H3C ER5000系列企业级路由器 用户手册

friendlessstar

　　目 录
　　1 产品概述
　　1.1 主要特性
　　1.2 产品外观
　　1.2.1 前面板
　　1.2.2 后面板
　　1.3 接口说明
　　1.4 指示灯说明
　　1.5 缺省设置
　　2 安装与连线
　　2.1 安全注意事项
　　2.2 安装ER5000系列
　　2.2.1 安装到机柜
　　2.2.2 安装到工作台
　　2.3 连接线缆
　　2.3.1 连接到局域网
　　2.3.2 连接到因特网
　　2.3.3 上电检查
　　3 设置准备
　　3.1 检查计算机配置
　　3.2 建立网络连接
　　3.3 取消代理服务器
　　3.4 登录ER5000系列
　　3.5 熟悉Web设置页面
　　3.5.1 Web菜单项介绍
　　3.5.2 常用页面控件介绍
　　3.5.3 页面列表操作介绍
　　3.6 退出Web设置页面
　　4 基础设置
　　4.1 WAN设置（广域网设置）
　　4.1.1 连接到因特网
　　4.1.2 设置WAN口状态检测（仅 ER5200）
　　4.1.3 设置WAN口MAC地址克隆
　　4.1.4 设置WAN口模式
　　4.1.5 NAT设置
　　4.1.6 WAN设置举例（针对ER5200）
　　4.2 LAN设置（局域网设置）
　　4.2.1 设置局域网
　　4.2.2 查看DHCP客户列表
　　4.2.3 端口设置
　　4.2.4 设置端口镜像
　　5 高级设置
　　5.1 访问控制
　　5.1.1 设置IP/MAC绑定
　　5.1.2 设置访问控制规则
　　5.1.3 设置URL过滤规则
　　5.2 安全设置
　　5.2.1 设置ARP防攻击
　　5.2.2 设置防火墙
　　5.2.3 设置UPnP
　　5.3 QoS设置
　　5.3.1 流量统计
　　5.3.2 设置IP流量限制
　　5.3.3 应用通道管理
　　5.3.4 设置NAT表项限制
　　5.4 系统服务
　　5.4.1 设置虚拟服务器（端口映射）
　　5.4.2 设置DMZ主机
　　5.4.3 设置端口触发
　　5.4.4 设置ALG应用
　　5.4.5 设置动态域名
　　5.5 路由设置
　　5.5.1 设置静态路由
　　5.5.2 设置源地址路由（仅ER5200支持）
　　6 系统维护
　　6.1 查看状态
　　6.1.1 查看基本信息
　　6.1.2 查看WAN状态
　　6.1.3 查看LAN状态
　　6.2 查看日志
　　6.3 查看维护信息
　　6.4 获取技术支持信息
　　7 设备管理
　　7.1 时间设置
　　7.2 设置信息
　　7.2.1 备份系统设置信息
　　7.2.2 从文件中恢复设置信息
　　7.2.3 恢复到出厂设置
　　7.3 软件升级
　　7.4 远程管理
　　7.5 重启动
　　7.6 修改密码
　　8 诊断工具
　　8.1 Ping
　　8.2 Tracert
　　9 典型配置案例
　　9.1 组网需求
　　9.2 组网配置方案
　　9.3 组网图
　　9.4 设置步骤
　　10 命令行设置
　　10.1 通过Console口搭建配置环境
　　10.2 命令行在线帮助
　　10.3 用户配置
　　10.3.1 修改Web管理密码（password）
　　10.3.2 查看/设置LAN口IP地址（ip address）
　　10.3.3 恢复出厂设置（restore default）
　　10.3.4 重启（reboot）
　　10.3.5 启用/禁用“仅允许IP/MAC绑定的客户端访问外网”（ipmac-restrict）
　　10.3.6 显示系统资源使用情况（display sysinfo）
　　10.3.7 设备的故障定位信息（download debug-file）
　　11 附录 - 技术规格
　　12 附录 - 安装与设置TCP/IP协议
　　12.1 安装TCP/IP协议
　　12.2 设置TCP/IP协议
　　12.2.1 自动获取IP地址
　　12.2.2 指定静态IP地址
　　13 附录 - 术语表
　　


1  产品概述
　　H3C ER5000系列企业级路由器（以下简称ER5000系列）是一系列高性能千兆下行路由器，主要定位于SMB（Small and Medium Business，中小企业）、政府/企业机构、网吧等网络环境。
　　ER5000系列采用专业的64位网络处理器，并且支持丰富的软件特性，如IP/MAC绑定、ARP防欺骗、流量控制、策略路由、设备自检等功能，是中型网吧和企业用户的理想选择。
　　ER5000系列包含两款产品：
　　l              H3C ER5100企业级路由器（以下简称ER5100）：提供1个10/100Base-TX  WAN口、3个10/100/1000Base-T LAN端口和1个Console接口。
　　l              H3C ER5200企业级路由器（以下简称ER5200）：提供2个10/100Base-TX  WAN口、3个10/100/1000Base-T LAN端口和1个Console接口。

　　& 说明：

　　l      ER5200和ER5100的区别仅在WAN口数量不同，ER5200支持双WAN接入。为简化描述，对ER5200和ER5100差异的部分，本手册以介绍ER5200为主，并说明ER5100与ER5200的差异点。
　　l      本手册以介绍Web设置为主。命令行设置请参见“10  命令行设置”。
　　
1.1  主要特性
　　l              高处理性能
　　ER5000系列采用64位双核网络处理器，主频高达500MHz，处理能力相当于1GHz的专业网络处理器，同时配合DDRII高速RAM进行高速转发（ER5100可以达到100M的线速转发，ER5200可以达到双WAN口200M的线速转发）。在实际应用中，ER5000系列的典型的带机量为300台。
　　l              双WAN口负载均衡（仅ER5200支持）
　　负载均衡可以让企业网用户根据线路实际带宽分配网络流量，达到充分利用带宽的目的。针对国内网络用户的使用习惯和特点，ER5200提供智能负载均衡和手动负载均衡两种均衡模式，满足了需要灵活应用带宽的双线路接入用户的需求。
　　l              源地址路由（仅ER5200支持）
　　ER5200提供独创的源地址路由功能，即可以通过指定局域网内计算机的出口来达到负载分担的效果。
　　l              策略路由（手动负载均衡）（仅ER5200支持）
　　ER5200支持策略路由，可以将访问网通和电信的流量分别从不同的WAN口转发，实现“电信走电信，网通走网通”，充分利用双线路的优势。
　　l              ARP攻击防护
　　ER5000系列通过IP/MAC地址绑定功能，可以有效防止ARP攻击。
　　l              ARP欺骗防护
　　ER5000系列通过触发发送或定时发送免费ARP报文，有效避免局域网计算机中毒后引发的ARP欺骗。
　　l              网络流量限速
　　BT、迅雷等软件对网络带宽的过度占用会影响到网内其他用户的正常业务，ER5000系列通过基于IP或基于NAT表项的网络流量限速机制，可以有效地控制单台计算机的上/下行流量或建立的NAT表项的个数，限制BT、迅雷等软件对网络带宽的过度占用。
　　l              静态NAT
　　当有多个公网IP时，通过静态NAT功能，用户可以实现公网IP和私网IP的一对一地址转换，即将一个公网IP映射到一个特定的内网服务器，无需了解服务的类型和通讯协议/端口号，也无需设置复杂的虚拟服务器规则。
　　l              路由模式
　　当网吧每个PC采用一个单独的公网IP时，可以开启ER5000系列的路由模式来实现上网。
　　l              多种管理方式
　　ER5000系列支持三种管理方式：Web页面、串口和telnet。通过Web页面，您可以对ER5000系列进行全面的设置；通过串口或telnet，能实现重启、恢复缺省值、修改密码、修改IP地址等基本功能。
　　除了本地管理，ER5000系列还支持远程管理，在因特网上的计算机也可以对ER5000系列进行远程管理。
1.2  产品外观
1.2.1  前面板
　　ER5100前面板如下图所示。

　　图1-1 ER5100前面板示意图
　　ER5200前面板如下图所示。

　　图1-2 前面板示意图
1.2.2  后面板
　　ER5100和ER5200后面板相同，如下图所示。

　　图1-3 后面板示意图
1.3  接口说明
　　表1-1 接口用途

接口	数量	用途
WAN	ER5100：1 　　ER5200：2	连接到DSL（Digital Subscriber Line，数字用户线路）/Cable Modem或ISP（Internet Service Provider，因特网服务提供商）提供的网络接口，接入因特网。 [/td]
LAN	3	连接计算机或交换机的以太网端口。 [/td]
Console	1	连接到管理计算机，并通过命令行管理ER5000系列。 [/td]
电源接口	1	连接到电源。 [/td]
接地柱	1	接地，可防止雷击。

　　
1.4  指示灯说明
　　ER5000系列前面板指示灯状态说明如下。
　　表1-2 指示灯说明

指示灯	状态	含义
Power	亮	供电正常。 [/td]
	灭	电源关闭或电源故障。 [/td]
W1/W2（仅ER5200）	亮	物理链路存在，并建立连接。 [/td]
	灭	物理链路存在，但未建立连接。 　　或物理链路不存在。 [/td]
100M（WAN）	亮	端口工作在100Mbit/s。 [/td]
	灭	端口工作在10Mbit/s或链路未建立。 [/td]
Link/Act（WAN）	亮	链路建立。 [/td]
	闪烁	端口在收发数据。 [/td]
	灭	链路未建立。 [/td]
1000M（LAN）	亮	端口工作在1000Mbit/s。 [/td]
	灭	端口工作在10/100Mbit/s或链路未建立。 [/td]
Link/Act（LAN）	亮	链路建立。 [/td]
	闪烁	端口在收发数据。 [/td]
	灭	链路未建立。

　　
1.5  缺省设置
　　表1-3列出了一些重要的缺省设置信息，所有特性将在后面的章节进行全面详细的描述。缺省设置适用于多数情况，如果缺省设置与实际组网需求不符，请对ER5000系列进行手工设置，具体请参见后续章节。
　　表1-3 路由器缺省设置

选项	缺省设置	说明
用户名/密码	admin/admin	使用该帐号登录Web设置页面。 [/td]
LAN口IP地址	IP地址：192.168.1.1 　　子网掩码：255.255.255.0	局域网内用户可以通过该地址对ER5000系列进行管理。通常不需要更改这个地址。 [/td]
DHCP 　　（Dynamic Host Configuration Protocol，动态主机设置协议）	DHCP服务器启动，可分配地址的范围为： 　　192.168.1.2～192.168.1.254	ER5000系列为当前局域网内计算机提供了DHCP服务器功能，要使用该项功能先要将计算机设置为自动获得IP地址，具体请参见“12.2.1  自动获取IP地址”。 [/td]
多WAN连接方式（仅ER5200支持）	智能均衡模式	两条链路分担上网流量。具体请参见“4.1.1  3. 设置均衡路由策略（仅 ER5200）”。 [/td]
WAN口	启用且上网方式为DHCP	带宽缺省为100Mbps [/td]
ISP	电信	- [/td]
WAN速率和双工	10/100M自适应	- [/td]
WAN口状态检测 　　（仅ER5200支持）	禁用	WAN口状态检测功能检测WAN口链路状态，当逻辑链路断开时会自动切换到另一条链路，保证网络正常。 　　具体请参见“4.1.2  设置WAN口状态检测（仅 ER5200）”。 [/td]
广播风暴抑制	禁用	启用广播风暴抑制功能可以有效地抑制大量广播报文的传播，避免网络拥塞，保证网络业务的正常运行。 　　具体请参见“4.2.3  端口设置”。 [/td]
端口镜像	禁用	启用端口镜像可将被镜像端口的报文复制到镜像端口，以进行网络检测和故障排除。 　　具体请参见“4.2.4  设置端口镜像”。 [/td]
防火墙	部分启用	启用功能：防止短包、碎片包、TearDrop攻击、Land攻击、TCP空连接攻击、Ping Of Death攻击、Syn-Flood攻击。 　　禁用功能：防止WAN口的Ping。 　　具体请参见“5.2.2  设置防火墙”。 [/td]
远程管理	禁用	启用远程管理，用户可以通过WAN口访问并管理ER5000系列。 　　具体请参见“7.4  远程管理”。 [/td]
UPnP（Universal Plug and Play，通用即插即用）	禁用	具体请参见“5.2.3  设置UPnP”。 [/td]
ALG（Application Level Gateway，应用层网关）	启用	具体请参见“5.4.4  设置ALG应用”。

　　


2  安装与连线
2.1  安全注意事项
　　为保证ER5000系列正常工作和延长使用寿命，请遵从以下的注意事项：
　　l              ER5000系列只在室内使用，请将ER5000系列放置于干燥通风处；
　　l              ER5000系列的接口线缆要求在室内走线，禁止户外走线，以防止因雷电产生的过电压、过电流损坏ER5000系列信号口；
　　l              请不要将ER5000系列放在不稳定的箱子或桌子上，一旦跌落，会对ER5000系列造成损害；
　　l              在ER5000系列周围应预留足够的空间（大于10cm），以便于ER5000系列正常散热；
　　l              请保证ER5000系列工作环境的清洁，过多的灰尘会造成静电吸附，不但会影响ER5000系列寿命，而且容易造成通信故障；
　　l              ER5000系列工作地最好不要与电力设备的接地装置或防雷接地装置合用，并尽可能相距远一些；
　　l              ER5000系列工作地应远离强功率无线电发射台、雷达发射台、高频大电流设备；
　　l              请使用随产品附带的配置线缆，严禁使用其它非配套产品；
　　l              请使用随产品附带的电源线，严禁使用其它非配套产品。电源电压必须满足专用电源线的输入电压范围。
2.2  安装ER5000系列
　　ER5000系列既可以安装在19英寸标准机柜上，也可以直接放置在工作台上。

  注意：

　　在安装或移动ER5000系列前，请务必将电源线拔出。
　　
2.2.1  安装到机柜
　　安装到机柜的过程如下：
　　(1)        检查机柜的接地与稳定性。
　　(2)        用螺钉将安装挂耳固定在ER5000系列前面板两侧。

　　图2-1 安装挂耳示意图
　　(3)        将ER5000系列放置在机柜的一个托架上，沿机柜导槽移动ER5000系列至合适位置。
　　(4)        用螺钉将安装挂耳固定在机柜两端的固定导槽上，确保ER5000系列稳定地安装在机柜槽位的托架上。

　　图2-2 安装到19英寸机柜示意图

　　& 说明：

　　ER5000系列的安装挂耳并不用来承重，它只起固定作用。安装ER5000系列于19英寸机柜时，ER5000系列机箱的下边需要有托架（固定在机柜上）来支撑。
　　
2.2.2  安装到工作台
　　若没有19英寸标准机架，可直接将ER5000系列放置在干净的工作台上。安装过程如下：
　　(1)        小心地将ER5000系列倒置。用软布清洁ER5000系列机箱底板上的凹槽，确保没有油污或灰尘吸附。
　　(2)        撕掉随机附带的脚垫表面的粘贴纸。将脚垫粘贴到ER5000系列机箱底板上的凹槽内，脚垫安装示意图如下所示。

　　图2-3 ER5000系列脚垫安装示意图
　　(3)        将ER5000系列正置，放在工作台上。

注意：

　　请保证工作台的平稳性和良好接地，并且不要在ER5000系列上面放置重物。
　　
2.3  连接线缆

注意：

　　连接线缆前，建议先将所有设备断电/关机。连接完成后，再通电/开机。
　　
　　连接线缆示意图如下所示。

　　图2-4 ER5000系列连接线缆示意图

　　& 说明：

　　l      ER5000系列的LAN、WAN口均支持MDI/MDI-X自适应，使用交叉网线或直连网线均可进行连接。
　　l      ER5000系列的LAN口、WAN口均支持速率双工自协商，无论连接10M/100M或1000M的设备，均可自协商。
　　l      ER5100只有一个WAN口，连接一个ISP线路。
　　
2.3.1  连接到局域网
　　使用网线将ER5000系列的LAN口连接到计算机或者交换机。
2.3.2  连接到因特网
　　l              如果您采用光纤接入的方式，请用网线将ER5000系列的WAN口和光纤收发器相连；
　　l              如果您采用DSL/Cable Modem宽带接入方式，请用网线将ER5000系列的WAN口和Modem相连；
　　l              如果您采用以太网宽带接入的方式，请用网线将ER5000系列的WAN口与ISP提供的接口相连。
2.3.3  上电检查
　　安装完成后，将ER5000系列和所连的网络设备都通电/开机，这时您可以通过检查指示灯状态来判断ER5000系列是否工作正常。指示灯状态说明请参见“1.4  指示灯说明”。
　　


3  设置准备
　　ER5000系列提供Web设置页面，本章将带领您进入并熟悉Web设置页面。
3.1  检查计算机配置
　　在访问ER5000系列的Web设置页面前，您的计算机还需要满足以下要求：
　　l              已安装以太网卡；
　　l              已安装Web浏览器（IE6.0或更高版本）；
　　l              安装并启动TCP/IP协议。
3.2  建立网络连接
1. 设置计算机的IP地址
　　在访问设置页面前，建议将计算机设置成“自动获得IP地址”和“自动获得DNS服务器地址”，由ER5000系列分配IP地址。
　　如果您需要给计算机指定静态IP地址，则需要将计算机的IP地址与ER5000系列的LAN口IP地址设置在同一子网中（ER5000系列的LAN口缺省IP地址为：192.168.1.1，子网掩码为255.255.255.0）。
2. 确认计算机与ER5000系列连通
　　使用Ping命令确认计算机和ER5000系列之间的网络是否连通。
3.3  取消代理服务器
　　如果当前计算机使用代理服务器访问因特网，则首先必须禁止代理服务，操作如下：
　　(1)        在浏览器窗口中，选择［工具/Internet 选项］进入［Internet 选项］窗口。
　　(2)        在［Internet 选项］窗口中选择“连接”页签并单击按钮，如图3-1所示。
　　(3)        确认未选中“为LAN使用代理服务器”选项。若已选中，请取消并单击按钮。

　　图3-1 局域网（LAN）设置
3.4  登录ER5000系列
　　在Web浏览器地址栏中输入“http://192.168.1.1”，在弹出框中输入用户名和密码。首次登录时请输入缺省的用户名：admin，密码：admin。

　　图3-2 输入用户名和密码

　　& 说明：

　　l      首次登录后，建议您修改缺省的登录密码，修改方法请参见“7.6  修改密码”。
　　l      同一时间，ER5000系列只允许一台计算机通过Web进行管理和设置。
　　
3.5  熟悉Web设置页面
　　登录成功后，进入Web设置页面，这时您就可以对ER5000系列进行设置和管理了。

  注意：

　　设置完成后，必须单击该页面上的按钮，该页面的设置才能生效。
　　
　　页面左侧为导航栏，页面右侧为设置区域。

　　图3-3 Web设置页面
3.5.1  Web菜单项介绍
　　表3-1 Web菜单项介绍

导航栏	页签	页面说明
系统维护	状态	查看设备的软硬件版本，WAN口、LAN口的状态信息等。 [/td]
	日志	查看设备的日志信息。 [/td]
	维护	查看设备的故障定位信息、运行状态信息。 [/td]
	技术支持	链接到H3C网站以获取帮助。 [/td]
WAN设置	连接到因特网	设置WAN口上网方式。 [/td]
	状态检测 　　（仅ER5200）	启用状态检测，可以实时监控链路状态。双线接入时，当一条链路出现故障时，可以切换到另一条链路。 [/td]
	MAC地址克隆	修改WAN口MAC地址。 [/td]
	网口模式	设置WAN口的连接速度和双工模式。 [/td]
	NAT设置	选择是否启用路由模式。 　　l      启用设备路由模式下，LAN内访问外网不通过NAT伪装再接路由转发； 　　l      禁用设备路由模式下，使用公网IP地址池进行地址转换，以及进行私网与公网的一对一IP地址映射。 [/td]
LAN设置	局域网设置	设置LAN口 IP地址，以及DHCP服务器。 [/td]
	DHCP客户列表	查看局域网中的DHCP客户端。 [/td]
	端口设置	设置LAN口的端口模式、VLAN信息、广播风暴抑制以及流控。 [/td]
	端口镜像	设置镜像端口和被镜像端口，用于网络流量监控、网络检测和故障排除。 [/td]
访问控制	IP/MAC绑定	控制局域网内的计算机访问因特网，防止ARP攻击。 [/td]
	访问控制	通过时间、星期、源IP地址、目的IP地址、目的端口、协议类型等条件控制局域网内的计算机访问因特网。 [/td]
	URL过滤	用于禁止局域网内计算机访问因特网上的某些网站。 [/td]
安全设置	ARP防攻击	用于防止ARP攻击和ARP欺骗，保证局域网内计算机正常上网。 [/td]
	防火墙	用于保护设备和局域网内计算免受网络攻击。 [/td]
	UPnP	用于实现NAT穿透，解决某些传统业务不能穿越NAT的问题。 [/td]
QoS设置	流量统计	查看设备各端口的流量和局域网IP的流量，以及查看当前在线主机的数目。 [/td]
	IP流量限制	设置IP地址的流量限制，防止某些计算机使用BT，迅雷等软件过度占用带宽。 [/td]
	应用通道管理	根据报文大小和端口号来区分数据业务流，对不同的数据业务流分配不同的带宽。 [/td]
	NAT表项限制	设置IP地址的NAT表项限制，防止某些计算机使用BT，迅雷等软件过度占用NAT表项。 [/td]
系统服务	虚拟服务器	设置内部服务器提供给因特网用户访问。 [/td]
	端口触发	设置某些应用的触发端口，保证该应用的正常运行。 [/td]
	ALG应用	启用/禁用ALG应用，缺省情况下启用，无需修改。 [/td]
	动态域名	设置设备的动态域名，方便外部用户访问。 [/td]
路由设置	静态路由	手工指定路由。 [/td]
	源地址路由 　　（仅ER5200）	用于根据源IP地址来选择网络路径（仅当WAN口工作在负载均衡模式下时生效）。 [/td]
设备管理	时间设置	设置系统时间。 [/td]
	设置信息	备份系统设置信息、从文件中恢复设置信息、恢复到出厂设置。 [/td]
	软件升级	升级软件。 [/td]
	远程管理	通过Web或Telnet方式远程管理设备。 [/td]
	重启动	重启设备。 [/td]
	修改密码	修改设备的登录密码。 [/td]
诊断工具	Ping	使用Ping测试，测试设备和其它网络设备之间的连接是否正常。 [/td]
	Tracert	使用路由跟踪测试，测试设备到某计算机或网络设备所经过的链路是否正常。

　　
3.5.2  常用页面控件介绍
　　以下控件是Web设置页面中经常出现的，有关它们的用途请参见下表。
　　表3-2 常见页面控件说明

页面控件	功能
	单击这些按钮来进行相应操作。 　　设置完成后，都需要按按钮，将设置保存。 [/td]
	文本框，输入文本。 [/td]
	单选按钮。从多个选项中选择一项。 [/td]
	单击选中选择框，表示启用该功能或服务。 [/td]
	下拉列表框。单击 ，会弹出一个下拉菜单，将鼠标指针移到某个项目上，单击左键选中它。

　　
3.5.3  页面列表操作介绍
　　ER5000系列的界面中经常会出现这种用来显示设置的列表，下面对其操作进行简单介绍，后面不再赘述。

　　图3-4 页面列表举例
　　表3-3 页面列表操作介绍

界面项	描述
	增加：单击该按钮，将页面上方设置栏中的内容添加进页面下方汇总表中。 　　修改：选中汇总表中的项，单击按钮后，原来的按钮变成按钮，单击该按钮确认所进行的修改。 [/td]
	全选：选中该复选框即可对所有列表项进行操作。 [/td]
	导入：单击该按钮导入计算机上保存的列表。 　　导出：单击该按钮导出这个列表中的内容到计算机。 　　说明：导出功能可以起备份作用，导出的配置信息保存在指定位置，如果配置丢失，可以使用按钮将之前备份配置信息重新导入。 [/td]
	刷新：单击该按钮刷新列表。 　　删除：单击该按钮删除选中的列表项。 　　编辑：单击该按钮编辑选中的列表项。此时原来的按钮变成按钮，您可以在页面上方设置栏中进行设置。

　　
3.6  退出Web设置页面
　　单击导航栏的[退出]项，确认后即可退出Web设置页面。

　　& 说明：

　　l      如果您直接关闭浏览器而没有单击[退出]，那么您会在超时时间过后退出，期间其他人无法登录。
　　l      Web设置页面的超时时间是5分钟，如果超过5分钟没有在页面进行任何操作，则需要重新输入密码验证。
　　


4  基础设置

　　& 说明：

　　l      ER5100不支持双WAN接入，所以本章中提到的多WAN连接模式、WAN口检测方式及相关配置均特指ER5200。
　　l      Web基础设置主要包括设置WAN口和LAN口，设置完成后，您即可通过ER5000系列上网。
　　l      ER5000系列能自动进行拨号，您无需使用操作系统自带的拨号软件（如PPPoE拨号软件）或其他客户端拨号软件。
　　
4.1  WAN设置（广域网设置）
　　在WAN设置中，您可以设置：
　　l              多WAN连接模式（仅ER5200支持）。可选择主备模式、智能负载均衡模式或手动负载均衡模式。
　　l              上网方式。用于设置通过WAN口接入到因特网的上网方式，可选择的方式有静态地址、动态地址和PPPoE。请结合ISP提供的信息选择合适的上网方式。
　　l              WAN口检测参数（仅ER5200支持）。ER5200支持灵活的检测机制，并支持多种线路检测方法，可以实时监控链路状态。当一条链路出现故障时，可以切换到另一条链路。
　　l              WAN口MAC地址克隆。有些ISP要求只有经过注册的MAC地址才能上网，这种情况下，ER5000系列的MAC地址必须改为被注册的MAC地址。
　　l              WAN口模式。设置ER5000系列的WAN口的连接速度和双工模式。
　　l              NAT设置。在禁用设备路由模式下，可以使用公网IP地址池进行地址转换，以及进行私网与公网的一对一IP地址映射。
　　由于ER3260/ER3200有双WAN口，WAN设置项比较多，所以“4.1.6  WAN设置举例（针对ER5200）”提供了ER3260/ER3200 WAN设置的应用举例供您参考。
4.1.1  连接到因特网
　　WAN设置→连接到因特网
1. 设置上网方式
　　WAN口接入到因特网可选择的方式有静态地址、动态地址、PPPoE。具体选择何种方式请咨询当地ISP。
　　(1)        PPPoE方式

　　图4-1 设置上网方式（PPPoE）
　　界面项描述如下：
　　表4-1 设置上网方式（PPPoE）

界面项	描述
PPPoE用户名	由ISP提供。 [/td]
PPPoE密码	由ISP提供。 [/td]
MTU	最大传输单元（Maximum Transmission Unit），是在一定的物理网络中能够传送的最大数据单元。参数取值范围为546～1492，单位为字节，缺省为1492，建议保持缺省值。 [/td]
主DNS服务器	可选项，一般情况下由ISP提供，也可以自行设置。 [/td]
辅DNS服务器	可选项，输入ISP提供的辅DNS服务器地址，也可以自行设置。 [/td]
服务器名称	可选项，输入ISP提供的PPPoE的服务器的名称。缺省为空。 [/td]
服务名	可选项，输入ISP提供的PPPoE服务器的服务名称。缺省为空。

　　
　　(2)        动态地址

　　图4-2 设置上网方式（动态地址）
　　界面项描述如下：
　　表4-2 设置上网方式（动态地址）

界面项	描述
MTU	最大传输单元（Maximum Transmission Unit），是在一定的物理网络中能够传送的最大数据单元。参数范围为576～1500，单位为字节，缺省为1500字节，建议保持缺省值。 [/td]
主DNS服务器	可选项，一般情况下由ISP提供，也可以自行设置。 [/td]
辅DNS服务器	可选项，输入ISP提供的辅DNS服务器地址，也可以自行设置。 [/td]
主机名	可选项，网络中其他设备看到的ER5000系列的名称，缺省是空。

　　
　　(3)        静态地址

　　图4-3 设置上网方式（静态地址）
　　界面项描述如下：
　　表4-3 设置上网方式（静态地址）

界面项	描述
IP地址	一般由ISP提供。 [/td]
子网掩码	一般由ISP提供。 [/td]
缺省网关	一般由ISP提供。 [/td]
MTU	最大传输单元（Maximum Transmission Unit），是在一定的物理网络中能够传送的最大数据单元。参数范围为576～1500，单位为字节，缺省为1500字节，建议保持缺省值。 [/td]
主DNS服务器	一般由ISP提供。 [/td]
辅DNS服务器	可选项，输入ISP提供的辅DNS服务器地址，也可以自行设置。

　　
2. 多WAN连接模式（仅ER5200支持）
　　多WAN连接模式包括主备模式和负载均衡模式。负载均衡模式支持“智能负载均衡”和“手动负载均衡”两种方式。
　　l              主备模式：正常情况下，只有主链路处于工作状态，当主链路发生故障时，流量自动切换到备份链路；主链路恢复正常后，ER5200自动将备份链路上的流量切换回主链路。
　　l              负载均衡模式：正常情况下，两条链路分担上网流量。当某条链路出现故障时，该链路被屏蔽，流量转到另一条链路。链路恢复正常后，流量重新分配到两条链路。

　　& 说明：

　　l      主备模式可以在主链路出现故障时使用备份链路，保证网络的畅通。
　　l      如果WAN两条链路都是专线，建议使用负载均衡模式。负载均衡模式可以让企业网用户根据线路实际带宽分配网络流量，达到充分利用带宽的目的。
　　
　　负载均衡模式支持“智能负载均衡”和“手动负载均衡”。两者都支持根据目的IP地址指定优先链路（在本页面中的“负载均衡表”中设置，具体请参见“3. 设置均衡路由策略（仅 ER5200）”），以及根据源IP地址指定优先链路（设置路径：路由设置→源地址路由，具体请参见“5.5.2  设置源地址路由（仅ER5200支持）”）。两者区别是，对未指定优先链路的流量，智能负载均衡根据链路带宽的比值，自动选择优先链路；手动负载均衡则都通过缺省链路转发。

　　& 说明：

　　对于网通和电信双线入户的用户，使用手动均衡模式，可以将电信线路指定为缺省链路，并设置均衡路由策略，确保对网通的访问流量通过网通线路转发，其他流量（主要是对电信的访问流量）通过电信线路转发，即通常意义上的“电信走电信，网通走网通”，充分利用双线路的优势。
　　

　　图4-4 多WAN连接模式
　　界面项描述如下：
　　表4-4 多WAN连接模式

界面项	描述
主备模式	正常情况下，只有主链路可用，当主链路不通时，流量自动切换到备份链路。 [/td]
均衡模式	分为智能负载均衡和手动负载均衡。缺省情况使用的是智能负载均衡。 [/td]
启用接口	选中该项，则启用对应接口，需填写正确的ISP和带宽。 　　不选中该项，ER5200会断开相应的WAN口，对应链路不可用。

　　
3. 设置均衡路由策略（仅 ER5200）
　　设置均衡路由策略可以通过三种方式实现：
　　l              手工逐条配置，单击下图中的按钮，将设置添加到均衡路由表中；
　　l              在H3C网站上下载网络均衡路由表（.cfg格式），单击按钮，选择文件，确定即可完成导入；
　　l              先写好.cfg格式的文件或直接修改下载的均衡路由表文件，单击按钮，选择文件，确定即可完成导入。
　　.cfg文件的格式是“注释;目的 IP地址;子网掩码;出接口;状态”，“状态”为1表示启用，“状态”为0表示禁用。举例如下：
　　wangtong;58.32.0.0;255.248.0.0;WAN1;1
　　wangtong;58.40.0.0;255.254.0.0;WAN1;1
　　wangtong;58.42.0.0;255.255.0.0;WAN1;1
　　选择负载均衡模式时，可以设置均衡路由策略，使访问特定目的IP地址的报文走指定链路。
　　比如您可以通过先设置均衡路由策略，使访问网通的流量都通过WAN2口转发，再选择手动均衡模式，指定缺省链路为WAN1，使非访问网通的流量都通过WAN1口转发，这就可以达到“电信走电信，网通走网通”的目的。

　　图4-5 设置均衡路由策略
　　界面项描述如下：
　　表4-5 设置均衡路由策略

界面项	描述
注释	输入对本条表项的说明。 [/td]
目的IP地址	输入网段地址（如218.3.2.0）或IP地址（如218.3.2.2），到该地址的报文会从指定的出接口转发。 [/td]
子网掩码	输入目的IP地址的子网掩码。 [/td]
出接口	选择WAN1或WAN2。 [/td]
是否启用	选择“启用”，则启用负载均衡设置，否则禁用。缺省为启用。

　　
4.1.2  设置WAN口状态检测（仅 ER5200）
　　WAN设置→状态检测

　　& 说明：

　　l      缺省不进行WAN口状态检测。
　　l      PPPoE拨号方式下，不要选中“启用WAN网口检测”功能，因为ISP端的PPPoE 服务器不支持Ping，如果启用这个功能，ER5200将判断这个链路有故障。
　　l      PPPoE拨号方式下可以使用其他检测方式（PING/DNS/NTP），使用Ping检测时，目的地址不是PPPoE服务器即可。
　　
　　不论是主备模式，还是负载均衡模式，如果您需要实时监控线路状态，保证一条线路故障时能切换到另一条线路，您就需要设置状态检测功能。ER5200支持灵活的检测机制，并提供多种线路检测方法供您选择，以满足实际应用的需要。
　　l              启用状态检测后，如果没有指定检测方式（PING/DNS/NTP），ER5200使用缺省的检测方式，即向WAN口对应的网关发送Ping报文，以检测ER5200与网关之间的通信是否正常。
　　l              启用检测后，如果您指定了一种或多种检测方式（PING/DNS/NTP），ER5200会采用您指定的检测方式，同时缺省的检测方式不生效。为了检测的有效性，建议同时使用多种检测方式。

　　& 说明：

　　检测结果请见“状态日志→状态”页面的“链路状态”。
　　

　　图4-6 WAN口状态检测
　　界面项描述如下：
　　表4-6 WAN口状态检测

界面项	描述
启用WAN网口检测	选中该项，则启用WAN口状态检测功能，否则禁用该功能。 [/td]
检测报文发送间隔	发送检测报文的间隔，缺省是1秒。 [/td]
检测失败次数	连续检测到几次失败后，认为该线路已断开，缺省是15次。 [/td]
PING检测	输入目的IP地址，ER5200向指定目的IP地址发送Ping包，有响应认为线路正常。 [/td]
DNS检测	输入需要DNS解析的域名，ER5200向当前接口的DNS服务器发送DNS请求，有响应认为线路正常。 [/td]
NTP检测	输入NTP服务器IP地址，ER5200向NTP服务器发送NTP时间请求，有响应认为线路正常。

　　
4.1.3  设置WAN口MAC地址克隆
　　WAN设置→MAC地址克隆
　　ER5000系列出厂时，各个接口（LAN、WAN口）都有一个缺省的MAC地址，一般情况下，无需改变。
　　有些ISP要求只有注册的那个MAC地址才能上网，这种情况下，应选择“使用下面手工输入的MAC地址”，将MAC地址改为ISP指定注册的MAC地址。设置界面如下图所示。

　　图4-7 WAN口MAC地址克隆
　　界面项描述如下：
　　表4-7 WAN口MAC地址克隆

界面项	描述
使用本设备的MAC地址	选中该项，使用ER5000系列原来的MAC地址。缺省情况下，选中该项。 [/td]
使用这台PC的MAC地址	选中该项，使用用来设置ER5000系列的计算机的MAC地址。 [/td]
手工输入MAC地址	选中该项，输入ISP指定注册的MAC地址。

　　
4.1.4  设置WAN口模式
　　WAN设置→网口模式
　　在这个页面中，您可以设置ER5000系列WAN口的连接速度和双工模式。缺省是10M/100M 自适应。ER5100只需设置一个WAN口。

　　图4-8 WAN口模式
4.1.5  NAT设置
　　WAN设置→NAT设置
　　在该页面设置中，您可以实现路由模式与NAT模式的切换。
1. 路由模式选择

　　图4-9 路由模式
　　启用路由模式时，LAN内数据包可通过设备转发出去时做NAT转换；禁用该模式时，设备会根据您的配置对WAN口发出去的数据包做NAT转换。缺省情况下，禁用路由模式。

　　& 说明：

　　l      当您启用路由模式时，NAT转换功能将不会生效，设备仅作为纯路由上网。
　　l      路由模式下，建议您使用单WAN连接模式上网，若您已选择了多WAN连接模式，则推荐您使用主备模式。
　　
2. NAT转换
　　NAT（Network Address Translation，网络地址转换）可以实现局域网内的多台计算机通过1个或多个公网IP地址接入因特网，即用少量的公网IP地址代表较多的私网IP地址，节省公网IP地址。由于局域网与因特网隔离，NAT也可以对网络的安全性提供一些保证。
　　在NAT转换页面可以指定地址转换范围。具体包括以下两项。
　　l              NAT转换，使用WAN出接口公网IP或公网IP地址池进行地址转换，即局域网内的计算机上网时，其私网IP地址转换为对应WAN出接口的公网IP地址或者公网IP地址池中的一个IP地址。
　　l              一对一地址转换，将指定局域网内IP地址一对一转换为指定公网IP地址，即对应计算机访问因特网时有自己的公网IP地址。在这种模式下，局域网内的其他计算机及因特网上的计算机都可以通过访问对应公网IP地址来访问该计算机。当您的局域网需要提供对外服务器时，您可以将服务器IP地址与公网IP地址设置一对一地址转换。

　　& 说明：

　　l      仅当相应的WAN口上网方式设为“静态地址”时（WAN设置→连接到因特网），本页面的配置才会生效，其它上网方式下（PPPoE或动态地址），配置不生效（此时局域网内IP地址仍转换为对应WAN出接口的IP地址）。
　　l      禁用路由模式后，NAT转换和一对一NAT转换功能才能生效。
　　

　　图4-10 设置NAT转换
　　界面项描述如下：
　　表4-8 设置NAT转换

界面项	描述
自动使用WAN1/WAN2的IP地址	选中该项，局域网内计算机访问因特网时，IP地址转换为WAN1/WAN2口的IP地址。缺省情况下，选中该项。 [/td]
使用地址池中的地址	选中该项，并设置地址池范围。局域网内计算机访问因特网时，IP地址转换为地址池中的地址。在该选项下，同一个私有IP地址会转换到固定的公网IP地址。 [/td]
一对一地址转换	选择“启用”复选框，设置内网IP、公网IP，并选择WAN接口，您即可实现将局域网内的IP地址与公网IP地址一对一地址转换。在这种模式下，局域网内的其他计算机及因特网上的计算机都可以通过访问对应公网IP地址来访问该计算机。

　　

  注意：

　　设置一对一地址转换后，局域网内对应计算机或服务器就等于暴露在了因特网中，安全性降低。
　　
　　【举例】：某企业申请了一条电信线路，分配的公网IP地址范围是218.3.55.20～218.3.55.30。该企业需要对外开放Web服务器（192.168.1.5）、Mail服务器（192.168.1.6）和FTP服务器（192.168.1.7）。
　　分析：该企业有多个公网IP，且需要对外开放服务器，可以将服务器IP与公网IP建议一对一地址转换，其他的计算机上网时使用公网IP地址池，充分利用所有的公网IP。由于该企业只申请了一条线路，所以只需使用WAN1即可。
　　设置步骤：
　　(1)        设置WAN1 口连接到电信。（WAN设置→连接到因特网）
　　(2)        选中NAT设置页面的“使用地址池中的地址”，并将地址池范围设为218.3.55.20～218.3.55.30。
　　(3)        分别设置3个服务器的一对一地址转换。如下图所示。
　　(4)        单击按钮，配置完成。

　　图4-11 NAT设置举例
4.1.6  WAN设置举例（针对ER5200）
　　【举例 1】：某网吧使用双线路上网，WAN1和WAN2线路都为电信静态IP地址接入（包年），带宽为100M。
　　设置步骤：
　　(1)        选择多WAN连接模式为智能负载均衡模式。
　　(2)        启用接口WAN1和WAN2。设置WAN1和WAN2接口的ISP为电信，带宽为100M。
　　(3)        设置WAN1和WAN2的上网方式。设置WAN1和WAN2的上网方式均为静态地址，设置相关参数，包括IP地址、子网掩码、缺省网关、主DNS服务器等。
　　(4)        单击按钮，保存配置。

　　图4-12 举例图示
　　(5)        设置状态检测参数。启用WAN网口检测，并启用两个WAN口的PING检测和DNS检测功能。

　　图4-13 举例图示
　　(6)        单击按钮，完成配置。
　　此时，WAN1和WAN2口两条线路的流量将根据带宽1：1进行分担。
　　【举例 2】：某网吧使用双线路上网，WAN1线路为电信静态IP接入（包年），带宽为10M；WAN2线路为电信PPPoE拨号上网，带宽为2M，按上网时间收费。
　　分析：WAN2线路按上网时间收费，主要用于备份，因此需要将 ER5200设置成主备模式，既保证WAN1异常时局域网内用户不掉线，又保证备用线路使用成本很低。
　　设置步骤：
　　(1)        选择多WAN连接模式为主备模式。并选择主链路为WAN1。
　　(2)        启用接口WAN1和WAN2。设置WAN1接口的ISP为电信，带宽为10M；设置WAN2接口的ISP为电信，带宽为2M。
　　(3)        设置WAN1和WAN2的上网方式。设置WAN1的上网方式为静态IP，设置相关参数，包括IP地址、子网掩码、缺省网关、主DNS服务器等；设置WAN2的上网方式为PPPoE，设置相关参数，包括PPPoE用户名、PPPoE密码等。
　　(4)        单击按钮，保存配置。

　　图4-14 举例图示
　　(5)        设置状态检测参数。启用WAN网口检测，并启用两个WAN口的PING检测和DNS检测功能。注意，WAN 网口2使用PPPoE拨号方式，PING检测时不要设置PPPoE服务器的IP地址即可。

　　图4-15 举例图示
　　(6)        单击按钮，配置完成。
4.2  LAN设置（局域网设置）
　　在LAN设置中，您可以设置：
　　l              ER5000系列的LAN口IP地址及其子网掩码。
　　l              LAN MAC克隆，用于改变LAN口的MAC地址。
　　l              DHCP服务器，用于开启/关闭DHCP服务器功能和设置DHCP地址池范围和租约。
　　l              LAN端口设置，用于设置LAN口各端口工作模式、VLAN设置、广播风暴抑制功能、流控功能。
　　l              LAN端口镜像，用于设置镜像端口和被镜像端口，方便网络流量监控。
4.2.1  设置局域网
　　LAN设置→局域网设置
1. 设置LAN口IP地址
　　局域网内计算机可以通过LAN口IP地址来管理ER5000系列。

　　图4-16 局域网设置
　　界面项描述如下：
　　表4-9 局域网设置

界面项	描述
IP地址	ER5000系列的LAN口IP地址，缺省是192.168.1.1，掩码缺省是255.255.255.0。您可以通过该IP地址管理ER5000系列。 [/td]
子网掩码	LAN口的IP地址对应的子网掩码，缺省是255.255.255.0。

　　

　　& 说明：

　　l      修改LAN口 IP地址后，您需要使用新IP地址重新登录设备，才能继续配置。
　　l      修改LAN口 IP地址后，其他页面中和IP地址相关的配置可能需要相应修改（如IP/MAC绑定表中的IP地址等），保持和LAN口IP在统一网段。
　　
2. 设置LAN口 MAC地址克隆
　　ER5000系列出厂时，各个接口（LAN、WAN口）都有一个缺省的MAC地址（也称物理地址），一般情况下，无需改变。
　　有些网吧为了防止ARP攻击，给局域网内计算机都设了网关的静态ARP表项，这种情况下，如果将原来的网关设备换成ER5000系列（网关地址不变），计算机无法学习到ER5000系列的MAC地址，您需要逐个修改局域网中计算机的静态ARP表项才可使局域网中的计算机正常上网。LAN MAC克隆功能可以使您免除这样的重复劳动，只需将ER5000系列的LAN口MAC地址设为原来网关的MAC地址，局域网内计算机即可正常上网了。

　　图4-17 LAN MAC地址克隆
　　界面项描述如下：
　　表4-10 LAN MAC地址克隆

界面项	描述
使用本设备的MAC地址	选中该项，LAN口MAC地址为出厂时的MAC地址，缺省使用ER5000系列原来的MAC地址。 [/td]
手工输入MAC地址	选中该项，输入其他MAC地址，一般为原网关的MAC地址。

　　
3. 设置DHCP服务器
　　ER5000系列可以作为DHCP服务器，给局域网内计算机分配IP地址。

　　& 说明：

　　地址池中IP地址数量最多不能超过600个。
　　
　　ER5000系列的DHCP服务器IP地址分配机制：
　　(1)        ER5000系列接收到DHCP客户端获取IP地址的请求时，首先查找IP/MAC绑定关系表（设置路径：访问控制→IP/MAC绑定，具体请参见“5.1.1  设置IP/MAC绑定”），如果这台计算机在IP/MAC绑定表中，则把对应的的IP地址分配给该计算机。

　　& 说明：

　　IP/MAC绑定的IP地址可以不在DHCP地址池范围内，但必须和设备LAN口IP在同一个网段内。绑定的IP地址只分配给指定的计算机。
　　
　　(2)        如果请求获取IP地址的计算机不在IP/MAC绑定表中，ER5000系列会从地址池中选择一个在局域网中未被使用的IP地址分配给该计算机。
　　(3)        如果计算机离线（如关机），ER5000系列不会马上把之前分给它的IP地址分配出去，只有在地址池中没有其它可分配的IP地址，且该离线计算机IP地址的租约过期时，才会分配出去。
　　(4)        如果地址池中没有任何可分配的IP地址，则计算机获取不到IP地址。
　　比如，假设ER5000系列的地址池范围为192.168.1.90～192.168.1.100，计算机A设置IP/MAC地址绑定，绑定的IP地址为192.168.1.110；计算机B未设置IP/MAC地址绑定关系。这种情况下，计算机A分配到IP地址192.168.1.110。计算机B分配到地址池范围内的一个IP地址，如192.168.1.91。

　　图4-18 DHCP服务器
　　界面项描述如下：
　　表4-11 DHCP服务器

界面项	描述
启用DHCP服务器	选中此项，启用ER5000系列的DHCP服务器功能，否则禁用。缺省为启用。 [/td]
地址池起始地址	DHCP服务器地址池的起始地址，必须与LAN口设置在同一子网内。地址池起始地址缺省为192.168.1.2。 [/td]
地址池结束地址	DHCP服务器地址池的的结束地址，必须与LAN口设置在同一子网内。地址池结束地址要大于地址池起始地址。地址池结束地址缺省为192.168.1.254。 [/td]
地址租约	输入给计算机分配IP地址的租约时间，当租约时间到后，计算机必须重新向ER5000系列申请一次（一般计算机会自动申请）。单位为分钟，缺省为1440分钟。

　　
4.2.2  查看DHCP客户列表
　　LAN设置→DHCP客户列表
　　可以在这里查看局域网中通过DHCP方式从ER5000系列获取IP地址的计算机的信息：计算机的MAC地址、计算机的主机名以及获取的IP地址。

　　& 说明：

　　只有启用DHCP服务器功能时，才会维护更新这张表。
　　

　　图4-19 DHCP客户列表
　　界面项描述如下：
　　表4-12 DHCP 客户列表

界面项	描述
操作	如果分配出去的计算机已经不在线或需要重新分配IP地址，可以通过手工点击按钮将此IP地址释放。 　　说明：如果分配的IP地址和MAC做了绑定，则按钮灰化，不能释放。 [/td]
IP地址	显示计算机获取的IP地址。 [/td]
主机名	显示获取此IP地址的计算机的名称。 [/td]
MAC地址	显示获取此IP地址的计算机的MAC地址。

　　
4.2.3  端口设置
　　LAN设置→端口设置
　　可以在本页面设置LAN端口的端口模式、VLAN、广播风暴抑制以及流控。
　　l              端口模式：一般情况下，两个对接设备都支持端口模式自适应功能，会自动协商出最佳工作模式，但如果遇到兼容性问题导致不能正常协商的，可以根据情况手工设置端口模式，以便更好的与其它设备对接。
　　l              VLAN：虚拟局域网（Virtual Local Area Network）是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。VLAN只支持二层隔离。ER5000系列的三个LAN口支持VLAN。可以根据组网需要，对各端口进行VLAN设置。
　　l              广播风暴抑制：如果局域网内有大量的广播报文（可能由病毒导致），会影响网络的正常通信。通过LAN口的广播风暴抑制功能，可以有效地抑制大量广播报文的传播，避免网络拥塞，保证网络业务的正常运行。
　　l              流控：如果其它设备向ER5000系列发送的报文太多，造成网络堵塞，ER5000系列就会丢弃一部分报文，从而影响网络正常通信。流控功能可以解决这个问题，当对端设备发送的报文超出ER5000系列的最大转发能力，ER5000系列会通知对端设备降低报文发送速率，从而避免网络拥塞。

　　& 说明：

　　l      要使流控功能生效，连接的对端设备也必须支持并启用流控功能。
　　l      缺省情况下，禁用流控功能。
　　

　　图4-20 端口设置
　　界面项描述如下：
　　表4-13 端口设置

界面项	描述
端口模式	选择端口的工作模式。一般情况下不需要设置，缺省为“Auto”。 [/td]
VLAN -ID	根据组网需要，给LAN口选择VLAN ID。VLAN ID相同的端口属于同一VLAN。缺省三个LAN口属于VLAN 1。 [/td]
广播风暴抑制	可选择高、中、低或不抑制来决定广播风暴抑制程度： 　　l      选择“高”表示允许通过该端口的广播报文最少。 　　l      选择“中”表示允许通过该端口的广播报文介于“高”和“低”之间。 　　l      选择“低”表示允许通过的该端口广播报文较多。 　　l      选择“不抑制”，表示不对广播报文作限制。 　　缺省是“不抑制”。 [/td]
流控启用	选中该项，启用流控功能，否则禁用流控功能。

　　
4.2.4  设置端口镜像
　　LAN设置→端口镜像
　　端口镜像，可将被镜像端口的报文复制到镜像端口，以进行网络检测和故障排除。ER5000系列提供基于端口的镜像功能，可将被镜像端口的报文自动复制到镜像端口，实时提供各端口传输状况的详细资料，以便网络管理人员进行流量监控、性能分析和故障诊断。例如：将被镜像端口LAN 1端口上的报文复制到镜像端口LAN 2上，通过镜像端口LAN 2上连接的协议分析仪进行分析和记录。

　　& 说明：

　　l      镜像端口能监控所有被镜像端口的数据。
　　l      WAN口不可以作为镜像端口。
　　l      WAN口和LAN口不能同时作为被镜像端口。
　　l      同一个端口不能既作为镜像端口又作为被镜像端口。
　　

　　图4-21 端口镜像
　　界面项描述如下：
　　表4-14 端口镜像

界面项	描述
镜像端口	复制经过被镜像端口的所有报文。只有LAN口可以设置镜像端口。 [/td]
被镜像端口	端口的所有报文被复制到镜像端口。WAN口、LAN口都可设置为被镜像端口。

　　


5  高级设置

　　& 说明：

　　l      ER5100不支持双WAN接入，所以本章中提到的源地址路由特指ER5200。
　　l      高级设置主要包括访问控制设置、安全设置、QoS设置、系统服务、路由设置、查看日志。
　　
5.1  访问控制
　　在访问控制中，您可以设置：
　　l              IP/MAC绑定，用于控制（允许或禁止）局域网内的计算机访问因特网，防止ARP攻击。
　　l              访问控制，通过配置不同的访问控制规则，可根据时间、星期、源IP地址、目的IP地址、目的端口、协议类型等条件控制（允许或禁止）局域网内的计算机访问因特网。
　　l              URL过滤，用于禁止局域网内计算机访问因特网上的某些网站。
5.1.1  设置IP/MAC绑定
　　访问控制→IP/MAC绑定
　　IP/MAC绑定功能就是指将计算机的MAC地址和IP地址一一对应，使得只有符合IP/MAC绑定关系的计算机才能访问因特网，而且该功能还可以有效防止ARP攻击。

　　& 说明：

　　l      最多支持512个IP/MAC绑定表项。
　　l      缺省情况下，未进行IP/MAC地址绑定。
　　
　　IP/MAC绑定功能可以通过三种方式实现：
　　l              手工逐条配置，单击下图中的按钮，将设置添加到IP/MAC绑定表中；
　　l              在网络稳定并且所有计算机都在线的情况下，单击按钮，导入ER5000系列的ARP列表；
　　l              先写好.cfg格式的文件，然后单击按钮导入。
　　.cfg文件的格式是“MAC地址 IP地址 主机名”，举例如下：
　　01:00:e8:f5:6e:3a 192.168.1.255 host
　　00:00:00:00:11:11 192.168.1.201 host 1

　　图5-1 IP/MAC绑定
　　界面项描述如下：
　　表5-1 IP/MAC绑定

界面项	描述
主机名	输入进行IP和MAC地址绑定的计算机名称。支持1～15个数字和英文字符。 [/td]
IP地址	输入该计算机的IP地址。IP地址可以不在ER5000系列 DHCP服务器分配的地址池内，但要与LAN口IP地址在同一子网内。 [/td]
MAC地址	输入该计算机的MAC地址。输入格式为xx:xx:xx:xx:xx:xx。 [/td]
	单击该按钮，弹出一个ARP_IP/MAC绑定表。选择需要绑定的ARP表项，单击，即可导入页面下方的IP/MAC绑定表。 　　说明：这种方法比较适合网络稳定、所有计算机在线的情况下使用，可轻松获得局域网内计算机IP/MAC绑定表项。但使用这种方式，可能由于ARP表项老化等情况，ARP缓存表中缺少一些计算机的信息，即这些IP/MAC地址未绑定。建议通过此方法设置完后，检查希望绑定的计算机是否在绑定列表中，如果没有，再手工添加。 [/td]
仅允许IP/MAC绑定的客户端访问外网	缺省情况下，此项禁用。 　　选中此项，产生以下两个结果： 　　l      只有IP/MAC绑定列表中绑定关系匹配的计算机才能访问因特网； 　　l      启用ER5000系列的ARP防攻击功能（“安全设置→ARP防攻击”页面中“启用ARP防攻击功能”自动选中）。 　　注意：选中该项时，管理ER5000系列的计算机必须在绑定列表中，否则不能管理。

　　
　　【举例】：某网吧由于局域网内计算机有病毒或其它原因，ARP攻击报文不停攻击ER5000系列，导致局域网内计算机上网不正常。希望实现以下需求：
　　l              局域网内计算机通过DHCP动态获取到IP地址；
　　l              计算机IP地址与设置的绑定关系表不一致时，该计算机就不能上网，从而避免上网用户随意修改计算机的IP地址；
　　l              外来计算机（如上网用户自带的笔记本计算机）接入不能访问因特网；
　　l              局域网的ARP攻击不影响局域网内计算机访问因特网。
　　设置步骤：
　　(1)        启用ER5000系列的DHCP服务器功能（LAN设置→DHCP服务器），设置IP地址池范围，如192.168.1.2～192.168.1.254，使局域网内计算机动态获取IP地址。（计算机必须设置为自动获取IP地址，设置方法请参见“12.2.1  自动获取IP地址”）。
　　(2)        设置IP/MAC绑定关系表，把局域网内所有计算机的IP地址与MAC地址对应关系设置到列表中。
　　(3)        选中“仅允许IP/MAC绑定的客户端访问外网”复选框。
　　(4)        单击按钮，配置完成。
5.1.2  设置访问控制规则
　　访问控制→访问控制

　　& 说明：

　　l      最大支持100条访问控制规则。
　　l      缺省情况下，未进行访问控制。
　　l      设置基于时间的访问控制规则时，这个规则的时间和系统时间有关，系统时间的设置请参见“7.1  时间设置”。
　　l      访问控制是从上往下进行规则匹配，当报文匹配到某一规则后，不再往下匹配。所以如果要设置多条访问控制规则，就需要考虑规则的先后顺序。设置时，需注意填写规则位置，缺省情况下新增的规则是添加到第1位的。
　　
　　您可根据时间段、星期、源IP地址、目的IP地址、目的端口范围或协议类型等来控制局域网内的计算机访问因特网。

　　图5-2 访问控制
　　界面项描述如下：
　　表5-2 访问控制

界面项	描述
时间	选择规则每天生效的时间段，时间使用24小时制。起始时间应早于终止时间，00：00～24:00表示该规则在一天内任何时间都生效。 [/td]
星期	选择一周内哪些天规则生效。 [/td]
源地址IP	输入需要控制的局域网内计算机的IP地址。如果无需控制源IP地址，此项设置为：0.0.0.0～255.255.255.255。起始IP地址不能大于目的IP地址。 [/td]
目的地址IP	输入需要控制的目的IP地址。如果无需控制目的地址，此项设置为：0.0.0.0～255.255.255.255。起始IP地址不能大于目的IP地址。 [/td]
目的端口范围	输入需要控制的目的端口号。如果无需控制目的端口，此项请设置1～65535。起始端口号应不能大于终止端口号。 [/td]
协议	选择需要控制的协议类型。有ALL、TCP、UDP和ICMP四个选项，其中ALL包括TCP、UDP和ICMP。缺省是ALL。 [/td]
操作	选择允许匹配的报文通过（允许）还是丢弃（禁止）。 [/td]
位置	输入该规则在访问控制列表中的位置。例如：若希望此规则插入在第5、第6条规则之间，输入数字6即可。缺省情况下是第1位。

　　
　　【举例1】：某网吧为了减少病毒对网络的影响，需要封锁常被病毒传播利用的一些端口（如135～139）。
　　设置如下：

　　图5-3 访问控制规则举例1
　　单击按钮，增加这条规则。此时，ER5000系列将目的端口为135～139的报文直接丢弃，使病毒不能再通过这些端口进行传播。
　　【举例2】：某企业需要禁止局域网内计算机在上班时间上网（上班时间为9：00～17：00，周一～周五），其他时间允许。
　　设置如下：

　　图5-4 访问控制规则举例2
　　单击按钮，增加这条规则。此时，局域网内所有计算机在周一至周五上班时间都不能上网了。
　　【举例3】：网络管理员希望仅允许IP地址为192.168.1.2～192.168.1.50的计算机使用Web业务（端口为80），其它计算机都不允许上网。
　　设置如下：
　　(1)        添加一条访问控制规则，允许IP地址为192.168.1.2～192.168.1.50的计算机访问因特网：

　　图5-5 访问控制规则举例3（1）
　　(2)        单击按钮，增加这条规则。
　　(3)        添加一条访问控制规则，禁止其他计算机上网。注意，该条规则的位置应写添加到第“2”号。

　　图5-6 访问控制规则举例3（2）
　　(4)        单击按钮，增加这条规则。
　　(5)        单击按钮，配置完成。
　　此时，只有IP地址为192.168.1.2～192.168.1.50的计算机能使用Web业务，其它计算机不能上网。
5.1.3  设置URL过滤规则
　　访问控制→URL过滤

　　& 说明：

　　l      最大支持100条URL过滤规则。
　　l      缺省情况下，允许访问所有站点。
　　
　　如果您想禁止局域网内的计算机访问某些特定网站，即可通过设置URL过滤实现。

　　图5-7 URL过滤
　　界面项描述如下：
　　表5-3 URL过滤

界面项	描述
不开启站点控制功能，LAN内的PC可以不受限地访问Internet站点	选中该项，局域网内的计算机都可以不受限地访问因特网站点。缺省选中该项。 [/td]
按照配置的策略访问Internet站点	选中该项，启用URL过滤功能，并根据URL控制列表中过滤规则控制局域网内计算机访问因特网站点。 [/td]
URL控制列表	选择“禁止”或“不生效”，并在后面文本框中输入要控制的站点域名或IP地址，支持1～63个数字和英文字符。 　　“禁止”表示禁止局域网内计算机访问指定网站，当“禁止”规则暂时不需要生效时，可以先切换到“不生效”状态。

　　

　　& 说明：

　　l      URL过滤只对HTTP站点生效。
　　l      输入站点时不能带有“http://”。比如：要禁止访问www.abc.com网站，可以输入“www.abc.com”或“www.abc.com:8080”，但不能输入“http://www.abc.com”。
　　
　　您也可以在本地配置URL控制列表来设置URL过滤，具体设置格式请参见以下举例。
　　【举例】：某公司希望通过导入URL控制列表来设置URL过滤，禁止局域网所有计算机访问新浪网、搜狐网。
　　操作步骤：
　　(1)        在本地新建一个.cfg格式的文件，如url.cfg。在此文件中输入要禁止的新浪网、搜狐网的网址，格式如下（“0”代表“禁止”，“1”代表“不生效”，以英文状态下的分号隔开0/1与URL）：
　　0;www.sina.com.cn
　　1;www.sohu.com
　　(2)        在URL过滤页面中单击按钮，在弹出的对话框中选择本地文件url.cfg，单击按钮，即可导入过滤文件。在该页面上就可以看到新增的URL过滤规则。
　　(3)        单击按钮，配置完成。
5.2  安全设置
　　在安全设置中，您可以设置：
　　l              ARP防攻击，用于防止ARP攻击和ARP欺骗，保证局域网内计算机正常上网。
　　l              防火墙，用于保护ER5000系列和局域网内计算免受网络攻击。
　　l              UPnP，用于实现NAT穿透，解决某些传统业务不能穿越NAT的问题。
5.2.1  设置ARP防攻击
　　安全设置→ARP防攻击

　　& 说明：

　　缺省不启用ARP防攻击和防欺骗功能。
　　
　　ARP 防攻击功能主要防止局域网内大量的无效 ARP 请求数据包导致设备的 ARP 表项占满，从而使正常计算机无法访问设备或是外网的情况。该功能是与 IP/MAC 绑定表配合共同实现的，启用该功能后，ER5000系列只对符合 IP/MAC 绑定规则的 ARP 数据包进行处理，对其它 ARP 数据包直接丢弃，从而达到防止恶意 ARP 攻击的功能。因此在启用 ARP 防攻击功能前，需要先在 IP/MAC 绑定表中绑定合法的 IP/MAC 地址。

　　& 说明：

　　要达到最佳的ARP防攻击的作用，除了IP/MAC绑定，建议为局域网内的计算机设置静态ARP表项，保证局域网内计算机的ARP表项不会被恶意修改。
　　
　　ARP 防欺骗功能主要防止局域网内的某些计算机冒充网关设备的 IP 地址发送 ARP 信息，导致正常计算机无法访问设备或外网的情况。启用该功能后，您还可以选择是否让网关设备定期发送其自己的 ARP 信息（主动发送免费ARP报文），以更新局域网中 计算机 设备上与ER5000系列相关的ARP信息。

　　图5-8 ARP防攻击
　　界面项描述如下：
　　表5-4 ARP防攻击

界面项	描述
启用ARP防攻击功能	选中“仅允许IP/MAC绑定的客户端访问外网”后（在“访问控制→IP/MAC绑定”页面，具体请参见“5.1.1  设置IP/MAC绑定”），ARP防攻击功能自动开启。否则，ARP防攻击功能禁用。 [/td]
启用ARP防欺骗功能	选中该项，则启用ARP防欺骗功能。 [/td]
主动发送免费ARP报文	l      选中该项，则启用主动发送免费ARP报文功能。ER5000系列都会在设置的时间间隔内发送免费ARP报文，使局域网内计算机刷新自己的ARP表项，建立ER5000系列的正确ARP表项，从而预防ARP欺骗的发生。 　　l      不选中该项，则ER5000系列只有检测到局域网内有ARP欺骗攻击，才会发送免费ARP报文。 　　缺省情况下，该功能禁用。 [/td]
发送免费ARP报文的时间间隔	设置主动发送免费ARP报文的时间间隔。取值范围为1～300，单位为秒。缺省是30秒。

　　
5.2.2  设置防火墙
　　安全设置→防火墙
　　启用防火墙功能后，可防止因特网对ER5000系列或局域网内计算机的恶意攻击，保证ER5000系列和局域网计算机的安全运行。特别是一些对外开放的服务器（如虚拟服务器、DMZ主机等），启用ER5000系列防火墙功能可以阻断恶意攻击源，防止DoS攻击。

　　图5-9 防火墙
　　界面项描述如下：
　　表5-5 防火墙

界面项	描述
启用防止WAN网口的Ping	启用该项，ER5000系列不回应来自因特网的Ping请求，可以防止因特网上恶意攻击的Ping探测。缺省禁用该功能。 [/td]
启用防止Syn-Flood	启用该项，ER5000系列可以防止Syn-Flood攻击。可以根据服务器正常情况下的访问量来设定最大Syn包速率值，一般保持缺省值500包/秒即可。缺省启用该功能。 [/td]
启用防止短包	启用该项，ER5000系列可以防止短包攻击。缺省启用该功能。 [/td]
启用防止碎片包	启用该项，ER5000系列可以防止碎片包攻击。缺省启用该功能。 [/td]
启用防止TearDrop攻击	启用该项，ER5000系列可以防止TearDrop攻击。缺省启用该功能。 [/td]
启用防止Land攻击	启用该项，ER5000系列可以防止Land攻击。缺省启用该功能。 [/td]
启用防止TCP空连接攻击	启用该项，ER5000系列可以防止TCP空连接攻击。缺省启用该功能。 [/td]
启用防止Ping Of Death攻击	启用该项，ER5000系列可以防止Ping Of Death攻击。缺省启用该功能。

　　
5.2.3  设置UPnP
　　安全设置→UPnP

　　& 说明：

　　l      缺省情况下，禁用UPnP功能。
　　l      如需与ER5000系列的UPnP功能配合使用，您使用的计算机操作系统需要支持UPnP功能（如Windows XP系统）。
　　
　　UPnP（Universal Plug and Play，通用即插即用）主要用于实现设备的智能互联互通，无需用户参与和使用主服务器，能自动发现和控制来自各家厂商的各种网络设备。
　　启用UPnP功能，ER5000系列可以实现NAT穿越：当局域网内的计算机通过ER5000系列与因特网通信时，ER5000系列可以根据需要自动增加、删除NAT映射表，从而解决一些传统业务（比如NetMeeting）不能穿越NAT的问题。

　　图5-10 UPnP
　　选中“启用UPnP”复选框，启用UPnP功能。
5.3  QoS设置
　　在QoS设置中，您可以设置：
　　l              流量统计，用于实时查看局域网用户通过ER5000系列进行通信的情况和ER5000系列各网口的流量情况。
　　l              IP流量限制，用于控制局域网内用户通过ER5000系列进行通信时，上行/下行使用的最大带宽。
　　l              应用通道管理，用于保证控制数据流、游戏数据流的带宽，限制下载数据流的带宽。
　　l              NAT表项限制，用于控制局域网内用户通过ER5000系列和因特网所能建立的最大NAT表项数目。它可以防止诸如BT、迅雷等软件对网络带宽的过度占用，从而保证其他用户对网络的的正常使用。

　　& 说明：

　　QoS功能（除端口流量统计）缺省禁用。启用QoS会增加设备开销，特别是在LAN内设备较多的情况下，会影响网速。
　　
5.3.1  流量统计
　　QoS设置→流量统计
　　ER5000系列提供流量统计功能，可以统计端口流量和IP流量，您可以根据这些统计数据，更好地了解网络运行状况，方便管理与控制。
　　IP流量统计是指统计局域网内每台计算机或网络设备通过WAN口的流量（局域网内的流量不统计），IP流量统计可以根据统计项对流量统计结果进行排序。端口流量统计是统计每个物理端口（WAN1、WAN2、LAN 1、LAN 2、LAN3）的流量，端口流量统计不可以排序。

　　& 说明：

　　l      缺省情况下，端口流量统计功能启用，且不能禁用。
　　l      缺省情况下，IP流量统计禁用，可以选择启用或禁用。设备重启后，IP流量统计仍为禁用。
　　

　　图5-11 端口流量统计

　　图5-12 IP流量统计
　　界面项描述如下：
　　表5-6 流量统计

界面项	描述
统计周期	刷新统计数据的时间间隔。缺省是10秒。 [/td]
自动刷新	选中该项，页面显示的统计数据会根据统计周期自动刷新。 [/td]
启用内网IP流量统计	选中该项，启用ER5000系列的局域网IP流量统计功能，统计局域网内的PC与因特网交互的上行/下行IP流量，对于局域网内部PC之间的IP报文流量不统计。 [/td]
查看	可以查看端口流量和IP流量（如果已经“启用内网IP流量统计”）。 　　查看IP流量统计时，可以按某项数据排序查看。在下拉列表框中选择“IP流量”，即可查看局域网IP流量统计结果。此时，页面右边出现下拉列表框，您可以选择显示的统计信息条数，可选项有10、20、30、40、ALL。缺省为10，表示显示10个统计信息项。如果您选择“总包数”降序排序，则该参数10表示只显示总包数降序统计结果表中的前10个统计项。 [/td]
在线主机数目	可以查看当前在线的主机数目。

　　

　　& 说明：

　　l      缺省情况下，统计信息按照端口（WAN1，WAN2，LAN 1，LAN 2，LAN3）排序。
　　l      选择IP流量时，缺省按照IP升序显示统计结果。
　　
　　选择“IP流量”后，您可以通过单击某统计项，根据此项对统计数据进行降序排列，再单击一次以升序排列。
　　【举例】：单击“总包数（PKt）”项，显示的统计信息以总包数从大到小排列，再次单击，则从小到大排列。
5.3.2  设置IP流量限制
　　QoS设置→IP流量限制

　　& 说明：

　　l      ER5000系列最多支持设置50条流量限制规则（规则可以针对单个IP地址也可以针对IP地址范围）。
　　l      ER5000系列最多可以对512个IP地址进行流量限制。
　　l      缺省情况下，禁用IP流量限制。
　　l      正常通道的带宽＝系统总带宽－绿色专用通道与限制通道的带宽（QoS设置→应用通道管理）。一般的上网流量都通过正常通道转发，IP限速规则仅对该通道中的流量生效。
　　
　　有些应用，如BT、迅雷在给用户带来方便的同时，占用了大量的网络带宽。一个网络的总带宽是有限的，如果这些应用过度占用网络带宽，就会影响其它用户正常使用网络。
　　为了保证局域网内所有用户都能正常使用网络资源，可以通过限制局域网内指定计算机的流量（称为IP流量限制），限制这种过度占用网络带宽的应用。

　　图5-13 IP流量限制
　　界面项描述如下：
　　表5-7 IP流量限制

界面项	描述
启用IP流量限制	选中该项，启用IP流量限制功能。缺省禁用此功能。 [/td]
允许 每IP通道借用空闲的带宽	启用IP流量限制项时，该功能缺省开启。 　　当线路空闲时，允许该IP通道超过流量上限值，使用空闲的带宽；当线路拥塞时，该IP通道流量不能超过上限值。 [/td]
每IP通道只能使用预设的带宽	选中该项，配置的流量上限一直生效，即使线路还有空闲的带宽，也不能使用。 [/td]
IP起始地址	输入局域网内进行流量限制的计算机起始IP地址。 [/td]
IP结束地址	输入局域网内进行流量限制的计算机结束IP地址。 [/td]
限速方向	选择限速方向。含义如下： 　　l      “上行限速”表示限制由局域网发送到因特网的数据流速率（如局域网内计算机向因特网上的FTP服务器上传文件）； 　　l      “下行限速”表示限制由因特网发送到局域网的数据流速率（如局域网内计算机从因特网上的FTP服务器下载文件）； 　　l      “双向限速”表示同时限制上行、下行两个方向的数据流速率。 [/td]
上行流量上限	输入最大上行流量（从局域网到因特网的流量），单位为KByte/s。缺省为空，表示不限制。上行流量上限的取值范围是 1 ～ 10000KByte/s。 　　注意：这里限制的值是在“IP起始地址”和“IP结束地址”地址段中各个计算机的上行带宽，而不是IP地址段内所有计算机的共享上行带宽。 [/td]
下行流量上限	输入最大下行流量（从因特网到局域网的流量），单位为KByte/s。缺省为空，表示不限制。下行流量上限的取值范围是 1 ～ 10000 KByte/s。 　　注意：这里限制的值是在“IP起始地址”和“IP结束地址”地址段中各个计算机的下行带宽，而不是IP地址段内所有计算机的共享下行带宽。 [/td]
注释	描述这条IP流量限制规则，支持1～31个数字和英文字符。

　　

　　& 说明：

　　流量限制表中可以添加多条限速规则，配置规则时允许不同规则中的 IP 地址重叠，但新添加的规则优先级高。
　　
　　【举例1】：某网吧中有两个区域：普通用户区（对应IP地址段：192.168.1.2～192.168.1.150）、贵宾用户区（对应IP地址段：192.168.1.151～192.168.1.200）。为了让贵宾区用户享受更大的带宽，需要限制每个普通用户的的带宽（如最大不超过80Kbyte/s），并且在线路不拥塞时，每个普通用户也只能使用预设的带宽，不允许利用空闲的带宽。
　　设置如下：

　　图5-14 IP流量限制

  注意：

　　由于IP流量限速只能根据IP地址进行限制，在与此例类似的网络环境中，普通区与贵宾区在同一子网内，如果不加其它限制，普通区用户可以将自己IP地址设置在贵宾区地址段内从而享受贵宾待遇。为了避免此问题发生，可以通过IP/MAC地址绑定功能限制普通区用户不能修改自己的IP。具体设置请参见“5.1.1  设置IP/MAC绑定”。
　　
　　【举例2】：某网吧由于下载文件的用户比较多，有时网速比较慢，而且影响到了一些玩网络游戏的用户，出现游戏掉线的状况。需要保证下载不会占用过多的带宽，影响上网或游戏的使用。
　　设置如下：

　　图5-15 IP流量限制
5.3.3  应用通道管理
　　QoS设置→应用通道管理
　　ER5000系列提供应用通道管理功能，通过设置“绿色专用通道”和“限制通道”，对不同的数据业务流分配不同的带宽，以此来达到“保证控制数据流、游戏数据流的带宽，限制下载数据流带宽”的目的。
　　一般情况下，可以把游戏报文、交互报文等对时延要求较高的应用流量通过绿色专用通道转发；把BT等占用大量带宽资源的P2P流量通过限制通道转发；其余流量自动通过正常通道转发。

  注意：

　　l      正常通道的带宽＝系统总带宽－绿色专用通道与限制通道的带宽。
　　l      设置绿色专用通道和限制通道的流量上限时，要保证 两者之和小于总带宽（从运营商申请到的实际带宽），总带宽减去这两者之和后的带宽则提供给正常通道，一般的上网流量都通过该通道转发。
　　

　　& 说明：

　　l      缺省情况下，禁用“应用通道管理”功能。
　　l      IP限速规则（QoS设置→IP流量限制）仅对正常通道中的流量生效。
　　

　　图5-16 应用通道管理（ER5100）

　　& 说明：

　　ER5200的该页面没有“线路总带宽”设置项，ER5200的带宽设置项是在“WAN设置→连接到因特网”页面。
　　
　　界面项描述如下：
　　表5-8 应用通道管理

界面项	描述
绿色专用通道	选中该项，启用绿色专用通道功能。该通道中的业务数据流在使用预设带宽的同时允许使用其它通道的空闲带宽。缺省禁用此功能。 [/td]
上行流量上限	输入最大上行流量（从局域网到因特网的流量），单位是 Mbps 。上行流量上限的取值范围是 0.1 ～ 100Mbps 。 　　注意：这里的参数请您根据实际需要保证的带宽自行设置，可以填写到小数点后一位有效数字。 [/td]
下行流量上限	输入最大下行流量（从因特网到局域网的流量），单位是 Mbps 。下行流量上限的取值范围是 0.1 ～ 100Mbps 。 　　注意：这里的参数请您根据实际需要保证的带宽自行设置，可以填写到小数点后一位有效数字。 [/td]
数据包长度选择	根据数据包长度来识别需要发送到绿色专用通道的流量。 　　缺省禁用此功能。数据包长度识别的阈值建议使用默认值128字节。 [/td]
端口选择	根据应用协议端口来识别需要发送到绿色专用通道的流量。 　　缺省禁用此功能。 [/td]
应用名称	需要识别的端口组的注释名称，可以为空。 [/td]
端口号	设置需要识别的端口号。端口范围 1 ～ 65535 。 [/td]
限制通道	选中该项，启用限制通道功能，该通道中的业务数据流只能使用本通道的带宽。 　　缺省禁用此功能。 [/td]
上行流量上限	输入最大上行流量（从局域网到因特网的流量），单位是 Mbps 。上行流量上限的取值范围是 0.1 ～ 10Mbps 。 　　注意：这里的参数请您根据实际需要保证的带宽自行设置，可以填写到小数点后一位有效数字。 [/td]
下行流量上限	输入最大下行流量（从因特网到局域网的流量），单位是 Mbps 。下行流量上限的取值范围是 0.1 ～ 10Mbps 。 　　注意：这里的参数请您根据实际需要保证的带宽自行设置，可以填写到小数点后一位有效数字。 [/td]
应用名称	需要识别的端口组的注释名称，可以为空。 [/td]
端口号	设置需要识别的端口号。端口范围 1 ～ 65535 。

　　

　　& 说明：

　　l      启用绿色专用通道功能识别流量时，如果数据包长度选择和端口选择同时启用，则符合其中一项即识别成功，并且数据包长度选择优先起作用。
　　l      绿色专用通道和限制通道规则表中，最多可支持20条 规则，每条规则最多设置10 个端口，以英文逗号 “,” 号隔开。
　　
　　【举例】：某网吧的实际带宽为10 M bps，有100人在上网 ，其中大部分用户都在玩魔兽争霸3，还有一些用户使用BT在下载影片。需要保证即使线路拥塞时，游戏数据包仍能及时转发，并限制BT下载过度占用带宽。
　　设置如下：


　　图5-17 应用通道管理

　　& 说明：

　　l      如果需要识别更多的端口，请您重复以上操作单击 按钮添加规则。
　　l      不在绿色专用通道和限制通道设置的报文将从正常通道发送。
　　
5.3.4  设置NAT表项限制
　　QoS设置→NAT表项限制

　　& 说明：

　　l      ER5000系列最多支持设置50条NAT限制规则。
　　l      ER5000系列最多可以对512个IP地址进行NAT限制。
　　l      缺省不启用NAT表项限制功能。
　　
　　ER5000系列作为局域网内的统一出口，其支持的NAT表项是有限的，如果局域网内部一部分计算机占用了大部分NAT资源（如使用BT），其它用户上网就会受到影响。
　　一般情况下，计算机正常使用时（如浏览网页等）所需要的NAT表项不会太多，为了避免部分计算机过多占用NAT资源，可以限制每台计算机通过ER5000系列建立的最大NAT表项数。

　　图5-18 NAT表项限制
　　界面项描述如下：
　　表5-9 NAT表项限制

界面项	描述
启用NAT表项限制	选中该项，启用NAT表项限制功能。缺省关闭此功能。 [/td]
IP起始地址	输入局域网内进行NAT表项限制的计算机起始IP地址。 [/td]
IP结束地址	输入局域网内进行NAT表项限制的计算机结束IP地址。 [/td]
NAT表项个数上限	输入要限制的最大NAT表项个数。缺省为空，表示不限制。NAT 表项个数上限的取值范围是 0 ～ 10000。 　　注意：这里限制的值是在“IP起始地址”和“IP结束地址”地址段中各个计算机的NAT表项个数，而不是IP地址段内所有计算机的共享NAT表项个数。 [/td]
注释	描述这条NAT表项限制规则，支持1～31个数字和英文字符。

　　

　　& 说明：

　　l      限制规则表中可以加入多条 NAT 数限制规则。配置规则时允许某几条中的 IP 地址重叠，但以后加入的规则优先级为高。也就是对于相同的 IP 地址，后加入的 NAT 数限制设置会覆盖先前的设置。
　　l      允许在限制规则表中对先前配置的规则进行删除、修改等操作。但修改不能改变规则的优先级，生效规则仍以第1条的约定为准。
　　
5.4  系统服务
　　在系统服务中，您可以设置：
　　l              虚拟服务器，设置内部服务器提供给因特网用户访问。
　　l              DMZ（Demilitarized zone，非管制区），DMZ的主机，实际就是缺省的虚拟服务器，当需要设置的虚拟服务器的开放端口不确定时，可以把它设置成DMZ主机。
　　l              端口触发，可以实现ER5000系列根据局域网访问因特网的端口来自动开放向内的服务端口。
　　l              ALG（Application Layer Gateway，应用层网关）应用，对某些需要ALG处理的协议，可以启用或禁用ER5000系列的ALG功能。
　　l              动态域名，用于把ER5000系列的WAN口的IP与申请的动态域名建立对应关系，当WAN口IP地址变化时，因特网用户也能方便地通过域名来访问虚拟服务器。
5.4.1  设置虚拟服务器（端口映射）
　　系统服务→虚拟服务器
　　为保证局域网的安全，ER5000系列会阻断从因特网主动发起的连接请求，因此，如果要使因特网用户能够访问局域网内的服务器（如Web服务器、Email服务器、FTP服务器等），需要设置虚拟服务器。
　　虚拟服务器也可称为端口映射，它可以将WAN口IP地址、外部端口号和局域网内服务器IP地址、内部端口号建立映射关系，使所有对该WAN口某服务端口的访问重定向到指定的局域网内服务器的相应内部端口。

　　& 说明：

　　最多支持20条虚拟服务器设置项。
　　

　　图5-19 虚拟服务器
　　界面项描述如下：
　　表5-10 虚拟服务器

界面项	描述
预置设置	系统提供常用的服务选项，如FTP、Web等服务。 　　在下拉列表框中选择一项服务，服务名称、外部端口、内部端口项都将自动完成设置。 　　说明： 　　l      如果ER5000系列提供的预设服务没有您需要的，您可以自行设置下面的服务信息。 　　l      预设服务的端口号是常用端口号，如果需要，您可以自行修改。 [/td]
服务名称	该条虚拟服务器设置项的名称。支持0~15个数字和英文字符。 [/td]
外部端口	客户端访问虚拟服务器所使用的端口。取值范围：1～65535，端口范围必须从小到大。如果只有一个端口，则两处填写同一端口号。 　　说明：各设置项的外部端口不能重复，且内部端口和外部端口的设定个数必须一样，即内部端口和外部端口一一对应。例如，设置一条虚拟服务器，外部端口为100-102，内部端口为10-12，如果ER5000系列收到外部101端口的访问请求，则ER5000系列把数据报文转发到内部服务器的11端口。 [/td]
内部端口	虚拟服务器上真实开放的服务端口。取值范围：1～65535，端口范围必须从小到大。如果只有一个端口，则两处填写同一端口号。 　　说明：各设置项的内部端口允许重复，且内部端口和外部端口的设定个数必须一样，即内部端口和外部端口一一对应。 [/td]
内部服务器IP	虚拟服务器的IP地址。

　　
　　【举例】：某公司的内部局域网，通过ER5000系列连接因特网，局域网内有一台Web服务器（IP地址为192.168.1.100，服务端口为80），客户端（因特网上用户或本公司局域网用户）需要通过8080端口访问这台服务器的Web服务。
　　设置如下：

　　图5-20 虚拟服务器设置举例
　　设置完成后，只需在客户端浏览器中输入http://xxx.xxx.xxx.xxx:8080，就可以访问Web服务器（xxx.xxx.xxx.xxx为ER5000系列当前的WAN口地址）了。

  注意：

　　l      对于FTP、TFTP等需要使用ALG处理的虚拟服务器应用，需要启用对应的ALG项。（设置路径：系统服务→ALG应用，具体配置请参考“5.4.4  设置ALG应用”）
　　l      客户端访问虚拟服务器的业务，如果需要做ALG处理，内部端口必须设置为标准端口号。例如：WAN侧客户端通过PASV模式（被动FTP）访问局域网内的FTP服务器，内部端口必须设置为21。
　　
5.4.2  设置DMZ主机
　　DMZ主机实际上就是一个缺省的虚拟服务器，优先级低于虚拟服务器。
　　如果ER5000系列收到一个来自外部网络的连接请求时，它将首先根据外部请求的服务端口号，查找虚拟服务列表，检查是否有匹配的映射表项：
　　l              如果有匹配的表项，就把请求消息发送到该表项对应的虚拟服务器上去；
　　l              如果没有查到匹配的表项，检查是否有匹配的DMZ主机，如果DMZ主机存在，就把请求消息全都转发到DMZ主机上去，否则丢弃。

　　& 说明：

　　l      启用DMZ功能之后，DMZ主机就等于暴露在了因特网中，安全性降低。
　　l      访问DMZ主机的端口号应与DMZ实际开启的服务端口号一样。
　　

　　图5-21 DMZ
　　界面项描述如下：
　　表5-11 DMZ

界面项	描述
丢弃	选中该项，当外来报文没有匹配到任何虚拟服务器表项时，ER5000系列将丢弃该报文。 [/td]
重定向到DMZ主机	选中该项，当外来报文没有匹配到任何虚拟服务器表项时，ER5000系列会把报文全都转发到DMZ主机上。 　　选中该项后，还需要设置“DMZ主机IP地址”。如果设置的DMZ主机IP地址不存在，则ER5000系列丢弃该报文。 [/td]
DMZ主机IP地址	设置DMZ主机的IP地址。 　　说明：局域网内只能设置一个DMZ主机。

　　
5.4.3  设置端口触发
　　系统服务→端口触发
　　局域网客户端访问因特网上服务器，对于某些应用，客户端向服务器主动发起连接的同时，也需要服务器向客户端主动发起连接请求，而缺省情况下ER5000系列收到WAN侧主动连接的请求都会拒绝，这样就会中断通信。通过定义端口触发规则，当客户端访问服务器触发此规则后，ER5000系列自动开放服务器需要向客户端请求的端口，这样可以保证通信正常。
　　客户端和ER5000系列没有数据交互一段时间后，ER5000系列自动关闭之前对外开放的端口，既保证应用的正常使用，又能最大限度地保证局域网的安全。

　　& 说明：

　　l      端口触发最多支持20条设置项。
　　l      各设置项中，触发端口、外来端口允许有重叠。
　　l      当局域网内计算机通过触发端口与外部网络建立连接，其相应的外来端口也将被打开，这时外部网络的计算机可以通过这些端口来访问局域网。
　　l      每个定义的端口触发只能同时被一台计算机所使用。如果有多台机器同时打开同一个“触发端口”，那么“外来端口”的连接只会被重定向到最后一次打开“触发端口”的那台计算机。
　　

　　图5-22 端口触发
　　界面项描述如下：
　　表5-12 端口触发

界面项	描述
应用名称	该条端口触发设置项的名称。支持1～15个数字和英文字符。 [/td]
触发端口	局域网客户端向服务器发起请求的端口。取值范围：1～65535，端口范围必须从小到大。如果只有一个端口，则两处填写同一端口号。 [/td]
外来端口	服务器需要主动向局域网内客户端请求的端口。取值范围：1～65535，可设置单一端口、端口范围或两者的组合，端口间用英文逗号“,”隔开。例如：100,200-300,400。 [/td]
启用	在下拉列表框中选择“使能”，启用该条端口触发规则；选择“禁用”，禁用该条端口触发规则。

　　
5.4.4  设置ALG应用
　　系统服务→ALG应用
　　有些应用协议需要创建动态连接，创建动态连接所需的IP地址和端口是在协议内容中动态描述的，而ER5000系列会拒绝WAN侧主动发起的 连接，通过配置静态过滤规则无法允许这些动态连接的建立，所以需要启用ALG来解决，把协议中携带的地址和端口号改成NAT网关的IP地址和空闲的端口号，并把对端传输过来的数据重定向到局域网内的设备。
　　针对需要做ALG的一些应用协议，ER5000系列进行了ALG处理，在使用时只需要设置启用即可。
　　缺省情况下，以下协议的ALG已经启用，建议保留缺省设置，不做修改。

　　图5-23 应用层网关
5.4.5  设置动态域名
　　系统服务→动态域名
　　由于通过PPPoE或动态获取IP地址上网时，获取到的IP地址不固定，这给想访问本局域网服务器的因特网用户带来很大的不便。DDNS（Dynamic Domain Name Service，动态域名服务）可以解决这个问题。
　　ER5000系列在DDNS服务器上会建立一个IP与域名（需要预先注册）的关系表，当WAN口IP地址变化时，ER5000系列会自动向指定的DDNS服务器发起更新请求，DDNS服务器上更新域名与IP地址的对应关系，无论ER5000系列的WAN口IP地址如何改变，因特网上的用户仍可以通过域名对其进行访问。

　　& 说明：

　　DDNS功能是作为DDNS服务的客户端工具，需要与DDNS服务器协同工作。使用该功能之前，请先到www.3322.org或www.oray.net（花生壳）去申请注册一个域名。
　　

　　图5-24 动态域名
　　界面项描述如下：
　　表5-13 动态域名

界面项	描述
DDNS	启用或禁用对应WAN口的DDNS功能。缺省是禁用DDNS。 [/td]
用户名	输入在DDNS服务器上申请的登录用户名，支持1～31个数字、英文字符和特殊字符。 [/td]
密码	输入在DDNS服务器上申请的登录密码，支持1～31个数字、英文字符和特殊字符。 [/td]
注册的主机名	输入在DDNS服务器上申请的主机名。例如：ddnstest.3322.org [/td]
DDNS服务器地址	选择DDNS服务器地址。此项选择要与注册的服务器保持一致。 　　本项提供3322.org、花生壳两种选择。 [/td]
当前地址	显示对应WAN口的当前IP地址。 [/td]
状态	当前对应WAN口DDNS工作状态。 　　l      “未连接”表示DDNS功能未启用； 　　l      “注册成功” 表示向DDNS服务器注册服务成功； 　　l      “注册失败” 表示当前接口的DDNS服务注册没有成功，可能是用户名或密码错误。 　　只有状态处于“注册成功”时。对应WAN口的DDNS功能才可用。

　　
　　【举例】：如果您已经在www.3322.org上注册了域名ER.3322.org，建立该域名与ER5000系列的WAN口IP地址之间动态对应关系的方法如下图。

　　图5-25 DDNS举例
5.5  路由设置
　　在路由设置中，您可以设置：
　　l              静态路由，根据需要手工指定路由。在简单的网络中，静态路由是易于设置和维护的。
　　l              源地址路由，用于根据源IP地址来选择网络路径。

　　& 说明：

　　当设置的源地址路由和静态路由有冲突时，源地址路由优先级低于静态路由。
　　
5.5.1  设置静态路由
　　路由设置→静态路由
　　静态路由通过手工设定目的地址、子网掩码、下一跳地址和出接口等来使到指定目的地址的报文走指定的路径。静态路由不会根据网络结构的变化而变化，当到目的网络路径变化或网络故障时，只能通过手工修改对应的静态路由表重新指定报文到目的网络的路径。
　　静态路由添加完毕后，单击按钮查看所添加的静态路由是否生效。如果添加了错误的路由，则只在下图中的静态路由表中显示，却并不生效，路由信息表中没有该路由。

　　图5-26 静态路由设置界面
　　界面项描述如下：
　　表5-14 静态路由设置项说明

界面项	说明
目的地址	需要到达的目的IP地址。 [/td]
子网掩码	需要到达的目的地址子网掩码。 [/td]
下一跳地址	数据在到达目的地址前，需要经过的下一个路由器的IP地址。 [/td]
出接口	选择静态路由的出接口。必须选择正确的出接口，添加的静态路由才能正确生效。 [/td]
注释	可以对所设的静态路由进行注释说明。支持1～15个数字和英文字符。 [/td]
	单击该按钮，查看当前生效的静态路由。

　　
　　一般有两种情况需要设置ER5000系列的静态路由，请见以下举例。
　　【举例1】：如下图所示，在LAN B内的PC 2通过路由器和ER5000系列相连，而在LAN A内的PC 1是直接连接到ER5000系列的LAN口的。如果希望LAN A中计算机与LAN B中计算机相互访问或LAN B中计算机通过ER5000系列访问因特网，需要在ER5000系列上设置静态路由。

　　图5-27 静态路由设置举例组网图
　　设置步骤：
　　(1)        根据上图配置完成各设备的IP地址。
　　(2)        在路由器Router上设置其缺省网关为ER5000系列的LAN口地址。
　　(3)        在ER5000系列上设置一条到LAN B的静态路由，如下图：

　　图5-28 静态路由设置举例
　　(4)        单击按钮，增加到静态路由表中。
　　(5)        单击按钮，配置完成。
　　【举例2】：某学校使用ER5200，既要可以上因特网（通过PPPoE拨号上网），又要可以访问教育网服务器（静态IP地址方式）。（此例需要双WAN口，仅针对ER5200）

　　图5-29 静态路由设置举例组网图（仅ER5200支持）
　　设置分析：由于局域网访问因特网的目的地址无规律，而到教育网上的服务器的地址比较固定（固定的IP地址或IP地址段），设置访问教育网的静态路由可以使局域网中用户访问教育网服务器使用教育网线路，访问因特网则使用缺省的电信线路。
　　设置步骤：
　　(1)        设置连接对应电信线路（WAN1）的接口PPPoE拨号参数。
　　(2)        设置连接教育网线路（WAN2）的接口的静态IP地址参数息。
　　(3)        设置手动负载均衡模式，缺省链路是WAN1。
　　(4)        设置静态路由，使目的地址为教育网服务器的IP报文通过WAN2到教育网。单击按钮，增加到静态路由表中。
　　(5)        单击按钮，保存配置。

　　图5-30 静态路由设置举例
　　(6)        单击按钮，增加到静态路由表中。
　　(7)        单击按钮，配置完成。
5.5.2  设置源地址路由（仅ER5200支持）
　　路由设置→源地址路由

　　& 说明：

　　源地址路由仅在负载均衡模式下生效。
　　
　　ER5200提供独特的源地址路由功能，即指定LAN内计算机的出口。该功能可以起负载分担的作用。

　　图5-31 源地址路由
　　界面项描述如下：
　　表5-15 源地址路由

界面项	描述
源地址起始IP	输入源地址起始IP。 [/td]
源地址结束IP	输入源地址结束IP。 [/td]
出接口	选择出接口。 [/td]
启用	选择使能，启用该条路由；选择禁用，则禁用该条路由。 [/td]
注释	输入对该条源地址路由的说明。支持1～15个数字和英文字符。

　　
　　【举例】：某网吧有两个因特网线路，局域网内有普通区（IP地址范围是192.168.1.2～192.168.1.100）和贵宾区（IP地址范围是192.168.1.101～192.168.1.200），管理员分配给普通区用户带宽比较小的线路（连接到 ER5200的WAN1口），分配给贵宾区用户带宽比较大的线路（连接到 ER5200的WAN2口）。
　　设置步骤：
　　(1)        设置普通用户的源地址路由，如下图。

　　图5-32 普通用户的源地址路由
　　(2)        单击按钮，增加到源地址路由表中。
　　(3)        设置贵宾用户的源地址路由，如下图。

　　图5-33 贵宾用户的源地址路由
　　(4)        单击按钮，增加到源地址路由表中。
　　(5)        单击按钮，配置完成。
　　


6  系统维护
　　在系统维护中，您可以进行如下操作：
　　l              查看状态信息，了解ER5000系列的软件、硬件版本等信息， 以及WAN口和LAN口的当前信息。
　　l              查看日志信息，帮助您快速定位设备故障或了解网络情况。
　　l              查看维护信息，通过导出故障定位信息帮助您快速定位设备故障，通过进行设备自检，帮助您了解ER5000系列的配置信息和运行情况。
　　l              技术支持，您可以访问H3C网站，获取更多的技术支持信息和产品信息。
6.1  查看状态
　　系统维护→状态
　　在状态页面，您可以查看：
　　l              基本信息，如软件版本、硬件版本、设备运行时间、系统时间、CPU和内存使用率等。
　　l              WAN状态，即WAN口当前状态信息：如连接方式、链路状态、地址信息等。
　　l              LAN状态，即LAN口的当前状态信息：如LAN口地址、DHCP服务器状态等。
6.1.1  查看基本信息

　　图6-1 基本信息
　　界面项描述如下：
　　表6-1 基本信息

界面项	描述
软件版本	显示ER5000系列的软件版本。 [/td]
引导器版本	显示ER5000系列的引导器版本。 [/td]
硬件版本	显示ER5000系列的硬件版本。 [/td]
系统资源	显示CPU及内存的使用百分比。 [/td]
运行时间	显示ER5000系列从上一次上电到现在的总运行时间。 [/td]
系统时间	显示当前的系统时间。若没有获取到时间，则显示“未获取”。

　　
6.1.2  查看WAN状态
　　您可以通过WAN状态页面了解WAN口的运行状态，可有效判断ER5000系列的运行情况，并快速定位网络故障。ER3100的WAN状态页面只显示一个WAN口的状态信息。

　　图6-2 WAN状态
　　界面项描述如下：
　　表6-2 WAN状态

界面项	描述
WAN网口模式	显示ER3260/ER3200当前的工作模式，包含3种：主备模式、智能均衡模式和手动均衡模式。 [/td]
连接方式	显示WAN口的上网方式，包含3种：PPPoE、静态IP、动态IP。 [/td]
链路状态	显示对应WAN口的当前链路状态。 　　l      “物理连接已断开”表示WAN口连接的网线已断开或线路发生故障。 　　l      “网络检测失败”表示接口有IP地址但链路检测失败。 　　l      “线路正常”链路检测成功或该接口有IP地址但没有启用链路检测功能。 　　l      “端口禁用”表示该接口被禁用。 　　l      “接口空闲”表示该接口物理链路正常，但该接口不进行工作。比如主接口工作正常时，备份接口就处于该状态。 　　l      “连接中”表示PPPoE或DHCP上网方式下，正在与服务器的连接过程中。 [/td]
ISP信息	显示对应WAN口的ISP及带宽信息。 [/td]
IP地址	显示WAN口当前的IP地址。 [/td]
子网掩码	显示WAN口当前的子网掩码。 [/td]
网关地址	显示WAN口当前的网关地址。 [/td]
域名地址	显示WAN口当前的域名地址。 [/td]
DHCP剩余时间	显示DHCP租约的剩余时间。 [/td]
MAC地址	显示WAN口当前生效的MAC地址（设置WAN口MAC克隆后，此处会相应改变）。 [/td]
	建立对应WAN口的链路连接，只在当前连接方式为“PPPoE”方式下有效。 [/td]
	断开对应WAN口的链路连接，只在当前连接方式为“PPPoE”方式下有效。 [/td]
	释放现在的IP地址，只在当前连接方式为“动态IP”方式下有效。 [/td]
	更新获取的IP地址，只在当前连接方式为“动态IP”方式下有效。

　　
6.1.3  查看LAN状态
　　您可以通过这些信息了解LAN口的运行状态。

　　图6-3 LAN状态
　　界面项描述如下：
　　表6-3 LAN状态

界面项	描述
LAN IP地址	显示LAN口当前的IP地址。 [/td]
LAN子网掩码	显示LAN口当前的子网掩码。 [/td]
DHCP服务器	显示ER5000系列的DHCP服务器状态（启用或停用）。 [/td]
LAN口MAC地址	显示LAN口当前生效的MAC地址（设置LAN口MAC克隆后，此处会相应改变）。

　　
6.2  查看日志
　　系统维护→日志
　　在日志页面，可以查看系统日志信息和设置日志服务器参数。

　　& 说明：

　　l      在局域网内建立日志服务器，可以实时接收ER5000系列的日志信息。
　　l      当日志存满后，则新的日志将覆盖最早的日志信息。。
　　
　　日志信息可以帮助您快速定位设备故障或了解网络情况。ER5000系列提供的日志功能可记录ER5000系列在运行过程中的设置状态变化、网络攻击等信息。
　　ER5000系列重启后，所有记录的日志都会丢失。ER5000系列支持把日志实时传送给日志服务器，启用该功能，即使ER5000系列重启，也能查看到其重启前的运行情况。

　　图6-4 日志信息
　　界面项描述如下：
　　表6-4 基本信息

界面项	描述
下载	下载当前显示的日志信息到计算机。 　　说明：因为日志文件大小有限制，所以当前显示的日志并不一定是ER5000系列的所有日志。 [/td]
清除	清除所有日志信息。 [/td]
发送到日志服务器	选中该项，输入日志服务器的IP地址，可以把ER5000系列的日志信息实时传送到日志服务器。 [/td]
本地不再保存日志	选中该项，把日志全部传送给日志服务器，ER5000系列不再显示新的日志信息。

　　
6.3  查看维护信息
　　系统维护→维护
　　在维护页面，您可以：
　　l              导出定位信息。当设备运行异常时，单击按钮，设备能自动把当前的运行状态、故障定位所需的各种信息压缩成一个定位信息文件下载下来。技术人员可以根据该文件快速、准确地定位问题，从而更好得为您解决设备使用的问题。
　　l              进行设备自检。您在使用过程中，可以随时单击按钮，检测设备的当前配置是否合理及运行是否正常，设备将弹出页面（如图6-6所示）分类显示检测结果。

　　图6-5 维护信息
　　单击按钮后，设备弹出页面显示自检报告，如下图。报告中包含基本的设备信息，并提示某些设置可能造成的影响或隐患。

　　图6-6 自检信息
　　界面描述如下。
　　表6-5 设备自检信息

界面项	描述
设备信息	显示设备的基本项检测结果，包括设备当前的软硬件版本、WAN口模式、链路状态和当前系统时间。 　　如果系统时间未获取或者为手动设置，页面会提示。 [/td]
网络信息	显示设备的网络状态检测结果并根据检测结果做简单提示。检测结果包括WAN口设置的带宽、WAN口速率、IP流量限制是否启用、NAT限制是否启用。 　　如果启用IP流量限制或NAT表现限制，页面会出现提示。当IP流量或者NAT表项达接近限制值时，页面会出现提示。 [/td]
系统安全	显示设备的安全配置检测结果并根据检测结果做简单提示。检测结果包括上次登录设备的用户、时间，以及ARP防攻击和防火墙是否启用的信息。 　　如果启用UPnP，页面会出现提示。 　　无论启用或者未启用IP/MAC绑定、ARP防欺骗和防火墙功能，页面都会出现提示。 [/td]
故障诊断	显示设备的常见故障的检测结果，包括接口收发包状况、WAN口的通断记录以及对环回口、网关和主、辅DNS的ping检测结果等信息。 　　说明：故障诊断的过程需要几秒钟，此时故障诊断栏目框显示“检测中…”。

　　
6.4  获取技术支持信息
　　系统维护→技术支持
　　您可以登录H3C网站，下载最新软件版本和用户手册。
　　如果您对产品的使用有任何疑问、意见或建议，欢迎登录该网站咨询或反馈。

　　图6-7 技术支持
　　单击按钮，获得更多产品信息和技术支持。
　　


7  设备管理
　　在设备管理中，您可以进行如下操作：
　　l              时间设置，用于设置当地所在时区，获取真实的网络时间。
　　l              NTP服务器设置，用于设置指定的NTP服务器的地址，为路由器、交换机和工作站之间提供时间同步。
　　l              备份系统设置信息，用于备份系统设置信息，防止信息意外丢失。
　　l              从文件中恢复设置信息，用于将当前设置恢复到以前备份过的设置。
　　l              恢复到出厂设置，用于将ER5000系列恢复到出厂的初始状态。
　　l              软件升级，用于通过Web页面升级ER5000系列的软件。
　　l              远程管理，用于允许/禁止用户通过WAN口远程登录ER5000系列的设置页面对ER5000系列进行管理。
　　l              重启动，用于通过Web页面重新启动ER5000系列。
　　l              修改密码，用于防止非授权人员随意登录Web设置页面。
7.1  时间设置
　　设备管理→时间设置
　　设置系统时间有两种方式，通过网络获取时间和手工设置系统时间。缺省情况下，ER5000系列通过缺省的NTP服务器获取时间。
　　NTP（Network Time Protocol，网络时间协议）用来为路由器、交换机和工作站之间提供时间同步。时间同步的作用是可以将多台网络设备上的相关事件记录放在一起看，有助于分析较复杂的故障和安全事件等。
　　NTP服务器获取时间的方式有以下两种：
　　l              当ER5000系列连接到因特网后，会自动从设备缺省的NTP服务器获取时间。（缺省情况下采用这种方式）
　　l              手工输入指定的NTP服务器的地址，ER5000系列从指定的NTP服务器上获取时间。
　　如果ER5000系列通过NTP服务器无法获得时间，则在状态页面的因特网时间显示“未获取”。此时需要手工设置系统时间。

　　& 说明：

　　设置完系统时间后，访问控制功能就以系统时间为准。
　　

　　图7-1 时间设置
　　界面项描述如下：
　　表7-1 时间设置

界面项	描述
通过网络获取系统时间	选中该项，启用该功能。缺省情况下，启用该功能。 [/td]
时区	选择ER5000系列所在的时区，缺省为（GMT+08：00）Beijing。 [/td]
使用本设备缺省的NTP服务器	选中该项，ER5000系列从缺省的NTP服务器更新时间。缺省情况下，使用ER5000系列的缺省NTP服务器。 [/td]
使用下面手工输入的NTP服务器	若您需要设置其他的NTP服务器，请选中该项，并在文本框中输入该NTP服务器的地址（IP地址形式或域名形式），ER5000系列向指定的NTP服务器更新时间。 [/td]
手动设置系统时间	选中该项，启用该功能。缺省情况下，禁用该功能。

　　
7.2  设置信息
　　设备管理→设置信息
7.2.1  备份系统设置信息
　　如果您之前备份过系统设置信息，当发生误操作或其他情况导致ER5000系列的系统设置信息丢失时，您可将当前设置恢复到之前备份的设置，保证ER5000系列的正常运行，并减少信息丢失带来的损失。备份系统设置信息还有助于进行故障分析。

　　图7-2 备份系统设置信息
　　单击按钮，选择设置信息备份路径后，单击按钮，将ER5000系列当前的设置信息保存到计算机上，方便以后通过该文件（后缀名为.cfg）恢复设置。

  注意：

　　请不要编辑这个保存在计算机上的设置文件。设置文件经过加密，修改后不能再次恢复到设备中。
　　
7.2.2  从文件中恢复设置信息

  注意：

　　l      恢复设置后，当前的设置将会丢失。如果您不希望丢失当前设置信息，请注意进行备份。备份方法请参见“7.2.1  备份系统设置信息”。
　　l      恢复设置过程中，ER5000系列将会重新启动。
　　
　　您可以使用此功能将当前设置恢复到以前备份过的设置。

　　图7-3 从文件中恢复设置信息
　　单击按钮，在计算机上选择一个以前备份的文件（*.cfg），然后单击按钮，即可将设置恢复到备份文件的状态。
7.2.3  恢复到出厂设置

  注意：

　　l      恢复到出厂设置后，当前的设置将会丢失。如果您不希望丢失当前设置信息，请注意进行备份。备份方法请参见“7.2.1  备份系统设置信息”。
　　l      恢复出厂设置过程中，ER5000系列将会重新启动。
　　
　　恢复到出厂设置将清除ER5000系列的所有设置信息，恢复到初始状态。该功能一般用于设备从一个网络环境换到另一个不同的网络环境的情况，将设备恢复到出厂设置，然后再进行重新设置，以更适合当前的组网。

　　图7-4 恢复到出厂设置
　　单击按钮，确认后，恢复出厂设置。
7.3  软件升级
　　设备管理→软件升级

  注意：

　　l      升级软件后，现有所有设置信息将丢失，建议在升级软件之前备份现有设置信息，备份方法请参见“7.2.1  备份系统设置信息”。
　　l      升级过程中请勿断电，否则可能造成ER5000系列不能正常工作。
　　l      ER5000系列升级成功后，将会重新启动。
　　
　　通过软件升级，您可以加载最新版本的软件到ER5000系列，以获得更多的功能和更为稳定的性能。

　　图7-5 软件升级
　　软件升级步骤如下：
　　(1)        点击页面上的链接，登录公司网站下载最新的软件版本，保存到本地计算机。
　　(2)        单击按钮，选择需要升级的软件。
　　(3)        单击按钮，开始升级。
7.4  远程管理
　　设备管理→远程管理

  注意：

　　l      在同一时间，远程、本地同时只能有一台计算机通过Web管理设备。
　　l      在同一时间，远程、本地同时只能有一台计算机通过telnet管理设备。
　　
　　您可以采用远程管理的方式设置与管理ER5000系列。

　　图7-6 远程管理
　　界面项描述如下：
　　表7-2 远程管理

界面项	描述
启用远程Web管理	选中该项表明可以通过Web方式对ER5000系列进行远程管理。缺省禁用远程管理功能。 [/td]
远程IP地址	设置远程管理计算机的IP地址范围，只有IP地址在范围内的计算机才允许远程管理ER5000系列。缺省情况下，允许所有计算机对ER5000系列进行远程管理。 [/td]
远程端口号	输入远程管理端口号，外部用户通过此端口登录ER5000系列的设置页面对ER5000系列进行管理。缺省为8000。例如，若设置端口号为8000，则用户可以在浏览器中输入“http://xxx.xxx.xxx.xxx:8000”来远程登录（xxx.xxx.xxx.xxx为ER5000系列当前的WAN口地址）。 [/td]
启用远程telnet管理	选中该项表明可以通过telnet方式对ER5000系列进行远程管理。缺省禁用远程管理功能。 [/td]
远程IP地址	设置远程管理计算机的IP地址范围，只有IP地址在范围内的计算机才允许远程管理ER5000系列。缺省情况下，允许所有计算机对ER5000系列进行远程管理。 [/td]
远程端口号	输入远程管理端口号，外部用户通过此端口登录ER5000系列的设置页面对ER5000系列进行管理。缺省为52000。例如，若设置端口号为52000，则用户可以在[开始/运行]中输入“telnet xxx.xxx.xxx.xxx 52000”远程登录（xxx.xxx.xxx.xxx为ER5000系列当前的WAN口地址）。

　　
　　【举例】：只允许因特网上的一台计算机（IP地址：202.2.3.54）通过8000端口管理ER5000系列（WAN口IP：222.1.1.162）。
　　设置如下图：

　　图7-7 远程管理举例
　　以后只要在这台计算机的浏览器地址栏输入“http://222.1.1.162:8000”即可登录ER5000系列，进行配置管理。
7.5  重启动
　　设备管理→重启动

  注意：

　　l      重启动期间，请勿断电。
　　l      重启动期间，网络通信将暂时中断。
　　

　　图7-8 重启动
　　单击按钮，ER5000系列重新启动。
7.6  修改密码
　　设备管理→修改密码
　　ER5000系列缺省的用户名/密码为admin，用户名不可修改，密码可修改。为了安全起见，建议修改此密码，并保管好密码信息。

　　图7-9 修改密码
　　设置步骤如下：
　　(1)        在“原密码”文本框中输入原来的密码；在“新密码”文本框中输入新的密码，在“确认密码”文本框中重新输入新密码以确认。
　　(2)        单击按钮，完成密码修改。

　　& 说明：

　　密码长度为1～15个字符，密码区分大小写。
　　


8  诊断工具
　　在诊断工具中，您可以进行：
　　l              Ping通信测试，用于测试ER5000系列和其它网络设备之间的连接是否正常。
　　l              路由跟踪测试，用于测试ER5000系列到某计算机或网络设备所经过的链路是否正常。
8.1  Ping
　　诊断工具→Ping
　　Ping功能用来测试ER5000系列和其它网络设备之间的连接是否正常。
　　测试界面如下图所示。

　　图8-1 Ping
　　输入目的设备的IP地址或域名，选择广域网链路，单击按钮开始测试。
　　测试完成后，显示测试结果。连接正常显示如图8-2所示；连接失败显示如图8-3所示。
http://www.h3c.com.cn/res/200804/23/20080423_615614_image101_604540_30005_0.jpg
　　图8-2 Ping结果显示（Ping目的地址成功）
http://www.h3c.com.cn/res/200804/23/20080423_615615_image102_604540_30005_0.jpg
　　图8-3 Ping结果显示（Ping目的地址失败）
8.2  Tracert
　　诊断工具→Tracert
　　Trace Route（路由跟踪）功能用来测试ER5000系列到某计算机或网络设备所经过的各设备之间的连接是否正常。
　　测试界面如下图所示。
http://www.h3c.com.cn/res/200804/23/20080423_615616_image103_604540_30005_0.jpg
　　图8-4 路由跟踪测试
　　输入跟踪计算机的IP地址或域名，选择广域网链路，单击按钮开始测试。
　　请耐心等待测试结果。测试完成后，显示测试结果。连接正常如图8-5所示；连接失败如图8-6所示
http://www.h3c.com.cn/res/200804/23/20080423_615617_image104_604540_30005_0.jpg
　　图8-5 路由跟踪结果显示界面（跟踪成功）
　　第一列为序号；第二列和第三列为路由跟踪过程中经过网关的IP地址；第四列到第六列为ER5000系列发送报文到网关的回应时间。
http://www.h3c.com.cn/res/200804/23/20080423_615618_image105_604540_30005_0.jpg
　　图8-6 路由跟踪结果显示界面（跟踪失败）
　　如上图所示，*表示路由不可达，路由跟踪可以到达第一跳，但无法到达第二跳。
　　


9  典型配置案例

　　& 说明：

　　l      本章介绍ER5000系列的典型配置案例。
　　l      ER5100只有一个WAN口，不能实现“电信走电信，网通走网通”的需求，其他需求和ER5200相同。
　　
9.1  组网需求
　　某网吧需要满足以下需求：
　　l              电信、网通各100M光纤接入，并实现“电信走电信，网通走网通”的需求（仅ER5200支持）；
　　l              防止局域网内的ARP攻击；
　　l              防止某些计算机使用BT、迅雷等软件过度占用网络资源。
9.2  组网配置方案
　　为满足以上典型需求，使用ER5000系列组建局域网，以下面具体的组网配置方案为例进行说明：
　　l              WAN口接入方式采用静态IP地址接入方式；
　　l              ER5200通过光纤收发器分别接入到电信和网通线路，WAN口模式采用手工负载均衡方式，实现“电信走电信，网通走网通”；
　　l              关闭DHCP服务器功能，手工给局域网内各计算机分配静态IP地址；
　　l              启用IP/MAC绑定功能，防止ARP攻击；
　　l              启用ARP防欺骗功能；
　　l              设置IP流量限制和NAT表项限制，防止BT、迅雷等软件过度占用网络资源。
9.3  组网图
http://www.h3c.com.cn/res/200804/23/20080423_615619_image106_604540_30005_0.png
　　图9-1 ER5000系列的典型应用组网图

　　& 说明：

　　ER5100只有一个WAN口连接到ISP。
　　
9.4  设置步骤
　　通过连接到ER5000系列LAN口的计算机进行设置。在计算机Web浏览器的地址栏中输入“http://192.168.1.1”（如果用户已经更改地址，则需要输入新地址），按回车后出现登录对话框。在登录对话框中输入缺省的管理员用户名：admin，密码：admin（如果密码已更改，则需要输入新密码），单击按钮后便可进入Web配置页面。
　　配置如下：

  注意：

　　每个页面设置完成后都要单击按钮，保存设置。
　　
1. 连接到因特网
　　(1)        设置多WAN连接模式（设置ER5100请略过这一步）。设置路径：WAN设置→连接到因特网，设置如下。
http://www.h3c.com.cn/res/200804/23/20080423_615620_image107_604540_30005_0.jpg
　　图9-2 设置WAN连接模式
　　(2)        设置上网方式。设置路径：WAN设置→连接到因特网，设置如下。
http://www.h3c.com.cn/res/200804/23/20080423_615621_image108_604540_30005_0.jpg
　　图9-3 设置上网方式
　　(3)        设置均衡路由策略（设置ER5100请略过这一步）。设置路径：WAN设置→连接到因特网，单击页面右下方的按钮，导入网通路由策略表（可以直接从H3C网站上下载）。
http://www.h3c.com.cn/res/200804/23/20080423_615622_image109_604540_30005_0.jpg
　　图9-4 设置均衡路由策略

　　& 说明：

　　l      由于缺省链路设置为WAN 1，且WAN 1的ISP为电信，所以这里只需导入网通的策略路由表。
　　l      本例中WAN2口与网通连接，导入网通路由策略表前，请注意策略表中的出接口应该是WAN2口。
　　l      若网通策略路由表不能够完全覆盖您所需要的策略，请手工进行添加。
　　
2. 设置局域网
　　(1)        关闭ER5000系列的DHCP服务器。设置路径：LAN设置→局域网设置，如下图所示。
http://www.h3c.com.cn/res/200804/23/20080423_615623_image110_604540_30005_0.jpg
　　图9-5 关闭DHCP服务器功能
　　(2)        给局域网内的计算机静态指定IP地址和子网掩码。

　　& 说明：

　　请保证局域网内的计算机IP地址与ER5000系列的LAN口IP地址在同一网段内，并且相互没有冲突。
　　
3. 设置防ARP攻击和欺骗
　　(1)        设置IP/MAC地址绑定。设置路径：访问控制→IP/MAC绑定，单击按钮。
http://www.h3c.com.cn/res/200804/23/20080423_615624_image111_604540_30005_0.jpg
　　图9-6 设置IP/MAC绑定
　　(2)        选中“全选”复选框，单击，IP/MAC绑定关系导入到IP/MAC绑定表。
http://www.h3c.com.cn/res/200804/23/20080423_615625_image112_604540_30005_0.jpg
　　图9-7 添加IP/MAC绑定

　　& 说明：

　　l      请将局域网内的计算机都开机，保证所有计算机的IP/MAC表项都被导入。如果还有其他表项需要导入，请进行手工设置。
　　l      为更好地防止ARP攻击，建议将局域网内的计算机都设置成静态ARP。
　　
　　(3)        选中“仅允许IP/MAC绑定的客户端访问外网”，单击按钮，ARP防攻击生效。
http://www.h3c.com.cn/res/200804/23/20080423_615626_image113_604540_30005_0.jpg
　　图9-8 仅允许IP/MAC绑定的客户端访问外网
　　(4)        设置ARP防欺骗。设置路径：安全设置→ARP防攻击，选中“启用ARP防欺骗功能”，并选中“主动发送免费ARP报文”，并将“发送免费ARP报文的时间间隔”设为1秒。单击按钮，完成配置。
http://www.h3c.com.cn/res/200804/23/20080423_615627_image114_604540_30005_0.jpg
　　图9-9 设置ARP防欺骗
4. 设置IP流量限制和NAT表项限制
　　(1)        设置IP流量限制。设置路径：QoS设置→IP流量限制。启用IP流量限制功能，设置IP地址范围及流量上限。设置完成后，单击按钮，添加到IP流量限制表中。
http://www.h3c.com.cn/res/200804/23/20080423_615628_image115_604540_30005_0.jpg
　　图9-10 设置IP流量限制

　　& 说明：

　　对于100M左右的带宽，IP流量上限建议设为200～400KBps。
　　
　　(2)        设置NAT表项限制。设置路径：QoS设置→NAT表项限制。启用NAT表项限制功能，设置IP地址范围及NAT表项上限。设置完成后，单击按钮，添加到NAT表项限制表中。
http://www.h3c.com.cn/res/200804/23/20080423_615629_image116_604540_30005_0.jpg
　　图9-11 设置NAT表项限制

　　& 说明：

　　对于100M左右的带宽，NAT表项上限建议设为300～500个。
　　
　　完成所有设置步骤后，您就可以放心地通过ER5000系列进行上网了。
　　


10  命令行设置
　　ER5000系列支持以下命令行设置项：重启（reboot）、恢复出厂设置（restore default）、修改Web管理密码（password）、查看和修改LAN口IP地址（ip address）、启用/禁用“仅允许IP/MAC绑定的客户端访问外网”（ipmac-restrict）、显示系统资源使用情况（display sysinfo）、下载设备的故障定位信息（download debug-file）。
　　您可以在局域网内通过Console口或telnet进行设置。
　　l              通过Console配置需要搭建配置环境，请参见“10.1  通过Console口搭建配置环境”。
　　l              通过telnet配置，则只需将计算机通过网线连接到LAN口。可以略过“10.1  通过Console口搭建配置环境”，直接跳至“10.2  命令行在线帮助”。telnet登录方式是进入[开始/运行]栏，输入“telnet xxx.xxx.xxx.xxx”（xxx.xxx.xxx.xxx即ER5000系列的LAN口IP地址）回车，然后按界面提示输入用户名和密码即可对ER5000系列进行设置。
10.1  通过Console口搭建配置环境
1. 连接ER5000系列到计算机
　　如图10-1所示，建立本地配置环境，只需将配置终端的串口通过配置线缆与ER5000系列的Console口连接。

http://www.h3c.com.cn/res/200804/23/20080423_615630_image117_604540_30005_0.png  注意：

　　由于配置线缆不支持热插拔，建议连接配置线缆前先将计算机和ER5000系列断电。
　　
http://www.h3c.com.cn/res/200804/23/20080423_615631_image118_604540_30005_0.jpg
　　图10-1 通过Console口搭建本地配置环境
2. 配置终端参数
　　(1)        打开计算机，在计算机Windows界面上点击[开始/（所有）程序/附件/通讯]，运行终端仿真程序，建立新的连接。以Windows XP的超级终端为例，如图10-2所示，在“名称”文本框中键入新建连接的名称，单击按钮。
http://www.h3c.com.cn/res/200804/23/20080423_615632_image119_604540_30005_0.jpg
　　图10-2 新建连接
　　(2)        选择连接串口。如图10-3所示，在“连接时使用”下拉列表框中选择进行连接的串口（注意选择的串口应与配置线缆实际连接的串口相一致），单击按钮。
http://www.h3c.com.cn/res/200804/23/20080423_615633_image120_604540_30005_0.jpg
　　图10-3 连接端口设置
　　(3)        设置串口参数。如图10-4所示，在串口的属性对话框中设置波特率为9600bps，数据位为8，奇偶校验为无，停止位为1，流量控制为无。单击按钮，进入[超级终端]窗口。
http://www.h3c.com.cn/res/200804/23/20080423_615634_image121_604540_30005_0.jpg
　　图10-4 端口通信参数设置
　　(4)        配置超级终端属性。在[超级终端]窗口中选择[文件/属性/设置]，进入如图10-5所示的属性设置窗口。选择终端仿真类型为VT100或自动检测，单击按钮，返回[超级终端]窗口。
http://www.h3c.com.cn/res/200804/23/20080423_615635_image122_604540_30005_0.jpg
　　图10-5 终端类型设置
　　(5)        按回车后，终端上显示命令行提示符。
10.2  命令行在线帮助
　　配置环境搭建完成后，就可以使用命令行进行设置了。ER5000系列提供命令行在线帮助，帮助您使用命令行。
　　(1)        在任一视图下，键入获取该视图下所有的命令及其简单描述。
　　?
　　reboot         Reboot device
　　restore        Restore configuration
　　password       Set administrator's password
　　ip             Display or Set the IP configuration of LAN interface
　　ipmac-restrict Specify ipmac-restrict configuration information
　　display        Display current information
　　download       Download debug file by serial port
　　(2)        键入一命令，后接以空格分隔的“?”，如果该命令行位置有关键字，则列出全部关键字及其简单描述。
　　ip ?
　　address        Display or set IP address
　　(3)        键入一字符串，其后紧接，列出以该字符串开头的所有命令。
　　pa?
　　password
　　(4)        键入命令的某个关键字的前几个字母，按下键，如果以输入字母开头的关键字唯一，则可以显示出完整的关键字。
　　 pa  ¬按下键
　　 password
10.3  用户配置
　　配置环境搭建完成后，终端上显示如下：
　　  
10.3.1  修改Web管理密码（password）
　　在后面输入password并回车，按照系统提示，首先输入旧的密码，而后输入新密码，并重新输入一次以确认。

　　& 说明：

　　l      缺省情况下，Web管理密码为admin。
　　l      密码长度为1～15个字符（数字或英文字母），区分大小写。
　　
10.3.2  查看/设置LAN口IP地址（ip address）
　　l              查看IP地址：在后面输入ip address xxx.xxx.xxx.xxx。
　　l              修改IP地址：在后面输入ip address xxx.xxx.xxx.xxx并回车。
　　l              修改IP地址和子网掩码：在后面输入 ip address xxx.xxx.xxx.xxx mask xxx.xxx.xxx.xxx并回车。
　　例：设置LAN口的IP地址为192.168.1.2，子网掩码为255.255.0.0。
　　ip address 192.168.1.2 mask 255.255.0.0

　　& 说明：

　　l      缺省情况下，LAN口IP地址是192.168.1.1，子网掩码是255.255.255.0。
　　l      修改LAN口 IP地址后，其他页面中和IP地址相关的配置可能需要相应修改（如IP/MAC绑定表中的IP地址等），保持和LAN口IP在统一网段。
　　
10.3.3  恢复出厂设置（restore default）
　　在后面输入restore default并回车，按系统提示确认，ER5000系列将恢复出厂设置并重启。

  注意：

　　恢复出厂设置后，ER5000系列的用户名、密码以及IP地址等所有设置都会被恢复到出厂时的缺省设置，登录时请使用缺省的用户名、密码以及IP地址。
　　
10.3.4  重启（reboot）
　　在后面输入reboot并回车，按系统提示确认，ER5000系列将重启。
10.3.5  启用/禁用“仅允许IP/MAC绑定的客户端访问外网”（ipmac-restrict）
　　l              查看是否启用“仅允许IP/MAC绑定的客户端访问外网”：在后面输入ipmac-restrict并回车。
　　l              在后面输入ipmac-restrict enable并回车，则仅允许IP/MAC绑定的客户端访问外网。
　　l              在后面输入ipmac-restrict disable并回车，则所有客户端都可以访问外网。
　　缺省情况下，禁用“仅允许IP/MAC绑定的客户端访问外网”。
10.3.6  显示系统资源使用情况（display sysinfo）
　　在后面输入display sysinfo，将显示设备的CPU使用情况和内存使用情况。
　　display sysinfo
　　CPU Used Rate:           0.5％
　　Memory Used Rate:        30.8％
10.3.7   设备的故障定位信息（download debug-file）
　　在后面输入download debug-file，将下载设备的故障定位信息，以供技术人员对设备故障进行分析定位。
　　download debug-file
　　Creating debug file......
　　Ready to download debug file......
　　Please choose Xmodem protocol and select file.
　　If you want to exit, please press .
　　此时，系统提示需要创建一个接收文件来保存这些设备的故障定位信息。步骤如下：
　　(1)        单击[超级终端]窗口中的http://www.h3c.com.cn/res/200804/23/20080423_615636_image123_604540_30005_0.jpg按钮，创建接收文件。
　　(2)        请您输入要保存这些故障定位信息的文件夹名，使用Xmodem接收协议，单击。
　　(3)        在弹出的对话框中输入文件名，单击。
　　下载完成后，终端上显示“Download completed.”，请到指定路径下获取下载文件。

　　& 说明：

　　您也可在download debug-file命令后直接输入端口接收的波特率，例如download debug-file  9600，但必须要与图10-4端口通信参数设置中的波特率一致。可用波特率为9600和115200两种。
　　


11  附录 - 技术规格
　　表11-1 技术规格

项目		描述
端口	ER5100	1个10/100Base-TX WAN口 　　3个10/100/1000Base-T LAN口 　　1个Console接口 [/td]
	ER5200	2个10/100Base-TX WAN口 　　3个10/100/1000Base-T LAN口 　　1个Console接口 [/td]
外形尺寸 　　（长×宽×高）		440mm×230mm×44mm [/td]
输入电压		100～240V AC，50/60Hz [/td]
最大功耗		20W [/td]
工作温度		0℃～40℃ [/td]
存储温度		-10℃～70℃ [/td]
工作湿度		10%～90%无凝结 [/td]
存储湿度		5%～90%无凝结 [/td]
散热方式		风扇散热

　　


12  附录 - 安装与设置TCP/IP协议

　　& 说明：

　　一般操作系统都安装了TCP/IP协议，设置TCP/IP协议请直接跳至“12.2  设置TCP/IP协议”。
　　
12.1  安装TCP/IP协议
　　用户计算机要求必须安装TCP/IP协议。如果不确定TCP/IP协议是否已经安装，请按照以下步骤检查或安装。

  注意：

　　Windows 2000/XP系统通常缺省已经安装了TCP/IP协议，以下仅为Windows 98/ME/NT系统中的安装步骤，中文版系统界面文字稍有差异，步骤并无不同。
　　
　　(1)        单击[开始]菜单，选择“设置”，再选择“控制面板”。
　　(2)        双击“网络连接”图标，选择“设置”页签。
　　(3)        检查TCP/IP是否已经安装到计算机指定的网卡。如果没有，请单击按钮。
http://www.h3c.com.cn/res/200804/23/20080423_615637_image124_604540_30005_0.jpg
　　图12-1 “网络”窗口示意图
　　(4)        在网络组件类型里双击“协议”，或者选中“协议”后单击。
http://www.h3c.com.cn/res/200804/23/20080423_615638_image125_604540_30005_0.jpg
　　图12-2 “选择网络组件类型”窗口示意图
　　(5)        在厂商列表里选择“Microsoft”。从右边的列表里双击“TCP/IP”或者选择“TCP/IP”，然后单击 按钮。几秒钟以后，返回到“网络”窗口。在已安装的组件列表中将会出现“TCP/IP”这一项。
http://www.h3c.com.cn/res/200804/23/20080423_615639_image126_604540_30005_0.jpg
　　图12-3 “选择 网络协议”窗口示意图
　　(6)        单击按钮，选择“IP地址”页签。选择“自动获取IP地址”，单击，重新启动计算机完成TCP/IP的安装。
http://www.h3c.com.cn/res/200804/23/20080423_615640_image127_604540_30005_0.jpg
　　图12-4 “TCP/IP属性”窗口示意图
12.2  设置TCP/IP协议
12.2.1  自动获取IP地址
　　在Windows 98/ME/NT系统中，请参见“12.1  安装TCP/IP协议步骤12.1  (6)”。在Windows 2000/XP系统中，请按照以下步骤进行设置。
　　(1)        单击屏幕左下角按钮进入“开始”菜单，选择[设置/控制面板]。双击“网络连接”图标，再双击弹出的“本地连接”图标，弹出“本地连接 状态”页面。
http://www.h3c.com.cn/res/200804/23/20080423_615641_image128_604540_30005_0.jpg
　　图12-5 “本地连接 状态”页面
　　(2)        单击按钮，进入“本地连接属性”页面，选择“Internet协议（TCP/IP）”，单击按钮。
http://www.h3c.com.cn/res/200804/23/20080423_615642_image129_604540_30005_0.jpg
　　图12-6 “本地连接属性”窗口示意图
　　(3)        设置TCP/IP属性，选择“自动获得IP地址”，单击。
http://www.h3c.com.cn/res/200804/23/20080423_615643_image130_604540_30005_0.jpg
　　图12-7 “Internet协议（TCP/IP）属性”窗口示意图
12.2.2  指定静态IP地址
　　对大多数用户来说，无需为当前局域网内的计算机分配静态IP，因为本设备缺省启用DHCP功能，LAN计算机能够自动获取相关信息。不过在某些情况下，可能需要直接为当前网内的某些或所有计算机设置网络信息。
　　缺省情况下，本设备的LAN口的地址为192.168.1.1，子网掩码为255.255.255.0，用户计算机IP地址只要与192.168.1.1/24在同一网段即可（在192.168.1.2～192.168.1.254任意选择其一）。
　　(1)        指定用户计算机IP地址。在图12-4的“TCP/IP属性”窗口中选择“IP地址”页签，然后选择“指定IP地址”，（在Windows2000/XP中，请参考图12-4，选择“常规”页签，然后选择“使用下面的IP地址”），分别填写IP地址及子网掩码，单击按钮。
　　(2)        指定网关IP地址。在Windows 98/ME/NT中，在图12-4中选择“网关”页签，在“新网关”一栏中输入本设备的缺省地址192.168.1.1，单击按钮；在Windows2000/XP中，参考图12-7选择“使用下面的IP地址”后，在“默认网关”一栏中输入本设备的缺省地址192.168.1.1，单击按钮。
　　(3)        指定DNS服务器IP地址。在Windows 98/ME/NT中，在图12-4中选择“DNS设置”页签，设置DNS的IP地址（本设备的LAN口缺省地址192.168.1.1）；在Windows2000/XP中，在图12-7中，单击按钮，然后选中“DNS”页签，单击按钮，在“DNS 服务器”一栏输入本设备的LAN口缺省地址192.168.1.1，最后单击按钮。
　　在Windows 98/ME/NT中，单击按钮，重新启动计算机完成静态IP地址的设置；在Windows2000/XP中，单击按钮即可。
　　


13  附录 - 术语表
　　表13-1 术语表

术语缩写	英文全称	中文名称	含义
100Base-TX	100Base-TX	100Base-TX	100Mbit/s基带以太网规范，使用两对5类双绞线连接，可提供最大100Mbit/s的传输速率。 [/td]
10Base-T	10Base-T	10Base-T	10Mbit/s基带以太网规范，使用两对双绞线（3/4/5类双绞线）连接，其中一对用于发送数据，另一对用于接收数据，提供最大10Mbit/s传输速率。 [/td]
DDNS	Dynamic Domain Name Service	动态域名服务	动态域名服务（Dynamic Domain Name Service），能实现固定域名到动态IP地址之间的解析。 [/td]
DHCP	Dynamic Host Configuration Protocol	动态主机配置协议	动态主机配置协议（Dynamic Host Configuration Protocol）为网络中的主机动态分配IP地址、子网掩码、网关等信息。 [/td]
DHCP Server	Dynamic Host Configuration Protocol Server	DHCP 服务器	动态主机配置协议服务器（Dynamic Host Configuration Protocol Server）是一台运行了DHCP动态主机配置协议的设备，主要用于给DHCP客户端分配IP地址。 [/td]
DNS	Domain Name Service	域名服务	域名服务（Domain Name Service）将域名解析成IP地址。DNS信息按等级分布在整个因特网上的DNS服务器间，当我们访问一个网址时，DNS服务器查看发出请求的域名并搜寻它所对应的IP地址。如果该DNS服务器无法找到这个IP地址，就将请求传送给上级DNS服务器，继续搜寻IP地址。例如，www.yahoo.com 这个域名所对应的IP地址为 216.115.108.243。 [/td]
DoS	Denial of Service	拒绝服务	拒绝服务（Denial of Service）是一种利用合法的方式请求占用过多的服务资源，从而使其他用户无法得到服务响应的网络攻击行为。 [/td]
DSL	Digital Subscriber Line	数字用户线路	数字用户线（Digital Subscriber Line）这种技术使得数字数据和仿真语音信号都可以在现有的电话线路上进行传输。目前比较受家庭用户青睐的是ADSL接入方式。 [/td]
Firewall	Firewall	防火墙	防火墙（Firewall）技术保护您的计算机或局域网免受来自外网的恶意攻击或访问。 [/td]
FTP	File Transfer Protocol	文件传输协议	文件传输协议（File Transfer Protocol）是一种描述网络上的计算机之间如何传输文件的协议。 [/td]
HTTP	Hypertext Transfer Protocol	超文本传送协议	超文本传送协议（Hypertext Transfer Protocol）是一种主要用于传输网页的标准协议。 [/td]
Hub	Hub	集线器	共享式网络连接设备，工作在物理层，主要用于扩展局域网规模。 [/td]
ISP	Internet Service Provider	因特网服务提供商	因特网服务提供商（Internet Service Provider），提供因特网接入服务的提供商。 [/td]
LAN	Local Area Network	局域网	局域网（Local Area Network）一般指内部网，例如家庭网络，中小型企业的内部网络等。 [/td]
MAC address	Media Access Control address	介质访问控制地址	介质访问控制地址（Media Access Control address），MAC地址是由厂商指定给设备的永久物理地址，它由6对十六进制数字所构成。例如：00-0F-E2-80-65-25。每一个网络设备都拥有一个全球唯一的MAC地址。 [/td]
NAT	Network Address Translation	网络地址转换	网络地址转换（Network Address Translation），可以把局域网内的多台计算机通过NAT转换后共享一个或多个公网IP地址，接入Internet，这种方式同时也可以屏蔽局域网用户，起到网络安全的作用。通常共享上网的宽带路由器都使用这个技术。 [/td]
Ping	Packet Internet Grope	因特网包探测器	Ping 命令是用来测试本机与网络上的其它计算机能否进行通信的诊断工具。Ping命令将报文发送给指定的计算机，如果该计算机收到报文则会返回响应报文。 [/td]
PPP	Point-to-Point Protocol	点对点协议	点对点协议（Point-to-Point Protocol）是一种链路层通信协议。 [/td]
PPPoE	PPP over Ethernet	点对点以太网承载协议	点对点以太网承载协议（PPP over Ethernet）在以太网上承载PPP协议封装的报文，它是目前使用较多的业务形式。 [/td]
QoS	Quality of Service	服务质量	服务质量（Quality of Service）是用来解决网络延迟和阻塞等问题的一种技术。当网络过载或拥塞时，QoS 能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。 [/td]
RJ-45	RJ-45	RJ-45	用于连接以太网交换机、集线器、路由器等设备的标准插头。直连网线和交叉网线通常使用这种接头。 [/td]
route	route	路由	基于数据的目的地址和当前的网络条件，通过有效的路由选择能够到达目的网络或地址的出接口或网关，进行数据转发。具有路由功能的设备称作路由器（router）。 [/td]
TCP	Transfer Control Protocol	传输控制协议	传输控制协议（Transfer Control Protocol）是一种面向连接的、可靠的传输层协议。 [/td]
TCP/IP	Transmission Control Protocol/Internet Protocol	传输控制协议/网际协议	传输控制协议/网际协议（Transmission Control Protocol/Internet Protocol），网络通信的基本通信协议簇。TCP/IP定义了一组协议，不仅仅是TCP和IP。 [/td]
Telnet	Telnet	Telnet	一种用来访问远程主机的基于字符的交互程序。Telnet允许用户远程登录并对设备进行管理。 [/td]
UDP	User Datagram Protocol	用户数据报协议	用户数据报协议（User Datagram Protocol）是一种面向非连接的传输层协议。 [/td]
UPnP	Universal Plug and Play	通用即插即用	通用即插即用（Universal Plug and Play），支持UPnP的设备彼此可自动连接和协同工作。 [/td]
WAN	Wide Area Network	广域网	广域网（Wide Area Network）是覆盖地理范围相对较广的数据通信网络，如因特网。