H3C路由器说明

ER3100 路由器设置说明书
连接到因特网
上网方式
WAN口接入到因特网可选择的上网方式有静态地址、动态地址和PPPoE。

不同的运营商（如中国电信、中国网通）可能采用不同的接入方式，您必须选择正确的上网方式，具体信息您需要向运营商咨询。

静态地址(手工配置地址)：
IP地址设备的WAN口的IP地址。

这个地址是必须的，开户时，由运营商提供。

子网掩码设备的WAN口地址掩码。

这个掩码是必须的，开户时，由运营商提供。

缺省网关设备的WAN口网关地址。

这个地址是必须的，开户时，由运营商提供。

MTU WAN口最大传输单元。

主DNS服务器运营商通常会提供给您至少一个域名服务器(DNS - Domain Name Server)地址，您可以输入在这里，域名服务器可以把诸如""这样的域名翻译成为实际的IP地址。

辅DNS服务器如果运营商提供给您第二个DNS地址，请输入在这里，如果没有，不必填写。

动态地址(从DHCP服务器自动获取)：
如果选择了这个方式，那么IP地址、子网掩码、缺省网关、DNS服务器等参数可以自动从DHCP服务器获取到。

MTU WAN口最大传输单元。

主DNS服务器运营商通常会提供给您至少一个域名服务器(DNS - Domain Name Server)地址，您可以输入在这里，域名服务器可以把诸如""这样的域名翻译成为实际的IP地址。

辅DNS服务器如果运营商提供给您第二个DNS地址，请输入在这里，如果没有，不必填写。

主机名在使用DHCP获取IP参数的时候，DHCP服务希望您能告诉它您的机器名。

这个是可选项，您可以留空。

PPPoE(大部分的宽带网或xDSL)
PPPoE用户名输入PPPoE拨号时使用的用户名，这是必须的。

开户时，
由运营商提供。

PPPoE密码输入PPPoE拨号时使用的密码，这是必须的。

开户时，由
运营商提供。

MTU WAN口最大传输单元。

主DNS服务器运营商通常会提供给您至少一个域名服务器(DNS -
Domain Name Server)地址，您可以输入在这里，域名
服务器可以把诸如""这样的域名翻译成为
实际的IP地址。

辅DNS服务器如果运营商提供给您第二个DNS地址，请输入在这里，如
果没有，不必填写。

服务器名
（AC-Name）
PPPoE服务器名称。

服务名
（Service-Name）
PPPoE服务名称。

WAN口MAC地址克隆
WAN口MAC地址克隆
使用本设备原
来的MAC地
址
选中该项，设备将使用出厂时的MAC地址。

缺省选中该项。

使用这台PC 的MAC地址选中该项，这将把设备的MAC地址设置为您现在正在管理设备的计算机的MAC地址。

如果您以前是使用这台计算机上网，而现在要用本设备上网，则可以选中这个选项。

使用下面手工
输入的MAC
地址
选中该项，输入运营商指定注册的MAC地址。

WAN口模式
在这里您可以设置WAN口的连接速度和双工模式。

静态NAT
NAT设置
您局域网里的计算机在访问Internet时，需要将其私有的IP地址转换成运营商为您分配的公有IP地址。

自动使用WAN接口的IP地址选中该项，NAT会自动使用WAN接口当前的IP地址作为转换地址。

缺省选中该项。

使用地址池中的IP地址选中该项，NAT会使用您输入的IP地址范围作为转换地址，在该选项下，同一个私有IP地址会转换到固定的公网IP地址。

一对一地址转换
当您有多个公有IP地址时，您可以固定地把您局域网内某台计算机的私有IP 地址与公网IP地址建立映射关系。

在这种模式下，您局域网里的计算机以及Internet上的计算机都可以通过访问该公网IP地址来访问对应的计算机。

局域网设置
LAN 设置
设置LAN口的IP地址和子网掩码，内网的计算机可以通过LAN口IP地址来管理ER。

IP地址配置LAN口的IP地址。

子网掩码配置LAN口IP地址对应的子网掩码。

LAN MAC 克隆
ER出厂时，各个接口（LAN、WAN口）都有一个缺省的MAC地址，一般情况下，无需更改。

有些网吧为了防止ARP攻击，给内网计算机都设了网关的静态ARP表项，这种情况下，如果将原来的网关设备换成ER（网关地址不变），计算机无法学习到ER的MAC地址，您需要逐个修改内网中计算机的静态ARP表项才可使内网中的计算机正常上网。

LAN MAC克隆功能可以免除这样的重复劳动，只需将ER的LAN口MAC地址设为原来网关的MAC地址，内网计算机即可正常上网了。

使用本设备原来的MAC地址选中该项，LAN口MAC地址为出厂时的MAC地址，缺省使用ER原来的MAC地址。

使用下面手工
输入的MAC
地址
选中该项，输入其他MAC地址，一般为原网关的MAC地址。

DHCP 服务器
ER可以作为DHCP(Dynamic Host Configuration Protocol)服务器使用，为内网的PC分配IP地址。

但是如果您的网络上同时启用一个以上的DHCP服务器，将会出现冲突。

建议在启用此功能前，把其它的DHCP服务器停用。

如果您不需要使用本设备的DHCP功能，请不要钩选“启用DHCP服务器”选项。

地址池起始地址DHCP服务器地址池的起始地址，必须与LAN口设置在同一子网内。

缺省为192.168.1.2 。

地址池结束地址DHCP服务器地址池的结束地址，必须与LAN口设置在同一子网内。

缺省为192.168.1.254 。

地址池结束地址不能小于地址池起始地址。

地址池最大支持600个地址数。

地址租约将IP地址分配给DHCP客户端使用的时间长度，单位为分钟，取值范围为1～11520分钟。

默认为1440分钟。

DHCP客户列表
分配状态表列出了通过LAN口连接到本设备而且是通过DHCP方式从ER获取IP地址的所有PC的信息，包括IP地址、主机名、MAC地址等。

随着连接的PC的数量的增加，这张表将增长到地址池定义的最大的地址数。

<释放>按钮用于强制回收某一IP地址，使其可以被重新分配。

例如，如果一台PC已经关机了，您就可以使用这个按钮来释放它原来获取到的IP。

注意：只有本设备内的DHCP服务器被设置为启用的时候，才会维护更新这张表；通过IP/MAC绑定页面绑定的IP地址在此表中不能够被释放。

端口设置
可以配置LAN1、LAN2、LAN3的端口模式、广播风暴抑制、流控。

端口模式
可以选择以下模式中的一种。

注意：除了自协商模式，其它需要与对端设备设置成相同的双工模式。

Auto 自协商模式。

10M半双工10M半双工模式。

10M全双工10M全双工模式。

100M半双工100M半双工模式。

100M全双工100M全双工模式。

广播风暴抑制
如果内网中有大量的广播报文（可能由病毒导致），会影响网络的正常通信。

通过LAN口的广播风暴抑制功能，可以有效地抑制大量广播报文的传播，避免网络拥塞，保证网络业务的正常运行。

注意：广播风暴抑制功能各个LAN口必须设置成一致，可以设置为不抑制、低、中、高，这四个级别允许通过的报文数依次减少。

流控启用
流控是防止其它设备往ER发送的报文太多，超出了最大转发能力，引起网络拥塞的情况。

可以设置LAN1/2/3的流控要求，打勾则启用流控，否则不启用。

端口镜像
端口镜像，可将被镜像端口的报文复制到镜像端口，以进行网络检测和故障排除。

ER提供基于端口的镜像功能，可将被镜像端口的报文自动复制到镜像端口，实时提供各端口传输状况的详细资料，以便网络管理人员进行流量监控、性能分析和故障诊断。

例如：将被镜像端口LAN1端口上的报文复制到镜像端口LAN2上，通过镜像端口LAN2上连接的协议分析仪进行分析和记录。

镜像端口
在这里，勾选需要的镜像端口，其中WAN口不可选。

被镜像端口
在这里，勾选需要的被镜像端口，其中WAN口和LAN口不能同时被选中，同一个端口不能既配置为镜像端口又配置为被镜像端口。

IP/MAC绑定
IP/MAC绑定功能主要有两个作用：一个是按照IP/MAC绑定关系为DHCP客户端分配IP地址，另一个是仅允许内网中IP地址和MAC地址符合绑定关系的主机访问网关设备及外网。

（参考样例）
如果用户配置了IP/MAC绑定规则表，并且启用了DHCP服务器功能，那么DHCP服务器将先从IP/MAC绑定规则表中为DHCP客户端分配IP地址；如果DHCP客户端的MAC地址不在该列表中，则从DHCP地址池中分配一个可用IP地址给该客户；如果绑定的IP地址与LAN口IP地址不在同一网段内时，DHCP服务器从地址池中查找一个可用地址分配给该客户端，否则不分配；如果DHCP客户端绑定的IP地址被其它设备占用，则该DHCP客户端不能正常获取IP地址。

用户还可以指定仅允许IP/MAC绑定规则表中的客户端访问设备和外网，使用此功能后不在IP/MAC绑定规则中的客户端将无法访问设备和外网。

因此需要注意，在使能该功能前需要把管理PC的IP/MAC加入到IP/MAC绑定规则表中，否则启用该功能后，将无法继续通过WEB管理本设备。

主机名输入进行IP和MAC地址绑定的计算机名称。

支持1～15个
数字和英文字符。

主机名可以重复。

IP地址输入给该MAC地址分配的IP地址。

IP地址可以不在ER
DHCP服务器分配的地址池内，但要与LAN口IP地址在同
一子网内。

MAC地址输入该计算机的MAC地址。

输入格式为
xx:xx:xx:xx:xx:xx 。

增加/修改配置好上述信息后，点击<增加>按钮将该项规则添加到
IP/MAC绑定规则表中；如果是对一条已存在的IP/MAC绑
定规则进行编辑，点击<修改>按钮将新的规则添加到
IP/MAC绑定规则表中。

ARP列表导入如果不想逐条添加IP/MAC绑定规则，可以选择从设备当前
的ARP列表中导入IP/MAC绑定规则。

只需要点击<ARP
列表导入>按钮，在弹出菜单中选择想导入的IP/MAC信息，
点击<确定>按钮即可。

注意这种方式不能保证导入内网中所
有的PC。

导入/导出为了备份IP/MAC配置信息，可以点击<导出>按钮将配置
信息保存在指定位置；如果配置丢失，可以使用<导入>按钮
将之前备份的IP/MAC绑定规则重新导入。

全选/编辑/删除全选用于选中IP/MAC绑定规则表中的所有绑定规则；如果
需要删除IP/MAC绑定表中的一条或多条IP/MAC绑定规
则，先选择需要删除的绑定规则，然后点击<删除>按钮即可；
如果需要编辑一条已经存在的绑定规则，先选择该条规则，
然后点击<编辑>按钮，该条规则即出现在“IPMAC绑定表
项”框内，编辑完毕后，点击<修改>按钮，即可将更改后的
IP/MAC表项添加到IP/MAC绑定规则表中。

仅允许IP/MAC绑定的客户端访问外选中该选框后，将启用“仅允许IP/MAC绑定规则表中的客户端访问设备和外网”的功能。

同时会把“安全设置→ARP防攻
网击”页面中“启用ARP防攻击功能”自动选中。

确定在所有配置完成后，点击<确定>按钮使所有配置生效。

样例：为MAC地址为00:11:22:33:44:55 的PC分配指定的IP地址192.168.1.66 ，并且仅允许符合该IP/MAC绑定规则的PC访问设备和外网。

如下：
1、主机名：superuser
2、IP地址：192.168.1.66
3、MAC地址：00:11:22:33:44:55
4、点击<增加>按钮。

5、选中“仅允许IP/MAC绑定的客户端访问外网”选框。

6、点击<确定>按钮。

MAC地址过滤
因为局域网的同一台计算机有可能使用不同的IP的地址，针对不同的IP的地址，如果通过IP地址去控制就需要常常去更改过滤规则；而每台计算机的MAC地址是唯一不变的，所以通过MAC控制可以更有效的对局域网中的计算机进行上网控制管理。

（参考样例）
启用MAC地址过滤功能选中该项，启用MAC地址过滤功能，并根据MAC地址列表中的MAC地址控制内网计算机访问因特网。

如果不开启MAC地址过滤功能，局域网内的所有计算机都可以不受限制地访问因特网。

仅允许在MAC地址列表中的计算机允许访问因特网，其他的都禁止访问因特网。

仅禁止在MAC地址列表中的计算机禁止访问因特网，其他的都允许访问因特网。

增加添加需要控制的MAC地址。

IP/MAC列表导
入
从IP/MAC绑定列表中导入其中的MAC地址列表。

导入导入需要控制的MAC地址列表。

导出导出所有的MAC地址列表。

全选选择所有的MAC地址列表。

删除删除选中的MAC地址列表。

注意：MAC地址不区分大小写。

样例：禁止MAC地址为00:0f:83:16:35:4d的计算机访问因特网。

1、选择“启用MAC地址过滤功能”；
2、选择“仅禁止MAC地址列表中的MAC访问外网”；
3、在MAC地址表项中的MAC地址栏输入“00:0f:83:16:35:4d”，单击<增加>按钮之后单击<确定>按钮。

访问控制
为了方便您对内网计算机的进一步管理，通过访问控制，您可以根据时间段、数据包类型、内网计算机的IP地址等，对内网的计算机访问因特网作限制。

（参考样例）
时间规则每天生效的时间段，时间使用24小时制。

起始时间应早于终止时间，00:00～24:00 表示该规则在一天内任何时间都生效。

星期一周内哪些天规则生效。

源地址IP 内网中需要被控制的计算机的IP地址范围。

如
192.168.1.2~192.168.1.2 ，则表示只对IP地址是
192.168.1.2 的计算机进行上网控制。

目的地址IP 外网中需要被控制的计算机的IP地址范围。

如
210.122.6.12~210.122.6.12 ，则表示只对IP地址是
210.122.6.12 的计算机进行访问控制。

目的端口范围内网中计算机访问因特网的服务端口。

如23~23（telnet端口）表示对内网计算机通过telnet访问因特网进行控制。

协议需要控制的协议类型。

有ALL、TCP、UDP和ICMP四个选项，其中ALL包括TCP、UDP和ICMP。

缺省是ALL。

操作允许匹配的报文通过（允许）还是丢弃（禁止）。

位置将该条规则添加到访问控制列表中的指定位置。

注意：ACL规则从上往下匹配，位置越靠前，规则匹配的优先级越高。

确定增加该规则到访问控制列表。

样例：如果要让内网IP地址为192.168.1.20~192.168.1.25 的计算机，星期一到星期五，每天08:00~20:00禁止访问目的IP地址为210.122.6.12 的网站。

配置如下：
1、起止时间选择：08:00~20:00
2、星期选择：在星期一到星期五下面打勾
3、源IP地址填写：192.168.1.20~192.168.1.25
4、目的IP地址填写：210.122.6.12~210.122.6.12
5、目的端口范围为：1~65535
6、协议选择：ALL
7、操作选择：禁止
8、位置：1
样例：如果您不想让192.168.1.3 的计算机使用Email往因特网发送文件，但是允许接收Email。

因为发送Email的SMTP协议使用的是TCP 25号端口，接收Email的POP协议使用的是TCP 110号端口，所以您就可以通过禁止
192.168.1.3 的计算机访问TCP 25号端口来达到目的。

配置如下：
1、起止时间选择：00:00~24:00
2、星期选择：在星期一到星期日下面打勾
3、源IP地址填写：192.168.1.3~192.168.1.3
4、目的IP地址填写：0.0.0.0~255.255.255.255
5、目的端口范围为：25~25
6、协议选择：TCP
7、操作选择：禁止
8、位置：1
URL过滤
为了禁止内网中计算机对一些网站的访问，通过对路由器的设置，您可以限制内网中的计算机访问某些外部网站。

（参考样例）
按照配置的策略访问Internet站点选中该项，启用URL过滤功能，并根据URL控制列表中过滤规则控制内网计算机访问因特网站点。

URL控制列表选择“禁止”或“不生效”，并在后面文本框中输入要控制的站点域名或IP地址，支持1～63个数字和英文字符。

“禁止”表示禁止内网计算机访问指定网站，当“禁止”规则暂时不需要生效时，可以先切换到“不生效”状态。

增加添加需要控制的网站。

导入导入需要控制的网站列表。

导出导出所有的控制网站列表。

全选选择所有的网站列表。

删除删除选中的网站列表。

注意：网站控制功能只对Http协议生效。

样例：如果您想让内网的计算机都不能访问下面的网站：
1、您可以在路由器上启用“URL过滤”功能；
2、选择”按照配置的策略访问Internet站点”；
3、在URL过滤表项的操作类型选择选择“禁止”，在过滤地址编辑框内输入，单击<增加>按钮之后单击<确定>按钮。

样例：如果您想让内网的计算机都不能访问下面的网站：
:8080
1、您可以在路由器上启动“URL过滤”功能；
2、选择”按照配置的策略访问Internet站点”；
3、在URL过滤表项的操作类型选择“禁止”，在过滤地址编辑框内输入
:8080，单击<增加>按钮之后单击<确定>按钮。

如果禁止多个网站时，可重复上述步骤。

业务控制
为了控制内网的计算机使用QQ或MSN，通过对路由器的设置，您可以限制内网的计算机登录QQ或MSN。

（参考样例）
禁止QQ上线选中该项，启用禁止应用QQ的功能，内网的计算机将不能登录QQ服务器。

默认情况下不启用这个功能。

禁止MSN上线选中该项，启用禁止应用MSN的功能，内网的计算机将不能登录MSN服务器。

默认情况下不启用这个功能。

特权IP地址用来指定拥有特权的IP地址。

QQ特权选中该项，则该特权IP拥有登录QQ的特权。

MSN特权选中该项，则该特权IP拥有登录MSN的特权。

增加添加当前的特权配置到特权列表中。

全选选择所有的特权列表。

删除删除选中的特权列表。

编辑编辑选中的特权列表。

样例：如果您不想让内网的计算机登录QQ
1、您可以在路由器上启用“禁止QQ上线”功能。

2、点击<确定>按钮。

如果想控制MSN，同上面的操作。

样例：如果您只想让内网的计算机某台PC 登录QQ，例如192.168.1.10，您需要在启用“禁止QQ上线”功能的基础上，并设置如下特权
1、在特权IP地址框中输入192.168.1.10-192.168.1.10。

2、钩选QQ特权。

3、单击<增加>按钮之后单击<确定>按钮。

如果特权IP 有多个时，可重复上述步骤。

ARP防攻击
为了防止内网的某些主机对网关设备进行恶意的ARP攻击，ARP防攻击功能可以对指定规则的ARP数据包进行过滤，从而在一定程度上防止ARP攻击。

在当前的ARP防攻击功能中，分为两个层面，一个是ARP防攻击，另一个是ARP 防欺骗。

ARP防攻击功能主要防止内网大量的无效ARP请求数据包导致设备的ARP表项占满，从而使正常PC无法访问设备或是外网的情况。

该功能是与IP/MAC绑定规则表配合共同实现的，启用该功能后，设备只对符合IP/MAC绑定规则的ARP数据包进行处理，对其它ARP数据包直接丢弃，从而达到防止恶意ARP 攻击的功能。

因此在启用ARP防攻击功能前，需要先在IP/MAC绑定规则表中绑定合法的IP/MAC地址。

IP/MAC绑定规则表的配置方法，请参见IP/MAC 绑定页面。

ARP防欺骗功能主要防止内网的某些PC冒充网关设备的IP地址发送ARP信息，导致正常PC无法访问设备或外网的情况。

启用该功能后，用户还可以选择是否让网关设备定期发送其自己的ARP信息（主动发送免费ARP报文），以更新内网PC设备上与路由器相关的ARP信息。

样例：如果您想定义比较严格的ARP防攻击功能，即启用ARP防攻击又启用ARP防欺骗，并且让网关设备每隔1分钟主动发送其自己的ARP信息。

具体操作如下：
1、在“访问控制”->“IP/MAC绑定”页面添加内网所有PC的IP/MAC绑定信息；同时把“仅允许IPMAC绑定的客户端访问外网”选中，再单击<确定>。

2、在“安全设置”->“ARP防攻击”页面的“ARP防攻击功能”自动启用；
3、在“安全设置”->“ARP防攻击”页面选中“ARP防欺骗功能”选框；
4、在“安全设置”->“ARP防攻击”页面选中“主动发送免费ARP报文”选框；
5、在“安全设置”->“ARP防攻击”页面的“发送免费ARP报文的时间间隔”中填入60；
6、单击<确定>。

防火墙
本页面上一些设置，可以防止现有常见的攻击，开启防火墙功能，可以有效地保护本设备以及内网的计算机不受攻击。

注意：除了防止WAN口的Ping和防止Syn-Flood攻击，防火墙其它功能自动保持一直启用，无需修改。

防止WAN口的Ping
启用该项，ER不回应来自因特网的Ping请求，可以防止因特网上恶意攻击的Ping探测。

缺省禁用该功能。

防止Syn-Flood攻击
启用该项，ER可以防止来自因特网的、对内网服务器进行的Syn-Flood攻击。

可以根据服务器正常情况下的访问量来设定最大Syn包速率值，一般保持缺省值500包/秒即可。

缺省启用该功能。

防止短包
启用该项，ER可以防止可能会导致系统异常的短包攻击。

防止碎片包
启用该项，ER可以防止可能导致系统异常的碎片包攻击。

防止TearDrop攻击
启用该项，ER可以防止可能导致系统异常的TearDrop攻击。

防止Land攻击
启用该项，ER可以防止可能导致系统异常的Land攻击。

防止TCP空连接攻击
启用该项，ER可以防止来自因特网的、对内网服务器进行的TCP空连接攻击。

防止Ping Of Death攻击
启用该项，ER可以防止可能导致系统异常的Ping Of Death攻击。

UPnP
启用UPnP（Universal Plug and Play，通用即插即用）功能，ER可以实现NAT穿越：当内网的计算机通过ER与因特网通信时，ER可以根据需要自动增加、删除NAT映射表，从而解决一些传统业务（比如Netmeeting）不能穿越NAT的问题。

如果您想在网关设备上启用UPnP功能，选中“启用UPnP”选框；如果您想在网关设备上关闭UPnP功能，则取消选中“启用UPnP”选框。

缺省为启用。

流量统计
这个功能可以即时统计路由器LAN、WAN各物理端口的详细通信流量，以及网内各计算机上网的详细通信流量，并可以根据精度要求设置统计周期。

端口的流量统计是系统开机后一直进行的，不能关闭；网内计算机的流量统计可以选择启用或停用。

统计周期流量统计时计算流速率的周期值，默认为10秒。

启用内网IP流量统计开启和关闭”内网IP流量统计”功能。

只有开启时，“查看”下拉列表框才可用。

查看端口流量/IP流
量
选择显示端口流量统计表或IP流量统计表。

自动刷新启用时页面自动定期刷新最近的统计结果；禁用时需要用
户按<刷新>按钮刷新最近的统计结果。

确定更改“统计周期”或设置“内网IP流量统计”后，点<确定>
按钮才能生效；页面其它选项不需要单击<确定>，设置后
即时生效。

统计结果说明：
对于端口流量统计，总包数和总字节数是路由器开机以来通过的总的流量。

对于IP流量统计，总包数和总字节数是最近一次启用内网IP流量统计以来通过该IP的总的流量。

NAT表项个数是当前该内网IP向外网建立的NAT连接数。

IP流量统计结果排序：
为便于浏览，用户可以根据不同的统计关键字项对内网IP流量统计结果排序。

统计结果默认是包速率降序排列。

用户可以在感兴趣的统计列的表头上单击，此时页面的统计结果将按该列统计数据的降序排列，对应的关键字旁显示高亮的↓提示符；如果再次单击该关键字，切换到升序排列，显示高亮的↑提示符。

IP流量限制
这个功能可以限制内网计算机上网的通信流量，设备可以最多设置50条限制规则，最多同时支持512台PC的流量限制，并支持地址段的配置方式。

启用IP流量
限制
开启和关闭内网IP流量限制功能。

IP起始地址需要流量控制的主机IP地址范围内的第一个。

IP结束地址需要流量控制的主机IP地址范围内的最后一个。

上行流量上限允许指定IP范围内的主机上行通过的最大数据流量，单位是KB/s 。

上行流量上限的取值范围是1～10000KB/s 。

下行流量上限允许指定IP范围内的主机下行通过的最大数据流量，单位是KB/s 。

下行流量上限的取值范围是1～10000KB/s 。

限速方向对该IP地址范围内每IP应用的限速方向，可以选择只限上行方向、下行方向或双向同时限制。

注释对该表项的说明。

增加编辑完成后，点击<增加>按钮可以把当前编辑的限速规则加入限速表中。

确定用户单击<确定>后，限速规则表中的规则才能生效。

限制规则要点：
1.每条限速规则，如果是IP地址范围，表示该地址段内的每个IP最高速率都将限制到设定的上限值。

如果起始地址和结束地址相同，表示仅限制该IP的速率。

2.限速表中可以加入多条限速规则，一次提交确定生效。

配置规则时允许某几条中的IP地址重叠，但以后加入的规则优先级为高。

也即对于相同的IP地址，后加入的限速设置会覆盖先前的限速设置。

3.允许在限速表中对先前配置的规则进行删除、修改等操作。

但修改不能改变规则的优先级，生效规则仍以2的约定为准。

NAT表项限制
这个功能可以限制内网计算机向外网发起并建立的并发NAT连接数，设备可以最多设置50条限制规则，最多同时支持512台PC的NAT连接数限制，并支持地址段的配置方式。

启用NAT表项
限制
开启和关闭内网IP NAT表项限制功能。

IP起始地址需要限制NAT数的主机IP地址范围内的第一个IP。

IP结束地址需要限制NAT数的主机IP地址范围内的最后一个IP。

NAT表项个数上限允许主机向外网同时发起的最大NAT连接数，单位是条。

NAT 表项个数上限的取值范围是0～10000 。

注释对该表项的说明。

增加编辑完成后，点<增加>可以把当前编辑的限制规则加入限速表中。

确定用户单击<确定>后，限制规则表中的规则才能生效。

限制规则要点：。