艾泰路由器使用说明

经典word整理文档，仅参考，转Word此处可删除页眉页脚。本资料属于网络整理，如有侵权，请联系删除，谢谢！上网（推荐）荐）型号：HiPE版本：iv810高级配置VPN配置[快速向导]密码PPPoEDDNS配置[高级配置]IP/MAC绑定DNS重定向--线路配置上网双线路或多线路配置上网时，通过指定WAN1口和WAN2口的上网线路，自动生成电信/网通智能策略路由，实现电信流量走电信、网通流量走网通。设备出厂时的管理员（Default）密码为空，建议修改管理员密码并妥善保管，以提高设备的安全性。修改管理员密码后，以Default身份登录设备，必须使用新的密码。注意：部分型号的设备没有时间保存功能，使用手工设置时间，在系统重启后时间会恢复到出厂值。建议您选择网络时间同步方式设置时间。为了保证设备各种涉及到时间的功能（如DDNS服务、时间段配置等）正常工作，需要准确地设定设备的时钟，使其与当设备支持下列上网方式，请用户根据实际情况进行选择。PPPoE拨号上网：ADSL虚拟拨号（也可以是以太网介质的PPPoE拨号）。固定IP接入：以太网宽带接入方式，ISP提供静态的IP地址。动态IP接入：以太网宽带或有线通接入方式，ISP通过DHCP服务为用户分配IP地址。--PPPoE局域网IP地址、子网掩码：该地址将作为局域网中计算机用作上网的网关地址，出厂值为/。如果改变了局域网IP地址IP地址重新登录设备WEB自动拨号：当开启设备或者上一次拨号断线后自动拨号连接；拨号模式：选择PPPoE拨号的模式，默认为普通模式，在使用正确的用户名和密码的前提下，如果拨号不成功，可以尝试局域网IP地址、子网掩码：该地址将作为局域网中计算机用作上网的网关地址，出厂值为/。如果改变了局域网IP地址，在完成本向导之后，必须使用新的IP地址重新登录设备，才能进行WEB界面管理，并且，局域网中计算机的默认网关必须设置成该IP地址才能正常上网。局域网IP地址、子网掩码：该地址将作为局域网中计算机用作上网的网关地址，出厂值为/。如果改变了局域网IP地址，在完成本向导之后，必须使用新的IP地址重新登录设备，才能进行WEB界面管理，并且，局域网中计算机的默认网关必须设置成该IP地址才能正常上网。广域网接口MAC地址：一般无需修改。但是某些动态接入的情况下（比如有线通），CableModem会记录原先使用该线路的网络设备的MACIPMAC地址修改为原有网络设备的MAC地址相同；在线路连接信息列表中，单击某线路名称，即可修改该线路配置。若是PPPoE拨号线路，单击其线路名称后，列表下方会增加拨号和挂断按钮，供用户操作。若是动态IP接入线路，单击其线路名称后，列表下方会增加更新和释放按钮，供用户操作。所有线路缺省都是主线路，若选中部分线路负载均衡，其余备份，则可将若干线路设置为备份线路，但默认线路只能是主线路。部分线路负载均衡，其余备份：只有当所有主线路都不能工作时，才能切换到备份线路工作；备份线路工作时，只要有一条主线路恢复正常，立即切换回使用主线路。所有线路负载均衡：所有线路都为主线路，同时工作。若某线路故障，则立即屏蔽，原先经过该线路的流量将分配到其他线路上。一旦故障线路恢复正常，就立即启用，流量自动重新分配。一般可按线路带宽比设置权重：分配规则为IPIP地址的数量比为权重比；分配规则为NAT会话时，分配到各线路的NAT会话的数量比为权重比。启用DHCP服务器功能后，设备就能够为局域网计算机动态分配IP地址、子网掩码、网关、以及DNS服务器、WINS启用DNS代理功能后，局域网的计算机只需将DNS服务器设置为设备的LAN口地址，就可以正常使用DNS服务。至少必须正确配置主DNS服务器，DNS代理才能正常工作。若DHCP服务器功能和DNS代理功能同时启用，设备给局域网中计算机分配的主DNS服务器的IP地址就是设备的LAN口地址。使用DHCP服务为局域网中的计算机自动配置TCP/IP属性是非常方便的，但是会造成一台计算机不同时间被分配到不同IPIPDHCPMAC地址与某个IP地址绑定，从而为局域网中指定的MAC地址固定分配预设的IP地址。启用DHCP自动绑定后，路由器将对通过DHCP获得IP地址的用户进行绑定（绑定用户的IP地址与MAC地址），有效防止内网的ARP欺骗。勾选启用DHCP自动绑定复选框，单击保存按钮后，路由器会对内网进行扫描，并将所有动态上网的用户进行绑定；之后，每当路由器成功分配一个IP地址，就将该用户进行绑定。启用DHCP自动删除后，租期到期后，路由器会将自动绑定的用户删除；如不启用，则不进行删除操作。在本页面，可分别配置每个物理接口的IP地址、MAC地址、ARP代理及工作模式。同时，每个物理接口均可配置两个不同网段的IP地址，支持连接两个不同的网段，而且可以相互通讯。一般情况下，不需要配置MAC地址。但是某些动态IP接入的时候（比如有线通），CableModem会记录下原先使用该线路的网络设备（如网卡）的MAC地址，这样会造成新的网络设备无法正常获得IP地址的现象，此时需要将其MAC地址设置成和原有网络设备的MAC地址相同。如果改变了LAN口的IP地址，在保存之后，必须使用新的IP地址才能登录设备进行WEB界面管理，并且，局域网中计算机的默认网关必须设置成该IP地址才能正常上网。只有在系统管理—>时钟管理中配置了网络时钟同步，iplink提供的DDNS功能才能正常工作。NAT静态映射：通过定义一个服务端口，所有对设备该端口的服务请求将被重新定位给指定的局域网中的服务器，从而广启用NAT：在配置完上网连接后，系统会自动打开NAT功能。除非特别需要，请不要关闭此功能，否则将失去共享上网虚拟服务器（DMZ）：即DMZ主机，可完全暴露给Internet，实现双向通讯。系统允许配置一个全局DMZ主机，多个局部DMZ主机，后者在EasyIP类型的NAT规则中设置。启用了NAT之后，所有的活动都将通过NAT规则来进行，NAT规则决定了出口IP地址和端口。NAT规则的类型有EasyIPIP地址映射到同一个外部IP权重One2One：即静态地址转换，内部IP地址与外部IP地址进行一对一的映射。Passthrough：对指定的IP地址不做NAT，使用其实际地址连接到Internet。Default、DefaultLAN、DefaultDMZ、IPETH、Detect及DetectDMZ为系统保留路由，一般请不要修改，以免上网异常。绑定：用于指定数据包的转发接口。固定IP或动态IP线路的接口称作物理接口；PPPoE等拨号线路的接口称作拨号接配置静态路由时，必须明确下一跳地址，可通过网关地址或绑定设置。若转发接口是物理接口，则必须设置网关地址，但可以不设置绑定；若转发接口是拨号接口，则必须将绑定设置为对应的线路名称，但无需设置网关地址。非法用户IP及MAC地址与某个IP/MAC允许IP和MAC地允许未被IP/MAC绑定的主机通过IP*来实现对多个域名的过滤，例如在域名列表中添加域名www.utt.*，内网用户访问以www.utt.开头的所有网页时，直接通过所配置的IP地址访问。虚拟局域网：LAN口的交换端口可以设置不同的组号，相同组号的端口构成一个虚拟局域网（VLAN），各个VLAN之端口镜像：LAN口的端口1提供镜像功能，LAN口的其他端口的流量将镜像到端口1若设置了VLAN，则只有与端口1同属一个VLAN的端口的流量才能镜像到端口1。UPnP（UniversalPlugandPlay，通用即插即用）主要用于实现设备的智能互联互通，旨在实现一种零配置和隐性的在设备上启用UPnP功能后，可以实现穿透NAT：当局域网的主机通过设备与Internet上的终端进行通讯时，可以根据需要自动增加、删除NAT映射，从而保证支持UPnP的软件可以在NAT后正常使用。允许telnet远程登录：允许或者禁止该管理员通过telnet管理设备，选中为允许。只有系统管理组的管理员才能有telnet权限，最多只允许设置3个有telnet权限的管理员。每次只能选择手工设置时间或网络时间同步时区选择：只有时区选择正确，网络时间同步功能才能正常工作。升级前请登录网站下载与当前硬件版本一致的软件。升级过程不能关闭设备电源，否则将会导致不软件升级成功后，需重启设备，新软件才能正常工作。若选中升级时重启设备，升级成功后设备将自动重启；否则，请在升级成功后选择合适的时间重启设备。保存配置到本地：将系统当前运行的配置备份到管理计算机的硬盘中。导入配置：在请选择配置文件文本框中输入或通过浏览选择配置文件，单击加载，将配置加载到设备。若选中导入前恢复到出厂值，则加载配置前会先恢复出厂配置。恢复设备出厂配置：这是个很危险的操作，它将使所有设置恢复到出厂状态。建议执行本操作之前，备份当前运行配置；执行本操作之后，重启设备。部分出厂配置：管理员用户名为Default，密码为空；LAN口IP地址/子网掩码为/。为保障设备有足够的性能提供服务，请尽可能减少Web并发连接的数量，同时不要选择自动刷新。web空闲超时时间：通过WEB管理设备时，若超过该时间无任何操作，Web服务器将自动断开与浏览器的连接。web最大并发连接数：通过WEB配置设备时，将会有多条TCP连接连到设备。若访问WEB时出现页面显示不完整的情况，可适当增大该值。但该值超过100时，可能会降低设备抗TCPSYNFLOOD病毒攻击的能力。登录页面：下次登录设备时，将直接登录到此处设置的页面。首页--缺省值；系统信息--系统状态—>系统信息页面。更换皮肤：用于更换WEB界面的色彩风格。Web服务器将每隔单位时间自动刷新系统状态—>系统信息、系统状态—>NAT启用SNMP服务之后，就可以在远程使用SNMP软件管理和监视设备。为安全起见，目前只允许SNMP服务器读设备的相关信息，不允许修改。SNMP社区名：必须和SNMP网络管理软件包配置匹配；必须在WEB管理界面—>系统管理—>远程管理中允许了从Internet通过SNMP管理设备，才能从Internet通过SNMP服务器远程管理设备。syslog消息发送间隔：设备将每隔指定时间间隔向syslog服务器发送心跳‖消息，表示自己是存活的，目前仅本公司的XportHiPERManager管理软件能识别。缺省值为0，表示不发送心跳‖消息。HTTP：选中后，方可从Internet通过WEB管理设备，且必须用IP地址：端口‖的方式（如:8081）SNMP：允许或禁止从Internet通过SNMP管理设备。TELNET：允许或禁止从Internet通过TELNET管理设备。主机运行一段时间后，广播包/发送包‖一般应小于10%，若远大于10%，该主机可能感染病毒。但某些软件使用时会发送大量广播包，该比例将远大于10%，应忽略这种异常情况。发送广播包：某用户向设备发送的广播包（包括多播包）的数量。接收数据包：某用户从设备接收的单播包的数量。选择计数：租期‖内，使用该NAT规则的NAT会话的累计数量。NAT统计信息列表‖用来查看局域网各主机NAT会话的统计信息。超限次数：统计时长NATNAT会话数在高级配置—>NAT和DMZ配当前连接数/NAT会话数在设备当前NAT接口/方向：物理接口名和数据流方向。In（接收）指数据包从该接口进入设备，Out（发送）指数据包从该接口离开平均速率：上一次清除至查询时刻这段时间内，某接口接收或发送数据包的平均速率，提供每秒比特数（bps）和每秒数据包数（pps）两种统计方式。WAN口接收的数据包与LAN口发送的数据包的数量及字节数均相近；WAN口发送的数据包与LAN口接收的数据包的数量及字节数均相近；各接口的广播包/数据包小于5%；--“路由和端口信息：local--内部软路由接口，转发到设备本身；reject--内部接口，转发到该接口的所有数据包都被设备拒绝，并回应一个ICMP不可达；loopback--回环接口，代表/8网段，不被转发；mcast–内部接口，多播包将转发到该接口。刷新功能：若修改了下拉框的值，需单击刷新‖按钮，才能保存新配置。下拉框设置为手动刷新‖时，只能通过单击刷新‖来手动刷新本页面；设置为其他值时，本页面和系统状态—>NAT统计页面将每隔指定的时间间隔自动刷新。资源状态：CPU占用--当前CPU使用率；内存使用--当前内存使用率；NAT会话--当前建立的NAT会话数占系统能处理的最大NAT会话数的百分比。版本信息：序列号--产品内部序列号；功能号--产品具有的功能模块。端口状态：若某端口未激活，其状态‖显示为DOWN；若已经激活，则依次显示该速率状态、工作状态以及模式状态；外出/进入速率(kbit/s)‖是针对接口统计的。NAT地址/域名：填写局域网用户上网使用的IP地址，多地址线路接入时，可以查询正在使用该IP地址上网的局域网用户清除：进入本页面执行查询操作后，若单击清除按钮，则可清除表中所有动态生成的NAT会话记录。此操作可能导致当前单击导出WINDOWS注册表文件，即可下载到本地主机。Win2000缺省是不允许L2TP传输禁用IPSec加密，运行拨入(服务器)：设备作为PPTP/L2TP隧道连接的终结者，接受来自远端客户端的拨入。此时，设置名‖同时用作分配IP地址：PPTP/L2TP服务器要从VPN地址池取出一个IP地址分配给拨入用户，作为连接PPTP/L2TP隧道两端的路由地址。地址池可任意定义，但不能和方案中已有IP地址段重复。当PPTP/L2TP隧道两端设备建立连接时，会各用一个虚接口来连接对方。通常，服务器会从地址池分配一个IP地址作为对端虚接口IP地址‖、本地虚接口IP地址‖及虚接口子网掩码‖。保持连接/生命周期：若选中保持连接‖，隧道连接成功后，系统将每隔1000ms向对端设备发送一个探测包，以探测连接是否正常，若在生命周期‖内一直未收到对方回应，则断开此连接。一般无需设置，系统会发送PPTP/L2TP隧道默认的HELLO包探测连接是否正常。空闲时间：无访问流量后自动断线前等待的时长，0代表不自动断线。启用NAT：启用后，PPTP/L2TP客户端会对此隧道连接做NAT，即将本地局域网用户的IP地址转换为服务器分配的IP地址，本地用户就使用分配的IP地址连接到对端局域网，对端设备无需设置到本地的路由。但是，此情况下只能实现本地网络到隧道对端网络的单向访问（适合设备使用移动用户帐号连接到PPTP/L2TP服务器）。自动拨号：PPTP/L2TP客户端配置完成、或隧道连接中断、或设备启动后，客户端就拨号；手动拨号：在PPTP/L2TP信息列表‖中，手工进行连接和挂断隧道；按需拨号：PPTP/L2TP客户端配置完成后，一旦监听到有数据需传输就拨号。拨号时段：允许PPTP/L2TP客户端拨号的时间段，只有在此时间段内才允许拨号，不设置代表不控制。上线时段：允许PPTP/L2TP客户端保持隧道连接的时间段，超出此时间段后就自动断开连接，不设置代表不控制。远端网关地址（名）：IPSec隧道远端网关的地址（或域名）。设置为域名时，需要在设备上设置DNS服务器，此时设备会定期解析该域名，若IP地址变化，设备将重新协商IPSec隧道。IP置为该设备的IP地址、55。本地绑定：选择本地接口，接口可以是以太网口，或PPPoE拨号连接，还可以是L2TP拨号连接。将IPSec配置绑定到指定接口上，那么所有经过该接口的数据包将被IPSec检查，以确定是否对该数据包进行加密和解密操作。加密认证算法1：可供第二阶段协商使用的首选加密和认证算法。端口：需要进行IPSec保护的数据包的端口号，0表示任意端口。注意，协议‖为任意时，端口配置无效。如果需指定端口‖，必须先选择协议‖（TCP或UDP）。野蛮模式加密协商：指野蛮模式下，第二个信息包是否加密。设备作为发起方时，需设置该参数。设备作为响应方时，支持加密和不加密两种方式。维持：启用NAT穿透功能后，设备将每隔单位时间（维持）向NAT设备发送一个数据包以维持NAT映射，这样就不需要更改NAT映射，直到第一阶段和第二阶段的SA过期。注意：上行带宽、下行带宽以及带机量都需要根据实际情况准确填写，否则将导致路由器的弹性带宽功能无法正常工作。IP限速规则810M(10240Kbit/s)速率为10240/8=1280K字节。通过设置限速规则，用户可以分别对不同的地址或端口设置不同的限速策略。配置限速规则之前，请确认限速全局配置页面的参数已正确设置。4.当网络堵塞时，优先级低的限速规则主机速率会低于保证带宽。2.引用新建的地址组。单击地址组的文本框，页面会增加地址组的设置参数，输入起始地址和结束地址，并单击=>‖按钮将1.引用在防火墙—>服务组中已配置的服务类型为普通服务‖的服务组。在下拉框中选择所需要的服务组，单击<=‖按钮。2.引用新建的服务组。单击服务组的文本框，页面会增加服务组的设置参数，分别对协议、源起始端口、源结束端口、目的起始端口和目的结束端口等参数进行配置，并单击=>‖按钮将服务组内容添加到服务组列表，单击完成。独占：符合此限速规则的IP地址独自占用所设置的带宽。例如当保证上行带宽设置为512K，有10个IP地址符合规则时，每个IP地址的上行带宽至少为512K。共享：符合此限速规则的IP地址共同分享所设置的带宽。例如当保证上行带宽设置为512K，有10个IP地址符合规则时，所有IP地址的总上行带宽至少为512K抢占优先级：设置限速规则的优先级，有高、中、低三个选项。优先级越高，抢占空闲带宽就的越多；当网络繁忙时，最先保证符合优先级为高的规则的保证带宽。IP地址：内网用户的IP地址；绑定状态：显示内网用户是否绑定，一般指IP/MAC绑定。对于通过PPPoE方式接入的内网用户，则为PPPoE绑定；下载速率/上传速率：显示该用户的上传和下载瞬时速率；NAT会话数：显示内网用户使用的NAT会话数；用户类型：显示内网用户接入网络的方式。是否IP/MAC绑定：打勾表示对内网用户的IP地址和MAC地址进行绑定；取消则表示不绑定。只有选中IP/MAC绑定‖时，参数允许该用户上网‖才生效。是否允许上网：用于设置IP/MAC绑定用户的上网状态。若选中，则表示允许该IP/MAC绑定用户上网，反之，则禁止上网。是否固定IP分配：打勾表示对内网PPPoE用户的IP地址和MAC地址进行绑定；取消则表示不绑定。PPPoE用户绑定后，该用户通过PPPoE接入所获取的IP地址为绑定的IP地址。若内网用户配置了连接限制，页面显示连接限制的相关参数：总会话数、TCP会话数、UDP会话数和ICMP会话数。这些通告方式：选择手动推送，设备会直接发送通告信息到设置的地址组；选择每天自动推送，设备会每天定时发送通告信息到所设置的地址组。指定URL通知：选择指定URL通知，当地址组中的内网用户使用浏览器时，浏览器会跳转到指定URL通知中设置的页在访问控制信息列表的上方选择接口和方向，即可在列表中查看在该接口和方向上的访问控制策略信息。用户自定义的访问控制策略将按配置顺序或预先指定的位置排列在访问控制策略信息列表中，当设备收到一个数据包后，将从列表的顶端开始向下搜索匹配的策略，匹配的第一个策略将被用于数据包，并且后面的策略不再检查，如果没有找到匹配的策略，该数据包将被丢弃。在防火墙—地址组中配置了地址组且在防火墙—服务组中配置了服务组后，可在设备各个物理接口的不同方向设置访问创建地址组：首先输入自定义的地址组名并选择所属区域，然后在新地址配置框中输入IP[=>]将此IP地址段导入地址范围列表中，可连续导入多个IP地址段；也可在已有地址配置框中选中一个或多个已有地址组名，单击[=>]将此地址组导入到地址范围列表中，最后单击保存按钮即可。设备提供了普通服务、URLDNS和MAC地址五种服务类型。在每种服务类型下，用户均可以自定义服务，也可普通服务：用来匹配接收数据包的协议和端口；URL：用来过滤URL网址，可控制用户对站点及网页的访问；关键字：用来过滤HTML页面中的关键字；DNS：用来设置是否对某域名进行DNS解析；MAC地址：用来过滤源MAC地址。[=>]：用于将配置的新服务或已有服务添加到服务组列表中；[<=]：用于修改服务组包含的服务；域名过滤功能是全字匹配的，当内网用户在浏览器里输入的域名与域名列表中显示的域名全字匹配时，将无法访问此域名对应的网页。可以在域名名称中输入通配符*来实现对多个域名的过滤，例如在域名列表中添加域名名称www.163.*，内网用户将不能访问以www.163开头的所有网页。只禁止域名列表中的域名，其余允许：选中此单选框，表示内网主机禁止使用域名列表中域名上网，不在列表中的域名则可以正常使访问。只允许域名列表中的域名，其余禁止：选中此单选框，表示内网主机只允许使用域名列表中的域名上网，而不在列表中的域名将无法正常访问。当设备启用了域名过滤功能，并希望通过通告的方式通知用户该域名已被过滤，则可以启用域名过滤通告功能。当内网用户访问被禁止的域名时，设备将会发送通告给此用户，并且到设置的时间后，将跳转到指定的网址。--时间段配置只有在系统管理—>时钟管理中正确配置了系统时间和时区信息，时间段功能才能正常工作。一个时间段最多可由8个时间单元组成，时间段策略可以被某些高级功能引用，以控制这些业务的生效时间，从而达到控配置跨天时间段的方法：一个跨越零点的时间段必须设置成两个连续的时间单元，例如，从晚上8点到次日凌晨5点需以24:00:00分为两个时间单元，第一个时间单元为20:00:00~23:59:59，第二个时间单元为00:00:00~05:00:00。开始日期和时间和结束日期和时间1990年1月1日00:00:00时，代表时间段永久有效。LAN