H3C ER3200帮助

日志管理

日志信息可以帮助您快速定位设备故障或了解网络情况。设备提供的日志功能可记录设备在运行过程中的设置状态变化、网络攻击等信息。 下载 清除

日志记录等级 发送到日志服务器 本地不再显示日志

下载当前显示的日志信息到计算机。 清除当前显示的日志信息。

控制设备记录日志的等级。选中的等级和该等级以下的日志信息将被记录。 将系统产生的日志信息发送到日志服务器进行统一管理。您可以设置要发送到内网或外网的日志服务器。

选中该项，本页面不再显示新生成的日志信息。

设备维护

本设备的维护功能包括定位信息导出和设备自检功能。

设备自检功能用来帮助用户更清楚的了解设备的运行状况。用户在使用过程中，可以随时点击本页面中的<开始>按钮，检测设备的当前配置是否合理及运行是否正常等情况，设备将弹出页面分类显示检测结果。 设备自检项和主要内容如下表： 设备信息 网络信息

显示设备的基本项检测结果，包括设备当前的软硬件版本、WAN口模式、链路状态和当前系统时间。

显示设备的网络状态检测结果并根据检测结果做简单提示。检测结果包括WAN口速率、IP流量限制是否启用、网络连接数限制是否启用、是否有用户的实际流量或网络连接个数接近限制的值。

系统安全 故障诊断

显示设备的安全配置检测结果并根据检测结果做简单提示。检测结果包括上次登录设备的用户、时间，以及ARP防攻击和防火墙是否启用的信息。

显示设备的常见故障的检测结果，包括WAN口的通断记录以及对环回口、网关和主DNS的ping检测结果等信息。

诊断工具

Ping可用来检测网络，测试另一台设备或主机是否可达。

设置完成，点击<开始>后，系统开始进行检测。检测的过程和结果显示在当前页面，说明网络发包的测试情况和与测试主机的往返平均时延。

路由跟踪(Tracert)用来检查从设备到达目标主机所经过的路由情况。

设置完成，点击<开始>后，系统开始进行检测。检测的过程和结果显示在当前页面，在检测的过程中，您可以点击<停止>按钮，中止当前的测试。

目的IP地址 设置需要检测的主机地址，支持IP地址和域名。

连接到因特网

多WAN连接模式

多WAN连接模式包括主备模式和负载均衡模式。均衡模式支持“智能负载均衡”和“手动负载均衡”两种。 ? 主备模式：正常情况下，只有主链路处于工作状态，当主链路发生故障时，流量自动切换到备份链路；主链路恢复正常后，设备会自动将备份链路上的流量切换回主链路。

? 负载均衡模式：正常情况下，两条链路分担上网流量。当某条链路出现故障时，该链路被屏蔽，流量转到另一条链路。链路恢复正常后，流量重新分配到两条链路。

负载均衡模式支持“智能负载均衡”和“手动负载均衡”。两者都支持根据策略路由指定优先链路（设置路径：高级设置→路由设置→策略路由，具体请参见“策略路由”），以及根据目的IP地址指定优先链路（在本页面中的“负载均衡表”中设置，具体请参见“设置均衡路由策略”）。两者区别是，对未指定优先链路的流量，智能负载均衡根据链路带宽的比值，自动选择优先链路；手动负载均衡则都通过缺省链路转发。 ? WAN1、WAN2带宽设置：在智能均衡模式下，根据WAN1，WAN2口设置的带宽可以自动计算负载比例分担流量。流量分担按照当前的路由设置，对默认路由的报文进行管理，只有五元组（协议类型，源IP地址，目的IP地址，源端口，目的端口）不同的报文才会按照比例分担，即对于相同五元组的报文，每次都走同一条链路。

设置上网方式

WAN口接入到因特网可选择的上网方式有静态地址、动态地址和PPPoE。不同的运营商（如中国电信、中国网通）可能采用不同的接入方式，您必须选择正确的上网方式，具体信息您需要向运营商咨询。 静态地址(手工配置地址)： IP地址 子网掩码 缺省网关 MTU

主DNS服务器

设备的WAN口的IP地址。这个地址是必须的，开户时，由运营商提供。 设备的WAN口地址掩码。这个掩码是必须的，开户时，由运营商提供。 设备的WAN口网关地址。这个地址是必须的，开户时，由运营商提供。 WAN口最大传输单元。

运营商通常会提供给您至少一个域名服务器(DNS - Domain Name Server)地址，您可以输入在这里，域名服务器可以把诸如\这样的域名翻译成为实际的IP地址。

辅DNS服务器

如果运营商提供给您第二个DNS地址，请输入在这里，如果没有，不必填写。

动态地址(从DHCP服务器自动获取)：

如果选择了这个方式，那么IP地址、子网掩码、缺省网关、DNS服务器等参数可以自动从DHCP服务器获取到。 MTU

主DNS服务器

WAN口最大传输单元。

运营商通常会提供给您至少一个域名服务器(DNS - Domain Name Server)地址，您可以输入在这里，域名服务器可以把诸如\这样的域名翻译成为实际的IP地址。

辅DNS服务器 主机名

如果运营商提供给您第二个DNS地址，请输入在这里，如果没有，不必填写。 在使用DHCP获取IP参数的时候，DHCP服务希望您能告诉它您的机器名。这个是可选项，您可以留空。

PPPoE(大部分的宽带网或xDSL) PPPoE用户名 PPPoE密码 MTU

主DNS服务器

输入PPPoE拨号时使用的用户名，这是必须的。开户时，由运营商提供。 输入PPPoE拨号时使用的密码，这是必须的。开户时，由运营商提供。 WAN口最大传输单元。

运营商通常会提供给您至少一个域名服务器(DNS - Domain Name Server)地址，您可以输入在这里，域名服务器可以把诸如\这样的域名翻译成为实际的IP地址。

辅DNS服务器 服务器名（AC-Name） 服务名

如果运营商提供给您第二个DNS地址，请输入在这里，如果没有，不必填写。 PPPoE服务器名称。

PPPoE服务名称。

（Service-Name） 均衡路由表

选择负载均衡模式后，可以通过设置均衡路由表，使访问特定目的IP地址的报文按指定的链路进行转发。比如您可以通过先设置均衡路由表，使访问网通的流量都通过WAN2口转发，再选择手动均衡模式，指定

缺省链路为WAN1，使非访问网通的流量都通过WAN1口转发，这就可以达到“电信走电信，网通走网通”的目的。均衡路由表最多支持2000条表项 添加导入 覆盖导入 导出 删除全部 导入文件的格式

此时会在原有配置表项的基础上添加，直到达到最大规格数

此时首先删除原有配置表项，然后导入对应文件中的表项，直到达到最大规格数 将原有配置表项导出到默认的配置文件或者用户指定的文件中 此时删除所有均衡路由表项配置

导入文件必须是.cfg文件，其中的表项格式为: 描述;目的IP地址;子网掩码;出接口;是否启用 每条表项必须单独为一行，并且行尾不能存在空格

对本条均衡策略的说明，可选择配置，最长允许15个字符。 输入网段地址，到该网段的报文会从指定的出接口转发。 目的IP地址的子网掩码

指定报文通过设备转发时的出接口，可选择WAN1或WAN2。 如果需要启用，则配置为1，否则配置为0。

假设用户需要导入两条目的地为100.0.0.0和101.0.0.0，掩码都为255.0.0.0，出接口分别为WAN1和WAN2，并且第一条启用，第二条禁用的均衡路由，则导入文件的内容为:

描述 目的IP地址 子网掩码 出接口 是否启用 举例

;100.0.0.0;255.0.0.0;WAN1;1 ;101.0.0.0;255.0.0.0;WAN2;0

WAN口状态检测

不论是主备模式，还是负载均衡模式，如果需要实时监控线路状态，保证一条线路发生故障时能切换到另一条线路，可以设置WAN口状态检测功能。

? 启用WAN口状态检测后，如果没有指定检测方式（PING/DNS/NTP ），设备会使用缺省的检测方式，即向 WAN 口对应的网关发送 Ping 报文，以检测设备与网关之间的通信是否正常。

? 启用WAN口状态检测后，如果您指定了一种或多种检测方式（PING/DNS/NTP），设备会采用您指定的检测方式，同时缺省的检测方式不生效。为了检测的有效性，可以同时使用多种检测方式。 启用WAN网口检测 选中该项，则启用WAN口状态检测功能，否则禁用该功能。 检测报文发送间隔 发送检测报文的间隔，缺省是1秒。 PING检测 DNS检测 NTP检测

输入目的IP地址，设备会向指定目的IP地址发送Ping包，有响应认为线路正常。 输入需要DNS解析的域名，设备会向当前接口的DNS服务器发送DNS请求，有响应认为线路正常。

输入NTP服务器IP地址，设备会向NTP服务器发送NTP时间请求，有响应认为线路正常。

WAN口MAC地址克隆

WAN口MAC地址克隆 使用本设备的MAC

使用这台PC的MAC

手工输入MAC

选中该项，设备将使用出厂时的MAC地址。缺省选中该项。

选中该项，这将把设备的MAC地址设置为您现在正在管理设备的计算机的MAC地址。如果您以前是使用这台计算机上网，而现在要用本设备上网，则可以选中这个选项。 选中该项，输入运营商指定注册的MAC地址。

网口模式

在这里您可以设置WAN口的连接速度和双工模式。

NAT设置

NAT模式

缺省情况下，设备使用了地址转换。当您需要将设备作为普通路由器使用时，您可以在这里禁用地址转换。当您禁用地址转换后，NAT设置和一对一NAT转换功能将不会生效。 使用地址转换

选中该项，设备会根据您的配置对WAN接口发出去的数据包做NAT转换。缺省选中该项。

不使用地址转换 选中该项，设备不会对WAN接口发出去的数据包做NAT转换。 NAT转换

您局域网里的计算机在访问Internet时，需要将其私有的IP地址转换成运营商为您分配的公有IP地址。 自动使用WAN接口的IP地址 地址

一对一地址转换

当您有多个公有IP地址时，您可以固定地把您局域网内某台计算机的私有IP地址与公网IP地址建立映射关系。在这种模式下，您局域网里的计算机以及Internet上的计算机都可以通过访问该公网IP地址来访问对应的计算机。

选中该项，NAT会自动使用WAN接口当前的IP地址作为转换地址。缺省选中该项。

使用地址池中的IP选中该项，NAT会使用您输入的IP地址范围作为转换地址，在该选项下，同一个私有

IP地址会转换到固定的公网IP地址。

VLAN设置

VLAN（Virtual LAN）即虚拟局域网，它可以将物理上互连的网络在逻辑上划分为多个互不相干的网络，这些网络相互间不能直接通信，广播报文也被隔离，广播域被限制在一个VLAN内，节省带宽；通过划分VLAN也可以增强局域网的安全性以及组网的灵活性。同时本设备支持在每一个VLAN内配置独立的DHCP服务器，为VLAN内的PC分配IP地址。 VLAN设置

配置VLAN接口，包括VLAN接口的网关IP地址和子网掩码，该VLAN内的PC可以通过网关IP地址来管理设备；可以选择是否配置该VLAN接口的DHCP服务器，同时可以选择LAN端口设置PVID为本VLAN。最多支持16个VLAN接口的配置。 VLAN ID VLAN子网掩码 地址池起始地址 地址池结束地址 地址租约 客户端域名 端口选择

配置VLAN接口的VLAN ID。 配置VLAN接口的子网掩码。

DHCP服务器地址池的起始地址，必须与VLAN接口地址设置在同一子网内。 DHCP服务器地址池的结束地址，必须与VLAN接口地址设置在同一子网内。地址池结束地址不能小于地址池起始地址。

将IP地址分配给DHCP客户端使用的时间长度，单位为分钟，取值范围为1～11520分钟。缺省为1440分钟。

DHCP服务器分配给客户端使用的域名地址后缀。 将选中LAN端口的PVID设置为本VLAN。

VLAN网关IP地址 配置VLAN接口的IP地址。

启用DHCP服务器 配置VLAN接口是否开启DHCP服务器功能。

注意： 如果之前配置VLAN接口已经选中某LAN端口，之后配置的VLAN接口又选中该LAN端口，则会自动把之前配置VLAN接口选中的LAN端口去除。同时建议删除没有配置LAN端口的VLAN。

Trunk口设置

本页面提供配置各个LAN端口分别允许哪些VLAN报文通过，对于Trunk端口，不在端口允许通过的VLAN范围内的VLAN报文将被直接丢弃。 Trunk口设置

选择LAN端口，分别设置各个端口允许通过的VLAN。所有允许设置通过的VLAN个数不能超过16个。 端口

选择某个LAN端口，对该端口所允许通过的VLAN进行设置。

及以'-'分隔的连续VLAN段范围，如2,5,6-10。如果设置的VLAN未创建对应的三层VLAN接口，则设备会自动创建对应的二层VLAN接口。

允许通过所有的VLAN

选中该项，则该端口允许当前设备创建的所有VLAN通过，同时之后新创建的VLAN也会自动允许通过。

允许通过的VLAN 选中该项，您可以设置该端口允许通过的VLAN范围，支持以','分隔的离散VLAN以

局域网设置

LAN(VLAN1) 设置

设置LAN接口的IP地址和子网掩码，内网的计算机可以通过LAN接口IP地址来管理本设备。 IP地址 子网掩码 DHCP 服务器

本设备可以作为DHCP(Dynamic Host Configuration Protocol)服务器使用，为内网的PC分配IP地址。但是如果您的网络上同时启用一个以上的DHCP服务器，将会出现冲突。建议在启用此功能前，把其它的DHCP服务器停用。如果您不需要使用本设备的DHCP功能，请不要勾选“启用DHCP服务器”选项。 地址池起始地址 地址池结束地址 地址租约 客户端域名 DHCP全局配置

通过此项配置，可以对全局DHCP服务器的参数进行配置。 主DNS服务器

配置DHCP SERVER分配IP地址时携带的主DNS服务器地址。

DHCP服务器地址池的起始地址，必须与LAN接口地址设置在同一子网内。 DHCP服务器地址池的结束地址，必须与LAN接口地址设置在同一子网内。地址池结束地址不能小于地址池起始地址。

将IP地址分配给DHCP客户端使用的时间长度，单位为分钟。 DHCP服务器分配给客户端使用的域名地址后缀。 配置LAN接口的IP地址。

配置LAN接口IP地址对应的子网掩码。

辅DNS服务器 配置DHCP SERVER分配IP地址时携带的辅DNS服务器地址。

注意：LAN的所有设置在系统中以VLAN1接口存在。 MAC 克隆

设备出厂时，各个接口（LAN、WAN口）都有一个缺省的MAC地址，一般情况下，无需更改。有些组网环境中为了防止ARP攻击，给内网计算机都设了网关的静态ARP表项，这种情况下，如果将原来的网关设备换成本设备（网关地址不变），计算机无法学习到新设备的MAC地址，您需要逐个修改内网中计算机的静态ARP表项才可使内网中的计算机正常上网。这里的MAC克隆功能可以免除这样的重复劳动，只需将新设备的LAN口MAC地址设为原来网关的MAC地址，内网计算机即可正常上网了。 使用本设备MAC 选中该项，LAN、VLAN口MAC地址为出厂时的MAC地址。 手工输入MAC

选中该项，输入其他MAC地址，一般为原网关的MAC地址。

DHCP客户列表

分配状态表列出了通过VLAN接口连接到本设备而且是通过DHCP方式从本设备获取IP地址的所有PC的信息，包括IP地址、主机名、MAC地址等。随着连接的PC的数量的增加，这张表将增长到地址池定义的最大的地址数。<释放>按钮用于强制回收某一IP地址，使其可以被重新分配。例如，如果一台PC已经关机了，您就可以使用这个按钮来释放它原来获取到的IP。<全部释放>按钮用于回收除IPMAC绑定表外的所有已经分配的IP地址。

注意： 只有本设备内的DHCP服务器被设置为启用的时候，才会维护更新这张表；通过IP/MAC绑定页面绑定的IP地址在此表中不能够被释放。

端口设置

可以配置端口模式、广播风暴抑制、流控。 端口模式

可以选择以下模式中的一种。注意：除了自协商模式，其它需要与对端设备设置成相同的双工模式。 Auto 10M半双工

自协商模式。 10M半双工模式。

10M全双工 100M半双工 100M全双工 广播风暴抑制

10M全双工模式。 100M半双工模式。 100M全双工模式。

如果内网中有大量的广播报文（可能由病毒导致），会影响网络的正常通信。通过LAN口的广播风暴抑制功能，可以有效地抑制大量广播报文的传播，避免网络拥塞，保证网络业务的正常运行。

注意：广播风暴抑制功能各个LAN口必须设置成一致，可以设置为不抑制、低、中、高，这四个级别允许通过的报文数依次减少。 流控启用

流控是防止其它设备往本设备发送的报文太多，超出了最大转发能力，引起网络拥塞的情况。打勾则启用流控，否则不启用。

端口镜像

端口镜像，可将被镜像端口的报文复制到镜像端口，以进行网络检测和故障排除。设备提供基于端口的镜像功能，可将被镜像端口的报文自动复制到镜像端口，实时提供各端口传输状况的详细资料，以便网络管理人员进行流量监控、性能分析和故障诊断。例如：将被镜像端口LAN1端口上的报文复制到镜像端口LAN2上，通过镜像端口LAN2上连接的协议分析仪进行分析和记录。 镜像端口

在这里，勾选需要的镜像端口，其中WAN口不可选。 被镜像端口

在这里，勾选需要的被镜像端口，其中WAN口和LAN口不能同时被选中，同一个端口不能既配置为镜像端口又配置为被镜像端口。 镜像端口的报文TAG方式

用来确定镜像报文中是否包含VLAN TAG

IP/MAC表

IP/MAC绑定功能主要有两个作用：一个是按照IP/MAC绑定关系为DHCP客户端分配IP地址，另一个是仅允许内网中IP地址和MAC地址符合绑定关系的主机访问外网。（参考样例 ）

如果用户配置了IP/MAC绑定规则表，并且启用了DHCP服务器功能，那么DHCP服务器将先从IP/MAC绑定规则表中为DHCP客户端分配IP地址；如果DHCP客户端的MAC地址不在该列表中，则从DHCP地址池中分配一个可用IP地址给该客户；如果绑定的IP地址与LAN口IP地址不在同一网段内时，DHCP服务器从地址池中查找一个可用地址分配给该客户端，否则不分配；如果DHCP客户端绑定的IP地址被其它设备占用，则该DHCP客户端不能正常获取IP地址。

用户还可以指定仅允许DHCP服务器分配的客户端访问外网，使用此功能后不在DHCP SERVER分配的客户列表中的客户端将无法访问外网。因此需要注意，在使能该功能后如果出现无法访问外网，请将管理PC设置为DHCP方式获取IP地址。

用户还可以指定仅允许IP/MAC绑定规则表中的客户端访问外网，使用此功能后不在IP/MAC绑定规则中的客户端将无法访问外网。因此需要注意，在使能该功能前需要把管理PC的IP/MAC加入到IP/MAC绑定规则表中，否则启用该功能后，管理PC将无法访问外网。 主机名 IP地址 MAC地址 增加/修改

输入进行IP和MAC地址绑定的计算机名称。支持1～15个数字和英文字符。主机名可以重复。

输入给该MAC地址分配的IP地址。IP地址可以不在本设备DHCP服务器分配的地址池内，但要与LAN口IP地址在同一子网内。

输入该计算机的MAC地址。输入格式为 xx:xx:xx:xx:xx:xx 。

配置好上述信息后，点击<增加>按钮将该项规则添加到IP/MAC绑定规则表中；如果是对一条已存在的IP/MAC绑定规则进行编辑，点击<修改>按钮将新的规则添加到IP/MAC绑定规则表中。

ARP列表导入

如果不想逐条添加IP/MAC绑定规则，可以选择从设备当前的ARP列表中导入IP/MAC绑定规则。只需要点击按钮，在弹出菜单中可以选择在某一网段中搜索ARP，并且可以指定搜索的范围，搜索完毕后在ARP列表中选择想导入的IP/MAC信息，点击<确定>按钮即可。注意当ARP表项达到512时系统可能会老化不活跃的ARP表项。

导入/导出 全选/编辑/删除

为了备份IP/MAC配置信息，可以点击<导出>按钮将配置信息保存在指定位置；如果配置丢失，可以使用<导入>按钮将之前备份的IP/MAC绑定规则重新导入。 全选用于选中IP/MAC绑定规则表中的所有绑定规则；如果需要删除IP/MAC绑定表中的一条或多条IP/MAC绑定规则，先选择需要删除的绑定规则，然后点击<删除>按钮即可；如果需要编辑一条已经存在的绑定规则，先选择该条规则，然后点击<编辑>按钮，该条规则即出现在“IPMAC绑定表项”框内，编辑完毕后，点击<修改>按钮，即可将更改后的IP/MAC表项添加到IP/MAC绑定规则表中。

仅允许DHCP服务器分配的客户端访问外网 仅允许IP/MAC绑定的客户端访问外网 确定

选中该选框后，将启用“仅允许DHCP服务器分配的客户端访问外网”的功能。 选中该选框后，将启用“仅允许IP/MAC绑定规则表中的客户端访问外网”的功能。 在所有配置完成后，点击<确定>按钮使所有配置生效。

样例：为MAC地址为 00:11:22:33:44:55 的PC分配指定的IP地址 192.168.1.66 ，并且仅允许符合该IP/MAC绑定规则的PC访问外网。如下：

1、主机名：superuser 2、IP地址：192.168.1.66

3、MAC地址：00:11:22:33:44:55 4、点击<增加>按钮。

5、选中“仅允许IP/MAC绑定的客户端访问外网”选框。 6、点击<确定>按钮。

MAC过滤

局域网内同一台计算机可以使用不同的IP地址，如果要通过IP地址控制就需要经常更换过滤规则，但是每台计算机的MAC地址是唯一的，通过MAC控制可以更有效的对局域网内计算机进行上网控制管理。（参考样例）

选中该项，启用MAC地址过滤功能，并根据MAC地址列表中的MAC地址控制内网计算机访问因特网。如果不开启MAC地址过滤功能，局域网内的所有计算机都可以不受限制地访问因特网。

启用MAC地址过滤功能

仅允许MAC地址列

表中的MAC访问外在MAC地址列表中的计算机允许访问因特网 ，其他的都禁止访问因特网。 网

仅禁止MAC地址列

表中的MAC访问外在MAC地址列表中的计算机禁止访问因特网 ，其他的都允许访问因特网。 网 增加 导入 导出 全选 删除

添加需要控制的MAC地址。 导入需要控制的MAC地址列表。 导出所有的MAC地址列表。 选择所有的MAC地址列表。 删除选中的MAC地址列表。

IP/MAC列表导入 从IP/MAC绑定列表中导入其中的MAC地址列表。

注意：MAC地址不区分大小写。

样例：禁止MAC地址为00:0f:83:16:35:4d的计算机访问因特网。 1、选择“启用MAC地址过滤功能”；

2、选择“仅禁止MAC地址列表中的MAC访问外网”；

3、在MAC地址表项中的MAC地址栏输入“00:0f:83:16:35:4d”，单击<增加>按钮之后单击<确定>按钮。

URL过滤

如果您想禁止局域网内的计算机访问某些特定网站，即可通过设置URL过滤规则实现。（参考样例）

选中该项，可以通过URL地址对局域网内计算机进行上网控制。缺省情况下，不启用该功能。 问。 问。

文本框中输入要控制的站点域名或IP地址，支持1～63个数字和英文字符。 添加需要控制的网站。 导入需要控制的网站列表。 导出所有的控制网站列表。 选择所有的网站列表。 删除选中的网站列表。

启用URL过滤功能

仅允许访问列表中的选中该项，仅允许局域网内计算机访问URL列表中的URL地址，其他的都禁止被访URL地址 URL地址 URL地址 增加 导入 导出 全选 删除

仅禁止访问列表中的选中该项，仅禁止局域网内计算机访问URL列表中的URL地址，其他的都允许被访

注意：网站控制功能只对Http协议(TCP:80)生效。

样例：如果您想让内网的计算机都不能访问下面的网站：www.abc.com 1、您可以在本设备上选中“启用URL过滤功能”； 2、选择“仅禁止访问列表中的URL地址”；

3、在URL过滤地址编辑框内输入www.abc.com，单击<增加>按钮之后单击<确定>按钮。 样例：如果您想让内网的计算机只能访问下面的网站：http://123456.com 1、您可以在本设备上选中“启动URL过滤功能”； 2、选择“仅允许访问列表中的URL地址”；

3、在URL过滤地址编辑框内输入123456.com，单击<增加>按钮之后单击<确定>按钮。 如果禁止/允许多个网站时，可重复上述步骤。

IM软件

为了控制内网的计算机使用QQ或MSN，通过对本设备的设置，您可以限制内网的计算机登录QQ或MSN。（参考样例）

选中该项，启用禁止应用QQ的功能，内网的计算机将不能登录QQ服务器。缺省情况下不启用这个功能。

选中该项，启用禁止应用MSN的功能，内网的计算机将不能登录MSN服务器。缺省情况下不启用这个功能。

RTX与QQ属于类似业务，如需禁止QQ上线但仍需使用RTX，请配置RTX服务器地址。

禁止QQ上线 禁止MSN上线 RTX服务器地址

特权IP地址 QQ特权 MSN特权 增加 全选 删除 编辑

用来指定拥有特权的IP地址。

选中该项，则该特权IP拥有登录QQ的特权。 选中该项，则该特权IP拥有登录MSN的特权。 添加当前的特权配置到特权列表中。 选择所有的特权列表。 删除选中的特权列表。 编辑选中的特权列表。

样例：如果您不想让内网的计算机登录QQ 1、您可以在本设备上启用“禁止QQ上线”功能。 2、点击<确定>按钮。

如果想控制MSN，同上面的操作。

样例：如果您只想让内网的计算机某台PC 登录QQ，例如192.168.1.10，您需要在启用“禁止QQ上线”功能的基础上，并设置如下特权

1、在特权IP地址框中输入192.168.1.10-192.168.1.10。 2、勾选QQ特权。

3、单击<增加>按钮之后单击<确定>按钮。 如果特权IP 有多个时，可重复上述步骤。

金融软件

通过对路由器的设置，您可以限制内网计算机使用常见的金融软件。（参考样例）

选中该项，启用禁止大智慧股票软件和分析家2006的功能，内网的计算机将不能使禁止大智慧与分析家

用大智慧和分析家2006。 禁止同花顺

选中该项，启用禁止同花顺股票软件的功能，内网的计算机将不能使用同花顺股票软件。

用广发至强版和光大证券股票软件。

选中该项，启用禁止国元证券软件的功能，内网的计算机将不能使用国元证券软件。 用来指定拥有特权的IP地址。 添加当前的特权配置到特权列表中。 选择所有的特权列表。 删除选中的特权列表。 编辑选中的特权列表。

禁止广发至强与光大选中该项，启用禁止广发至强版和光大证券股票软件的功能，内网的计算机将不能使证券

禁止国元证券 特权IP地址 增加 全选 删除 编辑

注意：对于一些特殊的金融软件或软件版本，可以通过配置防火墙规则（\安全专区\防火墙\出站通信策略\）来进行定制，做到对软件访问的有效控制。

样例：如果您不想让内网的计算机使用某种或是所有的股票软件 1、您可以在路由器上启用相应“禁止”功能。 2、点击<确定>按钮。

样例：如果您只想让内网的某台PC 拥有特殊的权限，可以启用特权设置 1、在特权IP地址框中输入192.168.1.10-192.168.1.10(可输入范围段)。 2、输入描述信息。

3、单击<增加>按钮之后单击<确定>按钮。 如果特权IP 有多个时，可重复上述步骤。

防火墙快速设置

为了方便您对设备整体的防火墙策略进行设置，你可以设置是否启用防火墙功能、防火墙出站/入站通信方向的缺省策略。

启用防火墙功能 选中\启用防火墙功能后\后，设备将按照设置的出站通信/入站通信的防火墙策略及规则

进行工作。缺省情况下，启用防火墙功能。

出站通信缺省策略 此选项用于决定当一个数据包在出站通信方向上未匹配上任何防火墙规则时，设备该如

何对该数据包进行处理。如果配置为\允许\，则允许该数据包通过；如果配置为\禁止\，则禁止该数据包通过。缺省情况下，出站通信缺省策略为\允许\。注意：更改此选项时，已配置的防火墙策略将会被清空。

入站通信缺省策略 此选项用于决定当一个数据包在入站通信方向上未匹配上任何防火墙规则时，设备该如

何对该数据包进行处理。此选项不允许更改，缺省为\禁止\，即对所有入站通信方向上且未匹配上任何防火墙规则的数据包进行丢弃处理。

确定

在所有配置完成后，点击<确定>按钮使所有配置生效。

样例：如果想开启防火墙功能，并且不允许内网的机器随意访问外网资源，则进行如下配置如下： 1、选中启用防火墙功能;

2、出站通信缺省策略下拉框选择\禁止\3、入站通信缺省策略下拉框选择\禁止\4、点击<确定>按钮。

出站通信策略

为了方便您对内网计算机访问外网资源进行统一管理，您可以通过出站通信策略进行相关设置。出站通信策略设置主要对防火墙在出站通信方向上的访问控制策略进行设置。可使用数据包的源接口、源地址、目的IP地址、服务类型及生效时间来控制局域网内的计算机访问因特网。（参考样例） 策略类型

用于描述出站通信方向上访问控制规则的策略类型，为\允许\或\禁止\，此处不可以配置。策略类型与出站通信方向上的缺省策略相关，如果出站通信缺省策略配置为\允许\，则此处策略类型显示为禁止；如果出站通信缺省策略配置为\禁止\，则此处策略类型显示为允许。

源接口 源地址

用于描述数据包的来源接口，通过此配置项可以对从某一接口收到的数据包进行控制。此处只能选择设备LAN侧的接口。

输入需要控制的源地址类型，可选择的类型为：\地址段\、\地址\、\用户组\。如果无需控制源地址，可选择\所有地址\。

IP地址段：通过源IP地址范围对局域网中的PC进行控制； MAC地址：通过源MAC地址对局域网中的PC进行控制；

用户组：通过预先划分好的用户组对局域网中的PC进行控制，用户组成员可以是IP地址、MAC地址或两者的组合，有关用户组的设置请参见组管理设置页面；

目的地址IP段 服务类型

输入需要控制的目的IP地址段。如果无需控制目的地址，此项设置为：0.0.0.0～255.255.255.255。起始IP地址不能大于目的IP地址。

内网中计算机访问因特网的服务类型。服务类型由两部分内容构成:使用的协议类型以及所使用的端口范围。系统预定义了一些网络中的常用服务，可以通过下拉列表进行选择，用户也可点击<服务类型>按钮添加自定义服务类型，有关服务类型的设置请参见服务类型管理页面。如\服务类型表示对内网计算机通过telnet访问因特网进行控制。

生效时间

选择防火墙策略的生效时间。生效时间包括两部分内容：在一天中生效的时间段，时间使用24小时制，起始时间应早于终止时间，00：00～24:00表示该规则在一天内任何时间都生效；一周中哪些天规则生效。

增加 全选 删除 编辑

点击该按钮后，会将刚刚配置的出站通信策略添加到出站通信策略列表当中。 选择所有的出站通信策略规则。 删除选中的出站通信策略规则。

如果需要编辑一条已经存在的出站通信策略，先选择该条策略，然后点击<编辑>按钮，该条规则即出现在“出站通信策略设置”框内，编辑完毕后，点击<修改>按钮，即可将更改后的出站通信策略添加到出站通信策略规则表中。

确定

在所有配置完成后，点击<确定>按钮使所有配置生效。

样例：如果要让内网IP地址为 192.168.1.20~192.168.1.25 的计算机，星期一到星期五，每天08:00~20:00禁止访问目的IP地址为 210.122.6.12 的网站。配置如下： 1、源接口下拉框选择\所有接口\2、源地址下拉框选择\地址段\

3、源IP地址段输入框内分别输入\和\4、目的IP地址段输入框内分别输入\和\5、服务类型下拉框选择\所有服务\

6、生效时间输入框内分别输入\和\，并选中\一\、\二\、\三\、\四\、\五\；

7、点击<增加>和<确定>按钮

样例：如果您不想让 192.168.1.3 的计算机使用Email往因特网发送文件，但是允许接收Email。因为发送Email使用的是SMTP协议，而接收Email使用的是POP协议，所以您就可以通过禁止 192.168.1.3 的计算机访问SMTP协议来达到目的。配置如下： 1、源接口下拉框选择\所有接口\2、源地址下拉框选择\地址段\

3、源IP地址段输入框内分别输入\和\4、目的IP地址段输入框内分别输入\和\5、服务类型下拉框选择\

6、生效时间输入框内分别输入\和\，并选中\日\、\一\、\二\、\三\、\四\、\五\、\六\； 7、点击<增加>和<确定>按钮。

入站通信策略

为了方便您对外网计算机访问内网网资源进行控制，您可以通过入站通信策略进行相关设置。入站通信策略设置主要对防火墙在入站通信方向上的访问控制策略进行设置。可使用数据包的源接口、源IP地址段、目的IP地址、服务类型及生效时间来控制因特网中的计算机访问内网中的资源。（参考样例） 策略类型

用于描述入站通信方向上访问控制规则的策略类型，为\允许\或\禁止\，此处不可以配置。策略类型与入站通信方向上的缺省策略相关，如果入站通信缺省策略配置为\禁止\，则此处策略类型显示为允许。

源接口 源IP地址段 目的IP地址 服务类型

用于描述数据包的来源接口，通过此配置项可以对从某一接口收到的数据包进行控制。此处只能选择设备WAN侧的接口。

输入需要控制的源IP地址段。如果无需控制源IP地址，此项设置为：0.0.0.0～255.255.255.255。起始IP地址不能大于目的IP地址。

输入需要控制的目的IP地址。目的IP地址必须填写，如果目的IP地址为0.0.0.0，则表示不关心目的IP地址。

外网计算机访问内网资源的服务类型。服务类型由两部分内容构成:使用的协议类型以及所使用的端口范围。系统预定义了一些网络中的常用服务，可以通过下拉列表进行选择，用户也可点击<服务类型>按钮添加自定义服务类型，有关服务类型的设置请参见服务类型管理页面。

生效时间

选择防火墙策略的生效时间。生效时间包括两部分内容：在一天中生效的时间段，时间使用24小时制，起始时间应早于终止时间，00：00～24:00表示该规则在一天内任何时间都生效；一周中哪些天规则生效。

增加 全选 删除 编辑

点击该按钮后，会将刚刚配置的入站通信策略添加到入站通信策略列表当中。 选择所有的入站通信策略规则。 删除选中的入站通信策略规则。

如果需要编辑一条已经存在的入站通信策略，先选择该条策略，然后点击<编辑>按钮，该条规则即出现在“入站通信策略设置”框内，编辑完毕后，点击<修改>按钮，即可将更改后的入站通信策略添加到入站通信策略规则表中。

确定 在所有配置完成后，点击<确定>按钮使所有配置生效。

样例可以参见出站通信策略设置中的样例。

组管理

组管理可以将局域网中的用户划分到不同的用户组中，对每一用户组设置不同的防火墙策略，从而可以实现对具有相同特征的用户设置相同的防火墙策略。 用户组 用户组名 修改 用户名 地址类型 IP地址 MAC地址 增加 全选 删除 编辑

选择需要设置的预定义用户组。

设置所选择的用户组的名字。该名字会作为提示信息显示在用户组的旁边，可以提示用户该用户组中的用户特征。

点击<修改>将完成对用户组名的修改，立即生效。

设置所添加的用户的名字。 该名字用于标识该用户的特征，此项内容可以不添。 选择区分该用户所使用的地址类型，可以选择\地址类型\或者\地址类型\。 输入用于标识该用户的IP地址，仅仅当地址类型选择为\地址类型\时，才会显示此配置项。

输入用于标识该用户的MAC地址，仅仅当地址类型选择为\地址类型\时，才会显示此配置项。

点击该按钮后，会将刚刚配置的用户添加到选中的用户列表当中。 选择当前用户组中包含的所有用户。 从当前用户组中删除选中的用户。

如果需要编辑一条已经存在的用户，先选择该用户，然后点击<编辑>按钮，该用户即出现在“组管理”框内，编辑完毕后，点击<修改>按钮，即可将更改后的用户添加到该用户组列表中。

确定

在所有配置完成后，点击<确定>按钮使所有配置生效。

服务类型管理

为了让您能够在定制防火墙策略时比较方便地指定需要过滤的协议和端口号，设备提供了服务类型管理功能。每一个服务类型由协议和端口号两部分构成，系统已经预定义了常用的服务类型，例如:HTTP、FTP、TELNET等，您也可以根据需要添加自定义服务类型。 服务类型

服务类型名称，用户自定义服务类型名称不能与系统预定义服务类型名称重复。该名称会显示在防火墙策略设置页面中的\服务类型\下拉框当中。

协议

目的端口范围 增加 全选 删除 编辑

该服务所使用的协议类型，可选择\、\或\。此处的ALL指的是TCP或UDP，并不包含其它协议。

该服务所使用的端口号范围，起始端口号不能大于结束端口号。 点击该按钮后，会将刚刚配置的服务类型添加服务类型列表当中。 选择所有的用户自定义服务类型。 删除选中的用户自定义服务类型。

如果需要编辑一条已经存在的自定义服务类型，先选择该服务类型，然后点击<编辑>按钮，该服务类型即出现在“服务类型管理”框内，编辑完毕后，点击<修改>按钮，即可将更改后的服务类型添加到服务类型列表中。

确定 在所有配置完成后，点击<确定>按钮使所有配置生效。

样例：如果需要增加一个MYTEST服务类型，其可能使用TCP或者UDP协议，但其使用的端口号范围为2600~2650。配置如下：

1、服务类型输入框输入\2、协议类型下拉框选择\

3、目的端口范围输入框分别输入\7、点击<增加>和<确定>按钮。

ARP防攻击

为了防止某些主机对网关设备进行恶意的ARP攻击，ARP防攻击功能可以对指定规则的ARP数据包进行过滤，从而在一定程度上防止ARP攻击。在当前的ARP防攻击功能中，分为两个层面，一个是ARP防攻击，另一个是ARP防欺骗。

ARP防攻击功能主要防止内网大量的无效ARP请求数据包导致设备的ARP表项占满，从而使正常PC无法访问设备或是外网的情况。该功能是与IP/MAC绑定规则表或者DHCP SERVER分配的客户列表配合共同实现的。启用该功能后，还需要选择优先信任的ARP表项来源，用户可以选择优先信任IPMAC绑定表中的IP、MAC对应关系，也可以选择优先信任DHCP SERVER所分配的客户列表中的IP、MAC对应关系。

ARP防欺骗功能主要防止某些PC冒充网关设备的IP地址发送ARP信息，导致正常PC无法访问设备或外网的情况。启用该功能后，用户还可以选择是否让网关设备定期向LAN内或WAN侧发送其自己的ARP信息（主动发送免费ARP报文），以更新与本设备相关的ARP信息。

样例：如果您想定义比较严格的ARP防攻击功能，既启用ARP防攻击又启用ARP防欺骗，并且让网关设备每隔1分钟主动发送其自己的ARP信息。具体操作如下： 1、在“IP/MAC表”页面添加内网所有PC的IP/MAC绑定信息； 2、在“ARP防攻击”页面选中“启用ARP防攻击功能”选框；

3、在“ARP防攻击”页面选中“信任符合IP/MAC绑定表的计算机”选框； 4、在“ARP防攻击”页面选中“ARP防欺骗功能”选框；

5、在“ARP防攻击”页面选中“主动发送免费ARP报文”选框；

6、在“ARP防攻击”页面的“发送免费ARP报文的时间间隔”中填入60000； 7、单击<确定>。

IDS防范

提供IDS防范功能，通过启用\防止端口扫描\和\防止DoS攻击\，可防止因特网对设备或局域网内计算机进行端口扫描和恶意攻击，以此来保证设备和局域网内计算机的安全运行。同时，IDS防范可以对相应的攻击事件以日志形式记录下来 防止WAN口的Ping

启用该项，设备不回应来自因特网的Ping请求，可以防止因特网上恶意攻击的Ping探测。 防止TCP SYN扫描

启用该项，设备可以有效的防止来自因特网上恶意的TCP SYN扫描。 防止TCP Stealth FIN扫描

启用该项，设备可以有效的防止来自因特网上恶意的TCP Stealth FIN扫描。 防止TCP Xmas扫描

启用该项，设备可以有效的防止来自因特网上恶意的TCP Xmas扫描。 防止TCP NULL扫描

启用该项，设备可以有效的防止来自因特网上恶意的TCP NULL扫描。 防止UDP扫描

启用该项，设备可以有效的防止来自因特网上恶意的UDP扫描。 防止SYN FLOOD攻击

启用该项，设备可以有效的防止来自因特网上恶意的SYN FLOOD攻击。 防止UDP FLOOD攻击

启用该项，设备可以有效的防止来自因特网上恶意的UDP FLOOD攻击。 防止ICMP FLOOD攻击

启用该项，设备可以有效的防止来自因特网上恶意的ICMP FLOOD攻击。 防止Smurf攻击

启用该项，设备可以有效的防止来自因特网上恶意的Smurf攻击。

防止WinNuke攻击

启用该项，设备可以有效的防止来自因特网上恶意的WinNuke攻击。 防止IP Spoofing攻击

启用该项，设备可以有效的防止来自因特网上恶意的IP Spoofing攻击。 防止Land攻击

启用该项，设备可以有效的防止来自因特网上恶意的Land攻击。 防止Fraggle攻击

启用该项，设备可以有效的防止来自因特网上恶意的Fraggle攻击。 防止碎片包攻击

启用该项，设备可以有效的防止来自因特网上恶意的碎片包攻击。默认开启该功能。 防止TearDrop攻击

启用该项，设备可以有效的防止来自因特网上恶意的TearDrop攻击。默认开启该功能。 防止Ping Of Death

启用该项，设备可以有效的防止来自因特网上恶意的Ping Of Death。默认开启该功能。

虚接口

虚接口 虚接口名称 绑定接口 描述

用来指定生成的虚接口名称，不能同已有的接口冲突。 用来指定虚接口绑定的实接口信息。 可选项，用来添加接口描述信息。

安全提议

安全提议 安全提议名称 IKE认证算法 IKE加密算法 IKE DH组

用来指定IKE安全提议的名称，不能同已有的名称冲突。 用来指定IKE认证算法。 用来指定IKE加密算法。 用来指定IKE DH组信息。

对等体

对等体 对等体名称 虚接口 对端地址 协商模式 ID类型 本端ID 对端ID 安全提议一 安全提议二 安全提议三 安全提议四 安全提议 共享密钥(PSK) 生命周期 DPD开启 DPD周期 DPD超时时间

用来指定对等体名称，不能同已有的名称冲突。 用来指定对等体本端出接口。

用来指定对等体对端地址信息，可以输入域名，IP(0.0.0.0表示为ANY)。 用来指定对等体协商模式。 用来指定对等体ID类型。 用来指定对等体本端ID。 用来指定对等体对端ID。

主模式下可以支持多安全提议，用来指定对等体第一个安全提议。 主模式下可以支持多安全提议，用来指定对等体第二个安全提议。 主模式下可以支持多安全提议，用来指定对等体第三个安全提议。 主模式下可以支持多安全提议，用来指定对等体第四个安全提议。 野蛮模式只支持单安全提议，用来指定对等体安全提议。

当前对等体认证算法只有预共享密钥（pre-shared-key）方式，这里用来指定这个密钥。

用来指定IKE 安全联盟的生命周期时间。

DPD(Dead Peer Detect)对等体保活检测，开启之后，对等体会主动发起保活检测，否则不进行检测。 用来指定对等体DPD检测周期。 用来指定对等体DPD检测超时时间。

IPSec安全提议

安全提议保存IPSec需要使用的特定安全协议、加密/认证算法，为IPSec协商SA提供各种安全参数。 安全提议名称 安全协议类型

指定当前安全提议的名称，用来唯一标识这个安全提议

IPSec通过如下两种协议来实现安全服务：AH（Authentication Header）是认证头协议，协议号为51。主要提供的功能有数据源认证、数据完整性校验和防报文重放功能，可选择的认证算法有MD5（Message Digest）、SHA-1（Secure Hash Algorithm）等。AH报文头插在标准IP包头后面，保证数据包的完整性和真实性，防止黑客截获数据包或向网络中插入伪造的数据包。ESP（Encapsulating Security Payload）是报文安全封装协议，协议号为50。

与AH协议不同的是，ESP将需要保护的用户数据进行加密后再封装到IP包中，以保证数据的机密性。常见的加密算法有DES、3DES、AES、NULL等。同时，作为可选项，用户可以选择MD5、SHA-1算法保证报文的完整性和真实性。AH和ESP可以单独使用，也可以联合使用(AH+ESP，设备支持的AH和ESP联合使用的方式为：先对报文进行ESP封装，再对报文进行AH封装，封装之后的报文从内到外依次是原始IP报文、ESP头、AH头和外部IP头。)

认证算法(AH/ESP)

AH和ESP都能够对IP报文的完整性进行验证，以判别报文在传输过程中是否被篡改。验证算法的实现主要是通过杂凑函数，杂凑函数是一种能够接受任意长的消息输入，并产生固定长度输出的算法，该输出称为消息摘要。IPSec对等体计算摘要，如果两个摘要是相同的，则表示报文是完整未经篡改的。一般来说IPSec使用两种验证算法：MD5通过输入任意长度的消息，产生128bit的消息摘要；SHA-1通过输入长度小于2的64次方比特的消息，产生160bit的消息摘要。

加密算法(ESP)

ESP能够对IP报文内容进行加密保护，防止报文内容在传输过程中被窥探。加密算法实现主要通过对称密钥系统，它使用相同的密钥对数据进行加密和解密。本设备IPSec实现四种加密算法：DES（Data Encryption Standard）：使用56bit的密钥对一个64bit的明文块进行加密； 3DES（Triple DES）：使用三个56bit的DES密钥（共168bit密钥）对明文进行加密；AES（Advanced Encryption Standard）：128bit/192 bit/256 bit密钥长度的AES算法；NULL:空加密模式，不加密

IPSec安全策略

安全策略规定了对什么样的数据流采用什么样的安全提议。 安全策略名称 本地子网IP/掩码

指定当前安全策略的名称，用来唯一标识这个安全策略。开启/关闭用来指明当前策略是否启用

本地子网IP/掩码和对端子网IP/掩码，两个配置项组成一个访问控制规则，IPSec通过这个访问控制规则来定义需要保护的数据流，访问控制规则匹配的报文将被保护。本地子网IP/掩码用来指定IPSec VPN隧道本端的子网网段。0.0.0.0/0.0.0.0表示any模式

对端子网IP/掩码 本地子网IP/掩码和对端子网IP/掩码，两个配置项组成一个访问控制规则，IPSec通过这个访问控制规则来定义需要保护的数据流，访问控制规则匹配的报文将被保护。对端子网IP/掩码用来指定IPSec VPN隧道对端的子网网段。0.0.0.0/0.0.0.0表示any模式

协商类型 安全策略分为手工安全策略和IKE协商安全策略，前者需要用户手工配置密钥、SPI等参数，在隧道模式下还需要手工配置安全隧道两个端点的IP地址；后者则由IKE自动协商生成这些参数。

IKE协商: 对等体 安全提议 PFS

在配置IKE协商安全策略之前，需要配置IKE对等体

IKE协商模式下，一条安全策略最多可以引用四个安全提议，根据组网需要可以灵活的加以配置

完善的前向安全性（Perfect Forward Secrecy，PFS）。PFS特性是一种安全特性，指一个密钥被破解，并不影响其他密钥的安全性，因为这些密钥间没有派生关系。IKE在使用安全策略发起一个协商时，可以进行一个PFS交换。如果本端配置了PFS特性，则发起协商的对端也必须配置PFS特性，而且本端和对端指定的DH组必须一致，否则协商会失败。禁止:关闭PFS、DH1:768bit、DH2:1024bit、DH5:1536bit、DH14:2048bit。

生命周期

手动模式: 虚接口 对端地址 安全提议

配置安全联盟的SPI

用来指定IPSec SA(Security Association，安全联盟)存在的生命周期。

指定当前策略绑定在哪个虚接口上。

用来指定IPSec对等体的另外一端，手动模式下，只支持IP地址。 手动模式下，当前安全策略所指定的安全提议

手动模式下，需要明确指定入SPI与出SPI的值。在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端的入方向安全联盟的SPI必须和对端的出方向安全联盟的SPI一样；本端的出方向安全联盟的SPI必须和对端的入方向安全联盟的SPI一样。SPI具有唯一性，不允许输入相同的SPI值。

配置安全联盟使用的密钥 手动模式下，同样需要明确指定各个密钥的值。在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端的入方向安全联盟的SPI及密钥必须和对端的出方向安全联盟的SPI及密钥一样；本端的出方向安全联盟的SPI及密钥必须和对端的入方向安全联盟的SPI及密钥一样。(由于3DES使用三个56bit的DES密钥对明文进行加密，为了获得更高的安全性，三个DES的密钥应该互不相同。)密钥可以是字符串或以0x开头的16进制数方式输入的密钥，比如MD5的密钥:ASCII字符为1234567890123456，十六进制为0x31323334353637383930313233343536。

流量统计

这个功能可以即时统计本设备LAN、WAN各物理端口的详细通信流量，以及网内各计算机上网的详细通信流量，并可以根据精度要求设置统计周期。端口的流量统计是系统开机后一直进行的，不能关闭；网内计算机的流量统计可以选择启用或停用。 统计周期

启用内网IP流量统计 查看端口流量/IP流量 自动刷新 确定

流量统计时计算流速率的周期值，缺省为10秒。

开启和关闭“内网IP流量统计”功能。只有开启时，“查看”下拉列表框才可用。 选择显示端口流量统计表或IP流量统计表。

启用时页面自动定期刷新最近的统计结果；禁用时需要用户按<刷新>按钮刷新最近的统计结果。

更改“统计周期”或设置“内网IP流量统计”后，点<确定>按钮才能生效；页面其它选项不需要单击<确定>，设置后即时生效。

统计结果说明：

对于端口流量统计，总包数和总字节数是本设备开机以来通过的总的流量。

对于IP流量统计，总包数和总字节数是最近一次启用内网IP流量统计以来通过该IP的总的流量。网络连接数显示的是当前该IP发起建立的网络连接个数。 IP流量统计结果排序：

为便于浏览，用户可以根据不同的统计关键字项对内网IP流量统计结果排序。统计结果缺省是包速率降序排列。用户可以在感兴趣的统计列的表头上单击，此时页面的统计结果将按该列统计数据的降序排列，对应的关键字旁显示高亮的↓提示符；如果再次单击该关键字，切换到升序排列，显示高亮的↑提示符。

IP流量限制

这个功能可以限制内网计算机上网的通信流量，设备可以最多设置20条限制规则，最多同时支持256台PC的流量限制，并支持地址段的配置方式。 启用IP流量限制

开启和关闭内网IP流量限制功能。

允许每IP通道启用该项时，如果流量过大出现线路拥塞，则每个内网主机的最大流量只能达到限速值；如借用空闲的带果线路没有拥塞，则每个主机可以自由使用系统带宽，其实际流量可能会超过限速值。 宽

每IP通道只能使用预设的带宽

该选项是全局配置项，设置后对所有IP限速通道都有效。

当选中“每IP通道只能使用预设的带宽”时，则每IP配置的限速值一直生效，即使线路还有空闲的带宽，也不能利用。

IP起始地址 需要流量控制的主机IP地址范围内的第一个。 IP结束地址 需要流量控制的主机IP地址范围内的最后一个。

每IP上行流量允许指定IP范围的每一台主机上行通过的最大数据流量，单位是KByte/s 。上行流量上上限 上限 限速方向 限速接口

限的取值范围是1～10000KByte/s 。 限的取值范围是1～10000KByte/s 。

对该IP地址范围内每IP应用的限速方向，可以选择只限上行方向、下行方向或双向同时限制。

该IP地址范围内的限速，在哪个WAN口的流量上生效。可以选择WAN1口、WAN2口或不限制WAN口。如果选择了“WAN1”或“WAN2”，则仅当流量是从WAN1或WAN2口出入时，才进行限制; 如果选择了\不限制WAN口\，则不论流量从哪个接口出入，都进行限制。

描述 增加 确定

对该表项的说明。

编辑完成后，点击<增加>按钮可以把当前编辑的限速规则加入限速表中。 用户单击<确定>后，限速规则表中的规则才能生效。

每IP下行流量允许指定IP范围的每一台主机下行通过的最大数据流量，单位是KByte/s 。下行流量上

限制规则要点：

1.每条限速规则，如果是IP地址范围，表示该地址段内的每个IP最高速率都将限制到设定的上限值。如果起始地址和结束地址相同，表示仅限制该IP的速率。

2.限速表中可以加入多条限速规则，一次提交确定生效。配置规则时允许某几条中的IP地址重叠，但以后加入的规则优先级为高。也即对于相同的IP地址，在相同的限速接口上，后加入的限速设置会覆盖先前的限速设置。

3.允许在限速表中对先前配置的规则进行删除、修改等操作。但修改不能改变规则的优先级，生效规则仍以2的约定为准。

4.可以借用的带宽值与系统总带宽和当前在线的PC个数有关。如果系统的空闲带宽不足，会自动停止借用。

5.允许对相同的IP地址，在不同的限速接口上配置不同的限速规则。即对同一个IP地址，既可以配置在某个WAN口上限速，也可以配置“不限制WAN口”都限速。实际的流量上限将会是单WAN口和“不限制WAN口”两者中的较小值。

应用通道管理

该功能以区分服务的方式对业务数据流进行转发。

设备支持根据报文大小和端口号来区分数据业务流。通过设置“绿色专用通道”和“限制通道”，对不同的数据业务流分配不同的带宽，以此来达到“保证控制数据流、游戏数据流的带宽，限制下载数据流带宽”的目的。

绿色专用通道

开启和关闭绿色专用通道。默认不启用。该通道中的业务数据流将保证使用设定的带宽值。由于绿色通道是保证带宽的，在空闲的时候也不会借给其它流量使用，因此请勿设置得过大，以免对其它流量产生影响。

上行流量上限

线路拥塞时绿色专用通道允许上行通过的最大数据流量，单位是 Mbps 。可以填写到小数点后一位有效数字。上行流量上限的取值范围是 0 ～ 100Mbps 。请根据实际需要保证的带宽设置该参数。

下行流量上限

线路拥塞时绿色专用通道允许下行通过的最大数据流量，单位是 Mbps 。可以填写到小数点后一位有效数字。下行流量上限的取值范围是 0 ～ 100Mbps 。请根据实际需要保证的带宽设置该参数。

数据包长度选择 数据包长度小于 端口选择 应用名称 端口号

是否根据数据包长度来识别需要发送到绿色专用通道的流量。默认不启用。 设置数据包长度识别的阈值，小于该阈值长度的数据包将通过绿色专用通道转发。一般网络游戏包都较小，可以通过设置长度阈值来识别，默认值为 128字节 。 是否根据应用协议端口来识别需要发送到绿色专用通道的流量。默认不启用。 需要识别的端口组的描述名称，可以为空。

设置需要识别的端口号，最多可以配置 20 条规则，每条规则最多可以设置 10 个端口，以英文逗号 “,” 号隔开。端口范围 1 ～ 65535 。 这里设置了端口后会检查双向的流量，对外出内网的流量，检查目的端口号；对进入内网的流量，检查源端口号。

增加 限制通道 上行流量上限

编辑完成后，点击 < 增加 > 按钮可以把当前编辑的绿色专用通道端口选择规则加入表中。

开启和关闭限制通道。默认不启用。该通道中的业务数据流只能使用本通道的带宽。一般来说，该通道用来限制 BT 、迅雷、流媒体等占用过多带宽的业务。 指定限制通道允许上行通过的最大数据流量，单位是 Mbps 。可以填写到小数点后一位有效数字，上行流量上限的取值范围是 0 ～ 10Mbps 。请根据实际需要保证的带宽设置该参数。

下行流量上限

指定限制通道允许下行通过的最大数据流量，单位是 Mbps 。可以填写到小数点后一位有效数字，下行流量上限的取值范围是 0 ～ 10Mbps 。请根据实际需要保证的带宽设置该参数。

应用名称 端口号

需要识别的端口组的描述名称，可以为空。

设置需要识别的端口号，最多可以配置 20 条规则，每条规则最多可以设置 10 个端口，以英文逗号 “,” 号隔开。端口范围 1 ～ 65535 。 这里设置了端口后会检查双向的流量，对外出内网的流量，检查目的端口号；对进入内网的流量，检查源端口号。

增加 确定 规则要点：

1、需要使用 “IP 流量限制 ” 或 “ 应用通道管理 ” 功能时，系统的总带宽由 “接口设置→WAN设置→连接到因特网 ” 页的配置决定，其中的带宽值必须准确填写从运营商申请到的实际带宽。

编辑完成后，点击 < 增加 > 按钮可以把当前编辑的限制通道端口选择规则加入表中。

用户单击 < 确定 > 后，本次的配置才能生效。

2、正常通道的带宽＝系统总带宽－绿色专用通道与限制通道的带宽。因此设置绿色专用通道和限制通道的流量上限值时，要保证两者之和小于总带宽，以给正常通道留下一定的带宽。

3、绿色专用通道和正常通道 (IP 流量限制通道 ) 在系统空闲时带宽不受限制。拥塞时则只能保证通道预设的流量上限。限制通道在任何情况下都不会超过预设的流量上限。

4、一般应用场景下，可以把游戏报文、交互报文等对时延要求较高的应用流量通过绿色专用通道转发，把BT等对系统转发影响较大的P2P流量通过限制通道转发。其余流量自动通过正常通道转发。

5、绿色专用通道识别流量时，如果数据包长度选择和端口选择同时启用，则符合其中一项即识别成功，并且数据包长度选择优先起作用。

6、在应用通道管理页面未被识别出的流量，则自动通过正常通道(IP流量限制通道)发送。该部分流量受IP限速规则的作用。

样例：如果您想保证线路拥塞时，游戏数据包能及时转发、抑制BT下载过度占用带宽、保证正常的网络应用。您可以这样操作： 1、勾选“绿色专用通道”。

2、设置上行流量上限和下行流量上限值，确定绿色专用通道的保证带宽。 3、勾选“端口选择”。

4、应用名称填 Game xxx，端口号填 xxx，xx，xxxx(需要加速的游戏使用的服务端口号)。点击<增加>按钮添加一条规则。

5、如果需要识别更多的游戏端口，重复步骤4的操作。 6、勾选“限制通道”。

7、设置上行流量上限和下行流量上限值，确定限制通道最多能使用的带宽。

8、应用名称填 BT,端口号填 xxx，xx，xxxx(BT常用的端口号)。点击<增加>按钮添加一条规则。 9、如果需要识别更多的P2P端口，重复步骤8的操作。 10、点击<确定>按钮使配置生效。

11、需要的话，可以在“IP流量限制”配置页面中配置每个IP的限速规则。

网络连接限数

这个功能可以限制内网计算机发起并建立的并发网络连接数，支持地址段的配置方式。 启用网络连接限数 开启和关闭内网IP网络连接数限制功能。 IP起始地址 IP结束地址 每IP网络连接数上限 描述 增加 确定

限制规则要点：

1.每条网络连接数限制规则，如果是IP地址范围，表示该地址段内的每个IP最多建立的网络连接数都将限制到设定的上限值。如果起始地址和结束地址相同，表示仅限制该IP的网络连接数。

2.限制规则表中可以加入多条网络连接数限制规则，一次提交确定生效。配置规则时允许某几条中的IP地址重叠，但以后加入的规则优先级为高。也就是对于相同的IP地址，后加入的网络连接数限制设置会覆盖先前的设置。

3.允许在限制规则表中对先前配置的规则进行删除、修改等操作。但修改不能改变规则的优先级，生效规则仍以2的约定为准。

需要限制网络连接数的主机IP地址范围内的第一个IP。 需要限制网络连接数的主机IP地址范围内的最后一个IP。 允许指定IP范围的每台主机同时发起的最大网络连接数。 对该表项的说明。

编辑完成后，点<增加>可以把当前编辑的限制规则加入限速表中。 用户单击<确定>后，限制规则表中的规则才能生效。

端口触发

内网客户端访问因特网上服务器，对于某些应用，客户端向服务器主动发起连接的同时，也需要服务器向客户端主动发起连接请求，而缺省情况下本设备收到WAN侧主动连接的请求都会拒绝，这样就会中断通信。通过定义端口触发规则，当客户端访问服务器触发此规则后，本设备自动开放服务器需要向客户端请求的端口，这样可以保证通信正常。 应用名称 触发端口 外来端口 是否启用 增加 确定

特殊应用的名称。支持1～15个数字和英文字符。

该应用客户端主动向外部服务器发起请求的目的端口范围。取值范围：1～65535，端口范围必须从小到大。如果只有一个端口，则两处填写同一端口号。

允许外部服务器主动向客户端发起请求的目的端口范围。取值范围：1～65535，可设置单一端口、端口范围或两者的组合，端口间用英文逗号“,”隔开。例如：100,200-300,400 。 启用或禁用本规则。

编辑完成后，点击<增加>按钮可以把当前编辑的规则添加到端口触发表中。 用户单击<确定>后，配置的端口触发表项才能生效。

注意：每个定义的特殊应用只能同时被一台PC所使用。如果有多台机器同时打开一个“触发端口”，那么“外来端口”的连接只会被重定向到最后一次打开“触发端口”的那台PC。

虚拟服务器

虚拟服务器（也称之为端口映射）静态地为设备WAN接口的IP、端口和内网中PC的IP、端口建立起一个映射。通过配置本设备的虚拟服务器，可以使内网的PC对外提供服务，外网的设备通过访问本设备的WAN接口的IP地址和端口来访问内网PC上的服务。 预置设置 服务名称 外部端口 内部端口 增加 确定

预先设置的一些常用服务的配置。 内网PC对外提供服务的名称。

允许外网访问内网PC上指定服务的端口范围。

内网PC对外提供指定服务的端口范围。注意：内部端口范围与外部端口范围必须一致。 编辑完成后，点<增加>可以把当前配置的虚拟服务器添加到虚拟服务器表中。 用户单击<确定>后，配置的虚拟服务器表项才能生效。

内部服务器IP 内网中需要对外网提供指定服务的PC的IP地址。

DMZ(DeMilitarized Zone 非管制区)

出于缺省的安全的角度考虑，本设备会阻断从外部（因特网）发起的请求。然而，如果您需要在因特网上能够访问到在内部LAN网络内的服务器，您就需要设置虚拟服务器的参数。

DMZ主机实际上就是一个缺省的虚拟服务器，如果本设备收到一个来自外部网络的请求，它首先根据外部请求所请求服务的端口号，查看虚拟服务列表，看是否有匹配的，如果有，就把请求消息发送到对应的IP地址上去。如果没有查到匹配的，就转发到DMZ主机上去。当然，您也可以设置为不转发到DMZ主机而直接丢弃请求消息。

UPnP

启用UPnP（Universal Plug and Play，通用即插即用）功能，本设备可以实现NAT穿越：当内网的计算机通过本设备与因特网通信时，本设备可以根据需要自动增加、删除NAT映射表，从而解决一些传统业务（比如Netmeeting）不能穿越NAT的问题。

如果您想在网关设备上启用UPnP功能，选中“启用UPnP”选框；如果您想在网关设备上关闭UPnP功能，则取消选中“启用UPnP”选框。

ALG

ALG(Application Layer Gateway)应用层网关

一些早期设计的应用层协议，比如FTP、TFTP，在穿越NAT设备后往往不能正常工作。在这种情况下，您可以在本页面启用相应协议的ALG，来克服这些问题。

FTP、TFTP这些应用层协议，客户端会先通过某个知名端口连接到服务器，进行控制交互。在这个过程中，客户端的报文里通常会携带有自己机器本身的IP地址和端口号，告知服务器后续数据发往报文里的指定的IP地址和端口号。如果客户端是经过NAT设备接入Internet的话，那么服务器将无法直接访问到客户端指定的地址和端口。ALG正是为了解决这个问题而设计的，它可以将报文里客户端的IP地址和端口改成NAT设备的IP地址和一个空闲的端口号，后续服务器发往NAT设备的数据将会被正确地转发到内网的客户端。

本设备缺省情况下，以下协议的ALG已经启用，建议保留缺省设置，不做修改。 1、SIP 2、H323 3、FTP 4、TFTP 5、MMS 6、RTSP 7、IRC

DDNS

设备通过PPPoE或动态获取IP地址上网时，获取到的IP地址通常不固定，这给想访问内网服务器的因特网用户带来很大的不便，Dynamic DNS(DDNS)可以很好的解决这个问题。本设备在DDNS服务器上会建立一个IP与域名（需要预先注册）的关系表，当WAN口IP变化时，本设备会自动向指定的DDNS服务器发起更新请求，DDNS服务器上更新域名与IP地址的对应关系。保证无论本设备的WAN口IP地址如何改变，因特网上的用户仍可以通过域名对其进行访问。

在您使用Dynamic DNS(DDNS)功能之前，请您先到www.3322.org去申请注册一个动态DNS地址服务。 DDNS

启用或禁用对应WAN口的DDNS功能。缺省是禁用DDNS。

用户名 密码

注册的主机名 当前地址 状态

输入在DDNS服务器上申请的登录用户名，支持1～31个字符。 输入在DDNS服务器上申请的登录密码，支持1～31个字符。 输入在DDNS服务器上申请的主机名。 显示对应WAN口的当前IP地址。 当前对应WAN口DDNS工作状态。 1、“未连接”表示DDNS功能未启用；

2、“注册成功”表示向DDNS服务器注册服务成功；

3、“注册失败”表示当前接口的DDNS服务注册没有成功，可能有用户名或密码错误等错误。

只有状态处于“注册成功”时。对应WAN口的DDNS功能才可用。

DDNS的服务器地址 选择DDNS服务器地址。

静态路由

静态路由通过手工设定目的地址、子网掩码、下一跳地址和出接口等来使到指定目的地址的报文走指定的路径。静态路由不会根据网络结构的变化而变化，当到目的网络路径变化或网络故障时，只能通过手工修改对应的静态路由表重新指定报文到目的网络的路径。

当内网中有跨网段的计算机需要访问因特网时，可能需要配置静态路由。

策略路由,直连路由,静态路由,均衡路由, 默认路由的优先级由高到低如下:策略路由----->直连路由----->静态路由----->均衡路由----->默认路由。 目的地址 子网掩码 下一跳地址 出接口 描述 查看路由表

静态路由的目的地址。

静态路由的目的地址的子网掩码。 静态路由的下一跳地址。 静态路由出口。

对这条静态路由表项的说明。

查看所有的静态路由表项，包括页面配置并生效的静态路由和后台下发的DNS路由以及默认路由。

策略路由

本设备提供独特的策略路由功能，即可以通过指定内网计算机的出口来达到特定应用的效果，这是一种比较实用且设置简单的功能。

策略路由,直连路由,静态路由,均衡路由,默认路由的优先级由高到低如下: 策略路由----->直连路由----->静态路由----->均衡路由----->默认路由。

源端口，源IP地址段，目的端口，目的IP地址段可取反操作，即在配置参数前添加\标志，则说明除了配置的参数外其他的都是匹配的，例如配置为!3-300，则说明源端口在3-300范围内的报文不会匹配该规则，其它的报文都会匹配该规则! 注意:显示的配置项中的\表示取反的意思!

注意:如果用户配置的多个表项的某些参数存在重复,则最先匹配的优先! 协议类型 源端口

报文的协议类型。默认协议类型为0，说明匹配所有协议。

报文的源端口。如果协议类型既不是TCP也不是UDP，则源端口不可配置；端口支持两种格式配置，即\和\，其中\表示端口范围从n到m，而\表示散列端口，最多支持10个端口号，每个端口号中间用\分隔。[]表示可选的意思。默认源端口号为空，说明匹配所有端口。

源IP地址段

报文的源IP地址段。支持三种格式配置，即\\其中\表示网络掩码长度，范围在0－32之间。默认源IP地址为空，说明匹配所有源地址。

目的端口

报文的目的端口。如果协议类型既不是TCP也不是UDP，则目的端口不可配置；端口支持两种格式配置，即\和\，其中\表示端口范围从n到m，而\表示散列端口，最多支持10个端口号，每个端口号中间用\分隔。默认目的端口号为空，说明匹配所有目的端口。

目的IP地址段

报文的目的IP地址段。支持三种格式配置，即\\其中\表示网络掩码长度，范围在0－32之间。默认目的IP地址为空，说明匹配所有目的IP地址。

出接口 强制 生效时间 启用 描述

路由表项的出口。 出接口必须指定。

如果不选中，当出接口不可用时，仍然走正常的路由转发，如果被选中，则当出接口不可用时，此时匹配报文被丢弃而不会转发。 报文匹配的时间。默认匹配所有时间。 路由表项是否启用。 路由表项的说明。

样例：如果要让内网IP地址为 192.168.1.20~192.168.1.25 的计算机，星期一到星期五，每天08:00~20:00走WAN2访问目的地址为210.122.6.12的网站。配置如下： 1、协议类型选择\

2、源IP地址段输入框内输入\3、目的IP地址段输入框内输入\4、目的端口输入框内输入\5、出接口选中WAN2接口;

6、生效时间输入框内分别输入\和\，并选中\一\、\二\、\三\、\四\、\五\； 7、点击<增加>和<确定>按钮

时间设置

设置系统时间有两种方式，通过网络获取系统时间和手工设置系统时间。缺省情况下，本设备通过网络获取系统时间。

通过网络获取系统时间是指通过NTP服务器获取时间，NTP（Network Time Protocol，网络时间协议）用来为本设备、交换机和工作站之间提供时间同步。手工设置系统时间仅设置本设备的系统时间，不与其它设备同步，同时也不支持时区的切换。 NTP服务器获取时间的方式有以下两种：

? 当本设备连接到因特网后，会自动从设备缺省的NTP服务器获取时间。（缺省情况下采用这种方式） ? 手工输入指定的NTP服务器的地址，本设备从指定的NTP服务器上获取时间。 通过网络获取系统时间 时区

使用本设备缺省的NTP服务器 使用下面手工输入的NTP服务器 手动设置系统时间

选中该项，启用该功能。缺省情况下，启用该功能。 选择本设备所在的时区，缺省为（GMT+08:00）Beijing 。

选中该项，本设备从缺省的NTP服务器更新时间。缺省情况下，使用本设备的缺省NTP服务器。

若您需要设置其他的NTP服务器，请选中该项，并在文本框中输入该NTP服务器的地址（IP地址形式或域名形式），本设备向指定的NTP服务器更新时间。 选中该项，启用该功能。缺省情况下，禁用该功能。

配置管理

备份系统设置信息 备份

单击<备份>按钮，选择设置信息备份路径后，单击<确定>按钮，将设备当前的设置信息保存到计算机上，方便以后通过该文件（后缀名为.cfg）恢复设置。注意：这个文件

无法用字处理软件或者表格编辑软件修改。

从文件中恢复设置信息 恢复

单击<浏览>按钮，在计算机上选择一个以前备份的文件（*.cfg），然后单击<恢复>按钮，即可将设置恢复到备份文件的状态。

注意：系统在恢复备份的过程中将重启，在这过程中请不要断开设备的电源。 恢复到出厂设置

恢复到出厂设置将清除本设备的所有设置信息，恢复到刚出厂时的状态。注意：恢复出厂设置时本设备将重新启动，在这过程中请不要断开设备的电源。该功能在您把本设备从一个网络环境换到另一个不同的网络环境的时候比较有用，这使得设备可以回到初始状态，您可以在此基础上重新设置以适应当前组网。

远程管理

开启远程管理，您可以通过因特网远程管理你的设备 。 启用远程web管理 启用HTTP访问 启用HTTPS访问 远程管理PC的IP范围

选中该项表明允许计算机通过WAN口远程web管理此设备。 选中该项表明允许计算机通过HTTP来远程管理此设备。在浏览器的地址栏输入 http://WAN IP:port

选中该项表明允许计算机通过HTTPS来远程管理此设备。在浏览器的地址栏输入 https://WAN IP:port

设置远程管理计算机的IP地址范围，只有IP地址在范围内的计算机才允许通过Web远程管理本设备 。

远程管理的端口号

输入远程管理端口号，外部用户通过此端口登录设备的设置页面对设备进行管理。缺省为8080 。

您也可以通过开启远程telnet进行设备管理。 启用远程telnet管理 远程管理PC的IP范围

选中该项表明允许计算机通过WAN口远程telnet管理此设备。 设置远程管理计算机的IP地址范围，只有IP地址在范围内的计算机才允许通过telnet远程管理本设备 。

远程管理的端口号

输入远程管理端口号，外部用户通过此端口telnet方式登录设备进行管理。缺省为2323 。

注意：远程、本地同时只能有一台PC通过Web或telnet进行管理设备。

登录管理

用户超时时间设置

修改Web用户的超时时间，默认为5分钟。 当前登录用户

显示当前已经登录用户的信息，包括用户名，IP地址，登录时间。

密码管理

修改Web管理的登录密码，可以防止非授权人员随意登录Web设置页面。本设备缺省的用户名/密码为 admin，用户名不可修改，密码可修改。为了安全起见，建议修改此密码，并保管好密码信息。 注意:密码最大支持31位英文状态下的字符，区分大小写，输入的时候请注意。

软件升级

通过软件升级，您可以加载最新版本的软件到本设备，以获得更多的功能和更为稳定的性能。

请您到华三公司网站下载本设备的系统软件，保存到您的计算机的某个文件夹下面。单击<浏览> 按钮选择那个文件，然后单击<确定>按钮，文件将被上传到设备上。

注意：上传完成后，本设备将重新启动，在这过程中请不要断开设备的电源。请您在升级之前保存原来的配置信息，如果升级过程中出现问题，可以恢复原来的配置。

重启动

本文来源：https://www.bwwdw.com/article/b7ef.html