D-link用户手册.doc - PDF Free Download

声明 Copyright 1986-2013 版权所有, 保留一切权利非经本公司书面许可, 任何单位和个人不得擅自摘抄复制本书内容的部分或全部, 并不得以任何形式传播由于产品版本升级或其它原因, 本手册内容会不定期进行更新, 为获得最新版本的信息, 请定时访问公司网站具体的产品型号具有的功能以固件版本本身为准, 该手册仅为路由器通用用户操作指导文档, 友讯电子设备有限公司试图在本资料中提供准确的信息, 但对于可能出现的疏漏概不负责除非另有约定, 本手册仅作为使用指导, 本手册中的所有陈述信息和建议不构成任何明示或暗示的担保 - 1 -

物品清单在包装箱完整的情况下, 开启包装箱箱内应包含如下各项 : 一台路由器主机一条电源线一条网线一本快速安装手册一张安装指导光盘一张保修卡一张产品合格证注意 : 如果发现有任何配件损坏或遗漏, 请及时与经销商联系 - 2 -

目录第一章网络基础知识...5 1.1 局域网入门...5 1.2 IP 地址...5 1.3 子网掩码...5 第二章设备的安装与连接...6 2.1 面板布置...6 2.2 硬件的安装...7 2.3 配置您计算机网络设置...7 2.4 连接到路由器...9 第三章路由器基本设置...12 3.1 配置向导...12 3.2 带宽控制...13 3.2.1 速度限制...13 3.2.2 带宽保证...14 3.2.3 流量控制例外...15 3.3 行为管控...16 3.3.1 IP 地址组...16 3.3.2 WEB 访问控制...17 3.3.3 网络通告...19 3.3.4 聊天软件过滤...21 3.3.5 视频软件过滤...22 3.3.6 P2P 软件过滤...22 3.3.7 代理软件过滤...23 3.4 基础配置...23 3.4.1 基本选项...23 3.4.2 LAN 口配置...24 3.4.3 广域网口设置...26 3.4.4 DHCP 服务器设置...28 3.4.5 端口设置...29 3.5 无线设置...30 3.5.1 基本设置...30 3.5.2 无线安全...31 3.5.3 WDS 设置...36 3.5.4 WPS 设置...38 3.5.5 无线用户列表...39-3 -

3.6 高级配置...40 3.6.1 虚拟服务...40 3.6.2 静态路由...41 3.6.3 策略路由...42 3.6.4 DDNS 设置...46 3.6.5 URL 重定向...47 3.6.6 VLAN 设置...48 3.6.7 UPNP 设置...49 3.7 PPPOE 认证...49 3.7.1 基本设置...49 3.7.2 PPPOE SER 管理...51 3.7.3 用户管理...52 3.8 网络安全...54 3.8.1 攻击防御...54 3.8.2 连接限制...56 3.8.3 ARP 静态绑定...56 3.8.4 ARP 主动防御...58 3.8.5 病毒检测...58 3.8.6 MAC 地址过滤...58 3.8.7 防火墙设置...59 3.9 系统状态及日志...61 3.10 VPN 应用...64 3.10.1 VPN 基本设置...64 3.10.2 VPN 服务端的建立...64 3.10.3 路由器客户端的设置...66 3.10.4 PC 客户端的设置...67 3.10.5 VPN 状态...70 3.10.6 VPN 证书...70 3.10.7 VPN 日志...71 第四章快捷菜单设置...73 4.1 配置管理...73 4.2 用户管理...73 4.3 系统维护...74-4 -

第一章网络基础知识 1.1 局域网入门路由器是指能将两个网络连接起来的设备, 路由器能连接局域网或者一组电脑到互联网, 处理并校验在网络中传输的数据路由器网络地址转换技术 (NAT) 保护网络中的电脑, 使互联网用户侦测不到, 这是保护局域网的有效方法路由器检查互联网端口的数据包, 只转发允许通过的数据包到内网, 增加了局域网的安全性 1.2 IP 地址 IP 是建立在互联网协议上的每个基于 IP 的网络设备如计算机, 打印服务器和路由器等都需要一个 IP 地址来识别它在网络中的位置有两种为网络设备分配 IP 地址的方法 : 静态地址分配和动态地址分配静态地址即手工为网络设备分配的固定 IP 地址, 此地址会一直有效到您关闭设备一般将固定地址分配给需要经常访问的网络设备动态地址即 DHCP 服务器自动为网络中设备分配的 IP 地址, 此地址一般都有生存期, 如果超过生存期,DHCP 服务器再次为其分配新的 IP 地址 1.3 子网掩码子网掩码和 IP 地址一样, 都是 32 位, 它不能单独存在, 必须结合 IP 地址一起使用子网掩码的作用是将某个 IP 地址划分成网络号和主机号两部分这对于采用 TCP/IP 协议的网络来说非常重要, 只有通过子网掩码, 才能表明一台主机所在的子网与其他子网的关系, 使网络正常工作 - 5 -

第二章设备的安装与连接注 : 以下接口图片为 DI-8004W 型号示意图, 具体型号以实物为准其他型号参考其相关接口接线方式 2.1 面板布置前面板接口及指示灯说明 : - 6 -

2.2 硬件的安装安装环境要求 : 请不要将本产品放置在潮湿粉尘的环境中 ; 请不要将本产品置于阳光下暴晒或置于其他热源附近 ; 推荐使用环境 : 工作温度 :0 到 40 ; 存储温度 :-40 到 70 ; 工作温度 :10% 到 90% 不凝结 ; 存储温度 :5% 到 90% 不凝结 ; 提示 : 为了您的安全, 安装时请关闭电源, 拔掉电源插头, 保持双手干燥! 2.3 配置您计算机网络设置 1 打开路由器电源, 等待片刻, 当路由器前面板的 system 灯匀速闪烁以后, 表示路由器已经进入工作状态, 可以接受配置了 2 首先需要将您的电脑与路由器的 LAN 口用网线连接起来, 正确配置计算机的网络设置, 并加载 TCP/IP 协议 3 设置计算机的 IP 地址在 192.168.0.2-192.168.0.254 范围内 ( 即与路由器内网地址在同一网段内, 例如 192.168.0.2), 子网掩码为 255.255.255.0, 默认网关为 192.168.0.1,DNS 为 192.168.0.1 我们以 192.168.0.2 为例来介绍其设置方法 : 鼠标右键点击桌面网上邻居图标, 选择属性, 打开网络连接菜单, 如图 1 所示, ( 或者点击开始 - 设置 - 网络连接也可以打开, 如图 2 所示 ) - 7 -

( 图 1) ( 图 2) 在打开的窗口中找到本地连接图标, 鼠标右键点击此图标, 并选择属性选项, 然后在接下来的窗口中选择 Internet 协议 (TCP/IP) 并双击 ( 如图 3 所示 ), 进入 IP 地址修改窗口 ( 图 3) 将本机 IP 地址修改为 192.168.0.2, 子网掩码为 255.255.255.0, 网关为 192.168.0.1, DNS 服务器地址填上网络供应商提供给您的 DNS 地址, 若不清楚, 可以直接填网关 IP, 如图 4 所示 : ( 图 4) 4 设置好本机 IP 之后, 我们依次点击计算机的开始菜单 - 运行, 在运行窗口中输入 ping 192.168.0.1 -t 根据返回的结果来检查您的计算机和本产品是否正常连通如图 : - 8 -

( 图 5) 若显示图 6 所示的结果, 表示网络连接正确, 可以进行下一步操作 ; ( 图 6) ( 图 7) 若显示图 7 所示的结果, 则表明网络连接有问题, 或者设备未正确安装, 您可以按照下面的步骤检查 : 1 设备的物理连接是否正确? 与计算机网卡相连的双绞线的另外一端必须接路由器的内网口 ( 例如 LAN 口 ), 并且网线两端的网络接口的指示灯必须正确点亮 2 计算机的 TCP/IP 协议是否设置正确? 您的计算机 IP 地址必须为 192.168.0.x (x 的范围是 2-254), 子网掩码为 : 255.255.255.0( 即在同一网段内 ), 默认网关为 192.168.0.1 2.4 连接到路由器 - 9 -

本产品提供基于浏览器的配置界面, 打开浏览器, 在浏览器的地址栏中输入路由器默认 IP 地址 :http://192.168.0.1, 如下图所示 : 界面 : 请输入用户名 :admin, 密码 :admin, 单击登录按钮, 您将会看到以下至此, 您的电脑就与路由器连接成功, 您可以对路由器进行其他设置了 - 10 -

温馨提示 : 为了安全起见, 我们强烈建议您在登陆以后更改管理员密码, 并牢记此密码若密码忘记, 您将无法再登陆到路由器的 Web 管理界面, 必须 reset 恢复出厂值才能重新登陆,reset 之后, 您的所有参数将会被重置 - 11 -

第三章路由器基本设置 3.1 配置向导通过快速配置向导可以轻松地完成上网所需要的基本设置, 直接点击下一步进行操作, 按照系统提示正确输入参数即可点击首页配置向导 - 马上设置, 出现第一步 WAN 口数量设置界面, 如图所示 : 该步骤允许改变 WAN 口的数量, 将不使用的 WAN 口转换为 LAN 口来使用, 改变设置之后路由会自动重启若不需要改变 WAN 口的数量, 直接点击下一步即可继续点击下一步, 出现设置路由器 IP 的界面, 可以修改路由器的 LAN 口 IP 地址及掩码, 如图所示 : 继续下一步, 出现广域网设置界面, 此处用于对广域网接口参数进行配置, 如图所示 : 选择您要设置的广域网 : 可以选择对应的广域网接口来进行设置连接类型 : 即广域网的接入类型选择, 有 :DHCP 动态获取 PPPOE 拨号 static 静态接入透明桥接 PPTP L2TP 等多种接入方式, 一般我们常用的有 DHCP PPPOE 跟 static 这 - 12 -

3 种静态 DNS: 填入网络服务商提供给您的 DNS 服务器 IP 地址 ( 如果是 PPPOE 接入, 可以不用设置 DNS 服务器地址, 线路会自动获取到 ) 工作模式 : 通常我们都使用网关模式, 接口做 NAT 地址转换 ; 有些特殊环境可能会用到路由模式 ( 如内网机器全部使用公网 IP 的时候 ) DNS 缓存优先级 : 对于多 WAN 口接入时, 此值的大小决定了 DNS 解析的出口, 也就是优先使用值大的广域网口作为 DNS 解析的出口防御信息检测 : 此功能用于防御运营商对线路的共享限制参照值 : 设置广域网出口带宽时的参考数值, 可以参考此数值来设置选择一个参照值之后, 下面外网带宽的数值会自动填写上去外网带宽 : 广域网的上下行带宽值, 若您不清楚带宽值的换算, 可以使用参照值来帮您自动填写如果您的带宽不在参考值的范围之内, 请手动设置出口带宽值大小运营商 : 您的广域网线路的运营商, 例如网通或者电信如果选择不设置, 则该线路需与策略路由功能配合使用单 WAN 口接入环境可以不设置运营商继续点击下一步, 进入最后一项路由时间更新的设置, 如图所示 : 您可以自定义修改路由器的时间更新服务器及时区选择设置好之后, 点击完成, 路由会显示正在操作中, 请等待等待约十几秒, 完成之后, 会自动返回到路由向导主界面设置好这些之后, 您就可以正常连接互联网了 3.2 带宽控制该页面相关设置可以对您的网络带宽使用进行管理, 以保证您的网络使用达到最佳效果 3.2.1 速度限制在此界面中, 您可以对内部机器的带宽使用进行自由控制 - 13 -

激活 : 控制规则是否生效勾上, 则表示该规则生效描述 : 对该规则的描述主机 IP 地址范围 : 设置您要控制的主机范围 ( 单个机器 IP 或者是某个 IP 段 ) 首先选择 IP 控制类型, 然后填入管控的 IP 范围, 并将 IP 添加至列表中, 然后点击完成, IP 范围就添加好了控制方式 :( 单独限制 ) 此范围内每个 IP 的速度将被限制在设定的速度内, 即对设定范围内的每个 IP 进行单独限速 ;( 共享限制 ) 此范围内所有 IP 的全部速度总和将被限制设定的速度内上传 / 下载速度 : 上传 / 下载速度限制, 单位为 KB/s, 设置为 0 表示不限制速度基于时间控制 : 如果启用了此功能, 那么该速度限制规则将只会在指定的时间段内生效 ( 每周 : 您可以设置一周的哪几天生效, 如果没有设置, 则表示每天都生效 ; 每天 : 您可以设置一天的哪些时段生效, 如果没有设置, 则表示所有时间段都生效 ) 3.2.2 带宽保证 - 14 -

激活 : 控制规则是否生效勾上, 则表示该规则生效描述 : 对该规则的描述主机 IP 地址范围 : 设置您要控制的主机范围 ( 单个机器 IP 或者是某个 IP 段 ) 控制方式 :( 独占带宽 ) 此范围内的 IP 将优先占用设置的带宽 ;( 共享带宽 ) 此范围内所有 IP 的全部带宽总和将被限制设定的范围内, 即范围内的 IP 将共用所设定的带宽值上传 / 下载速度 : 上传 / 下载速度限制, 单位为 KB/s, 设置为 0 表示不限制基于时间控制 : 如果启用了此功能, 那么该速度限制规则将只会在指定的时间段内生效 ( 每周 : 您可以设置一周的哪几天生效, 如果没有设置, 则表示每天都生效 ; 每天 : 您可以设置一天的哪些时段生效, 如果没有设置, 则表示所有时间段都生效 ) 带宽保证的具体设置方法跟速度限制设置相同其不同之处在于, 速度限制是对单个 IP 或者范围 IP 进行的流量限制 ; 而带宽保证则是对单个 IP 或者范围 IP 提供的一个带宽值保障 3.2.3 流量控制例外该功能可以对外部服务器的访问限制排除在外, 不受智能 QOS 的控制 - 15 -

流量控制例外 ( 基于 IP): 填入您要排除的不受 QOS 控制的广域网 IP 地址设置之后, 您访问到该地址时的流量就不受智能 QOS 规则的限制了流量控制例外 ( 基于域名 ): 填入您要排除的不受 QOS 控制的广域网域名地址 ( 域名格式为 :www.qq.com *.baidu.com xunlei 等 ) 设置之后, 您访问到该域名时的流量就不受智能 QOS 规则的限制了 3.3 行为管控利用行为管控功能可以对用户的上网行为进行管控, 能够允许 / 阻止用户聊天看电影下载 P2P 等行为 3.3.1 IP 地址组此项用于给 IP 地址划分分组, 该分组在行为管理中的规则添加时需要用到, 也就是添加行为控制规则时的被控制对象分组名称 : 对 IP 分组的名称描述 IP 地址范围 : 添加一个或者多个 IP 地址您可以对不同的 IP 划分分组来进行管理如图所示 : - 16 -

若您要对列表中的规则做修改, 只需要点击右边操作栏的编辑图标即可对已有的规则进行修改, 如图所示 : 3.3.2 WEB 访问控制此界面可以对用户访问的网页做管理控制, 系统默认收集了 62 个分类, 约 7 千多个网站, 除此之外, 您还可以自定义添加更多的相关网站并对其进行控制该页面用于添加网址的分组, 每个组里面可以添加多个成员 ( 即网站域名 ) 点击列表中的操作栏可以查看每个分组里的详细域名信息 - 17 -

该页面可以往指定的分组里添加域名信息, 用于完善已有的分组或者新添加的分组同时您还可以将已有的网址分类信息导入路由或者导出备份, 如图所示 : 网址过滤功能可以自定义设置规则用来控制用户对网页的访问, 如下图所示 : 网址过滤方式 : 有不启用允许规则之外的通过和禁止规则之外的通过三种方式不启用, 就是对列表中的规则不做任何控制, 规则不会生效 ; 允许规则之外的通过, 列表之外的规则允许通过, 列表之中的规则受规则控制 ; 禁止规则之外的通过, 规则之外的所有都不允许通过, 规则之内的受规则管控状态 : 是否启用该规则日志 : 是否在日志中记录该规则的发生情况动作 : 该规则为允许通过还是禁止通过描述 : 对规则的一个描述执行顺序 : 规则的执行优先等级 IP 地址组 : 选择一个您在 IP 地址组里添加的对象组 - 18 -

网站地址组 : 选择您要控制的网址分类组如下图所示 : 基于时间控制 : 在不同的时间段, 使该规则生效 3.3.3 网络通告该功能可以自定义对用户发送指定的通告文件, 或者弹出指定网页地址其中通告文件编辑功能用于自定义添加新的通告文件, 或者修改之前的通告文件, 如下图所示 - 19 -

下载通告模板 : 可以将默认的通告文件下载到本地电脑, 根据您自己的需要进行修改, 然后再导入到通告板查看通告模板 : 查看默认的通告页面, 便于查看通告的弹出式样及功能需要注意的是, 您自行导入的通告文件必须是 htm 格式的, 且大小不能超过 4K, 新的通告文件导入之后将会自动替换掉旧的通告文件允许同时导入四条通告文件通告规则管理用于设置通告文件弹出的匹配条件, 满足该规则条件时, 通告文件才会弹出描述 : 对此规则的简单描述激活 : 勾上表示启用此规则, 不启用则规则设置无效日志 : 是否记录到日志间隔时间 : 通告文件弹出的间隔时间, 单位为分钟 ( 注 : 通告文件默认不会象弹窗广告那样自动弹出, 只有在开启网页的时候才会将网页强行转向到指定的通告页面 ) 用户范围 : 选择通告文件的适用对象有基于 IP 地址 ( 针对指定 IP 用户弹出通告 ) 基于 MAC 地址 ( 对绑定 / 未绑定用户弹出通告 ) 基于接入类型 ( 对拨号用户 / 非拨号用户弹出通告 ) 三种选择方案 - 20 -

通告内容 : 选择您导入的通告文件或者直接使用外部 URL 地址 ( 建议使用本地导入的通告文件, 因为外部 URL 地址开启速度会受到网络影响若外部地址访问过慢, 用户会误以为网速慢 ) 基于时间控制 : 启用之后设定的规则将只会在指定的时间段内生效通告日志页面主要展示通告文件弹出时的事件历史记录 3.3.4 聊天软件过滤用于过滤聊天类的软件, 使其不能连接到网络中如下图所示 : 的激活 : 勾选表示激活此规则描述 : 对此规则的简单描述 IP 地址组 : 选择一个 IP 地址组范围该组别是在行为管理 -IP 地址组里面添加被限制的应用 : 依据您的需求, 勾上要过滤的软件类型图标基于时间管控 : 是否启用按时间段来控制规则生效 QQ 过滤方式 : 选择是否进行过滤功能不启用 : 不开启 QQ 过滤功能允许如下 QQ, 禁止其他 QQ: 只允许列表中的 QQ 登陆, 拒绝其他 QQ 登陆阻止如下 QQ, 允许其他 QQ: 禁止列表中的 QQ 登陆, 允许其他 QQ 登陆 - 21 -

描述 : 对规则的简单信息描述 QQ 号码 : 您需要进行管制的 QQ 号码 3.3.5 视频软件过滤用于过滤视频类的一些软件, 禁止其连接到网络中的激活 : 勾选表示激活此规则描述 : 对此规则的简单描述 IP 地址组 : 选择一个 IP 地址组范围该组别是在行为管理 -IP 地址组里面添加被限制的应用 : 依据您的需求, 勾上要过滤的软件类型图标基于时间管控 : 是否启用按时间段来控制规则生效 3.3.6 P2P 软件过滤用于过滤 P2P 类的一些软件, 禁止其连接到网络中激活 : 勾选表示激活此规则描述 : 对此规则的简单描述 - 22 -

的 IP 地址组 : 选择一个 IP 地址组范围该组别是在行为管理 -IP 地址组里面添加被限制的应用 : 依据您的需求, 勾上要过滤的软件类型图标基于时间管控 : 是否启用按时间段来控制规则生效 3.3.7 代理软件过滤用于过滤代理类的一些软件, 禁止使用代理服务器连接到网络中的激活 : 勾选表示激活此规则描述 : 对此规则的简单描述 IP 地址组 : 选择一个 IP 地址组范围该组别是在行为管理 -IP 地址组里面添加被限制的应用 : 依据您的需求, 勾上需要过滤的代理软件类型基于时间管控 : 是否启用按时间段来控制规则生效 3.4 基础配置本节介绍路由的一些基本功能设置, 包括局域网设置广域网设置及 DHCP 功能的设置 3.4.1 基本选项基本选项包含路由的名称设置时间设置及 WAN 口数量设置如下图所示 : - 23 -

路由名称 : 路由器的名称默认是 DLINK, 您可以自行修改主机名称 : 路由的主机名, 类似计算机名一样默认也是 DLNK, 您可以自行修改所在域名 : 默认为空, 您可以自行设置路由时间 : 显示路由器当前系统时间时区选择 : 选择所在区域的时区自动更新 : 选择时间自动更新的周期在需要时触发连接 : 系统需要时才连接到时间服务器更新时间默认不选择 NTP 时间服务器 : 选择时间更新的服务器, 您也可以自定义服务器地址选择广域网接口的数量, 您可以将不使用的广域网接口转换为局域网口来使用, 系统默认是 4 个广域网口设置之后需要重启路由才会生效 3.4.2 LAN 口配置本页面主要用于配置 LAN 口相关参数, 如下图所示 : - 24 -

路由器 LAN 口 IP 地址 : 设置路由器内网口的 IP 地址, 这个地址就是内网计算机的网关地址该地址出厂时设置为 192.168.0.1, 可以根据需要改变它, 如果改变了路由器内网 IP 地址, 重新启动路由器后才能生效重启成功后, 必须用新设置的 IP 地址才能登录路由器进行 WEB 界面管理局域网中所有主机的 IP 地址需与路由器内网口 IP 地址在同一网段, 并且默认网关设置为路由器内网口 IP 地址才能正常上网子网掩码 : 根据内网规模选择, 一般填 255.255.255.0 即可路由器默认使用的子网掩码是 255.255.255.0, 可以根据需要更改默认网关 : 此值一般不填 DNS 缓存服务器 : 默认是启用的该功能启用之后, 可以加快网页访问的速度 DNS 老化时间 :DNS 缓存功能存储在路由中的域名解析地址老化时间, 默认是 300 秒酒店模式 : 开启酒店模式之后, 路由器下面的电脑设置任意 IP 地址都可以上网, 可以设置跟 LAN 口不在同一个网段 ( 电脑的 IP 掩码网关 DNS 允许设置任意地址, 但必须都设置 ) 多子网段 : 本路由器内网口允许配置多个 IP 地址, 当内部有多于一个子网时可以使用到该功能其功能与路由器内网地址基本一致, 通常作为相应子网的网关使用此地址不要跟 LAN 口地址设置到同一个子网中, 否则可能引起冲突 - 25 -

3.4.3 广域网口设置本页面主要用于配置 WAN 口相关参数, 我们常用的广域网连接方式主要有 DHCP 动态获取 static 静态接入跟 PPPOE 拨号接入 3 种 1. DHCP 动态获取连接类型 : 选择 DHCP( 动态获取地址 ) MTU 设置 : 即最大传输单元, 系统默认使用 1500 字节通常情况下这个参数不用设置, 保持默认即可不恰当的 MTU 设置可能导致网络性能变差甚至无法使用静态 DNS: 填入网络服务商提供给您的 DNS 服务器 IP 地址, 或者上级设备的网关地址工作模式 : 通常我们都使用网关模式, 接口做 NAT 地址转换 ; 有些特殊环境可能会用到路由模式 ( 如内网机器全部使用公网 IP 的时候 ) DNS 缓存优先级 : 对于多 WAN 口接入时, 此值的大小决定了 DNS 解析的出口, 也就是优先使用值大的广域网口作为 DNS 解析的出口防御信息检测 : 此功能用于防御运营商对线路的共享限制, 动态获取 IP 时, 我们一般不用开启参照值 : 设置广域网出口带宽时的参考数值, 可以参考此数值来设置选择一个参照值之后, 下面外网带宽的数值会自动填写上去外网带宽 : 广域网的上下行带宽值, 若您不清楚带宽值的换算, 可以使用参照值来帮您自动填写如果您的带宽不在参考值的范围之内, 请手动设置出口带宽值大小运营商 : 您的广域网线路的运营商, 例如网通或者电信如果选择不设置, 则该线路需与策略路由功能配合使用单 WAN 口接入环境可以不设置运营商 2. Static 静态接入 - 26 -

连接类型 : 选择 Static( 静态设置地址 ) IP 地址 : 申请的线路的广域网 IP 地址, 由网络服务商提供, 您可以向网络服务商询问获得子网掩码 : 前 IP 所对应的子网掩码, 由网络服务商提供默认网关 : 当前 IP 所对应的网关, 由网络服务商提供 MTU 设置 : 即最大传输单元, 系统默认使用 1500 字节通常情况下这个参数不用设置, 保持默认即可不恰当的 MTU 设置可能导致网络性能变差甚至无法使用静态 DNS: 填入网络服务商提供给您的 DNS 服务器 IP 地址, 由网络服务商提供, 您可以向网络服务商询问获得工作模式 : 通常我们都使用网关模式, 接口做 NAT 地址转换 ; 有些特殊环境可能会用到路由模式 ( 如内网机器全部使用公网 IP 的时候 ) DNS 缓存优先级 : 对于多 WAN 口接入时, 此值的大小决定了 DNS 解析的出口, 也就是优先使用值大的广域网口作为 DNS 解析的出口防御信息检测 : 此功能用于防御运营商对线路的共享限制, 静态地址接入时, 我们不需要开启此功能参照值 : 设置广域网出口带宽时的参考数值, 可以参考此数值来设置选择一个参照值之后, 下面外网带宽的数值会自动填写上去外网带宽 : 广域网的上下行带宽值, 若您不清楚带宽值的换算, 可以使用参照值来帮您自动填写如果您的带宽不在参考值的范围之内, 请手动设置出口带宽值大小运营商 : 您的广域网线路的运营商, 例如网通或者电信如果选择不设置, 则该线路需与策略路由功能配合使用单 WAN 口接入环境可以不设置运营商 3. PPPOE 拨号接入 - 27 -

连接类型 : 选择 PPPOE(ADSL 拨号 ) 用户名称 : 填入网络服务商提供的 PPPOE 线路帐号, 可以向网络服务商询问获得用户密码 : 填入网络服务商提供的 PPPOE 线路口令, 可以向网络服务商询问获得服务名称 : 一般不填, 某些特殊线路可能需要填入服务器名称才可以连接检查间隔 : 用户自行设定重新拨接的时间, 默认值为 30 秒 MTU 设置 : 即最大传输单元,PPPOE 拨号默认使用 1492 字节通常情况下这个参数不用设置, 保持默认即可不恰当的 MTU 设置可能导致网络性能变差甚至无法使用静态 DNS:PPPOE 拨号接入时可以不用填写 DNS 地址, 若您不想使用自动获取的 DNS 地址时, 可以填入网络服务商提供给您的其他 DNS 服务器地址工作模式 : 通常我们都使用网关模式, 接口做 NAT 地址转换 ; 有些特殊环境可能会用到路由模式 ( 如内网机器全部使用公网 IP 的时候 ) DNS 缓存优先级 : 对于多 WAN 口接入时, 此值的大小决定了 DNS 解析的出口, 也就是优先使用值大的广域网口作为 DNS 解析的出口防御信息检测 : 此功能用于防御运营商对线路的共享限制, 动态获取 IP 时, 我们一般不用开启参照值 : 设置广域网出口带宽时的参考数值, 可以参考此数值来设置选择一个参照值之后, 下面外网带宽的数值会自动填写上去外网带宽 : 广域网的上下行带宽值, 若您不清楚带宽值的换算, 可以使用参照值来帮您自动填写如果您的带宽不在参考值的范围之内, 请手动设置出口带宽值大小运营商 : 您的广域网线路的运营商, 例如网通或者电信如果选择不设置, 则该线路需与策略路由功能配合使用单 WAN 口接入环境可以不设置运营商 3.4.4 DHCP 服务器设置 - 28 -

本界面主要提供 DHCP 服务器功能如果内网计算机的 TCP/IP 协议配置为自动获得 IP 地址, 并且在内网没有 DHCP 服务器的情况下, 可以使用该功能 DHCP 是 Dynamic Host Configuration Protocol( 动态主机配置协议 ) 的缩写, 它是 TCP/IP 协议簇中的一种, 主要是用来给网络客户机分配 IP 地址这些被分配的 IP 地址都是 DHCP 服务器预先保留的一个由多个地址组成的地址集, 此地址集一般是一段连续的地址管理方式 : 您可以选择普通高级或者关闭开始地址 :DHCP 服务器自动分配的内部 IP 的起始地址结束地址 :DHCP 服务器自动分配的内部 IP 的结束地址释放时间 : 设定 DHCP 服务器为客户端租用 IP 地址保留的过期时间, 默认是 3600 秒您可以自行设置网关地址 :DHCP 服务器给客户机分配的默认网关地址子网掩码 :DHCP 服务器自动分配给客户机的掩码地址首选 / 备用 DNS 服务器地址 :DHCP 服务器自动分配给客户机的 DNS 服务器地址 3.4.5 端口设置本界面可以修改路由接口的工作模式及 MAC 地址, 如图所示 : - 29 -

点击列表中操作栏对应的网络接口, 可以修改端口的工作模式提供四种工作模式供选择 :10M/ 全双工 10M/ 半双工 100M/ 全双工 100M/ 半双工通常情况下网络接口之间自动协商工作模式, 用户不需要手动配置, 保留自动即可 MAC 地址设置界面允许用户自定义修改 LAN 口和 WAN 口的 MAC 地址默认表示使用系统默认的 MAC 地址, 随机表示随机分配一个 MAC 地址给该接口, 克隆 PC 表示将该接口的 MAC 地址设置为跟您电脑的 MAC 一样的地址某些网络服务商将提供给您的线路同某一个固定的 MAC 地址绑定起来, 在这种情况下,MAC 地址克隆就非常有用 3.5 无线设置路由器无线部分相关设置 ( 注, 仅 DI-8004W 系列具有无线功能, 其他型号不具备无线功能 ) 3.5.1 基本设置本界面可以对无线功能的开启与关闭, 以及基本参数做设置, 开启无线之后如下图所示开启或者关闭无线功能模块时路由都是需要重启的 - 30 -

加载无线模块 : 无线模块的功能开关, 勾上表示开启无线功能网络模式 : 可以对无线模式进行选择 b/g/n 三种模式进行混合配置, 选用 11b/g/n 模式, 路由器会根据用户的客户端网卡的速率自动调节网络名称 SSID: 无线局域网用于身份验证的登录名, 只有通过身份验证的用户才可以访问本无线网络此处的网络名称就是无线设备搜索无线信号时搜索到的无线资源名称隐藏 : 隐藏此 SSID 名称, 不广播其他无线设备将不能直接搜索到此 SSID 隔离 : 相当于给此 SSID 下的用户划分了 VLAN, 使用户之间不能互相访问网络名称 1/2/3/4: 您可以给一个无线设备设置多个网络名称 (SSID), 再通过 AP 外隔离, 实现不同的 SSID 内的无线用户无法互相访问, 实现无线虚拟局域网 AP 隔离 : 不属于本 AP 的其他客户端不能访问本 AP 下面的客户端 MAC 地址 : 一组无线工作站和一个无线局域网接入点 (AP) 组成一个基本服务装置 (BSS),BBS 中的每台计算机都必须配置相同的 BSSID, 即为 AP 的无线标识无线频道 : 以无线信号作为传输媒体的数据信号传送通道, 您可以选择其中的任意一个频道来进行连接 3.5.2 无线安全本界面用于设置无线的各种加密模式, 以及对 MAC 地址的过滤如图所示 : - 31 -

选择您要设置 SSID: 首先选择一个需要设置的 SSID 名称 ( 如果有多个 SSID 的话 ) 安全设置 : 分为开放式共享式 WEPAUTO WPA 企业 WPA 个人 WPA2 企业 WPA2 个人 WPAP/WPA2 个人 WPA1/WPA2 企业这 9 类选择关闭则不采取任何加密方式一开放式 :WEP 加密的一种握手方式, 是通过 WEP 密钥来进行加密可以选择默认密钥为 Key1-Key4, 然后分别对 4 个密钥进行定义,4 个密钥都可以满足用户登入无线密钥类型说明 : 密钥的类型分为 Hex( 十六进制 ) 和 ASCII( 阿斯科码 ) 两种类型 ; 若采用 16 进制, 则密钥字符可以为 0-9 ABCDEF; 若采用 ASCII 码, 则能够用键盘上的所有字符二共享式 :WEP 加密的另外一种握手方式, 也是通过 WEP 密钥进行加密, 加密类型与开放式加密情况一样 - 32 -

共享式可以选择不需要 WEP 加密来进行验证, 可以在设置上填写加密类型为 None 三 WEPAUTO: 能够自动选择为开放式或者共享式, 加密类型方式和前两者一样四 WPA 企业 :WPA 加密, 路由器采用 raius 服务器进行身份认证并得到密钥 - 33 -

WPA 算法 : 进行认证过程中所用的算法类型密钥更新间隔 : 广播和组播密钥的定期更新周期, 最大值为 3600 秒, 最小为 0, 为 0 则不更新 Radius 服务器 : 认证服务器的 IP 地址及认证所采用的端口号, 认证服务器可以搭建在内网的某台 PC 上共享密钥 : 访问 RADIUS 服务的密码会话超时 : 当会话超时达到多少时,radius 服务器会自动断开该连接五 WPA 个人 : 路由器将采用基于共享密钥的 WPA 模式 WPA 算法 : 进行认证过程中所用的算法类型共享密钥 : 无线用户接入时所需要的口令密钥更新间隔 : 广播和组播密钥的定期更新周期, 最大值为 3600 秒, 最小为 0, 为 0 则不更新六 WPA2 企业 : 与 WPA 企业模式相类似 WPA 算法 : 进行认证过程中所用的算法类型密钥更新间隔 : 广播和组播密钥的定期更新周期, 最大值为 3600 秒, 最小为 0, 为 0 则不更新 PMK 缓存周期 : 设定 PMK 缓存周期, 当用户断开后的此时间段内连接会加快速度预认证 : 启用可以提高无线接入的速度 Radius 服务器 :Radius 认证服务器的 IP 地址及认证所采用的端口 - 34 -

共享密钥 : 访问 RADIUS 服务的密码会话超时 : 当会话超时达到多少时,radius 服务器会自动断开该连接七 WPA2 个人 : 路由器将采用基于共享密钥的 WPA2 模式 WPA 算法 : 进行认证过程中所用的算法类型共享密钥 : 无线用户接入时所需要的口令密钥更新间隔 : 广播和组播密钥的定期更新周期, 最大值为 3600 秒, 最小为 0, 为 0 则不更新八 WPA/WPA2 个人 : 与 WPA 个人和 WPA2 个人的设置方式一致九 WPA1/WPA2 企业 : 与 WPA 企业的设置方法一样无线 MAC 地址过滤 : 提供了对无线访问策略的设置, 可以设置允许和拒绝所选的 MAC 地址的接入如图所示 : - 35 -

过滤方式有 3 种选择模式 : 禁止使用过滤器允许如下客户端阻止如下客户端禁止使用过滤器 : 不使用 MAC 地址过滤功能允许如下客户端 : 只允许列表中添加的 MAC 地址的设备连接无线阻止如下客户端 : 禁止列表中添加的 MAC 地址的设备连接到无线网络描述 : 对添加的 MAC 地址的简单描述, 便于管理员识别不同的 MAC 地址 MAC 地址 : 客户端设备的 MAC 地址 3.5.3 WDS 设置 WDS( 无线分布式系统 ), 是一个在 IEEE 802.11 网络中多个无线访问点通过无线互连的系统它允许将无线网络通过多个访问点进行扩展这种可扩展性能, 使无线网络具有更大的传输距离和覆盖范围共分为三种连接方式 : 自学习模式, 桥接模式和中继模式若选择关闭则不启用 WDS 功能 1. 自学习模式 : 自学习模式不需要填写对方的 BSSID, 本设备的 WDS 连接作为被动连接, 只需要对方填写了本设备的 BSSID 即可, 效果和桥接模式一样 - 36 -

加密类型 :WEP TKIP 和 AES 三种,WEP 采用 WEP 密钥进行加密,TKIP 采用了暂时密钥集成协议,AES 采用对称分组密码体制当 WDS 连接的 AP 所设置的加密方式必须一样时, 连接才能生效密钥 : 相应的密码, 至少为 8 个字符 PHY 模式 : 指物理层三种模式分别对应三种无线网络标准 : CCK-802.11b;OFDM-802.11g;HTMIX-802.11g/n; 一般我们选择 CCK 模式 2. 桥接模式 : 桥接模式需要填写对方设备的 BSSID, 本机的 SSID 则被屏蔽, 只是作为中继模式的 SSID 的扩展形式 MAC 地址 : 需要连接到的设备的 BSSID 地址加密方式 :WEP TKIP 和 AES 三种,WEP 采用 WEP 密钥进行加密,TKIP 采用了暂时密钥集成协议,AES 采用对称分组密码体制当 WDS 连接的 AP 所设置的加密方式必须一样时, 连接才能生效密钥 : 相应的密码, 至少为 8 个字符 PHY 模式 : 指物理层三种模式分别对应三种无线网络标准 : CCK-802.11b;OFDM-802.11g;HTMIX-802.11g/n; 一般我们选择 CCK 模式 3. 中继模式 : 中继模式也要填写所需要连接 AP 的 BSSID, 本机 AP 作为核心, 其他的 AP 只是作为中继的一个扩展形式 - 37 -

MAC 地址 : 即为所需要连接 AP 的 BSSID 地址加密方式 :WEP TKIP 和 AES 三种,WEP 采用 WEP 密钥进行加密,TKIP 采用了暂时密钥集成协议,AES 采用对称分组密码体制当 WDS 连接的 AP 所设置的加密方式必须一样时, 连接才能生效密钥 : 相应的密码, 至少为 8 个字符 PHY 模式 : 指物理层三种模式分别对应三种无线网络标准 : CCK-802.11b;OFDM-802.11g;HTMIX-802.11g/n; 一般我们选择 CCK 模式 3.5.4 WPS 设置 WPS 是一种操作简单且加密程度安全的无线连接方式, 目前通过 WPS 认证的产品能够为用户提供两种实现方式, 即 PBC( 按钮 ) 模式和 PIN( 个人识别码 ) 模式要使用 WPS 功能, 首先您需要将 WPS 状态设置为开启状态, 如图所示 : 在 WPS 信息中将显示当前 WPS 状态的参数信息, 您可以在此界面重置 WPS 参数重新生成新的 PIN 码, 如图所示 : - 38 -

在 WPS 模式设置里面, 您可以手动去连接已经激活 WPS 的其他无线设备您可以选择 PIN 模式或者 PBC 模式的客户端 WPS 状态将显示您当前的 WPS 连接状态信息 3.5.5 无线用户列表显示当前连接到路由的无线设备信息 - 39 -

3.6 高级配置 3.6.1 虚拟服务用于将广域网中开放的端口映射到内部主机上, 实现广域网的远程访问问到激活 : 启用此规则描述 : 对规则的简单描述协议 : 分为 TCP UDP TCP 和 UDP 源地址限制 : 允许外部广域网口访问的地址或地址段不填即广域网的所有 IP 都能访外部端口 : 外部广域网访问时的端口内部端口 : 内部网络中访问时的端口内部地址 : 内网需要映射的机器 IP 地址网口设置 : 选择您要映射的广域网接口, 默认为所有接口 ALL 举例说明 : 将内部主机 192.168.0.252 的 FTP 端口 ( 即 TCP-21 端口 ) 映射出去并改变为 2111 端口, 其设置方法如下 ( 设置效果图如上图所示 ): 1. 勾上激活按钮, 并填入一个描述信息 2. 协议选择 TCP 即可源地址限制不填 ( 默认允许所有外部 IP 访问, 所以这里不填 ) 3. 外部端口填写 2111, 内部端口填写 FTP 默认端口 21. 4. 内部地址填上主机 IP:192.168.0.252, 网口设置保留默认的值即可 5. 点击添加, 将规则加入到规则列表中即可设置好之后的效果图如下所示 : DMZ 的设置, 当您将内部的某台机器 IP 填入到此 DMZ 选项时, 路由器 WAN - 40 -

口的合法 IP 地址会直接对应给此台机器使用, 也就是说从 WAN 端进来的封包, 若是不属于内部的任何一台机器, 都会传送到这台机器上 ( 也就是把此机器完全的映射出去 ) 启用 DMZ: 勾上即表示启用此功能目的地址 : 需要设为 DMZ 的内部机器 IP 地址源地址限制 : 是可选项, 允许外部广域网口访问的地址或地址段允许输入 "1.2.3.4","1.2.3.4-2.3.4.5","1.2.3.0/24" 这三种格式触发端口是初次 LAN 连接至 WAN 的触发如果触发启用,WAN 至 LAN 的映射端口将被打开, 这些端口将在不使用时几分钟后被自动关闭启用 : 启用此规则描述 : 对规则的简单描述协议 : 分为 TCP UDP TCP 和 UDP 触发端口 : 内部访问触发条件的端口映射端口 : 触发之后在广域网口对其开放的端口,WAN 可见 3.6.2 静态路由所谓路由表, 指的是路由器或者其他互联网网络设备上存储的表, 该表中存 - 41 -

有到达特定网络终端的路径, 在某些情况下, 还有一些与这些路径相关的度量路由器的主要工作就是为经过路由器的每个数据报寻找一条最佳传输路径, 并将该数据有效地传送到目的站点如下图, 是路由器自动生成的静态路由表 : 所示 : 当然, 在一些特殊环境中, 我们也需要手动去指定静态路由表的走向, 如图 3.6.3 策略路由多线路环境使用时, 需要用到策略路由来平衡每根线路的负载, 或者指定策略, 让数据按照指定的策略规则来执行负载均衡 : 用于设置线路的均衡模式及侦测方式均衡权值等 - 42 -

负载均衡模式分为 IP 地址均衡跟联机数均衡两种依 IP 地址均衡 : 依据内部用户的 IP 地址来决定线路的负载均衡依会话数均衡 : 依据用户的对外联机数来决定线路的负载均衡 IP 均衡的作用, 每条线路上的 IP 用户数目是等同的 ; 会话数均衡的作用, 每条线路上的对外联机数目是等同的当使用会话数均衡的时候, 就是将外网的几根线路都叠加起来, 相当于是合并了总带宽选择广域网 : 选择您要设置的广域网接口是否参与默认均衡策略 : 勾上即表示参与, 若不需要让此线路参与均衡, 去掉勾即可均衡的权值 : 此值主要用于跟其他线路的均衡做比较, 系统会根据值的大小来决定线路的负载大小, 默认值是依靠带宽值的大小来自动判定, 需填写出口带宽值才有效线路侦测 : 启用线路侦测功能激活时下面的选项才起作用, 否则无效侦测间隔 : 线路自动侦测的中间间隔时间侦测次数 : 线路侦测的次数当线路连接失败时 : 当线路检测失败时, 对该线路的处理方式移除该线路并记录日志 : 将此线路删除, 并记录到日志中, 该线路上的所有连机将自动转移到其他线路上 ; 仅记录到日志 : 仅在日志中记录下此次掉线日志, 不删除该线路下载流量超过 * 时不进行线路侦测 : 下行流量超过设置值的时候才进行线路侦测侦测默认网关 : 勾选上即表示侦测此线路的外网网关内容为空, 表示侦测默认的网关有些 ISP 的默认网关可能不允许 ping, 那么可以自己手动指定一个其他的网关来测试侦测远程服务器 : 填入一个稳定的域名或者广域网 IP 地址电信网通地址 : 您可以在此界面自行更新电信 / 网通等的地址范围, 或者自定义添加新的地址范围段若您有自定义添加新的地址表, 需要勾选上地址表前面的启用按钮, 该地址表才会应用到策略路由的地址范围选择列表中 - 43 -

策略路由 : 策略主要用于设置您内网用户对不同线路的走向对于单线路用户可以不用设置到策略路由 - 44 -

都有效 ) 状态 : 勾选表示激活此条规则日志 : 是否将产生的信息记录到日志中描述 : 对此规则的信息描述广域网的选择 : 选择您需要设置的广域网接口执行顺序 : 以 1-65535 之间的数字来表示规则的执行顺序, 数值小的规则优先执行主机 IP 地址范围 : 选择您需要设置的 IP 地址范围 ( 若为空, 表示对内网所有用户远端地址范围选择 : 选择您需要设置的线路远端地址范围 ( 基于 IP): 填入您要设置的远程地址 IP 范围远端地址范围 ( 基于域名 ): 填入您要设置的远程地址域名协议 : 添加您需要设置的协议类型基于时间控制 : 是否启用按时间段来控制规则生效举例说明 : 绑定广域网 1 只走网页, 其他数据走广域网 2 1. 设置广域网 1 走网页 (TCP-80 端口 ) 的策略, 如图所示 : 2. 将广域网 1 不参与负载均衡, 广域网 2 参与到负载均衡 ( 因为广域网 1 只用来走网页, 已经绑定了网页端口走广域网 1 就可以了, 所以要取消广域网 1 参与负载均衡 ), 如图所示 : - 45 -

线路状态 : 主要用于查看每根线路的连接及负载状态接口 : 外网接口位置线路状态 : 线路是否处于正常连接状态均衡权值 : 用来判断线路的负载平衡比例的一个参数默认均衡 : 是否参与均衡模式线路侦测 : 检查线路是否正常连通 ( 线路侦测开启时有效 ) 主机数 : 线路上的机器数量 ( 只有在 IP 均衡模式下才能显示线路的机器数量 ) 会话数 : 线路上的联机数量日志记录 : 记录策略路由的时间信息及线路侦测成功 / 失败时的时间记录 3.6.4 DDNS 设置 DDNS 动态域名解析服务主要用于将一个动态的 IP 解析成一个静态的域名, 以便于网络来访问 - 46 -

选择动态域名工作的广域网 : 选择一个您要绑定域名更新的广域网接口 IP 地址 : 默认使用广域网的动态 IP 您可以定义为其他 IP, 但外部网络可能无法访问动态域名服务 : 选择一个您要绑定 IP 的域名服务商, 后面提供有服务商的官方网址用户名称 / 密码 : 填写您在域名服务商申请的账号名称及密码需要更新的域名 : 填写您需要绑定此 IP 的一个域名, 该域名必须为未被其他 IP 使用过邮件交换器 MX: 填写您申请的邮箱服务器地址此功能需要域名服务商支持备份 MX: 此功能需要域名服务器的支持设置完毕之后点击添加, 加入到列表中即可若域名更新成功, 在最近响应状态会显示 Update successful 的字样, 即更新成功的意思 3.6.5 URL 重定向该功能可以将域名 A 定向到域名 B, 实现访问域名 A 的时候, 自动跳转到域名 B 上面去特别适用于转向的域名中带有网页参数的情况 - 47 -

状态 : 选择是否激活应用此规则 ; 是否需要在日志中显示记录描述 : 对该条规则的简单描述 URL 的主机名称 : 填入您需要被转向的域名地址目录网页 (URL): 填入被转向域名的目录网页, 若没有, 则可不填网页的参数 : 填入被转向域名的网页参数, 若没有, 则可以不填重定向到 : 需要被转向到的域名地址主机 IP 地址范围 : 内部需要被重定向的主机 IP 地址基于时间控制 : 启用则规则只在设定的时间段内生效举例说明 : 将域名 http://cp.360.cn 强制转向到 http://cp.360.cn/?a=2504, 我们这样设置就可以了, 如图所示 : 如果只需要对部分用户进行转向, 那么只需要在主机 IP 地址范围里将需要转向的 IP 填进去就可以了 3.6.6 VLAN 设置 - 48 -

VLAN 设置可以对 LAN 接口划分 VLAN, 使其达到内网隔离的作用如图所示 : 有些型号设备默认只有一个 LAN 口, 您需要将多余的 WAN 口转换为 LAN 口之后 ( 至少需要有 2 个 LAN 口 ) 才可以进行 VLAN 的划分 3.6.7 UPNP 设置 UPnP 是一种分布式的, 开放的网络架构开启之后, 它能跨越路由控制自动映射端口一般情况下不建议开启此功能 UPNP 状态 : 勾上表示激活 UPNP 功能广域网接口 : 选择需要开启 UPNP 的广域网接口在网络中显示 : 勾上之后, 自动映射的端口将会在下方的列表中显示出来 3.7 PPPOE 认证通过该功能, 可以对 WEB 用户 PPPOE 用户进行管理, 并设置用户上网的认证方式, 以及对上网通告的管理 3.7.1 基本设置用户上网控制主要用于对用户上网的方式做控制, 允许 3 种上网认证方式, 如图所示 : - 49 -

在用户上网方式控制中, 默认是不需要认证, 即路由器下的所有用户不需要经过任何认证, 直接填写正确的 IP 就可以直接上网, 跟普通路由器共享上网原理一样若选择需要认证即可激活下面的菜单, 出现上图的相关的认证方式选项界面允许上网的方式 : 选择允许用户上网的认证方式 (ARP 绑定用户,IP 与 MAC 地址进行绑定过的用户 ;PPPoE 用户, 利用 PPPOE 协议拨号到路由器端的用户 ;Web 认证用户, 通过网页认证信息登陆的用户 ) 关闭 WEB 认证页面时 : 勾选上, 表示在关闭 IE 认证的页面就退出 WEB 认证 ; 若不勾选, 即表示, 只有在网络被重置或者电脑重启的情况下认证才退出用户账号到期提前通知 : 账号到期之前提醒用户的通知时间默认为提醒时间内每天第一次开启网页时出现, 直到账号到期 ( 或者延长期限 ) 为止用户账号到期提前通知的消息 : 通知的消息内容, 由用户自行定义, 不支持加入 html 网页代码此通知消息是对 Web 认证用户才有效的 ;pppoe 用户的提前通知消息是在帐户到期提前通知页面进行修改的不需要认证的内部主机 ( 基于 IP): 所添加的 IP 用户将不受任何一种认证方式的管制, 可以直接上网允许访问的外网范围 ( 基于 IP): 没有进行认证的用户能访问的外网 IP 地址范围允许访问的外网范围 ( 基于域名 ): 没有进行认证的用户能访问的外网域名通告配置用于对拨号上网的用户或者未经过认证的用户所弹出的提示页面, 该通告内容允许用户自定义其中的内容 - 50 -

管理员联系信息 : 填入管理员的相关联系信息, 通告文件在弹出时会显示出管理员的联系信息资料, 方便用户随时联系到管理员 WEB 认证页面 : 使用 WEB 认证上网时, 弹出的用户登录认证的界面您可以根据需要自行修改登录页面文件, 但文件大小不要超过 4K 否则无法导入进去账户到期通知 :PPPOE 认证用户帐号到期之前的通知提醒页面阻止上网通告 : 在开启了认证方式时, 没有认证的用户将会收到此通告文件的提醒 3.7.2 PPPOE SER 管理提供对 PPPOE 拨号服务端的一些参数设置 - 51 -

PPPoEServer 状态 : 是否启用 PPPoE 拨号服务端功能默认为启用状态, 若您关闭了此功能, 客户机将无法通过 PPPoE 拨号到路由器只允许使用 PPPoE 接入 : 激活之后将只有通过 PPPoE 拨号的用户才能访问到路由器跟上网 ( 且只能使用下方的 PPPoE 服务器地址才能访问路由器 ) PPPoE 服务器名字 : 拨号服务器的名称, 用户可以自定义更改 PPPoE 服务器的地址 : 即 PPPoE 拨号用户的网关地址 (PPPoE 用户可以通过此地址来访问路由器 ) PPPoE 服务器的子网掩码 : 即 PPPoE 服务器的掩码地址 DNS 服务器 :PPPOE 服务器分配给客户机的 DNS 服务器地址空闲检测时间 : 在达到设定的时间之后, 若客户机与服务器之间还没有数据通信, 则开始检测客户端是否掉线默认值为 3 秒多少个检测请求未应答则断开连接 : 在设定的请求个数之后, 客户机若无数据通信应答, 则断开其连接默认值为 3 个认证方式 : 对于不同应用环境, 可以采取不同的认证方式类型对于一般 PC 电脑, 都是采用的 PAP 模式如果是采用下级路由进行拨号, 可以把所有的认证方式都勾选上 3.7.3 用户管理针对 PPPoE 用户及 Web 认证上网的用户进行管理, 如用户账号的建立认证方式到期时间 MAC 地址的绑定备注信息等设置 - 52 -

用户状态 : 勾上即表示禁用此用户, 禁用后此用户将不能上网 ( 用户当前连接断开以后才生效 ) 登陆方式 : 有 PPPoE 拨号和 Web 认证两种, 您可以对不同的用户设定不同的登陆方式用户名 / 密码 : 为用户建立一个相应的登陆用户名及密码 MAC 地址 : 有不绑定自动绑定手动绑定 3 种形式可供选择到期时间 : 可以对用户的上网期限进行限定点击右边的... 进行添加 IP 地址 : 用于手动给用户指定 IP 地址默认情况下系统会依照 IP 地址池自动为用户分配一个 IP 允许登陆的用户数 : 设定该账号可以允许被多少个用户同时登陆使用 ( 当允许登 - 53 -

陆的用户数设置大于 1 时, 绑定的 MAC 地址与分配的 IP 将只会对第一个拨号的用户有效 ) 备注 : 对此用户的简单描述, 方便管理员进行查看管理点击用户列表中的操作栏, 可以对账户进行修改删除及断开等操作, 如图所示 : 用户列表下方有用户数据导入导出功能按钮, 可以将所有的用户数据导出到本地电脑上, 或者将本地电脑的用户数据导入到用户列表中, 如图所示 : 3.8 网络安全 3.8.1 攻击防御提供对局域网广域网的攻击防御优化设置, 如下图所示 : - 54 -

内网防御主要是由改变 TCP/UDP 的超时时间来进行控制的, 请妥善修改此参数, 修改的不恰当将直接影响到路由器性能的发挥, 此值一般情况下, 建议保持默认即可外网防御主要是控制单机的并发连接数上方的并发数控制是针对全局所有机器的控制, 下方的规则添加是对例外的机器进行单独添加规则条目, 例外的规则优先级要大于默认的规则优先级别允许 ping WAN 口 : 允许广域网络上的设备 ping 路由器的广域网接口, 默认是不允许 ping 的默认并发连接数 : 默认的单机最大并发连接数默认并发连接间隔时间 : 默认间隔时间, 单位为秒此设置是针对全局所有电脑的默认设置对于个别需要额外控制的用户, 才需要用到下面的规则激活 : 是否激活此规则描述 : 对规则的简单描述主机 IP 地址范围 : 设置您要控制的主机 IP 或者 IP 段并发连接数 : 单机所允许的最大并发连接数条目并发连接间隔时间 : 相应的间隔时间, 单位为秒基于时间控制 : 如果启用了基于时间控制, 那么该规则将只在设定的时间范围内生效 - 55 -

3.8.2 连接限制联机数设置可以控制整个网络对外的连机数量若对单个 IP 的联机数进行管控可以控制内网的计算机最多能同时建立的联机数如下图所示 : 默认主机连接数限制 : 默认对所有主机的连接数限制,0 表示不限制激活 : 是否激活此规则描述 : 对规则的简单描述主机 IP 地址范围 : 设置您要控制的主机 IP 或者 IP 段连接数限制 : 单机所允许的最大连接数,0 表示不限制基于时间控制 : 如果启用了基于时间控制, 那么该规则将只在设定的时间范围内生效 3.8.3 ARP 静态绑定主要用于对 IP 与 MAC 地址进行静态或者唯一的绑定操作, 以实现 IP 与 MAC 地址的对应关系, 减少网络中出现的 ARP 攻击现象描述 : 对该条记录的简单描述信息 - 56 -

IP 地址 : 需要绑定的 IP 地址点击查询 MAC 可以搜索到此 IP 的 MAC 地址此 IP 要是在线的才可以被路由器查询到 MAC 地址 : 手动输入 IP 地址对应的 MAC 地址也可以利用查询 MAC 来自动获得指定 IP 的 MAC 地址类型 : 静态或者唯一将 IP 与 MAC 地址绑定之后,DHCP 会优先分配绑定的 IP 给相应的 MAC 地址静态,IP 与 MAC 地址绑定为静态以后, 用户手动更改 IP 或者 MAC 地址不会影响网络使用,DHCP 会优先分配绑定的 IP 给相应的 MAC 地址唯一, 将 IP 与 MAC 地址绑定为唯一以后,IP 与 MAC 地址只有在相互对应的时候才能正常使用网络, 用户修改 IP 或者 MAC 地址的任意一项都会导致不能上网, 同样其他用户也是不能占用此 IP 跟 MAC 地址的接口 :IP 对应的接口位置, 内网用户绑定一般选择局域网要修改列表中添加的 IP 与 MAC 绑定, 只需要在相对应的条目上点击右边的修改图标, 然后在上方规则框中修改即可, 如图所示 : ARP 列表菜单将显示当前路由的 ARP 表记录, 您可以在此界面一键绑定所有未绑定的 MAC 地址 ( 已绑定的 IP 跟 MAC 将不受影响 ), 或者对单独的 IP 跟 MAC 做绑定操作 - 57 -

3.8.4 ARP 主动防御此项请根据您的具体环境来进行设置, 决定是否启用 ARP 安全防御 ARP 安全防御对预防内网 ARP 攻击会有显著效果, 但可能会与某些有同样功能的 ARP 防御软件有冲突, 请酌情处理智能分析处理级别越高, 安全性能也更强, 但相对对路由器的资源占用也会越大, 请根据实际情况来进行调节 ARP 日志主要记录与 ARP 攻击相关的一些日志信息, 方便管理员快速查看分析问题 3.8.5 病毒检测记录 DDOS 及流量攻击所产生的日志, 通过此日志, 管理员可以更快的定位到问题点, 快速找到问题机器 3.8.6 MAC 地址过滤对 MAC 地址进行管理, 允许或者禁止该 MAC 地址的用户通过 - 58 -

MAC 地址过滤的方式 : 有不启用允许规则之外的通过和禁止规则之外的通过 3 种选择, 请根据需要来进行选择不启用 MAC 地址过滤, 对列表中添加的所有规则将不做任何控制 ; 允许规则之外的通过, 列表中添加的规则按照控制来执行, 列表之外的不受限制, 直接通过 ; 禁止规则之外的通过, 列表之中的规则按照控制方式来执行, 列表之外的所有地址将都被禁止通过状态 : 选择是否激活此规则描述 : 对此规则的简单描述控制方式 : 分为允许通过和禁止通过两类用户可以选择此规则是否允许通过 MAC 地址 : 填入您要管控的 MAC 地址格式为 :00:0A:0B:0C:0D:0E 基于时间控制 : 是否启动按时间段管控功能 ( 若启用, 用户可自定义管控时间段 ) 3.8.7 防火墙设置管理员可以对不同的用户设定不同的访问规则, 来控制用户对网络的访问权限访问规则可以依据不同的条件来过滤您可以设定那些规则允许通过, 或者是禁止通过 ; 规则执行的优先级别 ; 还可以基于用户 IP 端口远程 IP/ 域名等条件进行封锁限制管理者可以依照实际的需求调性设置 - 59 -

访问控制的方式 : 有不启用允许规则之外的通过和禁止规则之外的通过 3 种选择, 请根据需要来进行选择不启用访问控制, 列表中添加的所有规则将不起作用 ; 允许规则之外的通过, 列表中的规则受到相应控制, 列表之外的不受管控 ; 禁止规则之外的通过, 只有列表之中的规则能通过, 列表之外的所有进入和出去的规则将都被禁止状态 : 选择是否激活此规则, 日志选项若启用, 则会记录到日志里面描述 : 对此规则的简单描述控制方式 : 分为允许通过和禁止通过两类用户可以选择此规则是否允许通过执行顺序 : 规则的优先级别, 数字越小优先级越高 ( 范围为 1-65535) 主机 IP 地址范围 : 填写需要管控的 IP 地址范围, 可以是单个 IP 也可以是多个 IP 或者 IP 段远端地址范围 ( 基于 IP): 广域网的一个 IP 范围段 ( 单个 IP 或一个 IP 段 ) 远端地址范围 ( 基于域名 ): 广域网的一个域名或多个域名协议 : 目的端口类型基于时间控制 : 是否启动按时间段管控功能 ( 若启用, 用户可自定义管控时间段 ) 举例说明 : 限制 IP 为 192.168.0.10-192.168.0.20 之间的机器只能上 QQ 跟浏览网页, 其他机器不做限定, 可以做如下设定 : 1. 选择访问控制的方式为允许规则之外的通过 2. 先添加一条禁止 192.168.0.10-192.168.0.20 之间的 IP 访问任何地址的规则, 优先级 - 60 -

设置低一点, 如图所示 : 3. 再添加一条允许 192.168.0.10-192.168.0.20 之间的 IP 访问网页跟 QQ 的规则如下图所示 : 由于大多数网页都是走的 TCP 协议的 80 跟 443 端口,QQ 程序一般都是使用 UDP 协议的 8000-8004 端口, 所以我们以此为例做限制此规则优先级必须高于被禁止的规则, 否则此规则设置将无效最终设置好之后的规则图如下 : 3.9 系统状态及日志 - 61 -

主要用于查看路由运行情况及系统相关日志记录 1. 系统信息显示路由器当前运行情况及相关信息记录如图所示 : 2. 接口信息显示路由器局域网广域网及流量使用情况 3. 系统日志记录路由器运行过程中出现的一些事件记录 - 62 -

4. 网络检测利用系统自带的 ping 工具, 来检测网络的连接状况 5. 内网监控记录内部主机的上网情况及登录用户信息记录 - 63 -

3.10 VPN 应用此 VPN 是基于 SSL 的 VPN 模式, 是以 OPENVPN 为基础的 VPN 连接模式 3.10.1 VPN 基本设置 VPN 模式 : 关闭 ( 不启用 VPN 服务 ); 服务端 ( 将此路由作为 VPN 连接的服务器端 ); 客户端 ( 将此路由器作为 VPN 连接的客户端 ) 路由器的 VPN 连接方式分为网关对网关的连接和网关对客户机的连接两种 : 1. 网关对网关即路由对路由的连接方式也就是将其中一端的路由设置为服务端, 另一端路的由设置为客户端在这种连接模式下, 两端的路由若外网连接都正常, 两者将会自动进行 VPN 连接,VPN 连接成功之后, 服务端下面的所有用户与客户端下面的所有用户就组成了一个虚拟的局域网 2. 网关对 PC 客户机即路由对客户机的连接方式就是把路由器作为 VPN 服务端, 然后客户机利用 VPN 连接软件来与服务端进行连接在这种连接模式下, 客户机必须利用 VPN 软件手动去连接服务端,VPN 连接成功之后, 该客户机就与服务端下面的所有用户组成了一个虚拟的局域网, 即加入到服务端的局域网内 3.10.2 VPN 服务端的建立 VPN 服务端是提供给客户端做 VPN 连接而用, 我们需要在服务端上建立不同的用户, 分配给客户端用来连接 VPN 其中分为 PC 客户端的用户建立与路由器客户端的账号建立两种 1. 服务端基本参数设置首先在 VPN 模式中选择服务端, 如下图所示 : - 64 -

然后, 填写相关数据参数协议类型 : 自定义 VPN 服务所走的协议默认为 TCP 协议, 您也可以修改为 UDP 协议超时检测时间 : 在设定的时间内, 未收到客户端的数据, 则判断为连接超时端口 : 自定义一个 VPN 服务使用的端口默认为 4443, 您可以修改为其他未被占用的端口 VPN 虚拟网段地址 / 掩码 : 自定义一个用来连接 VPN 的虚拟网段地址及子网掩码 ( 请避开您正在使用的网段如您正在使用的是 192.168.X.X, 请使用 10.X 或者 172.X 的 IP 段 ) 用户之间互通 : 即 VPN 客户端与 VPN 客户端之间相互通信的功能默认允许以上已完成了服务端的基本参数设置, 接下来我们需要为客户端建立 VPN 连接的账号及密码以供客户端与服务端来进行 VPN 连接 2. PC 客户端帐号的建立在下方的用户列表栏中可以建立 VPN 客户端的账号, 如图所示 : - 65 -

状态 : 选中表示激活此账号用户类型 : 这里我们选择客户端是 PC 用户名 / 密码 : 为 PC 客户端新建一个用于连接 VPN 的账号及密码 ( 此用户账号可以由用户自行定义, 请使用英文或者数字作为用户名 / 密码 ) 内网网段 IP/ 掩码 : 建立 PC 客户端时不需要设置此项 ( 直接获取服务端的虚拟网段地址及掩码 ) 新用户建立完之后点击添加按钮, 将用户加入到列表中, 这样您的 PC 客户端账号就建立完成了 3. 路由器客户端的账号建立在下方的用户列表栏中可以建立 VPN 客户端的账号, 如图所示 : 状态 : 选中表示激活此账号用户类型 : 这里我们选择客户端是路由器用户名 / 密码 : 新建一个客户端用来连接 VPN 的账号及密码 ( 此账号是客户端路由用来连接服务端而使用的, 用户账号可以由用户自行定义, 请使用英文或者数字作为用户名 / 密码 ) 内部网段 IP/ 掩码 : 填入您客户端连接 VPN 所用的内部 IP 地址及子网掩码 ( 此处 IP 不能与服务端内网处于同一网段如, 服务端路由 IP 为 192.168.1.1, 客户端路由 IP 为 192.168.100.1, 那么此处就不能填 192.168.1.0, 而需要填 192.168.100.0) 新用户建立完之后点击添加按钮, 将用户加入到列表中, 这样您的路由客户端账号就建立完成了 3.10.3 路由器客户端的设置在 VPN 模式中, 我们选择客户端, 如下图所示 : - 66 -

协议类型 : 选择 VPN 连接所使用的协议类型, 必须与服务端的协议类型一致, 否则无法正常连接 VPN 超时检测时间 : 在设定的时间内, 未收到客户端的数据, 则判断为连接超时用户名 / 密码 : 请填入一个您在服务端建立的路由客户端用户名及密码, 并再次确认密码服务器地址 : 填写您服务端的 WAN 口 IP( 外网 IP) 地址或者动态域名冒号后面填入与您服务端相同的协议端口号服务器地址备份 : 当您有多条 WAN 接入时, 您可以分别填入其他 WAN 口的 IP 地址或者动态域名, 当其中一条线路不通时, 另外的线路可以继续保持 VPN 连接, 使其不会意外中断 ; 如果您只使用了一个 WAN 口接入, 可以不用填写备用地址 3.10.4 PC 客户端的设置 PC 客户端的设置需要借助客户端软件的配合来进行连接, 我们目前采用的是 OpenVPN 这款软件具体软件的使用及下载您可以在 OPENVPN 官方网站下载到下面我们描述下软件的配置及连接 1. 软件的安装请于网络上下载 OpenVPN 软件并安装到电脑上 2. 软件的配置找到 VPN 软件的安装路径, 我们手动创建一份配置文件放置到安装路径的 config 文件夹下面, 同时将证书文件也一并放于此目录下配置文件的编辑方法如下 : - 67 -

新建一个记事本文件, 复制下面虚线框里的内容, 然后另存为 Client.ovpn 格式如下图所示 : ============= 以下内容为配置文件的内容 =========== client dev tun proto tcp remote server-ip 4443 resolv-retry infinite nobind persist-key persist-tun ca ca.crt auth-user-pass ns-cert-type server verb 4 =============== 以上内容为配置文件的内容 ============= PC 客户端的配置文件如下图所示 : - 68 -

文件保存之后, 我们可以鼠标右击任务栏的图标, 在弹出的菜单中点击 Edit Config 选项即可对配置文件进行查看及修改最后我们还需要下载 VPN 证书文件 ( 证书文件需要在服务端的 VPN 证书管理里面下载若服务端没有提交新的证书, 则所有的 D-link 路由系统里的证书可以相互通用 ), 将从服务端下载的证书文件跟 client.ovpn 文件存放到同一文件夹下 ( 安装目录的 config 文件夹下面 ) 如下图所示, 完成之后我们就可以开始进行 VPN 连接了 3. 软件的连接鼠标右键点击任务栏图标, 选择 connect 就会弹出 VPN 连接的认证界面, 输入在服务端建立的帐号名及密码即可进行 VPN 连接如图所示 : - 69 -

若 VPN 连接成功, 任务栏图标将变为绿色图标 ; 若持续显示黄色图标, 则说明 VPN 连接未成功, 请检查参数配置文件设置是否正确, 其次需要看本地 IP 跟服务器是否处于同一网段, 本地 IP 若跟服务器 IP 处在同一网段内, 也可能会导致 VPN 连接不成功的 3.10.5 VPN 状态记录 VPN 相关连接的状态, 管理员可以由此了解到 VPN 线路的运行状态, 以便进行管理 3.10.6 VPN 证书 - 70 -

主要用于用户下载原有的证书文件, 或者自行导入新的证书其中,ca.crt 证书文件是 PC 客户端连接 VPN 必须的文件, 您可以将其下载下来保存好, 以提供给 PC 客户端连接 VPN 时使用若您自定导入的证书在使用时出现问题, 请点击下方使用系统默认证书按钮将证书恢复到默认值 3.10.7 VPN 日志 - 71 -

主要用于记录 VPN 连接时出现的日志信息只有在勾选上相应选项之后, 才会在日志中记录 - 72 -

第四章快捷菜单设置 4.1 配置管理此界面可以对系统目前的参数做备份或者恢复之前的备份操作如图所示 : 备份当前配置 : 将您的路由器配置参数备份至本地电脑磁盘以备路由器调试后出现问题时能及时恢复到以前的状态恢复系统参数 : 将您预先保存的系统配置文件导入到路由器 ( 配置文件为.cfg 格式的 ) 请不要将其他路由器的配置文件导入到本路由器, 否则将导致路由器无法正常工作 4.2 用户管理该界面可以对路由器登录用户的用户名密码及远程访问进行设置如图所示 : - 73 -

HTTP 访问端口 : 本地局域网访问路由器时的端口默认为 80. 远程访问 : 勾上表示激活远程访问激活之后, 在广域网也能访问到您的路由器 WEB 控制界面, 方便管理员进行远程维护默认为不启用远程访问端口 : 广域网远程访问路由 WEB 控制界面时的端口默认为 8080. 管理员 / 密码 : 自定义您的管理员账户与密码管理员具有对路由器的最高管理权限启用 guest 用户 : 是否启用 guest 用户 Guest 用户只能查看路由设置, 不能对路由设置做任何更改默认不启用 guest 用户 / 密码 : 自定义您的 guest 用户名及密码管理员用户可以修改路由器任何设置,guest 用户只能查看设置, 不能修改设置忘记管理员用户 / 密码之后只能通过按下 reset 按钮来恢复到出厂默认值, 请牢记您的管理员用户名及密码默认管理员用户名与密码都是 admin;guest 用户名与密码都是 guest 4.3 系统维护该界面可以对路由器进行固件升级操作及软恢复操作如图所示 : - 74 -

固件升级 : 升级前请先确认好路由器的当前版本, 看是否需要进行升级操作点击浏览按钮, 选择新版本的存放路径之后, 按下升级按钮开始升级操作升级时间一般会在一分钟之完成, 各型号升级时间也不一致温馨提示 : 升级路由器的时候, 请不要刷新页面, 并且保证机器在不断电的情况完成升级操作, 否则将造成路由器升级失败! 请尽量选择本地升级路由器, 远程升级路由器受到网络影响容易导致升级失败! 恢复出厂值 : 选择恢复路由默认设置, 并点击确定恢复之后路由器会自动重启, 重启完之后请使用默认 IP 及用户名 / 密码登录路由路由器默认 IP: 192.168.0.1, 默认用户名 / 密码都是 admin 点击重启路由器按钮, 在弹出的对话框中选择是, 路由将会重新启动一次 - 75 -