- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-正文
本章节下载: 01-正文 (17.31 MB)
目 录
|
如果您想? |
您可以查看 |
|
初识产品的大致形态、业务特性或者它在实际网络应用中的定位 |
“产品简介” |
|
了解设备的安装方式,例如安装到机柜、工作台以及墙壁的方法等 |
“安装设备” |
|
通过搭建Web环境来管理设备,同时想查看设备的运行情况,基本功能的配置向导 |
|
|
通过Web设置页面快速设置设备WAN口的上网参数、LAN口和无线相关功能等 |
“快速设置” |
|
查看设备端口状态、各线路的流量情况以及终端流量使用情况 |
“系统监控” |
|
通过Web设置页面来设置设备的无线参数和AP参数,进行无线网络管理 |
|
|
通过Web设置页面来设置WAN口、LAN口和VLAN等相关功能,另外,实现设备的高级业务功能设置,例如虚拟服务器、一对一NAT映射等 |
“网络设置” |
|
通过Web设置页面来设置带宽管理、网址控制和应用控制等上网行为管理功能 |
“上网行为管理” |
|
通过Web设置页面来实现设备及网络环境的安全性设置,比如:防火墙、连接限制、MAC地址过滤和ARP安全等 |
“网络安全” |
|
通过Web设置页面设置Portal认证功能 |
“认证管理” |
|
通过Web设置页面来实现设备IPSec VPN功能和L2TP VPN功能 |
|
|
通过Web设置页面设置静态DNS、动态DNS、静态路由等功能 |
“高级选项” |
|
通过Web设置页面对设备进行维护管理,比如:软件升级、用户管理等 |
|
|
查看设备的一些典型配置案例和视频 |
“典型配置案例集” |
|
通过命令行来简单地维护设备 |
H3C UR系列企业级路由器主要适用于中小企业、政府、企业机构等需要高速有线及无线接入的中小型网络环境。该系列路由器融合了路由、交换、AC、防火墙和PoE等功能于一身,能够大大简化组网。
表2-1 路由器列表
|
产品 |
描述 |
|
UR7103 |
提供1个固定千兆LAN口、1个固定千兆WAN口和3个千兆WAN/LAN可变口 |
|
UR7103S |
提供1个固定千兆LAN口、1个固定千兆WAN口和3个千兆WAN/LAN可变口 |
|
UR7104S-P |
· 提供3个固定千兆LAN口、1个固定千兆WAN口和1个千兆WAN/LAN可变口 · 4个端口支持PoE供电,符合标准802.3af/at,单端口最大输出功率可达30W,PoE负载功率为75W |
|
UR7206 |
提供4个固定千兆LAN口、2个固定千兆WAN口和2个千兆WAN/LAN可变口 |
|
UR7208 |
提供6个固定千兆LAN口、2个固定千兆WAN口和2个千兆WAN/LAN可变口 |
|
UR7208-P |
· 提供6个固定千兆LAN口、1个固定千兆WAN口和3个千兆WAN/LAN可变口 · 8个端口支持PoE供电,符合标准802.3af/at,单端口最大输出功率可达30W,PoE负载功率为58W |
|
UR7208-P-E |
· 提供5个固定千兆LAN口、2个固定千兆WAN口和3个千兆WAN/LAN可变口 · 8个端口支持PoE供电,符合标准802.3af/at,单端口最大输出功率可达30W,PoE负载功率为110W |
|
UR7504 |
提供1个固定千兆LAN口、1个固定千兆WAN口(Combo口)和5个千兆WAN/LAN可变口 |
|
UR7608 |
提供4个固定千兆LAN口、2个固定千兆WAN口(Combo口)、6个WAN/LAN可变口(2个万兆口+4个千兆口)和1个Console口 |
|
UR7808 |
提供4个固定千兆LAN口、2个固定千兆WAN口(Combo口)、6个WAN/LAN可变口(2个万兆口+4个千兆口)和1个Console口 |
|
UR-3000AX |
· 提供3个固定千兆LAN口、1个固定千兆WAN口和1个千兆WAN/LAN可变口 · 外置5根高增益全向天线,支持2.4GHz和5GHz双频覆盖 · 技术标准: ¡ 2.4GHz:802.11ax/n/b/g ¡ 5GHz:802.11ax/ac/a/n · 无线传输速率:2976Mbps |
设备提供丰富的软件特性(比如:多WAN口负载均衡、上网行为管理、内置AC以及IPSec/L2TP VPN等功能),可以帮您快速地完成各功能特性需求的配置,主要支持功能特性如下。
· 多WAN负载均衡
全千兆的多WAN口(默认双WAN口)支持带宽的负载均衡及线路备份功能,满足企业多运营商接入的组网需求。用户可以根据线路实际带宽分配网络流量,充分利用带宽,并在其中一条运营商线路出现故障时,其他线路也能正常工作,保障网络稳定性。
· 内置AC功能
支持内置AC功能,对H3C小贝优选系列无线AP产品进行统一管理、配置和升级,实现AP接入后零配置功能,即插即用。
· 企业级VPN功能
支持IPSec VPN和L2TP VPN,方便企业通过Internet构建虚拟私有网络。
· 上网行为管理
支持淘宝、爱奇艺、优酷等互联网常见应用的识别和控制。此外,还支持网址过滤功能,可以通过关键字模糊匹配来限制用户对自定义网页的访问。
· 高性能防火墙
内置高性能防火墙,可防护外部多种专业的攻击手段,如DDOS攻击、端口扫描等行为。
内置内网异常流量防护模块,对局域网内各主机流量进行检查,并根据所选的防护等级(支持高、中、低三种)进行相应的处理,确保网络在遭受此类异常攻击时仍能正常工作。
· 网络流量限速
通过基于IP的网络流量限速功能,可以有效地控制指定用户的上/下行流量,限制了P2P软件对网络带宽的过度占用。对于占用大量带宽的P2P下载报文,可选择开启限制通道功能,来限制其带宽;对于需要保证时延的交互性应用流量,可选中开启绿色通道功能来保证其带宽。
· 安全策略防护
支持基于源目的地址、端口定义防火墙过滤策略,通过设置出站和入站通信策略,可允许或禁止特定应用数据流经过路由器;同时,支持基于用户组和时间段配置策略,实现精细化管理。
· 智能化管理
通过云简网络管理平台实现智能网络管理和运维,降低网络管理成本并提升管理体验。同时,也可以通过H3C小贝APP管理进行网络开局部署、常用设备管理、运维操作和产品资料查询,提高网络管理工作效率。
图2-1 UR7103设备前面板
|
(1): 复位键(RESET) |
(2): 系统指示灯(SYS) |
|
(3): USB接口 |
(4): WAN接口及指示灯(10/100/1000Base-T电口) |
|
(5): WAN/LAN接口及指示灯(10/100/1000Base-T电口) |
(6): LAN接口及指示灯(10/100/1000Base-T电口) |
|
(7): 电源接口 |
|
图2-2 UR7103设备后面板
|
(1): 接地螺钉 |
图2-3 UR7103S设备前面板
|
(1): 复位键(RESET) |
(2): 系统指示灯(SYS) |
|
(3): WAN接口及指示灯(10/100/1000Base-T电口) |
(4): WAN/LAN接口及指示灯(10/100/1000Base-T电口) |
|
(5): LAN接口及指示灯(10/100/1000Base-T电口) |
(6): 电源接口 |
图2-4 UR7103S设备后面板
|
(1): 接地螺钉 |
图2-5 UR7104S-P设备前面板
|
(1): 电源接口 |
(2): LAN接口及指示灯(10/100/1000Base-T电口) |
|
(3): LAN/WAN接口及指示灯(10/100/1000Base-T电口) |
(4): WAN接口及指示灯(10/100/1000Base-T电口) |
|
(5): PoE-MAX指示灯(PoE-MAX) |
(6): 复位键(RESET) |
|
(7): 系统指示灯(SYS) |
|
图2-6 UR7104S-P设备后面板
|
(1): 接地螺钉 |
图2-7 UR7206设备前面板
|
(1): 接地螺钉 |
(2): 系统指示灯(SYS) |
|
(3): WAN接口及指示灯(10/100/1000Base-T电口) |
(4): WAN/LAN接口及指示灯(10/100/1000Base-T电口) |
|
(5): LAN接口及指示灯(10/100/1000Base-T电口) |
(6): USB接口 |
|
(7): 复位键(RESET) |
(8): 电源接口 |
|
(9): 电源线固定卡扣 |
|
图2-8 UR7208设备前面板
|
(1): 接地螺钉 |
(2): 系统指示灯(SYS) |
|
(3): WAN接口及指示灯(10/100/1000Base-T电口) |
(4): WAN/LAN接口及指示灯(10/100/1000Base-T电口) |
|
(5): LAN接口及指示灯(10/100/1000Base-T电口) |
(6): USB接口 |
|
(7): 复位键(RESET) |
|
图2-9 UR7208设备后面板
|
(1): 电源接口 |
图2-10 UR7208-P设备前面板
|
(1): 电源接口 |
(2): LAN接口及指示灯(10/100/1000Base-T电口) |
|
(3): LAN/WAN接口及指示灯(10/100/1000Base-T电口) |
(4): WAN/LAN接口及指示灯(10/100/1000Base-T电口) |
|
(5): WAN接口及指示灯(10/100/1000Base-T电口) |
(6): PoE-MAX指示灯(MAX) |
|
(7): 复位键(RESET) |
(8): 系统指示灯(SYS) |
图2-11 UR7208-P设备后面板
|
(1): 接地螺钉 |
图2-12 UR7208-P-E设备前面板
|
(1): 电源接口 |
(2): LAN接口及指示灯(10/100/1000Base-T电口) |
|
(3): LAN/WAN接口及指示灯(10/100/1000Base-T电口) |
(4): WAN接口及指示灯(10/100/1000Base-T电口) |
|
(5): USB接口 |
(6): 系统指示灯(SYS) |
图2-13 UR7208-P-E设备后面板
|
(1): 复位键(RESET) |
图2-14 UR7208-P-E设备右侧面板
|
(1): 接地螺钉 |
图2-15 UR7504设备前面板
|
(1): 接地螺钉 |
(2): WAN接口及指示灯(Combo口) |
|
(3): WAN/LAN接口及指示灯(10/100/1000Base-T电口、1000BASE-X-SFP光口) |
(4): LAN接口及指示灯(10/100/1000Base-T电口) |
|
(5): 系统指示灯(SYS) |
(6): USB接口 |
|
(7): 复位键(RESET) |
|
图2-16 UR7504设备后面板
|
(1): 电源接口 |
图2-17 UR7608设备前面板
|
(1): 接地螺钉 |
(2): LAN接口及指示灯(10/100/1000Base-T电口) |
|
(3): LAN/WAN接口及指示灯(10/100/1000Base-T电口) |
(4): WAN/LAN接口及指示灯(10GBASE-R-SFP+光口) |
|
(5): WAN接口及指示灯(Combo口) |
(6): Console接口 |
|
(7): 系统指示灯(SYS) |
(8): USB接口 |
|
(9): 复位键(RESET) |
|
图2-18 UR7608设备后面板
|
(1): 电源接口 |
图2-19 UR7808设备前面板
|
(1): 接地螺钉 |
(2): LAN接口及指示灯(10/100/1000Base-T电口) |
|
(3): LAN/WAN接口及指示灯(10/100/1000Base-T电口) |
(4): WAN/LAN接口及指示灯(10GBASE-R-SFP+光口) |
|
(5): WAN接口及指示灯(Combo口) |
(6): Console接口 |
|
(7): 系统指示灯(SYS) |
(8): USB接口 |
|
(9): 复位键(RESET) |
|
图2-20 UR7808设备后面板
|
(1): 电源接口 |
图2-21 UR-3000AX设备后面板
|
(1): 5G天线 |
(2): 2.4G天线 |
|
(3): LAN接口(10/100/1000Base-T电口) |
(4): LAN/WAN接口(10/100/1000Base-T电口) |
|
(5): WAN接口(10/100/1000Base-T电口) |
(6): 复位键(RESET) |
|
(7): 电源接口 |
|
图2-22 UR-3000AX设备俯视面板
|
(1): 系统指示灯(SYS) |
(2): 5G射频状态指示灯 |
|
(3): 2.4G射频状态指示灯 |
(4): WAN接口指示灯 |
|
(5): LAN接口指示灯 |
|
|
指示灯 |
状态 |
含义 |
|
|
系统指示灯(SYS) |
绿色常亮 |
设备正常运行中 |
|
|
黄色常亮 |
系统告警或故障 |
|
|
|
黄色慢速闪烁 |
设备将恢复缺省Web登录密码 |
|
|
|
黄色快速闪烁 |
设备将恢复出厂设置并重启 |
|
|
|
灯灭 |
电源关闭、电源故障或设备硬件故障 |
|
|
|
WAN/LAN接口状态指示灯(LINK/ACT)(适用于UR7103、UR7103S) |
绿色常亮、黄色常亮 |
端口正常连接设备,且工作在1000Mbps速率下 |
|
|
绿色常亮、黄色闪烁 |
端口在接收或发送数据,且工作在1000Mbps速率下 |
|
|
|
绿色灭、黄色常亮 |
端口正常连接设备,且工作在10/100Mbps速率下 |
|
|
|
绿色灭、黄色闪烁 |
端口在接收或发送数据,且工作在10/100Mbps速率下 |
|
|
|
灯灭 |
端口未连接设备 |
|
|
|
WAN/LAN接口状态指示灯(LINK/ACT)(适用于UR7206、UR7208、UR7208-P-E、UR7504、UR7608、UR7808、UR-3000AX) |
绿色常亮 |
端口正常连接设备,且工作在1000Mbps速率下 |
|
|
绿色闪烁 |
端口在接收或发送数据,且工作在1000Mbps速率下 |
|
|
|
黄色常亮 |
端口正常连接设备,且工作在10/100Mbps速率下 |
|
|
|
黄色闪烁 |
端口在接收或发送数据,且工作在10/100Mbps速率下 |
|
|
|
灯灭 |
端口未连接设备 |
|
|
|
WAN/LAN接口状态指示灯(LINK/ACT)(适用于UR7104S-P、UR7208-P) |
绿色常亮 |
端口正常连接设备,且工作在10/100/1000Mbps速率下 |
|
|
绿色闪烁 |
端口在接收或发送数据,且工作在10/100/1000Mbps速率下 |
||
|
灯灭 |
端口未连接设备 |
||
|
SFP光口状态指示灯 |
绿色常亮 |
端口正常连接设备,且工作在1000Mbps速率下 |
|
|
绿色闪烁 |
端口在接收或发送数据,且工作在1000Mbps速率下 |
||
|
黄色常亮 |
端口正常连接设备,且工作在10/100Mbps速率下 |
||
|
黄色闪烁 |
端口在接收或发送数据,且工作在10/100Mbps速率下 |
||
|
灯灭 |
端口未连接设备 |
||
|
SFP+光口状态指示灯 |
绿色常亮 |
端口正常连接设备,且工作在10Gbps速率下 |
|
|
绿色闪烁 |
端口在接收或发送数据,且工作在10Gbps速率下 |
||
|
黄色常亮 |
端口正常连接设备,且工作在1000Mbps速率下 |
||
|
黄色闪烁 |
端口在接收或发送数据,且工作在1000Mbps速率下 |
||
|
灯灭 |
端口未连接设备 |
||
|
2.4G射频状态指示灯 |
绿色常亮 |
2.4G射频处于待机状态,但是没有连接客户端 |
|
|
绿色闪烁 |
2.4G射频接口有客户端在线,且有数据收发 |
||
|
灯灭 |
2.4G射频关闭 |
||
|
5G射频状态指示灯 |
绿色常亮 |
5G射频处于待机状态,但是没有连接客户端 |
|
|
绿色闪烁 |
5G射频接口有客户端在线,且有数据收发 |
||
|
灯灭 |
5G射频关闭 |
||
|
PoE-MAX指示灯 |
绿色常亮 |
PoE路由器供电的功率在其保护功率范围以内,对于UR7208-P设备,保护功率范围为60W~75W;对于UR7104S-P设备,保护功率范围为47W~58W |
|
|
灯灭 |
PoE路由器供电的功率未达到保护功率范围的最小值 |
||
|
接口 |
用途 |
|
复位键(RESET) |
· 短按(小于5秒),设备将重启 · 按住5~10秒,当SYS指示灯黄色慢速闪烁时,松开复位键,设备将恢复缺省Web登录密码 · 按住10~15秒,当SYS指示灯黄色快速闪烁时,松开复位键,设备将恢复出厂设置并重启 · 按住超过15秒,SYS指示灯会恢复到绿色常亮,设备不执行任何恢复操作 |
|
USB接口 |
连接到存储介质(如U盘、移动硬盘等),可以快速备份或恢复设备配置,以及恢复版本软件 |
|
电源接口 |
连接到电源 |
|
LAN接口 |
连接计算机或下层交换机的以太网端口 |
|
WAN接口 |
连接到宽带运营商提供的网络接口,接入互联网 |
|
LAN/WAN接口、WAN/LAN接口 |
· 既可以作为LAN接口使用,也可以作为WAN接口使用 · 该接口默认是LAN接口还是WAN接口,取决于该接口的颜色底纹(除UR-3000AX外)。黄色底纹代表该接口默认为WAN接口;绿色底纹代表该接口默认为LAN接口 |
|
Console接口 |
计算机通过连接Console口登录路由器进行命令行设置 |
|
接地螺钉 |
用于连接接地线 |
|
WLAN接口(天线) |
用于连接无线客户端 |
|
项目 |
UR7103 |
UR7103S |
UR7104S-P |
|
外形尺寸(宽×深×高) |
266mm×161mm×44mm |
266mm×161mm×44mm |
190mm×125mm×27mm |
|
功耗 |
<18W |
<4.73W |
<63.18W |
|
电源适配器额定输入电压 |
100V AC~240V AC,50/60Hz |
100V AC~240V AC,50/60Hz |
100V AC~240V AC,50/60Hz |
|
设备电源输入 |
12V±5% / 1.5A |
12V±5% / 1A |
54V±5% / 1.17A |
|
单端口最大输出功率 |
- |
- |
30W |
|
PoE负载功率 |
- |
- |
58W |
|
重量 |
0.8Kg |
0.44Kg |
0.45Kg |
|
Console接口 |
- |
- |
- |
|
USB接口 |
1个USB3.0接口 |
- |
- |
|
LAN接口 |
3个千兆电口(2个可切WAN) |
3个千兆电口(2个可切WAN) |
4个千兆电口(1个可切WAN) |
|
WAN接口 |
2个千兆电口(1个可切LAN) |
2个千兆电口(1个可切LAN) |
1个千兆电口(不可切LAN) |
|
技术标准 |
- |
- |
- |
|
WLAN天线 |
- |
- |
- |
|
无线速率 |
- |
- |
- |
|
工作温度 |
0ºC~45ºC |
0ºC~45ºC |
0ºC~40ºC |
|
工作湿度 |
5%RH~95%RH,非凝露 |
5%RH~95%RH,非凝露 |
5%RH~95%RH,非凝露 |
|
散热方式 |
自然散热 |
自然散热 |
自然散热 |
|
项目 |
UR7206 |
UR7208 |
UR7208-P |
|
外形尺寸(宽×深×高) |
440mm×230mm×44mm |
440mm×230mm×44mm |
190mm×125mm×27mm |
|
功耗 |
<12W |
<12W |
<80W |
|
电源适配器额定输入电压 |
100V AC~240V AC,50/60Hz |
- |
100V AC~240V AC,50/60Hz |
|
设备电源输入 |
12V±5% / 1A |
100V AC~240V AC,50/60Hz |
54V±5% / 1.48A |
|
单端口最大输出功率 |
- |
- |
30W |
|
PoE负载功率 |
- |
- |
75W |
|
重量 |
3Kg |
2.5Kg |
0.5Kg |
|
Console接口 |
- |
- |
- |
|
USB接口 |
1个USB2.0接口 |
1个USB2.0接口 |
- |
|
LAN接口 |
6个千兆电口(2个可切WAN) |
8个千兆电口(2个可切WAN) |
8个千兆电口(2个可切WAN) |
|
WAN接口 |
2个千兆电口(不可切LAN) |
2个千兆电口(不可切LAN) |
2个千兆电口(1个可切LAN) |
|
技术标准 |
- |
- |
- |
|
WLAN天线 |
- |
- |
- |
|
无线速率 |
- |
- |
- |
|
工作温度 |
0ºC~45ºC |
0ºC~45ºC |
0ºC~40ºC |
|
工作湿度 |
5%RH~95%RH,非凝露 |
5%RH~95%RH,非凝露 |
5%RH~95%RH,非凝露 |
|
散热方式 |
自然散热 |
自然散热 |
自然散热 |
|
项目 |
UR7208-P-E |
UR7504 |
UR7608 |
UR7808 |
||
|
外形尺寸(宽×深×高) |
202mm×104mm×28mm |
440mm×227.4mm×44mm |
440mm×230mm×44mm |
440mm×230mm×44mm |
||
|
功耗 |
<120W |
<36W |
<36W |
<36W |
||
|
电源适配器额定输入电压 |
100V AC~240V AC,50/60Hz |
- |
- |
- |
||
|
设备电源输入 |
54V±5% / 2.22A |
100V AC~240V AC,50/60Hz |
100V AC~240V AC,50/60Hz |
100V AC~240V AC,50/60Hz |
||
|
单端口最大输出功率 |
30W |
- |
- |
- |
||
|
PoE负载功率 |
110W |
- |
- |
- |
||
|
重量 |
0.7Kg |
2.4Kg |
2.7Kg |
2.85Kg |
||
|
Console接口 |
- |
- |
1个 |
1个 |
||
|
USB接口 |
1个USB2.0接口 |
1个USB2.0接口 |
1个USB3.0接口 |
1个USB3.0接口 |
||
|
LAN接口 |
8个千兆电口(3个可切WAN) |
4个千兆电口(3个可切WAN) |
8个千兆电口(4个可切WAN) |
8个千兆电口(4个可切WAN) |
||
|
WAN接口 |
2个千兆电口(不可切LAN) |
· 1个Combo口(不可切LAN) · 1个千兆电口(可切LAN) · 1个千兆光口(可切LAN) |
· 2个Combo口(不可切LAN) · 2个万兆光口(可切LAN) |
· 2个Combo口(不可切LAN) · 2个万兆光口(可切LAN) |
||
|
技术标准 |
- |
- |
- |
- |
||
|
WLAN天线 |
- |
- |
- |
- |
||
|
无线速率 |
- |
- |
- |
- |
||
|
工作温度 |
0ºC~40ºC |
0ºC~40ºC |
0ºC~45ºC |
0ºC~45ºC |
||
|
工作湿度 |
5%RH~95%RH,非凝露 |
5%RH~95%RH,非凝露 |
5%RH~95%RH,非凝露 |
5%RH~95%RH,非凝露 |
||
|
散热方式 |
自然散热 |
自然散热 |
风扇散热 |
风扇散热 |
||
|
项目 |
UR-3000AX |
|
外形尺寸(宽×深×高) |
222.2mm×155.8mm×38mm |
|
功耗 |
<12W |
|
电源适配器额定输入电压 |
100V AC~240V AC,50/60Hz |
|
设备电源输入 |
12V±5% / 1A |
|
重量 |
0.45Kg |
|
Console接口 |
- |
|
USB接口 |
- |
|
LAN接口 |
4个千兆电口(1个可切WAN) |
|
WAN接口 |
1个千兆电口(不可切LAN) |
|
技术标准 |
· IEEE802.11ax/n/b/g · IEEE802.11ax/ac/a/n |
|
WLAN天线 |
· 2个2.4G高增益天线 · 3个5G高增益天线 |
|
无线速率 |
2976Mbps(2.4G: 574Mbps + 5G: 2402Mbps) |
|
工作温度 |
0ºC~40ºC |
|
工作湿度 |
5%RH~95%RH,非凝露 |
|
散热方式 |
自然散热 |
设备支持机柜安装、工作台安装以及壁挂安装三种方式,本文的安装过程以UR7206设备举例。
为保证设备正常工作和延长使用寿命,请遵从以下注意事项:
· 设备仅允许在室内使用,请将其放置于干燥通风处;
· 设备的接口线缆要求在室内走线,禁止户外走线,以防止因雷电产生的过电压、过电流损坏设备的信号口;
· 请不要将设备放在不稳定的箱子或桌子上,一旦跌落,会对设备造成损害;
· 在设备周围应预留足够的空间(大于10cm),以便于设备正常散热;
· 请保证设备工作环境的清洁,过多的灰尘会造成静电吸附,不但会影响设备寿命,而且容易造成通信故障;
· 设备工作地的接地装置最好不要与电力设备的接地装置或防雷接地装置合用,并尽可能相距远一些;
· 设备工作地应远离强功率无线电发射台、雷达发射台、高频大电流设备;
· 请使用随产品附带的电源线,严禁使用其它非配套产品。电源电压必须满足专用电源线的输入电压范围。
仅UR7103S、UR7104S-P、UR7208-P、UR7208-P-E和UR-3000AX不支持安装到机柜。
UR7103S、UR7104S-P、UR7208-P和UR-3000AX设备安装到工作台时不需要使用脚垫,可直接放置在工作台上。
粘贴脚垫到设备底部,将设备翻转后水平放置于工作台上。
请保证工作台的平稳和良好接地,并且不要在设备上放置重物。
仅UR7103、UR7103S、UR7104S-P和UR-3000AX支持安装到墙壁。
安装设备到垂直墙壁的方法如下:
(1) 在垂直墙面上确定2个壁挂螺钉的打孔位置,对于UR7103设备,打孔深度需不小于30mm;对于其它款型,打孔深度需不小于22.6mm。
(2) 2个孔位连线呈水平状态,且间距如下:
|
间距 |
对应设备款型 |
|
150mm (5.91in) |
UR7103 |
|
90mm (3.54in) |
UR7103S |
|
80mm (3.15in) |
UR7104S-P |
|
120mm (4.72in) |
UR-3000AX |
(3) 将螺钉导管插入墙面螺孔中,末端与墙面齐平。
(4) 将螺钉拧入导管,螺钉末端与墙面的间隙,对于UR7103设备,需不小于1mm;对于其它款型,需不小于5mm。
(5) 将设备挂在螺钉上。
图3-1 安装设备到垂直墙壁(以UR7103S为例)
仅UR-3000AX不支持连接接地线。
(1) 将设备的接地线的一端安装到设备接地孔上。
(2) 接地线的另一端可以直接缠绕在接地排上,如果设备另外有提供一个OT端子,也可与OT端子进行组装后再安装到接地排上,OT端子的组装方法如下。
· 仅UR7608和UR7808支持Console接口。
· Console口配置电缆不随机提供,请用户根据实际需要自行选购。
设备提供了两种Console口配置电缆用于连接设备和配置终端,具体请参见下表。
表3-1 配置电缆介绍
|
配置电缆类型 |
图示 |
设备侧连接器类型 |
配置终端侧连接器类型 |
连接方法 |
|
DB9-to-RJ45 Console口配置电缆 |
|
DB-9孔式插头 |
RJ-45 |
|
|
USB-to-RJ45 Console口配置电缆 |
|
USB口 |
RJ-45 |
通过配置串口线连接路由器的步骤如下:
(1) 选定配置终端,配置终端可以是标准的具有RS-232串口的字符终端,也可以是一台普通的PC机,更常用的是后者。
(2) 将Console口电缆带有RJ45连接器的一端连接到路由器的Console口,将带有DB9(母)连接器的另一端连接到PC的串口。
图3-2 通过配置串口线连接路由器
· PC通过Console口电缆与路由器连接时,应先连接Console口电缆的DB9端到PC的RS-232接口,再连接Console口电缆的RJ45连接器到路由器的Console口。
· 当PC没有RS-232接口只有USB接口时,需要使用USB转RS-232转接器连接到Console口电缆,并正确安装相应的驱动程序。
· 通过USB-to-RJ45口配置电缆进行配置连接时,用户需要到H3C官方网站或扫描电缆包装袋上的二维码下载对应的驱动程序,并将驱动程序安装到配置终端上。
· 请先安装驱动程序再连接配置电缆。若您安装驱动程序时,已完成配置电缆的安装,安装完驱动程序后,需要重新插拔配置终端侧的USB口。
以下以安装驱动程序到Windows系统为例进行介绍。安装驱动程序到其它操作系统的安装方式,请参照驱动程序压缩包中对应文件夹(文件夹按照操作系统类型命名)内的相关的安装指导文档。
USB-to-RJ45 Console口配置电缆连接步骤如下:
(1) 通过单击如下链接或者将链接拷贝到浏览器的地址栏,登录到USB-to-RJ45 Console驱动的下载界面,将驱动程序下载并保存在本地。
https://www.h3c.com/cn/Home/QR/USB_to_RJ45_Console.htm
(2) 通过查看Windows文件夹下的“Read me.txt”文件,判断配置终端操作系统软件版本是否支持该驱动程序。
(3) 如果支持,请安装驱动程序“PL23XX-M_LogoDriver_Setup_v200_20190815.exe”。
(4) 在安装向导的欢迎页面,点击<Next>按钮。
图3-3 安装向导欢迎页面
(5) 驱动程序安装完成,点击<Finish>按钮,退出向导。
图3-4 安装向导完成页面
(6) 将标准USB接头端连接PC。
(7) 将另一端RJ45接头连接到设备的Console口。
在通过Console口搭建本地配置环境时,需要通过超级终端或PuTTY等终端仿真程序与设备建立连接。用户可以运行这些程序来连接网络设备、Telnet或SSH站点,这些程序的详细介绍和使用方法请参见该程序的使用指导。
打开终端仿真程序后,请按如下要求设置终端参数:
· 波特率:9600
· 数据位:8
· 停止位:1
· 奇偶校验:无
· 流量控制:无
· 仅UR7208、UR7504、UR7608和UR7808支持直接连接交流电源线,其它款型需要连接电源适配器进行供电。
· 请使用设备随机附带的电源适配器供电,避免因功率不足造成的适配器损毁。
· 连接电源线之前,请确保设备已正确接地。
(1) 先将电源线一端插入到设备的电源接口,并用卡扣固定住电源线。部分设备面板上无卡扣,无需进行固定。
(2) 再将另一端连接到外部的交流电源插座上。
(1) 将交流电源线一端插到路由器的交流电源插座上,并用扎带固定。
(2) 再将另一端连接到外部的交流电源插座上。
建议使用Internet Explorer 10及以上版本、Chrome 57及以上版本、Firefox 35及以上版本的浏览器访问Web管理页面。
设备登录步骤如下:
|
1. 将PC连接到设备的LAN接口 2. 配置PC为自动获取IP地址 3. 检查PC的代理服务设置情况。如果当前PC使用代理服务器访问互联网,则首先必须禁止代理服务 4. 运行Web浏览器。请在浏览器地址栏中输入设备铭牌上显示的管理地址并回车 5. 如下图所示,在弹出的窗口上输入管理员用户名和密码(缺省均为admin) |
|
|
6. 单击<登录>按钮。首次登录设备后,系统会自动弹出“修改密码”页面。输入缺省密码、新密码,并确认新密码 7. 单击<确定>按钮完成密码的修改 |
|
系统信息将展示设备的运行情况,基本功能的配置向导和技术支持信息。
页面向导:系统信息→系统信息
|
查看CPU使用率和内存使用率 |
|
页面中各参数的含义如下表所示。
表5-1 页面关键参数说明
|
关键参数 |
描述 |
|
CPU使用率 |
设备CPU的当前使用率。单击页面上方的“CPU使用率”区段,可查看CPU的当前使用率和平均使用率 |
|
内存使用率 |
设备内存的当前使用率。单击页面上方的“内存使用率”区段,可查看内存的当前使用率和平均使用率 |
页面向导:系统信息→系统信息
|
查看接入终端的相关信息 |
|
页面中各参数的含义如下表所示。
表5-2 页面关键参数说明
|
关键参数 |
描述 |
|
接入终端 |
局域网内接入终端的相关信息,单击页面上方的“接入终端”区段,可查看接入终端的相关信息,主要包括: · 实时流量排行TOP5 · 在线主机数和在线主机网络连接数 · 在线主机信息表,表中包含终端IP地址、终端名、网络连接数、接入方式、接口、终端MAC地址等信息 |
|
实时流量排行TOP5 |
接入终端使用流量的TOP5。点击右侧的“点击查看更多”链接,可以查看设备上当前所有接入终端的排行信息 |
|
在线主机数 |
局域网内在线主机的数量 |
|
在线主机网络连接数 |
局域网内所有在线主机连接网络的会话数 |
|
终端IP地址 |
接入终端的IP地址 |
|
终端名 |
接入终端的用户名 |
|
网络连接数 |
终端连接网络的会话数。主要分为: · 若终端传输的是TCP报文,则页面显示TCP报文的网络连接数 · 若终端传输的是UDP报文,则页面显示UDP报文的网络连接数 · 若终端传输的是其他报文,则页面显示其他报文的网络连接数 |
|
接入方式 |
终端接入网络使用的方式,主要分为: · 固定IP:终端使用固定IP地址接入网络 · DHCP分配:终端使用设备DHCP分配的IP地址接入网络 · PORTAL:一种认证方式,终端使用Portal认证的方式接入网络 |
|
接口 |
终端接入网络使用的设备接口,例如VLAN1 |
|
终端MAC地址 |
接入终端的MAC地址 |
|
上行流速 |
接入终端的上行流量速率 |
|
下行流速 |
接入终端的下行流量速率 |
|
在线时长 |
终端接入网络的时长 |
|
流量详情 |
该终端使用流量的详细信息 |
显示设备上网流量相关信息,例如:最近5分钟平均上行速度、最近5分钟平均下行速度、上网WAN接口的状态和上网参数等。
页面向导:系统信息→系统信息
|
可查看上网流量的相关信息 |
|
页面中各参数的含义如下表所示。
表5-3 页面关键参数说明
|
关键参数 |
描述 |
|
上网流量 |
设备的上网流量情况,单击页面上方的“上网流量”区段,可查看各个WAN接口的上网流量信息和接口状态信息 |
|
最近5分钟平均上行速度 |
WAN接口的最近5分钟平均上行速度,单位为bps |
|
最近5分钟平均下行速度 |
WAN接口的最近5分钟平均上行速度,单位为bps |
|
监控周期 |
选择监控指定WAN接口流量的周期,包括:每1小时、每1天、每1个月 |
|
接口 |
设备接入广域网的接口 |
|
MAC地址 |
设备接入广域网使用的MAC地址 |
|
连接类型 |
用户实际的上网方式,选项包括: · PPPoE:宽带拨号上网方式 · DHCP:从DHCP服务器自动获取地址来接入广域网的上网方式 · 固定地址:由运营商提供固定地址来接入广域网的上网方式 |
|
用户名 |
身份验证使用的用户名。此参数由运营商提供。当连接模式设置为PPPoE时,需配置此参数 |
|
IP地址 |
设备接入广域网的IP地址 |
|
子网掩码 |
IP地址的掩码或掩码长度 |
|
网关 |
设备接入广域网的网关地址 |
|
DNS1和DNS2 |
设备接入广域网的DNS服务器地址。优先使用DNS1进行域名解析,如果解析失败,则使用DNS2进行域名解析 |
|
MTU |
设备接口允许通过的MTU(Maximum Transmission Unit,最大传输单元)的大小。单位为字节 |
|
连接状态 |
设备接口与广域网的连接状态,主要分为: · 在线:该接口已连接到广域网 · 离线:该接口未连接到广域网 |
|
连接时间 |
该接口连入广域网的时长 |
显示设备系统时间和产品型号等信息。
页面向导:系统信息→系统信息
|
在“系统时间”区段中,可查看系统时间和运行时间;在“产品型号”区段中,可查看产品型号、序列号、Boot ROM版本、硬件版本和软件版本等信息 |
|
页面中各参数的含义如下表所示。
表5-4 页面关键参数说明
|
关键项 |
描述 |
|
系统时间 |
显示设备的系统时间 |
|
运行时间 |
显示设备的运行时间 |
|
产品型号 |
显示产品型号信息 |
|
序列号 |
显示设备的序列号信息 |
|
Boot ROM版本 |
显示设备的Boot ROM版本信息,点击“显示更多...”可查看 |
|
硬件版本 |
显示设备的硬件版本信息,点击“显示更多...”可查看 |
|
软件版本 |
显示设备的软件版本信息 |
显示WAN口和LAN口的使用状态。
页面向导:系统信息→系统信息
|
在“端口状态”区段中,点击端口图标,可进入WAN或LAN配置页面 |
· WAN配置界面:
· LAN配置界面:
|
页面中各参数的含义如下表所示。
表5-5 页面关键参数说明
|
关键项 |
描述 |
|
端口状态 |
WAN口和LAN口的当前使用状态。在“端口状态”区段中,点击端口图标,可进入WAN或LAN配置页面 |
请谨慎关闭自组网功能,关闭后将无法使用整网管理功能。如需重新启用,请将设备恢复出厂配置。
关闭自组网功能后,Web管理页面将进入本地管理模式,设备处于单台设备独立模式。
启用自组网功能后,首页将显示自组网角色;同时Web管理页面可在整网管理页面和本地管理页面进行切换,您需要点击Web管理页面左上角的当前管理模式,在下拉框中选择要切换的模式
或
。
· 整网管理模式允许查看整个网络中所有设备的管理信息,并可以基于整个网络的视角对所有设备进行配置;
· 本地管理模式则专门用于配置当前登录的设备。
存储介质上存储空间的使用情况。
页面向导:系统信息→系统信息
|
可查看Flash上存储空间的使用率 |
|
页面中各参数的含义如下表所示。
表5-6 页面关键参数说明
|
关键项 |
描述 |
|
存储介质 |
设备存储空间的当前使用状态。在页面右下方区段,可查看存储介质上存储空间的使用率 |
通过快捷导航帮助用户快速的配置网络。
|
在快捷导航页面,根据需要点击功能对应的链接 |
|
页面中关键参数的含义如下表所示。
表5-7 页面关键参数说明
|
关键参数 |
描述 |
|
上网配置 |
设备上网的配置功能,主要包括: · 连接到因特网:单击"连接到因特网",页面自动跳转至连接到因特网页面 · 局域网(LAN)设置:单击"局域网(LAN)设置",页面自动跳转至局域网设置页面 · NAT配置:单击"NAT配置",页面自动跳转至局域网设置页面 |
|
上网行为 |
设备上网行为管理的功能,主要包括: · 应用控制:单击"应用控制",页面自动跳转至上网行为管理的应用控制页面 · 网址控制:单击"网址控制",页面自动跳转至上网行为管理的网址控制页面 · 文件控制:单击"文件控制",页面自动跳转至上网行为管理的文件控制页面 · 带宽限速:单击"带宽限速",页面自动跳转至带宽管理的IP限速页面 · 连接限制:单击"连接限制",页面自动跳转至连接限制页面 · 流量统计排名:单击"流量统计排名",页面自动跳转至流量排行页面 |
|
接入安全 |
用户接入网络的安全功能,主要包括: · ARP安全:单击"ARP安全",页面自动跳转至ARP安全页面 · Portal认证:单击"Portal认证",页面自动跳转至Portal认证页面 · 防火墙:单击"防火墙",页面自动跳转至防火墙页面 · VPN设置:单击"VPN设置",页面自动跳转至IPsec VPN页面 · MAC地址过滤:单击"MAC地址过滤",页面自动跳转至MAC地址过滤页面 |
|
设备维护 |
设备的运行维护功能,主要包括: · 配置管理:单击“配置管理”链接,页面自动跳转至配置管理页面 · 系统升级:单击“系统升级”链接,页面自动跳转至系统升级页面 · 重新启动:单击“重新启动”链接,页面自动跳转至重新启动页面 · 远程管理:单击“远程管理”链接,页面自动跳转至远程管理页面 · 网络诊断:单击“网络诊断”链接,页面自动跳转至网络诊断页面 · 用户FAQ:单击“用户FAQ”链接,页面自动跳转至用户FAQ页面 |
如果用户对产品存有疑问,可以通过本页签提供的联系方式联系我们。包括:
· 技术论坛
· 客服邮箱
· 微信公众号
通过快速设置完成广域网WAN、局域网LAN和无线设置的基本配置后,局域网内的用户便可以访问外网。
· 快速设置页面仅支持设置单WAN或双WAN场景,部分款型如果只支持双WAN场景,快速设置页面中无单WAN选项。如果用户仅租用了一个运营商网络,则选择单WAN场景;如果用户租用了两个运营商网络,则使用双WAN场景。单WAN和双WAN场景的配置方法相同。
· 多WAN模式可在[网络设置/外网配置]菜单项中的配置接口模式页面中配置。
· 不同款型的设备,在快速设置中对单WAN和双WAN场景的支持情况不同,请以设备的实际情况为准。
设备支持PPPoE、DHCP和固定地址三种接入广域网方式。
表6-1 接入广域网方式介绍
|
接入方式 |
描述 |
应用场景 |
|
PPPoE |
PPPoE是一种在以太网上建立点对点连接的协议,通常用于在宽带接入环境下实现认证和拨号连接 使用PPPoE方式接入广域网时,用户需要提供特定账号和密码信息,通过路由器对用户进行拨号连接,从而实现接入到互联网 |
PPPoE方式适用于家庭宽带接入适用于家庭用户、小型企业等需要拨号连接的网络环境,用户可以通过宽带调制解调器(如ADSL调制解调器)进行拨号连接,将家庭局域网与互联网进行连接 |
|
DHCP |
DHCP是一种动态分配IP地址的网络连接方式,当设备连接到网络时,它会向DHCP服务器发送请求,服务器会动态分配IP地址、子网掩码、网关和DNS服务器等网络参数,使设备能够快速连接到网络并获取必要的IP配置信息 |
DHCP方式适用于大型局域网或企业网络环境,通过网络中的DHCP服务器自动分配IP地址,可以方便地管理大量设备的IP地址分配,并减少了手动配置IP地址的工作量 |
|
固定地址 |
固定地址是指手动配置的静态IP地址,子网掩码、网关和DNS服务器等网络参数,这些配置不会随着设备连接情况而改变 |
固定地址方式需要手动为网络设备配置固定的IP地址,确保设备始终使用同一IP地址。这种方式通常适用于需要长期稳定的IP地址分配和不需要频繁变化的网络设备够稳定地进行访问 |
页面向导:快速设置→场景选择
|
通过PPPoE方式接入广域网 |
|
|
通过DHCP方式接入广域网 |
|
|
通过固定地址方式接入广域网 |
|
页面中各参数的含义如下表所示。
表6-2 页面关键参数说明
|
关键参数 |
描述 |
|
场景选择 |
设备接入广域网的场景选择,配置该参数时,可根据需要进行选择: · 若用户仅租用了一个运营商网络,则选择“单WAN场景” · 若用户租用了两个运营商网络,则选择“双WAN场景” 单WAN和双WAN场景的配置方法相同 |
|
“线路1”或“线路2 |
设备接入广域网的物理接口WANx |
|
连接模式 |
用户实际的上网方式,选项包括: · PPPoE:宽带拨号上网方式 · DHCP:从DHCP服务器自动获取地址来接入广域网的上网方式 · 固定地址:由运营商提供固定地址来接入广域网的上网方式 |
|
上网账号 |
身份验证使用的用户名。此参数由运营商提供。当连接模式设置为PPPoE时,需配置此参数 |
|
上网密码 |
身份验证使用的密码。此参数由运营商提供。当连接模式设置为PPPoE时,需配置此参数 |
|
IP地址 |
设备接入广域网的固定IP地址,仅允许输入A、B、C类IP地址。当连接模式设置为固定地址时,该参数为必填项 |
|
子网掩码 |
IP地址的掩码或掩码长度,例如255.255.255.0。当连接模式设置为固定地址时,该参数为必填项 |
|
网关地址 |
设备接入广域网的网关地址,仅允许输入A、B、C类IP地址。当连接模式设置为固定地址时,该参数为必填项 |
|
DNS1和DNS2 |
设备接入广域网的DNS服务器地址。优先使用DNS1进行域名解析,如果解析失败,则使用DNS2进行域名解析 |
|
NAT地址转换 |
是否开启NAT地址转换功能,若开启该功能,则局域网中的多台设备是否共用同一个公网IP |
|
是否为专线 |
选择是否将当前线路设置为专线。专线通常是不能访问外网的专用线路,例如医务专线、公安专线等 · 是:将当前线路设置为专线。设置专线后,用户需要手工配置静态路由 · 否:不将当前线路设置为专线 |
完成WAN配置后,会进入到LAN配置的页面。
页面向导:快速设置→WAN配置→LAN配置
|
LAN配置:配置局域网IP地址、子网掩码等参数 |
|
页面中各参数的含义如下表所示。
表6-3 页面关键参数说明
|
关键参数 |
描述 |
|
局域网IP地址 |
设备在局域网中使用的IP地址 |
|
子网掩码 |
IP地址的掩码或掩码长度,例如:255.255.255.0 |
|
DHCP服务 |
是否启用DHCP服务,若开启该服务,设备将作为DHCP服务器为局域网中的主机分配IP地址 |
|
IP分配范围 |
待分配地址的起始IP地址和结束IP地址 |
|
排除地址 |
设备不能分配给客户端的IP地址。例如:网关地址 |
|
网关地址 |
设备为局域网中的主机分配的网关地址 |
|
DNS1和DNS2 |
DHCP服务器分配IP地址时所携带的DNS服务器地址,优先使用DNS1进行域名解析。如果解析失败,则使用DNS2进行域名解析 |
当设备启用自组网功能或者在云简网络平台管理时,将无法修改无线设置功能相关配置。
完成LAN配置后,会进入到无线设置的页面。
页面向导:快速设置→WAN配置→LAN配置→无线设置
|
设置无线设置中Wi-Fi名称、加密方式、生效射频和区域码等参数 |
|
页面中各参数的含义如下表所示。
表6-4 页面关键参数说明
|
关键项 |
描述 |
|
Wi-Fi名称 |
无线网络服务的名称 |
|
加密方式 |
无线服务的加密方式,配置该参数时,可根据需要进行选择: · 开放式:不对无线服务加密。 · 兼容模式(WPA+WPA2):提供较高的安全性,使用WPA和WPA2混合加密方式。 · WPA2:安全性较高的加密方式,应用于支持WPA2的设备,主要通过输入密码连接,但也广泛支持802.1X认证,适用于家庭和小型办公室网络。 · WPA3:最新的安全加密方式,比WPA2更安全,应用于支持WPA3的设备,提供多种连接方式,包括传统的密码输入、二维码连接和增强版开放连接,适用于家庭、小型办公室网络和公共网络环境。 |
|
生效射频 |
使用的无线频率,包括2.4GHz或5GHz。 |
线路监控功能用来查看设备端口状态和各线路的流量情况,方便管理员对设备线路流量进行分析与审计。
页面向导:系统监控→线路监控
|
端口状态:点击端口图标,可进入WAN或LAN配置页面 线路流量:可以通过列表查看各线路的流量信息 |
|
页面中各参数的含义如下表所示。
表7-1 页面关键参数说明
|
描述 |
|
|
端口状态 |
WAN口和LAN口的当前使用状态,点击端口图标,可进入WAN或LAN配置页面 |
|
线路 |
设备上的三层接口,例如WAN和VLAN接口 |
|
IP地址 |
该线路的接口IP地址。部分设备款型不支持显示此参数 |
|
终端数 |
该线路下连接的终端数量。部分设备款型不支持显示此参数 |
|
发送速率 |
该线路发送报文速率 |
|
接收速率 |
该线路接收报文速率 |
|
累计发送 |
该线路下累计发送报文大小。单位为Mb |
|
累计接收 |
该线路下累计接收报文大小。单位为Mb |
流量排行功能用来展示终端流量使用情况,可查看终端IP地址、当日总流量和在线时长等信息,方便管理员对用户的上网行为进行分析与审计。
• 此功能会消耗设备一定资源,请谨慎开启!。
• 流量排行列表仅显示当前正在访问因特网的在线IP流量信息。
• 流量排行列表仅显示最近5分钟内连接过设备的终端的流量统计信息。
• 网络连接数统计是指内网IP向因特网发起的连接,对如下连接不予统计:向设备本身和内网其它IP发起的连接,以及由因特网向内网IP发起的连接。
• 流量排行列表中网络连接数包括TCP连接数、UDP连接数和其他连接数(除了TCP和UDP之外的连接,如ICMP)。
总流量是指当前IP持续通过的总体流量,如果IP持续一段时间没有访问因特网的业务进行,将进行重新统计。
流量统计的单位换算关系为1G bit= 1,000M bit= 1,000,000K bit= 1,000,000,000 bit。
页面向导:系统监控→流量排行
|
勾选“开启流量排行”选项,开启用户流量排行功能 |
|
|
配置终端限速: 1. 点击指定终端IP地址对应的操作列限速图标,弹出终端限速配置对话框,设置上下传带宽和取消限速等参数 2. 单击<确定>按钮,完成配置 |
|
|
配置终端拉黑 1. 点击指定终端IP地址对应的操作列限速图标,弹出终端限速配置对话框,设置拉黑时间和永久拉黑等参数 2. 单击<确定>按钮,完成配置 |
|
表7-2 页面关键参数说明
|
关键项 |
描述 |
|
流量排行 |
是否开启流量排行功能。若开启该功能,页面会显示接入终端的流量信息 |
|
终端IP地址 |
接入终端的IP地址 |
|
终端名 |
接入终端的用户名 |
|
网络连接数(TCP/UDP/其他) |
终端连接网络的会话数。主要包括: · 若终端传输的是TCP报文,则页面显示TCP报文的网络连接数 · 若终端传输的是UDP报文,则页面显示UDP报文的网络连接数 · 若终端传输的是其他报文,则页面显示其他报文的网络连接数 |
|
接入方式 |
终端接入网络使用的方式,主要分为: · 固定IP:终端使用固定IP地址接入网络 · DHCP分配:终端使用设备DHCP分配的IP地址接入网络 · PORTAL:一种认证方式,终端使用Portal认证的方式接入网络 |
|
接口 |
终端接入网络使用的设备接口,例如VLAN1 |
|
终端MAC地址 |
接入终端的MAC地址 |
|
上行流速 |
接入终端的上行流量速率 |
|
下行流速 |
接入终端的下行流量速率 |
|
当日总流量 |
接入终端的当日总传输流量 |
|
在线时长 |
终端接入网络的时长 |
|
操作 |
对该终端IP地址的操作,主要包括: · 限速:对终端进行限速操作 ¡ 上传带宽:设置终端的上传带宽 ¡ 下载带宽:设置终端的下载带宽 ¡ 取消限速:勾选此项,将取消该对终端的限速 · 拉黑:将终端加入黑名单管理列表,并禁止其访问互联网 ¡ 拉黑时间:设置终端的拉黑时间 ¡ 永久拉黑:将终端永久拉黑 |
若设备纳入自组网管理,小贝AP管理功能将无法使用。
您可通过开启AP管理功能,集中管理接入的AP设备。
页面向导:小贝AP管理→AP管理设置
|
1. 启用AP管理功能,选择是否开启智能优化、隐藏AP管理Wi-Fi和AP指示灯 |
|
|
2. 在“弱信号终端优化”区段,选择是否开启2.4G和5G弱信号终端优化功能,单击<应用>按钮,完成操作 |
|
|
3. 在“Wi-Fi6开关”区段,选择是否开启2.4GHz和5GHz的Wi-Fi6功能,单击<应用>按钮,完成操作 |
|
|
4. 在“漫游灵敏度区段”区段,设置2.4GHz和5GHz的漫游灵敏度,单击<应用>按钮,完成操作 |
|
|
5. 在“接入终端数量”区段,设置2.4GHz和5GHz允许接入的最大终端数量 |
|
|
6. 在“漫游优化”区段,通过单击<漫游优化>按钮,AP将进行扫描来获取潜在的漫游邻居,帮助终端更及时、精确地漫游 |
|
页面中各参数的含义如下表所示。
表8-1 页面参数描述
|
页面参数 |
描述 |
|
查看支持AP型号列表 |
显示支持的AP型号列表 |
|
AP管理功能 |
是否开启AP管理功能,若开启该功能,设备可以集中管理接入的AP设备 缺省为开启 |
|
智能优化 |
是否开启智能优化功能,若开启该功能,AP会进行RRM自动调整 缺省为开启 |
|
隐藏AP管理Wi-Fi |
是否隐藏AP管理的无线服务 缺省为开启 建议按照实际情况进行配置: · 若开启该功能,客户端将无法搜索到用于管理AP的无线服务,如需对AP进行管理,用户需要向管理员获取管理AP的无线服务SSID。通过手工输入SSID的方式接入网络。AP管理无线服务SSID的命名规则如下:H3C_AP MAC地址的后6位。例如:AP MAC地址为12-34-56-78-90-ab,则该AP的管理无线服务为“H3C_7890AB” · 若关闭该功能,客户端可以搜索到所有接入AP的AP管理无线服务 |
|
AP指示灯 |
是否打开AP上的指示灯,若开启该功能,AP会自动打开指示灯,AP上线时,指示灯显示绿色,AP下线时,指示灯显示蓝色。 缺省为开启 |
|
弱信号终端优化-2.4G |
是否开启2.4G弱信号终端优化功能,若开启,则需要配置如下参数: · 禁止弱信号接入门限:对于未接入的客户端,当客户端的信号强度低于门限值时,该客户端将无法接入。取值范围为1~30dB,门限值较大会导致终端接入困难,请根据实际情况合理配置此参数 · 客户端重连接门限:对于已接入的客户端,当客户端的信号强度低于门限值时,该客户端将被踢下线,并尝试重新连接。取值范围为0~29dB。注意:客户端重连接门限需小于禁止弱信号接入门限 |
|
弱信号终端优化-5G |
是否开启5G弱信号终端优化功能,若开启,则需要配置如下参数: · 禁止弱信号接入门限:对于未接入的客户端,当客户端的信号强度低于门限值时,该客户端将无法接入。取值范围为1~30dB,门限值较大会导致终端接入困难,请根据实际情况合理配置此参数 · 客户端重连接门限:对于已接入的客户端,当客户端的信号强度低于门限值时,该客户端将被踢下线,并尝试重新连接。取值范围为0~29dB。注意:客户端重连接门限需小于禁止弱信号接入门限 |
|
WiFi6开关 |
是否开启WiFi6 2.4GHz或者5GHz射频模式 |
|
漫游灵敏度 |
设置调整终端发起漫游的信号强度门限值,用于调节终端漫游的难易程度。 AP密集部署时,可以适当调高,反之调低 缺省值为-70 |
|
接入终端数量 |
设置2.4GHz和5GHz频段下AP允许接入的最大终端数量 |
Wi-Fi配置功能可用于设置无线服务模板,您可以通过该功能查看各无线服务模板的SSID、工作状态和加密情况,并可修改各服务模板的无线SSID、工作状态和密码。
设备默认情况下提供了七个无线服务模板,所有AP在设备集中管理时默认绑定前三个服务模板。
页面向导:小贝AP管理→Wi-Fi配置
|
显示已有无线服务模板的信息,包括SSID信息、工作状态、加密情况
|
|
|
修改Wi-Fi配置: 1. 单击指定SSID对应的操作列编辑图标,在弹出的对话框中配置SSID、加密方式等参数 2. 单击<确定>按钮完成操作 |
|
|
将无线服务模板与AP进行绑定: 1. 单击指定SSID对应的AP绑定列<绑定>按钮,在弹出的对话框勾选需要绑定的AP 2. 单击<确定>按钮完成操作 |
|
页面中各参数的含义如下表所示。
表8-2 页面参数描述
|
页面参数 |
描述 |
|
SSID |
无线服务的SSID名称
SSID名称为1-32个字符,只能包含英文字母[a-z,A-Z]、数字、中划线、下划线、中文,支持用空格连接字符 |
|
工作状态 |
是否开启无线服务的工作状态。若开启该功能,与AP绑定后,无线用户可通过当前无线服务接入网络 缺省情况下第一个无线服务模板为开启状态,其余服务模板为关闭状态 |
|
加密方式 |
无线服务的加密方式,主要分为: · 不加密:不对无线信号加密 · 加密:对无线信号加密 缺省为不加密 |
|
共享密钥 |
无线服务密钥,即无线用户接入网络时需要输入此密钥,若加密方式选择为加密时,需要设置共享密钥
密钥长度为8-63个字符,只能包含英文字母[a-z,A-Z]、数字,以及特殊字符(~!@#$%^&*()_+-={}|[]:<>,./),区分大小写 |
|
VLAN |
无线服务绑定的VLAN 缺省为1 |
|
Wi-Fi信号频段 |
选择当前SSID的频段: · 若只勾选2.4GHz:将当前SSID设置为2.4G频段 · 若只勾选5GHz:将当前SSID设置为5G频段 · 若同时勾选2.4GHz和5GHz:当前SSID在2.4G和5G频段共用 |
|
用户限速 |
是否开启终端限速功能。若开启该功能,可以分别设置上行和下行的最大流量 · 上行:设置允许终端发送至设备的最大流量 · 下行:设置允许对设备发送至终端的最大流量 |
|
隐藏SSID |
选择是否隐藏当前SSID: · 若未勾选,当无线客户端搜寻本地可以接入的无线网络时,将检测到广播的SSID,从而可以建立连接 · 若勾选,管理员需要向客户端知会其SSID名称,客户端才可以根据SSID名称接入无线网络 |
您可通过在线AP管理功能查看已上线的AP设备和客户端。
本功能显示AP设备的详细信息。
页面向导:小贝AP管理→在线AP管理→AP列表
|
显示AP的详细信息,包括AP名称、AP序列号,型号等 · 通过<删除>按钮,可以删除指定的AP · 通过<自动升级>按钮,可以对AP的软件版本进行升级 · 通过<收集日志&配置>按钮,可以对选中AP的日志和配置进行收集 · 通过<重启>按钮,可对选中的AP进行重启 · 通过<重置>按钮,可对选中的AP进行重置 |
|
|
删除AP: 1. 勾选需要删除的AP前方单选框,单击<删除>按钮,弹出确认提示对话框 2. 单击<确定>按钮,完成配置 |
|
|
自动升级AP |
|
|
收集日志&配置 |
|
|
重启AP: 1. 勾选需要重启的AP前方单选框,单击<重启>按钮,弹出确认提示对话框 2. 单击<确定>按钮,完成配置 |
|
|
重置AP: 1. 勾选需要重置的AP前方单选框,单击<重置>按钮,弹出确认提示对话框 2. 单击<确定>按钮,完成配置 |
|
|
修改AP信息: 1. 单击AP对应的操作列“编辑”图标,弹出修改AP信息对话框,您可以根据需要修改AP相关信息 2. 单击<确定>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表8-3 页面参数描述
|
页面参数 |
描述 |
|
AP名称 |
已接入设备的AP名称 |
|
AP型号 |
已接入设备的AP型号 |
|
IP地址 |
AP的IP地址 |
|
AP版本号 |
AP的系统版本 |
|
MAC地址 |
AP的MAC地址 |
|
状态 |
AP的运行状态,主要分为: · 在线:表示AP处于在线状态 · 离线:表示AP处于离线状态 · 升级:表示设备正在为AP升级软件版本 · 云(在线):表示AP被云简平台纳管后,AP处于在线状态 · 云(离线):表示AP被云简平台纳管后,AP处于离线状态 |
|
客户端数量 |
已接入AP的客户端数目 |
|
自动升级 |
通过云平台对AP版本进行升级。升级前,请确保设备与云平台已经连接 |
|
收集日志&配置 |
在列表中选择在线状态的AP,点击<收集日志&配置>按钮,可对选中AP的日志和配置进行收集 |
|
重启 |
在列表中选择在线状态的AP,点击<重启>按钮,可对选中的AP进行重启 |
|
重置 |
在列表中选择在线状态的AP,点击<重置>按钮,AP重启后将会以出厂设置上线,使用缺省的无线服务模板 |
|
AP名称 |
AP的名称 |
|
VLAN |
AP的有线口VLAN |
|
状态 |
是否开启AP的无线服务。若开启该功能,AP可通过2.4GHz或5GHz的无线服务 |
|
WiFi6 |
是否开启WiFi6。若关闭该功能,AP的射频模式为WiFi5 缺省为开启 |
|
信道 |
选择无线网络的工作信道 缺省为AUTO |
|
功率 |
天线在无线介质中所辐射的功率,即WLAN设备辐射信号的强度。射频功率越大,射频覆盖的范围越广,客户端在同一位置收到的信号强度越强 缺省为100% |
|
频宽(MHz) |
无线网络频段带宽。2.4GHz缺省为20MHz,5GHz缺省为80MHz |
|
漫游灵敏度 |
设置调整终端发起漫游的信号强度门限值,用于调节终端漫游的难易程度。 AP密集部署时,可以适当调高,反之调低 缺省值为-70 |
本功能显示无线客户端的详细信息。
页面向导:小贝AP管理→在线AP管理→客户端列表
|
显示无线客户端的详细信息,包括MAC地址、IP地址等 |
|
页面中各参数的含义如下表所示。
表8-4 页面参数描述
|
页面参数 |
描述 |
|
客户端MAC地址 |
已接入AP的客户端MAC地址 |
|
客户端IP地址 |
已接入AP的客户端IP地址 |
|
客户端名 |
已接入AP的客户端名称 |
|
客户端品牌 |
已接入AP的客户端品牌 |
|
AP MAC地址 |
接入AP的MAC地址 |
|
连接SSID |
客户端连接的无线信号名称 |
|
连接频段 |
客户端连接SSID的频段 |
|
发送速率 |
客户端发送数据的速率。单位为Mbps |
|
连接时间 |
客户端接入AP的持续时间 |
AP版本管理功能可以帮助您升级AP的软件版本。
使用AP版本升级功能之前,请先将AP升级需要使用的软件版本上传到设备中。
|
显示已上传的AP软件版本的信息 · 通过<版本上传>按钮,上传需要升级的软件版本 · 通过<版本升级>按钮,升级AP的软件版本 |
|
|
版本上传: 1. 单击<版本上传>按钮,弹出版本上传对话框,上传需要升级的软件版本和选择AP的型号 2. 单击<确定>按钮,完成配置 |
|
|
版本升级 1. 单击<版本升级>按钮,弹出升级版本对话框 2. 单击<确定>按钮,完成升级 |
|
页面中各参数的含义如下表所示。
表8-5 页面参数描述
|
页面参数 |
描述 |
|
版本号 |
AP软件的版本号 |
|
适用设备型号 |
AP软件的适用AP型号 |
|
版本描述 |
AP软件版本的描述信息 |
|
文件名称 |
AP软件版本的文件名称 |
|
版本大小 |
AP软件版本的文件大小 |
|
MD5 |
AP软件版本的MD5,用于确认版本的唯一性 |
|
操作 |
单击“编辑”图标,可编辑对应的AP软件版本的信息;单击“删除”图标,可删除对应的AP软件版本 |
|
版本升级 |
在列表中选择需要升级的AP软件版本,点击<版本升级>按钮,可对适用该软件版本的AP进行软件升级 |
|
版本文件 |
访问待上传的AP软件版本存放路径,并选择版本文件。文件小于32MB,文件名不能超过40个字符且不能包含小数点 |
|
版本号 |
上传AP软件的版本号 |
|
版本描述 |
上传AP软件版本的描述信息 |
|
版本型号 |
选择上传AP软件版本对应的AP型号 |
不同款型的设备对本功能的支持情况不同,请以设备的实际情况为准。
无线配置功能包括无线服务、射频配置和无线优化,管理员可以通过无线服务配置Wi-Fi名称和密码等设置;通过射频配置调整信道和频宽;通过无线优化提升整体网络性能。
· 若设备启用了自组网模式或绑定云简网络平台,该功能部分参数无法配置,请以页面实际情况为准。
· 配置禁止弱信号接入门限功能,会导致信号强度低于指定门限值的无线客户端无法接入WLAN网络。
页面向导:无线设置→无线配置→无线服务
|
本页面为您提供如下主要功能: · 显示缺省和手动添加的无线服务 · 添加无线服务 · 编辑缺省和手动添加的无线服务 · 删除无线服务 |
|
|
添加无线服务: 1. 单击<添加>按钮,进入新建无线服务页面 2. 在该页面配置Wi-Fi名称、工作状态和加密方式等参数 3. 单击<确定>按钮,完成配置 |
|
|
编辑缺省或手动添加的无线服务: 1. 单击需要编辑的SSID对应操作列的编辑图标,进入编辑无线服务页面 2. 编辑需要修改的配置项 3. 单击<确定>按钮,完成配置 |
|
|
删除无线服务: 1. 勾选需要删除的无线服务前方的单选框 2. 单击<删除>按钮,完成删除 |
|
参数解释:
|
关键项 |
描述 |
|
SSID序号 |
无线网络的标识号。 |
|
Wi-Fi名称 |
无线服务的SSID名称,即无线客户端搜索到的网络名称。 |
|
工作状态 |
显示当前无线网络的状态: · 开启:当前无线网络处于开启状态 · 关闭:当前无线网络处于关闭状态 |
|
安全类型 |
无线网络使用的加密方式: · 开放式:不对无线信号加密 · WPA/WPA2(兼容模式):适用于包含旧设备(不支持WPA2的设备)的网络环境,提供基础安全性 · WPA2(推荐):广泛适用于大多数场景,确保安全性和兼容性 · WPA3(安全模式):适用于对安全性要求较高的环境 缺省情况下无线的加密方式为WPA2 |
|
VLAN ID |
表示该无线网络所属的VLAN,缺省情况下为VLAN 1。 |
|
生效射频 |
选择当前SSID的频段: · 若只勾选2.4GHz:将当前SSID设置为2.4G频段 · 若只勾选5GHz:将当前SSID设置为5G频段 · 若同时勾选2.4GHz和5GHz:当前SSID在2.4G和5G频段共用 |
|
隐藏Wi-Fi |
选择是否隐藏当前SSID: · 若未勾选,当无线客户端搜寻本地可以接入的无线网络时,将检测到广播的SSID,从而可以建立连接 · 若勾选,管理员需要向客户端知会其SSID名称,客户端才可以根据SSID名称接入无线网络 |
页面向导:无线设置→无线配置→射频配置
|
本页面支持配置和修改2.4GHz或5GHz射频的无线模式、频宽和信道等参数 |
|
参数解释:
|
关键项 |
描述 |
|
工作状态 |
选择是否启用2.4GHz或5GHz无线频段。启用时,该频段无线网络将正常工作;关闭时,该频段无线网络将被禁用 |
|
模式 |
选择无线传输模式,2.4GHz缺省情况下为802.11gax,5GHz缺省情况下为802.11ax |
|
频宽 |
设置无线频段的工作带宽,缺省情况下为20MHz,5GHz缺省情况下为160MHz |
|
信道 |
设置无线信道,可以选择“自动”或手动指定信道 |
|
功率配置方式 |
选择功率配置方式,可以设置为“自动”或“手动”,缺省情况下为自动 |
|
功率 |
设置发射功率的百分比值,适用于手动配置方式 |
|
最大终端数量 |
设置允许连接到该无线网络的最大终端设备数量 |
|
本页面支持配置和修改2.4GHz或5GHz的弱信号优化,包括禁止弱信号接入门限 |
|
参数解释:
|
关键项 |
描述 |
|
弱信号优化 |
选择是否启用2.4GHz或5GHZ无线频段的弱信号优化。当启用时,系统将根据设定的门限值优化弱信号。 |
|
禁止弱信号接入门限 |
调节滑动条设置弱信号的接入门限值。低于此值的无线终端将无法接入此频段。(范围:-89dBm至-60dBm) |
|
弱信号重关联门限 |
调节滑动条设置弱信号的重关联门限值。低于此值的无线终端将被强制重关联到信号更强的接入点。(范围:-90dBm至-61dBm) |
客户端列表用于查看接入无线网络的客户端信息。通过该页面,您可以查看各个客户端的MAC地址、IP地址、Wi-Fi名称等详细信息,并实时监控各个客户端的连接状态、信号强度及传输速率等。情况。
页面向导:无线设置→客户端列表
|
本页面支持查看接入无线网络的客户端信息 |
|
参数解释:
|
关键项 |
描述 |
|
MAC地址 |
显示已接入设备的客户端MAC地址,用于唯一标识设备 |
|
IP地址 |
显示已接入设备的客户端IP地址 |
|
Wi-Fi名称 |
显示客户端连接的无线信号名称(SSID) |
|
射频ID |
显示客户端连接的射频标识 |
|
射频类型 |
显示无线设备使用的射频类型,如2.4GHz或5GHz |
|
无线模式 |
显示客户端使用的无线模式 |
|
频宽 |
显示无线设备的频宽 |
|
协商速率 |
显示无线设备与客户端之间协商的速率 |
|
上行流量统计 |
显示客户端向上行发送的数据流量统计 |
|
下行流量统计 |
显示客户端向下行接收的数据流量统计 |
|
上行实时速率 |
显示客户端当前向上行发送数据的速率 |
|
下行实时速率 |
显示客户端当前向下行接收数据的速率 |
|
信号强度 |
显示设备无线信号的信号强度 |
|
在线时长 |
显示客户端接入设备的持续时间 |
通常情况下,外网指的就是广域网(WAN,Wide Area Network),广域网是覆盖地理范围相对较广的数据通信网络,Internet就是一个巨大的广域网。
通常在设备上会有多个WAN接口,通过配置WAN接口可以实现设备访问外网。
不同款型的设备对接口模式切换的支持情况不同,具体以设备实际情况为准。
本功能用于配置设备WAN/LAN口的接口模式。
· 正常情况下,接口从LAN口转换到WAN口后,WAN口的连接到互联网方式为DHCP。接口相关的VLAN配置信息在接口转换后将会丢失。
· 正常情况下,接口转换会清除端口镜像配置信息,如你需要继续使用端口镜像功能,请在接口转换后重新配置。
页面向导:网络设置→外网配置→配置接口模式
|
1. 配置设备WAN/LAN口的接口模式: 2. 点击接口下WAN/LAN的按钮进行切换 3. 单击<应用>按钮,完成配置 |
|
页面中各参数项的含义如下表所示。
表10-1 页面各参数项描述
|
页面参数 |
描述 |
|
接口模式 |
配置接口模式切换,设置设备支持的WAN/LAN口 设置完成,需点击“应用”按钮,使配置生效 |
设备支持PPPoE、DHCP和固定地址三种接入广域网方式。
表10-2 接入广域网方式介绍
|
接入方式 |
描述 |
应用场景 |
|
PPPoE |
PPPoE是一种在以太网上建立点对点连接的协议,通常用于在宽带接入环境下实现认证和拨号连接 使用PPPoE方式接入广域网时,用户需要提供特定账号和密码信息,通过路由器对用户进行拨号连接,从而实现接入到互联网 |
PPPoE方式适用于家庭宽带接入适用于家庭用户、小型企业等需要拨号连接的网络环境,用户可以通过宽带调制解调器(如ADSL调制解调器)进行拨号连接,将家庭局域网与互联网进行连接 |
|
DHCP |
DHCP是一种动态分配IP地址的网络连接方式,当设备连接到网络时,它会向DHCP服务器发送请求,服务器会动态分配IP地址、子网掩码、网关和DNS服务器等网络参数,使设备能够快速连接到网络并获取必要的IP配置信息 |
DHCP方式适用于大型局域网或企业网络环境,通过网络中的DHCP服务器自动分配IP地址,可以方便地管理大量设备的IP地址分配,并减少了手动配置IP地址的工作量 |
|
固定地址 |
固定地址是指手动配置的静态IP地址,子网掩码、网关和DNS服务器等网络参数,这些配置不会随着设备连接情况而改变 |
固定地址方式需要手动为网络设备配置固定的IP地址,确保设备始终使用同一IP地址。这种方式通常适用于需要长期稳定的IP地址分配和不需要频繁变化的网络设备够稳定地进行访问 |
页面向导:网络设置→外网配置→WAN配置
|
关键项 |
描述 |
|
WAN口通过PPPoE方式连接到广域网 |
|
|
WAN口通过DHCP方式连接到广域网 |
|
|
WAN口通过固定地址方式连接到广域网 |
|
页面中各参数项的含义如下表所示。
表10-3 页面各参数项描述
|
页面参数 |
描述 |
|
线路 |
设备接入广域网的线路序号 |
|
WAN接口 |
设备接入广域网的接口 |
|
连接模式 |
用户实际的上网方式,选项包括: · PPPoE:宽带拨号上网方式 · DHCP:从DHCP服务器自动获取地址来接入广域网的上网方式 · 固定地址:由运营商提供固定地址来接入广域网的上网方式 |
|
上网账号 |
身份验证使用的用户名。此参数由运营商提供。当连接模式设置为PPPoE时,可配置该参数 |
|
上网密码 |
身份验证使用的密码。此参数由运营商提供。当连接模式设置为PPPoE时,可配置该参数 |
|
LCP主动检测 |
检测PPPoE链路异常状态,选项包括: · 是:开启该功能,则每隔20秒钟检测一次链路状态 · 否:关闭该功能,则每隔2分钟检测一次链路状态 当连接模式设置为PPPoE时,可配置该参数 |
|
在线方式 |
当前在线方式仅支持“始终在线”。当连接模式设置为PPPoE时,缺省启用该项,无法取消 |
|
拨号方式 |
PPPoE连接的拨号方式,选项包括: · 自动拨号:配置完成后点击对话框下方的<确定>按钮,将会自动完成拨号 · 手动拨号:配置完成后需要点击对话框下方的<拨号>按钮才能完成拨号 当连接模式设置为PPPoE时,可配置该参数 |
|
host-uniq |
上网方式为PPPoE时,当前设备将作为PPPoE client向PPPoE server发送呼叫报文,呼叫报文可以设置携带host-uniq字段,用来唯一标识发送呼叫报文的PPPoE client。PPPoE server收到携带host-uniq字段的报文后,必须在应答报文中携带host-uniq字段,内容和请求报文中的host-uniq字段相同。本参数用于设置PPPoE client呼叫报文是否携带host-uniq字段 · 携带host-uniq字段:PPPoE client呼叫报文中携带host-uniq字段 · 不携带host-uniq字段:PPPoE client呼叫报文中不携带host-uniq字段 当连接模式设置为PPPoE时,可配置该参数。因为在某些场景下,PPPoE server会要求PPPoE client发送的呼叫报文中携带host-uniq字段,所以推荐选择“携带host-uniq字段”选项 |
|
服务器名 |
PPPoE服务器名称,由运营商提供,缺省为空。当连接模式设置为PPPoE时,可配置该参数 |
|
服务名称 |
PPPoE服务器的服务名称,由运营商提供,缺省为空。当连接模式设置为PPPoE时,可配置该参数 |
|
IP地址 |
设备接入广域网的固定IP地址,仅允许输入A、B、C类IP地址。当连接模式设置为固定地址时,需配置此参数 |
|
子网掩码 |
IP地址的掩码或掩码长度,例如255.255.255.0。当连接模式设置为固定地址时,需配置此参数 |
|
网关地址 |
设备接入广域网的网关地址,仅允许输入A、B、C类IP地址。当连接模式设置为固定地址时,需配置此参数 |
|
DNS1和DNS2 |
设备接入广域网的DNS服务器地址。优先使用DNS1进行域名解析,如果解析失败,则使用DNS2进行域名解析 |
|
网络上行带宽 |
实际线路的上行带宽值,请咨询当地运营商确认 |
|
网络下行带宽 |
实际线路的下行带宽值,请咨询当地运营商确认 |
|
主机名 |
设备需要通告给DHCP服务器的机器名。当连接模式设置为DHCP时,可配置该参数 |
|
NAT地址转换 |
设置局域网中的多台设备是否共用同一个公网IP。当选择“启用”时,可根据需要进行选择: · 若设备公网IP仅有一个,则不选择“使用地址池转换” · 若设备公网IP有多个,则选择“使用地址池转换”,需选择已创建的NAT地址池。如需新增地址池,可通过点击右侧<新增地址池>按钮创建新的地址池 |
|
链路探测结果 |
对指定IP地址或域名链路状态的探测结果,主要分为: · 成功:表示成功探测指定IP地址或域名的链路状态 · 失败:表示未成功探测指定IP地址或域名的链路状态 · 未启用:表示未启用链路探测功能 |
|
TCP MSS |
设备接口的TCP报文段的最大长度,缺省为1280 |
|
MTU |
设备接口允许通过的MTU(Maximum Transmission Unit,最大传输单元)的大小 |
|
链路探测 |
对到达指定IP地址或域名的链路状态进行判断,提高链路的可靠性,配置该参数时,可根据需要进行选择: · 若需使用ICMP报文探测链路状态,则选择“ICMP探测” · 若需使用DNS报文探测链路状态,则选择“DNS探测” · 若需使用NTP报文探测链路状态,则选择“NTP探测” · 若不需探测链路状态,则选择“不启用” |
|
探测地址 |
链路探测的IP地址或域名。当链路探测设置为ICMP探测、DNS探测或NTP探测时,需配置此参数 |
|
探测间隔 |
链路探测的时间间隔。当链路探测设置为ICMP探测、DNS探测或NTP探测时,需配置此参数 |
|
探测次数 |
链路探测的探测次数。当链路探测设置为ICMP探测、DNS探测或NTP探测时,可配置该参数 |
|
是否为专线 |
选择是否将当前线路设置为专线。专线通常是不能访问外网的专用线路,例如医务专线、公安专线等 · 是:将当前线路设置为专线。设置专线后,用户需要手工配置静态路由 · 否:不将当前线路设置为专线 |
|
MAC地址 |
设备接入广域网使用的MAC地址 |
|
操作 |
可对该配置进行编辑操作 |
只有多WAN场景可以进行本页面的配置。
设备支持五种多WAN策略。
表10-4 多WAN口负载分担策略介绍
|
多WAN策略 |
描述 |
应用场景 |
|
平均分配负载分担 |
每条链路负载分担相同 |
WAN口属于相同运营商,各条链路带宽一致 |
|
带宽比例负载分担 |
每条链路按照比例负载分担 |
WAN口属于相同运营商,各条链路带宽不一致 |
|
基于运营商的负载分担 |
基于流量访问的目的地址进行负载分担 |
WAN口属于不同运营商,每个运营商提供的链路带宽一致 |
|
多链路高级负载分担 |
基于流量访问的目的地址进行负载分担 |
WAN口属于不同运营商,每个运营商提供的链路带宽不一致 |
|
链路备份 |
一条链路为主链路,其它为备份链路,以保持网络的稳定性 |
如对网络稳定性要求比较高,可以设置备份链路。 |
页面向导:网络设置→外网配置→修改多WAN策略
|
设置多WAN同运营商接入模式: 1. 选择“平均分配负载分担”或“带宽比例负载分担”模式 2. 点击<应用>按钮,完成配置 |
|
|
设置多WAN不同运营商接入模式: 1. 选择“基于运营商的负载分担”或“多链路高级负载分担”模式 2. 点击<应用>按钮,完成配置 |
|
|
设置链路备份: 1. 选择主链路和备份链路 2. 点击<应用>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表10-5 页面参数描述
|
关键项 |
描述 |
|
多WAN属于相同运营商 |
设备多个WAN口接入相同运营商线路,可根据需要选择负载分担模式: · 若各条链路带宽一致,建议选择“平均分配负载分担” · 若各条链路带宽不一致,建议选择“带宽比例负载分担”,并设置分配链路带宽比例 设置完成,需点击“应用”按钮,使配置生效 |
|
多WAN属于不同运营商 |
设备多个WAN口接入不同运营商线路,可根据需要选择负载分担模式: · 若每个运营商提供的链路带宽一致,建议选择“基于运营商的负载分担”。并选择WAN口对应的运营商和默认链路 · 若每个运营商提供的链路带宽不一致,建议选择“多链路高级负载分担”,并设置分配链路带宽比例,选择WAN口对应的运营商和默认链路 设置完成,需点击“应用”按钮,使配置生效 |
|
链路备份 |
多WAN接入时,其中一条链路为主链路,其它为备份链路,以保持网络的稳定性。配置该参数时,先选择“主链路(请选择作为主链路的WAN接口)”以及对应的“链路n”,然后选择其中备份链路的“链路m”。注意n和m不能一致,否则不能实现链路备份 若所选的主链路已开启链路探测功能(在外网配置-WAN配置中配置),系统会根据链路的探测结果更换实际生效的主链路;若所选的主链路未开启链路探测功能,系统会根据接口物理状态更换实际生效的主链路 |
|
分配链路带宽比例 |
设置各链路缺省的带宽比例。设置此参数时,需确保至少有一个链路的带宽比例不为0 当多WAN策略设置为“带宽比例负载分担”或“多链路高级负载分担”时,需要设置此参数 注意:该参数的输入范围为0-100的整数 |
页面向导:网络设置→外网配置→保存接口上一跳
|
设置WAN口保存接口上一跳功能 |
|
页面中各参数项的含义如下表所示。
表10-6 页面各参数项描述
|
页面参数 |
描述 |
|
开启保存接口上一跳功能 |
是否开启保存接口上一跳功能,若开启该功能,多WAN场景下,进入和离开局域网的报文将通过同一个WAN接口转发 |
本功能主要用于将设备的局域网接口加入VLAN,配置VLAN接口参数,开启DHCP服务以及配置DHCP服务参数。
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网协议,主要用于为局域网内的主机分配IP地址。DHCP支持动态及静态地址分配机制:
· 动态地址分配功能配置在接口上,此功能给用户主机动态分配IP地址,时间到期或主机明确表示放弃该地址时,该地址可以被其它主机使用。该分配方式适用于局域网的主机获取有一定有效期限的地址的组网环境。
· 静态分配的IP地址不与客户端的接口绑定,仅需要与主机的网卡MAC地址进行绑定,具有永久使用权限。该分配方式适用于局域网的主机获取租期为无限长的IP地址的组网环境。
需要将设备上的LAN接口加入指定的VLAN,使得局域网内处于同一VLAN的主机能直接互通,处于不同VLAN的主机不能直接互通。
• 在详细端口配置页面配置端口的PVID时,只能指定已创建的VLAN。
• 规划设备上LAN接口所属的VLAN,并在LAN配置页面上,创建对应的VLAN接口。
• PVID(Port VLAN ID,端口的缺省VLAN):当端口收到未携带VLAN Tag的报文时,即认为此报文所属的VLAN为端口的缺省VLAN。
页面向导:网络设置→LAN配置→VLAN划分
|
本页面为您提供如下主要功能: · 显示端口允许通过VLAN的信息 · 设置端口允许通过的VLAN |
|
|
设置端口允许通过的VLAN |
|
页面中各参数项的含义如下表所示。
表10-7 页面各参数项描述
|
关键项 |
描述 |
|
端口名称 |
需划分VLAN的LAN接口 |
|
PVID |
该端口的缺省VLAN |
|
允许通过的VLAN |
该LAN口允许通过的所有VLAN |
|
待选VLAN |
设备上已创建的所有VLAN。配置该参数时,勾选“待选VLAN”复选框下方的VLAN编号,或直接勾选“待选VLAN”复选框以选中所有VLAN,然后点击待选VLAN下方的向右方向按钮将端口加入所选VLAN |
|
已选VLAN |
该端口已被划分的VLAN。配置该参数时,勾选“已选VLAN”复选框下方的VLAN编号,或直接勾选“已选VLAN”复选框以选中所有VLAN,然后点击已选VLAN下方的向左方向按钮将端口从已加入的VLAN中移除 |
|
操作 |
可对该配置进行编辑操作 |
为设备创建连接内网的VLAN接口,并可将VLAN接口作为内网设备的网关,提供DHCP服务。
若开启VLAN接口的DHCP服务后再关闭,则系统会同步删除静态DHCP页面中该VLAN接口已绑定的静态DHCP。
页面向导:网络设置→LAN配置→VLAN配置
|
本页面为您提供如下主要功能: · 显示已添加VLAN的详细信息 · 添加VLAN · 删除已添加的VLAN · 修改已添加的VLAN |
|
|
添加VLAN: 1. 单击<添加>按钮,弹出VLAN对话框,设置VLAN ID、IP地址、子网掩码等参数信息 2. 点击<确定>按钮,完成配置 |
|
|
删除已添加的VLAN: 1. 勾选需要删除的VLAN前方单选框。、 2. 单击<删除>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
|
修改已添加的VLAN: 1. 点击需要修改的VLAN对应操作列的编辑图标,弹出修改VLAN对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
页面中各参数项的含义如下表所示。
表10-8 页面各参数项描述
|
关键项 |
描述 |
|
接口名称 |
该VLAN接口的名称 |
|
VLAN ID |
该VLAN接口的ID号 |
|
接口IP地址 |
该VLAN接口的IP地址 |
|
子网掩码 |
该IP地址的掩码或掩码长度,例如255.255.255.0 |
|
TCP MSS |
该VLAN接口的TCP报文最大分段长度值,缺省为1280 |
|
MTU |
该VLAN接口允许通过的MTU值的大小 |
|
开启DHCP服务 |
是否开启DHCP服务功能。若开启该功能,设备将为连接到设备的客户端(例如连接到设备的计算机等)动态分配IP地址。缺省关闭DHCP服务功能 |
|
对DHCP分配的地址进行ARP保护(动态绑定) |
是否开启对DHCP分配的地址进行ARP保护(动态绑定)功能。若开启该功能,设备将为动态分配的IP地址绑定客户端的MAC地址。缺省关闭对DHCP分配的地址进行ARP保护(动态绑定)功能 |
|
地址池起始地址 |
DHCP服务器地址池的起始IP地址 |
|
地址池结束地址 |
DHCP服务器地址池的结束IP地址,地址池结束地址不能小于地址池起始地址 |
|
排除地址 |
设备不能分配给客户端的IP地址。例如:网关地址 |
|
网关地址 |
地址池对应的网关地址,若不配置网关地址,有可能造成网络不通 |
|
客户端域名 |
设备为客户端分配的域名后缀。客户端域名允许设置的字符包括英文字母[a-z,A-Z]、数字,以及符号-和.,不能以符号.开头或结尾 · 包含符号.时,符号.前后的字符长度都不能超过63个字符。如果同时存在多个符号.时,则符号.不能连续输入,例如.. · 不包括符号.时,取值为1-63个字符 |
|
DNS1和DNS2 |
DHCP服务器分配IP地址时所携带的DNS服务器地址,优先使用DNS1进行域名解析。如果解析失败,则使用DNS2进行域名解析 |
|
地址租约 |
DHCP服务器分配给客户端IP地址的租借期限。当租借期满后,DHCP服务器会收回该IP地址,客户端必须重新向路由器申请(客户端一般会自动申请) |
|
操作 |
可对该配置进行编辑和删除操作 |
如果需要为某些客户端分配固定的IP地址,则需要配置静态DHCP将客户端的硬件地址与IP地址进行绑定。
• 静态绑定的客户端IP地址不能是设备上WAN口的IP地址网段包含的IP地址。
• 配置静态DHCP时,如果设置的客户端IP地址已被其他终端占用,那么客户端MAC对应的终端上线时会被分配其他IP地址。当此前设置的客户端IP地址被释放后,客户端MAC对应的终端会被重新分配设定的IP地址。
• 在配置静态DHCP之前,需要先开启VLAN接口的DHCP服务。
页面向导:网络设置→LAN配置→静态DHCP
|
本页面为您提供如下主要功能: · 显示已添加DHCP静态绑定关系的详细信息 · 添加DHCP静态绑定关系 · 删除DHCP静态绑定关系 · 修改已添加的DHCP静态绑定关系 · 导入静态DHCP地址表 |
|
|
添加DHCP静态绑定关系: 1. 添加DHCP静态绑定关系:新增DHCP静态绑定关系对话框,设置接口、客户端MAC地址、客户端IP等参数信息 2. 点击<确定>按钮,完成配置 |
|
|
删除已添加的VLAN: 1. 勾选需要删除的DHCP静态绑定关系前方单选框 2. 单击<删除>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
|
修改已添加的DHCP静态绑定关系: 1. 点击需要修改的DHCP静态绑定关系对应操作列的编辑图标,弹出DHCP静态绑定关系对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
|
导入静态DHCP地址表: 1. 点击界面的导入图标,弹出导入静态DHCP地址表对话框。点击<上传文件>按钮,选择需导入的静态DHCP地址表 2. 点击<确定>按钮,完成配置 |
|
页面中各参数项的含义如下表所示。
表10-9 页面各参数项描述
|
关键项 |
描述 |
|
序号 |
静态DHCP策略的编号 |
|
接口 |
设备上已创建的VLAN接口。即策略对从某一接口获取的IP地址和MAC地址进行绑定 |
|
客户端MAC |
客户端的MAC地址。此处不支持全0或全F的MAC地址 |
|
客户端IP |
分配给该客户端的IP地址 |
|
子网掩码 |
该IP地址的掩码或掩码长度。例如255.255.255.0 |
|
描述 |
策略的描述信息,可对策略进行简单的描述,方便使用 |
|
操作 |
可对该配置进行编辑和删除操作 |
页面向导:网络设置→LAN配置→DHCP分配列表
|
本页面为您提供如下主要功能: · 显示设备DHCP分配的详细信息 · 一键回收IP地址 · 静态分配IP地址 |
|
|
一键回收IP地址: 1. 在列表中选中需要回收的IP地址 2. 单击<一键回收>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
|
静态分配IP地址: 1. 在列表中选中需要静态分配的IP地址 2. 单击<静态分配>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
页面中各参数项的含义如下表所示。
表10-10 页面各参数项描述
|
页面参数 |
描述 |
|
序号 |
DHCP分配信息的编号 |
|
DHCP服务 |
设备上开启DHCP服务的VLAN接口 |
|
客户端IP |
客户端的IP地址 |
|
客户端名 |
客户端的主机名 |
|
客户端MAC |
客户端的MAC地址 |
|
有效时间 |
DHCP服务器分配给客户端IP地址的租借期限。当租借期满后,DHCP服务器会收回该IP地址,客户端必须重新向路由器申请(客户端一般会自动申请) |
|
一键回收 |
回收DHCP服务器分配的IP地址。配置该参数时,列表中选中需要回收的IP地址,点击<一键回收>按钮,在弹出的确认提示框中,点击<确定>按钮,确认回收选中的IP地址 |
|
静态分配 |
将DHCP服务器动态分配的IP地址进行静态绑定。配置该参数时,在列表中选中需要静态绑定的客户端IP,点击<静态分配>按钮,在弹出的确认提示框中,点击<确定>按钮,确认将DHCP动态分配的IP地址设置为静态分配 |
端口管理功能用来查看设备各个物理端口的端口类型、端口模式、速率、MAC地址和广播风暴抑制等信息,设置WAN口的管理状态,以及修改端口配置。
页面向导:网络设置→端口管理
|
本页面为您提供如下主要功能: · 显示设备端口的详细信息 · 修改端口配置 |
|
|
修改端口配置: 1. 点击需要修改的端口对应操作列的编辑图标,弹出修改端口对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
页面中各参数项的含义如下表所示。
表10-11 页面各参数项描述
|
关键项 |
描述 |
|
物理端口 |
设备的物理端口。例如WAN1、LAN1 |
|
端口名称 |
设备的物理端口名称 |
|
端口类型 |
设备的端口类型,主要分为: · WAN:接入广域网的接口 · LAN:接入局域网的接口 |
|
端口模式 |
端口的工作模式,主要分为: · 自协商:双工和速率状态均由本端口和对端端口自动协商而定 · 全双工:端口在发送数据包的同时可以接收数据包 · 半双工:端口同一时刻只能发送数据包或接收数据包 |
|
速率 |
端口的速率,包括自协商、10Mbps、100Mbps、1Gbps |
|
MAC地址 |
端口的MAC地址 |
|
广播风暴抑制 |
抑制局域网内大量广播报文传播的功能,可避免网络拥塞,保证网络业务的正常运行。可根据需要进行选择抑制程度:“不抑制”、“低”、“中”、“高” |
|
管理状态 |
端口的工作状态,主要分为: · 开启:设备开启此端口 · 关闭:设备关闭此端口 当端口类型为LAN时,此参数不支持修改,缺省为开启状态 |
NAT(Network Address Translation,网络地址转换)是一种将内部网络私有IP地址,转换成公网IP地址的技术。拥有私有IP地址的内网用户无法直接访问Internet,如果希望内网用户使用运营商提供的公网IP访问外网,或者允许外网用户使用公网IP访问内网资源,则需要配置NAT。
NAT支持如下两种地址转换方式:
· 端口映射:通过这种转换方式,可以实现利用一个公网地址和不同的协议端口同时对外网提供多个内网服务器(例如Web、Mail或FTP服务器)资源的目的。这种方式可以节约设备的公网IP地址资源。端口映射可以将内网中的一组IP地址和不同的协议端口映射到一个公网IP地址和对应的协议端口上,使得一个公网IP地址可以同时分配给多个内网IP地址使用。
· 一对一映射:这种方式适用于内外网之间存在固定访问需求的环境,比如某个网络管理员必须使用一个固定的外网IP去远程访问位于内网中对外提供服务的设备。一对一映射可以在设备上建立一个固定的一对一的映射关系,将内网中的一个私有IP地址转换为一个公网IP地址。
· 端口触发:当局域网内的客户端访问因特网上的服务器时,对于某些应用(比如:IP电话、视频会议等),客户端向服务器主动发起连接的同时,也需要服务器向客户端发起连接请求。而缺省情况下,设备收到WAN侧主动连接的请求都会拒绝,此时通信会被中断。通过设置设备的端口触发规则,当客户端访问服务器并触发规则后,设备会自动开放服务器需要向客户端请求的端口,从而可以保证通信正常。当客户端和设备长时间没有数据交互时,设备自动关闭之前对外开放的端口,既保证应用的正常使用,又能最大限度地保证局域网的安全。
NAT还提供如下高级配置功能:
· NAT hairpin:如果您的某些内网服务器通过公网IP地址对外提供服务,同时内网用户也有访问这些服务器的需求,为了确保这些内网用户访问内网服务器的流量也经过网关控制,则可以开启NAT hairpin功能。开启该功能后,内网用户将与外网用户一样,都可以使用公网IP地址访问内网服务器。
· NAT ALG:如果内部网络与外部网络之间存在应用层业务,例如FTP/RTSP,为了保证这些应用层协议的数据连接经过端口映射或一对一映射后还可以正确建立,就需要开启相应协议的NAT ALG功能。
页面向导:网络设置→NAT配置→虚拟服务器
|
本页面为您提供如下主要功能: · 显示已添加虚拟服务器的详细信息 · 启用NAT DMZ服务器 · 添加NAT端口映射 · 删除已添加的NAT端口映射 · 修改已添加的NAT端口映射 |
|
|
启用NAT DMZ服务器: 1. 勾选“开启”选项,设置主机地址参数 2. 单击<应用>按钮,完成配置 |
|
|
添加NAT端口映射: 1. 单击<添加>按钮,弹出添加NAT端口映射对话框,设置协议类型、外部地址、外部端口等参数信息 2. 点击<确定>按钮,完成配置 |
|
|
删除已添加的NAT端口映射: 1. 勾选需要删除的NAT端口映射前方单选框 2. 单击<删除>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
|
修改已添加的NAT端口映射: 1. 点击需要修改的NAT端口映射对应操作列的编辑图标,弹出修改NAT端口对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
页面中各参数项的含义如下表所示。
表10-12 页面各参数项描述
|
页面参数 |
描述 |
|
NAT DMZ服务 |
虚拟服务器功能,可提高局域网安全性。配置该参数时,可根据需要进行选择: · 若开启该功能,则本设备收到一个来自外部网络的请求,首先查询虚拟服务列表,如有匹配则发送到对应的IP地址,若无匹配,转发到DMZ主机上 · 若禁用NAT DMZ服务:当外部请求和虚拟服务列表不匹配,则直接丢弃请求消息 |
|
主机地址 |
DMZ主机的IP地址 |
|
协议类型 |
内网主机使用的传输协议,配置该参数时,可根据需要进行选择: · 若内网主机使用的是TCP传输协议,则选择“TCP” · 若内网主机使用的是UDP传输协议,则选择“UDP” · 若内网主机使用的是TCP和UDP传输协议,则选择“TCP+UDP” |
|
外部地址 |
设备上的公网地址,设置方式有两种: · 当前接口IP地址:当前设备WAN口的IP地址 · 其他地址:设备上的其他公网IP地址 |
|
接口 |
选择接口时可直接使用WAN接口IP地址作为外部地址 |
|
外部端口 |
内网主机映射到外部地址上,外部地址开放的端口,配置该参数时,可根据需要进行选择: · 若对外提供的是FTP服务,则选择“FTP” · 若对外提供的是TELNET服务,则选择“TELNET” · 若对外提供的是其他的服务,则输入服务所使用的端口号范围。配置该参数时,起始端口号不能大于结束端口号 |
|
内部地址 |
内网主机的IP地址。即该主机需要对外提供指定服务 |
|
内部端口 |
内网主机上真实开放的服务端口 |
|
是否启用 |
此策略的执行动作,主要分为: · 启用:表示启用此策略,配置完成后,策略立即生效 · 未启用:表示暂不启用此策略 |
|
描述 |
策略的描述信息,可对策略进行简单的描述,方便使用 |
|
操作 |
可对该配置进行编辑和删除操作 |
如果需要一个内网IP地址一对一映射到一个公网IP地址上,则可以设置该功能。
如果设备上仅有一个公网IP地址,不建议配置一对一映射来占用公网IP地址。
页面向导:网络设置→NAT配置→一对一映射
|
本页面为您提供如下主要功能: · 显示已添加的一对一映射详细信息 · 启用一对一映射 · 添加NAT一对一映射 · 删除已添加的NAT一对一映射 · 修改已添加的NAT一对一映射 |
|
|
勾选“开启”选项,启用一对一映射功能 |
|
|
添加NAT一对一映射: 1. 单击<添加>按钮,弹出添加NAT一对一映射对话框,设置内部地址、外部地址、接口等参数信息 2. 点击<确定>按钮,完成配置 |
|
|
删除已添加的NAT一对一映射: 1. 勾选需要删除的NAT一对一映射前方单选框 2. 单击<删除>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
|
修改已添加的NAT一对一映射: 1. 点击需要修改的NAT一对一映射对应操作列的编辑图标,弹出修改应用对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
页面中各参数项的含义如下表所示。
表10-13 页面各参数项描述
|
页面参数 |
描述 |
|
内部地址 |
内网主机的IP地址。即该主机需要对外提供指定服务 |
|
外部地址 |
设备上的公网IP地址 |
|
接口 |
内网主机对外映射的设备WAN口。既报文经过此接口进行映射。若不设置此参数,则表示对所有WAN口生效 |
|
状态 |
此策略的执行动作,主要分为: · 启用:表示启用此策略,配置完成后,策略立即生效 · 未启用:表示暂不启用此策略 |
|
描述 |
策略的描述信息,可对策略进行简单的描述,方便使用 |
页面向导:网络设置→NAT配置→地址池
|
本页面为您提供如下主要功能: · 显示已添加的地址池详细信息 · 添加NAT地址池 · 删除已添加的NAT地址池 · 修改已添加的NAT地址池 |
|
|
添加NAT地址池: 1. 单击<添加>按钮,弹出添加NAT地址池对话框,设置地址池名、IP地址、等参数信息 2. 点击<确定>按钮,完成配置 |
|
|
删除已添加的NAT地址池: 1. 勾选需要删除的NAT地址池前方单选框 2. 单击<删除>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
|
修改已添加的NAT地址池: 1. 点击需要修改的NAT地址池对应操作列的编辑图标,弹出修改应用对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
页面中各参数项的含义如下表所示。
表10-14 页面各参数项描述
|
页面参数 |
描述 |
|
地址池名 |
用于NAT转换的公网IP地址池名称,可以由中文、数字、字母、下划线组成 |
|
IP地址 |
运营商提供的公网IP地址。配置该参数时,输入IP地址后,需点击配置项右侧的“>”按钮,提交配置的地址池内容 |
|
IP地址段 |
公网IP地址范围。若运营商提供多个公网IP地址,需配置此项。配置该参数时,输入起始和结束IP地址后,需点击配置项右侧的“>”按钮,提交配置的地址池内容。单个IP地址段内的IP地址数量不能超过256个,且不能存在不合理的IP地址 |
当触发端口包含多个端口时,外来端口的连接只能对最后一个触发端口生效。
页面向导:网络设置→NAT配置→端口触发
|
本页面为您提供如下主要功能: · 显示已添加的端口触发详细信息 · 添加NAT端口触发 · 删除已添加的NAT端口触发 · 修改已添加的NAT端口触发 |
|
|
添加NAT端口触发: 1. 单击<添加>按钮,弹出添加端口触发对话框,设置应用名称、生效接口、触发端口等参数信息 2. 点击<确定>按钮,完成配置 |
|
|
删除已添加的NAT端口触发: 1. 勾选需要删除的NAT地址池前方单选框 2. 单击<删除>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
|
修改已添加的NAT端口触发: 1. 点击需要修改的NAT端口触发对应操作列的编辑图标,弹出修改应用对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
页面中各参数项的含义如下表所示。
表10-15 页面各参数项描述
|
页面参数 |
描述 |
|
应用名称 |
端口触发规则的名称 |
|
生效接口 |
报文的来源接口,即规则对从某一接口收到的数据包进行控制 |
|
触发端口 |
局域网内的客户端向外网服务器发起请求的端口。配置该参数时,端口范围必须从小到大。如果只有一个端口,则左右两边的文本框请填写同一端口号 |
|
外来端口 |
外网服务器需要主动向局域网内客户端请求的端口。配置该参数时,可设置单一端口、端口范围或两者的组合,端口间用英文逗号“,”隔开,例如:100,200-300,400。最多可输入10个端口或端口范围 |
|
是否开启 |
此策略的执行动作,主要分为: · 启用:表示启用此策略,配置完成后,策略立即生效 · 未启用:表示暂不启用此策略 |
|
操作 |
可对该配置进行编辑和删除操作 |
如果内网用户需要与外网用户一样,使用公网IP地址访问内网服务器,则可以开启NAT hairpin功能。
在配置NAT hairping前,需要完成如下配置中的一项或多项:
· 在虚拟服务器配置页面上,配置内网服务器的IP地址/端口与公网IP地址/端口的映射关系。
· 在一对一映射配置页面上,配置内网用户IP地址与公网IP地址的映射关系。
页面向导:网络设置→NAT配置→高级配置
|
设置NAT hairping: 1. 启用NAT hairping功能,设置当前NAT hairping生效接口 2. 单击<应用>按钮,完成配置 |
|
页面中各参数项的含义如下表所示。
表10-16 页面各参数项描述
|
页面参数 |
描述 |
|
NAT hairpin |
选择是否开启NAT hairpin功能,点击<应用>按钮完成配置。若开启NAT hairpin功能,内网用户将与外网用户一样,都可以使用公网IP地址访问内网服务器。配置NAT hairpin功能时,需设置NAT hairpin生效接口。点击<设置>按钮,在弹出的对话框中,通过如下两种方式设置NAT hairpin生效接口: · 勾选“待选接口”选项,点击“待选接口”选项下方的“>”按钮,待选接口列表中的所有接口都会被放入已选接口列表,表示修改所有接口的NAT hairpin功能 · 勾选待选接口列表中的一个或多个接口,点击“待选接口”选项下方的“>”按钮,表示修改选中接口的NAT hairpin功能 · 如果想要取消某个选中接口,在已选接口列表中勾选此接口,点击“待选接口”选项下方的“<”按钮,该接口会被放入待选接口列表,表示不会修改此接口的NAT hairpin功能 设置完成,点击<确定>按钮使配置生效 |
页面向导:网络设置→NAT配置→高级配置
|
设置NAT ALG: 1. 启用指定协议的NAT ALG功能。 2. 单击<应用>按钮,完成配置 |
|
页面中各参数项的含义如下表所示。
表10-17 页面各参数项描述
|
页面参数 |
描述 |
|
NAT ALG |
为了保证一些应用层协议的数据连接经过端口映射或一对一映射后还可以正确建立,需启用指定协议的NAT ALG功能 配置该参数时,可根据需要进行选择: · 若报文使用的是SIP协议,则选择“启用SIP” · 若报文使用的是FTP协议,则选择“启用FTP” · 若报文使用的是H323协议,则选择“启用H323” · 若报文使用的是TFTP协议,则选择“启用TFTP” · 若报文使用的是RTSP协议,则选择“启用RTSP” · 若报文使用的是PPTP协议,则选择“启用PPTP” 设置完成,需点击“应用”按钮,使配置生效 |
页面向导:网络设置→NAT配置→高级配置
|
设置自定义协议端口号: 1. 设置自定义的SIP端口号 2. 单击<应用>按钮,完成配置 |
|
页面中各参数项的含义如下表所示。
表10-18 页面各参数项描述
|
页面参数 |
描述 |
|
自定义协议端口号 |
搭建SIP服务器时,如果使用的SIP协议端口号不是5060,则需要自定义SIP协议端口号 SIP端口号的输入范围为1-65535,最多可输入7个端口号,需用英文逗号隔开,如:2000,3000,4000 |
页面向导:网络设置→NAT配置→高级配置
|
设置网络连接: 1. 设置当前网络连接数、网络连接总数、选择要清除网络连接的接口等参数信息 2. 单击<应用>按钮,完成配 |
|
页面中各参数项的含义如下表所示。
表10-19 页面各参数项描述
|
页面参数 |
描述 |
|
网络连接 |
当前网络连接数:当前设备已建立的网络连接总数 网络连接总数:设备可创建的网络连接总数,即会话总数,当设置值小于当前已建立的网络连接总数时会影响新连接的建立 选择要清除网络连接的接口:需要清除网络连接的接口。当存在网络攻击影响业务运行或者修改防火墙规则、策略路由、NAT配置等未即时生效时,可以尝试清除网络连接。配置该参数时,由于清除网络连接会影响现有业务的正常运行,设备正常运行时,请谨慎操作 |
地址组是一组主机名或IP地址的集合。每个地址组中可以添加若干成员,成员的类型包括IP地址和IP地址段。如果您的某些业务(例如带宽管理)需要使用地址组来识别用户报文,则需要提前配置符合业务需求的地址组。
• 添加到地址组中的IP地址只支持IPv4地址格式,不支持IPv6地址格式。
• 添加到地址组中的IP地址段的起始地址必须小于结束地址。
• 单个IP地址段内的IP地址数量不能超过256个,且不能存在不合理的IP地址。
页面向导:网络设置→地址组
|
本页面为您提供如下主要功能: · 显示已添加的地址组详细信息 · 添加地址组 · 删除已添加的地址组 · 修改已添加的地址组 |
|
|
添加地址组: 1. 单击<添加>按钮,弹出添加地址组对话框,输入地址组的名称、描述信息、ip地址等参数信息 2. 点击<确定>按钮,完成配置 |
|
|
删除已添加的时间组: 1. 勾选需要删除的地址组前方单选框 2. 单击<删除>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
|
修改已添加的地址组: 1. 点击需要修改的时间组对应操作列的编辑图标,弹出修改时间组对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
页面中各参数项的含义如下表所示。
表10-20 页面各参数项描述
|
页面参数 |
描述 |
|
地址组名称 |
一组用户主机名或IP地址集合的名称。配置该参数时,该名称可以提示用户该地址组中的地址特征。地址组名称不支持命名为any(不区分大小写) |
|
描述信息 |
地址组的描述信息,可对地址组进行简单的描述,方便使用 |
|
IP地址 |
添加到地址组的单个IP地址。配置该参数时,输入IP地址后,需点击配置项右侧的“>”按钮,提交配置的地址池内容 |
|
IP地址段 |
添加到地址组中的IP地址范围,配置该参数时,输入起始IP地址和结束IP后,需点击配置项右侧的“>”按钮,提交配置的地址池内容 |
|
排除地址 |
地址组中需排除的IP地址。配置该参数时,输入排除地址后,需点击配置项右侧的“>”按钮,提交配置的地址池内容 |
|
操作 |
可对该配置进行编辑、删除和查看详情操作 |
不同款型的设备对本功能的支持情况不同,请以设备的实际情况为准。
PoE(Power over Ethernet,以太网供电),是指设备通过以太网电口,利用双绞线对外接PD(Powered Device,受电设备)进行供电。
页面向导:网络设置→POE供电
|
开启设备PoE端口的供电功能 |
|
页面中各参数项的含义如下表所示。
表14-18 页面各参数项描述
|
页面参数 |
描述 |
|
整机PoE供电功率使用率 |
整机当前已使用供电功率占整机最大供电功率的百分比 |
|
最大供电功率 |
整机最大供电功率 |
|
当前使用功率 |
整机当前已使用的供电功率 |
|
当前剩余功率 |
整机当前未使用的供电功率 |
|
当前功率 |
PoE端口当前使用的供电功率 |
|
端口状态 |
PoE端口的供电状态,包括: · 端口Down-PoE供电:开启 · 端口Down-PoE供电:关闭 · 端口Up-PoE供电:开启 · 端口Up-PoE供电:开启(供电异常:总功率过载/端口功率过载)。 · 端口Up-PoE供电:关闭 |
|
PoE开关 |
开启或关闭PoE端口的供电功能 |
如果您希望设备上的某些功能(例如带宽管理、上网行为管理)仅在特定时间生效,而其它时间不生效,可以创建一个时间组,并在配置相关功能时引用时间组。
一个时间组中可以配置一个或多个时间段。时间段的生效时间有如下两种方式:
· 周期性生效:以周作为周期,循环生效。例如,每周一的8至12点。
· 非周期生效:在指定的时间范围内生效。例如,2015年1月1日至2015年1月3日每天的8点至18点。
• 最多可以创建64个不同名称的时间组。
• 一个时间组内最多可以配置16个周期性生效的时间段或16个非周期生效的时间段。
页面向导:网络设置→时间组
|
本页面为您提供如下主要功能: · 显示已添加的时间组详细信息 · 添加时间组 · 删除已添加的时间组 · 修改已添加的时间组 |
|
|
添加时间组: 1. 单击<添加>按钮,弹出新建时间组对话框,输入时间组的名称、生效时间等参数信息 2. 点击<确定>按钮,完成配置 |
|
|
删除已添加的时间组: 1. 勾选需要删除的时间组前方单选框 2. 单击<删除>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
|
修改已添加的时间组: 1. 点击需要修改的时间组对应操作列的编辑图标,弹出修改时间组对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表10-21 页面参数描述
|
页面参数 |
描述 |
|
时间组名称 |
特定时间段的名称。配置该参数时,该名称可以提示用户该时间段中的时间段特征。时间组名称不支持命名为any(不区分大小写) |
|
生效时间 |
该时间组的生效时间,设置方式有两种: · 周期性生效:以周作为周期,循环生效。配置该参数时,选择每周需要生效的具体星期,并在下面输入每天的具体生效时间,点击<+>按钮,点击<确定>按钮,完成本时间段的配置 · 非周期生效:在指定的时间范围内生效。配置该参数时,选择生效的起止日期,并在下面输入具体生效的起止时间,点击<+>按钮,点击<确定>按钮,完成本时间段的配置 |
|
操作 |
可对该配置进行编辑或者删除操作 |
如果您希望设备上的带宽管理功能仅对特定的应用生效,而对其它的应用不生效,可以创建一个或者多个应用,将创建的应用添加到应用组,并在配置带宽管理时引用应用组。
对特定的应用协议和端口号进行严格的带宽管理。
自定义应用创建完成后,需要将其添加到“应用组”中,并在配置带宽管理时引用对应的应用组,才能实现对特性应用的带宽管理。
页面向导:网络设置→应用组→自定义应用
|
本页面为您提供如下主要功能: · 显示已添加应用的详细信息 · 添加应用 · 删除已添加的应用 · 修改已添加的应用 |
|
|
添加应用: 1. 单击<添加>按钮,弹出添加应用对话框,输入应用的名称、应用协议、端口号和描述等参数信息 2. 点击<确定>按钮,完成配置 |
|
|
删除已添加的应用: 1. 勾选需要删除的应用前方单选框 2. 单击<删除>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
|
修改已添加的应用: 1. 点击需要修改的应用对应操作列的编辑图标,弹出修改应用对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表10-22 页面参数描述
|
页面参数 |
描述 |
|
应用名称 |
特定应用的名称 |
|
应用协议 |
应用使用的协议类型,配置该参数时,可根据需要进行选择: · 若应用为TCP报文,则选择“TCP”或“UDP” · 若应用为UDP报文,则选择“TCP”或“UDP” · 若应用为TCP和UDP报文,则选择“TCP+UDP” |
|
端口号 |
应用实际使用的端口号 |
|
描述信息 |
配置的描述信息,可对配置进行简单的描述,方便使用 |
|
操作 |
可对该配置进行编辑或者删除操作 |
通过对自定义应用进行分组,实现对一组自定义应用进行严格的带宽管理。
应用组创建完成后,在配置带宽管理时引用应用组,才能实现对特定的一组自定义应用进行带宽管理。
页面向导:网络设置→应用组→应用组
|
本页面为您提供如下主要功能: · 显示已添加应用组的详细信息 · 添加应用组 · 删除已添加的应用组 · 修改已添加的应用组 |
|
|
添加应用: 1. 单击<添加>按钮,弹出添加应用对话框,输入应用的名称和描述信息。在左侧选择框中,勾选应用,点击< > >按钮,将应用添加到右侧选择框中,说明应用已被添加。在右侧选择框中,勾选应用,点击< < >按钮,将应用移至左侧选择框中,说明应用已被移除 2. 点击<确定>按钮,完成配置 |
|
|
删除已添加的应用组: 1. 勾选需要删除的应用前方单选框 2. 单击<删除>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
|
修改已添加的应用组: 1. 点击需要修改的应用组对应操作列的编辑图标,弹出修改应用组对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表10-23 页面参数描述
|
页面参数 |
描述 |
|
应用组名称 |
一组特定应用集合的名称。配置该参数时,该名称可以提示用户该应用组中的应用组特征。应用组名称不支持命名为any(不区分大小写) |
|
描述信息 |
该应用组的描述信息,可对应用组进行简单的描述,方便使用 |
|
待选应用 |
设备上已创建的所有应用,配置该参数时,在“待选应用”选择框中,勾选应用,点击“>”按钮,将应用添加到“已选应用”选择框中 |
|
已选应用 |
划分到该应用组的应用,配置该参数时,在“已选应用”选择框中,勾选应用,点击“<”按钮,将应用从“已选应用”选择框中移除 |
|
操作 |
可对该配置进行编辑或者删除操作 |
带宽管理功能用于对流量进行管理,管理员可基于地址组和时间组等限制条件对用户流量进行精细控制。对于需要进行限速的报文,例如占用大量带宽的P2P下载报文,可选择开启限制通道功能,来限制其带宽。对于需要保证时延的交互性应用流量,可选中开启绿色通道功能来保证其带宽。
· 一般应用场景下,可以把游戏报文、交互报文等对时延要求较高的应用流量通过绿色通道转发,把BT等对系统转发影响较大的P2P流量通过限制通道转发。其余流量会自动通过正常通道转发。
· 数据包匹配的优先级顺序如下:
¡ 如果流量符合绿色通道的规则,则进入绿色通道进行处理。
¡ 如果不符合绿色通道但符合限制通道的规则,则进入限制通道进行处理。
¡ 如果绿色通道和限制通道的规则都不符合,则进入正常通道(IP流量限制通道)发送,受到IP限速规则的限制。
· 配置的流量上限值是指所有进入限制通道的流量之和。
· 绿色通道识别流量时,如果数据包长度选择和端口选择同时启用,则符合其中一项即识别成功,并且数据包长度选择优先起作用。
对指定接口或指定用户的流量进行带宽管理。
配置IP限速前,请先在[网络设置/外网配置]配置页面上的“WAN配置”页签中设置线路的上下行带宽。如没有预先配置,也可以在“流量限制”配置项处点击“设置”链接,跳转到WAN配置页面配置当前线路的上下行带宽。
页面向导:上网行为管理→带宽管理→IP限速
|
本页面为您提供如下主要功能: · 显示已添加IP限速的详细信息 · 添加IP限速 · 删除已添加的IP限速 · 修改已添加的IP限速 |
|
|
添加IP限速策略: 1. 单击<添加>按钮,弹出添加IP限速策略对话框,设置应用接口、用户范围、流量限制和限制时段等参数信息 2. 点击<确定>按钮,完成配置 |
|
|
删除已添加的IP限速: 1. 勾选需要删除的IP限速前方单选框 2. 单击<删除>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
|
修改已添加的IP限速: 1. 点击需要修改的IP限速对应操作列的编辑图标,弹出修改IP限速对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表11-1 页面参数描述
|
页面参数 |
描述 |
|
应用接口 |
报文的来源接口,即规则对从某一接口收到的数据包进行控制 |
|
用户范围 |
规则需要控制的地址组。配置该参数时,需选择已创建的地址组。如需新增地址分组,可通过点击右侧<新增地址组>按钮创建新的地址组 |
|
上传带宽 |
地址组内的用户上传方向的最大带宽值。单位为Mbps。配置此参数之前,需根据运营商提供的实际上行带宽配置当前线路上行带宽 |
|
下载带宽 |
地址组内的用户下载方向的最大带宽值。单位为Mbps。配置此参数之前,需根据运营商提供的实际上行带宽配置当前线路下行带宽 |
|
流量分配 |
流量的分配方式:主要分为: · 共享式:指定地址组内的所有计算机共享给定的带宽 · 独占式:指定地址组内的每台计算机各自占有给定的带宽(即流量上限) |
|
弹性共享 |
当用户实际流量带宽超过流量限制配置的带宽时,最大可以共享当前线路上下行带宽的百分比。流量分配选择共享式时,可根据需要配置该参数 |
|
限制时段 |
IP限速的生效时间段,配置该参数时,可选择: · 所有时段 · 选择已创建的时间组。如需新增时间分组,可通过点击右侧<新增时间组>按钮创建新的时间组 |
|
操作 |
可对此规则进行编辑和删除操作 |
对需要进行限速的应用流量(如占用大量带宽的P2P类应用)进行严格的带宽管理。
流量只有匹配“应用组”中配置的应用,限制通道功能才生效。
页面向导:上网行为管理→带宽管理→限制通道
|
设置限制通道: 1. 启用限制通道功能,设置每接口上下行最大流速和应用组信息 2. 单击<应用>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表11-2 页面参数描述
|
页面参数 |
描述 |
|
启用限制通道 |
是否开启限制通道流速上限功能。若开启该功能,设备将按照配置的规则进行工作。缺省关闭功能限制通道流速上限功能 |
|
线路N上行带宽 |
显示线路N的上行带宽。如需设置此参数,请到WAN配置页面中进行配置(单击导航树中[网络设置/外网配置]菜单项,单击“WAN配置”页签,进入WAN配置页面) |
|
线路N下行带宽 |
显示线路N的下行带宽。如需设置此参数,请到WAN配置页面中进行配置(单击导航树中[网络设置/外网配置]菜单项,单击“WAN配置”页签,进入WAN配置页面) |
|
每接口上行最大流速 |
各接口允许报文上行通过的最大数据流量。如果已设置线路N的上行带宽,则每接口上行最大流速需要小于或等于线路N上行带宽的最小值 |
|
每接口下行最大流速 |
各接口允许报文下行通过的最大数据流量。如果已设置线路N的下行带宽,则每接口下行最大流速需要小于或等于线路N下行带宽的最小值 |
|
选择应用组 |
匹配通道流速上限限制的应用组。配置该参数时,需选择已创建的应用组。如需新增应用组,可通过点击右侧<新增应用组>按钮创建新的应用组 |
· 请勿将绿色通道带宽设置过大,以免对普通流量产生影响。
· 只有匹配“应用组”中配置的应用或符合“绿色通道数据包长度选择”中配置的流量数据包最大长度限制,绿色通道功能才生效。
· 一般应用场景下,可以把游戏报文、交互报文等对时延要求较高的应用流量通过绿色通道转发,把BT等对系统转发影响较大的P2P流量通过限制通道转发。其余流量会自动通过正常通道转发。
· 数据包匹配的优先级顺序如下:
¡ 如果流量符合绿色通道的规则,则进入绿色通道进行处理。
¡ 如果不符合绿色通道但符合限制通道的规则,则进入限制通道进行处理。
¡ 如果绿色通道和限制通道的规则都不符合,则进入正常通道(IP流量限制通道)发送,受到IP限速规则的限制。
页面向导:上网行为管理→带宽管理→绿色通道
|
设置绿色通道: 1. 启用绿色专用通道功能,配置线路的上下行带宽、流量数据包的最大长度和应用组信息 2. 单击<应用>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表11-3 页面参数描述
|
页面参数 |
描述 |
|
启用绿色专用通道 |
是否开启绿色专用通道功能。若开启该功能,该通道中的业务数据流将保证使用设定的带宽值 当带宽显示为未设置时,可通过点击“设置”链接进行设置。点击“设置”链接后,跳转到WAN配置页面。在线路列表中,点击指定线路对应的操作列编辑图标,进入修改WAN配置页面,设置网络上行带宽、网络下行带宽后,点击<确定>按钮完成设置 |
|
限制绿色通道流速上限 |
报文通过绿色通道的流速上限。可根据需要配置该参数,若开启该功能,则设置各线路的上下行最大流速,为交互性应用流量提供带宽保障 |
|
匹配绿色通道数据包长度选择 |
报文通过绿色通道的最大长度,可根据需要配置该参数。若开启该功能,路由器会根据设置的报文长度来识别报文,小于该长度的报文将通过绿色专用通道转发 |
|
选择应用组 |
绿色专用通道限制规则需要控制的应用组。配置该参数时,需选择已创建的应用组。如需新增应用组,可通过点击右侧<新增应用组>按钮创建新的应用组 |
上网行为管理功能基于地址组、时间组以及应用等控制条件对用户的上网行为进行精细的管理。
页面向导:上网行为管理→应用控制
|
3. 页面为您提供如下主要功能: · 开启应用控制 · 添加应用控制 · 删除已添加的应用控制 · 修改已添加的应用 |
|
|
添加应用控制: 1. 单击<添加>按钮,配置策略名称、用户范围、限制时段和网络应用信息 2. 点击<确定>按钮,完成配置 |
|
|
删除已添加的应用控制: 1. 勾选需要删除的应用控制前方单选框 2. 单击<删除>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
|
修改已添加的应用控制: 1. 点击需要修改的应用控制对应操作列的编辑图标,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表11-4 页面参数描述
|
页面参数 |
描述 |
|
开启应用控制 |
是否开启应用控制功能。若开启该功能,设备将按照配置的应用控制策略及规则进行工作。缺省关闭应用控制功能 |
|
策略名称 |
应用控制策略的名称 |
|
用户范围 |
策略需要控制的地址范围。配置该参数时,需选择已创建的地址组。如需新增地址分组,可通过点击右侧<新增地址组>按钮创建新的地址组 |
|
限制时段 |
规则的生效时间。配置该参数时,可选择所有时段,或选择已创建的时间组。如需新增时间组,可通过点击右侧的<新增时间组>按钮创建新的时间组 |
|
应用控制 |
策略需要控制的网络应用,并配置对该应用的访问控制的动作,主要分为: · 阻断:表示阻断用户对此应用的访问 · 不阻断不限速:表示不限制用户对此应用的访问 · 限速:表示对用户访问此应用进行限速,并可设置单个用户的最大上行带宽和最大下行带宽 |
|
操作 |
可对该策略进行编辑或者删除操作 |
当管理员仅允许用户访问指定网址或禁止用户访问指定网址时,可通过配置网址控制功能实现。
(1) 开启网址黑名单模式后,设备会禁止指定的用户在指定的时间段内访问自定义网址分类中指定的网址;对于不在网址分类中的网址,则可以正常访问。
假设管理员创建一个网址黑名单,其网址分类的名称为网址组A,地址组的名称为用户组A。用户的匹配规则如下:
¡ 如果用户User1属于用户组A,则用户User1不允许访问网址组A中的网址;
¡ 如果用户User2不属于用户组A,则用户User2允许访问任何网址。
(2) 开启网址白名单模式后,设备只允许指定的用户在指定的时间段内访问自定义网址分类中指定的网址;对于不在网址分类中的网址,则无法访问。
假设管理员创建如下两个网址白名单:
¡ 白名单A:网址分类的名称为网址组A,地址组的名称为用户组A;
¡ 白名单B:网址分类的名称为网址组B,地址组的名称为用户组B。
用户的匹配规则如下:
¡ 如果用户User1同时属于用户组A和用户组B,则用户User1只允许访问网址组A和网址组B中的网址;
¡ 如果用户User2仅属于用户组A,则用户User2只允许访问网址组A中的网址;
¡ 如果用户User3既不属于用户组A也不属于用户组B,则用户User3不允许访问任何网址。
(3) 自定义网址支持导出功能,当使用IE浏览器进行导出时,如果出现无法启动Excel的错误提示,请参考如下步骤修改浏览器配置:
点击浏览器的<工具>按钮,选择“Internet选项”,进入Internet选项窗口;选择“安全”页签,点击<自定义级别>按钮,找到“对为标记为可安全执行脚本的ActiveX 控件初始化并执行脚本”一项,选择“启用”。
(4) 配置网址关键字时,如需精确匹配网址,则关键字不加通配符*,例如www.baidu.com;如需模糊匹配网址,则关键字添加通配符*,例如*.baidu.com、www.baidu*或*baidu*;如需配置所有网址,则关键字设置为*.*。注意通配符不能配置在字符串中间或者只配置通配符,例如aaa*11和*,否则会导致配置无法下发。
页面向导:上网行为管理→网址控制
|
本页面为您提供如下主要功能: · 开启网址黑白名单模式 · 配置自定义网址分类 · 删除已添加的网址分类 · 导入自定义网址列表 |
|
|
开启网址黑白名单模式: 1. 勾选“网址黑名单模式”或“网址白名单模式”选项 2. 点击<确定>按钮,完成配置 |
|
|
配置自定义网址分类: 1. 设置自定义网址分类名称、地址组和时间组 2. 点击新建网址分类对应的详情图标,弹出设置网址关键字对话框。配置网址关键字 3. 单击<确定>按钮。完成配置 |
|
|
删除已添加的网址分类: 1. 选择需要删除的网址分类,点击<删除>按钮 2. 弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
|
导入自定义网址列表 1. 点击新建网址分类对应的导入图标,弹出导入自定义网址列表对话框。点击<上传文件>按钮,选择需导入的自定义网址列表 2. 点击<确定>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表11-5 页面参数描述
|
页面参数 |
描述 |
|
网址白名单 |
若开启该功能,设备只允许指定的用户在指定的时间段内访问自定义网址分类中指定的网址;对于不在网址分类中的网址,则无法访问 |
|
网址黑名单 |
若开启该功能,设备会禁止指定的用户在指定的时间段内访问自定义网址分类中指定的网址;对于不在网址分类中的网址,则可以正常访问 |
|
序号 |
网址控制策略的编号 |
|
网址分类 |
网址关键字对话框。输入相应的网址,单击右侧的<+>按钮,网址添加成功。单击<确定>按钮,完成添加网址关键字 |
|
地址组 |
策略需要控制的IP地址组。 |
|
时间组 |
策略的生效时间 |
|
操作 |
可对该条策略进行如下操作: · 删除:删除此条策略 · 详情:设置网址关键字 · 导入:若自定义网址分类策略数量过多,可先导出CSV格式的自定义网址列表,填好策略后,再导入设备中 · 导出:导出CSV格式的自定义网址列表 |
|
网址关键字 |
策略的网址关键字。点击网址控制策略对应的操作列详情图标,在弹出的设置网址关键字对话框中,可设置网址关键字。范围1-63个字符,可输入英文字母、数字,以及特殊字符(除/ \'"<>;&`:和空格以外),英文字母不区分大小写 关键字不加通配符*时,网址控制策略将根据关键字做精确匹配,例如www.baidu.com;关键字添加通配符*时,网址控制策略将根据关键字做模糊匹配,例如*.baidu.com、www.baidu*或*baidu*;关键字设置为*.*时,表示关键字匹配所有网址 |
文件控制功能仅能控制用户使用HTTP协议下载不同类型的文件。
页面向导:上网行为管理→文件控制
|
本页面为您提供如下主要功能: · 开启文件控制 · 添加禁止下载的文件类型 · 删除已添加的文件控制表项 · 修改已添加的文件控制表项 |
|
|
开启文件控制: 1. 勾选“开启文件控制”选项 2. 点击<确定>按钮,完成配置 |
|
|
添加文件控制: 1. 单击<添加>按钮,弹出添加文件控制对话框,输入文件类型和描述信息 2. 点击<应用>按钮,完成配置 |
|
|
删除已添加的文件控制: 1. 选择需要删除的文件控制,点击<删除>按钮 2. 弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
|
修改已添加的文件控制表项: 1. 点击需要修改的文件控制表项对应操作列的编辑图标,弹出禁止下载的文件类型对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表11-6 页面参数描述
|
页面参数 |
描述 |
|
文件控制 |
是否开启文件控制功能。若开启该功能,设备将按照配置的文件控制策略及规则进行工作。缺省开启文件控制功能 |
|
序号 |
文件控制策略的编号 |
|
文件类型 |
不允许下载的文件后缀类型。例如.jpg |
|
描述 |
策略的描述信息,可对策略进行简单的描述,方便使用 |
|
操作 |
可对该策略进行编辑或者删除操作 |
• 管理员需要通过网络应用使用的报文特征来限制用户使用的网络应用时,可以添加自定义网络应用,并将其添加到应用控制策略中。
• 添加自定义网络应用后,需要在“应用控制”页签添加应用控制策略时,选择已添加的自定义网络应用,才能实现生效。
• 自定义网络应用被添加到应用控制策略后,自定义网络应用不允许删除。
• 在添加自定义网络应用时,建议只输入受限制网址的域名,避免输入资源路径,以免影响应用控制功能。
页面向导:上网行为管理→自定义网络应用
|
本页面为您提供如下主要功能: · 显示已添加自定义网络应用的详细信息 · 添加自定义网络应用 · 删除已添加的自定义网络应用 · 修改已添加的自定义网络应用 · 导入自定义网络应用列表 |
|
|
添加自定义网络应用: 1. 单击<添加>按钮,弹出添加自定义网络应用对话框,输入应用名称、描述信息、协议类型、目的端口等参数信息 2. 点击<确定>按钮,完成配置 |
|
|
删除已添加的自定义网络应用: 1. 勾选需要删除的自定义网络应用前方单选框 2. 单击<删除>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
|
修改已添加的自定义网络应用: 1. 点击需要修改的自定义网络应用对应操作列的编辑图标,弹出修改自定义网络应用对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表11-7 页面参数描述
|
页面参数 |
描述 |
|
应用名称 |
自定义网络应用的名称 |
|
描述信息 |
规则的描述信息,可对规则进行简单的描述,方便使用 |
|
协议类型 |
该网络应用支持的协议类型,包括:TCP、UDP、HTTP、HTTPS和SSL 当协议类型为TCP、UDP时,报文特征为必填项;当协议类型为SSL时,目的端口和HOST为必填项 |
|
报文方向 |
报文的转发方向,主要分为: · 客户端:表示设备发送的报文 · 服务器:表示设备接收的报文 · 任意:选择“任意”时,表示设备接收的所有报文 |
|
目的端口 |
该网络应用的目的端口号 |
|
报文长度 |
该网络应用的报文长度 |
|
目的IP |
该网络应用的目的IP地址 |
|
报文特征 |
根据报文结构自定义网络应用的报文特征,主要包括: · 报文特征:自定义TCP、UDP协议报文中的特征 · URL:自定义HTTP协议报文中URL信息的特征 · HOST:自定义HTTP、HTTPS和SSL协议报文中HOST信息的特征 · UserAgent:自定义HTTP协议报文中UserAgent信息的特征 · Referer:自定义HTTP协议报文中Referer信息的特征 · Body:自定义HTTP协议报文中Body信息的特征 报文特征不支持输入“和{}字符,设置完成后,单击“>”按钮,将设置的报文特征添加到右侧方框中 |
|
管理状态 |
策略的开启或关闭状态 |
|
操作 |
可对该策略进行编辑或者删除操作 |
审计日志功能用于对上网行为管理中的应用控制和网址控制的日志进行审计,并将日志发送到指定的服务器上。
对上网行为管理中应用控制功能的日志进行审计。
页面向导:上网行为管理→审计日志→应用审计日志
|
勾选“开启审计日志”选项,开启应用的日志审计功能 |
|
|
点击<清除日志>按钮,在确认提示框中,点击<是>按钮,清除所有的应用审计日志 |
|
页面中各参数的含义如下表所示。
表11-8 页面参数描述
|
页面参数 |
描述 |
|
序号 |
日志信息的编号 |
|
用户名/IP地址 |
触发应用控制规则的用户名或IP地址 |
|
应用类型 |
触发应用控制规则的网络应用 |
|
日期和时间 |
日志生成时的日期和具体时间 |
|
计数 |
生成此类日志的总数 |
|
动作 |
应用控制策略对需要控制的报文的执行动作,主要分为: · 阻断:表示策略拒绝报文通过,并记录日志 · 限速:表示策略限速报文通过,并记录日志 |
对上网行为管理中网址控制功能的日志进行审计。
在开启网址过滤日志功能之前,需要先在上网行为管理中开启网址控制功能。
页面向导:上网行为管理→审计日志→网址过滤日志
|
勾选“开启网址过滤日志”选项,网址过滤的日志审计功能 |
|
|
点击<清除日志>按钮,在确认提示框中,点击<是>按钮,清除所有的应用审计日志 |
|
页面中各参数的含义如下表所示。
表11-9 页面参数描述
|
页面参数 |
描述 |
|
序号 |
日志信息的编号 |
|
用户名/IP地址 |
触发应用控制规则的用户名或IP地址 |
|
目标网址 |
网址过滤规则中被禁止访问的网址 |
|
网址分类 |
目标网址的所属类别,例如:搜索门户等 |
|
日期和时间 |
日志生成时的日期和具体时间 |
|
计数 |
生成此类日志的总数 |
|
动作 |
应用控制策略对需要控制的报文的执行动作,主要分为: · 阻断:表示策略拒绝报文通过,并记录日志 · 允许:表示策略允许报文通过,并记录日志 |
将审计日志发送到指定的服务器。
审计服务器的IP地址需要与当前路由器的IP地址互通。
页面向导:上网行为管理→审计日志→审计服务器
|
设置审计服务器: 1. 启用发送审计日志到服务器的功能,设置审计服务器地址和端口号 2. 单击<应用>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表11-10 页面参数描述
|
页面参数 |
描述 |
|
审计服务器 |
接收审计日志的指定服务器。若开启此功能,应用审计日志和网址过滤日志将会发送到此服务器 |
|
审计服务器地址 |
审计日志的服务器的IP地址或域名地址 |
|
端口 |
接收审计日志的服务器的端口号 |
防火墙功能是通过一系列的安全规则匹配网络中的报文,并执行相应的动作,从而达到阻断非法报文传输、正常转发合法报文的目的,为用户的网络提供一道安全屏障。
· 当报文匹配到一个防火墙安全规则后,则不会继续向下匹配,所以请合理安排安全规则的优先级,避免报文匹配错误的规则而导致执行相反动作。
· 当缺省过滤规则设置为允许时,用户不需要配置任何安全规则,接入当前设备的所有终端都可以相互访问,且可以访问外网。
· 当缺省过滤规则设置为允许时,如果用户需要限制指定终端的访问特定外网的权限,可根据需求配置指定的VLAN接口与WAN接口之间的安全规则;如果用户需要限制指定终端访问其它VLAN下终端的权限,可根据需求配置指定的VLAN接口到VLAN接口的安全规则。
· 当缺省过滤规则设置为禁止时,如果用户未配置任何安全规则,所有终端不能访问外网,不同VLAN下的终端不能相互访问。
· 当缺省过滤规则设置为禁止时,如果用户需要允许指定终端可以访问特定外网,则需要根据需求配置指定VLAN接口与WAN接口之间的安全规则,且必须配置双向规则,即出站方向和入站方向各一条。如果用户需要让指定终端能够访问其它VLAN下的终端,则需要配置指定本端VLAN接口与对端VLAN接口之间的安全规则,且必须配置双向规则。
页面向导:网络安全→防火墙
|
本页面为您提供如下主要功能: · 开启或关闭防火墙 · 设置缺省过滤规则 · 添加安全规则 · 删除安全规则 · 修改已创建的安全规则 · 显示已创建的安全规则信息 |
|
|
勾选“开启防火墙”单选框,开启防火墙功能 |
|
|
在缺省过滤规则配置项处,设置缺省过滤规则,单击<应用>按钮,保存配置 |
|
|
添加安全规则: 1. 单击<添加>按钮,弹出创建安全规则页面,配置接口、方向、优先级等参数信息 2. 单击<确定>按钮,完成配置 |
|
|
删除安全规则: 1. 勾选需要删除的安全规则 2. 单击<删除>按钮,弹出提示对话框 3. 单击<确定>按钮,完成配置 |
|
|
修改安全规则: 1. 单击需要修改的安全规则操作列的编辑图标,弹出修改安全规则对话框,修改相关参数 2. 单击<确定>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表12-1 页面参数描述
|
页面参数 |
描述 |
|
开启防火墙 |
是否开启防火墙功能。若开启该功能,设备将按照配置的防火墙及规则进行工作 缺省情况下为关闭状态 |
|
缺省过滤规则 |
对未匹配任何规则报文的处理方式,即当一个报文在未匹配任何规则时,设备对该报文的执行动作,主要分为: · 允许:允许报文通过防火墙 · 禁止:禁止报文通过防火墙 设置完成,需单击“应用”按钮,使配置生效 缺省状态为允许 |
|
接口 |
报文的来源接口,即规则对从某一接口收到的数据包进行控制 |
|
方向 |
显示安全规则的方向,包括入站方向和出站方向。 · 当“接口”参数选择为WAN接口时,安全规则的方向为入站方向,即控制从公网侧进入设备的流量 · 当“接口”参数选择为VLAN接口时,安全规则的方向为出站方向,即控制从内网侧进入设备的流量 |
|
协议类型 |
规则需要控制的报文协议类型。配置该参数时,可根据需要进行选择: · 若需控制某传输层协议的报文,则选择“TCP”或“UDP” · 若需控制Ping、Tracert等ICMP协议报文,则选择“ICMP” · 若需控制所有协议报文,则选择“所有协议” |
|
源地址分组 |
规则需要控制的源IP地址范围。配置该参数时,需选择已创建的地址组。如需新增地址分组,可通过点击右侧<新增地址组>按钮创建新的地址组 |
|
目的地址分组 |
规则需要控制的目的IP地址范围。配置该参数时,需选择已创建的地址组。如需新增地址分组,可通过点击右侧<新增地址组>按钮创建新的地址组 |
|
目的端口范围 |
规则需要控制的目的端口号范围。配置该参数时,起始端口号不能大于结束端口号 |
|
规则生效时间 |
规则的生效时间。配置该参数时,需选择已创建的时间组。如需新增时间组,可通过点击右侧的<新增时间组>按钮创建新的时间组 |
|
动作 |
规则对需要控制的报文的执行动作,主要分为: · 允许:表示规则允许报文通过 · 拒绝:表示规则拒绝报文通过 |
|
优先级 |
规则的优先级。设置方式有两种: · 自动:系统自动为该规则分配优先级,即根据规则的配置顺序以5为步长进行依次分配 · 自定义:用户自定义规则的优先级,数值越小则优先级越高 |
|
描述 |
规则的描述信息,可对规则进行简单的描述,方便使用 |
|
操作 |
可对此条规则进行编辑、删除或者复制操作 |
连接限制功能是一种安全机制,通过限制每个IP地址主动发起连接的个数,达到合理分配设备处理资源、防范恶意连接的效果。
如果设备发现来自某IP地址的TCP或UDP连接数目超过指定的数目,将禁止该连接建立。直到该连接数低于限制数时,其才被允许新建连接。
设备支持配置如下两种连接限制:
· 网络连接限制:在指定IP地址范围内,配置每个IP地址发起连接的个数限制。此方式用于对设备上的所有接口收到的连接进行控制。
· VLAN网络连接限制:在指定VLAN接口上,配置每个IP地址发起连接的个数限制。此方式用于对指定VLAN接口收到的连接进行控制。
· 每条网络连接数限制规则,如果是IP地址范围,表示该地址段内的每个IP最多建立的网络连接数都将限制到设定的上限值。如果起始地址和结束地址相同,表示仅限制该IP的网络连接数。
· 限制规则表中可以加入多条网络连接数限制规则,配置规则时允许某几条中的IP地址重叠,但以先加入的规则优先级为高。也就是对于相同的IP地址,后加入的网络连接数限制设置不会覆盖先前的设置,仍以先前配置的连接数限制为准。
· 允许在限制规则表中对先前配置的规则进行删除、修改等操作。但修改不能改变规则的优先级,生效规则仍以规则要点 2 的约定为准。
· 网络连接限速仅限制内网IP向因特网发起的网络连接;下列情形不在限制范围内:向设备本身和内网其它IP发起的连接,以及由因特网向内网IP发起的连接。
· 总连接数=TCP连接数+UDP连接数+其他连接数,其他连接指除TCP和UDP连接之外的连接,如ICMP等。某IP可以建立新连接的条件是:此IP已经建立的连接数未达到设置的上限值。比如某IP需要建立一条TCP连接,则必须满足此IP已经建立的总连接数未达到总连接数上限,TCP连接数未达到TCP连接数上限,建立UDP连接和其他连接的条件跟TCP相同。
· TCP连接数设为0和留空的区别是:设置为0表示不允许建立TCP连接,留空表示不对TCP连接数进行单独限制,但仍需满足总连接数限制条件。UDP连接数情况类似。
· 每条VLAN网络连接限数规则,表示指定VLAN内最多建立的网络连接数都将被限制到设定的上限值。注意,这里设置的连接数上限指的是该VLAN内所有IP的连接数之和的上限,而非每IP各自的连接数上限
· 总连接数=TCP连接数+UDP连接数+其他连接数,其他连接指除TCP和UDP连接之外的连接,如ICMP等。某VLAN可以建立新连接的条件是:此VLAN内IP已经建立的连接数未达到设置的上限值。比如某VLAN内某个IP需要建立一条TCP连接,则必须满足此VLAN已经建立的总连接数未达到总连接数上限,TCP连接数未达到TCP连接数上限,建立UDP连接的条件跟建立TCP连接类似
页面向导:网络安全→连接限制→网络连接限制数
|
本页面为您提供如下主要功能: · 开启或关闭网络连接限制数 · 添加网络连接限制数规则 · 删除网络连接限制数规则 · 修改已添加的网络限制数规则 · 显示添加的网络连接限制数规则相关信息 |
|
|
添加网络连接限制数规则: 1. 单击<添加>按钮,弹出新建网络连接限制数规则对话框,配置相关参数 2. 单击<应用>按钮,完成配置 |
|
|
删除网络连接限制数规则: 1. 勾选需要删除的网络连接限制数规则,单击<删除>按钮,弹出确认提示对话框 2. 单击<确定>按钮,完成配置 |
|
|
修改网络连接限制数规则: 1. 单击需要修改的网络连接限制数规则对应操作列的编辑图标,弹出修改网络连接限制数规则对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表12-2 页面参数描述
|
页面参数 |
描述 |
|
开启网络连接限制数 |
是否开启网络连接限制数功能。若开启该功能,设备将按照配置的网络连接限制数规则进行工作,缺省关闭网络连接数限制数功能 |
|
连接限制地址分组 |
规则需要控制的IP地址范围 |
|
每IP总连接数上限 |
允许每个IP地址发起的最大网络连接数 |
|
每IP TCP连接数上限 |
允许每个IP地址发起的最大TCP网络连接数 |
|
每IP UDP连接数上限 |
允许每个IP地址发起的最大UDP网络连接数 |
|
描述 |
规则的描述信息,可对规则进行简单的描述,方便使用 |
页面向导:网络安全→连接限制→VLAN网络连接限制数
|
本页面为您提供如下主要功能: · 开启或关闭VLAN网络连接限制数 · 添加VLAN网络连接限制数规则 · 删除VLAN网络连接限制数规则 · 修改已添加的VLAN网络限制数规则 · 显示添加的VLAN网络连接限制数规则相关信息 |
|
|
添加VLAN网络连接限制数规则: 1. 单击<添加>按钮,弹出新建VLAN网络连接限制数规则对话框,配置相关参数 2. 单击<应用>按钮,完成配置 |
|
|
删除VLAN网络连接限制数规则: 1. 勾选需要删除的VLAN网络连接限制数规则,单击<删除>按钮,弹出确认提示对话框 2. 单击<确定>按钮,完成配置 |
|
|
修改VLAN网络连接限制数规则: 1. 单击需要修改的VLAN网络连接限制数规则对应操作列的编辑图标,弹出修改VLAN网络连接限制数规则对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表12-3 页面参数描述
|
页面参数 |
描述 |
|
开启VLAN网络连接限制 |
是否开启VLAN网络连接限制功能。若开启该功能,设备将按照配置的VLAN网络连接限制规则进行工作,缺省关闭VLAN网络连接限制数功能 |
|
VLAN接口 |
规则需要控制的VLAN接口 |
|
总连接数上限 |
允许指定的VLAN接口占用的最大网络连接数,避免个别VLAN占用过多的资源 |
|
TCP连接数上限 |
允许指定的VLAN接口发起的最大TCP网络连接数 |
|
UDP连接数上限 |
允许指定的VLAN接口发起的最大UDP网络连接数 |
|
描述 |
规则的描述信息,可对规则进行简单的描述,方便使用 |
如果您希望对某些设备发送过来的报文进行限制(允许或禁止其通过),则可以在VLAN接口上配置MAC地址过滤功能,在开启MAC地址过滤功能后,本功能将根据MAC黑白名单对接收报文的源MAC地址进行过滤。
过滤方式有如下两种:
· 白名单:仅允许在白名单内的源MAC地址访问外网,其余禁止访问。
· 黑名单:仅禁止在黑名单内的源MAC地址访问外网,其余允许访问。
· 如果需要在管理员终端连接的接口上开启MAC地址过滤功能,请先确保管理员的终端MAC地址已添加到白名单中或未添加到黑名单。
· MAC地址中的英文字符不区分大小写。
页面向导:网络安全→MAC地址过滤→MAC过滤设置
|
设置MAC地址过滤: 1. 在指定接口的“过滤方式”列中选择“白名单”或“黑名单”选项,并在“开启和关闭”列中勾选“开启”选项 2. 单击<应用>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表12-4 页面参数描述
|
页面参数 |
描述 |
|
端口 |
匹配MAC地址过滤策略的接口 |
|
过滤方式 |
设备进行MAC地址过滤的方式,主要分为: · 白名单:仅允许在白名单内的源MAC地址访问外网,其余禁止访问 · 黑名单:仅禁止在黑名单内的源MAC地址访问外网,其余允许访问 |
|
开启和关闭 |
是否开启MAC地址过滤功能: · 若开启该功能,设备将根据MAC地址列表中的MAC地址控制内网计算机访问因特网 · 若不开启该功能,局域网内的所有计算机都可以不受限制地访问因特网 |
页面向导:网络安全→MAC地址过滤→MAC黑白名单管理→白名单
|
本页面为您提供如下主要功能: · 显示已添加到白名单中的MAC地址详细信息 · 添加单个MAC地址到白名单 · 批量添加MAC地址到白名单 · 从ARP表项中添加MAC地址到白名单 · 导出当前添加到白名单中的所有MAC地址 · 删除已添加到白名单中的MAC地址 · 修改已添加到白名单中的MaC地址 |
|
|
添加单个MAC地址到白名单: 1. 单击<添加>按钮,弹出添加源MAC地址对话框,输入需要添加的MAC地址和描述。 2. 单击<确定>按钮,完成操作。 |
|
|
批量添加MAC地址到白名单: 1. 单击<导出>按钮,选择“导出模板”菜单项。 2. 打开下载好的模板,添加待过滤的源MAC地址并在本地保存。 3. 单击<导入>按钮,弹出导入源MAC地址对话框。 4. 单击<上传文件>按钮,弹出选择要加载的文件对话框,选中已编辑好的模板 5. 单击<确定>按钮,完成对白名单批量添加MAC地址的操作。 |
|
|
从ARP表项导入MAC地址: 1. 单击<从ARP表项导入>按钮,弹出导入ARP MAC表对话框。 2. 勾选需要导入的MAC地址后单击<导入>按钮,弹出确认提示对话框。 3. 单击<确定>按钮,完成操作。 |
|
|
导出当前添加到白名单中的所有MAC地址:、 1. 勾选所有表项 2. 单击<导出>按钮,选择“导出选定过滤模式的所有数据”菜单项 |
|
|
删除已添加到白名单中的MAC地址: 1. 单击需要删除的MAC地址前方单选框 2. 单击<删除>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置。 |
|
|
修改已添加到白名单中的MaC地址: 1. 勾选需要修改的MAC地址对应操作列的编辑图标,弹出编辑源MAC地址对话框,修改相关配置项 2. 单击<确定>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表12-5 页面参数描述
|
页面参数 |
描述 |
|
序号 |
MAC黑白名单管理策略的编号 |
|
类别 |
MAC地址过滤策略的类别,主要分为: · 白名单:仅允许在白名单内的源MAC地址访问外网,其余禁止访问 · 黑名单:仅禁止在黑名单内的源MAC地址访问外网,其余允许访问 |
|
MAC地址 |
策略需要控制的MAC地址。此处不支持全0或全F的MAC地址 |
|
描述 |
策略的描述信息,可对策略进行简单的描述,方便使用 |
|
操作 |
可对添加的策略进行编辑和删除操作 |
页面向导:网络安全→MAC地址过滤→MAC黑白名单管理→黑名单
黑名单页面相关功能配置步骤和页面参数和白名单类似,可参考黑名单进行配置,此处不做描述。
ARP协议本身存在缺陷,攻击者可以轻易地利用ARP协议的缺陷对其进行攻击。ARP攻击防御技术提供了多种ARP攻击防御技术对局域网中的ARP攻击和ARP病毒进行防范、检测和解决。
ARP安全功能包括:
· ARP学习管理:本功能支持开启和关闭接口的动态ARP表项学习功能,当执行关闭接口的动态ARP表项学习功能后,该接口无法再学习新的动态ARP表项,提高了安全性。当设备的某个接口已经学到了该接口下所有合法用户的ARP表项时,建议关闭动态ARP表项学习功能。
· 动态ARP管理:包括动态ARP表项管理功能和ARP扫描、固化功能。ARP扫描、固化功能即对局域网内的用户进行自动扫描,并将生成的动态ARP表项固化为静态ARP表项。建议环境稳定的小型网络(如网吧)中配置本功能。先配置ARP扫描、固化功能,再关闭动态ARP表项学习功能,可以防止设备学习到错误的ARP表项。
· 静态ARP管理:包括静态ARP表项管理、刷新、添加和导入导出功能。其中,刷新功能是指刷新静态ARP表项列表;添加功能是指手动新增静态ARP表项;导入功能是指从文件中批量获取静态ARP表项;导出功能是指将现有的静态ARP表项导出到本地文件中。
· ARP防护:包括ARP报文合法性检查和免费ARP功能。ARP报文合法性检查是通过设置规则验证ARP报文的合法性。免费ARP报文是一种特殊的ARP报文,该报文中携带的发送端IP地址和目标IP地址都是本机IP地址,报文源MAC地址是本机MAC地址,报文的目的MAC地址是广播地址。设备通过对外发送免费ARP报文来实现以下功能:
- 确定其它设备的IP地址是否与本机的IP地址冲突。当其它设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址相同,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。
- 设备改变了硬件地址,通过发送免费ARP报文通知其它设备更新ARP表项。
· ARP检测:探测到指定接口下所有在线设备,同时还能检查这些设备的信息是否和已存在ARP表项冲突。根据搜索结果,可以进行ARP绑定操作。
页面向导:网络安全→ARP安全→ARP学习管理
|
在指定接口的“ARP学习管理”列,设置是否允许接口学习动态ARP表项
|
|
页面中各参数的含义如下表所示。
表12-6 页面参数描述
|
页面参数 |
描述 |
|
端口 |
接口,例如WAN1、VLAN1。 |
|
端口类型 |
设备的接口类型,主要分为WAN和LAN口。 |
|
ARP学习管理 |
动态ARP表项的学习功能,主要分为: · 开启:允许该接口学习动态ARP表项。 · 关闭:不允许该接口学习动态ARP表项。 当设备的某个接口已经学到了该接口下所有合法用户的ARP表项时,建议关闭动态ARP表项学习功能。当DHCP分配IP地址时会临时生成动态ARP表项,该表项会在动态ARP管理页面中显示,不受接口的ARP学习管理开关控制。 |
页面向导:网络安全→ARP安全→动态ARP管理
|
本页面为您提供如下主要功能: · 显示指定接口的动态ARP信息 · 删除指定的动态ARP · 扫描指定接口、指定IP地址范围内的动态ARP · 固化动态ARP |
|
|
删除指定的动态ARP: 1. 勾选动态ARP列表中的指定选项,单击<删除>按钮,弹出确认提示对话框 2. 单击<确定>按钮,完成配置 |
|
|
扫描指定接口、指定IP地址范围内的动态ARP: 1. 单击<扫描>按钮,弹出扫描对话框,选择指定接口,输入指定的IP地址范围 2. 单击<确定>按钮,完成配置 |
|
|
固化指定的动态ARP: 1. 勾选动态ARP列表中的指定选项 2. 单击<固化>按钮,完成配置
|
|
页面中各参数的含义如下表所示。
表12-7 页面参数描述
|
页面参数 |
描述 |
|
IP地址 |
该动态ARP信息中的IP地址 |
|
MAC地址 |
该动态ARP信息中的MAC地址 |
|
类型 |
该动态ARP信息的所属类型,主要分为: · 未绑定:表示该条表项为动态学习到的ARP表项 · 动态绑定:表示该条表项为对DHCP分配的地址进行ARP保护时自动进行了绑定 |
|
VLAN |
该动态ARP信息的所属VLAN |
|
接口 |
该动态ARP信息的所属接口 |
|
操作 |
可对此动态ARP信息进行编辑操作 |
页面向导:网络安全→ARP安全→静态ARP管理
|
本页面为您提供如下主要功能: · 显示静态ARP信息 · 添加静态ARP表项 · 删除静态ARP表项 · 导入静态ARP表项 · 导出静态ARP表项 · 修改ARP表项 |
|
|
添加静态ARP表项: 1. 单击<添加>按钮,弹出添加ARP表项对话框,输入IP地址和MAC地址 2. 单击<确定>按钮,完成配置 |
|
|
删除静态ARP表项: 1. 勾选需要删除的静态ARP表项,单击<删除>按钮,弹出确认提示对话框 2. 单击<确定>按钮,完成配置 |
|
|
导入静态ARP表项: 1. 单击<导入>按钮,弹出导入ARP表项对话框,单击<上传文件>按钮,上传ARP表项 2. 单击<确定>按钮,完成配置
|
|
|
修改ARP表项: 1. 单击需要修改的ARP表项对应操作列的编辑图标,弹出修改ARP表项对话框,输入需要修改的配置项 2. 单击<确定>按钮,完成配置
|
|
页面中各参数的含义如下表所示。
表12-8 页面参数描述
|
关键项 |
描述 |
|
IP地址 |
该静态ARP信息中的IP地址 |
|
MAC地址 |
该静态ARP信息中的MAC地址。此处不支持全0或全F的MAC地址 |
|
类型 |
该静态ARP信息的所属类型,取值为静态,表示将设备的IP地址与MAC地址进行绑定,形成静态ARP表项 |
|
描述 |
ARP表项的描述信息,可对表项进行简单的描述,方便使用 |
|
操作 |
可对此静态ARP信息进行编辑或者删除操作 |
· 发送免费ARP可以防止LAN或WAN侧的主机受到ARP攻击和欺骗。设置免费ARP发送时间间隔越小,主机防止ARP攻击能力越强,但是占用网络资源越大,请合理设置免费ARP报文发送时间间隔。
· 由于有些设备(如交换机)可能会对ARP报文进行限制,过多的ARP报文可能会被判定为攻击,请确定是否开启主动发送免费ARP的功能,并进行合理的参数设置。
· 路由器支持定时发送免费ARP功能,这样可以及时通知其它设备更新ARP表项或者MAC地址表项,以防止仿冒网关的ARP攻击、防止主机ARP表项老化等。
页面向导:网络安全→ARP安全→ARP防护
|
1. 设置ARP报文合法性检查和免费ARP 单击<应用>按钮,完配置 |
|
页面中各参数的含义如下表所示。
表12-9 页面参数描述
|
页面参数 |
描述 |
|
ARP报文合法性检查 |
通过设置规则验证ARP报文的合法性,主要分为: · 丢弃发送端MAC地址不合法的ARP报文(LAN口默认丢弃不合法的ARP报文):当设备接收的ARP报文中的源MAC地址为全零、组播、广播MAC地址时,则不学习该ARP报文,直接将该报文丢弃。 · 丢弃报文头中源MAC地址和报文中发送端MAC地址不一致的ARP报文:当设备接收的ARP报文中的源MAC地址与该报文的二层源MAC地址不一致时,则不学习该ARP报文,直接将该报文丢弃。 · ARP报文学习抑制:当设备发出一个ARP请求报文,收到了多个不同的ARP响应报文时,设备仅学习最先收到的ARP响应报文。 |
|
免费ARP |
一种特殊的ARP报文,该报文中携带的发送端IP地址和目标IP地址都是本机IP地址,报文源MAC地址是本机MAC地址,报文的目的MAC地址是广播地址。主要分为: · 检测到ARP欺骗时,发送免费ARP报文:当设备检测到ARP欺骗时(比如源IP地址为设备接口IP地址但源MAC地址不是设备接口MAC地址的ARP报文),则会主动发送免费ARP报文。 · LAN内主动发送免费ARP报文:并在“发送间隔”配置项处,输入免费ARP报文的发送间隔。 · WAN口主动发送免费ARP报文:并在“发送间隔”配置项处,输入免费ARP报文的发送间隔。当WAN口处于固定地址/DHCP连接模式上网时,主动发送免费ARP报文;处于PPPoE连接模式上网时,不支持发送免费ARP报文。 |
页面向导:网络安全→ARP安全→ARP检测
|
1. 选择指定接口,输入指定IP地址范围 2. 单击<扫描>按钮,进行ARP检测 |
|
页面中各参数的含义如下表所示。
表12-10 页面参数描述
|
页面参数 |
描述 |
|
扫描接口 |
设备进行ARP检测的接口 |
|
扫描地址范围 |
进行ARP检测的起始IP地址和结束IP地址。 设置完成,需点击“扫描”按钮,进行ARP检测 |
|
序号 |
检测到的ARP表项的编号 |
|
IP地址 |
该ARP信息中的IP地址 |
|
MAC地址 |
该ARP信息中的MAC地址 |
|
接口 |
该ARP信息的所属接口 |
|
状态 |
ARP检测结果状态,主要分为: · 静态表项:该条表项为黑色条目,表示手动配置的或自动绑定的ARP表项 · 动态表项:该条表项为蓝色条目,表示动态学习到的并且没有被自动绑定的ARP表项 · 错误表项:该条表项为红色条目,表示存在ARP冲突表项 |
DDoS攻击是一类广泛存在于互联网中的攻击,能造成比传统DoS攻击(拒绝服务攻击)更大的危害,能让设备对来自外网和内网的常见攻击类型进行防护,丢弃攻击报文。同时,设备可以对相应的攻击事件以日志形式记录下来。
· 攻击防御:本功能能够让设备和网络免受如下DDOS攻击的困扰:
- 单包攻击:攻击者利用畸形报文发起攻击,旨在瘫痪目标系统。例如Land攻击报文是源IP和目的IP均为攻击目标IP的TCP报文,此攻击将耗尽目标服务器的连接资源,使其无法处理正常业务。
- 异常流攻击:攻击者向目标系统发送大量伪造请求,导致目标系统疲于应对无用信息,从而无法为合法用户提供正常服务。
- 扫描攻击:攻击者对主机地址和端口进行扫描,探测目标网络拓扑以及开放的服务端口,为进一步侵入目标系统做准备。
· 攻击防御统计:本功能可以分别显示单包攻击防御和异常流量攻击防御的统计信息,可以导出Excel保存。
· 报文源认证:本功能是指设备对收到的内网报文的源IP/MAC进行认证,确认对端是否是一个合法的主机,以防止内网中可能存在的非法报文攻击,避免这些非法报文对设备资源和网络资源的消耗,提高整体网络的稳定性。
· 异常流量防护:本功能是指对内网异常大流量的主机进行控制,以防止该异常主机过度占用带宽和消耗系统性能。其中有三种防护等级,您可以根据你的实际网络状况选择较合适的级别进行防护。为了防止非法伪装报文流量被统计到合法主机流量中,建议尽量开启报文源认证页面的相关认证功能。
页面向导:网络安全→DDOS攻击防御→攻击防御
|
本页面提供如下主要功能: · 显示已添加的DDOS攻击防御策略 · 开启或关闭DDOS攻击防御 · 添加DDOS攻击防御策略 · 删除DDOS攻击防御策略 · 编辑已添加的DDOS攻击防御策略 |
|
|
添加DDOS攻击防御策略: 1. 单击<添加>按钮,弹出新建攻击防御对话框,选择应用接口和攻击防御类型 2. 单击<确定>按钮,完成配置 |
|
|
删除DDOS攻击防御策略: 1. 勾选需要删除的攻击防御策略后单击<删除>按钮,弹出确认提示对话框 2. 单击<确定>按钮,完成配置 |
|
|
编辑已添加的DDOS攻击防御策略: 1. 单需要编辑的攻击防御对应操作列的编辑图标,弹出编辑攻击防御对话框,修改相关配置 2. 单击<确定>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表12-11 页面参数描述
|
页面参数 |
描述 |
|
DDoS攻击防御 |
是否开启该功能,若开启该功能,设备将对来自外网和内网的常见DDoS攻击进行防御,丢弃攻击报文,并以日志形式记录相应的攻击事件 |
|
应用接口 |
攻击报文的来源接口,即规则对从某一接口收到的数据包进行DDoS攻击防御 |
|
攻击防御 |
设备进行DDoS攻击防御的类型,主要分为: · 单包攻击防御:防御攻击者利用畸形报文发起攻击,导致瘫痪目标系统。主要包括: ¡ Fraggle攻击防御:启用该项后,设备可以有效防止Fraggle攻击。该攻击表现为攻击者向子网广播地址发送源地址为受害网络或者受害主机的UDP报文。子网内的每一个主机都会向受害网络或者主机发送响应报文,从而导致网络阻塞或者主机崩溃 ¡ Land攻击防御:启用该项后,设备可以有效防止Land攻击。该攻击表现为攻击者向目标发送带有SYN标志的TCP报文,并且这些报文的源地址和目的地址都设为被攻击目标的IP地址,当被攻击目标机收到这样的报文后,开始重复的进行内部应答风暴,消耗大量的CPU资源 ¡ WinNuke攻击防御:启用该项后,设备可以有效防止WinNuke攻击。该攻击表现为攻击者利用NetBIOS协议中OOB(Out of Band)漏洞对目标进行攻击,可造成部分主机死机或蓝屏 ¡ TCP flag攻击防御:启用该项后,设备可以有效防止TCP flag攻击。该攻击表现为攻击者发送带有非常规TCP标志的报文探测目标主机的操作系统类型,若操作系统对这类报文处理不当,攻击者便可达到使目标主机系统崩溃的目的 ¡ ICMP不可达报文攻击防御:启用该项后,设备可以有效防止ICMP不可达报文攻击。该攻击表现为攻击者向目标发送ICMP不可达报文,达到切断目标主机网络连接的目的 ¡ ICMP重定向报文攻击防御:启用该项后,设备可以有效防止ICMP重定向报文攻击。该攻击表现为攻击者向目标发送ICMP重定向报文,更改目标的路由表,干扰目标正常的IP报文转发 ¡ Smurf攻击防御:启用该项后,设备可以有效防止Smurf攻击。该攻击与Fraggle攻击类似,表现为攻击者向一个网段广播一个ICMP回显请求(ICMP ECHO REQUEST)报文,而源地址为被攻击主机,当网段中的所有主机收到回显请求后,都会向被攻击主机响应ICMP ECHO REPLY报文,造成攻击目标网络阻塞或者系统崩溃 ¡ 带源路由选项的IP攻击防御:启用该项后,设备可以有效防止带源路由选项的IP攻击。该攻击表现为攻击者向目标发送带源路由选项的IP报文,达到探测网络结构的目的 ¡ 带路由记录选项的IP攻击防御:启用该项后,设备可以有效防止带路由记录选项的IP攻击。该攻击表现为攻击者向目标发送带路由记录选项的IP报文,达到探测网络结构的目的 ¡ 超大ICMP攻击防御:启用该项后,设备可以有效防止超大ICMP攻击。该攻击表现为攻击者向目标发送超大ICMP报文,使目标主机崩溃 ¡ 防止IP Spoofing:启用该项后,设备可以有效防止IP Spoofing攻击。该攻击表现为攻击者使用相同的IP地址假冒网络上的合法主机,并访问关键信息。通常会伪装成LAN内的IP地址 ¡ 防止TearDrop:启用该项后,设备可以有效防止TearDrop攻击。缺省启用该项,无法取消。该攻击表现为攻击者向目标发送相互重叠的分片报文,目标主机处理这种分片时可能导致系统崩溃 ¡ 防止碎片包:启用该项后,设备可以有效防止碎片包攻击。缺省启用该项,无法取消。该攻击表现为攻击者向目标主机发送部分分片报文,而不发送所有的分片报文,这样目标主机会一直等待,直到计时器超时。如果攻击者发送了大量的分片报文,就会耗尽目标主机的资源,导致其不能响应正常的IP报文 · 异常流攻击防御:防御攻击者向目标系统发送大量伪造请求,导致目标系统疲于应对无用信息,从而无法为合法用户提供正常服务。主要包括: ¡ SYN Flood攻击防御:勾选该选项,并设置启用防止SYN Flood攻击的阈值。当流量速率超过该阈值,设备将启用SYN Flood攻击防御。该攻击表现为攻击者向目标发送大量的SYN报文,消耗目标的连接资源,使目标系统无法再接受新连接 ¡ UDP Flood攻击防御:勾选该选项,并设置启用防止UDP Flood攻击的阈值。当流量速率超过该阈值,设备将启用UDP Flood攻击防御。该攻击表现为攻击者向目标发送大量的UDP报文,导致目标主机忙于处理这些UDP报文而无法继续处理正常的报文 ¡ ICMP Flood攻击防御:勾选该选项,并设置启用防止ICMP Flood攻击的阈值。当流量速率超过该阈值,设备将启用ICMP Flood攻击防御。该攻击表现为攻击者向目标发送大量的ICMP报文,导致目标主机忙于处理这些ICMP报文而无法继续处理正常的报文 · 扫描攻击防御:防御攻击者对主机地址和端口进行扫描,探测目标网络拓扑以及开放的服务端口,为进一步侵入目标系统做准备。主要包括: ¡ WAN口ping扫描:启用该项后,设备不回应来自Internet的Ping请求,可以防止Internet上恶意的Ping探测 ¡ UDP扫描:启用该项后,设备可以有效防止UDP扫描攻击。该攻击表现为攻击者向目标端口发送UDP报文,探测端口的开放情况 ¡ TCP SYN扫描:启用该项后,设备可以有效防止TCP SYN扫描攻击。该攻击表现为攻击者像建立正常的TCP连接一样向目标端口发送SYN报文, 然后等待目标主机的回应,借此探测端口的开放情况 ¡ TCP NULL扫描:启用该项后,设备可以有效防止TCP NULL扫描。该攻击表现为攻击者向目标端口发送所有标志都不置位的TCP报文, 然后等待目标主机的回应,借此探测端口的开放情况 ¡ TCP Stealth FIN扫描:启用该项后,设备可以有效防止TCP Stealth FIN扫描。该攻击表现为攻击者向目标端口发送只有FIN标志置位的TCP报文, 然后等待目标主机的回应,借此探测端口的开放情况 ¡ TCP Xmas Tree扫描:启用该项后,设备可以有效防止TCP Xmas Tree扫描。该攻击表现为攻击者向目标端口发送FIN、URG和PUSH标志置位的TCP报文, 然后等待目标主机的回应,借此探测端口的开放情况 |
页面向导:网络安全→DDOS攻击防御→攻击防御统计
|
查看“单包攻击防御”和“异常攻击防御”的详细信息,并支持将这些信息以Excel形式导出。 |
|
页面中各参数的含义如下表所示。
表12-12 页面参数描述
|
页面参数 |
描述 |
|
序号 |
设备遭受攻击的编号 |
|
攻击类型 |
设备遭受攻击的类型。包括单包攻击防御和异常流量攻击防御中的具体攻击类型 |
|
总次数 |
设备遭受此类攻击的总次数。查看单包攻击防御统计时,显示该参数 |
|
最后发生时间 |
设备最后遭受此类攻击的具体时间 |
|
被攻击接口/被攻击安全域 |
设备被攻击的接口或安全区域 |
|
发生的用户IP |
发动攻击的用户IP地址 |
|
详情 |
该攻击的详细信息,包括:序号、攻击类型、源地址、目的地址、防御动作、日期和时间 |
页面向导:网络安全→DDOS攻击防御→报文源认证
|
1. 选择报文源认证方式 2. 单击<应用>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表12-13 页面参数描述
|
页面参数 |
描述 |
|
报文源认证 |
设备对收到的内网报文的源IP/MAC进行认证,确认对端是否是一个合法的主机,以防止内网中可能存在的非法报文攻击,避免这些非法报文对设备资源和网络资源的消耗,提高整体网络的稳定性。主要分为: · 启用基于静态路由的报文源认证功能:应用该项后,设备允许源IP与LAN接口同一网段或通过出接口为LAN口的静态路由表反向可达的内网路由器过来的流量通过,其它内网数据包将被设备丢弃 · 启用基于ARP绑定、DHCP攻击防护报文源认证功能:应用该项后,设备将根据ARP绑定表中的静态绑定关系以及DHCP分配列表中的对应关系,来认证内网过来的数据包。如果数据包的源IP/MAC与ARP绑定表中的IP/MAC对应关系存在冲突,则该数据包将被设备丢弃 · 启用基于动态ARP的报文源认证功能:应用该项后,设备将会对内网数据包的源IP/MAC进行智能认证,确认对端是否为合法主机,如果数据包的源IP/MAC与已确认的合法主机的IP/MAC冲突,则该数据包将被设备丢弃。如果网络中存在相同MAC对应不同IP的应用,请将对应的IP/MAC进行静态ARP绑定,否则可能影响正常业务访问 |
页面向导:网络安全→DDOS攻击防御→异常流量防护
|
配置异常流量防护。 |
|
页面中各参数的含义如下表所示。
表12-14 页面参数描述
|
页面参数 |
描述 |
|
异常流量防护 |
对内网主机发来的异常大流量进行控制,以防止其过度占用设备带宽,消耗设备处理性能。防护等级主要分为: · 高:防护等级最高。高防护等级下,设备会进行异常主机流量检测,并且自动把检测到的攻击主机添加到黑名单中,在指定的生效时间范围内,禁止其访问本设备和Internet,以尽量减少该异常主机对网络造成的影响 · 中:防护等级居中。中防护等级下,设备会把单个内网主机的上行流量限制在异常流量阈值范围内,超过阈值的流量将被设备丢弃 · 低:防护等级低。低防护等级下,设备仅记录异常流量日志,仍然允许相应主机访问设备和Internet |
|
异常流量阈值 |
异常流量的最大值,超过设定的阈值,设备将会对此异常流量做出控制 |
黑名单管理功能用于查看和解除已添加的黑名单用户。
|
查看加入到黑名单用户信息,并支持将其从黑名单中解除。 |
|
页面中各参数的含义如下表所示。
表12-15 页面参数描述
|
关键项 |
描述 |
|
黑名单用户 |
黑名单用户的IP地址 |
|
MAC地址 |
黑名单用户的MAC地址 |
|
类型 |
黑名单用户的类型,主要分为: 静态黑名单:在设备Web导航栏“系统监控 > 流量排行”页面中终端对应操作列的拉黑按钮手工拉黑的用户,类型为“静态黑名单” 动态黑名单:在设备Web导航栏“网络安全 > DDOS攻击防御”页面中启用异常主机流量防护功能,并设置“防护等级”为“高”,当设备接收到的异常流量超过设定的阈值时就会将异常的主机添加到黑名单管理,类型为“动态黑名单” |
|
动作 |
对此黑名单用户的处理操作,若此黑名单用户为正常访问用户,可将此黑名单解除 |
终端接入控制功能可以同时对数据报文中的源MAC地址和源IP地址进行匹配,只有源MAC地址和源IP地址同时匹配的设备,才允许访问外网。
|
配置终端接入控制 |
|
页面中各参数的含义如下表所示。
表12-16 页面参数描述
|
关键项 |
描述 |
|
仅允许DHCP服务器分配的客户端访问外网 |
若开启此功能,用户可以指定仅允许DHCP服务器分配的客户端访问外网,使用此功能后不在DHCP Server分配的客户列表中的客户端将无法访问外网 设置完成,需单击<应用>按钮,使配置生效 |
|
仅允许ARP静态绑定的用户访问外网 |
若开启此功能,用户可以指定仅允许ARP静态绑定规则表中的客户端访问外网,使用此功能后不在ARP静态绑定规则表中的客户端将无法访问外网 设置完成,需单击<应用>按钮,使配置生效 |
|
IP地址 |
策略控制的IP地址 |
|
MAC地址 |
策略控制的MAC地址 |
|
终端类型 |
用户接入网络的控制方式,主要分为: · DHCP动态分配:表示允许DHCP服务器动态分配的客户端访问外网 · DHCP静态分配:表示允许DHCP服务器静态分配的客户端访问外网 · ARP静态绑定:表示允许ARP静态绑定规则表中的客户端访问外网 |
Portal是互联网接入的一种认证方式,通过对用户进行身份认证,以达到对用户访问进行控制的目的。本设备的Portal认证方式为云端认证方式,采用云端服务器来同时承担Portal认证服务器和Portal Web服务器的职责。
您可以为不需要通过Portal认证即可访问网络资源的用户设置免认证规则,免认证规则的匹配项包括MAC地址、IP地址。
开启云认证之前,需要先完成云管理平台(H3C云平台)上的认证模板的配置,并开启云服务。
有关云服务的配置,请在“系统工具>远程管理”中的“云服务”页签中配置。
页面向导:认证管理→Portal认证
|
开启接口的云认证功能 |
|
页面中各参数的含义如下表所示。
表13-1 页面参数描述
|
页面参数 |
描述 |
|
接口名称 |
设备的VLAN接口 |
|
IP地址 |
VLAN接口的IP地址 |
|
子网掩码 |
该IP地址的子网掩码 |
|
云认证功能 |
是否开启云认证功能,若开启该功能,本设备的Portal认证方式为云端认证方式,将采用云端服务器来同时承担Portal认证服务器和Portal Web服务器的职责 |
页面向导:认证管理→Portal认证→免认证MAC地址
|
本页面为您提供如下主要功能: · 显示已添加的免认证MAC地址 · 添加免认证MAC地址 · 删除免认证MAC地址 · 编辑已添加的MAC地址 |
|
|
添加免认证MAC地址: 1. 单击<添加>按钮,弹出添加免认证MAC地址对话框,输入MAC地址 2. 单击<确定>按钮,完成配置 |
|
|
删除免认证MAC地址: 1. 勾选需要删除的免认证MAC地址,单击<删除>按钮,弹出确认提示按钮 2. 单击<确定>按钮,完成配置 |
|
|
编辑已添加的MAC地址: 1. 单击需要编辑的免认证MAC地址对应操作列的编辑图标,弹出修改免认证MAC地址对话框 2. 单击<确定>按钮,完成配置
|
|
页面中各参数的含义如下表所示。
表13-2 页面参数描述
|
页面参数 |
描述 |
|
MAC地址 |
规则需要控制的MAC地址,即该MAC地址不需要通过Portal认证即可访问网络资源。此处不支持全0或全F的MAC地址 |
|
描述 |
规则的描述信息,可对规则进行简单的描述,方便使用 |
|
操作 |
可对该配置进行编辑或者删除操作 |
在添加免认证IP地址时,免认证源IP地址分组或免认证目的地址分组不能为空。当系统不存在地址分组时,需要先新增地址组。
在添加免认证IP地址时,免认证源IP地址分组或免认证目的地址分组不能为空。当系统不存在地址分组时,需要先新增地址组。
页面向导:认证管理→Portal认证→免认证IP地址
|
本页面为您提供如下主要功能: · 显示已添加的免认证IP地址 · 添加免认证IP地址 · 删除免认证IP地址 · 编辑已添加的IP地址 |
|
|
添加免认证IP地址: 1. 单击<添加>按钮,配置相关参数 2. 单击<确定>按钮,完成配置 |
|
|
删除免认证IP地址: 1. 勾选需要删除的免认证IP地址,单击<删除>按钮,弹出确认提示按钮 2. 单击<确定>按钮,完成配置 |
|
|
编辑已添加的IP地址: 1. 单击需要编辑的免认证IP地址对应操作列的编辑图标,弹出修改免认证IP地址对话框 2. 单击<确定>按钮,完成配置
|
|
页面中各参数的含义如下表所示。
表13-3 页面参数描述
|
页面参数 |
描述 |
|
地址添加方式 |
免认证IP地址的添加方式。主要分为: · 源IP地址组:规则需要控制的源IP地址范围。配置该参数时,需在“免认证源地址分组”配置项处,选择已创建的地址分组。如需新增地址分组,可通过点击右侧<新增地址组>按钮创建新的地址组 · 目的IP地址组:规则需要控制的目的IP地址范围。配置该参数时,需在“免认证目的地址分组”配置项处,选择已创建的地址分组。如需新增地址分组,可通过点击右侧<新增地址组>按钮创建新的地址组 · 域名:规则需要控制的域名。配置该参数时,需要在“域名”配置项处,输入免认证的域名 |
|
免认证IP地址组 |
规则需要控制的IP地址组 |
|
地址类型 |
免认证IP地址的添加方式。包括源IP地址组、目的IP地址组、域名三种 |
|
描述 |
规则的描述信息,可对规则进行简单的描述,方便使用 |
|
操作 |
可对该配置进行编辑或者删除操作 |
IPsec VPN是利用IPsec技术建立的虚拟专用网。IPsec通过在特定通信方之间建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。
IPsec协议为IP层上的网络数据安全提供了一整套安全体系结构,包括安全协议AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安全载荷)、IKE(Internet Key Exchange,互联网密钥交换)以及用于网络认证及加密的一些算法等。其中,AH协议和ESP协议用于提供安全服务,IKE协议用于密钥交换。
设备支持两种IPsec VPN组网方式:
· “中心—分支”方式组网:企业分支机构网关将主动与总部网关建立IPsec隧道,分支机构内部终端可以安全访问总部的网络资源。
· “分支—分支”方式组网:企业各分支网关之间均可主动建立IPsec隧道,来保护分支之间的数据通信。
页面向导:虚拟专网(VPN)→IPsec VPN→IPsec策略
|
本页面为您提供如下主要功能: · 显示已添加的IPsec策略信息 · 添加IPsec策略(包括IPsec基本配置、IKE配置和IPsec配置) · 删除IPsec策略 · 编辑已添加的IPsec策略 |
|
· 当设备作为中心节点,一个接口下只能配置一条中心节点策略。在添加IPsec中心节点策略选择接口时,需选择未创建过中心节点策略的接口。
· 在添加保护流措施时,不建议同时配置多个相同IP地址不同掩码的保护流,例如不建议同时配置192.168.1.1/24和192.168.1.1/16的保护流。
|
1. 单击<添加>按钮,弹出添加IPsec策略对话框,配置相关参数 2. 单击<显示高级配置>按钮,完成配置,并进入IKE配置页面。 |
|
页面中各参数的含义如下表所示。
表14-1 页面参数描述
|
页面参数 |
描述 |
|
接口 |
报文的来源接口,即规则对从某一接口收到的数据包进行控制。配置该参数时,此接口需要与对端设备路由可达 |
|
组网方式 |
IPsec VPN网络的组建方式,主要分为: · 分支节点:设备作为分支节点,与中心节点建立IPsec隧道。配置该参数时,需设置IPsec隧道对端的IP地址或域名。通常为总部网关或对端分支机构网关的WAN口地址 · 中心节点:设备作为中心节点,与分支节点建立IPsec隧道 |
|
认证方式 |
IPsec隧道的认证方式。此参数目前仅支持预共享密钥 |
|
预共享密钥 |
IPsec隧道的认证密码。配置该参数时,需输入与对端设备相同的预共享密钥,该密钥需要提前进行协商和通告 |
|
序号 |
受保护流量的编号 |
|
受保护协议 |
受IPsec隧道保护的报文的协议类型。主要分为: · 若需控制某网络层协议的报文,则选择“IP”、“IGMP”、“GRE”“IPINIP”或者“OSPF” · 若需控制某传输层协议的报文,则选择“TCP”或“UDP” · 若需控制Ping、Tracert等ICMP协议报文,则选择“ICMP” |
|
本端受保护网段/掩码 |
本端受保护网段。例如1.1.1.1/24 |
|
本端受保护端口 |
本端受保护端口。当受保护协议选择为TCP或UDP时。需配置此参数 |
|
对端受保护网段/掩码 |
对端节点受保护网段。例如2.2.2.2/24 |
|
对端受保护端口 |
对端节点受保护端口。当受保护协议选择为TCP或UDP时。需配置此参数 |
|
1. 配置IKE相关参数 2. 单击IPsec页签,进入IPSec配置页面 |
|
页面中各参数的含义如下表所示。
表14-2 页面参数描述
|
页面参数 |
描述 |
|
IKE版本 |
Internet密钥交换协议的版本,主要分为: · 若对端节点使用的IKE版本为V1,则本端选择“V1” · 若对端节点使用的IKE版本为V2,则本端选择“V2” |
|
协商模式: |
对等体的协商模式。主要分为: · 主模式:协商步骤多,身份验证位于密钥交互过程之后进行,适用于对身份保护要求较高的场合 · 野蛮模式:协商步骤少,身份验证与密钥交互同时进行,适用于对身份保护要求不高的场合 当IKE版本为V1时,可配置此参数。若设备公网IP地址是动态分配的,建议选择IKE协商模式为野蛮模式 |
|
本端身份类型 |
IKE认证的本端设备身份类型和身份标识。主要分为: · 若对端节点IKE身份类型为IP地址,则本端选择“IP地址”,IKE协商模式若设置为主模式,需要将本端设备身份类型配置为IP地址。缺省使用设备出接口IP地址 · 若对端节点IKE身份类型为FQDN,则本端选择“FQDN”,即为标识本端身份的FQDN名称 · 若对端节点IKE身份类型为User-FQDN,则本端选择“User-FQDN”,即为标识本端身份的User FQDN名称 |
|
对端身份类型 |
IKE认证的对端设备身份类型和身份标识。主要分为: · 若对端节点IKE身份类型为IP地址,则本端选择“IP地址”,IKE协商模式若设置为主模式,需要将本端设备身份类型配置为IP地址。一般使用设备出接口IP地址 · 若对端节点IKE身份类型为FQDN,则本端选择“FQDN”,即为标识本端身份的FQDN名称 · 若对端节点IKE身份类型为User-FQDN,则本端选择“User-FQDN”,即为标识本端身份的User FQDN名称 |
|
对等体存活检测(DPD) |
是否开启对等体存活检测(DPD)功能,若开启该功能,设备将检测隧道对端是否存活,拆除对端失活的IPsec隧道。配置该参数时,需配置: · 探测时间:每隔一个探测时间,设备将进行一次存活检测。取值为1~60,单位为秒 · 超时时间:超过该时间阈值,设备检测不到对端,则认定对端失活。取值为2~300,单位为秒 |
|
算法组合(IKE) |
IKE协议交互所需的加密和认证算法,设置方式有两种: · 推荐:设备推荐的算法组合。-IPsec隧道的两端所配置的推荐算法组合需保持一致 · 自定义:用户自定义的IKE的算法,选项包括: ¡ 认证算法:IKE的认证算法。IPsec隧道的两端所配置的认证算法需保持一致 ¡ 加密方式:IKE的加密算法。IPsec隧道的两端所配置的加密算法需保持一致 ¡ PFS:指一个密钥被破解,并不影响其他密钥的安全特性。IPsec隧道的两端所配置的PFS算法需保持一致 |
|
SA生存时间 |
IKE重新协商的时间间隔,即超过该时间间隔将触发IKE相关参数的重新协商。建议SA生存时间设置不低于600秒 |
|
配置IPsec相关参数。 |
|
页面中各参数的含义如下表所示。
表14-3 页面参数描述
|
页面参数 |
描述 |
|
算法组合(IPSEC配置) |
IPsec隧道的加密和认证算法,设置方式有两种: · 推荐:设备推荐的算法组合。-IPsec隧道的两端所配置的推荐算法组合需保持一致 · 自定义:用户自定义的IKE的算法,主要分为: ¡ 安全协议:对IP报文的完整性进行验证,以判别报文在传输过程中是否被篡改。IPsec隧道的两端所配置的安全协议需保持一致 ¡ ESP认证算法:ESP的认证算法。IPsec隧道的两端所配置的ESP认证算法需保持一致 ¡ ESP加密算法:ESP的加密算法。IPsec隧道的两端所配置的ESP加密算法需保持一致 |
|
封装模式 |
IPsec隧道的封装模式,主要分为: · 传输模式:适用于主机与主机之间建立隧道 · 隧道模式:适用于网关和网关之间 建立隧道 若IPsec本端受保护网段与对端受保护网段均为私网网段,建议选择封装模式为隧道模式。IPsec隧道的两端所配置的封装模式必须一致 |
|
PFS |
IPsec隧道的PFS算法。如果本端配置了PFS特性,则发起协商的对端也必须配置PFS特性,而且本端和对端指定的DH组必须一致,否则协商会失败 |
|
基于时间的SA生存时间 |
触发IPsec重新协商的时间间隔,即超过所配时间将触发IPsec相关参数的重新协商 |
|
基于流量的生存时间 |
触发IPsec重新协商的流量大小,即超过所配流量将触发IPsec相关参数的重新协商 |
|
触发模式 |
触发IPsec重新协商的模式,主要分为: · 流量触发:IKE隧道配置下发后,不会自动建立隧道,会等待兴趣流来触发隧道建立。 · 自协商模式:IKE隧道配置下发后或隧道异常断开后,会自动触发隧道建立,并且保证隧道长时间建立,不需等待兴趣流触发 |
|
管理状态 |
IPsec策略的使用状态,主要分为: · 开启:启用此策略 · 关闭:禁用此策略 |
|
操作 |
可对该策略进行编辑和删除操作 |
页面向导:虚拟专网(VPN)→IPsec VPN→监控信息
|
显示已添加的IPsec策略信息。 |
|
页面中各参数的含义如下表所示。
表14-4 页面参数描述
|
页面参数 |
描述 |
|
策略名称 |
已建立的IPSEC隧道策略的名称 |
|
状态 |
已建立的IPsec VPN隧道的状态。仅显示建立成功的IPsec VPN隧道,状态为UP |
|
接口 |
报文的来源接口,即规则对从某一接口收到的数据包进行控制 |
|
本端地址 |
本端设备出口地址 |
|
对端地址 |
对端设备出口地址 |
|
安全提议 |
IPsec VPN使用的算法信息 |
|
操作 |
可对该隧道信息进行删除操作 |
本功能主要用于配置L2TP服务器端基本参数,开启L2TP服务。
如果您希望为企业驻外机构和出差人员等远端用户,提供一种安全且经济的方式,让他们能够与企业内部网络通信,访问企业内部网络资源,那么您可以通过配置L2TP服务器端来实现上述需求。
L2TP服务器端是具有PPP和L2TP协议处理能力的设备,通常位于企业内部网络的边缘。
页面向导:虚拟专网(VPN)→L2TP 服务器端→L2TP配置
|
本页面为您提供如下主要功能: · 启用和关闭L2TP服务器端 · 添加L2TP组 · 删除L2TP组 · 编辑已添加的L2TP组 |
|
|
勾选“启用L2TP服务器端”前方单选框,单击<确定>按钮,开启L2TP服务器端 |
|
|
添加L2TP组: 1. 单击<添加>按钮,弹出新建L2TP组页面,配置相关参数 2. 单击<确定>按钮,完成配置 |
|
|
删除L2TP组: 1. 勾选需要删除的L2TP组前方单选框,弹出确认提示对话框 2. 单击<确定>按钮,完成配置 |
|
|
编辑已添加的L2TP组: 1. 单击需要编辑的L2TP组对应操作列的编辑图标,弹出修改L2TP组对话框,修改相关参数。 2. 单击<确定>按钮,完成配置
|
|
页面中各参数的含义如下表所示。
表14-5 页面参数描述
|
页面参数 |
描述 |
|
启用L2TP服务器端 |
是否开启L2TP服务器端功能。若开启该功能,设备将为企业驻外机构和出差人员等远端用户,提供一种安全且经济的方式,让他们能够与企业内部网络通信,访问企业内部网络资源。缺省关闭L2TP服务器端功能 |
|
对端隧道名称 |
L2TP客户端的隧道名称。可根据需要进行选择是否勾该配置项,配置该参数时,则在配置项处输入L2TP客户端的隧道名称。取值为1~31个字符,不支持输入#、英文分号和空格 |
|
本端隧道名称 |
L2TP服务器端的隧道名称。取值为1~31个字符,仅支持英文字母[a-z,A-Z]、数字和下划线 |
|
隧道验证 |
是否开启L2TP隧道验证功能,若开启该功能,则需输入隧道验证密码。该方式更加安全,但需要L2TP服务器端和L2TP客户端都启用隧道验证,且密码一致。隧道验证密码不支持输入#、英文问号、英文分号和空格 |
|
PPP认证方式 |
L2TP用户的认证方式,主要分为: · None:对用户免认证。该方式,安全性最低,请谨慎使用 · PAP:采用两次握手机制对用户进行认证。该方式,安全性中 · CHAP:采用三次握手机制对用户进行认证。该方式,安全性最高 |
|
用户名 |
认证使用的用户名。取值为1~55个字符,不能包含英文问号(?)。当“PPP认证方式”选择PAP或CHAP时,需设置该参数 |
|
密码 |
认证使用的用户名对应的密码。取值为1~63个字符。当“PPP认证方式”选择PAP或CHAP时,需设置该参数 |
|
虚拟模板接口地址 |
虚拟模板接口的IP地址,即L2TP服务器端可为L2TP客户端或用户分配IP地址 |
|
子网掩码 |
虚拟模板接口IP地址的子网掩码,例如255.255.255.0 |
|
DNS1和DNS2 |
分配给L2TP客户端或用户的主备DNS。DNS1与DNS2不能相同 |
|
用户地址池 |
给L2TP客户端分配地址所用的地址池。用户地址池中不能包含已配置的虚拟模板接口地址 |
|
Hello报文间隔 |
L2TP服务端和客户端之间发送Hello报文的时间间隔,Hello报文用于检测LAC和LNS之间隧道的连通性,单位为秒 |
页面向导:虚拟专网(VPN)→L2TP服务器端→隧道信息
|
显示L2TP隧道信息 |
|
页面中各参数的含义如下表所示。
表14-6 页面参数描述
|
页面参数 |
描述 |
|
账号名 |
L2TP客户端的用户名 |
|
本端隧道编号 |
本端已建立隧道的ID号 |
|
对端隧道编号 |
对端已建立隧道的ID号 |
|
对端隧道端口 |
L2TP客户端和服务端建立连接使用的服务端口 |
|
对端隧道IP地址 |
L2TP客户端的IP地址 |
|
会话数目 |
L2TP服务端和客户端之间建立会话的数目 |
|
对端隧道名称 |
L2TP客户端的隧道名称 |
|
操作 |
可对该隧道信息做删除操作 |
页面向导:虚拟专网(VPN)→L2TP服务器端→L2TP用户
|
本页面为您提供如下主要功能: · 显示已添加的L2TP用户信息 · 单个添加L2TP用户 · 批量导入L2TP 用户 · 删除L2TP用户 · 导出L2TP用户 |
|
|
单个添加L2TP用户: 1. 单击<添加>按钮,弹出添加用户对话框,输入相关配置项 2. 单击<确定>按钮,完成操作 |
|
|
批量导入L2TP用户: 1. 单击<导入>按钮,弹出L2TP用户列表对话框 2. 点击<上传文件>按钮,弹出选择要加载的文件对话框,选中已编辑好的模板 3. 单击<确定>按钮,完成配置 |
|
|
导出当前L2TP用户(单击<导出>按钮,系统会自动导出当前L2TP用户列表。) |
|
|
删除L2TP用户组: 1. 勾选需要删除的L2TP用户前方单选框 2. 单击<删除>按钮,弹出确认提示对话框,单击<确定>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表14-7 页面参数描述
|
页面参数 |
描述 |
|
账号名 |
L2TP客户端的用户名。取值为1~55个字符,仅支持英文字母[a-z,A-Z]、数字和下划线 |
|
状态 |
L2TP客户端的状态。主要分为: · 可用:允许L2TP客户端使用该用户建立会话 · 禁用:禁止L2TP客户端使用该用户建立会话 |
|
密码 |
L2TP客户端的账号密码 |
|
最大用户数 |
最多允许多少个L2TP客户端连入企业内部网络 |
|
有效日期 |
L2TP客户端权限的到期日期。主要分为: · 配置:需在日期选择框中选择用户权限的到期日期 · 不配置:用户权限一直有效 |
|
当前连接数量 |
L2TP客户端的在线数量 |
|
描述 |
规则的描述信息,可对规则进行简单的描述,方便使用 |
|
操作 |
可对该配置进行编辑和删除操作 |
本功能主要用于配置L2TP客户端基本参数,开启L2TP服务。
如果您希望为企业驻外机构,提供一种安全且经济的方式,让他们能够与企业内部网络通信,访问企业内部网络资源,那么您可以通过配置L2TP客户端来实现上述需求。
L2TP客户端是具有PPP和L2TP协议处理能力的设备,通常位于企业驻外机构网络的出口。
页面向导:虚拟专网(VPN)→L2TP客户端→L2TP配置
|
本页面为您提供如下主要功能: · 启用和关闭L2TP客户端 · 添加L2TP组 · 删除L2TP组 · 编辑已添加的L2TP组 |
|
|
勾选“启用L2TP客户端”前方单选框,单击<确定>按钮,开启L2TP客户端 |
|
|
添加L2TP组: 1. 单击<添加>按钮,弹出新建L2TP组页面,配置相关参数 2. 单击<确定>按钮,完成配置 |
|
|
删除L2TP组: 1. 勾选需要删除的L2TP组前方单选框,弹出确认提示对话框 2. 单击<确定>按钮,完成配置 |
|
|
编辑已添加的L2TP组: 1. 单击需要编辑的L2TP组对应操作列的编辑图标,弹出修改L2TP组对话框,修改相关参数。 2. 单击<确定>按钮,完成配置
|
|
页面中各参数的含义如下表所示。
表14-8 页面参数描述
|
页面参数 |
描述 |
|
L2TP组号 |
L2TP客户端规则的编号 |
|
L2TP客户端 |
是否开启L2TP客户端功能。若开启该功能,设备将作为L2TP客户端访问企业内部网络资源 |
|
本端隧道名称 |
L2TP客户端的隧道名称。取值为1~31个字符,仅支持英文字母[a-z,A-Z]、数字和下划线 |
|
地址获取方式 |
L2TP隧道建立成功后PPP接口的IP地址获取方式, 主要分为: · 静态:L2TP客户端手工设置一个IP(由L2TP服务端管理员分配) · 动态:由L2TP服务端为虚拟PPP接口动态分配IP地址。缺省为动态获取 |
|
隧道验证 |
是否开启L2TP隧道验证功能。若开启该功能,则需输入隧道验证密码,该方式更加安全,但需要L2TP服务器端和L2TP客户端都启用隧道验证,且密码一致。隧道验证密码不支持输入#、英文问号、英文分号和空格 |
|
PPP认证方式 |
L2TP用户的认证方式,主要分为: · None:对用户免认证。该方式,安全性最低,请谨慎使用 · PAP:采用两次握手机制对用户进行认证。该方式,安全性中 · CHAP:采用三次握手机制对用户进行认证。该方式,安全性最高 |
|
用户名 |
认证使用的用户名。取值为1~55个字符,不能包含英文问号(?)。当“PPP认证方式”选择PAP或CHAP时,需设置该参数 |
|
密码 |
认证使用的用户名对应的密码。取值为1~63个字符。当“PPP认证方式”选择PAP或CHAP时,需设置该参数 |
|
NAT地址转换 |
地址转换功能,配置该参数时,可根据实际需求选择是否启用该功能 · 若启用该功能,则L2TP服务器端不需配置到达客户端的路由 · 若未启用该功能,则L2TP服务器端需配置到达客户端的路由,L2TP客户端才能正常访问服务端资源 |
|
L2TP服务器端地址 |
L2TP服务端的IP地址或域名 |
|
Hello报文间隔 |
L2TP服务端和客户端之间发送Hello报文的时间间隔,hello报文用于检测LAC和LNS之间隧道的连通性,单位为秒 |
|
操作 |
可对该隧道信息做编辑和删除操作 |
页面向导:虚拟专网(VPN)→L2TP客户端→L2TP配置
|
显示L2TP隧道信息 |
|
页面中各参数的含义如下表所示。
表14-9 页面参数描述
|
页面参数 |
描述 |
|
账号名 |
L2TP客户端的用户名 |
|
本端隧道编号 |
本端已建立隧道的ID号 |
|
对端隧道编号 |
对端已建立隧道的ID号 |
|
对端隧道端口 |
L2TP客户端和服务端建立连接使用的服务端口 |
|
本端地址 |
L2TP客户端的IP地址 |
|
对端隧道IP地址 |
L2TP服务端的IP地址 |
|
对端隧道名称 |
L2TP服务端的隧道名称 |
|
会话数目 |
L2TP服务端和客户端之间建立会话的数目 |
|
上行流速(Mbps) |
L2TP客户端访问企业内部网络的上行流量速率 |
|
下行流速(Mbps) |
L2TP客户端访问企业内部网络的下行流量速率 |
|
操作 |
可对该隧道信息做删除操作 |
应用服务提供对DNS的配置功能,DNS(Domain Name System,域名系统)是一种用于TCP/IP应用程序的分布式数据库,提供域名与IP地址之间的转换。主要包括:静态DNS、动态DNS、本地域名服务和终端自动访问Web服务。
“域名”、“本地域名地址”、“服务器地址”和“终端自动访问地址”的设置规则如下:
· “域名”和“服务器地址”长度为1-253个字符;“本地域名地址”长度为1-250个字符;“终端自动访问地址”长度为1-127个字符。
· “域名”、“本地域名地址”和“服务器地址”只能包含字母,数字,符号-,以及符号.。
· “域名”、“本地域名地址”和“服务器地址”不能以符号.或者符号-开头和结尾,不能连续使用两个以及上的符号.或者符号-。
· “域名”、“本地域名地址”和“服务器地址”中必须包含符号.,且最后一个符号.后面的字符不能为全数字。
· “终端自动访问地址”不支持中文字符和空格。
静态DNS就是手工建立域名和IP地址之间的对应关系。当您使用域名访问设备提供的服务(Web、Mail或者FTP等服务)时,系统会查找静态DNS解析表,从中获取指定域名对应的IP地址。
页面向导:高级选项→应用服务→静态DNS
|
本页面为您提供如下主要功能: · 显示已添加的静态DNS详细信息 · 添加静态DNS · 删除已添加的静态DNS · 修改已添加的静态DNS |
|
|
添加静态DNS: 1. 单击<添加>按钮,弹出新建静态DNS对话框,输入网络设备的域名和IP地址 2. 单击<确定>按钮,完成配置 |
|
|
删除静态DNS: 1. 勾选需要删除的静态DNS 2. 单击<删除>按钮,弹出提示对话框 3. 单击<确定>按钮,完成配置 |
|
|
修改静态DNS: 1. 单击需要修改的静态DNS操作列的编辑图标,弹出修改静态DNS对话框,修改相关参数 2. 单击<确定>按钮,完成配置 |
|
页面中各参数项的含义如下表所示。
表15-1 页面参数描述
|
页面参数 |
描述 |
|
域名 |
为设备分配的域名。配置该参数时,该域名需与设备IP地址一一对应 |
|
IP地址 |
设备的IP地址,即域名对应的IP地址 |
|
描述 |
规则的描述信息,可对规则进行简单的描述,方便使用 |
|
操作 |
可对该配置进行编辑和删除操作 |
设备向DDNS服务器申请域名时,请保证WAN接口地址为公网IP地址。
如果您通过设备的WAN接口来提供Web、Mail或者FTP等服务,且希望在设备WAN接口的IP发生变化的情况下(如宽带拨号方式下),用户仍然能够通过固定的域名访问设备提供的服务,那么需要在设备上的提供Web、Mail或者FTP等服务的WAN接口上配置DDNS(Dynamic Domain Name System,动态域名系统)服务。
使用DDNS服务之前,需要提前在DDNS服务器(即DDNS服务提供商,如花生壳网站)上注册账户,设置密码。之后,当设备WAN接口的IP地址变化时,设备会自动通知DDNS服务器更新记录的IP地址和固定域名的映射关系。
页面向导:高级选项→应用服务→动态DNS
|
本页面为您提供如下主要功能: · 显示已添加的动态DNS详细信息 · 添加动态DNS · 删除已添加的动态DNS · 修改已添加的动态DNS |
|
|
添加动态DNS: 1. 单击<添加>按钮,弹出新建动态DNS策略对话框,选择设备上提供相应服务的WAN接口,并输入服务提供商处注册的域名、用户名和密码等信息 2. 单击<确定>按钮,完成配置 |
|
|
删除动态DNS: 1. 勾选需要删除的动态DNS 2. 单击<删除>按钮,弹出提示对话框 3. 单击<确定>按钮,完成配置 |
|
|
修改动态DNS: 1. 单击需要修改的动态DNS操作列的编辑图标,弹出修改动态DNS策略对话框,修改相关参数 2. 单击<确定>按钮,完成配置 |
|
页面中各参数项的含义如下表所示。
表15-2 页面参数描述
|
页面参数 |
描述 |
|
WAN接口 |
设备上提供服务的WAN接口,例如WAN1口 |
|
域名 |
为设备分配的域名,配置该参数时,需提前在DDNS服务器(即DDNS服务提供商,如花生壳网站)上注册 |
|
服务提供商 |
动态DNS服务提供商,主要包括: · www.3322.org、ORAY(花生壳):若服务器地址与缺省情况不同,需勾选“修改服务器地址”后,在“服务器地址”配置项处修改DDNS服务器地址 · Others:选择此选项,需在“服务器地址”配置项处手动输入DDNS服务器地址 |
|
更新间隔 |
设备向服务器发送更新请求的时间间隔。配置该参数时,需配置天数、小时和分钟,若配置时间间隔为0,设备只在WAN接口IP地址发生变化或者接口连接由down变为up时发送更新请求 |
|
账户配置 |
动态DNS的账户信息。主要包括: · 用户名:在动态DNS服务提供商处注册的用户名 · 密码:在动态DNS服务提供商处注册的密码 |
|
DDNS功能 |
是否开启DDNS功能。若开启该功能,设备将按照配置的DDNS策略及规则进行工作。缺省开启DDNS功能 |
|
状态 |
动态DNS的连接状态,主要分为: · 已连接:该WAN接口已与域名建立动态DNS连接 · 未连接:该WAN接口未与域名建立动态DNS连接 |
|
操作 |
可对该配置进行编辑和删除操作 |
设置的本地域名地址不能与互联网中已注册的域名重复。
内网终端可以通过本地域名地址访问设备的Web管理页面。
页面向导:高级选项→应用服务→本地域名服务
|
设置本地域名服务: 1. 开启本地域名服务功能 2. 设置本地域名地址 3. 单击<应用>按钮,完成配置 |
|
页面中各参数项的含义如下表所示。
表15-3 页面各参数项描述
|
页面参数 |
描述 |
|
本地域名服务 |
选择是否开启本地域名服务。缺省为开启 |
|
本地域名地址 |
内网终端用于访问设备Web管理页面的域名 |
· 当配置访问地址为域名或者URL时,请确保域名部分能够正确解析为IP地址,否则可能会导致无法正常跳转。
· 此功能通常用于跳转至内部服务器地址,不建议配置公网地址,某些公网网站(例如百度,淘宝等)无法正常使用该功能。
内网终端在连接无线热点时可以自动跳转设置的终端自动访问地址,该地址既可以是内网服务器的IP地址、域名或者URL,也可以是公网的IP地址、域名或者URL。
页面向导:高级选项→应用服务→终端自动访问Web服务
|
设置终端自动访问Web服务: 1. 开启终端自动访问Web服务功能 2. 输入内网终端用于自动跳转的Web页面的域名或者IP地址 3. 单击<应用>按钮,完成配置 |
|
页面中各参数项的含义如下表所示。
表15-4 页面各参数项描述
|
页面参数 |
描述 |
|
终端自动访问Web服务 |
选择是否开启终端自动访问Web服务。缺省为关闭 |
|
终端自动访问地址 |
内网终端用于自动跳转的Web页面的IP地址、域名或者URL |
UPnP(Universal Plug and Play,通用即插即用)功能是针对设备彼此间通讯而定制的一组协议的统称。设备作为UPnP网关,主要功能是完成端口自动映射,UPnP实现端口自动映射需要满足三个条件:
· 设备必须开启UPnP功能;
· 内网主机的操作系统必须支持并开启UPnP功能;
· 应用程序必须支持并开启UPnP功能,如迅雷、BitComet、电骡eMule、MSN等软件都支持UPnP功能。
设备开启UPnP功能后,可以为支持该功能的应用程序自动添加端口映射,加速点对点的传输,还可以解决一些传统业务(比如,MSN)不能穿越NAT的问题。但开启UPnP功能也会为支持该功能的非法应用程序建立映射,存在安全隐患。
页面向导:高级选项→UPnP
|
设置UPnP: 1. 开启UPnP功能 2. 单击<应用>按钮,完成配置 |
|
如果您的操作系统或者应用程序不支持UPnP功能,可通过配置虚拟服务器或端口触发,手工配置完成端口映射的配置,其效果是一样的。
UPnP映射失败的原因很多,比如:
· 系统服务中禁止了SSDP服务(用于寻找UPnP设备),需要在系统服务中开启该服务。
· 开启了操作系统下的SP1的网络连接防火墙。操作系统的网络连接防火墙与UPnP设备发现有冲突,SP2修复了这个问题,但是仍然需要在防火墙设置中允许例外:UPnP框架。
· 应用软件或设备不支持UPnP功能。
页面中各参数项的含义如下表所示。
表15-5 页面参数项述
|
页面参数 |
描述 |
|
UPnP |
是否开启UPnP功能。若开启该功能,设备将为支持该功能的应用程序自动添加端口映射,加速点对点的传输,还可以解决一些传统业务(比如,MSN)不能穿越NAT的问题。缺省关闭UPnP功能 设置完成,需点击“应用”按钮,使配置生效 |
当静态路由中下一跳对应的接口失效时,本地的静态路由条目不会被删除,这种情况下需要您检查网络环境,然后修改静态路由的配置。
静态路由是在路由器中通过手工方式设置的固定路由条目。当您的网络结构比较简单且比较稳定时,通过配置静态路由就可以实现网络互通。例如,当您知道网络的出接口,以及网关的IP地址时,设置静态路由即可实现正常通信。
当去往同一目的地存在多条静态路由时,如果您希望优先选用某条静态路由,可以调整静态路由的优先级。优先级的值越小,对应的静态路由的优先级越高。
|
本页面为您提供如下主要功能: · 显示已添加的静态路由详细信息 · 添加静态路由 · 删除已添加的静态路由 · 修改已添加的静态路由 · 查看路由信息表 |
|
|
添加静态路由: 1. 单击<添加>按钮,弹出添加IPv4静态路由对话框,输入目的IP地址、掩码长度和下一跳等信息 2. 单击<确定>按钮,完成配置 |
|
|
删除静态路由: 1. 勾选需要删除的静态路由条目 2. 单击<删除>按钮,弹出提示对话框 3. 单击<确定>按钮,完成配置 |
|
|
修改静态路由: 1. 单击需要修改的静态路由操作列的编辑图标,弹出修改IPv4静态路由对话框,修改相关参数 2. 单击<确定>按钮,完成配置 |
|
|
查看路由信息表: 单击<查看路由信息表>按钮,可查看路由信息表 |
|
页面中各参数项的含义如下表所示。
表15-6 页面参数描述
|
页面参数 |
描述 |
|
目的IP地址 |
设备要访问的目的网络的IP地址 |
|
掩码长度 |
目的网络的掩码长度,例如24 |
|
下一跳 |
数据在到达目的地址前,需要经过的下一个路由器的IP地址。配置该参数时,可根据需要选择是否勾选“出接口”选项 · 若确定数据经过的设备出口,则勾选“出接口”选项,并设置下一跳IP地址,下一跳地址必须和所选接口在相同网段 · 若不确定出接口时,则不勾选“出接口”选项。通过设置下一跳IP地址,设备可以自己选择合适的出接口 |
|
优先级 |
静态路由的优先级,配置该参数时,数值越小则优先级越高 |
|
描述 |
规则的描述信息,可对规则进行简单的描述,方便使用 |
|
操作 |
可对该配置进行编辑和删除操作 |
与单纯按照IP报文的目的地址查找路由表进行转发不同,策略路由是一种依据用户制定的策略进行路由转发的机制。策略路由可以对于满足一定条件(源地址和目的地址等)的报文,执行指定的操作(设置报文的下一跳和出接口等)。策略路由的匹配条件比普通路由更丰富,当需要按照报文的某些特征(如报文源地址和目的地址等)转发到不同的网络中时,可以配置策略路由功能。
策略路由的优先级会按照配置顺序生效,即先配置的策略路由优先级高于后配置的策略路由。
策略路由的优先级可以自定义配置,取值越小优先级越高。
页面向导:高级选项→策略路由
|
本页面为您提供如下主要功能: · 显示已添加的策略路由详细信息 · 添加策略路由 · 删除已添加的策略路由 · 修改已添加的策略路由 |
|
|
添加策略路由: 1. 单击<添加>按钮,弹出新增策略路由列表对话框,设置接口、协议类型、源和目的IP地址段等信息 2. 单击<确定>按钮,完成配置 |
|
|
删除策略路由: 1. 勾选需要删除的策略路由条目 2. 单击<删除>按钮,弹出提示对话框 3. 单击<确定>按钮,完成配置 |
|
|
修改策略路由: 1. 单击需要修改的策略路由操作列的编辑图标,弹出修改策略路由列表对话框,修改相关参数 2. 单击<确定>按钮,完成配置 |
|
页面中各参数项的含义如下表所示。
表15-7 页面参数描述
|
页面参数 |
描述 |
|
接口 |
报文的来源接口,即策略对从某一接口收到的数据包进行控制 |
|
协议类型 |
策略需要控制的报文协议类型。配置该参数时,可根据需要进行选择: · 若需控制某传输层协议的报文,则选择“TCP”或“UDP” · 若需控制某网络层协议的报文,则选择“IP” · 若需控制Ping、Tracert等ICMP协议报文,则选择“ICMP” · 若需控制其他协议报文,则选择“协议号”并配置协议号编号 |
|
源IP地址段 |
规则需要控制的源IP地址范围。配置该参数时,起始地址和结束地址间需要用短横线连接,如“1.1.1.1-1.1.1.2” · 若只指定一个地址,则起始地址和结束地址需要相同 · 若在输入地址段或者地址前添加“!”,则表示取反,即除此地址段或者地址外的其他的地址都匹配,如“!1.1.1.1-1.1.1.10” |
|
目的IP地址段 |
规则需要控制的目的IP地址范围。配置该参数时,起始地址和结束地址间需要用短横线连接,如“1.1.1.1-1.1.1.2” · 若只指定一个地址,则起始地址和结束地址需要相同 · 若在输入地址段或者地址前添加“!”,则表示取反,即除此地址段或者地址外的其他的地址都匹配,如“!1.1.1.1-1.1.1.10” |
|
源端口 |
规则需要控制的源端口。仅当协议类型指定为“TCP”或“UDP”,才需配置该参数。若在输入端口号前添加“!”,则表示取反,即除此端口号外的其他的端口都匹配,如“!1-5000” |
|
目的端口 |
规则需要控制的目的端口。仅当协议类型指定为“TCP”或“UDP”,才需配置该参数。若在输入端口号前添加“!”,则表示取反,即除此端口号外的其他的端口都匹配,如“!1-5000” |
|
生效时间 |
规则的生效时间。配置该参数时,需选择已创建的时间组。如需新增时间组,可通过点击右侧的<新增时间组>按钮创建新的时间组 |
|
优先级 |
规则的优先级。设置方式有两种: · 自动:系统自动为该规则分配优先级,即根据规则的配置顺序以5为步长进行依次分配 · 自定义:用户自定义规则的优先级,数值越小则优先级越高 |
|
出接口 |
报文的转发接口,即匹配规则的报文通过指定出接口转发 |
|
强制 |
当WAN口的端口状态为外网未连通时,指向该WAN口的策略路由会失效。通过配置该参数,可以使策略路由在WAN口的端口状态为外网未连通时强制生效。 · 若选择了“强制”选项,当WAN口的端口状态为外网未连通时,则当前策略路由仍然会生效,转发数据 · 若未选择“强制”选项,当WAN口的端口状态为外网未连通时,则当前策略路由不会生效 |
|
是否启用 |
是否开启该路由规则。若启用该规则,设备将按照配置的路由策略及规则进行工作 |
|
描述 |
规则的描述信息,可对规则进行简单的描述,方便使用 |
|
操作 |
可对该配置进行编辑和删除操作 |
SNMP(Simple Network Management Protocol,简单网络管理协议)广泛用于网络设备的远程管理和操作。SNMP允许管理员通过NMS对网络上不同厂商、不同物理特性、采用不同互联技术的设备进行管理,包括状态监控、数据采集和故障处理。
SNMP网络架构由三部分组成:NMS、Agent和MIB。
· NMS(Network Management System,网络管理系统)是SNMP网络的管理者,能够提供友好的人机交互界面,来获取、设置Agent上参数的值,方便网络管理员完成大多数的网络管理工作。
· Agent是SNMP网络的被管理者,负责接收、处理来自NMS的SNMP报文。在某些情况下,如接口状态发生改变时,Agent也会主动向NMS发送告警信息。
· MIB(Management Information Base,管理信息库)是被管理对象的集合。NMS管理设备的时候,通常会关注设备的一些参数,比如接口状态、CPU利用率等,这些参数就是被管理对象,在MIB中称为节点。每个Agent都有自己的MIB。MIB定义了节点之间的层次关系以及对象的一系列属性,比如对象的名称、访问权限和数据类型等。被管理设备都有自己的MIB文件,在NMS上编译这些MIB文件,就能生成该设备的MIB。NMS根据访问权限对MIB节点进行读/写操作,从而实现对Agent的管理。
设备支持SNMPv1、SNMPv2c和SNMPv3三种版本,只有NMS和Agent使用的SNMP版本相同时,NMS才能和Agent建立连接。
· SNMPv1采用团体名(Community Name)认证机制。团体名类似于密码,用来限制NMS和Agent之间的通信。如果NMS配置的团体名和被管理设备上配置的团体名不同,则NMS和Agent不能建立SNMP连接,从而导致NMS无法访问Agent,Agent发送的告警信息也会被NMS丢弃。
· SNMPv2c也采用团体名认证机制。SNMPv2c对SNMPv1的功能进行了扩展:提供了更多的操作类型;支持更多的数据类型;提供了更丰富的错误代码,能够更细致地区分错误。
· SNMPv3采用USM(User-Based Security Model,基于用户的安全模型)认证机制。网络管理员可以配置认证和加密功能。认证用于验证报文发送方的合法性,避免非法用户的访问;加密则是对NMS和Agent之间的传输报文进行加密,以免被窃听。采用认证和加密功能可以为NMS和Agent之间的通信提供更高的安全性。
页面向导:高级选项→SNMP→基本设置
|
SNMP基本设置: 1. 开启SNMP功能,并设置SNMP版本、联系信息、设备位置和本地引擎ID等信息 2. 单击<应用>按钮,完成配置 |
|
页面中各参数项的含义如下表所示。
表15-8 页面参数描述
|
页面参数 |
描述 |
|
SNMP |
是否开启SNMP功能。若开启该功能,设备将允许管理员通过NMS(网络管理系统)对SNMP Agent进行管理,包括状态监控、数据采集和故障处理 |
|
SNMP版本 |
设备使用的SNMP版本号,配置该参数时,可根据需要进行选择: · 若NMS(网络管理系统)使用的是SNMPv1版本,则选择“SNMPv1” · 若NMS(网络管理系统)使用的是SNMPv2版本,则选择“SNMPv2” · 若NMS(网络管理系统)使用的是SNMPv3版本,则选择“SNMPv3” |
|
联系信息 |
设备维护联系信息。若设备发生故障,维护人员可利用维护联系信息,及时与设备生产厂商取得联系。联系信息长度为1-255个字符,不支持中文、英文格式的问号、全空格,以及换行符 |
|
设备位置 |
设备物理位置的信息。设备位置长度为1-255个字符,不支持中文、英文格式的问号、全空格,以及换行符 |
|
本地引擎ID |
设备的本地引擎ID信息。ID信息为10-64位、16进制格式的字符,只支持输入0-9、a-f和A-F字符,且长度必须为偶数 |
|
SNMP信任主机IPv4地址 |
NMS(网络管理系统)的IP地址,即允许指定的NMS对SNMP Agent进行访问。若不设置该项,即不对NMS进行限制 |
|
NMS主监控接口 |
NMS(网络管理系统)管理SNMP Agent所用到的Agent的主接口。例如:WAN1 |
|
NMS辅监控接口 |
NMS(网络管理系统)管理SNMP Agent所用到的Agent的备用接口。当设备设置为单WAN口时,不支持该设置 |
|
TRAP功能 |
是否开启TRAP功能。若开启该功能,当SNMP Agent出现特定事件,例如性能问题或者网络设备接口宕机等,SNMP Agent会主动给NMS(网络管理系统)发送告警信息 |
|
目的地址 |
NMS(网络管理系统)的IP地址或域名地址。即接收设备TRAP消息的主机地址 |
|
UDP端口 |
TRAP消息转发使用的UDP端口号,缺省为162。若不使用缺省端口号,可以自定义端口号,取值为1~65535 |
|
安全名 |
SNMPv1、SNMPv2c的团体名或SNMPv3的用户名 |
|
安全模式 |
安全名对应的SNMP Agent版本号 |
团体名设置只支持SNMPv1、SNMPv2c版本。
页面向导:高级选项→SNMP→团体名设置
|
本页面为您提供如下主要功能: · 显示已添加的团体名详细信息 · 添加团体名 · 删除已添加的团体名 · 修改已添加的团体名 |
|
|
添加团体名: 1. 设置团体名和访问权限 2. 单击团体名操作列<+>图标 3. 单击<应用>按钮,完成配置 |
|
|
删除团体名: 1. 单击已添加的团体名操作列的删除图标,弹出提示对话框 2. 单击<确定>按钮,完成配置 |
|
|
修改团体名: 1. 单击需要修改的团体名操作列的编辑图标,修改相关参数 2. 单击团体名操作列的更新图标 3. 单击<应用>按钮,完成配置 |
|
页面中各参数项的含义如下表所示。
表15-9 页面参数描述
|
页面参数 |
描述 |
|
团体名 |
SNMPv1、SNMPv2c版本采用的认证机制,用于SNMP Agent对NMS(网络管理系统)进行认证。配置该参数时,NMS上配置的团体名和SNMP Agent上配置的团体名需一致 |
|
访问权限 |
该团体的访问权限,主要分为: · Read-Only:只读权限 · Read-Write:读写权限 配置该参数时,在列表的最下方输入团体名,选择访问权限后,点击操作列的<+>按钮,完成团体名的添加 设置完成,需点击“应用”按钮,使配置生效 |
|
操作 |
可对该配置进行编辑操作 |
用户设置只支持SNMPv3版本,用于添加SNMPv3版本的用户名。
页面向导:高级选项→SNMP→用户设置
|
本页面为您提供如下主要功能: · 显示已添加的用户设置详细信息 · 添加用户信息 · 删除已添加的用户信息 · 修改已添加的用户信息 |
|
|
添加用户信息: 1. 单击<添加>按钮,弹出添加用户对话框,输入用户名、认证密码和加密密码等信息 2. 单击<确定>按钮,完成配置 |
|
|
删除用户信息: 1. 勾选需要删除的用户信息 2. 单击<删除>按钮,弹出提示对话框 3. 单击<确定>按钮,完成配置 |
|
|
修改用户信息: 1. 单击需要修改的用户信息操作列的编辑图标,弹出编辑用户对话框,修改相关参数 2. 单击<确定>按钮,完成配置 |
|
页面中各参数项的含义如下表所示。
表15-10 页面参数描述
|
页面参数 |
描述 |
|
序号 |
SNMPv3版本用户的编号 |
|
用户名 |
SNMPv3版本的用户名 |
|
认证模式 |
用户认证的算法,主要分为: · MD5:表示采用MD5认证算法 · SHA:表示采用SHA认证算法 · None:表示不认证 |
|
认证密码 |
用户认证的密码。当认证模式设置为MD5或SHA时,需要配置此参数。密码长度为1-64个字符,能包含英文字母[a-z,A-Z]、数字,以及~!@#$%^&*()_+`-={}|[]:'<>?,./字符;区分大小写 |
|
认证密码确认 |
再次输入认证密码 |
|
加密模式 |
用户认证的加密模式,主要分为: · DES56:表示采用DES56加密模式 · None:表示不加密 |
|
加密密码 |
加密的密码。当认证模式和加密模式设置不为None时,需配置此参数。密码长度为1-64个字符,能包含英文字母[a-z,A-Z]、数字,以及~!@#$%^&*()_+`-={}|[]:'<>?,./字符;区分大小写 |
|
加密密码确认 |
再次输入加密密码 |
通过本功能可以设置设备信息和系统时间。设备信息包括设备名称、设备位置和网络管理员的联系信息,方便管理员管理和定位设备。系统时间包括日期、时间和时区等。为了便于管理设备,并保证本设备与其它网络设备协同工作,您需要为设备配置准确的系统时间。
系统时间的获取方式有两种:
· 手工设置日期和时间。该方式下,用户手工指定的日期和时间即为当前的系统时间。后续,设备使用内部时钟信号计时。如果设备重启,系统时间将恢复到出厂时间。
· 自动同步网络日期和时间。该方式下,设备使用从NTP服务器获取的时间作为当前的系统时间,并周期性地同步NTP服务器的时间,以便和NTP服务器的系统时间保持一致。即便本设备重启,设备也会迅速重新同步NTP服务器的系统时间。如果您管理的网络中有NTP服务器,推荐使用该方式,该方式获取的时间比手工配置的时间更精准。
为了更便于网络管理员管理网络中的设备,需要设置设备信息,其中包括设备的名称、位置以及网络管理员的联系信息。
页面向导:系统工具→系统设置→设备信息
|
设置设备信息,包括设备名称、设备位置和网络管理员的联系信息 |
|
页面中各参数的含义如下表所示。
表16-1 页面参数描述
|
页面参数 |
描述 |
|
设备名称 |
输入设备的名称 |
|
设备位置 |
输入设备的位置 |
|
联系信息 |
输入网络管理员的联系信息 |
设置系统时间,包括以下两种方式:
· 手工设置日期和时间。
· 自动同步网络日期和时间。
了解设备所处的时区。全球分为24个时区,请将设备的时区配置为设备所在地理区域的时区。例如,设备在中国,请选择“北京,重庆,香港特别行政区,乌鲁木齐(GMT+08:00)”;如果设备位于美国,请选择“中部时间(美国和加拿大)(GMT-06:00)”。
页面向导:系统工具→系统设置→日期和时间
|
设置系统时间 |
|
|
单击“手工设置日期和时间”,将系统时间配置为设备所在地理区域的当前时间: 1. 选择年月日 2. 选择时分秒 3. 将时区配置为设备所在地理区域的时区 4. 单击<应用>按钮,完成配置 |
|
|
选择“自动同步网络日期和时间”选项,设备会自动从NTP服务器1和NTP服务器2中择优选取一台服务器的系统时间作为设备的系统时间。如果这台优选的服务器故障,则自动使用另一台NTP服务器的系统时间作为设备的系统时间。如果NTP服务器均故障,设备将使用内部时钟信号继续计时,待NTP服务器恢复后,再同步NTP服务器的时间: 1. 在“NTP服务器1”配置项处,输入NTP服务器1的IP地址或者域名地址 2. 在“NTP服务器2”配置项处,输入NTP服务器2的IP地址或者域名地址。将时区配置为设备所在地理区域的时区 3. 将时区配置为设备所在地理区域的时区 4. 单击<应用>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表16-2 页面参数描述
|
页面参数 |
描述 |
|
系统时间 |
当前系统实际 |
|
手工设置日期和时间 |
手工设置系统日期和时间,如果设备重启,系统时间将恢复到出厂时间 |
|
自动同步网络日期和时间 |
自动同步网络日期和时间,设备和NTP服务器上配置的时区必须相同,否则,会导致设备的系统时间和NTP服务器的系统时间不一致 |
|
NTP服务器1 |
输入NTP服务器1的IP地址或者域名地址 |
|
NTP服务器2 |
输入NTP服务器2的IP地址或者域名地址 |
|
缺省NTP服务器列表 |
查看设备内置的NTP服务器信息 |
|
时区 |
设备所处的时区 |
|
应用 |
完成配置 |
页面向导:系统工具→网络诊断→Ping
|
用于检测网络,测试另一台设备或主机是否可达 |
|
页面中各参数的含义如下表所示。
表16-3 页面参数描述
|
页面参数 |
描述 |
|
目标IP地址或者主机名 |
输入需要Ping的目标IP地址或者主机名。不支持输入\ ' " < > ; & ` #字符以及中文字符和空格 |
|
选择出接口 |
选择去往目标IP地址或者主机名的设备接口。当选择“AUTO”时,表示设备自动选择某一接口转发Ping报文 |
|
源IP地址 |
选择Ping操作的源IP地址。当选择“AUTO”时,表示设备自动选择Ping操作的源IP地址;当选择“源IP地址”时,需手动输入Ping操作的源IP地址 |
|
开始 |
系统开始检测 |
|
停止 |
系统停止检测 |
|
结果 |
显示检测的过程和结果,说明网络发包的测试情况和与测试主机的往返平均时延 |
页面向导:系统工具→网络诊断→Tracert
|
用于检查从设备到达目标主机所经过的路由情况 |
|
页面中各参数的含义如下表所示。
表16-4 页面参数描述
|
页面参数 |
描述 |
|
目标IP地址或者主机名 |
输入需要路由跟踪的目标IP地址或者主机名 |
|
选择出接口 |
选择去往目标IP地址或者主机名的设备接口。当选择“AUTO”时,表示设备自动选择某一接口转发Tracert报文 |
|
源地址 |
选择Tracert操作的源IP地址。当选择“AUTO”时,表示设备自动选择Tracert操作的源IP地址;当选择“源IP地址”时,需手动输入Tracert操作的源IP地址 |
|
开始 |
系统开始检测 |
|
停止 |
系统停止检测 |
|
结果 |
显示检测的过程和结果 |
页面向导:系统工具→网络诊断→诊断
|
诊断信息为各功能模块的运行信息,用于定位问题。设备会将该信息以压缩文件的形式自动保存到您的终端设备 |
|
页面中各参数的含义如下表所示。
表16-5 页面参数描述
|
页面参数 |
描述 |
|
搜集诊断信息 |
系统开始收集诊断信息 |
页面向导:系统工具→网络诊断→系统自检
|
用于检查设备当前的运行和配置情况,反馈设备配置是否合理及设备运行是否正常等信息 |
|
页面中各参数的含义如下表所示。
表16-6 页面参数描述
|
页面参数 |
描述 |
|
自检 |
系统进行自检并显示系统自检结果 |
页面向导:系统工具→网络诊断→端口镜像
|
用于将被镜像端口的报文自动复制到镜像端口,实时提供各端口传输状况的详细信息,方便网络管理人员进行流量监控、性能分析和故障诊断 |
|
页面中各参数的含义如下表所示。
表16-7 页面参数描述
|
页面参数 |
描述 |
|
源端口 |
选择镜像的源端口,即被监测的端口 |
|
方向 |
选择镜像的方向: · 若选择“入方向”,表示仅复制源端口收到的报文 · 若选择“出方向”,表示仅复制源端口发出的报文 · 若选择“双方向”,表示对源端口收到和发出的报文都进行复制 |
|
目的端口 |
选择镜像的目的端口,即与数据监测设备相连的端口 |
|
确定 |
系统开始端口镜像 |
页面向导:系统工具→网络诊断→抓包工具
|
用于抓取网络数据报文,以便更有效地分析网络故障。抓包完成后,会自动导出抓取的文件“capture-******.pcap”供用户保存到本地 |
|
页面中各参数的含义如下表所示。
表16-8 页面参数描述
|
页面参数 |
描述 |
|
接口 |
选择需要抓取数据的接口,支持当前路由器的所有的WAN、VLAN等接口 |
|
抓包长度 |
输入数据包的抓取长度,单位为字节。如果数据包长度大于此数值,数据包将会被截断。需要注意的是,采用长的抓取长度,会增加包的处理时间,并且会减少可缓存的数据包的数量,从而会导致数据包的丢失。所以,在能抓取我们想要的包的前提下,抓取长度越小越好 |
|
协议类型 |
选择需要过滤的协议类型。如果选择ALL,将抓取当前接口下所有报文 |
|
抓包文件大小 |
输入抓取报文的大小,单位为MB |
|
抓包时间 |
输入抓包的持续时长,单位为秒 |
|
方向 |
选择抓取报文的方向,主要分为: · 入方向:表示仅抓取端口收到的报文 · 出方向:表示仅抓取端口发送的报文 · 双向:表示抓取端口收到和发送的报文。缺省为双向 |
|
源主机 |
选择抓取报文的源主机 |
|
目的主机 |
选择抓取报文的目的主机 |
|
过滤主机 |
选择抓取报文的过滤主机 |
|
所有主机 |
对源或者目的主机进行过滤,即抓取所有的源/目的主机的报文 |
|
IP地址过滤 |
需要设置主机的IP地址 |
|
MAC地址过滤 |
需要设置主机的MAC地址 |
|
开始 |
系统开始进行抓包。抓包的过程和当前抓取的分组数显示在当前页面 |
|
取消 |
在抓包的过程中,您可以,终止当前的操作,并导出抓取的文件“capture-******.pacp” |
页面向导:系统工具→远程管理→Ping
|
通过ping功能,可以检测网络的连通性,及时了解网络状况 |
|
页面中各参数的含义如下表所示。
表16-9 页面参数描述
|
页面参数 |
描述 |
|
允许ping |
在列表中通过勾选接口对应的“允许ping”选项,设置该接口允许接收Ping报文 |
|
应用 |
完成配置 |
页面向导:系统工具→远程管理→Telnet
|
Telnet是一种实现远程登录服务的协议。用户可以在PC上通过Telnet方式登录设备,对设备进行远程管理 |
|
|
“管理员列表”区段,单击<添加/编辑>按钮,弹出添加/编辑管理员列表 |
|
页面中各参数的含义如下表所示。
表16-10 页面参数描述
|
页面参数 |
描述 |
|
Telnet服务 |
· 单击按钮,使得按钮状态为“ON”,开启Telnet服务 · 单击按钮,使得按钮状态为“OFF”,关闭Telnet服务 |
|
IPv4端口 |
输入Telnet方式远程管理设备的端口号,外部用户通过此端口Telnet方式登录设备进行管理 |
|
添加/编辑 |
单击<添加/编辑>按钮,弹出添加/编辑管理员列表对话框 |
|
IP地址 |
输入允许通过Telnet访问设备的IP地址 |
|
IP地址段 |
允许通过Telnet访问设备的IP地址段 |
|
起始 |
允许通过Telnet访问设备的IP地址段的起始地址 |
|
结束 |
允许通过Telnet访问设备的IP地址段的结束地址 |
|
排除地址 |
输入不允许通过Telnet访问设备的IP地址 |
|
确定 |
完成配置 |
当管理员更改VLAN1的所在网段时,VLAN1管理地址范围会自动随之更改。
页面向导:系统工具→远程管理→HTTP/HTTPS
|
基于HTTP、HTTPS超文本传输协议的两种Web登录方式。HTTPS登录方式的安全性能高于HTTP登录方式。用户可以在PC上使用HTTP/HTTPS协议登录设备的Web界面,通过Web界面直观地配置和管理设备 |
|
|
在“VLAN1管理地址”区段,单击<编辑>按钮,编辑VLAN1管理地址 |
|
|
在“自定义管理地址”区段,点击<添加/编辑>按钮,添加/编辑自定义管理地址 |
|
页面中各参数的含义如下表所示。
表16-11 页面参数描述
|
页面参数 |
描述 |
|
HTTP登录端口 |
输入HTTP方式登录设备对应的端口号,建议使用10000以上的端口号 |
|
HTTPS登录端口 |
输入HTTPS方式登录设备对应的端口号,建议使用10000以上的端口号 |
|
登录超时时间 |
输入Web管理页面的闲置超时时间,缺省为10分钟。管理员登录Web管理页面后,当闲置时间超过登录超时时间时,系统会自动注销该管理员。配置此参数后,在管理员下一次登录时生效 |
|
允许所有用户访问WEB |
勾选该选项时,允许所有用户访问WEB |
|
VLAN1管理地址 |
编辑VLAN1管理地址 |
|
编辑 |
添加允许访问Web管理页面的管理员IP地址或地址段 |
|
IP地址 |
输入允许通过HTTP/HTTPS访问设备的IP地址 |
|
IP地址段 |
输入允许通过HTTP/HTTPS访问设备的IP地址段的起始地址和结束地址 |
|
起始 |
输入允许通过HTTP/HTTPS访问设备的IP地址段的起始地址 |
|
结束 |
输入允许通过HTTP/HTTPS访问设备的IP地址段的结束地址 |
|
自定义管理地址 |
添加/编辑自定义管理地址 |
|
添加/编辑 |
添加允许访问Web管理页面的管理员IP地址或地址段 |
|
IP地址 |
输入允许通过HTTP/HTTPS访问设备的IP地址 |
|
IP地址段 |
输入允许通过HTTP/HTTPS访问设备的IP地址段 |
|
起始 |
输入允许通过HTTP/HTTPS访问设备的IP地址段的起始地址 |
|
结束 |
输入允许通过HTTP/HTTPS访问设备的IP地址段的结束地址 |
|
排除地址 |
输入不允许通过HTTP/HTTPS访问设备的IP地址 |
|
确定 |
完成配置 |
页面向导:系统工具→远程管理→云服务
|
实现设备在云平台中被管理 |
|
|
云服务解绑,解除云服务绑定关系 |
|
页面中各参数的含义如下表所示。
表16-12 页面参数描述
|
页面参数 |
描述 |
|
云服务解绑 |
解除云服务绑定关系 |
|
解绑码 |
输入从云平台上获取的解绑码 |
|
云服务 |
· 按钮状态为“开启”,则开启云服务 · 按钮状态为“关闭”,则关闭云服务 |
|
云平台服务器域名 |
输入H3C云简网络平台的域名 |
|
云场所定义 |
输入设备的系统名称。云场所定义长度为1-64个字符,只支持数字、字母、下划线、中划线和空格,不能为中文,不能为全空格 |
|
云连接状态 |
当前云连接状态 |
|
云管理状态 |
当前云管理状态 |
|
应用 |
完成配置 |
对于不同型号的设备,上述功能的支持情况可能会不同,请以Web页面实际显示情况为准。
本功能用于对设备的配置文件进行管理。配置文件是指用来保存设备配置的文件。
主要功能包括:
· 恢复出厂配置:如果设备没有配置文件或者配置文件损坏时,希望设备能够正常启动运行,则需通过本功能将设备上的配置恢复到出厂状态。
· 从备份文件恢复:设备配置错误后,如果希望设备恢复到正确配置运行状态,则需通过本功能恢复设备配置。
· 导出当前配置:如果希望将当前配置文件导出作为备份配置文件,则需通过本功能将当前配置文件导出。
· USB快速备份:备份设备当前的配置到U盘上。
· USB快速恢复:通过U盘中配置文件恢复设备配置。
页面向导:系统工具→配置管理→恢复出厂配置
|
如果设备没有配置文件或者配置文件损坏时,希望设备能够正常启动运行,则需通过本功能将设备上的配置恢复到出厂状态 |
|
页面中各参数的含义如下表所示。
表16-13 页面参数描述
|
页面参数 |
描述 |
|
恢复出厂配置 |
将设备上的配置恢复到出厂状态 |
|
立即重启设备 |
系统会立即重启设备 |
|
确定 |
执行该操作 |
|
取消 |
取消该操作 |
· 从备份文件恢复设备配置时,需选择后缀名为.rar的文件。
· 在恢复设备配置的过程中,请确保设备供电正常。
· 恢复设备配置完成后,设备会自动根据新的配置重新启动。
页面向导:系统工具→配置管理→备份/恢复配置
|
· 设备配置错误后,如果希望设备恢复到正确配置运行状态,则需使用“从备份文件恢复”功能,恢复设备配置 · 如果希望将当前配置文件导出作为备份配置文件,则需使用“导出当前配置”功能,将当前配置文件导出 · 使用“USB快速备份”功能,备份设备当前的配置到U盘上 · 使用“USB快速恢复”功能,通过U盘中配置文件恢复设备配置 |
|
|
单击<从备份文件恢复>按钮,进入从备份文件恢复页面: 1. 单击“上传文件”按钮,选择特定路径下的备份配置文件 2. 单击<确定>按钮,开始恢复配置 |
|
|
单击<导出当前配置>按钮,即可将当前配置导出 |
|
|
单击<USB快速备份>按钮,开始备份配置,备份设备当前的配置到U盘上: · 配置准备 ¡ 目前仅支持fat32格式的U盘 ¡ 在执行快速恢复前,需先将U盘插入到设备上 · 注意事项 ¡ 如果U盘存在多个分区,备份的配置文件将会保存在第一个分区中 ¡ 备份成功后的配置文件名称为backup.data,如果多次执行USB快速备份操作,系统会覆盖之前的配置文件,即U盘中仅存在一个backup.data配置文件 |
|
|
单击<USB快速恢复>按钮,开始恢复配置: · 配置准备 ¡ 目前仅支持fat32格式的U盘 ¡ 在执行快速恢复前,需先将U盘插入到设备上,且该U盘中存有名称为backup.data的设备配置文件。设备将通过backup.data配置文件恢复设备配置 ¡ 如果U盘存在多个分区,用于恢复设备配置的配置文件backup.data需保存在第一个分区中 · 注意事项 ¡ 在恢复设备配置的过程中,请确保设备供电正常 ¡ 恢复设备配置完成后,设备会自动根据新的配置重新启动 |
|
页面中各参数的含义如下表所示。
表16-14 页面参数描述
|
页面参数 |
描述 |
|
从备份文件恢复 |
设备配置错误后,如果希望设备恢复到正确配置运行状态,则需通过本功能恢复设备配置 |
|
导出当前配置 |
如果希望将当前配置文件导出作为备份配置文件,则需通过本功能将当前配置文件导出 |
|
USB快速备份 |
备份设备当前的配置到U盘上 |
|
USB快速恢复 |
通过U盘中配置文件恢复设备配置 |
· 请您在软件升级之前备份路由器当前的设置信息。如果升级过程中出现问题,您可以用其来恢复到原来的设置。
· 上传完成后,设备自动更新软件,完成后将重新启动。
· 升级过程中请勿给路由器断电,否则可能会造成路由器不能正常工作。
· 如果升级使用版本号更小或发布时间更早的版本文件,设备可能会出现配置兼容问题,不建议这样操作。
手工升级前,请先到“网络安全->DDOS攻击防御->异常流量防护”页面确认是否启用了异常主机流量防护功能。如果已启用,需关闭异常主机流量防护功能后,再进行手工升级,否则将无法进行手工升级。
页面向导:系统工具→系统升级→手工升级
|
通过手工升级方式,对设备版本进行升级,完善当前软件版本漏洞或者更新应用功能 |
|
|
单击<手工升级系统软件>按钮,弹出手工升级系统软件对话框: · 若需要设备在升级系统软件之后恢复出厂配置,则勾选“恢复出厂配置”选项;若无需设备在升级系统软件之后恢复出厂配置,则不勾选“恢复出厂配置”选项 · 单击<确定>按钮,开始软件升级 |
|
页面中各参数的含义如下表所示。
表16-15 页面参数描述
|
页面参数 |
描述 |
|
手工升级系统软件 |
通过手工升级系统软件,对设备版本进行升级 |
|
恢复出厂配置 |
设备在升级系统软件之后恢复出厂配置 |
|
确定 |
开始软件升级 |
页面向导:系统工具→系统升级→自动升级
|
通过H3C云简网络平台对设备上的系统软件进行自动升级,完善当前软件版本漏洞或者更新应用功能
|
|
|
设置检测的时间,系统会根据设置的时间检测是否存在新版本软件。如果检测到新版本软件,系统将立即升级软件 |
|
页面中各参数的含义如下表所示。
表16-16 页面参数描述
|
页面参数 |
描述 |
|
自动升级系统软件 |
立即对系统软件进行自动升级操作 |
|
预约升级 |
通过检测时间设置,预约对系统软件进行自动升级操作。在进行自动升级前,需确保云连接状态为已连接,否则自动升级将会不成功 |
|
检测时间设置 |
设置检测的时间,系统会根据设置的时间检测是否存在新版本软件。如果检测到新版本软件,系统将立即升级软件 |
|
应用 |
完成配置 |
|
查看 |
查看预约升级日志 |
路由器使用过程中出现异常情况,例如升级过程中断电、设备无法正常运行等,可以使用U盘恢复软件版本。
使用U盘恢复软件版本后,路由器将会恢复出厂设置,请谨慎使用此功能。
恢复方法如下:
|
1. 准备文件格式为FAT32,接口为USB 2.0或者USB 3.0(同时向下兼容USB 2.0)的U盘 |
|
|
2. 将待恢复的软件(.bin)拷贝到U盘,并将软件的文件名修改为“recover.bin” |
|
|
3. 先对路由器断电,再将U盘插入路由器的USB接口 |
|
|
4. 将路由器接通电源,等待10分钟左右,路由器正常启动后,即可重新登录 |
|
重新启动功能用于立即和定时重新启动设备。
重新启动设备可能会导致业务中断,请谨慎使用。
页面向导:系统工具→重新启动→立即重启
|
立即重新启动设备 |
|
页面中各参数的含义如下表所示。
表16-17 页面参数描述
|
页面参数 |
描述 |
|
立即重启 |
立即重新启动设备 |
在使用定时重启功能之前,需在“系统设置—日期和时间—自动同步网络日期和时间”中配置NTP服务器。
页面向导:系统工具→重新启动→定时重启
|
定时重新启动设备 |
|
页面中各参数的含义如下表所示。
表16-18 页面参数描述
|
页面参数 |
描述 |
|
定时重启 |
定时重新启动设备 |
|
开启 |
开启定时重启设备的功能 |
|
关闭 |
关闭定时重启设备的功能 |
|
生效周期 |
设定每周设备重启的具体时间 |
|
确定 |
设备将会在设定时间进行重启 |
设备在运行过程中会生成系统日志。日志中记录了管理员在设备上进行的配置、设备的状态变化以及设备内部发生的重要事件等,为用户进行设备维护和故障诊断提供参考。
用户可以将日志发送到日志服务器集中管理,也可以直接在Web页面查看日志。
日志划分为如下表所示的五个级别,各级别的严重性依照数值从0~4依次降低。了解日志级别,能帮助您迅速筛选出重点日志。
|
数值 |
信息级别 |
描述 |
|
0 |
Error(0) |
表示错误信息 |
|
1 |
Warning(1) |
表示警告信息 |
|
2 |
Notification(2) |
表示正常出现但是重要的信息 |
|
3 |
Informational(3) |
表示需要记录的通知信息 |
|
4 |
Debugging(4) |
表示调试过程产生的信息 |
请确保设备和日志服务器能互相ping通,日志服务器才能收到设备发送的日志。
页面向导:系统工具→系统日志
|
管理及显示日志信息 |
|
页面中各参数的含义如下表所示。
表16-20 页面参数描述
|
页面参数 |
描述 |
|
日志管理 |
日志管理 |
|
日志记录等级 |
选择日志记录的级别 |
|
日志来源 |
选择日志的来源,控制日志信息的输出 |
|
系统 |
记录设备运行中,记录部分功能模块的运行状态相关信息。缺省选择该参数,不可取消 |
|
配置 |
记录设备配置发生变化的信息 |
|
安全 |
记录设备防攻击、报文过滤、防火墙等相关信息 |
|
流量信息 |
记录IP、端口等流量信息 |
|
VPN |
记录VPN相关信息 |
|
是否将系统日志记录到存储介质 |
· 勾选此选项,表示将系统日志记录到存储介质 · 不勾选,表示不将系统日志记录到存储介质 |
|
发送到日志服务器 |
输入日志服务器的IP地址或者域名地址 |
|
应用 |
完成配置 |
|
高级查询 |
通过时间、级别、信息来源和详细信息这几个条件的任意组合来查找对应的系统日志 |
|
时间 |
通过时间查找对应的系统日志 |
|
级别 |
通过级别查找对应的系统日志 |
|
信息来源 |
通过信息来源查找对应的系统日志 |
|
详细信息 |
通过详细信息查找对应的系统日志 |
|
清除 |
清除路由器所记录的日志信息 |
|
导出 |
将设备上已有的日志信息导出到登录Web管理页面的PC上 |
管理员设置功能是对登录设备的管理员账户信息进行管理,包括修改用户名和密码。
· 系统中仅能存在一个管理员账户。
· 在整网管理模式下,设备不支持修改用户名,但支持在整网管理页面修改管理员密码。
· 仅允许修改管理员账户的名称和密码,不允许删除管理员账户。
|
1. 单击Web页面执行区域右上角的“管理员”图标,选择“设置”菜单项,进入管理员账户配置页面 2. 如果您需要修改当前管理员的用户名,请在“用户名”配置项处输入新用户名。需要注意的是,修改用户名后,您还必须修改当前管理员密码 3. 如果您需要修改当前管理员的密码,请依次执行以下操作: 4. 在“当前管理员密码”配置项处,输入旧密码 5. 在“新密码”配置项处,输入新密码。密码长度为10~63个字符,只能包含数字、英文字母或英文符号(除“空格”、“?”、“’”、“””、“\”字符之外)。密码必须包含至少两种类型的组合,并且不能包含admin的顺序或反序组合 6. 在“确认密码”配置项处,再次输入新密码,并确保与之一致 7. 如果您希望在此页面上显示帮助管理员记忆密码的提示信息,请在“密码提示”配置项处输入相关提示信息。密码提示不能与新密码相同 8. 单击<确定>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表17-1 页面参数描述
|
页面参数 |
描述 |
|
用户名 |
管理员的用户名。如需修改当前管理员的用户名,可以输入新的用户名。需要注意的是,修改用户名后,必须修改管理员的登录密码 |
|
当前管理员密码 |
管理员当前的登录密码 |
|
新密码 |
密码长度为10~63个字符,只能包含数字、英文字母或英文符号(除“空格”、“?”、“’”、“””、“\”字符之外)。密码必须包含至少两种类型的组合,并且不能包含admin的顺序或反序组合 |
|
确认密码 |
再次输入新密码,并确保与之前输入的新密码保持一致 |
|
密码提示 |
帮助管理员记忆密码的提示信息。密码提示不能与新密码相同 |
整网管理系统是一款轻量级Web网管平台,它采用SmartMC(Smart Management Center,智能管理中心)技术集中管理和维护网络边缘大量分散的网络设备。
整网管理模式允许查看整个网络中所有设备的管理信息,并可以基于整个网络的视角对所有设备进行配置。
通过以下两种方式可以进行开局配置:
· 如果设备从未开局,使用quicknet.h3c.com访问设备,会立即进入开局配置的功能介绍页面。
· 如果设备已经开过局,需要修改开局参数,可以单击Web页面右上角的
“整网配置引导”图标,进入开局配置的功能介绍页面。该方式下,如果因为部分参数取值不明确想退出当前配置过程,可点击Web页面右上角的
“进入首页”图标返回UWEB管理系统的概览页面。
在功能介绍页面了解UWEB管理系统的功能和样貌,了解完毕后,点击<开始配置>按钮,进入联网与设备页面。
页面向导:整网管理→发现设备
|
发现网络中的设备,查询“我的网络”中设备信息,包含序列号、设备名称、 设备型号、IP、MAC、软件版本 |
|
页面中各参数的含义如下表所示。
表18-1 页面参数描述
|
页面参数 |
描述 |
应用场景 |
|
重新发现 |
刷新全网状态信息,重新发现网络中的设备 |
更新网络状态 |
|
开始配置 |
对整网开局进行配置,系统将跳转“完善设备信息”界面 |
- |
|
高级搜索 |
通过< |
- |
|
列排序 |
通过< |
- |
页面向导:整网管理→完善设备信息
|
完善网络中的信息,对整网管理进行开局配置,包括:项目设置、上网设置、Wi-Fi设置、时区等 |
|
|
对项目进行设置 |
|
|
对上网进行设置,上网方式包括: · 通过“DHCP”方式,实现上网 · 通过“静态IP”方式,实现上网 · 通过“PPPoE”方式,实现上网
|
· 通过“DHCP”方式,实现上网
· 通过“静态IP”方式,实现上网
· 通过“PPPoE”方式,实现上网
|
|
对Wi-Fi进行设置,加密方式包括: · 采用“不加密”方式 · 采用“加密”方式 |
· 采用“不加密”方式
· 采用“加密”方式
|
|
对时区进行设置 |
|
页面中各参数的含义如下表所示。
表18-2 页面参数描述
|
页面参数 |
描述 |
|
项目名称 |
项目的名称,项目名称长度为1-20个字符,不能以数字或者空格开头,且不支持输入“?”、“'”、“"”、“\”字符 |
|
设备管理密码 |
设备的管理密码,密码长度为10~63个字符,只能包含数字、英文字母或英文符号(除“空格”、“?”、“'”、“"”、“\”字符之外)。密码必须包含至少两种类型的组合,并且不能包含admin的顺序或反序组合 |
|
确认密码 |
项目的确认密码,输入确认密码时,需要保证确认密码与设备管理密码保持一致 |
|
网关设备 |
网络中的网关设备,连接不同网络,使其能够相互通信 |
|
WAN口 |
网关设备上的WAN口,用于连接互联网 |
|
上网方式 |
连接互联网,包括DHCP、静态IP、PPPoE: · DHCP是一种动态分配IP地址的网络连接方式,当设备连接到网络时,它会向DHCP服务器发送请求,服务器会动态分配IP地址、子网掩码、网关和DNS服务器等网络参数,使设备能够快速连接到网络并获取必要的IP配置信息 · 静态IP是指手动配置的静态IP地址,子网掩码、网关和DNS服务器等网络参数,这些配置不会随着设备连接情况而改变 · PPPoE是一种在以太网上建立点对点连接的协议,通常用于在宽带接入环境下实现认证和拨号连接,使用PPPoE方式接入广域网时,用户需要提供特定账号和密码信息,通过路由器对用户进行拨号连接,从而实现接入到互联网 |
|
IP |
设备接入广域网的IP地址 |
|
子网掩码 |
IP地址的掩码或掩码长度 |
|
网关 |
设备接入广域网的网关地址 |
|
DNS |
设备接入广域网的DNS服务器地址 |
|
上网账号 |
身份验证使用的用户名。此参数由运营商提供 |
|
上网密码 |
身份验证使用的密码。此参数由运营商提供 |
|
Wi-Fi名称 |
无线网络服务的名称,长度为1-32个字符,不能包含“'”、“#”、“"”、“?”特殊字符 |
|
加密方式 |
无线服务的加密方式,配置该参数时,可根据需要进行选择,包括不加密与加密 |
|
密码 |
无线网络服务的密码,密码长度为8-63个字节 |
|
生效射频 |
使用的无线频率,以下取值的任意组合: · 2.4G · 5G |
|
区域码 |
设备所在国家或地区 |
|
时区 |
设备所在地理区域的时区 |
页面向导:整网管理→概览
|
概览将展示整网系统的运行情况,包括流量统计、消息信息、业务网络、拓扑列表、设备列表等信息 |
|
页面中各参数的含义如下表所示。
表18-3 页面参数描述
|
页面参数 |
描述 |
|
上行流量 |
统计网络中的上行流量,即数据从用户的设备发送到互联网的数据量 |
|
下行流量 |
统计网络中的下行流量,即数据从互联网传输到用户设备的数据量 |
|
设备数目 |
统计网络中的设备数目 |
|
终端数目 |
统计网络中的终端数目 |
|
消息中心 |
整网管理系统中的消息,详细介绍请见消息中心 |
|
业务网络 |
整网管理系统中的业务网络类型,包括有线业务和无线业务,详细介绍请见业务网络 |
|
拓扑列表 |
设备拓扑信息,详细介绍请见拓扑列表 |
|
设备列表 |
设备列表信息,包括序列号、设备名称、在线状态、MAC、IP、软件版本、设备型号、操作,详细介绍请见设备列表 |
页面向导:整网管理→概览→消息中心
|
查看网络中最近上报的简要消息 |
|
页面中各参数的含义如下表所示。
表18-4 页面参数描述
|
页面参数 |
描述 |
|
查看更多 |
查看网络中最近上报的详细信息 |
页面向导:整网管理→概览→业务网络
|
查看网络中业务配置 |
|
页面中各参数的含义如下表所示。
表18-5 页面参数描述
|
页面参数 |
描述 |
|
编辑 |
前往业务网络页面添加业务配置 |
页面向导:整网管理→概览→拓扑列表
|
查看具体组网拓扑 |
|
页面中各参数的含义如下表所示。
表18-6 页面参数描述
|
页面参数 |
描述 |
|
刷新 |
更新网络中拓扑数据 |
|
还原 |
将网络中拓扑结构的排列方式恢复至系统默认状态,即拓扑结构由上至下进行排列 |
|
翻转 |
将网络中拓扑结构由左至右进行排列 |
|
下载 |
将网络中拓扑结构下载至本地,文件以PNG格式进行保存 |
页面向导:整网管理→概览→设备列表
|
· 查看设备列表信息 · 选择设备列表中< |
|
表18-7 页面参数描述
|
页面参数 |
描述 |
应用场景 |
|
刷新 |
更新设备列表中的数据信息 |
用户需要获取设备列表中的最新数据 |
|
批量操作 |
批量操作包括:重启、升级、重置: · 重启:对选中的设备执行重启操作 · 升级:对选中的设备执行升级操作 · 重置:对选中的设备执行重置操作 |
当多个设备需要进行同一操作时,如果在每个设备进行同一操作,比较繁琐。此时,可以批量操作功能,对多个设备进行批量操作,为了节省工作量 |
|
高级搜索 |
通过< |
当设备列表中的设备信息较多时,使用筛选设备信息功能,用户可以快速准确地筛选所需的设备信息,提高工作效率和准确性 |
|
列排序 |
通过< |
- |
页面向导:整网管理→整网配置→业务网络→新增有线网
|
对有线业务网络进行配置 |
|
|
选择“新增有线网”,添加有线业务网络配置,对“有线业务参数”设置 1. 在“业务名称”配置项处,输入业务名称 2. 在“VLAN”配置项处,输入业务VLAN,取值为1~4000 3. 在“地址池服务器”配置项处,系统自动选择设备 4. 在“默认网关”配置项处,输入业务网关的地址 5. 在“掩码”配置项处,输入子网掩码 6. 在“DHCP地址池”配置项处,选择开启/关闭DHCP地址池功能 7. 若开启DHCP地址池”功能,在“地址池”配置项处,输入要分配IP地址的范围 8. 单击<下一步>,进入“有线接入设置”页面 |
|
|
对“有线接入设置” 1. 从左侧拓扑中点击选择有线终端准备接入的设备 2. 在设备面板上,依次单击有线网络终端规划接入的端口 3. 确认无误后,单击<下一步>按钮,进入“配置下发确认”配置页面 |
· 对有线接入进行设置
· 选择有线终端准备接入的设备
· 选择有线网络终端规划接入交换机的端口
|
|
“配置下发确认”,检查业务配置,确认无误后,单击<确认并下发>按钮,进行配置下发,配置下发时,请不要关闭该页面,请耐心等待 |
|
|
“配置下发”,配置下发成功后,单击<完成>按钮,完成有线网络业务配置 |
|
|
删除有线业务网络 |
|
|
编辑有线业务网络 |
|
页面中各参数的含义如下表所示。
表18-8 页面参数描述
|
页面参数 |
描述 |
|
新增有线网 |
新增有线业务网络配置 |
|
业务名称 |
业务的名称,名称为中文、英文字母、数字、下划线、空格和-的组合,长度小于255,且不能为全空格 |
|
VLAN |
该VLAN接口的ID号,取值为1~4000 |
|
地址池服务器 |
管理和分配IP地址给客户端设备的服务器,系统自动选择设备 |
|
默认网关 |
设备接入广域网的默认网关 |
|
掩码 |
IP地址的掩码或掩码长度 |
|
DHCP地址池 |
是否开启DHCP地址池功能。若开启该功能,设备将为连接到设备的客户端(例如连接到设备的计算机等)动态分配IP地址 |
|
地址池 |
DHCP服务器地址池分配IP地址的范围,包括起始IP地址与结束IP地址 |
|
重新选择 |
重新选择接入的端口 |
|
新增无线网 |
新增无线网络服务 |
|
Wi-Fi名称 |
无线网络服务的名称,长度为1-32个字符,不能包含“'”、“#”、“"”、“?”特殊字符 |
|
工作状态 |
根据实际业务需求,开启或关闭无线网络服务 |
|
安全类型 |
无线服务的加密方式,配置该参数时,可根据需要进行选择: · 开放式:不对无线服务加密 · 兼容模式(WPA+WPA2):提供较高的安全性,使用WPA和WPA2混合加密方式 · WPA2:安全性较高的加密方式,应用于支持WPA2的设备,主要通过输入密码连接,但也广泛支持802.1X认证,适用于家庭和小型办公室网络 · WPA3:最新的安全加密方式,比WPA2更安全,应用于支持WPA3的设备,提供多种连接方式,包括传统的密码输入、二维码连接和增强版开放连接,适用于家庭、小型办公室网络和公共网络环境 |
|
生效射频 |
使用的无线频率,以下取值的任意组合: · 射频1(2.4GHz) · 射频2(5GHz) · 射频3(5GHz) |
|
隐藏Wi-Fi |
选择是否隐藏Wi-Fi: · 若关闭隐藏Wi-Fi,当无线客户端搜寻本地可以接入的无线网络时,将检测到广播的Wi-Fi,从而可以建立连接 · 若开启隐藏Wi-Fi,管理员需要向客户端知会其Wi-Fi名称,客户端才可以根据Wi-Fi名称接入无线网络 |
|
用户限速 |
通过用户限速功能,可以限制单个用户对带宽的过多消耗,保证所有接入用户均能正常使用网络业务 |
|
每用户限速 |
关联在该SSID下的每个用户均按照设定的限速值工作。例如,每用户限速速率值为1Mbps,即关联在该SSID下的所有用户均按照1Mbps限速。 |
|
所有用户平均分摊 |
关联在该SSID下的所有用户平均分摊设定值,每个用户的限速值会随着当前SSID关联的用户数变化而动态变化。例如,限速速率值为M,关联用户数为N,即每个用户按照M/N进行限速 |
|
上行限速 |
对用户的上行流量进行限速 |
|
上行 |
设置用户的上行流量限制速率,单位为Kbps |
|
下行限速 |
对用户的下行流量进行限速 |
|
下行 |
设置用户的下行流量限制速率,单位为Kbps |
|
全部 |
显示有线与无线业务网络配置 |
|
有线 |
显示有线业务网络配置 |
|
无线 |
显示无线业务网络配置 |
|
删除有线 |
删除有线业务网络配置 |
|
删除无线 |
删除无线业务网络配置 |
|
编辑有线 |
编辑有线业务网络配置 |
|
编辑无线 |
编辑无线业务网络配置 |
|
刷新 |
更新业务网络中拓扑数据 |
|
还原 |
将业务网络中拓扑结构的排列方式恢复至系统默认状态,即拓扑结构由上至下进行排列 |
|
翻转 |
将业务网络中拓扑结构由左至右进行排列 |
|
下载 |
将业务网络中拓扑结构下载至本地,文件以PNG格式进行保存 |
页面向导:整网管理→整网配置→业务网络→新增无线网
|
对无线业务网络进行配置 |
|
|
选择“新增无线网”,添加无线业务网络配置,对无线业务参数进行设置: 1. 在“Wi-Fi名称”配置项处,输入无线服务的名称 2. 在“工作状态”配置项处,根据实际业务需求,开启或关闭无线服务的工作状态 3. 在“安全类型”配置项处,通过下拉框,选择无线服务的安全类型,包括开放式、兼容模式(WPA和WPA2)、WPA2或WPA3 4. 在“密码”配置项处,输入Wi-Fi的密码,仅安全类型为兼容模式(WPA和WPA2)、WPA2或WPA3支持设置 5. 在“生效射频”配置项处,通过复选框选择生效频段,2.4G、5G、5G-2的任意组合 6. 在“隐藏Wi-Fi”配置项处,根据实际业务需求,选择是否隐藏Wi-Fi,按钮开启后,无线网络的名称将被隐藏,无线终端连接时需手动加入网络 7. 在“用户限速”配置项处,根据实际业务需求,选择是否对用户进行限速 8. 确认无误后,单击<下一步>按钮,进入“有线接入设置”配置页面,对有线接入进行设置 |
|
|
对“有线接入设置” 1. 在“业务名称”配置项处,输入业务名称 2. 在“VLAN”配置项处,通过下拉框,可以选择已配置VLAN,也可以选择添加新VLAN 3. 若“VLAN”为添加新VLAN,在“VLAN”配置项处,输入业务VLAN,取值为1~4000 4. 在“地址池服务器”配置项处,系统自动选择设备 5. 在“默认网关”配置项处,输入业务网关的地址 6. 在“掩码”配置项处,输入子网掩码 7. 在“DHCP地址池”配置项处,根据实际业务需求,开启或关闭“DHCP地址池”功能 8. 若开启DHCP地址池”功能,在“地址池”配置项处,输入要分配IP地址的范围 9. 确认无误后,单击<下一步>按钮,进入“配置下发确认”配置页签 |
|
|
“配置下发确认”,检查业务配置,确认无误后,单击<确认并下发>按钮,进行配置下发,配置下发时,请不要关闭该页面,请耐心等待 |
|
|
配置下发成功后,单击<完成>按钮,完成无线网络业务配置 |
|
|
删除无线业务网络 |
|
|
编辑无线业务网络 |
|
页面中各参数的含义如下表所示。
表18-9 页面参数描述
|
页面参数 |
描述 |
|
新增有线网 |
新增有线业务网络配置 |
|
业务名称 |
业务的名称,名称为中文、英文字母、数字、下划线、空格和-的组合,长度小于255,且不能为全空格 |
|
VLAN |
该VLAN接口的ID号,取值为1~4000 |
|
地址池服务器 |
管理和分配IP地址给客户端设备的服务器,系统自动选择设备 |
|
默认网关 |
设备接入广域网的默认网关 |
|
掩码 |
IP地址的掩码或掩码长度 |
|
DHCP地址池 |
是否开启DHCP地址池功能。若开启该功能,设备将为连接到设备的客户端(例如连接到设备的计算机等)动态分配IP地址 |
|
地址池 |
DHCP服务器地址池分配IP地址的范围,包括起始IP地址与结束IP地址 |
|
重新选择 |
重新选择接入的端口 |
|
新增无线网 |
新增无线网络服务 |
|
Wi-Fi名称 |
无线网络服务的名称,长度为1-32个字符,不能包含“'”、“#”、“"”、“?”特殊字符 |
|
工作状态 |
根据实际业务需求,开启或关闭无线网络服务 |
|
安全类型 |
无线服务的加密方式,配置该参数时,可根据需要进行选择: · 开放式:不对无线服务加密 · 兼容模式(WPA+WPA2):提供较高的安全性,使用WPA和WPA2混合加密方式 · WPA2:安全性较高的加密方式,应用于支持WPA2的设备,主要通过输入密码连接,但也广泛支持802.1X认证,适用于家庭和小型办公室网络 · WPA3:最新的安全加密方式,比WPA2更安全,应用于支持WPA3的设备,提供多种连接方式,包括传统的密码输入、二维码连接和增强版开放连接,适用于家庭、小型办公室网络和公共网络环境 |
|
生效射频 |
使用的无线频率,以下取值的任意组合: · 2.4G · 5G) · 5G-2 |
|
隐藏Wi-Fi |
选择是否隐藏Wi-Fi: · 若关闭隐藏Wi-Fi,当无线客户端搜寻本地可以接入的无线网络时,将检测到广播的Wi-Fi,从而可以建立连接 · 若开启隐藏Wi-Fi,管理员需要向客户端知会其Wi-Fi名称,客户端才可以根据Wi-Fi名称接入无线网络 |
|
用户限速 |
通过用户限速功能,可以限制单个用户对带宽的过多消耗,保证所有接入用户均能正常使用网络业务 |
|
每用户限速 |
关联在该SSID下的每个用户均按照设定的限速值工作。例如,每用户限速速率值为1Mbps,即关联在该SSID下的所有用户均按照1Mbps限速。 |
|
所有用户平均分摊 |
关联在该SSID下的所有用户平均分摊设定值,每个用户的限速值会随着当前SSID关联的用户数变化而动态变化。例如,限速速率值为M,关联用户数为N,即每个用户按照M/N进行限速 |
|
上行限速 |
对用户的上行流量进行限速 |
|
上行 |
设置用户的上行流量限制速率,单位为Kbps |
|
下行限速 |
对用户的下行流量进行限速 |
|
下行 |
设置用户的下行流量限制速率,单位为Kbps |
|
全部 |
显示有线与无线业务网络配置 |
|
有线 |
显示有线业务网络配置 |
|
无线 |
显示无线业务网络配置 |
|
删除有线 |
删除有线业务网络配置 |
|
删除无线 |
删除无线业务网络配置 |
|
编辑有线 |
编辑有线业务网络配置 |
|
编辑无线 |
编辑无线业务网络配置 |
|
刷新 |
更新业务网络中拓扑数据 |
|
还原 |
将业务网络中拓扑结构的排列方式恢复至系统默认状态,即拓扑结构由上至下进行排列 |
|
翻转 |
将业务网络中拓扑结构由左至右进行排列 |
|
下载 |
将业务网络中拓扑结构下载至本地,文件以PNG格式进行保存 |
WLAN技术是当今通信领域的热点之一,使用WLAN解决方案,网络运营商和企业能够为用户提供方便的无线接入服务,主要包括:
· 使用具有无线局域网功能的设备建立无线网络,通过该网络,用户可以访问局域网或因特网;
· 使用不同认证和加密方式,提供安全的无线网络接入服务;
在无线网络内,用户可以在网络覆盖区域内自由移动,彻底摆脱有线束缚。
页面向导:整网管理→整网配置→无线配置→无线服务
|
对无线网络进行配置 |
|
|
单击<新建>按钮,进入“新建无线服务”页签,对无线服务进行设置: 1. 在“Wi-Fi名称”配置项处,输入Wi-Fi的名称 2. 在“工作状态”配置项处,打开或者关闭无线服务 3. 在“安全类型”配置项处,通过下拉框,选择Wi-Fi安全类型,包括开放式、兼容模式(WPA+WPA2)、WPA2或者WPA3 4. 在“密码”配置项处,输入Wi-Fi的密码,仅安全类型为兼容模式(WPA和WPA2)、WPA2或WPA3支持设置 5. 在“VLAN”配置项处,通过下拉框选择已创建的VLAN或者新增无线业务VLAN 6. 在“生效射频”配置项处,选择射频2.4G、5G、5G-2的任意组合 7. 在“隐藏Wi-Fi”配置项处,若按钮处于关闭状态,则表示不隐藏Wi-Fi;若按钮处于开启状态,则表示隐藏Wi-Fi,无线网络的名称将被隐藏,无线终端连接时需手动加入网络 8. 在“用户限速”配置项处,根据实际业务需求,选择是否对用户进行限速 9. 确认无误后,单击<提交>按钮,新增服务模板 |
|
|
在Wi-Fi列表中,点击指定Wi-Fi对应的<编辑>按钮,弹出编辑无线服务对话框,对无线服务进行编辑: 1. 在“Wi-Fi名称”配置项处,编辑Wi-Fi的名称 2. 在“工作状态”配置项处,打开或者关闭无线服务 3. 在“安全类型”配置项处,通过下拉框,选择Wi-Fi安全类型,包括开放式、兼容模式(WPA+WPA2)、WPA2或者WPA3 4. 在“密码”配置项处,编辑Wi-Fi的密码,仅安全类型为兼容模式(WPA和WPA2)、WPA2或WPA3支持设置 5. 在“VLAN”配置项处,通过下拉框选择已创建的VLAN或者新增无线业务VLAN 6. 在“生效射频”配置项处,选择射频2.4G、5G、5G-2的任意组合 7. 在“隐藏Wi-Fi”配置项处,若按钮处于关闭状态,则表示不隐藏Wi-Fi;若按钮处于开启状态,则表示隐藏Wi-Fi,无线网络的名称将被隐藏,无线终端连接时需手动加入网络 8. 在“用户限速”配置项处,根据实际业务需求,选择是否对用户进行限速 9. 确认无误后,单击<提交>按钮,编辑服务模板 |
|
|
在Wi-Fi列表中,单击指定Wi-Fi对应的<删除>按钮,删除单个无线服务配置,确认无误后,单击<确认>按钮,删除服务模板 |
|
|
在Wi-Fi列表中,选择多个Wi-Fi对应的复选框,单击<批量删除>按钮,批量删除多个无线服务配置,确认无误后,单击<确认>按钮,删除服务模板 |
|
页面中各参数的含义如下表所示。
表18-10 页面参数描述
|
页面参数 |
描述 |
|
新建 |
新增无线网络服务 |
|
Wi-Fi名称 |
无线网络服务的名称,长度为1-32个字符,不能包含“'”、“#”、“"”、“?”特殊字符 |
|
工作状态 |
根据实际业务需求,开启或关闭无线网络服务 |
|
安全类型 |
无线服务的加密方式,配置该参数时,可根据需要进行选择: · 开放式:不对无线服务加密 · 兼容模式(WPA+WPA2):提供较高的安全性,使用WPA和WPA2混合加密方式 · WPA2:安全性较高的加密方式,应用于支持WPA2的设备,主要通过输入密码连接,但也广泛支持802.1X认证,适用于家庭和小型办公室网络 · WPA3:最新的安全加密方式,比WPA2更安全,应用于支持WPA3的设备,提供多种连接方式,包括传统的密码输入、二维码连接和增强版开放连接,适用于家庭、小型办公室网络和公共网络环境 |
|
密码 |
无线服务的密码,仅安全类型为兼容模式(WPA和WPA2)、WPA2或WPA3支持设置 |
|
VLAN |
该VLAN接口的ID号,取值为1~4000 |
|
生效射频 |
使用的无线频率,以下取值的任意组合: · 2.4G · 5G · 5G-2 |
|
隐藏Wi-Fi |
可根据需要,选择是否隐藏Wi-Fi,按钮开启后,无线网络服务的名称将被隐藏。无线终端连接无线网络时,需手动搜索无线网络服务的名称 |
|
用户限速 |
通过用户限速功能,可以限制单个用户对带宽的过多消耗,保证所有接入用户均能正常使用网络业务 |
|
每用户限速 |
关联在该SSID下的每个用户均按照设定的限速值工作。例如,每用户限速速率值为1Mbps,即关联在该SSID下的所有用户均按照1Mbps限速。 |
|
所有用户平均分摊 |
关联在该SSID下的所有用户平均分摊设定值,每个用户的限速值会随着当前SSID关联的用户数变化而动态变化。例如,限速速率值为M,关联用户数为N,即每个用户按照M/N进行限速 |
|
上行限速 |
对用户的上行流量进行限速 |
|
上行 |
设置用户的上行流量限制速率,单位为Kbps |
|
下行限速 |
对用户的下行流量进行限速 |
|
下行 |
设置用户的下行流量限制速率,单位为Kbps |
|
编辑 |
对无线网络配置进行编辑 |
|
删除 |
删除单个无线服务配置 |
|
批量删除 |
批量删除多个无线服务配置 |
页面向导:整网管理→整网配置→无线配置→射频配置
|
对射频参数进行配置 |
|
页面中各参数的含义如下表所示。
表18-11 页面参数描述
|
页面参数 |
描述 |
|
Wi-Fi标准 |
配置Wi-Fi标准,取值为: · 兼容模式,允许不同代的Wi-Fi设备互相通信,即在新旧标准之间提供向后兼容性 · 802.11ax(Wi-Fi6),适用于高密度的家庭、企业和公共网络环境,如会议中心、体育场和购物中心 · 802.11be(Wi-Fi7),适用于高带宽低延迟需求场景,如8K视频流、VR/AR、企业环境和智慧城市等 |
|
最大终端数量 |
无线网络接入点同时支持连接的终端设备的最大数量 |
页面向导:整网管理→整网配置→无线配置→黑白名单
|
对黑名单/白名单进行配置 |
|
|
· 在“无线黑名单列表”配置项处,单击“新增”,新增黑名单的MAC地址及备注信息 · 在“无线白名单列表”配置项处,单击“新增”,新增白名单的MAC地址及备注信息 |
|
页面中各参数的含义如下表所示。
表18-12 页面参数描述
|
页面参数 |
描述 |
|
黑名单 |
禁止特定的MAC地址接入Wi-Fi上网 |
|
白名单 |
仅允许特定的MAC地址接入Wi-Fi上网 |
|
新增 |
新增黑名单/白名单的MAC地址及备注信息 |
|
编辑 |
修改黑名单/白名单的MAC地址及备注信息 |
|
批量删除 |
批量删除黑名单/白名单的MAC地址及备注信息 |
页面向导:整网管理→整网配置→无线配置→无线优化
|
对无线网络进行智能网优 |
|
|
在“漫游优化”页签,对漫游灵敏度进行设置 |
|
|
在“弱信号优化”页签,可以对无线弱信号进行优化 |
|
|
在“5G优先”页签,可以选择开启或关闭“5G优先”功能。如果开启“5G优先”功能,在无屏蔽遮挡的场景下,5G频段在信道干扰与连接速率方面通常会有更佳表现。开启本功能后,终端将被引导优先接入5G频段,以获得更好的用户体验 |
|
页面中各参数的含义如下表所示。
表18-13 页面参数描述
|
页面参数 |
描述 |
|
启动手动调优 |
系统将根据当前网络环境进行一次无线网络优化,以充分提升无线性能。手动调优完成后,无线网络中的信道、功率和带宽等参数可能会有所调整 |
|
启动自动调优 |
系统扫描无线网络参数后,将下发配置并自动进行实时优化。调优完成后,可以查看自动调优记录。若终端设备存在服务时,系统暂时停止自动调优 |
|
调优记录 |
无线网络智能调优记录: · 在组网中没有AP或未进行调优时,将不会产生调优记录 · 仅显示每个AP最近一次的调优记录。点击查看历史调优记录,可查询更多调优信息 · 每个AP最多显示10条调优记录 |
|
全部 |
2.4G与5G无线网络调优记录 |
|
2.4G |
2.4GHz无线网络调优记录 |
|
5G |
5GHz无线网络调优记录 |
|
漫游灵敏度 |
调节终端漫游的灵敏程度。它能够调整终端发起漫游的信号强度门限值。在密集部署情况下,可以适当提高漫游灵敏度;相反,在稀疏部署情况下,可以降低漫游灵敏度 |
|
推荐 |
漫游灵敏度的推荐配置 |
|
弱信号优化 |
对无线弱信号进行优化 |
|
禁止弱信号接入门限 |
设置禁止弱信号接入的门限值。未接入无线服务的客户端,信号强度低于门限值时,将无法接入;门限值过大会导致客户端接入困难 |
|
弱信号重关联门限 |
设置弱信号重关联门限值。已接入无线服务的客户端,信号强度低于门限值时,将被踢下线 某些特殊客户端在多次被踢下线后会出现无法接入的现象,此类客户端场景下请谨慎开启本功能 |
|
5G优先 |
开启本功能后,终端将被引导优先接入5G频段,以获得更好的用户体验 |
页面向导:整网管理→整网配置→AP指示灯
|
打开或者关闭AP上的指示灯 |
|
页面中各参数的含义如下表所示。
表18-14 页面参数描述
|
页面参数 |
描述 |
|
批量开灯 |
勾选对应AP前的复选框,选择批量开灯,打开对应AP上的指示灯 |
|
批量关灯 |
勾选对应AP前的复选框,选择批量关灯,关闭对应AP上的指示灯 |
|
全部开灯 |
打开全部AP上的指示灯 |
|
全部关灯 |
关闭全部AP上的指示灯 |
|
开 |
打开对应AP上的指示灯 |
|
关 |
关闭对应AP上的指示灯 |
|
刷新 |
刷新AP指示灯信息 |
页面向导:整网管理→整网配置→防环路
|
防环路功能可有效避免网络拥塞或连接中断等问题。开启该功能后,如果网络中出现环路现象,接入交换机上的环路端口将被自动关闭 |
|
|
单击<开启>按钮,进入防环路配置 |
|
页面中各参数的含义如下表所示。
表18-15 页面参数描述
|
页面参数 |
描述 |
|
自动识别接入交换机 |
自动识别需要开启防环路功能的接入交换机 |
|
手动选择交换机 |
在拓扑图中,手动选择需要开启防环路功能的交换机 |
|
刷新 |
更新网络中拓扑数据 |
|
还原 |
将网络中拓扑结构的排列方式恢复至系统默认状态,即拓扑结构由上至下进行排列 |
|
翻转 |
将网络中拓扑结构由左至右进行排列 |
|
取消配置 |
取消当前配置 |
|
下发配置 |
下发当前配置 |
|
修改配置 |
修改当前配置 |
页面向导:整网管理→整网配置→防私接
|
防私接功能可以确保网络稳定性。开启该功能后,防止终端设备获取到私自接入的路由器分配的错误地址,从而保证设备能够正常连接网络。 |
|
|
单击<开启>按钮,进入防私接配置 |
|
页面中各参数的含义如下表所示。
表18-16 页面参数描述
|
页面参数 |
描述 |
|
自动选择所有交换机 |
自动选择所有需要开启防私接功能的交换机 |
|
手动选择交换机 |
在拓扑图中,手动选择需要开启防私接功能的交换机 |
|
刷新 |
更新网络中拓扑数据 |
|
还原 |
将网络中拓扑结构的排列方式恢复至系统默认状态,即拓扑结构由上至下进行排列 |
|
翻转 |
将网络中拓扑结构由左至右进行排列 |
|
取消配置 |
取消当前配置 |
|
下发配置 |
下发当前配置 |
|
修改配置 |
修改当前配置 |
页面向导:整网管理→整网配置→IPTV
|
IPTV即交互式网络电视,是一种利用宽带有线电视网,集互联网、多媒体、通讯等多种技术于一体,向用户提供电视数据节目的数字媒体服务 |
|
|
在IPTV页面,单击<开始配置>按钮,开始配置IPTV业务 · 请根据组网类型选择 ¡ AP连接机顶盒 ¡ 网关连接机顶盒 · 请根据光猫类型选择方案 ¡ 双线路方案(带IPTV口) ¡ 单线路方案(不带IPTV口) |
|
|
1. 组网类型为AP连接机顶盒,光猫类型选择双线路方案(带IPTV口),单击<完成布线,下一步>按钮 2. 选择上联至IPTV的LAN口 3. 在VLAN配置项处,输入IPTV运营商以提供VLAN ID,并选择与机顶盒连接的AP 4. 单击<完成配置>按钮,完成配置 |
|
|
1. 组网类型为AP连接机顶盒,光猫类型选择单线路方案(不带IPTV口),单击<完成布线,下一步>按钮 2. 在VLAN配置项处,输入IPTV运营商以提供VLAN ID,并选择与机顶盒连接的AP 3. 单击<完成配置>按钮,完成配置 |
|
|
1. 组网类型为网关连接机顶盒,光猫类型选择双线路方案(带IPTV口),单击<完成布线,下一步>按钮 2. 选择上联至IPTV的LAN口 3. 请选择下联至机顶盒的LAN口 4. 单击<完成配置>按钮,完成配置 |
|
|
1. 组网类型为网关连接机顶盒,光猫类型选择单线路方案(不带IPTV口) 2. 选择下联至机顶盒的LAN口 3. 单击<完成配置>按钮,完成配置 |
|
页面中各参数的含义如下表所示。
表18-17 页面参数描述
|
页面参数 |
描述 |
|
开始配置 |
开始配置IPTV业务 |
|
AP连接机顶盒 |
该场景适用于AP与机顶盒之间相互连接 |
|
网关连接机顶盒 |
该场景适用于网关设备与机顶盒之间相互连接 |
|
双线路方案(带IPTV口) |
该方案适用于运营商提供的入户光猫带有单独的IPTV端口,即有两个网口分别接入IPTV和网络业务,需要两根网线独立承载两种业务 |
|
单线路方案(不带IPTV口) |
该方案适用于运营商提供的入户光猫没有单独的IPTV端口,可以通过将网关设备的某一WAN口与光猫连接,实现一根网线同时承载IPTV和网络两种业务 |
|
VLAN |
IPTV运营商以提供VLAN ID |
页面向导:整网管理→整网配置→自动纳管
|
当组网中接入新设备时,系统自动纳管新设备 |
|
页面中各参数的含义如下表所示。
表18-18 页面参数描述
|
页面参数 |
描述 |
|
自动纳管新设备 |
· 若开启自动纳管新设备功能后,系统将自动纳管组网中的新设备 · 关闭自动纳管新设备功能后,当组网中接入新设备时,新设备将不会被系统自动纳管,需要在设备管理页面确认加入才能正常上线 |
页面向导:整网管理→设备管理
|
允许查看整个网络中所有设备的管理信息,并可以基于整个网络的视角对所有设备进行配置 |
|
|
点击对应序列号,进入“设备详情”页面,单击“接口配置”,可以查看或修改接口配置 1. 在“端口类型”处,选择设备面板图上某个端口,在“当前端口”出,可以查看当前接口配置或修改当前接口配置: ¡ 选择设备面板图上某个WAN端口,本例以WAN1端口举例说明,查看或修改WAN1端口配置,包括“联网方式”、“IP地址”、“DNS服务器”、“MTU”、“子网掩码”、“网关”等配置 ¡ 选择设备面板图上某个LAN端口,本例以LAN1端口举例说明,查看或修改LAN1端口配置,包括“PVID”、“接口类型”、“Permit VLAN”等配置 2. 若修改端口配置,确认无误后,单击<保存>按钮,保存端口配置 |
· 查看或修改WAN1端口配置
· 查看或修改LAN1端口配置
|
|
在“设备详情”页面,单击“VLAN配置”,可以刷新、新建、编辑或删除VLAN配置 |
|
页面中各参数的含义如下表所示。
表18-19 页面参数描述
|
页面参数 |
描述 |
|
全部 |
对当前组网内全部设备进行管理 |
|
交换机 |
对当前组网内所有交换机进行管理 |
|
路由 |
对当前组网内所有路由进行管理 |
|
AP |
对当前组网内所有AP进行管理 |
|
AC |
对当前组网内所有AC进行管理 |
|
防火墙 |
对当前组网内所有防火墙进行管理 |
|
刷新 |
刷新设备状态 |
|
添加设备 |
将设备添加到网络中 |
|
删除离线设备 |
将离线设备从网络中删除 |
|
批量操作 |
选择对应设备的复选,单击<批量操作>按钮,对设备进行批量操作,包括“重启”、“升级”、“重置”等。主设备暂不支持“重置”操作 |
|
序列号 |
显示设备的序列号,单击设备的序列号,进入“设备详情”页面 |
|
设备名称 |
显示设备的名称 |
|
在线状态 |
显示设备的在线状态 |
|
设备型号 |
显示设备的型号 |
|
IP |
显示设备的IP地址 |
|
MAC |
显示设备的MAC地址 |
|
软件版本 |
显示设备的软件版本号 |
|
升级 |
对设备进行升级。若升级处于置灰状态,表示H3C云简网络平台暂时没有提供比当前设备版本更新的版本,因此无法执行在线升级 |
|
WEB |
点击对应设备的<WEB>按钮,进入设备Web管理界面 |
|
高级搜索 |
使用< |
|
列排序 |
使用< |
|
设备详情 |
显示设备详情信息 |
|
SN |
显示设备的SN号 |
|
设备状态 |
可以查看“设备状态图”、“端口信息”、“VLAN划分”等信息 |
|
接口配置 |
对设备上的接口进行配置 |
|
联网方式 |
设置WAN接口联网方式,包括PPPoE、固定地址、DHCP: · PPPoE是一种在以太网上建立点对点连接的协议,通常用于在宽带接入环境下实现认证和拨号连接,使用PPPoE方式接入广域网时,用户需要提供特定账号和密码信息,通过路由器对用户进行拨号连接,从而实现接入到互联网 · 固定地址是指手动配置的静态IP地址,子网掩码、网关和DNS服务器等网络参数,这些配置不会随着设备连接情况而改变 · DHCP是一种动态分配IP地址的网络连接方式,当设备连接到网络时,它会向DHCP服务器发送请求,服务器会动态分配IP地址、子网掩码、网关和DNS服务器等网络参数,使设备能够快速连接到网络并获取必要的IP配置信息 |
|
MTU |
设备接口允许通过的MTU(Maximum Transmission Unit,最大传输单元)的大小,取值范围取决于接口的类型,单位为字节 |
|
IP地址 |
设备接入广域网的IP地址 |
|
子网掩码 |
IP地址的掩码或掩码长度 |
|
DNS服务器 |
设备接入广域网的DNS服务器地址 |
|
网关 |
设备接入广域网的网关地址 |
|
端口开关 |
开启或关闭该端口 |
|
工作模式 |
切换工作模式,本功能支持情况与接口有关,请以实际情况为准 |
|
PVID |
该端口的缺省VLAN |
|
接口类型 |
包括Access端口、Trunk端口 |
|
Permit VLAN |
允许指定的VLAN通过当前端口 |
|
VLAN配置 |
对VLAN进行配置 |
|
VLAN ID |
该VLAN接口的ID号 |
|
新建 |
新建VLAN配置 |
|
编辑 |
对VLAN配置进行编辑,更改配置 |
|
IP地址 |
输入接口的IP地址 |
|
备注 |
输入VLAN备注信息 |
|
子网掩码 |
输入IP地址的掩码或掩码长度,例如255.255.255.0或24 |
|
DHCP服务 |
根据实际情况,选择开启或关闭DHCP服务 |
|
地址池 |
DHCP服务器地址池分配IP地址的范围,包括起始IP地址与结束IP地址 |
|
重启 |
重启该设备 |
|
重置 |
重置该设备 |
|
升级 |
升级该设备 |
|
关闭 |
关闭“设备详情”界面 |
页面向导:整网管理→终端管理→在线用户
|
显示在线用户信息 |
|
页面中各参数的含义如下表所示。
表18-20 页面参数描述
|
页面参数 |
描述 |
|
刷新 |
刷新在线用户信息 |
|
设备名称 |
查看在线用户的设备名称 |
|
接入类型 |
查看在线用户的接入类型 |
|
接入IP |
查看在线用户的接入IP |
|
用户MAC |
查看在线用户的MAC地址 |
|
接入VLAN |
查看在线用户的接入VLAN |
|
在线时长 |
查看在线用户在线时长 |
|
高级搜素 |
使用 |
|
列排序 |
使用 |
页面向导:整网管理→终端管理→无线用户
|
显示无线用户信息 |
|
|
通过如下操作,可以将无线用户加入黑名单: · 选择对应无线用户的“加入黑名单”功能,确认无误,单击<确认>按钮,将单个无线用户加入黑名单。其中用户可以在“加入黑名单”页签中,输入黑名单的备注信息 · 依次勾选对应无线用户前的复选框,选择“批量加入黑名单”功能,确认无误,单击<确认>按钮,将多个无线用户加入黑名单。其中用户可以在“加入黑名单”页签中,输入黑名单的备注信息 |
|
|
通过如下操作,可以将无线用户加入白名单: · 选择对应无线用户的“加入白名单”功能,确认无误,单击<确认>按钮,将单个无线用户加入白名单。其中用户可以在“加入白名单”页签中,输入白名单的备注信息 · 依次勾选对应无线用户前的复选框,选择“批量加入白名单”功能,确认无误,单击<确认>按钮,将多个无线用户加入白名单。其中用户可以在“加入白名单”页签中,输入白名单的备注信息 |
|
页面中各参数的含义如下表所示。
表18-21 页面参数描述
|
页面参数 |
描述 |
|
刷新 |
刷新无线用户信息 |
|
MAC地址 |
查看无线用户的MAC地址 |
|
接入AP |
查看无线用户的接入AP |
|
IP地址 |
查看无线用户的IP地址 |
|
Wi-Fi名称 |
查看无线用户的Wi-Fi名称 |
|
无线模式 |
查看无线用户的无线模式 |
|
在线时长 |
查看无线用户的在线时长 |
|
操作 |
将无线用户加入黑名单或白名单 · 加入黑名单:将单个无线用户加入黑名单,仅禁止在黑名单内的源MAC地址访问外网,其余允许访问 · 加入白名单:将单个无线用户加入白名单,仅允许在白名单内的源MAC地址访问外网,其余禁止访问 |
|
批量加入黑名单 |
将多个无线用户批量加入黑名单 |
|
批量加入白名单 |
将多个无线用户批量加入白名单 |
|
列排序 |
使用 |
通过本功能可以设置系统时间。系统时间包括日期、时间和时区等。为了便于管理设备,并保证本设备与其它网络设备协同工作,您需要为设备配置准确的系统时间。
系统时间的获取方式有两种:
· 手动设置日期和时间。该方式下,用户手动指定的日期和时间即为当前的系统时间。后续,设备使用内部时钟信号计时。如果设备重启,系统时间将恢复到出厂时间。
· 自动同步网络日期和时间。该方式下,设备使用从NTP服务器获取的时间作为当前的系统时间,并周期性地同步NTP服务器的时间,以便和NTP服务器的系统时间保持一致。即便本设备重启,设备也会迅速重新同步NTP服务器的系统时间。如果您管理的网络中有NTP服务器,推荐使用该方式,该方式获取的时间比手动配置的时间更精准。
了解设备所处的时区。全球分为24个时区,请将设备的时区配置为设备所在地理区域的时区。例如,设备在中国,请选择“北京,重庆,香港特别行政区,乌鲁木齐(GMT+08:00)”;如果设备位于美国,请选择“中部时间(美国和加拿大)(GMT-06:00)”。
页面向导:整网管理→系统管理→系统时间
|
设置系统时间 |
|
|
在“同步方式”配置项处,选择“手动设置”,手动设置日期和时间 1. 在“设置时间”配置项处,设置设备所在地理区域的当前时间: ¡ 选择日期,包括“年、月、日” ¡ 选择时间,包括“时、分、秒” ¡ 选择“此刻”,系统自动设置此刻时间 2. 确认无误后,单击<保存>按钮,完成手动设置日期和时间 |
|
页面中各参数的含义如下表所示。
表18-22 页面参数描述
|
页面参数 |
描述 |
|
时间 |
当前系统日期和时间 |
|
时区 |
设备所在地理区域的时区 |
|
手动设置 |
手动设置日期和时间,如果设备重启,系统时间将恢复到出厂时间 |
|
设置时间 |
选择日期与时间,包括“年、月、日、时、分、秒” |
|
自动同步 |
自动同步网络日期和时间,设备和NTP服务器上配置的时区必须相同,否则,会导致设备的系统时间和NTP服务器的系统时间不一致 |
页面向导:整网管理→系统管理→版本升级→升级设备
|
H3C云简网络平台对设备上的系统软件进行在线升级,通过如下操作可以实现: · 选择对应设备的“升级”功能,进入“设备升级”页面,可对单个设备进行升级 · 依次勾选对应设备的复选框,选择“批量操作”中“升级”功能,进入“设备升级”页面,可对多个设备进行升级 |
|
|
在“设备升级”页面,选择升级方式。当前仅支持“在线升级”方式,选择“在线升级”,确认无误,单击<下一步>,进入“选择版本”页面 |
|
|
在“设备升级”页面,选择版本,云简网络平台将为设备自动匹配最新的版本,确认无误,单击<下一步>,进入“升级策略”页面 |
|
|
在“设备升级”页面,对升级策略进行配置,用户可选择保存或不保存设备配置,确认无误,单击<开始升级>,升级过程请耐心等待,请不要将设备断电 |
|
页面中各参数的含义如下表所示。
表18-23 页面参数描述
|
页面参数 |
描述 |
|
刷新 |
刷新待升级设备信息 |
|
升级 |
单击指定设备对应的“升级”操作,对单个设备升级。若升级处于置灰状态,表示H3C云简网络平台暂时没有提供比当前设备版本更新的版本,因此无法执行在线升级 |
|
在线升级 |
通过H3C云简网络平台对设备进行自动升级 |
|
保存配置 |
· 若保存配置处于“开”状态,升级过程会保存设备配置 · 若保存配置处于“关”状态,升级过程不会保存设备配置 |
|
批量操作 |
对多个设备进行批量升级 |
|
高级搜索 |
通过< |
|
列排序 |
通过< |
页面向导:整网管理→系统管理→版本升级→查看设备升级状态
|
升级设备,查看设备升级状态 |
|
页面中各参数的含义如下表所示。
表18-24 页面参数描述
|
页面参数 |
描述 |
|
刷新 |
刷新设备升级状态 |
|
序列号 |
查看设备的序列号 |
|
设备名称 |
查看设备的名称 |
|
设备型号 |
查看设备的型号 |
|
当前版本 |
查看设备的当前版本 |
|
升级方式 |
查看设备的升级方式 |
|
升级策略 |
查看设备的升级策略 |
|
升级状态 |
查看设备的升级状态 |
|
高级搜素 |
使用 |
|
列排序 |
使用 |
页面向导:整网管理→系统管理→配置管理→备份与导入
|
· 如果希望将当前配置文件导出作为备份配置文件,在“备份配置信息”配置项处,单击<备份>按钮,将当前配置文件导出 · 设备配置错误后,如果希望设备恢复到正确配置运行状态,则在“导入配置信息”配置项处,单击<请上传文件>按钮,选择本地PC上指定路径的备份配置文件,恢复设备配置 |
|
页面中各参数的含义如下表所示。
表18-25 页面参数描述
|
页面参数 |
描述 |
|
备份 |
将当前配置文件导出作为备份配置文件 |
|
请上传文件 |
将指定路径下的配置文件导入至当前配置,需要注意: · 导入配置信息时,需选择后缀名为.rar的文件 · 如果您导入的配置文件版本与现有版本差距过大,有可能导致配置信息丢失 · 导入的配置信息将设置为下次启动配置文件,需要设备重启后生效 |
· 恢复到出厂设置后,当前的设置将会丢失。如果您不希望丢失当前设置信息,请先进行备份操作。恢复出厂设置后,设备将会重新启动。在此期间请勿断开设备的电源。
· 对单个设备进行恢复出厂配置,设备将会立即执行重置;对多个设备进行恢复出厂配置,选中设备将会在30s-1min内执行重置。
页面向导:整网管理→系统管理→配置管理→恢复出厂配置
|
对整网设备或指定设备恢复出厂配置 |
|
|
对整网设备恢复出厂配置: 1. 在“选择设备”配置项处,选择“整网设备”,单击“恢复出厂配置” 2. 确认无误后,单击<确认>按钮,对整网设备,恢复出厂设置 |
|
|
对指定设备恢复出厂配置: 1. 在“选择设备”配置项处,选择“指定设备” 2. 在“可操作设备”列表,选择待恢复出厂配置的设备,通过<添加>按钮,将设备移动至“已选择设备”列表 3. 确认无误后,单击<确认>按钮,对“已选择设备”列表中设备,恢复出厂设置 |
|
页面中各参数的含义如下表所示。
表18-26 页面参数描述
|
页面参数 |
描述 |
|
整网设备 |
整网设备进行恢复出厂配置操作,将删除所有设备上的配置文件并重启设备,请谨慎操作 |
|
指定设备 |
对指定设备进行恢复出厂配置操作,将删除指定设备上的配置文件并重启设备,请谨慎操作 |
|
恢复出厂设置 |
对整网设备或指定设备恢复出厂配置 |
· 密码长度为10~63个字符,只能包含数字、英文字母或英文符号(除“空格”、“?”、“'”、“"”、“\”字符之外)。
· 密码必须包含至少两种类型的组合,并且不能包含admin的顺序或反序组合。
· 修改设备密码成功后无需重新登录。
页面向导:整网管理→系统管理→管理密码
|
修改设备管理密码 |
|
页面中各参数的含义如下表所示。
表18-27 页面参数描述
|
页面参数 |
描述 |
|
原管理密码 |
当前的原管理密码 |
|
新管理密码 |
输入新管理密码,密码长度为10~63个字符,只能包含数字、英文字母或英文符号(除“空格”、“?”、“'”、“"”、“\”字符之外)。密码必须包含至少两种类型的组合,并且不能包含admin的顺序或反序组合 |
|
确认新密码 |
再次输入新管理密码,并确保与之前输入的新管理密码保持一致 |
|
保存 |
完成管理密码修改 |
· 在系统重启过程中,请不要将设备断电。
· 重新启动设备可能会导致业务中断,请谨慎使用。
· 对单个设备进行重启,设备将会立即执行重启操作;对多个设备进行重启,选中设备将会在30s-1min内执行重启操作。
页面向导:整网管理→系统管理→设备重启
|
对主设备、整网设备或指定设备,进行重启 |
|
|
对指定设备,进行重启: 1. 在“设备重启”页面,选择“指定设备” 2. 勾选待重启设备的复选框,单击<添加>按钮,将“可操作设备”列表中的设备移至“已选择设备”列表 3. 确认无误后,单击<重启系统>按钮,对“已选择设备”列表中指定设备进行重启 |
|
页面中各参数的含义如下表所示。
表18-28 页面参数描述
|
页面参数 |
描述 |
|
主设备 |
对主设备进行重启 |
|
整网设备 |
对整网设备进行重启 |
|
指定设备 |
对指定设备进行重启 |
|
重启系统 |
对主设备、整网设备或指定设备进行重启 |
页面向导:整网管理→系统管理→系统消息
|
查看系统消息 |
|
页面中各参数的含义如下表所示。
表18-29 页面参数描述
|
页面参数 |
描述 |
|
刷新 |
刷新系统消息 |
|
高级搜素 |
使用 |
|
列排序 |
使用 |
表19-1 配置视频名称和链接
|
名称 |
链接 |
|
虚拟服务器(端口映射)配置举例 演示视频 |
|
|
IPsec VPN典型配置举例 演示视频 |
|
|
L2TP VPN典型配置举例 演示视频 |
|
|
小贝AP典型配置举例 演示视频 |
|
|
Portal认证典型配置举例 演示视频 |
|
|
防火墙典型配置举例 演示视频 |
|
|
策略路由典型配置举例 演示视频 |
|
|
应用控制典型配置举例 演示视频 |
|
|
网址控制典型配置举例 演示视频 |
|
|
如何将设备绑定到云平台 演示视频 |
|
|
Web登录 演示视频 |
|
|
DHCP方式接入Internet 演示视频 |
|
|
PPPoE方式接入Internet 演示视频 |
|
|
固定地址方式接入Internet 演示视频 |
|
|
VLAN划分配置 演示视频 |
|
|
下联交换机实现不同VLAN互通配置 演示视频 |
|
|
带宽管理绿色通道配置举例 演示视频 |
|
|
配置文件备份与恢复 演示视频 |
|
|
恢复出厂配置 演示视频 |
|
|
一对一映射典型配置举例 演示视频 |
|
|
无线网络多网段划分配置举例 演示视频 |
|
|
如何使用U盘恢复软件版本 演示视频 |
|
|
带宽管理IP限速配置举例 演示视频 |
|
|
如何修改Web登录密码 演示视频 |
|
|
带宽管理限制通道配置举例 演示视频 |
|
|
快速上网典型配置举例 演示视频 |
|
|
配置DDNS应用服务 演示视频 |
|
|
如何查看流量排行 演示视频 |
|
|
如何配置网络连接限制数 演示视频 |
|
|
文件控制功能配置举例 演示视频 |
|
|
MAC地址过滤功能 演示视频 |
|
|
通过UR路由器对AP进行升级操作 演示视频 |
表19-2 配置案例名称和链接
|
名称 |
链接 |
|
端口映射典型配置举例 |
|
|
IPsec VPN典型配置举例 |
|
|
L2TP VPN典型配置举例 |
|
|
小贝AP管理典型配置举例 |
|
|
Portal认证典型配置举例 |
|
|
防火墙典型配置举例 |
|
|
策略路由典型配置举例 |
|
|
应用控制典型配置举例 |
|
|
网址控制典型配置举例 |
|
|
如何连接云平台典型配置举例 |
不同款型的设备对本功能的支持情况不同,请以设备的实际情况为准。
您可以在局域网内通过Console口或Telnet本地登录路由器进行命令行设置。
· 通过Console口本地登录:需要您先搭建配置环境,相关操作请参见“通过Console口搭建配置环境”。
· 通过Telnet本地登录:请先确保管理计算机与路由器之间网络连通。然后在管理计算机上单击屏幕左下角<开始>按钮进入“开始”菜单。选择[运行],在弹出的“运行”对话框中输入“telnet ip-address”(ip-address为路由器LAN口的IP地址)。回车后按界面提示输入用户名和密码(缺省情况下,两者均为admin)即可登录路由器进行设置,具体命令行介绍请参见“命令行在线帮助”。
路由器为您提供以下简单的命令行维护。
表20-1 命令行索引
|
命令行 |
请参见 |
|
display ip address |
|
|
display sysinfo |
|
|
display version |
|
|
ping |
|
|
quit |
|
|
reboot |
将管理计算机的串口通过配置线缆与路由器的Console口相连。
在通过Console口搭建本地配置环境时,需要通过超级终端或PuTTY等终端仿真程序与设备建立连接。用户可以运行这些程序来连接网络设备、Telnet或SSH站点,这些程序的详细介绍和使用方法请参见该程序的使用指导。
打开PC,在PC上运行终端仿真程序,并设置终端参数。参数设置要求如下:
· 波特率:9600
· 数据位:8
· 停止位:1
· 奇偶校验:无
· 流量控制:无
(1) 在任一视图下,键入<?>获取该视图下所有的命令及其简单描述。
ping ping function
display display system information
quit quit current view
reboot reboot the system
(2) 键入一命令,后接以空格分隔的“?”,如果该命令行位置有关键字,则列出全部关键字及其简单描述。
<System> display ip ?
address Display IP addresses
(3) 键入一字符串,其后紧接<?>,列出以该字符串开头的所有命令。
<System> di?
display
(4) 键入命令的某个关键字的前几个字母,按下<Tab>键,如果以输入字母开头的关键字唯一,则可以显示出完整的关键字。
<System> di ¬按下<Tab>键
<System> display
输入display ip address命令并回车,即可显示路由器LAN口的IP地址信息。
输入display sysinfo命令并回车,显示路由器的CPU和内存使用情况。
输入display version命令并回车。
输入ping * host [ -c count ] [ -i interface-name ] [ -s packet-size ]
表20-2 Ping命令参数项描述
|
参数 |
描述 |
|
host |
目的端的IP地址或主机名,主机名为1~31个字符的字符串 |
|
-c count |
指定ICMP回显请求报文的发送次数,取值范围为1~4294967295,缺省值为4 |
|
-i interface-name |
指定发送ICMP回显请求报文的路由器接口名称。不指定该参数时,将根据目的IP查找路由表或者转发表来确定发送ICMP回显请求报文的接口 |
|
-s packet-size |
指定发送的ICMP回显请求报文的长度(不包括IP和ICMP报文头),取值范围为20~8100,单位为字节,缺省值为56字节 |
输入quit命令并回车。
输入reboot命令并回车,确认后,路由器将重新启动。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
