powerstation 使用手冊桓基科技股份有限公司

PowerStation 使用手冊

桓基科技股份有限公司

2010 年版

2


總公司：300 新竹市東區水源街 69 號電話：(03)574-4141 傳真：(03)572-7899

內容

Chapter 1 開始前準備 ................................................................................................ 3

Chapter 2 PowerFamily 管理工具 ............................................................................ 8

Chapter 3 網路介面管理與模組簡介 ...................................................................... 16

Chapter 4 系統設定 ................................................................................................... 31

Chapter 5 網路組態設定 .......................................................................................... 51

Chapter 6 防火牆與線路負載平衡 .......................................................................... 61

Chapter 7 設定範例 .................................................................................................. 96

Chapter 8 Proxy ARP .............................................................................................. 127

Chapter 9 線路狀態偵測 ........................................................................................ 165

Chapter 10 Smart QoS ............................................................................................ 192

Chapter 11 連線頻率限制 ...................................................................................... 252

Chapter 12 Layer 7 Application Filter ................................................................... 265

Chapter 13 DHCP .................................................................................................... 279

Chapter 14 RAS ....................................................................................................... 299

Chapter 15 DAC ....................................................................................................... 337

Chapter 16 DNS ....................................................................................................... 424

Chapter 17 內進容錯機制 ...................................................................................... 443

Chapter 18 伺服器負載平衡 .................................................................................. 465

Chapter 19 App Sniffing .......................................................................................... 476

Chapter 20 系統資源 .............................................................................................. 485

Chapter 21 歷史紀錄 .............................................................................................. 491

Chapter 22 PowerFamily 記錄格式 ...................................................................... 510

3



Chapter 1 開始前準備

1-1 前言

桓基科技 PowerFamily 提供企業容易管理並具備網路安全防護的高效能整合式

防火牆安全閘道器，PowerFamily 內建入侵偵測系統與 L7 應用程式過濾器可對

封包進行深層檢視且具備整合多條線路之功能，提供流量負載平衡與線路容錯備

援。 PowerFamily 為企業提供 7 x 24 不間斷之可靠性、高效能與安全性，提升

企業的網路安全性。

PowerFamily 特色列表如下所示：

線路負載平衡

Outbound 負載平衡與容錯機制

Inbound 負載平衡與容錯機制

線路狀態偵測

QoS 管理

連線政策

主機政策

P2P QoS 政策

流量分析及報表

VPN 解決方案

遠端存取 (PPTP/L2TP)

VPN 負載平衡 (通道路由)

L7 應用程式過濾器

阻擋 P2P：BT、eDonkey、Kazaa、Gnutella、Foxy、WinMX

阻擋即時通訊程式：MSN、Yahoo、AOL、GTalk、QQ

4



1-2 主機與配件檢查

在開始設定 PowerFamily 前，請先確認相關配件是否隨硬體主機取得，各型號

主機配件都應該包含如圖 1：

PowerFamily 主機 x 1

網路線 (平行) x 1 網路線 (跳接) x 1

電源線 x 1 Null Modem Console 線 x 1

機架托架 (耳朵) x 2 螺絲 (共 8 個)

系統管理手冊 x 1 操作手冊 x 1

圖 1-1

5



1-3 主機介紹

1-3-1 主機正面:

PowerFamily 主機正面包含各網路埠與電源指示燈：

燈號狀況說明：

電源指示燈號：黃色燈 → 正常開機 ; 無燈號 → 電源連接異常

網路埠燈號：橘色燈 → 線路線連接正確

橘色燈與黃色燈 → 線路線連接正確且資料傳輸中

無燈號 → 線路線連接異常

圖 1-2

PowerFamily 依型號不同有不同網路埠數。PowerFamily 3040 包含 4 個 10/100

Mbps 的網路埠，網路埠號的排列依序如圖 1-2 所示是由左至右排列，各網路

埠說明如下表：

表 1-1

Port 編號 Port 名稱標示預設 IP 位址預設用途

0 eth0 MGMT 192.168.16.25/24 做為管理者連線設定

1 eth1 LAN 10.0.0.1/24 連接內部網路

2 eth2 DMZ N/A 連接 DMZ 對外伺服器

3 eth3 WAN N/A 連接對外專線、ADSL

出廠預設僅 MGMT 與 LAN 網路埠有預設 IP，而各網路埠的用途管理者可彈性

設定，預設用途僅提供參考

◎ 管理者可更改 PowerFamily 網路埠預設的用途

eth2 Port eth1 Port eth3 Port eth0 Port

電源指示燈

6



1-3-2 主機背面

圖 1-3

PowerFamily 各型號主機皆有兩個 2 個 Com Port：一個是 Console Port，使用

者可使用 Console 線 (Null Modem Console) 與 PowerFamily 的 Console Port

連接以登入系統並執行文字模式操作。

PowerFamily 另一個 Com Port 是 HA Port（如圖 1-3）。可使用 Console 線將

兩台 PowerFamily 主機連接。作為硬體高可用性 (HA) 備援，兩台主機分別為

Active 與 Passive 當 Active 主機異常時 Passive 主機會自動切換取代，可提供

PowerFamily 主機本身硬體備援，強化安全性，達到高可用的目的。

◎ 注意：各型號的 PowerFamily 的 Console 與 HA Port 位置不相同

Console Port HA Port 電源開關電源線插槽

7



1-3-3 硬體安裝介紹

將 PowerFamily 安裝於標準機架需要執行的步驟如下：

1. 使用配件中的螺絲，固定機架托架（耳朵）。

2. 將 PowerFamily 主機使用機架托架固定於機櫃如圖 1-4 所示。

圖 1-4

3. 如圖 1-4 所示，在機架前方的即為 PowerFamily 正面，而 Console Port 與

HA Port 則在背面。

8



Chapter 2 PowerFamily 管理工具

管理 PowerFamily 系統可藉由三種連線方式來做管理連線，分別為 WebAdmin、

SSH、Console。一般管理者僅需使用網頁瀏覽器來連線 PowerFamily 圖形化管

理介面，而除了使用瀏覽器連線管理介面以外，還可透過文字模式 SSH 連線做

管理，或是使用 Console 管理 (Null Modem console) 將電腦主機與

PowerFamily 的 Console Port 連接進行管理。

WebAdmin：管理者可透過網頁瀏覽器來連線至 PowerFamily 圖形化管

理介面以進行管理

SSH：提供管理者建立遠端安全通道至 PowerFamily 的文字管理介面，

以進行管理

Console：若無法遠端連線進行管理，管理者仍可以直接以 Console 線

連接至 PowerFamily 的 Console Port 以進行管理

圖 2-1

9



2-1 WebAdmin: 網頁管理介面

1. 利用筆記型電腦連接一條網路跳線和 PowerFamily 主機的 eth0 埠對接

2. 設定筆記型電腦的 IP 位址為 192.168.16.1 及子網路遮罩為 255.255.255.0

3. 開啟瀏覽器 (需使用 Internet Expolore 6.0 以上) 連線至

https://192.168.16.25:10000

4. 此時會跳出一安全性警示視窗，請點擊 Yes (Y) 以繼續

5. 接著請輸入以下之預設管理者帳號與密碼

User ID : admin

Password : 1234

6. 已順利進入 PowerFamily WebAdmin 網頁管理介面，主畫面如圖 2-2

圖 2-2

https://192.168.16.25:10000/

10



2-2 SSH: 遠端安全通道命令列管理介面

1. 利用筆記型電腦連接一條網路跳線和 PowerFamily 主機的 eth0 埠對接

2. 使用 SSH 客戶端軟體 (此例為使用 putty) 連線至 PowerFamily，需注意的

是，由於筆記型電腦是直接與 PowerFamily 對接，因此需位於同一網段才可

連線

3. 預設之登入帳號與密碼為：

帳號 : root

密碼 : 1234

Console [console]:ilovehgiga

◎ 需注意的是，WebAdmin 與 SSH 之認證帳號/密碼是不同的

下列步驟為使用 putty 進行 SSH 連線管理

1. 輸入 PowerFamily 之 IP 位址在「Host Name」欄位

2. 選擇 “SSH” 在「Protocol」欄位

3. 點擊「Open」

圖 2-3

11



4. 預設的 SSH 登入帳號及密碼為：

帳號 : root

密碼 : 1234

圖 2-4

12



2-3 Console 連線: 本地命令列介面管理

利用筆記型電腦連接一條 null modem 線和 PowerFamily 主機的 Console 埠連

線接，一般以在 Windows 平台來說“超級終端機”為最常使用之 Console 連線程

式，其程式位置位於「開始」→ 「所有程式」→ 「附屬應用程式」→ 「通訊」

→ 「超級終端機」

以下將一步一步的介紹超級終端機的設定方式

1. 啟動超級終端機並輸入連線名稱

圖 2-5

13



2. 選擇序列埠連線之 COM Port

圖 2-6

3. 輸入下列參數: 9600-8-None-1-None

圖 2-7

14



4. Console 連線之預設帳號密碼為

帳號 : root

密碼 : 1234

圖 2-8

◎ SSH 與 Console 連線使用相同之帳號與密碼

15



2-4 命令列介面指令介紹

使用 SSH 或是經由 Console 線與 PowerFamily 連線，管理者需輸入正確管理

者帳號、密碼才能登入，輸入正確帳號、密碼後就可進入文字模式的操作介面，

如不知如何使用文字模式操作畫面，可以利用『help』這個指令，可供操作的指

令就會列示在螢幕上。以下介紹 PowerFamily 目前所支援的指令列表：

表 2-1

命令介紹

clear 清除螢幕畫面

help 在螢幕上列出所有可用之指令

passwd 修改文字介面管理者 root 帳號的密碼

reboot 重新啟動 PowerFamily

reset 回復 PowerFamily 至出廠預設值，回復完成將重新啟動

PowerFamily

save 存取目前設定值至 CF 卡

ssh 以 SSH 連線至其它主機

telnet 以 Telnet 連線至其它主機

tools 進入 PowerFamily 所提供之工具程式命令介面，“tools” 提供常用

之命令工具以進行系統除錯

輸入 tools 進入工具程式介面，支援的指令如表 2-2

表 2-2

命令介紹

arp 列出系統目前的 ARP 快取表

arping ping 某個 IP 會回應其 MAC 位址，頇指定網路介面，可以查出

是否有重複使用的 IP，及某 IP 真正的 MAC 位址

ifconfig 列出系統網路介面所使用的 IP 位址，管理者可使用此工具程式暫

時性的改變系統網路介面的 IP 位址

ping 測詴目的主機網路狀況

route 列出系統目前的路由表

tcpdump 監聽網路封包

top 列出系統的使用狀態，像 CPU、記憶體、系統平均的負載情形，

列出目前總共有多少程式在跑等等

traceroute 顯示到目的主機封包所經過的路徑

16



Chapter 3 網路介面管理與模組簡介

3-1 WebAdmin

3-1-1 WebAdmin 主畫面

PowerFamily 網路管理介面如圖 3-1:

圖 3-1

System 狀態

圖 3-2

系統狀態顯示於主畫面上方相關資訊如表 3-1 所示：

表 3-1

Field Description

Version PowerFamily 軔體版本

Uptime 從系統重新啟動後的持續時間

Model 機器型號

Load 系統負載值，值越高代表系統負載越高

Host ID 主機的網域名稱

Connections 目前 PowerFamily 所偵測之系統總連線數

Memory Total 系統所有記憶體

Memory Free 系統目前可用記憶體

17



圖示描述:

表 3-2 介紹手冊中所用到之圖示

表 3-2

Symbol Descriptions

儲存目前設定資料到 CF 卡中，如此重開機時，才會保

留目前設定

登出系統，回到登入頁面。

資料上移。

資料下移。

刪除物件或資料。

新增一條規則。

編輯物件。

完成按紐或套用按紐

增加一筆資料

修改物件

瀏覽資料夾檔案。

升級檔案。刪除物件

快速檢視在所有設定頁面的各物件實際網路位置或通

訊協定及埠號

18



3-1-2 三步驟操作

[確定] [重新載入] [儲存]

管理者在操作 PowerFamily 各功能設定時，確認設定無誤後需在該設定畫面點

擊完成所做的設定，然而所做之設定雖然已經生效，但由於尚未寫入 flash，

重開機後設定並不會保留。回到『系統主選單』中，並按下左上角的

圖示儲存設定，可將設定寫入 flash 完成儲存動作。

◎ 注意：重開機前需在系統主畫面點擊才能在開機後有相同之設

定

19



3-2 模組介紹

PowerFamily 之系統模組如圖 3-3 所示：

圖 3-3

表 3-3

模組介紹

Network 網路相關設定，如系統介面 IP 位址、靜態路由、ARP 快取表

Security 網路介面優先權、安全政策、Inbound 政策、Outbound 政策...等

Smart QoS 連線、主機，的流量控管。

DAC(Auth) 帳號管理與身分認證。

Adcanced 進階功能，如:伺服器負載平衡、DHCP、DNS 等….

Traffic Report 流量報告分析與統計。

View Status 各線路即時狀態追蹤與統計，以及系統資源使用狀況。

View Logs 系統紀錄，如登入歷史紀錄、連線紀錄、系統操作紀錄...等

System 系統相關組態設定，如系統時間、系統管理員設定和系統服務設定

Parameters 各功能的參數設定管理。

Login

Network

Security

Smart Qos

DAC(Auth)

Advanced

Traffic Report

System

View Status

Parameters

View Logs

20



3-2-1 Network 模組介紹

圖 3-4

表 3-4

子模組介紹

Network Interfaces 乙太網路 IP 設定、PPPoE、Bridge、GRE，和 PPTP 裝置設定

Routing and Gateways 靜態路由、預設 gateway，和 ProxyARP 設定

ARP Cache Table 顯示系統 ARP 表

設定靜態 IP-MAC 對應

DNS Clinet 設定 PowerFamily 使用之 DNS 伺服器

Network

Network Interfaces

Routing and Gateways

ARP Cache Table

DNS Client

21



3-2-2 Network 模組介紹

圖 3-5

表 3-5

子模組介紹

Interface Priority 設定每個系統網路介面之介面優先權，如 WAN (優先權 0)、LAN

(優先權 3) 及 DNZ (優先權 1)，用以決定基本的安全存取政策

Security Policy 組態網路存取控制過濾規則，設定細項網路存取控制規則，包

括內到外、外到內、內到內...等

Inbound Policy 建立外 (WAN) 到內 (LAN) IP 對應規則，使用於當 DMZ 伺

服器 (使用私有 IP 位址) 欲讓外部使用者 (使用公有 IP 位

址) 存取

Outbound Policy 提供政策路由、LAN to WAN (NAT) 來源位址轉換及線路負載

平衡

IP/MAC Binding IP 與 MAC 對應控管

Object Definition 定義位置物件、服務物件、時間物件

Security

Interface Priority

Security Policy

Inbound Mapping

Outbound Routing

IP/MAC Binding

Ovject Definition

22



3-2-3 Smart Qos 模組介面

圖 3-6

表 3-6

子模組介紹

Connection-Policy 控管至單一連線所使用的頻寬。

Host-Policy 快速鎖定單一主機所使用的頻寬。

Parameters Smart QoS 功能的參數設定。

Advanced Functions 進階功能設定，如 [智慧型頻寬管理]、[連線頻率限制]、[L7 應用

層過濾器]、[伺服器負載平衡]

Link Status 列出每條線路之線路狀況與頻寬使用情況

Connection Info 顯示連線相關資訊，包括 [QoS 連線追蹤]、[即時連線統計]、[即

時連線追蹤]、[動態封鎖資訊]、[連線歷史資訊] ...等

Parameters 系統服務相關參數設定，如 [線路偵測]、[郵件通知]、[系統服務]、

[Smart QoS] 和 [流量報表]

Smart QoS

Connection-Policy

Host-Policy

Parameters

23



3-2-4 DAC(Auth) 模組介紹

圖 3-7

表 3-7

Sub-module Description

Account Management 帳號身分認證管理

DAC External Auth DAC 外部系統認證例如:POP3/SMTP、AD、LDAP 等..

DAC Account Replication 抄寫外部主機資料，使帳號同步

Decice List 管理追蹤各設備健康狀況

Parameters DAC 細部參數設定

Batch Import 利用 csv 檔案格式做帳號資料大批匯入

DAC(Auth)

Account Management

DAC External Auth

DAC Account Replication

Decice List

Parameters

Batch Import

24



3-2-8 Advanced 模組介紹

圖 3-8

表 3-8


Layer 7 Application Filter 主要過濾或阻擋一些 P2P、即時通、影音軟體等熱門網站

RAS 遠端存取服務

Connection Rate Limit 控管單一主機的連線數

Server Load Balance 將多台主機模擬成單一大型主機，在同時間分散承受高負載

Inbound Fault Tolerance 內進服務錯誤時，仍可正常運作

DHCP 動態主機設定協定，管理網路參數的分配

DNS 網域名稱系統，使網域與 IP 對應

WebAXL 網頁加速器

Link Node Quality 偵測各線路封包流量健康狀態

Advanced

Layer 7 Application Filter

RAS

Connection Rate Limit

Server Load Balance

Inbound Fault Tolerance

DHCP

Link Node Quality

DNS

WebAXL

25



3-2-9 Traffic Report 模組介紹

圖 3-9

表 3-9


Dtnamic QoS Tracking 觀察 Smart Qos 的各主機線路流量狀態

Top N List Smart QoS 主機線路流量排名

Host Analysis 主機頻寬分析

Service Analysis 服務頻寬分析

Application Analysis 應用協定分析

Connection Analysis 連線頻寬分析

Traffic Report

Dynamic Qos Tracking

Top N list

Host Analysis

Service Analysis

Application Analysis

Connection Analysis

26



3-2-10 View Status 模組介紹

圖 3-10

表 3-10


System Resources 系統資源例如:CPU、記憶體、網路卡等…

WAN Link Status 線路狀態

Connection Summary 即時連線統計

F/W Connection List 即時連線追蹤

SLB Connection List 即時負載平衡連線

Blocked Host List 即時封鎖主機

RAS Access Status RAS 連接狀態

DAC Login Status DAC 登入狀態

View Status

System Resources

WAN Link Status

Connection Summary

F/W Connection List

SLB Connection List

Blocked Host List

RAS Access Status

DAC Login Status

27



3-2-11 View Logs 模組介紹

圖 3-11

View Logs

System Resources

Console Login Logs

WebAdmin Login Logs

Configuration Logs

Security Logs

Operation Logs

RAS Access Logs

Dynamic Block Logs

Connection Logs

App Audit Logs

DAC Login Logs

ARP Protocol Logs

IDS/IDP Incidents

28



表 3-11


System Resources 系統相關事件，如系統時間改變、IP 位址設定...等

Console Login Logs SSH 及以 Console (RS 232) 線連線記錄

WebAdmin Login Logs WebAdmin 連線記錄

Configuration Logs 設定變更紀錄

Security Logs 安全性相關組態改變記錄

Operation Logs 系統運作紀錄

Dynamic Block Logs 動態封鎖記錄，開啟 [動態封鎖紀錄]，並設定最大連線數政策，在

此則會出現相關違反規則之主機封鎖記錄

Connection Logs 連線存取記錄

RAS Access Logs PPTP/L2TP VPN 客戶端存取記錄

DAC Login Logs DAC 客戶端存取記錄

App Audit Logs 應用層稽核紀錄

ARP Protocol Logs ARP 協定紀錄

IDS/IDP Incidents IDS/IDP 事件紀錄

https://192.168.6.123:10000/advfirewall/view_sniff_http_log.cgi

https://192.168.6.123:10000/advfirewall/show_remote_acid_log.cgi

29



3-2-12 System 模組介紹

圖 3-12

表 3-12

子模組介紹

Language 管理介面語系設定

Log 本地與遠端系統紀錄組態設定

Admins 管理系統管理帳號，如系統模組權限、帳號及密碼設定

System Time 設定系統時間、時區與 NTP 校時

Services 啟動/停止系統服務

Backup/Restore/Update 備份系統組態設定值、回復系統組態設定值和軔體更新

System

Language

Log

Admins

System Time

Services

Backup/Restore/Update

30



3-2-13 Parameters 模組介紹

圖 3-13

表 3-13


Link Detection 線路狀態細部設定

Notification Email 線路異常、登入設定記錄、資源系統報表等…透過 e-mail 通知

隨時掌握狀況。

Intrusion Detection 入侵偵測相關設定

Inbound Fault Tolerance 內進容錯機制細部設定

Bandwidth Accounting 網路流量計數相關設定

DAC Parameters DAC 身分認證相關設定

Smart QoS Smart QoS 相關紀錄設定

Traffic Report 流量報表相關設定

Server Load Balance 伺服器負載平衡相關設定

Firewall Policy 防火牆政策細部設定

Parameters

Link Detection

Notification Email

Intrusion Detection

Inbound Fault Tolerance

Bandwidth Accounting

DAC Parameters

Server Load Balance

Smart QoS

Traffic Report

Firewall Policy

https://192.168.6.123:10000/advfirewall/option.cgi?target=005&optionmode=parameters

https://192.168.6.123:10000/advfirewall/option.cgi?target=007&optionmode=parameters&opemode=parameters

https://192.168.6.123:10000/advfirewall/option.cgi?target=0012&optionmode=parameters

31



Chapter 4 系統設定

PowerFamily 提供以下系統管理功能，以讓管理者能方便的以圖形化介面來管

理：

Language：改變管理介面語系

Log：設定本地和遠端系統記錄

Admins：維護管理者帳號設定

System Time：改變系統時間、時區和設定網路校時 (NTP)

Services：啟動或關閉 PowerFamily 的系統服務

Backup/Restore/Update：備份、還原系統組態設定和執行系統靭體升級

於主畫面點擊 [System] 開啟畫面如下：

圖 4-1

32



表 4-1

子模組說明

Language 改變管理介面語系，目前 PowerFamily 支援英文、繁體中文、簡體

中文這三種語系

Log 設定本地和遠端系統記錄，提供細部記錄選項以供管理者設定

Admins 維護管理者帳號設定

新增、修改及刪除管理者帳號

設定該管理者帳號之 IP 登入範圍

設定管理者帳號系統模組權限

System Time 直接改變系統時間 (年、月、日、時、分、秒)

改變系統時區 (如 Asia/Taipei)

設定網路校時 (NTP)，可依管理者自訂 NTP 主機及系統內建

NTP 主機進行網路校時

Services 啟動或關閉 PowerFamily 的系統服務

Backup/Restore/Update 備份系統目前設定

回復系統目前設定

更新系統靭體

33



4-1 改變管理介面語系

1. 點擊 [System] → [Language]

圖 4-2

2. 選擇所欲改變之語系，目前 PowerFamily 所支援的語系分為

英文

繁體中文

簡體中文

3. 選擇完畢請點擊 [Change Language] 以完成設定

◎ 修改完成請記得至主畫面點擊以將設定值永久儲存

34



4-2 系統記錄

1. 點擊 [System] → [Log]

圖 4-3

2. 為了能在 [View Logs] 模組觀看系統記錄，必頇在此啟動記錄功能與設定記

錄選項，啟動記錄功能請在 [System Logs] 欄位選擇 “Enable”，並設定相關

記錄選項，設定完成後請點擊 [OK] 以完成設定

35



表 4-2 記錄事件型態

記錄事件型態說明

Auth 以 Console 線直接登入文字管理介面記錄

以 SSH 連線遠端登入文字管理介面記錄

以瀏覽器登入網頁管理介面記錄

System 任何關於系統操作之記錄，如 NTP 校時記錄、相關政策修改記

錄、物件修改記錄…等

Security 啟動此功能，包含下列變動記錄

[MultiHoming] → [Interface Priority] 變動記錄

[MultiHoming] → [Security Policy] 變動記錄

[MultiHoming] → [Inbound Policy] 變動記錄

[MultiHoming] → [Outbound Policy] 變動記錄

Connection 啟動此功能，PowerFamily 會按照 [MultiHoming] → [Security

Policy] 中的規則設定，記錄所有連資訊

表 4-3 記錄伺服器


Security Log Server 除了防火牆連線記錄外，所有其它的系統記錄均會傳送至此記錄

伺服器

Connection Log Server 所有防火牆連線存取記錄均會傳送至此記錄伺服器

PowerLog Security Log

Server : Port

除了防火牆與 PowerLog 連線記錄外，所有其它的系統記錄均會

傳送至此記錄伺服器

PowerLog Connection Log

Server : Port

所有防火牆與 PowerLog 連線存取記錄均會傳送至此記錄伺服器

36



4-3 維護管理者帳號

4-3-1 新增管理者帳號

以下步驟將建立一名為 “mis” 之管理者帳號，密碼為 “1234”，並開啟所有管理

模組權限

1. 點擊 [System] → [Admins]

圖 4-4

2. 點擊 [Create a new Sys Administrator]

圖 4-5

37



3. 可設定管理者帳號名稱 (Username)、密碼 (Password)、帳號存取控制 (IP

access control) 及模組權限 (Modules)，設定完畢以點擊 [OK] 以完成設定


38



4-3-2 修改管理者帳號

1. 點擊 [System] → [Admins]

圖 4-6

2. 點擊欲修改之管理者帳號，在此以 [admin] 為例

3. 可修改管理者帳號密碼 (Password)、帳號存取控制 (IP access control) 及模

組權限 (Modules) 修改完畢請點擊 [OK] 以完成設定

圖 4-7


39



4-4 設定系統時間、時區和 NTP

4-4-1 設定系統時間

1. 點擊 [System] → [System Time]

圖 4-8

2. 設定正確之時間日期，設定完成請點擊 [OK] 以完成設定

3. 請至主畫面點擊以將設定值永久儲存

40



4-4-2 設定系統時區


圖 4-9

2. 設定正確之系統時區，設定完成請點擊 [OK] 以完成設定


41



4-4-3 設定 NTP

NTP (Network Time Protocol)，為一同步系統時間之通訊協定，其使用 UDP port

123 連線至 NTP 伺服器同步系統時間。PowerFamily 預設啟動 NTP 且每 15

分鐘校時一次。預設 PowerFamily 已設定好多組 NTP 伺服器，管理者可依需

求自訂其 NTP 伺服器。設定 NTP 步驟如下：

1. 點擊 [System] → [Services] 以開啟 NTP 服務

圖 4-10

2. 設定完成請點擊 [OK] 以完成設定

42




圖 4-11

4. 設定完畢請點擊 [OK] 以完成設定


◎ 管理者所自訂的 NTP 伺服器會比 PowerFamily 預設 NTP 伺服器優先使用，

設定完成後，會在 15 分鐘內使用新的 NTP 設定值做網路校時

◎ 若第一台 NTP 主機無法連線，則 PowerFamily 會自動嘗詴第二台、第三

台…，直到可以成功連到任一台 NTP 主機為止

管理者自訂 NTP 伺服

器。

預設 NTP 伺服器。

High

Low

43



4-5 啟動或停止系統服務

管理者可至 [System] → [Services] 快速啟動或停止重要系統服務

圖 4-12

1. 選擇所欲開啟或停止之系統服務，設定完成請點擊 [OK] 以完成設定


44



4-6 備份及回復系統設定

4-6-1 備份系統目前設定

0. 至主畫面點擊先將設定值儲存

1. 點擊 [System] → [Backup/Restore/Update]

2. 點擊 [Download]

圖 4-13


Running Config File 目前系統設定檔。

Bootup Config File 開機系統設定檔。

Bootup Log File 開機記錄檔。

45



3. 選擇將系統設定資料檔案存放到指定資料夾，點擊 [儲存] 以將系統設定資

料檔案下載存放

圖 4-14

46



4-6-2 回復系統設定


圖 4-15

2. 點擊 [瀏覽]

3. 選擇欲回復之系統設定資料檔案，選擇完成請點擊 [開啟舊檔]

圖 4-16

◎ PowerFamily 之系統設定資料為以 “.pscfg” 為副檔名之檔案，而預設檔名為

47



以系統設定資料產生日期做為其檔名，管理者可改變檔名為所需之名稱，但

請勿改變副檔名

4. 點擊 [Update] 以將設定資料檔案上載至 PowerFamily 回復系統設定資料

圖 4-17

5. 出現以下畫面表示系統設定資料已回復成功，請將 PowerFamily 重新啟動

即可將回復設定值重新載入

圖 4-18

◎ 請勿在回復後點擊否則將以系統目前之設定值蓋掉回復之設定

值

48



4-7 更新系統軔體

目前 PowerFamily 靭體版本可在畫面上方之橫幅畫面查看，如下圖，目前該

PowerFamily 之靭體版本為 IPv6-6.1.16-1

圖 4-19

◎ 注意：更新系統軔體時，剩餘記憶體需至少 100 MB 以上，因此建議總記憶

體為 512 MB，或可按照下列步驟處理：

1. 停止無用到之系統服務

2. 重新啟動 PowerFamily

◎ 如圖 4-19，該 PowerFamily 安裝了 1024 MB 的記憶體，但由於需扣除內建

顯示卡所需的記憶體，因此實際上畫面總記憶體顯示並不會顯示 1024 MB。

以圖 4-19 來說：

總記憶體：1017948 KB

剩餘記憶體：597260 KB

更新 PowerFamily 靭體版本之步驟如下：


圖 4-20

49



2. 點擊 [瀏覽]

3. 選擇 PowerFamily 靭體檔案，並點擊 [開啟]

圖 4-21

4. 點擊 [Update Now] 以上載至 PowerFamily 更新靭體

圖 4-22

50



5. 出現如圖 4-23 畫面表示系統軔體已更新成功，請重新啟動 PowerFamily

即可使用新的靭體

圖 4-23

◎ 靭體更新依網路速度的不同而會有不同的等待時間，請耐心等候靭體更新完

成

◎ 更新靭體完第一次重新開機會有較長的等待時間，一般大約為 5 分鐘，請耐

心等候系統重新開機完成，並請勿中斷重新開機程序

51



Chapter 5 網路組態設定

5-1 網路介面

PowerFamily 預設網路位置如 “Chapter 1 安裝前準備” 介紹，更改 PowerFamily

網路位置可在管理介面更改各網路埠的 IP 配置

5-1-1 設定網路介面

在系統主畫面中『Network』點選『Network Interfaces』可以進入網路組態的設

定畫面。

圖 5-1

點選『Network Interfaces』後可設定 MGMT、LAN、DMZ、WAN 網路埠的位

置，設定畫面如圖 5-2：

52



圖 5-2

注意左方有『Show Available Interfaces』顯示所有可供設定的網路介面與『Show

In-Use Interfaces』顯示在使用中的網路介面。預設 PowerFamily 僅有 eth0

(MGMT Port)與 eth1(LAN Port) 兩張網卡有設定 IP 位址。

點擊『Show Available Interfaces』可顯示全部的網路介面，如 “Chapter 1 安裝前

準備” 之說明，若是想要設定可以直接點選網路介面的名稱，例如設定 eth3

(WAN Port)並依 ISP 提供的線路資料設定 PowerFamily 對外線路如圖 5-3：

圖 5-3

名稱 eth3 是指定的無法更改，其他的選項包括了 IPv4 Address、Netmask、Gateway

、Description (設定 WAN 需設定 Gateway 欄位，若是設定 LAN、DMZ 一般無

需設定 Gateway) 等，可以依照使用者不同的網路介面或環境做不同設定，確認

後點擊『OK』變更會馬上生效，如果希望在重開機後也有相同設定，可點選在

系統主畫面中左上角的『save』按鈕。

53



而除了設定固定 IP 線路 PowerFamily 也支援動態 PPPoE 協定之線路，設定

PPPoE 線路需準備好 ISP 業者所提供的 PPPoE 帳號、密碼用以作為連線認證，

點擊一個未再使用的介面，例如: 『eth2』選項選擇『PPPoE Link』可開啟設定

PPPoE 介面畫面如圖 5-4：

圖 5-4

將 PPPoE 帳號 / 密碼設定並點擊『Connect』既可完成設定，如果希望在重開

機後也有相同設定，可點選在系統主畫面中左上角的【save】按鈕

帳號

密碼

54



5-1-2 網路界面狀態

在系統主畫面中『Network』點選『Network Interfaces』再點選『Status』可以進

入網路界面狀態的畫面。

畫面中會顯示網卡介面、MAC 位置、封包數、傳輸量、連接狀態等…，由這邊

可以知道各網路線路狀況是否正常。

連接狀態:

Disconnected 未連接

Connected 連接

圖 5-5

欄位說明

Name 網路介面名稱

MAC Address 網路卡實體位置

Packets 封包數

Bytes 傳輸量(Bytes)

Errors 錯誤封包

Drops 丟棄封包

Collisions 碰撞封包

Status 連接狀態

Speed 傳輸速度

Duplex 雙工

Negotiation 交握

55



5-1-3 fr 網路介面

而 fr0、fr1、fr2 等，這些 fr 網路介面提供可以在兩張網路介面卡上用一組 IP

連接兩個不同區段的網路、方便快速設定與連接。例如:點選『fr1』，勾選『eth4』

與『eth5』兩張網卡。fr1 介面畫面如圖 5-6

圖 5-6

設定 IPv4 Address、Gateway 後，點選)『OK』。

5-1-4 GRE 網路介面

而 GRE 與 PPTP 網路介面非常的類似，不同處有二點，一為 GRE 通道需要

在二端設定靜態 IP 位址，二為其不需要認證 (PPTP 伺服器端需設定 VPN 帳

號以做認證)。PowerFamily 能利用 GRE 通道以達到 VPN 負載平衡及錯誤容

許。

圖 5-7

◎關於 GRE 裝置之設定資訊請參照 PowerFamily 操作手冊：0016-Tunnel

Routing (GRE)

http://tw.myfoxy.net/

56



5-2 路由與閘道設定

在 [Network] 點選 [Routing and Gateways] 圖示後會進入圖 5-8 之畫面：

圖 5-8

5-2-1 預設路由閘道設定

當系統收到資料決定要往外送時，Default Gateway(預設的路由器)要設定在哪一

個網路介面和哪一個路由器。以圖 5-8 為例，預設的路由器是 192.168.6.254，

而預設的路由介面則是 eth1。

57



5-2-2 靜態路由設定

靜態路由是當系統將網路封包送到某個網段位址時，所要使用的網路介面和閘道

器，以圖 5-9 為例，當系統要送資料到 172.16.1.0/24 網段位置時，會以

255.255.255.0 做為子網路遮罩，10.0.0.50 為閘道器來傳送。設定完點擊『OK』

設定便生效，此設定若是要在重開機後依然生效，務必到系統主畫面按

【save】鈕。

圖 5-9

◎ 詳細關於 [動態 ProxyARP] 與 [靜態 ProxyARP] 說明，請參考 “Chapter 8

ProxyARP”

58



5-2-3 靜態路由範例

如圖 5-10 之範例圖，該台 PowerFamily 連至 5 台路由器，每台路由器之 IP 位

址如圖 5-10 所示。PowerFamily 靜態路由之設定如表 5-1 所示：

圖 5-10

表 5-1 PowerFamily 靜態路由設定

目的地網域位址子網路遮罩下一站網路介面

LAN 1 10.0.100.0 255.255.255.0 192.168.16.23 eth0

LAN 2 10.0.101.0 255.255.255.0 10.0.0.26 eth1

LAN 3 172.16.20.0 255.255.255.0 172.168.0.246 eth3

LAN 4 172.16.21.0 255.255.255.0 172.168.0.246 eth3

LAN 5 172.16.22.0 255.255.255.0 172.168.0.246 eth3

LAN 6 192.168.100.0 255.255.255.0 10.0.2.254 eth2

LAN 7 192.168.248.0 255.255.255.0 10.0.2.254 or

10.0.3.254

eth2 or

eth4

LAN 8 192.168.9.0 255.255.255.0 10.0.3.254 eth4

LAN 9 192.168.205.0 255.255.255.0 10.0.3.254 eth4

192.168.100.2

R1

R5

R7

R4

R6R8

LAN 6

192.168.100.0/24

LAN 7

192.168.248.0/24

LAN 8

192.168.9.0/24

LAN 9

192.168.205.0/24

LAN 1

10.0.100.0/24

R2

R3LAN 2

10.0.101.0/24

LAN 4

172.16.21.0/24

LAN 3

172.16.20.0/24

LAN 5

172.16.22.0/24

192.168.16.23

10.0.100.254

10.0.0.26

10.0.101.24

172.168.0.246

172.168.20.254

172.16.22.25

10.0.2.254

192.168.100.254

192.168.248.1 192.168.248.87

192.168.9.1

192.168.9.254

192.168.205.253

192.168.9.21

10.0.3.254

172.16.21.254

59



5-3 ARP 快取表

在 [Network] 點選 [ARP Cache Table] 圖示後會進入圖 5-11 之畫面。管理者可

透過 ARP 快取表以查詢所有與 PowerFamily 相鄰之主機的 IP 與 MAC 位址

的對應。當某主機 IP 位址因為更換網路卡時會改變所屬的 MAC 位址，因此

可以手動刪除 PowerFamily 上的紀錄，讓 PowerFamily 上的紀錄可以快速更新，

否則就必頇等待一段 ARP 快取表的快取時間，快取時間過後 PowerFamily 才

會自動更新 (一般而言 ARP 快取時間為 20 分鐘，但因作業系統的不同，ARP

快取時間可能會有所變動)。

圖 5-11

表 5-2

欄位說明

Remove 勾選再按 [OK] 按鈕即可刪除此筆 ARP 快取記錄

IP Address 主機之 IP 位址

MAC Address 主機之 MAC 位址

Interface 相鄰於 PowerFamily 的哪個系統網路介面

◎ [ARP Packet Log] 與 [ARP Record List] 之詳細資訊請參考 “Chapter19 App

Sniffing”

60



5-4 DNS 客戶端

在 [Network] 點選 [DNS Client] 圖示後會進入圖 5-12 之畫面。在“DNS servers”

欄位可輸入 PowerFamily 所能使用的 DNS 主機，由上而下代表查詢動作的順

序。一般情況下不建議做此模組 (DNS 客戶端) 的設定，除非 PowerFamily 本

身兼具為該公司網域對外的 DNS 主機 (詳細設定方式請參考 “Chapter 16

DNS ”)，但一旦使用 PowerFamily 作為 DNS 主機時，安全性與負載能力也會

相對的降低，且建議在“DNS server”欄位設定一部屬於外部的 DNS 主機 (如：

Hinet 的 DNS 主機，168.95.1.1)，以避免 PowerFamily 無法解析到外部其它網

域的主機記錄。

主機識別碼就是 Host ID，更改之後在上面會顯示。

圖 5-12

61



Chapter 6 防火牆與線路負載平衡

6-1 防火牆安全性說明

6-1-1 PowerFamily 安全性介紹

PowerFamily 各網路埠如 MGMT 埠、LAN 埠、DMZ 埠、WAN 埠，各有預設

之優先值，網路連線的允許或禁止依優先值的大小決定，連線來源的網路埠，若

是優先值等於或是大於連線目地的網路埠，則允許連線（例如 LAN 埠到 WAN

埠允許），連線來源的網路埠，若是優先值小於連線目地的網路埠，則禁止連線

（例如 WAN 埠到 LAN 埠預設禁止）。

6-1-2 設定網路介面優先權

在系統主畫面點擊點選 [Security] 並點擊 [Interface Priority] 可以進入防火牆介

面優先權的設定畫面，各網路埠預設的優先權如圖 6-1 所示：

圖 6-1

圖 6-1 中 PowerFamily 的四個埠分別做為管理者連線（MGMT）、內部電腦網

路 (LAN)、對外伺服器網路 (DMZ) 及對外線路 (WAN)，旁邊的數字表示的就

是優先權，我們可以抓住一個觀念，就是數字比較大的代表的是優先權比較大，

而優先權相對較大的可以連線到優先權相對較小的地方，以圖 6-1 的例子來說

MGMT 與 LAN 網段擁有最大的優先權，可以透過防火牆連線到其他網路埠，

而連接 WAN 的 eth3 優先權為 0，是最小的，就無法連線到另外三處，當

PowerFamily 主機還未設定其他安全規則時，網路介面的優先權就已經定義好防

火牆的預設存取權限 (Default Secuity Policy)。存取權限如表 6-1 所示：

62



表 6-1

來源網路目的網路存取權限

eth0 (3) eth1 (3) GRANTED






eth2 (1) eth0 (3) DENIED






◎ 相同優先等級的網路埠允許相互連線

63



在 [Security] → [Internet Priority] 可以檢視或更改網路介面優先權設定，如圖

6-2 所示：

圖 6-2

NIC Alias 中的選項 “DMZ [PROTECTED]”、“LAN [INTRANET_3]”、“LAN

[INTRANET_3]” 都是在系統預設中已經定義的名稱，其 Priority (優先權) 相對

也已經預先定義。若要自定網路介面優先等級，我們可在 Priority (優先權) 欄位

選擇 “數字”，即可在右邊的格子裡勾選要開啟的服務名稱。而優先權也可自己

定義。

各數字對應的名稱:

-1 DISABLED

0 WAN [INTERNET]

1 WAN [UNTRUST]

2 DMZ [PROTECTED]

3 LAN [INTRANET_3]

4 ：

9 LAN [INTRANET_9]

◎ 事實上，管理者也可以在 [預設安全政策] 欄位設定 “完全禁止” 或 “完全允

許”，當成系統的預設安全政策

◎ 預設的 [預設安全政策] 為 “網路介面優先權”

64



6-1-3 其它選項

表 6-2

選項說明

Respond to Ping

WebAdmin Mgmt 預設情況下，系統管理權限在優先權為 3 以上的情況下才會

開啟，若管理者想要在優先權為 3 以下存取 WebAdmin ，

“WebAdmin Mgmt” 必頇被點選

SSH Mgmt 預設情況下，系統管理權限在優先權為 3 以上的情況下才會

開啟，若管理者想要在優先權為 3 以下存取 SSH Mgmt ，

“SSH Mgmt” 必頇被點選

PPTP/L2TP VPN 若 PowerFamily 也是一個 PPTP/L2TP VPN 閘道器，除了將

VPN 服務啟動以外，管理者必頇點選該選項以啟動外部使用

者的存取權限

DNS 若 PowerFamily 也是一個 DNS 主機，除了將 DNS 服務啟

動外，管理者必頇點選該選項以允許網路 DNS 查詢

DHCP 若 PowerFamily 也是一個 DHCP 主機，除了將 DHCP 服務

啟動外，管理者必頇點選該選項以允許客戶端能經由 DHCP

協定獲得 IP 設定資料

Log Access Attempts 若管理者想要記錄所有連線至 PowerFamily 之存取嘗詴記

錄，請點選此選項以啟動它

Intrusion Detection 點選此選項可啟動入侵偵測功能

Data Access Control 若系統網路介面啟動 DAC，使用者在存取網路前均必頇經過

認證

URL Filtering 與 WebAxl 配合設定過濾所設定的網站 (URL)

Check TCP 3-Way

Handshake

連往該介面之連線是否需要檢查 TCP 三方交握

Check Spoofed Sources 檢查來源是否偽造 (用路由方式判斷)

Drop Pkts of Private

Sources

禁止封包的來源位址為私有網段

Strict Address Verification 網路介面所進入的封包，必頇是此網路介面所屬的 IP 網段

(此介面的網段並連接其他路由器)

65



6-2 設定防火牆物件

一般來說，當我們把網卡的優先權設定好了以後，防火牆會自動產生預設的過濾

規則，把所有由 WAN 要進入 DMZ 及 LAN 與 DMZ 要進入 LAN 的網路連線一

律阻絕掉，只允許 LAN 到 WAN、DMZ 或是 DMZ 到 WAN 的連線。而由於

PowerFamily 是以物件作為設定規則的基礎，所以在我們開始建立防火牆規則前

我們需先建立 PowerFamily 的物件，需要設定企業網路環境中的主機、網段、

服務、對外線路的相關物件。

在 PowerFamily 設定物件可在系統主選單點選 [Security] → [Object Definition]

後可進入防火牆的設定畫面，如圖 6-3 所示：

圖 6-3

66



三大類型物件:

Address Object (位置物件):可建立單一 IP 或一整個網段。

Service Object(服務物件):各服務所對應的 Port，例如:http 80 Port、ftp 25 Port 等..

Time Object(時間物件):限制物件可使用的時間範圍。

設定畫面各欄位所代表的意思分別是：

1. No.

欄位『No』表示物件的編號

2. Delete (刪除)

可一次勾選多筆物件做刪除，勾選完後按下方『OK』按鈕。

3. Action (動作)

對此物件做修改。

對此物件做刪除。

4. Object Name (物件名稱)

可自定物件的名稱，中英文皆可。

5. Comment (備註說明)

對此物件做一些詳細的解釋。

6. Property (內容屬性)

物件的內容，可以是 IP、網段或是服務的 port。

7.按鈕

確認鈕，使設定生效。

新增物件按鈕，每新增一筆物件之後，要再次點選此按鈕，不然會附蓋上

一筆資料。

67



PowerFamily 對於網路連線處理動作如表 6-3：

表 6-3

動作說明

Allow 允許符合規則的網路連線

Deny 禁止符合規則的網路連線

Reject 禁止連線並回應錯誤訊息

Log 記錄存取嘗詴

Allow + Log 允許連線並記錄 Allow connections and log

Deny + Log 記錄禁止連線 Log denied connections

Reject + Log 禁止連線並記錄 Reject connections and log

None 停用該規則

新增防火牆規則的方式如下：

1. 在 [Security] → [Security Policy] 把滑鼠遊標移到 Action 下面的變成手

狀並點下。

圖 6-4

2. 出現如下畫面：

圖 6-5

選擇來源物件目的地物件

服務物件時間物件

68



設定畫面各欄位所代表的意思分別是：

1. Rule ID(規則編號):由電腦自動產生的編號。

2. Rule Order(規則順序):規則判定的優先順序，小到大可自行選擇。

3. Rule Status(規則狀態):可選擇是否啟動規則，啟動/關閉。

4. Match(比對條件):建立的物件會被顯示於此，選擇自訂規則。

5. Policy(管控政策):決定規則是否允許被連線。

6. Options(其他選項):是否開啟此規則的連線紀錄。

7. Commnet(備註說明):用文字簡述表達此規則的功能。

3. 在所新增的規則中，變更規則中各欄位的物件，需要把遊標移到 Action 欄

位的，來作欄位物件之變更。

圖 6-6

4. 各欄位包括 [Source]、[Destination]、[Service] 、[Time]皆可以相同方式變

更物件變更物件完畢並按『OK』既完成設定，圖 6-5

5. 在 [Security] 模組下的 [Inbound Mapping] 與 [Outbound Routing] 新增規

則方式相同

6. 將設定值生效，請點擊

7. 將設定值永久儲存，請點擊

https://192.168.18.100:10000/advfirewall/dmz.cgi

https://192.168.18.100:10000/advfirewall/dmz.cgi

69



6-2-1 設定主機物件

假設我們想要新增一台主機 web-server，IP 則是 211.75.30.162，以下就是設定這

台主機的步驟：

1. 把遊標移到 Security(安全政策)→Object Definition(物件定義)上，點下後會跳

出另一個視窗如圖 6-7：

圖 6-7

列表中分為兩個區塊，A 區代表目前物件的類型(章節 6-2)， B 區顯示出目前現

有已建立的物件，C 區顯示建立物件的欄位，新增其他網路物件可在 C 區(Obect

Property)中建立。圖 6-8

A B C

70



圖 6-8

71



2. 在(Obect Property)表格中建立 6-9 的畫面，可設定物件名稱，位置：

圖 6-9

3. 設定完成後按下按鈕，使此物件生效並儲存，若要使此物件永久儲存，

寫入 Flash 中，再點選，完成物件 IP 位置設定，此時就完成了新

增 web-server 這台主機的設定工作。

而物件的詳細欄位說明以及按鈕圖片都在上面章節『6-2 設定防火牆物件』中，

可做參考。

輸入要新增物件的名稱

設定 IP/Netmask

表示主機或是網段

可一次建立多筆，成為群

組物件

Exclude 此欄位

做勾選代表排

除物件，顯示時

會以表示。

儲存此物件

72



6-2-2 設定網段物件

除了新增一台主機之外，也可以新增一個網路物件，設定的方式和主機物件也很

像，假設公司內部是使用 10.0.0.0/24 做為內部網段，新增一個名為 Inside-Lan 的

物件，網路範圍是 10.0.0.0/24，設定步驟如下：

1. 把遊標移到 Security(安全政策)→Object Definition(物件定義)上，點下後會跳

出另一個畫面如圖 6-7：

圖 6-10

接下來就會出現物件設定的畫面，如圖 6-11

73



圖 6-11

新增網段的方式和新增主機的方法非常的相似，但是稍有不同要注意的地方是在

IPv4 Netmask 的地方，因為我們要加入的主機包含了 10.0.0.0 ~10.0.0.255，所以

可以直接輸入 10.0.0.0/24 來建立網段物件，設定畫面如圖 6-11。

之前的操作都是在 “Include” 的地方來操作，在 “IPv4 Address” 左方有一

個 ”Exclude”欄位，代表的則是這個網路物件不包含哪個主機，以圖 6-11 的例

子來說，如果 Inside-Lan 這個物件要包含的是 10.0.0.0 ~ 10.0.0.255 中除了

10.0.0.3 以外的所有主機，那麼我們可以在剛剛新增的方式之後，在

“Exclude“ 這個地方加入一個 IP 位址為 10.0.0.3 的主機並做勾選，Inside-Lan

這個物件就不包含 10.0.0.3 這台主機了，且在顯示時此物件會出現圖案做判

別。新增時也可以建立多筆 IP 與多筆網段，成為群組，如圖 6-12 所顯示。

圖 6-12

輸入要新增物件的名稱

輸入要新增物件的

IP 網段:

255.255.255.0(/24)

可一次建立多筆，

成為群組物件

除此行設定

儲存此物件

Exclude 此欄位

做勾選代表排

除物件，顯示時

會以表示。

74



再新增規則選擇物件時，有兩個特殊系統物件： ALL 和 localhost

在列表中我們可以看到兩個物件，一個是 ALL，另一個是 localhost，是特殊的系

統物件，使用者並不能對這兩個物件作任何設定的更改，這兩個物件代表如表

6-4

表 6-4

預設物件名稱物件包含範圍

localhost PowerStatino 本身所有 IP 位址集

合

ALL 除了 localhost 之外其它所有的 IP

位址集合

75



6-2-3 設定網路服務物件

常見網路服務物件，預設已經包含在 PowerFamily 中，若是需要新增新的網路

服務物件，點選『Security』→ 『Object Definition』→『Service Object』上，

變成手狀後按下滑鼠左鍵會跳出另一個視窗，和新增主機、網路物件相同的，可

以新增另一個 Service 服務物件，新增網路服務方式如下：

1. 點選 Service Object 如圖 6-13，可設定特定網路服務

圖 6-13

https://192.168.6.123:10000/advfirewall/fw_host_obj.cgi

76



2.設定網路服務需設定服務所使用的協定與 Port 範圍，如圖 6-14

Object Name 的地方輸入 TCP-23

TCP/UDP 選擇 TCP

Dest Port 輸入 23，

Source Port 若不輸入同等於 1024:65535，不輸入會顯示”Any”。

並按下鈕後就完成了 TCP-23 這個 service 的新增工作。

圖 6-14

77



6-2-4 設定物件群組

假設要新增一個 Mail 的服務，裡面包含 SMTP(25 Port)、POP3(110 Port)、

IMAP(143Port)，這三種 service 都是屬於 Mail 的 service，則可以把它們歸類

為 Mail-service，而 Mail-service 就是一個群組物件，設定 “Object Property” 畫

面如圖 6-15：

圖 6-15

在 “Object Name” 地方輸入群組物件的名稱 SQL-service，接著把已三個 service

相對應的 Port 分別填入欄位中，如圖中把 SMTP(25 Port)、POP3(110 Port)、

IMAP(143Port) 這三個物件的 Port 都加進去，設定之後按鈕就完成了新增

群組物件的工作。

78



6-2-5 設定對外線路物件

當設定 PowerFamily 網路位置時系統就會自動產生對應的線路設定，例如

WAN 埠的 IP 設定時，如有輸入 Gateway-IP 時，系統會自動加入 WAN 埠的

線路物件 eth1-line

圖 6-16

線路物件產生後會顯示在『Outbound Routing』的『Via』欄位中。

另外若是在網路設定中指定 PPPoE 對外線路，系統也會自動產生 eth2-PPPOE

的線路名稱

圖 6-17

設定對外線路 IP 位置

會自動產生線路物件

79



6-3 新增防火牆過濾規則

6-3-1 防火牆過濾規則說明

管理者發現異常網路來源需要阻擋特定位置時，或是需要管制內部網路對外連線

時，可藉由 [Security] → [Security Policy] 來作設定

6-3-2 防火牆過濾規則實例

假設現在有一家公司正使用著 PowerFamily 來控管公司的網路，公司內部的 IP

為 10.0.0.1/24，網路管理者所在的 IP 則是其中一個 IP 位址 10.0.0.3，網路管

理者想要讓公司內部連外的 web service (http、https) 可以通過，但是其他的服

務則被擋住，而網路管理者自身的 IP 則是可以擁有對外的 telnet、ssh 和 ftp 的

服務，這樣的管理方式在防火牆規則中設定的方式如下：

6-3-2-1 設定內部連外管制

1. 首先是設定 10.0.0.0/24 這個網段物件並命名為 Inside-Lan，並設定

MIS-Host (IP 10.0.0.3) 主機物件，設定物件的方式如 6-2-1 節說明

2. 在 [Security] → [Security Policy] 設定 Inside-Lan 允許連線 http 與 https 如

圖 6-18：

圖 6-18

3. 第二條要加入的則是讓網路管理者可以擁有連外的 http、https、telnet、ssh、

ftp 的服務，再加上這條規則之後如圖 6-19 所示：

圖 6-19

80



4. 第 3 條要建立的是讓 Inside-Lan 連外的所有 service 都擋住，如圖 6-20 所

示：

圖 6-20

5. 若 [預設安全政策] 設定為 “完全禁止”，則在此將不需建立步驟 4 之規則

圖 6-21

6. 點擊以確認設定

圖 6-22

7. 永久儲存設定值，請點擊

81



如此就完成網路控管所想要的設定了。請特別注意，PowerFamily 的規則有照順

序作比對的，所以順序千萬不可前後顛倒，以免導致設定無效。而上述說明還需

增加 [Outbound Routing] 設定，內部網路才能正常連外，設定 [Outbound Routing]

請參考 6-5 節介紹

◎ PowerFamily 設定規則需考慮到規則的次序

6-3-2-2 阻擋異常連線來源

如果管理者發現某個 IP 位置，有詴圖攻擊內部網路的疑慮，可透過 PowerFamily

把此異常 IP 位址阻擋，設定方式說明如下：

1. 建立一個可疑來源位置的物件名稱 (例如 Bas-host)，並將可疑攻擊來源位置

加入此物件

2. 在 [MultiHoming] → [Security Policy] 設定以如圖 6-23 規則

圖 6-23

3. 永久儲存設定值，請點擊

依照上述步驟既可將異常 IP 位址來源作阻擋

https://192.168.16.25:10000/advfirewall/outbound_policy_ipv4.cgi

https://192.168.16.25:10000/advfirewall/outbound_policy_ipv4.cgi

82



6-4 設定 Inbound Mapping 規則

6-4-1 Inbound Mapping 說明

DMZ （Demilitarized Zone）在企業網路一般用以提供對外服務的伺服器主機區

段。伺服器主機區段連接於 PowerFamily 主機標示為 DMZ 埠的位置，提供獨

立的 DMZ 埠可將對外服務網段與內部網路及網際網路分開。增加整體網路安

全性，避免駭客攻擊。而在設定 DMZ 時需有二個政策要設定：

1. 建立外到內對應

2. 開啟允許外部使用者存取 DMZ 伺服器之安全政策規則

[Inbound Mapping] 能夠讓管理者能連立 1 對 1 完全對應規則、多對 1 完全對

應規則、1 對 1 與多對 1 埠 (Port) 對應規則。而設定好 [Inbound Mapping] 規

則後預設會在 [Security Policy] 自動產生允許外部使用者之存取規則。

[Inbound Mapping] 規則各欄位說明如下：

圖 6-24

83



表 6-5

欄位說明

No. 欄位 “No.” 表示規則的編號，點選其旁邊的圖示可新增規則 “Add

Rule"，若是有數條規則，可點選此欄位作編輯、刪除、向上移、向下移等選

項。

Original Packet 來源封包，由 PowerFamily 進行網路位址的轉換

Source: 客戶端初始連線來源 IP 位址，可在此設定多值

Destination: 客戶端欲存取之伺服器公有 IP 位址，可在此設定多

值

Service: 所提供之服務，可在此設定多值 the application service

provided for Internet users. Multiple values are allowed here.

Translated

Packet

轉換後封包，由 PowerFamily 將來源封包進行網路位址轉換，將連線對應到

內部主機

Destination: 真實伺服器的 IP 位址，在此只能設定一個 IP 位址

Service: 所提供的服務，對應於原始封包

網路封包經過 PowerFamily 執行封包轉換，可將來自 Internet 的網路連線封包目

的地位置，轉換為內部提供服務主機的網路位置，以下介紹設定範例。

84



6-4-2 設定 Inbound Mapping 範例

圖 6-25

在網際路網路的使用者要連線到公司內部伺服器（例如：網頁伺服器）需要透過

Inbound Mapping 的設定。如圖 6-25，假設公司網頁主機的對外 IP 位置為

211.75.30.162 而在內部的網頁伺服器位於 PowerFamily DMZ 網段，主機 IP 位

址為 192.168.1.10，設定方式如下：

1. 依照 6-2-1 的設定方式設定 outsite-www 網路物件 (IP 211.75.30.162/32) 與

insite-www 網路物件 (IP 192.168.1.10/32)

2. 在 [MultiHoming] → [Inbound Mapping] 並依 6-2 節介紹之方式新增規則如

圖 6-26：

3.

圖 6-26

R1

211.75.30.0/24V1 V2

S1

S4

S2

S3S5

192.168.1.0/24

1

No.

192.168.1.10 http211.75.30.162

InternalServiceExternal

1

No.

192.168.1.10 http211.75.30.162

InternalServiceExternal

211.75.30.162Ext-Server

192.168.1.10Int-Server

IP AddressObject Name

211.75.30.162Ext-Server

192.168.1.10Int-Server

IP AddressObject Name

DMZ

85



永久儲存設定值，請點擊

如上設定即完成公司網頁主機對外 IP 位置對應到 DMZ 網段的網頁伺服器位置

設定，且僅允許連線 TCP 80 Port。

設定完 [Inbound Mapping] 規則，是告訴 PowerFamily 要把真實 IP 位址的網路

服務，對應到 DMZ 區段的主機上，設定完成後會自動在 [Security] → [Security

Policy] 設定所對應的安全政策，也就是自動產生外部連線到 DMZ 區段主機允

許的設定 (在 [Security Policy] 產生編號為 Inbound 0001、Inbound 0002… 等規

則)如圖 6-27:

圖 6-27

86



6-5 設定 Outbound Routing 規則

6-5-1 Outbound Routing 介紹

[Outbound Routing] 其提供二種功能，可以讓內部區域網路中的機器使用虛擬私

人 IP 位址，透過網路位址轉譯 (NAT) 的技術轉換成真實的 Puhlic IP Address，

企業僅需一個真實合法 IP 位置，就可供內部所有電腦主機連外使用。

1. NAT：可以讓內部區域網路中的機器使用私有 IP 位址，透過網路位址

轉譯 (NAT) 的技術轉換成真實的公有 IP 位址，企業僅需一個真實合法

IP 位址，就可供內部所有電腦主機連外使用

2. Policy Routing (政策性路由)：若 PowerFamily 連接多條 ISP 線路，則

路由偵測會依來源、目的、服務，並依在 [Outbound Routing] 的設定進

行線路負載平衡與容錯

6-5-2 Outbound Routing 規則項目說明

圖 6-28

如圖 6-28，[Source]、[Destination]、[Service] 項目在之前都有介紹過，使用的

方式也相同，後面的項目則是和 NAT 相關的項目，如表 6-6

表 6-6

欄位說明

No. 欄位 “No.” 表示規則的編號，點選其旁邊的圖示可新增規則 “Add

Rule"，若是有數條規則，可點選此欄位作編輯、刪除、向上移、向下移等選

項。

Via 定義要被做為路由的線路，表示由 Source 到 Destination 的服務要經由哪一條

路出去。若有二條線路 (或二條以上) 被設定在同一列的 “Via” 欄位，則

PowerFamily 會在所定的多條線路上進行流量負載平衡

NAT 可以選擇 YES(Auto Selection)、NO，或選擇指定某個網卡的 IP 位址來決定

是否要做 NAT 偽裝及 NAT 偽裝方式。一般而言，都是以 YES 或 NO 為

主， YES 就是一般所謂的動態 NAT 偽裝，NO 表示不作 NAT 偽裝

87



6-5-3 Outbound Routing 設定範例

6-5-3-1 範例 1: 簡易 NAT

如圖 6-29，假設內部使用者所使用的網段為 10.0.0.0/24 (連至 LAN Port) 且對

外線路為某 ISP 所提供之 ADSL 線路，以下步驟將說明內部使用者連外必要的

設定程序：

圖 6-29

設定步驟如下：

1. 建立連線物件

當線路閘道器被設定在系統網路介面時，連線物件會自動產生。例如在

eth2 (WAN Port) 的 IP 位址及閘道器設定完成後，將會產生 “eth2-line”

連線物件，且可在 [Outbound Routing] 中使用

2. 建立網路物件

建立內部網段物件 10.0.0.0/24 且命名為 “Internal-LAN”，設定方式可

參考 6-2-2 節

3. 建立 [Outbound Routing] 規則

i. 在 [MultiHoming] → [Outbound Routing]，移動滑鼠游標至

圖示或移至，新增一條規則並點擊滑鼠左鍵。

圖 6-30

R1

211.75.30.0/24

H1

H4

H2

H3H5

10.0.0.0/24

LAN

88



ii. 在 [Source] 欄位，勾選“Internal-LAN”物件，如圖 6-31:

(“Internal-LAN” 代表內部網段 10.0.0.0/24)

圖 6-31

iii. [Destination]、[Service] 欄位勾選“ALL” 即可，如圖 6-32

圖 6-32

89



iv. 在 Via 欄位勾選 eth2-line 網路連線物件，如圖 6-33

圖 6-33

v. 在 SNAT 欄位選擇 “YES (Auto )” 以啟用 NAT，如圖 6-34

圖 6-34

vi. 點擊以確認設定

vii. 永久儲存設定值，請點擊

圖 6-35

90



6-5-3-2 範例 2: 線路負載平衡

PowerFamily 能夠整合多條對外線路，假設公司有三條對外線路，則

PowerFamily 能設定使用這三條線路做為線路負載平衡

如圖 6-36，為 PowerFamily 連接三條對外線路，一條專線、一條靜態 ADSL 線

路與一條動態 PPPoE 線路

圖 6-36

PowerFamily 的系統網路介面 IP 位址與三條對外線路如表 6-7 所示

表 6-7

用途線路型態網路介面位址閘道器位址

WAN1 專線 211.75.30.164/29 211.75.30.161

WAN2 靜態 ADSL 210.68.28.113/24 210.68.28.111

WAN3 PPPoE ADSL 動態分配動態分配

LAN 10.0.0.1/24

91



假設有啟動 [線路狀態偵測]，若 PowerFamily 偵測到線路失效，則 PowerFamily

會依據在 [Outbound Routing] 所設定之線路進行 outbound 容錯。例如管理者能

設定如下之政策：

當 ADSL-A 斷線， ADSL-B 與 ADSL-C 為備援線路

當 ADSL-B 斷線， ADSL-A 與 ADSL-C 為備援線路

當 ADSL-C 斷線， ADSL-A 與 ADSL-B 為備援線路

圖 6-37

設定步驟如下:

1. 建立連線物件

當 PowerFamily 的系統網路介面設定為線路時，連線物件會自動產生。

例如當設定 eth0 系統網路介面的 IP 位址與閘道器，連線物件

“eth0-line” 將會自動產生

2. 建立網路物件

建立內部網段物件 10.0.0.0/24 並命名為 “Insite-lan”，設定方式請參考

6-2-2 節

[線路狀態偵測] 會偵測每一條

線路的狀態，如線路正常/錯

誤、傳送/接收速率、線路回應

時間與封包遺失率等。基於這些

資料的收集，PowerFamily 能進

行線路負載平衡與線路容錯

92



3. 建立 [Outbound Routing] 規則

i. 如圖 6-38 在 [Security] → [Outbound Routing] 選擇 “Action 欄位”

以建立一條新規則

圖 6-38

ii. 在 [Rule Status] 欄位選擇 “Enabled” 啟動此規則。

iii. [Source]選擇 Insite-lan，[Destination]、[Service] 選預設值 “ALL”

即可，如圖 6-39

圖 6-39

https://114.32.232.178:10000/advfirewall/index.cgi

93



iv. 如圖 6-40，再 Via 加入三個線路物件 eth0-line、eth1-line 及

eth2-PPPoE，接著在 [NAT] 欄位選擇 “YES (Auto Selection)”

圖 6-40

v. 點擊 “OK”以確認設定

圖 6-41

vi. 永久儲存設定值，請點擊

94



6-5-3-3 範例 3a: 政策路由與線路負載平衡

ADSL 其中之一的特性為接收頻寬往往都是大於傳送頻寬 (非同步特性)，因此

ADSL 線路相當適合用在接收頻寬導向的應用，如 HTTP

以下將設定 PPPoE 線路做為網路瀏覽使用 (HTTP 流量)：

1. 在 [Security] → [Outbound Routing] 建立一條新規則，設定 [Source] 為

“Insite-lan”，[Destination]為 “ALL”，[Service] 為 “http”，[Via]為

“eth2-PPPoE” 並讓它為第一條規則

2. 在 [Security] → [Outbound Routing] 建立第二條規則，並在 [Via] 欄位

將所有線路新增上去

圖 6-42



95



6-5-3-4 範例 3b: 政策路由與線路負載平衡

如圖 6-43，PowerFamily 連接二條線路，分別經由系統網路介面 eth2 與 eth3。

假設內部私有 IP 位址想存取網路服務，則網路位址轉換必頇被啟用 (NAT)。而

管理者想要有效的利用這些線路，並定義一些政策如下：

H8 主機使用 eth2-line 線路存取網路服務

H9 主機使用 eth3-line 線路存取網路服務

HTTP 服務，預設為使用 eth2-line 線路

SMTP 服務，預設為使用 eth3-line 線路

所有其它的網路服務交由 PowerFamily 決定最佳路由

圖 6-43

完成之規則設定如圖 6-44 所示

圖 6-44

5

4

3

2

1

No.

eth2-line

eth3-line

eth3-line

eth2-line

eth3-line

eth2-line

Line

YESALLALLALL

YESsmtpALLALL

YEShttpALLALL

YESALLALLH9

YESALLALLH8

NATServiceDestSource

5

4

3

2

1

No.

eth2-line

eth3-line

eth3-line

eth2-line

eth3-line

eth2-line

Line

YESALLALLALL

YESsmtpALLALL

YEShttpALLALL

YESALLALLH9

YESALLALLH8

NATServiceDestSource

R1 R2

H8 H9

eth3-lineeth2-line

192.168.16.0/24

142.24.20.0/24211.75.30.0/24

96



Chapter 7 設定範例

本章節列出一些常見的 PowerFamily 設定範例

7-1 範例 1：簡易防火牆

PowerFamily 之設定需求如下及圖 7-1 所示：

客戶是一家小型的零售業公司，網路架構為：

對外線路為一條 ADSL 線路和一個公司內部網路 LAN

該公司有提供對外 Web、DNS 和 Mail 等相關對外服務

需求：

1. Internet 使用者只能存取伺服器所提供之服務，其餘服務均禁止

2. 公司內部網路的使用者對於 Internet 服務存取全部允許

圖 7-1

Router: 210.243.241.222/27

eth0 : 210.243.241.193/27

eth1 : 192.168.1.9/24

SwitchSwitch

RouterRouter

Remore Desktop Server

Private IP:192.168.1.4

Public IP:210.243.241.195

Web/Mail/DNS


Public IP:210.243.241.194

MS-SQL Server


Public IP:210.243.241.197

AD Server


Public IP:210.243.241.198

Router: 210.243.241.222/27

eth0 : 210.243.241.193/27

eth1 : 192.168.1.9/24

SwitchSwitch

RouterRouter

Remore Desktop Server


Public IP:210.243.241.195

Web/Mail/DNS


Public IP:210.243.241.194

MS-SQL Server


Public IP:210.243.241.197

AD Server


Public IP:210.243.241.198

97



7-1-1 範例 1：PowerFamily 組態設定

系統網路介面設定

表 7-1

用途系統網路介面 IP 位址閘道器

WAN eth0 210.243.241.193/27 210.243.241.222

LAN eth1 192.168.1.9/24

Inbound 服務對應

表 7-2

WAN IP 服務 LAN IP

210.243.241.194 Web/Mail/DNS 192.168.1.3

210.243.241.195 Remote Desktop Server 192.168.1.4

210.243.241.197 MYSQL 192.168.1.5

210.243.241.198 LDAP

Remote Desktop Server

192.168.1.7

98



7-1-2 範例 1：PowerFamily 系統畫面

網路介面

圖 7-2

eth0 為該公司 ADSL 線路，設定對外線路時需設定閘道器 (Gateway)

eth1 為該公司內部網路 LAN，設定時不需要設定閘道器

路由與閘道器

圖 7-3

在 [網路介面] 中設定完網卡後，系統會自動產生所相對應的路由，若無靜

態路由要增加時則不需要作任何修改設定，直接使用系統自動產生的路由即

可

99



網路介面優先權

圖 7-4

[網路介面優先權] 對外線路 eth0 設定為 0，公司內部網路 eth1 設定為 3

表示將預設的防火牆權限設定為 WAN 網路不允許連往公司內部網路

LAN，公司內部網路 LAN 允許連往 WAN 的所有網路服務

100



Inbound 政策

圖 7-5

設定公司所提供的對外網路服務之對應，該公司分別提供 DNS、Web、與

Mail 等相關的網路服務，在這要注意的是設定好 [Inbound 政策] 規則後

PowerFamily 預設會在 [安全政策] 自動產生允許外部使用者對公司所提供

的對外網路服務之存取規則。

101



Outbound 政策

圖 7-6

在 [Outbound 政策]是設定將公司內部網路對外網路服務的存取走

eth0-line，並自動將公司內部網路來源位址轉換為 eth0 系統網卡 IP 位址

102



7-2 範例 2：一般防火牆設定


客戶是一家電子公司，網路架構為：

對外線路一條 ADSL 線路和一個公司內部網路 LAN

由於安全性的考量該公司將所提供的對外網路服務之伺服器主機均放

置於 DMZ 區中與公司內部網路 LAN 作實體網路的區隔

需求：



圖 7-7

Router: 210.241.239.217/29

eth0 : 210.241.239.221/29

eth1 : 192.168.200.254/24eth2 : 172.16.0.254/24

LAN

DM

Z

SwitchSwitch

RouterRouterDNS/Web


Public IP:210.241.239.218

Mail Server


Public IP:210.241.239.218

Net:192.168.200.0/24

GW:192.168.200.254

Router: 210.241.239.217/29

eth0 : 210.241.239.221/29

eth1 : 192.168.200.254/24eth2 : 172.16.0.254/24

LAN

DM

Z

SwitchSwitch

RouterRouterDNS/Web


Public IP:210.241.239.218

Mail Server


Public IP:210.241.239.218

Net:192.168.200.0/24

GW:192.168.200.254

103





表 7-3


WAN eth0 210.241.239.221/29 210.241.239.217

LAN eth1 192.168.200.254/24

DMZ eth2 172.16.0.254/24


表 7-4

外部 IP 服務內部 IP

210.241.239.218 DNS/WEB 172.16.0.25

210.241.239.218 Email 172.16.0.21

104




網路介面

圖 7-8

eth0 為該公司 ADSL 外線，設定對外線路時需設定閘道器


eth2 為該公司 DMZ 區，設定時不需要設定閘道器

路由與閘道器

圖 7-9

在 [網路介面] 中設定完網卡後，系統會自動產生所相對應的路由，若無靜

態路由要增加時是不需要作任何修改設定，直接使用系統自動產生的路由即

可

105




圖 7-10

[網路介面優先權] 對外線路 eth0 設定為 0，公司內部網路 eth1 設定為 3，

公司所提供對外服務伺服器 eth2 設定為 1，表示將預設的防火牆權限設定

為：

WAN 網路不允許連往公司內部網路 LAN 和 DMZ 區

公司內部網路 LAN 和 DMZ 區允許連往 WAN 的所有網路服務

DMZ 區不允許連往公司內部網路 LAN 但公司內部網路 LAN

可以連往 DMZ 區

106



Inbound 政策

圖 7-11

設定公司所提供的對外網路服務之對應，該公司分別提供 DNS、Web、與

Mail 等相關的網路服務。在 [Outbound 政策] 產生 NAT 的規則，規則編

號分別為 1、2 …等

107



Outbound 政策

圖 7-12

規則 1 和 2 是因為公司有提供對外網路服務，是設定將公司內部網路對外

網路服務的存取走 eth0-line 並將公司內部網路來源位址轉換為 eth0 系統

網卡 IP 位址

108



7-3 範例 3：線路負載平衡


客戶是一家有規模的電子公司，網路架構為：

對外線路有三條 ADSL 線路和一個公司內部網路 LAN

該公司利用 Router 與一廠網路相互連接

需求：

1. Internet 使用者只能存取伺服器所提供之服務,其餘服務均禁止


3. 客戶對外的網路服務存取要以這三條 ADSL 線路要作流量的負載平衡

圖 7-13

Serial 0/1 : 10.0.0.2/30

serial 0/1 : 10.0.0.1/30

Net: 172.17.1.0/24GW: 172.17.1.254

LAN

Internet

一廠Net: 172.16.2.0/24GW 172.16.2.254

Ethernet 0/0 : 172.16.1.253/24

Ethernet: 172.16.2.254/24

PowerStation

eth0: IP: 210.243.241.193/27GW: 210.243.241.222

eth1: IP: 210.241.239.221/29GW: 210.241.239.217

eth2:IP: 211.21.189.90/29GW: 211.21.189.89

eth3:IP: 172.16.1.254/24

Router A Router BRouter C

Router D

Router E

Switch

Ethernet 0/1 : 172.17.1.254/24

Serial 0/1 : 10.0.0.2/30

serial 0/1 : 10.0.0.1/30

Net: 172.17.1.0/24GW: 172.17.1.254

LAN

Internet

一廠Net: 172.16.2.0/24GW 172.16.2.254

Ethernet 0/0 : 172.16.1.253/24

Ethernet: 172.16.2.254/24

PowerStation

eth0: IP: 210.243.241.193/27GW: 210.243.241.222

eth1: IP: 210.241.239.221/29GW: 210.241.239.217

eth2:IP: 211.21.189.90/29GW: 211.21.189.89

eth3:IP: 172.16.1.254/24

Router A Router BRouter C

Router D

Router E

SwitchSwitch

Ethernet 0/1 : 172.17.1.254/24

109




系統網路介面

表 7-5


WAN eth0 210.243.241.193/27 210.243.241.222

WAN eth1 210.241.239.221/29 210.241.239.217

WAN eth2 211.21.189.90/29 211.21.189.89

LAN eth3 172.16.1.254/24

靜態路由

表 7-6

網域位址子網路遮罩下一站網路介面

10.0.0.0 255.255.255.0 (/24) 172.16.1.253 eth4

172.16.2.0 255.255.255.0 (/24) 172.16.1.253 eth4

172.17.1.0 255.255.255.0 (/24) 172.16.1.253 eth4

110




網路介面

圖 7-14

eth0 ~ eth2 為該公司 ADSL 外線，設定對外線路時需設定閘道器


路由與閘道器

圖 7-15

在 [網路介面] 中設定完網卡後，系統會自動產生所相對應的路由。由於

該公司利用 Router 與一廠網路相連，所以需設定往一廠網段的靜態路由，

將一廠所使用到的相關網段 (10.0.0.0/24、172.16.2.0/24、172.17.1.0/24) 往

下一個節點 172.16.1.253 轉送

111




圖 7-16

[網路介面優先權] 對外線路 eth0 ~ eth2 均設定為 0，公司內部網路 eth3 設定

為 3，這表示將預設的防火牆權限設定為 WAN 網路不允許連往公司內部網路

LAN，公司內部網路 LAN 允許連往 WAN 的所有全部網路服務

112



Outbound 政策

圖 7-17

由於此客戶沒有提供對外網路服務，規則一中設定公司內部網路 172.16.2.0/24，

一廠網段 172.16.2.0/24 和 10.0.0.0/24 對外網路服務的存取是經由三條 ADSL

對外線路其中一條出去，會選擇哪條對外線路出去的原則是 PowerFamily 會利

用當時線路偵測中所偵測出的線路品質判斷三條對外線路哪條品質較好，就由哪

條線路出去

113





客戶是一家科技公司，網路架構為：

對外線路二條 ADSL 線路和一個公司內部網路 LAN

該公司有提供對外 FTP 與 Terminal Service 等相關對外服務

需求：

1. Internet 使用者只能存取伺服器所提供之服務,其餘服務均禁止


3. 公司所提供的 Terminal Service 只允許來源位址為 59.125.130.40 才可

以連線

4. 公司內部網路的使用者對於 Internet 服務存取均走 ADSL 2 線路

圖 7-18

Router: 210.243.241.222/27

eth0 : 210.243.241.193/27

FTP Server 1Private IP:192.168.1.3

Public IP:210.243.241.194

FTP Server 2 Private IP:192.168.1.4

Public IP:210.243.241.195

Terminal ServicePrivate IP:192.168.1.5

Public IP:210.243.241.198

Router

Terminal Service 只限制來源位址為 59.125.130.40

才可以連線

eth2 : 192.168.1.9/24

Router

Router: 210.241.239.217/29

eth1 : 210.241.239.221/29

ADSL 1ADSL 2Router: 210.243.241.222/27

eth0 : 210.243.241.193/27

FTP Server 1Private IP:192.168.1.3

Public IP:210.243.241.194

FTP Server 2 Private IP:192.168.1.4

Public IP:210.243.241.195

Terminal ServicePrivate IP:192.168.1.5

Public IP:210.243.241.198

Router

Terminal Service 只限制來源位址為 59.125.130.40

才可以連線

eth2 : 192.168.1.9/24

Router

Router: 210.241.239.217/29

eth1 : 210.241.239.221/29

ADSL 1ADSL 2

114




系統網路介面

表 7-7


WAN eth0 210.243.241.193/27 210.243.241.222/27

WAN eth1 210.241.239.221/29 210.241.239.217/29

LAN eth2 192.168.1.9/24


表 7-8

來源位址外部 IP 服務內部 IP

59.125.130.40 210.243.241.198 Terminal 192.168.1.5

ALL 210.243.241.195 FTP 192.168.1.4

ALL 210.243.241.194 FTP 192.168.1.3

Outbound 服務對應

表 7-9

來源位址目的地位址服務線路 NAT

192.168.1.0/24 ALL ALL eth1-line YES

115




網路介面

圖 7-19

eth0、eth1 為該公司 ADSL 外線，設定對外線路時需設定閘道器


網路介面修先權

圖 7-20

[網路介面優先權] 對外線路 eth0、eth1 均設定為 0，公司內部網路 eth2 設

定為 3，表示我們將預設的防火牆權限設定為 WAN 網路不允許連往公司

內部網路 LAN，公司內部網路 LAN 允許連往 WAN 的所有全部網路服務

116



Inbound 政策

圖 7-21

設定公司所提供的對外網路服務之對應，該公司分別提供 FTP 與 Terminal

Service 等相關的網路服務，在 [Outbound 政策] 產生 NAT 的規則，規則

編號分別為 1~3 …等

Outbound 政策

圖 7-22

規則 1 ~ 3 是因為公司有提供對外網路服務，在 [Inbound 政策] 設定完後系統

自動產生的。規則一 (3 下方那條) 為設定將公司內部網路對外網路服務的存取

走 eth1-line，並自動將公司內部網路來源位址轉換為 eth1 系統網卡 IP 位址

117





客戶是一家雜誌出版社，網路架構為：

對外線路為二條 ADSL 線路和一個公司內部網路 LAN

該公司有提供對外 DNS、 FTP、WEB 與 Mail 等相關對外服務

需求：



3. 公司的 Mail Server 主機對外的連線所使用的對外 IP 需為

210.243.241.194

4. 公司內部網路的使用者對於 Internet 服務存取均走 ADSL 2 線路

圖 7-23

118




系統網路介面

表 7-10


WAN eth0 210.243.241.193/27 210.243.241.222/27

WAN eth0:1 210.243.241.194/27

WAN eth1 210.241.239.221/29 210.241.239.217/29

LAN eth2 192.168.1.9/24


表 7-11

來源位址外部 IP 服務內部 IP

ALL 210.243.241.194 Mail 192.168.1.3

ALL 210.243.241.195 FTP 192.168.1.4

ALL 210.243.241.198 WEB/DNS 192.168.1.5


表 7-12

規則順序來源位址目的地位址服務線路 NAT

Before-DMZ 192.168.1.3 ALL Mail eth0-line eth0:1(210.243.241.194)

After-DMZ 192.168.1.0/24 ALL ALL eth1-line YES

119




網路介面

圖 7-24

eth0 、eth1 為該公司 ADSL 外線，設定對外線路時需設定閘道器

eth0:1 是為了要讓 Mail Server 主機對外所使用的對外 IP 而設定的，在此

有設定的 IP 才會在 [Outbound 政策] 中 NAT 的下拉式選單中出現，需特

別注意



圖 7-25


定為 3，表示我們將預設的防火牆權限設定為 WAN 網路不允許連往公司


120



Inbound 政策

圖 7-26

設定公司所提供的對外網路服務之對應，該公司分別提供 Web、FTP、DNS

與 Mail 等相關的網路服務，在這要注意的是設定好 [Inbound 政策] 規則

後，在 [Outbound 政策] 產生 NAT 的規則，規則編號分別為 1~3 …等

121



Outbound 政策

圖 7-27

規則 1 ~ 3 是因為公司有提供對外網路服務，在設定此範例 [Outbound 政

策] 時需特別小心，因為客戶要讓 Mail Server 主機所使用的對外 IP 為

210.243.241.194，所以此需求必頇在 [Outbound 政策] 中的 Before DNZ 規

則完成。在圖 7-27 中的第一條規則設定 Mail Server 主機 IP 192.168.1.3

的 Mail 服務出去走 eth0-line，並將來源位址 (192.168.1.3) 轉換為

210.243.241.194，其中 NAT 欄位中的 IP 是必頇在 [網路介面] 中有設定

的 IP 才會在此欄位中出現

規則五是設定將公司內部網路對外網路服務的存取走 eth1-line，並自動將公

司內部網路來源位址轉換為 eth1 系統網卡 IP 位址

122



7-6 範例 6：線路負載平衡與線路備援


客戶是一家科技公司，網路架構為：

對外線路為二條 ADSL 線路和一個公司內部網路 LAN

該公司有提供對外 DNS、 FTP、Web 與 Mail 等相關對外服務

需求：



3. 公司內部網路的使用者對外 Mail 服務存取均走 ADSL 1 線路

4. 公司內部網路的使用者對外除 Mail 服務外的所有網路服務存取均走

ADSL 2 線路

5. 客戶要求 ADSL 1 線路與 ADSL 2 線路需互相備援

圖 7-28

123




系統網路介面

表 7-13


WAN eth0 210.241.239.221/29 210.241.139.217/29

WAN eth1 210.243.241.193/27 210.243.241.222/27

LAN eth2 192.168.1.9/24


表 7-14

來源位址目的地位址服務線路 NAT

192.168.1.0/24 ALL Mail eth0-line YES



124




網路介面

圖 7-29

eth0、eth1 為該公司 ADSL 外線，設定對外線路時需設定閘道器



圖 7-30


定為 3 表示我們將預設的防火牆權限設定為 WAN 網路不允許連往公司


125



Outbound 政策

圖 7-31

規則一是設定將公司內部網路對外 Mail 服務的存取走 eth0-line，並自

動將公司內部網路來源位址轉換為 eth0 系統網卡 IP 位址

規則二是設定將公司內部網路對外除 Mail 服務以外的所有網路服務

存取走 eth1-line，並自動將公司內部網路來源位址轉換為 eth1 系統網

卡 IP 位址

規則三是設定線路備援用。假設 eth1-line 斷線，公司內部某台電腦要

存取對外 WEB 服務時，當此台電腦的封包要出去時會由上而下比對

[Outbound 政策] 規則。在規則中只有規則三會被套用，因為規則一是

Mail 服務專用，規則二是 eth1-line，但 eth1-line 線路是斷線的，所以

最終此台電腦封包會套用規則三走 eth0 線路出去而達到線路備援效

果

需注意的是，需在 [MultiHoming] → [參數設定] → [線路偵測] →

[參數設定] 將線路偵測模式設定成線路備援模式，否規則比對將停在

規則二之 eth1-line 斷線線路，無法自動轉換到規則三之 eth0-line 正

常線路

126



線路備援參數設定

圖 7-32

當要作對外線路備援時，除了要配合 [Outbound 政策] 規則以外還必頇將

線路偵測模式設定成線路備援模式 (Link Failover)，線路備援才會啟動

127



Chapter 8 Proxy ARP

8-1 ARP 介紹

一般主機或路由器有資料要傳送給另一台主機或路由器時，必頇要有接收者的 IP

位址，而 IP 資料必頇被封裝在訊框中，才能經由實體網路傳送。這也代表傳送

者需要有接收者的網卡位址，所以要有 IP 位址與網卡位址的對應關係，而 ARP

協定便為解析網卡位址的一個重要的協定

一般對應的方式可經由靜態或是動態的方式來達成：

靜態對應：

為建立一張靜態對應表，將某個 IP 位址與所關聯到的網卡位址列在一

起，該靜態對應表就存在網路上每台電腦上。但這種方式會因為網卡的

更換使得網卡位址改變。所以靜態對應表必頇週期性的更新，會產生極

大的不便，進而影響網路效能。

動態對應：

以動態對應方式處理時，只要電腦知道其中一個地址 (IP 位址或網卡

位址)，便可用相對應之通訊協定去找到另一個位址。以下 2 種通訊協

定就是為了動態對應而設計的：位址解析通訊協定 (Address Resolution

Protocol，ARP) 和反向位址解析通訊協定 (Reverse Address Resolution

Protocol，RARP)。

◎ ARP 為 IP 位址與網卡位址的對應 (IP → 網卡位址)

◎ RARP 為網卡位址與 IP 位址的對應 (網卡位址 → IP 位址)

潛藏在 ARP 背後的觀念為，網路介面擁有一組網卡位址 (以乙太網路來說，為

48 位元，以每 8 位元為一個單位，因此 6 個單位組成一組網卡位址)，所以在

實體層的框架交換必頇被定址到正確的介面才能進行資料傳輸。但 TCP/IP 也擁

有自己的定址表示法 (32 位元的 IP 位址，以每 8 位元為一個單位，因此 4 個

單位組成一組 IP 位址)，所以即使系統核心知道目標主機的 IP 位址，也不能將

框架傳送到該主機，因此系統核心 (如乙太網路網卡的驅動程式) 必頇知道目標

主機的網卡位址才行，而 ARP 的功能便在於提供 32 位元 IP 位址與 48 位元

網卡位址的對應。

128



ARP (Address Resolution Protocol)，位址解析協定，以發送 ARP 封包 (ARP

Request/Reply) 的方式來獲得 IP 位址和網卡位址 (MAC Address) 的對應。ARP

為位於 OSI 第二層之通訊協定，因此其前面會再封裝一個乙太網路封包，如圖

8-1 為乙太網路封包及 ARP 封包格式

圖 8-1

乙太網路標頭：

框架類型：0x0806 (ARP)

ARP Request/Reply：

硬體位址類型：1 (乙太網路)

通訊協定位址類型：0x0800 (IP 位址)

硬體位址大小：6

通訊協定位址大小：4

op：

1 (ARP Request)

2 (ARP Reply)

129



8-1-1 同網段資料傳輸

圖 8-2

如圖 8-2 為一般同 IP 網段資料傳輸流程，主機 A 與主機 B 及一台路由器位

於同一實體乙太網路網段，主機 A 欲傳送資料至主機 B ，流程如下：

1. 主機 A 送出 ARP Request 封包，詢問主機 B 之網卡位址 (為採廣播

方式送出，因此每一台主機均會收到主機 A 之 ARP Request 封包)

2. 主機 B 在收到由主機 A 所送出之 ARP Request 封包，會做以下之動

作：

i. 主機 B 由主機 A 之 ARP Request 封包得知主機 A 之網卡位址

為 [00:04:E2:47:7F:56]，因此知道主機 A 的 IP 位址與其網卡位

址的對應 (192.168.16.173 → 00:04:E2:47:7F:56)

ii. 主機 B 傳送 ARP Reply 封包，回應主機 A，主機 B 之網卡位址

為 [00:D0:B7:3F:AB:3E]

3. 主機 A 與主機 B 都知道彼此的 IP 與網卡位址的對應了，因此開始

進行資料傳輸

◎ ARP Request 為廣播 (Broadcast) 封包，位於同一 IP 網段之所有主機均會收

到

130



以上例來說相關 ARP 封包圖如下：

(1) 主機 A 送出 ARP Request 封包，詢問主機 B 之實體位址

表 8-1

ARP 封包封包欄位封包欄位值說明

乙太網路標頭

乙太網路目的位址 FF:FF:FF:FF:FF:FF 廣播位址

乙太網路來源位址 00:04:E2:47:7F:56 主機 A 之網卡位址

框架類型 0806 ARP 協定

ARP Request

硬體位址類型 0001 乙太網路

通訊協定位址類型 0800 IP 位址

硬體位址大小 06 6 Bytes

通訊協定位址大小 04 4 Bytes

Op 0001 ARP Request

發送者乙太網路位址 00:04:E2:47:7F:56 主機 A 之網卡位址

發送者 IP 位址 192.168.16.173 主機 A 之 IP 位址

目的端乙太網路位址 00:00:00:00:00:00 由於還不知道主機

B 之網卡位址，因此

在此都為 0

目的端 IP 位址 192.168.16.251 主機 B 之 IP 位址

(2) 主機 B 傳送 ARP Reply 封包，回應主機 A，主機 B 之實體位址

表 8-2

ARP 封包封包欄位封包欄位值說明

乙太網路標頭

乙太網路目的位址 00:04:E2:47:7F:56 主機 A 之網卡位址

乙太網路來源位址 00:D0:B7:3F:AB:3E 主機 B 之網卡位址

框架類型 0806 ARP 協定

ARP Reply

硬體位址類型 0001 乙太網路

通訊協定位址類型 0800 IP 位址

硬體位址大小 06 6 Bytes

通訊協定位址大小 04 4 Bytes

op 0002 ARP Reply

發送者乙太網路位址 00:D0:B7:3F:AB:3E 主機 B 之網卡位址

發送者 IP 位址 192.168.16.251 主機 B 之 IP 位址

目的端乙太網路位址 00:04:E2:47:7F:56 主機 A 之網卡位址

目的端 IP 位址 192.168.16.173 主機 A 之 IP 位址

131



8-1-2 不同網段資料傳輸

如圖 8-3 為位於不同 IP 網段兩主機間資料傳輸，若主機 A 想要與同 IP 網段

的主機 B 溝通時，需取得主機 B 的網卡位址，但由於兩者位於不同 IP 網段，

根據路由表查詢，所以需要路由器 R 做資料的轉送，步驟如下：

1. 主機 A 送出 ARP Request 封包，詢問路由器 R 之網卡位址

2. 路由器 R 在收到由主機 A 所送出之 ARP Request 封包，會做以下之

動作：

i. 路由器 R 紀錄主機 A 的 IP 位址與網卡位址的對應 (IP 位址：

192.168.16.173 → 網卡位址：00:04:E2:47:7F:56)

ii. 路由器 R 送出 ARP Reply 封包回應主機 A 它的網卡位址為

[00:D1:B9:5F:AB:1E]，此網卡位址為與主機 A 位於同一網段之網

卡位址 (IP 位址為 192.168.16.254)

3. 主機 A 開始資料傳送的工作 (因為主機 A 已經知道路由器 R 的 IP

位址與網卡位址的對應了)，主機 A 開始送第一個封包給路由器 R，

由路由器 R 代傳給主機 B

4. 為了能傳送資料到主機 B，所以路由器 R 送出 ARP Request 封包，

詢問主機 B 的網卡位址

5. 主機 B 在收到由路由器 R 所送出之 ARP Request 封包，會做以下之

動作：

i. 主機 B 紀錄路由器 R 的 IP 位址與網卡位址的對應 (IP 位址：

192.168.20.254 → 網卡位址：00:C8:A9:6A:CB:5D)

ii. 主機 B 送出 ARP Reply 封包回應路由器 R 它的網卡位址為

[00:D0:B7:3F:AB:3E]

6. 路由器 R 知道了主機 B 的 IP 位址與網卡位址的對應了，因此開始

送給主機 B 第一個封包 (從來源主機 A 所傳送的)

7. 主機 B 因為收到了主機 A 的封包了 (透過路由器 R 轉送)，因此主

機 B 送回覆封包給主機 A，但經由路由器 R代傳給主機 A (因主機 A

與主機 B 屬於不同的網段)

8. 路由器 R 將主機 B 的回覆封包傳送給主機 A

9. 主機 A 與主機 B 開始經由路由器 R 傳送資料，因為主機 A 與主機

B 均知道路由器 R 的 IP 位址與網卡位址的對應，而路由器 R 也知

道主機 A 與主機 B 的 IP 位址與網卡位址的對應，因此在 20 分鐘

132



之內 (ARP 快取時間，因不同的作業平台，ARP 快取時間可能會有所

變動) 三台主機都不會再次詢問

圖 8-3

表 8-3 及 8-4 分別列出 ARP 封包及 IP 封包位址對應

表 8-3

封包乙太網路目的位址乙太網路來源位址發送者 IP 位址目的端 IP 位址

1 FF:FF:FF:FF:FF:FF 00:04:E2:47:7F:56 192.168.16.173 192.168.16.254

2 00:04:E2:47:7F:56 00:D1:B9:5F:AB:1F 192.168.16.254 192.168.16.173

4 FF:FF:FF:FF:FF:FF 00:C8:A9:6A:CB:5D 192.168.20.254 192.168.20.251

5 00:C8:A9:6A:CB:5D 00:D0:B7:3F:AB:3E 192.168.20.251 192.168.20.254

表 8-4

步驟乙太網路目的位址乙太網路來源位址 IP 來源位址 IP 目的位址

3 00:D1:B9:5F:AB:1F 00:04:E2:47:7F:56 192.168.16.173 192.168.20.251

6 00:D0:B7:3F:AB:3E 00:C8:A9:6A:CB:5D 192.168.16.173 192.168.20.251

7 00:C8:A9:6A:CB:5D 00:D0:B7:3F:AB:3E 192.168.20.251 192.168.16.173

8 00:04:E2:47:7F:56 00:D1:B9:5F:AB:1F 192.168.20.251 192.168.16.173

133



8-2 Proxy ARP

8-2-1 Proxy ARP 介紹

如圖 8-4，為一個 IP 子網段對映一個乙太網路網段，每個在 192.168.16.0/24 裡

的主機均是在同一個乙太網路網段裡。

圖 8-4

位於不同的網段上 (即乙太網路廣播封包無法到達之處) 的機器，一般是透過

路由器以區分 IP 子網段的方式連接，而利用 Proxy ARP，可在不區分 IP 子網

段的情況下，讓位於不同的網段上的機器看起來像是位在同一個子網段一樣，如

圖 8-5 所示

圖 8-5

134



所以如圖 8-6 所示，為一個 IP 子網段跨過兩個乙太網路網段，由於為二個乙太

網路網段，若乙太網路 B 傳送 ARP 封包給乙太網路 A，途中會經過 Router，

由於是廣播封包且是屬於不同乙太網路網段，因此 Router 會丟棄該 ARP 封包

(由於 Router 為封包轉遞相當重要的設備，若 Router 接受廣播封包的話，因為

網路上主機數量眾多，所以將造成網路廣播封包充斥，造成整體網路效能降低，

所以 Router 預設均不會接受廣播封包)，那麼該如何解決才能查詢乙太網路 A

中的主機呢 ? 可使用 PowerFamily 並開啟 Proxy ARP 功能，解決此問題。

圖 8-6

135



而如圖 8-7，為主機 A 想要與同網段的主機 B 溝通時，中間有 PowerFamily 且

啟動 Proxy ARP 模式，步驟如下：

1. 主機 A 送出 ARP Request 封包，詢問主機 B 之網卡位址

2. PowerFamily 在收到由主機 A 所送出之 ARP Request 封包，會做以下

之動作：

i. PowerFamily 紀錄主機 A 的 IP 位址與網卡位址的對應 (IP

位址：192.168.16.173 → 網卡位址：00:04:E2:47:7F:56)

ii. PowerFamily 送出 ARP Reply 封包，跟主機 A 說主機 B 的

網卡位址為該 PowerFamily 的網卡位址

[00:D1:B9:5F:AB:1E]

3. 主機 A 開始傳送第一個封包給 PowerFamily (因它以為 PowerFamily

就是主機 B)

4. PowerFamily 在收到主機 A 要傳送給主機 B 的封包時，根據其路由

表，會發現該封包為要送給主機 B 的，因此 PowerFamily 會送出 ARP

Request 封包，詢問主機 B 之網卡位址

5. 主機 B 在收到由 PowerFamily 所送出之 ARP Request 封包，會做以

下之動作：

i. 主機 B 紀錄 PowerFamily 的 IP 位址與網卡位址的對應 (IP 位

址：192.168.16.253 → 網卡位址：00:C8:A9:6A:CB:5D)

ii. 主機 B 送出 ARP Reply 封包，回應 PowerFamily 它的網卡位址

為 [00:D0:B7:3F:AB:3E]

6. PowerFamily 傳送給主機 B 第一個封包 (為由來源主機 A 所傳送出

來的)

7. 主機 B 送出 ARP Request 封包，詢問主機 A 之網卡位址 (為了送出

回覆封包給主機 A)

8. PowerFamily 送出 ARP Reply 封包，跟主機 B 說主機 A 的網卡位址

為該 PowerFamily 的網卡位址 [00:C8:A9:6A:CB:5D]

9. 主機 B 送出回覆封包給 PowerFamily (因為主機 B 認為

PowerFamily 就是主機 A)

10. PowerFamily 將回覆封包回送給主機 A

11. 主機 A 與主機 B 開始經由 PowerFamily 傳送資料，但主機 A 與主

機 B 以為 PowerFamily 就是對方，不知道 PowerFamily 位於中間，

因此經由 Proxy ARP 可以隱藏二邊的主機，讓它們認為 PowerFamily

就是對方，並經由 PowerFamily 來傳送資料

136



圖 8-7

137



表 8-5 及 8-6 分別列出 ARP 封包及 IP 封包位址對應

IP Packet 與 ARP 封包分開列

表 8-5

封包乙太網路目的位址乙太網路來源位址 IP 來源位址 IP 目的位址

1 FF:FF:FF:FF:FF:FF 00:04:E2:47:7F:56 192.168.16.173 192.168.16.251

2 00:04:E2:47:7F:56 00:D1:B9:5F:AB:1E 192.168.16.251 192.168.16.173

4 FF:FF:FF:FF:FF:FF 00:C8:A9:6A:CB:5D 192.168.16.253 192.168.16.251

5 00:C8:A9:6A:CB:5D 00:D0:B7:3F:AB:3E 192.168.16.251 192.168.16.253

7 FF:FF:FF:FF:FF:FF 00:D0:B7:3F:AB:3E 192.168.16.251 192.168.16.173

8 00:D0:B7:3F:AB:3E 00:C8:A9:6A:CB:5D 192.168.16.173 192.168.16.251

表 8-6

封包乙太網路目的位址乙太網路來源位址 IP 來源位址 IP 目的位址

3 00:D1:B9:5F:AB:1E 00:04:E2:47:7F:56 192.168.16.173 192.168.16.251

6 00:D0:B7:3F:AB:3E 00:C8:A9:6A:CB:5D 192.168.16.173 192.168.16.251

9 00:D0:B7:3F:AB:3E 00:C8:A9:6A:CB:5D 192.168.16.251 192.168.16.173

10 00:04:E2:47:7F:56 00:D1:B9:5F:AB:1E 192.168.16.251 192.168.16.173

使用 Proxy ARP 的優點如下：

能做出透通式架構，主機不需改變現有的網路架構，可在不區分 IP 子

網段的情況下，讓位於不同 IP 子網段上的機器看起來像是位在同一個

IP 子網段一樣

可將路由器所連接的兩端實體網路相互 “隱藏” 起來。如此，兩邊的網

路就能夠使用同一個 IP 子網段，只要中間配置 Proxy ARP，便能替任

何一端網路回應另一端的 ARP Request。因此使得子網路的變化對主機

來說是沒有影響的

Proxy ARP 可使用在主機沒有配置預設閘道器或沒有任何路由策略的

網路上

138



而使用 Proxy ARP 最主要的目的在於欲做出虛擬透通模式，而不用更改其它主

機的網路設定，如圖 8-8，所有 Client、Server 之預設閘道器均指向 Router 之

IP 位址：61.222.25.254，經由 Router 來傳送資料

圖 8-8

但如圖 8-9，為新增加一條 Seednet 線路做為備援線路，在不使用 PowerFamily

並開啟 Proxy ARP 模式下需更改每一台主機的設定，設定主機的 IP 位址、網

段、閘道器分配，等。所以為了不更改原有的設定，可使用 PowerFamily 並開

啟其 Proxy ARP 模式

圖 8-9

139



如圖 8-10，為原有的架構，所有 Client 連線到防火牆，經由防火牆連到 Router

到外面去，而 Server 處於 DMZ 區裡，並經由防火牆連外

圖 8-10

而如圖 8-11，為新增加一條 Seednet 線路做為備援線路，而為了不更改原有的

設定，要如何解決這種情況呢 ? 可使用 PowerFamily 並開啟其 Proxy ARP 模

式，但這裡要注意的是 PowerFamily 必頇位於防火牆與實際對外線路之間

圖 8-11

140



8-2-2 Proxy ARP 標準設定步驟

欲使用 PowerFamily 之 Proxy ARP 模式主要有二個步驟：

1. 設定 PowerFamily Proxy ARP 模式

2. 清除原本主機的 ARP 快取表，以避免 ARP 快取表錯誤

而設定 PowerFamily Proxy ARP 模式有兩種方式，靜態 Proxy ARP 模式與動態

Proxy ARP 模式

8-2-2-1 靜態 Proxy ARP 模式

如圖 8-12，為靜態 Proxy ARP 模式標準設定步驟，在此需注意步驟 2 及步驟 5，

且請按照操作順序進行，不能顛倒操作！而由於不同主機的作業系統更新 ARP

快取表的方式各有不同，詳細操作請參考 8-4 節

圖 8-12

141



8-2-2-2 動態 Proxy ARP 模式

如圖 8-13，與靜態 Proxy ARP 模式不同的是，步驟 2、3、5 PowerFamily 會自

動進行，但需注意的是，若步驟 2、4 失敗時，需人工設定

圖 8-13

142



8-2-3 Proxy ARP 設定範例

8-2-3-1 範例 1

如圖 8-14，為兩台主機位於同一網段下，且沒有使用 Proxy ARP

圖 8-14

而如圖 8-15，為使用 PowerFamily，並開啟其 Proxy ARP 模式，PowerFamily

上的 eth1 與 eth2 均設成同樣的 IP 位址，系統即會自動開啟 Proxy ARP 模式

(動態 Proxy ARP 模式)，無需手動設定

圖 8-15

143



依 8-2-2-2 節之動態 Proxy ARP 模式標準設定步驟，如圖 8-16

圖 8-16

1. 確定 Proxy ARP 所要啟動的網卡，設定其 IP 位址，點擊 [Network] →

[Network Interfaces]

圖 8-17

◎ 請用非 Proxy ARP 網卡 IP 去設定 Proxy ARP 網卡 IP，這樣才不會造成斷

線。以此例為用筆記型電腦，使用 eth0 的網段去設定 eth1 及 eth2

2、3 點擊 [Network] → [Routing and Gateways]，如圖 8-18 PowerFamily 會自

動偵測到哪些機器是位於哪些網卡，如紅色字體為 PowerFamily 所自動偵

144



測到的主機 IP ，192.168.200.1 為位於 eth1 之主機，192.168.200.2 為位

於 eth2 之主機，而在下方我們可以看到 PowerFamily 自動開啟了 eth1

與 eth2 的 Proxy ARP 功能，無需手動設定 (動態 Proxy ARP 模式)

圖 8-18

4. 請將 PowerFamily 接上網路

5. 清除相鄰機器的 ARP 表，清除方式請參考 8-4 節

145



8-2-3-2 範例 2

如圖 8-19，為多台主機與一台 Router 位於同一網段下，且沒有使用 Proxy ARP

圖 8-19

而如圖 8-20，為使用 PowerFamily 開啟 Proxy ARP 模式 (靜態模式)，

PowerFamily 上的 eth1 與 eth2 均設成同樣的 IP 位址，接著在 [Network] →

[Routing and Gateways] → [Static ProxyARP] 手動開啟 Proxy ARP 模式，如圖

8-20 可看到有多個 192.168.200.0/24 網段的主機，因此可以以整個

192.168.200.0/24 網段來代表其它所有的主機，而不用一筆一筆設定

圖 8-20

146



1. 確定 Proxy ARP 所要啟動的網卡，設定其 IP 位址，點擊 [Network] →

[Network Interfaces]

圖 8-21

147



2、3 點擊 [Network] → [Routing and Gateways] → [Static Proxy ARP]，

192.168.200.254 為位於 eth1 之 Router A，192.168.200.0/24 為位於 eth2

之網段，而如圖 8-22 請手動選取 eth1 與 eth2 以開啟 Proxy ARP 模式

圖 8-22

4. 請將 PowerFamily 接上網路

5. 清除相鄰機器的 ARP 表，清除方式請參考 8-4 節

148



8-2-4 Proxy ARP 的限制

基本上 Proxy ARP 屬於路由模式，因此只要是廣播封包 (Broadcast)，將無法傳

送，以下之情況下請勿使用 Proxy ARP 模式

如圖 8-23，由於 Router 之間所使用的交換路由資訊協定 (RIP/OSPF) 為使用廣

播封包，因此若 PowerFamily 使用 Proxy ARP 建置於路由器中間，將無法傳遞

交換路由封包，因此造成路由器無法找到相鄰的路由節點，且無法更新路由資料，

最後判斷線路中斷，影響網路連線。

圖 8-23

如圖 8-24，一般 NT/AD Domain 間的互動為使用廣播封包，因此若 PowerFamily

使用 Proxy ARP 建置於 NT Domain Controller 與 NT Client 中間，將會造成

NT Client 主機無法找到 PDC，而影響登入及檔案分享、列印等服務。

圖 8-24

149



如圖 8-25，由於 DHCP 主要是自動的將網路參數正確的分配給網域中的每部電

腦，讓 Client 端的電腦可以在開機的時候就立即自動的設定好網路的參數值，

免去每次新增一台主機時，都要手動設定網路環境，而這些參數值包括了 IP 位

址設定、子網路遮罩、預設閘道器與 DNS 的位址等等。

在 DHCP 的環境裡，可分為 Server 端及 Client 端：

DHCP Server：所有 IP 設定資料都由 DHCP Server 管理，並回應

Client 端的 DHCP 請求

DHCP Client：Client 要求本機 IP 相關設定，發出 DHCP 請求，並使

用從 DHCP Server 分配下來的 IP 環境資料

因為 DHCP 的互動大多是使用廣播封包，若 PowerFamily 使用 Proxy ARP 建

置於 DHCP Server 及 DHCP Client 中間，將會造成 DHCP Client 無法與

DHCP Server 溝通，無法取得 IP 設定資料，造成客戶端主機無法上網。

圖 8-25

150



8-3 Proxy ARP 部署範例

8-3-1 範例 1

如圖 8-25 及圖 8-26，分別為原始架構及建議架構的網路架構圖，該公司的需

求如下：

新加入一條 Seednet 線路做分流

新增的線路用於網頁瀏覽

不要改變現有的網路架構 (使用 Proxy ARP 模式)

圖 8-25

圖 8-26

151



8-3-1-1 範例 1: 組態設定


表 8-7

用途系統網路介面 Proxy ARP IP 位址閘道器說明

WAN eth0 On 61.222.25.253/24 61.222.25.254 Hinet 線路

LAN eth1 On 61.222.25.253/24 客戶端及伺服

器端主機

WAN eth2 Off 168.137.23.1/24 168.137.23.254 Seednet 線路

[路由與閘道器] → [靜態 Proxy ARP]

表 8-8

網域位址子網路遮罩下一站網路介面說明

61.222.25.254 255.255.255.255 (/32) eth0 原始架構線路閘道器所

在 PowerFamily 系統網

路介面位置

61.222.25.0 255.255.255.0(/24) eth1 客戶端及伺服器端主機

所在 PowerFamily 系統

網路介面位置

[安全政策]

來源位址目的位址服務動作

ALL ALL ALL Allow

◎ 由於 PowerFamily 在此架構為線路負載平衡，不啟用防火牆功能，因此在此

[安全政策] 設定為 “ALL to ALL to ALL Allow”

152



[Outbound 政策] - 方式 1 (負載共享 + 容錯)

表 8-9

來源位址目的位址服務從 (線路) NAT 偽裝說明

61.222.25.0/24 ALL http, https eth2-line YES A

61.222.25.0/24 ALL ALL eth0-line NO B

ALL ALL ALL eth0-line

eth2-line

YES C

[Outbound 政策] 規則說明：

A. 所有來自 61.222.25.0/24 的 web 流量，從 eth2-line 線路送出，由於

該來源網域跟所使用的線路網段分別屬於不同 ISP，因此需啟用 NAT

(其他欲分流的網路服務，可加入此規則中)

B. 原本網段 (61.222.25.0/24) 的任何對外流量，預設將由原本線路

(eth0-line) 送出，且不需要啟用 NAT。

C. 啟用 NAT 外送流量自動負載機制，若任何一條線路中斷，所有外送流

量將由另一條線路備援，並啟用 NAT。

[Outbound 政策] - 方式 2 (負載平衡 + 容錯)

表 8-9


61.222.25.0/24 ALL ALL eth0 NO A

61.222.25.0/24 ALL http, https eth2-line YES B


eth2-line

YES C


A. 由於使用透通部署，原本網段 (61.222.25.0/24) 由原本網路介面 (eth0)

出去的封包，是不需要啟用 NAT。

B. 所有來自 61.222.25.0/24 的 web 流量，轉從 eth2-line 線路送出，由

於該網域跟所使用的線路為不同 ISP，因此需啟用 NAT (欲分流的網路

服務，可加入此規則中)



◎ [方式一]：有 Outbound Web 流量走 eth2-line，其餘服務仍是走 eth0-line。

[方式二]：Outbound Web 流量是走 eth2-line，其餘服務由兩條線路自動負載

平衡決定。

153



8-3-1-2 範例 1: PowerFamily 組態設定

[網路介面]

圖 8-27


圖 8-28

154



[網路介面優先權]

圖 8-29

[安全政策]

圖 8-30

155



[Outbound 政策] - 方式 1

圖 8-31

156




圖 8-32

157



8-3-2 範例 2

如圖 8-33 及圖 8-34，分別為原始架構及建議架構的網路架構圖，該公司的需

求如下：

新加入一條 Seednet 線路做分流

新增的線路用於網頁瀏覽

不要改變現有的網路架構 (使用 Proxy ARP 模式)

圖 8-33

圖 8-34

158



8-3-2-1 組態設定


表 8-6

用途系統網路介面 Proxy ARP IP 位址閘道器說明

WAN eth0 On 61.222.25.252/24 61.222.25.254 Hinet 線路

LAN eth1 On 61.222.25.252/24 客戶端及伺服

器端主機

WAN eth2 Off 168.137.23.1/24 168.137.23.254 Seednet 線路


表 8-7

網域位址子網路遮罩下一站網路介面說明

61.222.25.254 255.255.255.255 (/32) eth0 原始架構線路閘道器所

在 PowerFamily 系統網

路介面位置

61.222.25.0 255.255.255.0(/24) eth1 客戶端及伺服器端主機

所在 PowerFamily 系統

網路介面位置

[安全政策]

來源位址目的位址服務動作

ALL ALL ALL Allow

◎ 由於 PowerFamily 在此架構為線路負載平衡，不啟用防火牆功能，因此在此

[安全政策] 設定為 “ALL to ALL to ALL Allow”

159



[Outbound 政策] - 方式 1 (負載共享 + 容錯)

表 8-9


61.222.25.0/24 ALL http, https eth2-line YES A

61.222.25.0/24 ALL ALL eth0-line NO B


eth2-line

YES C


A. 所有來自 61.222.25.0/24 的 web 流量，從 eth2-line 線路送出，由於

該來源網域跟所使用的線路網段分別屬於不同 ISP，因此需啟用 NAT

(其他欲分流的網路服務，可加入此規則中)

B. 原本網段 (61.222.25.0/24) 的任何對外流量，預設將由原本線路

(eth0-line) 送出，且不需要啟用 NAT。



[Outbound 政策] - 方式 2 (負載平衡 + 容錯)

表 8-9


61.222.25.0/24 ALL ALL eth0 NO A

61.222.25.0/24 ALL http, https eth2-line YES B


eth2-line

YES C


A. 由於使用透通部署，原本網段 (61.222.25.0/24) 由原本網路介面 (eth0)

出去的封包，是不需要啟用 NAT。

B. 所有來自 61.222.25.0/24 的 web 流量，轉從 eth2-line 線路送出，由

於該網域跟所使用的線路為不同 ISP，因此需啟用 NAT (欲分流的網路

服務，可加入此規則中)



[方式一]：有 Outbound Web 流量走 eth2-line，其餘服務仍是走 eth0-line。

[方式二]：Outbound Web 流量是走 eth2-line，其餘服務由兩條線路自動負

載平衡決定。

160



8-3-2-2 PowerFamily 組態設定

[網路介面]

圖 8-34


圖 8-35

161



[網路介面優先權]

圖 8-36

[安全政策]

圖 8-37


162



163




164



8-4 手動更新 ARP 表方式

以下將介紹常見之網路設備更新 ARP 表的方式：

更新 Cisco 路由器的 ARP 表：

輸入 clear arp 命令

更新 Linux ARP 表：

/etc/rc.d/init.d/network restart

arp -d 某個 IP 位址

例：arp -d 192.168.1.18

更新 Windows ARP 表

網卡停止，然後啟動

arp -d 某個 IP 位址

例：arp -d 192.168.1.18

更改 Netscreen ARP 表

Web 管理介面直接更改

更改 CheckPoint ARP 表

重新開機

165



Chapter 9 線路狀態偵測

隨著時代的改變，科技的不斷進步，現今網際網路 (Internet) 已是取得資訊最不

可獲缺的來源之一。對於企業而言，網際網路是行銷企業的手段之一，對於員工

而言，網際網路可讓他們在家裡就可存取公司內部的資料，而不需直接跑至公司

拿資料，因此網際網路可說是現今最為重要的基礎建設之一。

網際網路的架構是由一群路由器所組成的，如圖 9-1，使用者存取遠端 HTTP 服

務，對於使用者而言，只是發出 HTTP 要求，接著 HTTP 伺服器回應結果而已，

但實際上中間資料的傳送會經過許多的路由器

圖 9-1

166



如圖 9-2，而一般路由器是由不同 ISP 各自維護，ISP 之間由骨幹網路相互連

接，由於 ISP 之間的流量非常大，因此交換骨幹常常會壅圔，成為瓶頸。而如

何知道服務我們的線路是否有問題呢? 一個有效的 [線路偵測機制] 是必頇的。

對 [線路偵測機制] 而言，遭遇的問題有兩個：

1. “何謂對外線路”，有可能是：

使用者家中終端路由設備到 ISP 機房的線路

ISP 所屬的路由器群間的網路

ISP 到鄰近 ISP 之間的網路

ISP 到網際網路上任何的公有節點

2. 如何確定線路狀態及品質？

圖 9-2

167



如圖 9-3，由於 PowerFamily 通常是佈署在末端網路，為 Edge Router，一般

ISP 路由器是不會跟 PowerFamily 交換路由資訊。因此對 PowerFamily 而言，

只能得知相鄰路由器的位址，及本機網路介面到相鄰路由器之間的網路連接狀態。

至於相鄰路由器後端的網路狀態，是無法知道的，必頇使用某些機制一一找出

來。

圖 9-3

PowerFamily 提供了有效的 [線路狀態偵測] 機測，可有效的偵測出線路的狀況，

而偵測的方法為 [節點偵測法] 與 [線路偵測法] 兩種方法

168



[節點偵測法] 主要以使用者的觀點來執行線路偵測，PowerFamily 會找出一個或

多個網路節點當作線路偵測的偵測節點，以本機 (PowerFamily) 到該網路節點的

連線情況，來代表對外線路的整體狀態。

圖 9-4

但也因此，[節點偵測法] 要考慮的問題為：

如何選擇遠端節點的位址：

[節點偵測法] 無法判斷遠端節點本身有問題，或是從本機到遠端節點

間的網路有問題，因此遠端節點的選擇一定要選擇常常不容易出差錯的

主機

如何決定遠端節點的數目：

[節點偵測法] 所選設定的遠端節點數的多寡，會影響的是偵測的準確

性、偵測時對系統的負載大小和偵測時對線路的負載大小。若選擇的遠

端節點數越多，誤判率較低但對系統的負載較高，對線路的負載也會較

高

如何決定偵測此遠端節點所使用的協定：

169



[節點偵測法] 要送出哪種封包到遠端節點才不會被中間路由器或是偵

測節點本身封鎖呢?

若所選擇的偵測方式為 DNS 時，節點的選擇通常是上層的 DNS

主機

若所選擇的偵測方式為 HTTP 時，節點的選擇通常是國外大廠的

網路 (Web) 主機

若所選擇的偵測方式為 ICMP (PING) 時

1. PowerFamily 發送 ICMP Request 封包至遠端節點

2. 遠端節點回應 ICMP Reply 封包至 PowerFamily。需注意若偵

測結果皆為失敗的話，有可能是被路由器所阻擋，因有些路由

器會阻擋 ICMP 封包在網路上的傳送，所以若發生此情況可

改選擇 DNS 或 HTTP 方式

170



[路徑偵測法] 利用在 IP 標頭 (header) 裡之 “TTL” (time to live) 欄位，當 TTL

= 0 時，各路由器會送出 “ICMP Time Exceed” 的錯誤，找出沿途的路由器節點

圖 9-5

但也因此，[路徑偵測法] 要考慮的問題為：

要偵測多少節點

[路徑偵測法] 可依據回應的情況判斷偵測節點本身有問題，或是從本

機到偵測節點間的網路有問題，但所選擇的路由節點數的多寡，會影響

的是判斷偵測節點本身有問題，或是從本機到偵測節點間的網路有問題

的準確性。

圖 9-6

171



而 PowerFamily 所提供之線路偵測方式可以下表來表示：

表 9-1

偵測方式類別偵測協定說明特色

Path 路徑 ICMP 找出路徑上鄰近的節點真實的顯示鄰近網路的

狀況，用來當節點偵測顯

示線路雍圔或是中斷

時，判斷是否為本地鄰近

網路的問題

UDP

Multi-Node 節點 HTTP 隨機從參考點清單中找出 N 個節

點，同時對這些節點送出偵測封包

(TCP 封包，HTTP

Request/Reply)，等待回應

偵測遠方節點，真實

模擬使用者上網

節點大多是國外

Web/DNS 主機，線

路反應時間易起伏

因同時偵測多台主

機，易被誤認為 DoS

(Deny of Service) 攻

擊主機

ICMP (Ping) 隨機從參考點清單中找出 N 個節

點，同時對這些節點送出偵測封包

(ICMP Request/Reply)，等待回應

DNS 隨機從參考點清單中找出 N 個節

點，同時對這些節點送出 DNS 查

詢，等待回應

Tunnel 通道 HTTP/ICMP 適用於兩台 PowerFamily 所建立

的 GRE 通道 (VPN)

◎ 一般而言使用 [節點偵測法] 可真實模擬使用者上網的情況，但若使用 [節

點偵測法] 偵測失敗時，並不代表網路一定不通，此時可改用 [路徑偵測法]

來判斷是否為鄰近網路節點的問題

172



9-1 線路偵測狀態

依所選擇的偵測方式不同，所顯示的線路偵測結果也會不同

9-1-1 路徑偵測法 – 線路狀態

1. 點擊 [View Status] → [WAN Link Status]

圖 9-7

表 9-2

欄位說明

Time 線路偵測時間

Status OK：線路正常

ERR：線路中斷

????：為偵測封包沒有回應但是網路介面有內進流量，因此被歸類

為網路壅圔，此時 [線路狀態偵測] 並不會採取任何行動

U/D (Kbps) 上/下行的流量 (U → Upstream，D → Downstream)

RTT (ms) 平均封包往返時間，為加總各節點的往返時間再平均 (值越小代表線路

品質越好。400 ms 以下以綠色字體顯示、400 ms ~ 800 ms 以紫色字

體顯示、800 ms 以上以紅色字體顯示)

173



N/F N → 偵測封包成功的回應

F → 偵測封包無回應

(N 越大，F 越小代表封包遺失率越小。一般正常情況下 F 不應超出 2)

Gateway 該條線路的閘道器

Device 該條線路的網路介面 (為 PowerFamily 之網路介面)

Remote Host 路徑偵測法來說，遠端節點表示相近的節點，表示格式為 [XX] W.X.Y.Z

(數字)，需注意的是，起始節點不會列出來

[XX]：節點由近到遠的順序，數字越小，節點越靠近

W.X.Y.Z：鄰近節點的 IP 位址

(數字)：代表往返時間，也就是送出封包到收到封包之間的時間

Method 偵測法的名稱

路徑偵測法 → PATH

節點偵測法 → Multi

VPN 通道 → Tunnel

Protocol 所使用的協定/工具

ICMP

UDP

174



9-1-2 節點偵測法 – 線路狀態

1. 點擊 [View Status] → [WAN Link Status]

圖 9-8

表 9-3

欄位說明

Time 線路偵測時間

Status OK：線路正常

ERR：線路中斷

????：為偵測封包沒有回應但是網路介面有內進流量，因此被

歸類為網路壅圔，此時 [線路狀態偵測] 並不會採取任何行動

U/D (Kbps) 上/下行的流量 (U → Upstream，D → Downstream)

RTT (ms) 平均封包往返時間，為加總各節點的往返時間再平均 (值越小代表線

路品質越好。400 ms 以下以綠色字體顯示、400 ms ~ 800 ms 以紫

色字體顯示、800 ms 以上以紅色字體顯示)

N/F N → 偵測封包成功的回應

F → 偵測封包無回應

(N 越大，F 越小代表封包遺失率越小。一般正常情況下 F 不應超出

2)

175



Gateway 該條線路的閘道器

Device 該條線路的網路介面 (為 PowerFamily 之網路介面)

Remote Host 以節點偵測法來說, 表示格式為 [X] W.X.Y.Z (數字)

[X]：O → 偵測封包正常回應，X → 偵測封包沒有回應

W.X.Y.Z：遠端節點的 IP 位址

(數字)：代表往返時間，也就是送出封包到收到封包之間的時

間

Method 偵測法的名稱

路徑偵測法 → PATH

節點偵測法 → Multi

VPN 通道 → Tunnel

Protocol 所使用的協定

HTTP

PING (ICMP Echo Request/Reply)

DNS

以一般情況來說，由於 [節點偵測法] 為找出多個網路節點，以本機到該網路節

點的連線情況代表對外線路的整體狀況，因此可真實的模擬使用者上網的情況，

但由於節點大多是國外 Web/DNS 主機，線路反應時間易起伏，且若同時偵測太

多台主機，易被誤認為是 DoS (Deny of Service) 攻擊主機。

而 [路徑偵測法] 為真實的顯示鄰近網路的狀況，可真實的顯示至鄰近網路節點

之間的線路狀況，因此誤判率最低，但由於 [路徑偵測法] 是利用在 IP 標頭

(header) 裡之 “TTL” (time to live) 欄位，當 TTL = 0 時，各路由器會送出

“ICMP Time Exceed” 的錯誤，因此 PowerFamily 可以列出沿途的路由器節點。

由於必需一個一個節點的找下去，效率上會比 [節點偵測法] 還慢。

176



9-1-3 線路狀態記錄

接續 9-1-1 及 9-1-2 節，點擊 [L] 可以列出該網路介面之線路狀態記錄，包含

該線路之線路正常記錄、線路壅圔記錄，及線路錯誤記錄

圖 9-9

◎ 以此例為 [節點偵測法] 之線路狀態記錄

177



9-1-4 線路壅圔記錄

接續 9-1-1 及 9-1-2 節，若 RTT 時間大於 400 的話，會多出現 [S] 按紐，點

擊可以列出該網路介面之線路壅圔記錄，或是點擊列出所有

網路介面線路壅圔記錄

圖 9-10

◎ 以此例為 [節點偵測法] 之線路壅圔記錄

178



9-1-5 線路錯誤記錄

接續 9-1-1 及 9-1-2 節，點擊 [線路狀態] 各網路介面之 [E] 按紐，點擊可以

列出該網路介面之線路錯誤記錄，或是點擊列出所有網路

介面線路錯誤記錄

圖 9-11

179



9-1-6 線路狀態改變記錄

接續 9-1-1 及 9-1-2 節，點擊 [線路狀態] 之可列出所有

網路介面之線路狀態改變記錄

圖 9-12

表 9-4

欄位說明

Time 線路狀態變動時間

Status Alive：線路回復

Dead：線路中斷

Gateway List [閘道器清單]，列出此條線路所使用的網路介面及閘道器

格式：(網卡介面) 閘道器 IP 位址

180



9-1-7 其他線路錯誤情況

如圖 9-13，Method 及 Protocol 欄位分別顯示 “DEVICE | DOWN” 的情況，代

表該網路介面的網路線沒有接上，或是網路線壞了

圖 9-13

如圖 9-14，Method 及 Protocol 欄位分別顯示 “GATEWAY | ARP” 且線路狀態

出現 “ERR”，代表第一個網路節點就已經連不通了，這種情況可能的原因為：

沒接網路線

Switch 當機

ATU-R 當機

該節點不存在(最有可能是錯誤的網路設定)

圖 9-14

181



9-1-8 線路狀態統計圖表

PowerFamily 共提供三種線路狀態統計圖表：

線路品質反應時間：繪出每次偵測時的平均往返時間 (RTT)

線路傳輸速率：繪出每次偵測時的上下行速率情況

線路 MRTG 圖表：繪出線路頻寬的歷史監控記錄

圖 9-15

182



9-2 線路偵測設定

9-2-1 基本設定

1. 點擊 [MultiHoming] → [Link Status] → [Parameters]

圖 9-16

183



表 9-5

欄位說明

Link Status Detection (Active) 是否啟動 [線路偵測] 機制及選擇所要的偵測方式

路徑偵測法

Path-Trace (ICMP)

Path-Trace (UDP)

節點偵測法

Multi-Node (HTTP)

Multi-Node (PING)

Multi-Node (DNS)

Gateway：偵測閘道器

Game Nodes：主要用於網咖環境，用於測詴遊戲伺服

器之連線狀況

Normal Link-Operation Mode 偵測一般線路時，若發現線路中斷時所要採取的動作：

Link Failover：線路中斷時，採取線路備援的動作

Link Monitor：只純粹做偵測，而不採取任何動

作，適合量測線路的穩定性

GRE Tunnel-Operation Mode 偵測 GRE VPN 通道時，若發現通道中斷時所要採取的動

作：

Link Failover：線路中斷時，採取線路備援的動

作。但需有二條線路以上，線路備援才有作用

Link Monitor：只純粹做偵測，而不採取任何動

作，適合量測線路的穩定性

Detection Node List [XX] 各種線路偵測機制所使用的遠端節點清單 ([XX] 代表遠端

節點的總數)


184



9-2-2 進階設定


圖 9-17

185



表 9-6 Advanced Options (進階參數)

欄位說明

Inbound Traffic Monitor (Passive) 內進流量偵測 (被動式)

Disabled：停用，不啟用內進流量偵測

XX Kbps：啟用，如果主動偵測的結果是失敗時，

會檢查網卡的流量，如果有任何內進 (incoming) 的

流量大於設定門檻值，就判斷該線路狀態是正常

的，此時線路狀態的欄位將標示為 “????”

Gateway Detection 閘道器檢測

Disabled：停用，不偵測該線路的閘道器

ARP：只使用 ARP 協定來判斷線路閘道器的存活

狀態

PING：

只使用 ICMP Echo-Request/Echo-Reply 協定來判

斷線路閘道器的存活狀態

ARP or PING：先用 ARP 協定來判斷，如果失敗時

會用 PING 方式來偵測線路閘道器的存活狀態

ARP and PING：會使用 ARP 及 PING 來偵測線路

閘道器的存活狀態，任一方式失敗就代表開線路閘

道器有問題

IP-VPN Link (Private Address) IP-VPN 線路 (私有位址)，若設定 “Enabled” 表示只要線

路的閘道器屬於私有位址，此條線路會被歸類為 IP-VPN

線路。[線路偵測機制] 只會偵測本機到線路閘道器之間

的網路是否正常，而不會偵測遠端的網路節點

Monitor Duplicate Links 偵測相同線路，若設定 “Disabled”，表示 PowerFamily 會

偵測哪些線路實際上是屬於同一條實體線路，降低不需要

的偵測動作，而若設定 “Enabled”，表示在 [MultiHoming]

→ [Linik Status] → [Link Status] 會出現這些同屬於同

一條實體線路的線路偵測結果

Final Path-Trace Check 斷線-路徑偵測，若節點偵測法失敗時，是否啟用路徑偵

測法

Detection Sequence 偵測順序

Concurrent，同時偵測，依所設定的偵測節點數，同

時發送偵測封包給這些節點

Sequential，循序偵測，依所設定的偵測節點數一次

發送一個偵測封包，等該節點偵測結束後，再發送

另一個偵測封包給另一個節點

186



9-2-3 其它參數


圖 9-18

表 9-7 Status Accuracy (偵測準確性，設定所要偵測的節點數)

欄位說明

Path-Trace 設定 [路徑偵測] 所要偵測的近端節點數目

Multi-Node 設定 [節點偵測] 所要偵測的遠端節點數目

表 9-8 Timeout Parameters (Timeout 參數，送出偵測封包的等待回應時間)

欄位說明

Path-Trace [路徑偵測] 之逾期時間

Multi-Node [節點偵測] 之逾期時間

GRE-Tunnel [GRE 通道] 之逾期時間

IP-VPN Link (Private Address) [IP-VPN 線路 (私有位址) ] 之逾期時間

187



9-3 注意事項

9-3-1 如何判斷 “線路斷線” 或 “線路壅圔” ?

如圖 9-19，主動偵測法是送出偵測封包到遠端節點，再以封包的回應狀況來判

斷線路的連接狀態，但 “線路斷線” 或 “線路壅圔” 都會造成偵測封包無法成功

回應而產生誤判。但是近端的線路壅圔就代表一定有資料不斷的從該線路持續湧

入，因此可以判斷網路介面的內進流量來判斷線路是 “壅圔” 還是 “斷線”。被

動偵測法檢查網卡 “內進流量”，如果內進的速率大於設定值，便可認為線路狀

況應該是 “壅圔” 而非 “斷線”

圖 9-19

◎ 主動偵測法為線路狀態偵測

◎ 被動偵測法為內進流量偵測

188



9-3-2 何時要關閉 IP-VPN Link ?

如圖 9-20-1 為一般常見的線路，以公有 IP 位址直接連線，但在圖 9-20-2 中，

只要線路的閘道器屬於私有位址 (如 10.0.0.251)，則此條線路會被歸類為

IP-VPN 線路，因此，[線路狀態偵測] 只會偵測本機到線路閘道器之間的網路是

否正常，而不會偵測遠端的網路節點

圖 9-20-1 圖 9-20-2

189



而在某些情況下：

如圖 9-21-1，為一般常見的台灣學術網路，線路為使用私有 IP 位址，

但實際上該線路是可以直接連往網際網路

如圖 9-21-2，PowerFamily 放置在防火牆/路由器之下，透過該路由設備

直接連往網際網路，PowerFamily 線路為使用私有 IP 位址，但實際上

該線路是可以直接連往網際網路

因此在這些情況下，要關閉 [IP-VPN Link] 選項

圖 9-21-1 9-21-2

◎ IP-VPN 選項是套用到所有線路，無法單獨開啟

190



9-3-2 偵測相同線路

若在同一個系統網路介面設定多個 IP 位址，如圖 9-22，為在 eth1 多設定一個

虛擬線路 (eth 1:1)，由於 eth1 與 eth1:1 為同一張網路介面，使用同一網段的 IP

位址，且設定相同的閘道器，因此為同一條實體線路

圖 9-22

使用這種設定方式主要是要使用 IP-Pool 觀念，同時使用 210.243.241.193 及

210.243.241.221 的 IP 來進行來源位址轉換 (NAT)，若有一個 IP 位址失效可以

另一個 IP 位址來代替，以避免連線中斷

圖 9-23

如圖 9-24，為關閉 [偵測相同線路] 選項，因此 PowerFamily 只會偵測其中一

條線路

圖 9-24

191



而若開啟 [偵測相同線路] 選項，如圖 9-25，則 PowerFamily 會同時偵測這兩

條線路

192



Chapter 10 Smart QoS

網路是透過連接諸如交換機和路由器等網路裝置所建構而成的。網路裝置之間使

用網路介面來傳輸資料。若傳輸資料超過網路介面所連接的線路所支援的頻寬上

限時，就會發生網路擁圔現象。因此，頻寬管理變成重要的一環。QoS 機制的

工作原理就是分配頻寬資源給需要頻寬的應用程式，避免頻寬被不當佔用。

QoS 係指：

服務品質，用來對網路頻寬或封包傳送品質做控制的技術

提供穩定、可預測的資料傳送服務，來滿足使用者的需求

依據應用程式的需求以及網路管理的設定來有效的管理網路頻寬

隨著寬頻網路的盛行，人們在網路上購物的比例越來越高，由有名的唐先生打破

蟠龍花瓶事件的迴響可見確有其事；美國 Forrester 雜誌研究報告指出，2002 年

在歐洲，透過網路而產生的營收金額達 200 億歐元；2003 年在美國，光是第一

季電子商務零售業營收就有 119 億美元，由此可知網路的行銷將會在未來的商業

中佔有非常重要的一角，然而因為服務沒有回應而造成的損失卻比想像中高。隨

著網路科技不斷的發展，視訊會議和 “Work anywhere” 的概念必定會成為將來

生活行為的一部分，人們不再到公司工作，不再因為在路上圔車而在會議遲到，

當然沒有人希望錯過重要會議的某一部分或是在傳送工作結果給上司時出問題，

所以勢必要有一個方法來確保傳送封包的品質。

而不管網路頻寬如何的增加，在現今網路科技的快速發展，頻寬的供給速度永遠

都是小於頻寬的需求速度，一般常見的頻寬問題如下：

頻寬分配不均

e.g. 郵件傳送 (SMTP/POP3) 影響到上網瀏覽 (Web)

e.g. 大量病毒信或是大容量夾檔信件

頻寬逪到濫用

e.g. P2P 軟體 (eMule、BT 等)，檔案下載軟體 (FlashGet 等)

e.g. 中毒主機發送大量連線

不當使用者變化 IP 位址，防不勝防

e.g. 學校宿舍、大型企業網路等環境

單一頻寬政策的需求

e.g. 每一個人 (IP) 分配 “定量” 頻寬

193



PowerFamily 提供智慧型頻寬管理 (Smart QoS) 功能，可有效管控企業寶貴的網

路頻寬，以避免被少部份員工佔用所有網路頻寬。目前 [Smart QoS] 提供了以下

兩種 QoS 設定功能：

連線政策：

可控管至 “單一連線” (Connection) 所使用的頻寬

主機政策：

可快速鎖定 “單一主機” (IP Address) 所使用的頻寬

PowerFamily 的 [連線政策] 可以做到：

針對所有連線做到每一條連線的頻寬使用限制與追蹤

Smart QoS 對頻寬的限制控管可以針對 “單一網路連線” (每一條

Connection)、”單一 IP 位址” 和 “總頻寬” 去做頻寬的管理

Smart QoS 可與 DAC 配合做到針對每一位使用者做頻寬管理政策，例

如：每一位 DAC 認證後使用者，都會有自己的頻寬使用政策，可以

做到不只是針對主機做限制，而是提升到使用者層級限制

而 PowerFamily 的 [主機政策] 可以做到：

針對單一來源主機做頻寬管理限制 (建立動態政策，系統會自動找出目

前有哪幾台主機存取網路資源，並套用頻寬政策)

配用 L7-App Filter，可以針對 P2P 軟體 (BT、eMule、Kazaa、

GNUTELLA、WinMX) 做頻寬的使用限制，詳細設定方式可參照

“Chapter 12 Layer 7 Application Filter”

194



10-1 Smart QoS 參數設定

Smart QoS 參數設定，可以視為 QoS 第 0 條規則，為相關 Smart QoS 參數及

政策 (連線政策、主機政策) 基礎設定

點擊 [Smart QoS] →[Parameters]

圖 10-1

表 10-1

欄位說明

Smart QoS Policy Disabled：停止 Smart QoS

Connection-Policy：使用連線政策

Host-Policy：使用主機政策

QoS Operation Mode Routing，路由模式

Bridging，橋接器模式

當 PowerFamily 啟動 Bridge 裝置，則需要選擇 Bridging 模

式，Smart QoS 服務才可以正常運作

Ignore Traffic among

Neighboring Subnets

是否忽略相鄰網段的流量，Smart QoS 預設不限制與

PowerFamily 網卡相鄰的網段

Ignore Connections from/to

Private Address

是否忽略私有網路的連線

195



◎ Smart QoS 區塊為設定是否啟動 Smart QoS、選擇所使用的政策 (連線政策

或主機政策) 及其它設定

圖 10-2

如圖 10-2 所示，Smart QoS 預設不限制與 PowerFamily 網卡相鄰的網段之間

的傳輸流量，如 E1、E2、E3、E4 ，由於是直接連接至 PowerFamily 網卡，因

此被視為相鄰網段，所以互傳是不受 QoS 規則的限制。但是 LAN1、LAN2、

LAN3 網段由於是透過 Router (R3) 連接至 PowerFamily，因此會被視為非相鄰

網段，所以會受到 QoS 規則的限制。所以頇排除 “LAN1、LAN2、LAN3 網段”

與 “E1、E2、E3、E4” 網段的傳輸檢查，因此可開啟 [忽略相鄰網段間的流量]。

而大多數的情況，PowerFamily 內部網路均使用私有網路位址，因此以圖 10-2

來說，由於 E1、E4、LAN1、LAN2 及 LAN3 是位於內部網路，所以可以開啟

[忽略私有網路的連線] 的功能。

196



需特別要注意的是，若網路環境有用 VPN 的話，則不可開啟此功能，如圖 10-3

所示：

圖 10-3

LAN1 與 LAN2 之間的流量是經由 VPN 通道傳輸，而 VPN 通道是建立於

Internet 上的對外線路，且該對外線路可能另有他用。因此如果開啟 [忽略私有

網路的連線]，VPN 流量將不受控管，有可能會用盡對外線路的頻寬。

197



10-2 連線政策

以目前市面上最常用的 ADSL 寬頻連線來說，以 ADSL 8M/640K ，其下行頻

寬為 8 Mbps，上行頻寬為 640 Kbps，當上行頻寬接近滿載時，會嚴重影響下行

頻寬的使用。跟常見的網路連線，如專線、光纖、乙太網路相比，ADSL 上行頻

寬達到 80 % 左右的使用率時，反應時間 (RTT) 會升的很高，使用者便開始會

感到網路變慢了，因此限定上行頻寬的使用量遠比限定下行頻寬來的重要，所以

在設定 Smart QoS 連線政策規則時儘可能的不要讓 ADSL 上行頻寬接近滿

載。

圖 10-4

198



而以使用者的觀點來說，”下載” 指的是資料流是流往使用者的方向，”上傳” 指

的是資料流是離開使用者的方向，如：

圖 10-5 為使用者在內部網路寄信到外部信箱，為上傳使用，對線路而言是

使用上行頻寬，必頇要控管。而當使用者在內部網路使用瀏覽器上網時，算

是下載使用，對線路而言是使用下行頻寬

圖 10-6 為使用者在外部網路讀取公司內部網頁，為下載使用，對線路而言

是使用上行頻寬，必頇要控管。而當使用者在外部網路寄信到公司內部信箱

時，算是上傳使用，對線路而言是使用下行頻寬

圖 10-5 圖 10-6

表 10-2

範例使用者觀點線路觀點是否需要設定 QoS

使用者在內部

SMTP 寄信到外

部信箱

上傳上行 Y

HTTP 瀏覽外部

網站

下載下行

使用者在外部

FTP 傳送資料至

公司 FTP 主機

上傳下行

POP3 讀取公司

郵件主機郵件

下載上行 Y

199



10-2-0 啟用連線政策及基礎設定

點擊 [Smart QoS] → [Parameters]

圖 10-7

如圖 10-7，在 [Smart QoS Policy] 欄位選擇連線政策以啟用連線政策，而

[Connection-Policy] 區塊為連線政策之基礎設定，在 [連線政策] 的規則設定上，

在此可視為第 0 條規則

200



表 10-3

欄位說明

Service Grade 應用程式之服務等級

Critical Application，品質極高要求

Voice Grade，語音等級

Web Browsing，網頁瀏覽

File Transfer，檔案傳輸

Max Utilization，頻寬最大使用

Custom Define，自定服務等級

QoS Triggered Threshold QoS – Connection-Policy 啟動基準值

Link Round Trip Time 線路反應時間

應用程式之服務等級：若不知道要如何去設定系統反應時間的數值時，

可以利用此欄位去選擇服務等級，選擇完畢後按下 [OK]，系統會自動

將 “啟動基準值” 和 “線路反應時間” 設定好

PowerFamily 預設之服務等級如下：

表 10-4

應用程式之服務等級啟動基準值線路反應時間

品質極高要求 0 128

語音等級 200 256

網頁瀏覽 400 512

檔案傳輸 800 1024

頻寬最大使用 1000 3072

啟動基準值：當單一連線傳輸量到達一定的門檻值時才會啟動 Smart

QoS 頻寬管理

線路反應時間：當使用者希望線路頻寬使用量高時，才啟動 QoS 頻寬

管理時，可以啟用此參數， PowerFamily 會偵測每一條線路的往返時

間 (RTT，Round Trip Time)，做為線路壅圔的判定。以 ADSL 為例，

當 ADSL 上行頻寬達到最大上行頻寬的 80 % 時，RTT 值將會不斷上

升，但有時候如果希望線路壅圔時才啟動 Smart QoS 頻寬限制時，可

以將線路反應時間設定值提高

201



10-2-1 連線政策設定

1. 點擊 [Smart QoS] →[Connection-Policy]

圖 10-8

表 10-5

欄位說明

Connection Match

Criteria (連線比對條

件)

Src 連線來源位址

Dst 連線目的位址

Srv 所使用的服務

Triggered Threshold 啟動基準值，當單一 (每一條) 連線傳輸

量到達一定的門檻值時才會對此條連線

啟用 QoS 頻寬管理

Bandwidth Policy

(頻寬管理政策)

Total (Kbps) 總頻寬

Tx：傳送

Min：最小保證頻寬

Max：最大可用頻寬

Rx：接收



Per Host (Kbps) 單一來源主機

Tx：傳送



202



Rx：接收



Per Connection (Kbps) 單一連線

Tx：傳送



Rx：接收



Options Priority (優先權)

數字越小，優先權越大

優先權大，封包優先送出，延

遲較低

Bi-Direction (雙向偵測)

交換 [來源位址] 及 [目的位址]

檢查及互換 Tx 和 Rx 的頻寬限制

◎ [連線政策] 對於連線的“起始方向性”有絕對的關係

◎ [Tx]：資料流從連線的起始來源主機到目的主機的方向 (傳送)

◎ [Rx]：資料流從連線的目的主機到起始來源主機的方向 (接收)

203



設定 Smart QoS 連線政策只要分為二大部分來看：

連線比對條件：針對每條連線 (Connection) 的 “連線來源位址”，”連線

目的位址” 和 “服務 (協定)”，找出所有符合條件的連線

[啟動基準值]：當每一條連線的傳輸量 (該條連線之總傳輸量) 到

達啟動基準值以上才會啟動 Smart QoS 頻寬控管，若設為 “0 KB”，

則表示忽略連的傳輸量，立即啟動 Smart QoS 頻寬控管。

表 10-6

規則 Smart QoS 參數設定連線政策規則設定設定套用結果

1 256 KB 512 KB 512 KB

2 512 KB 256 KB 512 KB

圖 10-9

由於 [Smart QoS 參數設定] 視為第 0 條規則，因此會先套用

Smart QoS 參數設定的 [啟動基準值] 設定。如表 10-6 之連線政

策啟動基準值設定及表 10-6、圖 10-9 之 Smart QoS 參數設定的

連線政策啟動基準值設定，規則 1 之 Smart QoS 參數設定的連線

政策啟動基準值設定為 256 KB，但連線政策規則設定之啟動基準

值設定為 512 KB。由於套用設定的順序為 Smart QoS 參數設定

→ 連線政策規則設定，因此由於連線政策規則設定之啟動基準值

(512 KB) 大於 Smart QoS 參數設定之啟動基準值 (256 KB)，所以

連線政策之啟動基準值為 512 KB。

圖 10-10

相對的，如表 10-6 及圖 10-10，規則 2 的套用結果為 512 KB，

因為 Smart QoS 參數設定的連線政策啟動基準值 (512 KB) 大於

連線政策規則設定之啟動基準值 (256 KB)，因此依套用設定順序

的結果為 512 KB

204



[優先權]：數字越小優先權越高，優先權越高延遲會越低

[雙向檢查]：若勾選此項時，PowerFamily 會自動新增一條規則，

互換原本規則的 “連線來源位址” 及 “連線目的位址”，以及互換

Tx 和 Rx 的頻寬限制

頻寬管理政策：針對所有符合 [連線比對條件] 的連線，套用 [頻寬管

理政策] 規則

[總頻寬]：符合 [連線比對條件] 該條規則的所有連線之頻寬總使

用量

[單一來源主機]：符合 [連線比對條件] 該條規則，來自每一台主

機的所有連線之頻寬使用量

[單一連線]：符合 [連線比對條件] 該條規則，來自每一台主機的

所有連線之頻寬使用量

[Tx]：資料流從連線的起始來源主機到目的主機的方向 (傳送)

[Rx]：資料流從連線的目的主機到起始來源主機的方向 (接收)

[Max]：該連線可用的最大頻寬，0 代表不做任何限制

[Min]：該連線可用的最小頻寬，又稱保證頻寬，0 代表不做任何

限制

205



連線政策雙向檢查用處

以下範例說明連線政策雙向檢查的用處

圖 10-11

如圖 10-11：

情境 1 為主機 A 起始建立連線至主機 B，而資料流是由主機 B 到主

機 A

靜境 2 為主機 B 起始建立連線至主機 A，且資料流是由主機 B 到主

機 A

206



現設定 Smart QoS 連線政策，規則如表 10-7 所示，由於規則 2 有開啟雙向檢

查，因此會多新增一條規則，展開後的規則如表 10-8 所示

表 10-7

規則來源目的服務限制雙向檢查 Smart QoS 規則說明

1 A B ALL Tx: 100 Kbps

Rx:50 Kbps

No 連線起始來源為主機 A，至連

線目的主機 B，對於所有的網

路服務，限制 Tx：100 Kbps，

Rx：50 Kbps


Rx: 50 Kbps

Yes 連線起始來源為主機 A，至連



Rx：50 Kbps

表 10-8

規則來源目的服務限制雙向檢查 Smart QoS 規則說明


Rx:50 Kbps

No 連線起始來源為主機 A，至連



Rx：50 Kbps

2a A B ALL Tx: 100 Kbps

Rx: 50 Kbps

Yes 連線起始來源為主機 A，至連



Rx：50 Kbps

2b B A ALL Tx: 50 Kbps

Rx: 100 Kbps

Yes 連線起始來源為主機 B，至連

線目的主機 A，對於所有的網


Rx：100 Kbps

規則 1

如表 10-7，在情境 1 有作用，因為該連線的起始來源位址為 A，連線

目的位址為 B，跟規則 1 是符合的

但在情境 2 是沒有作用的，因為此連線的起始來源位址為 B ，連線

的目的位址為 A，跟規則 1 不符合

如表 10-7，規則 2，與規則 1 設定相同，不同的是開啟雙向檢查，展開後

的規則如表 10-8

在情境 1 有作用 (規則 2a)，因為該連線的起始來源位址為 A，連線

目的位址為 B，跟規則 1 是符合的

207



在情境 2 也是有作用的 (規則 2b)，因為有勾選 [雙向檢查]時，

PowerFamily 會自動新增一條內容為 [連線來源位址 B，連線目的位址

A，服務 ALL，頻寬限制 Tx: 50 Kbps，Rx: 100 Kbps]，因此對情境 2 來

說，規則 2 是有作用的。以設定 FTP 的頻寬管控來說，建議開啟 [雙

向檢查]

◎ [連線政策] 對於連線的“起始方向性”有絕對的關係

◎ [Tx]：資料流從連線的起始來源主機到目的主機的方向 (傳送)

◎ [Rx]：資料流從連線的目的主機到起始來源主機的方向 (接收)

208



啟動基準值功用

[啟動基準值] 為單一連線傳輸量 (總量) 到達一定的門檻值時才會啟動 QoS

頻寬管理，以 HTTP 來說，對於想要如何區分正常網頁瀏覽及利用 HTTP 做大

量下載，這兩方面是很有用的

正常網頁瀏覽：不用執行頻寬設定

利用 HTTP 做大量下載：啟用頻寬設定

圖 10-12 圖 10-13

圖 10-14 圖 10-15

使用 [啟動基準值] 的好處是，當單一連線傳輸量到達一定的門檻值時才會啟動

QoS 頻寬管理。因此如圖 10-12 與圖 10-14，為在一般正常狀況下瀏覽網頁。

若設定單一連線的 [啟動基準值] 為 512 KB 時，由於一般正常瀏覽頁時傳輸量

小 (大多輸網頁不會超過 512 KB)，一旦資料下載完成，就不會暫用頻寬了，所

以只要單一連線傳輸量不到達 512 KB 的話，就不會啟動 QoS 頻寬管理，使用

者也因此不會感覺上網有被限制而變慢。

而如圖 10-13 與圖 10-15，當使用者使用 HTTP 下載大量資料 (單一連線傳輸

量很容易超過 512 KB)，若設定單一連線的 [啟動基準值] 為 512 KB，當單一

連線傳輸量到達 512 KB 時 (如圖 10-15 的面積)，Smart QoS 便會對該連線啟

動頻寬限制，進而控管大量傳輸的使用者。

◎ 需注意的是，[啟動基準值] 為連線的總傳輸量，而非傳輸速率，因此單位為

KB 而非 Kbps。而一般建議啟動基準值設定為 512 KBps。

209



連線政策規則欄位說明

如圖 10-16，以單一連線來說明，規則設定為：

來源位址為 192.168.2.X

目的位址為 ALL

服務為 ALL

“單一連線” 頻寬最大值 Tx 為 100 Kbps，Rx 為 100 Kbps，頻寬最小

值 Tx 為 10 Kbps，Rx 為 10 Kbps

Smart QoS 會去比對每條連線，當有任何連線的 [起始來源位址]、[目的位址] 和

[服務] 符合此規則時，這些符合的每一條連線的最大使用頻寬 (Tx/Rx) 會被限

制在 100 Kbps。

圖 10-16

因此如圖 10-17，不管如何，每一條連線的最大可使用的傳送/接收 (Tx/Rx) 頻

寬都會被限制住在 100 Kbps

圖 10-17

210



如圖 10-18，以單一來源主機來說明，規則設定為：

來源位址為 192.168.2.X

目的位址為 ALL

服務為 ALL

“單一主機” 頻寬最大值 Tx 為 300 Kbps，Rx 為 300 Kbps，頻寬最小


Smart QoS 會去比對每條連線，當有任何連線的 [來源位址]、[目的位址] 和 [服

務] 符合此規則時，將限制這些連線的來源主機，每一台主機的最大頻寬使用量

(Tx/Rx) 為 300 Kbps。

圖 10-18

因此如圖 10-19，主機 A、B、C 中不管每台主機有幾條連線，每台主機最大可

使用的傳送/接收 (Tx/Rx) 的頻寬會被限制住在 300 Kbps

圖 10-19

211



而若是設定單一來源主機與單一連線會發生什麼樣的情況呢? 以圖 10-20 來說，

規則設定為：

來源位址為 192.168.2.X

目的位址為 ALL

服務為 ALL

“單一主機” 頻寬最大值 Tx 為 300 Kbps，Rx 為 300 Kbps，頻寬最小


“單一連線” 頻寬最大值 Tx 為 100 Kbps，Rx 為 100 Kbps，頻寬最小


Smart QoS 會去比對每條連線，當有任何連線的來源位址,目的位址和服務符合

此規則時：

這些符合的每一條連線(Connection) 的最大使用頻寬 (Tx/Rx) 會被限

制在 100 Kbps 。

限制這些連線的來源主機，每一台主機的最大頻寬使用量 (Tx/Rx) 為

300 Kbps 。

圖 10-20

212



因此如圖 10-21：

主機 A 中有 7 條連線，每條連線的傳送/接收 (Tx/Rx) 會被限制在

100 Kbps，而單一主機頻寬為 300 Kbps，因此主機 A 的傳送/接收

(Tx/Rx) 最多會被限制在 300 Kbps

主機 B 中只有 1 條連線，該連線的傳送/接收 (Tx/Rx) 會被限制在

100 KBps，而因為主機 B 只有 1 條連線，因此單一主機頻寬 (Tx/Rx)

最多只會達到 100 Kbps

主機 C 中只有 2 條連線，該連線的傳送/接收 (Tx/Rx) 會被限制在

100 KBps，而因為主機 C 只有 2 條連線，因此單一主機頻寬 (Tx/Rx)

最多只會達到 200 Kbps

圖 10-21

213



10-2-2 資料傳輸方向性及連線起始方向性

[連線政策] 為針對每一條連線作控管，因此連線建立的方向性會受到比對，管

理者常會因為錯誤的設定而導致規則失效。因此對於 PowerFamily 的 SmartQoS

連線政策，需注意傳送 (Tx) 和接收 (Rx) 的方向

圖 10-22

如圖 10-22 來說，在設定 Tx (傳送) 和 Rx (接收) 時要注意的是使用者所使用

的網路服務，其連線起始方向跟資料流的方向的不一樣，以使用者位於內部網路

來說：

HTTP 服務 (上網)：

連線起始方向是從使用者到網站，但網頁下載的 “資料傳輸方向” 是從

網站到使用者，因此需控管 Rx

SMTP 服務 (寄信)：

連線起始方向是從使用者到郵件伺服器，且寄信的 “資料傳輸方向” 也

是從使用者到郵件伺服器，因此需控管 Tx

POP3 服務 (收信) ：

連線起始方向是從使用者到郵件伺服器，但收信的 “資料傳輸方向” 是

從郵件伺服器到使用者，因此需控管 Rx

214



而 FTP 的資料傳輸就比較特殊，FTP 的傳輸是使用 TCP 協定，而 FTP 伺服

器使用了兩種連線，分別是命令通道與資料流通道 (ftp-data channel)。而 FTP 分

為主動模式 (Active) 及被動模式 (Passive)。如圖 10-23，為 FTP 主動模式，連

線的步驟如下：

1. 建立命令通道的連線：

如圖 10-23 所示，用戶端會隨機取一個大於 1024 以上的埠口 (port

AA) 來與 FTP 伺服器端的 port 21 建立連線，這個過程需要 TCP 三

向交握，達成連線後用戶端便可以透過這個連線來對 FTP 伺服器下達

指令，包括查詢檔名、下載、上傳等等指令都是利用這個命令通道來下

達的

2. 通知 FTP 伺服器端使用主動 (Active) 模式，且告知連接的埠號：

FTP 伺服器的 21 埠號主要用在命令的下達，但是當牽涉到資料流時，

就不是使用這個連線了。用戶端在需要資料的情況下，會告知伺服器端

要用什麼方式來連線，如果是主動式 (Active) 連線時，用戶端會先隨

機啟用一個埠口 (如圖 10-23 當中的 port BB) ，且透過命令通道告知

FTP 伺服器“本機 IP”及“等待埠號”這兩個資訊，並等待 FTP 伺服器的

連線

3. FTP 伺服器“主動”向用戶端連線：

FTP 伺服器由命令通道瞭解用戶端的需求後，會主動的由 20 這個埠

號向用戶端的 port BB 建立連線，這個連線會經過 TCP 三向交握，此

時 FTP 的用戶端與伺服器端共會建立兩條連線，分別用在命令的下達

與資料的傳遞。而預設 FTP 伺服器端使用的主動連線埠號就是 port 20

圖 10-23

因此對於 FTP 主動模式的頻寬控管主要是在 “資料流通道” 的連線

215



如圖 10-24，為 FTP 被動模式，連線的步驟如下：

1. 命令通道的建立：

請參考主動模式的步驟 1

2. 發出 PASV 的連線要求：

當有使用資料流通道的指令時，用戶端可透過命令通道發出 PASV 的

被動式連線要求 (Passive)，並等待伺服器的回應

3. FTP 伺服器啟動資料埠口，並通知用戶端連線：

FTP 伺服器會先啟動一個埠口在監聽。這個埠口號碼可能是隨機的，

也可以自訂某一範圍的埠口，依 FTP 伺服器軟體而定。接著 FTP 伺

服器會透過命令通道告知用戶端其已經啟動的埠口 (圖 10-24 的

PORT command)，並等待用戶端的連線

4. 用戶端隨機取用大於 1024 的埠口進行連線

接著用戶端會隨機取用一個大於 1024 的埠號來對 FTP 伺服器的

port XX 連線。當資料流通道建立完成後，FTP 資料就可以透過 port

BB 及 port XX 來傳送了

圖 10-24

因此對於 FTP 被動模式的頻寬控管主要是在 “資料流通道” 的連線

216



因此如圖 10-23、10-24、10-25 及 10-26：

1. 圖 10-25 為 FTP 被動模式，因此資料流通道“連線建立”是由使用者向

FTP 伺服器建立連線。使用者執行下載動作，因此資料傳輸方向是由

伺服器傳送資料到使用者，因此需控管 Rx

2. 圖 10-26 為 FTP 主動模式，因此資料流通道“連線建立”是由伺服器向

使用者建立連線。使用者執行下載動作，因此資料傳輸方向是由伺服器

傳送資料到使用者，因此需控管 Tx

3. 圖 10-27 為 FTP 被動模式，因此資料流通道“連線建立”是由使用者向

FTP 伺服器建立連線。使用者執行上傳動作，因此資料傳輸方向是由

使用者傳送資料到伺服器，因此需控管 Tx

4. 圖 10-28 為 FTP 主動模式，因此資料流通道“連線建立”是由伺服器向

使用者建立連線。使用者執行上傳動作，因此資料傳輸方向是由使用者

傳送資料到伺服器，因此需控管 Rx

圖 10-25 圖 10-26

圖 10-27 圖 10-28

由於 FTP 服務的特殊，所以在設定 Smart QoS 的 Tx、Rx 時，建議二者都設

定一樣

217



10-2-3 設定連線政策注意事項

而在設定 Smart QoS 連線政策需注意：

網路服務的特性：

對稱性：

對於 HTTP 要設定 Rx，SMTP 要設定 Tx，POP3 要設定 Rx ，

FTP 要 Tx/Rx 皆設

靜態/動態埠號：

SMTP 為 TCP Port 25；POP3 為 TCP Port 110；HTTP 為 TCP Port

80，是屬於靜態埠號，但 FTP 或一些 P2P 軟體通常服務的埠號

都不會固定，因此是屬於動態埠號，連線政策服務欄位要設定為

“ALL”

Tx/Rx 方向性及線路上、下行映對

內部網段互連是否需要忽略頻寬限制

所有連線是否隱藏在單一主機 IP 位址

218



如圖 10-29，對於內部送信給外部來說

對內部使用者而言，所用到的為 Tx，但對線路而言，使用到上行頻寬

(一定要設定)

而對於外部送信給內部來說：

對外部使用者而言，所用到的為 Tx，但對線路而言，使用到下行頻寬

(可以不設定)

而在公司內部網路互傳時是否需要忽略網路頻寬限制呢 ? (建議開啟)

如圖 10- 29 所示：

Q1：E1 和 E4 互傳資料是否要啟動 Smart QoS 限制 ?

A1：在 PowerFamily 預設值是將 “忽略相鄰網段流量” 開啟，所以是預設值

是不會去限制 E1 和 E4 間的資料傳輸。

Q2：LAN 1~3 和 E1、E4 互傳時是否要啟動 Smart QoS 限制 ?

A2：在 PowerFamily 當中，若是 LAN 1 和 E1 互傳資料時，PowerFamily

會把 LAN1 視為非相鄰網段，所以預設是會去限制頻寬的。而如果

LAN1~3 及 E1、E4 的位址都是使用私有位址，則可以開啟 “忽略私有

網路的連線” 去排除之，但請注意，若網路環境有用 VPN 的話，則不

可開啟此功能。

圖 10-29

219



如圖 10-30，PowerFamily 若位於 Router 與 Firewall (Firewall 有啟動 NAT 功

能) 中間，PowerFamily 只能看到 Firewall 的 WAN IP 位址，而無法看到所有

內部 LAN 主機的真正位址，因此不可以設定 “單一來源 IP” 限制。

若設定 “單一連線 IP 限制”時，PowerStatio 只會限制到 Firewall 的 WAN IP。

換句話，所有客戶端的頻寬也都會被限制到。

圖 10-30

而需注意的是，Smart QoS 的效能決定於：

目前連線的數目 (正常連線 / 病毒攻擊連線)

連線政策的規則數目

[Outbound 政策] 的規則數目

線路/網卡數目

調整效能的方法有：

升級 PowerFamily 硬體規格

簡化 [Smart QoS 連線政策] / [Outbound 政策] 規則數目

提高 [啟動基準值] 如 1MBye

220



10-3 主機政策

PowerFamily Smart QoS 主機政策可針對單一主機做頻寬管理裂制，配用 Layer

7 Application Filter 更可針對 P2P 軟體 (BT 和 eMule) 做管控。目前

PowerFamily Smart QoS 主機政策提供如下功能：

排除-靜態規則：可以快速排除某些不需要頻寬控管的主機/網段

P2P-靜態規則：可以快速針對主機/網段做 P2P 總頻寬限制管理

靜態-靜態規則：可以快速針對來源主機和服務做總頻寬的管理限制

動態比對政策：可以快速針對主機做動態頻寬管理

圖 10-31

如圖 10-31，Smart QoS 主機政策操作規則判斷比對順序為：[排除-靜態規則]

→[P2P-靜態規則] → [靜態-靜態規則] → [動態比對政策]

若在 [排除-靜態規則] 排除對 A 主機的頻寬控管，由於規則比對順序

的關係，所以在 [靜態-靜態規則] 或是 [動態比對政策] 設定 A 主機

的頻寬管控是沒有做用的

而若在 [靜態-靜態規則] 設定 A 主機的 HTTP 總下載頻寬 (Rx) 2

Mbps，但在 [動態比對政策] 設定 A 主機的總下載頻寬 (Rx) 為 1

Mbps，由於規則比對順序的關係，所以 A 主機的 HTTP 下載頻寬仍

為 2 Mbps，但 POP3 的頻寬則不會超過 1 Mbps，因為不在 [靜態-靜

態規則] 的設定裡，所以接著比對 [動態比對政策]

221



10-3-0 開啟主機政策

點擊 [Smart QoS] →[Parameters]

圖 10-32

表 10-9

欄位說明

QoS Triggered Threshold QoS – Host-Policy 啟動基準值

◎ 啟動基準值：當連線傳輸量到達一定的門檻值時才會啟動 Smart QoS 頻寬管

理，需注意的是，[主機政策] 的啟動基準值為在此設定

222



10-3-1 排除靜態規則

1. 點擊 [Smart QoS] → [Host-Policy] → [Bypass List]

2.

圖 10-33

表 10-10

欄位說明

Source 封包資料的來源主機

Destination 封包資料的目的地主機

Service 所使用的服務

Bandwidth Rule 因為是排除靜態規則，所以這裡永遠都是 “NO”

Bi-Direction 是否開啟雙向偵測，勾選此選項時,系統會自動新增一條

規則，互換原本規則的 “連線來源位址” 及 “連線目的

位址”，以及互換 Tx 和 Rx 的頻寬限制，由於排除靜

態規則無頻寬管理規則，因此互換的只有 “連線來源位

址” 及 “連線目的位址”


◎ 若要看到詳細資訊，可點擊以查看

223



以圖 10-34 所設定的規則來說：

規則 1 為 [來源主機] 192.168.2.0/24 到所有的 [目的地主機]，全部服

務都不做 QoS 頻寬限制

規則 2 為 [來源主機] 192.168.3.0/24 到所有的 [目的地主機]，HTTP

服務不做 QoS 頻寬限制

圖 10-34

224



[排除靜態規則] 雙向檢查說明

如圖 10-35 範例來說明 [排除靜態規則] 雙向檢查，規則如下：

來源主機：A

目的地主機：B

服務為：HTTP

頻寬限制：Tx/Rx → 沒有限制，因為 [排除靜態規則] 無頻寬限制

雙向檢查：Yes

當有選 ”雙向檢查” 時，系統內部會將規則轉換成二條，將 [來源主機] 和 [目

的地主機] 互換，規則分別為:

[來源主機] A，[目的地主機] B，[服務] 為 ALL，[頻寬限制 Tx/Rx] →

沒有限制

[來源主機] B，[目的地主機] A，[服務] 為 ALL，[頻寬限制 Tx/Rx] →

沒有限制

需注意的是，如果 [服務] 為 ALL，則雙向檢查欄位沒有效用，如圖 10-35，若

[服務] 為 ALL 的話：

第二條規則：B 對 A 的傳送 (Tx) = A 對 B 的接收 (Rx)

第二條規則：B 對 A 的接收 (Rx) = A 對 B 的傳送 (Tx)

因此第二條規則永遠不會被比對到

圖 10-35

225



10-3-2 P2P-靜態規則

1. 點擊 [Smart QoS] → [Host-Policy] → [Application Layer]

圖 10-36

表 10-11

欄位說明

Source 連線來源主機

Destination 連線目的地主機，在此都為 ALL

Service 目前 PowerFamily 支援的協定為：

BT

eDonkey

Fasttrack

FTP

GetRight-HTTP

Gnutella

Xunlei(HTTP)

Xunlei(P2P)

YouTub Videoe

Bandwidth Rule 頻寬管理規則，可分別設定 Tx/Rx (傳送/接收)

的 Max/Min (最大頻寬/最小保證頻寬)

Bi-Direction 雙向檢查，此欄位在此無法勾選



226



如圖 10-37，為 [來源主機] 為 192.168.2.0/24 的所有主機到任何地方的 BT 服

務所能使用的總頻，最大上傳 (Tx) 為 50 Kbps，最大下載 (Rx) 為 200 Kbps，

且上傳與下載的最小保證頻寬為 10 Kbps

圖 10-37

227



10-3-3 靜態-靜態規則

[靜態-靜態規則] 可以快速針對 [來源主機] / [目的主機] / [服務] 執行全域總頻

寬限制管理，也就是說，不管所設定的主機裡有多少台電腦，將共用所設定之最

大頻寬

1. 點擊 [Smart QoS] → [Host-Policy] → [General Limit]

圖 10-38

表 10-12

欄位說明


Destination 封包資料的目的地主機

Service 服務



Bi-Direction 雙向檢查，勾選此選項時,系統會自動新增一條

規則，互換原本規則的 ”連線來源位址” 及

“連線目的位址” ，以及互換 Tx 和 Rx 的頻

寬限制



228



以圖 10-39 來說，表示所有 [來源主機] 為 192.168.x.x，到 [目的地主機] ALL

(表示任何地方) 的 MSN 服務。全部能夠使用的最大總頻寬上傳/下載 (Tx/Rx)

為 512/512 Kbps，且最小保證頻寬為 5 Kbps。也就是說，只要有一台主機的頻

寬使用達到 400 Kbps，其它主機的可用頻寬將剩餘 112 Kbps。

圖 10-39

229



[靜態-靜態規則] 雙向檢查說明

如圖 10-40 範例來說明 [靜態-靜態規則] 雙向檢查，規則如下：

來源主機：A

目的地主機：B

服務為：HTTP

頻寬限制：Tx/Rx 為 100/50 Kbps (最大頻寬)

雙向檢查：Yes

當有選 ”雙向檢查” 時，系統內部會將規則轉換成二條，將 [來源主機] 和 [目

的地主機] 互換，規則分別為:

[來源主機] A，[目的地主機] B，[服務] 為 HTTP，[頻寬限制 Tx/Rx] →

100/50 Kbps

[來源主機] B，[目的地主機] A，[服務] 為 HTTP，[頻寬限制 Tx/Rx] →

50/100 Kbps

需注意的是，如果 [服務] 為 ALL，則雙向檢查欄位沒有效用，如圖 10-40，若

[服務] 為 ALL 的話：

第二條規則：B 對 A 的傳送 (Tx) = A 對 B 的接收 (Rx)

第二條規則：B 對 A 的接收 (Rx) = A 對 B 的傳送 (Tx)

因此第二條規則永遠不會被比對到

圖 10-40

230



[靜態-靜態] 規則注意事項

而如圖 10-41，需注意的是 [靜態-靜態] 規則只限制該群組中之主機所能使用的

頻寬上限，但不是說每台主機都能平均共享該頻寬限制。若有些主機建立許多連

線數 (如 P2P 或其它檔案傳輸工具)，則可能會獲得比其它主機還要多的頻寬

圖 10-41

231



10-3-4 動態比對政策

[動態比對政策] 會動態不斷找出目前網路上的每一台主機，給予每一台主機各

自的頻寬使用政策

1. 點擊 [Smart QoS] → [Host-Policy] →Dynamic Tracking]

圖 10-42

表 10-13

欄位說明


Destination 封包資料的目的地主機，在此都為 ALL

Service 服務，在此都為 ALL



Bi-Direction 雙向檢查，此欄位在此無法勾選



232



如圖 10-43，只要有任何主機是屬於 192.168.6.x 這個網段，每個單一主機所能

使用最大上傳/下載 (Tx/Rx) 頻寬為 350/350 Kbps，保證頻寬為 5 Kbps (Tx/Rx)。

與 [靜態-靜態規則] 不同的是，[動態比對政策] 是針對每一台主機給予各自的

頻寬政策，而非共享同一頻寬

圖 10-43

233



[靜態-靜態規則] 與 [動態比對政策] 比較

如圖 10- 44，比較 [靜態-靜態規則] 與 [動態比對政策]：

[靜態-靜態規則]：PowerFamily 限制所有來源主機共享所限制的頻寬，系統

不會去偵測每一台來源主機最多可以使用多少頻寬

以規則來說：

來源主機：192.168.2.0/24

目的地主機：ALL

服務：ALL

頻寬限制：Tx/Rx → 350/150 (最大頻寬)

意思為：來源主機為 192.168.2.0/24 的所有主機將共享最大頻寬 Tx/Rx →

350/150 Kbps，如果有一台主機 192.168.2.18 頻寬使用 Tx/Rx → 300/100 Kbps，

則其它主機可用的頻寬只有 Tx/Rx → 50/50 Kbps

[動態比對政策]：PowerFamily 會動態不斷找出目前網路上的每一台主機，

給予每一台主機各自的頻寬使用政策

以規則來說：

來源主機：192.168.2.0/24

目的地主機：ALL

服務：ALL

頻寬限制：Tx/Rx → 350/150 (最大頻寬)

意思為：來源主機為 192.168.2.0/24 的每一台主機所能個別使用的最大頻寬為

Tx/Rx → 350/150 Kbps，也就是說，假設主機 192.168.2.18 頻寬使用量已達

Tx/Rx → 300/100 Kbps，也不影響到其它主機的頻寬使用

圖 10-44

234



如圖 10-45，雖然 [靜態-靜態規則] 也可以限定每台主機所能使用的頻寬，但若

位址空間過大的話 (如 192.168.0.0/16 包含超過 65,000 可用之 IP 位址) ，要

一個一個 IP 來設定的話將會非常的麻煩，因此建議以動態政策來做設定

圖 10-45

235



10-3-5 設定主機政策注意事項

如圖 10-46，PowerFamily 若位於 Router 與 Firewall (Firewall 有啟動 NAT 功

能) 中間，PowerFamily 只能看到 Firewall 的 WAN IP 位址，而無法看到 LAN

主機的真正位址。因此如果 PowerFamily 是要當頻寬管理器使用時，請把

PowerFamily 放在 Firewall 與 LAN 主機群的中間

而需注意的是，Smart QoS 的效能決定於：

目前連線/主機的數目

[主機政策] → [動態比對政策] 的規則數目

線路/網卡數目

調整效能的方法有：

升級 PowerFamily 硬體規格

簡化 [主機政策] → [動態比對政策] 規則

提高 [啟動基準值] 如 1MBye

圖 10-46

236



10-4 頻寬使用狀態

PowerFamily Smart QoS 流量頻寬統計，可以分為

QoS 頻寬限制

顯示被 [連線政策] 或 [主機政策] 所控管的主機/連線頻寬資訊

Top N 排行榜

依照每台主機/服務的 “頻寬傳輸量” 作排行

主機狀態頻寬

顯示每台主機的 “傳輸資訊” (傳輸量、傳輸速度)、 “即時連線追蹤” 和

“QoS 連線追蹤”

服務狀態頻寬

顯示每種 “服務” 所使用的 “傳輸量” 和 “傳輸速度”

連線頻寬狀態

顯示每台主機的 “連線追蹤” (協定、來源、來源埠、目的、目的埠) 和

“傳輸資訊” (傳輸量、傳輸速度)

10-4-1 流量報表設定

1. 點擊 [Parameters] → [Traffic Report]

圖 10-47

237




表 10-14

欄位說明

Host Analysis [主機頻寬狀態]，主機頻寬是針對每一台主機的頻寬使用量去

做統計

Connection Analysis [連線頻寬狀態]，連線頻寬是針對每一條連線的頻寬使用量去

做統計，網路服務相關的圖表也是使用連線頻寬資料

Application Analysis [應用協定分析]，使用特徵值比對封包，直接應用協定作統計

Link Traffic Analysis [線路流量分析]，針對每一條 WAN 線路的頻寬使用量去做統

計

Triggered Threshold [啟動基準值]，當主機連線傳輸量到達一定的門檻值時才會啟

動 Smart QoS 頻寬管理及流量統計

Hosts of Traffic Accounting [流量計數主機]，設定所要統計頻寬流量的主機 (請注意，設

定頻寬統計十分消耗系統資源，因此建議只針對重要的主機做

流量統計)

私有位址主機：所有來源主機位址是位於私有位址

(Private Address)網段，例如：(10.0.0.0/8，

172.12.0.0/12，192.168.0.0/16)

鄰近網路介面主機：與 PowerFamily 網卡相鄰網段

的主機

其他網際網路主機：除了 “私有位址主機” 及 “鄰

近網路介面主機” 的所有位址 (開啟此選項就是統

計所有的主機，建議不要開啟)

自訂主機範圍：可以自訂所要顯示的流量計數主

機，填寫格式為：“網路位址/遮罩位元”，如:

61.40.23.0/24

Hosts of MRTG Charts [資料傳輸圖表 (MRTG Charts)]，如果要作長時間 (日、週、

月、年) 的流量統計 (MRTG 圖)，則在此輸入需要做長時間

流量統計的主機，目前 PowerFamily 只支援單一主機格式

(192.168.1.1)，不支援網段格式 (如 192.168.1.0/24)

238



◎ PowerFamily 在統計主機流量計數時會消耗系統相當多的資源，建議在設定

[流量計數主機] 時，不要開啟 “其他網際網路主機”，避免大量增加系統負載

◎ 除了在 [資料傳輸圖表] 加入要作長時間的流量統計的主機，也可以在 [主機

狀態頻寬] 直接加入清單中，如下圖的按紐，而按紐則是從清單中

移除此要作長時間的流量統計的主機

圖 10-48

239



10-4-2 QoS 頻寬限制

1. 點擊 [Traffic Report] → [Dynamic Qos Tracking]

圖 10-49

表 10-15

欄位說明

Host [主機]，為有被 “主機政策” 規則限制的主機，IP 資訊

右邊小圖示可以顯示該主機的即時傳輸流量圖

Rule Limit (Kbps) [頻寬規則 (Kbps)]，顯示該台主機被哪條規則所限制

住，被限制的 Tx/ Rx 最大值和最小值

Traffic Info (Kbps) [傳輸資訊 (Kbps)]，顯示該台主機即時的 Tx/Rx 傳輸

流量

◎ 圖 10-49 為使用 [主機政策] 所顯示的頻寬限制資訊

◎ 點擊可顯示該主機的即時傳輸流量圖

圖 10-50

240



如圖 10-51，為使用 [連線政策] 所顯示的頻寬限制資訊

圖 10-51

表 10-16

欄位說明

Connection Tracking 被追蹤的連線資訊，包含所使用的協定、來源位址、來

源埠、目的位址、目的埠

Bandwidth Limit (Kbps) 頻寬限制資訊，依據 [連線政策] 所設定的規則，分別

列出總頻寬 (Rx、Tx)、單一來源主機 (Rx、Tx)、單一

連線 (Rx、Tx) 的最大傳輸速率

Interfaces 連線的流入 (Inbound)、流出 (Outbound) 網路介面

Traffic Info 顯示連線的傳輸總量及即時的 Tx/Rx 傳輸流量

241



10-4-3 Top N 排行榜

1. 點擊 [Traffic Report] → [Top N List]

圖 10-52

表 10-17

欄位說明

Host Status [主機頻寬狀態]，可分別點擊、、，以顯

示該主機之即時圖表

Traffic Info [傳輸資訊]，可顯示該主機之總傳輸量 (Tx/Rx Bytes)、

總傳輸封包 (Tx/Rx Packets)、平均傳輸速度 (Tx/Rx

bps)、平均封包傳輸速度 (Tx/Rx pps)

◎ 點擊有底線之欄位可依該欄位資料做排序，以方便查看資料，且圖表也會依

排序之結果重新顯示

◎ 點擊可顯示該主機的即時傳輸流量圖

242



圖 10-53

◎ 點擊可顯示該主機的即時傳輸資訊，以協定及所使用的埠 (port) 做為連

線追蹤，並可以圓餅圖及長條圖顯示

圖 10-54

◎ 點擊可顯示主機的即時詳細傳輸資訊，共分為 From Me (以該主機做為

來源位址)、To Me (以該主機做為目的位址) 及 From/To Me (顯示全部資訊)

圖 10-55

243



如圖 10-52，[Top N 排行榜] 會列出符合流量計數政策 (主機政策) 的主機/服

務流量圖

[Top] 類別：

Hosts (主機)

圖 10-56

Services (服務)

圖 10-57

244



[Graph Type] 圖表：

Pie Chart (圓餅圖)

圖 10-58

Bar Chart (長條圖)

圖 10-59

[Data Type] 資料類別：

圓餅圖：分為 Tx Total Bytes、Rx Total Bytes、Tx Total Packets、Rx Total

Packets、Tx Rate、Rx Rate、Tx Packet Rate、Rx Packet Rate

長條圖：分為 Tx/Rx Total Bytes、Tx/Rx Total Packets、Tx/Rx Rate、Tx/Rx

Packet Rate

[Top N Hosts]：預設顯示 10 筆主機記錄，PowerFamily 會將頻寬使用最多的前

10 台主機，顯示出這些主機群的頻寬使用資源

245



10-4-4 主機頻寬狀態

1. 點擊 [Traffic Report] → [Host Analysis]

圖 10-60

表 10-18

欄位說明

Host Status [主機頻寬狀態]，可分別點擊、、，以顯

示該主機之即時圖表，而若有點擊加入做為長時間

流量統計的主機，則會多出現一個以顯示日、週、

月、年的統計圖表

：顯示該台主機的即時傳輸速率圖

：顯示該台主機的 MRTG 圖，可依照

日、週、月、年顯示

：顯示該台主機所有相關的 [QoS 連線

表]

：顯示該台主機的 [即時連線表]

Traffic Info [傳輸資訊]，可顯示該主機之總傳輸量 (Tx/Rx Bytes)、

平均傳輸速度 (Tx/Rx bps)

F/W Connections List [即時連線追蹤]，顯示該主機所有的連線數

Total：總連線數

TCP：總 TCP 連線數

UDP：總 UDP 連線數

ICMP：總 ICMP 封包數

QoS Connections [QoS 連線追蹤]，列出目前有受到流量統計的連線數，

[連線頻寬狀態] 需啟用

Total：總連線數

246



TCP：總 TCP 連線數

UDP：總 UDP 連線數

◎ 點擊有底線之欄位可依該欄位資料做排序，以方便查看資料

◎ 一般來說，[即時連線追蹤] 的連線數目會多於 [QoS 連線追蹤] 的連線數

◎ 除了在 [資料傳輸圖表] 加入要作長時間的流量統計的主機，也可以在 [主機

狀態頻寬] 直接加入清單中，如下圖的按紐，而按紐則是從清單中

移除此要作長時間的流量統計的主機

◎ ：顯示該台主機的即時傳輸速率圖

表 10-61

247



◎ ：顯示該台主機的 MRTG 圖，可依照日、週、月、年顯示

圖 10-62

◎ ：顯示該台主機所有相關的 [QoS 連線表]

圖 10-63

◎ ：顯示該台主機的 [即時連線表]

圖 10-64

248



10-4-5 服務頻寬狀態

1. 點擊[Traffic Report] → [Service Status]

圖 10-65

表 10-19

欄位說明

Connection Tracking [連線追蹤]，可分別點擊、，以顯示該服務之

即時圖表

Proto：所使用之通訊協定 (TCP 或 UDP)

dport：目的埠

：顯示該服務之即時連線傳輸流量表

：顯示該服務之詳細連線傳輸表

Traffic Info [傳輸資訊]，可顯示該服務之總傳輸量 (Tx/Rx Bytes)、


249



◎ 點擊顯示該服務之即時連線傳輸流量表

圖 10-66

◎ 點擊顯示該服務之詳細連線傳輸表

圖 10-67

250



10-4-6 連線頻寬狀態

1. 點擊[Traffic Report] → [Connection Analysis]

圖 10-68

表 10-20

欄位說明

Connection Tracking [連線追蹤]，可分別點擊、，以顯示該服務之

即時圖表

Proto：所使用之通訊協定 (TCP 或 UDP)

Source：連線來源主機

sport：來源埠

Destination：連線目的主機

dport：目的埠

：顯示該連線之即時單一連線傳輸速率圖

Traffic Info [傳輸資訊]，可顯示該服務之總傳輸量 (Tx/Rx Bytes)、


251



◎ 點擊顯示該連線之即時單一連線傳輸速率圖

圖 10-69

Application Analysis

252



Chapter 11 連線頻率限制

一般我們正常使用的網路連線數都在一定的數目下，除非遭遇一些特殊的情況：

伺服器主機：如 Proxy 主機、Web 主機、DNS 主機、SMTP 主機等

中毒主機：如被駭客當成跳板主機攻擊許多電腦

點對點下載主機：如 BT、eMule

因此在短時間內才會產生大量的連線，因此對於連線控管，可以針對因 “電腦中

毒” 及 “使用點對點下載軟體” 而造成線路擁圔，頻寬不足來著手

PowerFamily 提供 [連線頻率限制] 可有效針對不正常連線做管控，而 [連線頻

率限制] 可分成兩個部份來說明

新連線速率限制：控管每一秒鐘可以發出的連線數，也就是針對每一台

電腦在每一秒鐘可以建立的新連線數目 (包括 TCP、UDP 及 ICMP)，

限定每秒鐘只能產生一定的連線數

最大連線數政策：控管同時間可達最大的連線數目，當某台電腦同時間

建立的連線數超過一定量時，即針對該電腦作一定時間封鎖上網的動作

圖 11-1

新連線速率限制最大連線數政策

253



254



11-1 新連線速率限制

當一台電腦在短時間產生大量連線數，通常是：

這台主機是擔任 Proxy 或防火牆的角色，許多設備都是透過此主機存

取網際網路上的資源，如 Web Proxy 伺服器

該台主機有使用 P2P 軟體 (BT、eMule、eDonkey) 進行檔案交換，其

下載別人分享的檔案的同時也提供別人下載，因此需建立大量連線以進

行資料的交換，如 eMule 下載者需持續與許多同樣參與下載該檔案的

客戶端主機進行連線以互相交換所擁有的資料，因此連線數的建立是非

常多的

該主機本身受到病毒或蠕蟲的攻擊，系統因而被植入發垃圾信或入侵程

式，不斷攻擊 (掃描) 其他網際網路的主機

而根據不斷的觀察及經驗法則，一般主機產生新連線的速度不會超過 “1 秒鐘

30 條連線”，因此，若設定 [新連線速率限制]，單一主機在短時間內產生大量

連線，PowerStaton 將阻擋那些超過 [新連線速率限制] 設定值之連線

假設新連線速率為每秒 50 條連線，若一台主機每秒產生 60 條連線，

則將有 10 條連線被阻擋

255



11-1-1 啟動新連線速率限制

點擊 [System] → [Services]，以啟動新 [連線速率限制]

圖 11-2

◎ Connection Rate Limit，連線頻率限制，可以啟動或停止 [新連線速率限制] 服

務

◎ Dynamic Host Blocking，動態主機封鎖，可以啟動或停止 [最大連線數政策]

服務

256



11-1-2 設定新連線速率限制

點擊 [Advanced] → [Connection Rate Limit]

圖 11-3

表 11-1

欄位說明

Source 連線來源主機，通常為內部主機或網段。預設值為 ALL

TCP-New 單一主機每一秒產生新 TCP 連線數，超過限制的連線數將會被阻擋。預設

值為 50

UDP 單一主機每一秒產生新 UDP 連線數，超過限制的連線數將會被阻擋。預設

值為 50

ICMP 每單一主機每一秒產生新 ICMP 連線數，超過限制的連線數將會被阻擋。預

設值為 50

◎ 規則比對的順序為以 “第一條規則優先比對” 為準則，比對的順序為由上至

下，所以新增的規則都比最下面那條預設規則高

◎ 若所新增的規則都沒比對到，則以預設規則為主

◎ 點擊可觀看詳細設定值

圖 11-4

257



11-2 最大連線數政策

某公司設定了 [新連線速率限制] 為每秒 50 條新連線，而該公司內部有一台主

機中毒了，其產生了以下的行為：

由於該主機受到 PowerFamily [新連線速率限制] 的政策控管，因此每

秒最多產生 50 條新連線，但由於該主機中毒，所以會不斷產生新連線，

因此每秒不斷的產生 50 條連線，一分鐘就有 3,000 條連線，一小時

就會有 180,000 連線

這樣會發生由於大量的連線數而癱瘓網路設備，因此 PowerFamily 提供了 [最

大連線數政策]，可有效的解決這個問題

258



11-2-1 啟動最大連線數政策

點擊 [System] → [Services]，以啟動 [最大連線數政策]

圖 11-5

259



11-2-2 設定最大連線數政策

點擊 [MultiHoming] → [Advanced Functions] → [Connection Rate Limit] →

[Rule Configuration]

圖 11-6

表 11-2

欄位說明

TCP-NEW 單一主機同時間可允許的最大 TCP 新連線數，超過此值時便依封鎖時

間設定阻擋該主機上網。預設值為 100

TCP-EST 單一主機同時間可允許的已連結的 TCP 連線數，超過此值時便依封鎖

時間設定阻擋該主機上網。預設值為 100

UDP 每單一主機每一秒最大產生新 ICMP 連線數，超過限制的連線數將會被

封鎖。預設值為 100

Block Duration 封鎖期間，若有任何主機違反以上的政策，將會依照所設定之時間值封

鎖上網。預設值為 600 秒

◎ TCP-NEW 代表尚未完成 TCP 三方交握 (TCP 3-Way Handshake) 的連線

◎ TCP-EST 代表已完成 TCP 三方交握，傳輸資料中的連線

260



11-3 連線封鎖

表 11-3

欄位說明

Blocked Host 被封鎖之主機 IP 位址

Block begins 封鎖開始時間

Last Violation 最後違反所設定之規則的連線的時間點

Release block at 結束封鎖時間

Block Period 封鎖期間 (秒)

Explanation 封鎖說明，格式：

說明 [當時違反規則之總連線數]

圖 11-8

如圖 11-8，假設所設定之最大連線數為 100，封鎖期間為 600 秒，而該主機連

線數為 274 ，則 PowerFamily 會做以下之動作：

1. 達到所設定之門檻值 (最大連線數 100)，開始封鎖該台主機

2. 該台主機連連線數仍大於所設定之門檻值，PowerFamily 仍會封鎖該主

機

3. 該主機的連線數已降至門檻值以下，PowerFamily 依所設定之 [封鎖期

間] (600 秒) 開始計算，但該主機仍受到封鎖，且在封鎖期間內若連線

數仍發生超過門檻值的情況，則將重新開始計算

4. 該主機還位於封鎖期間中 (600 秒)

5. 封鎖期間結束，放行該主機之網路連線

261



11-3-2 封鎖歷史記錄

1. 點擊 [View Status] → [Blocking Hist List]

圖 11-9

表 11-4

欄位說明

Event Time 事件發生時間

若為 Block 則為 [Real-Time Block Hosts] 裡之 [Last

Violation] 的時間

若為 Release 則為 [Real-Time Block Hosts] 裡之 [Last

Violation] 加上 [Block Period] 之結果，但實際上之時間會

依系統當時負載狀況而有些許之誤差

Action Block：代表開始封鎖該主機

Release：代表結束封鎖該主機

Host 被封鎖之主機 IP

Block begins 開始封鎖時間，為 [Real-Time Block Hosts] 裡之 [Last Violation] 的時

間

Block Period 封鎖期間

Explanation 封鎖說明，格式：

[協定, 當時違反規則之總連線數] 說明

圖 11-10

◎ 步驟請參照 11-3-1 節說明

262



11-4 注意事項

預設的封鎖政策符合大多數的環境，但如果 PowerFamily 是使用於下列的網路

架構，則需要對某些主機提高門檻值

PowerFamily 使用 ProxyARP 模式

大多主機是位於 Firewall 後方，並採用 NAT 模式

有部署使用 Web Proxy 主機

11-4-1 PowerFamily 使用 ProxyARP 模式

圖 11-11

如圖 11-11，PowerFamily 是位於 Firewall/Router 與對外線路 Router 之間，使

用 ProxyARP 佈署模式。因此要確認位於 FW/Router 下的電腦上網經過

FW/Router 時有無作 NAT 的動作，如果有的話其所有對外連線，對

PowerFamily 而言則會是 NAT 後的同一單一來源 IP，且由於連線頻率限制是

針對每一 IP，所以設限可能會造成內部人員完全無法上網，因此需提高門檻值

263



11-4-2 大多主機是位於 IP 分享器後方，並採用 NAT 模式

圖 11-12

如圖 11-12，大多的主機位於 IP 分享器後面，內部電腦來源位址皆被 IP 分享

器偽裝成同一對外 IP，由於 [連線頻率限制] 是針對每一 IP 來作限制，所以可

能導至內部使用者完全無法上網，因此對此 NAT 的來源 IP 需提高門檻值

264



11-4-3 有部署使用 Web Proxy 主機

圖 11-13

如圖 11-13，如果內部有佈署 Web Proxy 主機，這樣大多上網的使用者都是利

用 Proxy 存取網路資源。此時所有利用 Proxy 主機存取網頁的連線，對

PowerFamily 而言，所有連線的來源位址皆為 Web Proxy 主機的 IP 位址，所

以在設定 [連線頻率限制] 時，要注意到將該 Web Proxy 主機的 IP 限制放寬，

以免導致透過該 Web Proxy 主機上網的來源電腦皆無法上網。除此之外如果您

的網路環境內有類似代理伺服器的其它設備時，也必頇手動放寬連線控管設定。

265



Chapter 12 Layer 7 Application Filter

PowerFamily 提供第 7 層應用程式過濾功能，可過濾阻擋以下程式：

P2P 檔案分享

BT

eMule

Kazza

GNUTELLA (Foxy)

WinMX

Xunlei

BearShare

Direct Connect

網路傳訊軟體

MSN Messenger

Yahoo Messenger

AIM (AOL Instant Message)

Google Talk

QQ

Rediff Bol

Webmail

AIM Mail

Hotmail

Yahoo Mail

Gmail

Gmail-SSL

Mail2000

Xuite Rediff Bol

Web IM

Web Messenger

Meebo

eBuddy

imhaha

ILoveIM

MSN2Go

266



KOOLIM

Web QQ

WEBSITE

MySpace

Facebook

Twitter

Flickr

Plurk

Wretch

Pixnet

YouTube

Tudou

PPStream

PPLive

Tunnel

TeamViewer

WuJie(u95)

HTTP Proxy

HTTP Proxy

Tunnel

有效的保護企業頻寬及機密，避免內部惡意使用者使用 P2P 軟體造成網路阻圔

或是利用網路傳訊軟體洩露企業機密與傳送造成公司主機當機之病毒、惡意程式、

私人軟體等

267



12-1 P2P File Sharing

點擊 [Advanced] → [Layer 7 Application Filter] → [P2P File Sharing] 開啟畫面

如下

圖 12-1

表 12-1

欄位說明

Order ，移動規則順序，一次移動一條規則

Rule 規則號碼，採 First Match 的方式，由上至下比對

Source 設定欲做 P2P File Sharing 管控之主機群

P2P File Sharing Allow：允許 P2P 流量通過

SKIP：不處理該項目，若有下一條規則的話交由下一條規則處理

Deny：不允許 P2P 流量通過

比對準則：

偵測來源主機或主機群

存取政策：

設定 P2P 存取控管

(Allow、SKIP、Deny)

268



◎ 如圖 12-1 之相關物件名稱為在 [Security Policy]、[Inbound Policy] 及

[Outbound Policy] 所指定的，詳細新增物件方式請參考 “Chapter06 防火牆與

線路負載平衡”

而點擊可觀看所有設定規則的詳細資訊

圖 12-2

以圖 12-2 來說：

第一條規則裡的主機群可以使用所有 P2P 軟體

第二條規則裡的主機群可以使用 BT、eMule，而 Kazaa、GNUTELLA 及

WinMX、Xunlei、BearShare 並未受到任何檢查及處理，若有下條規則

的話則交由下條規則來處理

第三條規則裡的主機群禁止使用所有 P2P 軟體

◎ 由於 PowerFamily [L7 應用層過濾器] 為對封包進行深層檢視，因此極耗系

統效能，規則設定中 “Pass” 及 “Block” 均會深層檢視封包，並依所設定之

來源主機範圍 “允許” 或 “不允許” P2P 流量通過，而 “Skip” 則不會針對封

包進行深層檢視的動作，因此若只需管控部份 P2P 應用程式的話，建議將其

它 P2P 應用程式設成 “Skip” 以降低系統負載

269



12-2 Instant Messaging (IM)

點擊 [Advanced] → [Layer 7 Application Filter] → [Instant Messaging (IM)] 開啟

畫面如下

圖 12-3

表 12-2

欄位說明



Source 設定欲做 IM 管控之主機群

Instant

Messaging (IM)

Allow：允許 IM 流量通過

SKIP：不處理該項目，若有下一條規的話交由下一條規則處理

Deny：不允許 IM 流量通過

比對準則：


存取政策：

設定 IM 存取控管

( Allow、SKIP、Deny)

270




圖 12-4

以上圖來說：

第一條規則裡的來源 aaron 允許 (ALLOW) 使用所有 IM 即時通訊

第二條規則裡的來源 192.168.18.X 允許 (ALLOW) 使用 Rediff Bol 。

MSN 不處理該項目，若有下一條規的話交由下一條規則處理 (SKIP)，

Yahoo、AIM、GTalk 、QQ 禁止使用

第三條規則裡的來源 Hgiga-Lan 禁止 (DENY) 使用所有 IM 軟體

◎ 由於 PowerFamily 之 Layer 7 Application Filter 是以連線/主機深層封包檢視

進行應用程式過濾，所以可有效的過濾 P2P 及 IM 應用程式等，也因此在

規則的設定上在 [Source] 盡量不要使用 “ALL” 做為來源主機過濾，因為會

造成大幅系統效能降低的情況。良好的設定方式是以內部主機群的方式，例

如 [Lan-192.168.18.x ] 主機群 (位於 192.168.18 網段)裡的電腦不允許使用

P2P 軟體及 IM 軟體等

◎ 規則設定中 “Pass” 及 “Block” 均會深層檢視封包，並依所設定之來源主機

範圍 “允許” 或 “不允許” IM 流量通過，而 “Skip” 則不會針對封包進行深

層檢視的動作，因此若只需管控部份 IM 應用程式的話，建議將其它 IM 應

用程式設成 “Skip” 以節省系統效能

◎ 在此需注意若 IM 軟體使用 Proxy 的方式進行連線與資料傳送，由於 Proxy

為使用 HTTP 協定 (為 TCP 80 埠，若封鎖此埠將造成完全無瀏覽網頁)，

因此 [L7 應用層過濾器] 將會失效，因此建議

1. 使用封包分析軟體 (如 Ethereal、Wireshark 等) 找出欲封鎖該 IM 軟體

的所有 IM 伺服器

2. 到 [Security ] → [Security Policy] 直接封鎖內部主機存取這些 IM 伺

服器的網路服務

271



12-3 Web Mail

點擊 [Advanced] → [Layer 7 Application Filter] → [Web Mail] 開啟畫面如下

圖 12-5

表 12-3

欄位說明



Source 設定欲做 Web Mail 管控之主機群

Web Mail Allow：允許 Web Mail 流量通過


Deny：不允許 Web Mail 流量通過


比對準則：


存取政策：



272



圖 12-6

以上圖來說：

第一條規則裡的來源 aaron 允許 (ALLOW) 使用所有 Web Mail 服務

第二條規則裡的來源 192.168.18.X 允許 (ALLOW) 使用 AIM Mail、

Hotmail。Yahoo Mail、Gmail、Gmail-SSL、 Mail2000、Xuite 不處理該

項目，若有下一條規的話交由下一條規則處理 (SKIP)

第三條規則裡的來源 Hgiga-Lan 禁止 (DENY) 使用所有 Web Mail





如 [Lan 192.168.18.x] 主機群 (位於 192.168.18 網段)裡的電腦不允許使用



範圍 “允許” 或 “不允許” Web Mail 流量通過，而 “Skip” 則不會針對封包

進行深層檢視的動作，因此若只需管控部份 Web Mail 應用程式的話，建議

將其它 Web Mail 應用程式設成 “Skip” 以節省系統效能

273



12-4 Web IM

點擊 [Advanced] → [Layer 7 Application Filter] → [Web IM] 開啟畫面如下

圖 12-7

表 12-4

欄位說明



Source 設定欲做 Web IM 管控之主機群

Web Mail Allow：允許 Web IM 流量通過


Deny：不允許 Web IM 流量通過


比對準則：


存取政策：



274



圖 12-8

以上圖來說：

第一條規則裡的來源 aaron 允許 (ALLOW) 使用所有 Web IM 服務

第二條規則裡的來源 192.168.18.X 允許 (ALLOW) 使用 ILoveIM、

MSN2Go。Web Messenger、meebo、eBuddy、imhaha、KOOLIM、Web

QQ 不處理該項目，若有下一條規的話交由下一條規則處理 (SKIP)

第三條規則裡的來源 Hgiga-Lan 禁止 (DENY) 使用所有 Web IM








範圍 “允許” 或 “不允許” Web IM 流量通過，而 “Skip” 則不會針對封包進

行深層檢視的動作，因此若只需管控部份 Web IM 應用程式的話，建議將其

它 Web IM 應用程式設成 “Skip” 以節省系統效能

275



12-5 Web Site

點擊 [Advanced] → [Layer 7 Application Filter] → [Web Site] 開啟畫面如下

圖 12-9

表 12-5

欄位說明



Source 設定欲做 Web Site 管控之主機群

Web Mail Allow：允許 Web Site 流量通過


Deny：不允許 Web Site 流量通過


比對準則：


存取政策：



276



圖 12-10

以上圖來說：

第一條規則裡的來源 aaron 允許 (ALLOW) 使用所有 Web Site 服務

第二條規則裡的來源 192.168.18.X 允許 (ALLOW) 使用 Facebook、

PPStream。MySpace、Twitter、Flickr、Plurk、Wretch、Pixnet、YouTube、

Tudou、 PPLive 不處理該項目，若有下一條規的話交由下一條規則處

理 (SKIP)

第三條規則裡的來源 Hgiga-Lan 禁止 (DENY) 使用所有 Web Site








範圍 “允許” 或 “不允許” Web Site 流量通過，而 “Skip” 則不會針對封包進

行深層檢視的動作，因此若只需管控部份 Web Site 應用程式的話，建議將

其它 Web Site 應用程式設成 “Skip” 以節省系統效能

277



12-6 Tunnel

點擊 [Advanced] → [Layer 7 Application Filter] → [Tunnel] 開啟畫面如下

圖 12-11

表 12-6

欄位說明



Source 設定欲做 Tunnel 管控之主機群

Web Mail Allow：允許 Tunnel 流量通過


Deny：不允許 Tunnel 流量通過

比對準則：


存取政策：



278




圖 12-12

以上圖來說：

第一條規則裡的來源 aaron 允許 (ALLOW) 使用所有 Tunnel 服務

第二條規則裡的來源 192.168.18.X 允許 (ALLOW) 使用 WuJie(u95)、

HTTP Proxy 。TeamViewer、HTTP Proxy 不處理該項目，若有下一條規

的話交由下一條規則處理 (SKIP)

第三條規則裡的來源 Hgiga-Lan 禁止 (DENY) 使用所有 Tunnel








範圍 “允許” 或 “不允許” Tunnel 流量通過，而 “Skip” 則不會針對封包進行

深層檢視的動作，因此若只需管控部份 Tunnel 應用程式的話，建議將其它

Tunnel 應用程式設成 “Skip” 以節省系統效能

279



Chapter 13 DHCP

圖 13-1

DHCP (Dynamic Host Configuration Protocol) 主要是自動的將網路參數正確的分

配給網域中的每部電腦，讓 Client 端的電腦可以在開機的時候就立即自動的設

定好網路的參數值，免去每次新增一台主機時，都要手動設定網路環境，而這些

參數值包括了 IP 位址設定、子網路遮罩、預設閘道器與 DNS 的位址等等。

在 DHCP 的環境裡，可分為 Server 端及 Client 端：

DHCP Server：所有 IP 設定資料都由 DHCP Server 管理，並回應

Client 端的 DHCP 請求

DHCP Client：Client 要求本機 IP 相關設定，發出 DHCP 請求，並使

用從 DHCP Server 分配下來的 IP 環境資料

280



DHCP 之作業流程可以圖 13-2 來表示：

圖 13-2

281



PowerFamily 提供了 DHCP 功能以讓管理者能簡便的設定 DHCP，請在主畫面

點擊 [DHCP] 開啟畫面如圖 13-3：

圖 13-3

282



表 13-1

項目說明

Subnets DHCP 子網路設定，設定在哪個系統網路介面提供 DHCP 服務及 IP

範圍

Host and Host Groups 靜態 DHCP 配置，手動設定新主機的主機名稱、MAC 位址、及固定的

IP 位址

Global Options DHCP 全域選項，所有網路、主機與群組預設參數值

List Active Leases 列出使用中的 DHCP 租約

Parameters 是否啟用 DHCP 服務

283



13-1 Subnets

若欲在 PowerFamily eth2 網路介面設定一 DHCP 子網路，需求如下：

IP 位址範圍：192.168.2.18 ~ 192.168.2. 200

Default routers：192.168.2.254

Subnet mask：255.255.255.0

DNS servers：192.168.16.1 168.95.1.1

13-1-1 新增 DHCP Subnets

1. 於管理介面點擊 [Advanced] → [DHCP] → [Subnets]

圖 13-4

2. 點擊

圖 13-5

284



表 13-2

Status 是否啟動 DHCP

Address Ranges 設定 DHCP 分配的 IP 網段

Any Clients:設定 IP 分給所有主機，主機的 IP 為自動取得

Known Clients:設定 IP 網段內對照主機與主機群，需 IP 對應到 MAC

位址

Netmask 設定 IP 網段的子網路遮罩

Default Gateway 設定 IP 網段的預設路由器

Domain Name 設定網域名稱

DNS Servers 設定 DNS 伺服器的 IP 位址

WINS Servers 設定 WINS 伺服器的 IP 位址

ase Time (Sec) 主機向 DHCP 租約 IP 的時間

Comment 備註說明

3. 點擊按紐以建立此 DHCP 子網路設定

◎ 一般來說只需設定 Address Ranges、Default Gateway、Netmask、DNS Servers

即可

285



13-2 Hosts and Host Groups

若是使用都主機希望能以固定 IP 的方式而不希望每次取得的 IP 位址都不同，

可在此設定靜態 MAC – IP 位址的對應

接續前一節之設定值於管理畫面點擊 [Advanced] → [DHCP] → [Hosts and Host

Groups]

圖 13-9

13-2-1 設置靜態主機

若有一台主機希望能設置靜態位址的對應，其相關資料如下：

Host name：hostA

Hardware address：00-0E-35-2B-E7-95

Fixed IP address：192.168.2.195

1. 於管理畫面點擊 [Advanced] → [DHCP] →[Hosts and Host Groups]

圖 13-10

2. 點擊按鈕

3. 輸入該主機之主機名稱、MAC 位址、IP 位址

286



圖 13-11

表 13-4

4. 點擊按鈕

欄位說明

Status 是否開啟服務

Hostname 設定主機名稱

IP Address 設定該主機的 IP 位址

Hardware Address 設定該主機的網卡位址

Subnet Mask 設定該網段的子網路遮罩

Default Gateway 設定預設路由器

Domain Name 設定網域名稱

DNS Servers DNS 伺服器位址，若有多個以空格分開。如：168.95.1.1 168.95.192.1

WINS Servers 設定 WINS 伺服器

Comment 備註說明

287



13-2-2 批次建立靜態主機

管理者可以以批次建立靜態 IP 主機的方式，一次將所有需要用靜態 IP 主機的

主機新增完成。PowerFamily 所支援之靜態對應檔案格式為 ”csv”格式，格式如

下：

[主機],[網卡位址],[IP 位址]

Ex: PC1,00-0E-35-2B-E7-95,192.168.20.200

PC2,00-0E-35-2B-E7-99,192.168.20.220

如圖 13-12，為一 csv 格式檔案，依照批次靜態主機格式所建立，共十部主機。

以下將以此檔案做為範例來批次建立靜態主機

圖 13-12

1. 於管理畫面點擊 [Advanced] → [DHCP] →[Hosts and Host Groups]

圖 13-13

288



2. 點擊 [瀏覽…] 按鈕

3. 選擇靜態對應檔案格式

圖 13-14

4. 點擊 [Upload] 按鈕

圖 13-15

5. 如圖 13-16，可看到已經成功的加入了十台主機。這裡需注意的是，務必將

所有靜態對應主機輸入 .csv 檔中，否則會因上傳新的靜態對應檔案而蓋掉

原先輸入的靜態對應主機

圖 13-16

289



13-3 Global Options

通常建立一個 DHCP 網域設定，都要給予相對應的參數設定，如子網路遮罩、

網域名稱、DNS 主機及 Windows 專用的 WINS 主機，如果這些 DHCP 網域

都是採用相同的參數，則可以統一在 [Global Options] 中設定，所有 DHCP 網

域都可以採用全域的設定 (Global)，但如果在各自的 DHCP 網域有設定 [Client

Options] ，那就會以局部的 [Client Options] 為主，並不會使用 [Global Options]

圖 13-17

1. 請點擊 [Advanced] → [DHCP] → [Global Options]

2. 點擊按鈕

290



圖 13-18

表 13-5

3. 設定完後請點擊按鈕

欄位說明

Status 是否開啟服務

Subnet Mask 設定該網段的子網路遮罩

Default Gateway 設定預設路由器

Domain Name 設定該子網路所處網域名稱

DNS Servers DNS 伺服器位址，若有多個以空格分開

WINS Servers WINS 伺服器

Lease Time(Sec) 租約時間(秒)

291



13-4 List Active Leases

若想知道目前正在使用 DHCP 服務之主機請點擊[Advanced] → [DHCP] → [List

Active Leases]

圖 13-19

表 13-6

欄位說明

IP Address DHCP Server 分配的 IP 位址

Ethernet 使用 DHCP 服務之主機的 MAC 位址

Hostname 使用 DHCP 服務之主機的主機名稱

Start Date DHCP 租約起始日期

End Date DHCP 租約結束日期

點擊各欄位名稱可依各欄位值來做資料序，方便管理者尋找資料，預設是以

[Start Date] 做降冪排序，因此越上面的為最近請求 DHCP 服務之主機

292



欄位說明

DHCP Operation

Mode

選擇模式:停用 ,

Server:提供 DHCP 服務

Relay:代理轉送 DHCP 服務

[RELAY]:Enable

DHCP RELAY On

[RELAY]:轉送服務介面

[RELAY]: RELAY to

DHCP Servers

[RELAY]:轉送至 DHCP 伺服器

293



13-5 DHCP 設定範例

13-5-1 DHCP 標準設定步驟

以 PowerFamily 設置 DHCP 環境之標準設定步驟如下：

1. 點擊 [Network] → [Network Interfaces] 設定要配置 DHCP 服務的網

路介面的 IP 位址及子網路遮罩

2. 點擊 [Advanced] → [DHCP]→ [Subnets]、[Host and Host Groups]、

[Global Options] 設定相關的 DHCP 參數，如：

決定所要分配的 IP 範圍

決定是有需要固定 IP 的主機

設定相關的 DHCP 參數，如：子網路遮罩，預設路由器/閘道器及

DNS 主機

3. 點擊以啟動 DHCP 服務

294



13-5-2 DHCP 範例

圖 13-20

以圖 13-20 為例，PowerFamily eth1 開啟 DHCP 服務，需求如下：

10 台 PC 需存取網路服務，使用 DHCP 分配 IP

Manager 主機需固定使用 ”192.168.7.10”，且其 MAC 位址為

“00-10-F3-1B-47-C7”

使用 IP 範圍為 192.168.7.20 ~ 192.168.7.30 (eth2)

相關 DHCP 組態參數如下：

Netmask: 255.255.255.0

Default Gateway: 192.168.7.254

DNS: 192.168.19.10

10 台 PC

192.168.7.10

00-10-F3-1B-47-C7

295



設定步驟如下：

1. 點擊[Network] → [Network Interfaces]，並點擊 [eth2]

2. 輸入 IP 位址，該 IP 位址為 DHCP 子網路主機的預設閘道器

圖 13-21

3. 點擊[Advanced] → [DHCP]→ [Subnets]

圖 13-22

4. 點擊按鈕

296



圖 13-23

5. [Address Ranges] 分別輸入 192.168.7.20，192.168.7.30，[Default Gateway]

輸入 192.168.7.254，[DNS Sercers] 輸入 192.168.19.10，[WINS Servers] 輸

入 192.168.19.20

6. 輸入完畢後點擊 [OK] 按鈕以完成設定

7. 點擊點擊[Advanced] → [DHCP] → [Hosts and Host Groups]

297



圖 13-27

8. 點擊

圖 13-28

298



9. [Host name] 請輸入 Manager，[Hardware address] 請輸入

00-10-F3-1B-47-C7，[IP address] 請輸入 192.168.7.10，輸入完畢請點擊 [OK]

按鈕以完成設定

設定完成請至[Advanced] → [DHCP] → [Parameters] → [DHCP Operation

Mode]點擊 SERVER 以啟動 DHCP 服務或是至[System] → [Services] →

[System Services] → [DHCP Service]點擊 SERVER 啟動 DHCP

而若是有多個 DHCP 子網路都想套用同樣的 IP 組態的話 (如 DNS 主機、網

域名稱、WINS 主機，等)，請至 [Advanced] → [DHCP] → [Global Options] 設

定全域選項

299



Chapter 14 RAS

RAS 為 Remote Access Service 的縮寫，提供撥號連結讓行動用戶 (如業務人

員、出差、外勤人員) 隨時撥入公司 VPN 主機進行連線以存取公司內部資源，

因此 RAS 亦被稱為 Point-To-Site VPN

PowerFamily 本身可作為 RAS 伺服器，且支援 Windows Client 的 PPTP/L2TP

連線，可以建立安全的 VPN 通道。如圖 14-1， PowerFamily 做為 RAS 伺服

器，在外部的 User 可以經由 Secure Tunnel (PPTP/L2TP) 連線上 RAS 伺服器，

以存取內部的 File Server、 Web EIP ，及 Mail Server

圖 14-1

而 PowerFamily RAS 可針對行動使用者 (Mobile User) 作進一步的安全控管，

因為這些行動使用者會帶來資安管理上的困難，例如將病毒從外部帶進來，因此

必頇對這些行動使用者加以限制及管理，而 PowerFamily RAS 模組功能主要是

由兩個概念所組成：

身分驗證

資料加密

因此也適合用來增強無線網路通訊安全防護

300



圖 14-2

點擊 [Advanced] → [RAS] 開啟畫面如圖 14-3

圖 14-3

301



表 14-1

欄位說明

RAS TCP/TP RAS TCP/IP 設定

User List 使用者清單

Group List 群組清單

◎ 點擊可停止 RAS 服務

◎ 點擊可重新啟動 RAS 服務

302



14-1 RAS 標準設定程序 (SOP)

圖 14-4

如圖 14-4，為設定 RAS 伺服器之標準作業流程：

1. 設定 VPN 客戶端 IP 位址空間

至 [Advanced] → [RAS] → [RAS TCP/IP]，以指定 RAS 客戶端所使用的 IP

位址範圍，及 DNS 伺服器、WINS 伺服器位址。頇注意的是，是否需要為

這些分配的 IP 位址設定靜態路由。

2. 建立 RAS 使用者帳號

至 [Advanced] → [RAS] → [User List]，建立使用者帳號與登入環境之設定。

需注意的是，帳號類別需為 “RAS TCP/IP”

3. 啟動 RAS 服務至 [RAS] 點擊以開啟 RAS 服務

4. 允許系統網路介面之 VPN 存取至 [Security] → [Interface Priority]，於提供

連線的網路介面欄位中勾選 [PPTP/L2TP VPN]，開啟網路介面之

PPTP/L2TP VPN 服務，以允許外部使用者連線登入

303



14-2 RAS TCP/IP

點擊 [Advanced] → [RAS] → [RAS TCP/IP]

圖 14-5

圖 14-5 為 RAS TCP/IP 設定所欲使用之 IP 範圍設定，先選取 TCP/IP 設定，

輸入“起點位址”與“終點位址”，設定要配給 RAS 用戶

端所使用的 IP 範圍，頇留意的是此範圍不可包含在 DHCP Server 的 Range

裡，並且 PPTP 與 L2TP 的範圍不要重複。接著指定 RAS 用戶端連線後所

使用的 DNS Server 與 WINS Server，若無則保持空白。

而本地端 IP 位址 (Local IP address)，是 SAME in Tunnel

SAME in Tunnel：跟 Unique in Tunnel 剛好相反，PowerFamily 只會固

定使用一個 IP 位址跟每ㄧ個 RAS 的用戶端連接，所以假使 RAS IP

範圍為 10，同時間就可以有 9 個 RAS 的用戶端上線。

304



圖 14-6

圖 14-6 為使用 Windows 主機預設使用 L2TP 連線時，必頇提供 IPSec 的憑證，

且客戶端也需安裝該憑證，否則將無法使用。因此為了方便起見，建議停用 IPSec

憑證，請點擊 “Windows Registry for L2TP” 下載 Windows Registry for L2TP

VPN 之登錄檔到用戶端電腦上執行；或是建立 ProhibitIpSec 系統登錄數值，執

行方式如下：

自動執行：點按 “Windows Registry for L2TP VPN” 連結下載登錄檔，

下載解壓縮後直接點兩下檔案再按 “是” 然後重開機讓系統設定值改

變生效即可

手動執行：按 “開始” 鍵選擇 “執行”，輸入 regedit，然後按確定。待

開啟登錄編輯程式後，尋找以下系統登錄數值：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ras

man\Parameters

並於右邊的空白處按滑鼠右鍵，然後選擇 “新增”：

1. 選擇 DWORD 值

2. 輸入名稱 ProhibitIpSec

3. 於 ProhibitIpSec 按滑鼠右鍵，然後選擇修改，輸入數值資料為 1，

然後結束編輯程式，且重開機，才能讓系統設定值改變生效。

305



圖 14-7

306



14-3 RAS/DAC 帳號管理

點擊 [Advanced] → [RAS] → [User List]

圖 14-9

如圖 14-9 為 RAS 使用者帳號畫面，以下將以區塊方式分別介紹

307



14-3-1 新增帳號

圖 14-10

表 14-3

欄位說明

Name 帳號名稱，設定該使用者帳號

Password (RAS/Local) 密碼，設定該使用者密碼

Account Type 帳號類型 (可複選)，分為

DAC

RAS TCP/IP (必頇勾選)

DAC Ext-Auth 需注意的是，RAS 只能選 Local-DB 認證

Options Multiple Logins

是否允許同一帳號多次登入，如果使用情況單純的話，可以

設一個固定的 RAS 帳號給所有的使用者，這時就必頇勾選此

項功能，否則系統會將第二個相同登入者強制登出

Password Cache

DAC 參數設定，請參考 “Chapter 15 DAC” 此份文件

◎ 需注意的是，RAS 只支援 “Local-DB” 認證方式，因此請記得勿選擇其它認

證方式

308



14-3-2 帳號列表區塊

圖 14-11

如圖 14-11 為 RAS 帳號列表，灰色區塊代表該帳號暫時被停用，各帳號區塊顏

色所代表的帳號類型如下圖所示

圖 14-12

在這裡需注意的是，RAS TCP/IP 只支援本機帳號 (Local Account)，只有 DAC

支援外部認證系統，詳細 DAC 設定方式請參照 “Chapter 15 DAC” 此份文件

點擊各帳號可進入該帳號之細部設定畫面

309



14-3-3 帳號細部設定

接續前一節，以 “dominic” 此帳號做為範例，點擊 “dominic” 此帳號以進入帳

號細部設定畫面

圖 14-13

表 14-4

欄位說明

Authentication 認證，使用者密碼及其他參數設定

Security Policy 安全政策，設定網路存取權限

Client Sources 登入來源，限制使用者能從哪些來源登入 VPN 或 DAC 服務

Login Time 登入時間，限制使用者能在哪些時間內存取 VPN 或 DAC 服務

Login Date 登入日期，限制使用者在那些日期內存取 VPN 或 DAC 服務

Access Gateways 比如跟 SMC 的 AP 做整合這是在 DAC 中設定的"設備列表"讓使用

者可以透過某一台 AP 登入,然後在認證

QoS Management 頻寬管理，設定該使用者所能使用的頻寬

Group Relations 所屬群組，使用者所屬群組，可將帳號歸類於群組中，快速設定群

組政策，省去一個一個的設定

URL Filtering 網站類別過濾，啟動個人化網頁過濾，只適用於 DAC 設定

Timer 時間限制，只適用於 DAC 設定

310



認證

圖 14-14

311



表 14-5

欄位說明

Password (RAS/Local) 密碼，設定該使用者密碼


DAC

RAS TCP/IP

Link Account

DAC Ext-Auth DAC 認證方式 (可複選)，共分為

POP3

SMTP

RADIUS

AD

LDAP

PS-AUTH

PS-PROXY

Local-DB

需注意的是，RAS 只能選 Local-DB 認證





Forbid Password Modification

禁止使用者修改密碼

Password Cache

DAC 參數設定，請參考 “Chapter 15 DAC” 此份文件

Auto-Disabled

設定該帳號設定為多久時間就停止使用此帳號登入

Account Disabled

帳號停用，暫時停止該使用者帳號的權限，使其無法登入

Delete Account

刪除帳號，刪除該使用者帳號

312



安全政策

圖 14-15

表 14-6

欄位說明

Action 動作，是否刪除此條規則

Order 規則順序，依所設定的規則，以 “first match” 為原則，最上面的

規則優先比對

Destination 目的地，可從下拉式選單中選取或點選欄位名稱開啟視窗新增所需

之網路物件

Service 服務，可從下拉式選單中選取或點選欄位名稱開啟視窗新增所需之

服務物件

Policy None：停用該規則

Accept：允許該使用者帳號存取網路服務

Deny：禁止該使用者帳號存取網路服務

◎ 以圖 14- 15 之設定值來說，允許該 RAS TCP/IP 帳號使用 Mail、Web 及

DNS (domain) 服務，不允許使用 FTP 服務，不過需注意的是，若是有新增

規則的話，PowerFamily 會新增一條預設 “ALL ALL DENY” 之規則，代表

除了允許的服務以外其它全部拒絕存取

313



登入來源

圖 14-16

表 14-7

欄位說明


Order 規則順序，依所設定的規則，以 “最先比對” 為原則，最上面的

規則優先比對

IP Address 限定使用此帳號的來源位址

MAC Address 只適用於 DAC 設定，無法用於 RAS，詳細設定請參考 “Chapter

15 DAC”此份文件


Accept：允許規則所設定之 IP/網段登入

Deny：禁止規則所設定之 IP/網段登入

◎ 以圖 14-16 之設定值來說，為允許 59.115.235.0 該網段使用該 RAS TCP/IP

帳號

◎ 在 [登入來源] 若有設定規則，則會出現一條預設規則為 “0.0.0.0/0 ANY

DENY”，意思是說若前面的規則若無符合的話就以此規則為準，也就是

DENY 掉該使用者帳號的登入

◎ IP 位址設定格式

IP 位址：A.B.C.D，如 59.115.235.18

網段：A.B.C.D/網路遮罩，如 59.115.235.0/24

314



登入時間

圖 14-17

表 14-8

欄位說明



規則優先比對

Day 限定使用此帳號的登入日期，超過時間會自動強制使用者登出

From 從哪個時間點開始允許登入

To 到哪個時間點結束使用


Accept：允許該使用者帳號在所設定之時間點登入

Deny：禁止該使用者帳號在所設定之時間點登入

◎ 以圖 14-17 之設定值來說，允許該 RAS TCP/IP 於 Weekday (週一至週五)

在上午 9 時至下午 7 時，及 Weekend (週六至週日) 在下午 1 時至下午 6

時登入，不過需注意的是，若是有新增規則的話，PowerFamily 會新增一條

預設 “ANY ANY ANY DENY” 之規則，代表除了所設定之登入時間以外其

它全部拒絕登入

315



Login Date

圖 14-18

表 14-9

欄位說明



規則優先比對

From (eg. 2009/01/01) 限定使用此帳號登入的起始日期

To (eg. 2009/12/31) 限定使用此帳號登入的結束日期


Accept：允許該使用者帳號在所設定之日期登入

Deny：禁止該使用者帳號在所設定之日期登入

◎ 限制該 RAS 使用者帳號可以在哪個日期登入或著從哪個日期之後不能登

入。

以上圖的規則設定來說

1. 此帳號在 2010/09/13 到 2010/09/17 不能做登入的動作

2. 在 2010/09/18 到 2010/09/19 才可以使用此帳號登入

最後一條規則為若上面規則都無比對到的話則全部禁止登入

https://192.168.60.253:10000/ras/edit_user_date.cgi?type=user&name=dominic

316



頻寬管理

圖 14-20

表 14-11

欄位說明

Action 動作，是否刪除此條規則或暫時停止此條規則

Dst 目的為 ALL

Srv 來源為 ALL

Bandwidth Limit(Kbps) 上行/下載頻寬限制

◎ 該頻寬管理功能只適用於連線政策，且連線政策服務需啟用

317



所屬群組

圖 14-21

表 14-12

欄位說明



規則優先比對

Group 所屬群組，可用群組來設定權限，屬於該群組，則自動繼承該群組

權限，群組順序就決定權限規則設定

群組順序如同防火牆設定規則一般，也遵循 First Match 的原則。

例如，有一使用者 dominic 同時屬於 G1 與 G2 兩個群組名單裡，G1 與 G2

的 ACL 設定分別如表 14-11 所示：

表 14-13

群組 ACL 規則

G1 ALL TO ALL DENY

G2 ALL TO ALL ALLOW

而 dominic 的所屬群組設定如圖 14-19 所示，由於 G1 的順序優於 G2，因此

dominic 所套用的 ACL 政策如表 14-12 所示：

表 14-14

群組順序的相關性繼承的 ACL 規則

G1 → G2 1.ALL TO ALL DENY

2.ALL TO ALL ALLOW

所以使用者 dominic 會被系統拒絕所有的連線

318



網站類別過濾

圖 14-22

網站類別過濾 (URL Filtering) 可以指定使用者被禁止觀看的網頁黑名單。在各

個欄位裡，若出現灰色隱藏勾選框時，即代表此一欄位已被群組或全域設定

(TEMPLATE Account)。在這裡需注意的是此功能只適用於 DAC，不適用於 RAS

使用者

319



時間限制

圖 14-23

表 14-15

欄位說明

Valid Period 有效時間，自登入後可使用 DAC 服務之有效時間

Idle Time 閒置時間，該使用者帳號閒置多久後，PowerFamily 將強置該使用

者登出，以結省系統資源

圖 14-24

◎ 該功能只適用於 DAC

320



14-3-4 RAS vs DAC

表 14-14 為 RAS 與 DAC 功能啟用的差別

表 14-16

功能 RAS DAC

認證只有 Local-DB POP3

SMTP

RADIUS

AD

LDAP

PS-AUTH

PS-PROXY

Local-DB

安全政策 ◎ ◎

登入來源只能使用 IP IP 及 MAC 皆可

登入時間 ◎ ◎

頻寬管理 ◎ ◎

所屬群組 ◎ ◎

網站類別過濾 ◎

時間限制 ◎

321



14-4 RAS 連線狀態

[RAS 連線狀態] 可觀看目前連線至 RAS 伺服器之使用者狀態

點擊[View Status] → [RAS Access Status]

圖 14-25

表 14-17

欄位說明

Disconnect 中斷，勾選並點按 [Break] 按紐可強制斷線勾選的使用者

User 使用者帳號名稱

Start Time 連線起始時間，RAS 開始連線時間

Transmit/Recv Rate 傳送/接收速度，目前傳送與接收的速度

Data Sent/Received 資料傳送/接收量，總傳送與接收資料量

Source IP 連線來源，客戶端主機的連線來源 IP 位址

Assigned IP 通道分配 IP 位址，被指派的遠端通道 IP 位址 (為在

PowerFamily 所設定之 IP 範圍之一)

Device 連線裝置，為使用何種連線方式 (L2TP 或 PPTP)

Interface 網路介面，為在 PowerFamily 上所使用的網路介面

◎ 點擊 [Refresh] 按紐為重新整理畫面，以更新目前 RAS 連線即時資訊。

https://192.168.60.253:10000/status/index.cgi

322



14-5 RAS 歷史記錄

[RAS 歷史記錄] 可觀看過去曾經連接至 RAS 伺服器的使用者，管理者也可以

自訂搜尋條件，依照使用者 (User)、使用何種連線方式 (Device)、登入時間

(Login Time)、持續時間 (Duration)、來源 IP 位址 (Source IP)、被指派的遠端 IP

位址 (Assigned IP)來做查詢，快速找出所要的連線資訊

點擊 [View Logs] → [RAS Access Logs]

圖 14-26

表 14-18

欄位說明

User 使用者帳號名稱

Device 連線裝置，為使用何種連線方式 (L2TP 或 PPTP)

Login Time 登入時間

Logout Time 登出時間

Duration 持續時間

Data Sent/Received 總傳送與接收資料量

Source IP 連線來源，為使用該 RAS 帳號之主機來源 IP 位址

Assigned IP 分配 IP 位址，為登入 RAS 後，被 RAS 伺服器所指派的 IP 位

址 (為在 PowerFamily 所設定之 IP 範圍之一)

https://192.168.60.253:10000/status/index.cgi

323



14-6 允許 PPTP/L2TP 存取服務

以 PowerFamily 預設之 [網路介面優先權] 來說，由於只有 LAN [INTRANET]

(優先權 3)、MGMT [ADMIN] (優先權 5) 預設會勾選 [PPTP/L2TP VPN]，因此

若是選擇 WAN [INTERNET] (優先權 0)、DMZ [PROTECTED] (優先權 1) 及

自定的話，請開啟 [PPTP/L2TP VPN] 以允許 PPTP/L2TP 存取服務

點擊 [Security] → [Interface Priority]

圖 14-27

◎ PPTP/L2TP VPN 必需點選，以讓外部使用者能對 PowerFamily 建立 VPN

連線


324



14-7 RAS 用戶端設定

Windows XP 用戶端設定：

1. [開始] → [控制台] → [網路連線] → [新增連線精靈]

圖 14-28

2. 選擇 “連線到我工作的地方網路”，下一步

圖 14-29

325



3. 選擇 “虛擬私人網路連線”，下一步

圖 14-30

4. 輸入 “公司名稱”，如 HGiga

圖 14-31

326



5. 選擇 “不要撥接起始連線”

圖 14-32

6. 輸入 PowerFamily WAN IP 位址，或用 FQDN 名稱，如 vpn.service.com

圖 14-33

327



7. 完成後，就會跳出一視窗

圖 14-34

328



8. 按 “內容”，進行進階設定

圖 14-35

329



在按下內容後會有五個頁面可供設定，其中 “安全性” 與 “網路功能” 為所必頇

注意的

安全性

圖 14-36

◎ 請點選 “進階”

◎ 由於相容性問題，某些 PowerFamily 版本需要點選 “進階 (自訂的設定)”，

才能正常與 PowerFamily 建立 VPN 連線

330



圖 14-37

如圖 14-35，在 “安全性” 頁面中的 “進階” 安全性設定，若不想使用加密式認

證及資料傳送加密時，於資料加密區請選擇 “不允許加密 (如果需要加密，伺服

器將中斷連線)” 及在登入安全性區塊點選允許這些通訊協定將未加密的密碼

(PAP) 打勾。

331



圖 14-38

反之，若想使用加密式認證及資料傳送加密時，如圖 14-36，則選擇 “要求加密

(如果伺服器拒絕就中斷連線) ” 與勾選 Microsoft CHAP（MS-CHAP）及

Microsoft CHAP 版本 2（MS-CHAP2）。

◎ 預設值 Windows 會啟用最安全的認證及加密方式

332



圖 14-39

在網路功能頁面中的 VPN 的類型，為選擇連線通道所用的協定。依照預設值

( [自動] 選項)，VPN 會先測詴連線是否為使用 L2TP，然後再嘗詴使用 PPTP 進

行連線，所以最好手動選擇連線類型而不要使用預設的。

透過 IP 分享器或是防火牆，在某些環境下，如家中使用 IP 分享器上網；飯店

透過 NAT 主機轉換位址；或是客戶公司中有防火牆時，使用 PPTP 連線很可

能會發生問題，此時可以選用 L2TP 來進行連線。

333



如表 14-17，為 PowerStaton PPTP 或 L2TP 的比較表，若客戶端有使用 NAT 上

網的話，建議使用 L2TP 連線

表 14-19

PPTP L2TP

類別 Layer 2 VPN Layer 2 VPN

協定 GRE，TCP 1723 port UDP 1702 port

穩定度優好

NAT 相容性差優

其他 Windows 用戶端需更改登錄檔

結論一些防火牆不允許 GRE

通訊協定且在 NAT 下會

有問題

在大部份的 NAT 環境下運作良好

334



14-8 設定範例

14-8-1 基本型

若使用 RAS 服務的網路設定中，最基本的方式是從既有的內部 IP 範圍裡挪出

一段位址空間，或者是將此位址空間另外獨立成一新網段。如圖 14-38 是以

192.168.1.0/24 (PPTP) 及 192.168.2.0/24 (L2TP) 整個網段為 RAS 服務的位址

空間，也就是說 192.168.1.1 ~ 192.168.1.254 及 192.168.2.1 ~ 192.168.2.254 為

RAS 服務的位址空間

圖 14-40

335



而另一個方式為從既有的內部 IP 範圍裡挪出一段位址空間，如圖 14-39，可將

192.168.0.0/24 這個既有的網段裡挪出一段位址空間，如 192.168.0.10 ~

192.168.0.20 (PPTP) 及 192.168.0.21 ~ 192.168.0.30 (L2TP)

圖 14-41

336



14-8-2 無線區域網路應用 (提供加密傳輸)

若應用在內部的無線區域網路時，則需將 AP 連接在 PowerFamily 上的連接埠。

接著並指定一個位址空間做為 RAS 服務的位址空間。建議直接指定一虛擬網段

來當作 RAS 客戶端的通道位址

以一般公司架設無線網路來說，由於無線網路的特性，只要在 AP 所允許的通

訊範圍內皆可使用無線網路，因此易造成公司以外的使用者偷用無線網路，因而

造成頻寬佔用，且由於資料並非與一般乙太網路一樣是在網路線上傳輸，而是在

空氣中傳輸 (無線電波)，因此有心人士只要拿台可無線上網的電腦，使用某些

軟體便可進行資料的竊聽、竊取，因此必頇做無線網路存取認證與資料傳輸的防

護。因此使用 PowerFamily VPN 機制在無線網路上可：

提供認證機制

提供資料加密

提供安全政策控管

有效解決企業架設無線網路所產生的問題

圖 14-42

337



Chapter 15 DAC

現今企業佈署網路環境已越來越普遍，如有線網路或無線網路，以有線網路來說，

因為受限於需接網路線才可存取網路服務，因此較易控管。但由於無線網路的特

性，如圖 15-1

圖 15-1

由於只要在 AP 所允許的通訊範圍內皆可使用無線網路，因此易造成企業外使

用者偷用無線網路，易造成頻寬佔用，且由於資料並非與一般乙太網路一樣是在

網路線上傳輸，而是在空氣中傳輸 (無線電波)，因此有心人士只要拿台可無線

上網的電腦，使用某些軟體便可進行資料的竊聽、竊取，因此必頇做無線網路存

取認證與資料傳輸的防護

也因此 PowerFamily DAC (Data Access Control) 提供區域網路與無線網路使用

者認證存取服務，主要特色如下：

提供區域網路與無線網路使用者層級的存取控制

客戶端不需安裝額外的軟體，只需瀏覽器即可認證

除了本機認證也支援多個外部認證機制：RADIUS、AD、LDAP、SMTP

及 POP3

建立以人為主的安全管理政策，因此可配合企業的安全政策

在特殊情況下，可對一些主機做 IP/MAC Pass-Through，不受 DAC 限

制

可對傳輸資料進行加密 (使用 VPN)

338



點擊 [DAC(Auth)] 開啟畫面如圖 15-2，主要相關的為以 DAC 開頭的，另若無

RAS 與 DAC 字樣的話代表這個模組與 RAS 和 DAC 都有關係，而在左上方

有兩個按紐，分別為啟動，停止 RAS 服務，啟動 DAC 服務則在

[DAC(Auth)] → [Parameters] → [DAC Parameters] 中

圖 15-2

表 15-1

欄位說明

Account Management 相關帳號管理：設定 RAS/DAC 相關帳號

DAC External Auth DAC 外部認證：設定 DAC 外部認證主機

DAC Account Replication DAC 帳號抄寫：設定從其它外部主機抄寫 DAC 帳號

Device List 設備列表

Parameters DAC 參數設定：啟動/停止 DAC 服務，及設定相關參數

Batch Import 批次匯入

339



15-1 DAC 標準組態設定程序

如下列圖式，為 DAC 標準組態設定程序：

1. 設定要在哪些系統網路介面做 DAC

圖 15-3

2. 啟動 DAC 服務

圖 15-4

3. 設定 DAC 帳號(群組，角色)

340



圖 15-5

4. 若需要外部認證，可在此設定外部認證來源

圖 15-6

1. 設定要在哪些系統網路介面做 DAC

至 [DAC(Auth)] → [Parameters] →[DAC Parameters] →[Authentication on

Devices]，設定 DAC 服務，設定哪些系統網路介面下之主機需經由 DAC

認證才能存取網路服務

341



圖 15-7

2. 啟動 DAC 服務

至 [DAC(Auth)] → [Parameters] →[DAC Parameters] → [DAC Service

(Identity-Based Control)]，啟動 DAC 服務

圖 15-8

3. 執行重新載入設定值

點擊以重新載入設定值

4. 設定 DAC 帳號 (群組、角色)

至 [DAC(Auth)] → [Account Management]，建立使用者帳號與登入環境之設

342



定。需注意的是，帳號類別需為 “DAC”

圖 15-9

5. 若需外部認證，可在此設定外部認證來源，若不需外部認證請跳過此步驟

圖 15-10

343



15-2 DAC 參數設定

點擊 [DAC(Auth)] → [Parameters] → [DAC Parameters]

圖 15-11

344



表 15-2

欄位說明

DAC Service DAC 服務，啟動/停止 DAC 服務

MS-AD Auto Login MSAD 使用者自動登入

Pre-Allowed Services 未需認證即可存取的網路服務，勾選服務代表不需要認證

即可使用該網路服務

Authentication on Devices 來自右端網段 (卡) 的主機皆需認證，為設定 DAC 作用之

系統網路介面

Bypass Authentication on Hosts 設定免認證的來源主機群

Authentication on Networks 符合右端網段規則皆需認證：設定的來源網段及目的網段

都需要認證

DAC Operation Role 設定 DAC 運作模式(SA，AG，MGMT)與 ACS 主機位址

Secure Authentication(SSL) 設定傳輸是否使用 SSL 加密

Auto-Logout Users 自動登出使用者：當使用者認證完成後，若閒置或者登入

時間超過設定，則自動登出使用者

Force Redirection WebSite 強迫重導網站，當使用者認證完成，通常會重導至使用者

在認證前所欲存取的網站。此設定會覆寫該行為並且重導

使用者到該設定值之網站。如可設定

http://www.hgiga.com，則 DAC 認證完後會自動重導至該

網站

Pre-Allowed PPTP/L2TP Server 未需認證即可連線 PPTP/L2TP 主機，設定預先允許的

PPTP/L2TP 服務，若是設定此值後，受 DAC 控制的區域

網路，可用 PPTP/L2TP 連線至指定的 RAS Server，而不

受 DAC 的限制

◎ 需注意的是，在 “未需認證即可存取的網路服務” 開啟 DHCP 服務是必要的，

必頇讓區域網路的主機取得 IP 等設定。而開啟 DNS 服務也是必要的，否

則認證頁面會開不起來，DNS 解析會發生錯誤

345



15-3 RAS/DAC 帳號管理

點擊 [DAC(Auth)] → [Account Management] → [User List]

圖 15-12

如圖 15-9，為 DAC 使用者帳號畫面，以下將以區塊方式分別介紹

346



15-3-1 新增帳號

圖 15-13

表 15-3

欄位說明

Name 帳號名稱，設定該使用者帳號

Password 密碼，設定該使用者密碼


DAC

RAS VPN

DAC Ext-Auth 目前 DAC 支援以下之認證方式

本機認證

Local-DB

外部認證

POP3

SMTP

RADIUS

AD

LDAP

PS-AUTH (需搭配至少二台 PowerFamily)

PS-PROXY (需搭配至少二台 PowerFamily)



設一個固定的 DAC 帳號給所有的使用者，這時就必頇勾選

此項功能，否則系統會將第二個相同登入者強制登出

Password Cache

若勾選，則在 DAC 認證成功後，認證記錄會存在 Local DB

中，避免認證主機失效時，不能認證上網，主要用於 DAC 外

部認證，DAC 外部認證設定方式請參考 15- 節

347



15-3-2 帳號列表區塊

圖 15-14

如圖 15-11，為 RAS/DAC 帳號列表，灰色區塊代表該帳號暫時被停用，各帳

號區塊顏色所代表的帳號類型如圖 15-12 所示

圖 15-15

不同設定方式會有不同顏色區塊來代表，如無底色代表為主機帳號，黃色代表為

由 AD 主機抄寫帳號至 PowerFamily 本機資料庫中；紫色代表為由 LDAP 主

機抄寫帳號至 PowerFamily 本機資料庫中；深紫色代表為由 FTP 主機抄寫帳號

至 PowerFamily 本機資料庫中

點擊各帳號可進入該帳號之細部設定畫面

348



15-3-3 帳號細部設定

接續前一節，以 “dominic” 此帳號做為範例，點擊 “dominic” 此帳號以進入帳

號細部設定畫面

圖 15-16

表 15-4

欄位說明

Authentication 認證，使用者密碼及其他參數設定

Security Policy 安全政策，設定網路存取權限

Client Sources 登入來源，限制使用者能從哪些來源登入 VPN 或 DAC 服務

Login Time 登入時間，限制使用者能在哪些時間內存取 VPN 或 DAC 服務

Login Date 登入日期，限制使用者能在哪些日期內存取 VPN 或 DAC 服務

Access Gateway 登入閘道器，限制使用者能在哪些閘道器內存取 VPN 或 DAC 服

務

QoS Management 頻寬管理，設定該使用者所能使用的頻寬

Group Relations 所屬群組，使用者所屬群組，可將帳號歸類於群組中，快速設定群

組政策，省去一個一個的設定

URL Filtering 網站類別過濾，啟動個人化網頁過濾

Timer 時間限制，設定認證成功後可使用的時間及閒置時間

349



認證：使用者密碼及其他參數設定

圖 15-17

350



表 15-5

欄位說明

Password 密碼，設定該使用者密碼


DAC

RAS VPN

DAC Ext-Auth DAC 認證方式 (可複選)，共分為

本機認證

Local-DB

外部認證

POP3

SMTP

RADIUS

AD

LDAP

PS-AUTH (需搭配至少二台 PowerFamily)

PS-PROXY (需搭配至少二台 PowerFamily)





Forbid Password Modification

是否禁止使用者隨意修改密碼

Password Cache

若勾選，則在 DAC 認證成功後，認證記錄會存在 Local DB

中，避免認證主機失效時，不能認證上網，主要用於 DAC 外

部認證及更新本機 RAS VPN 帳號密碼，DAC 外部認證設定

方式請參考 15-9 節

Auto-Disabled

設定經過多久的時間使用者未登入系統，系統自動暫時停止

該使用者帳號的權限，使其無法登入

Account Disabled

帳號停用，暫時停止該使用者帳號的權限，使其無法登入

Delete Account

刪除帳號，刪除該使用者帳號

351



安全政策：設定網路存取權限

設定 DAC 使用者帳號之安全政策時，需注意幾點原則：

若無設定，代表該 DAC 使用者帳號可存取所有網路服務

規則比對以 “First Match” 為原則，最上面的規則優先比對

若設定該 DAC 帳號之安全政策，代表僅允許存取在列表中所設定之

網路服務，PowerFamily 會自動在規則最後新增一條預設 “ALL ALL

DENY” 之規則

如圖 15-15 設定之規則：

規則一：允許該 DAC 帳號使用 Mail 服務

規則二：允許該 DAC 帳號使用 Web 服務

規則三：允許該 DAC 帳號使用 domain 服務

規則四：禁止該 DAC 帳號使用 ftp 服務

圖 15-18

◎ 管理者可點擊 (上移規則) 或 (下移規則) 來移動安全政策規則

352



表 15-6

欄位說明


Order 規則順序，依所設定的規則，以 “First Match” 為原則，最上面的

規則優先比對

Destination 目的地，可從下拉式選單中選取或點選欄位名稱開啟視窗新增所需

之網路物件

Service 服務，可從下拉式選單中選取或點選欄位名稱開啟視窗新增所需之

服務物件


Accept：允許該使用者帳號存取網路服務

Deny：禁止該使用者帳號存取網路服務

353



登入來源：限制使用者能從哪些來源登入 VPN 或 DAC 服務

設定 DAC 使用者帳號之登入來源時，需注意幾點原則：

若無設定，代表可從所有來源位址 (IP/MAC 位址) 登入該 DAC 使用

者帳號


若設定該 DAC 帳號之登入來源，代表僅允許在列表中所設定之登入

來源使用該 DAC 帳號，PowerFamily 會自動在規則最後新增一條預設

“0.0.0.0/0 ALL DENY” 之規則


規則一：允許登入來源 IP 位址為 59.115.235.0/24 這個網段使用該

DAC 帳號

規則二：允許登入來源 IP 位址為 59.128.35.4 及 MAC 位址為

3F:2A:58:69:AE:3B 使用該 DAC 帳號

規則三：允許登入來源 MAC 位址為 2A:3B:9A:17:FA:C8 使用該

DAC 帳號

圖 15-19

354



表 15-7

欄位說明



規則優先比對

IP Address 限定使用此帳號的來源位址

MAC Address 限定使用此帳號的來源 MAC 位址


Accept：允許規則所設定之 IP/網段登入

Deny：禁止規則所設定之 IP/網段登入

◎ 管理者可點擊 (上移規則) 或 (下移規則) 來移動登入來源規則

◎ IP 位址設定格式

IP 位址：A.B.C.D，如 59.115.235.18

網段：A.B.C.D/網路遮罩數字，如 59.115.235.0/24

◎ MAC 位址設定格式

MAC 位址：AA:BB:CC:DD:EE:FF，如 3F:2A:58:69:AE:3B

355



登入時間：限制使用者能在哪些時間內存取 VPN 或 DAC 服務


若無設定，代表可在任何時間點使用該 DAC 使用者帳號


若設定該 DAC 帳號之登入時間，代表僅允許在列表中所設定之登入

時間使用該 DAC 帳號，PowerFamily 會自動在規則最後新增一條預設

“ANY ANY ANY DENY” 之規則


規則一：允許該 DAC 帳號於 Weekday (週一至週五) 在上午 9 時至

下午 7 時登入

規則二：允許該 DAC 帳號於 Weekend (週六至週日) 在下午 1 時至

下午 6 時登入

圖 15-20

表 15-8

欄位說明



規則優先比對

Day 限定使用此帳號的登入日期，超過時間會自動強制使用者登出

From 從哪個時間點開始允許登入

To 到哪個時間點結束使用




◎ 管理者可點擊 (上移規則) 或 (下移規則) 來移動登入時間規則

356



登入日期：限制使用者能在哪些日期內存取 VPN 或 DAC 服務


若無設定，代表可在任何日期使用該 DAC 使用者帳號


若設定該 DAC 帳號之登入時間，代表僅允許在列表中所設定之登入

時間使用該 DAC 帳號，PowerFamily 會自動在規則最後新增一條預設

“ANY ANY ANY DENY” 之規則


規則一：允許該 DAC 帳號於 2010 年 10 月 1 日到 2010 年 10 月 10

日登入

規則二：允許該 DAC 帳號於 2010 年 11 月 1 日到 2010 年 11 月 11

日登入

圖 15-21

表

357



15-9

欄位說明



規則優先比對

From 從哪個日期點開始允許登入

To 到哪個日期點結束使用




358



頻寬管理：限定該使用者所能使用的頻寬

圖 15-22

表 15-10

欄位說明

Action 動作，是否刪除此條規則或暫時停止此條規則

Dst 目的為 ALL

Srv 來源為 ALL

Maximum (kbps) 最大頻寬 (kbps)，最大傳送/接收速度

Per Conn (kbps) 單一連線 (kbps)，每個連線的傳送/接收速度 (kbps)

◎ 該頻寬管理功能只適用於連線政策，且連線政策服務需啟用

◎ 管理者可點擊 (上移規則) 或 (下移規則) 來移動頻寬管理規則

359



所屬群組：使用者所屬群組，可將帳號歸類於群組中，快速設定群組政策，省去

一個一個的設定

設定 DAC 使用者帳號之所屬群組時，需注意幾點原則：


位於群組中之使用者會自動繼承該群組所設定之：

[安全政策]

[登入來源]

[登入時間]

[頻寬管理]

[網站類別過濾]

如圖 15-19，有一使用者 dominic 同時屬於 G1 與 G2 兩個群組名單裡，G1 與

G2 的 ACL 設定分別為：

G1：ALL TO ALL DENY

G2：ALL TO ALL ALLOW

經比對後，由於 G1 的順序優於 G2，因此 dominic 所套用的 ACL 政策分別為：

G1：ALL TO ALL DENY

G1：ALL TO ALL ALLOW

因此使用者 dominic 會被系統拒絕所有的連線

圖 15-23

360



表 15-11

欄位說明



規則優先比對

Group 所屬群組，可用群組來設定權限，屬於該群組，則自動繼承該群組

權限，群組順序就決定權限規則設定

◎ 管理者可點擊 (上移規則) 或 (下移規則) 來移動所屬群組規則

361



網站類別過濾：啟動個人化網頁過濾

如圖 15-20，網站類別過濾 (URL Filtering) 可以指定使用者被禁止觀看的網頁

黑名單。在各個欄位裡，若出現灰色隱藏勾選框時，即代表此一欄位已被群組或

全域設定 (TEMPLATE Account)。若欲使用 [網站類別過濾] 功能，需：

啟用 PowerFamily 之 [WebSherlock] 功能

購買 SurfControl 之過濾資料庫

圖 15-24

362



時間限制：設定認證成功後可使用的時間及閒置時間

圖 15-25

表 15-12

欄位說明

Valid Period 有效時間，自登入後可使用 DAC 服務之有效時間，在到達有效時

間後，將必頇重新登入

Idle Time 閒置時間，該使用者帳號閒置多久後，PowerFamily 將強置該使用

者登出

圖 15-26

363



15-3-4 RAS vs DAC

由於 RAS 與 DAC 共用大部份設定，但仍有些許差異，如表 15-12 簡單列出

RAS 與 DAC 功能啟用的差別

表 15-13

功能 RAS DAC

認證只有 Local-DB POP3

SMTP

RADIUS

AD

LDAP

PS-AUTH

PS-PROXY

Local-DB

安全政策 ◎ ◎

登入來源只檢查客戶端來源

主機的 IP 位址

可檢查客戶端來源主機的

IP 及 MAC 位址

登入時間 ◎ ◎

頻寬管理 ◎ ◎

所屬群組 ◎ ◎

網站類別過濾 ◎

時間限制 ◎

364



15-4 帳號型態

PowerFamily DAC 支援四種帳號型態，分別為

使用者帳號：請參考 15-3 節

群組：以群組為基礎組態使用者權限設定

樣本帳號：只有在使用者帳號不存在於 Local-DB 中才會啟用

角色：當使用者帳號有一定的命名規則時，這些帳號可以 “角色” 來代

表

以下將分別介紹群組、角色及樣本帳號之相關設定

15-4-1 群組

管理者可以群組為基礎組態使用者權限設定，可將帳號歸類於群組中，快速設定

群組政策，省去一個一個的設定 DAC 帳號的權限設定。點擊 [DAC(Auth)] →

[Account Management] → [Group List]

圖 15-27

如圖 15-23，管理者可以設定群組並將使用者帳號加入群組中，則這些使用者帳

號將會繼承該群組之所有設定，省去管理者逐一的設定，但除了 [Authentication]

與 [Timer] 頇個別在使用者帳號設定外，其餘均可在群組中設定。若要新增群組，

請在 “Add New Group” 新增群組。

365



點擊已新增的群組名稱，可進入群組細部設定，如圖 15-24

圖 15-28

相關設定請參考 15-3-3 節，唯一不同的是 [Group Members]，管理者可在

“Member” 欄位勾選欲加入該群組中的使用者帳號，並點擊 “OK” 即可將使用者

帳號加入群組中，而在加入群組後如 15-3-3 節，在 [Group Relations] 會自動設

定該使用者帳號所屬之群組，需注意的是，群組歸屬有優先順序之分。

366



15-4-2 賓客

當使用者帳號有一定的命名規則時，這些帳號可以 “賓客” 來代表，省去管理者

逐一帳號的設定。點擊 [DAC(Auth)] → [Account Management] → [Guest List]

圖 15-29

表 15-14

欄位說明

Name & Password 角色名稱





Account Validity(After Creation)

設定帳號建立後有效的時間

Auto-Disable Account(After Login)

設定帳號開始登入後經過多少時間自動停用

Auto-Delete Account(After Disabled)

設定停用的帳號是否刪除

如圖 15-26，新增訪客清單，比如我要新增一筆 USER_TS2，如下在 Name 輸

入”USER_TS2”即可。

367



圖 15-230

如圖 15-17，可以大量產生訪客名單，如下產生十筆訪客名單跟密碼(各為八個

字元)

圖 15-31

368



表 15-15

欄位說明

Name & Password Name Length：帳號長度

Password Length：密碼長度

Account Numbers：設定產生幾組帳號跟密碼





Account Validity(After Creation)

設定帳號建立後有效的時間

Auto-Disable Account(After Login)

設定帳號開始登入後經過多少時間自動停用

Auto-Delete Account(After Disabled)

設定停用的帳號是否刪除

點擊已新增的角色名稱，可進入角色細部設定，如圖 15-27

圖 15-32

◎ 相關設定請參考 15-3-3 節，唯一不同的是在此並無群組設定

369



15-4-3 樣本帳號

樣本帳號為只有在使用者帳號不存在於 “Local-DB” 中才會啟用。DAC 會先檢

查該使用者帳號是否存在於 “Local-DB” 中，若否的話，則會檢查該使用者帳號

是否有設定 DAC 外部認證，若有的話，則樣本帳號 (DEFAULT) 將被啟用，

因此 DAC 將發送認證請求至定義在 [DAC External Auth] 裡之外部認證伺服

器

點擊 [DAC(Auth)] → [Account Management] → [User List]

圖 15-33

點擊 “DEFAULT” 可進入樣本帳號細部設定，開啟畫面如圖 15-30

圖 15-34

◎ 相關設定請參考 15-3-3 節，不同的是在此不能設定密碼、帳號類別只能選

“DAC”、DAC 認證方式不可選 “Local-DB”、無法刪除樣本帳號，且並無群

組設定

370



15-5 已登入 DAC 使用者

點擊 [View Status] → [DAC Login Status]

如圖 15-30，為列出目前使用 DAC 服務的使用者，為已登入 (上線中) 的 DAC

使用者

圖 15-35

371



已登入 (上線中) 的 DAC 使用者

如圖 15-31 之已登入 (上線中) 的 DAC 使用者區塊，會列出目前已登入 DAC

之使用者帳號

圖 15-36

表 15-16

欄位說明

Disconnect 管理者可勾選後，點擊 “OK”，即可將該使用者帳號強制登出

Name 使用者帳號名稱

Auth 認證方式，分為

MANUAL：為手動在 DAC Pass-through 所設定的

FORCE：如圖，若把 jazzabc 該帳號給強制登出，由於在 Manual

Login Record Table 有設定 DAC Pass-through 的帳號，因此會再

出現在已登入 (上線中) 的使用者區塊，且 “Auth” 欄位為

FORCE

LOCAL：代表為本地端帳號 (Local-DB)

ACCELERATE：為在使用者帳號設定有勾選 “Password Cache”

POP3

AD

LDAP

Hostname 使用該 DAC 帳號之來源主機名稱

IP Address 使用該 DAC 帳號之來源 IP 位址

MAC Address 使用該 DAC 帳號之來源 MAC 位址

Login Time 該使用者的登入時間

Expired Time 該使用者失效時間，請參考 15-3-3 節的 “時間限制”

Access

Gateway

讓該 DAC 使用者可以透過認證閘道器達到漫遊的功能

Quick Logout 將 DAC 認證使用者快速登出

372



15-6 DAC 歷史記錄

點擊 [View Logs] → [DAC Login Logs] → [DAC History]

圖 15-37

表 15-17

欄位說明

Name 使用 DAC 服務的使用者帳號名稱

Auth 認證方式，分為

MANUAL：為手動在 DAC Pass-through 所設定的

FORCE：如圖，若把 jazzabc 該帳號給強制登出，由於在

Manual Login Record Table 有設定 DAC Pass-through 的帳

號，因此會再出現在已登入 (上線中) 的使用者區塊，且

“Auth” 欄位為 FORCE

LOCAL：代表為本地端帳號 (Local-DB)

ACCELERATE：為使用上次認證成功的記錄

POP3

AD

LDAP

IP Address 使用者帳號來源 IP 位址

MAC Address 使用者帳號來源 MAC 位址

Login Time 使用者服務起始時間

Logout Time 使用者登出時間

Duration 停留時間，為使用者登出時間與使用者服務起始時間的時間差

Tx/Rx 上行/下載的傳輸速度

Description 該 DAC 使用者登出該帳號原因

Access Gateway 讓該 DAC 使用者可以透過認證閘道器達到漫遊的功能

373



15-7 客戶端操作

在客戶端不需任何設定，只要開啟瀏覽器，即會進入認證頁面，輸入帳號密碼即

可

1. 開啟任何一款瀏監器 (在此以 IE 為例)，會出現安全性警訊，請按 “是 (Y)”

2.

圖 15-38

3. 此時會出現 DAC 認證畫面，請輸入帳號及密碼

圖 15-39

374



4. 帳號密碼輸入正確即會出現如圖 15-37 之畫面，表示已認證成功，可正常

存取網路服務

圖 15-40

375



15-8 DAC 部署範例

15-8-1 範例 1

如圖 15-38，為 A 公司未部署 DAC 前之網路架構，A 公司需求如下：

架設無線網路，需經認證才可存取網路服務

不要改變現有的網路架構

使用現有之 POP3 主機裡之使用者帳號來做無線網路存取認證

因此如圖，可利用 PowerFamily 的 Bridge 模式及 DAC 來達成此目標

圖 15-41

376



圖 15-42

377



15-8-1-1 組態設定

表 15-18 系統網路介面設定

目的網路介面組成裝置 IP 位址閘道器

透通式 fr0 eth0、eth1 210.243.241.253/24 210.243.241.254

表 15-19 DAC 參數設定

DAC 服務未需認證即可存取的網路服務來自右端網段 (卡) 的主機皆需認證

啟動 DNS、DHCP eth1

表 15-20 DAC 帳號管理 (樣本帳號)

帳號名稱帳號類別 DAC 認證方式選項

DEFAULT DAC POP3 (外部認證) 不允許多重登入

表 15-21 DAC 外部認證

DAC 外部認證

POP3 認證經由相對應之 POP3 伺服器 (210.243.241.252)

378




網路介面

圖 15-43

路由與閘道器

圖 15-44

379




圖 15-45

380



DAC 參數設定

圖 15-46

◎ eth1 為無線網路 AP 所在之系統網路介面

381



樣本帳號

圖 15-47

◎ DAC 帳號認證順序：

樣本帳號為只有在使用者帳號不存在於 “Local-DB” 中才會啟用。DAC 會先

檢查該使用者帳號是否存在於 “Local-DB” 中，若否的話，樣本帳號

(DEFAULT) 將被啟用，並且 DAC 外部認證會被使用，所以 DAC 將發送

認證請求至定義在 [DAC External Auth] 裡之外部認證伺服器

DAC 外部認證系統

圖 15-48

◎ 當該帳號啟動 POP3 認證機制，DAC 會嘗詴發送認證請求至該 POP3 外部

認證伺服器 (210.243.241.252)

382



15-8-2 範例 2

如圖 15-46， A 公司需求如下：

架設無線網路，需經認證才可存取網路服務

圖 15-49

利用 PowerFamily 的 Routing 模式及 DAC 來達成此目標

383



15-8-2-1 組態設定

表 15-22 系統網路介面設定

目的網路介面 IP 位址閘道器

WAN eth0 210.241.239.253/24 210.241.239.254

LAN eth1 192.168.200.254/24

LAN eth2 172.16.0.254/24

表 15-23 DAC 參數設定

DAC 服務未需認證即可存取的網路服務來自右端網段 (卡) 的主機皆需認證

啟動 DNS、DHCP eth2

表 15-24 DAC 帳號管理 (新增本地端帳號)

帳號名稱帳號密碼帳號類別 DAC 認證方式選項

dacuser 123456789 DAC Local-DB 允許多重登入

表 15-25 Outbound 政策

來源位址目的位址服務從 NAT 偽裝

ALL ALL ALL eth0-line YES

384




網路介面

圖 15-50

路由與閘道器

圖 15-51

385




圖 15-52

386



DAC 參數設定

圖 15-53

387



DAC 帳號管理

圖 15-54

Outbound 政策

圖 15-55

388



15-9 DAC 外部認證

PowerFamily DAC 支援外部認證，若網路環境裡已有相關帳號主機 (如 AD、

LDAP 等)，則管理者可設定以這些主機做為 DAC 認證，省去逐一的設定帳號。

目前 PowerFamily 支援以下之 DAC 外部認證主機：

POP3

SMTP

RADIUS

AD

LDAP

PS-AUTH (需至少 2 台 PowerFamily 主機)

PS-PROXY (需至少 2 台 PowerFamily 主機)

以下幾子節將解說 PowerFamily DAC 外部認證：

外部認證處理程序

領域 (Realm) 介紹

外部認證類型

加速快取

389



15-9-1 外部認證處理程序

若網路環境有多部帳號主機，則在使用者做 DAC 認證時，會依所設定之 [DAC

外部認證系統] 順序，搭配使用者帳號之認證設定，在認證順序時會有所不同

如表 15-26：

使用者帳號 dominic 使用 SMTP、POP3 及 AD 做為其 DAC 認證

使用者帳號 allen 使用 AD 做為其 DAC 認證

表 15-26 使用者帳號認證設定

使用者帳號名稱

DAC 外部認證

SMTP POP3 RADIUS AD LDAP

dominic ◎ ◎ ◎

allen ◎

如表 15-27，為目前系統外部認證的類型及主機表，認證順序如表 15-27 所示

表 15-27 DAC 外部認證系統設定

編號認證類型認證主機位址

1 SMTP 192.168.16.1

2 AD 10.0.0.1

3 POP3 172.16.0.1

4 LDAP 192.168.5.1

5 AD 10.0.0.2

6 SMTP 192.168.16.2

390



因此如表 15-28，由於使用者帳號 dominic 只採用 SMTP、POP3 及 AD 做為

其 DAC 認證，因此對照表及表，dominic 帳號會依序使用：

順序一：認證主機為 192.168.16，認證使用 SMTP

順序二：認證主機為 10.0.0.1，認證使用 AD

順序三：認證主機為 172.16.0.1，認證使用 POP3

順序四：認證主機為 10.0.0.2，認證使用 AD

順序五：認證主機為 192.168.16.2，認證使用 SMTP

表 15-28

使用者帳號名稱認證順序編號認證類型認證主機位址

dominic

1 1 SMTP 192.168.16.1

2 2 AD 10.0.0.1

3 3 POP3 172.16.0.1

4 5 AD 10.0.0.2

5 6 SMTP 192.168.16.2

而如表 15-29，allen 帳號會依序使用：

順序一：認證主機為 10.0.0.1，認證使用 AD

順序二：認證主機為 10.0.0.2，認證使用 AD

表 15-29

使用者帳號名稱認證順序編號認證類型認證主機位址

allen

1 2 AD 10.0.0.1

2 5 AD 10.0.0.2

391



15-9-2 領域介紹

PowerFamily DAC 外部認證使用領域 (Realm) 的概念，主要是為了以下的目

的：

支援帳號漫遊：處於不同地區的使用者彼此可以漫遊，如位於台大校區

的使用者到交大校區時，可以使用台大的帳號來使用交大的網路資源

(但二地區皆需使用 PowerFamily 做為其 DAC 主機)

切割認證網域：若使用者人數過多，可把使用者作群組切割，有些使用

者是領域 A，有些使用者是領域 B

降低認證回應時間：如果企業範圍過大，各區的 PowerFamily 連到總

公司的帳號主機可能會過慢。因此如果各區有自己的認證系統，可以調

整順序，以當區的認證系統為優先，這樣可以降低認證所使用的時間

如圖 15-53 及表 15-30，領域的帳號表示方法與郵件位址的格式很像，如

登入名稱為 [email protected]，其中：

dominic 為 DAC 帳號名稱

hgiga.com 為所在的領域

因此可解讀為：使用者是在 hgiga.com 領域的 dominic。所以在認證過程中，

PowerFamily 會把登入名稱中的 DAC 帳號和領域分離，如 [email protected]，

就會分為二個部份，分別為 dominic 與 hgiga.com。利用領域 hgiga.com 決定

所使用的外部認證機制

圖 15-56

表 15-30

登入名稱 [email protected]

帳號名稱 dominic

領域 hgiga.com

392



15-9-2-1 範例 1

此範例解說依使用者認證時所輸入之登入名稱，所得出的領域值，找出符合 “認

證類型” 及 “領域” 的外部認證機制

如表 15-31：

使用者帳號 dominic 使用 SMTP、POP3 及 AD 做為其 DAC 認證

使用者帳號 allen 使用 AD 做為其 DAC 認證

表 15-31

使用者帳號名稱

DAC 外部認證

SMTP POP3 RADIUS AD LDAP

dominic ◎ ◎ ◎

allen ◎

如表 15-32，為目前系統外部認證的類型及主機表，及其領域設定，認證順序如

表所示

表 15-32

編號認證類型認證主機位址領域

1 SMTP 192.168.16.1 hgiga.com

2 AD 10.0.0.1 microsoft.com

3 POP3 172.16.0.1 sun.com

4 LDAP 192.168.5.1 sun.com

5 AD 10.0.0.2 hgiga.com

6 SMTP 192.168.16.2 microsoft.com

393



因此如表 15-31 及表 15-32，可得出表 15-33 及表 15-34

如表 15-33：

登入名稱：[email protected]，可切割為

DAC 帳號名稱：dominic

領域：hgiga.com

由於 DAC 帳號 dominic 只用 SMTP、POP3 及 AD 認證機制，因此 DAC 帳

號 dominic 會依序使用：

順序一：認證主機為 192.168.16.1，認證使用 SMTP，領域為 hgiga.com

順序二：認證主機為 10.0.0.1，認證使用 AD，領域為 hgiga.com

表 15-33

登入名稱 [email protected]

DAC 帳號 dominic

領域 hgiga.com

認證順序編號認證類型認證主機位址

1 1 SMTP 192.168.16.1

2 5 AD 10.0.0.2

如表 15-34：

登入名稱：[email protected]，可切割為

DAC 帳號名稱：allen

領域：microsoft.com

由於 DAC 帳號 allen 只用 AD 認證機制，因此 DAC 帳號 allen 會依序使

用：

順序一：認證主機為 10.0.0.1，認證使用 AD，領域為 microsoft.com

表 15-34

登入名稱 allen@m icrosoft.com

DAC 帳號 allen

領域 microsoft.com

認證順序編號認證類型認證主機位址

1 2 AD 10.0.01.

394



15-9-2-2 範例 2

此範例解說使用 PowerFamily [DAC 外部證機系統]，搭配 “領域”，以達成帳號

漫遊

如圖 15-54，假設有三所大學，分別是交通大學、元智大學及清華大學，這三所

大學都使用 PowerFamily 做為 DAC 主機，並使用學校郵件主機作為 DAC 外

部認證主機，如下：

交通大學：[email protected]

元智大學：[email protected]

清華大學：[email protected]

現在這三所學校想要讓彼此的教職員工及學生都能夠在這三所校園中達成漫

遊，

但是又不想維護其他學校的帳號資料，因此，可設定 “領域” 來達成帳號漫遊的

需求。

1. 以交通大學的 DAC 主機為例，當它收到登入帳號為

[email protected] (自己本校)，DAC 主機便會向自己本校的郵件主

機查詢此帳號/密碼是否正確

圖 15-57

395



2. 如圖 15-55，若元智大學 DAC 主機收到登入帳號為

[email protected]，此時它會找出所有 “領域” 為 cc.nctu.edu.tw 的

外部認證資訊，此時 DAC 主機就會向交通大學的郵件主機作認證要求

3.

圖 15-58

396



15-9-3 DAC 外部認證類型

目前 PowerFamily 支援以下數種 DAC 外部認證類型，分別為：

POP3/SMTP：大多郵件主機都有支援 POP3 及 SMTP 認證，用於大

多數的環境

RADIUS：遠端用撥入驗證服務，提供 Authentication 機制，用來辨認

使用者的身份與密碼，確認通過之後，經由 Authorization 授權使用者

登入網域使用相關資源，並可提供 Accounting 機制，保存使用者的網

路使用記錄，以提供系統服務業者完整認證收費機制的一個基礎 (也就

是俗稱的 3A)。如果企業本身有建置 RADIUS 主機做為認證主機，可

以使用此功能

Active Directory (AD)：微軟的目錄服務主機

LDAP：除了 AD 以外在其它平台上所支援的標準目錄服務

PS-AUTH：由 PowerFamily 本身擔任其它 PowerFamily DAC 主機的

認證

PS-PROXY：透過 PowerFamily 代理功能，向其它後端主機執行認證

動作，如 [PS] → [PS-Proxy] → [AD]

以下數子節將分別介紹這些外部認證類型，在使用這些外部認證主機時，為了確

認這些主機是否正確運作，提供認證機能，本公司提供相關除錯工具，管理者可

至以下網站下載，步驟如下：

1. 開啟瀏覽器，至本公司技術服務資料網站：http://docs.hgiga.com/

2. 請先申請一帳號

3. 帳號申請完成後請先登入，接著至 [公司產品技術文件] →

[PowerFamily] → [DAC Auth Debug Tools] 以下載這些除錯工具

397



15-9-3-1 POP3 認證

若 DAC 帳號跟郵件主機上的帳號是一樣的，且郵件主機本身有支援 POP3 協

定 (TCP 110 埠)，則 DAC 可以使用 POP3 協定，向郵件主機做認證要求。如

圖 15-56，為 PowerFamily 向 POP3 主機直接查詢認證，此一架構適合於大部

份之環境

圖 15-59

398



除錯方式

1. 至本司技術服務資料網站 (http://docs.hgiga.com) 下載除錯工具

(pop3auth.exe)

2. 點擊 [開始] → [執行]，至該除錯工具之資料夾

3. 輸入指令：pop3auth.exe server username password

server：POP3 主機之 IP 位址

username：使用者帳號

password：使用者密碼

如圖 15-57，若認證成功會出現 “SUCCESS”，認證失敗會出現 “FAILURE”

圖 15-60

認證成功

認證失敗

399



PowerFamily POP3 外部認證系統設定

1. 點擊 [DAC(Auth)] → [DAC External Auth] → [POP3/SMTP]

圖 15-61

2. 設定完成請點擊 “Add” 以完成設定

表 15-35

欄位說明

Auth Type 在此為 POP3

Auth Host 請在此輸入 POP3 主機之 IP 位址

Realm 如果使用者輸入的帳號為 xxxx@yyyy 格式 (表示有啟用

Realm 功能)，則請在此輸入相對應的 Realm 值，關於 Realm

的詳細資訊請參考 15-9-2 節

Fullname Auth 完整名稱認證

Accelerate Cache 把認證成功的密碼保留一小時，在這一小時之內，若使用者使

用相同的密碼，則系統不會去跟後端主機作認證

400



15-9-3-2 SMTP 認證

若 DAC 帳號跟郵件主機上的帳號是一樣的，且郵件主機本身有支援 ESMTP

協定 (TCP 25 埠)，則 DAC 可以使用 SMTP 協定，向郵件主機做認證要求。

如圖 15-59，為 PowerFamily 向 SMTP 主機直接查詢認證，此一架構適合於大

部份之環境

表 15-62

401



除錯方式


(smtpauth.exe)


3. 輸入指令：smtpauth.exe server username password

server：SMTP 主機之 IP 位址

username：使用者帳號

password：使用者密碼


圖 15-63

認證成功

認證失敗

402



PowerFamily SMTP 外部認證系統設定

1. 點擊 [DAC(Auth)] → [DAC External Auth] → [POP3/SMTP]

圖 15-64


表 15-36

欄位說明

Auth Type 在此為 SMTP

Auth Host 請在此輸入 SMTP 主機之 IP 位址







403



15-9-3-3 RADIUS 認證

RADIUS 提供 Authentication 機制，用來辨認使用者的身份與密碼，確認通過

之後，經由 Authorization 授權使用者登入網域使用相關資源，並可提供

Accounting 機制，保存使用者的網路使用記錄，以提供系統服務業者完整認證

收費機制的一個基礎 (也就是俗稱的 3A)。如果企業本身有建置 RADIUS 主機

做為認證主機，可以使用此功能。

如圖 15-62，為 PowerFamily 向 RADIUS 直接查詢認證

圖 15-65

404



PowerFamily RADIUS 外部認證系統設定

1. 點擊 [DAC(Auth)] → [DAC External Auth] → [RADIUS]

圖 15-66


表 15-37

欄位說明

Auth Type 在此為 RADIUS

Auth Host 請在此輸入 RADIUS 主機之 IP 位址

Auth Password 請在此輸入認證密碼







405



15-9-3-4 AD 認證

AD (Active Directory) 為微軟所提供之目錄服務，以階層方式儲存資訊。AD 為

以視窗為基礎的使用者帳戶、用戶端、伺服器及應用程式提供了單一的管理。它

還可以協助公司將不使用視窗應用程式的視窗系統與視窗系統相容的裝置結合

在一起，以鞏固目錄並使整個網路作業系統易於管理。

AD 容器代表相關物件的集合，如印表機。AD 將資訊組織成一個由這些物件及

容器所組成的樹狀目錄，這類似於 Windows 作業系統使用檔案夾及檔案，組織

電腦中的資訊一般。

如圖 15-64，為 PowerFamily 利用 LDAP 協定 (TCP 389 埠)，向 AD 主機

(AD Domain Controller) 查詢認證

圖 15-67

◎ 詳細 AD 設定方式請參考相關文件

406



設定 AD 外部認證注意事項

在設定 AD 外部認證時，需注意相關設定：

確認 AD 主機的網域名稱

i. 點選 [我的電腦]

ii. 按下滑鼠右鍵，選擇 [內容]

iii. 選擇 [電腦名稱] 頁次

iv. 如圖 15-65，[網域] 欄位的值就是該 AD 主機的網域名稱

圖 15-68

407



需建立一 DAC 外部認證查詢所使用的帳號，以允許 PowerFamily 向

AD 主機查詢帳號。此帳號不需要有管理者的權限，只要一般帳號即可。

但如圖 15-66，需注意該使用者需位於 [Users] 容器之下，且不可有其

它的登入限制 (如登入時間、登入電腦…等)

圖 15-69

如圖 15-67，為一個在 RD 容器中的帳號 (teddy)，該帳號不能做為 AD 外部認

證設定時的認證查詢帳號，但其它合法的 DAC 帳號是可以位於非 [Users] 容器

下，因此 teddy 帳號是一個合法的 DAC 登入帳號，只是不可拿來設定 AD 外

部認證所用的認證查詢帳號

圖 15-70

408



除錯方式


(adauth.exe)


3. 輸入指令：adauth.exe server domain admin_account admin_password

username password

server：AD 主機之 IP 位址

domain：AD 主機之網域名稱

admin_account：向 AD 主機執行查詢的存取帳號

admin_password：向 AD 主機執行查詢的存取帳號密碼

username：欲進行 DAC 認證之使用者帳號

password：欲進行 DAC 認證之使用者密碼


圖 15-71

認證成功

認證失敗

認證成功

409



PowerFamily AD 外部認證系統設定

1. 點擊 [DAC(Auth)] → [DAC External Auth] → [Active Directory]

圖 15-72


表 15-38

欄位說明

Auth Type 在此為 Active Directory

Auth Host 請在此輸入 AD 主機之 IP 位址

Realm 如果使用者輸入的帳號為 xxxx@yyyy 格式 (表示有啟用 Realm

功能)，則請在此輸入相對應的 Realm 值，關於 Realm 的詳細資

訊請參考 15-9-2 節

Accelerate Cache 把認證成功的密碼保留一小時，在這一小時之內，若使用者使用相

同的密碼，則系統不會去跟後端主機作認證

AD Domain AD 主機之網域名稱

AD Account 向 AD 主機執行查詢的存取帳號

AD Password 向 AD 主機執行查詢的存取帳號密碼

410



15-9-3-5 LDAD 認證

LDAP (Lightweight Directory Access Protocol)，為類似於微軟 AD 之目錄服務，

同樣以階層方式儲存資訊，不同的是，它是免費的

如圖 15-70，為 PowerFamily 利用 LDAP 協定 (TCP 389 埠)，向 LDAP 主機

查詢認證

圖 15-73

◎ 詳細 LDAP 設定方式請參考相關文件

411



除錯方式


(ldapauth.exe)


3. 輸入指令：adauth.exe server basedn binddn bindpassword ldapid username

password

server：LDAP 主機之 IP 位址

basedn：LDAP 主機之網域名稱

binddn：連結 LDAP 主機，執行查詢工作的存取帳號

bindpassword：連結 LDAP 主機，執行查詢工作的存取帳號密碼

ldapid：LDAP 記錄中可識別使用 ID 的欄位名稱



如圖 15-71，方框 1 為找不到 dominic 該使用者帳號。方框 2 為 chiahao 該

使用者帳號存在，但認證失敗

圖 15-74

1

2

412



PowerFamily LDAP 外部認證系統設定

1. 點擊 [RAS/DAC] → [DAC External Auth] → [LDAP]

圖 15-75


表 15-39

欄位說明

Auth Type 在此為 LDAP

Auth Host 請在此輸入 LDAP 主機之 IP 位址


功能)，則請在此輸入相對應的 Realm 值，關於 Realm 的詳細資

訊請參考 15-9-2 節

Accelerate Cache 把認證成功的密碼保留一小時，在這一小時之內，若使用者使用相

同的密碼，則系統不會去跟後端主機作認證

Base DN LDAP 主機之網域名稱

Bind DN 連結 LDAP 主機，執行查詢工作的存取帳號

Bind Password 連結 LDAP 主機，執行查詢工作的存取帳號密碼

LDAP User ID LDAP 記錄中可識別使用者 ID 的欄位名稱

413



15-9-3-6 PS-AUTH

PowerFamily 支援以 PowerFamily 做為其它 PowerFamily 之外部認證主機，可

將所有 DAC 帳號集中於一台 PowerFamily 主機上，其它 PowerFamily 可向此

台 PowerFamily 主機提出認證請求

如圖 15-73，為其它 PowerFamily 主機向該 PowerFamily DAC 帳號主機提出認

證請求

圖 15-76

◎ 需注意的是 PS-AUTH 只會向 PS 認證主機查詢本機帳號

414



PowerFamily PS-AUTH 外部認證系統設定

1. 點擊 [DAC(Auth)] → [DAC External Auth] → [PS-AUTH/PS-PROXY]

圖 15-77


表 15-40

欄位說明

Auth Type 在此為 PS-AUTH

Auth Host 請在此輸入 PowerFamily 主機之 IP 位址


功能)，則請在此輸入相對應的 Realm 值，關於 Realm 的詳細

資訊請參考 15-9-2 節


Accelerate Cache 把認證成功的密碼保留一小時，在這一小時之內，若使用者使用

相同的密碼，則系統不會去跟後端主機作認證

415



15-9-3-7 PS-PROXY

另一種 PowerFamily 獨特之外部認證方式為可將一台 PowerFamily 主機做為

DAC 代理認證主機，只要在代理認證之 PowerFamily 主機設定好要認證的所有

外部認證主機，其它 PowerFamily 主機便可透過該 PowerFamily DAC 代理認

證主機進行 DAC 認證

如圖 15-76，為其它 PowerFamily 主機透過中間之 PowerFamily DAC 代理認證

主機向後端 POP3、SMTP、RADIUS、LDAP 及 AD 主機進行 DAC 認證

圖 15-78

416



PowerFamily PS-PROXY 外部認證系統設定

1. 點擊 [DAC(Auth)] → [DAC External Auth] → [PS-AUTH/PS-PROXY]

圖 15-79


表 15-41

欄位說明

Auth Type 在此為 PS-PROXY

Auth Host 請在此輸入 PowerFamily 主機之 IP 位址


功能)，則請在此輸入相對應的 Realm 值，關於 Realm 的詳細

資訊請參考 15-9-2 節


Accelerate Cache 把認證成功的密碼保留一小時，在這一小時之內，若使用者使用

相同的密碼，則系統不會去跟後端主機作認證

417



15-9-3-8 PS-AUTH/PROXY 認證範例

如圖 15-79，“主機 PS-B” 設定 DAC 帳號如下：

帳號：dominic

DAC 認證：Local，POP3

密碼：zaqwedcxs

而在 “主機 PS-B” 設定外部認證如下：

A. 主機 POP3-A (認證順序 1)

主機 IP 位址：192.168.16.251

Realm：hgiga.com

B. 主機 POP3-B (認證順序 2)

主機 IP 位址：192.168.16.1

由於 “主機 PS-A” 設定 [PS-AUTH] 外部認證，因此 DAC 認證會直接向 “主

機 PS-B” 查詢。

圖 15-80

418



因此如圖 15-80，使用本公司之測詴程式進行測詴


(psauth.exe)


3. 輸入指令：psauth.exe server username password

server：PowerFamily 主機之 IP 位址



若認證成功會出現 “SUCCESS”，認證失敗會出現 “FAILURE”。由於 [PS-AUTH]

只會向 “主機 PS-B” 查詢本機帳號，因此第方框 1 會認證失敗，因其查詢的帳

號/密碼位於 “主機 POP3-B”，非 “主機 PS-B” 之本機帳號。而方框 2 由於所

查詢的 DAC 帳號為 “主機 PS-B” 之本機帳號，因此會出現認證成功訊息

(SUCCESS)

圖 15-81

認證失敗

認證成功

419



如圖 15-81，“主機 PS-B” 設定 DAC 帳號如下：

帳號：dominic

DAC 認證：Local，POP3

密碼：zaqwedcxs

而在 “主機 PS-B” 設定外部認證如下：

C. 主機 POP3-A (認證順序 1)

主機 IP 位址：192.168.16.251

Realm：hgiga.com

D. 主機 POP3-B (認證順序 2)

主機 IP 位址：192.168.16.1

由於 “主機 PS-A” 設定 [PS-PROXY] 外部認證，因此 “主機 PS-A” 會發送

PS-Proxy 訊息給 “主機 PS-B”，透過 “主機 PS-B” 代理查詢 DAC 認證。

圖 15-82

420



而 PS 認證主機在收到 PS-Proxy 時，會進行查詢步驟如圖 15-82

圖 15-83

421



如圖 15-83，使用本公司之測詴程式進行測詴，向 “主機 PS-B” (192.168.16.252)

代理查詢 DAC 認證


(psproxy.exe)


3. 輸入指令：psproxy.exe server username password

server：PowerFamily 主機之 IP 位址



方框 1：“主機 PS-A” 向 “主機 PS-B” 提出使用者 dominic/zaqwedcxs 認證請

求，“主機 PS-B” 會做：

1. 檢查 dominic 帳號是否存在？(是，此帳號存在，進行步驟 2)

2. 帳號 dominic 是否有啟用本機認證？(有本機認證，進行步驟 3)

3. 帳號 dominic 的本機密碼為 zaqwedcxs (帳號/密碼符合，認證成功，出

現 SUCCESS 訊息)

方框 2：“主機 PS-A” 向 “主機 PS-B” 提出使用者 dominic/ilovehgiga 認證請

求，“主機 PS-B” 會做：



3. 帳號 dominic 的本機密碼為 zaqwedcxs，密碼不符，認證失敗，檢查

是否有外部認證？(有 POP3 外部認證，進行步驟 4)

4. “主機 PS-B” 向 “主機 POP3-B” (由於 “主機 POP3-A” 有 Realm 設

定，因此不符合) 請求 dominic/ilovehgiga 認證請求 (帳號/密碼符合，

認證成功)

方框 3：“主機 PS-A” 向 “主機 PS-B” 提出使用者 [email protected]/1234

認證請求，“主機 PS-B” 會做：



3. 帳號 dominic 的本機密碼為 zaqwedcxs，密碼不符，認證失敗，檢查

是否有外部認證？且 Realm 也相同 (有 POP3 外部認證，進行步驟

4)

4. “主機 PS-B” 向 “主機 POP3-A” 請求 dominic/1234 認證請求 (帳號/

密碼符合，認證成功)

422



圖 15-84

423



15-9-3 加速快取

PowerFamily [DAC 外部認證系統] 提供加速取功能，開啟此功能主要有以下之

好處：

增加認證的反應速度，降低認證的等待時間

降低外部認證主機的負載，因為在快取時間內的認證，DAC 會從快取

資料庫中取得資料而不會再次詢問外部認證主機

減少認證產生的流量，因為向外部認證主機發出的認證請求次數變少

而如表 15-42，輸入正確的密碼系統會保留 3600 秒，而輸入錯誤的密碼系統會

保留 60 秒

表 15-42

快取型態說明保留時間

正向快取任何正確的密碼 3600 秒

反向快取任何錯誤的密碼 60 秒

424



Chapter 16 DNS

DNS (Domain Name Server)，提供 Domain Name 與 IP 位址的轉換，以讓我們

不必記一串以數字所組成的 IP 位址。DNS 查詢可分為 2 種：

Recursive (遞迴式)

Client 端只丟出一個詢問給其所屬的 DNS Server，DNS Server 就會不

斷地查詢，直到有結果為止，最後再把結果傳回給 Client

Iterative (非遞迴式，交談式)

詢問其他 DNS Server 是否知道結果，如果沒有這個記錄，則會傳回一

個也許可以查到所需的資料之參考位址

一般來說 Client 到 Server 之間是 Recursive 查詢，Server 到 Server 之間是

Interactive 查詢，但大部份的 DNS server 都可以接受 Recursive 和 Iterative 兩

種查詢方式；但考量負載問題，所以大部份 Server 到 Server 之間都是

Interactive 查詢

425



圖 16-1

如圖 16-1，為一般 DNS 查詢步驟，DNS 客戶端欲查詢 gw.hgiga.com 網址：

1. 當被詢問到有關本地端的主機名稱 (DNS-A)的時候，DNS-A 會直接做

出回答

2. 如果所查詢的主機名稱屬於其它域名的話，會檢查 DNS-A 快取

(Cache)，看看有沒有相關資料

3. 如果沒有發現，則會轉向 root 伺服器 (在此假定為 root 伺服器中的其

中一台，為 DNS-B) 查詢，然後 root 伺服器會將該域名之授權

(authoritative) 伺服器 (可能會超過一台)的地址告知給查詢的 DNS-A

4. root 伺服器回應指定負責 .com 網域的名稱伺服器給 DNS-A

5. DNS 伺服器 A 轉向 .com 名稱伺服器 (在此假定為 .com 伺服器中

426



的其中一台，為 DNC-C) 查詢

6. .com 伺服器回應指定負責 .hgiga.com 網域的名稱伺服器給 DNS-A

7. DNS-A 則轉向 .hgiga.com 名稱伺服器查詢

8. .hgiga.com 伺服器找到了 gw.hgiga.com 的資源紀錄，則把該 IP 位址

回應給 DNS-A

9. DNS-A 將這些伺服器名單存到快取記憶體中，以備將來之需求 (省去

再向 DNB-B、DNS-C、DNS-D 查詢的步驟)

10. 將查詢結果回應給 DNS 客戶端，並同時將結果儲存一個備份在自己的

Cache 裡面，如果 Cache 資料的時間尚未過期之前再接到相同的查詢，

則以存放於 Cache 裡面的資料來做回應

以下將逐一建立各項 DNS 設定，使用的情境及各項記錄如下：

網域名稱為 tome.idv.tw

DNS 管理者的 E-Mail 為：[email protected]

表 16-1 名稱伺服器 (NS Record)

Domain Type FQDN

tome.idv.tw. NS ns.tome.idv.tw.

tome.idv.tw. NS ns2.tome.idv.tw.

NS Record 為對名稱伺服器之宣告

表 16-2 郵件伺服器 (MX Record)

Domain Type Preference FQDN

tome.idv.tw. MX 10 mail.tome.idv.tw.

tome.idv.tw. MX 20 mail2.tome.idv.tw.

MX Record 為對郵件伺服器之宣告

427



表 16-3 主機記錄 (A Record)

Hostname Type IP Address

ns.tome.idv.tw. A 192.168.0.1

ns2.tome.idv.tw. A 192.168.0.2

mail.tome.idv.tw. A 192.168.0.3

mail2.tome.idv.tw. A 192.168.0.4

www.tome.idv.tw. A 192.168.0.5

ftp.tome.idv.tw. A 192.168.0.6

A Record 為主機對應 IP 之宣告

表 16-4 主機別名 (CNAME Record)

Canonical Name (alias name) Type Real Hostname

www2.tome.idv.tw. CNAME www.tome.idv.tw

ftp2.tome.idv.tw. CNAME www.tome.idv.tw

CNAME Record 定義左邊的值等於右邊的值，因此 www2.tome.idv.tw 等於

www.tome.idv.tw

表 16-5 主機記錄 (PTR Record)

IP address Type Hostname

192.168.0.1 PTR ns.tome.idv.tw.

192.168.0.2 PTR ns2.tome.idv.tw.

192.168.0.3 PTR mail.tome.idv.tw.

192.168.0.4 PTR mail2.tome.idv.tw.

192.168.0.5 PTR www.tome.idv.tw.

192.168.0.6 PTR ftp.tome.idv.tw.

PTR Record 為 IP 對應主機之宣告

428



16-1 建立 Forward Zone

圖 16-2

Forward Zone 為設定網域名稱與 IP 位址的對應 (正解)，以圖 16-2 來說，在方

框內的為正解網域，如 sun.tuc.noao.edu. 為一正解網域，一般來說一個正解或反

解的設定可以稱為一個 “Zone”，如 “sun.tuc.noao.edu.” 就為一個 “Zone”

以下將設定之正解網域，領域名稱為 “tome.idv.tw” 就可稱為一個 “Zone”

1. 點擊 [DNS]然後點擊 [new master zone]

正解網域

429



圖 16-3

2. 輸入如圖 16-4 之資料

圖 16-4

表 16-6

欄位說明

Zone type Forward：網址至 IP 位址的對應 (正解)

Reverse：IP 位址至網址的對應 (反解)

Domain name/Network 領域名稱

Master server 主要名稱伺服器

Email address DNS 管理者的 E-Mail

3. 設定完請點擊 [Create] 以完成設定

430



16-1 建立 NS Record

如表 16-7，需建立以下之 NS Record

表 16-7

Domain Type FQDN

tome.idv.tw. NS ns.tome.idv.tw.

tome.idv.tw. NS ns2.tome.idv.tw.

1. 點擊 [DNS] → [tome.idv.tw]

圖 16-5

2. 點擊 [Name Server]

3. 輸入如圖 16-6 之資料，需注意的是必需是完整的 FQDN 格式，因此請記

得最後需加個 ”.”

圖 16-6

431



◎ 第一筆記錄為在建立 master zone 時所輸入之主要名稱伺服器

表 16-8

欄位說明

Domain Name 領域名稱，需注意的是必需是完整的 FQDN 格式，因此

請記得最後需加個 “.”

Time-To-Live NS Record 查詢存活時間，一般保持 “Default” 即可

Name Server 名稱伺服器 (DNS Server)，需注意的是必需是完整的

FQDN 格式，因此請記得最後需加個 “.”

4. 點擊 [Create] 以完成設定

432



16-2 建立 MX Record

如表 16-9，需建立以下之 MX Record

表 16-9

Domain Type Preference FQDN

tome.idv.tw. MX 10 mail.tome.idv.tw.

tome.idv.tw. MX 20 mail2.tome.idv.tw.


圖 16-7

2. 點擊 [Mail Server]

3. 依序輸入欲建立之 MX Record

圖 16-8

433



表 16-10

欄位說明

Mail Domain 領域名稱，需注意的是必需是完整的 FQDN 格式，因此


Time-To-Live MX records 查詢存活時間，一般保持 “Default” 即可

Mail Server 郵件伺服器，需注意的是必需是完整的 FQDN 格式，因

此請記得最後需加個 “.”

Priority 優先權，值越低優先權越高

4. 輸入完畢請點擊 [Create] 以完成設定

圖 16-9

如圖 16-9 為已設定完成之 MX Record，mail.tome.idv.tw.的優先權比

mail2.tome.idv.tw 高，因此 DNS Server 回應給客戶端之 MX Record 裡，客戶端

會優先使用 mail.tome.idv.tw. 這筆記錄

434



16-3 建立 A Record

如表 16-11，需建立以下之 A Record

表 16-11

Hostname Type IP Address

ns.tome.idv.tw. A 192.168.0.1

ns2.tome.idv.tw. A 192.168.0.2

mail.tome.idv.tw. A 192.168.0.3

mail2.tome.idv.tw. A 192.168.0.4

www.tome.idv.tw. A 192.168.0.5

ftp.tome.idv.tw. A 192.168.0.6


圖 16-10

2. 點擊 [Address]

3. 依序輸入欲建立之 A Record

435



圖 16-11

表 16-12

欄位說明

Name 主機名稱，需注意的是必需是完整的 FQDN 格式，因此請記得最後需

加個 “.”

Time-To-Live A Record 查詢存活時間，一般保持 “Default” 即可

Address 主機之 IP 位址

Update reverse? 是否更新反解設定

圖 16-12

圖 16-12 為已設定完成之 A Record

436



16-4 建立 CNAME Record

如表 16-13，需建立以下之 CNAME Record

表 16-13

Canonical Name (alias name) Type Real Hostname

www2.tome.idv.tw. CNAME www.tome.idv.tw

ftp2.tome.idv.tw. CNAME www.tome.idv.tw


圖 16-13

2. 點擊 [Name Alias]

3. 依序輸入欲建立之 CNAME Record

圖 16-14

437



表 16-14

欄位說明

Alias Name 主機名稱別名，需注意的是必需是完整的 FQDN 格式，因此請記得最

後需加個 “.”

Time-To-Live CNAME Record 查詢存活時間，一般保持 “Default” 即可

Real Name 實際之主機名稱，需注意的是必需是完整的 FQDN 格式，因此請記得

最後需加個 “.”

圖 16-15

圖 16-15 為已設定完成之 CNAME Record

438



16-5 建立 Reverse Zone

圖 16-16

Reverse Zone 為設定 IP 位址與網域名稱的對應 (反解)，以圖 16-16 來說，在

方框內的為反解網域，”arpa” 為用來做 IP 位址對網域名稱的對應的特殊網域

(反解網域)，如 33.13.252.140.in-addr.arpa. 為一反解記錄，一般來說一個正解或

反解的設定可以稱為一個 “Zone”

反

解

網

域

439



以下將設定先前所建立之 DNS 記錄的相關反解記錄

1. 點擊 [DNS]

圖 16-17

2. 點擊 [new master zone]

3. 輸入圖 16-18 之資料

圖 16-18

表 16-15

欄位說明

Zone type Forward：網址至 IP 位址的對應 (正解)

Reverse：IP 位址至網址的對應 (反解)

Domain name/Network 對應網路的網路 ID ，例如以此例為 192.168.0

Master server 主要名稱伺服器

Email address DNS 管理者的 E-Mail

4. 點擊 [Create] 以完成設定

440



5. 點擊 [DNS] → [192.168.0] → [Reverse Address] 以新增 PTR Record

圖 16-19

表 16-16

欄位說明

Address 主機之 IP 位址

Time-To-Live PTR Record 查詢存活時間，一般保持 “Default” 即可

Hostname 主機名稱，需注意的是必需是完整的 FQDN 格式，因此


Update forward? 是否更新正解設定

6. 依序輸入表 16-17 之資料

表 16-17

Hostname IP Address

ns.tome.idv.tw. 192.168.0.1

ns2.tome.idv.tw. 192.168.0.2

mail.tome.idv.tw. 192.168.0.3

mail2.tome.idv.tw. 192.168.0.4

www.tome.idv.tw. 192.168.0.5

ftp.tome.idv.tw. 192.168.0.6

441



圖 16-20

圖 16-20 為已設定完成之 PTR Record

442



16-6 啟動 DNS 服務

1. 點擊 [Services]

圖 16-21

2. 選擇 [ Enabled ] 並點擊 OK 以啟動 DNS 服務

圖 16-22

443



Chapter 17 內進容錯機制

PowerFamily 提供 [內進容錯機制] (Inbound Fault Tolerence) 功能，可有效使企

業服務主機達到內進流量負載平衡 (需有多條 ISP 線路) 及容錯。而

PowerFamily 之 [內進容錯機制] 主要是利用動態 DNS (DDNS) 及 DNS 之

TTL (DNS 記錄存活時間) 來達成的，不過需注意的是，若需使用 [內進容錯機

制]，則必頇使用 PowerFamily 之 DNS 功能

17-1 DNS 簡介

圖 17-1

如圖 17-1，為一般 DNS 查詢步驟，DNS 客戶端欲查詢 gw.hgiga.com 網址：

444



11. 當被詢問到有關本地端的主機名稱 (DNS-A)的時候，DNS-A 會直接做

出回答

12. 如果所查詢的主機名稱屬於其它域名的話，會檢查 DNS-A 快取

(Cache)，看看有沒有相關資料

13. 如果沒有發現，則會轉向 root 伺服器 (在此假定為 root 伺服器中的其

中一台，為 DNS-B) 查詢，然後 root 伺服器會將該域名之授權

(authoritative) 伺服器 (可能會超過一台)的地址告知給查詢的 DNS-A

14. root 伺服器將 DNS-A 指定給負責 .com 網域的名稱伺服器

15. DNS 伺服器 A 轉向 .com 名稱伺服器 (在此假定為 .com 伺服器中

的其中一台，為 DNC-C) 查詢

16. .com 伺服器將 DNS-A 指定給負責 .hgiga.com 網域的名稱伺服器

17. DNS-A 則轉向 .hgiga.com 名稱伺服器查詢

18. .hgiga.com 伺服器找到了 gw.hgiga.com 的資源紀錄，所以把該 IP 位

址回應給 DNS-A

19. DNS-A 將這些伺服器名單存到快取記憶體中，以備將來之需求 (省卻

再向 DNB-B、DNS-C、DNS-D 查詢的步驟)

20. 將查詢結果回應給 DNS 客戶端，並同時將結果儲存一個備份在自己的

Cache 裡面，如果 Cache 資料的時間尚未過期之前再接到相同的查詢，

則以存放於 Cache 裡面的資料來做回應

而 TTL 就代表查詢到之 DNS 記錄的存活時間，一旦 TTL 結束，則必頇重新

向相關的 DNS 伺服器查詢

445



17-2 內進容錯機制原理

假設某公司有三條分屬於不同家 ISP 的對外線路，想要達到網際網路使用者存

取網頁主機 (www.aaa.com) 的內進流量負載平衡及容錯

PowerFamily [內進容錯機制] 原理說明：

1. 網頁主機 www.aaa.com 分別對應到多組 DNS A Record，而這些 IP 則

分別屬於不同的 ISP 廠商

2. 來自網際網路的使用者若要存取該台主機的網頁服務，首先必頇執行

DNS 查詢，取得該主機的 IP 位址

3. 大多的 DNS 主機會隨機調整多筆資料，而客戶端應用程式幾乎使用第

一筆所查詢到的紀錄，因此達成內進流量負載平衡

DNS 對應記錄如下：

www.aaa.com → 100.1.1.1 (ISP A)

www.aaa.com → 130.2.2.2 (ISP B)

www.aaa.com → 210.3.3.3 (ISP C)

如圖 17-2，有三位使用者想存取 www.aaa.com 網頁服務，首先對所屬的 DNS

名稱主機執行名稱解析 (www.aaa.com 的 IP 位址)：

John: 查詢的 DNS 主機為: 168.95.1.1，得到三筆紀錄依序為 (100.1.1.1,

130.2.2.2, 210.3.3.3)

Mary: 查詢的 DNS 主機為: 168.95.192.2，得到三筆紀錄依序為

(130.2.2.2, 100.1.1.1, 210.3.3.3)

Michael: 查詢的 DNS 主機為: 168.95.192.2，得到三筆紀錄依序為

(210.3.3.3, 130.2.2.2, 100.1.1.1)

而由於大多數的應用程式都會使用第一筆查詢到的資料，因此

John 將存取 100.1.1.1，位於 ISP A

Mary 將存取 130.2.2.2，位於 ISP B

Michael 將存取 210.3.3.3，位於 ISP C

因此最後能達到內進負載平衡的目的

圖 17-2

446



而在內進容錯方面，如圖 17-3

1. 當 ISP B 線路斷線時，PowerFamily [內進容錯機制] 會偵測到 ISP B 線路

斷線，接著變更 www.aaa.com 的 DNS A Reccord，然後把 130.2.2.2 (ISP B)

這筆 Record 移除，更新後資料如下:



2. 有三位使用者想存取 www.aaa.com 網頁服務，首先對所屬的 DNS 名稱主

機執行名稱解析 (www.aaa.com 的 IP 位址)

Mary: 查詢的 DNS 主機為: 168.95.1.1，得到二筆紀錄依序為

(210.3.3.3, 210.3.3.3)

John: 查詢的 DNS 主機為: 168.95.192.2，得到二筆紀錄依序為

(100.1.1.1, 210.3.3.3)

Michael: 查詢的 DNS 主機為: 168.95.192.2，得到二筆紀錄依序為

(210.3.3.3, 100.1.1.1)


Mary 將存取 210.3.3.3，位於 ISP C



因此最後能達到線路容錯的目的，不過需注意的是，此筆紀錄 (www.aaa.com) 的

TTL (Time To Live，DNS 記錄存活時間) 時間將會影響內進容錯的效果:

TTL 越小 → 內進容錯效果越好，但網路/系統負載會越高，且使用者

會感受到些許的延遲 (每次存取網路資源時都必頇執行 DNS 查訊動

作)

TTL 越大 → 內進容錯效果越差，但網路/系統負載會降低，且使用者

不會感受到延遲 (除非 TTL 過期，否則存取網路資源時都不需做

DNS 查訊動作)

圖 17-3

447



那麼在線路恢復後，如圖 17-4

1. 當 ISP B 線路恢復正常時，[內進容錯機制] 會偵測到 ISP B 線路已正常，

會把 130.2.2.2 (ISP B) 這筆 A Record 加入原本的 www.aaa.com 中，更新

後資料如下:







(130.2.2.2, 100.1.1.1, 210.3.3.3)


(210.3.3.3, 100.1.1.1, 130.2.2.2)

John: 查詢的 DNS 主機為: 168.95.192.2，得到三筆紀錄依序為

(100.1.1.1, 130.2.2.2, 210.3.3.3)

由於大多數的應用程式都會使用第一筆查詢到的資料，因此

Michael 將存取 130.2.2.2，位於 ISP B

Mary 將存取 210.3.3.3，位於 ISP C



圖 17-4

448



17-3 常見服務之內進容錯機制

一般來說企業常見的網際網路服務如 DNS、Mail、Web ，若無內進容錯機制的

話，如線路斷線，很可能就會造成服務中斷而讓企業遭受損失，而這些常見的網

際網路服務的內進容錯機制概要如下:

DNS：DNS 主機是用 NS 記錄，註冊在上層 DNS 主機 (Parent Name

Server)上，如 TWNIC

這些 NS 記錄是不能夠隨意變更

本身查詢機制上便有容錯

因此無法也不需要對 DNS 服務啟用 [內進容錯機制]

Mail：郵件主機是用 MX 紀錄，登錄在企業本身的 DNS 主機上

MX 主機本身有優先權，確定哪幾台主機接受外部來信的順序

MX 本身也有容錯機制

因此也不太需要對郵件服務啟用 [內進容錯機制]

Web：大多是使用 A 紀錄，登錄在企業本身的 DNS 主機上。本身無任何

容錯機制，需要啟用 [內進容錯機制]

449



17-3-1 DNS 內進容錯機制

一般 DNS 查詢服務本身就有容錯機制，只要該網域有向上層組織 (如：TWNIC)

註冊多組 DNS NS 記錄即可達成

以本公司桓基科技說明如下，本公司內部有三部 DNS Server 分別為：

(1) ns.hgiga.com 、(2) ns2.hgiga.com 和 (3) www.hgiga.com

以上層 DNS 主機登錄的 NS/A 紀錄如下

1. hgiga.com 網域的 NS 紀錄如下

hgiga.com → www.hgiga.com

hgiga.com → ns2.hgiga.com

hgiga.com → www.hgiga.com

2. 而這些主機的相對應 A 紀錄為

www.hgiga.com → 202.168.199.163

ns2.hgiga.com → 202.168.199.14

ns.hgiga.com → 210.243.241.197

如圖 17-5，主機 A 向 ns.hgiga.com 查詢二次 DNS A 記錄，及向 ns2.hgiga.com

查詢一次 DNS A 記錄，以取得桓基科技的 DNS 主機清單 (NS 記錄)。至於要

跟哪一台 DNS 主機查詢則不一定，要看主機 A 本身所得的資料及設定為主，

如一般我們可以設定 DNS 主機的查詢順序。主機 B 跟主機 C 的查詢動作也

跟主機 A 類似

圖 17-5

450



如圖 17-6，ns.hgiga.com 因為發生某些原因而斷線了，當主機 A 跟

ns.hgiga.com 主機查詢 Timeout 時 (綠色線)，主機 A 本身 (或所屬的 DNS 主

機) 會自動跟其他二台 DNS 主機 (任一台) 查詢 (紫色線，為跟 ns2.hgiga.com

查詢二次 DNS A 記錄)。當主機 B 跟 ns.hgiga.com 主機查詢 Timeout 時 (綠

色線)，使用者 B 本身 (或所屬的 DNS 主機) 會自動跟其他二台 DNS 主機

(任一台) 查詢 (紫色線，為跟 www.hgiga.com 查詢一次 DNS A 記錄)。而對於

主機 A、Ｂ而言，只會感受到些許的延遲。

圖 17-6

如圖 17-7 為用 “nslookup” 指令查詢網域 hgiga.com 跟上層 DNS 組織 (.com)

註冊三組 DNS NS 及所屬的 A 記錄

451



圖 17-7

若這些 IP 位址分別屬於不同的 ISP 線路，則可以輕鬆達到 DNS 服務的容錯

> server 168.95.1.1

Default Server: dns.hinet.net

Address: 168.95.1.1

> set type=ns

> hgiga.com.

Server: dns.hinet.net

Address: 168.95.1.1

Non-authoritative answer:

hgiga.com nameserver = ns.hgiga.com

hgiga.com nameserver = ns2.hgiga.com

Hgiga.com nameserver = www.hgiga.com

ns.hgiga.com internet address = 210.243.241.197

ns2.hgiga.com internet address = 210.241.239.222

www.hgiga.com internet adderss = 202.168.199.162

452



17-3-2 Mail 內進容錯機制

一般 Mail 服務的容錯機制是利用 DNS MX (Mail Exchanger) 的優先權順序去

做 Mail 服務的容錯，以本公司桓基科技網域 hgiga.com 在本公司的 DNS 主機

中設定的 DNS MX (Mail Exchange) 如表 17-1：

表 17-1

網域 MX (FQDN) 優先權 IP

hgiga.com smtp.hgiga.com. 10 210.243.241.197 (ISP A)

hgiga.com ssl.hgiga.com. 100 211.75.40.172 (ISP B)

hgiga.com ns.hgiga.com. 200 20.243.241.198 (ISP C)

因為 MX 優先權數字越小者，優先權越大，所以當外面使用者要寄信給網域

hgiga.com 時，信件會往優先權數字最小者那台主機傳送。如圖 17-8，使用者要

寄信給 [email protected]、[email protected]、[email protected] 時，因為 MX 優先權設定

關係，要寄給網域 hgiga.com 的信件都會往 smtp.hgiga.com 這台主機傳送 (因

為 MX 優先權最小的是指向這台主機)

圖 17-8

453



而如果第一筆 MX 指定的 SMTP 主機無法連線，外部 SMTP 主機會嘗詴跟優

先權次高的 MX 主機嘗詴連線。如圖 17-9，使用者要寄信給 [email protected]、

[email protected]、[email protected] 時，當 ISP A 線路中斷，或 smtp.hgiga.com 主機

故障時，信件無法往 smtp.hgiga.com 傳送，此時信件會往 MX 優先權次高的

那台主機傳送，即信件會往 ssl.hgiga.com 這台主機傳送。

圖 17-9

如圖 17-10 為用 “nslookup” 指令查詢網域 hgiga.com 之 MX 記錄

圖 17-10

> server 168.95.1.1

Default Server: dns.hinet.net

Address: 168.95.1.1

> set type=mx

> hgiga.com.

Server: dns.hinet.net

Address: 168.95.1.1

hgiga.com MX preference = 100, mail exchanger =

ssl.hgiga.com


ns.hgiga.com


smtp.hgiga.com

smtp.hgiga.com internet address = 210.243.241.198

ssl.hgiga.com internet address = 211.75.40.172

ns.hgiga.com internet address = 210.243.241.197

>

454



若這些 IP 位址分別屬於不同的 ISP 線路，則可以輕鬆達到 DNS 服務的容錯

機制

455



17-3-3 Web 內進容錯機制

假設某公司有三條分屬於不同家 ISP 的對外線路，想要達到網際網路使用者存

取網頁主機 (www.aaa.com) 的內進流量負載平衡及容錯

PowerFamily [內進容錯機制] 原理說明：

1. 網頁主機 www.aaa.com 分別對應到多組 DNS A Record，而這些 IP 則分別

屬於不同的 ISP 廠商

2. 來自網際網路的使用者若要存取該台主機的網頁服務，首先必頇執行 DNS

查詢，取得該主機的 IP 位址

3. 大多的 DNS 主機會隨機調整多筆資料，而客戶端應用程式幾乎使用第一筆

所查詢到的紀錄，因此達成內進流量負載平衡

DNS 對應記錄如下：




如圖 17-11，有三位使用者想存取 www.aaa.com 網頁服務，首先對所屬的 DNS

名稱主機執行名稱解析 (www.aaa.com 的 IP 位址)：

John: 查詢的 DNS 主機為: 168.95.1.1，得到三筆紀錄依序為 (100.1.1.1,

130.2.2.2, 210.3.3.3)


(130.2.2.2, 100.1.1.1, 210.3.3.3)


(210.3.3.3, 130.2.2.2, 100.1.1.1)



Mary 將存取 130.2.2.2，位於 ISP B



圖 17-11

456



如圖 17-12

1. 當 ISP B 線路斷線時，PowerFamily [內進容錯機制] 結合 [線路狀態偵測]

會偵測到 ISP B 線路斷線，接著利用 PowerFamily 之動態 DNS 記錄

(DDNS) 變更 www.aaa.com 的 DNS A Reccord，然後把 130.2.2.2 這筆

Record 移除，更新後資料如下:






(100.1.1.1, 210.3.3.3)

John: 查詢的 DNS 主機為: 168.95.192.2，得到三筆紀錄依序為

(100.1.1.1, 210.3.3.3)


(210.3.3.3, 100.1.1.1)


Mary 將存取 100.1.1.1，位於 ISP A



因此最後能達到線路容錯的目的，不過需注意的是，此筆紀錄 (www.aaa.com) 的

TTL (Time To Live，DNS 記錄存活時間) 時間將會影響內進容錯的效果:

TTL 越小 → 內進容錯效果越好，但網路/系統負載會越高，且使用者

會感受到些許的延遲 (每次存取網路資源時都必頇執行 DNS 查訊動

作)

TTL 越大 → 內進容錯效果越差，但網路/系統負載會降低，且使用者

不會感受到延遲 (除非 TTL 過期，否則存取網路資源時都不需做

DNS 查訊動作)

圖 17-12

457



17-4 內進容錯機制設定

模擬環境說明：客戶有三條 ISP 外線，分別各有一組 IP 對應到 www.aaa.com，

並且要做到 [內進容錯機制] 效果，三筆資料 (A 紀錄) 如表 17-2：

表 17-2

主機名稱 IP

www.aaa.com 100.1.1.1



PowerFamily 可以 [內進容錯機制] 達成此客戶的需求，但 PowerFamily 本身需

為 DNS 主機

17-4-1 新增 DNS 網域

詳細 DNS 設定請參照 “Chapter 16 DNS” 此份文件

1. 點擊 [DNS]

圖 17-13

2. 點擊 [new master zone]

458



圖 17-14

3. 設定完請點擊 [Create] 以完成設定

4. 在網域 aaa.com 中新增三筆 A Record，如表 17-3

表 17-3

主機名稱 IP




圖 17-15

459



17-4-2 設定 Inbound 政策規則

如表 17-4，該客戶有三條分屬於不同家 ISP 的對外線路，而其對應之 Web

Server 內部 IP 如表 17-5

表 17-4

線路 FQDN IP 位址

eth0-line www.aaa.com. 100.1.1.1



表 17-5

Web Server 外部 IP 對應之 Web Server 內部 IP

100.1.1.1

130.2.2.2

210.3.3.3

10.4.1.240

1. 點擊 [Security] → [Inbound Mapping]

圖 17-16


◎ 點擊可查看詳細資訊

圖 17-17

460



17-4-3 設定動態 DNS 記錄

1. 點擊 [Advanced] →[Inbound Fault Tolerance] → [DDNS Record Update]

圖 17-18

2. 各線路設定完成請點擊 [OK] 以完成設定

461



◎ 存活時間 (TTL) 的設定值是由 [內進容錯機制] → [參數設定] 所統一設定，

而 TTL 時間將會影響內進容錯的效果

◎ TTL 越小 → 內進容錯效果越好，但網路/系統負載會越高，且使用者會感受

到些許的延遲 (每次存取網路資源時都必頇執行 DNS 查訊動作)

◎ TTL 越大 → 內進容錯效果越差，但網路/系統負載會降低，且使用者不會感

受到延遲 (除非 TTL 過期，否則存取網路資源時都不需做 DNS 查詢動作)

462



17-4-4 內進容錯機制參數設定

1. 點擊 [Advanced] → [Inbound Fault Tolerance] → [Parameters]

圖 17-19

表 17-6

欄位說明

Dynamic DNS Record Update 啟動/停止 DDNS 服務

DNS Server 127.0.0.1 表示 PowerFamily 本身當 DNS 伺服器

DNS Key 若 DNS 是在另一台 Linux 主機時,則需要輸入那台主

機所提供的 DDNS 更新授權金鑰

DNS Record TTL DNS 記錄存活時間，預設為 30 秒

TTL 越長系統負載越低

TTL 越短容錯效果越佳

2. 開啟 DDNS 服務，設定完成請點擊 [OK] 以完成設定

◎ 在這裡需注意的是，請務必要開啟 [線路狀態偵測]，否則系統無法偵測到線

路的狀態，進而做 DNS 紀錄的更新動作，詳細操作方式請參照 “Chapter 9

線路狀態偵測”

463



圖 17-20

◎ 於[Advanced] → [Inbound Fault Tolerance] → [DDNS Record Update] 點擊

可立即更新 DNS 紀錄，可查看 DNS 紀錄是否

有更新，而點擊可顯示 DNS 前次所更新的紀錄，如果

狀態為 NOERROR 就代表 DNS 記錄修改成功。

圖 17-21

464



17-3 其他系統 DDNS 設定方式 - Linux

如果 DNS 主機並不在 PowerFamily 本身上，而在其他系統 (如 Linux BIND

DNS 伺服器)，則請參考以下說明：

以 BIND 9 利用其 update-policy，使用所提供共有的 Key 來做對客戶端的身份

認證，再允許 DNS 記錄變更動作

環境說明：

外部 DNS 主機：Linux 主機，BIND 9

外部 DNS 主機 IP：10.4.1.250

1. 先在外部 DNS 主機上產生認證用的 Key

圖 17-22

2. 查看所產生的 Key 檔

圖 17-23

3. 設定外部 DNS 主機上的 named.conf 檔案，將 Key 的資料登錄進去，再

將要開放寫入的 zone 設定好 policy (規則)

查看所產生的 key 檔

[root@fc4 /]# ls /var/named/keys/

Kweb.+157+04180.key

Kweb.+157+04180.private

產生認證用的 key

[root@fc4 ~]# mkdir -p /var/named/keys; cd

/var/named/keys

[root@fc4 keys]# ls

[root@fc4 keys]# dnssec-keygen -a HMAC-MD5 -b

128 -n HOST web

Kweb.+157+04180

465



圖 17-24

4. 最後在 PowerFamily 上設定 [內進容錯機制] 參數設定，點擊

[MultiHoming] → [Advanced Functions] → [Inbound Fault Tolerance] →

[Parameters]

DNS Server：輸入外部 DNS 主機 IP 位址，以此例為 10.4.1.250

DNS Key：ZU3F6rFUjj9iPnnNTB93vw==

圖 17-25

5. 點擊 [OK] 以完成設定

Chapter 18 伺服器負載平衡

466



PowerFamily 提供伺服器負載平衡功能，可依照不同應用程式，提供應用程式負

載平衡，只要任一伺服器發生故障，該伺服器便自動移除於服務主機群外，確保

企業服務永不間斷。

PowerFamily 負載平衡機制將一群伺服器主機模擬成單一大型虛擬主機 (Server

Farm，叢集主機群)，可以在同時間承受大量負載，並可以隨著客戶端 (Client) 數

目的增加或是對負載回應品質的要求，動態增加服務主機數量。

圖 18-1

如圖 18-1，客戶端起始連線進來後，負載平衡器會將新連線導至內部真正提供

467



服務的伺服器主機 (不同的演算法會決定哪些主機將承受新連線的負載)。而當

叢集主機群中有某台主機服務停止時，負載平衡器會自動偵測到服務中斷，並將

該故障主機移除叢集主機群，待該主機回復正常後，再將之納入服務主機群內。

PowerFamily 伺服器負載平衡可做到以下的功能：

提供單一埠應用程式 (Single-Port AP) 負載平衡，所謂 “單一埠應用程

式” 是指該服務利用單一埠號提供服務，如 HTTP 是利用 TCP 80 埠、

POP 3 是利用 TCP 110 埠、SMTP 是 TCP 25 埠

伺服器故障容錯：任一伺服器發生故障，該故障伺服器會自動被移除於

服務主機群外

多項負載平衡演算法：Least Connection、 Weighted Least Connection、

Round Robin、Weighted Round Robin、Source Hash、Destination Hash 、

Weighted Least Connection

服務健康檢查機制：提供 IP/TCP 層級檢查

頻寬管理：整合於 Smart QoS，詳細 Smart QoS 設定方式請參照

“Chapter 10 Smart QoS ”

468



18-1 相關名詞介紹

以下將介紹 PowerFamily 伺服器負載平衡所使用的相關術語：

Client

代表所有存取公有服務的客戶端主機

Virtual Server

對客戶端而言，這台主機提供對外的服務，客戶端不曉得該虛擬主機是由多

台主機所組成。在決定虛擬主機位址後，必頇先把此 IP 位址設在系統網卡

上 (真實網卡或是虛擬網卡均可)，而不同機種的虛擬及真實網卡的數目不

同，因此決定了可以提供不同數目的虛擬主機位址 (Virtual IP)

Server Load Balancer

伺服器負載平衡器，實際把所有的連線，按照演算法的不同，將負載分配給

真實服務主機群

Real Server Farm

後端真實提供服務的主機，也就是組成虛擬主機的成員 (Real IP)

負載平衡演算法

Least Connection

為依照連線數來判斷，連線數越少代表該主機負載越低。PowerFamily

永遠將新連線導至連線數最少的主機。

Weighted Least Connection

與 Least Connection 相同，但是會再依據權重來做調整。

Round Robin

以輪替式的方式做負載平衡，例如有三台真實主機，第一條連線導至第

一台真實主機，第二條連線導至第二台真實主機，第三條連線導至第三

台真實主機，第四條連線導至第一台真實主機，依此類推

Weighted Round Robin

與 Round Robin 相同，但是會再依據權重來做調整。

Source Hash

以來源 IP 位址做為判斷負載狀況，當客戶端主機連線至 Virtual Server

時， PowerFamily 會使用客戶端主機的來源位址經由 Hash 函式，算

出應由後端真實主機接受服務，而將連線導至該真實主機

469



18-2 設定伺服器負載平衡

1. 點擊 [Advanced] → [Server Load Balance] 點擊以進入設定畫面

圖 18-2

進入設定畫面後(如下圖 18-3)，必需設定(1)Virtual Server、(2)Service、(3)Real

Server Farm 與(4)Algorithms，接著[ok]，便可完成設定。另外若想維持連線，讓

原本提供該客戶端服務的真實主機群能繼續提供後續的服務，可另外設定

「Persistent」。所謂的 Persistent 就是讓連線維持，讓原本提供該客戶端服務的

真實主機群提供後續的服務。也就是說，假如客戶端先和一個真實主機要求資料，

真實主機回應您需要的資料。若而後你又向真實主機存取其他資料，連線時因為

SLB 將連線導向至其他的真實主機群，但是這台提供您服務的主機，並不知道

您原本取得的資訊是什麼，導致無從回應。這種現象常見於 HTTP 的服務上。

因此，建議在設定 SLB 時，一旦是 HTTP 服務時，請將此值設定為 600 Sec。

而其他無此連線問題的服務，如 SMTP、POP3 等，就可以不用設定此值。

470



圖 18-3

表 18-1

欄位說明

Rule No. 規則編號

Rule Status 規則啟用與關閉

Virtual Server 虛擬伺服器，對使用該伺服器所提供之服務的客戶端而言，這台伺服

器提供對外的服務，客戶端不曉得該虛擬伺服器其實是由多台伺服器

所組成，需注意的是，該 IP 位址必頇為系統 IP 位址，也就是

PowerFamily 所設定之網卡 IP 位址

Service 該伺服器所提供之服務

Real Server Farm 真實主機群，為實際提供服務之伺服器主機群

Algorithm 負載平衡演算法，PowerFamily 提供如下之負載平衡演算法：

Least-Connection

Weighted Least-Connection

Round-Robin

Weighted Round-Robin

Source-Hash

Destination-Hash

Persistent (Sec) 持續連線，讓連線維持，讓原本提供該客戶端服務的真實主機群能繼

續提供後續的服務。一般建議若是 HTTP 服務的話，請將此值設定

為 600 Sec

Option 可將連線做紀錄與進行應用層檢查

471



18-3 查看伺服器負載平衡相關資訊

1、查看真實主機狀態

若要查看每台真實主機情形，可以點選[Advance] →[Server Load Balance] →

[Real Server Status]，如下圖 18-4。接著會進入顯示畫面可獲得顯示主機狀態、

連線數等資訊，如圖 18-5。

圖 18-4

圖 18-5

472



表 18-2

欄位說明

Rule 規則號碼，顯示是哪條伺服器負載平衡規則

Virtual Server 提供公有服務的虛擬伺服器主機位址，為所設定之 PowerFamily 系

統網卡 IP 位址

Real Host 真實提供服務的伺服器主機位址

Service 目前提供負載平衡的服務，格式為協定@[目的地埠號]，如 tcp@ [25]

SMTP、tcp@ [80] HTTP

Status 目前該真實提供服務主機的服務狀態，正常為 NORMAL，錯誤為

FAILED

Active /Inactive Conn 目前該真實提供服務主機正在處理的連線與已經失效的連線數

Report 可看到服務的上下頻寬比例、狀態、已連線與失效連線數、回應時間等

2、查看伺服器負載平衡連線紀錄

要查看伺服器負載平衡連線紀錄，可點選[View Status]→[SLB Connection List]，

如下圖 18-6。

圖 18-6

473



表 18-2

欄位說明

Connection Info Proto：該條連線的協定種類，只有 TCP 或是 UDP

Status：目前該連線的狀態為何 ?

Expires：該連線過了多久時間後如果還是沒有任何資料傳

送，將被視為過期連線，而移除在連線表外

Client Source：客戶端主機的來源位址

sport：該連線的客戶端主機所使用的來源埠

Virtual Server Virtual Host：對外部客戶端而言，提供服務的虛擬伺服器

主機

Port：負載平衡的服務埠，與 [Proto] 合併可表示網際網路

服務，如[80] HTTP、[25] SMTP 、@ [110] POP3

Real Server Farm Real Host：真正處理該條連線的真實主機位址

Port：負載平衡的服務埠，與 [Proto] 合併可表示網際網路

服務，如 tcp@ [80] HTTP 、 tcp@ [25] SMTP 、

tcp@ [110] POP3

474



18-4 設定注意事項

圖 18-7

如圖 18-7，該客戶有兩條對外線路，其架構如下：

線路一：R1 為路由器，V1 及 V2 為該線路的公有 IP 位址

線路二：R2 為路由器，V3 及 V4 為該線路的公有 IP 位址

內部主機位址：H3 ~ H5

該客戶欲建立高可用度對外服務網頁及郵件系統，其需求如下：

提供線路負載平衡

提供伺服器負載平衡

475



表 18-3 簡單列出使用者的需求。此設定為真實伺服器主機均各設定一個 IP 位

址，並使用 V1 (WAN-1) 及 V3 (WAN-2)，做為其對外之公有 IP 位址。外部使

用者可以透過兩條線路存取公有資源，達成線路分流的目標。而內部三台真實伺

服器主機可提高整體系統的負載量，並可相互備援達成高可用性需求。

表 18-3

對外公開虛擬伺服器提供之服務後端真實伺服器主機

V1, V3 HTTP、SMTP H3、H4、H5

建立 SLB 規則，如下

在真實服務主機上設定一個虛擬網卡，不能兩個 IP 綁在真實伺服器的

同一張網卡上。

虛擬伺服器為 V1 (屬於 R1 線路)，服務為 HTTP、SMTP，真實伺服

器為 H3、H4、 H5

虛擬伺服器為 V3 (屬於 R2 線路) ，服務為 HTTP、SMTP，真實伺

服器為 H3:1、H4:1、H5:1

表 18-4

規則編號虛擬伺服器對應服務真實伺服器主機 IP 位址負載平衡演算法

及其他參數

1 V1 HTTP、SMTP H3、H4、H5 依真實需要而定

2 V3 HTTP、SMTP H3:1、H4:1、H5:1 依真實需要而定

476



Chapter 19 App Sniffing

PowerFamily 提供封包監聽的功能，管理者可依需求開啟此項功能，以監控內部

網路使用情況，避免被內部員工利用公司網路頻寬進行不法行為。PowerFamily

可有效的監聽封包，將屬於同一連線 (session) 之封包搜集起來，並還原為原始

檔案特徵資料，管理者可依需求將這些記錄存放至遠端 PowerLog 伺服器，以

供未來查看這些記錄資料。

PowerFamily 監聽、重組、還原封包資料步驟如圖 19-1：

1. 隨著時間，將屬於同一連線 (session) 之封包搜集起來

2. 將封包標頭去除，並還原封包資料至原始檔案特徵資料

3. 還原成原始檔案特徵資料

圖 19-1

目前 PowerFamily 支援下列通訊協定監聽功能：

ARP：Address Resolution Protocol (位址解析協定)，取得主機之網卡位

址 (MAC Address) 的協定

HTTP：HyperText Transfer Protocol (超文件傳輸協定)，一般瀏覽網頁所

用到之協定

◎ 啟用 App Sniffing 會增加 10% ~ 50% 系統負載

477



19-1 ARP 協定監聽

目前一般最常見的乙太網路 (Ethernet) 裡的主機要傳輸資料給另一部主機時，必

需知道該主機的網卡位址 (MAC Address) 才能進行資料傳輸，而要如何知道主

機的網卡位址呢? 則必頇使用 ARP 協定來取得主機的網卡位址

圖 19-2

圖 19-2 為一般同網段資料傳輸流程，主機 A 與主機 B 及一台路由器位於同

一實體乙太網路網段，主機 A 欲傳送資料至主機 B，流程如下：

4. 主機 A 送出 ARP Request 封包，詢問主機 B 之網卡位址

5. 主機 B 在收到由主機 A 所送出之 ARP Request 封包，會做以下之動

作：

iii. 主機 B 由主機 A 之 ARP Request 封包得知主機 A 之網卡位址

為 [00:04:E2:47:7F:56]

iv. 主機 B 傳送 ARP Reply 封包，回應主機 A，主機 B 之網卡位址

為 [00:D0:B7:3F:AB:3E]

6. 主機 A 與主機 B 都知道彼此的網卡位址了，接下來開始進行資料傳

輸

478



ARP 為位於 OSI 第二層之通訊協定，因此其前面會再封裝一個乙太網路封包，

圖 19-3 為乙太網路封包及 ARP 封包格式

圖 19-3

乙太網路標頭：

框架類型：0x0806 (ARP)

ARP Request/Reply：

硬體位址類型：1 (乙太網路)

通訊協定位址類型：0x0800 (IP 位址)

硬體位址大小：6

通訊協定位址大小：4

op：

1 (ARP Request)

2 (ARP Reply)

而 PowerFamily 藉由擷取 ARP 封包，並將特徵資料記錄下來

479



以上例來說相關 ARP 封包圖如下：

(3) 主機 A 送出 ARP Request 封包，詢問主機 B 之實體位址

表 19-1

ARP 封包封包欄位封包欄位值

乙太網路標頭

乙太網路目的位址 FF:FF:FF:FF:FF:FF

乙太網路來源位址 00:04:E2:47:7F:56

框架類型 0806

ARP Request

硬體位址類型 0001

通訊協定位址類型 0800

硬體位址大小 06

通訊協定位址大小 04

op 0001

發送者乙太網路位址 00:04:E2:47:7F:56

發送者 IP 位址 192.168.16.173

目的端乙太網路位址 00:00:00:00:00:00

目的端 IP 位址 192.168.16.251

(4) 主機 B 傳送 ARP Reply 封包，回應主機 A，主機 B 之實體位址

表 19-2

ARP 封包封包欄位封包欄位值

乙太網路標頭

乙太網路目的位址 00:04:E2:47:7F:56

乙太網路來源位址 00:D0:B7:3F:AB:3E

框架類型 0806

ARP Reply

硬體位址類型 0001

通訊協定位址類型 0800

硬體位址大小 06

通訊協定位址大小 04

op 0002

發送者乙太網路位址 00:D0:B7:3F:AB:3E

發送者 IP 位址 192.168.16.251

目的端乙太網路位址 00:04:E2:47:7F:56

目的端 IP 位址 192.168.16.173

480



19-1-1 啟動 ARP 協定監聽服務

1. 點擊[System] → [Services] →[ARP Sniffing]。

圖 19-4


481



19-1-2 檢視本機 ARP 協定監聽記錄

1、點擊 [View Logs]→[ARP Protocol Logs] →[ARP Packet Log]。如圖 19-5，

列出本機系統網路介面之 ARP 監聽記錄。

圖 19-5

表 19-3

欄位對應之封包格式欄位

No. ARP 監聽記錄排序編號，以時間採降冪方式排列，因此最新的記錄

永遠都會在第一筆

Time ARP 監聽記錄時間

Destination MAC 乙太網路目的位址

Source MAC 乙太網路來源位址

Op RQ：ARP 需求

RP：ARP 回應

ARP Sender MAC Address ARP 發送者乙太網路位址

IP Address ARP 發送者 IP 位址

ARP Target MAC Address ARP 目的端乙太網路位址

IP Address ARP 目的端 IP 位址

圖 19-6

482



19-1-3 檢視本機 ARP 協定監聽記錄統計

1. 點擊點擊 [View Logs]→[ARP Protocol Logs] →[ARP Record List]

圖 19-7

表 19-4

欄位說明

No. ARP 監聽記錄排序編號，以時間採降冪方式排列，因此最新的

記錄永遠都會在第一筆

Last Uptime Time ARP 監聽記錄最後統計時間

IP Address 該來源主機之 IP 位址

MAC Address 該來源主機之 MAC 位址

Device 位於 PowerFamily 哪張網卡

Count 來自於該來源主機所發送的 ARP 封包統計

483



19-2 HTTP 協定監聽

19-2-1 啟動 HTTP 協定監聽服務

1. 點擊 [Parameters] →[Bandwidth Accounting] →[App Audit Log]

圖 19-8

表 19-5

欄位說明

Audit Service 啟動 (Enabled)或停止 (Disabled)監聽服務

Application Protocols 要監聽哪個應用程式協定

Sniffing on Devices 監聽哪個系統網路介面上的資料流量，需注意的是，只能點

選一個系統網路介面以進行監聽


484



19-2-2 檢視本機 HTTP 協定監聽記錄

1. 點擊[View Logs]→[App Audit Logs]

圖 19-9

表 19-6

欄位說明

No. HTTP 監聽記錄排序編號，以時間採降冪方式排列，因此最新的記錄永遠都會

在第一筆

Time HTTP 監聽記錄時間

Source Host 來源主機

Destination Host 目的主機

Dest Port 目的埠，一般為 80 port (HTTP)

HOST 目的網站名稱 (Server Name)

URL 網址

485



Chapter 20 系統資源

系統資源可提供 1、系統狀態、2、系統連線、3、網卡流量與 4、GRE 通道等資

訊，而每項資訊又可依每天、每周、每月、每年來做統計圖表。如圖 20-1。

圖 20-1

表 20-1

功能描述

System Status 系統狀況，包含 CPU 使用率 (CPU Utilization)、系統負載(System

Loading)、剩餘記憶體 (Free Memory)、即時連線數 (Concurrent

Connections)、線上主機（Concurrent Hosts）

Connections 網路連線數，包含 TCP 連線數、UDP 連線數、ICMP 連線數

Ethernet Traffic 網卡流量，依網卡做為流量圖表分析基準

GRE Tunnel GRE 通道流量

486



20-1 系統狀態

系統狀態主要在提供 1、CPU 使用率、2、系統負載、3、剩餘記憶體、4、即時

連線數、5、線上主機等資訊。可於管理介面上，[View Logs] → [System Resources]

→ [System Status]檢視，如圖 20-2。綠色線條代表來源主機 (source hosts) 統計，

藍色線條代表目的地主機 (destination hosts) 統計。

487



圖 20-2

CPU 使用率

顯示系統的 CPU 使用情況，百分比越高表示 CPU 的負載越高

系統負載 (System Load)

提供系統整體負戴情形，數值越高表示負戴越重，一般情況不會超過 5

剩餘記憶體 (Free Memory)

系統剩餘可用記憶體，數值越高代表可供使用的記憶體越多

即時連線數 (Concurrent Connections)

系統目前的總連線數

線上主機（Concurrent Hosts）

系統目前的連線主機數

488



20-2 系統連線

系統連線，在觀察 1、TCP 連線數、2、UDP 連線數、3、ICMP 連線數情形，可

於管理介面點擊 [View Logs] → [System Resources] → [Connections]，可檢視其

資訊，如圖 20-3。

圖 20-3

TCP 連線數

顯示系統 TCP 總連線數

UDP 連線數

顯示系統 UDP 總連線數

ICMP 連線數

顯示系統 ICMP 總連線數

489



20-3 網卡流量

於管理介面點擊[View Logs] → [System Resources] →[Ethernet Traffic]，由於是以

網卡做為流量分析基準，因此系統有多少張網卡就會出現多少張圖表，如圖

20-10。綠色線條代表接收流量 (Incoming，Rx) 統計，藍色線條代表傳送流量

(Outgoing，Tx) 統計。

圖 20-4

490



20-4 檢視 GRE 通道流量

於管理介面點擊[View Logs] → [System Resources] → [GRE Tunnel]，系統會顯示

目前在使用中的 GRE 通道圖表，如圖 20-5。綠色線條代表接收流量 (Incoming，

Rx) 統計，藍色線條代表傳送流量 (Outgoing，Tx) 統計。

圖 20-5

491



Chapter 21 歷史紀錄

PowerFamily 提供兩種紀錄型態，1、連線紀錄，關於連線嘗詴至 PowerFamily 或

經由 PowerFamily 之連線。2、系統紀錄，除了防火牆連線紀錄之外的所有紀錄

。總共有 13 項歷史紀錄，分別為系統資源、Console 登入紀錄、WebAdmin 登入

紀錄、設定變更紀錄、安全紀錄、系統運作紀錄、動態封鎖紀錄、連線紀錄、

RAS 登入紀錄、DAC 登入紀錄、應用層稽核紀錄、ARP 協定紀錄、IDS/IDP 事

件紀錄。歷史紀錄，以圖表方式呈現，讓管理者可以清楚獲得相關資訊。在管理

介面點選[View Logs]，如圖 21-1。

圖 21-1

表 21-1

子模組說明

System Resources 顯示系統資源，如系統狀態、系統連線、網卡流量與 GRE

通道

492



Console Login Logs 以 SSH 或是以 Console 線認證進入文字管理介面之記錄

WebAdmin LoginLogs 以 Web 介面認證登入管理介面之記錄

Configuration Logs 系統設定變更記錄，包含時間改變、IP 位址設定等

Security Logs 系統安全組態設定改變之事件記錄

Operation Logs 記錄系統運作，如時間校正紀錄、系統開關機紀錄等

Dyamic Block Logs 任何可疑主機之阻絕記錄

Connection Logs 封包連線記錄

RAS Access Logs PPTP/L2TP VPN 存取記錄

DAC Login Logs DAC 存取記錄

App Audit Logs 應用層稽核記錄

ARP Protocol Login Logs 記錄每張網卡的 ARP 封包

IDS/IDP Incidents IDS/IDP 事件記錄

系統預設已經啟用所有事件紀錄功能。若要將記錄傳至外部主機，則點選[System]

→[Log]，設定安全紀錄日誌主機或是連線紀錄日誌主機 IP，若有PowerLog產品，

則是在 PowerLog 的欄位輸入 IP 與 Port。如圖 21-2。

圖 21-2

493



表 21-2

系統紀錄設定描述

安全紀錄日誌主機除了防火牆連線紀錄之外的所有紀錄將傳送至該日誌主機

連線紀錄日誌主機所有防火牆連線紀錄將傳送至該日誌主機

PowerLog 安全紀錄

日誌主機

除了防火牆連線紀錄之外的所有紀錄將傳送至 PowerLog

主機

PowerLog 連線紀錄

日誌主機

所有防火牆連線紀錄將傳送至該 PowerLog 主機

事件類型型態

1、Auth：Console Logs、WebAdmin Logs

2、System：系統 Logs

3、Security：安全 Logs

4、Connection：安全政策連線 Logs

494



21-1 系統資源

請參考 Chapter 20

21-2 Console 登入紀錄

[Console Logs] 記錄任何以 SSH 或是 Console 線認證進入 PowerFamily 之文

字介面。任何不管是成功或是失敗之登入記錄均會被記錄下來。如圖 21-3。

圖 21-3

表 21-3

欄位說明

No 記錄排序編號，以事件時間採降冪方式排列，最新的記錄永遠都會在第一筆

Time 事件發生的日期與時間

ID 每一個事件的事件 ID

Type 事件型態、SSH 或 CONSOLE

Account 該使用者之登入帳號，若為空值則代表該使用者無入輸帳號名稱

Source 該登入使用者之來源位址

Message 事件資訊，如 ”Illegal users”，“Failed passowrd” 及 ”Accepted password for

root” 等

◎ 為了保持紀錄，請在重開機 PowerFamily 前，點按頁面右上的[SAVE]以保存

設定檔。而記錄筆數是有限制的，會隨著時間的增加，在達到臨界點時自動

從最舊的那筆記錄開始移除並加入新的記錄。

495



21-3 WebAdmin 登入紀錄

[WebAdmin Logs] 記錄任何以瀏覽器認證進入 PowerFamily 之 Web 介面。任何

不管是成功或是失敗之登入記錄均會被記錄下來，如圖 21-4。

圖 21-4

表 21-3

欄位說明




Type 在此都是“WebAdmin”



Message 事件資訊，如 ”Illegal users”，“Failed passowrd” 及 ”Accepted password for

root” 等

◎ 為了保持紀錄，請在重開機 PowerFamily 前，點按頁面右上的[SAVE]以保存

設定檔。而記錄筆數是有限制的，會隨著時間的增加，在達到臨界點時自動

從最舊的那筆記錄開始移除並加入新的記錄。

496



21-4 Configuration Logs

[Configuration Logs] 記錄系統異動紀錄，如圖 21-4。

圖 21-4

表 21-4

欄位說明




Type 記錄系統異動紀錄，如”Upgrade” 、”Language” 、”Service”等



Message 事件資訊，如 ” modified [Host-Policy] => [Application Layer]”，“„Save Running

Config to Bootup Config‟ action 等。

497



21-5 Security Logs

[Security Logs] 系統安全組態設定改變之事件記錄，如 [Interface Priority]、

[Security Policy]、[Inbound Policy]等，如圖 21-5。

圖 21-5

表 21-5

欄位說明




Type 主要是針對系統安全組態做紀錄類型

Account 該使用者之登入帳號


Message 事件資訊，如”modified [Outbound Policy]”、” edited the object

[4FF4F9E0532F06143059327]”。

498



21-6 Operation Logs

[Operation Logs]在紀錄系統運作上的情形，例如 SLB、NTP、RAS、CRL 等，如

圖 21-6。

圖 21-6

表 21-6

欄位說明

No 記錄排序編號，以事件時間採降冪方式排列，因此最新的記錄永遠都會

在第一筆

事件時間事件發生的日期與時間

事件 ID 每一個事件的事件 ID

事件類型此事件所歸屬的事件型態

事件訊息事件資訊如” Real server 192.168.7.14 for [61.222.81.195:tcp@3389] is

down”

499



21-7 Dynamic Block Logs

[Dynamic Block Logs]主要是顯示違反連線頻率限制的資訊。例如被封鎖的時間、

主機名稱、封鎖原因等，如圖 21-7

圖 21-7

表 21-7

欄位說明

No 記錄排序編號，以事件時間採降冪方式排列，因此最新的記錄永

遠都會在第一筆

事件時間事件發生的日期與時間

動作目前的狀況

主機位址該被封鎖的使用者之主機位址

開始封鎖時間達到門檻值，開始封鎖的時間

封鎖時間預計封鎖的時間

說明事件資訊

500



21-8 Connection Logs

[Connection Logs]主要用來記錄連線資訊，例如符合安全政策規則，可以依據不

同的項目來查詢，如時間、命中的規則種類、動作等，如圖 21-8。

圖 21-8 表 21-8

欄位說明編號記錄排序編號，以事件時間採降冪方式排列。

時間事件發生的日期與時間引擎代表對應何種規則，如 SP - Security Policy 規則哪條防火牆規則 (Security Policy) 開啟了連線記錄功能動作此連線所觸發的防火牆動作，分為 Allow、Deny、Log 協定該連線所使用的通訊協定來源位址連線來源 IP 位址來源埠/iType 連線來源埠 (若通訊協定為 ICMP 則為 ICMP Type) 目的地位址連線目的 IP 位址目的埠/iCode 連線目的埠 (若通訊協定為 ICMP 則為 ICMP Code) 入封包所進入的網卡卡號出封包離開的網卡卡號

501



啟用方式有兩種：啟用網路介面優先權的”紀錄連線存取嘗詴”，或在安全政策中

勾選連線記錄，當符合規則時，都可在連線紀錄中查詢。如圖 21-9 與圖 21-10。

圖 21-9

圖 21-10

502



21-9 RAS Access Logs

[RAS Access Logs]紀錄利用 RAS VPN 撥號，且已結束的連線，如圖 21-11。若

要觀察進行中的連線，需至[View Status] →[RAS Access Status]，才可看到相關資

訊。

圖 21-11

表 21-11

欄位說明

使用者該使用者之登入帳號

連線裝置該使用者登入，使用何種連線方式

登入時間該使用者，登入的時間

登出時間該使用者，登出的時間

連線時間該連線所使用的持續時間

資料傳送/接收該使用者登入後傳送與已接收資料量

連線來源該登入使用者之來源位址

分配 IP 位址使用者登入 RAS 後，被指派的遠端 IP 位址

503



21-10 DAC Login Logs

[DAC Login Logs] 紀錄利用 DAC 認證使用網路，且已結束的連線，如圖 21-12。

若要觀察進行中的連線，需至[View Status] →[DAC Login Status]，才可看到相關

資訊。

圖 21-12

表 21-12

欄位說明

使用者該使用者之登入帳號

認證該使用者，使用何種認證方式

IP 位址該位使用者的 IP

MAC 該位使用者的 MAC

登入時間該使用者，登入的時間

登出時間該使用者，登出的時間

線上停留時間該連線所使用的持續時間

資料傳送/接收該使用者登入後傳送與已接收資料量

登出原因該位使用者登出原因

認證閘道器使用何種認證閘道器

504



21-11 App Audit Logs

[App Audit Logs]針對 http 連線方式來做稽核，紀錄瀏覽過的網站。預設此功能

未啟用，開啟方式為[Parameters] →[Bandwidth Accounting] →[App Audit Log]，

將服務啟用，勾選 http 稽核協定以及需要監聽的網路介面，如圖 21-13。

圖 21-13

啟用後，便可透過 PowerFamily 觀察瀏覽的網站有哪些，點選[View Logs]→[App

Audit Logs]，如圖 21-14。

505



圖 21-14

表 21-13

欄位說明

No. HTTP 監聽記錄排序編號，以時間採降冪方式排列。

系統時間 HTTP 監聽記錄時間。

來源主機紀錄來源主機 IP。

目的地主機紀錄目的主機 IP。

目的地埠目的地 Port，一般為 80 Port (HTTP)。

HOST 目的主機名稱。

URL 網址。

506



21-11 ARP Protocol Logs

[ARP Protocol Logs]紀錄關於 ARP 的封包資訊。需先將此服務開啟，如圖

21-15。

圖 21-15

開啟紀錄之後，點選[View Logs]→[ARP Protocol Logs]，可觀看 ARP 封包紀錄與

ARP 紀錄清單，如圖 21-16 與圖 21-17。圖 21-16 可看到完整 ARP 封包的流

向紀錄，如發出封包的時間，發送者、接受者的 MAC 與 IP 位址，以及封包類

別。

507



圖 21-16

圖 21-17 可看到 ARP 紀錄的清單，如 IP、MAC 相對應位址，是由哪個網卡獲得

此資訊，以及更新的次數。

圖 21-17

508



21-12 IDS/IDP Logs

[IDS/IDP Logs]需先將此服務開啟，1、勾選需要偵測的網卡，如圖 21-18。2、

啟用紀錄功能，如圖 21-19。

圖 21-18

圖 21-19

開啟紀錄之後，點選[View Logs]→[IDS/IDP Incidents]，便可出現 IDS/IDP 的偵測

畫面，可看到偵測的類型、來源數目與目的地數目等，如圖 21-20。也可將記錄

下載，或是查看該條偵測的詳細內容，如圖 21-21。

509



圖 21-20

圖 21-21

510



Chapter 22 PowerFamily 記錄格式

22-1 簡介

PowerFamily 目前提供兩種型態的系統記錄，連線記錄與系統記錄，如表 22-1

所示：

表 22-1

記錄型態說明範例

連線記錄連至 PowerFamily 或是

經由 PowerFamily 之網

路連線嘗詴記錄

TCP/UDP/ICMP 連線

系統記錄除了連線記錄以外之其它

記錄

Console/SSH/WebAdmin 登入嘗詴

系統政策規則變動

系統狀態相關記錄

22-1-1 連線記錄資料格式

連線記錄的記錄格式可分為三個部份，如表 22-2

記錄格式 = [General Info] + [Common Info] + [Specific Info]

表 22-2

記錄組成部份包含

General Info Host ID

Date

Time

Event ID

Common Info Rule No

Access Policy

Incoming Interface

Outgoing Interface

Specific Info Protocol Number

Source Address

Destination Address

Port Number [TCP/UDP Only]

Type/Code [ICMP Only]

511



22-1-2 系統記錄資料格式

系統記錄的記錄格式可分為二個部份，如表 22-3

記錄格式 = [General Info] + [Event Message]

表 22-3

記錄組成部份包含

General Info Host ID

Date

Time

Event ID

Event Message 關於事件的描述資料

512



22-2 記錄格式

本節將說明各個記錄組成部份內的欄位資訊

22-2-1 General Info (GI)

General Info (GI) 在連線記錄與系統記錄均會出現。每個欄位依表 22-4 的順序

依序出現，欄位與值中間加上一個 “=” 組成一對，每個 “欄位=值” 以空白做為

間隔。各欄位的說明如表 22-4

表 22-4

順序欄位格式 / 可能的值範例說明

1 HID 第一個系統網路介面之網卡

位址 (eth0)

HID=00:01:B6:32:51:59 PowerFamily 之識別碼

2 DATE 年/月/日 DATE=2007/03/15 事件發生的日期 The data on

which the event takes place.

3 TIME 時:分:秒 TIME=14:23:36 事件發生的時間點

4 EID 6 位數字 EID=000000 事件 ID，以獨立不重覆之 6

位數字代表系統事件

513



22-2-2 Common Info

Common Info (CI) 只出現於連線記錄。每個欄位依表 22-5 的順序依序出現，欄

位與值中間加上一個 “=” 組成一對，每個 “欄位=值” 以空白做為間隔。各欄位

的說明如表 22-5

表 22-5


1 FILTER SP FILTER=SP 政策名稱，目前此欄位的值只

只有 SP。SP 代表是 “Security

Policy”

2 RULE 4 位數字 RULE=0001 此連線記錄所在之 [安全政策]

規則號碼，0001 代表是第 1

條規則所啟用之連線記錄功能

3 ACTION ALLOW | DENY

|REJECT|LOG

ACTION=ALLOW 代表規則所設定之動作

ALLOW + LOG

DENY + LOG

REJECT + LOG

LOG

4 IN 網路裝置 IN=eth1 封包所進入之系統網路介面

5 OUT 網路裝置 OUT=eth3 封包所離開之系統網路介面

514



22-2-3 Specific Info

Specific Info (SI) 只出現於連線記錄。總共有三種型態之 Specific Info，TCP/UDP、

ICMP，及其它 (除了 TCP/UDP/ICMP 之外的通訊協定)。每個欄位依各型態之

Specific Info 所定義之順序依序出現，欄位與值中間加上一個 “=” 組成一對，

每個 “欄位=值” 以空白做為間隔。各欄位的說明如表 22-6、表 22-7，及表 22-8

表 22-6 Specific Info (SI) – TCP/UDP


1 PROTO TCP|UDP PROTO=TCP TCP 或 UDP

2 SRC IP 位址 SRC=192.168.6.153 連線來源 IP 位址

3 SPT 界於 0-65535 之數字 SPT=16752 連線來源埠

4 DST IP 位址 DST=192.168.3.3 連線目的 IP 位址

5 DPT 界於 0-65535 之數字 DPT=80 連線目的埠

表 22-7 Specific Info (SI) – ICMP


1 PROTO ICMP PROTO=ICMP

2 SRC IP 位址 SRC=192.168.6.153

3 DST IP 位址 DST=192.168.3.3

4 TYPE 數字型態 TYPE=0 ICMP type number

5 CODE 數字型態 CODE=0 ICMP code number

515



表 22-8 Specific Info (SI) – OTHER


1 PROTO 數字型態 PROTO=30 IP 標頭中的協定欄位值，值的範

圍為 0-255，但不包含 TCP、UDP

與 ICMP

2 SRC IP 位址 SRC=192.168.6.153 連線來源位址

3 DST IP 位址 DST=192.168.3.3 連線目的位址

516



22-2-4 Event Message

記錄格式 = [General Info] + [Event Message]

Event message 只出現於系統記錄，提供額外的文字訊息以描述該事件。如表

22-9 說明每個事件訊息所可能用到的變數

表 22-9 事件訊息變數 Variables for event messages.

變數說明

user_id 使用者名稱，格式：使用者名稱@來源 IP 位址，如：[email protected]

Action 物件動作，可能的值為：

added

modified

deleted

ObjName 防火牆物件，如： localhost，Internet-LAN

b_ts 系統時間改變前

a_ts 系統時間改變後

Tzone 系統時間，如：Asia/Taipei

upgrade_msg 關於更新動作訊息，如回復組態設定值與更新軔體

ssh_msg 關於 SSH 認證訊息，如錯誤密碼、成功登入，例：Accepted password for root

from 192.168.2.2 port 51253 ssh2

console_msg 關於 Console 認證訊息

ip_address 主機 IP 位址

◎ 範例請參考 22-3 及 22-4 節

517



22-2-5 事件 ID 介紹

如圖 22-1，每個事件訊息為以 6 位數字之事件 ID 所組成，以每 2 個數字為

一組，分別代表 Category、Type 與 Incident

圖 22-1

Category: 目前共有三個 categories

表 22-10

Category 名稱

00 SECURITY

01 SYSTEM

02 AUTH

而依每個 Category，接著會有以 2 個數字所組成之 Type。如表 22-11，

Category 00 只有一個被定義的 Type

表 22-11

Category Type 名稱

00 00 Firewall

518



如表 22-12，Category 01 有 14 個被定義的 Type

表 22-12

Category Type 名稱

01 00 Bootup

01 01 Time

01 02 Language

01 03 Log

01 04 Services

01 05 Upgrade

01 06 Admins

01 07 Net

01 08 Options

01 09 DDNS

01 10 QoS

01 11 CRL

01 12 SLB

01 13 L7 Filter

如表 22-13，Category 02 有 3 個被定義的 Type

表 22-13

Category Type Name

02 00 WebAdmin

02 01 SSH

02 02 Console

519



22-3 事件 ID 列表

以下列依序列出 PowerFamily 所有的事件 ID (EID)，及其事件訊息

Event Category: SECURITY (00) Event Type: Firewall (00)

EID Event Message

000000 connection_log_msg

000001 user_id performed „Firewall reload‟

000002 user_id performed „Firewall Stop‟

000003 user_id performed „Firewall Start‟

000004 user_id modified [Interface Priority]

000005 user_id modified [Security Policy]

000006 user_id modified [Outbound Policy]

000007 user_id modified [Inbound Policy]

000008 user_id action the object [ObjName]

Event Category: SYSTEM (01) Event Type: Bootup (00)

EID Event Message

010000 System is starting up

010001 System has completed the startup process

Event Category: SYSTEM (01) Event Type: Time (01)

EID Event Message

010100 user_id modified system time [From b_ts To a_ts]

010101 user_id modified system timezone [New Time Zone: tzone]

Event Category: SYSTEM (01) Event Type: Language (02)

EID Event Message

010200 user_id modified [System] => [Language]

520



Event Category: SYSTEM (01) Event Type: Log (03)

EID Event Message

010300 user_id modified [System] => [Log]

Event Category : SYSTEM (01) Event Type : Services(04)

EID Event Message

010400 user_id modified the operation status of system services

Event Category: SYSTEM (01) Event Type: Upgrade (05)

EID Event Message

010500 user_id + msg_text

010501 user_id performed the „Save Config‟ action

Event Category : SYSTEM (01) Event Type : Admins (06)

EID Event Message

010600 user_id modified [System] => [Admins]

Event Category: SYSTEM (01) Event Type: Net (07)

EID Event Message

010700 user_id modified [Network Interfaces]

010701 user_id modified GRE Tunnels in [Network] => [Network Interfaces]

010702 user_id modified PPTP Tunnels in [Network] => [Interfaces]

010703 user_id modified Bridge Devices in [Network] => [Network Interfaces]

010704 user_id modified [Routing and Gateways]

010705 user_id modified [ARP Cache Table]

010706 user_id modified [DNS Client]

010707 user_id modified [Host Address]

521



Event Category: SYSTEM (01) Event Type: Options (08)

EID Event Message

010800 user_id modified the parameters of [Link Detection]

010801 user_id modified the parameters of [Notification Email]

010802 user_id modified the parameters of [Intrusion Detection]

010803 user_id modified the parameters of [Inbound Fault Tolerance]

010804 user_id modified the parameters of [Bandwidth Accounting]

010805 user_id modified the parameters of [DAC Parameters]

010806 user_id modified the parameters of [Smart QoS]

010807 user_id modified the parameters of [Persistent Routing]

Event Category: SYSTEM (01) Event Type: DDNS (09)

EID Event Message

010900 user_id performed „Update DDNS Record‟ action

010901 user_id modified the records of DDNS

Event Category: SYSTEM (01) Event Type: QoS (10)

EID Event Message

011000 user_id modified [Connection-Policy]

011001 user_id modified [Host-Policy QoS] => [Match Policy]

011002 user_id modified [Host-Policy QoS] => [Static-Rule]

011003 user_id modified [Host-Policy] => [P2P-Rule]

011004 user_id modified [Host-Policy] => [Bypass-Rule]

Event Category: SYSTEM (01) Event Type: CRL (11)

EID Event Message

011100 user_id modified [Connection Rate Limit]

522



Event Category: SYSTEM (01) Event Type: SLB (12)

EID Event Message

011200 user_id modified [Server Load Balance]

Event Category: SYSTEM (01) Event Type: L7 Filter (13)

EID Event Message

011300 user_id modified [L7 App Filter] => [P2P File Sharing]

011301 user_id modified [L7 App Filter] => [Instant Messaging (IM)]

Event Category: AUTH (02) Event Type: WebAdmin (00)

EID Event Message

020000 user_id logged out successfully.

020001 user_id logged in successfully.

020002 user_id failed to log in [Invalid User].

020003 user_id failed to log in [Invalid Password].

Event Category: AUTH (02) Event Type: SSH (01)

EID Event Message

020100 Accepted password for user_id from ip_address

020101 Failed password for user_id from ip_address

020102 Illegal user user_id from ip_address

020103 Illegal user from ip_address

020104 Did not receive identification string from ip_address

Event Category: AUTH (02) Event Type: Console (02)

EID Event Message

020200 user_id login on serial console

020201 FAILED LOGIN FROM console FOR user_id, Authentication failure

020202 FAILED LOGIN FROM console FOR user_id, User not known to the underlying

authentication module

020203 FAILED LOGIN SESSION FROM console FOR , User not known to the underlying

authentication module

523



22-4 事件 ID 範例

如表 22-14，依序列出 PowerFamily 所有的事件 ID (EID)，及其事件記錄範例

表 22-14

EID Event

000000 HID=00:03:2D:09:03:2F DATE=2007/04/06 TIME=01:10:16 EID=000000

FILTER=SP RULE=0003 ACTION=ALLOW IN=eth1 OUT= PROTO=ICMP

SRC=192.168.6.254 DST=192.168.6.153 TYPE=0 CODE=0

HID=00:03:2D:09:03:2F DATE=2007/04/06 TIME=01:10:50 EID=000000

FILTER=SP RULE=0004 ACTION=DENY IN=eth2 OUT=eth1 PROTO=TCP

SRC=192.168.2.2 SPT=51081 DST=59.120.53.74 DPT=110

HID=00:03:2D:09:03:2F DATE=2007/04/03 TIME=12:47:01 EID=000000

FILTER=SP RULE=0005 ACTION=LOG IN=eth2 OUT=eth1 PROTO=UDP

SRC=192.168.2.2 SPT=49829 DST=85.68.53.151 DPT=4660

000001 HID=00:10:F3:0D:44:68 DATE=2007/04/05 TIME=23:15:34 EID=000001

[email protected] performed 'Firewall Reload'


[email protected] performed 'Firewall Stop‟


[email protected] performed 'Firewall Start


[email protected] modified [Interface Priority]


[email protected] modified [Security Policy]


[email protected] modified [Inbound Policy]


[email protected] modified [Outbound Policy]


[email protected] modified the object [HGiga-NET]

HID=00:10:F3:0D:44:68 DATE=2007/04/06 TIME=01:04:30 EID=000008

[email protected] deleted the object [tset]

010000 System is starting up

010001 System has completed the startup process


[email protected] modified system time [From 2007/04/05 23:18:29 To

2007/04/05 23:20:28]


524



[email protected] modified system timezone [New Time Zone:

Asia/Singapore]


[email protected] modified [System] => [Language]


[email protected] modified [System] => [Log]


[email protected] modified the operation status of system services


[email protected] performed the configuration restore action

HID=00:10:F3:0D:44:68 DATE=2007/04/06 TIME=00:35:58 EID=010500

[email protected] performed the firmware upgrade action


[email protected] performed the 'Save Config' action


[email protected] modified [System] => [Admins]


[email protected] modified [Network Interfaces]


[email protected] modified GRE Tunnels in [Network] => [Network

Interfaces]


[email protected] modified PPTP Tunnels in [Network] => [Network

Interfaces]


[email protected] modified Bridge Devices in [Network] => [Network

Interfaces]


[email protected] modified [Routing and Gateways]


[email protected] modified [ARP Cache Table]


[email protected] modified [DNS Client]


[email protected] modified [Host Addresses]


[email protected] modified the parameters of [Link Detection]


525



[email protected] modified the parameters of [Notification Email]

010802 user_id modified the parameters of [Intrusion Detection]

010803 HID=00:D0:68:05:D7:48 DATE=2007/04/05 TIME=23:28:06 EID=010803

[email protected] modified the parameters of [Inbound Fault Tolerance]


[email protected] modified the parameters of [Bandwidth Accounting]


[email protected] modified the parameters of [DAC Parameters]


[email protected] modified the parameters of [Smart QoS]


[email protected] modified the parameters of [Persistent Routing]


[email protected] performed 'Update DDNS Record' action


[email protected] modified the records of DDNS


[email protected] modified [Connection-Policy]


[email protected] modified [Host-Policy QoS] => [Match Policy]


[email protected] modified [Host-Policy QoS] => [Static-Rule]


[email protected] modified [Host-Policy] => [P2P-Rule]


[email protected] modified [Host-Policy] => [Bypass-Rule]


[email protected] modified [Connection Rate Limit]


[email protected] modified [Server Load Balance]


[email protected] modified [L7 App Filter] => [P2P File Sharing]


[email protected] modified [L7 App Filter] => [Instant Messaging (IM)]


[email protected] logged out successfully.


[email protected] logged in successfully.

526




[email protected] failed to log in [Invalid User].


[email protected] failed to log in [Invalid Password].


MSG=Accepted password for root from 192.168.16.23 port 4376 ssh2


MSG=Failed password for root from 192.168.16.23 port 4551 ssh2


MSG=Illegal user maggie from 192.168.16.23


MSG=Illegal user from 192.168.16.23

020104 HID=00:10:F3:0D:44:68 DATE=2007/04/05 TIME=23:42:07 EID=020104 MSG=

Did not receive identification string from 192.168.16.23


MSG=root login on serial console


MSG=FAILED LOGIN 1 FROM (console) FOR root. Authentication failure


MSG=FAILED LOGIN 3 FROM (console) FOR maggie. User not known to the

underlying authentication module


MSG=FAILED LOGIN SESSION FROM (console) FOR . User not known to the

underlying authentication module

527



powerstation 使用手冊桓基科技股份有限公司

Documents