2024海康威视ZD-WG系列无线控制器网关用户手册

HIKVISIONZD-WG前言HIKVISIONZD-WGWeb界面操作功能介绍。格意斜[表示用“[]{x|y|...[x|y|...{x|y|...}[x|y|...]格意<带尖括号“<>”表示按钮名，如“单击<确定>[带方括号“[]”表示窗口名、菜单名和数据表，如“弹出[新建用户]目录 1 1 1简 简 配置 WI-FI配 WAN配 修改多WAN策 配置NAT 配置NAT 1 限制WAN口的带 1 1 建立IPsec 建立L2TP IPsec 简 简 简 1 简 简 简 简 简 诊 简 简 简 简 简 通过Web页面查看系统日 1 附录-命令行设 2 ZD-WG105G-SZD-WG105G-S上存在配HIKVISIONZD-WG图1-1ZD-WG105G-S(1复位键(2系统指示灯):):(6图1-2ZD-WG105G-S图1-3ZD-WG105GP-E-S(1):):):(5PoE-MAX指示灯（PoE-(6复位键(7系统指示灯图1-4ZD-WG105GP-E-S图1-5ZD-WGA10G-2XG-S(1):(3LAN/WAN接口及指示灯（10/100/1000Base-T电):(5WAN接口及指示灯（Combo口(6)Console(7系统指示灯(8USB(9复位键图1-6ZD-WGA10G-2XG-S图1-7ZD-WG210GP-S(1):):):电口):(6PoE-MAX指示灯(7复位键(8系统指示灯图1-8ZD-WG210GP-S图1-9ZD-WG210GP-E-S(1):):):(5USB(6系统指示灯图1-10ZD-WG210GP-E-S复位键图1-11ZD-WG210GP-E-S图1-12ZD-WG310G-S(1(2系统指示灯):):):(6USB(7复位键图1-13ZD-WG310G-S图1-14ZD-WG507G-S(1(2WAN接口及指示灯（Combo口(3WAN/LAN接口及指示灯（10/100/1000Base-T电):(5系统指示灯(6USB(7复位键图1-15ZD-WG507G-S系统指示灯设备将恢复缺省WebSFPSFP+复位键LAN接口使用，也可以作为WAN表该接口默认为WANLAN接口100VAC～240V100VAC～240V100VAC～240V100VAC～240V12V±5%/54V±5%/54V±5%/54V±5%/100VAC～240V100VAC～240V100VAC～240V1Combo口（1个千兆电口（1个千兆光口（2Combo口（2个万兆光口（10cmZD-WG105G-S、ZD-WG105GP-E-SZD-WG210GP-S设备安装到工作台时不需要使用脚垫，90mm80mm图1-16安装设备到垂直墙壁（ZD-WG105G-S为例ZD-WGA10G-2XG-S支持Console连接Console（母）连接器的另一端连接到PC图1-17PC通过ConsoleConsoleDB9PCRS-232USBUSB转RS-232ZD-WGA10G-2XG-S、ZD-WG310G-SZD-WG507G-S支持直接连接交流电源线，其它InternetExplorer10及以上版本、Chrome57及以上版本、Firefox35及以上版本的浏览Web管理页面。55型号、序列号、BootROM版本、硬件版本和软件版本等信息。显示WANLAN在“端口状态”区段中，点击端口图标，可进入WANLAN运营商网络，则使用双WANWANWAN场景的配置方法相同。WAN和双WAN根据使用场景需求，选择“单WANWAN如果选择连接模式为“PPPoEDNS1DNS2进行域名解析。DHCPDNS1DNS2进行域名解析。DNS2进行域名解析。在“NAT地址转换”配置项处，根据实际需求选择是否启用该功能。局域网中的多台设备共IP时，需要启用此功能。配置完成WANLAN在“DHCPDHCP服务器为局IP地址，则需要选择“启用”。不同型号的设备支持的列表显示内容可能会不同，请以Web在“端口状态”区段下，点击端口图标，可进入WANLANIP向因特网发起的连接，对如下连接不予统计：向设备本身和内网IPIP发起的连接。ICMPIPIP持续一段时间没有访问因特网的业务进行，1Gbit1,000Mbit1,000,000Kbit1,000,000,000bitAPAP您可通过开启APAP理接入的AP设备。示灯，AP上线时，指示灯显示绿色，AP下线时，指示灯显示蓝色。度。AP密集部署时，可以适当调高，反之调低。点击<应用>按钮，完成漫游灵敏度的配置。本功能用于显示设备的Wi-FiAP绑定后，APAPAPAPAP使在列表中点击SSID对应的<绑定>AP在“SSIDAP的SSID8-63个字符，只能包含英文在“隐藏SSID在线AP您可通过在线APAPAPAP1在列表中点击APAPAP的如下（MHzAP，点击<收集日志&配置>AP的日志和配置进行AP，点击<重置>按钮，AP重启后将会以出厂设置上线，使用缺省1AP使用APAP勾选AP型号前的复选框，点击<版本升级>APNetwork的数据通信网络，Internet就是一个巨大的广域网。VLAN配置信息在接口转换后将会丢失。WAN口数量（即接口模式）不同，请以设备的实际情况为准。WAN单击“WAN配置”页签，进入WAN如果选择连接模式为“PPPoE20DHCPDNS1DNS2进行域名解析。MACMAC地址。serverhost-uniqhost-uniq字段，内容和请host-uniq字段相同。clienthost-uniqhost-uniq字段”选项。在“NAT地址转换”配置项处，根据实际需求选择是否启用该功能。局域网中的多台设备共在“MTUMTU（MaximumTransmissionUnit，最大传输IPDNS探测，则修改多WAN单击“修改多WANWANWANWANWAN1WAN2带0：1WAN2口转发。WAN属于不同的运营商，建议选择“基于运营商的负载分担”或“多链路高级负为了保持网络的稳定性，可以进行链路备份，选择“主链路（请选择作为主链路的WANWANnWANm否则不能实现链路备份。若所选的主链路已开启链路探测功能（在外网配置-WAN配置中WAN场景下，为了确保进入和离开局域网的报文通过同一个WAN接口转发，需要开启保存接口上一跳功能。IP地址。DHCP支持动态及静态地址分配机制：IP地址，时间到期或主机明确IPMAC地址进行绑定，具有IP地址的组网环境。VLAN的主机不能直接互通。文所属的VLAN为端口的缺省VLAN。VLANVLANVLAN”复选框以选中所有VLANVLANVLAN。VLANVLANVLAN”复选框以选中所有VLANVLANVLAN中移除。VLAN接口，并可将VLANDHCPVLANDHCPDHCPVLAN接口已DHCP。在“TCPMSSTCP1280连接到设备的PC等）IP地址。根据实际情况，设置如下参数。DHCPARP保护（动态绑定IP地址MAC地址。在“网关地址”和“DNS1”以及“DNS2DNS服IPIP地址租约57200。IP地址不能是设备上WANIPIPDHCPIP地址已被其他终端占用，那么客户端MAC对应的IP地址。MACMACPC类型的客户端，可以在网MAC地址。端口管理功能用来查看设备各个物理端口的端口类型、端口模式、速率、MAC地址和广播风暴抑WAN口的管理状态，以及修改端口配置。IPIPNAT。供多个内网服务器（例如Web、MailFTP服务器）资源的目的。这种方式可以节约设备的IPIPIPIPIP地址使用。IP去远程访问位于内网中对外提供服务的设备。一对一映射可以在设IP地址转换为一个公网IP地址。端口触发：当局域网内的客户端访问因特网上的服务器时，对于某些应用（比如：IP电话、WAN侧主动连接的请求都会拒绝，此时通信会被中断。通过设置设NAThairpinIPNATALG功能。在“主机地址”配置项处，输入NATDMZUDP协议。在“接口”配置项处，选择配置映射的接口。若不设置此参数，则表示对所有WAN256IP地址。,10个端口或端口范围。NATNATNATALG区段，勾选对应的选项，启用指定协议的NATALGSIP5060SIP协议端口号。Wb<>>PoE（PoweroverEthernet，以太网供电，又称远程供电，是指设备通过以太网电口，利用双绞PD（PoweredDevice，受电设备）进行远程供电。PoE开启设备PoE818在左侧选择框中，勾选应用，点击按钮，将应用添加到右侧选择框中，说明应用已被添加；在右侧选择框中，勾选应用，点击按钮，将应用移至左侧选择框中，说明应用已被限制WAN当管理员需要限制特定WAN配置地址组（必选配置时间组（可选配置IP限速（必选添加自定义应用（必选创建应用组（必选配置限制通道（必选添加自定义应用（必选创建应用组（必选配置绿色通道（必选配置地址组（可选配置时间组（可选配置应用控制（必选配置地址组（可选配置时间组（可选配置网址控制（必选配置地址组（可选配置时间组（可选配置网址控制（必选配置地址组（可选配置时间组（可选配置文件控制（必选P2P下载报文，可选择开启限制通道功能，IP限速规则的限制。IPIP限速前，请先在[网络设置/外网配置]配置页面上的“WAN配置”页签中设置线路的上下行WAN配置页对需要进行限速的应用流量（如占用大量带宽的P2P类应用）NN上行带宽的最小值。NN下行带宽的最小值。IP限速规则的限制。WANWAN配置1AA。User1A，则用户User1AUser2不属于用户组AUser2BBB。B中的网址；User2仅属于用户组AUser2A如果用户User3既不属于用户组A也不属于用户组BUser3IEExcel的错误提签，点击<自定义级别>ActiveX控件初始化并执13（除/'&:baducmbiducm、badu或biu键字。文件控制功能仅能控制用户使用HTTPHTTP、HTTPSSSLTCP、UDP时，报文特征为必填项；当协议类型为报文特征：自定义TCP、UDPReferer：自定义HTTPReferer<>>添加防火墙（必选VLANWANVLANVLANVLAN接口的安全规则。VLAN下的终端不能相互访问。VLAN下的终端，则需要配置指定本端VLANVLAN接口之间的安全规则，且必须配置双向规则。处选择为WANVLAN接口时，安全规则的方向为出站方向，即控制从内网侧进入设备IPIPTCPUDP连接数目超过指定的数目，将禁止该连接建立。直到VLAN网络连接限制：在指定VLANIP地址发起连接的个数限制。此方式VLAN接口收到的连接进行控制。2的约定为准。IPIP发起的连接。TCP每条VLANVLAN内最多建立的网络连接数都将被限制到设定IP各自的连接数上限总连接数=TCP连接数+UDP连接数+TCPUDP连接之外的连ICMPVLAN可以建立新连接的条件是：此VLANIP已经建立的连接数未达VLANIPTCPVLAN已经建立的总连接数未达到总连接数上限，TCP连接数未达到TCPUDP连TCP连接类似。VLANVLANIP向因特网发起的网络连接；下列情形不在限制范围VLANIPVLANIP相互发起的连接，以及由因特网向VLANIP发起的连接。IPTCPIP地址所允许发起的TCP连接的个数上限。TCP连接数进行单独限制。IPUDPIPUDP连接的个数上限。UDP连接数进行单独限制。在“TCPVLAN接口所允许发起的TCP连接的个数上限。您可TCP连接数进行单独限制。在“UDPVLANUDP连接的个数上限。您UDP连接数进行单独限制。如果您希望对某些设备发送过来的报文进行限制（允许或禁止其通过VLAN接口上配MAC地址进行过滤。如果需要在管理员终端连接的接口上开启MAC打开下载好的模板，添加待过滤的源MAC点击<是>ARP表项导入MACARP协议本身存在缺陷，攻击者可以轻易地利用ARP协议的缺陷对其进行攻击。ARP攻击防御技ARPARPARP病毒进行防范、检测和解决。ARP安全功能包括：ARPARP表项，提高了安全性。当设备的ARP表项时，建议关闭动态ARP表项学习功ARPARP表项。建议（如网吧ARPARPARP表项。ARPARP表项导出到本地文件中。ARP报文来实现以下功能：IPIPARP报文的设备返回一个ARPIP地址冲突。ARP表项，点击<删除>按钮，再点击<确定>按钮后，可以删除对应的动ARP表项。IPIPARPIP地址。此IPIP地址处于同一网段。如果需要添加单个静态ARP如果需要批量添加静态ARPARP的功能，并进行合理的参数设置。MACARPARP表项老化等。MACARP报文（LANARP报文”ARPMACMAC地址时，则不ARP报文，直接将该报文丢弃。ARP报文，直接将该报文丢弃。ARP报文。ARP表项的状态分为：攻击防御：本功能能够让设备和网络免受如下DDOS单包攻击：攻击者利用畸形报文发起攻击，旨在瘫痪目标系统。例如Land攻击报文是源Excel保存。对于PPPoEWAN口，无法配置单包攻击防御中的“Smurf发送带有SYNTCP报文，并且这些报文的源地址和目的地址都设为被攻击目标的CPU资源。WinNukeWinNuke攻击。该攻击表现为攻击ICMP不可达报文，达到切断目标主机网络连接的目的。ICMPICMP重定向报文攻击。该SmurfSmurfFraggle攻击类ICMPECHOREPLY报文，造成攻击目标网络阻塞或者系统崩溃。IPIP攻击。IP报文，达到探测网络结构的目的。IPIP攻IPICMP攻击防御：启用该项后，设备可以有效防止超大ICMP攻击。该攻击表现为攻ICMP报文，使目标主机崩溃。IP报文。SYNFlood攻击防御。该攻击表现为攻击者向目标发送大量的SYN报文，消耗目标的连接资源，使目标系统无法再接受新连接。UDPFlood攻击防御。该攻击表现为攻击者向目标发送大量的UDPUDP报文而无法继续处理正常的报文。ICMPFloodICMPFlood攻击的阈值。当流量速ICMPFlood攻击防御。该攻击表现为攻击者向目标发送大量ICMPICMP报文而无法继续处理正常的报文。WAN口pingInternetPing上恶意的PingUDP报文，探测端口的开放情况。TCPSYN扫描：启用该项后，设备可以有效防止TCPSYN扫描攻击。该攻击表现为攻击TCPStealthFINTCPStealthFIN扫描。该攻击表TCPXmasTreeTCPXmasTree扫描。该攻击表现为攻击者向目标端口发送FIN、URG和PUSHTCP报文，然后等待目标主IPLAN接口同一网段IP/MAC与已确认的IPIP/MACARP绑定，否则可能影响正常业务访问。Internet。LAN网络中的非法主机发送的数据包。如需统计此类数据包，需先MACIPMAC地址IP地址同时匹配的设备，才允许访问外网。IP地址。PC的IP或者MAC加入到ARP静态绑定规则表中，PC将无法访问外网。IPsec添加IPsec策略（必选L2TP（必选（必选IPsec护通信方之间传输的用户数据，该通道通常称为IPsec隧道。A（AuthenticationHeader，认证头）和ESP（EncapsulatingSecurityPayload，封装安全载荷、IKE（InternetKeyExchange，互联网密钥交换）以及用于网络认证及加密的一些算法等。其中，AHESP协议用于提供安全服务，IKE协议用于密钥交换。IPsecIPsec在“名称”配置项处，输入IPsecIPsecIP地址或域名。通常为总部网关或对端分支机构网关的WAN口地址。在“认证方式”配置项处，选择IPsec在“本端受保护端口”配置项处，输入本端受保护端口。仅当受保护协议选择为TCP由本端受保护网段内主机的受保护端口发送的报文将被设备进行IPsec在“对端受保护端口”配置项处，输入对端受保护端口。仅当受保护协议选择为TCP由对端受保护网段内主机的受保护端口发送的报文才可以被设备进行IPsec隧道解封装处IKEIKEV1IP地址是动态分配的，建议您选择IKE协IPsec隧道的可用情况。密算法和PFS算法。SA600秒。IPsec在“算法组合”配置项处，选择IPsec协议交互使用的安全协议以及相应的加密和认证算法。定义的安全协议、ESPESP加密算法。在“封装模式”配置项处，选择IPsecIPsec相关参数的重新协商。IPsec相关参数的重新协商。IPsecIPsec在“名称”配置项处，输入IPsecIKEIPsec隧道的可用情况。密算法和PFS算法。SA600秒。IPsec在“算法组合”配置项处，选择IPsec协议交互使用的安全协议以及相应的加密和认证算法。定义的安全协议、ESPESP加密算法。在“封装模式”配置项处，选择IPsecIPsec相关参数的重新协商。IPsec相关参数的重新协商。L2TPL2TPPPPL2TP协议处理能力的设备，通常位于企业内部网络的边缘。L2TP在“本端隧道名称”配置项处，输入L2TPL2TPL2TP客户端都启用隧道验证，且密码一致。NoneAPCHAPL2TPIP地址的能力。在“高级配置”下的“Hello报文间隔”配置项处，输入保活报文的时间间隔。为了检测LAC60秒。L2TPL2TPL2TP客户端来实现上述需求。L2TP在“本端隧道名称”配置项处，输入L2TPLACPPPIP地址获取方式，LACIP（LNS管理员分配；PPPIPLNS分配。L2TPL2TP客户端都启用隧道验证，且密码一致。NonePAPCHAPL2TP服务器端需配置到达客户端的路由，L2TP客户端才能正常访在“高级配置”下的“Hello报文间隔”配置项处，输入保活报文的时间间隔。为了检测LAC60秒。当用户希望通过固定的域名访问设备提供的服务时，可以在设备提供服务的WAN注册域名（必选IP添加静态路由（必选WAN口发送出去时，可添加时间组（必选添加定策略路由（必选Mail或者FTP等服务）DNSIP发生变化的情况下（如宽带拨号方式下NameSystem，动态域名系统）服务。0，设备只WANIPdownup时发送更新请求。内网终端可以通过本地域名地址访问设备的Web内网主机的操作系统必须支持并开启UPnP系统服务中禁止了SSDP服务（UPnP设备SP1UPnP设备发现有冲突，SP2修复了这个问题，但是仍然需要在防火墙设置中允许例外：UPnP框架。应用软件或设备不支持UPnPIP地址时，设置静态路由即可实现正常通信。IP地址，IPIPIP地址范围和目的!0端口号前添加“!5000WAN口的端口状态为外网未连通时强制生效。若选择“强制”选项，当WAN口的端口状态为外网未连通时，则当前策略路由仍然会WAN口的端口状态为外网未连通时，则当前条策略路由不NTPNTP服务器，1-255个字符，不能为中1-255个字符，不24个时区，请将设备的时区配置为设备所在地理区域的时区。例(GMT+08:00)06:00)24个时区，请将设备的时区配置为设备所在地理区域的时区。例(GMT+08:00)06:00)在“NTP2NTP2IP地址或者域名地址。设备会自动从NTP1和NTP2NTP服务器的系统时间作为设备的系统时间。如NTPNTP服务器恢复后，再同步NTP服务器的时间。NTPNTPNTP服IPPingIP地址或者主机名。不支持输入\'"<>;&`#字符以及中文字符和空格。Ping报文。IPPingIP地址。当选择“AUTO”时，表示设备自Tracert报文。1WAN、VLAN等接口。WebWeb界面直观地配置和管理设备。在列表中通过勾选接口对应的“允许pingPingIPTelnetIP地址<>>当管理员更改VLAN1的所在网段时，VLAN1在“HTTP登录端口”配置项处，输入HTTP在“登录超时时间”配置项处，输入Web