InHand IR615-S系列用户手册 V2.0

目录

读者对象

  • 所有客户
  • 现场技术支持与维护人员
  • 负责网络配置和网络管理人员

本手册约定

  • 图形界面格式约定

格 式 意 义
< > 带尖括号“< >”表示按钮名,如“单击<确定>按钮”。
“” 带双引号“”表示窗口名、菜单名,如:弹出“新建用户”窗口。
>> 多级菜单用“>>”隔开。如“文件>>新建>>文件夹”多级菜单表示“文件”菜单下的“新建”子菜单下的“文件夹”菜单项。
注意 提醒操作中应注意的事项,不当的操作可能会导致数据丢失或者设备损坏。
说明 对操作内容的描述进行必要的补充和说明。

技术支持联络信息

北京映翰通网络技术股份有限公司(总部)
地址:北京市朝阳区望京科技园启明国际大厦11层西侧
电话:(8610)6439 1099 传真:(8610)8417 0089
网址:www.inhand.com.cn

上海办事处
电话: 021-5480 8501
地址:上海市普陀区顺义路18号1103室

广州办事处
电话:020-8562 9571
地址:广州市天河区棠东东路5号远洋新三板创意园B-130单元

成都办事处
电话:028-8679 8244
地址:四川省成都市高新区府城大道西段399号,天府新谷10栋1406室

武汉办事处
电话:027-87163566
地址:湖北省武汉市洪山区珞瑜东路2号巴黎豪庭11栋2001室

资料意见反馈
如果您在使用过程中发现产品资料的任何问题,可以通过以下方式反馈:
E-mail:tianneng@inhand.com.cn
感谢您的反馈,让我们做得更好!

版权所有©北京映翰通网络技术股份有限公司,保留一切权利。


本手册内容是以个别产品为例进行说明的,具体情况请以实物为准。

1设备简介

1.1 概述

  • IR615-S系列产品,是集3G/4G网络、虚拟专用网等技术于一体的物联网无线路由器产品,是映翰通公司IR615-S系列路由器的增强版。该系列设备凭借3G/4G无线广域网以及WIFI无线局域网等技术,提供不间断的多种网络接入能力,以其全面的安全性和无线服务等特性,实现多达万级的设备联网,为真正意义上的设备信息化提供数据的高速通路。该系列产品的设计完全满足了无人值守现场通信的需求,采用软硬件看门狗及多级链路检测机制保证通信的稳定性和可靠性,同时支持映翰通Device Manager"设备云"管理平台,方便用户远程管理,充分保证了设备管理的智能化。多种VPN技术保证了数据传输的安全性,防止数据被恶意访问或篡改。人性化的WEB配置界面设计,方便用户配置,极大地降低了用户使用难度。- IR615-S系列路由器特别适合大规模的设备联网,例如自助售卖机器、多媒体广告设备以及智能医疗设备的联网和信息化建设。多种网络接入、易于部署和完善的远程管理功能在设备信息化建设浪潮中熠熠生辉。

1.2 面板介绍

1.2.1 适用IR615-S

图 1-1 IR615-S面板
图 1-1 IR615-S面板

1.2.2 适用IR615-S-DS

图 1-2 IR615-S-DS面板
图 1-2 IR615-S-DS面板

1.3 状态指示灯说明

1.3.1. 信号灯说明

信号状况1-9
信号状况1-9

  • 信号状况有问题,请检查天线是否安装完好,所处地区信号状况是否良好

信号状况10-19
信号状况10-19

  • 信号状态基本正常,设备可以正常使用

信号状况20-31
信号状况20-31

  • 信号状态基本正常,设备可以正常使用

1.3.2 适用IR615-S

POWER STATUS WARN ERROR 说明
电源指示灯(红色) 状态指示灯(绿色) 警报指示灯(黄色) 错误指示灯(红色)  
开机状态
开机成功
正在拨号
拨号成功
正在升级
复位成功

wlan指示灯以及说明

WLAN绿色指示灯 说明
WLAN功能开启
WLAN功能关闭
复位成功

1.3.3 适用IR615-S-DS

POWER STATUS WARN ERROR 说明
电源指示灯(红色) 状态指示灯(绿色) 警报指示灯(黄色) 错误指示灯(红色)  
开机状态
开机成功
正在拨号
拨号成功
正在升级
复位成功

wlan指示灯以及说明

WLAN绿色指示灯 说明
WLAN功能开启
WLAN功能关闭
复位成功

SIM卡指示灯以及说明

SIM卡绿色指示灯 状态 说明
SIM1 选择SIM1使用
SIM2 选择SIM2使用

2 设备安装

2.1 准备安装

注意事项
请确认设备在3G/4G网络覆盖范围内,并且现场无屏蔽。现场必须具有220V AC或9~26VDC供电环境。

首次安装必须在北京映翰通公司认可合格的工程师指导下进行。

  • PC一台 操作系统:Windows XP、Windows 7、Windows10 CPU:PII 233以上 内存:32M以上 硬盘:6.4G以上
  • 串口:至少一个
  • 以太网口:至少一个(10M/100M)
  • IE版本:10.0以上 分辨率:640*480以上
  • SIM卡一张:确保该卡已开通数据服务,且未欠费停机
  • 电源: 220V AC:可与产品附带直流电源配合使用 9~26V DC:纹波 < 100 mV
  • 固定: 请尽量确保InRouter放置于水平平面上,安装于振动频率较小的环境

2.2 进行安装

2.2.1 SIM/UIM卡安装

  • IR615-S设备系列采用弹出式卡座。按下卡座右侧黄色按钮,弹出卡座,将SIM/UIM卡放入卡座,再将卡座按回卡槽。

2.2.2 天线安装

  • 用手轻轻转动金属SMA-J接口可活动部分到不能转动(此时看不到天线连接线外螺纹)即可,不要握住黑色胶套用力拧天线。

2.2.3 保护地接地安装

  1. 将接地螺钉拧下来
  2. 将机柜地线的接地环套进接地螺钉上
  3. 将接地螺钉拧紧

2.2.4 供电电源安装

  • 安装完天线后,将9~26V DC电源上设备,此时观察设备面板上Power LED是否点亮,如果LED没有点亮请立即联系映翰通技术支持。

2.3 访问设备

完成硬件安装后,在登录路由器的Web设置页面前,您需要确保管理计算机已安装了以太网卡。

  1. 自动获取IP 地址(推荐使用)
  • 请将管理PC设置成"自动获得IP 地址"和"自动获得DNS 服务器地址"(计算机系统的缺省配置),由设备自动为管理PC分配IP 地址。
  1. 设置静态IP 地址
  • 请将管理PC的IP 地址(例如设置为:192.168.2.2)与设备的LAN口IP地址设置在同一网段内(设备LAN口初始IP地址为:192.168.2.1,子网掩码均为255.255.255.0)。
  1. 取消代理服务器
  • 如果当前管理PC使用代理服务器访问因特网,则必须取消代理服务。操作步骤如下:

    • 在浏览器窗口中,选择"工具>>Internet选项";

    • 选择"连接"页签,单击<局域网设置>按钮,进入"局域网(LAN)设置"窗口界面。请确认未选中"为LAN使用代理服务器"选项;若已选中,请取消并单击<确定>。

  1. 登录/退出Web设置页面
  • 打开IE或者其它浏览器,在地址栏中输入IR615-S设备的IP地址,如http://192.168.2.1(IR615-S的出厂默认设置)。
  • 连接建立后,在弹出的登录界面,以系统管理员的身份登录,即在该登录界面输入用户名和密码(用户名和密码的出厂默认设置为adm/123456)

说明
为了安全起见,建议您首次登录后修改缺省的登录密码,并保管好密码信息。

3 基本配置

  • 设备在正式使用之前,要进行有效的配置。本章将为您介绍如何通过Web方式配置您的路由器。

3.1 系统

  • 系统包括10项设置,分别为:基本设置、系统时间、串口设置、管理控制、系统日志设置、配置管理、计划任务、系统升级、重启系统和退出系统。在
  • 可以查看系统状态和网络状态;同步设备和PC的系统时间;设置路由器WEB配置界面的语言;自定义路由器主机名称等。

3.1.1 基本设置

  • 可以设置路由器WEB配置界面的语言;自定义路由器主机名称。
    单击导航树中"系统>>基本设置"菜单,进入"基本配置"页面即可进行配置。

表 3‑1基本设置参数说明

基本设置
功能描述:选择路由器配置界面的显示语言和设置个性化的名称。
参数名称 说明 缺省值
界面语言 WEB配置页面的语言配置 中文
主机名 给路由器连接的主机或设备设置一个名称以方便查看 Router

3.1.2 系统时间

  • 为了保证本设备与其它设备协调工作,用户需要将系统时间配置准确。
  • 系统时间用于配置和查看系统时间,以及系统时区。其目的是对网络所有具有时钟的设备进行时钟同步,使网络内所有设备的时钟保持一致,从而使设备能够提供基于统一时间的多种应用。

单击导航树中"系统>>系统时间"菜单,进入"系统时间"界面,在主机时间部分点击<同步时间>按钮可直接将主机时间设置成网关的系统时间。

表 3‑2 系统时间参数说明

系统时间
功能描述:设置当地时区和设置NTP自动更新时间。
参数名称 说明 缺省值
路由器时间 显示路由器当前时间 12/12/15 8:00
主机时间 显示PC机当前时间 当前时间
时区 设置路由器所在时区 定制
设置时区字符串 设置路由器锁在时区字符串 CST-8
自动更新时间 选择是否自动更新时间,可以选择启动时、每1/2/…小时等不同时间自动更新时间 禁用

3.1.3 串口设置

  • 根据与路由器相连的终端设备的串口参数,设置路由器串口的参数,实现路由器与终端设备的正常通信。

单击导航树中"系统>>串口设置"菜单,进入"串口设置"页面即可进行配置。

表 3‑3串口设置参数说明

串口设置
功能描述:根据串口的应用设置其相关参数。
参数名称 说明 缺省值
波特率 设置串口的波特率 115200
数据位 设置串口的数据位 8
检验位 设置串口传输数据的校验位 无校验
停止位 设置串口传输数据的停止位 1
软件流控 设置是否启用软件流控,点选启用 禁用

3.1.4 管理控制

  • 管理服务包含HTTP、HTTPS、TELNET、SSHD和控制台五种形式。

  • HTTP协议
    HTTP超文本传输协议用来在Internet上传递Web页面信息。在设备上能使HTTP服务后,用户就可以通过HTTP协议登录设备,利用Web功能访问并控制设备。

  • HTTPS协议
    HTTPS超文本传输协议的安全版本,是支持SSL协议的HTTP协议,提高了安全性。

  • TELNET协议
    TELNET协议通过网络提供远程登录和虚拟终端功能。以服务器、客户端(Server/Client)模式工作,Telnet客户端向Telnet服务器发起请求,Telnet服务器提供Telnet服务。设备支持Telnet客户端和Telnet服务器功能。

  • SSHD
    SSH是为远程登录会话和其他网络服务提供安全性的协议。SSHD服务使用SSH协议。相比TELNET协议有更高的安全性。

  • 控制台
    控制台接入端口就是console串口,用于用户通过终端对设备进行初始配置和后续管理等,与telnet功能一样。   单击导航树中"系统>>管理控制"菜单,进入"管理控制"界面,即可进行配置。

表 3-4管理控制参数说明

管理控制
功能描述:1.修改路由器的用户名密码。2.设置路由器的配置方式,有以下5种方式:HTTP,HTTPS,TELNET,SSHD,控制台。 3.设置登录超时时间。
参数名称 说明 缺省值
用户名/密码
用户名 设置登录WEB配置的用户名 adm
旧密码 原来登录WEB配置的密码 123456
新密码 设置新的登录WEB配置的密码
确认密码 再次确认新的登录密码以确认
管理功能
服务端口 HTTP/HTTPS/TELNET/SSHD控制台的服务端口 80/443/23/22
本地管理 启用允许本地局域网使用相应服务(如HTTP)对路由器进行管理  
禁用本地局域网不能使用相应服务(如HTTP)对路由器进行管理 启用
远程管理 启用允许远程主机使用相应服务(如HTTP)对路由器进行管理  
禁用远程主机不能使用相应服务(如HTTP)对路由器进行管理 启用
允许远程管理的地址范围(可选) 设置允许远程管理的地址范围(仅限HTTP/HTTPS/TELNET/SSHD 可以设置此时的控制服务的主机,例如192.168.2.1/30
或者192.168.2.1-192.168.2.10
说明 便于记录管理功能各项参数的意义(不影响路由器配置)
控制台登录用户(设置好一组用户名和密码要点击<新增>按钮)
用户名 配置控制登录用户名,用户自定义
密码 配置控制登录密码,用户自定义
其他参数
登录超时 设置登录超时时间(登录时间超时后路由器会自动断开配置界面) 500

说明
1.“用户名/密码”配置部分可以更改该用户名和密码,但是不能新建用户名,即Web登陆方式只能用这一个用户名。
2.“控制台登录用户”配置部分我们可以新建多个用户名,即采用串口或者TELNET控制台登陆方式可以用多个用户名。

3.1.5 系统日志设置

  • 通过"系统日志设置"界面,可以设置远程日志服务器。

网关将会把所有的系统日志上传到远程日志服务器,这需要主机上的远程日志软件(如:Kiwi Syslog Daemon)的配合。

  • Kiwi Syslog Daemon是一个用于Windows的免费日志服务器软件。它可以接收、记录、显示来自开启syslog的主机(如网关,交换机,Unix主机等)的日志。下载并安装Kiwi Syslog Daemon后,通过"File>>Setup>>Input>>UDP"界面设置必要参数。

单击导航树中"系统>>系统日志设置"菜单,进入"系统日志设置"界面进行相应配置。

表 3-5系统日志设置参数说明

系统日志设置
功能描述:配置远程日志服务器IP地址及端口号,路由器日志将被远程日志服务器记录。
参数名称 说明 缺省值
发送到远程日志服务器 点选启用日志服务器 禁用
日志服务器地址、端口(UDP 设置远程日志服务器的地址/端口号 514
输出至调试串口 通过串口输出设备日志 禁用

3.1.6 配置管理

  • 将参数进行备份;可导入想要的参数备份;可使设备恢复出厂设置。

单击导航树中"系统>>配置管理"菜单,进入"配置管理"界面即可进行配置。

表 3‑6配置管理参数说明

配置管理
功能描述:设置配置管理参数。
参数名称 说明 缺省值
浏览 从主机选择将要导入到路由器的配置文件
导入 将配置文件导入到路由器
备份 备份配置文件到主机
恢复出厂设置 点选以恢复出厂设置(恢复出厂设置后需重新启动系统才能生效)
网络运营商(ISP 用于配置全球各大运营商的APN,用户名,密码等参数

注意
应该确保导入的配置的合法性与有序性。当导入配置时,系统会过滤格式不合法的命令,然后将正确的配置存储,在系统重启后顺序执行这些配置。如果导入的配置内容不是按照有效的顺序排列,将导致系统不能进入期望状态。

说明
为了不影响当前的系统运行,当执行导入配置和恢复出厂配置后,需要重启设备新的配置才能生效。

3.1.7 计划任务

  • 开启此功能后,设备将按照设定时间定时重启。

单击导航树中"系统>>计划任务"菜单,进入"计划任务"界面即可进行设置。

3.1.8. 系统升级

  • 升级过程共分为两个阶段,第一阶段将升级文件写入备份固件区,即系统升级一节所描述的过程;第二阶段将备份固件区中的文件拷贝到主固件区,此阶段将在系统重启时执行。

单击导航树中"系统>>系统升级"菜单,进入"系统升级"界面即可进行配置。

注意
在软件升级的过程中,请不要在Web 上进行任何操作,否则可能会导致软件升级中断!

3.1.9. 重启系统

  • 设备重启前请保存配置,否则未保存的配置将全部丢失。

如需重启系统,点击"系统>>重启系统",然后点击<确定>重启系统即可。

3.1.10. 退出系统

  • 如需退出系统,点击"系统>>退出系统",然后点击<确定>退出系统即可。

3.2 网络

  • 网络设置包括拨号端口、WAN端口、WAN(STA端口)、链路备份、LAN端口、WLAN模式切换、WLAN端口、域名服务器、动态域名和静态路由共10个功能模块。

3.2.1拨号端口

单击导航树中的"网络>>拨号端口"菜单,进入"拨号端口"界面配置即可。IR615-DS-S支持双卡,可以点选启用双SIM卡功能,进行相应配置。

表 3‑7拨号端口参数说明

拨号端口
功能描述:配置PPP拨号的参数。通常用户只需设置基本配置,不用设置高级选项。
参数名称 说明 缺省值
启用 点选启用PPP拨号 启用
启用时间 设置启用时间 全部
共享连接(NAT 启用连接到Router的本地设备可以通过Router上网。 启用
禁用连接到Router的本地设备不能通过Router上网。
默认路由 点选启用默认路由 启用
网络运营商(ISP 用于选择当前提供服务的运营商 定制
APN 请向当地移动运营商咨询的相关参数 cmnet/uninet
拨号号码 请向当地移动运营商咨询的相关参数 “*99#”“*99***1#”(移动,联通)#777(电信)
用户名 请向当地移动运营商咨询的相关参数 “gprs” (移动,联通)
CARD(电信)
密码 请向当地移动运营商咨询的相关参数 “gprs” (移动,联通)
CARD(电信)
网络选择方式 可选择:Auto2G Only3G Only4G Only Auto
连接方式 可选择永远在线、按需拨号、手工拨号 永远在线
重拨间隔 设置登录失败时,重新拨号的时间 30
显示高级选项
初始化命令 设置初始化命令 AT
PIN 设置PIN
MTU 设置最大传输单元 1500
认证方式 可选择:AutoPAPCHAP Auto
使用分配的DNS服务器 点选启用接受移动运营商分配的DNS 启用
连接检测间隔 设置连接检测的间隔 55
启用调试模式 点选启用调试模式 禁用
启用modem调试模式 点选启用调试模式 禁用
ICMP探测模式 可选择:忽略流量、监控流量 忽略流量
ICMP探测服务器 设置ICMP探测服务器,空表示不启用ICMP探测
ICMP探测间隔时间 设置ICMP探测间隔时间 30
ICMP探测超时时间 设置ICMP探测超时时间(探测超时时间自动重启) 20
ICMP探测最大重试次数 设置ICMP探测失败时的最大重试次数(达到最大次数后会重新拨号) 5
启用双SIM
SIM2 网络运营商(ISP 用于选择当前提供服务的运营商 定制
SIM2拨号号码 请向当地移动运营商咨询的相关参数 “*99#”“*99***1#”(移动,联通)#777(电信)
SIM2用户名 请向当地移动运营商咨询的相关参数 “gprs” (移动,联通)
CARD(电信)
SIM2密码 请向当地移动运营商咨询的相关参数 “gprs” (移动,联通)
CARD(电信)
SIM2 PIN 用于设置PIN
SIM2 认证方式 可选择:AutoPAPCHAP Auto
选择主卡 可选择:SIM1 SIM2 SIM1
最大拨号次数 设置拨号断开后重拨的次数 5
信号阈值 设置信号阈值(低于信号阈值将切换电话卡) 00:禁用)
最小连接时间 设置最小连接时间(超过最小连接时间将切换电话卡) 00:禁用)

表 3‑8拨号端口-时间表参数说明

拨号端口----时间表管理
功能描述:根据规定时间,自动上下线。
参数名称 说明 缺省值
时间表名称 schedule 1 schedule1
周日~周六 点击启用  
时间范围 1 设置时间范围 1 9:00-12:00
时间范围 2 设置时间范围 2 14::00-18:00
时间范围 3 设置时间范围 3 0:00-0:00
说明 设置说明内容

3.2.2 WAN端口

  • WAN端口类型支持静态IP、动态地址(DHCP)、ADSL(PPPoE)拨号三种有线接入。

  • DHCP采用客户端/服务器通信模式,由客户端向服务器提出配置申请,服务器返回为客户端分配的IP地址等相应的配置信息,以实现IP地址等信息的动态配置。

  • PPPoE是基于以太网的点对点协议。用户需要在保持原接入方式的基础上,安装一个PPPoE客户端。通过PPPoE协议,远端接入设备能够实现对每个接入用户的控制和计费。设备WAN端口默认情况下为禁用状态。

单击导航树种的"网络>>WAN端口"菜单,进入"WAN端口"界面即可进行配置。

表 3‑9 WAN端口静态IP参数说明

WAN端口-静态IP
功能描述:可通过用固定IP的有线接入Internet
参数名称 说明 缺省值
共享连接(NAT 启用连接到Router的本地设备可以通过Router上网。 启用
禁用连接到Router的本地设备不能通过Router上网。
默认路由 点选启用默认路由 启用
MAC地址 设备的MAC地址 00:18:05:08:07:3D(北京映翰通公司提供),为设备制造商提供
IP地址 设置WAN端口的IP地址 192.168.1.29
子网掩码 设置WAN端口的子网掩码 255.255.255.0
网关 设置WAN端口的网关 192.168.1.1
MTU 最大传输单元,可选择默认值/手工设置 默认值(1500
IP支持(最多可设定8个额外的IP地址)
IP地址 设置LAN端口额外的IP地址
子网掩码 设置子网掩码
说明 便于记录额外IP地址的意义

表 3‑10 WAN端口动态地址(DHCP)参数说明.

WAN端口-动态地址(DHCP
功能描述:支持DHCP,可自动获得其他路由器分配的地址。
参数名称 说明 缺省值
共享连接(NAT) 启用连接到Router的本地设备可以通过Router上网。 启用
禁用连接到Router的本地设备不能通过Router上网。
默认路由 点选启用默认路由 启用
MAC地址 设备的MAC地址 00:18:05:08:07:3D(北京映翰通公司提供),为设备制造商提供
MTU 最大传输单元,可选择默认值/手工设置 默认值(1500

表 3‑11 WAN端口ADSL拨号(PPPoE)参数说明

WAN端口-ADSL拨号(PPPoE
功能描述:设置ADSL拨号参数。
参数名称 说明 缺省值
共享连接(NAT) 启用连接到Router的本地设备可以通过Router上网。 启用
  禁用连接到Router的本地设备不能通过Router上网。  
默认路由 点选启用默认路由 启用
MAC地址 设备的MAC地址 00:18:05:08:07:3D(北京映翰通公司提供),为设备制造商提供
MTU 最大传输单元,可选择默认值/手工设置 默认值(1492
ADSL拨号(PPPoE)设置
用户名 设置拨号用户名
密码 设置拨号密码
静态IP 点击启用静态IP 禁用
连接方式 设置拨号连接方式(永远在线、按需拨号、手工拨号) 永远在线
高级选项参数
服务名称 设置服务名称
发送队列长度 设置发送队列长度 3
启用IP包头压缩 点选启用IP包头压缩 禁用
使用分配的DNS服务器 点击启用使分配的DNS服务器 启用
连接检测间隔 设置连接检测间隔 55
连接检测最大重试次数 设置连接检测最大重试次数 10
启用调试模式 勾选启用调试模式 禁用
专家选项 设置专家选项
ICMP探测服务器 设置ICMP探测服务器
ICMP探测间隔时间 设置ICMP探测间隔时间 30
ICMP探测超时时间 设置ICMP探测超时时间 20
ICMP探测最大重试次数 设置ICMP探测最大重试次数 3

3.2.3 链路备份

单击导航树中的"网络>>链路备份"即可进行配置。

表 3‑12 链路备份参数说明

链路备份
功能描述:系统运行时优先启用主链路进行通信,当由于某种原因使得主链路断开连接时,系统自动切换至备份链路,以保障设备通信正常进行。
参数名称 说明 缺省值
启用 点选启用链路备份 禁用
主链路 可选:WAN端口,拨号接口,WANSTA)端口 WAN端口
ICMP探测服务器 设置ICMP探测服务器
ICMP探测间隔时间 设置ICMP探测间隔时间 10
ICMP探测超时时间 设置ICMP探测超时时间 3
ICMP探测最大重试次数 设置ICMP探测最大重试次数 3
备份链路 可选拨号端口,WAN端口,WANSTA)端口 拨号端口
备份模式 可选热备份或冷备份 热备份

表 3‑13 链路备份-备份模式参数说明

链路备份-备份模式
功能描述:选择链路备份的方式。
参数名称 说明
热备份 主链路与备份链路同时在线
冷备份 主链路断开连接时,备份链路才上线

3.2.4 LAN 端口

  • LAN端口为设备提供LAN端口相关参数的配置与更改,此处可修改LAN端口MAC地址、IP地址等基本信息,同时支持LAN端口的多IP访问。

单击导航树中的"网络>>LAN端口"菜单,即可进行配置。

表 3‑14 LAN端口参数说明

LAN端口
功能描述:LAN端口即为路由器的网关地址
参数名称 说明 缺省值
类型 可选择:静态IP、动态地址(DHCP 静态IP
MAC地址 设备LAN端口MAC地址 00:18:05:08:15:77(北京映翰通公司提供),为设备制造商提供
IP地址 设置LAN端口的IP地址 192.168.2.1(更改后需键入新的LANIP地址进入配置页)
子网掩码 设置LAN端口子网掩码 255.255.255.0
MTU 最大传输单元,可选择默认值/手工配置 默认值(1500
网口模式 选择网口的传输速率,可选择自动协商/100M全双工/100M半双工/10M全双工/10M半双工 自动协商
IP支持(最多可设定8个额外的IP地址)
IP地址 设置LAN端口额外的IP地址
子网掩码 设置子网掩码
说明 便于记录额外IP地址的意义(不支持中文字符)

3.2.5 WLAN模式切换

  • WLAN即无线局域网。WLAN接口有接入点和客户端两种类型。

单击导航树中的"网络>>WLAN模式切换"菜单,即可进行WLAN模式切换。切换模式之后,需要重启设备。

3.2.6 WLAN客户端(AP模式)

  • 设备WLAN工作在AP模式即可为其它无线网络设备提供网络接入点,使其进行正常网络通讯。

单击导航树中的"网络>>WLAN端口"菜单,即可进入"WLAN端口"界面进行配置。

表 3‑15 WLAN接入端口参数说明

WLAN 端口
功能描述:支持WIFI功能,为客户现场提供无线局域网接入和无线用户身份认证服务。
参数名称 说明 缺省值
SSID广播 开启后,用户可通过SSID名称搜索到无线网络。 启用
模式 六种类型可选:802.11g/n802.11g802.11n802.11b802.11b/g 802.11b/g/n 802.11b/g/n
信道 选择信道 11
SSID 用户自定义SSID名称 inhand
认证方式 支持开放式、共享式、自动选择WEPWPA-PSKWPAWPA2-PSKWPA2WPA/WPA2WPAPSK/WPA2PSK 开放式
加密方式 根据不同认证方式,支持NONEWEP NONE
无线频宽 两种可选:20MHz40MHz 20MHz
启用WDS 点选启用“WDS 禁止
默认路由 点选启用默认路由 禁止
桥接的SSID 设置桥接的SSID
桥接的BSSID 设置桥接的BSSID
扫描 点击“扫描”按钮可以扫描出周围可以使用的AP.  
认证方式 开放式、共享式、WPA-PSKWPA2-PSK 开放式
加密方式 根据不同认证方式,支持NONEWEP NONE

3.2.7 WLAN客户端(STA模式)

  • 设备WLAN工作在STA模式时,可通过连接网络接入点设备进行正常的网络通讯。

单击导航树中的"网络>>WLAN客户端",进入"WLAN端口"界面,接口类型选用"客户端",并配置相关参数。(此时应关闭"网络>>拨号接口"菜单中的拨号接口。) 在WLAN接口类型处选择客户端时,SSID扫描功能才能开启。在"SSID扫描"界面,会显示所有可用的SSID名称,并可以显示设备作为客户端的连接状态。

表 3-16 WLAN客户端参数说明

WLAN客户端
功能描述:支持WIFI功能,作为客户端接入无线局域网。
参数名称 说明 缺省值
模式 支持802.11b/g/n等多种模式 802.11b/g/n
SSID 要连接的接入点SSID名称 inhand
认证方式 与要连接的接入点保持一致 开放式
加密方式 与要连接的接入点保持一致 NONE

3.2.8 域名服务器

  • 域名系统(DNS,Domain Name System)是一种用于TCP/IP应用程序的分布式数据库,提供域名与IP地址之间的转换。

  • 通过域名系统,用户进行某些应用时,可以直接使用便于记忆的、有意义的域名,而由网络中的DNS服务器将域名解析为正确的IP地址。设备通过DNS服务器进行动态域名解析。手动设置域名服务器,如果为空就使用拨号获得的DNS。一般在WAN口使用静态IP的时候才需要设置此项。

单击导航树中的"网络>>域名服务"菜单,进入"域名服务"界面配置即可。

表 3-17域名服务器参数说明

域名服务器(DNS设置)
功能描述:配置域名服务器参数。
参数名称 说明 缺省值
首选域名服务器 设置首选域名服务器 0.0.0.0
备选域名服务器 设置备选域名服务器 0.0.0.0

3.2.9 动态域名

  • DDNS动态域名服务是将用户的动态IP地址映射到一个固定的域名解析服务上,用户每次连接网络的时候客户端程序就会通过信息传递把该主机的动态IP地址传送给位于服务商主机上的服务器程序,服务器程序负责提供DNS服务并实现动态域名解析。也就是说DDNS捕获用户每次变化的IP地址,然后将其与域名相对应,这样其他上网用户就可以通过域名来进行交流。而最终客户所要记忆的全部,就是记住动态域名商给予的域名即可,而不用去管他们是如何实现的。

  • DDNS功能是作为DDNS的客户端工具,需要与DDNS服务器协同工作。在使用该功能之前,需要先到对应网站如(www.3322.org)去申请注册一个域名。

  • IR615-S的DDNS服务类型包括:QDNS(3322)-Dynamic、QDNS(3322)-Static、DynDNS-Dynamic、DynDNS-Static、DynDNS-Custom、No-IP.com、定制。

单击导航树中的"网络>>动态域名"菜单,进入"动态域名"界面即可进行配置。

表 3-18 动态域名参数说明

动态域名
功能描述:设置动态域名绑定。
参数名称 说明 缺省值
当前地址 显示路由器当前的IP
服务类型 选择提供动态域名的服务商 禁用

3.2.10 静态路由

  • 静态路由需要手工设置,设置后,去往指定目的地的报文将按照您指定的路径进行转发。

单击导航树中的"网络>>静态路由"菜单,进入"静态路由"界面即可进行配置。

表 3‑20静态路由参数说明

静态路由
功能描述:增加/删除Router额外的静态路由。用户一般不需要设置此项。
参数名称 说明 缺省值
目的网络 设置目的网络的IP地址
子网掩码 设置目的网络的子网掩码 255.255.255.0
网关 设置目的网络的网关
接口 可选择LAN/CELLULAR/WAN/WAN(STA)接入目的网络
说明 便于记录静态路由的意义(不支持中文字符)

3.3服务

  • 服务设置包括DHCP服务、DNS转发、热备份(VRRP)、网管平台(Device Manager)、简单网络管理协议(SNMP)、SNMPTRAP、DTU、短信、流量管理、告警设置10项参数配置。

3.3.1 DHCP服务

  • DHCP采用客户端/服务器通信模式,由客户端向服务器提出配置申请,服务器返回为客户端分配的IP地址等相应的配置信息,以实现IP地址等信息的动态配置。
  • 设备作为DHCP服务器,当工作站登录进来时分配IP地址,并且确保分配给每个工作站的IP地址不同。DHCP服务器极大地简化了以前需要用手工来完成的一些网络管理任务。
  • 设备作为DHCP客户端,登录到DHCP服务器后接收DHCP服务器分配的IP地址,所以设备的以太网接口需要配置为自动方式。

单击导航树中的"服务>>DHCP服务"菜单,进入"DHCP服务"界面即可配置。

3.3.2 DNS转发

  • 设备作为DNS代理,在DNS客户端和DNS服务器之间转发DNS请求和应答报文,代替DNS客户端进行域名解析。

单击导航树中"服务>>DNS转发"菜单,进入"DNS转发"界面进行配置即可。

表 3-22 DNS转发参数说明

DNS转发服务
功能描述:如果连接Router的主机使用了自动获得DNS服务器地址,那么就需要开启此服务。
参数名称 说明 缺省值
启用DNS转发服务 点选以启用DNS服务 启用(开启DHCP服务后DNS自动打开)
指定[IP地址<=>域名]对(可指定20IP地址<=>域名对)
IP地址 设置指定IP地址<=>域名的IP地址
主机 设置指定IP地址<=>域名的域名名称
说明 便于记录IP地址<=>域名的意义

3.3.3. 热备份(VRRP)

  • VRRP虚拟路由器冗余协议将可以承担网关功能的一组路由器加入到备份组中,形成一台虚拟路由器,由VRRP的选举机制决定哪台路由器承担转发任务,局域网内的主机只需将虚拟路由器配置为缺省网关。VRRP将局域网内的一组路由器划分在一起,由多个路由器组成,功能上相当于一台虚拟路由器。根据不同网段的VLAN接口IP,可以虚拟成多个虚拟路由器。每个虚拟路由器都有一个ID号,最多可以虚拟255个。

VRRP具有以下特点:

  • 虚拟路由器具有IP地址,称虚拟IP地址。局域网内的主机仅需要知道这个虚拟路由器的IP地址,并将其设置为缺省路由的下一跳地址。
  • 网络内的主机通过这个虚拟路由器与外部网络进行通信。
  • 组内路由器根据优先级,选举出一个路由器,承担网关功能。其他路由器作为Backup路由器,当网关路由器发生故障时,取代网关路由器继续履行网关职责,从而保证网络内的主机不间断地与外部网络进行通信。
  • VRRP的监视接口功能更好地扩充了备份功能:不仅能在某路由器的接口出现故障时提供备份功能,还能在路由器的其它接口(如连接上行链路的接口)不可用时提供备份功能。
    当连接上行链路的接口处于Down或Removed状态时,路由器主动降低自己的优先级,使得备份组内其它路由器的优先级高于这个路由器,以便优先级最高的路由器成为网关,承担转发任务。

单击导航树中"服务>>VRRP"菜单,进入"VRRP"配置界面即可进行配置。

表 3‑23热备份(VRRP)参数说明

热备份(VRRP
功能描述:配置热备份参数。
参数名称 说明 缺省值
启用VRRP-I 点选启用热备份(VRRP)功能 禁用
虚拟组标识号 选择路由器组的标识号(范围为1-255 1
优先级 选择一个优先级(范围为1-254 20(数值越大,优先级越高)
广播间隔 设置广播间隔 60
虚拟IP 设置一个虚拟IP
认证方式 可选择无认证/密码认证 无(选择密码认证时需填入密码)
监视接口 设置一个监视接口
VRRP-II 配置同上 禁用

3.3.4 网管平台(Device Manager)

  • 网管平台是通过一个软件平台管理设备。
    启用云网管平台后,可以通过软件平台对设备进行管理操作,使网络高效正常运行。比如:查询设备运行状态、升级设备软件、重启设备、对设备下发配置参数等等,还可以通过网管平台给设备发送控制或查询短信。 配置网管平台功能,能够实现路由器设备可以连接到网管平台上。

单击导航树中的"服务>>网管平台(Device Manager)"菜单,进入"网管平台(Device Manager)"界面,工作模式支持仅短息和短信+IP两种模式。

表 3-24 网管平台–仅短信参数说明

网管平台(Device Manager-仅短信
功能描述:配置网管平台功能,能够实现路由器设置可以连接到网管平台上。
参数名称 说明 缺省值
查询短信间隔 设置查询短信时间间隔 24小时
信任手机列表 添加信任的手机号码,多个号码用逗号间隔

表 3-25 网管平台–短信+IP模式参数说明

网管平台(Device Manager-短信+IP模式
功能描述:配置网管平台功能,能够实现路由器设置可以连接到网管平台上。
参数名称 说明 缺省值
供应商 设置供应商名称 默认值
设备ID 设置路由器设备的ID 611341234
服务器 设置路由器设备要连入网管平台服务器地址 c.inhand.com.cn
端口 设置服务器默认的端口 20003
登录重试次数 设置登录重试的次数 3
心跳间隔时间 设置心跳的间隔时间 120
数据包接收超时时间 设置数据包接收超时时间 30
数据包重发次数 设置数据包重发次数 3
查询短信间隔 设置查询短信间隔 24小时
信任手机列表 设置信任的手机号码,多个号码用逗号间隔

3.3.5 简单网络管理协议(SNMP)

  • 管理员要对整个网络的设备进行配置和管理,这些设备分布较为分散,管理员到现场进行设备配置是不现实的。并且如果这些网络设备来自不同的厂商,而每个厂商都提供一套独立的管理接口(比如使用不同的命令行),将使得批量配置网络设备的工作量巨大。因此,在这种情况下,如果采用传统的人工方式,将会带来成本高、效率低的弊端,此时网络管理员可以利用SNMP远程管理和配置其下属设备,并对这些设备进行实时监控。网管通过SNMP协议管理设备,如图3-1所示。

图 3-1 SNMP协议拓扑图
图 3-1 SNMP协议拓扑图

要在组网中配置SNMP协议,需要在管理端配置SNMP管理程序NMS,同时在被管理设备端配置SNMP代理程序Agent。
通过SNMP协议:

  • 网络管理系统NMS可以通过Agent在任何时候及时地获得设备的状态信息,并实现远端控制被管理设备。
  • Agent可以及时地向NMS报告设备的当前状态信息,在设备发生问题时,可以立即通知NMS。

目前设备的SNMP Agent支持SNMPv1、SNMPv2c 和SNMPv3版本。SNMPv1和SNMPv2c采用团体名认证;SNMPv3采用用户名和密码认证加密方式。

表 3-26 SNMPv1和SNMPv2c参数说明

参数名称 说明 缺省值
启用SNMP功能 启用/关闭SNMP功能 关闭
SNMP版本 选择管理路由器的SNMP版本,支持SNMP v1/v2c/v3 v1
V1适用于小型网络,组网简单,对网络安全
性要求不高或者网络环境本身比较安全,
且比较稳定的网络,比如校园网,小型企
业网。
V2C适用于大中型网络,对网络安全性要求不高或者网络环境本身比较安全(比如VPN
网络),但业务比较繁忙,有可能发生流
量拥塞的网络。
V3适用于各种规模的网络,尤其是对网络的
安全性要求较高,确保合法的管理员才能
对网络设备进行管理的网络。比如网管和
被管理设备间的通信数据需要在公网上进
行传输。
联系信息 填写联系信息
位置信息 填写位置地址
共同体名管理
共同体名 用户自定义共同体名 publicprivate
SNMPv1SNMPv2c的读/写团体访问名,是网管(NMS)对设备(Agent)进行读写访问时所使用的口令,此参数需与网管配置相同。
访问权限 访问权限包含网管只读的MIB节点和网管可读写的MIB节点。 Read-Only(只读)
MIB视图 选择限定网管监控和管理的MIB节点,目前为默认视图一种状态。 defaultView

表 3-27 SNMPv3参数说明

参数名称 说明 缺省值
用户组管理
组名 用户自定义用户组组名,长度:1-32个字符
安全级别 选择该组的安全级别,分为无鉴别/无加密、鉴别/无加密、鉴别/加密共3 无鉴别/无加密
只读视图 选择SNMP的只读视图。目前只支持defaultView defaultView
读写视图 选择SNMP的读写视图。目前只支持defaultView defaultView
通知视图 选择SNMP的通知视图。目前只支持defaultView defaultView
用户管理
用户名 用户自定义用户名,长度:1-32个字符
组名 选择该用户加入的用户组,首先要在用户组管理表格中定义过,才可再次选择相应的用户组。
认证模式 选择认证模式。提供MD5SHA和无鉴别三种认证模式,选择无鉴别不启用认证 无鉴别
认证密码 只有认证模式不为无鉴别时,认证密码才可以输入。
长度:8-32个字符
加密模式 选择加密模式,加密分为:无加密、AESDES三种模式。 无加密
加密密码 只有加密模式不为无加密时,加密模式密码才可输入。
长度:8-32个字符

3.3.6 SNMPTRAP

  • SNMP Trap(SNMP 陷阱):某种入口,到达该入口会使SNMP被管设备主动通知SNMP管理器,而不是等待SNMP管理器的再次轮询。在网管系统中,被管理设备中的代理可以在任何时候向网络管理工作站报告错误情况。代理并不需要等到管理工作站为获得这些错误情况而轮询他的时候才会报告。这些错误情况就是众所周知的SNMP自陷(trap)。

表 3-28 SnmpTrap配置参数说明

参数名称 说明 缺省值
信号上报阈值 设置信号上报阈值,当达到设置值时将会输出日志到管理站。 10
目的地址(IP) 填写管理站(NMS)IP地址
安全名 版本v1v2c时填写相应的团体名,版本为v3时填写相应的用户名。长度:1-32个字符
UDP端口号 填写UDP端口号,可以使用默认的端口号范围:1-65535 162

3.3.7 DTU

单击导航树中的"服务>>DTU"菜单,进入"DTU"界面即可进行配置。

表 3-29 DTU参数说明

DTU
功能描述:实现通用DTU功能。
参数名称 说明 缺省值
启用 点选启用DTU功能 禁用
DTU 协议 选择DTU协议:透明传输,DC协议传输,Modbus网桥,虚拟串口,WP协议,WN协议,Trap+Poll 透明传输
协议 可选择UDP/TCP协议 UDP
工作模式 设置DTU为客户端 客户端
串口分帧间隔 设置串口分帧时间间隔 100毫秒
串口缓存帧个数 设置串口缓存帧的个数 4
多中心策略 设置并发或轮询 并发
最小重连间隔 设置重连所需最小时间间隔 15
最大重连间隔 设置重连所需最大时间间隔 180
DTU标识 设置DTU的标识号
源地址 设置源地址
上报DTU ID 间隔 设置上报DTU ID 间隔 0
多中心 设置服务器地址和端口

3.3.8 短信

  • 配置短信功能,能够实现短信重启和手工拨号。手机号码配置为允许后点击<应用并保存>,就可以通过该手机号发送"reboot"指令重启设备,或者发送自定义连接或断开指令使设备连接网络或断开。

单击导航树中的"服务>>短信"菜单,进入"短信"界面即可进行配置。

表 3‑30 短信参数说明

短信
功能描述:配置短信功能,能够实现以短信形式管理路由器设备。
参数名称 说明 缺省值
启用 点选启用短信功能 禁用
状态查询 用户自定义英文查询指令,可查询路由器设备当前工作状态
重启 用户自定义英文查询指令,可重启路由器
短信访问控制
默认策略 选额来访的处理方式 放行
手机号码 填写可访问的手机号码
处理方式 放行或阻止 放行
说明 对短信控制进行说明  

3.3.9 流量管理、

单击导航树中的"服务>>流量管理"菜单,进入"流量管理"界面即可进行配置。

表 3-31 流量管理-基本配置参数说明

流量管理
功能描述:对路由器使用流量进行监控管理。
参数名称 说明 缺省值
启用 点选启用流量管理功能 启用
流量告警阈值 达到每月流量使用的阈值后,路由器将发出告警。 0
断开网络阈值 达到每月流量使用的阈值后,路由器将断开网络连接。 0

3.3.10 告警设置

  • 告警设置功能提供给用户一种即时获知路由器异常的方式,使得用户能尽早的发现并解决这些异常。当异常产生时路由器将发出告警,用户可以选择系统定义的多种异常并选择合适的通告方式来获知这些异常。所有告警都将被记录在告警日志中,供用户在需要时排查问题.
  • 告警按照类型分为:系统告警和端口告警。
    • 系统告警:因系统或环境出现某种异常而发出的告警。
    • 端口告警:因网络接口出现异常而发出的告警。
  • 通过告警配置对话框您可以进行以下操作:
    • 通过"告警输入"界面,可以自定义关心的告警类型。
    • 通过"告警输出"界面,设置控制台告警通告方式,日志记录是默认输出方式。
  • 配置此项功能,当有告警产生时,系统会把告警内容发送到控制台。

单击导航树中的"服务>>告警设置"菜单,进入"告警设置"界面即可进行配置。

表 3-32告警设置说明表

告警设置
功能描述:设置自定义关心的告警类型。
参数名称 说明 缺省值
系统服务异常 点选开启系统服务异常告警 禁用
内存不足 点选开启内存不足告警 禁用
WAN端口 Link-Up/Down 点选开启WAN端口 Link-Up/Down告警 禁用
LAN端口 Link-Up/Down 点选开启LAN端口 Link-Up/Down告警 禁用
拨号端口 Up/Down 点选开启拨号端口 Up/Down告警 禁用
流量告警 点选开启流量告警 禁用
流量断开告警 点选开启流量断开告警 禁用
SIM/UIM卡故障 点选开启SIM/UIM卡故障告警 禁用
信号质量异常 点选开启信号质量异常告警 禁用
控制台 点选开启控制台告警通告 禁用

3.4 防火墙

  • 路由器的防火墙功能实现了根据报文的内容特征(比如:协议类型、源/目的IP地址等),来对入站方向(从因特网发向局域网的方向)和出站方向(从局域网发向因特网的方向)的数据流执行相应的控制,保证了路由器和局域网内主机的安全运行。
  • 防火墙设置包括基本设置、访问控制、内容过滤、端口映射、虚拟IP映射、DMZ设置、MAC-IP绑定。

3.4.1 基本设置

单击导航树中的"防火墙>>基本设置"菜单,进入"基本设置"界面进行配置即可。

表 3‑33防火墙—基本配置参数说明

防火墙基本配置
功能描述:设置基本的防火墙规则。
参数名称 说明 缺省值
默认处理策略 可选择放行/阻止 放行
过滤来自InternetPING探测 点选开启过滤PING探测 禁用
过滤多播 点选开启过滤多播功能 启用
防范DoS攻击 点选开启防范DoS攻击 启用

3.4.2 访问控制

  • 通过配置一些匹配规则,对指定数据流执行允许或禁止通过,达到对网络接口数据的过滤。当路由器的端口接收到报文后,即根据当前端口上应用的规则对报文的字段进行分析,在识别出特定的报文之后,根据预先设定的策略允许或禁止相应的数据包通过。

单击导航树中"防火墙>>访问控制"菜单,进入"访问控制"界面进行配置即可。

表 3‑34 访问控制参数说明

防火墙访问控制
功能描述:对经过Router的网络包的协议,源/目的地址,源/目的端口进行控制,提供一个安全的内网环境。
参数名称 说明 缺省值
启用 点选启用访问控制 启用
协议 可选择全部/TCP/UDP/ICMP 全部
来源地址 设置访问控制的来源地址 0.0.0.0/0
来源端口 设置访问控制的来源端口 不可用
目的地址 设置目的地址
目的端口 设置访问控制的目的端口 不可用
处理方式 可选择放行/阻止 放行
记录日志 点选启用记录日志,系统将会记录关于访问控制方面日志 禁用
说明 便于记录访问控制各项参数意义

3.4.3 内容过滤

  • 通过配置匹配规则,一般用于禁止访问网站设置。

单击导航树中"防火墙>>内容过滤"菜单,进入"内容过滤"界面即可进行配置。

表 3-35防火墙-内容过滤参数说明

内容过滤
功能描述:设置防火墙内容过滤相关配置,一般用于设置禁止访问的网站。
参数名称 说明 缺省值
启用 点选启用内容过滤 启用
URL 设置需过滤的网址
处理方式 可选择放行/阻止 放行
记录日志 点选启用记录日志,系统将会记录关于内容过滤方面日志 禁用
说明 便于记录内容过滤各项参数的意义

3.4.4 端口映射

  • 端口映射又称虚拟服务器。设置端口映射,可让外网主机能访问到内网IP地址所对应的主机的特定端口。

单击导航树中"防火墙>>端口映射"菜单,进入"端口映射"界面即可进行配置。

表 3-36防火墙-端口映射参数说明

端口映射(最多可设定50个端口映射)
功能描述:配置端口映射参数。
参数名称 说明 缺省值
启用 点选启用端口映射 启用
协议 可选择TCP/UDP/TCP&UDP TCP
来源地址 设置端口映射的来源地址 0.0.0.0/0
服务端口 设置端口映射的服务端口号 8080
内部地址 设置端口映射的内部地址
内部端口 设置端口映射的内部端口 8080
记录日志 点选启用记录日志,系统将会记录关于端口映射日志 禁用
外部地址(可选) 设置端口映射的外部地址/隧道名称
说明 便于记录每条端口映射规则的意义

3.4.5 虚拟IP映射

  • 路由器和内网主机的IP地址都可以与一个虚拟IP一一对应。在不改变内网IP分配的情况下,外网可以通过虚拟IP来访问内网主机。此项通常结合VPN一起使用。

单击导航树中"防火墙>>虚拟IP映射"菜单,进入"虚拟IP映射"界面即可进行配置。

表 3-37防火墙-虚拟IP地址参数说明

虚拟IP地址
功能描述:配置虚拟IP地址参数。
参数名称 说明 缺省值
路由器的虚拟IP地址 设置路由器的虚拟IP地址
来源地址范围 设置来源地址范围
启用 点选启用虚拟IP地址 启用
虚拟IP 设置虚拟IP映射的虚拟IP地址
真实IP 设置虚拟IP映射的真实IP地址
记录日志 点选启用记录日志,系统将会记录虚拟IP地址相关日志 禁用
说明 便于记录每条虚拟IP地址规则的意义

3.4.6 DMZ设置

  • 映射所有端口后,外网PC可以通过接入DMZ设置接入内部设备所有端口。

单击导航树中"防火墙>>DMZ设置"菜单,进入"DMZ设置"界面即可进行配置。

表 3-38防火墙-DMZ设置参数说明

DMZ设置
功能描述:配置DMZ设置。
参数名称 说明 缺省值
启用DMZ 点选启用DMZ 禁用
DMZ主机 设置DMZ主机地址
来源地址范围 输入来源地址范围
接口 可选择对指定接口做DMZ.;接口类型有CELLULAR/WAN/VPN Interface

3.4.7 MAC-IP绑定

  • 当防火墙基本配置中的默认处理策略设为禁止时,只有MAC-IP规定的主机才能访问外网。

单击导航树中"防火墙>>MAC-IP绑定"菜单,进入"MAC-IP绑定"界面即可进行配置。

表 3‑39防火墙—MAC-IP绑定设置参数说明

MAC-IP绑定(最多可设定20MAC-IP地址绑定
功能描述:配置MAC-IP参数。
参数名称 说明 缺省值
MAC地址 设置绑定的MAC地址 00:00:00:00:00:00
IP地址 设置绑定的IP地址 192.168.2.2
说明 便于记录每条MAC-IP绑定配置的意义

3.5 带宽管理

  • 某些应用在给用户带来方便的同时,也占用了大量的网络带宽。为了保证局域网内所有用户都能正常使用网络资源,可以通过IP流量限制功能对局域网内指定主机的流量进行限制。带宽管理支持为用户提供专用带宽,为不同业务提供不同的服务质量等,完善了网络的服务能力。用户可以根据业务需要保证不同业务的不同需求。
  • 带宽管理包括带宽设置和IP限速。

3.5.1 带宽设置

  • 通过带宽设置可限制访问外网的速度。

单击导航树中"带宽管理>>带宽设置"菜单,进入"带宽设置"界面即可进行配置。

表 3-40带宽设置参数说明

带宽设置
功能描述:配置带宽设置。
参数名称 说明 缺省值
启用 点选启用带宽设置功能 禁用
上行带宽控制:最大带宽 设置上行最大带宽 100000kbit/s
下行带宽空竹:最大带宽 设置下行最大带宽 100000kbit/s

3.5.2 IP限速

  • 通过配置IP限速以达到限制IP速度的目的。

点击导航树中"带宽管理>>IP限速"菜单,进入"IP限速"界面即可进行配置。

表 3‑41 IP限速参数说明

IP限速
功能描述:配置IP限速参数。
参数名称 说明 缺省值
启用 点选启用IP限速 禁用
下载总带宽 设置下载总带宽 1000kbit/s
上传总带宽 设置上传总带宽 1000kbit/s
流量控制接口 可选择CELLULAR/WAN CELLULAR
单点下载带宽
启用 点选启用单点下载带宽 启用
IP地址 设置需限速的IP地址
保证速率(kbit/s 设置速率 1000kbit/s
优先级 可选择最高//中等//最低 中等
说明 便于记录每条IP限速配置的意义

3.6 VPN设置

  • VPN是指依靠Internet服务提供商ISP和网络服务提供商NSP在公共网络中建立的虚拟私人专用通信网络。"虚拟"是一种逻辑上的网络。
    VPN具有以下两个基本特征:
  • 专用(Private): VPN资源不被网络中非该VPN的用户所使用;且VPN能够提供足够的安全保证,确保VPN内部信息不受外部侵扰。
  • 虚拟(Virtual):VPN用户内部的通信是通过公共网络进行的,而这个公共网络同时也可以被其他非VPN用户使用,VPN用户获得的只是一个逻辑意义上的专网。这个公共网络称为VPN骨干网(VPN Backbone)。

通过VPN将远程用户、公司分支机构、合作伙伴同公司总部网络建立可信的安全连接,实现数据的安全传输。如图3-2所示。

图 3-2 VPN数据传输拓扑图
图 3-2 VPN数据传输拓扑图

  • VPN的基本原理是利用隧道技术,把VPN报文封装在隧道中,利用VPN骨干网建立专用数据传输通道,实现报文的透明传输。隧道技术使用一种协议封装另外一种协议报文,而封装协议本身也可以被其他封装协议所封装或承载。对用户来说,隧道是其公共电话交换网PSTN/综合业务数字网ISDN链路的逻辑延伸,在使用上实际与物理链路相同。

  • VPN设置包括:IPSec基本参数、IPSec隧道配置、GRE隧道配置、L2TP客户端配置、PPTP客户端配置、OpenVPN配置、OpenVPN高级配置、证书管理。

3.6.1 IPSec基本参数

在Internet的传输中,绝大部分数据的内容都是明文传输的,存在很多潜在的危险,比如:密码、银行账户的信息被窃取、篡改,用户的身份被冒充,遭受网络恶意攻击等。网络中部署IPSec后,可对传输的数据进行保护处理,降低信息泄露的风险。

  • IPSec是IETF制定的一组开放的网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。减少泄漏和被窃听的风险,保证数据的完整性和机密性,保障了用户业务传输的安全。
  • IPSec包括认证头协议AH、封装安全荷载协议ESP、因特网密钥交换协议IKE,用于保护主机与主机之间、主机与网关之间、网关与网关之间的一个或多个数据流。其中,AH和ESP这两个安全协议用于提供安全服务,IKE协议用于密钥交换。
  • IPSec通过在IPSec对等体间建立双向按武安联盟,形成一个安全互通的IPSec隧道,来实现Internet上数据的安全传输。

单击导航树中"VPN设置>>IPSec基本参数"菜单,进入"IPSec基本参数"界面即可进行配置。

表 3‑42 IPSec基本参数参数说明

IPSec基本参数
功能描述: 1.选择是否启用NATT,一般情况下开启此项。除非确认网络中不存在NAT路由器。为了保持VPN隧道的联通,需适当设置NATT间隔时间。2.选择是否开启数据压缩和调试模式。
参数名称 说明 缺省值
启用NAT穿越(NATT 点选启用NAT穿越 启用
维持NAT穿越的间隔时间 设置维持NAT穿越的间隔时间 60
启用数据压缩 点选启用数据压缩 启用
强制NATT 点选启用强制NATT 禁用
动态NATT端口 点选启用动态NATT端口 禁用

3.6.2 IPSec隧道配置

单击导航树中"VPN设置>>IPSec隧道配置"菜单,进入"IPSec隧道配置"界面,点击<新增>按钮,即可进行配置。

表 3-43 IPSec隧道配置参数说明

IPSec隧道配置
功能描述:配置IPSec隧道
参数名称 说明 缺省值
显示高级选项 点选启用高级选项 禁用(开启后打开高级选项)
基本参数
隧道名称 用户自定义隧道名称 IPSec_tunnel_1
对端地址 设置对端IP地址或域名 0.0.0.0
启动方法 可选择:自动启动/流量激活/被动响应/手工启动 自动启动
链路失败时重启WAN 点选启用 启用
协商模式 可选择:主模式/野蛮模式 主模式
IPSec协议(高级选项) 可选择:ESP/AH ESP
IPSec模式(高级选项) 可选择:隧道模式/传输模式 隧道模式
VPN over IPSec(高级选项) 可选择:L2TP over IPSec/GRE over IPSec/None None
隧道类型 可选择:主机-主机/主机-子网/子网-主机/子网-子网 子网-子网
本地子网地址 设置本地子网IP地址 192.168.2.1
本地子网掩码 设置本地子网掩码 255.255.255.0
对端子网地址 设置对端子网IP地址 0.0.0.0
对端子网掩码 设置对端子网掩码 255.255.255.0
第一阶段参数
IKE策略 提供多种策略可供选择 3DES-MD5-DH2
IKE生命周期 设置IKE生命周期 86400
本地标识类型 可选择:IP地址/User FQDN/FQDN。根据选择的标识类型填入相应标识(UserFQDN应为标准邮箱格式) IP地址
对端标识类型 可选择:IP地址/User FQDN/FQDN IP地址
认证方式 可选择:共享密钥/数字证书 共享密钥
密钥 设置IPSec VPN 协商密钥
XAUTH参数(高级选项)
XAUTH模式 点选启用XAUTH模式 禁用
XATUTH用户名 用户自定义XAUTH用户名
XATUTH密码 用户自定义XATUTH密码
MODECFG 点选启用MODECFG 禁用
第二阶段参数
IPSec策略 提供多种策略可供选择 3DES-MD5-96
IPSec生命周期 设置IPSec生命周期 3600
完美向前加密(PFS)(高级选项) 可选择:禁用/Group 1/Group 2/Group 5 禁用(此项配置需与服务端匹配)
连接检测参数(高级选项)
连接检测(DPD)时间间隔 设置时间间隔 60
连接检测(DPD)超时时间 设置超时时间 180
ICMP探测服务器 设置ICMP探测服务器
ICMP探测本地地址 设置ICMP探测本地地址
ICMP探测间隔时间 设置ICMP探测间隔时间 60
ICMP探测超时时间 设置ICMP探测超时时间 5
ICMP探测最大重试次数 设置ICMP探测最大重试次数 10

3.6.3 GRE隧道配置

  • 通用路由封装(GRE)定义了在任意一种网络层协议上封装任意一个其他网络层协议的协议。
  • GRE可以作为VPN的三层隧道协议,为VPN数据提供透明传输通道。简单来说,GRE是一种隧道技术,提供了一条通路使封装的数据报文能够在这个通路上传输,在隧道的两段分别对数据报进行封装及解封装。GRE隧道应用组网如图3-3所示。

图 3-3 GRE应用组网拓扑图
图 3-3 GRE应用组网拓扑图

随着IPv4网络的广泛使用,为了使某些网络层协议的报文能够在IPv4网络中传输,可以将这些报文通过GRE技术进行封装,解决异种网络的传输问题。

  • 采用GRE隧道传输主要用在一下几种情况:

    • GRE隧道可以像真实的网络接口那样传递多播数据包,而单独使用IPSec,则无法对多播传输进行加密。
    • 采用的某种协议无法进行路由。
    • 需要用一个IP地址不同的网络将另外两个类似的网络连接起来。
  • GRE应用举例:与IPSec结合,保护组播数据。

  • GRE可以封装组播数据并在GRE隧道中传输,而IPSec目前只能对单播数据进行加密保护。对于组播数据需要在IPSec隧道中传输的情况,可以先建立GRE隧道,对组播数据进行GRE封装,再对封装后的报文进行IPSec加密,从而实现组播数据在IPSec隧道中的加密传输。如图3-4所示。

图 3-4 GRE应用拓扑图
图 3-4 GRE应用拓扑图

单击导航树中"VPN设置>>GRE隧道配置"菜单,进入"GRE隧道配置"界面即可进行配置。

表 3‑44 GRE隧道配置参数说明

GRE隧道配置
功能描述:配置GRE隧道。
参数名称 说明 缺省值
启用 点选启用GRE 启用
名称 用户自定义GRE隧道名称 tun0
本地虚拟IP 设置本地虚拟IP 0.0.0.0
对端地址 设置对端IP地址 0.0.0.0
对端虚拟IP 设置对端虚拟IP 0.0.0.0
对端子网地址 设置对端子网IP地址 0.0.0.0
对端子网掩码 设置对端子网掩码 255.255.255.0
密钥 设置GRE隧道密钥
NAT 点选启用NAT 禁用
说明 便于记录GRE隧道每条配置的意义

3.6.4 L2TP客户端配置

  • 二层隧道协议L2TP是虚拟私有拨号网VPDN隧道协议的一种,扩展了点到点协议PPP的应用,是远程拨号用户接入企业总部网络的一种重要VPN技术。
  • L2TP通过拨号网络(PSTN/ISDN),基于PPP的协商,建立企业分支用户到企业总部的隧道,使远程用户可以接入企业总部。PPPoE技术更是扩展了L2TP的应用范围,通过以太网络连接Internet,建立远程移动办公人员到企业总部的L2TP隧道。
  • L2TP二层隧道协议。
    • L2TP是将来自用户网络的私有数据从二层PPP头部开始进行封装,数据没有加密机制,可通过IPSec保证数据安全。
  • 主要用途:企业驻外机构和出差人员可从远程经由公共网络,通过虚拟隧道实现和企业总部之间的网络连接。

L2TP典型组网图,如图3-5下所示。

图 3-5 L2TP组网拓扑图
图 3-5 L2TP组网拓扑图

单击导航树中"VPN设置>>L2TP客户端配置"菜单,进入"L2TP客户端配置"界面,单击<新增>按钮即可进行配置。

表 3‑45 L2TP客户端配置参数说明

L2TP客户端配置
功能描述:配置L2TP客户端参数
参数名称 说明 缺省值
启用 点选启用L2TP客户端 禁用
隧道名称 用户自定义L2TP客户端隧道名称 L2TP_tunnel_1
L2TP服务器 设置L2TP服务器地址
用户名 设置服务器的用户名
密码 设置服务器的密码
服务器名称 设置服务器名称 l2tpserver
启动方法 可选择:自动启动/流量激活/手工启动/L2TPOverIPSec 自动启动
认证方法 可选择:CHAP/PAP CHAP
启用Challenge secrets 点选启用Challenge sevrets 禁用
Challenge secret(启用之后) 设置Challenge secret
本地IP地址 设置本地IP地址
远端IP地址 设置远端IP地址
远端子网 设置远端子网地址
远端子网掩码 设置远端子网掩码 255.255.255.0
连接检测时间间隔 设置检测时间间隔 60
连接检测最大失败次数 设置最大失败次数 5
启用NAT 点选启用NAT 禁用
MTU 设置最大传输单元 1500
MRU 设置最大接收单元 1500
启用调试模式 点选启用调试模式 禁用
专家选项(建议不填) 设置专家选项,建议不填

3.6.5 PPTP客户端配置

单击导航树中"VPN设置>>PPTP客户端配置"菜单,进入"PPTP客户端配置"界面,点击<新增>按钮即可进行配置。

表 3‑46 PPTP客户端配置参数说明

PPTP客户端配置
功能描述:配置PPTP客户端参数。
参数名称 说明 缺省值
启用 点选启用PPTP客户端 禁用
隧道名称 用户自定义隧道名称 PPTP_tunnel_1
PPTP服务器 设置PPTP服务器地址
用户名 设置PPTP服务器用户名
密码 设置PPTP服务器密码
启动方法 可选择:自动启动/流量激活/手工启动 自动启动
认证方式 可选择:Auto/CHAP/PAP/MS-CHAPv1/MS-CHAPv2 Auto
本地IP地址 设置本地IP地址
远端IP地址 设置远端IP地址
远端子网 设置远端子网地址
远端子网掩码 设置远端子网掩码 255.255.255.0
连接检测时间间隔 设置检测时间间隔 60
连接检测最大失败次数 设置连接检测最大失败次数 5
启用NAT 点选启用NAT 禁用
启用MPPE 点选启用MPPE 禁用
启用MPPC 点选启用MPPC 禁用
MTU 设置最大传输单元参数 1500
MRU 设置最大接收单元参数 1500
启用调试模式 点选启用调试模式 禁用
专家选项(建议不填) 设置专家选项,建议不填

3.6.6 OpenVPN配置

  • 允许参与建立VPN的单点使用预设的私钥,第三方证书,或者用户名/密码来进行身份验证。它大量使用了OpenSSL加密库,以及SSLv3/TLSv1协议。
  • 在OpenVPN中,如果用户访问一个远程的虚拟地址(属于虚拟网卡配用的地址系列,区别于真实地址),则操作系统会通过路由机制将数据包(TUN模式)或数据帧(TAP模式)发送到虚拟网卡上,服务程序接收该数据并进行相应的处理后,通过SOCKET从外网上发送出去,远程服务程序通过SOCKET从外网上接收数据,并进行相应处理后,发送给虚拟网卡,则应用软件可以接收到,完成了一个单向传输的过程,反之亦然。

单击导航树中"VPN设置>>OpenVPN配置"菜单,进入"OpenVPN配置"界面,点击 <新增>按钮即可进行配置。

表 3‑47 OpenVPN配置参数说明

OpenVPN配置
功能描述:配置OpenVPN参数。
参数名称 说明 缺省值
隧道名称 OpenVPN隧道名称,系统不可更改 OpenVPN_T_1
启用 点选启用 启用
工作模式 可选择:客户端/服务器 客户端
协议 可选择:UDP/TCP UDP
端口号 设置端口号 1194
OPENVPEN服务器 设置OPENVPN服务器地址
认证方式 可选择:无、预共享密钥、用户名/密码、数字证书(多客户端)、数字证书、用户名+数字证书
本地IP地址 设置本地IP地址
远端IP地址 设置远端IP地址
远端子网 设置远端子网地址
远端子网掩码 设置远端子网掩码 255.255.255.0
连接检测时间间隔 设置检测时间间隔 60
连接检测超时时间 设置连接检测超时时间 300
启用NAT 点选启用NAT 启用
启用LZO压缩 点选启用LZO压缩 启用
加密算法 可选择: Blowfish(128)
Blowfish(128)/DES(128)/3DES(192)/AES(128)/AES(192)/AES(256)
MTU 设置最大传输单元参数 1500
最大分包大小 设置最大分包大小
调试等级 可选择:错误/警告/信息/调试 警告
接口类型 可选择:TUN/TAP TUN
专家选项(建议不填) 配置专家选项,建议不填

3.6.7 OpenVPN高级配置

单击导航树中"VPN设置>>OpenVPN高级配置"菜单,进入"OpenVPN高级配置"界面即可进行配置。

表 3‑48 OpenVPN高级配置参数说明

OpenVPN高级配置
功能描述:配置OpenVPN高级配置参数
参数名称 说明 缺省值
启用客户端互访功能 点选启用 禁用
(限服务器模式)
客户端管理
启用 点选启用客户端管理 启用
隧道名称 设置隧道名称 OpenVPN_T_1
用户名/证书名 设置客户端用户名/证书名
密码 设置客户端密码
客户端IPIP4位为4n+1 设置客户端IP地址
本地静态路由 设置本地静态路由
远端静态路由 设置远端静态路由

3.6.8 证书管理

单击导航树中"VPN设置>>证书"菜单,进入"证书管理"界面即可进行配置。

表 3-49证书管理参数说明

证书管理
功能描述:配置证书管理参数。
参数名称 说明 缺省值
启用简单证书申请协议 点选启用 禁用
证书保护密钥 设置证书保护密钥
证书保护密钥确认 进行证书保护密钥确认
启用简单证书申请协议后配置
强制重新申请 点选启用强制重新申请 禁用
请求状态 系统为“正准备重新发起申请”,不可更改 正准备重新发起申请
服务器URL 设置服务器网址
证书名 设置证书名称
FQDN 设置全称域名
单位名1 设置单位名
单位名2 设置单位名
域名 设置域名
序列号 输入序列号
认证密码 输入认证密码
认证密码确认 确认认证密码
证书保护密钥 设置证书保护密钥
证书保护密钥确认 确认证书保护密钥
主机地址 设置主机地址
RSA密钥长度 设置RSA密钥长度 1024
查询时间间隔 设置查询时间间隔 60
查询超时时间 设置查询超时时间 3600
导入导出的证书类型
导入根(CA)证书 手动上传本地根(CA)证书到设备
导出根(CA)证书 手动下载设备根(CA)证书到本地
导入证书回收列表(CRL 手动上传本地证书回收列表(CRL)到设备
导出证书回收列表(CRL 手动下载设备证书回收列表(CRL)到本地
导入公钥证书 手动上传本地公钥到设备
导出公钥证书 手动下载设备公钥到本地
导入私钥证书 手动上传本地私钥到设备
导出私钥证书 手动下载设备私钥到本地
导入公共密钥加密标准(PKCS12 手动上传公共密钥加密标准(PKCS12)到设备
导出公共密钥加密标准(PKCS12 手动下载公共密钥加密标准(PKCS12)到本地

说明
使用证书时,确保路由器时间和实际时间同步。

3.7 工具

  • 工具包括PING探测、路由探测、网速测试。

3.7.1 PING探测

单击导航树中"工具>>PING探测"菜单,进入"PING探测"界面即可进行配置。

3.7.2 路由探测

单击导航树中"工具>>路由探测"菜单,进入"路由探测"界面即可进行配置。

表 3-51 路由探测参数说明

路由探测
功能描述:用于检测网络的路由故障
参数名称 说明 缺省值
主机 需要探测的目的主机地址
最大跳数 设置路由探测的最大跳数 20
超时时间 设置路由探测的超时时间 3
协议 可选择:ICMP/UDP UDP
专家选项 可使用路由探测的高级参数

3.7.3 网速测试

单击导航树中"工具>>网速测试"菜单,进入"网速测试"界面即可进行配置。

3.8 状态

  • 状态包括系统状态、Modem状态、流量状态、告警状态、WLAN状态、网络连接、路由状态、设备列表、系统日志共9项状态显示。

3.8.1 系统状态

  • 本页显示的是系统状态,包括:名称、型号、序列号、说明、当前版本、当前Bootloder版本、路由器时间、主机时间(点选同步时间可使路由器时间与主机时间同步)、启动时间、CPU负载以及内存状态等基本信息。

单击"状态>>系统状态"菜单,进入"系统状态"界面进行配置即可。

3.8.2 Modem状态

  • 本页显示的是拨号端口的基本信息,包括:状态、信号级别、RSSI、注册状态、IMEI(ESN)号码、IMSI号码、网络类型、PLMN码、位置区码、小区ID信息。

单击"状态>>Modem状态"菜单,进入"Modem状态"界面进行配置即可。

3.8.3 流量状态

  • 本页显示拨号端口的流量使用情况,包括:最近一月接收流量、最近一月发送流量、最近一天接收流量、最近一天发送流量、最近一小时接收流量、最近一小时发送流量。

单击"状态>>流量状态"菜单,进入"流量状态"界面可查询流量使用情况。

3.8.4 告警状态

  • 告警状态分为:
    • 存在(Raise):表示告警发生还没有被确认
    • 确认(Confirm):表示发生的告警用户暂时不能解决
    • 全部(All):表示发生的全部告警
  • 告警等级可分为:
    • EMERG:设备发生了某种严重的错误可能导致系统重启
    • CRIT:设备发生了某种不可恢复的错误
    • WARN:设备发生了某种影响系统功能的错误
    • NOTICE:设备发生了某种影响系统性能的错误
    • INFO:设备发生了某种正常的事件

单击"状态>>告警状态"菜单,进"告警状态"界面可查看上电以来系统产生的所有告警。并对其进行清除或确认。

3.8.5 WLAN状态

  • 本页面显示WLAN状态连接信息,包括:信道、SSID、BSSID、安全、信号(%)、模式、状态的显示。

单击"状态>>WLAN状态"菜单,进入"WLAN状态"界面可查询WLAN连接状态。

3.8.6 网络连接

本页显示的是拨号端口以及LAN端口的基本信息。

  • WAN端口包括:MAC地址、连接类型、IP地址、子网掩码、网关、DNS、MTU、状态以及连接时间信息。
  • 拨号端口包括:连接类型、IP地址、子网掩码、网关、DNS、MTU、状态以及连接时间信息。
  • LAN端口包括:连接类型、MAC地址、IP地址、子网掩码、网关、MTU以及DNS信息。

单击"状态>>网络连接"菜单,进入"网络连接"界面可查询网络连接状态。

3.8.7 路由状态

  • 本页显示活动路由表,包括目的网络、子网掩码、网关、跳数以及接口信息。

单击"状态>>路由状态"菜单,进入"路由状态"界面可查询路由状态。

3.8.8 设备列表

  • 本页显示设备列表,包括接口、MAC地址、IP地址、主机以及有效期(点选MAC地址超链接到IEEE查询地址合法性)信息。

单击"状态>>设备列表"菜单,进入"设备列表"界面可查询设备列表。

3.8.9 系统日志

  • 本页显示系统日志,包括选择查看日志行数(可选20/50/…/全部)、日志信息的级别(分为信息、调试、警告)、时间、模块、内容。可以选择清除日志、下载日志文件、下载系统诊断记录(本页刷新率可选择5/10/…。默认为1min)

单击"状态>>系统日志"菜单,进入"系统日志"界面可查看系统日志。