安讯士 AXIS A1610-B 网络门控制器 - 用户手册 设置指南

Chrome^™

Firefox^®

Edge^TM

Safari^®

Windows^®

macOS^®

Linux^®

其他操作系统

显示或隐藏主菜单。

访问发行说明。

访问产品帮助页。

更改语言。

设置浅主题或深色主题。

用户菜单包括：

• 有关登录用户的信息。

• 更改账户： 从当前账户退出，然后登录新账户。

• 退出： 从当前账户退出。

上下文菜单包括：

• 分析数据： 接受共享非个人浏览器数据。

• 反馈： 分享反馈，以帮助我们改善您的用户体验。

• 法律： 查看有关 Cookie 和牌照的信息。

• 关于： 查看设备信息，包括固件版本和序列号。

• 旧设备界面: 将设备网页界面更改为旧版本。

NTP 设置： 查看并更新 NTP 设置。 转到可更改 NTP 设置的日期和时间页面。

升级固件： 升级设备上的固件。 转到在其中进行固件升级的维护页面。

设备行为： 打开当检测到设备移动时在系统中触发警报。

外壳打开： 打开当检测到门禁控制器的外壳打开时在系统中触发警报。 关闭裸机门禁控制器的此设置。

外部篡改： 当检测到外部篡改时，打开以在系统中触发警报。 例如，当外部机柜打开或关闭时。

• 监控输入： 打开以监控输入状态，并配置线路上的电阻。

• • 要使用并联首次连接，请选择带有 22 KΩ 并联电阻器和 4.7 KΩ 串联电阻器的并联首次连接。

  • 要使用串行首次连接，请选择串行首次连接，然后从电阻值下拉列表中选择电阻值。

升级读卡器： 单击将读卡器升级到新的固件版本。 只有受支持的读卡器在线时才能升级该功能。

同步： 选择设备日期和时间同步选项。

• 自动日期和时间（手动 NTS KE 服务器）： 与连接到DHCP服务器的安全NTP密钥建立服务器同步。

• • 手动 NTS KE 服务器： 输入一个或两个 NTP 服务器的 IP 地址。 当您使用两台 NTP 服务器时，设备会根据两者的输入同步并调整其时间。

• 自动日期和时间（使用 DHCP 的 NTP 服务器）： 与连接到 DHCP 服务器的 NTP 服务器同步。

• • 备用 NTP 服务器： 输入一个或两个备用服务器的 IP 地址。

• 自动日期和时间（手动 NTP 服务器）： 与您选择的 NTP 服务器同步。

• • 手动 NTP 服务器： 输入一个或两个 NTP 服务器的 IP 地址。 当您使用两台 NTP 服务器时，设备会根据两者的输入同步并调整其时间。

• 自定义日期和时间： 手动设置日期和时间。 单击从系统获取以从计算机或移动设备获取日期和时间设置。

时区： 选择要使用的时区。 时间将自动调整为夏令时和标准时间。

• DHCP： 采用 DHCP 服务器的时区。 设备必须连接到 DHCP 服务器，然后才能选择此选项。

• 手动： 从下拉列表中选择时区。

自动分配 IPv4： 选择此设置可让网络路由器自动分配设备的 IP 地址。 我们建议大多数网络采用自动 IP（DHCP）。

IP 地址： 为设备输入唯一的 IP 地址。 在独立的网络中可随机分配静态 IP 地址，只要每个指定地址是仅有的。 为避免冲突，建议在分配静态 IP 地址前联系网络管理员。

子网掩码： 输入子网掩码，以定义局域网内的地址。 局域网之外的地址都通过路由器。

路由器： 输入默认路由器（网关）的 IP 地址用于连接已连接至不同网络和网段的设备。

如果 DHCP 不可用，退回到静态 IP 地址: 如果希望在 DHCP 不可用且无法自动分配 IP 地址时，添加静态 IP 地址用作备用，请选择此项。

自动分配 IPv6： 选择打开 IPv6 并让网络路由器自动分配设备的 IP 地址。

自动分配主机名称： 选择让网络路由器自动分配设备的主机名称。

主机名： 手动输入主机名称，作为访问设备的另一种方式。 服务器报告和系统日志使用主机名。 允许的字符是 A–Z, a–z, 0–9 和 -。

自动分配 (DNS): 选择以让 DHCP 网络路由器自动向设备分配搜索域和 DNS 服务器地址。 我们建议大多数网络采用自动 DNS（DHCP）。

搜索域： 当您使用不完全合格的主机名时，请单击添加搜索域并输入一个域，以在其中搜索设备使用的主机名称。

DNS 服务器： 单击添加 DNS 服务器并输入 DNS 服务器的 IP 地址。 此服务器提供主机名到网络上 IP 地址的转换。

允许访问浏览： 选择是否允许用户通过 HTTP、HTTPS 或同时通过 HTTP 和 HTTPS 协议连接到设备。

HTTP 端口： 输入要使用的 HTTP 端口。 设备允许端口 80 或范围 1024-65535 中的端口。 如果您以管理员身份登录，则您还可以输入 1-1023 范围内的端口。 如果您使用此范围内的端口，您将得到一个警告。

HTTPS 端口： 输入要使用的 HTTPS 端口。 设备允许端口 443 或范围 1024-65535 中的端口。 如果您以管理员身份登录，则您还可以输入 1-1023 范围内的端口。 如果您使用此范围内的端口，您将得到一个警告。

证书： 选择要为设备启用 HTTPS 的证书。

Bonjour^®： 打开允许在网络中执行自动发现。

Bonjour 名称： 键入要在网络中显示的昵称。 默认名称为设备名加 MAC 地址。

UPnP^®： 打开允许在网络中执行自动发现。

UPnP 名称： 键入要在网络中显示的昵称。 默认名称为设备名加 MAC 地址。

WS 发现： 打开允许在网络中执行自动发现。

允许 O3C：

• 一键式： 这是默认设置。 按住设备上的控制按钮，以通过互联网连接到 O3C 访问。 按下控制按钮后 24 小时内，您需要向 O3C 服务注册设备。 否则，设备将从 O3C 服务断开。 一旦您注册了设备，一直将被启用，您的设备会一直连接到 O3C 服务。

• 一直： 设备将不断尝试通过互联网连接到 O3C 服务。 一旦您注册了设备，它会一直连接到 O3C 服务。 如果无法够到设备上的控制按钮，则使用此选项。

• 否： 禁用 O3C 服务。

代理设置： 如果需要，请输入代理设置以连接到代理服务器。

主机： 输入代理服务器的地址。

端口： 输入用于访问的端口数量。

登录和密码： 如果需要，请输入代理服务器的用户名和密码。

身份验证方法：

• 基本： 此方法是 HTTP 兼容的身份验证方案。 它的安全性不如摘要 方法，因为它将用户名和密码发送到服务器。

• 摘要： 此方法一直在网络中传输加密的密码，因此更安全。

• 自动： 借助此选项，可使设备根据支持的方法自动选择身份验证方法。摘要方法优先于基本方法。

拥有人身份验证密钥 (OAK): 单击获取密码以获取拥有人的身份验证密钥。 只有在没有防火墙或代理的情况下设备连接到互联网时，才可能发生这种情况。

SNMP: 选择要使用的 SNMP 版本。

• v1 和 v2c:

• • 读取团体： 输入可只读访问支持的 SNMP 物体的团体名称。 缺省值为公共。

  • 编写社区： 输入可读取或写入访问支持全部的 SNMP 物体（只读物体除外）的团体名称。 缺省值为写入。

  • 激活陷阱： 打开以激活陷阱报告。 该设备使用陷阱发送重要事件或更改状态的消息到管理系统。 在网页界面中，您可以设置 SNMP v1 和 v2c 的陷阱。 如果您更改为 SNMP v3 或关闭 SNMP，陷阱将自动关闭。 如果使用 SNMP v3，则可通过 SNMP v3 管理应用程序设置陷阱。

  • 陷阱地址： 输入管理服务器的 IP 地址或主机名。

  • 陷阱团体： 输入设备发送陷阱消息到管理系统时要使用的团体。

  • 陷阱:

  • • 冷启动： 设备启动时发送陷阱消息。

    • 热启动： 更改 SNMP 设置时发送陷阱消息。

    • 连接： 链接自下而上发生变更时，发送陷阱消息。

    • 身份验证失败： 验证尝试失败时，发送陷阱消息。

• v3: SNMP v3 是一个提供加密和安全密码的更安全版本。 若要使用 SNMP v3，我们建议激活 HTTPS，因为密码将通过 HTTPS 发送。 这还会防止未授权方访问未加密的 SNMP v1 及 v2c 陷阱。 如果使用 SNMP v3，则可通过 SNMP v3 管理应用程序设置陷阱。

• • “initial” 账户密码: 输入名为‘initial’的账户的 SNMP 密码。 尽管可在不激活 HTTPS 的情况下发送密码，但我们不建议这样做。 SNMP v3 密码仅可设置一次，并且推荐仅在 HTTPS 启用时。 一旦设置了密码，密码字段将不再显示。 要重新设置密码，则设备必须重置为出厂默认设置。

查看详细信息： 查看和更新已连接客户端列表。 该列表显示了每个连接的 IP 地址、协议、端口、状态和 PID/进程。

证书用于对网络上的设备进行身份验证。 该设备支持两种类型的证书：

• 客户端/服务器证书

  客户端/服务器证书用于验证设备身份，可以是自签名证书，也可以是由证书颁发机构颁发的证书。 自签名证书提供有限的保护，可在获得 CA 颁发的证书之前使用。

• CA 证书

  您可以使用 CA 证书来验证对等证书，例如，在设备连接到受 IEEE 802.1X 保护的网络时，用于验证身份验证服务器的身份。 设备具有几个预装的 CA 证书。

支持以下格式：

• 证书格式： .PEM、.CER、.PFX

• 私钥格式： PKCS#1 和 PKCS#12

添加证书： 单击添加证书。

• 更多： 显示更多要填充或选择的栏。

• 安全密钥库： 选择使用安全元件或可信平台模块 2.0 来安全存储私钥。 有关选择哪个安全密钥库的更多信息，请转至 /en-us/axis-os#cryptographic-support。

• 秘钥类型： 从下拉列表中选择默认或其他加密算法以保护证书。

上下文菜单包括：

• 证书信息： 查看已安装证书的属性。

• 删除证书： 删除证书。

• 创建证书签名请求： 创建证书签名请求，发送给注册机构以申请数字身份证书。

安全密钥库：

• 安全元件 (CC EAL6+)： 选择使用安全元素来实现安全密钥库。

• 受信任的平台模块 2.0（CC EAL4+、FIPS 140-2 2 级）： 安全密钥库选择使用 TPM 2.0。

IEEE 802.1x 是针对基于端口的网络管理控制一种 IEEE 标准，可提供有线和无线网络设备的安全身份验证。 IEEE 802.1x 基于 EAP（可扩展身份验证协议）。

要访问受 IEEE 802.1x 保护的网络，网络设备必须对其自身进行身份验证。 该身份验证由身份验证服务器执行，通常是 RADIUS 服务器（例如，FreeRADIUS 和 Microsoft Internet Authentication Server）。

证书

在不配置 CA 证书时，这意味将禁用服务器证书验证，不管网络是否连接，设备都将尝试进行自我身份验证。

在使用证书时，在 Axis 的实施中， 设备和身份验证服务器通过使用 EAP-TLS（可扩展身份验证协议 - 传输层安全）的数字证书对其自身进行身份验证。

要允许设备访问通过证书保护的网络，您必须在设备上安装已签名的客户端证书。

身份验证方法： 选择用于身份验证的 EAP 类型。 默认选项是 EAP-TLS。EAP-PEAP/MSCHAPv2 是更安全的选项。

客户端证书： 选择客户端证书以使用 IEEE 802.1 x。 使用证书可验证身份验证服务器的身份。

CA 证书： 选择一个 CA 证书来验证身份验证服务器的身份。 未选择证书无时，无论连接到哪个网络，设备都将尝试进行自我身份验证。

EAP 身份： 输入与客户端的证书关联的用户标识。

EAPOL 版本： 选择网络交换机中使用的 EAPOL 版本。

使用 IEEE 802.1x: 选择以使用 IEEE 802.1 x 协议。

IEEE 802.1AE MACsec

IEEE 802.1AE MACsec 是一项针对媒体访问控制（MAC）安全性的 IEEE 标准，它定义了媒体访问独立协议无连接数据的机密性和完整性。

仅当您使用 EAP-TLS 作为身份验证方法时，这些设置才可用：

模式

• 动态 CAK / EAP-TLS： 默认选项。 安全连接后，设备会检查网络上的 MACsec。

• 静态 CAK /预共享密钥（PSK）： 选择以设置连接网络的密钥名称和值。

仅当您使用 EAP-PEAP/MSCHAPv2 作为身份验证方法时，这些设置才可用：

• 密码： 输入您的用户标识密码。

• Peap 版本： 选择网络交换机中使用的 Peap 版本。

• 标签： 选择 1 使用客户端 EAP 加密；选择 2 使用客户端 PEAP 加密。 选择使用 Peap 版本 1 时网络交换机使用的标签。

正在阻止: 开启以阻止强力攻击。 强力攻击使用试验和错误来猜测登录信息或加密密钥。

阻止期: 输入阻止暴力攻击的秒数。

阻止条件: 输入在阻止开始之前每秒允许的身份验证失败次数。 您可设置页面级和设备级上所允许的失败次数。

激活： 打开防火墙。

• 默认策略： 选择防火墙的默认状态。

• 允许： 允许与设备的各连接。 默认情况下设置此选项。

• 拒绝： 拒绝与设备的各连接。

要对默认策略进行例外处理，您可以创建允许或拒绝从特定地址、协议和端口连接到设备的规则。

• 地址： 输入要允许或拒绝访问的 IPv4/IPv6 或 CIDR 格式的地址。

• 协议： 选择要允许或拒绝访问的协议。

• 端口： 输入要允许或拒绝访问的端口号。 您可以添加介于 1 和 65535 之间的端口号。

• 政策： 选择规则的策略。

: 单击创建另一个规则。

• 添加规则： 单击此项可添加已定义的规则。

• 时间（秒）： 设置测试规则的时间限制。 默认时间限制设置为 300 秒。 要立即激活规则，请将时间设置为 0 秒。

• 确认规则： 确认规则及其时间限制。 如果您将时间限制设置为 1 秒以上，则规则将在此期间处于活动状态。 如果您已将时间设置为 0，则规则将立即生效。

待处理规则： 您尚未确认的经过测试的新规则概述。

确认规则： 单击以激活挂起的规则。

活动规则： 当前在设备上运行的规则概述。

: 单击可删除活动规则。

: 单击可删除各规则，包括挂起规则和活动规则。

要在设备上安装来自 Axis 的测试固件或其他自定义固件，您需要自定义签名的固件证书。 证书验证固件是否由设备权利人和 Axis 批准。 固件只能在由其单一序列号和芯片 ID 标识的特定设备上运行。 只有 Axis 可以创建自定义签名固件证书，因为 Axis 持有对其进行签名的密钥。

安装： 单击安装以安装证书。 在安装固件之前，您需要安装证书。

上下文菜单包括：

• 删除证书： 删除证书。

添加账户： 单击以添加新账户。 您可以添加多达 100 个账户。

账户： 输入仅有的账户名称。

新密码： 输入账户的密码。 密码必须为 1 到 64 个字符长。 密码仅允许包含可打印的 ASCII 字符（代码 32-126），如字母、数字、标点符号和某些符号。

确认密码： 再次输入同一密码。

优先权：

• 管理员： 完全访问各设置。 管理员也可以添加、更新和删除其他账户。

• 操作员： 有权访问不同设置，以下各项除外：

• • 全部系统设置。

  • 添加应用。

• 浏览者： 无法访问更改设置。

上下文菜单包括：

更新账户： 编辑账户的属性。

删除账户： 删除账户。 无法删除根账户。

MQTT（消息队列遥测传输）是用于物联网（IoT）的标准消息协议。 它旨在简化 IoT 集成，并在不同行业中使用，以较小的代码需求量和尽可能小的网络带宽远程连接设备。 Axis 设备固件中的 MQTT 客户端可使设备中的数据和事件集成至非视频管理软件 (VMS) 系统的流程简化。

将设备设置为 MQTT 客户端。 MQTT 通信基于两个实体、客户端和中间件。 客户端可以发送和接收消息。 代理负责客户端之间路由消息。

您可在 AXIS OS Portal 中了解有关 MQTT 的更多信息 。

ALPN 是一种 TLS/SSL 扩展，允许在客户端和服务器之间的连接信号交换阶段中选择应用协议。 这用于在使用其他协议（如 HTTP）的同一个端口上启用 MQTT 流量。 在某些情况下，可能没有为 MQTT 通信打开专用端口。 这种情况下的解决方案是使用 ALPN 来协商将 MQTT 用作标准端口上的应用协议（由防火墙允许）。

连接： 打开或关闭 MQTT 客户端。

状态： 显示 MQTT 客户端的当前状态。

代理

主机： 输入 MQTT 服务器的主机名或 IP 地址。

协议: 选择要使用的协议。

端口： 输入端口编号。

• 1883 是 TCP 的 MQTT 的缺省值

• 8883 是 SSL 的 MQTT 的缺省值

• 80 是 WebSocket 的 MQTT的缺省值

• 443 是 WebSocket Secure 的 MQTT 的缺省值

ALPN 协议： 输入 MQTT 代理供应商提供的 ALPN 协议名称。 这仅适用于 SSL 的 MQTT 和 WebSocket Secure 的 MQTT。

用户名： 输入客户将用于访问服务器的用户名。

密码： 输入用户名的密码。

客户端 ID: 输入客户端 ID。 客户端连接到服务器时，客户端标识符发送给服务器。

清理会话: 控制连接和断开时间的行为。 选定时，状态信息将在连接及断开连接时被丢弃。

HTTP 代理： 最大长度为 255 字节的 URL。 如果您不想使用 HTTP 代理，则可以将该字段留空。

HTTPS 代理： 最大长度为 255 字节的 URL。 如果您不想使用 HTTPS 代理，则可以将该字段留空。

保持活动状态间隔: 让客户端能够在无需等待长 TCP/IP 超时的情况下，侦测服务器何时停用。

超时： 允许连接完成的时间间隔（以秒为单位）。 缺省值： 60

设备主题前缀： 在 MQTT 客户端选项卡上的连接消息和 LWT 消息中的主题缺省值中使用，以及在 MQTT 发布选项卡上的发布条件中使用。

自动重新连接： 指定客户端是否应在断开连接后自动重新连接。

连接消息

指定在建立连接时是否应发送消息。

发送消息: 打开以发送消息。

使用默认设置: 关闭以输入您自己的默认消息。

主题： 输入默认消息的主题。

有效负载: 输入默认消息的内容。

保留： 选择以保留此主题的客户端状态

QoS: 更改数据包流的 QoS 层。

终了证明消息

终了证明（LWT）允许客户端在连接到中介时提供证明及其凭证。 如果客户端在某点后仓促断开连接（可能是因为电源失效），它可以让代理向其他客户端发送消息。 此终了证明消息与普通消息具有相同的形式，并通过相同的机制进行路由。

发送消息: 打开以发送消息。

使用默认设置: 关闭以输入您自己的默认消息。

主题： 输入默认消息的主题。

有效负载: 输入默认消息的内容。

保留： 选择以保留此主题的客户端状态

QoS: 更改数据包流的 QoS 层。

使用默认主题前缀: 选择以使用默认主题前缀，即在 MQTT 客户端选项卡中的设备主题前缀的定义。

包括主题名称： 选择以包含描述 MQTT 主题中的条件的主题。

包括主题命名空间： 选择以将 ONVIF 主题命名空间包含在 MQTT 主题中。

包含序列号： 选择以将设备的序列号包含在 MQTT 有效负载中。

添加条件: 单击以添加条件。

保留： 定义将哪些 MQTT 消息作为保留发送。

• 无： 全部消息均以不保留状态发送。

• 性能： 仅将有状态消息作为保留发送。

• 全部: 将有状态和无状态消息发送为保留。

QoS: 选择 MQTT 发布所需的级别。

添加订阅: 单击以添加一个新的 MQTT 订阅。

订阅过滤器: 输入要订阅的 MQTT 主题。

使用设备主题前缀: 将订阅过滤器添加为 MQTT 主题的前缀。

订阅类型:

• 无状态: 选择以将 MQTT 消息转换为无状态消息。

• 有状态: 选择将 MQTT 消息转换为条件。 负载用作状态。

QoS: 选择 MQTT 订阅所需的级别。

端口

名称： 编辑文本来重命名端口。

方向： 指示端口是输入端口。指示它是一个输出端口。 如果端口可配置，则您可以单击这些图标以在输入和输出之间进行切换。

正常状态： 单击 开路，然后 闭路。

当前状态： 显示端口的当前状态。 在当前状态并非正常状态时，将激活输入或输出。 当断开连接或电压高于 1 V DC 时，设备上的输入为开路。

监控： 如果有人篡改连接到数字 I/O 设备，请打开，以侦测并触发操作。 除了侦测某个输入是否打开或关闭外，您还可以侦测是否有人篡改了该输入（即，剪切或短路）。 监控连接功能要求外部 I/O 回路中存在其他硬件（线尾电阻器）。

报告

• 查看设备服务器报告： 在弹出窗口中查看有关产品状态的信息。 服务器报告中自动包含访问日志。

• 下载设备服务器报告： 将创建一个 .zip 文件，其中包含 UTF–8 格式的完整服务器报告文本文件以及当前实时浏览的快照。 当您与支持人员联系时，请始终提供服务器报告 .zip 文件。

• 下载崩溃报告： 下载和存档有关服务器状态的详细信息。 崩溃报告中包含服务器报告中的信息和详细的调试信息。 此报告中可能包含网络跟踪之类敏感信息。 可能需要几分钟时间才生成此报告。

日志

• 查看系统日志： 单击以查看有关系统事件（如设备启动、警告和重要消息）的信息。

• 查看访问日志： 单击以查看访问设备的全部失败尝试，例如，使用了错误的登录密码。

通过记录网络上的活动，网络跟踪文件可帮助您排除问题。

跟踪时间： 选择以秒或分钟为单位的跟踪持续时间，并单击下载。

服务器： 单击以添加新服务器。

主机： 输入服务器的主机名或 IP 地址。

格式化： 选择要使用的 syslog 消息格式。

• Axis

• RFC 3164

• RFC 5424

协议： 选择要使用的协议：

• UDP（默认端口为 514）

• TCP（默认端口为 601）

• TLS（默认端口为 6514）

端口： 编辑端口号以使用其他端口。

严重程度： 选择触发时要发送哪些消息。

CA 证书已设置： 查看当前设置或添加证书。

重启： 重启设备。 这不会影响当前设置。 正在运行的应用程序将自动重启。

恢复： 将大部分设置恢复为出厂缺省值。 之后，您必须重新配置设备和应用，重新安装未预安装的应用，并重新创建事件和预设。

出厂默认设置： 将全部恢复为出厂缺省值。 之后，您必须重置 IP 地址，以便访问设备。

固件升级： 升级到新的固件版本。 新固件版本中可能包含改进的功能、补丁和新功能。 建议您始终使用更新版本。 要 下载更新版本，请转到 /support。

• 升级时，您可以在三个选项之间进行选择：

• 标准升级： 升级到新的固件版本。

• 出厂默认设置： 更新并将设置都恢复为出厂缺省值。 当您选择此选项时，无法在升级后恢复到以前的固件版本。

• 自动回滚： 在规定时间内升级并确认升级。 如果您没有确认，设备将恢复到以前的固件版本。

固件还原： 恢复为先前安装的固件版本。