01-正文
本章节下载: 01-正文 (7.22 MB)
如果您想? |
您可以查看 |
初识产品的大致形态、业务特性或者它在实际网络应用中的定位 |
“产品概述” |
通过搭建Web环境来管理设备,同时想进一步熟悉其设置页面 |
|
通过Web设置页面来设置设备的无线网络基本属性、接入控制、高级属性等 |
“无线设置” |
通过Web设置页面来设置设备WAN口的上网参数、LAN口相关功能、DHCP功能、VLAN应用等 |
“接口设置” |
通过Web设置页面来实现设备及网络环境的安全性,比如:ARP安全、接入控制、防火墙等 |
“安全专区” |
通过Web设置页面来实现设备与WIFI管理平台的连接 |
“云WiFi” |
通过Web设置页面来实现设备IPSec VPN功能和L2TP VPN功能 |
“设置IPSec VPN”和“设置 L2TP特性” |
通过Web设置页面来设置设备WAN口的带宽、IP流量限制、网络连接限数等 |
“设置QoS” |
通过Web设置页面来实现设备的高级业务功能,比如:NAT、虚拟服务器、业务控制、路由管理等 |
“高级设置” |
通过Web设置页面对设备进行维护管理,比如:软件升级、用户管理、SNMP等 |
“设备管理” |
通过Web设置页面对设备当前的设置状态进行查询或对系统运行情况进行监控等 |
“系统监控” |
通过具体的典型组网举例来进一步理解设备的关键特性 |
“典型组网配置举例” |
通过命令行来简单地维护设备 |
|
定位或排除使用设备过程中遇到的问题 |
|
获取设备重要的缺省出厂配置信息 |
本手册中所有涉及无线相关的内容,仅ER2100n支持。
本章节主要包含以下内容:
· 产品简介
· 主要特性
· 典型组网应用
感谢您选择了ER2100系列增强型企业级路由器(以下简称路由器),它是由新华三技术有限公司(以下简称H3C)推出的企业级高性能宽带路由器。路由器支持丰富的软件特性,比如:ARP防攻击、流量限速、QQ/MSN应用限制、DDNS动态域名、IPSec VPN等功能,并提供非常简便、易操作的Web设置页面,可以帮您快速地完成各功能特性需求的配置。
表2-1 路由器列表
产品 |
描述 |
|
ER2100系列 |
ER2100n |
· 提供1个10/100 Base-T WAN口、4个10/100 Base-T LAN端口、和1个Console接口 · 提供2个SMA的射频天线接口(仅ER2100n支持) · 采用64位单核网络处理器,同时配合DDRII高速RAM进行高速转发 |
ER2100V2 |
· 本手册中所涉及的Web设置页面以ER2100n为例进行介绍,ER2100V2的设置参考ER2100n即可。
· 本手册中所描述的功能特性规格可能随产品的升级而发生改变,恕不另行通知。详情您可以向H3C公司市场人员或技术支援人员咨询获取。
· 高性能防火墙
内置高性能防火墙,通过设置出站和入站通信策略来快速地实现访问控制。
· 防攻击
支持对来自因特网和内网的常见攻击进行防护。同时,内置内网异常流量防护模块,对局域网内各台主机的流量进行检查,并根据您所选择的防护等级(支持高、中、低三种)进行相应的处理,确保网络在遭受此类异常攻击时仍能正常工作。
· ARP双重防护
通过静态ARP绑定功能,固化了网关的ARP表项;另外,对于DHCP分配的IP地址,则采用DHCP授权ARP技术,自动绑定分配的IP地址/MAC地址信息,从而可以有效地防止ARP欺骗引起的内网通讯中断问题;同时,提供毫秒级的免费ARP定时发送机制,可以有效地避免局域网内主机中毒后引发的ARP攻击。
· 业务控制
QQ/MSN等即时通讯软件的大量普及,可能会引起员工办公效率低下,无法集中精力。路由器独有的应用控制功能,可以方便地限制内网用户对QQ/MSN等应用的使用;同时还支持对大智慧/分析家/同花顺/广发至强/光大证券/国元证券等金融软件的应用控制功能。另外,您还可以通过对特权用户组的设置保证关键用户的使用不受影响。
· IPSec VPN
通过VPN安全连接,最多支持10路IPSec连接到办公网络。
· 网络流量监控
提供流量实时监控和排序功能,同时提供多种安全日志,包括内/外网攻击实时日志、地址绑定日志、流量告警日志和会话日志,为网络管理员实时监控网络运行状态和安全状态提供了更快捷的窗口。
· 网络流量限速
通过基于IP的网络流量限速功能,可以有效地控制指定用户的上/下行流量,限制了P2P软件对网络带宽的过度占用。同时,提供弹性带宽功能,在网络空闲时可以智能地提升用户的限制带宽,既充分地提升了网络带宽的利用率,又保证了网络繁忙时带宽的可用性。
· 提供非常简便的Web设置页面,配置直观、易操作、使用复杂度低。
· 每个Web设置页面均提供详细的联机帮助,供您查阅。
· 提供了丰富的统计信息和状态信息显示功能,使您对路由器当前的运行状态一目了然。
· 支持通过本地和远程Web方式对路由器进行详细的配置和管理。
· 支持通过Console口、Telnet方式对路由器进行简单的命令行管理。
图2-1 组网应用(以ER2100n为例)
本章主要包含以下内容:
· 建立网络连接
· 常用页面控件介绍
· 页面列表操作介绍
完成硬件安装后,在登录路由器的Web设置页面前,您需要确保管理计算机和网络满足一些基本要求。
· 确认计算机已安装并启用了以太网网卡。
· 确认计算机已和ER2100n的LAN口相连(有线方式)。
建议您将计算机设置成缺省的“自动获得IP地址”和“自动获得DNS服务器地址”,由ER2100n自动分配IP地址。
如果您想给计算机指定静态IP地址,则需要将计算机的IP地址与ER2100n的IP地址设置在同一子网中(ER2100n缺省IP地址为192.168.1.1,子网掩码为255.255.255.0)。
操作步骤如下:
通过快捷键<Win+R>,弹出“运行”对话框 |
|
输入“ping 192.168.1.1(设备的IP地址,此处是缺省IP地址)”,单击<确定>按钮。如果在弹出的对话框中显示了从设备侧返回的回应,则表示网络连通;否则请检查网络连接 |
· 确认计算机已安装了无线网卡,并处于开启状态。
· 将计算机放置于ER2100n的无线网络范围内。
建议您将计算机设置成缺省的“自动获得IP地址”和“自动获得DNS服务器地址”,由ER2100n自动分配IP地址。
如果您想给计算机指定静态IP地址,则需要将计算机的IP地址与ER2100n的IP地址设置在同一子网中(ER2100n缺省IP地址为192.168.1.1,子网掩码为255.255.255.0)。
本手册以Windows7的无线网络设置功能为例进行介绍。
设置步骤如下:
· 单击屏幕左下角<开始>按钮,进入[开始]菜单,选择[控制面板],点击“网络和Internet”,打开“网络和共享中心” · 单击“更改适配器设置”,显示无线网络连接界面 |
|
在“无线网络连接” 列表里找到需连接的无线网络,缺省情况下,设备提供一个名为“H3C”的无线网络,不加密,单击<连接(C)>按钮,即可连接成功 |
如果当前管理计算机使用代理服务器访问因特网,则必须取消代理服务,操作步骤如下:
在浏览器窗口中,选择[工具/Internet 选项]进入“Internet 选项”窗口 |
|
选择“连接”页签,并单击<局域网设置(L)>按钮,进入“局域网(LAN)设置”页面。请确认未选中“为LAN使用代理服务器”选项;若已选中,请取消并单击<确定>按钮 |
运行Web浏览器,在地址栏中输入“http://192.168.1.1”,回车后跳转到Web登录页面,如图3-1所示。输入用户名、密码(缺省均为admin,区分大小写),单击<登录>按钮或直接回车即可进入Web设置页面。
图3-1 登录路由器Web设置页面
· 同一时间,路由器最多允许五个用户通过Web设置页面进行管理。当对路由器进行多用户管理时,建议不要同时对其进行配置操作,否则可能会导致数据配置不一致。
· 为了安全起见,建议您首次登录后修改缺省的登录密码,并保管好密码信息。
· 验证码功能会使您的系统安全性更高。当用户登录路由器Web页面,输入用户名或者密码错误后,再次输入用户名和密码时需要输入验证码。如果您想在登录路由器Web设置页面时不需要输入验证码,可以通过登录管理页面来设置其状态。
图3-2 Web设置页面示意图
以下控件是Web设置页面中经常出现的,有关它们的用途请参见下表。
页面控件 |
描述 |
文本框,用于输入文本 |
|
|
单选按钮,用于从多个选项中选择一项 |
|
复选框,用于开启(选中)和关闭(未选中)该功能或服务 |
下拉列表框,用于选择相应的列表项 |
|
|
当您完成了某页面设置项的操作后,必须单击该页面上的<应用>按钮,设置才能生效 |
如果页面中出现类似的蓝色字体项,您可以通过单击它来跳转到相应的页面进行设置修改 |
|
单击<刷新>按钮,您可以手动对设置页面的数据进行更新;在“自动刷新”列表框中选择刷新频率后,页面的数据会自动根据该刷新频率进行更新 |
路由器的Web设置页面中经常会出现类似图3-3的页面,此处对其操作进行统一的介绍,以下不再赘述。
界面项 |
描述 |
您可通过设置关键字,单击<查询>按钮来查看符合条件的列表项 |
|
单击<显示全部>按钮,您可查看所有的列表项 |
|
单击<全选>按钮,您可选中所有的列表项对其进行批量操作 您也可以通过单击各列表项的方式来选中指定表项进行批量操作 |
|
单击<新增>按钮,您可在弹出的对话框中添加一个新的表项。添加完成后,您可以通过该页面中的查询功能来确认刚添加的表项是否已存在 选中指定的列表项,单击<删除>按钮,您可将该列表项删除 |
|
单击该图标,您可在弹出的对话框中对该列表项进行修改 双击某列表项,同样也可在弹出的对话框中对该列表项进行修改 |
|
当列表中的标题栏出现箭头时,表示您可以根据对应的标题项进行排序操作。您可以通过单击标题项来切换升序和降序方式 “↓”表示降序,“↑”表示升序 |
当您长时间没有操作Web设置页面时,系统超时并将注销本次登录,返回到Web设置登录页面(如图3-1所示)。
单击导航栏中的,确认后即可退出Web设置页面。
本章节主要包含以下内容:
· 无线服务简介
· 设置无线AP
WLAN技术是当今通信领域的热点之一,和有线相比,无线局域网的启动和实施相对简单,成本相对低廉,一般只要安放一个或多个接入点设备就可建立覆盖整个建筑或地区的局域网络。
使用WLAN解决方案,网络运营商和企业能够为用户提供方便的无线接入服务,主要包括:
· 应用具有无线局域网功能的设备建立无线网络,通过该网络,用户可以访问局域网或因特网;
· 使用不同认证和加密方式,提供安全的无线网络接入服务;
· 在无线网络内,用户可以在网络覆盖区域内自由移动,彻底摆脱有线束缚。
无线AP基于WLAN技术,实现了802.11无线网络标准中的无线接入功能。开启本功能后,无线客户端(带有无线网卡的PC或便携式笔记本电脑等终端)可通过无线方式方便快捷地连接到无线局域网,实现高速率的数据通信,部署灵活,免去了有线连接的繁琐。同时,无线AP支持多种加密功能,有效地保证了数据通信的安全性。
页面向导:无线设置→无线AP设置→基本设置
本页面为您提供如下主要功能:
· 开启/关闭无线网络功能 · 设置无线网络基本属性(比如:无线网络模式、无线信道等) · 显示当前各个SSID的基本信息(主页面) |
|
· 设置SSID的基本信息(在主页面中双击待配置的SSID表项,进入[SSID配置]页面) · 设置SSID工作模式为“桥接模式” · 设置SSID加密方式为“不加密” |
|
设置SSID加密方式为“WEP加密” |
|
设置SSID加密方式为“Mixed WPA/WPA2-个人加密” |
|
设置SSID工作模式为“隔离模式” |
· 因为802.11n不支持WEP加密方式和TKIP加密协议,所以当无线网络模式设置为“n-only”模式时,无法选用WEP加密方式。此外,当无线网络模式设置为“b+g+n”时,推荐您把加密方式设置为“Mixed WPA/WPA2-个人加密”,把加密协议设置为“AES”,否则无线AP将不能提供802.11n的高速率数据传输服务。
· 如果启用“云WiFi”功能,SSID-2的工作模式只能使用“隔离模式”。
页面中关键项的含义如下表所示。
表4-1 页面关键项描述
页面关键项 |
描述 |
启用无线网络 |
选择是否启用无线网络 缺省情况下,启用该功能 |
无线网络模式 |
选择无线网络工作模式 · b-only模式:设备工作在802.11b模式下 · g-only模式:设备工作在802.11g模式下 · n-only模式:设备工作在802.11n模式下 · b+g模式:设备工作在802.11b/g的混合模式下 · b+g+n模式:设备工作在802.11b/g/n的混合模式下 缺省情况下,无线网络模式为b+g+n模式,可以支持b、g、n三种工作模式的无线客户端 |
无线网络信道频宽 |
选择无线网络信道频宽 当无线模式选择“b+g+n”或“n-only”时,可选20MHz/40MHz,其余工作模式下均为20MHz 缺省情况下,无线网络信道频宽为20MHz |
无线信道 |
选择无线网络的工作信道(频道) 为了提升网络性能,请尽量选择设备工作环境中未被使用的信道。本AP的所有SSID共用同一个信道 缺省情况下,无线信道为AUTO 在AUTO模式下,AP会自动选择一个合适的无线信道 |
SSID名称 |
设置无线网络使用的SSID名称 不同的SSID用于区分不同的无线网络,只有同一SSID内的设备之间才可以直接通信 |
工作模式 |
设置SSID的工作模式 不同的工作模式主要是为不同的用户提供不同的网络: · 桥接模式。SSID1和新增SSID的工作模式默认为桥接模式,在该模式下,内部用户(主要指企业内部员工)使用内部网络,可以访问外网资源,也可以内部员工之间通信,访问企业内部资源 · 隔离模式。SSID2的工作模式默认为隔离模式,在该模式下,外部用户(主要指造访企业的外来人员)使用客人网络,可以访问外网资源,但不能访问企业的内部网络资源 |
桥接VLAN |
当SSID工作在桥接模式时,设置该SSID(无线接口)与哪个VLAN桥接在一起,即将无线接口和VLAN放在同一个桥下 缺省情况下,SSID与VLAN1桥接在一起 |
客户端隔离 |
选择与本设备建立连接的无线客户端之间是否可以互相通信 · 禁用:允许无线客户端之间进行通信 · 启用:禁止无线客户端之间进行通信 缺省情况下,允许无线客户端之间进行通信 启用客户端隔离后,无线客户端与有线客户端之间依然无法隔离 |
SSID广播 |
选择是否广播SSID · 如果启用本功能,当无线客户端搜寻本地可以接入的无线网络时,将检测到广播的SSID,从而可以建立连接 · 如果禁用该功能,则需要管理员向客户端知会其SSID名称,客户端才可以根据SSID名称接入无线网络 缺省情况下,启用SSID广播 |
允许接入客户端数 |
设置允许多少个无线客户端接入该SSID 缺省情况下,允许接入的客户端数为16个 |
加密方式 |
选择加密方式,各加密方式的说明请参见表4-2 建议选择Mixed WPA/WPA2-个人加密以提供更高的网络安全性 缺省情况下,不加密 |
默认传输密钥(选择WEP加密时) |
选择SSID的默认密钥索引,无线客户端只有在选用的“默认密钥索引”和“密钥”都和AP中的设置一致时,才能通过正常使用无线网络 缺省情况下,默认传输密钥为1 |
密钥长度(选择WEP加密时) |
选择加密算法。位数越多,加密效果越好 缺省情况下,密钥长度为64位 |
密钥类型(选择WEP加密时) |
选择WEP密钥的形式 缺省情况下,密钥类型为HEX(即16进制) |
密钥(选择WEP加密时) |
根据密钥类型设置相应的密钥 HEX只可输入0~9、a~f、A~F所组成的字符串 |
加密协议(选择Mixed WPA/WPA2-个人加密) |
选择加密协议 · TKIP:暂时密钥完整性协议 · AES:先进加密标准 · TKIP+AES:使用多种加密方式 缺省情况下,加密协议为AES |
群组密钥更新周期 |
设备会根据所设定的时间定期更新密钥,单位为秒 缺省情况下,群组密钥更新周期为3600 |
无线接口IP地址 |
设置无线接口的IP地址 |
无线子网掩码 |
设置无线接口的IP地址子网掩码 |
地址池起始地址/结束地址 |
设置DHCP服务器地址池的起始地址和结束地址,且地址池结束地址要大于起始地址 |
地址租约 |
设置DHCP服务器分配给客户端IP地址的租借期限。当租借期满后,DHCP服务器会收回该IP地址,客户端必须重新申请(客户端一般会自动申请) 缺省情况下,地址租约为1440分钟 |
主/辅DNS服务器 |
设置DHCP服务器分配IP地址时所携带的主/辅DNS服务器地址 缺省情况下,DNS服务器地址为网关地址 |
加密方式 |
描述 |
不加密 |
所有请求认证的客户端都会通过认证 |
WEP加密 |
通过共享密钥来实现认证,是一种基础的加密方式 |
Mixed WPA/WPA2-个人加密 |
Mixed WPA/WPA2 是WPA-PSK和WPA2-PSK加密的混合模式,比WEP加密模式更为安全 |
页面向导:无线设置→无线AP设置→接入控制
本页面为您提供如下主要功能:
开启/关闭MAC地址接入控制功能(选中“启用MAC地址接入控制功能”,并选择相应的MAC接入无线网络功能,单击<应用>按钮生效) |
|
添加MAC地址(单击主页面上的<新增>按钮,在弹出的对话框中输入MAC地址和描述信息,单击<增加>按钮生效) |
|
从接入客户端列表导入MAC地址(单击主页面上的<从接入客户列表导入>按钮,在弹出的对话框中选择待导入的表项,单击<导入到MAC地址过滤表>按钮生效) |
页面中关键项的含义如下表所示。
表4-3 页面关键项描述
页面关键项 |
描述 |
启用MAC地址接入控制功能 |
选中该项启用MAC地址过滤功能,否则允许所有客户端计算机接入无线网络 |
仅允许MAC地址列表中的MAC接入 |
选中该项表示仅允许MAC地址表中的客户端计算机接入无线网络 |
仅禁止MAC地址列表中的MAC接入 |
选中该项表示仅禁止MAC地址表中的客户端计算机接入无线网络 |
MAC地址 |
客户端计算机的MAC地址,输入格式为xx:xx:xx:xx:xx:xx (或xxxx-xxxx-xxxx),且不区分大小写 |
描述 |
MAC地址的说明信息 |
页面向导:无线设置→无线AP设置→高级设置
本页面为您提供如下主要功能:
设置无线网络的高级属性(比如:点亮间隔、RTS阈值等) |
页面中关键项的含义如下表所示。
表4-4 页面关键项描述
页面关键项 |
描述 |
点亮间隔 |
无线接入点周期性发送信号的时间周期,给无线局域网的客户端提供同步时钟 缺省情况下,点亮间隔为100毫秒 |
RTS阈值 |
如果传输的数据帧的长度超过RTS阈值,将采用RTS机制发送。如果没有隐藏节点的问题,建议使用缺省值 缺省情况下,RTS阈值为2346 · RTS机制为先发送RTS报文,获得允许后,才能发送数据包 · 当无线工作模式设置为“n-only”或“b+g+n”时,RTS阈值不能设置 |
分片阈值 |
如果传输的数据帧的长度超过分片阈值,该数据帧将被分片。只有在无线网络干扰较大或使用率较高时,才有必要采用较小的分片阈值。采用较小的分片阈值能增加传输的可靠性,但效率较低,而采用大的分片阈值则容易受干扰,但效率较高 缺省情况下为2346 当无线工作模式设置为“n-only”或“b+g+n”时,分配阈值不能设置 |
DTIM间隔 |
DTIM间隔决定了MAC层多播通信的频率 缺省情况下,DTIM间隔为1 |
发射功率 |
设置无线发射功率,值越大,作用的范围越大,信号越好 缺省情况下,发射功率为23dBm |
WMM |
开启/关闭无线QoS功能,启用QoS功能可以保证语音、视频等实时性要求较高的业务的服务质量 缺省情况下,WMM为启用 当无线工作模式设置为“n-only”或“b+g+n”时,WMM不能设置 |
页面向导:无线设置→无线AP设置→接入客户端列表
本页面为您提供如下主要功能:
显示当前所有连接到本设备的无线客户端的MAC地址 |
路由器能自动进行拨号,您无需使用操作系统自带的拨号软件(如PPPoE拨号软件)或其他客户端拨号软件。
本章节主要包含以下内容:
· 设置WAN
· 设置LAN
· 设置DHCP
路由器支持静态地址、动态地址、PPPoE三种连接方式。具体选择何种方式请咨询当地运营商。
· 静态地址:手动为WAN口设置IP地址和子网掩码。
· 动态地址:设置WAN口作为DHCP客户端,使用DHCP方式获取IP地址。
· PPPoE:设置WAN口作为PPPoE客户端,使用PPPoE用户名和密码拨号连接获取IP地址。
页面向导:接口设置→WAN设置→连接到因特网
本页面为您提供如下主要功能:
通过静态地址连接到因特网 |
|
通过动态地址连接到因特网 |
|
通过PPPoE连接到因特网 |
页面中关键项的含义如下表所示。
页面关键项 |
描述 |
IP地址 |
设置路由器WAN口的IP地址。由运营商提供 |
子网掩码 |
设置路由器WAN口的IP地址子网掩码。由运营商提供 |
缺省网关 |
设置路由器WAN口的缺省网关地址。由运营商提供 |
MTU |
设置路由器WAN口允许通过的最大传输单元,单位为字节。建议您使用缺省值 |
主DNS服务器 |
设置路由器主域名服务器的地址,用于将便于记忆的、有意义的域名解析为正确的IP地址。由运营商提供 |
辅DNS服务器 |
设置路由器辅域名服务器的地址,用于当主域名服务器失效时,可以由它来完成解析。由运营商提供 |
主机名 |
设置在路由器使用DHCP方式获取IP地址时,DHCP服务器侧显示的路由器主机名 |
PPPoE用户名 |
设置PPPoE拨号上网时,身份验证使用的用户名。由运营商提供 |
PPPoE密码 |
设置PPPoE拨号上网时,身份验证使用的密码。由运营商提供 |
服务器名 |
设置PPPoE服务器的名称。由运营商提供 |
服务名 |
设置PPPoE服务器的服务名称。由运营商提供 |
路由器出厂时,各WAN口都有一个缺省的MAC地址,一般情况下,无需改变。但是,比如:有些运营商要求只有注册过的路由器才能连接到因特网,此时,您就需要使用路由器WAN口MAC地址克隆功能,将WAN口MAC地址修改为在运营商侧注册过的MAC地址。
页面向导:接口设置→WAN设置→MAC地址克隆
本页面为您提供如下主要功能:
设置WAN口MAC地址克隆 |
页面中关键项的含义如下表所示。
表5-2 页面关键项描述
页面关键项 |
描述 |
使用本设备的MAC地址 |
选中该项,使用路由器出厂时的MAC地址 |
使用这台PC的MAC地址 |
选中该项,使用用来设置路由器的管理计算机的MAC地址 |
手工输入MAC地址 |
选中该项,输入在运营商侧注册过的MAC地址 |
· 当进行WAN口MAC地址克隆设置时,如果更换了MAC地址,则WAN口会重新进行初始化。在此过程中,转发的流量会因为接口地址和路由的变化,会重新选择出接口。待接口初始化完成以后,新建立的转发业务才会按照您所设置的方式进行转发。
· 设置完成后,您可以通过查看基本信息页面中的“MAC地址”来验证设置是否已生效。
路由器的WAN口支持以下几种速率和双工模式的组合:
表5-3 WAN口的速率和双工模式
项目 |
描述 |
Auto |
WAN口的双工和速率状态均由本端口和对端端口自动协商而定 缺省情况下,WAN口采用Auto模式 |
10M半双工 |
WAN口工作在10Mbps速率下,且端口同一时刻只能发送数据包或接收数据包 |
10M全双工 |
WAN口工作在10Mbps速率下,且端口在发送数据包的同时可以接收数据包 |
100M半双工 |
WAN口工作在100Mbps速率下,且端口同一时刻只能发送数据包或接收数据包 |
100M全双工 |
WAN口工作在100Mbps速率下,且端口在发送数据包的同时可以接收数据包 |
页面向导:接口设置→WAN设置→网口模式
本页面为您提供如下主要功能:
选择WAN口的速率和双工模式 |
· 除了Auto模式外,路由器WAN口的速率和双工模式需要与对端设备保持一致。
· 设置完成后,您可以通过查看端口流量页面中的“链路状态”来验证设置是否已生效。
当您修改了路由器LAN口的IP地址后,您需要在浏览器中输入新的IP地址重新登录,才能对路由器继续进行配置和管理。比如:某企业事先已经将整个IP地址段均已规划好,因此,您需要根据已规划好的IP地址来修改路由器LAN口的IP地址,以适应实际环境。
页面向导:接口设置→LAN设置→局域网设置
本页面为您提供如下主要功能:
修改LAN口的IP地址(缺省情况下,路由器LAN口的IP地址为192.168.1.1,子网掩码为255.255.255.0) |
修改LAN口IP地址后,其他页面中和IP地址相关的配置可能需要相应修改(如IP/MAC绑定表中的IP地址等),保持和LAN口IP在同一网段。
路由器出厂时,LAN口均有一个缺省的MAC地址,一般情况下,无需改变。但是,比如:某企业之前为了防止ARP攻击,给局域网内的主机均设置了网关的静态ARP表项。此时,如果企业想升级设备,将原来的网关换成了路由器(网关地址保持不变),局域网内的主机则无法学习到路由器的MAC地址。因此,您需要逐个修改局域网内主机的静态ARP表项,才可使局域网内的主机恢复正常上网,这样维护效率会很低。
路由器的LAN口MAC克隆功能可以使您免除这样的重复劳动,只需将路由器的LAN口MAC地址设为原来网关的MAC地址,局域网内的主机即可正常上网了。
页面向导:接口设置→LAN设置→局域网设置
本页面为您提供如下主要功能:
设置LAN口MAC地址克隆 |
页面中关键项的含义如下表所示。
表5-4 页面关键项描述
页面关键项 |
描述 |
使用设备MAC |
选中该项,使用路由器LAN口出厂时的MAC地址 |
手工输入MAC |
选中该项,输入原网关的MAC地址 |
路由器LAN口的基本属性包括端口的速率/双工模式、广播风暴抑制和流控功能。
路由器的LAN口支持以下几种速率和双工模式的组合:
表5-5 LAN口的速率和双工模式
项目 |
描述 |
Auto |
LAN口的双工和速率状态均由本端口和对端端口自动协商而定 缺省情况下,LAN口采用Auto模式 |
10M半双工 |
LAN口工作在10Mbps速率下,且端口同一时刻只能发送数据包或接收数据包 |
10M全双工 |
LAN口工作在10Mbps速率下,且端口在发送数据包的同时可以接收数据包 |
100M半双工 |
LAN口工作在100Mbps速率下,且端口同一时刻只能发送数据包或接收数据包 |
100M全双工 |
LAN口工作在100Mbps速率下,且端口在发送数据包的同时可以接收数据包 |
如果局域网内存在大量的广播报文流量(可能由病毒导致)时,将会影响网络的正常通信。您可以通过设置路由器LAN口的广播风暴抑制功能,可以有效地抑制大量广播报文的传播,避免网络拥塞,保证网络业务的正常运行。
路由器允许您设置四种LAN口的广播风暴抑制状态级别:不抑制、低、中、高。这四个级别允许通过的报文流量依次减少,您可根据实际需求进行相应的设置。缺省情况下,LAN口的广播风暴抑制功能处于关闭状态(即不抑制)。
一般仅在网络拥塞比较严重时,才开启路由器LAN口的流控功能。
当路由器和对端设备都开启了流量控制功能后,如果路由器发生拥塞:
· 路由器将向对端设备发送消息,通知对端设备暂时停止发送报文或减慢发送报文的速度。
· 对端设备在接收到该消息后,将暂停向路由器发送报文或减慢发送报文的速度,从而避免了报文丢失现象的发生,保证了网络业务的正常运行。
缺省情况下,路由器LAN口的流控功能处于关闭状态。
页面向导:接口设置→LAN设置→端口设置
本页面为您提供如下主要功能:
设置LAN口的基本属性 |
· 除了Auto模式外,路由器LAN口的速率和双工模式需要与对端设备保持一致。
· 设置完成后,您可以通过查看端口流量中的“链路状态”来验证端口模式设置是否已生效。
端口镜像是将指定镜像源端口的报文复制到镜像目的端口,镜像目的端口会与数据监测设备相连,用户利用这些数据监测设备来分析复制到目的端口的报文,进行网络监控和故障排除。
路由器提供本地端口镜像功能,即镜像源端口和镜像目的端口在同一台设备上。
图5-1 本地端口镜像示意图
页面向导:接口设置→LAN设置→端口镜像
本页面为您提供如下主要功能:
通过设置镜像源端口(被镜像端口)和镜像目的端口(镜像端口)来实现路由器的本地端口镜像 |
设置完成后,您可以通过查看端口流量页面中的“端口镜像信息”来验证设置是否已生效。
DHCP采用“客户端/服务器”通信模式,由客户端向服务器提出配置申请,服务器返回为客户端分配的IP地址等配置信息,以实现网络资源的动态配置。
在DHCP的典型应用中,一般包含一台DHCP服务器和多台DHCP客户端(比如:PC和便携机),如图5-2所示。
图5-2 DHCP典型应用
路由器作为DHCP服务器,提供两种IP地址分配策略:
· 手工分配地址:由管理员为特定客户端静态绑定IP地址。通过DHCP将配置的固定IP地址分配给客户端。
· 动态分配地址:DHCP为客户端分配具有一定有效期限的IP地址,当使用期限到期后,客户端需要重新申请地址。
(1) 路由器接收到DHCP客户端申请IP地址的请求时,首先查找手工设置的DHCP静态表,如果这台DHCP客户端的MAC地址在DHCP静态表中,则把对应的IP地址分配给该DHCP客户端。
(2) 如果申请IP地址的DHCP客户端MAC地址不在DHCP静态表中,或者DHCP客户端申请的IP地址与LAN口的IP地址不在同一网段,路由器会从地址池中选择一个在局域网中未被使用的IP地址分配给该主机。
(3) 如果地址池中没有任何可分配的IP地址,则主机获取不到IP地址。
如果主机离线(比如:主机关机了),路由器不会马上把之前分给它的IP地址分配出去,只有在地址池中没有其他可分配的IP地址,且该离线主机IP地址的租约过期时,才会分配出去。
页面向导:接口设置→DHCP设置→DHCP设置
本页面为您提供如下主要功能:
显示和修改已创建的DHCP服务器信息(主页面) |
页面中关键项的含义如下表所示。
表5-6 页面关键项描述
页面关键项 |
描述 |
地址池起始地址 |
DHCP服务器地址池的起始地址 |
地址池结束地址 |
DHCP服务器地址池的结束地址,且地址池结束地址要大于起始地址 |
地址租约 |
设置DHCP服务器分配给客户端IP地址的租借期限。当租借期满后,DHCP服务器会收回该IP地址,客户端必须重新申请(客户端一般会自动申请) 缺省情况下,地址租约为1440分钟 |
客户端域名 |
设置DHCP服务器分配给客户端使用的域名地址后缀 |
主DNS服务器 |
设置DHCP服务器分配IP地址时所携带的主DNS服务器地址 缺省情况下,DNS服务器地址为网关地址 |
辅DNS服务器 |
设置DHCP服务器分配IP地址时所携带的辅DNS服务器地址 缺省情况下,DNS服务器地址为网关地址 |
如果您想让路由器给某些特定的客户端分配固定的IP地址,可以事先通过DHCP静态表将客户端的MAC地址和IP地址进行绑定,使其成为一对一的分配关系。
当您设置路由器通过DHCP方式为客户端分配IP地址的同时又设置了ARP绑定,此时,请确保DHCP静态表项与ARP绑定表项不冲突,否则对应的客户端可能无法上网。建议您可以将ARP绑定表导出,然后再将其导入到DHCP静态表中。
页面向导:接口设置→DHCP设置→DHCP静态表
本页面为您提供如下主要功能:
显示和修改已添加的DHCP静态表项(主页面) |
|
单个添加DHCP静态表项(单击主页面上的<新增>按钮,在弹出的对话框中设置相应的参数,并单击<增加>按钮完成操作) |
|
批量添加DHCP静态表项(您可以先在本地编辑一个.cfg文件,内容格式为“MAC地址 IP地址 描述”(比如:00:0A:EB:7F:AA:AB 192.168.1.2 zhangsan),且每条静态表项之间需换行。单击主页面上的<导入>按钮,在弹出的对话框中选择该文件将其导入即可) |
|
将路由器当前的DHCP静态表项备份保存(.cfg文件),且您可用“记事本”程序打开该文件进行编辑(单击主页面上的<导出>按钮,确认后即可将其导出到本地) |
页面向导:接口设置→DHCP设置→DHCP客户列表
本页面为您提供如下主要功能:
· 显示已分配的DHCP客户列表信息 · 释放并回收指定客户端的IP地址,使该IP地址可以重新被分配(选择指定的客户项,比如:已关机客户PC,单击<释放>按钮即可) |
本章节主要包含以下内容:
· 设置ARP安全
· 设置接入控制
· 设置防火墙
· 设置防攻击
ARP是将IP地址解析为以太网MAC地址(或称物理地址)的协议。
在局域网中,当主机或其他网络设备有数据要发送给另一个主机或设备时,它必须知道对方的网络层地址(即IP地址)。但是仅仅有IP地址是不够的,因为IP数据报文必须封装成帧才能通过物理网络发送。因此发送方还必须有接收方的物理地址,需要一个从IP地址到物理地址的映射。ARP就是实现这个功能的协议。
图6-1 ARP报文结构
· 硬件类型:表示硬件地址的类型。它的值为1表示以太网地址。
· 协议类型:表示要映射的协议地址类型。它的值为0x0800即表示IP地址。
· 硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度,以字节为单位。对于以太网上IP地址的ARP请求或应答来说,它们的值分别为6和4。
· 操作类型(OP):1表示ARP请求,2表示ARP应答。
· 发送端MAC地址:发送方设备的硬件地址。
· 发送端IP地址:发送方设备的IP地址。
· 目标MAC地址:接收方设备的硬件地址。
· 目标IP地址:接收方设备的IP地址。
假设主机A和B在同一个网段,主机A要向主机B发送信息。如图6-2所示,具体的地址解析过程如下:
(1) 主机A首先查看自己的ARP表,确定其中是否包含有主机B对应的ARP表项。如果找到了对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给主机B。
(2) 如果主机A在ARP表中找不到对应的MAC地址,则将缓存该数据报文,然后以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址,目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机(即主机B)会对该请求进行处理。
(3) 主机B比较自己的IP地址和ARP请求报文中的目标IP地址,当两者相同时进行如下处理:将ARP请求报文中的发送端(即主机A)的IP地址和MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文给主机A,其中包含了自己的MAC地址。
(4) 主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP表中以用于后续报文的转发,同时将IP数据包进行封装后发送出去。
图6-2 ARP地址解析过程
当主机A和主机B不在同一网段时,主机A就会先向网关发出ARP请求,ARP请求报文中的目标IP地址为网关的IP地址。当主机A从收到的响应报文中获得网关的MAC地址后,将报文封装并发给网关。如果网关没有主机B的ARP表项,网关会广播ARP请求,目标IP地址为主机B的IP地址,当网关从收到的响应报文中获得主机B的MAC地址后,就可以将报文发给主机B;如果网关已经有主机B的ARP表项,网关直接把报文发给主机B。
设备通过ARP解析到目的MAC地址后,将会在自己的ARP表中增加IP地址到MAC地址的映射表项,以用于后续到同一目的地报文的转发。
ARP表项分为动态ARP表项和静态ARP表项。
· 动态ARP表项
动态ARP表项由ARP协议通过ARP报文自动生成和维护,会被新的ARP报文所更新。
· 静态ARP表项
静态ARP表项需要通过手工配置和维护,不会被动态的ARP表项所覆盖。
配置静态ARP表项可以增加通信的安全性。它可以限制和指定IP地址的设备通信时只使用指定的MAC地址,此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信。
通过设置ARP绑定,可以有效地防止路由器的ARP表项受到攻击,保证了网络的安全。
为了防止通过DHCP方式获取IP地址的主机在路由器上的ARP表项被篡改,您可以开启动态ARP绑定功能,使得所有通过DHCP服务器分配出去的IP地址和其对应的MAC地址自动绑定。且动态绑定的表项在地址租约到期后不会被删除。
页面向导:安全专区→ARP安全→ARP绑定
页面为您提供如下主要功能:
设置动态ARP绑定(选中“对DHCP分配的地址进行ARP保护”复选框,单击<应用>按钮生效) |
开启动态ARP绑定后,路由器通过DHCP方式获取到的ARP表项状态为“动态绑定”。反之,则为“未绑定”。
静态ARP绑定即需要通过手工配置和维护。建议您将局域网内所有主机都添加到路由器的静态ARP表项中。
页面向导:安全专区→ARP安全→ARP绑定
本页面为您提供如下主要功能:
· 显示和修改ARP表项(主页面) · 将动态获取到的ARP表项进行绑定(选中动态获取到的表项,单击<静态绑定>按钮即可完成绑定。此时,ARP表项状态则为“静态绑定”) |
|
单个添加静态ARP表项(单击主页上的<新增>按钮,在弹出的对话框中设置相应的参数,并单击<增加>按钮完成操作) |
|
批量添加静态ARP表项(您可以在本地用“记事本”程序创建一个.cfg文件,内容格式为“MAC地址 IP地址 描述”(比如:00:0A:EB:7F:AA:AB 192.168.1.2 zhangsan),且每条绑定项之间需换行。单击主页面上的<导入>按钮,在弹出的对话框中选择该文件将其导入即可) |
|
将路由器当前的ARP静态表项备份保存(.cfg文件),且您可用“记事本”程序打开该文件进行编辑(单击主页面上的<导出>按钮,确认后即可将其导出到本地) |
通过ARP检测功能,您可以快速地搜索到局域网内所有在线的主机,获取相应的ARP表项。同时,系统会检测这些表项当前的绑定状态以及是否存在异常(比如:获取的表项是否和路由器的静态ARP表项存在冲突等),并在页面的列表中以不同的颜色加以标明,帮助您更直观地对ARP表项进行判断和维护。
页面向导:安全专区→ARP安全→ARP检测
本页面为您提供如下主要功能:
· 搜索在线主机,获取ARP表项(输入指定的地址范围,单击<扫描>按钮即可。如果您想清除当前的搜索结果,请单击<清除结果>按钮) · 将获取到的、未绑定的ARP表项进行批量绑定(选中未绑定项,单击<静态绑定>按钮即可) |
免费ARP报文是一种特殊的ARP报文,该报文中携带的发送端IP地址和目标IP地址都是本机IP地址,报文源MAC地址是本机MAC地址,报文的目的MAC地址是广播地址。
设备通过对外发送免费ARP报文来实现以下功能:
· 确定其他设备的IP地址是否与本机的IP地址冲突。当其他设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址相同,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。
· 设备改变了硬件地址,通过发送免费ARP报文通知其他设备更新ARP表项。
路由器支持定时发送免费ARP功能,这样可以及时通知下行设备更新ARP表项或者MAC地址表项,主要应用场景如下:
· 防止仿冒网关的ARP攻击
如果攻击者仿冒网关发送免费ARP报文,就可以欺骗同网段内的其他主机,使得被欺骗的主机访问网关的流量,被重定向到一个错误的MAC地址,导致其他用户无法正常访问网络。
为了尽量避免这种仿冒网关的ARP攻击,可以在网关的接口上开启能定时发送免费ARP功能。开启该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址的免费ARP报文。这样,每台主机都可以学习到正确的网关,从而正常访问网络。
· 防止主机ARP表项老化
在实际环境中,当网络负载较大或接收端主机的CPU占用率较高时,可能存在ARP报文被丢弃或主机无法及时处理接收到的ARP报文等现象。这种情况下,接收端主机的动态ARP表项会因超时而被老化,在其重新学习到发送设备的ARP表项之前,二者之间的流量就会发生中断。
为了解决上述问题,您可以在路由器的接口上开启定时发送免费ARP功能。开启该功能后,路由器接口上将按照配置的时间间隔周期性地发送接口主IP地址的免费ARP报文。这样,接收端主机可以及时更新ARP映射表,从而防止了上述流量中断现象。
页面向导:安全专区→ARP安全→ARP防护
本页面为您提供如下主要功能:
· 设置路由器丢弃源MAC地址不合法的ARP报文,即选中该功能后,当设备接收到的ARP报文的源MAC地址为0、组播MAC地址或广播MAC地址时,则直接将其丢弃不对其进行ARP学习(缺省情况下,此功能处于开启状态) · 设置路由器丢弃源MAC地址不一致的报文,即选中该功能后,当设备接收到的ARP报文的源MAC地址与该报文的二层源MAC地址不一致时(通常情况下,认为存在ARP欺骗),则直接将其丢弃不对其进行ARP学习(缺省情况下,此功能处于关闭状态) · 设置路由器ARP报文学习抑制,即选中该功能后,设备在一段时间内只学习第一个返回的ARP响应报文,丢弃其他响应报文,从而防止有过多的ARP响应报文返回造成ARP表项异常(缺省情况下,此功能处于开启状态) |
|
· 设置路由器检测到ARP欺骗时,LAN口或WAN口会主动发送免费ARP(缺省情况下,此功能处于开启状态) · 设置路由器LAN口主动定时发送免费ARP(缺省情况下,此功能处于关闭状态) · 设置路由器WAN口主动定时发送免费ARP(缺省情况下,此功能处于关闭状态) |
设置完成后,您可以通过查看运行状态页面中的“ARP防攻击”来验证功能是否已启用。
通过MAC过滤功能,您可以有效地控制局域网内的主机访问外网。路由器为您提供两种MAC过滤功能:
· 仅允许MAC地址列表中的MAC访问外网:如果您仅允许局域网内的某些主机访问外网,可以选中此功能,并添加相应的主机MAC地址表项。
· 仅禁止MAC地址列表中的MAC访问外网:如果您想禁止局域网内的某些主机访问外网,可以选中此功能,并添加相应的主机MAC地址表项。
页面向导:安全专区→接入控制→MAC过滤
本页面为您提供如下主要功能:
根据实际需求启用相应的MAC过滤功能(主页面。选择相应的MAC过滤功能后,单击<应用>按钮生效) |
|
单个添加MAC过滤表项(单击主页面上的<新增>按钮,在弹出的对话框中添加一个需要过滤的MAC地址,单击<增加>按钮完成操作) |
|
通过导入路由器的ARP绑定表来批理添加MAC过滤表项(单击主页面上的<从ARP表项导入>按钮,在弹出的对话框中选择需要过滤的MAC地址,单击<导入MAC地址过滤表>按钮完成操作) |
|
通过配置文件批量添加MAC过滤表项(您可以在本地用“记事本”程序创建一个.cfg文件,内容格式为“MAC地址 描述”,且每条过滤项之间需要换行。单击主页面上的<导入>按钮,在弹出的对话框中选择该文件将其导入即可) |
|
将当前您需要进行过滤处理的MAC地址保存(.cfg文件),且您可用“记事本”程序打开该文件进行编辑(单击主页面上的<导出>按钮,确认后即可将其导出到本地) |
设置完成后,您可以通过查看运行状态页面中的“MAC过滤”来验证功能是否已启用。
通过网站过滤功能,您可以灵活地限制局域网内的主机所能访问的网站及生效时间。路由器支持以下配置:
(1) 两种网站过滤功能:
· 仅允许访问列表中的网站地址:如果您想让局域网内的主机仅能访问固定的某些网站,可以选中此功能,然后添加相应的网站地址。
· 仅禁止访问列表中的网站地址:如果您想让局域网内的主机不能访问某些非法网站,可以选中此功能,然后添加相应的网站地址。
(2) 生效时间:如果您想让局域网内的计算机在每周的固定时间内使能网站过滤功能,可以设置生效时间;生效时间包括两部分内容,在一天中生效的时间段,时间使用24小时制,起始时间应早于结束时间,00:00~24:00表示该规则在一天内任何时间都生效;一周中哪些天规则生效。
(3) 两种匹配方式:设备支持模糊匹配和精确匹配两种匹配方式。
(4) 网站过滤特权IP功能:特权IP控制,支持设置网站过滤全局特权IP地址范围,属于特权IP地址范围的用户,网站过滤功能不生效。特权IP地址段,包括起始IP地址和结束IP地址,起始IP地址不能大于结束IP地址。设备最多支持设置20条特权IP地址段。
页面向导:安全专区→接入控制→网站过滤
本页面为您提供如下主要功能:
根据实际需求启用相应的网站过滤功能(主页面。选择相应的网站过滤功能后,单击<应用>按钮生效) |
|
单个添加网站地址(单击主页面上的<新增>按钮,在弹出的对话框中选择匹配方式,并添加需要过滤的网站地址或对应网站地址的匹配信息,单击<增加>按钮完成操作) |
|
批量添加网站地址(您可以在本地用“记事本”程序创建一个.cfg文件,内容格式为0 abc 或1 www.abc.com,其中0表示模糊匹配,1表示精确匹配,且每条过滤项之间需要换行。单击主页面上的<导入>按钮,在弹出的对话框中选择该文件将其导入即可) |
|
将当前您需要进行过滤处理的网站地址保存(.cfg文件),且您可用“记事本”程序打开该文件进行编辑(单击主页面上的<导出>按钮,确认后即可将其导出到本地) |
· 网站过滤仅对HTTP站点生效,且您输入站点时不能带有http://。比如:要禁止访问www.abc.com网站,可以输入“www.abc.com”,但不能输入“http://www.abc.com”。
· 设置完成后,您可以通过查看运行状态页面中的“网站过滤”来验证功能是否已启用。
IPMAC过滤功能可以同时对报文中的源MAC地址和源IP地址进行匹配,仅当源MAC地址和源IP地址均符合条件的主机才允许访问外网。IPMAC过滤功能支持以下两种匹配方式:
· 仅允许DHCP服务器分配的客户端访问外网:即开启此功能后,不在路由器DHCP服务器分配的客户列表中的用户将无法访问外网。此方式可以运用于企业环境中,因为企业通常使用DHCP方式为客户端分配IP地址。
· 仅允许ARP静态绑定的客户端访问外网:即开启此功能后,不在ARP静态绑定表中的客户端将无法访问外网。此方式可以运用于网吧环境中,因为网吧通常为客户端设置静态IP地址。
页面向导:安全专区→接入控制→IPMAC过滤
本页面为您提供如下主要功能:
设置IPMAC过滤功能(选择相应的IPMAC过滤匹配方式,单击<应用>按钮生效) |
设置完成后,您可以通过查看运行状态页面中的“IPMAC过滤”来验证功能是否已启用。
路由器的防火墙功能为您实现了根据报文的内容特征(比如:协议类型、源/目的IP地址等),来对入站方向(从因特网发向局域网的方向)和出站方向(从局域网发向因特网的方向)的数据流执行相应的控制,保证了路由器和局域网内主机的安全运行。
页面向导:安全专区→防火墙→出站通信策略
本页面为您提供如下主要功能:
设置报文在出站方向上未匹配任何您预先设定的规则时,系统所采取的策略(主页面。在“出站通信缺省策略”下拉框中选择指定的方式,单击<应用>按钮生效) |
|
添加匹配规则来控制指定的报文(在主页面上单击<新增>按钮,在弹出的对话框中设置相应的匹配项,单击<增加>按钮完成操作) |
页面中关键项的含义如下表所示。
表6-1 页面关键项描述
页面关键项 |
描述 |
出站通信缺省策略 |
· “允许”:允许内网主动发起的访问报文通过 · “禁止”:禁止内网主动发起的访问报文通过 缺省情况下,出站通信缺省策略为“允许” · 当缺省策略是“允许”时,您手动添加的策略即为“禁止”,反之亦然 · 缺省策略更改后,所有已配置的出站通信策略将会被清空,且仅对新建立的访问连接生效 · 当您手动添加了出站通信策略后,系统会优先根据该策略对主机进行访问控制,如果未匹配手动添加的策略,则遵循缺省策略 |
协议类型 |
选择需要匹配的报文的协议类型 |
起始IP/结束IP(源IP地址范围) |
输入需要匹配的报文的源IP地址段 · 起始IP地址不能大于结束IP地址 · 如果无需匹配报文的源IP地址,您可以将起始IP地址设置为0.0.0.0,结束IP地址设置为255.255.255.255 |
源端口范围 |
输入需要匹配的报文的源端口范围 如果无需匹配报文的源端口号,您可以将其设置为1~65535 |
起始IP/结束IP(目的IP地址范围) |
输入需要匹配的报文的目的IP地址段 · 起始IP地址不能大于目的IP地址 · 如果无需匹配报文的目的IP地址,您可以将起始IP地址设置为0.0.0.0,结束IP地址设置为255.255.255.255 |
目的端口范围 |
输入需要匹配的报文的目的端口范围 如果无需匹配报文的源端口号,您可以将其设置为1~65535 |
生效时间 |
设置此新增规则的生效时间 生效时间需要您指定具体的时间段,比如:某天的某个时间段 |
是否启用 |
在下拉列表框中选择“启用”,表示此匹配策略生效;选择“禁用”,表示此匹配策略不生效 |
描述 |
对此新增规则进行简单的描述 |
设置完成后,您可以通过查看运行状态页面中的“出站缺省策略”来验证功能是否已启用。
页面向导:安全专区→防火墙→入站通信策略
本页面为您提供如下主要功能:
设置报文在入站方向上未匹配任何您预先设定的规则时,系统所采取的策略(主页面。在“入站通信缺省策略”下拉框中选择指定的方式,单击<应用>按钮生效) |
|
添加匹配规则来控制指定的报文(在主页面上单击<新增>按钮,在弹出的对话框中设置相应的匹配项,单击<增加>按钮完成操作) |
页面中关键项的含义如下表所示。
表6-2 页面关键项描述
页面关键项 |
描述 |
入站通信缺省策略 |
· “禁止”:禁止外网主动发起的访问报文通过 · “允许”:允许外网主动发起的访问报文通过 · 当路由器工作于NAT模式下时(即开启了NAT功能),入站通信缺省策略不允许配置,且仅为“禁止”;当路由器工作于路由模式下时(即关闭了NAT功能),入站通信缺省策略才允许选择配置,且缺省情况下为“允许” · 当缺省策略是“禁止”时,您手动添加的策略即为“允许”,反之亦然 · 缺省策略更改后,所有已配置的出站通信策略将会被清空,且仅对新建立的访问连接生效 · 当您手动添加了入站通信策略后,路由器会优先根据该策略对主机进行访问控制,如果未匹配手动添加的策略,则遵循缺省策略 |
协议类型 |
选择需要匹配的报文的协议类型 |
起始IP/结束IP(源IP地址范围) |
输入需要匹配的报文的源IP地址段 · 起始IP地址不能大于结束IP地址 · 如果无需匹配报文的源IP地址,您可以将起始IP地址设置为0.0.0.0,结束IP地址设置为255.255.255.255 |
源端口范围 |
输入需要匹配的报文的源端口范围 如果无需匹配报文的源端口号,您可以将其设置为1~65535 |
目的IP地址(目的IP地址范围) |
输入需要匹配的报文的目的IP地址 当路由器工作于NAT模式下时(即开启了NAT功能),仅允许设置单个目的IP地址;当路由器工作于路由模式下时(即关闭了NAT功能),允许设置目的IP地址范围 |
目的端口范围 |
输入需要匹配的报文的目的端口范围 如果无需匹配报文的源端口号,您可以将其设置为1~65535 |
生效时间 |
设置此新增规则的生效时间 生效时间需要您指定具体的时间段,比如:某天的某个时间段 |
是否启用 |
在下拉列表框中选择“启用”,表示此匹配策略生效;选择“禁用”,表示此匹配策略不生效 |
描述 |
对此新增规则进行简单的描述 |
设置完成后,您可以通过查看运行状态页面中的“入站缺省策略”来验证功能是否已启用。
在复杂网络环境中,常常由于主机异常或中毒,导致其不断地发送一些攻击报文,造成路由器资源和网络带宽不必要的消耗。防攻击主要的目的就是发现并丢弃非法的报文,以保证整体网络的稳定性。
路由器为您提供了以下三种防攻击方式:
· IDS防范
IDS防范主要用于发现一些常见的攻击类型报文对路由器的扫描和一些常见的DOS攻击,并丢弃相应的报文。在一定程度上,可以有效地保护路由器的正常运行。
· 报文源认证
攻击类型的报文多种多样,除了ARP欺骗外,最主要的是伪装IP地址的报文和伪装MAC地址的报文。您通过设置路由器的静态路由表和ARP表项,可以在很大程度上认证内网发送的报文的合法性。比如:当报文的源IP地址属于不可达网段,报文的源IP地址/源MAC地址和静态ARP表项存在冲突等,则路由器会认为该报文是非法伪装的报文,会直接将其丢弃。
· 异常流量防护
在网络实际应用中,往往会由于单台主机中毒或异常,导致这台主机大量发送数据包。而这些报文并不能被路由器的报文源认证功能确定为非法的报文,此时会大量地消耗路由器的资源。开启该功能后,路由器会对各台主机的流量进行检查,并根据您所选择的防护等级(包括:高、中、低三种)进行相应的处理,以确保路由器受到此类异常流量攻击时仍可正常工作。
页面向导:安全专区→防攻击→IDS防范
本页面为您提供如下主要功能:
开启指定攻击类型报文的IDS防范(选中您需要防范的攻击类型,单击<应用>按钮生效) |
· 本页面中的各攻击类型的介绍请参见路由器的在线联机帮助。
· 仅当您选择了“丢弃攻击报文,并记入日志”选项,路由器才会对攻击事件以日志的形式记录。日志信息的查看,请参见“13.2.1 查看日志信息”。
· 设置完成后,您可以通过查看运行状态页面中的“IDS防范功能”来验证功能是否已启用。
页面向导:安全专区→防攻击→报文源认证
本页面为您提供如下主要功能:
选择基于哪个表项(静态路由表、静态ARP表、动态ARP表)来对报文进行源认证(选中相应的功能项,单击<应用>按钮生效) |
页面中关键项的含义如下表所示。
表6-3 页面关键项描述
页面关键项 |
描述 |
启用基于静态路由的报文源认证功能 |
开启该功能后,路由器将根据静态路由表对所有报文的源IP地址进行检查。如果静态路由表中存在到该源IP地址的表项,则转发该报文;否则丢弃该报文 比如:路由器LAN口下挂的设备接口地址为192.168.1.5/24,内网为192.200.200.0/24网段。同时,您设置静态路由目的地址为192.200.200.0/24,下一跳为192.168.1.5,出接口为LAN口。此时,路由器允许从192.200.200.0/24网段转发过来的报文通过 |
启用基于ARP绑定、DHCP分配ARP防护下的报文源认证功能 |
开启该功能后,路由器将根据静态ARP表的绑定关系及DHCP分配列表中的对应关系,来认证内网的报文。如果报文的源IP地址/MAC地址与静态ARP表中的IP地址/MAC地址对应关系存在冲突,则路由器将其直接丢弃 比如:您设置了一条ARP静态绑定项(将源IP地址:192.168.1.100与源MAC地址:08:00:12:00:00:01绑定)。当路由器LAN侧收到一个报文,其源IP地址为192.168.1.100,但源MAC地址为08:00:12:00:00:02,路由器会将该报文丢弃 |
启用基于动态ARP的报文源认证功能 |
开启该功能,路由器将会根据动态ARP表的对应关系,来认证内网的报文。如果报文的源IP地址/MAC地址与已确认合法的动态ARP表的IP地址/MAC地址对应关系存在冲突,则路由器将其直接丢弃 比如:路由器动态学习到一条ARP表项(源IP地址:192.168.1.100,源MAC地址:08:00:12:00:00:01),当路由器LAN侧在该ARP表项老化之前收到一个报文,其源IP地址为192.168.1.100,但源MAC地址为08:00:12:00:00:02,路由器会将该报文丢弃 |
页面向导:安全专区→防攻击→异常流量防护
本页面为您提供如下主要功能:
选择防护等级来对异常主机流量进行防护(选中“启用异常主机流量防护功能”复选框,并选择相应的防护等级,单击<应用>按钮生效) |
页面中关键项的含义如下表所示。
表6-4 页面关键项描述
页面关键项 |
描述 |
高 |
选中该单选框,路由器会把检查到的攻击主机添加到本页面下方的攻击列表中,并在一段时间内(即您所选择的“生效时间”)禁止其访问路由器和因特网 |
中 |
选中该单选框,路由器会把检查到的攻击主机的上行流量限制在10Mbps范围内 |
低 |
选中该单选框,路由器仅对上行流量超过10Mbps的攻击主机以事件的形式记入日志 |
本章节主要包含以下内容:
· 云WiFi简介
· 设置云WiFi
云WiFi主要面向企业和公众用户,通过手机号可以注册一个商户账号,该账号可对分散在不同位置的路由器或AP进行统一管理,实现远程监控、远程管理、业务推送、用户管理等功能,适用于无线网络的业务部署。
接入Internet网络后,单击设备Web管理页面的<注册>按钮进行注册。完成账户注册和设备注册激活后,可通过云管理平台(gate.h3c.com)对用户进行访问控制以及业务推送。
本章节内容仅ER2100n支持。
页面向导:云WiFi→云WiFi设置→云WiFi
本页面为您提供如下主要功能:
页面中关键项的含义如下表所示。
表7-1 页面关键项描述
页面关键项 |
描述 |
连接状态 |
显示服务器连接状态 · 已连接:设备与服务器连接成功 · 未连接:设备未与服务器建立连接或者与服务器连接失败 |
注册状态 |
显示设备的注册状态 · 已注册:设备在WiFi管理平台注册成功 · 未注册:设备未在WiFi管理平台注册或者注册失败 |
页面向导:云WiFi→云WiFi设置→云WiFi
本页面为您提供如下主要功能:
1. 注册WiFi管理平台 单击<注册>按钮,弹出云平台注册页面 |
|
· 新用户请点击“注册新账户”,进行账户注册 · 已有账户的用户可以直接输入用户名(即注册时使用的手机号)、密码,单击<注册激活>按钮完成设备注册 |
|
3. 注册新账户 填写手机号、密码并确认密码后,单击<发送验证码>按钮,获取手机验证码后进行填写,并单击<下一步>按钮 |
|
4. 完善信息 · 填写姓名、邮箱、商户名、商户描述等信息 · 点击“我同意服务条款和隐私政策”复选框 |
|
5. 注册成功 注册完成后点击“H3C云平台网站”,跳转至云平台页面并自动登录注册账户 |
· 注册新账户时只能通过用户输入的手机号进行注册,且该手机号作为账户的用户名使用。
· 一个账户可以注册激活多台设备。
接口启用认证后,通过该接口接入的客户端需要通过云WiFi认证才能上网。
页面向导:云WiFi→云WiFi设置→云WiFi
本页面为您提供如下主要功能:
· 启用认证的无线接口 选择需要启用认证的接口,单击<绑定>按钮,完成设置 |
VPN是近年来随着Internet的广泛应用而迅速发展起来的一种新技术,用以实现在公用网络上构建私人专用网络。“虚拟”主要指这种网络是一种逻辑上的网络。
IPSec是IETF制定的三层隧道加密协议,它为Internet上数据的传输提供了高质量的、可互操作的、基于密码学的安全保证。特定的通信方之间在IP层通过加密与数据源认证等方式,可以获得以下的安全服务:
· 数据机密性(Confidentiality):IPSec发送方在通过网络传输包前对包进行加密。
· 数据完整性(Data Integrity):IPSec接收方对发送方发送来的包进行认证,以确保数据在传输过程中没有被篡改。
· 数据来源认证(Data Authentication):IPSec接收方可以认证IPSec报文的发送方是否合法。
· 防重放(Anti-Replay):IPSec接收方可检测并拒绝接收过时或重复的报文。
可以通过IKE为IPSec提供自动协商交换密钥、建立和维护SA的服务,以简化IPSec的使用和管理。IKE协商并不是必须的,IPSec所使用的策略和算法等也可以手工协商。
IPSec通过如下两种协议来实现安全服务:
· AH是认证头协议,协议号为51。主要提供的功能有数据源认证、数据完整性校验和防报文重放功能,可选择的认证算法有MD5、SHA-1等。AH报文头插在标准IP包头后面,保证数据包的完整性和真实性,防止黑客截获数据包或向网络中插入伪造的数据包。
· ESP是报文安全封装协议,协议号为50。与AH协议不同的是,ESP将需要保护的用户数据进行加密后再封装到IP包中,以保证数据的机密性。常见的加密算法有DES、3DES、AES等。同时,作为可选项,用户可以选择MD5、SHA-1算法保证报文的完整性和真实性。
AH和ESP可以单独使用,也可以联合使用。设备支持的AH和ESP联合使用的方式为:先对报文进行ESP封装,再对报文进行AH封装,封装之后的报文从内到外依次是原始IP报文、ESP头、AH头和外部IP头。
(1) SA
IPSec在两个端点之间提供安全通信,端点被称为IPSec对等体。
SA是IPSec的基础,也是IPSec的本质。SA是通信对等体间对某些要素的约定,例如,使用哪种协议(AH、ESP还是两者结合使用)、协议的封装模式(传输模式和隧道模式)、加密算法(DES、3DES和AES)、特定流中保护数据的共享密钥以及密钥的生存周期等。
SA是单向的,在两个对等体之间的双向通信,最少需要两个SA来分别对两个方向的数据流进行安全保护。同时,如果两个对等体希望同时使用AH和ESP来进行安全通信,则每个对等体都会针对每一种协议来构建一个独立的SA。
SA由一个三元组来唯一标识,这个三元组包括SPI(Security Parameter Index,安全参数索引)、目的IP地址、安全协议号(AH或ESP)。
SPI是为唯一标识SA而生成的一个32比特的数值,它在AH和ESP头中传输。在手工配置SA时,需要手工指定SPI的取值;使用IKE协商产生SA时,SPI将随机生成。
SA是具有生存周期的,且只对通过IKE方式建立的SA有效。生存周期到达指定的时间或指定的流量,SA就会失效。SA失效前,IKE将为IPSec协商建立新的SA,这样,在旧的SA失效前新的SA就已经准备好。在新的SA开始协商而没有协商好之前,继续使用旧的SA保护通信。在新的SA协商好之后,则立即采用新的SA保护通信。
(2) 验证算法与加密算法
【验证算法】:
验证算法的实现主要是通过杂凑函数。杂凑函数是一种能够接受任意长的消息输入,并产生固定长度输出的算法,该输出称为消息摘要。IPSec对等体计算摘要,如果两个摘要是相同的,则表示报文是完整未经篡改的。
IPSec使用以下两种验证算法:
表8-1 验证算法
验证算法 |
描述 |
MD5 |
MD5通过输入任意长度的消息,产生128bit的消息摘要 与SHA-1相比:计算速度快,但安全强度略低 |
SHA-1 |
SHA-1通过输入长度小于2的64次方bit的消息,产生160bit的消息摘要 与MD5相比:计算速度慢,但安全强度更高 |
【加密算法】:
加密算法实现主要通过对称密钥系统,它使用相同的密钥对数据进行加密和解密。
IPSec支持以下三种加密算法:
表8-2 加密算法
加密算法 |
描述 |
DES |
使用64bit的密钥对一个64bit的明文块进行加密 |
3DES |
使用三个64bit的DES密钥(共192bit密钥)对明文进行加密 |
AES |
使用128bit、192bit或256bit密钥长度的AES算法对明文进行加密 |
这三个加密算法的安全性由高到低依次是:AES、3DES、DES,安全性高的加密算法实现机制复杂,但运算速度慢。对于普通的安全要求,DES算法就可以满足需要。
(3) 协商方式
有如下两种协商方式建立SA:
· 手工方式配置比较复杂,创建SA所需的全部信息都必须手工配置,而且不支持一些高级特性(例如定时更新密钥),但优点是可以不依赖IKE而单独实现IPSec功能。
· IKE自动协商方式相对比较简单,只需要配置好IKE协商安全策略的信息,由IKE自动协商来创建和维护SA。
当与之进行通信的对等体设备数量较少时,或是在小型静态环境中,手工配置SA是可行的。对于中、大型的动态网络环境中,推荐使用IKE协商建立SA。
(4) 安全隧道
安全隧道是建立在本端和对端之间可以互通的一个通道,它由一对或多对SA组成。
· 中心/分支模式应用在一对多网络中,如图8-1所示。中心/分支模式的网络采用野蛮模式进行IKE协商,可以使用安全网关名称或IP地址作为本端ID。在中心/分支模式的网络中,中心节点不会发起IPSec SA的协商,需要由分支节点首先向中心节点发起IPSec SA的协商。路由器通常作为分支节点的VPN接入设备使用。
图8-1 中心/分支模式组网
· 对等模式应用在一对一网络中,如图8-2所示。在对等模式的网络中,两端的设备互为对等节点,都可以向对端发起IPSec SA的协商。
路由器提供以下两种方法提导您完成IPSec VPN设置:
· 通过快速向导实现IPSec VPN(推荐在大多数应用环境下使用)
· 通过高级设置实现IPSec VPN(当VPN设置向导参数不能满足您当前特殊的应用环境时使用)
VPN设置向导可以帮忙您快速地完成IPSec VPN隧道的创建,轻易地实现安全、远程的连接,进一步提高设置效率。
下面以一个一对一网络的IPSec VPN隧道设置为例进行讲解:
在Router A(采用ER2100)和Router B(采用ER2100)之间建立一个安全隧道,对客户分支机构A所在的子网(192.168.1.0/24)与客户分支机构B所在的子网(172.16.1.0/24)之间的数据流进行安全保护。
图8-3 组网示意图
· 设置Router A
1. 选择“VPN→VPN向导→VPN向导” |
|
2. 单击<开始>按钮,进入第一步:设置安全策略名和预共享密钥(PSK) |
|
3. 单击<下一步>按钮,进入第二步:设置对端地址信息和对端子网IP/掩码信息 如果是在中心/分支模式组网应用中,建议您尽可能将作为分支节点的ER2100的对端子网IP/掩码参数设置成为宽范围 |
|
4. 单击<下一步>按钮,进入第三步:选择协商模式 |
|
5. 单击<下一步>按钮,进入第四步:设置预览,同时您可根据组网配置方案来修改IKE安全提议和IPSec安全提议,单击<完成>按钮完成设置 |
· 设置Router B
对端Router B上的IPSec VPN设置与Router A是相互对应的,除了对端地址和对端子网IP/掩码需要做相应修改,其他的设置均一致。此处略。
· 查看VPN状态
两端均设置完成后,您可以通过选择路由器的“VPN→VPN状态→安全联盟”页面,并单击<刷新>按钮来查看相应的隧道是否已成功建立。
在实施IPSec 的过程中,可以使用IKE协议来建立SA。该协议建立在由Internet SA和密钥管理协议ISAKMP定义的框架上。IKE为IPSec 提供了自动协商交换密钥、建立SA的服务,能够简化IPSec的使用和管理。
IKE不是在网络上直接传输密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥,并且即使第三者截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。
(1) IKE的安全机制
IKE具有一套自保护机制,可以在不安全的网络上安全地认证身份、分发密钥、建立IPSec SA。
【数据认证】:
数据认证有如下两方面的概念:
· 身份认证:身份认证确认通信双方的身份,支持预共享密钥认证。
· 身份保护:身份数据在密钥产生之后加密传送,实现了对身份数据的保护。
【DH】:
DH算法是一种公共密钥算法。通信双方在不传输密钥的情况下通过交换一些数据,计算出共享的密钥。即使第三者(如黑客)截获了双方用于计算密钥的所有交换数据,由于其复杂度很高,不足以计算出真正的密钥。所以,DH交换技术可以保证双方能够安全地获得公有信息。
【PFS】:
PFS特性是一种安全特性,指一个密钥被破解,并不影响其他密钥的安全性,因为这些密钥间没有派生关系。对于IPSec,是通过在IKE阶段2协商中增加一次密钥交换来实现的。PFS特性是由DH算法保障的。
(2) IKE的交换过程
IKE使用了两个阶段为IPSec进行密钥协商并建立SA:
· 第一阶段,通信各方彼此间建立了一个已通过身份认证和安全保护的通道,即建立一个ISAKMP SA。第一阶段有主模式和野蛮模式两种IKE交换方法。
· 第二阶段,用在第一阶段建立的安全隧道为IPSec协商安全服务,即为IPSec协商具体的SA,建立用于最终的IP数据安全传输的IPSec SA。
如图8-4所示,第一阶段主模式的IKE协商过程中包含三对消息:
· 第一对叫SA交换,是协商确认有关安全策略的过程;
· 第二对消息叫密钥交换,交换Diffie-Hellman公共值和辅助数据(如:随机数),密钥材料在这个阶段产生;
· 最后一对消息是ID信息和认证数据交换,进行身份认证和对整个SA交换进行认证。
野蛮模式交换与主模式交换的主要差别在于,野蛮模式不提供身份保护,只交换3条消息。在对身份保护要求不高的场合,使用交换报文较少的野蛮模式可以提高协商的速度;在对身份保护要求较高的场合,则应该使用主模式。
(3) IKE在IPSec中的作用
· 因为有了IKE,IPSec很多参数(如:密钥)都可以自动建立,降低了手工配置的复杂度。
· IKE协议中的DH交换过程,每次的计算和产生的结果都是不相关的。每次SA的建立都运行DH交换过程,保证了每个SA所使用的密钥互不相关。
· IPSec使用AH或ESP报文头中的序列号实现防重放。此序列号是一个32比特的值,此数溢出后,为实现防重放,SA需要重新建立,这个过程需要IKE协议的配合。
· 对安全通信的各方身份的认证和管理,将影响到IPSec的部署。IPSec的大规模使用,必须有认证机构或其他集中管理身份数据的机构的参与。
· IKE提供端与端之间动态认证。
(4) IPSec与IKE的关系
图8-5 IPSec与IKE的关系图
从图8-5中我们可以看出IKE和IPSec的关系:
· IKE是UDP之上的一个应用层协议,是IPSec的信令协议;
· IKE为IPSec协商建立SA,并把建立的参数及生成的密钥交给IPSec;
· IPSec使用IKE建立的SA对IP报文加密或认证处理。
安全提议定义了一套属性数据来描述IKE 协商怎样进行安全通信。配置IKE 提议包括选择加密算法、选择验证算法、选择Diffie-Hellman组标识。
页面向导:VPN→IPSEC VPN→IKE安全提议
本页面为您提供如下主要功能:
显示和修改已添加的IKE安全提议(主页面) |
|
添加一条新的IKE安全提议(单击主页面上的<新增>按钮,在弹出的对话框中设置相应的参数,并单击<增加>按钮完成操作) |
页面中关键项的含义如下表所示。
表8-3 页面关键项描述
页面关键项 |
描述 |
安全提议名称 |
输入安全提议的名称 |
IKE验证算法 |
选择IKE所使用的验证算法 缺省情况下,使用MD5 |
IKE加密算法 |
选择IKE所使用的加密算法 缺省情况下,使用3DES |
IKE DH组 |
选择IKE所使用的DH算法 · DH1:768位DH组 · DH2:1024位DH组 · DH5:1536位DH组 · DH14:2048位DH组 缺省情况下,使用DH2 |
对等体定义了协商的双方,包括本端发起协商接口、对方地址、采用的安全提议、协商模式、ID类型等信息。只有经定义的双方才能够进行协商通信。
页面向导:VPN→IPSEC VPN→IKE对等体
本页面为您提供如下主要功能:
显示和修改已添加的IKE对等体(主页面) |
|
添加一个新的IKE对等体单击主页面上的<新增>按钮,在弹出的对话框中设置相应的参数,并单击<增加>按钮完成操作) |
页面中关键项的含义如下表所示。
表8-4 页面关键项描述
页面关键项 |
描述 |
对等体名称 |
输入对等体的名称 |
对端地址 |
设置对等体对端的地址信息 如果对端地址不是固定地址而是动态地址,建议通过将对端地址配置为动态域名的方式进行连接 |
协商模式 |
选择协商模式。主模式一般应用于点对点的对等组网模式;野蛮模式一般应用于中心/分支组网模式 缺省情况下,使用主模式 |
ID类型、本端ID、对端ID |
此设置项需在野蛮模式下进行 当ID类型为NAME类型时,还需要指定相应的本端ID与对端ID |
安全提议 |
选择对等体需要引用的IKE安全提议 |
预共享密钥(PSK) |
设置IKE认证所需的预共享密钥(pre-shared-key) |
生命周期 |
设置IKE SA存在的生命周期(IKE SA实际的周期以协商结果为准) |
DPD开启 |
DPD用于IPsec邻居状态的检测。启动DPD功能后,当接收端在触发DPD的时间间隔内收不到对端的IPSec加密报文时,会触发DPD查询,主动向对端发送请求报文,对IKE对等体是否存在进行检测 |
DPD周期 |
指定对等体DPD检测周期,即触发DPD查询的间隔时间 |
DPD超时时间 |
指定对等体DPD检测超时时间,即等待DPD应答报文超时的时间 |
安全提议保存IPSec需要使用的特定安全性协议,以及加密/验证算法,为IPSec协商SA提供各种安全参数。为了能够成功的协商IPSec的SA,两端必须使用相同的安全提议。
页面向导:VPN→IPSEC VPN→IPSec安全提议
本页面为您提供如下主要功能:
显示和修改已添加的IPSec安全提议(主页面) |
|
添加一条新的IPSec安全提议(单击主页面上的<新增>按钮,在弹出的对话框中设置相应的参数,并单击<增加>按钮完成操作) |
页面中关键项的含义如下表所示。
表8-5 页面关键项描述
页面关键项 |
描述 |
安全提议名称 |
输入安全提议的名称 |
安全协议类型 |
选择安全协议类型来实现安全服务 缺省情况下,使用ESP |
AH验证算法 |
选择AH验证算法 缺省情况下,使用MD5 |
ESP验证算法 |
选择ESP验证算法 缺省情况下,使用MD5 |
ESP加密算法 |
选择ESP加密算法 缺省情况下,使用3DES |
安全策略规定了对什么样的数据流采用什么样的安全提议。安全策略分为手工安全策略和IKE协商安全策略。前者需要用户手工配置密钥、SPI等参数;后者则由IKE自动协商生成这些参数。
页面向导:VPN→IPSEC VPN→IPSec安全策略
本页面为您提供如下主要功能:
开启IPSec功能、显示和修改已添加的安全策略(主页面) |
|
设置使用IKE协商方式建立SA(单击主页面上的<新增>按钮,在弹出的对话框中选择“协商类型”为IKE协商并设置相应的参数,单击<增加>按钮完成操作) |
|
设置使用手动协商方式建立SA(单击主页面上的<新增>按钮,在弹出的对话框中选择“协商类型”为手动模式并设置相应的参数,单击<增加>按钮完成操作) |
页面中关键项的含义如下表所示。
表8-6 页面关键项描述
页面关键项 |
描述 |
|||
启用IPSec |
选中“启用IPSec”,开启IPSec功能 缺省情况下,禁用IPSec功能 |
|||
安全策略名称 |
设置安全策略的名称,后面的复选框可以设置该安全策略的使用状态 |
|||
本地子网IP/掩码 |
本地子网IP/掩码和对端子网IP/掩码,两个配置项组成一个访问控制规则。IPSec通过此访问控制规则来定义需要保护的数据流,访问控制规则匹配的报文将会被保护 本地子网IP/掩码和对端子网IP/掩码分别用来指定IPSec VPN隧道本端和对端的子网网段 |
|||
对端子网IP/掩码 |
||||
协商类型 |
选择IPSec协商方式 缺省情况下,使用IKE协商方式 |
|||
IKE协商模式 |
对等体 |
选择需要引用的IKE对等体 |
||
安全提议 |
选择需要引用的IPSec安全提议 |
|||
PFS |
PFS特性是一种安全特性,指一个密钥被破解,并不影响其他密钥的安全性,因为这些密钥间没有派生关系。IKE在使用安全策略发起一个协商时,可以进行一个PFS交换。如果本端设置了PFS特性,则发起协商的对端也必须设置PFS特性,且本端和对端指定的DH组必须一致,否则协商会失败 · 禁止:关闭PFS特性 · DH1:768位DH组 · DH2:1024位DH组 · DH5:1536位DH组 · DH14:2048位DH组 缺省情况下,PFS特性处于关闭状态 |
|||
生命周期 |
设置IPSec SA存在的生命周期 缺省情况下,生命周期为28800秒 |
|||
触发模式 |
用来指定隧道的触发模式 · 流量触发:IKE隧道配置下发后,不会自动建立隧道,会等待兴趣流来触发隧道建立 · 长连模式:IKE隧道配置下发后或隧道异常断开后,会自动建立隧道,并且保证隧道长时间建立,不需等待兴趣流触发 |
|||
手动模式 |
对端地址 |
指定IPSec对等体另外一端的IP地址 |
||
安全提议 |
选择需要引用的IPSec安全提议 |
|||
入/出SPI值 |
在安全隧道的两端设置的SA参数必须是完全匹配的。本端入方向SA的SPI必须和对端出方向SA的SPI一样;本端出方向SA的SPI必须和对端入方向SA的SPI一样。SPI具有唯一性,不允许输入相同的SPI值 |
|||
安全联盟使用的密钥 |
入/出ESP MD5密钥 入/出ESP 3DES密钥 |
在安全隧道的两端设置的SA参数必须是完全匹配的。本端入方向SA的密钥必须和对端出方向SA的密钥一样;本端出方向SA的密钥必须和对端入方向SA的密钥一样 |
|
|
页面向导:VPN→IPSEC VPN→安全联盟
本页面为您提供如下主要功能:
单击<刷新>按钮,您可以查看已建立的VPN隧道及对应的安全策略信息 |
IPSec VPN隧道建立后,路由器会自动添加一条路由信息(目的地址是为IPSec VPN对端网段地址,出接口为IPSec VPN虚接口)。您可以通过单击“静态路由”页面中的<查看路由信息表>按钮来获知。
· L2TP特性简介
· 设置L2TP特性
VPDN(Virtual Private Dial-up Network,虚拟专用拨号网络)是指利用公共网络(如ISDN或PSTN)的拨号功能接入公共网络,实现虚拟专用网,从而为企业、小型ISP、移动办公人员等提供接入服务。即,VPDN为远端用户与私有企业网之间提供了一种经济而有效的点到点连接方式。
VPDN采用隧道协议在公共网络上为企业建立安全的虚拟专网。企业驻外机构和出差人员可从远程经由公共网络,通过虚拟隧道实现和企业总部之间的网络连接,而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。
VPDN隧道协议主要包括以下三种:
· PPTP(Point-to-Point Tunneling Protocol,点到点隧道协议)
· L2F(Layer 2 Forwarding,二层转发)
· L2TP(Layer 2 Tunneling Protocol,二层隧道协议)
L2TP结合了L2F和PPTP的各自优点,是目前使用最为广泛的VPDN隧道协议。
L2TP(RFC 2661)是一种对PPP链路层数据包进行封装,并通过隧道进行传输的技术。L2TP允许连接用户的二层链路端点和PPP会话终点驻留在通过分组交换网络连接的不同设备上,从而扩展了PPP模型,使得PPP会话可以跨越分组交换网络,如Internet。
使用L2TP协议构建的VPDN应用的典型组网如图9-1所示。
图9-1 应用L2TP构建的VPDN服务
在L2TP构建的VPDN中,网络组件包括以下三个部分:
· 远端系统
远端系统是要接入VPDN网络的远地用户和远地分支机构,通常是一个拨号用户的主机或私有网络的一台路由设备。
· LAC(L2TP Access Concentrator,L2TP访问集中器)
LAC是具有PPP和L2TP协议处理能力的设备,通常是一个当地ISP的NAS(Network Access Server,网络接入服务器),主要用于为PPP类型的用户提供接入服务。
LAC作为L2TP隧道的端点,位于LNS和远端系统之间,用于在LNS和远端系统之间传递信息包。它把从远端系统收到的信息包按照L2TP协议进行封装并送往LNS,同时也将从LNS收到的信息包进行解封装并送往远端系统。
VPDN应用中,LAC与远端系统之间通常采用PPP链路。
· LNS(L2TP Network Server,L2TP网络服务器)
LNS既是PPP端系统,又是L2TP协议的服务器端,通常作为一个企业内部网的边缘设备。
LNS作为L2TP隧道的另一侧端点,是LAC的对端设备,是LAC进行隧道传输的PPP会话的逻辑终止端点。通过在公网中建立L2TP隧道,将远端系统的PPP连接由原来的NAS在逻辑上延伸到了企业网内部的LNS。
L2TP中存在两种消息:
· 控制消息:用户隧道和会话连接的建立、维护和拆除。它的传输是可靠传输,并且支持对控制消息的流量控制和拥塞控制。
· 数据消息:用于封装PPP帧,并在隧道上传输。它的传输是不可靠传输,若数据报文丢失,不予重传,不支持对数据消息的流量控制和拥塞控制
控制消息和数据消息共享相同的报文头,通过报文头中的Type字段来区分控制消息和数据消息。
图9-2描述了控制通道以及PPP帧和数据通道之间的关系。PPP帧在不可靠的L2TP数据通道上进行传输,控制消息在可靠的L2TP控制通道内传输。
图9-2 L2TP协议结构
图9-3描述了LAC与LNS之间的L2TP数据报文的封装结构。通常L2TP数据以UDP报文的形式发送。L2TP注册了UDP 1701端口,但是这个端口仅用于初始的隧道建立过程中。L2TP隧道发起方任选一个空闲的端口(未必是1701)向接收方的1701端口发送报文;接收方收到报文后,也任选一个空闲的端口(未必是1701),给发送方的指定端口回送报文。至此,双方的端口选定,并在隧道保持连通的时间段内不再改变。
图9-3 L2TP报文封装结构图
在一个LNS和LAC对之间存在着两种类型的连接。
· 隧道(Tunnel)连接:它对应了一个LNS和LAC对。
· 会话(Session)连接:它复用在隧道连接之上,用于表示承载在隧道连接中的每个PPP会话过程。
在同一对LAC和LNS之间可以建立多个L2TP隧道,隧道由一个控制连接和一个或多个会话连接组成。会话连接必须在隧道建立(包括身份保护、L2TP版本、帧类型、硬件传输类型等信息的交换)成功之后进行,每个会话连接对应于LAC和LNS之间的一个PPP数据流。
控制消息和PPP数据报文都在隧道上传输。L2TP使用Hello报文来检测隧道的连通性。LAC和LNS定时向对端发送Hello报文,若在一段时间内未收到Hello报文的应答,隧道断开。
L2TP隧道的建立支持以下两种典型模式。
· Client-Initiated
如图9-4所示,直接由LAC客户(指本地支持L2TP协议的用户)发起L2TP隧道连接。LAC客户获得Internet访问权限后,可直接向LNS发起隧道连接请求,无需经过一个单独的LAC设备建立隧道。LAC客户的私网地址由LNS分配。
在Client-Initiated模式下,LAC客户需要具有公网地址,能够直接通过Internet与LNS通信。
图9-4 Client-Initiated L2TP隧道模式
在该模式中,由ER2100n担当LNS角色。
· LAC-Auto-Initiated
如图9-5所示,LAC上创建一个虚拟的PPP用户,LAC将自动向LNS发起建立隧道连接的请求,为该虚拟PPP用户建立L2TP隧道。远端系统访问LNS连接的内部网络时,LAC将通过L2TP隧道转发这些访问数据。
在该模式下,远端系统和LAC之间可以是任何基于IP的连接,不局限于拨号连接。
图9-5 LAC-Auto-Initiated L2TP隧道模式
在该模式中,由ER2100n担当LAC角色。
与L2TP相关的协议规范有:
· RFC 1661:The Point-to-Point Protocol (PPP)
· RFC 1918:Address Allocation for Private Internets
· RFC 2661:Layer Two Tunneling Protocol “L2TP”
支持L2TP特性的设备,既可以担任L2TP客户端(LAC)的角色,又可以担任L2TP服务端(LNS)的角色,下面将对这两种应用场景分别进行介绍。
页面向导:VPN→L2TP VPN→L2TP客户端
本页面为您提供如下主要功能:
设置L2TP客户端(LAC) |
页面中关键项的含义如下表所示。
表9-1 页面关键项描述
页面关键项 |
描述 |
启用LAC |
启用或禁用LAC功能 缺省情况下,LAC处于禁用状态 |
L2TP用户名 |
LNS管理的允许建立会话的用户名(由远端的LNS管理员分配) |
L2TP密码 |
LNS管理的允许建立会话的用户密码(由远端的LNS管理员分配) |
L2TP服务器地址 |
LNS的公网地址(由远端的LNS管理员分配) |
本端名称 |
标记该L2TP客户端的名称 |
地址获取方式 |
选择LAC会话建立成功后PPP接口的IP地址获取方式; · 动态:由LNS分配 · 静态:LAC端手工设置一个IP地址 缺省情况下,地址获取方式为动态获取 |
静态IP地址 |
LAC手工设置的IP,只有在地址获取方式选择静态时起作用(由远端的LNS管理员分配) |
启用隧道认证 |
设置是否启用L2TP隧道验证功能,当启用隧道验证时需要设置隧道验证密码 隧道验证请求可由LAC或LNS任何一侧发起。只要有一端启用了隧道验证,则只有在对端也启用了隧道验证,两端密码完全一致且不为空的情况下,隧道才能建立;否则本端将自动断开隧道连接。若隧道两端都禁止了隧道验证,隧道验证的密码一致与否将不起作用 缺省情况下,未启用隧道认证 |
隧道认证密码 |
为了保证隧道安全,建议用户启用隧道验证功能。如果为了进行网络连通性测试或者接收不知名对端发起的连接,则也可不进行隧道验证(隧道认证的密码由远端的LNS管理员分配) |
HELLO报文间隔 |
设置发送Hello报文的时间间隔,单位为秒 为了检测LAC和LNS之间隧道的连通性,LAC和LNS会定期向对端发送Hello报文,接收方接收到Hello报文后会进行响应。当LAC或LNS在指定时间间隔内未收到对端的Hello响应报文时,重复发送,如果重复发送6次仍没有收到对端的响应信息则认为L2TP隧道已经断开,需要重新建立隧道连接 LNS端可以配置与LAC端不同的Hello报文间隔 缺省情况下,Hello报文间隔为60秒 |
页面向导:VPN→L2TP VPN→L2TP服务端
本页面为您提供如下主要功能:
设置L2TP服务端(LNS) |
页面中关键项的含义如下表所示。
表9-2 页面关键项描述
页面关键项 |
描述 |
启用LNS |
启用或禁用LNS功能 缺省情况下,LNS处于禁用状态 |
L2TP服务器名称 |
标识该L2TP网络服务的名称 |
地址池 |
设置给L2TP客户端分配地址所用的地址池 设置地址池的开始IP地址和结束IP地址 开始和结束地址之间的地址数不能超过100 起始地址和结束地址前24位要一致,即输入地址格式: x1.x2.x3.y-x1.x2.x3.y1,即起始与结束地址x1.x2.x3要一致,如:地址池设置为:10.5.100.100~10.5.100.155,要确保起始地址和结束地址10.5.100一致就可以了 结束地址被LNS的PPP接口使用,不分配给接入客户端 |
启用隧道认证 |
设置是否在该组中启用L2TP隧道验证功能,当启用隧道验证时需要设置隧道验证密码 隧道验证请求可由LAC侧发起。只要有一端启用了隧道验证,则只有在对端也启用了隧道验证,两端密码完全一致且不为空的情况下,隧道才能建立;否则本端将自动断开隧道连接。若隧道两端都禁止了隧道验证,隧道验证的密码一致与否将不起作用 缺省情况下,未启用隧道认证 |
隧道认证密码 |
为了保证隧道安全,建议启用隧道验证功能。如果为了进行网络连通性测试或者接收不知名对端发起的连接,则也可不进行隧道验证 |
HELLO报文间隔 |
设置发送Hello报文的时间间隔,单位为秒 为了检测LAC和LNS之间隧道的连通性,LAC和LNS会定期向对端发送Hello报文,接收方接收到Hello报文后会进行响应。当LAC或LNS在指定时间间隔内未收到对端的Hello响应报文时,重复发送,如果重复发送6次仍没有收到对端的响应信息则认为L2TP隧道已经断开,需要重新建立隧道连接 LNS端可以配置与LAC端不同的Hello报文间隔 缺省情况下,Hello报文间隔为60秒 |
页面向导:VPN→L2TP VPN→LNS用户管理
本页面为您提供如下主要功能:
LNS用户查询(关键字过滤选择用户名或状态,在关键字中输入用户名或选择用户状态,单击<查询>按钮生效) |
|
LNS新增用户(击主页面上的<新增>按钮,在弹出的对话框中输入用户名、密码和选择用户状态,单击<增加>按钮生效) |
|
修改用户信息(双击主页面上的列表中的用户项或者单击图标,在弹出的对话框中修改密码和用户状态,单击<修改>按钮生效) |
页面中关键项的含义如下表所示。
表9-3 页面关键项描述
页面关键项 |
描述 |
用户名 |
LNS管理的用户,LAC与该LNS建立会话时要使用的用户名 |
密码 |
LNS管理的用户,LAC与该LNS建立会话时要使用的用户密码 |
状态 |
LNS管理的用户状态 启用:LNS允许远端的L2TP客户端使用该用户建立会话 禁用:LNS不允许远端的L2TP客户端使用该用户建立会话 |
页面向导:VPN→L2TP VPN→L2TP状态
本页面为您提供如下主要功能:
· 显示当前L2TP客户端信息 · 连接或断开L2TP客户端连接 · 显示当前作为LNS时已建立会话和隧道的信息 |
页面中关键项的含义如下表所示。
表9-4 页面关键项描述
页面关键项 |
描述 |
链路状态 |
显示L2TP客户端当前的连接状态 |
本端IP地址 |
显示L2TP客户端当前,本端PPP接口的IP地址 |
对端IP地址 |
显示L2TP客户端当前,对端PPP接口的IP地址 |
用户名 |
显示LNS服务中,当前接入客户端建立会话使用的用户名 |
对端地址 |
显示LNS服务中,当前接入客户端的公网IP地址 |
对端主机名称 |
显示LNS服务中,当前接入客户端的主机名称 |
本端隧道ID |
显示LNS服务中,当前已建立隧道的本端ID |
对端隧道ID |
显示LNS服务中,当前已建立隧道的对端ID |
VPN用户访问公司总部过程如下:
LAC上创建虚拟PPP用户,LAC自动向LNS发起建立隧道连接的请求,为该虚拟PPP用户建立L2TP隧道。
VPN用户通过LAN将访问公司总部的报文发送给LAC。
LAC封装该报文,并通过已经建立的L2TP隧道将报文发送给LNS,VPN用户与公司总部间的通信都通过LAC与LNS之间的隧道进行传输。
公司办事处通过L2TP客户端,与远端的公司总部的LNS进行连接。
图9-6 设备作为L2TP客户端配置举例
· 将路由器的WAN口接公网线路;
· 设置WAN口通过静态方式连接到因特网;
· 设置L2TP客户端为启用状态;
· 设置公司总部提供的LNS的IP地址、L2TP隧道密码以及提供建立PPP连接的用户名、密码;
· 设置L2TP客户端地址获取方式设置为动态获取。
此典型配置案例中所涉及的设置均在路由器缺省配置的基础上进行。如果您之前已经对路由器做过相应的配置,为了保证效果,请确保当前配置和以下配置不冲突。
(1) LAC侧配置
在管理计算机的Web浏览器地址栏中输入http://192.168.1.1,回车。输入缺省的用户名:admin,密码:admin,单击<登录>按钮后便可进入Web设置页面 |
|
设置WAN口IP为:192.16.100.19,网关地址:192.16.100.11(静态IP和网关都是由运营商分配) |
|
配置LAC信息(启用LAC功能,输入用户名:vpdnuser,密码:hello,L2TP服务器IP:192.16.100.31,地址方式选择动态获取,启用隧道认证,隧道认证密码为:tunnel-auth,单击<应用>按钮后发起L2TP连接请求) |
(2) LNS侧配置
公司总部的LNS服务器运行正常,并提供LNS则配置信息,如下表所示。
表9-5 LNS管理员提供的配置
页面关键项 |
内容 |
用户名 |
vpdnuser |
密码 |
hello |
隧道认证是否开启 |
开启隧道认证模式 |
隧道认证密码 |
tunnel-auth |
LNS的公网IP地址 |
192.16.100.31 |
(3) 验证配置结果
选择“VPN→L2TP VPN→L2TP状态→L2TP客户端信息”来查看L2TP客户端连接情况,当链路状态为:已连接时,则可正常访问公司总部的资源了 |
VPN用户访问公司总部过程如下:
(1) 配置用户侧主机的IP地址和路由,确保用户侧主机和LNS之间路由可达。
(2) 由用户向LNS发起Tunnel连接的请求。
(3) 在LNS接受此连接请求之后,VPN用户与LNS之间就建立了一条虚拟的L2TP tunnel。
(4) 用户与公司总部间的通信都通过VPN用户与LNS之间的隧道进行传输。
公司办事处员工通过WindowsXP的L2TP客户端接入公司总部的设置L2TP服务端,来访问内部资源。
图9-7 设备作为L2TP服务器配置举例
· 将路由器的WAN口接公网线路;
· 设置WAN口通过静态方式连接到因特网;
· 设置LNS服务为启用状态,并配置信息;
· 添加允许接入的用户信息。
此典型配置案例中所涉及的设置均在路由器缺省配置的基础上进行。如果您之前已经对路由器做过相应的配置,为了保证效果,请确保当前配置和以下配置不冲突。
(1) LNS侧配置
在管理计算机的Web浏览器地址栏中输入http://192.168.1.1,回车。输入缺省的用户名:admin,密码:admin,单击<登录>按钮后便可进入Web设置页面 |
|
设置WAN口IP为:192.16.100.31,网关地址:192.16.100.11(静态IP和网关都是由运营商分配) |
|
配置LNS信息(启用LNS,输入L2TP服务器名称:H3C-LNS-000,地址池:10.5.0.155~10.5.0.200,启用隧道认证,认证密码为:tunnel-auth,单击<应用>按钮生效) |
|
新增用户(单击主LNS用户管理页面上的<新增>按钮,在弹出的对话框中输入用户名:user01,密码:hello,用户状态:启用,单击<增加>按钮生效) |
完成以上所有设置后,您可以通过下列操作来查看当前LNS配置情况:
选择“VPN→L2TP VPN→LNS服务端”来查看当前LNS配置信息 |
|
选择“VPN→L2TP VPN→LNS用户管理”来查看允许L2TP客户端使用的用户信息 |
(2) 设置Windows7的L2TP客户端
首先,要创建一个L2TP客户端,进入电脑“控制面板”,选择“网络和共享中心”,单击“设置新的连接或网络” |
|
弹出“设置连接或网络”,选择“连接到工作区”选项,单击<下一步>按钮 |
|
选择“使用我的Internet连接(VPN)(I)”选项 |
|
键入要连接的Internet地址,单击<下一步>按钮 |
|
在新窗口中输入用户名:user01;密码hello;单击<连接>按钮进行连接 |
(3) 验证配置结果
LNS侧,通过选择“VPN→L2TP VPN→L2TP状态”来查看当前的LNS服务端会话信息 |
|
打开Windows7的L2TP客户端, 通过选择L2TP协议连接终端的状态选项,来查看当前的连接情况 |
QoS是指针对网络中各种应用不同的需求,提供不同的服务质量,比如:提供专用带宽、减少报文丢失率、降低报文传送时延及抖动。
本章节主要包含以下内容:
· 设置IP流量限制
· 设置专用通道
· 设置网络连接限数
某些应用(比如:P2P下载等)在给用户带来方便的同时,也占用了大量的网络带宽。一个网络的总带宽是有限的,如果这些应用过度占用网络带宽,必将会影响其他用户正常使用网络。
为了保证局域网内所有用户都能正常使用网络资源,您可以通过IP流量限制功能对局域网内指定主机的流量进行限制。
路由器支持以下两种IP流量限制方式:
· 允许每IP通道借用空闲的带宽(推荐使用):即弹性带宽限制,在带宽使用不紧张时,允许每台主机可以使用系统空闲带宽,其实际流量可以超过限速值。
· 每IP通道只能使用预设的带宽:即固定带宽限制,每台主机的实际流量不能超过限速值。即使系统还有空闲的带宽,也不能利用。
一般情况下,上网流量都通过正常通道来转发(正常通道是指除了绿色专用通道和限制专用通道以外的通道),IP流量限制仅对该通道中的流量生效。正常通道的带宽=接口带宽(从运营商申请到的实际带宽)-绿色专用通道的带宽。
页面向导:QoS设置→流量管理→IP流量限制
本页面为您提供如下主要功能:
启用IP流量限制功能,并设置您所需的限制方式(主页面。选中“启用IP流量限制”复选框,选择相应的限制方式,并设置WAN网口的带宽(否则可能发生掉线),单击<应用>按钮生效) |
|
添加限速规则(单击<新增>按钮,在弹出的对话框中设置限速规则,单击<增加>按钮完成操作) |
页面中关键项的含义如下表所示。
表10-1 页面关键项描述
页面关键项 |
描述 |
启用IP流量限制 |
开启路由器的IP流量限制功能 缺省情况下,IP流量限制功能处于关闭状态 设置完成后,您可以通过查看运行状态页面中的“IP流量限制”来验证功能是否已启用 |
允许每IP通道借用空闲的带宽 |
选择路由器的IP流量限制方式 缺省情况下,路由器采用每IP通道只能使用预设的带宽 以出口带宽为30M,带机量为150台为例:每IP上行和下行流量上限均可设置为200Kbps,同时开启使用允许每IP通道借用空闲的带宽 |
每IP通道只能使用预设的带宽 |
|
WAN带宽 |
设置WAN网口的带宽 请根据运营商提供给您的线路的带宽设置。带宽设置会对IP流量限制、绿色专用通道和限制专用通道等功能产生影响,请务必设置准确 |
表项序号 |
由于系统会根据表项的序号来顺序匹配,因此您可以通过此选项来调整该表项的匹配优先级 缺省情况下,新增的表项会排在最后 |
IP起始地址 |
输入局域网内需要进行流量限制的主机的起始IP地址 |
IP结束地址 |
输入局域网内需要进行流量限制的主机的结束IP地址 |
共享方式 |
选择需要进行流量限制的计算机的带宽共享方式,当受限地址类型为IP地址范围时可选择独占或共享,为IP网段时,系统自动设定为共享,无法修改 · 独占:受限地址范围内的每台计算机各自占有给定的带宽(即流量上限),如IP地址范围为192.168.1.2—192.168.1.11,流量上限为1000Kbps,表示此IP范围内的每台计算机的流量上限为1000Kbps · 共享:受限地址范围内的所有计算机共享给定的带宽,如IP地址范围为192.168.1.2—192.168.1.11,流量上限为1000Kbps,表示此IP范围内的所有主机的流量之和的上限为1000Kbps |
限速接口 |
选择IP流量限速所应用的接口 · WAN:仅当流量从WAN网口出入时,才进行限速 |
限速方向 |
选择IP流量限速方向: · “上行限速”:限制由局域网发送到因特网的数据流速率(比如:局域网内主机向因特网上的FTP服务器上传文件) · “下行限速”:限制由因特网发送到局域网的数据流速率(比如:局域网内主机从因特网上的FTP服务器下载文件) · “双向限速”:同时限制上行、下行两个方向上的数据流速率 |
每IP上行流量上限 |
输入最大上行流量 此最大上行流量限制值是在“IP起始地址”和“IP结束地址”地址段中各个主机的上行带宽,而不是IP地址段内所有主机的共享上行带宽 |
每IP下行流量上限 |
输入最大下行流量 此最大下行流量限制值是在“IP起始地址”和“IP结束地址”地址段中各个主机的下行带宽,而不是IP地址段内所有主机的共享下行带宽 |
生效时间 |
选择IP流量限制的生效时间。生效时间包括两部分内容:在一天中生效的时间段,时间使用24小时制,起始时间应早于结束时间,00:00~24:00表示该规则在一天内任何时间都生效;星期选择表示一周中哪些天规则生效。请为设备配置正确的系统时间 |
描述 |
对此条新增限速规则进行描述 |
当对相同的单个IP地址或IP地址网段,在同一个限速接口上进行限速时,先添加的限速规则生效。比如:
· 先添加规则1:设置用户(192.168.0.2)在WAN网口上的IP流量限速为300Kbps。
· 后添加规则2:设置用户(192.168.0.2)在WAN网口上的IP流量限速为400Kbps。
生效情况:规则1生效。
未设置限速规则的用户,带宽不做限制,只受系统转发能力的限制;当路由器开启弹性带宽后,系统为了合理地分配带宽,限速的用户可以占用一定的弹性带宽。
路由器为您提供了绿色专用通道和限制专用通道的设置:
· 绿色专用通道:您可以将特定的数据业务流通过绿色通道转发,从而可以保证对时延要求较高的应用(比如:网络游戏)有足够带宽。在绿色专用通道中,路由器支持根据您设置的报文长度大小和协议端口号来匹配数据流。
· 限制专用通道:您可以将特定的数据业务流通过限制通道转发,从而可以限制大流量P2P应用的带宽。在限制通道中,路由器支持根据您设置的报文协议端口号来匹配数据流。
比如:某网吧的实际带宽为10Mbps,有100人在上网,其中大部分用户都在玩某类游戏,还有部分用户在使用P2P软件下载影片。此时,您可以为玩某类游戏的用户设置绿色专用通道,为P2P下载影片的用户设置限制专用通道。从而保证即使线路存在拥塞时,游戏数据包仍然能得到及时转发,并可以限制P2P下载过度占用带宽。
页面向导:QoS设置→流量管理→绿色通道管理
本页面为您提供如下主要功能:
启用绿色通道功能,并设置相关参数(主页面。选中“启用绿色专用通道”复选框,设置此绿色通道的每接口上/下行流量限速,并选择数据流匹配方式,单击<应用>按钮生效) |
|
添加用于匹配数据流的协议端口号(单击主页面上的<新增>按钮,在弹出的对话框中设置匹配项,单击<增加>按钮完成操作) |
页面中关键项的含义如下表所示。
表10-2 页面关键项描述
页面关键项 |
描述 |
启用绿色专用通道 |
缺省情况下,绿色专用通道处于关闭状态 设置完成后,您可以通过查看运行状态页面中的“绿色通道管理”来验证功能是否已启用 |
每接口上行流量上限 |
输入每个WAN网口所占用的绿色专用通道的最大上行流量 |
每接口下行流量上限 |
输入每个WAN网口所占用的绿色专用通道的最大下行流量 |
启用数据包长度选择 |
选中该复选框,并设置报文长度,路由器会根据报文的长度来识别需要发送到绿色专用通道的流量 缺省情况下,此功能处于关闭状态 |
启用端口选择 |
选中该复选框,路由器会根据协议端口来识别需要发送到绿色专用通道的流量 缺省情况下,此功能处于关闭状态 |
应用名称 |
设置需要识别的端口组的描述名称,可以为空 |
端口号 |
设置需要识别的协议端口号 对局域网发送到因特网的流量,路由器匹配目的端口号;对因特网发送到局域网的流量,路由器匹配源端口号 |
如果报文长度选择和端口选择同时开启时,只要匹配其中一项即可识别成功,且报文长度选择优先匹配。
页面向导:QoS设置→流量管理→限制通道管理
本页面为您提供如下主要功能:
启用限制通道功能,并设置相关参数(主页面。选中“启用限制通道”复选框,设置此限制通道的每接口上/下行流量限速,单击<应用>按钮生效) |
|
添加用于匹配数据流的协议端口号(单击主页面上的<新增>按钮,在弹出的对话框中设置匹配项,单击<增加>按钮完成操作) |
页面中关键项的含义如下表所示。
表10-3 页面关键项描述
页面关键项 |
描述 |
启用限制通道 |
缺省情况下,限制通道处于关闭状态 设置完成后,您可以通过查看运行状态页面中的“限制通道管理”来验证功能是否已启用 |
每接口上行流量上限 |
输入每个WAN网口所占用的限制通道的最大上行流量 |
每接口下行流量上限 |
输入每个WAN网口所占用的限制通道的最大下行流量 |
应用名称 |
设置需要识别的端口组的描述名称,可以为空 |
端口号 |
设置需要识别的协议端口号 对局域网发送到因特网的流量,路由器匹配目的端口号;对因特网发送到局域网的流量,路由器匹配源端口号 |
当局域网内的主机遭受NAT攻击时,主机的网络连接数可能会超过几万个,从而会严重影响业务的正常运行或出现网络掉线现象。此时,您可对指定主机的最大网络连接数进行限制,保证网络资源的有效利用。
页面向导:QoS设置→连接限制→网络连接限数
本页面为您提供如下主要功能:
启用网络连接限数功能(主页面。选中“启用网络连接限数”复选框,单击<应用>按钮生效) |
|
添加指定IP地址范围内每台主机同时发起的最大网络连接数(单击主页面上的<新增>按钮,在弹出的对话框中设置相应参数,单击<增加>按钮完成操作) |
页面中关键项的含义如下表所示。
表10-4 页面关键项描述
页面关键项 |
描述 |
启用网络连接限数 |
缺省情况下,网络连接限数功能处于关闭状态 设置完成后,您可以通过查看运行状态页面中的“网络连接限数”来验证功能是否已启用 |
表项序号 |
由于系统会根据表项的序号来顺序匹配,因此您可以通过此选项来调整该表项的匹配优先级 缺省情况下,新增的表项会排在最后 |
起始IP地址 |
输入对局域网内进行网络连接限数的主机的起始IP地址 |
结束IP地址 |
输入对局域网内进行网络连接限数的主机的结束IP地址 |
每IP总连接数上限 |
输入指定主机的网络连接数上限值 |
每IP TCP连接数上限 |
允许指定IP范围的每台主机同时向WAN侧发起的最大TCP连接数,可留空 |
每IP UDP连接数上限 |
允许指定IP范围的每台主机同时向WAN侧发起的最大UDP连接数,可留空 |
描述 |
对此网络连接限数项进行描述 |
当对相同的单个IP地址或IP地址网段进行网络连接限数时,先添加的限数规则生效。比如:
· 先添加规则1:设置192.168.0.1~192.168.0.100网段中的用户网络连接数上限为40。
· 后添加规则2:设置192.168.0.1~192.168.0.100网段中的用户网络连接数上限为50。
生效情况:规则1生效。
本章节主要包含以下内容:
· 设置NAT
· 设置虚拟服务器
· 设置端口触发
· 设置ALG应用
· 设置路由
· 业务控制
· 应用服务
NAT可以实现局域网内的多台主机通过1个或多个公网IP地址接入因特网,即用少量的公网IP地址代表较多的私网IP地址,节省公网的IP地址。
私网IP地址是指内部网络或主机的IP地址,公网IP地址是指在因特网上全球唯一的IP地址。
RFC 1918为私网预留出了三个IP地址块,如下:
· A类:10.0.0.0~10.255.255.255
· B类:172.16.0.0~172.31.255.255
· C类:192.168.0.0~192.168.255.255
上述三个范围内的地址不会在因特网上被分配,因此可以不必向运营商或注册中心申请而在公司或企业内部自由使用。
路由器支持提供以下三种NAT转换方式
· 一对一NAT:将局域网内主机的IP地址一对一转换为指定的公网IP地址,即对应主机访问因特网时有自己的公网IP地址。在这种方式下,局域网内的其他主机及因特网上的主机都可以通过访问对应的公网IP地址来访问该主机。
· 多对一NAT:当路由器拥有单个公网IP地址时,如果局域网内的主机访问外网,其私网IP地址均自动转换为对应的WAN网口的IP地址。
· 多对多NAT:当路由器拥有多个公网IP地址时,如果局域网内的主机访问外网,其私网IP地址会自动转换为公网IP地址池中的其中一个IP地址。
比如:某企业申请了一条电信线路,分配的公网IP地址范围是218.3.55.20~218.3.55.30。该企业需要对外开放Web服务器(IP地址为192.168.1.5)、Mail服务器(IP地址为192.168.1.6)和FTP服务器(IP地址为:192.168.1.7)。此时,您可以使用一对一NAT方式将服务器IP地址与公网IP地址建议一对一地址转换,其他主机上网时可使用公网IP地址池中的其他IP地址,从而可以充分利用所有的公网IP地址。
仅当开启了NAT功能后,您所设置的一对一NAT、多对一NAT和多对多NAT才会生效。
当您需要将设备作为普通的路由器使用时,可以关闭NAT功能。
页面向导:高级设置→地址转换→NAT设置
本页面为您提供如下主要功能:
· 开启NAT功能(选中“使用NAT地址转换”单选按钮,单击<应用>按钮生效) · 关闭NAT功能(选中“不使用NAT地址转换”单选按钮,单击<应用>按钮生效) |
设置完成后,您可以通过查看运行状态页面中的“NAT模式”来验证功能是否已启用。
在您设置一对一NAT前,请先开启NAT功能。
页面向导:高级设置→地址转换→一对一NAT
本页面为您提供如下主要功能:
设置一对一NAT(选中“启用”复选框,设置指定的内网IP与公网IP的映射关系,单击<应用>按钮生效) |
在您设置多对一和多对多NAT前,请先开启NAT功能。
页面向导:高级设置→地址转换→NAT设置
本页面为您提供如下主要功能:
设置多对一NAT(根据您实际所连接的线路,选择相应的“自动使用WAN IP地址”单选按钮,单击<应用>按钮生效) |
|
设置多对多NAT(根据您实际所连接的线路,选择相应的“使用NAT地址池中的地址”单选按钮,并设置NAT地址池范围,单击<应用>按钮生效) |
建议您在H3C技术人员的指导下对网络连接参数进行操作。
页面向导:高级设置→地址转换→NAT设置
本页面为您提供如下主要功能:
设置路由器支持的网络连接总数,即会话总数(一般情况下,请保留缺省值。比如:局域网内PC遭受病毒攻击从而建立大量无用的连接,您可以修改该参数来减少路由器资源的浪费) |
为保证局域网的安全,路由器会阻断从因特网主动发起的连接请求。因此,如果您想让因特网用户能够访问局域网内的服务器(比如:Web服务器、Email服务器、FTP服务器等),需要设置虚拟服务器。
虚拟服务器也可称为端口映射,它可以将WAN口IP地址、外部端口号和局域网内服务器IP地址、内部端口号建立映射关系,使所有对该WAN口某服务端口的访问重定向到指定的局域网内服务器的相应端口。
路由器会根据以下步骤来进行端口映射:
图11-1 端口映射
页面向导:高级设置→地址转换→虚拟服务器
本页面为您提供如下主要功能:
设置当虚拟服务器列表中如果不存在对应的映射项时,对报文的处理方式(主页面。选择“丢弃”或“重定向到DMZ主机”,单击<应用>按钮生效) |
|
添加虚拟服务器列表项(单击主页面上的<新增>按钮,在弹出的对话框中设置相应的虚拟服务器参数,单击<增加>按钮完成操作) |
页面中关键项的含义如下表所示。
表11-1 页面关键项描述
页面关键项 |
描述 |
预置设置 |
路由器提供一些常用服务的预置设置选项,比如:FTP、Web等服务 在下拉列表框中选择某服务,服务名称、外部端口、内部端口项均将自动完成设置 · 如果路由器提供的预设服务没有您需要的,您可以自行设置服务信息 · 预设服务的端口号是常用端口号,如果需要,您可以自行修改 · 对于FTP、TFTP服务等,您需要开启对应的ALG项,且内部端口必须设置为标准端口号。例如:WAN侧客户端通过PASV模式(被动FTP)访问局域网内的FTP服务器,内部端口必须设置为21 |
服务名称 |
输入虚拟服务器设置项的名称 |
外部端口 |
输入客户端访问虚拟服务器所使用的端口。取值范围:1~65535,端口范围必须从小到大。如果只有一个端口,则左右两边的文本框请填写同一端口号 各设置项的外部端口不能重复,且内部端口和外部端口的设定个数必须一样,即内部端口和外部端口一一对应。比如:设置某个虚拟服务器,外部端口为100~102,内部端口为10~12。如果路由器收到外部101端口的访问请求,则路由器会把报文转发到内部服务器的11端口 |
内部端口 |
输入内部服务器上真实开放的服务端口。取值范围:1~65535,端口范围必须从小到大。如果只有一个端口,则左右两边的文本框请填写同一端口号 各设置项的内部端口允许重复,且内部端口和外部端口的设定个数必须一样,即内部端口和外部端口一一对应 |
内部服务器IP |
输入内部服务器的IP地址 |
是否启用 |
在下拉列表框中选择“启用”,表示此虚拟服务器生效;选择“禁用”,表示此虚拟服务器不生效 |
当局域网内的客户端访问因特网上的服务器时,对于某些应用(比如:IP电话、视频会议等),客户端向服务器主动发起连接的同时,也需要服务器向客户端发起连接请求。而缺省情况下,路由器收到WAN侧主动连接的请求都会拒绝,此时通信会被中断。
通过设置路由器的端口触发规则,当客户端访问服务器并触发规则后,路由器会自动开放服务器需要向客户端请求的端口,从而可以保证通信正常。当客户端和路由器长时间没有数据交互时,路由器会自动关闭之前对外开放的端口,最大限度地保证了局域网的安全。
页面向导:高级设置→地址转换→端口触发
本页面为您提供如下主要功能:
显示和修改当前您已添加的端口触发规则(主页面) |
|
添加端口触发规则(单击主页面上的<新增>按钮,在弹出的对话框中设置相应的参数,单击<增加>按钮完成操作) |
页面中关键项的含义如下表所示。
表11-2 页面关键项描述
页面关键项 |
描述 |
应用名称 |
输入端口触发设置项的名称 |
触发端口 |
输入局域网内的客户端向外网服务器发起请求的端口。取值范围:1~65535,端口范围必须从小到大。如果只有一个端口,则左右两边的文本框请填写同一端口号 当局域网内的客户端通过触发端口与外部网络建立连接时,其相应的外来端口也将被打开。此时,外部网络的主机可以通过这些端口来访问局域网 |
外来端口 |
输入外网服务器需要主动向局域网内客户端请求的端口。取值范围:1~65535,可设置单一端口、端口范围或两者的组合,端口间用英文逗号“,”隔开,比如:100,200-300,400,表示请求端口为端口100,400及200到300之间的端口 |
是否启用 |
在下拉列表框中选择“启用”,表示此端口触发生效;选择“禁用”,表示此端口触发不生效 |
通常情况下,NAT只对报文头中的IP地址和端口信息进行转换,不对应用层数据载荷中的字段进行分析。
然而,对于一些特殊的协议(比如:FTP、TFTP等),它们报文的数据载荷中可能包含IP地址或端口信息,这些内容不能被NAT进行有效地转换,就可能会出现问题。比如:FTP应用是由数据连接和控制连接共同完成的,而且数据连接的建立由控制连接中的载荷字段信息动态地决定,这就需要ALG来完成载荷字段信息的转换,以保证后续数据连接的正确建立。
针对需要ALG的一些应用层协议,您在使用时只需要在路由器上开启相应的项即可。
页面向导:高级设置→地址转换→ALG应用
本页面为您提供如下主要功能:
设置ALG应用(缺省情况下,应用层协议的ALG应用均已经开启,建议您保留缺省设置) |
静态路由是一种特殊的路由,需要您手工设置。设置静态路由后,去往指定目的地的报文将按照您指定的路径进行转发。在组网结构比较简单的网络中,只需设置静态路由就可以实现网络互通。恰当地设置和使用静态路由可以改善网络的性能,并可为重要的网络应用保证带宽。
静态路由的缺点在于:不能自动适应网络拓扑结构的变化,当网络发生故障或者拓扑发生变化后,可能会出现路由不可达,导致网络中断。此时必须由您手工修改静态路由的设置。
比如:如图11-2所示,如果您希望LAN A中PC1与LAN B中PC2可以相互访问或LAN B中PC2通过ER2100系列路由器访问因特网,则可以在ER2100系列路由器上设置一条静态路由(目的地址:192.168.2.0,下一跳地址:192.168.1.3)。
页面向导:高级设置→路由设置→静态路由
本页面为您提供如下主要功能:
显示和修改当前您已添加的静态路由(主页面) |
|
添加静态路由(主页面。单击<新增>按钮,在弹出的对话框中设置相应的参数,单击<增加>按钮完成操作) |
|
查看所添加的静态路由的生效情况(单击主页面上的“查看路由信息表”按钮,您即可在弹出的页面中查看已经生效的静态路由信息。如果您添加了一条错误的静态路由,该路由不会生效。您可以通过对比主页面的静态路由表和此处的路由信息,判断您是否添加了错误路由) |
页面中关键项的含义如下表所示。
表11-3 页面关键项描述
页面关键项 |
说明 |
目的地址 |
输入需要到达的目的IP地址 |
子网掩码 |
输入需要到达的目的地址的子网掩码 |
下一跳地址 |
输入数据在到达目的地址前,需要经过的下一个路由器的IP地址 |
出接口 |
选择静态路由的出接口 您必须选择正确的出接口,所添加的静态路由才能生效 |
描述 |
对此静态路由表项进行描述 |
您可以通过此功能来限制局域网内某些主机对IM软件(如QQ或MSN)的上线权限。
页面向导:高级设置→业务控制→IM软件
本页面为您提供如下主要功能:
开启/关闭局域网内所有主机对QQ或MSN软件的上线权限(主页面。选中“禁止QQ上线”或“禁止MSN上线”复选框,单击<应用>按钮生效。如果有部分特殊主机需要使用该软件进行通信,则可以在“IM软件特权”中开放对应的权限) |
|
添加使用QQ或MSN软件的特殊主机(单击主页面中的<新增>按钮,在弹出的对话框中设置相应的特权主机及需要开放的IM软件,单击<增加>按钮生效) |
当您开启“禁止QQ上线”功能而又希望某些特定QQ号码能正常使用时,您可以通过启用QQ特权号码功能实现。
页面向导:高级设置→业务控制→QQ特权号码
本页面为您提供如下主要功能:
开启/关闭“QQ特权号码”功能(主页面。选中“启用QQ特权号码”复选框,单击<应用>按钮,在特权号码列表中增加QQ特权号码) |
|
添加特权号码(单击主页面中的<新增>,在弹出的对话框中填写特权号码和描述信息,单击<增加>按钮生效) |
设置QQ特权号码后,请使用QQ号码登录QQ服务器,以绑定邮箱地址为用户名的方式登录会失败。
您可以通过此功能来限制局域网内某些主机对常见金融软件的使用。对于一些特殊的金融软件,您还可以通过设置防火墙来进行控制。
页面向导:高级设置→业务控制→金融软件
本页面为您提供如下主要功能:
开启/关闭局域网内所有主机对金融软件的使用(主页面。选中需要禁止的金融软件对应的复选框,单击<应用>按钮生效。如果有部分特殊主机需要使用该软件,则可以在“金融软件特权”中开放对应的权限) |
|
添加使用金融软件的特殊主机(单击主页面中的<新增>按钮,在弹出的对话框中设置相应的特权主机及需要开放的金融软件,单击<增加>按钮生效) |
当路由器通过PPPoE方式或动态方式连接到因特网时,所获取到的IP地址是不固定的。因此,给想访问本局域网内服务器的因特网用户带来很大的不便。
开启DDNS功能后,路由器会在DDNS服务器上建立一个IP与域名的映射表。当WAN口IP地址变化时,路由器会自动向指定的DDNS服务器发起更新请求,DDNS服务器会更新域名与IP地址的映射关系。所以,无论路由器的WAN口IP地址如何改变,因特网上的用户仍可以通过域名对本局域网内的服务器进行访问。
路由器的DDNS功能是作为DDNS服务的客户端工具,需要与DDNS服务器协同工作。使用该功能之前,请先到www.pubyun.com去申请注册一个域名。
页面向导:高级设置→应用服务→DDNS
本页面为您提供如下主要功能:
设置WAN口的DDNS |
页面中关键项的含义如下表所示。
表11-4 页面关键项描述
页面关键项 |
描述 |
WAN DDNS |
开启或关闭WAN口的DDNS功能 缺省情况下,WAN口的DDNS功能处于关闭状态 |
DDNS服务器地址 |
选择DDNS服务器地址(pubyun.com) |
用户名 |
输入在DDNS服务器上申请到的登录用户名 |
密码 |
输入在DDNS服务器上申请到的登录密码 |
注册的主机名 |
输入在DDNS服务器上申请的主机名,例如:ddnstest.f3322.org |
当前地址 |
显示WAN口当前的IP地址 |
状态 |
显示当前WAN口的DDNS工作状态 · 未连接:与DDNS服务器连接失败 · 注册成功:向DDNS服务器注册成功 · 注册失败:DDNS服务器认证没有通过,可能是用户名或密码错误 |
UPnP主要用于实现设备的智能互联互通,无需用户参与和使用主服务器,能自动发现和控制来自各家厂商的各种网络设备。
启用UPnP功能,路由器可以实现NAT穿越:当局域网内的主机通过路由器与因特网通信时,路由器可以根据需要自动增加、删除NAT映射表,从而解决一些传统的业务不能穿越NAT的问题。
如需与UPnP功能配合使用,您所使用的计算机操作系统和应用程序均需要支持UPnP功能(比如:操作系统:Windows XP,应用程序:MSN)。
页面向导:高级设置→应用服务→UPnP
本页面为您提供如下主要功能:
开启UPnP功能(选中“启用UPnP功能”,单击<应用>按钮生效。缺省情况下,UPnP功能处于关闭状态) |
设置完成后,您可以通过查看运行状态页面中的“UPnP”来验证功能是否已启用。
本设备支持静态DNS Server功能,通过手动指定网络设备的域名和IP的对应关系可实现域名解析的目的。
页面向导:高级设置→应用服务→DNS Server
本页面为您提供如下主要功能:
设置静态域名 |
|
添加使用金融软件的特殊主机(单击主页面中的<新增>按钮,在弹出的对话框中设置相应的特权主机及需要开放的金融软件,单击<增加>按钮生效) |
本章节主要包含以下内容:
· 基本管理
· 远程管理
· 用户管理
· 设置SNMP
页面向导:设备管理→基本管理→配置管理
本页面为您提供如下主要功能:
· 将当前路由器的设置信息以.cfg文件的形式备份到本地(比如:当您发生误操作或其他情况导致路由器的系统设置信息丢失时,您可用此备份文件进行恢复操作,保证路由器的正常运行) · 将路由器当前的设置恢复到您之前备份过的设置 · 将路由器恢复到出厂设置(比如:当您从一个网络环境切换到另一个不同的网络环境的情况,可将路由器恢复到出厂设置,然后再进行重新设置,以适应当前的组网) |
· 请不要编辑备份在本地的设置文件。因为,设置文件经过加密,修改后不能再次恢复到路由器中。
· 恢复到出厂设置后,当前的设置将会丢失。如果您不希望丢失当前设置信息,请先对路由器进行备份操作。
· 恢复出厂设置后,路由器将会重新启动。在此期间请勿断开设备的电源。
路由器支持通过NTP服务器来自动获取系统时间和手工设置系统时间两种方式。
NTP是由RFC 1305定义的时间同步协议,用来在分布式时间服务器和客户端之间进行时间同步。NTP基于UDP报文进行传输,使用的UDP端口号为123。
使用NTP的目的是对网络内所有具有时钟的设备进行时钟同步,使网络内所有设备的时钟保持一致,从而使设备能够提供基于统一时间的多种应用。对于运行NTP的本地系统,既可以接受来自其他时钟源的同步,又可以作为时钟源同步其他的时钟。
对于网络中的各台设备来说,如果单依靠管理员手工修改系统时间,不但工作量巨大,而且也不能保证时钟的精确性。通过NTP,可以很快将网络中设备的时钟同步,同时也能保证很高的精度。
当路由器连接到因特网后,会自动从路由器缺省的NTP服务器或您手工设置的NTP服务器中获取时间。当通过NTP成功获取到系统时间后,该时间还会根据您选择的时区做相应的调整。
如果路由器无法通过NTP服务器获得系统时间,则路由器会在基本信息页面中的“系统时间“处显示“网络未获取时间”,此时您需要手工设置系统时间。
手工设置的系统时间不会与其他设备同步,也不支持时区的切换。当路由器重新启动后,手工设置的系统时间会丢失,并且路由器将恢复成了通过NTP服务器来自动获取系统时间。此时,如果您将路由器连接到因特网后,它会通过缺省的NTP服务器来获取系统时间。
页面向导:设备管理→基本管理→时间设置
本页面为您提供如下主要功能:
· 通过NTP服务器来自动获得系统时间(单击“通过网络获取系统时间”单选按钮,并指定相应的NTP服务器及时区,单击<应用>按钮生效) · 手工设置系统时间(单击“手工设置系统时间”单选按钮,设置具体的时间参数,单击<应用>按钮生效) |
设置完成后,您可以通过查看基本信息页面中的“系统时间”来验证设置是否已生效。
通过软件升级,您可以加载最新版本的软件到路由器,以便获得更多的功能和更为稳定的性能。
· 请您在软件升级之前备份路由器当前的设置信息。如果升级过程中出现问题,您可以用其来恢复到原来的设置。
· 升级过程中请勿断开路由器的电源,否则可能会造成路由器不能正常工作。
· 路由器升级成功后,将会重新启动。
页面向导:设备管理→基本管理→软件升级
本页面为您提供如下主要功能:
· 升级软件(单击页面上的“H3C的技术支持网站”链接下载对应产品的最新软件版本,保存到本地主机。然后,单击<浏览>按钮,选择相应的升级软件。最后,单击<升级>按钮,即可开始升级) · 远程升级(需支持云WiFi功能。若软件版本有更新,系统会提示升级信息,单击<升级>按钮即可完成自动升级。若软件没有新版本,<升级>按钮为灰) |
软件升级后,您可以通过查看基本信息页面中“软件版本”来验证当前运行的版本是否正确。
· 重新启动期间,请勿断开路由器的电源。
· 重新启动期间,网络通信将暂时中断。
页面向导:设备管理→基本管理→重启动
本页面为您提供如下主要功能:
重启动(单击页面上的<重启动>按钮,确认后,路由器重新启动) |
路由器为您提供了远程登录管理的功能,即因特网上的主机可以通过路由器的WAN口来实现Web或Telnet登录。
远程Web管理支持HTTP和HTTPS两种访问方式。HTTPS相对于HTTP,在安全性方面有所增强,它将HTTP和SSL结合,通过SSL对客户端身份和服务器进行验证,对传输的数据进行加密,从而实现了对设备的安全管理。
HTTPS通过SSL协议,从以下几方面提高了安全性:
· 客户端通过数字证书对服务器进行身份验证,保证客户端访问正确的服务器;
· 服务器通过数字证书对客户端进行身份验证,保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备;
· 客户端与设备之间交互的数据需要经过加密,保证了数据传输的安全性和完整性,从而实现了对设备的安全管理。
· 同一时间,路由器最多允许五个用户远程通过Web或Telnet进行管理和设置。
· 缺省情况下,路由器的远程Web管理和远程Telnet管理均处于关闭状态。
页面向导:设备管理→远程管理→远程管理
本页面为您提供如下主要功能:
· 开启远程Web管理功能(选中“启用远程web管理”复选框,选择访问方式,并设置相关的参数,单击<应用>按钮生效) · 开启远程Telnet管理功能(选中“启用远程telnet管理”复选框,设置相关的参数,单击<应用>按钮生效) |
页面中关键项的含义如下表所示。
表12-1 页面关键项描述
页面关键项 |
描述 |
访问方式 |
当选择HTTP访问方式时,远程用户需要在浏览器的地址栏中输入http://xxx.xxx.xxx.xxx:port登录路由器;当选择HTTPS访问方式时,远程用户需要在浏览器的地址栏输入https://xxx.xxx.xxx.xxx:port登录路由器 · xxx.xxx.xxx.xxx是指路由器WAN口的IP地址,port是指您所指定的“设备的远程管理端口” · 如果您使用HTTPS方式访问路由器,路由器会向您发放一份证书。此证书可能因为不受信任而被浏览器阻止,您只要选择信任此证书,继续操作便可进入路由器的Web登录页面 |
远程管理PC的IP范围 |
设置远程用户的IP地址范围,仅在该指定范围内的用户才允许远程管理路由器 缺省情况下,允许所有用户对路由器进行远程管理 |
设备的远程管理端口号 |
设置对路由器进行远程管理的端口号 |
设置完成后,您可以通过查看运行状态页面中的“设备管理”来验证远程管理功能是否已启用。
页面向导:设备管理→用户管理→登录管理
本页面为您提供如下主要功能:
· 设置局域网内允许管理路由器的用户IP地址范围(在“LAN内管理PC的IP范围”文本框中输入允许管理路由器的IP地址范围,单击<应用>按钮生效。此限制功能仅对http/https、telnet访问有效) · 设置Web用户超时时间(在“超时时间”文本框中输入时间参数,单击<应用>按钮生效) · 开启/关闭Web登录页面验证码功能(选择功能状态,单击<应用>按钮生效) · 查看当前已登录的用户信息 · 注销已登录用户(单击某用户所对应的<注销>按钮,即可将该用户强制退出。如需登录,需要重新认证) |
当由于误操作而未将自身的IP划入到允许管理路由器的用户IP地址范围内,导致无法登录路由器时,您可以通过Console下的admin acl default命令将其恢复为缺省设置(缺省情况下,允许局域网内所有用户访问路由器)。
页面向导:设备管理→用户管理→密码管理
本页面为您提供如下主要功能:
修改路由器的登录密码 |
SNMP用于保证管理信息在任意两点间传送,便于网络管理员在网络上的任何节点检索信息、修改信息、寻找故障、完成故障诊断、进行容量规划和生成报告。
SNMP采用轮询机制,提供最基本的功能集,特别适合在小型、快速和低价格的环境中使用。SNMP的实现基于无连接的传输层协议UDP,因此可以实现和众多产品的无障碍连接。
SNMP分为NMS和Agent两部分:
· NMS是运行客户端程序的工作站。
· Agent是运行在网络设备(比如:交换机)上的服务器端软件。
NMS可以向Agent发出GetRequest、GetNextRequest和SetRequest报文,Agent接收到NMS的这些请求报文后,根据报文类型对MIB进行Read或Write操作,生成Response报文,并将报文返回给NMS。
Agent在设备发生异常情况或状态改变时(比如:设备重新启动),也会主动向NMS发送Trap报文,向NMS汇报所发生的事件。
目前,路由器的SNMP Agent支持SNMP v1、SNMP v2c和SNMP v3三个版本。
SNMP v3采用用户名和密码认证方式;SNMP v1、SNMP v2c采用团体名(Community Name)认证,非路由器认可团体名的SNMP报文将被丢弃。SNMP团体名用来定义SNMP NMS和SNMP Agent的关系。团体名起到了类似于密码的作用,可以限制SNMP NMS访问路由器上的SNMP Agent。
在SNMP报文中用管理变量来描述路由器中的管理对象。为了唯一标识路由器中的管理对象,SNMP用层次结构命名方案来识别管理对象。整个层次结构就像一棵树,树的节点表示管理对象,如图12-1所示。每一个节点,都可以用从根开始的一条路径唯一地标识。
图12-1 MIB树结构
MIB的作用就是用来描述树的层次结构,它是所监控网络设备的标准变量定义的集合。在图12-1中,管理对象B可以用一串数字{1.2.1.1}唯一确定,这串数字是管理对象的对象标识符。
页面向导:设备管理→SNMP→基本设置
本页面为您提供如下主要功能:
设置SNMP Agent的状态、版本、维护信息等 |
页面中关键项的含义如下表所示。
表12-2 页面关键项描述
页面关键项 |
描述 |
|
启用SNMP功能 |
开启/关闭SNMP Agent功能 缺省情况下,SNMP Agent功能处于关闭状态 |
|
SNMP版本选择 |
选择v1或v2c 只有选择了相应的SNMP版本,路由器才会处理对应版本的SNMP数据报文 |
|
系统信息 |
维护联系信息 |
如果路由器发生故障,维护人员可以利用系统维护联系信息,及时与生产厂商取得联系,便于快速地定位和解决问题 缺省情况下,维护联系信息为“Hangzhou H3C Technologies Co., Ltd.”;物理位置信息为“Hangzhou China” |
物理位置信息 |
||
本地引擎ID |
本地引擎ID必须是16进制字符形式的字符串,至少10个字符,可以是IP地址、MAC地址或者自己定义的文本。缺省为公司的企业号+设备信息 |
|
SNMP信任主机 |
设置SNMP Agent信任的NMS IP地址,即允许指定的NMS对SNMP Agent进行访问。若不设置该项,即不对NMS进行限制 |
页面向导:设备管理→SNMP→团体名设置
本页面为您提供如下主要功能:
设置团体名及访问模式 |
页面中关键项的含义如下表所示。
表12-3 页面关键项描述
页面关键项 |
描述 |
团体名 |
您可以采用标准的团体名(public或private)或自定义团体名 |
访问权限 |
团体访问MIB对象的读写(Read-Write)或者只读(Read-Only)权限。具有只读权限的团体只能对设备信息进行查询,而具有读写权限的团体还可以对设备进行配置 |
页面向导:设备管理→SNMP→基本设置
本页面为您提供如下主要功能:
设置SNMP Agent的状态、版本、维护信息等 |
页面中关键项的含义如下表所示。
表12-4 页面关键项描述
页面关键项 |
描述 |
|
启用SNMP功能 |
开启/关闭SNMP Agent功能 缺省情况下,SNMP Agent功能处于关闭状态 |
|
SNMP版本选择 |
选择v3 只有选择了相应的SNMP版本,路由器才会处理对应版本的SNMP数据报文 |
|
系统信息 |
维护联系信息 |
如果路由器发生故障,维护人员可以利用系统维护联系信息,及时与生产厂商取得联系,便于快速地定位和解决问题 缺省情况下,维护联系信息为“Hangzhou H3C Technologies Co., Ltd.”;物理位置信息为“Hangzhou China” |
物理位置信息 |
||
本地引擎ID |
本地引擎ID必须是16进制字符形式的字符串,至少10个字符,可以是IP地址、MAC地址或者自己定义的文本。缺省为公司的企业号+设备信息 |
|
SNMP信任主机 |
设置SNMP Agent信任的NMS IP地址,即允许指定的NMS对SNMP Agent进行访问。若不设置该项,即不对NMS进行限制 |
页面向导:设备管理→SNMP→用户组设置
本页面为您提供如下主要功能:
设置用户组以及安全级别 |
页面中关键项的含义如下表所示。
表12-5 页面关键项描述
页面关键项 |
描述 |
组名 |
设置SNMP v3版本的群组名称,长度为1~32个字符,区分大小写 |
安全级别 |
选择SNMP v3版本的群组安全级别: · Auth/NoPriv:对报文进行认证但不加密 · Auth/Priv:对报文进行认证并加密 · NoAuth/NoPriv:对报文即不进行认证,也不加密 缺省情况下,SNMP v3版本的群组安全级别为NoAuth/NoPriv |
页面向导:设备管理→SNMP→用户设置
本页面为您提供如下主要功能:
显示和修改已添加的用户(主页面) |
|
添加新用户(单击主页面上的<新增>按钮,在弹出的对话框中输入用户名,选择需要加入的用户组,并根据实际需求设置认证和加密信息,单击<增加>按钮完成操作) |
认证模式介绍:
MD5通过输入任意长度的消息,产生128bit的消息摘要,与SHA相比:计算速度快,但安全强度略低;SHA-1通过输入长度小于2的64次方bit的消息,产生160bit的消息摘要,与MD5相比:计算速度慢,但安全强度更高。
TRAP是被管理设备不经请求,主动向NMS发送的信息,用于报告一些紧急的重要事件(比如:被管理设备重新启动等)。
在设置SNMP TRAP功能前必须先完成SNMP基本功能配置。
页面向导:设备管理→SNMP→基本设置
本页面为您提供如下主要功能:
设置TRAP基本功能 |
页面中关键项的含义如下表所示。
表12-6 页面关键项描述
页面关键项 |
描述 |
启用TRAP功能 |
开启/关闭SNMP TRAP功能 缺省情况下,SNMP TRAP功能处于关闭状态 |
目的地址 |
指定接收TRAP消息的主机地址 |
UDP端口号 |
指定接收TRAP消息的UDP端口号 |
安全名 |
设置安全名称,须为SNMP v1、SNMP v2c的团体名或SNMP v3的用户名 |
安全模式 |
选择对应的SNMP Agent版本号 |
安全等级 |
选择安全级别,且仅当安全模式为v3时此选项才可用 · Auth/NoPriv:对报文进行认证但不加密 · Auth/Priv:对报文进行认证并加密 · NoAuth/NoPriv:对报文即不进行认证,也不加密 |
本章节主要包含以下内容:
· 查看运行信息
· 流量监控
· 网络维护
页面向导:系统监控→运行信息→基本信息
本页面为您提供如下主要功能:
· 查看系统基本信息(比如:当前运行的软件版本号、CPU/内存使用率、运行时间等) · 查看上行口当前的状态信息(比如:WAN口的工作模式、连接因特网的方式、IP地址等) |
页面中关键项的含义如下表所示。
表13-1 页面关键项描述
页面关键项 |
描述 |
生产序列号 |
显示路由器的序列号 |
设备激活码 |
显示路由器的激活码 |
软件版本 |
显示路由器当前的软件版本 页面中的软件版本信息仅作参考,请以路由器加载软件版本后的最终显示为准 |
Bootrom版本 |
显示路由器当前的Bootrom版本 |
硬件版本 |
显示路由器当前的硬件版本 |
系统资源 |
显示路由器 CPU及内存的使用百分比,您可以通过该参数值来简单判断路由器当前是否运行正常 |
运行时间 |
显示路由器从上一次通电后到现在的总运行时间 |
系统时间 |
显示路由器当前的系统时间和系统时间设置方式 |
连接方式 |
显示路由器WAN口连接到因特网的方式 |
链路状态 |
显示路由器WAN口当前的链路状态 · 已连接:WAN口工作正常 · 物理连接已断开:WAN口物理链路出现故障 · 线路检测失败:WAN口检测没有成功。此时,WAN口不能转发任何报文 · WAN口禁用:当前WAN口被禁用 · 接口空闲:接口物理链路正常,但该接口不进行工作。比如:在主备模式下,主接口工作正常时,备份接口处于空闲状态 · 连接中:在PPPoE、DHCP连接方式下,路由器正在与服务器建立连接 · 服务器没响应:在PPPoE、DHCP连接方式下,对应的服务器无响应或线路异常 · IP地址已释放:在DHCP连接方式下,单击页面上的<释放>按钮主动断开连接,显示此状态。此状态下,接口不再尝试与服务器进行连接 · 连接已断开:在PPPoE连接方式下,单击页面上的<释放>按钮主动断开连接,显示此状态。此状态下,接口不再尝试与服务器进行连接 |
IP地址 |
显示WAN口当前的IP地址 |
子网掩码 |
显示WAN口当前的子网掩码 |
网关地址 |
显示WAN口当前的网关地址 |
主DNS服务器 |
显示WAN口的主DNS服务器地址 |
辅DNS服务器 |
显示WAN口的辅DNS服务器地址 |
DHCP剩余时间 |
显示DHCP租约的剩余时间 仅当连接方式为DHCP方式时才显示 |
MAC地址 |
显示WAN口当前生效的MAC地址 当您设置了WAN口的MAC地址克隆后,此MAC地址会出现相应的变化 |
连接 |
单击此按钮建立WAN口的链路连接 仅当连接方式为PPPoE、DHCP或PPP时才显示此按钮 |
释放 |
单击此按钮释放当前路由器WAN口动态获取到的IP地址 仅当连接方式为PPPoE、DHCP或PPP时才显示此按钮 |
页面向导:系统监控→运行信息→运行状态
本页面为您提供如下主要功能:
查看当前路由器主要功能项的设置状态 |
当您开启性能实时监视功能后,系统会对路由器CPU和内存的使用进行实时采样,并通过一个直观的滚动折线图来显示数据变化,供您及时了解CPU和内存的使用率是否过高,波动是否正常。
页面向导:系统监控→运行信息→性能监视
本页面为您提供如下主要功能:
单击页面中的<开始监视>按钮,您即可在弹出的页面中实时监视路由器CPU和内存的使用状态 |
页面向导:系统监控→运行信息→技术支持
本页面为您提供如下主要功能:
本界面提供了路由器相关的技术支持类信息, 比如:公司网站链接、客服热线/邮箱等 |
路由器能够记录当前运行过程中的设置状态变化、网络攻击等信息,可以帮助您快速定位设备故障、了解网络情况及对网络攻击进行定位。
路由器还支持把日志信息实时发送给日志服务器的功能,以免路由器重新启动后,所有记录的日志都会丢失。
当路由器中的日志信息存满后,新的日志将会覆盖最早被记录的日志信息。因此,为了避免日志信息遗漏,建议您使用日志服务器来记录日志信息。此时,需要您预先在局域网内或外网建立相应的日志服务器,且与路由器保持连通。
页面向导:系统监控→系统日志→日志信息
本页面为您提供如下主要功能:
· 显示和查询路由器上电启动以来所产生的日志信息 · 将路由器所记录的日志信息下载到本地(单击<下载>按钮,可将日志信息导出到本地保存) · 清除路由器所记录的日志信息(单击<清除>按钮即可完成操作) |
页面向导:系统监控→系统日志→日志管理
本页面为您提供如下主要功能:
· 控制日志信息输出的等级(在“日志记录等级”下拉框中选择某个等级,单击<应用>按钮生效。此时,仅不大于该等级的日志信息才被路由器记录或允许发送到日志服务器。日志等级的具体描述请参见“表13-2”) · 控制日志信息输出的来源(选择您需要关注的日志信息来源,单击<应用>按钮生效。日志信息来源描述请参见“表13-3”) · 将日志信息同步输出到日志服务器(选中“发送到日志服务器”复选框,输入服务器地址,单击<应用>按钮生效) · 开启/关闭路由器日志信息记录功能(选中“本地不记录日志”复选框,单击<应用>按钮,本地记录日志信息功能关闭。反之,开启) |
表13-2 日志信息等级描述
严重等级 |
数值 |
描述 |
emergency |
0 |
系统不可用 |
alert |
1 |
需要立即做出反应的信息 |
critical |
2 |
严重信息 |
error |
3 |
错误信息 |
warning |
4 |
告警信息 |
notice |
5 |
正常出现但是重要的信息 |
informational |
6 |
需要记录的通知信息 |
debug |
7 |
调试过程产生的信息 |
日志来源 |
描述 |
系统 |
所有路由器功能运行的日志信息。比如:您使用PPPoE方式连接因特网时,路由器会输出相应的日志信息 |
配置 |
当更改了路由器的配置操作时输出的日志信息。比如:功能的开启或关闭 |
安全 |
路由器进行防攻击、报文过滤等操作时输出的日志信息 |
流量信息 |
路由器流量统计时输出的日志信息。比如:局域网内的某台主机的网络连接数超过限速值时,路由器会输出相应的日志信息 |
VPN |
路由器IPSec VPN相关的日志信息 |
路由器为您提供了端口流量和IP流量的监控功能,您可以根据路由器所获取的统计数据,更好地了解网络运行状况,便于管理与控制。
· 监控端口流量:统计每个物理端口的流量。
· 监控IP流量:统计局域网内各在线主机通过WAN口的流量。
路由器支持以下两种查看模式供您对端口流量和IP流量进行监控:
· 比特模式:以每秒传输的比特数为单位来显示流量和速率信息。
· 包模式:以每秒传输的报文个数为单位来显示流量和速率信息。
页面向导:系统监控→流量监控→端口流量
本页面为您提供如下主要功能:
在比特模式下查看路由器各端口的发送/接收流量、发送/接收速率及链路状态 |
|
在包模式下查看路由器各端口的发送/接收流量、发送/接收速率及链路状态 |
页面中关键项的含义如下表所示。
表13-4 查看流量统计
页面关键项 |
描述 |
统计周期 |
选择页面统计数据刷新的时间间隔,缺省为10秒 |
自动刷新 |
选中该复选框,页面的统计数据会根据统计周期自动刷新 |
查看模式 |
选择端口流量统计的显示模式 缺省情况下,路由器使用比特模式 |
端口镜像信息 |
显示路由器各物理端口之间的端口镜像状态 |
发送流量/接收流量 |
显示路由器相应端口发送/接收的总流量 |
发送速率/接收速率 发送包速率/接收包速率 |
显示路由器相应端口发送/接收报文的速率 |
错误包数 |
显示路由器相应端口发送/接收的错误包总数 |
链路状态 |
显示对应端口的链路状态 如果该端口未有物理连接或出现链路故障,则显示“未连接” |
页面向导:系统监控→流量监控→IP流量
本页面为您提供如下主要功能:
启用局域网IP流量统计功能(选中“启用内网IP流量统计”复选框,单击<应用>按钮生效。缺省情况下,IP流量统计功能处于关闭状态) |
|
在比特模式下查看局域网内各在线主机通过WAN口的总流量、总速率、上行/下行速率及网络连接数 |
|
在包模式下查看局域网内各在线主机通过WAN口的总流量、总速率、上行/下行速率及网络连接数 |
页面中关键项的含义如下表所示。
表13-5 页面关键项描述
页面关键项 |
描述 |
统计周期 |
选择页面统计数据刷新的时间间隔,缺省为10秒 |
自动刷新 |
选中该复选框,页面的统计数据会根据统计周期自动刷新 |
查看模式 |
选择IP流量统计的显示模式 缺省情况下,路由器使用比特模式 |
总流量 |
显示相应主机通过WAN口的总流量 |
速率 包速率 |
显示相应主机通过WAN口的总速率 |
上行速率/限速前下行速率/限速后下行速率 上行包速率/限速前下行包速率/限速后下行包速率 |
显示相应主机通过WAN口的上行速率和限速前后下行速率 您可以通过路由器的IP流量限制功能来限制对应主机的上行速率/下行速率 |
网络连接数 |
显示对应的主机所尝试的网络连接总数 您可以通过路由器的网络连接限数功能来限制对应主机的网络连接总数 |
当您开启WAN口实时流量监视功能后,系统会对该端口发送速率和接收速率进行实时采样,并通过一个直观的滚动折线图来显示数据变化,供您分析当前网络流量状态是否正常。
页面向导:系统监控→流量监控→流量监视
本页面为您提供如下主要功能:
选择需要监视的WAN口,并单击<开始监视>按钮,您即可在弹出的页面中实时监视路由器WAN口的发送速率和接收速率状态 |
当您开启了路由器防攻击相应的功能后,路由器的安全统计模块会对攻击报文的个数和可疑的一些报文进行统计。您可以通过查看和分析统计数据的变化,来判断网络环境是否存在欺骗和攻击行为。
页面向导:系统监控→流量监控→安全统计
本页面为您提供如下主要功能:
· 开启路由器的报文统计功能(选中“开启数据包统计功能”复选框,单击<应用>按钮生效) · 对源认证失败的和可疑的报文进行统计(具体报文的描述请参见“表13-6”) |
报文类型 |
描述 |
报文源认证失败 |
源认证失败的判断依赖于路由器的报文源认证设置。对于源认证失败的报文,路由器会直接将其丢弃。如果您在统计数据中发现此类报文的个数不断增加,可能您的网络环境中存在IP欺骗或MAC欺骗攻击行为 |
LAN侧可疑 |
当来自LAN侧的报文未与路由器表项冲突(比如:ARP表项),但又不能确认该报文是否来源于合法的主机时,则认为是可疑报文。缺省情况下,路由器允许其通过。但如果您在统计数据中发现此类报文的个数不断增加,可能您的组网环境出现了问题或存在攻击行为 |
WAN侧非法 |
由因特网侧主动向路由器发送的报文,比如:因特网侧主机主动尝试与路由器建立Telnet连接,则认为是非法报文。如果在特定时间段内,您在统计数据中发现此类报文的个数不断增加,并造成网络稳定性下降,则可能遭受到了来自因特网侧的攻击,建议您更改WAN口的IP地址,或者联系运营商进行处理 |
路由器为您提供两种网络诊断工具:
· ping测试:检测路由器与目标主机或另一台设备是否连通。
· 路由跟踪测试:检查从路由器到达目标主机所经过的路由情况。
页面向导:系统监控→网络维护→网络诊断
本页面为您提供如下主要功能:
选择ping测试进行网络诊断(输入“目的地址”,选择测试的端口,单击<开始>按钮执行诊断) |
|
选择路由跟踪测试进行网络诊断(输入“目的地址”,选择测试的端口,单击<开始>按钮执行诊断) |
· ping测试结果
当路由器可以接收到从目标主机侧返回的应答时,表示路由器与目标主机连通(如上图所示);否则表示两者之间不连通,可能网络存在问题。
· 路由跟踪测试结果
如上图所示,只存在一跳,表示路由器和目标主机之间属于直连路由。
页面向导:系统监控→网络维护→系统自检
本页面为您提供如下主要功能:
本界面提供了简便的系统自检功能,单击<开始>按钮可以执行系统自检 |
|
在弹出的页面中将会显示测试结果及一些注意事项 |
当路由器运行出现异常时,您可以单击页面中的<导出>按钮,确认后,路由器可以自动把当前的运行状态、故障定位所需的各种信息压缩成一个定位信息文件下载到本地。H3C技术支持人员可以根据该文件快速、准确地定位问题,从而可以更好地为您解决路由器的使用问题。
本页面为您提供如下主要功能:
导出当前设备的故障定位信息 |
· 某企业使用电信线路接入,对应的带宽为30M,带机量为100台;
· 防止局域网内的ARP攻击;
· 防止局域网内某些主机使用P2P软件(比如:BT、迅雷等)过度占用网络资源;
· 禁止局域网内某些主机(比如:192.168.1.2~192.168.1.10)在某个时间段(比如:每天的08:00~18:00)访问外网;
· 禁止局域网内所有主机访问某些网站(比如:www.xxx.com等);
· 禁止局域网内某些主机(比如:192.168.1.15~192.168.1.20)使用QQ和MSN上线。
下面以具体的组网配置方案为例进行说明:
· 网关使用H3C ER2100n、接入交换机采用H3C S2126;
· 设置WAN口通过静态方式连接到因特网;
· 使用DHCP服务器功能给局域网内各主机动态分配IP地址;
· 开启ARP绑定功能来防止ARP表项受到攻击;
· 设置IP流量限制和网络连接数限制,防止P2P软件过度占用网络资源;
· 设置防火墙的出站通信策略功能来禁止特定主机在某个时间段访问外网;
· 设置网站过滤功能来禁止局域网内所有主机访问指定网站;
· 设置业务控制功能来禁止某些主机使用QQ和MSN上线。
此典型配置举例仅体现H3C ER2100n上的设置,且所涉及的设置均在H3C ER2100n缺省配置的基础上进行。如果您之前已经对H3C ER2100n上做过相应的设置,为了保证效果,请确保当前设置和以下设置不冲突。
1. 在管理计算机的Web浏览器地址栏中输入http://192.168.1.1,回车。输入缺省的用户名、密码(缺省均为admin,区分大小写),单击<登录>按钮后便可进入Web设置页面 |
|
2. 选择“接口设置→WAN设置→连接到因特网”,在“WAN网口”下拉框中选择“静态地址(手工配置地址)”选项。用电信提供的参数填写WAN口的上网参数,单击<应用>按钮生效 |
|
3. 选择“安全专区→ARP安全→ARP检测”,设置IP地址搜索范围,单击<扫描>按钮开始搜索。待搜索完毕后,请确认搜索是否有遗漏(比如:查看搜索到的条目数是否与客户端的开机数一致)。如果没有遗漏,单击<全选>按钮选中所有的表项,再单击<静态绑定>按钮,将所有客户端主机的IP/MAC进行绑定即可;如果存在遗漏,您还可以选择“安全专区→ARP安全→ARP绑定”,手工添加ARP绑定项 |
|
4. 选择“安全专区→ARP安全→ARP防护”,选中“检测ARP攻击时,发送免费ARP报文”复选框,单击<应用>按钮生效 |
|
5. 选择“QoS设置→流量管理→IP流量限制”。选中“启用IP流量限制”复选框和“允许每IP通道借用空闲的带宽”单选框,填写WAN口对应的带宽(否则可能发生掉线),单击<应用>按钮生效 |
|
6. 单击<新增>按钮,在弹出的对话框中设置IP流量限制规则:建议上行和下行流量的上限值均设置为300Kbps。同时,您也可以根据实际的网络情况对其进行适当地调整 |
|
7. 选择“QoS设置→连接限制→网络连接限数”,选中“启用网络连接限数”复选框,单击<应用>按钮生效 |
|
8. 单击<新增>按钮,在弹出的对话框中设置对每台客户端主机进行网络连接数限制(建议网络连接数设置在300~500之间),单击<增加>按钮完成操作 |
|
9. 选择“安全专区→防火墙→出站通信策略”,单击<新增>按钮,在弹出的对话框中设置相应的策略,如右图所示。单击<增加>按钮完成操作 |
|
10. 选择“安全专区→接入控制→网站过滤”,在网站过滤页面,选中“启用网站过滤功能”复选框,并设置网站过滤模式为仅禁止访问列表中的网站地址。在网站过滤列表中单击<新增>按钮,添加网站过滤规则,配置过滤方式为模糊匹配、设置网站地址(xxx)以及添加描述信息。单击<增加>按钮完成操作 |
|
11. 选择“高级设置→业务控制→IM软件”,在IM软件页面,勾选“禁止QQ上线”和“禁止MSN上线”功能,单击<应用>按钮生效 |
|
12. 单击<新增>按钮,在弹出的对话框中设置特权IP起始地址和结束地址,并勾选需要设置的特权,单击<增加>按钮完成操作 |
完成以上所有设置后,您可以通过选择“系统监控→运行信息→基本信息”查看网络状态是否正常,同时可以选择“系统监控→运行信息→运行状态”来查看您所设置的各功能项是否已正常开启。
您可以在局域网内通过Console口或Telnet本地登录路由器进行命令行设置。
· 通过Console口本地登录:需要您先搭建配置环境,相关操作请参见“15.1 通过Console口搭建配置环境”。
· 通过Telnet本地登录:请先确保管理计算机与路由器之间网络连通。然后在管理计算机上单击屏幕左下角<开始>按钮进入“开始”菜单。选择[运行],在弹出的“运行”对话框中输入“telnet xxx.xxx.xxx.xxx”(xxx.xxx.xxx.xxx为路由器LAN口的IP地址)。回车后按界面提示输入用户名和密码(缺省情况下,两者均为admin)即可登录路由器进行设置,具体命令行介绍请参见“15.2 命令行在线帮助”。
路由器为您提供以下简单的命令行维护:
表15-1 命令行索引
命令行 |
请参见 |
password(仅限于通过Console口进行配置) |
|
ip address |
|
restore default |
|
reboot |
|
display sysinfo |
|
display device manuinfo |
|
display version |
|
admin acl info |
|
admin acl default |
|
ping |
本手册以通过Console口登录路由器进行命令行管理为例。
将管理计算机的串口通过配置线缆与路由器的Console口相连。
操作步骤如下(以Windows XP系统为例):
1. 打开管理计算机,在管理计算机Windows界面上单击[开始/所有程序/附件/通讯],运行终端仿真程序。在“名称”文本框中键入新建连接的名称,比如:aaa,单击<确定>按钮 |
|
2. 在“连接时使用”下拉框中选择进行连接的串口(请确保选择的串口应与配置线缆实际连接的串口相一致),单击<确定>按钮 |
|
3. 在串口的属性对话框中设置相关参数,如右图所示,单击<确定>按钮 |
|
4. 选择[文件/属性/设置],进入如右图所示的属性设置窗口。选择终端仿真类型为自动检测,单击<确定>按钮 |
|
5. 回车后,即可登录路由器,且终端上显示命令行提示符<H3C> |
(1) 在任一视图下,键入<?>获取该视图下所有的命令及其简单描述。
reboot Reboot device
restore Restore configuration
password Set administrator's password
ip Display the IP configuration
display Display current information
ping Ping function
admin Admin the LAN interface
(2) 键入一命令,后接以空格分隔的“?”,如果该命令行位置有关键字,则列出全部关键字及其简单描述。
<H3C>ip ?
address Display IP addresses
(3) 键入一字符串,其后紧接<?>,列出以该字符串开头的所有命令。
<H3C>di?
display
(4) 键入命令的某个关键字的前几个字母,按下<Tab>键,如果以输入字母开头的关键字唯一,则可以显示出完整的关键字。
<H3C>di ¬按下<Tab>键
<H3C>display
输入password命令并回车,按照系统提示,输入新密码,并重新输入一次以确认即可。
· 缺省情况下,路由器登录密码为admin。
· 密码长度为1~31个字符,区分大小写。
输入ip address命令并回车,即可显示路由器LAN口的IP地址信息。
输入restore default命令并回车,确认后,路由器将恢复到出厂设置并重新启动。
输入reboot命令并回车,确认后,路由器将重新启动。
输入display sysinfo命令并回车,显示路由器的CPU和内存使用情况。
输入display device manuinfo命令并回车,显示路由器基本的硬件信息,比如:设备型号、设备序列号、设备MAC地址等。
输入display version命令并回车。
输入admin acl info命令并回车。
输入admin acl default命令并回车。
输入ping [ -a source-ip | -c count | -i interface-name | -s packet-size ] * host
表15-2 Ping命令参数项描述
参数 |
描述 |
-a source-ip |
指定ICMP回显请求(ECHO-REQUEST)报文的源IP地址。该地址必须是路由器接口的IP地址 |
-c count |
指定ICMP回显请求报文的发送次数,取值范围为1~4294967295,缺省值为4 |
-i interface-name |
指定发送ICMP回显请求报文的路由器接口名称。不指定该参数时,将根据目的IP查找路由表或者转发表来确定发送ICMP回显请求报文的接口 |
-s packet-size |
指定发送的ICMP回显请求报文的长度(不包括IP和ICMP报文头),取值范围为20~8100,单位为字节,缺省值为56字节 |
host |
目的端的IP地址或主机名,主机名为1~31个字符的字符串 |
本手册仅介绍简单的路由器故障处理方法,如仍不能排除,可通过表16-2获取售后服务。
表16-1 故障排除
常见问题 |
故障排除 |
Power灯不亮 |
1. 请检查电源线是否连接正确 2. 请检查电源线插头是否插紧,无松动现象 |
端口指示灯不亮 |
1. 请检查网线与路由器的以太网端口是否卡紧,无松动现象 2. 将网线的两端分别插到路由器的两个以太网端口上,如果该两个端口对应的指示灯都亮,表示网线正常;否则该网线可能存在问题,请更换网线重新尝试 |
不能通过Web设置页面本地登录路由器 |
1. 使用MS-DOS方式的Ping命令检查网络连接 · Ping 127.0.0.1用来检查管理计算机的TCP/IP协议是否安装 · Ping路由器LAN口的IP地址来检查管理计算机与路由器是否连通 2. 通过ip address命令来查看当前路由器LAN口的地址,核对您输入的IP地址是否正确 3. 如果管理计算机使用静态IP地址,请确认其IP地址是否与路由器LAN口的IP地址处于同一网段 4. 路由器允许管理的用户数已经达到最大值(最多支持5个用户同时登录),请稍后再试 5. 请检查Web浏览器是否设置代理服务器或拨号连接,若有,请取消设置 |
局域网内用户出现掉线,无法访问因特网 |
1. 检查与路由器级连的交换机的网线和路由器WAN口的网线是否存在松动现象 2. 检查路由器是否已经对局域网内所有主机进行了ARP绑定 3. 登录路由器的Web设置页面,选择“安全专区→防火墙→出站通信策略”,查看是否配置了某IP地址段在某段时间内无法访问因特网 |
局域网内用户出现玩游戏时比较卡(可能某些用户正在使用P2P软件下载) |
1. 登录路由器的Web设置页面,选择“系统监控→流量监控→IP流量”,单击列表上的标题栏利用排序功能找出当前占用带宽最大的主机,并对该主机进行限速设置 |
故障类型 |
描述 |
如何获取售后服务 |
硬件类故障 |
比如:出现设备不能正常通电、未插网线但以太网端口指示灯却常亮等问题 |
请联系当地授权服务中心予以确认后更换(各地区的H3C授权服务中心的联系方式可在H3C官方网站找到) |
软件类问题 |
比如:出现设备功能不可用、异常等问题或配置咨询 |
请联系H3C技术支持服务热线:400-810-0504获取帮助 |
表17-1列出了路由器的一些重要的缺省设置信息,供您参考。
选项 |
缺省设置 |
|
接口设置 |
LAN口IP地址 |
IP地址:192.168.1.1 子网掩码:255.255.255.0 |
LAN口基本属性 |
端口模式:Auto 广播风暴抑制:不抑制 流控:关闭 |
|
连接因特网方式 |
DHCP自动获取方式 |
|
WAN网口线路检测 |
关闭 |
|
端口镜像 |
无 |
|
安全专区 |
ARP防护 |
采用路由器检测到ARP攻击时,LAN口或WAN口会主动发送免费ARP |
网站过滤 |
关闭 |
|
防火墙 |
出站通信缺省策略:允许 入站通信缺省策略:禁止 |
|
IDS防范 |
开启各攻击类型防护 |
|
报文源认证 |
开启基于静态路由、静态ARP表、动态ARP表的报文源认证 |
|
异常流量防护 |
开启,且防护等级为高 |
|
QoS管理 |
IP流量限制 |
关闭 |
绿色通道管理 |
关闭 |
|
限制通道管理 |
关闭 |
|
网络连接限数 |
关闭 |
|
高级设置 |
NAT |
开启 |
ALG应用 |
开启 |
|
DDNS |
关闭 |
|
UPnP |
关闭 |
|
设备管理 |
系统时间 |
通过缺省的NTP服务器获取 |
远程管理 |
远程Web管理:关闭 远程Telnet管理:关闭 |
|
用户管理 |
用户:admin 密码:admin |
|
超时时间 |
5分钟 |
术语缩写 |
英文全称 |
中文名称 |
含义 |
100Base-TX |
100Base-TX |
100Base-TX |
100Mbit/s基带以太网规范,使用两对5类双绞线连接,可提供最大100Mbit/s的传输速率 |
10Base-T |
10Base-T |
10Base-T |
10Mbit/s基带以太网规范,使用两对双绞线(3/4/5类双绞线)连接,其中一对用于发送数据,另一对用于接收数据,提供最大10Mbit/s传输速率 |
DDNS |
Dynamic Domain Name Service |
动态域名服务 |
动态域名服务(Dynamic Domain Name Service),能实现固定域名到动态IP地址之间的解析 |
DHCP |
Dynamic Host Configuration Protocol |
动态主机配置协议 |
动态主机配置协议(Dynamic Host Configuration Protocol)为网络中的主机动态分配IP地址、子网掩码、网关等信息 |
DHCP Server |
Dynamic Host Configuration Protocol Server |
DHCP 服务器 |
动态主机配置协议服务器(Dynamic Host Configuration Protocol Server)是一台运行了DHCP动态主机配置协议的设备,主要用于给DHCP客户端分配IP地址 |
DNS |
Domain Name Service |
域名服务 |
域名服务(Domain Name Service)将域名解析成IP地址。DNS信息按等级分布在整个因特网上的DNS服务器间,当我们访问一个网址时,DNS服务器查看发出请求的域名并搜寻它所对应的IP地址。如果该DNS服务器无法找到这个IP地址,就将请求传送给上级DNS服务器,继续搜寻IP地址。例如,www.yahoo.com 这个域名所对应的IP地址为 216.115.108.243 |
DoS |
Denial of Service |
拒绝服务 |
拒绝服务(Denial of Service)是一种利用合法的方式请求占用过多的服务资源,从而使其他用户无法得到服务响应的网络攻击行为 |
DSL |
Digital Subscriber Line |
数字用户线路 |
数字用户线(Digital Subscriber Line)这种技术使得数字数据和仿真语音信号都可以在现有的电话线路上进行传输。目前比较受家庭用户青睐的是ADSL接入方式 |
Firewall |
Firewall |
防火墙 |
防火墙(Firewall)技术保护您的计算机或局域网免受来自外网的恶意攻击或访问 |
FTP |
File Transfer Protocol |
文件传输协议 |
文件传输协议(File Transfer Protocol)是一种描述网络上的计算机之间如何传输文件的协议 |
HTTP |
Hypertext Transfer Protocol |
超文本传送协议 |
超文本传送协议(Hypertext Transfer Protocol)是一种主要用于传输网页的标准协议 |
Hub |
Hub |
集线器 |
共享式网络连接设备,工作在物理层,主要用于扩展局域网规模 |
ISP |
Internet Service Provider |
因特网服务提供商 |
因特网服务提供商(Internet Service Provider),提供因特网接入服务的提供商 |
LAN |
Local Area Network |
局域网 |
局域网(Local Area Network)一般指内部网,例如家庭网络,中小型企业的内部网络等 |
MAC address |
Media Access Control address |
介质访问控制地址 |
介质访问控制地址(Media Access Control address),MAC地址是由厂商指定给设备的永久物理地址,它由6对十六进制数字所构成。例如:00-0F-E2-80-65-25。每一个网络设备都拥有一个全球唯一的MAC地址 |
MIMO |
Multiple-Input Multiple-Out-put |
多输入多输出 |
MIMO 允许多个天线同时发送和接收多个空间流,并能够区分发往或来自不同空间方位的信号。在发送端或接收端采用多天线,可以显著克服信道的衰落,降低误码率 |
NAT |
Network Address Translation |
网络地址转换 |
网络地址转换(Network Address Translation),可以把局域网内的多台计算机通过NAT转换后共享一个或多个公网IP地址,接入Internet,这种方式同时也可以屏蔽局域网用户,起到网络安全的作用。通常共享上网的宽带路由器都使用这个技术 |
NMS |
Network Management Station |
网络管理站 |
NMS运行SNMP客户端程序的工作站,能够提供非常友好的人机交互界面,方便网络管理员完成绝大多数的网络管理工作 |
Ping |
Packet Internet Grope |
因特网包探测器 |
Ping 命令是用来测试本机与网络上的其它计算机能否进行通信的诊断工具。Ping命令将报文发送给指定的计算机,如果该计算机收到报文则会返回响应报文 |
PPP |
Point-to-Point Protocol |
点对点协议 |
点对点协议(Point-to-Point Protocol)是一种链路层通信协议 |
PPPoE |
PPP over Ethernet |
点对点以太网承载协议 |
点对点以太网承载协议(PPP over Ethernet)在以太网上承载PPP协议封装的报文,它是目前使用较多的业务形式 |
QoS |
Quality of Service |
服务质量 |
服务质量(Quality of Service)是用来解决网络延迟和阻塞等问题的一种技术。当网络过载或拥塞时,QoS 能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行 |
RJ-45 |
RJ-45 |
RJ-45 |
用于连接以太网交换机、集线器、路由器等设备的标准插头。直连网线和交叉网线通常使用这种接头 |
Route |
Route |
路由 |
基于数据的目的地址和当前的网络条件,通过有效的路由选择能够到达目的网络或地址的出接口或网关,进行数据转发。具有路由功能的设备称作路由器(router) |
SNMP |
Simple Network Management Protocol |
简单网络管理协议 |
SNMP是网络中管理设备和被管理设备之间的通信规则,它定义了一系列消息、方法和语法,用于实现管理设备对被管理设备的访问和管理 |
TCP |
Transfer Control Protocol |
传输控制协议 |
传输控制协议(Transfer Control Protocol)是一种面向连接的、可靠的传输层协议 |
TCP/IP |
Transmission Control Protocol/Internet Protocol |
传输控制协议/网际协议 |
传输控制协议/网际协议(Transmission Control Protocol/Internet Protocol),网络通信的基本通信协议簇。TCP/IP定义了一组协议,不仅仅是TCP和IP |
Telnet |
Telnet |
Telnet |
一种用来访问远程主机的基于字符的交互程序。Telnet允许用户远程登录并对设备进行管理 |
UDP |
User Datagram Protocol |
用户数据报协议 |
用户数据报协议(User Datagram Protocol)是一种面向非连接的传输层协议 |
UPnP |
Universal Plug and Play |
通用即插即用 |
通用即插即用(Universal Plug and Play),支持UPnP的设备彼此可自动连接和协同工作 |
WAN |
Wide Area Network |
广域网 |
广域网(Wide Area Network)是覆盖地理范围相对较广的数据通信网络,如因特网 |
WLAN |
Wireless Local Area Network |
无线局域网 |
应用无线通信技术将计算机设备互联起来,构成可以互相通信和实现资源共享的网络体系。无线局域网本质的特点是不再使用通信电缆将计算机与网络连接起来,而是通过无线的方式连接,从而使网络的构建和终端的移动更加灵活 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!