[ 开始 ]
线路配置上网     不可不防     端口映射   用户个性化配置   分组策略
防火墙策略   系统信息   ARP欺骗防御
 
[ 快速向导 ]
密码      时间     上网接入方式    PPPoE    固定 IP    动态 IP
 
[ 基本配置 ]
线路配置  
DHCP和DNS服务器  
接口配置  
DDNS 配置  
802.1X认证  
 
[ 高级配置 ]
NAT 和 DMZ 配置     路由配置    IP/MAC绑定  
DHCP
   UPnP
   PPPoE服务器
   PPPoE用户信息配置
 
[ 交换管理 ]
常用管理    VLAN 管理    VLAN间通信管理    MAC 管理     QoS 管理  
 
[ 系统管理 ]
管理员配置    时钟管理     软件升级    配置管理    WEB 服务器   SNMP 配置    SYSLOG 配置    远程管理
 
[ 系统状态 ]
用户统计
NAT统计
DHCP统计
接口统计
路由和端口信息
系统信息
 
[ 上网监控 ]
 上网监控   
 
[ VPN 配置]
PPTP 和 L2TP IPSec
 
[ 用户管理 ]
带宽管理    组管理     个性化管理    个性化配置     时段策略     时间段配置
 
[ 防火墙 ]
访问控制策略     地址组     服务组     域名过滤  
 
[ 安全配置]
基本选项     策略库    ARP欺骗防御   设备访问限制  

开始:

-- 线路配置上网

单击开始—>线路配置上网即可转到基本配置—>线路配置页面。

-- 不可不防

双线路或多线路配置上网时,通过指定WAN1口和WAN2口的上网线路,自动生成电信/网通智能策略路由,实现电信流量走电信、网通流量走网通。

在该页面启用“病毒防御”各功能将有效防御 ARP 欺骗、冲击波等病毒以及 DDoS 攻击。

若选中“启用IP/MAC自动绑定功能”,再单击保存按钮,设备将每隔一小时自动扫描一次网络,并将局域网内所有开启PC的IP/MAC地址对全部绑定。对于内网主机地址经常发生变化的网络,建议不要使用此功能。若需要手动绑定,请到安全配置—>ARP欺骗防御页面配置。

-- 端口映射

单击开始—>端口映射即可转到高级配置—>NAT和DMZ配置页面。

-- 用户个性化配置

单击开始—>用户个性化配置即可转到安全配置—>用户管理页面。

-- 分组策略

单击开始—>分组策略即可转到高级配置—>组管理页面。

-- 防火墙策略

单击开始—>防火墙策略即可转到安全配置—>防火墙页面。

-- 系统信息

单击开始—>系统信息即可转到系统状态—>系统信息页面。

-- ARP欺骗防御

单击开始—>ARP欺骗防御即可转到安全配置—>ARP欺骗防御页面。

快速向导:

-- 密码

设备出厂时的管理员( Default )密码为空,建议修改管理员密码并妥善保管,以提高设备的安全性。修改管理员密码后,以 Default 身份登录设备 ,必须使用新的密码。

-- 时间

手工修改系统的时间为当地标准时间。注意:部分型号的设备没有时间保存功能,在系统重启后时间会恢复到出厂值。这种情况下需要到 系统管理 —> 时钟管理 中选择“网络时间同步”方式设置时间。

为了保证设备各种涉及到时间的功能(如 DDNS 服务、时间段配置等)正常工作,需要准确地设定设备的时钟,使其与当地标准时间同步。

-- 上网接入方式

设备支持下列上网方式,请用户根据实际情况进行选择。

PPPoE 拨号上网: ADSL 虚拟拨号(也可以是以太网介质的 PPPoE 拨号)。

固定 IP 接入:以太网宽带接入方式, ISP 提供静态的 IP 地址。

动态 IP 接入:以太网宽带或有线通接入方式, ISP 通过 DHCP 服务为用户分配 IP 地址。

--PPPoE

用户名、密码: 申请 PPPoE 业务的时候, ISP 将提供上网账号及密码 。

局域网 IP 地址、子网掩码:该地址将作为局域网中计算机用作上网的网关地址,出厂值为 192.168.16.1/255.255.255.0 。如果改变了“局域网 IP 地址”,在完成本向导之后,必须使用新的 IP 地址重新登录设备 ,才能进行 WEB 界面管理,并且,局域网中计算机的默认网关必须设置成该 IP 地址才能正常上网。

服务名: ISP 提供的 PPPoE 服务名,一般不需要设置。

密码验证方式: ISP 验证用户名及密码的方式,多数地区为 PAP 方式,也有少数地区采用 CHAP 等方式。

最大接受单元:缺省值为 1492 字节, PPPoE 拨号时设备将自动与对方设备协商,除非特别应用,不要修改。

拨号类型:

自动拨号: 当开启设备或者上一次拨号断线后自动拨号连接 ;

手动拨号:在基本配置 —> 线路配置 —> 线路连接信息 中手动进行连接和挂断;

按需拨号: 在局域网内部有访问 Internet 流量时自动进行连接 。

空闲时间:在没有访问 Internet 流量后自动断线前等待的时长, 0 代表不自动断线。

主 DNS 服务器: ISP 提供的主用 DNS 服务器 IP 地址。

备 DNS 服务器: ISP 提供的备用 DNS 服务器 IP 地址。

-- 固定 IP

局域网 IP 地址、子网掩码:该地址将作为局域网中计算机用作上网的网关地址,出厂值为 192.168.16.1/255.255.255.0 。如果改变了“局域网 IP 地址”,在完成本向导之后,必须使用新的 IP 地址重新登录设备,才能进行 WEB 界面管理,并且,局域网中计算机的默认网关必须设置成该 IP 地址才能正常上网。

广域网 IP 地址、子网掩码、静态网关:申请固定 IP 接入业务时, 由 ISP 提供。

主 DNS 服务器: ISP 提供的主用 DNS 服务器 IP 地址。

备 DNS 服务器: ISP 提供的备用 DNS 服务器 IP 地址。

-- 动态 IP

局域网 IP 地址、子网掩码:该地址将作为局域网中计算机用作上网的网关地址,出厂值为 192.168.16.1/255.255.255.0 。如果改变了“局域网 IP 地址”,在完成本向导之后,必须使用新的 IP 地址重新登录设备,才能进行 WEB 界面管理,并且,局域网中计算机的默认网关必须设置成该 IP 地址才能正常上网。

广域网接口MAC地址: 一般无需修改。但是某些动态接入的情况下(比如有线通), Cable Modem 会记录原先使用该线路的网络设备的 MAC 地址,这样会造成新的网络设备无法正常获得 IP 地址的现象,此时需要将设备的 MAC 地址修改为原有网络设备的 MAC 地址相同;

主 DNS 服务器: ISP 提供的主用 DNS 服务器 IP 地址(可能会在线路刷新时更新成 ISP 分配的地址);

备 DNS 服务器: ISP 提供的备用 DNS 服务器 IP 地址。

基本配置:

--线路配置

通过 快速向导 配置的线路名缺省为“默认线路”,固定接到 WAN1 口。也可以直接在本页面配置默认线路。

若使用多线路上网,线路配置完成后,可到 基本配置 —> 线路组合 中配置线路组合的相关参数。

在“线路连接信息列表”中,单击某“线路名称”,即可修改该线路配置。若是 PPPoE 拨号线路,单击其“线路名称”后,列表下方会增加“拨号”和“挂断”按钮,供用户操作。若是动态 IP 接入线路,单击其“线路名称”后,列表下方会增加“更新”和“释放”按钮,供用户操作。

连接类型:

无:用于删除线路。先在列表中单击某“线路名称”,然后选中“无”,再单击“保存”,即可删除所选线路。

PPPoE 拨号上网: ADSL 虚拟拨号(也可以是以太网介质的 PPPoE 拨号);

固定 IP 接入:以太网宽带接入方式, ISP 提供静态的 IP 地址;

动态 IP 接入:以太网宽带或有线通接入方式, ISP 通过 DHCP 服务为用户分配 IP 地址。

-- 线路组合:

所有线路缺省都是主线路,若选中“部分线路负载均衡,其余备份”,则可将若干线路设置为备份线路,但默认线路只能是主线路。

部分线路负载均衡,其余备份:只有当所有主线路都不能工作时,才能切换到备份线路工作;备份线路工作时,只要有一条主线路恢复正常,立即切换回使用主线路。

所有线路负载均衡:所有线路都为主线路,同时工作。若某线路故障,则立即屏蔽,原先经过该线路的流量将分配到其他线路上。一旦故障线路恢复正常,就立即启用,流量自动重新分配。

在“线路组合信息列表”中,单击某“线路名称”,即可配置该线路的检测及权重相关参数。

一般可按线路带宽比设置“权重”:“分配规则”为 IP 地址时,分配到各线路的 IP 地址的数量比为权重比;“分配规则”为 NAT 会话时,分配到各线路的 NAT 会话的数量比为权重比。

--DHCP 和 DNS 服务器

启用 DHCP 服务器功能后,设备就能够为局域网计算机动态分配 IP 地址、子网掩码、网关、以及 DNS 服务器、 WINS 服务器等信息。

启用 DNS 代理功能后,局域网的计算机只需将 DNS 服务器设置为设备的 LAN 口地址,就可以正常使用 DNS 服务。至少必须正确配置“主 DNS 服务器”, DNS 代理才能正常工作。

若 DHCP 服务器功能和 DNS 代理功能同时启用,设备给局域网中计算机分配的主 DNS 服务器的 IP 地址就是设备的 LAN 口 地址。

使用 DHCP 服务为局域网中的计算机自动配置 TCP/IP 属性是非常方便的,但是会造成一台计算机不同时间被分配到不同 IP 地址的现象。为了方便控制对局域网中计算机的 IP 地址的分配,可使用 DHCP 手工绑定功能,将计算机的 MAC 地址与某个 IP 地址绑定,从而为局域网中指定的 MAC 地址固定分配预设的 IP 地址。


-- 接口配置

在本页面,可分别配置每个物理接口的IP 地址、 MAC 地址、 ARP代理及工作模式。同时,每个物理接口均可配置两个不同网段的 IP 地址,支持连接两个不同的网段,而且可以相互通讯。

一般情况下,不需要配置 MAC 地址。但是某些动态 IP 接入的时候(比如有线通), Cable Modem 会记录下原先使用该线路的网络设备(如网卡)的 MAC 地址,这样会造成新的网络设备无法正常获得 IP 地址的现象,此时需要将其 MAC 地址设置成和原有网络设备的 MAC 地址相同。

如果改变了 LAN 口的 IP 地址,在保存之后,必须使用新的 IP 地址才能登录设备进行 WEB 界面管理,并且,局域网中计算机的默认网关必须设置成该 IP 地址才能正常上网。


--DDNS 配置

只有在 系统管理 —> 时钟管理 中正确配置了系统时间和时区信息, DDNS 功能才能正常工作。

请先登录 http://www.utt.com.cn/ddns 申请后缀为 iplink.com.cn 的二级域名及密码。

申请 DDNS 帐号时需填写的“序列号”就是本页面的“注册号”,得到的“ enKey ”就是本页面需设置的“密钥 (enKey) ”。

DDNS 功能仅支持“默认线路”是 PPPoE 的情况,并且必须先通过 WEB 界面配置该线路, DDNS 才能正常工作。

-- 802.1X认证

认证者

如果有用户希望通过设备的某端口访问设备提供的服务,这个端口就充当认证者的角色。可配置设备的LAN口作为认证者,对用户访问网络的合法性进行认证。只有授权用户才可以访问设备提供的网络服务。

可选择RADIUS服务器、LOCAL(本地服务器)或者RADIUS-LOCAL对发起认证请求的用户进行身份验证。其中“RADIUS-LOCAL”表示首先使用RADIUS服务器进行身份验证,如果RADIUS服务器不能响应,则使用本地服务器进行身份验证。

启用DHCP触发:用户可通过向认证者发送DHCP请求包来触发认证者发起对用户的认证。

对于端口控制方法,可以是认证者的物理端口,也可以是用户设备的MAC地址。下面将结合端口最大会话数进行解释:
基于端口:如果端口最大会话数为1,则只允许一台主机通过认证并访问设备提供的服务;如果端口最大会话数大于1,则只要连接在该端口的一台主机通过认证,连接在该端口的其他主机就能通过该端口访问设备提供的服务;
基于MAC地址:端口最大会话数表示可以通过端口认证的最大主机数。

配置端口控制方式,选项包括:
自动:启用端口认证功能,端口根据用户认证通过与否在关闭和打开之间变化;
强制未授权:强制端口关闭,设备不能通过该端口接收和发送数据;
强制授权:强制端口打开,不需要通过用户认证就可以接收和发送数据。

启用定期重新认证:启用后,每隔设定的周期就发起一次重新认证;
静默周期:认证失败后,认证者不接受在设定的静默周期内收到认证请求;
EAP请求最大重发次数:在一次认证过程中,如果EAP请求的最大重发次数超过设定的值,将重启一次认证。

Radius服务器

认证服务器为认证者提供认证服务,通过检验认证客户端发送来的身份标识,来判断该请求者是否有权使用认证者所提供的网络服务。

设备作为认证者时,可使用RADIUS服务器验证用户身份,RADIUS服务器可作为主服务器和备服务器,首先使用主服务器进行认证,如果主服务器不能进行认证,再使用备服务器进行认证。

主机IP地址:RADIUS服务器的IP地址;
认证端口:RADIUS服务器进行认证时使用的端口;
密钥字符串:用于对所有在认证者和RADIUS服务器之间的数据进行加密;
源IP地址:使用RADIUS服务器验证用户身份的设备的IP地址。
注意:主机IP地址、认证端口、密钥字符串以及源IP地址必须与RADIUS服务器处配置的一致。

如果在设定的“应答超时”时间内,没有收到RADIUS服务器的应答,就认为应答超时,认证者重新发送请求,同时“停用时间”开始计时,如果在设定的停用时间内还是没有收到RADIUS服务器的应答,就切换到另一台RADIUS服务器进行认证。

本地认证服务器

设备作为认证者时,除了使用RADIUS服务器验证用户身份外,还可以使用本地服务器验证用户身份,即设备对用户名和密码进行检查。

发起请求的用户必须使用在这里配置的用户名和密码,才能通过认证。还可以在“高级选项”中配置请求者的MAC地址和认证端口,实现用户名、MAC地址和端口的三重绑定。认证客户端的MAC地址、用户名以及设备的认证端口必须与这里设置的全部匹配,才能通过用户身份验证。

认证客户端

认证客户端是指连接在认证端口,请求访问认证者服务的主机。可配置设备的WAN口作为认证客户端,请求访问认证者提供的服务。

认证客户端在发起认证请求时使用的用户名和密码必须和认证服务器配置的用户名和密码相同,才能通过认证。

可通过单击“认证客户端信息列表”右下方的“登录”或“挂断”按钮来发起或挂断一次认证。

高级配置:

--NAT 和 DMZ 配置:

NAT 静态映射:通过定义一个服务端口,所有对设备该端口的服务请求将被重新定位给指定的局域网中的服务器,从而广域网中的计算机就可实现对局域网服务器的访问。

启用 NAT :在配置完上网连接后,系统会自动打开 NAT 功能。除非特别需要,请不要关闭此功能,否则将失去共享上网功能。

分配规则:控制线路流量时使用的规则,它作用于局域网中没有指定上网线路的计算机。

最大 Session 数:局域网单个用户 NAT 最大并发连接数,当某些局域网应用连接速度变慢时,可适当提高该值。

虚拟服务器( DMZ ):即 DMZ 主机,可完全暴露给 Internet ,实现双向通讯。系统允许配置一个全局 DMZ 主机,多个局部 DMZ 主机,后者在 EasyIP 类型的 NAT 规则中设置。

启用了 NAT 之后,所有的活动都将通过 NAT 规则来进行, NAT 规则决定了出口 IP 地址和端口。 NAT 规则的类型有三种:

EasyIP :即网络地址端口转换,多个内部 IP 地址映射到同一个外部 IP 地址。通过设置“权重”,可实现按权重比分配流量。

One2One :即静态地址转换,内部 IP 地址与外部 IP 地址进行一对一的映射。

Passthrough :对指定的 IP 地址不做 NAT ,使用其实际地址连接到 Internet 。

-- 路由配置:

Default 、 DefaultLAN 、 DefaultDMZ 、 IPETH 、 Detect 及 DetectDMZ 为系统保留路由, 一般请不要修改, 以免上网异常。

预定义:配置静态路由时,使用缺省值;只有配置路由策略库时,才需设置。

网关地址:下一跳路由器入口的 IP 地址。

绑定:用于指定数据包的转发接口。固定 IP 或动态 IP 线路的接口称作物理接口; PPPoE 等拨号线路的接口称作拨号接口。

配置静态路由时,必须明确下一跳地址,可通过“网关地址”或“绑定”设置。若转发接口是物理接口,则必须设置“网关地址”,但可以不设置“绑定”;若转发接口是拨号接口,则必须将“绑定”设置为对应的“线路名称”,但无需设置“网关地址”。

-- IP/MAC绑定:

IP/MAC 绑定应用于来自于局域网内部,连接到或者通过设备上网的数据包。

合法用户 :其 IP 及 MAC 地址与某个 IP/MAC 绑定条目完全匹配,且该条目的“允许”被选中。

非法用户 :其 IP 及 MAC 地址与某个 IP/MAC 绑定条目完全匹配,且该条目的“允许” 未被选中;或者,其 IP 和 MAC 地址中有且只有一个某个绑定条目的对应信息匹配。

身份未知用户 :除合法用户与非法用户之外的所有用户,即 IP/MAC 绑定用户

设备允许合法用户上网,禁止非法用户上网。对于身份未知用户,若选中“允许非 IP/MAC 绑定用户”,则允许上网;反之,则禁止上网。

在“IP/MAC绑定信息列表”中可查看、编辑和删除DHCP手工绑定

-- 特殊功能:

快速转发:实现各个物理接口数据的快速转发,全面提高性能。

虚拟局域网: LAN 口的交换端口可以设置不同的组号,相同组号的端口构成一个虚拟局域网( VLAN ),各个 VLAN 之间实现物理隔离。

端口镜像: LAN 口的端口 1 提供镜像功能, LAN 口的其他端口的流量将镜像到端口 1 ,以便进行流量监控和故障诊断。若设置了 VLAN ,则只有与端口 1 同属一个 VLAN 的端口的流量才能镜像到端口 1 。

-- 交换管理:

端口统计:提供各个端口接收/发送数据包的统计信息。

虚拟局域网:可以为各端口设置不同的组号,相同组号的端口构成一个虚拟局域网。

端口镜像:可以指定监控端口、被监控端口以及监控方向。

端口参数:可以启用或禁用各端口、启用或禁用各端口安全、启用或禁用各端口的流量控制以及设置各端口的工作模式。

广播风暴抑制:可以限制各端口的入口/出口速率,有效抑制广播风暴。

线缆检测:当某端口的网线连接异常时,可以检测出故障原因以及故障点到端口的距离。

端口汇聚:可以将多个端口聚合在一起形成一个汇聚组,以提供高带宽的数据传输通道。

--DHCP

高级配置—— >DHCP 页面—— >DHCP 客户端

将设备配置成为 DHCP 客户端,设备可自动地从 DHCP 服务器,得到 IP 地址及其他配置参数。设备的所有端口均支持 DHCP 客户端,允许各端口同时启用 DHCP 客户端。

启用 PnP :启用 PnP 功能后, DHCP 客户端可获得 IP 地址、子网掩码、网关地址及 DNS 服务器。若禁用 PnP 功能,则只能获得 IP 地址和子网掩码,不能获得网关地址和 DNS 服务器。

请求包类型: DHCP 客户端发送请求包的方式。

要求回复包类型: DHCP 客户端发送 DHCP 数据包时,要求 DHCP 服务器发送回复包的方式。

允许 AutoIP :允许 DHCP 客户端在无法得到 IP 地址的情况下,给自己分配 IP 地址。

高级配置—— >DHCP 页面—— >DHCP 服务器

将设备配置成为 DHCP 服务器,设备可提供 DHCP 服务:为局域网计算机动态分配 IP 地址、子网掩码、网关以及 DNS 服务器、 WINS 服务器等信息。

重试次数: ICMP 方式地址检测时,发送 ICMP 检测包的最大次数(一次一个数据包)。 0 表示不检测。

检测周期:每个 ICMP 检测包的最长等待回应时间。

通过 DHCP 手工绑定功能,可以为某些需要使用固定 IP 地址的客户端主机预先指定 IP 地址。有三个与 IP 地址绑定的参数可选,按优先级从高到低排列为:远程标识、客户端标识及 MAC 地址。如果三个全部都设置或设置了其中的两个,只有优先级最高的一项起作用。

绑定:该 DHCP 手工绑定所属的 DHCP 地址池。预留的 IP 地址必须是所绑定地址池中的合法 IP 地址。

DHCP 服务器的地址分配以及给客户端传送的 DHCP 各项参数,都需要在 DHCP 地址池中进行定义。设备支持配置多个地址池,从而实现在局域网中存在多个子网时,方便用户使用。“ pool1 ”为缺省地址池,可编辑修改,但不可删除, WEB 管理界面 —> 基本配置 —>DHCP 和 DNS 服务器 中 DHCP 服务器提供的地址池也是它。

DHCP 中继地址和中继标识:实现为具有相同中继地址或中继标识的客户端分配同一个地址池中的地址,方便管理。

回复包类型: DHCP 服务器接收到客户端发送的数据包后,发送回复包的方式。“客户端决定”是指要求 DHCP 服务器按照 DHCP 客户端指定的方式发送回复包。

允许 AutoIP :允许 DHCP 客户端使用 AutoIP 功能获得的地址与 DHCP 服务器分配的地址共存。

高级配置—— >DHCP 页面—— >DHCP 中继

将设备设置成 DHCP 中继,设备就能在 DHCP 服务器和客户端之间转发 DHCP 数据包。当 DHCP 客户端与服务器不在同一个子网时,必须有 DHCP 中继来转发 DHCP 请求和应答信息。这样,多个网络上的 DHCP 客户端可以使用同一个 DHCP 服务器,既节省了成本,又便于进行集中管理。

DHCP 服务器: DHCP 服务器的 IP 地址,从当前端口上收到的 DHCP 数据包将发送到指定服务器。

“选项”为“ disable ”时:若“策略”为“ drop ”,且该数据包是由 DHCP 中继发出,将丢弃该数据包;其他情况下,均是直接转发该数据包。

最大包长: DHCP 中继允许转发的数据包的最大长度。

回复包类型: DHCP 中继接收到客户端发送的数据包后,发送回复包的方式。“客户端决定”是指要求 DHCP 中继按照 DHCP 客户端指定的方式发送回复包。

选项和策略:定义 DHCP 中继对 DHCP 数据包的转发策略。

高级配置—— >DHCP 页面—— >Raw Option

随着 DHCP 的不断发展,新的可选配置项会不断出现,为了支持这些新的选项,设备提供了自定义选项( Raw Option )功能,设备的 DHCP 服务器和客户端均支持该功能。

类型值:该 Raw Option 的类型,用数字表示。请参考 RFC 1533 、2131 、 2132 等。

数据:该 Raw Option 的值。

hex :定义一个十六进制字符串,取值范围: 1 ~ 27 个字符;

ascii :定义一个 ASCII 字符串,取值范围: 1 ~ 25 个字符;

ip :定义一个 IP 地址,点分式十进制表示,取值范围: 1 ~ 28 个字符;

端口:可使用该 Raw Option 的端口。

--UPnP

UPnP ( Universal Plug and Play ,通用即插即用)主要用于实现设备的智能互联互通,旨在实现一种“零”配置和“隐性”的联网过程,自动发现和控制来自各家厂商的各种网络设备。

在设备上启用 UPnP 功能后, 可以实现穿透 NAT :当局域网的主机通过设备与 Internet 上的终端进行通讯时,可以根据需要自动增加、删除 NAT 映射,从而保证支持 UPnP 的软件可以在 NAT 后正常使用。

WEB UI 中,默认在 LAN 口启用 UPnP 功能。

内部地址:局域网主机的 IP 地址。

内部端口:局域网主机提供的服务端口。

协议:该 UPnP NAT 静态映射使用的协议。

对端地址:对端主机的 IP 地址。

外部端口:内部端口经 NAT 转换后的端口,即设备提供给 Internet 的服务端口。

描述:用来描述相关 UPnP设备厂家的信息。

 

--PPPoE服务器

在“PPPoE用户状态信息列表”中单击某“用户名”超链接,即可在用户配置栏中修改该用户配置信息,单击“IP地址”或者“个性化配置”超链接,就可以进入PPPoE用户信息配置页面,查看并编辑其个性化配置信息。个性化配置包括:是否禁止QQ/MSN/P2P、是否启用NAT会话数限制以及是否进行个人带宽限制。

帐号最大会话数:使用同一个用户名的最大PPPoE连接数,可通过配置帐号最大会话数实现多个用户使用同一个用户名发起PPPoE连接。

当使用PPPoE服务器进行计费时需配置空闲时间和会话时间;

空闲时间:无访问流量后自动断线前等待的时长;

会话时间:PPPoE连接生存时间,每次拨号成功到设置的时间后自动断线。

启用 PPPoE服务器功能后,设备就能够为局域网计算机动态分配任意网段的 IP 地址、DNS 服务器等信息。

设备作为PPPoE服务器,在PPP协商时提供PAP、CHAP以及AUTO三种身份验证方式,缺省情况下采用AUTO,表示自动选择PAP或者CHAP进行身份验证,一般情况下不需要设置。

--PPPoE用户信息配置

PPPoE用户进行个性化配置,包括是否禁止QQ/MSN/ P2P、是否启用NAT会话数限制以及是否进行个人带宽限制。

“最大下载速率”、“最大上传速率”、“最小下载速率”、“最小上传速率”以及“信用额度”用于限制个人带宽。当修改“最大下载/上传速率”的值时,系统会自动修改“最小下载/上传速率”的值,建议用户不要对其进行设置。

启用固定IP地址分配的同时,系统会将PPPoE用户的MAC地址和当前分配的IP地址进行绑定,绑定后,此PPPoE用户每次拨号都将获得已绑定的IP地址;可通过禁用固定IP地址分配解除PPPoE用户的地址绑定。

交换管理:

--常用管理

端口统计:提供各个端口接收/发送数据包的统计信息。

虚拟局域网:可以为各端口设置不同的组号,相同组号的端口构成一个虚拟局域网。

端口镜像:可以指定监控端口、被监控端口以及监控方向。

广播风暴抑制:可以限制各端口的入口/出口速率,有效抑制广播风暴。

端口参数:可以启用或禁用各端口、启用或禁用各端口安全、启用或禁用各端口的流量控制以及设置各端口的工作模式。
端口安全:启用端口安全后,端口将不再学习新的MAC地址,并且只转发来自已学习到的MAC地址的数据;禁用端口安全,端口则重新开始学习新的MAC地址。注意:在启用所有端口的端口安全之前,必须设置静态MAC地址绑定,否则将导致无法管理HiPER。

线缆检测:当某端口的网线连接异常时,可以检测出故障原因以及故障点到端口的距离。

端口汇聚:可以将多个端口聚合在一起形成一个汇聚组,以提供高带宽的数据传输通道。

--LAN_VLAN管理

1. 在进行VLAN配置之前,首先要选择所要配置的VLAN模式和类型。
VLAN模式:有不设置VLAN、PortVLAN (基于端口的VLAN)和TagVLAN(基于IEEE802.1Q协议的VLAN)三种VLAN模式。
VLAN类型:有普通VLAN、SuperVLAN和三层VLAN三种VLAN类型。

2. 普通VLAN:是一种最基本的VLAN, VLAN间不能通信。

3. SuperVLAN:将多个不同的SubVLAN划分为属于同一IP子网,然后将该IP子网指定为一个SuperVLAN。SuperVLAN 和SubVLAN是父与子的关系,SuperVLAN需要配置IP地址, SubVLAN需要配置所属的SuperVLAN和端口成员。

4. 三层VLAN;不同VLAN属于不同的IP子网,需要配置IP地址和端口成员,VLAN间通过路由进行通信。

5. 注意:如果某端口已被设置为Trunk成员,此端口将不能被单独设置,只能以TrunK为单位进行配置。

6. 缺省VID :当HiPER某交换端口收到一个Untag帧时,HiPER将会自动把端口的缺省VID作为tag 头添加到Untag帧中。

7. 出口规则:端口对数据帧的处理方式。如果选择“tag”,则从端口发出的帧是带tag头的,如果选择“untag”,端口将把数据帧去tag后,再发送出去。

8. 配置SuperVLAN或三层VLAN后,可在VLAN间通信管理页面配置VLAN间通信策略。

--LAN_VLAN间通信管理

1. SubVLAN通信策略配置:首先选择策略号和所属的SuperVLAN,然后在不允许通信SubVLAN框中选择欲进行通信的两个或多个SubVLAN,单击或双击[=>],将选中的条目导入允许通信SubVLAN框中,最后单击[保存]按钮。

2. SuperVLAN通信策略配置:首先选择策略号,然后在所有SuperVLAN框中选择欲进行通信的两个或多个SuperVLAN,单击或双击[=>],将选中的条目导入通信SuperVLAN框中,最后单击[保存]按钮。

3. VLAN通信策略配置:首先选择策略号,然后在所有VLAN框中选择欲进行通信的两个或多个VLAN,单击或双击[=>],将选中的条目导入通信VLAN框中,最后单击[保存]按钮。

4. 注意:在全局配置中启用通信策略后,所配置的通信策略才生效,此时只有同一策略中配置允许通信的VLAN才能通信,其它VLAN间均不能通信;取消启用通信策略,通信策略失效,所有VLAN间均可互相通信。


--MAC管理

1. MAC地址静态绑定方法如下:
首先单击[扫描网络]按钮,显示HiPER新学习到的动态MAC(PORT)信息。然后选中欲绑定的MAC(PORT)信息,再单击[<=]或双击它,相关信息即填充到对应的配置框中(也可手工输入配置信息),最后单击[保存]按钮 。
注意:配置MAC地址和端口绑定后,已绑定的MAC地址将不能通过HiPER的其它端口和外界通信。

2. 过滤MAC地址方法如下:
首先单击[扫描网络]按钮,显示最新的动态MAC地址表。然后选中欲过滤的MAC地址,再单击[<=]或双击它,相关信息即填充到对应的配置框中(也可手工输入配置信息),最后单击[保存]按钮。
注意:被过滤的MAC地址将不能通过HiPER的任何交换端口和外界通信,除非在“MAC地址过滤信息列表”中禁用相应的MAC地址过滤条目。

MAC地址最大老化时间:HiPER将新学习到的MAC地址添加到动态MAC地址表中以后,开始对这个MAC地址表条目进行计时,如果在设定的“MAC地址最大老化时间”内没有与这个MAC地址相关的数据帧传输的话,HiPER将删除这一条MAC地址表条目,这里的删除我们称之为“老化”。默认值为“300秒”,“0”表示不设置MAC地址老化。


--QoS管理

选择优先级模式和优先级规则后,就可以对HiPER转发数据帧的优先级进行设置。HiPER支持基于端口的优先级、802.1P优先级和DSCP优先级三种优先级模式,支持权重和固定两种优先级规则。

基于端口的优先级:用来设置HiPER优先转发哪个端口的数据。

IEEE 802.1P优先级:它是位于二层带标签的以太网帧的CoS字段定义的优先级,有8(0~7)个优先级值。

如果端口收到未添加优先级tag的帧,那么HiPER会把接收端口的缺省优先级tag作为数据帧tag,然后再进一步处理。

DSCP优先级:差分服务代码点优先级,利用IP包头的ToS字段的前6位定义优先级,有64(0~63)个优先级值。

HiPER中自定义了四种不同的优先级等级,分别为最低、较低、较高和最高,当选择的优先级规则为权重时,上述四种优先级等级对应的权重比为1:2:4:8 ,交换端口会按照权重比转发数据;当选择的优先级等级为“固定”时,交换端口优先转发完优先级最高的数据,然后再转发优先级相对较低的数据。

系统管理:

-- 管理员配置

管理员组:管理员所属的管理员组,不同的管理员组提供不同级别的管理权限。

浏览:只能查看相关页面的配置。 但上网监控页面除外;

执行:可查看或修改各页面的配置,但上网监控页面除外。

系统管理:可以任意查看和修改所有页面的配置。

允许telnet远程登录:允许或者禁止该管理员通过telnet管理设备,选中为允许。只有“系统管理”组的管理员才能有telnet权限,最多只允许设置3个有telnet权限的管理员。

为安全起见,强烈建议修改初始的管理员密码,并谨慎保管管理员用户名及密码。

-- 时钟管理

只有系统时间与当地标准时间同步后,各种涉及时间的功能(如 DDNS 服务、时间段配置等)才能正常工作。

每次只能选择“手工设置时间”或“网络时间同步”中的一种方式设置系统时间。注意,部分型号的产品没有时间保存功能,设备重启后时间会恢复到出厂值,请使用“网络时间同步”功能从 Internet 获取标准时间。

时区选择:只有时区选择正确,网络时间同步功能才能正常工作。

若需更多 sntp 知识及服务器,请访问 http://www.ntp.org

-- 软件升级

强烈建议在负载比较轻(用户比较少)的情况下升级设备,升级前先到系统管理 —> 配置管理 备份系统当前配置。

升级前请登录网站 http://www.utt.com.cn 下载与当前硬件版本一致的软件。升级过程不能关闭设备电源,否则将会导致不可预期的错误甚至不可恢复的硬件损坏。

软件升级成功后,需重启设备,新软件才能正常工作。若选中“升级时重启设备”,升级成功后设备将自动重启;否则,请在升级成功后选择合适的时间重启设备。

-- 配置管理

保存配置到本地:将系统当前运行的配置备份到管理计算机的硬盘中。

导入配置:在“请选择配置文件”文本框中输入或通过“浏览”选择配置文件,单击“加载”,将配置加载到 设备。若选中“导入前恢复到出厂值”,则加载配置前会先恢复出厂配置。

恢复设备出厂配置:这是个很危险的操作,它将使所有设置恢复到出厂状态。建议执行本操作之前,备份当前运行配置;执行本操作之后,重启设备。

部分出厂配置:管理员用户名为 Default ,密码为空; LAN 口 IP 地址 / 子网掩码为 192.168.16.1/ 255.255.255.0 。

--WEB 服务器

为保障设备有足够的性能提供服务,请尽可能减少 Web 并发连接的数量,同时不要选择自动刷新。

web 空闲超时时间:通过 WEB 管理设备时,若超过该时间无任何操作, Web 服务器将自动断开与浏览器的连接。

web 最大并发连接数:通过 WEB 配置设备时,将会有多条 TCP 连接连到设备。若访问 WEB 时出现页面显示不完整的情况,可适当增大该值。但该值超过 100 时,可能会降低设备抗 TCP SYN FLOOD 病毒攻击的能力。

内部端口:从局域网通过 WEB 管理设备的 HTTP 端口。若修改了默认端口,就必须用“ IP 地址:端口”的方式(如 http://192.168.16.1:88 )才能登录。

登录页面:下次登录设备时,将直接登录到此处设置的页面。首页 -- 缺省值;系统信息 -- 系统状态 —> 系统信息 页面;带宽信用管理 -- 带宽业务 —> 带宽信用管理 页面。

更换皮肤:用于更换 WEB 界面的色彩风格。

启用自动刷新:启用自动刷新功能后, Web 服务器将每隔单位时间自动刷新 系统状态 —> 系统信息 系统状态 —>NAT 统计 等页面。

--SNMP 配置

启用 SNMP 服务之后,就可以在远程使用 SNMP 软件管理和监视设备。为安全起见,目前只允许 SNMP 服务器读设备的相关信息,不允许修改。

SNMP 社区名:必须和 SNMP 网络管理软件包配置匹配;

只允许以下主机管理:选中后,可设置 1~3 台主机,只有这三台主机能通过 SNMP 管理设备。

必须在 WEB 管理界面 —> 系统管理 —> 远程管理 中允许了从 Internet 通过 SNMP 管理设备,才能从 Internet 通过 SNMP 服务器远程管理设备。

--SYSLOG 配置

syslog 记载了设备的大量运行信息,便于管理员分析系统的状况、监视系统的活动。

syslog 服务器的端口: syslog 服务器所开放的服务端口,一般默认为 514 。

syslog 消息类型:由 syslog 管理员自定义的一些消息类型。

syslog 消息发送间隔:设备将每隔指定时间间隔向 syslog 服务器发送“心跳”消息,表示自己是存活的,目前仅本公司的 Xport HiPER Manager 管理软件能识别。缺省值为 0 ,表示不发送“心跳”消息。

-- 远程管理

HTTP :选中后,方可从 Internet 通过 WEB 管理设备,且必须用“ IP 地址:端口”的方式(如 http://218.21.31.3:8081 )登录。

SNMP :允许或禁止从 Internet 通过 SNMP 管理设备。

TELNET :允许或禁止从 Internet 通过 TELNET 管理设备。

为安全起见,一般请不要打开远程管理功能。但在寻求艾泰科技工程师服务之前,请事先打开相关远程管理功能。


系统状态:

-- “用户统计”:

主机运行一段时间后,“广播包 / 发送包”一般应小于 10% ,若远大于 10% ,该主机可能感染病毒。但某些软件使用时会发送大量广播包,该比例将远大于 10% ,应忽略这种异常情况。

用户名:如果是IP/MAC绑定或DHCP绑定用户,则显示为自定义的“用户名”,否则显示为空;

活动记录:某用户上一次与设备通信距离查询时刻的时间。

发送数据包:某用户向设备发送的单播包的数量。

发送广播包:某用户向设备发送的广播包(包括多播包)的数量。

接收数据包:某用户从设备接收的单播包的数量。

广播包 / 发送包:某用户向设备发送的广播包和单播包的数量比。

接口:某用户与设备相连的物理接口。


-- “ NAT 统计 ” :

若在 系统管理 —>WEB 服务器 系统状态 —> 系统信息 中启用了自动刷新功能,本页面将定期自动刷新。

“ NAT 状态信息列表”用来查看各条 NAT 规则的配置及使用情况。

租期:该 NAT 规则上一次状态变化距离查询时刻的时间。

选择计数:“租期”内,使用该 NAT 规则的 NAT 会话的累计数量。

“ NAT 统计信息列表”用来查看局域网各主机 NAT 会话的统计信息。

统计时长:上一次清除至查询时刻的时间间隔。

超限次数:“统计时长”内,某用户 NAT 请求超过设备内部限制的次数。最大 NAT 会话数在 高级配置 —>NAT 和 DMZ 配置 中配置。

失败次数:“统计时长”内,某用户 NAT 请求失败的次数。

下载数据包 / 总数:“统计时长”内,某用户下载的数据包在所有用户下载数据包总数中所占的百分比。

上传数据包 / 总数:“统计时长”内,某用户上传的数据包在所有用户上传数据包总数中所占的百分比。

当前连接数 / 总数:某用户正在使用的 NAT 会话数在设备当前 NAT 会话总数中所占的百分比。该值最大的用户当前上网最活跃。

可能使用端口扫描软件的用户:“超限次数”大于 100 ,或是“上传数据包”远大于“下载数据包”。

可能使用 DoS/DDoS 攻击设备的用户:“上传数据包”很大,“下载数据包”很小或没有。


-- “ DHCP
统计 ” :

系统状态—— >DHCP 统计—— > 服务器

状态:当前 IP 地址的状态。正在验证 --DHCP 服务器正在检测当前 IP 地址是否冲突;已分配 --DHCP 服务器已将该 IP 地址分配给客户端;冲突 --DHCP 服务器检测到该 IP 地址冲突。

静态 / 动态:当前 IP 地址的分配方式。静态 – 该 IP 地址是通过 DHCP 手工绑定指定的;动态 – 该 IP 地址是从 DHCP 地址池中动态分配的。

绑定:选中某个动态分配的 IP 地址对应的条目,单击“绑定”按钮,即可生成与该 IP 地址对应的 DHCP 手工绑定。

冲突次数:上一次清除至查询时刻这段时间内,当前端口作为 DHCP 服务器为 DHCP 客户端分配地址时,检测到地址冲突的次数。

客户端个数:当前端口作为 DHCP 服务器时,绑定在该端口上的所有 DHCP 地址池中已分配的地址个数。

检测方法:检测到地址冲突时使用的检测方法。 ARP 方式 -- 通过 ARP 方式检测到地址冲突; ICMP 方式 -- 通过 ICMP 方式检测到地址冲突。

冲突时间:检测到地址冲突的时刻。

高级配置—— >DHCP 统计—— >DHCP 客户端及中继

冲突次数:上一次清除至查询时刻这段时间内, DHCP 服务器为当前 DHCP 客户端分配地址时,检测到地址冲突的次数。

未知包:上一次清除至查询时刻这段时间内,经过此端口的未知类型的数据包的统计数量。

增加超长包:上一次清除至查询时刻这段时间内,当前端口作为 DHCP 中继转发的因超长而不增加中继信息的数据包的个数。

替换超长包:上一次清除至查询时刻这段时间内,当前端口作为 DHCP 中继转发的因超长而不替换原有中继信息的数据包的个数。

策略丢弃包:上一次清除至查询时刻这段时间内,当前端口作为 DHCP 中继转发的由转发策略指定丢弃的数据包的个数。


-- “接口统计”:

接口 / 方向:物理接口名和数据流方向。 In (接收)指数据包从该接口进入设备, Out (发送)指数据包从该接口离开设备。

平均速率:上一次清除至查询时刻这段时间内,某接口接收或发送数据包的平均速率,提供每秒比特数( bps )和每秒数据包数( pps )两种统计方式。

单击 查看内网用户带宽使用情况 ,立即转到 用户管理 —> 带宽管理 页面。

设备正常 运行时应该具备的特征:

WAN 口接收的数据包与 LAN 口发送的数据包的数量及字节数均相近;

WAN 口发送的数据包与 LAN 口接收的数据包的数量及字节数均相近;

各接口的“广播包 / 数据包”小于 5% ;

整个网络流量比较平衡,流量增减平缓,不会出现瞬间流量突增的情况。

注意, WAN 口可能是一个或多个。


-- “路由和端口信息”:

目的地址:目的 IP 地址 / 掩码长度。该值为“ 0.0.0.0/0 ” 的路由为系统提供的缺省路由。

接口号:符合该路由的数据包将从指定接口转发。 ie0--LAN口 ;ie1-- WAN口 ; ie2-- WAN2/DMZ口 ;

ptpdial0-- 待拨的虚接口;

ptpx-- 虚接口 x , x 为对应的虚接口号,取值为 0 、 1 、 2 、……

bhole0-- 内部接口,转发到该接口的所有包都被设备丢弃;

local-- 内部软路由接口,转发到设备本身;

reject-- 内部接口,转发到该接口的所有数据包都被设备拒绝,并回应一个 ICMP 不可达; loopback-- 回环接口,代表 127.0.0.0/8 网段,不被转发;

mcast– 内部接口,多播包将转发到该接口。

路由状态:

*–Hidden :该路由目前不生效,一般是该路由处于备份状态或是线路失效导致路由中断;

N–NAT :该路由上启用了 NAT ,局域网用户正通过该路由共享上网;

F–Float :该路由配置了路由优先级等信息,目前处于浮动状态,会因为线路的生效或者失效而决定该路由是否启用。


-- “系统信息”:

刷新功能:若修改了下拉框的值,需单击“刷新”按钮,才能保存新配置。下拉框设置为“手动刷新”时,只能通过单击“刷新”来手动刷新本页面;设置为其他值时,本页面和 系统状态 —> NAT 统计 页面将每隔指定的时间间隔自动刷新。

资源状态: CPU 占用 -- 当前 CPU 使用率;内存使用 -- 当前内存使用率; NAT 会话 -- 当前建立的 NAT 会话数占系统能处理的最大 NAT 会话数的百分比。

版本信息:序列号 -- 产品内部序列号;功能号 -- 产品具有的功能模块。

端口状态:若某端口未激活,其“状态”显示为 DOWN ;若已经激活,则依次显示该速率状态、工作状态以及模式状态;“外出 / 进入速率 (kbit/s) ”是针对接口统计的。

单击“清除”按钮即可删除当前系统历史记录。


上网监控:

 

VPN 配置:

--PPTP 和 L2TP

单击 导出 WINDOWS 注册表文件 ,即可下载到本地主机。 Win2000 缺省是不允许 L2TP 传输禁用 IPSec 加密,运行该文件并重启主机,可修改缺省配置。

拨出 ( 客户端 ) :设备作为 PPTP/L2TP 隧道连接的发起者,拨号到远端服务器。

拨入 ( 服务器 ) :设备作为 PPTP/L2TP 隧道连接的终结者,接受来自远端客户端的拨入。此时, “ 设置名 ” 同时用作拨入用户的用户名。

远端内网 IP 地址: PPTP/L2TP 隧道对端局域网的 IP 地址(一般可填对端设备的 LAN 口 IP 地址)。

远端内网子网掩码: PPTP/L2TP 隧道对端局域网的子网掩码。

隧道服务器地址 ( 名 ) : PPTP/L2TP 服务器的 IP 地址或域名(一般填对端设备的 WAN 口 IP 地址或域名)。

分配 IP 地址: PPTP/L2TP 服务器要从 VPN 地址池取出一个 IP 地址分配给拨入用户,作为连接 PPTP/L2TP 隧道两端的路由地址。地址池可任意定义,但不能和方案中已有 IP 地址段重复。

当 PPTP/L2TP 隧道两端设备建立连接时,会各用一个虚接口来连接对方。通常,服务器会从地址池分配一个 IP 地址作为两个虚接口的路由地址;但是当服务器未配置地址池时,就需手工配置,即设置 “ 对端虚接口 IP 地址 ” 、 “ 本地虚接口 IP 地址 ” 及 “ 虚接口子网掩码 ” 。

数据压缩:必须与隧道对端设备配置相同。

保持连接 / 生命周期:若选中 “ 保持连接 ” ,隧道连接成功后,系统将每隔 1000ms 向对端设备发送一个探测包,以探测连接是否正常,若在 “ 生命周期 ” 内一直未收到对方回应,则断开此连接。一般无需设置,系统会发送 PPTP/L2TP 隧道默认的 HELLO 包探测连接是否正常。

空闲时间:无访问流量后自动断线前等待的时长, 0 代表不自动断线。

会话时间:连接生存时间,一旦隧道连接的时间达到此值,就自动断线, 0 代表无限制。

启用 NAT :启用后, PPTP/L2TP 客户端会对此隧道连接做 NAT ,即将本地局域网用户的 IP 地址转换为服务器分配的 IP 地址,本地用户就使用分配的 IP 地址连接到对端局域网,对端设备无需设置到本地的路由。但是,此情况下只能实现本地网络到隧道对端网络的单向访问(适合设备使用移动用户帐号连接到 PPTP/L2TP 服务器)。

拨号类型:

自动拨号: PPTP/L2TP 客户端配置完成、或隧道连接中断、或设备启动后,客户端就拨号;

手动拨号:在 “ PPTP/L2TP 信息列表 ” 中,手工进行连接和挂断隧道;

按需拨号: PPTP/L2TP 客户端配置完成后,一旦监听到有数据需传输就拨号。

拨号时段:允许 PPTP/L2TP 客户端拨号的时间段(在 用户管理 —> 时间段配置 中定义),只有在此时间段内才允许拨号,不设置代表不控制。

上线时段:允许 PPTP/L2TP 客户端保持隧道连接的时间段(在 用户管理 —> 时间段配置 中定义),超出此时间段后就自动断开连接,不设置代表不控制。


--IPSec :


动态连接到网关方式下,设备是隧道的发起方,必须提供身份,即必须设置“本地身份 ID ”和“本地身份类型”。

对方动态连接到本地方式下,设备的对等方是发起方,必须提供身份,即必须设置“远端身份 ID ”和“远端身份类型”。

远端网关地址(名): IPSec 隧道远端网关的地址(或域名)。设置为域名时,需要在设备上设置 DNS 服务器,此时设备会定期解析该域名,若 IP 地址变化,设备将重新协商 IPSec 隧道。

远端内网地址、内网掩码:隧道远端受保护的内网的任一IP地址和子网掩码。若远端是移动单机用户,则这两个参数分别设置为该设备的IP地址、255.255.255.255。

本地绑定:选择本地接口,接口可以是以太网口,或 PPPoE 拨号连接,还可以是 L2TP 拨号连接。将 IPSec 配置绑定到指定接口上,那么所有经过该接口的数据包将被 IPSec 检查,以确定是否对该数据包进行加密和解密操作。

本地内网地址、内网掩码:本地受保护的内网的任一IP地址和子网掩码。

预共享密钥:协商所用的预共享密钥,最长为 128 字符。

加密认证算法 1 :可供第二阶段协商使用的首选加密和认证算法。

协议:需要进行 IPSec 保护的数据包的协议类型,有“任意”,“ TCP ”,“ UDP ”,“ ICMP ”四个选项。

端口:需要进行 IPSec 保护的数据包的端口号, 0 表示任意端口。注意,“协议”为任意时,端口配置无效。如果需指定“端口”,必须先选择“协议”( TCP 或 UDP )。

抗重播:启用后,设备将支持抗重播功能,从而可以拒绝接收过的数据包或数据包拷贝,以保护自己不被攻击。

协商模式:“网关到网关”时选择“主模式”,其他两种方式时选择“野蛮模式”;

野蛮模式加密协商:指野蛮模式下,第二个信息包是否加密。设备作为发起方时,需设置该参数。设备作为响应方时,支持加密和不加密两种方式。

生存时间(第一阶段): IKE SA 的生存时间,至少 600 秒,当剩余时间为 540 秒时,将重新协商 IKE SA 。

生存时间(第二阶段): IPSec SA 的生存时间,至少 600 秒,当剩余时间为 540 秒时,将重新协商 IPSec SA 。

最大流量:每次 IPSec 会话允许通过的最大流量,超过后, SA 将重新协商。

DPD :启用或取消 DPD 功能;

心跳:配置后,设备每隔单位时间(“心跳”)向对端发送探测消息,来确定对端是否还存活。

NAT 穿透:启用或取消 NAT 穿透功能。

端口:用来穿透 NAT 的 UDP 封包的端口号,缺省值 4500 。

维持:启用 NAT 穿透功能后,设备将每隔单位时间(“维持”)向 NAT 设备发送一个数据包以维持 NAT 映射,这样就不需要更改 NAT 映射,直到第一阶段和第二阶段的 SA 过期。


用户管理:

--带宽管理

设备中,可配置三个带宽限速策略,实现分时段对内网用户进行带宽限速。如果当前时间在某个带宽限速策略指定的时间段内,就采用此带宽限速策略对内网用户进行带宽管理。

时间段:本功能生效的时间段(在用户管理—> 时间段配置中定义)。

上传/下载速率:内网用户的最大上传/下载速率,选项“NoLimit”表示不限制,即在上传/下载方向不启用限速功能;

解除邮件限速:选中后,邮件业务不受带宽限速的影响,可以正常收发。

设置最大下载速率和最大上传速率的方法: 1. 一般建议“最大下载/上传速率”与“主机数量”的乘积不超过“线路下行/上行带宽”的4倍; 2. 若内网用户使用P2P软件或下载文件比较多,还要降低设置值;若都是交互(如MSN、QQ、IE浏览)应用,则可以适当增大设置值。

-- 组管理:

通过将具有共性(如业务要求相同)的用户划分为同一个工作组,并分配连续的 IP 地址,就能在 防火墙 —> 访问控制策略 中为工作组用户定义上网权限。

允许设置只有一个 IP 地址的特殊工作组,称为个人用户。不同工作组的 IP 地址不能重叠,但个人用户可从属于某个工作组。 IPSSG组为系统默认工作组,包括局域网中的所有用户,不能编辑和删除。

在设置工作组时,可以为该组用户设置组策略,实现对工作组用户的分时段策略管理,使工作组用户在不同的时段具有不同的带宽限制、聊天和下载权限。

时段策略:该工作组用户在某个时段内的生效策略,如果当前时间在时段策略指定的时间段内,就对该组用户执行此策略,时段策略在用户管理—>时段策略中配置。 如果当前时间不在时段策略指定的时间段内,参数最大下载/上传速率、解除邮件限速、禁止QQ/MSN/P2P的值将作用于该组用户。

若某个工作组已经被引用,编辑该组地址后,相关业务的引用同时发生改变;并且,这时无法删除该组,只有在取消相关引用之后,才能删除它。

--个性化管理

下载 / 上传速率:某用户的实时下载 / 上传速率,按两次刷新间隔统计。

单击“ NAT 会话数”超链接,立即跳转到 上网监控页面,自动查询该用户当前全部 NAT 会话记录,并在“查询结果列表”显示查询结果;而且,通过该表还可以清除该用户的部分或全部 NAT 会话。

单击“ IP 地址”或“编辑”超链接,就能进入 个性化配置 页面,查看该用户的状态信息,还可以查看并编辑其 IP/MAC 绑定以及个性化配置信息。其中,个性化配置包括:是否禁止 QQ/MSN/P2P 、是否启用 NAT 会话数限制、是否进行个人带宽控制等。

当鼠标移向某用户的 IP 地址时,可显示该用户的当前配置信息。

清除个性化:选中一条或多条已进行个性化配置的用户条目,在列表右下方选择“清除个性化”并单击“GO”按钮,即可清除选中用户的个性化配置。


--个性化配置

“实时下载 / 上传速率”按两次刷新间隔统计,而“平均下载 / 上传速率”则按设备本次开机(或重启)至今所运行的时间统计。

安全配置 —> 基本选项 用户管理 —> 带宽管理 页面中的相关配置是对局域网所有用户生效的,称为全局配置。用户管理 —> 组管理中的相关配置只对该组内的用户生效,称为组策略。如果某些用户有特别需求,则可在本页面进行个性化配置。 当某用户的个性化配置与全局配置冲突时,个性化配置优先

通过在个性化配置中时段策略来实现对个人用户的分时段策略管理,如果当前时间在时段策略指定的时段内,就对此个人用户执行该策略,如果当前时间不在时段策略指定的时段内,参数禁止QQ/MSN/P2P、最大下载/上传速率的值将作用于此个人用户。


--时段策略

通过在组策略或个性化策略中引用时段策略,可实现对工作组用户或个人用户的分时段策略管理,使他们在不同的时间段具有不同的带宽限制、聊天和下载权限。

时间段:策略生效的时间段,不设置表示不对策略生效的时间段进行限制。在用户管理—>时间段配置中配置时间段;

解除邮件限速:选中后,邮件业务不受带宽限速影响,可以正常收发。

-- 时间段配置

只有在 系统管理 —> 时钟管理 中正确配置了系统时间和时区信息,时间段功能才能正常工作。

一个时间段最多可由 8 个时间单元组成,时间段策略可以被某些高级功能(如拨号时段、带宽管理、时段策略)引用,以控制这些业务的生效时间,从而达到控制上网费用、上网行为等目的。

配置跨天时间段的方法 :一个跨越零点的时间段必须设置成两个连续的时间单元,例如,从晚上8点到次日凌晨5点需以 24:00:00 分为两个时间单元,第一个时间单元为 20:00:00~23:59:59 ,第二个时间单元为 00:00:00~05:00:00 。

“开始日期和时间”和“结束日期和时间”用于设置时间段的生效时间。若有效期已过,则时间段无效。当它们均设成 1990 年 1 月 1 日 00:00:00 时,代表时间段永久有效。

防火墙:

--访问控制策略

在“访问控制信息列表”的上方选择“接口”和“方向”,即可在列表中查看在该接口和方向上的访问控制策略信息。用户自定义的访问控制策略将按配置顺序或预先指定的位置排列在“访问控制策略信息列表”中,当设备收到一个数据包后,将从列表的顶端开始向下搜索匹配的策略,匹配的第一个策略将被用于数据包,并且后面的策略不再检查,如果没有找到匹配的策略,该数据包将被丢弃。

灵活地运用访问控制策略,不仅能控制内网用户对外网的访问,而且还能够保护内部网络免遭外来攻击。

安全配置—>地址组中配置了地址组且在防火墙—>服务组中配置了服务组后,选择“高级视图”, 可在设备各个物理接口的不同方向设置访问控制策略;在用户管理—>组管理中配置了工作组后,选择“普通视图”, 只能在LAN接口的IN方向设置访问控制策略。强烈建议您选择“高级视图”配置访问控制策略。

只有在用户管理—>时间段配置中配置了时间段,才能配置访问控制策略的有效时间。

注意:必须在“全局配置”中启用某接口和方向的访问控制策略后,在该接口和方向上配置的访问控制策略才生效。


--地址组

访问控制策略使用地址组来匹配设备接收到的数据包的源地址组和目的地址组。用户可以自定义地址组包含的IP地址段,也可把已有地址组添加到新地址组中。

新地址:输入欲添加到地址组中的IP地址段;
已有地址:显示已存在的地址组;
[=>]:用于将某IP地址段或已有地址组添加到地址组中;
[>=]:用于修改某个地址组包含的IP地址段;
[删除]:用于删除某个地址组包含的IP地址段或地址组。

创建地址组:首先输入自定义的地址组名并选择所属区域,然后在“新地址”配置框中输入IP地址段,单击[=>]将此IP地址段导入地址范围列表中,可连续导入多个IP地址段;也可在“已有地址”配置框中选中一个或多个已有地址组名,单击[=>]将此地址组导入到地址范围列表中,最后单击“保存”按钮即可。


--服务组

访问控制策略使用服务组来匹配设备接收数据包的源MAC地址、协议、源端口以及目的端口等信息。 设备提供了普通服务、URL、关键字、DNS和MAC地址五种服务类型。在每种服务类型下,用户均可以自定义服务,也可以把已有服务添加到服务组中。

普通服务:用来匹配接收数据包的协议和端口;
URL:用来过滤URL 网址,可控制用户对站点及网页的访问;
关键字:用来过滤HTML 页面中的关键字;
DNS:用来设置是否对某域名进行DNS解析;
MAC地址:用来过滤源MAC地址。

[=>]:用于将配置的“新服务”或“已有服务”添加到服务组列表中;
[<=]:用于修改服务组包含的服务;
[删除]:用于删除服务组列表中包含的服务。


--域名过滤

通过在本页面进行简单的配置,可以实现禁止内网用户对某些指定域名的访问。

域名过滤功能是全字匹配的,当内网用户在浏览器里输入的域名与“域名列表”中显示的域名全字匹配时,将无法访问此域名对应的网页。

可以在域名名称中输入通配符“*”来实现对多个域名的过滤,例如在域名列表中添加域名名称“www.163.*”,内网用户将不能访问以“www.163”开头的所有网页。

必须在启用域名过滤功能后,配置的域名过滤才生效。

安全配置:

--基本选项

为安全性起见,一般请关闭允许响应外部 PING 功能。只有在某些特别情况下,例如网络调试时,才需开启此功能。

启用冲击波等病毒防御功能后,设备将直接丢弃 LAN 口接收到的协议为 TCP ,目的端口为 135 、 136 、 137 、 138 、 139 、 445 、 1025 、 5554 或者 9996 的数据包,此时,局域网主机将无法访问 Internet 上的主机提供的网络共享服务。

在“禁止 QQ ”、“禁止 MSN ”或者“ 禁止P2P ”栏,单击“更新策略”超链接,系统立即连接到指定 WEB 站点,下载并自动更新对应的策略库。

构成 TCP 会话的主要应用有 WEB 浏览、 FTP 文件传输、网络游戏、 SMTP/POP3 邮件传输等;构成 UDP 会话的主要应用有 DNS 服务、网络游戏、 TFTP 文件传输等;构成 ICMP 会话的主要应用有 PING 检测、网络扫描工具等 。

 


--策略库

更新:单击即可连接到指定 WEB 站点,下载并自动更新对应的策略库。

更新全部策略:单击即可连接到指定 WEB 站点,下载并自动更新列表中的全部策略库。

策略库版本检查:设置为“自动检查”时,系统会在指定时刻触发一次策略库版本检查,并把检查结果保存在 系统状态—> 系统信息 页面的系统历史记录中。


--ARP欺骗防御

启用 ARP 更新限制后,设备将丢弃免费 ARP 包,从而防止设备遭受 ARP 欺骗;启用 ARP 广播后,设备就会向局域网定期广播自己正确的 ARP 信息,从而防止局域网 PC 遭受 ARP 欺骗。若同时启用这两个功能,并将局域网所有 PC 的 IP/MAC 地址对全部绑定,就可以有效防御 ARP 欺骗攻击。

扫描网络:扫描局域网中所有开启的 PC ,学习并显示最新的动态 ARP 信息。

全部绑定:一次性绑定当前动态 ARP 列表中的全部条目。


--设备访问限制

•  启用设备访问限制功能之后,就会限制局域网PC从LAN口访问设备,从而有效防御一些来自内部网络针对设备本身的DDoS攻击。 访问规则如下:

•  1. 允许局域网PC使用ICMP协议访问设备 ;

•  2. 允许局域网PC访问设备的UDP53 、 67 、 68端口;

•  3. 只允许由“允许访问设备的主机”所指定的局域网PC访问设备的WEB端口,禁止其他PC访问WEB端口;

•  4. 禁止局域网PC对设备 的其他所有访问。