无线企业 VPN 路由器系列 用户手册 Rev

Transcription

1 无线企业 VPN 路由器系列 用户手册 Rev

2 声明 Copyright 2012 深圳市普联技术有限公司版权所有, 保留所有权利未经深圳市普联技术有限公司明确书面许可, 任何单位或个人不得擅自仿制 复制 誊抄或转译本书部分或全部内容 不得以任何形式或任何方式 ( 电子 机械 影印 录制或其他可能的方式 ) 进行商品传播或用于任何商业 赢利目的 为深圳市普联技术有限公司注册商标 本文档提及的其他所有商标或注册商标, 由各自的所有人拥有 本手册所提到的产品规格和资讯仅供参考, 如有内容更新, 恕不另行通知 可随时查阅我们的万维网页 除非有特殊约定, 本手册仅作为使用指导, 本手册中的所有陈述 信息等均不构成任何形式的担保 -I-

3 目录 第 1 章 用户手册简介 目标读者 本书约定 章节安排 更新记录...2 第 2 章 产品介绍 产品描述 产品特性 产品外观 前面板 后面板...9 第 3 章 配置指南 快速安装指南 Web 界面简介 界面总览 界面常见按钮及操作...20 第 4 章 功能设置 系统状态 设置向导 接口设置 WAN 设置 LAN 设置 MAC 设置 交换机设置 无线设置 无线网络设置 无线 MAC 过滤 II-

4 4.4.3 无线主机状态 对象管理 用户管理 时间管理 传输控制 转发规则 带宽控制 连接数限制 流量均衡 路由设置 防火墙 ARP 防护 攻击防护 MAC 过滤 访问策略 行为管控 应用限制 网址过滤 网页安全 行为审计 策略库升级 VPN IKE IPsec L2TP/PPTP 系统服务 动态 DNS UPnP 服务 III-

5 4.11 系统工具 设备管理 流量统计 诊断工具 时间设置 系统日志 附录 A 常见问题 附录 B 术语表 附录 C 规格参数 IV-

6 第 1 章用户手册简介 本手册旨在帮助您正确使用本系列路由器 内容包含对路由器性能特征的描述以及配置路由器的详细说明 请在操作前仔细阅读本手册 1.1 目标读者 本手册的目标读者为熟悉网络基础知识 了解网络术语的技术人员 1.2 本书约定 在本手册中, 所提到的 路由器 本产品 等名词, 如无特别说明, 系指无线企业 VPN 路由器 全文如无特殊说明,Web 界面以 TL-WVR450G 机型为例 用 >> 符号表示配置界面的进入顺序 默认为一级菜单 >> 二级菜单 >> 标签页, 其中, 部分功能无二级菜单 正文中出现的 <> 尖括号标记文字, 表示 Web 界面的按钮名称, 如 < 确定 > 正文中出现的 双引号标记文字, 表示 Web 界面出现的除按钮外名词, 如 ARP 绑定 界面 本手册中使用的特殊图标说明如下 : 图标 含义 注意 : 该图标提醒您对设备的某些功能设置引起注意, 如果设置错误可能导致数据丢失, 设备损坏等不良后果 说明 : 该图标表示此部分内容是对相应设置 步骤的补充说明 1.3 章节安排 第 1 章 : 用户手册简介 帮助快速掌握本手册的结构 了解本手册的约定, 从而更有效地使用本手册 第 2 章 : 产品介绍 介绍本系列产品特性 应用以及外观 第 3 章 : 配置指南 指导如何登录路由器 Web 管理界面, 并简要介绍界面特点 第 4 章 : 功能设置 介绍路由器所有功能, 帮助您更充分地使用本系列产品 附录 A: 常见问题 -1-

7 附录 B: 术语表 附录 C: 规格参数 1.4 更新记录 以下记录无线企业 VPN 路由器用户手册更新情况 : 时间版本更新记录 Rev1.1.0 首次发布无线企业 VPN 路由器系列用户手册 Rev1.2.0 新增 TL-WVR 机型 -2-

8 第 2 章产品介绍 2.1 产品描述 无线企业 VPN 路由器系列产品是 TP-LINK 公司针对企业无线组网需求而全新开发的无线路由器产品, 支持高速无线接入, 并提供 IPSec/PPTP/L2TP VPN 上网行为管理( 应用限制 / 网址过滤 / 网页安全 / 行为审计 ) 防火墙(ARP 防护 / 攻击防护 / 访问控制 ) 智能 IP 带宽控制 双 WAN 口负载均衡等丰富的软件功能, 主要定位于中小企业 办公室等需要高速无线接入的中小型网络环境 无线企业 VPN 路由器系列包含产品型号如下 : 产品机型 产品名称 TL-WVR M 无线 VPN 路由器 TL-WVR M 无线 VPN 路由器 TL-WVR450G 450M 无线企业 VPN 路由器 2.2 产品特性 硬件特性 TL-WVR300 采用 32 位网络专用处理器, 主频 533MHz; 配备容量为 64MB 的 DDRⅠ SDRAM 高速内存 ; 采用 2x2 MIMO 架构, 配置两根 5dBi 可拆卸高增益全向天线, 无线速率高达 300Mbps; 内置高品质开关电源, 无风扇静音设计 ; 提供 2 个固定 WAN 口和 3 个固定 LAN 口, 所有端口均支持 10/100Mbps 自适应和端口自动翻转 (Auto MDI/MDIX); 桌面型壳体 TL-WVR308 采用 32 位网络专用处理器, 主频 560MHz; 配备容量为 64MB 的 DDRⅡ SDRAM 高速内存 ; 采用 2x2 MIMO 架构, 配置两根 5dBi 可拆卸高增益全向天线, 无线速率高达 300Mbps; -3-

9 内置高品质开关电源, 无风扇静音设计 ; 提供 1 个固定 WAN 口 7 个固定 LAN 口和 1 个 WAN/LAN 可变口, 所有端口均支持 10/100Mbps 自适应和端口自动翻转 (Auto MDI/MDIX); 桌面型壳体 TL-WVR450G 采用 32 位网络专用处理器, 主频 560MHz; 配备容量为 128MB 的 DDRⅡ SDRAM 高速内存 ; 采用 16MB SPI Flash, 带 UID; 采用 3x3 MIMO 架构, 配置三根 5dBi 可拆卸高增益全向天线, 无线速率高达 450Mbps; 内置高品质开关电源, 无风扇静音设计 ; 提供 2 个固定 WAN 口和 3 个固定 LAN 口, 所有端口均支持 10/100/1000Mbps 自适应和端口自动翻转 (Auto MDI/MDIX); 桌面型壳体 丰富的功能特性无线功能 支持 b/g/n 协议, 无线传输速率 TL-WVR300/TL-WVR308 最高可达 300Mbps,TL-WVR450G 最高可达 450Mbps, 相对传统的 54M 11g 和 150M 11n 产品, 可满足更多的无线客户端接入 ; 支持 WDS 无线桥接功能, 轻松扩展无线网络 ; 支持 SSID 隐藏 无线 MAC 地址过滤 WEP 加密及 WPA/WPA2 WPA-PSK/WPA2-PSK 安全机制, 保障无线网络安全 ; 支持多个 SSID, 可为公司不同部门设置不同的 SSID, 并可通过启用访客网络功能, 使得来访宾客使用的无线网络与公司内网完全隔离 双 WAN 口 TL-WVR300/TL-WVR450G 提供 2 个固定 WAN 口,TL-WVR308 提供 1~2 个 WAN 口, 满足企业双线路接入的组网需求 ; 支持双线路负载均衡, 通过采用智能均衡 特殊应用程序选路 ISP 选路 策略选路等多种均衡策略, 充分利用 WAN 口带宽, 保护用户投资 ; 支持 WAN 口备份功能, 提供故障备份和时间备份两种备份模式, 可在主线路中断后迅速将流量切换至备份线路, 保障网络正常运行 -4-

10 上网行为管理 应用限制 : 支持针对聊天类 P2P 类 金融类 游戏类 代理类及基础类等数十种常见应用的一键管控, 有效限制可能降低企业员工工作效率的上网行为 ; 同时支持基于用户组和时间段配置管控策略, 方便灵活分配上网权限, 保障关键用户的正常上网 网址过滤 : 通过配置网站过滤和 URL 过滤规则, 可对员工访问各种网站的权限进行管控, 除了可以禁止 / 允许员工访问各种网站外, 还可以记录其访问历史信息, 甚至可以弹出警告页面 此外还支持网站分组功能, 可方便地将庞杂的网站进行归类, 供过滤规则调用, 灵活而实用, 同时路由器出厂默认提供十多种网站分组, 对于网管资源有限的中小型企业用户, 可节省不少配置工作 网页安全 : 支持禁止网页提交, 可限制员工登录各种基于网页的论坛 网站 邮箱等发表信息, 避免企业敏感数据外泄 ; 支持过滤文件扩展类型, 用户可方便地过滤内嵌在网页中的各种小文件, 如 exe rar swf 文件等, 避免病毒 木马等通过这些小文件侵入企业网络, 危害网络安全 行为审计 : 路由器可根据网络管理员的要求实时记录企业员工的各类上网行为, 并上传至行为审计服务器 配合使用 TP-LINK 上网行为审计软件, 可对上传至服务器的上网行为数据进行汇总分析, 并提供简洁明了的审计结果, 便于网管人员及时了解员工上网行为, 调整管控策略 防火墙 访问策略 : 通过配置访问控制策略, 可允许或禁止特定应用数据流通过路由器, 比如 FTP 下载 收发邮件 Web 浏览等, 同时支持基于用户组和时间段配置策略, 实现精细化管理 ARP 防护 : 支持 IP 与 MAC 地址自动扫描及一键绑定功能, 有效防止 ARP 欺骗和非法接入 ; 在遭受 ARP 欺骗时, 路由器可按照指定频率发送 ARP 更正信息, 及时恢复网络正常状态 攻击防护 : 支持内外网攻击防护功能, 可有效防范各种常见的 DoS 攻击 扫描类攻击 可疑包攻击行为, 如 :TCP Syn Flood UDP Flood ICMP Flood WinNuke 攻击 分片报文攻击 WAN 口 ping TCP Scan(Stealth FIN/Xmas/Null) IP 欺骗等 带宽控制 支持智能带宽控制功能, 可根据实际的带宽利用率灵活启用带宽控制策略, 可针对网络中每一台主机 (IP) 进行双向带宽控制, 有效抑制 BT 迅雷等 P2P 应用过度占用带宽, 避免造成网络游戏卡 上网速度慢的问题, 保障网络时刻畅通 连接数限制 提供基于 IP 的连接数限制功能, 可限制每一台电脑的连接数占有量, 合理利用有限的 NAT 连接数资源, 防止少数用户过度占用大量连接数, 确保游戏 上网 聊天 视频语音等顺畅进行 VPN 提供标准的 IPsec VPN 功能, 支持数据完整性校验 防数据包重放和数据加密功能 (DES 3DES AES128 AES192 AES256 等加密算法 ), 支持 IKE 和手动模式建立 VPN 隧道, 并支持通过域名方式配置 VPN 连接 ; -5-

11 提供 L2TP/PPTP VPN 功能, 支持 L2TP/PPTP VPN 服务器和客户端模式 : 服务器模式通常部署在企业总部, 允许出差员工或分支结构远程安全接入公司网络 ; 客户端模式通常部署在企业分支, 可将分支机构网络远程安全接入到公司网络 端口镜像 内置简单管理交换机, 支持端口带宽控制和端口镜像等功能, 满足公安部门的数据监控需求 简单易用的管理 支持全中文 WEB 网管, 所有功能均可通过图形化界面进行配置, 简单方便 ; 每一项配置均提供必要的帮助说明信息, 有效降低配置难度 灵活便捷的维护 提供系统日志与日志服务器功能, 详尽的日志信息便于快速发现网络异常并及时定位问题原因 ; 支持本地及远程管理路由器, 方便远程协助 ; 支持 Ping 检测及 Tracert 检测, 方便快速确认网络连通状态 2.3 产品外观 前面板 TL-WVR300 前面板如图 2-1 所示 : 图 2-1 TL-WVR300 前面板示意图 指示灯 指示灯名称状态描述 PWR SYS WLAN 电源指示灯 系统状态指示灯 无线状态指示灯 常亮表示系统供电正常常灭表示电源关闭或电源故障闪烁表示系统正常常亮或不亮表示系统不正常快闪表示有无线数据传输慢闪表示正常工作, 无数据传输 -6-

12 Link/Act 广域网和局域网状态指示灯 常亮表示系统故障常灭表示无线功能关闭常亮表示相应端口已正常连接闪烁表示相应端口正在传输数据常灭表示相应端口未建立连接 说明 : Link/Act 指示灯亮黄色表示相应端口为 WAN 口, 绿色表示端口为 LAN 口 TL-WVR308 前面板如图 2-2 所示 : 图 2-2 TL-WVR308 前面板示意图 指示灯 指示灯名称状态描述 PWR SYS WLAN Link/Act 电源指示灯系统状态指示灯无线状态指示灯广域网和局域网状态指示灯 常亮表示系统供电正常常灭表示电源关闭或电源故障闪烁表示系统正常常亮或不亮表示系统不正常快闪表示有无线数据传输慢闪表示正常工作, 无数据传输常亮表示系统故障常灭表示无线功能关闭常亮表示相应端口已正常连接闪烁表示相应端口正在传输数据常灭表示相应端口未建立连接 -7-

13 说明 : Link/Act 指示灯亮黄色表示相应端口为 WAN 口, 绿色表示端口为 LAN 口 Reset 键如果需要将路由器恢复到出厂默认设置, 请在路由器通电的情况下, 使用尖状物按住 Reset 键, 待系统指示灯快速闪烁 5 次后松开按键, 路由器将自动恢复出厂设置并重启 恢复出厂设置后, 默认管理地址为 默认用户名和密码均为 admin TL-WVR450G 前面板如图 2-3 所示 : 图 2-3 TL-WVR450G 前面板示意图 指示灯 指示灯名称状态描述 PWR SYS WLAN Link/Act 1000M/100M 电源指示灯系统状态指示灯无线状态指示灯广域网和局域网状态指示灯速率指示灯 常亮表示系统供电正常常灭表示电源关闭或电源故障闪烁表示系统正常常亮或不亮表示系统不正常快闪表示有无线数据传输慢闪表示正常工作, 无数据传输常亮表示系统故障常灭表示无线功能关闭常亮表示相应端口已正常连接闪烁表示相应端口正在传输数据常灭表示相应端口未建立连接绿色常亮表示端口工作在 1000Mbps 模式黄色常亮表示端口工作在 100Mbps 模式不亮表示端口工作在 10Mbps 模式或链路未建立 -8-

14 Reset 键如果需要将路由器恢复到出厂默认设置, 请在路由器通电的情况下, 使用尖状物按住 Reset 键, 待系统指示灯快速闪烁 5 次后松开按键, 路由器将自动恢复出厂设置并重启 恢复出厂设置后, 默认管理地址为 默认用户名和密码均为 admin 5 个 10/100/1000Mbps 自适应 RJ45 接口 TL-WVR450G 支持 10/100/1000Mbps 带宽的连接设备 提供 2 个固定 WAN 口和 3 个固定 LAN 口, 每个接口对应一组指示灯, 即 Link/Act 和 1000M/100M 指示灯 1 个 Console 接口 Console 接口位于面板最右边, 使用此接口可以对路由器进行命令行配置 后面板 TL-WVR300 后面板如图 2-4 所示 : 图 2-4 TL-WVR300 后面板示意图 天线 后面板左侧和右侧各一根, 用于收发无线数据 电源接口 位于后面板左侧, 接入电源需为 V~ 50/60Hz 0.3A 的交流电源 -9-

15 RESET 键如果需要将路由器恢复到出厂默认设置, 请在路由器通电的情况下, 使用尖状物按住 RESET 键, 待系统指示灯闪烁 5 次后松开按键, 路由器将自动恢复出厂设置并重启 恢复出厂设置后, 默认管理地址为 默认用户名和密码均为 admin 5 个 10/100Mbps 自适应 RJ45 接口 TL-WVR300 支持 10Mbps/100Mbps 带宽的连接设备 提供 2 个固定 WAN 口和 3 个固定 LAN 口, 每个接口对应一个 Link/Act 指示灯 注意 : 请使用原装电源线 电源插座请安装在设备附近便于触及的位置, 以方便操作 TL-WVR308 后面板如图 2-5 所示 : 图 2-5 TL-WVR308 后面板示意图 天线 后面板左侧和右侧各一根, 用于收发无线数据 电源接口 位于后面板左侧, 接入电源需为 V~ 50/60Hz 0.3A 的交流电源 -10-

16 9 个 10/100Mbps 自适应 RJ45 接口 TL-WVR308 支持 10Mbps/100Mbps 带宽的连接设备 提供 1 个固定 WAN 口 7 个固定 LAN 口和 1 个 WAN/LAN 可变口, 每个接口对应一个 Link/Act 指示灯 注意 : 请使用原装电源线 电源插座请安装在设备附近便于触及的位置, 以方便操作 TL-WVR450G 后面板如图 2-6 所示 : 图 2-6 TL-WVR450G 后面板示意图 天线 共三根, 用于收发无线数据 电源接口 位于后面板左侧, 接入电源需为 V~ 50/60Hz 0.6A 的交流电源 防雷接地柱 请使用黄绿双色外皮的铜芯导线接地, 以防雷击, 具体请参考 设备防雷安装手册 肯辛通锁孔 TL-WVR450G 提供一个安全锁孔, 可以将肯辛通锁插入锁孔以防路由器被盗 -11-

17 注意 : 请使用原装电源线 电源插座请安装在设备附近便于触及的位置, 以方便操作 -12-

18 第 3 章配置指南 3.1 快速安装指南 第一次登录时, 需要确认以下几点 : 1) 路由器已正常加电启动, 任一 LAN 口已与管理主机相连 2) 管理主机已正确安装有线网卡及该网卡的驱动程序 并已正确安装 IE 6.0 或以上版本的浏览器 3) 管理主机 IP 地址已设为与路由器 LAN 口同一网段, 即 X(X 为 2 至 254 之间的任意整数 ), 子网掩码为 , 默认网关为路由器管理地址 也可选择 自动获得 IP 地址 来通过路由器 DHCP 自动分配 IP 地址 4) 为保证能更好地体验 Web 界面显示效果, 建议将显示器的分辨率调整到 或以上像素 打开 IE 浏览器, 在地址栏输入 登录路由器的 Web 管理界面 路由器登录界面如图 3-1 所示 在此界面输入路由器管理帐号的用户名和密码, 出厂缺省值为 admin/admin 图 3-1 路由器登录界面 -13-

19 成功登录后会弹出设置向导界面, 如图 3-2 如果没有自动弹出, 可以单击主页左侧设置向导菜单 进入 单击 < 下一步 >, 开始设置 图 3-2 设置向导 请选择要设置的 WAN 口, 如图 3-3 所示, 单击 < 下一步 >, 进入上网方式选择界面 图 3-3 WAN 口选择 -14-

20 图 3-4 显示了最常用的三种上网方式, 可以根据自身情况进行选择, 然后单击 < 下一步 > 继续 图 3-4 上网方式 1) 如果上网方式为 PPPoE, 即 ADSL 虚拟拨号方式, 则需要填写以下内容 : 图 3-5 上网方式 -PPPoE 上网账号 填入 ISP 指定的 ADSL 上网账号, 不清楚可以向 ISP 询问 上网密码 填入 ISP 指定的 ADSL 上网密码, 不清楚可以向 ISP 询问 2) 如果上网方式为动态 IP, 即可以自动从网络服务商处获取 IP 地址, 则不需要填写任何内容 -15-

21 3) 如果上网方式为静态 IP, 即拥有网络服务商提供的固定 IP 地址, 则需要填写以下内容 : 图 3-6 上网方式 - 静态 IP IP 地址 填入 ISP 提供的 IP 地址, 不清楚可以向 ISP 询问 子网掩码填入 ISP 提供的子网掩码, 一般为 网关地址 填入 ISP 提供的网关地址, 不清楚可以向 ISP 询问 首选 DNS 服务器 填入 ISP 提供的 DNS 服务器地址, 不清楚可以向 ISP 询问 备用 DNS 服务器 可选项, 如果 ISP 提供了两个 DNS 服务器地址, 则可以把另一个 DNS 服 务器的 IP 地址填于此处 -16-

22 设置完成后, 单击 < 下一步 >, 进入无线设置界面, 如图 3-7 所示 图 3-7 无线设置 无线功能 开启无线功能, 接入本无线网络的主机将可以访问现有网络资源 SSID SSID(Service Set Identifier, 服务集标识 ), 是无线局域网用于身份验证 的登录名, 只有通过身份验证的用户才可以访问本无线网络 描述 对该 SSID 的描述 安全选项 为保障网络安全, 推荐选择 WPA-PSK/WPA2-PSK AES 加密 PSK 密码 该项是 WPA-PSK/WPA2-PSK 的初始设置密钥, 设置时, 要求为 8-63 个 ASCII 字符或 8-64 个十六进制字符 -17-

23 设置完成后, 单击 < 下一步 >, 如果更改了无线设置, 将出现图 3-8 所示的配置完成界面, 单击 < 重 启 > 使无线设置生效, 或者单击 < 继续 > 进行其他 WAN 口的设置 如果没有更改无线设置, 将出现图 3-9 所 示的配置完成界面, 单击 < 完成 > 退出设置向导, 或者单击 < 继续 > 进行其他 WAN 口的设置 图 3-8 配置完成 - 重启 图 3-9 配置完成 - 完成 -18-

24 3.2 Web 界面简介 界面总览 无线企业 VPN 路由器典型的 Web 界面如图 3-10 所示 图 3-10 典型 Web 界面在图 3-11 中可以看到, 左侧为一级 二级菜单栏, 右侧上方长条区域为菜单下的标签页, 当一个菜单包含多个标签页时, 可以通过点击标签页的标题在同级菜单下切换标签页 右侧标签页下方区域可分为两部分, 条目配置区以及列表管理区 -19-

25 图 3-11 Web 界面区域划分 界面常见按钮及操作 条目配置区常见按钮 按钮 含义 保存当前配置信息 新增当前配置信息 修改并保存编辑后的配置信息 快速清除当前配置项中已输入的所有信息 打开当前功能的帮助界面 -20-

26 说明 : < 修改 > 按钮只有当编辑列表中的规则 / 条目时才会出现, 取代原本的 < 新增 > 按钮 列表管理区常见按钮 按钮 含义 选中当前列表中所有规则 / 条目 启用选中的规则 / 条目, 可批量操作 禁用选中的规则 / 条目, 可批量操作 使选中的规则 / 条目生效, 可批量操作 使选中的规则 / 条目不生效, 可批量操作 删除选中的规则 / 条目, 可批量操作 刷新列表 列表管理区扩展按钮 按照指定关键字段搜索相应的规则 列名 选择当前列表中任一表头字段 -21-

27 内容 输入关键字 状态 指定搜索范围为 启用 禁用 或者任意状态下的规则 / 条目 列表管理区常见操作 按钮名称含义 编辑 点击后, 需要编辑的规则 / 条目内容会出现在列表上方的配置管理区, 原 < 新增 > 按钮同时变为 < 修改 > 按钮 在配置管理区修改当前配置后, 点击 < 修改 > 按钮保存生效 该操作不可批量进行 启用 / 生效 点击后, 修改当前规则 / 条目状态 该操作不可批量进行 禁用 / 不生效 点击后, 修改当前规则 / 条目状态 该操作不可批量进行 删除 点击后, 删除当前规则 / 条目 该操作不可批量进行 -22-

28 第 4 章功能设置 4.1 系统状态 系统状态界面显示路由器当前硬件和软件版本信息 各接口配置信息以及系统资源使用情况 界面进入方法 : 系统状态 图 4-1 系统状态界面 -23-

29 4.2 设置向导 详见 3.1 快速安装指南 4.3 接口设置 WAN 设置 WAN 模式 TL-WVR308 提供 1 个 WAN/LAN 可变口, 可以选择 WAN 口模式为单 WAN 口或双 WAN 口 说明 : TL-WVR300/TL-WVR450G 没有此功能 TL-WVR308 出厂默认为双 WAN 口模式, 切换 WAN 口模式可能导致配置信息丢失 若有重要配置信息, 请在切换模式前备份 界面进入方法 : 接口设置 >> WAN 设置 >> WAN 模式 图 4-2 WAN 模式设置界面请根据实际需求选择路由器的 WAN 模式 路由器会根据不同的 WAN 口模式对各物理端口做出相应配置, 具体请参考图 4-2 中的产品接口示意图 WAN1 设置无线企业 VPN 路由器提供五种方式接入广域网 : 静态 IP 动态 IP PPPoE L2TP PPTP, 请根据 ISP(Internet Service Provider, 网络服务提供商 ) 提供的服务进行选择 有线宽频一般使用动态 IP 连接方式 ; 光纤接入以及企业 网吧局域网内组网一般使用静态 IP 连接方式 ; xdsl 拨号上网则使用 PPPoE 连接方式 ; 虚拟专用拨号网络一般使用 L2TP 或 PPTP 连接方式 -24-

30 界面进入方法 : 接口设置 >> WAN 设置 >> WAN1 设置 1) 静态 IP 连接 若 ISP 提供了固定的 IP 地址, 请选择静态 IP 手动配置 WAN 口参数 界面项说明 : 图 4-3 WAN 口设置界面 - 静态 IP 静态 IP 设置 连接方式 选择静态 IP 连接方式, 进行手动配置 IP 地址 设置路由器 WAN 口的 IP 地址 子网掩码 设置路由器 WAN 口的子网掩码 网关地址 设置网关地址 MTU MTU(Maximum Transmission Unit, 最大传输单元 ), 可以设置数据 包的最大长度 取值范围是 之间的整数, 默认值为 1500 若 ISP 未提供 MTU 值, 请保持默认值不变 首选 DNS 服务器 设置 DNS(Domain Name Server, 域名解析服务器 ) 地址, 一般由 ISP 提供, 如果留空, 则无法通过域名访问互联网 备用 DNS 服务器 设置备用 DNS 地址, 一般由 ISP 提供, 允许留空 -25-

31 上行带宽 设置当前 WAN 接口数据流出的带宽大小 下行带宽 设置当前 WAN 接口数据流入的带宽大小 2) 动态 IP 连接 若 ISP 提供 DHCP 自动分配地址服务, 请选择动态 IP 自动获取 WAN 口参数 图 4-4 WAN 口设置界面 - 动态 IP 界面项说明 : 动态 IP 设置 连接方式 选择动态 IP 连接方式 点击 < 获取 > 得到 IP 参数, 点击 < 释放 > 则不再 使用现有 IP 参数 主机名 输入用于标识路由器的名称 -26-

32 MTU MTU(Maximum Transmission Unit, 最大传输单元 ), 可以设置数据 包的最大长度 取值范围是 之间的整数, 默认值为 1500 若 ISP 未提供 MTU 值, 请保持默认值不变 手动设置 DNS 服务器如果需要手动设置 DNS(Domain Name Server, 域名解析服务 ) 地址, 请勾选此项 首选 DNS 服务器 设置 DNS 地址, 一般由 ISP 提供 备用 DNS 服务器 设置备用 DNS 地址, 一般由 ISP 提供, 允许留空 上行带宽 设置当前 WAN 接口数据流出的带宽大小 下行带宽 设置当前 WAN 接口数据流入的带宽大小 动态 IP 状态 连接状态 显示当前 WAN 口 DHCP 分配状态 未启用 表示当前已选择动态 IP 连接方式但未保存生效 ; 正在连接 表示当前路由器正在向 ISP 获取 IP 参数 ; 已连接 表示路由器已成功获取 IP 参数 ; 未连接 表示已手动释放连接, 或路由器已发起请求, 但未得到响应, 请检查连接线路是否正常, 若问题无法解决, 请与 ISP 联系 IP 地址 显示自动获取到的 IP 地址 子网掩码 显示自动获取到的子网掩码 网关地址 显示自动获取到的网关地址 首选 DNS 服务器 显示 DNS 地址 备用 DNS 服务器 显示备用 DNS 地址 3) PPPoE 连接 式 若使用 xdsl/cable Modem 拨号接入互联网,ISP 会提供上网账号及密码, 请选择 PPPoE 连接方 -27-

33 图 4-5 WAN 口设置界面 -PPPoE 界面项说明 : PPPoE 设置 连接方式 选择 PPPoE 点击 < 连接 > 开始拨号并获取 IP 参数, 点击 < 断开 > 则取 消与互联网的连接同时释放已获取的 IP 参数 账号 PPPoE 拨号的用户名, 由 ISP 提供 -28-

34 密码 PPPoE 拨号的密码, 由 ISP 提供 特殊拨号 请根据需求选择拨号模式 如果正常拨号模式下无法连接成功, 请依次尝试不同的特殊拨号模式 默认为自动选择特殊拨号模式, 路由器会自动尝试不同的特殊拨号模式 手动连接 用户可在需要上网时手动点击 < 连接 > 按钮连入互联网, 适合按小时计费的拨号连接上网方式 自动连接 每次接通路由器电源, 路由器便自动拨号连入互联网, 适合不限时间的包月计费拨号连接上网方式 定时连接 设置连接时段, 在此时段内路由器如果开启则自动拨号连接, 适合用于需要限时上网的场合 启用 PPPoE 高级设置 可以在此手动指定 MTU 值 服务名及 DNS(Domain Name Server, 域名解析服务 ) 地址 如果不清楚这些参数, 请勿勾选此项 检测间隔时间 设置检测间隔时间, 路由器将会按照指定的间隔时间向 ISP 发送 Keep Alive 数据包, 用于检测链路是否正常 默认值为 0, 表示不检测链路 检测重试次数 设置检测重试次数, 路由器按照指定的检测间隔时间向 ISP 发送 Keep Alive 数据包, 如果没有收到 ISP 回应包的连续重试次数达到设置的值, 路由器会断开连接 MTU MTU(Maximum Transmission Unit, 最大传输单元 ), 可以设置数据包的最大长度 取值范围是 之间的整数, 默认值为 1480 若 ISP 未提供 MTU 值, 请保持默认值不变 服务名 输入服务名称, 由 ISP 提供 首选 DNS 服务器 设置 DNS 地址, 一般由 ISP 提供 备用 DNS 服务器 设置备用 DNS 地址, 一般由 ISP 提供, 允许留空 上行带宽 设置当前 WAN 接口数据流出的带宽大小 下行带宽 设置当前 WAN 接口数据流入的带宽大小 -29-

35 PPPoE 状态 连接状态 显示当前 WAN 口 PPPoE 拨号连接状态 未启用 表示当前已选择 PPPoE 拨号连接方式但未保存生效 ; 正在连接 表示当前路由器正在向 ISP 获取 IP 参数 ; 已连接 表示路由器已成功获取 IP 参数 ; 未连接 表示已手动断开连接, 或路由器已发起请求, 但未得到响应, 请检查用户名密码是否正确 连接线路是否正常, 若问题无法解决, 请与 ISP 联系 IP 地址 显示通过 PPPoE 拨号后获取到的 IP 地址 网关地址 显示通过 PPPoE 拨号后获取到的网关地址 首选 DNS 服务器 显示 DNS 地址 备用 DNS 服务器 显示备用 DNS 地址 4) L2TP 连接 若使用 L2TP 虚拟专用拨号接入网络,ISP 会提供上网账号及密码, 请选择 L2TP 连接方式进行设置 -30-

36 图 4-6 WAN 口设置界面 -L2TP 界面项说明 : L2TP 设置 连接方式 选择 L2TP 点击 < 连接 > 开始拨号并获取 IP 参数, 点击 < 断开 > 则取消 与互联网的连接同时释放已获取的 IP 参数 帐号 L2TP 拨号的用户名, 由 ISP 提供 密码 L2TP 拨号的密码, 由 ISP 提供 -31-

37 服务器 IP/ 域名 L2TP 拨号的服务器的 IP 地址或域名, 由 ISP 提供 MTU MTU(Maximum Transmission Unit, 最大传输单元 ), 可以设置数据 包的最大长度 取值范围是 之间的整数, 默认值为 1460 若 ISP 未提供 MTU 值, 请保持默认值不变 静态 / 动态 选择静态或动态获取 IP 地址 若选择静态方式, 则需要手动设置 IP 地 址 ; 若选择动态, 则外部的 DHCP 服务器将动态分配一个 IP 地址 IP 地址 若选择静态, 设置路由器 WAN 口的 IP 地址 ; 若选择动态, 显示路由 器 WAN 口获取到的 IP 地址 子网掩码 若选择静态, 设置路由器 WAN 口的子网掩码 ; 若选择动态, 显示路由 器 WAN 口获取到的子网掩码 网关地址 若选择静态, 设置网关地址 ; 若选择动态, 显示获取到的网关地址 首选 DNS 服务器 若选择静态, 设置 DNS(Domain Name Server, 域名解析服务器 ) 地 址, 一般由 ISP 提供, 如果留空, 则无法通过域名访问互联网 ; 若选择 动态, 显示分配到的 DNS 地址 备用 DNS 服务器 若选择静态, 设置备用 DNS 地址, 一般由 ISP 提供, 允许留空 ; 若选 择动态, 显示分配到的备用 DNS 地址 手动连接 用户可在需要上网时手动点击 < 连接 > 按钮进行连接 自动连接 每次接通路由器电源, 路由器便会进行自动拨号 上行带宽 设置当前 WAN 接口数据流出的带宽大小 下行带宽 设置当前 WAN 接口数据流入的带宽大小 L2TP 状态 连接状态 显示当前 WAN 口 L2TP 拨号连接状态 未启用 表示当前已选择 L2TP 拨号连接方式但未保存生效 ; 正在连接 表示当前路由器正在向 ISP 获取 IP 参数 ; -32-

38 已连接 表示路由器已成功获取 IP 参数 ; 未连接 表示已手动断开连接, 或路由器已发起请求, 但未得到响应, 请检查用户名密码是否正确 连接线路是否正常, 若问题无法解决, 请与 ISP 联系 IP 地址 显示通过 L2TP 拨号后获取到的 IP 地址 首选 DNS 服务器 显示 DNS 地址 备用 DNS 服务器 显示备用 DNS 地址 5) PPTP 连接 若使用 PPTP 虚拟专用拨号接入网络,ISP 会提供上网账号及密码, 请选择 PPTP 连接方式进行设置 -33-

39 图 4-7 WAN 口设置界面 -PPTP 界面项说明 : PPTP 设置 连接方式 选择 PPTP 点击 < 连接 > 开始拨号并获取 IP 参数, 点击 < 断开 > 则取消 与互联网的连接同时释放已获取的 IP 参数 账号 PPTP 拨号的用户名, 由 ISP 提供 密码 PPTP 拨号的密码, 由 ISP 提供 -34-

40 服务器 IP/ 域名 PPTP 拨号的服务器的 IP 地址或域名, 由 ISP 提供 MTU MTU(Maximum Transmission Unit, 最大传输单元 ), 可以设置数据 包的最大长度 取值范围是 之间的整数, 默认值为 1460 若 ISP 未提供 MTU 值, 请保持默认值不变 静态 / 动态 选择静态或动态获取 IP 地址 若选择静态方式, 则需要手动设置 IP 地 址 ; 若选择动态, 则外部的 DHCP 服务器将动态分配一个 IP 地址 IP 地址 若选择静态, 设置路由器 WAN 口的 IP 地址 ; 若选择动态, 显示路由 器 WAN 口获取到的 IP 地址 子网掩码 若选择静态, 设置路由器 WAN 口的子网掩码 ; 若选择动态, 显示路由 器 WAN 口获取到的子网掩码 网关地址 若选择静态, 设置网关地址 ; 若选择动态, 显示获取到的网关地址 首选 DNS 服务器 若选择静态, 设置 DNS(Domain Name Server, 域名解析服务器 ) 地 址, 一般由 ISP 提供, 如果留空, 则无法通过域名访问互联网 ; 若选择 动态, 显示分配到的 DNS 地址 备用 DNS 服务器 若选择静态, 设置备用 DNS 地址, 一般由 ISP 提供, 允许留空 ; 若选 择动态, 显示分配到的备用 DNS 地址 手动连接 用户可在需要上网时手动点击 < 连接 > 按钮进行连接 自动连接 每次接通路由器电源, 路由器便会进行自动拨号 上行带宽 设置当前 WAN 接口数据流出的带宽大小 下行带宽 设置当前 WAN 接口数据流入的带宽大小 PPTP 状态 连接状态 显示当前 WAN 口 PPTP 拨号连接状态 未启用 表示当前已选择 PPTP 拨号连接方式但未保存生效 ; 正在连接 表示当前路由器正在向 ISP 获取 IP 参数 ; -35-

41 已连接 表示路由器已成功获取 IP 参数 ; 未连接 表示已手动断开连接, 或路由器已发起请求, 但未得到响应, 请检查用户名密码是否正确 连接线路是否正常, 若问题无法解决, 请与 ISP 联系 IP 地址 显示通过 PPTP 拨号后获取到的 IP 地址 首选 DNS 服务器 显示 DNS 地址 备用 DNS 服务器 显示备用 DNS 地址 LAN 设置 LAN 口设置 在此设置路由器 LAN 口的 IP 参数 界面进入方法 : 接口设置 >> LAN 设置 >> LAN 口设置 界面项说明 : 图 4-8 LAN 口设置界面 LAN 口设置 IP 地址 设置路由器 LAN 口的 IP 地址, 默认值为 , 可根据实际网 络情况修改此值 局域网内部可通过该地址访问路由器 子网掩码 设置路由器 LAN 口的子网掩码, 默认为 , 可根据实际网 络情况修改此值 说明 : 若 LAN 口 IP 地址有修改, 必须在保存配置后使用新的 LAN 口地址登录路由器 Web 管理界面 并且, 局域网内所有计算机网关地址 子网掩码必须与修改后的 LAN 口设置保持一致, 才能正常通信 -36-

42 DHCP 服务 DHCP(Dynamic Host Configuration Protocol, 动态主机配置协议 ) 路由器具有 DHCP 服务功能, 能够为所有接入路由器并且应用 DHCP 服务的网络设备自动分配 IP 参数 界面进入方法 : 接口设置 >> LAN 设置 >> DHCP 服务 界面项说明 : 图 4-9 DHCP 服务设置界面 配置参数 DHCP 服务器 选择开启或关闭 DHCP 服务 若希望路由器自动为计算机配置 TCP/IP 参数, 请选择 启用 地址池起始地址 设置 DHCP 服务器自动分配 IP 地址的起始地址, 该地址必须与 LAN 口 IP 地址设置在同一网段, 默认值为 地址池结束地址 设置 DHCP 服务器自动分配 IP 地址的结束地址, 该地址必须与 LAN 口 IP 地址设置在同一网段, 默认值为 地址租期 设置 DHCP 分配地址有效时间, 超时将重新分配 网关地址 设置 DHCP 分配给客户端的网关地址, 推荐设置为 LAN 口 IP 地址 缺省域名 设置本地网域名, 允许留空 首选 DNS 服务器 设置 DNS 地址, 推荐设为路由器 LAN 口 IP 地址, 允许留空 -37-

43 备用 DNS 服务器 设置备用 DNS 地址, 允许留空 客户端列表 客户端列表显示已由 DHCP 分配 IP 参数的主机信息 界面进入方法 : 接口设置 >> LAN 设置 >> 客户端列表 图 4-10 客户端列表界面可通过客户端列表查询 DHCP 客户端信息 如要获得最新 DHCP 服务分配的客户端信息, 请点击 < 刷新 > 按钮 静态地址分配可根据接入设备的 MAC 地址手动分配 IP 地址 当对应的客户端设备请求 DHCP 服务器分配 IP 地址时,DHCP 服务器将自动为其分配指定的 IP 地址 界面进入方法 : 接口设置 >> LAN 设置 >> 静态地址分配 界面项说明 : 图 4-11 静态地址分配设置界面 静态地址 -38-

44 MAC 地址 设置待分配 IP 地址的客户端的 MAC 地址 IP 地址 指定当前 MAC 地址所对应的客户端的 IP 地址 备注 添加对本条目的说明信息 启用 / 禁用规则 选择启用或禁用本条静态地址分配规则 地址列表在静态地址列表中, 可以对已保存的静态 IP 地址分配规则进行相应操作 图 4-11 序号 1 规则的含义 :MAC 地址为 CF 的客户端, 指定其 IP 地址为 , 该规则已禁用 说明 : 为了避免冲突, 建议先进行 IP MAC 绑定, 具体操作请参考 4.7.1ARP 防护, 然后点击图 4-11 静态地址分配设置界面中的 < 导入 > 按钮, 直接获取 IP MAC 绑定列表中的静态地址条目 MAC 设置 路由器 MAC 地址是它在网络中的身份标志, 一般来说无需更改 LAN 口 MAC 设置 : 在一个所有设备都进行了 ARP 绑定的复杂拓扑中, 如果其中一个网络节点的路由器更换为无线企业 VPN 路由器, 为避免该节点下面接入的所有网络设备都更新 ARP 绑定表, 直接将无线企业 VPN 路由器的 LAN 口 MAC 地址设置为原路由器的 MAC 地址即可 WAN 口 MAC 设置 : 有些 ISP 要求上网帐号与拨号设备的 MAC 绑定, 若此时拨号设备更换为无线企业 VPN 路由器, 只需将路由器 WAN 口的 MAC 地址设置为原拨号设备的 MAC 地址即可 界面进入方法 : 接口设置 >> MAC 设置 >> MAC 设置 -39-

45 图 4-12 MAC 设置界面 界面项说明 : MAC 设置 接口 显示当前路由器各接口 当前 MAC 地址 显示当前各接口的 MAC 地址 设置 如需恢复初始状态, 请点击 < 出厂 MAC> 按钮 如需将当前 MAC 地址 设置为管理主机 MAC 地址, 即当前登录路由器进行配置管理的主机 MAC 地址, 请点击 < 管理主机 MAC> 按钮 说明 : 为了防止局域网内 MAC 地址冲突, 路由器 LAN 口的 MAC 地址不能设置成当前管理主机的 MAC 地址 交换机设置 无线企业 VPN 路由器具备一些简单的交换机端口管理功能 在此可以实时查看路由器各端口的数 据流通状况, 并进行相应的控制和管理 说明 : TL-WVR308 仅提供此功能中的端口参数 端口状态和 Port VLAN 三项子功能 功能介绍以 TL-WVR450G 界面为例,TL-WVR308 界面会略有不同 端口统计用于交换信息的数据包在数据链路层通常称为 帧 可以通过此功能查看各个端口收发数据帧的统计信息 -40-

46 界面进入方法 : 接口设置 >> 交换机设置 >> 端口统计 界面项说明 : 图 4-13 端口统计界面 统计列表 单播帧 目的 MAC 地址为单播 MAC 地址的正常数据帧数目 广播帧 目的 MAC 地址为广播 MAC 地址的正常数据帧数目 流控帧 接收 / 发送的流量控制数据帧数目 多播帧 目的 MAC 地址为多播 MAC 地址的正常数据帧数目 所有帧接收 / 发送所有的数据帧的总字节数 ( 包含校验和错误的帧 ) 过小帧收到的长度小于 64 字节的数据帧数目 ( 包含校验和错误的帧 ) 正常帧收到的长度在 64 字节到 1518 字节之间的数据帧数目 ( 包含错误帧 ) -41-

47 过大帧收到的长度大于 1518 字节的数据帧数目 ( 包含错误帧 ) 勾选最后一行的复选框后, 点击 < 清空统计 > 按钮, 即可清空该列对应端口的统计数据 点击 < 清空所有 > 按钮可以一次清空所有统计数据 端口监控可以在此开启和设置端口监控功能 被监控端口的报文会被自动复制到监控端口, 以便网络管理人员实时查看被监控端口传输状况的详细资料, 对其进行流量监控 性能分析和故障诊断 界面进入方法 : 接口设置 >> 交换机设置 >> 端口监控 界面项说明 : 图 4-14 端口监控设置界面 功能设置 启用端口监控 勾选即启用端口监控 推荐勾选, 方便及时了解路由器端口报文信息 监控模式选择对数据包进行 输入监控 输出监控 或者 输入输出监控 监控列表 监控端口 只能选择一个端口做监控端口 被监控端口 被监控端口可以为多个, 但不包含当前的监控端口 图 4-14 监控列表的含义是 :LAN2 口被选作监控端口, 它将对端口 WAN1 WAN2 LAN1 和 LAN3 进行输出监控 -42-

48 应用举例某企业网络出现异常状况, 需要利用端口监控功能捕获网络中的所有数据进行分析 可通过端口监控实现此需求 勾选 启用端口监控, 并选择 输入输出监控 的监控模式, 设置端口 LAN1 为监控端口, 监控其它端口的输入输出数据, 如下图 设置完成后, 点击 < 保存 > 按钮 端口流量限制 可以在此开启各端口的流量限制功能并进行相应设置 界面进入方法 : 接口设置 >> 交换机设置 >> 端口流量限制 界面项说明 : 图 4-15 端口流量限制设置界面 功能设置 端口 显示所有物理端口, 需要对某个端口进行流量限制时, 在其对应行设置即可 -43-

49 入口限制状态 勾选 启用 后, 后续设置的入口限制速率才会生效 入口限制速率 有从小到大 128Kbps/ 256Kbps/ 512Kbps/ 1Mbps/ 2Mbps/ 4Mbps/ 8Mbps 七种速率, 选择其一 出口限制状态 勾选 启用, 后续设置的出口限制速率才会生效 出口限制速率 有从小到大 128Kbps/ 256Kbps/ 512Kbps/ 1Mbps/ 2Mbps/ 4Mbps/ 8Mbps 七种速率, 选择其一 图 4-15 第一行的含义是 : 开启端口 WAN1 的入口和出口限制状态, 设置端口 WAN1 的入口限制速率为 128Kbps, 出口限制速率为 8Mbps 设置完成后, 端口 WAN1 的入口数据帧的接收速率将不会超过 128Kbps, 所有出口数据帧的发送速率将不会超过 8Mbps 端口参数可以在此启用各物理端口及其流量限制, 并根据需要设定其协商模式 界面进入方法 : 接口设置 >> 交换机设置 >> 端口参数 界面项说明 : 图 4-16 端口参数设置界面 功能设置 端口状态 只有勾选了 启用 该端口才会有数据包的传输, 即物理意义上的开启 流量控制 推荐勾选 启用 以控制调节各端口数据包转发的速率, 避免出现拥塞 -44-

50 协商模式 有 10M 全 / 半双工 100M 全 / 半双工 1000M 全双工 自协商 6 种模式可 选, 择需使用 TL-WVR300 没有 1000M 全双工模式 所有端口 这一栏可对以上所有端口进行统一设置, 比如同时启用或禁用 端口状态 可以在此查看各个端口的基本状态 界面进入方法 : 接口设置 >> 交换机设置 >> 端口状态 图 4-17 端口状态界面 Port VLAN VLAN(Virtual Local Area Network, 虚拟局域网 ) 是从逻辑上而非物理上, 将整个局域网分割成几个不同的广播域, 数据只能在 VLAN 内进行交换 一个稍具规模的网络如果只有一个广播域, 那么在网络内不断发送的广播包很容易造成广播风暴, 消耗网络整体带宽, 并给网络中的主机带来额外的负担 划分 VLAN 以后, 数据只会在自己所属的 VLAN 内广播, 所以可以控制广播风暴, 同时还能增强网络安全, 简化网络管理 无线企业 VPN 路由器提供基于端口划分 VLAN 的 Port VLAN 功能, 可以把路由器的若干 LAN 口从逻辑上划分为多个 VLAN 界面进入方法 : 接口设置 >> 交换机设置 >> Port VLAN -45-

51 图 4-18 Port VLAN 设置界面 界面项说明 : 功能设置 网络 标识各个物理端口此时属于的逻辑网络 VLAN 配置各端口所属 VLAN 说明 Port VLAN 的划分只能在 LAN 口中进行 4.4 无线设置 无线网络设置 无线网络与有线网络相对应, 其使用无线信号通讯, 无需连接网线 路由器允许多个无线终端设备 同时接入到无线网络, 减少对接口的需求 注意 : 本路由器中无线功能设置完成后需要重启路由器才能生效, 且在路由器重启完成前请保证电源稳定, 避免强行断电 基本设置可以在此进行无线网络的基本设置, 组建无线局域网, 并可以为无线网络加密, 保障其安全性 界面进入方法 : 无线设置 >> 无线网络设置 >> 基本设置 -46-

52 图 4-19 无线网络基本设置界面 界面项说明 : 功能设置 无线功能 选择 启用 可以开启无线功能, 接入本无线网络的主机将可以访问现有网络资源 信道以无线信号作为传输媒体的数据信号传送的通道, 选择范围从 1 到 13 若选自动, 则路由器会根据周围的环境自动选择一个最少被使用的信道 模式 该项用于设置路由器的无线工作模式 推荐使用 11bgn mixed 模式 -47-

53 频段带宽 设置无线数据传输时所占用的信道宽度, 可选项有 : 自动 20MHz 和 40MHz 该设置是 11n 模式所特有的配置, 只有模式为 11n only 或者 11bgn mixed 时, 频段带宽才可配置 若是路由器设置了频段带宽, 但是连接路由器的客户端网卡为 11a/b/g 系列, 此设置将不生效 说明 : 关于模式选择, 如果选择 11b only, 则只有支持 11b 模式的设备才可以连接上路由器,11g only 和 11n only 类似 如果选择 11bg mixed, 则只有支持 11b 或者 11g 模式的设备才可以连接上路由器 因此, 若是所有与路由器连接的无线设备都使用同一种传输模式, 则可以选择 only 模式, 否则需要选择 mixed 模式 无线参数 SSID SSID(Service Set Identifier, 服务集标识 ), 是无线局域网用于身份验 证的登录名, 只有通过身份验证的用户才可以访问本无线网络 描述 对该 SSID 的描述 SSID 广播 选择 启用 可以开启 SSID 广播, 路由器将向无线网络中的主机广播 SSID, 这样主机就能搜索到其无线信号, 并可以加入该 SSID 标识的无 线网络 AP 内部隔离 选择此项可以隔离关联到 AP 的各个无线站点 安全选项 设置该 SSID 的安全选项 如果不需要对无线网络加密, 能够让任意主机接入无线网络, 则可以选择 关闭无线安全选项 ; 如果需要对无线网络加密, 请选择页面中三种安全类型中的一种进行无线安全设置 为保障网络安全, 推荐开启安全设置 本路由器提供三种安全类型 :WPA-PSK/WPA2-PSK WPA/WPA2 以及 WEP, 推荐使用 WPA-PSK/WPA2-PSK AES 加密方法 不同的安全类型下, 安全设置项不同, 下面将详细介绍 1) WPA-PSK/WPA2-PSK WPA-PSK/WPA2-PSK 安全类型是基于共享密钥的 WPA 模式, 安全性很高, 设置也比较简单, 适合普通家庭用户和小型企业使用 -48-

54 认证类型该项用来选择系统采用的安全模式, 即自动 WPA-PSK WPA2-PSK 默认选项为自动, 路由器会根据主机请求自动选择 WPA-PSK 或 WPA2-PSK 安全模式 加密算法该项用来选择对无线数据进行加密的安全算法, 选项有自动 TKIP AES 以下为选项的详细介绍 自动 : 选择该项后, 路由器将根据网卡端的加密方式自动选择 TKIP 或 AES 加密方式 TKIP(Temporal Key Integrity Protocol, 暂时密钥集成协议 ): 负责处理无线安全问题的加密部分 AES(Advanced Encryption Standard, 高级加密标准 ): 是美国国家标准与技术研究所用于加密电子数据的规范 该算法汇聚了设计简单 密钥安装快 需要的内存空间少 在所有的平台上运行良好 支持并行处理并且可以抵抗所有已知攻击等优点 PSK 密码该项是 WPA-PSK/WPA2-PSK 的初始设置密钥, 设置时, 要求为 8-63 个 ASCII 字符或 8-64 个十六进制字符 组密钥更新周期该项设置广播和组播密钥的定时更新周期, 以秒为单位, 最小值为 30, 若该值为 0, 则表示不进行更新 2) WPA/WPA2 WPA/WPA2 是采用 Radius 服务器进行身份认证并得到密钥的 WPA 或 WPA2 安全模式 由于要架设一台专用的认证服务器, 代价比较昂贵且维护也很复杂, 所以不推荐普通用户使用此安全类型 -49-

55 认证类型 该项用来选择系统采用的安全模式, 即自动 WPA WPA2 默认选 项为自动, 选择该项后, 路由器会根据主机请求自动选择 WPA 或 WPA2 安全模式 加密算法该项用来选择对无线数据进行加密的安全算法, 选项有自动 TKIP AES 以下为选项的详细介绍 自动 : 选择该项后, 路由器将根据网卡端的加密方式自动选择 TKIP 或 AES 加密方式 TKIP(Temporal Key Integrity Protocol, 暂时密钥集成协议 ): 负责处理无线安全问题的加密部分 AES(Advanced Encryption Standard, 高级加密标准 ): 是美国国家标准与技术研究所用于加密电子数据的规范 该算法汇聚了设计简单 密钥安装快 需要的内存空间少 在所有的平台上运行良好 支持并行处理并且可以抵抗所有已知攻击等优点 Radius 服务器 IP Radius 服务器用来对无线网络内的主机进行身份认证, 此项用来设置该服务器的 IP 地址 Radius 端口 Radius 服务器用来对无线网络内的主机进行身份认证, 此项用来设置该 Radius 认证服务采用的端口号 Radius 密码 该项用来设置访问 Radius 服务的密码 组密钥更新周期该项设置广播和组播密钥的定时更新周期, 以秒为单位, 最小值为 30, 若该值为 0, 则表示不进行更新 -50-

56 3) WEP WEP 是 Wired Equivalent Privacy 的缩写, 它是一种基本的加密方法, 其安全性不如另外两 种安全类型高 选择 WEP 安全类型, 路由器将使用 基本的 WEP 安全模式 认证类型 该项用来选择系统采用的安全模式, 即自动 开放系统 共享密钥 以下为选项的详细介绍 自动 : 选择该项后, 路由器会根据主机请求自动选择开放系统或共享密钥方式 开放系统 : 选择该项后, 路由器将采用开放系统方式 此时, 无线网络内的主机可以在不提供认证密码的前提下, 通过认证并关联上无线网络, 但是若要进行数据传输, 必须提供正确的密码 共享密钥 : 选择该项后, 路由器将采用共享密钥方式 此时, 无线网络内的主机必须提供正确的密码才能通过认证, 否则无法关联上无线网络, 也无法进行数据传输 密钥格式 该项用来选择即将设置的密钥的形式, 包括 16 进制 ASCII 码 若采用 16 进制, 则密钥字符只能为 0-9,A B C D E F; 若采用 ASCII 码, 则密钥字符可以是键盘上的任意字符 密钥选择 可以预先配置 4 条密钥, 并根据需要选择当前生效的 WEP 密钥 WEP 密钥 请输入需要设置的密钥 密钥的长度和有效字符范围受密钥类型的影响 如果没有设置任何密钥, 无线数据将不进行加密 密钥类型 可以选择使用 64 位 128 位或 152 位的 WEP 密钥, 选择 禁用 将不使用该密钥 以下为密钥长度详细说明 64 位密钥 : 需输入 16 进制字符 10 个, 或者 ASCII 码字符 5 个 -51-

57 128 位密钥 : 需输入 16 进制字符 26 个, 或者 ASCII 码字符 13 个 152 位密钥 : 需输入 16 进制字符 32 个, 或者 ASCII 码字符 16 个 说明 : 无线网络内的主机若想连接该路由器, 其无线参数必须与此处设置一致 n 不支持 WEP 加密方式, 若选择 WEP 加密, 路由器可能工作在较低的传输速率上 n 不支持 TKIP 算法, 如果选择了 11n only 模式, 则无法选择 TKIP 算法 ; 如果模式选择为 bgn mixed 且选择 TKIP 算法, 则路由器不会连接在 11n 模式上 TKIP 是 WPA-PSK/WPA2-PSK 和 WPA/WPA2 加密方式中加密算法的选项 Multi-SSID 设置可以在此建立多个无线局域网 界面进入方法 : 无线设置 >> 无线网络设置 >> Multi-SSID 设置 界面项说明 : 图 4-20 Multi-SSID 设置界面 -52-

58 功能设置 Multi-SSID 选择 启用 可以开启 Multi-SSID 功能, 路由器能建立多个无线局域网 SSID 间隔离 选择 启用 可以开启 SSID 间隔离功能, 则连接在不同 SSID 上的主机 之间不能互相通信, 从而限制不同无线局域网之间的访问 Multi-SSID 设置 SSID SSID(Service Set Identifier, 服务集标识 ), 是无线局域网用于身份验 证的登录名, 只有通过身份验证的用户才可以访问本无线网络 描述 对该 SSID 的描述 安全选项 设置该 SSID 的安全选项 如果不需要对无线网络加密, 能够让任意主机接入无线网络, 则可以选择 关闭无线安全选项 ; 如果需要对无线网络加密, 请选择页面中三种安全类型中的一种进行无线安全设置 为保障网络安全, 推荐开启安全设置 本路由器提供三种安全类型 :WPA-PSK/WPA2-PSK WPA/WPA2 以及 WEP, 推荐使用 WPA-PSK/WPA2-PSK AES 加密方法 不同的安全类型下, 安全设置项不同, 下面将详细介绍 SSID 广播 选择 启用 可以开启该 SSID 广播, 路由器将向无线网络中的主机广播该 SSID, 这样主机就能搜索到其无线信号, 并可以加入该 SSID 标识的无线网络 访客网络 选择该 SSID 是否为访客网络 访客网络中的主机将不能与 LAN 口或其他 SSID 的主机通信 AP 内部隔离 选择此项可以隔离关联到 AP 的各个无线站点 启用 / 禁用此 SSID 选择该 SSID 是否启用 1) WPA-PSK/WPA2-PSK WPA-PSK/WPA2-PSK 安全类型是基于共享密钥的 WPA 模式, 安全性很高, 设置也比较简单, 适合普通家庭用户和小型企业使用 -53-

59 认证类型该项用来选择系统采用的安全模式, 即自动 WPA-PSK WPA2-PSK 默认选项为自动, 路由器会根据主机请求自动选择 WPA-PSK 或 WPA2-PSK 安全模式 加密算法该项用来选择对无线数据进行加密的安全算法, 选项有自动 TKIP AES 以下为选项的详细介绍 自动 : 选择该项后, 路由器将根据网卡端的加密方式自动选择 TKIP 或 AES 加密方式 TKIP(Temporal Key Integrity Protocol, 暂时密钥集成协议 ): 负责处理无线安全问题的加密部分 AES(Advanced Encryption Standard, 高级加密标准 ): 是美国国家标准与技术研究所用于加密电子数据的规范 该算法汇聚了设计简单 密钥安装快 需要的内存空间少 在所有的平台上运行良好 支持并行处理并且可以抵抗所有已知攻击等优点 PSK 密码该项是 WPA-PSK/WPA2-PSK 的初始设置密钥, 设置时, 要求为 8-63 个 ASCII 字符或 8-64 个十六进制字符 组密钥更新周期该项设置广播和组播密钥的定时更新周期, 以秒为单位, 最小值为 30, 若该值为 0, 则表示不进行更新 2) WPA/WPA2 WPA/WPA2 是采用 Radius 服务器进行身份认证并得到密钥的 WPA 或 WPA2 安全模式 由于要架设一台专用的认证服务器, 代价比较昂贵且维护也很复杂, 所以不推荐普通用户使用此安全类型 -54-

60 认证类型 该项用来选择系统采用的安全模式, 即自动 WPA WPA2 默认选 项为自动, 选择该项后, 路由器会根据主机请求自动选择 WPA 或 WPA2 安全模式 加密算法该项用来选择对无线数据进行加密的安全算法, 选项有自动 TKIP AES 以下为选项的详细介绍 自动 : 选择该项后, 路由器将根据网卡端的加密方式自动选择 TKIP 或 AES 加密方式 TKIP(Temporal Key Integrity Protocol, 暂时密钥集成协议 ): 负责处理无线安全问题的加密部分 AES(Advanced Encryption Standard, 高级加密标准 ): 是美国国家标准与技术研究所用于加密电子数据的规范 该算法汇聚了设计简单 密钥安装快 需要的内存空间少 在所有的平台上运行良好 支持并行处理并且可以抵抗所有已知攻击等优点 Radius 服务器 IP Radius 服务器用来对无线网络内的主机进行身份认证, 此项用来设置该服务器的 IP 地址 Radius 端口 Radius 服务器用来对无线网络内的主机进行身份认证, 此项用来设置该 Radius 认证服务采用的端口号 Radius 密码 该项用来设置访问 Radius 服务的密码 组密钥更新周期该项设置广播和组播密钥的定时更新周期, 以秒为单位, 最小值为 30, 若该值为 0, 则表示不进行更新 -55-

61 3) WEP WEP 是 Wired Equivalent Privacy 的缩写, 它是一种基本的加密方法, 其安全性不如另外两 种安全类型高 选择 WEP 安全类型, 路由器将使用 基本的 WEP 安全模式 认证类型 该项用来选择系统采用的安全模式, 即自动 开放系统 共享密钥 以下为选项的详细介绍 自动 : 选择该项后, 路由器会根据主机请求自动选择开放系统或共享密钥方式 开放系统 : 选择该项后, 路由器将采用开放系统方式 此时, 无线网络内的主机可以在不提供认证密码的前提下, 通过认证并关联上无线网络, 但是若要进行数据传输, 必须提供正确的密码 共享密钥 : 选择该项后, 路由器将采用共享密钥方式 此时, 无线网络内的主机必须提供正确的密码才能通过认证, 否则无法关联上无线网络, 也无法进行数据传输 密钥格式 该项用来选择即将设置的密钥的形式, 包括 16 进制 ASCII 码 若采用 16 进制, 则密钥字符只能为 0-9,A B C D E F; 若采用 ASCII 码, 则密钥字符可以是键盘上的任意字符 密钥选择 可以预先配置 4 条密钥, 并根据需要选择当前生效的 WEP 密钥 WEP 密钥 请输入需要设置的密钥 密钥的长度和有效字符范围受密钥类型的影响 如果没有设置任何密钥, 无线数据将不进行加密 密钥类型 可以选择使用 64 位 128 位或 152 位的 WEP 密钥, 选择 禁用 将不使用该密钥 以下为密钥长度详细说明 64 位密钥 : 需输入 16 进制字符 10 个, 或者 ASCII 码字符 5 个 -56-

62 128 位密钥 : 需输入 16 进制字符 26 个, 或者 ASCII 码字符 13 个 152 位密钥 : 需输入 16 进制字符 32 个, 或者 ASCII 码字符 16 个 说明 : 无线网络内的主机若想连接该路由器, 其无线参数必须与此处设置一致 n 不支持 WEP 加密方式, 若选择 WEP 加密, 路由器可能工作在较低的传输速率上 n 不支持 TKIP 算法, 如果选择了 11n only 模式, 则无法选择 TKIP 算法 ; 如果模式选择为 bgn mixed 且选择 TKIP 算法, 则路由器不会连接在 11n 模式上 TKIP 是 WPA-PSK/WPA2-PSK 和 WPA/WPA2 加密方式中加密算法的选项 Multi-SSID 列表在 Multi-SSID 列表中, 可以对已保存的 Multi-SSID 条目进行相应设置 序号 1 条目不可在此设置, 如需修改, 请至 基本设置页面进行 图 4-20 序号 2 条目的含义 :SSID 为 tplink 的无线网络没有加密, 并且已启用, 任何主机都可以通过无线连接到此无线网络 说明 : 开启 Multi-SSID 后,WDS 功能将失效 Multi-SSID 设置中,TL-WVR300/TL-WVR308 最多可添加 3 个 SSID, 加上基本设置里的主 SSID 则最多为 4 个 ;TL-WVR450G 最多可添加 7 个 SSID, 加上基本设置里的主 SSID 则最多为 8 个 本路由器仅允许一个 SSID 使用 WEP 加密 WDS 设置 WDS(Wireless Distribution System, 无线分布式系统 ), 是可以让无线 AP(Access Point, 访问接入点 ) 或者无线路由器之间通过无线进行桥接或中继, 而在此过程中并不影响其无线设备覆盖效果的功能 通过在路由器上开启 WDS 功能, 可以让其延伸扩展无线信号, 将无线网络覆盖范围扩展到原来的一倍以上, 方便无线上网 图 4-21 WDS 典型拓扑 界面进入方法 : 无线设置 >> 无线网络设置 >> WDS 设置 -57-

63 图 4-22 WDS 设置界面 界面项说明 : 功能设置 勾选 启用 可以开启 WDS 功能, 则能够桥接多个无线局域网 点击 < 扫描 > 按钮, 可以扫描路由 器周围的无线局域网 参数设置 ( 桥接的 )SSID 要桥接的 AP 的 SSID ( 桥接的 )BSSID 要桥接的 AP 的 BSSID(Basic Service Set Identity, 基础服务集标识 ), 即 AP 的 MAC 地址 密钥类型 这个选项需要根据桥接的 AP 的加密类型来设定, 最好保持此加密方式 和您 AP 的加密方式相同 WEP 密钥序号 如果是 WEP 加密的情况, 这个选项需要根据桥接的 AP 的 WEP 密钥 的序号来设定 认证类型 如果是 WEP 加密的情况, 这个选项需要根据桥接的 AP 的认证类型来 设定 密钥 根据桥接的 AP 的密钥设置来设置该项 -58-

64 说明 : 开启 WDS 后,Multi-SSID 功能将失效 与路由器进行 WDS 连接的 AP, 只需要工作在 AP 模式且支持 IPv4 地址即可, 不需要额外的配置 高级设置 此界面用于设置路由器的高级无线功能, 建议这些操作由专业人员进行, 因为不正确的设置可能会 降低路由器的无线性能 对于一般用户而言, 出厂配置的高级设置已经可以满足需求 界面进入方法 : 无线设置 >> 无线网络设置 >> 高级设置 界面项说明 : 图 4-23 无线网络高级设置界面 功能设置 WMM 选择 启用 WMM 后路由器具有无线服务质量功能, 可以对音频 视 频数据优先处理, 保证音频 视频数据的优先传输 推荐勾选此项 Short GI 选择 启用 Short GI(Short Guard Interval, 短保护间隔 ), 可以使路 由器接收和发送短帧间隔数据包, 提高路由器的传输速率, 推荐勾选此项 高级设置 -59-

65 发射功率 设置路由器发射功率的大小 Beacon 时槽 Beacon 帧是无线路由的广播包, 用于发布无线路由支持的 SSID 无线网络 STA(Station, 站 ) 通过收到的 Beacon 帧判断该 SSID 是否还存在, 如果长时间都没有收到该 SSID 的 Beacon 帧, 则 STA 可以认为该 SSID 已经不存在,STA 就会自动断开与该 SSID 的连接, 从而实现无线网络连接同步 Beacon 时槽表示路由器发送 Beacon 广播的频率 默认值为 100 毫秒, 取值范围是 毫秒 RTS 时槽 为数据包指定 RTS(Request to Send, 发送请求 ) 阈值 当数据包长度超过 RTS 阈值时, 路由器就会发送 RTS 到目的站点来进行协商 接收到 RTS 帧后, 无线站点会回应一个 CTS(Clear to Send, 清除发送 ) 帧来回应路由器, 表示两者之间可以进行无线通信了 默认值为 2346, 取值范围是 分片阈值 为数据包指定分片阈值 当数据包的长度超过分片阈值时, 会被自动分成多个数据包 过多的数据包将会导致网络性能降低, 所以分片阈值不应设置过低 默认值为 2346, 取值范围是 DTIM 阈值 指定 DTIM(Delivery Traffic Indication Message, 传输指示消息 ) 的间隔 DTIM 是一种倒数计时作业, 用以告知下一个要接收广播及多播的客户端窗口 当路由器已经为相关联的客户端缓存了广播或者多播信息时, 它会在 Beacon 中夹带有下一个 DTIM 时槽的信息 ; 当客户端听到 Beacon 讯号时, 就会接收该广播和组播信息 默认值为 1 毫秒, 取值范围是 毫秒 无线 MAC 过滤 在此可以通过指定 MAC 地址对部分无线网络内主机进行过滤 无线 MAC 地址过滤 界面进入方法 : 无线设置 >> 无线 MAC 过滤 >> 无线 MAC 地址过滤 -60-

66 图 4-24 无线 MAC 地址过滤设置界面 界面项说明 : 功能设置每个 SSID 都能分别独立配置无线 MAC 地址过滤规则, 可以在 作用域 下拉菜单中选择已经设置的 SSID, 选择某个 SSID 后将进入对应的无线 MAC 地址过滤规则配置页面 如需新建 SSID, 请至 Multi-SSID 设置页面进行 若需要严格控制无线局域网内某些计算机访问无线网络, 推荐勾选 启用无线 MAC 地址过滤, 并根据实际情况选择一种过滤规则 设置完成后点击 < 保存 > 按钮生效 MAC 地址过滤规则 MAC 地址 输入被管理的计算机的 MAC 地址 备注 添加对本条目的说明信息 规则列表 在规则列表中, 可以对已保存的 MAC 地址过滤规则条目进行相应设置 -61-

67 4.4.3 无线主机状态 此页面显示连接到本无线网络中的所有主机的基本信息 点击 < 刷新 > 按钮, 可以更新列表中的条目 信息 点击 < 清空 > 按钮, 可以清空列表中主机收发数据包的统计值 界面进入方法 : 无线设置 >> 无线主机状态 >> 无线主机状态 界面项说明 : 图 4-25 无线主机状态设置界面 功能设置 可以在 主机状态列表显示范围 下拉菜单中选择已经设置的 SSID, 默认为 ALL, 显示范围为 所有无线网络 如需新建 SSID, 请至 Multi-SSID 设置页面进行 主机状态 MAC 地址 显示当前已经连接到无线网络的主机的 MAC 地址 所属 SSID 显示当前主机所连接的无线 SSID 名称 当前状态 显示当前主机的运行状态 发送总包数 显示当前主机发送的数据包总数 接收数据包数 显示当前主机接收的数据包总数 发送总字节数 显示当前主机发送的字节总数 接收总字节数 显示当前主机接收的字节总数 上传速率 显示当前主机的上传速率 -62-

68 下载速率 显示当前主机的下载速率 4.5 对象管理 用户管理 组设置 可以在此创建 修改或者删除组 界面进入方法 : 对象管理 >> 用户管理 >> 组设置 界面项说明 : 图 4-26 组设置界面 组设置 组名称 输入一个名称来标识一个组, 可以输入 1-28 个字符 备注 添加对当前组的说明信息 组列表 在组列表中, 可以对已创建的组进行相应设置 -63-

69 说明 : 当删除组时, 所有引用该组的规则都会被删除 用户设置可以在此添加 修改或者删除用户 界面进入方法 : 对象管理 >> 用户管理 >> 用户设置 界面项说明 : 图 4-27 用户设置界面 用户设置 用户名 输入一个名称来标识一个用户, 可以输入 1-28 个字符 IP 输入当前用户的 IP 地址 此处只能输入单个 IP 地址, 如果需要设置 IP 地址段, 请点击页面下方 < 批量处理 > 按钮进行操作 批量增加用户时, 如果新增用户的 IP 地址与某个已有用户的 IP 地址重复, 那么已有用户的信息将会被删除 备注 添加对当前用户的说明信息 用户列表在用户列表中, 可以对已创建的用户进行相应设置 视图可以在此设置用户视图或者组视图 -64-

70 界面进入方法 : 对象管理 >> 用户管理 >> 视图 界面项说明 : 图 4-28 视图界面 视图设置 视图选择 选择需要设置的视图 可以选择 用户视图 为用户指定所属组, 也可以选择 组视图 为组添加用户或子组 用户名 选择 用户视图, 可在下拉菜单中选择所需设置的用户 可选组 显示可以包含该用户的组 所属组 显示已经包含该用户的组 组名 选择 组视图, 可在下拉菜单中选择所需设置的组 查看该组结构可以查看以该组为根节点组成的树, 树中包含该组的所有子组和用户, 其中组名以粗体显示 可选用户 显示该组可以包含的用户和子组 -65-

71 包含用户 显示该组已经包含的用户和子组 时间管理 时间组 可以在此创建 修改或者删除时间组 界面进入方法 : 对象管理 >> 时间管理 >> 时间组 界面项说明 : 图 4-29 时间组界面 时间组设置 名称 输入一个名称来标识一个时间组, 可以输入 1-28 个字符 备注 添加对当前时间组的说明信息 星期 选择周循环的具体日期 时间段 设置一天 24 小时内的工作时间段 通过输入起止时间进行同一天内的 时间段添加 时间段由两个部分组成 : 开始时间 : 时间段的起始时间, 由时分组成, 格式为 (00:00) -66-

72 结束时间 : 时间段的截止时间, 由时分组成, 格式为 (00:00) 可以输入时间段的范围为 00:00-24:00, 时间段的每个设置框最多允许输入两位数字, 一个设置框中输入完两位数字后, 将自动跳转到下一个设置框 输入完成后, 点击 < + > 按钮可以添加时间段, 点击 < - > 可以删除已经添加的时间段 最多可以设置 12 个不同时间段, 各个时间段之间不能有交叠 时间组列表在时间组列表中, 可以对已创建的时间组进行相应设置 图 4-29 序号 1 中名称为 ANY 的时间组, 是路由器预定义的一个时间组, 表示任何时间, 此时间组不可修改 删除 序号 2 规则的含义 : 每一天上午 8 点到 11 点 说明 : 若时间组被其他规则引用, 则该时间组无法删除 4.6 传输控制 转发规则 路由器通过 NAT(Network Address Translation, 网络地址转换 ) 技术, 可以在局域网主机主动发起对广域网的访问时实现双方的互相通信 其原理是 : 当通信数据包经过路由器时,NAT 技术会将数据包中的 IP 地址在局域网地址与广域网地址间转换, 同时也进行端口号的转换 如今随着计算机的普及, 广域网 IP 地址已经供不应求, 通过 NAT 技术, 局域网内所有主机在通信时可以使用一个广域网 IP 地址, 而局域网内不同的主机使用不同的端口号, 解决了 IP 地址紧缺的问题 在应用了 NAT 及其扩展技术的网络环境中, 局域网主机是不会直接被广域网主机发现的, 因此 NAT 也为局域网提供了一定的网络安全保障 当有广域网主机需要主动访问局域网主机时, 就必须通过转发规则来实现 NAT 映射 NAT 映射, 可以将特定的局域网 IP 地址与指定的广域网 IP 地址唯一对应, 多用于局域网内的服务器搭建 可在此设置 NAT 的端口范围和 NAT 映射关系 界面进入方法 : 传输控制 >> 转发规则 >> NAT 映射 -67-

73 图 4-30 NAT 映射设置界面 界面项说明 : NAT 服务设置 源端口范围设置作为 NAT 源端口的端口范围, 范围跨度必须大于或等于 100 可 设置范围为 NAT 映射 映射地址 设置局域网 IP 地址和广域网 IP 地址的一对一映射 第一个输入框中应 填写局域网 IP 地址, 第二个输入框中应填写广域网 IP 地址 本路由器 只允许 LAN 口到 WAN 口的映射 出接口 设定数据包发送出去的接口 DMZ 转发 设置是否开启该条 NAT 映射条目的 DMZ 转发 开启后所有广域网中发 往映射后地址的数据报将被转发至映射前地址 备注 添加对本条目的说明信息 启用 / 禁用规则 设置该条 NAT 映射条目是否生效 -68-

74 映射列表在映射表中, 可以对已保存的 NAT 映射条目进行相应设置 图 4-30 序号 1 条目的含义 : 局域网主机 host1 的 IP 地址为 , 指定经 NAT 映射后的广域网 IP 地址为 , 数据包从 WAN1 口发送出去,DMZ 转发已开启, 映射设置已启用 当 host1 与广域网通信时, 从 WAN1 口发出的数据包源 IP 地址将被 NAT 转换为广域网 IP 地址 , 而从广域网返回的数据包目的 IP 地址会被 NAT 转换为局域网 IP 地址 说明 : NAT 映射只适用于 WAN 口使用静态 IP 连接方式的场合 若 WAN 口连接方式从静态 IP 切换为动态 IP PPPoE L2TP 或 PPTP, 以前设置的 NAT 映射都将失效, 直接在动态 IP PPPoE L2TP 或 PPTP 连接状态下设置的 NAT 映射也都不起作用 多网段 NAT 多网段 NAT, 可以支持 LAN 接口下多个网段的 IP 通过 NAT 转换访问广域网 界面进入方法 : 传输控制 >> 转发规则 >> 多网段 NAT 界面项说明 : 图 4-31 多网段 NAT 设置界面 多网段 NAT 规则 网段地址 设置需要进行 NAT 转换的网段地址, 以子网掩码值划分地址范围 启用 / 禁用规则 设置该条多网段 NAT 规则是否生效 备注 添加对本条规则的说明信息 -69-

75 规则列表在规则列表中, 可以对已保存的多网段 NAT 规则进行相应设置 图 4-31 序号 1 规则的含义 : 这是一条名为 tplink1 的多网段 NAT 规则, 路由器 LAN 口下的网段为 /24, 本条规则已启用 在进行相应的静态路由规则设置后, 该网段将可以通过本路由器进行 NAT 转换之后访问广域网 说明 : 多网段 NAT 功能需要同时配置静态路由才能生效 子网掩码值的相关设置请参考附录 A 常见问题中的问题 5 应用举例 某网吧的网络结构如下 : 路由器的 LAN 网段为 /24, 三层交换机下 VLAN2 网段为 /24,VLAN3 网段为 /24, 三层交换机与路由器的 LAN 口级联 VLAN IP 为 现要实现 VLAN2 和 VLAN3 网段可以访问互联网 可以通过如下设置来实现 : -70-

76 1. 首先设置多网段 NAT 规则, 分别添加 VLAN2 与 VLAN3 的网段地址 设置完成后的规则如下 : 2. 然后设置相应的静态路由规则, 指定下一跳为网段地址所属三层交换机与本路由器 LAN 口直接 相连的接口 IP 界面进入方法 : 传输控制 >> 路由设置 >> 静态路由 设置完成后的静态路由如下 : 虚拟服务器 在路由器默认设置下, 广域网中的主机不能直接与局域网主机进行通信 为了方便广域网的合法用 户访问本地主机, 又要保护局域网内部不受侵袭, 路由器提供了虚拟服务器功能 -71-

77 可以通过虚拟服务器定义一个服务端口, 并以 IP 地址指定其对应的局域网服务器, 则广域网所有对此端口的服务请求都将被重定位到该服务器上 这样广域网的用户便能成功访问局域网中的服务器, 同时不影响局域网内部的网络安全 界面进入方法 : 传输控制 >> 转发规则 >> 虚拟服务器 界面项说明 : 图 4-32 虚拟服务器设置界面 NAT DMZ 服务 NAT DMZ 服务设置是否启用 NAT DMZ 服务 NAT DMZ 是 NAT 应用的一种特殊服务, 相当于一条默认的转发规则 若主机开启了 NAT DMZ 服务, 路由器会将所有由广域网发起的 不符合所有现有连接和转发规则的数据全部转发至指定的主机 主机地址 指定作为 NAT DMZ 服务器的主机 IP 地址 虚拟服务 服务名称用户自定义, 标识一条虚拟服务器规则 名称长度需在 28 个字符以内, 中英文均可, 一个中文占用 2 个字符空间 -72-

78 外部端口 为本条虚拟服务器规则指定路由器提供给广域网的服务端口或端口范围, 广域网对该端口或端口范围的访问都将被重定位到局域网中指定的服务器 内部端口 指定局域网内虚拟服务器主机的实际服务端口 服务协议 指定应用本条虚拟服务器规则的数据包协议类型 内部服务器 IP 为本条虚拟服务器规则指定局域网服务器的 IP 地址 外网对局域网指定端口的访问都将发送到该主机 启用 / 禁用规则 设置是否应用本条虚拟服务器规则 说明 : 外部端口与内部端口的取值范围均为 之间的任意整数 不同虚拟服务器规则的外部端口取值不能相同, 内部端口取值可相同 服务列表在服务列表中, 可以对已保存的虚拟服务器规则进行相应设置 图 4-32 序号 1 规则的含义 : 这是一条名为 apply1 的虚拟服务器规则, 由广域网向路由器端口 端口发起的 TCP/UDP 数据都将转发到局域网 IP 地址为 主机的 端口上, 本条规则已启用 端口触发由于防火墙的存在, 一些如网络游戏 视频会议 网络电话 P2P 下载等应用程序需要通过设置转发规则才能正常工作, 而这些应用程序又要求多个端口连接, 针对单一端口的虚拟服务器功能已不能满足需求, 此时就需要使用端口触发功能 当一个应用程序向触发端口发起连接时, 对应开放端口中的所有端口就会打开, 以备后续连接 界面进入方法 : 传输控制 >> 转发规则 >> 端口触发 -73-

79 图 4-33 端口触发设置界面 界面项说明 : 端口触发 服务名称 用户自定义, 标识一条端口触发规则 名称长度需在 28 个字符以内, 中 英文均可, 一个中文占用 2 个字符空间 触发端口 应用程序首先发起连接的一个或多个端口 只有该端口发起连接时, 对应开放端口中的所有端口才可以开放, 并为应用程序提供服务, 否则开放端口中的所有端口是不会开放的 触发协议 设定在触发端口上使用的数据包协议类型 开放端口 为应用程序提供服务的一个或多个端口 当触发端口上发起连接后, 开放端口打开, 之后应用程序便可以通过这些开放端口发起后续连接 开放协议 设定在开放端口上使用的数据包协议类型 启用 / 禁用规则 设置是否应用本条端口触发规则 -74-

80 说明 : 触发端口与开放端口的取值范围均为 之间的任意整数 开放端口取值可以指定一个连续的范围, 如 每条规则最多支持 5 组触发端口, 且这些触发端口不能重叠 每条规则最多支持 5 组开放端口, 每条规则的开放端口数总和需小于或等于 100 触发列表在触发列表中, 可以对已保存的端口规则进行相应设置 图 4-33 序号 1 规则的含义 : 这是一条名为 apply1 的端口触发服务规则, 当局域网内发起端口为 5350 和 5354 的 TCP 访问时, 对 TCP 和 UDP 协议开放 端口 ALG 服务 ALG(Application Layer Gateway, 应用层网关 ) 为了保证一些应用程序的正常使用, 请开启 ALG 服务 界面进入方法 : 传输控制 >> 转发规则 >> ALG 服务 界面项说明 : 图 4-34 ALG 服务设置界面 ALG 服务 FTP ALG 选择启用或禁用 FTP ALG 服务, 默认为启用, 如无特殊需求请保持默 认配置不变 H.323 ALG 选择启用或禁用 H.323 ALG 服务, 默认为启用, H.323 多媒体协议多 用于视频会议 IP 电话等场合 -75-

81 SIP ALG 选择启用或禁用 SIP ALG 服务, 默认为启用, 如无特殊需求请保持默 认配置不变 IPsec ALG 选择启用或禁用 IPsec ALG 服务, 默认为启用, 如无特殊需求请保持 默认配置不变 PPTP ALG 选择启用或禁用 PPTP ALG 服务, 默认为启用, 如无特殊需求请保持 默认配置不变 带宽控制 带宽控制功能通过对各种数据流设置相应的限制规则, 实现对数据传输的带宽控制, 从而使有限的带宽资源得到合理分配, 达到有效利用现有带宽的目的 基本设置界面进入方法 : 传输控制 >> 带宽控制 >> 基本设置 图 4-35 带宽控制基本设置界面 -76-

82 界面项说明 : 功能设置 不启用带宽控制 勾选此项时, 所有带宽控制设置均不生效 启用普通带宽控制 勾选此项以启用普通带宽控制功能 启用智能带宽控制 勾选此项以启用智能带宽控制功能 当带宽利用率达到指定的值时, 带宽控制功能生效 各接口带宽 接口 显示路由器当前已启用的 WAN 口, 以及总 WAN 口 总 WAN 口的带宽为已启用接口带宽之和 上行带宽 显示对应 WAN 口数据流出的带宽上限, 如需调整, 请至 WAN 设置页面修改相应 WAN 口参数 下行带宽 显示对应 WAN 口数据流入的带宽上限, 如需调整, 请至 WAN 设置页面修改相应 WAN 口参数 默认规则带宽 数据流向 上行 表示由局域网发送数据到广域网, 如局域网内计算机向广域网上的 FTP 服务器上传文件 ; 下行 表示由广域网发送数据到局域网, 如局域网内计算机从广域网上的 FTP 服务器下载文件 最小保证带宽 设置在物理带宽不足的前提下, 对应数据流向至少能够享有的最小带宽 最大限制带宽 设置对应数据流向的带宽上限 说明 : WAN 口的出入带宽必须小于或者等于 ISP 提供的参数 如果超过实际物理带宽, 则带宽控制功能失效 若有数据由 A 接口流入路由器后由 B 接口流出, 而 A 接口入口带宽与 B 接口出口带宽不同时, 以两者带宽的最小值为有效带宽 通过点击页面上的 < 查看 IP 流量统计 > 按钮, 可跳转至 IP 流量统计页面 -77-

83 带宽控制规则 可以在此设置带宽控制规则的参数 界面进入方法 : 传输控制 >> 带宽控制 >> 带宽控制规则 界面项说明 : 图 4-36 带宽控制规则设置界面 带宽控制规则 数据流向 选择控制规则的数据流向 箭头方向代表数据流向和受控主机所在的域 用户组设置受控数据包发出的源地址范围 由用户管理的组来表示 如需新建组, 请参考 用户管理 生效时间设置带宽规则的生效时间 由时间管理的时间组来表示 如需新建时间组, 请参考 时间组 带宽模式 独立模式即受控地址范围内每一个 IP 地址都将应用当前规则所设置的带宽限制 ; 共享模式即受控地址范围内所有 IP 地址带宽总和为当前规则所设置的带宽限制 上行最小保证带宽 设置上行最小保证带宽, 即在物理带宽不足的前提下, 上行数据流至少能够享有的最小带宽 上行最大限制带宽 设置上行最大限制带宽, 即上行数据流所能享有的最大带宽 -78-

84 下行最小保证带宽 设置下行最小保证带宽, 即在物理带宽不足的前提下, 下行数据流至少能够享有的最小带宽 下行最大限制带宽 设置下行最大限制带宽, 即下行数据流所能享有的最大带宽 备注 添加对本条规则的说明信息 启用 / 禁用规则 选择启用或禁用本条带宽控制规则 规则列表在规则列表中, 可以对已保存的带宽控制规则进行相应设置 图 4-36 序号 1 规则的含义 : 处于 LAN 中的用户组 sales 内的主机共享带宽, 当这些主机向广域网发送数据包时, 保证上行和下行的最小带宽各为 5000Kbps, 最大带宽各为 10000Kbps 该规则在时间组 time1 设置的时间段内生效 说明 : 单条规则生效的前提是 : 这条带宽控制规则所属接口的物理带宽足够大, 且尚未被用尽 异常情况 : 各带宽控制规则的最小保证带宽之和大于总物理带宽 当某接口所有带宽控制规则的最小保证带宽之和大于此接口的物理带宽时, 意味着无论如何都无法同时满足所有带宽控制规则的最小保证带宽 连接数限制 作为局域网的统一出口, 路由器支持的 TCP 和 UDP 连接数是有限的, 如果局域网内有部分主机向广域网发起的 TCP 和 UDP 数目过多, 影响局域网其他计算机的通信质量, 就有必要对这部分计算机进行连接数限制 连接数限制规则可以在此对指定 IP 的计算机连接数限制进行设置 界面进入方法 : 传输控制 >> 连接数限制 >> 连接数限制规则 -79-

85 图 4-37 连接数限制规则设置界面 界面项说明 : 功能设置 启用连接数限制 勾选此项以启用连接数控制 不勾选时, 所有连接数限制均不生效 连接数限制规则 组 设置需要进行连接数限制的主机的 IP 地址段, 由用户管理的组来表示, 限制 规则将对组内每一个用户生效 如需新建组, 请参考 用户管理 最大连接数 为本条规则设置相应的最大连接数 备注 添加对本条规则的说明信息 启用 / 禁用规则 选择启用或禁用本条规则 规则列表在规则列表中, 可以对已保存的连接数限制规则进行相应设置 图 4-37 序号 1 规则的含义 : 名为 局域网 组内的主机向广域网发起的最大连接数被限制为 100 条, 该条规则已启用 连接数监控监控列表显示局域网主机的连接数限制情况 -80-

86 界面进入方法 : 传输控制 >> 连接数限制 >> 连接数监控 图 4-38 连接数监控界面 可通过监控列表搜索 查询已设置连接数限制规则的用户组主机连接数信息 如需获取最新信息, 请点击 < 刷新 > 按钮 流量均衡 合理设置流量均衡, 可以使路由器更安全 有效地收发数据 基本设置 界面进入方法 : 传输控制 >> 流量均衡 >> 基本设置 图 4-39 流量均衡基本设置界面勾选 启用特殊应用程序选路功能, 路由器会将数据包的源 IP 地址与目的 IP 地址, 或者源 IP 地址与目的端口地址作为一个整体, 记录其通过的 WAN 口信息 后续如果有同一源 IP 地址和目的 IP/ 端口地址的数据包通过, 则优先转发至上次记录的 WAN 口 该功能主要用于保证多连接应用程序的正常工作 勾选 启用智能均衡, 并在下方选定 WAN 口, 在没有任何选路规则的情况下, 指定 WAN 口将自动进行流量均衡 设置完成后点击 < 保存 > 按钮生效 说明 : 在实际应用中, 如果某些 WAN 口没有连接到因特网, 那么这些 WAN 口将不会参与智能均衡, 请勿勾选 策略选路在此可以通过指定协议 地址范围 端口 WAN 口 生效时间, 更精确地控制路由选路 界面进入方法 : 传输控制 >> 流量均衡 >> 策略选路 -81-

87 图 4-40 策略选路设置界面 界面项说明 : 选路规则设置 协议类型 在下拉列表中选择本条规则所针对的协议类型, 不属于指定范围内的协议将不会应用选路规则 如果列表中没有您想指定的协议类型, 可以参见 协议类型进行添加, 可通过下拉列表旁边的 < 协议类型 > 按钮快速进入设置界面 源地址范围输入需要应用选路规则的源地址范围 输入 时表示匹配所有 IP 目的地址范围输入需要应用选路规则的目的地址范围 输入 时表示匹配所有 IP 源端口范围输入需要应用选路规则的源端口范围 只有当协议类型为 TCP UDP TCP/UDP 时可以指定范围, 默认为 , 表示匹配所有端口 目的端口范围输入需要应用选路规则的目的端口范围 只有当协议类型为 TCP UDP TCP/UDP 时可以指定范围, 默认为 , 表示匹配所有端口 WAN 接口勾选指定数据流通过的 WAN 口 生效时间设置选路规则的生效时间 由时间管理的时间组来表示 如需新建时间组, 请参考 时间组 -82-

88 备注 添加对本条规则的说明信息 启用 / 禁用规则 选择启用或禁用本条策略选路规则 规则列表在规则列表中, 可以对已保存的选路规则进行相应设置 图 4-40 序号 1 规则的含义 : 路由器收到源地址在 范围内, 且发往目的地址 的数据包, 不论端口与协议, 全部从 WAN1 接口进行转发, 该规则已启用, 在时间组 time1 设置的时间段内生效 ISP 选路通过 ISP 选路功能, 可以将数据包转发至对应的 ISP 线路上, 从而减少数据包在网络中被转发的次数, 提高网络性能 界面进入方法 : 传输控制 >> 流量均衡 >> ISP 选路 界面项说明 : 图 4-41 ISP 选路设置界面 选路功能设置 -83-

89 勾选 启用 ISP 地址段选路功能, 点击 < 保存 > 按钮, 下方的选路设置才能生效 导入 ISP 数据库 ISP 数据库即各 ISP 所拥有的 IP 地址段的数据库, 通过匹配数据包目的 IP 地址与 ISP 数据库, 路由器会将数据包从相应 ISP 所对应的 WAN 口转发 请在我司官方网站下载最新 ISP 数据库, 单击 < 浏览 > 按钮, 选择保存路径下的文件, 点击 < 导入 > 即可 ISP 选路设置 可选 ISP 列表 系统定义的 ISP 列表 选中合适的 ISP, 点击 < >> > 按钮将其移至 已 选 ISP 列表 中, 一个 WAN 口可以选择多个 ISP 如果某 WAN 口对应的 ISP 不在可选列表中, 则不需要设置该 WAN 口的 ISP 选路 已选 ISP 列表显示已经选择的 ISP 如果需要删除某个已选 ISP, 请选中后点击 < << > 按钮将其移回 可选 ISP 列表 选路列表在选路列表中, 可以对已保存的 ISP 选路进行相应设置 图 4-41 序号 1 规则的含义 :WAN1 接口对应电信 ISP, 所有通过电信线路进入广域网的数据包将从 WAN1 口转发 说明 : 智能均衡 策略选路 ISP 选路三个功能可以同时工作, 但当三个功能设置有冲突时, 路由器执行的优先顺序为 : 策略选路 > ISP 选路 > 智能均衡 线路备份路由器默认所有 WAN 口都处于自动备份模式, 当有 WAN 口发生故障时, 其流量会均衡到其他 WAN 口上, 当故障 WAN 口恢复后系统会再次均衡所有 WAN 口的流量 根据实际需要合理设置线路备份, 可以减轻 WAN 口流量负担, 提高网络效率 界面进入方法 : 传输控制 >> 流量均衡 >> 线路备份 -84-

90 图 4-42 备份配置界面 界面项说明 : 备份配置 WAN 口列表显示当前路由器所有正在工作的 WAN 口, 可以拖动浅蓝色的 WAN 口图标, 将其添加至下方的主 WAN 组或备 WAN 组中, 若 WAN 口图标变为灰色, 则表 示该 WAN 口已经存在主备关系 主备组设置 备 WAN 组中的 WAN 口将在指定条件下分担主 WAN 组中 WAN 口的流量 主 WAN 组可以包含一个或多个 WAN 口, 备 WAN 组只能指定一个 WAN 口 备份模式 可以选择定时备份或故障备份 选择定时备份时, 下方可进行备份生效时间设 置 ; 选择故障备份时, 下方可进行故障备份设置 备份生效时间 设置备份生效时间 由时间管理的时间组来表示 如需新建时间组, 请参考 时间组 在生效时间内启动备份 WAN 口, 关闭主 WAN 口 故障备份 指定故障备份条件 在主 WAN 口正常工作时备份 WAN 口不工作, 只有当符 合故障备份条件时才会启动备份 WAN 口 -85-

91 启用 / 禁用规则 选择启用或禁用本条主备配置规则 主备组列表在主备组列表中, 可以对已保存的主备规则进行相应设置 图 4-42 序号 1 规则的含义 :WAN1 口与 WAN2 口为主备关系, 当 WAN1 口发生故障时启用 WAN2 口, 该规则已启用 说明 : 主 WAN 组和备 WAN 组中不能放置相同的 WAN 口, 且一个 WAN 口只能置入一个主备组中 协议类型为了能够在定制选路策略时比较方便地指定应用选路规则的协议, 设备提供了协议类型管理功能 每一个协议类型由协议名称和协议号两部分构成 系统已经预定义了 TCP UDP TCP/UDP 三种常用协议类型, 也可以根据需要添加自定义协议类型 界面进入方法 : 传输控制 >> 流量均衡 >> 协议类型 界面项说明 : 图 4-43 协议类型设置界面 协议类型 协议名称 用户自定义, 标识一条协议类型 该名称将显示在 访问规则 设置的服务类型下拉列表中 -86-

92 协议号 IP 数据包中协议字段的内容, 取值范围为 协议列表 在协议列表中, 可以对自定义的协议类型条目进行相应设置 说明 : 系统预定义的协议类型不可进行配置操作 路由设置 静态路由 路由, 是选择一条最佳路径把数据从源地点传送到目的地点的行为 静态路由则是由网络管理员手动配置的一种特殊路由, 具有简单 高效 可靠等优点 静态路由不随着网络拓扑的改变而自动变化, 多用于网络规模较小, 拓扑结构固定的网络中 当网络的拓扑结构或链路的状态发生变化时, 网络管理员需要手动修改路由表中相关的静态路由信息 界面进入方法 : 传输控制 >> 路由设置 >> 静态路由 界面项说明 : 图 4-44 静态路由设置界面 静态路由规则 目的地址 设定数据包需要到达的目的 IP 地址 -87-

93 子网掩码 设定目的 IP 地址的子网掩码 下一跳 指定一个 IP 地址, 路由器下一步会将符合条件的数据包转发到该地址上 出接口 设定数据包发送出去的接口 Metric 设定路由规则的优先级, 数值越低则优先级越高 如无特殊需要请保持默认值 0 备注 添加对本条规则的说明信息 规则列表在规则列表中, 可以对已保存的静态路由规则进行相应设置 图 4-44 序号 1 规则的含义 : 如果有数据包发往一个 IP 地址为 , 子网掩码为 的设备, 则路由器会将数据包从 LAN 口转发至下一跳地址 , 该路由规则已启用, 优先级为 0 应用举例 某拓扑结构如下图所示 : 路由器的 LAN 口连接 LAN1( /24) 网段, 另一路由器 R1 的 LAN 口连接 LAN2 ( /24) 网段, 两个路由器的 WAN 口互连,WAN 口 IP 地址处于同一网段 现在路由器下 LAN1 网段中的一台主机需要访问 LAN2 网段的主机 可以通过在路由器上设置一条静态路由来实现 在路由器静态路由界面设置到 LAN2 网段的下一跳地址为路由器 R1 的 WAN 口地址 , 如下图 最后点击 < 新增 > 按钮保存规则 -88-

94 4.7 防火墙 ARP 防护 一台主机向局域网内另一台主机发送 IP 数据包, 此时设备需要通过 MAC 地址确定目的接口才能进行通信, 而 IP 数据包中不包含有 MAC 地址信息, 因此需要将 IP 地址解析为 MAC 地址 ARP(Address Resolution Protocol, 地址解析协议 ) 正是用来实现这一目的的网络协议 网络中的所有设备, 包括路由器和计算机在内, 都各自维护一份 ARP 列表, 该列表建立了主机 IP 地址和 MAC 地址一一对应关系 按照 ARP 协议的设计, 设备通过数据包的交互学习到其他设备的 IP 地址和 MAC 地址信息, 并将这些信息添加至自身的 ARP 表中 每次通信时会先通过该表查找对应地址, 减少网络上过多的 ARP 通信量 但设备同时也会接收不是自己主动请求的 ARP 应答, 这就为 ARP 欺骗 创造了条件 ARP 欺骗是局域网的攻击主机发送 ARP 欺骗包, 将伪造的 IP 与 MAC 对应关系替换设备 ARP 列表中的记录, 从而导致局域网内计算机不能正常上网 这类 ARP 攻击严重影响了局域网内部通信, 由此便产生了 ARP 防护技术 IP MAC 绑定 IP MAC 绑定是一种防护技术, 能够防止 ARP 列表被伪造的 IP MAC 对应信息替换 界面进入方法 : 防火墙 >> ARP 防护 >> IP MAC 绑定 -89-

95 图 4-45 IP MAC 绑定设置界面 界面项说明 : 功能设置推荐勾选所有项目, 以便最大程度地防范 ARP 攻击 在勾选 仅允许 IP MAC 绑定的数据包通过路由器 选项前, 请先将管理主机的 IP MAC 信息导入绑定列表中, 并设置生效 当路由器受到 ARP 攻击时, 路由器会将自身正确的 ARP 列表信息以 GARP(Gratuitous ARP, 免费 ARP) 包的方式主动发送给被攻击的设备, 从而替换该设备错误的 ARP 列表信息 可在发包间隔处指定发包速率 勾选 启用 ARP 日志记录 后路由器会将 ARP 日志发送到指定的日志服务器中 日志服务器地址即 系统日志中设置的服务器地址 IP MAC 绑定 IP 地址 手动输入需要进行绑定的 IP 地址 MAC 地址 手动输入与 IP 地址正确对应的 MAC 地址 -90-

96 备注 添加对本条目的说明信息 启用 / 禁用规则 选择启用或禁用本条绑定规则 绑定列表在绑定列表中, 可以对已保存的 ARP 绑定条目进行相应设置 图 4-45 序号 1 条目的含义 : 目前路由器已将 IP 地址 与 MAC 地址 CF 进行绑定, 该绑定规则已启用 说明 : 若当前绑定列表中所有条目都未启用, 在勾选 仅允许 IP MAC 绑定数据包通过路由器 的功能设置选项并保存后, 将无法登录路由器 Web 管理界面, 此时必须将路由器恢复出厂配置才能再次登录 ARP 扫描 ARP 扫描界面可以将指定范围内的 IP 与其对应 MAC 地址全部扫描出来, 在扫描列表中显示 界面进入方法 : 防火墙 >> ARP 防护 >> ARP 扫描 图 4-46 ARP 扫描界面在扫描范围填入起始 IP 与结束 IP 后, 点击 < 开始扫描 > 按钮, 路由器将扫描该范围内所有正在工作的主机, 并将它们对应的 IP MAC 地址信息显示在扫描列表中 扫描结果中显示的 IP MAC 地址对应信息条目并不代表已经被绑定, 在 状态 一列中会标识当前状态 : 符号 --- 表示当前条目未被绑定, 可能会被错误的 ARP 信息更替掉 ; 图片表示当前条目已导入 IP MAC 绑定 界面的绑定列表中, 但还未绑定生效 ; 图片 表示当前条目已进行绑定, 可以防御 ARP 攻击 -91-

97 若现在需要绑定扫描列表中未绑定的条目, 可以在 选择 一列勾选这些条目, 然后点击 < 导入 > 按 钮, 在与已绑定条目不冲突的情况下, 导入后绑定立即生效 说明 : 若局域网内已经存在 ARP 攻击导致部分主机通信异常, 则不可通过扫描方式添加绑定, 请在 IP MAC 绑定 界面进行手动绑定 ARP 列表路由器会将近期与其通信过的主机 IP MAC 对应信息保存在 ARP 列表中 界面进入方法 : 防火墙 >> ARP 防护 >> ARP 列表 图 4-47 ARP 列表界面 ARP 列表条目的操作可参考 ARP 扫描的扫描列表 列表中未绑定的条目并不是一直存在, 除了会被新的 IP MAC 对应信息更替之外, 还会由于长时间未通信而自动从列表中删除, 这个时间段就是 ARP 信息的老化时间 攻击防护 攻击防护可防止广域网对路由器或局域网内计算机进行端口扫描和恶意攻击, 以此来保证它们的安 全运行 界面进入方法 : 防火墙 >> 攻击防护 >> 攻击防护 -92-

98 图 4-48 攻击防护设置界面 界面项说明 : 功能设置 启用防护攻击日志 勾选此项后路由器会记录相关的防护日志 防 Flood 类攻击 Flood 类攻击是 DoS 攻击的一种常见形式 DoS(Denial of Service, 拒绝服务 ) 是一种利用发送大量的请求服务占用过多的资源, 让目的路由器和服务器忙于应答请求或等待不存在的连接回复, 而使正常的用户请求无法得到响应的攻击方式 常使用的 Flood 洪水攻击包括 TCP SYN,UDP,ICMP 等 推荐勾选界面上所有防 Flood 类攻击选项并设定相应阈值, 如不确定, 请保持默认设置不变 -93-

99 防可疑包类 可疑包即非正常数据包, 有可能是病毒或攻击者的扫描试探 推荐勾选界面上所有防可疑包选项 MAC 过滤 在此可以通过指定 MAC 地址对部分局域网主机进行过滤 界面进入方法 : 防火墙 >> MAC 过滤 >> MAC 过滤 界面项说明 : 图 4-49 MAC 过滤设置界面 功能设置 若需要严格控制局域网内某些计算机访问广域网, 推荐勾选 启用 MAC 地址过滤功能, 并根据 实际情况选择一种过滤规则 MAC 地址过滤规则 MAC 地址 输入需要控制的局域网主机 MAC 地址 备注 添加对本条规则的说明信息 规则列表 在规则列表中, 可以对已保存的 MAC 地址条目进行相应设置 -94-

100 4.7.4 访问策略 访问规则 界面进入方法 : 防火墙 >> 访问策略 >> 访问规则 界面项说明 : 图 4-50 访问规则设置界面 访问规则 策略类型 在下拉列表中选择适用于本条规则的策略类型, 可选择阻塞或者允许 若选择阻塞, 则符合该条规则的所有数据包将无法通过路由器 ; 若选择允许, 则符合该条规则的数据包能通过路由器 服务类型 在下拉列表中选择本条规则所针对的服务类型, 不属于指定范围内的服务将不会应用过滤规则 例如在策略为阻塞的前提下, 只选定了 FTP 一种服务类型时, 其他服务类型的数据包仍旧可以通过路由器 如果列表中没有合适的服务类型, 可以参见 服务类型进行添加, 可通过下拉列表旁边的 < 服务类型 > 按钮快速进入设置界面 -95-

101 生效接口域在下拉列表中选择本条规则所针对的接口域, 可选择 WAN 或者 LAN 选择 WAN(LAN) 时表示所有 WAN(LAN) 接口 当接收报文的接口 为指定接口域时, 该规则生效 源地址范围 选择指定地址范围的方式, 若选择 IP/MASK 方式, 则应输入需要管理的地址, 以子网掩码值划分地址范围 ; 若选择 IP 地址段 方式, 则应输入需要管理的 IP 地址范围 ; 若选择 ANY 方式, 则表示该范围包括所有 IP 地址 ; 若选择 组 方式, 则应在下拉菜单中选择相应的组来指定地址范围, 如需新建组, 请参考 用户管理 目的地址范围 选择指定地址范围的方式, 若选择 IP/MASK 方式, 则应输入需要限制访问的地址, 以子网掩码值划分地址范围 ; 若选择 IP 地址段 方式, 则应输入需要限制访问的 IP 地址范围 ; 若选择 ANY 方式, 则表示该范围包括所有 IP 地址 生效时间设置规则的生效时间 由时间管理的时间组来表示 如需新建时间组, 请参考 时间组 备注 添加对本条规则的说明信息 指定位置 勾选该项后, 可以将当前设置的条目添加到访问规则列表中指定序号的位置 默认情况下, 规则新增生效后会显示在访问规则列表的最后 规则列表在规则列表中, 可以对已保存的访问规则进行相应设置 在规则列表中, 序号数字越小的规则, 执行的优先级越高 图 4-50 序号 1 规则的含义 : /24 网段的主机在时间组 time1 设置的时间段内向广域网 /24 网段发送的 TELNET 服务数据包将无法通过路由器 说明 局域网内没有设置规则的 IP 段, 默认的策略类型是允许 子网掩码值的相关设置请参考附录 A 常见问题中的问题 服务类型为了能够在定制防火墙策略时比较方便地指定需要过滤的协议和端口号, 设备提供了服务类型管理功能 每一个服务类型由协议类型和端口范围两部分构成 系统已经预定义了如 HTTP FTP TELNET 等常用服务类型, 也可以根据需要添加自定义服务类型 -96-

102 界面进入方法 : 防火墙 >> 访问策略 >> 服务类型 界面项说明 : 图 4-51 服务类型设置界面 服务类型 服务名称 用户自定义, 标识一条服务类型 名称长度需在 28 个字符以内, 中英 文均可, 一个中文占用 2 个字符空间 该名称将显示在 访问规则 设 置的服务类型下拉列表中 协议类型设置协议类型, 可供用户定义的协议类型有 TCP UDP TCP/UDP 目的端口范围 设定该服务所使用的端口号范围 起始端口号不能大于结束端口号 服务列表 在服务列表中, 可以对自定义的服务类型条目进行相应设置 说明 : 系统预定义的服务类型不可进行配置操作 -97-

103 应用举例需求 : 某企业为使网络顺畅运行, 希望实现在上网高峰期 ( 每天上午 10 点到晚上 22 点 ) 禁止 /24 网段内某下载工具 ( 端口 ) 的使用, 而在其它时间不限制该下载工具的使用 此需求可以通过设置访问规则来实现 首先, 需要新增一个时间组, 名称为高峰期, 设置时间 10: 00 22:00, 设置完成后点击 < 新增 > 按钮保存生效 然后, 需要新增一个服务类型, 设置 为服务端口, 设置完成后点击 < 新增 > 按钮保存生效 选择刚设置的 高峰期 时间组和 禁止下载 服务类型, 新增一条禁止 /24 网段通过 端口访问广域网的访问规则 最后点击 < 新增 > 按钮保存生效, 完成设置 -98-

104 4.8 行为管控 应用限制 应用限制 可以在此启用并设置应用限制功能 本路由器可限制的应用包括即时通信 P2P 软件 金融软件 游戏软件 视频软件 音乐软件 网页游戏 基础应用和代理 同时, 可以对这些功能的使用情况做日志记录 界面进入方法 : 行为管控 >> 应用限制 >> 应用限制 界面项说明 : 图 4-52 应用限制设置界面 功能设置 勾选 启用应用限制功能 后, 应用限制的相关设置才会生效, 应用限制生效后局域网指定用户对指定软件的网络应用将受到限制 应用限制设置 用户组 可以选择 ANY, 使规则对任意用户生效 ; 也可以选择用户组, 使规则仅对该组生效 如需新建组, 请参考 用户管理 -99-

105 禁用 可以点击 < 应用列表 > 在弹出的选择框中对应用进行设置 可以设置的应用包括即时通信 P2P 软件 金融软件 游戏软件 视频软件 音乐软件 网页游戏 基础应用和代理 默认为对除了基础应用和代理的所有应用进行限制 记录 可以点击 < 应用列表 > 在弹出的选择框中勾选进行日志记录的应用 可以设置的应用包括即时通信 P2P 软件 金融软件 游戏软件 视频软件 音乐软件 网页游戏 基础应用和代理 默认为对除了基础应用和代理的所有应用进行记录 生效时间 设置规则的生效时间 由时间管理的时间组来表示 如需新建时间组, 请 参考 时间组 备注 添加对本条规则的说明信息 启用 / 禁用规则 选择启用或禁用本条规则 规则列表在规则列表中, 可以对已保存的应用限制进行相应设置 图 4-52 序号 1 规则的含义 : 对用户组 group1 内的主机进行了应用限制, 点击禁用列表下的 查看 可在弹出的选择框中看到受限制的应用, 点击记录列表下的 查看 可在弹出的选择框中看到进行日志记录的应用 在时间组 time1 设置的时间段内应用限制生效 该规则已启用 QQ 黑白名单可以在此对特殊 QQ 号码进行相关设置, 实现不同用户 不同时间登录 QQ 的需求 同时, 可以将用户使用 QQ 的情况, 记录到系统日志 界面进入方法 : 行为管控 >> 应用限制 >> QQ 黑白名单 -100-

106 图 4-53 QQ 黑白名单界面 界面项说明 : 全局设置 勾选 启用 QQ 黑白名单功能 后,QQ 黑白名单的相关设置才会生效 规则设置 用户组 可以选择 ANY, 使规则对任意用户生效 ; 也可以选择用户组, 使规则仅 对该组生效 如需新建组, 请参考 用户管理 规则类型 可以选择白名单, 使规则中的号码不被限制 ; 也可以选择黑名单, 使规则 中的号码被限制 QQ 号码 在此输入 QQ 号码, 可以同时输入多个 QQ 号码进行批量添加, 通过使用 空格 逗号或者回车换行来表示不同的 QQ 号码 -101-

107 当使用上述 QQ 时 可以勾选 记录到系统日志, 系统将记录上述号码的使用情况 ; 如果不勾选, 系统将不对上述号码作记录 生效时间 设置规则的生效时间 由时间管理的时间组来表示 如需新建时间组, 请参考 时间组 备注 添加对本条规则的说明信息 启用 / 禁用规则 选择启用或禁用本条规则 指定位置 勾选该项后, 可以将当前设置的条目添加到规则列表中指定序号的位置 默认情况下, 新增规则会显示在规则列表的最后 规则列表在规则列表中, 可以对已保存的规则进行相应设置 序号数字越小的规则, 执行的优先级越高 图 4-53 序号 1 规则的含义 : 该规则已经启用, 在用户组 group1 内的主机在时间组 time1 设置的时间段内, 被设置的 QQ 号码不可以登录 说明 : 在没有配置应用限制规则和 QQ 黑名单的情况下, 路由器默认所有用户所有 QQ 在任意时间都是可登录的 应用举例应用需求 : 某企业有多名员工, 该企业需要设置 IP 地址为 的员工可以在星期一到星期五的 08:00 到 18:00 登录 QQ, 禁止其余所有员工任何时间登录 QQ 实现方法 : 有两种配置方法可以实现此需求 方法一 : 配置一条 QQ 黑名单规则禁止所有员工任何时间登录 QQ, 再配置一条 QQ 白名单规则允许 IP 地址为 的员工可以在星期一到星期五的 08:00 到 18:00 登录 QQ QQ 白名单规则序号要在 QQ 黑名单规则之前 方法二 : 配置一条应用限制规则禁止所有员工任何时间登录 QQ, 再配置一条 QQ 白名单规则允许 IP 地址为 的员工可以在星期一到星期五的 08:00 到 18:00 登录 QQ -102-

108 配置步骤 : 在配置应用限制规则或者 QQ 黑白名单规则之前, 需要先设置所需用户组与时间组, 设置如下 : 1. 设置用户组, 组内成员 IP 地址为 界面进入方法 : 对象管理 >> 用户管理进入标签页组设置, 设置用户组名称 : 组名称 可使用 QQ 组 进入标签页用户设置, 设置用户 IP 地址, 此处可进行批量添加, 批量添加内容如下 : 操作 增加 起始 IP 地址 结束 IP 地址 用户名前缀 可使用 QQ 用户 起始序号 1 步长 1 进入标签页视图, 将可使用 QQ 用户 1-6 移到可使用 QQ 组中 视图选择 组视图 组名 可使用 QQ 组 包含用户 可使用 QQ 用户 1 可使用 QQ 用户 2 可使用 QQ 用户 3 可使用 QQ 用 户 4 可使用 QQ 用户 5 可使用 QQ 用户 6 2. 设置时间组, 时间选择为星期一到星期五的 08:00 到 18:00 界面进入方法 : 对象管理 >> 时间管理 >> 时间组 时间组设置内容如下 : 名称 上班时间 星期 一 二 三 四 五 -103-

109 日时间段 08:00-18:00 设置完成后的时间组如下 : 方法一设置如下 : 界面进入方法 : 行为管控 >> 应用限制 >> QQ 黑白名单全局设置如下 : 勾选 启用 QQ 黑白名单功能, 点击 < 保存 > 按钮使设置生效 QQ 黑名单规则设置内容如下 : 用户组 ANY 规则类型 黑名单 : 禁止下列 QQ 号码登录 QQ 号码 禁止登录的员工的 QQ 号码 当使用上述 QQ 时勾选 记录到系统日志 生效时间 ANY 启用 / 禁用规则 启用 QQ 白名单规则设置内容如下 : 用户组 可使用 QQ 组 规则类型 白名单 : 允许下列 QQ 号码登录 QQ 号码 允许登录的员工的 QQ 号码 当使用上述 QQ 时勾选 记录到系统日志 生效时间 上班时间 -104-

110 启用 / 禁用规则 启用 指定位置勾选, 输入 1 设置完成后的规则如下 : 方法二设置如下 : 1. 设置应用限制, 限制任何用户在任意时间登录 QQ 界面进入方法 : 行为管控 >> 应用限制 >> 应用限制功能设置如下 : 勾选 启用应用限制功能, 点击 < 保存 > 按钮使设置生效 应用限制设置内容如下 : 用户组 ANY 禁用应用列表 腾讯 QQ 记录应用列表 腾讯 QQ 生效时间 ANY 启用 / 禁用规则 启用 设置完成后的规则如下 : 2. 设置 QQ 白名单, 允许可使用 QQ 组在上班时间登录 QQ 界面进入方法 : 行为管控 >> 应用限制 >> QQ 黑白名单全局设置如下 : 勾选 启用 QQ 黑白名单功能, 点击 < 保存 > 按钮使设置生效 -105-

111 QQ 白名单规则设置内容如下 : 用户组 可使用 QQ 组 规则类型 白名单 : 允许下列 QQ 号码登录 QQ 号码 允许登录的员工的 QQ 号码 当使用上述 QQ 时勾选 记录到系统日志 生效时间 上班时间 启用 / 禁用规则 启用 设置完成后的规则如下 : MSN 黑白名单可以在此对特殊 MSN 账号进行相关设置, 实现不同用户 不同时间登录 MSN 账号的需求 同时, 可以将用户使用 MSN 账号的情况, 记录到系统日志 界面进入方法 : 行为管控 >> 应用限制 >> MSN 黑白名单 -106-

112 图 4-54 MSN 黑白名单界面 界面项说明 : 全局设置 勾选 启用 MSN 黑白名单功能 后,MSN 黑白名单的相关设置才会生效 规则设置 用户组 可以选择 ANY, 使规则对任意用户生效 ; 也可以选择用户组, 使规则仅 对该组生效 如需新建组, 请参考 用户管理 规则类型 可以选择白名单, 使规则中的账号不被限制 ; 也可以选择黑名单, 使规则 中的账号被限制 MSN 账号 在此输入 MSN 账号, 可以同时输入多个 MSN 账号进行批量添加, 通过使 用空格 逗号或者回车换行来表示不同的 MSN 账号 -107-

113 当使用上述 MSN 时 可以勾选 记录到系统日志, 系统将记录上述账号的使用情况 ; 如果不勾选, 系统将不对上述账号作记录 生效时间 设置规则的生效时间 由时间管理的时间组来表示 如需新建时间组, 请参考 时间组 备注 添加对本条规则的说明信息 启用 / 禁用规则 选择启用或禁用本条规则 指定位置 勾选该项后, 可以将当前设置的条目添加到规则列表中指定序号的位置 默认情况下, 新增规则会显示在规则列表的最后 规则列表在规则列表中, 可以对已保存的规则进行相应设置 序号数字越小的规则, 执行的优先级越高 图 4-54 序号 1 规则的含义 : 该规则已经启用, 在用户组 group1 内的主机在时间组 time1 设置的时间段内, 被设置的 MSN 账号不可以登录 说明 : 在没有配置应用限制规则和 MSN 黑名单的情况下, 路由器默认所有用户所有 MSN 账号在任意时间都是可登录的 该功能应用与 QQ 黑白名单应用类似, 可参考 QQ 黑白名单介绍后的应用举例 网址过滤 网站分组 可以在此对网站进行分组, 以便设置网站过滤规则 界面进入方法 : 行为管控 >> 网址过滤 >> 网站分组 -108-

114 图 4-55 网站分组设置界面 界面项说明 : 网站分组设置 组名称 输入一个名称来标识一个网站组, 可以输入 1-28 个字符 组成员 在此输入网站分组成员 组成员可以为域名, 如 也可以在域名前面加通配符 *, 如 *.tp-link.com.cn, 但 * 只允许输入在域名最前面, 而不能夹杂在域名中间或后面 可以同时输入多个网站进行批量添加, 通过使用空格 逗号或者回车换行来表示不同的网站 每组最多可以输入 200 个网站 -109-

115 文件路径 可以通过上传 txt 文件添加组成员,txt 文件内容需按照组成员添加的格式 进行编辑, 上传完成后, 文件内容将显示在组成员文本框中 网站分组列表 在网站分组列表中, 可以对已保存的网站分组进行相应设置 路由器预定义了部分网站分组, 可以在此查看 编辑 说明 : 若网站分组被网站过滤规则引用, 则该网站分组只能修改不能删除 网站过滤可以在此对不同的用户组设置网站过滤规则, 限制不同用户 不同时间登录的网站, 同时, 可以将用户登录网站的情况, 记录到系统日志 还可以设置当用户登录禁止的网站时, 弹出警告或者重定向至所设网站 界面进入方法 : 行为管控 >> 网址过滤 >> 网站过滤 图 4-56 网站过滤设置界面 -110-

116 界面项说明 : 功能设置 勾选 启用网站过滤功能 后, 网站过滤的相关设置才会生效 网站过滤设置 用户组 可以选择 ANY, 使规则对任意用户生效 ; 也可以选择用户组, 使规则仅 对该组生效 如需新建组, 请参考 用户管理 规则类型 选择允许或禁止访问下列网站分组 选择网站 可以选择 所有网站, 使规则对任意网站生效 ; 也可以选择并且点击 < 网 站分组列表 >, 在弹出的选择框中对已有的网站分组进行勾选 如需新建网 站分组, 请参考 网站分组 访问上述网站时 勾选 记录到系统日志, 规则条目生效时, 符合规则的网站访问操作会被记录到系统日志 ; 勾选 弹出警告, 规则条目生效时, 符合规则的网站访问操作发生时会弹出警告窗 ; 勾选 重定向至 并输入网站, 规则条目生效时, 符合规则的网站访问操作发生时会重定向到相应的网站 生效时间 设置规则的生效时间 由时间管理的时间组来表示 如需新建时间组, 请参考 时间组 备注 添加对本条规则的说明信息 启用 / 禁用规则 选择启用或禁用本条规则 指定位置 勾选该项后, 可以将当前设置的条目添加到规则列表中指定序号的位置 默认情况下, 新增规则会显示在规则列表的最后 规则列表在规则列表中, 可以对已保存的规则进行相应设置 序号数字越小的规则, 执行的优先级越高 图 4-56 序号 1 规则的含义 : 对用户组 group1 内的主机进行了网站过滤, 过滤规则是禁止访问网站分组, 点击 查看 可在弹出的选择框中看到被禁止访问的网站分组 在时间组 time1 设置的时间段内网站过滤生效 该规则已启用 -111-

117 说明 : 网站过滤 URL 过滤及网页安全三个功能可以同时工作, 但当三个功能设置有冲突时, 路由器执行的优先顺序为 :URL 过滤 > 网页安全 > 网站过滤 当访问请求可以匹配优先级高的规则, 并被 允许 通过时, 将跳过后续的网址匹配功能检查 URL 过滤 URL(Uniform Resource Locator, 统一资源定位符 ), 即广域网中标识资源位置的网络地址 URL 过滤能够实现对广域网网址的过滤, 方便对局域网访问广域网的通信进行管理 界面进入方法 : 行为管控 >> 网址过滤 >> URL 过滤 界面项说明 : 图 4-57 URL 过滤设置界面 功能设置 勾选 启用 URL 地址过滤功能,URL 过滤的相关设置才会生效 -112-

118 URL 地址过滤规则 用户组 可以选择 ANY, 使规则对任意用户生效 ; 也可以选择用户组, 使规 则仅对该组生效 如需新建组, 请参考 用户管理 规则类型 选择允许或禁止访问下列的 URL 地址 允许访问下列的 URL 地址 : 表示路由器将允许在 URL 过滤表中的 URL 地址数据包通过, 而不受其他应用管理的限制 禁止访问下列的 URL 地址 : 表示路由器将禁止在 URL 过滤表中的 URL 地址数据包通过 过滤方式 选择一种过滤方式 关键字 过滤即所有包含指定字符的 URL 地址全都进行过滤 ; 完整 URL 过滤则仅当 URL 地址完全匹配输入的完整 URL 地址时才能进行过滤 可以同时输入多个关键字或完整 URL 进行批量添加, 通过使用空格 逗号或者回车换行来表示不同的关键字或完整 URL 最多可以添加 10 个关键字或完整 URL, 每一个关键字或完整 URL 的可输入长度为 1-28 个字符 关键字 当过滤方式为 关键字 的时候, 可在此输入指定的关键字字符 URL 地址 当过滤方式为 完整 URL 的时候, 可在此输入完整的广域网 URL 地址 访问上述 URL 时 勾选 记录到系统日志, 规则条目生效时, 符合规则的 URL 访问操作会被记录到系统日志 ; 勾选 弹出警告, 规则条目生效时, 符合规则的网站访问操作发生时会弹出警告窗 ; 勾选 重定向至 并输入网站, 规则条目生效时, 符合规则的 URL 访问操作发生时会重定向到相应的网站 生效时间设置规则的生效时间 由时间管理的时间组来表示 如需新建时间组, 请参考 时间组 备注 添加对本条规则的说明信息 启用 / 禁用规则 选择启用或禁用本条规则 -113-

119 指定位置 勾选该项后, 可以将当前设置的条目添加到规则列表中指定序号的位置 默认情况下, 新增规则会显示在规则列表的最后 规则列表 在规则列表中, 可以对已保存的规则进行相应设置 序号数字越小的规则, 执行的优先级越高 应用举例某企业希望任何时间都禁止局域网内的主机访问网站 : 以及 sina 可以通过设置 URL 过滤实现此需求 需要设置完整 URL 过滤 以及关键字过滤 sina, 如下图所示, 设置完成后点击 < 新增 > 按钮保存生效 网页安全 可以在此对不同的用户组设置网页安全规则, 限制不同用户 不同时间可进行的网页操作 可以直接禁止所有的 HTTP POST 提交, 使得所有页面上的请求按钮失效, 点击页面链接, 不会有页面返回 也可以针对网页请求中的文件类型, 例如 :exe java htm 等, 限制用户网页操作 -114-

120 界面进入方法 : 行为管控 >> 网页安全 >> 网页安全 界面项说明 : 图 4-58 网页安全设置界面 全局设置 勾选 启用网页安全功能 后, 网页安全的相关设置才会生效 规则设置 用户组 可以选择 ANY, 使规则对任意用户生效 ; 也可以选择用户组, 使规则仅 对该组生效 如需新建组, 请参考 用户管理 禁止网页提交 勾选 启用, 可以禁止所有的 HTTP POST 提交 过滤文件扩展类型 可以在过滤文件扩展类型编辑框内输入多个扩展名, 并以空格 逗号或者回车换行来分隔 生效时间 设置规则的生效时间 由时间管理的时间组来表示 如需新建时间组, 请参考 时间组 备注 添加对本条规则的说明信息 启用 / 禁用规则 选择启用或禁用本条规则 -115-

121 规则列表在规则列表中, 可以对已保存的规则进行相应设置 图 4-58 序号 1 规则的含义 : 对用户组 group1 内的主机设置了网页安全, 组内所有主机在 time1 设置的时间段内, 都不能访问扩展类型为 exe 的网页 行为审计 可以在此查看行为审计参数配置 界面进入方法 : 行为管控 >> 行为审计 >> 行为审计 图 4-59 行为审计界面若需要在某台主机上查看用户上网行为信息, 请首先在这台主机上安装 TP-LINK 上网行为审计软件, 然后在图 4-59 行为审计界面输入该服务器 IP 地址, 点击 < 开始上传 > 按钮之后, 路由器会立即将用户上网行为信息实时上传至该服务器, 并通过 TP-LINK 上网行为审计软件输出审计结果 本产品随机附带的光盘内有 TP-LINK 上网行为审计软件, 可以通过光盘直接安装该软件 如不慎遗失或光盘内没有此软件, 请联系 TP-LINK 售后服务人员 策略库升级 可以在此进行应用特征数据库的升级 界面进入方法 : 行为管控 >> 策略库升级 >> 策略库升级 图 4-60 策略库升级界面 应用特征数据库即 应用限制 界面限制列表中的所有应用, 请在我司官方网站下载最新数据库, 单击 < 浏览 > 按钮, 选择保存路径下的文件, 点击 < 升级 > 进行数据库升级 -116-

122 4.9 VPN VPN(Virtual Private Network, 虚拟专用网 ) 是一个建立在公用网 ( 通常是因特网 ) 上的专用网络, 但因为这个专用网络只是逻辑存在并没有实际物理线路, 故称为虚拟专用网 随着因特网的发展壮大, 越来越多的数据需要在因特网上进行传输共享, 不过当企业将自身网络接入因特网时, 虽然各地的办事处等外部站点可以很方便地访问企业网络, 但同时也把企业内部的私有数据暴露给因特网上的所有用户 于是在这种开放的网络环境上搭建专用线路的需求日益强烈,VPN 应运而生 VPN 通过隧道技术在两个站点间建立一条虚拟的专用线路, 使用端到端的认证和加密保证数据的安全性 典型拓扑图如所示 图 4-61 VPN 典型拓扑隧道是通过对数据报的封装实现的, 因为数据报封装和解封的过程都是在路由器上完成, 所以对于用户来说是透明的 无线企业 VPN 路由器支持的隧道协议包括三层隧道协议 IPsec 和二层隧道协议 L2TP/PPTP IKE 在 IPsec VPN 中, 为了保证信息的私密性, 通信双方需要使用彼此都知道的信息来对数据进行加密和解密, 所以在通信建立之初双方需要协商安全性密钥, 这一过程便由 IKE(Internet Key Exchange, 互联网密钥交换 ) 协议完成 IKE 其实并非一个单独的协议, 而是三个协议的混合体 这三个协议分别是 ISAKMP(Internet Security Association and Key Management Protocol, 互联网安全性关联和密钥管理协议 ), 该协议为交换密钥和 SA(Security Association, 安全联盟 ) 协商提供了一个框架 ;Oakley 密钥确定协议, 该协议描述了密钥交换的具体机制 ;SKEME 安全密钥交换机制, 该协议描述了与 Oakley 不同的另一种密钥交换机制 整个 IKE 协商过程被分为两个阶段 第一阶段, 通信双方将协商交换验证算法 加密算法等安全提议, 并建立一个 ISAKMP SA, 用于在第二阶段中安全交换更多信息 第二阶段, 使用第一阶段中建立的 ISAKMP SA 为 IPsec 的安全性协议协商参数, 创建 IPsec SA, 用于对双方的通信数据进行保护 至此,IKE 协商完毕 IKE 安全策略在无线企业 VPN 路由器上, 可以对 IKE 协商过程的相关参数进行设置 -117-

123 界面进入方法 :VPN >> IKE >> IKE 安全策略 界面项说明 : 图 4-62 IKE 安全策略设置界面 IKE 安全策略设置 安全策略名称 为 IKE 安全策略命名 设置好的 IKE 安全策略可以被应用在 IPsec 安全策 略中 协商模式 选择 IKE 的协商模式, 通信双方必须使用相同的协商模式 在 IKE 协商的第一阶段定义了两种操作模式 : 主模式和野蛮模式 主模式中进行交换和认证的报文较多, 并提供身份保护, 适用于高安全性需求场合 ; 野蛮模式中进行交换和认证的报文较少, 不提供身份保护, 但是协商速度快 -118-

124 本地 / 对端 ID 类型 设置本地和对端的 ID(Identity, 身份标识 ) 类型, 用于进行 ID 的交换与 验证, 可以选择 IP 地址 或 NAME, 通信双方的设置需保持一致 本地 / 对端 ID ID 类型选择 IP 地址 时, 无需进行设置 ;ID 类型选择 NAME 时, 可自定义本地 / 对端的 ID 路由器的 本地 ID 需与通信对端的 对端 ID 保持一致, 而 对端 ID 则需与通信对端的 本地 ID 保持一致 安全提议 选择用于 IKE 协商第一阶段的安全提议, 如果下拉菜单中没有想选择的条 目, 请进入 IKE 安全提议页面创建新条目 最多可以选择四条不同 的安全提议 预共享密钥 设置通信双方互相认证的密钥, 双方必须使用同一个预共享密钥 生存时间 设定 ISAKMP SA 的生存时间 DPD 检测开启 DPD(Dead Peer Detect, 对端存活检测 ) 开启后,IKE 一端能够定时主 动检测对端的在线状态 DPD 检测周期 当开启 DPD 检测时可设置检测周期 IKE 安全策略列表在 IKE 安全策略列表中, 可以对已保存的 IKE 安全策略进行相应设置 IKE 安全提议界面进入方法 :VPN >> IKE >> IKE 安全提议 图 4-63 IKE 安全提议设置界面 -119-

125 界面项说明 : IKE 安全提议设置 安全提议名称 为 IKE 安全提议命名 设置好的 IKE 安全提议可以被应用在 IKE 安全策略中 验证算法 选择应用于 IKE 会话的验证算法 路由器支持两种验证算法, 以下为其详细 介绍 MD5(Message Digest Algorithm, 消息摘要算法 ): 对一段消息产生 128bit 的消息摘要, 防止消息被篡改 SHA1(Secure Hash Algorithm, 安全散列算法 ): 对一段消息产生 160bit 的消息摘要, 比 MD5 更难破解 加密算法 选择应用于 IKE 会话的加密算法 路由器支持两种加密算法, 以下为其详细介绍 DES(Data Encryption Standard, 数据加密标准 ): 使用 56bit 的密钥对 64bit 数据进行加密,64bit 的最后 8 位用于奇偶校验 3DES 则为三重 DES, 使用三个 56bit 的密钥进行加密 AES(Advanced Encryption Standard, 高级加密标准 ):AES128/192/256 表示使用长度为 128/192/256 bit 的密钥进行加密 DH 组 Diffie-Hellman 算法的组信息, 用于产生加密 IKE 隧道的会话密钥 DH1/2/5 分别对应着 768/1024/1536 bit 的 DH 组 IKE 安全提议列表 在 IKE 安全提议列表中, 可以对已保存的 IKE 安全提议进行相应设置 IPsec IPsec(IP Security,IP 安全性 ) 是一系列服务和协议的集合, 在 IP 网络中保护端对端通信的安全性 防止网络攻击 为了实现安全通信, 通信双方的 IPsec 协议必须协商确定用于编码数据的具体算法 用于理解对方数据格式的安全协议, 并通过 IKE 交换解密编码数据所需的密钥 在 IPsec 中有两个重要的安全性协议 AH ( Authentication Header, 鉴别首部 ) 和 ESP (Encapsulating Security Payload, 封装安全性载荷 ) AH 协议用于保证数据的完整性, 若数据报文在传输过程中被篡改, 报文接收方将在完整性验证时丢弃报文 ;ESP 协议用于数据完整性检查以及数据加密, 加密后的报文即使被截取, 第三方也难以获取真实信息 -120-

126 IPsec 安全策略 界面进入方法 :VPN >> IPsec >> IPsec 安全策略 界面项说明 : 图 4-64 IPsec 安全策略设置界面 启用 IPsec 功能 只有勾选 启用 后, 路由器才能应用 IPsec IPsec 安全策略设置 安全策略名称 为 IPsec 安全策略命名 启用安全策略 选择启用或禁用当前策略条目 -121-

127 组网模式 选择 IPsec 安全策略的组网模式, 站点到站点或者 PC 到站点 以下为选 项的详细介绍 站点到站点 : 当对端是一个子网时, 可以选择该模式 PC 到站点 : 当对端是一台主机时, 可以选择该模式 本地子网范围 设定本地子网地址, 以子网掩码值划分地址范围 对端子网范围 设定对方子网地址, 以子网掩码值划分地址范围 当组网模式选择为 PC 到站点时, 该项不可填 选择 WAN 口 指定本地使用的 WAN 口 在通信对端的路由器上设置 对端网关 时必须填入该 WAN 口 IP 地址或域名 对端网关 当组网模式选择为站点到站点, 请在此输入通信对端的路由器相应 WAN 口的 IP 地址或域名 对端主机 当组网模式选择为 PC 到站点, 请在此输入通信对端主机的 IP 地址 协商方式 建立 IPsec 安全隧道可以有两种协商方式 IKE 为自动协商, 手动模式则需手动设定相关的安全参数 IKE 安全策略 选择 IKE 协商 时, 可以指定相应的 IKE 安全策略 如果下拉菜单中没有想选择的条目, 请进入 IKE 安全策略页面创建新条目 安全提议 指定相应的 IPsec 安全提议 如果下拉菜单中没有想选择的条目, 请进入 IPsec 安全提议页面创建新条目 PFS PFS(Perfect Forward Secrecy, 完善的前向安全性 ) 特性使得 IKE 第二阶段协商生成一个新的密钥材料, 该密钥材料与第一阶段协商生成的密钥材料没有任何关联, 这样即使 IKE 第一阶段的密钥被破解, 第二阶段的密钥仍然安全 如果没有使用 PFS, 第二阶段的密钥将根据第一阶段生成的密钥材料来产生, 一旦第一阶段的密钥被破解, 用于保护通信数据的第二阶段密钥也岌岌可危, 这将严重威胁到双方的通信安全 PFS 是通过 DH 算法实现的, 通信双方的 PFS 设置需保持一致 生存时间 设定 IPsec SA 的生存时间 -122-

128 入 SPI 选择 手动模式 时, 可以设定 SPI 参数 SPI 与隧道对端网关地址 协 议类型三个参数共同标识一个 IPsec 安全联盟, 通信对端的 出 SPI 值 必须与此值相同 入 AH MD5 密钥 当安全提议指定 IPsec 使用 AH 协议时, 可以设定 AH MD5 验证算法 的密钥 通信对端的 出 AH MD5 密钥 必须与此值相同 入 ESP MD5 密钥 当安全提议指定 IPsec 使用 ESP 协议时, 可以设定 ESP MD5 验证算 法的密钥 通信对端的 出 ESP MD5 密钥 必须与此值相同 入 ESP 3DES 密钥 当安全提议指定 IPsec 使用 ESP 协议时, 可以设定 ESP 3DES 加密算 法的密钥 通信对端的 出 ESP 3DES 密钥 必须与此值相同 出 SPI 选择 手动模式 时, 可以设定 SPI 参数 SPI 参数唯一标识一个 IPsec 安全联盟, 通信对端的 入 SPI 值必须与此值相同 出 AH MD5 密钥 当安全提议指定 IPsec 使用 AH 协议时, 可以设定 AH MD5 验证算法 的密钥 通信对端的 入 AH MD5 密钥 必须与此值相同 出 ESP MD5 密钥 当安全提议指定 IPsec 使用 ESP 协议时, 可以设定 ESP MD5 验证算 法的密钥 通信对端的 入 ESP MD5 密钥 必须与此值相同 出 ESP 3DES 密钥 当安全提议指定 IPsec 使用 ESP 协议时, 可以设定 ESP 3DES 加密算 法的密钥 通信对端的 入 ESP 3DES 密钥 必须与此值相同 IPsec 安全策略列表在 IPsec 安全策略列表中, 可以对已保存的 IPsec 安全策略进行相应设置 图 4-64 序号 1 条目的含义 : 这是一条 IPsec 的隧道, 组网模式为站点到站点, 本地子网范围是 /24, 对端子网范围是 /24, 隧道使用 IKE 自动协商, 该隧道已启用 说明 子网掩码值的相关设置请参考附录 A 常见问题中的问题

129 IPsec 安全提议 界面进入方法 :VPN >> IPsec >> IPsec 安全提议 界面项说明 : 图 4-65 IPsec 安全提议设置界面 IPsec 安全提议设置 安全提议名称 为 IPsec 安全提议命名 设置好的 IPsec 安全提议可以被应用在 IPsec 安 全策略中 安全协议 选择要使用的协议 AH 验证算法当选择 AH 安全协议时可设定 AH 验证算法 路由器支持两种验证算法, 以下为其详细介绍 MD5(Message Digest Algorithm, 消息摘要算法 ): 对一段消息产生 128bit 的消息摘要, 防止消息被篡改 SHA1(Secure Hash Algorithm, 安全散列算法 ): 对一段消息产生 160bit 的消息摘要, 比 MD5 更难破解 -124-

130 ESP 验证算法当选择 ESP 安全协议时可设定 ESP 验证算法 路由器支持两种验证算法, 以下为其详细介绍 MD5(Message Digest Algorithm, 消息摘要算法 ): 对一段消息产生 128bit 的消息摘要, 防止消息被篡改 SHA1(Secure Hash Algorithm, 安全散列算法 ): 对一段消息产生 160bit 的消息摘要, 比 MD5 更难破解 ESP 加密算法当选择 ESP 安全协议时可设定 ESP 加密算法 路由器支持两种加密算法, 以下为其详细介绍 DES(Data Encryption Standard, 数据加密标准 ): 使用 56bit 的密钥对 64bit 数据进行加密,64bit 的最后 8 位用于奇偶校验 3DES 则为三重 DES, 使用三个 56bit 的密钥进行加密 AES(Advanced Encryption Standard, 高级加密标准 ):AES128/192/256 表示使用长度为 128/192/256bit 的密钥进行加密 IPsec 安全提议列表在 IPsec 安全提议列表中, 可以对已保存的 IPsec 安全提议进行相应设置 IPsec 安全联盟在此将列出路由器上所有已成功建立的 IPsec 安全联盟相关信息 界面进入方法 :VPN >> IPsec >> IPsec 安全联盟 图 4-66 IPsec 安全联盟界面图 4-66 中显示的是图 4-64 中 IPsec 安全策略列表序列 1 条目的连接情况 在本例中路由器使用 WAN2 接口进行隧道连接,WAN2 接口的 IP 地址为 , 对端网关地址为 IPsec 隧道的安全提议等相关设置需与对端路由设置相同 由于安全联盟是单向的, 所以当 IPsec 隧道成功建立后, 每条隧道会产生一对出和入的安全联盟 出和入的 SPI 值是不同的, 但与对端的入和出 SPI 值相同, 即本端方向 in 的 SPI 值与对端方向 out 的 SPI 值相同 这条隧道在对端的连接信息如下图所示,SPI 值为 IKE 自动协商得出 -125-

131 说明 NAT 穿透在实际网络应用中,IPsec VPN 通信双方的物理连接线路中可能存在着 NAT 网关, 当数据包经过 NAT 网关时, 其 IP 地址或端口号会改变, 这就导致 VPN 隧道对端收到数据包后验证失败, 数据包被直接丢弃 NAT 穿透功能可以解决这一问题, 实现方法为在原 ESP 协议的报文外添加新的 IP 首部和 UDP 首部 这样数据包的格式为 : 新 IP/UDP 首部 ESP 首部 IP 首部 数据 由于 NAT 网关只会改变最外层的 IP 首部, 而且 ESP 校验不包含 IP 首部, 所以此时 IPsec VPN 的通信不会受到影响 但是 NAT 穿透只适用于 ESP 协议,AH 协议的校验包含了 IP 首部, 因此无法与 NAT 共存 无线企业 VPN 路由器目前仅在 IKE 协商模式为野蛮模式, 且本地和对端的 ID 类型都为 NAME 的情况下支持 NAT 穿透 L2TP/PPTP 二层 VPN 隧道协议包含 L2TP(Layer 2 Tunneling Protocol, 第二层隧道协议 ) 和 PPTP(Point to Point Tunneling Protocol, 点到点隧道协议 ) L2TP 和 PPTP 都是使用 PPP(Point to Point Protocol, 点到点协议 ) 进行数据封装, 并都为数据增添额外首部 两者的区别如下表所示 : 协议介质隧道首部长度隧道认证 PPTP IP 网络单隧道至少 6 字节不支持 L2TP 使用 UDP 的 IP 网络 帧中继虚 电路 X.25 虚电路等 多隧道至少 4 字节支持 L2TP/PPTP 隧道设置 界面进入方法 :VPN >> L2TP/PPTP >> L2TP/PPTP 隧道设置 -126-

132 图 4-67 L2TP/PPTP 隧道设置界面 界面项说明 : 全局管理设置 勾选 启用 VPN-to-Internet 通道, 可以允许 VPN 拨号用户在访问 VPN 网络的同时访问互联网 链路维护时间间隔 设置发送链路维护检测报文的时间间隔 隧道设置 启用 / 禁用 选择启用或禁用当前 L2TP/PPTP 隧道条目 协议类型 选择使用的隧道协议类型 工作模式 选择当前路由器的工作模式 根据选择的工作模式不同, 后续需要设置的参数也会不同 用户名 设置 L2TP/PPTP 认证的用户名 客户端与服务器端的设置需一致 -127-

133 密码 设置 L2TP/PPTP 认证的密码 客户端与服务器端的设置需一致 组网模式 当连入隧道的用户为接入路由器的一个网段时, 请选择 站点到站点 模式 ; 当连入隧道的用户是单个计算机时, 请选择 PC 到站点 模式 最大连接数 当工作模式为 服务器 组网模式选择 PC 到站点 时, 可进行隧道容纳最大连接数的设置 WAN 接口 当工作模式为 客户端 时, 可以选择通过隧道传输报文的 WAN 接口 隧道服务器地址 当工作模式为 客户端 时, 需设置隧道服务器地址 若服务器端为路由器则填入其 WAN 口 IP 地址 加密状态 单纯的 L2TP/PPTP 隧道安全性仍然不高, 可以选择是否对隧道进行加密 本路由将使用 IPsec 对 L2TP 隧道进行加密, 使用 MPPE(Microsoft Point-to-Point Encryption, 微软点对点加密术 ) 对 PPTP 隧道进行加密 预共享密钥 设置用于 L2TP 隧道加密的 IPsec 预共享密钥, 隧道双方必须使用同一个预共享密钥 客户端地址 当协议类型为 L2TP 工作模式为 服务器 且启用加密时, 可以设置允许连接到本路由器的客户端 IP 地址 默认为 , 表示所有 IP 地址 地址池名称 当工作模式为 服务器 时, 可以选择分配给客户端的静态 IP 地址范围 如果下拉菜单中没有想选择的条目, 请进入 隧道地址池管理页面创建新条目 对端子网范围 输入隧道对端的地址, 以子网掩码值划分地址范围 当工作模式为 服务器 组网模式为 PC 到站点 时, 该项无需填写 隧道设置列表在隧道设置列表中, 可以对已保存的 L2TP/PPTP 隧道信息进行相应设置 图 4-67 序号 1 条目的含义 : 这条隧道使用 L2TP 协议进行封装, 隧道用户名为 test, 密码自设, 路由器工作模式为 客户端, 隧道对端服务器地址为 , 对端子网为 /24, 目前该条目已生效 -128-

134 L2TP/PPTP 隧道信息 在此将列出路由器上所有 L2TP/PPTP 隧道的相关信息 界面进入方法 :VPN >> L2TP/PPTP >> L2TP/PPTP 隧道信息 图 4-68 L2TP/PPTP 隧道信息界面图 4-68 中显示的是图 4-67 中隧道设置列表序列 1 条目的连接情况 目前这条隧道已成功建立, 每条隧道会产生隧道 ID 数值对和会话 ID 数值对, 每个数值对都由两个数字 ID 组成, 客户端和服务器端显示的数值对是对应的 这条隧道在服务器端的连接信息如下图所示 每次建立隧道连接时都会生成一组隧道 ID 和一组会话 ID, 一般情况下, 同一路由器上不同隧道的 ID 数值对不会相同, 即使是同一条隧道, 在断开已有连接后重新建立连接, 也可能会产生不同的 ID 数值对 隧道地址池管理界面进入方法 :VPN >> L2TP/PPTP >> 隧道地址池管理 界面项说明 : 图 4-69 隧道地址池管理界面 地址池设置 -129-

135 地址池名称 为地址池命名 设置好的地址池名称可以被应用在隧道设置中 地址池范围 设置分配给客户端的 IP 地址范围 此地址池不能与当前路由器 LAN 网段 及 DMZ 网段 对端路由器 LAN 网段及 DMZ 网段重复 地址池列表在地址池列表中, 可以对已保存的地址池进行相应设置 4.10 系统服务 动态 DNS 花生壳动态域名 广域网中, 许多 ISP 使用 DHCP 分配公共 IP 地址, 因此用户端获得的公网 IP 是不固定的 当其它用户需要访问此类 IP 动态变化的用户端时, 很难实时获取它的最新 IP 地址 DDNS(Dynamic DNS, 动态域名解析服务 ) 服务器则为此类用户端提供了一个固定的域名, 并将其与用户端最新的 IP 地址进行关联 当服务运行时,DDNS 用户端把最新的 IP 地址通知 DDNS 服务器, 服务器会更新 DNS 数据库中域名与 IP 的映射关系 而对于访问它的用户端, 将会得到正确的 IP 地址并成功访问服务端 DDNS 常用于 Web 服务器搭建个人网站 FTP 服务器提供文件共享等, 访问的用户可以便捷地获取服务 路由器作为动态 DNS 客户端, 本身并不提供动态 DNS 服务 因此, 在使用此功能之前, 必须进入动态 DNS 服务提供商的官方主页注册, 以获得用户名 密码和域名等信息 本路由器提供花生壳动态 DNS 客户端 界面进入方法 : 系统服务 >> 动态 DNS >> 花生壳动态域名 -130-

136 图 4-70 花生壳动态域名设置界面 界面项说明 : 功能设置 用户名 填入在花生壳网站注册的用户名 若还没有注册, 请点击右边的链接 注册用户名 登录花生壳网站进行注册 密码 填入在花生壳网站注册该用户名时所设置的密码 服务开关 选择启用或禁用花生壳动态域名服务 接口名显示启用花生壳动态域名服务的 WAN 口 服务类型 服务启用之后, 显示当前登录的 DDNS 账号是属于专业服务还是标准服务 这取决于注册时选择的服务类型 连接状态 显示 DDNS 的工作状态 服务没有运行 表示 DDNS 功能未启用 ; 服务连接中, 请等候 表示系统正在连接 DDNS 服务器 ; 服务已运行 表示 DDNS 工作正常 ; 用户名或密码错误 表示输入的用户名或密码有误, 请重新输入正确的值后再启用 DDNS -131-

137 域名信息 显示当前登录的 DDNS 用户所拥有的域名 用户可以申请多个域名, 点击 查看所有域名 显示当前用户申请的所有域名, 但最多显示 16 条 管理列表在管理列表中, 可以对当前的 DDNS 条目进行相应设置 图 4-70 条目 1 的含义 : 应用于 WAN1 口的花生壳用户名是 uername1, 对应的域名是 user1.oray.com, 该服务已运行 UPnP 服务 UPnP(Universal Plug and Play, 通用即插即用 ) 协议, 遵循此协议的不同厂商的各种设备可以自动发现对方并进行连接 如果应用程序支持 UPnP 协议, 而局域网中的主机安装了 UPnP 组件, 路由器开启了 UPnP 服务后, 局域网中的主机就可以根据软件的需要自动地在路由器上打开相应的端口, 使得外部主机上的应用程序在需要时能够通过打开的端口访问内部主机上的资源, 这样原本受限于 NAT 的功能便可以正常使用 例如,Windows XP 和 Windows ME 系统上安装的 MSN Messenger, 在使用音频和视频通话时就可以利用 UPnP 协议 相对于转发规则而言,UPnP 的应用不需要用户手动设置任何规则, 对于一些端口不固定的应用会更加方便 界面进入方法 : 系统服务 >> UPnP 服务 >> UPnP 服务 界面项说明 : 图 4-71 UPnP 服务设置界面 功能设置 UPnP 服务 选择启用或禁用 UPnP 服务 -132-

138 服务列表启用 UPnP 后, 所有应用到 UPnP 的连接规则会显示在服务列表中 图 4-71 序号 1 条目的含义 : 在路由器 WAN 口的 端口接收到的 TCP 数据, 将转发到局域网服务器 的 端口上 说明 : 应用时不仅要在路由器上启用 UPnP 服务, 还需要确认主机操作系统和应用程序也支持此服务, 即 Windows XP 系统需安装 UPnP 组件 ; 应用程序本身需支持 UPnP, 如 MSN 最新版 电驴 迅雷等 一些木马 病毒可能会利用 UPnP 服务打开特定的端口, 使局域网主机成为黑客的攻击目标, 因此需谨慎应用 UPnP 服务 4.11 系统工具 设备管理 修改管理帐号 在此可以修改登录时使用的用户名和密码 界面进入方法 : 系统工具 >> 设备管理 >> 修改管理帐号 界面项说明 : 图 4-72 修改管理帐号界面 用户名密码修改 原用户名 本次登录路由器的用户名 原密码 本次登录路由器使用的密码 -133-

139 新用户名 重新设置登录路由器的用户名 新密码 重新设置登录路由器的密码 确认新密码 再次输入新密码 说明出厂的用户名 / 密码是 admin/admin 更改用户名及密码并保存生效后, 后续登录时请使用新用户名及新密码 用户名和密码最多支持 31 个字符, 且只能是数字和字母, 区分大小写 远程管理可以在远程管理界面对允许远程登录的 IP 地址范围进行设置和修改 界面进入方法 : 系统工具 >> 设备管理 >> 远程管理 界面项说明 : 图 4-73 远程管理设置界面 远程管理地址 远程地址范围 设置需要从外部网络登录路由器的主机地址, 可指定单个 IP 或一个网段 启用 / 禁用规则 选择启用或禁用该规则 地址列表在地址列表中, 可以对已保存的远程管理地址条目进行相应设置 图 4-73 序号 1 条目的含义 : 允许 IP 地址属于 /24 网段的主机登录路由器 Web 界面, 该规则已启用 -134-

140 系统管理设置 可以在服务端口界面对 Web Telnet 服务的端口进行设置和修改 界面进入方法 : 系统工具 >> 设备管理 >> 系统管理设置 界面项说明 : 图 4-74 系统管理设置界面 功能设置 Web 服务端口 设置路由器的 Web 服务端口 Telnet 服务端口 设置路由器的 Telnet 服务端口 Web 会话超时时间 设置通过 Web 页面访问路由器的超时时间 登录 Web 界面后, 用户在该 设定时间内如无任何操作, 路由器将自动断开连接 Telnet 会话超时时间 设置通过 Telnet 远程访问路由器的超时时间, 远程登录路由器后, 用户 在该设定时间内如无任何指令, 路由器将自动断开连接 说明 : 路由器默认的 Web 服务端口为 80 如果改为其它值, 在局域网或广域网都必须用 地址 : 端口 的方式才能登录路由器 例如, 将 Web 管理端口更改为 88, 在局域网内登录时的 URL 地址应为 设置超时时间后, 新的超时时间将在下一次登录时生效 应用举例 : 某企业路由器 WAN 口地址为 , 为方便管理, 希望广域网 /24 网段的 IP 地址能对路由器进行远程管理 -135-

141 可以通过设置 Web 服务器实现此需求 首先需要设置远端访问路由器的地址段, 并选择启用该访 问规则, 如下图所示 : 在服务端口界面为 Web 服务器开放相应的服务端口, 设置如下图所示 : 在浏览器地址栏输入路由器地址 登录路由器 Web 界面 恢复出厂配置 界面进入方法 : 系统工具 >> 设备管理 >> 恢复出厂配置 图 4-75 恢复出厂配置界面点击 < 恢复出厂配置 > 按钮, 路由器将会恢复所有设置的默认值 建议在网络配置错误 组网环境变更等情况时使用此功能 路由器出厂默认 LAN 口 IP 地址为 , 用户名 / 密码为 admin/admin 备份与导入配置界面进入方法 : 系统工具 >> 设备管理 >> 备份与导入配置 -136-

142 图 4-76 备份与导入配置界面 版本信息 显示当前路由器软件版本 备份配置信息 单击 < 备份配置信息 > 按钮, 路由器会将目前所有已保存配置导出为文件 建议在修改配置或升级 软件前备份当前的配置信息 导入配置信息 单击 < 浏览 > 按钮, 选择已备份的配置文件 ; 或者在文件路径输入框中填写完整的配置文件路径, 然后点击 < 导入配置文件 > 按钮, 将路由器恢复到以前备份的配置状态 说明 : 备份及导入文件过程中请保持电源稳定, 避免强行断电 导入的配置文件版本与路由器当前配置版本差距过大, 将有可能导致路由器现有配置信息丢失, 如果有重要的配置信息, 请谨慎操作 重启路由器界面进入方法 : 系统工具 >> 设备管理 >> 重启路由器 -137-

143 图 4-77 重启路由器界面 单击 < 重启路由器 > 按钮, 路由器将会重新启动 重新启动不会丢失已保存的配置, 在重启的过程中, 网络连接将会暂时中断 注意 : 路由器重启过程中请保证电源稳定, 避免强行断电 软件升级界面进入方法 : 系统工具 >> 设备管理 >> 软件升级 图 4-78 软件升级界面 TP-LINK 官方网站 ( 会不定期更新无线企业 VPN 路由器的软件升级文件, 可将升级文件下载保存在本地 登录路由器后进入软件升级界面, 单击 < 浏览 > 按钮, 选择保存路径下的升级文件, 点击 < 升级 > 进行软件升级 注意 : 软件升级成功后路由器将会自动重启, 在路由器重启完成前请保证电源稳定, 避免强行断电 软件升级后由于新旧版本软件的差异可能会恢复出厂默认配置, 如有重要配置信息, 请在升级前备份 流量统计 接口流量统计接口流量界面显示路由器所有正在工作的接口的数据接收 / 发送速率, 以及 WAN 口的附加信息统计 界面进入方法 : 系统工具 >> 流量统计 >> 接口流量统计 -138-

144 图 4-79 接口流量统计界面接收 / 发送速率是以千比特每秒为单位进行统计的, 通常所说的 1M 带宽即 1024Kbps 接收/ 发送总包数统计的是数据包的总个数 接收 / 发送总字节数统计的则是所有数据包的总字节数 WAN 口附加信息则是以数据包为单位进行统计 其中,IP 分片是指接收到的大小超过 WAN 口允许接收的最大值, 需要分片传输的数据包 ;IP 异常包是指 IP 封装字段非正常的数据包 IP 流量统计流量统计界面将显示接入路由器 LAN 口的局域网设备向广域网发出数据的流量统计 界面进入方法 : 系统工具 >> 流量统计 >> IP 流量统计 图 4-80 IP 流量统计界面路由器默认勾选 启用流量统计 启用自动刷新 选项, 启用自动刷新时, 路由器每隔 10 秒刷新一次 在下拉菜单中选择流量统计接口类型后, 相应的流量统计信息将显示在流量统计列表中 可以按照不同的表头对表格进行排序, 默认排序方式为从小到大 -139-

145 诊断工具 诊断工具 可在诊断工具界面通过 ping 命令或 tracert 命令来诊断当前路由器的网络连接状态 界面进入方法 : 系统工具 >> 诊断工具 >> 诊断工具 界面项说明 : 图 4-81 诊断工具界面 Ping 通信检测 -140-

146 目的 IP/ 域名 输入目的地址, 可以是一个合法 IP 地址, 也可以是一个合法域名, 如果输入地址无效将提示重新输入 在下拉菜单中选择目的地址所属接口 点击 < 开始 > 按钮后, 路由器将发送 ping 包检测目的地址是否可以到达, 并将检测结果显示在下面的方框中 路由跟踪检测 目的 IP/ 域名 输入目的地址, 可以是一个合法 IP 地址, 也可以是一个合法域名, 如果输入地址无效将提示重新输入 在下拉菜单中选择目的地址所属接口 点击 < 开始 > 按钮后, 路由器将发送 tracert 包检测经过哪些路由到达目的地址, 并将检测结果显示在下面的方框中 在线检测 该页面用于检测 WAN 口是否在线 界面进入方法 : 系统工具 >> 诊断工具 >> 在线检测 界面项说明 : 图 4-82 在线检测界面 检测设置 接口名选择需要在线检测的 WAN 口 检测开关 选择开启或关闭在线检测 开启在线检测时, 路由器将综合 PING 检测和 DNS 检测的结果判断是否在线 ; 关闭在线检测时, 路由器只根据 WAN 接 口的物理连接状态和拨号状态判断是否在线 -141-

147 检测模式 选择自动在线检测或者手动在线检测 自动模式下,PING 检测选择网关 作为目的地址,DNS 检测选择 WAN 口 DNS 服务器作为目的地址 ; 手动 模式下, 可以自己设置 PING 检测和 DNS 检测的目的地址 PING 检测在手动在线检测模式下, 可以输入 PING 检测的目的 IP 地址 输入 表示不进行 PING 检测 DNS 检测在手动在线检测模式下, 可以输入 DNS 服务器的 IP 地址 输入 表示不进行 DNS 检测 WAN 口状态列表 接口显示所检测的 WAN 口 检测 显示选择的检测开关, 即启用或禁用 WAN 口状态 显示 PING 检测或 DNS 检测的结果 时间设置 时间设置界面允许对路由器的系统时间进行设置 若时间设置发生改变, 将会影响一些与其相关的 功能, 如防火墙规则的生效时间 PPPoE 定时拨号 日志等 界面进入方法 : 系统工具 >> 时间设置 >> 时间设置 -142-

148 图 4-83 时间设置界面 界面项说明 : 当前时间 此处将显示目前系统时间及时间获取方式信息 如果想对时间进行更改, 可以在下方时间设置区进行改动 时间设置 通过网络获取系统时间 若路由器可以访问互联网, 可选择此项进行网络校时 选择时区后点击 < 保存 > 按钮, 路由器将在内置 NTP(Network Time Protocol, 网络校时协议 ) 服务器地址列表中搜索可用地址, 并获取时间 若获取失败, 请手动设置 NTP 服务器地址, 由于 NTP 服务器并非固定不变, 推荐搜索两个不同的地址, 分别填入首选 备用 NTP 服务器输入框,NTP 服务器地址可以为 IP 地址也可以为域名 设置完毕后点击 < 保存 > 按钮, 路由器会通过指定的 NTP 服务器获取网络时间 手工设置系统时间 若路由器暂时不能访问互联网, 可以选择对系统时间进行手动设置, 或者点击 < 获取管理主机时间 > 按钮, 系统将自动填入当前管理主机时间信息 设置完毕后点击 < 保存 > 生效 -143-

149 说明 如果不能正常使用 < 获取管理主机时间 > 功能, 请在主机的防火墙软件中增加一条 UDP 端口为 123 的例外条目 断电重启后, 断电之前设置的时间将失效, 重新变为 通过网络获取时间, 如果未能连网获取时间, 默认将从 2010 年 2 月 10 日 0 时 0 分 0 秒开始计时 系统日志 可以在日志界面查看路由器系统事件的记录信息 界面进入方法 : 系统工具 >> 系统日志 >> 系统日志 日志列表中一条日志内容可分为四个部分 : 图 4-84 日志界面 日志配置部分可以对日志系统进行简单的配置 启用自动刷新后, 日志列表将每隔 5 秒刷新一次 ; 选择日志等级可使日志列表中仅列出指定等级的日志记录 -144-