srun2000

深澜宽带接入认证计费控制系统

使用手冊V1.51rc2 (2006-04)

http：//https://www.wendangku.net/doc/3d7444669.html,

版权所有：深澜软件

目录

封面 1 目录 2 前言前言 5 系统简介 5

基本操作 6

第一章基本设置7 系统时间7

接入模式7

接口设置8

VLAN管理9

服务设置9 第一章

第二章DHCP设置10 DHCP状态10

DHCP设置10

第三章防火墙设置12 管理IP设置12

防DDOS攻击12

病毒端口过滤13

自身保护设置13

接入规则设置20

TTL限制24

网站内容过滤25

最大连接数限制25

数据包频率限制25

p2p限制25

第四章网络管理26 带宽管理26

源地址转换28

目的地址转换30

IP-MAC绑定32

路由管理32

网络测试工具ping，traceroute 33

第五章认证计费33 认证参数设置33

认认证模式配置33

认证计费设置34

认证重定向设置35

免费ip设置36

共享代理限制36

客户端广告设置37

第六章认证计费管理37 实时消息广播38

用户消息发布38

认证计费组管理38

认证计费用户管理40

在线用户管理41

开通新用户42

批量生成用户42

用户续费43

续费历史记录44

用户销户44

时间流量统计44

结帐45

操作日志46

数据备份与恢复47

数据清理47

第七章WEB管理设置47 管理员设定47

修改密码48

第八章系统状态48 系统信息一览48

CPU使用状况49

网络负载49

接口状态50

网络连接状态50

活动ARP表51

路由表51

实时流量监控51

连接分析52

第九章其他相关54 备份与恢复54

授权注册55

系统升级55

硬件重启56

退出管理56

第十章客户端认证56 客户端软件57

认证流程60

WEB认证、自服系统60 61

第十一章控制台管理与SSH，TELNET管理及其他62 控制台管理62

SSH管理64

telnet管理65

其他几点说明66

前言

系统简介

深澜宽带接入认证计费控制系统是一款基于嵌入式linux的开发的软件，简称srun2000，是企事业宽带接入的综合解决方案，是网络信息中心必不可少的管理利器，是网管人员工作好帮手。

系统特点

■系统具有4个千兆以太网接口（外网口、内网口、DMZ、管理口）、支持桥接、路由、nat 地址转换等接入方式，支持集中式或分布式系统结构，可作为AC。

■支持多路由出口接入Internet，支持目标地址路由、策略路由，接入模式可以是网关方式，也可以是网桥模式，使用非常灵活。

■全面的包过滤和状态检测防火墙。系统采用防火墙级的安全内核，可以根据协议，源地址，目的地址，端口，tcp 选项等进行包过滤，支持tcp，udp，icmp等协议的状态检测，可阻挡目前各种流行的攻击方式。内核专有优化算法，突破传统包过滤状态防火墙用户认证效率，最高可支持同时在线人数65000。

■支持源地址（池）转换(SNAT俗称nat地址转化)、目的地址池转换(DNAT，也称地址映射)。目的端口转化（也称端口映射）。

■DDOS攻击防范，自身具备防止DDOS攻击的能力，会对攻击自身的ddos进行自我防范，保证系统自身安全。

■病毒防护，通过端口过滤和最大链接数限制可以有效的防止病毒泛滥导致网络效率下降，具备对未知网络蠕虫病毒的预先防范能力

■P2P（bt）控制，有效的p2p(bt)软件控制，保证网络畅通、快速。

■带宽控制，可以根据IP地址等分配用户网络上下行带宽，对于用户的FTP，BT，视频点播等暂用大量带宽的应用可以限制其最高速率。

■完善的计费功能，支持各种计费，支持包月或者按照时间，流量等多种计费方式，支持费用封顶，最低消费等，可以自定义公式进行计费；支持先交费后使用，同时也支持先使用后交费。

■智能代理监控，可以智能的判断用户使用代理的情况，对于大量用户使用同一帐号通过代理上网的行为，可智能查封、解除查封该类用户。

■内容智能过滤：

可以对网站地址，网页内容进行智能过滤，使您的企业摆脱可能陷入的法律纠纷。

■支持网内dhcp服务，并且支持多路dhcp分发

■支持WEB加速(PROXY透明代理服务器)

■支持全面的用户访问日志记录功能，监控网内用户上网行为，以备在需要的时候进行日志查询。支持任意长时间的日志记录，适合记录大量的日志。

■实时监控功能：

可以实时查看当前在线的用户，以及用户当前的动作等功能，可以查看系统状态如cpu，内存占用，资源占用，网络状态如：实时带宽显示、路由表、ARP表、用户连接数、连线状态等功能。

■用户认证功能：

同时支持web、客户端的认证，丰富用户认证习惯选择，对于不同的用户支持不同的认证方式。可以采取ip+mac+账号绑定，也支持免认证方式的计费等方式。

■用户管理功能：支持用户分组管理、具备有完备的用户管理功能。可以对需要认证的用户进行动态修改，销户，删除。并可实时断开用户的访问。支持大量用户的初始化，随机产生用户名，密码。用户及时状态显示等。

■分级式管理，对用户可设置多种管理级别，支持多管理员、多收费员。

■用户自助服务，支持用户web查询上网时间、流量、结帐、费用等上网相关数据。

■支持网页重定向功能，在用户尚未认证之前，可以把所有用户的网页访问请求重定向要指定的页面。也可定向企业自定义认证页面，支持上传页面。

■支持802。1q协议，使得它能轻松适应cisco、3com、bay等各种支持802。1Q协议的交换机，即使面对复杂的网络环境也能轻松管理。

■其他功能：ip-mac地址绑定功能，备份与恢复配置功能

基本操作

步骤1。首先将系统管理员的电脑和安装SRUN2000的服务器的内部网卡接到同一个HUB或Switch，再使用浏览器 ( IE、firefox或 Netscape等 ) 连结SRUN2000的服务器的内网卡的地址。默认情况下内网的ip地址为10.10.10.1

步骤2。开启浏览器（IE或Netscape）连结至 http：// 10.10.10.1:3080。连上控制器的WebUI，即可开始使用浏览器设定控制器的参数。

步骤3。浏览器会询问使用者名称及密码，输入管理员名称与密码。（如图S-1）默认用户名：admin

默认密码：admin

点击【确定】

如图所示：

如果输入正确，则进入了服务器的主管理界面，如图所示：

根据配置向导提示，可以很方便的进行基本配置。

第一章基本设置

时间设置

如图所示：

最上面的一栏显示的是当前系统的时间，在下面的【系统日期】和【系统时间】中输入当前要修改的时间即可，点击【确定】。

注意：系统日期的年份支持的范围为2000-2049之间。

接入模式

如图所示：

如果你的网络需要用网桥接入，在这里选择桥接模式，在桥的IP地址里设置认证的IP（网桥是二层网络，就像交换机的端口，本身没有IP，因为需要认证，这里设置一个供认证使用地址和掩码），通常只需要包含eth0、eth1，生成树协议提供一种控制环路的方法。采用这种方法，在连接发生问题的时候，你的以太网能够绕过出现故障的连接，通常情况无需打开。

接口设置

如图所示：

在【主机名】里面输入该设备的命名。如srun2000。

在4个接口的栏目里面依次输入该接口的主IP地址和子网掩码，如果需要做ARP代理的话，请复选【ARP代理】选项，如果该接口的IP地址是动态分配的，则将【动态获取IP】选上，

注意：动态获取IP地址需要重新启动SRUN2000。如果该接口需要绑定多地址，点击【绑定多IP】，在【DNS服务器】栏目中输入设备的DNS地址，如果有多个DNS，每行输入一个即可

绑定多IP设置：

如图所示：

在下方的【增加IP】中可以输入该接口需要绑定的附属IP地址的子网掩码。点击【确定】即可完成增加，可以在主菜单中的【系统状态】—>【接口状态】中查看当前的接口状态。点击【删除】可以删除某一IP地址，而点击【删除所有】则可以删除所有绑定的多IP，但并不会删除该接口的主IP地址。常规应用:地址池映射或转换需在此先添加地址。

VLAN管理

SRUN2000支持在接口上绑定多个vlan：如图：

这样就可以支持更多的网段，注意：SRUN2000不支持多个网卡绑定成一个vlan。

比如在交换机上将端口24设置为802。1Q TAG，并且将端口24设置为属于vlan 10，则在SRUN上可以这样设置以支持vlan，增加一个vlan id为10的vlan ip，ip地址任意设置，宿主设备设置为和交换机24端口连接的SRUN的网卡。这样就可以让SRUN支持打了802。1Q TAG的报文。使用该虚拟IP和普通的使用起来一样。你可以在交换机器上将某以端口设置为TRUNK模式，接收所有vlan的数据，则SRUN2000就可以在一个网卡上绑定多个VLAN 的IP。支持更多的网段。

服务管理

如图所示：

可以选择SRU2000自动启动的服务。比如不需要认证计费，则可以点击【停止】。则认证计费将停止。并且下次SRUN2000启动后，将不启动认证计费服务。需要注意的是，认证计费需要获取授权码后才能启动。

第二章DHCP管理

DHCP状态

如图所示：

这里显示的是DHCP的状态。。点击下面的【启动DHCP】或者【停止DHCP】可以及时控制DHCP的状态。

DHCP设置

如图所示：

左上角为DHCP的全局设置，如域名，域名服务器，默认租用时间和最大租用时间(以秒为单位)，右上角为增加新的子网，比如要增加一个10.10.0.1-10.10.0.100的IP范围，则可以如图所示输入：

点击【添加子网】即完成了DHCP的添加工作。需要注意的是，在添加或者删除DHCP子网后，需要重新启动一下DHCP服务才能及时生效。或者在SRUN2000控制器重新启动后也可以生效。

栏目的下方列出了当前已经存在的DHCP子网。如果有多个子网需要通过DHCP来获取IP 地址。则这里就可以实现。需要注意的是DHCP包是无法通过路由的。这样在通过路由器时，需要设置路由器的DHCP中继。

点击【编辑】可以对已经添加好的DHCP子网进行重新编辑，点击【删除】则删除该子网。DHCP租约列表中可以查看当前通过动态分配的IP列表。

SRUN2000的DHCP支持多个网卡的dhcp信息分发。就是说可以在多个网卡上面做DHCP服务器。

具体的配置就是先在子网中添加好要分配的网段，然后绑定该接口即可。

如需查看已经分配的ip列表，点击【DHCP租用列表】。

第三章防火墙设置

管理IP设置

如图所示：

首先增加所有管理员所在的IP，只有在管理IP列表中的用户能访问SRUN2000的一些管理端口，如管理页面3080端口，ssh的3022端口，telnet的23端口，ftp的21端口。在列表中确保无误之后，点击【启用】即可使该规则生效，点击【停用】停用该规则。建议一定要启用管理IP。最佳的配置是在自身保护设置中允许内网需要认证的网段访问本机的3333端口(自服系统)，然后禁用所有其他访问本机3333端口。这样SRUN2000自身的安全就得到了很好的保障。

当管理IP设置错误而导致连接不了SRUN2000的WEB管理界面时，可以通过控制台来停止管理IP，命令是set firewall manage_ip stop，然后就可以连接了。

防DDOS攻击

如图所示：

SRUN2000自身具备防止DDOS攻击的能力，在【允许最大的连接数量】中输入一个值，如50，SRUN2000会对攻击自身的ddos进行自我防范，一般建议值在30-300之间。

病毒端口过滤

如图所示：

Srun2000针对一些常见的病毒使用端口进行过滤，可避免因病毒爆发而发生的网络堵塞。自身保护设置

如图所示：

上方的四个按钮的作用：

【提交配置】：用户提交当前的配置，使配置立即生效。

【停用】：停用当前的防火墙，使得所有的规则都暂不生效。

【刷新】：刷新当前的规则表

【增加规则】：添加新的规则到规则表中

左上方显示了当前规则表的状态：是启用还是停用。

防火墙规则的执行顺序是从上到下，依次执行。当一个包到到srun2000的时候，按照如下流程运作：

箭头代表包的执行顺序

比如我们达到如下目的：

1. 外网网卡只允许管理机PING 通。

2. 其他任何机器无法PING 通

3. 控制器自身可以PING 通其他机器

4. 拒绝其他任何icmp 消息

这样一些目的，则可以用两种方法：包过滤和状态检测的方法。分别示意如下： 使用包过滤方式 步骤一：

先增加一条规则，点击【增加规则】，如图所示：

判断目的地址是SRUN2000还是其他地址

调用自身保护规则来处理

调用防火墙规则表来处理

设置编号为10，防火墙是按照规则编号的大小顺序来执行的。一般建议每条规则之间间隔一段序号。不要让编号顺序增加。比如第一条规则的编号设置为10，第二条规则的编号设置为20，而不要将第一条规则的编号设置为1，第二条规则的编号设置为2，这样的好处在于当需要在规则之前或者之后插入一条规则的时候就方便多了。比如需要在第一条规则和第二条规则之间插入一条规则，则可以使用编号15就可以了。自身保护的规则和转发规则也应该分开。建议自身保护规则的范围为1-1000，而转发规则的编号用大于1000的数字。

【协议】选择icmp。也就是ping使用的协议。

【源地址】选择管理机的ip地址范围，如202。196。160。0/24

【源端口】不可用。无需输入

【目的地址】填入控制器的外网网卡地址：如：202。196。160。21

【目的端口】不可用，无需输入。

【分片允许】适合tcp，无需输入。

【动作】选择允许

【生效与否】复选上

【icmp类型】选择请求，即请求icmp包

【状态检测】这里无需考虑

【方向】是和【接口】搭配使用的。这里要不就都选，要不都不选，让控制器自己判断。都选的话就选择方向为入，接口为外网接口。否则方向选择所有，让控制自己去判断。

【描述信息】可以写明对该规则的说明，如”允许管理机PING控制器”

点击【确定】这样就添加好了一条规则。如图所示：

步骤2：

按照同样的方式。添加另外一条规则，如图所示：

编号设置为20，源地址为所有，保持空白即可，动作选拒绝，icmp类型选择请求，点击【确定】

步骤3：

增加一条允许所有请求的规则，以便控制器能够ping通其他的机器。如图所示：

点击【确定】

步骤4：

拒绝所有的其他icmp消息：

如图：

icmp类型这里可以输入NULL，使用默认值，即所有。

点击【确定】

步骤5：

如图所示：所有规则添加完毕。

点击【提交配置】，然后可以在【状态】里面看到当前的状态：如图：

这样就成功的实现了我们要达到的目的，经测试，符合要求。

上面的方法是采用包过滤的方法，由于包过滤需要考虑到出和入两方面，未免显的繁琐。下面我们来看用状态检测的方式如何实现该目的。

步骤一：

增加一条允许管理机进行ICMP NEW的状态检测规则。对于icmp来说。NEW指的是发动icmp请求的包，如echo-request包，而ESTABLISHED指的是回应包，如echo-reply包。如图所示：

步骤二：

增加一条允许所有已经建立起来连接的包通过的规则，入图所示：

步骤三：

拒绝所有其他的包

这样也成功的实现了目标，但是实现起来必单纯的用包过滤简单的多，而且在应用大量规则的时候，状态检测非常实用。

状态检测，是检测发起请求的包，对后面的一系列的相关的包当作一个整体来处理，也就是一个”流”。

SRUN2000防火墙的功能做成了一种放开模式。而不是通用防火墙的那种以对象为单位来

管理。这样虽然对管理员的技术要求增加了。但同时也更加灵活，能充分发挥防火墙的功能。

一般自身保护设置的建议配置：

1：允许DHCP UDP 67，68对内部网络开放。

2：允许管理IP段对TCP的3080(WEB管理)，3022(SSH管理)的访问。

4：允许对管理IP段的icmp 新建状态的访问

3：允许对DMZ服务器的DNAT的地址和端口的访问。

4：允许所有源地址为127.0.0.0/24的访问。

5：允许所有已经建立起来的访问(ESTABLISHED)，和相关的访问(RELATED)。

6：拒绝所有其他的访问。

这样建立起来的防火墙是比较高效和安全的。建议使用”只是允许的就放开，不清楚的都拒绝”这种方式来执行。

接入规则设置

如图所示：

比如要添加一条拒绝对135-139端口的访问，则可以按照如下步骤：

步骤一：

点击【增加规则】，如图所示：

在目的IP 地址中可以保持空白，表示所有的IP 地址，在目的端口中输入135:139表示从135到139之间的所有端口，如果目的端口是单一的端口如80，则可以这样输入80:80，也可以由高到低输入，如：21：20，如果在协议中选择的是tcp ，则这里的icmp 类型是不可用的。

我们在端口中并没有使用那种命名方式如http ，ftp ，telnet 等，而是直接由管理员输入端口范围，这样可以增加灵活性。

需要注意的是，当一个转发包到到srun2000的网络接口后，它的执行顺序是：

比如内网的地址10.10.0.0/24做了SNAT ，翻译成外部网卡的IP 地址202.96.1.1,而我们要拒绝内网的地址访问https://www.wendangku.net/doc/3d7444669.html, ，以免中毒。 可以这样设置。 如图所示：

到达本地接口

DNAT(如果有的话)

执行过滤规则,路由

SNAT(如果有的话)