-- 802.1X认证

认证者

如果有用户希望通过设备的某端口访问设备提供的服务，这个端口就充当认证者的角色。可配置设备的LAN口作为认证者，对用户访问网络的合法性进行认证。只有授权用户才可以访问设备提供的网络服务。

可选择RADIUS服务器、LOCAL（本地服务器）或者RADIUS-LOCAL对发起认证请求的用户进行身份验证。其中“RADIUS-LOCAL”表示首先使用RADIUS服务器进行身份验证，如果RADIUS服务器不能响应，则使用本地服务器进行身份验证。

启用DHCP触发：用户可通过向认证者发送DHCP请求包来触发认证者发起对用户的认证。

对于端口控制方法，可以是认证者的物理端口，也可以是用户设备的MAC地址。下面将结合端口最大会话数进行解释：
基于端口：如果端口最大会话数为1，则只允许一台主机通过认证并访问设备提供的服务；如果端口最大会话数大于1，则只要连接在该端口的一台主机通过认证，连接在该端口的其他主机就能通过该端口访问设备提供的服务；
基于MAC地址：端口最大会话数表示可以通过端口认证的最大主机数。

配置端口控制方式，选项包括：
自动：启用端口认证功能，端口根据用户认证通过与否在关闭和打开之间变化；
强制未授权：强制端口关闭，设备不能通过该端口接收和发送数据；
强制授权：强制端口打开，不需要通过用户认证就可以接收和发送数据。

启用定期重新认证：启用后，每隔设定的周期就发起一次重新认证；
静默周期：认证失败后，认证者不接受在设定的静默周期内收到认证请求；
EAP请求最大重发次数：在一次认证过程中，如果EAP请求的最大重发次数超过设定的值，将重启一次认证。

Radius服务器

认证服务器为认证者提供认证服务，通过检验认证客户端发送来的身份标识，来判断该请求者是否有权使用认证者所提供的网络服务。

设备作为认证者时，可使用RADIUS服务器验证用户身份，RADIUS服务器可作为主服务器和备服务器，首先使用主服务器进行认证，如果主服务器不能进行认证，再使用备服务器进行认证。

主机IP地址：RADIUS服务器的IP地址；
认证端口：RADIUS服务器进行认证时使用的端口；
密钥字符串：用于对所有在认证者和RADIUS服务器之间的数据进行加密；
源IP地址：使用RADIUS服务器验证用户身份的设备的IP地址。
注意：主机IP地址、认证端口、密钥字符串以及源IP地址必须与RADIUS服务器处配置的一致。

如果在设定的“应答超时”时间内，没有收到RADIUS服务器的应答，就认为应答超时，认证者重新发送请求，同时“停用时间”开始计时，如果在设定的停用时间内还是没有收到RADIUS服务器的应答，就切换到另一台RADIUS服务器进行认证。

本地认证服务器

设备作为认证者时，除了使用RADIUS服务器验证用户身份外，还可以使用本地服务器验证用户身份，即设备对用户名和密码进行检查。

发起请求的用户必须使用在这里配置的用户名和密码，才能通过认证。还可以在“高级选项”中配置请求者的MAC地址和认证端口，实现用户名、MAC地址和端口的三重绑定。认证客户端的MAC地址、用户名以及设备的认证端口必须与这里设置的全部匹配，才能通过用户身份验证。

认证客户端

认证客户端是指连接在认证端口，请求访问认证者服务的主机。可配置设备的WAN口作为认证客户端，请求访问认证者提供的服务。

认证客户端在发起认证请求时使用的用户名和密码必须和认证服务器配置的用户名和密码相同，才能通过认证。

可通过单击“认证客户端信息列表”右下方的“登录”或“挂断”按钮来发起或挂断一次认证。

-- 特殊功能：

快速转发：实现各个物理接口数据的快速转发，全面提高性能。

虚拟局域网： LAN 口的交换端口可以设置不同的组号，相同组号的端口构成一个虚拟局域网（ VLAN ），各个 VLAN 之间实现物理隔离。

--DHCP

高级配置—— >DHCP 页面—— >DHCP 客户端

将设备配置成为 DHCP 客户端，设备可自动地从 DHCP 服务器，得到 IP 地址及其他配置参数。设备的所有端口均支持 DHCP 客户端，允许各端口同时启用 DHCP 客户端。

启用 PnP ：启用 PnP 功能后， DHCP 客户端可获得 IP 地址、子网掩码、网关地址及 DNS 服务器。若禁用 PnP 功能，则只能获得 IP 地址和子网掩码，不能获得网关地址和 DNS 服务器。

请求包类型： DHCP 客户端发送请求包的方式。

要求回复包类型： DHCP 客户端发送 DHCP 数据包时，要求 DHCP 服务器发送回复包的方式。

允许 AutoIP ：允许 DHCP 客户端在无法得到 IP 地址的情况下，给自己分配 IP 地址。

高级配置—— >DHCP 页面—— >DHCP 服务器

将设备配置成为 DHCP 服务器，设备可提供 DHCP 服务：为局域网计算机动态分配 IP 地址、子网掩码、网关以及 DNS 服务器、 WINS 服务器等信息。

重试次数： ICMP 方式地址检测时，发送 ICMP 检测包的最大次数（一次一个数据包）。 0 表示不检测。

检测周期：每个 ICMP 检测包的最长等待回应时间。

通过 DHCP 手工绑定功能，可以为某些需要使用固定 IP 地址的客户端主机预先指定 IP 地址。有三个与 IP 地址绑定的参数可选，按优先级从高到低排列为：远程标识、客户端标识及 MAC 地址。如果三个全部都设置或设置了其中的两个，只有优先级最高的一项起作用。

绑定：该 DHCP 手工绑定所属的 DHCP 地址池。预留的 IP 地址必须是所绑定地址池中的合法 IP 地址。

DHCP 服务器的地址分配以及给客户端传送的 DHCP 各项参数，都需要在 DHCP 地址池中进行定义。设备支持配置多个地址池，从而实现在局域网中存在多个子网时，方便用户使用。“ pool1 ”为缺省地址池，可编辑修改，但不可删除， WEB 管理界面 —> 基本配置 —>DHCP 和 DNS 服务器 中 DHCP 服务器提供的地址池也是它。

DHCP 中继地址和中继标识：实现为具有相同中继地址或中继标识的客户端分配同一个地址池中的地址，方便管理。

回复包类型： DHCP 服务器接收到客户端发送的数据包后，发送回复包的方式。“客户端决定”是指要求 DHCP 服务器按照 DHCP 客户端指定的方式发送回复包。

允许 AutoIP ：允许 DHCP 客户端使用 AutoIP 功能获得的地址与 DHCP 服务器分配的地址共存。

高级配置—— >DHCP 页面—— >DHCP 中继

将设备设置成 DHCP 中继，设备就能在 DHCP 服务器和客户端之间转发 DHCP 数据包。当 DHCP 客户端与服务器不在同一个子网时，必须有 DHCP 中继来转发 DHCP 请求和应答信息。这样，多个网络上的 DHCP 客户端可以使用同一个 DHCP 服务器，既节省了成本，又便于进行集中管理。

DHCP 服务器： DHCP 服务器的 IP 地址，从当前端口上收到的 DHCP 数据包将发送到指定服务器。

“选项”为“ disable ”时：若“策略”为“ drop ”，且该数据包是由 DHCP 中继发出，将丢弃该数据包；其他情况下，均是直接转发该数据包。

最大包长： DHCP 中继允许转发的数据包的最大长度。

回复包类型： DHCP 中继接收到客户端发送的数据包后，发送回复包的方式。“客户端决定”是指要求 DHCP 中继按照 DHCP 客户端指定的方式发送回复包。

选项和策略：定义 DHCP 中继对 DHCP 数据包的转发策略。

高级配置—— >DHCP 页面—— >Raw Option

随着 DHCP 的不断发展，新的可选配置项会不断出现，为了支持这些新的选项，设备提供了自定义选项（ Raw Option ）功能，设备的 DHCP 服务器和客户端均支持该功能。

类型值：该 Raw Option 的类型，用数字表示。请参考 RFC 1533 、2131 、 2132 等。

数据：该 Raw Option 的值。

hex ：定义一个十六进制字符串，取值范围： 1 ～ 27 个字符；

ascii ：定义一个 ASCII 字符串，取值范围： 1 ～ 25 个字符；

ip ：定义一个 IP 地址，点分式十进制表示，取值范围： 1 ～ 28 个字符；

--UPnP

UPnP （ Universal Plug and Play ，通用即插即用）主要用于实现设备的智能互联互通，旨在实现一种“零”配置和“隐性”的联网过程，自动发现和控制来自各家厂商的各种网络设备。

在设备上启用 UPnP 功能后， 可以实现穿透 NAT ：当局域网的主机通过设备与 Internet 上的终端进行通讯时，可以根据需要自动增加、删除 NAT 映射，从而保证支持 UPnP 的软件可以在 NAT 后正常使用。

WEB UI 中，默认在 LAN 口启用 UPnP 功能。

内部地址：局域网主机的 IP 地址。

内部端口：局域网主机提供的服务端口。

协议：该 UPnP NAT 静态映射使用的协议。

对端地址：对端主机的 IP 地址。

外部端口：内部端口经 NAT 转换后的端口，即设备提供给 Internet 的服务端口。

-- 酒店专版：

酒店专版：为酒店用户配置即插即用功能。

在设备上启用即插即用后，内网用户无需更改任何设置，即无论内网用户的IP地址、子网掩码、网关和DNS服务器如何变化，都可以通过本设备上网。

注意：

1、IP地址相同的用户不能同时上网。若一个内网用户使用某非内网IP地址上网，第二个使用该IP地址的用户将无法通过设备上网。

2、内网用户的IP地址不能与路由器的接口（LAN口及WAN口）IP地址、路由器网关IP地址和路由器设置的DNS服务器(包括主DNS服务器和备DNS服务器)地址相同，否则将无法上网。

交换管理：

--常用管理

端口统计：提供各个端口接收/发送数据包的统计信息。

虚拟局域网：可以为各端口设置不同的组号，相同组号的端口构成一个虚拟局域网。

端口镜像：可以指定监控端口、被监控端口以及监控方向。

广播风暴抑制：可以限制各端口的入口/出口速率，有效抑制广播风暴。

端口参数：可以启用或禁用各端口、启用或禁用各端口安全、启用或禁用各端口的流量控制以及设置各端口的工作模式。
端口安全：启用端口安全后，端口将不再学习新的MAC地址，并且只转发来自已学习到的MAC地址的数据；禁用端口安全，端口则重新开始学习新的MAC地址。注意：在启用所有端口的端口安全之前，必须设置静态MAC地址绑定，否则将导致无法管理HiPER。

线缆检测：当某端口的网线连接异常时，可以检测出故障原因以及故障点到端口的距离。

端口汇聚：可以将多个端口聚合在一起形成一个汇聚组，以提供高带宽的数据传输通道。

--LAN_VLAN管理

1. 在进行VLAN配置之前，首先要选择所要配置的VLAN模式和类型。
VLAN模式：有不设置VLAN、PortVLAN （基于端口的VLAN）和TagVLAN（基于IEEE802.1Q协议的VLAN）三种VLAN模式。
VLAN类型：有普通VLAN、SuperVLAN和三层VLAN三种VLAN类型。

2. 普通VLAN：是一种最基本的VLAN， VLAN间不能通信。

3. SuperVLAN：将多个不同的SubVLAN划分为属于同一IP子网，然后将该IP子网指定为一个SuperVLAN。SuperVLAN 和SubVLAN是父与子的关系，SuperVLAN需要配置IP地址， SubVLAN需要配置所属的SuperVLAN和端口成员。

4. 三层VLAN；不同VLAN属于不同的IP子网，需要配置IP地址和端口成员，VLAN间通过路由进行通信。

5. 注意：如果某端口已被设置为Trunk成员，此端口将不能被单独设置，只能以TrunK为单位进行配置。

6. 缺省VID ：当HiPER某交换端口收到一个Untag帧时，HiPER将会自动把端口的缺省VID作为tag 头添加到Untag帧中。

7. 出口规则：端口对数据帧的处理方式。如果选择“tag”，则从端口发出的帧是带tag头的，如果选择“untag”，端口将把数据帧去tag后，再发送出去。

8. 配置SuperVLAN或三层VLAN后，可在VLAN间通信管理页面配置VLAN间通信策略。

--LAN_VLAN间通信管理

1. SubVLAN通信策略配置：首先选择策略号和所属的SuperVLAN，然后在不允许通信SubVLAN框中选择欲进行通信的两个或多个SubVLAN，单击或双击[=>]，将选中的条目导入允许通信SubVLAN框中，最后单击[保存]按钮。

2. SuperVLAN通信策略配置：首先选择策略号，然后在所有SuperVLAN框中选择欲进行通信的两个或多个SuperVLAN，单击或双击[=>]，将选中的条目导入通信SuperVLAN框中，最后单击[保存]按钮。

3. VLAN通信策略配置：首先选择策略号，然后在所有VLAN框中选择欲进行通信的两个或多个VLAN，单击或双击[=>]，将选中的条目导入通信VLAN框中，最后单击[保存]按钮。

4. 注意：在全局配置中启用通信策略后，所配置的通信策略才生效，此时只有同一策略中配置允许通信的VLAN才能通信，其它VLAN间均不能通信；取消启用通信策略，通信策略失效，所有VLAN间均可互相通信。

--MAC管理

1. MAC地址静态绑定方法如下：
首先单击[扫描网络]按钮，显示HiPER新学习到的动态MAC（PORT）信息。然后选中欲绑定的MAC（PORT）信息，再单击[<=]或双击它，相关信息即填充到对应的配置框中（也可手工输入配置信息），最后单击[保存]按钮 。
注意：配置MAC地址和端口绑定后，已绑定的MAC地址将不能通过HiPER的其它端口和外界通信。

2. 过滤MAC地址方法如下：
首先单击[扫描网络]按钮，显示最新的动态MAC地址表。然后选中欲过滤的MAC地址，再单击[<=]或双击它，相关信息即填充到对应的配置框中（也可手工输入配置信息），最后单击[保存]按钮。
注意：被过滤的MAC地址将不能通过HiPER的任何交换端口和外界通信，除非在“MAC地址过滤信息列表”中禁用相应的MAC地址过滤条目。

MAC地址最大老化时间：HiPER将新学习到的MAC地址添加到动态MAC地址表中以后，开始对这个MAC地址表条目进行计时，如果在设定的“MAC地址最大老化时间”内没有与这个MAC地址相关的数据帧传输的话，HiPER将删除这一条MAC地址表条目，这里的删除我们称之为“老化”。默认值为“300秒”，“0”表示不设置MAC地址老化。

--QoS管理

选择优先级模式和优先级规则后，就可以对HiPER转发数据帧的优先级进行设置。HiPER支持基于端口的优先级、802.1P优先级和DSCP优先级三种优先级模式，支持权重和固定两种优先级规则。

基于端口的优先级：用来设置HiPER优先转发哪个端口的数据。

IEEE 802.1P优先级：它是位于二层带标签的以太网帧的CoS字段定义的优先级，有8（0~7）个优先级值。

如果端口收到未添加优先级tag的帧，那么HiPER会把接收端口的缺省优先级tag作为数据帧tag，然后再进一步处理。

DSCP优先级：差分服务代码点优先级，利用IP包头的ToS字段的前6位定义优先级，有64（0~63）个优先级值。

HiPER中自定义了四种不同的优先级等级，分别为最低、较低、较高和最高，当选择的优先级规则为权重时，上述四种优先级等级对应的权重比为1:2:4:8 ，交换端口会按照权重比转发数据；当选择的优先级等级为“固定”时，交换端口优先转发完优先级最高的数据，然后再转发优先级相对较低的数据。

-- “ DHCP 统计 ” :

系统状态—— >DHCP 统计—— > 服务器

状态：当前 IP 地址的状态。正在验证 --DHCP 服务器正在检测当前 IP 地址是否冲突；已分配 --DHCP 服务器已将该 IP 地址分配给客户端；冲突 --DHCP 服务器检测到该 IP 地址冲突。

静态 / 动态：当前 IP 地址的分配方式。静态 – 该 IP 地址是通过 DHCP 手工绑定指定的；动态 – 该 IP 地址是从 DHCP 地址池中动态分配的。

绑定：选中某个动态分配的 IP 地址对应的条目，单击“绑定”按钮，即可生成与该 IP 地址对应的 DHCP 手工绑定。

冲突次数：上一次清除至查询时刻这段时间内，当前端口作为 DHCP 服务器为 DHCP 客户端分配地址时，检测到地址冲突的次数。

客户端个数：当前端口作为 DHCP 服务器时，绑定在该端口上的所有 DHCP 地址池中已分配的地址个数。

检测方法：检测到地址冲突时使用的检测方法。 ARP 方式 -- 通过 ARP 方式检测到地址冲突； ICMP 方式 -- 通过 ICMP 方式检测到地址冲突。

冲突时间：检测到地址冲突的时刻。

高级配置—— >DHCP 统计—— >DHCP 客户端及中继

冲突次数：上一次清除至查询时刻这段时间内， DHCP 服务器为当前 DHCP 客户端分配地址时，检测到地址冲突的次数。

未知包：上一次清除至查询时刻这段时间内，经过此端口的未知类型的数据包的统计数量。

增加超长包：上一次清除至查询时刻这段时间内，当前端口作为 DHCP 中继转发的因超长而不增加中继信息的数据包的个数。

替换超长包：上一次清除至查询时刻这段时间内，当前端口作为 DHCP 中继转发的因超长而不替换原有中继信息的数据包的个数。

策略丢弃包：上一次清除至查询时刻这段时间内，当前端口作为 DHCP 中继转发的由转发策略指定丢弃的数据包的个数。

-- 网页日志：

启用网页日志：打勾启用该功能，只有启用此功能，页面才会显示网页日志信息。启用网页日志功能后，用户可查看“访问网页日志”，“访问网页日志”列出了内网用户使用浏览器查看网页的信息，包括时间、IP地址和域名

时间：内网用户访问网页的时间

IP地址：内网用户的IP地址

域名：内网用户访问的网页域名

VPN 配置：

--PPTP 和 L2TP

单击 导出 WINDOWS 注册表文件 ，即可下载到本地主机。 Win2000 缺省是不允许 L2TP 传输禁用 IPSec 加密，运行该文件并重启主机，可修改缺省配置。

拨出 ( 客户端 ) ：设备作为 PPTP/L2TP 隧道连接的发起者，拨号到远端服务器。

拨入 ( 服务器 ) ：设备作为 PPTP/L2TP 隧道连接的终结者，接受来自远端客户端的拨入。此时， “ 设置名 ” 同时用作拨入用户的用户名。

远端内网 IP 地址： PPTP/L2TP 隧道对端局域网的 IP 地址（一般可填对端设备的 LAN 口 IP 地址）。

远端内网子网掩码： PPTP/L2TP 隧道对端局域网的子网掩码。

隧道服务器地址 ( 名 ) ： PPTP/L2TP 服务器的 IP 地址或域名（一般填对端设备的 WAN 口 IP 地址或域名）。

分配 IP 地址： PPTP/L2TP 服务器要从 VPN 地址池取出一个 IP 地址分配给拨入用户，作为连接 PPTP/L2TP 隧道两端的路由地址。地址池可任意定义，但不能和方案中已有 IP 地址段重复。

当 PPTP/L2TP 隧道两端设备建立连接时，会各用一个虚接口来连接对方。通常，服务器会从地址池分配一个 IP 地址作为两个虚接口的路由地址；但是当服务器未配置地址池时，就需手工配置，即设置 “ 对端虚接口 IP 地址 ” 、 “ 本地虚接口 IP 地址 ” 及 “ 虚接口子网掩码 ” 。

数据压缩：必须与隧道对端设备配置相同。

保持连接 / 生命周期：若选中 “ 保持连接 ” ，隧道连接成功后，系统将每隔 1000ms 向对端设备发送一个探测包，以探测连接是否正常，若在 “ 生命周期 ” 内一直未收到对方回应，则断开此连接。一般无需设置，系统会发送 PPTP/L2TP 隧道默认的 HELLO 包探测连接是否正常。

空闲时间：无访问流量后自动断线前等待的时长， 0 代表不自动断线。

会话时间：连接生存时间，一旦隧道连接的时间达到此值，就自动断线， 0 代表无限制。

启用 NAT ：启用后， PPTP/L2TP 客户端会对此隧道连接做 NAT ，即将本地局域网用户的 IP 地址转换为服务器分配的 IP 地址，本地用户就使用分配的 IP 地址连接到对端局域网，对端设备无需设置到本地的路由。但是，此情况下只能实现本地网络到隧道对端网络的单向访问（适合设备使用移动用户帐号连接到 PPTP/L2TP 服务器）。

拨号类型：

自动拨号： PPTP/L2TP 客户端配置完成、或隧道连接中断、或设备启动后，客户端就拨号；

手动拨号：在 “ PPTP/L2TP 信息列表 ” 中，手工进行连接和挂断隧道；

按需拨号： PPTP/L2TP 客户端配置完成后，一旦监听到有数据需传输就拨号。

拨号时段：允许 PPTP/L2TP 客户端拨号的时间段，只有在此时间段内才允许拨号，不设置代表不控制。

--IPSec ：

动态连接到网关方式下，设备是隧道的发起方，必须提供身份，即必须设置“本地身份 ID ”和“本地身份类型”。

对方动态连接到本地方式下，设备的对等方是发起方，必须提供身份，即必须设置“远端身份 ID ”和“远端身份类型”。

远端网关地址（名）： IPSec 隧道远端网关的地址（或域名）。设置为域名时，需要在设备上设置 DNS 服务器，此时设备会定期解析该域名，若 IP 地址变化，设备将重新协商 IPSec 隧道。

远端内网地址、内网掩码：隧道远端受保护的内网的任一IP地址和子网掩码。若远端是移动单机用户，则这两个参数分别设置为该设备的IP地址、255.255.255.255。

本地绑定：选择本地接口，接口可以是以太网口，或 PPPoE 拨号连接，还可以是 L2TP 拨号连接。将 IPSec 配置绑定到指定接口上，那么所有经过该接口的数据包将被 IPSec 检查，以确定是否对该数据包进行加密和解密操作。

本地内网地址、内网掩码：本地受保护的内网的任一IP地址和子网掩码。

预共享密钥：协商所用的预共享密钥，最长为 128 字符。

加密认证算法 1 ：可供第二阶段协商使用的首选加密和认证算法。

协议：需要进行 IPSec 保护的数据包的协议类型，有“任意”，“ TCP ”，“ UDP ”，“ ICMP ”四个选项。

端口：需要进行 IPSec 保护的数据包的端口号， 0 表示任意端口。注意，“协议”为任意时，端口配置无效。如果需指定“端口”，必须先选择“协议”（ TCP 或 UDP ）。

抗重播：启用后，设备将支持抗重播功能，从而可以拒绝接收过的数据包或数据包拷贝，以保护自己不被攻击。

协商模式：“网关到网关”时选择“主模式”，其他两种方式时选择“野蛮模式”；

野蛮模式加密协商：指野蛮模式下，第二个信息包是否加密。设备作为发起方时，需设置该参数。设备作为响应方时，支持加密和不加密两种方式。

生存时间（第一阶段）： IKE SA 的生存时间，至少 600 秒，当剩余时间为 540 秒时，将重新协商 IKE SA 。

生存时间（第二阶段）： IPSec SA 的生存时间，至少 600 秒，当剩余时间为 540 秒时，将重新协商 IPSec SA 。

最大流量：每次 IPSec 会话允许通过的最大流量，超过后， SA 将重新协商。

DPD ：启用或取消 DPD 功能；

心跳：配置后，设备每隔单位时间（“心跳”）向对端发送探测消息，来确定对端是否还存活。

NAT 穿透：启用或取消 NAT 穿透功能。

端口：用来穿透 NAT 的 UDP 封包的端口号，缺省值 4500 。

PPPoE服务器 配置：

--全局配置

启用PPPoE服务器：只有打勾选中“启用PPPoE服务器”，所设置的PPPoE服务器功能才能生效。启用 PPPoE服务器功能后，设备就能够为局域网计算机动态分配任意网段的 IP 地址、DNS 服务器等信息。

设备作为PPPoE服务器，在PPP协商时提供PAP、CHAP以及AUTO三种身份验证方式，缺省情况下采用AUTO，表示自动选择PAP或者CHAP进行身份验证，一般情况下不需要设置。

系统最大会话数：表示设备的最大PPPoE连接数。

打勾启用“只允许PPPoE用户上网”功能，除了使用PPPoE账号拨号上网的用户，其他用户都无法上网。如果对一些特殊的用户有例外处理，可以引用例外的IP地址组，允许该地址组内的用户通过非PPPoE方式上网。

--账户配置 ：

本页面可查看和配置PPPoE服务器的账号信息。

上行带宽：设备分配给每位PPPoE用户的最大上行带宽。

下行带宽：设备分配给每位PPPoE用户的最大下行带宽。

所有PPPoE用户的上行/下行总带宽应小于线路的总上行/下行带宽，否则会导致非PPPoE用户无法上网。

账号最大会话数：设置账号最多所能使用的用户数。账号最大会话数必须小于系统最大会话数。

账号/MAC绑定：有2种绑定方式：自动绑定和手工绑定。自动绑定表示设备会自动将账号与使用该PPPoE账号上网的用户MAC地址绑定；手工绑定则将账号与手工设置的MAC地址绑定。无论是自动绑定还是手工绑定，一个PPPoE账号最多可与4个MAC地址绑定。

分配固定IP：设备可根据账号为其分配固定IP。IP地址必须在PPPoE服务器—>全局配置中的地址池范围内。注意：分配固定IP时，账号最大会话数必须为1。根据账号分配固定IP的优先级低于根据MAC地址分配固定IP。

--固定IP分配 ：

本页面可配置PPPoE服务器的固定IP分配功能，并查看固定IP设置信息。

固定IP分配功能，是指系统会将PPPoE用户的MAC地址和当前分配的IP地址进行绑定，绑定后，此PPPoE用户每次拨号都将获得已绑定的IP地址；若想解除该绑定，可在“固定IP地址设置信息列表”中将该条绑定条目删除。

全部解除固定IP分配：解除所有PPPoE用户的MAC地址和IP地址的绑定。

--连接状态 ：

本页面可查看PPPoE用户的使用及配置信息。

用户名：PPPoE账号的用户名。

连接状态：某PPPoE用户的连接状态。

下载速率：“统计时长”内，某PPPoE用户的下载速率。

上传速率：“统计时长”内，某PPPoE用户的上传速率。

选择需要挂断的PPPoE用户，单击“挂断”按钮，您可以对该用户的PPPoE连接进行挂断操作。

智能带宽管理：

--限速全局配置

启用限速功能：启用此功能后，限速相关配置才能生效。

上行带宽：对应线路提供的上行带宽。可以直接将数值填入文本框，也可选择下拉框预设的选项。

下行带宽：对应线路提供的下行带宽。可以直接将数值填入文本框，也可选择下拉框预设的选项。

带机量：路由器的内网用户数。

注意：上行带宽、下行带宽以及带机量都需要根据实际情况准确填写，否则将导致路由器的弹性带宽功能无法正常工作。

限速全局配置完成后，用户可以根据实际的网络要求，分别对IP地址或端口进行限速，进入限速规则页面，可进行详细配置。

由于带宽和下载速率的单位不同，所以带宽是下载速率的8倍。例如当带宽为10M(10240 Kbit/s)时，则所能达到的最大下载速率为10240/8=1280 K字节/s。

-- 限速规则：

通过设置限速规则，用户可以分别对不同的地址或端口设置不同的限速策略。配置限速规则之前，请确认限速全局配置页面的参数已正确设置。

当用户配置了相应的限速策略，根据网络空闲带宽的不同，对局域网内主机的上行、下行带宽进行弹性控制。

1.当网络很空闲时，速度都处于最大带宽；

2.当网络空闲时，速度达到保证带宽的同时，优先级高的限速规则主机可达到最大带宽的速度。

3.当网络繁忙时，速度达到保证带宽；

4.当网络堵塞时，优先级低的限速规则主机速率会低于保证带宽。

启用：选中该选框，对应的限速规则将被启用；反之，限速规则将被禁用。默认情况下，限速规则都是启用状态。

地址组：限速规则可对不同的地址组进行不同速率限制。地址组的配置有两种方式：

1.引用在防火墙—>地址组中已配置的地址组。在下拉框中选择所需要的地址组，单击“<=”按钮。

2.引用新建的地址组。单击地址组的文本框，页面会增加地址组的设置参数，输入起始地址和结束地址，并单击“=>”按钮将地址段填入到地址范围列表，单击完成。

服务组：限速规则可对不同的端口进行不同的速率限制。服务组的配置方法有两种：

1.引用在防火墙—>服务组中已配置的服务类型为“普通服务”的服务组。在下拉框中选择所需要的服务组，单击“<=”按钮。

2.引用新建的服务组。单击服务组的文本框，页面会增加服务组的设置参数，分别对协议、源起始端口、源结束端口、目的起始端口和目的结束端口等参数进行配置，并单击“=>”按钮将服务组内容添加到服务组列表，单击完成。

地址组和服务组的详细配置方法可参见防火墙—>地址组，防火墙—>服务组页面的帮助信息。

注意：配置新的地址组或服务组时，只有单击“完成”后才能返回原页面，引用已配置的地址组或服务组。

独占：符合此限速规则的IP地址独自占用所设置的带宽。例如当保证上行带宽设置为512K，有10个IP地址符合规则时，每个IP地址的上行带宽至少为512K。

共享：符合此限速规则的IP地址共同分享所设置的带宽。例如当保证上行带宽设置为512K，有10个IP地址符合规则时，所有IP地址的总上行带宽至少为512K

保证上行带宽、保证下行带宽、最大上行带宽和最大下行带宽的配置都可以采用两种方式进行配置。

1.在文本框中直接输入数字。0表示不保证或不限制带宽。

2.通过选择下拉框的选项进行配置，0表示不保证或不限制。

抢占优先级：设置限速规则的优先级，有高、中、低三个选项。优先级越高，抢占空闲带宽就的越多；当网络繁忙时，最先保证符合优先级为高的规则的保证带宽。

绑定线路：设置限速规则绑定的线路。

生效时段：设置该限速规则生效的时间段。默认为任何时间，表示任何时间都将生效。

--P2P限速

本页面可定义P2P限速规则，使内网用户按照P2P限速规则中所规定的速率发送/接受P2P数据包。

启用P2P限速：启用此功能后，所设置的P2P限速规则才能生效。

例外地址组：设定不遵从该规则的地址组。地址符合例外地址组的内网用户，使用P2P软件不受此规则限制。。

注意: P2P限速的优先级高于限速规则。

用户管理：

--用户管理

用户信息列表提供内网用户的信息：

IP地址：内网用户的IP地址；

MAC地址：内网用户的MAC地址；

绑定状态：显示内网用户是否绑定，一般指IP/MAC绑定。对于通过PPPoE方式接入的内网用户，则为PPPoE绑定；

下载速率/上传速率：显示该用户的上传和下载瞬时速率；

NAT会话数：显示内网用户使用的NAT会话数；

用户类型：显示内网用户接入网络的方式。

是否在线：显示该内网用户的状态，在线表示该用户与设备连接，不在线则表示用户与设备失去连接。

单击IP地址列中的某个内网用户的IP地址，可以查看该用户详细信息。

用户信息：

基本信息：

用户名、IP地址和MAC地址这三个参数无法在此页面修改。

是否IP/MAC绑定：打勾表示对内网用户的IP地址和MAC地址进行绑定；取消则表示不绑定。只有选中“IP/MAC绑定”时，参数“允许该用户上网”才生效。

是否允许上网：用于设置IP/MAC绑定用户的上网状态。若选中，则表示允许该IP/MAC绑定用户上网，反之，则禁止上网。

是否固定IP分配：打勾表示对内网PPPoE用户的IP地址和MAC地址进行绑定；取消则表示不绑定。PPPoE用户绑定后，该用户通过PPPoE接入所获取的IP地址为绑定的IP地址。

生效策略：

显示该内网用户当前生效的策略。

若内网用户配置了连接限制，页面显示连接限制的相关参数：总会话数、TCP会话数、UDP会话数和ICMP会话数。这些参数只能查看不能修改，如需修改，可点击“进入连接限制页面”，进入该页面进行策略设置。

若内网用户配置了防火墙策略，可选中“显示防火墙策略”选框，显示设备的防火墙策略。

若内网用户配置了弹性带宽策略，则可选中“显示弹性带宽策略”选框，显示设备的弹性带宽策略。

若内网用户配置了上网行为管理策略，则可选中“显示上网行为管理策略”选框，显示设备的上网行为管理策略。

当没有配置相关的策略，页面会相应显示该用户没有相应的策略。

通告功能：

在本页面可以定义设备的通告功能。

当内网用户第一次使用浏览器时，浏览器会显示设备所发送的通告信息。

通告方式：选择手动推送，设备会直接发送通告信息到设置的地址组；选择每天自动推送，设备会每天定时发送通告信息到所设置的地址组。

地址组：引用防火墙—>地址组中设置的地址段。符合该地址段的内网用户会接收到设备发送的通告信息。

自定义内容通知：选择“自定义内容通知”，通告信息的内容由用户自定义。单击“预览页面”可查看自定义的通告界面。

指定URL通知：选择“指定URL通知”，当地址组中的内网用户使用浏览器时，浏览器会跳转到“指定URL通知”中设置的页面。

防火墙：

--访问控制策略

在“访问控制信息列表”的上方选择“接口”和“方向”，即可在列表中查看在该接口和方向上的访问控制策略信息。用户自定义的访问控制策略将按配置顺序或预先指定的位置排列在“访问控制策略信息列表”中，当设备收到一个数据包后，将从列表的顶端开始向下搜索匹配的策略，匹配的第一个策略将被用于数据包，并且后面的策略不再检查，如果没有找到匹配的策略，该数据包将被丢弃。

灵活地运用访问控制策略，不仅能控制内网用户对外网的访问，而且还能够保护内部网络免遭外来攻击。

在防火墙—>地址组中配置了地址组且在防火墙—>服务组中配置了服务组后， 可在设备各个物理接口的不同方向设置访问控制策略。

只有在时间段配置中配置了时间段，才能配置访问控制策略的有效时间。

注意：必须在“全局配置”中启用某接口和方向的访问控制策略后，在该接口和方向上配置的访问控制策略才生效。

--地址组

用户可以自定义地址组包含的IP地址段，也可把已有地址组添加到新地址组中。

新地址：输入欲添加到地址组中的IP地址段；
已有地址：显示已存在的地址组；
[=>]：用于将某IP地址段或已有地址组添加到地址组中；
[>=]：用于修改某个地址组包含的IP地址段；
[删除]：用于删除某个地址组包含的IP地址段或地址组。

创建地址组：首先输入自定义的地址组名并选择所属区域，然后在“新地址”配置框中输入IP地址段，单击[=>]将此IP地址段导入地址范围列表中，可连续导入多个IP地址段；也可在“已有地址”配置框中选中一个或多个已有地址组名，单击[=>]将此地址组导入到地址范围列表中，最后单击“保存”按钮即可。

--服务组

设备提供了普通服务、URL、关键字、DNS和MAC地址五种服务类型。在每种服务类型下，用户均可以自定义服务，也可以把已有服务添加到服务组中。

普通服务：用来匹配接收数据包的协议和端口；
URL：用来过滤URL 网址，可控制用户对站点及网页的访问；
关键字：用来过滤HTML 页面中的关键字；
DNS：用来设置是否对某域名进行DNS解析；
MAC地址：用来过滤源MAC地址。

[=>]：用于将配置的“新服务”或“已有服务”添加到服务组列表中；
[<=]：用于修改服务组包含的服务；
[删除]：用于删除服务组列表中包含的服务。

--域名过滤

通过在本页面进行简单的配置，可以实现只禁止内网用户访问某些指定的域名或只允许访问某些指定的域名。

域名过滤功能是全字匹配的，当内网用户在浏览器里输入的域名与“域名列表”中显示的域名全字匹配时，将无法访问此域名对应的网页。

可以在域名名称中输入通配符“*”来实现对多个域名的过滤，例如在域名列表中添加域名名称“www.163.*”，内网用户将不能访问以“www.163”开头的所有网页。

必须在启用域名过滤功能后，配置的域名过滤才生效。

只禁止域名列表中的域名，其余允许：选中此单选框，表示内网主机禁止使用域名列表中域名上网，不在列表中的域名则可以正常使访问。

只允许域名列表中的域名，其余禁止：选中此单选框，表示内网主机只允许使用域名列表中的域名上网，而不在列表中的域名将无法正常访问。

通过“进入域名过滤通告配置页面”超链接，可配置域名过滤通告功能。

--域名过滤通告

在本页面可以配置针对域名过滤功能的通告信息。

当设备启用了域名过滤功能，并希望通过通告的方式通知用户该域名已被过滤，则可以启用域名过滤通告功能。当内网用户访问被禁止的域名时，设备将会发送通告给此用户，并且到设置的时间后，将跳转到指定的网址。

只有启用域名过滤通告功能，配置的域名过滤通告功能才生效。

自动跳转时间：内网用户打开域名被禁止的页面到跳转到配置网址的间隔时间。

跳转网址：内网用户接收到通告信息后跳转的页面网址。不输入跳转网址表示不跳转。

注意：跳转网址中的网址不能输入被禁止的域名，否则内网用户将无法跳转到该网址。

本功能只对域名过滤配置中“只禁止域名列表中的域名，其余允许”功能生效。

-- 时间段配置

只有在 系统管理 —> 时钟管理 中正确配置了系统时间和时区信息，时间段功能才能正常工作。

一个时间段最多可由 8 个时间单元组成，时间段策略可以被某些高级功能引用，以控制这些业务的生效时间，从而达到控制上网费用、上网行为等目的。

配置跨天时间段的方法 ：一个跨越零点的时间段必须设置成两个连续的时间单元，例如，从晚上8点到次日凌晨5点需以 24:00:00 分为两个时间单元，第一个时间单元为 20:00:00~23:59:59 ，第二个时间单元为 00:00:00~05:00:00 。

安全配置：

--基本选项

为安全性起见，一般请关闭允许响应外部 PING 功能。只有在某些特别情况下，例如网络调试时，才需开启此功能。

启用冲击波等病毒防御功能后，设备将直接丢弃 LAN 口接收到的协议为 TCP ，目的端口为 135 、 136 、 137 、 138 、 139 、 445 、 1025 、 5554 或者 9996 的数据包，此时，局域网主机将无法访问 Internet 上的主机提供的网络共享服务。

启用设备访问限制功能之后，就会限制局域网PC从LAN口访问设备，从而有效防御一些来自内部网络针对设备本身的DDoS攻击。 访问规则如下：

  1. 允许局域网PC使用ICMP协议访问设备 ；

  2. 允许局域网PC访问设备的UDP53 、 67 、 68端口；

  3. 只允许由“允许访问设备的主机”所指定的局域网PC访问设备的WEB端口，禁止其他PC访问WEB端口；

  4. 禁止局域网PC对设备 的其他所有访问。

--上网行为管理

在本页面可以对局域网用户的上网行为进行管理，包括IM过滤、P2P过滤、游戏过滤、网页元素过滤、DNS过滤、其他过滤等类型。

单击“更新策略”超链接，系统立即连接到指定 WEB 站点，下载并自动更新对应的策略库。

允许例外QQ配置：单击此链接，可进入例外QQ配置页面，对特殊的QQ号码进行配置，在全局禁用QQ功能时，允许用户通过例外的号码使用QQ软件。

本页面的上网行为管理策略对所选择的地址组用户生效，您可以在防火墙->地址组页面配置地址组，在防火墙->时间段页面配置生效时间。在引用时间段内，则该策略生效，否则不生效。

通过上网行为管理列表，您可以查看所配置的上网行为管理策略。

启用：选中策略所对应的选框，则该策略生效；否则不生效。

已禁止的应用：列出了上网行为管理策略所禁止的服务。

生效策略依照后进先出原则，越后配置的策略越先被匹配，越先配置的策略越后被匹配。

--允许例外QQ

本页面可对例外的QQ号码进行设置，并可通过“允许QQ列表”查看所配置的信息。

QQ号码：例外的QQ号码。配置完成后，该号码不受上网行为管理中的配置限制，当禁用了QQ功能时，内网用户仍可通过此号码使用QQ。

启用例外QQ功能：打勾表示启用例外QQ功能。只有启用例外QQ功能，所配置的例外QQ号码才能生效。

返回：单击“返回”按钮，可返回上网行为管理页面。

--策略库

缺省情况下，策略库信息列表中只显示系统默认策略库。用户可以根据需要在在命令行中自定义策略库，还可以修改系统默认策略库，修改后，过滤的内容有可能发生改变。

更新：单击即可连接到指定 WEB 站点，下载并自动更新对应的策略库。

更新全部策略：单击即可连接到指定 WEB 站点，下载并自动更新列表中的全部策略库。

--ARP欺骗防御

启用 ARP 更新限制后，设备将丢弃免费 ARP 包，从而防止设备遭受 ARP 欺骗；启用 ARP 广播后，设备就会向局域网定期广播自己正确的 ARP 信息，从而防止局域网 PC 遭受 ARP 欺骗。若同时启用这两个功能，并将局域网所有 PC 的 IP/MAC 地址对全部绑定，就可以有效防御 ARP 欺骗攻击。

扫描网络：扫描局域网中所有开启的 PC ，学习并显示最新的动态 ARP 信息。

全部绑定：一次性绑定当前动态 ARP 列表中的全部条目。

--连接限制

  在本页面可以定义连接会话限制数，使设备根据源IP地址的不同，限制局域网主机所能占用的最大并发NAT会话数，TCP会话数、UDP会话数、ICMP会话数。

源起始/结束IP地址：定义基于源IP的连接限制的起始/结束IP地址。系统预定义了一个默认的连接限制，起始结束地址都为0.0.0.0，表示所有IP地址，默认连接限制只能修改会话限制数，无法修改IP地址，也无法删除。

注意：连接限制的匹配顺序按照后进先出原则，即越晚配置的连接限制，越先被匹配，匹配顺序在列表中也有所体现，列表越上端的条目越先匹配。

总会话数：定义被限制主机所能占用的最大并发NAT会话数；

TCP会话数：定义被限制主机所能占用的最大并发TCP会话数；

UDP会话数：定义被限制主机所能占用的最大并发UDP会话数；

ICMP会话数：定义被限制主机所能占用的最大并发ICMP会话数；

启用：打勾表示启用，列表中所对应的连接限制将生效，取消选中，则表示禁用该条连接限制。配置不生效。新建的连接限制条目默认状态为启用。

注意：总会话数小于100可能会导致用户无法正常上网，TCP会话数小于100，UDP会话数小于50，ICMP会话数小于10，将导致应用程序异常。

-- 联动管理

  通过联动管理功能，用户可以查看及配置与路由器同一广播域的交换机的相关信息。