北控信息网络管家上网行为管理路由器
用户手册
产品型号:1080 1080W 3080W
北京控股信息发展有限公司
Beijing Enterprises Information Development Limited
地址:北京市海淀区曙光花园中路11号北京农科大厦B座9层
邮编: 100097
电话: 010-********
传真: 010-********
客服: 400-6158968或010-********
免责声明
本资料会进行不定期更新,本资料中的所有陈述、信息和建议不构成任何明示或暗示的担保。
目录目录 (3)
插图目录 (4)
前言 (6)
1设备描述 (7)
1.1 产品描述 (7)
1.2 环境要求 (9)
1.3 电源 (9)
2设备介绍 (10)
2.1 智能网关 (10)
2.2上网行为管理 (10)
2.3流量管理 (10)
2.4安全防护 (10)
2.5身份识别 (10)
3设备管理 (11)
3.1 登录 (11)
3.2 设备管理界面 (11)
3.3 导航首页 (13)
3.3.1 产品特性 (13)
3.3.2 网络基本配置向导 (13)
3.3.3 上网策略配置向导 (13)
3.3.4 系统及用户状态 (14)
3.3.5 技术支持 (14)
3.4 系统管理 (14)
3.4.1 系统配置 (14)
3.4.2 系统维护 (17)
3.5 网络管理 (21)
3.5.1 网络配置向导 (21)
3.5.2 网络模式 (22)
3.5.3 网络配置 (22)
3.5.4 无线配置 (29)
3.6 网络安全 (32)
3.6.1 NAT管理 (32)
3.6.2 VPN管理 (33)
3.6.3 其它安全 (35)
3.7 上网行为管理 (39)
3.7.1 全局策略设置 (39)
3.7.2 对象设置 (43)
3.7.3 上网策略配置 (47)
3.7.4 高级用户策略修改 (53)
3.7.5 在线用户查看 (54)
3.7.6 流量管理 (55)
插图目录图1-1 产品描述 (9)
图3-1 系统登录界面 (11)
图3-2 设备管理界面 (12)
图3-3 上网策略配置向导 (13)
图3-4 手工设置时钟 (15)
图3-5 NTP时钟同步 (15)
图3-6 口令修改 (15)
图3-7 系统升级 (16)
图3-8 备份配置 (16)
图3-9 恢复出厂配置 (17)
图3-10 日志服务器 (17)
图3-11 系统状态 (18)
图3-12 系统日志 (18)
图3-13 网络工具 (19)
图3-14 数据分析 (19)
图3-15 接口状态 (20)
图3-16 DHCP状态 (21)
图3-17 网络配置向导 (21)
图3-18 运行模式 (22)
图3-19 路由模式下内网配置 (23)
图3-20 透明模式下内网配置 (23)
图3-21 外网接口列表 (24)
图3-22 PPoE拨号线路接口配置 (24)
图3-23 静态线路接口配置 (25)
图3-24 智能路由设置 (26)
图3-25 静态路由列表-1 (26)
图3-26 添加静态路由 (27)
图3-27 静态路由列表-2 (27)
图3-28 静态路由列表-3 (27)
图3-29 添加源地址路由 (28)
图3-30 DHCP服务配置-1 (28)
图3-31 DHCP服务配置-2 (29)
图3-32 无线网络基本配置 (30)
图3-33 无线网络安全配置 (30)
图3-34 客人网络 (31)
图3-35 无线网络高级配置 (31)
图3-36 无线网络客户端状态 (32)
图3-37 端口映射 (32)
图3-38 添加端口映射 (33)
图3-39 DMZ主机 (33)
图3-40 PPTP服务端设置 (34)
图3-41 PPTP用户 (35)
图3-42 添加PPTP用户 (35)
图3-43 拨入用户列表 (35)
图3-44 攻击防御 (36)
图3-45 绑定列表 (36)
图3-46 添加IPMAC绑定 (36)
图3-47 MAC黑名单 (37)
图3-48 添加MAC黑名单 (37)
图3-49 手动扫描MAC (37)
图3-50 ARP限速 (38)
图3-51 信任设置 (38)
图3-52 信任列表 (39)
图3-53 全局默认策略 (39)
图3-54 邮件监控配置 (40)
图3-55 全局认证配置 (40)
图3-56 全局带宽配置 (41)
图3-57 电子公告配置 (42)
图3-58 全局用户连接数限制 (43)
图3-59 添加周期时间对象 (43)
图3-60 添加绝对时间对象 (44)
图3-61 网站对象 (44)
图3-62 新建用户组 (45)
图3-63 用户账户对象 (45)
图3-64 自定义业务对象 (46)
图3-65 应用对象查看 (46)
图3-66 上网策略添加 (47)
图3-67 上网策略列表 (47)
图3-68 上网策略配置向导 (48)
图3-69 应用对象策略 (49)
图3-70 网站访问策略 (50)
图3-71 高级网站策略 (51)
图3-72 自定义业务策略 (51)
图3-73 邮件策略 (52)
图3-74 关联用户配置 (53)
图3-75 配置用户组 (53)
图3-76 配置用户 (54)
图3-77 在线用户查看 (55)
图3-78 应用带宽保障 (56)
图3-79 修改带宽保障 (56)
网络管家产品系列前言
前言阅读对象
本文档主要适用于以下阅读者:
系统调测工程师【√】
系统维护工程师【√】
使用用户【√】
约定
符号约定
文档中可能出现的符号定义如下所示:
符号说明
警告表示有中度或低度潜在危险,如果不能避免,可能导致较严重结果。
注意表示有潜在风险,如果忽视这些文本,可能导致不可预知的结果。
有用信息表示能帮助您高效率解决某些问题。
备注信息表示对正文的强调和补充。
通用格式约定
格式说明
黑体中文:1 -6级标题,图表/表格题注采用黑体
Arial英文:1 -6级标题,图表/表格题注采用Arial
宋体中文:正文采用宋体
Times New Roman 英文:正文采用Times New Roman
修改记录
修订时间修订人审核人修订版本
2011.04.07 马希铭 3.3
1 设备描述
1.1 产品描述
型号
特性
1080 1080W 3080W
网络管家系列——硬件性能特性
产品外观
外形尺寸
(宽x深x高)
260x130x44 260x130x44 260x130x44
USB接口1xUSB2.0 1xUSB2.0 1xUSB2.0
业务接口5xFbE(RJ45) 5xFbE(RJ45) 5xFbE(RJ45)
广域网接口1-4个1-4个1-4个
局域网接口4-1个4-1个4-1个
可拆天线/ 2个2个
WIFI / 支持支持
输入电压AC:100-240V AC:100-240V AC:100-240V
最大功耗15W 20W 35W
工作环境温度:0 ~ 40° C
湿度:5 ~ 85 %
温度:0 ~ 40° C
湿度:5 ~ 85 %
温度:0 ~ 40° C
湿度:5 ~ 85 %
存储环境温度:-20 ~ 75° C
湿度:5 ~ 95 %
温度:-20 ~ 75° C
湿度:5 ~ 95 %
温度:-20 ~ 75° C
湿度:5 ~ 95 %
并发会话数4000 4000 8000 推荐用户数<50 <50 <80 网络管家系列——智能网关功能规格
部署模式网关模式支持路由转换部署模式网桥模式支持透明串接部署模式
地址转换动态地址转换基于W AN接口地址动态地址转换,基于地址池动态地址转换端口映射基于端口映射转换
其他支持DMZ,UPnP
路由策略静态路由支持静态路由,缺省路由
接入模式支持静态IP接入/支持PPPoE接入/DHCP客户端网络管家系列——行为管理功能特性
上网权限管理权限开关用户上网权限控制
时间控制基于时间段控制用户上网权限
网页行为管理关键字过滤过滤匹配关键字的搜索行为
发帖管理过滤匹配关键字的网络发帖行为
网址分类网址黑名单常用网址归类
网页审计网址访问记录,非法网址,关键字访问告警
用识别管理P2P应用管理迅雷、BT、电驴(ED2K/KAD)、PPLIVE、百宝、酷我音乐盒、比特彗星、酷狗、网际快车、网盘下载、QQ旋风、汉魅、比特精灵
即时通信管理MSN、RTX、QQ、飞信、SKYPE、阿里旺旺、新浪UC、雅虎通、网易POPO、飞信、Google Talk、51彩虹、9158-IM
网络游戏管理魔兽世界、诛仙、梦幻西游、泡泡堂、劲舞团、魔域、征途、跑跑卡丁车、完美世界、VS对战平台、浩方对战平台、起凡游戏平台、迅雷游戏平台、新浪游戏中心、都秀视频游戏、QQ空间、QQ游戏、联众世界、多多视频游戏、QQ空间中的游戏、中国游戏中心
股票证券管理招商证券、国信证券、指南针、通达信系列行情、操盘手、大智慧、同花顺、钱龙、证券之星
网络电视PPTV网络电视、皮皮免费高清影视、Cbox、风行、UUSEE、QQLIVE、PPS网络电视、快播、九品网视、迅雷看看、暴风影音
WEB视频酷6视频、56视频、搜狐视频、土豆视频、凤凰宽频、中国网络电视台、迅雷看看、优酷视频、芒果视频、QQ播客、激动网视频、乐视网视频、6间房视频、腾讯视频、奇艺视频、新浪视频
邮件行为管理邮件过滤邮件黑/白名单邮件审计
网络管家系列——流量管理功能特性
流量管理功能连接数管理针对全局/用户/用户组连接数管理带宽管理针对全局/用户/用户组带宽管理
网络管家系列——安全防护功能特性
网络安全功能DoS攻击防御支持sys-flood攻击防御ARP限速支持,20~2000(包/秒)ARP信任机制支持
IP+MAC绑定支持用户IP+MAC绑定VPN 支持PPTP VPN
网络管家系列——用户认证功能特性
本地认证身份识别用户名+密码+IP+MAC(1080/1080W不支持) 认证模式支持Portal认证
网络管家系列——维护管理功能特性
系统维护系统日志支持审计日志支持网络检测支持数据分析支持系统诊断支持
系统管理固件升级
支持本地web升级
支持USB升级
支持远程在线升级
配置管理支持配置文件上传/备份
恢复出厂设置支持软件/硬件恢复出厂设置登陆方式支持WEB登陆管理
NTP 支持NTP时间同步协议
配置管理支持配置文件上传/备份
登陆方式支持WEB登陆管理
图1-1产品描述
1.2 环境要求
设备可在如下的环境下使用:
温度:0~60℃
湿度:10~80%相对湿度,无凝固
注意:为保证系统能长期稳定的运行,应保证电源有良好的接地措施、防尘措施、保持使用环境的空气通畅和室温稳定。本产品符合关于环境保护方面的设计要求,产品的安放、使
用和报废应遵照国家相关法律、法规要求进行。
1.3 电源
产品使用交流110V 到230V 电源。
警告:请使用原配电源,否则可能导致本产品及USB设备损坏
2 设备介绍
北控信息网络管家系列上网行为管理路由器是一款综合性安全产品,支持网关/桥接模式,有效融合了多线路智能网关、行为管理、流量控制、安全防护、用户认证等功能特性,满足广大中小企业用户对网络接入、网络安全、网络监管应用的需求,具备实用性、易用性、灵活性等特点。北控信息网络管家系列上网行为管理路由器现阶段包含1080、1080W、3080W共3款产品。
2.1 智能网关
支持路由转换和透明串接两种部署模式,您可以在路由器和交换机之间轻松切换;
支持动态地址转换、端口映射以及DMZ;
支持多wan智能路由、负载均衡路由(ecmp/wcmp),有效利用带宽,提高您的上网体验;
外网线路支持静态IP和PPPoE两种接入方式。
2.2上网行为管理
上网权限管理:包括用户上网权限开关控制以及基于时间段的用户上网权限控制;
网页行为管理;设备预置了常用网站对象分组,您可以将指定网站对象加入黑、白名单,限制上网用户能够访问的网站;
网络应用软件行为管理:设备预置了常用网络应用软件对象(参见图1-1产品描述),您可以对上网用户对这些网络应用软件的使用进行监控;
邮件行为管理;支持邮件黑白名单、邮件过滤以及邮件内容审计。
2.3流量管理
流量管理是针对上网用户、用户组进行流量控制,达到合理利用带宽、带宽保障的目的。
2.4安全防护
Dos攻击防御:支持syn-flood;
IP+MAC绑定;支持用户IP+MAC绑定;
ARP限速:可以保护设备免受ARP泛洪攻击;
ARP信任机制:可以在路由器不绑定IP+MAC情况下有效的防止内网ARP病毒。
2.5身份识别
身份识别:用户名+密码+IP;
认证模式:支持Portal认证。
3 设备管理3.1 登录
将管理员PC与设备连接后,打开IE,访问:htttp://192.168.1.1,将会返回网络管家设备管理登录界面,输入用户名:admin,密码:admin,点击<登录> 进入设备管理界面。
图3-1系统登录界面
备注信息:
1.设备出厂缺省内网接口IP是:19
2.168.1.1;
2. 设备出厂缺省设备管理账户是:admin / admin;
3. 设备管理登录界面会显示出该设备的具体型号。
3.2 设备管理界面
图3-2设备管理界面
设备管理员成功登录后将返回设备管理界面。如图3-2所示,界面分三个显示区域:
工具栏:工具栏左侧显示“主显示区”的页面路径,工具栏右侧是全局功能按钮:
?从当前页面返回到导航首页,导航首页包含了产品的基本信息、系统基本
参数查看快捷按钮以及配置向导;
?重新加载当前页面的数据;
?保存所有配置页面的最新配置到设备永久存储器,当设备重启时,这些配置
将被加载;
?应用所有配置页面的最新配置到当前系统中,使得最新配置在系统中即时生
效;
?重启设备;
?退出设备管理配置界面,返回到设备管理登录界面;
有用信息:由于“保存配置”和“应用生效”会耗费一定的时间,为了提高配置效率,建议您在完成所有相关配置后再点击“保存配置”和“应用生效”。
菜单区:菜单区分为四个部分:
?包含系统参数设置、系统日常维护的相关配置页面;
?包含网络模式、网络参数的相关配置页面;
?包含网络安全相关的配置面;
?包含上网行为管理相关配置页面。
主显示区:所有系统参数的显示以及配置都在主显示区进行,点击左侧菜单区中不同的菜单项,主显示区将显示该菜单项对应的配置页面。
3.3 导航首页
导航首页包含了产品的基本信息、系统基本参数查看快捷按钮以及配置向导。
有用信息:如果您是第一次配置网络管家系列设备,建议您在“导航首页”配置向导的引导下进行配置,配置向导可以让您的配置过程变得轻松、快捷,让您对网络管家的配置流程
一目了然。
3.3.1 产品特性
产品特性简要介绍了网络管家产品特点、性能和技术亮点。
3.3.2 网络基本配置向导
采用向导方式引导用户进行基本网络配置,以简化用户的配置操作。包括系统的运行模式、内外网配置等。点击“网络基本向导配置”按钮,可使用向导进行配置。
3.3.3 上网策略配置向导
网络管家采用先进的“基于用户的管理模式”,突破了传统“基于IP的管理模式”,不但可以直接为每个用户加载策略,而且可以直观的了解每个用户的上网状态。进行上网策略配置请参考以下示意图:
图3-3上网策略配置向导
上网策略是各种对象的组合,因此在配置上网策略之前需要配置各种对象,如:配置时间对象,可
以点击
3.3.4 系统及用户状态
为了方便您及时了解网络管家网络管家的运行状态、系统资源以及网络运行状态,我们提供了丰富的系统状态报表及工具。我们也给您准备了一份当前所有上网用户的信息报告!您可以看到每个上网用户的用户名、IP地址、连接数、上下行流量、上下行速率以及在线时间。怎么看哪?
3.3.5 技术支持
北控信息技术服务中心将为您提供专业的技术支持,您在使用过程中遇到任何问题,请在法定工作日9:00-17:00通过以下方式与我们联系:
客服电话:400-6158968,010-********
3.4 系统管理
系统管理包含系统参数设置、系统日常维护的相关配置。
3.4.1 系统配置
包含系统时间、口令修改、系统升级、备份配置、恢复出厂配置、日志服务器。
3.4.1.1 系统时间
系统时间有手动设置时钟和NTP同步时钟两种。
手动设置时钟:可以通过点选方式手动设定系统时钟,也可以点击<今天>,与管理员PC的系统时钟进行一次同步;
图3-4手工设置时钟
注意:系统重启后,系统时间可能会还原到出厂时间(视机型不同),如果系统能访问互联网,系统会自动同步时间。如果不能同步,需手工同步设置时间,可以选择"今天"同步到当
天时间。
NTP时钟同步:包含使用默认NTP服务器和自定义NTP服务器两种方式,前者需要网络管家设备能和互联网连接,后者主要是用于没有连接互联网的情况,系统通过内网的NTP服务器进行
NTP时钟同步。
图3-5NTP时钟同步
3.4.1.2 密码修改
修改您的WEB登录密码。
图3-6口令修改
密码支持位数:最小位数3位,最大位数为32位(数字、字母、下划线);
系统使用的默认密码是admin,强烈建议在使用本产品时修改管理密码,并妥善保管;
如有遗忘请恢复出厂配置。
3.4.1.3 系统升级
选择可用的升级文件,使设备进行软件升级。
图3-7系统升级
升级本设备,须通过内网管理连接至本设备进行;
新的升级包都可以得到更多的功能和更好的性能;
单机连接,登录到该设备的“系统升级”页面,选择正确升级包,确定升级,升级完成后重启生效;
升级大约需要花费3~4分钟,升级过程中如果断电将导致升级失败。如果升级失败,重新启动设备,完成上面步骤。
警告:升级文件请到本公司指定的网站进行下载。请不要使用非法的升级文件,可能导致设备不能启动!
3.4.1.4 备份配置
图3-8备份配置
此功能可以在您因为操作不当导致配置出现错误时,使用原先保存的配置文件恢复配置;
点击<保存配置>按钮,将设备的所有配置保存为文件;
点击<下载>按钮,将设备的配置文件下载到本地;
点击<浏览>按钮,指定原先保存的配置文件在本地电脑中的位置,确定后,点击“上传”按钮开始恢复配置,恢复成功后重启生效。
3.4.1.5 恢复出厂配置
图3-9恢复出厂配置
恢复出厂配置将清空现有配置,请谨慎使用该功能;
恢复出厂配置大约需要花费2分钟。请耐心等候。
备注信息:恢复出厂配置将清空现有配置,内网地址将设置为192.168.1.1,子网掩码为255.255.255.0,请确认您可以访问该地址,否则将不能管理设备。
3.4.1.6 日志服务器
日志服务器用于设置是否将网络管家的审计日志发送到外部syslog服务器上。怎样收?这样看?怎样长期保存?
图3-10日志服务器
注意:审计日志只有一份,或是发送到指定服务器,或是在设备上保存并在审计日志窗口中显示,系统日志不发送到日志服务器。
3.4.2 系统维护
包括系统状态、系统日志、审计日志、网络检测、数据分析、接口状态、DHCP状态。
3.4.2.1 系统状态
显示系统的状态信息,包括设备类型、系统时间、内存使用率等信息。
图3-11系统状态
3.4.2.2 系统日志
系统日志显示的是您在该设备上的操作记录。
图3-12系统日志
3.4.2.3 审计日志
审计日志用于记录用户的上网行为,当启用了日志服务器功能,审计日志将被发送至指定
服务器,设备将不再保存。怎样看?怎样导出?自动保存吗?能看到什么?目的地址?3.4.2.4 网络检测
ping工具和arp扫描以进行简单的诊断设备的网络情况。
ping命令用于验证网络的连接情况。
ARP扫描用于查看当前ARP表。(能进行远程检测吗?能为客户分析内网的健康状况吗?)
图3-13网络工具
3.4.2.5 数据分析
数据分析配置用于抓取接口数据包,以便分析当前网络情况。
图3-14数据分析
类型:是指抓包过滤的协议类型,缺省为全选,表示抓取所有协议类型的数据包,当勾选部分协议类型时,表示只抓取选中协议类型的数据包,其他协议类型的数据包将被过滤掉;
源地址/端口:是指您将只抓取该源地址/端口的数据包,缺省配置为空表示抓包时对源地址/端口不做限制;
目的地址/端口:是指您将只抓取该目的地址/端口的数据包,缺省配置为空表示抓包时对目的地址/端口不做限制;
接口:是指您将在哪些接口上抓取数据包,您可以在设备所有网络接口上抓包,也可以指定某个网络接口抓包;
数量:是指您本次抓包操作将要抓取的数据包数量,当设备抓取到设定数量的数据包后,将自动停止抓包操作,数量范围为1-100,缺省配置为100;
抓包结果:抓包结果将保存到设备中,您可以点击<下载>将抓包文件下载到本地,也可以点击<查看>,将在设备管理页面开启一个显示抓包文件内容的窗口;
开始抓包:当您配置好各种抓包参数后,可以点击<开始抓包>按钮,执行本次抓包操作;
停止抓包:当设备正在抓包时,你可以中途停止设备的抓包操作,这时您可以得到部分抓包结果。
有用信息:
1.下载到本地的抓包文件packet.cap可以用Wireshark或其他抓包软件打开;
2. 每次抓包都将覆盖上次的抓包文件。
可以抓包?远程可以抓包吗?能看出什么眉目吗?能看出什么异常吗?Wireshark已经下载(J:TDDOWNLOAD)
3.4.2.6 接口状态
显示设备所有网络接口的状态。
图3-15接口状态
备注信息:通过接口状态界面观察已配置广域网和局域网的连接状态以及接口信息。其中包括:设备接口的物理地址(网卡MAC地址),IP地址,子网掩码,网关地址,接收/发送数据
量等信息;
3.4.2.7 DHCP状态
DHCP主机列表显示当前DHCP服务器已经分配的IP地址、获取该IP的计算机的MAC地址、获取该IP的计算机名称、IP地址租约到期时间。没有客户名称吗?能不能再加一个自定义显示?