《网络领航员W系列设备用户手册.docx》由会员分享,可在线阅读,更多相关《网络领航员W系列设备用户手册.docx(56页珍藏版)》请在三一办公上搜索。
1、北控信息网络管家上网行为管理路由器用户手册产品型号:1080 1080W 3080W北京控股信息发展有限公司Beijing Enterprises Information Development Limited地址:北京市海淀区曙光花园中路11号北京农科大厦B座9层邮编: 100097电话: 010-51505200传真: 010-51505100客服: 400-6158968或010-58428656免责声明本资料会进行不定期更新,本资料中的所有陈述、信息和建议不构成任何明示或暗示的担保。目录目录3插图目录4前言61设备描述71.1 产品描述71.2 环境要求91.3 电源92设备介绍102
2、.1 智能网关102.2上网行为管理102.3流量管理102.4安全防护102.5身份识别103设备管理113.1 登录113.2 设备管理界面113.3 导航首页133.3.1 产品特性133.3.2 网络基本配置向导133.3.3 上网策略配置向导133.3.4 系统及用户状态143.3.5 技术支持143.4 系统管理143.4.1 系统配置143.4.2 系统维护183.5 网络管理213.5.1 网络配置向导213.5.2 网络模式223.5.3 网络配置233.5.4 无线配置303.6 网络安全333.6.1 NAT管理333.6.2 VPN管理343.6.3 其它安全363.7
3、 上网行为管理403.7.1 全局策略设置403.7.2 对象设置443.7.3 上网策略配置483.7.4 高级用户策略修改543.7.5 在线用户查看553.7.6 流量管理56插图目录图1-1 产品描述9图3-1 系统登录界面11图3-2 设备管理界面12图3-3 上网策略配置向导13图3-4 手工设置时钟15图3-5 NTP时钟同步15图3-6 口令修改16图3-7 系统升级16图3-8 备份配置17图3-9 恢复出厂配置17图3-10 日志服务器18图3-11 系统状态18图3-12 系统日志19图3-13 网络工具19图3-14 数据分析20图3-15 接口状态21图3-16 DH
4、CP状态21图3-17 网络配置向导22图3-18 运行模式22图3-19 路由模式下内网配置23图3-20 透明模式下内网配置24图3-21 外网接口列表24图3-22 PPoE拨号线路接口配置25图3-23 静态线路接口配置26图3-24 智能路由设置27图3-25 静态路由列表-127图3-26 添加静态路由27图3-27 静态路由列表-228图3-28 静态路由列表-328图3-29 添加源地址路由28图3-30 DHCP服务配置-129图3-31 DHCP服务配置-230图3-32 无线网络基本配置31图3-33 无线网络安全配置31图3-34 客人网络32图3-35 无线网络高级配
5、置32图3-36 无线网络客户端状态33图3-37 端口映射33图3-38 添加端口映射34图3-39 DMZ主机34图3-40 PPTP服务端设置35图3-41 PPTP用户36图3-42 添加PPTP用户36图3-43 拨入用户列表36图3-44 攻击防御37图3-45 绑定列表37图3-46 添加IPMAC绑定37图3-47 MAC黑名单38图3-48 添加MAC黑名单38图3-49 手动扫描MAC38图3-50 ARP限速39图3-51 信任设置39图3-52 信任列表40图3-53 全局默认策略40图3-54 邮件监控配置41图3-55 全局认证配置41图3-56 全局带宽配置42图
6、3-57 电子公告配置43图3-58 全局用户连接数限制44图3-59 添加周期时间对象44图3-60 添加绝对时间对象45图3-61 网站对象45图3-62 新建用户组46图3-63 用户账户对象46图3-64 自定义业务对象47图3-65 应用对象查看47图3-66 上网策略添加48图3-67 上网策略列表48图3-68 上网策略配置向导49图3-69 应用对象策略50图3-70 网站访问策略51图3-71 高级网站策略52图3-72 自定义业务策略52图3-73 邮件策略53图3-74 关联用户配置54图3-75 配置用户组54图3-76 配置用户55图3-77 在线用户查看56图3-7
7、8 应用带宽保障57图3-79 修改带宽保障57前言阅读对象本文档主要适用于以下阅读者:系统调测工程师【】系统维护工程师【】使用用户 【】约定符号约定文档中可能出现的符号定义如下所示:符号说明警告表示有中度或低度潜在危险,如果不能避免,可能导致较严重结果。注意表示有潜在风险,如果忽视这些文本,可能导致不可预知的结果。有用信息表示能帮助您高效率解决某些问题。备注信息表示对正文的强调和补充。通用格式约定格式说明黑体中文:1 -6级标题,图表/表格题注采用黑体Arial英文:1 -6级标题,图表/表格题注采用Arial宋体中文:正文采用宋体Times New Roman英文:正文采用Times Ne
8、w Roman修改记录修订时间修订人审核人修订版本2011.04.07马希铭3.31 设备描述1.1 产品描述 型号特性10801080W3080W网络管家系列硬件性能特性产品外观外形尺寸(宽x深x高)260x130x44 260x130x44 260x130x44 USB接口1xUSB2.01xUSB2.01xUSB2.0业务接口5xFbE(RJ45)5xFbE(RJ45)5xFbE(RJ45)广域网接口1-4个1-4个1-4个局域网接口4-1个4-1个4-1个可拆天线/2个2个WIFI/支持支持输入电压AC:100-240VAC:100-240VAC:100-240V最大功耗15W20W3
9、5W工作环境温度:0 40 C湿度:5 85 %温度:0 40 C湿度:5 85 %温度:0 40 C湿度:5 85 %存储环境温度:-20 75 C湿度:5 95 %温度:-20 75 C湿度:5 95 %温度:-20 75 C湿度:5 95 %并发会话数400040008000推荐用户数505080网络管家系列智能网关功能规格部署模式网关模式支持路由转换部署模式网桥模式支持透明串接部署模式地址转换动态地址转换基于WAN接口地址动态地址转换,基于地址池动态地址转换端口映射基于端口映射转换其他支持DMZ,UPnP路由策略静态路由支持静态路由,缺省路由接入模式支持静态IP接入/支持PPPoE接入
10、/DHCP客户端网络管家系列行为管理功能特性上网权限管理权限开关用户上网权限控制时间控制基于时间段控制用户上网权限网页行为管理关键字过滤过滤匹配关键字的搜索行为发帖管理过滤匹配关键字的网络发帖行为网址分类网址黑名单常用网址归类网页审计网址访问记录,非法网址,关键字访问告警用识别管理P2P应用管理迅雷、BT、电驴(ED2K/KAD)、PPLIVE、百宝、酷我音乐盒、比特彗星、酷狗、网际快车、网盘下载、QQ旋风、汉魅、比特精灵即时通信管理MSN、RTX、QQ、飞信、SKYPE、阿里旺旺、新浪UC、雅虎通、网易POPO、飞信、Google Talk、51彩虹、9158-IM网络游戏管理魔兽世界、诛仙
11、、梦幻西游、泡泡堂、劲舞团、魔域、征途、跑跑卡丁车、完美世界、VS对战平台、浩方对战平台、起凡游戏平台、迅雷游戏平台、新浪游戏中心、都秀视频游戏、QQ空间、QQ游戏、联众世界、多多视频游戏、QQ空间中的游戏、中国游戏中心股票证券管理招商证券、国信证券、指南针、通达信系列行情、操盘手、大智慧、同花顺、钱龙、证券之星网络电视PPTV网络电视、皮皮免费高清影视、Cbox、风行、UUSEE、QQLIVE、PPS网络电视、快播、九品网视、迅雷看看、暴风影音WEB视频酷6视频、56视频、搜狐视频、土豆视频、凤凰宽频、中国网络电视台、迅雷看看、优酷视频、芒果视频、QQ播客、激动网视频、乐视网视频、6间房视频
12、、腾讯视频、奇艺视频、新浪视频邮件行为管理邮件过滤邮件黑/白名单邮件审计网络管家系列流量管理功能特性流量管理功能连接数管理针对全局/用户/用户组连接数管理带宽管理针对全局/用户/用户组带宽管理网络管家系列安全防护功能特性网络安全功能DoS攻击防御支持sys-flood攻击防御ARP限速支持,202000(包/秒)ARP信任机制支持IP+MAC绑定支持用户IP+MAC绑定VPN支持PPTP VPN网络管家系列用户认证功能特性本地认证身份识别用户名+密码+IP+MAC(1080/1080W不支持)认证模式支持Portal认证网络管家系列维护管理功能特性系统维护系统日志支持审计日志支持网络检测支持数
13、据分析支持系统诊断支持系统管理固件升级支持本地web升级 支持USB升级支持远程在线升级配置管理支持配置文件上传/备份恢复出厂设置支持软件/硬件恢复出厂设置登陆方式支持WEB登陆管理NTP支持NTP时间同步协议配置管理支持配置文件上传/备份登陆方式支持WEB登陆管理图1-1 产品描述1.2 环境要求设备可在如下的环境下使用:温度:060湿度:1080相对湿度,无凝固注意:为保证系统能长期稳定的运行,应保证电源有良好的接地措施、防尘措施、保持使用环境的空气通畅和室温稳定。本产品符合关于环境保护方面的设计要求,产品的安放、使用和报废应遵照国家相关法律、法规要求进行。1.3 电源产品使用交流 110
14、V 到 230V 电源。警告:请使用原配电源,否则可能导致本产品及USB设备损坏2 设备介绍 北控信息网络管家系列上网行为管理路由器是一款综合性安全产品,支持网关/桥接模式,有效融合了多线路智能网关、行为管理、流量控制、安全防护、用户认证等功能特性,满足广大中小企业用户对网络接入、网络安全、网络监管应用的需求,具备实用性、易用性、灵活性等特点。北控信息网络管家系列上网行为管理路由器现阶段包含1080、1080W、3080W共3款产品。2.1 智能网关 支持路由转换和透明串接两种部署模式,您可以在路由器和交换机之间轻松切换; 支持动态地址转换、端口映射以及DMZ; 支持多wan智能路由、负载均衡
15、路由(ecmp/wcmp),有效利用带宽,提高您的上网体验; 外网线路支持静态IP和PPPoE两种接入方式。2.2上网行为管理 上网权限管理:包括用户上网权限开关控制以及基于时间段的用户上网权限控制; 网页行为管理;设备预置了常用网站对象分组,您可以将指定网站对象加入黑、白名单,限制上网用户能够访问的网站; 网络应用软件行为管理:设备预置了常用网络应用软件对象(参见图1-1产品描述),您可以对上网用户对这些网络应用软件的使用进行监控; 邮件行为管理;支持邮件黑白名单、邮件过滤以及邮件内容审计。2.3流量管理流量管理是针对上网用户、用户组进行流量控制,达到合理利用带宽、带宽保障的目的。2.4安全
16、防护 Dos攻击防御:支持syn-flood; IP+MAC绑定;支持用户IP+MAC绑定; ARP限速:可以保护设备免受ARP泛洪攻击; ARP信任机制:可以在路由器不绑定IP+MAC情况下有效的防止内网ARP病毒。2.5身份识别 身份识别:用户名+密码+IP; 认证模式:支持Portal认证。3 设备管理3.1 登录将管理员PC与设备连接后,打开IE,访问:htttp:/192.168.1.1,将会返回网络管家设备管理登录界面,输入用户名:admin,密码:admin,点击 进入设备管理界面。图3-1 系统登录界面备注信息:1.设备出厂缺省内网接口IP是:192.168.1.1;2. 设备
17、出厂缺省设备管理账户是:admin / admin;3. 设备管理登录界面会显示出该设备的具体型号。3.2 设备管理界面图3-2 设备管理界面设备管理员成功登录后将返回设备管理界面。如图3-2所示,界面分三个显示区域: 工具栏:工具栏左侧显示“主显示区”的页面路径,工具栏右侧是全局功能按钮: 从当前页面返回到导航首页,导航首页包含了产品的基本信息、系统基本参数查看快捷按钮以及配置向导; 重新加载当前页面的数据; 保存所有配置页面的最新配置到设备永久存储器,当设备重启时,这些配置将被加载; 应用所有配置页面的最新配置到当前系统中,使得最新配置在系统中即时生效; 重启设备; 退出设备管理配置界面,
18、返回到设备管理登录界面;有用信息:由于“保存配置”和“应用生效”会耗费一定的时间,为了提高配置效率,建议您在完成所有相关配置后再点击“保存配置”和“应用生效”。 菜单区:菜单区分为四个部分: 包含系统参数设置、系统日常维护的相关配置页面; 包含网络模式、网络参数的相关配置页面; 包含网络安全相关的配置面; 包含上网行为管理相关配置页面。 主显示区:所有系统参数的显示以及配置都在主显示区进行,点击左侧菜单区中不同的菜单项,主显示区将显示该菜单项对应的配置页面。3.3 导航首页导航首页包含了产品的基本信息、系统基本参数查看快捷按钮以及配置向导。有用信息:如果您是第一次配置网络管家系列设备,建议您在
19、“导航首页”配置向导的引导下进行配置,配置向导可以让您的配置过程变得轻松、快捷,让您对网络管家的配置流程一目了然。3.3.1 产品特性产品特性简要介绍了网络管家产品特点、性能和技术亮点。3.3.2 网络基本配置向导采用向导方式引导用户进行基本网络配置,以简化用户的配置操作。包括系统的运行模式、内外网配置等。点击“网络基本向导配置”按钮,可使用向导进行配置。3.3.3 上网策略配置向导网络管家采用先进的“基于用户的管理模式”,突破了传统“基于IP的管理模式”,不但可以直接为每个用户加载策略,而且可以直观的了解每个用户的上网状态。进行上网策略配置请参考以下示意图:图3-3 上网策略配置向导上网策略
20、是各种对象的组合,因此在配置上网策略之前需要配置各种对象,如:配置时间对象,可以点击,将进入时间对象的配置界面,网站对象、用户帐号对象、应用对象、自定义业务对象类似。各种对象配置完成后可以点击或进入上网策略配置向导页面。完成配置后可以点击,对用户策略进一步修改。对一组?对一个?3.3.4 系统及用户状态为了方便您及时了解网络管家网络管家的运行状态、系统资源以及网络运行状态,我们提供了丰富的系统状态报表及工具。我们也给您准备了一份当前所有上网用户的信息报告!您可以看到每个上网用户的用户名、IP地址、连接数、上下行流量、上下行速率以及在线时间。怎么看哪?3.3.5 技术支持北控信息技术服务中心将为
21、您提供专业的技术支持,您在使用过程中遇到任何问题,请在法定工作日9:00-17:00通过以下方式与我们联系:客服电话:400-6158968,010-584286563.4 系统管理系统管理包含系统参数设置、系统日常维护的相关配置。3.4.1 系统配置包含系统时间、口令修改、系统升级、备份配置、恢复出厂配置、日志服务器。3.4.1.1 系统时间系统时间有手动设置时钟和NTP同步时钟两种。 手动设置时钟:可以通过点选方式手动设定系统时钟,也可以点击,与管理员PC的系统时钟进行一次同步;图3-4 手工设置时钟注意:系统重启后,系统时间可能会还原到出厂时间(视机型不同),如果系统能访问互联网,系统会
22、自动同步时间。如果不能同步,需手工同步设置时间,可以选择今天同步到当天时间。 NTP时钟同步:包含使用默认NTP服务器和自定义NTP服务器两种方式,前者需要网络管家设备能和互联网连接,后者主要是用于没有连接互联网的情况,系统通过内网的NTP服务器进行NTP时钟同步。图3-5 NTP时钟同步3.4.1.2 密码修改修改您的WEB登录密码。图3-6 口令修改 密码支持位数:最小位数3位,最大位数为32位(数字、字母、下划线); 系统使用的默认密码是admin,强烈建议在使用本产品时修改管理密码,并妥善保管; 如有遗忘请恢复出厂配置。3.4.1.3 系统升级选择可用的升级文件,使设备进行软件升级。图
23、3-7 系统升级 升级本设备,须通过内网管理连接至本设备进行; 新的升级包都可以得到更多的功能和更好的性能; 单机连接,登录到该设备的“系统升级”页面,选择正确升级包,确定升级,升级完成后重启生效; 升级大约需要花费34分钟,升级过程中如果断电将导致升级失败。如果升级失败,重新启动设备,完成上面步骤。警告:升级文件请到本公司指定的网站进行下载。请不要使用非法的升级文件,可能导致设备不能启动!3.4.1.4 备份配置图3-8 备份配置 此功能可以在您因为操作不当导致配置出现错误时,使用原先保存的配置文件恢复配置; 点击按钮,将设备的所有配置保存为文件; 点击按钮,将设备的配置文件下载到本地; 点
24、击按钮,指定原先保存的配置文件在本地电脑中的位置,确定后,点击“上传”按钮开始恢复配置,恢复成功后重启生效。3.4.1.5 恢复出厂配置图3-9 恢复出厂配置 恢复出厂配置将清空现有配置,请谨慎使用该功能; 恢复出厂配置大约需要花费2分钟。请耐心等候。备注信息:恢复出厂配置将清空现有配置,内网地址将设置为192.168.1.1,子网掩码为255.255.255.0,请确认您可以访问该地址,否则将不能管理设备。3.4.1.6 日志服务器日志服务器用于设置是否将网络管家的审计日志发送到外部syslog服务器上。怎样收?这样看?怎样长期保存?图3-10 日志服务器注意:审计日志只有一份,或是发送到指
25、定服务器,或是在设备上保存并在审计日志窗口中显示,系统日志不发送到日志服务器。3.4.2 系统维护包括系统状态、系统日志、审计日志、网络检测、数据分析、接口状态、DHCP状态。3.4.2.1 系统状态显示系统的状态信息,包括设备类型、系统时间、内存使用率等信息。图3-11 系统状态3.4.2.2 系统日志系统日志显示的是您在该设备上的操作记录。图3-12 系统日志3.4.2.3 审计日志审计日志用于记录用户的上网行为,当启用了日志服务器功能,审计日志将被发送至指定服务器,设备将不再保存。怎样看?怎样导出?自动保存吗?能看到什么?目的地址?3.4.2.4 网络检测ping工具和arp扫描以进行简
26、单的诊断设备的网络情况。ping命令用于验证网络的连接情况。ARP扫描用于查看当前ARP表。(能进行远程检测吗?能为客户分析内网的健康状况吗?)图3-13 网络工具3.4.2.5 数据分析数据分析配置用于抓取接口数据包,以便分析当前网络情况。图3-14 数据分析 类型:是指抓包过滤的协议类型,缺省为全选,表示抓取所有协议类型的数据包,当勾选部分协议类型时,表示只抓取选中协议类型的数据包,其他协议类型的数据包将被过滤掉; 源地址/端口:是指您将只抓取该源地址/端口的数据包,缺省配置为空表示抓包时对源地址/端口不做限制; 目的地址/端口:是指您将只抓取该目的地址/端口的数据包,缺省配置为空表示抓包
27、时对目的地址/端口不做限制; 接口:是指您将在哪些接口上抓取数据包,您可以在设备所有网络接口上抓包,也可以指定某个网络接口抓包; 数量:是指您本次抓包操作将要抓取的数据包数量,当设备抓取到设定数量的数据包后,将自动停止抓包操作,数量范围为1-100,缺省配置为100; 抓包结果:抓包结果将保存到设备中,您可以点击将抓包文件下载到本地,也可以点击,将在设备管理页面开启一个显示抓包文件内容的窗口; 开始抓包:当您配置好各种抓包参数后,可以点击按钮,执行本次抓包操作; 停止抓包:当设备正在抓包时,你可以中途停止设备的抓包操作,这时您可以得到部分抓包结果。有用信息:1.下载到本地的抓包文件packet
28、.cap可以用Wireshark或其他抓包软件打开;2. 每次抓包都将覆盖上次的抓包文件。可以抓包?远程可以抓包吗?能看出什么眉目吗?能看出什么异常吗?Wireshark已经下载(J:TDDOWNLOAD)3.4.2.6 接口状态显示设备所有网络接口的状态。图3-15 接口状态备注信息:通过接口状态界面观察已配置广域网和局域网的连接状态以及接口信息。其中包括:设备接口的物理地址(网卡MAC地址),IP地址,子网掩码,网关地址,接收/发送数据量等信息;3.4.2.7 DHCP状态DHCP主机列表显示当前DHCP服务器已经分配的IP地址、获取该IP的计算机的MAC地址、获取该IP的计算机名称、IP
29、地址租约到期时间。没有客户名称吗?能不能再加一个自定义显示?图3-16 DHCP状态3.5 网络管理主要对系统运行模式、网络接口、路由等进行配置。3.5.1 网络配置向导可在“网络管理”或“导航首页”中点击进入网络基本配置向导页面。图3-17 网络配置向导网络基本配置向导的配置步骤: 选择运行模式; 完成内网的接口相关配置; 路由模式下完成外网接口相关配置; 路由模式下完成智能路由的基本配置。备注信息:网络配置向导中每个步骤的具体配置方法可以参见3.5.2和3.5.3的相关配置说明。3.5.2 网络模式配置系统的运行模式:路由模式或透明模式。选择模式后点击即可完成配置。图3-18 运行模式 路
30、由模式是以多外网口单内网口的方式工作,多外网口用于多条外网线路的接入,可以实现汇聚带宽、带宽叠加,单内网口可以有多个物理网口,工作于交换模式,它们共享一个IP地址; 透明模式即网桥模式,设备的内网接口与外网接口被桥接到一起,相当于一台交换机,在该模式下,只有一个接口地址; 为了保证“上网行为管理”功能正常工作,透明模式下仍然有内外网的概念,当设备作为网络接入设备时,外网口(WAN1)仍然需要连接出口线路,其余的接口可以任意作为内网交换口使用。有用信息:1.设备出厂缺省运行模式为:路由模式;2.当启用某种模式后,菜单区将动态调整,只显示当前模式需要的菜单项。3.5.3 网络配置主要是对系统的内网
31、、外网接口以及路由进行配置。包括内网配置、外网配置、智能路由、静态路由、源地址路由、DHCP服务。3.5.3.1 内网配置内网配置在路由模式和透明模式下略有差异。 路由模式:配置内网接口地址。该设备内网(LAN)口的IP地址即内网计算机用户的网关地址。该地址出厂时设置为192.168.1.1,可以根据需要改变它,修改后点击将及时生效;“内网扩展IP ”是在内网接口上开启一个虚拟接口。图3-19 路由模式下内网配置 透明模式:配置网桥接口地址,可以根据需要改变它,修改后点击将及时生效;“网关地址”是指设备上外网的出口网关地址,“上行”、“下行”是指设备的上行、下行带宽。图3-20 透明模式下内网
32、配置3.5.3.2 外网配置外网配置页面时显示所以外网接口的配置状态和接口信息,只有路由模式才会显示外网配置页面。图3-21 外网接口列表选中一个外网接口点击,将弹出该接口的配置窗口,外网接口类型有两种:PPoE拨号线路、静态线路。 PPoE拨号线路:是指该接口通过PPoE拨号的方式接入Internet。图3-22 PPoE拨号线路接口配置其配置方法如下: 基本参数设置:选择接口类型为“PPoE拨号线路”;输入运营商提供的PPoE帐号和口令;选择是否“启用自动获取DNS”;选择是否“启用NAT”;如果没有选中“启用自动获取DNS”,可以手动输入DNS服务器地址或在DNS服务器列表中选择,列表里
33、罗列了电信和网通的常用DNS服务器地址;备注信息: NAT是一种将私有地址转化为合法IP地址的转换技术,能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。 管理地址设置:您可以选择是否“通过该接口管理”设备,当您想通过该接口管理设备时,默认的管理端口是8080,您也可以修改它。备注信息:设备出厂缺省的设备管理接口是内网口,管理端口是80端口。 动态域名设置:您还可以选择是否在该接口上启用动态域名。当选择“启用”时,请选择“域名服务器”,输入您的域名、用户名、密码。备注信息:动态域名可以使您拥有一个固定的域名,对应一个可变的IP地址。这样Internet用户就可以使用这个固定的域名,
34、方便地来访问您的计算机。 线路设置:设置该接口的上、下行带宽。 模式设置:设置internet接入的运营商类型。 静态线路:是指运营商为您的internet接入接口提供了一个固定的IP地址和固定的网关地址。图3-23 静态线路接口配置其配置方法与PPoE拨号线路相似,不同的地方是: DNS服务器地址不能自动获取,只能手动输入或在列表中选取; 可以手动设置MTU值。3.5.3.3 智能路由当用户使用超过一条外网线路时,可以配置设备多WAN路由规则, 可以设置智能路由模式或负载均衡模式,只有路由模式才会显示智能路由配置页面。图3-24 智能路由设置 智能路由模式:当接入多条外网线路时,设备根据外网
35、线路运营商类型,智能设定路由模式; 负载均衡模式:当接入多条外网线路时,设备将数据流量均衡路由到多条外网线路上,不考虑线路的运营商类型; 默认线路类型:当选择智能路由模式时,将智能路由模式不能判断的数据绑定到您选择的线路类型上。3.5.3.4 静态路由静态路由功能是为特定目标网络地址选择出访的网关或者接口。图3-25 静态路由列表-1点击将弹出静态路由添加窗口:图3-26 添加静态路由选择静态路由关联的网络接口,输入目的网络、子网掩码、默认网关,然后点击,静态路由添加完成。图3-27 静态路由列表-2添加成功的静态路由将在路由列表中显示出来,您可以点击、按钮修改、删除一条静态路由。当您添加的静
36、态路由是一条无效路由时,将会在路由列表的备注中体现出来:图3-28 静态路由列表-33.5.3.5 源地址路由源地址路由是策略路由的一种,是指让定特定主机从特定的WAN口访问外网。配置源地址路由只有在接入多条外网线路时才有意义。只有路由模式才会显示源地址路由配置页面。点击将弹出源地址路由的添加窗口:图3-29 添加源地址路由 启用:设置不启用这条规则,您以上的配置将只会被保存,不生效; 源地址:输入您指定主机IP或网段; 接口:选择您将让指定的主机或网段用户从哪个外网接口访问外网; 描述:输入您对该条源地址路由的描述信息。添加成功的源地址路由将在列表中显示出来,您可以点击、按钮修改、删除一条源
37、地址路由。当您添加的源地址路由是一条无效路由时,将会在路由列表的备注中体现出来:有用信息:源地址路由在配置后,需要点击工具栏按钮后才会生效;3.5.3.6 DHCP服务您可以在设备上开启DHCP服务,内网用户将能够自动获得IP地址。DHCP服务配置页面如下:图3-30 DHCP服务配置-1 选择是否启用DHCP服务; 输入地址池起始IP地址; 输入地址池结束IP地址; 输入网关IP地址; 输入DNS服务器IP地址; 输入租约时间; 选择是否启用IP+MAC静态绑定列表。 IP+MAC静态地址绑定配置界面如下:图3-31 DHCP服务配置-2点击将弹出IP+MAC静态绑定添加窗口,输入客户IP地
38、址、客户MAC地址和主机名点击,将成功添加一条IP+MAC静态绑定记录,您可以修改、删除已添加的记录。注意:1. DHCP服务不能在内网扩展IP上启用;2.地址池起始结束IP应该与内网主IP同一网段;3.租期应在1-720(小时)之间,如果留空,默认为12小时;如果为-1,表明无限期租约;4.如果选择不绑定IP+MAC,则静态地址分配列表不生效,如果希望内网某台计算机每次都获取DHCP服务器分配的同一IP地址,可以通过静态地址分配来实现。3.5.4 无线配置配置设备的无线功能。包含基本配置、安全配置、客人网络、高级配置、客户端状态。3.5.4.1 基本配置对设备无线功能的基本参数进行配置,您可
39、以只设置SSID和无线模式,其他建议使用默认配置。图3-32 无线网络基本配置3.5.4.2 安全配置配置无线网络的认证方式。支持配置MAC地址过滤和加密类型和密钥的配置。图3-33 无线网络安全配置备注信息:开启无线功能后,默认设置的加密类型为WPA2-PSK,密码是12345678,请尽快修改密码。3.5.4.3 客人网络客人网络可以使接入的无线客户端访问互联网,同时限制接入的无线客户端访问局域网,该网络适用于对局域网用户权限有不同级别要求的情况。配置无线网络是否允许访客网络及访客网络的SSID和密码。图3-34 客人网络3.5.4.4 高级配置供有经验的网络管理员对你无线网络的详细参数进
40、行配置。修改高级设置会影响无线信号的强度和收发性能,建议使用默认配置。图3-35 无线网络高级配置3.5.4.5 客户端状态显示无线客户端MAC地址的详细列表。图3-36 无线网络客户端状态3.6 网络安全配置系统的网络安全。包括NAT管理、VPN管理、IPMAC地址绑定、ARP信任机制等。3.6.1 NAT管理包括端口映射和DMZ主机配置。3.6.1.1 端口映射端口映射功能,可以将内网服务器主机的服务端口映射到外网,使外网用户可以直接通过设备外网IP和端口访问到内网服务器提供的服务。图3-37 端口映射在端口映射配置页面点击将显示弹出端口映射参数设置窗口:图3-38 添加端口映射配置接口、
41、协议、内外部端口,完成后点击即可。3.6.1.2 DMZ主机 DMZ主机地址配置使网关外部的访问被直接转发到内部的某台主机上,该地址就是内部主机的地址,而接口则是网关出口。图3-39 DMZ主机3.6.2 VPN管理用于配置及管理PPTP服务器。包括PPTP服务端设置、PPTP用户、拨入用户列表。3.6.2.1 PPTP服务端设置PPTP客户端可以和任何一个本网关地址建立隧道;隧道建立后,本网关使用PPTP隧道内服务器端地址;客户端从地址池中分配地址。PPTP服务器配置包括设置PPTP最大连接数、配置PPTP服务器地址、配置PPTP为客户端分配的地址池。图3-40 PPTP服务端设置备注信息:
42、PPTP地址池配置:1. 一行一个网段或单个IP地址;2. 网段地址格式:10.30.110.5-55;3. 单个IP地址格式:10.30.110.6;4. 客户端与服务器端地址前三位相同。3.6.2.2 PPTP用户创建和修改PPTP用户名和密码。图3-41 PPTP用户点击显示下面的界面,配置用户名、密码和描述,完成后点击即可。图3-42 添加PPTP用户3.6.2.3 拨入用户列表显示已拨入用户的情况。用户拨入网络管家上的PPTP服务器时,自动从PPTP客户端地址池中,为用户分配可用地址。图3-43 拨入用户列表3.6.3 其它安全用于配置其它的网络安全策略。包括攻击防御、IPMAC绑定、ARP信任机制。3.6.3.1 攻击防御设置syn-flood攻击防御。图3-44 攻击防御 设置相关过虑,可以确保网络的安全; 启用syn-flood需要设置每秒允许通过包的个数(505000)。3.6.3.2 IPMAC绑定配置需要绑定的IP和MAC地址,包括绑定列表、MAC黑名单、手动扫描MAC。3.6.3.2.1 绑定列表显示当前已绑定的IP/MAC白名单信息。如果在白名单中添加或修改了一条黑名单中存在的mac地址的绑定记录,则黑名单中的那条记录将成为无效绑定,反之亦然。图3-45 绑定列