更新时间:2023-12-12
1 安装指南
本部分主要介绍了SUNDRAY XMG系列产品的构成与硬件安装。硬件安装正确之后,您可以进行配置和调试。
1.1 环境要求
SUNDRAY XMG设备可在如下的环境下使用。
• 输入电压:DC 53.5V
• 温度:0~45℃
• 湿度:10~90%
为保证系统能长期稳定的运行,应保证电源有良好的接地措施、防尘措施、保持使用环境的空气通畅和室温稳定。本产品符合关于环境保护方面的设计要求,产品的安放、使用和报废应遵照国家相关法律、法规要求进行。
1.2 电源
SUNDRAY XMG系列产品使用专用电源适配器DC 53.5V电源。在您接通电源之前,请保证您的电源有良好的接地措施。
1.3 产品外观
图 1‑ 1 SUNDRAY XMG-3320-PWR外观图
图 1‑ 2 SUNDRAY XMG-3320-PWR前面板图
图1-2 SUNDRAY XMG-3320-PWR前面板图(以XMG-3320-PWR为例)中:1. USB口2. CONSOLE(控制)口3.LAN1口 4.WAN7/LAN2口5.WAN6/LAN3口 6.WAN5/LAN4口 7.WAN4/LAN5口 8.WAN3/LAN6口 9.WAN2/LAN7口 10.WAN1口 11.WAN8/LAN8(SFP)口
控制口仅供开发和测试调试使用。最终用户需通过控制台网口接入设备。
1.4 配置与管理
在配置设备之前,您需要配备一台电脑,配置之前请确定该电脑的网页浏览器能正常使用(如Internet Explorer),然后把电脑与XMG设备连接在同一个局域网内,通过网络对设备进行配置。
XMG设备的管理口为任一LAN口,管理口默认出厂IP为192.168.68.1/24。初次登陆设备,请用网线连接任一LAN口到局域网或直接连接电脑。
1.5 设备接线方式
插上适配器连接电源线,此时前面板的PWR灯(绿色,电源指示灯)会点亮。大约1-2分钟后SYS灯(绿色,系统灯)闪烁,说明网关正常工作。
请用标准的RJ-45以太网线将任一LAN口与内部局域网连接,对XMG设备进行配置。
登录控制台后根据网络环境和部署要求进行网络配置和接线。
设备正常工作时POWER灯常亮,接线的数据接口LINK灯长亮,ACT灯在有数据流量时会不停闪烁。
网口直接连接MODEM和交换机应使用直连线、连接路由器和电脑网口应使用交叉线。当指示灯显示正常,但不能正常连接的时候,请检查连接线是否使用错误。直连网线与交叉网线的区别在于网线两端的线序不同,如下图:
图 1‑ 3 直连线、交叉线 线序
2 XMG控制台的使用
2.1 登录WebUI配置界面
XMG支持安全的HTTPS登录,使用的是HTTPS协议的标准端口登录。如果初始登录从任一LAN口登录,那么登录的URL为:https://192.168.68.1/
HTTPS登录WEBUI管理XMG可以防止配置过程在传输过程中被截获而产生的安全隐患。
如何登录XMG设备控制台页面?
按照前面所示方法接好线后,通过WEB界面来配置SUNDRAY XMG设备。方法如下:
首先为登陆控制台的电脑配置一个192.168.68.X网段的IP(如配置192.168.68.100、子网掩码255.255.255.0),然后在IE浏览器中输入管理口的默认登陆IP及端口https://192.168.68.1/,出现一个如下图的安全提示:
点击继续浏览此网站(不推荐)后出现以下的登录界面:
首次使用XMG设备,会自动跳转到向导界面,设置管理员密码,进行向导配置。
后续再次访问登录界面如上图,在登陆框输入『密码』,阅读并勾选《用户使用协议》及《免责声明》后点击登录按钮即可登录XMG设备进行配置,没有默认密码,需要首次向导配置,如果忘记密码则只能通过本地Reset按键重置设备或者通过将XMG设备关联到信锐小信云平台,通过云端重置密码。
2.2 快速向导
首次使用设备需要进行快速向导配置,主要配置XMG设备的网络拓扑模式、上网方式(WAN口配置)、无线网络设置、网络优化、加入小信云。
2.3 配置和使用
完成快速向导之后,点击本地管理登录WebUI界面,可以看到以下模块:包括『首页』、『系统状态』、『网络设置』、『无线管理』、『认证授权』、『对象定义』、『智能流控』、『安全防护』、『高级功能』、『系统维护』。
3 XMG功能说明
3.1 帮助文档
对于XMG,每个菜单页面的配置页面右上角,设备页面都自带有帮助文档,该配置文档介绍了XMG各种功能的使用方法以及原理介绍。
3.2 首页
『首页』主要用于查看设备的基本状态信息,包括【联网状态】、【小信云平台接入状态】、【在线用户数】、【在线/AP总数】、【无线网络】、【资源概况】、【接口状态】、【流量趋势图】。
通过点击各模块,可查看对应详情。
【联网状态】显示网关当前时间WAN口的联网情况,绿色代表已连接,红色代表未连接。
【在线用户数】显示已连接无线网络的终端数量。
【小信云平台】显示网关当前小信云平台的接入状态,绿色代表已接入,橙色代表未接入,红色代表已断开。
【在线/AP总数】显示网关当前所接入的在线/AP总数。
【无线网络】显示网关当前无线网络数量。
【资源概况】显示网关CPU及内存占用比例,超过95%即显示为红色。
【接口状态】显示网关各接口接线情况,蓝色代表已接线,灰色代表未接线。
【流量趋势图】显示网关当前时间段内的发送与接收的流量情况。
3.3 系统状态
3.3.1在线用户
在线用户,可以看到当前接入网络的无线用户和有线认证用户信息,显示无线网络的用户,以及用户的无线频段,接入位置,角色权限,流速等信息。
3.3.2设备列表
在【设备列表】中可以看到各个接入点的名称,在线状态,IP地址,无线网络个数,用户数,流量接收、发送等基本信息
【AP状态】
在线:AP名称高亮;设备已连通本地网络。
离线:AP名称置灰;设备没有上电,或者WAN设置错误。
3.3.3安全事件
可以在此查看安全防护功能中检测出的安全事件。
【事件】显示发起攻击的终端MAC地址以及攻击类型
【类型】攻击的类型,如DoS攻击、ARP攻击等。
【时间】网关检测到攻击的时间。
3.3.4流控状态
可以通过本页面查看当前生效的流控通道。
【瞬时速度】通道的实时速率(上1秒的流量)。
【占用比例】通道实时带宽占用率。
【用户数】 通道中的基于IP统计的用户数(上一秒的统计值)。
【保证带宽】通道配置的保证带宽值,如果是限制通道,则保证带宽值为0。
【最大带宽】通道配置的最大带宽值。
3.3.5DHCP状态
展示网关DHCP地址池的IP分配情况。
可以快捷地进行终端用户的IP地址绑定/解绑。
3.3.6黑名单
可以在安全防护功能中选择某一功能,并勾选“将识别攻击的终端加入黑名单”,当网关检测到攻击后,会将发起攻击的终端加入黑名单,加入黑名单的终端无法上网,无法继续攻击。针对异常终端,也可以从在线用户中手动将该终端加入黑名单,并封锁指定时长。
也可以手动添加黑名单,以阻止指定的 MAC 地址终端连接有线和无线网络。
3.4 网络设置
3.4.1接口管理
可以通过本页面设置设备所有接口属性,切换LAN/WAN口(具体可切换LAN/WAN口数量根据不同型号有所区别)。
【网口】显示物理网口名称,高亮,点击名称可编辑
【类型】显示网口类型,LAN或者WAN
【线路】网口类型为WAN时,显示线路几;网口类型为LAN时,显示为“-”
【属性】wan口显示上网方式,例:静态IP、动态IP(自动获取)、宽带拨号(PPPoE);LAN口显示VLAN配置
【详情】网口类型为WAN口时,显示【查看】,高亮,可点击查看端口属性详情;网口类型为LAN时,显示为“-”
点击网口编辑:
LAN:在网口属性可以看到网口、类型、模式、Native VLAN、VLAN成员,其中模式可选择Trunk/Access、Native VLAN和VLAN成员可写1到4094之间
WAN:
【运营商】包括中国电信、中国移动、中国联通、中国广电、专线、其他
【上网方式】
上网方式有如下三种:
宽带拨号(PPPoE):使用运营商提供的宽带帐号和密码进行上网的方式。
动态IP:使用运营商动态分配的临时IP地址进行上网的方式。
静态IP:使用运营商提供的固定IP进行上网的方式。
【IP地址、子网掩码、网关、DNS服务器】
运营商分配的上网参数或用户设置的上网参数。上网方式为静态IP时配置。
【宽带账号/宽带密码】
运营商提供的宽带账号和密码。联网类型为宽带拨号(PPPoE)时配置。
【默认网关】将此接口作为默认路由
点击【查看】详情:
显示IP地址、子网掩码、默认网关、DNS服务器
【高级选项】包含源进源出、LAN口隔离、预留VLAN池、出口线路上网检测等
3.4.2负载均衡
可以通过本页面设置网关负载均衡策略、选择负载线路。
注:若网关为单线路将会如下图显示
【启用负载均衡】勾选可提高带宽利用率
【负载均衡策略】包含基于会话、基于用户
【负载线路】可选择负载的线路
3.4.3 本地子网
可以通过本页面设置本地子网接口。子网数量根据不同型号XMG网关有所不同。
【VLAN ID】局域网可以划分多个VLAN,VLAN与上联配置有关联,请注意配置。
【DHCP服务】当前vlan接口是否提供 DHCP 服务。
3.4.4 路由功能
路由功能主要包括以下模块:【静态路由】、【策略路由】两个部分。
【静态路由】当您想让访问某一网段地址不走默认路由时,可以配置静态路由。填写目的地址,网络掩码,下一跳,并选择接口,并设置度量值即可。
【策略路由】当在【上网设置】里面开启双链路后,可以根据您配置源IP组,目的IP组、协议,走对应的接口WAN1或者WAN2。
3.4.5 地址转换
地址转换包括【代理上网】、【端口映射】两种类型,下面将一一介绍
【代理上网】英文简称SNAT也可称为源地址转换,主要用与给无线认证和有线认证终端设置代理上网规则的。默认有一条默认规则,代理所有网段的流量进行上网,无法删除,但是可以禁用掉,让XMG网关走路由模式。不同XMG型号支持代理上网的条目数量有所差别。
【端口映射】英文简称DNAT也可以叫做目的地址转换,常用于内网有服务器需要发布,XMG以网关模式部署时,对内网进行端口映射,配置方法如下图。该功能针对无线终端用户用得很少。
3.5 无线管理
『无线管理』包括【无线网络】、【无线设备】、【通用射频】
3.5.1无线网络
『无线网络』:可以【新增】、【删除】、【启用】、【禁用】一个无线网络。新增无线网络需要设置无线终端接入的无线信号SSID,认证方式,设置AP分组范围,无线频段等,下面将一一详细讲解。下面为无线网络的配置截图:
无线网络号SSID可以设置为“汉语”,对汉语的支持比较好无线终端可以正常显示,多数PC无法正常显示,一般建议设置为英文类型的SSID。
包含【WiFi名称】、【网络类型】、【AP分组】、【频段】、【认证类型】、【用户vlan】、【用户角色】、【高级选项】,如下图:
【WiFi名称】无线(Wi-Fi)名称,无线终端搜索显示的名称。需要设置无线网络名称(SSID),并,以及该无线网络在AP上的数据转发模式,并设置工作频段。
【网络类型】网络类型有如下两种:访客网络、员工网络。
【AP分组】设置无线网络在哪些接入点AP上启用。
【频段】设置无线网络生效的AP频段。设置的频段分为2.4G和5G共2个频段,可以分别设置启用,也可以设置2个频段同时启用。
【认证类型】员工网络和访客网络各自支持不同的认证类型
访客网络:
员工网络:
认证类型有以下几种类型可以选择:
[开放式(免认证)]:选择开放式的无线接入方式认证
[PSK认证]:选择WPA或WPA2加密方式与预共享密钥的个人认证方式
[PSK认证(WPA3)]:选择WPA3加密方式与对等实体同时验证的个人认证方式
[WEB认证]:选择开放式的无线接入方式与WEB方式认证组合,
[企业认证]:选择WPA/ WPA2加密方式的企业认证方式
下面我们对这些认证类型做一个简单的分类,以便进行功能区分,所以该分类依据是以功能性差别进行的划分,他们之间有重合的可能,比如开放式认证和WEB认证就可以结合一起使用,划分为如下四类:
第一类:企业方式认证
调用【本地用户】、对接第三方Radius服务器的账号进行认证
企业类型的认证,在终端验证和用户认证出现的界面与WEB方式认证是有所差别的,这些差别就决定了“企业方式认证”和“WEB方式认证”与“个人方式认证”的差别。
企业方式认证是采用802.1X架构的认证方式,无线终端也需要采用配置802.1X方式认证。
第二类:WEB方式认证
web 认证是指无线终端接入无线网络后,浏览器访问任意网址,都会被重定向到登录页面,用户在网页上输入用户名、密码等方式通过认证后才能访问网络资源。
认证方式:调用【本地用户】、对接第三方Radius服务器的账号进行认证、对接短信平台进行短信认证(需要XMG设备关联小信云才支持)
对接第三方Portal服务器的账号进行认证(需要存在第三方Portal服务器)
【MAC免认证】老用户使用mac地址免认证
认证页面是我们在【认证授权】-【认证页面】设置的自定义页面或者采用系统默认的页面。
第三类:个人方式认证
个人方式认证包括:PSK认证、PSK认证(WAP3)
加密方式:自动选择,包括AES和TKIP方式,接入密钥是只设置接入无线网络的预共享密钥。
第四类:开放式认证
开放式认证是指无线终端用户接入无线网络时不需要进行验证即可正常接入无线。
【用户VLAN】
VLAN配置是为了更好的实现无线终端的控制和管理,进行无线VLAN的划分;无线VLAN划分与有线网络VLAN的划分是有一些差别的,无线VLAN的划分以及VLAN之间的数据处理,是由XAP和XMG针对无线网络用户进行管控和路由的,配置VLAN,无线数据标签由XAP打上标签转发出去。
用户认证成功后,在【高级选项】中可以根据终端接入的位置,然后从上往下,按优先级方式查找角色以及 VLAN 分配规则表,如果用户的属性匹配上规则的条件,则根据规则中的设定值,为用户分配角色或 VLAN。
【用户角色】
主要用于设定终端通过认证后,具有访问网络资源的权限,角色包括访问控制策略、流速限制策略,可以根据AP组信息详细的配置角色策略,配置如下:
【高级选项】
1、接入控制
对无线终端的MAC地址的合法性进行校验,其中MAC地址校验是通过启用“检测终端MAC黑白名单”来进行的。MAC白名单是在【对象定义】-【MAC地址库】预先设置好的合法MAC地址。
2、隐藏SSID
启用隐藏SSID功能表示该无线网络不主动广播其信号,无线终端不能自动发现该网络,必须在无线终端STA上手动填写SSID,并设置才能接入该无线网络。
3.5.2 无线设备
管理所有的在线和离线的AP。新增分组,将AP移动到对应分组;删除离线的AP;
设置AP分组配置和各个AP的独立配置,您可以设置AP的网络协议、信道带宽、信道、功率和接入的人数
3.5.3通用射频
通用射频功能可以减少无用的广播包转发至无线终端,增加无线的传输的稳定性,并有效的提高无线终端的数据传输效率。包含射频优化和广播优化等功能。
国家码:当选择不同的国家码时,AP可以工作的频率范围是不一样的,可以根据当地法律选择不同的国家码。
启用高密优化:在无线网络环境中,无论终端是否接入到无线网络,都会定期在每一个信道发送广播probe request(探测帧请求)。当在无线用户比较多的网络环境中时,会产生大量以低速率发送的probe reponse(探测帧响应)报文,影响接入点整体的吞吐量。启用高密优化选项后,接入点将不会响应终端广播的probe request(探测请求),降低了由于低速率发送probe response(探测帧响应)消耗的性能空间,提升高密度场景用户的无线上网体验。
启用用户间平均分配带宽:同一无线接入点上同一频段的所有无线终端用户之间带宽分配权重相同,当无线接入点传输带宽不足时,每个终端占用的无线时间保持基本一致;带宽足够时,用户带宽将不受此限制。建议关闭掉。
启用多播优化:无线接入点默认以1Mbps速率来发送多播报文,在多播报文较多的情况下会严重降低无线网络的总体吞吐率。目前可通过如下方式来提高无线网络的整体总体吞吐率。
自动: 系统将持续评估当前的无线网络环境, 自动选择一个更优,且不显著影响广播报文可靠性的速率来发送广播报文,提高了无线网络的总体吞吐率。
固定速率: 无线接入点若以固定速率发送多播报文,可防止低速终端拉低多播报文整体吞吐率。适用于终端与无线热点距离在10米以内非干扰的多播应用场景。
ARP转单播:从有线测到无线终端的ARP广播包,在XMG和XAP有记录的ARP对应表会转为单播,而不再采用广播数据,提高数据的传送效率
禁止DHCP请求发往无线终端:对于无线测的终端,默认是以上网类的PC、平板、智能手机等终端,默认不包括DHCP服务器的,所以启用该功能可以有效抑制DHCP请求包发往无线终端测,提高传输效率。
禁止mdns发往无线终端:mdns报文用于在没有传统dns服务器的情况下广播发现局域网内的主机。目前苹果系统的产品支持较多,如果要使用类似Bonjour这样的软件,请在使用的vlan不开启禁止功能。
禁止nbns发往无线终端:windows系统的名称解析协议的数据包,在局域网内一般会大量存在,严重时会影响用户的上网数据传输。
MAC白名单:允许源MAC地址在白名单内的mdns、nbns包发往无线侧。
3.6 认证授权
『认证授权』包括【有线接入】、【认证页面】、【用户角色】、【本地用户】、【高级选项】
3. 6.1 有线接入
经过XMG网关的有线用户,可以选择对有线用户进行认证,在【有线接入】配置认证策略。
【认证接口】选择数据通过时需要认证的接口。如果LAN1启用了出口线路,则不支持选择。
【认证类型】认证类型有如下两种:
IP地址认证:无须认证即可连接到网络。
web 认证:web 认证是指终端接入网络后,浏览器访问任意网址,都会被重定向到登录页面,用户在网页上输入用户名、密码等方式通过认证后才能访问网络资源。
【适用范围】选择需要认证的用户IP地址范围。
【用户数据库】radius服务器
【外部Portal服务器】第三方Portal服务器
【用户角色】从上往下匹配,为用户分配唯一角色。
【免认证名单】配置不需要进行认证的终端MAC, 也可以配置不需要进行有线认证的交换机,并可分配免认证的角色。
3.6.2认证页面
【认证页面】用于设置无线用户接入无线网络后,设置WEB认证跳转的页面,系统内置了 Web 认证页面的模板,系统允许您在默认模版的基础上,自定义认证页面的标题,页面文字,免责声明,LOGO 等。
3.6.3用户角色
『用户角色』定义了用户可以访问网络的各种权限设定,包括【用户角色】、【访问控制策略】【流速限制策略】。
用户角色设置好后,并没有立刻被使用生效,需要在【无线管理】-【无线网络】-【编辑无线网络】-【用户角色】中调用角色,匹配给无线用户。
另外【认证授权】-【有线接入】-【用户角色】可以定义了经过XMG网关的有线用户的角色,如下图:
【用户角色】
可以新增角色,然后调用右侧已经建立成功的访问控制策略和流速限制策略,也可以在用户角色中调用新增其他策略。
【访问控制策略】
主要是用来限制无线认证和有线认证终端用户可以访问的网络权限,一般网络设备设置网络权限会有LAN区域和WAN区域的划分,WLAN不设置LAN区域和WAN区域的划分,只需要设置【用户发起】和【用户接收】2个方向即可,配置策略还需要调用到对象定义中的【网络服务】、【网络应用】、【IP组】以及【时间计划】。
[编辑访问控制策略]:可以新增多条访问控制策略规则,并且可以上/下移设置不同的优先级,策略会依次从上往下匹配。
新增规则:支持基于服务、应用、网站进行访问策略控制
【流速限制策略】
可以针对所有终端用户生效,包括有线与无线用户,但此功能只能限制用户的整体上行和下行的速率,无法根据应用进行流控,应用流控需要到【智能流控】菜单下配置。该功能策略如下图:
流速限制策略可以对每一个终端进行流速限制,以避免部分终端的流速过大,影响整体无线用户体验。例如设定为发送最大限制为 512KB/s,则对使用此策略的每一个终端最大发送流速都将被限制为 512KB/s 秒。
3.6.4本地用户
在未部署集中的账号数据库或认证服务器的环境中,无线网络的身份验证方法可以设置为本地用户认证。
所属组:本地用户数据库支持多级的组织结构树,可按照企业实际组织结构划分组,并进行分级管理。
用户:用户名是账号的唯一标识,不同用户间不允许重名。用户身份验证过程中,需要输入此名称。
显示名:用户名由于要求唯一性,因此在部分部署环境中,用户名被设置为诸如员工工号等可读性较低的名称。这种情况下,可以把显示名设置为员工的姓名。系统将在“在线用户列表”等显示用户名的地方,同时显示账号的用户名及显示名,以更直观的对账号进行管理。显示名可以留空,不同用户的显示名允许重名。
过期时间:指定账号的过期时间点,过期后将无法通过身份验证。
登录后必须修改初始密码:本地账号是由管理员创建的,为了简化管理,不同账号的初始密码可能相同,这带来了严重的安全问题。选择此选项将要求账号在首次登录时,修改初始密码。
批量导入导出:csv 为通用表格文件格式,几乎所有的电子表格软件都支持此格式,例如 Microsoft Excel。在大量用户的情况下,通过 csv 表格文件管理,并导入到设备中,可以简化用户管理操作。导入的表格文件列顺序及格式等,参考导入界面中的示例文件。
3.6.5外部服务器
可以通过本页面设置认证服务器(Radius)、Portal服务器、OAUTH服务器(对接portal服务器、短信认证-需要XMG设备关联信锐小信云平台才支持)
【认证服务器】在进行有线&无线的WEB认证时,可以配置认证服务器。填写名称、IP地址、认证端口、共享密钥、采用协议、编码即可。
【Portal服务器】在进行有线&无线的WEB认证时,可以配置Portal服务器。填写名称、认证URL、URL参数、通信端口、身份校验、加密密钥、报文编码即可。
3.6.6高级选项
高级选项用于网关WEB认证通用配置
名词解释:
注销无流量用户:完成无线和有线认证之后,终端在阈值内无流量产生,控制器会主动注销这个用户。
账号认证免弹Portal页面有效期:账号认证非首次认证,断开无线网络后,再次登录的时间间隔在阈值范围内时,不重定向至认证页面,超出阈值时间,终端用户将会重定向至认证页面。
3.7 对象定义
『对象定义』用于配置【IP组】、【MAC地址库】、【时间计划】、【网络服务】、【网络应用】、【网站分类】。这里定义的对象,在后续的模块中会使用到,比如IP组和服务会应用到访问控制策略中,MAC地址库将在使用MAC地址认证时黑白名单调用。
3.7.1IP组
此页面可查看和新增IP组,IP组用于后续【角色授权】中的【访问控制策略】,以及之前的【网络设置】中的【代理上网】。
支持输入多个 IP 地址、IP范围、网段,例如:
IP地址:192.168.1.1
IP范围:192.168.1.10-192.168.1.100
网段:192.168.1.0/24
网段:192.168.1.0/255.255.255.0
3.7.2MAC地址库
将一个、多个 MAC 地址划分为一个 MAC 组,以便在系统的其它功能中调用,例如无线网络-高级选项-接入控制。
默认有默认黑名单和默认白名单两个分组,用户可以自定义分组。
3.7.3时间计划
对于不同的无线或有线用户,我们需要在不同的时间段设置不同的访问控制策略以及流控策略,比如上班时间或下班时间,就需要配置时间计划,为了便于后续设置【认证授权】-【角色授权】-【访问控制策略】的生效时间,需要提前设置时间计划,『时间计划』分为【单次时间计划】和【循环时间计划】。
设置循环时间时,大多数客户可以按照上班时间和下班时间,以及节假日方式设置循环时间,便与管理。
3.7.4网络服务
『网络服务』用于之前【用户角色】授权中的【访问控制策略】。
【网络服务】包括了TCP,UDP协议中各种常用端口号包含的应用协议,比如BGP,DHCP、DNS、HTTP、FTP、SNMP、SSH等。
同时也支持自定义服务。
3.7.5网络应用
可以通过本页面查看和新增应用。网络应用流经网关时,可通过特征,识别其应用类型,识别后,即可对连接进行基于应用策略控制、资源调度及流量审计。
【网络应用】中记录着应用的字节流特征,通过持续不断的收集及更新,保证应用识别的正确性。
内网应用往往由于其私有性,应用特征识别库无法收集其网络流特征,可以将数据包方向、协议类型、IP地址、端口号及域名作为应用的规则特征,自定义某种类型的应用,自定义应用同样适用于外网应用。
3.7.6网站分类
『网站分类』中是由信锐技术自主研发并收集的网站URL分类库。关于URL规则库的使用,需要在【认证授权】-【用户角色】-【访问控制策略】中新增规则,选择网站控制的方式来调用。另外对于少部分,客户内网自由的域名系统,如果无法识别到,用户还自定义URL类别,可将URL设置为内置的URL类别或自定义URL类别,也可以设置域名关键字,模糊匹配为某种类别。并设置自定义的URL类别优先级最高来优先调用。
3.8 智能流控
『智能流控』包含【线路带宽】、【流控通道】、【排除策略】。根据用户数智能的调整每个用户的带宽,保证每个用户公平共享带宽。
3.8.1线路带宽
【开启流控】开启智能流控并保存配置后,“流控通道”等设置才可生效;
开启智能流控功能需要配置上下行带宽,请前往:网络设置-接口管理,进行上下行带宽配置。
【线路带宽】为了保证流控效果,请根据运营商实际分配的带宽进行设置。
上行:上传速度。
下行:下载速度。
3.8.2流控通道
对不同用户及应用的网络流量进行管理、划分。提供了带宽保证和带宽限制功能,保证上网速度,合理利用带宽资源。
在网络没有进行流量管理前,线路中所传输的网络流量不分优先级,自由竞争线路的带宽。而流量通道是指在一条线路内,可以人为再细分成多个虚拟的带宽通道,流量管理系统正是基于通道的方式对线路的带宽进行管理。
通过流量管理,可以实现的主要功能有:1、动态保证重要网络应用的带宽2、通道内,不同IP间,带宽平均分配3、限制网络应用的带宽
【匹配顺序】从上至下,新增的策略排在最前面优先匹配。可以上下调整策略的匹配顺序。
可以依据线路,角色,应用,目的地址,时间来设定带宽通道的条件,设备接收到数据包时,会依次从上往下匹配带宽通道,找到第一个匹配的通道,从而为这个数据包找到正确的带宽通道。
【限制通道】设定通道的最大带宽,该类型的通道不能设定最小保证带宽(或者说保证带宽数值为0)。
【保证通道】是指可以设定最小保证带宽的通道,用于保证重要的网络应用的带宽。如果某个时刻所生效的通道中,所配置的保证带宽总和已经超过线路的带宽,则会按比例压缩,使得保证带宽总和不会超过线路设定带宽。保证通道也可以设定最大限制带宽。通过“系统状态->流控状态”页面可以查看到当前生效的通道的实际保证带宽,以及通道的实时速率等信息。
3.8.3排除策略
可以通过本页面配置排除策略,符合排除策略的流量完全不受流量管理系统的管理,直接进行转发。
3.9 安全防护
『安全防护』包含【DoS防御】、【防火墙】、【DHCP防御】、【ARP防御】、【扫描防御】。
3.9.1 DOS防御
【广域网DoS防御】可以检测广域网侧DoS攻击,例如SYN泛洪、UDP泛洪、ICMP泛洪攻击。
【用户DoS防御】可以检测用户侧DoS攻击,例如连接总数超限、新建速率超限、小包攻击、DHCP泛洪攻击;此处防御的对象是有线接入的用户。
【数据包攻击防御】可以检测TCP SYN分片、TCP flag异常、TCP ACK flood等11种数据包攻击。
【无线DoS防御】可以检测DoS攻击,如TCP、SYN攻击、UDP攻击等,并将攻击的终端加入黑名单。防御对象为无线接入的用户;
【无线泛洪攻击防御】可以检测无线泛洪攻击,并将攻击的终端加入黑名单。防御对象为无线接入的用户。
3.9.2防火墙
可以配置防火墙过滤规则,拦截LAN->WAN、WAN->LAN、LAN->LAN的指定数据流量。默认内置防火规则放通所有方向流量。
【数据方向】经过网关的流量数据流向,包括LAN到WAN、WAN到LAN、LAN到LAN三个方向
3.9.3DHCP防御
开启此功能后,网关只会转发收信任的DHCP服务器的报文,本地子网中的DHCP服务器已经默认添加。可避免子网中的用户获取到外部不被信任的DHCP服务器中的地址。
3.9.4ARP防御
【无线ARP防御】可以在此开启网关欺骗防御,添加到受信任的网关会受到保护,避免无线终端发arp欺骗报文伪装成网关。勾选“将识别为攻击的终端加入黑名单”,会将检测出攻击的无线终端加入黑名单。开启用户隔离,则用户间不可Ping通,您也可以指定vlan内的用户可通信
【网关ARP防御】功能同无线ARP防御,但此处防御的对象是有线接入的用户。
3.9.5扫描防御
可以检测对应的扫描攻击,并将攻击的终端加入黑名单。防御对象为无线接入的用户。
3.10 高级功能
『高级功能』包含【云安全访问服务】、【接入小信云平台】、【IPsec VPN】、【动态域名】。
3.10.1云安全访问服务
传统网络环境下,用户网络流量从网关出口直达互联网。启用云安全访问服务后,网关按照引流策略将用户流量引流至安全服务平台,流量经过安全服务平台访问控制和审计后再送达互联网,基础网络更安全;
【服务平台】国内安全服务厂商提供的云安全访问服务平台。
【接入码】安全服务厂商提供的设备接入码,若选择的安全服务厂商为深信服,则需登录到深信服云安全访问服务平台(https://sase.sangfor.com.cn)获取。
【引流节点】服务平台提供的引流节点IP地址,网关默认自动获取,也可到云安全访问服务平台上切换引流节点模式为本地模式,此种模式下网关可在本地输入引流节点及秘钥。
【秘钥】引流节点校验网关设备是否准许引流。
【链路时延】当前引流链路时延大小。
【异常逃生】若启用服务异常逃生,则网关探测引流节点不通时,原引流流量从本地转发,未启用服务异常逃生功能时,若网关探测引流节点不通,仍引流到引流节点。
【目标地址探测】默认三个内置公网探测点,允许输入5个公网域名或服务器IP地址作为自定义探测点,主要用于探测链路时延、引流节点联通状态。
【探测间隔】探测报文发送间隔。
【重试次数】连续探测失败达到重试次数,则认为达到异常逃生条件。
引流策略
在本页面配置引流规则,决定当前网关哪些流量可以引流到云安全访问服务平台进行安全审计;您也可以在云安全访问服务平台上切换引流配置模式为云端模式,此种模式下,引流配置默认从服务平台上获取,且不可在网关本地进行更改;
3.10.2接入小信云平台
可以通过本页面查看接入小信云平台的账户、状态、绑定时间及查看日志,设备SN和MAC,设备上云指引,以及跳转云平台或进行解除绑定操作。
3.10.3IPsec VPN
【连接状态】可以通过本页面查看当前建立的VPN连接。
【VPN连接】可以通过本页面设置VPN连接,VPN连接规定了对什么样的数据流采用什么样的安全提议。
【地址类型】包括对端是固定IP、对端是动态IP、对端是固定域名三种。请根据实际情况选择。选择固定IP,就填写上对端的IP地址;选择动态域名,就填写上对端外网绑定的域名。
注意:标准IPSEC不允许连接的双方都是动态IP,只能允许其中一方为动态IP。
【共享密钥及确认密钥】填入正确的预共享密钥,并确保连接双方采用的都是相同的预共享密钥。
【本/对端网段】设置受保护的数据流的本地和对端子网范围,由IP地址和子网掩码来确定。
【NATT穿透】NATT功能与IPsec AH协议不支持同时启用;当连接模式为主模式时,请禁用;当两端设备之间存在NAT设备时,请启用;当不确定两端设备之间是否存在NAT设备时,建议启用。
【高级选择】支持配置标准IPsec VPN第一阶段(IKE配置)、第二阶段(IPsec配置)的相关协议版本、模式、加密算法等参数;
【协商模式】包括主模式和野蛮模式两种类型。主模式适用于双方均为固定IP或者一方固定IP一方动态域名方式,并且不支持NAT穿透;野蛮模式适用于其中一方为拨号的情况,并且支持NAT穿透。
【加密算法】选择数据加密的算法,包括DES、3DES、AES,请与对端设备配置保持一致。
【认证算法】选择数据认证的Hash算法,包括MD5、SHA1,请与对端设备配置保持一致。
【DH群】设置Diffie-Hellman密钥交换的群类型,包括1、2、5三种,请与对端设备配置保持一致。
【IKE SA生存时间】标准IPsec协商的第一阶段存活时间,只支持按秒计时方式,请与对端设备配置保持一致。
【协议】与第三方设备建立IPsec连接的协议,包含AH、ESP,请与对端设备配置保持一致。
【IPsec SA生存时间】标准IPSec协商的第二阶段存活时间,只支持按秒计时方式,请与对端设备配置保持一致。
【完美前向保密(PFS)】启用后,为IPsecVPN第二阶段每次会话协商一个独立的密钥,增强流量安全性,根据对端设备情况而定,如果对端启用了PFS,则本端也需要勾上此选项,否则不用勾选。
3.10.4动态域名
通过在服务商公云PubYun上注册账号,配置好主机域名。在此界面填写注册好的主机域名、用户名和密码,这样就可以通过域名访问XMG网关设备。
3.11 系统维护
『系统维护』包含【系统管理】、【系统重启】、【备份恢复】、【系统升级】、【管理日志】、【Web Console】。
3.11.1系统管理
【系统选项】可以配置关于设备的基本信息,包括设备的中英版本切换,可以在此选择切换。
设备名称:填写设备的名称
超时时间:管理员登录控制台后,如果在设定的超时时间内,未进行任何操作,则系统会注销此次登录。
调试选项:允许用户通过sshd方式连接到本设备上进行调试。
远程控制:允许用户通过WAN口访问网关控制台Web界面
AP激活:禁用XMG网关激活AP功能,禁用后无法激活和管理AP,当前在线的AP会断线。
【系统时间】设置系统时间,可以通过手动设置或通过同步NTP服务器的方式同步时间,如下图,并可以设置设备工作所在的时区。
【登录密码】修改当前管理员登录Web控制台的密码
3.11.2系统重启
【AP重启】可以通过本页面重启AP,以获得更好的体验。
【定时重启】开启此功能将在指定时间进行定时重启,以获得更好的体验。建议定时重启时间在凌晨或无人使用网络的时间段执行。
【系统重启】系统的部分配置修改需要重启设备才能生效,您可以通过本页面来重启设备,在系统重启过程中,请不要将设备断电!
3.11.3备份恢复
备份与还原
点击【配置备份】时,可以从XMG上下载当前系统配置,并可以保存到在PC上,用户可以自行保存,是bcf格式的文件。配置文件之后请及时下载,10分钟后将自动删除
【还原配置】选择之前从XMG网关下载的备份文件,只能上传*.bcf文件。
管理员从控制台备份恢复页面中,下载当前的配置备份文件,并保存在管理员的本地计算机中。手动备份的配置备份文件由于保存在设备之外,将具备更高的可靠性,即使设备损坏或丢失,分支替换新设备,购买新的设备后,仍然可以从备份文件中恢复,因此建议定期执行手动备份操作。
恢复出厂设置
点击恢复出厂设置,将删除当前所有配置,设备将注销并重启。
3.11.4系统升级
网关升级
在线升级:在线升级会保留当前配置,升级过程中会重启设备,请不要刷新或关闭浏览器,升级成功会自动跳转到登录页。
本地升级:选取升级包文件上传到设备进行升级。
AP升级
可以通过本页面来进行AP在线升级和本地升级操作。
3.11.5管理日志
管理日志:管理日志中,记录了管理员登录、注销、修改配置的日志。
3.11.6Web Console
提供可直接操作XMG网关设备的调试命令,用于排除问题。
控制台支持的命令:
cls[clear][ctrl+l] 清屏
term[ctrl+c] 结束当前执行程序
traceroute 跟踪数据包转发路径
ping 测试主机地址连通
route 显示路由表
arp 显示ARP表
interface 查看网口信息
dhcppool 查看地址池信息
dhcppoolbind 查看地址池IP分配信息
dns 查看静态配置域名服务器
vlan 查看网口VLAN信息
fdb 显示MAC地址转发表
sessionnum 显示当前会话个数
tcpconnect 测试TCP端口连通性
udpconnect 测试UDP端口连通性
4 部署案例
4.1 部署案例
AP连接POE交换机发现控制器,终端需要通过AP访问Internet网络资源。
4.2 具体配置
4.2.1 XMG配置
第一步:使用网线把电脑(PC)终端连接XMG网关的LAN1接口,并且在电脑有线网卡上配置IP地址为192.168.68.10/24
第二步:电脑使用谷歌浏览器打开网站https://192.168.68.1(新版本)或者http://192.168.68.1(旧版本),登录后弹出以下界面,并设置完成XMG多业务网关登录密码后直接点击下一步。
第三步:选择网络拓扑图方式:选择出口模式,并点击下一步。
第四步:选择上网方式(一般选择动态获取IP地址,具体情况需要看客户需求),并点击下一步。
第五步:无线网络配置(根据需求进行开启或者关闭),并点击下一步。
第六步:网络优化设置(直接关闭即可),并且点击下一步。
第七步:配置完成,并且点击加入小信云平台。
第八步:点击本地管理,可以进入用户模式界面,至此走完了设备向导流程,AP同二层可以自动上线,发出SSID,终端连接SSID即可进行上网。
4.2.2 XAP恢复默认配置
在使用XAP的过程中,XAP的恢复默认配置是很常用的一个步骤,默认的出厂XAP会主动发起DHCP请求获取IP地址,并自动搜寻XMG接入,所以当遇到以下几种情况时,可以恢复出厂配置。
1、当发现XAP网络故障时
2、给XAP配置了固定IP,忘记了XAP的IP,XAP连接不上XMG时
3、当XAP连接没有连接到正确的XMG上
4、其他故障时
方法:XAP上有一个『Reset』按钮,长按RESET按钮5-15秒,查看XAP的系统指示灯会灭一段时间,然后XAP会自动热重启,并恢复默认出厂配置。
5. 附录
5.1 SUNDRAY设备升级系统的使用
SUNDRAY设备升级系统可用于对设备进行内核版本升级和备份恢复设备配置。在设备出现致命错误时,也可通过SUNDRAY设备升级系统把设备恢复到出厂状态。同时,SUNDRAY设备升级系统还可以启动技术支持工具来检查系统网口工作状态,路由等配置信息以及更改网口工作模式等。
SUNDRAY设备升级系统为绿色版软件,解压后即可使用,解压文件里包含一个文件夹和一个主程序,界面如下:
图 5‑ 1 升级软件
双击打开主程序的主界面,界面如下:
图 5‑ 2 升级客户端
『设备IP地址』:连接的SUNDRAY设备的IP地址,格式为IP:端口,也可以直接输入IP地址进行访问,则默认连接的是该IP地址的51111端口。
『管理员密码』:XMG的默认密码为dlanrecover或者是与XMG的控制台密码保持一致,与所连接的XMG的版本有关。
『查找设备』:通过点击查找设备来搜索局域网内部的SUNDRAY设备。
图 5‑ 3 扫描设备
输入SUNDRAY设备的IP地址以及管理员密码后,点击连接即可连接到设备进行系统升级、恢复默认配置等操作,界面如下:
图 5‑ 4 连接设备
『当前设备信息』:用于显示连接的SUNDRAY设备的版本信息以及连接的IP地址。
『设备升级』:对当前连接的SUNDRAY设备进行升级操作,包括在线升级和从本地加载升级包进行升级。
在线升级:
选择在线升级,点击选择版本,SUNDRAY设备升级系统会自动判定设备当前版本支持升级到哪个版本,并自动列出可以支持升级的版本信息,选择期望升级到的版本,点击确定后,系统会自动从服务器上下载升级包进行升级操作。
1.使用SUNDRAY设备升级系统进行在线升级时,要求所连接的SUNDRAY设备能够正常上网,否则将不能进行在线升级。
2.SUNDRAY设备的某些版本不支持在线升级功能,具体请联系信锐技术客户服务中心确认。
从本地加载升级包:
选择从本地加载升级包,点击浏览,选择下载到本地的相应升级包,然后点击下一步,显示当前升级包的基本信息,确认无误后,点击开始升级进行升级操作,界面如下:
图 5‑ 5 本地升级
图 5‑ 6 升级提示
升级完成后,设备升级状态里会显示“升级成功”,界面如下:
图 5‑ 7 升级成功
1.升级具有一定的风险,如升级不当会导致设备损坏。请勿自行升级。如需升级请联系信锐技术客户服务部。
启动技术支持工具:
SUNDRAY设备升级系统连接到SUNDRAY设备后,可以按F10或Ctrl+Shift+F10启动技术支持工具。技术支持工具有『升级』、『备份』、『时间』、『命令』、『修改密码』和『帮助』几个菜单,下面分别介绍它们的功能。
图 5‑ 8 技术支持工具
『升级』:包括恢复出厂设置,恢复出厂设置仅网络部分,查看软件升级过期时间和升级历史记录。如下图:
图 5‑ 9 升级
[恢复出厂设置]:用于将SUNDRAY硬件设备恢复到默认配置,需要通过加载升级包将设备恢复出厂设置。
[恢复出厂设置仅网络部分]:只能在没有连接到设备时才能使用。会将设备的网络配置恢复到默认出厂配置,此操作是通过广播包发送命令进行操作的,会对局域网内的所有SUNDRAY硬件网关生效,有一定危险性,请勿擅自点击操作。
[查看软件升级过期时间]:检测当前网关是否处于升级服务有效期内。若不在升级服务有效期内,则不能升级,需要购买相应授权才能升级。
[升级历史记录]:用于查看当前设备的以往升级历史,或者查看或清除本地的历史升级记录。
『备份』:包括备份配置、恢复备份配置选项,如下图:
图 5‑ 10 备份
[备份配置]:将设备现有的配置信息进行备份。
[恢复备份配置]:将以前备份过的配置信息恢复到设备中。
『时间』用来查看当前时间和同步公网时间,来效验设备升级授权是否过期。如下图:
图 5‑ 11 时间
『命令』:包括Ping、查看路由表、查看Arp表、查看网络配置、查看网卡工作模式、设置网卡工作模式、交换网卡物理位置以及设备健康状态检查选项。如下图:
图 5‑ 12 命令
[Ping]:登录设备后,从设备往外网ping,以验证设备是否和外网连通。
[查看路由表]:查看设备本机的路由表。
[查看ARP表]:查看设备本机的ARP表,因为XMG属于特殊无线网络设备,通过升级客户端方式查看的ARP不代表其内部真实的ARP表,所以该返回值不具备参考性。
[查看网络配置]:查看设备本机的网络配置,包括接口IP配置等。
[查看网卡工作模式]:查看设备各网卡的工作模式。
[设置网卡工作模式]:XMG产品线该功能不可用。
[交换网卡物理位置]:XMG产品线,该功能不可用。
[设备健康状态检查]:通过在线检测或者是上传脚本来检测设备的硬件状态。
『修改密码』:用于修改SUNDRAY设备升级系统密码,如下图:
图 5‑ 13 修改密码
『帮助』包括公网首页的链接,技术支持论坛的链接和查看当前Updater的版本信息。
图 5‑ 14 帮助