DoGate用戶使用手冊(cè)

DoGate用戶使用手冊(cè)目錄前言 2系統(tǒng) 2 系統(tǒng)狀態(tài) 2 流量狀態(tài) 3 時(shí)間 3 DNS 3網(wǎng)絡(luò)接口 4 接口配置 4 橋模式配置 5路由 5 靜態(tài)路由 5 策略路由 6用戶管理 6 用戶管理 6 RADIUS客戶端 7 地址對(duì)象 8 地址和用戶組對(duì)象 8服務(wù) 8 DHCP 8 PPPOE服務(wù)器 9 PPTP服務(wù)器 10上網(wǎng)行為管理 10 時(shí)間對(duì)象 10 數(shù)據(jù)流特征 11 行為策略管理 12 WEB內(nèi)容過濾 12 流控管理 13 MAC地址管理 13NAT 14 SNAT 14 DNAT 15VPN 15 PPTP客戶端 15 GRE隧道 16工具 17 Ping 17 Traceroute 17管理 18 系統(tǒng)參數(shù)設(shè)置 18 修改密碼 18 用戶管理 19 備份恢復(fù) 19前言在開始通過web方式接入DoGate之前，請(qǐng)參考《DoGate快速上手》文檔來安裝好DoGate系統(tǒng)，如果是通過LiveUSB或者LiveCD方式來運(yùn)行DoGate系統(tǒng)，則不需要安裝?？梢酝ㄟ^http或者h(yuǎn)ttps來接入web管理。系統(tǒng)系統(tǒng)狀態(tài)進(jìn)入系統(tǒng)后，首先看到的是系統(tǒng)的運(yùn)行狀態(tài)頁面，頁面下方有每個(gè)網(wǎng)絡(luò)接口的流量圖顯示，流量圖是用svg格式繪制的。對(duì)于Firefox用戶，可以直接看到這些圖形，對(duì)于IE用戶來說，需要下載adobe公司的svgviewer插件才能看到圖形。下圖用粉紅橢圓標(biāo)出的區(qū)域中，用戶可以點(diǎn)擊“這里”這個(gè)鏈接，去adobe公司下載svgviewer插件。在下載提示的下面，有一排按鈕，可以點(diǎn)擊這些按鈕來切換顯示不同接口的網(wǎng)絡(luò)流量。流量狀態(tài)點(diǎn)擊菜單“系統(tǒng)”=》“流量狀態(tài)”，可以看到流量狀態(tài)頁面，可以點(diǎn)擊列表最上面的“接收速率”，“接收包率”，“發(fā)送速率”，“發(fā)送包率”來進(jìn)行排序，缺省按照接收速率來排序。將顯示排列在前面20位的IP的流量狀態(tài)。可以點(diǎn)擊每行第一列的IP地址，則會(huì)顯示出IP流量圖。時(shí)間點(diǎn)擊菜單“系統(tǒng)”=》“時(shí)間”，進(jìn)入時(shí)間的顯示和設(shè)置界面，可以直接輸入時(shí)間來設(shè)置，也可以通過NTP（網(wǎng)絡(luò)時(shí)間協(xié)議）來自動(dòng)校準(zhǔn)時(shí)間。DNS點(diǎn)擊菜單“系統(tǒng)”=》“DNS”進(jìn)入系統(tǒng)的DNS設(shè)置界面，在這里可以輸入一個(gè)或者兩個(gè)IP地址作為系統(tǒng)的DNS。這個(gè)DNS與內(nèi)網(wǎng)機(jī)器所使用的DNS服務(wù)器無關(guān)，這個(gè)DNS僅供DoGate系統(tǒng)使用，用于某些需要進(jìn)行DNS解析的場合。如果用戶通過PPPOE/ADSL或者DHCP上網(wǎng)，并且在接口配置里面勾選了“接受分配的DNS”，那么這個(gè)DNS服務(wù)器地址將會(huì)被覆蓋，不起作用，起作用的將會(huì)是PPPOE服務(wù)器或DHCP服務(wù)器分配下來的DNS地址。網(wǎng)絡(luò)接口接口配置點(diǎn)擊菜單“網(wǎng)絡(luò)接口”=》“接口配置”，進(jìn)入接口配置頁面，點(diǎn)擊每個(gè)接口最右邊的“配置”按鈕，就進(jìn)入每個(gè)接口具體的配置頁面。用戶可以選擇該接口的三種接入接入方式：“Static”（也就是固定IP方式），“DHCP”，“PPPOE”（也就是ADSL方式）。對(duì)于DHCP和PPPOE方式，將會(huì)出現(xiàn)“接受分配的DNS”，“接受分配的網(wǎng)關(guān)地址”選項(xiàng)。如果該接口作為外網(wǎng)口來使用（也就是WAN口），一般情況下需要勾選上“從該接口出去的包自動(dòng)NAT”，如果是作為內(nèi)網(wǎng)口使用（也就是LAN口），則不能勾選“從該接口出去的包自動(dòng)NAT”。用戶可以視自己的管理需要，勾選或不勾選“允許ping”，“允許http管理”，“啟用DDNS”。例如，如果用戶在WAN口上沒有勾選“允許http管理”，那么就不能通過WAN來對(duì)DoGate系統(tǒng)進(jìn)行管理。對(duì)于DDNS，目前只支持3322動(dòng)態(tài)域名系統(tǒng)，其他DDNS服務(wù)商的支持會(huì)陸續(xù)增加。橋模式配置點(diǎn)擊菜單“網(wǎng)絡(luò)接口”=》“橋模式配置”，進(jìn)入橋模式配置界面。出現(xiàn)的是一個(gè)已經(jīng)配置好的橋接口列表，點(diǎn)擊右邊的“新建橋接”按鈕，可以新建一個(gè)橋接接口。橋接模式特別適合用于不方便改變網(wǎng)絡(luò)拓?fù)涞膱龊希瑧?yīng)用橋模式，被橋模式鏈接起來的接口兩端看起來是透明的，意識(shí)不到DoGate系統(tǒng)的存在，但是DoGate系統(tǒng)仍然可以對(duì)通過它的包進(jìn)行各種過濾控制或者portal控制。（portal管理機(jī)制見后面章節(jié)介紹）。路由靜態(tài)路由點(diǎn)擊菜單“路由”=》“靜態(tài)路由”，進(jìn)入靜態(tài)路由列表界面，在這個(gè)列表里面，可以修改每條路由的配置，點(diǎn)擊右下方“新建靜態(tài)路由”按鈕，可以新建一條靜態(tài)路由。目標(biāo)地址應(yīng)該填寫一個(gè)網(wǎng)段地址，如果是對(duì)于一個(gè)動(dòng)態(tài)的接口，比如PPPOE接口，可以選擇出去的端口，不用填寫網(wǎng)關(guān)地址，系統(tǒng)會(huì)自己確定。策略路由點(diǎn)擊菜單“路由”=》“策略路由”，進(jìn)入策略路由列表界面。點(diǎn)擊“新建策略路由”按鈕，可以新建一條策略路由。策略路由和傳統(tǒng)的路由也就是靜態(tài)路由比起來，確定一個(gè)包怎樣路由，不再是只根據(jù)目標(biāo)地址這一項(xiàng)，還可以加上進(jìn)入接口、源地址，來決定一個(gè)包怎樣進(jìn)行路由。用戶管理用戶管理點(diǎn)擊菜單“用戶管理”=》“用戶管理”，進(jìn)入用戶列表界面，這里可以看到系統(tǒng)中的所有用戶，并對(duì)用戶做修改和刪除。點(diǎn)擊“新建用戶對(duì)象”按鈕，可以新建一個(gè)用戶?？梢赃x擇這個(gè)用戶的用途，比如是否允許webportal接入，PPPOE接入，PPTP接入。Webportal方式，將在用戶初次通過DoGate的時(shí)候，向用戶呈現(xiàn)一個(gè)web頁面，要求用戶輸入用戶名和密碼，然后才允許用戶繼續(xù)使用網(wǎng)絡(luò)。DoGate可以提供PPPOE服務(wù)，客戶端可以配置PPPOE撥號(hào)，連接上DoGate系統(tǒng)來上網(wǎng)，就好象ADSL一樣，通過PPPOE撥號(hào)接入上網(wǎng)的一個(gè)有點(diǎn)是不受ARP攻擊的影響，應(yīng)PPPOE封包不是普通IP包，不存在ARP攻擊的可能。PPTP方式接入可以用作通常所說的“移動(dòng)客戶端”，用戶在出差或者在家，需要登錄到公司機(jī)器辦公，比較適合用這種方式。用戶的認(rèn)證方式可以是本地用戶，直接通過配置在DoGate上的密碼進(jìn)行認(rèn)證，也可以通過RADIUS服務(wù)器來認(rèn)證。RADIUS客戶端點(diǎn)擊菜單“用戶管理”=》“RADIUS客戶端”，進(jìn)入RADIUS客戶端列表界面。在這里可以添加、刪除、修改RADIUS客戶端信息。這里的RADIUS客戶端信息就可以用于用戶管理中的用戶認(rèn)證。地址對(duì)象點(diǎn)擊菜單“用戶管理”=》“地址對(duì)象”，進(jìn)入地址對(duì)象列表界面。在這里可以添加、刪除、修改地址對(duì)象。10都是可以的。地址和用戶組對(duì)象點(diǎn)擊菜單“用戶管理”=》“地址和用戶組對(duì)象”，進(jìn)入地址和用戶組列表頁面，在這里可以添加、刪除、修改用戶組。一個(gè)用戶組可以有多個(gè)組成員構(gòu)成，這個(gè)成員可以是地址對(duì)象，也可以是用戶對(duì)象。服務(wù)DHCP點(diǎn)擊菜單“服務(wù)”=》“DHCP”，進(jìn)入DHCP列表界面，在這里可以配置各個(gè)接口上是否啟用DHCP服務(wù)，點(diǎn)擊右邊的配置按鈕，可以進(jìn)行具體的配置。PPPOE服務(wù)器點(diǎn)擊菜單“服務(wù)”=》“PPPOE服務(wù)器”，進(jìn)入PPPOE服務(wù)器列表界面，在這里可以配置各接口上的PPPOE服務(wù)。點(diǎn)擊配置，可以進(jìn)行具體的配置。PPTP服務(wù)器點(diǎn)擊菜單“服務(wù)”=》“PPTP服務(wù)器”，進(jìn)入PPTP服務(wù)器設(shè)置界面。上網(wǎng)行為管理時(shí)間對(duì)象點(diǎn)擊菜單“上網(wǎng)行為管理”=》“時(shí)間對(duì)象”，進(jìn)入時(shí)間對(duì)象列表管理界面，時(shí)間對(duì)象分為兩種，一種叫重復(fù)性時(shí)間對(duì)象，這種時(shí)間與星期相關(guān)聯(lián)，一種叫一次性時(shí)間對(duì)象，這種時(shí)間對(duì)象有一個(gè)具體的開始時(shí)間和結(jié)束時(shí)間。下圖是重復(fù)性時(shí)間對(duì)象的修改界面。這是一次性時(shí)間對(duì)象的修改界面。數(shù)據(jù)流特征點(diǎn)擊菜單“上網(wǎng)行為管理”=》“數(shù)據(jù)流特征”，可以看到所有的數(shù)據(jù)流特征對(duì)象列表。數(shù)據(jù)流特征對(duì)象分為系統(tǒng)內(nèi)置對(duì)象和用戶自定義對(duì)象兩種。系統(tǒng)內(nèi)置對(duì)象不能修改，也不能刪除，用戶自定義對(duì)象可以修改、刪除、添加。點(diǎn)擊列表底部的“新建數(shù)據(jù)流特征”按鈕，可以新建數(shù)據(jù)流特征對(duì)象。在用戶自定義數(shù)據(jù)流特征里面，可以指定包匹配的協(xié)議、源端口、目的端口。行為策略管理點(diǎn)擊菜單“上網(wǎng)行為管理”=》“行為策略管理”，可以看到行為策略管理列表。可以對(duì)每項(xiàng)行為策略進(jìn)行修改和刪除。在這個(gè)頁面里面，源地址和目的地址從之前所定義的用戶對(duì)象、地址對(duì)象、用戶和地址組對(duì)象中選擇，時(shí)間從之前定義的時(shí)間對(duì)象中選擇，數(shù)據(jù)流特征從之前定義的數(shù)據(jù)流特征對(duì)象中選擇，動(dòng)作包含兩種操作，一種是DROP，表示丟棄該包，一種是ACCEPT，表示接受該包。行為規(guī)則之間是有順序關(guān)系的，包按照規(guī)則順序逐一進(jìn)行匹配。DoGate的行為策略管理是基于包狀態(tài)來做過濾的，也就是使用了連接跟蹤技術(shù)。因此，在設(shè)置規(guī)則的時(shí)候，只需要考慮包發(fā)起的那個(gè)方向就可以了。為了提高系統(tǒng)效率，對(duì)于每個(gè)連接，最多只檢查連接的前20個(gè)包，如果一個(gè)連接的前20個(gè)包都被允許通過，系統(tǒng)將放行這個(gè)連接的所有后續(xù)包。WEB內(nèi)容過濾點(diǎn)擊菜單“上網(wǎng)行為管理”=》“WEB內(nèi)容過濾”，進(jìn)入web內(nèi)容過濾規(guī)則列表，可以新建、刪除、修改這些規(guī)則。流控管理點(diǎn)擊菜單“上網(wǎng)行為管理”=》“流控管理”，進(jìn)入流控管理頁面?？梢孕陆?、刪除、添加流控規(guī)則。在上圖，設(shè)置財(cái)務(wù)部的接收帶寬為200KB/s，發(fā)送帶寬為100KB/s。值得注意的是，這里的語義是指財(cái)務(wù)部這個(gè)對(duì)象所包含的每臺(tái)電腦所能使用的最大接收帶寬為200KB/s，最大發(fā)送帶寬為100KB/s，并不是指財(cái)務(wù)部所使用的總帶寬。MAC地址管理點(diǎn)擊菜單“上網(wǎng)行為管理”=》“MAC地址綁定”，進(jìn)行MAC地址綁定配置。NATSNAT點(diǎn)擊菜單“NAT”=》“SNAT”，進(jìn)入SNAT管理界面，可以新建、修改、刪除SNAT規(guī)則。SNAT代表著SourceNetworkAddressTranslation，源地址轉(zhuǎn)換，意思就是說經(jīng)過這么一個(gè)規(guī)則，包經(jīng)過DoGate系統(tǒng)的后，他原來IP包中的源IP將會(huì)被轉(zhuǎn)換成指定的IP。一般所稱的NAT上網(wǎng)指的就是SNAT轉(zhuǎn)換。因?yàn)镮nternet的地址是有限的，這個(gè)地址一般只被上網(wǎng)設(shè)備DoGate所擁有，而內(nèi)網(wǎng)的電腦擁有的都是內(nèi)部IP，無法在公網(wǎng)使用的，這時(shí)候就需要使用到SNAT，將內(nèi)網(wǎng)機(jī)器發(fā)到公網(wǎng)的包的源地址都替換成DoGate所擁有的公網(wǎng)IP，這樣內(nèi)網(wǎng)機(jī)器才能正常訪問公網(wǎng)。DNAT點(diǎn)擊菜單“NAT”=》“DNAT”，進(jìn)入DNAT管理界面?？梢孕陆?、添加、刪除DNAT規(guī)則。DNAT代表著DestinationNetworkAddressTranslation，意思就是目的地址轉(zhuǎn)換。這種技術(shù)又被稱為VirtualAddress（虛擬地址）或者VirtualServer（虛擬服務(wù)器）。這種應(yīng)用的典型場合就是VPNPPTP客戶端點(diǎn)擊菜單“VPN”=》“PPTP客戶端”，進(jìn)入PPTP客戶端配置頁面?？梢赃M(jìn)行新建、刪除、修改操作?？梢杂肞PTP客戶端和w