下载文档原格式
海蜘蛛详解1.1. 什么是海蜘蛛路由海蜘蛛路由(Hi-Spider Router) 系统是一套运行于x86-CPU 硬件架构(即普通PC机)上的路由系统。
它基于GNU/Linux2.6 系列稳定内核开发。
海蜘蛛路由系统针对中国互联网的特点,根据终端接入路由器的功能需要,专门设计并构建了一套专用Linux 系统,并以此系统为基石,以用户需求为导向,逐步开发了路由系统的各个通用模块,以及针对有中国特色的网络环境所设计的一系列的专用模块。
整个系统模块化、灵活性和可扩展性强,体积精减、运行效率高,安全性好、稳定性佳,并具有良好硬件兼容性。
海蜘蛛路由广泛适用于企业、家庭或社区网络等场所,尤其是网吧、学校等大流量的网络环境。
1.2. V8的新特性和改进1. 内核V8 版采用2.6.32.10 稳定内核,相比2008(2.6.18内核)和2009(2.6.31内核),支持更多的硬件,且性能和稳定性都有较大的提升。
V8 内置3种内核,全面支持各种x86 CPU,从退出历史舞台的386 到主流的64 位多核磁盘文件系统支持EXT3/ReiserFS/XFS,可靠性更强支持双核、多核CPU支持SCSI 磁盘,支持通过USB/SCSI 光驱安装系统支持笔记本PCMCIA/CardBus 网卡、支持市面上最新的Intel/Realtek 等系列千M网卡网卡IRQ 问题得到良好的解决(需主板支持)更快的启动速度、更小的内存占用系统启动信息中文显示、控制台登录中文支持2. 网络接入3G 无线上网支持(WCDMA、CDMA2000、TD-SCDMA),支持USB无线上网卡PPPoE 拨号服务支持三层交换机,即客户机跨VLAN 拨号单WAN口通过三层交换机(或支持VLAN的二层交换机)扩展多ADSL拨号,将多条ADSL 直接接入交换机,路由只需一个WAN口接交换机;最多同时支持4096 条ADSL,完美解决多WAN口IRQ冲突问题双LAN 口,实现两个局域网的物理隔离,方便管理。
DMZ主机
DMZ (Demilitarized Zone) 即俗称的非军事区,与军事区和信任区相对应,作用是把Web、E-mail等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。
DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。
这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私人信息等,即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。
划分DMZ区的好处:
∙DMZ可以为主机环境提供网络级的保护,能减少为不信任客户提供服务而引发的危险,是放置公共信息的最佳位置。
∙DMZ使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击,攻击者即使初步入侵成功,还要面临DMZ设置的新的障碍。
一.D MZ主机的设置
web登录海蜘蛛路由->“防火墙”->“DMZ 主机”,进入DMZ主机设置页面,点击新增规则,进入新增DMZ主机设置页面:
然后保存设置即可。
提示:外网用户访问该服务器时使用的IP地址为公网IP地址;内网用户访问该服务器时使用的IP地址为:192.168.0.88 。
DMZ主机可以把不使用的端口号如880,443等添加到忽略端口(D MZ主机使用的端口不能跟路由开启的端口发生冲突)。
被DMZ 主机使用的广域网IP,其相应的端口映射规则将自动失效。
计算机设置为DMZ 主机后,如同直接具有广域网IP,并且将不再受到防火墙的保护。
海蜘蛛软路由由国内上网行为管理领域的领头羊——武汉海蜘蛛科技有限公司荣誉出品。
网摘要该文档简要阐述了武汉海蜘蛛网络科技有限公司(Hi-Spider Network Technologies Inc.)的荣誉产品海蜘蛛路由系;列产品技术特点、功能特点和配置方法,欢迎垂询。
武汉海蜘蛛网络科技有限公司电话:2004-2008版权所有版权信息Hi-Spider Router版权所有(C)2005-2008 武汉海蜘蛛网络科技有限公司(Hi-Spider NetworkTechnologies Inc.),保留所有权利文档保证声明本手册以提供信息为目的,所含信息可随时更改,恕不另行通知。
由此情况引起的与之有关的直接或间接的损失,本公司均不负责。
商标注明Hi-Spider 是武汉海蜘网络科技有限公司的注册商标Hi-Spider Linux 是海蜘蛛的注册商标其它品牌和制造者的姓名,可能是他们各自公司的商标或注册商标联系方式总公司地址:武汉市洪山区街道口珞珈山大厦A座1406电话:86-027- 传真:86-027- 邮编:430070公司网站:目录第一章用户手册简介感谢您使用Hi-Spider Router 专业宽带路由系统!Hi-Spider Router专业宽带路由系统性能卓越、功能丰富、易于操作、管理方便,旨在为企业/网吧/社区的网络提供一款高效、稳定、低成本的多功能宽带路由器。
Hi-Spider Router 专业宽带路由系统配置极其简单,无需专业人员即可按照本手册安装配制完成。
请您准备安装使用本产品之前,请先仔细阅读本手册,以全面利用本产品的所有功能。
用途本手册的用途是帮助您熟悉和正确使用Hi-Spider Router 专业宽带路由系统。
约定本手册中所提到的路由系统,如无特别说明,系指Hi-Spider Router 专业宽带路由系统。
在你阅读这本手册的时候,你会注意到某些字词使用了不同的字体、大小和粗细。
这种突出显示是有矩可循的;用同一风格来代表不同字词以表明它们属于同一类型。
.4. 各版本之间的区别第 1 章欢迎使用1.4. 各版本之间的区别功能类别功能特性网吧版/免费版企业版ISP版mini ISP版(最多30个内网用户)WR505G(wifi专用版硬件)BR403G(网吧版硬件)网络接入、路由功能支持xDSL/PPPoE、DHCP、光纤等多种接入方式6条12条24条24 条 3 条 3 条动态静态路由功能(静态路由动态更新)√√√√√√动态域名解析√√√√√√动态接入方式(ADSL/PPPoE)的双线策略路由√√√√√√路由表在线自动更新√√√√√√外网接口绑定多个IP地址X √√√√X 多线路带宽/流量叠加/带宽汇聚√√√√√√VLAN网络环境支持(用于有三层交换机划分VLAN的场合)X √√√X X端口镜像(针对IP/数据包/源目的端口等复制流量)√√√X X X端口分流(针对IP、端口指定线路走向)√√√√√√3G 移动上网接入支持(WCDMA/CDMA2000/TD-SCDMA)X √√X √X 加无线网卡提供无线接入服务(AP)√√√X √√功能类别功能特性吧版/免费版企业版ISP版mini ISP版(最多30个内网用户)WR505G(wifi专用版硬件)BR403G(网吧版硬件)VPN 功能支持PPTP VPN/SSL VPN/L2TPVPN/IP 隧道虚拟线路接入√√√X X √通过VPN 借线实现多线策略路由及负载√√√X X √IP隧道服务端(IPIP/GRE) X √√X X X防火墙功能支持UPnP (即插即用) √√√√√√端口映射√√√√√√DMZ 主机√√√√√√ACL策略控制√√√√√√上网行为管理基于应用协议特征过滤X √√X X X上网权限控制(按时间段等) X √√√X X基于对象的防火墙(预定义对象/分组)X √√X √X 上网到期提前通知、到期自动断网X X √√√X 上网Web 认证/第三方Web认证X X √√√XPPPoE 拨号服务器RADIUS认证(针对PPPoE绑定MAC或限制帐号同时拨入次数)限15用户不限不限30用户上限X X 支持三层交换机跨VLAN 拨号X √√√X X 第三方PPPoE认证X √√√X X流量控制按时段、IP、端口、协议等限制上传和下载规则√√√√√√网卡流量信息图形统计√√√√√√表 1.1. 各版本之间的区别。
海蜘蛛软路由内网限速/P2P限制教程搞定公司内网的限速问题勒,在这里跟大家小小的分享一下自己的笔记和经验。
VM下的运行情况在3.29版中支持的前提下,已经快过2天了,还没有当机的情况出现:原内网的组成结构:电信ADSL 3M 接入 & D-Link DI-624+A (老年期无线路由器)TP-LINK 48 口交换机 & TP-LINK 4 口交换机若干个 (分连线专用)现内网的组成结构:电信ADSL 3M 接入 & 海蜘蛛 ROS (网管机下开VM跑着分256MB内存)TP-LINK 48 口交换机 & TP-LINK 4 口交换机若干个 (分连线专用)总带机数为37台,由于原内网的组成结构并没有任何限速方案存在,导致内网的P2P下载& 点播泛滥而造成网络N卡的情况。
由于接入的带宽仅为3M,在仅有的带宽中,制定以下限速设置:全局设置中以ADSL3M计算,并启用限速功能全局设置完成后,在上行控制中添加两个规则,下图中VIP为保证工作需要的端口限速设置,USER为非工作需要时端口限速,注意在添加时把目的端口写上,我这里的保证工作需要的端口限速设置为: 80 , 25 , 110 , 443 这几个,保证他们的访问速度。
上行控制完成后,在下行控制中添加两个规则,下图中VIP为保证工作需要的端口限速设置,USER为非工作需要时端口限速,注意在添加时把目的端口写上,我这里的保证工作需要的端口限速设置为: 80 , 25 , 110 , 443 这几个,保证他们的访问速度。
完成上行与下行的限速后,对P2P方面要进行一定的封杀,按下图设置,然后再在DNS过虑处封杀几个迅雷的DNS地址在防火墙的设置处,注意启用TCP & UDP 的单机限速功能,分别为: 200DNS ,用于封杀P2P的迅雷以下WAN的接入,我的设置为PPPoe拨号设置:。
1、使用超级终端,名称任意,连接com端口,回车,出现<H3C>表明已经连接了防火墙。
2、输入一系列配置命令如下:[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit[H3C]firewall zone trust[H3C-zone-trust]add interface ethernet0/0The interface has been added to trust security zone.[H3C-zone-trust]add interface ethernet0/1The interface has been added to trust security zone.[H3C-zone-trust]add interface ethernet0/2The interface has been added to trust security zone.[H3C-zone-trust]quit[H3C]bridge enableBridge module has been activated[H3C]bridge 1 enableBridge set has been activated[H3C]interface bridge-template 1[H3C-Bridge-template1]ip address 192.168.1.188 255.255.255.0[H3C-Bridge-template1]quit[H3C]interface ethernet0/0[H3C-Ethernet0/0]bridge-set 1The port has been in the set[H3C-Ethernet0/0]quit[H3C]interface ethernet0/1[H3C-Ethernet0/1]bridge-set 1The port has been in the set[H3C-Ethernet0/1]interface ethernet0/2[H3C-Ethernet0/2]bridge-set 1The port has been in the set[H3C-Ethernet0/2]quit[H3C]firewall zone trust[H3C-zone-trust]add interface bridge-template 1The interface has been added to trust security zone.[H3C-zone-trust]quit[H3C]saveThe configuration will be written to the device.Are you sure?[Y/N]yNow saving current configuration to the device.Saving configuration flash:/config.cfg. Please wait...................Current configuration has been saved to the device successfully.[H3C]3、进入WEB页面配置IP地址:192.168.1.122 子网掩码:255.255.255.0IE地址栏:http:// 192.168.1.185(省调项目)188(SIS网的防火墙)用户名:Admin 密码:Admin我们在web页面配置下,没有什么重要的配置,只是要勾选下所有的攻击类型。
海蜘蛛详解1.1. 什么是海蜘蛛路由海蜘蛛路由(Hi-Spider Router) 系统是一套运行于x86-CPU 硬件架构(即普通PC机)上的路由系统。
它基于GNU/Linux2.6 系列稳定内核开发。
海蜘蛛路由系统针对中国互联网的特点,根据终端接入路由器的功能需要,专门设计并构建了一套专用Linux 系统,并以此系统为基石,以用户需求为导向,逐步开发了路由系统的各个通用模块,以及针对有中国特色的网络环境所设计的一系列的专用模块。
整个系统模块化、灵活性和可扩展性强,体积精减、运行效率高,安全性好、稳定性佳,并具有良好硬件兼容性。
海蜘蛛路由广泛适用于企业、家庭或社区网络等场所,尤其是网吧、学校等大流量的网络环境。
1.2. V8的新特性和改进1. 内核V8 版采用2.6.32.10 稳定内核,相比2008(2.6.18内核)和2009(2.6.31内核),支持更多的硬件,且性能和稳定性都有较大的提升。
V8 内置3种内核,全面支持各种x86 CPU,从退出历史舞台的386 到主流的64 位多核磁盘文件系统支持EXT3/ReiserFS/XFS,可靠性更强支持双核、多核CPU支持SCSI 磁盘,支持通过USB/SCSI 光驱安装系统支持笔记本PCMCIA/CardBus 网卡、支持市面上最新的Intel/Realtek 等系列千M网卡网卡IRQ 问题得到良好的解决(需主板支持)更快的启动速度、更小的内存占用系统启动信息中文显示、控制台登录中文支持2. 网络接入3G 无线上网支持(WCDMA、CDMA2000、TD-SCDMA),支持USB无线上网卡PPPoE 拨号服务支持三层交换机,即客户机跨VLAN 拨号单WAN口通过三层交换机(或支持VLAN的二层交换机)扩展多ADSL拨号,将多条ADSL 直接接入交换机,路由只需一个WAN口接交换机;最多同时支持4096 条ADSL,完美解决多WAN口IRQ冲突问题双LAN 口,实现两个局域网的物理隔离,方便管理。
(也可以支持三个以上的LAN 口,需订制)支持自定义LAN/WAN 口网卡(指定哪个网卡做LAN口,哪个做WAN口)多动态域名解析,可为每条WAN线都绑定一个或多个动态域名,即使一个动态域名解析失效,还可通过其他动态域名访问。
更强的多线策略& 负载支持,支持多策略路由(如:电信+网通+铁通),支持带宽叠加和策略路由混用(如:2条电信ADSL+3条网通ADSL)更灵活的多线策略及负载自定规则,可设定访问指定IP、端口走指定线路,包括VPN 线路一个WAN口绑定多个ADSL帐号同时拨号,适用于基于以太网的PPPoE拨号(无需猫),且需要ISP支持一个MAC地址可以拨多个PPPoESSL VPN 支持虚拟双线(VPN借线)、支持局域网互联(LAN-to-LAN)SSL VPN 支持桥接模式,支持异地多个局域网互联进行LAN GAME 游戏IP 隧道支持动态域名解析和局域网互联(LAN-to-LAN)支持无线网卡(PCI、USB),支持无线接入点功能(加一块无线网卡即变成一台功能强大的无线路由器)3. Web 管理Web 管理支持两级权限:超级用户+普通用户(只能查看,不能修改设置)改进Web实时监测程序,占用更少系统资源,显示结果更精确,2008 版监测程序运行一段时间后会导致CPU占用过高统一配置文件格式,单文本文件存储,可任意导入导出系统每个模块的配置(比如防火墙规则、流控规则)PPPoE/VPN 用户账号支持批量修改或以文本格式导入导出多语言支持4. 防火墙防火墙支持更多高级参数配置(TCP/UDP协议相关)支持黑白名单、网址过滤/关键字过滤不依赖Web 代理一对一NAT支持防火墙关键字过滤、网址过滤加入通配符和正则表达式支持5. 其他功能同吧在线PPPoE用户拨号后可以查看拨号信息,和自主修改密码等丰富的计划任务功能,支持定时发送系统配置、ADSL拨号后的最新IP到指定邮箱;支持定时重新拨号;支持定时修改WAN口IP等多线智能DNS解析功能,成为一台智能DNS解析服务器,网通用户解析到网通IP,电信用户解析到电信IP防运营商DNS 劫持内网DNS 查询日志统计分析,对内网DNS 行为了如指掌通过网页向用户推送通知支持Web 认证上网,上网时用户打开任意网站跳转到认证页,通过验证后才可以上网流量控制限速规则支持按时间段控制智能QoS 支持,根据网络状态动态分配带宽,重要数据优先转发,提升用户上网体验网卡流量统计图,时间分为(1分钟、5分钟、15分钟、1小时、5小时、1天、1星期、1月、1年)系统日志支持转发到外部SYSLOG 服务器、Web 代理支持客户上网日志PPPoE/VPN 帐号支持限制在指定时间段内允许拨入6. 安全方面SSH 端口可自定义修改、可设定SSH 服务只监听内网IP支持Web 管理强制使用SSL 连接通过Web 管理不能查看到ADSL 密码,普通用户不能查看所有密码详细安装步骤校验MD5码先下载路由系统的ISO镜像文件(以.iso 结尾),为了保证您所下载的文件的完整性,建议在下载完成后对其进行MD5 校验,以确保下载文件的完整性,否则错误的ISO文件可能会导致安装无法正常进行。
图1.1图1.2海蜘蛛路由是基于GNU/Linux2.6 系列稳定内核开发,如果要在同一台服务器上安装海蜘蛛,那么就得专门用一个硬盘来安装,这里新添加一个虚拟机用来安装海蜘蛛操作系统。
图1.3图1.4添加一块网卡,也就是用于标志与外网相连的网卡。
图1.6图1.8图1.9进入了海蜘蛛安装界面图1.10一般情况下选择全新安装,按[ENTER]继续,如果安装时出现黑屏或白屏,请重启计算机,在boot: 提示符后面输入rescue 并按[ENTER]继续。
图1.11如果遇到以下错误提示,请重启计算机,在boot: 提示符后面输入failsafe 并按[ENTER]继续。
图1.12图1.13系统启动后,会进入安装主界面,如下:图1.14选择“1 安装海蜘蛛路由系统”后,继续选择“1 全新安装海蜘蛛路由系统”,如图图1.15选择“1 从本地安装”,如下图:图1.16选择3,安装企业版图1.16注意下面红圈的地方,这里正在对磁盘进行格式化。
图1.17如果确认要安装,按[ENTER] 键继续,否则请输入"N" 终止安装图1.18您选择继续当前操作后,需要选择磁盘分区格式化时所使用的文件系统,一般情况下选1或直接按[ENTER]即可,128M 及以下磁盘请选3(Ext3)图1.19这里选1,使用reiserfs(推荐)方式进行格式化。
图1.20继续安装,出现选择安装的内核类型画面,请根据您的电脑配置来选择。
如果您的CPU 为单核,请选择1,如果您的CPU属于比较老式的CPU,请选择4,其他情况下按[ENTER] 即可。
图1.21出现让您选择默认要启动的内核,直接按[ENTER] 继续。
图1.22路由系统的安装只需30秒钟左右,每一步都有详细的提示信息:图1.23如果安装顺利,在稍后会提示您修改局域网接口的IP地址和子网掩码等信息:图1.24这里修改成192.168.1.254图1.25图1.26如果您不想修改默认的IP地址和子网掩码,按[ENTER] 即可。
下一步,您将会看到如下的成功提示信息:图1.27最后,安装程序会自动弹出CD-ROM 托盘,并提示您取出光盘,然后按[ENTER] 键,系统会自动重新启动。
初始配置启动进入系统初始配置当路由系统正常安装并启动完毕后,您将会听到两次3短1长1短的鸣笛声(滴滴滴-滴---滴)。
如果你您没听到鸣笛声,请检查计算机主板上的PC Speaker (PC喇叭/蜂鸣器)是否已接好。
如果您接上显示器,在控制台上将会看到如下的信息:图2.1从上面红框部分显示的信息,您可以看到路由的局域网IP地址为192.168.1.254口为880。
所以登录地址为http://192.168.1.254登录路由的Web控制如果和路由的连接没有问题,就可以通过WWW 浏览器(比如Internet Explorer/Firefox/Opera 等)访问路由的Web管理了,方法如下:打开浏览器,在地址栏(URL)里输入路由器的IP地址,例如http://192.168.1.254图2.2如果一切正常,浏览器会提示您输入用户名和密码登录,如下图所示:图2.3输入用户名admin ,初始密码admin 即可登录。
图2.4登录成功后,您会看到如下的Web 控制首页:图2.5点击最上方的[未注册]按钮,即可进入注册页面。
收费版如ISP版、企业版等输入产品序列号进行注册,免费版则自行填表进行激活。
图2.6XXXXX-76233-15388-28129,这里是免费版才能申请激活码,而企业版则不能,所以下面的“注册”还是灰色的。
图2.7修改管理员密码图2.8控制台登陆启动进入系统控制台登陆控制台登录用于快速修改路由的某些关键配置,比如局域网IP地址、Web管理密码等。
登录方式:在安装路由系统的电脑上按[ENTER] 键即可。
登录成功后,您会看到如下的配置菜单:图3.1输入相应的数字,并按[ENTER] 即可进行相应的操作,比如输入1将进入如下界面。
图3.2这里输入“q”,退出。
然后再输入2,进入如下界面,这里可以修改局域网IP地址及WEB管理端口。
图3.3输入3将出现如下界面图3.4当您忘记Web 管理密码或由于其他因素导致无法通过Web 方式登录系统时,您还可以在本地控制台登录或通过串口连接进行一些应急性操作,比如修改Web 登录密码、局域网接口IP地址等。
控制台登录用户名为root,初始密码为123456,建议修改为更复杂的密码。
图3.6允许按Ctrl-Alt-Del 组合键重启:勾选后,点击“保存设置”,无需登录,Ctrl-Alt-Del 即可快速重启路由。
图3.7利用windows系统的超级终端串口登陆路由过程:1. 串口登录海蜘蛛连线:将海蜘蛛路由的串口与任一计算机的串口连接(在海蜘蛛路由和与其连接的PC上同时开启允许串口通信)开始->程序->附件->通讯->超级终端,打开终端连接图标,如下图所示:图3.8连接名称任意图3.9按回车键后输入用户名和密码:图3.10输入用户名和密码后进入控制界面,如下图:图3.112. 常见问题及解决方法如何防止其他用户登录控制台修改WEB管理密码?进入海蜘蛛web管理页面->“系统设置”->“控制台登陆”,开启“控制台登陆时需要密码”并设置更为复杂的密码,这样就避免了任何人都可以进入畅通无阻的进入控制台并修改web管理密码。
