LotBalance負(fù)載均衡器用戶(hù)手冊(cè)GUI-3260

1、 LotBalance負(fù)載均衡器用戶(hù)使用手冊(cè)LotBalance負(fù)載均衡器用戶(hù)使用手冊(cè)（User Guide） 北京華夏創(chuàng)新科技有限公司 P/N:3052000000595北京華夏創(chuàng)新科技有限公司 值得信賴(lài)的應(yīng)用交付專(zhuān)家 版權(quán)信息©版權(quán)所有 2010，北京華夏創(chuàng)新科技有限公司本文檔中出現(xiàn)的任何文字?jǐn)⑹觥⑽臋n格式、插圖、照片、方法、過(guò)程等內(nèi)容，除另有特別注明，版權(quán)均屬北京華夏創(chuàng)新科技有限公司所有，受?chē)?guó)家有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)北京華夏創(chuàng)新科技有限公司的書(shū)面授權(quán)許可，不得以任何方式復(fù)制或引用本文檔的任何片段。商標(biāo)信息華夏創(chuàng)新、AppEx、Lotware、LotWan、Lo

2、tFlow、LotAccess、LotBalance、LotBalance、LotMobile、華創(chuàng)路由器等標(biāo)識(shí)及其組合是北京華夏創(chuàng)新科技有限公司擁有的商標(biāo)，受商標(biāo)法和有關(guān)國(guó)際公約的保護(hù)。第三方信息本文檔中所涉及到的產(chǎn)品名稱(chēng)和商標(biāo)，屬于各自公司或組織所有。CE/FCC相關(guān)數(shù)據(jù)說(shuō)明本設(shè)備遵循FCC part 15的規(guī)章。可能不會(huì)引起有害人體的影響，設(shè)備必須避免接受任何干擾的接口所進(jìn)行的不必要的操作方式。典型包裝盒配件內(nèi)容（以實(shí)際產(chǎn)品裝箱單為準(zhǔn)）打開(kāi)包裝盒，并且檢查下列所述配件是否齊全：1. LotBalance（硬件） - x12. L型固定支架及機(jī)架導(dǎo)輥 - x23. 螺絲(Screws Se

3、ts) -x64. 電源線(xiàn) (AC Power Cord) -x15. 管理員工具光盤(pán) (CD) - x16. UTP Cross-over 線(xiàn) (交叉線(xiàn)) - x27. DB9 RS-232 線(xiàn) - x18. 產(chǎn)品保修服務(wù)承諾（保修卡）- x19. 產(chǎn)品裝箱單/產(chǎn)品回執(zhí)卡 - x11. 以實(shí)物為準(zhǔn). 6. 789圖 1 產(chǎn)品包裝配件內(nèi)容（以實(shí)際產(chǎn)品裝箱單為準(zhǔn)）技術(shù)支持華夏創(chuàng)新提供技術(shù)支持，可通過(guò)Web、E-mail或服務(wù)熱線(xiàn)，解決產(chǎn)品上使用的問(wèn)題。網(wǎng)址：郵件：appex服務(wù)熱線(xiàn)：+86 10 62973737目錄第一章、綜述61.1 簡(jiǎn)介61.2 特別說(shuō)明8第二章、安裝LOTB

4、ALANCE92.1 設(shè)備指示燈說(shuō)明92.2 設(shè)備安裝9第三章、使用命令行界面 (CLI)113.1 登錄CLI113.2 使用CLI123.3網(wǎng)絡(luò)配置133.4系統(tǒng)信息133.5系統(tǒng)設(shè)置143.6查看網(wǎng)絡(luò)狀況14第四章、WEB GUI登錄154.1 如何使用Web管理界面 (GUI)154.2系統(tǒng)信息164.3系統(tǒng)狀態(tài)174.4鏈路狀態(tài)18第五章、網(wǎng)絡(luò)配置195.1 網(wǎng)絡(luò)接口195.1.1查看和配置物理接口195.1.2配置VLAN接口和網(wǎng)橋215.2 IP設(shè)置225.2.1 WAN接口配置235.2.2 LAN接口配置265.2.3配置管理接口285.3 NAT配置285.3.1 SNAT

5、配置285.3.2 DNAT配置315.3.3 NAT免除配置345.3.4 模塊365.4 防火墻設(shè)置365.4.1 防火墻-規(guī)則375.4.2 DDOS防御385.4.3 其他選項(xiàng)405.5 靜態(tài)路由表配置405.5.1 基于目標(biāo)地址的靜態(tài)路由405.5.2 基于源地址的靜態(tài)路由425.6 ARP435.6.1 ARP代理435.6.2 靜態(tài)ARP映射435.7 智能DNS455.7.1 智能DNS-WAN455.7.2 智能DNS-LAN475.8 高可靠性設(shè)置485.8.1 VRRP實(shí)例配置485.8.2 VRRP組配置49第六章、WAN加速與優(yōu)化配置516.1 加速引擎配置516.2

6、策略定義526.2.1 定義策略526.2.2 定義策略組616.2.3 定義視圖646.3 加速與優(yōu)化（全局配置）676.3.1 流量整形686.3.2 帶寬管理696.3.3 策略定義706.3.4 VOIP706.3.5 P2P行為706.3.5 P2P深度檢測(cè)70第七章、負(fù)載均衡717.1 鏈路負(fù)載均衡717.1.1 鏈路負(fù)載均衡配置727.1.2 ISP管理737.2 服務(wù)器負(fù)載均衡747.2.1 服務(wù)器負(fù)載均衡配置757.2.2 服務(wù)器負(fù)載均衡調(diào)度算法84第八章、報(bào)表878.1系統(tǒng)狀態(tài)報(bào)表888.2優(yōu)先級(jí)報(bào)表888.3策略報(bào)表908.4 Loose-Mapping報(bào)表938.5 P

7、2P主機(jī)報(bào)表958.6歷史報(bào)表968.7基于P2P深度檢測(cè)的應(yīng)用報(bào)表97第九章、系統(tǒng)管理989.1 系統(tǒng)設(shè)定989.2 時(shí)間日期999.3 通知設(shè)定999.4中斷分配1009.5 抓包1019.6 遠(yuǎn)程日志1029.7 SNMP設(shè)定1029.8 集中管理設(shè)定1039.9訪問(wèn)歷史記錄1039.10修改密碼1039.11設(shè)備升級(jí)1039.12備份與恢復(fù)1049.13重置1059.14重新啟動(dòng)105第十章、配置案例步驟概述10610.1 路由配置10610.1.1 網(wǎng)絡(luò)拓?fù)洌?0610.1.2 配置步驟：10610.2 高可靠性配置（HA）11110.2.1 網(wǎng)絡(luò)拓?fù)洌?1110.2.2 配置步驟：

8、111一配置LOTBALANCE1111二配置LOTBALANCE211710.3 多鏈路負(fù)載均衡配置12310.3.1 網(wǎng)絡(luò)拓?fù)洌?2310.3.2 配置步驟：12310.4 NAT模式服務(wù)器負(fù)載均衡配置13110.4.1 拓?fù)洵h(huán)境：13110.4.2 配置步驟：13210.5 DR模式服務(wù)器負(fù)載均衡配置13710.5.1 拓?fù)洵h(huán)境：13710.5.2 配置步驟：138LotBalance應(yīng)用交付系統(tǒng)操作手冊(cè)第一章、綜述本文檔適用于購(gòu)買(mǎi)華夏創(chuàng)新公司產(chǎn)品的客戶(hù)(具有基本網(wǎng)絡(luò)知識(shí)的系統(tǒng)管理員和網(wǎng)絡(luò)管理員)閱讀，通過(guò)閱讀本文檔，他們可以獨(dú)自完成以下工作：安裝和使用LotBalance管理LotBa

9、lance以便于華夏創(chuàng)新客戶(hù)可以參照本文檔根據(jù)實(shí)際需求使用LotBalance。1.1 簡(jiǎn)介L(zhǎng)otBalance具有以下幾個(gè)主要功能:1) 帶寬管理 將廣域網(wǎng)鏈路劃分多個(gè)帶寬通道，能夠?qū)崿F(xiàn)最大帶寬限制、保證帶寬、帶寬借用、應(yīng)用優(yōu)先級(jí)等一系列帶寬管理功能，防止不正常應(yīng)用對(duì)網(wǎng)絡(luò)帶寬資源的過(guò)渡消耗，保證關(guān)鍵應(yīng)用帶寬，限制非關(guān)鍵應(yīng)用帶寬，改善和保障整體網(wǎng)絡(luò)應(yīng)用的服務(wù)質(zhì)量。2) 基于行為的P2P識(shí)別與控制基于行為識(shí)別P2P并有效控制P2P對(duì)網(wǎng)絡(luò)帶寬資源的過(guò)度占用。3) 全局智能帶寬分配智能動(dòng)態(tài)地根據(jù)內(nèi)部網(wǎng)絡(luò)實(shí)時(shí)上網(wǎng)機(jī)器數(shù)量，自動(dòng)、平均分配網(wǎng)絡(luò)帶寬，有效抑制P2P等應(yīng)用對(duì)網(wǎng)絡(luò)帶寬資源的過(guò)度占用，并保障帶寬

10、資源得到最大利用。4) 流量整形對(duì)流量進(jìn)行整形，減少突發(fā)流量，保障網(wǎng)絡(luò)數(shù)據(jù)穩(wěn)定傳輸，避免網(wǎng)絡(luò)設(shè)備產(chǎn)生擁塞；更重要的是，LotBalance可以輕松解決“上行壓死下行”這一普遍難題，即當(dāng)上行帶寬用滿(mǎn)時(shí)，下行帶寬利用率急劇下降的問(wèn)題。5) 鏈路負(fù)載均衡LotBalance應(yīng)用交付系統(tǒng)對(duì)多個(gè)ISP連接的可用性和性能進(jìn)行實(shí)時(shí)監(jiān)測(cè)，提高網(wǎng)絡(luò)連接的容錯(cuò)能力，將流量導(dǎo)向最優(yōu)的鏈接和ISP以提高服務(wù)質(zhì)量和訪問(wèn)速度，通過(guò)多條低成本鏈路的聚合降低帶寬成本，全面提高應(yīng)用交付能力。6) 服務(wù)器負(fù)載均衡LotBalance采用了智能服務(wù)器負(fù)載均衡技術(shù)，支持多種負(fù)載均衡算法，動(dòng)態(tài)監(jiān)測(cè)服務(wù)器的性能和健康狀態(tài)，并將網(wǎng)絡(luò)請(qǐng)求分

11、發(fā)給不同的服務(wù)器，這樣可以大大提高服務(wù)的并發(fā)處理能力，減少用戶(hù)等待時(shí)間，提高服務(wù)質(zhì)量；同時(shí)采用多臺(tái)服務(wù)器，也避免了因?yàn)閱闻_(tái)服務(wù)器故障造成的服務(wù)中斷，提高了服務(wù)的可靠性。這樣，就可以提高核心應(yīng)用的交付能力。7) 強(qiáng)化的安全保護(hù)LotBalance內(nèi)置高性能的訪問(wèn)控制列表 (ACL) 、網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 以及基于狀態(tài)的數(shù)據(jù)包檢測(cè)，不僅抵御了非法訪問(wèn)和攻擊，而且可以阻止某些解決方案無(wú)法發(fā)現(xiàn)的應(yīng)用層攻擊。LotBalance加強(qiáng)了系統(tǒng)的核心，每一款產(chǎn)品都建立在安全強(qiáng)化的系統(tǒng)內(nèi)核之上，確保了網(wǎng)絡(luò)及應(yīng)用真正的安全。8) 設(shè)備高可用性采用VRRP協(xié)議，LotBalance實(shí)現(xiàn)本身設(shè)備的集群部署，并支

12、持多種模式：Active-Active，Active-Standby，達(dá)到系統(tǒng)本身的高可靠性，最多可以實(shí)現(xiàn)255臺(tái)LotBalance設(shè)備的集群。通過(guò)集群功能實(shí)現(xiàn)應(yīng)用交付設(shè)備的高可用性，對(duì)企業(yè)業(yè)務(wù)系統(tǒng)的運(yùn)行提供更高的保障。1.2 特別說(shuō)明1) 當(dāng)使用LotBalance基于ISP自動(dòng)選擇路由功能時(shí)，請(qǐng)及時(shí)升級(jí)設(shè)備的ISP對(duì)應(yīng)的IP庫(kù)，否則可能造成部分ISP選擇出現(xiàn)錯(cuò)誤。第二章、安裝LotBalance在此階段，您將會(huì)需要：n LotBalance硬件設(shè)備n 標(biāo)準(zhǔn)1U或者2U高度機(jī)架n L型固定支架n 螺絲(Screws Sets)n 電源線(xiàn)(AC Power Cord)2.1 設(shè)備指示燈說(shuō)明設(shè)

13、備開(kāi)啟時(shí)硬盤(pán)燈為紅色，啟動(dòng)后硬盤(pán)燈為不亮；bypass燈在正常情況下為綠色，bypass時(shí)為紅色；網(wǎng)卡燈為綠色時(shí)，說(shuō)明設(shè)備網(wǎng)卡為百兆模式，網(wǎng)卡燈為紅色時(shí)，說(shuō)明設(shè)備網(wǎng)卡為千兆模式。2.2 設(shè)備安裝1. LotBalance可以被固定在標(biāo)準(zhǔn)的19英吋機(jī)柜。2. 通過(guò)缺省LAN口登錄LotBalance管理界面，根據(jù)需求將LotBalance的物理網(wǎng)口配置為對(duì)應(yīng)的WAN/LAN口。 3. 根據(jù)用戶(hù)需求配置設(shè)備參數(shù)。4. 利用螺絲鎖定L型固定支架。5. 安裝LotBalance到機(jī)架上。6. 插上電源，并打開(kāi)設(shè)備電源開(kāi)關(guān)。7. 電源插座位于LotBalance的背面，輸入電源電壓范圍為100V - 2

14、40V。8. 將步驟2中設(shè)置的的設(shè)備LAN口與用戶(hù)局域網(wǎng)交換機(jī)相連（通常情況下），WAN口與互聯(lián)網(wǎng)相連。第三章、使用命令行界面 (CLI)可以通過(guò)下面兩種方法中的任一種使用CLI：l 串行接口連接l SSH遠(yuǎn)程網(wǎng)絡(luò)連接3.1 登錄CLI1. 使用串口連接Ø 使用DB-9 串行連接線(xiàn)連接電腦和LotBalance；Ø 使用如下參數(shù)建立連接進(jìn)程38400 baud8 data bits1 stop bitno parityØ 在出現(xiàn)登錄提示符時(shí)輸入用戶(hù)名/密碼登錄CLI。默認(rèn)用戶(hù)名/密碼為admin/admin。2. 使用遠(yuǎn)程網(wǎng)絡(luò)連接SSHl 遠(yuǎn)端電腦通過(guò)LotBal

15、ance的默認(rèn)LAN口IP地址使用SSH連接加速設(shè)備。l 加速設(shè)備默認(rèn)LAN接口的IP地址默認(rèn)為，子網(wǎng)掩碼為。l 遠(yuǎn)端電腦使用終端模擬程序或解釋器SSH遠(yuǎn)程訪問(wèn)。l 在出現(xiàn)登錄提示符時(shí)輸入用戶(hù)名/密碼登錄CLI。默認(rèn)用戶(hù)名/密碼為admin/admin。3.2 使用CLICLI 的組織分為兩級(jí)： 根節(jié)點(diǎn)二級(jí)節(jié)點(diǎn)三級(jí)節(jié)點(diǎn)當(dāng)用戶(hù)登錄進(jìn)入CLI后，進(jìn)入根節(jié)點(diǎn)。表2-3中列出了可以使用的命令列表。命令動(dòng)作?查看在當(dāng)前節(jié)點(diǎn)當(dāng)前可用的命令及其幫助.返回上一級(jí)節(jié)點(diǎn)quit退出 CLIclear清空屏幕network進(jìn)入network節(jié)點(diǎn) (二級(jí)節(jié)點(diǎn))show進(jìn)

16、入show節(jié)點(diǎn) (二級(jí)節(jié)點(diǎn))admin進(jìn)入admin節(jié)點(diǎn)（二級(jí)節(jié)點(diǎn)）debug進(jìn)入debug節(jié)點(diǎn)(二級(jí)節(jié)點(diǎn))reboot重啟設(shè)備表 3-1 3.3網(wǎng)絡(luò)配置在根節(jié)點(diǎn)，輸入”network”進(jìn)入”network”二級(jí)節(jié)點(diǎn)。命令動(dòng)作Mgmt查看和修改管理接口ip地址和子網(wǎng)掩碼del-mgmt刪除管理接口show mode查看端口模式和修改端口模式Show inf查看當(dāng)前設(shè)備物理接口Show mgmt查看管理接口信息exec pingPing工具exec traceroutetraceroute工具exec arp查看arp表表 3-2 3.4系統(tǒng)信息在根節(jié)點(diǎn)，輸入”show” 進(jìn)入二級(jí)節(jié)點(diǎn)”show

17、”。命令動(dòng)作memory查看系統(tǒng)內(nèi)存使用情況cpu查看系統(tǒng)cpu使用情況version查看圖形界面版本查看加速引擎版本model查看產(chǎn)品型號(hào)表 3-3 3.5系統(tǒng)設(shè)置在根節(jié)點(diǎn)，輸入”admin”進(jìn)入”admin”二級(jí)節(jié)點(diǎn)。命令動(dòng)作password修改系統(tǒng)登錄密碼system進(jìn)入system節(jié)點(diǎn)（三級(jí)節(jié)點(diǎn)）system time查看和修改系統(tǒng)時(shí)間reset設(shè)備重置表 3-4 3.6查看網(wǎng)絡(luò)狀況在根節(jié)點(diǎn)，輸入”debug”進(jìn)入”debug”二級(jí)節(jié)點(diǎn)。命令動(dòng)作Level設(shè)置debug 級(jí)別，有效值為1，10，255Stats查看對(duì)應(yīng)級(jí)別的debug信息表 3-5 第四章、WEB GUI登錄LotBa

18、lance缺省未分配管理接口，可以通過(guò)缺省LAN接口管理設(shè)備，缺省LAN接口IP地址為。默認(rèn)用戶(hù)名/密碼為 admin/admin。4.1 如何使用Web管理界面 (GUI)Web管理界面(后面簡(jiǎn)稱(chēng)GUI)允許用戶(hù)通過(guò)瀏覽器登錄設(shè)備來(lái)進(jìn)行參數(shù)設(shè)置。瀏覽器可以使用IE（6.0及以上）或者 Mozilla Firefox （2.0及以上）。在瀏覽器的地址欄輸入設(shè)備的缺省LAN接口的IP地址即可打開(kāi)GUI。例如，在打開(kāi)的GUI登錄頁(yè)面上，輸入用戶(hù)名和密碼admin/admin，點(diǎn)擊登錄。圖 4-1 4.2系統(tǒng)信息點(diǎn)擊概況-系統(tǒng)信息可進(jìn)入系統(tǒng)信息

19、界面圖 4-2 在概況系統(tǒng)信息里可以查看設(shè)備的相關(guān)信息，包括產(chǎn)品名稱(chēng)、產(chǎn)品型號(hào)、序列號(hào)、系統(tǒng)過(guò)期時(shí)間、加速引擎版本、圖形界面版本、系統(tǒng)運(yùn)行時(shí)間、內(nèi)存使用率、CPU使用率等，點(diǎn)擊上圖中的小圖標(biāo)，可以分別以圖表、柱狀圖、餅圖等方式顯示相關(guān)信息。第一次管理LotBalance并顯示柱狀圖、餅圖時(shí)，可能系統(tǒng)會(huì)要求您下載Microsoft Silverlight軟件，當(dāng)下載安裝完成后，刷新管理界面后就可以正常顯示柱狀圖、餅圖了。4.3系統(tǒng)狀態(tài)點(diǎn)擊概況-系統(tǒng)狀態(tài)可進(jìn)入系統(tǒng)狀態(tài)界面在配置了加速網(wǎng)絡(luò)接口（加速引擎配置）后才可以在概況-系統(tǒng)狀態(tài)中查看到該鏈路的狀態(tài)信息。 圖 4-3 1. 在概況系統(tǒng)狀態(tài)里的匯總

20、里可以看到所有鏈路總的連接數(shù)和帶寬等情況。2. 可以查看設(shè)備的每條鏈路上的相關(guān)信息，包括連接數(shù)、主機(jī)數(shù)、帶寬等。3. 其中從主機(jī)數(shù)中的本地主機(jī)數(shù)和遠(yuǎn)程主機(jī)數(shù)上可以看出設(shè)備的LAN口和WAN口是否接反，正常情況下遠(yuǎn)程主機(jī)數(shù)應(yīng)比本地主機(jī)數(shù)大很多，當(dāng)本地主機(jī)數(shù)小于遠(yuǎn)程主機(jī)數(shù)時(shí)，說(shuō)明設(shè)備的LAN/WAN口可能接的是反的，個(gè)別網(wǎng)絡(luò)除外。4. 點(diǎn)擊上圖中的小圖標(biāo)，可以分別以表格、柱狀圖、餅圖等方式顯示相關(guān)信息。5. 該界面上顯示的帶寬只是實(shí)時(shí)的，如果要從此判斷實(shí)際帶寬，請(qǐng)取平均值，最準(zhǔn)確的方法是看該鏈路對(duì)應(yīng)報(bào)表里顯示的帶寬，并取平均值。4.4鏈路狀態(tài)點(diǎn)擊概況-鏈路狀態(tài)可進(jìn)入鏈路狀態(tài)界面。圖 4-4 路由模

21、式鏈路狀態(tài)里可以查看每個(gè)LAN/WAN接口的接口類(lèi)型、所在物理接口、接口MAC地址、IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)和DNS等信息。第五章、網(wǎng)絡(luò)配置5.1 網(wǎng)絡(luò)接口5.1.1查看和配置物理接口點(diǎn)擊網(wǎng)絡(luò)配置-網(wǎng)絡(luò)接口可查看各物理接口的連接狀態(tài)和配置各物理接口的工作模式。圖 5-1Ø 該界面的物理接口列表列出了設(shè)備所有的物理接口。Ø 物理接口列表的狀態(tài)一欄顯示了每個(gè)接口的連接狀態(tài)。Ø 點(diǎn)擊各物理接口編輯按鈕可配置該接口工作模式。圖 5-2Ø 名稱(chēng)：該物理接口的名稱(chēng)，不可更改。Ø 類(lèi)型：默認(rèn)為物理接口，不可更改。Ø 自動(dòng)協(xié)商：默認(rèn)打開(kāi)，也可關(guān)閉該功

22、能，手動(dòng)設(shè)定該物理接口的工作模式。Ø 速度：自動(dòng)協(xié)商關(guān)閉時(shí)可以手動(dòng)設(shè)定物理接口的速度為：10M/100M/1000M。Ø 雙工：自動(dòng)協(xié)商關(guān)閉時(shí)可以手動(dòng)設(shè)定物理接口的雙工模式為：半雙工/全雙工。Ø MAC地址：默認(rèn)為初始MAC地址，也可修改為其它MAC地址，eth0的MAC地址是不可以修改的。5.1.2配置VLAN接口和網(wǎng)橋圖 5-3VLAN接口是在局域網(wǎng)內(nèi)劃分了VLAN，但交換機(jī)上沒(méi)有相應(yīng)VLAN互訪的路由，借助我們?cè)O(shè)備LAN口來(lái)實(shí)現(xiàn)VLAN之間互訪，點(diǎn)擊VLAN接口列表右端的即可添加VLAN接口。圖 5-4Ø 接口下拉列表框用于指定該VLAN接口所依附

23、實(shí)際接口，可以是物理接口或者是網(wǎng)橋。Ø 實(shí)際接口右邊應(yīng)填寫(xiě)該接口所屬的VLAN的ID號(hào)。Ø MAC地址：可以修改該VLANID的MAC地址，或者使用初始MAC地址。點(diǎn)擊橋接列表右端的即可添網(wǎng)橋。圖 5-5Ø 接口：該網(wǎng)橋包含的物理接口或者VLAN接口，可用列表中會(huì)列出所有可用的物理接口和VLAN接口，已用列表中為該網(wǎng)橋所包含的物理接口和VLAN接口。Ø MTU：該網(wǎng)橋的最大傳輸單元。Ø MAC地址：可以設(shè)定該網(wǎng)橋的MAC地址，或者使用自動(dòng)設(shè)置。Ø 生成樹(shù)：?jiǎn)⒑突蜿P(guān)閉生成樹(shù)協(xié)議。5.2 IP設(shè)置點(diǎn)擊網(wǎng)絡(luò)配置IP設(shè)置可配置LAN/WAN接

24、口圖 5-65.2.1 WAN接口配置點(diǎn)擊WAN列表右上角的可添加一個(gè)WAN接口，WAN接口連接方式有靜態(tài)IP、PPPOE和DHCP三種方式，WAN接口可以是物理接口或者網(wǎng)橋，虛擬接口不能用作WAN接口。 連接方式：靜態(tài)IPØ 別名：該WAN口的名稱(chēng)，該名稱(chēng)即為概況-鏈路狀態(tài)界面和負(fù)載均衡-多鏈路負(fù)載均衡界面里的鏈路名稱(chēng)。Ø 接口名稱(chēng)：該WAN接口選定的物理接口或者網(wǎng)橋。Ø MTU：該WAN接口的最大傳輸單元，默認(rèn)為1500。Ø IP地址：該WAN接口配置的靜態(tài)IP地址。Ø 虛擬IP：只用于高可靠性中的IP設(shè)置，具體參見(jiàn)相關(guān)章節(jié)；

25、虛擬IP可以配置為單個(gè)IP地址，也可配置為一個(gè)IP段。Ø 掩碼：該WAN接口所屬網(wǎng)絡(luò)的子網(wǎng)掩碼。Ø 默認(rèn)網(wǎng)關(guān)：該WAN接口所屬網(wǎng)絡(luò)的默認(rèn)網(wǎng)關(guān) 。Ø DNS：該WAN接口所屬網(wǎng)絡(luò)的DNS服務(wù)器。 連接方式：PPPoE圖 5-9Ø 別名：該WAN口的名稱(chēng)，該名稱(chēng)即為概況-鏈路狀態(tài)界面和負(fù)載均衡-多鏈路負(fù)載均衡界面里的鏈路名稱(chēng)。Ø 接口名稱(chēng)：該WAN接口選定的物理接口或者網(wǎng)橋。Ø MTU：該WAN接口的最大傳輸單元，默認(rèn)為1500。Ø 用戶(hù)名、密碼：該WAN接口PPPOE撥號(hào)上網(wǎng)的賬號(hào)和密碼，一般由ISP（網(wǎng)絡(luò)服務(wù)運(yùn)

26、營(yíng)商）提供。Ø 連接模式：分為保持連接模式和按需連接模式。n 保持連接模式：需要設(shè)定重?fù)艿却龝r(shí)間，即當(dāng)PPPOE撥號(hào)失敗或鏈接中斷后設(shè)備重新?lián)芴?hào)的時(shí)間間隔，默認(rèn)是30秒;n 按需連接模式：需要設(shè)定自動(dòng)斷線(xiàn)等待時(shí)間，默認(rèn)是300秒，若PPPoE撥號(hào)連接在等待時(shí)間所設(shè)時(shí)長(zhǎng)的時(shí)間段內(nèi)沒(méi)有檢測(cè)到有流量通過(guò)，則會(huì)自動(dòng)中斷撥號(hào)連接。此功能主要應(yīng)用于adsl撥號(hào)按時(shí)間計(jì)費(fèi)的用戶(hù)。Ø 默認(rèn)路由：是否把該接口設(shè)置為默認(rèn)路由，在開(kāi)啟鏈路負(fù)載均衡功能的時(shí)候，不要打開(kāi)這個(gè)選項(xiàng)。Ø DNS：該WAN接口所屬網(wǎng)絡(luò)的DNS服務(wù)器。 連接方式：DHCP圖 5-10Ø 別名

27、：該WAN口的名稱(chēng)，該名稱(chēng)即為概況-鏈路狀態(tài)界面和負(fù)載均衡-多鏈路負(fù)載均衡界面里的鏈路名稱(chēng)。Ø 接口名稱(chēng)：該WAN接口選定的物理接口或者網(wǎng)橋。Ø MTU：該WAN接口的最大傳輸單元，默認(rèn)為1500。Ø DNS：該WAN接口所屬網(wǎng)絡(luò)的DNS服務(wù)器。5.2.2 LAN接口配置點(diǎn)擊LAN列表右上角的可添加一個(gè)LAN接口圖 5-11Ø 別名：該LAN接口的名稱(chēng)。Ø 接口名稱(chēng)：該LAN接口選定的網(wǎng)絡(luò)接口；物理接口、橋接接口和虛擬接口均可被選定用作LAN接口。Ø IP地址：該LAN接口的IP地址。Ø 掩碼：該WAN接口所屬網(wǎng)絡(luò)的子網(wǎng)掩碼

28、。Ø MTU：該LAN接口的最大傳輸單元，默認(rèn)為1500。Ø 虛擬IP：用于高可靠性配置，具體請(qǐng)參見(jiàn)相關(guān)章節(jié)。 Ø DHCP：是否在該LAN接口上開(kāi)啟DHCP服務(wù)。n 范圍：用作DHCP分配的IP地址池的范圍；n 地址租期：客戶(hù)機(jī)從DHCP服務(wù)器獲取到的IP地址的有效時(shí)長(zhǎng)，超過(guò)該時(shí)長(zhǎng)則客戶(hù)機(jī)需向DHCP服務(wù)器重新發(fā)送地址請(qǐng)求； n 默認(rèn)網(wǎng)關(guān)：客戶(hù)機(jī)從DHCP服務(wù)器獲取到的默認(rèn)網(wǎng)關(guān)地址；n DNS: 客戶(hù)機(jī)從DHCP服務(wù)器獲取到的DNS服務(wù)器地址；注：在配置高可靠性時(shí)，一般應(yīng)指定LAN接口上的虛擬IP地址為DHCP分配的默認(rèn)網(wǎng)關(guān)地址和DNS服務(wù)器地址。5.2.3配置

29、管理接口LotBalance系列缺省不提供管理接口；如需使用管理接口，可通過(guò)LAN接口登錄管理界面，點(diǎn)擊LAN列表中管理接口編輯按鈕即可配置管理接口圖 5-12Ø 接口：指定用作管理接口的網(wǎng)絡(luò)接口。Ø IP地址：管理接口的IP地址。Ø 子網(wǎng)掩碼：管理接口子所屬網(wǎng)絡(luò)的網(wǎng)掩碼。5.3 NAT配置5.3.1 SNAT配置SNAT，即網(wǎng)絡(luò)地址轉(zhuǎn)換，用于將私網(wǎng)IP地址轉(zhuǎn)換為合法的公網(wǎng)IP地址，以使內(nèi)網(wǎng)中的主機(jī)能夠訪問(wèn)互聯(lián)網(wǎng)；一般情況下，在配置完某個(gè)WAN接口的IP設(shè)置后，均需配置該接口的SNAT才能使LAN中主機(jī)通過(guò)該接口連接互聯(lián)網(wǎng)。點(diǎn)擊網(wǎng)絡(luò)配置-NAT-SNAT可進(jìn)入SN

30、AT配置界面圖 5- 靜態(tài)IP、PPPoE和DHCP三種方式配置SNATØ WAN口為靜態(tài)IP連接方式時(shí)，SNAT配置包括動(dòng)態(tài)SNAT和靜態(tài)SNAT兩種，其中動(dòng)態(tài)SNAT用于將多個(gè)LAN中的主機(jī)IP轉(zhuǎn)換為一個(gè)或多個(gè)WAN接口IP的情況，而靜態(tài)SNAT則用于LAN中的主機(jī)IP和WAN接口IP一一對(duì)應(yīng)配置的情況。圖 5-14Ø WAN口為PPPoE連接方式和DHCP連接方式時(shí)，只需勾選啟用NAT選項(xiàng)便可啟用SNAT功能圖 5- SNAT_LAN配置此配置是配合DNAT_ LAN一起使用的，用于內(nèi)網(wǎng)中某臺(tái)主機(jī)通過(guò)外網(wǎng)地址訪問(wèn)該外網(wǎng)地址映射到的某

31、臺(tái)內(nèi)網(wǎng)服務(wù)器的情況；具體請(qǐng)參考DNAT_LAN配置案例的相關(guān)章節(jié)。圖 5-16圖 5-17點(diǎn)擊右上角的按鈕，添加一條策略如下圖：Ø 源IP：發(fā)起連接的主機(jī)的IP地址，這里一般為內(nèi)網(wǎng)地址。Ø 目標(biāo)IP：連接去往的主機(jī)的IP地址，這里一般為內(nèi)網(wǎng)地址。Ø 目標(biāo)端口：訪問(wèn)服務(wù)器的端口。5.3.2 DNAT配置DNAT即轉(zhuǎn)發(fā)規(guī)則，可將某些對(duì)于設(shè)備的訪問(wèn)連接轉(zhuǎn)發(fā)到設(shè)備LAN中的某臺(tái)主機(jī)上面，一般用于實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)服務(wù)器的外部訪問(wèn)的轉(zhuǎn)發(fā)；DNAT可隱藏服務(wù)器的實(shí)際IP地址從而實(shí)現(xiàn)對(duì)服務(wù)器在某種程度上的安全保護(hù)。 DNAT-WAN點(diǎn)擊網(wǎng)絡(luò)配置-NAT-DNAT-WAN可

32、進(jìn)入DNAT_WAN配置界面，界面右上角的按鈕可以實(shí)現(xiàn)將WAN的DNAT和LAN的DNAT規(guī)則互相導(dǎo)入。圖 5-18點(diǎn)擊添加按鈕即可添加一條DNAT_WAN規(guī)則圖 5-19Ø WAN：指定做DNAT的WAN接口，如果選擇全部，則將在所有的WAN接口做DNAT。Ø 源IP：指定可以訪問(wèn)的遠(yuǎn)程IP或IP地址范圍，不填表示所有IP 。Ø 源端口：指定可以訪問(wèn)該服務(wù)的遠(yuǎn)程端口，不填表示所有端口。Ø 外部IP：用于提供服務(wù)的外網(wǎng)IP地址。Ø 外部端口：用于提供服務(wù)的外部服務(wù)端口號(hào)，外部端口可以為一個(gè)端口號(hào)，或端口范圍比如 8080-9000，或二者的組合

33、. 為空則對(duì)所有外部端口生效。   例如：    8080   8080-9000    7000,8080-9000,80,1314,5070 Ø 內(nèi)部IP：外部訪問(wèn)被轉(zhuǎn)發(fā)到的內(nèi)部服務(wù)器的內(nèi)網(wǎng)IP地址。Ø 內(nèi)部端口：外部訪問(wèn)被轉(zhuǎn)發(fā)到的內(nèi)部服務(wù)器的服務(wù)端口號(hào)；內(nèi)部端口可以為空或一個(gè)端口號(hào)（不能為多個(gè)端口號(hào)），為空則內(nèi)部服務(wù)器使用和外部端口一一對(duì)應(yīng)的內(nèi)部端口號(hào)。Ø 協(xié)議：訪問(wèn)連接所使用的網(wǎng)絡(luò)傳輸協(xié)議。 DNAT-LAN點(diǎn)擊網(wǎng)絡(luò)配置-NAT-DNAT-LA

34、N可進(jìn)入DNAT_LAN配置界面圖 5-20點(diǎn)擊添加按鈕即可添加一條DNAT_LAN規(guī)則圖 5-21Ø LAN：指定做DNAT的LAN接口，如果選擇全部，則將在所有的LAN接口做DNAT。Ø 源IP：指定可以訪問(wèn)的本地IP或IP地址范圍，不填表示所有IP 。Ø 源端口：指定可以訪問(wèn)該服務(wù)的本地端口，不填表示所有端口。Ø 外部IP：用于提供服務(wù)的外網(wǎng)IP地址，為空則對(duì)設(shè)備上所有的外部IP生效。Ø 外部端口：用于提供服務(wù)的外部服務(wù)端口號(hào)，外部端口可以為一個(gè)端口號(hào)，或端口范圍比如 8080-9000，或二者的組合. 為空則對(duì)所有外部端口生效。

35、0;  例如：    8080   8080-9000    7000,8080-9000,80,1314,5070 Ø 內(nèi)部IP：訪問(wèn)被轉(zhuǎn)發(fā)到的內(nèi)部服務(wù)器的內(nèi)網(wǎng)IP地址。Ø 內(nèi)部端口：訪問(wèn)被轉(zhuǎn)發(fā)到的內(nèi)部服務(wù)器的服務(wù)端口號(hào)；內(nèi)部端口可以為空或一個(gè)端口號(hào)（不能為多個(gè)端口號(hào)），為空則內(nèi)部服務(wù)器使用和外部端口一一對(duì)應(yīng)的內(nèi)部端口號(hào)。Ø 協(xié)議：訪問(wèn)連接所使用的網(wǎng)絡(luò)傳輸協(xié)議。5.3.3 NAT免除配置NAT免除，即按實(shí)際網(wǎng)絡(luò)配置的需求，在由指定的源主機(jī)訪問(wèn)指定的目標(biāo)主機(jī)時(shí)不對(duì)其連接做網(wǎng)絡(luò)

36、地址轉(zhuǎn)換。點(diǎn)擊網(wǎng)絡(luò)配置-NAT-NAT免除可進(jìn)入NAT免除配置界面圖 5-23點(diǎn)擊添加按鈕即可添加一條NAT免除規(guī)則圖 5-24Ø WAN：NAT所在的wan接口。Ø 源IP：指定不做網(wǎng)絡(luò)地址轉(zhuǎn)換的連接的源主機(jī)IP地址或IP地址范圍。Ø 目標(biāo)IP：指定不做網(wǎng)絡(luò)地址轉(zhuǎn)換的連接的目標(biāo)主機(jī)IP地址或IP地址范圍。Ø 協(xié)議：源IP與目標(biāo)IP通訊時(shí)采用的網(wǎng)絡(luò)協(xié)議。Ø 源端口：源主機(jī)發(fā)起連接時(shí)所使用的端口號(hào)。Ø 目標(biāo)端口：目標(biāo)主機(jī)接受連接時(shí)所使用的端口號(hào)。5.3.4 模塊點(diǎn)擊網(wǎng)絡(luò)配置-NAT-模塊可進(jìn)入模塊配置界面圖 5-22Ø 默認(rèn)選

37、項(xiàng)FTP（21）、TFTP、IRC、SIP和PPTP都是啟用的，H323是不啟用的。Ø FTP：默認(rèn)端口是21端口，如果有FTP服務(wù)器需要DNAT并且端口為非21的其它端口，請(qǐng)勾選此項(xiàng)并且添加對(duì)應(yīng)的端口，多個(gè)端口用逗號(hào)（，）分隔。Ø 設(shè)備實(shí)現(xiàn)NAT功能時(shí)，有以上協(xié)議的流量流經(jīng)設(shè)備，需要在模塊中勾選對(duì)應(yīng)的應(yīng)用協(xié)議。5.4 防火墻設(shè)置防火墻可實(shí)現(xiàn)對(duì)某些指定連接的簡(jiǎn)單的訪問(wèn)控制，包括允許或者拒絕這些連接訪問(wèn)。防火墻默認(rèn)處于開(kāi)啟狀態(tài)，此時(shí)所有試圖由外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)的連接都將被拒絕，而由內(nèi)部網(wǎng)絡(luò)訪問(wèn)外部網(wǎng)絡(luò)的連接都將被允許。通過(guò)添加防火墻規(guī)則，可為某些連接設(shè)定不同于默認(rèn)規(guī)則的訪問(wèn)

38、控制一般在以下三種情況下需要配置防火墻規(guī)則：在配置服務(wù)器負(fù)載均衡時(shí)；在局域網(wǎng)中存在多個(gè)網(wǎng)段時(shí)，可以用防火墻做各個(gè)網(wǎng)段之間的訪問(wèn)控制；在做ARP代理時(shí)。5.4.1 防火墻-規(guī)則點(diǎn)擊網(wǎng)絡(luò)配置-防火墻-規(guī)則可進(jìn)入防火墻規(guī)則配置界面圖 5-25點(diǎn)擊添加按鈕即可添加一條防火墻規(guī)則圖 5-26Ø 動(dòng)作：通過(guò)或者攔截。Ø 源IP：連接的來(lái)源IP地址或IP地址范圍，值為空時(shí)表示對(duì)所有IP生效。Ø 源端口：連接的來(lái)源端口，值為空時(shí)表示對(duì)所有端口生效。Ø 目標(biāo)IP：連接的目的地地址，值為空時(shí)表示對(duì)所有地址生效。Ø 目標(biāo)端口：連接的目的地端口，值為空時(shí)表示對(duì)所有端口

39、生效。Ø 入口：源地址發(fā)出的數(shù)據(jù)包進(jìn)入設(shè)備的接口。Ø 協(xié)議：連接所用的協(xié)議，默認(rèn)為對(duì)所有協(xié)議生效。Ø 防火墻的缺省規(guī)則為對(duì)外的訪問(wèn)全部通過(guò)，對(duì)內(nèi)的訪問(wèn)全部攔截。5.4.2 DDOS防御點(diǎn)擊網(wǎng)絡(luò)配置-防火墻-DDOS防御可進(jìn)入DDOS防御配置界面圖 5-27Ø SYN Flooding：這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，從而使得被攻擊方資源耗盡（CPU滿(mǎn)負(fù)荷或內(nèi)存不足）的攻擊方式。圖 5-28n WAN：選擇要防御SYN Flooding的wan接口。n 速率：設(shè)定每秒（sec）或者每分鐘（min）包的數(shù)量。n 突發(fā)：最大包數(shù)量。n

40、 端口：過(guò)濾的端口號(hào)。n 目標(biāo)：過(guò)濾的目標(biāo)地址/目標(biāo)地址段。Ø Ping Flooding：利用ping命令向目標(biāo)主機(jī)大量的ICMP Echo請(qǐng)求，從而導(dǎo)致對(duì)方內(nèi)存分配錯(cuò)誤，造成TCP/IP堆棧崩潰，致使對(duì)方宕機(jī)。圖 5-29n WAN：選擇要防御Ping Flooding的wan接口。n 速率：設(shè)定每秒（sec）或者每分鐘（min）包的數(shù)量。n 突發(fā)：最大包數(shù)量。n 目標(biāo)：過(guò)濾的目標(biāo)地址/目標(biāo)地址段。Ø ARP欺騙：ARP欺騙分為對(duì)路由器ARP表的欺騙和對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙，ARP欺騙攻擊的后果非常嚴(yán)重，大多數(shù)情況下會(huì)造成大面積掉線(xiàn)。Ø IP欺騙：IP欺騙是基于

41、遠(yuǎn)程過(guò)程調(diào)用RPC的命令，其實(shí)質(zhì)是僅僅根據(jù)信任源IP地址進(jìn)行用戶(hù)身份確認(rèn)，以便允許或拒絕用戶(hù)RPC。Ø Smurf：Smurf攻擊通過(guò)使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請(qǐng)求(ping)數(shù)據(jù)包，來(lái)淹沒(méi)受害主機(jī)，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此ICMP應(yīng)答請(qǐng)求做出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞。Ø Fraggle：Fraggle攻擊對(duì)Smurf攻擊作了簡(jiǎn)單的修改，使用的是UDP應(yīng)答消息而非ICMP。Ø ICMP redirect：ICMP 重定向報(bào)文是當(dāng)主機(jī)采用非最優(yōu)路由發(fā)送數(shù)據(jù)報(bào)時(shí)，路由器會(huì)發(fā)回ICMP重定向報(bào)文來(lái)通知主機(jī)最優(yōu)路由的存在，利用這一特點(diǎn)進(jìn)行ICMP

42、 redirect 攻擊可以達(dá)到類(lèi)似ARP欺騙或者拒絕服務(wù)（Dos）攻擊的效果。Ø ICMP Fragment：ICMP碎片攻擊是如果攻擊者有意發(fā)送總長(zhǎng)度超過(guò)65535 的ICMP碎片，一些老的系統(tǒng)內(nèi)核在處理的時(shí)候就會(huì)出現(xiàn)問(wèn)題，導(dǎo)致崩潰或者拒絕服務(wù)。5.4.3 其他選項(xiàng)圖 5-30Ø 默認(rèn)情況下，WAN接口對(duì)Ping請(qǐng)求不回應(yīng)；可通過(guò)勾選 允許WAN接口被Ping 使WAN口回應(yīng)Ping請(qǐng)求。一般在調(diào)試網(wǎng)絡(luò)故障時(shí)可打開(kāi)該項(xiàng)。Ø IP轉(zhuǎn)發(fā)默認(rèn)為開(kāi)啟狀態(tài)。5.5 靜態(tài)路由表配置點(diǎn)擊網(wǎng)絡(luò)配置-靜態(tài)路由表，可進(jìn)入靜態(tài)路由表配置界面5.5.1 基于目標(biāo)地址的靜態(tài)路由點(diǎn)擊網(wǎng)絡(luò)

43、配置-靜態(tài)路由表-目標(biāo)路由可進(jìn)入目標(biāo)路由的配置界面圖 5-31點(diǎn)擊添加按鈕即可添加一條基于目標(biāo)地址的靜態(tài)路由規(guī)則 經(jīng)由-網(wǎng)關(guān)圖 5-32Ø 啟用：?jiǎn)⒂没虿粏⒂眠@條規(guī)則。Ø 別名：該規(guī)則的名稱(chēng)。Ø 目的地IP段：目的地IP段。Ø 經(jīng)由：可以是網(wǎng)關(guān)或接口。Ø 網(wǎng)關(guān)：即由設(shè)備去往指定目的地IP段的下一跳網(wǎng)關(guān)。Ø 跳數(shù)：從設(shè)備到指定目的地址的網(wǎng)絡(luò)路徑中的路由器個(gè)數(shù)。 經(jīng)由-接口圖 5-33Ø 啟用：?jiǎn)⒂没虿粏⒂眠@條規(guī)則。Ø 別名：該規(guī)則的名稱(chēng)。Ø 目的地IP段：目的地IP段。Ø

44、; 經(jīng)由：可以為網(wǎng)關(guān)或接口。Ø 接口：即去往指定目的地IP段所走的物網(wǎng)絡(luò)接口。5.5.2 基于源地址的靜態(tài)路由點(diǎn)擊網(wǎng)絡(luò)配置-靜態(tài)路由表-源路由可進(jìn)入源路由的配置界面?；谠吹刂返撵o態(tài)路由即指定LAN中的主機(jī)在訪問(wèn)（指定的）外部網(wǎng)絡(luò)時(shí)走指定的WAN接口或網(wǎng)關(guān)，如設(shè)備上配有兩個(gè)或兩個(gè)以上的WAN接口時(shí)，可以通過(guò)配置基于源地址的靜態(tài)路由來(lái)指定LAN端的IP或IP段走某個(gè)特定的WAN接口。圖 5-34點(diǎn)擊添加按鈕即可添加一條基于源地址的靜態(tài)路由規(guī)則圖 5-35Ø 別名：該條規(guī)則的名稱(chēng)。Ø LAN IP：即設(shè)備LAN端的IP和子網(wǎng)掩碼。Ø WAN：指定LAN IP

45、 走的WAN接口。5.6 ARPARP代理主要用于LAN中存在某些使用公網(wǎng)IP地址的主機(jī)或服務(wù)器的情況；ARP代理另一個(gè)主要的用途是與靜態(tài)目標(biāo)路由配合，配置DNAT的外部IP可以不是wan口IP，具體見(jiàn)后面的配置事例。5.6.1 ARP代理點(diǎn)擊網(wǎng)絡(luò)配置-ARP-ARP代理可進(jìn)入ARP代理配置界面 。圖 5-36Ø 該界面會(huì)顯示所有已配置的LAN/WAN接口。Ø 勾選啟用即可啟用該接口的ARP代理功能。5.6.2 靜態(tài)ARP映射點(diǎn)擊網(wǎng)絡(luò)配置-ARP-靜態(tài)ARP映射進(jìn)入配置界面圖 5-37靜態(tài)ARP映射即MAC地址綁定，通過(guò)該功能實(shí)現(xiàn)IP與MAC地址綁定，從而可以實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)

46、地址分配以及內(nèi)部主機(jī)網(wǎng)絡(luò)連接的精確控制。Ø 靜態(tài)ARP映射：勾選即可啟用該接口的靜態(tài)ARP映射功能。Ø 應(yīng)用到DHCP: 啟用該功能，則在DHCP分配時(shí)，對(duì)指定的MAC地址將按照指定的IP地址進(jìn)行分配。Ø 允許修改IP地址：?jiǎn)⒂迷摴δ?，則已綁定的主機(jī)在將IP地址修改為非綁定IP時(shí)依然可以正常訪問(wèn)網(wǎng)絡(luò)；不啟用該功能，則已綁定的主機(jī)在將IP地址修改為非綁定IP之后將不能正常訪問(wèn)網(wǎng)絡(luò)。Ø 允許訪問(wèn)Internet: 不啟用該功能，則未綁定主機(jī)將不能正常訪問(wèn)網(wǎng)絡(luò)。圖 5-39圖 5-40點(diǎn)擊添加按鈕 即可添加一條IP地址與MAC地址的綁定規(guī)則，目前有手動(dòng)輸入與自

47、動(dòng)掃描兩種添加方式，一般兩種方式配合使用。在自動(dòng)掃描模式對(duì)需要綁定的IP進(jìn)行勾選后即可綁定，綁定結(jié)果會(huì)在MAC地址列表中體現(xiàn)。另外可使用搜索欄對(duì)綁定結(jié)果進(jìn)行搜索，并且可以對(duì)其進(jìn)行刪除與解除綁定的操作。5.7 智能DNS多鏈路負(fù)載均衡解決的是流出流量的負(fù)載均衡，而智能DNS可以解決流入流量的負(fù)載均衡，采用智能DNS均衡算法實(shí)現(xiàn)企業(yè)入站流量在不同ISP鏈路上的流量均衡。5.7.1 智能DNS-WAN點(diǎn)擊網(wǎng)絡(luò)配置-智能DNS-WAN可進(jìn)入智能DNS_WAN配置界面圖 5-41Ø 如下圖所示，點(diǎn)擊添加按鈕，添加一條DNS解析的地址，此地址須為wan接口的某個(gè)公網(wǎng)IP地址。圖 5-42

48、6; 點(diǎn)擊下圖所示的全局設(shè)置添加按鈕，添加一個(gè)區(qū)，比如，相當(dāng)于添加一個(gè)域名。圖 5-43圖 5-44Ø 選中，點(diǎn)擊右邊的按鈕，添加一條記錄：圖 5-45Ø 名字：具體指向某個(gè)或某些服務(wù)器的域名，如。 Ø 類(lèi)型：A（Address）類(lèi)型指的是用來(lái)指定主機(jī)名(或域名)對(duì)應(yīng)的IP地址。Ø 值：其中一條鏈路WAN接口的IP地址。Ø 權(quán)重：外部使用同一域名訪問(wèn)多臺(tái)相同服務(wù)器時(shí)的訪問(wèn)比例。5.7.2 智能DNS-LAN點(diǎn)擊網(wǎng)絡(luò)配置-智能DNS-LAN可進(jìn)入智能DNS_LAN配置界面圖 5-46點(diǎn)擊添加按鈕，添加一條規(guī)則：圖 5-47Ø 域名：解析

49、的域名，和要解析的IP地址相對(duì)應(yīng)，比如對(duì)應(yīng)，那么訪問(wèn)域名和訪問(wèn)地址的效果是相同的。Ø IP地址：域名對(duì)應(yīng)的IP地址。5.8 高可靠性設(shè)置通過(guò)完成基于VRRP協(xié)議的一系列配置信息可實(shí)現(xiàn)設(shè)備的高可靠性保障，VRRP 協(xié)議是虛擬路由冗余協(xié)議，即通過(guò)多臺(tái)路由器組成一個(gè)路由器集群，對(duì)外表現(xiàn)為一個(gè)獨(dú)立的虛擬路由器，在任一時(shí)間點(diǎn)上，集群中只有一臺(tái)實(shí)際的路由設(shè)備工作在主路由設(shè)備的狀態(tài)來(lái)處理網(wǎng)絡(luò)數(shù)據(jù)，其余路由設(shè)備則工作在備用路由設(shè)備狀態(tài)；當(dāng)主路由設(shè)備出現(xiàn)故障而不能繼續(xù)正常工作時(shí)，集群通過(guò)某種機(jī)制選出一臺(tái)備用設(shè)備來(lái)作為新的主路由設(shè)備，這樣就可避免因?yàn)橐慌_(tái)設(shè)備的

50、故障而造成整個(gè)網(wǎng)絡(luò)鏈接的中斷。兩個(gè)或多個(gè)路由器建立起一個(gè)動(dòng)態(tài)的虛擬集合，每一個(gè)路由器都可以參與處理數(shù)據(jù)，但對(duì)于終端用戶(hù)這些是透明的。點(diǎn)擊網(wǎng)絡(luò)配置-高可靠性設(shè)置可進(jìn)入高可靠性設(shè)置界面。圖 5-695.8.1 VRRP實(shí)例配置如上圖所示，設(shè)備中已配置為L(zhǎng)AN或WAN接口的物理或橋接接口會(huì)出現(xiàn)在配置列表中，點(diǎn)擊接口后面的編輯按鈕對(duì)基于該接口的VRRP實(shí)例進(jìn)行配置，也可以點(diǎn)擊刪除按鈕清除該接口已配置的VPPR實(shí)例。 圖 5-70Ø 接口名稱(chēng)：該實(shí)例包含的網(wǎng)絡(luò)接口名稱(chēng)。Ø 虛擬路由ID：虛擬路由ID用于確定一個(gè)虛擬的路由器，屬于同一虛擬路由器的VRRP實(shí)例其虛擬路由ID須一致。

51、16; 狀態(tài)：VRRP實(shí)例開(kāi)始運(yùn)行時(shí)的初始化狀態(tài)，實(shí)際運(yùn)行中的VRRP實(shí)例的狀態(tài)是由其優(yōu)先級(jí)決定的；同一虛擬路由所包含的各個(gè)VRRP實(shí)例中，優(yōu)先級(jí)最高者將工作在主要狀態(tài)，其余皆工作備份狀態(tài)。Ø 優(yōu)先級(jí)：優(yōu)先級(jí)用于確定該VRRP實(shí)例在實(shí)際工作中的運(yùn)行狀態(tài)。5.8.2 VRRP組配置點(diǎn)擊VRRP組配置添加按鈕即可添加一個(gè)VRRP組圖 5-71Ø 組名：該VRRP組的名稱(chēng)。Ø 包括：該組包括的VRRP實(shí)例。Ø 一個(gè)VRRP組里面可以包含多個(gè)VRRP實(shí)例，屬于同一個(gè)VRRP組的VRRP實(shí)例的狀態(tài)在任何時(shí)候都將保持一致。Ø 郵件提醒：當(dāng)該VRRP組從主狀

52、態(tài)切換到備用狀態(tài)或從備用狀態(tài)切換到主狀態(tài)時(shí)，發(fā)送通知郵件到指定郵箱。第六章、WAN加速與優(yōu)化配置6.1 加速引擎配置只有在為加速引擎配置了加速接口之后，該加速引擎才可以啟用加速、流量整形、主機(jī)帶寬均分、優(yōu)先級(jí)帶寬管理、P2P控制和鏈路負(fù)載均衡等功能；也只有在為加速引擎配置了加速接口后，才能查看對(duì)應(yīng)于該加速引擎的流量報(bào)表。不同型號(hào)的設(shè)備，預(yù)置的加速引擎數(shù)目不同。點(diǎn)擊加速與優(yōu)化-網(wǎng)絡(luò)接口進(jìn)入引擎配置界面；圖 6-1點(diǎn)擊按鈕，即可修改加速引擎要加速的網(wǎng)絡(luò)接口。圖 6-2Ø 【可用】窗口中列出了所有當(dāng)前加速引擎可用的物理接口和網(wǎng)橋接口；Ø 【已用】窗口中列出了所有已配置為或?qū)⒁渲?/p>

53、為當(dāng)前引擎加速接口的物理接口或網(wǎng)橋接口；Ø 一個(gè)引擎可以配置一個(gè)或多個(gè)加速接口；Ø 將一個(gè)透明網(wǎng)橋所包含的一個(gè)或多個(gè)物理接口從【可用】添加到【已用】，此引擎就可以工作在透明模式下，加速的物理接口就是此網(wǎng)橋的WAN口；Ø 可修改引擎的別名以便于區(qū)分和標(biāo)記不同的引擎；6.2策略定義策略定義，是指通過(guò)定義不同的策略，策略組以及視圖來(lái)實(shí)現(xiàn)預(yù)期的QoS管理方案。6.2.1 定義策略策略是最基本的設(shè)置集合單元，通過(guò)設(shè)置策略用戶(hù)可完成“篩選出某一類(lèi)數(shù)據(jù)流并為其添加相應(yīng)的管理策略”的事務(wù)；點(diǎn)擊WAN加速與優(yōu)化-策略定義-策略可進(jìn)入策略配置界面，在此界面可根據(jù)本地IP（IP段）、遠(yuǎn)

54、程IP（IP段）、本地端口、遠(yuǎn)程端口、協(xié)議、DSCP值等項(xiàng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行篩選，并為其添加相應(yīng)的管理策略； 圖 6-31. 名稱(chēng)該條策略的名稱(chēng)圖 6-4 2. 過(guò)濾條件包括本地IP（IP段）、遠(yuǎn)程IP(IP段)、本地端口、遠(yuǎn)程端口、協(xié)議、DSCP等類(lèi)型；同一類(lèi)型的過(guò)濾條件之間為“或”的關(guān)系，不同類(lèi)型的過(guò)濾條件之間為“與”的關(guān)系。l 以IP地址（本地IP和遠(yuǎn)程IP）為過(guò)濾條件時(shí)，可以通過(guò)IP地址和掩碼的配合來(lái)設(shè)定，如/24即是將過(guò)濾條件設(shè)定為192.168.1.x整個(gè)網(wǎng)段；如果過(guò)濾條件為單個(gè)的IP地址，則將掩碼設(shè)置為32，如00/32；掩碼值為空時(shí)當(dāng)做

55、32處理；圖 6-5 l 也可通過(guò)直接劃定IP地址段來(lái)設(shè)定IP地址過(guò)濾條件；圖 6-6 l 以端口（本地端口和遠(yuǎn)程端口）過(guò)濾條件時(shí)，通過(guò)輸入端口范圍來(lái)設(shè)定；如1000->1024；如果過(guò)濾條件為單個(gè)端口，則將端口范圍的開(kāi)始值和結(jié)束值設(shè)為相同值即可，如21->21，或者只填入開(kāi)始值，如21； 圖 6-7 l 以協(xié)議為過(guò)濾條件時(shí)，可以通過(guò)選中下拉框中包含的協(xié)議（11種常見(jiàn)協(xié)議）完成，也可手動(dòng)輸入?yún)f(xié)議對(duì)應(yīng)的協(xié)議值完成；圖 6-8 l 以DSCP為過(guò)濾條件時(shí)，輸入DSCP范圍的開(kāi)始值和結(jié)束值即可； 圖 6-93. 優(yōu)先級(jí)設(shè)定通過(guò)過(guò)濾條件篩選出的數(shù)據(jù)流的優(yōu)先級(jí)；不同的優(yōu)先級(jí)對(duì)應(yīng)著不同的的帶寬資源使用上的優(yōu)先權(quán)和管理方案；系統(tǒng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流共分了0到7八個(gè)級(jí)別，其中P2P的數(shù)據(jù)流默認(rèn)設(shè)定為優(yōu)先級(jí)0，VoIP的數(shù)據(jù)流默認(rèn)設(shè)定為優(yōu)先級(jí)7；當(dāng)某些數(shù)據(jù)流同時(shí)匹配多條策略，且每條策略所設(shè)置的優(yōu)先級(jí)不相同時(shí)，則取最高的優(yōu)先級(jí)設(shè)定；圖 6-10