5.1  访问控制

在访问控制中,您可以设置:

l              IP/MAC绑定,用于控制(允许或禁止)局域网内的计算机访问因特网,防止ARP攻击。

l              访问控制,通过配置不同的访问控制规则,可根据时间、星期、源IP地址、目的IP地址、目的端口、协议类型等条件控制(允许或禁止)局域网内的计算机访问因特网。

l              URL过滤,用于禁止局域网内计算机访问因特网上的某些网站。

访问控制→IP/MAC绑定

IP/MAC绑定功能就是指将计算机的MAC地址和IP地址一一对应,使得只有符合IP/MAC绑定关系的计算机才能访问因特网,而且该功能还可以有效防止ARP攻击。

 

IP/MAC绑定功能可以通过三种方式实现:

l              手工逐条配置,单击下图中的<增加>按钮,将设置添加到IP/MAC绑定表中;

l              在网络稳定并且所有计算机都在线的情况下,单击<ARP列表导入>按钮,导入ER5000系列的ARP列表;

l              先写好.cfg格式的文件,然后单击<导入>按钮导入。

.cfg文件的格式是“MAC地址 IP地址 主机名”,举例如下:

01:00:e8:f5:6e:3a 192.168.1.255 host

00:00:00:00:11:11 192.168.1.201 host 1

图5-1 IP/MAC绑定

界面项描述如下:

表5-1 IP/MAC绑定

界面项

描述

主机名

输入进行IP和MAC地址绑定的计算机名称。支持1~15个数字和英文字符。

IP地址

输入该计算机的IP地址。IP地址可以不在ER5000系列 DHCP服务器分配的地址池内,但要与LAN口IP地址在同一子网内。

MAC地址

输入该计算机的MAC地址。输入格式为xx:xx:xx:xx:xx:xx。

<ARP列表导入>

单击该按钮,弹出一个ARP_IP/MAC绑定表。选择需要绑定的ARP表项,单击<导入到IP/MAC绑定表>,即可导入页面下方的IP/MAC绑定表。

说明:这种方法比较适合网络稳定、所有计算机在线的情况下使用,可轻松获得局域网内计算机IP/MAC绑定表项。但使用这种方式,可能由于ARP表项老化等情况,ARP缓存表中缺少一些计算机的信息,即这些IP/MAC地址未绑定。建议通过此方法设置完后,检查希望绑定的计算机是否在绑定列表中,如果没有,再手工添加。

仅允许IP/MAC绑定的客户端访问外网

缺省情况下,此项禁用。

选中此项,产生以下两个结果:

l      只有IP/MAC绑定列表中绑定关系匹配的计算机才能访问因特网;

l      启用ER5000系列的ARP防攻击功能(“安全设置→ARP防攻击”页面中“启用ARP防攻击功能”自动选中)。

注意:选中该项时,管理ER5000系列的计算机必须在绑定列表中,否则不能管理。

 

【举例】:某网吧由于局域网内计算机有病毒或其它原因,ARP攻击报文不停攻击ER5000系列,导致局域网内计算机上网不正常。希望实现以下需求:

l              局域网内计算机通过DHCP动态获取到IP地址;

l              计算机IP地址与设置的绑定关系表不一致时,该计算机就不能上网,从而避免上网用户随意修改计算机的IP地址;

l              外来计算机(如上网用户自带的笔记本计算机)接入不能访问因特网;

l              局域网的ARP攻击不影响局域网内计算机访问因特网。

设置步骤:

(1)        启用ER5000系列的DHCP服务器功能(LAN设置→DHCP服务器),设置IP地址池范围,如192.168.1.2~192.168.1.254,使局域网内计算机动态获取IP地址。(计算机必须设置为自动获取IP地址,设置方法请参见“”)。

(2)        设置IP/MAC绑定关系表,把局域网内所有计算机的IP地址与MAC地址对应关系设置到列表中。

(3)        选中“仅允许IP/MAC绑定的客户端访问外网”复选框。

(4)        单击<确定>按钮,配置完成。

5.1.2  设置访问控制规则

访问控制→访问控制

 

您可根据时间段、星期、源IP地址、目的IP地址、目的端口范围或协议类型等来控制局域网内的计算机访问因特网。

图5-2 访问控制

界面项描述如下:

表5-2 访问控制

界面项

描述

时间

选择规则每天生效的时间段,时间使用24小时制。起始时间应早于终止时间,00:00~24:00表示该规则在一天内任何时间都生效。

星期

选择一周内哪些天规则生效。

源地址IP

输入需要控制的局域网内计算机的IP地址。如果无需控制源IP地址,此项设置为:0.0.0.0~255.255.255.255。起始IP地址不能大于目的IP地址。

目的地址IP

输入需要控制的目的IP地址。如果无需控制目的地址,此项设置为:0.0.0.0~255.255.255.255。起始IP地址不能大于目的IP地址。

目的端口范围

输入需要控制的目的端口号。如果无需控制目的端口,此项请设置1~65535。起始端口号应不能大于终止端口号。

协议

选择需要控制的协议类型。有ALL、TCP、UDP和ICMP四个选项,其中ALL包括TCP、UDP和ICMP。缺省是ALL。

操作

选择允许匹配的报文通过(允许)还是丢弃(禁止)。

位置

输入该规则在访问控制列表中的位置。例如:若希望此规则插入在第5、第6条规则之间,输入数字6即可。缺省情况下是第1位。

 

【举例1】:某网吧为了减少病毒对网络的影响,需要封锁常被病毒传播利用的一些端口(如135~139)。

设置如下:

图5-3 访问控制规则举例1

单击<增加>按钮,增加这条规则。此时,ER5000系列将目的端口为135~139的报文直接丢弃,使病毒不能再通过这些端口进行传播。

【举例2】:某企业需要禁止局域网内计算机在上班时间上网(上班时间为9:00~17:00,周一~周五),其他时间允许。

设置如下:

图5-4 访问控制规则举例2

单击<增加>按钮,增加这条规则。此时,局域网内所有计算机在周一至周五上班时间都不能上网了。

【举例3】:网络管理员希望仅允许IP地址为192.168.1.2~192.168.1.50的计算机使用Web业务(端口为80),其它计算机都不允许上网。

设置如下:

(1)        添加一条访问控制规则,允许IP地址为192.168.1.2~192.168.1.50的计算机访问因特网:

图5-5 访问控制规则举例3(1)

(2)        单击<增加>按钮,增加这条规则。

(3)        添加一条访问控制规则,禁止其他计算机上网。注意,该条规则的位置应写添加到第“2”号。

图5-6 访问控制规则举例3(2)

(4)        单击<增加>按钮,增加这条规则。

(5)        单击<确定>按钮,配置完成。

此时,只有IP地址为192.168.1.2~192.168.1.50的计算机能使用Web业务,其它计算机不能上网。

5.1.3  设置URL过滤规则

访问控制→URL过滤

 

如果您想禁止局域网内的计算机访问某些特定网站,即可通过设置URL过滤实现。

图5-7 URL过滤

界面项描述如下:

表5-3 URL过滤

界面项

描述

不开启站点控制功能,LAN内的PC可以不受限地访问Internet站点

选中该项,局域网内的计算机都可以不受限地访问因特网站点。缺省选中该项。

按照配置的策略访问Internet站点

选中该项,启用URL过滤功能,并根据URL控制列表中过滤规则控制局域网内计算机访问因特网站点。

URL控制列表

选择“禁止”或“不生效”,并在后面文本框中输入要控制的站点域名或IP地址,支持1~63个数字和英文字符。

“禁止”表示禁止局域网内计算机访问指定网站,当“禁止”规则暂时不需要生效时,可以先切换到“不生效”状态。

 

 

您也可以在本地配置URL控制列表来设置URL过滤,具体设置格式请参见以下举例。

【举例】:某公司希望通过导入URL控制列表来设置URL过滤,禁止局域网所有计算机访问新浪网、搜狐网。

操作步骤:

(1)        在本地新建一个.cfg格式的文件,如url.cfg。在此文件中输入要禁止的新浪网、搜狐网的网址,格式如下(“0”代表“禁止”,“1”代表“不生效”,以英文状态下的分号隔开0/1与URL):

0;www.sina.com.cn

1;www.sohu.com

(2)        在URL过滤页面中单击<导入>按钮,在弹出的对话框中选择本地文件url.cfg,单击<确定>按钮,即可导入过滤文件。在该页面上就可以看到新增的URL过滤规则。

(3)        单击<确定>按钮,配置完成。

5.2  安全设置

在安全设置中,您可以设置:

l              ARP防攻击,用于防止ARP攻击和ARP欺骗,保证局域网内计算机正常上网。

l              防火墙,用于保护ER5000系列和局域网内计算免受网络攻击。

l              UPnP,用于实现NAT穿透,解决某些传统业务不能穿越NAT的问题。

5.2.1  设置ARP防攻击

安全设置→ARP防攻击

 

ARP 防攻击功能主要防止局域网内大量的无效 ARP 请求数据包导致设备的 ARP 表项占满,从而使正常计算机无法访问设备或是外网的情况。该功能是与 IP/MAC 绑定表配合共同实现的,启用该功能后,ER5000系列只对符合 IP/MAC 绑定规则的 ARP 数据包进行处理,对其它 ARP 数据包直接丢弃,从而达到防止恶意 ARP 攻击的功能。因此在启用 ARP 防攻击功能前,需要先在 IP/MAC 绑定表中绑定合法的 IP/MAC 地址。

 

ARP 防欺骗功能主要防止局域网内的某些计算机冒充网关设备的 IP 地址发送 ARP 信息,导致正常计算机无法访问设备或外网的情况。启用该功能后,您还可以选择是否让网关设备定期发送其自己的 ARP 信息(主动发送免费ARP报文),以更新局域网中 计算机 设备上与ER5000系列相关的ARP信息。

图5-8 ARP防攻击

界面项描述如下:

表5-4 ARP防攻击

界面项

描述

启用ARP防攻击功能

选中“仅允许IP/MAC绑定的客户端访问外网”后(在“访问控制→IP/MAC绑定”页面,具体请参见“”),ARP防攻击功能自动开启。否则,ARP防攻击功能禁用。

启用ARP防欺骗功能

选中该项,则启用ARP防欺骗功能。

主动发送免费ARP报文

l      选中该项,则启用主动发送免费ARP报文功能。ER5000系列都会在设置的时间间隔内发送免费ARP报文,使局域网内计算机刷新自己的ARP表项,建立ER5000系列的正确ARP表项,从而预防ARP欺骗的发生。

l      不选中该项,则ER5000系列只有检测到局域网内有ARP欺骗攻击,才会发送免费ARP报文。

缺省情况下,该功能禁用。

发送免费ARP报文的时间间隔

设置主动发送免费ARP报文的时间间隔。取值范围为1~300,单位为秒。缺省是30秒。

 

安全设置→防火墙

启用防火墙功能后,可防止因特网对ER5000系列或局域网内计算机的恶意攻击,保证ER5000系列和局域网计算机的安全运行。特别是一些对外开放的服务器(如虚拟服务器、DMZ主机等),启用ER5000系列防火墙功能可以阻断恶意攻击源,防止DoS攻击。

图5-9 防火墙

界面项描述如下:

表5-5 防火墙

界面项

描述

启用防止WAN网口的Ping

启用该项,ER5000系列不回应来自因特网的Ping请求,可以防止因特网上恶意攻击的Ping探测。缺省禁用该功能。

启用防止Syn-Flood

启用该项,ER5000系列可以防止Syn-Flood攻击。可以根据服务器正常情况下的访问量来设定最大Syn包速率值,一般保持缺省值500包/秒即可。缺省启用该功能。

启用防止短包

启用该项,ER5000系列可以防止短包攻击。缺省启用该功能。

启用防止碎片包

启用该项,ER5000系列可以防止碎片包攻击。缺省启用该功能。

启用防止TearDrop攻击

启用该项,ER5000系列可以防止TearDrop攻击。缺省启用该功能。

启用防止Land攻击

启用该项,ER5000系列可以防止Land攻击。缺省启用该功能。

启用防止TCP空连接攻击

启用该项,ER5000系列可以防止TCP空连接攻击。缺省启用该功能。

启用防止Ping Of Death攻击

启用该项,ER5000系列可以防止Ping Of Death攻击。缺省启用该功能。

 

安全设置→UPnP

 

UPnP(Universal Plug and Play,通用即插即用)主要用于实现设备的智能互联互通,无需用户参与和使用主服务器,能自动发现和控制来自各家厂商的各种网络设备。

启用UPnP功能,ER5000系列可以实现NAT穿越:当局域网内的计算机通过ER5000系列与因特网通信时,ER5000系列可以根据需要自动增加、删除NAT映射表,从而解决一些传统业务(比如NetMeeting)不能穿越NAT的问题。

图5-10 UPnP

选中“启用UPnP”复选框,启用UPnP功能。

5.3  QoS设置

在QoS设置中,您可以设置:

l              流量统计,用于实时查看局域网用户通过ER5000系列进行通信的情况和ER5000系列各网口的流量情况。

l              IP流量限制,用于控制局域网内用户通过ER5000系列进行通信时,上行/下行使用的最大带宽。

l              应用通道管理,用于保证控制数据流、游戏数据流的带宽,限制下载数据流的带宽。

l              NAT表项限制,用于控制局域网内用户通过ER5000系列和因特网所能建立的最大NAT表项数目。它可以防止诸如BT、迅雷等软件对网络带宽的过度占用,从而保证其他用户对网络的的正常使用。

 

5.3.1  流量统计

QoS设置→流量统计

ER5000系列提供流量统计功能,可以统计端口流量和IP流量,您可以根据这些统计数据,更好地了解网络运行状况,方便管理与控制。

IP流量统计是指统计局域网内每台计算机或网络设备通过WAN口的流量(局域网内的流量不统计),IP流量统计可以根据统计项对流量统计结果进行排序。端口流量统计是统计每个物理端口(WAN1、WAN2、LAN 1、LAN 2、LAN3)的流量,端口流量统计不可以排序。

 

 

图5-11 端口流量统计

图5-12 IP流量统计

界面项描述如下:

表5-6 流量统计

界面项

描述

统计周期

刷新统计数据的时间间隔。缺省是10秒。

自动刷新

选中该项,页面显示的统计数据会根据统计周期自动刷新。

启用内网IP流量统计

选中该项,启用ER5000系列的局域网IP流量统计功能,统计局域网内的PC与因特网交互的上行/下行IP流量,对于局域网内部PC之间的IP报文流量不统计。

查看

可以查看端口流量和IP流量(如果已经“启用内网IP流量统计”)。

查看IP流量统计时,可以按某项数据排序查看。在下拉列表框中选择“IP流量”,即可查看局域网IP流量统计结果。此时,页面右边出现下拉列表框,您可以选择显示的统计信息条数,可选项有10、20、30、40、ALL。缺省为10,表示显示10个统计信息项。如果您选择“总包数”降序排序,则该参数10表示只显示总包数降序统计结果表中的前10个统计项。

在线主机数目

可以查看当前在线的主机数目。

 

 

选择“IP流量”后,您可以通过单击某统计项,根据此项对统计数据进行降序排列,再单击一次以升序排列。

【举例】:单击“总包数(PKt)”项,显示的统计信息以总包数从大到小排列,再次单击,则从小到大排列。

5.3.2  设置IP流量限制

QoS设置→IP流量限制

 

有些应用,如BT、迅雷在给用户带来方便的同时,占用了大量的网络带宽。一个网络的总带宽是有限的,如果这些应用过度占用网络带宽,就会影响其它用户正常使用网络。

为了保证局域网内所有用户都能正常使用网络资源,可以通过限制局域网内指定计算机的流量(称为IP流量限制),限制这种过度占用网络带宽的应用。

图5-13 IP流量限制

界面项描述如下:

表5-7 IP流量限制

界面项

描述

启用IP流量限制

选中该项,启用IP流量限制功能。缺省禁用此功能。

允许 每IP通道借用空闲的带宽

启用IP流量限制项时,该功能缺省开启。

当线路空闲时,允许该IP通道超过流量上限值,使用空闲的带宽;当线路拥塞时,该IP通道流量不能超过上限值。

每IP通道只能使用预设的带宽

选中该项,配置的流量上限一直生效,即使线路还有空闲的带宽,也不能使用。

IP起始地址

输入局域网内进行流量限制的计算机起始IP地址。

IP结束地址

输入局域网内进行流量限制的计算机结束IP地址。

限速方向

选择限速方向。含义如下:

l      “上行限速”表示限制由局域网发送到因特网的数据流速率(如局域网内计算机向因特网上的FTP服务器上传文件);

l      “下行限速”表示限制由因特网发送到局域网的数据流速率(如局域网内计算机从因特网上的FTP服务器下载文件);

l      “双向限速”表示同时限制上行、下行两个方向的数据流速率。

上行流量上限

输入最大上行流量(从局域网到因特网的流量),单位为KByte/s。缺省为空,表示不限制。上行流量上限的取值范围是 1 ~ 10000KByte/s。

注意:这里限制的值是在“IP起始地址”和“IP结束地址”地址段中各个计算机的上行带宽,而不是IP地址段内所有计算机的共享上行带宽。

下行流量上限

输入最大下行流量(从因特网到局域网的流量),单位为KByte/s。缺省为空,表示不限制。下行流量上限的取值范围是 1 ~ 10000 KByte/s。

注意:这里限制的值是在“IP起始地址”和“IP结束地址”地址段中各个计算机的下行带宽,而不是IP地址段内所有计算机的共享下行带宽。

注释

描述这条IP流量限制规则,支持1~31个数字和英文字符。

 

 

【举例1】:某网吧中有两个区域:普通用户区(对应IP地址段:192.168.1.2~192.168.1.150)、贵宾用户区(对应IP地址段:192.168.1.151~192.168.1.200)。为了让贵宾区用户享受更大的带宽,需要限制每个普通用户的的带宽(如最大不超过80Kbyte/s),并且在线路不拥塞时,每个普通用户也只能使用预设的带宽,不允许利用空闲的带宽。

设置如下:

图5-14 IP流量限制

 

【举例2】:某网吧由于下载文件的用户比较多,有时网速比较慢,而且影响到了一些玩网络游戏的用户,出现游戏掉线的状况。需要保证下载不会占用过多的带宽,影响上网或游戏的使用。

设置如下:

图5-15 IP流量限制

5.3.3  应用通道管理

QoS设置→应用通道管理

ER5000系列提供应用通道管理功能,通过设置“绿色专用通道”和“限制通道”,对不同的数据业务流分配不同的带宽,以此来达到“保证控制数据流、游戏数据流的带宽,限制下载数据流带宽”的目的。

一般情况下,可以把游戏报文、交互报文等对时延要求较高的应用流量通过绿色专用通道转发;把BT等占用大量带宽资源的P2P流量通过限制通道转发;其余流量自动通过正常通道转发。

 

 

图5-16 应用通道管理(ER5100)

 

界面项描述如下:

表5-8 应用通道管理

界面项

描述

绿色专用通道

选中该项,启用绿色专用通道功能。该通道中的业务数据流在使用预设带宽的同时允许使用其它通道的空闲带宽。缺省禁用此功能。

上行流量上限

输入最大上行流量(从局域网到因特网的流量),单位是 Mbps 。上行流量上限的取值范围是 0.1 ~ 100Mbps 。

注意:这里的参数请您根据实际需要保证的带宽自行设置,可以填写到小数点后一位有效数字。

下行流量上限

输入最大下行流量(从因特网到局域网的流量),单位是 Mbps 。下行流量上限的取值范围是 0.1 ~ 100Mbps 。

注意:这里的参数请您根据实际需要保证的带宽自行设置,可以填写到小数点后一位有效数字。

数据包长度选择

根据数据包长度来识别需要发送到绿色专用通道的流量。

缺省禁用此功能。数据包长度识别的阈值建议使用默认值128字节。

端口选择

根据应用协议端口来识别需要发送到绿色专用通道的流量。

缺省禁用此功能。

应用名称

需要识别的端口组的注释名称,可以为空。

端口号

设置需要识别的端口号。端口范围 1 ~ 65535 。

限制通道

选中该项,启用限制通道功能,该通道中的业务数据流只能使用本通道的带宽。

缺省禁用此功能。

上行流量上限

输入最大上行流量(从局域网到因特网的流量),单位是 Mbps 。上行流量上限的取值范围是 0.1 ~ 10Mbps 。

注意:这里的参数请您根据实际需要保证的带宽自行设置,可以填写到小数点后一位有效数字。

下行流量上限

输入最大下行流量(从因特网到局域网的流量),单位是 Mbps 。下行流量上限的取值范围是 0.1 ~ 10Mbps 。

注意:这里的参数请您根据实际需要保证的带宽自行设置,可以填写到小数点后一位有效数字。

应用名称

需要识别的端口组的注释名称,可以为空。

端口号

设置需要识别的端口号。端口范围 1 ~ 65535 。

 

 

【举例】:某网吧的实际带宽为10 M bps,有100人在上网 ,其中大部分用户都在玩魔兽争霸3,还有一些用户使用BT在下载影片。需要保证即使线路拥塞时,游戏数据包仍能及时转发,并限制BT下载过度占用带宽。

设置如下:

图5-17 应用通道管理

 

5.3.4  设置NAT表项限制

QoS设置→NAT表项限制

 

ER5000系列作为局域网内的统一出口,其支持的NAT表项是有限的,如果局域网内部一部分计算机占用了大部分NAT资源(如使用BT),其它用户上网就会受到影响。

一般情况下,计算机正常使用时(如浏览网页等)所需要的NAT表项不会太多,为了避免部分计算机过多占用NAT资源,可以限制每台计算机通过ER5000系列建立的最大NAT表项数。

图5-18 NAT表项限制

界面项描述如下:

表5-9 NAT表项限制

界面项

描述

启用NAT表项限制

选中该项,启用NAT表项限制功能。缺省关闭此功能。

IP起始地址

输入局域网内进行NAT表项限制的计算机起始IP地址。

IP结束地址

输入局域网内进行NAT表项限制的计算机结束IP地址。

NAT表项个数上限

输入要限制的最大NAT表项个数。缺省为空,表示不限制。NAT 表项个数上限的取值范围是 0 ~ 10000。

注意:这里限制的值是在“IP起始地址”和“IP结束地址”地址段中各个计算机的NAT表项个数,而不是IP地址段内所有计算机的共享NAT表项个数。

注释

描述这条NAT表项限制规则,支持1~31个数字和英文字符。

 

 

5.4  系统服务

在系统服务中,您可以设置:

l              虚拟服务器,设置内部服务器提供给因特网用户访问。

l              DMZ(Demilitarized zone,非管制区),DMZ的主机,实际就是缺省的虚拟服务器,当需要设置的虚拟服务器的开放端口不确定时,可以把它设置成DMZ主机。

l              端口触发,可以实现ER5000系列根据局域网访问因特网的端口来自动开放向内的服务端口。

l              ALG(Application Layer Gateway,应用层网关)应用,对某些需要ALG处理的协议,可以启用或禁用ER5000系列的ALG功能。

l              动态域名,用于把ER5000系列的WAN口的IP与申请的动态域名建立对应关系,当WAN口IP地址变化时,因特网用户也能方便地通过域名来访问虚拟服务器。

5.4.1  设置虚拟服务器(端口映射)

系统服务→虚拟服务器

为保证局域网的安全,ER5000系列会阻断从因特网主动发起的连接请求,因此,如果要使因特网用户能够访问局域网内的服务器(如Web服务器、Email服务器、FTP服务器等),需要设置虚拟服务器。

虚拟服务器也可称为端口映射,它可以将WAN口IP地址、外部端口号和局域网内服务器IP地址、内部端口号建立映射关系,使所有对该WAN口某服务端口的访问重定向到指定的局域网内服务器的相应内部端口。

 

图5-19 虚拟服务器

界面项描述如下:

表5-10 虚拟服务器

界面项

描述

预置设置

系统提供常用的服务选项,如FTP、Web等服务。

在下拉列表框中选择一项服务,服务名称、外部端口、内部端口项都将自动完成设置。

说明:

l      如果ER5000系列提供的预设服务没有您需要的,您可以自行设置下面的服务信息。

l      预设服务的端口号是常用端口号,如果需要,您可以自行修改。

服务名称

该条虚拟服务器设置项的名称。支持0~15个数字和英文字符。

外部端口

客户端访问虚拟服务器所使用的端口。取值范围:1~65535,端口范围必须从小到大。如果只有一个端口,则两处填写同一端口号。

说明:各设置项的外部端口不能重复,且内部端口和外部端口的设定个数必须一样,即内部端口和外部端口一一对应。例如,设置一条虚拟服务器,外部端口为100-102,内部端口为10-12,如果ER5000系列收到外部101端口的访问请求,则ER5000系列把数据报文转发到内部服务器的11端口。

内部端口

虚拟服务器上真实开放的服务端口。取值范围:1~65535,端口范围必须从小到大。如果只有一个端口,则两处填写同一端口号。

说明:各设置项的内部端口允许重复,且内部端口和外部端口的设定个数必须一样,即内部端口和外部端口一一对应。

内部服务器IP

虚拟服务器的IP地址。

 

【举例】:某公司的内部局域网,通过ER5000系列连接因特网,局域网内有一台Web服务器(IP地址为192.168.1.100,服务端口为80),客户端(因特网上用户或本公司局域网用户)需要通过8080端口访问这台服务器的Web服务。

设置如下:

图5-20 虚拟服务器设置举例

设置完成后,只需在客户端浏览器中输入http://xxx.xxx.xxx.xxx:8080,就可以访问Web服务器(xxx.xxx.xxx.xxx为ER5000系列当前的WAN口地址)了。

 

5.4.2  设置DMZ主机

DMZ主机实际上就是一个缺省的虚拟服务器,优先级低于虚拟服务器。

如果ER5000系列收到一个来自外部网络的连接请求时,它将首先根据外部请求的服务端口号,查找虚拟服务列表,检查是否有匹配的映射表项:

l              如果有匹配的表项,就把请求消息发送到该表项对应的虚拟服务器上去;

l              如果没有查到匹配的表项,检查是否有匹配的DMZ主机,如果DMZ主机存在,就把请求消息全都转发到DMZ主机上去,否则丢弃。

 

图5-21 DMZ

界面项描述如下:

表5-11 DMZ

界面项

描述

丢弃

选中该项,当外来报文没有匹配到任何虚拟服务器表项时,ER5000系列将丢弃该报文。

重定向到DMZ主机

选中该项,当外来报文没有匹配到任何虚拟服务器表项时,ER5000系列会把报文全都转发到DMZ主机上。

选中该项后,还需要设置“DMZ主机IP地址”。如果设置的DMZ主机IP地址不存在,则ER5000系列丢弃该报文。

DMZ主机IP地址

设置DMZ主机的IP地址。

说明:局域网内只能设置一个DMZ主机。

 

5.4.3  设置端口触发

系统服务→端口触发

局域网客户端访问因特网上服务器,对于某些应用,客户端向服务器主动发起连接的同时,也需要服务器向客户端主动发起连接请求,而缺省情况下ER5000系列收到WAN侧主动连接的请求都会拒绝,这样就会中断通信。通过定义端口触发规则,当客户端访问服务器触发此规则后,ER5000系列自动开放服务器需要向客户端请求的端口,这样可以保证通信正常。

客户端和ER5000系列没有数据交互一段时间后,ER5000系列自动关闭之前对外开放的端口,既保证应用的正常使用,又能最大限度地保证局域网的安全。

 

图5-22 端口触发

界面项描述如下:

表5-12 端口触发

界面项

描述

应用名称

该条端口触发设置项的名称。支持1~15个数字和英文字符。

触发端口

局域网客户端向服务器发起请求的端口。取值范围:1~65535,端口范围必须从小到大。如果只有一个端口,则两处填写同一端口号。

外来端口

服务器需要主动向局域网内客户端请求的端口。取值范围:1~65535,可设置单一端口、端口范围或两者的组合,端口间用英文逗号“,”隔开。例如:100,200-300,400。

启用

在下拉列表框中选择“使能”,启用该条端口触发规则;选择“禁用”,禁用该条端口触发规则。

 

系统服务→ALG应用

有些应用协议需要创建动态连接,创建动态连接所需的IP地址和端口是在协议内容中动态描述的,而ER5000系列会拒绝WAN侧主动发起的 连接,通过配置静态过滤规则无法允许这些动态连接的建立,所以需要启用ALG来解决,把协议中携带的地址和端口号改成NAT网关的IP地址和空闲的端口号,并把对端传输过来的数据重定向到局域网内的设备。

针对需要做ALG的一些应用协议,ER5000系列进行了ALG处理,在使用时只需要设置启用即可。

缺省情况下,以下协议的ALG已经启用,建议保留缺省设置,不做修改。

图5-23 应用层网关

5.4.5  设置动态域名

系统服务→动态域名

由于通过PPPoE或动态获取IP地址上网时,获取到的IP地址不固定,这给想访问本局域网服务器的因特网用户带来很大的不便。DDNS(Dynamic Domain Name Service,动态域名服务)可以解决这个问题。

ER5000系列在DDNS服务器上会建立一个IP与域名(需要预先注册)的关系表,当WAN口IP地址变化时,ER5000系列会自动向指定的DDNS服务器发起更新请求,DDNS服务器上更新域名与IP地址的对应关系,无论ER5000系列的WAN口IP地址如何改变,因特网上的用户仍可以通过域名对其进行访问。

 

图5-24 动态域名

界面项描述如下:

表5-13 动态域名

界面项

描述

DDNS

启用或禁用对应WAN口的DDNS功能。缺省是禁用DDNS。

用户名

输入在DDNS服务器上申请的登录用户名,支持1~31个数字、英文字符和特殊字符。

密码

输入在DDNS服务器上申请的登录密码,支持1~31个数字、英文字符和特殊字符。

注册的主机名

输入在DDNS服务器上申请的主机名。例如:ddnstest.3322.org

DDNS服务器地址

选择DDNS服务器地址。此项选择要与注册的服务器保持一致。

本项提供3322.org、花生壳两种选择。

当前地址

显示对应WAN口的当前IP地址。

状态

当前对应WAN口DDNS工作状态。

l      “未连接”表示DDNS功能未启用;

l      “注册成功” 表示向DDNS服务器注册服务成功;

l      “注册失败” 表示当前接口的DDNS服务注册没有成功,可能是用户名或密码错误。

只有状态处于“注册成功”时。对应WAN口的DDNS功能才可用。

 

【举例】:如果您已经在www.3322.org上注册了域名ER.3322.org,建立该域名与ER5000系列的WAN口IP地址之间动态对应关系的方法如下图。

图5-25 DDNS举例

5.5  路由设置

在路由设置中,您可以设置:

l              静态路由,根据需要手工指定路由。在简单的网络中,静态路由是易于设置和维护的。

l              源地址路由,用于根据源IP地址来选择网络路径。

 

5.5.1  设置静态路由

路由设置→静态路由

静态路由通过手工设定目的地址、子网掩码、下一跳地址和出接口等来使到指定目的地址的报文走指定的路径。静态路由不会根据网络结构的变化而变化,当到目的网络路径变化或网络故障时,只能通过手工修改对应的静态路由表重新指定报文到目的网络的路径。

静态路由添加完毕后,单击<查看路由信息表>按钮查看所添加的静态路由是否生效。如果添加了错误的路由,则只在下图中的静态路由表中显示,却并不生效,路由信息表中没有该路由。

 

图5-26 静态路由设置界面

界面项描述如下:

表5-14 静态路由设置项说明

界面项

说明

目的地址

需要到达的目的IP地址。

子网掩码

需要到达的目的地址子网掩码。

下一跳地址

数据在到达目的地址前,需要经过的下一个路由器的IP地址。

出接口

选择静态路由的出接口。必须选择正确的出接口,添加的静态路由才能正确生效。

注释

可以对所设的静态路由进行注释说明。支持1~15个数字和英文字符。

<查看路由信息表>

单击该按钮,查看当前生效的静态路由。

 

一般有两种情况需要设置ER5000系列的静态路由,请见以下举例。

【举例1】:如下图所示,在LAN B内的PC 2通过路由器和ER5000系列相连,而在LAN A内的PC 1是直接连接到ER5000系列的LAN口的。如果希望LAN A中计算机与LAN B中计算机相互访问或LAN B中计算机通过ER5000系列访问因特网,需要在ER5000系列上设置静态路由。

图5-27 静态路由设置举例组网图

设置步骤:

(1)        根据上图配置完成各设备的IP地址。

(2)        在路由器Router上设置其缺省网关为ER5000系列的LAN口地址。

(3)        在ER5000系列上设置一条到LAN B的静态路由,如下图:

图5-28 静态路由设置举例

(4)        单击<增加>按钮,增加到静态路由表中。

(5)        单击<确定>按钮,配置完成。

【举例2】:某学校使用ER5200,既要可以上因特网(通过PPPoE拨号上网),又要可以访问教育网服务器(静态IP地址方式)。(此例需要双WAN口,仅针对ER5200)

图5-29 静态路由设置举例组网图(仅ER5200支持)

设置分析:由于局域网访问因特网的目的地址无规律,而到教育网上的服务器的地址比较固定(固定的IP地址或IP地址段),设置访问教育网的静态路由可以使局域网中用户访问教育网服务器使用教育网线路,访问因特网则使用缺省的电信线路。

设置步骤:

(1)        设置连接对应电信线路(WAN1)的接口PPPoE拨号参数。

(2)        设置连接教育网线路(WAN2)的接口的静态IP地址参数息。

(3)        设置手动负载均衡模式,缺省链路是WAN1。

(4)        设置静态路由,使目的地址为教育网服务器的IP报文通过WAN2到教育网。单击<增加>按钮,增加到静态路由表中。

(5)        单击<确定>按钮,保存配置。

图5-30 静态路由设置举例

(6)        单击<增加>按钮,增加到静态路由表中。

(7)        单击<确定>按钮,配置完成。

路由设置→源地址路由

 

ER5200提供独特的源地址路由功能,即指定LAN内计算机的出口。该功能可以起负载分担的作用。

图5-31 源地址路由

界面项描述如下:

表5-15 源地址路由

界面项

描述

源地址起始IP

输入源地址起始IP。

源地址结束IP

输入源地址结束IP。

出接口

选择出接口。

启用

选择使能,启用该条路由;选择禁用,则禁用该条路由。

注释

输入对该条源地址路由的说明。支持1~15个数字和英文字符。

 

【举例】:某网吧有两个因特网线路,局域网内有普通区(IP地址范围是192.168.1.2~192.168.1.100)和贵宾区(IP地址范围是192.168.1.101~192.168.1.200),管理员分配给普通区用户带宽比较小的线路(连接到 ER5200的WAN1口),分配给贵宾区用户带宽比较大的线路(连接到 ER5200的WAN2口)。

设置步骤:

(1)        设置普通用户的源地址路由,如下图。

图5-32 普通用户的源地址路由

(2)        单击<增加>按钮,增加到源地址路由表中。

(3)        设置贵宾用户的源地址路由,如下图。

图5-33 贵宾用户的源地址路由

(4)        单击<增加>按钮,增加到源地址路由表中。

(5)        单击<确定>按钮,配置完成。