er3100.docx
《er3100.docx》由会员分享,可在线阅读,更多相关《er3100.docx(49页珍藏版)》请在冰豆网上搜索。
er3100
日志管理
日志信息可以帮助您快速定位设备故障或了解网络情况。
设备提供的日志功能可记录设备在运行过程中的设置状态变化、网络攻击等信息。
如果设备没有异常断电,那么重启后,所有记录的日志不会丢失。
但在日志信息页面中,仅显示本次启动以来产生的日志。
如果需要查看全部日志,可以点击<所有>按钮,设备将弹出页面显示上次清除以来的所有日志信息。
下载
下载当前显示的日志信息到计算机。
清除
清除当前显示的日志信息。
所有
显示设备上存储的所有日志信息。
日志记录等级
控制设备记录日志的等级。
选中的等级和该等级以下的日志信息将被记录。
发送到日志服务器
将系统产生的日志信息发送到日志服务器进行统一管理。
您可以设置要发送到内网或外网的日志服务器。
本地不再显示日志
选中该项,本页面不再显示新生成的日志信息。
本地不再保存日志
选中该项,新生成的日志信息将不再保存在设备的本地存储设备中。
设备维护
本设备的维护功能包括定位信息导出和设备自检功能。
设备自检功能用来帮助用户更清楚的了解设备的运行状况。
用户在使用过程中,可以随时点击本页面中的<开始>按钮,检测设备的当前配置是否合理及运行是否正常等情况,设备将弹出页面分类显示检测结果。
设备自检项和主要内容如下表:
设备信息
显示设备的基本项检测结果,包括设备当前的软硬件版本、WAN口模式、链路状态和当前系统时间。
网络信息
显示设备的网络状态检测结果并根据检测结果做简单提示。
检测结果包括WAN口设置的带宽、WAN口速率、IP流量限制是否启用、网络连接数限制是否启用、是否有用户的实际流量或网络连接个数接近限制的值。
系统安全
显示设备的安全配置检测结果并根据检测结果做简单提示。
检测结果包括上次登录设备的用户、时间,以及ARP防攻击和防火墙是否启用的信息。
故障诊断
显示设备的常见故障的检测结果,包括WAN口的通断记录以及对环回口、网关和主DNS的ping检测结果等信息。
诊断工具
Ping可用来检测网络,测试另一台设备或主机是否可达。
设置完成,点击<开始>后,系统开始进行检测。
检测的过程和结果显示在当前页面,说明网络发包的测试情况和与测试主机的往返平均时延。
路由跟踪(Tracert)用来检查从设备到达目标主机所经过的路由情况。
设置完成,点击<开始>后,系统开始进行检测。
检测的过程和结果显示在当前页面,在检测的过程中,您可以点击<停止>按钮,中止当前的测试。
目的IP地址
设置需要检测的主机地址,支持IP地址和域名。
连接到因特网
上网方式
WAN口接入到因特网可选择的上网方式有静态地址、动态地址和PPPoE。
不同的运营商(如中国电信、中国网通)可能采用不同的接入方式,您必须选择正确的上网方式,具体信息您需要向运营商咨询。
带宽
设置WAN口的带宽。
带宽值影响到设备QoS服务的正常运行,请务必正确设置。
建议设置为您从运营商处申请得到的带宽值。
静态地址(手工配置地址):
IP地址
设备的WAN口的IP地址。
这个地址是必须的,开户时,由运营商提供。
子网掩码
设备的WAN口地址掩码。
这个掩码是必须的,开户时,由运营商提供。
缺省网关
设备的WAN口网关地址。
这个地址是必须的,开户时,由运营商提供。
MTU
WAN口最大传输单元。
主DNS服务器
运营商通常会提供给您至少一个域名服务器(DNS-DomainNameServer)地址,您可以输入在这里,域名服务器可以把诸如""这样的域名翻译成为实际的IP地址。
辅DNS服务器
如果运营商提供给您第二个DNS地址,请输入在这里,如果没有,不必填写。
动态地址(从DHCP服务器自动获取):
如果选择了这个方式,那么IP地址、子网掩码、缺省网关、DNS服务器等参数可以自动从DHCP服务器获取到。
MTU
WAN口最大传输单元。
主DNS服务器
运营商通常会提供给您至少一个域名服务器(DNS-DomainNameServer)地址,您可以输入在这里,域名服务器可以把诸如""这样的域名翻译成为实际的IP地址。
辅DNS服务器
如果运营商提供给您第二个DNS地址,请输入在这里,如果没有,不必填写。
主机名
在使用DHCP获取IP参数的时候,DHCP服务希望您能告诉它您的机器名。
这个是可选项,您可以留空。
PPPoE(大部分的宽带网或xDSL)
PPPoE用户名
输入PPPoE拨号时使用的用户名,这是必须的。
开户时,由运营商提供。
PPPoE密码
输入PPPoE拨号时使用的密码,这是必须的。
开户时,由运营商提供。
MTU
WAN口最大传输单元。
主DNS服务器
运营商通常会提供给您至少一个域名服务器(DNS-DomainNameServer)地址,您可以输入在这里,域名服务器可以把诸如""这样的域名翻译成为实际的IP地址。
辅DNS服务器
如果运营商提供给您第二个DNS地址,请输入在这里,如果没有,不必填写。
服务器名(AC-Name)
PPPoE服务器名称。
服务名(Service-Name)
PPPoE服务名称。
WAN口MAC地址克隆
WAN口MAC地址克隆
使用本设备的MAC
选中该项,设备将使用出厂时的MAC地址。
缺省选中该项。
使用这台PC的MAC
选中该项,这将把设备的MAC地址设置为您现在正在管理设备的计算机的MAC地址。
如果您以前是使用这台计算机上网,而现在要用本设备上网,则可以选中这个选项。
手工输入MAC
选中该项,输入运营商指定注册的MAC地址。
WAN口模式
在这里您可以设置WAN口的连接速度和双工模式。
NAT设置
NAT模式
缺省情况下,设备使用了地址转换。
当您需要将设备作为普通路由器使用时,您可以在这里禁用地址转换。
当您禁用地址转换后,NAT设置和一对一NAT转换功能将不会生效。
使用地址转换
选中该项,设备会根据您的配置对WAN接口发出去的数据包做NAT转换。
缺省选中该项。
不使用地址转换
选中该项,设备不会对WAN接口发出去的数据包做NAT转换。
NAT转换
您局域网里的计算机在访问Internet时,需要将其私有的IP地址转换成运营商为您分配的公有IP地址。
自动使用WAN接口的IP地址
选中该项,NAT会自动使用WAN接口当前的IP地址作为转换地址。
缺省选中该项。
使用地址池中的IP地址
选中该项,NAT会使用您输入的IP地址范围作为转换地址,在该选项下,同一个私有IP地址会转换到固定的公网IP地址。
一对一地址转换
当您有多个公有IP地址时,您可以固定地把您局域网内某台计算机的私有IP地址与公网IP地址建立映射关系。
在这种模式下,您局域网里的计算机以及Internet上的计算机都可以通过访问该公网IP地址来访问对应的计算机。
VLAN设置
VLAN(VirtualLAN)即虚拟局域网,它可以将物理上互连的网络在逻辑上划分为多个互不相干的网络,这些网络相互间不能直接通信,广播报文也被隔离,广播域被限制在一个VLAN内,节省带宽;通过划分VLAN也可以增强局域网的安全性以及组网的灵活性。
同时本设备支持在每一个VLAN内配置独立的DHCP服务器,为VLAN内的PC分配IP地址。
VLAN设置
配置VLAN接口,包括VLAN接口的网关IP地址和子网掩码,该VLAN内的PC可以通过网关IP地址来管理设备;可以选择是否配置该VLAN接口的DHCP服务器,同时可以选择端口设置PVID为本VLAN。
最多支持16个VLAN接口的配置
VLANID
配置VLAN接口的VLANID。
VLAN网关IP地址
配置VLAN接口的IP地址。
VLAN子网掩码
配置VLAN接口的子网掩码。
启用DHCP服务器
配置VLAN接口是否开启DHCP服务器功能。
地址池起始地址
DHCP服务器地址池的起始地址,必须与VLAN接口地址设置在同一子网内。
地址池结束地址
DHCP服务器地址池的结束地址,必须与VLAN接口地址设置在同一子网内。
地址池结束地址不能小于地址池起始地址。
地址租约
将IP地址分配给DHCP客户端使用的时间长度,单位为分钟,取值范围为1~11520分钟。
缺省为1440分钟。
客户端域名
DHCP服务器分配给客户端使用的域名地址后缀。
端口选择
将选中端口的PVID设置为本VLAN。
注意:
如果之前配置VLAN接口已经选中某端口,之后配置的VLAN接口又选中该端口,则会自动把之前配置VLAN接口选中的端口去除。
同时建议删除没有配置端口的VLAN。
Trunk口设置
本页面提供配置各个LAN端口分别允许哪些VLAN报文通过,对于Trunk端口,不在端口允许通过的VLAN范围内的VLAN报文将被直接丢弃。
Trunk口设置
选择LAN端口,分别设置各个端口允许通过的VLAN。
所有允许设置通过的VLAN个数不能超过16个。
端口
选择某个LAN端口,对该端口所允许通过的VLAN进行设置。
允许通过的VLAN
选中该项,您可以设置该端口允许通过的VLAN范围,支持以','分隔的离散VLAN以及以'-'分隔的连续VLAN段范围,如2,5,6-10。
如果设置的VLAN未创建对应的三层VLAN接口,则设备会自动创建对应的二层VLAN接口。
允许通过所有的VLAN
选中该项,则该端口允许当前设备创建的所有VLAN通过,同时之后新创建的VLAN也会自动允许通过。
局域网设置
LAN(VLAN1)设置
设置LAN接口的IP地址和子网掩码,内网的计算机可以通过LAN接口IP地址来管理本设备。
IP地址
配置LAN接口的IP地址。
子网掩码
配置LAN接口IP地址对应的子网掩码。
LANMAC克隆
设备出厂时,各个接口(LAN、WAN口)都有一个缺省的MAC地址,一般情况下,无需更改。
有些组网环境中为了防止ARP攻击,给内网计算机都设了网关的静态ARP表项,这种情况下,如果将原来的网关设备换成本设备(网关地址不变),计算机无法学习到新设备的MAC地址,您需要逐个修改内网中计算机的静态ARP表项才可使内网中的计算机正常上网。
LANMAC克隆功能可以免除这样的重复劳动,只需将新设备的LAN口MAC地址设为原来网关的MAC地址,内网计算机即可正常上网了。
使用本设备MAC
选中该项,LAN口MAC地址为出厂时的MAC地址。
手工输入MAC
选中该项,输入其他MAC地址,一般为原网关的MAC地址。
DHCP服务器
本设备可以作为DHCP(DynamicHostConfigurationProtocol)服务器使用,为内网的PC分配IP地址。
但是如果您的网络上同时启用一个以上的DHCP服务器,将会出现冲突。
建议在启用此功能前,把其它的DHCP服务器停用。
如果您不需要使用本设备的DHCP功能,请不要勾选“启用DHCP服务器”选项。
地址池起始地址
DHCP服务器地址池的起始地址,必须与LAN接口地址设置在同一子网内。
地址池结束地址
DHCP服务器地址池的结束地址,必须与LAN接口地址设置在同一子网内。
地址池结束地址不能小于地址池起始地址。
地址租约
将IP地址分配给DHCP客户端使用的时间长度,单位为分钟。
客户端域名
DHCP服务器分配给客户端使用的域名地址后缀。
注意:
LAN的所有设置在系统中以VLAN1接口存在。
DHCP客户列表
分配状态表列出了通过VLAN接口连接到本设备而且是通过DHCP方式从本设备获取IP地址的所有PC的信息,包括IP地址、主机名、MAC地址等。
随着连接的PC的数量的增加,这张表将增长到地址池定义的最大的地址数。
<释放>按钮用于强制回收某一IP地址,使其可以被重新分配。
例如,如果一台PC已经关机了,您就可以使用这个按钮来释放它原来获取到的IP。
<全部释放>按钮用于回收除IPMAC绑定表外的所有已经分配的IP地址。
注意:
只有本设备内的DHCP服务器被设置为启用的时候,才会维护更新这张表;通过IP/MAC绑定页面绑定的IP地址在此表中不能够被释放。
端口设置
可以配置LAN1、LAN2、LAN3的端口模式、广播风暴抑制、流控。
端口模式
可以选择以下模式中的一种。
注意:
除了自协商模式,其它需要与对端设备设置成相同的双工模式。
Auto
自协商模式。
10M半双工
10M半双工模式。
10M全双工
10M全双工模式。
100M半双工
100M半双工模式。
100M全双工
100M全双工模式。
广播风暴抑制
如果内网中有大量的广播报文(可能由病毒导致),会影响网络的正常通信。
通过LAN口的广播风暴抑制功能,可以有效地抑制大量广播报文的传播,避免网络拥塞,保证网络业务的正常运行。
注意:
广播风暴抑制功能各个LAN口必须设置成一致,可以设置为不抑制、低、中、高,这四个级别允许通过的报文数依次减少。
流控启用
流控是防止其它设备往本设备发送的报文太多,超出了最大转发能力,引起网络拥塞的情况。
可以设置LAN1/2/3的流控要求,打勾则启用流控,否则不启用。
端口镜像
端口镜像,可将被镜像端口的报文复制到镜像端口,以进行网络检测和故障排除。
设备提供基于端口的镜像功能,可将被镜像端口的报文自动复制到镜像端口,实时提供各端口传输状况的详细资料,以便网络管理人员进行流量监控、性能分析和故障诊断。
例如:
将被镜像端口LAN1端口上的报文复制到镜像端口LAN2上,通过镜像端口LAN2上连接的协议分析仪进行分析和记录。
镜像端口
在这里,勾选需要的镜像端口,其中WAN口不可选。
被镜像端口
在这里,勾选需要的被镜像端口,其中WAN口和LAN口不能同时被选中,同一个端口不能既配置为镜像端口又配置为被镜像端口。
镜像端口的报文TAG方式
用来确定镜像报文中是否包含VLANTAG
IP/MAC表
IP/MAC绑定功能主要有两个作用:
一个是按照IP/MAC绑定关系为DHCP客户端分配IP地址,另一个是仅允许内网中IP地址和MAC地址符合绑定关系的主机访问外网。
(参考样例)
如果用户配置了IP/MAC绑定规则表,并且启用了DHCP服务器功能,那么DHCP服务器将先从IP/MAC绑定规则表中为DHCP客户端分配IP地址;如果DHCP客户端的MAC地址不在该列表中,则从DHCP地址池中分配一个可用IP地址给该客户;如果绑定的IP地址与LAN口IP地址不在同一网段内时,DHCP服务器从地址池中查找一个可用地址分配给该客户端,否则不分配;如果DHCP客户端绑定的IP地址被其它设备占用,则该DHCP客户端不能正常获取IP地址。
用户还可以指定仅允许DHCP服务器分配的客户端访问外网,使用此功能后不在DHCPSERVER分配的客户列表中的客户端将无法访问外网。
因此需要注意,在使能该功能后如果出现无法访问外网,请将管理PC设置为DHCP方式获取IP地址。
用户还可以指定仅允许IP/MAC绑定规则表中的客户端访问外网,使用此功能后不在IP/MAC绑定规则中的客户端将无法访问外网。
因此需要注意,在使能该功能前需要把管理PC的IP/MAC加入到IP/MAC绑定规则表中,否则启用该功能后,管理PC将无法访问外网。
主机名
输入进行IP和MAC地址绑定的计算机名称。
支持1~15个数字和英文字符。
主机名可以重复。
IP地址
输入给该MAC地址分配的IP地址。
IP地址可以不在本设备DHCP服务器分配的地址池内,但要与LAN口IP地址在同一子网内。
MAC地址
输入该计算机的MAC地址。
输入格式为xx:
xx:
xx:
xx:
xx:
xx。
增加/修改
配置好上述信息后,点击<增加>按钮将该项规则添加到IP/MAC绑定规则表中;如果是对一条已存在的IP/MAC绑定规则进行编辑,点击<修改>按钮将新的规则添加到IP/MAC绑定规则表中。
ARP列表导入
如果不想逐条添加IP/MAC绑定规则,可以选择从设备当前的ARP列表中导入IP/MAC绑定规则。
只需要点击按钮,在弹出菜单中选择想导入的IP/MAC信息,点击<确定>按钮即可。
注意这种方式不能保证导入内网中所有的PC。
导入/导出
为了备份IP/MAC配置信息,可以点击<导出>按钮将配置信息保存在指定位置;如果配置丢失,可以使用<导入>按钮将之前备份的IP/MAC绑定规则重新导入。
全选/编辑/删除
全选用于选中IP/MAC绑定规则表中的所有绑定规则;如果需要删除IP/MAC绑定表中的一条或多条IP/MAC绑定规则,先选择需要删除的绑定规则,然后点击<删除>按钮即可;如果需要编辑一条已经存在的绑定规则,先选择该条规则,然后点击<编辑>按钮,该条规则即出现在“IPMAC绑定表项”框内,编辑完毕后,点击<修改>按钮,即可将更改后的IP/MAC表项添加到IP/MAC绑定规则表中。
仅允许DHCP服务器分配的客户端访问外网
选中该选框后,将启用“仅允许DHCP服务器分配的客户端访问外网”的功能。
仅允许IP/MAC绑定的客户端访问外网
选中该选框后,将启用“仅允许IP/MAC绑定规则表中的客户端访问外网”的功能。
确定
在所有配置完成后,点击<确定>按钮使所有配置生效。
样例:
为MAC地址为00:
11:
22:
33:
44:
55的PC分配指定的IP地址192.168.1.66,并且仅允许符合该IP/MAC绑定规则的PC访问外网。
如下:
1、主机名:
superuser
2、IP地址:
192.168.1.66
3、MAC地址:
00:
11:
22:
33:
44:
55
4、点击<增加>按钮。
5、选中“仅允许IP/MAC绑定的客户端访问外网”选框。
6、点击<确定>按钮。
MAC过滤
局域网内同一台计算机可以使用不同的IP地址,如果要通过IP地址控制就需要经常更换过滤规则,但是每台计算机的MAC地址是唯一的,通过MAC控制可以更有效的对局域网内计算机进行上网控制管理。
(参考样例)
启用MAC地址过滤功能
选中该项,启用MAC地址过滤功能,并根据MAC地址列表中的MAC地址控制内网计算机访问因特网。
如果不开启MAC地址过滤功能,局域网内的所有计算机都可以不受限制地访问因特网。
仅允许MAC地址列表中的MAC访问外网
在MAC地址列表中的计算机允许访问因特网,其他的都禁止访问因特网。
仅禁止MAC地址列表中的MAC访问外网
在MAC地址列表中的计算机禁止访问因特网,其他的都允许访问因特网。
增加
添加需要控制的MAC地址。
IP/MAC列表导入
从IP/MAC绑定列表中导入其中的MAC地址列表。
导入
导入需要控制的MAC地址列表。
导出
导出所有的MAC地址列表。
全选
选择所有的MAC地址列表。
删除
删除选中的MAC地址列表。
注意:
MAC地址不区分大小写。
样例:
禁止MAC地址为00:
0f:
83:
16:
35:
4d的计算机访问因特网。
1、选择“启用MAC地址过滤功能”;
2、选择“仅禁止MAC地址列表中的MAC访问外网”;
3、在MAC地址表项中的MAC地址栏输入“00:
0f:
83:
16:
35:
4d”,单击<增加>按钮之后单击<确定>按钮。
URL过滤
如果您想禁止局域网内的计算机访问某些特定网站,即可通过设置URL过滤规则实现。
(参考样例)
启用URL过滤功能
选中该项,可以通过URL地址对局域网内计算机进行上网控制。
缺省情况下,不启用该功能。
仅允许访问列表中的URL地址
选中该项,仅允许局域网内计算机访问URL列表中的URL地址,其他的都禁止被访问。
仅禁止访问列表中的URL地址
选中该项,仅禁止局域网内计算机访问URL列表中的URL地址,其他的都允许被访问。
URL地址
文本框中输入要控制的站点域名或IP地址,支持1~63个数字和英文字符。
增加
添加需要控制的网站。
导入
导入需要控制的网站列表。
导出
导出所有的控制网站列表。
全选
选择所有的网站列表。
删除
删除选中的网站列表。
注意:
网站控制功能只对Http协议(TCP:
80)生效。
样例:
如果您想让内网的计算机都不能访问下面的网站:
1、您可以在本设备上选中“启用URL过滤功能”;
2、选择“仅禁止访问列表中的URL地址”;
3、在URL过滤地址编辑框内输入,单击<增加>按钮之后单击<确定>按钮。
样例:
如果您想让内网的计算机只能访问下面的网站:
1、您可以在本设备上选中“启动URL过滤功能”;
2、选择“仅允许访问列表中的URL地址”;
3、在URL过滤地址编辑框内输入,单击<增加>按钮之后单击<确定>按钮。
如果禁止/允许多个网站时,可重复上述步骤。
IM软件
为了控制内网的计算机使用QQ或MSN,通过对本设备的设置,您可以限制内网的计算机登录QQ或MSN。
(参考样例)
禁止QQ上线
选中该项,启用禁止应用QQ的功能,内网的计算机将不能登录QQ服务器。
缺省情况下不启用这个功能。
禁止MSN上线
选中该项,启用禁止应用MSN的功能,内网的计算机将不能登录MSN服务器。
缺省情况下不启用这个功能。
特权IP地址
用来指定拥有特权的IP地址。
QQ特权
选中该项,则该特权IP拥有登录QQ的特权。
MSN特权
选中该项,则该特权IP拥有登录MSN的特权。
增加
添加当前的特权配置到特权列表中。
全选
选择所有的特权列表。
删除
删除选中的特权列表。
编辑
编辑选中的特权列表。
样例:
如果您不想让内网的计算机登录QQ
1、您可以在本设备上启用“禁止QQ上线”功能。
2、点击<确定>按钮。
如果想控制MSN,同上面的操作。
样例:
如果您只想让内网的计算机某台PC登录QQ,例如192.168.1.10,您需要在启用“禁止QQ上线”功能的基础上,并设置如下特权
1、在特权IP地址框中输入192.168.1.10-192.168.1.10。
2、勾选QQ特权。
3、单击<增加>按钮之后单击<确定>按钮。
如果特权IP有多个时,可重复上述步骤。
金融软件
通过对路由器的设置,您可以限制内网计算机使用常见的金融软件。
(参考样例)
禁止大智慧与分析家
选中该项,启用禁止大智慧股票软件和分析家2006的功能,内网的计算机将不能使用大智慧和分析家2006。
禁止同花顺
选中该项,启用禁止同花顺股票软件的功能,内网的计算机将不能使用同花顺股票软件。
禁止广发至强与光大证券
选中该项,启用禁止广发至强版和光大证券股票软件的功能,内网的计算机将不能使用广发至强版和光大证券股票软件。
禁止国元证券
选中该项,启用禁止国元证券软件的功能,内网的计算机将不能使用国元证券软件。
特权IP地址
用来指定拥有特权的IP地址。
增加
添加当前的特权配置到特权列表中。
全选
选择所有的特权列表。
删除
删除选中的特权列表。
编辑
编辑选中的特权列表。
注意:
对于一些特殊的金融软件或软件版本,可以通过配置防火墙规则("安全专区"->"防火墙"->"出站通信策略")来进行定制,做到对软件访问的有效控制。
样例:
如果您不想让内网的计算机
升级会员 