一机成网路由器XRT

信锐技术自主研发的多元化、高性能的一机成网路由器,集流量控制系统、安全控制、访问控制、无线管理、PoE 供电、三层交换系统于一体。
{{sendMatomoQuery("一机成网路由器XRT","XRT功能说明")}}

XRT功能说明

更新时间:2023-12-15

1帮助文档

对于XRT,每个菜单页面的配置页面右上角,设备页面都自带有帮助文档,该配置文档介绍了XRT各种功能的使用方法以及原理介绍。

2首页

『首页』主要用于查看设备的基本状态信息,包括【联网状态】、【小信云平台接入状态】、【在线用户数】、【在线/AP总数】、【无线网络】、【资源概况】、【接口状态】、【流量趋势图】。

通过点击各模块,可查看对应详情。

【联网状态】显示网关当前时间WAN口的联网情况,绿色代表已连接,红色代表未连接。

【在线用户数】显示已连接无线网络的终端数量。

【小信云平台】显示网关当前小信云平台的接入状态,绿色代表已接入,橙色代表未接入,红色代表已断开。

【在线/AP总数】显示网关当前所接入的在线/AP总数。

【无线网络】显示网关当前无线网络数量。

【资源概况】显示网关CPU及内存占用比例,超过95%即显示为红色。

【接口状态】显示网关各接口接线情况,蓝色代表已接线,灰色代表未接线。

【流量趋势图】显示网关当前时间段内的发送与接收的流量情况。

3接入小信云平台

可以通过本页面查看接入小信云平台的账户、状态、绑定时间及查看日志,设备SNMAC,设备上云指引,以及跳转云平台或进行解除绑定操作。

4系统状态

4.1在线用户

在线用户,可以看到当前接入网络的无线用户和有线认证用户信息,显示无线网络的用户,以及用户的无线频段,接入位置,角色权限,流速等信息。

4.2设备列表

在【设备列表】中可以看到各个接入点的名称,在线状态,IP地址,无线网络个数,用户数,流量接收、发送等基本信息

AP状态】

在线:AP名称高亮;设备已连通本地网络。

离线:AP名称置灰;设备没有上电,或者WAN设置错误。

4.3安全事件

可以在此查看安全防护功能中检测出的安全事件。

【事件】显示发起攻击的终端MAC地址以及攻击类型

【类型】攻击的类型,如DoS攻击、ARP攻击等。

【时间】网关检测到攻击的时间。

4.4流控状态

可以通过本页面查看当前生效的流控通道。

【瞬时速度】通道的实时速率(上1秒的流量)。

【占用比例】通道实时带宽占用率。

【用户数】 通道中的基于IP统计的用户数(上一秒的统计值)。

【保证带宽】通道配置的保证带宽值,如果是限制通道,则保证带宽值为0

【最大带宽】通道配置的最大带宽值。

4.5DHCP状态

 展示网关DHCP地址池的IP分配情况。

可以快捷地进行终端用户的IP地址绑定/解绑。

4.6黑名单

可以在安全防护功能中选择某一功能,并勾选“将识别攻击的终端加入黑名单”,当网关检测到攻击后,会将发起攻击的终端加入黑名单,加入黑名单的终端无法上网,无法继续攻击。针对异常终端,也可以从在线用户中手动将该终端加入黑名单,并封锁指定时长。

也可以手动添加黑名单,以阻止指定的 MAC 地址终端连接有线和无线网络。

5网络设置

5.1接口管理

可以通过本页面设置设备所有接口属性,切换LAN/WAN口(具体可切换LAN/WAN口数量根据不同型号有所区别)。

【网口】显示物理网口名称,高亮,点击名称可编辑

【类型】显示网口类型,LAN或者WAN

【线路】网口类型为WAN时,显示线路几;网口类型为LAN时,显示为“-

【属性】wan口显示上网方式,例:静态IP、动态IP(自动获取)、宽带拨号(PPPoE);LAN口显示VLAN配置

【详情】网口类型为WAN口时,显示【查看】,高亮,可点击查看端口属性详情;网口类型为LAN时,显示为“-

点击网口编辑:

LAN:在网口属性可以看到网口、类型、模式、Native VLANVLAN成员,其中模式可选择Trunk/AccessNative VLANVLAN成员可写14094之间

WAN

【运营商】包括中国电信、中国移动、中国联通、中国广电、专线、其他

【上网方式】

上网方式有如下三种:

宽带拨号(PPPoE):使用运营商提供的宽带帐号和密码进行上网的方式。

动态IP:使用运营商动态分配的临时IP地址进行上网的方式。

静态IP:使用运营商提供的固定IP进行上网的方式。

IP地址、子网掩码、网关、DNS服务器】

运营商分配的上网参数或用户设置的上网参数。上网方式为静态IP时配置。

【宽带账号/宽带密码】

运营商提供的宽带账号和密码。联网类型为宽带拨号(PPPoE)时配置。

【默认网关】将此接口作为默认路由

点击【查看】详情:

显示IP地址、子网掩码、默认网关、DNS服务器

【高级选项】包含源进源出、LAN口隔离、预留VLAN池、出口线路上网检测等

5.2负载均衡

可以通过本页面设置网关负载均衡策略、选择负载线路。

注:若网关为单线路将会如下图显示

【启用负载均衡】勾选可提高带宽利用率

【负载均衡策略】包含基于会话、基于用户

【负载线路】可选择负载的线路

5.3本地子网

可以通过本页面设置本地子网接口。子网数量根据不同型号XRT网关有所不同。

VLAN ID】局域网可以划分多个VLANVLAN与上联配置有关联,请注意配置。

DHCP服务】当前vlan接口是否提供 DHCP 服务。

6无线管理

『无线管理』包括【无线网络】、【无线设备】、【通用射频】

6.1无线网络

『无线网络』:可以【新增】、【删除】、【启用】、【禁用】一个无线网络。新增无线网络需要设置无线终端接入的无线信号SSID,认证方式,设置AP分组范围,无线频段等,下面将一一详细讲解。下面为无线网络的配置截图:

无线网络号SSID可以设置为“汉语”,对汉语的支持比较好无线终端可以正常显示,多数PC无法正常显示,一般建议设置为英文类型的SSID

包含【WiFi名称】、【网络类型】、【AP分组】、【频段】、【认证类型】、【用户vlan】、【用户角色】、【高级选项】,如下图:

WiFi名称】无线(Wi-Fi)名称,无线终端搜索显示的名称。需要设置无线网络名称(SSID),并,以及该无线网络在AP上的数据转发模式,并设置工作频段。

【网络类型】网络类型有如下两种:访客网络、员工网络。

AP分组】设置无线网络在哪些接入点AP上启用。

【频段】设置无线网络生效的AP频段。设置的频段分为2.4G5G2个频段,可以分别设置启用,也可以设置2个频段同时启用。

【认证类型】员工网络和访客网络各自支持不同的认证类型

访客网络:

员工网络:

注:【PSK认证(WPA3)】【web认证】【企业认证】需要上云后才支持配置

认证类型有以下几种类型可以选择:

[开放式(免认证)]:选择开放式的无线接入方式认证

[PSK认证]:选择WPAWPA2加密方式与预共享密钥的个人认证方式

[PSK认证(WPA3]:选择WPA3加密方式与对等实体同时验证的个人认证方式

[WEB认证]:选择开放式的无线接入方式与WEB方式认证组合,

[企业认证]:选择WPA/ WPA2加密方式的企业认证方式

下面我们对这些认证类型做一个简单的分类,以便进行功能区分,所以该分类依据是以功能性差别进行的划分,他们之间有重合的可能,比如开放式认证和WEB认证就可以结合一起使用,划分为如下四类:

第一类:企业方式认证

调用【本地用户】、对接第三方Radius服务器的账号进行认证

企业类型的认证,在终端验证和用户认证出现的界面与WEB方式认证是有所差别的,这些差别就决定了“企业方式认证”和“WEB方式认证”与“个人方式认证”的差别。

企业方式认证是采用802.1X架构的认证方式,无线终端也需要采用配置802.1X方式认证。

第二类:WEB方式认证

web 认证是指无线终端接入无线网络后,浏览器访问任意网址,都会被重定向到登录页面,用户在网页上输入用户名、密码等方式通过认证后才能访问网络资源。

认证方式:调用【本地用户】、对接第三方Radius服务器的账号进行认证、对接短信平台进行短信认证(需要XMG设备关联小信云才支持

对接第三方Portal服务器的账号进行认证(需要存在第三方Portal服务器)

【MAC免认证】老用户使用mac地址免认证

认证页面是我们在【认证授权】-【认证页面】设置的自定义页面或者采用系统默认的页面。

第三类:个人方式认证

个人方式认证包括:PSK认证、PSK认证(WAP3

加密方式:自动选择,包括AESTKIP方式,接入密钥是只设置接入无线网络的预共享密钥。

第四类:开放式认证

开放式认证是指无线终端用户接入无线网络时不需要进行验证即可正常接入无线。

【用户VLAN

VLAN配置是为了更好的实现无线终端的控制和管理,进行无线VLAN的划分;无线VLAN划分与有线网络VLAN的划分是有一些差别的,无线VLAN的划分以及VLAN之间的数据处理,是由XAPXRT针对无线网络用户进行管控和路由的,配置VLAN,无线数据标签由XAP打上标签转发出去。

用户认证成功后,在【高级选项】中可以根据终端接入的位置,然后从上往下,按优先级方式查找角色以及 VLAN 分配规则表,如果用户的属性匹配上规则的条件,则根据规则中的设定值,为用户分配角色或 VLAN

【用户角色】

主要用于设定终端通过认证后,具有访问网络资源的权限,角色包括访问控制策略、流速限制策略,可以根据AP组信息详细的配置角色策略,配置如下:

【高级选项】

1接入控制

对无线终端的MAC地址的合法性进行校验,其中MAC地址校验是通过启用“检测终端MAC黑白名单”来进行的。MAC白名单是在【对象定义】-MAC地址库】预先设置好的合法MAC地址。

2、隐藏SSID

启用隐藏SSID功能表示该无线网络不主动广播其信号,无线终端不能自动发现该网络,必须在无线终端STA上手动填写SSID,并设置才能接入该无线网络。

6.2无线设备

管理所有的在线和离线的AP。新增分组,将AP移动到对应分组;删除离线的AP

设置AP分组配置和各个AP的独立配置,您可以设置AP的网络协议、信道带宽、信道、功率和接入的人数

6.3通用射频

通用射频功能可以减少无用的广播包转发至无线终端,增加无线的传输的稳定性,并有效的提高无线终端的数据传输效率。包含射频优化和广播优化等功能。

国家码:当选择不同的国家码时,AP可以工作的频率范围是不一样的,可以根据当地法律选择不同的国家码。

启用高密优化:在无线网络环境中,无论终端是否接入到无线网络,都会定期在每一个信道发送广播probe request(探测帧请求)。当在无线用户比较多的网络环境中时,会产生大量以低速率发送的probe reponse(探测帧响应)报文,影响接入点整体的吞吐量。启用高密优化选项后,接入点将不会响应终端广播的probe request(探测请求),降低了由于低速率发送probe response(探测帧响应)消耗的性能空间,提升高密度场景用户的无线上网体验。

启用用户间平均分配带宽:同一无线接入点上同一频段的所有无线终端用户之间带宽分配权重相同,当无线接入点传输带宽不足时,每个终端占用的无线时间保持基本一致;带宽足够时,用户带宽将不受此限制。建议关闭掉。

启用多播优化:无线接入点默认以1Mbps速率来发送多播报文,在多播报文较多的情况下会严重降低无线网络的总体吞吐率。目前可通过如下方式来提高无线网络的整体总体吞吐率。

自动: 系统将持续评估当前的无线网络环境, 自动选择一个更优,且不显著影响广播报文可靠性的速率来发送广播报文,提高了无线网络的总体吞吐率。

固定速率: 无线接入点若以固定速率发送多播报文,可防止低速终端拉低多播报文整体吞吐率。适用于终端与无线热点距离在10米以内非干扰的多播应用场景。

ARP转单播:从有线测到无线终端的ARP广播包,在XRTXAP有记录的ARP对应表会转为单播,而不再采用广播数据,提高数据的传送效率

禁止DHCP请求发往无线终端:对于无线测的终端,默认是以上网类的PC、平板、智能手机等终端,默认不包括DHCP服务器的,所以启用该功能可以有效抑制DHCP请求包发往无线终端测,提高传输效率。

禁止mdns发往无线终端:mdns报文用于在没有传统dns服务器的情况下广播发现局域网内的主机。目前苹果系统的产品支持较多,如果要使用类似Bonjour这样的软件,请在使用的vlan不开启禁止功能。

禁止nbns发往无线终端:windows系统的名称解析协议的数据包,在局域网内一般会大量存在,严重时会影响用户的上网数据传输。

MAC白名单:允许源MAC地址在白名单内的mdnsnbns包发往无线侧。

6.4路由功能

路由功能主要包括以下模块:【静态路由】、【策略路由】两个部分。

【静态路由】当您想让访问某一网段地址不走默认路由时,可以配置静态路由。填写目的地址,网络掩码,下一跳,并选择接口,并设置度量值即可。

【策略路由】当在【上网设置】里面开启双链路后,可以根据您配置源IP组,目的IP组、协议,走对应的接口WAN1或者WAN2

6.5地址转换

地址转换包括【代理上网】、【端口映射】两种类型,下面将一一介绍

【代理上网】英文简称SNAT也可称为源地址转换,主要用与给无线认证和有线认证终端设置代理上网规则的。默认有一条默认规则,代理所有网段的流量进行上网,无法删除,但是可以禁用掉,让XRT网关走路由模式。不同XRT型号支持代理上网的条目数量有所差别。

【端口映射】英文简称DNAT也可以叫做目的地址转换,常用于内网有服务器需要发布,XRT以网关模式部署时,对内网进行端口映射,配置方法如下图。该功能针对无线终端用户用得很少。

7认证授权

『认证授权』包括【有线接入】、【认证页面】、【用户角色】、【本地用户】、【高级选项】

7.1有线接入

经过XRT网关的有线用户,可以选择对有线用户进行认证,在【有线接入】配置认证策略。

【认证类型】认证类型有如下两种:

IP地址认证:无须认证即可连接到网络。

注:web认证需要上云后才支持配置

web 认证:web 认证是指终端接入网络后,浏览器访问任意网址,都会被重定向到登录页面,用户在网页上输入用户名、密码等方式通过认证后才能访问网络资源。

【适用范围】选择需要认证的用户IP地址范围。

注:用户数据库需要上云后才支持配置

 【用户数据库】radius服务器

【外部Portal服务器】第三方Portal服务器

注:用户角色需要上云后才支持配置

【用户角色】从上往下匹配,为用户分配唯一角色。

【免认证名单】配置不需要进行认证的终端MAC, 也可以配置不需要进行有线认证的交换机,并可分配免认证的角色。

7.2认证页面(云上配置)

注:以下配置需要上云后才支持配置

【认证页面】用于设置无线用户接入无线网络后,设置WEB认证跳转的页面,系统内置了 Web 认证页面的模板,系统允许您在默认模版的基础上,自定义认证页面的标题,页面文字,免责声明,LOGO 等。

7.3用户角色(云上配置)

注:用户角色需要上云后才支持配置

『用户角色』定义了用户可以访问网络的各种权限设定,包括【用户角色】、【访问控制策略】【流速限制策略】。

用户角色设置好后,并没有立刻被使用生效,需要在【无线管理】-【无线网络】-【编辑无线网络】-【用户角色】中调用角色,匹配给无线用户。

另外【认证授权】-【有线接入】-【用户角色】可以定义了经过XRT网关的有线用户的角色,如下图:

【用户角色】

可以新增角色,然后调用右侧已经建立成功的访问控制策略和流速限制策略,也可以在用户角色中调用新增其他策略。

访问控制策略

主要是用来限制无线认证和有线认证终端用户可以访问的网络权限,一般网络设备设置网络权限会有LAN区域和WAN区域的划分,WLAN不设置LAN区域和WAN区域的划分,只需要设置【用户发起】和【用户接收】2个方向即可,配置策略还需要调用到对象定义中的【网络服务】、【网络应用】、【IP组】以及【时间计划】。

[编辑访问控制策略]:可以新增多条访问控制策略规则,并且可以上/下移设置不同的优先级,策略会依次从上往下匹配。

新增规则:支持基于服务、应用、网站进行访问策略控制

【流速限制策略】

可以针对所有终端用户生效,包括有线与无线用户,但此功能只能限制用户的整体上行和下行的速率,无法根据应用进行流控,应用流控需要到【智能流控】菜单下配置。该功能策略如下图:

流速限制策略可以对每一个终端进行流速限制,以避免部分终端的流速过大,影响整体无线用户体验。例如设定为发送最大限制为 512KB/s,则对使用此策略的每一个终端最大发送流速都将被限制为 512KB/s 秒。

7.4本地用户(云上配置)

注:以下配置需要上云后才支持配置

在未部署集中的账号数据库或认证服务器的环境中,无线网络的身份验证方法可以设置为本地用户认证。

所属组:本地用户数据库支持多级的组织结构树,可按照企业实际组织结构划分组,并进行分级管理。

用户:用户名是账号的唯一标识,不同用户间不允许重名。用户身份验证过程中,需要输入此名称。

显示名:用户名由于要求唯一性,因此在部分部署环境中,用户名被设置为诸如员工工号等可读性较低的名称。这种情况下,可以把显示名设置为员工的姓名。系统将在“在线用户列表”等显示用户名的地方,同时显示账号的用户名及显示名,以更直观的对账号进行管理。显示名可以留空,不同用户的显示名允许重名。

过期时间:指定账号的过期时间点,过期后将无法通过身份验证。

登录后必须修改初始密码:本地账号是由管理员创建的,为了简化管理,不同账号的初始密码可能相同,这带来了严重的安全问题。选择此选项将要求账号在首次登录时,修改初始密码。

批量导入导出:csv 为通用表格文件格式,几乎所有的电子表格软件都支持此格式,例如 Microsoft Excel。在大量用户的情况下,通过 csv 表格文件管理,并导入到设备中,可以简化用户管理操作。导入的表格文件列顺序及格式等,参考导入界面中的示例文件。

7.5外部服务器(云上配置)

注:以下配置需要上云后才支持配置

可以通过本页面设置认证服务器(Radius)、Portal服务器、OAUTH服务器(对接portal服务器、短信认证-需要XRT设备关联信锐小信云平台才支持)

【认证服务器】在进行有线&无线的WEB认证时,可以配置认证服务器。填写名称、IP地址、认证端口、共享密钥、采用协议、编码即可。

Portal服务器】在进行有线&无线的WEB认证时,可以配置Portal服务器。填写名称、认证URLURL参数、通信端口、身份校验、加密密钥、报文编码即可。

7.6高级选项(云上配置)

注:以下配置需要上云后才支持配置

高级选项用于网关WEB认证通用配置

名词解释:

注销无流量用户:完成无线和有线认证之后,终端在阈值内无流量产生,控制器会主动注销这个用户。

账号认证免弹Portal页面有效期:账号认证非首次认证,断开无线网络后,再次登录的时间间隔在阈值范围内时,不重定向至认证页面,超出阈值时间,终端用户将会重定向至认证页面。

8对象定义

『对象定义』用于配置【IP组】、【MAC地址库】、【时间计划】、【网络服务】、【网络应用】、【网站分类】。这里定义的对象,在后续的模块中会使用到,比如IP组和服务会应用到访问控制策略中,MAC地址库将在使用MAC地址认证时黑白名单调用。

8.1IP

此页面可查看和新增IP组,IP组用于后续【角色授权】中的【访问控制策略】,以及之前的【网络设置】中的【代理上网】。

支持输入多个 IP 地址、IP范围、网段,例如:

IP地址:192.168.1.1

IP范围:192.168.1.10-192.168.1.100

网段:192.168.1.0/24

网段:192.168.1.0/255.255.255.0

8.2MAC地址库(云上配置)

注:以下配置需要上云后才支持配置

将一个、多个 MAC 地址划分为一个 MAC 组,以便在系统的其它功能中调用,例如无线网络-高级选项-接入控制。

默认有默认黑名单和默认白名单两个分组,用户可以自定义分组。

8.3时间计划(云上配置)

注:以下配置需要上云后才支持配置

对于不同的无线或有线用户,我们需要在不同的时间段设置不同的访问控制策略以及流控策略,比如上班时间或下班时间,就需要配置时间计划,为了便于后续设置【认证授权】-【角色授权】-【访问控制策略】的生效时间,需要提前设置时间计划,『时间计划』分为【单次时间计划】和【循环时间计划】。

设置循环时间时,大多数客户可以按照上班时间和下班时间,以及节假日方式设置循环时间,便与管理。

8.4网络服务(云上配置)

注:以下配置需要上云后才支持配置

『网络服务』用于之前【用户角色】授权中的【访问控制策略】。

【网络服务】包括了TCPUDP协议中各种常用端口号包含的应用协议,比如BGPDHCPDNSHTTPFTPSNMPSSH等。

同时也支持自定义服务。

8.5网络应用(云上配置)

注:以下配置需要上云后才支持配置

可以通过本页面查看和新增应用。网络应用流经网关时,可通过特征,识别其应用类型,识别后,即可对连接进行基于应用策略控制、资源调度及流量审计。

【网络应用】中记录着应用的字节流特征,通过持续不断的收集及更新,保证应用识别的正确性。

内网应用往往由于其私有性,应用特征识别库无法收集其网络流特征,可以将数据包方向、协议类型、IP地址、端口号及域名作为应用的规则特征,自定义某种类型的应用,自定义应用同样适用于外网应用。

8.6网站分类(云上配置)

注:以下配置需要上云后才支持配置

网站分类中是由信锐技术自主研发并收集的网站URL分类库。关于URL规则库的使用,需要在【认证授权】-【用户角色】-【访问控制策略】中新增规则,选择网站控制的方式来调用。另外对于少部分,客户内网自由的域名系统,如果无法识别到,用户还自定义URL类别,可将URL设置为内置的URL类别或自定义URL类别,也可以设置域名关键字,模糊匹配为某种类别。并设置自定义的URL类别优先级最高来优先调用。

9智能流控

注:以下配置需要上云后才支持配置

『智能流控』包含【线路带宽】、【流控通道】、【排除策略】。根据用户数智能的调整每个用户的带宽,保证每个用户公平共享带宽。

9.1线路带宽(云上配置)

注:以下配置需要上云后才支持配置

【开启流控】开启智能流控并保存配置后,“流控通道”等设置才可生效;

开启智能流控功能需要配置上下行带宽,请前往:网络设置-接口管理,进行上下行带宽配置。

【线路带宽】为了保证流控效果,请根据运营商实际分配的带宽进行设置。

上行:上传速度。

下行:下载速度。

9.2流控通道(云上配置)

注:以下配置需要上云后才支持配置

对不同用户及应用的网络流量进行管理、划分。提供了带宽保证和带宽限制功能,保证上网速度,合理利用带宽资源。

在网络没有进行流量管理前,线路中所传输的网络流量不分优先级,自由竞争线路的带宽。而流量通道是指在一条线路内,可以人为再细分成多个虚拟的带宽通道,流量管理系统正是基于通道的方式对线路的带宽进行管理。

通过流量管理,可以实现的主要功能有:1、动态保证重要网络应用的带宽2、通道内,不同IP间,带宽平均分配3、限制网络应用的带宽

【匹配顺序】从上至下,新增的策略排在最前面优先匹配。可以上下调整策略的匹配顺序。

可以依据线路,角色,应用,目的地址,时间来设定带宽通道的条件,设备接收到数据包时,会依次从上往下匹配带宽通道,找到第一个匹配的通道,从而为这个数据包找到正确的带宽通道。

【限制通道】设定通道的最大带宽,该类型的通道不能设定最小保证带宽(或者说保证带宽数值为0)。

【保证通道】是指可以设定最小保证带宽的通道,用于保证重要的网络应用的带宽。如果某个时刻所生效的通道中,所配置的保证带宽总和已经超过线路的带宽,则会按比例压缩,使得保证带宽总和不会超过线路设定带宽。保证通道也可以设定最大限制带宽。通过“系统状态->流控状态”页面可以查看到当前生效的通道的实际保证带宽,以及通道的实时速率等信息。

9.3排除策略(云上配置)

注:以下配置需要上云后才支持配置

可以通过本页面配置排除策略,符合排除策略的流量完全不受流量管理系统的管理,直接进行转发。

10安全防护

『安全防护』包含【DoS防御】、【防火墙】、【DHCP防御】、【ARP防御】、【扫描防御】。

10.1DOS防御

【广域网DoS防御】可以检测广域网侧DoS攻击,例如SYN泛洪、UDP泛洪、ICMP泛洪攻击。

【用户DoS防御】可以检测用户侧DoS攻击,例如连接总数超限、新建速率超限、小包攻击、DHCP泛洪攻击;此处防御的对象是有线接入的用户。

【数据包攻击防御】可以检测TCP SYN分片、TCP flag异常、TCP ACK flood11种数据包攻击。

【无线DoS防御】可以检测DoS攻击,如TCPSYN攻击、UDP攻击等,并将攻击的终端加入黑名单。防御对象为无线接入的用户;

【无线泛洪攻击防御】可以检测无线泛洪攻击,并将攻击的终端加入黑名单。防御对象为无线接入的用户。

10.2防火墙

可以配置防火墙过滤规则,拦截LAN->WANWAN->LANLAN->LAN的指定数据流量。默认内置防火规则放通所有方向流量。

【数据方向】经过网关的流量数据流向,包括LANWANWANLANLANLAN三个方向

10.3DHCP防御

开启此功能后,网关只会转发收信任的DHCP服务器的报文,本地子网中的DHCP服务器已经默认添加。可避免子网中的用户获取到外部不被信任的DHCP服务器中的地址。

10.4ARP防御

【无线ARP防御】可以在此开启网关欺骗防御,添加到受信任的网关会受到保护,避免无线终端发arp欺骗报文伪装成网关。勾选“将识别为攻击的终端加入黑名单”,会将检测出攻击的无线终端加入黑名单。开启用户隔离,则用户间不可Ping通,您也可以指定vlan内的用户可通信

【网关ARP防御】功能同无线ARP防御,但此处防御的对象是有线接入的用户。

10.5扫描防御

可以检测对应的扫描攻击,并将攻击的终端加入黑名单。防御对象为无线接入的用户。

11高级功能

『高级功能』包含【云安全访问服务】、【接入小信云平台】、【IPsec VPN】、【动态域名】。

11.1云安全访问服务(云上配置)

注:以下配置需要上云后才支持配置

传统网络环境下,用户网络流量从网关出口直达互联网。启用云安全访问服务后,网关按照引流策略将用户流量引流至安全服务平台,流量经过安全服务平台访问控制和审计后再送达互联网,基础网络更安全;

【服务平台】国内安全服务厂商提供的云安全访问服务平台。

【接入码】安全服务厂商提供的设备接入码,若选择的安全服务厂商为深信服,则需登录到深信服云安全访问服务平台(https://sase.sangfor.com.cn)获取。

【引流节点】服务平台提供的引流节点IP地址,网关默认自动获取,也可到云安全访问服务平台上切换引流节点模式为本地模式,此种模式下网关可在本地输入引流节点及秘钥。

【秘钥】引流节点校验网关设备是否准许引流。

【链路时延】当前引流链路时延大小。

【异常逃生】若启用服务异常逃生,则网关探测引流节点不通时,原引流流量从本地转发,未启用服务异常逃生功能时,若网关探测引流节点不通,仍引流到引流节点。

【目标地址探测】默认三个内置公网探测点,允许输入5个公网域名或服务器IP地址作为自定义探测点,主要用于探测链路时延、引流节点联通状态。

【探测间隔】探测报文发送间隔。

【重试次数】连续探测失败达到重试次数,则认为达到异常逃生条件。

引流策略

在本页面配置引流规则,决定当前网关哪些流量可以引流到云安全访问服务平台进行安全审计;您也可以在云安全访问服务平台上切换引流配置模式为云端模式,此种模式下,引流配置默认从服务平台上获取,且不可在网关本地进行更改;

11.2IPsec VPN(云上配置)

注:以下配置需要上云后才支持配置

【连接状态】可以通过本页面查看当前建立的VPN连接。

VPN连接】可以通过本页面设置VPN连接,VPN连接规定了对什么样的数据流采用什么样的安全提议。

【地址类型】包括对端是固定IP、对端是动态IP、对端是固定域名三种。请根据实际情况选择。选择固定IP,就填写上对端的IP地址;选择动态域名,就填写上对端外网绑定的域名。

 注意:标准IPSEC不允许连接的双方都是动态IP,只能允许其中一方为动态IP

【共享密钥及确认密钥】填入正确的预共享密钥,并确保连接双方采用的都是相同的预共享密钥。

【本/对端网段】设置受保护的数据流的本地和对端子网范围,由IP地址和子网掩码来确定。

NATT穿透】NATT功能与IPsec AH协议不支持同时启用;当连接模式为主模式时,请禁用;当两端设备之间存在NAT设备时,请启用;当不确定两端设备之间是否存在NAT设备时,建议启用。

【高级选择】支持配置标准IPsec VPN第一阶段(IKE配置)、第二阶段(IPsec配置)的相关协议版本、模式、加密算法等参数;

【协商模式】包括主模式和野蛮模式两种类型。主模式适用于双方均为固定IP或者一方固定IP一方动态域名方式,并且不支持NAT穿透;野蛮模式适用于其中一方为拨号的情况,并且支持NAT穿透。

【加密算法】选择数据加密的算法,包括DES3DESAES,请与对端设备配置保持一致。

【认证算法】选择数据认证的Hash算法,包括MD5SHA1,请与对端设备配置保持一致。

DH群】设置Diffie-Hellman密钥交换的群类型,包括125三种,请与对端设备配置保持一致。

IKE SA生存时间】标准IPsec协商的第一阶段存活时间,只支持按秒计时方式,请与对端设备配置保持一致。

【协议】与第三方设备建立IPsec连接的协议,包含AHESP,请与对端设备配置保持一致。

IPsec SA生存时间】标准IPSec协商的第二阶段存活时间,只支持按秒计时方式,请与对端设备配置保持一致。

【完美前向保密(PFS)】启用后,为IPsecVPN第二阶段每次会话协商一个独立的密钥,增强流量安全性,根据对端设备情况而定,如果对端启用了PFS,则本端也需要勾上此选项,否则不用勾选。

11.3动态域名

通过在服务商公云PubYun上注册账号,配置好主机域名。在此界面填写注册好的主机域名、用户名和密码,这样就可以通过域名访问XRT网关设备。

12系统维护

『系统维护』包含【系统管理】、【系统重启】、【备份恢复】、【系统升级】、【管理日志】、【Web Console】。

12.1系统管理

【系统选项】可以配置关于设备的基本信息,包括设备的中英版本切换,可以在此选择切换。

设备名称:填写设备的名称

超时时间:管理员登录控制台后,如果在设定的超时时间内,未进行任何操作,则系统会注销此次登录。

调试选项:允许用户通过sshd方式连接到本设备上进行调试。

远程控制:允许用户通过WAN口访问网关控制台Web界面

AP激活:禁用XRT网关激活AP功能,禁用后无法激活和管理AP,当前在线的AP会断线。

【系统时间】设置系统时间,可以通过手动设置或通过同步NTP服务器的方式同步时间,如下图,并可以设置设备工作所在的时区。

【登录密码】修改当前管理员登录Web控制台的密码

12.2系统重启

AP重启】可以通过本页面重启AP,以获得更好的体验。

【定时重启】开启此功能将在指定时间进行定时重启,以获得更好的体验。建议定时重启时间在凌晨或无人使用网络的时间段执行。

【系统重启】系统的部分配置修改需要重启设备才能生效,您可以通过本页面来重启设备,在系统重启过程中,请不要将设备断电!

12.3备份恢复

备份与还原

点击【配置备份】时,可以从XRT上下载当前系统配置,并可以保存到在PC上,用户可以自行保存,是bcf格式的文件。配置文件之后请及时下载,10分钟后将自动删除

【还原配置】选择之前从XRT网关下载的备份文件,只能上传*.bcf文件。

管理员从控制台备份恢复页面中,下载当前的配置备份文件,并保存在管理员的本地计算机中。手动备份的配置备份文件由于保存在设备之外,将具备更高的可靠性,即使设备损坏或丢失,分支替换新设备,购买新的设备后,仍然可以从备份文件中恢复,因此建议定期执行手动备份操作。

恢复出厂设置

点击恢复出厂设置,将删除当前所有配置,设备将注销并重启。

12.4系统升级

网关升级

在线升级:在线升级会保留当前配置,升级过程中会重启设备,请不要刷新或关闭浏览器,升级成功会自动跳转到登录页。

本地升级:选取升级包文件上传到设备进行升级。

AP升级

可以通过本页面来进行AP在线升级和本地升级操作。

12.5管理日志

管理日志:管理日志中,记录了管理员登录、注销、修改配置的日志。

12.6Web Console

提供可直接操作XRT网关设备的调试命令,用于排除问题。

 控制台支持的命令:

 cls[clear][ctrl+l]      清屏

 term[ctrl+c]            结束当前执行程序

 traceroute              跟踪数据包转发路径

 ping                    测试主机地址连通

 route                   显示路由表

 arp                     显示ARP

 interface               查看网口信息

 dhcppool                查看地址池信息

 dhcppoolbind            查看地址池IP分配信息

 dns                     查看静态配置域名服务器

 vlan                    查看网口VLAN信息

 fdb                     显示MAC地址转发表

 sessionnum              显示当前会话个数

 tcpconnect              测试TCP端口连通性

 udpconnect              测试UDP端口连通性