山石网科系列和cli操作手册stoneos webui用户手册

Copyright2017HillstoneNetworks,Inc..All Informationinthisissubjecttochangewithoutnotice.Thesoftwaredescribedinthisisfurnishedunderalicenseagreementornondisclosureagreement.Thesoftwaremaybeusedorcopiedonlyinaccordancewiththetermsofthoseagreements.Nopartofthispublicationmaybereproduced,storedinaretrievalsystem,ortransmittedinanyformoranymeanselectronicormechanical,includingphotocopyingandrecordingforanypurposeotherthanthepurchaser's alusewithoutthewrittenpermissionofHillstoneNetworks,Inc..HillstoneNetworks,联系信公司总部（总部：100192们：关于本手本手册介绍HillstoneNetworks,Inc.公司的产品系统的使用方法。获得的文档资料，请：.cnHillstoneNetworks,.cnTWNO:TW- -V1.0-目 欢 第1章新手指 WebUI界 初始配 安装 创建系统管理 创建可信主 升级系统版 特征库升 如何连通网 在路由模式下连通网 通过3G方式连通网 恢复出厂配 通过CLR按键方 通过WebUI方 第2章部署您的设 设备工作原 StoneOS系统架 安全策略规 数据包处理流 二层转发域中的转发规 三层转发域的转发规 部署透明模 部署路由模 部署混合模 部署旁路（Tap）模 第3章首 个性化配 信 视 用户信 应用信 总流 接口列 系统信 统计周 第4章 第5章网络连接 安全域 配置安全 接 配置接 新建PPPoE接 新建隧道接 新建VirtualForward接 新建回环接 新建集聚接 新建冗余接 新建以太网子接口/集聚子接口/冗接 新建VSwitch接口/VLAN接 编辑以太网接口/HA接 MGT接 配置MGT接 配置 配置DNS服务 配置DNS 解析配 DNS缓 NBT缓 配置DHCP服务 配置DHCP中继77 配置 配置 Virtual 配置Virtual 配置VirtualWire模 虚拟路由 新建虚拟路由 全局配 虚拟交换 新建虚拟交换 目的镜像接 新建无线网 无线网络高级配 连接3G网 配置3G连 数据卡管理配 PIN码自动验 启用/禁用PIN码保护功 PIN码修 PIN码认 PIN 出站负载均 配置LLB模 配置LLB规 DNS均衡配 入站负载均 新建SmartDNS规则 应用层网 开启应用层网 全局网络参 配置全局网络参 配置防护模 第6章高级路由功 配置目的路 新建目的路 配置目的接口路 新建目的接口路 配置源路 新建源路 配置源接口路 新建源接口路 配置ISP信 新建ISP信息配置文 上传ISP信息配置文 保存ISP信息配置文 配置ISP路 新建ISP路 配置策略路 新建策略路 新建策略路由规 配置策略路由规则优先 应用策略路 DNS重定 设置全局匹配顺 WAP智能分 启用WAP智能分 配置DNS服务 配置条 配置策略路由规 查看WAP智能分流统计数 配置 新建 第7章用户认 用户认证流 Web认 使用向导配置Web认 配置Web认证的全局参 NTLM认 步骤一：在系统上进行配 步骤二：在用户PC上进行配 修改Web认证登录页 单点登 开启SSORadius实现单点登 通过ADScripting实现单点登 步骤一：在AD服务器上配置程 步骤二：在系统上配置ADScripting功 通过ADPolling实现单点登 通过SSOMonitor实现单点登 使用ADSecurityAgent实现单点登 步骤一：在PC或服务器上安装并运行ADSecurity 步骤二：在系统上配置AD服务 配置802.1x认 创建802.1x 查看用 创建PKI密 创建信任 导入密 导入导出信任域的信 导入可信 用 第8 基础概 安全 封装方 协商方 配置 配置P1提 配置P2提 配 对 配置 配置手工密 查看IPSec信 配置 工作流 链路冗 配置PnP 配置IPSec-XAUTH地址 SSL 配置SSL 配置资源列 配置SSL地址 配置 认证登录 主机绑 配置主机绑 配置主机绑定与解除绑 配置超级用 配置共享主 导入/导出已绑定主机列 主机检 基于角色的控制和主机检测流 配置主机检测规 客户端for 与安装客户 使用“用户名/”认证方 使用“用户名/+数字”认证方 使用“数字”认证方 启动客户 使用Web方式启动客户 使用“用户名/”认证方 使用“用户名/+USBKey”方式认 使用“用户名/+软”方式认 使用“USBKey”方式认 使用“软”方 直接启动客户 使用“用户名/”认证方 使用“用户名/+USBKey”方式认 使用“用户名/+软”方式认 使用“USBKey”方式认 使用“软”方 查看客户端图形用户界 统计信 接口信 路由信 查看客户端菜 配置HillstoneSecure 设置通用选 添加登录信息条 SSL客户端for 与安 启动与登 连接状 连接配置管 添加登录信息条 编辑登录信息条 删除登录信息条 修改设备端登 断开与设备端的连接/登入设备 连接日 系统配 关于我 SSL客户端for 安装与建立连 建立连 连 日 关于我 SSL客户端forMac 与安 启动与连 客户端 连接列 连接信 状态 客户端菜 SSL客户端for 与安启动与连升级与卸客户端 连接列 连接信 状态 客户端菜 配置L2TP 配置L2TP地址 查看用 第9章对 地址 新建地址簿条 查看地址簿条目详 新建条 服务 预定义服务及预定义服务 自定义服 自定义服务 配置服务 配置自定义服 配置自定义服务 查看服务条目详 应用 编辑预定义应 新建自定义应 新建自定义应用 新建应用过滤 新建静态特征规 查看应用条目详 SLB服务器 配置SLB服务器池条目和监测规 查看SLB服务器池条目详 时间 周期计 绝对计 创建时间 AAA服务 配置本地AAA服务 配置Radius服务 配置ActiveDirectory服务 配置LDAP服务 配置TACACS+服务 连通性测 用 本地用 新建用 新建用户 导入用户列 导出用户列 LDAP用 同步用 ActiveDirectory用 同步用 用户绑 添加用户绑 导入用户绑定列 导出用户绑定列 角 新建角 创建角色映 新建角色组 监测对 新建监测对 URL过 配置URL过 查看URL统 查看上网日志记 配置URL过滤对 预定义URL 更改预定义URL库更新配 升级URL 本地升级URL 自定义URL 配置自定义URL 导入URL列 清除URL列 URL查 查询URL信 配置URL查询服务 关键字类 配置关键字类 页面提 配置用户被阻断警告信 配置用户被警告信 数据安 文件过 配置文件过滤规 查看文件过滤日 内容过 网页关键 配置网页关键 查看网页内容关键字阻断统 查看网页内容关键字日 Web外发信 配置Web外发信 查看Web外发信息关键字阻断统 查看Web外发信息关键字日 邮件过 配置邮件过 查看邮件内容关键字阻断统 查看邮件过滤关键字日 应用行为控 配置应用行为控制规 查看应用行为控制日 上网行为审 配置上网行为审 查看上网行为审计日 第10章策 安全策 配置策略规 查看及过滤策略规 管理策略规 启用/禁用策略规 策略规 调整优先 设置策略规则默认动 查看及策略命中 规则冗余检 命中数检 用户上线通 配置用户上线通知功 配置用户上线通知功能参 查看上线通知用 实现机 管道与流控层 管 流控层 开启 管 基本操 配置管 NAT的基本转换过 设备的NAT功 配置源 启用/禁用NAT规 /粘贴源NAT规 调整优先 导出NAT444静态端口块映射 命中 命中数 命中数检 配置目的 配置IP映射类型的目的 配置端口映射类型的目的 配置NAT规则的高级配 启用/禁用NAT规 /粘贴目的NAT规 调整优先 命中 命中数 命中数检 查看负载均衡服务器及地址池状 查看服务器状 查看SLB服务器地址池状 会话限 配置会话限制规 清除统计信 ARP防 配置ARP防 配置ARP绑 配置静态绑 获取动态绑定信 强制绑定IP-MAC-端口绑定信 导入/导出绑定信 配置ARP认 配置ARP检 配置 查看DHCP列 配置主机防 工作模 当设备作为Web客户端一侧的网关 配置SSL相关参 指定设备的PKI信任 获 的CN 配置可信SSL列 导入设备到客户端Web浏览 配置SSL 当设备作为Web服务器一侧的网关 配置SSL 绑定SSLProfile到策略规 配置IP阻 配置服务阻 第11章防 防护特征 过 配置过 过滤配置准备工 配置过滤功 配置过滤规 配置过滤全局参 防 特征介 配置防 防御配置准备工 配置防御功 配置防御规 配置防御全局参 管理特征规 检索特 管理特 配置防御白 沙箱防 配置沙箱防护功 沙箱防护配置准备工 配置沙箱防护功 配置沙箱防护规 沙箱全局配 列 信任列 防 ICMPFlood和UDPFlood398 SYNFlood398WinNuke398IP地址（IPSpoofing）398地址扫描与端口扫描398ofDeath398Teardrop防 Smurf398Fraggle399Land399IPFragment399IPOption399HugeICMP包399TCPFlag异常399DNSQueryFlood399TCPSplitHandshake399配置防 边界流量过 启用边界流量过滤功 配置自定义黑白 查询黑白 第12章 用户 概 用户详 地址簿详 地址 统计周 应用 概 应用详 应用组详 设置需要统计的应用 统计周 云应用 概 云应用详 统计周 终端接入422设备423 统计周 详细信息页 IP 概 用户 URL类 统计周 链路状态 链路状 链路配 统计周 应用阻 概 应 用户 统计周 关键字阻 概 网页关键 邮件内 Web外发信 用户 统计周 认证用 配 自定义 新建统计 查看统计集信 WAP智能分 报 报表汇 自定义任 新建自定义任 启用/禁用自定义任 查看报表文 快捷任 配置快捷任 查看报表文 日 日志的严重等 日志信息输出目的 日志信息格 日网络日配置日日会话日PBR日NAT日 URL日 文件过滤日 内容过滤日 上网行为审计日 云沙箱日 日志管 配置日志信 日志配置选项说 日志配 日志服务器配 新建日志服务 设置日志编 Web邮件配 设备名称配 配 第13章分析诊 测试工 DNS查 第14章高可靠 HA基础概 HA HA HA HA组接口和虚拟 HA HA同 配置 第15章系统管 系统信 查看系统信 管理设 管理 VSYS管理 新建管理 管理员角 可信主 新建可信主 管理接 系统时 设置系统时 设置 NTP密 新建NTP密 设置及操 重启系 系统调 故障反 系统调试信 管理配置文 备份/恢复配置文 查看当前系统配 设置 配置 新建SNMP主 Trap主 V3用户 V3用 升级管 升级版 升级特征 安装 证展 申请 安装 配置邮件服务 新建邮件服务 发送参 Modem设备状 认证发送参 测 连接山石云· 云·景典型应用场 连接山石云· 连接提 连接 HSM应用场 连接 测试工 DNS查 虚拟系 VSYS对 根VSYS和非根 VRouter、VSwitch、安全域和接 新建非根 配置非根VSYS专有和共享属 配置VSYS资源 感谢您选择山石网科产品以下内容可以帮助您了解如何操作山石网科的产品新手指新手指南（PDF《StoneOS5.5Cookbook》（PDF系统操作手《StoneOSWebUI用户手册》（PDF）《StoneOS命令行用户手册》（PDF）《P版本增补手册》（PDF）《StoneOS日志参考指南》（PDF《StoneOSSNMP私有MIB信息参考指南》（PDF硬件安装手各系列硬件参考指南（PDF各系列扩展模块参考指南（PDF虚拟CloudEdge云·界虚拟安装手册（PDFCloudHive云·格虚拟安装手册（PDF技术支持欢 第1章新手指本新手指南帮助用户初次快速完成设备的上线"WebUI界面"在第2"初始配置"在第4安装创建系统管理员配置可信主升级特征"如何连通网络"在第8在路由模式下连通网络在3G模式下连通网络第1章新手指 WebUI界设备的ehernet/接口配有默认IP地址.../，并且该接口的、、NP、TTP管理功能均为开启状态(部分定制版本略有差异)。初次使用设备时，用户可以通过该接口设备的WeUI界面。搭建WebUI配置环境，请按照以下步骤进行配置将P的IP地址设置为与.../同网段的IP地址，在P的本地连接属性中，设置nerne协议版本（TP/IPv）如下：用网线将PC与设备的ethernet0/0接口进行连接在PC的Web浏览器中输入地址“”并按回车键，打开登录页面 第1章新 指输入用户名和。设备提供的默认用户名和均为“hillstone”在首次登录地址时，用户需要阅读并接受“最终用户协议”，点击“最终用户协议“，查看协议详细内容点击“登录”按钮，进入WebUI的主页面第1章新手指 初始配安装在获得证字符串或者证文件后，按照以下步骤安装证点击“系统>证”在<证申请>处，选择以下三种方式中的一种导入证上传证文件：选中“上传证文件”单选按钮，点击“浏览”按钮，并且选中证文件（证为纯文本.txt文手动输入：选中“手动输入”单选按钮，然后将证字符串内容输入到对应的文本框安装：选中“安装”单选按钮后，点击“安装”按钮，系统会自动安装已经的证。需要注意的是，用户安装前必须保证hillstone 平台中的证处于激活状态。激活证，用户需要获得hillstone注册平台的用户名和（用户名为设备时用户提供的邮箱，山石网科会以邮件的方式将发送到此邮箱），然后 /reqlicense,激活需要安装的证即可。如果用户是从Hillstone商的设备，请联系商激活证。点击“确定”按钮点击“系统>设备管理”，在<设置及操作>页，点击“重启设备”设备重启之后完成证的安装创建系统管理系统管理员拥有读、执行和写权限，可以在任何模式下对设备所有功能模块进行配置、查看当前或者历史配置信息创建系统管理员，请按照以下步骤进行操作点击“系统>设备管理” 第1章新 指在<在<管理员 页，点击”新建“按钮在<在<管理员配置 框填写系统管理员的基本信选 配置管理 管理员角 选择“系统管理员重新输 登录类 选 net、SSH、HTTP和HTTPS的方式登点击“确定”按钮保存所做配置注意注意:设备拥有一个默认系统管理员“hillsone”，用户可以对系统管理员“hillone”进行编辑（只可编辑 和 方式），但是不能删除该管理员。创建可信主系统管理员可以指定一个IP地址范围，在该指定范围内的主机为可信主机。只有可信主机才可以对进行管理创建可信主机，请按照以下步骤进行操作第1章新手指 点击“系统>设备管理”选选择”可信主机 页，点击”新建“按钮在<可信主机配置>框填写可信主机的基本信选配置类登录类选择IP地址和掩码选择可信主机的登录net、SSH、HTTP和HTTPS点击”确定“按钮保存所做配置升级系统版注注意:在升级系统版本之前，建议用户备份配置文件升级系统版本，请按照以下步骤进行操作点击“系统>升级管理”在<在<版本升级 页，点击“浏览”按钮，然后在本地PC选择新的软件版本文件勾选“重启设备”后的复选框，然后点击“应用”按钮设备将自动重启并且升级到新的系统版本特征库升默认情况下，系统会每日自动更新特征库 第1章新 指注意注意 所有特征库升级 证控制，如需升级特征库，请先为确保 并安装完成对应 证升级特征库，请按照以下步骤进行操作选择“系统级管理”选择<特征库升级>页，找到需要升级的特征库部分选择以下两种方式中的一种升级特征库升级：点击“立即升级”按钮，立即升级特征库本地升级：上传本地升级文件。点击“浏览”按钮，选中本地特征库特征文件，点击“上传”按钮，系统开始上传特征第1章新手指 如何连通网在路由模式下连通网在路由模式下，通常使用设备作为网关连接内网和互联网。本节中的示例将基于以下拓扑图，介绍如何连通内网和外部网络步骤一：连接设将设备的接口（如ehernet/）连接到运营商网络中，一般情况下，接口选择属于unru安全域。将设备另一个接口（如etherne/）连接到内网中，默认情况下，ehernet/属于ru安全域。连接电源为设备上电通过内网接口系统WebUI界面，请参阅"WebUI界面"在第2页步骤二：配置接口点击“网络>接口”双击ethernet0/1接口在<ethernet接口>框填写接口的基本配置信息 第1章新 指选选 配置三层安全静态三层安全静态勾选相应协议复选框，指定接口对应的设备的方式类管理方点击“确定”按钮完成相关配置默认情况下，内网接口ethernet0/0属于trust安全域，并配有IP地址/24，无需再配置步骤三：配置源NAT规则，将内网IP转换为出接口IP点击“策略>NAT>源NAT点击”新建“按钮在<源NAT在<源NAT配置 框填写源NAT规则的基本配置信息选 配置地址条目,地址条目,地址条目,地址条目,出接口,出接口启步骤四：配置策略规则，允许内网用户点击“策略>安全策略”点击列表左上角的“添加”按钮第1章新手指 在<策略配置 框在<策略配置 框填写策略规则的基本配置信息选 配置源信目的信其他信其他信----允----允点击“确定”按钮步骤五：配置默认路由点击”网络>路由>目的路由“ 第1章新 指点击”新建“按钮在<在<目的路由配选网框填写目的路由的基本配置信息配置（表示匹配所有的网段点击“确定”按钮通过3G方式连通网对于一台装有3G数据卡的设备，当设备工作在路由模式下时，可以通过3G拨号方式接入3G注注意:请先向运营商索取3G参数（接入点、用户名 、拨号串）本节中的示例将基于以下步骤一：配置3G基本参数第1章新手指 点击“网络>3G 任意值任意值（TD-任意值任意值（TD-*99#（TD-选中“任意”单选按用户步骤二：配置策略规则 第1章新 指点击“策略>安全策略”点击列表左上角的“新建”按钮在<策略配置 框在<策略配置 框填写策略规则的基本配置信息选 配置源信目的信其他信其他信----允----允步骤三：配置用户PC的IP地址、网关和DNS。（IP地址需与ethernet0/0在同一网段，DNS必须指定为公网DNS）第1章新手指 恢复出厂配注意注意:该操作将使设备恢复到出厂配置，即所有配置将被删除，包括已备份的系统配置文件。请谨慎操作！恢复设备的出厂配置有两种方式，分别是通过CLR按键方式：使用设备的CLR按键进行恢复通过WebUI方式：通过WebUI清除配置以恢复出厂配置通过CLR按键方使用CLR按键恢复出厂配置，请按照以下步骤进行操作关闭设备的电源用针状物按住CLR按键的同时打开设备的电源保持按住状态直到指示灯STA和ALM均变为红色常亮，释放CLR按键。此时系统开始恢复出厂配置出厂配置恢复完毕，系统将会自动重新启动通过WebUI方通过WebUI方式恢复出厂配置，请按照以下步骤进行操作点击“系统>配置文件管理点击“备份恢复”按钮在<在<配置备份/恢复 框，点击“恢复”按钮在<恢复出厂配置>框，点击“确定”按钮设备将自动重启,重启后完成恢复出厂配置 第1章新 指第2章部署您的设备在开始使用产品之前，首先请了解 的基本工作原理。如果您能掌握的架构、基本概念和数据处理流程，您可以更合理地构建您的网络布局，充分发挥 的功能。"设备工作原理"在第16有多种部署模式，每个部署模式适用于不同的应用场景。主要的应用场景分为以下几种"部署透明模式"在第21适用于用户不希望改变现有网络规划和配置的场景。透明模式中，是“不可见的”，不需配置新的IP地址，只利用防火墙做安全控制。"部署路由模式"在第25适用于需要提供路由和NAT功能的场景。路由模式中，连接不同网段的网络，通常为内部网络和互联网，且防火墙的每一个接口都分配IP地址。"部署混合模式"在第30如果在网络中既有二层接口，又有三层接口，那么处于混合模式"部署旁路（Tap）模式"在第31用户希望试用的、统计、防御功能，暂时不将直连在网络里，可以选用旁路模式第2章部署您的设 设备工作原作为一种产品，通过控制进出网络的流量，保护网络的安全。的基本原理是通过分析数据包，根据已有的策略规则，允许或阻断数据流量。除此之外，也具有连通网络的功能，实现安全可信区域（内部网络）和不信任区域（外部络）之间的桥接。StoneOS系统架组成StoneOS系统架构的基本元素包括安全域：域是一个逻辑实体，将网络划分为不同部分，应用了安全策略的域称为“安全域”。例如，trust安全域通常为内网接口：接口是流量进出安全域的通道，接口必须绑定到某个安全域才能工作。默认情况下，接口都不能互相，只有通过策虚拟交换机（VSwitch）：具有交换机功能。VSwitch工作在二层，将二层安全域绑定到VSwitch上后，绑定到安全域的接口也在VSwitch中实现。并且，流量可以通过VSwitch接口，实现二层与三层之间的转发虚拟路由器（Rouer）：简称为R。Rouer具有路由器功能，不同R拥有各自独立的路由表。系统中有一个默认R，名为rus-vr，默认情况下，所有三层安全域都将会自动绑定到rut-vr上。系统支持多R功能且不同硬件平台支持的最大R数不同。多R将设备划分成多个虚拟路由器，每个虚拟路由器使用和各自完全独立的路由表，此时一台设备可以充当多台路由器使用。多R使设备能够实现不同路由域的地址与不同R间的地址，同时能够在一定程度上避免路由，增加网络的路由安全。策略：策略是设备的基本功能，控制安全域间/不同地址段间的流量转发。默认情况下，设备会设备上所有安全域/接口/地址段之间的信息传输。策略规则（Rule）决定从安全域到另一个安全域，或从一个地址段到另一个地址段的哪些流量该被允许，哪些流量该被。StoneOS系统的架构中，安全域、接口、虚拟路由器和虚拟交换机之间具有从属关系，也称为“绑定关系”各个元间的关系为：接口绑定到安全域，安全域绑定到ih或Rouer，进而，接口也就绑定到了某个ih或Rouer。一个接口只能绑定到一个安全域上，一个安全域可以绑定多个接口。二层安全域只能绑定到ich上，三层安全域只能绑定到Rouer上。 第2章部署您的安全策略规默认情况下，所有的接口之间的流量都是的。不同的安全域之间、相同的安全域之内的接口流量均不能互访。要实现接口的互访，只有通过创建策略规则，才能将流量放行。注注意:如果既有从源到目的的，又有反方向的主动，那么就要创建两条策略规则，允许双方向的流量通过；如果只有单方向的主动，而反方向只回包即可，那么只需要创建源到目的的一条单方向的根据接口所属的安全域、VSwtich或VRouter的不同，要创建不同的策略才能允许接口互访，具体的规则如下属于同一个安全域的两个接口实现互访需要创建一条源和目的均为该安全域的策略两个二层接口所在的安全域属于同一VSwitch，实现接口互访需要创建两条策略，第一条策略允许从一个安全域到另一个安全域流量放行，第二条策略允许反方向的流量通过例如，要实现上图中的eth/与eh/的互访，需要创建从-one到-one的策略和-one到-one这两条策略。两个二层接口所在的安全域属于不同的VSwtich的，实现接口互访每个ih都具有唯一的一个tih接口（ichF），该ihF与某个三层安全域绑定。要实现互访，需要创建放行策略，源是一个wihF所属的三层安全域，目的是另一个ihF所属的三层安全域。同时，还需要创建反方向的策略。两个三层接口所在的安全域属于同一VRouter，实现接口互访两个三层接口所在的安全域从属于不同的VRouter的，实现接口互访若要实现接口互访，需要创建策略规则，允许从一个VRouter到另一个VRouter之间的流量放行同一VRouter下的二层接口和三层接口，实现互访创建允许流量通过的策略，策略的源是二层接口的ichF所绑定的三层安全域，策略的目的是三层接口所属的三层安全域。然后，再创建反向策略。例如，要实现eth0/0与eth0/2的互访，需要创建从L3-zone1到L2-zone1的策略，以及反向策略数据包处理流二层转发域中的转发规则在一个ich，即一个二层转发域中，oneO通过源地址学习建立A地址转。每个ih都有自己的A地址转发表。oneO根据数据包的类型（IP数据包、ARP包和非IP且非ARP包），分别进行不同的处理。对于IP数据包，StoneOS遵循以下转发规则收到数据包学习源地址，更新MAC地址转第2章部署您的设 如果目的MAC地址是单播地址，则根据目的MAC地址查找出接口。这时又有以下两种情况如果目的A地址为Vich接口的A地址，并且ic接口有I地址，则按照路由转发规则进行转发；若Vich接口没有IP地址，则丢弃。根据目的MAC地址找到出接口。如果找到的出接口是数据包的源接口，则丢弃该数据报，否则从出接口继续转发数据如果在MAC地址表中没有找到出接口（未知单播），直接跳到第6步根据入接口和出接口确定源域和目的安全域查找策略规则。如果策略规则允许则转发数据包；如果策略规则不允许，则丢弃数据包如果在MAC地址转中没有找到出接口（未知单播），StoneOS则尝试将数据包发给VSwitch中的所有其它二层接口，此的操作流程为：把其它的每一个二层接口做为出接口，二层接口所在的二层安全域作为目的域，查询策略规则，如果策略允许，则在该二层接口转发数据包，如果策略不允许，则丢弃数据包。概括地说，对未知单播的转发即为策略限制下的广播。对于广播和多播IP包的处理类似于对未知单播的处理，不同的是广播和多播IP包会被同时拷贝一份进行三层处理对于ARP包，广播包和未知单播包转发到VSwitch中的其它所有接口，同时，一份由ARP模块进行处理 第2章部署您的三层转发域的转发规则识别数据包的逻辑入接口，可能是一般无接口，也可能是子接口。从而确定数据包的源安全域StoneOS对数据包进行检查。如果源安全域配置了防护功能，系统会在这一步同时进行防护功能检查会话查询。如果该数据包属于某个已建立会话，则跳过4到10，直接进行第11步目的NAT（NAT）操作。如果能够查找到相匹配的NAT规则，则为包做NAT标记。因为路由查询需要NAT转换的IP地址，所以先进行NAT操作。说明：如果系统配置静态一对一BNAT规则，那么先查找匹配的BNAT规则。数据包匹配了BNAT规则之后，按照BNAT的设定进行处理，不再查找普通的NAT规则。第2章部署您的设 路由查询。系统的路由查询顺序从前到后依次为：策略路由（PBR）>源接口路由（SIBR）>源路由（SBR）>目的路（DBR）>ISP路由。此时，系统得到了数据包的逻辑出接口和目的安全域源NAT（SNAT）操作。如果能够查找到相匹配的SNAT规则，则为包做SNAT标记说明：如果系统配置静态一对一BNAT规则，那么先查找匹配的BNAT规则。数据包匹配了BNAT规则之后，按照BNAT的设定进行处理，不再查找普通的NAT规则。下一跳R查询。如果下一跳为R，则继续查看指定的下一跳R是否超出最大R数限制（当前版本系统仅允许数据包最多通过个R），如果超过则丢弃数据包，如果未超过，返回；如果下一跳不是R，则继续进行下一步策略查询。策略查询。系统根据数据包的源安全域、目的安全域、源IP地址和端、目的IP地址和端以及协议，查找策略规则。如果找不到匹配的策略规则，则丢弃数据包；如果找到匹配的策略规则，则根据规则指定的行为进行处理，分别是：允许（Permit）：允许数据包通过（Deny）：数据包通过隧道（Tunnel）：将数据包转发到指定的隧道是否来自隧道（Fromtunnel）：检查数据包是否来自指定的隧道，如果是，则允许通过，如果不是，则丢Web认证（WebAuth）：对符合条件的流量进行Web认证第一次应用类型识别。系统根据策略规则中配置的端和服务，尝试识别应用类型会话建立如果需要，进行第二次应用类型识别。根据数据包的内容和流量行为再次对应用类型进行精确识别应用层行为（ALG）控制。为特定的复杂协议实施自适应处理根据会话中记录的信息，例如NAT标记等，执行相应的处理操将数据包转发到出接口 第2章部署您的部署透明模透明模式也称为“网桥模式”、“透明桥接模式”。透明模式适用网络中已部署好路由器和交换机，用户不希望更改原有的网络，只需要一台进行安全防护的场景。透明模式有以下优点：无需修改受保护网络的IP无需为进入受保护网络的报文创建NAT规则一般情况下，透明模式的部署在原有网络的路由器和交换机之间，或者部署在互联网和路由器之间，内网通过原有的路由器上网，只做安全控制。下面以部署在路由器和交换机之间为例，说明如何使用透明模式。网络管理员连接管理口eth/对进行配置，使用网线将接口eth/与路由器连接，将接口eth/与交换机连接，原有内网部署不改变。配置透明模式的步骤如下步骤一：初始登录将管理员的PC的IP地址设置为与/24同网段的IP地址，并且用网线将管理PC与设备的ethernet0/0接口进行连接在PC的Web浏览器中输入地址“”并按回车键，打开登录页面输入用户名和。设备提供的默认用户名和均为“hillstone”第2章部署您的设 点击“登录”按钮，进入WebUI的主页面步骤二：配置接口和安全配置eth0/1为接口选择“网络口”双击“ethernet0/1”，弹出<Ethernet接口>框，做如下配置点击“确定”配置eth0/2为内网接口选择“网络口”双击“ethernet0/2”，弹出<Ethernet接口>框，做如下配置点击“确定”步骤三：配置策允许内网互联网的策略 第2章部署您的选择“策略全策略”点点击“新建”，在弹出<策略配置 框做如下配置点击“确定”允 内网的策略选择“策略全策略”点点击“新建”，在弹出<策略配置 框做如下配置点击“确定”其他策略：以上两条策略保证了透明模式下，内之间的互通。若用户需要某些流量，例如P2P，可以继续创步骤四（可选）：配置Vswitch接口为管理接口，方便内网使内网任意一台PC均可登录进行管理，可以将一个VSwtich接口设置为管理接口选择“网络口”点击“新建>VSwtich接口”，在弹出的<VSwtich接口>框中做如下配置第2章部署您的设 点击“确认”在的一台PC上打开浏览器，输入上述VSwtich接口的IP地址，即可登录StoneOS系统的管理界面 第2章部署您的部署路由模路由模式常配合NAT功能使用，故也称做“NAT模式”。在路由模式下，每个接口都有P地址，属于三层安全域。在这种配置应用下，设备既具有路由功能，又具有安全策略功能。并且在路由应用模式下，用户还可以通过配置NAT规则实现地址转换功能。在路由模式下，通常使用设备作为网关连接内网和互联网。本节中的示例将基于以下拓扑图，介绍如何连通内网和外部网络步骤一：连接设将设备的接口（如ehernet/）连接到运营商网络中，一般情况下，接口选择属于unru安全域。将设备另一个接口（如etherne/）连接到内网中，默认情况下，ehernet/属于ru安全域。连接电源为设备上电通过内网接口系统WebUI界面，请参阅"WebUI界面"在第2页步骤二：配置接口第2章部署您的设 点击“网络>接口”双击ethernet0/1接口在<ethernet接口在<ethernet接口 框填写接口的基本配置信息选 配置绑定安全 三层安全安全 类 静态IP地 网络掩 管理方 勾选相应协议复选框，指定接口对应 设备的方式点击“确定”按钮完成相关配置默认情况下，内网接口ethernet0/0属于trust安全域，并配有IP地址/24，无需再配置步骤三：配置源NAT规则，将内网IP转换为出接口IP 第2章部署您的点击“策略>NAT>源NAT点击”新建“按钮在<源NAT在<源NAT配置 框填写源NAT规则的基本配置信息选 配置源地 地址条目,目的地 地址条目,出流 出接口,转换 出接口 启点击“确定”按钮步骤四：配置策略规则，允许内网用户点击“策略>安全策略”点击列表左上角的“添加”按钮第2章部署您的设 在<策略配置 框在<策略配置 框填写策略规则的基本配置信息选 配置源信目的信安全地其他信----允点击“确定”按钮步骤五：配置默认路由点击”网络>路由>目的路由“ 第2章部署您的点击”新建“按钮在<在<目的路由配选网框填写目的路由的基本配置信息配置（表示匹配所有的网段点击“确定”按钮第2章部署您的设 部署混合模如果用户的网络中，既需要配置二层接口（透明模式），又需要三层接口（路由模式），那么该处于混合模式在配置方法上，用户需要结合路由模式和透明模式两种部署方式对网络进行管理，请参两种模式的配置步骤，此处不再赘述 第2章部署您的部署旁路（Tap）模式通常情况下，设备在网络部署上会串联到网络中，以直路的方式对网络流量进行分析、控制以及转发。但是，如果仅需要使用部分功能，例如IP、防、及网络行为控制等，既可以使工作在直路模式下，也可以工作在旁路模式下。设备工作在旁路模式下时，仅对流量进行统计、扫描或者记录，并不对流量进行转发，同时，网络流量也不会受到设备本身故障的影响，所以，对于仅有审计需求的情况，使用旁路模式将会更加有效合理。旁路模式将物理接口绑定到Ta域（旁路模式功能域）的方式实现。绑定后，该物理接口就成为旁路接口，此时，设备对从旁路接口收到的流量进行统计、扫描或者记录，即可实现旁路模式。下图为illsone设备旁路模式工作原理示意图。使用网线将交换机的e接口与设备的e接口连接，设备以旁路模式部署在网络中。e为设备的旁路接口，e为设备的旁路控制接口；e为交换机的镜像接口。注意注意:在本设备上配置旁路模式之前，需要在主干网络的交换机上配置，使交换机通过e接口将网络流量镜像到e上，从而使设备能够对e接收到的流量进行统计、扫描和记录。此处以利用旁路模式，实现IPS为例，介绍旁边路模式的操作步骤一：创建Tap安全域，绑定接选择“网络>安全域”，点击“新建”第2章部署您的设 选配置安称输入名称“tap-类绑定接在列表中选择接受旁路流量的接口。（旁路接口只能为物理接口、接口或者冗余接口，不能是子接口。）点击“确定”步骤二：创建IPS规选择IPS“点击“新建”，在弹出的框输入规则名称在特征集配置部分配置特征集在协议配置部分配置协议点击“确定”按钮，完成IPS规则配置步骤三：将IPS规则添加到Tap安全选择“网络>安全域”，然后双击打开上面创建的安全域在<防护>页，启用IPS功能，并绑定刚刚创建的IPS规则点击“确定”按钮（可选）步骤四：配置控制接口阻断流控制接口用于发送控制报文（目前可以发送TPRT控制报文）。在旁路设备中配置P、过滤或者网络行为控制的阻断功能后，如果设备检测到、或者受限的行为，就会通过旁路控制接口向干路设备发送TPRT控制报文，重置TP连接，从而对流量进行阻断。默认情况下，旁路控制接口为旁路接口本身。旁路控制接口只能在命令行界面中配置，不能在WeU界面配置。在旁路接口配置模式下使用以下命令：tapcontrol-interfaceinterface-interface-name–指定接口名称 第2章部署您的在旁路接口配置模式下，使用notapcontrol-interface命令取消旁路控制接口的指定第3该功能在不同平台上的呈现方式有所差异，请以实际页面为准首页显示系统和的各项信息。首页窗口具体布局，请参考下图个性化配用户可以根据需要，定制首页所显示的功能或修改功能区域位置定制首页显示功能，请按照以下步骤进行操作点击首页右上角“个性化”按钮在展开的列表中，勾选需要显示在首页的功能复选框修改功能区域位置，请按照以下步骤进行操作鼠标悬停在功能区标题部当出现时，鼠标按住功能区域，拖动到需要显示的区域位置即可信显示指定统计周期内前10的统计信息用户可以在此区域执行以下操作下拉菜单用于指定显示 排序类型：目的IP、源IP 名称视视图部分以柱状图方式显示指定统计周期内的设备统计信息点击柱状图跳转到iCenter页面，并且按照对应的级别筛选出指定条目用户信显示指定统计周期内的前10的用户流量用户可以在此区域执行以下操作应用信显示指定统计周期内的前10的应用流量 第3章首用户可以在此区域执行以下操作下拉菜单用于指定显示的应用排序类型：流量或新建连接数区域右上角 按钮用于将统计图在列表和图形之间切换鼠标悬停在某应用对应的柱状图上，查看该应用的总流量值或新建连接数，点击“详细信息”跳转到对应详细页面总流显示设备指定统计周期的整机总流量接口列显示设备所有物理接口的统计信息，包括接口名称、主IP、上行速率、下行速率以及总速率系统信显示系统的主要信息序列号：显示该设备的序列号主机名称：显示该设备指定的名称硬件平台：显示设备的硬件平台型号第3章首 系统时间：显示该设备的系统日期和时间系统运行时间：显示系统已运行的时长HA状态：显示设备的高可用性工作状态。包括以下六种状态Standalone：非HA模式，表示设备没有开启HA功能Init：HA初始状态o：HA协商状态，表示设备在协商HA的主备关系Master：HA主状态，表示当前设备为HA组的主设备Backup：HA备状态，表示当前设备为HA组的备份设备Failed：故障状态，表示当前设备故障软件版本：显示设备当前的软件版本，以及上次更新时间启动文件：显示设备本次启动的系统软件包名称过滤特征库：显示设备防特征库版本号，以及上次更新时间防御特征库：显示设备防御特征库版本号，以及上次更新时间URL分类库：显示设备的URL分类特征库版本号，以及上次更新时间应用特征库：显示设备的应用特征库版本号，以及上次更新时间IP信誉特征库：显示设备IP信誉特征库版本号，以及上次更新时间统计周用户可以通过各项统计信息右上角的统计周期下拉菜单（）指定统计周期实时:显示最近5分钟的统计信息最近1小时:显示最近1小时的统计信息最近1天:显示最近1天的统计信息。最近1周：显示最近1周的统计信息。最近1月:显示最近1月的统计信息自定义：自定义统计周期。选中该选项，系统弹出<自定义时间>框，用户可根据需要选择时间周期。用户最远可以指定从当前时间起往前30天的时间周期。用户可以通过页面右上角的刷新间隔设置显示数据的刷新间隔注意注意:仅有部分平台的部分统计对象支持显示最近一周和自定义统计周期的统计信息，请以实际页面为准。 第3章首第4章iCenter仅有部分平台支持该功能，请以实际页面为iener即智能风险中心，针对设备管理的全网范围内受到的所有，提供度、次的结果展现。如开启IPv功能，用户可通过iener页面，查看IPv地址的。<>统计并展示指定"统计周期"在第37页内的全网的所有详细信息。点击“iCenter”点点击列表中 名称 ，查看所 的分析结果、源/目的、知识库以及相关的历史信息 分析：根据不同检测引擎检测的，分析页内容也不同过滤/防御：显示指定的详细分析信息关于过滤/防御功能，请参阅"过滤"在第369页/"防御"在第374页防护/边界流量过滤：显示指定的详细分析信息关于防护/边界流量过滤功能，请参阅"防护"在第398页/"边界流量过滤"在第407页关于沙箱检测，请参阅"沙箱防护"在第393页知识库：针对防御的，显示指定的描述信息、解决方案历史信息：显示全网内产生所选的历史信息第5章网络连接本章介绍设备网络连接的相关要素以及配置。包括安全域：安全域将网络划分为不同部分，例如trust（通常为内网等可信任部分）、untrust（通常为因特网等存在安全的接口：接口允许流量进出安全域。因此，为使流量能够流入和流出某个安全域，必须将接口绑定到该安全域，并且，如果是三MGT接口：配置管理接口，满足管理流量同数据流量的需要VLAN：虚拟局域网DNS：系统DHCP：动态主机配置协议DDNS：动态服务PPPoE：点对点协议Virtual-Wire：实现子网间的直接二层通信虚拟路由器：虚拟路由器具有路由器功能，不同虚拟路由器拥有各自独立的路由表虚拟交换机：虚拟交换机（ic）具有交换机功能。Swich工作在二层，将二层安全域绑定到Vic上后，绑定到安全域的接口也被绑定到该icic目的镜像接口：系统的以太网口具有接口镜像功能。用户可以将接口的流量镜像到其它接口，对流量进行和分析WLAN：通过配置WLAN功能，建立无线网络，使用户能够通过无线方式接入局域网3G：通过配置3G功能，使用户能够通过无线方式接入Internet链路负载均衡：通过动态链路探测技术将流量合理分发到不同链路，从而达到充分利用各条链路资源的目的应用层网关：ALG技术能够保证采用多通道数据传送的应用程序进行正常的数据通信，且保证NAT地址转换后，VoIP应用能全局网络参数：主要包括IP包数据处理选项，例如IP分片、TCPMSS值等安全在系统中，域是一个逻辑的实体，一个或多个接口可以绑定到域。被应用了策略规则的域即为安全域，为实现某个特定功能而存在的域即为功能域。域具有以下特点：接口绑定到域，二层域绑定到ic，三层域绑定到Rouer。因此，二层域所在的Vic决定了该域中接口的Swic，三层域所在的VRouer决定了该域中接口的VRouter。二层和三层域决定其接口工作在二层模式或是三层模式系统支持域内部策略规则，比如“从trust到trust”的策略规则 及ha（HA功能域）。用户也可以自定义域。事实上，预定义域与用户自定义域在功能上没有任何差别，用户可以。配置安全新建安全域，请按照以下步骤进行操作选择"网络>安全域"，进入安全域配置页点点击“新建”按钮，弹出<安全域配置 框，如下图所示指定安全称。在<安全称>框输入需要的名称根据需要，在<描述>文本框中输入描述信息指定安全域类型。如选择“二层安全域”，在其后的“虚拟交换机”下拉菜单选择安全域所属的ih；如选择“三层安全域”，在其后的“虚拟路由器”下拉菜单选择安全域所属的Rouer；如选择“TAP”，既指定所创建的域为Tap域，Tp域为旁路模式功能域。在<虚拟路由器>下拉菜单选择该安全域所属VR绑定接口到安全域。从“绑定接口”下拉菜单选择需要添加到安全域的接口 第5章网络连如需要，选中“应用识别”复选框开启安全域的应用识别功能如需要，选中“WAN安全域”复选框将安全域设置为WAN安全域，保证以IP为数据组织方式的统计集的统计数据的准确性如需要，选中“NBT缓存”复选框开启安全域的NetBIOS主机名查询功能如需要，选中“终端接入识别”复选框开启安全域的终端接入识别功能，即一种基于应用特征的终端识别方法，对网络中用户私接设备共享上网的行为进行识别和控制。终端接入信息详细说明，请参见"终端接入"在第页。用户可根据需要，在<防护>页配置该安全域的防护功能。详细说明，请参见"第11章防护"在第367页用户可根据需要，在<数据安全>页配置该安全域的数据安全功能。详细说明，请参见"数据安全"在第294页点击“确定”，完成安全域的配置注注意预定义安全域不可以被删除改变域所属的VSwitch时，必须保证域中没有绑定的接口第5章网络连 接接口允许流量进出安全域。因此，为使流量能够流入和流出某个安全域，必须将接口绑定到该安全域，并且，如果是三层安全域，还需要为接口配置IP地址。然后，必须配置相应的策略规则，允许流量在不同安全域中的接口之间传输。多个接口可以被绑定到一个安全域，但是一个接口不能被绑定到多个安全域。安全网关设备具有多种类型接口，根据性质的不同，分为物理接口和逻辑接口物理接口：设备上的每一个以太网接口都表示一个物理接口。物理接口的名称是预先定义的，由类型、插槽号和位置参数逻辑接口：系统中的逻辑接口包括子接口、VSwitch接口、VLAN接口、回环接口、隧道接口、集聚接口、冗余接口、PPPoE接口以及VirtualForward接口。根据接口所处安全域的不同，接口还可以分为二层接口和三层接二层接口：属于二层域或者VLAN的接口均为二层接口三层接口：属于三层域的接口为三层接口。只有三层接口可以在N/路由模式下工作。逻辑接口类说子接子接口的名称是它来源的接口名字的扩展，例如ehernet/.。系统支持以下类型子接口：以太网子接口、集聚子接口和冗接口。接口和它的子接口可以被绑定到同一个安全域中，也可以被绑定到不同的安全域中。VSwitch接VSwitch接口是三层接口。它代表了VSwitch上所有接口的集合。VSwtich接口于实际交换机的上连口，能够实现数据包在二层与三层之间的转VLAN接AN接口是三层接口。它代表了AN内所有以太网接口的集合，只要有一个以太网接口处于UP状态，该AN接口就处于UP状态。AN接口是AN内所有设备对外通信的出口，通常情况下，AN接口的IP地址为AN内网络设备的网关回环接回环接口是逻辑接口，并且只要回环接口所在的设备处于工作状态，回环接口一直处于工作状态。因此，回环接口具有稳定的特性隧道接隧道接口充当通道的。流量通过隧道接口进出通道。隧道接口只是三层接口集聚接集聚接口是物理接口的集合，一个集聚可以包含到个物理接口。这些物理接口平均分担流到该集聚接口IP地址的流量负载。因此集聚接口可以提高单个IP地址的可用带宽。如果集聚接口中的一个物理接口出现故障，不能工作，其它接口可以继续处理流量，只是可使用的带宽变小了。冗余接冗余接口能够实现两个物理接口的备份。一个物理接口为主接口处理流向该冗接口的流量。另外一个接口作为备用接口在主接口发生故障时继续处理流量PPPoE接使用PPPoE协议连接PPPoE服务器的逻辑接口，基于以太网口创建VirtualForward在HA环境中，VirtualForward接口为HA组的接口，用于传输流口 第5章网络连配置接不同类型的接口配置选项不同，具体配置方法参见以下说明目前系统支持配置接口地址为IPv4地址或IPv6地址。PPPoE接口不支持IPv6新建PPPoE接新建PPPoE接口，请按照以下步骤进行操作选择“网络>接口”，进入接口配置页面点击“新建”下拉菜单，并选择“PPPoE接口”，弹出<PPPoE接口>框在<基本配置>页，配置接口的基本配置信息选说接口名指定接口名称描用户可根据需要指定接口描述信息，范围是0到63个字符绑定安全如选择”三层安全域“、“TAP”，则继续从”安全域“下拉菜单选择安全域的名称。如选择”无绑定“，该接口将不绑定到任何安全域上。安全从下拉菜单中选择安全域HA同选中该选项复选框开启H同步，即关闭HAcl属性，接口使用虚M，此HHAcl用指定PPPoE用户名称指定PPPoE用户相应的第5章网络连 选说重新输再次输入进行确认挂断前空闲间当PPPo接口的空闲（无流量）时间到达一定的时间，即指定的空闲间隔，系统会断开与因特网的连接；当产生上网需求时，系统会自动连接到因特网。该选项指定空闲间隔时间，单位为分钟。范围是到秒，默认值是。重拨间该选项指定重拨间隔时间（系统在断开连接后自动重拨的时间间隔），单位为秒。范围是 秒。默认值是，表示不进行自动重拨。PPPoE服务器提供的信息设置为选中该选项复选框，系统会将PPPo服务器提供的网关信息设置为默认网关路由。弹出<高级选项>框，用户可对PPPoE相关的高级选项进行配置，包括集中器：指定集中器的名称认证：设备与PPPo服务器建立连接时，需要通过PPPo认证。设备支持的验证方式有AP、PAP和任意（系统默认方式，表示HAP或者PAP的任意一种）。选中需要的认证方式的单选按钮。网络掩码：为PPPoE方式获得的IP地址指定网络掩码静态P：用户可以指定一个静态的P地址，并协商使用该静态IP地址。这样可以避免IP地址变化。该选项指定静态IP地址。在文本框中输入静态P地址。路由距离：指定路由距离。范围是1到255，默认值是1路由权值：指定路由权值。范围是1到255，默认值是1服务：指定允许的服务。此处指定的服务必须与PoE服务器端提供的服弹出<DDNS配置>框为接口进行DDNS配置。具体说明参见"DDNS"在高级选管理方选中该接口需要的管理方式的复选框逆向路根据需要启用或关闭逆向路由启用：强制使用逆向路由。如果找不到逆向路由，则丢弃数据包。默认情况下，接口强制使用逆向路由。关闭：不使用逆向路由。反向数据流到达接口后不进行逆向路由检查，原路返回（即从初始化数据包的入接口发送反向数据包）。自动：优先使用逆向路由。如果能够找到逆向路由就使用逆向路由发送数据包；如果找不到逆向路由以初始化数据包的入接口作为发送反向数据包的出接口。WAP智能分选中“启用”复选框，并对如下选项进行配目的I替换：开启目的IP替换功能并设置需要记录的日志信息。“记录所有日志”表示对所有流量记录日志；“记录被替换目的I的日志”表示对 第5章网络连选 说IP地址进行转换的流量记录日志目的服务器端口/目的服务器端口：指定WA网关用于HTP协议通讯的端。一般为80或8080。在<属性>页，配置接口的属性信息选说指定接口的最大传输单元，单位为字节。范围 /1800字节之（不同型号的设备支持的MTU最大值不同），默认值是1500ARP学选中“启用”复选框开启接口的ARP学习功能ARP超配置接口的ARP超时时间，单位为秒。范围是5到65535秒，默认值是1200秒Keep-alive指定接收接口的Keep-alive报文的IPMAC克勾选复选框，开启A克隆功能，将指定的A地址克隆到以太网子接口，点击“恢复缺省A”按钮，恢复以太网子接口缺省的A地址。应勾选复选框，开启接口镜像功能，并从下拉菜中选择需要镜像的流量类型。开启接口镜像功能后，用户需配置"目的镜像接口"在第页才可使流量镜像到其它接口。在<高级>页，配置接口的高级选项，包括接口关闭和接口与备份选选 说口关闭 系统支持接口关闭功能，用户不仅可以根据需要强制关闭特定接口，还可以通过时间表控制接口的关闭时间，或者根据监测接口的链路状态控制接口的关闭。配置方法如下选中“立即关闭”复选框开启接口关闭功能 对象如果需要通过时间表或者对象控制接口的关闭，选中“时间 对象败时，将接口上的流量转移到备份接口，此时需要从“备份接口”下败时，将接口上的流量转移到备份接口，此时需要从“备份接口”下拉菜单选择备份接口并在“过渡时间”文本框输入过渡时间（指主接口切换到备份接口之前将流量转移到备份接口的过渡时间，单位为分钟。取值范围为到。主接口会在切换到备份接口前的一段时间，接口，使路由失效：指当到达时间表指定时间时或者指定的对象失败时，接口关闭，接口的相关路由失效；流量备份到接口：指当到达时间表指定时间时或者指定 对象接 与备 配置方法如下选中时间表或者 对象相应的复选框，并从下拉菜单中选择需要的时间表或 对象。选择控制方式第5章网络连 选 说即此处指定的过渡时间，将流量从主接口平滑转移到备份接口。默认情况下无平滑过渡时间，所有的流量会立刻从主接口转移到备份接口）。在<RIP>页，配置接口的RIP功能选说认证方指定接口的报文认证方式，有明文（系统默认方式）和两种。明文认证不能提供安全保障。未加密的认证字随RIP报文一同传送，所以明文认证不能用于安全性要求较高的情况。认证指定接口的RIP认证发送版指定接口发送RI信息的版本号。默认情况下，缺省值为接口发送V&2RI信接收版指定接口接收RI信息的版本号。默认情况下，缺省值为接口接收V&2RI信水平分指定是否开启接口的水平分割功能。水平分割是指不从本接口发送从该接口学到的路由。它可以在一定程度上避免产生路由环，保证路由的正确。点击“确定”，完成配置新建隧道接新建隧道接口，请按照以下步骤进行操作选择“网络>接口”，进入接口配置页面点击“新建”下拉菜单，并选择“隧道接口”，弹出<隧道接口>框 第5章网络连在<基本配置>页，配置接口的基本配置信息选说接口名指定接口名称描用户可根据需要指定接口描述信息，范围是0到63个字符绑定安全如选择“三层安全域”或者“TAP”，则继续从“安全域”下拉菜单选择安全域的名称。如选择“无绑定”，该接口将不绑定到任何安全域上。安全从下拉菜单中选择安全域HA同选中该选项复选框开启H同步，即关闭HAcl属性，接口使用虚M，此HHAcl静态IP地址：为接口指定IP网络掩码：为接口指定网络掩码配置为clIP：两台设备形成H组网时，配置该选项，接口的IP配置将不会同步到H对端。启用DNS：选中该选项复选框开启接口的DNS功能使用N普通时，客户端收到的N应答来自其配置的N服务器，只有客户端的N服务器地址为设备的接口地址时，设备才承担NS服务器功能；使用N时，不管客户端的N服务器地址是否为设备接口地址，其收到的N应答均来自设备。在N模式下，用户无需逐个修改客户端的N参数，只要通过设备的N配置即可控制所管理网络上的N服务。启用NS透传：选中该选项复选框开启接口的N透能。高级选项：管理IP：为接口指定管理IP。在文本框中输入IP地址二级IP：为接口指定二级IP。最多可以指定6个二级IP地址DHCP：弹出<DHCP配置>框为接口进行DHCP配置。具体说明参"DHCP"在第74页DDNS：弹出<DDNS配置>框为接口进行DDNS配置。具体说明参"DDNS"在第78页自动获P服务器提供的网关信息设置为默认网关路由：选中该选项复选框，系统会将P服务器提供的网关信息设置为默认网关路由。高级选项路由距离：指定路由距离。范围是1到255，默认值是1路由权值：指定路由权值。范围是1到255，默认值是1管理优先级：指定N服务器的优先级。除了静态配置的N服务器，系统还可以通过P或者PPPoE方式动态学到NS服务器，因此，需要配置这些N服务器的优先级，当系统做N解析时，会按照优先级从高到第5章网络连 选说逆向路隧道绑定配底的顺序使用N服务器。优先级用到的数字表示，数字越大，优先级越高。静态配置的N服务器的优先级是。DDNS：弹出<DDNS配置>框为接口进行DDNS配置。具体说明参"DDNS"在第78页选中该接口需要的管理方式的复选框根据需要启用或关闭逆向路由启用：强制使用逆向路由。如果找不到逆向路由，则丢弃数据包。默认情况下，接口强制使用逆向路由。关闭：不使用逆向路由。反向数据流到达接口后不进行逆向路由检查，原路返回（即从初始化数据包的入接口发送反向数据包）。自动：优先使用逆向路由。如果能够找到逆向路由就使用逆向路由发送数据包；如果找不到逆向路由以初始化数据包的入接口作为发送反向数据包的出接口。绑定隧道接口到隧道。一个隧道接口可以绑定多个IPec隧道，但仅可以绑定一个C隧道。Pec单选按钮：指定绑定到隧道接口的Pec隧道的名称。然后在”网关“选项处点击”添加“按钮添加隧道的下一跳IP地址，可以为对端隧道接口的IP地址或者对端出接口的IP地址。当需要为隧道接口绑定多个Pec隧道时，此配置参数有效。系统默认值为...。SC单选按钮：指定绑定到接口的SSL隧道的名称在<IPv6配置>页，配置接口的IPv6信息选说启选中该复选框，开启接口的IPv6功能IPv6地为接口指定IPv6地址，地址形式为“IPv6地址前缀/前缀长度”前缀长指定IPv6地址的前缀长度选中该复选框，开启无状态地址自动配置模式。在该模式下，接口先接收RA报文中的地址前缀，然后结合接口标识得到一个全球地址。如果为该接口指定了缺省路由器(即启用默认路由)，指定该参数将产生一条缺省路由器的缺省路由。高级选静态地点击“新增”按钮，添加多个IPv地址。目前支持最多添加个。点击“删除”按钮，删除选中的IPv地址。动态地该列表显示所有自动学习得到的IPv6Link-指定链路本地地址。链路本地地址（link-lol地址）用于同一链路的相邻节点间通信，例如单条链没有路由器时主机间的通信。默认情况下，开启接口的IPv6功能后，系统会自动为接口生成一个链路本地地址，用户也可以根据需要为接口指定，指定的链路本地地址将取代系统自动生成的链路本地地址。 第5章网络连选说指定接口IPv6最大传输单元的值。当设备通过接口发送RA报文时，用户可以指定是否RA文MTU告知其他路由。默认情况下将通告MTU地址检指定接口发送NS（邻居请求，NeighborSolicitation）报文的次数。取值为0IPv6地址的唯一性。该功能是通过发送NS报文实现的。NS报文发出后，如果链有其他主机发现发送NS请求方的地址与自己的重复，它就会发送NA（邻居通告，NeighborAdvertisment）报文告知对方这个地址已经有人在用，然后发送NS方会址标记为“Duplicate”状态，这个地址就是一个无效的IPv6地址。邻居消息发送间指定接口发送NS报文的时间间隔，单位为毫秒邻居消息超时时指接口在发送NS报文后，在得到邻居可达性确认后，认为邻居可达的时间发包跳指定接口发出的IPv6报文的最大跳数或者RA报文中的最大跳数禁用RA报选中该复选框，系统将禁用RA报文。默认情况下，配置了IPv6单播路由的太网接FDDI会自动发送RA文，其他类型的接口不发送RA文管理设置接口的管理IP"在<属性>页，配置接口的属性信息。"在第45"在<高级>页，配置接口的高级选项，包括接口关闭和接口与备份。"在第45"在<RIP>页，配置接口的RIP功能。"在第46点击“确定”，完成配置新建VirtualForward接新建VirtualForward接口，请按照以下步骤进行操作选择“网络>接口”，进入接口配置页面点击“新建”下拉菜单，并选择“VirtualForward接口”，弹出<VirtualForward接口>框第5章网络连 在<基本配置>页，配置接口的基本配置信息选说接口名指定接口名称描用户可根据需要指定接口描述信息，范围是0到63个字符绑定安全如选择“三层安全域”或者“TAP”，则继续从“安全域”下拉菜单选择安域的名称。如选择“无绑定”，该接口将不绑定到任何安全域上安全从下拉菜单中选择安全域IP配置：根据IP类型不同进行如下的配置，包括静态IP和自动获取 第5章网络连选说静态IP地址：为接口指定IP网络掩码：为接口指定网络掩码配置为clIP：两台设备形成H组网时，配置该选项，接口的IP配置将不会同步到H对端。启用DNS：选中该选项复选框开启接口的DNS功能使用N普通时，客户端收到的N应答来自其配置的N服务器，只有客户端的N服务器地址为设备的接口地址时，设备才承担NS服务器功能；使用N时，不管客户端的N服务器地址是否为设备接口地址，其收到的N应答均来自设备。在N模式下，用户无需逐个修改客户端的N参数，只要通过设备的N配置即可控制所管理网络上的N服务。启用NS透传：选中该选项复选框开启接口的N透能。高级选项：管理IP：为接口指定管理IP。在文本框中输入IP地址二级IP：为接口指定二级IP。最多可