧道封裝處理。
d. 在“對端受保護網段/掩碼”配置項處,輸入對端受保護網段。
e. 在“對端受保護端口”配置項處,輸入對端受保護端口。僅當受保護協議選擇為TCP或UDP時支持配置。
由對端受保護網段內主機的受保護端口發送的報文才可以被設備進行IPsec隧道解封裝處理。
f. 根據需要可以在“操作”配置項處,添加多條保護流。
如您需要改變設備的缺省IKE配置,可按如下方式進行配置。
(1) 按上述方式完成IPsec基本配置。
(2) 點擊<顯示高級配置>鏈接,彈出高級配置對話框。
(3) 單擊“IKE配置”頁簽,進入IKE配置頁麵。
(4) 在“IKE版本”配置項處,選擇IKE版本。
(5) 在“協商模式”配置項處,選擇IKE協商模式:
¡ 主模式:協商步驟多,身份驗證位於密鑰交互過程之後進行,適用於對身份保護要求較高的場合。
¡ 野蠻模式:協商步驟少,身份驗證與密鑰交互同時進行,適用於對身份保護要求不高的場合。
當IKE版本為V1時,可配置此參數。若設備公網IP地址是動態分配的,建議您選擇IKE協商模式為野蠻模式。
(6) 在“本端身份類型”配置項處,配置用於IKE認證的本端設備身份類型和身份標識。身份類型可選擇IP地址、FQDN名稱或user FQDN名稱。需要注意的是,此項必須與對端設備上執行步驟(7)配置的對端身份類型和身份標識一致。
如果您執行步驟(5)選擇的IKE協商模式為主模式,您需要將本端設備身份類型配置為IP地址。
(7) 在“對端身份類型”配置項處,配置用於IKE認證的對端設備身份類型和身份標識。身份類型可選擇IP地址、FQDN名稱或user FQDN名稱。需要注意的是,此項必須與對端設備上執行步驟(6)配置的本端身份類型和身份標識一致。
(8) 在“對等體存活檢測(DPD)”配置項處,選擇是否開啟對等體存活檢測功能。該功能可用於檢測對端是否存活,設備將拆除對端失活的IPsec隧道。建議您開啟此功能,使設備能夠及時獲悉IPsec隧道的可用情況。
(9) 在“算法組合”配置項處,選擇IKE協議交互所需的加密和認證算法。如果選擇“推薦”選項,需要選擇推薦的算法組合;如果選擇“自定義”選項,需要設置自定義的認證算法、加密算法和PFS算法。
IPsec隧道的兩端所配置的認證算法、加密算法和PFS算法必須一致。
(10) 在“SA生存時間”配置項處,輸入IKE重新協商的時間間隔,超過所配時間將觸發IKE相關參數的重新協商。建議SA生存時間設置不低於600秒。
如您需要改變設備的缺省IPsec高級配置,可按如下方式進行配置。
(1) 按上述方式完成IPsec基本配置。
(2) 單擊“IPsec配置”頁簽,進入IPsec配置頁麵。
(3) 在“算法組合”配置項處,選擇IPsec協議交互使用的安全協議以及相應的加密和認證算法。如果選擇“推薦”選項,需要選擇推薦的算法組合;如果選擇“自定義”選項,需要設置自定義的安全協議、ESP認證算法和ESP加密算法。
IPsec隧道的兩端所配置的安全協議、認證算法、加密算法、封裝模式和PFS算法必須一致。
(4) 在“封裝模式”配置項處,選擇IPsec隧道的封裝模式。
若IPsec本端受保護網段與對端受保護網段均為私網網段,建議您選擇封裝模式為隧道模式。
IPsec隧道的兩端所配置的封裝模式必須一致。
(5) 在“PFS”配置項處,選擇IPsec隧道的PFS算法。
IPsec隧道的兩端所配置的PFS算法必須一致。
(6) 在“基於時間的SA生存時間”配置項處,輸入觸發IPsec重新協商的時間間隔,超過所配時間將觸發IPsec相關參數的重新協商。
(7) 在“基於流量的生存時間”配置項處,輸入觸發IPsec重新協商的流量大小,超過所配流量將觸發IPsec相關參數的重新協商。
(8) 在“觸發模式”配置項處,選擇觸發IPsec重新協商的模式。
(9) 點擊<返回基本配置>按鈕,返回添加IPsec策略頁麵。
(10) 點擊<確定>按鈕,完成配置。
“中心—分支”方式組網環境中的分支節點設備需要主動建立IPsec隧道與中心節點通信。
當設備作為中心節點,一個接口下隻能配置一條中心節點策略。在添加IPsec中心節點策略選擇接口時,需選擇未創建過中心節點策略的接口。
(1) 單擊導航樹中[虛擬專網(VPN)/IPsec VPN]菜單項,進入IPsec VPN配置頁麵。
(2) 單擊“IPsec策略”頁簽,進入IPsec策略配置頁麵。
(3) 點擊<添加>按鈕,彈出添加IPsec策略對話框。
(4) 在“名稱”配置項處,輸入IPsec策略的名稱。
(5) 在“接口”配置項處,選擇應用IPsec策略的接口。請注意,此接口需要與分支節點設備路由可達。
(6) 在“組網方式”配置項處,選擇“中心節點”選項。
(7) 在“預共享密鑰”配置項處,輸入與對端設備相同的預共享密鑰。該密鑰需要提前進行協商和通告。
如您需要改變設備的缺省IKE配置,可按如下方式進行配置。
(1) 按上述方式完成IPsec基本配置。
(2) 點擊<顯示高級配置>鏈接,進入高級配置頁麵。
(3) 單擊“IKE配置”頁簽,進入IKE配置頁麵。
(4) 在“IKE版本”配置項處,選擇IKE版本。
(5) 在“協商模式”配置項處,選擇IKE協商模式:
¡ 主模式:協商步驟多,身份驗證位於密鑰交互過程之後進行,適用於對身份保護要求較高的場合。
¡ 野蠻模式:協商步驟少,身份驗證與密鑰交互同時進行,適用於對身份保護要求不高的場合。
當IKE版本為V1時,可配置此參數。若設備公網IP地址是動態分配的,建議您選擇IKE協商模式為野蠻模式。
(6) 在“本端身份類型”配置項處,配置用於IKE認證的本端設備身份類型和身份標識。身份類型可選擇IP地址、FQDN名稱或user FQDN名稱。需要注意的是,此項必須與分支節點設備上配置的對端身份類型和身份標識一致。
如果您執行步驟(5)選擇的IKE協商模式為主模式,您需要將本端設備身份類型配置為IP地址。
(7) 在“對等體存活檢測(DPD)”配置項處,選擇是否開啟對等體存活檢測功能。該功能可用於檢測對端是否存活,設備將拆除對端失活的IPsec隧道。建議您開啟此功能,使設備能夠及時獲悉IPsec隧道的可用情況。
(8) 在“算法組合”配置項處,選擇IKE協議交互所需的加密和認證算法。如果選擇“推薦”選項,需要選擇推薦的算法組合;如果選擇“自定義”選項,需要設置自定義的認證算法、加密算法和PFS算法。
IPsec隧道的兩端所配置的認證算法、加密算法和PFS算法必須一致。
(9) 在“SA生存時間”配置項處,輸入IKE重新協商的時間間隔,超過所配時間將觸發IKE相關參數的重新協商。建議SA生存時間設置不低於600秒。
如您需要改變設備的缺省IPsec高級配置,可按如下方式進行配置。
(1) 按上述方式完成IPsec基本配置。
(2) 單擊“IPsec配置”頁簽,進入IPsec配置頁麵。
(3) 在“算法組合”配置項處,選擇IPsec協議交互使用的安全協議以及相應的加密和認證算法。如果選擇“推薦”選項,需要選擇推薦的算法組合;如果選擇“自定義”選項,需要設置自定義的安全協議、ESP認證算法和ESP加密算法。
IPsec隧道的兩端所配置的安全協議、ESP認證算法和ESP加密算法必須一致。
(4) 在“封裝模式”配置項處,選擇IPsec隧道的封裝模式。
若IPsec本端受保護網段與對端受保護網段均為私網網段,建議您選擇封裝模式為隧道模式。
IPsec隧道的兩端所配置的封裝模式必須一致。
(5) 在“PFS”配置項處,選擇IPsec隧道的PFS算法。
IPsec隧道的兩端所配置的PFS算法必須一致。
(6) 在“基於時間的SA生存時間”配置項處,輸入觸發IPsec重新協商的時間間隔,超過所配時間將觸發IPsec相關參數的重新協商。
(7) 在“基於流量的生存時間”配置項處,輸入觸發IPsec重新協商的流量大小,超過所配流量將觸發IPsec相關參數的重新協商。
(8) 在“觸發模式”配置項處,選擇觸發IPsec重新協商的模式。
(9) 點擊<返回基本配置>按鈕,返回添加IPsec策略頁麵。
(10) 點擊<確定>按鈕,完成配置。
(1) 單擊導航樹中[虛擬專網(VPN)/IPsec VPN]菜單項,進入IPsec VPN配置頁麵。
(2) 單擊“監控信息”頁簽,進入監控信息頁麵。
本功能主要用於配置L2TP服務器端基本參數,開啟L2TP服務。
如果您希望為企業駐外機構和出差人員等遠端用戶,提供一種安全且經濟的方式,讓他們能夠與企業內部網絡通信,訪問企業內部網絡資源,那麼您可以通過配置L2TP服務器端來實現上述需求。
L2TP服務器端是具有PPP和L2TP協議處理能力的設備,通常位於企業內部網絡的邊緣。
(1) 單擊導航樹中[虛擬專網(VPN)/L2TP服務器端]菜單項,進入L2TP服務器端頁麵。
(2) 單擊“L2TP配置”頁簽,進入L2TP配置頁麵。
(3) 選擇“啟用L2TP服務器”選項,點擊<確定>按鈕,開啟L2TP服務。
(4) 點擊<添加>按鈕,彈出新建L2TP組對話框。
(5) 在“L2TP配置”下,設置L2TP隧道參數:
¡ 根據需要決定是否勾選“對端隧道名稱”,如勾選,則在配置項處輸入L2TP客戶端的隧道名稱。
¡ 在“本端隧道名稱”配置項處,輸入L2TP服務器端的隧道名稱。
¡ 在“隧道驗證”配置項處,根據實際需要選擇“啟用”或“禁用”。
- 如選擇“啟用”,則需在“隧道驗證密碼”配置項處,輸入驗證密碼。該方式更加安全,但需要L2TP服務器端和L2TP客戶端都啟用隧道驗證,且密碼一致。
- 如選擇“禁用”,則表示L2TP服務器端和L2TP客戶端在建立隧道時無需驗證。
(6) 在“PPP認證配置”下的“PPP認證方式”配置項處,根據需要選擇認證方式為“None”、“PAP”或“CHAP”。
¡ 如選擇“None”,則表示對用戶免認證。該方式,安全性最低,請謹慎使用。
¡ 如選擇“PAP”,則表示采用兩次握手機製對用戶進行認證。該方式,安全性中。
¡ 如選擇“CHAP”,則表示采用三次握手機製對用戶進行認證。該方式,安全性最高。
(7) 在“PPP地址配置”下,設置PPP地址參數:
¡ 在“虛擬模板接口地址”配置項處,輸入虛擬模板接口的IP地址,使L2TP服務器端具有為L2TP客戶端或用戶分配IP地址的能力。
¡ 在“子網掩碼”配置項處,輸入虛擬模板接口IP地址的子網掩碼。
¡ 在“DNS1”配置項處,輸入用於分配給L2TP客戶端或用戶的主DNS。
¡ 在“DNS2”配置項處。輸入用於分配給L2TP客戶端或用戶的備用DNS。DNS1與DNS2不能相同。
¡ 在“用戶地址池”配置項處,輸入用於分配給L2TP客戶端或用戶的IP地址。用戶地址池中不能包含已配置的虛擬模板接口地址。
(8) 點擊<顯示高級設置>按鈕,展開高級配置頁麵。
(9) 在“高級配置”下的“Hello報文間隔”配置項處,輸入保活報文的時間間隔。為了檢測LAC和LNS之間隧道的連通性,LAC和LNS會定期向對端發送Hello報文,接收方接收到Hello報文後會進行響應。當LAC或LNS在指定時間間隔內未收到對端的Hello響應報文時,重複發送,如果重複發送5次仍沒有收到對端的響應信息則認為L2TP隧道已經斷開,需要重新建立隧道連接;LNS端可以配置與LAC端不同的Hello報文間隔;缺省情況下,Hello報文間隔為60秒。
(10) 點擊<確定>按鈕,完成配置。
(1) 單擊導航樹中[虛擬專網(VPN)/L2TP服務器端]菜單項,進入L2TP服務器端頁麵。
(2) 單擊“隧道信息”頁簽,進入隧道信息頁麵。
(1) 單擊導航樹中[虛擬專網(VPN)/L2TP服務器端]菜單項,進入L2TP服務器端頁麵。
(2) 單擊“L2TP用戶”頁簽,進入L2TP用戶配置頁麵。
(3) 如果需要添加單個L2TP用戶,請執行以下步驟:
a. 點擊<添加>按鈕,彈出添加用戶對話框。
b. 在“賬號名”配置項處,輸入用戶的賬號名。
c. 在“狀態”配置項處,選擇用戶的狀態是否可用。
d. 在“密碼”配置項處,輸入用戶賬號的密碼。
e. 在“最大用戶數”配置項處,輸入用戶的最大連接數。
f. 在“有效日期”配置項處,選擇是否配置用戶權限的到期日期。如果選擇“配置”選項,則需在日期選擇框中選擇用戶權限的到期日期。
g. 點擊<確定>按鈕,完成配置。
(4) 如果需要批量添加L2TP用戶,請執行以下步驟:
a. 點擊<導出>按鈕,下載導出模板。
b. 打開下載好的模板,添加L2TP用戶並在本地保存。
c. 點擊<導入>按鈕,彈出導入L2TP用戶列表對話框。
d. 點擊<選擇文件>按鈕,選擇已編輯好的模板。
e. 點擊<確定>按鈕,完成L2TP用戶的批量添加
本功能主要用於配置L2TP客戶端基本參數,開啟L2TP服務。
如果您希望為企業駐外機構,提供一種安全且經濟的方式,讓他們能夠與企業內部網絡通信,訪問企業內部網絡資源,那麼您可以通過配置L2TP客戶端來實現上述需求。
L2TP客戶端是具有PPP和L2TP協議處理能力的設備,通常位於企業駐外機構網絡的出口。
(1) 單擊導航樹中[虛擬專網(VPN)/L2TP客戶端]菜單項,進入L2TP客戶端頁麵。
(2) 單擊“L2TP配置”頁簽,進入L2TP配置頁麵。
(3) 在“L2TP客戶端”配置項處,選擇“啟用L2TP客戶端”選項,點擊<確定>按鈕,開啟L2TP服務。
(4) 點擊<添加>按鈕,彈出新建L2TP組對話框。
(5) 在“L2TP配置”下,設置L2TP隧道參數:
¡ 在“本端隧道名稱”配置項處,輸入L2TP客戶端的隧道名稱。
¡ 在“地址獲取方式”配置項處,選擇LAC會話建立成功後PPP接口的IP地址獲取方式,若選擇“靜態”選項,則需輸入LAC端手工設置一個IP地址(由遠端的LNS管理員分配);若選擇“動態”選項,則PPP接口的IP地址由LNS分配。
¡ 在“隧道驗證”配置項處,根據實際需要選擇“啟用”或“禁用”。
- 如選擇“啟用”,則需在“隧道驗證密碼”配置項處,輸入驗證密碼。該方式更加安全,但需要L2TP服務器端和L2TP客戶端都啟用隧道驗證,且密碼一致。
- 如選擇“禁用”,則表示L2TP服務器端和L2TP客戶端在建立隧道時無需驗證。
(6) 在“PPP認證配置”下的“PPP認證方式”配置項處,根據需要選擇認證方式為“None”、“PAP”或“CHAP”。
¡ 如選擇“None”,則表示對用戶免認證。該方式,安全性最低,請謹慎使用。
¡ 如選擇“PAP”,則表示采用兩次握手機製對用戶進行認證。該方式,安全性中。需輸入用戶名和密碼。
¡ 如選擇“CHAP”,則表示采用三次握手機製對用戶進行認證。該方式,安全性最高。需輸入用戶名和密碼。
(7) 在“PPP認證配置”下的“NAT地址轉換”配置項處,根據需要選擇“啟用”或“未啟用”。
¡ 如選擇“啟用”,則L2TP服務器端不需配置到達客戶端的路由。
¡ 如選擇“未啟用”,則L2TP服務器端需配置到達客戶端的路由,L2TP客戶端才能正常訪問服務端資源。
(8) 在“L2TP服務器端配置”下的“L2TP服務器端地址”配置項處,輸入L2TP服務器端的IP地址或域名。
(9) 在“高級配置”下的“Hello報文間隔”配置項處,輸入保活報文的時間間隔。為了檢測LAC和LNS之間隧道的連通性,LAC和LNS會定期向對端發送Hello報文,接收方接收到Hello報文後會進行響應。當LAC或LNS在指定時間間隔內未收到對端的Hello響應報文時,重複發送,如果重複發送6次仍沒有收到對端的響應信息則認為L2TP隧道已經斷開,需要重新建立隧道連接;LNS端可以配置與LAC端不同的Hello報文間隔;缺省情況下,Hello報文間隔為60秒。
(10) 點擊<確定>按鈕,完成配置。
(1) 單擊導航樹中[虛擬專網(VPN)/L2TP客戶端]菜單項,進入L2TP客戶端頁麵。
(2) 單擊“隧道信息”頁簽,進入隧道信息頁麵。
當用戶希望通過固定的域名訪問設備提供的服務時,可以在設備提供服務的WAN接口上配置DDNS服務。配置步驟如下:
|
步驟 |
配置內容 |
詳情 |
|
1 |
注冊域名(必選) |
在DDNS服務器(即DDNS服務提供商,如花生殼網站)上注冊域名。 |
|
2 |
配置DDNS服務(必選) |
將在DDNS服務器上注冊的域名與設備上的提供服務的WAN接口進行綁定,具體配置方法請見參見配置動態DNS。 |
為特定目的IP地址的報文指定出接口,可根據如下步驟配置靜態路由來實現。
|
步驟 |
配置內容 |
詳情 |
|
1 |
添加VLAN(可選) |
在路由器上添加用於互訪的VLAN,並將對應的LAN口劃分VLAN,具體配置方法請見參見配置VLAN。 |
|
2 |
添加靜態路由(必選) |
為主機所在子網添加靜態路由,具體配置方法請見參見靜態路由。 |
當網絡管理員需要在某個時間段將局域網指定的主機的上網流量從指定的WAN口發送出去時,可以通過定製策略路由來實現,配置步驟如下:
|
步驟 |
配置內容 |
詳情 |
|
1 |
添加時間組(必選) |
設定策略路由實現的時間段,具體配置方法請見參見時間組。 |
|
2 |
添加定策略路由(必選) |
根據實際需要添加策略路由,具體配置方法請見參見策略路由。 |
如需使用NMS對路由器進行監控管理,則需配置SNMP,配置步驟如下:
|
步驟 |
配置內容 |
詳情 |
|
1 |
連接NMS(必選) |
將路由器的LAN口連接網絡網管NMS。 |
|
2 |
配置SNMP基本配置(必選) |
選擇SNMP版本,並配置SNMP基本配置,具體配置方法請見參見基本配置。 |
|
3 |
添加團體名(可選) |
當選擇SNMP版本為SNMPv1或SNMPv2c版本時,可根據需要添加SNMP的團體名,具體配置方法請見參見團體名設置。 |
|
4 |
添加用戶名(可選) |
當選擇SNMP版本為SNMPv3時,可根據需要添加SNMP的用戶名,具體配置方法請見參見用戶設置。 |
|
5 |
配置NMS的SNMP設置(必選) |
在NMS中配置使用的SNMP版本、團體名等,需確保與路由器上的SNMP配置一致。 |
應用服務提供對DNS的配置功能,DNS(Domain Name System,域名係統)是一種用於TCP/IP應用程序的分布式數據庫,提供域名與IP地址之間的轉換。主要包括:靜態DNS、動態DNS、本地域名服務和終端自動訪問Web服務。
“域名”、“本地域名地址”、“服務器地址”和“終端自動訪問地址”的設置規則如下:
· “域名”和“服務器地址”長度為1-253個字符;“本地域名地址”長度為1-250個字符;“終端自動訪問地址”長度為1-259個字符。
· “域名”、“本地域名地址”和“服務器地址”隻能包含字母,數字,符號-,以及符號.。
· “域名”、“本地域名地址”和“服務器地址”不能以符號.或者符號-開頭和結尾,不能連續使用兩個以及上的符號.或者符號-。
· “域名”、“本地域名地址”和“服務器地址”中必須包含符號.,且最後一個符號.後麵的字符不能為全數字。
· “終端自動訪問地址”不支持中文字符和空格。
靜態DNS就是手工建立域名和IP地址之間的對應關係。當您使用域名訪問設備提供的服務(Web、Mail或者FTP等服務)時,係統會查找靜態DNS解析表,從中獲取指定域名對應的IP地址。
(1) 單擊導航樹中[高級選項/應用服務]菜單項,進入應用服務配置頁麵。
(2) 單擊“靜態DNS”頁簽,進入靜態DNS配置頁麵。
(3) 點擊<添加>按鈕,彈出新建靜態DNS對話框。
(4) 在“域名”配置項處,輸入網絡設備的域名。
(5) 在“IP地址”配置項處,輸入網絡設備的IP地址。
(6) 點擊<確定>按鈕,完成設置。
如果您通過設備的WAN接口來提供Web、Mail或者FTP等服務,且希望在設備WAN接口的IP發生變化的情況下(如寬帶撥號方式下),用戶仍然能夠通過固定的域名訪問設備提供的服務,那麼需要在設備上的提供Web、Mail或者FTP等服務的WAN接口上配置DDNS(Dynamic Domain Name System,動態域名係統)服務。
使用DDNS服務之前,需要提前在DDNS服務器(即DDNS服務提供商,如花生殼網站)上注冊。之後,當設備WAN接口的IP地址變化時,設備會自動通知DDNS服務器更新記錄的IP地址和固定域名的映射關係。
設備向DDNS服務器申請域名時,請保證WAN接口地址為公網IP地址。
請提前在動態域名服務提供商(如花生殼網站)處注冊賬戶,設置密碼。
(1) 單擊導航樹中[高級選項/應用服務]菜單項,進入應用服務配置頁麵。
(2) 單擊“動態DNS”頁簽,進入動態DNS配置頁麵。
(3) 點擊<添加>按鈕,彈出新建動態DNS策略對話框。
(4) 在“WAN接口”配置項處,選擇設備上的提供Web、Mail或者FTP等服務的WAN接口。
(5) 在“域名”配置項處,輸入設備的域名。
(6) 在“服務器配置”下,設置動態DNS服務器參數:
¡ 服務提供商:選擇服務提供商,如花生殼等。
¡ 服務器地址:服務提供商的服務器地址。如果服務器地址與缺省情況不同,勾選“修改服務器地址”後進行修改。
¡ 更新間隔:設置設備向服務器發送更新請求的時間間隔。如果配置時間間隔為0,設備隻在WAN接口IP地址發生變化或者接口連接由down變為up時發送更新請求。
(7) 在“賬戶配置”下,輸入在服務提供商處注冊的用戶名和密碼。
(8) 點擊<確定>按鈕,完成設置。
內網終端可以通過本地域名地址訪問設備的Web管理頁麵。
設置的本地域名地址不能與互聯網中已注冊的域名重複。
(1) 單擊導航樹中[高級選項/應用服務]菜單項,進入應用服務配置頁麵。
(2) 單擊“本地域名服務”頁簽,進入本地域名服務頁麵。
(3) 在“本地域名服務”配置項處,選擇“開啟”選項,開啟本地域名服務功能。
(4) 在“本地域名地址”配置項處,輸入本地域名的地址。
(5) 點擊<應用>按鈕,完成配置。
內網終端在連接無線熱點時可以自動跳轉設置的終端自動訪問地址,該地址既可以是內網服務器的IP地址或者域名,也可以是公網的IP地址或者域名。
· 當配置訪問地址為域名時,請確保域名能夠正確解析為IP地址,否則可能會導致無法正常跳轉。
· 此功能通常用於跳轉至內部服務器地址,不建議配置公網地址,某些公網網站(例如百度,淘寶等)無法正常使用該功能。
(1) 單擊導航樹中[高級選項/應用服務]菜單項,進入應用服務配置頁麵。
(2) 單擊“終端自動訪問Web服務”頁簽,進入終端自動訪問Web服務頁麵。
(3) 在“終端自動訪問Web服務”配置項處,選擇“開啟”選項,開啟終端自動訪問Web服務功能。
(4) 在“終端自動訪問地址”配置項處,輸入內網終端用於自動跳轉的Web頁麵的域名或者IP地址。
(5) 點擊<應用>按鈕,完成配置。
UPnP(Universal Plug and Play,通用即插即用)功能是針對設備彼此間通訊而定製的一組協議的統稱。設備作為UPnP網關,主要功能是完成端口自動映射,UPnP實現端口自動映射需要滿足三個條件:
· 設備必須開啟UPnP功能;
· 內網主機的操作係統必須支持並開啟UPnP功能;
· 應用程序必須支持並開啟UPnP功能,如迅雷、BitComet、電騾eMule、MSN等軟件都支持UPnP功能。
設備開啟UPnP功能後,可以為支持該功能的應用程序自動添加端口映射,加速點對點的傳輸,還可以解決一些傳統業務(比如,MSN)不能穿越NAT的問題。但開啟UPnP功能也會為支持該功能的非法應用程序建立映射,存在安全隱患。
如果您的操作係統或者應用程序不支持UPnP功能,可通過配置虛擬服務器或端口觸發,手工配置完成端口映射的配置,其效果是一樣的。
UPnP映射失敗的原因很多,比如:
· 係統服務中禁止了SSDP服務(用於尋找UPnP設備),需要在係統服務中開啟該服務。
· 開啟了操作係統下的SP1的網絡連接防火牆。操作係統的網絡連接防火牆與UPnP設備發現有衝突,SP2修複了這個問題,但是仍然需要在防火牆設置中允許例外:UPnP框架。
· 應用軟件或設備不支持UPnP功能。
(1) 單擊導航樹中[高級選項/UPnP]菜單項,進入UPnP頁麵。
(2) 選擇“開啟UPnP”選項,開啟UPnP功能。
(3) 點擊<應用>按鈕,完成設置。
· 靜態路由是在路由器中通過手工方式設置的固定路由條目。當您的網絡結構比較簡單且比較穩定時,通過配置靜態路由就可以實現網絡互通。例如,當您知道網絡的出接口,以及網關的IP地址時,設置靜態路由即可實現正常通信。
· 當去往同一目的地存在多條靜態路由時,如果您希望優先選用某條靜態路由,可以調整靜態路由的優先級。優先級的值越小,對應的靜態路由的優先級越高。
當靜態路由中下一跳對應的接口失效時,本地的靜態路由條目不會被刪除,這種情況下需要您檢查網絡環境,然後修改靜態路由的配置。
(1) 單擊導航樹中[高級選項/靜態路由]菜單項,進入靜態路由配置頁麵。
(2) 點擊<添加>按鈕,彈出添加IPv4靜態路由對話框。
(3) 在“目的IP地址”配置項處,輸入設備要訪問的目的網絡的IP地址。
(4) 在“掩碼長度”配置項處,輸入目的網絡的掩碼長度。
(5) 在“下一跳”配置項處,設置去往目的網絡的出接口和下一跳IP地址。
¡ 選擇出接口。當您不確定出接口時,可以不勾選“出接口”選項。通過設置下一跳IP地址,設備可以自己選擇合適的出接口。
¡ 設置下一跳IP地址。
(6) 在“優先級”配置項處,輸入靜態路由的優先級。
(7) 在“描述”配置項處,輸入靜態路由的描述信息。
(8) 點擊<確定>按鈕,完成靜態路由的添加。
(9) 點擊“查看路由信息表”按鈕,查看設備的路由信息。
與單純按照IP報文的目的地址查找路由表進行轉發不同,策略路由是一種依據用戶製定的策略進行路由轉發的機製。策略路由可以對於滿足一定條件(源地址和目的地址等)的報文,執行指定的操作(設置報文的下一跳和出接口等)。策略路由的匹配條件比普通路由更豐富,當需要按照報文的某些特征(如報文源地址和目的地址等)轉發到不同的網絡中時,可以配置策略路由功能。
策略路由的優先級會按照配置順序生效,即先配置的策略路由優先級高於後配置的策略路由。
策略路由的優先級可以自定義配置,取值越小優先級越高。
(1) 單擊導航樹中[高級選項/策略路由]菜單項,進入策略路由配置頁麵。
(2) 點擊<添加>按鈕,彈出新增策略路由列表對話框。
(3) 設置策略路由的匹配規則參數:
¡ 在“接口”配置項處,選擇策略路由適用的接口。
¡ 在“協議類型”配置項處,選擇匹配的協議類型,如果選擇了“協議號”,則需要輸入具體的協議編號。
如果協議類型指定為“TCP”或“UDP”,則需要設置匹配報文的源端口和目的端口。
¡ 在“源IP地址段”和“目的IP地址段”配置項處,設置匹配報文的源IP地址範圍和目的IP地址範圍。輸入地址段時,起始地址和結束地址間需要用短橫線連接,如“1.1.1.1-1.1.1.2”,如果隻指定一個地址,則起始地址和結束地址需要相同。如果在輸入地址段或者地址前添加“!”,則表示取反,即除此地址段或者地址外的其它的地址都匹配,如“!1.1.1.1-1.1.1.10”。
¡ 在“源端口”和“目的端口”配置項處,設置匹配報文的源端口和目的端口。如果在輸入端口號前添加“!”,則表示取反,即除此端口號外的其它的端口都匹配,如“!1-5000”。
¡ 在“生效時間”配置項處,設置匹配規則的時間組。
¡ 在“優先級”配置項處,設置策略路由的優先級。如果選擇“自定義”選項,則需設置具體的優先級。
¡ 在“出接口”配置項處,設置匹配規則的報文通過指定出接口轉發。
¡ 在“強製”配置項處,可以使策略路由在WAN口的端口狀態為外網未連通時強製生效。配置該參數時,可根據需要進行選擇:
- 若選擇“強製”選項,當WAN口的端口狀態為外網未連通時,則當前策略路由仍然會生效,轉發數據。
- 若未選擇“強製”選項,當WAN口的端口狀態為外網未連通時,則當前條策略路由不會生效。
¡ 在“是否啟用”配置項處,設置策略路由是否啟用。
¡ 在“描述”配置項處,輸入策略路由的描述信息,當某些策略用於特殊用途時,管理員可以配置描述信息,方便後續查詢使用。
(4) 點擊<確定>按鈕,完成配置。
SNMP(Simple Network Management Protocol,簡單網絡管理協議)廣泛用於網絡設備的遠程管理和操作。SNMP允許管理員通過NMS對網絡上不同廠商、不同物理特性、采用不同互聯技術的設備進行管理,包括狀態監控、數據采集和故障處理。
SNMP網絡架構由三部分組成:NMS、Agent和MIB。
· NMS(Network Management System,網絡管理係統)是SNMP網絡的管理者,能夠提供友好的人機交互界麵,來獲取、設置Agent上參數的值,方便網絡管理員完成大多數的網絡管理工作。
· Agent是SNMP網絡的被管理者,負責接收、處理來自NMS的SNMP報文。在某些情況下,如接口狀態發生改變時,Agent也會主動向NMS發送告警信息。
· MIB(Management Information Base,管理信息庫)是被管理對象的集合。NMS管理設備的時候,通常會關注設備的一些參數,比如接口狀態、CPU利用率等,這些參數就是被管理對象,在MIB中稱為節點。每個Agent都有自己的MIB。MIB定義了節點之間的層次關係以及對象的一係列屬性,比如對象的名稱、訪問權限和數據類型等。被管理設備都有自己的MIB文件,在NMS上編譯這些MIB文件,就能生成該設備的MIB。NMS根據訪問權限對MIB節點進行讀/寫操作,從而實現對Agent的管理。
設備支持SNMPv1、SNMPv2c和SNMPv3三種版本,隻有NMS和Agent使用的SNMP版本相同時,NMS才能和Agent建立連接。
· SNMPv1采用團體名(Community Name)認證機製。團體名類似於密碼,用來限製NMS和Agent之間的通信。如果NMS配置的團體名和被管理設備上配置的團體名不同,則NMS和Agent不能建立SNMP連接,從而導致NMS無法訪問Agent,Agent發送的告警信息也會被NMS丟棄。
· SNMPv2c也采用團體名認證機製。SNMPv2c對SNMPv1的功能進行了擴展:提供了更多的操作類型;支持更多的數據類型;提供了更豐富的錯誤代碼,能夠更細致地區分錯誤。
· SNMPv3采用USM(User-Based Security Model,基於用戶的安全模型)認證機製。網絡管理員可以配置認證和加密功能。認證用於驗證報文發送方的合法性,避免非法用戶的訪問;加密則是對NMS和Agent之間的傳輸報文進行加密,以免被竊聽。采用認證和加密功能可以為NMS和Agent之間的通信提供更高的安全性。
(1) 單擊導航樹中[高級選項/SNMP]菜單項,進入基本配置頁麵。
(2) 根據需要設置如下SNMP基本配置:
¡ 在“SNMP”配置項處,選擇“開啟”選項,開啟SNMP Agent功能。
¡ 在“SNMP版本”配置項處,勾選SNMP版本的版本。隻有選擇了相應的SNMP版本,設備才會處理對應版本的SNMP數據報文。
¡ 在“聯係信息”配置項處,輸入維護聯係信息。聯係信息長度為1-255個字符,不能為中文,不能為全空格。
¡ 在“設備位置”配置項處,輸入設備的位置信息。設備位置長度為1-255個字符,不能為中文,不能為全空格。
¡ 在“本地引擎ID”配置項處,輸入設備的本地引擎ID信息。ID信息為10-64位、16進製格式的字符,隻支持輸入0-9、a-f和A-F字符,且字符數量必須為偶數。
¡ 在“SNMP信任主機IPv4地址”配置項處,輸入SNMP Agent信任的NMS IP地址,即允許指定的NMS對SNMP Agent進行訪問。若不設置該項,即不對NMS進行限製。
¡ 在“NMS主監控接口”配置項處,選擇NMS(網絡管理工作站)管理本設備所用的主接口。
¡ 在“NMS輔監控接口”配置項處,選擇NMS(網絡管理工作站)管理本設備所用的備接口,當設備設置為單WAN口時,不支持該設置。
(3) 根據需要設置如下TRAP配置:
¡ 在“TRAP功能”配置項處,選擇“開啟”選項,開啟SNMP TRAP功能。
¡ 在“目的地址”配置項處,輸入接收TRAP消息的主機地址或域名地址。
¡ 在“UDP端口”配置項處,輸入接收TRAP消息的UDP端口號。
¡ 在“安全名”配置項處,輸入安全名稱,可以是SNMPv1、SNMPv2c的團體名或SNMPv3的用戶名。
¡ 在“安全模式”配置項處,選擇安全名對應的SNMP Agent版本號。
(4) 點擊<應用>按鈕,完成設置。
團體名設置隻支持SNMPv1、SNMPv2c版本。
(1) 單擊“團體名設置”頁簽,進入團體名設置頁麵。
(2) 在列表的最下方輸入團體名,選擇訪問權限後,點擊操作列的<+>按鈕,完成團體名的添加。
(3) 點擊團體名對應的操作列<修改>按鈕,可以修改團體名及其訪問權限。
(4) 點擊團體名對應的操作列<刪除>按鈕,可以刪除團體名
(5) 點擊<應用>按鈕,完成設置。
用戶設置隻支持SNMPv3版本,用於添加SNMPv3版本的用戶名。
(1) 單擊“用戶設置”頁簽,進入用戶設置頁麵。
(2) 點擊<添加>按鈕,彈出添加用戶對話框。
(3) 根據需要配置如下參數:
¡ 在“用戶名”配置項處,輸入用戶名。
¡ 在“認證模式”配置項處,選擇認證算法,選項包括MD5、SHA和None。如果選擇None,則表示不認證。
¡ 在“認證密碼”配置項處,輸入認證的密碼。當認證模式設置為MD5或SHA時,需要配置此參數。密碼長度為1-64個字符,隻能包含英文字母[a-z,A-Z]、數字,以及~!@#$%^&*()_+`-={}|[]:'<>?,./字符;區分大小寫。
¡ 在“認證密碼確認”配置項處,再次輸入在“認證密碼”配置項處設置的密碼。
¡ 在“加密模式”配置項處,選擇加密模式,選項包括DES56和None。如果選擇None,則表示不加密。
¡ 在“加密密碼”配置項處,輸入加密的密碼。當加密模式設置為DES56時,需要配置此參數。密碼長度為1-64個字符,隻能包含英文字母[a-z,A-Z]、數字,以及~!@#$%^&*()_+`-={}|[]:'<>?,./字符;區分大小寫。
¡ 在“加密密碼確認”配置項處,再次輸入在“加密密碼”配置項處設置的密碼。
(4) 點擊<確定>按鈕,完成添加。
通過本功能可以設置設備信息和係統時間。設備信息包括設備名稱、設備位置和設備管理員的聯係信息,方便管理員管理和定位設備。係統時間包括日期、時間和時區等。為了便於管理設備,並保證本設備與其它網絡設備協同工作,您需要為設備配置準確的係統時間。
係統時間的獲取方式有兩種:
· 手工設置日期和時間。該方式下,用戶手工指定的日期和時間即為當前的係統時間。後續,設備使用內部時鍾信號計時。如果設備重啟,係統時間將恢複到出廠時間。
· 自動同步網絡日期和時間。該方式下,設備使用從NTP服務器獲取的時間作為當前的係統時間,並周期性地同步NTP服務器的時間,以便和NTP服務器的係統時間保持一致。即便本設備重啟,設備也會迅速重新同步NTP服務器的係統時間。如果您管理的網絡中有NTP服務器,推薦使用該方式,該方式獲取的時間比手工配置的時間更精準。
(1) 單擊導航樹中[係統工具/係統設置]菜單項,進入係統設置配置頁麵。
(2) 單擊“設備信息”頁簽,進入設備信息配置頁麵。
(3) 在“設備名稱”配置項處,輸入設備名稱,例如以“設備型號”為設備名稱。設備名稱為1-64個字符,隻支持數字、字母、下劃線、中劃線和空格,不能為中文,不能為全空格。
(4) 在“設備位置”配置項處,輸入設備的位置信息。設備位置長度為1-255個字符,不能為中文。
(5) 在“聯係信息”配置項處,輸入設備管理員的聯係信息。聯係信息長度為1-255個字符,不能為中文。
(6) 點擊<應用>按鈕,完成配置。
了解設備所處的時區。全球分為24個時區,請將設備的時區配置為設備所在地理區域的時區。例如,設備在中國,請選擇“北京,重慶,香港特別行政區,烏魯木齊(GMT+08:00)”;如果設備位於美國,請選擇“中部時間(美國和加拿大)(GMT-06:00)”。
如果設備重啟,係統時間將恢複到出廠時間。
(1) 單擊導航樹中[係統工具/係統設置]菜單項,進入係統設置配置頁麵。
(2) 單擊“日期和時間”頁簽,進入係統時間配置頁麵。
(3) 選擇“手工設置日期和時間”選項。
(4) 將係統時間配置為設備所在地理區域的當前時間。
a. 選擇年月日。
b. 選擇時分秒。
(5) 將時區配置為設備所在地理區域的時區。
(6) 點擊<應用>按鈕,完成配置。
了解設備所處的時區。全球分為24個時區,請將設備的時區配置為設備所在地理區域的時區。例如,設備在中國,請選擇“北京,重慶,香港特別行政區,烏魯木齊(GMT+08:00)”;如果設備位於美國,請選擇“中部時間(美國和加拿大)(GMT-06:00)”。
設備和NTP服務器上配置的時區必須相同,否則,會導致設備的係統時間和NTP服務器的係統時間不一致。
(1) 單擊導航樹中[係統工具/係統設置]菜單項,進入係統設置配置頁麵。
(2) 單擊“日期和時間”頁簽,進入係統時間配置頁麵。
(3) 選擇“自動同步網絡日期和時間”選項。
(4) 在“NTP服務器1”配置項處,輸入NTP服務器1的IP地址或者域名地址。
(5) 在“NTP服務器2”配置項處,輸入NTP服務器2的IP地址或者域名地址。設備會自動從NTP服務器1和NTP服務器2中擇優選取一台服務器的係統時間作為設備的係統時間。如果這台優選的服務器故障,則自動使用另一台NTP服務器的係統時間作為設備的係統時間。如果NTP服務器均故障,設備將使用內部時鍾信號繼續計時,待NTP服務器恢複後,再同步NTP服務器的時間。
(6) 點擊“缺省NTP服務器列表”鏈接,彈出缺省NTP服務器對話框,查看設備內置的NTP服務器信息,點擊<關閉>按鈕,關閉對話框。
(7) 將時區配置為設備所在地理區域的時區。
(8) 點擊<應用>按鈕,完成配置。
通過本功能可以對網絡故障進行診斷,包括如下功能:
· Ping:用於檢測網絡,測試另一台設備或主機是否可達。
· Tracert:用於檢查從設備到達目標主機所經過的路由情況。
· 係統自檢:用於檢查設備當前的運行和配置情況進行,反饋設備配置是否合理及設備運行是否正常等信息。
· 診斷:診斷信息為各功能模塊的運行信息,用於定位問題。設備會將該信息以壓縮文件的形式自動保存到您的終端設備。
· 端口鏡像:用於將被鏡像端口的報文自動複製到鏡像端口,實時提供各端口傳輸狀況的詳細信息,方便網絡管理人員進行流量監控、性能分析和故障診斷。
· 抓包工具:用於抓取網絡數據報文,以便更有效地分析網絡故障。抓包完成後,會自動導出抓取的文件“capture-******.pcap”供用戶保存到本地。
(1) 單擊導航樹中[係統工具/網絡診斷]菜單項,進入網絡診斷頁麵。
(2) 單擊“Ping”頁簽,進入Ping通信測試頁麵。
(3) 在“目標IP地址或者主機名”配置項處,輸入需要Ping的目標IP地址或者主機名。不支持輸入\ ' " < > ; & ` #字符以及中文字符和空格。
(4) 在“選擇出接口”配置項處,選擇去往目標IP地址或者主機名的設備接口。當選擇“AUTO”時,表示設備自動選擇某一接口轉發Ping報文。
(5) 在“源IP地址”配置項處,選擇Ping操作的源IP地址。當選擇“AUTO”時,表示設備自動選擇Ping操作的源IP地址;當選擇“源IP地址”時,需手動輸入Ping操作的源IP地址。
(6) 點擊<開始>按鈕,係統開始進行檢測。檢測的過程和結果顯示在當前頁麵,說明網絡發包的測試情況和與測試主機的往返平均時延。
(1) 單擊導航樹中[係統工具/網絡診斷]菜單項,進入網絡診斷頁麵。
(2) 單擊“Tracert”頁簽,進入Tracert通信測試頁麵。
(3) 在“目標IP地址或者主機名”配置項處,輸入需要路由跟蹤的目標IP地址或者主機名。
(4) 在“選擇出接口”配置項處,選擇去往目標IP地址或者主機名的設備接口。當選擇“AUTO”時,表示設備自動選擇某一接口轉發Tracert報文。
(5) 在“源地址”配置項處,選擇Tracert操作的源IP地址。當選擇“AUTO”時,表示設備自動選擇Tracert操作的源IP地址;當選擇“源IP地址”時,需手動輸入Tracert操作的源IP地址
(6) 點擊<開始>按鈕,係統開始進行檢測。檢測的過程和結果顯示在當前頁麵。
(1) 單擊導航樹中[係統工具/網絡診斷]菜單項,進入網絡診斷頁麵。
(2) 單擊“診斷”頁簽,進入搜集網絡診斷信息頁麵。
(3) 點擊<搜集診斷信息>按鈕,係統開始收集診斷信息。
(1) 單擊導航樹中[係統工具/網絡診斷]菜單項,進入網絡診斷頁麵。
(2) 單擊“係統自檢”頁簽,進入係統自檢頁麵。
(3) 點擊<自檢>按鈕,頁麵將會顯示係統自檢結果。
(1) 單擊導航樹中[係統工具/網絡診斷]菜單項,進入網絡診斷頁麵。
(2) 單擊“端口鏡像”頁簽,進入端口鏡像頁麵。
(3) 在“源端口”配置項處,選擇鏡像的源端口,即被監測的端口。
(4) 在“方向”配置項處,選擇鏡像的方向。
¡ 若選擇“入方向”,表示僅複製源端口收到的報文。
¡ 若選擇“出方向”,表示僅複製源端口發出的報文。
¡ 若選擇“雙方向”,表示對源端口收到和發出的報文都進行複製。
(5) 在“目的端口”配置項處,選擇鏡像的目的端口,即與數據監測設備相連的端口。
(6) 點擊<確定>按鈕,係統開始端口鏡像。
(1) 單擊導航樹中[係統工具/網絡診斷]菜單項,進入網絡診斷頁麵。
(2) 單擊“抓包工具”頁簽,進入抓包工具頁麵。
(3) 在“接口”配置項處,選擇需要抓取數據的接口,支持當前路由器的所有的WAN、VLAN等接口。
(4) 在“抓包長度”配置項處,輸入數據包的抓取長度,單位為字節。如果數據包長度大於此數值,數據包將會被截斷。需要注意的是,采用長的抓取長度,會增加包的處理時間,並且會減少可緩存的數據包的數量,從而會導致數據包的丟失。所以,在能抓取我們想要的包的前提下,抓取長度越小越好。
(5) 在“協議類型”配置項處,選擇需要過濾的協議類型。如果選擇ALL,將抓取當前接口下所有報文。
(6) 在“抓包文件大小”配置項處,輸入抓取報文的大小,單位為MB。
(7) 在“抓包時間”配置項處,輸入抓包的持續時長,單位為秒。
(8) 在“方向”配置項處,選擇抓取報文的方向。主要分為:
¡ 入方向:表示僅抓取端口收到的報文。
¡ 出方向:表示僅抓取端口發送的報文。
¡ 雙向:表示抓取端口收到和發送的報文。缺省為雙向。
(9) 在“源主機”、“目的主機”、“過濾主機”配置項處,選擇抓取報文時過濾發出或者接收報文的主機。
¡ 所有主機:對源或者目的主機進行過濾,即抓取所有的源/目的主機的報文。
¡ IP地址過濾:選擇此項時,需設置主機的IP地址。
¡ MAC地址過濾:選擇此項時,需設置主機的MAC地址。
(10) 點擊<開始>按鈕,係統開始進行抓包。抓包的過程和當前抓取的分組數顯示在當前頁麵,在抓包的過程中,您可以點擊<取消>按鈕,終止當前的操作,並導出抓取的文件“capture-******.pacp”。
遠程管理功能既可以用來檢測網絡的連通性,又可以為用戶提供登錄設備、管理設備的方式。遠程管理功能包括:
· Ping:通過ping功能,可以檢測網絡的連通性,及時了解網絡狀況。
· Telnet:是一種實現遠程登錄服務的協議。用戶可以在PC上通過Telnet方式登錄設備,對設備進行遠程管理。
· HTTP/HTTPS:是基於HTTP、HTTPS超文本傳輸協議的兩種Web登錄方式。HTTPS登錄方式的安全性能高於HTTP登錄方式。用戶可以在PC上使用HTTP/HTTPS協議登錄設備的Web界麵,通過Web界麵直觀地配置和管理設備。
· 雲服務:實現設備在雲平台中被管理。
(1) 單擊導航樹中[係統工具/遠程管理]菜單項,進入遠程管理頁麵。
(2) 單擊“Ping”頁簽。
(3) 在列表中通過勾選接口對應的“允許ping”選項,設置該接口允許接收Ping報文。
(4) 點擊<應用>按鈕,完成配置。
(1) 單擊導航樹中[係統工具/遠程管理]菜單項,進入遠程管理配置頁麵。
(2) 單擊“Telnet”頁簽,進入Telnet配置頁麵。
(3) 在“Telnet服務”配置項處,點擊按鈕,使得按鈕狀態為“ON”,開啟Telnet服務。
(4) 在“IPv4端口”配置項處,輸入Telnet方式遠程管理設備的端口號,外部用戶通過此端口Telnet方式登錄設備進行管理。
(5) 在“管理員列表”區段,點擊<添加/編輯>按鈕,彈出添加/編輯管理員列表對話框。
a. 在“IP地址”配置項處,輸入允許通過Telnet訪問設備的IP地址。
b. 在IP地址段“起始”和“結束”配置項處,分別輸入允許通過Telnet訪問設備的IP地址段的起始地址和結束地址。
c. 在“排除地址”配置項處,輸入不允許通過Telnet訪問設備的IP地址。
d. 點擊配置項右側的< > >按鈕,提交配置的地址段內容。
e. 重複a、b、c、d步驟可完成多個地址段的添加。
(6) 點擊<確定>按鈕,完成配置。
當管理員更改VLAN1的所在網段時,VLAN1管理地址範圍會自動隨之更改。
(1) 單擊導航樹中[係統工具/遠程管理]菜單項,進入遠程管理配置頁麵。
(2) 單擊“HTTP/HTTPS”頁簽,進入HTTP/HTTPS配置頁麵。
(3) 在“HTTP登錄端口”配置項處,輸入HTTP方式登錄設備對應的端口號,建議使用10000以上的端口號。
(4) 在“HTTPS登錄端口”配置項處,輸入HTTPS方式登錄設備對應的端口號,建議使用10000以上的端口號。
(5) 在“登錄超時時間”配置項處,輸入Web管理頁麵的閑置超時時間,缺省為10分鍾。管理員登錄Web管理頁麵後,當閑置時間超過登錄超時時間時,係統會自動注銷該管理員。配置此參數後,在管理員下一次登錄時生效。
(6) 當允許所有用戶訪問WEB時,可勾選“允許所有用戶訪問WEB”選項來設置。
(7) 在“VLAN1管理地址”區段,點擊<編輯>按鈕,添加允許訪問Web管理頁麵的管理員IP地址或地址段。在彈出的編輯VLAN1管理地址對話框中進行如下操作:
a. 在“IP地址”配置項處,輸入允許通過HTTP/HTTPS訪問設備的IP地址。
b. 在IP地址段“起始”和“結束”配置項處,分別輸入允許通過HTTP/HTTPS訪問設備的IP地址段的起始地址和結束地址。
c. 點擊配置項右側的< > >按鈕,提交配置的地址段內容。
d. 重複a、b、c步驟可完成多個地址段的添加。
e. 點擊<確定>按鈕,完成配置。
(8) 在“自定義管理地址”區段,點擊<添加/編輯>按鈕,添加允許訪問Web管理頁麵的管理員IP地址或地址段。在彈出的添加/編輯自定義管理地址對話框中進行如下操作:
a. 在“IP地址”配置項處,輸入允許通過HTTP/HTTPS訪問設備的IP地址。
b. 在IP地址段“起始”和“結束”配置項處,分別輸入允許通過HTTP/HTTPS訪問設備的IP地址段的起始地址和結束地址。
c. 在“排除地址”配置項處,輸入不允許通過HTTP/HTTPS訪問設備的IP地址。
d. 點擊配置項右側的< > >按鈕,提交配置的地址段內容。
e. 重複a、b、c、d步驟可完成多個地址段的添加。
f. 點擊<確定>按鈕,完成配置。
(1) 單擊導航樹中[係統工具/遠程管理]菜單項,進入遠程管理配置頁麵。
(2) 單擊“雲服務”頁簽,進入雲服務配置頁麵。
(3) 點擊<雲服務解綁>按鈕,在彈出的確認提示對話框中進行如下操作:
a. 在“解綁碼”配置項處,輸入從雲平台上獲取的解綁碼。
b. 點擊<是>按鈕,完成配置。
(4) 在“雲服務”配置項處,點擊按鈕,使得按鈕狀態為“ON”,開啟雲服務。
(5) 在“雲平台服務器域名”配置項處,輸入H3C雲簡網絡平台的域名。
(6) 在“雲場所定義”配置項處,輸入設備的係統名稱。雲場所定義長度為1-64個字符,隻支持數字、字母、下劃線、中劃線和空格,不能為中文,不能為全空格。
(7) 點擊<應用>按鈕,完成配置。
本功能用於對設備的配置文件進行管理。配置文件是指用來保存設備配置的文件。
主要功能包括:
· 恢複出廠配置:如果設備沒有配置文件或者配置文件損壞時,希望設備能夠正常啟動運行,則需通過本功能將設備上的配置恢複到出廠狀態。
· 從備份文件恢複:設備配置錯誤後,如果希望設備恢複到正確配置運行狀態,則需通過本功能恢複設備配置。
· 導出當前配置:如果希望將當前配置文件導出作為備份配置文件,則需通過本功能將當前配置文件導出保存到指定路徑。
· USB快速備份:備份設備當前的配置到U盤上。
· USB快速恢複:通過U盤中配置文件恢複設備配置。
對於不同型號的設備,上述功能的支持情況可能會不同,請以Web頁麵實際顯示情況為準。
恢複到出廠設置後,當前的設置將會丟失。如果您不希望丟失當前設置信息,請先對路由器進行備份操作。恢複出廠設置後,路由器將會重新啟動。在此期間請勿斷開設備的電源。
(1) 單擊導航樹中[係統工具/配置管理]菜單項,進入配置管理頁麵。
(2) 單擊“恢複出廠配置”頁簽,進入恢複出廠配置頁麵。
(3) 點擊<恢複出廠配置>按鈕,彈出恢複出廠配置對話框。
(4) 勾選“立即重啟設備”選項,係統會立即重啟設備。
(5) 點擊<確定>按鈕,完成恢複出廠配置並強製重啟設備。
· 從備份文件恢複設備配置時,需選擇後綴名為.rar的文件。
· 在恢複設備配置的過程中,請確保設備供電正常。
· 恢複設備配置完成後,設備會自動根據新的配置重新啟動。
(1) 單擊導航樹中[係統工具/配置管理]菜單項,進入配置管理頁麵。
(2) 單擊“備份/恢複配置”頁簽,進入備份恢複配置頁麵。
(3) 點擊<從備份文件恢複>按鈕,進入從備份文件恢複頁麵。
(4) 點擊“選擇文件”按鈕,選擇特定路徑下的備份配置文件。
(5) 點擊<確定>按鈕,彈出確認提示對話框。
(6) 點擊<確定>按鈕,開始恢複配置。
· 當設備剩餘內存或Flash不足時,導出配置時會出現配置丟失,隻導出了部分配置的情況,從而使得導出的文件不可用。
· 設備的配置文件將以壓縮包形式導出至本地PC。此壓縮包已進行加密處理,無法直接打開查閱。您可以將其作為備份配置文件重新導入至設備。
(1) 單擊導航樹中[係統工具/配置管理]菜單項,進入配置管理頁麵。
(2) 單擊“備份/恢複配置”頁簽,進入備份恢複配置頁麵。
(3) 點擊<導出當前配置>按鈕,選擇保存路徑,即可將當前配置保存到本地PC。
· 目前僅支持fat32格式的U盤。
· 在執行快速恢複前,需先將U盤插入到設備上。
· 如果U盤存在多個分區,備份的配置文件將會保存在第一個分區中。
· 備份成功後的配置文件名稱為backup.data,如果多次執行USB快速備份操作,係統會覆蓋之前的配置文件,即U盤中僅存在一個backup.data配置文件。
(1) 單擊導航樹中[係統工具/配置管理]菜單項,進入配置管理頁麵。
(2) 單擊“備份/恢複配置”頁簽,進入備份恢複配置頁麵。
(3) 點擊<USB快速備份>按鈕,開始備份配置。
(4) 備份完成後,在彈出備份配置成功的確認對話框中,點擊<確定>按鈕,關閉對話框。
· 目前僅支持fat32格式的U盤。
· 在執行快速恢複前,需先將U盤插入到設備上,且該U盤中存有名稱為backup.data的設備配置文件。設備將通過backup.data配置文件恢複設備配置。
· 如果U盤存在多個分區,用於恢複設備配置的配置文件backup.data需保存在第一個分區中。
· 在恢複設備配置的過程中,請確保設備供電正常。
· 恢複設備配置完成後,設備會自動根據新的配置重新啟動。
(1) 單擊導航樹中[係統工具/配置管理]菜單項,進入配置管理頁麵。
(2) 單擊“備份/恢複配置”頁簽,進入備份恢複配置頁麵。
(3) 點擊<USB快速恢複>按鈕,開始恢複配置。
(4) 恢複完成後,在彈出恢複配置成功的確認對話框中,點擊<確定>按鈕,關閉對話框。
本功能用於對設備版本進行升級。如果希望完善當前軟件版本漏洞或者更新應用功能,則需通過版本升級功能來實現。升級方式分為如下兩種:
· 手動升級是通過特定路徑下的係統軟件文件對設備的係統軟件進行升級。
· 自動升級是通過H3C雲簡網絡平台對設備的係統軟件進行升級。自動升級前,請確保設備與雲平台已經連接。
· 請您在軟件升級之前備份路由器當前的設置信息。如果升級過程中出現問題,您可以用其來恢複到原來的設置。
· 上傳完成後,設備自動更新軟件,完成後將重新啟動。
· 升級過程中請勿給路由器斷電,否則可能會造成路由器不能正常工作。
· 如果升級使用版本號更小或發布時間更早的版本文件,設備可能會出現配置兼容問題,不建議這樣操作。
手工升級前,請先到“網絡安全->DDOS攻擊防禦->異常流量防護”頁麵確認是否啟用了異常主機流量防護功能。如果已啟用,需關閉異常主機流量防護功能後,再進行手工升級,否則將無法進行手工升級。
(1) 單擊導航樹中[係統工具/係統升級]菜單項,進入係統升級頁麵。
(2) 單擊“手工升級”頁簽,進入手工升級配置頁麵。
(3) 點擊<手工升級係統軟件>按鈕,彈出手工升級係統軟件對話框。
(4) 點擊<選擇文件>按鈕,選擇特定路徑下的係統軟件文件。
(5) 若需要設備在升級係統軟件之後恢複出廠配置,則勾選“恢複出廠配置”選項;若無需設備在升級係統軟件之後恢複出廠配置,則不勾選“恢複出廠配置”選項。
(6) 點擊<確定>按鈕,開始軟件升級。
(1) 單擊導航樹中[係統工具/係統升級]菜單項,進入係統升級頁麵。
(2) 單擊“自動升級”頁簽,進入自動升級配置頁麵。
(3) 點擊<自動升級係統軟件>按鈕,彈出升級軟件係統對話框。
(4) 點擊<確定>按鈕,進行升級操作。
在進行自動升級前,需確保雲連接狀態為已連接,否則自動升級將會不成功。
(1) 單擊導航樹中[係統工具/係統升級]菜單項,進入係統升級頁麵。
(2) 單擊“自動升級”頁簽,進入自動升級配置頁麵。
(3) 在“預約升級”配置項處,選擇開啟。
(4) 在“檢測時間限製”配置項處,設置檢測的時間,係統會根據設置的時間檢測是否存在新版本軟件。如果檢測到新版本軟件,係統將立即升級軟件。
(5) 點擊<應用>按鈕,完成自動升級設置。
(6) 在“預約升級日誌”配置項處,點擊<查看>按鈕,查看預約升級的日誌信息。
路由器使用過程中出現異常情況,例如升級過程中斷電、設備無法正常運行等,可以使用U盤恢複軟件版本。
使用U盤恢複軟件版本後,路由器將會恢複出廠設置,請謹慎使用此功能。
恢複方法如下:
(1) 準備文件格式為FAT32,接口為USB 2.0或者USB 3.0(同時向下兼容USB 2.0)的U盤。
(2) 將待恢複的軟件(.bin)拷貝到U盤。在U盤中將.bin複製兩份,再將兩份文件分別命名為“erg3_recover.bin”和“recover.bin”。
(3) 先對路由器斷電,再將U盤插入路由器的USB接口。
(4) 將路由器接通電源,等待10分鍾左右,路由器正常啟動後,即可重新登錄。
重新啟動功能用於立即和定時重新啟動設備。
重新啟動設備可能會導致業務中斷,請謹慎使用。
(1) 單擊導航樹中[係統工具/重新啟動]菜單項,進入重新啟動配置頁麵。
(2) 在“立即重啟”頁簽下,點擊<重新啟動設備>按鈕,在彈出的確認提示對話框中,點擊<是>按鈕,立即重新啟動設備。
在使用定時重啟功能之前,需在“係統設置—日期和時間—自動同步網絡日期和時間”中配置NTP服務器。
(1) 單擊導航樹中[係統工具/重新啟動]菜單項,進入重新啟動配置頁麵。
(2) 單擊“定時重啟”頁簽,進入定時重啟配置頁麵。
(3) 在“定時重啟”配置處,選擇“開啟”選項。開啟定時重啟設備的功能。
(4) 在“生效周期”配置處,設定每周設備重啟的具體時間。
(5) 點擊<確定>按鈕,設備將會在設定時間進行重啟。
設備在運行過程中會生成係統日誌。日誌中記錄了管理員在設備上進行的配置、設備的狀態變化以及設備內部發生的重要事件等,為用戶進行設備維護和故障診斷提供參考。
用戶可以將日誌發送到日誌服務器集中管理,也可以直接在Web頁麵查看日誌。
日誌劃分為如表20-1所示的五個級別,各級別的嚴重性依照數值從0~4依次降低。了解日誌級別,能幫助您迅速篩選出重點日誌。
|
數值 |
信息級別 |
描述 |
|
0 |
Error(0) |
表示錯誤信息 |
|
1 |
Warning(1) |
表示警告信息 |
|
2 |
Notification(2) |
表示正常出現但是重要的信息 |
|
3 |
Informational(3) |
表示需要記錄的通知信息 |
|
4 |
Debugging(4) |
表示調試過程產生的信息 |
請確保設備和日誌服務器能互相ping通,日誌服務器才能收到設備發送的日誌。
(1) 單擊導航樹中[係統工具/係統日誌]菜單項,進入係統日誌配置頁麵。
(2) 在“日誌記錄等級”配置項處,選擇日誌記錄的級別。
(3) 在“日誌來源”配置項處,選擇日誌的來源,控製日誌信息的輸出。主要分為:
¡ 係統:記錄設備運行中,記錄部分功能模塊的運行狀態相關信息。缺省選擇該參數,不可取消。
¡ 配置:記錄設備配置發生變化的信息。
¡ 安全:記錄設備防攻擊、報文過濾、防火牆等相關信息。
¡ 流量信息:記錄IP、端口等流量信息。
¡ VPN:記錄VPN相關信息。
(4) 根據需要勾選“是否將係統日誌記錄到存儲介質”選項。
(5) 勾選“發送到日誌服務器”選項,輸入日誌服務器的IP地址或者域名地址。
(6) 點擊<應用>按鈕,完成配置。
(1) 單擊導航樹中[係統工具/係統日誌]菜單項,進入係統日誌配置頁麵。設備會逐條顯示日誌的生成時間、級別以及詳細信息。
(2) 用戶可使用高級查詢功能,通過時間、級別、信息來源和詳細信息這幾個條件的任意組合來查找對應的係統日誌。
(3) 點擊<導出>按鈕,可以將設備上已有的日誌信息導出到登錄Web管理頁麵的PC上。
(1) 單擊導航樹中[係統工具/係統日誌]菜單項,進入係統日誌配置頁麵。
(2) 點擊<清除>按鈕,清除路由器所記錄的日誌信息。
管理員設置功能是對登錄設備的管理員賬戶信息進行管理,包括修改用戶名和密碼。
係統中僅能存在一個管理員賬戶。
僅允許修改管理員賬戶的名稱和密碼,不允許刪除管理員賬戶。
(1) 單擊Web頁麵執行區域右上角的“管理員”圖標,選擇“設置”菜單項,進入管理員賬戶配置頁麵。
(2) 如果您需要修改當前管理員的用戶名,請在“用戶名”配置項處輸入新用戶名。需要注意的是,修改用戶名後,您還必須修改當前管理員密碼。
(3) 如果您需要修改當前管理員的密碼,請依次執行以下操作:
a. 在“當前管理員密碼”配置項處,輸入舊密碼。
b. 在“新密碼”配置項處,輸入新密碼。密碼設置規則如下:
- 密碼長度為10~63個字符。
- 密碼的組成元素包括以下4種類型:A~Z、a~z、0~9、特殊字符(空格~`!@#$%^&*()_+-={}|[]\:;'<>,./)。
- 至少包含4個不同的字符,且至少包含2種以上類型的字符。
- 不能包含用戶名或者逆轉用戶名,且密碼或倒序的密碼是否為用戶名的一部分,例如,用戶名為admin,則密碼admin12356、nimda12356是不符合要求的。
c. 在“確認密碼”配置項處,再次輸入新密碼,並確保與之一致。
(4) 如果您希望在此頁麵上顯示幫助管理員記憶密碼的提示信息,請在“密碼提示”配置項處輸入相關提示信息。密碼提示不能與新密碼相同。
(5) 點擊<確定>按鈕,完成配置。
不同款型的設備對本功能的支持情況不同,請以設備的實際情況為準。
您可以在局域網內通過Console口或Telnet本地登錄路由器進行命令行設置。、
· 通過Console口本地登錄:需要您先搭建配置環境,相關操作請參見“22.1 通過Console口搭建配置環境”。
· 通過Telnet本地登錄:請先確保管理計算機與路由器之間網絡連通。然後在管理計算機上單擊屏幕左下角<開始>按鈕進入“開始”菜單。選擇[運行],在彈出的“運行”對話框中輸入“telnet ip-address”(ip-address為路由器LAN口的IP地址)。回車後按界麵提示輸入用戶名和密碼(缺省情況下,兩者均為admin)即可登錄路由器進行設置,具體命令行介紹請參見“22.2 命令行在線幫助”。
路由器為您提供以下簡單的命令行維護。
表17-1 命令行索引
|
命令行 |
請參見 |
|
display ip address |
|
|
display sysinfo |
|
|
display version |
|
|
ping |
|
|
quit |
|
|
reboot |
將管理計算機的串口通過配置線纜與路由器的Console口相連。
在通過Console口搭建本地配置環境時,需要通過超級終端或PuTTY等終端仿真程序與設備建立連接。用戶可以運行這些程序來連接網絡設備、Telnet或SSH站點,這些程序的詳細介紹和使用方法請參見該程序的使用指導。
打開PC,在PC上運行終端仿真程序,並設置終端參數。參數設置要求如下:
· 波特率:9600
· 數據位:8
· 停止位:1
· 奇偶校驗:無
· 流量控製:無
(1) 在任一視圖下,鍵入<?>獲取該視圖下所有的命令及其簡單描述。
ping ping function
display display system information
quit quit current view
reboot reboot the system
(2) 鍵入一命令,後接以空格分隔的“?”,如果該命令行位置有關鍵字,則列出全部關鍵字及其簡單描述。
<System> display ip ?
address Display IP addresses
(3) 鍵入一字符串,其後緊接<?>,列出以該字符串開頭的所有命令。
<System> di?
display
(4) 鍵入命令的某個關鍵字的前幾個字母,按下<Tab>鍵,如果以輸入字母開頭的關鍵字唯一,則可以顯示出完整的關鍵字。
<System> di ¬按下<Tab>鍵
<System> display
輸入display ip address命令並回車,即可顯示路由器LAN口的IP地址信息。
輸入display sysinfo命令並回車,顯示路由器的CPU和內存使用情況。
輸入display version命令並回車。
輸入ping * host [ -c count ] [ -i interface-name ] [ -s packet-size ]
表17-2 Ping命令參數項描述
|
參數 |
描述 |
|
host |
目的端的IP地址或主機名,主機名為1~31個字符的字符串 |
|
-c count |
指定ICMP回顯請求報文的發送次數,取值範圍為1~4294967295,缺省值為4 |
|
-i interface-name |
指定發送ICMP回顯請求報文的路由器接口名稱。不指定該參數時,將根據目的IP查找路由表或者轉發表來確定發送ICMP回顯請求報文的接口 |
|
-s packet-size |
指定發送的ICMP回顯請求報文的長度(不包括IP和ICMP報文頭),取值範圍為20~8100,單位為字節,缺省值為56字節 |
輸入quit命令並回車。
輸入reboot命令並回車,確認後,路由器將重新啟動。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
