H3C路由器说明.docx

1、H3C路由器说明 ER3100 路由器 设置说明书 连接到因特网上网方式WAN口接入到因特网可选择的上网方式有静态地址、动态地址和PPPoE。不同的运营商（如中国电信、中国网通）可能采用不同的接入方式，您必须选择正确的上网方式，具体信息您需要向运营商咨询。静态地址(手工配置地址)： IP地址设备的WAN口的IP地址。这个地址是必须的，开户时，由运营商提供。子网掩码设备的WAN口地址掩码。这个掩码是必须的，开户时，由运营商提供。缺省网关设备的WAN口网关地址。这个地址是必须的，开户时，由运营商提供。MTUWAN口最大传输单元。主DNS服务器运营商通常会提供给您至少一个域名服务器(DNS - Do

2、main Name Server)地址，您可以输入在这里，域名服务器可以把诸如这样的域名翻译成为实际的IP地址。辅DNS服务器如果运营商提供给您第二个DNS地址，请输入在这里，如果没有，不必填写。动态地址(从DHCP服务器自动获取)：如果选择了这个方式，那么IP地址、子网掩码、缺省网关、DNS服务器等参数可以自动从DHCP服务器获取到。MTUWAN口最大传输单元。主DNS服务器运营商通常会提供给您至少一个域名服务器(DNS - Domain Name Server)地址，您可以输入在这里，域名服务器可以把诸如这样的域名翻译成为实际的IP地址。辅DNS服务器如果运营商提供给您第二个DNS地址，请

3、输入在这里，如果没有，不必填写。主机名在使用DHCP获取IP参数的时候，DHCP服务希望您能告诉它您的机器名。这个是可选项，您可以留空。PPPoE(大部分的宽带网或xDSL)PPPoE用户名输入PPPoE拨号时使用的用户名，这是必须的。开户时，由运营商提供。PPPoE密码输入PPPoE拨号时使用的密码，这是必须的。开户时，由运营商提供。MTUWAN口最大传输单元。主DNS服务器运营商通常会提供给您至少一个域名服务器(DNS - Domain Name Server)地址，您可以输入在这里，域名服务器可以把诸如这样的域名翻译成为实际的IP地址。辅DNS服务器如果运营商提供给您第二个DNS地址，请

4、输入在这里，如果没有，不必填写。服务器名（AC-Name）PPPoE服务器名称。服务名（Service-Name）PPPoE服务名称。WAN口MAC地址克隆WAN口MAC地址克隆 使用本设备原来的MAC地址选中该项，设备将使用出厂时的MAC地址。缺省选中该项。使用这台PC的MAC地址选中该项，这将把设备的MAC地址设置为您现在正在管理设备的计算机的MAC地址。如果您以前是使用这台计算机上网，而现在要用本设备上网，则可以选中这个选项。使用下面手工输入的MAC地址选中该项，输入运营商指定注册的MAC地址。 WAN口模式在这里您可以设置WAN口的连接速度和双工模式。静态NATNAT设置您局域网里的计

5、算机在访问Internet时，需要将其私有的IP地址转换成运营商为您分配的公有IP地址。自动使用WAN接口的IP地址选中该项，NAT会自动使用WAN接口当前的IP地址作为转换地址。缺省选中该项。使用地址池中的IP地址选中该项，NAT会使用您输入的IP地址范围作为转换地址，在该选项下，同一个私有IP地址会转换到固定的公网IP地址。一对一地址转换当您有多个公有IP地址时，您可以固定地把您局域网内某台计算机的私有IP地址与公网IP地址建立映射关系。在这种模式下，您局域网里的计算机以及Internet上的计算机都可以通过访问该公网IP地址来访问对应的计算机。局域网设置LAN 设置设置LAN口的IP地址

6、和子网掩码，内网的计算机可以通过LAN口IP地址来管理ER。IP地址配置LAN口的IP地址。子网掩码配置LAN口IP地址对应的子网掩码。LAN MAC 克隆ER出厂时，各个接口（LAN、WAN口）都有一个缺省的MAC地址，一般情况下，无需更改。有些网吧为了防止ARP攻击，给内网计算机都设了网关的静态ARP表项，这种情况下，如果将原来的网关设备换成ER（网关地址不变），计算机无法学习到ER的MAC地址，您需要逐个修改内网中计算机的静态ARP表项才可使内网中的计算机正常上网。LAN MAC克隆功能可以免除这样的重复劳动，只需将ER的LAN口MAC地址设为原来网关的MAC地址，内网计算机即可正常上网

7、了。使用本设备原来的MAC地址选中该项，LAN口MAC地址为出厂时的MAC地址，缺省使用ER原来的MAC地址。使用下面手工输入的MAC地址选中该项，输入其他MAC地址，一般为原网关的MAC地址。DHCP 服务器ER可以作为DHCP(Dynamic Host Configuration Protocol)服务器使用，为内网的PC分配IP地址。但是如果您的网络上同时启用一个以上的DHCP服务器，将会出现冲突。建议在启用此功能前，把其它的DHCP服务器停用。如果您不需要使用本设备的DHCP功能，请不要钩选“启用DHCP服务器”选项。地址池起始地址DHCP服务器地址池的起始地址，必须与LAN口设置在同

8、一子网内。缺省为192.168.1.2 。地址池结束地址DHCP服务器地址池的结束地址，必须与LAN口设置在同一子网内。缺省为192.168.1.254 。地址池结束地址不能小于地址池起始地址。地址池最大支持600个地址数。地址租约将IP地址分配给DHCP客户端使用的时间长度，单位为分钟，取值范围为111520分钟。默认为1440分钟。DHCP客户列表分配状态表列出了通过LAN口连接到本设备而且是通过DHCP方式从ER获取IP地址的所有PC的信息，包括IP地址、主机名、MAC地址等。随着连接的PC的数量的增加，这张表将增长到地址池定义的最大的地址数。按钮用于强制回收某一IP地址，使其可以被重新

9、分配。例如，如果一台PC已经关机了，您就可以使用这个按钮来释放它原来获取到的IP。注意： 只有本设备内的DHCP服务器被设置为启用的时候，才会维护更新这张表；通过IP/MAC绑定页面绑定的IP地址在此表中不能够被释放。端口设置可以配置LAN1、LAN2、LAN3的端口模式、广播风暴抑制、流控。端口模式 可以选择以下模式中的一种。注意：除了自协商模式，其它需要与对端设备设置成相同的双工模式。Auto自协商模式。10M半双工10M半双工模式。10M全双工10M全双工模式。100M半双工100M半双工模式。100M全双工100M全双工模式。广播风暴抑制如果内网中有大量的广播报文（可能由病毒导致），会

10、影响网络的正常通信。通过LAN口的广播风暴抑制功能，可以有效地抑制大量广播报文的传播，避免网络拥塞，保证网络业务的正常运行。注意：广播风暴抑制功能各个LAN口必须设置成一致，可以设置为不抑制、低、中、高，这四个级别允许通过的报文数依次减少。流控启用 流控是防止其它设备往ER发送的报文太多，超出了最大转发能力，引起网络拥塞的情况。可以设置LAN1/2/3的流控要求，打勾则启用流控，否则不启用。端口镜像端口镜像，可将被镜像端口的报文复制到镜像端口，以进行网络检测和故障排除。ER提供基于端口的镜像功能，可将被镜像端口的报文自动复制到镜像端口，实时提供各端口传输状况的详细资料，以便网络管理人员进行流量

11、监控、性能分析和故障诊断。例如：将被镜像端口LAN1端口上的报文复制到镜像端口LAN2上，通过镜像端口LAN2上连接的协议分析仪进行分析和记录。镜像端口在这里，勾选需要的镜像端口，其中WAN口不可选。被镜像端口在这里，勾选需要的被镜像端口，其中WAN口和LAN口不能同时被选中，同一个端口不能既配置为镜像端口又配置为被镜像端口。IP/MAC绑定IP/MAC绑定功能主要有两个作用：一个是按照IP/MAC绑定关系为DHCP客户端分配IP地址，另一个是仅允许内网中IP地址和MAC地址符合绑定关系的主机访问网关设备及外网。（参考样例 ）如果用户配置了IP/MAC绑定规则表，并且启用了DHCP服务器功能，

12、那么DHCP服务器将先从IP/MAC绑定规则表中为DHCP客户端分配IP地址；如果DHCP客户端的MAC地址不在该列表中，则从DHCP地址池中分配一个可用IP地址给该客户；如果绑定的IP地址与LAN口IP地址不在同一网段内时，DHCP服务器从地址池中查找一个可用地址分配给该客户端，否则不分配；如果DHCP客户端绑定的IP地址被其它设备占用，则该DHCP客户端不能正常获取IP地址。用户还可以指定仅允许IP/MAC绑定规则表中的客户端访问设备和外网，使用此功能后不在IP/MAC绑定规则中的客户端将无法访问设备和外网。因此需要注意，在使能该功能前需要把管理PC的IP/MAC加入到IP/MAC绑定规则

13、表中，否则启用该功能后，将无法继续通过WEB管理本设备。主机名输入进行IP和MAC地址绑定的计算机名称。支持115个数字和英文字符。主机名可以重复。IP地址输入给该MAC地址分配的IP地址。IP地址可以不在ER DHCP服务器分配的地址池内，但要与LAN口IP地址在同一子网内。MAC地址输入该计算机的MAC地址。输入格式为 xx:xx:xx:xx:xx:xx 。增加/修改配置好上述信息后，点击按钮将该项规则添加到IP/MAC绑定规则表中；如果是对一条已存在的IP/MAC绑定规则进行编辑，点击按钮将新的规则添加到IP/MAC绑定规则表中。ARP列表导入如果不想逐条添加IP/MAC绑定规则，可以选

14、择从设备当前的ARP列表中导入IP/MAC绑定规则。只需要点击按钮，在弹出菜单中选择想导入的IP/MAC信息，点击按钮即可。注意这种方式不能保证导入内网中所有的PC。导入/导出为了备份IP/MAC配置信息，可以点击按钮将配置信息保存在指定位置；如果配置丢失，可以使用按钮将之前备份的IP/MAC绑定规则重新导入。全选/编辑/删除全选用于选中IP/MAC绑定规则表中的所有绑定规则；如果需要删除IP/MAC绑定表中的一条或多条IP/MAC绑定规则，先选择需要删除的绑定规则，然后点击按钮即可；如果需要编辑一条已经存在的绑定规则，先选择该条规则，然后点击按钮，该条规则即出现在“IPMAC绑定表项”框内，

15、编辑完毕后，点击按钮，即可将更改后的IP/MAC表项添加到IP/MAC绑定规则表中。仅允许IP/MAC绑定的客户端访问外网选中该选框后，将启用“仅允许IP/MAC绑定规则表中的客户端访问设备和外网”的功能。同时会把“安全设置 ARP防攻击”页面中“启用ARP防攻击功能”自动选中。确定在所有配置完成后，点击按钮使所有配置生效。样例：为MAC地址为 00:11:22:33:44:55 的PC分配指定的IP地址 192.168.1.66 ，并且仅允许符合该IP/MAC绑定规则的PC访问设备和外网。如下：1、主机名：superuser2、IP地址：192.168.1.663、MAC地址：00:11:2

16、2:33:44:554、点击按钮。5、选中“仅允许IP/MAC绑定的客户端访问外网”选框。6、点击按钮。MAC地址过滤因为局域网的同一台计算机有可能使用不同的IP的地址，针对不同的IP的地址，如果通过IP地址去控制就需要常常去更改过滤规则；而每台计算机的MAC地址是唯一不变的，所以通过MAC控制可以更有效的对局域网中的计算机进行上网控制管理。（参考样例）启用MAC地址过滤功能选中该项，启用MAC地址过滤功能，并根据MAC地址列表中的MAC地址控制内网计算机访问因特网。如果不开启MAC地址过滤功能，局域网内的所有计算机都可以不受限制地访问因特网。仅允许在MAC地址列表中的计算机允许访问因特网 ，

17、其他的都禁止访问因特网。仅禁止在MAC地址列表中的计算机禁止访问因特网 ，其他的都允许访问因特网。增加添加需要控制的MAC地址。IP/MAC列表导入从IP/MAC绑定列表中导入其中的MAC地址列表。导入导入需要控制的MAC地址列表。导出导出所有的MAC地址列表。全选选择所有的MAC地址列表。删除删除选中的MAC地址列表。注意：MAC地址不区分大小写。样例：禁止MAC地址为00:0f:83:16:35:4d的计算机访问因特网。1、选择“启用MAC地址过滤功能”；2、选择“仅禁止MAC地址列表中的MAC访问外网”；3、在MAC地址表项中的MAC地址栏输入“00:0f:83:16:35:4d”，单击

18、按钮之后单击按钮。访问控制为了方便您对内网计算机的进一步管理，通过访问控制，您可以根据时间段、数据包类型、内网计算机的IP地址等，对内网的计算机访问因特网作限制。（参考样例）时间规则每天生效的时间段，时间使用24小时制。起始时间应早于终止时间，00:0024:00 表示该规则在一天内任何时间都生效。星期一周内哪些天规则生效。源地址IP内网中需要被控制的计算机的IP地址范围。如 192.168.1.2192.168.1.2 ，则表示只对IP地址是 192.168.1.2 的计算机进行上网控制。目的地址IP外网中需要被控制的计算机的IP地址范围。如 210.122.6.12210.122.6.12

19、 ，则表示只对IP地址是 210.122.6.12 的计算机进行访问控制。目的端口范围内网中计算机访问因特网的服务端口。如 2323（telnet端口）表示对内网计算机通过telnet访问因特网进行控制。协议需要控制的协议类型。有ALL、TCP、UDP和ICMP四个选项，其中ALL包括TCP、UDP和ICMP。缺省是ALL。操作允许匹配的报文通过（允许）还是丢弃（禁止）。位置将该条规则添加到访问控制列表中的指定位置。注意：ACL规则从上往下匹配，位置越靠前，规则匹配的优先级越高。确定增加该规则到访问控制列表。样例：如果要让内网IP地址为 192.168.1.20192.168.1.25 的计算

20、机，星期一到星期五，每天08:0020:00禁止访问目的IP地址为 210.122.6.12 的网站。配置如下：1、起止时间选择：08:0020:002、星期选择：在星期一到星期五下面打勾3、源IP地址填写：192.168.1.20192.168.1.254、目的IP地址填写：210.122.6.12210.122.6.125、目的端口范围为：1655356、协议选择：ALL7、操作选择：禁止8、位置：1样例：如果您不想让 192.168.1.3 的计算机使用Email往因特网发送文件，但是允许接收Email。因为发送Email的SMTP协议使用的是TCP 25号端口，接收Email的POP协

21、议使用的是TCP 110号端口，所以您就可以通过禁止 192.168.1.3 的计算机访问TCP 25号端口来达到目的。配置如下：1、起止时间选择：00:0024:002、星期选择：在星期一到星期日下面打勾3、源IP地址填写：192.168.1.3192.168.1.34、目的IP地址填写：0.0.0.0255.255.255.2555、目的端口范围为：25256、协议选择：TCP7、操作选择：禁止8、位置：1 URL过滤为了禁止内网中计算机对一些网站的访问，通过对路由器的设置，您可以限制内网中的计算机访问某些外部网站。（参考样例）按照配置的策略访问Internet站点选中该项，启用URL过滤

22、功能，并根据URL控制列表中过滤规则控制内网计算机访问因特网站点。URL控制列表选择“禁止”或“不生效”，并在后面文本框中输入要控制的站点域名或IP地址，支持163个数字和英文字符。“禁止”表示禁止内网计算机访问指定网站，当“禁止”规则暂时不需要生效时，可以先切换到“不生效”状态。增加添加需要控制的网站。导入导入需要控制的网站列表。导出导出所有的控制网站列表。全选选择所有的网站列表。删除删除选中的网站列表。注意：网站控制功能只对Http协议生效。样例：如果您想让内网的计算机都不能访问下面的网站：1、您可以在路由器上启用“URL过滤”功能；2、选择”按照配置的策略访问Internet站点”；3、

23、在URL过滤表项的操作类型选择 选择“禁止”，在过滤地址编辑框内输入，单击按钮之后单击按钮。样例：如果您想让内网的计算机都不能访问下面的网站：:80801、您可以在路由器上启动“URL过滤”功能；2、选择”按照配置的策略访问Internet站点”；3、在URL过滤表项的操作类型选择“禁止”，在过滤地址编辑框内输入:8080，单击按钮之后单击按钮。如果禁止多个网站时，可重复上述步骤。业务控制为了控制内网的计算机使用QQ或MSN，通过对路由器的设置，您可以限制内网的计算机登录QQ或MSN。（参考样例）禁止QQ上线选中该项，启用禁止应用QQ的功能，内网的计算机将不能登录QQ服务器。默认情况下不启用这

24、个功能。禁止MSN上线选中该项，启用禁止应用MSN的功能，内网的计算机将不能登录MSN服务器。默认情况下不启用这个功能。特权IP地址用来指定拥有特权的IP地址。QQ特权选中该项，则该特权IP拥有登录QQ的特权。MSN特权选中该项，则该特权IP拥有登录MSN的特权。增加添加当前的特权配置到特权列表中。全选选择所有的特权列表。删除删除选中的特权列表。编辑编辑选中的特权列表。样例：如果您不想让内网的计算机登录QQ1、您可以在路由器上启用“禁止QQ上线”功能。2、点击按钮。如果想控制MSN，同上面的操作。样例：如果您只想让内网的计算机某台PC 登录QQ，例如192.168.1.10，您需要在启用“禁止

25、QQ上线”功能的基础上，并设置如下特权1、在特权IP地址框中输入192.168.1.10-192.168.1.10。2、钩选QQ特权。3、单击按钮之后单击按钮。如果特权IP 有多个时，可重复上述步骤。ARP防攻击为了防止内网的某些主机对网关设备进行恶意的ARP攻击，ARP防攻击功能可以对指定规则的ARP数据包进行过滤，从而在一定程度上防止ARP攻击。在当前的ARP防攻击功能中，分为两个层面，一个是ARP防攻击，另一个是ARP防欺骗。ARP防攻击功能主要防止内网大量的无效ARP请求数据包导致设备的ARP表项占满，从而使正常PC无法访问设备或是外网的情况。该功能是与IP/MAC绑定规则表配合共同实

26、现的，启用该功能后，设备只对符合IP/MAC绑定规则的ARP数据包进行处理，对其它ARP数据包直接丢弃，从而达到防止恶意ARP攻击的功能。因此在启用ARP防攻击功能前，需要先在IP/MAC绑定规则表中绑定合法的IP/MAC地址。IP/MAC绑定规则表的配置方法，请参见IP/MAC绑定页面。ARP防欺骗功能主要防止内网的某些PC冒充网关设备的IP地址发送ARP信息，导致正常PC无法访问设备或外网的情况。启用该功能后，用户还可以选择是否让网关设备定期发送其自己的ARP信息（主动发送免费ARP报文），以更新内网PC设备上与路由器相关的ARP信息。样例：如果您想定义比较严格的ARP防攻击功能，即启用A

27、RP防攻击又启用ARP防欺骗，并且让网关设备每隔1分钟主动发送其自己的ARP信息。具体操作如下：1、在“访问控制”-“IP/MAC绑定”页面添加内网所有PC的IP/MAC绑定信息；同时把“仅允许IPMAC绑定的客户端访问外网”选中，再单击。2、在“安全设置”-“ARP防攻击”页面的“ARP防攻击功能”自动启用；3、在“安全设置”-“ARP防攻击”页面选中“ARP防欺骗功能”选框；4、在“安全设置”-“ARP防攻击”页面选中“主动发送免费ARP报文”选框；5、在“安全设置”-“ARP防攻击”页面的“发送免费ARP报文的时间间隔”中填入60；6、单击。 防火墙本页面上一些设置，可以防止现有常见的攻

28、击，开启防火墙功能，可以有效地保护本设备以及内网的计算机不受攻击。注意：除了防止WAN口的Ping和防止Syn-Flood攻击，防火墙其它功能自动保持一直启用，无需修改。防止WAN口的Ping启用该项，ER不回应来自因特网的Ping请求，可以防止因特网上恶意攻击的Ping探测。缺省禁用该功能。防止Syn-Flood攻击启用该项，ER可以防止来自因特网的、对内网服务器进行的Syn-Flood攻击。可以根据服务器正常情况下的访问量来设定最大Syn包速率值，一般保持缺省值500包/秒即可。缺省启用该功能。防止短包启用该项，ER可以防止可能会导致系统异常的短包攻击。防止碎片包启用该项，ER可以防止可能

29、导致系统异常的碎片包攻击。防止TearDrop攻击启用该项，ER可以防止可能导致系统异常的TearDrop攻击。防止Land攻击启用该项，ER可以防止可能导致系统异常的Land攻击。防止TCP空连接攻击启用该项，ER可以防止来自因特网的、对内网服务器进行的TCP空连接攻击。防止Ping Of Death攻击启用该项，ER可以防止可能导致系统异常的Ping Of Death攻击。UPnP启用UPnP（Universal Plug and Play，通用即插即用）功能，ER可以实现NAT穿越：当内网的计算机通过ER与因特网通信时，ER可以根据需要自动增加、删除NAT映射表，从而解决一些传统业务（比

30、如Netmeeting）不能穿越NAT的问题。如果您想在网关设备上启用UPnP功能，选中“启用UPnP”选框；如果您想在网关设备上关闭UPnP功能，则取消选中“启用UPnP”选框。缺省为启用。流量统计 这个功能可以即时统计路由器LAN、WAN各物理端口的详细通信流量，以及网内各计算机上网的详细通信流量，并可以根据精度要求设置统计周期。端口的流量统计是系统开机后一直进行的，不能关闭；网内计算机的流量统计可以选择启用或停用。统计周期流量统计时计算流速率的周期值，默认为10秒。启用内网IP流量统计开启和关闭”内网IP流量统计”功能。只有开启时，“查看”下拉列表框才可用。查看端口流量/IP流量选择显示端口流量统计表或IP流量统计表。自动刷新启用时页面自动定