|
新版本FAQ:
流量管理:
流量管理包括四级固定带宽,每个固定带宽包括三个优先级。进行用户管理时,
可以根据用户组,服务类型,时间,通讯类型(如p2p(bt,电驴) ),等进行流量控制,控制策略数不限。
举例如下:
带宽级别1:512kbps
带宽级别2:512kbps
带宽级别3:512kbps
系统总贷款2000kbps,则每一级内的用户可以保证拥有512kbps的带宽,同时也被
限制在512kbps的最大带宽。
带宽级别1:2000kbps
带宽级别2:20000kbps
带宽级别3:20000kbps
系统总贷款2000kbps,则每一级内的用户可以保证拥有将近700kbps的带宽(根据比例得到),同时
在其他其他级别用户空闲时,他可以得到2000带宽。
默认级别的用户,只保证得到120kbps的带宽,空闲时可以得到系统的最大带宽。
每个带宽级别有3个优先级,只有在优先级高的数据传送完之后,才会传送优先级低的数据。
在多外网的设备上,每一个外网口的上行数据可以设置自己的带宽级别和优先级,
同时可以将特定的流量分配到特定的外网接口。
在外网接口的选择中还包括一个“本地转发”选项,可以将特定的包发往特定的设备进行处理。
单用户流量控制:
可以提供3个网段,每个网段中的用户的流量可以控制在一个特定的带宽,
与上面的流量管理不同,流量管理是用户共享一个固定带宽级别。
单用户流量控制可以与流量管理一起使用
ip映射方式:
当用户有多个外网ip时,可以将他们都绑定到wan口(在vlan设置中可以进行多ip的绑定,
需要注意的是,子网掩码的设置要与wan口的子网掩码一致,不要设成255.255.255.255),然后在IP映射中就可以将每一个ip映射到内网或DMZ的一台机器上。
http过滤, 阻止qq,msn :
在防火墙策略中,可以设置http的过滤规则, 包括域名过滤,文件后缀名过滤,非标准http请求
他只对从内网到外网的http请求有效。
其中非标准http请求可以过滤qq,msn等程序通过80端口上网.
比如qq: 首先过滤掉8000, 443等qq上网端口,再过滤掉非标准http请求,就可以阻止qq上网。
这里的域名过滤是第四层的过滤,与ip地址设置中的域名不相同,那里的域名如果用在
防火墙规则中,是第三层的过滤,可以与这里的域名过滤结合使用。
防攻击:
包括防止外网ddos攻击, 最大tcp,dup,icmp的连接数,
单用户的最大连接数, 常见攻击工具的防范等.
vpn客户端连接方式 :
在设备上选择vpn服务器, 对方子网选择“动态ip”,对方ip选择“虚拟网段客户端”
“本地子网”既是客户端软件的“对方子网”, 如果客户端软件希望能够访问vpn设备
上的网段资源,则在客户端软件上的对方子网上输入" * " ,设备上的本地子网
选择“虚拟网段客户端”。
连接成功之后:
1: 客户端希望访问设备上的lan,wan口的所有网段,在网络设备选项中选择“vpn用户虚拟为本机ip”。
2: 客户端希望访问设备上的其他vpn隧道网段,在网络设备选项中选择“支持vpn隧道转发”。
用户认证:
当前的用户认证主要支持HTTP用户认证,用户需要上网时要先在浏览器中完成认证(访问任意网站都会转向登录界面),默认情况下15分钟不上网会要求再次登录。用户必须先加入到用户组中,所有登录的用户都有其用户组号,可以对不同的用户组设置不同的访问策略和流量管理策略。
网络模式:
包括网关模式(默认),路由模式,透明模式,需要说明的是在透明模式时,
lan口,wan口的ip地址就不存在了,只存在一个网桥的ip地址。
即插即用:
即插即用功能是指在pc机上不需要做任何配置就能上网。
实现这个功能首先需要打开 lan口的arp-proxy,
在lan口的特殊功能中打开 LAN口允许任意IP登录。
此时用户的机器机器只要能上网,则不需要该IP和网关就可以通过设备上网。
有几个需要注意的地方:
1:最好将设备的lan口设置为一个小网段或不常用的网段。
2:启用代理DNS访问,可以避免用户的DNS设置不对造成的不能上网。
3: 增加代理服务器的设置避免使用不正确的代理服务器造成不能上网。
客户端软件上传问题:
将pc机的mtu值设为1400 。
ipsec:
phase1: 3des-md5-group5
phase2: 3des-md5-group5
|
|
