Professional Documents
Culture Documents
使用手冊
Version 1.0
2010-05-03
關於本手冊
版權聲明
GSI 公司版權所有,保留一切權利。本檔中出現的任何文字敘述、文件檔案格式、插圖、照片、方法、
過程等內容,除另有特別注明,版權屬 GSI 公司所有,受到有關產權及版權法保護。非經本公司書面許可,
任何單位和個人不得擅自拷貝、傳播、複製、洩露本文檔的全部或部分書內容。
資訊更新
本文檔案僅用於為最終使用者提供資訊,並且隨時可 GSI 公司更改或撤回。如需要獲取最新手冊,請聯
繫 GSI 公司客戶服務部。
術語說明
¾ LDAP:羽量級目錄訪問協定(Lightweight Directory Access Protocol)的英文縮寫。該協定定義了一
種在客戶機/伺服器模型中本地或遠端存取和更新目錄(資料庫)中的資訊的標準方法。
¾ Console:控制台或控制台終端。
¾ POST:HTTP 協議提供的一種方法,經常用於在網頁中提交表單數據。
¾ IM:即時通信(Instant Messenger)的英文縮寫。
¾ P2Pstreaming:網路電視。
¾ Streaming Media:流媒體應用。
目 錄
第一部分 產品概述 .................................................................................................................................................. 6
1 圖形介面格式約定 .................................................................................................................................................. 6
2 面版說明 .................................................................................................................................................................. 6
3 環境要求 .................................................................................................................................................................. 6
4 接線方式 .................................................................................................................................................................. 7
5 登錄設備 .................................................................................................................................................................. 7
6 更新/儲存/登出 ........................................................................................................................................................ 7
7 密碼恢復 .................................................................................................................................................................. 8
第二部分 產品配置 .................................................................................................................................................. 9
8 設備狀態 .................................................................................................................................................................. 9
9 即時監控 ................................................................................................................................................................ 10
9.1 設備資源 ................................................................................................................................................ 10
9.2 實體介面 ................................................................................................................................................ 11
9.3 服務監控 ................................................................................................................................................ 12
9.3.1 服務趨勢疊加圖 ............................................................................................................................ 12
9.3.2 服務組趨勢圖 ................................................................................................................................ 13
9.3.3 活躍服務統計 ................................................................................................................................ 14
9.3.4 所有服務統計 ................................................................................................................................ 15
9.4 用戶監控 ................................................................................................................................................ 16
9.4.1 流量分析 ........................................................................................................................................ 16
9.4.2 新建會話速率 ................................................................................................................................ 17
9.4.3 連線數分析 .................................................................................................................................... 18
10 系統設定 ........................................................................................................................................................ 19
10.1 設備工作模式 ........................................................................................................................................ 19
10.1.1 橋接器模式 ............................................................................................................................ 19
10.1.2 路由模式 ................................................................................................................................ 21
10.2 系統維護 ................................................................................................................................................ 22
10.2.1 系統升級 ................................................................................................................................ 22
10.2.2 備份與恢復 ............................................................................................................................ 24
10.2.3 重啟操作 ................................................................................................................................ 25
10.3 系統管理員 ............................................................................................................................................ 25
10.4 網管策略 ................................................................................................................................................ 27
10.5 網管參數 ................................................................................................................................................ 28
10.6 網路工具 ................................................................................................................................................ 29
10.6.1 Ping ......................................................................................................................................... 29
10.6.2 TraceRoute .............................................................................................................................. 30
10.7 系統時間 ................................................................................................................................................ 31
10.8 系統資訊 ................................................................................................................................................ 33
11 系統物件 ........................................................................................................................................................ 33
11.1 地址簿 .................................................................................................................................................... 33
11.2 網路服務 ................................................................................................................................................ 35
11.2.1 自訂普通服務 ........................................................................................................................ 35
11.2.2 自訂特徵識別 ........................................................................................................................ 37
11.2.3 常用服務 ................................................................................................................................ 38
11.3 時間計畫 ................................................................................................................................................ 39
11.4 URL 庫 ..................................................................................................................................................... 41
11.5 關鍵字組 ................................................................................................................................................ 43
11.6 檔案類型 ................................................................................................................................................ 44
12 網路設定 ........................................................................................................................................................ 46
12.1 端口設定 ................................................................................................................................................ 46
12.1.1 實體介面 ................................................................................................................................ 46
12.1.2 VLAN 介面 ............................................................................................................................ 47
12.1.3 PPPoE ..................................................................................................................................... 49
12.1.4 GRE 隧道 ............................................................................................................................... 50
12.2 IP 位址設定 ........................................................................................................................................... 52
12.3 路由配置 ................................................................................................................................................ 53
12.3.1 靜態路由 ................................................................................................................................ 53
12.3.2 策略路由 ................................................................................................................................ 55
12.4 本機 DNS ................................................................................................................................................. 58
12.5 ARP 表 ..................................................................................................................................................... 59
12.6 DHCP 配置 ............................................................................................................................................... 61
12.6.1 基本參數 ................................................................................................................................ 61
12.6.2 已分配 IP 地址 ....................................................................................................................... 63
13 防火牆 ............................................................................................................................................................ 64
13.1 安全性原則 ............................................................................................................................................ 64
13.2 NAT 規則 ................................................................................................................................................. 67
13.2.1 內網代理 ................................................................................................................................ 67
13.2.2 一對一位址轉換 .................................................................................................................... 69
13.2.3 埠鏡射 .................................................................................................................................... 70
14 流量管理 ........................................................................................................................................................ 72
14.1 線路頻寬配置 ........................................................................................................................................ 73
14.2 基於策略的流控 .................................................................................................................................... 73
14.3 基於用戶的流控 .................................................................................................................................... 78
15 行為管理 ........................................................................................................................................................ 81
15.1.1 認證策略 ................................................................................................................................ 81
15.2 上網行為策略 ........................................................................................................................................ 84
15.2.1 URL 過濾 ............................................................................................................................... 85
15.2.2 關鍵字過濾 ............................................................................................................................ 86
15.2.3 檔案傳輸過濾 ........................................................................................................................ 88
15.2.4 即時通訊過濾 ........................................................................................................................ 88
15.2.5 郵件過濾 ................................................................................................................................ 89
15.3 組織管理 ................................................................................................................................................ 90
15.3.1 組織結構 ................................................................................................................................ 91
15.3.2 批量導入 .............................................................................................................................. 108
15.3.3 LDAP 導入 ........................................................................................................................... 109
15.3.4 AD 導入................................................................................................................................ 111
15.3.5 掃描內網主機 ...................................................................................................................... 113
15.4 認證選項 .............................................................................................................................................. 116
15.4.1 SNMP 設置 .......................................................................................................................... 116
15.4.2 認證參數 .............................................................................................................................. 118
15.4.3 未認證許可權 ...................................................................................................................... 118
15.5 認證伺服器 .......................................................................................................................................... 119
15.5.1 RADIUS 伺服器................................................................................................................... 119
15.5.2 AD 伺服器............................................................................................................................ 121
15.5.3 LDAP 伺服器 ....................................................................................................................... 122
15.5.4 POP3 伺服器 ........................................................................................................................ 124
15.6 黑名單管理 .......................................................................................................................................... 125
15.6.1 黑名單規則 .......................................................................................................................... 125
15.6.1 當前黑名單 .......................................................................................................................... 127
15.7 線上用戶 .............................................................................................................................................. 129
16 IPv6 配置 ...................................................................................................................................................... 131
16.1 網路工具 .............................................................................................................................................. 131
16.1.1 Ping6 ..................................................................................................................................... 131
16.1.2 TraceRoute6 .......................................................................................................................... 132
16.2 配置 IPv6 位址 .................................................................................................................................... 133
16.3 靜態路由 .............................................................................................................................................. 135
16.4 無狀態自動位址配置 .......................................................................................................................... 137
16.5 靜態路由 .............................................................................................................................................. 137
16.6 本機 DNS ............................................................................................................................................... 139
16.7 鄰居表 .................................................................................................................................................. 139
16.8 防火牆 .................................................................................................................................................. 141
17 HA 配置 ....................................................................................................................................................... 143
18 系統日誌 ...................................................................................................................................................... 144
18.1 命令日誌 .............................................................................................................................................. 144
18.2 事件日誌 .............................................................................................................................................. 145
18.3 使用者日誌 .......................................................................................................................................... 146
18.4 黑名單日誌 .......................................................................................................................................... 147
19 故障排除 ...................................................................................................................................................... 148
19.1 捕獲數據封包 ...................................................................................................................................... 148
19.2 查看數據封包 ...................................................................................................................................... 150
20 Reporter ........................................................................................................................................................ 150
20.1 內容記錄配置 ...................................................................................................................................... 151
20.2 內置 Reporter ....................................................................................................................................... 153
第一部分 產品概述
1 圖形介面格式約定
格式 描述
【 】 代表菜單或子功能表名稱
代表 WEB 網管配置路徑:如【系統物件】>【位址簿】
,表示“系
>
統物件”功能表下的“位址簿”功能表
2 面版說明
前面板,如下圖所示,由左至右為:公司 LOGO、2 個 USB 埠、LAN1、WAN1、LAN2、WAN2、……、產品型號、
電源指示燈。
{請根據實際型號說明}
後面板,如下圖所示,由左至右為:電源風扇、電源介面、電源開關、……。
{請根據實際型號說明}
3 環境要求
設備系列產品可在如下環境使用:
¾ 溫度: -10~50 ℃
¾ 濕度: 5~90%
為保證系統能長期穩定的運行,應保證電源有良好的接地措施、防塵措施、保持使用環境的空氣通暢和室溫
穩定。本產品符合關於環境保護方面的設計要求。
提示:
1、 保證設備工作在建議的環境要求內,否則可能導致設備損壞或提早老化。
2、 設備良好的接地可以有效避免雷擊。
4 接線方式
請按照如下步驟進行硬體設備的接線:
4、 橋接模式:LAN1 和 WAN1 為橋接器 1,LAN2 和 WAN2 為橋接器 2、……、LANm 和 WANm 為橋接器 m。每個橋
接之間是獨立通信的,橋之間不能傳遞資料。
5、 路由模式:可以接入多條出口線路,每個埠之間在策略允許的情況下可以通信。
5 登錄設備
設備預設使用 LAN1 作為網管口,LAN1 出廠地址為
192.168.0.1/24。設備 支援兩種方式的 WEBUI 登錄:
提示:
1、 配置之前,必須保證用於網管的電腦與 NSSP 的網管口位址在同一個網段。如果第一次配置,請
連接 LAN1 埠,LAN1 出廠位址為 192.168.0.1/24,電腦的位址應配置為 192.168.0.0/24,但不允
許為 192.168.0.1。
2、 連接後可以增加/修改物理埠或者橋接器的 IP 位址,設備的每一個 IP 位址都可以用於網管。
6 更新/儲存/登出
在 設備 提供的 WEB 方式的管理介面中的最右上角有三個連結,分別是“更新”、“儲存”、“登出”。點
擊“刷新”可手動更新當前頁。點擊“儲存”並確認後,可將當前配置儲存到系統硬
碟中。點擊“登出”並確認後,即可成功退出系統。
7 密碼恢復
如果管理員密碼丟失,請按以下步驟恢復系統預設密碼:
3. 密碼恢復成功,網管密碼恢復到出廠設置(username:admin,password:admin*PWD)
。
第二部分 產品配置
8 設備狀態
登錄設備後,進入到設備首頁,即設備狀態頁面。設備狀態頁面包含了設備版本資訊、設備資源即時網
路流量、前十名服務即時流量分佈、前十名用戶即時流量排名等五大部分內容。如下圖:
图1. 首頁
“前十名服務即時流量分佈”動態顯示了以總速率排名的前十名服務。當滑鼠滑過某服務名稱時,會出
現“顯示線上使用者”的提示,點擊即可查看該服務的線上使用者的資訊。當滑鼠滑過某服務後面的頻寬值
時,會出現“顯示最近一小時的趨勢圖”的提示,點擊即可查看到該服務最近一小時的速率趨勢圖。點擊對
應的“詳細”按鈕,可以連接到“服務趨勢圖”頁面,查看到前十名服務的速率疊加趨勢圖。
“前十名使用者即時流量排名”動態顯示了以總速率排名的前十名用戶。當滑鼠滑過某使用者時,會出
現“顯示活躍服務”的提示,點擊即可查看該使用者正在使用的服務的資訊。當滑鼠滑過某使用者後面的頻
寬值時,會出現“顯示最近一小時的趨勢圖”的提示,點擊即可查看到該使用者最近一小時的速率趨勢圖。
點擊對應的“詳細”按鈕,可以連接到“使用者流量分析”頁面,查看到前五十名使用者的速率排名統計資
訊。
9 即時監控
即時監控部分用於查看設備即時的工作狀態,包括設備資源、實體介面、服務監控、使用者監控四大部
分。
9.1 設備資源
設備資源包括了 CPU 使用率、記憶體使用率、會話數、線上用戶數、線上認證使用者數、磁片資訊等共
六部分。如下圖:
图2. 設置資源
各分頁詳細說明如下:
¾ 記憶體使用率:查看最近一小時記憶體使用率。
¾ 活躍會話數:查看最近一小時活躍會話數的統計趨勢圖。
¾ 線上 IP 數:查看最近一小時線上用戶數的統計趨勢圖。
¾ 線上認證用戶數:查看最近一小時線上認證用戶數的統計趨勢圖。
每個圖的下方都顯示了最近一小時的最大值、最小值、平均值、最新值(最近一個採樣點的值)及每個值
對應的時間點,圖中還用箭頭指明了最大值。如果這些值分佈在多個時間點,則顯示最後一個時間點。例如,
最大值分佈在 15:09:11 和 15:45:23 兩個時間點,那麼圖中箭頭指明的時間點和圖下方最大值對應的括弧中
的時間點都是最後一個點 15:45:23。
9.2 實體介面
實體介面頁面的內容含兩部分:所有埠的全域資訊、每個埠的速率趨勢圖。
第一:實體介面的全域資訊,如下圖:
图3. 實體介面統計圖
全域資訊包括了以下內容:
¾ 柱圖顯示了每個實體介面收發速率。
¾ 表格顯示了每個介面的收發資料的統計資訊,每個實體介面上面一行對應該介面接收資料的統計資訊,
下面一行對應該介面發送資料的統計資訊。
¾ 表格中的古藍色圓餅代表該埠為連接狀態,灰色圓餅代表該埠為未連接狀態。
第二:單個實體介面的統計資訊包括了總的速率、接收速率、發送速率,如下圖:
图4. LAN1 實體介面統計圖
每個介面分頁的下方都顯示了最近一小時的最大值、最小值、平均值、最近一個採樣點的值及每個值對
應的時間點,圖中還用箭頭指明了最大值。如果這些值分佈在多個時間點,則顯示最後一個時間點。例如,
最大值分佈在 15:09:11 和 15:45:23 兩個時間點,那麼圖中箭頭指明的時間點和圖下方最大值對應的括弧中
的時間點都是最後一個點 15:45:23。
9.3 服務監控
服務監控頁面顯示了前十名服務趨疊加勢圖、服務組趨勢圖、活躍服務、所有服務四部分。
9.3.1 服務趨勢疊加圖
服務趨勢疊加圖如下:
图5. 服務監控統計圖
9.3.2 服務組趨勢圖
服務組趨勢圖如下:
這裡顯示了所有服務組的疊加趨勢圖,一共有自訂普通服務、自訂特徵識別、常用服務、HTTP 下載、P2P
下載、WEB 視頻、流媒體、即時通訊、網路電話、網路遊戲、股票交易、網上銀行、其他服務等 13 種類型。
9.3.3 活躍服務統計
“活躍服務”將顯示當前所有的活躍的服務,如下圖:
最新速率:表示某服務最後一個採樣點的速率值。上箭頭後面的值表示上傳速率,下箭頭後面的值表示
下載速率。
最近一小時總流量:表示某服務最近一小時傳輸的流量疊加值。上箭頭後面的值表示上傳流量,下箭頭
後面的值表示下載流量。
最近一小時平均速率:表示某服務最近一小時的平均速率。上箭頭後面的值表示上傳速率,下箭頭後面
的值表示下載速率。
點擊對應服務操作欄的<趨勢圖>按鈕,可以查看此服務最近一小時的速率趨勢圖。點擊<線上用戶>可以
查看正在使用此服務的使用者的資訊。
9.3.4 所有服務統計
“所有服務”將分類顯示所有的服務統計值,如下圖:
最新速率:表示某服務最後一個採樣點的速率值。上箭頭後面的值表示上傳速率,下箭頭後面的值表示
下載速率。
最近一小時總流量:表示某服務最近一小時傳輸的流量疊加值。上箭頭後面的值表示上傳流量,下箭頭
後面的值表示下載流量。
最近一小時平均速率:表示某服務最近一小時的平均速率。上箭頭後面的值表示上傳速率,下箭頭後面
的值表示下載速率。
點擊對應服務操作欄的<趨勢圖>按鈕,可以查看此服務最近一小時的速率趨勢圖。點擊<線上用戶>可以
查看正在使用此服務的使用者的資訊。
9.4 用戶監控
使用者監控頁面顯示了前五十名使用者的即時傳輸速率、新建會話速率和活躍會話數。
9.4.1 流量分析
前五十名用戶的即時傳輸速率統計圖如下:
點擊<趨勢圖>按鈕可以查看該使用者最近一小時的速率趨勢圖。
點擊<活躍服務>按鈕可以查看該使用者當前使用的服務的資訊。
9.4.2 新建會話速率
前五十名用戶的新建會話的統計圖如下:
點擊<趨勢圖>按鈕可以查看該使用者最近一小時的速率趨勢圖。
點擊<活躍服務>按鈕可以查看該使用者當前使用的服務的資訊。
9.4.3 連線數分析
前五十名用戶的當前活躍會話統計圖如下:
點擊<趨勢圖>按鈕可以查看該使用者最近一小時的速率趨勢圖。
點擊<活躍服務>按鈕可以查看該使用者當前使用的服務的資訊。
10 系統設定
“系統設定”主要包括設備工作模式、系統維護、系統管理員、網管策略、網管參數、網路工具、系統
時間、系統資訊八個大項。
10.1 設備工作模式
“設備工作模式”用來設置設備的工作模式,可以設定為橋接器模式和路由模式,預設為橋接器模式。
使用者可根據網路中的實際情況選擇相應的接入模式。
提示:改變設備的工作模式,設備的配置被清空,並自動重啟。
10.1.1 橋接器模式
功能描述:
橋接器模式是把 設備 視為一條帶過濾功能的網線使用,把設備接在原有閘道及內網使用者之間,不用更改
網路拓撲結構和配置,這種模式於使用者可以做到完全“透明”。如下圖所示:
單橋接器模式 雙橋接器模式
配置路徑:【系統設定】>【工作模式】
配置描述:
第一:進入【工作模式】頁面,如下圖:
图6. 工作模式
第二:【工作模式】預設為橋接器模式,在<橋接器類型>中選擇希望配置的橋,點擊<確定>按鈕。
提示:
1、 設備工作在橋接器模式時,局域網內電腦的閘道都不需要改變。
2、 設備工作在橋接器模式時,必須保證原有上網資料穿透設備,即不能存在內網使用者可繞過 設
備,到達原有閘道的實體線路。
3、 設備工作在橋接器模式時,穿透資料時要保證 WAN 區接連接外網方向的路由設備,LAN 區接
內網的交換機,不能接反。資料從 LAN 區發到 WAN 區的能進行上網行為的監控和控制。
4、 設備的橋接器模式是在資料連結層(OSI 第二層)上實現的透明,是通過把 設備的兩個網口橋接
起來實現的。所以資料連結層及以上各層的資料均可穿透。
5、 橋接器模式時,設備支援 VLAN TRUNK 穿透,設備可以透明接在 VLAN TRUNK 的主幹道上。
6、 在橋接器模式不能啟用 NAT 功能。
10.1.2 路由模式
功能描述:
此模式下設備工作類似一個路由器,可以進行路由拓撲構造。每個實體介面可以工作在不同的子網中,使 LAN
與 Internet 之間建立一個安全閘道。如下圖所示:
單鏈路路由模式 雙鏈路路由模式
配置路徑:【系統設定】>【工作模式】
配置描述:
進入【工作模式】頁面,選擇<路由模式>,點擊<確定>按鈕,如下圖:
图7. 路由模式
10.2 系統維護
10.2.1 系統升級
功能描述:
¾ 系統 Firmware:設備軟體程式。
¾ 應用特徵庫:應用特徵碼的庫檔。
¾ 授權文件:給設備進行授權的檔。當前授權檔包括以下資訊:
設備序號:唯一標示設備的序號。
授權類型:試用版/正式版;試用版代表給客戶試用的版本,正式版代表正式銷售的版本。
授權有效期: 試用版授權文件的有效期。
配置路徑:【系統設定】>【系統維護】>【系統升級】
配置描述:
第一:進入【系統升級】頁面,可以查看設備的各種系統檔資訊。如下圖:
图8. 系統升級
第二:選擇需要升級的檔案類型,找到檔的位置,點擊<升級>按鈕即可。如下圖:
图9. 系統升級
提示:
1、 未選中的檔案類型後面顯示當前的版本資訊。
2、 升級系統 Firmware 後,必須重啟設備才能運行新的版本。
3、 升級應用特徵庫、URL 庫檔和授權檔後,不需要重啟設備。
10.2.2 備份與恢復
功能描述:設備支援設定檔備份與恢復功能。
配置路徑:【系統設定】>【系統維護】>【備份與恢復】
配置描述:
第一:進入【備份與恢復】頁面,如下圖:
图10. 配置備份與恢復
¾ 備份:系統會將所有的配置以檔的形式存儲,然後可以將這個設定檔匯出到 PC。
¾ 恢復出廠配置:將設備的配置恢復到出廠值,設備將自動重啟。
第二:選擇備份或恢復,點擊<確定>
提示:
1、 恢復設備的配置,設備將自動重啟。
2、 恢復出廠配置,設備將自動重啟。
10.2.3 重啟操作
功能描述:重啟設備
配置路徑:【系統設定】>【系統維護】>【重啟啟動】
配置描述:
第一:進入【重啟啟動】頁面,點擊<確定>按鈕,重啟設備。如下圖:
图11. 重啟啟動
10.3 系統管理員
功能描述:配置系統管理員。
配置路徑:【系統設定】>【系統管理員】
配置描述:
第一:進入【系統管理員】頁面,可以看到當前的管理員列表,如下圖:
图12. 系統管理員
第二:點擊<修改密碼>,進入修改密碼介面,填寫原始密碼、新密碼和確認密碼,然後點擊<確定>。
第三:點擊<刪除>,可刪除某個用戶。
第四:點擊<新增>按鈕,進入新增管理員的介面,填寫各項參數,然後點擊<確定>。如下圖:
图13. 新增系統管理員
管理員許可權:系統支援三種許可權,即配置設備、查看設備、管理 Reporter,三種許可權可以複選。
¾ 配置設備:可以查看和配置設備;
¾ 查看設備:僅能查看設備,不能配置設備;
提示:
1、 系統預設配置了三個管理員:
¾ admin:具有所有權限,除了可以配置設備、查看設備、管理 Reporter 外,還擁有配置管理
員的許可權。預設密碼為 admin*PWD。許可權詳細如下:
(1) 新增管理員,其它管理員不能再新增管理員。
(2) 可以修改任何管理員的密碼,其它管理員只能修改自己的密碼。
(3) 可以刪除所有新增的管理員,其它管理員不能刪除任何管理員。
¾ guest:查看設備,預設密碼為 guest*PWD。
¾ reporter:管理 Reporter,許可權為根組許可權,預設密碼為 reporter*PWD。
2、 所有用戶的許可權不可修改。
3、 系統預設的管理員(admin、guest、reporter)不能刪除,可修改密碼。
4、 新增的使用者可以修改密碼,可以被刪除。
5、 密碼的長度為 6-16 位,可以為任何值,但不能為中文。
6、 擁有查看或者配置設備,並且有管理 Reporter 許可權的管理員,先登錄了設備後,可以不用再次
登錄即可管理 Reporter。當先登錄 Reporter,必須要再次登錄才可以管理設備。
10.4 網管策略
功能描述:設置網管策略,可允許部分 IP 能網管設備,以限制非法使用者訪問設備。
配置路徑:【系統設定】>【網管策略】
配置描述:
第一:進入【網管策略】頁面,如下圖:
图14. 網管策略
第二:選擇策略類型,再點擊右上角的<確定>。
第三:點擊<新增>按鈕,增加“允許網管設備的 IP”。按鈕,啟用該功能。
第四:改變“狀態”欄的值,再點擊<修改狀態>可以改變配置條目的狀態。
提示:
1、 策略類型:預設為“允許所有 IP 網管”,這時所有 IP 都可以網管設備。
2、 策略類型選擇為“僅允許以下 IP 網管”時,如果允許網管設備的 IP 裡沒有配置任何 IP 位址,
則所有 IP 都可以網管設備;如果配置了 IP 位址,則只有這些 IP 可以網管設備。
3、 狀態核取方塊:勾選,表示此條配置的狀態為“啟用”,則這條配置包含的 IP 位址可以網管設
備。不勾選,即此條配置的狀態為“禁用”,則這條配置包含的 IP 位址不生效,不可以網管設
10.5 網管參數
功能描述:對網管參數的設置,包括 WEBUI 及 SSH 網管參數的設置。
配置路徑:【系統設定】>【網管參數】
图15. 網管參數
參數說明:
10.6 網路工具
“網路工具”包括 Ping 和 TraceRoute。
10.6.1 Ping
功能描述:用於測試網路的連通性。
配置路徑:【系統設定】>【網路工具】>【Ping】,設置介面如下圖:
图16. PING 工具
參數說明:
提示:如果輸入功能變數名稱,需要先配置本地DNS。配置路徑:【網路配置】>【本機DNS】
10.6.2 TraceRoute
功能描述:用於確定 IP 資料訪問目標所採取的路徑。
配置路徑:【系統設定】>【網路工具】>【TraceRoute】,設置介面如下圖:
图17. TraceRoute 工具
參數說明:
¾ 超時設置:1-10 秒,預設 10 秒。
¾ 最小 TTL:1-255,預設 1。
¾ 最大 TTL:1-255,預設 10。
提示:如果輸入功能變數名稱,需要先配置本地DNS。配置路徑:【網路配置】>【本機DNS】
10.7 系統時間
功能描述:用於設定設備的系統時間。
配置路徑:【系統設定】>【系統時間】
,設置介面如下圖:
图18. 設置系統時間
提示:啟用 “自動與SNTP伺服器同步”後,系統日期和系統時間兩項不可配置。
10.8 系統資訊
功能描述:設備基本資訊描述。
配置路徑:【系統設定】>【系統資訊】
,配置頁面如下:
图20. 系統資訊
11 系統物件
“系統物件”包括位址薄、網路服務、時間計畫、URL 庫、關鍵字、檔案類型等 6 個部分。
11.1 地址簿
功能描述:
配置路徑:【系統物件】>【位址簿】
配置描述:
第一:進入【位址簿】頁面,如下圖:
图21. 地址簿
第三:點擊<刪除所有>按鈕,可刪除所有位址簿。
第四:點擊某個位址簿操作欄裡的<新增>按鈕,增加更多 IP。比如,點擊財務部後面的<新增>按鈕,可為財
務部增加更多 IP。
第五:點擊操作欄裡的<刪除>按鈕,可刪除某個位址簿。
第六:點擊操作欄裡的<詳細>按鈕,可以查看某位址簿的所有 IP 配置,如下圖:
图22. 地址簿列表
參數說明:
¾ 表頭的括弧裡是本地址簿的名稱,如(名稱:財務部)。
¾ 點擊表格右上角的<新增>按鈕,也可以為本位址簿增加更多的 IP。
¾ 點擊操作欄的<修改>按鈕,可以修改某條 IP 配置。
¾ 點擊操作欄的<刪除>按鈕,可以刪除某條 IP 配置。
提示:如果某地址簿已經被引用,則不能被刪除。刪除前必須先解除引用。
11.2 網路服務
網路服務共分為:自訂普通服務、自訂特徵識別、常用服務、WEB 下載、WEB 視頻、P2P 下載、流媒體、
網路遊戲、即時通訊、股票交易、網上銀行、網路電話、其他服務。這些服務在【防火牆>安全性原則】及【流
量管理】中將被引用。其中自訂普通服務和常用服務為基於埠的服務,其餘的都是基於內容識別的服務。
11.2.1 自訂普通服務
功能描述:自訂基於埠的四層服務
配置路徑:【系統物件】>【網路服務】>【自訂普通服務】
配置描述:
第一:進入【自訂普通服務】頁面,可看到當前已定義的服務,如下圖:
图23. 自訂普通服務
第二:點擊表格右上角的<新增>按鈕,增加服務,配置頁面如下:
图24. 新增自訂普通服務
點擊<TCP>、<UDP>、<ICMP>或<IP>,可選擇協議類型。如果選擇 TCP 或者 UDP,則需要填寫目的埠和源埠。
如果選擇 ICMP,需要填寫類型值和代碼值。如果選擇 IP,則只需要填寫協議號即可。
優先順序:預設低於系統定義的常用服務。
提示:
1、 某一種服務,可同時包含 TCP、UDP、ICMP、IP 類型的子服務。
2、 如果某服務已經被引用,則不能被刪除。要刪除某服務,必須先解除引用。
11.2.2 自訂特徵識別
功能描述:自訂基於特徵識別的 7 層服務。
配置路徑:【系統物件】>【網路服務】>【自訂特徵識別】
配置描述:
第一:進入【自訂特徵識別】頁面,可看到當前已定義的服務,如下圖:
图25. 自訂特徵識別規則
第二:點擊表格右上角的<新增>按鈕,增加服務,配置頁面如下:
图26. 新增自訂特徵識別規則
參數說明:
¾ 協議類型:選擇本條規則的協定類型,可選擇TCP、UDP或者TCP+UDP。
¾ 目的埠:可選擇所有埠或者指定的埠範圍。
¾ IP地址:可選擇所有IP或者指定的IP位址。
¾ 數據長度:不計算TCP/UDP的頭部,即Payload的長度。符合設定長度的封包才會被匹配。
¾ 特徵字串:封包的特徵,用規則運算式來表示。
¾ 優先順序:預設低於系統定義的特徵。
提示:如果某服務已經被引用,則不能被刪除。要刪除某服務,必須先解除引用。
11.2.3 常用服務
功能描述:查看基於埠的常用的四層服務。
配置路徑:【系統物件】>【網路服務】>【常用服務】
配置描述:
進入【常用服務】頁面,可看到常用服務清單,如下圖:
图27. 常用服務
11.3 時間計畫
功能描述:
用於定義時間段,然後可在【防火牆>安全性原則】
、【流量管理】
、【行為管理】中引用,以控制這些策略生效
或失效的時間,從而可對各種策略分時間段管理。
配置路徑:【系統物件】>【時間計畫】
配置描述:
第一:進入【時間計畫】頁面,可以看到當前已配置的時間計畫,如下圖:
图28. 時間計畫
第二:點擊<新增>按鈕,增加時間計畫,如下圖:
图29. 新增時間計畫
按鈕說明:
<選定>:選中橫坐標和縱坐標對應的時間格子,當格子為黑色時,點擊<選定>,格子顏色變為綠色,即選中
了時間。
<取消選定>:選中橫坐標和縱坐標對應的時間格子,當格子為黑色時,點擊<取消選定>,格子顏色變為灰色,
即取消了選中的時間。
<重置>:取消所有選中的時間。
第二:選中時間後,點擊<確定>按鈕,配置成功。
提示:
1、 每個格子代表半小時,只有格子為綠色時,才是已經選定的時間。
2、 如果某時間計畫已經被引用,則不能被刪除。要刪除某時間計畫,必須先解除引用。
11.4 URL 庫
功能描述:
包括內置和自訂的 URL 庫。URL 庫可用于【行為管理 > 上網策略物件 > URL 過濾】,實現對 URL 的過濾。
配置路徑:【系統物件】>【URL 庫】
配置描述:
图30. 內置 URL 庫
第二:點擊<自訂 URL 庫>分頁標題,進入自訂 URL 庫頁面,如下圖:
图31. 自訂 URL 庫
11.5 關鍵字組
功能描述:
配置路徑:【系統物件】>【關鍵字組】
配置描述:
第一:進入【關鍵字組】頁面,可以看到當前已定義的關鍵字組,如下圖:
第二:點擊<新增>按鈕可定義關鍵字組。如下圖:
图33. 新增關鍵字組
11.6 檔案類型
功能描述:
用於定義檔案類型,並把檔案類型分組。這些檔案類型可用於【上網行為管理>網頁過濾】中限制這些類型的
檔的上傳和下載。
配置路徑:【系統物件】>【檔案類型】
配置描述:
第一:進入【檔案類型】頁面,可以看到當前已定義的檔案類型分組。如下圖:
图34. 新增檔案類型
第二:點擊<新增>按鈕可定義檔案類型分組。一行一個檔案類型,格式為“.尾碼名”, 如 .zip。如下圖:
12 網路設定
“網路設定”包括:端口設定、IP 位址設定、路由設定、本地 DNS、ARP 表、DHCP 設定和 SNMP 伺服器配置。
12.1 端口設定
包括 實體端口、VLAN 介面、PPPoE、GRE 隧道 四部分。
12.1.1 實體介面
功能描述:
實體介面指和產品面板上一一對應的資料介面,不同產品型號介面數目不一樣。
配置路徑:【網路設定】>【端口設定】>【實體端口】,配置頁面如下圖所示:
配置描述:
第一:進入【實體端口】頁面,如下圖:
图35. 實體埠
提示:物理介面的狀態為“未連接”時,工作速率為 0 M
第二:點擊操作欄的<修改>按鈕,對實體介面的參數進行配置,如下圖所示:
图36. 修改實體埠參數
提示:當協商類型為自協商時,工作速率不可配置。
12.1.2 VLAN 介面
功能描述:通過配置 802.1Q 的 VLAN 介面位址,來實現 VLAN 間的資料轉發,設備產品支援連接第二層交
換機的 TRUNK 埠。
配置路徑:【網路設定】>【端口設定】>【VLAN 介面】
12.1.3 PPPoE
功能描述:配置 PPPoE 撥號帳號,實現 PPPoE 撥號。
配置路徑:【網路設定】>【端口設定】>【PPPoE】
图39. PPPoE
參數說明:
¾ 帳號:PPPoE 的帳號。
¾ IP地址:撥號成功後,獲得的IP地址;未成功時,IP地址為空。
¾ 子網路遮罩:撥號成功後,獲得的IP地址對應的遮罩;未成功時,遮罩為空。
¾ 閘道:撥號成功後,獲得的閘道地址;未成功時,閘道地址為空。
¾ 連接狀態:撥號成功後,狀態為“連接”;未成功時,狀態為“斷線”。
12.1.4 GRE 隧道
功能描述:配置 GRE 隧道。
配置路徑:【網路設定】>【端口設定】>【GRE】
图42. 新增 PPPoE
參數說明:
¾ 子網路遮罩:隧道IP的子網路遮罩。
12.2 IP 位址設定
功能描述:
配置路徑:【網路設定】>【IP 位址設定】
配置描述:
第一:進入【IP 位址設定】頁面,如下圖所示:
图43. IP 位址配置
第二:點擊<新增>按鈕,為介面增加 IP 位址。新增頁面的實體介面名稱隨工作模式的改變而不同,單橋接器
時實體介面名稱為 Bridge1、LAN2、WAN2,……;雙橋接器時實體介面名稱為:Bridge1 和 Bridge1,……;
路由模式時時實體介面名稱為 LAN1、LAN2、WAN1、WAN2,……。下圖是四個網口,單橋接器模式下新增 IP 位
址的頁面:
图44. 實體埠名稱
提示:
1、 可對實體介面、VLAN 介面、橋接器配置 IP 位址。
2、 不同的介面不能配置相同網段的 IP 位址。
3、 每個介面可配置多個不同網段的 IP 位址。
12.3 路由配置
路由部分包括靜態路由和策略路由兩部分。
12.3.1 靜態路由
功能描述:配置靜態路由。
配置路徑:【網路設定】>【路由設定】>【靜態路由】
配置描述:
第一:進入【靜態路由】頁面,如下圖所示:
图45. 靜態路由
第二:進入點擊<新增>按鈕,增加靜態路由。如下圖:
图46. 新增靜態路由
閘道可以選擇為“IP 位址”、“GRE 隧道”或者“PPPoE”。選擇 GRE 隧道和 PPPoE,需先分別到【網
路配置 > GRE 隧道】和【網路配置>PPPoE 】頁面配置 GRE 隧道 PPPoE 撥號。
提示:
1、 直連路由不可以修改和刪除。
2、 <刪除所有>按鈕表示刪除所有靜態路由。
3、 子網路遮罩可以輸入遮罩長度或者點分十進位的格式,如 16 或者 255.255.0.0。
12.3.2 策略路由
功能描述:配置靜態路由。
配置路徑:【網路設定】>【路由設定】>【策略路由】
配置描述:
第一:進入【策略路由】頁面,可以看到當前配置的策略路由。如下圖所示:
图47. 策略路由
策略路由的優先順序:序號越小的優先順序越高,可通過<插入>和<移動>來改變路由的優先順序。新增的策
略路由放於最後。
按鈕說明:
新增:增加策略路由。
修改狀態:在已策略路由清單裡,改變“狀態”列核取方塊的值,然後再點擊“修改狀態”按鈕,則可
改變某條(些)策略路由的狀態。狀態列對應的核取方塊如果為“勾選”狀態,則表示本條策略路由是啟
用(有效)的;狀態列對應的核取方塊如果為“不勾選”狀態,則表示本條策略路由是禁用(無效)的。
刪除所有:刪除所有策略路由。
修改:修改某條策略路由。
插入:在本條路由之前插入一條路由。
移動:移動某條路由到其他路由之前或之後,以改變路由的優先順序。
刪除:刪除某條路由。
第二:進入點擊<新增>按鈕,增加策略路由。如下圖:
图48. 新增策略路由
參數說明:
源地址:匹配封包的源位址,可以輸入多個位址。格式範例:192.168.1.1、192.168.1.5-192.168.1.9、
192.168.0.0/16 或 192.168.0.0/255.255.0.0。
目的地址:匹配封包的目的地址,可以輸入多個位址。如果類型為“IP“,則格式範例為:192.168.1.1、
192.168.1.5-192.168.1.9、192.168.0.0/16 或 192.168.0.0/255.255.0.0。如類型選擇為“ISP自動位
址表”,表示自動根據各 ISP 廠商的位址表來選路,後面會出現一個下拉清單,下拉清單的值為:電信、
移動、網通、鐵通。
協議類型:封包的協議類型,包括:全部、TCP、UDP、ICMP、IP。“全部”表示所有協定類型。“TCP”
表示協議類型為 TCP,同時還需配置 TCP 目的埠;埠範圍可以是全部或設定埠範圍。“UDP”表示協議
類型為 UDP,同時還需配置 UDP 目的埠;埠範圍可以是全部或設定埠範圍。“ICMP”表示協議類型為
ICMP 的封包。“IP”表示協議類型為 IP 的封包,同時還需配置協定號的值。
閘道:路由的閘道位址,分為基本類型和高級類型。詳細說明如下:
¾ 基本類型:表示只有一個閘道位址。包括 “IP”和“PPPoE”兩種類型。如果選擇“IP”,則直接
在後面的輸入框內填入閘道 IP 位址即可。如果選擇“PPPoE”,在直接在後面的下拉清單裡選擇之
前配置好的 PPPoE 撥號的名稱即可。
¾ 高級類型:表示有多個閘道位址。包括“鏈路均衡”和“鏈路備份”兩種類型。如果選擇“鏈路均
衡”,則最多可以配置 8 條鏈路,每條鏈路的閘道類型可選擇為“IP”或“PPPoE”。如果選擇為
“鏈路備份”,則可以配置一條主鏈路和一條備份鏈路,每條鏈路的閘道類型可選擇為“IP”或
“PPPoE”。高級類型在後面有圖例說明。
狀態:啟用或禁用。啟用後表示此條路由有效,禁用後表示此條路由無效。
12.3.2.1 鏈路均衡
鏈路均衡是在策略路由中實現的,在【策略路由】模組,點擊<新增>按鈕,如下圖:
图49. 新增策略路由-鏈路均衡
在<閘道>一行選擇“高級類型”,再選擇“鏈路均衡”就會出現配置鏈路的表格。最多可以支援 8 條鏈
路之間均衡,每條鏈路的閘道類型可選擇為“IP”或“PPPoE”。如果選擇“IP”,則直接在後面的輸入框內
填入閘道 IP 位址即可。如果選擇“PPPoE”,在直接在後面的下拉清單裡選擇之前配置好的 PPPoE 撥號的
名稱即可。在<下載頻寬>一列,必須要輸入鏈路的實際的行頻寬,以便實現均衡功能。
12.3.2.2 鏈路備份
鏈路備份是在策略路由中實現的,在【策略路由】模組,點擊<新增>按鈕,如下圖:
图50. 新增策略路由-鏈路備份
在<閘道>一行選擇“高級類型”,再選擇“鏈路備份”,然後可以看到“主鏈路”和“備份鏈路”兩項。
“主鏈路”和“備份鏈路”可選擇為“IP”或“PPPoE”。如果選擇“IP”,則直接在後面的輸入框內填入閘
道 IP 位址即可。如果選擇“PPPoE”,在直接在後面的下拉清單裡選擇之前配置好的 PPPoE 撥號的名稱即
可。
提示:
4、 直連路由不可以修改和刪除。
5、 <刪除所有>按鈕表示刪除所有靜態路由。
6、 子網路遮罩可以輸入遮罩長度或者點分十進位的格式,如 16 或者 255.255.0.0。
12.4 本機 DNS
功能描述:
图51. 本地 DNS 配置
12.5 ARP 表
功能描述:查看 ARP 表,配置靜態 ARP。
配置路徑:【網路設定】>【ARP表】
配置描述:
第一:進入【ARP表】頁面,可查看到當前ARP。如下圖:
图52. ARP 表
12.6 DHCP 配置
12.6.1 基本參數
功能描述:配置 DHCP 基本參數。
配置路徑:【網路設定】>【DHCP配置】>【基本參數】
配置描述:
图55. 新增 DHCP 參數
參數說明:
¾ 介面名稱:選擇啟用 DHCP 服務的介面名稱。
提示:
1、 配置 IP 位址集區時,一行一個位址範圍,起始位址與結束位址間以英文中線(-)隔開。
2、 位址範圍必須與 LAN 埠位址同網段,不要包含網路位址及網段廣播位址,多個範圍間位址不能
重疊。
3、 固定 IP 位址應包含在 IP 位址集區中。
4、 每個介面都可以啟用 DHCP,包括橋介面,如 bridge1。
12.6.2 已分配 IP 地址
該清單顯示當前 DHCP 分配的 IP 總數,所分配的 IP 位址、電腦名稱、MAC 位址及分配的 IP 地址到期時間。如
下圖所示:
图56. 已分配 IP 清單資訊
13 防火牆
“防火牆”設置包括安全性原則、NAT 規則設置。NAT 規則包含內網代理、一對一位址轉換、埠鏡射三部分。
13.1 安全性原則
功能描述:
安全性原則定義了對資料流程的控制規則;可以通過指定封包的來源位址、目的地址、服務、時間段等參數
來控制資訊流。
安全性原則的匹配原則是按順序從前往後匹配,從第一條開始順序匹配,遇到第一個匹配的條目就停止,所
以同一群組原則中,序號小的優先順序高。
配置路徑:【防火牆】>【安全性原則】
配置描述:
第一:進入【防火牆】頁面,如下圖:
图57. 安全性原則
點擊<刪除所有>,將刪除所有的安全性原則。
點擊<刪除>,刪除本條安全性原則。
點擊<修改>,修改本條安全性原則的參數,但不能修改本條安全性原則的方向。
點擊<插入>,在當前位置之前插入一條安全性原則。
點擊<移動>,改變對應安全性原則的序號,從而改變安全性原則的優先順序。
改變狀態列核取方塊的值,再點擊<修改狀態>,可修改安全性原則的狀態(“勾選”表示啟用,“不勾選”表
示禁用)。點擊表頭的“狀態”核取方塊,可以改變所有安全性原則的狀態。
第二:點擊<新增>按鈕,新增安全性原則,如下圖:
图58. 新增安全性原則
參數說明:
¾ 策略方向:代表資料流程的方向。
¾ 目的地址:資料流程的目的地址,可輸入 IP 位址或選擇位址簿。
¾ 服務:資料流程的服務類型。
¾ 生效時間:本策略的有效時間段。
¾ 動作:安全性原則允許、拒絕服務的動作。
¾ 狀態:啟用或禁用本規則,預設啟用。
提示:
1、 策略規則遵循從按順序從前往後匹配的原則,如果一個規則匹配了,就不會再向下匹配,所以
序號小的規則優先順序高。請注意規則的先後順序,先定義的規則,位置排在前面,可通過<插
入>或<移動>來改變規則的先後順序。
2、 系統隱含了一條允許所有的安全性原則,如果加入的安全性原則都不匹配,資料包最後將匹配
隱含的策略。所以系統在預設情況,是允許所有封包通過的。
13.2 NAT 規則
“NAT 規則”包括三種 NAT 方式,包括:內網代理、一對一位址轉換、埠鏡射。
13.2.1 內網代理
功能描述:作為內部網路的代理閘道,轉換內部主機上網資料流程的源 IP 位址。內部網路的所有主機均可
共用一個或者多個合法外部 IP 位址實現對 Internet 的訪問。
內網代理的匹配原則是按順序從前往後匹配,從第一條開始順序匹配,遇到第一個匹配的條目就停止,所以
序號小的優先順序高。
配置路徑:【防火牆】>【NAT策略】>【內網代理】
配置描述:
第一:進入【防火牆】頁面,如下圖:
图59. 內網代理規則
點擊<刪除所有>,將刪除所有的內網代理規則。
點擊<刪除>,刪除本條規則。
點擊<修改>,修改本條規則的參數,但不能修改流量方向。
點擊<插入>,在當前位置之前插入一條規則。
點擊<移動>,改變對應規則的序號,從而改變規則的優先順序。
改變狀態列核取方塊的值,再點擊<修改狀態>,可改變規則狀態(“勾選”表示啟用,“不勾選”表示禁用)。
點擊表頭的“狀態”核取方塊,可以改變所有規則的狀態。
第二:點擊<新增>按鈕,新增規則,如下圖:
图60. 新增內網代理規則
參數說明:
¾ 規則名稱:內網代理規則的名稱。
¾ 流量方向:代表資料流程的方向,方向必須從內網埠(LAN1、LAN2)到外網埠(WAN1、WAN2)。
¾ 內部源位址:內網主機發出的資料流程的源位址,可輸入 IP 位址或選擇位址簿。位址簿在【系統
物件 > 地址簿】中配置。
¾ 目的地址:資料流程的目的地址,可輸入 IP 位址或選擇位址簿。
¾ 狀態:啟用或禁用本規則,預設啟用。
提示:內網代理規則遵循從上向下匹配的原則,如果一個規則匹配了,就不會再向下匹配了,所以
請注意規則的先後順序。先定義的規則,位置排在前面,可通過<插入>或<移動>來改變規則的先後
順序。
13.2.2 一對一位址轉換
功能描述:
配置路徑:【防火牆】>【NAT規則】>【一對一位址轉換】
配置描述:
第一:進入【一對一位址轉換】頁面,如下圖:
图61. 一對一靜態位址轉換
點擊<刪除所有>,將刪除所有的內網代理規則。
點擊<刪除>,刪除本條規則。
點擊<修改>,修改本條規則的參數,但外網口不能修改。
改變狀態列核取方塊的值,再點擊<修改狀態>,可改變規則狀態(“勾選”表示啟用,“不勾選”表示禁用)。
點擊表頭的“狀態”核取方塊,可以改變所有規則的狀態。
第二:點擊<新增>按鈕,新增規則,如下圖:
图62. 新增轉換規則
參數說明:
¾ 規則名稱:一對一位址轉換規則的名稱。
¾ 外網口:連接外網的實體介面,如 WAN1、WAN2。
¾ 內部 IP 位址:內網主機的IP位址範圍,與“對外鏡射 IP 位址”一一對應。
¾ 狀態:啟用或禁用本規則,預設啟用。
13.2.3 埠鏡射
功能描述:
配置路徑:【防火牆】>【NAT規則】>【埠鏡射】
配置描述:
第一:進入【埠鏡射】頁面,如下圖:
图63. 埠鏡射
點擊<刪除所有>,將刪除所有的內網代理規則。
點擊<刪除>,刪除本條規則。
點擊<修改>,修改本條規則的參數,但外網口不能修改。
改變狀態列核取方塊的值,再點擊<修改狀態>,可改變規則狀態(“勾選”表示啟用,“不勾選”表示禁用)。
點擊表頭的“狀態”核取方塊,可以改變所有規則的狀態。
第二:點擊<新增>按鈕,新增規則,如下圖:
图64. 新增埠鏡射
參數說明:
¾ 外網口:連接外網的實體介面,如 WAN1、WAN2。
¾ 對外鏡射位址:對外網鏡射的公網位址,與“內部 IP 位址”一一對應。
¾ 協議號:需要轉換的協定類型(TCP 或 UDP)。
¾ 內部埠:伺服器在內部網路中的埠號。
¾ 對外鏡射埠號:提供給外網訪問的埠號。
¾ 狀態:啟用或禁用本規則,預設啟用。
14 流量管理
“流量管理”包括線路頻寬配置、基於策略的流控、基於用戶的流控。
¾ 基於策略的流控:根據封包的來源位址、目的地址、服務類型、時間段等參數組合成各種流量,可
對這些流量提供最大頻寬限制、保障頻寬、預留頻寬的功能。
¾ 基於用戶的流控:對單個主機進行頻寬限制、會話控制、分類服務限制以及分時段管理。
提示:三種流量控制方式同時生效,所以控制的結果是數位小的優先順序高。
14.1 線路頻寬配置
功能描述:用於限制出口(WAN 埠)線路的總頻寬。
配置路徑:【流量管理】>【線路頻寬設定】,配置頁面如下圖:
图65. 線路頻寬配置
14.2 基於策略的流控
功能描述:設備提供強大的流量頻寬管理功能,可以根據封包的來源位址、目的地址、服務類型、時間段等
參數組合成各種流量,可對這些流量提供最大頻寬限制、保障頻寬、預留頻寬的功能。既能保證重要應用的
訪問頻寬,又能限制總上下載頻寬,還能針對服務類型、使用者組、IP地址等建立頻寬保證和頻寬限制。
策略規則的匹配原則是按順序從前往後匹配,從第一條開始順序匹配,遇到第一個匹配的條目就停止,所以
同一群組原則中,序號小的優先順序高。
配置路徑:【流量管理】>【基於策略的流控】
配置描述:
第一:進入【基於策略的流控】頁面,如下圖:
图66. 策略流控
點擊<刪除所有>,刪除所有的流控規則。
點擊<刪除本組>,刪除某線路所有的流控規則。
點擊<刪除>,刪除某條流控規則。
點擊<修改>,修改本條流控規則,但規則名稱和生效線路不能修改。
點擊<插入>,在當前位置插入一條流控規則。
點擊<移動>,改變對應流控規則的序號,從而改變該規則的優先順序。
改變狀態列核取方塊的值,再點擊<修改狀態>,可修改流控規則的狀態(“勾選”表示啟用,“不勾選”表示
禁用)。點擊表頭的“狀態”核取方塊,可以改變所有規則的狀態。
第二:點擊<新增>按鈕,增加基於策略的流控規則,如下圖:
图67. 新增策略流控規則
策略的匹配條件可以由以下幾種條件任意組合而成:
¾ 生效線路:流控規則的生效線路。
¾ 內網地址:內網使用者的主機位址或者使用者組名稱,可輸入 IP 地址、選擇地址簿或用戶組。位
址簿在【系統物件 > 地址簿】中配置,使用者組在【組織管理 > 組織結構】中配置。
¾ 外網地址:資料流程的目的地址,可輸入 IP 位址、選擇位址簿或用戶組。
¾ 流控行為:如果選擇“阻斷流量”,則拒絕本規則的流量通過。如果選擇“控制頻寬”,則對本規
則流量做頻寬控制,控制參數如下:
優先順序:在實現流量控制時,可將核心業務應用、時延要求高的應用、以及重要人物的流量
配置為高優先順序,同時將 P2P、網路電視、WEB視頻等非核心的、佔用頻寬資源較高的應用配
置為低優先順序。
最大頻寬:為某些用戶或特定應用指定最大頻寬,百分比為佔用本線路頻寬值的比例。
預留頻寬:為某種特定應用或某些重點客戶預留一定頻寬,以保證在不同時間段、不同的網
路使用環境中某種流量都能得到同樣的頻寬。預留頻寬不能被其他資料流程使用,百分比為
佔用本線路頻寬值的比例。
¾ 生效時間:本規則的有效時間段,可分時段控制資料流程,比如9:00~12:00和14:00~18:00,
不允許員工用 QQ;下拉清單內容為事先定義好的“時間計畫”名稱。
¾ 狀態:啟用或禁用本規則。
¾ 服務:默認選擇“所有”。如要控制一種或多種服務,請選擇<自訂>。如下圖:
图68. 自選服務
然後點擊<選擇服務>按鈕,出現以下配置頁面:
图69. 自選服務配置頁面
此配置頁面可以選擇需要進行流量控制或者阻斷流量的服務,每種類型的服務用一個分頁列出,一次可以選
擇多個服務類型,每個類型可以選擇多種服務。
選中想要的服務後,點擊<確定>按鈕,返回新增“基於策略的流控”配置頁面,如下圖:
图70. 配置自選服務
提示:
1、 “預留頻寬”不能大於“保障頻寬”,“保障頻寬”不能大於“最大頻寬”。
2、 當所有規則的保障頻寬總和小於或等於線路頻寬時,根據配置值分配保障頻寬。
3、 當所有規則的保障頻寬總和大於線路頻寬時,優先保障優先順序高的流量的頻寬。
4、 某一優先順序的保障頻寬總和大於線路頻寬時,根據每條規則配置的值大小按比例分配保障頻
寬。
5、 策略規則遵循從按順序從前往後匹配的原則,如果一個規則匹配了,就不會再向下匹配,所以
序號小的規則優先順序高。請注意規則的先後順序,先定義的規則,位置排在前面,可通過<插
入>或<移動>來改變規則的先後順序。
14.3 基於用戶的流控
功能描述:
可以對單個主機進行頻寬限制、會話控制、分類服務限制以及分時段管理。策略規則的匹配原則是按順序從
前往後匹配,即從第一條規則開始順序匹配,一旦遇到一條匹配的規則就停止,所以序號越小的規則優先順
序越高。
配置路徑:【流量管理】>【基於用戶的控制】
配置描述:
第一:進入【基於使用者的控制】頁面,如下圖:
图71. 基於 IP 的流控
“最大頻寬”顯示值的“↑”表示上傳,“↓”表示下載。
“會話數”顯示值的“↑”表示上傳,“↓”表示下載。
“匹配計數”表示本條策略被匹配的次數。
點擊<刪除所有>,刪除所有的流控規則。
點擊<刪除>,刪除某條流控規則。
點擊<修改>,修改本條流控規則。
點擊<插入>,在當前位置插入一條流控規則。
點擊<移動>,改變對應流控規則的序號,從而改變該規則的優先順序。
改變狀態列核取方塊的值,再點擊<修改狀態>,可修改流控規則的狀態(“勾選”表示啟用,“不勾選”表示
禁用)。點擊表頭的“狀態”核取方塊,可以改變所有規則的狀態。
第二:點擊<新增>按鈕,增加基於使用者的流控規則,如下圖:
图72. 新增流控規則
參數說明:
¾ 規則名稱:合法的字元是數位(0-9),字母(A-Z,a-z)和底線,中劃線及中文漢字。
¾ 地址:內網使用者主機位址或者使用者組名稱,可輸入 IP 地址、選擇地址簿或用戶組。位址簿在
【系統物件 > 地址簿】中配置,使用者組在【組織管理 > 組織結構】中配置。
¾ 最大上傳頻寬:限制單個IP/用戶的上傳總頻寬,包含特定服務頻寬值。
¾ 最大下載頻寬:限制單個IP/用戶的下載總頻寬,包含特定服務頻寬值。
¾ 來源會話數:限制單個IP/用戶的來源會話數。
¾ 目的會話數:限制單個IP/使用者的目的會話數。
¾ 生效時間:選擇此規則的生效時間,在“系統物件”中預先配置時間計畫。
¾ 狀態:啟用或禁用本規則,預設啟用。
¾ 頻寬細分配:預設為“禁用”;當“啟用”時,將顯示“頻寬細分配”配置頁面。“頻寬細分配”
是指限制某個主機的最大頻寬的同時,可以再對這個主機的某些服務限制一定頻寬,可以配置三組,
每組可以包含多個服務。如下圖:
图73. 頻寬細分配
點擊<清除>按鈕,刪除本組服務與頻寬的配置,恢復到“未配置”狀態。
點擊<配置>按鈕,進入服務與頻寬配置頁面,如下圖:
图74. 頻寬細分配
此配置頁面可以選擇需要單獨進行流量控制的服務,每種類型的服務用一個分頁列出,一次可以選擇多
個服務類型,每個類型可以選擇多種服務。頁面上端的“最大上傳頻寬”和“最大下載頻寬”是控制這些選
中的服務的最大頻寬。再點擊<確定>按鈕,返回新增“新增使用者流控規則”頁面。
提示:
1、 “頻寬細分配”中的最大頻寬應小於或等於本規則的最大頻寬。
2、 策略規則遵循從按順序從前往後匹配的原則,如果一個規則匹配了,就不會再向下匹配,所以
序號小的規則優先順序高。請注意規則的先後順序,先定義的規則,位置排在前面,可通過<插
入>或<移動>來改變規則的先後順序。
15 行為管理
“行為管理”包括認證策略、上網行為策略、組織結構、認證選項、認證伺服器、黑名單管理、線上用
戶等七部分。
15.1.1 認證策略
功能描述:定義認證的條件、認證方式及使用的認證伺服器。策略規則的匹配原則是按順序從前往後匹配,
即從第一條規則開始順序匹配,一旦遇到一條匹配的規則就停止,所以序號越小的規則優先順序越高。
配置路徑:【行為管理】> 【認證策略】
配置描述:
第一:進入【認證策略】配置頁面,如下圖:
图75. 認證策略列表
點擊<刪除所有>,刪除所有的認證策略。
點擊<刪除>,刪除本條認證策略。
點擊<修改>,修改本條認證策略。
點擊<插入>,在當前位置插入一條認證策略。
點擊<移動>,改變認證策略的序號。
改變狀態列核取方塊的值,再點擊<修改狀態>,可修改認證策略的狀態(“勾選”表示啟用,“不勾選”表示
禁用)。點擊表頭的“狀態”核取方塊,可以改變所有認證策略的狀態。
提示:
1、 沒有配置任何策略的情況下,系統預設以 IP 位址作為新用戶名,自動加入到根組(Root),並自
動綁定 IP 位址。
第二:點擊<新增>,新增認證策略,如下圖:
图76. 新增認證策略 1
图77. 新增認證策略 2
參數說明:
¾ 名稱:認證策略的名稱。
¾ IP 地址:匹配認證條件的內網地址。
新用戶以 IP 地址作為用戶名:內網使用者不需要密碼認證,並且當該使用者不在組織結構中
時,自動以用戶的 IP 位址為用戶名。
新使用者以主機名作為用戶名:內網使用者不需要密碼認證,並且當該使用者不在組織結構中
時,自動以用戶的主機名稱。
到伺服器去認證:內網使用者需要用戶名和密碼認證,並選擇認證伺服器。
¾ 自動添加到組織結構:認證成功的新使用者自動添加到組織結構中去,新使用者指不在組織結構中
的使用者。“所屬組”表示自動添加到那個組,點擊輸入框後面的<選擇>按鈕,可選擇組。
¾ 自動綁定:在自動添加使用者時,是否要配置綁定檢查。隨著選擇認證方式不同,自動綁定選項也
稍微有區別,具體如下:
狀態:啟用或禁用本策略,默認啟用。
15.2 上網行為策略
“上網行為策略”用於設置內網用戶的上網策略,上網策略包括“URL 過濾”、“關鍵字過濾”、“檔案
傳輸過濾”、“即時通訊過濾”和“郵件過濾”等幾部分。每個策略物件可以同時設置這 5 部分的內容。
這裡設置的上網策略物件可以同時被多個使用者組或用戶引用,從而對內網用戶進行上網行為的控制。
引用方式詳見:修改根組、新增子組、修改子組、新增普通用戶、新增認證用戶、修改用戶。配置介面如下:
图78. 上網策略對象
郵件管理:開啟郵件管理模組,啟用後方可記錄郵件內容或進行郵件過濾。
點擊<刪除所有>,刪除所有的上網策略物件。
點擊<刪除>,刪除某條上網策略對象。
點擊<修改>,修改本條上網策略對象。
15.2.1 URL 過濾
功能描述:對 URL 的 HTTP Get 進行過濾。
配置路徑:【行為管理】>【上網行為策略】
配置描述:
第一:進入【上網行為策略】頁面,點擊<新增>按鈕,增加上網策略對象。
提示:
1、 URL 條目遵循從按順序從前往後匹配的原則,如果一個條目匹配了,就不會再向下匹配,所以
序號小的條目優先順序高。
2、 未勾選“阻斷”的條目視為“允許”,將不被過濾。
15.2.2 關鍵字過濾
功能描述:1、對在搜尋引擎中搜索的關鍵字進行過濾,即阻止某些關鍵字的搜索。2、對論壇發帖的內容進
行關鍵字進行過濾,即阻止包括某些關鍵字的帖子發送。
配置路徑:【行為管理】>【上網行為策略】
配置描述:
第一:進入【上網行為策略】頁面,點擊<新增>按鈕,增加上網策略對象。或者繼續前面新增“辦公室組”
策略物件的基礎上配置關鍵字過濾。
图81. 上網策略對象-關鍵字過濾
15.2.3 檔案傳輸過濾
功能描述:通過檔尾碼名的方式對 HTTP/FTP 檔的上傳和下載進行過濾。
配置路徑:【行為管理】>【上網行為策略】
配置描述:
第一:進入【上網行為策略】頁面,點擊<新增>按鈕,增加上網策略對象。或者繼續前面新增“辦公室組”
策略物件的基礎上設定檔傳輸過濾。
图82. 上網行為策略-檔案傳輸過濾
提示:只有“勾選”的條目才被過濾。
15.2.4 即時通訊過濾
功能描述:拒絕 MSN /YMSG/AIM/ICQ 的文字聊天、語音聊天或檔案傳輸,拒絕 QQ/TM 的登錄。
配置路徑:【行為管理】>【上網行為策略】
配置描述:
第一:進入【上網行為策略】頁面,點擊<新增>按鈕,增加上網策略對象。或者繼續前面新增“辦公室組”
策略物件的基礎上設定檔傳輸過濾。
第二:選擇“即時通訊過濾”,勾選需要過濾的項,配置“生效時間”。如下圖:
图83. 上網行為策略-即時通訊過濾
提示:
1、 對於 MSN /YMSG/AIM/ICQ,可以部分拒絕或完全拒絕。勾選了某個軟體的“登錄”,則表示
完全拒絕此軟體的使用。
2、 QQ/TM 只能完全拒絕。
15.2.5 郵件過濾
功能描述:用於對內網用戶使用郵件用戶端(POP3/SMTP/WebMail)協定收發郵件時,對收發郵寄地址、郵件主
題、郵件內容及附件進行檢查,對符合郵件過濾條件的郵件進行過濾。
配置路徑:【行為管理】>【上網行為策略】
配置描述:
第一:進入【上網行為策略】頁面,點擊<新增>按鈕,增加上網策略對象。或者繼續前面新增“辦公室組”
策略物件的基礎上設定檔傳輸過濾。
第二:選擇“郵件過濾”,配置過濾條件。如下圖:
图84. 上網行為策略-即時通訊過濾
參數說明:
¾ 寄件者過濾:可選擇<不允許寄件者的郵寄地址包含以下尾碼>或<僅允許寄件者的郵寄地址包含以下
尾碼>。比如:只允許尾碼為 yahoo.com.cn 的人發郵件,則選擇<僅允許寄件者的郵寄地址包含以
下尾碼>,在後面的文字方塊中進入“yahoo.com.cn”
¾ 主題和內容關鍵字過濾:對發送郵件的主題及內容的關鍵字進行過濾。
¾ 附件過濾:對郵件附件的檔案類型進行過濾。比如:過濾檔案類型為“exe”的附件,則在文字方塊
中輸入“*.exe”
提示:
1、 如某個條件未配置任何值,則不檢查此項內容。
2、 <寄件者過濾>、<主題和內容關鍵字過濾>、<附件過濾>中任何一個條件滿足,就會被過濾。
15.3 組織管理
“組織管理”包括組織結構的手動創建、批量導入、LDAP/AD 導入、掃描內網主機。
15.3.1 組織結構
通過設備提供的 Web 管理介面,可以輸入、維護使用者和組的資訊,從而建立起和本單位實際組織結構相一
致的組織資訊。用戶和組的維護功能包括新建、刪除、更新、改變所屬關係、綁定 MAC 位址。
15.3.1.1 定位並選中當前操作物件
功能描述:在針對用戶和組操作時,應首先流覽、定位、選中當前要操作的用戶或組。
配置路徑:【行為管理】>【組織管理】>【組織結構】
配置描述:
第一:進入【組織結構】頁面,在下圖中,點擊左邊的組織結構中的節點,右邊的清單中將顯示該組織的成
員,可以通過右面列表中的核取方塊選擇要操作的用戶或組。如下圖:
图85. 組織結構-定位當前操作物件
第二:若想查看或編輯當前組下面的用戶和子組,點擊右邊列表中名稱列子組或使用者應的連結。
15.3.1.2 修改根組
功能描述:修改根組的名稱、上網策略、黑名單控制。
配置路徑:【行為管理】>【組織管理】>【組織結構】
配置描述:
第一:進入【組織結構】頁面,點擊頂部的<修改根組>按鈕,彈出“修改根組”頁面,如下圖:
图86. 組織結構-修改根組
參數說明:
組名:根組的名稱,預設 Root,可填入需要修改的名稱。
上網策略:引用上網策略物件裡面已配置好的條目。預設不控制,即不對上網做任何限制。
黑名單控制:引用黑名單規則裡已配置好的條目。預設不控制,即不做黑名單控制。黑名單規則配置詳
見 黑名單規則 部分。
強制繼承:強制子組和所含用戶繼承上網策略和黑名單控制的配置,預設未啟用。啟用後,所有的用戶
和子組的上網策略和黑名單控制都被修改為根組的配置。
15.3.1.3 新增子組
功能描述:新增子組,並設置子組的上網策略和黑名單控制。
配置路徑:【行為管理】>【組織管理】>【組織結構】
配置描述:
第一:進入【組織結構】頁面,流覽定位相應的組,點擊頂部的<新增子組>按鈕,彈出“新增子組”頁面,
如下圖:
图87. 組織結構-新增子組
參數說明:
組名:子組的名稱,一次可以創建多個子組,一行一個組名,支援漢字、數位、字母、底線、中劃線。
所屬組:預設已經填好剛才進入新增頁面時的父組,也可以點擊後面的<選擇>,就出現選擇用戶組的框,
可改變父組。
上網策略:引用上網策略物件裡面已配置好的條目。預設繼承父組配置,也可選擇自己獨立的配置。
黑名單控制:引用黑名單規則裡已配置好的條目。預設繼承父組配置,也可選擇自己獨立的配置。黑名
單規則配置詳見 黑名單規則 部分。
15.3.1.4 修改子組
功能描述:修改子組的配置上網策略和黑名單控制。
配置路徑:【行為管理】>【組織管理】>【組織結構】
配置描述:
第一:進入【組織結構】頁面,流覽定位相應的組,點擊右邊列表中名稱列對應的子組的連結。比如要修改 Root
下面的 cctv-1。先定位到 Root,然後點擊名稱列的 cctv-1,如下圖:
图88. 組織結構-修改子組
第二:進入子組的修改頁面,填入需要修改的值。如下圖:
图89. 組織結構-修改子組
參數說明:
組名:子組的名稱,不可修改。
所屬組:點擊後面的<選擇>按鈕,出現選擇使用者組的框,可改變父組。
上網策略:引用上網策略物件裡面已配置好的條目。
強制繼承:強制子組和所含用戶繼承上網策略和黑名單控制的配置,預設未啟用。啟用後,所含用戶和
子組的上網策略和黑名單控制都被修改為本組的配置。
15.3.1.5 新增普通用戶
功能描述:新增普通用戶,並設置子組的上網策略和黑名單控制。
配置路徑:【行為管理】>【組織管理】>【組織結構】
配置描述:
第一:進入【組織結構】頁面,流覽定位相應的組,點擊頂部的<新增使用者>按鈕,彈出“新增使用者”頁
面,使用者類型選擇“普通用戶”。如下圖:
图90. 組織結構-新增普通使用者
參數說明:
用戶名:用戶名稱。
顯示名:用戶的別名,如果是以用戶的 IP、MAC、主機名稱等為用戶名,在顯示名處可填入用戶真實的姓
名,在統計的時候就會看到真實的姓名,方便記憶。
所屬組:預設已經填好剛才進入新增頁面時的父組,也可以點擊後面的<選擇>,就出現選擇用戶組的框,
可改變父組。
用戶類型:普通使用者表示不需密碼認證的使用者,認證用戶表示在上網之前需要輸入用戶名和密碼認
證的使用者。
上網策略:引用上網策略物件裡面已配置好的條目。預設繼承父組配置,也可選擇自己獨立的配置。
黑名單控制:引用黑名單規則裡已配置好的條目。預設繼承父組配置,也可選擇自己獨立的配置。黑名
單規則配置詳見 黑名單規則 部分。
狀態:正常或凍結。正常表示該用戶可用,凍結表示暫時不可用。
15.3.1.6 新增認證用戶
功能描述:新增普通用戶,並設置子組的上網策略和黑名單控制。
配置路徑:【行為管理】>【組織管理】>【組織結構】
配置描述:
第一:進入【組織結構】頁面,流覽定位相應的組,點擊頂部的<新增使用者>按鈕,彈出“新增使用者”頁
面,“使用者類型”選擇“認證用戶”。如下圖:
图91. 組織結構-新增認證使用者
參數說明:
用戶名:用戶名稱。
顯示名:用戶的別名,如果是以用戶的 IP、MAC、主機名稱等為用戶名,在顯示名處可填入用戶真實的姓
名,在統計的時候就會看到真實的姓名,方便記憶。
所屬組:預設已經填好剛才進入新增頁面時的父組,也可以點擊後面的<選擇>,就出現選擇用戶組的框,
可改變父組。
用戶類型:普通使用者表示不需密碼認證的使用者。認證使用者表示在上網之前需要輸入用戶名和密碼
認證的使用者。
認證方式:包括本地認證、到伺服器去認證。本地認證表示在帳號放於設備本地,這時候需要為使用者
設置密碼。到伺服器去認證,表示到外部伺服器去認證,不用設置密碼。外部伺服器包括:Radius 伺服
器、LDAP 伺服器、AD 伺服器、POP3 服務。
公用帳號:表示可以多人同時使用同一帳號登錄,0 表示不限制登錄人數。當超出登錄人數時,處理方
法包括:
¾ 本次登錄失敗。
¾ 註銷已認證的摸個登錄,本次認證成功。
有效期:用戶有效期,當有效期到了,就自動將該使用者從設備中刪除。默認為“永遠有效”。
上網策略:引用上網策略物件裡面已配置好的條目。預設繼承父組配置,也可選擇自己獨立的配置。
黑名單控制:引用黑名單規則裡已配置好的條目。預設繼承父組配置,也可選擇自己獨立的配置。黑名
單規則配置詳見 黑名單規則 部分。
狀態:正常或凍結。正常表示該用戶可用,凍結表示暫時不可用。
15.3.1.7 修改用戶
功能描述:修改使用者的配置。
配置路徑:【行為管理】>【組織管理】>【組織結構】
配置描述:
第一:進入【組織結構】頁面,流覽定位相應的組,點擊右邊列表中名稱列對應的使用者的連結。比如要修
改 Root/cctv-1 下面的 Susan 用戶。先定位到 Root/cctv-1,然後點擊名稱列的 Susan 使用者的連結,如下
圖:
图92. 組織結構-修改使用者
第二:進入使用者的修改頁面,填入需要修改的值。如下圖:
图93. 組織結構-修改使用者
15.3.1.8 綁定檢查
15.3.1.8.1 綁定 IP
功能描述:綁定用戶的IP地址。
配置路徑:【行為管理】>【組織管理】>【組織結構】
配置描述:
第一:進入【組織結構】頁面,流覽定位相應的組,然後進入新增或修改使用者頁面,進行 IP 綁定。下面以
新增使用者頁面來說明,如下圖:
图94. 組織結構-綁定 IP
<清空清單>按鈕可以清空輸入框內已填入的 IP 位址。
15.3.1.8.2 綁定 MAC
配置路徑:【行為管理】>【組織管理】>【組織結構】
配置描述:
提示:
15.3.1.8.3 綁定 IP+MAC
配置路徑:【行為管理】>【組織管理】>【組織結構】
配置描述:
提示:
15.3.1.8.4 綁定 VLAN
配置路徑:【行為管理】>【組織管理】>【組織結構】
配置描述:
15.3.1.9 匯出用戶和組
功能描述:匯出使用者和組的配置。
配置路徑:【行為管理】>【組織管理】>【組織結構】
配置描述:
第一:進入【組織結構】頁面,流覽定位相應的組,勾選要匯出的組和用戶,然後點擊<匯出>按鈕,如下圖:
图100. 組織結構-匯出使用者和組
第二:將選中的用戶和組保存到 PC。如下圖:
15.3.1.10 移動用戶和組
功能描述:移動用戶和子組的到另外一個父組下。
配置路徑:【行為管理】>【組織管理】>【組織結構】
配置描述:
第一:進入【組織結構】頁面,流覽定位相應的組,勾選要移動的組和用戶,然後點擊<移動>按鈕,如下圖:
图101. 組織結構-移動使用者和組
第二:彈出移動框,然後輸入將被移動到的目的組的路徑。也可以點擊輸入框後面的<選擇>按鈕,選擇目的
組。如下圖:
图102. 組織結構-移動使用者和組
第三:選擇好目的組後,點擊目的組下面的<移動>按鈕,移動已選中的用戶和組。
15.3.1.11 刪除用戶和組
功能描述:刪除用戶和組。
配置路徑:【行為管理】>【組織管理】>【組織結構】
配置描述:
第一:進入【組織結構】頁面,流覽定位相應的組,勾選要刪除的組和用戶,然後點擊<刪除>按鈕,如下圖:
图103. 組織結構-刪除使用者和組
第二:彈出詢問框“確定要刪除嗎? ”,點擊<確定>即刪除選中的用戶和組,點擊<取消>回到原來頁面。
15.3.1.12 查詢用戶和組
功能描述:查詢用戶和組。
配置路徑:【行為管理】>【組織管理】>【組織結構】
配置描述:
第一:進入【組織結構】頁面,然後點擊<查詢>按鈕,彈出查詢框。如下圖:
图104. 組織結構-刪除使用者和組
第二:輸入查詢準則,然後點擊<查詢>按鈕,查詢整個組織結構中符合條件的使用者或組。
15.3.2 批量導入
功能描述:手動將已匯出的組織結構檔,或者自訂的檔批量導入。
配置路徑:【行為管理】>【組織管理】>【批量導入】
配置描述:進入【批量導入】頁面,如下圖:
图105. 組織結構-批量導入
參數說明:
¾ 檔案類型:包括“已匯出檔”和“自訂檔”兩種類型。已匯出檔表示從設備組織結構中匯出的檔,可包
含組和用戶,以及對應的所屬組。自訂檔表示自訂格式,只能導入用戶到某個組,支援 xls 格式。點擊
<範例>按鈕,可以查看檔範例。
¾ 檔位置:點擊<流覽>按鈕,選擇要導入的檔。
¾ 所屬組:點擊<選擇>按鈕,選擇將要導入的子組和用戶放于哪個父組下面。
¾ 衝突處理:當導入的用戶或組已經存在時,是否要覆蓋。
15.3.3 LDAP 導入
功能描述:通過 LDAP 伺服器導入和更新使用者資訊。
配置路徑:【行為管理】>【組織管理】>【LDAP/AD導入】
配置描述:
第一:進入【LDAP/AD導入】頁面,如下圖:
图106. 組織結構-LDAP 導入
第二:配置各個參數,參數說明如下:
¾ 衝突處理:更新時是否覆蓋已有用戶,“勾選”表示覆蓋,“不勾選”表示保留已有用戶。
第三:點擊<確定>按鈕,以上參數配置成功。
第四:點擊<立即導入>按鈕後,會出現“導入時將刪除原有組織結構資訊,確定要導入嗎?”的提示。點擊<
確定>,刪除原有組織結構資訊並立即導入 LDAP 伺服器上的使用者和組資訊。
15.3.4 AD 導入
功能描述:通過 AD 伺服器導入和更新使用者資訊。
配置路徑:【行為管理】>【組織管理】>【LDAP/AD導入】
配置描述:
第一:進入【LDAP/AD導入】頁面,如下圖:
图108. 組織結構-AD 導入
第二:配置各個參數,參數說明如下:
¾ 用戶名:AD 中任何一個用戶的名稱。
¾ 密碼:對應上面輸入的用戶名的密碼。
¾ 衝突處理:更新時是否覆蓋已有用戶,“勾選”表示覆蓋,“不勾選”表示保留已有用戶。
第三:點擊<確定>按鈕,以上參數配置成功。
第四:點擊<立即導入>按鈕後,會出現“導入時將刪除原有組織結構資訊,確定要導入嗎?”的提示。點擊<
確定>,刪除原有組織結構資訊並立即導入 AD 伺服器上的使用者和組資訊。
第五:點擊<立即更新>按鈕,可將 AD 伺服器上的更新部分的組和使用者同步到設備。
15.3.5 掃描內網主機
功能描述:通過 NetbIOS 協定掃描內網的主機資訊。
配置路徑:【行為管理】>【組織管理】>【掃描內網主機】
配置描述:
第一:進入【掃描內網主機】頁面,如下圖:
图110. 組織結構-掃描內網主機
第三:點擊<立即掃描>按鈕,掃描當前開機的主機。然後在“掃描結果清單”將列出掃描到的主機。如上圖,
掃描結果將列出每個主機的 IP 位址、MAC 位址和主機名稱,以及“是否已加入組織結構”。“是否已加入組
織結構”一列有顯示掃描到的使用者是否已經在組織結構中。“否”表示不在組織結構中,“是”表示已經
在組織結構中,括弧後面表示所屬組路徑及用戶名。
第四:點擊<清空清單>按鈕,可清空當前掃描結果清單。
第五:勾選掃描到的主機,再點擊<加入組織結構>按鈕,彈出將掃描到的主機加入組織結構的介面,如下圖:
图111. 組織結構-掃描內網主機
參數說明:
¾ 顯示名:用戶的別名,如果是以用戶的 IP、MAC、主機名稱等為用戶名,在顯示名處可填入用戶真實的姓
名,在統計的時候就會看到真實的姓名,方便記憶。
¾ 主機名稱:主機名稱。
¾ 所屬組:將用戶添加到哪個組下。點擊表頭的<選擇所有用戶的組>,選擇所有用戶的組。點擊每個使用
者後面對應的<選擇>按鈕,選擇希某個使用者的組。如下圖:
图112. 組織結構-掃描內網主機
15.4 認證選項
認證選項包含 SNMP 設置、認證參數和未認證許可權的配置。
15.4.1 SNMP 設置
功能描述:用在第三層環境下綁定 MAC 或綁定 IP+MAC 進行上網認證的實現方式。設備將主動去讀取第三
層交換機上的內網主機的 MAC 位址。
配置路徑:【行為分析】>【認證選項】>【SNMP 設置】,配置頁面如下:
图113. SNMP 設置
參數說明:
¾ 功能狀態:選擇<啟用>或<禁用>開啟或關閉“SNMP設置”功能。當跨第三層交換機的網路需要綁定
MAC 位址時, 必須開啟此功能。
¾ 超時設置:訪問第三層交換機的超時時間。保持預設值即可。
¾ 訪問間隔:訪問第三層交換機的間隔,用於配置設備多久去第三層交換機上取一次內網用戶的 MAC
位址表。保持預設值即可。
提示:
4、 比如,在實例中內網有 3 台第三層交換機,其中一台為核心交換機,另外兩台分別為連接到核
心交換機的第三層交換機 A 和 B,A 和 B 分別連接到內網的兩個部門。則三台交換機的
IP/MAC/Oid/Community 都必須填入到 SNMP 伺服器列表中。核心交換機不要求一定能支持
SNMP,但是設置 SNMP 選項時必須要把核心交換機的 IP、MAC 填寫進去,在不支援 SNMP 時,
oid 和 community 可以隨便設置。
15.4.2 認證參數
功能描述:設置用戶端 WEB 認證視窗登錄介面設置
配置路徑:【行為管理】>【認證選項】>【認證參數】,配置頁面如下:
图114. 配置認證參數
參數說明:
¾ 使用者語言:選擇認證介面顯示的語言。
¾ 認證埠:預設 80。
¾ 認證超時:認證成功後,在設定的時間內沒有流量,認證用戶自動下線。
¾ 認證頁面歡迎語:自訂認證介面歡迎語,預設是“使用者身份認證系統”。
¾ 認證成功頁面:認證成功後 IE 流覽器自動跳轉到相應的網頁。
¾ 公告資訊:管理員可以設置一些資訊公告給每個使用者,將在認證用戶端頁面顯示。
¾ 黑名單公告資訊:管理員可以設置一些資訊公告給每個使用者,將在使用者進入黑名單時顯示到用
戶端。
15.4.3 未認證許可權
功能描述:設置認證失敗或未認證用戶的許可權。
配置路徑:【行為管理】>【認證選項】 >【未認證許可權】,配置頁面如下:
图115. 配置認證參數
15.5 認證伺服器
認證伺服器包括 RADIUS 伺服器、AD 伺服器、LDAP 伺服器和 POP3 伺服器。
配置路徑:【用戶認證】>【認證伺服器】>【RADIUS 伺服器】
配置描述:
第一:進入【RADIUS 伺服器】頁面,如下圖:
图116. RADIUS 伺服器配置清單
¾ 名稱:合法的字元是數位(0-9),字母(A-Z,a-z)和底線,中劃線及中文漢字。
¾ IP地址:RADUIS伺服器IP地址。
¾ 認證埠:伺服器中用於認證的埠號,預設 1812。
¾ 共用金鑰:與RADUIS伺服器交換資料時進行加密的金鑰。
15.5.2 AD 伺服器
功能描述:配置 AD 認證伺服器。
配置路徑:【用戶認證】>【認證伺服器】>【AD 伺服器】
配置描述:
第一:進入【AD 伺服器】頁面,如下圖:
图118. AD 伺服器配置清單
第二:點擊<新增>按鈕,配置 AD 認證伺服器,如下圖:
图119. 新增 AD 伺服器
參數說明:
¾ 名稱:合法的字元是數位(0-9),字母(A-Z,a-z)和底線,中劃線及中文漢字。
¾ IP地址:AD伺服器IP地址。
¾ AD功能變數名稱:網域控制站功能變數名稱,例如 abc.com。
¾ 查找用戶名密碼:查找使用者在 AD 伺服器中的密碼。
配置路徑:【用戶認證】>【認證伺服器】>【LDAP 伺服器】
配置描述:
第一:進入【LDAP 伺服器】頁面,如下圖:
图120. LDAP 伺服器配置清單
¾ 名稱:合法的字元是數位(0-9),字母(A-Z,a-z)和底線,中劃線及中文漢字。
¾ IP地址:LDAP 伺服器IP地址。
¾ 認證埠:伺服器中用於認證的埠號,預設為 389。
¾ DN:LDAP 伺服器用通用名稱識別字搜索具體條目時所使用的路徑,如
cn=searcher,cn=software,dc=abc,dc=com。
配置路徑:【用戶認證】>【認證伺服器】>【POP3 伺服器】
配置描述:
第一:進入【POP3 伺服器】頁面,如下圖:
參數說明:
¾ 名稱:合法的字元是數位(0-9),字母(A-Z,a-z)和底線,中劃線及中文漢字。
¾ IP/功能變數名稱:POP3伺服器IP地址或功能變數名稱。
15.6 黑名單管理
為了防止網路資源的濫用和方便管理員管理使用者,設備支援將超量使用網路資源(流量、頻寬、會話)
的用戶加入黑名單,以示懲罰。對進入黑名單的用戶可以採取懲罰機制,懲罰期限到了之後,該使用者又可
以正常使用網路。使用黑名單功能,需先定義黑名單規則,然後在【行為管理 > 組織管理 > 組織結構】的
使用者和子組中引用黑名單規則。
15.6.1 黑名單規則
功能描述:將超量使用網路資源(流量、頻寬、會話)的用戶加入黑名單,以示懲罰。
配置路徑:【行為管理】>【黑名單管理】>【黑名單規則】
配置描述:
第一:進入【黑名單規則】配置頁面,如下圖:
图124. 黑名單規則
第二:點擊<新增>按鈕,增加黑名單規則,如下圖:
图125. 新增黑名單規則
參數說明:
¾ 名稱:黑名單規則的名稱。
¾ 每日流量配額:每天允許使用的流量值,總流量、上傳流量、下載流量三個值獨立計算。
¾ 每週流量配額:每天允許使用的流量值,總流量、上傳流量、下載流量三個值獨立計算。
¾ 每月流量配額:每天允許使用的流量值,總流量、上傳流量、下載流量三個值獨立計算。
¾ 最大速率:連續多少分鐘內,速率超過一定閥值,上傳速率和下載速率分開計算。
¾ 最大會話數:連續多少分鐘內,速率超過一定閥值,上傳速率和下載速率分開計算。
¾ 懲罰方式:當使用者進入黑名單時的懲罰方式,包括:強制下線、修改頻寬和會話。強制下線表示該用
戶不能上網,修改頻寬和會話表示修改用戶的頻寬和會話值。
¾ 懲罰時長:用戶進入黑名單的時間。當懲罰時間到了,用戶又可以正常上網。
¾ 加倍懲罰:當用戶在一段時間內(包括:在一周內、在一月內、在一季度內) 連續進入黑名單的次數超過
預設閥值後,將被加倍懲罰。比如,懲罰時間將變為原來的 3 倍。
¾ 生效時間:在生效時間內才進行黑名單的控制;在生效時間外,不對使用者的速率和會話進行限制,用
戶產生的流量也不記入黑名單的流量配額內。
提示:
1、 流量配額、最大速率、最大會話數裡面的每個閥值是或的關係,只有一個值達到閥值,則都會
進入黑名單。
2、 先黑名單規則,然後需在【行為管理>組織管理>組織結構】的使用者和子組中引用黑名單規則。
15.6.1 當前黑名單
功能描述:查看當前黑名單用戶,以及手動添加和解除黑名單用戶。
配置路徑:【行為管理】>【黑名單管理】>【當前黑名單】
配置描述:
第一:進入【當前黑名單】頁面,如下圖:
图126. 當前黑名單
查詢準則:
¾ 用戶名:根據用戶名來查找。
¾ 原因:根據進入黑名單的原因來查找。
¾ 黑名單規則:根據黑使用者引用的黑名單規則來查找。
¾ 時間範圍:根據進入黑名單的時間範圍來查找。
預設顯示所有使用者。輸入查詢準則後,點擊<查詢>按鈕,顯示滿足查詢準則的當前黑名單。
當前黑名單:顯示當前的黑名單,相關按鈕說明如下:
¾ 手動添加:手動將某個用戶加入黑名單。
¾ 刪除所有:刪除所有的當前黑名單用戶,相當於接觸所有黑名單用戶。
¾ 解除:解除某個黑名單用戶。
¾ 修改:只有手動添加的黑名單使用者才有<修改>按鈕,即修改手動添加的黑名單使用者的配置。
第二:點擊<手動添加>按鈕,手動添加黑名單用戶。如下圖:
图127. 手動添加黑名單用戶
參數說明:
¾ 用戶名:用戶的名稱。
¾ 懲罰方式:當使用者進入黑名單時的懲罰方式。“強制下線”表示該用戶不能上網,“修改頻寬和
會話”表示修改用戶的頻寬和會話值。
¾ 懲罰時長:用戶進入黑名單的時間。當懲罰時間到了,用戶又可以正常上網。
15.7 線上用戶
顯示了當前線上使用者的統計資訊。如下圖:
图128. 線上用戶統計
查詢準則:
¾ 用戶名:根據用戶名來查找。
¾ 所屬組:根據使用者組來查找,點擊輸入框後面的<選擇>按鈕,選擇使用者組。
¾ IP 地址:根據使用者的 IP 位址來查找。
¾ 時間範圍:根據進入上線的時間範圍來查找。
預設顯示所有使用者。輸入查詢準則後,點擊<查詢>按鈕,顯示滿足查詢準則的線上使用者。
線上用戶:顯示當前線上的所有使用者,共三種類型,如下:
¾ 已認證且在組織結構中:顯示已經認證,並且已加入組織結構的線上使用者。
¾ 已認證但不在組織結構中:顯示已經認證,但未加入組織結構的線上使用者。
¾ 未認證用戶:顯示未通過認證的線上用戶。
參數說明:
¾ 用戶名/用戶組:顯示用戶名稱和所屬組。
¾ 實體介面:表示使用者連接到設備的哪個實體介面。
¾ 線上流量:用戶從上線到當前時刻的流量總和。上箭頭後面的值表示上傳流量的值,下箭頭後面的
值表示下載流量的值。當用戶下線後,其對應的線上流量會被清零。
¾ 最新速率:使用者最後一個採樣點的速率值。上箭頭後面的值表示上傳速率的值,下箭頭後面的值
表示下載速率的值。
¾ 活躍會話:用戶當前的活躍會話數。上箭頭後面的值表示上傳會話數,即用戶主動發起的會話。下
箭頭後面的值表示下載會話數,即用戶被別人連接時產生的會話。
按鈕說明:
¾ 趨勢圖:連結到該使用者的趨勢圖頁面。
¾ 活躍服務:連結到該使用者的活躍服務頁面。
¾ 黑名單:連結到手動加入黑名單頁面,可將該使用者手動加入黑名單。
¾ 強制下線:將該用戶牽制下線。
16 IPv6 配置
16.1 網路工具
IPv6 的“網路工具”包括 Ping6 和 TraceRoute6。
16.1.1 Ping6
功能描述:用於測試網路的連通性。
配置路徑:【IPv6 配置】>【網路工具】>【Ping6】
,設置介面如下圖:
图129. PING 工具
參數說明:
提示:
1、 如果輸入功能變數名稱,需要先配置本地DNS。配置路徑:【IPv6 配置】>【本機DNS】
2、 IPv6 相容 IPv4 的地址。
16.1.2 TraceRoute6
功能描述:用於確定 IPv6 資料訪問目標所採取的路徑。
配置路徑:【IPv6 配置】>【網路工具】>【TraceRoute6】,設置介面如下圖:
图130. TraceRoute6 工具
參數說明:
¾ 超時設置:1-10 秒,預設 10 秒。
¾ 最小 TTL:1-255,預設 1。
¾ 最大 TTL:1-255,預設 10。
提示:
1、 如果輸入功能變數名稱,需要先配置本地DNS。配置路徑:【IPv6 配置】>【本機DNS】
2、 IPv6 相容 IPv4 的地址。
16.2 配置 IPv6 位址
功能描述:
配置描述:
提示:
1、 可對實體介面、VLAN 介面、橋接器配置 IP 位址。
2、 不同的介面不能配置相同網段的 IP 位址。
3、 每個介面可配置多個不同網段的 IP 位址。
16.3 靜態路由
功能描述:配置靜態路由。
配置路徑:【IPv6 配置】>【靜態路由】
配置描述:
第一:進入【靜態路由】頁面,如下圖所示:
图133. 靜態路由
第二:進入點擊<新增>按鈕,增加靜態路由。如下圖:
图134. 新增靜態路由
提示:
1、 直連路由不可以修改和刪除。
2、 <刪除所有>按鈕表示刪除所有靜態路由。
3、 子網路遮罩可以輸入遮罩長度或者點分十進位的格式,如 16 或者 255.255.0.0。
16.4 無狀態自動位址配置
功能描述:用於測試網路的連通性。
配置路徑:【IPv6 配置】>【無狀態自動位址】,設置介面如下圖:
图135. PING 工具
參數說明:
16.5 靜態路由
功能描述:配置靜態路由。
配置路徑:【IPv6 配置】>【靜態路由】
配置描述:
第一:進入【靜態路由】頁面,如下圖所示:
图136. 靜態路由
第二:進入點擊<新增>按鈕,增加靜態路由。如下圖:
16.6 本機 DNS
功能描述:配置設備的 IPv6 DNS 伺服器,以便於設備自身能訪問Internet。
配置路徑:【IPv6 配置】>【本機DNS】
16.7 鄰居表
功能描述:查看 IPv6 鄰居表,配置靜態鄰居表。
配置路徑:【IPv6 配置】>【鄰居表】
配置描述:
第一:進入【鄰居表】頁面,可查看到當前的鄰居表。如下圖:
图139. ARP 表
第二:點擊<新增>按鈕,可添加靜態 鄰居表條目,如下圖:
图140. 新增靜態鄰居
參數說明:
¾ 介面名稱:鄰居連接到哪個介面。
16.8 防火牆
功能描述:
安全性原則的匹配原則是按順序從前往後匹配,從第一條開始順序匹配,遇到第一個匹配的條目就停止,所
以同一群組原則中,序號小的優先順序高。
配置路徑:【IPv6 配置】>【防火牆】
配置描述:
第一:進入【防火牆】頁面,如下圖:
图141. 安全性原則
點擊<刪除所有>,將刪除所有的安全性原則。
點擊<修改>,修改本條安全性原則的參數,但不能修改本條安全性原則的方向。
點擊<插入>,在當前位置之前插入一條安全性原則。
點擊<移動>,改變對應安全性原則的序號,從而改變安全性原則的優先順序。
改變狀態列核取方塊的值,再點擊<修改狀態>,可修改安全性原則的狀態(“勾選”表示啟用,“不勾選”表
示禁用)。點擊表頭的“狀態”核取方塊,可以改變所有安全性原則的狀態。
第二:點擊<新增>按鈕,新增安全性原則,如下圖:
图142. 新增安全性原則
參數說明:
¾ 名稱:規則名稱。
¾ 策略方向:代表資料流程的方向。
¾ 來源地址:資料流程的來源地址。
¾ 目的地址:資料流程的目的地址。
¾ 服務:資料流程的服務類型。
¾ 生效時間:本策略的有效時間段。
¾ 動作:安全性原則允許、拒絕服務的動作。
¾ 狀態:啟用或禁用本規則,預設啟用。
提示:
1、 策略規則遵循從按順序從前往後匹配的原則,如果一個規則匹配了,就不會再向下匹配,所以
序號小的規則優先順序高。請注意規則的先後順序,先定義的規則,位置排在前面,可通過<插
入>或<移動>來改變規則的先後順序。
2、 系統隱含了一條允許所有的安全性原則,如果加入的安全性原則都不匹配,資料包最後將匹配
隱含的策略。所以系統在預設情況,是允許所有封包通過的。
17 HA 配置
功能描述:配置設備的 HA 參數。
配置描述:進入【HA 配置】頁面,如下圖:
图143. HA 配置
參數說明:
¾ 功能狀態:開啟或關閉 HA 功能。
¾ 心跳間隔:發送心跳封包的時間間隔。
¾ 死亡間隔:多久沒有收到心跳封包,將認為對方死亡。
¾ 心跳埠:發送心跳封包的埠。
¾ 連接內網的埠:連接內網的埠名稱。
¾ 本節點名稱:本節點的設備系統名稱。預設使用系統的名稱,如果此處修改了,將會把系統名稱一
併修改。
¾ 其他節點名稱:集群中其他節點的名稱,多節點之間用英文逗號(,)分隔。
¾ 主設備:配置主設備。配置一個主設備,則為主備模式;配置多個主設備,則為負載均衡模式。集
群中每個節點的主設備配置必須相同。一行一個物件,格式為:節點名稱/虛擬 IP/虛擬 IP 遮罩/
廣播位址,虛擬 IP 為內網上一跳設備的閘道 IP。如 node1/192.168.2.1/24/192.168.2.255。
¾ 強制搶佔: 原主設備狀態由故障恢復正常後,是否要強制轉換為主設備。
¾ 鏈路健康檢查:當主設備檢測到自己鏈路出現故障時, 就切換到備份狀態。
18 系統日誌
設備提供了內置 Reporter 系統,無需另外安裝 Reporter 即可實現對即時監控、統計分析、行為分析的記
錄與查詢功能。在內置 Reporter 中,默認已開啟對流量的即時監控、統計分析,行為分析等所有的記錄。行
為分析部分也可根據需要選擇記錄部分內容,具體配置方法參照【內容記錄配置】。
18.1 命令日誌
功能描述:將管理員對設備配置的命令記錄下來,以便查詢。
配置路徑:【系統日誌】>【命令日誌】
配置描述:
第一:進入【命令日誌】頁面,如下圖:
图144. 查看命令日誌
查詢準則:
¾ 管理員:根據配置設備的管理員名稱來查找。
¾ IP 地址:根據配置設備的管理員使用的 IP 位址來查找。
¾ 命令內容:根據配置的命令的內容來查找。
¾ 實行結果:根據配置的結果(失敗/成功)來查找。
¾ 時間範圍:根據管理員配置設備時的時間範圍來查找。
預設顯示所有命令日誌。輸入查詢準則後,點擊<查詢>按鈕,顯示滿足查詢準則的命令日誌。
點擊<清空>按鈕,清空所有的命令日誌。
18.2 事件日誌
功能描述:設備提供事件日誌,用於監視系統事件的發生。
配置路徑:【系統日誌】>【事件日誌】
配置描述:
第一:進入【事件日誌】頁面,如下圖:
图145. 查看命令日誌
點擊<清空>按鈕,清空所有的命令日誌。
18.3 使用者日誌
功能描述:用於記錄內網使用者登錄、認證、下線的消息和結果。
配置路徑:【系統日誌】>【使用者日誌】
配置描述:
第一:進入【使用者日誌】頁面,如下圖:
图146. 查看命令日誌
查詢準則:
¾ 用戶名:根據用戶名稱來查找。
¾ IP 地址:根據使用者的 IP 位址來查找。
¾ 時間範圍:根據使用者登錄、認證、下線的時間範圍來查找。
預設顯示所有使用者日誌。輸入查詢準則後,點擊<查詢>按鈕,顯示滿足查詢準則的使用者日誌。
點擊<清空>按鈕,清空所有的使用者日誌。
18.4 黑名單日誌
功能描述:顯示使用者進入和解除黑名單的日誌資訊。
配置路徑:【系統日誌】>【黑名單日誌】
配置描述:
第一:進入【黑名單日誌】頁面,如下圖:
图147. 查看命令日誌
查詢準則:
¾ 用戶員:根據用戶名稱來查找。
¾ IP 地址:根據進入或解除黑名單的原因來查找。
¾ 時間範圍:根據進入或解除黑名單的時間範圍來查找。
預設顯示所有黑名單日誌。輸入查詢準則後,點擊<查詢>按鈕,顯示滿足查詢準則的黑名單日誌。
點擊<清空>按鈕,清空所有的黑名單日誌。
19 故障排除
19.1 捕獲數據封包
功能描述:配置捕獲資料封包的規則,然後可以捕獲資料封包,進行故障排除分析。
配置路徑:【故障排除】>【捕獲資料封包】
配置描述:進入【捕獲資料封包】頁面,如下圖:
图148. 故障排除-捕獲資料封包 1
图149. 故障排除-捕獲資料封包 2
參數說明:
¾ 捕獲封包個數:捕獲封包的總個數。
¾ 實體介面:捕獲在此介面收到的封包,“全部”代表設備所有的實體介面。
配置好捕獲規則後,點擊<開始捕獲>按鈕,開始封包的捕獲。點擊<停止捕獲>,停止封包的捕獲。然後到【故
障排除 > 查看資料包】頁面去查看捕獲到的資料封包檔。
19.2 查看數據封包
功能描述:查看已捕獲的資料封包。
配置路徑:【故障排除】>【查看資料封包】
配置描述:進入【查看資料封包】頁面,如下圖:
图150. 故障排除-查看資料封包
20 Reporter
設備提供了內置 Reporter 系統,無需另外安裝 Reporter 即可實現對即時監控、統計分析、行為分析的記
錄與查詢功能。在內置 Reporter 中,預設已開啟對流量的即時監控、統計分析,行為分析等所有的記錄。行
為分析部分也可根據需要選擇記錄部分內容,具體配置方法參照【內容記錄配置】
。
20.1 內容記錄配置
功能描述:過濾 Reporter 行為分析的記錄內容,如:對某些使用者只記錄 URL 記錄和 FTP 記錄等。
配置路徑:【Reporter】>【內容記錄配置】
配置描述:
第一:進入【內容記錄配置】頁面,如下圖:
图151. 內容記錄配置清單
記錄方式:“全部記錄”表示記錄所有內容。“根據以下規則記錄”表示根據配置的內容記錄規則來記錄。
預設“全部記錄”。
點擊<刪除所有>,刪除所有規則。
點擊<刪除>,刪除本規則。
點擊<修改>,修改本條規則各參數。
點擊<插入>,在當前位置插入規則。
點擊<移動>,改變對應規則的序號,從而改變該規則的優先順序。
改變狀態列核取方塊的值,再點擊<修改狀態>,可修改網頁過濾規則的狀態(“勾選”表示啟用,“不勾選”
表示禁用)。點擊表頭的“狀態”核取方塊,可以改變所有規則的狀態。
第二:點擊“新增”配置頁面如下
图152. 新增內容記錄配置規則
參數說明:
¾ 內網地址:內網主機位址,可輸入IP位址、選擇位址簿或用戶組。位址簿在系統物件中配置,使用
者組在認證使用者中配置。
¾ 即時通訊:可複選“登錄資訊”和“通訊內容”。“登錄資訊”記錄即時通訊的登錄資訊。“通訊
內容”記錄聊天內容、檔案傳輸、語音記錄。
¾ 郵件記錄:可複選“基本資訊”、“郵件正文”和“郵件附件”。“基本資訊”記錄的資訊包括:
寄件者、收件人、郵件主題、日期。 “郵件正文”記錄郵件的基本資訊和郵件正文的內容。“郵件
附件”記錄郵件的基本資訊和郵件附件,附件將保存到硬碟中,可以下載到本地。
¾ WEB記錄:可複選“URL位址”、“網頁標題”、“發帖資訊”、“搜索關鍵字”和“檔上傳”。 “URL
位址”記錄URL的全址。“網頁標題”記錄WEB頁面的標題。“發帖資訊”記錄在論壇上發貼的內容。
“搜索關鍵字”記錄在搜尋引擎上搜索的關鍵字。“檔上傳”記錄通過WEB上傳的檔的記錄。
¾ FTP記錄:啟用FTP記錄,可激烈FTP的登錄資訊,上傳下載檔案資訊。
¾ 會話記錄:記錄會話資訊。
¾ 狀態:啟用或禁用本規則,預設啟用。
提示:
1、 預設已開啟對流量的即時監控、統計分析,行為分析部分也可根據需要選擇記錄部分內容。
2、 策略規則遵循從按順序從前往後匹配的原則,如果一個規則匹配了,就不會再向下匹配,所以
序號小的規則優先順序高。請注意規則的先後順序,先定義的規則,位置排在前面,可通過<插
入>和<移動>來改變規則的先後順序。
20.2 內置 Reporter
功能描述:進入內置 Reporter 查看統計記錄。
配置路徑:【Reporter】>【內置 Reporter】
配置描述:點擊【內置 Reporter】
,進入 Reporter 首頁,如下:
图153. 內置 Reporter 首頁