HiPER系統(tǒng)管理與狀態(tài)

1、 HiPERHiPER系統(tǒng)管理與狀態(tài)系統(tǒng)管理與狀態(tài) （基于（基于ReOS v10ReOS v10版本）版本）系統(tǒng)管理系統(tǒng)管理系統(tǒng)管理系統(tǒng)管理系統(tǒng)管理系統(tǒng)管理系統(tǒng)管理菜單：系統(tǒng)管理菜單：管理員配置管理員配置Default賬號，系統(tǒng)默認(rèn)，系統(tǒng)管理權(quán)限最多能創(chuàng)建6個管理員帳號 只有系統(tǒng)管理權(quán)限的賬號允許telnet權(quán)限 包括Default在內(nèi)，同時最多允許3個telnet進(jìn)程 Web管理界面同時允許不同賬號登錄管理員配置管理員配置三種權(quán)限：瀏覽、執(zhí)行、系統(tǒng)管理 瀏覽權(quán)限只能查看頁面不能配置，但系統(tǒng)狀態(tài)系統(tǒng)狀態(tài)- -上網(wǎng)監(jiān)控上網(wǎng)監(jiān)控頁面不允許瀏覽 執(zhí)行權(quán)限可查看和修改各頁面的配置，但系統(tǒng)管理系統(tǒng)管理-

2、 -管理員配置、系統(tǒng)狀態(tài)管理員配置、系統(tǒng)狀態(tài)- -上上 網(wǎng)監(jiān)控網(wǎng)監(jiān)控頁面除外 系統(tǒng)管理權(quán)限可以任意查看和修改所有頁面的配置時鐘管理時鐘管理 建議時間設(shè)置方式中選用網(wǎng)絡(luò)時間同步功能，只有時區(qū)時區(qū)和時間服務(wù)器時間服務(wù)器IP地址地址配 置正確，網(wǎng)絡(luò)時間同步功能才能正常運(yùn)行。 路由器沒有時間保存功能，斷電重啟后會恢復(fù)為出廠值 各種涉及到時間的功能（如 DDNS、行為管理等），只有當(dāng)系統(tǒng)時間正確時才能 正常工作軟件升級軟件升級 建議在負(fù)載比較輕（用戶比較少）的情況下升級設(shè)備，升級前先到 系統(tǒng)管理- 配置管理 備份系統(tǒng)當(dāng)前配置； 升級過程不能關(guān)閉設(shè)備電源，否則將會導(dǎo)致不可預(yù)期的錯誤甚至不可恢復(fù)的硬 件損壞

3、。 只有重啟路由器，新版本才生效配置管理配置管理 建議導(dǎo)入配置前先保存配置。配置管理配置管理 建議執(zhí)行本操作之前，先備份當(dāng)前運(yùn)行配置；執(zhí)行本操作之后，重啟設(shè)備。遠(yuǎn)程管理遠(yuǎn)程管理 遠(yuǎn)程管理設(shè)備時，且必須用“ IP 地址：端口”的方式 （如:8081 ）登錄； 為安全起見，若非必要建議關(guān)閉設(shè)備的遠(yuǎn)程管理功能。開啟HTTP方式將自動啟用TELNET方式SNMP方式僅在網(wǎng)安系列（原UTT系列）支持WEBWEB服務(wù)器服務(wù)器 可修改從路由器內(nèi)網(wǎng)訪問路由器WebUI的登錄端口，默認(rèn)為80端口 如修改為81端口，訪問方式為：http:/路由器LAN口IP地址:81重啟設(shè)備重啟

4、設(shè)備 重啟設(shè)備時，將會出現(xiàn)短時間的斷網(wǎng)，請慎用該功能。系統(tǒng)狀態(tài)系統(tǒng)狀態(tài)系統(tǒng)狀態(tài)系統(tǒng)狀態(tài)系統(tǒng)狀態(tài)系統(tǒng)狀態(tài)系統(tǒng)狀態(tài)菜單：系統(tǒng)狀態(tài)菜單： 系統(tǒng)狀態(tài)里面記載了設(shè)備中運(yùn)行的大量狀態(tài)信息，通過查看、分析這些運(yùn)行信息，對于管理員分析系統(tǒng)的狀況、監(jiān)視設(shè)備的活動來說，是一個相當(dāng)重要的部分。系統(tǒng)信息系統(tǒng)信息系統(tǒng)信息頁面可以查看到除系統(tǒng)運(yùn)行時間，資源狀態(tài)之外，還有新增加的端口的狀態(tài)及速率（由之前的端口統(tǒng)計頁面而來）和流量動態(tài)顯示圖隨著不同型號路由器的實際端口數(shù)量而變化流量動態(tài)顯示圖系統(tǒng)信息系統(tǒng)信息需要安裝插件，動態(tài)流量圖方能正常顯示。NATNAT統(tǒng)計統(tǒng)計設(shè)備的防攻擊功能會限制用戶NAT會話的總數(shù)量，當(dāng)某用戶NAT請

5、求超過最大 NAT Session數(shù)時，超過的連接將會被丟棄，并在“超限次數(shù)”中增加記錄；從Internet下載數(shù)據(jù)包最多的用戶：即上表中“下載數(shù)據(jù)包”數(shù)值最大的用戶；向Internet上傳數(shù)據(jù)包最多的用戶：即上表中“上傳數(shù)據(jù)包”數(shù)值最大的用戶；查詢目前上網(wǎng)最活躍的用戶：“當(dāng)前連接數(shù)”數(shù)值最大的用戶；使用端口掃描軟件的用戶：“超限次數(shù)”大于100，或是“上傳數(shù)據(jù)包”數(shù)量遠(yuǎn) 遠(yuǎn)大于“下載數(shù)據(jù)包”數(shù)量；可能使用DoS/DDoS攻擊設(shè)備的用戶：“上傳數(shù)據(jù)包”數(shù)量很大，“下載數(shù)據(jù)包” 數(shù)量很小或者沒有。 DHCPDHCP統(tǒng)計統(tǒng)計地址池使用信息可配置DHCP綁定通過“DHCP地址池使用信息”列表，可以查

6、看各地址池的使用信息，包括：已分配的IP地址，與當(dāng)前IP地址對應(yīng)的MAC地址、剩余租期、綁定地址池名稱等。DHCPDHCP統(tǒng)計統(tǒng)計服務(wù)器統(tǒng)計信息通過“DHCP服務(wù)器統(tǒng)計信息”列表，可以查看DHCP服務(wù)器的統(tǒng)計信息，主要包括DHCP服務(wù)各個階段的數(shù)據(jù)包的統(tǒng)計信息，以及各接口DHCP地址池中的已分配的IP地址的數(shù)量。DHCPDHCP統(tǒng)計統(tǒng)計DHCP沖突信息通過“DHCP沖突信息”列表，可以查看DHCP服務(wù)器為客戶端分配地址時，檢測到的地址沖突的相關(guān)信息客戶端統(tǒng)計信息DHCPDHCP統(tǒng)計統(tǒng)計通過“DHCP客戶端統(tǒng)計信息”列表，可以查看DHCP客戶端的統(tǒng)計信息，主要包括DHCP服務(wù)各個階段的數(shù)據(jù)包的統(tǒng)

7、計信息。 中繼統(tǒng)計信息DHCPDHCP統(tǒng)計統(tǒng)計通過“DHCP中繼統(tǒng)計信息”列表，可以查看DHCP中繼的統(tǒng)計信息，主要包括DHCP服務(wù)各個階段的數(shù)據(jù)包的統(tǒng)計信息。 接口統(tǒng)計接口統(tǒng)計設(shè)備正常運(yùn)行時應(yīng)該具備的特征，以下描述中，廣域網(wǎng)接口可能是一個或者多個（多線路接入）。 1. 廣域網(wǎng)接口接收的數(shù)據(jù)包與局域網(wǎng)接口發(fā)出的數(shù)據(jù)包的數(shù)量相近； 2. 廣域網(wǎng)接口發(fā)出的數(shù)據(jù)包與局域網(wǎng)接口接收的數(shù)據(jù)包的數(shù)量相近； 3. 廣域網(wǎng)接口接收的數(shù)據(jù)包與局域網(wǎng)接口發(fā)出的數(shù)據(jù)包的字節(jié)數(shù)相近； 4. 廣域網(wǎng)接口發(fā)出的數(shù)據(jù)包與局域網(wǎng)接口接收的數(shù)據(jù)包的字節(jié)數(shù)相近； 5. 整個網(wǎng)絡(luò)流量比較平衡，流量緩增緩減，不會出現(xiàn)瞬間流量突增的情

8、況。 路由信息路由信息路由器（網(wǎng)關(guān)）的主要工作就是為經(jīng)過路由器的每個數(shù)據(jù)包尋找一條最佳傳輸路徑，并將該數(shù)據(jù)有效地傳送到目的站點。由此可見，選擇最佳路徑的策略即路由算法是路由器的關(guān)鍵所在。為了完成這項工作，在路由器中保存著各種傳輸路徑的相關(guān)數(shù)據(jù)路由表，供路由選擇時使用。路由表可以是由系統(tǒng)管理員固定設(shè)置好的，也可以由系統(tǒng)動態(tài)修改，可以由路由器自動調(diào)整，也可以由主機(jī)控制。 上網(wǎng)監(jiān)控上網(wǎng)監(jiān)控在設(shè)備中，可以根據(jù)全部記錄、內(nèi)網(wǎng)地址、外網(wǎng)地址/域名、外網(wǎng)端口以及NAT地址/域名、各線路的“接口名稱”等條件查詢內(nèi)網(wǎng)用戶上網(wǎng)情況。當(dāng)內(nèi)網(wǎng)中有主機(jī)向外發(fā)出連接請求時，設(shè)備將會在NAT表中為該請求建立一條NAT會話（

9、NAT Session）的記錄，從而將該主機(jī)內(nèi)部的IP地址轉(zhuǎn)換為合法的IP地址進(jìn)行通信。這種由內(nèi)到外、或者由外向內(nèi)的連接就是一個NAT會話。參數(shù)設(shè)定上網(wǎng)監(jiān)控上網(wǎng)監(jiān)控查詢實例1：查詢局域網(wǎng)IP地址為/24的用戶當(dāng)前上網(wǎng)行為 上網(wǎng)監(jiān)控上網(wǎng)監(jiān)控查詢實例2：查詢局域網(wǎng)內(nèi)目前訪問的用戶 上網(wǎng)監(jiān)控上網(wǎng)監(jiān)控查詢實例3：查詢局域網(wǎng)內(nèi)目前使用QQ的用戶 上網(wǎng)監(jiān)控上網(wǎng)監(jiān)控查詢實例4：查詢局域網(wǎng)內(nèi)目前使用WAN1口IP地址上網(wǎng)的信息 日志管理日志管理日志管理配置日志管理日志管理系統(tǒng)日志信息日志管理日志管理日志管理案例MAC New 00:22:aa:00:22:bb */該用戶變化后的MAC

10、地址MAC Old 00:22:aa:00:22:aa */該用戶變化前的MAC地址ARP SPOOF 21 */連接到HiPER的IP地址為21的用戶的MAC地址發(fā)生變化 出現(xiàn)該消息的可能原因：1、某內(nèi)網(wǎng)設(shè)備安裝了雙網(wǎng)卡，并且使用了雙網(wǎng)卡捆綁軟件，將兩塊網(wǎng)卡綁定在同一個IP地址上以提高服務(wù)器的網(wǎng)絡(luò)吞吐能力，因為兩塊網(wǎng)卡的MAC地址不同，所以在路由器的歷史記錄里面可以看到多條該IP地址的MAC地址變化信息。（此情況無異常）2、某網(wǎng)絡(luò)設(shè)備更換了網(wǎng)卡（或者修改了MAC地址），在路由器的歷史記錄里面可以看到一條該IP地址的MAC地址變化信息。（此情況無異常）3、內(nèi)網(wǎng)ARP欺騙攻擊，在路由器的歷史記錄里面看到多條該IP地址的MAC地址變化信息。ARP欺騙攻擊的解決辦法：IP/MAC雙向綁定、PPPoE Server功能。網(wǎng)頁日志網(wǎng)頁日志通過訪問網(wǎng)頁日志，可查看