流量卫士4.2.03企业版配置手册v1.0

命令行界面配置配置手册中国电信流量卫士ChinaTelecomOS4.2.03 企业 版文档版本号：V1.0初始化配置文档版本 V1.0 中国电信文档，未经许可不得传播 1声 明版权声明中国电信2014中国电信版权所有，并保留对本手册及本声明的一切权利。未得到中国电信的书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。、 、 、 、 、 、都是中国电信的注册商标，不得仿冒。免责声明本手册内容依据现有信息制作，由于产品版本升级或其他原因，其内容有可能变更。中国电信保留在没有任何通知或者提示的情况下对手册内容进行修改的权利。本手册仅作为使用指导，中国电信在编写本手册时已尽力保证其内容准确可靠，但并不确保手册内容完全没有错误或遗漏，本手册中的所有信息也不构成任何明示或暗示的担保。前 言版本说明本手册对应的软件版本为：ChinaTelecomOS 4.2.03技术支持檀东胜佳伟者对象本书适合下列人员阅读 网络工程师 技术推广人员 网络管理员相关资料手册名称 说明产品 安装手册 该手册介绍了产品在功能和物理上的一些特性，提供了设备安装步骤、硬件故障排除、模块技术规格，以及电缆和连接器的规格和使用准则等。产品 命令手册 该手册对产品支持的配置命令做了详细的描述。包括命令模式、参数说明和使用指南等，并配有具体的实例。产品 WEB 管理手册 本手册对产品支持的各功能的 WEB 界面进行描述，并配有详细的配置实例。本书约定1) 命令行格式约定命令行格式意义如下：粗体：命令行关键字（命令中保持不变必须照输的部分）采用加粗字体表示。初始化配置文档版本 V1.0 中国电信文档，未经许可不得传播 3斜体 ：命令行参数（命令中必须由实际值进行替代的部分）采用斜体表示 ：表示用 括起来的部分，在命令配置时是可选的。 x | y | . ：表示从两个或多个选项中选取一个。 x | y | . ：表示从两个或多个选项中选取一个或者不选。/：由双斜杠开始的行表示为注释行。2) 各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的意义如下： 注意、警告、提醒操作中应注意的事项。 说明、提示、窍门、对操作内容的描述进行必要的补充。 对于产品支持情况进行必要的补充。窍门 表述能帮助您解决某个问题或节省您的时间。3) 说明 本文档介绍了产品支持的各网络协议及其实现原理进行了描述，并配有详细的配置实例和注意事项。 本文档适用于 ChinaTelecom。修订记录日期 版本 修订说明2014-3-31 V1.0 第一次发布文档目录中国电信流量卫士 .01 初始化配置 .71.1 配置管理端地址和默认网关 71.2 启用中国电信流量卫士的 http 服务 71.3 授权证书管理 81.4 升级 firmware、pakeage 和特征库 .102 系统概览 .152.1 系统概览 152.2 在线用户 153 对象管理 .173.1 地址对象 173.1.1 IPv4 173.1.2 IPv6 193.2 网页过滤 213.3 时间计划 223.4 自定义应用 244 策略配置 .264.1 行为管理 264.2 带宽管理 275 报表系统 .295.1 系统性能 295.2 应用报表 305.3 用户报表 325.4 通道报表 346 系统配置 .37初始化配置文档版本 V1.0 中国电信文档，未经许可不得传播 56.1 初始化配置 376.2 系统管理员 386.3 系统日志 396.3.1 日志服务器 .396.3.2 系统日志 .396.3.3 操作日志 .406.3.4 设备性能日志 .406.3.5 系统功能日志 .40 会话日志 .4 HTTP 日志 .4 IM 日志 .426.4 系统设置 436.4.1 升级管理 .436.4.2 过载保护 .446.4.3 日期和时间 .446.4.4 授权管理 .466.4.5 配置文件 .466.5 管理口配置 496.5.1 管理口 IP 配置 .496.5.2 路由配置 .496.5.3 ARP 表 .506.5.4 管理口访问控制 .516.5.5 SNMP 信息 526.6 接口管理 526.7 桥组管理 537 功能日志 .557.1 HTTP 日志输出 5510.2 会话日志输出 5610.4 IM 日志输出 .571 初始化配置在使用中国电信流量卫士之前，要对设备做一些基本的配置。1.1 配置管理端地址和默认网关配置管理端地址和默认网关是为了让用户在全网的任何地方都可以远程访问中国电信流量卫士的管理口。配置的方法如下所示(假设中国电信流量卫士设备的管理口地址为 /24，网关地址54)：ChinaTelecom#configureChinaTelecom(configure)#interface mgmtChinaTelecom(configure-if-mgmt)#ip address Enter Gateway: 54 /配置 IP 地址后，会自动提示输入网关如果是老版本需要在配置模式下手动输入 ip default-gateway1.2 启用中国电信流量卫士的 http 服务中国电信流量卫士设备已经内嵌了 web 服务器管理端软件，如果用户需要通过 web 远程登陆到中国电信流量卫士，只要在浏览器里面输入设备的管理地址，就可以远程登陆了。注：配置的方法如下所示：ChinaTelecom#configureChinaTelecom(configure)#http-server此时用户只要在浏览器里面输入设备的管理地址就可以远程访问。如：http:/中国电信流量卫士的管理地址，即 ，输入 username/Password，通过确认后，即可进入管理页面。登录后的界面如下图所示。缺省用户名和密码均为“admin”。初始化配置文档版本 V1.0 中国电信文档，未经许可不得传播 71.3 授权证书管理中国电信流量卫士提供授权证书，用户可根据需要进行证书升级管理等。设备对应的 license 注册码可从设备附件 的 license 信件中获取到 。配置 MGMT 网口操作，给网卡配一个 IP，如 52 子网掩码：，然后在 ChinaTelecom#下 ping 3，出现以下界面说明网卡可以正常连通：ChinaTelecom(config)#interface mgmt /进入网口 mgmt 口ChinaTelecom(config)#no shutdown /启用 mgmt 接口，默认为开启ChinaTelecom(config-if-mgmt)#ip address 52 /配置 mgmt 口地址use old gateway 54 ? y/n nEnter Gateway: 52 /配置网关ChinaTelecom(config)# exitChinaTelecom# ping 3 /测试注册 license 服务器的连通性，确保已经联网PING 3 (3): 56 data bytes64 bytes from 3: icmp_seq=0 ttl=51 time=28.560 ms64 bytes from 3: icmp_seq=1 ttl=51 time=28.377 ms64 bytes from 3: icmp_seq=2 ttl=51 time=28.414 ms64 bytes from 3: icmp_seq=3 ttl=51 time=28.399 ms64 bytes from 3: icmp_seq=4 ttl=51 time=28.405 ms- 3 ping statistics -5 packets transmitted, 5 packets received, +4 duplicates, 0.0% packet lossround-trip min/avg/max/stddev = 28.377/28.492/28.679/0.094 ms进入管理界面，点击系统配置授权管理，点击申请临时 license，可申请一个 30 天的临时license 信息，如图所示：输入 16 位注册码，点击【确认】点选“离线激活”，复制粘贴 license 字符串，点击【确认】初始化配置文档版本 V1.0 中国电信文档，未经许可不得传播 9确认后，均弹出提示信息，如下图所示1.4 升级 firmware、pakeage 和特征库升级 pakeage 或特征库是从远端 server 上加载 pakeage 或待征库文件至中国电信流量卫士的flash 卡中，中国电信流量卫士出厂时 firmware 和特征库已经升级到固定版本了，如果用户要升级或者降级 firmware 或特征库时可以采用如下方式：配置此功能可以通过两种方式实现，即命令行和 web 方式。第一种：命令行方式 升级 firmwareChinaTelecom#copy url firmware /升级 firmware 软件包Remote file URL(Uniform Resource Locator)?ftp:/temp:123456/ firmware_CT100_818N6V_ChinaTelecom_v4.2.03_build175.bin /使用 ftp 升级方式，使用远端 ftp 服务器或本地搭建 ftp 服务器，指定 ftp 的用户名、密码及地址，指定 firmware 文件全名Destination filenamefirmware_CT100_818N6V_ChinaTelecom_v4.2.03_build175.bin?/是否需要修改文件名Fetching from remote server:ftp:/temp:123456/ firmware_CT100_818N6V_ChinaTelecom_v4.2.03_build175.bin.# 100%image version:4.2.03 download successful. Done /提示文件上载成功Set this core image for boot next time?y/ny /输入“Y”,将其作为设备启动文件注意：上传前请先确认 FTP 服务器上的版本文件路径。当跨主板本设备升级 firmware 时，需要同时升级对应的 webui。默认的 firmware.bin 建议不要删除。上传成功后，通过 show flash 查看 flash 内的 firmware 内容信息，通过对比大小，看是否 100%传输完毕。只有当跨主板本设备升级 firmware 时，才需要恢复出厂设置。升级 webUI，如需要恢复出厂设置，可以输入 write erase 命令，重启设备，将设备恢复出厂设置。ChinaTelecom# write erase /恢复出厂设置命令This will reset the system to its default settings, all data will be lost! Continue (yes/no)?yes /输入 “yes”,确认恢复出厂设置Proceed with reload? confirmY /输入“Y”，确认重启 升级 webUIChinaTelecom#copy url webui /升级 webui 软件包Remote file URL(Uniform Resource Locator)?ftp:/temp:123456/ webui-telecom-4.2.03-b24.bin /使用 ftp 升级方式，使用远端 ftp 服务器或本地搭建 ftp 服务器，指定 ftp 的用户名、密码及地址，指定 webui 文件全名Destination filenamewebui-telecom-4.2.03-b24.bin?/是否需要修改文件名Fetching from remote server:ftp:/temp:123456/ webui-telecom-4.2.03-b24.bin.# 100%image version:4.2.03 upload successful. Done /提示文件上载成功Load this webui? y/ny /输入“Y”,将其作为设备启动文件 升级 DPIChinaTelecom#copy url dpi-signature /升级 DPI 软件包初始化配置文档版本 V1.0 中国电信文档，未经许可不得传播 11Remote file URL(Uniform Resource Locator)?ftp:/temp:123456 dpi-signature.bin /使用 ftp 升级方式，使用远端 ftp 服务器或本地搭建 ftp 服务器，指定 ftp 的用户名、密码及地址，指定 DPI 文件全名Destination filenamedpi-signature.bin?/是否需要修改文件名Fetching from remote server:ftp:/temp:123456/ dpi-signature.bin.# 100%image version:4.2.194（30） upload successful. Done /提示文件上载成功注意：不同的 firmware 版本需要特征库需要配合不同的特征库。第二种：web 方式 升级 pakeage进入设备管理界面，点击系统设置 -升级管理，选择文件类型、升级文件，点击开始上传，如图所示：升级完后在命令行 show firmware，下次启动 firmware 即为升级的 firmware，重启后生效。命令行下 show flash，红色圈出来的 WebUI 即为升级的 WebUI，重启后生效，或直接加载。命令行模式下设备启动 webui 文件ChinaTelecom# webui webui_4203_20131023_180313.bin /启用 webui 升级 DPI升级完后在命令行模式下设置设备启动文件ChinaTelecom# dpi-signature dpi-signature.bin /启用 DPI系统概览文档版本 V1.0 中国电信文档，未经许可不得传播 132 系统概览2.1 系统概览通过此模块可以查看系统概况和基本报表。2.2 在线用户通过在线用户模块可以查看在线的主机以及经过认证的在线用户。在线用户列表查看系统概览在线用户，即可进行查看，如右图所示。可显示桥组、IP 地址等信息，还可以通过桥组和 IP 地址查找。在线用户查找选择桥组，输入 IP 地址，点击查找按钮可以快速对应 IP 的在线用户新增 IP 对象点击操作栏的 添加按钮，弹出添加 IP对象框，输入名称和描述信息（描述可以为空）后，点击【保存】即可添加一条 IP对象在线用户数查看点击系统概览在线用户 在线用户数，即可进行查看，如右图所示。还可以通过桥组和时间下拉框，选择查看在线用户数。对象管理文档版本 V1.0 中国电信文档，未经许可不得传播 153 对象管理3.1 地址对象3.1.1 IPv4管理员可以通过 IPv4 地址对象的设置 使用户能够针对不同的 IPv4 地址（或者地址段）进行不同的管控。点击 IPv4点击对象管理地址对象 IPv4地址后，如右图所示。添加 IPv4 地址对象点击添加，输入名称、描述和 IP（可以是单个主机，范围或者网段） 。编辑 IPv4 地址对象在需要编辑的地址对象一行，点击操作一栏的编辑按钮 ，即可进行操作。删除 IPv4 地址对象在需要删除的地址对象一行，点击操作一栏的删除按钮 ，在弹出的对话框中选择确定，即可进行删除操作。导入 IPv4 地址对象点击选择文件按钮，选中需要导入的文件后点击导入，如右图所示。导出 IPv4 地址对象点击导出按钮，即可将 IPv4 地址对象和组保存到本地，如右图所示。清空 IPv4 地址对象点击清空按钮，清空 IPv4 地址对象和组，如右图所示。中国电信流量卫士支持对 IPv4 地址对象建组，方法如下：对象管理文档版本 V1.0 中国电信文档，未经许可不得传播 17点击 IPv4 地址组点击对象管理地址对象 IPv4地址组后，如右图所示。点击+按钮可显示当前组引用的对象。添加 IPv4 地址组点击添加，填写 IPv4 地址组名称和描述。在待选对象栏里选择需要建组的 IPv4 地址对象, 将其拖到已选对象栏里。如果你想从已选对象栏里删除一个 IPv4地址对象，选取你想删除的地址对象，将其拖拽到待选对象栏，最后单击保存即可。编辑 IPv4 地址组在需要修改的 IPv4 地址对象组一行，点击操作一栏的编辑按钮 即可进行操作。删除 IPv4 地址组在需要删除的 IPv4 地址对象组一行，点击操作一栏的删除按钮 ，在弹出的对话框中选择确定，即可进行删除操作。3.1.2 IPv6管理员可以通过 IPv6 地址对象的设置 使用户能够针对不同的 IPv6 地址（或者地址段）进行不同的管控。点击 IPv6点击对象管理地址对象 IPv6地址后，如右图所示。点击+按钮可显示当前组引用的对象信息添加 IPv6 地址对象点击添加，输入名称、描述和 IP（可以是单个主机或者网段） 。编辑 IPv6 地址对象在需要编辑的地址对象一行，点击操作一栏的编辑按钮 ，即可进行操作。删除 IPv6 地址对象在需要删除的地址对象一行，点击操作一栏的删除按钮 ，在弹出的对话框中选择确定，即可进行删除操作。导入 IPv6 地址对象点击选择文件按钮，选中需要导入的文件后点击导入，如右图所示。中国电信流量卫士支持对 IPv6 地址对象建组，方法如下：点击 IPv6 地址组点击对象管理地址对象 IPv6地址组后，如右图所示。添加 IPv6 地址组点击添加，填写 IPv6 地址组名称和描述。在待选对象栏里选择需要建组的 IPv6 地址对象, 将其拖拽到已选对象栏里。如果你想从已选对象栏里删除一个 IPv6地址对象，选取你想删除的地址对象，将其拖拽到待选对象栏，最后单击保存即可。对象管理文档版本 V1.0 中国电信文档，未经许可不得传播 19编辑 IPv6 地址组在需要修改的 IPv6 地址对象组一行，点击操作一栏的编辑按钮 即可进行操作。删除 IPv6 地址组在需要删除的 IPv6 地址对象组一行，点击操作一栏的删除按钮 ，在弹出的对话框中选择确定，即可进行删除操作。3.2 HTTP 本模块可以设置 HTTP 过滤对象，包括管理员可以通过设定 HTTP 过滤对象，使用户能够根据自身需要对不同的应用对象采取不同的管控方法。3.2.1 HTTP 文件后缀添加 HTTP 后缀点击对象管理HTTP HTTP 后缀，查看 HTTP 后缀。点击添加，输入名称、描述和后缀名，然后点击保存。编辑 HTTP 后缀在需要编辑的 HTTP 后缀一行，点击操作一栏的编辑按钮 ，即可进行操作。删除 HTTP 后缀在需要删除的 HTTP 后缀一行，点击操作一栏的删除按钮 ，在弹出的对话框中选择确定，即可进行删除操作。3.2.2 HTTP 域名添加 HTTP 域名点击对象管理HTTP HTTP 域名，查看 HTTP 域名。点击添加，输入名称、描述和域名，然后点击保存。对象管理文档版本 V1.0 中国电信文档，未经许可不得传播 21编辑 HTTP 域名在需要编辑的 HTTP 域名一行，点击操作一栏的编辑按钮 ，即可进行操作。删除 HTTP 域名在需要删除的 HTTP 域名一行，点击操作一栏的删除按钮 ，在弹出的对话框中选择确定，即可进行删除操作。3.2.3 URI添加 URI点击对象管理HTTP HTTP 方法，查看 HTTP 方法。点击添加，输入名称、描述和 url，然后点击保存。编辑 HTTP URI在需要编辑的 HTTP URI 一行，点击操作一栏的编辑按钮 ，即可进行操作。删除 HTTP URI在需要删除的 HTTP URI 一行，点击操作一栏的删除按钮 ，在弹出的对话框中选择确定，即可进行删除操作。对象管理文档版本 V1.0 中国电信文档，未经许可不得传播 233.1 http 过滤管理员可以通过设定 HTTP 过滤对象，使用户能够根据自身需要，对该对象进行建组。同时可以针对不同的应用对象采取不同的管控方法。查看 HTTP 过滤点击对象管理HTTP HTTP 过滤，如右图所示，可查看设备已经设置的 HTTP过滤信息添加 HTTP 过滤点击添加 ，可以添加一条 HTTP 过滤对象；点击 ，可以在 HTTP 对象下添加一条 HTTP 过滤；可以设定该对象的名称，描述，及策略级别，及选用的方法、后缀名、域名并执行的动作和输入管道。添加完成后点击保存，保存该条对象。编辑 HTTP 过滤在需要编辑的 HTTP 过滤一行，点击操作一栏的编辑按钮 ，即可进行操作。删除 HTTP 过滤在需要删除的 HTTP 过滤一行，点击操作一栏的删除按钮 ，在弹出的对话框中选择确定，即可进行删除操作；点击操作一栏的全部删除按钮 ，同意 HTTP 对象下的 HTTP 过滤全部删除。禁用启用 HTTP 过滤策略在需要禁用或启用的策略一行，点击操作一栏的禁用 或启用按钮 ，如右图所示。3.2 时间计划管理员可以通过时间对象的设置使用户能够控制策略的激活和停用的具体时间。点击时间计划点击对象管理计划后，如右图所示。对象管理文档版本 V1.0 中国电信文档，未经许可不得传播 25添加新计划点击添加，填写时间进度名称，勾选从星期一到星期日中的需要某些天，然后按照提示的格