更新时间:2023-12-13
1安装指南
本部分主要介绍了 SUNDRAY XMG 系列产品的构成与硬件安装 。硬件安装正确之后, 您可以进行配置和调试 。
1.1 环境要求
SUNDRAY XMG 设备可在如下的环境下使用 。
• • 输入电压: DC 53.5V
• • 温度 :0~45℃
• • 湿度 :10 ~90%
为保证系统能长期稳定的运行, 应保证电源有良好的接地措施 、防尘措施 、保持 使用环境的空气通畅和室温稳定 。本产品符合关于环境保护方面的设计要求 , 产品的安放 、使用和报废应遵照国家相关法律 、法规要求进行 。
1.2 电源
SUNDRAY XMG 系列产品使用专用电源适配器 DC 53 .5V 电源 。在您接通电 源之前, 请保证您的电源有良好的接地措施。
1.3 产品外观
图 1- 1 SUNDRAY XMG-3320-PWR 外观图
图 1- 2 SUNDRAY XMG-3320-PWR 前面板图
图 1-2 SUNDRAY XMG-3320-PWR 前面板图(以 XMG-3320-PWR 为例) 中 : 1. USB 口 2. CONSOLE( 控 制 ) 口 3. LAN1 口 4.WAN7/LAN2 口 5.WAN6/LAN3 口 6.WAN5/LAN4 口 7.WAN4/LAN5 口 8.WAN3/LAN6 口 9.WAN2/LAN7 口 10 .WAN1 口 11 .WAN8/LAN8(SFP)口
控制口仅供开发和测试调试使用 。最终用户需通过控制台网口接入设备 。
1.4 配置与管理
在配置设备之前, 您需要配备一 台电脑 , 配置之前请确定该电脑的网页浏览器能 正常使用(如 Internet Explorer ),然后把电脑与 XMG 设备连接在同一个局域网内 , 通过网络对设备进行配置 。
XMG 设备的管理口为任一 LAN 口, 管理口默认出厂 IP 为 192.168.68.1/24 。
初次登陆设备 ,请用网线连接任一 LAN 口到局域网或直接连接电脑 。
1.5 设备接线方式
插上适配器连接电源线, ,此时前面板的 PWR 灯(绿色, 电源指示灯) 会点亮 。 大约 1-2 分钟后 SYS 灯(绿色, 系统灯) 闪烁 ,说明网关正常工作 。
请用标准的 RJ-45 以太网线将任一 LAN 口与内部局域网连接,对 XMG 设备进行配置 。
登录控制台后根据网络环境和部署要求进行网络配置和接线 。
设备正常工作时 POWER 灯常亮 ,接线的数据接口 LINK 灯长亮 ,ACT 灯在有数据流量时会不停闪烁 。
网口直接连接 MODEM 和交换机应使用直连线 、连接路由器和电脑网口应使用交叉线 。
当指示灯显示正常 ,但不能正常连接的时候 ,请检查连接线是否使用错误 。直连网线与交叉网线的区别在于网线两端的线序不同 ,如下图:
图 1- 3 直连线 、交叉线线序
2 XMG 控制台的使用
2.1 登录 WebUI 配置界面
XMG 支持安全的 HTTPS 登录,使用的是 HTTPS 协议的标准端口登录 。如果 初始登录从任一 LAN 口登录 ,那么登录的 URL 为: https://192.168.68.1/
HTTPS 登录 WEBUI 管理 XMG 可以防止配置过程在传输过程中被截获而产生的安全隐患 。
如何登录 XMG 设备控制台页面?
按照前面所示方法接好线后,通过 WEB 界面来配置 SUNDRAY XMG 设备 。方法如下:
首 先 为 登 陆 控 制 台 的 电 脑 配 置 一 个 192 .168.68.X 网 段 的 IP( 如 配 置 192.168.68.100 、子网掩码 255.255.255.0) ,然后在 IE 浏览器中输入管理口的默 认登陆 IP 及端口 https://192.168.68.1/, 出现一个如下图的安全提示:
点击后出现以下的登录界面:
首次使用 XMG 设备 ,会自动跳转到向导界面 ,设置管理员密码 ,进行向导配置。
后续再次访问登录界面如上图, 在登陆框输入『密码』 , 阅读并勾选《用户使用协议》及《免责声明》后点击 登录 按钮即可登录 XMG 设备进行配置,没有默认密码,需要首次向导配置 , 如果忘记密码则只能通过本地 Reset 按键重置设备或者通过将 XMG 设备关联到信锐小信云平台 ,通过云端重置密码 。
2.2 快速向导
首次使用设备需要进行快速向导配置 ,主要配置 XMG 设备的网络拓扑模式 、上网方式(WAN 口配置) 、无线网络设置 、网络优化 、加入小信云。
2.3 配置和使用
完成快速向导之后,点击本地管理登录 WebUI 界面,可以看到以下模块:包括『首 页』 、『系统状态』 、『网络设置』 、『无线管理』 、『认证授权』 、『对象定义』 、 『智能流控』 、『安全防护』 、『高级功能』 、『系统维护』 。
3 XMG 功能说明
3.1帮助文档
对于 XMG,每个菜单页面的配置页面右上角,设备页面都自带有帮助文档,该配置文 档介绍了 XMG 各种功能的使用方法以及原理介绍。
3.2 首页
『首页』主要用于查看设备的基本状态信息,包括【联网状态】 、【在线用户数】、 【在线/AP 总数】 、【无线网络】 、【资源概况】 、【接口状态】 、【流量趋势图】 。
通过点击各模块, 可查看对应详情 。
【联网状态】显示网关当前时间 WAN 口的联网情况 ,绿色代表已连接 ,红色代表未连接。
【在线用户数】显示已连接无线网络的终端数量。
【在线/AP 总数】显示网关当前所接入的在线/AP 总数。
【无线网络】显示网关当前无线网络数量。
【资源概况】显示网关 CPU 及内存占用比例 ,超过 95%即显示为红色。
【接口状态】显示网关各接口接线情况 ,蓝色代表已接线 ,灰色代表未接线。
【流量趋势图】显示网关当前时间段内的发送与接收的流量情况。
3.3 系统状态
3.3.1 在线用户
在线用户,可以看到当前接入网络的无线用户和有线认证用户信息,显示无线网络的用 户 ,以及用户的无线频段 ,接入位置 ,角色权限 ,流速等信息。
3.3.2 设备列表
在【设备列表】中可以看到各个接入点的名称 ,在线状态, IP 地址 ,无线网络个数, 用户数 ,流量接收 、发送等基本信息
【AP 状态】
在线:AP 名称高亮;设备已连通本地网络。
离线:AP 名称置灰;设备没有上电 ,或者 WAN 设置错误。
3.3.3 安全事件
可以在此查看安全防护功能中检测出的安全事件。
【事件】显示发起攻击的终端 MAC 地址以及攻击类型
【类型】攻击的类型 ,如 DoS 攻击 、ARP 攻击等。
【时间】网关检测到攻击的时间。
3.3.4 流控状态
可以通过本页面查看当前生效的流控通道。
【瞬时速度】通道的实时速率(上 1 秒的流量) 。
【占用比例】通道实时带宽占用率。
【用户数】 通道中的基于 IP 统计的用户数(上一秒的统计值) 。
【保证带宽】通道配置的保证带宽值 ,如果是限制通道 ,则保证带宽值为 0。
【最大带宽】通道配置的最大带宽值。
3.3.5 黑名单
可以在安全防护功能中选择某一功能,并勾选“将识别攻击的终端加入黑名单 ”,当网 关检测到攻击后,会将发起攻击的终端加入黑名单,加入黑名单的终端无法上网,无法继续 攻击 。针对异常终端 ,也可以从在线用户中手动将该终端加入黑名单 ,并封锁指定时长。
也可以手动添加黑名单 ,以阻止指定的 MAC 地址终端连接有线和无线网络。
3.4 网络设置
3.4.1 接口管理
可以通过本页面设置设备所有接口属性,切换 LAN/WAN 口(具体可切换 LAN/WAN 口数量根据不同型号有所区别) 。
【网口】显示物理网口名称 ,高亮 ,点击名称可编辑
【类型】显示网口类型 ,LAN 或者 WAN
【线路】网口类型为 WAN 时 ,显示线路几; 网口类型为 LAN 时 ,显示为“- ”
【属性】wan 口显示上网方式,例:静态 IP、动态 IP(自动获取)、宽带拨号(PPPoE); LAN 口显示 VLAN 配置
【详情】网口类型为 WAN 口时 ,显示【查看】 ,高亮 ,可点击查看端口属性详情; 网口类型为 LAN 时 ,显示为“- ”
点击网口编辑:
LAN:在网口属性可以看到网口、类型、模式 、Native VLAN、VLAN 成员,其中模式可选择 Trunk/Access 、Native VLAN 和 VLAN 成员可写 1 到 4094 之间
WAN:
【运营商】包括中国电信 、中国移动 、中国联通 、中国广电 、专线 、其他
【上网方式】
上网方式有如下三种:
宽带拨号(PPPoE) :使用运营商提供的宽带帐号和密码进行上网的方式。
动态 IP:使用运营商动态分配的临时 IP 地址进行上网的方式。
静态 IP:使用运营商提供的固定 IP 进行上网的方式。
【IP 地址 、子网掩码 、网关 、DNS 服务器】
运营商分配的上网参数或用户设置的上网参数 。上网方式为静态 IP 时配置。
【宽带账号/宽带密码】
运营商提供的宽带账号和密码 。联网类型为宽带拨号(PPPoE) 时配置。
【默认网关】将此接口作为默认路由
点击【查看】详情:
显示 IP 地址 、子网掩码 、默认网关 、DNS 服务器
【高级选项】包含LAN 口隔离 、预留VLAN 池 、出口线路上网检测等
3.4.2 负载均衡
可以通过本页面设置网关负载均衡策略 、选择负载线路。
注 :若网关为单线路将会如下图显示
【启用负载均衡】勾选可提高带宽利用率
【负载均衡策略】包含基于会话 、基于用户
【负载线路】可选择负载的线路
3.4.3 本地子网
可以通过本页面设置本地子网接口 。子网数量根据不同型号 XMG 网关有所不同。
【VLAN ID】局域网可以划分多个 VLAN ,VLAN 与上联配置有关联 ,请注意配置。
【DHCP 服务】当前 vlan 接口是否提供 DHCP 服务。
3.4.4 路由功能
路由功能主要包括以下模块:【静态路由】 、【策略路由】两个部分。
【静态路由】当您想让访问某一网段地址不走默认路由时,可以配置静态路由。填写目 的地址, 网络掩码 ,下一跳 ,并选择接口 ,并设置度量值即可。
【策略路由】当在【上网设置】里面开启双链路后,可以根据您配置源 IP 组, 目的 IP 组 、协议 ,走对应的接口 WAN1 或者 WAN2。
3.4.5 地址转换
地址转换包括【代理上网】 、【端口映射】两种类型 ,下面将一一介绍
【代理上网】英文简称 SNAT 也可称为源地址转换 ,主要用与给无线认证和有线认证 终端设置代理上网规则的。默认有一条默认规则,代理所有网段的流量进行上网,无法删除, 但是可以禁用掉 ,让 XMG 网关走路由模式 。不同 XMG 型号支持代理上网的条目数量有所差别。
【端口映射】英文简称 DNAT 也可以叫做目的地址转换 ,常用于内网有服务器需要发 布,XMG 以网关模式部署时,对内网进行端口映射,配置方法如下图。该功能针对无线终 端用户用得很少。
3.5 无线管理
『无线管理』包括【无线网络】 、【无线设备】 、【通用射频】
3.5.1 无线网络
『无线网络』 : 可以【新增】 、【删除】 、【启用】 、【禁用】 一个无线网络 。 新增无线网络需要设置无线终端接入的无线信号 SSID,认证方式,设置 AP 分组范围, 无线频段等, 下面将一一详细讲解 。下面为无线网络的配置截图:
无线网络号 SSID 可以设置为“ 汉语 ”,对汉语的支持比较好无线终端可以正常显示,多数 PC 无法正常显示 ,一般建议设置为英文类型的 SSID 。
包含【WiFi 名称】 、【网络类型】 、【AP 分组】 、【频段】 、【认证类型】 、 【用户 vl an 】 、【用户角色】 、【高级选项】 ,如下图:
【WiFi 名称】无线(Wi-Fi)名称, 无线终端搜索显示的名称 。需要设置无线网络 名称(SSID) , 并, 以及该无线网络在 AP 上的数据转发模式 ,并设置工作频段 。
【网络类型】网络类型有如下两种: 访客网络 、员工网络 。
【AP 分组】设置无线网络在哪些接入点 AP 上启用。
【频段】设置无线网络生效的 AP 频段 。设置的频段分为 2.4G 和 5G 共 2 个频段 ,可 以分别设置启用 ,也可以设置 2 个频段同时启用。
【认证类型】员工网络和访客网络各自支持不同的认证类型
访客网络:
员工网络:
认证类型有以下几种类型可以选择:
[开放式(免认证)]: 选择开放式的无线接入方式认证
[PSK 认证]: 选择 WPA 或 WPA2 加密方式与预共享密钥的个人认证方式
[PSK 认证(WPA3)]:选择 WPA3 加密方式与对等实体同时验证的个人认证方 式
[WEB 认证] :选择开放式的无线接入方式与 WEB 方式认证组合,
[企业认证]: 选择 WPA/ WPA2 加密方式的企业认证方式
下面我们对这些认证类型做一个简单的分类 , 以便进行功能区分 ,所以该分类依 据是以功能性差别进行的划分, 他们之间有重合的可能 , 比如开放式认证和 WEB 认 证就可以结合一起使用 ,划分为如下四类:
第一类: 企业方式认证
调用【本地用户】 、对接第三方 Radius 服务器的账号进行认证
企业类型的认证 ,在终端验证和用户认证出现的界面与 WEB 方式认证是有所差别的, 这些差别就决定了“企业方式认证 ”和“WEB 方式认证 ”与“个人方式认证 ”的差别。
企业方式认证是采用 802.1X 架构的认证方式,无线终端也需要采用配置 802.1X 方式 认证。
第二类: WEB 方式认证
web 认证是指无线终端接入无线网络后,浏览器访问任意网址,都会被重定向到登录 页面 ,用户在网页上输入用户名 、密码等方式通过认证后才能访问网络资源。
认证方式: 调用【本地用户】 、对接第三方 Radius 服务器的账号进行认证 、对 接短信平台进行短信认证(需要 XMG 设备关联小信云才支持)
对接第三方 Portal 服务器的账号进行认证(需要存在第三方 Portal 服务器)
【MAC 免认证】老用户使用 mac 地址免认证
认证页面是我们在【认证授权】 -【认证页面】设置的自定义页面或者采用系统默 认的页面 。
第三类: 个人方式认证
个人方式认证包括: PSK 认证 、PSK 认证(WAP3)
加密方式: 自动选择,包括 AES 和 TKIP 方式,接入密钥是只设置接入无线网络的预 共享密钥。
第四类: 开放式认证
开放式认证是指无线终端用户接入无线网络时不需要进行验证即可正常接入无线。
【用户 VLAN】
VLAN 配置是为了更好的实现无线终端的控制和管理, 进行无线 VLAN 的划分; 无线 VLAN 划分与有线网络 VLAN 的划分是有一些差别的 ,无线 VLAN 的划分以及 VLAN 之间的数据处理 , 是由 XAP 和 XMG 针对无线网络用户进行管控和路由的 , 配置 VLAN ,无线数据标签由 XAP 打上标签转发出去 。
用户认证成功后,在【高级选项】中可以根据终端接入的位置,然后从上往下,按优先 级方式查找角色以及 VLAN 分配规则表,如果用户的属性匹配上规则的条件,则根据规则 中的设定值 ,为用户分配角色或 VLAN。
【用户角色】
主要用于设定终端通过认证后,具有访问网络资源的权限,角色包括访问控制策略、流 速限制策略 ,可以根据 AP 组信息详细的配置角色策略 ,配置如下:
【高级选项】
1 、接入控制
对无线终端的 MAC 地址的合法性进行校验 ,其中 MAC 地址校验是通过启用“检测 终端 MAC 黑白名单 ”来进行的 。MAC 白名单是在【对象定义】 -【MAC 地址库】预先 设置好的合法 MAC 地址。
2 、隐藏 SSID
启用隐藏 SSID 功能表示该无线网络不主动广播其信号 ,无线终端不能自动发现该网
络 ,必须在无线终端 STA 上手动填写 SSID ,并设置才能接入该无线网络。
3.5.1 无线设备
管理所有的在线和离线的 AP 。新增分组 , 将 AP 移动到对应分组; 删除离线的
AP;
设置 AP 分组配置和各个 AP 的独立配置, 您可以设置 AP 的网络协议 、信道带宽 、信道 、功率和接入的人数。
3.5.2 通用射频
通用射频功能可以减少无用的广播包转发至无线终端 ,增加无线的传输的稳定性, 并有效的提高无线终端的数据传输效率 。包含射频优化和广播优化等功能。
国家码 :当选择不同的国家码时,AP 可以工作的频率范围是不一样的,可以根据 当地法律选择不同的国家码 。
启用高密优化: 在无线网络环境中, 无论终端是否接入到无线网络, 都会定期在 每一个信道发送广播 probe request(探测帧请求) 。当在无线用户比较多的网络环 境中时 ,会产生大量以低速率发送的 probe reponse(探测帧响应) 报文 ,影响接入 点整体的吞吐量 。启用高密优化选项后,接入点将不会响应终端广播的 probe request (探测请求) , 降低了由于低速率发送 probe response(探测帧响应) 消耗的性能 空间 ,提升高密度场景用户的无线上网体验 。
启用用户间平均分配带宽: 同一无线接入点上同一频段的所有无线终端用户之间 带宽分配权重相同 , 当无线接入点传输带宽不足时, 每个终端占用的无线时间保持基 本一致; 带宽足够时, 用户带宽将不受此限制 。建议关闭掉 。
启用多播优化:无线接入点默认以 1Mbps 速率来发送多播报文,在多播报文较多的情 况下会严重降低无线网络的总体吞吐率。目前可通过如下方式来提高无线网络的整体总体吞 吐率。
自动: 系统将持续评估当前的无线网络环境, 自动选择一个更优 ,且不显著影响广播 报文可靠性的速率来发送广播报文 ,提高了无线网络的总体吞吐率。
固定速率: 无线接入点若以固定速率发送多播报文,可防止低速终端拉低多播报文整体 吞吐率 。适用于终端与无线热点距离在 10 米以内非干扰的多播应用场景。
ARP 转单播: 从有线测到无线终端的 ARP 广播包, 在 XMG 和 XAP 有记录的 ARP 对应表会转为单播, 而不再采用广播数据 ,提高数据的传送效率。
禁止 DHCP 请求发往无线终端: 对于无线测的终端 ,默认是以上网类的 PC 、平 板 、智能手机等终端 , 默认不包括 DHCP 服务器的 , 所以启用该功能可以有效抑制 DHCP 请求包发往无线终端测 ,提高传输效率。
禁止 mdns 发往无线终端:mdns 报文用于在没有传统 dns 服务器的情况下广播 发现局域网内的主机 。目前苹果系统的产品支持较多 ,如果要使用类似 Bonjour 这样 的软件, 请在使用的 vl an 不开启禁止功能。
禁止 nbns 发往无线终端:windows 系统的名称解析协议的数据包,在局域网内 一般会大量存在 ,严重时会影响用户的上网数据传输 。
MAC 白名单 :允许源 MAC 地址在白名单内的 mdns 、nb ns 包发往无线侧。
3.6 认证授权
『认证授权』包括【有线接入】 、【认证页面】 、【用户角色】 、【本地用户】 、【高级选项】
3.6.1 有线接入
经过 XMG 网关的有线用户 ,可以选择对有线用户进行认证 ,在【有线接入】配置认证策略。
【认证接口】选择数据通过时需要认证的接口 。如果 LAN1 启用了出口线路, 则 不支持选择 。
【认证类型】认证类型有如下两种:
IP 地址认证: 无须认证即可连接到网络 。
web 认证: web 认证是指终端接入网络后, 浏览器访问任意网址 ,都会被重定 向到登录页面 ,用户在网页上输入用户名 、密码等方式通过认证后才能访问网络资源 。
【适用范围】选择需要认证的用户 IP 地址范围。
【用户数据库】radius 服务器
【外部 Portal 服务器】第三方 Portal 服务器
【用户角色】从上往下匹配 ,为用户分配唯一角色。
【免认证名单】配置不需要进行认证的终端 MAC, 也可以配置不需要进行有线
认证的交换机 ,并可分配免认证的角色 。
3.6.2 认证页面
【认证页面】用于设置无线用户接入无线网络后 ,设置 WEB 认证跳转的页面 ,系统 内置了 Web 认证页面的模板,系统允许您在默认模版的基础上 ,自定义认证页面的标题, 页面文字 ,免责声明, LOGO 等。
3.6.3 用户角色
『用户角色』定义了用户可以访问网络的各种权限设定,包括【用户角色】 、【访问控制策略】【流速限制策略】 。
用户角色设置好后 ,并没有立刻被使用生效 ,需要在【无线管理】 -【无线网络】 -【编辑无线网络】 -【用户角色】中调用角色, 匹配给无线用户 。
另外【认证授权】 -【有线接入】 -【用户角色】可以定义了经过 XMG 网关的有 线用户的角色 ,如下图:
【用户角色】
可以新增角色 , 然后调用右侧已经建立成功的访问控制策略和流速限制策略 , 也 可以在用户角色中调用新增其他策略 。
【访问控制策略】
主要是用来限制无线认证和有线认证终端用户可以访问的网络权限, 一般网络设 备设置网络权限会有 LAN 区域和 WAN 区域的划分,WLAN 不设置 LAN 区域和 WAN 区域的划分 ,只需要设置【用户发起】和【用户接收】2 个方向即可 ,配置策略还需要 调用到对象定义中的【网络服务】 、【网络应用】 、【IP 组】以及【时间计划】 。
[编辑访问控制策略]: 可以新增多条访问控制策略规则 , 并且可以上/下移设置不 同的优先级 ,策略会依次从上往下匹配 。
新增规则: 支持基于服务 、应用 、网站进行访问策略控制
【流速限制策略】
可以针对所有终端用户生效 , 包括有线与无线用户 , 但此功能只能限制用户的整 体上行和下行的速率 , 无法根据应用进行流控, 应用流控需要到【智能流控】菜单下 配置 。该功能策略如下图:
流速限制策略可以对每一个终端进行流速限制 , 以避免部分终端的流速过大 , 影 响整体无线用户体验 。例如设定为发送最大限制为 512KB/s,则对使用此策略的每一 个终端最大发送流速都将被限制为 512KB/s 秒 。
3.6.4 本地用户
在未部署集中的账号数据库或认证服务器的环境中 , 无线网络的身份验证方法可 以设置为本地用户认证 。
所属组: 本地用户数据库支持多级的组织结构树, 可按照企业实际组织结构划分 组, 并进行分级管理 。
用户 :用户名是账号的唯一标识 ,不同用户间不允许重名 。用户身份验证过程中, 需要输入此名称 。
显示名: 用户名由于要求唯一性, 因此在部分部署环境中 , 用户名被设置为诸如 员工工号等可读性较低的名称 。这种情况下 , 可以把显示名设置为员工的姓名 。系统 将在 “ 在线用户列表 ”等显示用户名的地方, 同时显示账号的用户名及显示名 , 以更 直观的对账号进行管理 。显示名可以留空 ,不同用户的显示名允许重名 。
过期时间: 指定账号的过期时间点 ,过期后将无法通过身份验证 。
登录后必须修改初始密码: 本地账号是由管理员创建的 , 为了简化管理, 不同账 号的初始密码可能相同 , 这带来了严重的安全问题 。选择此选项将要求账号在首次登 录时 ,修改初始密码 。
批量导入导出: csv 为通用表格文件格式, 几乎所有的电子表格软件都支持此格 式, 例如 Microsoft Excel 。在大量用户的情况下, 通过 csv 表格文件管理, 并导 入到设备中 , 可以简化用户管理操作 。导入的表格文件列顺序及格式等 , 参考导入界 面中的示例文件 。
3.6.5 外部服务器
可以通过本页面设置认证服务器(Radius )、Portal 服务器、OAUTH 服务器(短信 认证-需要 XMG 设备关联信锐小信云平台才支持)
【认证服务器】在进行有线&无线的 WEB 认证时,可以配置认证服务器 。填写名 称 、IP 地址 、认证端口 、共享密钥 、采用协议 、编码即可 。
【Portal 服务器】在进行有线&无线的 WEB 认证时 ,可以配置 Portal 服务器 。填 写名称 、认证 URL 、URL 参数 、通信端口 、身份校验 、加密密钥 、报文编码即可。
3.6.6 高级选项
高级选项用于网关 WEB 认证通用配置
名词解释:
注销无流量用户: 完成无线和有线认证之后 , 终端在阈值内无流量产生, 控制器 会主动注销这个用户 。
账号认证免弹 Portal 页面有效期 :账号认证非首次认证, 断开无线网络后 ,再次 登录的时间间隔在阈值范围内时 , 不重定向至认证页面 ,超出阈值时间 , 终端用户将 会重定向至认证页面 。
3.7 对象定义
『对象定义』用于配置【IP 组】 、【MAC 地址库】 、【时间计划】 、【网络服务】 、 【网络应用】 、【网站分类】 。这里定义的对象 ,在后续的模块中会使用到 ,比如 IP 组和 服务会应用到访问控制策略中 ,MAC 地址库将在使用 MAC 地址认证时黑白名单调用。
3.7.1 IP 组
此页面可查看和新增 IP 组, IP 组用于后续【角色授权】中的【访问控制策略】 , 以及之前的【网络设置】中的【代理上网】 。
支持输入多个 IP 地址 、IP 范围 、网段, 例如:
IP 地址: 192.168.1.1
IP 范围: 192.168.1.10-192.168.1.100
网段: 192.168.1.0/24
网段: 192.168.1.0/255 .255.255.0
3.7.2 MAC 地址库
将一个 、多个 MAC 地址划分为一个 MAC 组,以便在系统的其它功能中调用, 例如无线网络 -高级选项 -接入控制 。
默认有默认黑名单和默认白名单两个分组 ,用户可以自定义分组 。
3.7.1 时间计划
对于不同的无线或有线用户, 我们需要在不同的时间段设置不同的访问控制策略 以及流控策略, 比如上班时间或下班时间, 就需要配置时间计划 , 为了便于后续设置 【认证授权】 -【角色授权】 -【访问控制策略】的生效时间 ,需要提前设置时间计划, 『时间计划』分为【单次时间计划】和【循环时间计划】 。
设置循环时间时 , 大多数客户可以按照上班时间和下班时间 , 以及节假日方式设置循环时间 ,便与管理 。
3.7.2 网络服务
『网络服务』用于之前【用户角色】授权中的【访问控制策略】 。
【网络服务】包括了 TCP, UDP 协议中各种常用端口号包含的应用协议, 比如 BGP, DHCP 、DNS 、HTTP 、FTP 、SNMP 、SSH 等 。
同时也支持自定义服务 。
3.7.3 网络应用
可以通过本页面查看和新增应用 。网络应用流经网关时 , 可通过特征, 识别其应 用类型, 识别后, 即可对连接进行基于应用策略控制 、资源调度及流量审计 。
【网络应用】中记录着应用的字节流特征 , 通过持续不断的收集及更新 , 保证应 用识别的正确性 。
内网应用往往由于其私有性 , 应用特征识别库无法收集其网络流特征 , 可以将数 据包方向 、协议类型 、IP 地址 、端口号及域名作为应用的规则特征, 自定义某种类型 的应用, 自定义应用同样适用于外网应用 。
3.7.4 网站分类
『网站分类』中是由信锐技术自主研发并收集的网站 URL 分类库 。关于 URL 规 则库的使用, 需要在【认证授权】 -【用户角色】 -【访问控制策略】中新增规则, 选择 网站控制 的方式来调用 。另外对于少部分 , 客户内网自由的域名系统 , 如果无法识别到 , 用户还自定义 URL 类别 , 可将 URL 设置为内置的 URL 类别或自定义 URL 类别,也可以设置域名关键字,模糊匹配为某种类别 。并设置自定义的 URL 类别优先 级最高来优先调用 。
3.8 智能流控
『智能流控』包含【线路带宽】 、【流控通道】 、【排除策略】 。根据用户数智能的调 整每个用户的带宽 ,保证每个用户公平共享带宽。
3.8.1 线路带宽
【开启流控】开启智能流控并保存配置后,“流控通道 ”等设置才可生效;
开启智能流控功能需要配置上下行带宽,请前往 :网络设置-接口管理,进行上下行带宽配置。
【线路带宽】为了保证流控效果 ,请根据运营商实际分配的带宽进行设置。
上行 :上传速度。
下行 :下载速度。
3.8.2 流控通道
对不同用户及应用的网络流量进行管理、划分。提供了带宽保证和带宽限制功能,保证 上网速度 ,合理利用带宽资源。
在网络没有进行流量管理前,线路中所传输的网络流量不分优先级,自由竞争线路的带 宽。而流量通道是指在一条线路内,可以人为再细分成多个虚拟的带宽通道,流量管理系统正是基于通道的方式对线路的带宽进行管理。
通过流量管理,可以实现的主要功能有:1、动态保证重要网络应用的带宽 2、通道内, 不同 IP 间 ,带宽平均分配 3 、限制网络应用的带宽。
【匹配顺序】从上至下 ,新增的策略排在最前面优先匹配 。可以上下调整策略的匹配顺序。
可以依据线路 ,角色 ,应用, 目的地址 ,时间来设定带宽通道的条件 ,设备接收到数 据包时,会依次从上往下匹配带宽通道,找到第一个匹配的通道,从而为这个数据包找到正确的带宽通道。
【限制通道】设定通道的最大带宽,该类型的通道不能设定最小保证带宽(或者说保证带宽数值为 0) 。
【保证通道】是指可以设定最小保证带宽的通道,用于保证重要的网络应用的带宽。如果某 个时刻所生效的通道中,所配置的保证带宽总和已经超过线路的带宽,则会按比例压缩,使 得保证带宽总和不会超过线路设定带宽。保证通道也可以设定最大限制带宽。通过“系统状 态->流控状态 ”页面可以查看到当前生效的通道的实际保证带宽 ,以及通道的实时速率等信息。
3.8.3 排除策略
可以通过本页面配置排除策略,符合排除策略的流量完全不受流量管理系统的管理,直接进行转发。
3.9 安全防护
『安全防护』包含【DHCP 防御】 、【ARP 防御】 、【扫描防御】 、【DOS 防御】。
3.9.1 DHCP 防御
开启此功能后, 网关只会转发收信任的 DHCP 服务器的报文 ,本地子网中的 DHCP 服务器已经默认添加。可避免子网中的用户获取到外部不被信任的 DHCP 服务器中的地址。
3.9.2 ARP 防御
【无线 ARP 防御】可以在此开启网关欺骗防御,添加到受信任的网关会受到保护,避 免无线终端发arp 欺骗报文伪装成网关 。勾选“将识别为攻击的终端加入黑名单 ”,会将 检测出攻击的无线终端加入黑名单 。开启用户隔离,则用户间不可 Ping 通,您也可以指定 vlan 内的用户可通信。
【网关 ARP 防御】功能同无线 ARP 防御 ,但此处防御的对象是有线接入的用户。
3.9.3 扫描防御
可以检测对应的扫描攻击 ,并将攻击的终端加入黑名单 。防御对象为无线接入的用户。
3.9.4 DOS 防御
【无线 DoS 防御】可以检测 DoS 攻击 ,如 TCP 、SYN 攻击 、UDP 攻击等 ,并将 攻击的终端加入黑名单 。防御对象为无线接入的用户;
【无线泛洪攻击防御】可以检测无线泛洪攻击,并将攻击的终端加入黑名单。防御对象 为无线接入的用户。
【网关 DoS 防御】功能同无线 DoS 防御 ,但此处防御的对象是有线接入的用户。
3.10 高级功能
『高级功能』包含【云安全访问服务】 、【接入小信云平台】 、【IPsec VPN】 、【动态域名】 。
3.10.1 云安全访问服务
传统网络环境下,用户网络流量从网关出口直达互联网。启用云安全访问服务后,网关 按照引流策略将用户流量引流至安全服务平台,流量经过安全服务平台访问控制和审计后再送达互联网 ,基础网络更安全;
【服务平台】国内安全服务厂商提供的云安全访问服务平台。
【接入码】安全服务厂商提供的设备接入码,若选择的安全服务厂商为深信服,则需登录到 深信服云安全访问服务平台( https://sase.sangfor.com.cn )获取。
【引流节点】服务平台提供的引流节点 IP 地址, 网关默认自动获取 ,也可到云安全访问服 务平台上切换引流节点模式为本地模式 ,此种模式下网关可在本地输入引流节点及秘钥。
【秘钥】引流节点校验网关设备是否准许引流。
【链路时延】当前引流链路时延大小。
【异常逃生】若启用服务异常逃生 ,则网关探测引流节点不通时 ,原引流流量从本地转发, 未启用服务异常逃生功能时 ,若网关探测引流节点不通 ,仍引流到引流节点。
【目标地址探测】默认三个内置公网探测点,允许输入 5 个公网域名或服务器 IP 地址作为 自定义探测点 ,主要用于探测链路时延 、引流节点联通状态。
【探测间隔】探测报文发送间隔。
【重试次数】连续探测失败达到重试次数 ,则认为达到异常逃生条件。
引流策略
在本页面配置引流规则,决定当前网关哪些流量可以引流到云安全访问服务平台进行安 全审计;您也可以在云安全访问服务平台上切换引流配置模式为云端模式,此种模式下,引 流配置默认从服务平台上获取 ,且不可在网关本地进行更改;
3.10.2 接入小信云平台
可以通过本页面查看接入小信云平台的账户、状态、绑定时间及查看日志,以及跳转云 平台或进行解除绑定操作。
3.10.3 IPsec VPN
【连接状态】可以通过本页面查看当前建立的 VPN 连接。
【VPN 连接】可以通过本页面设置 VPN 连接,VPN 连接规定了对什么样的数据流采 用什么样的安全提议。
【地址类型】包括对端是固定 IP 、对端是动态 IP 、对端是固定域名三种 。请根据实际情况 选择。选择固定 IP,就填写上对端的 IP 地址;选择动态域名,就填写上对端外网绑定的域 名。
△注意 :标准 IPSEC 不允许连接的双方都是动态 IP ,只能允许其中一方为动态 IP。
【共享密钥及确认密钥】填入正确的预共享密钥,并确保连接双方采用的都是相同的预共享 密钥。
【本/对端网段】设置受保护的数据流的本地和对端子网范围,由 IP 地址和子网掩码来确定。
【NATT 穿透】NATT 功能与 IPsec AH 协议不支持同时启用; 当连接模式为主模式时, 请禁用;当两端设备之间存在 NAT 设备时,请启用;当不确定两端设备之间是否存在 NAT 设备时 ,建议启用。
【高级选择】支持配置标准 IPsec VPN 第一阶段(IKE 配置) 、第二阶段(IPsec 配置) 的相关协议版本 、模式 、加密算法等参数;
【协商模式】包括主模式和野蛮模式两种类型 。主模式适用于双方均为固定 IP 或者一方固 定 IP 一方动态域名方式,并且不支持 NAT 穿透;野蛮模式适用于其中一方为拨号的情况,并且支持 NAT 穿透。
【加密算法】选择数据加密的算法,包括 DES 、3DES 、AES,请与对端设备配置保持一 致。
【认证算法】选择数据认证的 Hash 算法,包括 MD5 、SHA1,请与对端设备配置保持一 致。
【DH 群】设置 Diffie-Hellman 密钥交换的群类型,包括 1、2、5 三种,请与对端设备配 置保持一致。
【IKE SA 生存时间】标准 IPsec协商的第一阶段存活时间 ,只支持按秒计时方式 ,请与 对端设备配置保持一致。
【协议】与第三方设备建立 IPsec 连接的协议 ,包含 AH 、ESP ,请与对端设备配置保持 一致。
【IPsec SA 生存时间】标准 IPSec协商的第二阶段存活时间 ,只支持按秒计时方式 ,请与对端设备配置保持一致。
【完美前向保密(PFS)】启用后,为 IPsecVPN 第二阶段每次会话协商一个独立的密钥, 增强流量安全性 ,根据对端设备情况而定 ,如果对端启用了 PFS ,则本端也需要勾上此选 项 ,否则不用勾选。
3.10.4 动态域名
通过在服务商公云 PubYun 上注册账号 ,配置好主机域名 。在此界面填写注册好的主 机域名 、用户名和密码 ,这样就可以通过域名访问 XMG 网关设备。
3.11 系统维护
『系统维护』包含【系统管理】、【系统重启】、【备份恢复】、【系统升级】、【管理日志】、【Web Console 】。
3.11.1 系统管理
【系统选项】可以配置关于设备的基本信息 , 包括设备的中英版本切换, 可以在此选择切换 。
设备名称 :填写设备的名称
超时时间:管理员登录控制台后,如果在设定的超时时间内,未进行任何操作,则系统会注 销此次登录。
调试选项 :允许用户通过 sshd 方式连接到本设备上进行调试。
远程控制 :允许用户通过 WAN 口访问网关控制台 Web 界面
AP 激活:禁用 XMG 网关激活 AP 功能,禁用后无法激活和管理 AP ,当前在线的 AP 会 断线。
【系统时间】设置系统时间 ,可以通过手动设置或通过同步 NTP 服务器的方式同步时间, 如下图 ,并可以设置设备工作所在的时区。
【登录密码】修改当前管理员登录 Web 控制台的密码
3.11.2 系统重启
【AP 重启】可以通过本页面重启 AP ,以获得更好的体验。
【定时重启】开启此功能将在指定时间进行定时重启,以获得更好的体验。建议定时重 启时间在凌晨或无人使用网络的时间段执行。
【系统重启】系统的部分配置修改需要重启设备才能生效,您可以通过本页面来重启设 备 ,在系统重启过程中 ,请不要将设备断电!
3.11.3 备份恢复
备份与还原
点击【配置备份】时, 可以从 XMG 上下载当前系统配置, 并可以保存到在 PC 上,用户可以自行保存,是 bcf 格式的文件。配置文件之后请及时下载,10 分钟后将自动删除。
【还原配置】选择之前从 XMG 网关下载的备份文件, 只能上传*.bcf 文件 。
管理员从控制台备份恢复页面中 , 下载当前的配置备份文件, 并保存在管理员的 本地计算机中 。手动备份的配置备份文件由于保存在设备之外 ,将具备更高的可靠性, 即使设备损坏或丢失, 分支替换新设备 , 购买新的设备后, 仍然可以从备份文件中恢 复, 因此建议定期执行手动备份操作 。
恢复出厂设置
点击恢复出厂设置 ,将删除当前所有配置 ,设备将注销并重启。
3.11.4 系统升级
网关升级
在线升级: 在线升级会保留当前配置 , 升级过程中会重启设备 , 请不要刷新或关 闭浏览器 ,升级成功会自动跳转到登录页 。
本地升级: 选取升级包文件上传到设备进行升级 。
AP 升级
可以通过本页面来进行 AP 在线升级和本地升级操作 。
3.11.5 管理日志
管理日志 :管理日志中 ,记录了管理员登录 、注销 、修改配置的日志。
3.11.6 Web Console
提供可直接操作 XMG 网关设备的调试命令, 用于排除问题 。
控制台支持的命令:
cls[clear][ctrl+l] 清屏
term[ctrl+c] 结束当前执行程序
traceroute 跟踪数据包转发路径
ping 测试主机地址连通
route 显示路由表
arp 显示 ARP 表
interface 查看网口信息
dhcppool 查看地址池信息
dhcppoolbind 查看地址池 IP 分配信息
dns 查看静态配置域名服务器
vlan 查看网口 VLAN 信息
fdb 显示 MAC 地址转发表
sessionnum 显示当前会话个数
tcpconnect 测试 TCP 端口连通性
udpconnect 测试 UDP 端口连通性
4 部署案例
4.1 部署案例
AP 连接 POE 交换机发现控制器 ,终端需要通过 AP访问 Internet 网络资源。
4.2 具体配置
4.2.1 XMG 配置
第一步:使用网线把电脑(PC)终端连接 XMG 网关的 LAN1 接口,并且在电脑有线 网卡上配置 IP 地址为 192.168.68.10/24
第二步:电脑使用谷歌浏览器打开网站 https://192 .168.68.1(新版本)或者 http: //192.168.68.1(旧版本) ,登录后弹出以下界面 ,并设置完成 XMG 多业务网关登录 密码后直接点击下一步 。
第三步: 选择网络拓扑图方式: 选择出口模式 ,并点击下一步 。
第四步:选择上网方式( 一般选择动态获取 IP 地址,具体情况需要看客户需求), 并点击下一步 。
第五步: 无线网络配置(根据需求进行开启或者关闭) ,并点击下一步 。
第六步: 网络优化设置(直接关闭即可) ,并且点击下一步。
第七步 :配置完成 ,并且点击加入小信云平台。
第八步 :点击本地管理 ,可以进入用户模式界面 ,至此走完了设备向导流程 ,AP 同二层可以自动上线 ,发出 SSID ,终端连接 SSID 即可进行上网。
4.2.2 XAP 恢复默认配置
在使用 XAP 的过程中,XAP 的恢复默认配置是很常用的一个步骤,默认的出厂 XAP 会主动发起 DHCP 请求获取 IP 地址 ,并自动搜寻 XMG 接入 ,所以当遇到以下几种情况 时 ,可以恢复出厂配置。
1 、 当发现 XAP 网络故障时
2 、 给 XAP 配置了固定 IP ,忘记了 XAP 的 IP ,XAP 连接不上 XMG 时
3 、 当 XAP 连接没有连接到正确的 XMG 上
4 、 其他故障时
方法:XAP 上有一个『Reset』按钮 ,长按 RESET 按钮 5-15 秒 ,查看 XAP 的系 统指示灯会灭一段时间 ,然后 XAP 会自动热重启 ,并恢复默认出厂配置。
5 附录
5.1 SUNDRAY 设备升级系统的使用
SUNDRAY 设备升级系统可用于对设备进行内核版本升级和备份恢复设备配置 。 在设备出现致命错误时 ,也可通过 SUNDRAY 设备升级系统把设备恢复到出厂状态 。 同时, SUNDRAY 设备升级系统还可以启动技术支持工具来检查系统网口工作状态 , 路由等配置信息以及更改网口工作模式等 。
SUNDRAY 设备升级系统为绿色版软件,解压后即可使用,解压文件里包含一个 文件夹和一个主程序, 界面如下:
图 5- 1 升级软件
双击打开主程序的主界面, 界面如下:
图 5- 2 升级客户端
『设备 IP 地址』 : 连接的 SUNDRAY 设备的 IP 地址 ,格式为 IP: 端口, 也可 以直接输入 IP 地址进行访问 ,则默认连接的是该 IP 地址的 51111 端口 。
『管理员密码』 :XMG 的默认密码为 dlanrecover 或者是与 XMG 的控制台密 码保持一致, 与所连接的 XMG 的版本有关 。
『查找设备』 : 通过点击 来搜索局域网内部的 SUNDRAY 设备 。
图 5- 3 扫描设备
输入 SUNDRAY 设备的 IP 地址以及管理员密码后,点击 即可连接到设备进行系统升级 、恢复默认配置等操作, 界面如下:
图 5- 4 连接设备
『当前设备信息』 : 用于显示连接的 SUNDRAY 设备的版本信息以及连接的 IP 地址 。
『设备升级』 : 对当前连接的 SUNDRAY 设备进行升级操作 , 包括在线升级和 从本地加载升级包进行升级 。
在线升级:
选择在线升级,点击 ,SUNDRAY 设备升级系统会自动判定设备当前版本支持升级到哪个版本 , 并自动列出可以支持升级的版本信息, 选择期望升级到的版 本, 点击 后, 系统会自动从服务器上下载升级包进行升级操作 。
1.使用 SUNDRAY 设备升级系统进行在线升级时 ,要求所连接的 SUNDRAY 设备能够
正常上网 ,否则将不能进行在线升级 。
2.SUNDRAY 设备的某些版本不支持在线升级功能 ,具体请联系信锐技术客户服务中心确认 。
从本地加载升级包:
选择从本地加载升级包, 点击 , 选择下载到本地的相应升级包, 然后点击, 显示当前升级包的基本信息, 确认无误后, 点击 进行升级操作, 界面如下:
图 5- 5 本地升级
图 5- 6 升级提示
升级完成后, 设备升级状态里会显示 “ 升级成功 ” ,界面如下:
图 5- 7 升级成功
1. 升级具有一定的风险 ,如升级不当会导致设备损坏 。请勿自行升级 。如需升级请联系信锐技术客户服务部 。
启动技术支持工具:
SUNDRAY 设 备 升 级 系 统 连 接 到 SUNDRAY 设 备 后 , 可 以 按 F10 或 Ctrl+Shift+F10 启动技术支持工具 。技术支持工具有『升级』 、『备份』 、『时间』 、 『命令』 、『修改密码』和『帮助』几个菜单, 下面分别介绍它们的功能 。
图 5- 8 技术支持工具
『升级』 : 包括恢复出厂设置 , 恢复出厂设置仅网络部分 , 查看软件升级过期时 间和升级历史记录 。如下图:
图 5- 9 升级
[恢复出厂设置]:用于将 SUNDRAY 硬件设备恢复到默认配置,需要通过加载升 级包将设备恢复出厂设置 。
[恢复出厂设置仅网络部分]:只能在没有连接到设备时才能使用 。会将设备的网络 配置恢复到默认出厂配置, 此操作是通过广播包发送命令进行操作的 , 会对局域网内 的所有 SUNDRAY 硬件网关生效 ,有一定危险性, 请勿擅自点击操作 。
[查看软件升级过期时间]:检测当前网关是否处于升级服务有效期内 。若不在升级 服务有效期内 ,则不能升级 ,需要购买相应授权才能升级 。
[升级历史记录]:用于查看当前设备的以往升级历史,或者查看或清除本地的历史 升级记录 。
『备份』 : 包括备份配置 、恢复备份配置选项 ,如下图:
图 5- 10 备份
[备份配置]: 将设备现有的配置信息进行备份 。
[恢复备份配置]: 将以前备份过的配置信息恢复到设备中 。
『时间』用来查看当前时间和同步公网时间, 来效验设备升级授权是否过期 。如 下图:
图 5- 11 时间
『命令』 :包括 Ping 、查看路由表 、查看 Arp 表 、查看网络配置 、查看网卡工作 模式 、设置网卡工作模式 、交换网卡物理位置以及设备健康状态检查选项 。如下图:
图 5- 12 命令
[Ping]: 登录设备后 ,从设备往外网 ping, 以验证设备是否和外网连通 。
[查看路由表]: 查看设备本机的路由表 。
[查看 ARP 表]: 查看设备本机的 ARP 表, 因为 XMG 属于特殊无线网络设备 , 通过升级客户端方式查看的 ARP 不代表其内部真实的 ARP 表,所以该返回值不具备 参考性 。
[查看网络配置]: 查看设备本机的网络配置 ,包括接口 IP 配置等 。
[查看网卡工作模式]: 查看设备各网卡的工作模式 。
[设置网卡工作模式]: XMG 产品线该功能不可用 。
[交换网卡物理位置]: XMG 产品线, 该功能不可用 。
[设备健康状态检查]: 通过在线检测或者是上传脚本来检测设备的硬件状态 。
『修改密码』 : 用于修改 SUNDRAY 设备升级系统密码 ,如下图:
图 5- 13 修改密码
『帮助』包括公网首页的链接 ,技术支持论坛的链接和查看当前 Updater 的版本 信息 。
图 5- 14 帮助