AolynkWB521XWB511X室外型无线网桥用户手册.doc

Aolynk WB521X WB511X 室外型无线网桥 用户手册目 录1 您想了解什么？ 1-12 产品概述 2-12.1 产品简介 2-12.2 产品特点 2-12.2.1 强大的功能特性 2-12.2.2 友好的用户界面 2-22.2.3 丰富的统计诊断功能和管理方式 2-23 登录Web设置页面 3-13.1 建立网络连接 3-13.1.1 客户端计算机要求 3-13.1.2 设置客户端计算机的IP地址 3-13.1.3 确认管理计算机和设备之间的网络是否连通 3-23.1.4 取消代理服务器 3-23.2 登录设备Web设置页面 3-33.3 Web设置页面介绍 3-43.4 常用页面控件介绍 3-43.5 页面列表操作介绍 3-53.6 Web用户超时处理 3-63.7 退出Web设置页面 3-64 接口设置 4-14.1 设置WAN 4-14.2 设置LAN 4-54.2.1 修改LAN口的IP地址 4-64.2.2 设置LAN口MAC地址克隆 4-64.3 设置DHCP 4-74.3.1 DHCP简介 4-74.3.2 DHCP的IP地址分配 4-74.3.3 设置DHCP服务器 4-84.3.4 设置DHCP静态表 4-94.3.5 显示和维护DHCP客户列表 4-105 安全专区 5-15.1 设置ARP安全 5-15.1.1 ARP简介 5-15.1.2 设置ARP绑定 5-35.1.3 设置发送免费ARP 5-45.2 设置网站过滤 5-65.3 设置防火墙 5-75.3.1 设置出站通信策略 5-85.3.2 设置入站通信策略 5-105.4 设置防攻击 5-115.4.1 IDS防范的作用 5-115.4.2 设置IDS防范 5-126 高级设置 6-16.1 地址转换 6-16.1.1 设置NAT 6-16.1.2 设置虚拟服务器 6-26.2 DDNS应用服务 6-47 设备管理 7-17.1 基本管理 7-17.1.1 配置管理 7-17.1.2 设置系统时间 7-27.1.3 软件升级 7-37.1.4 重新启动设备 7-37.2 用户管理 7-37.2.1 登录管理 7-37.2.2 密码管理 7-47.3 远程管理 7-48 系统监控 8-18.1 查看运行信息 8-18.1.1 查看基本信息 8-18.1.2 查看运行状态 8-38.1.3 技术支持信息 8-38.2 查看和管理日志信息 8-48.2.1 查看日志信息 8-48.2.2 管理日志信息 8-48.3 网络维护 8-68.3.1 网络诊断 8-68.3.2 系统自检 8-78.3.3 导出故障定位信息 8-79 典型组网配置举例 9-19.1 典型配置举例（路由模式） 9-19.1.1 组网需求 9-19.1.2 配置步骤 9-19.2 典型配置举例（桥接模式） 9-49.2.1 组网需求 9-49.2.2 配置步骤 9-510 附录 - 命令行设置 10-110.1 命令行在线帮助 10-110.2 命令行操作 10-210.2.1 查看设备LAN口的IP地址 10-210.2.2 恢复设备到出厂设置 10-210.2.3 重新启动设备 10-210.2.4 显示设备系统资源使用情况 10-210.2.5 显示设备硬件信息 10-310.2.6 显示设备软件/硬件版本信息 10-310.2.7 显示局域网内允许访问设备的用户IP地址信息 10-310.2.8 恢复局域网内允许所有用户访问设备 10-310.2.9 网络连通性测试 10-311 附录 - 故障排除 11-112 附录 - 缺省设置 12-113 附录 - 术语表 13-11 您想了解什么？如果您想您可以查看了解产品的作用及相关特点“产品概述”通过Web来管理设备，同时想进一步熟悉其设置页面“登录Web设置页面” 通过Web页面来设置设备上行无线连接到因特网、LAN口相关功能、DHCP功能“接口设置”通过Web设置页面来实现设备及网络环境的安全，比如：ARP安全、接入控制、防火墙、防攻击等“安全专区”通过Web设置页面来实现设备的高级业务功能，比如：NAT、虚拟服务器等“高级设置”通过Web设置页面对设备进行维护管理，比如：软件升级、用户管理、远程管理等“设备管理”通过Web设置页面对设备当前的设置状态进行查询或对系统运行情况进行监控等“系统监控”通过具体的配置举例来进一步了解设备的应用场景及相关配置“典型组网配置举例”通过命令行来简单地维护设备“附录 - 命令行设置”定位或排除使用设备过程中遇到的问题“附录 - 故障排除”获取设备重要的缺省出厂配置信息“附录 - 缺省设置”2 产品概述 本手册适用于WB521X/WB511X两款设备，本文以WB521X为例进行介绍，所涉及的Web设置页面仅供参考，请以实际为准。 此外，手册中所描述的功能特性规格可能随产品的升级而发生改变，恕不另行通知。详情您可以向H3C公司市场人员或技术支援人员咨询获取。 本手册以介绍Web设置为主，命令行设置请参见“10 附录 - 命令行设置”。本章节主要包含以下内容： 产品简介 产品特点2.1 产品简介Aolynk WB521X/WB511X室外型无线网桥是杭州华三通信技术有限公司开发的配合WLAN无线宏基站接入的终端产品。WB521X/WB511X利用WiFi链路接入运营商的WLAN基站，不依赖于有线线路资源完成Internet接入。WB521X上行采用2.4G接入方案，遵循802.11 b/g/n协议，支持MIMO技术，能提供高达300Mbps的无线接入速率。WB521X支持500mW的发射功率，内置定向天线，可满足运营商WLAN广覆盖长距离接入场景的应用，是运营商WLAN宽带覆盖方案的理想选择。WB521X和WB511X软件功能相同，主要区别在于WB521X能提供高达300Mbps的无线接入速率， WB511X能提供高达150Mbps的无线接入速率。2.2 产品特点本节主要包含以下内容： 强大的功能特性 友好的用户界面 丰富的统计诊断功能和管理方式2.2.1 强大的功能特性 300M接入速率 内置MIMO定向天线 遵循802.11n协议，完全向下兼容802.11b/g，采用专业模块化设计； 支持MIMO技术，单射频能提供高达300Mbps，是相同环境下802.11b/g产品的6倍； 内置9dBi高增益定向天线，一体化设计无需外置定向天线。 支持多种接入方式 支持Portal和PPPoE的认证方式，完全适用于当前主流运营商的接入认证系统。 支持路由和桥接两种接入模式，运营商可以根据自己业务开展的类型灵活的选择工作模式。 支持集中管理，批量配置 支持通过无线控制器（AC），对指定的CPE或所有CPE的远程管理功能，在大规模应用中极大的简化了管理维护工作量。 支持通过无线控制器（AC）的批量配置，可以集中更改某一台或所有CPE的配置参数。 支持通过无线控制器（AC）的软件批量升级功能，可以对指定的某台CPE或所有的CPE进行操作。2.2.2 友好的用户界面 提供非常简便的Web设置页面，配置直观、易操作、使用复杂度低。 每个Web设置页面均提供详细的联机帮助，供您查阅。2.2.3 丰富的统计诊断功能和管理方式 提供了丰富的统计信息和状态信息显示功能，使您对设备当前的运行状态一目了然。 支持通过本地和远程Web方式对设备进行详细的配置和管理。 支持通过Telnet方式对设备进行简单的命令行管理。3 登录Web设置页面本章节主要包含以下内容： 建立网络连接 登录设备Web设置页面 Web设置页面介绍 常用页面控件介绍 页面列表操作介绍 Web用户超时处理 退出Web设置页面3.1 建立网络连接本节主要包含以下内容： 客户端计算机要求 设置客户端计算机的IP地址 确认管理计算机和设备之间的网络是否连通 取消代理服务器完成硬件安装后，在登录设备的Web设置页面前，您需要确保管理计算机和网络满足一些基本要求。以下描述均在WB521X缺省配置的基础上进行。3.1.1 客户端计算机要求 确认计算机已安装并启用了以太网网卡。 确认计算机已和WB521X的LAN口相连。3.1.2 设置客户端计算机的IP地址建议您手工为客户端计算机设置静态IP地址。手工设置静态IP地址时，需要将计算机的IP地址与WB521X的IP地址设置在同一子网中（WB521X缺省IP地址为：00，子网掩码为），即输入IP地址（在54中选择除00之外的任意值）、子网掩码（）及默认网关。3.1.3 确认管理计算机和设备之间的网络是否连通操作步骤如下：单击屏幕左下角按钮进入开始菜单，选择“运行”，弹出“运行”对话框输入“ping 00（设备的IP地址，此处是缺省IP地址）”，单击按钮。如果在弹出的对话框中显示了从设备侧返回的回应，则表示网络连通；否则请检查网络连接3.1.4 取消代理服务器如果当前管理计算机使用代理服务器访问因特网，则必须取消代理服务，操作步骤如下：在浏览器窗口中，选择工具/Internet 选项进入“Internet 选项”窗口选择“连接”页签，并单击按钮，进入“局域网（LAN）设置”页面。请确认未选中“为LAN使用代理服务器”选项；若已选中，请取消并单击按钮3.2 登录设备Web设置页面运行Web浏览器，在地址栏中输入“00”，回车后跳转到Web登录页面，如图3-1所示。输入用户名、密码（缺省均为admin，区分大小写）以及验证码（不区分大小写），单击按钮或直接回车即可进入Web设置页面。图3-1 登录设备Web设置页面 同一时间，设备最多允许五个用户通过Web设置页面进行管理。当对设备进行多用户管理时，建议不要同时对其进行配置操作，否则可能会导致数据配置不一致。 为了安全起见，建议您首次登录后修改缺省的登录密码，并保管好密码信息。如果忘记密码，请先拆掉Reset按键上的螺丝，然后按住WB521X面板上的复位（Reset）按钮约5秒钟以上，设备开始重启，重启后即可恢复WB521X的缺省设置。连接到Web页面后就可以输入以上缺省的用户名和密码。 验证码功能会使您的系统安全性更高。如果您想在登录设备Web设置页面时不需要输入验证码，可以通过登录管理页面来设置其状态。 本小节仅介绍如何本地登录设备的Web设置页面。如果您想实现远程登录设备进行管理，需要先本地登录设备，并开启其远程管理功能，相关的介绍请参见“7.3 远程管理”。3.3 Web设置页面介绍图3-2 Web设置页面示意图3.4 常用页面控件介绍以下控件是Web设置页面中经常出现的，有关它们的用途请参见下表。表3-1 常见页面控件说明页面控件描述文本框，用于输入文本单选按钮，用于从多个选项中选择一项复选框，用于开启（选中）和关闭（未选中）该功能或服务下拉列表框，用于选择相应的列表项当您完成了某页面设置项的操作后，必须单击该页面上的按钮，设置才能生效如果页面中出现类似的蓝色字体项，您可以通过单击它来跳转到相应的页面进行设置修改单击按钮，您可以手动对设置页面的数据进行更新；在“自动刷新”列表框中选择刷新频率后，页面的数据会自动根据该刷新频率进行更新3.5 页面列表操作介绍设备的Web设置页面中经常会出现类似图3-3的页面，此处对其操作进行统一的介绍，以下不再赘述。图3-3 页面列表举例表3-2 页面列表操作介绍界面项描述您可通过设置关键字，单击按钮来查看符合条件的列表项单击按钮，您可查看所有的列表项单击按钮，您可选中所有的列表项对其进行批量操作您也可以通过单击各列表项的方式来选中指定表项进行批量操作单击按钮，您可在弹出的对话框中添加一个新的表项。添加完成后，您可以通过该页面中的查询功能来确认刚添加的表项是否已存在选中指定的列表项，单击按钮，您可将该列表项删除单击按钮，您可在弹出的对话框中添加待导入的表项。添加完成后，您可以通过该页面中的查询功能来确认刚添加的表项是否已存在单击按钮，您可将相关的表项导出单击该图标，您可在弹出的对话框中对该列表项进行修改双击某列表项，同样也可在弹出的对话框中对该列表项进行修改当列表中的标题栏出现箭头时，表示您可以根据对应的标题项进行排序操作。您可以通过单击标题项来切换升序和降序方式“”表示降序，“”表示升序3.6 Web用户超时处理当您长时间没有操作Web设置页面时，系统超时并将注销本次登录，返回到Web设置登录页面（如图3-1所示）。Web用户登录的超时时间缺省为5分钟。如果您想修改此超时时间，相关操作请参见“7.2.1 登录管理”。3.7 退出Web设置页面单击导航栏中的，确认后即可退出Web设置页面。4 接口设置本章节主要包含以下内容： 设置WAN 设置LAN 设置DHCP4.1 设置WAN设备支持桥接、静态地址、动态地址、PPPoE四种接入方式。具体选择何种方式请咨询当地运营商。 桥接：运营商相关配置在用户PC上完成，用户上网的时候，要输入用户名和密码进行认证。 静态地址：手动为WAN口（无线空口，设备上不可见）设置IP地址和子网掩码，该IP地址由运营商来提供，由于IP地址紧缺，独自占用IP地址，费用很贵，该方式目前应用较少。 动态地址：设置WAN口作为DHCP客户端，使用DHCP方式获取IP地址。 PPPoE：设置WAN口作为PPPoE客户端，使用PPPoE用户名和密码拨号连接获取IP地址，家庭用户通常使用这种方式。桥接和其它三种接入方式（也称为路由模式）的主要区别如下： 在桥接模式下，运营商相关配置在用户PC上完成，用户上网的时候，要输入用户名和密码进行认证。 在路由模式下，运营商相关配置在WB521X的WAN口上进行，只要WB521X认证通过了，用户不再需要输入用户名和密码进行认证即可上网。页面向导：接口设置WAN设置连接到因特网本页面为您提供如下主要功能：无线拨号方式有四种，用户可以根据实际需要来进行选择。 通过桥接连接到因特网 通过静态地址连接到因特网 通过动态地址连接到因特网 通过PPPoE连接到因特网设置无线网络WB521X接入上行网络时，如果上行网络设置了无线加密，则WB521X也必须设置与上行网络同样的认证方式才能保证设备的正常接入。认证方式有三种，用户可以根据实际需求来进行选择 无认证 WEP认证 WPA-PSK/WPA2-PSK认证 扫描无线网络 （单击无线网络名称后面的按钮，在弹出的页面中单击按钮刷新无线网络） 点击按钮，关闭该页面页面中关键项的含义如下表所示。表4-1 页面关键项描述页面关键项描述无线拨号方式选择接入到无线网络后所使用的拨号方式，可选择桥接、静态地址、动态地址和PPPoE方式缺省情况下，无线拨号方式为动态地址MTU设置设备WAN口允许通过的最大传输单元，单位为字节。建议您使用缺省值主机名称设置在设备使用DHCP方式获取IP地址时，DHCP服务器侧显示的设备主机名主DNS服务器设置设备主域名服务器的地址，用于将便于记忆的、有意义的域名解析为正确的IP地址。由运营商提供辅DNS服务器设置设备辅域名服务器的地址，用于当主域名服务器失效时，可以由它来完成解析。由运营商提供IP地址设置设备WAN口的IP地址。由运营商提供子网掩码设置设备WAN口的IP地址子网掩码。由运营商提供缺省网关设置设备WAN口的缺省网关地址。由运营商提供PPPoE用户名设置PPPoE拨号上网时，身份验证使用的用户名。由运营商提供PPPoE密码设置PPPoE拨号上网时，身份验证使用的密码。由运营商提供服务器名设置PPPoE服务器的名称。由运营商提供服务名设置PPPoE服务器的服务名称。由运营商提供自动进行Portal认证开启/关闭自动进行Portal认证功能。开启该功能后，设备连接成功后会使用用户预配置的用户名和密码自动进行Portal认证，从而接入因特网缺省情况下，关闭自动进行Portal认证功能当无线拨号方式选择“桥接”时，不能设置Portal 认证Portal用户名Portal帐号的用户名，由运营商提供Portal密码Portal帐号的密码，由运营商提供无线网络名称用户接入上行无线网络的网络名称基站BSSID选择连接无线网络基站BSSID的方式 自动选择：用户只需要输入无线网络名称，由设备自动选择信号最好的无线基站发起连接； 手工指定：用户需要同时输入无线网络名称和基站BSSID的地址，设备仅向该无线基站发起连接；缺省情况下，由设备自动选择基站BSSIDBSSID基站BSSID的地址，通常为无线基站的MAC地址RTS阈值如果传输的数据帧的长度超过RTS阈值，将采用RTS机制发送。缺省情况下，RTS阈值为64发射功率无线发射功率调节缺省情况下，无线发射功率设置为27dB并发性能优化在多个CPE共存的环境下，无线网络的传输性能会受到影响，启用并发性能优化后，可以有效提升无线网络的性能。缺省情况下，并发性能优化功能开启上行流量限制无线上行流量限制开关。缺省情况下，上行流量限制功能禁用上行流量上限设置无线上行流量的上限值。缺省情况下，上行流量上限设置为512Kbps下行流量限制无线下行流量限制开关。缺省情况下，下行流量限制功能禁用下行流量上限设置无线下行流量的上限值。缺省情况下，下行流量上限设置为2048Kbps无线认证方式接入上行无线网络所需要的认证方式，可选择无认证、WEP或WPA-PSK/WPA2-PSK认证方式。缺省情况下，选择无认证方式无认证接入上行无线网络不需要任何密码WEP认证接入上行设置了WEP加密方式的无线网络 传输密钥：选择上行无线网络中使用的加密密钥，下拉框中的14代表使用的密钥索引，例如，选中“1”表示“密钥1”，同一个SSID无线网络中的所有设备都必须使用相同的加密密钥，由网络管理员提供 密钥长度：选择加密算法，由网络管理员提供 密钥类型：选择输入16进制数字或ASCII字符，由网络管理员提供 密钥：输入WEP密钥，由网络管理员提供WPA-PSK/WPA2-PSK认证接入上行设置了WPA-PSK、WPA2-PSK或WPA-PSK/WPA2-PSK加密方式的无线网络共享密钥：输入WPA-PSK/WPA2-PSK共享密钥，由网络管理员提供除了通过手工配置无线网络参数外，用户还可以通过扫描功能扫描当前环境中存在哪些无线网络，在扫描到的无线网络列表中选择一个无线网络进行连接强制绑定所选基站的BSSID选中该项后，设备仅向无线网络中选定的基站进行连接如果不勾选该选项，则默认选择相同网络名称中信号质量最好的4.2 设置LAN本节主要包含以下内容： 修改LAN口的IP地址 设置LAN口MAC地址克隆4.2.1 修改LAN口的IP地址当您修改了设备LAN口的IP地址后，您需要在浏览器中输入新的IP地址重新登录，才能对设备继续进行配置和管理。比如：某企业事先已经将整个IP地址段均已规划好，因此，您需要根据已规划好的IP地址来修改设备LAN口的IP地址，以适应实际环境。页面向导：接口设置LAN设置局域网设置本页面为您提供如下主要功能：修改LAN口的IP地址（缺省情况下，设备LAN口的IP地址为00，子网掩码为）修改LAN口 IP地址后，其他页面中和IP地址相关的配置可能需要相应修改（如包含IP/MAC的ARP绑定表中的IP地址），保持和LAN口IP在同一网段。4.2.2 设置LAN口MAC地址克隆设备出厂时，LAN口均有一个缺省的MAC地址，一般情况下，无需改变。但是，比如：某企业之前为了防止ARP攻击，给局域网内的主机均设置了网关的静态ARP表项。此时，如果企业想升级设备，将原来的网关换成本设备（网关地址保持不变），局域网内的主机则无法学习到设备的MAC地址。因此，您需要逐个修改局域网内主机的静态ARP表项，才可使局域网内的主机恢复正常上网，这样维护效率会很低。设备的LAN口MAC克隆功能可以使您免除这样的重复劳动，只需将设备的LAN口MAC地址设为原来网关的MAC地址，局域网内的主机即可正常上网了。页面向导：接口设置LAN设置局域网设置本页面为您提供如下主要功能：设置LAN口MAC地址克隆页面中关键项的含义如下表所示。表4-2 页面关键项描述页面关键项描述使用设备MAC选中该项，使用设备LAN口出厂时的MAC地址手工输入MAC选中该项，输入原网关的MAC地址4.3 设置DHCP本节主要包含以下内容： DHCP简介 DHCP的IP地址分配 设置DHCP服务器 设置DHCP静态表 显示和维护DHCP客户列表4.3.1 DHCP简介DHCP采用“客户端/服务器”通信模式，由客户端向服务器提出配置申请，服务器返回为客户端分配的IP地址等配置信息，以实现网络资源的动态配置。在DHCP的典型应用中，一般包含一台DHCP服务器和多台DHCP客户端（比如：PC和便携机），如图4-1所示。图4-1 DHCP典型应用4.3.2 DHCP的IP地址分配1. IP地址分配策略设备作为DHCP服务器，提供两种IP地址分配策略： 手工分配地址：由管理员为特定客户端静态绑定IP地址。通过DHCP将配置的固定IP地址分配给客户端。 动态分配地址：DHCP为客户端分配具有一定有效期限的IP地址，当使用期限到期后，客户端需要重新申请地址。2. IP地址分配机制(1) 设备接收到DHCP客户端申请IP地址的请求时，首先查找静态ARP表，如果这台DHCP客户端的MAC地址在静态ARP表中，则把对应的IP地址分配给该DHCP客户端。(2) 如果申请IP地址的DHCP客户端MAC地址不在静态ARP表中，设备将查找手工设置的DHCP静态表，如果这台DHCP客户端的MAC地址在DHCP静态表中，则把对应的IP地址分配给该DHCP客户端。(3) 如果申请IP地址的DHCP客户端MAC地址不在DHCP静态表中，或者DHCP客户端申请的IP地址与LAN口的IP地址不在同一网段，设备会从地址池中选择一个在局域网中未被使用的IP地址分配给该主机。(4) 如果地址池中没有任何可分配的IP地址，则主机获取不到IP地址。如果主机离线（比如：主机关机了），设备不会马上把之前分给它的IP地址分配出去，只有在地址池中没有其他可分配的IP地址，且该离线主机IP地址的租约过期时，才会分配出去。4.3.3 设置DHCP服务器页面向导：接口设置DHCP设置DHCP设置本页面为您提供如下主要功能：DHCP服务器设置页面中关键项的含义如下表所示。表4-3 页面关键项描述页面关键项描述启用DHCP服务器缺省情况下，DHCP服务器功能处于开启状态当无线拨号方式选择“桥接”时，DHCP服务器自动关闭；再切换回非“桥接”模式时，需要手动开启DHCP服务器地址池起始地址DHCP服务器地址池的起始地址地址池结束地址DHCP服务器地址池的结束地址，且地址池结束地址要大于起始地址地址租约设置DHCP服务器分配给客户端IP地址的租借期限。当租借期满后，DHCP服务器会收回该IP地址，客户端必须重新申请（客户端一般会自动申请）缺省情况下，地址租约为1440分钟客户端域名设置DHCP服务器分配给客户端使用的域名地址后缀主DNS服务器设置DHCP服务器分配IP地址时所携带的主DNS服务器地址缺省情况下，DNS服务器地址为网关地址辅DNS服务器设置DHCP服务器分配IP地址时所携带的辅DNS服务器地址缺省情况下，DNS服务器地址为网关地址4.3.4 设置DHCP静态表如果您想让设备给某些特定的客户端分配固定的IP地址，可以事先通过DHCP静态表将客户端的MAC地址和IP地址进行绑定，使其成为一对一的分配关系。页面向导：接口设置DHCP设置DHCP静态表本页面为您提供如下主要功能：显示和修改已添加的DHCP静态表项（主页面）单个添加DHCP静态表项（单击主页面上的按钮，在弹出的对话框中设置相应的参数，并单击按钮完成操作）批量添加DHCP静态表项（您可以先在本地编辑一个.cfg文件，内容格式为“MAC地址 IP地址 描述”（比如：00:0A:EB:7F:AA:AB zhangshan），且每条静态表项之间需换行。单击主页面上的按钮，在弹出的对话框中选择该文件将其导入即可）将设备当前的DHCP静态表项备份保存（.cfg文件），且您可用“记事本”程序打开该文件进行编辑（单击主页面上的按钮，确认后即可将其导出到本地）4.3.5 显示和维护DHCP客户列表页面向导：接口设置DHCP设置DHCP客户列表本页面为您提供如下主要功能： 显示已分配的DHCP客户列表信息 释放并回收指定客户端的IP地址，使该IP地址可以重新被分配（选择指定的客户项，比如：已关机客户PC，单击按钮即可）5 安全专区本章节主要包含以下内容： 设置ARP安全 设置网站过滤 设置防火墙 设置防攻击5.1 设置ARP安全本节主要包含以下内容： ARP简介 设置ARP绑定 设置发送免费ARP5.1.1 ARP简介1. ARP作用ARP是将IP地址解析为以太网MAC地址（或称物理地址）的协议。在局域网中，当主机或其他网络设备有数据要发送给另一个主机或设备时，它必须知道对方的网络层地址（即IP地址）。但是仅仅有IP地址是不够的，因为IP数据报文必须封装成帧才能通过物理网络发送。因此发送方还必须有接收方的物理地址，需要一个从IP地址到物理地址的映射。ARP就是实现这个功能的协议。2. ARP报文结构图5-1 ARP报文结构 硬件类型：表示硬件地址的类型。它的值为1表示以太网地址。 协议类型：表示要映射的协议地址类型。它的值为0x0800即表示IP地址。 硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度，以字节为单位。对于以太网上IP地址的ARP请求或应答来说，它们的值分别为6和4。 操作类型（OP）：1表示ARP请求，2表示ARP应答。 发送端MAC地址：发送方设备的硬件地址。 发送端IP地址：发送方设备的IP地址。 目标MAC地址：接收方设备的硬件地址。 目标IP地址：接收方设备的IP地址。3. ARP地址解析过程假设主机A和B在同一个网段，主机A要向主机B发送信息。如图5-2所示，具体的地址解析过程如下：(1) 主机A首先查看自己的ARP表，确定其中是否包含有主机B对应的ARP表项。如果找到了对应的MAC地址，则主机A直接利用ARP表中的MAC地址，对IP数据包进行帧封装，并将数据包发送给主机B。(2) 如果主机A在ARP表中找不到对应的MAC地址，则将缓存该数据报文，然后以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址，目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。由于ARP请求报文以广播方式发送，该网段上的所有主机都可以接收到该请求，但只有被请求的主机（即主机B）会对该请求进行处理。(3) 主机B比较自己的IP地址和ARP请求报文中的目标IP地址，当两者相同时进行如下处理：将ARP请求报文中的发送端（即主机A）的IP地址和MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文给主机A，其中包含了自己的MAC地址。(4) 主机A收到ARP响应报文后，将主机B的MAC地址加入到自己的ARP表中以用于后续报文的转发，同时将IP数据包进行封装后发送出去。图5-2 ARP地址解析过程当主机A和主机B不在同一网段时，主机A就会先向网关发出ARP请求，ARP请求报文中的目标IP地址为网关的IP地址。当主机A从收到的响应报文中获得网关的MAC地址后，将报文封装并发给网关。如果网关没有主机B的ARP表项，网关会广播ARP请求，目标IP地址为主机B的IP地址，当网关从收到的响应报文中获得主机B的MAC地址后，就可以将报文发给主机B；如果网关已经有主机B的ARP表项，网关直接把报文发给主机B。4. ARP表设备通过ARP解析到目的MAC地址后，将会在自己的ARP表中增加IP地址到MAC地址的映射表项，以用于后续到同一目的地报文的转发。ARP表项分为动态ARP表项和静态ARP表项。 动态ARP表项动态ARP表项由ARP协议通过ARP报文自动生成和维护，会被新的ARP报文所更新。 静态ARP表项静态ARP表项需要通过手工配置和维护，不会被动态的ARP表项所覆盖。配置静态ARP表项可以增加通信的安全性。它可以限制和指定IP地址的设备通信时只使用指定的MAC地址，此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系，从而保护了本设备和指定设备间的正常通信。5.1.2 设置ARP绑定通过设置ARP绑定，可以有效地防止设备的ARP表项受到攻击，保证了网络的安全。1. 设置动态ARP绑定为了防止通过DHCP方式获取IP地址的主机在设备上的ARP表项被篡改，您可以开启动态ARP绑定功能，使得所有通过DHCP服务器分配出去的IP地址和其对应的MAC地址自动绑定。且动态绑定的表项在地址租约到期后不会被删除。页面向导：安全专区ARP安全ARP绑定页面为您提供如下主要功能：设置动态ARP绑定（选中“对DHCP分配的地址进行ARP保护”复选框，单击按钮生效）开启动态ARP绑定后，设备通过DHCP方式获取到的ARP表项状态为“动态绑定”。反之，则为“未绑定”。2. 设置静态ARP绑定静态ARP绑定即需要通过手工配置和维护。建议您将局域网内所有主机都添加到设备的静态ARP表项中。页面向导：安全专区ARP安全ARP绑定本页面为您提供如下主要功能： 显示和修改ARP表项（主页面） 将动态获取到的ARP表项进行绑定（选中动态获取到的表项，单击按钮即可完成绑定。此时，ARP表项状态则为“静态绑定”）单个添加静态ARP表项（单击主页上的按钮，在弹出的对话框中设置相应的参数，并单击按钮完成操作）批量添加静态ARP表项（您可以在本地用“记事本”程序创建一个.cfg文件，内容格式为“MAC地址 IP地址 描述”（比如：00:0A:EB:7F:AA:AB lisi），且每条绑定项之间需换行。单击主页面上的按钮，在弹出的对话框中选择该文件将其导入即可）将设备当前的ARP静态表项备份保存（.cfg文件），且您可用“记事本”程序打开该文件进行编辑（单击主页面上的按钮，确认后即可将其导出到本地）5.1.3 设置发送免费ARP免费ARP报文是一种特殊的ARP报文，该报文中携带的发送端IP地址和目标IP地址都是本机IP地址，报文源MAC地址是本机MAC地址，报文的目的MAC地址是广播地址。设备通过对外发送免费ARP报文来实现以下功能： 确定其他设备的IP地址是否与本机的IP地址冲突。当其他设备收到免费ARP报文后，如果发现报文中的IP地址和自己的IP地址相同，则给发送免费ARP报文的设备返回一个ARP应答，告知该设备IP地址冲突。 设备改变了硬件地址，通过发送免费ARP报文通知其他设备更新ARP表项。设备支持定时发送免费ARP功能，这样可以及时通知下行设备更新ARP表项或者MAC地址表项，主要应用场景如下： 防止仿冒网关的ARP攻击如果攻击者仿冒网关发送免费ARP报文，就可以欺骗同网段内的其他主机，使得被欺骗的主机访问网关的流量，被重定向到一个错误的MAC地址，导致其他用户无法正常访问网络。为了尽量避免这种仿冒网关的ARP攻击，可以在网关的接口上开启能定时发送免费ARP功能。开启该功能后，网关接口上将按照配置的时间间隔周期性发送接口主IP地址的免费ARP报文。这样，每台主机都可以学习到正确的网关，从而正常访问网络。 防止主机ARP表项老化在实际环境中，当网络负载较大或接收端主机的CPU占用率较高时，可能存在ARP报文被丢弃或主机无法及时处理接收到的ARP报文等现象。这种情况下，接收端主机的动态ARP表项会因超时而被老化，在其重新学习到发送设备的ARP表项之前，二者之间的流量就会发生中断。为了解决上述问题，您可以在设备的接口上开启定时发送免费ARP功能。开启该功能后，设备接口上将按照配置的时间间隔周期性地发送接口主IP地址的免费ARP报文。这样，接收端主机可以及时更新ARP映射表，从而防止了上述流量中断现象。页面向导：安全专区ARP安全ARP防护本页面为您提供如下主要功能： 设置设备丢弃源MAC地址不合法的ARP报文，即选中该功能后，当设备接收到的ARP报文的源MAC地址为0、组播MAC地址或广播MAC地址时，则直接将其丢弃不对其进行ARP学习（缺省情况下，此功能处于开启状态） 设置设备丢弃源MAC地址不一致的报文，即选中该功能后，当设备接收到的ARP报文的源MAC地址与该报文的二层源MAC地址不一致时（通常情况下，认为存在ARP欺骗），则直接将其丢弃不对其进行ARP学习（缺省情况下，此功能处于关闭状态） 设置设备ARP报文学习抑制，即选中该功能后，设备在一段时间内只学习第一个返回的ARP响应报文，丢弃其他响应报文，从而防止有过多的ARP响应报文返回造成ARP表项异常（缺省情况下，此功能处于开启状态） 设置设备检测到ARP欺骗时，LAN口或WAN口会主动发送免费ARP（缺省情况下，此功能处于关闭状态） 设置设备LAN口主动定时发送免费ARP（缺省情况下，此功能处于关闭状态） 设置设备WAN口主动定时发送免费ARP（缺省情况下，此功能处于关闭状态）设置完成后，您可以通过查看运行状态页面中的“ARP防攻击”来验证功能是否已启用。5.2 设置网站过滤通过网站过滤功能，您可以灵活地限制局域网内的主机所能访问的网站。设备为您提供两种网站过滤功能： 仅允许访问列表中的网站地址：如果您想让局域网内的主机仅能访问固定的某些网站，可以选中此功能，然后添加相应的网站地址。 仅禁止访问列表中的网站地址：如果您想让局域网内的主机不能访问某些非法网站，可以选中此功能，然后添加相应的网站地址。页面向导：安全专区接入控制网站过滤本页面为您提供如下主要功能：根据实际需求启用相应的网站过滤功能（主页面。选择相应的网站过滤功能后，单击按钮生效）单个添加网站地址（单击主页面上的按钮，在弹出的对话框中添加一个需要过滤的网站地址，单击按钮完成操作）批量添加网站地址（您可以在本地用“记事本”程序创建一个.cfg文件，内容格式为，且每条过滤项之间需要换行。单击主页面上的按钮，在弹出的对话框中选择该文件将其导入即可）将当前您需要进行过滤处理的网站地址保存（.cfg文件），且您可用“记事本”程序打开该文件进行编辑（单击主页面上的按钮，确认后即可将其导出到本地） 网站过滤仅对HTTP站点生效，且您输入站点时不能带有http:/。比如：要禁止访问网站，可以输入“”，但不能输入“”。 设置完成后，您可以通过查看运行状态页面中的“网站过滤”来验证功能是否已启用。5.3 设置防火墙 本节主要包含以下内容： 设置出站通信策略 设置入站通信策略设备的防火墙功能为您实现了根据报文的内容特征（比如：协议类型、源/目的IP地址等），来对入站方向（从因特网发向局域网的方向）和出站方向（从局域网发向因特网的方向）的数据流执行相应的控制，保证了设备和局域网内主机的安全运行。5.3.1 设置出站通信策略页面向导：安全专区防火墙出站通信策略本页面为您提供如下主要功能：设置报文在出站方向上未匹配任何您预先设定的规则时，系统所采取的策略（主页面上，在“出站通信缺省策略”下拉框中选择指定的方式，单击按钮生效）添加匹配规则来控制指定的报文（在主页面上单击按钮，在弹出的对话框中设置相应的匹配项，单击按钮完成操作）页面中关键项的含义如下表所示。表5-1 页面关键项描述页面关键项描述出站通信缺省策略 “允许”：允许内网主动发起的访问报文通过 “禁止”：禁止内网主动发起的访问报文通过缺省情况下，出站通信缺省策略为“允许”当缺省策略是“允许”时，您手动添加的策略即为“禁止”，反之亦然缺省策略更改后，所有已配置的出站通信策略将会被清空，且仅