安腾eFlow PnPGW Web管理用户手册

安腾eFlow Hotel & Hotspot PnP Gateway Web管理用户手册

图3-9

当启用DHCP服务时，需指定IP地址租用期（单位为分钟，默认60分钟）和首选/备用域名服务器。原则上要使用当地上级运营商提供的可靠的DNS，特别是首选DNS。如果DNS不可靠，将会造成户上网困难，出现包括页面打不开、上网速度慢等现象。

DHCP地址池配置表格列出当前的DHCP地址池配置， 上图是快速配置生成的DHCP地址池配置，快速配置中指定了Public LAN端口IP地址为172.31.13.1，则自动生成从172.31.13.2开始的一段DHCP地址池。

3.2.6 RADIUS配置

点击服务配置的RADIUS配置菜单，显示RADIUS CLIENT管理配置界面如下：

图3-10

当需要和外部RADIUS服务器配合为用户认证、计费时，则需要填写全首选认证/计费服务器的IP地址、通信密钥、UDPPnPGW同时支持备用RADIUS切换，若配置并启用备份RADIUS服务器，当PnPGW与主RADIUS服务器通信失败时，就自端口以及超时重发参数。

动尝试切换到备用RADIUS服务器。另外，PnPGW支持复制计费功能，向主RADIUS服务器发出的计费包可以同时复制一份发送到指定的复制计费RADIUS服务器，特别适用于要求计费信息备份/对帐的场合。

------------------------------------------------------------------------------------------------------------- 安腾世纪通信技术有限责任公司 第 17 页 共 26 页

安腾eFlow Hotel & Hotspot PnP Gateway Web管理用户手册

3.3 高级配置

3.3.1 路由配置

点击高级配置的路由配置菜单，显示IP静态路由配置界面如下：

图3-11

上图例中，WAN口IP地址为192.168.0.254，默认网关为192.168.0.1，因此显示有一条静态IP由，即默认路由，目的地址和目的地址掩码都为0.0.0.0，默认下一跳为192.168.0.1。用户可以添加、删除静态IP路由信息。同时系统会显示当前IP路由表信息。

3.3.2 NAT配置

点击高级配置的NAT配置菜单，显示NAT规则配置界面如下：

图3-12

上图例中WAN口IP地址为192.168.0.254，Public/Private LAN口的子网分别为172.31.13.0/24和172.31.14.0/24，前四条规则为快速配置生成的四条map类型的NAT规则，对两个LAN子网启用NAT，使得这两个子网内的用户可以访问外部网络，其中NAPT表示端口映射，对TCP/UDP报文头部的源TCP/UDP的端口信息进行转换映射，而非NAPT的规则不对TCP/UDP的端口信息进行转换。

相对于MAP类型的NAT规则是对IP报文的源地址信息进行转换，rdr规则（即Redirection）是对IP报文的目的地址信息进行转换。Rdr规则的最常见的作用是使得外部网络用户能否访问位于PnPGW的Public/Private LAN中的某一主机提供------------------------------------------------------------------------------------------------------------- 安腾世纪通信技术有限责任公司 第 18 页 共 26 页

安腾eFlow Hotel & Hotspot PnP Gateway Web管理用户手册

的服务。上例中第五条规则，位于LAN中的172.31.14.107开启了SSH服务（TCP端口号22），该规则似的外部用户访问192.168.0.254的22端口被转向到内部172.31.14.107主机，似的外部用户可以访问内部主机的SSH服务。

注意当WAN端口启用PPPoE拨号时候，添加NAT规则时候应选取WANppp0，而不是选择WAN。当PPPoE拨号成功后，会自动使用新获得IP地址来调整WANppp0上的NAT规则，包括map和rdr规则。

配置过程需要注意，NAT使用的子网地址要严格表达为a.b.c.d/m形式，即“IP地址/掩码位数“形式。单独的IP地址要表达为“IP地址/32”，比如上例中172.31.14.107要表达为172.31.14.107/32。

3.3.3 ACL配置

点击高级配置的ACL配置菜单，显示ACL规则配置界面如下：

图3-13

上图例为快速配置自动生成的ACL规则，在Public LAN端口的入流量中，过滤目的TCP端口为135、139、445和500的TCP报文，这些类型的报文通常只应用在局域网中，过滤这些类型的报文还可以防止Blaster蠕虫病毒，提高网络安全程度。另外，在Public LAN端口的入流量中过滤所有的目的地址不为Public LAN端口IP地址的ICMP报文，某些蠕虫病毒应用ICMP ECHO（即ping）来探测可能的被传播者。不对Public LAN的用户提供ICMP报文转发服务，也能一定程度上提高网络全。

每条过滤过滤必须指定行为（阻塞或者通过）、端口、方向（入流量或者出流量）、协议，若协议为TCP/UDP还可指定源/目的端口。同NAT规则一样，源/目的子网也表达为a.b.c.d/m形式，当不填写的时候则默认为any，或者0.0.0.0/0。PnPGW自上而下搜索匹配的过滤过滤，当规则匹配时，有两种选择，一种是马上从搜索循环中返回，另一种为继续向下搜索其它可能的匹配。一般来说，对于确定要阻塞的流量类型，都选取“返回”，可以提高系统包转发效率。

3.3.4 ARP管理

点击高级配置的ARP管理菜单，显示ARP表管理界面如下：

------------------------------------------------------------------------------------------------------------- 安腾世纪通信技术有限责任公司 第 19 页 共 26 页

安腾eFlow Hotel & Hotspot PnP Gateway Web管理用户手册

图3-14

上方的表格为当前的静态ARP配置，绑定了172.31.14.107的MAC地址为780617380489。静态ARP表项不同于动态ARP表项，动态ARP表项在一段时间不活动时会被超时删除，而静态ARP表项则固定不变，除非取消绑定，或者手工删除。静态ARP绑定功能主要用于绑定较重要主机的ARP信息，防止这些主机的IP地址被恶意或者无意用户占用造成ARP表被篡改，进而影响该主机与PnPGW之间的正常通信。注意绑定静态ARP时填写的MAC地址格式为连续12位16进制字符。

下方表格显示当前的ARP表信息，标志为C05的即为静态ARP表项，405的则为动态ARP表项。在该表格上方，还提供了删除ARP信息的功能，可以删除指定IP地址的动态/静态ARP信息。

3.3.5 PROXY ARP

点击高级配置的PROXY ARP菜单，显示PROXY ARP配置界面如下：

图3-15

上图例中，PnPGW代理了192.168.0.240/28子网段的ARP应答。PnPGW所代理的ARP应答子网范围必须落在本地子网所PnPGW的PROXY ARP通常应用在如下三种情况：

1. 配合NAT转换，比如WAN口地址192.168.0.1/255.255.255.0，map转换目的IP地址不是192.168.0.1，而是同子

网的其它IP地址，比如192.168.0.240/255.255.255.248，那么建议配置该子网段的代理ARP，使得上端路由即使不配192.168.0.240/255.255.255.248子网段的静态路由也能将目的地址为192.168.0.240/255.255.255.248的IP报文准确地转发给PnPGW的WAN端口；

2. 配合PnPGW的公网地址池为用户做静态NAT规则，而公网地址池与WAN端口同子网段，见3.3.6节描述

3. 位于Public或Private LAN的用户虽然处于同子网，但是用户间被VLAN或者物理端口隔离，而这些用户之间又需

要通信，那么可以PnPGW可以代理Public或Private LAN的ARP应答，使得这些用户可以再通过PnPGW进行IP报

------------------------------------------------------------------------------------------------------------- 安腾世纪通信技术有限责任公司 第 20 页 共 26 页 属的子网范围内，即不能代理不包含在WAN、Public/Private LAN三段子网内的IP地址的ARP应答。