Hi-Spider Router是针对我国中小企业及网吧用户特点和中国宽带应用环境特别优化设计,从底层系统核心、核心安全模块和硬件兼容性等各个层次进行了精心的的设计 和优化,使得这款路由产品在性能上具有出众的优势。线速转发的高吞吐量可满足大型企业/网吧等机构的绝大部分应用,也可为运营商的以太网接入提供高负载的 支持,高转发低时延为增加用户数量提供了强有力的保障。
产品集宽带路由、专业级防火墙、QoS带宽流量管理、多线路负载均衡、PPPOE服务器等多项功能于一身,支持功能模块扩展,是一个安装简单、稳定性高、 易维护、投资低的一体化智能路由产品. 可全面满足家庭、政府、机关、企业、大中型网吧、宽带社区、校园网对高性能、多功能、高可靠性、高安全性、高性价比的需求。
功能特点:
1. 支持DSL,FTTX+LAN和Cable Modem连接,特别适合光纤接入;
2. 支持电信与网通双线策略路由,自带路由表;
3. 支持双线负载均衡;
4. LAN口支持多IP绑定,
5. 支持快速转发,吞吐量最高可达200M,最多210K PPS;
6. 内置高性能防火墙,可防范一般DDoS***;
7. 支持SYN-FLOOD***报警,可自动(或手动)阻隔***主机与网络的通讯;
8. 支持DMZ;
9. 支持UPnP;
10. 支持IP/MAC强制绑定,能有效防范ARP***;
11. 支持ARP***报警,可准确定位***源主机;
12. 基于IP的内网主机上行和下载速率限制 ,可针端口进行流量控制;
13. 支持DHCP功能;
14. 支持WEB高速缓存功能
15. 支持P2P协议控制功能,可禁止或限制P2P软件;
16. 支持PPPOE服务器与客户端认证
17. 基于地址,协议和端口的包过滤;
18. 基于站点、URL和关键字的应用层过滤;
19. 支持网络时间同步;
20. 支持ACL访问控制;
21. 支持支持SSL-×××/PPTP-×××;
硬件需求:
CPU: 586/Celeron 300 MHz 或更高处理器
内存: 64 MB 或更多
网卡: 至少2块10M/100M/1000M PCI 或集成以太网卡
存储器: 64MB DOM/CF卡/IDE/SCSI/SATA 硬盘
其他: CD-ROM 驱动器、VGA显示器(仅安装时使用)
安装说明:
1. 放入光盘,一路回车(ENTER)即可,安装完成会提示按 Alt-Ctrl-Del 重启
2. 取出光盘,启动系统,启动完成后PC喇叭会发出两声“滴滴滴-滴滴”提示
3. 路由器初始局域网接口IP为 192.168.0.253,广域网IP为 192.168.1.253
4. 路由器本身不提供登录配置功能,您需要从另外一台机器通过Web来配置路由器
5. 路由器Web管理登录地址:http://服务器IP:880, 初始用户名和密码均为 admin
目 录
目 录 3
第一章 用户手册简介 4
1.1 用途 4
1.2 约定 4
1.3 用户手册概述 4
第二章 产品概述 5
2.1 产品简介 5
2.2 主要特性 5
第三章.快速安装指南 7
3.1系统安装 7
3.2建立正确的网络设置 8
3.2 启动与登陆 10
第四章.配置指南 12
4.1 系统设置 12
4.1.1 系统设置 12
4.1.2 保存 & 重启 14
4.1.3 时间日期 14
4.2 接入设置 15
4.2.1 接入设置 15
4.2.2网络接入 17
4.2.3诊断工具 20
4.3 防火墙设置 21
4.3.1 防火墙设置 21
4.3.2 防火墙日志 24
4.3.3 过滤设置 25
4.3.4 访问控制(ACL) 26
4.4 流量控制 29
4.5 服务管理 33
4.5.1服务管理 33
4.5.2 PPPOE 服务 35
4.5.3 ××× 服务 37
4.6 信息监测 38
4.6.1信息监测 38
4.6.2网络信息 39
4.7 产品信息 41
第一章 用户手册简介
感谢您使用Hi-Spider Router 专业宽带路由系统!Hi-Spider Router专业宽带路由系统性能卓越、功能丰富、易于操作、管理方便,旨在为企业/网吧/社区的网络提供一款高效、稳定、低成本的多功能宽带路由器。
Hi-Spider Router 专业宽带路由系统配置极其简单,无需专业人员即可按照本手册安装配制完成。请您准备安装使用本产品之前,请先仔细阅读本手册,以全面利用本产品的所有功能。
1.1 用途
本手册的用途是帮助您熟悉和正确使用Hi-Spider Router 专业宽带路由系统。
1.2 约定
本手册中所提到的路由系统,如无特别说明,系指Hi-Spider Router 专业宽带路由系统。
1.3 用户手册概述
第一章:用户手册简介。
第二章:产品概述。简述路由系统的主要特性。
第三章:快速安装指南。帮助您进行路由系统的安装与基本网络参数的配置。
第四章:配置指南。帮助您配置路由系统的高级特性。
第二章 产品概述
2.1 产品简介
Hi-Spider Router是基于高效稳定的服务器系统软件平台,可运行于x86架构的CPU硬件体系上,旨在为企业/网吧/社区的网络提供一款高效、稳定、低成本的专用网络多功能路由器。
Hi-Spider Router提供了功能强大的带宽管理功能,同级产品中最优化的QoS带宽管理;弹性的双WAN负载均衡方式,具有多种负载均衡方式,防止蠕虫及ARP***防护功能,整合路由器、防火墙、负载均衡器和上网行为管理等多项功能于一身,并采用高效能、高稳定性的linux 为内核。
Hi-Spider Router可以过滤不良网站、管理员工上网行为(针对企业用户)、合理分配网络带宽,确保网络资源的合理利用。可以针对不同计算机使用者制定不同的上网权限,在权限设置下,受限的部分人员将不能访问网络或使用特定软件访问网络;
Hi-Spider Router提供多线路接入功能,用户可根据需要接入两条或多条宽带线路以获得更高的网络带宽。针对电信和网通两个不同运营商的网络接入,产品还提供策略路由功能,确保使用者获得更快的访问速度。
Hi-Spider Router配置界面清晰易懂,全中文WEB配置界面,人性化配置向导,在您操作的每一步,都有清晰详细的帮助说明,即使是不具备专业技能的人员也能操作自如,配置成功。
2.2 主要特性
★ 内置网络地址转换(NAT)功能和PPPOE服务器
★ 内置DHCP服务器,支持静态的地址分配
★ 支持多WAN接入
★ 支持多线路策略路由和负载均衡
★ 支持WEB高速缓存代理服务
★ 内置专业防火墙
★ 支持端口映射
★ 支持动态域名解析
★ 支持网站过滤
★ 支持内容过滤
★ 支持MAC地址绑定
★ 内置静态路由功能
★ 提供ARP***报警功能
★ 支持QoS流量管理功能
★ 支持WEB代理服务
★ 可禁止局域网常见聊天工具的使用
★ 可禁止局域网内 P2P 下载工具,或限制其流量
★ 系统日志功能
★ 支持服务监控功能,自动重启异常服务
★ 支持远程管理
★ 支持在线升级
★ 支持WEB管理,全中文配置界面
第三章.快速安装指南
在您得到本产品光盘安装版时需要在您的服务器上安装本路由系统。如果是电子盘版本,请直接插到您的服务器的IDE插槽上即可。如果进行安装或做基本配置,您只需要阅读本章内容;如果进行高级配置,请继续阅读第四章内容
3.1系统安装
首先将安装光盘放到服务器的光驱,然后将服务器调到从光盘启动。您可以看到一下画面:
图3-1 安装启动界面
1)安装路由系统
2)进入救援模式,一般当系统无法正常安装时选择此项(由本公司技术工程师调试)
用“↑”和“↓”来移动高亮条,按“Enter”确定。
图3-2 确认初始化硬盘
初始化硬盘将丢失磁盘上所有数据,安装前请您确认磁盘为空磁盘或无重要文件。输入“Y”确认,“N”否;或者直接按“Enter”
图3-3 安装完毕
安装完成,按CTRL+ALT+DEL重启路由系统。
3.2 建立正确的网络设置
路由系统默认LAN(局域网接口)IP地址是:192.168.0.253,默认子网掩码是255.255.255.0,默认控制端口为880。这些值可以根据您的需要而改变,但是我们在本手册上将按默认值说明。
首先请将您的计算机接到路由器的局域网口接口,接下来您可以使用两种方法为您的计算机设置IP地址。(设置以Windows XP Sp2为列)
方法一 手动设置IP地址。
设置您计算机的TCP/IP协议。打开计算机的“控制面板”,选择“网络与Internet连接”,然后选择“网络连接”,右键单击“本地连接”选择“属性”,双击“Internet协议(TCP/IP)”。
设置您计算机的IP地址为192.168.0.xxx (xxx范围是2-252),子网掩码为255.255.255.0,默认网关为192.168.0.253。
方法二 利用路由系统内置DHCP服务器自动设置IP地址。
设置您计算机的TCP/IP协议为“自动获取IP地址“,请参考方法一。
设置好TCP/IP协议后,您可以使用Ping命令检查您的计算机和路由器之间是否联通。首先在计算机操作系统里的“运行”中输入“CMD”打开命令提示行,执行Ping命令:
Ping 192.168.0.253
如果屏幕显示为:
那么恭喜您!您的计算机已与路由器成功建立连接。如果屏幕显示为:
这说明设备还未安装好,您可以按照系列顺序检查:
1)硬件连接是否正确?
提示:
网卡灯必须亮,如果检查线路没有问题,请尝试换到另一块网卡上。
2)您的计算机的TCP/IP设置是否正确?
提示:
如果您的路由系统的IP地址为:192.168.1.1,那么您的计算机IP地址必须为192.168.0.xxx(xxx范围是2-252),而且默认网关为192.168.0.253。
启动与登陆
当您在正确安装完成本产品并重新启动路由系统,当系统启动完毕后,您会听到2次三短一长一短的鸣笛声。如果没听到鸣笛声,请检查服务器主板上的SPEAK(Speaker Connector)是否接好。
本产品提供基于控制台(Console)、串口(Serial Port) 及 Web 3种配置方式。
控制台登录在路由器所在机器上面接上显示器和键盘即可登录,登录默认用户名为 root,密码为 123456,此密码可以通过 web 配置进行修改。注: 您输入密码时,系统处于安全考虑,将不会显示出来。登录成功后,您会看到如下的界面:
在此状态下面,您可以输入1. 修改Web登录密码2. 修改路由器局域网IP地址3. 显示系统信息4. 重新启动路由5. 关闭路由(关机)
串口连接您需要准备一根串口线,将路由器和您的计算机连接起来,以Windows 为例,打开超级终端,选择COM1口,比特率设为 115200,流量控制选无,其他保持默认设置,然后按下回车,会出现和控制台一样的登录提示。
Web配置通过 Web 浏览器(Internet Explorer或Firefox)在其他计算机上面对路由进行配置,这种配置方案适宜于任何MS Windows 、Macintosh或UNIX平台。
接着在浏览器的地址栏里输入路由器的IP地址,例如 http://192.168.0.253:880
连接建立起来后,您将会看到下图所示登陆界面。您需要以系统管理员的身份登陆,即在该登陆界面输入用户名和密码(用户名和密码的出厂设置均为admin), 然后单击确定按钮。
如果用户名和密码正确,浏览器将显示管理员模式的画面。
第四章.配置指南
4.1 系统设置
4.1.1 系统设置
·主机标识
如果此路由系统位于Internet,请根据您的实际情况进行域名的设置,域名要能被解析成您的广域网IP地址,否则与域名相关的某些对外开放的服务(如游戏服务器、对外BBS)可能无法使用。初始主机名为hsrouter,域名为example.com。
如果此路由系统纯粹只作为网络的接入设备使用,则无需做特别更改或根据您的喜好随意填写。
·Web 管理端口
通过浏览器(如:Internet Explorer等)远程访问 Web 管理页面时,在地址栏中输入的服务器端口号。默认Web管理端口为 880,您可以根据需要设置为其他端口。为了提高访问的安全性,您可以开启SSL连接加密,同时可以根据需要设置广域网远程访问控制的权限.
[注]:一般情况下,无需修改此端口,当您想让880端口为Internet提供其他服务时,可能需要更改此端口。修改时注意修改后的端口没有被其他程序占用(如,21号端口已被FTP服务使用),以免影响其他服务的正常使用。如果修改端口失败,服务器将在 30 秒内恢复管理端口到默认设置(880)。
·登陆密码修改
修改 Web 控制中心登陆密码。
[注]:密码只能由大小写字母、数字、圆点以及下划线组成,长度为 6-15 位.
·报警设置
系统报警设置,一般为动态防火墙报警和ARP***报警.声音报警是通过蜂鸣器(PC SPEAKER)来发出指定频率的声音.如果您听不到声音,请确认您的计算机是否蜂鸣器或是否连接.
4.1.2 保存 & 重启
· 保存当前配置
本设置是将所有配置文件写入磁盘, 以便下次启动时配置继续生效。由于系统运行于 RAM, 当重启或断电时, 所有配置将丢失, 故您需要通过此设置来保存配置到磁盘。
· 恢复出厂配置
本设置是将路由器恢复初始设置,请谨慎使用
· 最近一次配置
本设置将载入最近一次正确的配置.
· 备份当前配置&恢复系统配置
本设置可备份和恢复系统配置信息。当您在完成所有配置工作以后,可导出当前配置。当您需要在重装本系统或在不当的修改后,想直接恢复到之前备份时的配置,可选择导入备份的配置文件。
· 电源管理
重新启动或关闭服务器(整个过程大约需要1分钟时间),当系统启动完毕后,您会听到2次三短一长一短的鸣笛声。
时间日期
设置系统时间和日期,或者和 Internet 上的时间服务器进行同步,来校准时间。
·网络时间校准
中国地区一般以“北京时间”为准,北京相对格林威治标准时晚8小时;如果您不清楚时区的设置请保持默认即可.
4.2 接入设置
4.2.1 接入设置
DNS参数
此设置用于域名解析(将域名解析成 IP 地址)的服务器地址。
[注]:1. 请尽量使用网络运营商提供给您的 DNS 地址;如果您使用ADSL拨号或动态以太网方式接入Internet,可以设置为 "自动获取"。
2. DNS的修改将影响到DHCP、ADSL设置,提交后将自动应用到DHCP服务中。
动态域名解析
如果服务器的 IP 地址是动态的(比如通过 DHCP 获取或 ADSL 拨号分配),可以通过动态域名解析来将这个动态的 IP 地址绑定到一个固定的域名上。目前支持2个动态域名服务解析提供商:希网(3322.org)和花生壳(oray.net)、金万维(gnway.com)。如果您使用 ADSL 拨号连接到 Internet,ADSL 拨号完后会自动更新动态域名信息。
[注]:1. 动态域名解析仅适用与非静态IP,如果您拥有固定IP,无需使用此功能;
2. 此动态域名解析适用于使用希网、科迈注册用户,您需要先在其网站上注册才能使用;
3. 如果您使用 ADSL 拨号连接到 Internet,ADSL 拨号完后会自动更新域名信息。
静态路由
通过配置静态路由, 用户可以人为地指定对某一网络访问时所要经过的路径. 在网络结构比较简单, 且一般到达某一网络所经过的路径唯一的情况下采用静态路由.
高级策略路由
当您有多个ISP线路接入时,您可以设置路由的规则来优化线路的使用,并且提供线路的备份。
在此配置界面您需要先开启此功能,选择线路使用策略,默认为自动切换,您还可以选择手动切换。
默认路由线路检测模式:PING/ICMP网关探测是通过PING命令来判断网络连接是否正常,SYN/TCP模式是通过访问外网的一个连接(如WEB网页)来判断网络连接是否正常。您也可以选择混合模式。
如果您选择PING/ICMP网关探测,那么您可以在PING/ICMP模式的检测对象中填入一个外网IP地址,默认为广域网出口网关,如果您不清楚请咨询ISP。如果您选择的是SYN/TCP模式,那么您可以在检测对象栏中填上外网上的某个域名或IP地址。
[注] 1、此功能仅适合于拥有静态 IP 的电信、网通双线接入的情况;
2、默认路由请在 "广域网接口配置" 中进行设置; 如果您想掉线自动切换,请在看门中设置;
3、策略路由的IP地址不能为默认路由的IP,地址。如:当您将电信的线路设置为默认路由,则网通的线路应设置为策略路由。
多线路负载均衡
当您有多个ISP线路接入时,您可以设置路由策略让流量均衡负载到每条线路上,并且提供线路的备份.如果你的接入方式是电信与网通双线请选择设置“高级策略路由”.
当您配置好广域网双线接入以后,设置其中一条为默认路由.然后点击”新增规则”
在此页面首先勾选”启用多线路负载均衡”,然后在”源IP/网段”填入您需要控制的IP段,如:192.168.0.2-192.168.0.142.”最后设置这一IP段的电脑走的主线路以及备份线路.点击”提交修改”
4.2.2网络接入
局域网接口
设置与本地(内部)网络相连的网卡的信息,默认IP地址为:192.168.0.253,子网掩码为:255.255.255.0
[注]:只有当服务器用作“内网/外网专用服务器”(单网卡)时,才需要设置网关和默认路由,默认情况下请保持为空。
如果您改变了本IP地址,您必须用新的IP地址才能登陆路由器进行WEB界面管理,并且局域网中所有计算机的默认网关必须设置为该IP地址才能正常上网。如果您的局域网需要划分为多个独立IP网段,使用多网关,您可以在扩展IP地址里面添加其他IP网关地址.
广域网接口
设置连接到 Internet 的网卡相关信息,默认IP地址为:192.168.1.254,子网掩码为:255.255.255.0,网关为:192.168.1.1。
首先请选择您的IP获取方式,即您的上网方式。本路由系统默认为“静态分配”。
如果您的选择是“静态分配”,即您拥有网络服务商提供的固定IP地址,您将会看到如上图所示页面,在该页面您需要设置以下项目:
IP地址:本路由系统对广域网的IP地址,即ISP提供给您的IP地址,不清楚可咨询ISP。
子网掩码:本路由系统对广域网的子网掩码,即ISP提供给您的子网掩码。
网关:填入ISP提供给您的网关,不清楚可以向ISP询问。
如果您当前采用了双线接入,可选择将其中一条线路设置为默认路由。
2)如果您的选择是“自动获取”,即您可以自动从网络服务商获取IP地址,您将看到如下图所示页面。
该页面将显示您从ISP的DHCP服务器动态得到的IP地址、子网掩码、网关等信息。
3)如果您选择的是“ADSL拨号”,即您的上网方式为ADSL虚拟拨号方式,您将会看到如下图所示页面。
该页面默认为空,您需要先在“ADSL拨号”页面进行拨号操作。具体设置页面如下图:
ADSL用户名:填入ISP为您指定的ADSL上网帐号,不清楚可以向ISP询问。
ADSL密码:填入ISP为您指定的ADSL上网口令,不清楚可以向ISP询问。
填入密码后,直接保存设置,然后点击“连接”。
广域网接口2
当路由系统用作“双端口路由器”(双ISP接入,三网卡)时才需要设置,如果您的路由系统安装了三张网卡,才会出现广域网接口 2。设置方法和广域网接口1一样。
4.2.3诊断工具
PING测试
此功能主要用于测试网络连通性
[注]
某些 IP 或网址出于安全考虑可能会禁止 PING;
此外, 您的上级路由器也可能会禁止 PING 包 (类型为8的 ICMP 数据包) 通过.
路由追踪
此功能主要用于跟踪数据包的路由走向
[注]
1、Tracert 用来显示数据包到达目标主机所经过的路径, 并显示到达每个节点的时间;
2、Tracert 默认使用 UDP 数据包来探测路由路径, 端口为 33434.。
子网计算工具
此功能可以很方便的对IP地址进行子网划分.输入格式如下:
单个 IP: 192.168.2.1
IP 地址段: 192.168.2.1-192.168.2.123
IP + 子网掩码: 192.168.2.1/255.255.254.0
IP + CIDR 格式子网掩码: 192.168.2.1/23
WHOIS查询
WHOIS 是一个用来查询 IP 及域名是否已经被申请或注册, 以及相关详细信息的数据库.
4.3 防火墙设置
本路由系统集成了功能强大的防火墙系统,将为您提供强大的防护功能,支持内/外部***防范,提供扫描类、DoS类、可疑包和含有IP选项的包等***保护,能侦测及阻挡IP欺骗、源路由***、DoS等网络***,有效的阻止Nimda、冲击波、***等病毒***,为您的网络提供可靠的安全保障。
4.3.1 防火墙设置
***防范配置
防火墙用来过滤来自 Internet 网上非法的数据包、抵御******和***、保护内部网络安全,为内网访问外部网络提供一道安全屏障.要使用***防范功能,您可以根据需要开启以下服务:
忽略来自WAN口的PING包,开启此功能路由系统将禁止外网用户向路由器发送PING包。
禁止内网PING 网关,开启此功能路由系统将禁止内网用户向路由器发送PING包。
完全关闭PING功能,开启此功能路由系统将不响应所有ICMP echo请求。
DDoS***防护策略。
DDoS***防护策略中可以对ICMP Flood、SYN Flood、UDP Flood、IP碎片这4种***进行策略设置。
1) 开启ICMP-Flood***防御以后,路由系统将统计到达每个目的ip地址的icmp包 pps (packets persecond),如果超过设定值则触发防护机制; 推荐设置参数为: High 50 Medium 200 Low 1000 需要根据实际情况(客户机数)作配置。
2) 开启TCP-SYN- Flood***防御以后,路由系统将统计到达每个目的ip地址的syn包 pps (packets persecond),如果超过设定值则触发防护机制。
推荐设置参数为: High 80 Medium 90 Low 100 需要根据实际情况(客户机数)作配置。
3)开启UDP-Flood***防御以后,路由系统统计到达每个目的IP地址的UDP包 pps (packets persecond),如果超过设定值则触发防护机制; 推荐设置参数为: High 500Medium 1000 Low 2000需要根据实际情况(客户机数)作配置。
4)开启IP碎片***防御后,路由系统将对网络中发送的异常分片进行监控,如果超过设定值则触发防护机制;
推荐设置参数为: High 200Medium 300 Low 400 需要根据实际情况(客户机数)作配置。
***防范高级选项配置
点击***防范配置页面的“高级选项”按钮,您将看到如下图所示页面,在次页面您将可以进一步配置本路由系统的防火墙规则。
☆ 防止来自外网IP欺骗,开启此规则防火墙将拒绝网络外部与本网内具有相同IP地址的连接请求。
☆ 防止外部源路由欺骗,开启此规则防火墙将抛弃那些由外部网进来的却声称是内部主机的报文。
☆ 防止ICMP重定向欺骗,开启本开启此规则防火墙将不接受和发送ICMP重定向消息。
☆ 启用ICMP错误消息保护, 开启本开启此规则防火墙将在出错时不发送ICMP包文。
☆ 防止Smurf DoS***,开启此规则防火墙将不响应ICMP echo广播和多播请求。
☆ 启用 SYN Cookie功能,有助于防止SYN Foold***。
☆ 忽略端口扫描报文,开启此项功能防火墙将丢弃可能来自端口扫描工具的TCP数据包。
☆ 拒绝响应和转发不合法的TCP数据包,开启此项功能防火墙将拒绝响应和转发TCP标志位和实际状态不匹配的数据包。
☆ 关闭TCP直接拥塞通告。
☆ 防止TCP land***,开启此项功能防火墙将判断网络数据包的源地址和目标地址是否相同,然后丢弃源IP和目的IP相同的包。
端口映射
端口映射可以实现从 Internet 到局域网内部机器的特定端口服务的访问,这非常适合于内网服务器对外提供服务的场合,使用端口映射的另外一个好处是,可以保护服务器的安全。
在本页面,您可以点击“新增映射”,来添加一条新的映射规则。首先要选择开启此功能
☆ 外部端口:即路由器提供给广域网的服务端口;
☆ 内部IP:局域网中作为服务器的计算机IP地址;
☆ 内部端口:即作为服务器的计算机的服务端口;
☆ 协议类型:选择服务的传输协议,UDP、TCP或者全部。一般根据所提供的应用程序指定的传输协议来决定;
UPnP支持
UPnP (自动端口映射) 可以让内网用户在本机上自动完成网关端口映射的操作, 而无需在服务器上面手动配置. 启用 UPnP 后, 可以解决 MSN 语音无法通讯、内网 BT 下载速度慢等问题.
DMZ主机
在某些特殊情况下, 需要让局域网中的一台计算机完全暴露给 Internet, 以实现双向通信, 此时可以把该计算机设置为 DMZ(非军事区) 主机. 设置 DMZ 主机后, 与该 IP 相关的防火墙设置将不起作用, 且端口映射功能自动失效.
4.3.2 防火墙日志
日志选项
开启此功能,系统将对网内超过防火墙设定值的机器进行记录,有利于管理员进行网络排错.
***动态拦截
此功能开启后, 会实时观测系统防火墙日志, 如果检测到有***或扫描等信息, 将主动作出相应的反应.
如果您勾选了系统报警声音报警,系统将会在系统发现***的时候发出报警,勾选了”阻止该IP”的话,当系统发现***的时候防火墙将会阻止***主机与路由器的通信,阻止的时间根据您的需要填写.
4.3.3 过滤设置
网址过滤网址过滤可以帮助您过滤掉不允许局域网访问的网址(比如:广告/不健康的网址等)。
内容过滤
过滤掉通过Google等搜索引擎搜索的关键字,可以非常有效的阻击、过滤网络上的不良信息。
4.3.4 访问控制(ACL)
进入(Incoming)
入口 ACL 规则用于控制局域网或Internet 与路由器之间的通讯连接。
在此页面您可以新增入口ACL规则,点击新增ACL规则
源IP地址一般为内网需要应用此规则的IP,留空表示网内所有的地址.目的IP地址一般为规则针对的目标对象的IP,留空表示所有地址.
转发(Forward)
转发 ACL 规则用于控制局域网与 Internet 之间的通讯连接.如:您想禁止内网机器访问外网某个IP地址,就可以在这里配置规则,设置方法同进入(Incoming).
MAC与IP绑定
MAC与IP绑定是将客户机的网卡硬件地址和其对应 IP 地址在服务器上建立静态的 ARP 映射对,并且以此信息来授权其访问外部网络。启用绑定后,可以有效防止局域网内 IP 盗用和由于 ARP 欺骗引起的***,非绑定 IP 和 MAC 地址将无法访问 Internet 。
当您需要最网内主机做MAC地址绑定,本路由系统提供三种方式帮助您完成绑定工作,设置方法如下:
1)手动绑定
您需要手动一一填入需要绑定的主机IP和对应的MAC地址。
[提示] 怎样获取电脑的MAC地址?(以XP 、2000系统为列)
1)打开系统的“开始”菜单,点击“运行”,在运行栏里输入“CMD”命令,打开命令提示行。
2)输入命令“ipconfig /all”,即可得到主机的MAC地址,如下图,框选内容;
2)批量绑定
您可以将可以批量添加MAC地址。格式为:IP<空格>MAC<空格>注释,其中注释可以省略。
3) 您还可以选择“从ARP导入”,路由系统将从您当前系统里得到的ARP缓存中导入相应信息。您只需要打开网络内的主机,联上网络即可。系统支持增量导入,即您不需要一次打开所有的主机,可分批导入。
4.4 流量控制
全局设置
此页面定义您的网络接入带宽, 这是流量控制的基础.
1)启动流量控制总开关,选择“是”,然后“提交修改”。
2)把您网络接入的总带宽输入带宽换算器计算出网络上行和下行带宽,分别填入并保存.
在配置好了全局带宽以后就可以添加上传和下载的限速规则了.
上行控制(上传)
上传控制是限制您内网(局域网)的上传带宽, 防止上传过快影响下载速度而造成网络阻塞
本页面您可以选择适合您网络情况的上传限速策略:
点击”新增上传限速规则”;您将看到如下页面:
规则名称:您可以根据规则的应用填入名称, 只能由英文字母、下划线及数字组成.
规则优先级越范围为0-7,值越小优先级越高,默认为100.适用于多条限速规则同时应用时,如果只有一条限速规则无需填写保持默认就可以了.
剩余带宽抢占优先级,是当多条限速规则同时应用时,优先级小的规则享有较高优先权,范围0-7;
保证上传速度是当网络中带宽紧张的时候能保证的最低上传速度;
最大上传速度是当带宽富余的情况下能达到的最大速度;
共享带宽的带宽使用模式,即过滤器里的限速对象共享规定的速度;独立带宽模式,即过滤器里的限速对象每台单机独享规定的速度;
过滤器添加:源IP/网段为您内网需要控制的IP或IP段,如:添加192.168.0.0/24表示对192.168.0.0-192.168.0.255整个网络进行限制;如果只需要限制某一段IP,您可以先用子网换算工具计算出子网划分规则,然后一一添加到过滤器中.如果您需要针对端口限速您可以同时添加端口.
如果想限制对特定的目标的上传,您可以添加目的IP/网段来进行指定限速.
当您配置好限速规则以后,点击保存设置.当配置页面跳转完成后点击应用规则使规则立即生效
下行控制(下载)
下行控制是限制您内网(局域网)的下载带宽, 防止单机抢占过多的带宽造成网络阻塞, 使带宽均衡化分配.配置过程参考上行控制.
[提示] 1、请根据实际网络情况合理设置上传、下载速度。
2、请遵循上述规则选择限速类型和设备,否则将无法达到预期效果。
P2P 下载控制
要对P2P下载做限制,您需要先在页面开启P2P下载控制功能。选择“完全禁止”,路由系统将禁止网内发送到网关的所有P2P流量;您还可以选择允许下载并限制下载流量,填入相应的数值即可。然后根据您的需要来添加相应的规则,及需要限制的主机的IP。
[注] 流量限制没有开启时, P2P 下载则不受速度限制。
流量实时监控
通过此功能您可以通过 SSH 登录方式登录路由器, 或通过流量监测客户端来查看当前路由器的实时流量信息. 流量监控开启后, 路由器将分别开启 2345 和 9610 两个端口
4.5 服务管理
4.5.1服务管理
服务状态
在此页面您可以查看当前系统中所有服务的状态(运行或停止);根据需要启动或停止指定的服务;控制指定服务是否随系统自动启动。
DHCP:动态分配 IP 地址等信息给工作站客户端。
DNS :代理域名解析服务,缓存DNS解析结果。
PPTP ×××: 基于 PPTP 协议的点对点 ×××;
SSL ×××: 通过 SSL 协议建立安全虚拟专用网;
DHCP 配置
DHCP 服务用来动态分配 IP 地址、网关、域名服务器等信息给工作站客户机这些信息,省去了客户机手工设置的繁琐性。当客户机较多时,使用 DHCP 来配置网络可以大大减少管理员的工作.
新增地址池:
此页面您需要设置以下项目:
DHCP网段:定义自动分配给客户机的网段;
分配的IP范围:定义自动分配客户机的IP范围;
默认租约时间:客户机通过DHCP获得的IP的使用时间,租期到期系统会再次发送续租信息;
最长租约时间:当客户机在DHCP默认租期到期的时候未能及时得到新的租约时还能在最长租期内继续使用原IP,直到获得新的IP地址.通常设为默认租期时间的两倍;
网关地址:填入路由器局域网接口IP地址;
DNS地址:填入ISP提供给您的DNS服务器,不清楚可以向ISP咨询;可以添加多个DNS地址,中间以空格分开.如果您在接入设置里以配置好DNS也可以直接点击获取;
[注] 根据您网络的需要,您可以添加多个地址池规则.
DHCP固定IP分配:
此功能是根据主机MAC地址给指定的主机分配IP地址
Web 代理服务
使用 Web 代理缓存服务,可以在服务器的内存或磁盘中缓存网络数据元和 DNS 查询结果,这样可以加快客户机访问网络的速度,还可以节省网络带宽消耗。
4.5.2 PPPOE 服务
PPPOE 拨号服务为用户提供另外一种局域网访问 Internet 的方式,这种方式如同 ADSL 宽带上网,每个工作站访问 Internet 是相对独立的,互不干扰,可以有效解决局域网 ARP ***等带来的问题。
PPPOE 服务设置
在此页面,你可以开启PPPOE服务器,您需要根据网络的实际情况设置好服务器端IP和分配给客户机的地址空间。填写DNS,如果不清楚请咨询ISP。MTU值一般使用默认,请谨慎修改。您还可以设置每条PPP线路的最大下载速度。
PPPOE 拨号用户
您可以在此对PPPOE 拨号用户进行管理,添加、删除用户等操作。为了客户机设置方便,一个用户名可以同时多次拨号,此外您也可以设置多个用户。
NAT 工作模式
在此页面您可以选择局域网通过服务器访问 Internet 的方式:普通网关路由模式、PPP 拨号模式。
[提示] 当您勾选了“所有客户机必须通过PPPOE拨号才能访问Internet,VIP客户列表中的客户将不受此约束,无需拨号直接设置网关即可上网。
4.5.3 ××× 服务
SSL ×××
SSL ××× 是采用SSL (Security Socket Layer)协议来实现远程接入的一种×××技术. 相对于传统 ×××, SSL ×××具有部署简单, 无客户端, 维护成本低, 网络适应强等特点.
1) 连接参数配置
一般如无特别需要请按以上配置,其中用户连接数根据您的服务器的硬件配置来决定.
2) 安全相关选项
以上选项可根据您网络的安全需要来选择是否使用.
PPTP ×××
PPTP ××× 服务用于远程Windows用户通过拨号方式与服务建立安全连接. Windows 自带拨号客户端, 无需另外安装.
4.6 信息监测
4.6.1信息监测
系统信息
查看系统运行信息,如:开机时间、系统负载、内存使用情况等。
注:当物理内存使用为99%,接近100%时,这是正常现象,服务器将大部分空余内存用于磁盘I/O缓存,以便加快程序启动速度和提高服务运行效率;当有进程需要占用内存时,用于磁盘缓存的部分内存自动释放。
硬件信息
查看CPU、磁盘、PCI等硬件的类别、型号等信息。
双网掉线日值
当您配置了双线接入,系统将纪录双线的掉线日志,系统每隔一段时间会自动清理日志文件。
4.6.2网络信息
网络状态
查看网络接入相关信息,以及网络负载信息。
[注]:上图中,NAT转发数表示通过服务器中转的由局域网发往Internet的连接请求数。
端口信息
查看路由系统上已打开的端口和已建立的连接信息。
PPPoE 拨号连接信息
查看路由系统通过 PPPoE 拨号连接到服务器上的计算机的连接信息。
局域网计算机扫描
查看路由系统所发现的局域网内的计算机信息。
ARP高速缓存
ARP 高速缓存中保存了最近和服务器通信的 IP 地址和对应硬件 MAC 地址的映射;
NAT转发数可以反映出客户端的网络流量,其值越大,表明此客户端消耗网络带宽越多。
ARP***检测
对局域网内的ARP扫描或***进行监控并报警。并在列表中显示出来,方便您及时找到***主机。
NAT 信息监测
可查看局域网内正在运行的主机的通信信息,包括:上传、下载的流量,通讯端口、通讯目标IP地址等
4.7 产品信息
产品激活
本产品试用期为10天,10天后需激活才能继续使用,请您记下产品标识和对应的激活代码,以备后需。
软件升级
本软件产品的发展离不开广大用户的支持,您在使用Hi-Spider 网吧路由系统时所遇到的任何问题或意见和建议,请即时反馈给我们,我们会在以后的升级版本中,为您提供满意的解决方案。
软件版本号格式为:*.* (主版本号.从版本号)
主版本号 —— 产品更新换代或有大幅度的改变
从版本号 —— 增加新功能或改进、增强功能
本软件的所有升级将是免费的,升级时,只需点击“检查更新”,程序会自动连接到服务器检查新版本并提示是否升级。