IBM互联网行为管控用户手册1

IBM互联网行为管控用户手册IBM互联网行为管控用户手册/IBM互联网行为管控用户手册天玥网络安全审计系统-互联网行为管控用户手册V6.0北京启明星辰信息安全技术有限公司目录TOC\o"1-2"\h\z\u17926目录 136551产品概述 3156922登录及退出 468062.1登录步骤 475462.2修改密码 562012.3退出系统 5252552.4找回密码 5175483初装向导 7183643.1路由模式 7159353.2网桥模式 14108613.3旁路模式 16181624系统状态 1975954.1系统信息 19261984.2在线用户 22288664.3日志中心 258685系统管理 28225905.1注册信息 2831085.2基本信息 2938445.3高可用性 33186555.4备份恢复 34146695.5系统升级 4076025.6权限管理 42246786网络管理 45219736.1网络接入 45218446.2VLAN配置 49118076.3网桥配置 50311946.4路由配置 50165136.5网络地址转换 52108686.6DHCP 56165346.7即插即用 59147137上网管理 66104267.1用户识别 66162537.2用户管理 6739817.3访问控制 76236827.4认证配置 8140047.5计费配置 87109828策略管理 949358.1QoS策略 94176338.2黑白名单 9944618.3时间策略 103253588.4应用管理 105206218.5报警策略 10721378.6ARP统计 110107048.7审计规则 111199108.8URL分类 116245778.9关键字库 11975549应用管理 12177149.1网站访问 121235079.2邮件收发 12385769.3Web邮件 124235349.4即时聊天 127131079.5网络传输 129242959.6P2P应用 131142629.7网络游戏 13421019.8网络电视 136312039.9股票软件 139244579.10音视频流媒体 14146039.11自定义应用 141220519.12其他应用 142512110内容管理 1442234410.1网页内容 1441315310.2邮件内容 147185210.3WEB邮件内容 148138310.4IM内容 1501820910.5传输文件内容 151433210.6其他内容 1531759311统计报表 1562723511.1统计报表 1562477311.2全文检索 1861828711.3报表定制 1881670012使用帮助 190产品概述实现对互联网访问行为的全面管理。在流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面提供最有效的解决方案。管理用户上网行为，提高工作效率对工作时间进行网络聊天、网络游戏、网上炒股等行为进行监控和阻断，提高员工工作效率。审计网络敏感信息，避免机密外泄对邮件、网络聊天、BBS发帖等内容中的关键字进行审计、过滤，防止用户机密信息外泄。合理分配网络带宽，防止资源滥用通过带宽限制功能对网络资源滥用行为进行管控，同时也可通过带宽保障功能对ERP系统，视频会议，邮件系统等关键业务和正常业务进行带宽保障。阻止非法言论散布，规避法律风险针对非法言论的散布行为，可对BBS发帖、博客内容以及其他上网行为中发布内容的敏感关键字进行阻断并报警，第一时间通知相关负责人。同时所有的外发信息都会一一记录，保存在系统的本地磁盘上，为管理者在必要时提供司法依据。过滤违法不良信息，保障网络安全有效封堵各种及工作无关的网站访问行为。包括：色情网站、暴力网站、钓鱼网站、挂马网站等，以此保障网络安全。多种网络统计报表，方便企业管理内置日志查询功能及报表统计功能，对网络应用排名及流量情况进行细粒度的查询及分析，自动生成多种网络应用统计报表，为网络管理者优化网络管理环境提供有效的依据。登录及退出登录步骤启动设备后，在IE浏览器的地址栏输入https://设备的IP地址（例如：天玥互联网行为管控）后，进入登录页面，如下图所示。输入正确的用户名和密码后，点击“登录”按钮即可进入管理页面。系统默认的管理员账号是superadmin，密码是：123456。登陆成功后，显示如下界面：初次登陆系统时，请及时修改管理员密码，并设置密码找回邮箱。修改密码在Web管理页面的最右上角，提供了“修改密码”按钮，点击输入当前密码以及新密码，保存即可。如下图所示：退出系统在Web管理页面的最右上角，提供了“退出”图标，点击并确认后，即可成功退出系统。找回密码如果忘记密码，请点击登录页面上的“忘记?”链接，将会出现找回密码页面，如下图所示。首先输入您的用户名及邮箱，进行密码找回。邮箱地址在创建管理员账号时进行设置。请提前在创建帐号时牢记邮箱地址。初装向导设备支持三种网络部署模式：路由模式、桥接模式和旁路模式，分别适用于不同的网络拓扑结构。可以根据实际情况，选择适合本企业的网络部署模式。路由模式互联网行为管控系统通过路由模式串接在用户网络链路中，所有流量都通过设备进行处理。除了可实现用户流量控制、应用阻断、内容过滤和审计等功能外，还可取代传统路由器或防火墙作为出口网关，代理内网用户上网，实现基本的路由功能，节省网络总体投资。在路由模式下有以下重要配置项：IBM的外网地址：包括IP地址及IP掩码，外网IP地址设为防火墙/路由器IP地址段的地址。IBM的内网地址：包括IP地址及IP掩码，内网IP地址设为内部网段的地址，例如：54。IBM的默认网关：缺省网关设为防火墙/路由器的内部IP地址。路由模式部署示意图具体配置步骤：请点击界面右上方【初装向导】按钮，如下图所示：选择“串行连接”，点击“下一步”，进入工作模式配置：选择“路由网关”和“普通模式”，点击“下一步”，进入设置vlan界面：点击【添加】按钮，如下图所示：参数说明物理接口指定一个创建VLAN地址需要的物理地址VLANIDVLAN指定一个ID用于表示VLAN，可填2~4095之间的数字管理地址物理地址上虚拟的VLAN地址网络掩码虚拟地址的掩码选择物理接口、输入VLANID、管理地址、网络掩码，保存后，点击“下一步”，设置网络接口：单击其中一行，设置此网卡的详细信息，如图所示：参数说明IP地址以太网卡的IP地址子网掩码以太网卡的子网掩码接口状态使用：启用以太网卡停用：停用以太网卡监控：监控已启用以太网卡阻断发送接口发送阻断包的接口阻断目的MAC地址发送阻断包的MAC地址指定：指定MAC地址不指定：默认给定的MAC地址设置完毕后，保存，点击“下一步”，进入PPPOE设置页面：点击“添加”，配置PPPoE参数：完成PPPoE设置，保存。点击下一步，进入静态路由设置：在下拉列表中，选择要添加的路由表名，点击【添加】按钮，参数说明目的网段数据去向的目的网段下一跳路由去向的下一个地址接口路由去向的接口，接口和下一跳可以只填一项设置目的网段、下一跳及接口后，保存。点击下一步，设置DNS：输入首选DNS和备用DNS，保存。点击下一步，配置SNAT：点击下一步，配置DNAT：服务名称服务说明认证服务提供对用户进行认证服务；审计监控服务进行审计，监控功能；计费服务进行计费，费用结算等功能；HA服务HA高可用性服务；提供负载均衡、系统冗余热备等功能，保证系统更好运行；DHCP服务IP地址自动分配服务；IDHCP服务IDHCP服务，提供即插即用服务；NTP服务进行自动时间同步；数据库备份服务进行数据库信息自动备份，在【系统管理】>【备份恢复】>【数据库维护】，对需要自动备份的数据库项目进行配置。数据同步服务带宽控制服务带宽统计服务点击服务名称之后的【启动】按钮，开启服务，提示启动成功，服务状态显示“正在运行”。点击服务名称之后的【停止】按钮，停止服务，提示停止成功，服务状态显示“尚未运行”。点击下一步，进行管理员口令配置：在对应输入框分别输入当前密码以及新密码，点击【保存】提示密码修改成功。点击【完成】，弹出如下界面：至此，您的上网行为管理系统的网络设置完毕。网桥模式互联网行为管控系统工作在桥接模式时，无需改变用户的网络拓扑结构，部署在出口网关和内网交换机之间。桥接模式下可实现网络应用控制、流量管理、内容审计和过滤功能，但是不具备NAT功能。互联网行为管控系统支持单网桥、多网桥的部署方式。桥接模式部署示意图在网桥模式下有两个重要配置：IBM的IP地址：用于访问IBM。可设为企业内网上的任意IP（出厂默认配置54/）。IBM的默认网关：因为此环境下所有用户上网均需要过IBM，因此请将IBM的默认网关设定为及客户端的默认网关一致，均指向该企业所使用的网关（即防火墙/路由器内部IP），如。网络管理者可通过IBM提供的Web管理页面来管理系统。相应的管理页面的地址为“https://IBM的IP地址”，如https://54天玥互联网行为管控。具体配置步骤：请点击界面右上方【初装向导】按钮，选择“串行连接”，进入工作模式配置：选择“透明网桥”，点击“下一步”，设置VLAN，下一步，设置网桥：点击“添加”，设置网桥名称、IP地址，选择接口，启用后保存。点击下一步，配置网络接口、PPPoE、静态路由、DNS、系统服务、管理员口令，点击完成。旁路模式互联网行为管控系统支持旁路方式部署在网络核心交换机上，通过交换机端口镜像功能，对用户的上网行为进行实时记录。旁路模式下支持上网行为审计功能，但不具备上网行为控制和过滤功能。旁路模式部署示意图在镜像模式下有以下几个重要配置项：IBM的镜像口:首先在交换机配置镜像端口，并将交换机的上联口进出的数据包都转发到镜像端口。将IBM的镜像口和交换机的镜像端口相连，用于接收交换机镜像端口的数据。镜像口不用设置IP地址。IBM的管理口：用于管理设备。IP地址可设为企业内网上的任意IP，但不得及镜像口在同一个网段内。和管理口相连的PC机IP地址应及管理口IP地址在同一网段内。具体配置步骤：请点击界面右上方【初装向导】按钮，选择“旁路连接”，如下图所示：点击下一步，进入工作模式配置：点击下一步，设置网络接口，一直下一步，点击完成。系统状态登陆设备WEB管理页面，在左侧的导航栏中，点击【系统状态】后，以树状列表形式显示子目录，通过系统管理部分，可以查看设备工作状态以及对设备进行维护和管理。下面将具体说明各页面的功能和配置步骤。系统信息系统信息模块，使用图表方式集中显示了系统运行状况，管理员可以查看IBM的工作状态，从而快速了解设备的运行状况是否正常、稳定。当前状态显示IBM的系统信息和系统资源情况，如下图：系统资源：参数说明CPU使用率以百分比形式显示当前CPU的使用率。内存使用率以百分比形式显示当前内存的使用率。硬盘以百分比形式显示当前硬盘使用率。系统信息：参数说明主机名称显示设备名称系统版本显示当前系统版本当前时间显示当前系统时间。持续运行时间显示系统自开机以来已经持续运行时间。审计数据保存期限显示审计数据保存期限。默认值为3个月。未读报警信息数量显示当前未读取报警信息数量。修改主机名称，点击“主机名称”文本框，直接在文本框内输入修改后的主机名，点击“保存”按钮。如下图所示：网络接口状态：显示当前可用物理网络接口或者VLAN接口。在【网络配置】—>【网络接入】—>【以太网卡】，能够对网络接口进行详细配置；实时流量：在【当前统计接口】下拉列表框中，选择需要查看的网络接口，显示此接口的实时流量。实时流量图示如下：服务状态服务状态模块，显示上网行为管理所有的服务进程当前的状态，以及网口的监听状态。管理员可以手动启动或停止服务。如下图所示：服务名称服务说明认证服务提供对用户进行认证服务；审计监控服务进行审计，监控功能；计费服务进行计费，费用结算等功能；HA服务HA高可用性服务；提供负载均衡、系统冗余热备等功能，保证系统更好运行；DHCP服务IP地址自动分配服务；IDHCP服务IDHCP服务，提供即插即用服务；NTP服务进行自动时间同步；数据库备份服务进行数据库信息自动备份，在【系统管理】>【备份恢复】>【数据库维护】，对需要自动备份的数据库项目进行配置。数据同步服务带宽控制服务开启带宽控制服务带宽统计服务开启带宽统计服务服务的开启及停止：点击服务名称之后的【启动】按钮，开启服务，提示启动成功，服务状态显示“正在运行”。点击服务名称之后的【停止】按钮，停止服务，提示停止成功，服务状态显示“尚未运行”。当前监控接口列表：显示系统监控接口，以及各监控接口的运行状态。当接口属性设置为“监控”时，接口在此显示。当审计监控服务成功启动时，接口状态显示监控中，否则显示已停止。系统接口在【网络配置】——>【网络接入】——>【以太网卡】中进行设置。需要更改系统设置时，请先停止系统服务，以保证数据的正确性。数据库状态数据库状态模块，显示系统后台的“查询操作”和“查询耗时”信息，为管理员提供当前系统数据库的运行状态信息。在线用户在线用户，显示IBM可以查看到的所有在线用户的信息，包括每个在线用户的用户名、IP地址、MAC地址、用户类型、上线时间和上线时长、应用统计、流量统计等。用户列表用户列表，查看当前在线用户信息。控制用户下线。如下图：用户下线：勾选将要控制下线的用户，点击【选定下线】。系统提示下线成功。此时，被选定下线的用户需要重新再登陆页面输入用户名、密码，完成认证后，方可接入网络。点击全部下线，使所有当前在线用户立刻下线，阻断用户使用网络。“用户下线”功能，仅对经由设备认证上线的认证用户有效，对于一般的审计用户该功能不起作用。临时锁定勾选将要控制临时锁定的用户，点击【临时锁定】。系统提示锁定成功。此时，被临时锁定的用户暂时无法访问外部网络。用户被锁定后，将在【上网管理】—>【访问控制】—>【黑白名单】中的黑名单中显示，“黑名单临时锁定时长中”参数，决定用户的锁定时长。应用列表查看系统在线审计的应用信息。点击【全部展开】按钮，显示各类网络应用的使用状态：使用此应用的用户列表、手机号、IP地址和MAC地址等）、应用的起始时间和应用的使用时长，如下图所示：流量列表以图形方式分别显示通过IBM的实时显示用户流量情况以及排名。流量统计点击页面下方的搜索按钮，弹出搜索条件，可分别按照IP、用户、用户组、应用、应用组进行流量的统计及排名。如下图所示：参数说明第一各下拉列表框选择要统计的类型，包括：IP、用户、用户组、应用、应用组第二各输入框当选择统计类型为IP时：该位置为输入框，如果要统计单个IP，在此输入单个IP；要统计IP段，在此输入IP段，以“-”隔开；要统计全部IP，此处不输入

当选择统计类型为用户、用户组、应用、应用组时：此处为下拉列表框，列出要统计的类型的成员

当选择统计类型为系统时:此处为空白时间段选择要统计的时间类型，包括实时、15分钟内、本日、本月、本年、时间段从…到…当时间类型为间段时，这两个输入框用来输入时间段的起始时间和结束时间TOP要显示的统计的排行前“20”个日志中心报警日志点击页面下方的搜索按钮，设置相关查询参数，即可按照模块、关键字、时间、用户、内容等查询报警信息。报警日志支持CSV格式的导出。操作日志显示IBM系统管理员的所有操作。参数说明管理员记录此项日志对应的操作管理员名称。登陆IP记录此项日志对应的管理员登陆管理页面时的IP地址。时间记录此项日志信息生成时间。模块记录此项日志对应的页面模块。页面记录此项日志对应的具体页面。操作记录此项日志对应的操作方式，操作项目有：所有操作、查询、添加、修改、删除、启停、执行。内容记录操作此项日志的具体内容。点击页面下方的搜索按钮，设置相关查询参数，即可按照管理员账号、模块、页面、操作、时间、内容等查询操作日志。参数说明管理员选择指定管理员相关系统日志，选择“所有管理员”，将查询所有管理员。模块选择指定模块相关系统日志，选择“所有模块”将查询所有模块。当选中特定模块，“页面下拉列表框”内容将改变为只包含指定模块相关的“页面选项”。页面选择指定页面相关系统日志，选择“所有页面”将查询所有页面。操作选择指定操作相关系统日志，操作项目有：所有操作、查询、添加、修改、删除、启停、执行。选项“所有操作”表示查询所有各种操作相关日志。时间段点击开始时间段文本框，在时间控件选择开始时间，同样地设置终止时间；时间格式为：年-月-日时:分:秒，YYYY-MM-DDHH:MM:SS或者：年-月-日时:分，YYYY-MM-DDHH:MM如果不选开始时间和终止时间将查询所有时间段。内容进行模糊关键字查询，查询及日志内容相匹配的系统管理日志。操作日志支持CSV格式的导出。缴费日志用户缴费日志查询、清空。参数说明记录ID根据缴费先后次序列的记录序号用户名缴费用户操作人员收费人员金额每次缴费金额付费时间缴费时间备注缴费时输入的备注点击页面下方的搜索按钮，设置相关查询参数，即可按照用户查询缴费日志。系统管理上网行为管理系统的系统管理模块，用于设备注册、高可用性设置、系统备份及恢复、系统升级，以及权限管理等。注册信息注册信息，用于查看设备的注册信息，包括软件序列号、注册码、有效期等，并对设备进行激活。系统注册在左侧的导航栏中，选择【系统管理】→【注册信息】→【系统注册】，进入下图所示页面：参数说明软件序列号软件版本序列号产品型号当前产品型号注册状态显示注册状态，未注册，已注册。用户数量用户限制数量有效期使用期限限制注册码远程注册码授权码本地注册码系统注册在远程注册文本框中输入远程注册码，点击远程注册按钮。远程注册失败，显示本地注册文本框和按钮。在本地注册文本框中输入本地注册码，点击本地注册按钮。提示注册成功，页面将显示注册信息。如果注册失败，请及厂商售后服务人员联系，并提供”软件序列号”及“注册码”，以获取“授权码”完成本地注册。服务激活在左侧的导航栏中，选择【系统管理】→【注册信息】→【服务激活】，进入下图所示页面：参数说明软件序列号软件版本序列号激活状态显示激活状态，未激活，已激活。有效期使用期限限制激活码远程激活码升级码本地激活码服务激活：在激活码文本框中输入激活码，点击激活按钮，进行远程激活。远程激活失败，显示本地激活文本框和按钮。在本地激活文本框中输入本地激活码，点击本地激活按钮。激活成功，页面将更新显示激活信息。如果激活失败。请及厂商售后服务人员联系，并提供”软件序列号”及“激活码”，以获取“升级码”完成本地激活。基本信息部署方式互联网行为管控系统的部署方式分为串行模式或旁路模式。审计引擎模式分为普通模式、队列模式、增强模式。在左侧的导航栏中，选择【系统管理】→【基本信息】→【部署方式】，进入下图所示页面：参数说明串行模式路由模式和网桥模式都属于串联式的部署模式，都是通过将IBM直接串接在用户网络链路中实现的。网桥模式：可以实现对内网数据监控、控制和管理功能，主要适用于不希望更改网络结构、路由配置、IP配置的用户使用。路由模式：可以实现对所有数据的审计、控制和拦截功能，适用于对网络拓扑的更改不敏感的用户使用。旁路模式采用及交换机的镜像端口相连，通过抓包的方式，实现对网络数据的审计。它的优点是可靠性高，安全性好，不增加网络延迟，设备故障时不影响整个网络运行。系统时间NTP是一个时间同步协议，用来在分布式时间服务器和客户端之间进行时间同步。使用NTP可以使网络中的设备的时钟及网络时钟保持一致，同时也能保证很高的精度，从而使设备能够提供基于统一时间的多种应用。在左侧的导航栏中，选择【系统管理】→【基本信息】→【系统时间】，进入下图所示页面。配置系统时间在“本地时区”下拉框列表中选择当前系统所在的时区，在“系统时间”文本框中输入需要设置的系统时间。格式为：年-月-日时：分：秒，YYYY-MM-DDHH:MM:SS或者：年-月-日时：分，YYYY-MM-DDHH:MM。点击【保存】按钮，保存配置的系统时间。时间同步NTP配置点击【添加】按钮，添加NTP服务器配置。选择“时间自动同步”的“激活”选项，并点击【保存】按钮保存配置；进入【系统状态】-【系统信息】-【服务状态】页面，启动“NTP服务”。参数名称参数说明NTP服务器名称系统标示添加的NTP服务名称，可为字符串、汉字等。服务器类型标示连接NTP服务器的方式。1）“域名”为仅通过网络域名的方式连接NTP服务器，选择此类型时，需要确保系统的IP接口地址、网关IP地址、DNS服务器地址等配置正确；2）“IP地址”为仅通过IP地址的方式连接NTP服务器，选择此类型时，需要确保系统的IP接口地址、网关IP地址配置正确。服务器域名为NTP服务器对外发布的域名地址，该选项仅在服务器类型为“域名”时有效。服务器IP地址为NTP服务器对外发布的IP地址，该选项仅在服务器类型为“IP地址”时有效。1.若“NTP服务”提示“启动失败”，请检查系统是否取得合法授权。2.若系统时间同步不成功，请确认系统的互联网访问是否正常。远程管理在左侧的导航栏中，选择【系统管理】—>【基本信息】—>【远程管理】，进入下图所示页面：修改远程SSH连接口令在“当前密码”文本框中输入系统当前的SSH登录密码，在“新密码”文本框中输入新的SSH登录密码，在“确认新密”文本框中重复输入新的SSH登录密码，点击【修改】按钮，执行口令修改操作。该口令修改操作，不仅修改远程访问系统的SSH登录口令，同样也会修改系统后台采用“admin”账户的本地访问口令，请谨慎使用该功能。配置日志输出功能勾选日志输出功能的“启用”选项。在“接收端IP地址”文本框中输入接收端Syslog服务的IP地址。1.该日志输出功能，是向Syslog服务器输出系统的syslog日志文件。2.要想使用该功能，需要用户部署好Syslog服务器.Bypass配置集中管理在左侧的导航栏中，选择【系统管理】—>【基本信息】—>【集中管理】，进入下图所示页面：勾选【启用】按钮，配置“管理IP地址”、“SNMPCOMMUNITY读/写”，保存配置。会话超时在左侧的导航栏中，选择【系统管理】—>【基本信息】—>【会话超时】，进入下图所示页面：填写“TCP会话超时时间”和“UDP会话超时时间”，保存。高可用性高可用性HA（HighAvailability）：指的是通过尽量缩短因日常维护操作（计划）和突发的系统崩溃（非计划）所导致的停机时间，以提高系统和应用的可用性。HA服务：给系统提供软件容错、磁盘热备、负载均衡、故障恢复等功能，能够有效提高系统的可靠性、可维护性和运行效率。常规配置在左侧的导航栏中，选择【系统管理】—>【高可用性】—>【常规配置】，进入下图所示页面：参数说明心跳网口例如”eth0”初始等待时长单位秒HELLO报文间隔单位秒故障确认时长单位秒工作模式选择“抢占模式”或者“非抢占模式”配置基本信息：输入基本信息参数，参数见上表，点击【保存】按钮。添加备份组点击【添加】按钮，出现下图所示，输入参数，保存。参数如下所示：参数说明备份组名称备份组名称，必须是英文字母组成的字符串。备份接口下列列表框中选择备份接口。备份组ID备份组ID，必须是数字，必须及其他备份组ID不同。虚拟IPIP地址，格式为点分十进制，例如：虚拟掩码掩码地址，格式为点分十进制，例如：优先级优先级别，必须是数字格式。认证字认证字友元组友元组组ID，必须是数字格式。启用HA服务：进入【系统状态】—>【系统信息】—>【服务状态】页面，点击HA服务的【启动】按钮，启动HA服务。当前状态查看HA服务当前状态。可以查看HA服务下列参数：备份组ID，优先级，备份组状态，接口，IP。备份恢复恢复出厂在恢复出厂配置页面中，可以将设备的配置恢复为出厂设置。在左侧的导航栏中，选择【系统管理】—>【备份恢复】—>【恢复出厂】，如图所示，进入递进式设置向导：参数说明主机名主机名称管理接口IP管理接口IP地址，格式为点分十进制，例如：子网掩码掩码地址，格式为点分十进制，例如：网关设备网关IP地址，格式等同于管理接口IP地址格式。DNSDNS服务器IP地址，不使用DNS可以填入点击下一步：参数说明IP地址数据库IP地址，数据库位于本机填入localhost；端口数据库端口；范围在1~65535之间数字；类型数据库类型，例如：mysql；数据库名连接数据库名称，使用系统默认就行；用户名连接数据库用户名称；密码连接数据库密码；参数说明不初始化数据库默认不初始化数据库，保留数据库中数据。初始化数据库提示：初始化数据库将清空当前所有配置和数据！审计数据有效周期需要选中“初始化数据库”才能进行这项配置。提示：建议一般用户使用默认设置，即保留3个月审计数据为宜。不重新启动设备提示：系统默认管理接口使用设备的eth0接口，请在完成本向导前确认此接口已经连接好网线！重启设备配置完毕设备将重启。初始化数据库：初始化数据库将清空当前所有配置和数据！重新启动设备：系统默认管理接口使用设备的eth0接口，请在完成本向导前确认此接口已经连接好网线！数据库维护数据库维护，介绍如何上传或下载系统配置文件、如何配置数据库表自动备份参数、如何手动上传或下载备份文件、以及手动恢复数据库。在左侧的导航栏中，选择【系统管理】—>【备份恢复】—>【数据库维护】，，进入下图所示页面：上传系统配置文件点击上传系统配置文件中浏览按钮，选择系统配置文件，点击“系统配置文件上传”。上传＆恢复操作会导致原有的配置丢失！上传配置必须是以.tar结尾的文件，系统不支持文件名包含中文的文件上传！下载系统配置文件点击“系统配置文件下载”，选择保存路径，确定完成下载。数据库表备份配置配置各个项目参数，说明如下：参数说明备份项目包含以下5项：带宽管理信息表，上网策略备份，计费/时间策略备份，webGUI信息备份，上网用户信息备份自动备份是否自动备份。备份时间自动备份周期时间。可以为每月，每周，每天的各个整点或半点时刻。备份项目相关说明：参数说明系统日志备份保存报警日志、系统操作日志等相关日志信息策略备份保存时间策略、带宽管理策略、审计管理策略等相关策略信息系统配置备份保存系统账户权限、接口配置等系统配置相关的信息数据库备份文件下载在文件列表项中选择要下载的数据库备份文件,点击数据库备份文件超链接。选择保存路径，确定完成下载。数据库备份文件上传在“备份文件下载及恢复列表”中点击数据库备份上传“浏览”按钮。在弹出的上传文件选择框中，选择要上传的数据库备份文件。点击“上传”按钮。上传成功后，“备份文件下载及恢复列表”将自动刷新，显示新上传文件项。上传配置必须是以.tar结尾的文件，系统不支持文件名包含中文的文件上传！数据库备份文件删除勾选需要删除的数据库备份文件，或者需要全部删除时，选中“全选”框，点击删除按钮，“备份文件下载及恢复列表”将自动刷新，显示欲删除的文件已经删除。数据库备份文件删除将完全删除选中的数据库备份文件。请确定真正不再需要此数据库备份文件，或者已经下载保存留有备份。否则一旦删除将无法恢复。数据库恢复勾选需要进行数据库恢复的文件,点击恢复按钮。1、上传系统配置文件注意事项：上传＆恢复操作会导致原有的配置丢失！上传配置必须是以.tar结尾的文件。系统不支持文件名包含中文的文件上传！2、数据库备份文件删除操作注意事项：数据库备份文件删除将完全删除选中的数据库备份文件。请确定真正不再需要此数据库备份文件，或者已经下载保存留有备份。否则一旦删除将无法恢复。3、数据库恢复操作注意事项：（1）数据库恢复操作将覆盖当前数据库中数据，造成当前数据丢失。（2）数据库恢复将按备份文件顺序恢复，如果选中的恢复文件是属于相同的数据库项，那么后者的恢复操作将完全覆盖前者的恢复操作；例如：XX_txt_sys_info.tarYY_txt_sys_info.tar，同时被选中，XX文件在YY文件的前边，那么数据库恢复操作先恢复XX文件，再恢复YY文件，最后数据库中数据为YY文件内容，而且不包含XX文件内容。（3）请在恢复前，必须确定恢复文件名称、格式、版本是否正确。如果使用不同版本的数据库备份文件进行恢复操作，必定将导致数据库数据丢失（无法恢复），进而造成系统无法正常启动。（4）建议每次只恢复1个数据库备份文件，或者恢复最多5项的不同的数据库备份项文件。远程备份TransferProtocol）是Internet上用来传送文件的协议（文件传输协议）。通过FTP协议，我们就可以及Internet上的FTP服务器进行文件的上传（Upload）或下载（Download）文件等动作。要登陆FTP服务器，必须要有该FTP服务器的帐号和密码。通常FTP服务器使用21端口作为服务端口。在左侧的导航栏中，选择【系统管理】—>【备份恢复】—>【远程备份】，进入下图所示页面：参数说明远程FTP备份是否使能远程备份，勾选中表示允许使用远程FTP备份。未勾选中表示禁用远程备份。删除本地备份表示是否在进行远程备份后，删除本地备份文件。勾选表示“删除本地备份”，不勾选表示不删除本地备份服务器IP远程FTP服务器IP地址，只可填单个IP地址。例如：服务器端口远程FTP服务器端口，例如：通常FTP端口21用户名远程FTP服务器用户名称。密码远程FTP登录密码磁盘管理在左侧的导航栏中，选择【系统管理】—>【备份恢复】—>【磁盘管理】，进入下图所示页面：数据同步在左侧的导航栏中，选择【系统管理】—>【备份恢复】—>【数据同步】，进入下图所示页面：系统升级系统升级，用于对URL过滤库、应用识别库、软件版本、系统平台的更新。自动升级自动更新配置，用于设置URL过滤库和应用识别库的自动下载的周期和时间。在左侧的导航栏中，选择【系统管理】—>【系统升级】—>【自动升级】，进入下图所示页面：选择“自动更新”项目，选择URL过滤库或者应用识别库，都不选择时表示关闭自动更新；更新周期时间设置，周期时间类型可以为每月，每周或每天，选择类型；再选择具体的日期，比如：每月-1日-18：00，表示每月1号的18：00进行检查更新。点击保存。点击【检查更新】按钮，提示是否有更新可用，或者提示已经是最新版。手工上传进行本地升级URL过滤库、应用识别库、软件版本或系统平台。在左侧的导航栏中，选择【系统管理】—>【系统升级】—>【手工上传】，进入下图所示页面：升级URL过滤库或者应用识别库选择升级类型：URL过滤库或者应用识别库；当前版本，显示当前各项对应的版本信息。升级文件，点击浏览选择要上传的升级文件。点击上传并升级。URL过滤库文件格式，例如：升级文件格式为：url_v1.10.0001.tgz,版本信息为1.10.0001应用识别库文件格式，例如：升级文件格式为：app_v1.10.0001.tgz，版本信息为1.10.0001升级软件版本选择升级类型为软件版本；当前版本，显示当前软件版本信息；点击浏览选择要上传的升级文件；软件版本升级文件格式为：app.img.gz或者app.v1.10.0001.img.gz，版本信息为1.10.0001；点击上传升级包。升级失败，将提示失败信息。升级成功，提示升级成功对话框。非专业人员，请不要尝试升级系统。升级系统失败将导致系统无法正常运行甚至无法正常启动。升级处理中心升级处理中心，显示和查询升级日志，清空升级日志。在左侧的导航栏中，选择【系统管理】—>【系统升级】—>【升级处理中心】，进入下图所示页面：点击查询日志图标,弹出查询条件对话框,设置相关查询参数,点击升级时间的开始时间文本框和终止时间文本框，设置开始时间和终止时间。格式为：年-月-日时：分：秒，YYYY-MM-DDHH:MM:SS，或者：年-月-日时：分，YYYY-MM-DDHH:MM；在升级状态下拉列表框中选中升级状态。有全部，已下载，安装成功，安装失败,点击“查询”按钮，即可查询。权限管理权限管理，用来设置能够通过系统管理登陆IBM的用户。当用户需要配置管理员时，可以通过该功能进行管理员功能的配置。下面介绍如何设置角色管理、如何分配权限、如何设置修改删除管理员组和管理员。角色管理角色管理，用来设置可以管理的用户范围，管理员只可查看和管理赋予其角色下的用户组和用户。在左侧的导航栏中，选择【系统管理】—>【权限管理】—>【角色管理】，进入下图所示页面：添加角色，如图所示：参数说明角色名称输入名称关联用户组选择用户所属组关联用户选择用户权限分配权限分配，用于设置对系统操权限的分配。在左侧的导航栏中，选择【系统管理】—>【权限管理】—>【权限分配】，进入下图所示页面：系统中任何操作都必须拥有一定权限，所有权限包括浏览，配置，执行。页面的浏览需要浏览权限，执行权限包括某功能代表的操作，比如：注册、激活、升级、备份、恢复、结算、绑定、关机重启、导入导出等。点击在右上方角色下拉列表框，选择需要分配权限的角色，点击勾选需要给此角色添加的权限；点击“全部展开”或者“全部收缩”，能够展开或收缩当前项对应的所有子项；位于某一项最前一列的单选框为“行全选”，点击勾选全选按钮将会自动选择当前项所包含的所有子项；位于某一项最上一行的单选框为“列全选“，点击勾选全选按钮将会自动选择当前列所包含的所有列项；使用“行全选”和“列全选”从而快速配置权限；点击左上方确定按钮，保存生效。管理员组在左侧的导航栏中，选择【系统管理】—>【权限管理】—>【管理员组】，进入下图所示页面：添加管理员组参数说明名称管理员组名称角色管理员组关联的角色选择备注备注信息成员选择选择“非本组成员”中成员，点击”>>”按钮将其添加到本管理组中；选择“本组成员”，点击“<<”按钮将其从本组中移除。管理员在左侧的导航栏中，选择【系统管理】—>【权限管理】—>【管理员】，进入下图所示页面：添加一个管理员参数说明名称输入名称所属组管理员所属管理组密码管理者密码，长度必须不小于6密码重复重复密码IP地址IP地址，例如：MAC地址MAC地址，例如：12:34:56:78:90:12最大并发数最大允许并行连接数激活态激活或者不激活有效期有效期，时间格式为：年-月-日时-分-秒YYYY-MM-DDHH:MM:SS角色欲关联的角色网络管理网络接入以太网卡以太网卡的配置，包括以太网卡使用、停止设置、监控设置以及阻断接口配置。在左侧的导航栏中，选择【网络管理】—>【网络接入】—>【以太网卡】，进入下图所示页面：以太网卡配置参数说明IP地址以太网卡的IP地址子网掩码以太网卡的子网掩码接口状态启用：启用以太网卡；停用：停用以太网卡；监控：监控已启用以太网卡阻断发送接口发送阻断包的接口阻断目的MAC地址发送阻断包的MAC地址指定：指定MAC地址不指定：默认给定的MAC地址只有接口状态选择“监控”时，才可修改“阻断发送接口”和“阻断目的MAC地址”。DNS当用户在应用程序中输入DNS名称时，DNS服务可以将此名称解析为及之相关的其他信息，如IP地址。因为，上网时输入的网址，是通过域名解析系统解析找到了相对应的IP地址，这样才能上网。在左侧的导航栏中，选择【网络管理】—>【网络接入】—>【DNS】，进入下图所示页面：在配置页面中输入首选DNS和备用DNS,点击“保存”按钮完成设置。PPPoEPPPOE，全称Point-to-PointProtocolOverEthernet,它工作在OSI的数据链路层，PPPOE协议提供了在广播式的网络（如以太网）中多台主机连接到远端访问集中器（宽带接入服务器）的一种标准。它把以太网和点对点协议的可扩展性及管理控制功能结合在一起，PPPOE在标准PPP报文的前面加上以太网的报头，使得PPPOE即提供简单桥接接入设备，也可以连接远端设备。在左侧的导航栏中，选择【网络管理】—>【网络接入】—>【PPPoE】，进入下图所示页面：添加PPPoE拨号参数说明连接名称连接名称，用于表示一个连接ADSL账号用于连接的ADSL账号密码ADSL账号的密码重复密码再次输入ADSL账号的密码，防止第一此输入错误接口用于连接的接口，即及猫相连的接口DNS自动：服务器自动指定DNS服务器地址手动：需要管理员手动输入DNS服务器地址开机自动连接设备启动时是否号建立连接同步PPP及ppp建链同步，默认为选中，该参数可使用默认值，不做修改PPPoE尝试连接时间拨号尝试连接的时间，默认为0，表示一直尝试连接，该参数可使用默认值，不做修改LCP间隔Pppd发送一次LCP应答的时间间隔，默认为20秒，该参数可使用默认值，不做修改LCP未应答次数Pppd结束这个连接之前，应产生的LCP未应答次数，默认值为3，该参数可使用默认值，不做修改PPPoE退出间隔Pppoe在设定的时间内无活动，那么PPPoE退出，默认值为80，该参数可使用默认值，不做修改空闲断开间隔空闲时长达到设置值后，连接自动断开，使用时会自动连接，如果让其一直连接，设为no,该参数可以使用默认值no,.不做修改使用默认路由使用连接成功后自动添加的路由，不需手动添加，设为yes，可使用默认值yes，不做修改。域名有的ISP要求添加该参数，没有可为空VLAN配置VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。VLAN技术，根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，及物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。在左侧的导航栏中，选择【网络管理】—>【VLAN配置】—>【VLAN配置】，进入下图所示页面：添加VLAN点击“添加”按钮，弹出“添加802.1QVLAN”页面，选择物理接口、输入VLANID、管理地址、网络掩码，各项参数说明如下：点击“保存”按钮，完成添加操作。参数说明物理接口指定一个创建VLAN地址需要的物理地址VLANIDVLAN指定一个ID用于表示VLAN，可填2~4095之间的数字管理地址物理地址上虚拟的VLAN地址网络掩码虚拟地址的掩码网桥配置网桥将两个相似的网络连接起来，并对网络数据的流通进行管理。它工作于数据链路层，不但能扩展网络的距离或范围，而且可提高网络的性能、可靠性和安全性，802网桥为透明网桥。在左侧的导航栏中，选择【网络管理】—>【网桥配置】，进入下图所示页面：添加网桥：参数说明网桥名称网桥的名称，用于标识一个网桥管理地址网桥地址网络掩码地址掩码接口选择用于创建网桥的接口可选接口：当前可供选择的接口包含接口：用户创建网桥的接口，至少包含两个接口是否启用网桥是否生效路由配置路由表，是路由器或者其他互联网网络设备上存储的表，该表中存有到静态路由表达特定网络终端的路径，在某些情况下，还有一些及这些路径相关的度量。根据一些规则，使用某种策略改变规则中影响路由发布、接收或是路由选择的参数，从而实现路由转换。路由表在左侧的导航栏中，选择【网络管理】—>【路由配置】—>【路由表】，进入下图所示页面：路由策略指定路由表上路由表项的添加、删除和查看。添加路由表项在下拉列表中，选择要添加路由表项的路由表名，点击“添加”按钮，弹出“添加路由表项”页面，各项参数说明如下，点击“保存”按钮，完成添加操作。参数说明目的网段数据去向的目的网段下一跳路由去向的下一个地址接口路由去向的接口，接口和下一跳可以只填一项高级路由策略根据一些规则，使用某种策略改变规则中影响路由发布、接收或是路由选择的参数，从而改变路由发现的结果。在左侧的导航栏中，选择【网络管理】—>【路由配置】—>【高级路由策略】，进入下图所示页面：添加路由策略：参数说明源地址数据的源地址目的地址数据的目的地址进入接口路由去向的接口目标路由表把该策略添加到选中的路由表中策略优先级策略执行的优先级网络地址转换出方向代理出方向代理，是指当内部地址要访问公网上的服务时（如web访问），内部地址会主动发起连接，由路由器或者防火墙上的网关对内部地址做个地址转换，将内部地址的私有IP转换为公网的公有IP，网关的本地址转换称为SNAT，主要用于内部共享IP访问外部。在左侧的导航栏中，选择【网络配置】—>【网络地址转换】—>【出方向代理】，进入下图所示页面：添加出方向代理参数说明协议转发数据包的协议，可指定TCP和UDP，未指定，协议为不限出接口数据包出去的接口，未指定为不限转换前源地址转换前数据包源地址转换前源端口转换前数据包源端口，可填0～65535范围内的一个区间段，起始端口号应小于结束端口号，起始和终止端口号一样则表示一个端口号转换前目的地址转换前数据包目的地址转换前目的端口转换前数据包目的端口，可填0～65535范围内的一个区间段，起始端口号应小于结束端口号，起始和终止端口号一样则表示一个端口号转换后源地址转换后数据包源地址转换后源端口转换后数据包源端口，可填0～65535范围内的一个区间段，起始端口号应小于结束端口号，起始和终止端口号一样则表示一个端口号入方向代理入方向代理，它的作用是将一组本地内部的地址映射到一组全球地址。在左侧的导航栏中，选择【网络配置】—>【网络地址转换】—>【入方向代理】，进入下图所示页面：添加入方向代理参数说明协议转发数据包的协议，可指定TCP和UDP，未指定，协议为不限入接口接收数据包接口，未指定为不限转换前源地址转换前数据包源地址转换前源端口转换前数据包源端口，可填0～65535范围内的一个区间段，起始端口号应小于结束端口号，起始和终止端口号一样则表示一个端口号转换前目的地址转换前数据包目的地址转换前目的端口转换前数据包目的端口，可填0～65535范围内的一个区间段，起始端口号应小于结束端口号，起始和终止端口号一样则表示一个端口号转换后目的地址转换后数据包目的地址转换后目的端口转换后数据包目的端口，可填0～65535范围内的一个区间段，起始端口号应小于结束端口号，起始和终止端口号一样则表示一个端口号出接口代理出接口代理，是Linux系统的一种网络IP伪装功能，如果一台Linux主机使用IP伪装功能连接到互联网上，那么其他计算机，不论是在同一个局域网上还是通过调制解调器连接，只要连接到这Linux主机上，就可以及国际互联网相连，即使它们没有获得正式指定的IP地址。这样就可以将一些计算机隐藏在网关后面连接互联网，而不被发现，看起来就像只有一台Linux系统主机及互联网相连。在左侧的导航栏中，选择【网络配置】—>【网络地址转换】—>【出接口代理】，进入下图所示页面：添加出接口代理规则参数说明协议转发数据包的协议，可指定TCP和UDP，未指定，协议为不限出接口发送数据包接口，未指定为不限转换前源地址转换前数据包源地址转换前源端口转换前数据包源端口，可填0～65535范围内的一个区间段，起始端口号应小于结束端口号，起始和终止端口号一样则表示一个端口号转换前目的地址转换前数据包目的地址转换前目的端口转换前数据包目的端口，可填0～65535范围内的一个区间段，起始端口号应小于结束端口号，起始和终止端口号一样则表示一个端口号转换后端口转换后数据包端口可填0～65535范围内的一个区间段，起始端口号应小于结束端口号，起始和终止端口号一样则表示一个端口号ALG普通NAT实现了对UDP或TCP报文头中的的IP地址及端口转换功能，但对应用层数据载荷中的字段无能为力，在许多应用层协议中，比如多媒体协议（H.323、SIP等）、等，TCP/UDP载荷中带有地址或者端口信息，这些内容不能被NAT进行有效的转换，就可能导致问题。而NATALG（ApplicationLevelGateway，应用层网关）技术能对多通道协议进行应用层报文信息的解析和地址转换，将载荷中需要进行地址转换的IP地址和端口或者需特殊处理的字段进行相应的转换和处理，从而保证应用层通信的正确性。例如，FTP应用就由数据连接和控制连接共同完成，而且数据连接的建立动态地由控制连接中的载荷字段信息决定，这就需要ALG来完成载荷字段信息的转换，以保证后续数据连接的正确建立。在左侧的导航栏中，选择【网络配置】—>【网络地址转换】—>【ALG】，进入下图所示页面：DHCP基本配置DHCP，动态主机设置协议，用于给内部网络或网络服务供应商自动分配IP地址给用户，给内部网络管理员作为对所有计算机作中央管理的手段。在左侧的导航栏中，选择【网络配置】—>【DHCP】—>【基本配置】，进入下图所示页面：参数说明DNS1指定域名服务器地址DNS2指定备用域名服务器地址WINS1WINS服务器WINS2WINS备用服务器监听接口DHCP服务需监听的端口网段配置在左侧的导航栏中，选择【网络配置】—>【DHCP】—>【网段配置】，进入下图所示页面：参数说明网段DHCP欲分配的客户端的网段掩码掩码地址网关DHCP分配的客户端的网关地址范围DHCP欲分配的客户端的地址范围，包括起始地址和结束地址两个文本输入框默认租约客户端分配到地址后，默认使用该地址的租约时间最小租约客户端分配到地址后，使用该地址的最小租约时间最大租约客户端分配到地址后，使用该地址的的最大租约时间主机配置在左侧的导航栏中，选择【网络配置】—>【DHCP】—>【主机配置】，进入下图所示页面：参数说明主机名主机配置的名称，用来区分主机配置所属网段所属的DHCP自动分配的网段IP地址该网段一IP地址MAC地址分配时，该IP对应的绑定的MAC地址默认租约客户端分配到地址后，默认使用该地址的租约时间最小租约客户端分配到地址后，使用该地址的最小租约时间最大租约客户端分配到地址后，使用该地址的的最大租约时间服务状态DHCP服务状态具有启动、停止DHCP服务器、查看已发放IP地址功能。在左侧的导航栏中，选择【网络配置】—>【DHCP】—>【服务状态】，进入下图所示页面：启动、停止DHCP服务点击【监听】按钮，启动DHCP服务器；启动成功后，点击【停止】按钮，停止DHCP服务。已分配IP查看已分配IP地址的主机信息。在左侧的导航栏中，选择【网络配置】—>【DHCP】—>【已分配IP】，进入下图所示页面：参数说明主机名已分配到地址的客户端的主机名IP地址已分配的IP地址MAC地址已分配IP地址对应的MAC地址起始时间该IP地址分配出去的起始时间结束时间到达租约的结束时间即插即用基本配置在左侧的导航栏中，选择【网络配置】—>【即插即用】—>【基本配置】，进入下图所示页面：参数说明启用NetPnP是否启用即插即用，选中该复选框表示启用DNS设置设置域名服务器地址即插即用基本配置勾选启用NetPnP的复选框，填写DNS设置，点击【保存】按钮，完成配置操作。IDHCP基本信息参数说明DNS1域名服务器地址DNS2域名服务器地址DNS3域名服务器地址服务器端口服务器使用端口客户端端口客户端使用端口接口列表在左侧的导航栏中，选择【网络配置】—>【即插即用】—>【接口列表】，进入下图所示页面：添加虚拟接口参数说明物理设备物理网卡，虚拟设备所基于的物理设备虚拟设备虚拟设备名称，用于区别虚拟设备VID虚拟设备编号，VID是一个范围，如：1，2两个整数用逗号隔开，如果VID是一个数，那么输入1,1即可IP地址虚拟设备欲分配的IP地址网络掩码IP地址的网络掩码监听是否对该虚拟设备监听点击【添加】按钮，填写物理设备、虚拟设备、VID、IP地址、网络掩码，选择是否监听。点击【保存】按钮，完成添加操作。监听接口勾选图中欲监听设备的记录行，如图所示：点击【开始监听】按钮,在弹出的确认提示窗口中，点击【确定】，返回操作结果。iDHCP网段在左侧的导航栏中，选择【网络配置】—>【即插即用】—>【iDHCP网段】，进入下图所示页面：添加iDHCP网段参数说明网段虚拟网段掩码网络掩码网关欲分配地址客户端网关默认租约默认租约时间最小租约最小租约时间最大租约最大租约时间VID配置在左侧的导航栏中，选择【网络配置】—>【即插即用】—>【VID配置】，进入下图所示页面：添加iDHCP网段中地址池映射选择VID类型，选择“地址池映射”，点击【添加】按钮，弹出“添加地址池映射关系”，填写网段、名称、VID号、IP地址、默认租约、最小租约、最大租约参数；点击【保存】按钮，完成添加操作。参数说明网段iDHCP中添加过的虚拟网段名称该映射关系名称，用以区分映射关系VID虚拟设备中对应的VIDIP地址（池）IP地址范围，两个IP地址之间以逗号隔开默认租约默认租约时间最小租约最小租约时间最大租约最大租约时间添加iDHCP网段中单地址映射选择VID类型，选择【单地址映射】，点击【添加】按钮，弹出“添加地址池映射关系”，填写网段、名称、VID号、IP地址、默认租约、最小租约、最大租约参数；点击【保存】按钮，完成添加操作。参数说明网段iDHCP中添加过的虚拟网段名称该映射关系名称，用以区分映射关系VID虚拟设备中对应的VIDIP地址（池）单个IP地址默认租约默认租约时间最小租约最小租约时间最大租约最大租约时间添加iDHCP网段中IP/MAC映射选择VID类型，选择【IP/MAC映射】，点击【添加】按钮，弹出“添加地址池映射关系”，填写网段、名称、VID号、IP地址、默认租约、最小租约、最大租约参数；点击【保存】按钮，完成添加操作。参数说明网段Idhcp中添加过的虚拟网段名称该映射关系名称，用以区分映射关系VID虚拟设备中对应的VIDIP地址（池）单个IP地址网关客户端获得的地址对应的网关默认租约默认租约时间最小租约最小租约时间最大租约最大租约时间活动IP服务状态活动IP服务状态，查看当前iDHCP服务状态的启停状态。在左侧的导航栏中，选择【网络配置】—>【即插即用】—>【活动IP服务状态】，进入下图所示页面：参数说明VID虚拟设备对应的ID号MAC地址已分配IP地址对应的MAC地址IP地址已分配的IP地址映射前IP地址获得该活动IP前，客户端的IP地址点击【启动】按钮，启动iDHCP服务器，启动成功后，【启动】按钮变为【停止】按钮。启动成功后，【启动】按钮转换成的【停止】按钮，点击【停止】按钮，停止iDHCP服务。上网管理上网行为管理系统的上网管理信息，包括了用户识别，用户管理，用户组管理，访问策略，认证配置以及计费配置。用户识别用户识别在左侧的导航栏中，选择【上网管理】—>【用户识别】—>【用户识别】，进入下图所示页面：按IP识别：使用“按IP识别”的方式后，系统在“用户列表”中的用户名标识为“IP地址形式”，并且系统识别用户的依据为用户数据包中源IP地址。按MAC识别：使用“按MAC识别”的方式后，系统在“用户列表”中的用户名标识为“MAC地址形式”，并且系统识别用户的依据为用户数据包中源MAC地址。三层交换机在左侧的导航栏中，选择【上网管理】—>【用户识别】—>【三层交换机】，进入下图所示页面：添加三层交换机点击【添加】按钮，填写交换机IP以及密码。点击【保存】按钮，完成三层交换机配置添加操作。参数说明IP地址交换机的管理地址Community密码，默认为public本地网段在左侧的导航栏中，选择【上网管理】—>【用户识别】—>【本地网段】，进入下图所示页面：参数说明IP地址内网网段IP地址子网掩码网络掩码用户管理通过用户管理模块，可以进行用户组配置和用户配置，以及用户认证方式的配置。在用户组配置方面，可以根据IP地址段将不同的用户划分到不同的部门，方便进行策略的设定以及权限的规划。账号管理在左侧的导航栏中，选择【上网管理】—>【用户管理】—>【账号管理】，进入下图所示页面：添加账号点击【添加】按钮，填写用户名称、密码、密码确认、IP地址、MAC地址、有效期、共享人数，选择所属组、激活状态，点击【保存】按钮，完成添加操作。参数说明用户名称账号名称，唯一真实姓名用户真实姓名密码账号密码密码确认确认密码，防止密码输错IP地址账号对应的IP地址，用户账号及IP地址绑定，无限制可不填MAC地址账号对应的MAC地址，用户账号及MAC地址绑定，无限制可不填所属组账号所属的用户组共享人数可同时使用该账号登陆的人数激活态账号是否激活，有激活、不激活、有效期三个状态，其中有效期指账号在规定的时间内有效有效期账户生效的时间段账号导入点击【导入】按钮，弹出“导入用户”页面，输入相关参数，点击【确定】按钮，完成用户导入操作。参数说明数据来源选择账号数据的来源“数据文件”：账号数据由存储有账号数据的表格文件提供“LDAP”：账号数据由LDAP服务器提供“Windows域”：账号数据由Windows域控服务器提供“Radius”：账号数据由Radius服务器提供导入方式选择账号的导入方式“重建”：是清空系统内已存在的账号数据后，再添加新的账号数据。“追加”:是保留系统内已存在的账号数据后，再添加新的账号数据。导入位置指导入的账号所属组，缺省为“默认组”共享人数指导入的单个账号由多少人共享使用，缺省值为“1”账号状态指导入的账号的可用状态“激活”：账号可用“未激活”账号不可用“有效期”：账号在有效期内可用文件编码选择文件编码形式，包括GB2312和UTF-8两种文件选择选择一个要导入的文件。文件中数据格式为："用户名密码IPMAC"，如【testuser12345600:00:00:00:00:00】,各项属性用空格隔开注：该选项仅在“数据来源”为“数据文件”时有效账号导出点击【导出】按钮，弹出“正在下载文件”对话框，选择导出路径，点击【保存】完成导出操作。账号同步在左侧的导航栏中，选择【上网管理】—>【用户管理】—>【账号同步】，进入下图所示页面：配置LDAP服务器账号同步在下拉列表中选择同步认证账号的类型为“LDAP”,点击【添加】按钮，按照参数说明配置认证账号同步任务，点击【保存】,完成账号同步任务配置。参数说明数据来源选择需要同步账号的数据来源已有用户系统中已存在的认证账号的处理方式同步时间设置账号同步操作的执行时间入口位置导入位置设置账号的所属组，缺省为“默认组”配置Windows域账号同步在下拉列表中选择同步认证账号的类型为“Windows域”,点击【添加】按钮，按照参数说明配置认证账号同步任务，点击【保存】,完成账号同步任务配置。参数说明数据来源选择需要同步账号的数据来源已有用户系统中已存在的认证账号的处理方式同步时间设置账号同步操作的执行时间入口位置导入位置设置账号的所属组，缺省为“默认组”配置Radius服务器账号同步在下拉列表中选择同步认证账号的类型为“Radius”,点击【添加】按钮，按照参数说明配置认证账号同步任务，点击【保存】,完成账号同步任务配置。参数说明数据来源选择需要同步账号的数据来源已有用户系统中已存在的认证账号的处理方式同步时间设置账号同步操作的执行时间导入位置设置账号的所属组，缺省为“默认组”用户管理在左侧的导航栏中，选择【上网管理】—>【用户管理】—>【用户管理】，进入下图所示页面：添加用户左侧栏中“详细数据类型”选择“用户”，单击【添加】按钮，设置相关参数，点击【保存】，添加用户操作成功。参数说明用户名称添加的审计用户名称IP地址添加的审计用户IP地址Mac地址添加的审计用户Mac地址所属组审计用户所属的用户组添加用户组左侧栏中“详细数据类型”选择“用户组”，单击【添加】按钮，设置相关参数，点击【保存】，添加用户操作成功。参数说明名称用户组名称，唯一父用户组改组的“父用户组”属性地址范围认证时，查看认证用户的IP地址是否在该地址范围内首页重定向组中认证账户认证成功后跳转到的页面继承上级属性该组是否继承父用户组属性认证检查地址范围该组是否启用认证检查功能Web访问该组是否具有Web访问权限IP地址该组是否启用IP地址绑定功能MAC地址该组是否启动MAC地址绑定功能首次使用MAC地址该组中的认证账户，首次认证时是否进行MAC地址绑定状态该组的激活态，勾选该项，表示激活URL策略组该组使用URL过滤策略计费策略该组使用的计费策略时间段策略该组使用的时间段策略认证方式该组用户使用的认证方式，需要启用系统认证服务功能登录时长该组用户的最大登录时长空闲时长该组用户的空闲等待检测时长导入用户点击【导入用户】，按照上述参数说明，设置参数，点击【确定】按钮，完成审计用户账号的导入操作。参数说明导入方式系统中已存在审计账号的处理方式“重建”：该方式删除系统中已存在的账号后，再导入新的账号信息“追加”：该方式保留系统中已存在的账号后，再导入新的账号信息导入组设置账号的所属组，缺省为“默认组”文件编码设置导入的表格文件的编码方式，建议保持缺省值导出用户点击【导出用户】按钮，选择文件保存位置，完成文件下载操作。该下载的文件为表格格式，可用Excel等工具打开。用户归组点击【用户归组】按钮，弹出“更新用户所属组成功”，点击【确定】，完成审计用户归组操作。扫描用户点击【扫描用户】，如下图所示：参数说明扫描接口需要执行用户扫描操作的网络接口扫描类型执行用户扫描的方式“普通扫描”：通过ARP报文探测同一交换网内的在线用户信息“跨三层交换扫描”：通过执行SNMP请求操作，向三层交换机设备获取在线用户信息扫描IP段设置需要执行扫描操作的用户IP段设置相关条件，点击【开始扫描】按钮，开始执行用户扫描操作。勾选探测到的用户信息，点击【导入】按钮，如图所示：选择导入用户的“用户组”属性，单击【确定】，完成用户账号导入操作。访问控制当用户需要配置上网管理规则时，可以通过该功能进行上网管理策略的配置。ACL策略访问控制列表（AccessControlList）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。在左侧的导航栏中，选择【上网管理】—>【访问策略】—>【ACL策略】，进入下图所示页面：添加ACL策略点击【添加】按钮，填写源地址、目的地址、源端口号、目的端口号，选择协议类型、ICMP类型、接受和发送接口、动作，点击【保存】，完成添加操作。参数说明源IP源IP地址（提示:可使用'gateway'表示网关自身外发的数据包）目的IP目的IP地址（提示:可使用'gateway'表示网关自身接收的数据包）协议协议类型，包括TCP、UDP、ICMP三种协议，也可不指定源端口数据源端口目的端口数据目的端口ICMP类型当协议选择为ICMP时，选择该下拉列表框里的值接收接口接收数据接口发送接口发送数据接口时间策略使用该ACL规则的时间策略动作对数据包实行的动作，包括DROP、REJECT、ACCEPT三种报文类型使用该ACL规则的报文类型导出ACL策略点击【导出】按钮，选择文件保存位置，完成文件下载操作。该下载的文件为表格格式，可用Excel等工具打开。导入ACL策略点击【导入】按钮，如图所示，选择ACL规则的时间策略后，选择导出备份的ACL策略文件，点击【确定】，完成ACL规则导入操作。IP/MAC绑定在左侧的导航栏中，选择【上网管理】—>【访问策略】—>【IP/MAC绑定】，进入下图所示页面：添加IP/MAC绑定点击【添加】按钮，弹出“添加IP/MAC绑定”页面：参数说明添加方式指定IP/Mac绑定记录添加方式自动探测接口指定自动探测的端口自动探测类型指定自动探测类型“普通扫描”：通过ARP报文探测同一交换网内的在线用户信息“跨三层交换扫描”：通过执行SNMP请求操作，向三层交换机设备获取在线用户信息自动探测IP（段）自动探测的IP或IP段点击【开始探测】按钮，列出系统中IP/MAC对应列表，如图所示：选中要绑定的IP/MAC，点击【绑定所选】，完成绑定操作。IP/MAC阻断记录在左侧的导航栏中，选择【上网管理】—>【访问策略】—>【IP/MAC阻断记录】，进入下图所示页面：查看特定用户的阻断记录点击“搜索”框，弹出查询条件设置页面。在查询页面中输入需要查询的IP地址、MAC地址、时间段等参数，点击【搜索】按钮完成查询操作。导出阻断记录点击【导出】按钮，选择文件保存位置，完成文件下载操作。下载的文件为表格格式，可用Excel等工具打开。URL策略组在左侧的导航栏中，选择【上网管理】—>【访问策略】—>【URL策略组】，进入下图所示页面：添加URL策略组点击【添加】按钮，设置策略参数，点击【保存】，完成策略组添加操作。参数说明名称URL策略组名称URL组类型URL策略在类型“禁止”：所属该组的URL是禁止访问的“允许”：所属该组的URL是允许访问的URL策略在左侧的导航栏中，选择【上网管理】—>【访问策略】—>【URL策略】，进入下图所示页面：添加URL策略点击【添加】按钮，弹出如下对话框，设置好URL策略参数，点击【保存】，完成策略添加操作。导出/导入URL策略点击【导出】按钮，选择文件保存位置，完成URL策略备份文件下载操作。点击【导入】按钮，在弹出对话框中选择之前备份的URL策略文件，点击【确定】按钮，完成策略记录导入操作。认证配置设备提供了Web认证功能，支持及Radius和LDAP等认证服务器对接。认证方式在左侧的导航栏中，选择【上网管理】—>【认证配置】—>【认证方式】，进入下图所示页面：勾选“启用复选框”，选择认证方式，点击【保存】按钮，完成配置操作。参数说明启用是否启用用户认证方式启用认证时，设置认证方式，包括本地数据库认证、LDAP认证、远程认证服务器、Windows域认证和RADIUS认证配置LDAP认证参数认证方式勾选“LDAP”，出现如下配置界面，设置相关参数，点击【测试LDAP】按钮，测试系统及LDAP服务器连通性。点击【保存】按钮，完成LDAP认证配置。参数说明服务器地址LDAP服务器的地址服务器端口LDAP服务器端口基准DNLDAP服务器域名，常用的格式:dc=monkey,dc=com,dc=de用户属性LDAP服务器用户属性标识，一般为“cn”组属性LDAP服务器组属性标识，一般为“ou”登录账户标示LDAP服务器登录账号标识，一般为“sAMAccountName”管理员DNLDAP服务器管理账号域名，常用格式：cn=admin,dc=IBM,dc=org配置Windows域认证参数认证方式勾选“Windows域配置”，出现如下配置界面，配置Windows域认证参数，点击【测试Windows域】按钮，测试系统及Windows域服务器连通性，点击【保存】按钮，完成Windows域认证配置。参数说明服务器地址Windows域服务器的地址服务器端口Windows域服务器端口基准DNWindows域服务器域名，常用的格式:dc=monkey,dc=com,dc=de用户属性Windows域服务器用户属性标识，一般为“cn”组属性Windows域服务器组属性标识，一般为“ou”登录账户标示Windows域服务器登录账号标识，一般为“sAMAccountName”管理员DNWindows域服务器管理账号域名，常用格式：cn=admin,dc=IBM,dc=org配置Radius认证参数认证方式勾选“RADIUS”，出现如下配置界面，配置Radius认证参数，点击【保存】按钮，完成RADIUS认证配置。参数说明服务器地址Radius服务器的地址服务器认证端口Radius服务器认证端口服务器计费端口Radius服务器计费端口端口配置在左侧的导航栏中，选择【上网管理】—>【认证配置】—>【端口配置】，进入下图所示页面：参数说明认证服务器认证服务器IP地址，IP地址必须是点分十进制。例如：；网关服务器网关服务器IP地址，IP地址格式及认证服务器IP地址格式相同。认证端口必须是整数格式，范围在1~65535之间；例如：7755网关端口端口格式见上代理端口端口格式见上公告配置在左侧的导航栏中，选择【上网管理】—>