LotBalance负载均衡器用户手册GUI-3260

1、 LotBalance负载均衡器用户使用手册LotBalance负载均衡器用户使用手册（User Guide） 北京华夏创新科技有限公司 P/N:3052000000595北京华夏创新科技有限公司 值得信赖的应用交付专家 版权信息©版权所有 2010，北京华夏创新科技有限公司本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属北京华夏创新科技有限公司所有，受国家有关产权及版权法保护。任何个人、机构未经北京华夏创新科技有限公司的书面授权许可，不得以任何方式复制或引用本文档的任何片段。商标信息华夏创新、AppEx、Lotware、LotWan、Lo

2、tFlow、LotAccess、LotBalance、LotBalance、LotMobile、华创路由器等标识及其组合是北京华夏创新科技有限公司拥有的商标，受商标法和有关国际公约的保护。第三方信息本文档中所涉及到的产品名称和商标，属于各自公司或组织所有。CE/FCC相关数据说明本设备遵循FCC part 15的规章。可能不会引起有害人体的影响，设备必须避免接受任何干扰的接口所进行的不必要的操作方式。典型包装盒配件内容（以实际产品装箱单为准）打开包装盒，并且检查下列所述配件是否齐全：1. LotBalance（硬件） - x12. L型固定支架及机架导辊 - x23. 螺丝(Screws Se

3、ts) -x64. 电源线 (AC Power Cord) -x15. 管理员工具光盘 (CD) - x16. UTP Cross-over 线 (交叉线) - x27. DB9 RS-232 线 - x18. 产品保修服务承诺（保修卡）- x19. 产品装箱单/产品回执卡 - x11. 以实物为准. 6. 789图 1 产品包装配件内容（以实际产品装箱单为准）技术支持华夏创新提供技术支持，可通过Web、E-mail或服务热线，解决产品上使用的问题。网址：邮件：appex服务热线：+86 10 62973737目录第一章、综述61.1 简介61.2 特别说明8第二章、安装LOTB

4、ALANCE92.1 设备指示灯说明92.2 设备安装9第三章、使用命令行界面 (CLI)113.1 登录CLI113.2 使用CLI123.3网络配置133.4系统信息133.5系统设置143.6查看网络状况14第四章、WEB GUI登录154.1 如何使用Web管理界面 (GUI)154.2系统信息164.3系统状态174.4链路状态18第五章、网络配置195.1 网络接口195.1.1查看和配置物理接口195.1.2配置VLAN接口和网桥215.2 IP设置225.2.1 WAN接口配置235.2.2 LAN接口配置265.2.3配置管理接口285.3 NAT配置285.3.1 SNAT

5、配置285.3.2 DNAT配置315.3.3 NAT免除配置345.3.4 模块365.4 防火墙设置365.4.1 防火墙-规则375.4.2 DDOS防御385.4.3 其他选项405.5 静态路由表配置405.5.1 基于目标地址的静态路由405.5.2 基于源地址的静态路由425.6 ARP435.6.1 ARP代理435.6.2 静态ARP映射435.7 智能DNS455.7.1 智能DNS-WAN455.7.2 智能DNS-LAN475.8 高可靠性设置485.8.1 VRRP实例配置485.8.2 VRRP组配置49第六章、WAN加速与优化配置516.1 加速引擎配置516.2

6、策略定义526.2.1 定义策略526.2.2 定义策略组616.2.3 定义视图646.3 加速与优化（全局配置）676.3.1 流量整形686.3.2 带宽管理696.3.3 策略定义706.3.4 VOIP706.3.5 P2P行为706.3.5 P2P深度检测70第七章、负载均衡717.1 链路负载均衡717.1.1 链路负载均衡配置727.1.2 ISP管理737.2 服务器负载均衡747.2.1 服务器负载均衡配置757.2.2 服务器负载均衡调度算法84第八章、报表878.1系统状态报表888.2优先级报表888.3策略报表908.4 Loose-Mapping报表938.5 P

7、2P主机报表958.6历史报表968.7基于P2P深度检测的应用报表97第九章、系统管理989.1 系统设定989.2 时间日期999.3 通知设定999.4中断分配1009.5 抓包1019.6 远程日志1029.7 SNMP设定1029.8 集中管理设定1039.9访问历史记录1039.10修改密码1039.11设备升级1039.12备份与恢复1049.13重置1059.14重新启动105第十章、配置案例步骤概述10610.1 路由配置10610.1.1 网络拓扑：10610.1.2 配置步骤：10610.2 高可靠性配置（HA）11110.2.1 网络拓扑：11110.2.2 配置步骤：

8、111一配置LOTBALANCE1111二配置LOTBALANCE211710.3 多链路负载均衡配置12310.3.1 网络拓扑：12310.3.2 配置步骤：12310.4 NAT模式服务器负载均衡配置13110.4.1 拓扑环境：13110.4.2 配置步骤：13210.5 DR模式服务器负载均衡配置13710.5.1 拓扑环境：13710.5.2 配置步骤：138LotBalance应用交付系统操作手册第一章、综述本文档适用于购买华夏创新公司产品的客户(具有基本网络知识的系统管理员和网络管理员)阅读，通过阅读本文档，他们可以独自完成以下工作：安装和使用LotBalance管理LotBa

9、lance以便于华夏创新客户可以参照本文档根据实际需求使用LotBalance。1.1 简介LotBalance具有以下几个主要功能:1) 带宽管理 将广域网链路划分多个带宽通道，能够实现最大带宽限制、保证带宽、带宽借用、应用优先级等一系列带宽管理功能，防止不正常应用对网络带宽资源的过渡消耗，保证关键应用带宽，限制非关键应用带宽，改善和保障整体网络应用的服务质量。2) 基于行为的P2P识别与控制基于行为识别P2P并有效控制P2P对网络带宽资源的过度占用。3) 全局智能带宽分配智能动态地根据内部网络实时上网机器数量，自动、平均分配网络带宽，有效抑制P2P等应用对网络带宽资源的过度占用，并保障带宽

10、资源得到最大利用。4) 流量整形对流量进行整形，减少突发流量，保障网络数据稳定传输，避免网络设备产生拥塞；更重要的是，LotBalance可以轻松解决“上行压死下行”这一普遍难题，即当上行带宽用满时，下行带宽利用率急剧下降的问题。5) 链路负载均衡LotBalance应用交付系统对多个ISP连接的可用性和性能进行实时监测，提高网络连接的容错能力，将流量导向最优的链接和ISP以提高服务质量和访问速度，通过多条低成本链路的聚合降低带宽成本，全面提高应用交付能力。6) 服务器负载均衡LotBalance采用了智能服务器负载均衡技术，支持多种负载均衡算法，动态监测服务器的性能和健康状态，并将网络请求分

11、发给不同的服务器，这样可以大大提高服务的并发处理能力，减少用户等待时间，提高服务质量；同时采用多台服务器，也避免了因为单台服务器故障造成的服务中断，提高了服务的可靠性。这样，就可以提高核心应用的交付能力。7) 强化的安全保护LotBalance内置高性能的访问控制列表 (ACL) 、网络地址转换 (NAT) 以及基于状态的数据包检测，不仅抵御了非法访问和攻击，而且可以阻止某些解决方案无法发现的应用层攻击。LotBalance加强了系统的核心，每一款产品都建立在安全强化的系统内核之上，确保了网络及应用真正的安全。8) 设备高可用性采用VRRP协议，LotBalance实现本身设备的集群部署，并支

12、持多种模式：Active-Active，Active-Standby，达到系统本身的高可靠性，最多可以实现255台LotBalance设备的集群。通过集群功能实现应用交付设备的高可用性，对企业业务系统的运行提供更高的保障。1.2 特别说明1) 当使用LotBalance基于ISP自动选择路由功能时，请及时升级设备的ISP对应的IP库，否则可能造成部分ISP选择出现错误。第二章、安装LotBalance在此阶段，您将会需要：n LotBalance硬件设备n 标准1U或者2U高度机架n L型固定支架n 螺丝(Screws Sets)n 电源线(AC Power Cord)2.1 设备指示灯说明设

13、备开启时硬盘灯为红色，启动后硬盘灯为不亮；bypass灯在正常情况下为绿色，bypass时为红色；网卡灯为绿色时，说明设备网卡为百兆模式，网卡灯为红色时，说明设备网卡为千兆模式。2.2 设备安装1. LotBalance可以被固定在标准的19英吋机柜。2. 通过缺省LAN口登录LotBalance管理界面，根据需求将LotBalance的物理网口配置为对应的WAN/LAN口。 3. 根据用户需求配置设备参数。4. 利用螺丝锁定L型固定支架。5. 安装LotBalance到机架上。6. 插上电源，并打开设备电源开关。7. 电源插座位于LotBalance的背面，输入电源电压范围为100V - 2

14、40V。8. 将步骤2中设置的的设备LAN口与用户局域网交换机相连（通常情况下），WAN口与互联网相连。第三章、使用命令行界面 (CLI)可以通过下面两种方法中的任一种使用CLI：l 串行接口连接l SSH远程网络连接3.1 登录CLI1. 使用串口连接Ø 使用DB-9 串行连接线连接电脑和LotBalance；Ø 使用如下参数建立连接进程38400 baud8 data bits1 stop bitno parityØ 在出现登录提示符时输入用户名/密码登录CLI。默认用户名/密码为admin/admin。2. 使用远程网络连接SSHl 远端电脑通过LotBal

15、ance的默认LAN口IP地址使用SSH连接加速设备。l 加速设备默认LAN接口的IP地址默认为，子网掩码为。l 远端电脑使用终端模拟程序或解释器SSH远程访问。l 在出现登录提示符时输入用户名/密码登录CLI。默认用户名/密码为admin/admin。3.2 使用CLICLI 的组织分为两级： 根节点二级节点三级节点当用户登录进入CLI后，进入根节点。表2-3中列出了可以使用的命令列表。命令动作?查看在当前节点当前可用的命令及其帮助.返回上一级节点quit退出 CLIclear清空屏幕network进入network节点 (二级节点)show进

16、入show节点 (二级节点)admin进入admin节点（二级节点）debug进入debug节点(二级节点)reboot重启设备表 3-1 3.3网络配置在根节点，输入”network”进入”network”二级节点。命令动作Mgmt查看和修改管理接口ip地址和子网掩码del-mgmt删除管理接口show mode查看端口模式和修改端口模式Show inf查看当前设备物理接口Show mgmt查看管理接口信息exec pingPing工具exec traceroutetraceroute工具exec arp查看arp表表 3-2 3.4系统信息在根节点，输入”show” 进入二级节点”show

17、”。命令动作memory查看系统内存使用情况cpu查看系统cpu使用情况version查看图形界面版本查看加速引擎版本model查看产品型号表 3-3 3.5系统设置在根节点，输入”admin”进入”admin”二级节点。命令动作password修改系统登录密码system进入system节点（三级节点）system time查看和修改系统时间reset设备重置表 3-4 3.6查看网络状况在根节点，输入”debug”进入”debug”二级节点。命令动作Level设置debug 级别，有效值为1，10，255Stats查看对应级别的debug信息表 3-5 第四章、WEB GUI登录LotBa

18、lance缺省未分配管理接口，可以通过缺省LAN接口管理设备，缺省LAN接口IP地址为。默认用户名/密码为 admin/admin。4.1 如何使用Web管理界面 (GUI)Web管理界面(后面简称GUI)允许用户通过浏览器登录设备来进行参数设置。浏览器可以使用IE（6.0及以上）或者 Mozilla Firefox （2.0及以上）。在浏览器的地址栏输入设备的缺省LAN接口的IP地址即可打开GUI。例如，在打开的GUI登录页面上，输入用户名和密码admin/admin，点击登录。图 4-1 4.2系统信息点击概况-系统信息可进入系统信息

19、界面图 4-2 在概况系统信息里可以查看设备的相关信息，包括产品名称、产品型号、序列号、系统过期时间、加速引擎版本、图形界面版本、系统运行时间、内存使用率、CPU使用率等，点击上图中的小图标，可以分别以图表、柱状图、饼图等方式显示相关信息。第一次管理LotBalance并显示柱状图、饼图时，可能系统会要求您下载Microsoft Silverlight软件，当下载安装完成后，刷新管理界面后就可以正常显示柱状图、饼图了。4.3系统状态点击概况-系统状态可进入系统状态界面在配置了加速网络接口（加速引擎配置）后才可以在概况-系统状态中查看到该链路的状态信息。 图 4-3 1. 在概况系统状态里的汇总

20、里可以看到所有链路总的连接数和带宽等情况。2. 可以查看设备的每条链路上的相关信息，包括连接数、主机数、带宽等。3. 其中从主机数中的本地主机数和远程主机数上可以看出设备的LAN口和WAN口是否接反，正常情况下远程主机数应比本地主机数大很多，当本地主机数小于远程主机数时，说明设备的LAN/WAN口可能接的是反的，个别网络除外。4. 点击上图中的小图标，可以分别以表格、柱状图、饼图等方式显示相关信息。5. 该界面上显示的带宽只是实时的，如果要从此判断实际带宽，请取平均值，最准确的方法是看该链路对应报表里显示的带宽，并取平均值。4.4链路状态点击概况-链路状态可进入链路状态界面。图 4-4 路由模

21、式链路状态里可以查看每个LAN/WAN接口的接口类型、所在物理接口、接口MAC地址、IP地址、子网掩码、网关和DNS等信息。第五章、网络配置5.1 网络接口5.1.1查看和配置物理接口点击网络配置-网络接口可查看各物理接口的连接状态和配置各物理接口的工作模式。图 5-1Ø 该界面的物理接口列表列出了设备所有的物理接口。Ø 物理接口列表的状态一栏显示了每个接口的连接状态。Ø 点击各物理接口编辑按钮可配置该接口工作模式。图 5-2Ø 名称：该物理接口的名称，不可更改。Ø 类型：默认为物理接口，不可更改。Ø 自动协商：默认打开，也可关闭该功

22、能，手动设定该物理接口的工作模式。Ø 速度：自动协商关闭时可以手动设定物理接口的速度为：10M/100M/1000M。Ø 双工：自动协商关闭时可以手动设定物理接口的双工模式为：半双工/全双工。Ø MAC地址：默认为初始MAC地址，也可修改为其它MAC地址，eth0的MAC地址是不可以修改的。5.1.2配置VLAN接口和网桥图 5-3VLAN接口是在局域网内划分了VLAN，但交换机上没有相应VLAN互访的路由，借助我们设备LAN口来实现VLAN之间互访，点击VLAN接口列表右端的即可添加VLAN接口。图 5-4Ø 接口下拉列表框用于指定该VLAN接口所依附

23、实际接口，可以是物理接口或者是网桥。Ø 实际接口右边应填写该接口所属的VLAN的ID号。Ø MAC地址：可以修改该VLANID的MAC地址，或者使用初始MAC地址。点击桥接列表右端的即可添网桥。图 5-5Ø 接口：该网桥包含的物理接口或者VLAN接口，可用列表中会列出所有可用的物理接口和VLAN接口，已用列表中为该网桥所包含的物理接口和VLAN接口。Ø MTU：该网桥的最大传输单元。Ø MAC地址：可以设定该网桥的MAC地址，或者使用自动设置。Ø 生成树：启和或关闭生成树协议。5.2 IP设置点击网络配置IP设置可配置LAN/WAN接

24、口图 5-65.2.1 WAN接口配置点击WAN列表右上角的可添加一个WAN接口，WAN接口连接方式有静态IP、PPPOE和DHCP三种方式，WAN接口可以是物理接口或者网桥，虚拟接口不能用作WAN接口。 连接方式：静态IPØ 别名：该WAN口的名称，该名称即为概况-链路状态界面和负载均衡-多链路负载均衡界面里的链路名称。Ø 接口名称：该WAN接口选定的物理接口或者网桥。Ø MTU：该WAN接口的最大传输单元，默认为1500。Ø IP地址：该WAN接口配置的静态IP地址。Ø 虚拟IP：只用于高可靠性中的IP设置，具体参见相关章节；

25、虚拟IP可以配置为单个IP地址，也可配置为一个IP段。Ø 掩码：该WAN接口所属网络的子网掩码。Ø 默认网关：该WAN接口所属网络的默认网关 。Ø DNS：该WAN接口所属网络的DNS服务器。 连接方式：PPPoE图 5-9Ø 别名：该WAN口的名称，该名称即为概况-链路状态界面和负载均衡-多链路负载均衡界面里的链路名称。Ø 接口名称：该WAN接口选定的物理接口或者网桥。Ø MTU：该WAN接口的最大传输单元，默认为1500。Ø 用户名、密码：该WAN接口PPPOE拨号上网的账号和密码，一般由ISP（网络服务运

26、营商）提供。Ø 连接模式：分为保持连接模式和按需连接模式。n 保持连接模式：需要设定重拨等待时间，即当PPPOE拨号失败或链接中断后设备重新拨号的时间间隔，默认是30秒;n 按需连接模式：需要设定自动断线等待时间，默认是300秒，若PPPoE拨号连接在等待时间所设时长的时间段内没有检测到有流量通过，则会自动中断拨号连接。此功能主要应用于adsl拨号按时间计费的用户。Ø 默认路由：是否把该接口设置为默认路由，在开启链路负载均衡功能的时候，不要打开这个选项。Ø DNS：该WAN接口所属网络的DNS服务器。 连接方式：DHCP图 5-10Ø 别名

27、：该WAN口的名称，该名称即为概况-链路状态界面和负载均衡-多链路负载均衡界面里的链路名称。Ø 接口名称：该WAN接口选定的物理接口或者网桥。Ø MTU：该WAN接口的最大传输单元，默认为1500。Ø DNS：该WAN接口所属网络的DNS服务器。5.2.2 LAN接口配置点击LAN列表右上角的可添加一个LAN接口图 5-11Ø 别名：该LAN接口的名称。Ø 接口名称：该LAN接口选定的网络接口；物理接口、桥接接口和虚拟接口均可被选定用作LAN接口。Ø IP地址：该LAN接口的IP地址。Ø 掩码：该WAN接口所属网络的子网掩码

28、。Ø MTU：该LAN接口的最大传输单元，默认为1500。Ø 虚拟IP：用于高可靠性配置，具体请参见相关章节。 Ø DHCP：是否在该LAN接口上开启DHCP服务。n 范围：用作DHCP分配的IP地址池的范围；n 地址租期：客户机从DHCP服务器获取到的IP地址的有效时长，超过该时长则客户机需向DHCP服务器重新发送地址请求； n 默认网关：客户机从DHCP服务器获取到的默认网关地址；n DNS: 客户机从DHCP服务器获取到的DNS服务器地址；注：在配置高可靠性时，一般应指定LAN接口上的虚拟IP地址为DHCP分配的默认网关地址和DNS服务器地址。5.2.3配置

29、管理接口LotBalance系列缺省不提供管理接口；如需使用管理接口，可通过LAN接口登录管理界面，点击LAN列表中管理接口编辑按钮即可配置管理接口图 5-12Ø 接口：指定用作管理接口的网络接口。Ø IP地址：管理接口的IP地址。Ø 子网掩码：管理接口子所属网络的网掩码。5.3 NAT配置5.3.1 SNAT配置SNAT，即网络地址转换，用于将私网IP地址转换为合法的公网IP地址，以使内网中的主机能够访问互联网；一般情况下，在配置完某个WAN接口的IP设置后，均需配置该接口的SNAT才能使LAN中主机通过该接口连接互联网。点击网络配置-NAT-SNAT可进入SN

30、AT配置界面图 5- 静态IP、PPPoE和DHCP三种方式配置SNATØ WAN口为静态IP连接方式时，SNAT配置包括动态SNAT和静态SNAT两种，其中动态SNAT用于将多个LAN中的主机IP转换为一个或多个WAN接口IP的情况，而静态SNAT则用于LAN中的主机IP和WAN接口IP一一对应配置的情况。图 5-14Ø WAN口为PPPoE连接方式和DHCP连接方式时，只需勾选启用NAT选项便可启用SNAT功能图 5- SNAT_LAN配置此配置是配合DNAT_ LAN一起使用的，用于内网中某台主机通过外网地址访问该外网地址映射到的某

31、台内网服务器的情况；具体请参考DNAT_LAN配置案例的相关章节。图 5-16图 5-17点击右上角的按钮，添加一条策略如下图：Ø 源IP：发起连接的主机的IP地址，这里一般为内网地址。Ø 目标IP：连接去往的主机的IP地址，这里一般为内网地址。Ø 目标端口：访问服务器的端口。5.3.2 DNAT配置DNAT即转发规则，可将某些对于设备的访问连接转发到设备LAN中的某台主机上面，一般用于实现对内网服务器的外部访问的转发；DNAT可隐藏服务器的实际IP地址从而实现对服务器在某种程度上的安全保护。 DNAT-WAN点击网络配置-NAT-DNAT-WAN可

32、进入DNAT_WAN配置界面，界面右上角的按钮可以实现将WAN的DNAT和LAN的DNAT规则互相导入。图 5-18点击添加按钮即可添加一条DNAT_WAN规则图 5-19Ø WAN：指定做DNAT的WAN接口，如果选择全部，则将在所有的WAN接口做DNAT。Ø 源IP：指定可以访问的远程IP或IP地址范围，不填表示所有IP 。Ø 源端口：指定可以访问该服务的远程端口，不填表示所有端口。Ø 外部IP：用于提供服务的外网IP地址。Ø 外部端口：用于提供服务的外部服务端口号，外部端口可以为一个端口号，或端口范围比如 8080-9000，或二者的组合

33、. 为空则对所有外部端口生效。   例如：    8080   8080-9000    7000,8080-9000,80,1314,5070 Ø 内部IP：外部访问被转发到的内部服务器的内网IP地址。Ø 内部端口：外部访问被转发到的内部服务器的服务端口号；内部端口可以为空或一个端口号（不能为多个端口号），为空则内部服务器使用和外部端口一一对应的内部端口号。Ø 协议：访问连接所使用的网络传输协议。 DNAT-LAN点击网络配置-NAT-DNAT-LA

34、N可进入DNAT_LAN配置界面图 5-20点击添加按钮即可添加一条DNAT_LAN规则图 5-21Ø LAN：指定做DNAT的LAN接口，如果选择全部，则将在所有的LAN接口做DNAT。Ø 源IP：指定可以访问的本地IP或IP地址范围，不填表示所有IP 。Ø 源端口：指定可以访问该服务的本地端口，不填表示所有端口。Ø 外部IP：用于提供服务的外网IP地址，为空则对设备上所有的外部IP生效。Ø 外部端口：用于提供服务的外部服务端口号，外部端口可以为一个端口号，或端口范围比如 8080-9000，或二者的组合. 为空则对所有外部端口生效。

35、0;  例如：    8080   8080-9000    7000,8080-9000,80,1314,5070 Ø 内部IP：访问被转发到的内部服务器的内网IP地址。Ø 内部端口：访问被转发到的内部服务器的服务端口号；内部端口可以为空或一个端口号（不能为多个端口号），为空则内部服务器使用和外部端口一一对应的内部端口号。Ø 协议：访问连接所使用的网络传输协议。5.3.3 NAT免除配置NAT免除，即按实际网络配置的需求，在由指定的源主机访问指定的目标主机时不对其连接做网络

36、地址转换。点击网络配置-NAT-NAT免除可进入NAT免除配置界面图 5-23点击添加按钮即可添加一条NAT免除规则图 5-24Ø WAN：NAT所在的wan接口。Ø 源IP：指定不做网络地址转换的连接的源主机IP地址或IP地址范围。Ø 目标IP：指定不做网络地址转换的连接的目标主机IP地址或IP地址范围。Ø 协议：源IP与目标IP通讯时采用的网络协议。Ø 源端口：源主机发起连接时所使用的端口号。Ø 目标端口：目标主机接受连接时所使用的端口号。5.3.4 模块点击网络配置-NAT-模块可进入模块配置界面图 5-22Ø 默认选

37、项FTP（21）、TFTP、IRC、SIP和PPTP都是启用的，H323是不启用的。Ø FTP：默认端口是21端口，如果有FTP服务器需要DNAT并且端口为非21的其它端口，请勾选此项并且添加对应的端口，多个端口用逗号（，）分隔。Ø 设备实现NAT功能时，有以上协议的流量流经设备，需要在模块中勾选对应的应用协议。5.4 防火墙设置防火墙可实现对某些指定连接的简单的访问控制，包括允许或者拒绝这些连接访问。防火墙默认处于开启状态，此时所有试图由外部网络访问内部网络的连接都将被拒绝，而由内部网络访问外部网络的连接都将被允许。通过添加防火墙规则，可为某些连接设定不同于默认规则的访问

38、控制一般在以下三种情况下需要配置防火墙规则：在配置服务器负载均衡时；在局域网中存在多个网段时，可以用防火墙做各个网段之间的访问控制；在做ARP代理时。5.4.1 防火墙-规则点击网络配置-防火墙-规则可进入防火墙规则配置界面图 5-25点击添加按钮即可添加一条防火墙规则图 5-26Ø 动作：通过或者拦截。Ø 源IP：连接的来源IP地址或IP地址范围，值为空时表示对所有IP生效。Ø 源端口：连接的来源端口，值为空时表示对所有端口生效。Ø 目标IP：连接的目的地地址，值为空时表示对所有地址生效。Ø 目标端口：连接的目的地端口，值为空时表示对所有端口

39、生效。Ø 入口：源地址发出的数据包进入设备的接口。Ø 协议：连接所用的协议，默认为对所有协议生效。Ø 防火墙的缺省规则为对外的访问全部通过，对内的访问全部拦截。5.4.2 DDOS防御点击网络配置-防火墙-DDOS防御可进入DDOS防御配置界面图 5-27Ø SYN Flooding：这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。图 5-28n WAN：选择要防御SYN Flooding的wan接口。n 速率：设定每秒（sec）或者每分钟（min）包的数量。n 突发：最大包数量。n

40、 端口：过滤的端口号。n 目标：过滤的目标地址/目标地址段。Ø Ping Flooding：利用ping命令向目标主机大量的ICMP Echo请求，从而导致对方内存分配错误，造成TCP/IP堆栈崩溃，致使对方宕机。图 5-29n WAN：选择要防御Ping Flooding的wan接口。n 速率：设定每秒（sec）或者每分钟（min）包的数量。n 突发：最大包数量。n 目标：过滤的目标地址/目标地址段。Ø ARP欺骗：ARP欺骗分为对路由器ARP表的欺骗和对内网PC的网关欺骗，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。Ø IP欺骗：IP欺骗是基于

41、远程过程调用RPC的命令，其实质是仅仅根据信任源IP地址进行用户身份确认，以便允许或拒绝用户RPC。Ø Smurf：Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。Ø Fraggle：Fraggle攻击对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP。Ø ICMP redirect：ICMP 重定向报文是当主机采用非最优路由发送数据报时，路由器会发回ICMP重定向报文来通知主机最优路由的存在，利用这一特点进行ICMP

42、 redirect 攻击可以达到类似ARP欺骗或者拒绝服务（Dos）攻击的效果。Ø ICMP Fragment：ICMP碎片攻击是如果攻击者有意发送总长度超过65535 的ICMP碎片，一些老的系统内核在处理的时候就会出现问题，导致崩溃或者拒绝服务。5.4.3 其他选项图 5-30Ø 默认情况下，WAN接口对Ping请求不回应；可通过勾选 允许WAN接口被Ping 使WAN口回应Ping请求。一般在调试网络故障时可打开该项。Ø IP转发默认为开启状态。5.5 静态路由表配置点击网络配置-静态路由表，可进入静态路由表配置界面5.5.1 基于目标地址的静态路由点击网络

43、配置-静态路由表-目标路由可进入目标路由的配置界面图 5-31点击添加按钮即可添加一条基于目标地址的静态路由规则 经由-网关图 5-32Ø 启用：启用或不启用这条规则。Ø 别名：该规则的名称。Ø 目的地IP段：目的地IP段。Ø 经由：可以是网关或接口。Ø 网关：即由设备去往指定目的地IP段的下一跳网关。Ø 跳数：从设备到指定目的地址的网络路径中的路由器个数。 经由-接口图 5-33Ø 启用：启用或不启用这条规则。Ø 别名：该规则的名称。Ø 目的地IP段：目的地IP段。Ø

44、; 经由：可以为网关或接口。Ø 接口：即去往指定目的地IP段所走的物网络接口。5.5.2 基于源地址的静态路由点击网络配置-静态路由表-源路由可进入源路由的配置界面。基于源地址的静态路由即指定LAN中的主机在访问（指定的）外部网络时走指定的WAN接口或网关，如设备上配有两个或两个以上的WAN接口时，可以通过配置基于源地址的静态路由来指定LAN端的IP或IP段走某个特定的WAN接口。图 5-34点击添加按钮即可添加一条基于源地址的静态路由规则图 5-35Ø 别名：该条规则的名称。Ø LAN IP：即设备LAN端的IP和子网掩码。Ø WAN：指定LAN IP

45、 走的WAN接口。5.6 ARPARP代理主要用于LAN中存在某些使用公网IP地址的主机或服务器的情况；ARP代理另一个主要的用途是与静态目标路由配合，配置DNAT的外部IP可以不是wan口IP，具体见后面的配置事例。5.6.1 ARP代理点击网络配置-ARP-ARP代理可进入ARP代理配置界面 。图 5-36Ø 该界面会显示所有已配置的LAN/WAN接口。Ø 勾选启用即可启用该接口的ARP代理功能。5.6.2 静态ARP映射点击网络配置-ARP-静态ARP映射进入配置界面图 5-37静态ARP映射即MAC地址绑定，通过该功能实现IP与MAC地址绑定，从而可以实现对内部网络

46、地址分配以及内部主机网络连接的精确控制。Ø 静态ARP映射：勾选即可启用该接口的静态ARP映射功能。Ø 应用到DHCP: 启用该功能，则在DHCP分配时，对指定的MAC地址将按照指定的IP地址进行分配。Ø 允许修改IP地址：启用该功能，则已绑定的主机在将IP地址修改为非绑定IP时依然可以正常访问网络；不启用该功能，则已绑定的主机在将IP地址修改为非绑定IP之后将不能正常访问网络。Ø 允许访问Internet: 不启用该功能，则未绑定主机将不能正常访问网络。图 5-39图 5-40点击添加按钮 即可添加一条IP地址与MAC地址的绑定规则，目前有手动输入与自

47、动扫描两种添加方式，一般两种方式配合使用。在自动扫描模式对需要绑定的IP进行勾选后即可绑定，绑定结果会在MAC地址列表中体现。另外可使用搜索栏对绑定结果进行搜索，并且可以对其进行删除与解除绑定的操作。5.7 智能DNS多链路负载均衡解决的是流出流量的负载均衡，而智能DNS可以解决流入流量的负载均衡，采用智能DNS均衡算法实现企业入站流量在不同ISP链路上的流量均衡。5.7.1 智能DNS-WAN点击网络配置-智能DNS-WAN可进入智能DNS_WAN配置界面图 5-41Ø 如下图所示，点击添加按钮，添加一条DNS解析的地址，此地址须为wan接口的某个公网IP地址。图 5-42

48、6; 点击下图所示的全局设置添加按钮，添加一个区，比如，相当于添加一个域名。图 5-43图 5-44Ø 选中，点击右边的按钮，添加一条记录：图 5-45Ø 名字：具体指向某个或某些服务器的域名，如。 Ø 类型：A（Address）类型指的是用来指定主机名(或域名)对应的IP地址。Ø 值：其中一条链路WAN接口的IP地址。Ø 权重：外部使用同一域名访问多台相同服务器时的访问比例。5.7.2 智能DNS-LAN点击网络配置-智能DNS-LAN可进入智能DNS_LAN配置界面图 5-46点击添加按钮，添加一条规则：图 5-47Ø 域名：解析

49、的域名，和要解析的IP地址相对应，比如对应，那么访问域名和访问地址的效果是相同的。Ø IP地址：域名对应的IP地址。5.8 高可靠性设置通过完成基于VRRP协议的一系列配置信息可实现设备的高可靠性保障，VRRP 协议是虚拟路由冗余协议，即通过多台路由器组成一个路由器集群，对外表现为一个独立的虚拟路由器，在任一时间点上，集群中只有一台实际的路由设备工作在主路由设备的状态来处理网络数据，其余路由设备则工作在备用路由设备状态；当主路由设备出现故障而不能继续正常工作时，集群通过某种机制选出一台备用设备来作为新的主路由设备，这样就可避免因为一台设备的

50、故障而造成整个网络链接的中断。两个或多个路由器建立起一个动态的虚拟集合，每一个路由器都可以参与处理数据，但对于终端用户这些是透明的。点击网络配置-高可靠性设置可进入高可靠性设置界面。图 5-695.8.1 VRRP实例配置如上图所示，设备中已配置为LAN或WAN接口的物理或桥接接口会出现在配置列表中，点击接口后面的编辑按钮对基于该接口的VRRP实例进行配置，也可以点击删除按钮清除该接口已配置的VPPR实例。 图 5-70Ø 接口名称：该实例包含的网络接口名称。Ø 虚拟路由ID：虚拟路由ID用于确定一个虚拟的路由器，属于同一虚拟路由器的VRRP实例其虚拟路由ID须一致。

51、16; 状态：VRRP实例开始运行时的初始化状态，实际运行中的VRRP实例的状态是由其优先级决定的；同一虚拟路由所包含的各个VRRP实例中，优先级最高者将工作在主要状态，其余皆工作备份状态。Ø 优先级：优先级用于确定该VRRP实例在实际工作中的运行状态。5.8.2 VRRP组配置点击VRRP组配置添加按钮即可添加一个VRRP组图 5-71Ø 组名：该VRRP组的名称。Ø 包括：该组包括的VRRP实例。Ø 一个VRRP组里面可以包含多个VRRP实例，属于同一个VRRP组的VRRP实例的状态在任何时候都将保持一致。Ø 邮件提醒：当该VRRP组从主状

52、态切换到备用状态或从备用状态切换到主状态时，发送通知邮件到指定邮箱。第六章、WAN加速与优化配置6.1 加速引擎配置只有在为加速引擎配置了加速接口之后，该加速引擎才可以启用加速、流量整形、主机带宽均分、优先级带宽管理、P2P控制和链路负载均衡等功能；也只有在为加速引擎配置了加速接口后，才能查看对应于该加速引擎的流量报表。不同型号的设备，预置的加速引擎数目不同。点击加速与优化-网络接口进入引擎配置界面；图 6-1点击按钮，即可修改加速引擎要加速的网络接口。图 6-2Ø 【可用】窗口中列出了所有当前加速引擎可用的物理接口和网桥接口；Ø 【已用】窗口中列出了所有已配置为或将要配置

53、为当前引擎加速接口的物理接口或网桥接口；Ø 一个引擎可以配置一个或多个加速接口；Ø 将一个透明网桥所包含的一个或多个物理接口从【可用】添加到【已用】，此引擎就可以工作在透明模式下，加速的物理接口就是此网桥的WAN口；Ø 可修改引擎的别名以便于区分和标记不同的引擎；6.2策略定义策略定义，是指通过定义不同的策略，策略组以及视图来实现预期的QoS管理方案。6.2.1 定义策略策略是最基本的设置集合单元，通过设置策略用户可完成“筛选出某一类数据流并为其添加相应的管理策略”的事务；点击WAN加速与优化-策略定义-策略可进入策略配置界面，在此界面可根据本地IP（IP段）、远

54、程IP（IP段）、本地端口、远程端口、协议、DSCP值等项对网络数据流进行筛选，并为其添加相应的管理策略； 图 6-31. 名称该条策略的名称图 6-4 2. 过滤条件包括本地IP（IP段）、远程IP(IP段)、本地端口、远程端口、协议、DSCP等类型；同一类型的过滤条件之间为“或”的关系，不同类型的过滤条件之间为“与”的关系。l 以IP地址（本地IP和远程IP）为过滤条件时，可以通过IP地址和掩码的配合来设定，如/24即是将过滤条件设定为192.168.1.x整个网段；如果过滤条件为单个的IP地址，则将掩码设置为32，如00/32；掩码值为空时当做

55、32处理；图 6-5 l 也可通过直接划定IP地址段来设定IP地址过滤条件；图 6-6 l 以端口（本地端口和远程端口）过滤条件时，通过输入端口范围来设定；如1000->1024；如果过滤条件为单个端口，则将端口范围的开始值和结束值设为相同值即可，如21->21，或者只填入开始值，如21； 图 6-7 l 以协议为过滤条件时，可以通过选中下拉框中包含的协议（11种常见协议）完成，也可手动输入协议对应的协议值完成；图 6-8 l 以DSCP为过滤条件时，输入DSCP范围的开始值和结束值即可； 图 6-93. 优先级设定通过过滤条件筛选出的数据流的优先级；不同的优先级对应着不同的的带宽资源使用上的优先权和管理方案；系统对网络数据流共分了0到7八个级别，其中P2P的数据流默认设定为优先级0，VoIP的数据流默认设定为优先级7；当某些数据流同时匹配多条策略，且每条策略所设置的优先级不相同时，则取最高的优先级设定；图 6-10