01-正文

本章节下载 (1.86 MB)

01-正文

1 登录设备

1.1 Web网管使用限制

· Web网管支持的操作系统包括：Windows XP、Windows 2000、Windows Server 2003企业版、Windows Server 2003标准版、Windows Vista、Windows 7、Windows 8、Windows 10、Linux和MAC OS。

· Web网管支持的浏览器包括：Microsoft Internet Explorer 11.0.9600.19及以上版本、Mozilla Firefox 45.0.2及以上版本、Google Chrome 68.0.3423.2及以上版本、Safari 5.1及以上版本，使用其它浏览器访问可能会不支持或显示效果不佳。

· 由于Windows操作系统自带的防火墙会对TCP连接数进行限制，使用Web网管时偶尔会出现无法打开Web网管页面的情况。为了避免这种情况，建议关闭Windows自带的防火墙。

· 设备的软件版本变化后，在通过Web网管登录设备时，建议先清除浏览器的缓存数据，否则Web网管的内容可能无法正确显示。

· 建议同时只登录一个用户进行配置和管理。

1.2 登录Web网管

1.2.1 登录Web网管的准备

1. 通过有线方式接入局域网

(1) 连接设备和PC

使用以太网线将PC和设备上的LAN接口（缺省情况下，所有端口均属于VLAN 4092）相连。

(2) 为PC配置IP地址，保证能与设备互通，以下两种方式任选其一：

¡ 配置PC的IP地址为“自动获得IP地址”和“自动获得DNS服务器地址”，由设备为PC自动分配IP地址等网络参数。

图1-1 配置PC自动获取IP地址

¡ 手动修改PC的IP地址为10.40.92.0/24网段内的任意地址（除10.40.92.1），例如10.40.92.2。（注意：后期修改了缺省登录地址后，请使用修改后的网段内的IP地址）

2. 通过无线方式接入局域网

(1) 为PC配置IP地址，保证能与设备互通，详细配置方式请参见1. 通过有线方式接入局域网。

(2) 缺省情况下，使用无线终端或带无线网卡的PC，在设备的无线信号覆盖范围内，搜索SSID（无线网络名称）为“H3C_XXXXXX”（XXXXXX为设备MAC地址的后六位）的无线网络进行连接。

· 用户可以在设备背面的铭牌上，查看MAC地址等信息。

· SSID为“H3C_XXXXXX”的无线服务即管理Wi-Fi，多个终端连接管理Wi-Fi时，仅最后登录本地Web的终端可以成功登录。

1.2.2 初始化设置

设备没有设置初始密码，首次上电或者恢复出厂配置后需要通过初始化设置页面设置登录密码。

设备初始化设置的步骤如下：

(1) 运行浏览器，在地址栏中输入http://wlan.h3c.com或者http://10.40.92.1（缺省管理地址），回车后跳转到初始化设置页面，请根据页面提示的密码设置要求设置登录密码，点击<下一步>按钮，进入WAN口配置页面。

图1-2 初始化设置页面—密码设置

(2) 在WAN口配置页面，根据实际使用的运营商网络选择上网方式，上网方式包括：PPPoE、DHCP和静态地址。完成上网方式选择后，点击<下一步>按钮，进入云平台配置页面。若当前不需要配置WAN口和云平台，可以点击页面右下角的<退出>按钮，在弹出的登录页面输入设置的登录密码完成登录。

¡ 当选择上网方式为“PPPoE”时，需要输入运营商分配的用户名和密码。

¡ 当选择上网方式为“DHCP”时，设备会自动从上级设备请求获取IP地址等网络参数。

¡ 当选择上网方式为“静态地址”时，需要填写静态IPv4地址、子网掩码、网关和DNS。

图1-3 初始化设置页面—WAN口配置

(3) 在云平台配置页面，若要对设备进行远程管理和配置，请点击<去云平台绑定设备>按钮，并登录云平台进行相关配置。若不需要，请直接点击<完成>或者<退出>按钮，在弹出的登录页面输入设置的登录密码完成登录，如图1-5所示。

图1-4 初始化设置页面—云平台配置

1.2.3 登录Web网管

非首次登录时，运行浏览器，在地址栏中输入http://wlan.h3c.com或者http://ip-address（其中，ip-address为设备的管理地址，如果修改了设备的缺省管理地址，请使用修改后的IP地址登录），回车后跳转到登录页面，输入登录密码后完成登录。

图1-5 登录Web管理页面

1.3 退出Web网管

在Web网管左侧导航栏的“主页”页面，点击右上角注销登录按钮，然后在弹出的提示框点击<确定>按钮即可退出Web网管。

图1-6 退出Web网管

2 拨码开关介绍

设备面板上拨码开关的配置情况会对Web网管的配置产生影响，拨码开关介绍如下：

图2-1 拨码开关示意图

(1) 双WAN口

¡ 将双WAN口拨码开关向上拨动，设备将重启，并开启双WAN口功能，LAN4和WAN口组成双WAN口模式；

¡ 将双WAN口拨码开关向下拨动，设备将重启，并关闭双WAN口功能，设备工作于单WAN口模式。

· 双WAN口拨码开关开启时，不支持通过云平台或本地Web切换为单WAN口模式；

· 双WAN口拨码开关关闭时，支持通过云平台或本地Web切换为双WAN口模式。

(2) AP管理

¡ 将AP管理拨码开关向上拨动，设备管理AP的数量会提升，建议作为AC使用；

¡ 将AP管理拨码开关向下拨动，设备管理AP的数量会恢复默认值，此时为网关功能预留了更多资源，建议作为网关使用。

表2-1 不同模式支持管理的AP数量

设备工作模式	MSG326-W
网关模式	64
AP管理模式	128

(3) 独立运行

¡ 将独立运行拨码开关向上拨动，即开启独立运行功能，此时设备将与云平台断开连接，作为独立网关设备接入网络并提供网络服务，不再接受云平台的管理和控制，同时不具备管理AP的能力，已上线的设备会被踢下线；

¡ 将独立运行拨码开关向下拨动，即关闭独立运行功能，此时设备可以自动关联云平台，并具备管理AP的能力。用户可以通过云平台对设备进行管理和配置。

(4) 一键网优（暂不支持）

3 配置Web网管

3.1 主页

在左侧导航栏的“主页”页面，可以查看设备连接云平台的状态、WAN状态、LAN状态以及商业Wi-Fi状态信息，也可以点击组网图中的图标进入相应的配置页面。

在主页的左上角可以查看设备是否连接到云平台，如果已连接到云平台，会显示登录云平台的用户名以及场所名称。

图3-1 主页

点击“H3C云平台”图标，弹出云平台的登录页面，用户可以在云平台上添加设备并对设备进行配置
点击“设备”图标，跳转到“内网配置”页面
点击“Wi-Fi信号”图标，跳转到“Wi-Fi配置”页面
点击“无线终端”图标，跳转到“终端信息”页面

3.2 上网配置

点击左侧导航栏的“上网配置”，用户可以在“上网配置”页面配置WAN1口、切换LAN4/WAN2、配置NAT。

设备具有单WAN口和双WAN口功能，缺省情况下，设备工作在单WAN口模式。

如果需要双WAN口功能，在“LAN4/WAN2”页面，勾选WAN2并配置完成后，点击<确定>按钮，即可将设备的当前接口LAN4/WAN2切换为WAN模式，此时设备工作在双WAN口模式。

当设备工作在双WAN口模式时，工作模式包括主备模式、负载均衡模式：

· 主备模式：一个WAN口选择主连接，另一个WAN口选择备连接。当主连接WAN口出现故障时，流量会由备连接WAN口进行转发；当主连接WAN口故障恢复后，流量会切回到主连接WAN口进行转发。

· 负载均衡模式：两个WAN口都选择主连接。通过双WAN口对出口流量进行负载分担。

3.2.1 WAN1配置

· 在“LAN4/WAN2”切换页面，勾选WAN2并配置完成后，点击<确定>按钮，WAN1接口才能配置连接方式。

· 设备连接到云平台后，无法通过本地Web页面进行连接方式配置。

· WAN1接口的ping列表禁止ping WAN1以及WAN2接口的IP地址。

请根据实际使用的运营商网络选择上网方式，上网方式包括：PPPoE、DHCP和静态地址。

· 当选择上网方式为“PPPoE”时，需要输入运营商分配的用户名和密码。可以按需求配置接口的MTU（Maximum Transmission Unit，最大传输单元，缺省为1480）。DNS地址可以选择“自动配置”或“手动配置”，当选择“手动配置”时，需要输入DNS地址，最多支持添加6条DNS地址；

图3-2 PPPoE方式

· 当选择上网方式为“DHCP”时，设备会自动从上级设备请求获取IP地址等网络参数。可以按需求配置接口的MTU值（缺省为1480），DNS地址可以选择“自动配置”或“手动配置”，当选择“手动配置”时，需要输入DNS地址，最多支持添加6条DNS地址；

图3-3 DHCP方式

· 当选择上网方式为“静态地址”时，需要填写静态IPv4地址、子网掩码、网关和DNS地址，可以按需求配置接口的MTU值（缺省为1480），最多支持添加6条DNS地址；

图3-4 静态地址方式

配置完成后点击<确定>按钮，完成操作。

3.2.2 LAN4/WAN2切换

· 设备连接到云平台后，无法通过本地Web页面进行LAN4/WAN2切换和连接方式配置。

· 设备通过拨码开关开启双WAN口功能后，无法通过本地Web页面和云平台进行LAN4/WAN2切换；双WAN口拨码开关关闭时，支持通过云平台或本地Web切换为双WAN口模式。

· 勾选WAN2并配置完成后，点击<确定>按钮，WAN1接口才能配置连接方式。

· WAN2接口的ping列表禁止ping WAN1以及WAN2接口的IP地址。

图3-5 LAN4/WAN2切换（未连接云平台且未开启拨码开关）

图3-6 LAN4/WAN2切换（已连接云平台但未开启拨码开关）

图3-7 LAN4/WAN2切换（未连接云平台但开启拨码开关）

图3-8 LAN4/WAN2切换（已连接云平台且开启拨码开关）

3.2.3 NAT配置

设备连接到云平台后，无法通过本地Web页面进行NAT配置。

1. NAT功能简介

NAT隐藏了内部网络的结构，具有“屏蔽”内部主机的作用，但是在实际应用中，可能需要给外部网络提供一个访问内网主机的机会，如给外部网络提供一台Web服务器，或是一台FTP服务器。

NAT设备提供的内部服务器功能，就是通过静态配置“公网IP地址＋端口号”与“私网IP地址＋端口号”间的映射关系，实现公网IP地址到私网IP地址的“反向”转换。

如图3-9所示，可以将20.1.1.1:8080配置为内网某Web服务器的外部网络地址和端口号供外部网络访问。

图3-9 NAT基本原理示意图

2. NAT配置

(1) 在“NAT配置”页面，点击<添加>按钮，可以配置内网服务器与外网接口的映射关系；

(2) 点击<确定>按钮，完成操作。

图3-10 添加NAT配置

表3-1 NAT配置说明

配置项	说明
WAN口名称	设置内网服务器映射的WAN接口
协议类型	设置传输层协议类型
Internet访问端口号	设置提供给外部访问的服务端口号
内网服务器地址	设置内网服务器在内部局域网的IP地址
内网服务器端口号	设置内网服务器提供的服务端口号

3.3 Wi-Fi配置

· 设备连接到云平台后，无法通过本地Web页面对Wi-Fi配置进行修改。

· 部分英特尔无线网卡若无法扫描到802.11ax类型射频发射的无线信号，请尝试到英特尔官网更新网卡驱动

设备未连接云平台时，点击左侧导航栏的“Wi-Fi配置”，首次配置时，用户可以选择“本地配置”或者“云平台配置”，如图3-11所示。

图3-11 Wi-Fi配置（未连接云平台）

设备已连接云平台时，在Wi-Fi配置页面中，只能选择“云平台配置”，如图3-12所示。

图3-12 Wi-Fi配置（已连接云平台）

3.3.1 本地配置

在如图3-11所示页面，点击本地配置的图标后进入Wi-Fi配置页面，在该页面配置设备自身的无线射频功能。本地配置支持“管理Wi-Fi”和“商业Wi-Fi”两种类型的无线服务。

1. 管理Wi-Fi

可以通过管理Wi-Fi访问本地Web管理页面，并管理设备，配置步骤如下：

(1) 点击图3-13中的<开/关>按钮，可以开启或关闭管理Wi-Fi。

图3-13 开启或关闭管理Wi-Fi

(2) 点击图3-13中的<修改>按钮，进入管理Wi-Fi配置页面，可以配置无线服务的SSID名称、工作状态、隐藏SSID功能以及加密方式。开启隐藏SSID后，客户端不能搜索到管理Wi-Fi，需手动输入SSID才能接入。完成配置后点击<确定>按钮，完成操作。

图3-14 配置管理Wi-Fi

2. 商业Wi-Fi

商业Wi-Fi为企业来访宾客提供无线服务，企业来访宾客不能通过商业Wi-Fi访问Web网管。配置步骤如下：

(1) 点击图3-15中的<开/关>按钮，可以开启或关闭指定的商业Wi-Fi。

图3-15 开启或关闭商业Wi-Fi

(2) 点击图3-15中某个商业Wi-Fi对应的<修改>按钮，进入商业Wi-Fi配置页面，可以配置无线服务的SSID名称、工作状态、加密方式以及VLAN，完成配置后点击<确定>按钮，完成操作。

图3-16 配置商业Wi-Fi

3.3.2 云平台配置

在图3-11所示页面，点击“H3C云平台”图标，浏览器会弹出云平台的登录页面，用户登录云平台配置场所并添加设备后，可以对设备进行远程配置和管理。云平台的详细配置方法请参见云平台的相关资料。

设备连接到云平台后，在云平台上完成的配置会下发到设备并覆盖本地配置，请谨慎操作。

3.4 内网配置

· 修改“本机地址”或者VLAN 4092接口IP地址后，设备会进行重启，请谨慎操作。

· 设备连接到云平台后，无法通过本地Web页面进行内网配置。

点击左侧导航栏的“内网配置”，用户可以在内网配置页面进行本机地址、VLAN和接口配置。

3.4.1 本机地址

· 本机地址即设备的管理地址，与VLAN 4092接口IP地址相同。

· 修改本机地址后，请使用修改后的IP地址重新登录设备的本地Web管理界面。

在“本机地址”页面，修改本机的IPv4地址后，点击<确定>按钮完成操作。

图3-17 本机地址

3.4.2 VLAN配置

· 设备缺省配置的VLAN 1和VLAN 4092不可删除。

· VLAN 4092为设备管理VLAN，VLAN 4092接口IP地址与本机地址相同，VLAN 1为缺省用户VLAN。

在“VLAN配置”页面，可以查看VLAN的ID和地址获取方式等信息，并添加、修改、删除或者批量删除VLAN。

图3-18 VLAN配置

在图3-18所示页面，点击<添加>按钮，可创建VLAN、配置VLAN接口IP地址、选择是否开启DHCP Server功能，使VLAN作为DHCP Server为客户端分配IP地址等信息，点击<确定>按钮完成操作。

图3-19 创建VLAN

在图3-18所示页面，点击VLAN所在行的<修改>按钮，可修改VLAN接口IP地址、子网掩码、DHCP Server等信息，点击<确定>按钮完成操作。

图3-20 修改VLAN

在图3-21所示页面，点击VLAN所在行的<删除>按钮，删除当前VLAN；勾选需要批量删除的VLAN，点击<批量删除>按钮，可以将勾选的VLAN批量删除。

图3-21 删除VLAN

3.4.3 接口配置

在“接口配置”页面，可以查看本地接口当前所属的VLAN、接口状态等信息。

图3-22 接口配置

在图3-22所示页面，点击<修改>按钮，可以修改当前本地接口的链路类型、PVID等信息。

图3-23 修改接口配置

3.5 AP管理

在该页面配置设备管理的AP的无线射频功能。

3.5.1 Wi-Fi配置

部分英特尔无线网卡若无法扫描到802.11ax类型射频发射的无线信号，请尝试到英特尔官网更新网卡驱动。

(1) 在“Wi-Fi配置”页面，可以查看Wi-Fi的SSID、开启/关闭状态等信息，并且可以修改Wi-Fi的配置以及绑定到AP，如图3-24所示。

图3-24 Wi-Fi配置

(2) 点击图3-24中的<修改>按钮，可以修改Wi-Fi的SSID、工作状态、加密方式以及VLAN，完成配置后点击<确定>按钮，完成操作。

图3-25 修改Wi-Fi配置

(3) 点击图3-24中的<绑定>按钮，可以将当前无线服务绑定到勾选的AP上，完成配置后点击<确定>按钮，完成操作。

图3-26 绑定AP

3.5.2 AP列表

(1) 在“AP列表”页面，可以查看AP总数、在线AP数、AP的状态、版本号、IP地址、客户端数量等信息，如图3-27所示。

图3-27 AP列表

(2) 点击图3-27中的<修改>按钮，可以修改AP名称、VLAN、射频等配置信息，完成配置后点击<确定>按钮，完成操作。（说明：本配置的VLAN是AP的LAN接口所在的VLAN）

图3-28 修改AP信息

(3) 点击图3-27中的的<刷新>按钮，可以刷新AP列表的最新显示信息。

(4) 勾选图3-27中的AP，并点击<批量删除>按钮可以将勾选的AP删除。

图3-29 批量删除

(5) 勾选图3-27中的在线AP，并点击<收集日志&配置>按钮可以收集选中的AP日志&配置信息。（注意：同时最多只能收集10台在线AP日志&配置信息）

(6) 勾选图3-27中的AP，并点击<批量重启>按钮可以重启选中的AP。（注意：只能重启在线AP）

图3-30 批量重启（选中的全部为在线AP）

图3-31 批量重启（选中的包含或者全部为离线AP）

(7) 勾选图3-27中的AP，并点击<批量重置>按钮可以重置选中的AP，即将选中的AP恢复出厂设置。（注意：只能重置在线AP）

图3-32 批量重置（选中的全部为在线AP）

图3-33 批量重置（选中的包含或者全部为离线AP）

3.5.3 AP版本管理

· 最多可以上传5个版本，且版本文件最大为20MB。

· 将从官网获取的版本文件通过第三方软件进行MD5计算，并与当前页面上传的版本文件的MD5值进行比较，如果MD5值相同，则在传输过程中版本文件没有损坏；否则版本文件已经损坏，请重新上传新的版本文件。

(1) 在“AP版本管理”页面，可以上传AP设备的版本文件并对该型号的AP进行版本升级操作，如图3-34所示。

图3-34 AP版本管理

(2) 点击图3-34中的<版本上传>按钮，输入版本号、勾选版本对应的设备型号并选择本地保存的版本文件等配置信息，完成配置后点击<确定>按钮，即可将AP设备的版本文件上传到本设备。（注意：版本号需要按照版本文件实际的版本号填写，例如：R1113P01。实际版本号请从官网版本发布路径获取）

图3-35 版本上传

只有较旧的版本需要手动指定设备型号，较新的版本会自动读取设备型号，无需手动指定。

(3) 点击图3-34中的<升级>按钮，可以对当前版本适用设备型号的在线AP进行升级操作，仅对版本不一致的AP进行升级。

图3-36 升级版本

(4) 点击图3-34中的<修改>按钮，可以修改版本信息的版本号、版本描述和设备型号。

图3-37 修改版本信息

(5) 点击图3-34中的<删除>按钮，可以将已上传的当前AP版本删除。

3.5.4 高级功能

在“高级功能”页面，可以配置隐藏AP管理Wi-Fi和AP管理功能。

1. 隐藏AP管理Wi-Fi

隐藏AP管理Wi-Fi后，客户端不能搜索到该无线服务，提高AP设备的安全性，用户需要手动输入SSID才可以接入AP管理Wi-Fi。

图3-38 隐藏AP管理Wi-Fi

2. AP管理功能

开启AP管理功能后，AP就可以在本设备上线，设备可以对AP进行（批量）配置和管理。关闭AP管理功能后，AP将不能在本设备上线。

当设备已连接到云平台时，如需更改“AP管理功能”状态，请登录云平台配置。

图3-39 AP管理功能（未连接云平台）

图3-40 AP管理功能（已连接云平台）

3.6 终端信息

点击左侧导航栏的“终端信息”，用户可以查看在线终端的数量、终端的名称、MAC地址、关联的SSID、IP地址、无线模式/带宽、在线时间、信号强度和已分配的DHCP租约信息等，如图3-41所示。

图3-41 终端信息

3.7 高级功能

点击左侧导航栏的“高级功能”，用户可以在“高级功能”页面修改登录密码、检测上行链路、设置指示灯状态、配置射频、指定云管理地址、配置IPsec VPN功能、获取系统日志、获取配置信息和系统还原。

3.7.1 修改登录密码

用户可以在“修改登录密码”处修改Web网管密码，输入新密码和新密码确认后，点击<确定>按钮完成操作，如图3-42所示。

图3-42 修改Web登录密码

3.7.2 上行链路检测

上行链路检测用于检测上行链路的连通性，可以在“主页”页面的组网图查看上行链路是否处于连通状态。

用户可以在“上行链路检测”处修改检测域名、端口号以及检测间隔，点击<确定>按钮完成操作，如图3-43所示。

图3-43 上行链路检测

3.7.3 指示灯状态

用户可以根据实际需要选择开启或关闭指示灯，勾选“开启”或者“关闭”即可完成配置，如图3-44所示。

图3-44 指示灯状态

3.7.4 射频配置

设备连接到云平台后，无法对射频配置进行修改。

用户可以在“射频配置”处勾选“开启”或者“关闭”2.4GHz和5GHz射频，也可以在“信道”的下拉框中指定射频的工作信道和带宽，点击<确定>按钮，完成操作，如图3-45所示。默认情况下，射频自动选择工作信道。

图3-45 射频配置

3.7.5 云管理

请不要在上行设备中禁止云管理的TCP端口号，否则设备不能连接至云平台。

用户可以根据实际需要自定义云连接地址，并修改端口号，点击<确定>按钮完成操作，如图3-46所示。默认情况下，云连接地址为“H3C云平台”，端口号为“19443”。

图3-46 云管理

3.7.6 IPsec VPN

如图3-47所示，用户可以在“IPSec VPN”中新建IPSec VPN链路，并查看当前VPN的名称、连接状态和主动连接功能等信息，勾选VPN名称可以批量连接、断开和删除VPN。

图3-47 IPSec VPN页面

点击中图3-47的<新建链路>按钮，配置IPSec VPN，配置完成后，点击<确定>按钮，完成操作，如图3-48所示。

图3-48 IPSec VPN配置

各配置参数介绍：

· VPN名称：VPN的名称。

· 主动连接：是否主动连接VPN。默认情况下，“主动连接”被启用。

· IKEv2 PSK密钥：IKEv2预共享密钥，用于验证IPSec连接。

· 本端ID：本端使用IP地址或FQDN的形式。

· 本端地址：VPN本端设备的端口及IP地址。

· 本端子网地址：本端设备的子网地址。

· 本端子网掩码：本端设备的子网掩码。

· 对端ID：对端使用IP地址或FQDN的形式。

· 对端地址：VPN对端设备的IP地址。

· 对端子网地址：对端设备的子网地址。

· 对端子网掩码：对端设备的子网掩码。

· IKEv2 DH Group：设备支持的DH组有group2、group5和group14。密钥交换的安全性随着DH组的扩大而增加，但交换的时间也同时增加。默认设置为group2。

· IKEv2加密算法：设备支持的加密算法有3DES、AES128、AES192和AES256。加密算法的安全度逐渐增强，但相对占用资源逐渐加大。默认设置为AES128。

· IKEv2认证算法：设备支持的认证算法有MD5和SHA1。SHA1算法相对MD5安全性更高，但对资源占用率也更大。默认设置为SHA1。

· IKEv2 SA存活时间：取值范围为120～86400秒，默认设置为86400秒。

· PFS：完全前向保密，开启PFS功能，可以防止因私钥泄露导致的数据被破解。默认设置为关闭。

· IPSec数据加密算法：设备支持的加密算法有3DES、AES128、AES192和AES256。加密算法的安全度逐渐增强，但相对占用资源逐渐加大。默认设置为AES128。

· IPSec数据认证算法：设备支持的认证算法有MD5和SHA1。SHA1算法相对MD5安全性更高，但对资源占用率也更大。默认设置为SHA1。

· 数据传输有效时间：取值范围为180～604800秒，默认设置为3600秒。

3.7.7 系统日志

设备重启后会清空之前的系统日志重新记录，重启之前请先备份系统日志。

点击<获取系统日志>按钮，下载系统日志文件，点击<获取配置信息>按钮，下载配置信息文件，下载的文件在浏览器的下载记录中可以查看，如图3-49所示。

图3-49 获取系统日志和配置信息

3.7.8 系统还原

恢复出厂设置将导致您的设备上的所有配置丢失，请慎重操作。

(1) 点击<恢复出厂设置>按钮，在弹出的对话框中选择是否清除所有个性化配置。

(2) 在弹窗中点击<确定>按钮，完成操作，请等待设备重启之后重新对设备进行配置。

图3-50 恢复出厂设置

3.8 网络工具

3.8.1 Ping工具

用户可以通过Ping功能完成网络连通性测试，如图3-51所示。

图3-51 Ping工具

3.8.2 Traceroute工具

通过使用Traceroute功能，用户可以查看IP报文从源端到达目的端所经过的三层设备，从而检查网络连接是否可用。当网络出现故障时，用户可以使用该功能分析出现故障的网络节点。

图3-52 Traceroute工具

3.9 安全配置

3.9.1 无线黑白名单

无线黑白名单同时只能有一种模式生效：

· 黑名单模式：禁止黑名单列表中的终端通过无线接入本网络，且黑名单列表中最多可以添加64个终端MAC地址。

· 白名单模式：仅允许白名单列表中的终端通过无线接入本网络，且白名单列表中最多可以添加64个终端MAC地址。

# 用户可以选择“黑名单模式”或“白名单模式”，点击<保存并生效模式>按钮，完成模式选择。点击<从在线列表添加>或<手动添加>按钮，添加相应的名单列表，勾选列表中的名单，点击<批量删除>按钮批量删除名单，如图3-53所示。

图3-53 无线黑白名单配置

3.9.2 防攻击

在复杂网络环境中，常常由于计算机异常或中毒，导致其不断地发送一些攻击报文，造成设备资源和网络带宽不必要的消耗。防攻击的主要目的就是发现并丢弃非法报文，以保证整体网络的稳定性。

防攻击功能介绍如表3-2所示：

表3-2 防攻击功能说明

配置项	说明
WAN口ping扫描	启用该项，设备不回应来自因特网的Ping请求，可以防止因特网上恶意的Ping探测
TCP SYN扫描	启用该项，设备可以有效的防止恶意的TCP SYN扫描 TCP SYN扫描通常也叫做半连接扫描，因为它并不建立一个完整的TCP连接。攻击者像建立正常的TCP连接一样向某个端口发送一个SYN报文，然后等待目标主机的回应，如果目标主机回应SYN\|ACK报文，则说明这个端口是开放的；如果回应RST报文，则说明该端口没有开放。当收到的是SYN\|ACK报文时，攻击者立即回送一个RST报文将连接中止，这就是它叫做半连接扫描的原因。其扫描原理是依据RFC 793
TCP Stealth Fin扫描	启用该项，设备可以有效的防止恶意的TCP Stealth Fin扫描 TCP Stealth Fin 扫描和TCP SYN扫描原理一样，只是发送只有FIN标志置位的TCP报文。其扫描原理是依据RFC 793
TCP NULL扫描	启用该项，设备可以有效的防止恶意的TCP NULL扫描 TCP NULL扫描和TCP SYN扫描原理一样，只是发送所有标志都不置位的TCP报文。其扫描原理是依据RFC 793
TCP XMAS TREE扫描	启用该项，设备可以有效的防止恶意的TCP Xmas Tree扫描 TCP Xmas Tree扫描和TCP SYN扫描原理一样，只是发送FIN、URG和PUSH标志置位的TCP报文。其扫描原理是依据RFC 793
SYN Flood攻击	启用该项，设备可以有效的防止恶意的SYN Flood攻击 SYN Flood攻击通过发送大量的SYN报文，使被攻击服务器中的数据结构逐渐会被填满，这样系统将无法再接受任何传入的新连接
ICMP Flood攻击	启用该项，设备可以有效的防止恶意的ICMP Flood攻击 ICMP Flood原理与SYN FLOOD类似，攻击者通过发送大量的ICMP报文给目标计算机，导致目标计算机忙于处理这些ICMP报文而无法继续处理正常的报文
ARP防攻击	启用该项，设备可以有效的防止恶意的ARP攻击 ARP协议本身存在缺陷，攻击者可以轻易地利用ARP协议的缺陷对其进行攻击。目前，网络中常见的ARP攻击包括ARP欺骗、ARP泛洪攻击等。