声明
首先非常感谢您选择本公司产品!在使用前,请您仔细阅读本用户手册,遵守以下声明,将有助于维护知识产权和法律合规性,以确保您的使用体验与产品的最新信息相一致。如有任何疑问或需要获取书面许可,请随时联系我们的技术支持团队。 本用户手册包含受版权保护的内容,版权归北京映翰通网络技术股份有限公司及其许可者所有。未经书面许可,任何单位和个人不得擅自摘抄、复制本手册的部分或全部内容,且不得以任何形式传播。
- 免责声明
由于产品技术和规格不断更新,本公司不能承诺用户手册中的资料与实际产品完全一致。因此,不承担由于实际技术参数与用户手册不符而引起的任何争议。任何关于产品的改动恕不提前通知,本公司保留最终更改权和解释权
- 版权信息
用户手册内容受版权法律保护,版权归北京映翰通网络技术股份有限公司及其许可者所有,保留一切权利。未经书面许可,不得擅自使用、复制或传播本手册的内容。本手册图形界面约定
格 式
|
意 义
|
【】
|
表示功能模块或菜单,如:在【状态】菜单下。
|
“”
|
表示按钮名称,如:点击“添加”窗口。
|
〉
|
多级菜单用“〉”隔开。如“文件〉新建〉文件夹”多级菜单表示“文件”菜单下的“新建”子菜单下的“文件夹”菜单项。
|
|
提醒操作中应注意的事项,不当的操作可能会导致数据丢失或者设备损坏。
|
|
对操作内容的描述进行必要的补充和说明。
|
技术支持联络信息北京映翰通网络技术股份有限公司(总部)
电话:010-8417 0010
地址:北京市朝阳区紫月路18号院3号楼5层成都办事处成都办事处
电话:028-8679 8244
地址:四川省成都市武侯区天府大道北段1777号中国太平金融大厦14层
广州办事处
电话:020-8562 9571
地址:广州市天河区棠东东路5号远洋新三板创意园B-130单元
武汉办事处
电话:027-8716 3566
地址:湖北省武汉市洪山区珞瑜东路2号巴黎豪庭11栋2001室
上海办事处
电话: 021-5480 8501地址:上海市普陀区顺义路18号1103室
1.简介
Edge
Router 605是北京映翰通面向商业联网领域推出的新一代 5G 边缘路由器产品,它融合4G/5G无线网络与多种宽带服务,为各行业提供高速且安全的网络接入。无论何时何地,用户都能享受不间断的互联网连接,同时受益于全面的安全性和卓越的无线服务。ER605使设备互联成为现实,为设备信息化提供了高速通道。
图1 边缘路由器应用方案
2.硬件部分
ER605指示灯
|
LED灯状态和定义
|
系统状态灯
|
常灭 --- 设备未上电
红色常亮 --- 系统启动中
绿色闪烁 --- 系统正常运行
红色闪烁 --- 系统故障
黄色闪烁 --- 系统升级
|
联网状态灯
|
常灭 --- 网络未连接
红色闪烁 --- 蜂窝网连接中
绿色常亮 --- 蜂窝网连接成功
黄色闪烁 --- 有线网连接中
黄色常亮 --- 有线网连接成功
|
蜂窝信号灯
|
常灭 --- 处于关闭状态
红色常亮 --- 信号质量较差
黄色常亮 --- 信号质量良好
绿色常亮 --- 信号质量好
|
Wi-Fi 2.4G
|
常灭 --- 处于关闭状态
绿色闪烁 --- 2.4G 正常工作
绿色常亮 --- 2.4G Wi-Fi异常
|
Wi-Fi 5G
|
常灭 --- 处于关闭状态
黄色闪烁 --- 5G Wi-Fi正常工作
黄色常亮 --- 5G Wi-Fi异常
|
对于联网状态灯,如果蜂窝联网和有线联网均正常,则显示蓝色有线指示灯;如果仅有一种方式联网,则显示当前正常网络的指示灯;若无网络连接,则显示红色。
图 2-2 ER605Reset按钮
通过Reset按钮恢复出厂设置:
第一步:设备上电(10秒)按住reset按键,直至SYS指示灯黄色常亮;
第二步:松开,SYS指示灯变为黄色闪烁;第三步:再次按reset键,直到SYS指示灯黄色常亮.
序号
|
功能
|
默认配置
|
1
|
蜂窝网络拨号
|
默认配置“仅SIM1”
|
2
|
Wi-Fi默认配置
|
- Wi-Fi
2.4G接入点启用,SSID:以ER605-为前缀,后面为无线MAC后6位数字
- Wi-Fi
5G 接入点启用,SSID:以ER605-5G-为前缀,后面为无线MAC后6位数字
- 认证方式为WPA2-PSK
- 密码均为SN序列号后8位
|
3
|
以太网默认配置
|
- 4个LAN口启用
- IP地址:192.168.2.1
- 子网掩码:255.255.255.0
- DHCP服务器启用,地址池为192.168.2.2~192.168.2.100,可为下端设备自动分配IP地址
|
4
|
网络访问控制
|
- 本地HTTP及HTTPS启用,端口号分别是80和443
- 禁用来自蜂窝网络的访问
|
5
|
用户名和密码
|
- adm/123456
|
4.1 环境准备
第一步:安装4G/5G、Wi-Fi天线并插入SIM卡。
第二步:连接电源线和网线,任意LAN口连接PC。第三步:将PC的IP地址设置为与边缘路由器处于同一网段。
设备LAN口默认开启DHCP Server功能,将PC设置为“自动获得IP地址”,PC与边缘路由器LAN口连接后可以获取边缘路由器下发的IP地址,查询该地址是否处于192.168.2.0网段。 若PC无法自动获取IP地址,需要手动将PC的IP地址配置为
192.168.2.2~192.168.2.254中的任意地址,默认网关设置为192.168.2.1,子网掩码为 255.255.255.0,DNS配置为 8.8.8.8或运营商DNS服务器地址。
第四步:在浏览器地址栏中输入设备默认地址192.168.2.1,输入用户名和密码后(默认为adm/123456),进入设备Web管理界面。如果页面提示网页不安全,打开隐藏或高级,选择继续前往。 ER605支持有线、蜂窝、Wi-Fi三种接入网络模式4.2.1有线接入网络
ER605支持有线、蜂窝、Wi-Fi三种接入网络模式。设备的WAN接口默认启用DHCP服务;只需使用网线将WAN口与上行设备连接,即可接入网络。
图 4-2-1-a 设备WAN口配置
4.2.2 5G/4G接入网络
在通常情况下,按照说明,在插入SIM卡并连接Wi-Fi天线后,ER605路由器会自动创建拨号连接,并在设备启动后连接到蜂窝网络。4.3连接小星云管家平台
ER605是一款基于云管理的5G边缘路由器,通过小星云管家,您可以实现批量配置部署和软件升级。云平台提供丰富的可视化图表和SD-WAN和Connector等高级功能,用于远程维护,使中小型企业分支机构能够完善其数字网络基础设施。要使用小星云管家管理您的
ER605,请按照以下步骤操作: 在浏览器(建议使用谷歌浏览器)中,输入网址:https://star.inhandcloud.cn,您将被自动重定向到门户页面。单击“立即创建”以创建新的平台账户。 完成电子邮件注册后,您可以使用注册时使用的用户名和密码登录映翰通平台,并选择【小星云管家】服务。 登录后小星云管家服务后,进入【设备】菜单,点击“添加”按钮,填写设备名称、序列号、MAC地址,然后点击“完成”完成添加。图 4-3-3 将设备添加到小星云管家
设备第一次接入云平台时,云平台会自动下发一个有效期一年的基础版许可证。用户可以在“企业管理>订阅>许可证”中续费或将许可证升级为分支专业版。
将设备添加到平台后,您可以从平台管理和监控网络,同时还支持用户在设备的本地界面上远程查看实时状态信息。 在【设备】部分,您可以单击【设备名称】以访问设备的详细信息页面。 点击左侧菜单中的【仪表盘】进入设备的信息仪表盘界面。在这里,您可以查看设备的基本信息、接口状态、流量统计信息、蜂窝信号强度以及连接Wi-Fi的客户端设备数量。 在“设备>流量”界面中,可以查看各个上行端口流量使用的历史数据。
在“设备>蜂窝信号”页面中,可以查看蜂窝信号各项参数的历史数据,包括信号强度、RSSI、RSRP、RSRQ以及SINR。
通过小星云管家的“远程访问”功能,您可以实时查看和配置设备。勾选目标设备,点击“远程访问”,将打开设备的本地登录界面。
5.2.1设备信息
在【仪表盘】界面,用户可以在顶部找到设备的基本信息,包括设备名称、设备型号、序列号、MAC地址、在线时长、上行接口地址等。- 名称:标识设备的名称,默认“ER605”,支持修改
- MAC
地址:标识设备的物理MAC
- 本地网关地址:设备默认子网的网关地址
- 型号:设备的具体型号,可以帮助判断设备是否支持蜂窝和WLAN的属性
- 在线时长:设备上电后的运行时间
- 系统时间:显示设备所在时区以及系统时间
- 序列号:唯一标识设备的编码,可用于索引或将设备添加到平台账号
- 联网方式:设备联网时所使用的上行接口
- 许可状态:应用到设备的许可信息,分为小星云管家基础版和小星云管家分支专业版
- 固件版本:设备当前使用的软件版本号
- 上行接口地址:设备联网所用的上行接口的IP地址
在“仪表盘〉接口状态”功能中可以直观查看各接口的工作状态,点击“接口图标”,可以在界面右侧的弹出框查看各接口的详细信息。 用户可通过“仪表盘〉流量统计”功能查看路由器上电以来各上行接口流量的使用情况。流量统计的数据会在设备重启之后重置,如果需要查看历史流量记录,可在小星云管家对应设备的详情页面进行查看。 用户可以在“仪表盘〉Wi-Fi连接数”功能中查看ER605当前启用的SSID个数以及各SSID下连接的客户端数量。
用户可以在“仪表盘〉客户端流量TOP5”功能查看当前接入路由器的客户端流量使用排名。最多显示5条记录,当客户端断开连接后,统计数据将被清除。 用户可以通过“状态〉链路监控”功能查看各上行链路的健康状态以及各接口的吞吐率、延迟、丢包、信号强度等信息。 用户可以通过“状态〉 蜂窝信号”功能查看蜂窝接口下SIM卡信号强度以及RSSI、SINR、RSRP、RSRQ等参数。 用户可以通过“状态〉客户端”功能查看连接到路由器的有线/无线客户端详细信息,如名称、地址、MAC地址、VLAN、连接的子网、流量使用、在线时长等信息。
图 5-2-8 客户端状态
用户可通过“状态〉VPN”功能查看IPSec VPN、L2TP VPN的状态名称、流量、最近一次连接时长等信息。
图 5-2-9 VPN状态信息
用户可通过“状态〉事件”功能查看设备运行的事件信息,帮助用户了解设备运行的状态。当前支持事件类型:- 用户登录成功/失败
- 配置变化
- 最近5分钟CPU利用率过高
- 最近5分钟内存利用率过高
- 蜂窝流量到达阈值
- VPN状态变化
- 上行链路状态变化
- 上行链路切换
- WAN2/LAN1切换
- 重启
- 升级
用户可通过“状态〉日志”功能查看设备系统运行的日志信息,当设备出现故障时,技术人员可根据系统日志进行问题排查。支持对日志进行以下操作:
- 下载日志:下载设备的运行日志。
- 下载诊断日志:下载设备的诊断日志,包含系统运行日志、设备信息、设备配置等。
- 清除日志:清除设备的运行日志,不会清除设备的诊断日志。
您可以通过平台的远程配置实现设备的批量配置。选择目标设备,在远程配置部分点击“编辑”,完成设备的配置。以单台设备配置为例: 您可以在“Internet”功能下配置每个上行接口的参数和操作模式。ER605支持有线、蜂窝、Wi-Fi三种接入网络模式。默认情况下,该设备带有两个不可移除的上行链路,即 WAN1 和蜂窝网络。它最多可以支持四个上行链路,包括 WAN1、WAN2、蜂窝和 Wi-Fi
(STA)。WAN2和Wi-Fi(STA)接口需要手动添加,并可根据需要删除。 ER605 支持三种有线互联网连接方式:DHCP、静态 IP 和 PPPoE。您可以通过单击“编辑”按钮来修改连接方法,如图所示。默认方法是“DHCP”。
图 6-1-1-a DHCP服务
- DHCP:设备WAN接口默认开启DHCP服务,用网线将WAN接口与互联网连接,即可自动联网。
- 静态IP:用户可以手动配置从运营商获取或与上行设备相同网段的地址,配置完成后,路由器将通过指定的静态IP接入网络。
图 6-1-1-b 配置静态IP地址
- PPPoE:用户可以配置宽带拨号,配置完成后,路由器通过宽带拨号接入网络。
图 6-1-1-c 配置PPPoE拨号参数
当用户有双WAN口需求时,可以点击【Internet】菜单里的“添加”按钮,添加WAN2接口。WAN2接口支持的配置功能与WAN1接口相同。图 6-1-1-d 添加WAN2接口
- 添加WAN2接口后,原LAN1接口角色将切换成WAN2
- 删除WAN2接口后,WAN2接口角色将会切换回LAN1
- 删除WAN2后,与WAN2接口相关的静态路由、入站/出站规则、端口转发、策略路由、流量整形相关配置都将被删除。
ER605支持作为客户端接入现场AP的网络,点击【Internet】菜单中“添加”按钮,选择“Wi-Fi(STA)”,填写SSID名称和密码等参数。图 6-1-2 添加Wi-Fi(STA)接口
- Wi-Fi(STA)添加后,ER605在Wi-Fi功能中相同频段的SSID将被禁用且状态字段不可修改。
- Wi-Fi(STA)删除后,ER605在Wi-Fi功能中相同频段的SSID状态字段可以修改
- Wi-Fi(STA)删除后,与Wi-Fi(STA)接口相关的静态路由、入站/出站规则、端口转发、策略路由、流量整形的配置都将被删除。
通常情况下,按照说明安装SIM卡和Wi-Fi天线后,ER605路由器将在上电后自动进行拨号并接入网络。当用户需要配置APN参数时,点击如图所示的“编辑”按钮进入APN参数配置界面。
图 6-1-3-b 配置APN参数
ER605在支持蜂窝上网的基础上,新增流量策略功能。策略启用后,SIM卡在流量到达阈值后执行对应动作,流量统计将在次月起始日重置。
图 6-1-3-c 配置SIM卡策略
动作:SIM卡流量到达阈值后触发的动作。- 通知:生成流量到达阈值的事件,但不会停止转发业务流量。
- 仅保留云管理:生成流量到达阈值的事件,只转发云端管理流量,不转发访问Internet的业务流量。
- 切换SIM:生成流量到达阈值的事件,并切换到另一张SIM卡拨号上网。
- 部分专网情况下,需要手动关闭【Internet】菜单下的“链路探测”功能,避免因探测不通导致蜂窝不能正常工作。
- 部分情况下,需要手动配置蜂窝接口的子网掩码,保证ARP功能正常工作。
- 插拔SIM卡时,必须拔掉电源,以免造成数据丢失或设备损坏。
您可以在“Internet >上行链路列表”中编辑WAN1和Cellular接口,并添加/编辑/删除 WAN2和Wi-Fi(STA)接口。您还可以通过拖动“优先级”图标来调整每个接口的优先级。接口根据其优先级从上到下排列,优先级较高的接口优先确定设备操作的当前上行接口。图 6-1-4 上行链路列表
您可以通过“Internet>上行链路设置”功能配置链路检测设置,并配置不同上行接口之间的协作模式。
图 6-1-5 上行链路参数配置
- 链路探测开关:设备默认开启链路探测功能,在部分无法与外网通信的专网环境下使用设备时,需要手动关闭链路探测功能。当链路探测功能关闭后,用户无法在【状态】菜单下查看各上行接口的延迟、抖动、丢包、信号强度等信息
- 对Internet菜单的修改可能导致设备联网中断,请谨慎操作!
- 当链路探测地址为空时,默认探测上行接口获取的DNS地址。填写探测地址后,所有上行接口只会探测用户填写的地址。
- 当路由器处于链路备份模式时,用户可自定义探测参数,设备将根据使能的探测项进行链路切换。未使能探测项时,上行链路切换仅根据优先级和链路连通性触发切换。
- 当设备处于负载均衡模式时,所有可以正常工作的上行链路都会转发业务流量。
6.2 本地网络
用户可在【本地网络】功能中自定义本地子网,包括配置本地局域网的地址段、VLAN ID、DHCP服务等参数。完成配置后,用户需要进一步在【接口管理】中将这些配置应用到设备LAN口,或在Wi-Fi设置中将其应用到目标SSID。这一系列操作旨在确保客户端设备能够按照规划的网络地址顺利连接到本地网络。 点击“添加/编辑”按钮,添加新的本地网络或对已有本地网络进行编辑。图 6-2-b 添加本地网络
- 名称:用于标识网络,用户可通过此名称选择在“Wi-Fi”和“接口管理”中应用的网络。
- 模式:选择当前子网是2层透明模式或3层IP模式,默认“IP模式”。
- VLAN:将局域网划分到不同虚拟逻辑的网络中。默认所有的接口和Wi-Fi使用defalut(VLAN1)网络。
- IP地址/掩码:通过LAN口或Wi-Fi访问路由器的网关地址,默认“192.168.2.1”。
- DHCP
Server:接入路由器的客户端将通过此功能获取IP地址,默认“开启”,地址段将根据“IP地址/掩码”自动生成地址池范围。
- 默认的本地网络不可删除且仅支持修改IP地址/掩码和DHCP Server配置。
- 已添加的本地网络模式不支持修改。
- VLAN Only模式用于二层透传,无需配置IP地址/掩码、DHCP Server
Wi-Fi是一种广泛使用的无线通信技术,用于将计算机、智能手机、平板电脑和其它设备连接到互联网或局域网络。Wi-Fi技术允许设备通过无线信号在一定范围内传输数据,提供了无需物理连接即可访问网络的便利性。 ER605可以作为AP提供多SSID的无线网络接入功能,用户可以自定义不同SSID用途和配置。
图 6-3-a Wi-Fi列表
点击“Wi-Fi〉Wi-Fi列表”下“添加/编辑”按钮,可添加新的SSID或对已有SSID进行编辑。
图 6-3-b 添加Wi-Fi
- 设备默认有2.4G、5G两个主SSID,主SSID频段不支持修改且不可删除。
- 已添加的SSID频段不支持修改,信道将自动与所属主SSID的信道保持一致。
- 若用户在【Internet】菜单创建Wi-Fi(STA)接口,与Wi-Fi(STA)接口相同频段的SSID都无法启用直到Wi-Fi(STA)接口被删除。
虚拟专用网络(VPN)是一种加密技术,用于在公共互联网上创建安全的、私人的网络连接。它允许用户通过互联网安全地访问私人网络资源,无论他们身在何处。VPN通过加密通信数据,确保通信的机密性和安全性,防止未经授权的访问。这种技术对于连接到公司网络、维护在线隐私以及访问受限制的内容非常有用。 VPN具有广泛的应用领域,包括企业、个人和移动设备领域。它是保护隐私和数据安全的关键工具之一。 IPSec(Internet Protocol Security)VPN
是一种用于加强网络通信安全性的协议套件,旨在通过加密和认证来保护数据的传输。它广泛应用于建立安全的远程访问、站点到站点连接以及虚拟专用网络(VPN)。 点击“VPN〉IPSec VPN”下的“添加”按钮,添加新的IPSec VPN。
图 6-4-1-a IPSec VPN
图 6-4-1-b 添加IPSec VPN
两端配置完成后,隧道即可建立。用户可以在【状态>VPN】菜单中查看隧道建立状态。下方仅列出部分必填项的说明。- 名称:路由器创建的IPSec VPN名称标识,主要用于本地管理。
- IKE版本:设置IKE协议使用的版本号,支持IKEv1和IKEv2。
- 预共享密钥:在IKE协商的两端设备需要配置相同的认证密钥。
- Internet接口:本地建立IPSec VPN使用的上行接口。
- 隧道模式:设置IPSec对IP报文的封装模式,支持隧道模式和传输模式。
- 对端地址:与ER605建立隧道的对端通信地址。
ER系列设备在用IPSec VPN建立连接时,默认以使用公网地址的设备作为服务器,IPSec服务器侧的对端地址需要配置为 0.0.0.0,IPSec客户端侧的对端地址填写IPSec服务器侧的公网地址。
- 本地子网:填写需要通过ER605 IPSec VPN隧道通信的网段地址。
- 对端子网:填写隧道另一端需要通过IPSec VPN隧道通信的网段地址。
- IKE策略:支持设置IKE协议的配置。
- 加密方式:设置IKE使用的加密算法。
- 取值范围:DES、3DES、AES128、AES192、AES256,默认“AES128”
- 认证方式:设置IKE使用的认证算法。
- 取值范围:MD5、SHA1、SHA2-256、SHA2-384、SHA2-512,默认“SHA1”
- DH组:设置IKE阶段密钥协商使用的DH交换参数。
- 取值范围:1、2、5、14、15、16、19、20
- 超时时间:设置IKE SA存活时间,默认86400秒。
- IPSec 策略:支持设置IPSec参数配置。
- 安全协议:设置ESP协议使用的安全协议。
- 取值范围:DES、3DES、AES128、AES192、AES256,默认使用“AES128”
- 加密方式:设置ESP协议的加密算法。
- 取值范围:MD5、SHA1、SHA2-256、SHA2-384、SHA2-512,默认“SHA1”
- PFS组:IPSec使用安全策略发起一个协商时,在阶段2的协商中进行一次附加的密钥交换以提高通讯的安全性参数。
- 取值范围:1、2、5、14、15、16、19、20
- 超时时间:设置IPSec SA老化时间,默认86400秒。
二层隧道协议L2TP(Layer 2 Tunneling Protocol)是一种二层VPN协议,旨在提供安全的点对点或站点到站点的虚拟专用网络(VPN)连接。它常用于远程访问和分支机构互连,为用户或网络间建立安全的通信通道,保护数据传输的隐私和完整性。6.4.2.1 客户端
ER605可以作为L2TP客户端和位于远端的L2TP服务器建立隧道。点击“L2TP VPN〉客户端”下的“添加”按钮,添加L2TP客户端。- 名称:L2TP客户端的名称,用于本地标识。
- 状态:L2TP 客户端隧道开启/禁用开关。
- NAT:L2TP 客户端转发时的NAT功能开关。
- 上行接口:L2TP客户端与服务器进行通信的上行接口。
- 服务器地址:对端L2TP服务器的通信地址。
- 用户名/密码:两端进行L2TP协商时需要配置相同的用户名/密码
- 认证模式:设置L2TP认证模式。启用隧道验证功能:启用验证功能后,两端用于隧道验证的用户名/密码需要配置相同。
6.4.2.2 服务器
L2TP服务器一般部署于企业总部,为移动办公或分支机构提供远程访问服务。点击“VPN〉L2TP
VPN〉服务器” 进入L2TP
服务器的编辑页面。- 名称:L2TP 服务器名称,不支持修改。
- 状态:L2TP 服务器的功能开关,默认关闭。
- 上行接口:L2TP作为服务器时使用的上行接口。
- VPN通信地址:作为L2TP客户端的网关地址,可为L2TP客户端设备分配地址池内的地址。
- 地址池:L2TP客户端接入时用于通信的地址池。
- 用户名/密码:两端进行L2TP协商时需要配置相同的用户名/密码
- 认证模式:设置L2TP认证模式。
- 启用隧道验证功能:启用后,两端用于隧道验证的用户名/密码需要配置相同。
VXLAN(Virtual Extensible LAN)本质上是一种隧道技术,它在源网络设备和目标网络设备之间的IP网络上建立了一种逻辑隧道,通过对用户端数据包进行特定封装,实现了数据的传输和转发。 点击“VPN〉
VXLAN VPN”下的“添加”按钮,添加VXLAN
VPN,VXLAN VPN不能与其他VPN以及IP Passthrough同时启用。
- 名称:设置该VXLAN VPN网络的名称。
- 上行接口:与其它设备建立VXLAN 隧道的出接口。
- 对端地址:设置需要与该设备组建VXLAN VPN网络的对端设备IP地址。
- VNI:VXLAN的网络标识符,一个VNI就代表一个租户。
- 本地子网:设置本地客户端设备接入所获取的地址段。
在【安全】菜单下,用户可以根据需要设置防火墙、策略路由、流量整形相关的高级功能。 防火墙当前包括:入站规则、出站规则、端口转发、MAC地址过滤等功能,用户可根据具体的业务需求进行配置。6.5.1.1 入站/出站规则
用户可以通过“安全 > 防火墙 > 出站规则/入站规则”功能来实现基于接口的流量进出控制。例如,当用户受到来自特定源IP地址的大量攻击行为时,可以使用防火墙入站规则来限制来自该IP地址的流量。 此外,IT人员还可以通过防火墙出站规则来限制某些用户访问外部网络的权限。入站规则和出站规则在可配置的内容上相同,唯一的区别是默认规则。以下是添加入站规则的示例:
图 6-5-1-1 添加入站规则
- 名称:设置入站规则的名称,用于本地标识。
- 状态:规则的功能开关
- 接口:对于出站规则,指流量流出路由器的上行接口。对于入站规则,指流量进入路由器的上行接口。
- 协议:匹配流量的协议类型,支持Any、TCP、UDP、ICMP、自定义。
- 源:匹配流量的源地址,支持自定义,默认Any。、
- 目的:匹配流量的目的地址,支持自定义,默认Any。
- 动作:入站规则/出站规则的对匹配流量的动作,支持允许和拒绝。
- 入站规则:外部网络访问路由器的流量管理规则,默认拒绝所有。
- 出站规则:通过路由器访问外部的流量管理规则,默认全部放行。
- 支持通过拖动“优先级”一栏的图标调整入站规则/出站规则的优先级。
6.5.1.2 端口转发
端口转发也被称为端口映射或端口重定向,用于将网络数据包从一个网络端口(或地址)重定向到另一个网络端口或地址。用户可在“安全〉防火墙〉端口转发”配置端口转发规则,当外部流量访问路由器的特定端口时,设备会将数据转发至内部客户端的相应端口上,实现从外部访问路由器内部的服务。 例如:当用户需要从外部访问内部192.168.2.10客户端的1024端口服务时,将此客户端的端口映射到WAN1接口下的1024端口,外部网络只需在浏览器输入 “https://WAN1地址:1024”即可访问目标设备数据,其中WAN1地址为WAN1接口的IP地址。
图 6-5-1-2 添加端口转发规则
- 名称:端口转发规则的名称,用于本地标识。
- 状态:端口转发规则的功能开关。
- 接口:对内部客户端提供映射功能的上行接口,上行接口需要公网地址支持。
- 协议:端口映射流量的协议类型,支持TCP、UDP、TCP&UDP。
- 公网端口:对内部客户端提供映射功能的上行接口的端口号,需要与本地端口输入范围保持一致。
- 本地地址:外部网络需要访问的位于路由器下的目标设备地址。
- 本地端口:外部网络需要访问的目标设备的端口,需要与公网端口输入范围保持一致。
6.5.1.3 网络地址转换
网络地址转换是一种将IP数据包在通过路由器时重新包内源IP地址或目的IP地址的技术,可以将私网IP地址转换为合法IP地址。用户可在“安全〉防火墙〉网络地址转换”中配置源IP地址转换或目的IP地址转换规则。
图 6-5-1-3 添加网络地址转换规则
- 名称:标识该地址转换规则。
- 状态:启用或停用该条规则。
- 类型:选择地址转换的类型
- SNAT:源IP地址转换,以可将IP数据包中源IP地址字段的值转换为设定值
- DNAT:目的IP地址转换,以可将IP数据包中目的IP地址字段的值转换为设定值。
- 协议:选择需要转换的IP数据包类型、
- TCP:地址转换规则在TCP报文中生效。
- UDP:地址转换规则在UDP报文中生效。
- TCP&UDP:地址转换规则在TCP和UDP报文中生效。
- 源:数据包的源IP地址。
- 目的:数据包的目的IP地址。
- 转换后地址:根据所选择的地址转换类型,设置需要转换的值。
6.5.1.4 MAC地址过滤
MAC地址过滤是指禁止(或允许)MAC地址列表中的设备上网,即通过路由器上的MAC地址过滤功能控制局域网内设备的上网请求。用户可在“安全〉防火墙〉MAC地址过滤”中配置MAC地址过滤规则。 您可以在列表中创建多个MAC地址,添加地址描述,并在列表中设置仅允许MAC地址访问网络(白名单),也可以禁止列表中的MAC地址访问网络(黑名单)。6.5.1.5 域名过滤
域名过滤是指禁止(或允许)客户端访问列表中设置的域名。用户可在“安全〉防火墙〉域名过滤”中配置可以访问或禁止访问哪些域名。 您可以在域名过滤表中添加多条规则,并允许客户端访问这些域名(白名单),或禁止客户端访问这些域名(黑名单)。
策略路由是一种能够根据实际需求制定策略的功能,允许用户根据需要将不同的数据流通过不同的链路进行转发。这提高了路由选择的灵活性和可控性,同时提升了链路利用效率并降低了企业成本。点击“安全〉策略路由”下的“添加”按钮添加新的策略路由规则,在配置时不能将源地址和目的地址同时设置为“Any”。 创建整形策略以基于每个协议控制流量带宽,以优化网络性能。此功能还可以减少娱乐流量的带宽,并为关键业务流量确定带宽优先级。 您可以在“安全〉流量整形〉添加/编辑”中配置流量整形规则。
图 6-5-3-b 添加流量整形规则
流量调整策略由一系列按顺序执行的规则组成,类似于自定义防火墙规则。每个规则有两个主要组成部分:要限制或调整的流量类型,以及应如何限制或调整流量。
- 不匹配规则的流量转发优先级为中等。
- 当“限制带宽”设置为0时,系统不会限制带宽。
- 预留带宽的值不应大于限制带宽。
用户可以在“服务〉接口管理”功能中设置允许通过某指定接口的本地网络以及对接口速率的设置 DHCP服务采用客户端/服务器通信模式,由客户端向服务器提出地址请求,服务器响应请求并为客户端分配IP地址,以实现客户端IP地址的动态获取。 用户可通过“服务〉DHCP Server”功能对DHCP Server地址池进行配置。
图 6-6-2 配置DHCP Server地址池
- 设备的DHCP服务根据本地网络的网络信息生成,在“本地网络列表”中删除某个本地子网后,该本地子网的DHCP Server也将被删除。
- 本地网络条目需要处于IP模式,DHCP Server功能才生效,VLAN Only模式下的网络不在可选范围内。
DNS(Domain Name System)服务器是一种关键的网络组件,它负责将人类可读的域名(如www.example.com)转换为计算机能理解的IP地址(如192.168.1.1)。DNS服务器充当了互联网上的地址簿,它帮助计算机和设备找到其他设备的位置,并确保信息能够在网络上正确传递。 当用户在“服务〉DNS Server”中没有设置DNS服务器地址时,使用设备上行接口获取到的DNS地址进行域名解析;当用户设置DNS服务器地址后,将使用配置的DNS地址进行域名解析。
用户可通过“服务〉固定地址列表”功能实现根据接入设备的MAC地址为该设备分配固定的IP地址,该设备每次接入ER605时都会获取到相同的IP地址。
图 6-6-4 添加DNS Server地址
- 可用于分配的地址必须在IP模式的本地网络的地址范围内,否则配置不生效。
- 当本地网络删除后,本地网络地址范围内的固定地址分配规则都将被删除。
用户可通过“服务〉静态路由”功能自主配置静态路由条目,实现数据从指定的路径和接口转发。静态路由表中的内容均为用户手动创建,由其他服务,例如VPN功能自动生成的路由条目不会在此表中显示。
图 6-6-5 添加静态路由条目
- 相同目的地址/网络的静态路由,下一跳地址、接口或优先级不能相同,否则会导致路由失效。
- 当WAN2、Wi-Fi(STA)、L2TP 客户端VPN删除后,使用对应接口的静态路由也将被删除。
动态DNS(Dynamic
Domain Name System)用于自动更新域名系统中的名称服务器内容。根据互联网的域名规则,域名通常需要与固定的IP地址关联。动态DNS技术能够为动态IP地址的用户提供固定的名称服务器,这使得外部用户能够通过定期更新的方式连接到动态IP地址的用户的URL。 用户可在“服务〉 Dynamic DNS”功能下手动配置动态DNS服务器地址。
图 6-6-6 配置动态DNS服务
- 服务提供商:由动态DNS运营商提供,您可以选择dyndns,3322,oray,no-ip 或自定义(需要URL)。
- 主机名:单击服务提供商下方的 URL 进行注册以获取主机名。
- 用户名:单击服务提供商下方的 URL 进行注册以获取用户名。
- 密码:用户在注册时设置的密码。
在【系统】菜单下,用户可以完成云管理、远程访问控制、时钟、设备选项、配置管理、设备告警、工具、日志服务器等功能的设置。 设备的初始用户名和密码为adm/123456,为了设备的使用安全,请修改设备的密码。
点击页面顶部【导航栏】右侧的“adm”,在下拉菜单中点击“修改密码”进行修改。
小星云管家(star.inhandcloud.cn)是映翰通专为解决企业网络面临的部署缓慢、运维复杂和业务体验不佳等问题而打造的云平台。该平台以用户需求为核心,融合了零接触部署、智能运维、安全防护以及卓越的业务体验功能。一旦设备连接到云平台,用户就能够通过该平台进行远程管理、批量配置、流量监控等操作,实现了更加便捷和高效的网络设备管理。 用户可在“系统〉云管理”功能中选择云平台地址。ER605默认联网后自动接入小星云管家,若不希望使用云管理功能,请手动关闭。
用户可通过“系统〉远程访问控制”功能设置是否允许通过Internet从外部访问路由器的Web配置界面,可设置服务端口。
图 6-7-2 配置远程访问控制功能
- HTTPS:启用后,用户可以在浏览器输入上行接口的公网地址&端口,实现远程访问路由器的Web界面。
- SSH:启用后,用户可以在远程工具(如CRT),输入设备上行接口的公网地址&端口、用户名及密码,实现远程登录路由器后台。
- Ping:启用后,上行接口地址允许外部网络发起Ping请求。
- LAN接口不受此处配置影响。
- 防火墙规则不会限制远程访问。
在网络功能中,时钟功能是指用于协调和同步网络设备之间的时间的功能。网络中的时钟功能对于数据传输、日志记录、安全性、协调和故障排查非常重要。 用户可通过“系统〉时钟”功能选择当前所处的时区;配置NTP Server地址与目标NTP服务器同步设备系统时间。
用户可在“系统〉设备选项”中可对设备进行重启、升级固件及恢复出厂设置等操作。
图 6-7-5 设备选项操作
- 本地升级固件时请确保固件从正规渠道获取,避免因为导入错误固件导致设备不可用。
- 当设备接入云平台后,由于云端配置同步机制,平台会将恢复出厂前的配置再次推到设备上,设备仅清除历史数据。
配置备份和备份恢复是网络管理和维护中关键的任务,它们涉及到保存网络设备的配置信息,以便在需要时能够快速还原或迁移配置。 用户可在“系统〉配置管理”中导出设备配置存储在本地,当设备配置丢失或需要覆盖配置时将备份配置导入此设备。
当用户希望特别关注设备上可能发生的某些事件时,他们可以勾选相应的告警事件并设置接收告警邮件的邮箱地址。一旦告警事件发生,设备会自动发送相应的邮件通知。需要注意的是,用户未勾选的告警选项,相关的告警事件仍然会被记录在设备的本地日志中。 在“系统〉设备告警”功能中设置告警事件类型以及告警邮件地址。
配置发件邮箱的服务器地址、端口、用户名和密码后,设备将通过此邮箱发送告警邮件,可以通过发送测试邮件的选项检验发件邮箱的配置是否正确。
图 6-7-7-b 设置告警邮件接收地址
6.7.8.1 Ping
通过ICMP协议检测设备的网络连接情况。在“目标”中填入任意域名或IP地址,点击开始即可检验设备与该目标的连通情况。
图 6-7-8-1 Ping包工具
6.7.8.2 Traceroute
Traceroute(路由跟踪)是一种网络诊断工具,用于确定数据包从源到目的地之间经过的网络路径,以及在该路径上的每个中间路由器或跳数。 用户可在“系统〉工具〉Traceroute”中输入目标主机IP地址,选择流量的出接口,点击“开始”,检测设备到目标IP的路由连通情况。
图 6-7-8-2 路由跟踪工具
6.7.8.3 抓包
抓包是一种网络监测和分析技术,用于捕获和记录通过计算机网络传输的数据包。抓包工具通常用于网络故障排除、网络性能分析、安全审计和协议分析等用途。 用户可在“系统〉工具〉抓包”功能中抓取通过某一接口的数据包。选择“输出”选项,用户可以选择在界面中显示抓取到的数据或导出到本地。
图 6-7-8-3 抓包工具
计划重启是一种网络设备管理的策略,允许管理员在特定时间或条件下自动重启设备,以确保设备的正常运行和性能。
用户在实际使用中,可以根据业务需求在“系统〉计划重启”功能中设定设备定时重启的时刻,设备支持在每日、每周、每月固定时刻进行重启。 在每月重启中,当选择的重启日大于当月实际天数时,设备将在当月最后一天重启。例如,选中在每月31日重启,在只有30天的月份中会在当月30号进行重启。
图 6-7-9 设定重启时刻
日志服务器是一种专用服务器或软件应用程序,用于收集、存储和管理网络设备、应用程序和操作系统生成的日志信息。这些日志记录包括事件、警告、错误、活动和其他相关信息,对于监视、故障排除和性能优化非常重要。 用户在“系统〉日志服务器”功能中启用日志文件服务器功能后,设备会定期将日志文件上传到指定的日志服务器服务器。
在“服务>账号管理”中,设置登录设备Web页面的用户名和密码,请妥善保管您的密码,避免泄露。
图 6-7-11 设置用户登录信息
6.7.12.1 Web登陆管理
当Web登录到设备本地界面超过一定时间后,将自动登出或断开连接,以保护用户的隐私和安全。 用户可以在
"系统 > 其他设置 > Web登陆管理" 中设置登出时间。一旦单次登录设备Web页面的在线时间超过设定的时间,系统会自动退出登录状态,需要重新登录以继续操作。
图 6-7-12-1 设置web登录超时时间
6.7.12.2 自动重启
边缘路由器专门设计自动重启的机制,帮助解决现场需要人工重启以恢复网络连接的情况。用户在“系统〉其他设置〉自动重启”中开启此功能后,当设备无法联网且重试一小时后仍无法接入网络时,设备将会自动重启。
图 6-7-12-3 开启自动重启功能
6.7.12.3 SIP ALG
SIP ALG由两种技术组成,一种是会话发起协议(SIP),另一种是应用层网关(ALG)。该协议通常用于帮助管理和处理SIP通信(Session Initiation Protocol,用于建立和管理实时通信会话,如语音通话和视频通话) 用户可在“系统〉其他设置〉SIP ALG”中开启此功能。若接入网络的设备存在VoIP电话通信,请禁用此功能。
企业分支机构之间,往往需要进行通信,以满足业务数据传输、视频会议等需求。传统的VPN配置比较复杂,故障排除可能具有挑战性。北京映翰通引入了SD-WAN网络功能,通过用户友好的界面,帮助用户在分支机构之间快速创建连接。这不仅增强了链路的灵活性,还大大降低了运营和管理的复杂性,最终为企业用户提供了更好的网络体验。
图 6-7-13 SD-WAN应用场景
6.7.13.1 创建SD-WAN网络
在小星云管家平台的“网络”功能中,选择“SD-WAN”,点击“添加”,您将被重定向到SD-WAN网络添加页面。
当前的SD-WAN网络支持中心辐射型拓扑,设备角色分为中心设备和分支设备。所有分支设备都通过中心设备创建隧道,分支设备之间的流量通过中心设备。
中心设备:- 中心设备需要公网IP地址来确保SD-WAN网络的运行。用户还可以通过IP映射来解决公网IP不足的问题。
- 在具有公网IP地址的中心设备上行接口与分支设备的所有上行接口之间创建隧道。
- 在防火墙规则中,中心设备的上游设备需要允许两个端口号,并将它们映射到ER系列路由器的上游接口。端口范围为1-65535。
- 支持的设备型号:ER605、ER605、ER2000
- 最多可以添加5个设备。
分支设备:- 分支设备对公共 IP 地址没有特定要求。
- 可以添加多个分支设备,最终数量由中央设备的性能决定。
- 支持的设备型号:ER605、ER605。
6.7.13.2 添加设备
在“添加网络”页面上,单击中心设备或分支设备的“添加”按钮,具体取决于要添加到网络的设备类型。选择设备后,提供设备的公网映射信息。如果需要修改设备的网络配置,可以点击本地网络的“编辑”按钮进行远程配置。
图 6-7-13-2-b 添加分支设备
完成添加后,点击页面左下角的“保存”按钮,网络就创建成功了。现在,所有设备和选定的子网都将互连。在单个网络中,中央设备和分支设备的本地网络不能相同,因为这可能会影响通信。
6.7.13.3 检查SD-WAN网络状态
添加网络后,系统会自动将您定向到拓扑页面。或者,您可以转到“SD-WAN 网络”列表,然后单击网络名称以访问拓扑详细信息页面。在网络中,所有分支设备都与中心设备创建连接。 将鼠标悬停在链路上时,它会显示与中心设备接口创建的隧道的状态。
- 请使用原装电源适配器,避免因电源适配器和设备不匹配造成设备损坏。
- 安装设备时请勿将设备安装在强电磁干扰环境下,避免与高功率设备过于接近。安装完成后请确认设备是否易发生晃动,避免因设备跌落造成设备损坏。
- 请确认设备使用环境满足规格书所要求的温度和湿度。
- 请定期检查设备线缆,包括网线,电源适配器连接线,保持线材清洁,如有发生破损请及时更换。
- 清洁设备时,避免使用化学试剂直接喷洒在设备表面,避免损害外壳或内部组件。需要使用柔性的布料清洁产品。
- 请勿私自拆修或改装设备,这将会导致安全问题并且设备会失去保修资格。
- 边缘路由器:支持有线和蜂窝移动数据联网(4G、5G)进行网络连接,提供更多网络接入的方式。边缘路由器是一款支持SD-WAN的5G路由器,同时支持云平台统一管理
- 普通路由器:通常依赖固定的宽带连接,如DSL、光纤,通过有线连接到网络。普通路由器无统一的管理平台和防火墙、SD-WAN等高级特性。
- 物理环境:首先检查SIM卡是否插到正确的卡槽位,蜂窝天线是否全部安装。
- APN设置:确保APN的配置信息与运营商提供的一致。
- 检查设备连通性:登录到设备本地界面,通过系统自带的ICMP工具,ping 8.8.8.8测试是否连通,若可连通,则检查您的设备(如电脑、手机)与路由器的连通性。
- 判断SIM卡是否正常:取出SIM卡,安装在手机中查看是否可以正常联网。
- 重启:尝试将路由器断电,等待几秒钟,然后重新连接电源,重试网络连接。
- 恢复出厂:将路由器恢复出厂,然后重新尝试。
映翰通一直致力于为中小连锁机构提供优质的网络服务,用户使用云平台服务时,需要逐台购买许可费用,以享受丰富的云端功能。
- 首先通过https://star.inhandcloud.cn/ 网址注册小星云管家登录账号
- 使用注册账号登录到云平台,在设备菜单下点击“添加”,按照提示填写设备的序列号和MAC地址,即可完成添加。设备首次添加时,默认赠送1年免费基础版许可,后续用户可按需续费。
可以。用户可以在本地完成绝大多数配置功能,但批量的配置下发、升级、SD-WAN、Connector等功能,需要结合云平台使用。
如果您无法通过上述答案解决问题或遇到其他问题,请联系北京映翰通网络技术股份有限公司获取技术支持。您可以访问www.inhand.com.cn获取更多信息。