声明 Copyright 2012 深圳市普联技术有限公司版权所有, 保留所有权利未经深圳市普联技术有限公司明确书面许可, 任何单位或个人不得擅自仿制复制誊抄或转译本书部分或

Similar documents

修改版-操作手册.doc

说明为了反映教运行的基本状态, 为校和院制定相关政策和进行教建设与改革提供据依据, 校从程资源 ( 开类别开量规模 ) 教师结构程考核等维度, 对 2015 年春季期教运行基

<433A5C446F63756D656E E E67735C41646D696E F725CD7C0C3E65CC2DBCEC4CFB5CDB3CAB9D3C3D6B8C4CFA3A8BCF2BBAFA3A95CCAB9D3C3D6B8C4CF31302D31392E646F63>

评委 : 李炎斌 - 个人技术标资信标初步审查明细表序号投标单位投标函未按招标文件规定填写漏填或内容填写错误的 ; 不同投标人的投标文件由同一台电脑或同一家投标单

自服务按钮无法访问新系统的自服务页面因此建议用户从信网中心 ( 主页, 右下角位置的常用下载, 或校园网用户自服务 ( 首页

目录关于图标... 3 登陆主界面... 3 工单管理... 5 工单列表... 5 搜索工单... 5 工单详情... 6 创建工单... 9 设备管理巡检计划查询详情销售管

目录一系统访问... 1 二门户首页申报用户审核用户... 2 三系统登录用户名密码登录新用户注册用户登录已注册用

何秋琳张立春视觉学习研究进展视觉注意视觉感知

深圳市新亚电子制程股份有限公司

金不少于 800 万元, 净资产不少于 960 万元 ; (3) 近五年独立承担过单项合同额不少于 1000 万元的智能化工程 ( 设计或施工或设计施工一体 ) 不少于 2 项 ; (4) 近三年每年

评委 : 徐岩宇 - 个人技术标资信标初步审查明细表序号投标单位投标函未按招标文件规定填写漏填或内容填写错误的 ; 不同投标人的投标文件由同一台电脑或同一家投标单

国债回购交易业务指引

HSK( 一级 ) 考查考生的日常汉语应用能力, 它对应于国际汉语能力标准一级欧洲语言共同参考框架 (CEF) A1 级通过 HSK( 一级 ) 的考生可以理解并使用一些非常简单的汉语

采取行动的机会 90% 开拓成功的道路 2

云信Linux SSH认证代理用户手册

18 上报该学期新生数据至阳光平台第一学期第四周至第六周 19 督促学习中心提交新增专业申请第一学期第四周至第八周 20 编制全国网络统考十二月批次考前模拟题第一学

0 年上半年评价与考核细则序号部门要素值考核内容考核方式考核标准考核 ( 扣原因 ) 考评得 3 安全生产目 30 无同等责任以上道路交通亡人事故无轻伤责任事故无重大质量

世华财讯模拟操作手册

<4D F736F F D20B3D6B2D6CFDEB6EEB1EDB8F1D7EED6D52E646F63>

Cybozu Garoon 3 管理员手册

Template BR_Rec_2005.dot

珠江钢琴股东大会

教师上报成绩流程图

Microsoft Word - 第3章.doc

2006年顺德区高中阶段学校招生录取分数线

登录、注册功能的测试用例设计.doc

全国建筑市场注册执业人员不良行为记录认定标准（试行）.doc

《C语言基础入门》课程教学大纲

,,,,, :,, (.,, );, (, : ), (.., ;. &., ;.. &.., ;, ;, ),,,,,,, ( ) ( ),,,,.,,,,,, : ;, ;,.,,,,, (., : - ),,,, ( ),,,, (, : ),, :,

i 1) 系统运作前设定 *1. [2.1 网页主机名称设定 ] -- 设定校务系统的主机 IP 地址, 以供其他个人电脑连接及使用该系统 *2. [2.3.1 输入 / 修改学校资料 ] -- 输入系统使

上海证券交易所会议纪要

( ) 信号与系统 Ⅰ 学科基础必修课教周 2016 年 06 月 13 日 (08:00-09:35) ( )

合并计算配售对象持有多个证券账户的, 多个证券账户市值合并计算确认多个证券账户为同一配售对象持有的原则为证券账户注册资料中的账户持有人名称有效身份证明文件

工程造价咨询企业管理系统操作手册目录 1 造价企业登录企业基本信息查看企业人员信息查看企业基本信息操作企业简介企业章

目录页 1. 欢迎使用网上预约面谈访问系统新用户新用户登入帐户程序启动网上预约面谈访问帐户核对帐户的地址资料

全国艺术科学规划项目

龚亚夫在重新思考基础教育英语教学的理念一文中援引的观点认为当跳出本族语主义的思维定式后需要重新思考许多相连带的问题比如许多发音的细微区别并不影响理解和

证券代码：证券简称：长城电脑公告编号：

B-002 行政处罚在气象探测环境保护范围内从事危害气象探测环境活动的处罚中华人民共和国气象法第三十五条第一款第二项 B-003 行政处罚在

目录第一章博星卓越电子商务营销策划实践平台硬件使用介绍... 3 第二章博星卓越电子商务营销策划实践平台管理员端功能使用介绍系统管理员登陆班

一公共卫生硕士专业学位论文的概述学位论文是对研究生进行科学研究或承担专门技术工作的全面训练, 是培养研究生创新能力, 综合运用所学知识发现问题, 分析问题和解决

Microsoft Word - 文件汇编.doc

ETF、分级基金规模、份额变化统计

<443A5C6D B5C30312EB9A4D7F7CEC4B5B55C30322EBACFCDACCEC4B5B55C C30342EC8CBC9E7CCFC5C31332ECFEEC4BFC5E0D1B55C E30385C322EB2D9D7F7CAD6B2E12E646F63>

全国教师资格认定管理信息系统

生产支援功能　使用说明书（IP-110 篇）

黄金原油总持仓增长, 同比增幅分别为 4.2% 和 4.1% 而铜白银以及玉米则出现减持, 减持同比减少分别为 9.4%,9.4% 以及 6.5% 大豆, 豆粕结束连续 4 周总持仓量增长, 出现小幅

4 进入交互区设置的组件管理, 在组件管理中, 教师可以选择课程空间中的所有组件, 并通过点击启用或不启用选定组件在课程空间中的显示 5 进入工作室管理的工作室首页,

一开放性的政策与法规二两岸共同的文化传承三两岸高校各自具有专业优势远见杂志年月日

Microsoft Word - 第7章图表反转形态.doc

联想电子订单操作指南

<4D F736F F D20B9D8D3DAB0BABBAAA3A8C9CFBAA3A3A9D7D4B6AFBBAFB9A4B3CCB9C9B7DDD3D0CFDEB9ABCBBE C4EAC4EAB6C8B9C9B6ABB4F3BBE1B7A8C2C9D2E2BCFBCAE92E646F6378>

2016 年荔湾区财政核定支出汇总表表二单位名称 : 广州文化公园基本支出项目支出科目编码预算科目名称一般公共预算 5, , , , ,

2. 本次修改后, 投资者申购新股的持有市值要求市值计算规则及证券账户使用的相关规定是否发生了变化? 答 : 未发生变化投资者申购新股的持有市值是指, 以投资者为单位

·岗位设置管理流程

上海证券交易所会议纪要

乐视云视频发行平台操作手册 V1.1

中国石化油品销售企业CRM调研报告

<4D F736F F D D323630D6D0B9FAD3A6B6D4C6F8BAF2B1E4BBAFB5C4D5FEB2DFD3EBD0D0B6AF C4EAB6C8B1A8B8E6>

Microsoft Word - 资料分析练习题09.doc

工程勘察资质标准根据建设工程勘察设计管理条例和建设工程勘察设计资质管理规定, 制定本标准一总则 ( 一 ) 本标准包括工程勘察相应专业类型主要专业技术人员配备技术

正规培训达规定标准学时数, 并取得结业证书二级可编程师 ( 具备以下条件之一者 ) (1) 连续从事本职业工作 13 年以上 (2) 取得本职业三级职业资格证书后, 连续从事本职业

3 月 30 日在中国证券报上海证券报证券时报证券日报和上海证券交易所网站上发出召开本次股东大会公告, 该公告中载明了召开股东大会的日期网络投票的方式时间以及审

四川省卫生厅关于开展医疗美容主诊医师资格考试及换证工作的通知

2 熟悉 Visual Basic 的集成开发环境 3 了解可视化面向对象编程事件驱动交互式开发等基本概念 4 了解 Visual Basic 的特点环境要求与安装方法 1 Visual Basic 开发应用

附件 : 上海市建筑施工企业施工现场项目管理机构关键岗位人员配备指南二一四年九月十一日 2

2014年中央财经大学研究生招生录取工作简报

( 二 ) 现行统一高考制度不利于培养人的创新精神,,,,,,,,,,,,, [ ],,,,,,,,,,, :, ;,,,,,,? ( 三 ) 现行统一高考制度不利于全体学生都获得全面发展,, [ ],,,,,,,,,,,

系统设计文档_样稿管理模块 V1.1_.doc

<4D F736F F D20B6C0C1A2B6ADCAC2D0ECCCFABEFDCFC8C9FABCB0CCE1C3FBC8CBC9F9C3F72E646F63>

关于修订《沪市股票上网发行资金申购

一、资质申请

<4D F736F F D20B8BDBCFE34A3BAD2A9C6B7B2B9B3E4C9EAC7EBD7A2B2E1CAC2CFEEBCB0C9EAB1A8D7CAC1CFD2AAC7F32E646F63>

目录一激活账号... 2 二忘记密码后如何找回密码?... 3 三如何管理学校信息及球队学生教师等信息... 6 四如何发布本校校园文化? 五如何向教师发送通知? 六

Microsoft Word - Disclose.doc

通用短信平台HTTP接口使用说明V1.0.4

<4D F736F F D20B9D8D3DA BDECB1CFD2B5C9FAC5C9C7B2B1A8B5BDB5C8D3D0B9D8B9A4D7F7B5C4CDA8D6AAA3A E362E38A3A92E646F63>

<4D F736F F D20B2CEBFBC3232C6DAD1A7CFB0D3EBCBBCBFBCC4DAD2B3>

目录第一章行政办公介绍行政办公的作用... 4 第二章行政办公使用说明会议管理会议管理概述如何设置会议室如

《深圳市场首次公开发行股票网上按市值申购实施办法》.doc

<4D F736F F D20BFC9B1E0B3CCD0F2BFD8D6C6CFB5CDB3C9E8BCC6CAA6B9FABCD2D6B0D2B5B1EAD7BC2E646F63>

第一部分 MagiCAD for Revit 安装流程

¹ º ¹ º 农业流动人口是指户口性质为农业户口在流入地城市工作生活居住一个月及以上的流动人口非农流动人口是指户口性质为非农户口在流入地城市工作生活居住一个

收入支出项目 2016 年预算项目 2016 年预算预算 01 表单位 : 万元 ( 保留两位小数 ) 一公共财政预算拨款一人员经费一般财力人员支出成品

现场会议时间为 :2016 年 5 月 19 日网络投票时间为 :2016 年 5 月 18 日年 5 月 19 日其中通过深圳证券交易所交易系统进行网络投票的时间为 2016 年 5 月 19 日 9:30-

光明乳业股份有限公司

<433A5C C6B73625C B746F705CB9FABCCAD6D0D2BDD2A9D7A8D2B5B8DFBCB6BCBCCAF5D6B0B3C6C6C0C9F3C9EAC7EBD6B8C4CFA3A CDA8D3C3B0E6A3A92E646F63>

øÕªß∂À≤Ÿ◊˜ ÷≤·

四川省农村义务教育学生

中国银行股份有限公司首次公开发行Ａ股发行安排及初步询价公告

随着执业中医师资格考试制度的不断完善，本着为我校中医学专业认证服务的目的，本文通过对我校中医类毕业生参加2012年和2013年的中医执业医师考试成绩及通过率、掌握率进行分析，并与全国的平均水平进行差异比较分析，以此了解我校执业中医师考试的现状，进而反映我校中医类课程总体教学水平，发现考核知识模块教学中存在的不足，反馈给相关学院和教学管理部门，以此提高教学和管理水平。

Transcription:

企业 VPN 路由器 TL-ER6110 用户手册 Rev2.0.1 1910040258

声明 Copyright 2012 深圳市普联技术有限公司版权所有, 保留所有权利未经深圳市普联技术有限公司明确书面许可, 任何单位或个人不得擅自仿制复制誊抄或转译本书部分或全部内容不得以任何形式或任何方式 ( 电子机械影印录制或其他可能的方式 ) 进行商品传播或用于任何商业赢利目的为深圳市普联技术有限公司注册商标本文档提及的其他所有商标或注册商标, 由各自的所有人拥有本手册所提到的产品规格和资讯仅供参考, 如有内容更新, 恕不另行通知可随时查阅我们的万维网页 http://www.tp-link.com.cn 除非有特殊约定, 本手册仅作为使用指导, 本手册中的所有陈述信息等均不构成任何形式的担保 -I-

目录物品清单...1 第 1 章用户手册简介...2 1.1 目标读者...2 1.2 本书约定...2 1.3 章节安排...2 第 2 章产品介绍...4 2.1 产品描述...4 2.2 产品特性...5 2.3 产品外观...6 2.3.1 前面板...6 2.3.2 后面板...7 第 3 章配置指南...9 3.1 登录 Web 界面...9 3.2 Web 界面简介...10 3.2.1 界面总览...10 3.2.2 界面常见按钮及操作...12 第 4 章功能设置...15 4.1 基本设置...15 4.1.1 系统状态...15 4.1.2 系统模式...16 4.1.3 WAN 设置...18 4.1.4 LAN 设置...29 4.1.5 DMZ 设置...32 4.1.6 MAC 设置...34 4.1.7 交换机设置...35 4.2 用户管理...41 4.2.1 组设置...41 -II-

4.2.2 用户设置...42 4.2.3 视图...43 4.3 传输控制...45 4.3.1 转发规则...45 4.3.2 带宽控制...54 4.3.3 连接数限制...57 4.3.4 路由设置...59 4.4 安全管理...63 4.4.1 ARP 防护...63 4.4.2 攻击防护...66 4.4.3 MAC 过滤...68 4.4.4 访问策略...69 4.4.5 应用控制...75 4.5 VPN...78 4.5.1 IKE...78 4.5.2 IPsec...82 4.5.3 L2TP/PPTP...87 4.6 系统服务...91 4.6.1 PPPoE 服务器...91 4.6.2 电子公告...96 4.6.3 动态 DNS...98 4.6.4 UPnP 服务...100 4.7 系统工具...101 4.7.1 设备管理...101 4.7.2 流量统计...106 4.7.3 诊断工具...108 4.7.4 时间设置...110 4.7.5 系统日志...112 -III-

第 5 章典型配置...114 5.1 典型配置需求...114 5.2 典型配置方案...114 5.3 典型组网拓扑...115 5.4 典型配置步骤...115 5.4.1 系统模式设置...115 5.4.2 上网方式设置...116 5.4.3 IPsec VPN 设置...116 5.4.4 上网行为管理...119 5.4.5 局域网 ARP 攻击防护设置...121 5.4.6 广域网 ARP 攻击防护设置...122 5.4.7 网络攻击防护设置...123 5.4.8 带宽控制设置...123 5.4.9 连接数限制设置...124 5.4.10 内网流量监控...125 第 6 章命令行简介...127 6.1 搭建平台...127 6.2 界面模式...130 6.3 在线帮助...131 6.4 命令介绍...132 6.4.1 接口设置...132 6.4.2 IP MAC 绑定设置...133 6.4.3 系统管理...133 6.4.4 用户信息管理...135 6.4.5 历史命令管理...136 6.4.6 退出 CLI...136 附录 A 常见问题...137 附录 B 术语表...139 -IV-

附录 C 规格参数...143 -V-

物品清单请仔细检查包装盒, 里面应有以下配件 : 一台 TP-LINK 企业 VPN 路由器一根 Console 连接线一根电源线一本安装手册一张保修卡一张光盘两个 L 型支架及其他配件注意 : 如果发现有配件短缺或损坏的情况, 请及时与当地经销商联系 -1-

第 1 章用户手册简介本手册旨在帮助您正确使用本款路由器内容包含对路由器性能特征的描述以及配置路由器的详细说明请在操作前仔细阅读本手册 1.1 目标读者本手册的目标读者为熟悉网络基础知识了解网络术语的技术人员 1.2 本书约定在本手册中, 所提到的路由器本产品等名词, 如无特别说明, 系指 TL-ER6110 企业 VPN 路由器, 下面简称为 TL-ER6110 用 >> 符号表示配置界面的进入顺序默认为一级菜单 >> 二级菜单 >> 标签页, 其中, 部分功能无二级菜单正文中出现的 <> 尖括号标记文字, 表示 Web 界面的按钮名称, 如 < 确定 > 正文中出现的双引号标记文字, 表示 Web 界面出现的除按钮外名词, 如 ARP 绑定界面本手册中使用的特殊图标说明如下 : 图标含义注意 : 该图标提醒您对设备的某些功能设置引起注意, 如果设置错误可能导致数据丢失, 设备损坏等不良后果说明 : 该图标表示此部分内容是对相应设置步骤的补充说明 1.3 章节安排第 1 章 : 用户手册简介帮助快速掌握本手册的结构了解本手册的约定, 从而更有效地使用本手册第 2 章 : 产品介绍介绍本产品特性应用以及外观第 3 章 : 配置指南指导如何登录 TL-ER6110 的 Web 管理界面, 并简要介绍界面特点第 4 章 : 功能设置介绍 TL-ER6110 的所有功能, 帮助您更充分地使用本产品第 5 章 : 典型配置以真实的企业网络应用为例, 解决实际需求第 6 章 : 命令行简介介绍路由器 Console 口登录方法及配置中常用的 CLI 命令 -2-

附录 A: 常见问题附录 B: 术语表附录 C: 规格参数 -3-

第 2 章产品介绍 2.1 产品描述 TL-ER6110 是一款企业 VPN 路由器, 是 TP-LINK 公司全新开发的高性能 VPN 路由器产品, 具备强大的数据处理能力, 并且支持丰富的软件功能, 包括 VPN IP/MAC 地址绑定常见攻击防护访问控制 IP 带宽控制连接数限制 QQ/MSN/ 迅雷 / 金融软件限制及电子公告 PPPoE 服务器等功能, 适合中小型企业机关单位酒店小区等组建安全高效易管理的网络强大的数据处理能力采用 64 位网络专用处理器,128MB DDRII 高速内存, 数据包处理能力得到大幅提升, 可实现 LAN WAN 口间数据的线速转发支持多种 VPN, 保障远程接入安全提供标准的 IPsec VPN 功能, 支持数据完整性校验防数据包重放和数据加密功能 (DES 3DES AES128 AES192 AES256 等加密算法 ); 支持 IKE 和手动模式建立 VPN 隧道, 并支持通过域名方式配置 VPN 连接提供 L2TP/PPTP VPN 功能, 支持 L2TP/PPTP VPN 服务器模式, 允许出差员工或分支结构远程安全接入公司网络多种方式管控员工上网行为支持基本的访问控制列表, 可限制包括 FTP 下载收发邮件 Web 浏览, 视频及语音通信等在内的各种网络应用, 并支持基于用户组和时间段分配访问控制规则支持应用限制功能, 能够实现对 IM 软件 (QQ MSN 飞信阿里旺旺等 ) P2P 软件 ( 迅雷比特精灵 PPTV 等 ) 金融软件 ( 大智慧分析家同花顺招商证券等 ) 游戏 (QQ 游戏迅雷游戏联众浩方魔兽世界等 ) 代理 (http 代理 SOCKS4 SOCKS5 等 ) 等各种常见应用的一键限制功能, 并可根据用户组配置限制策略, 可针对不同用户分配不同权限, 保证关键用户的正常使用支持基于网站黑白名单及用户组的过滤策略, 避免访问恶意网站带来的潜在危害全面的攻击防护能力提供 IP 与 MAC 地址自动扫描及一键绑定功能, 能够同时绑定 LAN 口 ( 内网 ) WAN 口 ( 外网 ) 主机的 IP 与 MAC 地址信息, 防止内 / 外网 ARP 欺骗 ; 支持发送免费 GARP 包, 在遭受 ARP 欺骗时, 可按照指定频率主动发送 ARP 更正信息, 及时恢复网络正常状态支持内 / 外网攻击防护功能, 可防范各种常见的 DoS 攻击扫描类攻击可疑包攻击行为, 如 :TCP Syn Flood UDP Flood ICMP Flood WinNuke 攻击分片报文攻击 WAN 口 ping TCP Scan(Stealth FIN/Xmas/Null) IP 欺骗等支持基于 MAC 地址的过滤功能, 阻断非法主机的接入灵活的带宽管理策略支持普通带宽控制和智能带宽控制两种模式, 可根据带宽的实际利用率灵活启用带宽控制策略支持基于用户组和时间段配置带宽控制策略, 并可对内网用户进行上下行双向带宽控制, 有效抑制 BT -4-

迅雷等 P2P 应用过度占用带宽, 避免造成上网速度慢的问题, 保障网络时刻畅通 ; 提供基于用户组的连接数限制功能, 可限制每一台电脑的连接数占有量, 合理利用有限的 NAT 连接数资源, 防止少数用户过度占用大量连接数, 确保上网视频语音会议等顺畅进行 2.2 产品特性硬件特性采用 64 位网络专用处理器, 主频 500MHz; 配备容量为 128MB 的 DDRII-533 高速内存 ; 提供 5 个 10/100M 自适应以太网接口 ; 提供 1 个硬件 DMZ 接口 ; 提供 1 个 Console 口 ; 内置高品质开关电源, 无风扇静音设计 ; 1U 钢壳, 可安装于 19 英寸标准机架, 工业级设计支持协议符合 IEEE 802.3 IEEE 802.3u 标准 ; 支持 AH ESP IKE PPP 等协议 ; 支持 TCP/IP,DHCP,ICMP,NAT,NAPT 等协议 ; 支持 PPPoE,SNTP,HTTP,DDNS UPnP,NTP 等协议基本功能支持静态 IP 动态 IP PPPoE L2TP PPTP 多种接入方式 ; 支持虚拟服务器端口触发 ALG 静态路由 RIP 动态路由等功能 ; 内置简单管理交换机, 支持 VLAN 设置和端口监控等交换机功能 ; 支持 LAN 口 WAN 口以及 DMZ 口的 MAC 地址修改 ; 支持配置文件备份与导入 ; 支持系统日志日志服务器流量统计系统时间设置等功能 ; 支持 Web 和远程管理, 全中文配置界面 ; 提供诊断工具 (Ping Tracert), 支持 WAN 口在线检测功能 VPN 支持基于 AH/ESP 封装的 IPsec VPN, 允许建立最多 64 条 VPN 隧道 ; -5-

支持 MD5 SHA1 验证算法和 DES 3DES AES128 AES192 AES256 等加密算法 ; 支持 IKE 协商加密密钥, 支持预共享密钥认证, 支持 DH1/DH2/DH5 密钥交换算法 ; 支持 L2TP/PPTP VPN, 支持服务器与客户端模式用户管理支持一键管控 IM 类 P2P 类金融类游戏类代理类等多种常见上网行为 ; 支持 PPPoE Server 功能, 有效管理内网用户上网权限带宽管理支持基于 IP 的带宽控制, 可限制单机带宽 ; 支持连接数设置, 可限制单机连接数网络安全内建防火墙, 支持 URL MAC 地址过滤 ; 支持访问控制, 可自定义服务类型 ; 支持攻击防护功能, 可对网络攻击和病毒攻击进行防范 ; 支持局域网 IP/MAC 地址绑定, 防范局域网 ARP 攻击 ; 支持广域网 IP/MAC 地址绑定, 防范广域网 ARP 攻击 ; 支持定时发送免费 ARP 包功能, 防范局域网 ARP 欺骗 2.3 产品外观 2.3.1 前面板 TL-ER6110 的前面板由 5 个 10/100M 接口 1 个 Console 接口指示灯和 Reset 键组成如图 2-1 所示图 2-1 TL-ER6110 前面板示意图 5 个 10/100Mbps 自适应 RJ45 接口 TL-ER6110 支持 10Mbps/100Mbps 带宽的连接设备每个接口对应一组指示灯, 即 Link/Act 和 100M 指示灯 -6-

1 个 Console 接口 Console 接口位于面板最右边, 使用此接口可以对路由器进行命令行配置, 详见第 6 章命令行简介 Reset 键复位键在路由器通电的情况下, 使用尖状物按住路由器的 Reset 键, 等待 2-5 秒后, 见到系统指示灯快速闪烁 1-2 秒, 松开按键, 路由器将自动恢复出厂设置并重启路由器出厂默认管理地址是 http://192.168.1.1, 默认用户名 / 密码是 admin/admin 指示灯指示灯包括电源 PWR 指示灯,SYS 系统指示灯, 连接状态 Link/Act 指示灯,100M 速率指示灯, DMZ 接口状态指示灯通过指示灯可以监控路由器的工作状态, 下表将详细说明指示灯工作状态 : 指示灯名称状态描述 PWR SYS Link/Act 100M DMZ 电源指示灯系统指示灯状态指示灯速率指示灯 DMZ 接口状态指示灯常亮表示系统供电正常常灭表示电源关闭或电源故障系统正常工作时以每秒 1 次的频率闪烁, 其他状态表示系统异常常亮表示相应端口已正常连接闪烁表示相应端口正在传输数据常灭表示相应端口未建立连接常亮表示端口速率为 100Mbps 常灭表示端口速率为 10Mbps 或者未接入设备常亮表示 DMZ 接口已启用常灭表示 DMZ 接口已关闭 2.3.2 后面板路由器后面板由电源接口和防雷接地柱组成, 如图 2-2 所示 : 图 2-2 后面板示意图 -7-

电源接口位于后面板右侧, 接入电源需为 100-240V~ 50/60Hz 0.6A 的交流电源防雷接地柱请使用黄绿双色外皮的铜芯导线接地, 以防雷击, 具体请参考设备防雷安装手册注意 : 请使用原装电源线电源插座请安装在设备附近便于触及的位置, 以方便操作 -8-

第 3 章配置指南 3.1 登录 Web 界面第一次登录时, 需要确认以下几点 : 1) 路由器已正常加电启动, 任一 LAN 口已与管理主机相连 2) 管理主机已正确安装有线网卡及该网卡的驱动程序并已正确安装 IE 6.0 或以上版本的浏览器 3) 管理主机 IP 地址已设为与路由器 LAN 口同一网段, 即 192.168.1.X(X 为 2 至 254 之间的任意整数 ), 子网掩码为 255.255.255.0, 默认网关为路由器管理地址 192.168.1.1 也可选择自动获得 IP 地址来通过路由器 DHCP 自动分配 IP 地址 4) 为保证能更好地体验 Web 界面显示效果, 建议将显示器的分辨率调整到 1024 768 或以上像素打开 IE 浏览器, 在地址栏输入 http://192.168.1.1 登录 TL-ER6110 的 Web 管理界面路由器登录界面如图 3-1 所示图 3-1 路由器登录界面在此界面输入路由器管理帐号的用户名和密码, 出厂缺省值为 admin/admin 成功登录后将看到路由器的系统状态信息, 如图 3-2 -9-

图 3-2 TL-ER6110 系统状态 3.2 Web 界面简介 3.2.1 界面总览 TL-ER6110 路由器典型的 Web 界面如图 3-3 所示 -10-

图 3-3 典型 Web 界面在图 3-4 Web 界面区域划分中可以看到, 左侧为一级二级菜单栏, 右侧上方长条区域为菜单下的标签页, 当一个菜单包含多个标签页时, 可以通过点击标签页的标题在同级菜单下切换标签页右侧标签页下方区域可分为两部分, 条目配置区以及列表管理区 -11-

图 3-4 Web 界面区域划分 3.2.2 界面常见按钮及操作条目配置区常见按钮按钮含义保存当前配置信息新增当前配置信息修改并保存编辑后的配置信息快速清除当前配置项中已输入的所有信息打开当前功能的帮助界面 -12-

说明 : < 修改 > 按钮只有当编辑列表中的规则 / 条目时才会出现, 取代原本的 < 新增 > 按钮列表管理区常见按钮按钮含义选中当前列表中所有规则 / 条目启用选中的规则 / 条目, 可批量操作禁用选中的规则 / 条目, 可批量操作使选中的规则 / 条目生效, 可批量操作使选中的规则 / 条目不生效, 可批量操作删除选中的规则 / 条目, 可批量操作刷新列表列表管理区扩展按钮按照指定关键字段搜索相应的规则 -13-

列名选择当前列表中任一表头字段内容输入关键字状态指定搜索范围为启用禁用或者任意状态下的规则 / 条目列表管理区常见操作按钮名称含义编辑点击后, 需要编辑的规则 / 条目内容会出现在列表上方的配置管理区, 原 < 新增 > 按钮同时变为 < 修改 > 按钮在配置管理区修改当前配置后, 点击 < 修改 > 按钮保存生效该操作不可批量进行启用 / 生效点击后, 修改当前规则 / 条目状态该操作不可批量进行禁用 / 不生效点击后, 修改当前规则 / 条目状态该操作不可批量进行删除点击后, 删除当前规则 / 条目该操作不可批量进行 -14-

第 4 章功能设置 4.1 基本设置 4.1.1 系统状态系统状态界面显示路由器当前硬件和软件版本信息各接口配置信息以及系统资源使用情况界面进入方法 : 基本设置 >> 系统状态 >> 系统状态图 4-1 系统状态界面 -15-

4.1.2 系统模式 TL-ER6110 路由器可以工作在 3 种模式下 :NAT 模式路由模式和全模式若 TL-ER6110 需要作为网关应用在局域网与广域网之间, 拓扑如图 4-2, 可以将 TL-ER6110 系统模式设为 NAT 模式 ; 图 4-2 组网拓扑 -NAT 模式若 TL-ER6110 在大型组网内用于连接两个不同区域的网络, 这两个区域的主机都必须通过路由规则进行通信, 拓扑如图 4-3, 可以将 TL-ER6110 系统模式设为路由模式 ; 图 4-3 组网拓扑 - 路由模式若 TL-ER6110 应用于混合的组网拓扑中, 如图 4-4, 则可以将 TL-ER6110 系统模式设为全模式 -16-

图 4-4 组网拓扑 - 全模式界面进入方法 : 基本设置 >> 系统模式 >> 系统模式图 4-5 系统模式设置界面请根据实际网络需要选择路由器的工作模式 NAT 模式此模式下, 由局域网向广域网发送的数据包默认经过 NAT 转换, 但路由器对所有源地址与局域网接口不在同一网段的数据包均不进行处理例如, 路由器 LAN 口 IP 设置为 192.168.1.1, 子网掩码为 255.255.255.0,LAN 口所处网段为 192.168.1.0/24, 此时, 路由器收到源地址为 192.168.1.123 的数据包会进行 NAT 转换 ; 但如果收到源地址为 20.31.76.80 的数据包则直接丢弃路由模式此模式下, 处于不同网段的主机可以通过相应的路由设置进行通信, 但路由器不进行 NAT 转换例如, 当路由器 DMZ 口处于广域网模式时,DMZ 区域内主机需要以路由方式访问广域网中的服务器, 若静态路由规则允许, 则可正常通信此时, 局域网内的主机不能访问广域网说明 : 路由模式下, 所有转发规则将失效全模式全模式包含了 NAT 模式及路由模式, 此模式下, 路由器首先对符合 NAT 转发条件的数据包进行 NAT 转换 ; 若不符合, 则进行静态路由规则匹配, 匹配成功的数据包以路由模式进行转发 ; 匹配失败的数据包直接丢弃这样, 路由器既允许数据包进行 NAT 转换, 也不阻隔与接口在不同网段的数据包 -17-

4.1.3 WAN 设置 TL-ER6110 提供五种方式接入广域网 : 静态 IP 动态 IP PPPoE L2TP PPTP, 请根据 ISP(Internet Service Provider, 网络服务提供商 ) 提供的服务进行选择有线宽频一般使用动态 IP 连接方式 ; 光纤接入以及企业网吧局域网内组网一般使用静态 IP 连接方式 ; xdsl 拨号上网则使用 PPPoE 连接方式 ; 虚拟专用拨号网络一般使用 L2TP 或 PPTP 连接方式界面进入方法 : 基本设置 >> WAN 设置 >> WAN 设置 1) 静态 IP 连接若 ISP 提供了固定的 IP 地址, 请选择静态 IP 手动配置 WAN 口参数界面项说明 : 图 4-6 WAN 口设置界面 - 静态 IP 静态 IP 设置连接方式选择静态 IP 连接方式, 进行手动配置 IP 地址设置路由器 WAN 口的 IP 地址子网掩码设置路由器 WAN 口的子网掩码 -18-

网关地址设置网关地址 MTU MTU(Maximum Transmission Unit, 最大传输单元 ), 可以设置数据包的最大长度取值范围是 576-1500 之间的整数, 默认值为 1500 若 ISP 未提供 MTU 值, 请保持默认值不变首选 DNS 服务器设置 DNS(Domain Name Server, 域名解析服务器 ) 地址, 一般由 ISP 提供, 如果留空, 则无法通过域名访问互联网备用 DNS 服务器设置备用 DNS 地址, 一般由 ISP 提供, 允许留空上行带宽设置当前 WAN 接口数据流出的带宽大小下行带宽设置当前 WAN 接口数据流入的带宽大小 2) 动态 IP 连接若 ISP 提供 DHCP 自动分配地址服务, 请选择动态 IP 自动获取 WAN 口参数图 4-7 WAN 口设置界面 - 动态 IP -19-

界面项说明 : 动态 IP 设置连接方式选择动态 IP 连接方式点击 < 获取 > 得到 IP 参数, 点击 < 释放 > 则不再使用现有 IP 参数主机名输入用于标识路由器的名称 MTU MTU(Maximum Transmission Unit, 最大传输单元 ), 可以设置数据包的最大长度取值范围是 576-1500 之间的整数, 默认值为 1500 若 ISP 未提供 MTU 值, 请保持默认值不变手动设置 DNS 服务器如果需要手动设置 DNS(Domain Name Server, 域名解析服务 ) 地址, 请勾选此项首选 DNS 服务器设置 DNS 地址, 一般由 ISP 提供备用 DNS 服务器设置备用 DNS 地址, 一般由 ISP 提供, 允许留空上行带宽设置当前 WAN 接口数据流出的带宽大小下行带宽设置当前 WAN 接口数据流入的带宽大小动态 IP 状态连接状态显示当前 WAN 口 DHCP 分配状态未启用表示当前已选择动态 IP 连接方式但未保存生效 ; 正在连接表示当前路由器正在向 ISP 获取 IP 参数 ; 已连接表示路由器已成功获取 IP 参数 ; 未连接表示已手动释放连接, 或路由器已发起请求, 但未得到响应, 请检查连接线路是否正常, 若问题无法解决, 请与 ISP 联系 IP 地址显示自动获取到的 IP 地址子网掩码显示自动获取到的子网掩码网关地址显示自动获取到的网关地址 -20-

首选 DNS 服务器显示 DNS 地址备用 DNS 服务器显示备用 DNS 地址 3) PPPoE 连接式若使用 xdsl/cable Modem 拨号接入互联网,ISP 会提供上网帐号及密码, 请选择 PPPoE 连接方图 4-8 WAN 口设置界面 -PPPoE -21-

界面项说明 : PPPoE 设置连接方式选择 PPPoE 点击 < 连接 > 开始拨号并获取 IP 参数, 点击 < 断开 > 则取消与互联网的连接同时释放已获取的 IP 参数帐号 PPPoE 拨号的用户名, 由 ISP 提供密码 PPPoE 拨号的密码, 由 ISP 提供手动连接用户可在需要上网时手动点击 < 连接 > 按钮连入互联网, 适合按小时计费的拨号连接上网方式自动连接每次接通路由器电源, 路由器便自动拨号连入互联网, 适合不限时间的包月计费拨号连接上网方式定时连接设置连接时段, 在此时段内路由器如果开启则自动拨号连接, 适合用于需要限时上网的场合启用 PPPoE 高级设置可以在此手动指定 MTU 值服务名及 DNS(Domain Name Server, 域名解析服务 ) 地址如果不清楚这些参数, 请勿勾选此项 MTU MTU(Maximum Transmission Unit, 最大传输单元 ), 可以设置数据包的最大长度取值范围是 576-1492 之间的整数, 默认值为 1480 若 ISP 未提供 MTU 值, 请保持默认值不变服务名输入服务名称, 由 ISP 提供首选 DNS 服务器设置 DNS 地址, 一般由 ISP 提供备用 DNS 服务器设置备用 DNS 地址, 一般由 ISP 提供, 允许留空上行带宽设置当前 WAN 接口数据流出的带宽大小下行带宽设置当前 WAN 接口数据流入的带宽大小 -22-

PPPoE 状态连接状态显示当前 WAN 口 PPPoE 拨号连接状态未启用表示当前已选择 PPPoE 拨号连接方式但未保存生效 ; 正在连接表示当前路由器正在向 ISP 获取 IP 参数 ; 已连接表示路由器已成功获取 IP 参数 ; 未连接表示已手动断开连接, 或路由器已发起请求, 但未得到响应, 请检查用户名密码是否正确连接线路是否正常, 若问题无法解决, 请与 ISP 联系 IP 地址显示通过 PPPoE 拨号后获取到的 IP 地址网关地址显示通过 PPPoE 拨号后获取到的网关地址首选 DNS 服务器显示 DNS 地址备用 DNS 服务器显示备用 DNS 地址 4) L2TP 连接若使用 L2TP 虚拟专用拨号接入网络,ISP 会提供上网帐号及密码, 请选择 L2TP 连接方式进行设置 -23-

图 4-9 WAN 口设置界面 -L2TP 界面项说明 : L2TP 设置连接方式选择 L2TP 点击 < 连接 > 开始拨号并获取 IP 参数, 点击 < 断开 > 则取消与互联网的连接同时释放已获取的 IP 参数帐号 L2TP 拨号的用户名, 由 ISP 提供密码 L2TP 拨号的密码, 由 ISP 提供 -24-

服务器 IP/ 域名 L2TP 拨号的服务器的 IP 地址或域名, 由 ISP 提供 MTU MTU(Maximum Transmission Unit, 最大传输单元 ), 可以设置数据包的最大长度取值范围是 576-1460 之间的整数, 默认值为 1460 若 ISP 未提供 MTU 值, 请保持默认值不变静态 / 动态选择静态或动态获取 IP 地址若选择静态方式, 则需要手动设置 IP 地址 ; 若选择动态, 则外部的 DHCP 服务器将动态分配一个 IP 地址 IP 地址若选择静态, 设置路由器 WAN 口的 IP 地址 ; 若选择动态, 显示路由器 WAN 口获取到的 IP 地址子网掩码若选择静态, 设置路由器 WAN 口的子网掩码 ; 若选择动态, 显示路由器 WAN 口获取到的子网掩码网关地址若选择静态, 设置网关地址 ; 若选择动态, 显示获取到的网关地址首选 DNS 服务器若选择静态, 设置 DNS(Domain Name Server, 域名解析服务器 ) 地址, 一般由 ISP 提供, 如果留空, 则无法通过域名访问互联网 ; 若选择动态, 显示分配到的 DNS 地址备用 DNS 服务器若选择静态, 设置备用 DNS 地址, 一般由 ISP 提供, 允许留空 ; 若选择动态, 显示分配到的备用 DNS 地址手动连接用户可在需要上网时手动点击 < 连接 > 按钮进行连接自动连接每次接通路由器电源, 路由器便会进行自动拨号上行带宽设置当前 WAN 接口数据流出的带宽大小下行带宽设置当前 WAN 接口数据流入的带宽大小 L2TP 状态连接状态显示当前 WAN 口 L2TP 拨号连接状态未启用表示当前已选择 L2TP 拨号连接方式但未保存生效 ; 正在连接表示当前路由器正在向 ISP 获取 IP 参数 ; -25-

已连接表示路由器已成功获取 IP 参数 ; 未连接表示已手动断开连接, 或路由器已发起请求, 但未得到响应, 请检查用户名密码是否正确连接线路是否正常, 若问题无法解决, 请与 ISP 联系 IP 地址显示通过 L2TP 拨号后获取到的 IP 地址首选 DNS 服务器显示 DNS 地址备用 DNS 服务器显示备用 DNS 地址 5) PPTP 连接若使用 PPTP 虚拟专用拨号接入网络,ISP 会提供上网帐号及密码, 请选择 PPTP 连接方式进行设置 -26-

图 4-10 WAN 口设置界面 -PPTP 界面项说明 : PPTP 设置连接方式选择 PPTP 点击 < 连接 > 开始拨号并获取 IP 参数, 点击 < 断开 > 则取消与互联网的连接同时释放已获取的 IP 参数帐号 PPTP 拨号的用户名, 由 ISP 提供密码 PPTP 拨号的密码, 由 ISP 提供 -27-

服务器 IP/ 域名 PPTP 拨号的服务器的 IP 地址或域名, 由 ISP 提供 MTU MTU(Maximum Transmission Unit, 最大传输单元 ), 可以设置数据包的最大长度取值范围是 576-1460 之间的整数, 默认值为 1460 若 ISP 未提供 MTU 值, 请保持默认值不变静态 / 动态选择静态或动态获取 IP 地址若选择静态方式, 则需要手动设置 IP 地址 ; 若选择动态, 则外部的 DHCP 服务器将动态分配一个 IP 地址 IP 地址若选择静态, 设置路由器 WAN 口的 IP 地址 ; 若选择动态, 显示路由器 WAN 口获取到的 IP 地址子网掩码若选择静态, 设置路由器 WAN 口的子网掩码 ; 若选择动态, 显示路由器 WAN 口获取到的子网掩码网关地址若选择静态, 设置网关地址 ; 若选择动态, 显示获取到的网关地址首选 DNS 服务器若选择静态, 设置 DNS(Domain Name Server, 域名解析服务器 ) 地址, 一般由 ISP 提供, 如果留空, 则无法通过域名访问互联网 ; 若选择动态, 显示分配到的 DNS 地址备用 DNS 服务器若选择静态, 设置备用 DNS 地址, 一般由 ISP 提供, 允许留空 ; 若选择动态, 显示分配到的备用 DNS 地址手动连接用户可在需要上网时手动点击 < 连接 > 按钮进行连接自动连接每次接通路由器电源, 路由器便会进行自动拨号上行带宽设置当前 WAN 接口数据流出的带宽大小下行带宽设置当前 WAN 接口数据流入的带宽大小 PPTP 状态连接状态显示当前 WAN 口 PPTP 拨号连接状态未启用表示当前已选择 PPTP 拨号连接方式但未保存生效 ; 正在连接表示当前路由器正在向 ISP 获取 IP 参数 ; -28-

已连接表示路由器已成功获取 IP 参数 ; 未连接表示已手动断开连接, 或路由器已发起请求, 但未得到响应, 请检查用户名密码是否正确连接线路是否正常, 若问题无法解决, 请与 ISP 联系 IP 地址显示通过 PPTP 拨号后获取到的 IP 地址首选 DNS 服务器显示 DNS 地址备用 DNS 服务器显示备用 DNS 地址 4.1.4 LAN 设置 4.1.4.1 LAN 口设置在此设置 TL-ER6110 路由器 LAN 口的 IP 参数界面进入方法 : 基本设置 >> LAN 设置 >> LAN 口设置界面项说明 : 图 4-11 LAN 口设置界面 LAN 口设置 IP 地址设置路由器 LAN 口的 IP 地址, 默认值为 192.168.1.1, 可根据实际网络情况修改此值局域网内部可通过该地址访问路由器子网掩码设置路由器 LAN 口的子网掩码, 默认为 255.255.255.0, 可根据实际网络情况修改此值注意 : 若 LAN 口 IP 地址有修改, 必须在保存配置后使用新的 LAN 口地址登录路由器 Web 管理界面并且, 局域网内所有计算机网关地址子网掩码必须与修改后的 LAN 口设置保持一致, 才能正常通信 -29-

4.1.4.2 DHCP 服务 DHCP(Dynamic Host Configuration Protocol, 动态主机配置协议 ) 路由器具有 DHCP 服务功能, 能够为所有接入 TL-ER6110 并且应用 DHCP 服务的网络设备自动分配 IP 参数界面进入方法 : 基本设置 >> LAN 设置 >> DHCP 服务界面项说明 : 图 4-12 DHCP 服务设置界面配置参数 DHCP 服务器选择开启或关闭 DHCP 服务若希望路由器自动为计算机配置 TCP/IP 参数, 请选择启用地址池起始地址设置 DHCP 服务器自动分配 IP 地址的起始地址, 该地址必须与 LAN 口 IP 地址设置在同一网段, 默认值为 192.168.1.100 地址池结束地址设置 DHCP 服务器自动分配 IP 地址的结束地址, 该地址必须与 LAN 口 IP 地址设置在同一网段, 默认值为 192.168.1.199 地址租期设置 DHCP 分配地址有效时间, 超时将重新分配网关地址设置 DHCP 分配给客户端的网关地址, 推荐设置为 LAN 口 IP 地址缺省域名设置本地网域名, 允许留空首选 DNS 服务器设置 DNS 地址, 推荐设为路由器 LAN 口 IP 地址, 允许留空 -30-

备用 DNS 服务器设置备用 DNS 地址, 允许留空 4.1.4.3 客户端列表客户端列表显示已由 DHCP 分配 IP 参数的主机信息界面进入方法 : 基本设置 >> LAN 设置 >> 客户端列表图 4-13 客户端列表界面可通过客户端列表查询 DHCP 客户端信息如要获得最新 DHCP 服务分配的客户端信息, 请点击 < 刷新 > 按钮 4.1.4.4 静态地址分配可根据接入设备的 MAC 地址手动分配 IP 地址当对应的客户端设备请求 DHCP 服务器分配 IP 地址时,DHCP 服务器将自动为其分配指定的 IP 地址界面进入方法 : 基本设置 >> LAN 设置 >> 静态地址分配图 4-14 静态地址分配设置界面 -31-

界面项说明 : 静态地址 MAC 地址设置待分配 IP 地址的客户端的 MAC 地址 IP 地址指定当前 MAC 地址所对应的客户端的 IP 地址备注添加对本条目的说明信息启用 / 禁用规则选择启用或禁用本条静态地址分配规则地址列表在静态地址列表中, 可以对已保存的静态 IP 地址分配规则进行相应操作图 4-14 序号 1 规则的含义 :MAC 地址为 00-19-66-83-53-CF 的客户端, 指定其 IP 地址为 192.168.1.101, 该规则已禁用注意 : 为了避免冲突, 建议先进行 IP MAC 绑定, 具体操作请参考 4.4.1ARP 防护, 然后点击图 4-14 静态地址分配设置界面中的 < 导入 > 按钮, 直接获取 IP MAC 绑定列表中的静态地址条目 4.1.5 DMZ 设置 DMZ(Demilitarized Zone, 非军事区域 ) 也称隔离区 TL-ER6110 提供一个物理 DMZ 接口, 允许所有接入此端口的本地主机暴露在广域网中, 进行一些特别的网络应用服务, 如各种共享服务器视频会议等 DMZ 物理接口可以工作在两种模式下, 广域网模式或局域网模式广域网模式中,DMZ 区域直接以路由模式与广域网之间通信此时 DMZ 区域与广域网区域一样使用公有地址, 不能主动访问局域网 -32-

图 4-15 DMZ 口于广域网模式局域网模式中,DMZ 区域访问广域网区域时需要经过 NAT 进行地址转换此时 DMZ 区域可以使用与局域网区域不同网段的私有地址, 并且可以主动向局域网区域发起访问连接图 4-16 DMZ 口于局域网模式 4.1.5.1 DMZ 口设置在此控制 TL-ER6110 的 DMZ 口是否启用, 并设置其 IP 参数界面进入方法 : 基本设置 >> DMZ 设置 >> DMZ 口设置图 4-17 DMZ 口设置界面 -33-

界面项说明 : DMZ 口设置 DMZ 口状态设置是否启用 DMZ 口在不启用的状态下,DMZ 口功能与 LAN 口功能相同接口模式通过选择接口模式, 可以控制 DMZ 区域与广域网局域网之间的连接方式 IP 地址设置 DMZ 口的 IP 地址子网掩码设置 DMZ 口的子网掩码说明 : DMZ 口开启后将具有 DHCP 服务客户端列表及静态地址分配功能设置, 具体设置请参考第 4.1.4.2 至 4.1.4.4 小节注意 : 当 DMZ 口开启并处于广域网模式时, 若 ISP 为 DMZ 口提供的是单一广域网 IP 地址, 请勿开启 DMZ 口的 DHCP 服务, 否则 DMZ 区域内的主机分配到的地址不能正常访问广域网若 ISP 提供的是地址段, 请按照地址段范围设置 DHCP 地址池 4.1.6 MAC 设置路由器 MAC 地址是它在网络中的身份标志, 一般来说无需更改 LAN 口 MAC 设置 : 在一个所有设备都进行了 ARP 绑定的复杂拓扑中, 如果其中一个网络节点的路由器更换为 TL-ER6110, 为避免该节点下面接入的所有网络设备都更新 ARP 绑定表, 直接将 TL-ER6110 的 LAN 口 MAC 地址设置为原路由器的 MAC 地址即可 WAN 口 MAC 设置 : 有些 ISP 要求上网帐号与拨号设备的 MAC 绑定, 若此时拨号设备更换为 TL-ER6110, 只需将路由器 WAN 口的 MAC 地址设置为原拨号设备的 MAC 地址即可 DMZ 口 MAC 设置 : DMZ 口的 MAC 应用方式与 LAN 口类似界面进入方法 : 基本设置 >> MAC 设置 >> MAC 设置 -34-

图 4-18 MAC 设置界面界面项说明 : MAC 设置接口显示当前路由器各接口当前 MAC 地址显示当前各接口的 MAC 地址设置如需恢复初始状态, 请点击 < 出厂 MAC> 按钮如需将当前 MAC 地址设置为管理主机 MAC 地址, 即当前登录路由器进行配置管理的主机 MAC 地址, 请点击 < 管理主机 MAC> 按钮 ; 该条目不出现在 LAN 口和 DMZ 口设置栏注意 : 为了防止局域网内 MAC 地址冲突, 路由器 LAN 口的 MAC 地址不能设置成当前管理主机的 MAC 地址 4.1.7 交换机设置 TL-ER6110 路由器具备一些简单的交换机端口管理功能在此可以实时查看路由器各端口的数据流通状况, 并进行相应的控制和管理 -35-

4.1.7.1 端口统计用于交换信息的数据包在数据链路层通常称为帧可以通过此功能查看各个端口收发数据帧的统计信息界面进入方法 : 基本设置 >> 交换机设置 >> 端口统计界面项说明 : 图 4-19 端口统计界面统计列表单播帧目的 MAC 地址为单播 MAC 地址的正常数据帧数目广播帧目的 MAC 地址为广播 MAC 地址的正常数据帧数目流控帧接收 / 发送的流量控制数据帧数目多播帧目的 MAC 地址为多播 MAC 地址的正常数据帧数目所有帧接收 / 发送所有的数据帧的总字节数 ( 包含校验和错误的帧 ) -36-

过小帧收到的长度小于 64 字节的数据帧数目 ( 包含校验和错误的帧 ) 正常帧收到的长度在 64 字节到最大帧长之间的数据帧数目 ( 包含错误帧 ) 对于不带 tag 标签的帧, 路由器支持的最大帧长为 1518 字节 ; 对于带 tag 标签的帧, 路由器支持的最大帧长为 1522 字节过大帧收到的长度大于最大帧长的数据帧数目 ( 包含错误帧 ) 勾选最后一行的复选框后, 点击 < 清空统计 > 按钮, 即可清空该列对应端口的统计数据点击 < 清空所有 > 按钮可以一次清空所有统计数据 4.1.7.2 端口监控可以在此开启和设置端口监控功能被监控端口的报文会被自动复制到监控端口, 以便网络管理人员实时查看被监控端口传输状况的详细资料, 对其进行流量监控性能分析和故障诊断界面进入方法 : 基本设置 >> 交换机设置 >> 端口监控界面项说明 : 图 4-20 端口监控设置界面功能设置启用端口监控勾选即启用端口监控推荐勾选, 方便及时了解路由器端口报文信息监控模式选择对数据包进行输出监控或者输入输出监控 -37-

监控列表监控端口只能选择一个端口做监控端口被监控端口被监控端口可以为多个, 但不包含当前的监控端口图 4-20 监控列表的含义是 :LAN1 被选作监控端口, 它将对 LAN2 进行输入输出监控说明如果监控端口为 LAN 口, 被监控端口中有其他 LAN 口, 则这些 LAN 口必须属于同一个 Port VLAN 中, 端口监控功能才能生效应用举例某企业网络出现异常状况, 需要利用端口监控功能捕获网络中的所有数据进行分析可通过端口监控实现此需求勾选启用端口监控, 并选择输入输出监控的监控模式, 设置 LAN2 为监控端口, 监控其它端口的输入输出数据, 如下图设置完成后, 点击 < 保存 > 按钮 4.1.7.3 端口流量限制可以在此开启各端口的流量限制功能并进行相应设置界面进入方法 : 基本设置 >> 交换机设置 >> 端口流量限制 -38-

图 4-21 端口流量限制设置界面界面项说明 : 功能设置端口显示所有物理端口, 需要对某个端口进行流量限制时, 在其对应行设置即可入口限制状态勾选启用后, 后续设置的入口限制模式和速率才会生效入口限制模式有所有帧 FLOOD ( 端口的广播多播帧以及目的 MAC 地址不存在于地址表的帧 ) 广播和多播和广播四种模式, 选择其一入口限制速率有从小到大 128Kbps/ 256Kbps/ 512Kbps/ 1Mbps/ 2Mbps/ 4Mbps/ 8Mbps 七种速率, 选择其一出口限制状态勾选启用, 后续设置的出口限制速率才会生效出口限制速率有从小到大 128Kbps/ 256Kbps/ 512Kbps/ 1Mbps/ 2Mbps/ 4Mbps/ 8Mbps 七种速率, 选择其一图 4-21 第一行的含义是 : 开启 WAN 口的入口和出口限制状态, 设置 WAN 口的入口限制模式为 FLOOD, 并将其入口 / 出口速率均设为 128Kbps 设置完成后,WAN 口的 FLOOD 模式入口数据帧的接收速率及所有出口数据帧的发送速率将不会超过 128Kbps 4.1.7.4 端口参数可以在此启用各物理端口及其流量限制, 并根据需要设定其协商模式界面进入方法 : 基本设置 >> 交换机设置 >> 端口参数 -39-

图 4-22 端口参数设置界面界面项说明 : 功能设置端口状态只有勾选了启用该端口才会有数据包的传输, 即物理意义上的开启流量控制推荐勾选启用以控制调节各端口数据包转发的速率, 避免出现拥塞协商模式有 10M 全 / 半双工 100M 全 / 半双工自协商 5 种模式可选, 择需使用所有端口这一栏可对以上所有端口进行统一设置, 比如同时启用或禁用 4.1.7.5 端口状态可以在此查看各个端口的基本状态界面进入方法 : 基本设置 >> 交换机设置 >> 端口状态图 4-23 端口状态界面 -40-

4.1.7.6 Port VLAN VLAN(Virtual Local Area Network, 虚拟局域网 ) 是从逻辑上而非物理上, 将整个局域网分割成几个不同的广播域, 数据只能在 VLAN 内进行交换一个稍具规模的网络如果只有一个广播域, 那么在网络内不断发送的广播包很容易造成广播风暴, 消耗网络整体带宽, 并给网络中的主机带来额外的负担划分 VLAN 以后, 数据只会在自己所属的 VLAN 内广播, 所以可以控制广播风暴, 同时还能增强网络安全, 简化网络管理 TL-ER6110 提供基于端口划分 VLAN 的 Port VLAN 功能, 可以把路由器的若干 LAN 口从逻辑上划分为多个 VLAN 界面进入方法 : 基本设置 >> 交换机设置 >> Port VLAN 界面项说明 : 图 4-24 Port VLAN 设置界面功能设置 VLAN 配置各端口所属 VLAN 说明 Port VLAN 的划分只能在 LAN 口中进行当 DMZ 接口的状态改变的时候, 会影响到原先 Port VLAN 的配置当改变 DMZ 接口的状态后, 建议检查 Port VLAN 的配置, 必要时重新设置 4.2 用户管理 4.2.1 组设置可以在此创建修改或者删除组界面进入方法 : 用户管理 >> 组设置 -41-

图 4-25 组设置界面界面项说明 : 组设置组名称输入一个名称来标识一个组, 可以输入 1~28 个字符备注添加对当前组的说明信息组列表在组列表中, 可以对已创建的组进行相应设置 4.2.2 用户设置可以在此添加修改或者删除用户界面进入方法 : 用户管理 >> 用户设置 -42-

图 4-26 用户设置界面界面项说明 : 用户设置用户名输入一个名称来标识一个用户, 可以输入 1~28 个字符 IP 输入当前用户的 IP 地址此处只能输入单个 IP 地址, 如果需要设置 IP 地址段, 请点击页面下方 < 批量处理 > 按钮进行操作批量增加用户时, 如果新增用户的 IP 地址与某个已有用户的 IP 地址重复, 那么已有用户的信息将会被删除备注添加对当前用户的说明信息用户列表在用户列表中, 可以对已创建的用户进行相应设置 4.2.3 视图可以在此设置用户视图或者组视图界面进入方法 : 用户管理 >> 视图 -43-

图 4-27 视图界面界面项说明 : 视图设置视图选择选择需要设置的视图可以选择用户视图为用户指定所属组, 也可以选择组视图为组添加用户或子组用户名选择用户视图, 可在下拉菜单中选择所需设置的用户可选组显示可以包含该用户的组所属组显示已经包含该用户的组组名选择组视图, 可在下拉菜单中选择所需设置的组查看该组结构可以查看以该组为根节点组成的树, 树中包含该组的所有子组和用户, 其中组名以粗体显示可选用户显示该组可以包含的用户和子组包含用户显示该组已经包含的用户和子组 -44-

4.3 传输控制 4.3.1 转发规则路由器通过 NAT(Network Address Translation, 网络地址转换 ) 技术, 可以在局域网主机主动发起对广域网的访问时实现双方的互相通信其原理是 : 当通信数据包经过路由器时,NAT 技术会将数据包中的 IP 地址在局域网地址与广域网地址间转换, 同时也进行端口号的转换如今随着计算机的普及, 广域网 IP 地址已经供不应求, 通过 NAT 技术, 局域网内所有主机在通信时可以使用一个广域网 IP 地址, 而局域网内不同的主机使用不同的端口号, 解决了 IP 地址紧缺的问题在应用了 NAT 及其扩展技术的网络环境中, 局域网主机是不会直接被广域网主机发现的, 因此 NAT 也为局域网提供了一定的网络安全保障当有广域网主机需要主动访问局域网主机时, 就必须通过转发规则来实现 4.3.1.1 NAT 映射 NAT 映射, 可以将特定的局域网 IP 地址与指定的广域网 IP 地址唯一对应, 多用于局域网内的服务器搭建可在此设置 NAT 的端口范围和 NAT 映射关系界面进入方法 : 传输控制 >> 转发规则 >> NAT 映射界面项说明 : 图 4-28 NAT 映射设置界面 NAT 服务设置 -45-

源端口范围设置作为 NAT 源端口的端口范围, 范围跨度必须大于或等于 100 可设置范围为 2049-65000 NAT 映射映射地址设置局域网 IP 地址和广域网 IP 地址的一对一映射第一个输入框中应填写局域网 IP 地址, 第二个输入框中应填写广域网 IP 地址 TL-ER6110 只允许 LAN 口到 WAN 口的映射出接口设定数据包发送出去的接口 DMZ 转发设置是否开启该条 NAT 映射条目的 DMZ 转发开启后所有广域网中发往映射后地址的数据报将被转发至映射前地址备注添加对本条目的说明信息启用 / 禁用规则设置该条 NAT 映射条目是否生效映射列表在映射表中, 可以对已保存的 NAT 映射条目进行相应设置图 4-28 序号 1 条目的含义 : 局域网主机 host1 的 IP 地址为 192.168.1.101, 指定经 NAT 映射后的广域网 IP 地址为 222.135.48.52,DMZ 转发已开启, 映射设置已启用当 host1 与广域网通信时, 从 WAN 口发出的数据包源 IP 地址将被 NAT 转换为广域网 IP 地址 222.135.48.52, 而从广域网返回的数据包目的 IP 地址会被 NAT 转换为局域网 IP 地址 192.168.1.101 注意 : NAT 映射只适用于 WAN 口使用静态 IP 连接方式的场合若 WAN 口连接方式从静态 IP 切换为动态 IP PPPoE L2TP 或 PPTP, 以前设置的 NAT 映射都将失效, 直接在动态 IP PPPoE L2TP 或 PPTP 连接状态下设置的 NAT 映射也都不起作用 4.3.1.2 多网段 NAT 多网段 NAT, 可以支持 LAN 或者 DMZ 接口下多个网段的 IP 通过 NAT 转换访问广域网界面进入方法 : 传输控制 >> 转发规则 >> 多网段 NAT -46-

图 4-29 多网段 NAT 设置界面界面项说明 : 多网段 NAT 规则网段地址设置需要进行 NAT 转换的网段地址, 以子网掩码值划分地址范围接口在下拉列表中选择网段所在的接口, 可选择 LAN 或者 DMZ 启用 / 禁用规则设置该条多网段 NAT 规则是否生效备注添加对本条规则的说明信息规则列表在规则列表中, 可以对已保存的多网段 NAT 规则进行相应设置图 4-29 序号 1 规则的含义 : 这是一条名为 tplink1 的多网段 NAT 规则, 路由器 LAN 口下的网段为 220.181.6.0/24, 本条规则已启用在进行相应的静态路由规则设置后, 该网段将可以通过本路由器进行 NAT 转换之后访问广域网注意 : 多网段 NAT 功能需要同时配置静态路由才能生效只有当 DMZ 口开启时,DMZ 选项才在接口的下拉菜单中显示子网掩码值的相关设置请参考附录 A 常见问题中的问题 5-47-

应用举例某网吧的网络结构如下 : TL-ER6110 的 LAN 网段为 192.168.1.0 /24, 三层交换机下 VLAN2 网段为 192.168.2.0 /24,VLAN3 网段为 192.168.3.0 /24, 三层交换机与 TL-ER6110 的 LAN 口级联 VLAN IP 为 192.168.1.2 现要实现 VLAN2 和 VLAN3 网段可以访问互联网可以通过如下设置来实现 : 1. 首先设置多网段 NAT 规则, 分别添加 VLAN2 与 VLAN3 的网段地址设置完成后的规则如下 : -48-

2. 然后设置相应的静态路由规则, 指定下一跳为网段地址所属三层交换机与本路由器 LAN 口直接相连的接口 IP 界面进入方法 : 传输控制 >> 路由设置 >> 静态路由设置完成后的静态路由如下 : 4.3.1.3 虚拟服务器在路由器默认设置下, 广域网中的主机不能直接与局域网主机进行通信为了方便广域网的合法用户访问本地主机, 又要保护局域网内部不受侵袭, 路由器提供了虚拟服务器功能可以通过虚拟服务器定义一个服务端口, 并以 IP 地址指定其对应的局域网服务器, 则广域网所有对此端口的服务请求都将被重定位到该服务器上这样广域网的用户便能成功访问局域网中的服务器, 同时不影响局域网内部的网络安全界面进入方法 : 传输控制 >> 转发规则 >> 虚拟服务器 -49-

图 4-30 虚拟服务器设置界面界面项说明 : NAT DMZ 服务 NAT DMZ 服务设置是否启用 NAT DMZ 服务 NAT DMZ 是 NAT 应用的一种特殊服务, 相当于一条默认的转发规则若主机开启了 NAT DMZ 服务, 路由器会将所有由广域网发起的不符合所有现有连接和转发规则的数据全部转发至指定的主机主机地址指定作为 NAT DMZ 服务器的主机 IP 地址虚拟服务服务名称用户自定义, 标识一条虚拟服务器规则名称长度需在 28 个字符以内, 中英文均可, 一个中文占用 2 个字符空间外部端口为本条虚拟服务器规则指定路由器提供给广域网的服务端口或端口范围, 广域网对该端口或端口范围的访问都将被重定位到局域网中指定的服务器内部端口指定局域网内虚拟服务器主机的实际服务端口 -50-

服务协议指定应用本条虚拟服务器规则的数据包协议类型内部服务器 IP 为本条虚拟服务器规则指定局域网服务器的 IP 地址外网对局域网指定端口的访问都将发送到该主机启用 / 禁用规则设置是否应用本条虚拟服务器规则注意 : 外部端口与内部端口的取值范围均为 1-65535 之间的任意整数不同虚拟服务器规则的外部端口取值不能相同, 内部端口取值可相同服务列表在服务列表中, 可以对已保存的虚拟服务器规则进行相应设置图 4-30 序号 1 规则的含义 : 这是一条名为 apply1 的虚拟服务器规则, 由广域网向路由器 12892-12893 端口发起的 TCP/UDP 数据都将转发到局域网 IP 地址为 192.168.1.103 主机的 12892-12893 端口上, 本条规则已启用 4.3.1.4 端口触发由于防火墙的存在, 一些如网络游戏视频会议网络电话 P2P 下载等应用程序需要通过设置转发规则才能正常工作, 而这些应用程序又要求多个端口连接, 针对单一端口的虚拟服务器功能已不能满足需求, 此时就需要使用端口触发功能当一个应用程序向触发端口发起连接时, 对应开放端口中的所有端口就会打开, 以备后续连接界面进入方法 : 传输控制 >> 转发规则 >> 端口触发 -51-

图 4-31 端口触发设置界面界面项说明 : 端口触发服务名称用户自定义, 标识一条端口触发规则名称长度需在 28 个字符以内, 中英文均可, 一个中文占用 2 个字符空间触发端口应用程序首先发起连接的一个或多个端口只有该端口发起连接时, 对应开放端口中的所有端口才可以开放, 并为应用程序提供服务, 否则开放端口中的所有端口是不会开放的触发协议设定在触发端口上使用的数据包协议类型开放端口为应用程序提供服务的一个或多个端口当触发端口上发起连接后, 开放端口打开, 之后应用程序便可以通过这些开放端口发起后续连接开放协议设定在开放端口上使用的数据包协议类型启用 / 禁用规则设置是否应用本条端口触发规则 -52-

注意 : 触发端口与开放端口的取值范围均为 1-65535 之间的任意整数开放端口取值可以指定一个连续的范围, 如 8690-8696 路由器支持 16 条端口触发规则, 每条规则最多支持 5 组触发端口, 且这些触发端口不能重叠每条规则最多支持 5 组开放端口, 每条规则的开放端口数总和需小于或等于 100 触发列表在触发列表中, 可以对已保存的端口规则进行相应设置图 4-31 序号 1 规则的含义 : 这是一条名为 apply1 的端口触发服务规则, 当局域网内发起端口为 5350 和 5354 的 TCP 访问时, 对 TCP 和 UDP 协议开放 5355-5358 端口 4.3.1.5 ALG 服务 ALG(Application Layer Gateway, 应用层网关 ) 为了保证一些应用程序的正常使用, 请开启 ALG 服务界面进入方法 : 传输控制 >> 转发规则 >> ALG 服务界面项说明 : 图 4-32 ALG 服务设置界面 ALG 服务 FTP ALG 选择启用或禁用 FTP ALG 服务, 默认为启用, 如无特殊需求请保持默认配置不变 H.323 ALG 选择启用或禁用 H.323 ALG 服务, 默认为启用, H.323 多媒体协议多用于视频会议 IP 电话等场合 -53-

SIP ALG 选择启用或禁用 SIP ALG 服务, 默认为启用, 如无特殊需求请保持默认配置不变 IPsec ALG 选择启用或禁用 IPsec ALG 服务, 默认为启用, 如无特殊需求请保持默认配置不变 PPTP ALG 选择启用或禁用 PPTP ALG 服务, 默认为启用, 如无特殊需求请保持默认配置不变 4.3.2 带宽控制带宽控制功能通过对各种数据流设置相应的限制规则, 实现对数据传输的带宽控制, 从而使有限的带宽资源得到合理分配, 达到有效利用现有带宽的目的 4.3.2.1 基本设置界面进入方法 : 传输控制 >> 带宽控制 >> 基本设置界面项说明 : 图 4-33 带宽控制基本设置界面功能设置不启用带宽控制勾选此项时, 所有带宽控制设置均不生效 -54-

启用普通带宽控制勾选此项以启用普通带宽控制功能启用智能带宽控制勾选此项以启用智能带宽控制功能当带宽利用率达到指定的值时, 带宽控制功能生效 WAN 口带宽接口路由器 WAN 口上行带宽显示 WAN 口数据流出的带宽上限, 如需调整, 请至 WAN 设置页面修改相应 WAN 口参数下行带宽显示 WAN 口数据流入的带宽上限, 如需调整, 请至 WAN 设置页面修改相应 WAN 口参数默认规则带宽数据流向上行表示由局域网发送数据到广域网, 如局域网内计算机向广域网上的 FTP 服务器上传文件 ; 下行表示由广域网发送数据到局域网, 如局域网内计算机从广域网上的 FTP 服务器下载文件最小保证带宽设置在物理带宽不足的前提下, 对应数据流向至少能够享有的最小带宽最大限制带宽设置对应数据流向的带宽上限说明 : WAN 口的出入带宽必须小于或者等于 ISP 提供的参数如果超过实际物理带宽, 则带宽控制功能失效若有数据由 A 接口流入路由器后由 B 接口流出, 而 A 接口入口带宽与 B 接口出口带宽不同时, 以两者带宽的最小值为有效带宽通过页面上的 < 查看 IP 流量统计 > 按钮, 可跳转至 IP 流量统计页面 4.3.2.2 带宽控制规则可以在此设置带宽控制规则的参数界面进入方法 : 传输控制 >> 带宽控制 >> 带宽控制规则 -55-

图 4-34 带宽控制规则设置界面界面项说明 : 带宽控制规则数据流向选择控制规则的数据流向箭头方向代表数据流向和受控主机所在的域只有当 DMZ 口开启时,DMZ 口选项才在下拉菜单中显示组设置受控数据包发出的源地址范围由用户管理的组来表示如需新建组, 请参考 4.2.1 组设置带宽模式独立模式即受控地址范围内每一个 IP 地址都将应用当前规则所设置的带宽限制 ; 共享模式即受控地址范围内所有 IP 地址带宽总和为当前规则所设置的带宽限制上行最小保证带宽设置上行最小保证带宽, 即在物理带宽不足的前提下, 上行数据流至少能够享有的最小带宽上行最大限制带宽设置上行最大限制带宽, 即上行数据流所能享有的最大带宽下行最小保证带宽设置下行最小保证带宽, 即在物理带宽不足的前提下, 下行数据流至少能够享有的最小带宽下行最大限制带宽设置下行最大限制带宽, 即下行数据流所能享有的最大带宽 -56-

规则生效时间表指定规则生效时间, 其他时间规则不生效时间以 24 小时制进行设定, 精确到分钟, 下方可勾选生效的日期, 以一周为单位备注添加对本条规则的说明信息启用 / 禁用规则选择启用或禁用本条带宽控制规则规则列表在规则列表中, 可以对已保存的带宽控制规则进行相应设置图 4-34 序号 1 规则的含义 : 处于 LAN 中的用户组 sales 内的主机共享带宽, 当这些主机向广域网发送数据包时, 保证上行和下行的最小带宽各为 5000Kbps, 最大带宽各为 10000Kbps 该规则周一至周五 8 点至 22 点生效说明 : 单条规则生效的前提是 : 这条带宽控制规则所属接口的物理带宽足够大, 且尚未被用尽异常情况 : 各带宽控制规则的最小保证带宽之和大于总物理带宽当某接口所有带宽控制规则的最小保证带宽之和大于此接口的物理带宽时, 意味着无论如何都无法同时满足所有带宽控制规则的最小保证带宽在 DMZ 口关闭状态下, 不提供与 DMZ 口相关规则的新增修改启用或禁用操作, 仅提供对该规则的删除操作用户组及组内成员的管理操作功能请参考 4.2 用户管理 4.3.3 连接数限制作为局域网的统一出口, 路由器支持的 TCP 和 UDP 连接数是有限的, 如果局域网内有部分主机向广域网发起的 TCP 和 UDP 数目过多, 影响局域网其他计算机的通信质量, 就有必要对这部分计算机进行连接数限制 4.3.3.1 连接数限制规则可以在此对指定 IP 的计算机连接数限制进行设置界面进入方法 : 传输控制 >> 连接数限制 >> 连接数限制规则 -57-

图 4-35 连接数限制规则设置界面界面项说明 : 功能设置启用连接数限制勾选此项以启用连接数控制不勾选时, 所有连接数限制均不生效连接数限制规则组设置需要进行连接数限制的主机的 IP 地址段由用户管理的组来表示, 限制规则将对组内每一个用户生效如需新建组, 请参考 4.2.1 组设置最大连接数为本条规则设置相应的最大连接数备注添加对本条规则的说明信息启用 / 禁用规则选择启用或禁用本条规则规则列表在规则列表中, 可以对已保存的连接数限制规则进行相应设置图 4-35 序号 1 规则的含义 : 组名为 My 内的主机向广域网发起的最大连接数被限制为 300 条, 该条规则已启用 -58-

说明 : 用户组及组内成员的管理操作功能请参考 4.2 用户管理 4.3.3.2 连接数监控监控列表显示局域网主机的连接数限制情况界面进入方法 : 传输控制 >> 连接数限制 >> 连接数监控图 4-36 连接数监控界面可通过监控列表搜索查询已设置连接数限制规则的用户组主机连接数信息如需获取最新信息, 请点击 < 刷新 > 按钮 4.3.4 路由设置 4.3.4.1 静态路由路由, 是选择一条最佳路径把数据从源地点传送到目的地点的行为静态路由则是由网络管理员手动配置的一种特殊路由, 具有简单高效可靠等优点静态路由不随着网络拓扑的改变而自动变化, 多用于网络规模较小, 拓扑结构固定的网络中当网络的拓扑结构或链路的状态发生变化时, 网络管理员需要手动修改路由表中相关的静态路由信息界面进入方法 : 传输控制 >> 路由设置 >> 静态路由 -59-

图 4-37 静态路由设置界面界面项说明 : 静态路由规则目的地址设定数据包需要到达的目的 IP 地址子网掩码设定目的 IP 地址的子网掩码下一跳指定一个 IP 地址, 路由器下一步会将符合条件的数据包转发到该地址上出接口设定数据包发送出去的接口 Metric 设定路由规则的优先级, 数值越低则优先级越高如无特殊需要请保持默认值 0 备注添加对本条规则的说明信息规则列表在规则列表中, 可以对已保存的静态路由规则进行相应设置图 4-37 序号 1 规则的含义 : 如果有数据包发往一个 IP 地址为 192.168.3.56, 子网掩码为 255.255.255.255 的设备, 则路由器会将数据包从 LAN 口转发至下一跳地址 192.168.3.1, 该路由规则已启用优先级为 0-60-

应用举例某拓扑结构如下图所示 : TL-ER6110 的 LAN 口连接 LAN1(192.168.1.0/24) 网段, 另一路由器 R1 的 LAN 口连接 LAN2 (192.168.2.0/24) 网段, 两个路由器的 WAN 口互连,WAN 口 IP 地址处于同一网段现在 TL-ER6110 下 LAN1 网段中的一台主机需要访问 LAN2 网段的主机可以通过在路由器上设置一条静态路由来实现在 TL-ER6110 静态路由界面设置到 LAN2 网段的下一跳地址为路由器 R1 的 WAN 口地址 116.31.88.16, 如下图最后点击 < 新增 > 按钮保存规则 4.3.4.2 RIP 服务 RIP(Routing Information Protocol, 路由信息协议 ), 是一种采用距离向量算法选择最优路径的动态路由协议, 因其易于配置管理和实现, 被广泛应用于如校园网等中小规模的网络中 RIP 的距离是数据包发往目的站点需经过的路由跳数, 取值为 1-15, 超过 15 则是无穷大, 表示目的地无法到达最优路径即所经跳数最少的网络链路 RIP 每隔 30 秒通过 UDP 报文以广播形式交换一次路由信息如果在 180 秒内未收到某一路由条目的信息, 则 RIP 协议就会将该条路由的距离设定成无穷大, 并删除路由表中相关信息 RIP 协议在应用中不断地被完善, 从最初的 RIPv1 版本基础上逐渐发展出了 RIPv2 版本的协议 RIPv2 相较 RIPv1 还支持 VLSM(Variable Length Subnet Mask, 可变长子网掩码 ) 简单明文认证 MD5 密文认证 CIDR(Classless Inter-Domain Routing, 无类型域间选路 ) 和多播, 相对于 RIPv1 应用更加灵活 TL-ER6110 同时支持 RIPv1 和 RIPv2 两种版本的协议, 可以根据实际的网络需求设置, 以提高网络性能 -61-

界面进入方法 : 传输控制 >> 路由设置 >> RIP 服务界面项说明 : 图 4-38 RIP 服务设置界面 RIP 服务设置接口显示目前路由器所有存在物理连接的接口接口状态选择是否启用 RIP 协议输出版本选择是以何种形式向外发送路由信息其中 RIPv2 支持多播和广播两种形式密码认证如果应用 RIPv2, 可以根据实际网络情况设置密码认证, 认证密码不超过 15 位所有接口在此可以对所有接口进行批量操作接口状态增加禁用一项, 选择后所有接口都不应用 RIP 协议 RIP 路由表启用 RIP 协议后, 路由器收到数据包后经 RIP 协议转发的信息将会显示在列表中图 4-38 序号 1 条目的含义 : 当收到目的地址在 116.20.10.0/24 网段的数据包时, 路由器将选择与目的地址同网段的 WAN 口作为下一跳, 并转发数据, 此时下一跳 IP 地址为 116.20.10.116. 数据包经过的跳数为 1, 该条目的生存时间为 0 秒, 表示永久生效 -62-

注意 : 当系统模式为 NAT 模式时不支持 RIP 路由设置, 若需设置 RIP 路由, 请将当前系统模式更改为路由模式或全模式仅当 WAN 口的连接方式为静态 IP 时, 该 WAN 口的 RIP 服务才会生效 4.4 安全管理 4.4.1 ARP 防护一台主机向局域网内另一台主机发送 IP 数据包, 此时设备需要通过 MAC 地址确定目的接口才能进行通信, 而 IP 数据包中不包含有 MAC 地址信息, 因此需要将 IP 地址解析为 MAC 地址 ARP(Address Resolution Protocol, 地址解析协议 ) 正是用来实现这一目的的网络协议网络中的所有设备, 包括路由器和计算机在内, 都各自维护一份 ARP 列表, 该列表建立了主机 IP 地址和 MAC 地址一一对应关系按照 ARP 协议的设计, 设备通过数据包的交互学习到其他设备的 IP 地址和 MAC 地址信息, 并将这些信息添加至自身的 ARP 表中每次通信时会先通过该表查找对应地址, 减少网络上过多的 ARP 通信量但设备同时也会接收不是自己主动请求的 ARP 应答, 这就为 ARP 欺骗创造了条件 ARP 欺骗是局域网的攻击主机发送 ARP 欺骗包, 将伪造的 IP 与 MAC 对应关系替换设备 ARP 列表中的记录, 从而导致局域网内计算机不能正常上网这类 ARP 攻击严重影响了局域网内部通信, 由此便产生了 ARP 防护技术 4.4.1.1 IP MAC 绑定 IP MAC 绑定是一种防护技术, 能够防止 ARP 列表被伪造的 IP MAC 对应信息替换界面进入方法 : 安全策略 >> ARP 防护 >> IP MAC 绑定 -63-

图 4-39 IP MAC 绑定设置界面界面项说明 : 功能设置推荐勾选所有项目, 但请注意在勾选仅允许 IP MAC 绑定的数据包通过路由器选项前, 先将管理主机的 IP MAC 信息导入绑定列表中, 并设置生效当路由器受到 ARP 攻击时, 路由器会将自身正确的 ARP 列表信息以 GARP(Gratuitous ARP, 免费 ARP) 包的方式主动发送给被攻击的设备, 从而替换该设备错误的 ARP 列表信息可在发包间隔处指定发包速率勾选启用 ARP 日志记录后路由器会将 ARP 日志发送到指定的日志服务器中日志服务器地址即 4.7.5 系统日志中设置的服务器地址 IP MAC 绑定 IP 地址手动输入需要进行绑定的 IP 地址 MAC 地址手动输入与 IP 地址正确对应的 MAC 地址 -64-

备注添加对本条目的说明信息启用 / 禁用规则选择启用或禁用本条绑定规则绑定列表在绑定列表中, 可以对已保存的 ARP 绑定条目进行相应设置图 4-39 序号 1 条目的含义 : 目前路由器已将 IP 地址 192.168.1.101 与 MAC 地址 00-19-66-83-53-CF 进行绑定, 该绑定规则已启用注意 : 若当前绑定列表中所有条目都禁用, 在勾选仅允许 IP MAC 绑定数据包通过路由器的功能设置选项并保存后, 将无法登录路由器 Web 管理界面, 此时必须将路由器恢复出厂配置才能再次登录 4.4.1.2 ARP 扫描 ARP 扫描界面可以将指定范围内的 IP 与其对应 MAC 地址全部扫描出来, 在扫描列表中显示界面进入方法 : 安全策略 >> ARP 防护 >> ARP 扫描图 4-40 ARP 扫描界面在扫描范围填入起始 IP 与结束 IP 后, 点击 < 开始扫描 > 按钮, 路由器将扫描该范围内所有正在工作的主机, 并将它们对应的 IP MAC 地址信息显示在扫描列表中扫描结果中显示的 IP MAC 地址对应信息条目并不代表已经被绑定, 在状态一列中会标识当前状态 : 符号 --- 表示当前条目未被绑定, 可能会被错误的 ARP 信息更替掉 ; 图片表示当前条目已导入 IP MAC 绑定界面的绑定列表中, 但还未绑定生效 ; 图片表示当前条目已进行绑定, 可以防御 ARP 攻击 -65-

若现在需要绑定扫描列表中未绑定的条目, 可以在选择一列勾选这些条目, 然后点击 < 导入 > 按钮, 在与已绑定条目不冲突的情况下, 导入后绑定立即生效注意 : 若局域网内已经存在 ARP 攻击导致部分主机通信异常, 则不可通过扫描方式添加绑定, 请在 IP MAC 绑定界面进行手动绑定 4.4.1.3 ARP 列表路由器会将近期与其通信过的主机 IP MAC 对应信息保存在 ARP 列表中界面进入方法 : 安全策略 >> ARP 防护 >> ARP 列表图 4-41 ARP 列表界面 ARP 列表条目的操作可参考 4.4.1.2 ARP 扫描的扫描列表列表中未绑定的条目并不是一直存在, 除了会被新的 IP MAC 对应信息更替之外, 还会由于长时间未通信而自动从列表中删除, 这个时间段就是 ARP 信息的老化时间 4.4.2 攻击防护攻击防护可防止广域网对路由器或局域网内计算机进行端口扫描和恶意攻击, 以此来保证它们的安全运行界面进入方法 : 安全策略 >> 攻击防护 >> 攻击防护 -66-

图 4-42 攻击防护设置界面界面项说明 : 功能设置启用防护攻击日志勾选此项后路由器会记录相关的防护日志防 Flood 类攻击 Flood 类攻击是 DoS 攻击的一种常见形式 DoS(Denial of Service, 拒绝服务 ) 是一种利用发送大量的请求服务占用过多的资源, 让目的路由器和服务器忙于应答请求或等待不存在的连接回复, 而使正常的用户请求无法得到响应的攻击方式常使用的 DoS 攻击为洪水攻击, 包括 TCP SYN,UDP,ICMP 等推荐勾选界面上所有防 DoS 攻击选项并设定相应阈值, 如不确定, 请保持默认设置不变 -67-

防可疑包攻击可疑包即非正常数据包, 有可能是病毒或攻击者的试探推荐勾选界面上所有防可疑包选项 4.4.3 MAC 过滤在此可以通过指定 MAC 地址对部分局域网主机进行过滤界面进入方法 : 安全策略 >> MAC 过滤 >> MAC 过滤界面项说明 : 图 4-43 MAC 过滤设置界面功能设置若需要严格控制局域网内某些计算机访问广域网, 推荐勾选启用 MAC 地址过滤功能, 并根据实际情况选择一种过滤规则 MAC 地址过滤规则 MAC 地址输入需要控制的局域网主机 MAC 地址备注添加对本条规则的说明信息规则列表在规则列表中, 可以对已保存的 MAC 地址条目进行相应设置 -68-

4.4.4 访问策略 4.4.4.1 URL 过滤 URL(Uniform Resource Locator, 统一资源定位符 ), 即广域网中标识资源位置的网络地址 URL 过滤能够实现对广域网网址的过滤, 方便对局域网访问广域网的通信进行管理界面进入方法 : 安全策略 >> 访问策略 >> URL 过滤界面项说明 : 图 4-44 URL 过滤设置界面功能设置若需要严格控制局域网对广域网的访问, 推荐勾选启用 URL 地址过滤功能, 并根据实际情况选择一种过滤规则 URL 地址过滤规则受控地址指定受规则控制的 IP 地址范围可以选择组对已设置的用户组进行 URL 地址过滤, 也可以选择 ANY 对所有 IP 进行 URL 地址过滤 -69-

组当受控地址为组的时候, 可在出现的下拉菜单中选择所需控制的组如需新建组, 请参考 4.2.1 组设置过滤方式选择一种过滤方式关键字过滤即所有包含指定字符的 URL 地址全都进行过滤 ; 完整 URL 过滤则仅当 URL 地址完全匹配您输入的完整 URL 地址时才能进行过滤关键字当过滤方式为关键字的时候, 可在此输入指定的关键字字符 URL 地址当过滤方式为完整 URL 的时候, 可在此输入完整的广域网 URL 地址备注添加对本条规则的说明信息规则列表在规则列表中, 可以对已保存的 URL 地址条目进行相应设置说明 : 用户组及组内成员的管理操作功能请参考 4.2 用户管理应用举例某企业希望禁止局域网内的主机访问网站 :www.aabbcc.com, 同时还禁止下载.exe 后缀的文件可以通过设置 URL 过滤实现此需求您需要设置完整 URL 过滤 www.aabbcc.com, 以及关键字过滤.exe, 如下图, 设置完成后点击 < 新增 > 按钮保存生效 -70-

4.4.4.2 访问规则界面进入方法 : 安全策略 >> 访问策略 >> 访问规则图 4-45 访问规则设置界面 -71-

界面项说明 : 访问规则策略类型在下拉列表中选择适用于本条规则的策略类型, 可选择阻塞或者允许若选择阻塞, 则符合该条规则的所有数据包将无法通过路由器 ; 若选择允许, 则符合该条规则的数据包能通过路由器服务类型在下拉列表中选择本条规则所针对的服务类型, 不属于指定范围内的服务将不会应用过滤规则例如在策略为阻塞的前提下, 只选定了 FTP 一种服务类型时, 其他服务类型的数据包仍旧可以通过路由器如果列表中没有合适的服务类型, 可以参见 4.4.4.3 服务类型进行添加, 可通过下拉列表旁边的 < 服务类型 > 按钮快速进入设置界面生效接口域在下拉列表中选择本条规则所针对的接口域, 可选择 WAN 或者 LAN 或者 DMZ 选择 WAN( 或者 LAN 或者 DMZ) 时表示所有 WAN( 或者 LAN 或者 DMZ) 接口当接收报文的接口为指定接口域时, 该规则生效源地址范围选择指定地址范围的方式, 若选择 IP/MASK 方式, 则应输入需要管理的地址, 以子网掩码值划分地址范围 ; 若选择 IP 地址段方式, 则应输入需要管理的 IP 地址范围 ; 若选择 ANY 方式, 则表示该范围包括所有 IP 地址 ; 若选择组方式, 则应在下拉菜单中选择相应的组来指定地址范围, 如需新建组, 请参考 4.2.1 组设置目的地址范围选择指定地址范围的方式, 若选择 IP/MASK 方式, 则应输入需要管理的地址, 以子网掩码值划分地址范围 ; 若选择 IP 地址段方式, 则应输入需要管理的 IP 地址范围 ; 若选择 ANY 方式, 则表示该范围包括所有 IP 地址规则生效时间表指定规则生效时间, 其他时间规则不生效时间以 24 小时制进行设定, 精确到分钟, 下方可勾选生效的日期, 以一周为单位备注添加对本条规则的说明信息指定位置勾选该项后, 可以将当前设置的条目添加到访问规则列表中指定序号的位置默认情况下, 规则新增生效后会显示在访问规则列表的最后 -72-

规则列表在规则列表中, 可以对已保存的访问规则进行相应设置在规则列表中, 序号数字越小的规则, 执行的优先级越高图 4-45 序号 1 规则的含义 :192.168.1.0/24 网段的主机在周二至周六每天 08:00-20:00 时间范围内向广域网 116.10.20.0/24 网段发送的 TELNET 服务数据包将无法通过路由器说明 : 局域网内没有设置规则的 IP 段, 默认的策略类型是允许子网掩码值的相关设置请参考附录 A 常见问题中的问题 5 只有当 DMZ 口开启时,DMZ 选项才在生效接口域的下拉菜单中显示用户组及组内成员的管理操作功能请参考 4.2 用户管理 4.4.4.3 服务类型为了能够在定制防火墙策略时比较方便地指定需要过滤的协议和端口号, 设备提供了服务类型管理功能每一个服务类型由协议类型和端口范围两部分构成系统已经预定义了如 HTTP FTP TELNET 等常用服务类型, 也可以根据需要添加自定义服务类型界面进入方法 : 安全策略 >> 访问策略 >> 服务类型图 4-46 服务类型设置界面 -73-