LotApp應(yīng)用交付系統(tǒng)用戶使用手冊(cè)v3.0

1、 lotapp應(yīng)用交付系統(tǒng)用戶使用手冊(cè)lotapp應(yīng)用交付系統(tǒng)用戶使用手冊(cè)（user guide） 北京華夏創(chuàng)新科技有限公司2010 v3.0 p/n:3052000000596北京華夏創(chuàng)新科技有限公司 值得信賴的應(yīng)用交付專家 商標(biāo)信息華夏創(chuàng)新、appex、lotware、lotwan、lotflow、lotaccess、lotbalance、lotapp、lotmobile、華創(chuàng)路由器等標(biāo)識(shí)及其組合是北京華夏創(chuàng)新科技有限公司擁有的商標(biāo)，受商標(biāo)法和有關(guān)國(guó)際公約的保護(hù)。第三方信息本文檔中所涉及到的產(chǎn)品名稱和商標(biāo)，屬于各自公司或組織所有。ce/fcc相關(guān)數(shù)據(jù)說明本設(shè)備遵循fcc part 15的規(guī)

2、章?？赡懿粫?huì)引起有害人體的影響，設(shè)備必須避免接受任何干擾的接口所進(jìn)行的不必要的操作方式。典型包裝盒配件內(nèi)容（以實(shí)際產(chǎn)品裝箱單為準(zhǔn)）打開包裝盒，并且檢查下列所述配件是否齊全：1. lotapp（硬件） - x12. l型固定支架及機(jī)架導(dǎo)輥 - x23. 螺絲(screws sets) -x64. 電源線 (ac power cord) -x15. 管理員工具光盤 (cd) - x16. utp cross-over 線 (交叉線) - x27. db9 rs-232 線 - x18. 產(chǎn)品保修服務(wù)承諾（保修卡）- x19. 產(chǎn)品裝箱單/產(chǎn)品回執(zhí)卡 - x11. 以實(shí)物為準(zhǔn). 6.

3、789圖 1 產(chǎn)品包裝配件內(nèi)容（以實(shí)際產(chǎn)品裝箱單為準(zhǔn)）技術(shù)支持華夏創(chuàng)新提供技術(shù)支持，可通過web、e-mail或服務(wù)熱線，解決產(chǎn)品上使用的問題。網(wǎng)址：郵件：appex服務(wù)熱線：+86 10 62973737目錄第一章、綜述71.1 簡(jiǎn)介71.2 特別說明10第二章、安裝lotapp112.1 設(shè)備指示燈說明112.2 設(shè)備安裝11第三章、使用命令行界面 (cli)133.1 登錄cli133.2 使用cli143.3網(wǎng)絡(luò)配置153.4系統(tǒng)信息153.5系統(tǒng)設(shè)置163.6查看網(wǎng)絡(luò)狀況16第四章、web gui登錄174.1 如何使用web管理界面 (gui)174.2系統(tǒng)信息184.3系統(tǒng)狀態(tài)1

4、94.4鏈路狀態(tài)20第五章、網(wǎng)絡(luò)配置215.1 網(wǎng)絡(luò)接口215.1.1查看和配置物理接口215.1.2配置虛擬接口和網(wǎng)橋235.2 ip設(shè)置245.2.1 wan接口配置255.2.2 lan接口配置295.2.3配置管理接口315.3 nat配置325.3.1 snat配置325.3.2 dnat配置345.3.3 nat免除配置385.4 防火墻設(shè)置395.4.1 防火墻-規(guī)則395.4.2 ddos防御405.4.3 其他選項(xiàng)425.5 靜態(tài)路由表配置425.5.1 基于目標(biāo)地址的靜態(tài)路由425.5.2 基于源地址的靜態(tài)路由445.6 arp455.6.1 arp代理465.6.2 靜態(tài)

5、arp映射465.7 智能dns485.7.1 智能dns-wan485.7.2 智能dns-lan505.8 vpn配置515.8.1 配置vpn服務(wù)器515.8.2 配置vpn客戶端565.8.3配置lotaccess575.9 高可靠性設(shè)置645.8.1 vrrp實(shí)例配置655.8.2 vrrp組配置65第六章、wan加速與優(yōu)化配置676.1 加速引擎配置676.2策略定義686.2.1 定義策略686.2.2 定義策略組776.2.3 定義視圖806.3 加速與優(yōu)化（全局配置）836.3.1加速846.3.2 流量整形856.3.3 主機(jī)帶寬均分866.3.4 帶寬管理866.3.5

6、策略定義876.3.6 voip優(yōu)先876.3.7 p2p控制87第七章、負(fù)載均衡897.1 鏈路負(fù)載均衡897.1.1 鏈路負(fù)載均衡配置907.1.2 isp管理907.2 服務(wù)器負(fù)載均衡927.2.1 服務(wù)器負(fù)載均衡配置937.2.2 服務(wù)器負(fù)載均衡調(diào)度算法101第八章、報(bào)表1048.1系統(tǒng)狀態(tài)報(bào)表1058.2優(yōu)先級(jí)報(bào)表1068.3策略報(bào)表1088.4 loose-mapping報(bào)表1118.5 p2p主機(jī)報(bào)表113第九章、系統(tǒng)管理1149.1 系統(tǒng)設(shè)定1149.2 時(shí)間日期1159.3 抓包1159.4 遠(yuǎn)程日志1169.5 修改密碼1179.6 設(shè)備升級(jí)1179.7 備份與恢復(fù)1179

7、.8 重置1189.9重新啟動(dòng)119第十章、配置案例步驟概述12010.1 透明橋配置12010.1.1 網(wǎng)絡(luò)拓?fù)洌?2010.1.2 配置步驟：12010.2 路由配置12310.2.1 網(wǎng)絡(luò)拓?fù)洌?2310.2.2 配置步驟：12310.3 arp代理（lan中有主機(jī)直接配置使用公網(wǎng)ip地址）12810.3.1 網(wǎng)絡(luò)拓?fù)洌?2810.3.2 配置步驟：12910.4 高可靠性配置（ha）13410.4.1 網(wǎng)絡(luò)拓?fù)洌?3410.4.2 配置步驟：13510.5 多鏈路負(fù)載均衡配置14610.5.1 網(wǎng)絡(luò)拓?fù)洌?4610.5.2 配置步驟：14610.6 反向地址映射（dnat）15410.

8、6.1 網(wǎng)絡(luò)拓?fù)洌?5410.6.2配置步驟：15510.7智能dns配置16110.7.1 網(wǎng)絡(luò)拓?fù)洌?6110.7.2 配置步驟：16110.8 lan 智能dns配置17110.8.1拓?fù)洵h(huán)境：17110.8.2 配置步驟：17210.9 vpn配置17710.9.1 vpn客戶端與vpn網(wǎng)關(guān)建立vpn隧道17710.9.2 vpn網(wǎng)關(guān)之間建立隧道18710.9.3 多個(gè)vpn網(wǎng)關(guān)之間建立隧道20110.9.4 vpn旁路部署22010.10 服務(wù)器負(fù)載均衡配置22610.10.1 拓?fù)洵h(huán)境：22610.10.2 配置步驟：22610.11 dr模式（單臂模式）服務(wù)器負(fù)載均衡配置2321

9、0.10.1 拓?fù)洵h(huán)境：23210.10.2 配置步驟：233lotapp應(yīng)用交付系統(tǒng)操作手冊(cè)第一章、綜述本文檔適用于購買華夏創(chuàng)新公司產(chǎn)品的客戶(具有基本網(wǎng)絡(luò)知識(shí)的系統(tǒng)管理員和網(wǎng)絡(luò)管理員)閱讀，通過閱讀本文檔，他們可以獨(dú)自完成以下工作：安裝和使用lotapp管理lotapp以便于華夏創(chuàng)新客戶可以參照本文檔根據(jù)實(shí)際需求使用lotapp。1.1 簡(jiǎn)介lotapp具有以下幾個(gè)主要功能:1) 帶寬管理 將廣域網(wǎng)鏈路劃分多個(gè)帶寬通道，能夠?qū)崿F(xiàn)最大帶寬限制、保證帶寬、帶寬借用、應(yīng)用優(yōu)先級(jí)等一系列帶寬管理功能，防止不正常應(yīng)用對(duì)網(wǎng)絡(luò)帶寬資源的過渡消耗，保證關(guān)鍵應(yīng)用帶寬，限制非關(guān)鍵應(yīng)用帶寬，改善和保障整體網(wǎng)絡(luò)應(yīng)

10、用的服務(wù)質(zhì)量。2) 基于行為的p2p識(shí)別與控制基于行為識(shí)別p2p并有效控制p2p對(duì)網(wǎng)絡(luò)帶寬資源的過度占用。3) 全局智能帶寬分配智能動(dòng)態(tài)地根據(jù)內(nèi)部網(wǎng)絡(luò)實(shí)時(shí)上網(wǎng)機(jī)器數(shù)量，自動(dòng)、平均分配網(wǎng)絡(luò)帶寬，有效抑制p2p等應(yīng)用對(duì)網(wǎng)絡(luò)帶寬資源的過度占用，并保障帶寬資源得到最大利用。4) 字節(jié)緩存lotapp具有高效的字節(jié)緩存功能。字節(jié)緩存技術(shù)又叫“超級(jí)壓縮”，它通過緩存的方式在內(nèi)存和硬盤中記錄下流經(jīng)的數(shù)據(jù)流，并以一定的大?。ɡ?2字節(jié)、64字節(jié)或128字節(jié)等）為最小單位建立易于查詢的索引。當(dāng)以后流向廣域網(wǎng)鏈路的數(shù)據(jù)流出現(xiàn)了大于最小單位的相同數(shù)據(jù)時(shí)，可以將該數(shù)據(jù)替換成某個(gè)更短的標(biāo)識(shí)。遠(yuǎn)端的lotapp設(shè)備能夠

11、將相應(yīng)標(biāo)識(shí)還原成原始數(shù)據(jù)。字節(jié)緩存與數(shù)據(jù)壓縮的不同之處是，字節(jié)緩存不具有自包含性。要解開壓縮數(shù)據(jù)，對(duì)端設(shè)備必須引用以前記錄的歷史緩存信息。為達(dá)到這一目的，字節(jié)緩存技術(shù)需要連接兩端的緩存完全同步，需要在廣域網(wǎng)兩端的加速設(shè)備之間建立緩存數(shù)據(jù)同步機(jī)制。5) 加速vpn應(yīng)用對(duì)ssl、ipsec、l2tp、pptp等加速，大幅度提高各種vpn傳輸效能。6) 業(yè)界唯一實(shí)現(xiàn)單邊加速（非對(duì)稱加速）基于tcp串流加速技術(shù)可實(shí)現(xiàn)單邊加速，在動(dòng)態(tài)檢測(cè)網(wǎng)絡(luò)鏈路狀況（包括鏈路延遲、數(shù)據(jù)包丟失和擁塞等）的基礎(chǔ)上，通過優(yōu)化tcp窗口、減少重傳、避免丟包、減少連接中斷、盡量用滿帶寬等方式提高所有基于tcp的性能，加速所有基于

12、tcp的應(yīng)用流量。無需成對(duì)（網(wǎng)絡(luò)兩端）使用即可大幅度提高數(shù)據(jù)傳輸速度，充分利用帶寬資源，同時(shí)節(jié)省設(shè)備部署成本。7) 數(shù)據(jù)壓縮擴(kuò)充廣域網(wǎng)容量和應(yīng)用吞吐量透明數(shù)據(jù)壓縮是一種革命性的網(wǎng)絡(luò)技術(shù)，能夠確保獲得高速應(yīng)用性能，同時(shí)減少廣域網(wǎng)上多達(dá) 95%的數(shù)據(jù)傳輸量。透明數(shù)據(jù)壓縮能夠顯著調(diào)高應(yīng)用帶寬。8) 流量整形對(duì)流量進(jìn)行整形，減少突發(fā)流量，保障網(wǎng)絡(luò)數(shù)據(jù)穩(wěn)定傳輸，避免網(wǎng)絡(luò)設(shè)備產(chǎn)生擁塞；更重要的是，lotapp可以輕松解決“上行壓死下行”這一普遍難題，即當(dāng)上行帶寬用滿時(shí)，下行帶寬利用率急劇下降的問題。9) 鏈路負(fù)載均衡lotapp應(yīng)用交付系統(tǒng)對(duì)多個(gè)isp連接的可用性和性能進(jìn)行實(shí)時(shí)監(jiān)測(cè)，提高網(wǎng)絡(luò)連接的容錯(cuò)能力

13、，將流量導(dǎo)向最優(yōu)的鏈接和isp以提高服務(wù)質(zhì)量和訪問速度，通過多條低成本鏈路的聚合降低帶寬成本，全面提高應(yīng)用交付能力。10) 服務(wù)器負(fù)載均衡lotapp采用了智能服務(wù)器負(fù)載均衡技術(shù)，支持多種負(fù)載均衡算法，動(dòng)態(tài)監(jiān)測(cè)服務(wù)器的性能和健康狀態(tài)，并將網(wǎng)絡(luò)請(qǐng)求分發(fā)給不同的服務(wù)器，這樣可以大大提高服務(wù)的并發(fā)處理能力，減少用戶等待時(shí)間，提高服務(wù)質(zhì)量；同時(shí)采用多臺(tái)服務(wù)器，也避免了因?yàn)閱闻_(tái)服務(wù)器故障造成的服務(wù)中斷，提高了服務(wù)的可靠性。這樣，就可以提高核心應(yīng)用的交付能力。11) 強(qiáng)化的安全保護(hù)lotapp內(nèi)置高性能的訪問控制列表 (acl) 、網(wǎng)絡(luò)地址轉(zhuǎn)換 (nat) 以及基于狀態(tài)的數(shù)據(jù)包檢測(cè)，不僅抵御了非法訪問和攻

14、擊，而且可以阻止某些解決方案無法發(fā)現(xiàn)的應(yīng)用層攻擊。lotapp加強(qiáng)了系統(tǒng)的核心，每一款產(chǎn)品都建立在安全強(qiáng)化的系統(tǒng)內(nèi)核之上，確保了網(wǎng)絡(luò)及應(yīng)用真正的安全。12) 設(shè)備高可用性采用vrrp協(xié)議，lotapp實(shí)現(xiàn)本身設(shè)備的集群部署，并支持多種模式：active-active，active-standby，達(dá)到系統(tǒng)本身的高可靠性，最多可以實(shí)現(xiàn)255臺(tái)lotapp設(shè)備的集群。通過集群功能實(shí)現(xiàn)應(yīng)用交付設(shè)備的高可用性，對(duì)企業(yè)業(yè)務(wù)系統(tǒng)的運(yùn)行提供更高的保障。13) 內(nèi)置ssl vpnssl vpn 可以建立從廣域網(wǎng)訪問公司內(nèi)部資源的安全通道，同時(shí)，對(duì)此安全通道，可以實(shí)現(xiàn)數(shù)據(jù)流的加速、壓縮、緩存等功能，確保安全、迅

15、速的訪問公司內(nèi)部資源。1.2 特別說明1) 當(dāng)lotapp做對(duì)稱部署且數(shù)據(jù)壓縮功能被打開時(shí)： ftp 服務(wù)推薦使用標(biāo)準(zhǔn)的21端口作為連接控制端口；否則網(wǎng)絡(luò)數(shù)據(jù)傳輸可能會(huì)因網(wǎng)絡(luò)地址轉(zhuǎn)換裝置或網(wǎng)絡(luò)安全設(shè)備而被阻塞。 有些應(yīng)用協(xié)議已經(jīng)采用了壓縮，如：ssh、ssl、rdp，另外windows遠(yuǎn)程桌面等應(yīng)用的數(shù)據(jù)可能不會(huì)被壓縮 如果網(wǎng)絡(luò)中存在數(shù)據(jù)加密設(shè)備或軟件，請(qǐng)將lotapp部署在數(shù)據(jù)加密之前以便獲得更好的壓縮效果。2) 當(dāng)lotapp被應(yīng)用于對(duì)其它vpn設(shè)備加速時(shí)： 一般情況下，lotapp應(yīng)該被部署在數(shù)據(jù)進(jìn)入vpn隧道之前。 對(duì)于采用tcp協(xié)議傳輸數(shù)據(jù)的ssl vpn，當(dāng)lotapp被部署在數(shù)據(jù)

16、進(jìn)入vpn隧道之后時(shí)，tcp加速仍然可以正常工作。 對(duì)于ipsec vpn，lotapp必須被部署在數(shù)據(jù)進(jìn)入vpn隧道之前，否則數(shù)據(jù)流不能被加速。3）當(dāng)使用lotapp基于isp自動(dòng)選擇路由功能時(shí)，請(qǐng)及時(shí)升級(jí)設(shè)備的isp對(duì)應(yīng)的ip庫，否則可能造成部分isp選擇出現(xiàn)錯(cuò)誤。第二章、安裝lotapp在此階段，您將會(huì)需要：n lotapp硬件設(shè)備n 標(biāo)準(zhǔn)1u或者2u高度機(jī)架n l型固定支架n 螺絲(screws sets)n 電源線(ac power cord)2.1 設(shè)備指示燈說明設(shè)備開啟時(shí)硬盤燈為紅色，啟動(dòng)后硬盤燈為不亮；bypass燈在正常情況下為綠色，bypass時(shí)為紅色；網(wǎng)卡燈為綠色時(shí)，說明

17、設(shè)備網(wǎng)卡為百兆模式，網(wǎng)卡燈為紅色時(shí)，說明設(shè)備網(wǎng)卡為千兆模式。2.2 設(shè)備安裝1. lotapp可以被固定在標(biāo)準(zhǔn)的19英吋機(jī)柜。2. 通過缺省lan口登錄lotapp管理界面，根據(jù)需求將lotapp的物理網(wǎng)口配置為對(duì)應(yīng)的wan/lan口，如果只使用透明模式，在配置wan/lan口時(shí)應(yīng)盡量使用設(shè)備上的帶有bypass功能的網(wǎng)絡(luò)接口，并在系統(tǒng)管理系統(tǒng)設(shè)定中啟用旁路模式。3. 根據(jù)用戶需求配置設(shè)備參數(shù)。4. 利用螺絲鎖定l型固定支架。5. 安裝lotapp到機(jī)架上。6. 插上電源，并打開設(shè)備電源開關(guān)。7. 電源插座位于lotapp的背面，輸入電源電壓范圍為100v - 240v。8. 將步驟2中設(shè)置的

18、的設(shè)備lan口與用戶局域網(wǎng)交換機(jī)相連（通常情況下），wan口與互聯(lián)網(wǎng)相連。第三章、使用命令行界面 (cli)可以通過下面兩種方法中的任一種使用cli：l 串行接口連接l ssh遠(yuǎn)程網(wǎng)絡(luò)連接3.1 登錄cli1. 使用串口連接 使用db-9 串行連接線連接電腦和lotapp； 使用如下參數(shù)建立連接進(jìn)程38400 baud8 data bits1 stop bitno parity 在出現(xiàn)登錄提示符時(shí)輸入用戶名/密碼登錄cli。默認(rèn)用戶名/密碼為admin/admin。2. 使用遠(yuǎn)程網(wǎng)絡(luò)連接sshl 遠(yuǎn)端電腦通過lotapp的默認(rèn)lan口ip地址使用ssh連接加速設(shè)備。l 加速設(shè)備默認(rèn)lan接口的

19、ip地址默認(rèn)為，子網(wǎng)掩碼為。l 遠(yuǎn)端電腦使用終端模擬程序或解釋器ssh遠(yuǎn)程訪問。l 在出現(xiàn)登錄提示符時(shí)輸入用戶名/密碼登錄cli。默認(rèn)用戶名/密碼為admin/admin。3.2 使用clicli 的組織分為兩級(jí)： 根節(jié)點(diǎn)二級(jí)節(jié)點(diǎn)三級(jí)節(jié)點(diǎn)當(dāng)用戶登錄進(jìn)入cli后，進(jìn)入根節(jié)點(diǎn)。表2-3中列出了可以使用的命令列表。命令動(dòng)作?查看在當(dāng)前節(jié)點(diǎn)當(dāng)前可用的命令及其幫助.返回上一級(jí)節(jié)點(diǎn)quit退出 cliclear清空屏幕network進(jìn)入network節(jié)點(diǎn) (二級(jí)節(jié)點(diǎn))show進(jìn)入show節(jié)點(diǎn) (二級(jí)節(jié)點(diǎn))admin進(jìn)入admin節(jié)點(diǎn)（二級(jí)節(jié)點(diǎn)）debug進(jìn)入

20、debug節(jié)點(diǎn)(二級(jí)節(jié)點(diǎn))reboot重啟設(shè)備表 3-1 3.3網(wǎng)絡(luò)配置在根節(jié)點(diǎn)，輸入”network”進(jìn)入”network”二級(jí)節(jié)點(diǎn)。命令動(dòng)作mgmt查看和修改管理接口ip地址和子網(wǎng)掩碼del-mgmt刪除管理接口show mode查看端口模式和修改端口模式show inf查看當(dāng)前設(shè)備物理接口show mgmt查看管理接口信息exec pingping工具exec traceroutetraceroute工具表 3-2 3.4系統(tǒng)信息在根節(jié)點(diǎn)，輸入”show” 進(jìn)入二級(jí)節(jié)點(diǎn)”show”。命令動(dòng)作memory查看系統(tǒng)內(nèi)存使用情況cpu查看系統(tǒng)cpu使用情況version查看圖形界面版本查看加速

21、引擎版本model查看產(chǎn)品型號(hào)表 3-3 3.5系統(tǒng)設(shè)置在根節(jié)點(diǎn)，輸入”admin”進(jìn)入”admin”二級(jí)節(jié)點(diǎn)。命令動(dòng)作password修改系統(tǒng)登錄密碼system進(jìn)入system節(jié)點(diǎn)（三級(jí)節(jié)點(diǎn)）system time查看和修改系統(tǒng)時(shí)間reset設(shè)備重置表 3-4 3.6查看網(wǎng)絡(luò)狀況在根節(jié)點(diǎn)，輸入”debug”進(jìn)入”debug”二級(jí)節(jié)點(diǎn)。命令動(dòng)作level設(shè)置debug 級(jí)別，有效值為1，10，255stats查看對(duì)應(yīng)級(jí)別的debug信息表 3-5 第四章、web gui登錄lotapp缺省未分配管理接口，可以通過缺省lan接口管理設(shè)備，缺省lan接口ip地址為。默認(rèn)用戶

22、名/密碼為 admin/admin。4.1 如何使用web管理界面 (gui)web管理界面(后面簡(jiǎn)稱gui)允許用戶通過瀏覽器登錄設(shè)備來進(jìn)行參數(shù)設(shè)置。瀏覽器可以使用ie（6.0及以上）或者 mozilla firefox （2.0及以上）。在瀏覽器的地址欄輸入設(shè)備的缺省lan接口的ip地址即可打開gui。例如，在打開的gui登錄頁面上，輸入用戶名和密碼admin/admin，點(diǎn)擊登錄。圖 4-1 4.2系統(tǒng)信息點(diǎn)擊概況-系統(tǒng)信息可進(jìn)入系統(tǒng)信息界面圖 4-2 在概況系統(tǒng)信息里可以查看設(shè)備的相關(guān)信息，包括產(chǎn)品名稱、產(chǎn)品型號(hào)、序列號(hào)、系統(tǒng)過期時(shí)間、加速引擎版本、圖

23、形界面版本、系統(tǒng)運(yùn)行時(shí)間、內(nèi)存使用率、cpu使用率等，點(diǎn)擊上圖中的小圖標(biāo)，可以分別以圖表、柱狀圖、餅圖等方式顯示相關(guān)信息。第一次管理lotapp并顯示柱狀圖、餅圖時(shí)，可能系統(tǒng)會(huì)要求您下載microsoft silverlight軟件，當(dāng)下載安裝完成后，刷新管理界面后就可以正常顯示柱狀圖、餅圖了。4.3系統(tǒng)狀態(tài)點(diǎn)擊概況-系統(tǒng)狀態(tài)可進(jìn)入系統(tǒng)狀態(tài)界面在配置了加速網(wǎng)絡(luò)接口（加速引擎配置）后才可以在概況-系統(tǒng)狀態(tài)中查看到該鏈路的狀態(tài)信息。 圖 4-3 1. 在概況系統(tǒng)狀態(tài)里的匯總里可以看到所有鏈路總的連接數(shù)和帶寬等情況。2. 可以查看設(shè)備的每條鏈路上的相關(guān)信息，包括連接數(shù)、主機(jī)數(shù)、帶寬等。3. 其中從主

24、機(jī)數(shù)中的本地主機(jī)數(shù)和遠(yuǎn)程主機(jī)數(shù)上可以看出設(shè)備的lan口和wan口是否接反，正常情況下遠(yuǎn)程主機(jī)數(shù)應(yīng)比本地主機(jī)數(shù)大很多，當(dāng)本地主機(jī)數(shù)小于遠(yuǎn)程主機(jī)數(shù)時(shí)，說明設(shè)備的lan/wan口可能接的是反的，個(gè)別網(wǎng)絡(luò)除外。4. 如果是雙邊部署并開啟壓縮或者緩存，在連接數(shù)里可以看到已壓縮或者已經(jīng)緩存的連接數(shù)。5. 點(diǎn)擊上圖中的小圖標(biāo)，可以分別以表格、柱狀圖、餅圖等方式顯示相關(guān)信息。6. 該界面上顯示的帶寬只是實(shí)時(shí)的，如果要從此判斷實(shí)際帶寬，請(qǐng)取平均值，最準(zhǔn)確的方法是看該鏈路對(duì)應(yīng)報(bào)表里顯示的帶寬，并取平均值。4.4鏈路狀態(tài)點(diǎn)擊概況-鏈路狀態(tài)可進(jìn)入鏈路狀態(tài)界面。圖 4-4 路由模式鏈路狀態(tài)里可以查看每個(gè)lan/wan接

25、口的接口類型、所在物理接口、接口mac地址、ip地址、子網(wǎng)掩碼、網(wǎng)關(guān)和dns等信息。第五章、網(wǎng)絡(luò)配置5.1 網(wǎng)絡(luò)接口5.1.1查看和配置物理接口點(diǎn)擊網(wǎng)絡(luò)配置-網(wǎng)絡(luò)接口可查看各物理接口的連接狀態(tài)和配置各物理接口的工作模式。圖 5-1 該界面的物理接口列表列出了設(shè)備所有的物理接口。 物理接口列表的狀態(tài)一欄顯示了每個(gè)接口的連接狀態(tài)。 點(diǎn)擊各物理接口編輯按鈕可配置該接口工作模式。圖 5-2 名稱：該物理接口的名稱，不可更改。 類型：默認(rèn)為物理接口，不可更改。 自動(dòng)協(xié)商：默認(rèn)打開，也可關(guān)閉該功能，手動(dòng)設(shè)定該物理接口的工作模式。 速度：自動(dòng)協(xié)商關(guān)閉時(shí)可以手動(dòng)設(shè)定物理接口的速度為：10m/100m/1000

26、m。 雙工：自動(dòng)協(xié)商關(guān)閉時(shí)可以手動(dòng)設(shè)定物理接口的雙工模式為：半雙工/全雙工。 mac地址：默認(rèn)為初始mac地址，也可修改為其它mac地址，eth0的mac地址是不可以修改的。5.1.2配置虛擬接口和網(wǎng)橋圖 5-3虛擬接口只有在局域網(wǎng)內(nèi)劃分了vlan的情況下才會(huì)用到，點(diǎn)擊虛擬接口列表右端的即可添加虛擬接口。圖 5-4 接口下拉列表框用于指定該虛擬接口所依附實(shí)際接口，可以是物理接口或者是網(wǎng)橋。 實(shí)際接口右邊應(yīng)填寫該接口所屬的vlan的id號(hào)。點(diǎn)擊橋接列表右端的即可添網(wǎng)橋。圖 5-5 接口：該網(wǎng)橋包含的物理接口或者虛擬接口，可用列表中會(huì)列出所有可用的物理接口和虛擬接口，已用列表中為該網(wǎng)橋所包含的物理

27、接口和虛擬接口。 stp：?jiǎn)⒂没蜿P(guān)閉stp協(xié)議。 mtu：該網(wǎng)橋的最大傳輸單元。5.2 ip設(shè)置點(diǎn)擊網(wǎng)絡(luò)配置ip設(shè)置可配置lan/wan接口圖 5-65.2.1 wan接口配置點(diǎn)擊wan列表右上角的可添加一個(gè)wan接口，wan接口連接方式有靜態(tài)ip、pppoe和dhcp三種方式，wan接口可以是物理接口或者網(wǎng)橋，虛擬接口不能用作wan接口。圖 5- 連接方式：靜態(tài)ip圖 5-8 別名：該wan口的名稱，該名稱即為概況-鏈路狀態(tài)界面和負(fù)載均衡-多鏈路負(fù)載均衡界面里的鏈路名稱。 接口名稱：該wan接口選定的物理接口或者網(wǎng)橋。 mtu：該wan接口的最大傳輸單元，默認(rèn)為1500。 i

28、p地址：該wan接口配置的靜態(tài)ip地址。 虛擬ip：用于高可靠性配置和單臂模式服務(wù)器負(fù)載均衡，具體參見相關(guān)章節(jié)；虛擬ip可以配置為單個(gè)ip地址，也可配置為一個(gè)ip段。 掩碼：該wan接口所屬網(wǎng)絡(luò)的子網(wǎng)掩碼。 默認(rèn)網(wǎng)關(guān)：該wan接口所屬網(wǎng)絡(luò)的默認(rèn)網(wǎng)關(guān) 。 dns：該wan接口所屬網(wǎng)絡(luò)的dns服務(wù)器。 連接方式：pppoe圖 5-9 別名：該wan口的名稱，該名稱即為概況-鏈路狀態(tài)界面和負(fù)載均衡-多鏈路負(fù)載均衡界面里的鏈路名稱。 接口名稱：該wan接口選定的物理接口或者網(wǎng)橋。 mtu：該wan接口的最大傳輸單元，默認(rèn)為1500。 用戶名、密碼：該wan接口pppoe撥號(hào)上網(wǎng)的賬號(hào)和密

29、碼，一般由isp（網(wǎng)絡(luò)服務(wù)運(yùn)營(yíng)商）提供。 連接模式：分為保持連接模式和按需連接模式。n 保持連接模式：需要設(shè)定重?fù)艿却龝r(shí)間，即當(dāng)pppoe撥號(hào)失敗或鏈接中斷后設(shè)備重新?lián)芴?hào)的時(shí)間間隔，默認(rèn)是30秒;n 按需連接模式：需要設(shè)定自動(dòng)斷線等待時(shí)間，默認(rèn)是300秒，若pppoe撥號(hào)連接在等待時(shí)間所設(shè)時(shí)長(zhǎng)的時(shí)間段內(nèi)沒有檢測(cè)到有流量通過，則會(huì)自動(dòng)中斷撥號(hào)連接。此功能主要應(yīng)用于adsl撥號(hào)按時(shí)間計(jì)費(fèi)的用戶。 默認(rèn)路由：是否把該接口設(shè)置為默認(rèn)路由，在開啟鏈路負(fù)載均衡功能的時(shí)候，不要打開這個(gè)選項(xiàng)。 dns：該wan接口所屬網(wǎng)絡(luò)的dns服務(wù)器。 連接方式：dhcp圖 5-10 別名：該wan口的名稱，

30、該名稱即為概況-鏈路狀態(tài)界面和負(fù)載均衡-多鏈路負(fù)載均衡界面里的鏈路名稱。 接口名稱：該wan接口選定的物理接口或者網(wǎng)橋。 mtu：該wan接口的最大傳輸單元，默認(rèn)為1500。 dns：該wan接口所屬網(wǎng)絡(luò)的dns服務(wù)器。5.2.2 lan接口配置點(diǎn)擊lan列表右上角的可添加一個(gè)lan接口圖 5-11 別名：該lan接口的名稱。 接口名稱：該lan接口選定的網(wǎng)絡(luò)接口；物理接口、橋接接口和虛擬接口均可被選定用作lan接口。 ip地址：該lan接口的ip地址。 掩碼：該wan接口所屬網(wǎng)絡(luò)的子網(wǎng)掩碼。 mtu：該lan接口的最大傳輸單元，默認(rèn)為1500。 虛擬ip：用于高可靠性配置，具體請(qǐng)參見相關(guān)章節(jié)

31、。 dhcp：是否在該lan接口上開啟dhcp服務(wù)。n 范圍：用作dhcp分配的ip地址池的范圍；n 地址租期：客戶機(jī)從dhcp服務(wù)器獲取到的ip地址的有效時(shí)長(zhǎng)，超過該時(shí)長(zhǎng)則客戶機(jī)需向dhcp服務(wù)器重新發(fā)送地址請(qǐng)求； n 默認(rèn)網(wǎng)關(guān)：客戶機(jī)從dhcp服務(wù)器獲取到的默認(rèn)網(wǎng)關(guān)地址；n dns: 客戶機(jī)從dhcp服務(wù)器獲取到的dns服務(wù)器地址；注：在配置高可靠性時(shí)，一般應(yīng)指定lan接口上的虛擬ip地址為dhcp分配的默認(rèn)網(wǎng)關(guān)地址和dns服務(wù)器地址。5.2.3配置管理接口lotapp系列缺省不提供管理接口；如需使用管理接口，可通過lan接口登錄管理界面，點(diǎn)擊lan列表中管理接口編輯按鈕即可配置管理接口圖

32、 5-12 接口：指定用作管理接口的網(wǎng)絡(luò)接口。 ip地址：管理接口的ip地址。 子網(wǎng)掩碼：管理接口子所屬網(wǎng)絡(luò)的網(wǎng)掩碼。 缺省網(wǎng)關(guān)：管理接口所屬網(wǎng)絡(luò)的默認(rèn)網(wǎng)關(guān)；該項(xiàng)為可選項(xiàng)，如無必要可保持為空。5.3 nat配置5.3.1 snat配置snat，即網(wǎng)絡(luò)地址轉(zhuǎn)換，用于將私網(wǎng)ip地址轉(zhuǎn)換為合法的公網(wǎng)ip地址，以使內(nèi)網(wǎng)中的主機(jī)能夠訪問互聯(lián)網(wǎng)；一般情況下，在配置完某個(gè)wan接口的ip設(shè)置后，均需配置該接口的snat才能使lan中主機(jī)通過該接口連接互聯(lián)網(wǎng)。點(diǎn)擊網(wǎng)絡(luò)配置-nat-snat可進(jìn)入snat配置界面圖 5- 靜態(tài)ip、pppoe和dhcp三種方式配置snat wan口為靜態(tài)ip連

33、接方式時(shí)，snat配置包括動(dòng)態(tài)snat和靜態(tài)snat兩種，其中動(dòng)態(tài)snat用于將多個(gè)lan中的主機(jī)ip轉(zhuǎn)換為一個(gè)或多個(gè)wan接口ip的情況，而靜態(tài)snat則用于lan中的主機(jī)ip和wan接口ip一一對(duì)應(yīng)配置的情況。圖 5-14 wan口為pppoe連接方式和dhcp連接方式時(shí)，只需勾選啟用nat選項(xiàng)便可啟用snat功能圖 5- snat_lan配置此配置是配合dnat_ lan一起使用的，用于內(nèi)網(wǎng)中某臺(tái)主機(jī)通過外網(wǎng)地址訪問該外網(wǎng)地址映射到的某臺(tái)內(nèi)網(wǎng)服務(wù)器的情況；具體請(qǐng)參考dnat_lan配置案例的相關(guān)章節(jié)。圖 5-16圖 5-17點(diǎn)擊右上角的按鈕，添加一條策略如下圖： 源ip

34、：發(fā)起連接的主機(jī)的ip地址，這里一般為內(nèi)網(wǎng)地址。 目標(biāo)ip：連接去往的主機(jī)的ip地址，這里一般為內(nèi)網(wǎng)地址。 目標(biāo)端口：訪問服務(wù)器的端口。5.3.2 dnat配置dnat即轉(zhuǎn)發(fā)規(guī)則，可將某些對(duì)于設(shè)備的訪問連接轉(zhuǎn)發(fā)到設(shè)備lan中的某臺(tái)主機(jī)上面，一般用于實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)服務(wù)器的外部訪問的轉(zhuǎn)發(fā)；dnat可隱藏服務(wù)器的實(shí)際ip地址從而實(shí)現(xiàn)對(duì)服務(wù)器在某種程度上的安全保護(hù)。 dnat-wan點(diǎn)擊網(wǎng)絡(luò)配置-nat-dnat-wan可進(jìn)入dnat_wan配置界面圖 5-18點(diǎn)擊添加按鈕即可添加一條dnat_wan規(guī)則圖 5-19 wan：指定做dnat的wan接口，如果選擇全部，則將在所有的wan接口做

35、dnat。 外部ip：用于提供服務(wù)的外網(wǎng)ip地址。 外部端口：用于提供服務(wù)的外部服務(wù)端口號(hào)，外部端口可以為一個(gè)端口號(hào)，或端口范圍比如 8080-9000，或二者的組合. 為空則對(duì)所有外部端口生效。 例如： 8080 8080-9000 7000,8080-9000,80,1314,5070 內(nèi)部ip：外部訪問被轉(zhuǎn)發(fā)到的內(nèi)部服務(wù)器的內(nèi)網(wǎng)ip地址。 內(nèi)部端口：外部訪問被轉(zhuǎn)發(fā)到的內(nèi)部服務(wù)器的服務(wù)端口號(hào)；內(nèi)部端口可以為空或一個(gè)端口號(hào)（不能為多個(gè)端口號(hào)），為空則內(nèi)部服務(wù)器使用和外部端口一一對(duì)應(yīng)的內(nèi)部端口號(hào)。 協(xié)議：訪問連接所使用的網(wǎng)絡(luò)傳輸協(xié)議。 dnat-lan點(diǎn)擊網(wǎng)絡(luò)配置-nat-dna

36、t-lan可進(jìn)入dnat_lan配置界面圖 5-20點(diǎn)擊添加按鈕即可添加一條dnat_lan規(guī)則圖 5-21 lan：指定做dnat的lan接口，如果選擇全部，則將在所有的lan接口做dnat。 外部ip：用于提供服務(wù)的外網(wǎng)ip地址，為空則對(duì)設(shè)備上所有的外部ip生效。 外部端口：用于提供服務(wù)的外部服務(wù)端口號(hào)，外部端口可以為一個(gè)端口號(hào)，或端口范圍比如 8080-9000，或二者的組合. 為空則對(duì)所有外部端口生效。 例如： 8080 8080-9000 7000,8080-9000,80,1314,5070 內(nèi)部ip：訪問被轉(zhuǎn)發(fā)到的內(nèi)部服務(wù)器的內(nèi)網(wǎng)ip地址。 內(nèi)部端口：訪問被轉(zhuǎn)發(fā)到的內(nèi)部服務(wù)器的服

37、務(wù)端口號(hào)；內(nèi)部端口可以為空或一個(gè)端口號(hào)（不能為多個(gè)端口號(hào)），為空則內(nèi)部服務(wù)器使用和外部端口一一對(duì)應(yīng)的內(nèi)部端口號(hào)。 協(xié)議：訪問連接所使用的網(wǎng)絡(luò)傳輸協(xié)議。 dnat-模塊點(diǎn)擊網(wǎng)絡(luò)配置-nat-dnat-模塊可進(jìn)入dnat_模塊配置界面圖 5-22 默認(rèn)選項(xiàng)ftp（21）、tftp、irc、sip和pptp都是啟用的，h323是不啟用的。 ftp：默認(rèn)端口是21端口，如果有ftp服務(wù)器需要dnat并且端口為非21的其它端口，請(qǐng)勾選此項(xiàng)并且添加對(duì)應(yīng)的端口，多個(gè)端口用逗號(hào)（，）分隔。 tftp：默認(rèn)端口是udp 69，如果有此服務(wù)需要做dnat，請(qǐng)勾選此項(xiàng)。 irc：默認(rèn)端口是tcp 66

38、67，如果有此服務(wù)需要做dnat，請(qǐng)勾選此項(xiàng)。 sip：默認(rèn)端口是5060，如果有此服務(wù)需要做dnat，請(qǐng)勾選此項(xiàng)。 h323：默認(rèn)端口是1720，如果有此服務(wù)需要做dnat，請(qǐng)勾選此項(xiàng)。 pptp：默認(rèn)端口是1723，如果有此服務(wù)需要做dnat，請(qǐng)勾選此項(xiàng)。5.3.3 nat免除配置nat免除，即按實(shí)際網(wǎng)絡(luò)配置的需求，在由指定的源主機(jī)訪問指定的目標(biāo)主機(jī)時(shí)不對(duì)其連接做網(wǎng)絡(luò)地址轉(zhuǎn)換。點(diǎn)擊網(wǎng)絡(luò)配置-nat-nat免除可進(jìn)入nat免除配置界面圖 5-23點(diǎn)擊添加按鈕即可添加一條nat免除規(guī)則圖 5-24 源ip：指定不做網(wǎng)絡(luò)地址轉(zhuǎn)換的連接的源主機(jī)ip地址。 目標(biāo)ip：指定不做網(wǎng)絡(luò)地址轉(zhuǎn)換的連接的目標(biāo)

39、主機(jī)ip地址。 協(xié)議：源ip與目標(biāo)ip通訊時(shí)采用的網(wǎng)絡(luò)協(xié)議。 源端口：源主機(jī)發(fā)起連接時(shí)所使用的端口號(hào)。 目標(biāo)端口：目標(biāo)主機(jī)接受連接時(shí)所使用的端口號(hào)。5.4 防火墻設(shè)置防火墻可實(shí)現(xiàn)對(duì)某些指定連接的簡(jiǎn)單的訪問控制，包括允許或者拒絕這些連接訪問。防火墻默認(rèn)處于開啟狀態(tài)，此時(shí)所有試圖由外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)的連接都將被拒絕，而由內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的連接都將被允許。通過添加防火墻規(guī)則，可為某些連接設(shè)定不同于默認(rèn)規(guī)則的訪問控制一般在以下三種情況下需要配置防火墻規(guī)則：在配置服務(wù)器負(fù)載均衡時(shí)；在局域網(wǎng)中存在多個(gè)網(wǎng)段時(shí)，可以用防火墻做各個(gè)網(wǎng)段之間的訪問控制；在做arp代理時(shí)。5.4.1 防火墻-規(guī)則點(diǎn)擊網(wǎng)絡(luò)配置

40、-防火墻-規(guī)則可進(jìn)入防火墻規(guī)則配置界面圖 5-25點(diǎn)擊添加按鈕即可添加一條防火墻規(guī)則圖 5-26 動(dòng)作：通過或者攔截。 源ip：連接的來源地址，值為空時(shí)表示對(duì)所有ip生效。 目標(biāo)ip：連接的目的地地址，值為空時(shí)表示對(duì)所有地址生效。 協(xié)議：連接所用的協(xié)議，默認(rèn)為對(duì)所有協(xié)議生效。 源端口：連接的來源端口，值為空時(shí)表示對(duì)所有端口生效。 目標(biāo)端口：連接的目的地端口，值為空時(shí)表示對(duì)所有端口生效。 防火墻的缺省規(guī)則為對(duì)外的訪問全部通過，對(duì)內(nèi)的訪問全部攔截。5.4.2 ddos防御點(diǎn)擊網(wǎng)絡(luò)配置-防火墻-ddos防御可進(jìn)入ddos防御配置界面圖 5-27 syn flooding：這是一種利用tcp協(xié)議缺陷，

41、發(fā)送大量偽造的tcp連接請(qǐng)求，從而使得被攻擊方資源耗盡（cpu滿負(fù)荷或內(nèi)存不足）的攻擊方式。圖 5-28n wan：選擇要防御syn flooding的wan接口。n 速率：設(shè)定每秒（sec）或者每分鐘（min）包的數(shù)量。n 突發(fā)：最大包數(shù)量。n 端口：過濾的端口號(hào)。n 目標(biāo)：過濾的目標(biāo)地址/目標(biāo)地址段。 ping flooding：利用ping命令向目標(biāo)主機(jī)大量的icmp echo請(qǐng)求，從而導(dǎo)致對(duì)方內(nèi)存分配錯(cuò)誤，造成tcp/ip堆棧崩潰，致使對(duì)方宕機(jī)。圖 5-29n wan：選擇要防御ping flooding的wan接口。n 速率：設(shè)定每秒（sec）或者每分鐘（min）包的數(shù)量。n 突發(fā)：

42、最大包數(shù)量。n 目標(biāo)：過濾的目標(biāo)地址/目標(biāo)地址段。 arp欺騙：arp欺騙分為對(duì)路由器arp表的欺騙和對(duì)內(nèi)網(wǎng)pc的網(wǎng)關(guān)欺騙，arp欺騙攻擊的后果非常嚴(yán)重，大多數(shù)情況下會(huì)造成大面積掉線。 ip欺騙：ip欺騙是基于遠(yuǎn)程過程調(diào)用rpc的命令，其實(shí)質(zhì)是僅僅根據(jù)信任源ip地址進(jìn)行用戶身份確認(rèn)，以便允許或拒絕用戶rpc。 smurf：smurf攻擊通過使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的icmp應(yīng)答請(qǐng)求(ping)數(shù)據(jù)包，來淹沒受害主機(jī)，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此icmp應(yīng)答請(qǐng)求做出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞。 fraggle：fraggle攻擊對(duì)smurf攻擊作了簡(jiǎn)單的修改，使用的是udp應(yīng)答消息而非i

43、cmp。 icmp redirect：icmp 重定向報(bào)文是當(dāng)主機(jī)采用非最優(yōu)路由發(fā)送數(shù)據(jù)報(bào)時(shí)，路由器會(huì)發(fā)回icmp重定向報(bào)文來通知主機(jī)最優(yōu)路由的存在，利用這一特點(diǎn)進(jìn)行icmp redirect 攻擊可以達(dá)到類似arp欺騙或者拒絕服務(wù)（dos）攻擊的效果。 icmp fragment：icmp碎片攻擊是如果攻擊者有意發(fā)送總長(zhǎng)度超過65535 的icmp碎片，一些老的系統(tǒng)內(nèi)核在處理的時(shí)候就會(huì)出現(xiàn)問題，導(dǎo)致崩潰或者拒絕服務(wù)。5.4.3 其他選項(xiàng)圖 5-30 默認(rèn)情況下，wan接口對(duì)ping請(qǐng)求不回應(yīng)；可通過勾選 允許wan接口被ping 使wan口回應(yīng)ping請(qǐng)求。一般在調(diào)試網(wǎng)絡(luò)故障時(shí)可打開該項(xiàng)。

44、ip轉(zhuǎn)發(fā)默認(rèn)為開啟狀態(tài)。5.5 靜態(tài)路由表配置點(diǎn)擊網(wǎng)絡(luò)配置-靜態(tài)路由表，可進(jìn)入靜態(tài)路由表配置界面5.5.1 基于目標(biāo)地址的靜態(tài)路由點(diǎn)擊網(wǎng)絡(luò)配置-靜態(tài)路由表-目標(biāo)路由可進(jìn)入目標(biāo)路由的配置界面圖 5-31點(diǎn)擊添加按鈕即可添加一條基于目標(biāo)地址的靜態(tài)路由規(guī)則 經(jīng)由-網(wǎng)關(guān)圖 5-32 別名：該規(guī)則的名稱。 目的地ip段：目的地ip段。 經(jīng)由：可以是網(wǎng)關(guān)或接口。 網(wǎng)關(guān)：即由設(shè)備去往指定目的地ip段的下一跳網(wǎng)關(guān)。 跳數(shù)：從設(shè)備到指定目的地址的網(wǎng)絡(luò)路徑中的路由器個(gè)數(shù)。 經(jīng)由-接口圖 5-33 別名：該規(guī)則的名稱。 目的地ip段：目的地ip段。 經(jīng)由：可以為網(wǎng)關(guān)或接口。 接口：即去往

45、指定目的地ip段所走的物網(wǎng)絡(luò)接口。5.5.2 基于源地址的靜態(tài)路由點(diǎn)擊網(wǎng)絡(luò)配置-靜態(tài)路由表-源路由可進(jìn)入源路由的配置界面?；谠吹刂返撵o態(tài)路由即指定lan中的主機(jī)在訪問（指定的）外部網(wǎng)絡(luò)時(shí)走指定的wan接口或網(wǎng)關(guān)，如設(shè)備上配有兩個(gè)或兩個(gè)以上的wan接口時(shí)，可以通過配置基于源地址的靜態(tài)路由來指定lan端的ip或ip段走某個(gè)特定的wan接口。圖 5-34點(diǎn)擊添加按鈕即可添加一條基于源地址的靜態(tài)路由規(guī)則圖 5-35 別名：該條規(guī)則的名稱。 lan ip：即設(shè)備lan端的ip和子網(wǎng)掩碼。 wan：指定lan ip 走的wan接口。5.6 arparp代理主要用于lan中存在某些使用公網(wǎng)ip地址的主機(jī)或

46、服務(wù)器的情況；arp代理另一個(gè)主要的用途是與靜態(tài)目標(biāo)路由配合，配置dnat的外部ip可以不是wan口ip，具體見后面的配置事例。5.6.1 arp代理點(diǎn)擊網(wǎng)絡(luò)配置-arp-arp代理可進(jìn)入arp代理配置界面 。圖 5-36 該界面會(huì)顯示所有已配置的lan/wan接口。 勾選啟用即可啟用該接口的arp代理功能。5.6.2 靜態(tài)arp映射點(diǎn)擊網(wǎng)絡(luò)配置-arp-靜態(tài)arp映射進(jìn)入配置界面圖 5-37靜態(tài)arp映射即mac地址綁定，通過該功能實(shí)現(xiàn)ip與mac地址綁定，從而可以實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)地址分配以及內(nèi)部主機(jī)網(wǎng)絡(luò)連接的精確控制。圖 5-38 靜態(tài)arp映射：勾選即可啟用該接口的靜態(tài)arp映射功能。 應(yīng)

47、用到dhcp: 啟用該功能，則在dhcp分配時(shí)，對(duì)指定的mac地址將按照指定的ip地址進(jìn)行分配。 允許修改ip地址：?jiǎn)⒂迷摴δ埽瑒t已綁定的主機(jī)在將ip地址修改為非綁定ip時(shí)依然可以正常訪問網(wǎng)絡(luò)；不啟用該功能，則已綁定的主機(jī)在將ip地址修改為非綁定ip之后將不能正常訪問網(wǎng)絡(luò)。 允許訪問internet: 不啟用該功能，則未綁定主機(jī)將不能正常訪問網(wǎng)絡(luò)。圖 5-39圖 5-40點(diǎn)擊添加按鈕 即可添加一條ip地址與mac地址的綁定規(guī)則，目前有手動(dòng)輸入與自動(dòng)掃描兩種添加方式，一般兩種方式配合使用。在自動(dòng)掃描模式對(duì)需要綁定的ip進(jìn)行勾選后即可綁定，綁定結(jié)果會(huì)在mac地址列表中體現(xiàn)。另外可使用搜索欄對(duì)綁定結(jié)

48、果進(jìn)行搜索，并且可以對(duì)其進(jìn)行刪除與解除綁定的操作。5.7 智能dns多鏈路負(fù)載均衡解決的是流出流量的負(fù)載均衡，而智能dns可以解決流入流量的負(fù)載均衡，采用智能dns均衡算法實(shí)現(xiàn)企業(yè)入站流量在不同isp鏈路上的流量均衡。5.7.1 智能dns-wan點(diǎn)擊網(wǎng)絡(luò)配置-智能dns-wan可進(jìn)入智能dns_wan配置界面圖 5-41 如下圖所示，點(diǎn)擊添加按鈕，添加一條dns解析的地址，此地址須為wan接口的某個(gè)公網(wǎng)ip地址。圖 5-42 點(diǎn)擊下圖所示的全局設(shè)置添加按鈕，添加一個(gè)區(qū)，比如，相當(dāng)于添加一個(gè)域名。圖 5-43圖 5-44 選中，點(diǎn)擊右邊的按鈕，添加一條記錄：圖 5-45 名字：具體指向某個(gè)或某

49、些服務(wù)器的域名，如。 類型：a（address）類型指的是用來指定主機(jī)名(或域名)對(duì)應(yīng)的ip地址。 值：其中一條鏈路wan接口的ip地址。 權(quán)重：外部使用同一域名訪問多臺(tái)相同服務(wù)器時(shí)的訪問比例。5.7.2 智能dns-lan點(diǎn)擊網(wǎng)絡(luò)配置-智能dns-lan可進(jìn)入智能dns_lan配置界面圖 5-46點(diǎn)擊添加按鈕，添加一條規(guī)則：圖 5-47 域名：解析的域名，和要解析的ip地址相對(duì)應(yīng)，比如對(duì)應(yīng)，那么訪問域名和訪問地址的效果是相同的。 ip地址：域名對(duì)應(yīng)的ip地址。5.8 vpn配置5.8.1 配置vpn服務(wù)器1. 啟用vpn功能：在“系統(tǒng)管理”的“系統(tǒng)

50、設(shè)定”中，勾選“vpn啟用”，保存后即開啟vpn功能。圖 5-482. 點(diǎn)擊“網(wǎng)絡(luò)配置”的“vpn服務(wù)器”，可以配置vpn服務(wù)器的基本參數(shù)。圖 5-49 啟用：勾選后設(shè)備作為vpn服務(wù)器。 監(jiān)聽的地址：監(jiān)聽設(shè)備wan口的地址，可監(jiān)聽所有wan口地址，也可只監(jiān)聽指定的wan口地址。 監(jiān)聽的端口：vpn客戶端與vpn服務(wù)器通訊用2194端口，可以手動(dòng)指定。 協(xié)議：vpn客戶端與vpn服務(wù)器通訊所采用的協(xié)議。 允許客戶端之間彼此訪問：使連接同一臺(tái)服務(wù)器的各個(gè)vpn客戶端之間可以互相訪問。 鏈接檢測(cè)間隔：指定鏈接狀態(tài)檢測(cè)的時(shí)間間隔，默認(rèn)為5秒。 重新連接超時(shí)：若設(shè)備超過指定時(shí)長(zhǎng)未檢測(cè)到連接數(shù)據(jù)則重新建

51、立連接，默認(rèn)為15秒。 mtu：最大傳輸單元。 客戶端地址池：vpn服務(wù)器從該地址池中給客戶端分配地址，默認(rèn)為網(wǎng)段，可根據(jù)實(shí)際網(wǎng)絡(luò)配置更改為其它網(wǎng)段。 客戶端lan網(wǎng)段：指vpn隧道保護(hù)的遠(yuǎn)端vpn 網(wǎng)關(guān)的子網(wǎng)ip 地址。 客戶端路由：指vpn隧道保護(hù)的本地子網(wǎng)ip地址和遠(yuǎn)端子網(wǎng)地址。3. 點(diǎn)擊“用戶管理”按鈕，打開“用戶管理”頁面如下圖所示：圖 5-504. 點(diǎn)擊頁面右邊的，打開添加vpn用戶頁面如下圖所示：圖 5-51 id：設(shè)定vpn用戶的賬號(hào)名。 密碼：設(shè)定vpn用戶的密碼。 確認(rèn)密碼：再次輸入密碼。 姓名：vpn客戶端用戶的名稱。 電話：vpn客戶端用戶的聯(lián)系電話。

52、部門：vpn客戶端用戶的工作部門。5. 點(diǎn)擊，可以修改vpn用戶密碼和基本信息，“編輯vpn用戶”頁面如下圖所示：圖 5-526. 點(diǎn)擊，可以打開“客戶端配置”頁面，如下圖所示：圖 5-53 vpn固定ip：給vpn客戶端指定固定ip地址和vpn服務(wù)器端ip地址，如果不指定，vpn服務(wù)器會(huì)自動(dòng)分配一個(gè)ip地址給vpn客戶端。 vpn內(nèi)部路由：vpn隧道遠(yuǎn)端的子網(wǎng)地址。 客戶端路由：vpn隧道遠(yuǎn)端的部分子網(wǎng)地址。7. 點(diǎn)擊“狀態(tài)”，打開vpn狀態(tài)頁面，如下圖所示：圖 5-54 接口：vpn采用的虛擬接口。 mtu：最大傳輸單元。 鏈路mtu：數(shù)據(jù)在udp tunnel傳輸模式中的傳輸大小。 服務(wù)器ip：vpn服務(wù)器的tun0口地址。5.8.2 配置vpn客戶端1. 點(diǎn)擊“網(wǎng)絡(luò)配置”里的“vpn客戶端”，打開“vpn客戶端”頁面如下圖所示