(Microsoft Word - Vigor2110\250t\246CUBLink\252\251.doc)

Size: px

Start display at page:

Download "(Microsoft Word - Vigor2110\250t\246CUBLink\252\251.doc)"

轼蔺
6 years ago
Views:

1 Vigor2110 系列寬頻防火牆路由器使用手冊 UBLink 集團裕笠科技股份有限公司遠豐科技股份有限公司鉅創科技股份有限公司

2 目錄 1 前言網頁設定按鈕說明 LED 指示燈與介面說明 Vigor Vigor2110n Vigor2110Vn 硬體安裝... 8 腳座安裝印表機安裝基本設定二層管理進入網頁變更密碼快速設定精靈 PPPoE PPTP 固定 IP DHCP 線上狀態儲存設定使用者操作模式 Internet Access IP 網路的基本概念 PPPoE 固定或動態 IP PPTP/L2TP LAN 區域網路基本概念基本設定 NAT 通訊埠重導向 DMZ 主機設定開放通訊埠 ii

3 3.4 其他應用動態 DNS UPnP VoIP 撥號對應表 SIP 帳號 P 電話設定狀態無線區域網路設定基本觀念基本設定安全性設定連線控制無線用戶端列表系統維護系統狀態使用者密碼時間和日期重啟路由器我診斷工具 DHCP 表 Ping 自我診斷追蹤路由管理者操作模式網際網路連線控制網路的基本概念 PPPoE 固定或動態 IP PPTP/L2TP 區域網路區域網路基本概念基本設定固定路由綁定 IP 與 MAC 位址 NAT 通訊埠重導向 DMZ 主機設定開放通訊埠硬體加速防火牆防火牆基本常識基本設定 iii

4 4.5.3 過濾器設定 DoS 攻擊防禦功能設定物件和群組 IP 物件 IP 群組服務類型物件服務類型群組 CSM 設定檔頻寬管理 NAT 連線數限制頻寬限制服務品質 (QoS) 其他應用 Dynamic DNS 動態 DNS 排程 RADIUS UPnP 網路喚醒 (WOL) VPN 與遠端存取遠端存取控制 PPP 基本設定 IPSec 基本設定 IPSec 端點辨識遠端撥入使用者設定 LAN to LAN 連線管理憑證管理本機憑證具公信力之 CA 憑證憑證備份 VoIP 撥號對應表 SIP 帳號電話設定狀態無線區域網路設定基本觀念基本設定安全性設定連線控制 WPS WDS 搜尋無線基地台無線用戶端列表系統維護 iv

5 系統狀態系統管理員密碼設定備份 Syslog/ 郵件警示設定時間和日期管理重啟路由器韌體升級自我診斷工具撥號觸發器路由表 ARP 快取表 DHCP 表 NAT 連線數狀態表 Data Flow Monitor 資料流量監控 Ping 自我診斷追蹤路由應用與範例建立遠端辦公室與總公司之間的 LAN-to-LAN 連線建立工作者和總部之間的 VPN 遠端撥號連線 QoS 設定範例使用 NAT 來建立區域連線 VoIP 功能使用範例透過 SIP 伺服器撥打電話點對點撥打電話更新路由器韌體在 Windows CA 伺服器上提出憑證需求提出 CA 憑證要求並將之設定為 Windows CA 伺服器上具公信力之憑證疑難排解檢查硬體狀態是否正常檢查您個人電腦內的網路連線設定是否正確從您的個人電腦 Ping 路由器是否正確檢查您的 ISP 設定是否正確還原路由器原廠預設組態連絡您的經銷商 v

7 1 前言 Vigor2110 series is a broadband router. It integrates IP layer QoS, NAT session/bandwidth management to help users control works well with large bandwidth. By adopting hardware-based VPN platform and hardware encryption of AES/DES/3DS, the router increases the performance of VPN greatly, and offers several protocols (such as IPSec/PPTP/L2TP) with up to 2 VPN tunnels. The object-based design used in SPI (Stateful Packet Inspection) firewall allows users to set firewall policy with ease. CSM (Content Security Management) provides users control and management in IM (Instant Messenger) and P2P (Peer to Peer) more efficiency than before. By the way, DoS/DDoS prevention and URL/Web content filter strengthen the security outside and control inside. Object-based firewall is flexible and allows your network be safe. In addition, through VoIP function, the communication fee for you and remote people can be reduced. 此外,Vigor2110 系列支援 USB 介面, 可供連接 USB 印表機分享列印或是 USB 儲存裝置分享檔案,Vigor2110 系列提供二層式管理簡化網路連線設定, 使用者模式讓使用者透過簡易設定達到存取網頁的目的, 若是使用者想設定進階功能, 可以透過管理者模式來處理 1.1 網頁設定按鈕說明在路由器的網頁設定中, 有數種常見的按鈕, 其定義如下所示 : 儲存並套用目前的設定取消目前設定並回復先前的設定值捨棄目前設定值並允許使用者重新輸入指定項目新增設定編輯選定項目的設定刪除選定項目及相關設定附註 : 有關網頁上所出現的其他按鈕, 請參考第三四章 1

1.2 LED 指示燈與介面說明不同機種路由器之 LED 顯示面板以及背板連接介面有些許的差異, 詳列如下 : 1.2.1 Vigor2110 LED Status Explanation LED 燈號狀態說明 ACT 閃爍 (Activity) CSM WAN LAN

8 1.2 LED 指示燈與介面說明不同機種路由器之 LED 顯示面板以及背板連接介面有些許的差異, 詳列如下 : Vigor2110 LED Status Explanation LED 燈號狀態說明 ACT 閃爍 (Activity) CSM WAN LAN 1/2/3/4 USB 熄燈亮燈亮燈閃爍亮燈熄燈閃爍亮燈路由器已開機並可正常運作路由器已關機有關 IM/P2P, URL/Web Content Filter 應用等 CSM (Content Security Management) 設定檔, 您可自防火牆 >> 基本設定中啟動使用. ( 啟動之前, 必須先在 CSM 功能中建立好設定檔案 ) WAN 介面網路已連接正在傳輸資料中乙太網路已連接乙太網路未連接正在傳輸資料中 USB 裝置已連接並運作中閃爍正在傳輸資料中 VPN 亮燈虛擬私人網路功能已啟動 QoS 亮燈 QoS 功能已啟動 DoS 亮燈 DoS/DDoS 功能已啟動閃爍檢測到正受到外部攻擊介面說明 WAN 連接到 ADSL 或是 Cable Modem 裝置 LAN (1-4) 連接到電腦或網路設備 USB 連接到 USB 儲存裝置 (Pen Driver/Mobile HD) 或是印表機 2

9 介面 Factory Reset PWR ON/OFF 說明還原成出廠預設值用法 : 當路由器正在運作時 (ACT LED 燈號閃爍 ), 利用尖銳的物品 ( 例如 : 原子筆 ) 壓住 Factory Reset 超過 5 秒 ; 當 ACT LED 燈號開始迅速閃爍時, 鬆開此動作, 路由器將會還原成出廠預設值連接電源變壓器電源開關 3

1.2.2 Vigor2110n LED 燈號狀態說明 ACT 閃爍路由器已開機並可正常運作 (Activity) 熄燈路由器已關機 WLAN 亮燈無線 AP 預備妥當可以使用閃爍資料封包透過無線網路傳輸中 WAN 亮燈 WAN 介面網路已連接閃爍正在傳輸資料中亮燈乙太網路已連接 LAN 1/2/3/4 熄燈乙太網路未連接閃爍正在傳輸資料中 USB 亮燈 USB 裝置已連接並運作中

10 1.2.2 Vigor2110n LED 燈號狀態說明 ACT 閃爍路由器已開機並可正常運作 (Activity) 熄燈路由器已關機 WLAN 亮燈無線 AP 預備妥當可以使用閃爍資料封包透過無線網路傳輸中 WAN 亮燈 WAN 介面網路已連接閃爍正在傳輸資料中亮燈乙太網路已連接 LAN 1/2/3/4 熄燈乙太網路未連接閃爍正在傳輸資料中 USB 亮燈 USB 裝置已連接並運作中閃爍正在傳輸資料中 VPN 亮燈虛擬私人網路功能已啟動 QoS 亮燈 QoS 功能已啟動 DoS 亮燈 DoS/DDoS 功能已啟動閃爍檢測到正受到外部攻擊 WPS 亮燈 WPS 功能開啟熄燈 WPS 功能關閉閃爍等待無線用戶端傳送連線需求, 約等 2 分鐘 WPS 按鈕亮燈按住此鈕 2 分鐘等待用戶裝置透過 WPS 執行網路連線, 當燈號亮起時, 即表示 WPS 連線成功熄燈 WPS 功能關閉閃爍等待無線用戶端傳送連線需求, 約等 2 分鐘介面說明 WLAN 按此鈕一次啟動 (WLAN 燈號開啟 ) 或是關閉 (WLAN 燈號關閉啟 ) 無線連線 WAN 連接到 ADSL 或是 Cable Modem 裝置 LAN (1-4) 連接到電腦或網路設備 USB 連接到 USB 儲存裝置 (Pen Driver/Mobile HD) 或是印表機 4

11 介面 Factory Reset PWR ON/OFF 說明還原成出廠預設值用法 : 當路由器正在運作時 (ACT LED 燈號閃爍 ), 利用尖銳的物品 ( 例如 : 原子筆 ) 壓住 Factory Reset 超過 5 秒 ; 當 ACT LED 燈號開始迅速閃爍時, 鬆開此動作, 路由器將會還原成出廠預設值連接電源變壓器電源開關 5

1.2.3 Vigor2110Vn LED 燈號狀態說明 ACT 閃爍路由器已開機並可正常運作 (Activity) 熄燈路由器已關機 WLAN 亮燈無線 AP 預備妥當可以使用閃爍資料封包透過無線網路傳輸中 WAN 亮燈 WAN 介面網路已連接閃爍正在傳輸資料中亮燈乙太網路已連接 LAN 1/2/3/4 熄燈乙太網路未連接閃爍正在傳輸資料中 USB 亮燈 USB 裝置已連接並運作中

12 1.2.3 Vigor2110Vn LED 燈號狀態說明 ACT 閃爍路由器已開機並可正常運作 (Activity) 熄燈路由器已關機 WLAN 亮燈無線 AP 預備妥當可以使用閃爍資料封包透過無線網路傳輸中 WAN 亮燈 WAN 介面網路已連接閃爍正在傳輸資料中亮燈乙太網路已連接 LAN 1/2/3/4 熄燈乙太網路未連接閃爍正在傳輸資料中 USB 亮燈 USB 裝置已連接並運作中閃爍正在傳輸資料中 Phone1/ 亮燈連接本埠之電話使用中 Phone2 熄燈連接本埠之電話未被使用閃爍電話來電 Line 亮燈 PSTN 電話撥進或撥出, 不過當電話斷線時,LED 燈號約需六秒鐘才會熄滅熄燈目前沒有 PSTN 電話 WPS 亮燈 WPS 功能開啟熄燈 WPS 功能關閉閃爍等待無線用戶端傳送連線需求, 約等 2 分鐘 WPS 按鈕亮燈按住此鈕 2 分鐘等待用戶裝置透過 WPS 執行網路連線, 當燈號亮起時, 即表示 WPS 連線成功熄燈 WPS 功能關閉閃爍等待無線用戶端傳送連線需求, 約等 2 分鐘介面說明 WLAN 按此鈕一次啟動 (WLAN 燈號開啟 ) 或是關閉 (WLAN 燈號關閉啟 ) 無線連線 WAN 連接到 ADSL 或是 Cable Modem 裝置 LAN (1-4) 連接到電腦或網路設備 USB 連接到 USB 儲存裝置 (Pen Driver/Mobile HD) 或是印表機 6

13 Interface Line Phone2/Phone1 Factory Reset PWR ON/OFF Description 連接 PSTN life 線連接類比電話機, 以便使用 VoIP 通話功能還原成出廠預設值用法 : 當路由器正在運作時 (ACT LED 燈號閃爍 ), 利用尖銳的物品 ( 例如 : 原子筆 ) 壓住 Factory Reset 超過 5 秒 ; 當 ACT LED 燈號開始迅速閃爍時, 鬆開此動作, 路由器將會還原成出廠預設值連接電源變壓器電源開關 7

1.3 硬體安裝設定路由器前, 請先將裝置確實連接, 並參考以下步驟操作 1. 利用網路纜線 (RJ-11) 連接此裝置至牆壁的電話插座上 (Vn 機型 ) 2. 利用乙太網路纜線 (RJ-45) 將數據機 / 路由器連接到本裝置的 WAN 連接埠 3. 利用乙太網路纜線 (RJ-45) 一端連接 PC 的乙太網路連接埠, 一端連接到路由器任何一個 LAN 連接埠 4.

14 1.3 硬體安裝設定路由器前, 請先將裝置確實連接, 並參考以下步驟操作 1. 利用網路纜線 (RJ-11) 連接此裝置至牆壁的電話插座上 (Vn 機型 ) 2. 利用乙太網路纜線 (RJ-45) 將數據機 / 路由器連接到本裝置的 WAN 連接埠 3. 利用乙太網路纜線 (RJ-45) 一端連接 PC 的乙太網路連接埠, 一端連接到路由器任何一個 LAN 連接埠 4. 將類比電話機安裝至 Phone 連接埠 5. 安裝天線 (n 機型 ) 6. 將電源線一端連接到路由器, 另一端連接到牆上電源輸出孔 7. 開啟路由器 8. 檢查 ACT 及 WAN, LAN 燈號是否亮燈, 以確定硬體連線有否成功注意 : 1. 每個電話埠都僅能連接類比話機, 請勿直接將 Phone 連接埠與牆壁的電話插座相連, 以免造成路由器毀損 2. 當電源中斷時,VoIP 電話也會被中斷, 但是連接至 Phone 2 埠之話機可以如傳統話機一般的使用, 這是因為該線已被路由器導引至牆壁的電話插座線路上 ( 電話介接 ) 8

15 腳座安裝 Vigor2110 必須直立放置以確保正常操作, 因此您需要為其安裝一個腳座, 使其能夠穩當站立請依照下列圖示來完成正確的安裝 :

com 取得您所需要的安裝資訊使用之前, 請務必按照下列步驟來設定您的電腦 ( 或無線用戶 ): 1.

16 1.4 印表機安裝您可以在路由器上連接印表機來分享列印功能, 這樣路由器的區域網路上所有的電腦都可透過它列印文件, 以下設定範例是以 Windows XP/2000 為主, 如果您使用的是 Windows 98/SE/Vista, 請造訪居易網站取得您所需要的安裝資訊使用之前, 請務必按照下列步驟來設定您的電腦 ( 或無線用戶 ): 1. 請透過 USB 連接埠連接印表機與路由器 2. 開啟開始開始 >> 設定 >> 印表機和傳真 3. 開啟檔案 >> 新增印表機, 設定精靈將會出現, 請按下一步下一步 10

17 4. 選擇連接到這台. 並按下一步下一步 11

18 5. 接著請選擇建立新的連接埠, 用下拉式選項選擇 Standard TCP/IP Port, 按下一步 6. 在下面的對話方塊中, 請輸入 ( 路由器的 LAN IP),IP_ 會自動帶出, 再按下一步下一步 12

19 7. 請選擇標準, 並自下拉式選項中選取 Generic Network Card 8. 當下列畫面出現時, 請按完成完成 13

20 9. 現在系統將會要求您選擇您安裝至路由器上的印表機名稱, 這個步驟可以讓您的電腦安裝正確的驅動程式, 當您完成項目選擇之後, 請按下一步下一步 10. 最後請您回到印表機和傳真印表機和傳真頁面, 編輯您新增印表機的內容 14

路由器相容注意 1: 此路由器仍不支援市面上某些印表機, 如果您不知道自己所購買的印表機有無在支援之列, 請造訪 www.draytek.

21 11. 在通訊協定欄位中, 選擇 "LPR", 佇列名稱則請輸入 p1, 按下確定確定鈕您現在可以使用新增的印表機了, 大多數的印表機都與 Vigor 路由器相容注意 1: 此路由器仍不支援市面上某些印表機, 如果您不知道自己所購買的印表機有無在支援之列, 請造訪上面可輕易取得您想知道的訊息, 開啟 Support Center->FAQ; 按下 Printer Server 連結, 接著再按下 What types of printers are compatible with Vigor router? 連結, 即可獲得您要的內容 15

22 注意 2: Vigor 路由器支援來自 LAN 端的列印要求, 但不支援來自 WAN 端的列印要求 16

23 2 基本設定 2.1 二層管理 2.2 進入網頁在開始使用路由器時, 基於安全的考量, 我們強烈建議你在路由器上設定一組管理者密碼 This chapter explains how to setup a password for an administrator/user and how to adjust basic/advanced settings for accessing Internet successfully. For user mode operation, do not type any word on the window and click Login for the simple web pages for configuration. Yet, for admin mode operation, please type admin/admin on Username/Password and click Login for full configuration. 1. 確保您的電腦已經和路由器正確的連接附註 : 您可以選擇直接設定電腦的網路設定為動態取得 IP 位址 (DHCP), 或者是將 IP 設定為和 IP 分享器的預設 IP 位址 ( ) 於同一個子網路如需更多訊息, 請參考後面的章節疑難排解 2. 開啟網頁瀏覽器並輸入位址登入視窗將會出現 3. For user mode operation, do not type any word on the window and click Login for the simple web pages for configuration. Yet, for admin mode operation, please type admin/admin on Username/Password and click Login for full configuration. Notice: If you fail to access to the web configuration, please go to Trouble Shooting for detecting and solving your problem. 4. The web page can be logged out according to the chosen condition. The default setting is Auto Logout, which means the web configuration system will logout after 5 minutes without any operation. Change the setting for your necessity. 17

24 2.3 變更密碼無論是使用者操作模式或是管理者操作模式, 建議您將密碼先行變更 1. 開啟網頁瀏覽器並輸入位址登入視窗將會出現並要求您輸入使用者名稱與密碼 2. 請輸入 admin/admin 進入管理者模式, 或將欄位空白什麼都不要輸入, 以進入使用者模式, 然後按下登入登入進入網頁 3. 現在, 設定介面的主選單會出現管理者操作模式主畫面 ( 完整設定 ) 18

25 使用者操作模式主畫面 ( 簡易設定 ) 注意 : 因為首頁會依照您的路由器的功能做些微改變, 所以設定介面不一定都會如上圖所示 4. 進入系統維護系統維護頁面並選擇系統管理員系統管理員 / 使用者密碼密碼或是 5. 輸入舊密碼 ( 預設值為空白 ) 在新密碼新密碼及確認密碼確認密碼輸入您想要設定的密碼, 然後按確定確定儲存設定 6. 現在您已經完成變更密碼設定請記得在下一次登入設定介面時使用新的密碼 19

26 2.4 快速設定精靈注意 : 快速安裝精靈在使用者模式中的操作與管理者模式下操作是相同的如果您打算佈建此路由器在現成的高速 NAT 網路結構中, 您可以依照下列的步驟使用快速設定精靈設定您的路由器快速設定精靈的第一個畫面會要求您輸入密碼, 輸入密碼之後, 請按下一步下一步在下圖顯示中, 請依照您的 ISP 提供的資料, 選擇適當的網際網路連線類型, 例如 ISP 提供您 PPPoE 介面的資訊, 您就應該選擇 PPPoE 模式接著按下一步下一步進行 20

27 PPPoE PPPoE 為 Point-to-Point Protocol over Ethernet 的縮寫, 是一種利用個人電腦透過寬頻連接設備 ( 如 xdsl Cable Wireless) 連接至高速寬頻網路的技術, 用戶僅需在個人的電腦上加裝乙太網路卡, 然後向電信線路提供者 ( 如 : 中華電信 ) 與網際網路服務提供者 (ISP, 如 : 亞太線上 ) 申請 ADSL 服務, 就可以以類似傳統撥接的方式, 透過一般的電話線連上網際網路另外,PPPoE 也同時被用來在 ADSL 網路架構上進行用戶認證紀錄用戶連線時間, 以及取得動態 IP 如果您的 ISP 業者提供您 PPPoE 連線方式, 請先在視窗中選擇適當的模式, 然後輸入相關資訊 : 使用者名稱密碼指定 ISP 提供之有效使用者名稱指定 ISP 提供之有效密碼 21

28 確認密碼重新輸入密碼以確認按下一步下一步檢視此連線的設定狀態按完成, 快速入門設定精靈安裝完畢將會出現, 接著此協定的系統狀態將會顯示於後 PPTP PPTP 則是 Point-to-Point Tunneling Protocol 的簡稱有些 DSL 服務提供者採用一種特別的 DSL 數據機 ( 例如 : 阿爾卡特的 DSL 數據機 ) 這種數據機只支援 PPTP Tunnel 方法存取 Internet 在這種情形下, 您建立一個到 DSL 數據機並且帶有 PPP Session 的 PPTP Tunnel 一但 Tunnel 建立後, 這種 DSL 數據機會將 PPP Session 送往 ISP 當 PPP Session 建立後, 當地的使用者共用這個 PPP Session 存取 Internet 如果您需要使用 PPPTP 連線, 請先在視窗中選擇適當的模式, 然後輸入相關資訊 : 22

29 按下一步下一步檢視此連線的設定狀態按完成, 快速入門設定精靈安裝完畢將會出現, 接著此協定的系統狀態將會顯示於後固定 IP 在這種應用當中, 您會從 ISP 取得一個固定真實 IP 位址或一個真實子網路 ( 多個公開 IP 位址 ) 通常纜線 (Cable) ISP 會提供一個固定的真實 IP, 而 DSL ISP 則有可能會提供一個真實子網路如果您擁有一個真實子網路, 您可以選擇一個或多個 IP 位址設定在 WAN 介面如果您需要使用固定 IP / 動態 IP, 請先在視窗中選擇適當的模式, 然後輸入相 23

30 關資訊 : 設定輸入完畢之後, 按下一步下一步檢視此連線的設定狀態按完成, 快速入門設定精靈安裝完畢將會出現, 接著此協定的系統狀態將會顯示於後 DHCP 24

31 選擇 DHCP 作為通訊協定, 並在頁面上輸入 ISP 提供給您的全部訊息設定輸入完畢之後, 按下一步下一步檢視此連線的設定狀態按完成, 快速入門設定精靈安裝完畢將會出現, 接著此協定的系統狀態將會顯示於後 2.5 線上狀態線上狀態顯示出系統目前執行的情形,WAN 連接狀況,ADSL 資訊和其他與路由器有關的訊息如果您選擇 PPPoE 作為通訊協定, 您可發現頁面上出現一個 Dial PPPoE 或 Drop PPPoE 的按鈕 25

32 Online status for DHCP 詳細說明於後 : 主要 DNS 次要 DNS 區域網路狀態 IP 位址位址傳送封包接收封包 WAN 狀態顯示主要 DNS 的 IP 位址顯示次要 DNS 的 IP 位址顯示區域網路介面的 IP 位址顯示在區域路中全部的傳送封包量顯區域路中全部的接收封包量實體模式顯示實體介面連線的狀態顯示名稱顯示 WAN1/WAN 網頁上所顯示的名稱模式顯示 WAN 連接 (PPPoE) 的類型連線時間顯示介面上全部的上傳時間閘道 IP 顯示預設閘道的 IP 位址傳送封包顯示 WAN 介面上全部傳送的封包數傳送速率顯示 WAN 介面上全部傳送速率位元數接收封包顯示 WAN 介面上全部接收的封包數接收速率顯示 WAN 介面上全部接收速率位元數注意 : 綠色字樣表示該 WAN 連接已預備妥當, 隨時可以存取網際網路資料, 紅色字樣則表示該 WAN 連接尚未預備妥當, 也還無法透過路由器存取網際網路資料 2.6 儲存設定每當您按下網頁上的確定按鈕以儲存檔案, 您都可以見到如下的訊息, 此為系統提供的狀態通知預備表示系統處於預備狀態隨時可以輸入設定設定已儲存表示您按了完成或是確定按鈕之後, 系統已儲存該設定 26

33 3 使用者操作模式 This chapter will guide users to execute simple configuration through user mode operation. As for other examples of application, please refer to chapter Open a web browser on your PC and type The window will ask for typing username and password. 2. Do not type any word (both username and password are Null for user operation) on the window and click Login on the window. Now, the Main Screen will appear. Be aware that User mode will be displayed on the bottom left side. 3.1 Internet Access 快速安裝精靈提供使用者一個簡單的方法, 以便能快速設定路由器的連線模式如果您想要針對不同廣域網路模式調整更多的設定, 請前往 Internet Access 群組然後點選網際網路連線控制連結 IP 網路的基本概念 IP 表示網際網路通訊協定, 在以 IP 為主的網路像是路由器列印伺服器和主機電腦的每一種裝置, 都需要一組 IP 位址作為網路上身分辨識之用為了避免位址產生衝突,IP 位址都必須於網路資訊中心 (NIC) 公開註冊, 擁有個別 IP 位址對那些於真實網路分享的裝置是非常必要的, 但在虛擬網路上像是路由器所掌管下的主機電腦就不是如此, 因為它們不需要讓外人從真實地區進入存取資料因此 NIC 保留一些永遠不被註冊的特定位址, 這些被稱之為虛擬 IP 位址, 範圍條列如下 : 27

34 從到從到從到什麼是真實 IP 位址和虛擬 IP 位址由於路由器扮演著管理及保護其區域網路的角色, 因此它可讓主機群間互相聯繫每台主機都有虛擬 IP 位址, 是由路由器的 DHCP 伺服器所指派, 路由器本身也會使用預設之虛擬 IP 位址與本地主機達成聯繫目的, 同時,Vigor 路由器可藉由真實 IP 位址與其他的網路裝置溝通連接當資料經過時, 路由器的網路位址轉換 (NAT) 功能將會在真實與虛擬位址間執行轉換動作, 封包將可傳送至本地網路中正確的主機電腦上, 如此一來, 所有的主機電腦就都可以共享一個共同的網際網路連線取得 ISP 提供的真實 IP 位址欲取得 ISP 提供的真實 IP 位址, 以便將路由器當成用戶假定之設備, 有幾種種常見的模式可以選用 :Point to Point Protocol over Ethernet (PPPoE), 和 MPoA. 等,Multi-PVC 是提供給您執行更進階的設定在 ADSL 之部署中,PPP (Point to Point) 型態之驗證和授權是橋接用戶前端設備所需要的 PPPoE (Point to Point Protocol over Ethernet ) 透過一台存取裝置連接網路主機至遠端存取集中器, 此種應用讓使用者覺得操作路由器是很簡單的, 同時也可依照使用者的需要提供存取控制及服務類型當路由器開始連接至 ISP 時, 路由器將執行一系列過程以尋求連線, 然後即可產生一個 session, 您的使用者辨識名稱和密碼由 RADIUS 驗證系統的 PAP 或 CHAP 來驗證, 通常您的 IP 位址 DNS 伺服器和其他相關資訊都是由 ISP 指派的下圖為 Internet Access. 的功能項目 : PPPoE 如果想要使用 PPPoE 作為網際網路連線的通訊協定, 請自 Internet Access 功能項目中選擇 PPPoE 模式, 下面的設定網頁將會出現 28

35 PPPoE 用戶端模式 ISP 存取設定 WAN 連線檢測 PPP/MP 設定 IP 位址指派方式 (IPCP) 按下啟用啟用按鈕可啟動此功能, 如果您選的是停用, 此項功能將會關閉, 全部調整過的設定也都將立即失效輸入使用者名稱密碼和驗證參數, 按照 ISP 所提供給您的訊息使用者名稱在本區請輸入 ISP 提供的使用者名稱密碼在本區請輸入 ISP 提供的密碼索引號碼 (1-15) 於排程設定 - 可以輸入四組時間排程, 全部的排程都是在應用 - 排程網頁中事先設定完畢, 您可在此輸入該排程的索引編號這個功能讓您檢查目前網路是否還在連線中可透過 ARP 檢測或是 Ping Detect 來完成模式選擇 ARP Detect 或 Ping Detect 執行 WAN 檢測動作 Ping IP 如果您選擇 Ping Detect 作為檢測模式, 您必須在本區輸入 IP 位址作為 Ping 檢測之用 TTL (Time to Live) 顯示數值供您參考,TTL 數值是利用 Telnet 指令始可設定 PPP 驗證選擇 PAP 或是 PAP 或 CHAP 閒置逾時設定網際網路在經過一段沒有任何動作的時間後自動斷線的時間, 此項設定只在 WAN>> 一般設定網頁中的啟動模式選擇了需求時連線需求時連線才會有作用通常每次的連線,ISP 會隨機指派 IP 位址給您, 在某些情況下, 您的 ISP 可以提供給您相同的 IP 位址, 不論您何時提出要求您只要在固定 IP 位址欄位中輸入 IP 位址就可以達成上述的目的詳情請聯絡您的 ISP 業者 WAN IP 別名 - 如果您有數個真實 IP 位址且想要在 WAN 介面上使用, 請使用此功能除了目前使用的這一組之外, 您還可以設定多達 8 組的真實 IP 位址 29

36 固定 IP 位址預設 MAC 位址入另一組位址指定 MAC 位址位址按是使用此功能並輸入一個固定的 IP 位址位址您可以使用預設 MAC 位址或是在此區域中填位址手動輸入路由器的 MAC 位址在您完成上述的設定之後, 請按確定確定按鈕來啟動設定固定或動態 IP 對固定 IP 模式來說, 通常您會收到 DSL 或是 ISP 服務供應商提供給您的一個固定的真實 IP 位址或是真實子網路, 在大多數的情形下,Cable 服務供應商將會提供一個固定的真實 IP, 而 DSL 服務供應商提供的是真實子網路資料如果您有一組真實的子網路, 您可以指派一組或是多組 IP 位址至 WAN 介面若要使用固定或動態 IP 為網際網路的連線協定, 請自 Internet Access 中選擇固定或動態 IP, 即可出現下圖 30

37 Access Control 維持 WAN 連線 WAN 連線檢測 RIP 協定 WAN IP 網路設定 C 按啟用啟用以啟動此功能, 如果您按的是停用, 此功能將會關閉, 您在此頁面所完成的全部設定都將失效正常情況下, 這個功能是設計用來符合動態 IP 環境, 因為某些 ISP 會在一段時間沒有任何回應時中斷連線請勾選啟用 PING 以保持常態連線 PING 到指定的到指定的 IP 如果您啟用此功能, 請指定 IP 位址讓系統可以 PING 到該 IP 以保持連線 PING 間隔 - 輸入間隔時間讓系統得以執行 PING 動作這個功能讓您檢查目前網路是否還在連線中可透過 ARP 檢測或是 Ping Detect 來完成模式選擇 ARP Detect 或 Ping Detect 執行 WAN 檢測動作 Ping IP 如果您選擇 Ping Detect 作為檢測模式, 您必須在本區輸入 IP 位址作為 Ping 檢測之用 TTL (Time to Live) 顯示數值供您參考,TTL 數值是利用 Telnet 指令始可設定指名路由器是如何變更路由表格資訊, 勾選此項目以啟動此功能這個區域允許您自動取得 IP 位址並讓您手動輸入 IP 位址 WAN IP 別名 - 如果您有多個真實 IP 位址, 想要在 WAN 介面上利用這些 IP, 請使用 WAN IP 別名除了目前使用的 IP 外, 您還可以另外設定 8 組真實 IP, 要注意的是, 本項設定僅針對 WAN1 有效用 31

38 DNS 伺服器 IP 位址自動取得 IP 位址動取得 IP 位址路由器名稱網域名稱 : 輸入指定的網域名稱指定 IP 位址 IP 位址 : 輸入 IP 位址子網路遮罩 : 輸入子網路遮罩閘道 IP 位址 : 輸入閘道 IP 位址預設 MAC 位址指定 MAC 位址位址如果您想要使用動態 IP 模式, 按此鈕以自路由器名稱 : 輸入 ISP 的路由器名稱位址按此鈕指定 IP 位址讓資料通過位址 : 按此鈕使用預設的 MAC 位址位址 : 部分 Cable 服務供應商會指定 MAC 位址作為存取驗證之用, 此時您需要按下此鈕並在下方區域輸入 MAC 位址位址若要使用固定 IP 模式, 請輸入路由器的主要 IP 位址, 如有必要, 在將來, 您也可以輸入次要 IP 位址以符合所需 PPTP/L2TP 若要使用 PPTP/L2TP 為網際網路的連線協定, 請自 Internet Access 中選擇 PPTP/L2TP, 即可出現下圖 32

39 PPTP Setup ISP 存取設定 PPP Setup IP 位址指派方式 (IPCP) WAN IP 網路設定按啟用啟用以啟動此功能, 如果您按的是停用, 此功能將會關閉, 您在此頁面所完成的全部設定都將失效 PPTP Server 如果您啟用了 PPTP/L2TP 模式, 請指定伺服器的 IP 位址使用者名稱在本區請輸入 ISP 提供的使用者名稱密碼在本區請輸入 ISP 提供的密碼索引號碼 (1-15) 於排程設定 - 可以輸入四組時間排程, 全部的排程都是在應用 - 排程網頁中事先設定完畢, 您可在此輸入該排程的索引編號 PPP Authentication - Select PAP only or PAP or CHAP for PPP. Idle Timeout - Set the timeout for breaking down the Internet after passing through the time without any action. 通常每次的連線,ISP 會隨機指派 IP 位址給您, 在某些情況下, 您的 ISP 可以提供給您相同的 IP 位址, 不論您何時提出要求您只要在固定 IP 位址欄位中輸入 IP 位址就可以達成上述的目的詳情請聯絡您的 ISP 業者固定 IP 位址請輸入一組固定 IP 自動取得 IP 位址如果您想要使用動態 IP 模式, 按此鈕以自動取得 IP 位址指定 IP 位址按此鈕指定 IP 位址讓資料通過 IP 位址 : 輸入 IP 位址子網路遮罩 : 輸入子網路遮罩 33

40 3.2 LAN 區域網路是由路由器所管理的一群子網路, 網路結構設計和您自 ISP 所取得之真實 IP 位址有關區域網路基本概念 Vigor 路由器最基本的功能為 NAT, 可用來建立虛擬的子網路, 如前所述, 路由器利用真實 IP 位址與網際網路上其他的真實主機互相通訊, 或是使用虛擬 IP 地址與區域網路上的主機連繫 NAT 要完成的事情就是轉換來自真實 IP 位址的封包到私有 IP 地址, 以便將正確的封包傳送至正確的主機上, 反之亦然此外 Vigor 路由器還有內建的 DHCP 伺服器, 可指定虛擬 IP 地址至每個區域主機上, 請參考下面的範例圖, 即可獲得大略的了解在某些特殊的情形當中, 您可能會有 ISP 提供給您的真實 IP 子網路像是 /24, 這表示您可以設定一個真實子網路, 或是使用配備有真實 IP 地址之主機的第二組子網路, 作為真實子網路的一部份,Vigor 路由器將會提供 IP 路由服務, 幫助真實地區子網路上的主機能與其他真實主機 / 外部伺服器溝通連繫, 因此路由器必須設定為真實主機的通訊閘道才行 34

41 什麼是 RIP(Routing Information Protocol) Vigor 路由器可利用 RIP 與鄰近路由器交換路由資訊, 達到 IP 路由的目的這樣可讓使用者變更路由器的資訊, 例如 IP 地址, 且路由器還會自動通知雙方此類訊息基本設定本頁提供您區域網路的基本設定區域網路開啟區域網路設定並選擇基本設定按區域網路基本設定請輸入虛擬 IP 地址以便連接區域虛擬網路 ( 預設值為第一 IP 位址 ) 第一子網路遮罩請輸入決定網路大小的位址碼 ( 預設值為 / 24) 35

42 供 IP 路由使用第二 IP 位址按下啟用啟用以啟動此功能, 此功能預設值是停用此應用視情況需要而設定位址請輸入第二組 IP 地址以便連接至子網路 ( 預設值為 ) 第二子網路遮罩第二子網路遮罩請輸入第二組決定網路大小的位址碼 ( 預設值為 / 第二子網路遮罩 DHCP 伺服器 24) 您可以將路由器設定為 DHCP 伺服器, 提供服務予第二組子網路 RIP 協定控制起始 IP 位址 : 輸入 IP 地址 pool 數值做為 DHCP 伺服器指定 IP 地址時的起始點, 如果路由器的第二組 IP 地址為 ,, 起始 IP 地址可以是或是更高一些, 但比小 IP 配置數量 : 輸入 IP 地址的數量, 最大值為 10, 例如您若輸入 3 而第二組 IP 地址為 ,DHCP 伺服器的 IP 地址範圍即為到 MAC 位址 : 請一個個輸入主機的 MAC 地址, 按新增新增來建立主機清單以便指定刪除或是編輯上述範圍中的 IP 地址設定第二組 DHCP 伺服器所需的 MAC 位址清單, 可幫助路由器指定正確的 IP 地址及子網路至正確的主機上這樣在第二子網路上的主機便不會得到屬於第一組子網路的 IP 地址停用關閉 RIP 協定, 可讓不同路由器之間資訊交換暫停 ( 此為預設值 ) 第一子網路 - 選擇路由器以交換第一子網路和鄰近路由器間的 36

43 DHCP 伺服器組態 DNS 伺服器組態 RIP 資訊第二子網路 RIP 資訊第二子網路 - 選擇路由器以交換第二子網路和鄰近路由器間的 DHCP 是 Dynamic Host Configuration Protocol 的縮寫, 路由器的出廠預設值可以作為您的網路的 DHCP 伺服器, 所以它可自動分派相關的 IP 設定給區域的使用者, 將該使用者設定成為 DHCP 的用戶端如果您的網路上並沒有任何的 DHCP 伺服器存在, 建議您讓路由器以 DHCP 伺服器的型態來運作如果您想要使用網路上另外的 DHCP 伺服器, 而非路由器的伺服器, 您可以利用中繼代理來幫您重新引導 DHCP 需求到指定的位置上啟用 - 讓路由器指定 IP 地址到區域網路上的每個主機上停用讓您手動指定 IP 地址到區域網路上的每個主機上 DHCP 中繼代理位址 - (1 st subnet/2 nd subnet) 指定某個 DHCP 伺服器所在的子網路讓中繼代理重新引導 DHCP 需求至該處起始 IP 位址 - 輸入 DHCP 伺服器的 IP 地址配置的數值作為指定 IP 地址的起始點, 如果第路由器的第一個 IP 地址為 , 起始 IP 地址可以是或是更高一些, 但比小 IP 配置數量 - 輸入您想要 DHCP 伺服器指定 IP 地址的最大數量, 預設值為 50, 最大值為 253 閘道 IP 位址 - 輸入 DHCP 伺服器所需的閘道 IP 地址, 這項數值通常與路由器的第一組 IP 地址相同, 表示路由器為預設的閘道 DHCP 伺服器 IP 位址關於中繼代理程式 - 設定您預備使用的 DHCP 伺服器 IP 位址, 讓中繼代理可以協助傳送 DHCP 需求至伺服器上 DNS 是 Domain Name System 的縮寫, 每個網際網路的主機都必須擁有獨特的 IP 地址, 也必須有人性化且容易記住的名稱諸如一般,DNS 伺服器可轉換此名稱至相對應的 IP 地址上使用 DNS 手動設定強迫路由器使用本頁所指定的 DNS 伺服器而非使用網際網路存取伺服器所提供的 DNS 伺服器 (PPPoE, PPTP, L2TP 或 DHCP 伺服器 ). 主要 IP 位址位址 - 您必須在此指定 DNS 伺服器的 IP 地址, 因為通常您的 ISP 應該會提供一個以上的 DNS 伺服器, 如果您的 ISP 並未提供, 路由器會自動採用預設的 DNS 伺服器 IP 地址 , 放在此區域次要 IP 位址位址 - 您可以在此指定第二組 DNS 伺服器 IP 位址, 因為 ISP 業者會提供一個以上的 DNS 伺服器如果您的 ISP 並未提供, 路由器會自動採用預設的第二組 DNS 伺服器, 其 IP 位址為 , 放在此區域預設 DNS 伺服器 IP 位址可在線上狀態上查看 : 37

44 3.3 NAT 如果主要和次要 IP 地址區都是空白的, 路由器將會指定其本身的 IP 地址給予本地使用者作為 DNS 代理伺服器並且仍保有 DNS 快速緩衝貯存區如果網域名稱的 IP 地址已經在 DNS 快速緩衝貯存區內, 路由器將立即 resolve 網域名稱否則路由器會藉著建立 WAN ( 例如 DSL/Cable) 連線時, 傳送 DNS 疑問封包至外部 DNS 伺服器第五章中舉出二種常見的區域網路設定腳本供您參考, 有關設定範例部份, 如有需求請參考該章以取得更多的訊息通常, 路由器可以 NAT 路由器提供其相關服務,NAT 是一種機制, 一個或多個虛擬 IP 位址可以對應到某個單一的真實 IP 位址真實 IP 位址習慣上是由您的 ISP 所指定的, 因此您必須為此負擔費用, 虛擬 IP 位址則只能在內部主機內辨識出來當封包之目的地位址為網路上某個伺服器時, 會先送到路由器, 路由器即改變其來源位址, 成為真實 IP 位址, 並透過真實通訊埠傳送出去同時, 路由器在連線數表格中列出清單, 以記錄位址與通訊埠對應的相關資訊, 當伺服器回應時, 資料將直接傳回路由器的真實 IP 位址 NAT 的好處如下 : 於應用真實 IP 位址上節省花費以及有效利用 IP 位址位址 NAT 允許本機中的 IP 位址轉成真實 IP 位址, 如此一來您可以一個 IP 位址來代表本機利用隱匿的 IP 位址強化內部網路的安全性有很多種攻擊行動都是基於 IP 位址而對受害者發動的, 既然駭客並不知曉任何虛擬 IP 位址, 那麼 NAT 功能就可以保護內部網路不受此類攻擊在 NAT 頁面中, 您將可看見以 RFC-1918 定義的虛擬 IP 位址, 通常我們會使用 /24 子網路給予路由器使用就如前所提及的一般,NAT 功能可以對應一或多個 IP 位址和 / 或服務通訊埠到不同的服務上, 換句話說,NAT 功能可以利用通訊埠對應方式來達成下圖為 NAT 功能項目 : 通訊埠重導向通訊埠重導向通常是爲了本地區域網路中的網頁伺服器 FTP 伺服器伺服器等相關服務而設定, 大部分的情形是您需要給每個伺服器一個真實 IP 位址, 此一真實 IP 位址 / 網域名稱可以為所有使用者所辨識既然此伺服器實際坐落於區域網路內, 因此網路可以受到路由器之 NAT 的詳密保護, 且可由虛擬 IP 位址 / 通訊埠來辨認通訊埠重導向表的功能是傳送所有來自外部使用者對真實 IP 位址之存取需求, 以對應至伺服器的虛擬 IP 位址 / 通訊埠 38

45 通訊埠重導向只能應用在流入的資料量上欲使用此項功能, 請開啟 NAT 頁面然後選擇通訊埠重導向訊埠對應入口給予內部主機對應使用通訊埠重導向通訊埠重導向通訊埠重導向提供 20 組通按下索引編號下的號碼連結, 進入次層之設定頁面 : 39

46 啟用勾選此方塊啟用此通訊埠重導向設定模式有二種模式可以供使用者選擇, 如欲設定範圍給予指定服務, 請選擇範圍範圍在 " 範圍 " 模式下, 若 IP 位址與第一個對外通訊埠號皆填入之後, 系統將自動計算並顯示第二個對外通訊埠值服務名稱輸入特定網路服務的名稱通訊協定選擇傳送層級的通訊協定 (TCP 或 UDP) WAN IP 對外通訊埠指定哪一個通訊埠可以重新導向至內部主機特定的虛擬 IP 通訊埠上如果您選擇範圍範圍作為重導向模式, 您將會在此看見二個方塊, 請在第一個方塊輸入需要的數值, 系統將會自動指定數值予第二個方塊虛擬 IP 指定提供服務的主機之 IP 位址, 如果您選擇範圍範圍作為重導向模式, 您將會在此看見二個方塊, 請在第一個方塊輸入完整的 IP 位址 ( 作為起點 ), 在第二個方塊輸入四位數字 ( 作為終點 ) 虛擬通訊埠指定內部主機提供服務之虛擬通訊埠號注意路由器有其內建服務 ( 伺服器 ) 諸如 Telnet HTTP 和 FTP, 因為這些服務 ( 伺服器 ) 的通訊埠號幾乎都相同, 因此您可能需要重新啟動路由器以避免衝突發生例如, 路由器的內建網頁設定給予的設定值是埠號 80, 它可能造成與本地網路中網頁伺服器產生衝突, 因此您需要改變路由器的 http 通訊埠號, 除了 80 以外任何一種都可以 ( 例如 8080), 來防止衝突發生在系統管理群中的管理設定可以做此調整, 接著您可在 IP 位址尾端加入 8080 ( 如而非僅只通訊埠號 80) 來進入管理畫面 40

47 DMZ 主機設定如同上面所提及的內容, 通訊埠重導向可以將流入的 TCP/UDP 或是特定通訊埠中其他的流量, 重新導向區域網路中特定主機之 IP 位址 / 通訊埠不過其他的 IP 協定例如協定 50 (ESP) 和 51(AH) 是不會在固定通訊埠上行動的,Vigor 路由器提供一個很有效的工具 DMZ 主機, 可以將任何協定上的需求資料對應到區域網路的單一主機上來自用戶端的正常網頁搜尋和其他網際網路上的活動將可繼續進行, 而不受到任何打擾 DMZ 主機允許內部被定義規範的使用者完全暴露在網際網路上, 通常可促進某些特定應用程式如 Netmeeting 或是網路遊戲等等的進行 41

48 注意 :NAT 固有的安全性屬性在您設定 DMZ 主機時稍微被忽略了, 建議您另外新增額外的過濾器規則或是第二組防火牆請按 DMZ 主機設定開啟下述頁面 : 如果您在網際網路連線設定網際網路連線設定選擇 PPPoE/ 固定 IP/PPTP, 並且設定 WAN 別名輔助此頁面發現輔助 WAN IP 項目別名, 您將可在開啟勾選此項以啟動 DMZ 主機功能 42

49 虛擬 IP 選擇電腦輸入 DMZ 主機的虛擬 IP 位址, 或是按選擇 PC 開啟另一頁面來選擇按下此鈕後, 如下視窗立即跳出此視窗包含您的區域網路中全部主機的虛擬 IP 位址清單, 請自清單中選擇一個虛擬 IP 位址作為 DMZ 主機當您已經從上面的視窗選好了虛擬 IP 位址時, 該 IP 位址將會顯示在下面的螢幕上, 請按確定確定儲存這些設定 43

50 3.3.3 開放通訊埠開放通訊埠允許您開啟一段範圍內的通訊埠, 供特定應用程式使用常見的應用程式包含有 P2P 應用程式 ( 如 BT KaZaA Gnutella WinMX emule 和其他 ) Internet Camera 等等, 您需要先確定應用程式包含最新的資料, 以免成為安全事件的受害者按開放通訊埠開放通訊埠連結開啟下面的網頁索引表示本地主機中您想要提供之服務, 其特定內容網頁之相關號碼, 您應該選擇適當的索引號碼以編輯或是清除相關的內容註解指定特定網路服務的名稱內部 IP 位址顯示提供此項服務之本地主機的 IP 位址狀態顯示每項設定的狀態,X 或 V 表示關閉或是啟用狀態如果要新增或是編輯通訊埠設定, 請按索引下方的號碼按鈕該索引號碼入口設定頁面隨即出現, 在每個輸入頁面中, 您可以指定 10 組通訊埠範圍給予不同的服務 44

51 啟用開放通訊埠說明 WAN 介面 WAN IP 本機電腦選擇電腦通訊協定起始通訊埠結束通訊埠勾選此項以啟動此功能請爲所定義的網路應用 / 服務命名指定該項設定之 WAN 介面如果您在網際網路連線設定網際網路連線設定選擇 PPPoE/ 固定 IP/PPTP, 並且設定 WAN 別名別名, 您將可在此頁面發現 WAN IP 項目請自下拉式選項中選擇需要的 IP 位址輸入本機的虛擬 IP 位址或是按選擇電腦選擇電腦挑選另外一個按此鈕後另一個視窗即自動跳出並提供本機的虛擬 IP 位址之清單資料, 請自清單中選取最適宜的 IP 位址指定傳送層級的通訊協定, 有 TCP UDP 和 (none) 等幾種選擇指定本機所提供之服務的開始通訊埠號指定本機所提供之服務的結束通訊埠號 3.4 其他應用下圖顯示應用應用的功能項目 : 動態 DNS 當您透過 ISP 業者嘗試連接到網際網路時,ISP 業者提供的經常是一個浮動 IP 位址, 這表示指派給您的路由器使用之真實 IP 位址每次都會有所不同,DDNS 可讓您指派一個網域名稱給予浮動廣域網路 IP 位址它允許路由器線上更新廣域網路 IP 位址, 以便對應至特定的 DDNS 伺服器上一旦路由器連上網路, 您將能夠使用註冊的網域名稱, 並利 45

用網際網路存取路由器或是內部虛擬的伺服器資料如果您的主機擁有網路伺服器 FTP 伺服器或是其他路由器後方提供的伺服器, 這項設定就特別有幫助也有意義在您使用 DDNS 時, 您必須先向 DDNS 服務供應商要求免費的 DDNS 服務, 路由器提供分別來自不同 DDNS 服務供應商的三種帳號基本上,Vigor 路由器和大多數的 DDNS 服務供應商 www.dyndns.org, www.

52 用網際網路存取路由器或是內部虛擬的伺服器資料如果您的主機擁有網路伺服器 FTP 伺服器或是其他路由器後方提供的伺服器, 這項設定就特別有幫助也有意義在您使用 DDNS 時, 您必須先向 DDNS 服務供應商要求免費的 DDNS 服務, 路由器提供分別來自不同 DDNS 服務供應商的三種帳號基本上,Vigor 路由器和大多數的 DDNS 服務供應商像是都能相容, 您應該先造訪其網站爲您的路由器註冊自己的網域名稱啟動此功能並增加一個動態 DNS 帳戶 1. 假設您已經從 DDNS 供應商註冊了一個網域名稱 ( 例如 hostname.dyndns.org), 且獲得一個帳號, 其使用者名稱為 test; 密碼為 : test 2. 自應用應用群組選擇動態 DNS 設定, 下述頁面即會出現在螢幕上回復出廠預設值清除全部設定資料並回復到出廠的設定啟用動態 DNS 設定勾選此方塊啟用此功能索引按下方的號碼連結進入 DDNS 設定頁面, 以設定帳戶網域名稱顯示您在 DDNS 設定頁面上所設定的網域名稱啟用顯示此帳號目前是啟用或是停用狀態檢視記錄可開啟另一個對話盒並顯示 DDNS 資訊紀錄強迫更新按此按鈕強迫路由器取得最新的 DNS 資訊 3. 選擇索引號碼 1, 爲您的路由器新增一個帳號勾選啟用動態 DNS 帳號, 然後選擇正確的服務供應商 ( 例 dyndns.org), 輸入註冊的主機名稱 ( 例 hostname), 並於網域名稱區塊中輸入網域的字尾名稱 ( 例 dyndns.org); 接著輸入您的帳號登入名稱 ( 例 dray) 和密碼 ( 例 test) 46

53 啟用動態 DNS 帳號勾選此方塊以啟用目前帳號, 如果您勾選此方塊, 您可在步驟 2 中的網頁上看到啟動欄位出現勾選標示服務供應商為此 DDNS 帳號選擇適當的服務供應商服務類型選擇服務類型 ( 動態自訂固定 ) 如果您選擇的是自訂, 您可以修正網域名稱區域中所選定的網域資料網域名稱輸入您所申請的網域名稱請使用下拉式選項選擇想要使用的一個名稱登入名稱輸入您在申請網域名稱時所設定之登入名稱密碼輸入您在申請網域名稱時所設定之密碼郵件延伸程式某些 DDNS 伺服器可能會要求提供額外的資訊, 如電子郵件地址, 請您在此輸入必要的電子郵件地址, 以配合該 DDNS 伺服器之需要 4. 按確定確定按鈕啟動此設定, 您將會看到所做的設定已被儲存萬用字元與備份 MX 並非所有的動態 DNS 服務商都有支援, 有關此部分內容, 請您自服務商的網站上取得更詳盡的資訊關閉此功能並清除全部動態 DNS 帳號取消勾選啟用動態 DNS 帳號, 並按下清除全部帳號 UPnP 刪除動態 DNS 帳號清除全部按鈕停用此功能以及清除路由器內所有的在動態 DNS 設定頁面上, 請按您想要刪除之帳號的索引號碼, 然後按清除全部刪除該帳號清除全部按鈕即可 UPnP 協定爲網路連線裝置提供一個簡易安裝和設定介面, 爲 Windows 隨插即用系統上的電腦週邊設備提供一個直接連線的方式使用者不需要手動設定通訊埠對應通訊埠對應或是 DMZ,UPnP 只在 Windows XP 系統下可以運作, 路由器提供相關的支援服務給 MSN Messenger, 允許完整使用聲音影像和訊息特徵 47

54 啟用 UPnP 服務您可以視情況勾選啟用連線控制服務啟用連線控制服務或是啟用連線狀態服啟用連線狀態服務在設定啟用 UPNP 服務後, 在 Windows XP/ 網路連線上會出現一個 IP Broadband Connection on Router 圖示, 連線狀態和控制狀態將可開啟使用,NAT Traversal of UPnP 可啟動應用程式中的多媒體特徵, 必須手動設定通訊埠對應或是使用其他類似的方法來設定, 以下顯示此項功能的範例圖形在路由器上的 UPnP 功能, 允許應用程式 ( 像是 MSN Messenger, 可察覺出 UPnP 功能 ) 找到隱藏在 NAT 路由器之下的是什麼, 此應用程式也會記住外部 IP 位址並且在路由器上設定通訊埠對應, 結果這種能力可將封包自路由器的外部通訊埠傳送到應用程式所使用的內部通訊埠 48

55 3.5 VoIP 有關防火牆與 UPnP 功能之提示無法與防火牆軟體配合在您的電腦上啟用防火牆有可能造成 UPnP 不正常運作, 這是因為這些應用程式會擋掉某些網路通訊埠的存取能力安全考量在您的網路上啟用 UPnP 功能可能會招致安全威脅, 在您啟用 UPnP 功能之前您應該要小心考慮這些風險封包某些微軟操作系統已發現到 UPnP 的缺點, 因此您需要確定已經應用最新的服務未享有特權的使用者可以控制某些路由器的功能, 像是移除和新增通訊埠對應等 UPnP 功能可不斷變化的新增通訊埠對應來表示一些察覺 UPnP 的應用程式, 當這些應用程式不正常的運作中止時, 這些對應可能無法移除 Voice over IP network (VoIP) 可讓您使用寬頻網際網路連線撥打網路電話有很多種不同的電話信號協定方法可讓 VoIP 裝置使用以便與對方溝通聯繫, 最普遍的協定有 SIP MGCP Megaco 和 H.323, 這些協定彼此都不完全相容 ( 除非是透過軟體伺服器的掌控 ) Vigor V 系列機種支援 SIP 協定, 因為此種協定對 ITSP (Internet Telephony Service Provider) 而言是很理想也很方便, 支援也最廣 SIP 是一種端對端信號協定, 可建立使用者於 VoIP 結構中之出席情形和機動性每個想要使用 SIP 相同資源辨識器之用戶都可使用標準的 SIP URI 格式 sip: host: port 某些區域可能有不同的使用方式, 一般來說主機指的是網域, 使用者資訊包含有使用者名稱區密碼區,@ 符號則緊跟在後, 這種格式和 URL 很相似, 所以有些人以 SIP URL 來稱呼它 SIP 支援點對點直接撥號, 同時也可透過 SIP 代理伺服器 ( 角色雷同 H

56 Gatekeeper) 來撥號, 而 MGCP 協定則是使用用戶 - 伺服器結構, 撥號方式和目前 PSTN 網路是相同的在撥號設定之後, 聲音是透過 RTP (Real-Time Transport Protocol) 來傳送的, 不同的 codecs( 用來壓縮和解壓縮聲音 ) 可以包覆於 RTP 封包中,Vigor V 機種提供不同的 codecs 包括 G.711 A/µ-law, G.723, G.726 和 G.729 A & B, 每個 codecs 都使用不同頻寬, 因此可以提供不同等級的聲音品質 Codec 使用的頻寬越多, 聲音品質越好, 雖然如此還是應該配合您的網際網路頻寬選擇適宜的 codec 才恰當通常有二種撥號類型, 說明如下 : 透過 SIP 伺服器撥號首先 Vigor V 機種必須先向 SIP 註冊, 傳送註冊訊息才可生效, 然後雙方的 SIP 代理商將轉送一系列訊息給與撥號者, 以便建立完整的 session 如果雙方都向相同 ISP 業者註冊, 那麼我們可以下圖來做簡單說明 : 這種模式最主要的好處是您不必去記朋友的 IP 位址 ( 因為它可能常常會改變, 如果該位址是浮動的位址的話 ), 相反的您只要使用撥號計畫或是直接撥朋友的帳號名稱就可以了點對點我們的 Vigor V 機種首先採用有效之 codecs, 但同時也擔保自動 QoS 的功能,QoS 擔保可以協助指定聲音流量較高之優先權, 您對聲音所需求之 inbound 和 outbound 頻寬永遠擁有優先處理權, 但是您的資料處理就會有些慢, 不過還在忍受範圍內 50

57 我們的 Vigor V 機種首先採用有效之 codecs, 但同時也擔保自動 QoS 的功能,QoS 擔保可以協助指定聲音流量較高之優先權, 您對聲音所需求之 inbound 和 outbound 頻寬永遠擁有優先處理權, 但是您的資料處理就會有些慢, 不過還在忍受範圍內下圖為 VoIP 的功能項目 : 撥號對應表本頁讓使用者設定 VoIP 功能所需的電話簿及數字對應設定請按頁面上的連結進入下一層設定頁面電話簿在本節中, 您可以設定 VOIP 電話, 這個設定可以幫助用戶以最快且最簡單的方式撥出電話號碼本頁總共提供 60 組號碼給用戶儲存朋友以及家人的 SIP 位址 51

58 按任何一個索引標號進入下一個設定頁面啟用電話號碼顯示名稱 SIP URL 勾選此方塊啟用此號碼此索引編號的快速撥號號碼, 任何號碼都可以使用, 範圍是數字 0-9 以及 * 您想要在朋友的電話螢幕上顯示出來的名稱, 可讓您的朋友容易知道是誰打的電話請輸入朋友的 SIP 位址數字對應設定 52

59 為了使用者的方便, 本頁允許使用者以新號碼來編輯 SIP 帳號的前置號碼, 或是取代該號碼等等, 這個設定可以提供用戶一個透過 VoIP 介面快速且簡單的撥號方式啟用前置號碼模式按此方塊啟動此功能此處所設定的號碼可用來新增, 取代變更之號碼無無動作新增 - 當您選擇此模式時, 變更號碼將會增加前置號碼於前面, 並藉由選定的 VoIP 介面撥出卸除 - 當您選擇此模式時變更號碼將會被刪除取代 - 當您選擇此模式時, 透過指定的 VoIP 介面之變更號碼將會被前置號碼所取代 53

60 變更號碼最小長度最大長度介面您在此處所輸入的號碼是您想要執行特殊功用的帳號前半部份 ( 依據選擇的模式而定 ) 設定撥號的最小長度以套用前置號碼之設定, 參考上圖所示, 如果號碼介於 7 和 9, 那麼該號碼可以就能套用此處所設定的前置號碼設定設定撥號的最大長度以套用前置號碼之設定請自預設的六組 SIP 帳號中選擇一個您想要啟動前置號碼設定的介面 SIP 帳號在此頁面中, 您可以調整自己的 SIP 設定, 當您申請一個帳號時, 您的 ISP 服務供應商會給您一個帳號名稱或是使用者名稱 SIP 登錄者代理人和網域名稱 ( 最後三種在某些條件下, 有可能是完全相同的 ), 您可以告訴您的成員有關您的 SIP 位址, 網域名稱當路由器打開時, 網域名稱來登錄, 之後, 您的電話將由 SIP 網域名稱傳送至目的地作為辨識之用索引設定檔網域伺服器帳號名稱振鈴通訊埠 STUN 伺服器外部 IP 按此鈕進入下一層設定頁面設定 SIP 帳號顯示帳號的設定檔名稱顯示 SIP 註冊伺服器的網域名稱或是 IP 位址顯示 SIP 伺服器的網域名稱或是 IP 位址前面的 SIP 位址帳號名稱指定接收電話時由哪一個通訊埠響鈴輸入 STUN 伺服器的 IP 位址或是網域輸入閘道 IP 位址 54

www.ublink.org SIP PING 間隔狀態間隔預設值為 150 秒, 對 Nortel 伺服器而言這項設定是相當有用的顯示相關 SIP 帳號的狀態,R 表示此帳號已註冊成功, 表示尚未成功註冊設定檔名稱由此註冊指定一個名稱作為辨識之用, 您可以使用與網域類似的名稱, 例如網域名稱為 draytel.

61 SIP PING 間隔狀態間隔預設值為 150 秒, 對 Nortel 伺服器而言這項設定是相當有用的顯示相關 SIP 帳號的狀態,R 表示此帳號已註冊成功, 表示尚未成功註冊設定檔名稱由此註冊指定一個名稱作為辨識之用, 您可以使用與網域類似的名稱, 例如網域名稱為 draytel.org, 您就可以在本區中設定 draytel-1 指定您申請註冊時所透過的介面為何, 如果您不想註冊個人資料而直接使用 VoIP 撥號功能, 請選擇無某些 SIP 伺服器允許使用者不須登錄即可使用 VoIP 功能, 針對這類伺服器, 請您選擇自動, 系統將爲您選擇最佳方式作為 VoIP 撥號之用 SIP 通訊埠網域伺服器通訊埠通訊埠號用來傳送 / 接收 SIP 訊息以建立通訊, 雖然預設值為 5060, 您仍可將之變更為其他數字不過在這種情形下, 還需要對方也同時變更為相同的數字才行這時輸入註冊 SIP 伺服器的網域名稱或 IP 位址您可以輸入 SIP 代理伺服器的 IP 位址 ( 或網域名稱如 iptel.org), 所有在上述的網域網域區域中指定的訊息來說 Vigor 路由器將之傳送至代理者, 由代理者來轉送此訊息您可以在網域名稱後面輸入通訊埠號, 指定該埠號為資料傳輸的目的地 ( 例如 nat.draytel.org:5065) 55

62 以對外伺服器之身作顯示名稱帳號名稱 / 號碼驗證 ID 身分之身份來運勾選此方塊以啟用伺服器成為對外伺服器您想要在朋友的電話顯示螢幕上出現的名稱輸入 SIP 位址的帳號名稱, 之前的文字勾選此方塊啟用此功能並輸入名稱或號碼供 SIP 驗證, 如果設定值與帳戶名稱相同, 您就不必勾選此方塊另設數值密碼當您以 SIP 服務註冊時所需提供的密碼有效時間為 SIP 伺服器提保存使用者註冊帳號的有效時間在到期之前, 路由器將會再次傳送另一個註冊需求給予 SIP 登錄伺服器 NAT 穿透如果路由器 ( 寬頻路由器 ) 是透過其他裝置連接上網際網路, 您就必須設定此功能振鈴通訊埠振鈴振鈴樣式無. 關閉此功能 Stun 若路由器支援 Stun 伺服器, 請選擇此項目手動若您想要指定外部 IP 位址作為 NAT transversal 支援, 請選擇此項目 Nortel 如果軟體支援 nortel 方案, 您可以選擇此項目設定 VoIP 1,VoIP 2 作為 SIP 帳號的預設振鈴通訊埠選擇 VoIP 電話的振鈴樣式 P 電話設定本頁讓使用者得以個別設定 VoIP 1 和 VoIP 2 56

63 57

64 電話清話清單 RTP 通訊埠有種通訊埠類型提供給您選擇通話功能這個欄位簡單描述此通電話的功能供使用者參考 Codec 每個通訊埠的預設 Codec 設定都會顯示在本區, 您可以按索引號碼變更每個電話通訊埠的設定音調顯示進階頁面所設定的音調值音量 - 顯示進階頁面中 Mic/Speaker 的音量設定預設 SIP 帳號 draytel_1 是預設的 SIP 帳號, 您可按索引下方的編號變更 SIP 帳號設定 DTMF Relay 顯示進階頁面中所設定的 DTMF 模式 Symmetric RTP 勾選此方塊啟用此功能若要讓資料傳輸能在本機路由器與遠端路由器之間暢行無阻而不至於因 IP 漏失而誤導的情形發生, 請您勾選此方塊解決這個問題 RTP 通訊埠起點 - 指定 RTP 之通訊埠起點, 預設值為 RTP 通訊埠通訊埠終點 - 指定 RTP 之通訊埠終點, 預設值為 RTP TOS 此項可決定 VoIP 封包的等級, 請使用下拉式選項選擇其中一種 Phone Port 細節設定請按索引欄位下方的 1 或 2 連結進入設定頁面熱線連線計數器指定轉接勾選此方塊啟用此功能, 請在本區輸入 SIP URL 讓系統在您拿起話機後自動撥號勾選此方塊啟用此功能, 您在本區所設定的限制時間內如果沒有任何回應, 連線電話將會自動關閉共有四種選項可以選擇, 停用可關閉此功能, 永遠則表示來電會一直轉接到 SIP URL 上, 忙線則表示來電只在本機忙碌 58

65 時轉接到 SIP URL, 沒回應回應則表示來電若未收到任何回應, 電話都會在切斷時轉接到 SIP URL 上 SIP URL 請輸入 SIP URL ( 例如 aaa@draytel.org 或 abc@iptel.org) 做為轉送電話的終點逾時設定電話轉接的逾時現制, 預設值為 30 秒 DND ( 勿干擾 ) 設定一段和平時間不受任何 VoIP 來電的干擾在此期間, 撥號進來的人會聽到忙線的聲音, 而本機用戶則聽不到任何電話鈴聲索引 (1-60) 於電話簿 - 輸入例外電話於此方塊內, 列於此之電話不受勿干擾的限制詳細設定請參考電話電話簿一節話中插接勾選此方塊啟用此功能, 提示聲音將會出現以告知使用者有電話在等待電話轉接勾選此方塊啟用此功能, 按轉接鍵轉接另一通電話, 當電話連線成功時, 掛上電話此時另外二方就可直接溝通偏好 Codec 有五種不同的 CODEC 供您選擇, 但真正被使用的 CODEC 在通訊建立前是和對方共同商議而得預設的 CODEC 是 G.729A/B, 它佔據較少的頻寬但是卻仍擁有良好的聲音品質, 如果您想要使用 G.711, 您最好具有至少 256Kbps 的上傳速率單一 Codec - 如果勾選此方塊, 只有選定的 Codec 會被路由器套用語音資料長度 - 資料總數包含單一封包 (10, 20, 30, 40, 50 和 60), 預設值為 20ms, 表示資料封包含 20ms 聲音資訊語音活動偵測器 (AVD) - 選擇開啟開啟啟動此項功能, 以檢測使用者是否正在交談如果安靜無聲, 路由器將採取行動節省 59

66 頻寬的使用預設 SIP 帳號您可以設定 SIP 帳號 ( 最多 6 組 ), 請使用下拉式清單選擇其中一組作為預設帳號當帳號已帳號已經註冊時請使用撥號使用撥號音 - 勾選此方塊啟用此功能此外, 您也可以按進階進階按鈕進入深一層的設定此項設定是爲了符合路由器安裝所在地區的電信習慣而提供, 錯誤音調設定可能會造成使用者的不便關於設定話機的聲音型態, 方法很簡單, 只要選擇適當的區域讓系統自動尋找事先設定的音調設定和呼叫 ID 類型, 或是您也可選擇使用者自訂, 然後以手動方式調整音調,TOn1, TOff1, TOn2 和 TOff2 表示音調型態的韻律,TOn1 和 TOn2 表示開啟聲音 ;TOff1 和 TOff2 則表示關閉聲音 Region 選擇您目前所處地區, 來電顯示類型電顯示類型撥號撥號音響鈴音響鈴音忙線音和系統系統擁塞音擁塞音都會自動顯示在本頁面上如果您無法找到適合的地區, 請您選擇使用者自訂, 再自行輸入頁面所需的各式資料 60

67 來電顯示類型音量控制雜項 DTMF 您也可以是個人需要指定各個區域內容, 建議您採用預設值作為 VoIP 通訊之用此處提供數種標準, 以便在電話機面板上顯示來電者的身分, 請依照路由器安裝所在地區選擇適合的類型, 如果您不知道話機究竟支援哪種標準, 請直接採用預設值請輸入 1-10 以設定麥克風的音量, 數字越大聲音越大撥號音量控制 - 此項設定用來調整撥號的音量大小, 數字越小音量越大, 建議使用預設值振鈴聲頻率此項設定用來驅動鈴聲的頻率, 建議使用預設值 DTMF 模式模式 InBand - 當您按壓電話上的鍵盤時, 路由器將會直接以聲音模式傳送 DTMF 音調 OutBand - 路由器將會抓取您所按壓的鍵盤號碼然後以數位格式傳送至另一端 ; 接收者將會依照所接收的數位格式來產生音調這個功能在網路擁塞的情形下是很有用處的, 因為它仍可保持 DTMF 音調的準確度 SIP 資訊資訊 - 路由器將抓取 DTMF 音調然後以 SIP 訊息轉送給遠端用戶 Payload 類型 (rfc2833) - 請自 96 至 127 中選擇一個數字, 預設值為 101, 此項設定只對 OutBand (RFC2833) 模式有效狀態在 VoIP 撥號狀態下, 您可以看見 VoIP 1 和 VoIP 2 的 codec 連線情形和其他重要的撥號狀態資料 61

68 更新間隔秒數指定更新的間隔秒數以取得最新的 VoIP 撥號資訊, 當按下更新頁面按鈕時, 頁面資訊將會立即更新通訊埠顯示目前 VoIP 電話的連線通訊埠 (Phone1 / Phone2) 狀態顯示 VoIP 連線狀態 IDLE - 表示 VoIP 功能正處於閒置狀態 HANG_UP - 表示連線並未建立 ( 忙線音調 ) CONNECTING - 表示用戶正撥出號碼中 WAIT_ANS - 表示已連線並等待遠端用戶的回答 ALERTING - 表示有來電 ACTIVE- 表示 VoIP 連線啟動 Codec 表示目前頻道所利用的聲音 codec 對方 ID 撥進或撥出之對方 ID ( 格式可以是 IP 位址或是網域名稱 ) 經過時間通話時間以秒數計算傳送封包數在連線中全部的傳送封包數量接收封包數在連線中全部的接收封包數量漏失接收封包在連線中漏失的全部封包接收抖動接收聲音封包抖動狀態來電已接來電總數撥出電話撥出電話總數接聽音聽音量電話音量大小 62

69 記錄顯示 VoIP 電話紀錄 3.6 無線區域網路設定本節所提供的資訊僅針對 n 系列機型基本觀念在最近幾年無線通訊的市場有了極大的成長, 無線技術線在到達了或說是有能力到達地球表面上的每一個點, 數以百萬的人們每天透過無線通訊產品彼此交換資訊,Vigor G 系列路由器, 又稱為 Vigor 無線路由器, 被設計成為一個適合小型辦公室 / 家庭需要的路由器, 擁有最大的彈性與效率, 任何一個被授權的人, 都可以攜帶內建的無線區域網路用戶端 PDA 或是筆記型電腦, 進入會議室開會, 因而不需擺放一堆亂七八糟的纜線或是到處鑽孔以便連線無線區域網路機動性高, 因此無線區域網路使用者可以同時存取所有區域網路中的工具, 以及遨遊網際網路, 好比是以有線網路連接的一樣 Vigor 無線路由器皆配有與標準 IEEE n draft 2 通訊協定相容之無線區域網路介面, 爲了進一步提高其效能,Vigor 路由器也承載了進階無線技術以便將速率提升至 300 Mbps*, 因此在最後您可以非常順利的享受流暢的音樂與影像注意 :* 資料的實際總處理能力會依照網路條件和環境因素而改變, 如網路流量網路費用以及建造材料在無線網路的基礎建設模式 (Infrastructure Mode) 中,Vigor 無線路由器扮演著無線網路基地台 (AP) 的角色, 可連接很多的無線用戶端或是無線用戶站 (STA), 所有的用戶站透過路由器, 都可分享相同的網際網路連線基本設定基本設定可讓您針對無線網路所需的訊息包含 SSID 頻道等項目做基本的配置安全防護概要即時硬體加密 : Vigor 路由器配有 AES 加密引擎, 因此可以採用最高級的保護措施, 在不影響使用者的習慣之下, 對資料達成保護效果完整的安全性標準選項 : 為了確保無線通訊的安全性與私密性, 提供數種市場上常見的無線安全標準 63

有線對應隱私權 (Wired Equivalent Privacy, WEP) 是一種傳統的方法, 使用 64-bit 或是 128-bit 金鑰透過無線收發裝置來加密每個資料訊框通常無線基地台會事先配置一組含四個金鑰的設定, 然後使用其中一個金鑰與每個無線用戶端通訊聯絡 Wi-Fi 保護存取協定 (Wi-Fi Protected Access, WPA) 是工業上最佔優勢的安全機制,

70 有線對應隱私權 (Wired Equivalent Privacy, WEP) 是一種傳統的方法, 使用 64-bit 或是 128-bit 金鑰透過無線收發裝置來加密每個資料訊框通常無線基地台會事先配置一組含四個金鑰的設定, 然後使用其中一個金鑰與每個無線用戶端通訊聯絡 Wi-Fi 保護存取協定 (Wi-Fi Protected Access, WPA) 是工業上最佔優勢的安全機制, 可分成二大類 :WPA-personal 或稱為 WPA Pre-Share Key (WPA/PSK) 以及 WPA-Enterprise 又稱為 WPA/802.1x 在 WPA-Personal 機制中, 會應用一個事先定義的金鑰來加密傳輸中的資料,WPA 採用 Temporal Key Integrity Protocol (TKIP) 加密資料而 WPA2 則是採用 AES,WPA-Enterprise 不只結合加密也還涵括驗證功能由於 WEP 已被證明是有弱點的, 您可以考慮使用 WPA 作為安全連線之用您應該按照所需來選擇適當的安全機制, 不論您選擇哪一種安全防護措施, 它們都可以全方位的加強您無線網路上之資料保護以及 / 或是機密性 Vigor 無線路由器是相當具有彈性的, 且能同時以 WEP 和 WPA 支援多種安全連線分隔無線與有線區域網路 - 無線區域網路隔離可使您自有線區域網路中, 分隔出無線區域網路以便隔離或是限制存取隔離代表著雙方彼此都無法存取對方的資料, 欲詳細說明商業用途之範例, 您可以為訪客設定一個無線區域網路, 讓他們只能連接到網際網路而不必擔心洩露機密資訊更彈性的作法是, 您可以新增 MAC 位址的過濾器來區隔有線網路之單一使用者的存取行為管理無線用戶端 - 無線用戶端列表顯示無線網路中全部的無線用戶端以及連接狀態以下為無線區域網路無線區域網路下的功能項目 : 基本設定按下一般設定一般設定連結, 新的網頁即會開啟, 您可以設定 SSID 和無線頻道資訊, 請參考下圖 : 64

71 啟用模式勾選此方塊啟動無線功能請選擇一個適當的無線模式目前路由器支援的協定有綜合 ( (11b+11g), 11g Only, 11b Only, 綜合 ( (11g+11n), 11n Only 及綜合 ( (11b+11g+11n) 請選擇綜合 (11b+11g+11n) 模式 SSID 道預設的 SSID 值為 DrayTek 建議您變更為另一個特殊名稱它是無線區域網路的身分辨識碼,SSID 可以是任何文字數字或是各種特殊字元無線區域網路的通道頻率預設頻道是 6, 如果選定的頻道受到嚴重的干擾的話, 您可自行切換為其他頻道如果您不知道該選何種通道頻率的話, 請選擇自動自動即可 65

72 隱藏 SSID 長封包標封包標頭安全性設定擇安全性設定勾選此方塊, 防止他人得知 SSID 值, 未知此路由器的 SSID 之無線用戶在搜尋網路時, 看不到 Vigor 無線路由器的訊息此選項用來定義封包中同步區塊的長度, 最新的無線網路以 56 bit 同步區來使用短封包標頭, 而不是以 128 bit 同步區來使用長封包標頭不過, 一些原始 11b 無線網路裝置只有支援長封包標頭而已, 因此如果您需要和此種裝置通訊溝通的話, 請勾選此方塊安全性設定後, 新的網頁將會出現, 您可以在此頁面上調整 WEP 和 WPA 設定 66

73 模式此一設定有數種模式可供您選擇 WPA WEP 停用 - 關閉加密機制 WEP - 只接受 WEP 用戶以及僅接受以 WEP 金鑰輸入的加密鑰匙 WPA/PSK - 接受 WPA 用戶, 請在 PSK 中輸入加密金鑰 WPA2/PSK - 接受 WPA2 用戶, 請在 PSK 中輸入加密金鑰綜合 (WPA+ WPA2)/PSK 同時接受 WPA 與 WPA2 用戶, 請在 PSK 中輸入加密金鑰 WPA 可藉由金鑰加密每個來自無線網路的訊框, 可在本區手動輸入 PSK, 或是藉由 802.1x 驗證方式來自動加密類型選擇綜合 (WPA+WPA2) 或 WPA2 預先共先共用金鑰 (PSK) - 輸入 8~63 個 ASCII 字元, 像是 ( 或是 64 個 16 進位數字, 以 0x 開頭, 如 0x321253abcde...) 64-Bit - 針對 64 位元的 WEP 金鑰, 請輸入 5 個 ASCII 字元, 像是 12345( 或是 10 個 16 進位數字, 以 0x 開頭, 如 0x ) 67

74 128-Bit - 針對 128 位元的 WEP 金鑰, 請輸入 13 個 ASCII 字元, 像是 ABCDEFGHIJKLM( 或是 16 個 16 進位數字, 以 0x 開頭, 如 0x ) 連線控制所有的無線裝置都必須支援相同的 WEP 加密位元大小, 並擁有相同的金鑰這裡可以輸入四組金鑰, 但一次只能選擇一組號碼來使用, 這些金鑰可以 ASCII 文字或是 16 進位字元來輸入請點選您想使用的金鑰組別為了增加額外的無線存取安全性, 連線控制頁面可讓您透過無線區域網路的用戶 MAC 位址來限制網路存取動作只有設定有效的 MAC 位址得以存取無線區域網路介面, 請選連線控制連線控制連結, 開啟新的網頁, 如同下圖所示, 您即可在此頁面上編輯用戶端的 MAC 位址達到控制其存取權的目的啟用連線控制規則 MAC 位址過濾客戶端的 MAC 位址特性新增刪除勾選此項以啟動 MAC 位址存取控制作用選擇一項規則, 請挑選啟用 MAC 位址過濾程式程式以便在下方手動輸入其他用戶的 MAC 位址 ; 挑選隔離無線網路和有線網路網路可以 MAC 位址清單為基礎, 自區域網路中隔開所有的無線網路用戶站顯示之前編輯的全部 MAC 位址請手動輸入無線用戶端的 MAC 位址 s - 勾選此項以便隔離無線用戶端之無線連線新增新的 MAC 位址於清單上刪除清單中選定的 MAC 位址 68

75 編輯取消確定全部清除無線用戶端列表編輯清單中選定的 MAC 位址放棄連線控制設定按此鈕儲存連線控制清單按此鈕儲存連線控制清單無線用戶端列表提供您目前相連之無線用戶的狀態碼, 下圖針對狀態碼提供了詳盡的解說, 爲了能有更方便的連線控制, 您可以選擇一台 WLAN 用戶站然後選擇新增到連線控制, 這樣就可以了更新頁面新增按此鈕更新用戶端的 MAC 位址列表按此鈕新增選定之 MAC 位址至連線控制連線控制 3.7 系統維護系統設定方面, 有數種項目是使用者需要了解的 : 系統狀態使用者密碼時間設定重啟系統等等下圖為系統維護的主要設定功能 69

76 3.7.1 系統狀態系統狀態提供基本的網路設定, 包含區域網路和 WAN 介面等資訊, 同時您也可以獲得目前執行中的韌體版本或是韌體其他的相關資訊型號名稱韌體版本建立日期建立日期與時間 LAN MAC 位址第一個 IP 位址第一個子網路遮罩 DHCP 伺服器 DNS WAN 連線狀態 MAC 位址 IP 位址預設閘道 Wireless LAN MAC 位址頻率網域顯示路由器的型號名稱顯示路由器的韌體版本顯示目前韌體建立的日期與時間顯示區域網路介面的 MAC 位址顯示區域網路介面的 IP 位址顯示區域網路介面的子網路遮罩位址顯示區域網路介面的 DHCP 伺服器目前的狀態顯示主要 DNS 的 IP 位址顯示目前的實體連線狀況顯示 WAN 介面的 MAC 位址顯示 WAN 介面的 IP 位址顯示預設閘道指定的 IP 位址顯示無線區域網路的 MAC 位址網域可以是歐洲 (13 個可用頻道 ), 美國 (11 個可用頻道 ), 無線產品所支援之可用頻道在不同的國家下是不相同的 70

77 韌體版本表示配備 WLAN minipci 卡的詳細資訊, 同時可以提供該卡相關的特徵訊息 SSID 顯示路由器的 SSID 使用者密碼本頁允許您設定新的密碼舊密碼請輸入舊密碼, 出廠預設值是空白的新密碼請在本區輸入新密碼確認密碼再次輸入新密碼以確認當您按下確定確定鍵後, 登入視窗將會出現, 請使用新的密碼以便再次存取網頁設定頁面時間和日期允許您指定自何處取得路由器時間 C 目前系統時間使用本台 PC 的時間按取得時間取得時間按鈕取得目前時間的時間選擇此項以便採用遠端管理者電腦上的瀏覽器時間, 作使用網際網路的時間伺服器時間協定選擇此項以便自網際網路上的時間伺服器選擇所需的時間資訊選擇適合本地的時間協定 71

78 伺服器 IP 位址時區輸入時間伺服器的 IP 地址選擇路由器所在的時區自動更新間隔選定時間間隔以供 NTP 伺服器更新之用全部設定完成之後請按確定確定儲存目前的設定重啟路由器網路設定可以用來重新啟動路由器, 請自系統維護系統維護中按重啟路由器重啟路由器開啟如下頁面如果您想要使用目前的設定來重新啟動路由器, 請勾選使用使用目前組態, 然後按確定 ; 如果要重設路由器設定回復成為預設值, 請勾選使用使用原廠預設組態, 然後按確定, 路由器將會花 5 秒重新啟動系統注意 :. 當系統在您完成網頁設定並跳出重啟路重啟路由器由器網頁後, 請務必按下確定確定以重新啟動路由器, 這個動作可以確保系統的操作正常, 且可避免未來發生不預期的錯誤 72

79 3.8 我診斷工具自我診斷工具提供一個非常有效的方式, 讓使用者能夠檢視或是診斷路由器的現況以下為自我診斷的選單項目 : DHCP 表此工具提供指派 IP 位址的相關資訊, 這項資訊對於診斷網路問題像是 IP 位址衝突等是很有幫助的按自我診斷工具, 選擇 DHCP 表開啟相關網頁 Index IP Address MAC Address Leased Time HOST ID 更新頁面顯示連線項目編號顯示路由器指派給特定電腦的 IP 位址顯示 DHCP 指派給特定電腦的 MAC 位址顯示指定電腦的租約時間顯示指定電腦的主機 ID 名稱按此鈕重新載入本頁 73

80 3.8.2 Ping 自我診斷按自我診斷工具, 選擇 Ping 自我診斷我診斷開啟相關網頁 Ping 至 IP 位址執行清除追蹤路由使用下拉式清單選擇您想要 Ping 的目標輸入您想要 Ping 的主機 /IP 上的 IP 位址按此鈕啟動 Ping 作業, 結果將會顯示在螢幕上按此連結清除視窗上的結果按下診斷工具, 選擇追蹤追蹤路由路由開啟相關網頁本頁允許您追蹤路由器至主機之間的路由情況, 只要簡單的輸入主機的 IP 位址並按下執行按鈕, 整個路由狀況都將顯示在螢幕上追蹤經追蹤經由介面主機 /IP 位址執行清除使用下拉式清單選擇您想要經由其處來追蹤的 WAN 介面, 或使用不指定指定讓路由器自動決定選擇哪一種介面指明主機的 IP 位址按此鈕開始路由追蹤動作按此連結刪除視窗上的結果 74

81 4 管理者操作模式 4.1 網際網路連線控制快速安裝精靈提供使用者一個簡單的方法, 以便能快速設定路由器的連線模式如果您想要針對不同廣域網路模式調整更多的設定, 請前往 WAN 群組然後點選網際網路連線控制連結本節將會為您介紹一些網際網路的基本觀念, 並詳細說明所有的連線模式網路的基本概念 IP 表示網際網路通訊協定, 在以 IP 為主的網路像是路由器列印伺服器和主機電腦的每一種裝置, 都需要一組 IP 位址作為網路上身分辨識之用為了避免位址產生衝突,IP 位址都必須於網路資訊中心 (NIC) 公開註冊, 擁有個別 IP 位址對那些於真實網路分享的裝置是非常必要的, 但在虛擬網路上像是路由器所掌管下的主機電腦就不是如此, 因為它們不需要讓外人從真實地區進入存取資料因此 NIC 保留一些永遠不被註冊的特定位址, 這些被稱之為虛擬 IP 位址, 範圍條列如下 : 從到從到從到什麼是真實 IP 位址和虛擬 IP 位址由於路由器扮演著管理及保護其區域網路的角色, 因此它可讓主機群間互相聯繫每台主機都有虛擬 IP 位址, 是由路由器的 DHCP 伺服器所指派, 路由器本身也會使用預設之虛擬 IP 位址與本地主機達成聯繫目的, 同時,Vigor 路由器可藉由真實 IP 位址與其他的網路裝置溝通連接當資料經過時, 路由器的網路位址轉換 (NAT) 功能將會在真實與虛擬位址間執行轉換動作, 封包將可傳送至本地網路中正確的主機電腦上, 如此一來, 所有的主機電腦就都可以共享一個共同的網際網路連線取得 ISP 提供的真實 IP 位址欲取得 ISP 提供的真實 IP 位址, 以便將路由器當成用戶假定之設備, 有幾種種常見的模式可以選用 :Point to Point Protocol over Ethernet (PPPoE), 和 MPoA. 等,Multi-PVC 是提供給您執行更進階的設定在 ADSL 之部署中,PPP (Point to Point) 型態之驗證和授權是橋接用戶前端設備所需要的 PPPoE (Point to Point Protocol over Ethernet ) 透過一台存取裝置連接網路主機至遠端存取集中器, 此種應用讓使用者覺得操作路由器是很簡單的, 同時也可依照使用者的需要提供存取控制及服務類型當路由器開始連接至 ISP 時, 路由器將執行一系列過程以尋求連線, 然後即可產生一個 session, 您的使用者辨識名稱和密碼由 RADIUS 驗證系統的 PAP 或 CHAP 來驗證, 通常您的 IP 位址 DNS 伺服器和其他相關資訊都是由 ISP 指派的下圖為 WAN 的功能項目 : 75

82 4.1.2 PPPoE 如果想要使用 PPPoE 作為網際網路連線的通訊協定, 請自 Internet Access 功能項目中選擇 PPPoE 模式, 下面的設定網頁將會出現 PPPoE 用戶端模式 ISP 存取設定 WAN 連線檢測 PPP/MP 設定按下啟用啟用按鈕可啟動此功能, 如果您選的是停用, 此項功能將會關閉, 全部調整過的設定也都將立即失效輸入使用者名稱密碼和驗證參數, 按照 ISP 所提供給您的訊息使用者名稱在本區請輸入 ISP 提供的使用者名稱密碼在本區請輸入 ISP 提供的密碼索引號碼 (1-15) 於排程設定 - 可以輸入四組時間排程, 全部的排程都是在應用 - 排程網頁中事先設定完畢, 您可在此輸入該排程的索引編號這個功能讓您檢查目前網路是否還在連線中可透過 ARP 檢測或是 Ping Detect 來完成模式選擇 ARP Detect 或 Ping Detect 執行 WAN 檢測動作 Ping IP 如果您選擇 Ping Detect 作為檢測模式, 您必須在本區輸入 IP 位址作為 Ping 檢測之用 TTL (Time to Live) 顯示數值供您參考,TTL 數值是利用 Telnet 指令始可設定 PPP 驗證選擇 PAP 或是 PAP 或 CHAP 閒置逾時設定網際網路在經過一段沒有任何動作的時間後自 76

83 IP 位址指派方式 (IPCP) 動斷線的時間, 此項設定只在 WAN>> 一般設定網頁中的啟動模式選擇了需求時連線需求時連線才會有作用通常每次的連線,ISP 會隨機指派 IP 位址給您, 在某些情況下, 您的 ISP 可以提供給您相同的 IP 位址, 不論您何時提出要求您只要在固定 IP 位址欄位中輸入 IP 位址就可以達成上述的目的詳情請聯絡您的 ISP 業者 WAN IP 別名 - 如果您有數個真實 IP 位址且想要在 WAN 介面上使用, 請使用此功能除了目前使用的這一組之外, 您還可以設定多達 8 組的真實 IP 位址固定 IP 位址預設 MAC 位址入另一組位址指定 MAC 位址位址按是使用此功能並輸入一個固定的 IP 位址位址您可以使用預設 MAC 位址或是在此區域中填位址手動輸入路由器的 MAC 位址在您完成上述的設定之後, 請按確定確定按鈕來啟動設定固定或動態 IP 對固定 IP 模式來說, 通常您會收到 DSL 或是 ISP 服務供應商提供給您的一個固定的真實 IP 位址或是真實子網路, 在大多數的情形下,Cable 服務供應商將會提供一個固定的真實 IP, 而 DSL 服務供應商提供的是真實子網路資料如果您有一組真實的子網路, 您可以指派一組或是多組 IP 位址至 WAN 介面若要使用固定或動態 IP 為網際網路的連線協定, 請自 WAN 中選擇網際網路連線, 接著選擇固定或動態 IP, 即可出現下圖 77

84 固定或動態 IP (DHCP 用戶端 ) 維持 WAN 連線 WAN 連線檢測 RIP 協定 WAN IP 網路設定按啟用啟用以啟動此功能, 如果您按的是停用, 此功能將會關閉, 您在此頁面所完成的全部設定都將失效正常情況下, 這個功能是設計用來符合動態 IP 環境, 因為某些 ISP 會在一段時間沒有任何回應時中斷連線請勾選啟用 PING 以保持常態連線 PING 到指定的到指定的 IP 如果您啟用此功能, 請指定 IP 位址讓系統可以 PING 到該 IP 以保持連線 PING 間隔 - 輸入間隔時間讓系統得以執行 PING 動作這個功能讓您檢查目前網路是否還在連線中可透過 ARP 檢測或是 Ping Detect 來完成模式選擇 ARP Detect 或 Ping Detect 執行 WAN 檢測動作 Ping IP 如果您選擇 Ping Detect 作為檢測模式, 您必須在本區輸入 IP 位址作為 Ping 檢測之用 TTL (Time to Live) 顯示數值供您參考,TTL 數值是利用 Telnet 指令始可設定指名路由器是如何變更路由表格資訊, 勾選此項目以啟動此功能這個區域允許您自動取得 IP 位址並讓您手動輸入 IP 位址 WAN IP 別名 - 如果您有多個真實 IP 位址, 想要在 WAN 介面上利用這些 IP, 請使用 WAN IP 別名除了目前使用的 IP 外, 您還可以另外設定 8 組真實 IP, 要注意的是, 本項設定僅針對 WAN1 有效用 78

85 DNS 伺服器 IP 位址自動取得 IP 位址動取得 IP 位址路由器名稱網域名稱 : 輸入指定的網域名稱指定 IP 位址 IP 位址 : 輸入 IP 位址子網路遮罩 : 輸入子網路遮罩閘道 IP 位址 : 輸入閘道 IP 位址預設 MAC 位址指定 MAC 位址位址如果您想要使用動態 IP 模式, 按此鈕以自路由器名稱 : 輸入 ISP 的路由器名稱位址按此鈕指定 IP 位址讓資料通過位址 : 按此鈕使用預設的 MAC 位址位址 : 部分 Cable 服務供應商會指定 MAC 位址作為存取驗證之用, 此時您需要按下此鈕並在下方區域輸入 MAC 位址位址若要使用固定 IP 模式, 請輸入路由器的主要 IP 位址, 如有必要, 在將來, 您也可以輸入次要 IP 位址以符合所需 PPTP/L2TP 若要使用 PPTP/L2TP 為網際網路的連線協定, 請自 Internet Access 中選擇 PPTP/L2TP, 即可出現下圖 79

86 PPTP Setup ISP 存取設定 PPP Setup IP 位址指派方式 (IPCP) WAN IP 網路設定按啟用啟用以啟動此功能, 如果您按的是停用, 此功能將會關閉, 您在此頁面所完成的全部設定都將失效 PPTP Server 如果您啟用了 PPTP/L2TP 模式, 請指定伺服器的 IP 位址使用者名稱在本區請輸入 ISP 提供的使用者名稱密碼在本區請輸入 ISP 提供的密碼索引號碼 (1-15) 於排程設定 - 可以輸入四組時間排程, 全部的排程都是在應用 - 排程網頁中事先設定完畢, 您可在此輸入該排程的索引編號 PPP Authentication - Select PAP only or PAP or CHAP for PPP. Idle Timeout - Set the timeout for breaking down the Internet after passing through the time without any action. 通常每次的連線,ISP 會隨機指派 IP 位址給您, 在某些情況下, 您的 ISP 可以提供給您相同的 IP 位址, 不論您何時提出要求您只要在固定 IP 位址欄位中輸入 IP 位址就可以達成上述的目的詳情請聯絡您的 ISP 業者固定 IP 位址請輸入一組固定 IP 自動取得 IP 位址如果您想要使用動態 IP 模式, 按此鈕以自動取得 IP 位址指定 IP 位址按此鈕指定 IP 位址讓資料通過 IP 位址 : 輸入 IP 位址子網路遮罩 : 輸入子網路遮罩 80

87 4.2 區域網路區域網路是由路由器所管理的一群子網路, 網路結構設計和您自 ISP 所取得之真實 IP 位址有關區域網路基本概念 Vigor 路由器最基本的功能為 NAT, 可用來建立虛擬的子網路, 如前所述, 路由器利用真實 IP 位址與網際網路上其他的真實主機互相通訊, 或是使用虛擬 IP 地址與區域網路上的主機連繫 NAT 要完成的事情就是轉換來自真實 IP 位址的封包到私有 IP 地址, 以便將正確的封包傳送至正確的主機上, 反之亦然此外 Vigor 路由器還有內建的 DHCP 伺服器, 可指定虛擬 IP 地址至每個區域主機上, 請參考下面的範例圖, 即可獲得大略的了解在某些特殊的情形當中, 您可能會有 ISP 提供給您的真實 IP 子網路像是 /24, 這表示您可以設定一個真實子網路, 或是使用配備有真實 IP 地址之主機的第二組子網路, 作為真實子網路的一部份,Vigor 路由器將會提供 IP 路由服務, 幫助真實地區子網路上的主機能與其他真實主機 / 外部伺服器溝通連繫, 因此路由器必須設定為真實主機的通訊閘道才行 81

比起其他的方法有時候對連線來說最有效也是最快速的方式就是固定路由功能, 您可設定一些規則來傳送指定子網路上的資料到另一個指定的子網路上而不需要透過 RIP

88 什麼是 RIP(Routing Information Protocol) Vigor 路由器可利用 RIP 與鄰近路由器交換路由資訊, 達到 IP 路由的目的這樣可讓使用者變更路由器的資訊, 例如 IP 地址, 且路由器還會自動通知雙方此類訊息什麼是固定路由當您的區域網路上有數個子網路時, 比起其他的方法有時候對連線來說最有效也是最快速的方式就是固定路由功能, 您可設定一些規則來傳送指定子網路上的資料到另一個指定的子網路上而不需要透過 RIP 什麼是虛擬區域網路 (VLAN) 您可以利用實體的連接埠將群組區域網路上的主機, 然後建立虛擬區域網路, 最多可達 4 個為了要管理不同群組間的通訊狀況, 請再虛擬區域網路功能上設定一些規則, 以及每個網路的傳送速率 82

89 基本設定本頁提供您區域網路的基本設定區域網路開啟區域網路設定並選擇基本設定按區域網路基本設定第一 IP 位址請輸入虛擬 IP 地址以便連接區域虛擬網路 ( 預設值為 ) 第一子網路遮罩請輸入決定網路大小的位址碼 ( 預設值為 / 24) 供 IP 路由使用按下啟用啟用以啟動此功能, 此功能預設值是停用此應用視情況需要而設定第二 IP 位址請輸入第二組 IP 地址以便連接至子網路 ( 預設值為 ) 第二子網路遮罩第二子網路遮罩請輸入第二組決定網路大小的位址碼 ( 預設值為 / 第二子網路遮罩 DHCP 伺服器 24) 您可以將路由器設定為 DHCP 伺服器, 提供服務予第二組子網路 83

90 RIP 協定控制起始 IP 位址 : 輸入 IP 地址 pool 數值做為 DHCP 伺服器指定 IP 地址時的起始點, 如果路由器的第二組 IP 地址為 ,, 起始 IP 地址可以是或是更高一些, 但比小 IP 配置數量 : 輸入 IP 地址的數量, 最大值為 10, 例如您若輸入 3 而第二組 IP 地址為 ,DHCP 伺服器的 IP 地址範圍即為到 MAC 位址 : 請一個個輸入主機的 MAC 地址, 按新增新增來建立主機清單以便指定刪除或是編輯上述範圍中的 IP 地址設定第二組 DHCP 伺服器所需的 MAC 位址清單, 可幫助路由器指定正確的 IP 地址及子網路至正確的主機上這樣在第二子網路上的主機便不會得到屬於第一組子網路的 IP 地址停用關閉 RIP 協定, 可讓不同路由器之間資訊交換暫停 ( 此為預設值 ) DHCP 伺服器組態第一子網路 RIP 資訊第二子網路 RIP 資訊第一子網路 - 選擇路由器以交換第一子網路和鄰近路由器間的第二子網路 - 選擇路由器以交換第二子網路和鄰近路由器間的 DHCP 是 Dynamic Host Configuration Protocol 的縮寫, 路由器的出廠預設值可以作為您的網路的 DHCP 伺服器, 所以它可自動分派相關的 IP 設定給區域的使用者, 將該使用者設定成為 DHCP 的用戶端如果您的網路上並沒有任何的 DHCP 伺服器存在, 建議您讓路由器以 DHCP 伺服器的型態來運作 84

91 DNS 伺服器組態如果您想要使用網路上另外的 DHCP 伺服器, 而非路由器的伺服器, 您可以利用中繼代理來幫您重新引導 DHCP 需求到指定的位置上啟用 - 讓路由器指定 IP 地址到區域網路上的每個主機上停用 - 讓您手動指定 IP 地址到區域網路上的每個主機上 DHCP 中繼代理位址 - (1 st subnet/2 nd subnet) 指定某個 DHCP 伺服器所在的子網路讓中繼代理重新引導 DHCP 需求至該處起始 IP 位址 - 輸入 DHCP 伺服器的 IP 地址配置的數值作為指定 IP 地址的起始點, 如果第路由器的第一個 IP 地址為 , 起始 IP 地址可以是或是更高一些, 但比小 IP 配置數量 - 輸入您想要 DHCP 伺服器指定 IP 地址的最大數量, 預設值為 50, 最大值為 253 閘道 IP 位址 - 輸入 DHCP 伺服器所需的閘道 IP 地址, 這項數值通常與路由器的第一組 IP 地址相同, 表示路由器為預設的閘道 DHCP 伺服器 IP 位址關於中繼代理程式 - 設定您預備使用的 DHCP 伺服器 IP 位址, 讓中繼代理可以協助傳送 DHCP 需求至伺服器上 DNS 是 Domain Name System 的縮寫, 每個網際網路的主機都必須擁有獨特的 IP 地址, 也必須有人性化且容易記住的名稱諸如一般,DNS 伺服器可轉換此名稱至相對應的 IP 地址上使用 DNS 手動設定強迫路由器使用本頁所指定的 DNS 伺服器而非使用網際網路存取伺服器所提供的 DNS 伺服器 (PPPoE, PPTP, L2TP 或 DHCP 伺服器 ). 主要 IP 位址位址 - 您必須在此指定 DNS 伺服器的 IP 地址, 因為通常您的 ISP 應該會提供一個以上的 DNS 伺服器, 如果您的 ISP 並未提供, 路由器會自動採用預設的 DNS 伺服器 IP 地址 , 放在此區域次要 IP 位址位址 - 您可以在此指定第二組 DNS 伺服器 IP 位址, 因為 ISP 業者會提供一個以上的 DNS 伺服器如果您的 ISP 並未提供, 路由器會自動採用預設的第二組 DNS 伺服器, 其 IP 位址為 , 放在此區域預設 DNS 伺服器 IP 位址可在線上狀態上查看 : 如果主要和次要 IP 地址區都是空白的, 路由器將會指定其本身的 IP 地址給予本地使用者作為 DNS 代理伺服器並且仍保有 DNS 快速緩衝貯存區如果網域名稱的 IP 地址已經在 DNS 快速緩衝貯存區內, 路由器將立即 resolve 網域名稱否則路由器會藉著建立 WAN ( 例如 DSL/Cable) 連線時, 傳送 DNS 疑問封包至外部 DNS 伺服器 85

第五章中舉出二種常見的區域網路設定腳本供您參考, 有關設定範例部份, 如有需求請參考該章以取得更多的訊息 4.2.

92 第五章中舉出二種常見的區域網路設定腳本供您參考, 有關設定範例部份, 如有需求請參考該章以取得更多的訊息固定路由進入區域網路區域網路群組並選擇固定路由固定路由, 開啟如下的畫面索引目標位址狀態檢視路由表索引下方的號碼 (1 到 10) 允許您開啟下一層頁面以設定固定路由顯示固定路由的目標位址顯示固定路由的狀態開啟如下畫面檢視目前的路由狀況增加固定路由至虛擬或真實網路上此處為固定路由的範例, 不同子網路上的使用者 A 與 B 可以透過路由器彼此溝通假定網際網路的存取已設定完畢, 路由器可以適當的運作使用主要路由器進入網際網路利用內部的路由器 A( ), 建立虛擬子網路透過內部的路由器 B( ), 建立真實子網路已設定主要路由器爲路由器 A ( ) 的預設閘道在設定固定路由之前, 使用者 A 無法與使用者 B 溝通, 因為路由器 A 只會傳送辨認出的封包至主要路由器的預設閘道 86

www.ublink.org 1. 在區域網路區域網路群組中, 選擇一般設定選確定確定按鈕一般設定再選擇第一子網路作為 RIP 協定控制協定控制, 然後點注意 : 有二個理由讓我們一定要在第一子網路上應用 RIP 通訊協定第一個理由是區域網路介面可以透過第一子網路 (192.168.1.0/24) 與鄰近路由器作 RIP 封包交換, 第二個, 理由是網際網路虛擬子網路上 ( 例如 192.

93 1. 在區域網路區域網路群組中, 選擇一般設定選確定確定按鈕一般設定再選擇第一子網路作為 RIP 協定控制協定控制, 然後點注意 : 有二個理由讓我們一定要在第一子網路上應用 RIP 通訊協定第一個理由是區域網路介面可以透過第一子網路 ( /24) 與鄰近路由器作 RIP 封包交換, 第二個, 理由是網際網路虛擬子網路上 ( 例如 /24) 的主機群可以藉此路由器存取網際網路資訊, 並和不同子網路持續進行 IP 路由資訊交換區域網路群組中選擇固定路由, 按索引編號 1 勾選啟用啟用方塊, 請以下列數字新增一個固定路由, 讓所有應前往的封包都能透過來轉送, 接著按確定確定 2. 在區域網路固定路由頁面, 按另一個索引編號增加另一個固定路由, 設定如下圖它可將所有指定前往的封包轉送至 , 然後按確定確定 3. 回到固定路由 87

94 4. 按診斷工具診斷工具中的路由表路由表檢查目前的路由表格綁定 IP 與 MAC 位址此功能用來綁定區域網路中的電腦之 IP 與 MAC 位址, 如此一來可在網路上達到更有效的控制當此一功能啟用時, 所有被綁定的 IP 與 MAC 位址的電腦都不能在變更, 如果您修改了綁定 IP 或 MAC 位址, 可能會造成無法存取網際網路的窘態按 LAN 並選擇綁定 IP 至 MAC 開啟設定網頁 88

95 啟用停用限制綁定 ARP 表全選按此鈕啟用此功能, 不過未列在 IP 綁定清單中的 IP/MAC 位址以可以連上網際網路按此鈕關閉此功能, 頁面上全部的設定都將會失效按此鈕封鎖未列在 IP 綁定清單中的 IP/MAC 位址連線此表格為路由器的區域網路 ARP 表,IP 和 MAC 資訊將顯示於本區列於 ARP 表中的每組 IP 和 MAC 位址都可以為使用者挑選並透過新增按鈕加到 IP 綁定清單上按此連結選擇表格內全部內容按此連結將表格內容按照 IP 位址重新排序排序更新頁面用來更新 ARP 表格, 當新的電腦增加到區域網路上時, 您可以按此連結取得最新的 ARP 表格資訊新增與編輯 IP 位址輸入 IP 位址以作為指定 MAC 位址之用 MAC 位址輸入 MAC 位址以便與指定的 IP 位址綁在一起 IP 綁定清定清單顯示綁定 IP 至 MAC 資訊清單新增允許您將 ARP 表格中所挑選的或是在新增和編輯上所輸入的 IP/MAC 位址新增至 IP 綁定清定清單上編輯允許您編輯或修正先前所建立的 IP 位址和 MAC 位址刪除您可以刪除 IP 綁定清定清單上任何一個項目, 選擇您想刪除的項目然後按刪除刪除按鈕, 選定的項目將自 IP 綁定清定清單上刪除附註 : 在您選擇限制綁定前, 您必須為一台電腦設定一組 IP/MAC 位址, 若無設定的話, 沒有一台電腦可以連上網際網路, 路由器的網頁組態設定也無法進入了 89

96 4.3 NAT 通常, 路由器可以 NAT 路由器提供其相關服務,NAT 是一種機制, 一個或多個虛擬 IP 位址可以對應到某個單一的真實 IP 位址真實 IP 位址習慣上是由您的 ISP 所指定的, 因此您必須為此負擔費用, 虛擬 IP 位址則只能在內部主機內辨識出來當封包之目的地位址為網路上某個伺服器時, 會先送到路由器, 路由器即改變其來源位址, 成為真實 IP 位址, 並透過真實通訊埠傳送出去同時, 路由器在連線數表格中列出清單, 以記錄位址與通訊埠對應的相關資訊, 當伺服器回應時, 資料將直接傳回路由器的真實 IP 位址 NAT 的好處如下 : 於應用真實 IP 位址上節省花費以及有效利用 IP 位址位址 NAT 允許本機中的 IP 位址轉成真實 IP 位址, 如此一來您可以一個 IP 位址來代表本機利用隱匿的 IP 位址強化內部網路的安全性有很多種攻擊行動都是基於 IP 位址而對受害者發動的, 既然駭客並不知曉任何虛擬 IP 位址, 那麼 NAT 功能就可以保護內部網路不受此類攻擊在 NAT 頁面中, 您將可看見以 RFC-1918 定義的虛擬 IP 位址, 通常我們會使用 /24 子網路給予路由器使用就如前所提及的一般,NAT 功能可以對應一或多個 IP 位址和 / 或服務通訊埠到不同的服務上, 換句話說,NAT 功能可以利用通訊埠對應方式來達成下圖為 NAT 功能項目 : 通訊埠重導向通訊埠重導向通常是爲了本地區域網路中的網頁伺服器 FTP 伺服器伺服器等相關服務而設定, 大部分的情形是您需要給每個伺服器一個真實 IP 位址, 此一真實 IP 位址 / 網域名稱可以為所有使用者所辨識既然此伺服器實際坐落於區域網路內, 因此網路可以受到路由器之 NAT 的詳密保護, 且可由虛擬 IP 位址 / 通訊埠來辨認通訊埠重導向表的功能是傳送所有來自外部使用者對真實 IP 位址之存取需求, 以對應至伺服器的虛擬 IP 位址 / 通訊埠 90

97 通訊埠重導向只能應用在流入的資料量上欲使用此項功能, 請開啟 NAT 頁面然後選擇通訊埠重導向訊埠對應入口給予內部主機對應使用通訊埠重導向通訊埠重導向通訊埠重導向提供 10 組通按下索引編號下的號碼連結, 進入次層之設定頁面 : 91

98 啟用勾選此方塊啟用此通訊埠重導向設定模式有二種模式可以供使用者選擇, 如欲設定範圍給予指定服務, 請選擇範圍範圍在 " 範圍 " 模式下, 若 IP 位址與第一個對外通訊埠號皆填入之後, 系統將自動計算並顯示第二個對外通訊埠值服務名稱輸入特定網路服務的名稱通訊協定選擇傳送層級的通訊協定 (TCP 或 UDP) 對外通訊埠指定哪一個通訊埠可以重新導向至內部主機特定的虛擬 IP 通訊埠上如果您選擇範圍範圍作為重導向模式, 您將會在此看見二個方塊, 請在第一個方塊輸入需要的數值, 系統將會自動指定數值予第二個方塊虛擬 IP 指定提供服務的主機之 IP 位址, 如果您選擇範圍範圍作為重導向模式, 您將會在此看見二個方塊, 請在第一個方塊輸入完整的 IP 位址 ( 作為起點 ), 在第二個方塊輸入四位數字 ( 作為終點 ) 虛擬通訊埠指定內部主機提供服務之虛擬通訊埠號注意路由器有其內建服務 ( 伺服器 ) 諸如 Telnet HTTP 和 FTP, 因為這些服務 ( 伺服器 ) 的通訊埠號幾乎都相同, 因此您可能需要重新啟動路由器以避免衝突發生例如, 路由器的內建網頁設定給予的設定值是埠號 80, 它可能造成與本地網路中網頁伺服器產生衝突, 因此您需要改變路由器的 http 通訊埠號, 除了 80 以外任何一種都可以 ( 例如 8080), 來防止衝突發生在系統管理群中的管理設定可以做此調整, 接著您可在 IP 位址尾端加入 8080 ( 如而非僅只通訊埠號 80) 來進入管理畫面 92

99 DMZ 主機設定如同上面所提及的內容, 通訊埠重導向可以將流入的 TCP/UDP 或是特定通訊埠中其他的流量, 重新導向區域網路中特定主機之 IP 位址 / 通訊埠不過其他的 IP 協定例如協定 50 (ESP) 和 51(AH) 是不會在固定通訊埠上行動的,Vigor 路由器提供一個很有效的工具 DMZ 主機, 可以將任何協定上的需求資料對應到區域網路的單一主機上來自用戶端的正常網頁搜尋和其他網際網路上的活動將可繼續進行, 而不受到任何打擾 DMZ 主機允許內部被定義規範的使用者完全暴露在網際網路上, 通常可促進某些特定應用程式如 Netmeeting 或是網路遊戲等等的進行 93

100 注意 :NAT 固有的安全性屬性在您設定 DMZ 主機時稍微被忽略了, 建議您另外新增額外的過濾器規則或是第二組防火牆請按 DMZ 主機設定開啟下述頁面 : 如果您在網際網路連線設定網際網路連線設定選擇 PPPoE/ 固定 IP/PPTP, 並且設定 WAN 別名輔助此頁面發現輔助 WAN IP 項目別名, 您將可在開啟勾選此項以啟動 DMZ 主機功能 94

3.3 開放通訊埠開放通訊埠允許您開啟一段範圍內的通訊埠, 供特定應用程式使用常見的應用程式包含有 P2P 應用程式

101 虛擬 IP 選擇電腦輸入 DMZ 主機的虛擬 IP 位址, 或是按選擇 PC 開啟另一頁面來選擇按下此鈕後, 如下視窗立即跳出此視窗包含您的區域網路中全部主機的虛擬 IP 位址清單, 請自清單中選擇一個虛擬 IP 位址作為 DMZ 主機當您已經從上面的視窗選好了虛擬 IP 位址時, 該 IP 位址將會顯示在下面的螢幕上, 請按確定確定儲存這些設定開放通訊埠開放通訊埠允許您開啟一段範圍內的通訊埠, 供特定應用程式使用常見的應用程式包含有 P2P 應用程式 ( 如 BT KaZaA Gnutella WinMX emule 和其他 ) Internet Camera 等等, 您需要先確定應用程式包含最新的資料, 以免成為安全事件的受害者按開放通訊埠開放通訊埠連結開啟下面的網頁 95

索引表示本地主機中您想要提供之服務, 其特定內容網頁之相關號碼, 您應該選擇適當的索引號碼以編輯或是清除相關的內容註解指定特定網路服務的名稱 WAN 介面顯示該項設定之 WAN 介面內部 IP 位址顯示提供此項服務之本地主機的 IP 位址狀態顯示每項設定的狀態,X 或 V 表示關閉或是啟用狀態如果要新增或是編輯通訊埠設定, 請按索引下方的號碼按鈕

102 索引表示本地主機中您想要提供之服務, 其特定內容網頁之相關號碼, 您應該選擇適當的索引號碼以編輯或是清除相關的內容註解指定特定網路服務的名稱 WAN 介面顯示該項設定之 WAN 介面內部 IP 位址顯示提供此項服務之本地主機的 IP 位址狀態顯示每項設定的狀態,X 或 V 表示關閉或是啟用狀態如果要新增或是編輯通訊埠設定, 請按索引下方的號碼按鈕該索引號碼入口設定頁面隨即出現, 在每個輸入頁面中, 您可以指定 10 組通訊埠範圍給予不同的服務啟用開放通訊埠說明本機電腦選擇電腦通訊協定起始通訊埠結束通訊埠勾選此項以啟動此功能請爲所定義的網路應用 / 服務命名輸入本機的虛擬 IP 位址或是按選擇電腦選擇電腦挑選另外一個按此鈕後另一個視窗即自動跳出並提供本機的虛擬 IP 位址之清單資料, 請自清單中選取最適宜的 IP 位址指定傳送層級的通訊協定, 有 TCP UDP 和 (none) 等幾種選擇指定本機所提供之服務的開始通訊埠號指定本機所提供之服務的結束通訊埠號 4.4 硬體加速 4.5 防火牆防火牆基本常識 96

103 當寬頻使用者需要更多的頻寬以便用於多媒體應用程式或是遠程學習時, 安全性總是最受到重視的一環 Vigor 路由器的防火牆可以協助保護您本地網路免受外在人物的攻擊, 同時它可限制本地網路的使用者存取網際網路此外它還可以過濾一些由觸發路由器所建立的連線特定封包最基本的安全觀念就是在您安裝路由器時, 設定使用者名稱和密碼管理者登入可以防止未授權用戶從您的路由器登入並更改存取路由器設定防火牆工具區域網路上的使用者可以下述的防火牆工具, 接受良好的安全防護 : 用戶設定 IP 過濾器 ( 呼叫過濾器 / 資料過濾器 ) Stateful Packet Inspection (SPI): 追蹤封包並阻擋未經要求而流入的資料 Selectable Denial of Service (DoS) /Distributed DoS (DDoS) 攻擊防禦 URL 內容過濾器 IP 過濾器依照現有網際網路連線的需求廣域網路連接狀態 ( 開啟或關閉 ) 的情形,IP 過濾器結構可將資料流量分成二大類 : 呼叫過濾器和資料過濾器呼叫過濾器 - 當目前沒有任何網際網路連線時, 呼叫過濾器可應用在所有的資料運輸流量上, 所有的運輸應該是往外送出系統會按照過濾器規則檢查封包, 如果是合法的, 該封包即可通過, 然後路由器將啟動一次呼叫來建立網際網路連線, 再將該封包傳送往網際網路資料過濾器 - 網際網路正處於連線狀態時, 資料過濾器可應用在流入與流出的資料傳輸上, 系統會按照過濾器規則檢查封包, 如果是合法的, 該封包即可通過以下圖表解釋流入與流出之資料傳輸程序 97

104 封包狀態檢測 (SPI) 在網路層級上, 封包狀態檢測是一種防火牆結構, 它會建立一個封包狀態機器來追蹤防火牆於所有介面的連線狀況, 並確保這些連線都是有效的此類型防火牆並不只是檢查封包標頭資訊, 它同時也監視著連線的狀態 98

105 數位內容安全管理 (Content Security Management, CSM) 因為立即通訊應用程式蓬勃的發展, 人與人間的通訊變得越來越容易然而一些企業利用此種程式作為與客戶通訊的有力工具時, 部分公司對此可能還是抱持保留態度, 這是因為他們想要減少員工在上班時間誤用此程式或是防止未知的安全漏洞發生對於準備應用點對點程式的公司來說, 情況也是相同的, 因為檔案分享可以很方便但是同時也很危險為了應付這些需求, 我們提供了 CSM 阻擋功能 DoS 攻擊防禦 DoS 攻擊防禦功能協助用戶檢測並減輕 DoS 攻擊, 這類攻擊通常可分成二大類 flood 類型攻擊和弱點攻擊 flood 類型攻擊嘗試耗盡您的系統資源, 而弱點攻擊則是利用通訊協定或是操作系統的弱點嘗試癱瘓系統 DoS 攻擊防禦功能的引發是以 Vigor 路由器的攻擊特徵值資料庫為基礎, 執行每一個封包的檢查, 任何可能重複產生以癱瘓主機之惡意封包, 在安全的區域網路中都將嚴格阻擋, 如果您有設定系統紀錄伺服器, 那麼系統紀錄訊息也會傳送警告資訊給您 Vigor 路由器也可以監視資料流量, 任何違反事先定義的參數的不正常資料流 ( 例如臨界值的數字 ), 都會被視為是一種攻擊行為,Vigor 路由器將啟動防衛機制, 及時阻擋減輕災害下列表格顯示出 DoS 攻擊防禦功能所能檢測出的攻擊類型 1. SYN flood 攻擊 2. UDP flood 攻擊 3. ICMP flood 攻擊 4. Port Scan 攻擊 5. IP options 6. Land 攻擊 7. Smurf 攻擊 8. 路由追蹤下圖為防火牆的功能項目 : 9. SYN 封包片段攻 10. Fraggle 攻擊 11. TCP flag scan 12. Tear drop 攻擊 13. Ping of Death 攻擊 14. ICMP 封包片段攻 15. 未知通訊協定基本設定基本設定允許您調整 IP 過濾器和一般選項的設定內容, 在此頁面您可以啟動或是關閉呼叫過濾器或資料資料過濾器在某些情況下, 您的過濾器可利用連結的方式執行一系列過濾工作, 因此在這裡, 您只要指定開始過開始過濾器組別器組別即可當然, 您也可以調整紀錄模式設定以及勾選接受流受流入的 UDP Fragment 封包自防火牆防火牆群中選擇基本設定基本設定連結 99

106 呼叫過濾器資料過濾器啟用以啟動呼叫過濾器功能, 並指定開始過濾器組別啟用以啟動資料過濾器功能, 並指定開始過濾器組別選擇啟用選擇啟用過濾器本頁可是定預設規則. 通過所有的封包都可通過路由器, 不需考慮防火牆的設定內容封鎖 - 所有的封包都不許通過路由器, 且不需考慮防火牆濾器的設定內容防火牆 >> 過濾器防火牆 >> 過一些線上遊戲都會使用很多的片段 UDP 封包來傳送遊戲資料, 出於安全防火牆的本能直覺,Vigor 路由器會將這些片段封包給退回, 以避免攻擊發生, 除非您啟動接受流受流入的大量 UDP 或是 ICMP Fragment 封包勾選此方塊後, 您就可以在這些線上遊戲上優遊如果安全利害關係具有較高的重要性, 您就不要啟動接受流受流入的入的大量 UDP 或是 ICMP Fragment 封包功能過濾器設定按防火防火牆並選擇過濾器設定器設定以開啟如下的設定網頁 100

107 如果要新增一個過濾器, 請按組別下方的數字按鈕以便編輯個別設定如下的頁面將立即出現, 每一個過濾器都含有 7 組規則, 請按規則按鈕編輯每個規則, 勾選啟用啟用則可啟動該項規則過濾器規則啟用註解上移 / 下移下一個過濾器組別欲編輯過濾器規則請按號碼按鈕 (1 ~ 7) 編輯過濾器的規則, 按下此鈕可以開啟過濾器規則網頁, 有關詳細的資訊, 請參考稍後的說明啟動或是關閉此項過濾規則輸入過濾規則註解說明, 最大長度可以達到 23 個字元使用上下連結來移動過濾器規則的順序設定前往下一個執行的過濾器連結, 請勿讓多個過濾器設定形成一個迴路規則, 請按過濾器規則索引按鈕以便進入過濾器規則設定網頁 101

108 啟用過濾規則註解索引號碼 (1-15) 方向勾選此項目以啟動過濾規則輸入過濾器設定註解說明, 最大長度為 14 個字元設定區域網路上的電腦工作的時間間隔, 您可以輸入四組時間排程, 所有的排程都可在應用 - 排程網頁上事先設定完畢, 然後在此輸入該排程的對應索引號碼即可設定封包流向的方向 (LAN->WAN/WAN->LAN), 此項設定僅適用資料資料過濾器, 對於呼叫過濾器而言, 這項設定是不適用的來源 / 目的 IP 按下編輯編輯進入如下的畫面, 選擇來源 / 目標 IP 或是 IP 範圍 102

109 服務類型編輯進入如下的畫面, 以選擇適合之服務類型按編輯欲手動設定服務類型, 請選擇使用者自訂做為服務類型, 並輸入相關的設定資料, 此外如果您想要使用群組或是物件中所定義的服務類型, 請選擇群組與組與物件作為服務類型片段過濾器協定來源 / 目標通訊埠 - 協定 - 指定本過濾器規則套用的協定 (=) 當起始埠號與結束埠號與的數值相同時, 此符號表示一個通訊埠當起始埠號與結束埠號的數值不同時, 即表示設定檔所適用的通訊埠範圍 (!=) 當起始埠號與結束的數值相同時, 此符號表示除了這裡所指明的通訊埠以外, 全都適用於此設定檔當起始埠號與結束埠號數值不同時, 即除了此處所設定的範圍以外, 所有的通訊埠都適用於此設定檔 (>) 大於此數值的通訊埠號皆可使用 (<) 小於此數值的通訊埠號皆可使用服務群組 / 物件 - 使用下拉式選項選擇所需的項目指定片段封包的執行動作, 這個項目也是僅針對資料資料過濾器忽略 - 不論是怎樣的片端封包, 系統皆不採取行動無無無 - 應用規則至無片段之封包上無無 - 應用規則至片段之封包上太太太 - 只有過短無法包含完整封包頭之封包, 可應用此規則指定系統針對符合規則之封包所採取的行動立刻通過 - 符合規則之封包可立即通過立刻封鎖 - 系統封鎖符合規則之封包若無符合其於規則即規則即通過 - 符合限定規則且並未符合其他規則之封包可立即通過若無符合其於規則即規則即封鎖 - 系統封鎖符合限定規則且並未符合其他規則之封包 103

110 分至其他過濾器設定 SysLog 基於疑難排除的需要, 您可指定記錄過濾器資訊, 只要勾選 Syslog 方框即可封包符合過濾器規則, 下一個過濾器規則將分至指定之過濾器設定請自下拉式選項中選擇下一個過濾器規則以便做分支動作, 要注意路由器將會採用指定之過濾器規則, 且絕對不會回到先前所設定之過濾器規則基於疑難排除的需要, 您可指定記錄過濾器資訊 104

111 Example 如上所言, 全部的資料傳輸都將以二種 IP 過濾器 ( 呼叫過濾器或是資料過濾器 ) 來分開執行, 您可以設定 12 組呼叫過濾器和資料過濾器, 每種過濾器設定由 7 種過濾器規則組合而成, 這些規則都是事前定義完成然後在基本設定基本設定中, 您可以指定一組規則予呼叫過濾器與資料過濾器使用 105

4.5.4 DoS 攻擊防禦功能設定這是 IP 過濾程式 / 防火牆防火牆的次功能選項, 有 15 種檢測 / 防禦功能類型,DoS 攻擊防禦功能的預設值是關閉的按防火牆防火牆並選擇 DoS 攻擊防禦功能功能開啟設定網頁啟用啟用 SYN flood 攻擊防禦功能啟用 UDP flood 攻擊防禦功能啟用 ICMP Fragment 封包啟用防禦通訊埠通訊埠掃瞄偵測功能勾選此項以啟動

112 4.5.4 DoS 攻擊防禦功能設定這是 IP 過濾程式 / 防火牆防火牆的次功能選項, 有 15 種檢測 / 防禦功能類型,DoS 攻擊防禦功能的預設值是關閉的按防火牆防火牆並選擇 DoS 攻擊防禦功能功能開啟設定網頁啟用啟用 SYN flood 攻擊防禦功能啟用 UDP flood 攻擊防禦功能啟用 ICMP Fragment 封包啟用防禦通訊埠通訊埠掃瞄偵測功能勾選此項以啟動 DoS 攻擊防禦功能勾選此項以啟動 SYN 攻擊防禦功能, 一旦檢查到 TCP SYN 封包的臨界值超過定義數值,Vigor 路由器在所設定之逾時期間即開始捨棄其後之 TCP SYN 封包, 這項功能的目的是防止 TCP SYN 封包嚐試耗盡路由器有限的資源臨界值和逾時的預設值分別為每秒 50 個封包和 10 秒勾選此項以啟動 UDP 攻擊防禦功能, 一旦檢查到 UDP 封包臨界值超過定義數值,Vigor 路由器在所設定之逾時期間即開始捨棄其後之 UDP 封包臨界值和逾時的預設值分別為每秒 150 個封包和 10 秒勾選此項以啟動 ICMP Fragment 封包, 與 UDP 攻擊防禦功能相同的是, 一旦檢查到 ICMP 封包臨界值超過定義數值, 路由器便會於所設定之逾時期間, 不再回應來自網際網路的 ICMP 需求臨界值和逾時的預設值分別為每秒 50 個封包和 10 秒通訊埠掃瞄藉由傳送大量封包到數個通訊埠, 以嘗試找出未知服務所回應之內容來攻擊 Vigor 路由器勾選此方塊啟動通訊埠掃瞄檢測功能, 當利用通訊埠掃瞄臨界值速率而檢測出惡意探測之行為時,Vigor 路由器將傳送警告訊息出去臨界值的 106

113 封鎖 IP options 封鎖 Land 攻擊封鎖 Smurf 攻擊封鎖路由路由追蹤封鎖 SYN Fragment 封包封鎖 Fraggle 攻擊封鎖 TCP Flags scan 封鎖 Tear Drop 攻擊封鎖 Ping of Death 攻擊封鎖 ICMP 封包片段攻擊封鎖不鎖不明封包協定封包警告訊息預設值為每秒 150 個封包勾選此項以啟動阻攔 IP options 功能,Vigor 路由器將會忽略資料封包頭中 ( 含 IP 選項區 ) 的 IP 封包限制的原因是 IP option 的出現是區域網路安全性中的弱點, 因為它攜帶令人注意的資訊像是安全性 TCC ( 封閉使用者群組 ) 參數網際網路位址路由訊息等等, 讓外部的竊聽者有機會取得您虛擬網路的細節內容勾選此項以強迫 Vigor 路由器防護 Land 攻擊,Land 攻擊結合含 IP spoofing 的 SYN 攻擊技術, 當駭客傳送 spoofed SYN 封包 ( 連同相同來源和目的位址 ), 以及通訊埠號至受害一方時, Land 攻擊即由此發生勾選此項以啟動封鎖 Smurf 攻擊功能,Vigor 路由器將忽略任何一次的播送 ICMP 回應需求勾選此項以強迫 Vigor 路由器不轉送任何路由封包的行蹤勾選此項以啟動封鎖 SYN Fragment 的封包功能 Vigor 路由器將會停止任何具有 SYN 旗標及更多的區段設定之封包傳送作業勾選此項以啟動封鎖 Fraggle 攻擊功能, 任何播送來自網際網路的 UDP 封包都會被封鎖起來啟動 DoS/DDoS 防禦功能可能會阻擋一些合法的封包, 例如當您啟動 fraggle 攻擊防禦時, 所有來自網際網路的 UDP 封包播送都會被阻擋在外, 因此得自網際網路的 RIP 封包全都會被阻擋掉勾選此項以啟動阻攔 TCP Flags 掃描功能, 任何具有異常 TCP 封包的設定都會被捨棄掉, 這些掃描行動包含有 no flag scan, FIN without ACK scan, SYN FINscan, Xmas scan 以及 full Xmas scan 等等勾選此項以啟動封鎖 Tear Drop 攻擊功能, 很多機器在接收到超過最大值得 ICMP 資料段 ( 封包 ) 時, 系統就會當機為了避免這類型的攻擊行為,Vigor 路由器便被設計成具有捨棄片段 ICMP ( 超過 1024 位元組 ) 封包的能力勾選此項以啟動封鎖 Ping of Death 攻擊功能, 這項攻擊意味著犯罪者傳送重疊封包至目的主機, 這些目的主機一旦重新建構封包時就會造成當機現象,Vigor 路由器將會阻擋此種攻擊活動的封包進入勾選此項以啟動封鎖 ICMP 封包片段功能, 任何含有多個片段的 ICMP 封包都會被捨棄阻擋勾選此項以啟動封鎖不明封包協定封包功能, 個別 IP 封包在資料段封包頭中都擁有一個協定區域, 指名該協定於上層運作的類型我們提供使用者系統記錄功能以便檢視路由器發出的訊息作為系統紀錄伺服器, 使用者可接收來自路由器 ( 系統紀錄用戶端 ) 傳送之報告 107

114 所有與 DoS 攻擊有關的警告訊息都將傳送與使用者, 使用者可以重新檢查其內容, 在訊息中尋找關鍵字, 所遭受的任何攻擊之名稱即可立即檢測出來 108

115 4.6 物件和群組對某些範圍內的 IP 和侷限於特定區域的服務通訊埠, 通常可以套用於路由器網頁設定中因此我們可以將他們定義成為物件, 並結合成群組以便後續能方便的應用之後, 我們可以選擇該物件 / 群組來套用, 比方說, 相同部門內所有的 IP 可定義成為一個 IP 物件 ( 意即 IP 位址範圍 ) IP 物件您可設定 192 組不同條件的 IP 物件回復出廠預設值清除全部的設定資料按下任一索引號碼進入下述畫面 : 109

116 請輸入本設定檔的名稱, 最多可以輸入 15 個字元介面請選擇適當的介面 (WAN, LAN 或是任何一種 ) 名稱位址類型起始 IP 位址結束 IP 位址例如, 編輯過濾器規則規則中的方向方向設定會要求您針對 WAN 或 LAN 介面指定一個 IP 或是 IP 範圍, 或是任何的 IP 位址, 如果您選擇 LAN 作為介面, 並選擇 LAN 作為編輯編輯過濾器規則中的方向方向設定, 那麼所有的 LAN 介面的 IP 位址通通都會開放予您在編輯編輯過濾器規則規則頁面上選擇決定 IP 位址的位址類型如果物件僅包含 IP 位址的話, 請選擇單一位址一位址如果物件包含某個範圍內數個 IP 位址的話, 請選擇範圍位址如果物件包含 IP 位址的子網路的話, 請選擇子網路位址子網路位址如果物件包含任何一種 IP 位址的話請選擇任何任何位址位址輸入單一位址類型所需的起始 IP 位址如果選擇的是範圍位址類型, 請輸入結束 IP 位址子網路位址類型, 請輸入子網路遮罩位址子網路位址如果選擇的是子網路位址反向選擇如果勾選此項的話, 除了上面所提及的以外, 其他的 IP 位址將會在被選擇之後全部套用上設定內容下表為 IP 物件設定的範例之一 110

117 IP 群組本頁可讓您綁定數個 IP 物件成為一個 IP 群組回復出廠預設值清除全部的設定資料按下任一索引號碼以便完成詳細設定 111

118 名稱介面可用之 IP 物件選定 IP 物件請輸入本設定檔的名稱, 最多可以輸入 15 個字元請選擇適當的介面 (WAN, LAN 或是任何一種 ) 以顯示所有指定介面內的 IP 物件所有選定之指定介面中可用的 IP 物件全都會顯示在此方塊中按下 >> 按鈕來新增選定 IP 物件並呈現在此方塊內 112

119 服務類型物件您可設定 96 組不同條件的服務類型物件清除全部的設定資料按下任一索引號碼進入下述畫面 : 回復出廠預設值名稱介面輸入此設定檔的名稱請選擇此設定檔所要套用的適當介面來源 / 目標通訊埠來源通訊埠通訊埠與目標通訊埠標通訊埠欄位皆為 TCP/UDP 可用之通訊埠, 如果是其他的通訊協定, 這些欄位即可省略, 過濾器規 113

120 則將可過濾任何一種通訊埠號 (=) 當第一與最後的數值相同時, 此符號表示一個通訊埠當第一與最後的數值不同時, 此符號表示此設定檔所適用的通訊埠號範圍 (!=) 當第一與最後的數值相同時, 此符號表示除了這裡所指明的通訊埠以外, 全都適用於此設定檔當第一與最後的數值不同時, 此符號表示所有的通訊埠除了此處所設定的範圍以外, 全都適用於此設定檔 (>) 大於此數值的通訊埠號皆可使用 (<) 小於此數值的通訊埠號皆可使用下表為服務類型物件設定的範例之一服務類型群組本頁可讓您綁定數個服務類型物件成為一個群組回復出廠預設值清除全部的設定資料按下任一索引號碼進入下述畫面 : 114

121 名稱可用之服務類型服務類型物件選定之服務類型服務類型物件輸入此設定檔名稱您可以從 IP 物件頁面中先新增一些服務類型, 所有可用的服務類型將會顯示在此區域中按下 >> 按鈕來新增選定服務類型並呈現在此方塊內回復出廠預設值清除全部的設定資料按下任一索引號碼進入下述畫面 : 115

122 4.7 CSM 設定檔數位內容安全管理 (Content Security Management, CSM) IM/P2P 過濾器由於即時通訊應用程式蓬勃的發展, 人與人間的通訊變得越來越容易然而一些企業利用此種程式作為與客戶通訊的有力工具時, 部分公司對此可能還是抱持保留態度, 這是因為他們想要減少員工在上班時間誤用此程式或是防止未知的安全漏洞發生對於準備應用點對點程式的公司來說, 情況也是相同的, 因為檔案分享可以很方便但是同時也很危險為了應付這些需求, 我們提供了 CSM 阻擋功能內容過濾器爲了提供一個適當的網路空間給予使用者,Vigor 路由器配有 URL 內容過濾器, 可限制一些不合法的資料於網站上進出, 同時也禁止隱藏惡意碼的網路特徵於路由器內出入一旦使用者輸入關鍵字連結,URL 關鍵字阻擋工具將會拒絕該網頁之 HTTP 需求, 如此一來使用者即無法存取該網站您可以這樣想像一下,URL 內容過濾器為一個訓練有素的便利商店櫃員, 絕對不販售成人雜誌給予未成年的小孩子在辦公室內,URL 內容過濾器也可以提供與工作相關的環境, 由此來增加員工的工作效率 URL 內容過濾器為什麼可以比傳統防火牆在過濾方面提供更好的服務呢? 那是因為它能夠檢查 URL 字串或是一些隱藏在 TCP 封包負載的 HTTP 資料, 而一般防火牆僅能以 TCP/IP 封包標頭來檢測封包換言之,Vigor 路由器可以防止使用者意外自網頁下載惡意的程式碼惡意碼隱藏在執行物件當中是一件很普遍的事情, 像是 ActiveX Java Applet 壓縮檔和其他執行檔案一旦用戶下載這些類型的檔案, 用戶便會有這些可能爲系統帶來威脅的風險, 例如一個 ActiveX 控制物件通常用於提供網頁人機通信交換功能, 萬一裡面隱藏惡意的程式碼的話, 該程式碼就可能會佔據使用者的系統網頁內容過濾器我們都知道網際網路上的內容, 有時候可能並不太合宜, 作為一個負責任的父母或是雇主, 您應該保護那些您信賴的人免受危險的侵擾藉由 Vigor 路由器的網頁過濾服務, 您可以保護您的商業機密不受一般常見威脅 ; 對於父母來說, 您可以保護您的孩童不致誤闖成人網站或是成人聊天室一旦您啟動了網頁內容過濾服務, 也選擇一些您想要限制存取的網站目錄, 每個 URL 位址需求 ( 例將在由 SurfControl 所運作的伺服器資料庫中先接受檢測資料庫涵蓋 70 種語言和 200 個國家, 超過 1 億個網頁, 區分成 40 種容易瞭解的目錄此資料庫每一天都由網際網路的國際研究團隊不斷更新, 伺服器將查閱 URL 然後傳回其類別給路由器, 您的 Vigor 路由器即可按照您所選擇的分類項目來決定是否允許用戶存取該網站, 因為每一個多路負載平衡資料庫伺服器一次可以管理數百萬的分類需求 116

123 4.8 頻寬管理下面是頻寬管理的設定項目 : NAT 連線數限制擁有虛擬 IP 的電腦可以透過 NAT 路由器存取網際網路, 針對此連線需求路由器將會產生 NAT 連線數的紀錄,P2P (Peer to Peer) 應用程式 ( 如 BitTorren) 經常需要很大的連線數來處理, 同時也會佔據很大的資源空間, 造成重要的資料存取動作受到嚴重的影響為了解決這種問題, 您可以使用連線數限制來限制指定主機的連線數在頻寬頻寬管理管理群組中, 按連線數連線數限制開啟如下的網頁如果要啟動限制連線數的功能, 只要在此頁面上按啟用啟用鈕, 並設定預設的連線數限制即可啟用按此鈕啟動連線數限制功能停用按此鈕關閉連線數限制功能預設最大最大連線數定義區域網路中每台電腦的預設連線數限制清制清單顯示網頁中所設定的指定限制之電腦清單資料起始 IP 定義連線數限制的起始 IP 位址結束 IP 定義連線數限制的結束 IP 位址 117

124 最大連線數新增編輯刪除索引號碼 (1-15) 於排程設定.. 定義指定 IP 位址的範圍中可用的連線數, 如果您沒有在此區設定連線數, 系統將會使用此機種所支援之預設連線數 (10000) 新增指定連線數限制並顯示在上面的框框中允許您編輯選定的連線數設定刪除限制清單上任何一個您所選定的設定您可以輸入四組時間排程, 所有的排程都可在應用 - 排程網頁上事先設定完畢, 然後在此輸入該排程的對應索引號碼即可頻寬限制從 FTP,HTTP 或是某些 P2P 應用程式的下行或上行資料會佔據很大的頻寬, 並影響其他程式的運作請使用限制頻寬讓頻寬的應用更有效率在頻寬頻寬管理管理群組中, 按頻寬限頻寬限制開啟如下的網頁如果要啟動限制頻寬的功能, 只要在此頁面上按啟用啟用鈕, 並設定預設的上下行資料傳送限制即可啟用啟用按此鈕啟動限制頻寬功能. 停用預設傳送限制預設接收限制按此鈕關閉限制頻寬功能定義區域網路中每台電腦預設的上行速度定義區域網路中每台電腦預設的下行速度 118

125 限制清制清單起始 IP 結束 IP 顯示網頁中所設定的指定限制之電腦清單資料定義限制頻寬的起始 IP 位址定義限制頻寬的結束 IP 位址傳送限制定義上行傳送的速度限制, 如果您未在此區設定限制的話, 系統將使用您在每個索引內容中索引中所預設的限制速度接收限制定義下行傳送的速度限制, 如果您未在此區設定限制的話, 系統將使用您在每個索引內容中索引中所預設的限制速度新增新增指定速度限制並顯示在上面的框框中編輯允許您編輯選定的限制設定刪除刪除限制清單上任何一個您所選定的設定索引號碼 (1-15) 於排程設定.. 排程網您可以輸入四組時間排程, 所有的排程都可在應用 - 排程頁上事先設定完畢, 然後在此輸入該排程的對應索引號碼即可服務品質 (QoS) QoS (Quality of Service) 管理部署可確保所有應用程式能夠接收到所需的服務以及足夠的頻寬, 符合用戶所期待的效果, 此項控制對現代企業網路來說是相當重要的觀點使用 QoS 的理由之一是很多 TCP 為主的應用程式嘗試不斷增加其傳輸速率, 導致消耗掉全部的頻寬, 我們稱之為 TCP 慢速啟動如果其他的應用程式未受 QoS 的保護, 那麼他們在擁擠的網路中將會降低效能, 對那些無法忍受任何損失延遲的功能像是 VoIP 視訊會議以及流動影像來說, 這項控制尤其必要另一個理由是由於網路的擁擠狀況, 內部連線迴路速度不符合或是傳輸流量過份聚集, 資料封包排隊等候傳送, 整個傳輸慢了下來如果沒有定義後先後順序, 以指定在滿檔的隊伍中哪個封包必須丟棄, 上述提及的應用程式封包就可能成為被捨棄掉的一個, 這樣的話對應用程式的成效會造成令人無法想像的後果在基本設定中有二個元件要注意 : 分類 : 可辨識低潛在因素或是重要的應用程式, 並標示這些程式為高優先權服務等級, 以便在網路中能夠強迫執行排定計畫 : 以服務等級分類為基礎來指定封包排列順序以及整合的服務型態基本 QoS 應用是以 IP 封包頭中之服務類型資訊為基礎來分類及規劃封包, 例如爲了確保封包頭之連線, 電信工作人員在執行大量運作時, 可能會強迫一個 QoS 控制索引保留頻寬予 HTTP 連線 Vigor 路由器作為 DS 管理之終端路由器, 應該檢查通過流量之 IP 封包頭中標記 DSCP 之數值, 這樣才可分配特定資源數量來執行適當政策分類或是排程網路骨幹之核心路由器在執行動作前也會做同樣的檢查, 以確保整個 QoS 啟動之網路中服務等級保持一致性 119

QoS 將以上傳 / 下載速度比率來定義, 我們也會提供一些 QoS 需求應用給您參考, 設定數值會依照網路實際狀況而有所改變在頻寬頻寬管理管理群組中, 選擇服務服務品質品質開啟如下的網頁本頁顯示 WAN 介面上的 QoS 設定成果, 按下設定連結進入下一層頁面, 至於類別規則,

126 QoS 將以上傳 / 下載速度比率來定義, 我們也會提供一些 QoS 需求應用給您參考, 設定數值會依照網路實際狀況而有所改變在頻寬頻寬管理管理群組中, 選擇服務服務品質品質開啟如下的網頁本頁顯示 WAN 介面上的 QoS 設定成果, 按下設定連結進入下一層頁面, 至於類別規則, 則按下該頁面上的編輯編輯按鈕進入另一層畫面來設定即可您可以設定 WAN 介面的一般設定, 並視您的需要來編輯類別規則並且編輯類別規則的服務類型 WAN 基本設定當您按下設定時, 您可調整 WAN 介面的 QoS 頻寬比率, 系統提供您四種類別作為 QoS 控制之用, 前三種 ( 類別 1 到類別 3) 可視您的需求來調整, 而最後一個則保留給那些不符合上面定義之規則等封包使用 120

127 啟用服務品質 (QoS) 控制.. 預設狀態下, 這個功能是啟用的請同時定義 QoS 控制設應所應用的流量方向下載 - 僅適用於進入的封包上傳 - 僅適用於輸出的封包雙向 - 適用於進入與輸出的封包勾選此方塊並按下確定, 連線狀態統計連結即可出現在此頁面上 121

WAN 下載頻寬 WAN 上傳頻寬保留頻寬比例啟用 UDP 頻寬控制優先處理對外 TCP ACK 限制頻寬比頻寬比率連線狀態統計允許您設定 WAN 資料輸入的連線速度預設值為 10000kbps 允許您設定 WAN 資料輸入的連線速度預設值為 10000kbps 例如, 您的 ADSL 支援 1M 的下行與 256K 上行速度, 請將 WAN 下載頻寬設定為 1000kbps 而 WAN

128 WAN 下載頻寬 WAN 上傳頻寬保留頻寬比例啟用 UDP 頻寬控制優先處理對外 TCP ACK 限制頻寬比頻寬比率連線狀態統計允許您設定 WAN 資料輸入的連線速度預設值為 10000kbps 允許您設定 WAN 資料輸入的連線速度預設值為 10000kbps 例如, 您的 ADSL 支援 1M 的下行與 256K 上行速度, 請將 WAN 下載頻寬設定為 1000kbps 而 WAN 上傳頻寬設定為 256kbps 保留作為群組索引所可應用的比率勾選此設定並在右邊設定限制的頻寬比率, 這是 TCP 應用的一種保護機制, 因為 UDP 應用程式會消耗很多的頻寬下載和上傳之的頻寬在 ADSL2+ 環境中差異是很大的, 因為下載速度可能會受到上傳 TCP ACK 的影響, 您可以勾選此方塊讓 ACK 上傳得快一點, 以便讓網路流通的更順暢此處所輸入的比率保留作為 UDP 應用之需顯示服務品質的連線狀態統計圖供使用者參考編輯 Qos 的類別規則前三種 ( 類別 1 到類別 3) 可視您的需求來調整, 編輯或是刪除類別規則, 請按該項類別的索引連結即可 122

129 在您按下索引連結之後, 您可以看到如下的頁面現在您可以定義該類別的名稱, 在本例中,TEST 用來作為類別索引 1 的名稱若要新增一個新的規則, 請按新增新增開啟下列畫面啟用本機位址遠端位址編輯勾選此方塊啟用本頁的設定按編輯編輯按鈕以設定規則的來源位址按編輯編輯按鈕以設定規則的目標位址讓您編輯來源 / 目標位址資訊位址類型關於單一位址您可以填入起始 IP 位址關於範圍位址, 您必須填入起始和終點 IP 位址關於子網路位址位址類型決定來源位址的位址類型子網路位址, 您必須填入起始 IP 位址和子網路遮罩 123

130 DiffServ CodePoint 所有的資料封包將會被切割成不同等級, 並且依照系統的等級層別來處理資料封包請指定資料所需的層級作為 DoS 控制之用服務類型決定 QoS 控制處理時資料的服務類型, 這項類型可以視情況編輯改變, 您可以從下拉式選項中選擇事先定義的服務類型, 這些類型都是出廠時即設定好的類型, 請自行挑選一種想要使用的類型另外, 您可以為一種類別指定 20 組規則, 如果您想要編輯現存的規則, 請點選該項按鈕, 然後按下編輯編輯鈕開啟編輯視窗以修正該規則編輯類別規則的服務類型要新增編輯或刪除服務類型, 請按服務類型區域下方的編輯編輯連結在您按下編輯編輯按鈕之後, 下面的畫面將會出現 124

131 新增一個規則請按下新增新增按鈕開啟設定頁面, 如果您想要編輯現有的服務類型, 請選擇該項並按下編輯編輯連結開啟如下頁面 : 服務名稱輸入新的服務名稱服務類型請選擇新服務所需的類型 (TCP, UDP or TCP/UDP) 通訊埠設定按單一或是範圍, 如果您選擇的是範圍, 您必須輸入起始通訊埠號和結束通訊埠號通訊埠號如果您選擇範圍為服務類型, 請在此輸入起始和結束通訊埠號另外, 您可以指定 40 組服務類型, 如果您想要編輯或是刪除現存的服務類型, 請點選該項按鈕, 然後按下編輯編輯鈕開啟編輯視窗以修正該服務類型 125

4.9 其他應用下圖顯示應用應用的功能項目 : 4.9.1 Dynamic DNS 動態 DNS 當您透過 ISP 業者嘗試連接到網際網路時,ISP 業者提供的經常是一個浮動 IP 位址, 這表示指派給您的路由器使用之真實 IP 位址每次都會有所不同,DDNS 可讓您指派一個網域名稱給予浮動廣域網路 IP 位址它允許路由器線上更新廣域網路 IP 位址, 以便對應至特定的 DDNS 伺服器上

132 4.9 其他應用下圖顯示應用應用的功能項目 : Dynamic DNS 動態 DNS 當您透過 ISP 業者嘗試連接到網際網路時,ISP 業者提供的經常是一個浮動 IP 位址, 這表示指派給您的路由器使用之真實 IP 位址每次都會有所不同,DDNS 可讓您指派一個網域名稱給予浮動廣域網路 IP 位址它允許路由器線上更新廣域網路 IP 位址, 以便對應至特定的 DDNS 伺服器上一旦路由器連上網路, 您將能夠使用註冊的網域名稱, 並利用網際網路存取路由器或是內部虛擬的伺服器資料如果您的主機擁有網路伺服器 FTP 伺服器或是其他路由器後方提供的伺服器, 這項設定就特別有幫助也有意義在您使用 DDNS 時, 您必須先向 DDNS 服務供應商要求免費的 DDNS 服務, 路由器提供分別來自不同 DDNS 服務供應商的三種帳號基本上,Vigor 路由器和大多數的 DDNS 服務供應商像是都能相容, 您應該先造訪其網站爲您的路由器註冊自己的網域名稱啟動此功能並增加一個動態 DNS 帳戶 1. 假設您已經從 DDNS 供應商註冊了一個網域名稱 ( 例如 hostname.dyndns.org), 且獲得一個帳號, 其使用者名稱為 test; 密碼為 : test 2. 自應用應用群組選擇動態 DNS 設定, 下述頁面即會出現在螢幕上回復出廠預設值啟用動態 DNS 設定索引清除全部設定資料並回復到出廠的設定勾選此方塊啟用此功能按下方的號碼連結進入 DDNS 設定頁面, 以設定帳戶 126

133 網域名稱顯示您在 DDNS 設定頁面上所設定的網域名稱啟用顯示此帳號目前是啟用或是停用狀態檢視記錄可開啟另一個對話盒並顯示 DDNS 資訊紀錄強迫更新按此按鈕強迫路由器取得最新的 DNS 資訊 3. 選擇索引號碼 1, 爲您的路由器新增一個帳號勾選啟用動態 DNS 帳號, 然後選擇正確的服務供應商 ( 例 dyndns.org), 輸入註冊的主機名稱 ( 例 hostname), 並於網域名稱區塊中輸入網域的字尾名稱 ( 例 dyndns.org); 接著輸入您的帳號登入名稱 ( 例 dray) 和密碼 ( 例 test) 啟用動態 DNS 帳號勾選此方塊以啟用目前帳號, 如果您勾選此方塊, 您可在步驟 2 中的網頁上看到啟動欄位出現勾選標示 WAN 介面選擇適合的介面以套用相關設定服務供應商為此 DDNS 帳號選擇適當的服務供應商服務類型選擇服務類型 ( 動態自訂固定 ) 如果您選擇的是自訂, 您可以修正網域名稱區域中所選定的網域資料網域名稱輸入您所申請的網域名稱請使用下拉式選項選擇想要使用的一個名稱登入名稱輸入您在申請網域名稱時所設定之登入名稱密碼輸入您在申請網域名稱時所設定之密碼郵件延伸程式某些 DDNS 伺服器可能會要求提供額外的資訊, 如電子郵件地址, 請您在此輸入必要的電子郵件地址, 以配合該 DDNS 伺服器之需要 5. 按確定確定按鈕啟動此設定, 您將會看到所做的設定已被儲存萬用字元與備份 MX 並非所有的動態 DNS 服務商都有支援, 有關此部分內容, 請您自服務商的網站上取得更詳盡的資訊關閉此功能並清除全部動態 DNS 帳號取消勾選啟用動態 DNS 帳號, 並按下清除全部帳號清除全部按鈕停用此功能以及清除路由器內所有的 127

刪除動態 DNS 帳號在動態 DNS 設定頁面上, 請按您想要刪除之帳號的索引號碼, 然後按清除全部刪除該帳號清除全部按鈕即可 4.9.

134 刪除動態 DNS 帳號在動態 DNS 設定頁面上, 請按您想要刪除之帳號的索引號碼, 然後按清除全部刪除該帳號清除全部按鈕即可排程 Vigor 路由器可允許您手動更新, 或利用網路時間協定 (NTP) 更新時間, 因此您不只可以規劃路由器在特定時間撥號至網際網路, 也能限制於特定時間內存取網際網路資料, 如此一來使用者只能在限定時間 ( 或說上班時間 ) 上網, 時間排程也可以和其他功能搭配使用您必須在設定排程前先設定好時間, 在系統維護系統維護群組中, 選擇時間和時間和日期日期以開啟時間設定頁面, 按取得時間取得時間按鈕取得與電腦 ( 或網際網路 ) 一致的時間, 一旦您關閉或是重新啟動路由器, 時鐘的時間也會重新啟動還有另一種方法可以設定時間, 您可以在網際網路上請求 NTP 伺服器 ( 這是一個時間伺服器 ) 以同步化路由器的時鐘, 這個方法只能在廣域網路連線建立時才能使用回復出廠預設值清除全部設定資料並回復到出廠的設定索引編號按下方的號碼進入排程設定頁面狀態顯示排程設定是啟動還是關閉您最多可以設定 15 個排程, 然後可以應用於網際網路連線控制制 LAN-to-LAN 設定上網際網路連線控制或是 VPN 的遠端存取控欲新增一個排程, 請按任何一個索引號碼, 這裡舉索引編號 1 為例其呼叫排程的細部設定顯示如下 : 128

135 啟用排程設定開始日期 (yyyy-mm-dd) 日期開始時間 (hh:mm) 持續時間 (hh:mm) 勾選此項目以啟動此排程指定排程的開始日期指定排程的開始時間指定排程的持續時間動作指定呼叫排程能採用的方式 : 強迫啟用 - 強迫連線永遠存在閒置逾時頻率範例強迫停用 - 強迫連線永遠停止啟用隨選撥接停用隨選撥接選撥接 - 指定隨選播接連線以及閒置的時間選撥接 - 一旦超過閒置時間都沒有任何資料傳輸動作發生, 該連線將會停止且在時間排程內都不會再啟用若超過指定時間而沒有任何傳輸動作, 系統將中斷連線一次 - 此計劃的頻率只會應用一次週期 - 指定一週當中哪些日子需要執行此項排程作業假設您想要控制 PPPoE 網際網路存取連線能夠在每天的 9:00 到 18:00 都能保持開啟狀態 ( 強迫啟用 ), 其他時間則中斷連線 ( 強迫停用 ) Office Hour: (Force On) Mon - Sun 9:00 am to 6:00 pm 1. 確定 PPPoE 連線和時間設定時間設定都能正常運作 2. 設定 PPPoE 每天早上 9:00 到下午 18:00 都保持連線狀態 3. 設定每天晚上 18:00 到第二天早上 9:00 都是強迫停用狀態 4. 在 PPPoE 網際網路存取設定檔中, 指定此二個設定檔, 現在 PPPoE 會依照時間排程, 129

136 強迫啟用與強迫停用強迫停用強迫停用來計畫其網際網路連線 RADIUS 撥接使用者遠端認證服務 (RADIUS) 是一種用戶端 / 伺服器端安全性驗證之通訊協定, 支援驗證授權和說明, 通常為網際網路服務供應商所廣泛應用, 是用來作為驗證和授權撥接網路使用者最常見的一種方法建立一個 RADIUS 用戶特徵設定, 可以讓路由器協助遠端撥入用戶無線工作站以及 RADIUS 伺服器能夠共同執行驗證的動作, 它可集中遠端存取驗證工作以達成網路管理啟用伺服器 IP 位址通訊埠共享共享密碼確認共享確認共享密碼勾選此項以啟動 RADIUS 設定輸入 RADIUS 伺服器的 IP 位址輸入 RADIUS 伺服器所使用的 UDP 通訊埠號, 基於 RFC 2138, 預設值為 1812 RADIUS 伺服器和用戶共享一個用來驗證二者之間傳遞訊息的密碼, 雙方都必須設定相同的共享密碼請重新輸入共享密碼以確認 130

137 UPnP UPnP 協定爲網路連線裝置提供一個簡易安裝和設定介面, 爲 Windows 隨插即用系統上的電腦週邊設備提供一個直接連線的方式使用者不需要手動設定通訊埠對應通訊埠對應或是 DMZ,UPnP 只在 Windows XP 系統下可以運作, 路由器提供相關的支援服務給 MSN Messenger, 允許完整使用聲音影像和訊息特徵啟用 UPnP 服務您可以視情況勾選啟用連線控制服務啟用連線控制服務或是啟用連線狀態服啟用連線狀態服務在設定啟用 UPNP 服務後, 在 Windows XP/ 網路連線上會出現一個 IP Broadband Connection on Router 圖示, 連線狀態和控制狀態將可開啟使用,NAT Traversal of UPnP 可啟動應用程式中的多媒體特徵, 必須手動設定通訊埠對應或是使用其他類似的方法來設定, 以下顯示此項功能的範例圖形在路由器上的 UPnP 功能, 允許應用程式 ( 像是 MSN Messenger, 可察覺出 UPnP 功能 ) 找到隱藏在 NAT 路由器之下的是什麼, 此應用程式也會記住外部 IP 位址並且在路由器上設定通訊埠對應, 結果這種能力可將封包自路由器的外部通訊埠傳送到應用程式所使用的內部通訊埠 131

功能之前您應該要小心考慮這些風險封包某些微軟操作系統已發現到 UPnP 的缺點, 因此您需要確定已經應用最新的服務

138 有關防火牆與 UPnP 功能之提示無法與防火牆軟體配合在您的電腦上啟用防火牆有可能造成 UPnP 不正常運作, 這是因為這些應用程式會擋掉某些網路通訊埠的存取能力安全考量在您的網路上啟用 UPnP 功能可能會招致安全威脅, 在您啟用 UPnP 功能之前您應該要小心考慮這些風險封包某些微軟操作系統已發現到 UPnP 的缺點, 因此您需要確定已經應用最新的服務未享有特權的使用者可以控制某些路由器的功能, 像是移除和新增通訊埠對應等 UPnP 功能可不斷變化的新增通訊埠對應來表示一些察覺 UPnP 的應用程式, 當這些應用程式不正常的運作中止時, 這些對應可能無法移除 132

139 網路喚醒 (WOL) 區域網路上的電腦可以透過所連結的路由器來喚醒, 當使用者想要從路由器喚醒指定的電腦時, 使用者必須在此頁面上輸入該電腦正確的 MAC 位址此外, 此台電腦必須安裝有支援 WOL 功能的網卡, 並在 BIOS 設定中開啟 WOL 功能喚醒喚醒方式有二種方式提供給使用者喚醒綁定 IP 的電腦, 如果您選擇由 MAC 位址來喚醒的話, 您必須輸入該主機正確的 MAC 位址 ; 如果您選擇的是由 IP 位址來喚醒的話, 您必須選擇正確的 IP 位址 IP 位址 MAC 位址網路喚醒已在防火牆 >> 綁定 IP 至 MAC 中設定完成的 IP 位址, 將會出現在下拉式清單中, 請自清單中選取您想要喚醒的電腦 IP 輸入被綁定之電腦的 MAC 位址按此鈕可以喚醒選定的電腦, 喚醒結果將會顯示在方框內 133

4.10 VPN 與遠端存取 VPN 是 Virtual Private Network ( 虛擬私有網路 ) 的縮寫, 是一種利用公眾網路建立一個虛擬的安全的方便的通道企業可透過這個安全通道讓兩個不同地方的辦公室互通內部資料或讓出差在外的辦公人員可以遠端撥入 VPN 通道擷取公司內部的資料下圖為 VPN 與遠端存取的主要功能項目 : 4.10.1 遠端存取控制這個設定可以啟動必要的

140 4.10 VPN 與遠端存取 VPN 是 Virtual Private Network ( 虛擬私有網路 ) 的縮寫, 是一種利用公眾網路建立一個虛擬的安全的方便的通道企業可透過這個安全通道讓兩個不同地方的辦公室互通內部資料或讓出差在外的辦公人員可以遠端撥入 VPN 通道擷取公司內部的資料下圖為 VPN 與遠端存取的主要功能項目 : 遠端存取控制這個設定可以啟動必要的 VPN 服務, 如果您想要在區域網路中執行 VPN 伺服器功能, 您一定要適度關閉路由器的 VPN 服務, 讓 VPN 通道暢通, 並關閉類似 DMZ 或是開放埠等 NAT 設定啟用 PPTP VPN 服務啟用 IPSec VPN 服務啟用 L2TP VPN 服務勾選此方塊啟動經由 PPTP 通訊協定之 VPN 服務勾選此方塊啟動經由 IPSec 通訊協定之 VPN 服務勾選此方塊啟動經由 L2TP 通訊協定之 VPN 服務 PPP 基本設定這項功能可以應用在 PPP 相關的 VPN 連線中, 諸如 PPTP L2TP L2TP over IPSec 等 134

141 撥入 PPP 驗證 PAP 或 CHAP 撥入 PPP 加密 ( MPPE) 選擇此項目強迫路由器以 PAP 協定來驗證撥入使用者選擇此項目表示路由器會嘗試先以 CHAP 協定驗證撥入使用者, 如果撥入使用者沒有支援此項協定, 系統會改用 PAP 協定來驗證使用者此選項代表 MPPE 加密方式是由路由器針對遠端撥入使用者選擇性採用的方法, 如果遠端撥入使用者沒有支援 MPPE 加密演算式, 路由器將會傳送無 MPPE 加密封包出去, 否則 MPPE 加密將直接用於資料加密處理雙方共同共同驗證 (PAP) 起始 IP 位址 IPSec 基本設定在 IPSec 基本設定 MPPE (40/128bit) - 選擇此項目可以強迫路由器利用 MPPE 加密演算式加密資料封包, 此外遠端撥入使用者在使用 128-bit 之前可先使用 40-bit 執行加密動作, 換言之, 如果沒有支援 128-bit 加密法, 系統將會自動使用 40-bit 加密方式於資料加密上 MPPE (128bit) - 此選項指出路由器將會使用 MPPE 最大值 (128 bits) 來加密資料共同驗證功能主要應用於和其他路由器或是需要雙向驗證的用戶連絡, 以便取得更佳安全性能, 因此當您的對點路由器需要共同驗證時, 您就應該啟動此功能, 並進一步指定使用者名稱和密碼輸入撥入 PPP 連線的 IP 位址, 您應該自本地虛擬網路中選擇一個 IP 位址, 例如假設本地虛擬網路為 / , 您可以選擇做為起始 IP 位址, 但您必須注意到前二個 IP 位址和乃是保留作為 ISDN 遠端撥入使用者所使用基本設定中, 有二種主要的配置方式第一階段 :IKE 參數的協商作業包含加密重述 Diffie-Hellman 參數值和壽命, 以保護後續 IKE 交換使用預先共同金鑰或是數位簽章 (x.509) 之對等驗證協商程序 135

142 起始方提出所有的原則給遠端的另一方, 遠端一方嘗試尋找符合其政策之最高優先權, 最後建立一個 IKE 階段 2 的安全通道第二階段 :IPSec 安全協商包含驗證封包頭 (AH) 或是 ESP, 供後續 IKE 交換和雙邊安全通道設立之檢測之用在 IPSec 中有二種加密方式傳送與通道, 傳送模式將會增加 AH/ESP 承載量並使用原始 IP 標頭來加密承載的資料, 此模式只應用於本地封包上如 L2TP over IPSec, 通道模式不只增加 AH/ESP 承載量也會使用新的 IP 封包頭來加密整個原始 IP 封包驗證封包頭 (AH) 提供 VPN 雙方的 IP 封包資料驗證和整合, 可以單方重述功能來達成建立訊息摘要的動作, 這些摘要隨著封包傳送將放置於封包頭接收方將會在封包上執行同樣的動作, 並與所接收到的數值比較封裝式安全酬載 (ESP) 提供選擇性驗證方法, 對資料機密化和防護的安全協定, 可重新進行檢測 IKE 認證方式 IPSec 安全防護方式 IPSec 端點辨識路由器提供 32 種 IPSec 端點辨識設定檔 : 通常應用在遠端撥入使用者或是使用動態 IP 位址的節點 (LAN-to-LAN) 以及 IPSec 相關之 VPN 連線上, 像是 L2TP over IPSec 和 IPSec 通道預先共先共用金鑰 - 只有支援預先共用金鑰, 請指定一個金鑰作為 IKE 驗證之用確認預先共先共用金鑰 - 確認您所輸入的共用金鑰中級 (AH) - 表示資料將被驗證, 但未被加密, 此選項的預設時是勾選狀態高級 (ESP) - 表示資料將被加密及驗證, 請自下 DES 3DES 或 AES 中選取適合項目 136

www.ublink.org 回復出廠預設值索引名稱按此鈕清除全部設定請按索引下方的號碼以進入設定頁面顯示 LAN-to-LAN 設定檔案中特定撥入使用者的使用者名稱, 符號?

143 回復出廠預設值索引名稱按此鈕清除全部設定請按索引下方的號碼以進入設定頁面顯示 LAN-to-LAN 設定檔案中特定撥入使用者的使用者名稱, 符號??? 代表該設定檔是空的, 未做任何設定點選每個索引號碼以便編輯遠端使用者設定檔, 每個撥入類型需要您在右邊填入不同資訊, 如果該區域是灰色的, 即表示您無法在該項目做任何設定, 下面的說明可以引導您於各個設定區填入相關資訊 137

144 設定檔名稱接收任何接收任何對方 ID 接受主體主體替代名稱接受主體名稱遠端撥入使用者請輸入此設定檔的檔名按此鈕可以接受任何一個電腦的連線而不理會它是誰按此鈕以決定特定之數位簽章接受符合要求的對手, 本區可以是 IP 位址網域或是電子郵件, 類型下方區域方塊依據您所選的類型而有所不同, 請按照實際需要填入必要資訊按此鈕讓特定區域的數位簽章能接受符合要求的對手, 本區包含有國家狀態居住地區組織單位常用名稱及電子郵件等等藉由維護遠端使用者設定檔表格, 您可以管理遠端存取狀況, 這樣使用者可以經由驗證得以撥入或是建立 VPN 連線您可以設定包含指定連線對點 ID 連線 ID (PPTP IPSec Tunnel 以及 L2TP 和 L2TP over IPSec) 等參數, 和相關安全防護方式路由器提供 32 種存取使用者號碼予撥入用戶, 此外經由內建 RADIUS 用戶端功能, 您可以將帳號延伸至 RADIUS 伺服器下圖顯示帳號總表格 : 138

www.ublink.org 回復出廠預設值索引用戶狀態按此鈕清除全部設定請按索引下方的號碼以進入遠端撥入使用者之設定頁面顯示 LAN-to-LAN 設定檔案中特定撥入使用者的使用者名稱, 符號?

145 回復出廠預設值索引用戶狀態按此鈕清除全部設定請按索引下方的號碼以進入遠端撥入使用者之設定頁面顯示 LAN-to-LAN 設定檔案中特定撥入使用者的使用者名稱, 符號??? 代表該設定檔是空的, 未做任何設定顯示特定撥入使用者的存取狀態, 符號 V 和 X 分別代表活動中與不活動的檔案點選每個索引號碼以便編輯遠端使用者設定檔, 每個撥入類型需要您在右邊填入不同資訊, 如果該區域是灰色的, 即表示您無法在該項目做任何設定, 下面的說明可以引導您於各個設定區填入相關資訊 139

146 開啟這個帳號 PPTP IPSec 通道具有 IPSec 原則的 L2TP 原則指定遠端節點使用者名稱密碼 IKE 驗證方式安全防護方式勾選此方塊以啟用此功能閒置逾時 - 如果撥入使用者閒置超過所設定的時間, 路由器將會自動中斷連線, 預設閒置逾時為 300 秒爲伺服器建立一個透過網際網路的 PPTP VPN 連線您必須設定連線類型和身分辨識像是使用者名稱與密碼等, 以便驗證遠端伺服器允許遠端撥入使用者透過網際網路觸發 IPSec VPN 連線爲伺服器建立一個透過網際網路的 L2TP VPN 連線您可以選擇使用單獨 L2TP 或是含有 IPSec 的 L2TP, 請自下拉式選項選取 : 無 - 此選項完全不會應用 IPSec 原則,VPN 連線採用不帶有 IPSec 原則的 L2TP, 可以在完全 L2TP 連線中檢視內容建議選填 - 如果在整個連線過程中完全可以運用, 此選項會先應用 IPSec 原則否則撥入 VPN 連線會成為一種完全的 L2TP 連線必須 - 此選項可在 L2TP 連線中明確指定所要運用的 IPSec 原則勾選 - 您可以指定遠端撥入使用者或是對點 ID ( 應用於 IKE 主動模式中 ) 的 IP 位址不勾選 - 表示您所選擇的連線類型, 將會應用一般設定一般設定中所設定的驗證方式和安全防護方式當您選擇 PPTP 或是 L2TP 含 / 不含 IPSec 原則時, 本區是可應用的當您選擇 PPTP 或是 L2TP 含 / 不含 IPSec 原則時, 本區是可應用的預先共同金鑰 - 勾選此方塊啟用此功能並輸入 1-63 文字做為預先共同金鑰數位數位簽章 (X.509) 勾選此方塊啟用此功能並選擇一組事先定義的簽章內容 ( 在 VPN 和遠端存取 >>IPSec 端點辨識辨識中設定 ) 對 IPSec 通道和 L2TP 含 IPSec 原則來說, 本區為必要設定請勾選中級或是高級設定作為安全防護方式中級 -Authentication Header (AH) 表示資料將被驗證, 但未被加密, 此選項的預設時是勾選狀態高級 -Encapsulating Security Payload (ESP) 表示資料將被加密及驗證, 請自下拉式清單中選取適合項目本機 ID - 指定一個本地 ID 以便作為 LAN-to-LAN 的撥入設定, 此項是選擇項目且只能應用在 IKE 主動模式上設定 LAN to LAN 您可以透過維護連線檔案的表格來管理 LAN-to-LAN 連線, 您可設定包含指定連線方向 ( 撥進或是撥出 ) 的參數連線對方的 ID 連線型態 (VPN 含 PPTP, IPSec Tunnel 和 L2TP 或是其他 ) 以及相關的安全防護方法等等 140

www.ublink.org 路由器提供 32 個設定檔, 也就是說同時可以支援 2 個 VPN 頻道, 下圖顯示設定檔案的清單表格回復出廠預設值名稱狀態按此鈕清除全部設定意即 LAN-to-LAN 檔案名稱,?

147 路由器提供 32 個設定檔, 也就是說同時可以支援 2 個 VPN 頻道, 下圖顯示設定檔案的清單表格回復出廠預設值名稱狀態按此鈕清除全部設定意即 LAN-to-LAN 檔案名稱,??? 符號代表該檔案目前是空的表示個別檔案的狀態, 符號 V 和 X 分別代表使用中與未使用的檔案請按索引編號連結以編輯個別設定檔, 按下後可看到如下的頁面, 每個 LAN-to-LAN 檔案包含有四個子群組, 如果該區域是灰色的, 即表示您無法在該項目做任何設定, 下面的說明可以引導您於各個設定區填入相關資訊由於網頁太長, 我們將之切成數個段落來說明 141

148 設定檔名稱啟用此設定檔撥號方向永遠永遠連線或閒置逾時啟用 PING 以維持連線指定 IP 位址針對此 LAN-to-LAN 連線, 請指定一個設定檔案名稱按此方塊啟用此設定檔針對此 LAN-to-LAN 連線, 請指定允許的撥號方向雙向發話方 / 接話方撥出 - 發話方撥入 - 接話方永遠連線勾選此方塊讓路由器永遠保持 VPN 連線閒置逾時 - 預設值為 300 秒, 若連線閒置時間超過此數值, 路由器將自動中斷連線此功能可協助路由器決定 IPSec VPN 連線狀態, 對不正常的 IPSec VPN 通道中斷尤其有用詳細內容請參考下面的註解, 請勾選此方塊啟動 PING 封包傳輸至指定的 IP 位址輸入位於 VPN 通道另一邊的遠端主機的虛擬 IP 位址註解 : 啟用 PING 以維持連線用來管理不正常的 IPSec VPN 連線中斷, 提供一個 VPN 連線狀態供路由器判斷是否需要重撥正常而言, 如果 VPN 任何一方想要中斷連線, 那麼就必須依照封包交換程序通知對方不過如果另一方在未通 142

149 PPTP IPSec 通道具有 IPSec 原則的 L2TP 使用者名稱密碼 PPP 認證 VJ 壓縮壓縮原則 IKE 驗證方式 IPSec 安全防護方式知的情況下中斷連線,Vigor 路由器將無從得知此項訊息, 爲了解決這樣的困境, 藉著不斷傳送 PING 封包至遠端主機的方式, 路由器就可以知道此項 VPN 通道有無實際運作, 這是一種獨立的 DPD ( 無效對方檢測 ) 爲伺服器建立一個透過網際網路的 PPTP VPN 連線您必須設定連線類型和身分辨識像是使用者名稱與密碼等, 以便驗證遠端伺服器爲伺服器建立一個透過網際網路的 IPSec VPN 連線爲伺服器建立一個透過網際網路的 L2TP VPN 連線您可以選擇使用單獨 L2TP 或是含有 IPSec 的 L2TP, 請自下拉式選項選取 : 無 - 此選項完全不會應用 IPSec 原則,VPN 連線採用不帶有 IPSec 原則的 L2TP, 可以在完全 L2TP 連線中檢視內容建議選填 - 如果在整個連線過程中是可以運用的情形下, 此選項會先應用 IPSec 原則否則撥出 VPN 連線會成為一種完全的 L2TP 連線一定要有 - 此選項可在 L2TP 連線中明確指定所要運用的 IPSec 原則當您選擇 PPTP 或是 L2TP 含 / 不含 IPSec 原則時, 本區是可應用的當您選擇 PPTP 或是 L2TP 含 / 不含 IPSec 原則時, 本區是可應用的當您選擇 PPTP 或是 L2TP 含 / 不含 IPSec 原則時, 本區是可應用的 PAP/CHAP 是最平常的選項當您選擇 PPTP 或是 L2TP 含 / 不含 IPSec 原則時, 本區是可應用的 VJ 壓縮可作為 TCP/IP 協定標頭壓縮之用, 通常設定選擇開啟開啟以改善頻寬利用的狀況預先共先共用金鑰 - 勾選此方塊啟用此功能並按 IKE 預先共先共用金鑰按鈕輸入金鑰及確認金鑰數位簽章 (X.509) 勾選此方塊啟用此功能並選擇一組事先定義的簽章內容 ( 在 VPN 和遠端存取 >>IPSec 端點辨識中設定 ) 對 IPSec 通道和 L2TP 含 IPSec 原則來說, 本區為必要設定中級 (AH) 表示資料將被驗證, 但未被加密, 此選項的預設時是勾選狀態高級 (ESP-Encapsulating Security Payload) 表示資料將被加密及驗證, 請自下拉式清單中選取適合項目 : DES 無驗證 - 使用 DES 加密演算式, 但不採用任何驗證計畫有驗證 - 使用 DES 加密演算式, 且採用 MD5 或 SHA-1 DES 有驗證驗證計畫 3DES 無驗證驗證計畫無驗證 - 使用三重 DES 加密演算式, 但不採用任何 143

進階 3DES 有驗證 SHA-1 驗證計畫 AES 無驗證有驗證 - 使用三重 DES 加密演算式, 且採用 MD5 或無驗證 - 使用 AES 加密演算式, 但不採用任何驗證計畫 AES 有驗證 - 使用 AES 加密演算式, 且採用 MD5 或 SHA-1 有驗證驗證計畫指定模式建議和 IKE 階段金鑰有效時間等設定, 可按進階按鈕進入進階設定, 視窗顯示如下 : IKE 階段 1

150 進階 3DES 有驗證 SHA-1 驗證計畫 AES 無驗證有驗證 - 使用三重 DES 加密演算式, 且採用 MD5 或無驗證 - 使用 AES 加密演算式, 但不採用任何驗證計畫 AES 有驗證 - 使用 AES 加密演算式, 且採用 MD5 或 SHA-1 有驗證驗證計畫指定模式建議和 IKE 階段金鑰有效時間等設定, 可按進階按鈕進入進階設定, 視窗顯示如下 : IKE 階段 1 模式選擇 Main 模式比起 Aggressive 模式,Main 模式模式或是 Aggressive 模式模式顯得更加安全, 因為在安全通道中有更多的交換動作於此完成, 不過,Aggressive 模式是比較快速的模式路由器的預設值為 Main 模式 IKE 階段 1 建議 - 針對 VPN 通道另一方可提供本地有效的驗證計畫及加密演算式, 並取得回覆訊息以找出符合的結果對 Aggressive 模式來說有二種有效的組合方式, 對 Main 模式來說有九種有效的組合方式, 建議您選擇能涵蓋多數計畫的組合方式 IKE 階段 2 建議 - 針對 VPN 通道另一方可提供本地有效的驗證計畫及加密演算式, 並取得回覆訊息以找出符合的結果對 Aggressive 模式來說有二種有效的組合方式, 對二種模式來說有 3 種有效的組合方式, 建議您選擇能涵蓋多數計畫的組合方式 IKE 階段 1 金鑰有效時間 - 考慮到安全之故, 使用者必須訂定有效時間, 預設值為秒, 您可以在 900 與秒之間指定所需的時間值 IKE 階段 2 金鑰有效時間 - 考慮到安全之故, 使用者必須訂定有效時間, 預設值為 3600 秒, 您可以在 900 與秒之間指定所需的時間值本機 ID 在 Aggressive 模式中, 當鑑定遠端 VPN 伺服器身分時, 本機 ID 代表 IP 位址,ID 長度限制於 47 個字元 144

151 允許允許的撥入類型 PPTP IPSec 通道具有 IPSec 原則的 L2TP 原則指定 ISDN CLID 或遠端 VPN 閘道使用者名稱以不同類型來決定撥入連線允許遠端撥入用戶透過網際網路達成 PPTP VPN 連線, 請設定遠端撥入用戶的使用者名稱和密碼允許遠端撥入用戶透過網際網觸發 IPSec VPN 連線允許遠端撥入用戶透過網際網路製造 L2TP VPN 連線, 您可以選擇使用單獨 L2TP 或是含有 IPSec 的 L2TP, 請自下拉式選項選取 : 無 - 此選項完全不會應用 IPSec 原則,VPN 連線採用不帶有 IPSec 原則的 L2TP 可以在完全 L2TP 連線中檢視內容建議選填 - 如果在整個連線過程中是可以運用的情形下, 此選項會先應用 IPSec 原則否則撥出 VPN 連線會成為一種完全的 L2TP 連線必須 - 此選項可在 L2TP 連線中明確指定所要運用的 IPSec 原則您可勾選此項, 並指定遠端撥入用戶的真實 IP 位址或 ID ( 必須與撥入類型中所設定的 ID 相同 ) 若您選擇 ISDN 類型, 請於此輸入對方的 ISDN 號碼, ( 適用於 i 機型 ) 此外針對 VPN 功能, 您應該進一步指定右邊相關安全設定當您選擇 PPTP 或是 L2TP 含 / 不含 IPSec 原則時, 本區是可應用的 145

152 密碼 VJ 壓縮壓縮 IKE 驗證方式 IPSec 安全防護方式我的 WAN IP 遠端閘道 IP 遠端網路 IP/ 遠端網路遮罩更多 RIP 方向從第一個子網路到遠端網路, 您必須要作變更預設路由此 VPN 通道當您選擇 PPTP 或是 L2TP 含 / 不含 IPSec 原則時, 本區是可應用的當您選擇 PPTP 或是 L2TP 含 / 不含 IPSec 原則時, 本區是可應用的 VJ 壓縮可作為 TCP/IP 協定標頭壓縮之用當您指定遠端節點的 IP 位址時,IKE 驗證可套用在 IPSec 通道和含 IPSec 原則之 L2TP 上不過, 不管有沒有指定遠端節點的 IP 位址予 IPSec 通道使用, 您仍然可以設定數位簽章 (X.509) 預先共同金鑰 - 勾選此方塊啟用此功能並按 IKE 預先共先共用金鑰按鈕輸入金鑰及確認金鑰數位簽章 (X.509) 勾選此方塊啟用此功能並自下拉式清單中選擇 VPN 遠端存取控制 >>IPSec 端點辨識辨識中所預先定義的設定檔當您指定遠端模式時, 對 IPSec 通道和 L2TP 含 IPSec 原則來說, 本區為必要設定中級 (AH) 表示資料將被驗證, 但未被加密, 此選項的預設時是勾選狀態高級 (ESP-Encapsulating Security Payload)- 表示資料將被加密及驗證, 請自下拉式清單中選取適合項目本區只在您選擇 PPTP 或是 L2TP 含 / 不含 IPSec 原則時有效預設值為 , 表示 Vigor 路由器在 IPCP 協商階段期間, 將從遠端路由器取得您所指定的 IP 位址, 請在此輸入 IP 位址此一位址適用於本機為 VPN client (dial-out) 端時本區只在您選擇 PPTP 或是 L2TP 含 / 不含 IPSec 原則時有效預設值為 , 表示 Vigor 路由器在 IPCP 協商階段期間, 將發予對方的 IP 位址, 請在此輸入發予對方之 IP 位址此一位址適用於本機為 VPN Server (dial-in) 端時端網路遮罩新增一個靜態路由以便透過網際網路, 引導遠端網路 IP 位址 / 遠端網路遮罩預定之全部傳輸流量對 IPSec 而言, 這項設定是第二階段快速模式的目的用戶端之身分新增一個靜態路由, 並藉由網際網路引導更多的遠端網路 IP 位址 / 遠端網路遮罩預定之全部傳輸流量通常在您發現遠端 VPN 路由器有數個子網路存在時, 您會使用此按鈕設定更多的路由此選項指定 RIP ( 路由資訊協定 ) 封包的方向, 您可以啟用也可以停用 RIP 方向, 於此, 我們提供您四種選擇 :TX/RX 二者均有 TX RX 以及停用如果遠端網路只允許您以單一 IP 撥號, 請選擇 NAT 否則請選擇路由路由通道勾選此方塊變更此 VPN 通道的預設路由, 注意此設定只有在一個 WAN 介面啟用時有效, 若是二個 WAN 介面皆啟用, 此功能即無法使用 146

153 連線管理您可以查看全部 VPN 連線的總結清單, 您可中斷任何一個 VPN 連線, 只要輕輕按下中斷按鈕即可您也可以使用撥出工具並按撥號撥號按鈕主動撥出任何的電話撥號更新間隔秒數更新頁面按此鈕執行撥號功能選擇重新顯示狀態的間隔秒數, 有秒等三種選擇按此鈕以重新顯示整個連線狀態 147

154 4.11 憑證管理數位憑證就像是一個電子 ID, 此 ID 可以由憑證授權中心註冊取得它包含有您的名字序號到期日憑證授權的數位簽章, 這樣一來, 接收者可以確認該憑證是否是真實的本路由器支援遵守標準 X.509 的數位憑證任何想要使用數位憑證的人都應該先有 CA 伺服器註冊的憑證, 此憑證也可從其他具公信力的 CA 伺服器取得, 如此還可以驗證其他從公信力的 CA 伺服器取得憑證的另一方此處您可以管理產生本機的數位憑證, 並設定具公信力之 CA 憑證, 使用憑證前, 請記得調整路由器的時間, 這樣才可取得正確的憑證有效期下圖顯示憑證管理的功能項目 : 本機憑證 148

155 產生按此鈕以開啟產生憑產生憑證需求證需求視窗輸入全部的資訊, 然後再按一次產生產生按鈕匯入按此鈕以匯入儲存的檔案作為憑證資訊頁面更新按此鈕以更新資訊檢視按此鈕以檢視憑證詳細的設定在按下產生產生按鈕之後, 產生後的資訊將會顯示在視窗上, 見下圖 : 149

4.11.2 具公信力之 CA 憑證具公信力之 CA 憑證列出三組具公信力之 CA 憑證表

接著按下匯入鈕, 您所要匯入的檔案將會列在視窗上, 再按一次匯入鈕即可使用預先儲存的檔案如要檢視每個具公信力之

156 具公信力之 CA 憑證具公信力之 CA 憑證列出三組具公信力之 CA 憑證表若要輸入事先儲存的具公信力之 CA 憑證, 請按匯入鈕開啟如下的視窗, 並使用瀏覽找到儲存的文字檔案, 接著按下匯入鈕, 您所要匯入的檔案將會列在視窗上, 再按一次匯入鈕即可使用預先儲存的檔案如要檢視每個具公信力之 CA 憑證, 請按檢視檢視按鈕開啟憑證的詳細資訊視窗, 如果您想要刪除 CA 憑證, 選擇該憑證並按下刪除刪除按鈕, 所有相關的憑證資訊即可刪除 150

157 憑證備份路由器的本機憑證與具公信力之 CA 憑證可以儲存為一個檔案, 請按下述畫面的備份按鈕來儲存, 如果您想要設定加密的密碼, 請在加密密碼與確認密碼二欄中輸入所需的字元 4.12 VoIP Voice over IP network (VoIP) 可讓您使用寬頻網際網路連線撥打網路電話有很多種不同的電話信號協定方法可讓 VoIP 裝置使用以便與對方溝通聯繫, 最普遍的協定有 SIP MGCP Megaco 和 H.323, 這些協定彼此都不完全相容 ( 除非是透過軟體伺服器的掌控 ) Vigor V 系列機種支援 SIP 協定, 因為此種協定對 ITSP (Internet Telephony Service Provider) 而言是很理想也很方便, 支援也最廣 SIP 是一種端對端信號協定, 可建立使用者於 VoIP 結構中之出席情形和機動性每個想要使用 SIP 相同資源辨識器之用戶都可使用標準的 SIP URI 格式 sip: host: port 某些區域可能有不同的使用方式, 一般來說主機指的是網域, 使用者資訊包含有使用者名稱區密碼區,@ 符號則緊跟在後, 這種格式和 URL 很相似, 所以有些人以 SIP URL 來稱呼它 SIP 支援點對點直接撥號, 同時也可透過 SIP 代理伺服器 ( 角色雷同 H.323 Gatekeeper) 來撥號, 而 MGCP 協定則是使用用戶 - 伺服器結構, 撥號方式和目前 PSTN 網路是相同的在撥號設定之後, 聲音是透過 RTP (Real-Time Transport Protocol) 來傳送的, 不同的 codecs( 用來壓縮和解壓縮聲音 ) 可以包覆於 RTP 封包中,Vigor V 機種提供不同的 codecs 包括 G.711 A/µ-law, G.723, G.726 和 G.729 A & B, 每個 codecs 都使用不同頻寬, 因此可以提供不同等級的聲音品質 Codec 使用的頻寬越多, 聲音品質越好, 雖然如此還是應該配合您的網際網路頻寬選擇適宜的 codec 才恰當通常有二種撥號類型, 說明如下 : 透過 SIP 伺服器撥號首先 Vigor V 機種必須先向 SIP 註冊, 傳送註冊訊息才可生效, 然後雙方的 SIP 代理商將轉送一系列訊息給與撥號者, 以便建立完整的 session 151

路由器會建立雙方間的連線我們的 Vigor V 機種首先採用有效之 codecs, 但同時也擔保自動 QoS 的功能,QoS 擔保可以協助指定聲音流量較高之優先權,

158 如果雙方都向相同 ISP 業者註冊, 那麼我們可以下圖來做簡單說明 : 這種模式最主要的好處是您不必去記朋友的 IP 位址 ( 因為它可能常常會改變, 如果該位址是浮動的位址的話 ), 相反的您只要使用撥號計畫或是直接撥朋友的帳號名稱就可以了點對點在撥打電話之前, 您必須知道朋友的 IP 位址,Vigor VoIP 路由器會建立雙方間的連線我們的 Vigor V 機種首先採用有效之 codecs, 但同時也擔保自動 QoS 的功能,QoS 擔保可以協助指定聲音流量較高之優先權, 您對聲音所需求之 inbound 和 outbound 頻寬永遠擁有優先處理權, 但是您的資料處理就會有些慢, 不過還在忍受範圍內下圖為 VoIP 的功能項目 : 撥號對應表 152

159 本頁讓使用者設定 VoIP 功能所需的電話簿及數字對應設定請按頁面上的連結進入下一層設定頁面電話簿在本節中, 您可以設定 VOIP 電話, 這個設定可以幫助用戶以最快且最簡單的方式撥出電話號碼本頁總共提供 60 組號碼給用戶儲存朋友以及家人的 SIP 位址按任何一個索引標號進入下一個設定頁面 153

160 啟用電話號碼顯示名稱 SIP URL 勾選此方塊啟用此號碼此索引編號的快速撥號號碼, 任何號碼都可以使用, 範圍是數字 0-9 以及 * 您想要在朋友的電話螢幕上顯示出來的名稱, 可讓您的朋友容易知道是誰打的電話請輸入朋友的 SIP 位址數字對應設定為了使用者的方便, 本頁允許使用者以新號碼來編輯 SIP 帳號的前置號碼, 或是取代該號碼等等, 這個設定可以提供用戶一個透過 VoIP 介面快速且簡單的撥號方式 154

161 啟用前置號碼模式按此方塊啟動此功能此處所設定的號碼可用來新增, 取代變更之號碼無無動作新增 - 當您選擇此模式時, 變更號碼將會增加前置號碼於前面, 並藉由選定的 VoIP 介面撥出卸除 - 當您選擇此模式時變更號碼將會被刪除取代 - 當您選擇此模式時, 透過指定的 VoIP 介面之變更號碼將會被前置號碼所取代變更號碼您在此處所輸入的號碼是您想要執行特殊功用的帳號前半部份 ( 依據選擇的模式而定 ) 155

最小長度最大長度介面設定撥號的最小長度以套用前置號碼之設定, 參考上圖所示, 如果號碼介於 7 和 9, 那麼該號碼可以就能套用此處所設定的前置號碼設定設定撥號的最大長度以套用前置號碼之設定請自預設的六組 SIP 帳號中選擇一個您想要啟動前置號碼設定的介面 4.12.

162 最小長度最大長度介面設定撥號的最小長度以套用前置號碼之設定, 參考上圖所示, 如果號碼介於 7 和 9, 那麼該號碼可以就能套用此處所設定的前置號碼設定設定撥號的最大長度以套用前置號碼之設定請自預設的六組 SIP 帳號中選擇一個您想要啟動前置號碼設定的介面 SIP 帳號在此頁面中, 您可以調整自己的 SIP 設定, 當您申請一個帳號時, 您的 ISP 服務供應商會給您一個帳號名稱或是使用者名稱 SIP 登錄者代理人和網域名稱 ( 最後三種在某些條件下, 有可能是完全相同的 ), 您可以告訴您的成員有關您的 SIP 位址, 表示法為帳號網域名稱當路由器打開時, 網域名稱來登錄, 之後, 您的電話將由 SIP 網域名稱傳送至目的地作為辨識之用索引設定檔網域伺服器帳號名稱振鈴通訊埠 STUN 伺服器外部 IP SIP PING 間隔按此鈕進入下一層設定頁面設定 SIP 帳號顯示帳號的設定檔名稱顯示 SIP 註冊伺服器的網域名稱或是 IP 位址顯示 SIP 伺服器的網域名稱或是 IP 位址前面的 SIP 位址帳號名稱指定接收電話時由哪一個通訊埠響鈴輸入 STUN 伺服器的 IP 位址或是網域輸入閘道 IP 位址預設值為 150 秒, 對 Nortel 伺服器而言這項設定是相當有用的 156

163 狀態顯示相關 SIP 帳號的狀態,R 表示此帳號已註冊成功, 表示尚未成功註冊設定檔名稱由此註冊 IP 通訊埠網域伺服器以對外伺服器之身之身份來運作顯示名稱帳號名稱 / 號碼驗證 ID 身分指定一個名稱作為辨識之用, 您可以使用與網域類似的名稱, 例如網域名稱為 draytel.org, 您就可以在本區中設定 draytel-1 指定您申請註冊時所透過的介面為何, 如果您不想註冊個人資料而直接使用 VoIP 撥號功能, 請選擇無某些 SIP 伺服器允許使用者不須登錄即可使用 VoIP 功能, 針對這類伺服器, 請您選擇自動, 系統將爲您選擇最佳方式作為 VoIP 撥號之用通訊埠號用來傳送 / 接收 SIP 訊息以建立通訊, 雖然預設值為 5060, 您仍可將之變更為其他數字不過在這種情形下, 還需要對方也同時變更為相同的數字才行輸入註冊 SIP 伺服器的網域名稱或 IP 位址您可以輸入 SIP 代理伺服器的 IP 位址 ( 或網域名稱如 iptel.org), 所有在上述的網域網域區域中指定的訊息來說 Vigor 路由器將之傳送至代理者, 由代理者來轉送此訊息您可以在網域名稱後面輸入通訊埠號, 指定該埠號為資料傳輸的目的地 ( 例如 nat.draytel.org:5065) 勾選此方塊以啟用伺服器成為對外伺服器您想要在朋友的電話顯示螢幕上出現的名稱輸入 SIP 位址的帳號名稱, 之前的文字勾選此方塊啟用此功能並輸入名稱或號碼供 SIP 驗證, 如果設定值與帳戶名稱相同, 您就不必勾選此方塊另設數值 157

密碼有效時間當您以 SIP 服務註冊時所需提供的密碼為 SIP 伺服器提保存使用者註冊帳號的有效時間在到期之前, 路由器將會再次傳送另一個註冊需求給予 SIP 登錄伺服器 NAT 穿透如果路由器 ( 寬頻路由器 ) 是透過其他裝置連接上網際網路, 您就必須設定此功能振鈴通訊埠振鈴樣式無.

164 密碼有效時間當您以 SIP 服務註冊時所需提供的密碼為 SIP 伺服器提保存使用者註冊帳號的有效時間在到期之前, 路由器將會再次傳送另一個註冊需求給予 SIP 登錄伺服器 NAT 穿透如果路由器 ( 寬頻路由器 ) 是透過其他裝置連接上網際網路, 您就必須設定此功能振鈴通訊埠振鈴樣式無. 關閉此功能 Stun 若路由器支援 Stun 伺服器, 請選擇此項目手動若您想要指定外部 IP 位址作為 NAT transversal 支援, 請選擇此項目 Nortel 如果軟體支援 nortel 方案, 您可以選擇此項目設定 VoIP 1,VoIP 2 作為 SIP 帳號的預設振鈴通訊埠選擇 VoIP 電話的振鈴樣式電話設定本頁讓使用者得以個別設定 Phone 1 和 Phone 2 158

165 電話清單 RTP 通訊埠有種通訊埠類型提供給您選擇通話功能這個欄位簡單描述此通電話的功能供使用者參考 Codec 每個通訊埠的預設 Codec 設定都會顯示在本區, 您可以按索引號碼變更每個電話通訊埠的設定音調顯示進階頁面所設定的音調值音量 - 顯示進階頁面中 Mic/Speaker 的音量設定預設 SIP 帳號 draytel_1 是預設的 SIP 帳號, 您可按索引下方的編號變更 SIP 帳號設定 DTMF Relay 顯示進階頁面中所設定的 DTMF 模式 Symmetric RTP 勾選此方塊啟用此功能若要讓資料傳輸能在本機路由器與遠端路由器之間暢行無阻而不至於因 IP 漏失而誤導的情形發生, 請您勾選此方塊解決這個問題 RTP 通訊埠起點 - 指定 RTP 之通訊埠起點, 預設值為 RTP 通訊埠通訊埠終點 - 指定 RTP 之通訊埠終點, 預設值為 RTP TOS 此項可決定 VoIP 封包的等級, 請使用下拉式選項選擇其中一種 Phone Port 細節設定請按索引欄位下方的 1 或 2 連結進入下面的設定頁面 159

166 熱線連線計數器指定轉接勾選此方塊啟用此功能, 請在本區輸入 SIP URL 讓系統在您拿起話機後自動撥號勾選此方塊啟用此功能, 您在本區所設定的限制時間內如果沒有任何回應, 連線電話將會自動關閉共有四種選項可以選擇, 停用可關閉此功能, 永遠則表示來電會一直轉接到 SIP URL 上, 忙線則表示來電只在本機忙碌時轉接到 SIP URL, 沒回應回應則表示來電若未收到任何回應, 電話都會在切斷時轉接到 SIP URL 上 SIP URL 請輸入 SIP URL ( 例如 aaa@draytel.org 或 abc@iptel.org) 做為轉送電話的終點逾時逾時設定電話轉接的逾時現制, 預設值為 30 秒勿干擾 ) 設定一段和平時間不受任何 VoIP 來電的干擾在此期間, 撥號進來的人會聽到忙線的聲音, 而本機用戶則聽不到任何電話鈴聲索引 (1-15) 於排程設定 - E 依照事先設定完成之排程, 在此輸入排程計畫的索引編號以控制勿打擾模式詳細設定請 DND ( 勿干擾話中插接參考排程排程一節索引 (1-60) 於電話於電話簿 - 輸入例外電話於此方塊內, 列於此之電話不受勿干擾的限制詳細設定請參考電話電話簿一節勾選此方塊啟用此功能, 提示聲音將會出現以告知使用者有電話在等待 160

167 電話轉接偏好 Codec 勾選此方塊啟用此功能, 按轉接鍵轉接另一通電話, 當電話連線成功時, 掛上電話此時另外二方就可直接溝通有五種不同的 CODEC 供您選擇, 但真正被使用的 CODEC 在通訊建立前是和對方共同商議而得預設的 CODEC 是 G.729A/B, 它佔據較少的頻寬但是卻仍擁有良好的聲音品質, 如果您想要使用 G.711, 您最好具有至少 256Kbps 的上傳速率單一 Codec - 如果勾選此方塊, 只有選定的 Codec 會被路由器套用語音資料長度 - 資料總數包含單一封包 (10, 20, 30, 40, 50 和 60), 預設值為 20ms, 表示資料封包含 20ms 聲音資訊語音活動偵測器 (AVD) - 選擇開啟開啟啟動此項功能, 以檢測使用者是否正在交談如果安靜無聲, 路由器將採取行動節省頻寬的使用預設 SIP 帳號您可以設定 SIP 帳號 ( 最多 6 組 ), 請使用下拉式清單選擇其中一組作為預設帳號當帳號已帳號已經註冊時請使用撥號使用撥號音 - 勾選此方塊啟用此功能此外, 您也可以按進階進階按鈕進入深一層的設定此項設定是爲了符合路由器安裝所在地區的電信習慣而提供, 錯誤音調設定可能會造成使用者的不便關於設定話機的聲音型態, 方法很簡單, 只要選擇適當的區域讓系統自動尋找事先設定的音調設定和呼叫 ID 類型, 或是您也可選擇使用者自訂, 然後以手動方式調整音調,TOn1, TOff1, TOn2 和 TOff2 表示音調型態的韻律,TOn1 和 TOn2 表示開啟聲音 ;TOff1 和 TOff2 則表示關閉聲音 161

地區選擇您目前所處地區, 來電顯示類型電顯示類型撥號撥號音響鈴音響鈴音忙線音和系統系統擁塞音擁塞音都會自動顯示在本頁面上如果您無法找到適合的地區, 請您選擇使用者自訂, 再自行輸入頁面所需的各式資料來電顯示類型音量控制雜項您也可以是個人需要指定各個區域內容, 建議您採用預設值作為 VoIP

168 地區選擇您目前所處地區, 來電顯示類型電顯示類型撥號撥號音響鈴音響鈴音忙線音和系統系統擁塞音擁塞音都會自動顯示在本頁面上如果您無法找到適合的地區, 請您選擇使用者自訂, 再自行輸入頁面所需的各式資料來電顯示類型音量控制雜項您也可以是個人需要指定各個區域內容, 建議您採用預設值作為 VoIP 通訊之用此處提供數種標準, 以便在電話機面板上顯示來電者的身分, 請依照路由器安裝所在地區選擇適合的類型, 如果您不知道話機究竟支援哪種標準, 請直接採用預設值請輸入 1-10 以設定麥克風的音量, 數字越大聲音越大撥號音量控制 - 此項設定用來調整撥號的音量大小, 數字越小音量越大, 建議使用預設值 162

169 DTMF 振鈴聲頻率此項設定用來驅動鈴聲的頻率, 建議使用預設值 DTMF 模式 InBand - 當您按壓電話上的鍵盤時, 路由器將會直接以聲音模式傳送 DTMF 音調 OutBand - 路由器將會抓取您所按壓的鍵盤號碼然後以數位格式傳送至另一端 ; 接收者將會依照所接收的數位格式來產生音調這個功能在網路擁塞的情形下是很有用處的, 因為它仍可保持 DTMF 音調的準確度 SIP 資訊資訊 - 路由器將抓取 DTMF 音調然後以 SIP 訊息轉送給遠端用戶 Payload 類型 (rfc2833) - 請自 96 至 127 中選擇一個數字, 預設值為 101, 此項設定只對 OutBand (RFC2833) 模式有效狀態在 VoIP 撥號狀態下, 您可以看見 VoIP 1 和 VoIP 2 的 codec 連線情形和其他重要的撥號狀態資料更新間隔秒數指定更新的間隔秒數以取得最新的 VoIP 撥號資訊, 當按下更新頁面按鈕時, 頁面資訊將會立即更新通訊埠顯示目前 VoIP 電話的連線通訊埠 163

170 狀態顯示 VoIP 連線狀態 IDLE - 表示 VoIP 功能正處於閒置狀態 HANG_UP - 表示連線並未建立 ( 忙線音調 ) CONNECTING - 表示用戶正撥出號碼中 WAIT_ANS - 表示已連線並等待遠端用戶的回答 ALERTING - 表示有來電 ACTIVE- 表示 VoIP 連線啟動 Codec 表示目前頻道所利用的聲音 codec 對方 ID 撥進或撥出之對方 ID ( 格式可以是 IP 位址或是網域名稱 ) 經過時間傳送封包數接收封包數漏失接收封包接收抖動來電撥出電話接聽音聽音量記錄 4.13 無線區域網路設定通話時間以秒數計算在連線中全部的傳送封包數量在連線中全部的接收封包數量在連線中漏失的全部封包接收聲音封包抖動狀態已接來電總數撥出電話總數電話音量大小顯示 VoIP 電話紀錄注意 : 本節所提供的資訊僅針對 n 系列機型基本觀念在最近幾年無線通訊的市場有了極大的成長, 無線技術線在到達了或說是有能力到達地球表面上的每一個點, 數以百萬的人們每天透過無線通訊產品彼此交換資訊,Vigor G 系列路由器, 又稱為 Vigor 無線路由器, 被設計成為一個適合小型辦公室 / 家庭需要的路由器, 擁有最大的彈性與效率, 任何一個被授權的人, 都可以攜帶內建的無線區域網路用戶端 PDA 或是筆記型電腦, 進入會議室開會, 因而不需擺放一堆亂七八糟的纜線或是到處鑽孔以便連線無線區域網路機動性高, 因此無線區域網路使用者可以同時存取所有區域網路中的工具, 以及遨遊網際網路, 好比是以有線網路連接的一樣 Vigor 無線路由器皆配有與標準 IEEE g 通訊協定相容之無線區域網路介面, 爲了進一步提高其效能,Vigor 路由器也承載了進階無線技術 Super G TM 以便將速率提升至 108 Mbps*, 因此在最後您可以非常順利的享受流暢的音樂與影像注意 :* 資料的實際總處理能力會依照網路條件和環境因素而改變, 如網路流量網路費用以及建造材料在無線網路的基礎建設模式 (Infrastructure Mode) 中,Vigor 無線路由器扮演著無線網路基地台 (AP) 的角色, 可連接很多的無線用戶端或是無線用戶站 (STA), 所有的用戶站透過路由器, 都可分享相同的網際網路連線基本設定基本設定可讓您針對無線網路所需的訊息包含 SSID 頻道等項目做基本的配置 164

171 Multiple SSIDs 安全防護概要即時硬體加密 : Vigor 路由器配有 AES 加密引擎, 因此可以採用最高級的保護措施, 在不影響使用者的習慣之下, 對資料達成保護效果完整的安全性標準選項 : 為了確保無線通訊的安全性與私密性, 提供數種市場上常見的無線安全標準有線對應隱私權 (Wired Equivalent Privacy, WEP) 是一種傳統的方法, 使用 64-bit 或是 128-bit 金鑰透過無線收發裝置來加密每個資料訊框通常無線基地台會事先配置一組含四個金鑰的設定, 然後使用其中一個金鑰與每個無線用戶端通訊聯絡 Wi-Fi 保護存取協定 (Wi-Fi Protected Access, WPA) 是工業上最佔優勢的安全機制, 可分成二大類 :WPA-personal 或稱為 WPA Pre-Share Key (WPA/PSK) 以及 WPA-Enterprise 又稱為 WPA/802.1x 在 WPA-Personal 機制中, 會應用一個事先定義的金鑰來加密傳輸中的資料,WPA 採用 Temporal Key Integrity Protocol (TKIP) 加密資料而 WPA2 則是採用 AES,WPA-Enterprise 不只結合加密也還涵括驗證功能由於 WEP 已被證明是有弱點的, 您可以考慮使用 WPA 作為安全連線之用您應該按照所需來選擇適當的安全機制, 不論您選擇哪一種安全防護措施, 它們都可以全方位的加強您無線網路上之資料保護以及 / 或是機密性 Vigor 無線路由器是相當具有彈性的, 且能同時以 WEP 和 WPA 支援多種安全連線分隔無線與有線區域網路 - 無線區域網路隔離可使您自有線區域網路中, 分隔出無線區域網路以便隔離或是限制存取隔離代表著雙方彼此都無法存取對方的資料, 欲詳細說明商業用途之範例, 您可以為訪客設定一個無線區域網路, 讓他們只能連接到網際網路而不必擔心洩露機密資訊更彈性的作法是, 您可以新增 MAC 位址的過濾器來區隔有線網路之單一使用者的存取行為管理無線用戶端 - 無線用戶端列表顯示無線網路中全部的無線用戶端以及連接狀態以下為無線區域網路無線區域網路下的功能項目 : 165

172 基本設定按下一般設定一般設定連結, 新的網頁即會開啟, 您可以設定 SSID 和無線頻道資訊, 請參考下圖 : 166

173 啟用模式勾選此方塊啟動無線功能請選擇一個適當的無線模式目前路由器支援的協定有綜合 ( (11b+11g), 11g Only, 11b Only, 綜合 ( (11g+11n), 11n Only 及綜合 ( (11b+11g+11n) 請選擇綜合 (11b+11g+11n) 模式索引 (1-15) SSID 隱藏 SSID 頻道設定無線區域網路在特定的時間間隔中運作您可以從應用的排程設定排程設定頁面上, 自 15 個排程中選擇 4 個, 本區預設值是空白的, 表示無線功能是永遠可以運作的狀態預設的 SSID 值為 DrayTek, 建議您變更為另一個特殊名稱它是無線區域網路的身分辨識碼,SSID 可以是任何文字數字或是各種特殊字元勾選此方塊, 防止他人得知 SSID 值, 未知此路由器的 SSID 之無線用戶在搜尋網路時, 看不到 Vigor 無線路由器的訊息無線區域網路的通道頻率預設頻道是 6, 如果選定的頻道受到嚴重的干擾的話, 您可自行切換為其他頻道長封包標包標頭安全性設定此選項用來定義封包中同步區塊的長度, 最新的無線網路以 56 bit 同步區來使用短封包標頭, 而不是以 128 bit 同步區來使用長封包標頭不過, 一些原始 11b 無線網路裝置只有支援長封包標頭而已, 因此如果您需要和此種裝置通訊溝通的話, 請勾選此方塊 167

174 擇安全性設定安全性設定後, 新的網頁將會出現, 您可以在此頁面上調整 WEP 和 WPA 設定模式此一設定有數種模式可供您選擇 WPA 停用 - 關閉加密機制 WEP - 只接受 WEP 用戶以及僅接受以 WEP 金鑰輸入的加密鑰匙 WPA/PSK - 接受 WPA 用戶, 請在 PSK 中輸入加密金鑰 WPA2/PSK - 接受 WPA2 用戶, 請在 PSK 中輸入加密金鑰綜合 (WPA+ WPA2)/PSK 同時接受 WPA 與 WPA2 用戶, 請在 PSK 中輸入加密金鑰 WPA 可藉由金鑰加密每個來自無線網路的訊框, 可在本區手動輸入 PSK, 或是藉由 802.1x 驗證方式來自動加密類型選擇綜合 (WPA+WPA2) 或 WPA2 預先共先共用金鑰 (PSK) - 輸入 8~63 個 ASCII 字元, 像是 ( 或是 64 個 16 進位數字, 以 0x 開頭, 如 0x321253abcde...) 168

175 WEP 64-Bit - 針對 64 位元的 WEP 金鑰, 請輸入 5 個 ASCII 字元, 像是 12345( 或是 10 個 16 進位數字, 以 0x 開頭, 如 0x ) 128-Bit - 針對 128 位元的 WEP 金鑰, 請輸入 13 個 ASCII 字元, 像是 ABCDEFGHIJKLM( 或是 16 個 16 進位數字, 以 0x 開頭, 如 0x ) 連線控制所有的無線裝置都必須支援相同的 WEP 加密位元大小, 並擁有相同的金鑰這裡可以輸入四組金鑰, 但一次只能選擇一組號碼來使用, 這些金鑰可以 ASCII 文字或是 16 進位字元來輸入請點選您想使用的金鑰組別為了增加額外的無線存取安全性, 連線控制頁面可讓您透過無線區域網路的用戶 MAC 位址來限制網路存取動作只有設定有效的 MAC 位址得以存取無線區域網路介面, 請選連線控制連線控制連結, 開啟新的網頁, 如同下圖所示, 您即可在此頁面上編輯用戶端的 MAC 位址達到控制其存取權的目的 MAC 位址過濾客戶端的 MAC 位址特性新增刪除編輯顯示之前編輯的全部 MAC 位址請手動輸入無線用戶端的 MAC 位址 s - 勾選此項以便隔離無線用戶端之無線連線新增新的 MAC 位址於清單上刪除清單中選定的 MAC 位址編輯清單中選定的 MAC 位址 169

取消確定全部清除放棄連線控制設定按此鈕儲存連線控制清單按此鈕儲存連線控制清單 4.13.

176 取消確定全部清除放棄連線控制設定按此鈕儲存連線控制清單按此鈕儲存連線控制清單 WPS WDS WDS 表示無線分派系統, 是一個連結二個無線基地台的通訊協定, 通常可以下列二種方式來應用提供二個區域網路間空中交流的橋樑延長無線區域網路的涵蓋範圍迎合以上的需要, 路由器可應用二種 WDS 模式, 一為橋接一為中繼, 下圖顯示 WDS 橋接介面的功能 : WDS- 中繼模式的應用則描繪如下 : 170

177 二種模式的主要不同點在於 : 中繼模式下, 從一端 AP 過來的封包可以透過 WDS 連結再另一個 AP 上重複產生,WDS 連結傳送過來的封包只能轉送至本機有線或無線的主機換言之, 只有此模式能完成 WDS 到 WDS 封包轉送的工作在下面這個例子當中, 連接至橋接介面 1 或 3 的主機可以透過 WDS 連結與橋接介面 2 相連不過連接至橋接 1 的主機無法透過橋接介面 2 與橋接介面 3 的主機相通無線區域網路中的 WDS 功能以出現如下畫面 : 按無線區域網路 171

178 模式選擇 WDS 設定模式, 停用將無法啟用任何 WDS 設定 ; 橋接模式乃是設計用來符合第一種實際之應用 ;Repeater 模式則是設計用來符合第二種實際之應用安全性 WEP 預設共用金鑰橋接有三種安全性類型可選擇, 停用 WEP 和預設共用金鑰您在此處所選擇的設定將會使得 WEP 或是預設共用金鑰有效或是無效請自三種中挑選出一種勾選此方塊使用安全性設定安全性設定頁面中同樣的金鑰如果您並未在安全性設定安全性設定頁面中設定任何的金鑰, 此方塊將暫時無法使用輸入開頭為 0x 之 8 ~ 63 個 ASCII 字元或是 64 的 16 進位的數字如果您選擇橋接做為通訊模式, 請在此區輸入對方的 MAC 位址, 本頁可讓您一次輸入六個對方 MAC 位址停用不使用的連結可以取得較好的執行效果, 如果您想要啟動對方的 MAC 位址, 記得輸入完成後勾選啟用啟用方塊 172

179 中繼無線基地台功能狀態搜尋無線基地台如果您選擇 Repeater 做為通訊模式, 請在此區輸入對方的 MAC 位址, 本頁可讓您一次輸入二個對方 MAC 位址同樣的, 如果您想要啟動對方的 MAC 位址, 記得輸入完成後勾選啟用啟用方塊按啟用啟用讓路由器提供無線基地台的服務 ; 按停用停用取消此功能允許使用者傳送招呼訊息給對方, 然而則此功能僅在對方也支援時才有效用路由器可以掃描全部的頻道以及發現鄰近地區運作中的無線基地台, 基於掃描的結果, 使用者將會知道哪個頻道是可用的, 此外它也可以用來發現 WDS 連結中的無線基地台, 注意在掃描過程中 ( 約 5 秒 ), 任何一台無線用戶都不可以連接上路由器本頁可用來掃描無線區域網路中的無線基地台的存在, 不過只有與路由器相同頻道的無線基地台可以被發現, 請按掃描掃描按鈕尋找所有相連的無線基地台掃描統計新增如果您想要找到套用 WDS 設定的無線基地台, 請在本頁底部輸入該 AP 的 MAC 位址, 然後按新增, 稍後該 MAC 位址即會加入 WDS 設定頁面中無線用戶端列表無線用戶端列表提供您目前相連之無線用戶的狀態碼, 下圖針對狀態碼提供了詳盡的解說, 爲了能有更方便的連線控制, 您可以選擇一台 WLAN 用戶站然後選擇新增到連線控制, 這樣就可以了 173

180 更新頁面新增按此鈕更新用戶端的 MAC 位址列表按此鈕新增選定之 MAC 位址至連線控制連線控制 174

www.ublink.org 4.14 系統維護系統設定方面, 有數種項目是使用者需要了解的 : 系統狀態系統管理員密碼備份組態系統紀錄 / 郵件警示時間設定重啟系統及韌體升級等等下圖為系統維護的主要設定功能 4.12.

181 系統維護系統設定方面, 有數種項目是使用者需要了解的 : 系統狀態系統管理員密碼備份組態系統紀錄 / 郵件警示時間設定重啟系統及韌體升級等等下圖為系統維護的主要設定功能系統狀態系統狀態提供基本的網路設定, 包含區域網路和 WAN 介面等資訊, 同時您也可以獲得目前執行中的韌體版本或是韌體其他的相關資訊型號名稱韌體版本建立日期日期與時間 LAN MAC 位址第一個 IP 位址第一個子網路遮罩 DHCP 伺服器顯示路由器的型號名稱顯示路由器的韌體版本顯示目前韌體建立的日期與時間顯示區域網路介面的 MAC 位址顯示區域網路介面的 IP 位址顯示區域網路介面的子網路遮罩位址顯示區域網路介面的 DHCP 伺服器目前的狀態 175

182 DNS WAN 連線狀態 MAC 位址 IP 位址預設閘道 Wireless LAN MAC 位址頻率網域韌體版本顯示主要 DNS 的 IP 位址顯示目前實體連線的狀態顯示 WAN 介面的 MAC 位址顯示 WAN 介面的 IP 位址顯示預設閘道指定的 IP 位址顯示無線區域網路的 MAC 位址 SSID 顯示路由器的 SSID 系統管理員密碼本頁允許您設定新的密碼網域可以是歐洲 (13 個可用頻道 ), 美國 (11 個可用頻道 ), 無線產品所支援之可用頻道在不同的國家下是不相同的表示配備 WLAN minipci 卡的詳細資訊, 同時可以提供該卡相關的特徵訊息舊密碼請輸入舊密碼, 出廠預設值是空白的新密碼請在本區輸入新密碼確認密碼再次輸入新密碼以確認當您按下確定鍵後, 登入視窗將會出現, 請使用新的密碼以便再次存取網頁設定頁面設定備份設定備份請依照下列步驟備份您的路由器設定 176

183 1. 在系統維護系統維護群組中按設定備份設定備份, 您將可看見如下視窗 2. 按備份備份按鈕進入下一個對話盒, 按儲存儲存按鈕開啟另一個視窗以儲存設定 3. 在另存新檔存新檔對話盒中, 預設檔名為 config.cfg, 您也可以在此輸入不同的檔名 1. 按下儲存儲存按鈕, 設定將會以檔名 config.cfg 自動下載至電腦上 177

184 上述範例是以 Windows 平台來完成, 對於 Mac 或是 Linux 平台的用戶, 螢幕上將會出現不一樣的視窗, 但是備份的功能仍是有效的附註 : 憑證備份須以另一種方式來儲存, 備份設定並不包含憑證資訊附註還原設定 1. 在系統維護系統維護群組中按設定備份設定備份, 您將可看見如下視窗 2. 按瀏覽 3. 按還原瀏覽按鈕選擇正確的設定檔案, 以便上傳至路由器還原按鈕並等待數秒鐘, 下述畫面出現即告訴您還原動作已成功 Syslog/ 郵件警示設定 SysLog 在 Unix 系統中是很受歡迎的一種工具, 如果要監視路由器的運作狀態, 您可以執行 SysLog 程式擷取路由器上所有的活動此依程式可以在本地電腦或是網際網路上任一遠端電腦上執行, 此外 Vigor 路由器提供郵件警示功能, 這樣 SysLog 訊息可以郵件方式打包寄給資訊管理人員啟用伺服器 IP 位址勾選啟用啟用以啟動系統記錄服務功能 / 啟動郵件警示功能指定全部系統紀錄訊息傳送前往目的地之 IP 位址 178

目標通訊埠 SMTP 伺服器收件人回信地信地址驗證使用者名稱密碼確定儲存所有的設定按確定 www.ublink.org 指定全部系統紀錄訊息傳送前往目的地之通訊埠指定 SMTP 伺服器的 IP 位址, 直接傳送來自 Vigor 路由器的郵件至收信人的信箱如欲檢視系統紀錄, 請依照下述步驟進行 : 1.

185 目標通訊埠 SMTP 伺服器收件人回信地信地址驗證使用者名稱密碼確定儲存所有的設定按確定指定全部系統紀錄訊息傳送前往目的地之通訊埠指定 SMTP 伺服器的 IP 位址, 直接傳送來自 Vigor 路由器的郵件至收信人的信箱如欲檢視系統紀錄, 請依照下述步驟進行 : 1. 請在伺服器 IP 地址中設定監視電腦的 IP 地址指定收信人信箱的郵件地址, 全部的系統紀錄訊息將會自動傳送至此處收信人可以是想要檢視或是分析系統紀錄訊息的管理人員指定另一組信箱的郵件地址, 接收因收信人信箱錯誤而造成發生失敗的所有回覆訊息當使用電子郵件應用程式, 勾選此方塊可啟動驗證的功能輸入驗證所需的使用者名稱輸入驗證所需的密碼 2. 安裝光碟片中 Utility 下的路由器工具, 安裝完畢後, 請自程式集選取 Router Tools>>Syslog 3. 自 Syslog 畫面上, 選擇您想要監視的路由器請記住在網路資訊 (Network Information) 中, 選擇用來連接路由器的網路交換器, 否則您無法成功檢索來自路由器的資訊 179

4.14.6 時間和日期允許您指定自何處取得路由器時間目前系統時間使用本台 PC 的時間按取得時間取得時間按鈕取得目前時間

186 時間和日期允許您指定自何處取得路由器時間目前系統時間使用本台 PC 的時間按取得時間取得時間按鈕取得目前時間的時間選擇此項以便採用遠端管理者電腦上的瀏覽器時間, 作使用網際網路的時間伺服器時間協定伺服器 IP 位址選擇此項以便自網際網路上的時間伺服器選擇所需的時間資訊選擇適合本地的時間協定輸入時間伺服器的 IP 地址 180

187 時區選擇路由器所在的時區啟動日光日光節約時間勾選此方塊啟動日光節約時間, 在某些地區, 這個項目是很有用處的自動更新間隔選定時間間隔以供 NTP 伺服器更新之用全部設定完成之後請按確定確定儲存目前的設定管理本頁讓您管理存取控制存取清單通訊埠設定以及 SNMP 設定例如管理存取控制時, 埠號用來傳送 / 接收 SIP 訊息以便建立連線允許從網路管理斷絶來自網際網路的存取清單預設通訊埠勾選此方塊允許系統管理者自網際網路登入系統提供數種不同的伺服器供您選擇作為網路管理介面, 請勾選所需的項目自網際網路的 PING 勾選此方塊以退回所有來自網際網路的 PING 封包, 考量到安全性問題, 這項功能的預設值是啟動的您可以指定系統管理者只能從指定的主機或是清單定義的網路上登入, 您一次最多可定義三個 IP/ 子網路遮罩於此區域中清單 IP 指定一個允許登入至路由器的 IP 地址使用者定義通訊埠子網路遮罩 - 代表允許登入至路由器的子網路遮罩勾選此項以使用標準埠號作為 Telnet 和 HTTP 伺服器之用勾選此項以指定使用者定義的埠號作為 Telnet HTTP 和 FTP 伺服器之用 181

188 啟用 SNMP 代理程式取得社群 (Get Community) 設定社群管理者主機 IP 勾選此項以啟動此功能請輸入適當的文字以設定取得社群名稱, 預設名稱為 public 社群 (Set Community) 請輸入適當的名稱以設定社群, 預設名稱為 private 設定一台主機做為管理者以便執行 SNMP 功能, 請輸入 IP 位址指定特定主機封鎖社群 (Trap Community) 輸入適當名稱設定封鎖社群, 預設名稱為 public 通知主機 IP 設定主機的 IP 地址接收封鎖社群的資料封鎖逾時重啟路由器逾時預設值為 10 秒網路設定可以用來重新啟動路由器, 請自系統維護系統維護中按重啟路由器重啟路由器開啟如下頁面如果您想要使用目前的設定來重新啟動路由器, 請勾選使用使用目前組態, 然後按確定 ; 如果要重設路由器設定回復成為預設值, 請勾選使用使用原廠預設組態, 然後按確定, 路由器將會花 5 秒重新啟動系統注意 :. 當系統在您完成網頁設定並跳出重啟路由器重啟路由器網頁後, 請務必按下確定確定以重新啟動路由器, 這個動作可以確保系統的操作正常, 且可避免未來發生不預期的錯誤 182

189 韌體升級在您更新路由器韌體之前, 您必須先行安裝路由器工具韌體更新體更新工作即包含在此工具內, 以下的網頁透過範例說明引導您更新韌體, 注意此範例是在 Windows 操作系統下完成自居易網站或是 FTP 站下載最新的韌體版本, 居易網站為站則是 ftp.draytek.com 請自系統維護系統維護選擇韌體升級升級以便啟動韌體更新工具按確定確定, 下述畫面將會出現, 請先使用韌體更新工具完成更新有關韌體更新的詳細資訊, 請參考第四章 183

190 4.15 自我診斷工具自我診斷工具提供一個非常有效的方式, 讓使用者能夠檢視或是診斷路由器的現況以下為自我診斷的選單項目 : 撥號觸發器按自我診斷工具診斷工具的撥號撥號觸發來觸發觸發器開啟網頁, 網際網路連線 ( 如 PPPoE) 可由來源 IP 位址封包已解碼格式更新頁面顯示來源 IP 位址目標 IP 位址通訊協定和封包的長度按此鈕重新載入本頁 184

191 路由表按自我診斷工具診斷工具的路由表路由表檢視路由器的路由表格, 此表格可提供目前的 IP 路由資訊更新頁面按此鈕重新載入本頁 ARP 快取表按自我診斷工具診斷工具的 ARP 快取表取表檢視路由器中 ARP(Address Resolution Protocol) 快取的內容, 此表格顯示乙太網路硬體位址 (MAC 位址 ) 和 IP 位址間的對應狀況更新頁面清除按此鈕重新載入本頁按此連結清除整個表格 185

192 DHCP 表此工具提供指派 IP 位址的相關資訊, 這項資訊對於診斷網路問題像是 IP 位址衝突等是很有幫助的按自我診斷工具, 選擇 DHCP 表開啟相關網頁 Index IP Address MAC Address Leased Time HOST ID 更新頁面顯示連線項目編號顯示路由器指派給特定電腦的 IP 位址顯示 DHCP 指派給特定電腦的 MAC 位址顯示指定電腦的租約時間顯示指定電腦的主機 ID 名稱按此鈕重新載入本頁 NAT 連線數狀態表診斷工具, 選擇 NAT 連線數狀態表開啟相關網頁按自我診斷工具 186

www.ublink.org Private IP:Port #Pseudo Port Peer IP:Port Interface 更新本機電腦的 IP 位址和埠號路由器為了執行 NAT 所使用的暫時通訊埠遠端主機的目標 IP 位址與埠號顯示 WAN 連線的介面按此鈕重新載入本頁 4.15.

193 Private IP:Port #Pseudo Port Peer IP:Port Interface 更新本機電腦的 IP 位址和埠號路由器為了執行 NAT 所使用的暫時通訊埠遠端主機的目標 IP 位址與埠號顯示 WAN 連線的介面按此鈕重新載入本頁 Data Flow Monitor 資料流量監控本頁顯示所監視的 IP 位址執行的過程, 並在數秒的間隔後重新更新頁面, 此處所列出的 IP 位址是在頻寬管理中設定完成的, 在啟動資料流量監控之前, 您必須啟動 IP 頻寬限制以及 IP 連線數限制若沒有這麼做的話, 系統會出現知會畫面提醒您先啟動相關設定按自我診斷工具, 選擇資料流資料流量監控開啟相關網頁您可按下 IP 位址 TX 速率 RX 速率或是連線數連線數來排列資料啟用資料流資料流量監控更新秒數勾選此方塊以啟動此功能使用下拉式選項選擇系統自動更新資料的間隔時間更新頁面索引編號按此連結更新本頁顯示資料流量的項目筆數 187

IP 位址傳送速率 (kbps) 接收速率 (kbps) NAT 連線數動作顯示被監視裝置的 IP 位址顯示被監視裝置的傳送速率顯示被監視裝置的接收速率顯示您在連線數限制網頁中所設定的連線數封鎖可以避免指定電腦在 5 分鐘內存取網際網路解除指定 IP 位址的裝置將在五分鐘內封鎖起來, 剩餘時間將顯示在 NAT

194 IP 位址傳送速率 (kbps) 接收速率 (kbps) NAT 連線數動作顯示被監視裝置的 IP 位址顯示被監視裝置的傳送速率顯示被監視裝置的接收速率顯示您在連線數限制網頁中所設定的連線數封鎖可以避免指定電腦在 5 分鐘內存取網際網路解除指定 IP 位址的裝置將在五分鐘內封鎖起來, 剩餘時間將顯示在 NAT 連線數欄位中 Ping 自我診斷我診斷工具, 選擇 Ping 自我診斷我診斷開啟相關網頁按自我診斷工具 Ping 至 IP 位址執行清除使用下拉式清單選擇您想要 Ping 的目標輸入您想要 Ping 的主機 /IP 上的 IP 位址按此鈕啟動 Ping 作業, 結果將會顯示在螢幕上按此連結清除視窗上的結果 188

195 追蹤路由按下診斷工具, 選擇追蹤追蹤路由路由開啟相關網頁本頁允許您追蹤路由器至主機之間的路由情況, 只要簡單的輸入主機的 IP 位址並按下執行按鈕, 整個路由狀況都將顯示在螢幕上追蹤經由介面主機 /IP 位址執行清除使用下拉式清單選擇您想要經由其處來追蹤的 WAN 介面, 或使用不指定指定讓路由器自動決定選擇哪一種介面指明主機的 IP 位址按此鈕開始路由追蹤動作按此連結刪除視窗上的結果 189

5 應用與範例 5.1 建立遠端辦公室與總公司之間的 LAN-to-LAN 連線最常見的範例是例如遠端分公司與總公司之間的安全連線, 依照下圖所顯示的網路結構, 您可以遵循提供的步驟來建立 LAN-to-LAN 設定檔案, 這二個區域網路不可具有相同的網路位址在總部辦公室辦公室內路由器 A 的設定 : 1.

196 5 應用與範例 5.1 建立遠端辦公室與總公司之間的 LAN-to-LAN 連線最常見的範例是例如遠端分公司與總公司之間的安全連線, 依照下圖所顯示的網路結構, 您可以遵循提供的步驟來建立 LAN-to-LAN 設定檔案, 這二個區域網路不可具有相同的網路位址在總部辦公室辦公室內路由器 A 的設定 : 1. 開啟 VPN 與遠端存取設定端存取設定群中並選擇遠端存取控制端存取控制確定端存取控制, 啟用必須的 VPN 服務並按下基本設定調整 2. 接著, 使用 PPP 為主的服務, 像是 PPTP L2TP 等, 您必須在 PPP 基本設定設定值針對使用 IPSec 為主的服務, 像是 IPSec 或是以 IPSec 原則為主的 L2TP, 您必須在 VPN IKE/ IPSec 基本設定調整設定值, 諸如雙方皆須知曉的預先共用金鑰 190

197 3. 至 LAN-to-LAN 設定檔案, 選擇索引號碼以便編輯檔案 4. 將一般設定如下調整, 您應該啟動 VPN 連線, 因為任何一方都可啟動 VPN 連線撥出設定按下圖所示調整, 以便使用選定的撥出設定撥出設定方式主動撥號連接路由器 B 如果選擇的服務項目是 IPSec, 您可以爲此撥號連線進一步指定遠端相對的 IP 位址 IKE 認證方式和 IPSec 安全防護方式 5. 撥出設定 191

198 如果選擇的服務項目是 PPTP, 您可以爲此撥號連線進一步指定相對 IP 位址使用者名稱密碼和 VJ 壓縮等撥入設定按下圖所示調整以便路由器 B 建立 VPN 連線 6. 將撥入設定如果選擇的服務項目是 IPSec, 您可以爲此撥號連線進一步指定遠端相對的 IP 位址認證方式和 IPSec 安全防護方式, 否則系統將自動爲您採用上述 IPSec 一般設定頁面所定義的設定 192

199 如果選擇的服務項目是 PPTP, 您可以爲此撥號連線進一步指定相對 IP 位址使用者名稱密碼和 VJ 壓縮等網路設定欄位中設定遠端網路 IP/ 子網路, 如此一來, 路由器 A 可以透過 VPN 連線直接將封包導引至路由器 B 之遠端網路上 7. 最後在 TCP/IP 網路設定在遠端辦公室辦公室內路由器 B 的設定 : 1. 開啟 VPN 與遠端存取設定端存取設定群中並選擇遠端存取控制端存取控制確定端存取控制, 啟用必須的 VPN 服務並按下 193

200 一般設定調整 2. 接著, 使用 PPP 為主的服務, 像是 PPTP L2TP 等, 您必須在 PPP 一般設定設定值針對使用 IPSec 為主的服務, 像是 IPSec 或是以 IPSec 政策為主的 L2TP, 您必須在 VPN IKE/ IPSec 基本設定調整設定值, 諸如雙方皆須知曉的預先共用金鑰設定檔案, 選擇索引號碼以便編輯檔案一般設定如下調整, 您應該啟動 VPN 連線, 因為任何一方都可啟動 VPN 連線 3. 至 LAN-to-LAN 設定檔 4. 將一般設定撥出設定按下圖所示調整, 以便使用選定的撥出設定撥出設定方式主動撥號連接路由器 B 5. 撥出設定如果選擇的服務項目是 IPSec, 您可以爲此撥號連線進一步指定遠端相對的 IP 位址 IKE 認證方式和 IPSec 安全防護方式 194

201 如果選擇的服務項目是 PPTP, 您可以爲此撥號連線進一步指定對方 IP 位址使用者名稱密碼和 VJ 壓縮等撥入設定按下圖所示調整以便路由器 A 建立 VPN 連線 6. 將撥入設定如果選擇的服務項目是 IPSec, 您可以爲此撥號連線進一步指定遠端相對的 IP 位址認證方式和 IPSec 安全防護方式, 否則系統將自動爲您採用上述 IPSec 基本設定頁面所定義的設定 195

202 如果選擇的服務項目是 PPTP, 您可以爲此撥號連線進一步指定相對 IP 位址使用者名稱密碼和 VJ 壓縮等 7. 最後在 TCP/IP Network Settings 設定遠端網路 IP/ 子網路, 如此一來, 路由器 B 可以透過 VPN 連線直接將封包導引至路由器 A 之遠端網路上 196

www.ublink.org 5.2 建立工作者和總部之間的 VPN 遠端撥號連線另一個常用的範例是 : 作為一個工作者, 您可能想要安全地連接到企業網路, 依照下面所顯示的網路結構, 您可以遵照相關的步驟來建立遠端用戶設定檔, 並且在遠端主機上安裝 Smart VPN Client 在辦公室內 VPN 路由器的設定 : 1.

203 5.2 建立工作者和總部之間的 VPN 遠端撥號連線另一個常用的範例是 : 作為一個工作者, 您可能想要安全地連接到企業網路, 依照下面所顯示的網路結構, 您可以遵照相關的步驟來建立遠端用戶設定檔, 並且在遠端主機上安裝 Smart VPN Client 在辦公室內 VPN 路由器的設定 : 1. 開啟 VPN 與遠端存取設定端存取設定群中並選擇遠端存取控制端存取控制確定端存取控制, 啟用必須的 VPN 服務並按下基本設定調整 2. 接著, 使用 PPP 為主的服務, 像是 PPTP L2TP 等, 您必須在 PPP 基本設設定值如果選擇的服務項目是 IPSec, 如 IPsec 或是 IPSec 原則之 L2TP, 您必須設定 IKE/IPSec 基本設定像是雙方都應知曉的預設共用金鑰 197

204 端撥入使用者, 按任一索引編號以編輯設定檔撥入設定按下圖所示調整, 以便遠端使用者建立 VPN 連線 3. 至遠端撥入使用者 4. 將撥入設定如果選擇的服務項目是 IPSec, 您可以爲此撥號連線進一步指定遠端相對的 IP 位址 IKE 認證方式和 IPSec 安全防護方式, 否則系統將自動爲您採用上述 IPSec 基本設定頁面所定義的設定如果選擇的服務項目是 PPTP, 您應該爲此撥號連線進一步指定遠端相對的 IP 位址使用者名稱密碼以及 VJ 壓縮 198

205 遠端主機上的設定 : 1. 對 Win98/ME 系統而言, 您可以使用 Dial-up Networking 建立 PPTP 通道給予路由器 ; 對 Win2000/XP 來說, 請使用 Network and Dial-up connections 或是 Smart VPN Client 等軟體幫忙建立 PPTP L2TP 和 L2TP over IPSec 通道, 您可以在包裝的光碟片中找到此軟體或是進入網站下載中心取得, 依照螢幕指示來安裝即可 2. 在安裝成功之後, 對於第一次使用的用戶, 必須先按 Step 0 中的 Configure 按鈕, 重新啟動主機 3. 在 Step 2. Connect to VPN Server 中, 按下 Insert 按鈕新增一個新的入口如果選擇的服務項目是 IPSec Tunnel, 如下圖所示 : 199

206 您可以進一步指定取得 IP 安全防護以及驗證的方法若已選擇 Pre-Shared Key, 那麼此設定必須與 VPN 路由器中的設定一致如果選擇的服務項目是 PPTP, 您可以進一步指定 VPN 伺服器 IP 位址使用者名稱密碼和加密方法, 使用者名稱和密碼必須和您在 VPN 路由器中所設定的內容一致如欲使用遠端網路上預設的閘道, 表示所有遠端主機上的封包都將會導引至 VPN 伺服器, 然後再轉送到網際網路上, 這樣會讓遠端主機看起來像是在企業網路上運作一般 200

工作人員可使用家中的路由器, 透過 HTTPS 或是 VPN 連接上總部的伺服器, 來檢查電子郵件並存取公司內部的資料庫訊息, 同時,

207 5.3 QoS 設定範例 4. 按 Connect 按鈕建立連線, 當連線成功之時, 您可以在右下方角落發現到綠色閃燈假定電信工作人員有時在家中工作並且需要照料小孩, 在工作時間, 工作人員可使用家中的路由器, 透過 HTTPS 或是 VPN 連接上總部的伺服器, 來檢查電子郵件並存取公司內部的資料庫訊息, 同時, 小朋友也可以在休息室透過 VoIP 或是 Skype 彼此交談 1. 進入頻寬頻寬管理管理之服務服務品質品質頁面設定連結開啟頁面, 請確定左上角的啟用服務勾選, 選擇雙向作為方向 2. 按 WAN1 的設定啟用服務品質 (QoS) 控制功能已經 201

確定 3. 回至上一層, 按類別 1 的編輯編輯連結以輸入索引類別 1 的名稱 E-mail, 再按確定 4.

208 確定 3. 回至上一層, 按類別 1 的編輯編輯連結以輸入索引類別 1 的名稱 , 再按確定 4. 使用者可設定保留頻寬 ( 例如 25%) 給予透過 POP3 和 SMTP 通訊協定來傳送的電子郵件參考下圖 202

209 確定 5. 回至上一層, 按類別 2 的編輯編輯連結以輸入索引類別 2 的名稱 HTTP, 再按確定於此索引中我們可以設定保留頻寬 ( 例如 25%) 給予 HTTP 6. 選擇 WAN 的設定設定連結 7. 勾選啟用 UDP 頻寬控制控制防止 VoIP 大量的 UDP 資料影響其他的應用程式 8. 如果工作人員利用主機對主機的 VPN 通道, 連上了總公司,( 詳細設定請參考 VPN 一節 ) 他可能已設定了相關的索引內容, 請輸入索引編號 3 的類別名稱, 在此類別 203

210 中, 工作人員將可完成一條 VPN 通道的保留頻寬設定 9. 按編輯編輯開啟下述視窗, 勾選 ACT 方塊. 編輯按鈕, 設定工作人員的子網位址, 再按下遠端位址按鈕設定總公司的 IP 位址, 最後按此網頁的確定確定按鈕 10. 然後按本地位址位址中的編輯端位址的編輯 5.4 使用 NAT 來建立區域連線預設設定和相關應用範例顯示如下, 預設路由器之虛擬 IP 位址 / 子網路遮罩為 / , 內建之 DHCP 伺服器已經啟用, 因此指定每個已 NAT 的主機一個 x 的 IP 位址, 範圍從開始 204

211 只有紅色框內的設定需要調整, 以符合 NAT 用途的需求如要使用網路中的 DHCP 伺服器而非路由器內建的伺服器, 您必須變更設定, 如下所示 : 205

212 只有紅色框內的設定需要調整, 以符合 NAT 用途的需求 206

213 5.5 VoIP 功能使用範例透過 SIP 伺服器撥打電話範例 1: John 和 David 有來自不同不同服務供應商服務供應商提供的供的 SIP 位址 John 的 SIP URL: David 的 SIP URL: John 端的設定電話簿索引號碼 1 電話號碼 : 1111 顯示名稱 : David SIP URL: 4321@iptel.org SIP 帳號設定 --- 設定檔名稱 : draytel1 由此註冊 : 自動 SIP 通訊埠 : 5060 ( 預設值 ) 網域 : draytel.org 伺服器 : draytel.org 以對外伺服器之身分運作 : 不勾選顯示名稱 : John 帳號名稱 / 號碼 : 1234 驗證 ID 身分 : 不勾選密碼 : **** 有效時間 : ( 使用預設值 ) CODEC/RTP/DTMF --- ( 使用預設值 ) David 端的設定端的設定 DialPlan 索引號碼 1 電話號碼 :2222 顯示名稱 : John SIP URL:1234@draytel.org SIP 帳號設定 --- 設定檔名稱 : iptel 1 由此註冊 : 自動 SIP 通訊埠 : 5060( 預設值 ) 網域 : iptel.org 伺服器 : iptel.org 以對外伺服器之身分運作 : 不勾選顯示名稱 : David 帳號名稱 / 號碼 : 4321 驗證 ID 身分 : 不勾選密碼 : **** 有效時間 : ( 使用預設值 ) CODEC/RTP/DTMF --- John 打電話給 David --- 打電話給拿起電話撥打 1111# (David 的電話號碼 ) David 打電話給 John 打電話給拿起電話撥打 2222# (John 的電話號碼 ) 207

214 ( 使用預設值 ) 範例 2: John 和 David 都有來自相同相同服務供應商服務供應商提供的供的 SIP 位址 John 的 SIP URL: 1234@draytel.org, David 的 SIP URL: 4321@draytel.org John 端的設定 DialPlan 索引號碼 1 電話號碼 : 1111 顯示名稱 : David SIP URL: 4321@draytel.org SIP 帳號設定 --- 設定檔名稱 : draytel 1 由此註冊 : 自動 SIP 通訊埠 : 5060 ( 預設值 ) 網域 : draytel.org 伺服器 : draytel.org 以對外伺服器之身分運作 : 不勾選顯示名稱 : John 帳號名稱 / 號碼 : 1234 驗證 ID 身分 : 不勾選密碼 : **** 有效時間 : ( 使用預設值 ) CODEC/RTP/DTMF --- (Use default value) David 端的設定端的設定 DialPlan 索引號碼 1 電話號碼 :2222 顯示名稱 : John SIP URL:1234@draytel.org SIP 帳號設定 --- 設定檔名稱 : John 由此註冊 : 自動 SIP 通訊埠 : 5060( 預設值 ) 網域 : draytel.org 伺服器 : draytel.org 以對外伺服器之身分運作 : 不勾選顯示名稱 : David 帳號名稱 / 號碼 : 4321 驗證 ID 身分 : 不勾選密碼 : **** 有效時間 : ( 使用預設值 ) CODEC/RTP/DTMF--- ( 使用預設值 ) 點對點撥打電話 John 打電話電話給 David 電話拿起電話撥打 1111# (David 的電話簿號碼 ) 或, 拿起電話撥打 4321# (David 的帳號名稱 ) David 打電話電話給 John 電話拿起電話撥打 2222# (John 的電話簿號碼 ) 拿起電話撥打 1234# (John 的帳號名稱 ) 或 208

215 範例 2: Arnor 和 Paulin 分別擁有路由器, 雙方可以不經過 SIP 註冊而撥打電話給彼此, 首先他們必須具有雙方的 IP 位址, 並指定用來撥號的帳號名稱 Arnor 的 SIP URL: Paulin 的 SIP URL: Arnor 端的設定 DialPlan 索引號碼 1 電話號碼 : 1111 顯示名稱 : paulin SIP URL: 4321@ SIP 帳號設定 --- 設定檔名稱 : Paulin 由此註冊 : 無 SIP 通訊埠 : 5060( 預設值 ) 網域 : ( 空白 ) 伺服器 : ( 空白 ) 以對外伺服器之身分運作 : 不勾選顯示名稱 : Arnor 帳號名稱 / 號碼 : 1234 驗證 ID 身分 : 不勾選密碼 : ( 空白 ) 有效時間 : ( 使用預設值 ) CODEC/RTP/DTMF--- ( 使用預設值 ) Arnor 打電話給 Paulin 拿起電話撥打 1111# (Arnor 的電話簿號碼 ) Paulin 端的設定 DialPlan 索引號碼 1 電話號碼 :2222 顯示名稱 : Arnor SIP URL: 1234@ SIP 帳號設定 --- 設定檔名稱 : Arnor 由此註冊 : 無 SIP 通訊埠 : 5060( 預設值 ) 網域 : ( 空白 ) 伺服器 : ( 空白 ) 以對外伺服器之身分運作 : 不勾選顯示名稱 : Paulin 帳號名稱 / 號碼 : 4321 驗證 ID 身分 : 不勾選密碼 : ( 空白 ) 有效時間 : ( 使用預設值 ) CODEC/RTP/DTMF--- ( 使用預設值 ) Paulin 打電話電話給 Arnor 電話拿起電話撥打 2222# (John 的電話簿號碼 ) 209

5.6 更新路由器韌體更新韌體之前, 您必須先安裝路由器工具,Firmware Upgrade Utility 即包含在 CD 中 1. 將光碟片放進光碟槽中 2. 請自網頁中, 找出工具工具程式程式選單並點選進入頁面 3. 在工具工具程式程式網頁上, 按 Install Now! ( 位於 Syslog 說明下方 ) 以安裝相關程式 4. RTSxxx.

216 5.6 更新路由器韌體更新韌體之前, 您必須先安裝路由器工具,Firmware Upgrade Utility 即包含在 CD 中 1. 將光碟片放進光碟槽中 2. 請自網頁中, 找出工具工具程式程式選單並點選進入頁面 3. 在工具工具程式程式網頁上, 按 Install Now! ( 位於 Syslog 說明下方 ) 以安裝相關程式 4. RTSxxx.exe 檔案將會複製到您的電腦上, 請記住執行檔的儲存位置 5. 進入網站, 以尋找目前該路由器最新的韌體檔案 6. Access into Support Center >> Downloads. Find out the model name of the router and click the firmware link. The Tools of Vigor router will display as shown below. 進入支援支援服務 >> 檔案下載, 找到路由器機型名稱之後, 選取其相關的韌體連結, 工具畫面將出現如下 : 7. 插入路由器的 CD, 請至相關連結處下載正確的韌體檔案 (zip 檔案 ) 8. 接著, 解壓縮 ZIP 檔案 210

www.ublink.org 9. 在路由器工具圖示上按二下, 安裝精靈將出現如下 : 10.

217 9. 在路由器工具圖示上按二下, 安裝精靈將出現如下 : 10. 依照螢幕指示安裝此工具, 按下 Finish 以結束安裝 11. 自開始 (Start) 選單中, 指向程式程式集 (Programs), 然後選擇 Router Tools XXX >> Firmware Upgrade Utility 12. 輸入路由器 IP 地址, 通常為按韌體檔案 (Firmware file) 輸入欄右邊的按鈕, 尋找您自公司網站下載之韌體檔案, 您會看見二個副檔名不同的檔案 :xxxx.all ( 可保持用戶原先的設定 ) 以及 xxxx.rst ( 將用戶設定重新回復預設值 ), 請按照實際需要選擇任何一個 211

218 14. 按下 Send 15. 現在韌體更新已完成 212

219 5.7 在 Windows CA 伺服器上提出憑證需求 1. 選擇憑證管理 >> 本機憑證 213

220 2. 按產生產生按鈕開始編輯憑證需求, 請輸入必要的資訊 3. 複製並儲存 X509 本機憑證需求, 稍後將會應用到此文字檔 4. 透過網頁瀏覽器連接 CA 伺服器, 依照螢幕指示完成需求設定下圖我們以 Windows 2000 CA 伺服器為範本, 請選擇 Request a Certificate 214

221 選擇 Advanced request, 然後按 Next 挑選 Submit a certificate request a base64 encoded PKCS #10 file or a renewal request using a base64 encoded PKCS #7 file, 然後按 Next 匯入 X509 本機憑證文字檔, 選擇 Router (Offline request) 或 PSec (Offline request) 需求提出後, 伺服器會給您一個憑證, 請選擇 ase 64 encoded 憑證及下載該憑證, 現在您應該會從伺服器取得一個憑證, 請儲存該憑證 215

222 5. 回到路由器畫面, 進入本機本機憑證, 按下匯入按鈕並瀏覽檔案以匯入憑證至路由器中當您完成這個動作時, 請按頁面更新, 您就可以看見如下的視窗 6. 您也可以重新檢視憑證的細節資訊, 請按檢視檢視按鈕 216

223 5.8 提出 CA 憑證要求並將之設定為 Windows CA 伺服器上具公信力之憑證 1. 使用瀏覽器連接至 CA 伺服器以取得您想要的憑證按下 Retrive the CA certificate or certificate recoring list 鈕 217

回到路由器網頁設定畫面, 進入具公信力之 CA 憑證, 按匯入按鈕並瀏覽檔案以匯入憑證當您完成這個動作之後,

224 2. 在 Choose file to download 區中, 按 CA Certificate Current 以及 Base 64 encoded, 然後按 Download CA certificate 儲存該檔為 cer. 檔案 3. 回到路由器網頁設定畫面, 進入具公信力之 CA 憑證, 按匯入按鈕並瀏覽檔案以匯入憑證當您完成這個動作之後, 請按更新頁面察看最新的憑證使用狀況 4. 您也可以重新檢視憑證的細節資訊, 請按檢視檢視按鈕注意 : 在設定憑證之前, 請先至系統維護 >> 日期與時間與時間頁面中重新設定路由器的時間 218

225 219

疑難排解這個章節將幫助您解決安裝完成路由器後, 卻無法順利登入網際網路的情形請依照以下的步驟檢查您路由器的基本設定檢查硬體狀態是否正常檢查您個人電腦內的網路連線設定是否正確從您的個人電腦 Ping 路由器是否正確檢查你的 ISP 設定是否正確必要時, 請還原路由器出廠預設值如果路由器的設完全正確但路由器仍舊無法正常運作, 建議與購買的經銷商聯絡以協助您進行設定 6.

226 疑難排解這個章節將幫助您解決安裝完成路由器後, 卻無法順利登入網際網路的情形請依照以下的步驟檢查您路由器的基本設定檢查硬體狀態是否正常檢查您個人電腦內的網路連線設定是否正確從您的個人電腦 Ping 路由器是否正確檢查你的 ISP 設定是否正確必要時, 請還原路由器出廠預設值如果路由器的設完全正確但路由器仍舊無法正常運作, 建議與購買的經銷商聯絡以協助您進行設定 6.1 檢查硬體狀態是否正常依照以下的步驟去確認路由器的硬體狀態 1. 檢查電源線區域網路 (LAN)/ 無線區域網路 (WLAN) 電纜是否連線詳細安裝資料, 請參照 1.3 硬體安體安裝 2. 開啟路由器後, 確認 ACT 燈號是否為每秒閃動一次, 並確認相對應的 LAN 燈號是否亮起 3. 如果不是, 表示硬體狀態在某些設定下發生錯誤, 請回到 1.3 硬體安體安裝重新設定並再嘗試確認安裝無誤 220

227 6.2 檢查您個人電腦內的網路連線設定是否正確有時連線失敗是在於網路連線設定錯誤若在嘗試上述的步驟之後, 網路連結依然失敗, 請依照以下的步驟確定網路連線設定是否正常適用於 Windows 下列的範例是以 Windows XP 作業系統為基礎若您的電腦採用其他的作業系統, 請參照相似的步驟或至查閱相關的技術文件說明 1. 至控制台控制台內, 選擇網路連線網路連線並按滑鼠左鍵二下, 進入網路連線畫面 2. 選擇區域連線區域連線按滑鼠右鍵, 選擇內容 221

按下確定鍵後完成設定適用於 MacOS 1. 在桌面上選擇目前所使用的 MacOS 磁碟機按滑鼠 2 下 2.

228 3. 進入區域連線內區域連線內容畫面後, 選擇 Internet Protocol (TCP/IP), 按下內容鍵 4. 進入 Internet Protocol (TCP/IP) 內容畫面後, 選擇自動取得 IP 位址及自動取得 DNS 伺服器位址, 按下確定鍵後完成設定適用於 MacOS 1. 在桌面上選擇目前所使用的 MacOS 磁碟機按滑鼠 2 下 2. 選擇 Applications 檔案夾中的 Network 檔案夾 3. 進入 Network 畫面, 在 Configure IPv4 選項中, 選擇 Using DHCP 222

229 223

6.3 從您的個人電腦 Ping 路由器是否正確路由器的預設閘道為 192.168.1.1. 因為某些理由, 你可能需要使用 " ping " 指令檢查路由器的連結狀態重要在於電腦是否收到來自 192.168.1.1 的回應, 如果沒有, 請檢查個人電腦上的 IP 位址我們建議您將網際網路連線設定為自動取得 IP 位址 ( 請參照 6.

230 6.3 從您的個人電腦 Ping 路由器是否正確路由器的預設閘道為因為某些理由, 你可能需要使用 " ping " 指令檢查路由器的連結狀態重要在於電腦是否收到來自的回應, 如果沒有, 請檢查個人電腦上的 IP 位址我們建議您將網際網路連線設定為自動取得 IP 位址 ( 請參照 6.2 檢查您個人電腦內的網路連線設定是否正確 ), 請依照以下的步驟正確地 ping 路由器適用於 Windows 1. 開啟命令提命令提示字元視示字元視窗 ( 閞始功能表選單執行 ) 2. 輸入 command ( 適用於 Windows 95/98/ME ) 或 cmd ( 適用於 Windows NT/ 2000/XP) DOS 命令提示字元視窗將會出現 3. 輸入 ping 並按下 Enter, 如果連結成功, 電腦會收到來自的回應 Reply from : bytes=32 time<1ms TTL= 如果連結失敗, 請確認個人電腦的 IP 位址設定是否有誤適用於 MacOs ( 終端機 ) 1. 在桌面上選擇目前所使用的 Mac OS 磁碟機按滑鼠二下 2. 選擇 Applications 檔案夾中的 Utilities 檔案夾. 3. 滑鼠按二下 Terminal; 終端機的視窗將會跳出顯現在螢幕 4. 輸入 ping 並且按下 Enter 鍵如果連結正常, 終端機視窗會出現 64 bytes from : icmp_seq=0 ttl=255 time=xxxx ms 的訊息 224

www.ublink.org 6.4 檢查您的 ISP 設定是否正確從 Web 設定介面上, 點選網際網路連線設定, 檢查 ISP 設定針對 PPPoE 使用者 1.

231 6.4 檢查您的 ISP 設定是否正確從 Web 設定介面上, 點選網際網路連線設定, 檢查 ISP 設定針對 PPPoE 使用者 1. 檢查是否已選取啟用啟用模式 2. 檢查輸入的使用者名稱使用者名稱及密碼密碼是否與 ISP 給您的資料相符針對固定 / 動態 IP 使用者 1. 檢查是否已選取啟用啟用模式 225

展开

IP505SM_manual_cn.doc

IP505SM_manual_cn.doc IP505SM 1 Introduction 1...4...4...4...5 LAN...5...5...6...6...7 LED...7...7 2...9...9...9 3...11...11...12...12...12...14...18 LAN...19 DHCP...20...21 4 PC...22...22 Windows...22 TCP/IP -...22 TCP/IP