er3100.docx

1、er3100日志管理日志信息可以帮助您快速定位设备故障或了解网络情况。设备提供的日志功能可记录设备在运行过程中的设置状态变化、网络攻击等信息。如果设备没有异常断电，那么重启后，所有记录的日志不会丢失。但在日志信息页面中，仅显示本次启动以来产生的日志。如果需要查看全部日志，可以点击按钮，设备将弹出页面显示上次清除以来的所有日志信息。下载下载当前显示的日志信息到计算机。清除清除当前显示的日志信息。所有显示设备上存储的所有日志信息。日志记录等级控制设备记录日志的等级。选中的等级和该等级以下的日志信息将被记录。发送到日志服务器将系统产生的日志信息发送到日志服务器进行统一管理。您可以设置要发送到内网或外

2、网的日志服务器。本地不再显示日志选中该项，本页面不再显示新生成的日志信息。本地不再保存日志 选中该项，新生成的日志信息将不再保存在设备的本地存储设备中。设备维护本设备的维护功能包括定位信息导出和设备自检功能。设备自检功能用来帮助用户更清楚的了解设备的运行状况。用户在使用过程中，可以随时点击本页面中的按钮，检测设备的当前配置是否合理及运行是否正常等情况，设备将弹出页面分类显示检测结果。设备自检项和主要内容如下表：设备信息显示设备的基本项检测结果，包括设备当前的软硬件版本、WAN口模式、链路状态和当前系统时间。网络信息显示设备的网络状态检测结果并根据检测结果做简单提示。检测结果包括WAN口设置的带

3、宽、WAN口速率、IP流量限制是否启用、网络连接数限制是否启用、是否有用户的实际流量或网络连接个数接近限制的值。 系统安全显示设备的安全配置检测结果并根据检测结果做简单提示。检测结果包括上次登录设备的用户、时间，以及ARP防攻击和防火墙是否启用的信息。故障诊断显示设备的常见故障的检测结果，包括WAN口的通断记录以及对环回口、网关和主DNS的ping检测结果等信息。 诊断工具Ping可用来检测网络，测试另一台设备或主机是否可达。设置完成，点击后，系统开始进行检测。检测的过程和结果显示在当前页面，说明网络发包的测试情况和与测试主机的往返平均时延。 路由跟踪(Tracert)用来检查从设备到达目标主

4、机所经过的路由情况。设置完成，点击后，系统开始进行检测。检测的过程和结果显示在当前页面，在检测的过程中，您可以点击按钮，中止当前的测试。目的IP地址设置需要检测的主机地址，支持IP地址和域名。连接到因特网上网方式WAN口接入到因特网可选择的上网方式有静态地址、动态地址和PPPoE。不同的运营商（如中国电信、中国网通）可能采用不同的接入方式，您必须选择正确的上网方式，具体信息您需要向运营商咨询。带宽设置WAN口的带宽。带宽值影响到设备QoS服务的正常运行，请务必正确设置。建议设置为您从运营商处申请得到的带宽值。静态地址(手工配置地址)： IP地址设备的WAN口的IP地址。这个地址是必须的，开户时

5、，由运营商提供。子网掩码设备的WAN口地址掩码。这个掩码是必须的，开户时，由运营商提供。缺省网关设备的WAN口网关地址。这个地址是必须的，开户时，由运营商提供。MTUWAN口最大传输单元。主DNS服务器运营商通常会提供给您至少一个域名服务器(DNS - Domain Name Server)地址，您可以输入在这里，域名服务器可以把诸如这样的域名翻译成为实际的IP地址。辅DNS服务器如果运营商提供给您第二个DNS地址，请输入在这里，如果没有，不必填写。动态地址(从DHCP服务器自动获取)：如果选择了这个方式，那么IP地址、子网掩码、缺省网关、DNS服务器等参数可以自动从DHCP服务器获取到。MT

6、UWAN口最大传输单元。主DNS服务器运营商通常会提供给您至少一个域名服务器(DNS - Domain Name Server)地址，您可以输入在这里，域名服务器可以把诸如这样的域名翻译成为实际的IP地址。辅DNS服务器如果运营商提供给您第二个DNS地址，请输入在这里，如果没有，不必填写。主机名在使用DHCP获取IP参数的时候，DHCP服务希望您能告诉它您的机器名。这个是可选项，您可以留空。PPPoE(大部分的宽带网或xDSL)PPPoE用户名输入PPPoE拨号时使用的用户名，这是必须的。开户时，由运营商提供。PPPoE密码输入PPPoE拨号时使用的密码，这是必须的。开户时，由运营商提供。MT

7、UWAN口最大传输单元。主DNS服务器运营商通常会提供给您至少一个域名服务器(DNS - Domain Name Server)地址，您可以输入在这里，域名服务器可以把诸如这样的域名翻译成为实际的IP地址。辅DNS服务器如果运营商提供给您第二个DNS地址，请输入在这里，如果没有，不必填写。服务器名（AC-Name）PPPoE服务器名称。服务名（Service-Name）PPPoE服务名称。WAN口MAC地址克隆WAN口MAC地址克隆 使用本设备的MAC选中该项，设备将使用出厂时的MAC地址。缺省选中该项。使用这台PC的MAC选中该项，这将把设备的MAC地址设置为您现在正在管理设备的计算机的MA

8、C地址。如果您以前是使用这台计算机上网，而现在要用本设备上网，则可以选中这个选项。手工输入MAC选中该项，输入运营商指定注册的MAC地址。 WAN口模式在这里您可以设置WAN口的连接速度和双工模式。NAT设置NAT模式缺省情况下，设备使用了地址转换。当您需要将设备作为普通路由器使用时，您可以在这里禁用地址转换。当您禁用地址转换后，NAT设置和一对一NAT转换功能将不会生效。使用地址转换选中该项，设备会根据您的配置对WAN接口发出去的数据包做NAT转换。缺省选中该项。不使用地址转换选中该项，设备不会对WAN接口发出去的数据包做NAT转换。NAT转换您局域网里的计算机在访问Internet时，需要

9、将其私有的IP地址转换成运营商为您分配的公有IP地址。自动使用WAN接口的IP地址选中该项，NAT会自动使用WAN接口当前的IP地址作为转换地址。缺省选中该项。使用地址池中的IP地址选中该项，NAT会使用您输入的IP地址范围作为转换地址，在该选项下，同一个私有IP地址会转换到固定的公网IP地址。一对一地址转换当您有多个公有IP地址时，您可以固定地把您局域网内某台计算机的私有IP地址与公网IP地址建立映射关系。在这种模式下，您局域网里的计算机以及Internet上的计算机都可以通过访问该公网IP地址来访问对应的计算机。VLAN设置VLAN（Virtual LAN）即虚拟局域网，它可以将物理上互连

10、的网络在逻辑上划分为多个互不相干的网络，这些网络相互间不能直接通信，广播报文也被隔离，广播域被限制在一个VLAN内，节省带宽；通过划分VLAN也可以增强局域网的安全性以及组网的灵活性。同时本设备支持在每一个VLAN内配置独立的DHCP服务器，为VLAN内的PC分配IP地址。VLAN设置配置VLAN接口，包括VLAN接口的网关IP地址和子网掩码，该VLAN内的PC可以通过网关IP地址来管理设备；可以选择是否配置该VLAN接口的DHCP服务器，同时可以选择端口设置PVID为本VLAN。最多支持16个VLAN接口的配置VLAN ID配置VLAN接口的VLAN ID。VLAN网关IP地址配置VLAN接

11、口的IP地址。VLAN子网掩码配置VLAN接口的子网掩码。启用DHCP服务器配置VLAN接口是否开启DHCP服务器功能。地址池起始地址DHCP服务器地址池的起始地址，必须与VLAN接口地址设置在同一子网内。地址池结束地址DHCP服务器地址池的结束地址，必须与VLAN接口地址设置在同一子网内。地址池结束地址不能小于地址池起始地址。地址租约将IP地址分配给DHCP客户端使用的时间长度，单位为分钟，取值范围为111520分钟。缺省为1440分钟。客户端域名DHCP服务器分配给客户端使用的域名地址后缀。端口选择将选中端口的PVID设置为本VLAN。注意： 如果之前配置VLAN接口已经选中某端口，之后配

12、置的VLAN接口又选中该端口，则会自动把之前配置VLAN接口选中的端口去除。同时建议删除没有配置端口的VLAN。 Trunk口设置本页面提供配置各个LAN端口分别允许哪些VLAN报文通过，对于Trunk端口，不在端口允许通过的VLAN范围内的VLAN报文将被直接丢弃。Trunk口设置选择LAN端口，分别设置各个端口允许通过的VLAN。所有允许设置通过的VLAN个数不能超过16个。端口选择某个LAN端口，对该端口所允许通过的VLAN进行设置。允许通过的VLAN选中该项，您可以设置该端口允许通过的VLAN范围，支持以,分隔的离散VLAN以及以-分隔的连续VLAN段范围，如2,5,6-10。如果设置

13、的VLAN未创建对应的三层VLAN接口，则设备会自动创建对应的二层VLAN接口。允许通过所有的VLAN选中该项，则该端口允许当前设备创建的所有VLAN通过，同时之后新创建的VLAN也会自动允许通过。局域网设置LAN(VLAN1) 设置设置LAN接口的IP地址和子网掩码，内网的计算机可以通过LAN接口IP地址来管理本设备。IP地址配置LAN接口的IP地址。子网掩码配置LAN接口IP地址对应的子网掩码。LAN MAC 克隆设备出厂时，各个接口（LAN、WAN口）都有一个缺省的MAC地址，一般情况下，无需更改。有些组网环境中为了防止ARP攻击，给内网计算机都设了网关的静态ARP表项，这种情况下，如果

14、将原来的网关设备换成本设备（网关地址不变），计算机无法学习到新设备的MAC地址，您需要逐个修改内网中计算机的静态ARP表项才可使内网中的计算机正常上网。LAN MAC克隆功能可以免除这样的重复劳动，只需将新设备的LAN口MAC地址设为原来网关的MAC地址，内网计算机即可正常上网了。使用本设备MAC选中该项，LAN口MAC地址为出厂时的MAC地址。手工输入MAC选中该项，输入其他MAC地址，一般为原网关的MAC地址。DHCP 服务器本设备可以作为DHCP(Dynamic Host Configuration Protocol)服务器使用，为内网的PC分配IP地址。但是如果您的网络上同时启用一个以

15、上的DHCP服务器，将会出现冲突。建议在启用此功能前，把其它的DHCP服务器停用。如果您不需要使用本设备的DHCP功能，请不要勾选“启用DHCP服务器”选项。地址池起始地址DHCP服务器地址池的起始地址，必须与LAN接口地址设置在同一子网内。地址池结束地址DHCP服务器地址池的结束地址，必须与LAN接口地址设置在同一子网内。地址池结束地址不能小于地址池起始地址。地址租约将IP地址分配给DHCP客户端使用的时间长度，单位为分钟。客户端域名DHCP服务器分配给客户端使用的域名地址后缀。注意：LAN的所有设置在系统中以VLAN1接口存在。DHCP客户列表分配状态表列出了通过VLAN接口连接到本设备而

16、且是通过DHCP方式从本设备获取IP地址的所有PC的信息，包括IP地址、主机名、MAC地址等。随着连接的PC的数量的增加，这张表将增长到地址池定义的最大的地址数。按钮用于强制回收某一IP地址，使其可以被重新分配。例如，如果一台PC已经关机了，您就可以使用这个按钮来释放它原来获取到的IP。按钮用于回收除IPMAC绑定表外的所有已经分配的IP地址。注意： 只有本设备内的DHCP服务器被设置为启用的时候，才会维护更新这张表；通过IP/MAC绑定页面绑定的IP地址在此表中不能够被释放。端口设置可以配置LAN1、LAN2、LAN3的端口模式、广播风暴抑制、流控。端口模式 可以选择以下模式中的一种。注意：

17、除了自协商模式，其它需要与对端设备设置成相同的双工模式。Auto自协商模式。10M半双工10M半双工模式。10M全双工10M全双工模式。100M半双工100M半双工模式。100M全双工100M全双工模式。广播风暴抑制如果内网中有大量的广播报文（可能由病毒导致），会影响网络的正常通信。通过LAN口的广播风暴抑制功能，可以有效地抑制大量广播报文的传播，避免网络拥塞，保证网络业务的正常运行。注意：广播风暴抑制功能各个LAN口必须设置成一致，可以设置为不抑制、低、中、高，这四个级别允许通过的报文数依次减少。流控启用 流控是防止其它设备往本设备发送的报文太多，超出了最大转发能力，引起网络拥塞的情况。可以

18、设置LAN1/2/3的流控要求，打勾则启用流控，否则不启用。端口镜像端口镜像，可将被镜像端口的报文复制到镜像端口，以进行网络检测和故障排除。设备提供基于端口的镜像功能，可将被镜像端口的报文自动复制到镜像端口，实时提供各端口传输状况的详细资料，以便网络管理人员进行流量监控、性能分析和故障诊断。例如：将被镜像端口LAN1端口上的报文复制到镜像端口LAN2上，通过镜像端口LAN2上连接的协议分析仪进行分析和记录。镜像端口在这里，勾选需要的镜像端口，其中WAN口不可选。被镜像端口在这里，勾选需要的被镜像端口，其中WAN口和LAN口不能同时被选中，同一个端口不能既配置为镜像端口又配置为被镜像端口。镜像端

19、口的报文TAG方式用来确定镜像报文中是否包含VLAN TAGIP/MAC表IP/MAC绑定功能主要有两个作用：一个是按照IP/MAC绑定关系为DHCP客户端分配IP地址，另一个是仅允许内网中IP地址和MAC地址符合绑定关系的主机访问外网。（参考样例 ）如果用户配置了IP/MAC绑定规则表，并且启用了DHCP服务器功能，那么DHCP服务器将先从IP/MAC绑定规则表中为DHCP客户端分配IP地址；如果DHCP客户端的MAC地址不在该列表中，则从DHCP地址池中分配一个可用IP地址给该客户；如果绑定的IP地址与LAN口IP地址不在同一网段内时，DHCP服务器从地址池中查找一个可用地址分配给该客户端

20、，否则不分配；如果DHCP客户端绑定的IP地址被其它设备占用，则该DHCP客户端不能正常获取IP地址。用户还可以指定仅允许DHCP服务器分配的客户端访问外网，使用此功能后不在DHCP SERVER分配的客户列表中的客户端将无法访问外网。因此需要注意，在使能该功能后如果出现无法访问外网，请将管理PC设置为DHCP方式获取IP地址。用户还可以指定仅允许IP/MAC绑定规则表中的客户端访问外网，使用此功能后不在IP/MAC绑定规则中的客户端将无法访问外网。因此需要注意，在使能该功能前需要把管理PC的IP/MAC加入到IP/MAC绑定规则表中，否则启用该功能后，管理PC将无法访问外网。主机名输入进行I

21、P和MAC地址绑定的计算机名称。支持115个数字和英文字符。主机名可以重复。IP地址输入给该MAC地址分配的IP地址。IP地址可以不在本设备DHCP服务器分配的地址池内，但要与LAN口IP地址在同一子网内。MAC地址输入该计算机的MAC地址。输入格式为 xx:xx:xx:xx:xx:xx 。增加/修改配置好上述信息后，点击按钮将该项规则添加到IP/MAC绑定规则表中；如果是对一条已存在的IP/MAC绑定规则进行编辑，点击按钮将新的规则添加到IP/MAC绑定规则表中。ARP列表导入如果不想逐条添加IP/MAC绑定规则，可以选择从设备当前的ARP列表中导入IP/MAC绑定规则。只需要点击按钮，在弹

22、出菜单中选择想导入的IP/MAC信息，点击按钮即可。注意这种方式不能保证导入内网中所有的PC。导入/导出为了备份IP/MAC配置信息，可以点击按钮将配置信息保存在指定位置；如果配置丢失，可以使用按钮将之前备份的IP/MAC绑定规则重新导入。全选/编辑/删除全选用于选中IP/MAC绑定规则表中的所有绑定规则；如果需要删除IP/MAC绑定表中的一条或多条IP/MAC绑定规则，先选择需要删除的绑定规则，然后点击按钮即可；如果需要编辑一条已经存在的绑定规则，先选择该条规则，然后点击按钮，该条规则即出现在“IPMAC绑定表项”框内，编辑完毕后，点击按钮，即可将更改后的IP/MAC表项添加到IP/MAC绑

23、定规则表中。仅允许DHCP服务器分配的客户端访问外网选中该选框后，将启用“仅允许DHCP服务器分配的客户端访问外网”的功能。仅允许IP/MAC绑定的客户端访问外网选中该选框后，将启用“仅允许IP/MAC绑定规则表中的客户端访问外网”的功能。确定在所有配置完成后，点击按钮使所有配置生效。样例：为MAC地址为 00:11:22:33:44:55 的PC分配指定的IP地址 192.168.1.66 ，并且仅允许符合该IP/MAC绑定规则的PC访问外网。如下：1、主机名：superuser2、IP地址：192.168.1.663、MAC地址：00:11:22:33:44:554、点击按钮。5、选中“仅

24、允许IP/MAC绑定的客户端访问外网”选框。6、点击按钮。MAC过滤局域网内同一台计算机可以使用不同的IP地址，如果要通过IP地址控制就需要经常更换过滤规则，但是每台计算机的MAC地址是唯一的，通过MAC控制可以更有效的对局域网内计算机进行上网控制管理。（参考样例）启用MAC地址过滤功能选中该项，启用MAC地址过滤功能，并根据MAC地址列表中的MAC地址控制内网计算机访问因特网。如果不开启MAC地址过滤功能，局域网内的所有计算机都可以不受限制地访问因特网。仅允许MAC地址列表中的MAC访问外网在MAC地址列表中的计算机允许访问因特网 ，其他的都禁止访问因特网。仅禁止MAC地址列表中的MAC访问

25、外网在MAC地址列表中的计算机禁止访问因特网 ，其他的都允许访问因特网。增加添加需要控制的MAC地址。IP/MAC列表导入从IP/MAC绑定列表中导入其中的MAC地址列表。导入导入需要控制的MAC地址列表。导出导出所有的MAC地址列表。全选选择所有的MAC地址列表。删除删除选中的MAC地址列表。注意：MAC地址不区分大小写。样例：禁止MAC地址为00:0f:83:16:35:4d的计算机访问因特网。1、选择“启用MAC地址过滤功能”；2、选择“仅禁止MAC地址列表中的MAC访问外网”；3、在MAC地址表项中的MAC地址栏输入“00:0f:83:16:35:4d”，单击按钮之后单击按钮。URL过

26、滤如果您想禁止局域网内的计算机访问某些特定网站，即可通过设置URL过滤规则实现。（参考样例）启用URL过滤功能选中该项，可以通过URL地址对局域网内计算机进行上网控制。缺省情况下，不启用该功能。仅允许访问列表中的URL地址选中该项，仅允许局域网内计算机访问URL列表中的URL地址，其他的都禁止被访问。仅禁止访问列表中的URL地址选中该项，仅禁止局域网内计算机访问URL列表中的URL地址，其他的都允许被访问。URL地址文本框中输入要控制的站点域名或IP地址，支持163个数字和英文字符。增加添加需要控制的网站。导入导入需要控制的网站列表。导出导出所有的控制网站列表。全选选择所有的网站列表。删除删除

27、选中的网站列表。注意：网站控制功能只对Http协议(TCP:80)生效。样例：如果您想让内网的计算机都不能访问下面的网站：1、您可以在本设备上选中“启用URL过滤功能”；2、选择“仅禁止访问列表中的URL地址”；3、在URL过滤地址编辑框内输入，单击按钮之后单击按钮。样例：如果您想让内网的计算机只能访问下面的网站：1、您可以在本设备上选中“启动URL过滤功能”；2、选择“仅允许访问列表中的URL地址”；3、在URL过滤地址编辑框内输入，单击按钮之后单击按钮。如果禁止/允许多个网站时，可重复上述步骤。IM软件为了控制内网的计算机使用QQ或MSN，通过对本设备的设置，您可以限制内网的计算机登录QQ

28、或MSN。（参考样例）禁止QQ上线选中该项，启用禁止应用QQ的功能，内网的计算机将不能登录QQ服务器。缺省情况下不启用这个功能。禁止MSN上线选中该项，启用禁止应用MSN的功能，内网的计算机将不能登录MSN服务器。缺省情况下不启用这个功能。特权IP地址用来指定拥有特权的IP地址。QQ特权选中该项，则该特权IP拥有登录QQ的特权。MSN特权选中该项，则该特权IP拥有登录MSN的特权。增加添加当前的特权配置到特权列表中。全选选择所有的特权列表。删除删除选中的特权列表。编辑编辑选中的特权列表。样例：如果您不想让内网的计算机登录QQ1、您可以在本设备上启用“禁止QQ上线”功能。2、点击按钮。如果想控制

29、MSN，同上面的操作。样例：如果您只想让内网的计算机某台PC 登录QQ，例如192.168.1.10，您需要在启用“禁止QQ上线”功能的基础上，并设置如下特权1、在特权IP地址框中输入192.168.1.10-192.168.1.10。2、勾选QQ特权。3、单击按钮之后单击按钮。如果特权IP 有多个时，可重复上述步骤。金融软件通过对路由器的设置，您可以限制内网计算机使用常见的金融软件。（参考样例）禁止大智慧与分析家选中该项，启用禁止大智慧股票软件和分析家2006的功能，内网的计算机将不能使用大智慧和分析家2006。禁止同花顺选中该项，启用禁止同花顺股票软件的功能，内网的计算机将不能使用同花顺股票软件。禁止广发至强与光大证券选中该项，启用禁止广发至强版和光大证券股票软件的功能，内网的计算机将不能使用广发至强版和光大证券股票软件。禁止国元证券选中该项，启用禁止国元证券软件的功能，内网的计算机将不能使用国元证券软件。特权IP地址用来指定拥有特权的IP地址。增加添加当前的特权配置到特权列表中。全选选择所有的特权列表。删除删除选中的特权列表。编辑编辑选中的特权列表。注意：对于一些特殊的金融软件或软件版本，可以通过配置防火墙规则（安全专区-防火墙-出站通信策略）来进行定制，做到对软件访问的有效控制。样例：如果您不想让内网的计算机