映翰通边缘路由器ER805用户手册

映翰通边缘路由器ER805用户手册

声明

首先非常感谢您选择本公司产品!在使用前,请您仔细阅读本用户手册,遵守以下声明,将有助于维护知识产权和法律合规性,以确保您的使用体验与产品的最新信息相一致。如有任何疑问或需要获取书面许可,请随时联系我们的技术支持团队。
  1. 版权声明
本用户手册包含受版权保护的内容,版权归北京映翰通网络技术股份有限公司及其许可者所有。未经书面许可,任何单位和个人不得擅自摘抄、复制本手册的部分或全部内容,且不得以任何形式传播。
  1. 免责声明
由于产品技术和规格不断更新,本公司不能承诺用户手册中的资料与实际产品完全一致。因此,不承担由于实际技术参数与用户手册不符而引起的任何争议。任何关于产品的改动恕不提前通知,本公司保留最终更改权和解释权
  1. 版权信息
本用户手册内容受版权法律保护,版权归北京映翰通网络技术股份有限公司及其许可者所有,保留一切权利。未经书面许可,不得擅自使用、复制或传播本手册的内容。

 
本手册图形界面约定


格 式

意 义

【】

表示功能模块或菜单,如:在【状态】菜单下。

“”

表示按钮名称,如:点击“添加”窗口。

多级菜单用“〉”隔开。如“文件〉新建〉文件夹”多级菜单表示“文件”菜单下的“新建”子菜单下的“文件夹”菜单项。

提醒操作中应注意的事项,不当的操作可能会导致数据丢失或者设备损坏。

对操作内容的描述进行必要的补充和说明。

1.简介

        Edge Router 805时北京映翰通面向商业联网领域推出的新一代 5G 边缘路由器产品,它融合4G/5G无线网络与多种宽带服务,为各行业提供高速且安全的网络接入。无论何时何地,用户都能享受不间断的互联网连接,同时受益于全面的安全性和卓越的无线服务。ER805使设备互联成为现实,为设备信息化提供了高速通道。

图 1 边缘路由器应用方案

2.硬件部分

2.1指示灯说明

LED指示灯

LED灯状态和定义

系统状态灯

常灭     --- 设备未上电

蓝色闪烁 --- 系统启动中

蓝色常亮 --- 系统正常运行

红色闪烁 --- 系统故障

绿色闪烁 --- 系统升级

联网状态灯

红色闪烁 --- 网络未连接

绿色闪烁 --- 蜂窝网连接中

绿色常亮 --- 蜂窝网连接成功

蓝色闪烁 --- 有线网连接中

蓝色常亮 --- 有线网连接成功

Wi-Fi 2.4G

常灭     --- 处于关闭状态

蓝色常亮 --- 启动中

蓝色闪烁 --- 正常工作

Wi-Fi 5G

常灭     --- 处于关闭状态

绿色常亮 --- 启动中

绿色闪烁 --- 正常工作


        对于联网状态灯,如果蜂窝联网和有线联网均正常,则显示蓝色有线指示灯;如果仅有一种联网方式,则显示当前正常网络的指示灯;若无网络连接,则显示红色。

2.2恢复出厂设置


图 2-2 硬件Reset按钮
        通过Reset按钮恢复出厂设置:
  1. 设备上电后立即长按Reset按钮;
  2. 按住一段时间后,电源指示灯开始闪烁;大约半分钟后,电源灯长亮;
  3. 松开Reset按钮,电源指示灯开始闪烁,再次长按Reset;
  4. 电源指示灯开始慢闪,松开Reset按钮,恢复出厂设置成功。

3.默认配置

序号

功能

默认配置

1

蜂窝网络拨号

  1. 默认配置“仅SIM1”

2

Wi-Fi默认配置

  1. Wi-Fi 2.4G接入点启用,SSID:以ER805-为前缀,后面为无线MAC6位数字
  2. Wi-Fi 5G 接入点启用,SSID:以ER805-5G-为前缀,后面为无线MAC6位数字
  3. 认证方式为WPA2-PSK
  4. 密码均为SN序列号后8位

3

以太网默认配置

  1. 4个LAN口启用
  2. IP地址:192.168.2.1
  3. 子网掩码:255.255.255.0
  4. DHCP服务器启用,地址池为192.168.2.2192.168.2.100,可为下端设备自动分配IP地址

4

网络访问控制

  1. 本地HTTP及HTTPS启用,端口号分别是80和443
  2. 禁用来自蜂窝网络的访问

5

用户名和密码

  1. adm/123456

4.快速安装指南

4.1环境准备

  1. 安装5G/4G和Wi-Fi天线并插入SIM卡。
  2. 连接电源线和网线,任意LAN口连接PC。
  3. 将PC的IP地址设置为与边缘路由器处于同一网段。
    1. 设备LAN口默认开启DHCP Server功能,将PC设置为“自动获得IP地址”,PC与边缘路由器LAN口连接后可以获取边缘路由器下发的IP地址,查询该地址是否处于192.168.2.0网段。
    2. 若PC无法自动获取IP地址,需要手动将PC的IP地址配置为 192.168.2.2~192.168.2.254中的任意地址,默认网关设置为192.168.2.1,子网掩码为 255.255.255.0,DNS配置为 8.8.8.8或运营商DNS服务器地址。
                             
                                                                                                                                                                                                                                                                                            图 4-1-a PC动态获取/手动配置IP地址

  4. 在浏览器地址栏中输入设备默认地址192.168.2.1,输入用户名和密码后(默认为adm/123456),进入设备Web管理界面。如果页面提示网页不安全,打开隐藏或高级,选择继续前往。

图 4-1-b 设备Web登录页面

4.2快速联网

        ER805支持有线,蜂窝,Wi-Fi(STA)三种网络接入方式。

4.2.1有线接入网络

        ER805的WAN口默认启用DHCP服务,只需使用网线将设备WAN口接入上行设备即可接入网络。

图 4-2-1-a ER805WAN口配置

4.2.2 5G/4G接入网络

        在通常情况下,按照说明,在插入SIM卡并安装蜂窝,Wi-Fi天线后,ER805会自动创建拨号连接,并在系统启动后连接到蜂窝网络。

4.3连接小星云管家平台

        ER805是一款基于云管理的5G边缘路由器,通过小星云管家,您可以实现批量部署和软件升级。云平台提供丰富的可视化图表和SD-WAN和Connector等高级功能,用于远程维护,使中小型企业分支机构能够完善其数字网络基础设施。要使用小星云管家管理您的 ER805,请按照以下步骤操作:

4.3.1注册


图 4-3-1 注册映翰通云服务账号

4.3.2登录

        完成电子邮件注册后,您可以使用注册时使用的用户名和密码登录映翰通平台,并选择【小星云管家】服务。
图 4-3-2 选择SaaS服务

4.3.3添加设备

        登录后小星云管家服务后,进入【设备】菜单,点击“添加”按钮,填写设备名称、序列号、MAC地址,然后点击“完成”完成添加。
图 4-3-3 在小星云平台添加设备

        设备第一次接入云平台时,云平台会自动下发一个有效期一年的基础版许可证。用户可以在“企业管理>订阅>许可证”中续费或将许可证升级为分支专业版。

5.设备监控

        将设备添加到平台后,您可以从平台监控和管理网络,同时还支持用户在设备的本地界面上远程查看实时状态信息。

5.1设备总览

        在【设备】部分,您可以单击【设备名称】以查看设备详情。

5.1.1概览

        点击左侧菜单中的【仪表盘】进入设备的信息仪表盘界面。在这里,您可以查看设备的基本信息、接口状态、流量统计信息、蜂窝信号强度以及连接Wi-Fi的客户端设备数量。

图 5-1-1 查看设备详情

5.1.2流量统计

        在“设备>流量”界面中,可以查看各个上行端口流量使用的历史数据。


图 5-1-2 流量使用情况

5.1.3蜂窝信号

        在“设备>蜂窝信号”页面中,可以查看蜂窝信号各项参数的历史数据,包括信号强度、RSSI、RSRP、RSRQ以及SINR。

5.2设备本地信息

        通过小星云管家的“远程访问”功能,您可以实时查看和配置设备。勾选目标设备,点击“远程访问”,将打开设备的本地登录界面。

图 5-2-a 选择远程访问的设备
图 5-2-b 远程登录页面

5.2.1设备信息

         在【仪表盘】界面,用户可以在顶部找到设备的基本信息,包括设备名称,设备型号,序列号,MAC地址,在线时长,上行接口地址等信息。

图 5-2-1 查看设备信息
  1. 名称:设备的名称标识,默认为“ER805”,支持修改
  2. MAC地址:标识设备的物理地址
  3. 本地网关地址:设备默认子网的网关地址
  4. 型号:设备的具体型号,可以帮助判断设备是否支持蜂窝和WLAN的属性
  5. 在线时长:设备本次上电后的运行时间
  6. 序列号:设备唯一识别码,用于索引或将设备添加到平台账号下
  7. 联网方式:设备联网时使用的上行接口
  8. 许可证状态:应用到设备的许可证信息,有两种许可证版本,分别是小星云管家基础版和小星云管家分支专业版
  9. 固件版本:当前设备运行的固件版本号
  10. 上行接口地址:设备联网所用的上行接口IP地址

5.2.2接口状态

         在“仪表盘>接口状态”功能中可以直观地查看各接口的工作状态,点击接口图标,可以在界面右侧的弹出框中查看接口的详细信息。

图 5-2-2 端口信息列表

5.2.3流量统计

         用户可通过“仪表盘>流量统计”功能查看路由器上电以来各上行接口流量的使用情况。流量统计数据会在设备重启之后重置,如果需要查看历史流量记录,可在小星云管家平台对应的设备详情页面进行查看。
图 5-2-3 流量统计数据

5.2.4Wi-Fi连接数

         用户可在“仪表盘>Wi-Fi连接数”板块中查看ER805当前启用的SSID个数,鼠标悬停到统计的饼图上即可显示连接到各SSID的客户端数量。
图 5-2-4 Wi-Fi连接情况

5.2.5客户端流量Top5

        用户可以在"仪表盘>客户端流量Top5"板块中查看当前接入路由器的客户端流量使用排名,最多显示5条记录,当客户端连接断开后,统计数据将被清除。

图 5-2-5 客户端流量使用情况

5.2.6链路监控

        用户可在“状态>链路监控”板块查看各上行链路的健康状态以及各接口的吞吐率、延迟、丢包、信号强度等信息。
 
图 5-2-6 上行链路状态

5.2.7蜂窝信号

        用户可以在“状态>蜂窝信号”板块查看蜂窝信号强度,RSSI,SINR,RSRP,RSRQ等数据的统计情况。

图 5-2-7 蜂窝信号指标

5.2.8客户端

        用户可在“状态>客户端”界面查看连接到路由器的有线客户端,无线客户端的详细信息,如名称,MAC地址,VLAN,客户端所在的子网,流量使用情况,客户端在线时长等信息。

图 5-2-8 客户端信息统计

5.2.9VPN

        用户可在“状态>VPN”页面查看IPSec VPN,L2TP VPN的名称、状态、流量、最近一次连接时长等信息。

图 5-2-9 查看VPN状态

5.2.10事件

        用户可在“状态 >事件”页面查看设备运行产生的事件信息,帮助用户了解设备运行的状态

图 5-2-10 设备运行事件记录
当前支持记录的事件类型:
  1. 用户登录成功
  2. 用户登录失败
  3. 路由器配置变化
  4. 近5分钟CPU利用率过高
  5. 近5分钟内存利用率过高
  6. 蜂窝流量达到阈值
  7. VPN状态变化
  8. 客户端状态变化
  9. 上行链路切换
  10. WAN2/LAN1切换
  11. 重启
  12. 升级

5.2.11日志

        用户可在“状态>日志”界面查看设备运行的日志信息,当设备出现故障时,技术人员可根据系统日志进行问题排查。

图 5-2-11 设备运行日志记录
支持对日志进行以下操作:
  1. 下载日志:下载设备的运行日志
  2. 下载诊断日志:下载设备的诊断日志,包含系统运行日志,设备信息,设备配置等。
  3. 清除日志:清除设备的运行日志,但仍保留设备的诊断日志

6.设备配置

        用户可通过平台的远程配置功能,实现对设备的批量配置。在“分组”中选择目标设备,在远程配置部分点击“编辑”,编辑配置后将下发到所有的目标设备。

6.1Internet

        用户可以在“Internet”功能下配置每个上行接口的参数以及多条上行链路间的协作模式。ER805支持有线、蜂窝、Wi-Fi三种网络接入模式;默认配置下,设备配置有两条不可移除的上行链路,即WNA1和蜂窝网络(产品PN中包含“EN00”的型号仅有一条不可移除的上行链路WAN1)。设备支持4条上行链路,包括WAN1,WAN2,Cellular以及Wi-Fi(STA)。WAN2和WI-Fi(STA)链路需要手动添加,并且可根据使用需求移除该链路。

6.1.1有线连接

        ER805的有线网络接入支持三种方式:DHCP,静态IP,PPPoE;可在【Internet】界面中点击WAN1链路的“编辑”按钮,修改联网方式,默认通过DHCP接入网络。
  1. DHCP:设备WAN1接口默认启用DHCP服务,用网线将WAN口与上行设备连接,即可接入网络。

图 6-1-1-a DHCP服务
  1. 静态IP:用户可以手动配置从运营商或网络管理员处获取的静态IP地址,完成配置后,路由器将以配置的IP地址接入网络。

图 6-1-1-b 配置静态IP地址
  1. PPPoE:用户可以配置宽带拨号服务,按照运营商给的宽带信息完成配置,路由器将通过宽带拨号接入网络。

图 6-1-1-c 配置宽带拨号服务
        当用户有双WAN口需求时,可点击【Internet】菜单中的“添加”按钮,添加WAN2接口。WAN2接口支持的配置项与WAN1接口相同。

图 6-1-1-d 添加WAN2接口

  1. 添加WAN2接口后,原LAN1接口角色将会切换成WAN2
  2. 删除WAN2接口后,WAN2接口角色将会切换回LAN1
  3. 删除WAN2接口后,与WAN2接口相关的静态路由、入站/出站归则、端口转发、策略路由、流量整形相关配置都将被清除

6.1.2无线连接

        ER805支持作为客户端接入现场的AP网络,点击【Internet】菜单中的“添加”按钮,选择“Wi-Fi(STA)”填写SSID名称和密码,配置认证方式等参数。

图 6-1-2 添加Wi-Fi(STA)接口

  1. Wi-Fi(STA)添加后,ER805在Wi-Fi功能中相同频段的SSID将被禁用且状态字段不可修改。
  2. Wi-Fi(STA)删除后,ER805在Wi-Fi功能中相同频段的SSID状态字段可以修改。
  3. Wi-Fi(STA)删除后,与Wi-Fi(STA)接口相关的静态路由,入站/出站规则、端口转发、策略路由、流量整形的配置都将被删除。

6.1.3蜂窝连接

        通常情况下,按照说明安装SIM卡和Wi-Fi天线后,ER805路由器将在上电后自动拨号并接入网络。当用户需要配置APN参数时,点击如图所示的“编辑”按钮进入APN配置界面。

图 6-1-3-a 蜂窝编辑入口

图 6-1-3-b 编辑蜂窝配置
        ER805在支持蜂窝上网的基础上,新增流量策略功能。策略启用后,SIM卡将在流量到达阈值后执行对应的动作,流量统计将在次月起始日重置。

图 6-1-3-d 编辑SIM卡策略
当前支持SIM卡流量达到阈值后触发:
  1. 通知:生成流量达到阈值的事件,但不会停止转发业务流量。
  2. 仅保留云管理:生成流量达到阈值的事件,只转发云端管理流量,不转发访问Internet的业务流量。
  3. 切换SIM卡:生成流量达到阈值的事件,并切换到另一张SIM卡拨号上网。

  1. 部分专网环境中,需要手动关闭【Internet】菜单下的“链路探测”功能,避免因探测失败导致蜂窝无法正常工作。
  2. 部分情况下,需要手动配置蜂窝接口的子网掩码,保证ARP功能正常工作。
  3. 插拔SIM卡前,须拔掉电源,避免造成数据丢失或设备损坏。

6.1.4上行链路列表

        用户可以在“Internet >上行链路列表”中编辑WAN1和Cellular接口,并添加/编辑/删除 WAN2和Wi-Fi(STA)接口。您还可以通过拖动“优先级”图标来调整每个接口的优先级。接口根据其优先级从上到下排列,优先级较高的接口优先确定设备操作的当前上行接口。

图 6-1-4 上行链路列表

6.1.5上行链路设置

        用户可以通过“Internet>上行链路设置”功能配置链路检测设置,并配置不同上行接口之间的协作模式。

图 6-1-5 上行链路设置

  1. 链路探测开关:开启后对所有上行接口的连通性进行探测,默认启用。
  2. 探测地址:填写指定的探测目标地址。
    1. 填写后,所有上行链路只探测此地址,当填写的地址不可达时,会影响设备联网。
    2. 未填写时,设备将从上行接口的DNS地址和备选探测地址选择可用的地址进行探测。
  3. 基于探测项的链路切换:链路备份模式下,用户可设置探测项触发链路间和SIM卡间的切换。需要同时满足以下条件:
    1. 开启链路开关
    2. 启用探测项
    3. 工作在“链路备份”模式且非“不切换”选项

  1. 对【Internet】菜单的修改可能导致设备联网中断,请谨慎操作!
  2. 当路由器处于“链路备份”模式时,用户可自定义探测参数,设备将根据使能的探测项进行链路切换。未使能探测项时,上行链路切换仅根据优先级和链路连通性触发切换。
  3. 当设备处于负载均衡模式时,所有可以正常工作的上行链路都会转发业务流量。

 6.2本地网络

        用户可在【本地网络】功能中定义本地子网,包括配置本地局域网的地址段,VLAN ID,DHCP服务等参数。完成配置后,用户需要进一步在【接口管理】中将这些配置应用到设备的LAN口,或在Wi-Fi设置中将其应用到目标SSID。这一些列操作旨在确保客户端设备能按照规划的网络地址顺利连接到本地网络。

6-2-a 本地网络列表

点击“添加/编辑”按钮,添加新的本地网络或对已有本地网络进行编辑。


图 6-2-b 添加本地网络


  1. 名称:用于标识网络,用户可通过此名称选择在“Wi-Fi”和“接口管理”中应用的网络。
  2. 模式:选择当前子网是2层透明模式或3IP模式,默认“IP模式”。
  3. VLAN:将局域网划分到不同虚拟逻辑的网络中。默认所有的接口和Wi-Fi使用defalutVLAN1)网络。
  4. IP地址/掩码:通过LAN口或Wi-Fi访问路由器的网关地址,默认“192.168.2.1”。
  5. DHCP Server:接入路由器的客户端将通过此功能获取IP地址,默认“开启”,地址段将根据“IP地址/掩码”自动生成地址池范围。

  1. 默认的本地网络不可删除且仅支持修改IP地址/掩码和DHCP Server配置。
  2. 已添加的本地网络模式不支持修改。
  3. VLAN Only模式用于二层透传,无需配置IP地址/掩码、DHCP Server

6.3Wi-Fi

 Wi-Fi是一种广泛使用的无线通信技术,用于将计算机、智能手机、平板电脑和其它设备连接到互联网或局域网络。Wi-Fi技术允许设备通过无线信号在一定范围内传输数据,提供了无需物理连接即可访问网络的便利性。

        ER805可以作为AP提供多SSID的无线网络接入功能,用户可以自定义不同SSID用途和配置。

图 6-3-a Wi-Fi列表

点击“Wi-FiWi-Fi列表”下添加/编辑按钮,可添加新的SSID或对已有SSID进行编辑。


图 6-3-b 添加Wi-Fi

  1. 设备默认有2.4G、5G两个主SSID,主SSID频段不支持修改且不可删除。
  2. 已添加的SSID频段不支持修改,信道将自动与所属主SSID的信道保持一致。
  3. 若用户在【Internet】菜单创建Wi-Fi(STA)接口,与Wi-Fi(STA)接口相同频段的SSID都无法启用直到Wi-Fi(STA)接口被删除。

6.4VPN

6.4.1IPSec VPN

IPSec(Internet Protocol SecurityVPN 是一种用于加强网络通信安全性的协议套件,旨在通过加密和认证来保护数据的传输。它广泛应用于建立安全的远程访问、站点到站点连接以及虚拟专用网络(VPN)。

点击“VPNIPSec VPN”下的“添加”按钮,添加新的IPSec VPN

图 6-4-1-a IPSec VPN

图 6-4-1-b 添加IPSec VPN

两端配置完成后,隧道即可建立。用户可以在【状态>VPN】菜单中查看隧道建立状态。下方仅列出部分必填项的说明。

  1. 名称:路由器创建的IPSec VPN名称标识,主要用于本地管理。
  2. IKE版本:设置IKE协议使用的版本号,支持IKEv1IKEv2
  3. 预共享密钥:在IKE协商的两端设备需要配置相同的认证密钥。
  4. Internet接口:本地建立IPSec VPN使用的上行接口。
  5. 隧道模式:设置IPSecIP报文的封装模式,支持隧道模式和传输模式。
  6. 对端地址:与ER805建立隧道的对端通信地址。

ER系列设备在用IPSec VPN建立连接时,默认以使用公网地址的设备作为服务器,IPSec服务器侧的对端地址需要配置为 0.0.0.0,IPSec客户端侧的对端地址填写IPSec服务器侧的公网地址。
  1. 本地子网:填写需要通过ER805 IPSec VPN隧道通信的网段地址。
  2. 对端子网:填写隧道另一端需要通过IPSec VPN隧道通信的网段地址。
  3. IKE策略:支持设置IKE协议的配置。
    1. 加密方式:设置IKE使用的加密算法。
      1. 取值范围:DES、3DES、AES128、AES192、AES256,默认“AES128”
    2. 认证方式:设置IKE使用的认证算法。
      1. 取值范围:MD5、SHA1、SHA2-256、SHA2-384、SHA2-512,默认“SHA1”
    3. DH组:设置IKE阶段密钥协商使用的DH交换参数。
      1. 取值范围:1、2、5、14、15、16、19、20
    4. 超时时间:设置IKE SA存活时间,默认86400秒。
  4. IPSec 策略:支持设置IPSec参数配置。
    1. 安全协议:设置ESP协议使用的安全协议。
      1. 取值范围:DES、3DES、AES128、AES192、AES256,默认“AES128”
    2. 加密方式:设置ESP协议的加密算法。
      1. 取值范围:MD5、SHA1、SHA2-256、SHA2-384、SHA2-512,默认“SHA1”
    3. PFS组:IPSec使用安全策略发起一个协商时,在阶段2的协商中进行一次附加的密钥交换以提高通讯的安全性参数。
      1. 取值范围:1、2、5、14、15、16、19、20
    4. 超时时间:设置IPSec SA老化时间,默认86400秒。


6.4.2L2TP VPN

 6.4.2.1客户端

ER805可以作为L2TP客户端和位于远端的L2TP服务器建立隧道。点击“L2TP VPN客户端”下的“添加”按钮,添加L2TP客户端。


6-4-2-1 添加L2TP客户端

  1. 名称:L2TP客户端的名称,用于本地标识。
  2. 状态:L2TP 客户端隧道开启/禁用开关。
  3. NAT:L2TP 客户端转发时的NAT功能开关。
  4. 上行接口:L2TP客户端与服务器进行通信的上行接口。
  5. 服务器地址:对端L2TP服务器的通信地址。
  6. 用户名/密码:两端进行L2TP协商时需要配置相同的用户名/密码
  7. 认证模式:设置L2TP认证模式。
  8. 启用隧道验证功能:启用验证功能后,两端用于隧道验证的用户名/密码需要配置相同。

6.4.2.2 服务器

L2TP服务器一般部署于企业总部,为移动办公或分支机构提供远程访问服务。点击“VPNL2TP VPN服务器” 进入L2TP 服务器的编辑页面。

6-4-2-2 添加L2TP服务器

  1. 名称:L2TP 服务器名称,不支持修改。
  2. 状态:L2TP 服务器的功能开关,默认关闭。
  3. 上行接口:L2TP作为服务器时使用的上行接口。
  4. VPN通信地址:作为L2TP客户端的网关地址,可为L2TP客户端设备分配地址池内的地址。
  5. 地址池:L2TP客户端接入时用于通信的地址池。
  6. 用户名/密码:两端进行L2TP协商时需要配置相同的用户名/密码
  7. 认证模式:设置L2TP认证模式。
  8. 启用隧道验证功能:启用后,两端用于隧道验证的用户名/密码需要配置相同。

6.4.3 VXLAN VPN

        VXLAN(Virtual Extensible LAN)本质上是一种隧道技术,它在源网络设备和目标网络设备之间的IP网络上建立了一种逻辑隧道,通过对用户端数据包进行特定封装,实现了数据的传输和转发。
        点击“VPN〉 VXLAN VPN”下的“添加”按钮,添加VXLAN VPN,VXLAN VPN不能与其他VPN以及IP Passthrough同时启用。

6-4-3 添加VXLAN VPN


  1. 名称:设置该VXLAN VPN网络的名称。
  2. 上行接口:与其它设备建立VXLAN 隧道的出接口。
  3. 对端地址:设置需要与该设备组建VXLAN VPN网络的对端设备IP地址。
  4. VNI:VXLAN的网络标识符,一个VNI就代表一个租户。
  5. 本地子网:设置本地客户端设备接入所获取的地址段。

6.5安全

        在【安全】菜单下,用户可以根据需要设置防火墙、策略路由、流量整形相关的高级功能。

6.5.1防火墙

        防火墙当前包括:入站规则、出站规则、端口转发、MAC地址过滤等功能,用户可根据具体的业务需求进行配置。

6.5.1.1入站/出站规则

用户可以通过“安全 > 防火墙 > 出站规则/入站规则功能来实现基于接口的流量进出控制。例如,当用户受到来自特定源IP地址的大量攻击行为时,可以使用防火墙入站规则来限制来自该IP地址的流量。

此外,IT人员还可以通过防火墙出站规则来限制某些用户访问外部网络的权限。入站规则和出站规则在可配置的内容上相同,唯一的区别是默认规则。以下是添加入站规则的示例:

6-5-1-1 添加入站规则

  1. 名称:设置入站规则的名称,用于本地标识。
  2. 状态:规则的功能开关
  3. 接口:对于出站规则,指流量流出路由器的上行接口。对于入站规则,指流量进入路由器的上行接口。
  4. 协议:匹配流量的协议类型,支持Any、TCP、UDP、ICMP、自定义。
  5. 源:匹配流量的源地址,支持自定义,默认Any。
  6. 目的:匹配流量的目的地址,支持自定义,默认Any。
  7. 动作:入站规则/出站规则的对匹配流量的动作,支持允许和拒绝。
  8. 入站规则:外部网络访问路由器的流量管理规则,默认拒绝所有。
  9. 出站规则:通过路由器访问外部的流量管理规则,默认全部放行。
  10. 支持通过拖动“优先级”一栏的图标调整入站规则/出站规则的优先级。

6.5.1.2 端口转发

        端口转发也被称为端口映射或端口重定向,用于将网络数据包从一个网络端口(或地址)重定向到另一个网络端口或地址。用户可在“安全〉防火墙〉端口转发”配置端口转发规则,当外部流量访问路由器的特定端口时,设备会将数据转发至内部客户端的相应端口上,实现从外部访问路由器内部的服务。
        例如:当用户需要从外部访问内部192.168.2.10客户端的1024端口服务时,将此客户端的端口映射到WAN1接口下的1024端口,外部网络只需在浏览器输入 “https://WAN1地址:1024”即可访问目标设备数据,其中WAN1地址为WAN1接口的IP地址。

6-5-1-2 添加端口转发规则

  1. 名称:端口转发规则的名称,用于本地标识。
  2. 状态:端口转发规则的功能开关。
  3. 接口:对内部客户端提供映射功能的上行接口,上行接口需要公网地址支持。
  4. 协议:端口映射流量的协议类型,支持TCP、UDP、TCP&UDP。
  5. 公网端口:对内部客户端提供映射功能的上行接口的端口号,需要与本地端口输入范围保持一致。
  6. 本地地址:外部网络需要访问的位于路由器下的目标设备地址。
  7. 本地端口:外部网络需要访问的目标设备的端口,需要与公网端口输入范围保持一致。

6.5.1.3 网络地址转换

        网络地址转换是一种将IP数据包在通过路由器时重新包内源IP地址或目的IP地址的技术,可以将私网IP地址转换为合法IP地址。用户可在“安全〉防火墙〉网络地址转换”中配置源IP地址转换或目的IP地址转换规则。

6-5-1-3 添加网络地址转换规则

  1. 名称:标识该地址转换规则。
  2. 状态:启用或停用该条规则。
  3. 类型:选择地址转换的类型
    1. SNAT:源IP地址转换,以可将IP数据包中源IP地址字段的值转换为设定值
    2. DNAT:目的IP地址转换,以可将IP数据包中目的IP地址字段的值转换为设定值。
  4. 协议:选择需要转换的IP数据包类型、
    1. TCP:地址转换规则在TCP报文中生效。
    2. UDP:地址转换规则在UDP报文中生效。
    3. TCP&UDP:地址转换规则在TCP和UDP报文中生效。
  5. 源:数据包的源IP地址。
  6. 目的:数据包的目的IP地址。
  7. 转换后地址:根据所选择的地址转换类型,设置需要转换的值。

6.5.1.4MAC地址过滤

        MAC地址过滤是指禁止(或允许)MAC地址列表中的设备上网,即通过路由器上的MAC地址过滤功能控制局域网内设备的上网请求。用户可在“安全〉防火墙〉MAC地址过滤”中配置MAC地址过滤规则。

6-5-1-4 添加MAC地址过滤规则

您可以在列表中创建多个MAC地址,添加地址描述,并在列表中设置仅允许MAC地址访问网络(白名单),也可以禁止列表中的MAC地址访问网络(黑名单)。

6.5.1.5 域名过滤

域名过滤是指禁止(或允许)客户端访问列表中设置的域名。用户可在“安全〉防火墙〉域名过滤”中配置可以访问或禁止访问哪些域名。

您可以在域名过滤表中添加多条规则,并允许客户端访问这些域名(白名单),或禁止客户端访问这些域名(黑名单)。


6-5-1-5 添加域名过滤规则

6.5.2策略路由

        策略路由是一种能够根据实际需求制定策略的功能,允许用户根据需要将不同的数据流通过不同的链路进行转发。这提高了路由选择的灵活性和可控性,同时提升了链路利用效率并降低了企业成本。点击“安全〉策略路由”下的“添加”按钮添加新的策略路由规则,在配置时不能将源地址和目的地址同时设置为“Any”。

6-5-2 添加策略路由

6.5.3 流量整形

        创建整形策略以基于每个协议控制流量带宽,以优化网络性能。此功能还可以减少娱乐流量的带宽,并为关键业务流量确定带宽优先级。
        您可以在“安全〉流量整形〉添加/编辑”中配置流量整形规则。


6-5-3-a 流量整形配置界面


6-5-3-b 添加流量整形规则

        流量调整策略由一系列按顺序执行的规则组成,类似于自定义防火墙规则。每个规则有两个主要组成部分:要限制或调整的流量类型,以及应如何限制或调整流量。


  1. 不匹配规则的流量转发优先级为中等。
  2. 当“限制带宽”设置为 0 时,系统不会限制带宽。
  3. 预留带宽的值不应大于限制带宽。

6.6服务

6.6.1 接口管理

        用户可以在“服务〉接口管理”功能中设置允许通过某指定接口的本地网络以及对接口速率的设置。

6-6-1-a 接口管理界面


6-6-1-b 修改接口配置

6.6.2 DHCP Server

        DHCP服务采用客户端/服务器通信模式,由客户端向服务器提出地址请求,服务器响应请求并为客户端分配IP地址,以实现客户端IP地址的动态获取。
        用户可通过“服务〉DHCP Server”功能对DHCP Server地址池进行配置。

6-6-2 配置DHCP Server地址池


  1. 设备的DHCP服务根据本地网络的网络信息生成,在“本地网络列表”中删除某个本地子网后,该本地子网的DHCP Server也将被删除。
  2. 本地网络条目需要处于IP模式,DHCP Server功能才生效,VLAN Only模式下的网络不在可选范围内。

6.6.3 DNS Server

        DNS(Domain Name System)服务器是一种关键的网络组件,它负责将人类可读的域名(如www.example.com)转换为计算机能理解的IP地址(如192.168.1.1)。DNS服务器充当了互联网上的地址簿,它帮助计算机和设备找到其他设备的位置,并确保信息能够在网络上正确传递。
        当用户在“服务〉DNS Server”中没有设置DNS服务器地址时,使用设备上行接口获取到的DNS地址进行域名解析;当用户设置DNS服务器地址后,将使用配置的DNS地址进行域名解析。

6-6-3 添加DNS Server地址 

6.6.4 固定地址列表

        用户可通过“服务〉固定地址列表”功能实现根据接入设备的MAC地址为该设备分配固定的IP地址,该设备每次接入ER805时都会获取到相同的IP地址。

6-6-4 添加固定地址规则


  1. 可用于分配的地址必须在IP模式的本地网络的地址范围内,否则配置不生效。
  2. 当本地网络删除后,本地网络地址范围内的固定地址分配规则都将被删除

6.6.5静态路由

        用户可通过“服务〉静态路由”功能自主配置静态路由条目,实现数据从指定的路径和接口转发。静态路由表中的内容均为用户手动创建,由其他服务,例如VPN功能自动生成的路由条目不会在此表中显示。

6-6-5 添加静态路由条目



  1. 相同目的地址/网络的静态路由,下一跳地址、接口或优先级不能相同,否则会导致路由失效。
  2. 当WAN2、Wi-Fi(STA)、L2TP 客户端VPN删除后,使用对应接口的静态路由也将被删除。

6.6.6 Dynamic DNS

        动态DNS(Dynamic Domain Name System)用于自动更新域名系统中的名称服务器内容。根据互联网的域名规则,域名通常需要与固定的IP地址关联。动态DNS技术能够为动态IP地址的用户提供固定的名称服务器,这使得外部用户能够通过定期更新的方式连接到动态IP地址的用户的URL。
        用户可在“服务〉 Dynamic DNS”功能下手动配置动态DNS服务器地址。

6-6-6 配置动态DNS服务


  1. 服务提供商:由动态DNS运营商提供,您可以选择dyndns3322orayno-ip  或自定义(需要URL)。
  2. 主机名:单击服务提供商下方的 URL 进行注册以获取主机名。
  3. 用户名:单击服务提供商下方的 URL 进行注册以获取用户名。
  4. 密码:用户在注册时设置的密码。

6.6.7 IP Passthrough

        用户可通过“服务〉Passthrough 设置”开启IP穿透功能,开启后客户端设备可获取到ER805的上行接口地址。

6-6-7 开启IP Passthrough功能

        Passthrough MAC:只有绑定MAC的客户端才能获取设备上行接口地址。


  1. IP直通模式开通后,只有一个客户端可以访问公网,同时禁用以下功能:静态路由、VPN、基于策略的路由、SD-WAN Overlay、云连接。
  2. 访问客户端设备时,需要释放入站规则。
  3. 您仍然可以通过默认子网的IP地址访问路由器。

6.7系统

在【系统】菜单下,用户可以完成云管理、远程访问控制、时钟、设备选项、配置管理、设备告警、工具、日志服务器等功能的设置。

6.7.1Adm管理

设备的初始用户名和密码为adm/123456,为了设备的使用安全,请修改设备的密码。
点击页面顶部【导航栏】右侧的“adm”,在下拉菜单中点击“修改密码”进行修改。

6-7-1-a 修改adm密码


6-7-1-b 设置新密码

6.7.2 云管理

        小星云管家(star.inhandcloud.cn)是映翰通专为解决企业网络面临的部署缓慢、运维复杂和业务体验不佳等问题而打造的云平台。该平台以用户需求为核心,融合了零接触部署、智能运维、安全防护以及卓越的业务体验功能。一旦设备连接到云平台,用户就能够通过该平台进行远程管理、批量配置、流量监控等操作,实现了更加便捷和高效的网络设备管理。
        用户可在“系统〉云管理”功能中选择云平台地址。ER805默认联网后自动接入小星云管家,若不希望使用云管理功能,请手动关闭。

6-7-2 开启小星云管家服务

6.7.3 远程访问控制

        用户可通过“系统〉远程访问控制”功能设置是否允许通过Internet从外部访问路由器的Web配置界面,可设置服务端口。

6-7-3 配置远程访问控制功能

  1. HTTPS:启用后,用户可以在浏览器输入上行接口的公网地址&端口,实现远程访问路由器的Web界面。
  2. SSH:启用后,用户可以在远程工具(如CRT),输入设备上行接口的公网地址&端口、用户名及密码,实现远程登录路由器后台。
  3. Ping:启用后,上行接口地址允许外部网络发起Ping请求。


  1. LAN接口不受此处配置影响。
  2. 防火墙规则不会限制远程访问。
在网络功能中,时钟功能是指用于协调和同步网络设备之间的时间的功能。网络中的时钟功能对于数据传输、日志记录、安全性、协调和故障排查非常重要。
用户可通过“系统〉时钟”功能选择当前所处的时区;配置NTP Server地址与目标NTP服务器同步设备系统时间。

6-7-4 设置NTP服务器地址

6.7.5 设备选项

        用户可在“系统〉设备选项”中可对设备进行重启、升级固件及恢复出厂设置等操作。

6-7-5 设备选项操作


  1. 本地升级固件时请确保固件从正规渠道获取,避免因为导入错误固件导致设备不可用。
  2. 当设备接入云平台后,由于云端配置同步机制,平台会将恢复出厂前的配置再次推到设备上,设备仅清除历史数据。

6.7.6 配置管理

        配置备份和备份恢复是网络管理和维护中关键的任务,它们涉及到保存网络设备的配置信息,以便在需要时能够快速还原或迁移配置。
        用户可在“系统〉配置管理”中导出设备配置存储在本地,当设备配置丢失或需要覆盖配置时将备份配置导入此设备。

6-7-7-a 选择推送告警事件

        配置发件邮箱的服务器地址、端口、用户名和密码后,设备将通过此邮箱发送告警邮件,可以通过发送测试邮件的选项检验发件邮箱的配置是否正确。

6-7-7-b 设置告警邮件接收地址

6.7.8 工具 

6.7.8.1 Ping

        通过ICMP协议检测设备的网络连接情况。在“目标”中填入任意域名或IP地址,点击开始即可检验设备与该目标的连通情况。

6-7-8-1 Ping包工具

6.7.8.2 Traceroute

        Traceroute(路由跟踪)是一种网络诊断工具,用于确定数据包从源到目的地之间经过的网络路径,以及在该路径上的每个中间路由器或跳数。
        用户可在“系统〉工具〉Traceroute”中输入目标主机IP地址,选择流量的出接口,点击“开始”,检测设备到目标IP的路由连通情况。

6-7-8-2 路由跟踪工具

6.7.8.3 抓包

        抓包是一种网络监测和分析技术,用于捕获和记录通过计算机网络传输的数据包。抓包工具通常用于网络故障排除、网络性能分析、安全审计和协议分析等用途。
        用户可在“系统〉工具〉抓包”功能中抓取通过某一接口的数据包。选择“输出”选项,用户可以选择在界面中显示抓取到的数据或导出到本地。

6-7-8-3 抓包工具

6.7.9 计划重启

        计划重启是一种网络设备管理的策略,允许管理员在特定时间或条件下自动重启设备,以确保设备的正常运行和性能。
        用户在实际使用中,可以根据业务需求在“系统〉计划重启”功能中设定设备定时重启的时刻,设备支持在每日、每周、每月固定时刻进行重启。
        在每月重启中,当选择的重启日大于当月实际天数时,设备将在当月最后一天重启。例如,选中在每月31日重启,在只有30天的月份中会在当月30号进行重启。

6-7-9 设定重启时刻

6.7.10 日志服务器

        日志服务器是一种专用服务器或软件应用程序,用于收集、存储和管理网络设备、应用程序和操作系统生成的日志信息。这些日志记录包括事件、警告、错误、活动和其他相关信息,对于监视、故障排除和性能优化非常重要。
        用户在“系统〉日志服务器”功能中启用日志文件服务器功能后,设备会定期将日志文件上传到指定的日志服务器服务器。

6-7-10 设置日志服务器地址

6.7.11 账号管理

        在“服务>账号管理”中,设置登录设备Web页面的用户名和密码,请妥善保管您的密码,避免泄露。


6-7-11 设置用户登录信息

6.7.12 其他设置

6.7.12.1 Web登陆管理

Web登录到设备本地界面超过一定时间后,将自动登出或断开连接,以保护用户的隐私和安全。

用户可以在 "系统 > 其他设置 > Web登陆管理" 中设置登出时间。一旦单次登录设备Web页面的在线时间超过设定的时间,系统会自动退出登录状态,需要重新登录以继续操作。


6-7-12-1 设置web登录超时时间

6.7.12.2 快速转发

         该功能可用于快速转发数据包,提高网络性能,默认关闭。
         用户在“系统〉其他设置〉快速转发”中开启此功能后,设备蜂窝速率将大幅提升,但IPSec VPN、流量整形等功能可能无法正常工作。

6-7-12-2 开启快速转发功能

6.7.12.3 自动重启

        边缘路由器专门设计自动重启的机制,帮助解决现场需要人工重启以恢复网络连接的情况。用户在“系统〉其他设置〉自动重启”中开启此功能后,当设备无法联网且重试一小时后仍无法接入网络时,设备将会自动重启。

6-7-12-3 开启自动重启功能

6.7.12.4 SIP ALG

        SIP ALG由两种技术组成,一种是会话发起协议(SIP),另一种是应用层网关(ALG)。该协议通常用于帮助管理和处理SIP通信(Session Initiation Protocol,用于建立和管理实时通信会话,如语音通话和视频通话)
       用户可在“系统〉其他设置〉SIP ALG”中开启此功能。若接入网络的设备存在VoIP电话通信,请禁用此功能。

6-7-12-4 开启SIP ALG功能

6.7.13 SD-WAN

        企业分支机构之间,往往需要进行通信,以满足业务数据传输、视频会议等需求。传统的VPN配置比较复杂,故障排除可能具有挑战性。北京映翰通引入了SD-WAN网络功能,通过用户友好的界面,帮助用户在分支机构之间快速创建连接。这不仅增强了链路的灵活性,还大大降低了运营和管理的复杂性,最终为企业用户提供了更好的网络体验.

6-7-13 SD-WAN应用场景

6.7.13.1 创建SD-WAN网络

        在小星云管家平台的“网络”功能中,选择“SD-WAN”,点击“添加”,您将被重定向到SD-WAN网络添加页面。

6-7-13-1 SD-WAN配置入口


6-7-13-1 配置SD-WAN网络

        当前的SD-WAN网络支持中心辐射型拓扑,设备角色分为中心设备和分支设备。所有分支设备都通过中心设备创建隧道,分支设备之间的流量通过中心设备。

中心设备:
  1. 中心设备需要公网IP地址来确保SD-WAN网络的运行。用户还可以通过IP映射来解决公网IP不足的问题。
  2. 在具有公网IP地址的中心设备上行接口与分支设备的所有上行接口之间创建隧道。
  3. 在防火墙规则中,中心设备的上游设备需要允许两个端口号,并将它们映射到ER系列路由器的上游接口。端口范围为1-65535。
  4. 支持的设备型号:ER805、ER605、ER2000
  5. 最多可以添加5个设备。
分支设备:
  1. 分支设备对公共 IP 地址没有特定要求。
  2. 可以添加多个分支设备,最终数量由中央设备的性能决定。
  3. 支持的设备型号:ER805、ER605。

6.7.13.2 添加设备

        在“添加网络”页面上,单击中心设备或分支设备的“添加”按钮,具体取决于要添加到网络的设备类型。选择设备后,提供设备的公网映射信息。如果需要修改设备的网络配置,可以点击本地网络的“编辑”按钮进行远程配置。

6-7-13-2-a 添加中心端设备


6-7-13-2-b 添加分支设备

        完成添加后,点击页面左下角的“保存”按钮,网络就创建成功了。现在,所有设备和选定的子网都将互连。在单个网络中,中央设备和分支设备的本地网络不能相同,因为这可能会影响通信

 6.7.13.3 检查SD-WAN网络状态

        添加网络后,系统会自动将您定向到拓扑页面。或者,您可以转到“SD-WAN 网络”列表,然后单击网络名称以访问拓扑详细信息页面。在网络中,所有分支设备都与中心设备创建连接。

6-7-13-3网络拓扑

将鼠标悬停在链路上时,它会显示与中心设备接口创建的隧道的状态。

7.安全注意事项

  1. 请使用原装电源适配器,避免因电源适配器和设备不匹配造成设备损坏。
  2. 安装设备时请勿将设备安装在强电磁干扰环境下,避免与高功率设备过于接近。安装完成后请确认设备是否易发生晃动,避免因设备跌落造成设备损坏。
  3. 请确认设备使用环境满足规格书所要求的温度和湿度。
  4. 请定期检查设备线缆,包括网线,电源适配器连接线,保持线材清洁,如有发生破损请及时更换。
  5. 清洁设备时,避免使用化学试剂直接喷洒在设备表面,避免损害外壳或内部组件。需要使用柔性的布料清洁产品。
  6. 请勿私自拆修或改装设备,这将会导致安全问题并且设备会失去保修资格。
  1. 边缘路由器:支持有线和蜂窝移动数据联网(4G、5G)进行网络连接,提供更多网络接入的方式。边缘路由器是一款支持SD-WAN的5G路由器,同时支持云平台统一管理。
  2. 普通路由器:通常依赖固定的宽带连接,如DSL、光纤,通过有线连接到网络。普通路由器无统一的管理平台和防火墙、SD-WAN等高级特性。

问题2:4G/5G无法联网?

  1. 物理环境:首先检查SIM卡是否插到正确的卡槽位,蜂窝天线是否全部安装。
  2. APN设置:确保APN的配置信息与运营商提供的一致。
  3. 检查设备连通性:登录到设备本地界面,通过系统自带的ICMP工具,ping 8.8.8.8测试是否连通,若可连通,则检查您的设备(如电脑、手机)与路由器的连通性。
  4. 判断SIM卡是否正常:取出SIM卡,安装在手机中查看是否可以正常联网。
  5. 重启:尝试将路由器断电,等待几秒钟,然后重新连接电源,重试网络连接。
  6. 恢复出厂:将路由器恢复出厂,然后重新尝试。

问题3:云平台是否免费?

        映翰通一直致力于为中小连锁机构提供优质的网络服务,用户使用云平台服务时,需要逐台购买许可费用,以享受丰富的云端功能。

问题4:设备如何添加到云平台?

  1. 首先通过https://star.inhandcloud.cn/ 网址注册小星云管家登录账号
  2. 使用注册账号登录到云平台,在设备菜单下点击“添加”,按照提示填写设备的序列号和MAC地址,即可完成添加。设备首次添加时,默认赠送1年免费基础版许可,后续用户可按需续费。

问题5:设备是否可以不用云平台?

  1. 可以。用户可以在本地完成绝大多数配置功能,但批量的配置下发、升级、SD-WAN、Connector等功能,需要结合云平台使用。
  2. 如果您无法通过上述答案解决问题或遇到其他问题,请联系北京映翰通网络技术股份有限公司获取技术支持。您可以访问www.inhand.com.cn获取更多信息。


    • Related Articles

    • 映翰通5G ODU2002用户手册

      声明 首先非常感谢您选择本公司产品!在使用前,请您仔细阅读本用户手册,通过遵守以下声明,将有助于维护知识产权和法律合规性,以确保您的使用体验与产品的最新信息相一致。如有任何疑问或需要获取书面许可,请随时联系我们的技术支持团队。 版权声明 本用户手册包含受版权保护的内容,版权归北京映翰通网络技术股份有限公司及其许可者所有。未经书面许可,任何单位和个人不得擅自摘抄、复制本手册的部分或全部内容,且不得以任何形式传播。 免责声明 ...

    • 映翰通企业级无线接入点EAP600用户手册

      声明 首先非常感谢您选择本公司产品!在使用前,请您仔细阅读本用户手册,通过遵守以下声明,您将有助于维护知识产权和法律合规性,以确保您的使用体验与产品的最新信息相一致。如有任何疑问或需要获取书面许可,请随时联系我们的技术支持团队。 版权声明 本用户手册包含了受版权保护的内容,版权归北京映翰通网络技术股份有限公司及其许可者所有。未经书面许可,任何单位和个人不得擅自摘抄、复制本手册的部分或全部内容,并不得以任何形式传播。 免责声明 ...

    • 映翰通边缘路由器ER605用户手册

      声明 首先非常感谢您选择本公司产品!在使用前,请您仔细阅读本用户手册,遵守以下声明,将有助于维护知识产权和法律合规性,以确保您的使用体验与产品的最新信息相一致。如有任何疑问或需要获取书面许可,请随时联系我们的技术支持团队。 版权声明 本用户手册包含受版权保护的内容,版权归北京映翰通网络技术股份有限公司及其许可者所有。未经书面许可,任何单位和个人不得擅自摘抄、复制本手册的部分或全部内容,且不得以任何形式传播。 免责声明 ...