DOC-ER5200系统管理忘记密码怎么办

ER5200系统管理忘记密码怎么办

H3C

ER5000系列企业级路由器用户手册

10.3.5启用/禁用“仅允许IP/MAC绑定的客户端访问外网”（ipmac-restrict）

10.3.6显示系统资源使用情况（displaysysinfo）

10.3.7设备的故障定位信息（downloaddebug-file）

11附录-技术规格

12附录-安装与设置TCP/IP协议

12.2.1自动获取IP地址

12.2.2指定静态IP地址

13附录-术语表

1产品概述

H3CER5000系列企业级路由器（以下简称ER5000系列）是一系列高性能千兆下行路由器，主要定位于SMB（SmallandMediumBusiness，中小企业）、政府/企业机构、网吧等网络环境。

ER5000系列采用专业的64位网络处理器，并且支持丰富的软件特性，如IP/MAC绑定、ARP防欺骗、流量控制、策略路由、设备自检等功能，是中型网吧和企业用户的理想选择。

ER5000系列包含两款产品：

H3CER5100企业级路由器（以下简称ER5100）：提供1个10/100Base-TXWAN口、3个10/100/1000Base-TLAN端口和1个Console接口。

H3CER5200企业级路由器（以下简称ER5200）：提供2个10/100Base-TXWAN口、3个10/100/1000Base-TLAN端口和1个Console接口。

说明：

ER5200和ER5100的区别仅在WAN口数量不同，ER5200支持双WAN接入。为简化描述，对ER5200和ER5100差异的部分，本手册以介绍ER5200为主，并说明ER5100与ER5200的差异点。

本手册以介绍Web设臵为主。命令行设臵请参见“。

1.1主要特性

高处理性能

ER5000系列采用64位双核网络处理器，主频高达500MHz，处理能力相当于1GHz的专业网络处理器，同时配合DDRII高速RAM进行高速转发（ER5100可以达到100M的线速转发，ER5200可以达到双

WAN口200M的线速转发）。在实际应用中，ER5000系列的典型的带机量为300台。

双WAN口负载均衡（仅ER5200支持）

负载均衡可以让企业网用户根据线路实际带宽分配网络流量，达到充分利用带宽的目的。针对国内网络用户的使用习惯和特点，ER5200提供智能负载均衡和手动负载均衡两种均衡模式，满足了需要灵活应用带宽的双线路接入用户的需求。

源地址路由（仅ER5200支持）

ER5200提供独创的源地址路由功能，即可以通过指定局域网内计算机的出口来达到负载分担的效果。策略路由（手动负载均衡）（仅ER5200支持）

ER5200支持策略路由，可以将访问网通和电信的流量分别从不同的WAN口转发，实现“电信走电信，网通走网通”，充分利用双线路的优势。

ARP攻击防护

ER5000系列通过IP/MAC地址绑定功能，可以有效防止ARP攻击。

ARP欺骗防护

ER5000系列通过触发发送或定时发送免费ARP报文，有效避免局域网计算机中毒后引发的ARP欺骗。网络流量限速

BT、迅雷等软件对网络带宽的过度占用会影响到网内其他用户的正常业务，ER5000系列通过基于IP或基于NAT表项的网络流量限速机制，可以有效地控制单台计算机的上/下行流量或建立的NAT表项的个数，限制BT、迅雷等软件对网络带宽的过度占用。

静态NAT

当有多个公网IP时，通过静态NAT功能，用户可以实现公网IP和私网IP的一对一地址转换，即将一个公网IP映射到一个特定的内网服务器，无需了解服务的类型和通讯协议/端口号，也无需设置复杂的虚拟服务器规则。

路由模式

当网吧每个PC采用一个单独的公网IP时，可以开启ER5000系列的路由模式来实现上网。

多种管理方式

ER5000系列支持三种管理方式：Web页面、串口和telnet。通过Web页面，您可以对ER5000系列进行全面的设置；通过串口或telnet，能实现重启、恢复缺省值、修改密码、修改IP地址等基本功能。除了本地管理，ER5000系列还支持远程管理，在因特网上的计算机也可以对ER5000系列进行远程管理。

1.2产品外观

1.2.1前面板

ER5100前面板如下图所示。

图1-1ER5100前面板示意图

ER5200前面板如下图所示。

图1-2前面板示意图

1.2.2后面板

ER5100和ER5200后面板相同，如下图所示。

图1-3后面板示意图

1.3接口说明

表1-1接口用途

1.4指示灯说明

ER5000系列前面板指示灯状态说明如下。表1-2指示灯说明

1.5缺省设置

表1-3列出了一些重要的缺省设置信息，所有特性将在后面的章节进行全面详细的描述。缺省设置适用于多数情况，如果缺省设置与实际组网需求不符，请对ER5000系列进行手工设置，具体请参见后续章节。表1-3路由器缺省设置

2

ER5000

ER5000安装与连线2.1安全注意事项为保证ER5000系列正常工作和延长使用寿命，请遵从以下的注意事项：系列只在室内使用，请将ER5000系列放置于干燥通风处；系列的接口线缆要求在室内走线，禁止户外走线，以防止因雷电产生的过电压、过电流损坏ER5000系列信号口；

请不要将

在ER5000系列放在不稳定的箱子或桌子上，一旦跌落，会对ER5000系列造成损害；ER5000系列周围应预留足够的空间（大于10cm），以便于ER5000系列正常散热；

ER5000系列工作环境的清洁，过多的灰尘会造成静电吸附，不但会影响ER5000系列寿请保证

命，而且容易造成通信故障；

ER5000

ER5000系列工作地最好不要与电力设备的接地装置或防雷接地装置合用，并尽可能相距远一些；系列工作地应远离强功率无线电发射台、雷达发射台、高频大电流设备；请使用随产品附带的配置线缆，严禁使用其它非配套产品；

请使用随产品附带的电源线，严禁使用其它非配套产品。电源电压必须满足专用电源线的输入电压范围。

2.2安装ER5000系列

ER5000系列既可以安装在19英寸标准机柜上，也可以直接放置在工作台上。

注意：

在安装或移动ER5000系列前，请务必将电源线拔出。

2.2.1安装到机柜

安装到机柜的过程如下：

(1)检查机柜的接地与稳定性。

(2)用螺钉将安装挂耳固定在ER5000系列前面板两侧。

图2-1安装挂耳示意图

(3)将ER5000系列放置在机柜的一个托架上，沿机柜导槽移动ER5000系列至合适位置。

(4)用螺钉将安装挂耳固定在机柜两端的固定导槽上，确保ER5000系列稳定地安装在机柜槽位的托架上。

图2-2安装到19英寸机柜示意图

说明：

ER5000系列的安装挂耳并不用来承重，它只起固定作用。安装ER5000系列于19英寸机柜时，ER5000系列机箱的下边需要有托架（固定在机柜上）来支撑。

2.2.2安装到工作台

若没有19英寸标准机架，可直接将ER5000系列放置在干净的工作台上。安装过程如下：

(1)小心地将ER5000系列倒置。用软布清洁ER5000系列机箱底板上的凹槽，确保没有油污或灰尘吸附。

(2)撕掉随机附带的脚垫表面的粘贴纸。将脚垫粘贴到ER5000系列机箱底板上的凹槽内，脚垫安装示意图如下所示。

图2-3ER5000系列脚垫安装示意图

(3)将ER5000系列正置，放在工作台上。

注意：

请保证工作台的平稳性和良好接地，并且不要在ER5000系列上面放臵重物。

2.3连接线缆

注意：

连接线缆前，建议先将所有设备断电/关机。连接完成后，再通电/开机。

连接线缆示意图如下所示。

图2-4ER5000系列连接线缆示意图

说明：

ER5000系列的LAN、WAN口均支持MDI/MDI-X自适应，使用交叉网线或直连网线均可进行连接。

ER5000系列的LAN口、WAN口均支持速率双工自协商，无论连接10M/100M或1000M的设备，均可自协商。

ER5100只有一个WAN口，连接一个ISP线路。

2.3.1连接到局域网

使用网线将ER5000系列的LAN口连接到计算机或者交换机。

2.3.2连接到因特网

如果您采用光纤接入的方式，请用网线将

如果您采用ER5000系列的WAN口和光纤收发器相连；DSL/CableModem宽带接入方式，请用网线将ER5000系列的WAN口和Modem相连；

如果您采用以太网宽带接入的方式，请用网线将ER5000系列的WAN口与ISP提供的接口相连。

2.3.3上电检查

安装完成后，将ER5000系列和所连的网络设备都通电/开机，这时您可以通过检查指示灯状态来判断ER5000系列是否工作正常。指示灯状态说明请参见“。

3

已安装设置准备ER5000系列提供Web设置页面，本章将带领您进入并熟悉Web设置页面。3.1检查计算机配置在访问ER5000系列的Web设置页面前，您的计算机还需要满足以下要求：已安装以太网卡；Web浏览器（IE6.0或更高版本）；

TCP/IP协议。安装并启动

3.2建立网络连接

1.设置计算机的IP地址

在访问设置页面前，建议将计算机设置成“自动获得IP地址”和“自动获得DNS服务器地址”，由ER5000系列分配IP地址。

如果您需要给计算机指定静态IP地址，则需要将计算机的IP地址与ER5000系列的LAN口IP地址设置在同一子网中（ER5000系列的LAN口缺省IP地址为：，子网掩码为）。

2.确认计算机与ER5000系列连通

使用Ping命令确认计算机和ER5000系列之间的网络是否连通。

3.3取消代理服务器

如果当前计算机使用代理服务器访问因特网，则首先必须禁止代理服务，操作如下：

(1)在浏览器窗口中，选择［工具/Internet选项］进入［Internet选项］窗口。

(2)在［Internet选项］窗口中选择“连接”页签并单击<局域网（LAN）设置>按钮，如图3-1所示。

(3)确认未选中“为LAN使用代理服务器”选项。若已选中，请取消并单击<确定>按钮。

图3-1局域网（LAN）设置

3.4登录ER5000系列在Web浏览器地址栏中输入“”，在弹出框中输入用户名和密码。首次登录时请输入缺省的用户名：admin，密码：admin。

图3-2输入用户名和密码

说明：

首次登录后，建议您修改缺省的登录密码，修改方法请参见“。

同一时间，ER5000系列只允许一台计算机通过Web进行管理和设臵。

3.5熟悉Web设置页面

登录成功后，进入Web设置页面，这时您就可以对ER5000系列进行设置和管理了。

注意：

设臵完成后，必须单击该页面上的<确定>按钮，该页面的设臵才能生效。

页面左侧为导航栏，页面右侧为设置区域。

图3-3Web设置页面

3.5.1Web菜单项介绍

表3-1Web菜单项介绍

3.5.2常用页面控件介绍

以下控件是Web设置页面中经常出现的，有关它们的用途请参见下表。表3-2常见页面控件说明

3.5.3页面列表操作介绍ER5000系列的界面中经常会出现这种用来显示设置的列表，下面对其操作进行简单介绍，后面不再赘述。

图3-4页面列表举例

表3-3页面列表操作介绍

3.6退出Web设置页面

单击导航栏的[退出]项，确认后即可退出Web设置页面。说明：

如果您直接关闭浏览器而没有单击[退出]，那么您会在超时时间过后退出，期间其他人无法登录。Web设臵页面的超时时间是5分钟，如果超过5分钟没有在页面进行任何操作，则需要重新输入密码验证。

4

说明：

ER5100

Web

ER5000基础设置不支持双WAN接入，所以本章中提到的多WAN连接模式、WAN口检测方式及相关配臵均特指ER5200。基础设臵主要包括设臵WAN口和LAN口，设臵完成后，您即可通过ER5000系列上网。系列能自动进行拨号，您无需使用操作系统自带的拨号软件（如PPPoE拨号软件）或其他客户端拨号软件。

4.1WAN设置（广域网设置）在WAN设置中，您可以设置：

多WAN连接模式（仅ER5200支持）。可选择主备模式、智能负载均衡模式或手动负载均衡模式。

上网方式。用于设置通过WAN口接入到因特网的上网方式，可选择的方式有静态地址、动态地址和PPPoE。请结合ISP提供的信息选择合适的上网方式。

WAN口检测参数（仅ER5200支持）。ER5200支持灵活的检测机制，并支持多种线路检测方法，可以实时监控链路状态。当一条链路出现故障时，可以切换到另一条链路。

WAN口MAC地址克隆。有些ISP要求只有经过注册的MAC地址才能上网，这种情况下，ER5000系列的MAC地址必须改为被注册的MAC地址。

WAN

NAT口模式。设置ER5000系列的WAN口的连接速度和双工模式。设置。在禁用设备路由模式下，可以使用公网IP地址池进行地址转换，以及进行私网与公网的一对一IP地址映射。

由于ER3260/ER3200有双WAN口，WAN设置项比较多，所以“4.1.6WAN设置举例（针对ER52ER3260/ER3200WAN设置的应用举例供您参考。

4.1.1连接到因特网

WAN设置→连接到因特网

1.

设置上网方式

WAN口接入到因特网可选择的方式有静态地址、动态地址、PPPoE。具体选择何种方式请咨询当地ISP。

(1)PPPoE方式

图4-1设置上网方式（PPPoE）

界面项描述如下：

表4-1设置上网方式（PPPoE）

(2)动态地址

图4-2设置上网方式（动态地址）

界面项描述如下：

表4-2设置上网方式（动态地址）

(3)静态地址

图4-3设置上网方式（静态地址）

界面项描述如下：

表4-3设置上网方式（静态地址）

2.多WAN连接模式（仅ER5200支持）

多WAN连接模式包括主备模式和负载均衡模式。负载均衡模式支持“智能负载均衡”和“手动负载均衡”两种方式。

主备模式：正常情况下，只有主链路处于工作状态，当主链路发生故障时，流量自动切换到备份链路；主链路恢复正常后，ER5200自动将备份链路上的流量切换回主链路。

负载均衡模式：正常情况下，两条链路分担上网流量。当某条链路出现故障时，该链路被屏蔽，流量转到另一条链路。链路恢复正常后，流量重新分配到两条链路。

说明：

主备模式可以在主链路出现故障时使用备份链路，保证网络的畅通。

如果WAN两条链路都是专线，建议使用负载均衡模式。负载均衡模式可以让企业网用户根据线路实际带宽分配网络流量，达到充分利用带宽的目的。

负载均衡模式支持“智能负载均衡”和“手动负载均衡”。两者都支持根据目的IP地址指定优先链路（在本页面中的“负载均衡表”中设置，具体请参见“3.设置均衡路由策略（仅ER5200）”），以及根据源IP地址指定优先链路（设置路径：路由设置→源地址路由，具体请参见“5.5.2设置源地址路由（仅ER”）。两者区别是，对未指定优先链路的流量，智能负载均衡根据链路带宽的比值，自动选择优先链路；手动负载均衡则都通过缺省链路转发。

说明：

对于网通和电信双线入户的用户，使用手动均衡模式，可以将电信线路指定为缺省链路，并设臵均衡路由策略，确保对网通的访问流量通过网通线路转发，其他流量（主要是对电信的访问流量）通过电信线路转发，即通常意义上的“电信走电信，网通走网通”，充分利用双线路的优势。

图4-4多WAN连接模式

界面项描述如下：

表4-4多WAN连接模式

3.设置均衡路由策略（仅ER5200）

设置均衡路由策略可以通过三种方式实现：

手工逐条配置，单击下图中的<增加>按钮，将设置添加到均衡路由表中；

在H3C网站上下载网络均衡路由表（.cfg格式），单击<导入>按钮，选择文件，确定即可完成导入；

先写好.cfg格式的文件或直接修改下载的均衡路由表文件，单击<导入>按钮，选择文件，确定即可完成导入。

.cfg文件的格式是“注释;目的IP地址;子网掩码;出接口;状态”，“状态”为1表示启用，“状态”为0表示禁用。举例如下：

wangtong;;;WAN1;1

wangtong;;;WAN1;1

wangtong;;;WAN1;1

选择负载均衡模式时，可以设置均衡路由策略，使访问特定目的IP地址的报文走指定链路。

比如您可以通过先设置均衡路由策略，使访问网通的流量都通过WAN2口转发，再选择手动均衡模式，指定缺省链路为WAN1，使非访问网通的流量都通过WAN1口转发，这就可以达到“电信走电信，网通走网通”的目的。

图4-5设置均衡路由策略

界面项描述如下：

表4-5设置均衡路由策略

4.1.2设置WAN口状态检测（仅ER5200）WAN设置→状态检测

说明：

缺省不进行

PPPoEWAN口状态检测。拨号方式下，不要选中“启用WAN网口检测”功能，因为ISP端的PPPoE服务器不支持Ping，如果启用这个功能，ER5200将判断这个链路有故障。

PPPoE拨号方式下可以使用其他检测方式（PING/DNS/NTP），使用Ping检测时，目的地址不是PPPoE服务器即可。

不论是主备模式，还是负载均衡模式，如果您需要实时监控线路状态，保证一条线路故障时能切换到另一条线路，您就需要设置状态检测功能。ER5200支持灵活的检测机制，并提供多种线路检测方法供您选择，以满足实际应用的需要。

启用状态检测后，如果没有指定检测方式（PING/DNS/NTP），ER5200使用缺省的检测方式，即向WAN口对应的网关发送Ping报文，以检测ER5200与网关之间的通信是否正常。

启用检测后，如果您指定了一种或多种检测方式（PING/DNS/NTP），ER5200会采用您指定的检测方式，同时缺省的检测方式不生效。为了检测的有效性，建议同时使用多种检测方式。

说明：

检测结果请见“状态日志→状态”页面的“链路状态”。

图4-6WAN口状态检测

界面项描述如下：

表4-6WAN口状态检测

4.1.3设置WAN口MAC地址克隆

WAN设置→MAC地址克隆

ER5000系列出厂时，各个接口（LAN、WAN口）都有一个缺省的MAC地址，一般情况下，无需改变。有些ISP要求只有注册的那个MAC地址才能上网，这种情况下，应选择“使用下面手工输入的MAC地址”，将MAC地址改为ISP指定注册的MAC地址。设置界面如下图所示。

图4-7WAN口MAC地址克隆

界面项描述如下：

表4-7WAN口MAC地址克隆

4.1.4设置WAN口模式

WAN设置→网口模式

在这个页面中，您可以设置ER5000系列WAN口的连接速度和双工模式。缺省是10M/100M自适应。ER5100只需设置一个WAN口。

图4-8WAN口模式

4.1.5NAT设置

WAN设置→NAT设置

在该页面设置中，您可以实现路由模式与NAT模式的切换。

1.路由模式选择

图4-9路由模式

启用路由模式时，LAN内数据包可通过设备转发出去时做NAT转换；禁用该模式时，设备会根据您的配置对WAN口发出去的数据包做NAT转换。缺省情况下，禁用路由模式。

说明：当您启用路由模式时，NAT

路由模式下，建议您使用单转换功能将不会生效，设备仅作为纯路由上网。WAN连接模式上网，若您已选择了多WAN连接模式，则推荐您使用主备模式。

2.NAT转换

NAT（NetworkAddressTranslation，网络地址转换）可以实现局域网内的多台计算机通过1个或多个公网IP地址接入因特网，即用少量的公网IP地址代表较多的私网IP地址，节省公网IP地址。由于局域网与因特网隔离，NAT也可以对网络的安全性提供一些保证。

在NAT转换页面可以指定地址转换范围。具体包括以下两项。

NAT转换，使用WAN出接口公网IP或公网IP地址池进行地址转换，即局域网内的计算机上网时，其私网IP地址转换为对应WAN出接口的公网IP地址或者公网IP地址池中的一个IP地址。

一对一地址转换，将指定局域网内IP地址一对一转换为指定公网IP地址，即对应计算机访问因特网时有自己的公网IP地址。在这种模式下，局域网内的其他计算机及因特网上的计算机都可以通过访问对

应公网IP地址来访问该计算机。当您的局域网需要提供对外服务器时，您可以将服务器IP地址与公网IP地址设置一对一地址转换。

说明：

仅当相应的WAN口上网方式设为“静态地址”时（WAN设臵→连接到因特网），本页面的配臵才会生效，其它上网方式下（PPPoE或动态地址），配臵不生效（此时局域网内IP地址仍转换为对应WAN出接口的IP地址）。

禁用路由模式后，NAT转换和一对一NAT转换功能才能生效。

图4-10设置NAT转换

界面项描述如下：

表4-8设置NAT转换

注意：

设臵一对一地址转换后，局域网内对应计算机或服务器就等于暴露在了因特网中，安全性降低。

【举例】：某企业申请了一条电信线路，分配的公网IP地址范围是0～0。该企业需要对外开放Web服务器（）、Mail服务器（）和FTP服务器（192.168.1.

7）。

分析：该企业有多个公网IP，且需要对外开放服务器，可以将服务器IP与公网IP建议一对一地址转换，其他的计算机上网时使用公网IP地址池，充分利用所有的公网IP。由于该企业只申请了一条线路，所以只需使用WAN1即可。

设置步骤：

(1)设置WAN1口连接到电信。（WAN设置→连接到因特网）

(2)选中NAT设置页面的“使用地址池中的地址”，并将地址池范围设为0～0。

(3)分别设置3个服务器的一对一地址转换。如下图所示。

(4)单击<确定>按钮，配置完成。

图4-11NAT设置举例

4.1.6WAN设置举例（针对ER5200）

【举例1】：某网吧使用双线路上网，WAN1和WAN2线路都为电信静态IP地址接入（包年），带宽为100M。

设置步骤：

(1)选择多WAN连接模式为智能负载均衡模式。

(2)启用接口WAN1和WAN2。设置WAN1和WAN2接口的ISP为电信，带宽为100M。

(3)设置WAN1和WAN2的上网方式。设置WAN1和WAN2的上网方式均为静态地址，设置相关参数，包括IP地址、子网掩码、缺省网关、主DNS服务器等。

(4)单击<确定>按钮，保存配置。

图4-12举例图示

(5)设置状态检测参数。启用WAN网口检测，并启用两个WAN口的PING检测和DNS检测功能。

图4-13举例图示

(6)单击<确定>按钮，完成配置。

此时，WAN1和WAN2口两条线路的流量将根据带宽1：1进行分担。

【举例2】：某网吧使用双线路上网，WAN1线路为电信静态IP接入（包年），带宽为10M；WAN2线路为电信PPPoE拨号上网，带宽为2M，按上网时间收费。

分析：WAN2线路按上网时间收费，主要用于备份，因此需要将ER5200设置成主备模式，既保证WAN1异常时局域网内用户不掉线，又保证备用线路使用成本很低。

设置步骤：

(1)选择多WAN连接模式为主备模式。并选择主链路为WAN1。

(2)启用接口WAN1和WAN2。设置WAN1接口的ISP为电信，带宽为10M；设置WAN2接口的ISP为电信，带宽为2M。

(3)设置WAN1和WAN2的上网方式。设置WAN1的上网方式为静态IP，设置相关参数，包括IP地址、子网掩码、缺省网关、主DNS服务器等；设置WAN2的上网方式为PPPoE，设置相关参数，包括PPPoE用户名、PPPoE密码等。

(4)单击<确定>按钮，保存配置。

图4-14举例图示

(5)设置状态检测参数。启用WAN网口检测，并启用两个WAN口的PING检测和DNS检测功能。注意，WAN网口2使用PPPoE拨号方式，PING检测时不要设置PPPoE服务器的IP地址即可。

图4-15举例图示

(6)单击<确定>按钮，配置完成。

4.2LAN设置（局域网设置）

在LAN设置中，您可以设置：

ER5000系列的LAN口IP地址及其子网掩码。

克隆，用于改变LAN口的MAC地址。LANMAC

DHCP

LAN

LAN服务器，用于开启/关闭DHCP服务器功能和设置DHCP地址池范围和租约。端口设置，用于设置LAN口各端口工作模式、VLAN设置、广播风暴抑制功能、流控功能。端口镜像，用于设置镜像端口和被镜像端口，方便网络流量监控。

4.2.1设置局域网

LAN设置→局域网设置

1.设置LAN口IP地址

局域网内计算机可以通过LAN口IP地址来管理ER5000系列。

图4-16局域网设置

界面项描述如下：

表4-9局域网设置

说明：

修改

修改LAN口IP地址后，您需要使用新IP地址重新登录设备，才能继续配臵。LAN口IP地址后，其他页面中和IP地址相关的配臵可能需要相应修改（如IP/MAC绑定表中的IP地址等），保持和

LAN口IP在统一网段。

2.设置LAN口MAC地址克隆

ER5000系列出厂时，各个接口（LAN、WAN口）都有一个缺省的MAC地址（也称物理地址），一般情况下，无需改变。

有些网吧为了防止ARP攻击，给局域网内计算机都设了网关的静态ARP表项，这种情况下，如果将原来的网关设备换成ER5000系列（网关地址不变），计算机无法学习到ER5000系列的MAC地址，您需要逐个修改局域网中计算机的静态ARP表项才可使局域网中的计算机正常上网。LANMAC克隆功能可以使您免除这样的重复劳动，只需将ER5000系列的LAN口MAC地址设为原来网关的MAC地址，局域网内计算机即可正常上网了。

图4-17LANMAC地址克隆

界面项描述如下：

表4-10LAN

MAC地址克隆

3.设置DHCP服务器

ER5000系列可以作为DHCP服务器，给局域网内计算机分配IP地址。

说明：

地址池中IP地址数量最多不能超过600个。

ER5000系列的DHCP服务器IP地址分配机制：

(1)ER5000系列接收到DHCP客户端获取IP地址的请求时，首先查找IP/MAC绑定关系表（设置路径：访问控制→IP/MAC绑定，具体请参见“5.1.1设置IP/MAC绑定”），如果这台计算机在IP/MAC绑定表中，则把对应的的IP地址分配给该计算机。

说明：

IP/MAC绑定的IP地址可以不在DHCP地址池范围内，但必须和设备LAN口IP在同一个网段内。绑定的IP地址只分配给指定的计算机。

(2)如果请求获取IP地址的计算机不在IP/MAC绑定表中，ER5000系列会从地址池中选择一个在局域网中未被使用的IP地址分配给该计算机。

(3)如果计算机离线（如关机），ER5000系列不会马上把之前分给它的IP地址分配出去，只有在地址池中没有其它可分配的IP地址，且该离线计算机IP地址的租约过期时，才会分配出去。

(4)如果地址池中没有任何可分配的IP地址，则计算机获取不到IP地址。

比如，假设ER5000系列的地址池范围为0～00，计算机A设置IP/MAC地址绑定，绑定的IP地址为10；计算机

B未设置IP/MAC地址绑定关系。这种情况下，计算机A分配到IP地址10。计算机B分配到地址池范围内的一个IP地址，如1。

图4-18DHCP服务器

界面项描述如下：

表4-11DHCP服务器

4.2.2查看DHCP客户列表

LAN设置→DHCP客户列表

可以在这里查看局域网中通过DHCP方式从ER5000系列获取IP地址的计算机的信息：计算机的MAC地址、计算机的主机名以及获取的IP地址。

说明：

只有启用DHCP服务器功能时，才会维护更新这张表。

图4-19DHCP客户列表

界面项描述如下：

表4-12DHCP客户列表

4.2.3端口设置

LAN设置→端口设置

可以在本页面设置LAN端口的端口模式、VLAN、广播风暴抑制以及流控。

端口模式：一般情况下，两个对接设备都支持端口模式自适应功能，会自动协商出最佳工作模式，但如果遇到兼容性问题导致不能正常协商的，可以根据情况手工设置端口模式，以便更好的与其它设备对接。

VLAN：虚拟局域网（VirtualLocalAreaNetwork）是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。VLAN只支持二层隔离。ER5000系列的三个LAN口支持VLAN。可以根据组网需要，对各端口进行VLAN设置。

广播风暴抑制：如果局域网内有大量的广播报文（可能由病毒导致），会影响网络的正常通信。通

过LAN口的广播风暴抑制功能，可以有效地抑制大量广播报文的传播，避免网络拥塞，保证网络业务的正常运行。

流控：如果其它设备向ER5000系列发送的报文太多，造成网络堵塞，ER5000系列就会丢弃一部分报文，从而影响网络正常通信。流控功能可以解决这个问题，当对端设备发送的报文超出ER5000

系列的最大转发能力，ER5000系列会通知对端设备降低报文发送速率，从而避免网络拥塞。

说明：

要使流控功能生效，连接的对端设备也必须支持并启用流控功能。

缺省情况下，禁用流控功能。

图4-20端口设置

界面项描述如下：

表4-13端口设置

4.2.4设置端口镜像

LAN设置→端口镜像

端口镜像，可将被镜像端口的报文复制到镜像端口，以进行网络检测和故障排除。ER5000系列提供基于

端口的镜像功能，可将被镜像端口的报文自动复制到镜像端口，实时提供各端口传输状况的详细资料，以便网络管理人员进行流量监控、性能分析和故障诊断。例如：将被镜像端口LAN1端口上的报文复制到镜像端口LAN2上，通过镜像端口LAN2上连接的协议分析仪进行分析和记录。

说明：镜像端口能监控所有被镜像端口的数据。

WANWAN口不可以作为镜像端口。

口和LAN口不能同时作为被镜像端口。同一个端口不能既作为镜像端口又作为被镜像端口。

图4-21端口镜像

界面项描述如下：

表4-14端口镜像

5

说明：

ER5100高级设置不支持双WAN接入，所以本章中提到的源地址路由特指ER5200。

设臵、系统服务、路由设臵、查看日志。高级设臵主要包括访问控制设臵、安全设臵、QoS

5.1访问控制

在访问控制中，您可以设置：

IP/MAC绑定，用于控制（允许或禁止）局域网内的计算机访问因特网，防止ARP攻击。

IP地址、目的IP地址、目的端访问控制，通过配置不同的访问控制规则，可根据时间、星期、源

口、协议类型等条件控制（允许或禁止）局域网内的计算机访问因特网。

URL过滤，用于禁止局域网内计算机访问因特网上的某些网站。

5.1.1设置IP/MAC绑定

访问控制→IP/MAC绑定

IP/MAC绑定功能就是指将计算机的MAC地址和IP地址一一对应，使得只有符合IP/MAC绑定关系的计算机才能访问因特网，而且该功能还可以有效防止ARP攻击。

说明：

最多支持512个IP/MAC绑定表项。

IP/MAC地址绑定。缺省情况下，未进行

IP/MAC绑定功能可以通过三种方式实现：

手工逐条配置，单击下图中的<增加>按钮，将设置添加到

在网络稳定并且所有计算机都在线的情况下，单击<ARPIP/MAC绑定表中；列表导入>按钮，导入ER5000系列的ARP列表；

先写好.cfg格式的文件，然后单击<导入>按钮导入。

.cfg文件的格式是“MAC地址IP地址主机名”，举例如下：

01:00:e8:f5:6e:3a55host

00:00:00:00:11:1101host1

图5-1IP/MAC绑定

界面项描述如下：

表5-1IP/MAC绑定

【举例】：某网吧由于局域网内计算机有病毒或其它原因，ARP攻击报文不停攻击ER5000系列，导致局域网内计算机上网不正常。希望实现以下需求：

局域网内计算机通过

计算机DHCP动态获取到IP地址；IP地址与设置的绑定关系表不一致时，该计算机就不能上网，从而避免上网用户随意修改计算机的IP地址；

外来计算机（如上网用户自带的笔记本计算机）接入不能访问因特网；

局域网的ARP攻击不影响局域网内计算机访问因特网。

设置步骤：

(1)启用ER5000系列的DHCP服务器功能（LAN设置→DHCP服务器），设置IP地址池范围，如～54，使局域网内计算机动态获取IP地址。（计算机必须设置为自动获取IP地址，设置方法请参见“12.2.1自动获取IP地址”）。

(2)设置IP/MAC绑定关系表，把局域网内所有计算机的IP地址与MAC地址对应关系设置到列表中。

(3)选中“仅允许IP/MAC绑定的客户端访问外网”复选框。

(4)单击<确定>按钮，配置完成。

5.1.2设置访问控制规则

访问控制→访问控制

说明：

最大支持100条访问控制规则。

缺省情况下，未进行访问控制。

设臵基于时间的访问控制规则时，这个规则的时间和系统时间有关，系统时间的设臵请参见“时间设臵”。

访问控制是从上往下进行规则匹配，当报文匹配到某一规则后，不再往下匹配。所以如果要设臵多条访问控制规则，就需要考虑规则的先后顺序。设臵时，需注意填写规则位臵，缺省情况下新增的规则是添加到第1位的。

您可根据时间段、星期、源IP地址、目的IP地址、目的端口范围或协议类型等来控制局域网内的计算机访问因特网。

图5-2访问控制

界面项描述如下：

表5-2访问控制

【举例1】：某网吧为了减少病毒对网络的影响，需要封锁常被病毒传播利用的一些端口（如135～139）。设置如下：

图5-3访问控制规则举例1

单击<增加>按钮，增加这条规则。此时，ER5000系列将目的端口为135～139的报文直接丢弃，使病毒不能再通过这些端口进行传播。

【举例2】：某企业需要禁止局域网内计算机在上班时间上网（上班时间为9：00～17：00，周一～周五），其他时间允许。

设置如下：

图5-4访问控制规则举例2

单击<增加>按钮，增加这条规则。此时，局域网内所有计算机在周一至周五上班时间都不能上网了。

【举例3】：网络管理员希望仅允许IP地址为～0的计算机使用Web业务（端口为80），其它计算机都不允许上网。

设置如下：

(1)添加一条访问控制规则，允许IP地址为～0的计算机访问因特网：

图5-5访问控制规则举例3（1）

(2)单击<增加>按钮，增加这条规则。

(3)添加一条访问控制规则，禁止其他计算机上网。注意，该条规则的位置应写添加到第“2”号。

图5-6访问控制规则举例3（2）

(4)单击<增加>按钮，增加这条规则。

(5)单击<确定>按钮，配置完成。

此时，只有IP地址为～0的计算机能使用Web业务，其它计算机不能上网。

5.1.3设置URL过滤规则

访问控制→URL过滤

说明：

最大支持100条URL过滤规则。

缺省情况下，允许访问所有站点。

如果您想禁止局域网内的计算机访问某些特定网站，即可通过设置URL过滤实现。

图5-7URL过滤

界面项描述如下：

表5-3URL过滤

说明：

URL过滤只对HTTP站点生效。

输入站点时不能带有“http://”。比如：要禁止访问网站，可以输入“”或“:8080”，但不能输入“”。

您也可以在本地配置URL控制列表来设置URL过滤，具体设置格式请参见以下举例。

【举例】：某公司希望通过导入URL控制列表来设置URL过滤，禁止局域网所有计算机访问新浪网、搜狐网。

操作步骤：

(1)在本地新建一个.cfg格式的文件，如url.cfg。在此文件中输入要禁止的新浪网、搜狐网的网址，格式如下（“0”代表“禁止”，“1”代表“不生效”，以英文状态下的分号隔开0/1与URL）：

0;

1;

(2)在URL过滤页面中单击<导入>按钮，在弹出的对话框中选择本地文件url.cfg，单击<确定>按钮，即可导入过滤文件。在该页面上就可以看到新增的URL过滤规则。

(3)单击<确定>按钮，配置完成。

5.2安全设置

在安全设置中，您可以设置：

ARP防攻击，用于防止ARP攻击和ARP欺骗，保证局域网内计算机正常上网。

ER5000系列和局域网内计算免受网络攻击。防火墙，用于保护

UPnP，用于实现NAT穿透，解决某些传统业务不能穿越NAT的问题。

5.2.1设置ARP防攻击

安全设置→ARP防攻击

说明：

缺省不启用ARP防攻击和防欺骗功能。

ARP防攻击功能主要防止局域网内大量的无效ARP请求数据包导致设备的ARP表项占满，从而使正常计算机无法访问设备或是外网的情况。该功能是与IP/MAC绑定表配合共同实现的，启用该功能后，ER5000系列只对符合IP/MAC绑定规则的ARP数据包进行处理，对其它ARP数据包直接丢弃，从而达到防止恶意ARP攻击的功能。因此在启用ARP防攻击功能前，需要先在IP/MAC绑定表中绑定合法的IP/MAC地址。

说明：

要达到最佳的ARP防攻击的作用，除了IP/MAC绑定，建议为局域网内的计算机设臵静态ARP表项，保证局域网内计算机的ARP表项不会被恶意修改。

ARP防欺骗功能主要防止局域网内的某些计算机冒充网关设备的IP地址发送ARP信息，导致正常计算机无法访问设备或外网的情况。启用该功能后，您还可以选择是否让网关设备定期发送其自己的ARP信息（主动发送免费ARP报文），以更新局域网中计算机设备上与ER5000系列相关的ARP信息。

图5-8ARP防攻击

界面项描述如下：

表5-4ARP防攻击

5.2.2设置防火墙

安全设置→防火墙

启用防火墙功能后，可防止因特网对ER5000系列或局域网内计算机的恶意攻击，保证ER5000系列和局域网计算机的安全运行。特别是一些对外开放的服务器（如虚拟服务器、DMZ主机等），启用ER5000系列防火墙功能可以阻断恶意攻击源，防止DoS攻击。

图5-9防火墙

界面项描述如下：

表5-5防火墙

5.2.3设置UPnP

安全设置→UPnP

说明：

缺省情况下，禁用UPnP功能。

如需与ER5000系列的UPnP功能配合使用，您使用的计算机操作系统需要支持UPnP功能（如WindowsXP系统）。

UPnP（UniversalPlugandPlay，通用即插即用）主要用于实现设备的智能互联互通，无需用户参与和使用主服务器，能自动发现和控制来自各家厂商的各种网络设备。

启用UPnP功能，ER5000系列可以实现NAT穿越：当局域网内的计算机通过ER5000系列与因特网通信时，ER5000系列可以根据需要自动增加、删除NAT映射表，从而解决一些传统业务（比如NetMeeting）不能穿越NAT的问题。

图5-10UPnP

选中“启用UPnP”复选框，启用UPnP功能。

5.3QoS设置

在QoS设置中，您可以设置：

流量统计，用于实时查看局域网用户通过ER5000系列进行通信的情况和ER5000系列各网口的流量情况。

IP流量限制，用于控制局域网内用户通过ER5000系列进行通信时，上行/下行使用的最大带宽。应用通道管理，用于保证控制数据流、游戏数据流的带宽，限制下载数据流的带宽。

NAT表项限制，用于控制局域网内用户通过ER5000系列和因特网所能建立的最大NAT表项数目。它可以防止诸如BT、迅雷等软件对网络带宽的过度占用，从而保证其他用户对网络的的正常使用。说明：

QoS功能（除端口流量统计）缺省禁用。启用QoS会增加设备开销，特别是在LAN内设备较多的情况下，会影响网速。

5.3.1流量统计

QoS设置→流量统计

ER5000系列提供流量统计功能，可以统计端口流量和IP流量，您可以根据这些统计数据，更好地了解网络运行状况，方便管理与控制。

IP流量统计是指统计局域网内每台计算机或网络设备通过WAN口的流量（局域网内的流量不统计），IP流量统计可以根据统计项对流量统计结果进行排序。端口流量统计是统计每个物理端口（WAN1、WAN2、LAN1、LAN2、LAN3）的流量，端口流量统计不可以排序。

说明：

缺省情况下，端口流量统计功能启用，且不能禁用。

缺省情况下，IP流量统计禁用，可以选择启用或禁用。设备重启后，IP流量统计仍为禁用。

图5-11端口流量统计

图5-12IP流量统计

界面项描述如下：

表5-6流量统计

说明：缺省情况下，统计信息按照端口（WAN1，WAN2，LAN1，LAN2，LAN3）排序。

选择IP流量时，缺省按照IP升序显示统计结果。

选择“IP流量”后，您可以通过单击某统计项，根据此项对统计数据进行降序排列，再单击一次以升序排列。

【举例】：单击“总包数（PKt）”项，显示的统计信息以总包数从大到小排列，再次单击，则从小到大排列。

5.3.2设置IP流量限制

QoS设置→IP流量限制

说明：ER5000系列最多支持设臵50条流量限制规则（规则可以针对单个IP地址也可以针对IP地址范围）。

ER5000系列最多可以对512个IP地址进行流量限制。

IP流量限制。

设臵→应用通道管理）。一缺省情况下，禁用正常通道的带宽＝系统总带宽－绿色专用通道与限制通道的带宽（QoS

般的上网流量都通过正常通道转发，IP限速规则仅对该通道中的流量生效。

有些应用，如BT、迅雷在给用户带来方便的同时，占用了大量的网络带宽。一个网络的总带宽是有限的，如果这些应用过度占用网络带宽，就会影响其它用户正常使用网络。

为了保证局域网内所有用户都能正常使用网络资源，可以通过限制局域网内指定计算机的流量（称为IP流量限制），限制这种过度占用网络带宽的应用。

图5-13IP流量限制

界面项描述如下：

表5-7IP流量限制

说明：

流量限制表中可以添加多条限速规则，配臵规则时允许不同规则中的IP地址重叠，但新添加的规则优先级高。

【举例1】：某网吧中有两个区域：普通用户区（对应IP地址段：～50）、贵宾用户区（对应IP地址段：51～00）。为了让贵宾区用户享受更大的带宽，需要限制每个普通用户的的带宽（如最大不超过80Kbyte/s），并且在线路不拥塞时，每个普通用户也只能使用预设的带宽，不允许利用空闲的带宽。

设置如下：

图5-14IP流量限制

注意：

由于IP流量限速只能根据IP地址进行限制，在与此例类似的网络环境中，普通区与贵宾区在同一子网内，如果不加其它限制，普通区用户可以将自己IP地址设臵在贵宾区地址段内从而享受贵宾待遇。为了避免此问题发生，可以通过IP/MAC地址绑定功能限制普通区用户不能修改自己的IP。具体设臵请参见“5.1.1设臵IP/MAC绑定”。

【举例

2】：某网吧由于下载文件的用户比较多，有时网速比较慢，而且影响到了一些玩网络游戏的用户，出现游戏掉线的状况。需要保证下载不会占用过多的带宽，影响上网或游戏的使用。

设置如下：

图5-15IP流量限制

5.3.3应用通道管理

QoS设置→应用通道管理

ER5000系列提供应用通道管理功能，通过设置“绿色专用通道”和“限制通道”，对不同的数据业务流分配不同的带宽，以此来达到“保证控制数据流、游戏数据流的带宽，限制下载数据流带宽”的目的。

一般情况下，可以把游戏报文、交互报文等对时延要求较高的应用流量通过绿色专用通道转发；把BT等占用大量带宽资源的P2P流量通过限制通道转发；其余流量自动通过正常通道转发。

注意：

正常通道的带宽＝系统总带宽－绿色专用通道与限制通道的带宽。

设臵绿色专用通道和限制通道的流量上限时，要保证两者之和小于总带宽（从运营商申请到的实际带宽），总带宽减去这两者之和后的带宽则提供给正常通道，一般的上网流量都通过该通道转发。

说明：

缺省情况下，禁用“应用通道管理”功能。

IP限速规则（QoS设臵→IP流量限制）仅对正常通道中的流量生效。

图5-16应用通道管理（ER5100）

说明：

ER5200的该页面没有“线路总带宽”设臵项，ER5200的带宽设臵项是在“WAN设臵→连接到因特网”页面。

界面项描述如下：

表5-8应用通道管理

说明：

启用绿色专用通道功能识别流量时，如果数据包长度选择和端口选择同时启用，则符合其中一项即识别成功，并且数据包长度选择优先起作用。

绿色专用通道和限制通道规则表中，最多可支持20条规则，每条规则最多设臵10个端口，以

英文逗号“,”号隔开。

【举例】：某网吧的实际带宽为10Mbps，有100人在上网，其中大部分用户都在玩魔兽争霸3，还有一些用户使用BT在下载影片。需要保证即使线路拥塞时，游戏数据包仍能及时转发，并限制BT下载过度占用带宽。

设置如下：

图5-17应用通道管理

说明：

如果需要识别更多的端口，请您重复以上操作单击<增加>按钮添加规则。

不在绿色专用通道和限制通道设臵的报文将从正常通道发送。

5.3.4设置NAT表项限制

QoS设置→NAT表项限制

说明：

ER5000

ER5000系列最多支持设臵50条NAT限制规则。系列最多可以对512个IP地址进行NAT限制。

NAT表项限制功能。缺省不启用

ER5000系列作为局域网内的统一出口，其支持的NAT表项是有限的，如果局域网内部一部分计算机占用了大部分NAT资源（如使用BT），其它用户上网就会受到影响。

一般情况下，计算机正常使用时（如浏览网页等）所需要的NAT表项不会太多，为了避免部分计算机过多占用NAT资源，可以限制每台计算机通过ER5000系列建立的最大NAT表项数。

图5-18NAT表项限制

界面项描述如下：

表5-9NAT表项限制

说明：限制规则表中可以加入多条NAT数限制规则。配臵规则时允许某几条中的IP地址重叠，但以后加入的规则优先级为高。也就是对于相同的IP地址，后加入的NAT数限制设臵会覆盖先前的设臵。允许在限制规则表中对先前配臵的规则进行删除、修改等操作。但修改不能改变规则的优先级，生效规则仍以第1条的约定为准。

5.4系统服务

在系统服务中，您可以设置：

虚拟服务器，设置内部服务器提供给因特网用户访问。

DMZ（Demilitarizedzone，非管制区），DMZ的主机，实际就是缺省的虚拟服务器，当需要设置的虚拟服务器的开放端口不确定时，可以把它设置成DMZ主机。

端口触发，可以实现ER5000系列根据局域网访问因特网的端口来自动开放向内的服务端口。

ALG处理的协议，可以启ALG（ApplicationLayerGateway，应用层网关）应用，对某些需要

用或禁用ER5000系列的ALG功能。

动态域名，用于把ER5000系列的WAN口的IP与申请的动态域名建立对应关系，当WAN口IP地址变化时，因特网用户也能方便地通过域名来访问虚拟服务器。

5.4.1设置虚拟服务器（端口映射）

系统服务→虚拟服务器

为保证局域网的安全，ER5000系列会阻断从因特网主动发起的连接请求，因此，如果要使因特网用户能够访问局域网内的服务器（如Web服务器、Email服务器、FTP服务器等），需要设置虚拟服务器。虚拟服务器也可称为端口映射，它可以将WAN口IP地址、外部端口号和局域网内服务器IP地址、内部端口号建立映射关系，使所有对该WAN口某服务端口的访问重定向到指定的局域网内服务器的相应内部端口。

说明：

最多支持20条虚拟服务器设臵项。

图5-19虚拟服务器

界面项描述如下：

表5-10虚拟服务器

【举例】：某公司的内部局域网，通过ER5000系列连接因特网，局域网内有一台Web服务器（IP地址为00，服务端口为80），客户端（因特网上用户或本公司局域网用户）需要通过8080端口访问这台服务器的Web服务。

设置如下：

图5-20虚拟服务器设置举例

设置完成后，只需在客户端浏览器中输入http://xxx.xxx.xxx.xxx:8080，就可以访问Web服务器（xxx.xxx.xxx.xxx为ER5000系列当前的WAN口地址）了。

注意：

对于FTP、TFTP等需要使用ALG处理的虚拟服务器应用，需要启用对应的ALG项。（设臵路径：系统服务→ALG应用，具体配臵请参考“5.4.4设臵ALG应用”）

客户端访问虚拟服务器的业务，如果需要做ALG处理，内部端口必须设臵为标准端口号。例如：WAN侧客户端通过PASV模式（被动FTP）访问局域网内的FTP服务器，内部端口必须设臵为21。

5.4.2设置DMZ主机

DMZ主机实际上就是一个缺省的虚拟服务器，优先级低于虚拟服务器。

如果ER5000系列收到一个来自外部网络的连接请求时，它将首先根据外部请求的服务端口号，查找虚拟服务列表，检查是否有匹配的映射表项：

如果有匹配的表项，就把请求消息发送到该表项对应的虚拟服务器上去；

如果没有查到匹配的表项，检查是否有匹配的DMZ主机，如果DMZ主机存在，就把请求消息全都转发到DMZ主机上去，否则丢弃。

说明：启用

访问DMZ功能之后，DMZ主机就等于暴露在了因特网中，安全性降低。DMZ

主机的端口号应与DMZ实际开启的服务端口号一样。

图5-21DMZ

界面项描述如下：

表5-11DMZ

5.4.3设置端口触发

系统服务→端口触发

局域网客户端访问因特网上服务器，对于某些应用，客户端向服务器主动发起连接的同时，也需要服务器向客户端主动发起连接请求，而缺省情况下ER5000系列收到WAN侧主动连接的请求都会拒绝，这样就会中断通信。通过定义端口触发规则，当客户端访问服务器触发此规则后，ER5000系列自动开放服务器需要向客户端请求的端口，这样可以保证通信正常。

客户端和ER5000系列没有数据交互一段时间后，ER5000系列自动关闭之前对外开放的端口，既保证应用的正常使用，又能最大限度地保证局域网的安全。

说明：

端口触发最多支持20条设臵项。

各设臵项中，触发端口、外来端口允许有重叠。

当局域网内计算机通过触发端口与外部网络建立连接，其相应的外来端口也将被打开，这时外部网络的计算机可以通过这些端口来访问局域网。

每个定义的端口触发只能同时被一台计算机所使用。如果有多台机器同时打开同一个“触发端口”，那么“外来端口”的连接只会被重定向到最后一次打开“触发端口”的那台计算机。

图5-22端口触发

界面项描述如下：

表5-12端口触发

5.4.4设置ALG应用

系统服务→ALG应用

有些应用协议需要创建动态连接，创建动态连接所需的IP地址和端口是在协议内容中动态描述的，而ER

5000系列会拒绝WAN侧主动发起的连接，通过配置静态过滤规则无法允许这些动态连接的建立，所以需要启用ALG来解决，把协议中携带的地址和端口号改成NAT网关的IP地址和空闲的端口号，并把对端传输过来的数据重定向到局域网内的设备。

针对需要做ALG的一些应用协议，ER5000系列进行了ALG处理，在使用时只需要设置启用即可。缺省情况下，以下协议的ALG已经启用，建议保留缺省设置，不做修改。

图5-23应用层网关

5.4.5设置动态域名

系统服务→动态域名

由于通过PPPoE或动态获取IP地址上网时，获取到的IP地址不固定，这给想访问本局域网服务器的因特网用户带来很大的不便。DDNS（DynamicDomainNameService，动态域名服务）可以解决这个问题。

ER5000系列在DDNS服务器上会建立一个IP与域名（需要预先注册）的关系表，当WAN口IP地址变化时，ER5000系列会自动向指定的DDNS服务器发起更新请求，DDNS服务器上更新域名与IP地址的对应关系，无论ER5000系列的WAN口IP地址如何改变，因特网上的用户仍可以通过域名对其进行访问。

说明：

DDNS功能是作为DDNS服务的客户端工具，需要与DDNS服务器协同工作。使用该功能之前，请先到或（花生壳）去申请注册一个域名。

图5-24动态域名

界面项描述如下：

表5-13动态域名

【举例】：如果您已经在上注册了域名ER.3322.org，建立该域名与ER5000系列的WAN口IP地址之间动态对应关系的方法如下图。

图5-25DDNS举例

5.5路由设置

在路由设置中，您可以设置：

静态路由，根据需要手工指定路由。在简单的网络中，静态路由是易于设置和维护的。源地址路由，用于根据源IP地址来选择网络路径。

说明：

当设臵的源地址路由和静态路由有冲突时，源地址路由优先级低于静态路由。

5.5.1设置静态路由

路由设置→静态路由

静态路由通过手工设定目的地址、子网掩码、下一跳地址和出接口等来使到指定目的地址的报文走指定的路径。静态路由不会根据网络结构的变化而变化，当到目的网络路径变化或网络故障时，只能通过手工修改对应的静态路由表重新指定报文到目的网络的路径。

静态路由添加完毕后，单击<查看路由信息表>按钮查看所添加的静态路由是否生效。如果添加了错误的路由，则只在下图中的静态路由表中显示，却并不生效，路由信息表中没有该路由。

图5-26静态路由设置界面

界面项描述如下：

表5-14静态路由设置项说明

一般有两种情况需要设置ER5000系列的静态路由，请见以下举例。

【举例1】：如下图所示，在LANB内的PC2通过路由器和ER5000系列相连，而在LANA内的PC1是直接连接到ER5000系列的LAN口的。如果希望LANA中计算机与LANB中计算机相互访问或LANB中计算机通过ER5000系列访问因特网，需要在ER5000系列上设置静态路由。

图5-27静态路由设置举例组网图

设置步骤：

(1)根据上图配置完成各设备的IP地址。

(2)在路由器Router上设置其缺省网关为ER5000系列的LAN口地址。

(3)在ER5000系列上设置一条到LANB的静态路由，如下图：

图5-28静态路由设置举例

(4)单击<增加>按钮，增加到静态路由表中。

(5)单击<确定>按钮，配置完成。

【举例2】：某学校使用ER5200，既要可以上因特网（通过PPPoE拨号上网），又要可以访问教育网服务器（静态IP地址方式）。（此例需要双WAN口，仅针对ER5200）

图5-29静态路由设置举例组网图（仅ER5200支持）

设置分析：由于局域网访问因特网的目的地址无规律，而到教育网上的服务器的地址比较固定（固定的IP地址或IP地址段），设置访问教育网的静态路由可以使局域网中用户访问教育网服务器使用教育网线路，访问因特网则使用缺省的电信线路。

设置步骤：

(1)设置连接对应电信线路（WAN1）的接口PPPoE拨号参数。

(2)设置连接教育网线路（WAN2）的接口的静态IP地址参数息。

(3)设置手动负载均衡模式，缺省链路是WAN1。

(4)设置静态路由，使目的地址为教育网服务器的IP报文通过WAN2到教育网。单击<增加>按钮，增加到静态路由表中。

(5)单击<确定>按钮，保存配置。

图5-30静态路由设置举例

(6)单击<增加>按钮，增加到静态路由表中。

(7)单击<确定>按钮，配置完成。

5.5.2设置源地址路由（仅ER5200支持）

路由设置→源地址路由

说明：

源地址路由仅在负载均衡模式下生效。

ER5200提供独特的源地址路由功能，即指定LAN内计算机的出口。该功能可以起负载分担的作用。

图5-31源地址路由

界面项描述如下：

表5-15源地址路由

【举例】：某网吧有两个因特网线路，局域网内有普通区（IP地址范围是～00）和贵宾区（IP地址范围是01～00），管理员分配给普通区用户带宽比较小

的线路（连接到ER5200的WAN1口），分配给贵宾区用户带宽比较大的线路（连接到ER5200的WAN2口）。

设置步骤：

(1)设置普通用户的源地址路由，如下图。

图5-32普通用户的源地址路由

(2)单击<增加>按钮，增加到源地址路由表中。

(3)设置贵宾用户的源地址路由，如下图。

图5-33贵宾用户的源地址路由

(4)单击<增加>按钮，增加到源地址路由表中。

(5)单击<确定>按钮，配置完成。

6系统维护

在系统维护中，您可以进行如下操作：

查看状态信息，了解ER5000系列的软件、硬件版本等信息，以及WAN口和LAN口的当前信

息。

查看日志信息，帮助您快速定位设备故障或了解网络情况。

查看维护信息，通过导出故障定位信息帮助您快速定位设备故障，通过进行设备自检，帮助您了解ER5000系列的配置信息和运行情况。

技术支持，您可以访问H3C网站，获取更多的技术支持信息和产品信息。

6.1查看状态

系统维护→状态

在状态页面，您可以查看：

基本信息，如软件版本、硬件版本、设备运行时间、系统时间、CPU

WAN

LAN和内存使用率等。状态，即WAN口当前状态信息：如连接方式、链路状态、地址信息等。状态，即LAN口的当前状态信息：如LAN口地址、DHCP服务器状态等。

6.1.1查看基本信息

图6-1基本信息

界面项描述如下：

表6-1基本信息

6.1.2查看WAN状态

您可以通过WAN状态页面了解WAN口的运行状态，可有效判断ER5000系列的运行情况，并快速定位网络故障。ER3100的WAN状态页面只显示一个WAN口的状态信息。

图6-2WAN状态界面项描述如下：表6-2WAN状态

6.1.3查看LAN状态

您可以通过这些信息了解LAN口的运行状态。

图6-3LAN状态

界面项描述如下：

表6-3LAN状态

6.2查看日志

系统维护→日志

在日志页面，可以查看系统日志信息和设置日志服务器参数。

说明：

在局域网内建立日志服务器，可以实时接收ER5000系列的日志信息。

当日志存满后，则新的日志将覆盖最早的日志信息。。

日志信息可以帮助您快速定位设备故障或了解网络情况。ER5000系列提供的日志功能可记录ER5000系列在运行过程中的设置状态变化、网络攻击等信息。

ER5000系列重启后，所有记录的日志都会丢失。ER5000系列支持把日志实时传送给日志服务器，启用该功能，即使ER5000系列重启，也能查看到其重启前的运行情况。

图6-4日志信息

界面项描述如下：

表6-4基本信息

6.3查看维护信息

系统维护→维护

在维护页面，您可以：

导出定位信息。当设备运行异常时，单击<导出>按钮，设备能自动把当前的运行状态、故障定位所需的各种信息压缩成一个定位信息文件下载下来。技术人员可以根据该文件快速、准确地定位问题，从而更好得为您解决设备使用的问题。

进行设备自检。您在使用过程中，可以随时单击<开始>按钮，检测设备的当前配置是否合理及运

行是否正常，设备将弹出页面（如图6-6所示）分类显示检测结果。

图6-5维护信息

单击<开始>按钮后，设备弹出页面显示自检报告，如下图。报告中包含基本的设备信息，并提示某些设置可能造成的影响或隐患。

图6-6自检信息界面描述如下。

表6-5设备自检信息

6.4获取技术支持信息

系统维护→技术支持

您可以登录H3C网站，下载最新软件版本和用户手册。

如果您对产品的使用有任何疑问、意见或建议，欢迎登录该网站咨询或反馈。

图6-7技术支持

单击<转到H3C网站>按钮，获得更多产品信息和技术支持。

7

NTP设备管理在设备管理中，您可以进行如下操作：时间设置，用于设置当地所在时区，获取真实的网络时间。服务器设置，用于设置指定的NTP服务器的地址，为路由器、交换机和工作站之间提供时间同步。

备份系统设置信息，用于备份系统设置信息，防止信息意外丢失。

从文件中恢复设置信息，用于将当前设置恢复到以前备份过的设置。

恢复到出厂设置，用于将

软件升级，用于通过ER5000系列恢复到出厂的初始状态。Web页面升级ER5000系列的软件。

WAN口远程登录ER5000系列的设置页面对ER5000系列进远程管理，用于允许/禁止用户通过

行管理。

重启动，用于通过Web页面重新启动ER5000系列。

Web设置页面。修改密码，用于防止非授权人员随意登录

7.1时间设置

设备管理→时间设置

设置系统时间有两种方式，通过网络获取时间和手工设置系统时间。缺省情况下，ER5000系列通过缺省的NTP服务器获取时间。

NTP（NetworkTimeProtocol，网络时间协议）用来为路由器、交换机和工作站之间提供时间同步。时间同步的作用是可以将多台网络设备上的相关事件记录放在一起看，有助于分析较复杂的故障和安全事件等。

NTP服务器获取时间的方式有以下两种：

当ER5000系列连接到因特网后，会自动从设备缺省的NTP服务器获取时间。（缺省情况下采用这种方式）

手工输入指定的NTP服务器的地址，ER5000系列从指定的NTP服务器上获取时间。

如果ER5000系列通过NTP服务器无法获得时间，则在状态页面的因特网时间显示“未获取”。此时需要手工设置系统时间。

说明：

设臵完系统时