系统状态篇
1.1 如何查看主机流量 TOP10?
答:进入【系统状态】→【主机监控】查看主机流量 TOP10。
1.2 如何查看主机连接数 TOP10?
答:进入【系统状态】→【主机监控】点击连接数上方的箭头查看连接数 TOP10。
1.3 如何查看过去 24 小时的在线主机数目情况吗?
答:进入【系统状态】→【主机监控】→【历史监控】查看过去 24 小时或者更长时间的在线主机数。
1.4 如何查看主机跑了些什么应用?
答:进入【系统状态】→【主机监控】点击您需要查看的主机 IP 地址,即可查看主机的详细情况。
1.5 如何查看主机的游戏或应用跑到哪条线路了?
答:进入【系统状态】→【主机监控】查看:点击您查看需要的主机 IP 地址,找到正在运行的应用或者游戏,查看应用对应的外网接口。
1.6 如何查看当前网络中哪些应用流量高?可以分接口查看应用统计吗?
答:进入【系统状态】→【应用统计】查看详细列表和比例统计图。
1.7 如何查看接口的实时流量趋势?可以查看接口的日周月历史流量吗?
答:登陆 WEB 页面,进入【系统状态】→【接口概览】查看:【硬件接口】实时流量、【虚拟接口】实时流量、【流量视图】日周月历史流量。
1.8 如何查看 CPU 的实时趋势?
答:进入【实时监控】→【负载】看 CPU 的实时趋势。
1.9 如何查看拨号日志?
答:进入【系统状态】→【系统日志】→【接口日志】查看拨号日志。
1.10 如何查看攻击日志?
答:进入【系统状态】→【系统日志】→【安全日志】查看攻击日志。
1.11 日志可以保存吗?
答:日志默认不保存,设备重启后,缓存的日志将自动清理。通过配置可保存日志,方法如下:
方法一:进入【系统状态】→【系统日志】→【模式设置】配置切换到调试模式,此时会保存日志。一般不建议打开,只有在调试较为严重的问题时切换到调试模式。
方法二:上传日志服务器【系统管理】→【系统设置】→【日志设置】,请联系技术支持进行设置。
1.12 网络基础设置,如何 3 分钟内快速搞定设置?
答:快速搞定基本的上网问题,设置有以下两个步骤:
通过【快速向导】完成基本的上网配置。 通过【专家向导】根据您提供的上网信息,为您量身打造 7 层智能流控、多线负载均衡、应用分流、攻击防御等高级设置。
【快速向导】配置基本外网、内网、无线设置:
第一步、点击【快速向导】,请按照提示引导完成路由器配置;
第二步、配置外网口(wan 口)参数,此时是配置上网的参数;外网配置请填写准确运营商和线路类型。选定线路类型,参考带宽大小会随即确定,一定要准确。可选择【PPPoE】【固定 IP】【自动获取 IP】;
第三步、内网参数配置,完成本次配置内网即可上网;
第四步、保存配置。
【专家向导】
第一步、点击【专家向导】,请按照提示引导完成路由器配置;
第二步、填入带机数以及所在地区,专家向导会帮你完成流控、分流、攻击防御等高级设置(看实际情况填写);
第三步、在第二步准确配置的前提下,否则专家向导将失去判断依据。
1.13 支持接口MAC克隆吗?
答:支持:支持 WAN 口和 LAN 口的接口 MAC 克隆,详情如下;
WAN 口 MAC 地址克隆:进入【网络设置】——》【外网配置】配置。配置完成保存即可。
LAN 口 MAC 地址克隆:进入【网络设置】——》【内网配置】配置。配置完成保存即可。
1.14 如何设置外线的运营商和线路带宽?有什么用?
答:进入【网络设置】——》【外网配置】选择好运营商带宽,路由器会给出配置的参考值。比如您如果选择了光纤 10M,那么参考上行带宽和参考下行带宽会给出一个线路可用总带宽的参考值,该参考值将会被智能流控和多线策略所使用,所以必须填写准确。
提示:下行带宽建议设置为总带宽的 0.9 到 0.95,预留部分带宽用于防御突发数据,带宽富裕的地区,可以设置高于 0.95 的系数上行、下行总带宽单位为千字节每秒,即 KB/s,一般是标称带宽乘以 100 来计算,比如 10M 光纤,上下行总带宽是 10*100,即 1000KB/s,考虑预留一些带宽,推荐设置 937KB/s。一般而言,选择 “上网类型以及带宽”,会自动填充 “参考上行带宽” 和 “参考下行带宽 “,系统会自动考虑预留并计算带宽。只有找不到合适的类型时,才需要进行自定义。
1.15 运营商DNS服务器崩溃了咋办?什么情况下需要DNS强制代理?
答:在运营商 DNS 服务器崩溃情况下,可开启 “强制 DNS 代理”,请指定一个可用的 DNS 服务器如 223.5.5.5、223.6.6.6、180.76.76.76 等国内通用 DNS。
进入【网络设置】——》【DNS】——》【DNS 代理】配置。
提示:DNS 代理无论客户机配置什么 DNS 服务器地址都由路由器提供 DNS 解析,当您通过路由的 VPN 访问国外的服务器资源,需要开启强制 DNS 代理。
1.16 内网接口可以同时配置几个网段吗?
答:进入【网络设置】——》【内网配置】——》【扩展网段设置】可添加多个网段的地址。
1.17 接口别名有什么用?
答:接口别名的作用便于管理员识别和管理:别名在配置路由器规则时,可将别名填写规则相应的描述(别名会出现在接口概览、分流配置、接口模式设置等)。
可进入【系统状态】——》【接口概览】观察主机别名配置是否生效。
1.19 如何让外网接口定时拨号?
答:可利用【定时任务】里的【线路切换】配置实现外网定时拨号。
进入【系统管理】——》【定时任务】——》【线路切换】配置;
添加规则如下:
规则如下:
说明:
在填写规则是注意时间格式:例一:00:00 例二:01:00。 任务规则是按照时间顺序完成的,上线时间必须晚于断线时间,否则上线时间为第二天。 断线和上线一般间隔 2~3 分钟:
例一:断线时间:07:01 上线时间:07:03
例二:断线时间:08:00 上线时间:08:32
1.20 接口概览里的虚拟接口会显示些什么?可以合并显示到硬件接口概览吗?
答:会显示设备 WAN 口扩展接口、单线多拨接口以及 VPN 接口的概览信息,通过【系统设置】【WEB 界面参数设置】勾选 “合并显示所有接口” 可以合并显示到硬件接口里。
进入【系统管理】——》【系统设置】——》【WEB 界面参数设置】配置虚接口合并显示到硬件接口里。
配置完成之后,可在【硬件接口】观察合并显示情况。
1.21 外网拨号不上怎么办?
答:路由器使用 PPPOE 拨号不成功,出现下列问题现象:首先使用电脑直接连接光猫拨号,确认光猫是否可以正常上网,如可以上网、可以参考提供的两种方式解决问题。
问题现象:【接口概览】显示 WAN 口是(状态)
【系统日志】——【接口日志】显示不能完成拨号
处理方式 1:进入接口模式,强制协商百兆或者 10M 可以解决问题(如该方法 1 不能解决,请查看方法 2。)
处理方式 2:建议在 wan 口和光猫之间插入一个交换机(或者用那种便宜的几十块的路由 LAN 口做交换机)
1.22 可以查看主机在某外网接口上跑了些什么应用流量吗?
答:进入【系统状态】→【主机监控】点击您需要查看的主机 IP 地址,即可查看主机的详细情况。
1.23 可以查看主机每个连接的速率吗?
答:进入【系统状态】→【主机监控】点击您需要查看的主机 IP 地址,即可查看主机的详细情况。
流控策略篇
2.1 一键智能流控靠谱吗?原理是什么?
答:必须靠谱,原理如下:
一键 QOS 智能流控采用 PHQ 智能算法。该算法在全局统筹的高度将内网全部流量按照优先级高低依次分为游戏、聊天、网页、常用、视频、下载 6 个业务通道;经过精巧设计,反复打磨,一键智能流控算法真正做到了如下效果:优先有序、各行其道、公平共享、通道借用。
2.2 如何让游戏、网页、聊天优先?
答:进入【QOS 流控】——》【智能流控】,开启一键智能流控即可,游戏、网页、聊天应用会自动优先。
2.3 固定流控(固定 IP 限速)和智能流控冲突吗?
答:不冲突,固定流控和智能流控可以同时使用:
说明:
智能流控:在全局统筹的高度将内网全部流量按照优先级高低依次分为游戏、聊天、网页、常用、视频、下载 6 个业务通道,在这个基础上进行流量控制。
固定流控:传统的 IP 限速,基于 IP 限制流量大小,相当于是最高限速。
2.4 一键智能流控可以微调吗?流控失控了怎么处理?下载没速度如何处理?
答:[智能流控] 微调和失控以及下载没速度,都可以微调抑制因子或者动态因子,请进入【QOS 流控】——》【智能流控】——》【高级设置】中进行调试。
说明:
当流控失控时,需要抑制上行来控制下行,请加大抑制因子的数值。抑制因子越大,对上行控制越严,从而使得下载控制越严,同理减少抑制因子的数值,上行控制将放松,下载速度将提升。也可以控制动态因子来控制下行。
抑制因子:通过抑制上行来控制下行,数值越大,则抑制效果越好,一般 70 到 80 就非常严厉了。20M 以内的小带宽的情况下出现流控失控的,可以设置 70 到 80。
动态因子:可控制每个通道内带宽共享程度,动态因子越小,对共享的控制越严厉,一般 20 就表示非常严厉了。20M 以内的小带宽的情况下出现流控失控的,可以设置 15 到 20。
2.5 外网接口流量总是用满,正常吗?
答:当看到接口带宽占用总是 100% 是正常的。
1、最大程度的提高带宽使用率,是智能流控所追求的目标。
2、在路由器配置外网接口时是默认预留小部分带宽的,外网接口流量显示总是用满属于正常。
通过下列方式可以判断是否正常:
1、通过流量监控可以判断流控是否正常:外网接口流量一直处于外网接口规定的值之上,比如 20 兆带宽,外网带宽一般会填 1860KB/s,如果流量经常出现 2.2-2.3MB/s 以上的流量,那就是不正常的,说明流量失控了。
2、外网接口带宽的参考值:要重点参考说明书一般为(带宽标称数值 x1000/10)x 系数,系数在 0.9 到 1 之间,不同带宽大小,系数不同,说明书里有详细说明。
2.6 游戏卡或者某种应用卡,是智能流控影响的吗?如何排查?
答:需要确定是不是智能流控造成了游戏卡或者是某种应用卡,排查方法如下:
方法一:
进入【主机监控】,点击当前游戏卡或者应用卡的运行该软件或者游戏的主机 IP,观察应用或者游戏是否识别是否识别,如果没有识别到,那可能会造成卡影响网速。如果出现这种现象,请及时联系技术支持。如果有识别到,那您可以继续尝试方法二。
方法二:
开启例外来判断。例外主机不受智能流控限制,开启方式:登陆 WEB 页面,进入【QOS 流控】——》【智能流控】——》【例外】配置,观察配置例外前后该主机运行的游戏或者软件状况。
如果不卡也不慢了,那说明是智能流控影响的,请及时联系技术支持。如果情况无改观,那应该是其他问题。
2.8 光纤专线只跑游戏的话,带宽多大够用?
答:由于平均每台主机只跑游戏的数据峰值大约是 7k 左右,100 台机器的游戏流量峰值会在 700K 左右。一般需要考虑一定的带宽预留,因此建议 100 台主机至少配置 30M 光纤跑游戏,同时建议配置一条或者多条大 AD 或者家庭宽带来分流视频、下载等大流量应用。
多线设置篇
3.1 多线选路模式原理是什么?起什么作用?
答:路由器多线选路模式为多线设置提供了基础配置框架,多线选路模式分为智能选线、主辅、负载均衡、主备四种模式。每种模式分别提供了一个基础配置框架。
智能选线:
根据运营商智能进行选路,在有多家运营商多根线的情况下,选用此模式可实现对应游戏和应用电信走电信,联通走联通,从而解决电信、联通之间通而不畅的问题,如果电信流量和联通线路流量不均衡,建议配合开启应用分流来进行均衡,如果您有多条电信线路和多条联通线路,路由默认会选择带宽最大或者权重最大的那条联通线路和带宽最大或者权重最大的电信线路分别作为电信、联通的主线,从而实现电信流量走带宽最大的电信线路;同时联通流量走带宽最大或者权重最大的联通线路,(接口权重可以在【高级设置】–》【接口高级设置】里进行设置,默认带宽大的线路的权重也大);此时其余的线路需要通过应用分流来调度分配流量。
主辅模式:
推荐一条商用或者专用光纤加 1 条或者多条 ADSL(或者拨号线路)的情形下使用,需要配合开启应用分流。
提示:在不配置【应用分流】的情况下,辅助线路默认将不会有任何流量,也就是说此时所有流量只会走主线。在商用光纤线路带宽十分紧张,比如只够玩游戏时,那么应该选择某条 ADSL 或者拨号线路作为主线,同时将网络游戏通过【应用分流】规则分流到光纤,该 ADSL 线路或者拨号线路的运营商最好与光纤线路的运营商一致,比如光纤是电信光纤,而 AD 也是电信 AD。
负载均衡:
多根同运营商,同样大小的同种类型的根据带宽的比重在各条线中均衡选路,同时实现带宽叠加(比如所有外网线路都是电信 20M ADSL),各外网线路流量分配多少,取决于接口权重大小,权重大的,分流多,反之则少,在【高级设置】–》【接口高级设置】可以调整权重大小,系统默认带宽越大,权重越大。
主备模式:
只有主线 down 掉的情况下才会走其他线路。
3.2 多线模式、策略路由和应用分流规则哪个优先呢?
答:优先级从高到低:策略路由 > 应用分流 > 多线模式。
3.3 多线策略里的应用分流和策略路由等配置后好像只有部分成功分流?难道不会立即生效吗?遵循一个什么规律?
答:分流是成功的:分流或者策略配置规则都不会对老的连接产生作用。为了避免把老的连接拆掉强行走另一条线路,只有新的连接才会按照新的规则分流,所以在配置完成后您会观察到有的流量还在走原来的线路,这是一个链路未老化的原因。
3.14 线路侦测有什么用?有必要开启吗?用什么侦测方式比较好?
答:线路侦测可以防止虚连接,保证外线的连通,侦测到线路断开后可自动切换到其他可用线路。
3.15 什么情况下启用域名分流?
答:在多运营商的情况下,如果 DNS 解析从一个运营商线路获取,而网页、视频走了另一个运营商线路,在少数地区有可能出现网页慢、视频卡的现象。比如联通、电信双线智能选线情况下,内网客户机的 DNS 指向了电信的 DNS 服务器,而应用分流策略将网页和视频强制分流到联通线路上,内网客户机由于是在电信 DNS 服务器请求网页和视频资源,那么这些资源有可能会电信区的服务器上,此时强制网页、视频走联通线路,就有可能出现卡、慢的现象。如果有网页、视频卡慢的现象,应开启域名分流。
3.16 我想让服务器或者计费服务器只走一条外线,如何设置?
答:建议通过策略路由来设置,具体配置如下:
第一步、进入【分组管理】——》【地址组】添加 IP 地址组。
第二步、进入【多线设置】——》【多线策略】——》【策略路由规则】配置服务器的策略路由规则。
请开启策略路由总开关。
3.17 外网物理接口数不够怎么办?WAN 口扩展生成的接口在哪里配置?单线多拨生成的接口在哪里配置?
答:外网物理接口数不够时可通过 WAN 口扩展增加接口数目,另外,在运营商支持的情况下,也可以通过单线多拨来扩展,配置详情如下:
进入【多线设置】→【WAN 口扩展】配置 WAN 口扩展生成的接口:
说明:进行多 WAN 扩展,使用可配置 vlan 的交换机设备进行扩展,在配置好交换机后接入路由器(划分好 vlan,建议:交换机每个接口应该 vlan,接口 1 配置公共口,接口 2 属于 vlan2,接口 3 属于 vlan3,以此类推)。
在运营商支持的情况下,进入【多线设置】→【单线多拨】。
3.19 为什么应用分流和策略路由不合并?
答:策略路由的优先级高于应用分流的,并且更细化了分流的功能。可以在应用分流开启的基础上,使用策略路由简单有效的完成客户的配置需求。
3.21 如何让多线配置规则立即生效?
答:为保障更好的服务质量、以及在进行配置操作时不影响客户正常上网、我们在路由器上配置新规则需要等待链接老化后、对新的链接生效:
下面介绍如何使立即生效:
PC 端主动关闭来老的链接建立新的链接; 重启 PC 也可以达到清理链接的效果; 待路由器配置完毕、重启设备接口; 通过连接工具、清理主机链接。
3.22 单线多拨如何配置?有哪些注意事项?
答:在使用单线多拨的时候、不建议对物理口进行使用(例如:wan2 启用单线多拨、wan2 的物理口配置成‘不使用该接口’即可)。
配置步骤:
在【多线设置】——》【单线多拨】中点击添加,填上运营商提供的用户名和密码即可,可对物理口进行多次拨号。
应用后将生成 wan_m1/wan_m2 类似名字的接口,您可以在【网络设置】→【接口概览】→【虚拟接口】里进行更多参数设置。
注意:
本功能无需外扩 VLAN 交换机,但只有运营商比如电信、联通允许单号多拨的情况下,才能成功单线多拨。
有些地方运营商的单线单账号虽允许拨号多次,并且都可以正常上网,但所有拨号后的带宽总合不会超过这个账户的最大带宽,所以这个并不能起到带宽叠加的效果,所以这种情况多拨反而无用。
3.23 游戏分流时有什么需要注意的吗?分流规则顺序有要求吗?
答:智能选线和主辅模式下,如果主线带宽充裕,游戏一般不需要另行配置分流规则;应用分流配置修改后,不影响老的连接的选线方式,只有新的连接才会按照新的配置分流到指定线路。所以,配置修改不会拆除老连接,不会引起现在正在玩的游戏、QQ 等掉线,也会因此产生一个错觉:配置貌似没有立即生效;如果是将 ad 为主线、分流游戏到光纤线路,防止黑客进行查外网 IP 攻击、不建议一键分流所有游戏到光纤,黑客会利用部分低端游戏查看到精确的 IP 地址(例如:微端网游)。
分流是规则顺序有要求的:游戏分流的规则放在最后一条即可、优先分流大流量应用。
网络安全篇
4.1 ARP 攻击防御的阈值填多少合适?
答:默认值为 3000,需要根据具体情况进行调整。单台终端 ARP 包应在 20 包 / 秒以上,200 台 PC 应在 4000 包 / 秒为宜 (注意:此处的速率限制是内网所有 ARP 包速率限制)。
进入【网络安全】——》【arp 安全】配置,ARP 攻击防御的阈值。
4.2 ARP 信任干什么用的?可以代替 ARP 绑定吗?
答:ARP 信任是静态 ARP 绑定的一种 “懒人模式”,在某种程度上可以代替 ARP 绑定。会自动学习内网 IP 主机的 ARP 信息。
ARP 信任的机制如下:
路由器将会自动学习内网 IP 主机的 ARP 信息,如果一个主机的IP和MAC在几分钟之后仍然保持稳定,那么路由器会认为这个主机的IP、MAC信息可信任,于是自动进行ARP绑定:在主机下线后,路由器会自动删除绑定,所以这可以看做是ARP绑定的一种 “懒人模式”,可以有效减少路由器本身受到ARP欺骗的可能。
一般来说建议开启静态的ARP绑定(【网络安全】→【ARP绑定】。并在PC(客户机)上绑定网关MAC。从而实现所谓 “双绑”。这种方式更为安全。
4.3 端口映射怎么配置?要注意些什么?端口回流要开启吗?
答:进入【网络安全】→【端口映射】添加映射规则。
说明:
接口:选择映射的端口,一般选择有公网IP的接口
协议:映射基于的协议 TCP、UDP、TCP+UDP,根据服务类型选择,如果不知,请选择 TCP+UDP,如果确切知道是 TCP 或者 UDP,应避免选择 “TCP+UDP,可以有效降低资源消耗。
外部端口:通过外部访问的端口。
内部端口:内部电脑提供此服务的端口,不填写,则和外部端口保持一致,注明:外部端口和内部端口可以不一致。
端口回流:开启后,在内网客户机或者终端可以用路由的外网接口的公网 IP 地址访问内网的服务器。一般情况下,如无必要,请勿启用,避免无谓消耗路由器的资源。
查看端口映射规则:
已开启端口回流通过外网接口验证端口映射。
4.4 攻击防御一般怎么配置?开启哪些项?
答:进入【网络安全】→【攻击防御】勾选需要的攻击防御选项即可开启。
说明:根据防御一般开启 syn_flood 攻击防御,udp_flood 攻击防御,icmp_flood 攻击防御即可。其它选项建议在有需求的时候开启(例:发现内网有假 IP 攻击,开启内网假 IP 攻击防御)。
4.5 网吧遇到 DDOS 攻击与 UDP 攻击如何检查以及规避攻击带来的影响。
什么是 DDOS 攻击和 UDP 攻击
DDoS 就是利用更多的傀儡机(肉鸡)来发起进攻,通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的。
UDP 是日渐猖厥的流量型 DoS 攻击,原理也很简单。常见的情况是利用大量 UDP 小包冲击 DNS 服务器或 Radius 认证服务器、流媒体视频服务器。100k pps 的 UDPFlood 经常将线路上的骨干设备例如防火墙、路由器打瘫,造成整个网段的瘫痪。
通俗点来说则是网吧如果有 100M 的外网带宽,攻击者采取 DDOS 与 UDP 的方式,通过肉鸡用国外服务器的 IP(外国服务器攻击可以让网监查不到攻击者)来对网吧的 IP 地址发送无用的报文与访问请求等,用 200M 甚至成千上万 M 的流量淹没网吧的外网带宽,通过堵塞外网达到掉线的目的。
高恪路由器如何检测 DDOS 与 UDP 攻击
【系统状态】→【系统日志】→【安全日志】,可以观察到有外网 IP 对网吧 IP 发起攻击的记录。
说明:如果攻击者在网吧里的客户机发起攻击,同样可以在日志里面看到内网 IP 的攻击信息,比如 192.168.1.6,这个 IP 在网吧环境中指向的则是 6 号客户机,这个时候网管可以在网吧服务器上通过无盘系统远程监控 6 号客户机的客户在做什么操作,如果有疑似非法操作则可以拍下证据现场抓人。
如何规避攻击带来的影响
对于网吧业主来说,能防御住 DDOS 攻击的防火墙是非常昂贵的(几万甚至十几万),那么在网吧环境中如何防御呢。高恪路由器独有的多线策略与应用分流可以实现对保障单独应用不受攻击(以现如今网吧中最流行的 LOL 为例)。
例:此网吧用了一条光纤固定 IP 与三条 ADSL 拨号线路。
第一步、多线策略选择固定光纤为主线。
第二步、添加应用分流规则。选择英雄联盟应用将它单独划分到第二条 AD 线路上。
第三步、多线策略 — 策略路由规则;将lol.qq.com域名也分流到第二条 AD 线路上。
原理介绍
在网吧行业来说,恶意竞争的攻击者通常会通过各种方式来查找目标网吧的 IP 地址,然后发起攻击,而大多数网吧的外网 IP 都是以固定光纤 IP 为主,最简单的方式只要派个人来目标网吧上网打开浏览器输入 IP 就能查到目标网吧的 IP。
高恪路由器拥有独特的多线策略和分流技术,将对于网吧生存至关重要的某些游戏(英雄联盟)通过策略分流到 AD 线路上去,将与英雄联盟进程有关的域名分流到 AD 线路上去,而 AD 拨号线路每次拨号的 IP 都是不固定的,而且每次拨号都是不同的 IP,这样能有效的防止攻击者查询到 IP,即使网吧的光纤被攻击了断掉了,英雄联盟的 AD 线路依然是好的,通过这种技术能最大程度的保障网吧的正常营运。
4.6 网吧被外网攻击,有办法吗?怎么破?
答:首先需要判断被外网攻击的是光纤还是 AD 拨号线路,AD 拨号线路每次拨号的 IP 都是不固定的,而且每次拨号都是不同的 IP,这样能有效的防止攻击者查询到 IP 进行攻击。
然后将对于网吧生存至关重要的某些游戏(英雄联盟)通过策略分流到 AD 线路上去,将与英雄联盟进程有关的域名分流到 AD 线路上去,即使网吧的光纤被攻击了断掉了,英雄联盟的 AD 线路依然是好的,通过这种技术能最大程度的保障网吧的正常营运。
进入【系统状态】——》【系统日志】——》【安全日志】,观察到外网 IP 对网吧 IP 发起攻击的记录。
第一步、进入【多线设置】——》【多线策略】选择固定光纤为主线。
第二步、添加应用分流规则。选择英雄联盟应用将它单独划分到第二条 AD 线路上。
第三步、进入【多线设置】——》【多线策略】——》【策略路由规则】将lol.qq.com域名也分流到第二条 AD 线路上。
说明:发现 AD 拨号线路被攻击时,直接对该线路重新拨号即可。
行为管理篇
5.1 如何封杀 QQ 聊天,同时放行企业 QQ;
答:通过【一键封杀 QQ】禁止所有的 QQ 使用,然后给需要放行的 QQ 或者企业 QQ 配置白名单。
具体配置如下:
进入【上网行为管理】在【一键管控】配置封杀所有 QQ。
在【QQ 白名单】配置不受一键封杀 QQ 限制的白名单。
说明:可以进入【QQ 白名单批量添加】进行批量的 QQ 添加。
5.2 如何一键封杀下载 / 视频 / 游戏;
答:进入【上网行为管理】——》【一键管控】配置一键封杀下载 / 视频 / 游戏。
例外时间和例外 IP 可以在【分组管理】添加。
5.3 如何封杀淘宝、天猫等 https 购物网站;京东、唯品会等购物网站;
答:封杀淘宝、天猫等 https 购物网站可以进入【一键管控】配置一键封杀,京东、唯品会等购物网站可以通过【网址过滤】进行封杀:详情如下
第一步、进入【上网行为管理】→【一键管控】封杀淘宝天猫。
第二步、进入【上网行为管理】→【网址过滤】封杀京东、唯品会等购物网站。
在【网址分类库】中,系统默认多种选项也可以自定义添加网址类或者单个网址。
第三步、在【网址过滤】中配置拒绝访问的单个网址或者网址类别。
5.4 如何一键封杀微信微博;
答:进入【上网行为管理】→【一键管控】配置一键封杀微信微博。
5.5 可以在一键封杀的同时对某一些电脑做例外吗;
答:进入【上网行为管理】→【一键管控】配置一键封杀的主机例外。
5.6 如何通过 DNS 过滤功能来禁止某域名的所有流量;有哪些局限性;
答:该功通过 DNS 域名解析的 IP 地址来进行封杀,具有一定的局限性(同一服务器有多个网站比如a.com b.com在同一服务器上是会被一起封杀的),配置如下:登陆路由器 WEB 页面,进入【上网行为管理】→【DNS 过滤】配置。
5.7 如何禁止访问某些公网 IP 或者 IP 段;
答:在【分组管理】中添加需要禁止访问的公网 IP 或者 IP 段,通过防火墙规则实现禁止访问的需求,配置如下:
第一步、进入【分组管理】→【地址组】配置。
第二步、进入【上网行为管理】→【防火墙规则】配置。
说明:路由器的新规则不会对老的连接生效,如果在新规则建立后发现对连接对不生效,等连接老化建立新的连接即可。
5.8 如何禁止某些电脑上网;
答:在分组管理中添加需要禁止访问的内网 IP 或者 IP 段,通过防火墙规则实现禁止上网的需求;
第一步、进入【分组管理】→【地址组】配置。
第二步、进入【上网行为管理】→【防火墙规则】配置。
说明:路由器的新规则不会对老的连接生效,如果在新规则建立后发现对连接不生效,等连接老化建立新的连接即可(在配置规则之前 pc 有 ping 过产生有 icmp 的连接,在建立规则后 pc 的 ping 不受限制可以继续 ping,这是 icmp 的连接未老化,pc 其他的上网功能是被限制住的)。
5.9 如何只允许上某些网站;
答:进入【上网行为管理】→【网址过滤】配置。
添加规则:只访问白名单内的网址。
5.10 URL 重定向有什么用;如何配置;能举个例子吗;有哪些可能的隐患;
答:URL 重定向的作用是浏览某个网址时,将它导向到另一个网址,配置如下:
进入【上网行为管理】→【URL 重定向】配置。
在配置完成后,使用浏览器访问淘宝网址自动跳转到百度网址。
说明:
对访问百度,淘宝等 https 加密的网站无效,不能跳转。 在使用 360 浏览器时使用 360 导航页面打开网页的跳转不生效。 必须是完整路径,不能模糊匹配,http://www.baidu.com/1.jpg 不能支持。 在某些环境里 (比如网吧) 有可能出现循环跳转,导致页面打不开。
5.11 如何提高无线带机量;如何适应高密度高并发的使用环境;
答:通过路由器上网行为管理或者固定流控的配置,控制内网用户的大流量使用和内网用户占用带宽,来增加内网的带机量以及适应高密度高并发的使用环境。配置如下:
进入【上网行为管理】→【一键管控】封杀大流量应用。
进入【QoS 流控】→【固定流控】限制内网用户的带宽使用。
虚拟专网篇
6.1 如何进行电信借线配置;可以让电信游戏自动走 VPN 借线吗;VPN 上需要开启 NAT 吗;有什么利弊;
答:电信借线实质是通过 VPN 模拟一条电信线路。有一个网吧只有联通线路,另一个网吧既有联通又有电信,拥有双线的路由器配置成 PPTP 服务器,只有联通线路的配置成 PPTP 客户端,通过 VPN 进行电信借线配置模拟一条电信线路。
第一步、PPTP 服务器的配置。
在 PPTP 服务器端点击添加按钮来添加 VPN 账号和密码。
第二步:在 PPTP 客户端配置电信借线。
说明:借线选项;只有联通线,需要借用电信线,就选择电信借线,从而模拟一条电信线路,多线模式应配置为智能选线,从而实现联通走联通,电信走模拟的电信线路。
智能选线:
根据运营商进行选路,实现电信走电信,联通走联通。在 PPTP 客户端配置电信借线,可以让电信游戏自动走 VPN 借线。除了 “其他借线模式” 外,其他借线模式默认都不开启 NAT,服务端需要配置静态路由,开启了 nat 模式后,则不再需要在服务器端设置静态回程路由,简化了配置过程,但在上一级 VPN 服务器看来,通过 NAT 的转换就只能当做一个终端来处理,不便于流控和行为管理,网吧用户不建议使用,企业用户可以考虑使用。不开启 NAT,还要求两个网吧的内网子网不能在同一个网段,否则静态回程路由无效,会导致借线端电信网站全部无法访问。
说明:VPN 借线功能开启需要使用智能选线。
6.2 如何进行联通借线配置;可以让联通游戏自动走 VPN 借线吗;VPN 上开启 NAT 的利弊?
答:有一所网吧只有电信线路,另一个网吧既有联通又有电信,通过 VPN 的进行联通借线配置,把拥有双线的路由器配置成 PPTP 服务器,只有电信线路的配置成 PPTP 客户端。
第一步、PPTP 服务器的配置。
在 PPTP 服务器。
第二步、在 PPTP 客户端配置电信借线。
说明:借线选项;只有电信线,需要借用联通线,就选择联通借线 VPN 功能开启需要使用智能选线。
智能选线:
根据运营商进行选路,实现电信走电信,联通走联通。在 PPTP 客户端配置电信借线,可以让电信游戏自动走 VPN 借线。除了 “其他借线模式” 外,其他借线模式默认都不开启 NAT,服务端需要配置静态路由,开启了 nat 模式后,则不再需要在服务器端设置静态回程路由,简化了配置过程,但在上一级 VPN 服务器看来,通过 NAT 的转换就只能当做一个终端来处理,不便于流控和行为管理,网吧用户不建议使用,企业用户可以考虑使用。
6.3 如何让分支机构的内网和总部的内网互通;
答:实现配置总部为 PPTP 服务器,分支机构为客户端,将联通路由器通过 VPN 连接起来使路由器互通。总部内网和分支机构的内网都是有网关的,建立 VPN 连接是不能内网网段相同的,必须建立静态路由,通过静态路由使分支机构的内网和总部的内网互通。
第一步;PPTP 服务器的配置。
在 PPTP 服务器点击添加按钮来添加 VPN 账号和密码。
在分支机构开启 PPTP 客户端:在客户端在填写在总部获取的账号,根据配置是否选择 NAT 模式,启用 NAT 模式保存即可完成配置。禁止 NAT 模式需要配置静态路由。
启用 NAT 模式:
进入【虚拟账号】——》【PPTP 客户端】配置。
禁用 NAT 模式通用模式情况下。
说明:其他借线默认开启 NAT 模式,当 VPN 服务器在国外时,一般可使用其他借线。
6.4 何种场景下使用其他借线;配置要点;
答:当您需要获取国外服务器的资源,可通过其他借线进行连接,配置如下;
进入【虚拟专网】——》【PPTP 客户端】:
注意:多线模式建议配置智能选线。
建议开启进入【网络设置】——》【DNS】——》【DNS 代理】配置 DNS 强制代理(勾上即可)。
6.5 高恪官方设备自建 SDWAN 配置方法;
自建 SD-WAN,又名 SD-WAN 自组网,顾名思义就是不依赖任何第三方(包括高恪云管)。路由器之间直接建立 SD-WAN,已经在大部分官方设备中开放。
本手册做简单的配置说明。
目前可创建的机型有:SX1000 SX2000 RE306 RE300G RE500G RE1000G RE2000T RE3000T NX300T 【RE80G RE209GP 支持带 2 个分支节点】。
可加入的机型有:RE50G RE100G RE150G RE105G RH30GP RH80GP RX1802GW。
说明:
创建组网的设备,承担的是中心节点服务器的角色。通常放在总部。
加入组网的设备,承担的是分支节点的角色。通常放在分支机构。
6.6 SDWAN-L2 二层组网是什么?怎么设置?
那么 SDWAN-L2 二层自组网是啥?
简而言之,二层自组网相当于是把两个多或者多个局域网的二层交换机用一个网线连接起来。假如有两个局域网 A 和 B 通过二层组网,那么 A 局域网的广播包能传播到 B 局域网,B 局域网的广播包也能传播到 A 局域网,所以 ARP、DHCP、高恪 AC-AP 之间的交互广播包都能相互传播,其效果等同于同一个局域网。
为了帮助大家理解,这里举个例子:假如 A 局域网没有 DHCP 服务器,而 B 局域网开启了 DHCP 服务器,那么 A 局域网里的终端可以从 B 局域网的 DHCP 服务器获取地址,从而通过 B 局域网的网关上网。这个在三层组网是不可实现的。
二层自组网有哪些要求?
网关必须使用高恪软路由收费版或者高恪硬件路由,比如软路由 SX1000,文网专版 SX2000,高恪硬件路由 RE306G,RE500G,RE2000T 等,这些较为高端的型号既可以支持创建组网,也可以加入组网。还有部分型号比如 WiFi6 路由等,只支持加入组网。当您使用软路由收费版时,必须处于授权状态,未授权状态二层组网不可用。 原则上要求创建组网的高恪路由有公网 IP,固定公网 IP 最佳,动态公网 IP 也可。当没有公网 IP 时,可以填入代理路由的序列号和 token, 但此路由的代理权限必须在云管增值服务里开启,且做代理的路由要求有公网 IP,云管增值服务器给某个路由开启二层组网的代理权限会有较高的费用,您可以看需要而定。 你要确保参与路由的局域网没有 IP 重叠,没有网关冲突,否则可能会导致断网。再强调下,注意局域网之间有相同网段时,要特别注意终端 IP 不要重叠,网关 IP 不要相同。
二层自组网如何设置?
有公网 IP 的路由,且有创建组网的权限的路由创建组网,作为主节点选择内网接口即可,有公网 IP 的,代理选项忽略不填,提交后请记下此路由序列号以及 token。
如果主节点的路由没有公网 IP,那么需要设置代理选项,后面会补充说明。
提交后会出现主节点的序列号以及 token, 分支节点在加入组网时需要用到这两个参数。
到这里主节点就设置好了。作为分支节点的路由,加入组网。
填入步骤 1 里已记下的主节点的序列号和 token。
点击确定,提交后会看到相应界面。
到这里,分支节点的设置就结束了。如果还有第三台路由或者更多路由需要加入组网,重复步骤 2。
至此,主节点有公网 IP 的组网,完成。
6.7 二层自组网 FAQ 问答;
代理节点是什么鬼?
如果所有节点都没有公网 IP,动态公网也没有,那咋办?额外找一个有公网 IP 的代理节点来协助中转。
首先要强调的是:
代理节点不参与组网,只是协助转发。
代理节点可以为多个组网提供转发,也就是说多个组网可以复用,如果你购买的是多组网的权限。
代理节点应该为一个高恪路由,具备开通代理的能力。
代理节点应具备公网 IP 或者动态公网 IP。
代理节点的权限在高恪云管增值服务开通,注意,有较高的费用。
云管增值服务开通后,进入充当代理节点的高恪路由,进入虚拟专网–》SDWAN-L2 自组网界面,会看到设为代理高亮可用。
点击设为代理,界面会出现序列号和 token, 这两个参数主节点可以填入。
整个过程虽然比较简单,但云管开通时较为复杂,您可拨打 4006665691 获取技术支持。SDWAN-L2 二层自组网另外收费吗?
如果您有一个节点有公网 IP,无需为自组网支付额外的费用。
但如果您组网所有节点都无公网 IP,那么您需找一个代理节点,代理节点需要支付额外的费用。和三层自组网相比,有什么不同?
三层自组网要求各个异地局域网的网段不同,而二层组网没有这个要求。
三层自组网各个异地局域网之间都是独立的,三层包互通,而 ARP 等二层包不通,DHCP 等三层广播包也不通。
二层自组网各个异地局域网之间不是独立的,ARP 等二层包都是通的,三层的 UDP 广播包比如 DHCP 也是通的【2023.05.25 补充:新版本版本已特意禁止其互通】,三层包通不通取决于网段是否相同。二层自组网 UDP 广播包互通吗?
可以互通。二层自组网网段可以相同吗?
可以相同。但 IP 地址范围应错开。局域网的网关 IP 更不能相同。比如某局域网的 IP 范围:192.168.1.2-192.168.1.100,而另一个局域网的 IP 可以分配 192.168.101-192.168.1.254。假如 A 路由的局域网和 B 路由的局域网用二层自组网,A 没开高恪 AC,B 开了高恪 AC,会发生什么?
A 和 B 里面的高恪硬件 AP 会从服从 B 路由的 AC 管理。
如果 A 也开 AC 呢?那么会乱套,应该避免。假如 A 路由的局域网和 B 路由的局域网用二层自组网,A 的内网网段用 192.168.1.x,B 用的是 192.168.0.x,能相互 Ping 通吗?
ping 不通。如果 B 里面有终端配置了双重 IP,比如 192.168.0.22,同时又配置了 192.168.1.22,那么 A 里面的终端能和 B 的这个终端互通。某银行的专网的外线挖断了,没有备线,能用高恪二层自组网来临时恢复吗?
银行专网的专线有特定的 IP,指向特定的网关,
临时接个 4G 路由之类无法恢复,
必须在银行和局端之间拉一条备用线路或者虚拟线路,
此线路必须透明,也就是不改变原来的 IP 地址以及拓扑。
此时可以用高恪二层自组网来实现这条透明的备线。
银行 —- 高恪 4G 路由(或者一个高恪网关 + 4G CPE 或者高恪网关 + 5G CPE)—- 运营商 4G 或者运营商 5G—–高恪 4G 路由(或者高恪网关 + 4G CPE 或者高恪网关 + 5G CPE)—- 运营商专网局端。假如 A 路由的局域网和 B 路由的局域网用二层自组网,A 里面有个 NVR,能自动发现 B 里面的摄像头吗?
大概率是可以的。欢迎验证。假如 A 路由的局域网和 B 路由的局域网用二层自组网,A 里面的终端发出的组播包能传播到 B 吗?
不能。组播包屏蔽了。假如 A 路由的局域网和 B 路由的局域网用二层自组网,A 不开 DHCP 服务器,B 开了 DHCP 服务器,会发生什么?
A 里面的终端会获取到 B 的 DHCP 服务器分配的 IP 地址,网关也会指向 B 的网关,所有流量都会经过 B 上网。
但如果 A 里面的终端配置了固定 IP,用的 A 的网段,默认网关指向 A 的网关,那么这些终端仍可以通过 B 上网。
2023-05-25 强调下:正式发布的版本已屏蔽 DHCP 包互通。假如 A 路由的局域网和 B 路由的局域网用二层自组网,A 也开了 DHCP 服务器,B 也开了 DHCP 服务器,会发生什么?
A 和 B 里面的终端会随机从 A 或者 B 获取 IP,相当于同一个局域网有两个 DHCP 服务器,有两个网关,但只要能获取 IP,就能正常上网。
只是 A 里面的终端有可能 B 上网了,也有可能 B 里面的终端通过 A 上网,随机分配。这种情况应尽量避免。2023-05-25 强调下:最新版本已经隔离 DHCP。
认证管理篇
7.1 网吧 wifi 认证配置的简要步骤,要注意些什么;
答:请先添加白名单,然后开启网吧 WIFI 认证即可,具体配置如下:
网吧 WIFI 认证是对所有内网终端生效的,因此在配置网吧认证前必须把网吧的客户机或者 PC 添加到白名单内。
首先进入【分组管理】——》【地址组】配置客户机 IP 组用于添加白名单。
然后进入【认证管理】——》【网吧 WIFI 认证】——》【白名单】配置客户机 IP 组白名单。
进入【认证管理】——》【网吧 WIFI 认证】开启网吧 WIFI 认证。
网吧 WIFI 认证开启,手机连接无线后需要验证码,通过网吧无线助手可以获取。
说明:
手机需要通过验证码认证才可以上网。
客户机下机或者关机后,无线助手自动退出。通过该无线助手验证码上网的手机会被踢出不能上网。
已经获取到验证码的客户端,在没退出之前无法再次获取。
7.2 PPPoE 服务器如何设置不拨号不让上网?如何禁止单号多拨;
答:登陆路由器 web 页面,进入【认证管理】→【PPPOE 服务器】配置。
网吧 WIFI 认证 2.0
网吧 WiFi 认证使用说明
网吧 WIFI 认证系统主要用于解决,网吧环境中只有网吧上网的人才能用网吧的无线。
上网的人在电脑桌面上点击【网吧无线助手】,会弹出对话框,点击【获取密码】,将会显示一个 6 位的数字密码。手机连接网吧的无线热点,会弹出认证框,填入刚货得的 6 位数字密码,手机即可通过顺利上网。
当上网的人下机后,其手机会被马上禁止上网。也就是只有在网吧付费用客户机上网的人,才能使用网吧无线。
本系统已同时支持旁挂网路中使用。具体使用方式请详读!
注意事项:
A、手机必须通过验证码认证才可以上网吗?
答:是的,必须通过网吧 wifi 助手获取验证码才可上网。
B、客户机下机或者关机后,无线助手自动退出。通过该无线助手验证码上网的手机会被踢出不能上网吗?
答:是的,用户下机,手机会马上禁止联网。
C、已经获取到验证码的客户端,在没退出之前可以再次获取吗?
答:每台电脑只能获取一个验证码给一部手机进行验证。
D、网吧无线助手获取验证码失败,提示 “通讯异常,请检查您的网络” 怎么办?
答:
1、排查客户机与认证服务器连通性;
2、排查‘authipconf.ini’文件中配置的认证服务端 IP 是否正确;
3、从电脑通知栏关闭网吧无线助手程序,重新获取验证码。
E、根目录 authipconf.ini 文件中保存的认证服务端地址,旁挂环境必须使用该文件指引服务器,其它环境可以不需要该文件。
F、旁挂环境中,旁挂路由可以开启 DHCP 服务吗?
答:不可以。旁挂路由开启 DHCP 会与主路由 DHCP 服务器冲突,获取到旁挂路由的终端将无法连通外网。
G、请问‘authipconf.ini’文件可以和网吧无线助手.exe 在不同目录下吗?
答:不可以,‘authipconf.ini’文件必须与网吧无线助手.exe 放在同一个目录,否则将无法通过‘authipconf.ini’文件指引到认证服务器获取验证码。
H、网吧无线助手对目录命名有什么要求吗?
答:文件目录与保存路径,均为英文,请勿使用中文命名。
AP 管理篇
高恪 AP 应属于瘦 AP。
一、胖 AP
胖 AP 普遍应用于 SOHO 家庭网络或小型无线局域网,有线网络入户后,可以部署胖 AP 进行室内覆盖,室内无线终端可以通过胖 AP 访问 INTERNET。
胖 AP 具有以下特点:
1.需要每台 AP 单独进行配置,无法进行集中配置,管理和维护比较复杂;
2.支持二层漫游;
3.不支持信道自动调整和发射功率自动调整;
4.集安全、认证、等功能于一体,支持能力较弱,扩展能力不强;
5.对于漫游切换的时候存在很大的时延。
胖 AP 的应用场合仅限于 SOHO 或小型无线网络,小规模无线部署时胖 AP 是不错的选择,但是对于大规模无线部署,如大型企业网无线应用、行业无线应用以及运营级无线网络,胖 AP 则无法支撑如此大规模部署。
二、瘦 AP
学名:集中式无线交换机(瘦 AP 是指需要无线控制器进行管理、调试和控制的 AP。)
胖 AP 与瘦 AP 的区别:
1.有些生产商用瘦 AP 代表只有少数先进功能的入门级 / 住宅级别产品。与之相对,胖 ap 拥有很多企业网络功能,如标识和基于 SNMP 管理等。
2.有些生产商使用瘦 AP 代表自身不能单独配置或者使用的 AP 产品,这种产品仅仅是一个 WLAN 交换系统的一部分,负责管理安装和操作。在这种情况下,胖 ap 就是任意的独立 AP,无论这个 AP 的功能集是什么样的。
3.有些生产商则使用瘦 AP 代表那些将一些选定的任务交托给上层服务器的产品,这些任务例如与一个 802.1X 认证服务器通信,产生一个加密密钥,作为一个 VPN 的网关,或者针对跨网络移动性进行重新路由,这些功能都可以由一个胖 ap 执行,而不需要交托给上层的服务器。
高级设置篇
如何设置外网接口的协商模式?
进入【高级设置】——》【接口模式】配置协商模式。
如何调整 WAN 口和 LAN 口数目?如何生成多个独立的 LAN 口?
可配置 WAN 口数目及调试 LAN 口弹性端口,获取所需 WAN 口和 LAN 口数目,LAN 口可配置多个独立端口。 先在概览中查看接口数目。 进入【高级设置】——》【弹性端口】——》【设置 WAN 口数目】配置 WAN 口数目,配置后概览中接口会产生相应 WAN 口。 进入【高级设置】——》【弹性端口】——》【设置 LAN 口数目】配置,配置后概览中接口会产生相应 LAN 口。
我只要 2 个 WAN 口,其余 LAN 口当做一个交换机用?怎么弄?
进入【高级设置】—》【弹性端口】—》【设置 WAN 口数目】配置。 进入【高级设置】—》【弹性端口】—》【设置 LAN 口数目】配置 LAN 口当做一个交换机。 说明:完成配置后,lan 口可当交换机使用,lan 口下的终端可互通。
我要 2 个独立的 LAN 口,每个 LAN 口都独立配置 IP 地址,怎么弄?
配置 WAN 口数目后,通过【弹性端口】配置独立的 LAN 口,在内网配置中给独立的 LAN 口配置 IP,如 5 个口可配置为 3WAN 口 + 2LAN 口,6 个口可配置为 4WAN 口 + 2LAN 口。 进入【高级设置】—》【弹性端口】—》【设置 WAN 口数目】配置 wan 口数目。 进入【高级设置】—》【弹性端口】—》【设置 LAN 口数目】配置 LAN 口为独立 lan 口。 配置完成后,进入【常用设置】—》【内网配置】为每个 LAN 口独立配置 IP 地址。 说明:完成配置后,lan 口可当独立 lan 口使用,lan 口下的终端是隔离的。
接口权重有什么用?在哪些场景下会体现出来?
接口权重默认根据线路带宽确定。在多线智能选线模式下,会优先从同一运营商线路中选择权重最大的线路参与智能选线;当一条应用分流规则中有多条线路参与分流时,会根据权重分配流量比例;当一条策略路由规则中有多条线参与时,也会根据权重分配流量比例。
系统管理篇
如何定时自动升级版本?
通过配置【定时任务】实现路由器自动定时升级版本,进入【系统管理】—》【定时任务】配置即可。
升级时可以延时重启吗?如何先上传固件,然后第二天指定时间再重启?
可以延时重启。配置延时重启是为避免升级固件时路由器立刻重启导致断网,进入【系统管理】—》【固件升级】—》【本地升级】配置延时即可,配置完成后出现相应提示表示成功。
如何立即在线升级版本?到底选择那种方式来升级?
进入【系统管理】—》【固件升级】—》【在线升级】检测新固件升级即可。升级不成功或使用测试固件时,进入【系统管理】—》【固件升级】—》【本地升级】上传相应固件。
如何定时自动升级特征库?
进入【系统管理】—》【定时任务】配置自动升级特征库,根据需求选择自动更新频率和更新时间,完成配置保存即可。
如何定时自动升级运营商路由表?
进入【系统管理】—》【定时任务】—》【运营商路由表更新】配置自动更新运营商的路由表。
如何立即在线升级特征库?
进入【系统管理】—》【特征库管理】检测新的特征库立即在线升级。
配置如何导入导出?可以导入到其他型号路由上吗?
进入【系统管理】—》【配置导入导出】,点击导出即可,导出的配置用于路由器配置备份。相同型号的路由器可使用导出的配置文件导入,建议只使用该路由器导出的配置文件导入。
外网延时波动,掉包怎么办?怎么分析外网线路质量
通过路由器【长 ping】功能判断外网线路质量。发现问题后,可将网络游戏分流到稳定、无延时波动的外网线路,解决游戏延时大、不能登陆等问题,具体方法如下:
进入【系统管理】—》【长 ping】配置线路检测任务。 添加规则。 查看测试结果。 进入【多线设置】—》【多线策略】—》【应用分流】将游戏分流到稳定的外网线路。
同一个网吧装软路由可以多次试用吗?
不可以多次试用,试用期内可正常使用所有功能,试用期过后未充点的路由器将关闭流控等功能,仅维持基本上网功能。
异地组网篇
异地组网步骤
打开浏览器,登录高恪云端,无账号需注册。 选择左边菜单 “异地组网”,在弹出界面点击 “新建网络”。 创建网络,在左侧备选框选择需要组网的设备,点击添加,选择好后点击下一步。 填写网络名称(必填),选择网络类型(星型组网、对等组网),星型组网适用于分部访问总部,对等组网适用于所有部分互联互通。 点击下一步,检查默认 IP 是否与组网路由同网段,是则修改为其他不重复网段。 继续点击下一步。 新建组网成功,点击下方 “查看网络列表” 进行费用结算。 按提示操作,每台设备算一个节点,星型组网中心节点是公网 IP 选 2M 套餐,非公网 IP 按需求选择;对等组网所有节点是公网 IP 选 2M 套餐,非公网 IP 按需求选择。 如需增加更多设备,按相应提示操作。
只允许组网设备内网互访不允许访问公网的特殊场景配置方法
打开左边菜单,分组管理 —IP 组,建立相应 IP 组。 建立本地 IP 组。 建立组网远端 IP 组。 打开左边菜单,行为管理 — 防火墙规则,配置两条防火墙规则(允许在前,禁止在后)。 建立允许规则。 建立拒绝规则。 高恪异地组网优势:私有协议,安全稳定,无封杀问题,费用低廉,不破坏原有网络构建,随用随组。
阿里云 DDNS(DNSpod 的配置方法)
登录阿里云或 DNSpod 注册账号,申请域名,阿里云 DDNS 地址https://www.aliyun.com/,DNSpod 地址https://www.dnspod.cn/。 以阿里云 DDNS 为例 登录阿里云,点击右上角账号头像,在弹出菜单点击 Accesskey 管理。 选择继续使用 AccessKey。 点击创建 AccessKey,按提示发送手机验证码操作,创建成功后获取 Access Key ID 和 Access Key Secret 并保存。 登录路由器,选择左侧菜单栏 “网络设置→动态域名→阿里云动态域名”。 进行配置,填入在阿里云申请的域名、子域名、Access Key ID、Access Key Secret,选择动态 IP 地址来源和网络接口,设置检查时间,配置完成后点击保存 & 应用。 保存后返回页面,查看状态,显示无需更新且有 IP 即配置成功。 动态域名使用:在端口映射页面配置,使用动态域名 + 端口号进行异地访问,启用端口回流可在路由下的内网中进行域名访问。 新注册域名无法创建错误处理:登录阿里云(或 DNSpod),进入域名管理、域名解析,手动配置一次 A 记录(与路由器同步,IP 随便填写),确定保存。 DNSPod 配置方式类似,创建后操作举一反三。
高恪路由中链路聚合的应用
链路聚合概念
将多个物理端口汇聚成一个逻辑端口,实现流量在各成员端口负荷分担,检测到链路故障时切换端口,增加带宽、实现弹性和冗余。 策略及特点
轮询均衡策略:负载均衡,增加带宽,支持容错,交换机需配置聚合口,可能出现数据包无序到达问题。 主备策略:主备模式,只有一个接口活动,提供容错能力,资源利用率低。 根据 hash 的均衡策略:基于指定传输 HASH 策略传输数据包。 广播策略:所有包从所有接口发出,有冗余机制但浪费资源,需和交换机聚合强制不协商方式配合。 IEEE802.3ad 动态链接聚合:创建聚合组,基于传输 hash 策略实现负载均衡,支持 802.1Q trunk 模式。 自适应发送负载平衡:无需交换机支持,根据负载分配外出流量,交换机可见多个网卡 MAC。 自适应负载平衡:包含自适应发送负载平衡,加接收负载均衡,无需交换机支持。 高恪路由中链路聚合的使用
环境拓扑。 注意事项:路由系统固件 4.9.0.20542 以上版本支持;交换机全系列网管交换机支持;配置前需配置好 lan 口数量;为 LAN 口扩展使用,配置在【网路设置】=》【内网设置】=》【内网口设置】;支持机型有 SX1000 等。 具体配置:配置 lan 口数量,进入内网口设置,将链路模式设为链路聚合,选择聚合策略并配置参数,点击提交保存。 链路聚合模式与对应交换机端配置
:轮询策略、哈希均衡策略、广播策略需交换机配置强制链路聚合;主备策略、动态链路聚合等交换机无需特别配置。 高恪硬件链路聚合支持情况
:路由支持型号有 SX1000 等,交换机支持全系列网管交换机。
双机热备使用说明
问题背景
:同一网段主机设置相同缺省路由,网关故障时主机无法与外部通信,VRRP 协议可解决此问题。 VRRP 备份组特点
虚拟路由器有虚拟 IP 地址,主机将其设为缺省路由下一跳。 主机通过虚拟路由器与外部通信。 备份组内路由器按优先级选举 Master 路由器承担网关功能,Master 故障时 Backup 取代。 高恪产品配置双机热备(VRRP)
第一步:设置路由 A 的 lan 口地址为 192.168.1.2,路由 B 的 lan 口地址为 192.168.1.3。 第二步:配置热备规则,虚拟网关地址为 192.168.1.1,启用双机热备总开关,新建规则并配置相关参数(启用规则、名称、虚拟路由 ID、优先级等),注意虚拟 IP、虚拟路由 ID 需相同,优先级需不同。 第三步:测试热备效果,主路由故障时,备份路由自动激活为主路由。