H3C路由器说明Word格式.docx
《H3C路由器说明Word格式.docx》由会员分享,可在线阅读,更多相关《H3C路由器说明Word格式.docx(25页珍藏版)》请在冰豆网上搜索。
使用本设备原来的MAC地址
选中该项,设备将使用出厂时的MAC地址。
缺省选中该项。
使用这台PC的MAC地址
选中该项,这将把设备的MAC地址设置为您现在正在管理设备的计算机的MAC地址。
如果您以前是使用这台计算机上网,而现在要用本设备上网,则可以选中这个选项。
使用下面手工输入的MAC地址
选中该项,输入运营商指定注册的MAC地址。
WAN口模式
在这里您可以设置WAN口的连接速度和双工模式。
静态NAT
NAT设置
您局域网里的计算机在访问Internet时,需要将其私有的IP地址转换成运营商为您分配的公有IP地址。
自动使用WAN接口的IP地址
选中该项,NAT会自动使用WAN接口当前的IP地址作为转换地址。
使用地址池中的IP地址
选中该项,NAT会使用您输入的IP地址范围作为转换地址,在该选项下,同一个私有IP地址会转换到固定的公网IP地址。
一对一地址转换
当您有多个公有IP地址时,您可以固定地把您局域网内某台计算机的私有IP地址与公网IP地址建立映射关系。
在这种模式下,您局域网里的计算机以及Internet上的计算机都可以通过访问该公网IP地址来访问对应的计算机。
局域网设置
LAN设置
设置LAN口的IP地址和子网掩码,内网的计算机可以通过LAN口IP地址来管理ER。
配置LAN口的IP地址。
配置LAN口IP地址对应的子网掩码。
LANMAC克隆
ER出厂时,各个接口(LAN、WAN口)都有一个缺省的MAC地址,一般情况下,无需更改。
有些网吧为了防止ARP攻击,给内网计算机都设了网关的静态ARP表项,这种情况下,如果将原来的网关设备换成ER(网关地址不变),计算机无法学习到ER的MAC地址,您需要逐个修改内网中计算机的静态ARP表项才可使内网中的计算机正常上网。
LANMAC克隆功能可以免除这样的重复劳动,只需将ER的LAN口MAC地址设为原来网关的MAC地址,内网计算机即可正常上网了。
选中该项,LAN口MAC地址为出厂时的MAC地址,缺省使用ER原来的MAC地址。
选中该项,输入其他MAC地址,一般为原网关的MAC地址。
DHCP服务器
ER可以作为DHCP(DynamicHostConfigurationProtocol)服务器使用,为内网的PC分配IP地址。
但是如果您的网络上同时启用一个以上的DHCP服务器,将会出现冲突。
建议在启用此功能前,把其它的DHCP服务器停用。
如果您不需要使用本设备的DHCP功能,请不要钩选“启用DHCP服务器”选项。
地址池起始地址
DHCP服务器地址池的起始地址,必须与LAN口设置在同一子网内。
缺省为192.168.1.2。
地址池结束地址
DHCP服务器地址池的结束地址,必须与LAN口设置在同一子网内。
缺省为192.168.1.254。
地址池结束地址不能小于地址池起始地址。
地址池最大支持600个地址数。
地址租约
将IP地址分配给DHCP客户端使用的时间长度,单位为分钟,取值范围为1~11520分钟。
默认为1440分钟。
DHCP客户列表
分配状态表列出了通过LAN口连接到本设备而且是通过DHCP方式从ER获取IP地址的所有PC的信息,包括IP地址、主机名、MAC地址等。
随着连接的PC的数量的增加,这张表将增长到地址池定义的最大的地址数。
<
释放>
按钮用于强制回收某一IP地址,使其可以被重新分配。
例如,如果一台PC已经关机了,您就可以使用这个按钮来释放它原来获取到的IP。
注意:
只有本设备内的DHCP服务器被设置为启用的时候,才会维护更新这张表;
通过IP/MAC绑定页面绑定的IP地址在此表中不能够被释放。
端口设置
可以配置LAN1、LAN2、LAN3的端口模式、广播风暴抑制、流控。
端口模式
可以选择以下模式中的一种。
除了自协商模式,其它需要与对端设备设置成相同的双工模式。
Auto
自协商模式。
10M半双工
10M半双工模式。
10M全双工
10M全双工模式。
100M半双工
100M半双工模式。
100M全双工
100M全双工模式。
广播风暴抑制
如果内网中有大量的广播报文(可能由病毒导致),会影响网络的正常通信。
通过LAN口的广播风暴抑制功能,可以有效地抑制大量广播报文的传播,避免网络拥塞,保证网络业务的正常运行。
广播风暴抑制功能各个LAN口必须设置成一致,可以设置为不抑制、低、中、高,这四个级别允许通过的报文数依次减少。
流控启用
流控是防止其它设备往ER发送的报文太多,超出了最大转发能力,引起网络拥塞的情况。
可以设置LAN1/2/3的流控要求,打勾则启用流控,否则不启用。
端口镜像
端口镜像,可将被镜像端口的报文复制到镜像端口,以进行网络检测和故障排除。
ER提供基于端口的镜像功能,可将被镜像端口的报文自动复制到镜像端口,实时提供各端口传输状况的详细资料,以便网络管理人员进行流量监控、性能分析和故障诊断。
例如:
将被镜像端口LAN1端口上的报文复制到镜像端口LAN2上,通过镜像端口LAN2上连接的协议分析仪进行分析和记录。
镜像端口
在这里,勾选需要的镜像端口,其中WAN口不可选。
被镜像端口
在这里,勾选需要的被镜像端口,其中WAN口和LAN口不能同时被选中,同一个端口不能既配置为镜像端口又配置为被镜像端口。
IP/MAC绑定
IP/MAC绑定功能主要有两个作用:
一个是按照IP/MAC绑定关系为DHCP客户端分配IP地址,另一个是仅允许内网中IP地址和MAC地址符合绑定关系的主机访问网关设备及外网。
(参考样例)
如果用户配置了IP/MAC绑定规则表,并且启用了DHCP服务器功能,那么DHCP服务器将先从IP/MAC绑定规则表中为DHCP客户端分配IP地址;
如果DHCP客户端的MAC地址不在该列表中,则从DHCP地址池中分配一个可用IP地址给该客户;
如果绑定的IP地址与LAN口IP地址不在同一网段内时,DHCP服务器从地址池中查找一个可用地址分配给该客户端,否则不分配;
如果DHCP客户端绑定的IP地址被其它设备占用,则该DHCP客户端不能正常获取IP地址。
用户还可以指定仅允许IP/MAC绑定规则表中的客户端访问设备和外网,使用此功能后不在IP/MAC绑定规则中的客户端将无法访问设备和外网。
因此需要注意,在使能该功能前需要把管理PC的IP/MAC加入到IP/MAC绑定规则表中,否则启用该功能后,将无法继续通过WEB管理本设备。
输入进行IP和MAC地址绑定的计算机名称。
支持1~15个数字和英文字符。
主机名可以重复。
输入给该MAC地址分配的IP地址。
IP地址可以不在ERDHCP服务器分配的地址池内,但要与LAN口IP地址在同一子网内。
MAC地址
输入该计算机的MAC地址。
输入格式为xx:
xx:
xx。
增加/修改
配置好上述信息后,点击<
增加>
按钮将该项规则添加到IP/MAC绑定规则表中;
如果是对一条已存在的IP/MAC绑定规则进行编辑,点击<
修改>
按钮将新的规则添加到IP/MAC绑定规则表中。
ARP列表导入
如果不想逐条添加IP/MAC绑定规则,可以选择从设备当前的ARP列表中导入IP/MAC绑定规则。
只需要点击<
ARP列表导入>
按钮,在弹出菜单中选择想导入的IP/MAC信息,点击<
确定>
按钮即可。
注意这种方式不能保证导入内网中所有的PC。
导入/导出
为了备份IP/MAC配置信息,可以点击<
导出>
按钮将配置信息保存在指定位置;
如果配置丢失,可以使用<
导入>
按钮将之前备份的IP/MAC绑定规则重新导入。
全选/编辑/删除
全选用于选中IP/MAC绑定规则表中的所有绑定规则;
如果需要删除IP/MAC绑定表中的一条或多条IP/MAC绑定规则,先选择需要删除的绑定规则,然后点击<
删除>
按钮即可;
如果需要编辑一条已经存在的绑定规则,先选择该条规则,然后点击<
编辑>
按钮,该条规则即出现在“IPMAC绑定表项”框内,编辑完毕后,点击<
按钮,即可将更改后的IP/MAC表项添加到IP/MAC绑定规则表中。
仅允许IP/MAC绑定的客户端访问外网
选中该选框后,将启用“仅允许IP/MAC绑定规则表中的客户端访问设备和外网”的功能。
同时会把“安全设置→ARP防攻击”页面中“启用ARP防攻击功能”自动选中。
确定
在所有配置完成后,点击<
按钮使所有配置生效。
样例:
为MAC地址为00:
11:
22:
33:
44:
55的PC分配指定的IP地址192.168.1.66,并且仅允许符合该IP/MAC绑定规则的PC访问设备和外网。
如下:
1、主机名:
superuser
2、IP地址:
192.168.1.66
3、MAC地址:
00:
55
4、点击<
按钮。
5、选中“仅允许IP/MAC绑定的客户端访问外网”选框。
6、点击<
MAC地址过滤
因为局域网的同一台计算机有可能使用不同的IP的地址,针对不同的IP的地址,如果通过IP地址去控制就需要常常去更改过滤规则;
而每台计算机的MAC地址是唯一不变的,所以通过MAC控制可以更有效的对局域网中的计算机进行上网控制管理。
(参考样例)
启用MAC地址过滤功能
选中该项,启用MAC地址过滤功能,并根据MAC地址列表中的MAC地址控制内网计算机访问因特网。
如果不开启MAC地址过滤功能,局域网内的所有计算机都可以不受限制地访问因特网。
仅允许
在MAC地址列表中的计算机允许访问因特网,其他的都禁止访问因特网。
仅禁止
在MAC地址列表中的计算机禁止访问因特网,其他的都允许访问因特网。
增加
添加需要控制的MAC地址。
IP/MAC列表导入
从IP/MAC绑定列表中导入其中的MAC地址列表。
导入
导入需要控制的MAC地址列表。
导出
导出所有的MAC地址列表。
全选
选择所有的MAC地址列表。
删除
删除选中的MAC地址列表。
MAC地址不区分大小写。
禁止MAC地址为00:
0f:
83:
16:
35:
4d的计算机访问因特网。
1、选择“启用MAC地址过滤功能”;
2、选择“仅禁止MAC地址列表中的MAC访问外网”;
3、在MAC地址表项中的MAC地址栏输入“00:
4d”,单击<
按钮之后单击<
访问控制
为了方便您对内网计算机的进一步管理,通过访问控制,您可以根据时间段、数据包类型、内网计算机的IP地址等,对内网的计算机访问因特网作限制。
时间
规则每天生效的时间段,时间使用24小时制。
起始时间应早于终止时间,00:
00~24:
00表示该规则在一天内任何时间都生效。
星期
一周内哪些天规则生效。
源地址IP
内网中需要被控制的计算机的IP地址范围。
如192.168.1.2~192.168.1.2,则表示只对IP地址是192.168.1.2的计算机进行上网控制。
目的地址IP
外网中需要被控制的计算机的IP地址范围。
如210.122.6.12~210.122.6.12,则表示只对IP地址是210.122.6.12的计算机进行访问控制。
目的端口范围
内网中计算机访问因特网的服务端口。
如23~23(telnet端口)表示对内网计算机通过telnet访问因特网进行控制。
协议
需要控制的协议类型。
有ALL、TCP、UDP和ICMP四个选项,其中ALL包括TCP、UDP和ICMP。
缺省是ALL。
操作
允许匹配的报文通过(允许)还是丢弃(禁止)。
位置
将该条规则添加到访问控制列表中的指定位置。
ACL规则从上往下匹配,位置越靠前,规则匹配的优先级越高。
增加该规则到访问控制列表。
如果要让内网IP地址为192.168.1.20~192.168.1.25的计算机,星期一到星期五,每天08:
00~20:
00禁止访问目的IP地址为210.122.6.12的网站。
配置如下:
1、起止时间选择:
08:
00
2、星期选择:
在星期一到星期五下面打勾
3、源IP地址填写:
192.168.1.20~192.168.1.25
4、目的IP地址填写:
210.122.6.12~210.122.6.12
5、目的端口范围为:
1~65535
6、协议选择:
ALL
7、操作选择:
禁止
8、位置:
1
如果您不想让192.168.1.3的计算机使用Email往因特网发送文件,但是允许接收Email。
因为发送Email的SMTP协议使用的是TCP25号端口,接收Email的POP协议使用的是TCP110号端口,所以您就可以通过禁止192.168.1.3的计算机访问TCP25号端口来达到目的。
00~24:
在星期一到星期日下面打勾
192.168.1.3~192.168.1.3
0.0.0.0~255.255.255.255
25~25
TCP
URL过滤
为了禁止内网中计算机对一些网站的访问,通过对路由器的设置,您可以限制内网中的计算机访问某些外部网站。
按照配置的策略访问Internet站点
选中该项,启用URL过滤功能,并根据URL控制列表中过滤规则控制内网计算机访问因特网站点。
URL控制列表
选择“禁止”或“不生效”,并在后面文本框中输入要控制的站点域名或IP地址,支持1~63个数字和英文字符。
“禁止”表示禁止内网计算机访问指定网站,当“禁止”规则暂时不需要生效时,可以先切换到“不生效”状态。
添加需要控制的网站。
导入需要控制的网站列表。
导出所有的控制网站列表。
选择所有的网站列表。
删除选中的网站列表。
网站控制功能只对Http协议生效。
如果您想让内网的计算机都不能访问下面的网站:
1、您可以在路由器上启用“URL过滤”功能;
2、选择”按照配置的策略访问Internet站点”;
3、在URL过滤表项的操作类型选择选择“禁止”,在过滤地址编辑框内输入,单击<
:
8080
1、您可以在路由器上启动“URL过滤”功能;
3、在URL过滤表项的操作类型选择“禁止”,在过滤地址编辑框内输入:
8080,单击<
如果禁止多个网站时,可重复上述步骤。
业务控制
为了控制内网的计算机使用QQ或MSN,通过对路由器的设置,您可以限制内网的计算机登录QQ或MSN。
禁止QQ上线
选中该项,启用禁止应用QQ的功能,内网的计算机将不能登录QQ服务器。
默认情况下不启用这个功能。
禁止MSN上线
选中该项,启用禁止应用MSN的功能,内网的计算机将不能登录MSN服务器。
特权IP地址
用来指定拥有特权的IP地址。
QQ特权
选中该项,则该特权IP拥有登录QQ的特权。
MSN特权
选中该项,则该特权IP拥有登录MSN的特权。
添加当前的特权配置到特权列表中。
选择所有的特权列表。
删除选中的特权列表。
编辑
编辑选中的特权列表。
如果您不想让内网的计算机登录QQ
1、您可以在路由器上启用“禁止QQ上线”功能。
2、点击<
如果想控制MSN,同上面的操作。
如果您只想让内网的计算机某台PC登录QQ,例如192.168.1.10,您需要在启用“禁止QQ上线”功能的基础上,并设置如下特权
1、在特权IP地址框中输入192.168.1.10-192.168.1.10。
2、钩选QQ特权。
3、单击<
如果特权IP有多个时,可重复上述步骤。
ARP防攻击
为了防止内网的某些主机对网关设备进行恶意的ARP攻击,ARP防攻击功能可以对指定规则的ARP数据包进行过滤,从而在一定程度上防止ARP攻击。
在当前的ARP防攻击功能中,分为两个层面,一个是ARP防攻击,另一个是ARP防欺骗。
ARP防攻击功能主要防止内网大量的无效ARP请求数据包导致设备的ARP表项占满,从而使正常PC无法访问设备或是外网的情况。
该功能是与IP/MAC绑定规则表配合共同实现的,启用该功能后,设备只对符合IP/MAC绑定规则的ARP数据包进行处理,对其它ARP数据包直接丢弃,从而达到防止恶意ARP攻击的功能。
因此在启用ARP防攻击功能前,需要先在IP/MAC绑定规则表中绑定合法的IP/MAC地址。
IP/MAC绑定规则表的配置方法,请参见IP/MAC绑定页面。
ARP防欺骗功能主要防止内网的某些PC冒充网关设备的IP地址发送ARP信息,导致正常PC无法访问设备或外网的情况。
启用该功能后,用户还可以选择是否让网关设备定期发送其自己的ARP信息(主动发送免费ARP报文),以更新内网PC设备上与路由器相关的ARP信息。
如果您想定义比较严格的ARP防攻击功能,即启用ARP防攻击又启用ARP防欺骗,并且让网关设备每隔1分钟主动发送其自己的ARP信息。
具体操作如下:
1、在“访问控制”->
“IP/MAC绑定”页面添加内网所有PC的IP/MAC绑定信息;
同时把“仅允许IPMAC绑定的客户端访问外网”选中,再单击<
。
2、在“安全设置”->
“ARP防攻击”页面的“ARP防攻击功能”自动启用;
3、在“安全设置”->
“ARP防攻击”页面选中“ARP防欺骗功能”选框;
4、在“安全设置”->
“ARP防攻击”页面选中“主动发送免费ARP报文”选框;
5、在“安全设置”->
“ARP防攻击”页面的“发送免费ARP报文的时间间隔”中填入60;
6、单击<
防火墙
本页面上一些设置,可以防止现有常见的攻击,开启防火墙功能,可以有效地保护本设备以及内网的计算机不受攻击。
除了防止WAN口的Ping和防止Syn-Flood攻击,防火墙其它功能自动保持一直启用,无需修改。
防止WAN口的Ping
启用该项,ER不回应来自因特网的Ping请求,可以防止因特网上恶意攻击的Ping探测。
缺省禁用该功能。
防止Syn-Flood攻击
启用该项,ER可以防止来自因特网的、对内网服务器进行的Syn-Flood攻击。
可以根据服务器正常情况下的访问量来设定最大Syn包速率值,一般保持缺省值500包/秒即可。
缺省启用该功能。
防止短包
启用该项,ER可以防止可能会导致系统异常的短包攻击。
防止碎片包
启用该项,ER可以防止可能导致系统异常的碎片包攻击。
防止TearDrop攻击
启用该项,ER可以防止可能导致系统异常的TearDrop攻击。
防止Land攻击
启用该项,ER可以防止可能导致系统异常的Land攻击。
防止TCP空连接攻击
启用该项,ER可以防止来自因特网的、对内网服务器进行的TCP空连接攻击。
防止PingOfDeath攻击
启用该项,ER可以防止可能导致系统异常的PingOfDeath攻击。
UPnP
启用UPnP(UniversalPlugandPlay,通用即插即用)功能,ER可以实现NAT穿越:
当内网的计算机通过ER与因特网通信时,ER可以根据需要自动增加、删除NAT映射表,从而解决一些传统业务(比如Netmeeting)不能穿越NAT的问题。
如果您想在网关设备上启用UPnP功能,选中“启用UPnP”选框;
如果您想在网关设备上关闭UPnP功能,则取消选中“启用UPnP”选框。
缺省为启用。
流量统计
这个功能可以即时统计路由器LAN、WAN各物理端口的详细通信流量,以及网内各计算机上网的详细通信流量,并可以根据精度要求设置统计周期。
端口的流量统计是系统开机后一直进行的,不能关闭;
网内计算机的流量统计可以选择启用或停用。
统计周期
流量统计时计算流速率的周期值,默认为10秒。
启用内网IP流量统计
开启和关闭”内网IP流量统计”功能。
只有开启时,“查看”下拉列表框才可用。
查看端口流量/IP流量
选择显示端口流量统计表或IP流量统计表。
自动刷新
启用时页面自动定
升级会员 