advertisement
双核全千兆企业 VPN 路由器
TL-ER6520G
用户手册
Rev1.0.1
1910040284
双核全千兆企业 VPN 路由器
声明
Copyright © 2012 深圳市普联技术有限公司
版权所有,保留所有权利
未经深圳市普联技术有限公司明确书面许可,任何单位或个人不得擅自仿制、复制、誊抄或
转译本书部分或全部内容。不得以任何形式或任何方式(电子、机械、影印、录制或其他可
能的方式)进行商品传播或用于任何商业、赢利目的。
为深圳市普联技术有限公司注册商标。本文档提及的其他所有商标或注册
商标,由各自的所有人拥有。
- I -
双核全千兆企业 VPN 路由器
目录
物品清单 ...............................................................................................................................1
页面常见按键及操作............................................................................. 12
区段 ........................................................................................... 17
简介 ............................................................................................ 29
设置 ............................................................................................ 33
- II -
双核全千兆企业 VPN 路由器
端口流量限制........................................................................................ 39
协议介绍..................................................................................... 41
功能介绍..................................................................................... 43
功能配置..................................................................................... 45
功能组网应用 ............................................................................. 50
设置.............................................................................................. 54
设置............................................................................................... 57
设置 .............................................................................................. 59
- III -
双核全千兆企业 VPN 路由器
虚拟服务器 ........................................................................................... 83
服务............................................................................................... 88
服务.............................................................................................. 109
简介 ............................................................................................ 113
攻击简介 ..................................................................................... 114
攻击防护 ..................................................................................... 116
- IV -
双核全千兆企业 VPN 路由器
区段内策略 ......................................................................................... 125
区段内策略应用 .................................................................................. 128
区段间策略 ......................................................................................... 132
区段间策略应用 .................................................................................. 135
过滤............................................................................................. 141
安全策略 ....................................................................................... 148
安全提议 ....................................................................................... 149
安全策略.................................................................................... 151
安全提议.................................................................................... 153
安全联盟.................................................................................... 154
穿透 ............................................................................................. 155
服务器设置................................................................................ 155
服务器隧道信息......................................................................... 157
服务器设置................................................................................. 157
服务器隧道信息 ......................................................................... 159
- V -
双核全千兆企业 VPN 路由器
修改管理帐号...................................................................................... 165
系统管理设置...................................................................................... 167
恢复出厂配置...................................................................................... 168
备份与导入配置 .................................................................................. 168
重启路由器 ......................................................................................... 169
接口流量统计...................................................................................... 170
流量统计 ......................................................................................... 170
夏令时设置 ......................................................................................... 174
配置区段和接口 .................................................................................. 181
- VI -
双核全千兆企业 VPN 路由器
配置流量均衡...................................................................................... 184
配置访问策略...................................................................................... 189
配置应用限制...................................................................................... 196
配置局域网ARP攻击防护 ................................................................... 198
配置攻击防护...................................................................................... 199
配置内网流量监控 .............................................................................. 200
配置命令 ................................................................................... 206
区段和接口命令 .................................................................................. 207
用户信息管理...................................................................................... 208
历史命令管理...................................................................................... 209
附录B 规格参数................................................................................................................ 212
- VII -
双核全千兆企业 VPN 路由器
物品清单
请仔细检查包装盒,里面应有以下配件:
一台 TP-LINK 双核全千兆企业 VPN 路由器
一根 Console 连接线
一根电源线
一本安装手册
一张保修卡
一张光盘
两个 L 型支架及其他配件
说明:
如果发现有配件短缺或损坏的情况,请及时与当地经销商联系。
- 1 -
双核全千兆企业 VPN 路由器
第1章 用户手册简介
本手册旨在帮助您正确使用本款路由器。内容包含对路由器性能特征的描述以及配置路
由器的详细说明。请在操作前仔细阅读本手册。
1.1
目标读者
本手册的目标读者为熟悉网络基础知识、了解网络术语的技术人员。
1.2
本书约定
在本手册中,
所提到的“路由器”、“本产品”等名词,如无特别说明,系指 TL-ER6520G 双核全千兆
企业 VPN 路由器,下面简称为 TL-ER6520G。
用 >> 符号表示配置界面的进入顺序。默认为一级菜单 >> 二级菜单 >> 标签页,其
中,部分功能无二级菜单。
正文中出现的<>尖括号标记文字,表示 Web 界面的按钮名称,如<确定>。
正文中出现的“”双引号标记文字,表示 Web 界面出现的除按钮外名词,如“ARP 绑定”
界面。
本手册中使用的特殊图标说明如下:
图标 含义
说明:
该图标表示此部分内容是对相应设置、步骤的补充说明。
1.3
章节安排
章节 章节说明
第 1 章 用户手册简介 快速掌握本手册的结构、了解本手册的约定,从而更有效地使用本手册。
第 2 章 产品介绍
第 3 章 配置指南
介绍本产品的特性、应用以及外观。
介绍如何登录路由器的 Web 页面,并简要介绍页面特点。
- 2 -
双核全千兆企业 VPN 路由器
章节
第 4 章 基本设置
第 5 章 DHCP
章节说明
本模块主要用于对路由器进行基本设置,主要介绍了:
区段设置:配置路由器的区段和接口参数。
VLAN 设置:介绍路由器的 VLAN 功能和详细配置过程。
交换机设置:介绍路由器的交换机管理功能。
本模块主要用于配置路由器的 DHCP 服务器功能,主要介绍了 DHCP 协议、DHCP
服务器功能配置以及实际的组网应用。
第 6 章 快速配置
本模块主要介绍了对于网络知识以及本产品不熟悉的用户,如何通过快速配置向
导,设置上网所需的基本网络参数,完成路由器的设置。
第 7 章 对象管理
第 8 章 传输控制
第 9 章 安全管理
第 10 章 VPN
本模块主要介绍了如何对路由器的时间、地址组、IP 地址池以及服务类型进行集
中管理。
本模块主要介绍了路由器传输控制相关特性,保证数据安全、快速、有序转发,
内容包括:
NAT 设置:详细介绍 NAT 技术和相关功能特性。
带宽控制:详细介绍带宽控制的功能实现和配置方法。
连接数限制:通过合理配置连接数限制特性,能够保证用户分配到特定的
TCP/UDP 连接数。
流量均衡:详细介绍流量均衡功能,通过正确配置可以保证数据包在可选择的
出接口中选择合适的出接口快速转发到下一网络节点。
路由设置:详细介绍静态路由功能以及动态路由协议 RIP,并通过正确配置路
由保证数据包在网络中以正确的路径进行快速转发。
本模块针对局域网中常见的网络攻击进行防护,主要介绍了:
ARP 防护:对局域网中的 ARP 攻击进行防护。
攻击防护:对常见的 DoS 攻击进行防护。
MAC 过滤:通过 MAC 地址过滤功能限制特定用户通过路由器上网。
访问策略:通过配置对报文的匹配规则和处理操作来实现区段间或者区段内的
用户之间通信控制。
应用控制:通过应用控制功能可以限制局域网用户的上网行为。
本模块主要 VPN 功能,以及如何通过路由器与远端 VPN 设备建立隧道。
- 3 -
双核全千兆企业 VPN 路由器
章节
第 11 章 系统服务
第 12 章 系统工具
第 13 章 企业组网
章节说明
本模块主要介绍了:
电子公告:通过电子公告功能可向局域网内指定用户组发送公告消息。
动态 DNS:当局域网搭建了服务器需要借助花生壳 DNS 进行域名解析时,可
通过动态 DNS 实现。
UPnP 服务:本地应用程序可以通过 UPnP 协议与路由器协商相关功能设置。
DNS 代理:介绍了路由的 DNS 代理功能。
系统工具模块将管理路由器的常用系统工具组合在一起,主要介绍了:
管理帐号:配置登录路由器 Web 页面的帐号、密码和服务端口,以及远程管
理相关参数。
设备管理:集中对路由器的配置文件进行管理。
流量统计:统计各接口以及用户的通信数据信息。
诊断工具:检测目标是否可达、目标与路由器之间间隔的路由跳数。
时间设置:配置路由器的系统时间。
系统日志:查看在路由器上配置的参数。
系统参数:介绍逻辑接口的路由 Metric 参数。
根据实际企业组网中常用的典型需求介绍了企业整体组网的相关配置。
第 14 章 命令行简介
附录 A 常见问题
附录 B 规格参数
主要介绍了如何使用命令行接口来配置路由器。
针对设备安装及运行过程中的常见问题进行解答。
技术参数规格表。
- 4 -
双核全千兆企业 VPN 路由器
第2章 产品介绍
2.1
产品描述
TL-ER6520G 双核全千兆企业 VPN 路由器是 TP-LINK 公司针对中大型企业、机关单位、
园区、酒店等网络推出的一款高性能全千兆 VPN 路由器产品,采用基于双核网络专用处理器
的硬件平台,具备强大的数据处理能力,同时支持 VPN、防火墙、上网行为管理、流量控制、
电子公告等丰富的功能特性,非常适合组建安全、高效、易管理的全千兆企业网络。
产品型号及名称如下:
产品机型 产品名称
双核全千兆企业 VPN 路由器 TL-ER6520G
2.2
产品特性
硬件特性
采用 64 位双核网络专用处理器,单核主频 500MHz;
配备容量为 256MB 的 DDRII 高速内存;
提供 5 个 10/100/1000M 自适应以太网接口;
提供 1 个 Console 口;
内置高品质开关电源,无风扇静音设计;
1U 钢壳,可安装于 19 英寸标准机架,工业级设计。
功能特性
区段与接口
支持自定义区段,灵活划分网络区域,便于根据不同区域的安全需要制定相应的防火墙
策略。
支持区段内绑定多个逻辑接口,并提供多种逻辑接口类型,适应复杂的网络需求,同时
充分利用物理端口资源。
- 5 -
双核全千兆企业 VPN 路由器
VPN
提供标准的 IPsec VPN 功能,支持数据完整性校验、防数据包重放和数据加密功能(DES、
3DES、AES128、AES192、AES256 等加密算法),支持 IKE 和手动模式建立 VPN 隧道,
并支持通过域名方式配置 VPN 连接。
提供 L2TP/PPTP VPN 功能,支持 L2TP/PPTP VPN 服务器模式,允许出差员工或分支结
构远程安全接入公司网络。
上网行为管理
提供了针对各种常见应用的一键封杀功能,只需在配置页面中勾选相应选项,即可禁止
员工使用常见的 IM 软件( QQ/Web QQ/MSN/阿里旺旺等)、P2P 软件(迅雷/迅雷看看/
电驴等)、金融软件(大智慧、分析家、同花顺等)、游戏(QQ 游戏、迅雷游戏、开心农
场、QQ 农场等)、代理(http 代理、socks4 代理、socks5 代理)。该系列路由器支持基
于用户组配置封杀策略,可针对不同用户分配不同权限,保证关键用户的正常使用。
支持基于网站黑白名单及用户组的过滤策略,可限制员工对各类网站的访问权限,避免
访问恶意网站带来的潜在危害。
防火墙
访问策略:通过配置访问控制策略,可允许或禁止特定应用数据流通过路由器,比如 FTP
下载、收发邮件、Web 浏览等,同时支持基于用户组和时间段配置策略,实现精细化管
理。
ARP 防护:支持 IP 与 MAC 地址自动扫描及一键绑定功能,有效防止 ARP 欺骗和非法接
入;在遭受 ARP 欺骗时,路由器可按照指定频率发送 ARP 更正信息,及时恢复网络正常
状态。
攻击防护:支持内外网攻击防护功能,可有效防范各种常见的 DoS 攻击、扫描类攻击、
可疑包攻击行为,如:TCP Syn Flood、UDP Flood、ICMP Flood、WinNuke 攻击、分片
报文攻击、WAN 口 ping、TCP Scan(Stealth FIN/Xmas/Null)、IP 欺骗等。
带宽控制
支持智能带宽控制功能,可根据实际的带宽利用率灵活启用带宽控制策略,可针对网络
中每一台主机(IP)进行双向带宽控制,有效抑制 BT、迅雷等 P2P 应用过度占用带宽,
避免造成网络游戏卡、上网速度慢的问题,保障网络时刻畅通。
连接数限制
提供基于用户组的连接数限制功能,可限制每一台电脑的连接数占有量,合理利用有限
的 NAT 连接数资源,防止少数用户过度占用大量连接数,确保游戏、上网、聊天、视频
语音等顺畅进行。
- 6 -
双核全千兆企业 VPN 路由器
设备管理
支持全中文 WEB 网管,所有功能均可通过图形化界面进行配置,简单方便。
每一项配置均提供必要的帮助说明信息,有效降低配置难度。
设备维护
提供系统日志与日志服务器功能,详尽的日志信息便于快速发现网络异常并及时定位问
题原因。
支持本地及远程管理路由器,方便远程协助。
支持 Ping 检测及 Tracert 检测,方便快速确认网络连通状态。
2.3
产品外观
2.3.1
前面板
TL-ER6520G的前面板由 5 个自定义接口、1 个Console接口、指示灯和Reset键组成。
图 2.1 TL-ER6520G 前面板示意图
5 个 10/100/1000Mbps 自适应 RJ45 接口
TL-ER6520G 支持 10Mbps/100Mbps/1000Mbps 速率的连接设备。每个接口对应一组指
示灯,即 Link/Act 和 Speed 指示灯。
1 个 Console 接口
Console接口位于面板最右边,使用此接口可以对路由器进行命令行配置,详见第 14 章命
Reset 键
复位键。在路由器通电的情况下,使用尖状物按住路由器的 Reset 键,等待 2-5 秒后,
见到系统指示灯快速闪烁 1-2 秒,松开按键,路由器将自动恢复出厂设置并重启。路由器出
厂默认管理地址是 http://192.168.1.1,默认用户名/密码是 admin/admin。
指示灯
指示灯包括电源 PWR 指示灯,SYS 系统指示灯,连接状态 Link/Act 指示灯,Speed 速
率指示灯。通过指示灯可以监控路由器的工作状态,下表将详细说明指示灯工作状态:
- 7 -
双核全千兆企业 VPN 路由器
指示灯
PWR
SYS
Link/Act
Speed
名称
电源指示灯
系统指示灯
状态指示灯
速率指示灯
状态描述
常亮表示系统供电正常
常灭表示电源关闭或电源故障
系统正常工作时以每秒 1 次的频率闪烁,其他状态表示
系统异常
常亮表示相应端口已正常连接
闪烁表示相应端口正在传输数据
常灭表示相应端口未建立连接
常亮绿色表示相应端口工作在 1000Mbps 模式
常亮黄色表示相应端口工作在 100Mbps 模式
常灭表示相应端口工作在 10Mbps 模式或链路未建立
2.3.2
后面板
图 2.2 后面板示意图
电源接口
位于后面板右侧,设备正常工作时的输入电源参数为 100-240V~ 50/60Hz,最大工作电
流不超过 0.6A,为保证设备及电源设施正常工作,请确保供电电源完全满足设备的要求。
防雷接地柱
请使用黄绿双色外皮的铜芯导线接地,以防雷击,具体请参考《设备防雷安装手册》。
说明:
请使用原装电源线。
电源插座请安装在设备附近便于触及的位置,以方便操作。
- 8 -
双核全千兆企业 VPN 路由器
第3章 配置指南
3.1
登录Web界面
第一次登录时,需要确认以下几点:
1) 路由器已正常加电启动,任一物理端口已与管理主机相连。
2) 管理主机已正确安装有线网卡及该网卡的驱动程序、并已正确安装 IE 8.0 或以上版本、
FireFox 和 Chrome 半年内版本以及 Safari 浏览器。
3) 管理主机 IP 地址已设为与路由器 default 区段同一网段,即 192.168.1.X(X 为 2 至 254
之间的任意整数),子网掩码为 255.255.255.0,默认网关为路由器管理地址 192.168.1.1。
4) 为保证能更好地体验 Web 界面显示效果,建议将显示器的分辨率调整到 1024×768 或以
上像素。
打开IE浏览器,在地址栏输入 http://192.168.1.1
登录路由器的Web管理界面。
路由器登录界面如下图所示。
图 3.1 路由器登录界面
在此界面输入路由器管理帐号的用户名和密码,出厂缺省值为admin/admin。成功登录后
- 9 -
双核全千兆企业 VPN 路由器
图 3.2 路由器界面首页
在初始界面中,可以在 CPU 利用率区域监测两个 CPU 的利用率。CPU 利用率平均推荐
值为 50%左右,高于 85%表示路由器处于高负载状态,高于 95%表示满负载状态,当 CPU
利用率持续较高时,部分功能可能将异常,此时可能是网络中出现异常,请进行排查。在快
速显示区域,点击各区域的< >按钮选择接口查看接口信息。
浏览到区段信息标签页,可以查看路由器上设置的区段和接口信息。在出厂默认情况下,
路由器上配置了默认区段 default 和接口 eth0,此时所有物理端口均属于接口 eth0。
图 3.3 路由器初始区段
- 10 -
双核全千兆企业 VPN 路由器
3.2 Web
界面简介
3.2.1
界面总览
本路由器典型的 Web 界面如下图所示。
图 3.4 典型 Web 界面
在图 3.4 典型Web界面区域划分中可以看到,左侧为一级、二级菜单栏,右侧上方长条
区域为菜单下的标签页,当一个菜单包含多个标签页时,可以通过点击标签页的标题在同级
菜单下切换标签页。右侧标签页下方区域可分为两部分,条目配置区以及列表管理区。
- 11 -
双核全千兆企业 VPN 路由器
图 3.5 Web 界面区域划分
3.2.2
页面常见按键及操作
按键 含义
保存最终的配置。
退出 Web 页面。
说明:
更改每一个配置后,<新增>和<设置>按键只能使当前配置在设备未重启前生效;若需要在重启设备
后配置依旧生效,则需要点击<保存配置>按键。建议在断电重启前<保存配置>,以免丢失配置信息。
条目配置区常见按键:
按键 含义
添加当前配置条目。
提交当前的配置。
- 12 -
双核全千兆企业 VPN 路由器
修改并保存编辑后的配置信息。
快速清空当前配置项中已输入的所有信息。
打开当前功能的帮助页面。
说明:
<修改>按键只有在编辑列表中的条目时才会出现,取代原本的<新增>按键。
列表管理区常见按键:
按键 含义
选中当前列表中所有条目。
启用选中的列表条目。
禁用选中的列表条目。
删除选中的条目,可批量操作。
点击后弹出搜索对话框,可以根据输入条件快速搜索条目。
- 13 -
双核全千兆企业 VPN 路由器
第4章 基本设置
4.1
基本概念
TL-ER6520G 提供了灵活的网络安全布局设计,可以创建多个区段并配置策略以调节区
段内部及区段之间的信息流。本路由器可为每个区段绑定一个或多个接口,并在每个区段上
启用不同的管理和防火墙选项。利用本路由器可以创建网络环境所需的区段,分配每个区段
所需的接口数,并且可以根据自己的需要来设计每个接口。
4.1.1
区段
区段是由一个或多个网段组成的集合,需要通过策略对入站和出站信息流进行调整。区
段是绑定了一个或多个接口的逻辑实体,是一系列相同或类似功能的接口集合。通过本路由
器可以定义多个区段,确切数目可根据网络需要来确定。
在实际网络环境中,通常可以将网络划分为广域网区域、局域网区域和DMZ区域
(Demilitarized Zone,非军事区域)。相对应的,可以在路由器上面定义广域网区段、局域网
图 4.1 区段概念示意图一
还可以根据实际情况,对区段进行更加细致的定义,如图 4.2所示,在路由器上定义电信
区段、联通区段、研发部门区段、财物部门区段、监控服务器区段和邮箱服务器区段。如何
定义区段以及设置区段的确切数目,完全取决于用户的需求。
- 14 -
双核全千兆企业 VPN 路由器
图 4.2 区段概念示意图二
4.1.2
接口
区段的接口可以视为一个入口,TCP/IP 信息流可通过它在该区段和其它任何区段之间进
行传递。通过定义的策略,可以使两个区段间的信息流朝一个或两个方向流动。通过定义的
静态路由规则,可指定信息流从一个区段到另一个区段必须使用的接口。由于可将多个接口
绑定到一个区段上,所以制定的静态路由规则对于将信息流引向所选择的接口十分重要。
为进一步理解本路由器接口的含义,下面分别介绍物理接口和接口的概念。
1. 物理接口
物理接口与设备上实际存在的组件有关。接口命名约定因设备而异。物理接口的名称由
媒体类型、插槽号(对于某些设备)及索引号组成,例如:ethernet3/2 或 ethernet2。可将物
理接口绑定到区段,信息流通过该物理接口进出区段。
TL-ER6520G的物理接口如图 4.3所示,只支持以太网这一种媒体类型。
图 4.3 物理接口概念示意图一
TL-ER6520G的物理接口命名为端口 1/2/3/4/5,如图 4.4所示。
- 15 -
双核全千兆企业 VPN 路由器
图 4.4 物理接口概念示意图二
2. 接口
在支持 VLAN(Virtual Local Area Network,虚拟局域网)的设备上,可以在逻辑上将一
个物理接口划分为多个虚拟的接口,每个接口使用的带宽都来自它所属的物理接口。
TL-ER6520G 用来划分物理接口的接口有 eth、pppoe、pptp 和 l2tp 四种类型。eth 是
以太网接口,功能上与以太网物理接口相同。eth 接口由 802.1Q VLAN 标记进行区分,pppoe、 pptp 和 l2tp 由相关的协议字段进行区分。
信息流必须通过接口才能在区段内或区段间传递。每个区段至少需要定义一个 eth 接口,
而对于跟互联网相连的广域网区段,还可能根据 ISP(Internet Service Provider,网络服务提
供商)提供的服务不同,需要定义 pppoe、pptp 或 l2tp 接口。一个区段可以定义多个 eth 接
口,也可以定义多个 pppoe、pptp 或 l2tp 接口。用户可以根据自己的需要来设计每个接口。
4.1.1区段的基本概念介绍里,图 4.1中,在路由器上定义了区段,为了使信息能够传递,
需要为每个区段定义接口。图 4.5为广域网区段、局域网区段和DMZ区段各定义了一个eth接
口,eth接口名称分别为wan.eth0、lan.eth0 和dmz.eth0。假设ISP为广域网区域提供的是PPPoE
拨号上网服务,则需要在广域网区段里定义一个pppoe接口,图中接口名称为wan.pppoe0。
图 4.5 接口概念示意图
- 16 -
双核全千兆企业 VPN 路由器
4.2
区段设置
区段是绑定了一个或多个接口的逻辑实体,是一系列相同或类似功能的接口集合。通过
本路由器可以定义多个区段,确切数目可根据网络需要来确定。每一个区段都可以根据需求
定义多个接口,本路由器接口类型分为 eth、pppoe、l2tp、pptp 四种。
本节介绍区段设置的相关内容,具体包括以下部分:
default区段 :通过介绍TL-ER6520G预定义的default区段,介绍区段设置操作。
:介绍TL-ER6520G提供的eth、pppoe、l2tp、pptp四种类型的接口,及其设
置。
4.2.1 default
区段
TL-ER6520G 预定义了一个 default 区段,所有物理接口都绑定到该区段,该区段有一个 eth 接口,其 IP 地址为 192.168.1.1,可以通过此 IP 地址访问路由器 Web 界面。
进入界面:基本设置 >> 区段设置 >> 区段设置
图 4.6 区段设置界面-default
- 17 -
双核全千兆企业 VPN 路由器
此界面可以划分成三个区域:左列、区段设置和接口设置。以下简单介绍每一个区域的
作用以及可以进行的操作。
左列
显示所有区段名称。点击区段的名称,可以进入相应区段界面进行设置。点击< + >按钮
会显示新增区段界面,如图 4.7所示。在此界面设置区段名称,点击<确定>按钮,可以创建
新区段。
图 4.7 区段设置界面-新增区段
区段名称
输入一个名称来标识一个区段。只支持英文、数字以及/ \ . _ - @六个特
殊字符,最多可以输入 15 个字符。
表 4.1 新增区段界面条目项说明
新增区段完成后,如图 4.8所示。在此界面可以编辑区段和新增接口。
图 4.8 区段设置界面-新增区段完成
区段设置
显示本区段名称和所在的物理接口,在此区域可以修改区段名称,删除所有接口或删除
本区段。
区段所在端口
显示该区段关联的物理接口,以及这些物理接口在设备上的位置。图
形标记为绿色表示相应物理接口被关联。
修改
删除所有接口
删除本区段
输入区段名称,点击此按钮,可以修改该区段名称。
点击此按钮,删除该区段内所有接口。
点击此按钮,删除该区段。
表 4.2 区段设置界面条目项说明
说明:
如果删除了路由器中的全部接口,导致无法登录路由器Web界面,则可以通过命令行对路由器进行管
理配置,详见第 14 章命令行简介;也可以通过Reset键,将路由器恢复成出厂设置,通过IP地址
192.168.1.1 登录路由器Web界面。
接口设置
- 18 -
双核全千兆企业 VPN 路由器
显示本区段内所有接口名称,点击接口的名称,可以进入相应接口界面进行设置。点击<
+ >按钮会显示新增接口界面,如图 4.9所示。在此界面选择接口类型,设置接口名称等必要
信息,点击<设置>按钮完成。接口设置的详细介绍请参考4.2.2 接口设置。
图 4.9 区段设置界面-新增接口
4.2.2
接口设置
TL-ER6520G 提供 eth、pppoe、pptp 和 l2tp 四种类型的接口,以下为各接口简单介绍:
eth 接口:以太网接口,必须与一个 VLAN 和一个 MAC 地址相对应。提供静态 IP 与 DHCP
两种连接方式。一般光纤接入以及企业、网吧局域网内组网使用静态 IP 连接方式,有线
宽频使用 DHCP 连接方式。
pppoe 接口:提供 PPPoE 连接方式的接口。xDSL 拨号上网使用 PPPoE 连接方式。
pptp 接口:提供 PPTP 连接方式的接口。虚拟专用拨号网络一般使用 PPTP 连接方式。
l2tp 接口:提供 L2TP 连接方式的接口。虚拟专用拨号网络也可以使用 L2TP 连接方式。
说明:
以上介绍提到的五种接入方式:静态 IP、DHCP、PPPoE、PPTP、L2TP,都可以连接到广域网,
具体使用情况请根据 ISP(Internet Service Provider,网络服务提供商)提供的服务进行选择。
- 19 -
双核全千兆企业 VPN 路由器
1. eth 接口
说明:
新建eth接口,必须保证有VLAN可供选择,如需设置VLAN,请参考 4.3 VLAN设置。
在区段设置界面的接口设置区域,选择接口类型为eth,将出现eth接口的设置界面,图
4.10是manual连接方式,图 4.11是dhcp连接方式。
接口类型
接口名称
VLAN
连接方式
IP 地址
子网掩码
网关地址
MTU
图 4.10 eth 接口设置-manual 连接方式
选择接口类型,共有 eth、pppoe、pptp、l2tp 四种接口类型可供选择。
输入一个名称来标识一个接口。只支持英文、数字以及/ \ . _ - @六个
特殊字符,最多可以输入 15 个字符。
当接口类型选择为 eth 时,需要在此选择一个该接口指向的 VLAN。
选择连接方式,有 manual 和 dhcp 两种连接方式。
选择 manual 连接方式,需要进行手动配置;选择 dhcp 连接方式,由
路由器动态获取 IP 地址。
设置接口的 IP 地址。
设置接口的子网掩码。
设置网关地址,允许留空。
MTU(Maximum Transmission Unit,最大传输单元),可以设置数据
包的最大长度。取值范围是 576-1500 之间的整数,默认值为 1500。
若 ISP 未提供 MTU 值,请保持默认值不变。
- 20 -
双核全千兆企业 VPN 路由器
首选 DNS 服务
器
备用 DNS 服务
器
MAC 地址
上行带宽
下行带宽
开放端口池
参与带宽控制
参与流量均衡
属于管理接口
设置 DNS(Domain Name Server,域名解析服务器)地址,允许留空。
设置备用 DNS 地址,允许留空。
设置接口的 MAC 地址。
设置接口数据流出的带宽大小,可设置范围为 100-1000000Kbps。
设置接口数据流入的带宽大小,可设置范围为 100-1000000Kbps。
设置作为NAT源端口的端口范围,范围跨度必须大于或等于 100。可设
置范围为 2049-65000。NAT功能请参考8.1NAT设置。
选择接口是否参与带宽控制。带宽控制功能介绍请参考8.2带宽控制。
选择接口是否参与流量均衡。流量均衡功能介绍请参考8.4流量均衡。
选择接口是否属于管理接口。如果选择该接口属于管理接口,则该接
口所在区段为管理区段,管理区段内的主机可以访问路由器。
表 4.3 eth 接口设置界面 manual 连接方式条目项说明
接口类型
接口名称
VLAN
图 4.11 eth 接口设置-dhcp 连接方式
选择接口类型,共有 eth、pppoe、pptp、l2tp 四种接口类型可供选择。
输入一个名称来标识一个接口。只支持英文、数字以及/ \ . _ - @六个
特殊字符,最多可以输入 15 个字符。
当接口类型选择为 eth 时,需要在此选择一个该接口指向的 VLAN。
- 21 -
双核全千兆企业 VPN 路由器
连接方式
主机名
MTU
选择连接方式,有 manual 和 dhcp 两种连接方式。
选择 manual 连接方式,需要进行手动配置;选择 dhcp 连接方式,由
路由器动态获取 IP 地址。
输入用于标识路由器的名称。
MTU(Maximum Transmission Unit,最大传输单元),可以设置数据
包的最大长度。取值范围是 576-1500 之间的整数,默认值为 1500。
若 ISP 未提供 MTU 值,请保持默认值不变。
设置接口的 MAC 地址。 MAC 地址
手动设置 DNS
服务器
首选 DNS 服务
器
备用 DNS 服务
器
上行带宽
下行带宽
开放端口池
参与带宽控制
参与流量均衡
属于管理接口
勾选此项后,可以手动设置接口的 DNS 地址。
设置 DNS(Domain Name Server,域名解析服务器)地址。
设置备用 DNS 地址。
设置接口数据流出的带宽大小,可设置范围为 100-1000000Kbps。
设置接口数据流入的带宽大小,可设置范围为 100-1000000Kbps。
设置作为NAT源端口的端口范围,范围跨度必须大于或等于 100。可设
置范围为 2049-65000。NAT功能请参考8.1NAT设置。
选择接口是否参与带宽控制。带宽控制功能介绍请参考8.2带宽控制。
选择接口是否参与流量均衡。流量均衡功能介绍请参考8.4流量均衡。
选择接口是否属于管理接口。如果选择该接口属于管理接口,则该接
口所在区段为管理区段,管理区段内的主机可以访问路由器。
表 4.4 eth 接口设置界面 dhcp 连接方式条目项说明
2. pppoe 接口
说明:
新建pppoe接口,必须保证有同一区段里的eth接口可供选择,如需新建eth接口,请参考
在区段设置界面的接口设置区域,选择接口类型为 pppoe,将出现 pppoe 接口的设置界
面。
- 22 -
双核全千兆企业 VPN 路由器
接口类型
接口名称
LINK 接口
用户名
密码
启用 PPPoE 高
级设置
检测间隔时间
检测重试次数
图 4.12 pppoe 接口设置
选择接口类型,共有 eth、pppoe、pptp、l2tp 四种接口类型可供选择。
输入一个名称来标识一个接口。只支持英文、数字以及/ \ . _ - @六个
特殊字符,最多可以输入 15 个字符。
当接口类型选择为 pppoe 时,需要在此选择一个本区段下的 eth 接口
作为其链接接口。
PPPoE 拨号的用户名,由 ISP 提供。可以输入 1-100 个字符,不支持
中文字符。
PPPoE 拨号的密码,由 ISP 提供。可以输入 1-100 个字符,不支持中
文字符。
勾选此项后,可以手动设置检测间隔时间和重试次数,指定 MTU 值、
服务名及 DNS(Domain Name Server,域名解析服务)地址。如果不
清楚这些参数,请勿勾选此项。
设置检测间隔时间,路由器将会按照指定的间隔时间向 ISP 发送 Keep
Alive 数据包,用于检测链路是否正常。默认值为 0,表示不检测链路。
设置检测重试次数,路由器按照指定的检测间隔时间向 ISP 发送 Keep
Alive 数据包,如果没有收到 ISP 回应包的连续重试次数达到设置的值,
路由器会断开连接。
- 23 -
双核全千兆企业 VPN 路由器
MTU
MTU(Maximum Transmission Unit,最大传输单元),可以设置数据
包的最大长度。取值范围是 576-1492 之间的整数,默认值为 1492。
若 ISP 未提供 MTU 值,请保持默认值不变。
输入服务名称,由 ISP 提供。 服务名
首选 DNS 服务
器
备选 DNS 服务
器
上行带宽
下行带宽
设置 DNS(Domain Name Server,域名解析服务器)地址,允许留空。
设置备用 DNS 地址,允许留空。
开放端口池
手动连接
自动连接
定时连接
参与带宽控制
参与流量均衡
属于管理接口
设置接口数据流出的带宽大小,可设置范围为 100-1000000Kbps。
设置接口数据流入的带宽大小,可设置范围为 100-1000000Kbps。
设置作为NAT源端口的端口范围,范围跨度必须大于或等于 100。可设
置范围为 2049-65000。NAT功能请参考8.1NAT设置。
用户可在需要上网时手动点击<连接>按钮连入互联网,适合按小时计
费的拨号连接上网方式。
每次接通路由器电源,路由器便自动拨号连入互联网,适合不限时间
的包月计费拨号连接上网方式。
在下拉列表中选择时间表,设置连接时段,在此时段内路由器如果开
启则自动拨号连接,适合用于需要限时上网的场合。如需新建时间表,
选择接口是否参与带宽控制。带宽控制功能介绍请参考8.2带宽控制。
选择接口是否参与流量均衡。流量均衡功能介绍请参考8.4流量均衡。
选择接口是否属于管理接口。如果选择该接口属于管理接口,则该接
口所在区段为管理区段,管理区段内的主机可以访问路由器。
表 4.5 pppoe 接口设置界面条目项说明
3. pptp 接口
说明:
新建 pptp 接口,必须保证在同一区段里已有一个能够正常通信的接口可供选择,接口类型不限。
在区段设置界面的接口设置区域,选择接口类型为 pptp,将出现 pptp 接口的设置界面。
- 24 -
双核全千兆企业 VPN 路由器
接口类型
接口名称
LINK 接口
用户名
密码
服务器地址
MTU
上行带宽
下行带宽
开放端口池
MPPE 加密
图 4.13 pptp 接口设置
选择接口类型,共有 eth、pppoe、pptp、l2tp 四种接口类型可供选择。
输入一个名称来标识一个接口。只支持英文、数字以及/ \ . _ - @六个
特殊字符,最多可以输入 15 个字符。
当接口类型选择为 pptp 时,需要在此选择一个本区段下的其他接口作
为其链接接口。pptp 接口可以选择其他 pptp 接口作为其链接接口,
但整个链接关系的深度不能超过 3 层。
PPTP 拨号的用户名,由 ISP 提供。可以输入 1-100 个字符,不支持
中文字符。
PPTP 拨号的密码,由 ISP 提供。可以输入 1-100 个字符,不支持中
文字符。
PPTP 拨号的服务器的 IP 地址或域名,由 ISP 提供。
MTU(Maximum Transmission Unit,最大传输单元),可以设置数据
包的最大长度。取值范围是 576-1460 之间的整数,默认值为 1460。
若 ISP 未提供 MTU 值,请保持默认值不变。
设置接口数据流出的带宽大小,可设置范围为 100-1000000Kbps。
设置接口数据流入的带宽大小,可设置范围为 100-1000000Kbps。
设置作为NAT源端口的端口范围,范围跨度必须大于或等于 100。可设
置范围为 2049-65000。NAT功能请参考8.1NAT设置。
勾选此项,可以使用 MPPE(Microsoft Point-to-Point Encryption,
微软点对点加密术)对 PPTP 隧道进行加密。
- 25 -
双核全千兆企业 VPN 路由器
手动连接
自动连接
定时连接
参与带宽控制
参与流量均衡
属于管理接口
用户可在需要上网时手动点击<连接>按钮连入互联网,适合按小时计
费的拨号连接上网方式。
每次接通路由器电源,路由器便自动拨号连入互联网,适合不限时间
的包月计费拨号连接上网方式。
在下拉列表中选择时间表,设置连接时段,在此时段内路由器如果开
启则自动拨号连接,适合用于需要限时上网的场合。如需新建时间表,
选择接口是否参与带宽控制。带宽控制功能介绍请参考8.2带宽控制。
选择接口是否参与流量均衡。流量均衡功能介绍请参考8.4流量均衡。
选择接口是否属于管理接口。如果选择该接口属于管理接口,则该接
口所在区段为管理区段,管理区段内的主机可以访问路由器。
表 4.6 pptp 接口设置界面条目项说明
4. l2tp 接口
说明:
新建 l2tp 接口,必须保证在同一区段里已有一个能够正常通信的接口可供选择,接口类型不限。
在区段设置界面的接口设置区域,选择接口类型为 l2tp,将出现 l2tp 接口的设置界面。
接口类型
图 4.14 l2tp 接口设置
选择接口类型,共有 eth、pppoe、pptp、l2tp 四种接口类型可供选择。
- 26 -
双核全千兆企业 VPN 路由器
接口名称
LINK 接口
用户名
密码
服务器地址
MTU
上行带宽
下行带宽
开放端口池
加密方式
手动连接
自动连接
定时连接
参与带宽控制
参与流量均衡
属于管理接口
输入一个名称来标识一个接口。只支持英文、数字以及/ \ . _ - @六个
特殊字符,最多可以输入 15 个字符。
当接口类型选择为 l2tp 时,需要在此选择一个本区段下的其他接口作
为其链接接口。l2tp 接口可以选择其他 l2tp 接口作为其链接接口,但
整个链接关系的深度不能超过 3 层。
L2TP 拨号的用户名,由 ISP 提供。可以输入 1-100 个字符,不支持
中文字符。
L2TP 拨号的密码,由 ISP 提供。可以输入 1-100 个字符,不支持中
文字符。
L2TP 拨号的服务器的 IP 地址或域名,由 ISP 提供。
MTU(Maximum Transmission Unit,最大传输单元),可以设置数据
包的最大长度。取值范围是 576-1460 之间的整数,默认值为 1460。
若 ISP 未提供 MTU 值,请保持默认值不变。
设置接口数据流出的带宽大小,可设置范围为 100-1000000Kbps。
设置接口数据流入的带宽大小,可设置范围为 100-1000000Kbps。
设置作为NAT源端口的端口范围,范围跨度必须大于或等于 100。可设
置范围为 2049-65000。NAT功能请参考8.1NAT设置。
勾选此项,可以在下拉列表之中选择IPsec安全策略,对L2TP隧道进行
用户可在需要上网时手动点击<连接>按钮连入互联网,适合按小时计
费的拨号连接上网方式。
每次接通路由器电源,路由器便自动拨号连入互联网,适合不限时间
的包月计费拨号连接上网方式。
在下拉列表中选择时间表,设置连接时段,在此时段内路由器如果开
启则自动拨号连接,适合用于需要限时上网的场合。如需新建时间表,
选择接口是否参与带宽控制。带宽控制功能介绍请参考8.2带宽控制。
选择接口是否参与流量均衡。流量均衡功能介绍请参考8.4流量均衡。
选择接口是否属于管理接口。如果选择该接口属于管理接口,则该接
口所在区段为管理区段,管理区段内的主机可以访问路由器。
表 4.7 l2tp 接口设置界面条目项说明
配置接口步骤:
1) 创建区段。非必须操作,如果在已有区段上创建接口,则不必此项操作。创建界面:基
本设置 >> 区段设置 >> 区段设置,在此界面的左列点击< + >按钮,在显示的新增区
段界面中输入区段名称,点击<确定>按钮完成。
2) 创建VLAN。必须操作。具体操作步骤请参考 配置VLAN步骤
。
3) 创建 eth 接口。必须操作。创建界面:基本设置 >> 区段设置 >> 区段设置,进入需要
创建接口的区段,在其接口设置区域,点击< + >按钮,在显示的新增接口设置页面,选
择接口类型为 eth,选择链接的 VLAN,输入接口名称等必要信息,点击<设置>按钮完成。
- 27 -
双核全千兆企业 VPN 路由器
4) 创建 pppoe、pptp 或 l2tp 接口。非必须操作。创建界面:基本设置 >> 区段设置 >> 区
段设置,进入需要创建接口的区段,在其接口设置区域,点击< + >按钮,在显示的新增
接口设置页面,选择所需接口类型,选择其链接的接口,输入接口名称等必要信息,点
击<设置>按钮完成。
4.3 VLAN
设置
4.3.1 VLAN
简介
VLAN(Virtual Local Area Network,虚拟局域网)是一种将局域网设备从逻辑上划分成
一个个网段,从而实现虚拟工作组的数据交换技术,这种技术通过在局域网数据帧上定义扩
展字段,来对物理网络进行逻辑上的分割,从而限定局域网数据帧的转发范围,缩小广播域。
VLAN 技术主要应用于交换机和路由器中。
1. 产生背景
局域网的发展是 VLAN 产生的基础,可以通过了解局域网的有关知识来了解 VLAN。
局域网(Local Area Network)是在一个局部的地理范围内(如一个学校、工厂和公司内),
将各种计算机、共享设备和数据库等互相联接起来组成的一个封闭式的计算机通信网络。其
通常是一个单独的广播域,主要由 Hub、网桥或交换机等网络设备连接网络内的所有节点。
处于同一个局域网的网络节点之间可以直接通信,而处于不同局域网段的设备之间则必须经
过路由器才能通信。下图为使用路由器构建的典型局域网环境。
图 4.15 典型局域网拓扑
然而随着网络的不断扩展,接入设备逐渐增多,网络结构也日趋复杂,必须使用更多的
路由器才能将不同的用户划分到各自的用户组(广播域)中,在不同的局域网之间提供网络
互联。但路由器数量的增多势必会导致网络延时逐渐加长,网络数据传输速度下降。其次,
用户是按照物理连接被机械地划分到不同的用户组中,而这种分割方式并没有考虑到用户的
工作属性和网络需求。
- 28 -
双核全千兆企业 VPN 路由器
在这种情况下,VLAN 技术应运而生。利用 VLAN 技术,可以根据用户的工作属性和网络
需求,在路由器或者交换机上划分 VLAN,将用户划分到不同的工作组中,为不同的工作组执
行不同的策略。
同一个 VLAN 中的用户间通信就和在一个局域网内一样,同一个 VLAN 中的广播只有
VLAN 中的成员才能听到,而不会传输到其他的 VLAN 中去,从而控制不必要的广播风暴的产
生。同时,若没有路由,不同 VLAN 之间不能相互通信,从而提高了不同工作组之间的信息
安全性。网络管理员可以通过配置 VLAN 之间的路由来全面管理网络内部不同工作组之间的
信息互访。
2. 技术特点
以下是 VLAN 在实际网络应用中的常用基础拓扑。
图 4.16 VLAN 常用网络拓扑
VLAN 的划分不受物理位置的限制,不在同一物理位置范围的主机可以属于同一个 VLAN;
一个 VLAN 包含的用户可以连接在同一台交换机上,也可以跨越交换机。在局域网中使用 VLAN
功能有如下优点:
快速创建虚拟工作组。使用 VLAN 功能可以快速创建虚拟工作组,只需网络管理者在控
制台上进行简单的操作即可,而不必为项目需要将组成员的工作站集合在一起来建立一
个局域网。
增强网络安全。不同 VLAN 的设备不能互相访问,需要通过路由器或三层交换机等网络
层设备对报文进行三层转发,从而确保一个 VLAN 的数据不会被其他 VLAN 的设备窃听。
提高网络性能。通过 VLAN 功能可以将广播帧限制在 VLAN 内,有效控制网络的广播风
暴,节省了网络带宽,进而提高网络处理能力。
降低网络管理成本。同一个虚拟工作组的主机不会局限在某个物理范围内,简化了网络
的管理,方便为不同区域用户建立工作组。当一个用户从一个位置移动到另一个位置时,
使用合适的 VLAN 划分方法,就不需要重新配置网络属性。
- 29 -
双核全千兆企业 VPN 路由器
3. 802.1Q VLAN
IEEE 于 1999 年发布了用以规范 VLAN 实现的 IEEE Std 802.1Q 标准。藉以此标准,在
局域网中的连接设备能够识别对方网络上建立的 VLAN 并执行相应的通信策略。
IEEE 802.1Q 协议标准为各种局域网网络结构定义了 VLAN 的 Tag 字段,不同网络结构
中,连接设备可以通过共同的数据特征进行 VLAN 识别。
对于常见的以太网网络模型,其主要的报文封装格式类型有两种,分别为Ethernet II型和
802.2/802.3 型。对于这两种以太网报文的封装格式,IEEE 802.1Q协议标准在数据帧首部的
目的MAC地址(DA)和源MAC地址(SA)后定义了VLAN Tag,用以标识VLAN的相关信息。
Tag字段的位置如下图 4.17所示。Tag封装在DA&SA后,它包含四个字段,分别是TPID(Tag
Protocol Identifier,标签协议标识符)、Priority、CFI(Canonical Format Indicator,标准格式
指示位)和VLAN ID。
Ethernet II 型报文
DA&SA TPID Priority CFI VLAN ID Type DATA
VLAN Tag
DA&SA TPID Priority CFI VLAN ID Length DSAP SSAP Control OUI PID DATA
802.2/802.3 型报文
图 4.17 VLAN Tag 组成字段
TPID
Priority
CFI
VLAN ID
默认值为 0x8100。当 TPID 字段为 0x8100 时,表示本数据帧带有 Tag。
数值为 0-7,表示数据包的传输优先级。当 VLAN ID 字段为 0 时表示此
Tag 是一个优先级 Tag,由 IEEE 802.1P 协议标准进行规范,详细请查
看 IEEE 802.1P 协议标准。
数值为 0 或 1。以太网交换机中,CFI 总被设置为 0。用来表示 MAC 地
址是否以标准格式进行封装。该字段长度为 1bit,取值为 0 表示 MAC
地址以标准格式进行封装,取 1 表示以非标准格式封装,缺省取值为 0。
可设置范围为 1-4094。用来标识该报文所属 VLAN,简称 VID。当 VLAN
ID 字段为 0 时表示此 Tag 是一个优先级 Tag;VLAN ID 字段全 1 为协
议预留字段。
表 4.8 Tag 字段含义
在 802.1Q VLAN 基础上,添加其他标识,可以有不同方法实现 VLAN,例如在 802.1Q
VLAN 基础上添加 MAC 识别,从而实现基于 MAC 的 VLAN,此外,还有基于协议的 VLAN,
基于 IP 地址的 VLAN,基于端口的 VLAN 等。TL-ER6520G 是基于端口实现的 VLAN。
4. 端口的链路类型
在创建 802.1Q VLAN 时,需要根据端口连接的设备设置端口的链路类型。端口的链路类
型有下面三种:
- 30 -
双核全千兆企业 VPN 路由器
Access:端口只能属于 1 个VLAN,出口规则为UNTAG,即从此端口发送出去的报文不
带VLAN Tag,多为连接用户终端设备的端口。如图 4.18所示,设备和普通计算机相连,
计算机不能识别带VLAN Tag的报文,所以需要将设备和计算机相连端口的链路类型设置
为Access。当Access类型端口加入到其它VLAN时,自动退出原有VLAN。
Trunk:端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,常用于网络设
备之间级连。如图 4.18所示,需要将设备 1 和设备 2 相连端口的链路类型设置为Trunk。
在网络中VLAN经常跨接在不同通信设备上,Trunk类型端口的出口规则为TAG,即从此
端口发送出去的报文带有VLAN Tag,能够保证在转发各种VLAN的数据包时不改变其携
带的VLAN信息。
Hybrid:端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,可以用于网
络设备之间连接,也可以用于连接用户设备。如图 4.18所示,与设备 2 相连的某个网络
环境复杂,无法判断网络中的设备是哪种类型或是该网络中有多种类型的设备时,需要
将设备 2 和该网络相连端口的链路类型设置为Hybrid。Hybrid类型端口的出口规则可以
根据该端口连接设备的实际情况灵活配置。
图 4.18 链路类型配置示意图
端口的链路类型本质上是通信设备接收和转发数据帧的处理方式。在实际组网中,根据
不同的网络需求,可以为每个端口指定出口规则和入口规则,入口规则表示接收数据帧时的
处理方式,出口规则表示转发数据帧时的处理方式。下面详细介绍端口出口规则和入口规则。
Access
接收报文时:
如果报文不带 Tag,则接收报文,并为报文添加缺省的 VLAN;
如果报文带 Tag 且 VLAN ID=端口 PVID,则接收报文;
如果报文带 Tag 而 VLAN ID≠端口 PVID,则丢弃报文。
发送报文时:
去掉 Tag 后,发送报文。
Trunk
接收报文时:
如果报文不带 Tag,则为报文添加缺省 VLAN 的 Tag;
如果报文带 Tag 且 VLAN ID 属于端口允许通过的 VLAN ID,则接收报文;
如果报文带 Tag 而 VLAN ID 不属于端口允许通过的 VLAN ID,则丢弃报文。
发送报文时:
保持原有 Tag 发送报文。
- 31 -
双核全千兆企业 VPN 路由器
Hybrid
接收报文时:
如果报文不带 Tag,则为报文添加缺省 VLAN 的 Tag;
如果报文带 Tag 且 VLAN ID 属于端口允许通过的 VLAN ID,则接收报文;
如果报文带 Tag 而 VLAN ID 不属于端口允许通过的 VLAN ID,则丢弃报文。
发送报文时:
当出口规则配置为 TAG 时,保持原有 Tag 发送报文。
当出口规则配置为 UNTAG 时,去 Tag 后发送报文。
表 4.9 端口出口规则与入口规则
5. PVID
PVID(Port VLAN ID),通信设备每个物理接口的重要参数,表示端口默认所属的 VLAN。
当设备的端口接收到的数据帧不带 VLAN Tag 时,设备会根据接收端口的 PVID 为该报文插入
VLAN Tag,并在端口的缺省 VLAN 中转发数据帧。PVID 主要有下面两个用途:
当设备收到不带 Tag 的数据帧时,将根据 PVID 为数据帧插入 VLAN Tag 并转发。
PVID 指定了端口的缺省 VLAN ID,即默认广播域。当端口接收到 UL 包或广播包的时候,
设备将这些数据包在该端口的缺省 VLAN 内广播。
对于不同链路类型的端口,设置 PVID 时会有所不同:若端口链路类型为 Access,因为
该端口只能属于一个 VLAN,所以该端口的 PVID 不可设置。若端口链路类型为 Trunk 或
Hybrid,因为该端口可以属于多个 VLAN,所以可以设置,但所设置的 PVID 必须是该端口所
属 VLAN 之一。
4.3.2 VLAN
设置
设置 VLAN 时,需要设置报文中 Tag 字段的 VLAN ID 数值,物理接口的 PVID 数值和 VLAN
成员端口的链路类型。
1. 设置 VLAN ID
进入界面:基本设置 >> VLAN 设置 >> VLAN 设置
在界面的 VLAN 设置区域,填入 VLAN ID、名称,勾选对应端口,点击<新增>按钮手动
添加条目。
- 32 -
双核全千兆企业 VPN 路由器
图 4.19 VLAN 设置界面-VLAN 设置
VLAN ID
名称
端口设置
备注
设置 Tag 字段的 VLAN ID 数值,可设置范围为 2-4094。
输入一个名称来标识该 VLAN。
此处勾选相应端口。端口链路类型的选择需要到端口设置界面进行,而
链路类型不同,TAG标签会有所不同。端口设置请参考4.3.2 VLAN设置
添加对本条目的说明信息,非必填项。
表 4.10 VLAN 设置界面条目项说明
新增 VLAN 的信息会在 VLAN 列表中显示出来。
VLAN列表中的序号 1 显示的是TL-ER6520G预定义的系统VLAN的信息。系统VLAN名称
为vlan1,VLAN ID是 1,默认情况下所有的端口都属于此VLAN,所有端口默认链路类型为
Access。在图 4.20界面中,可以编辑修改系统VLAN的名称和备注,但是不能删除系统VLAN
以及其包含的端口。vlan1 被default区段的eth0 接口使用。default区段的相关信息,请参考4.2.1 default区段。
- 33 -
双核全千兆企业 VPN 路由器
图 4.20 VLAN 设置界面-VLAN 列表
说明:
如果新增条目的端口链路类型是 Access,则该端口将会被从之前所属的 VLAN 中去除,添加到
新设置的 VLAN 中。
如果在设置 VLAN 时,导致某个端口不属于任何一个 VLAN,则该端口将会被默认添加到系统
VLAN 中,其 PVID 为 1,TAG 标签根据链路类型来决定,Access 和 Hybrid 时为 UNTAG,Trunk
时为 TAG。
2. 设置 PVID 和链路类型
进入界面:基本设置 >> VLAN 设置 >> 端口设置
在此界面可以选择端口链路类型或者设置端口的 PVID。
端口
链路类型
图 4.21 端口设置界面
显示所有物理接口。
选择端口链路类型,可选项有access、trunk和hybrid,详细介绍请参考
- 34 -
双核全千兆企业 VPN 路由器
PVID
设置端口的PVID,详细介绍请参考4.3.1 VLAN简介 5 PVID。
表 4.11 端口设置界面条目项说明
说明:
每个端口的链路类型和 PVID 一次只可以修改一项,两者不可以同时修改。
系统可能会根据端口的链路类型和所属 VLAN 的改变而自动修改端口的 PVID。
如果端口的 PVID 所关联的 VLAN 条目被删除,则该端口将可能无法收发报文,需要用户重新
为该端口设置一个合法的 PVID。
设置完成后可以在关联表界面查看相关信息。
进入界面:基本设置 >> VLAN 设置 >> 关联表
图 4.22 关联表界面
配置 VLAN 步骤:
1) 设置端口链路类型。非必须操作,路由器默认全部端口链路类型为 Access,如果需求为
Access,则不必此项操作。设置界面:基本设置 >> VLAN 设置 >> 端口设置,在此界
面根据端口连接的设备选择其链路类型,点击<设置>按钮完成。
2) 创建 VLAN。必须操作。创建界面:基本设置 >> VLAN 设置 >> VLAN 设置,在此界面
设置 VLAN ID,输入 VLAN 名称,勾选 VLAN 包含的端口,点击<新增>按钮完成。
3) 设置端口的 PVID。非必须操作。设置界面:基本设置 >> VLAN 设置 >> 端口设置,当
某个端口有多个 VLAN ID 时,可以在此选择其默认 PVID。
4) 查看端口 VLAN 信息。非必须操作。查看界面:基本设置 >> VLAN 设置 >> 关联表,
在此界面可以查看每个端口对应的链路类型、PVID 和出口规则。
4.4
交换机设置
TL-ER6520G 路由器具备一些简单的交换机端口管理功能。在此可以实时查看路由器各
端口的数据流通状况,并进行相应的控制和管理。
- 35 -
双核全千兆企业 VPN 路由器
4.4.1
端口统计
用于交换信息的数据包在数据链路层通常称为“帧”。可以通过此功能查看各个端口收发
数据帧的统计信息。
进入界面:基本设置 >> 交换机设置 >> 端口统计
图 4.23 端口统计界面
单播帧
广播帧
流控帧
多播帧
所有帧
过小帧
正常帧
过大帧
目的 MAC 地址为单播 MAC 地址的正常数据帧数目。
目的 MAC 地址为广播 MAC 地址的正常数据帧数目。
接收/发送的流量控制数据帧数目。
目的 MAC 地址为多播 MAC 地址的正常数据帧数目。
接收/发送所有的数据帧的总字节数(包含校验和错误的帧)。
收到的长度小于 64 字节的数据帧数目(包含校验和错误的帧)。
收到的长度在 64 字节到最大帧长之间的数据帧数目(包含错误帧)。
对于不带 tag 标签的帧,路由器支持的最大帧长为 1518 字节;对于
带 tag 标签的帧,路由器支持的最大帧长为 1522 字节。
收到的长度大于最大帧长的数据帧数目(包含错误帧)。
表 4.12 端口统计界面项说明
点击<清空所有>按钮可以一次清空所有统计数据。
4.4.2
端口监控
可以在此开启和设置端口监控功能。被监控端口的报文会被自动复制到监控端口,以便
网络管理人员实时查看被监控端口传输状况的详细资料,对其进行流量监控、性能分析和故
障诊断。
- 36 -
双核全千兆企业 VPN 路由器
进入界面:基本设置 >> 交换机设置 >> 端口监控
图 4.24 端口监控设置界面
勾选即启用端口监控。推荐勾选,方便及时了解路由器端口报文信
息。
启用端口监控
监控模式
表 4.13 端口监控功能设置界面项说明
监控端口
被监控端口
只能选择一个端口做监控端口。
被监控端口可以为多个,但不包含当前的监控端口。
表 4.14 监控列表界面项说明
图 4.24监控列表的含义是:端口 1 被选作监控端口,它将对端口 2、3、4、5 进行输出
监控。
应用举例
某企业网络出现异常状况,需要利用端口监控功能捕获网络中的所有数据进行分析。
可通过端口监控实现此需求。勾选“启用端口监控”,并选择“输入输出监控”的监控模
式,设置端口 3 为监控端口,监控其它端口的输入输出数据,如下图。设置完成后,点击<设
置>按钮。
- 37 -
双核全千兆企业 VPN 路由器
4.4.3
端口流量限制
可以在此开启各端口的流量限制功能并进行相应设置。
进入界面:基本设置 >> 交换机设置 >> 端口流量限制
端口
入口限制状态
入口限制模式
入口限制速率
出口限制状态
出口限制速率
图 4.25 端口流量限制设置界面
显示所有物理端口,需要对某个端口进行流量限制时,在其对应行
设置即可。
勾选“启用”后,后续设置的入口限制模式和速率才会生效。
有“所有帧”、“广播和多播”和“广播”三种模式,选择其一。
设置入口限制速率。
勾选“启用”,后续设置的出口限制速率才会生效。
设置出口限制速率。
表 4.15 监控列表界面项说明
4.4.4
端口参数
可以在此启用各物理端口及其流量限制,并根据需要设定其协商模式。
进入界面:基本设置 >> 交换机设置 >> 端口参数
- 38 -
双核全千兆企业 VPN 路由器
端口状态
流量控制
协商模式
所有端口
图 4.26 端口参数设置界面
只有勾选了“启用”该端口才会有数据包的传输,即物理意义上的
开启。
推荐勾选“启用”以控制调节各端口数据包转发的速率,避免出现
拥塞。
有 10M 全/半双工、100M 全/半双工、1000M 全双工、自协商 6 种
模式可选,择需使用。
这一栏可对以上所有端口进行统一设置,比如同时启用或禁用。
表 4.16 端口参数设置界面说明
4.4.5
端口状态
可以在此查看各个端口的基本状态。
进入界面:基本设置 >> 交换机设置 >> 端口状态
图 4.27 端口状态界面
- 39 -
双核全千兆企业 VPN 路由器
第5章 DHCP
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)协议应用于 TCP/IP
网络中,基于该协议标准,DHCP 服务器给网络中的 DHCP 客户端动态分配 IP 地址等网络参
数,以便于网络管理员对网络中计算机的 TCP/IP 参数进行统一管理。
当网络规模扩大,计算机数量日益增多时,DHCP 功能能够高效的完成 TCP/IP 参数配置,
并将 IP 地址循环运用,提高使用效率。而随着无线网络的广泛使用,计算机的位置也经常变
化,其所连接的子网也处于动态变化的过程,由此产生的 TCP/IP 参数变更问题基于 DHCP 也
能够高效解决。
本路由器可以作为 DHCP 服务器为网络中的计算机分配 TCP/IP 参数。
5.1 DHCP
服务器
当网络存在以下需求时,可以通过 DHCP 服务器完成网络设备的 IP 地址配置:
网络规模大,为每台网络设备手工配置网络参数的工作量较大时。
网络中设备数量远远大于该网络可使用的 IP 地址数量,而同一时间上网的设备数目却不
多。例如,ISP 限制同时接入网络的用户数目,而网络中的用户并不需要同时访问网络,
则用户可以动态按需获得网络 IP。
网络中只有少数主机需要固定的 IP 地址,大多数主机没有固定的 IP 地址需求。
5.1.1 DHCP
协议介绍
本小节主要介绍DHCP工作过程中采用的DHCP报文格式以及DHCP地址分配过程。
1. DHCP 报文格式
DHCP 报文的封装格式如下图所示:
图 5.1 DHCP 报文格式
- 40 -
双核全千兆企业 VPN 路由器
OP htype hlen hops xid secs flags ciaddr yiaddr siaddr giaddr chaddr sname file options
报文类型,分为请求类型报文和应答类型报文,1 表示此数据包为客户端发出
DHCP 请求报文,2 表示此数据包为服务器相应客户端的 DHCP 应答报文。
DHCP 客户端的网卡类型,常见的类型有 ethernet,当 htype 字段值为 1 时表示
DHCP 客户端的网卡为以太网网卡。
DHCP 客户端的网卡地址长度,如果是以太网网卡,则 hlen 字段值为 6 字节。
DHCP 客户端发出 DHCP 请求报文时,此字段值设置为 0,请求报文在网络中每
经过一个 DHCP 中继,该字段值自动加 1,通过此字段可以确定 DHCP 客户端
与服务器之间经过了几个网络。
DHCP 客户端发出 DHCP 请求报文时,在此字段设置一个随机数,网络中不同的
DHCP 请求过程可通过不同的 xid 字段值进行区分,DHCP 服务器对每个不同的
DHCP 请求分配不同的地址,DHCP 客户端只能接受响应给他的 DHCP 应答报文,
并接受第一个 DHCP 应答报文分配的 IP 地址。
DHCP 客户端开始 DHCP 请求时,在 DHCP 报文的 secs 字段设置为 0,并作为
起始时间来统计 DHCP 请求过程总共花费的时间。目前没有使用,固定为 0。
此字段的第一个 bit 位表示 DHCP 应答报文的发送方式,1 表示广播报文,0 表
示单播报文,其余 bit 位目前保留,固定为 0。
DHCP 客户端的 IP 地址,DHCP 客户端发出请求报文时可根据需要填入原先获
得的 IP 地址。
DHCP 服务器分配给客户端的 IP 地址。
为 DHCP 客户端分配 IP 地址等信息的服务器 IP 地址。
DHCP 中继设备的 IP 地址。
DHCP 客户端的硬件地址,以太网网卡的 MAC 地址。
DHCP 服务器名称,可选项。
DHCP 服务器为客户端指定的启动配置文件名称及路径信息。
可选变长选项字段,选项中可以记录 DHCP 报文类型、有效租期、DNS 服务器
IP 等配置信息。本设备暂不提供 options 选项识别及通过 options 选项分配 IP 地
址。
表 5.1 DHCP 报文字段含义
2. DHCP 地址分配过程
在一个 DHCP 获取网络参数的过程中,其应用的传输层协议为 UDP,客户端向服务器的
DHCP 服务端口 67 发出 DHCP 请求,服务器向客户端的 DHCP 用户端口 68 回复响应信息。
DHCP 客户端和服务器均按照 DHCP 协议标准格式报文发送 DHCP 报文。客户端通过动态分
配地址的方式获取 IP 地址时,其获取 IP 地址的过程如下图所示:
- 41 -
双核全千兆企业 VPN 路由器
图 5.2 动态获取 IP 地址的过程
1) 发现阶段,客户端以广播方式发送 DHCP-DISCOVER 报文寻找 DHCP 服务器。
2) 提供阶段,DHCP 服务器接收到客户端发送的 DHCP-DISCOVER 报文后,根据 IP 地址
分配的优先次序从地址池中选出一个 IP 地址,与其它参数一起通过 DHCP-OFFER 报文
发送给客户端,发送方式由客户端发送的 DHCP-DISCOVER 报文中的 flag 字段决定,
具体请见 DHCP 报文格式的介绍。
3) 请求阶段,如果有多台 DHCP 服务器向该客户端发来 DHCP-OFFER 报文,客户端只接
受第一个收到的 DHCP-OFFER 报文,然后以广播方式发送 DHCP-REQUEST 报文,该
报文的 option 字段包含 DHCP 服务器在 DHCP-OFFER 报文中分配的 IP 地址,具体请
见 DHCP 报文格式的介绍。
4) 确认阶段,DHCP 服务器收到 DHCP 客户端发来的 DHCP-REQUEST 报文后,只有 DHCP
客 户 端 选 择 的 服 务 器 会 进 行 如 下 操 作 : 如 果 确 认 地 址 分 配 给 该 客 户 端 , 则 返 回
DHCP-ACK 报文;否则将返回 DHCP-NAK 报文,表明地址不能分配给该客户端。
5) 当客户端通过动态获取 IP 地址时,则 DHCP 服务器分配给客户端的 IP 地址具有一定的
租期,当租期满后服务器将收回该 IP 地址。如果 DHCP 客户端希望继续使用该 IP 地址,
在地址租期到达一半时,可以向服务器发送单播的 DHCP-REQUEST 报文续约 IP 地址。
5.1.2 DHCP
功能介绍
本节主要介绍在TL-ER6520G路由器上实现的DHCP服务器功能细节,主要包括五部分内
容,动态地址分配策略、DHCP服务器功能典型应用环境、DHCP服务器功能实现细节、IP地
1. 动态地址分配策略
TL-ER6520G 路由器支持两种地址动态分配策略:
- 42 -
双核全千兆企业 VPN 路由器
为普通客户端分配具有一定有效期限的 IP 地址,如果客户端希望能够持续访问网络,在
租约到期前客户端可以向服务器续约;
为特殊客户端静态绑定固定的 IP 地址,当收到来自特殊客户端的 DHCP 请求时,为其分
配无限期的 IP 地址。
2. DHCP 服务器功能典型应用环境
下图为路由器 TL-ER6520G 配置为 DHCP 服务器时的网络拓扑图使用示范,具体的网络
环境可根据实际需要调整。
图 5.3 DHCP 服务器功能应用环境
如图所示,某 IT 企业网络按照研发部门的分类分为软件小组、硬件小组和测试小组 3 个
子网,在每个子网中,动态客户端通过“自动获取 IP 地址”的方式从 TTL-ER6520G 路由器
上获得各自所属子网的 IP 地址,静态客户端手动设置 IP 地址。
3. DHCP 服务器功能实现细节
为了使网络中的设备能够安全顺利的获得 IP 地址,保证网络的稳定性,TL-ER6520G 路
由器的 DHCP 服务器功能可以完成如下任务:
1) TL-ER6520G 可以为多达 16 个 eth 接口类型网络分配地址。
- 43 -
双核全千兆企业 VPN 路由器
说明:
如果 eth 类型接口的 IP 地址是动态获取的,由于其 IP 地址的不确定性,因此暂不提供此类接口
的 DHCP 服务器功能。
对于 pppoe、pptp、l2tp 类型的接口,由于其 IP 地址的不确定性,TL-ER6520G 路由器也暂不
提供 DHCP 服务器功能。
2) 当 TL-ER6520G 收到 DHCP 请求报文时,将根据数据包中的 VLAN ID 信息选择相应接
口的地址池来分配地址。
说明:
关于TL-ER6520G的VLAN功能相关内容,请参考说明书中的
3) 为 Ethernet 类型接口网络中的特殊客户端手动绑定静态 IP,当此接口收到特殊客户端的
DHCP 服务请求时,路由器将为客户端分配无限期的固定的 IP 地址。此类 IP 地址也会为
特殊的客户端保留不会分配给其他客户端。
4) IP 地址重复分配检测功能,为避免待分配地址已在网络中被使用,而导致分配后造成网
络中 IP 冲突,路由器在分配一个 IP 地址前,会向所有区段中的接口网络发起待分配地址
的 Ping 检测,从而避免 IP 冲突。
4. IP 地址重复分配检测
路由器在分配一个 IP 地址前,会向所有区段中的接口网络发起目的地址为待分配地址的
ICMP 回显请求报文,如果任意一个接口在等待时间内收到响应报文,DHCP 服务器从地址池
中选择新的 IP 地址,并重复上述探测操作;如果在指定时间内没有收到回显响应报文,则继
续发送 ICMP 回显请求报文,直到发送的回显请求报文达到最大值,如果仍然没有收到回显响
应报文,则将此待分配地址分配给客户端,从而确保客户端被分得的 IP 地址是网络中唯一的。
5. 分配 IP 地址的优先次序
TL-ER6520G 路由器为客户端分配 IP 地址时将遵循以下分配规则秩序:
1) DHCP 服务器中与客户端 MAC 地址手动绑定的 IP 地址。
2) DHCP 服务器曾经分配给客户端的 IP 地址。
3) 客户端发送的 DHCP-DISCOVER 报文中指定的 IP 地址。
4) 选择合适的地址池,从中顺序查找可供分配的第一个 IP 地址。
5.1.3 DHCP
功能配置
DHCP功能配置主要分为配置IP地址池、为特殊客户端绑定静态地址和查看当前所有的
- 44 -
双核全千兆企业 VPN 路由器
1. 配置 IP 地址池
创建可供 DHCP 分配的地址池
进入界面:基本设置 >> 对象管理 >> IP 地址池
在界面的地址池设置区域,创建可供 DHCP 分配的 IP 地址池,点击<新增>按钮创建 IP
地址池。
图 5.4 IP 地址池配置界面-创建地址池
地址池名称
地址池范围
启用/禁用
添加对本条目的说明信息。
输入可供分配的地址段起始地址和结束地址。
选择“启用”,则使该地址池生效;
选择“禁用”,则使该地址池失效。
表 5.2 创建地址池界面条目项说明
新增的地址池条目会在下方地址池列表显示出来,如下图中所示。
图 5.5 IP 地址池配置界面-地址池列表
配置地址池参数
进入界面:基本设置 >> DHCP >> DHCP 服务
在地址池创建完成后,需要在 DHCP 服务界面配置 DHCP 地址池参数,包括地址的租期、
缺省网关以及首选 DNS 服务器等参数,点击<新增>按钮完成地址池配置。
- 45 -
双核全千兆企业 VPN 路由器
图 5.6 DHCP 服务配置界面-配置地址池参数
服务接口
地址池
地址租期
网关地址
缺省域名
首选 DNS 服务
器
备用 DNS 服务
器
启用/禁用规则
选择需要提供 DHCP 服务的接口。
选择已创建的地址池。请查看 配置IP地址池 部分内容来创建地址池。
地址池需要与接口地址在同一网段,否则将无法配置成功。对于特殊
地址包括接口的 IP 地址、主机位为 0 的网络地址和主机位全为 1 的网
络广播地址,本路由器不会进行分配。
输入此地址池中的 IP 地址在每次分配后可供客户端使用的租期。
输入此地址池的给客户端分配的默认网关,也可以将接口 IP 地址配置
为默认网关。
输入此地址池的给客户端指定的域,与 IP 地址一样共同表示相同子网
的计算机的集合,同一接口网络中的计算机通常配置为相同的域名。
输入此地址池的给客户端分配的首选 DNS 服务器,也可以将接口 IP
地址配置为 DNS 服务器地址,并由接口为客户端转发域名解析请求。
输入此地址池的给客户端分配的备用 DNS 服务器,当首选 DNS 服务
器失效时客户端可以向备用 DNS 服务器申请域名解析。
选择“启用”,则使该绑定条目生效;
选择“禁用”,则使该绑定条目失效。
表 5.3 DHCP 服务配置界面条目项说明
配置完成的地址池信息会在下方 DHCP 服务器列表区域显示出来,如图中所示。
图 5.7 DHCP 服务配置界面-地址池列表
如有需要,可以点击条目后的< >按钮进行编辑,点击< >按钮启用条目,点击< >
按钮禁用条目。
- 46 -
双核全千兆企业 VPN 路由器
2. 为特殊客户端绑定静态地址
路由器提供两种绑定方法为特殊客户端绑定静态地址,包括 手动为特殊客户端绑定IP地址
、以及
。
说明:
如果为特殊客户端绑定了静态地址,又设置了ARP防护功能的IP&MAC绑定,此时,请确保两处设置
的表项互不冲突,否则对应的客户端可能无法上网。建议将ARP绑定表导出,然后再将其导入到DHCP
静态绑定地址表中,请参考
进行配置。
手动为特殊客户端绑定 IP 地址
进入界面:基本设置 >> DHCP >> 静态地址分配
在界面中为具有设定 MAC 地址的客户端手动绑定静态 IP,当条目服务接口收到来自设定
客户端的 DHCP 服务请求时,路由器将为客户端分配租期为无限长的固定的 IP 地址,点击<
新增>按钮手动创建地址池。
MAC 地址
IP 地址
生效接口
备注
是否生效
图 5.8 DHCP 服务配置界面-创建地址池
输入特殊客户端的 MAC 地址。
输入需要为特殊客户端保留的 IP 地址。
选择保留 IP 地址所属的接口。
输入字符串描述该静态地址以便识别
。
选择“启用”,则使该绑定条目生效;
选择“禁用”,则使该绑定条目失效。
表 5.4 静态地址分配界面条目项说明
- 47 -
双核全千兆企业 VPN 路由器
说明:
当其他非服务接口收到特殊客户端的 DHCP 请求时,将无法获得绑定的静态地址。若其他非服务接
口也提供 DHCP 服务功能,则给特殊客户端分配其接口的 IP 地址池中的地址;如果其他非服务接口
没有开启 DHCP 服务功能,特殊客户端将无法获得 IP 地址。
新增的静态地址绑定条目会在下方的地址列表区域显示出来,如下图中所示。
图 5.9 静态地址分配配置界面-静态地址列表
如有需要,可以点击条目后的< >按钮进行编辑,点击条目后的< >按钮启用条目,
点击条目后的< >按钮禁用条目。
批量导入静态绑定的 IP/MAC 地址表
进入界面:基本设置 >> DHCP >> 静态地址分配
当在安全管理 >> ARP 防护 >> IP MAC 绑定界面中已经对网络中客户端的 IP 和 MAC
信息进行绑定时,可以在 DHCP 的静态地址分配界面点击<导入>按钮批量导入。
说明:
如果 IP MAC 绑定条目与 DHCP 的静态地址分配条目有冲突,发生冲突的条目将不会被导入,没有
发生冲突的条目将会继续被导入。
3. 查看当前所有的 DHCP 客户端
进入界面:基本设置 >> DHCP >> 客户端列表
在界面的客户端列表区域,可以查看当前已从 TL-ER6520G 路由器上获取 TCP/IP 网络
参数的客户端 MAC 地址、其获得的 IP 地址以及 IP 地址的剩余租期,如下图所示。
图 5.10 DHCP 服务器客户端列表
- 48 -
双核全千兆企业 VPN 路由器
5.1.4 DHCP
功能组网应用
路由器 TL-ER6520G 为中心路由器,在路由器上将研发部门划分在一个区段内进行管理。
由于部门人数较多,为了避免网络规模过大时容易产生的网络广播问题,研发部门又分
为了软件小组、硬件小组和测试小组,3 个小组在接入交换机和中心交换机中通过 VLAN
进行隔离,测试小组使用 IP 地址段 192.168.10.0/24,硬件小组使用 IP 地址段为
192..168.20.0/24,软件小组使用的 IP 地址段为 192.168.30.0/24。
在 TL-ER6520G 路由器上通过接口策略达到三层互通。
在每个小组中,移动客户端通过“自动获取 IP 地址”的方式从路由器上获取正确的子网
IP 地址,静态客户端手动设置 IP 地址。其中每个子网中的移动客户端数目最多为 50 台。
图 5.11 DHCP 服务器功能组网举例
配置步骤:
如果要完成上述网络需求,需要按如下顺序配置路由器:
1) 创建VLAN。必须操作,具体操作步骤请参考VLAN章节 配置VLAN步骤
。需要为研发部门
各小组配置不同VLAN,如测试部门属于VLAN10,硬件部门属于VLAN20,软件研发部门
属于VLAN30。
- 49 -
双核全千兆企业 VPN 路由器
2) 创建区段,同时配置区段下的网络接口。必须操作。创建界面:基本设置 >> 区段设置 >>
区段设置,在此界面的左列点击< + >按钮,在弹出的添加区段对话框中输入新区段的名
称,点击<确定>按钮完成。
3) 创建 eth 接口。必须操作。创建界面:基本设置 >> 区段设置 >> 区段设置,为研发各
子部门创建 eth 类型接口,如硬件小组创建 eth 接口,命名为“hard_dep”,接口地址设
置为 192.168.20.1/24 并与 VLAN20 关联;为软件小组创建 eth 类型接口,命名为
“soft_dep”,接口地址设置为 192.168.30.1/24 并与 VLAN30 关联。
4) 创建 IP 地址池。必须操作。创建界面:基本设置 >> 对象管理 >> IP 地址池,为研发各
小组创建可供 DHCP 分配的 IP 地址池,如硬件小组创建 IP 地址池,命名为“硬件地址
池”,并设置可供分配的地址池为 192.168.20.51-192.168.20.100。
5) 配置 DHCP 服务器。必须操作。配置界面:基本设置 >> DHCP >> DHCP 服务,如此
处为硬件小组关联的接口“hard_dep”配置 DHCP 服务参数,选择关联的 IP 地址池为“硬
件地址池”,同时配置网关参数为“hard_dep”的接口地址 192.168.20.1。
说明:
需要保证与路由器相连接的对端设备正确配置 VLAN 功能。如本案例中,对端交换机需要正确
配置 VLAN,向路由器转发数据包时需要添加 VLAN Tag。只有收到的 DHCP 请求报文带有正
确的 VLAN Tag 标识,路由器才会正确分配 IP 地址。
关于VLAN功能相关内容,请参考说明书中的
关于 VLAN 在交换机上配置的详细信息,请参考我司交换机的用户手册。
- 50 -
双核全千兆企业 VPN 路由器
第6章 快速配置
对于网络知识以及本产品不熟悉的用户,可以通过快速配置向导,设置上网所需的基本
网络参数,完成路由器的设置。同时,在快速配置完成之后,可以根据实际需求,到菜单项
选择需要配置的功能,进一步设置路由器。
说明:
路由器需要在出厂配置状态下才能进行快速配置,如果路由器配置已修改,请先将路由器恢复
出厂配置。恢复出厂配置界面:系统工具 >> 设备管理 >> 恢复出厂配置。
快速配置完成后,将覆盖路由器的所有配置,如果路由器配置已修改,且需要保存配置参数,
可以在运行快速配置向导之前备份。备份界面:系统工具 >> 设备管理 >> 备份与导入配置。
点击主页左侧快速配置菜单,即可进入图 6.1所示的快速配置向导,单击<下一步>,可
以开始设置。
图 6.1 快速配置向导设置界面
本向导提供两种路由器系统模式选择:NAT网关模式和路由模式,如图 6.2所示。请根据
实际需求选择系统模式,然后单击<下一步>,开始设置。
NAT 网关模式:路由器作为网关应用在局域网与广域网之间。该模式下,可以为路由器
配置 1-4 个 WAN 口,还可以为路由器配置 1 个硬件 DMZ 口。
路由模式:路由器连接两个不同区域的网络,这两个区域的主机都必须通过路由规则进
行通信。该模式下,可以将路由器划分为 1-5 个区段,同时为每一个区段配置一个 eth
接口。
- 51 -
双核全千兆企业 VPN 路由器
图 6.2 快速配置设置界面-系统模式设置
6.1 NAT
网关模式
在系统模式设置界面,选择NAT网关模式,如图 6.3所示。单击<下一步>,可以进入NAT
模式-接口模式设置界面。
图 6.3 快速配置设置界面-系统模式设置-NAT 网关模式
- 52 -
双核全千兆企业 VPN 路由器
6.1.1 WAN
设置
说明:
快速配置设置的 WAN 接口全部参与带宽控制和流量均衡。
NAT 模式-接口模式设置
在NAT模式-接口模式设置界面,如图 6.4所示,可以根据实际需求选择WAN数量,以及
勾选是否开启硬件DMZ。单击<下一步>,可以进入NAT模式-NAT-WAN1 设置界面。
本路由器支持多种 WAN 口模式:单 WAN 口、双 WAN 口、三 WAN 口和四 WAN 口。选
择单 WAN 口,则端口 1 为 WAN 口模式;选择双 WAN 口,则端口 1 和端口 2 为 WAN 口模
式;选择三 WAN 口或四 WAN 口,规则类似。
若开启硬件 DMZ,则端口 5 为 DMZ 口;不开启,则端口 5 为 LAN 口。当 WAN 数量选
择为四 WAN 口时,硬件 DMZ 无法开启,此时端口 5 只能为 LAN 口。硬件 DMZ 默认为关闭
状态。
图 6.4 快速配置设置界面-NAT 模式-接口模式设置
NAT 模式-NAT-WAN1 设置
在NAT模式-NAT-WAN1 设置界面,如图 6.5所示,可以选择上网方式,并设置基本上
网参数。本向导提供三种常用上网方式:静态IP、动态IP和PPPoE,请根据实际情况进行选择,
并设置相应参数。
- 53 -
双核全千兆企业 VPN 路由器
静态 IP 连接方式
若 ISP(Internet Service Provider,网络服务提供商)提供了固定的 IP 地址,请选择静
态 IP 手动配置 WAN 口参数。
图 6.5 快速配置设置界面-NAT 模式-NAT-WAN1 设置-静态 IP 连接方式
连接方式
IP 地址
子网掩码
网关地址
首选 DNS 服务
器
备用 DNS 服务
器
选择静态 IP 连接方式,进行手动配置。
设置路由器 WAN 口的 IP 地址。默认为 0.0.0.0。
设置路由器 WAN 口的子网掩码。默认为 255.255.255.0。
设置网关地址,允许留空。
设置 DNS(Domain Name Server,域名解析服务器)地址,允许留空。
设置备用 DNS 地址,允许留空。
上行带宽
下行带宽
设 置 当 前 WAN 接 口 数 据 流 出 的 带 宽 大 小 , 可 设 置 范 围 为
100-1000000Kbps。
设 置 当 前 WAN 接 口 数 据 流 入 的 带 宽 大 小 。 可 设 置 范 围 为
100-1000000Kbps。
表 6.1 WAN 口设置界面静态 IP 连接方式条目项说明
动态 IP 连接方式
若 ISP 提供 DHCP 自动分配地址服务,请选择动态 IP 自动获取 WAN 口参数。
- 54 -
双核全千兆企业 VPN 路由器
图 6.6 快速配置设置界面-NAT 模式-NAT-WAN1 设置-动态 IP 连接方式
连接方式
上行带宽
下行带宽
选择动态 IP 连接方式。
设 置 当 前 WAN 接 口 数 据 流 出 的 带 宽 大 小 , 可 设 置 范 围 为
100-1000000Kbps。
设 置 当 前 WAN 接 口 数 据 流 入 的 带 宽 大 小 。 可 设 置 范 围 为
100-1000000Kbps。
表 6.2 WAN 口设置界面动态 IP 连接方式条目项说明
PPPoE 连接方式
若使用 xDSL/Cable Modem 拨号接入互联网,ISP 会提供上网账号及密码,请选择 PPPoE
连接方式。
- 55 -
双核全千兆企业 VPN 路由器
图 6.7 快速配置设置界面-NAT 模式-NAT-WAN1 设置-PPPoE 连接方式
连接方式
账号
密码
上行带宽
下行带宽
选择 PPPoE 拨号连接方式。
PPPoE 拨号的用户名,由 ISP 提供。可以输入 1-100 个字符,不支持
中文字符。
PPPoE 拨号的密码,由 ISP 提供。可以输入 1-100 个字符,不支持中
文字符。
设 置 当 前 WAN 接 口 数 据 流 出 的 带 宽 大 小 , 可 设 置 范 围 为
100-1000000Kbps。
设 置 当 前 WAN 接 口 数 据 流 入 的 带 宽 大 小 。 可 设 置 范 围 为
100-1000000Kbps。
表 6.3 WAN 口设置界面 PPPoE 连接方式条目项说明
如果在图 6.4NAT模式-接口模式设置界面,选择WAN数量大于 1,则WAN1 设置完成后,
单击<下一步>,会进入其他WAN口设置界面。所有WAN口设置完成后,单击<下一步>,可
以进入NAT模式-NAT-LAN设置界面。
6.1.2 LAN
设置
NAT 模式-NAT-LAN 设置
在 NAT 模式-NAT-LAN 设置界面,可以设置路由器 LAN 口的 IP 参数,以及 LAN 口 DHCP
服务。路由器 DHCP 服务功能,能够为所有接入路由器并且应用 DHCP 服务的网络设备自动
分配 IP 参数。
- 56 -
双核全千兆企业 VPN 路由器
图 6.8 快速配置设置界面-NAT 模式-NAT-LAN 设置
IP 地址
子网掩码
DHCP 服务器
起始 IP 地址
结束 IP 地址
网关地址
设置路由器 LAN 口的 IP 地址,局域网内部可通过该地址访问路由器。
默认为 192.168.1.1。
设置路由器 LAN 口的子网掩码。默认为 255.255.255.0。
选择开启或关闭 DHCP 服务。若希望路由器自动为计算机配置 TCP/IP
参数,请选择“开启”。若选择“关闭”,则起始 IP 地址、结束 IP 地址、
网关地址、首选 DNS 服务器、备用 DNS 服务器各项全部隐藏,不可设。
默认为开启。
设置 DHCP 服务器自动分配 IP 地址的起始地址,该地址必须与 LAN 口
IP 地址设置在同一网段。默认为 192.168.1.100。
设置 DHCP 服务器自动分配 IP 地址的结束地址,该地址必须与 LAN 口
IP 地址设置在同一网段。默认为 192.168.1.199。
设置 DHCP 分配给客户端的网关地址,推荐设置为 LAN 口 IP 地址,允
许留空。
首选 DNS 服务
器
备用 DNS 服务
器
设置 DNS 地址,推荐设为路由器 LAN 口 IP 地址,允许留空。
设置备用 DNS 地址,允许留空。
表 6.4 LAN 口设置界面条目项说明
设置完成后,如果在图 6.4NAT模式-接口模式设置界面开启了硬件DMZ,则单击<下一
步>,可以进入NAT模式-NAT-DMZ设置界面。如果在图 6.4NAT模式-接口模式设置界面没
有开启硬件DMZ,则进入完成快速配置向导界面。
- 57 -
双核全千兆企业 VPN 路由器
6.1.3 DMZ
设置
1. DMZ 简介
DMZ(Demilitarized Zone,非军事区域)也称隔离区。如果在图 6.4NAT模式-接口模
式设置界面开启了硬件DMZ,则路由器端口 5 为DMZ口,允许所有接入此端口的本地主机暴
露在广域网中,进行一些特别的网络应用服务,如各种共享服务器、视频会议等。
DMZ 物理接口可以工作在两种模式下,广域网模式或局域网模式。
广域网模式中,DMZ 区域直接以路由模式与广域网通信。此时 DMZ 区域与广域网区域
一样使用公有地址,不能主动访问局域网。
图 6.9 DMZ 口工作于广域网模式
局域网模式中,DMZ 区域访问广域网区域时需要经过 NAT 进行地址转换。此时 DMZ 区
域可以使用与局域网区域不同网段的私有地址,并且可以主动向局域网区域发起访问连接。
图 6.10 DMZ 口工作于局域网模式
2. DMZ 设置
NAT 模式-NAT-DMZ 设置
在 NAT 模式-NAT-DMZ 设置界面,可以选择 DMZ 接口的工作模式:广域网或局域网。
- 58 -
双核全千兆企业 VPN 路由器
DMZ 接口工作于广域网模式,若 ISP 为 DMZ 口提供的是单一广域网 IP 地址,请勿开启
DMZ 口的 DHCP 服务,否则 DMZ 区域内的主机分配到的地址不能正常访问广域网。若 ISP
提供的是地址段,请按照地址段范围设置 DHCP 地址池。
DMZ 接口工作于局域网模式,其设置同 LAN 设置,需要设置路由器 DMZ 口的 IP 参数,
以及 DMZ 口 DHCP 服务。
设置完成后,单击<下一步>,可以进入完成快速配置向导界面。
图 6.11 快速配置设置界面-NAT 模式-NAT-DMZ 设置
DMZ 模式
IP 地址
子网掩码
DHCP 服务器
通过选择接口模式,可以控制 DMZ 区域与广域网、局域网之间的连接
方式。默认为局域网模式。
设置 DMZ 口的 IP 地址。默认为 192.168.2.1。
设置 DMZ 口的子网掩码。默认为 255.255.255.0。
选择开启或关闭 DHCP 服务。若希望路由器自动为计算机配置 TCP/IP
参数,请选择“开启”。若选择“关闭”,则起始 IP 地址、结束 IP 地
址、网关地址、首选 DNS 服务器、备用 DNS 服务器各项全部隐藏,
不可设。默认为关闭。
起始 IP 地址
结束 IP 地址
设置 DHCP 服务器自动分配 IP 地址的起始地址。
设置 DHCP 服务器自动分配 IP 地址的结束地址。
网关地址 设置 DHCP 分配给客户端的网关地址,允许留空。
首选 DNS 服务器 设置 DNS 地址,允许留空。
备用 DNS 服务器 设置备用 DNS 地址,允许留空。
表 6.5 DMZ 口设置界面条目项说明
- 59 -
双核全千兆企业 VPN 路由器
完成快速配置向导
在完成快速配置向导界面,如图 6.12所示,可以查看配置的所有参数,如需修改,请单
击<上一步>,退回到之前的设置界面修改,如果设置符合需求,请单击<完成>,完成快速配
置。路由器完成配置需要几分钟,请耐心等待。快速配置生效之后,需要重新登录路由器。
图 6.12 快速配置设置界面-完成快速配置向导
6.2
路由模式
在系统模式设置界面,选择路由模式,如图 6.13所示,单击<下一步>,可以进入ROUTE
模式-接口设置界面。
图 6.13 快速配置设置界面-系统模式设置-路由模式
- 60 -
双核全千兆企业 VPN 路由器
ROUTE 模式-接口设置
在ROUTE模式-接口设置界面,如图 6.14所示,可以根据实际需求设置接口数目,设置
范围为 1-5。单击<下一步>,可以进入ROUTE模式-接口 1 设置界面。
设置接口数目为 1,路由器只划分一个区段,端口 1-5 全在同一个区段内,IP 地址为接
口 1 设置的地址。设置接口数目为 2,路由器划分两个区段,端口 1 为一个区段,IP 地址为
接口 1 设置的地址;端口 2-5 为另外一个区段,IP 地址为接口 2 设置的地址。设置接口数目
为 3 或 4 或 5,规则类似。
图 6.14 快速配置设置界面-ROUTE 模式-接口设置
ROUTE 模式-接口 1 设置
在ROUTE模式-接口 1 设置界面,如图 6.15所示,可以根据实际需求设置接口IP地址和
子网掩码。
如果在图 6.14ROUTE模式-接口设置界面,设置的接口数目大于 1,则接口 1 设置完成
后,单击<下一步>,会进入其他接口设置界面。每个接口设置的IP地址都不能与其他接口地
址相同。所有接口设置完成后,单击<下一步>,可以进入完成快速配置向导界面。
- 61 -
双核全千兆企业 VPN 路由器
图 6.15 快速配置设置界面-ROUTE 模式-接口 1 设置
IP 地址
子网掩码
设置接口的 IP 地址,此将作为该区段 eth 接口的 IP 地址。默认为 0.0.0.0。
设置接口的子网掩码,此将作为该区段 eth 接口的子网掩码。默认为
255.255.255.0。
表 6.6 接口设置界面条目项说明
完成快速配置向导
在完成快速配置向导界面,如图 6.16所示,可以查看配置的所有参数,如需修改,请单
击<上一步>,退回到之前的设置界面修改,如果设置符合需求,请单击<完成>,完成快速配
置。路由器完成配置需要几分钟,请耐心等待。快速配置生效之后,需要重新登录路由器。
- 62 -
双核全千兆企业 VPN 路由器
图 6.16 快速配置设置界面-完成快速配置向导
- 63 -
双核全千兆企业 VPN 路由器
第7章 对象管理
说明:
对象管理中所有功能的条目,点击<新增>添加成功后,将不能修改条目名称。
7.1
地址管理
7.1.1
地址组
可以在本页面设置自定义组,以方便对用户进行组管理。
进入界面:对象管理 >> 地址管理 >> 地址组
图 7.1 组设置界面
组名称
备注
输入一个名称来标识一个组,可以输入 1~50 个字符。
添加对当前组的说明信息。
表 7.1 组设置界面项说明
新增的条目会在组列表里显示出来,如下图所示。
图 7.2 组设置界面-组列表
如有需要,可以点击条目后的< >按钮进行编辑。条目 1 为系统默认条目,不可操作。
- 64 -
双核全千兆企业 VPN 路由器
7.1.2
地址
可以在本页面自定义地址,并加入到已有的组中进行组管理。
进入界面:对象管理 >> 地址管理 >> 地址
图 7.3 用户设置界面
名称
IP 类型
备注
输入一个名称来标识地址,可以输入 1~50 个字符。
在此建立源地址范围。主要有以下 2 种表示方式。
IP 段:由起始 IP 地址到结束 IP 地址确定 IP 地址范围。
IP/MASK:由 IP 地址和子网掩码确定 IP 地址范围。
添加对当前地址的说明信息。
表 7.2 用户设置界面项说明
新增的条目会在地址列表里显示出来,如下图所示。
图 7.4 用户设置界面-地址列表
如有需要,可以点击条目后的< >按钮进行编辑。条目 1 为系统默认条目,表示任何地
址,不可操作。
7.1.3
视图
可以在此添加地址到特定的组中。
进入界面:对象管理 >> 地址管理 >> 视图
- 65 -
双核全千兆企业 VPN 路由器
组名
可选用户
包含用户
图 7.5 视图界面
在下拉菜单中选择所需设置的组。
显示该组可以包含的地址或子组。在可选用户列表中,选择一个地址
或子组,点击< >> >按钮将其移至包含用户列表中后,此地址就
包含在所选的组中。
显示该组已经包含的地址或子组。在包含用户列表中,选择一个地址
或子组,点击< << >按钮将其移至可选用户列表中后,此地址就会
从该组中被移除。
表 7.3 视图界面项说明
7.2
时间管理
7.2.1
时间管理
可以通过本页面创建时间对象,从而对时间进行管理。
进入界面:对象管理 >> 时间管理 >> 时间管理
- 66 -
双核全千兆企业 VPN 路由器
图 7.6 时间管理界面
名称
工作日历
工作时间
备注
自定义的时间对象名称。注意不能与已有的时间对象的名称重复,且
名称长度不能超过 50 个字符。
选择一个日历对象。工作日历表示时间对象的年月日。工作日历设置
选择一个工作时间对象。工作时间指明时间对象每日的时间段,由时
输入对时间对象的具体描述。
表 7.4 时间管理界面项说明
新增的条目会在时间对象列表里显示出来,如下图所示。
图 7.7 时间管理界面-时间对象列表
如有需要,可以点击条目后的< >按钮进行编辑。条目 1 为系统默认条目,表示任何时
间,不可操作。
7.2.2
工作日历
可以通过本页面创建工作日历对象,供时间对象使用。
进入界面:对象管理 >> 时间管理 >> 工作日历
- 67 -
双核全千兆企业 VPN 路由器
图 7.8 工作日历设置界面
名称
备注
自定义的工作日历名称。不能与已有的工作日历的名称重复,且名称
长度不能超过 50 个字符。
输入对工作日历的具体描述。
表 7.5 工作日历界面项说明
日历设置
日历由两部分组成:
年份:在下拉列表中选择工作日历生效的年份。
- 68 -
双核全千兆企业 VPN 路由器
日历:根据所选择的年份,将显示当前年份 12 个月和次年 1 月份的日历,可在此选择所
需工作日期。默认为选择除周末外的全部日期。
选择工作日期的基本操作有:
单击某一日,则这一日将被选中,设置为工作日期;再次单击则取消选中,该日被设置
为非工作日期。
每个星期日期对应一个<清除>/<全选>按钮,以星期一为例介绍此按钮操作:只要日历中
有星期一被选中,按钮显示<清除>,点击按钮,则日历中所有星期一被设置为非工作日
期;若日历中没有星期一被选中,按钮显示<全选>,点击按钮,则日历中所有星期一被
设置为工作日期。所有日期对应的按钮操作方法类似。
新增的条目会在工作日历列表里显示出来,如下图所示。
图 7.9 工作日历列表
如有需要,可以点击条目后的< >按钮进行编辑。
7.2.3
工作时间
可以通过本页面创建工作时间对象,以供时间对象模块使用。
进入界面:对象管理 >> 时间管理 >> 工作时间
名称
图 7.10 工作时间设置界面
自定义的工作时间名称。不能与已有的工作时间的名称重复,且名称
长度不能超过 50 个字符。
- 69 -
双核全千兆企业 VPN 路由器
备注
时间段
输入对工作时间的具体描述。
时间段指明时间对象在每一日中生效的具体的时间片段。一个工作时
间条目最多允许配置 8 个时间段。
时间段由两个部分组成:
开始时间:时间段的起始时间,由时分组成,格式为(00:00)。
结束时间:时间段的截止时间,由时分组成,格式为(00:00)。
时间段的每个设置框最多允许输入两位数字,可输入范围为时
(0-24),分(0-59),一个设置框中输入完两位数字后,将自动跳
转到下一个设置框。输入完成后,点击< + >按钮添加时间段,点击
< - >可以删除已经添加的时间段。
表 7.6 工作时间界面项说明
新增的条目会在工作时间列表里显示出来,如下图所示。
图 7.11 工作时间设置界面-工作时间列表
如有需要,可以点击条目后的< >按钮进行编辑。
说明:
对于每个工作时间条目而言,其多个日时间段之间不能重叠。
每个日时间段的开始时间必须早于等于结束时间。
7.3 IP
地址池
可以通过本页面设置 IP 地址池条目,进行地址池的管理。
进入界面:对象管理 >>IP 地址池 >> IP 地址池
- 70 -
双核全千兆企业 VPN 路由器
图 7.12 IP 地址池设置界面
地址池名称
地址池范围
启用/禁用
自定义地址池的名称。
由地址池起始 IP 和地址池结束 IP 组成,且地址池起始 IP 必须不大
于地址池结束 IP,而且不能与已有的地址池范围重叠。当前一个地
址池最多可以包含 1024 个 IP 地址。
选择启用或禁用 IP 地址池条目。
表 7.7 IP 地址池界面项说明
新增的条目会在地址池列表里显示出来,如下图所示。
图 7.13 IP 地址池设置界面-地址池列表
如有需要,可以点击条目后的< >按钮进行编辑,点击< >按钮启用条目,点击< >
按钮禁用条目。
7.4
服务类型
可以在本页面设置自定义服务类型。
进入界面:对象管理 >> 服务类型 >> 服务类型
- 71 -
双核全千兆企业 VPN 路由器
服务名称
协议类型
源端口范围
目的端口范围
ICMP
备注
图 7.14 服务类型设置界面
自定义服务的名称。
在此选择服务所使用的协议。
输入服务所使用的源端口范围,仅 TCP 或 UDP 协议需要设置。
输入服务所使用的目的端口范围,仅 TCP 或 UDP 协议需要设置。
输入 ICMP 协议的类型(type)和编码(code),填充 255 时表明所有类
型/编码。
输入对服务类型的具体描述。
表 7.8 服务类型界面项说明
- 72 -
双核全千兆企业 VPN 路由器
第8章 传输控制
当完成网络中的区段划分且为各区段建立了接口后,路由器上的各接口之间均工作在路
由模式,各接口网络之间能够直接通信。设置合适的传输控制特性,可以保证本设备安全、
快速、有序地转发数据。本设备提供了以下 5 种传输控制特性来保证网络的正常运行:
8.1 NAT设置:利用NAT技术,局域网中多个子网的计算机可以共享少量的广域网接口访
问Internet时,同时还将局域网信息屏蔽起来,NAT设置小节将详细介绍NAT技术和相关功能
特性。
8.2 带宽控制:各区段之间发送数据时,可以通过带宽控制特性对数据传输的速率进行控
制,从而使有限的带宽资源得到合理分配。带宽控制小节将详细介绍带宽控制的功能实现和
配置方法。
8.3 连接数限制:路由器支持的TCP/UDP连接数是有限的,网络在繁忙时段发起的TCP和
UDP数目有可能超过路由器支持的极限值,通信质量将可能受到影响。通过合理配置连接数
限制特性,能够保证用户分配到特定的TCP/UDP连接数。
8.4 流量均衡:流量均衡功能采用带宽均衡、选路、线路备份等技术,使数据包可以按照
指定的线路进行转发,从而使路由器更加安全有效的收发数据,提高网络性能。
8.5 路由设置:利用静态路由功能以及动态路由协议RIP,可以保证数据包在网络中以正
确的路径进行快速转发。
8.1 NAT
设置
本小节主要介绍 NAT 技术、本设备上实现的 NAT 功能特性以及相关功能的配置。
1. NAT 技术简介
NAT(Network Address Translation,网络地址转换)可以实现局域网内的多台计算机通
过 1 个或多个公网 IP 地址接入因特网。NAT 设备在向广域网转发局域网数据时,使用特定的
IP 地址转换数据包中的源 IP 地址和传输端口,使局域网中的计算机共用少量的广域网 IP 地址
与广域网中的计算机通信。NAT 地址转换过程如下图所示:
图 8.1 NAT 地址转换示意图
- 73 -
双核全千兆企业 VPN 路由器
如图所示,NAT 设备在向广域网转发数据包时,将数据包的源 IP 地址进行转换,将其转
换为自身 NAT 接口的 IP 地址并将数据发送;当 NAT 收到广域网应答的数据包时,则根据 NAT
地址转换记录将数据包中的目的 IP 地址进行转换,并将其发往局域网中的指定主机。
在网络中使用 NAT 技术有效地解决了 IP 地址资源不足的问题,同时隐藏了局域网的计算
机,使广域网计算机无法直接访问到局域网设备,为局域网提供了一定的安全保障。
2. NAT 的分类
为适应网络中不同的需求,在实际网络应用中 NAT 有三种应用类型,分别为静态 NAT、
动态 NAT、NAPT。
静态 NAT:将私有网络的地址与广域网地址一对一映射,且映射关系是唯一的,某个私
有网络 IP 地址转换为固定的公有 IP 地址。利用静态 NAT 转换,可以实现内部网络中的特定
设备(如服务器)对外部网络开放。
动态 NAT:将私有网络的地址与广域网地址进行转换时,转换关系是随机的。只要指定
了可以进行转换的私有网络地址,以及合法的广域网地址,就可以进行动态地址转换。动态
NAT 需要指定多个合法的广域网地址,当能够进行 NAT 转换的广域网地址数略少于局域网计
算机的数量时,可以采用动态 NAT。
NAPT:将私有网络地址映射成一个合法的广域网地址,同时通过不同的传输协议端口号
与不同的内部主机应用相对应。
本设备提供了静态 NAT 和 NAPT 两种特性。
3. 本设备的 NAT 特性
本设备提供了下列六种 NAT 相关功能特性:
8.1.1 NAPT:指定IP地址范围内的主机访问Internet时,使用出接口的IP地址对数据包进
行NAPT地址转换,并通过不同的传输协议端口号与内网主机的应用程序相对应。在此过程中,
本设备记录相应的IP地址及传输协议端口的映射关系,并以此维持后续的相关通信过程,直到
通信结束时释放相关端口以便后续使用。
8.1.2 一对一NAT:将指定IP地址的设备与广域网地址建立一对一映射关系,多应用于局
域网中搭建面向广域网的服务器。该设备与私有网络中的设备通信时将使用私有网络的IP地
址,而向广域网提供服务时则可以使用广域网地址进行访问。映射关系一旦建立,则相应的
公网IP地址只供给指定的局域网设备做NAT地址转换。当路由器收到发往该公网IP地址的数据
时将转发到内部的服务器上。
8.1.3 虚拟服务器:设置了NAT相关功能后,因NAT防火墙的限制,广域网用户将无法访
问到局域网中的服务器。通过设置虚拟服务器功能,可以保证局域网服务器向广域网正常提
供服务。在本路由器上,当指定接口开放的外部端口收到访问请求时,将把访问请求转发到
内部服务器上。
- 74 -
双核全千兆企业 VPN 路由器
8.1.4 端口触发:当网络中存在某些特殊应用,比如网络游戏MSN Gaming Zone、IP电话
和视频会议等,需要设置端口触发功能,保证此类应用能够正常运行。
8.1.5 ALG服务:针对FTP、VPN隧道等特殊应用穿透NAT设备时出现的无法连接问题,
本路由器提供的ALG服务能够保证此类特殊应用的正常使用。
8.1.6 NAT DMZ:设置网络中的DMZ主机,DMZ主机将完全暴露在广域网中,通常DMZ
主机就是一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等,解决安装NAT
防火墙后外部网络不能访问内部网络服务器的问题,也为内部网络增加了一道安全缓冲区,
更加保护内部网络的安全。
8.1.1 NAPT
当局域网中多台设备需要访问广域网时,而网络中只有少量接口连接到 Internet 时,需要
配置 NAPT 功能,使多台设备能够共享 ISP 接口上网。设置本功能后,源地址范围内主机发
出的数据包通过指定出接口转发时,将对数据包源 IP 地址和传输协议端口的 NAPT 地址转换,
使用出接口的 IP 地址和传输协议端口与内网主机应用对应。
1. 配置 NAPT
进入界面:传输控制 >> NAT 设置 >> NAPT
在界面的 NAPT 规则区域,填入该规则生效设备的 IP 地址范围并选择数据包转发接口,
点击<新增>按钮手动添加条目。
规则名称
源地址范围
图 8.2 NAPT 界面-设置 NAPT 规则
输入该规则条目的名称。
设置 IP 地址范围,相应的 NAPT 规则条目只对源地址为设定范围内的
数据包生效。
- 75 -
双核全千兆企业 VPN 路由器
出接口
备注
启用/禁用规则
选择该 NAPT 规则的生效接口,当数据包的源 IP 地址在源地址内,且
从该接口转发时,路由器将对数据包进行 NAPT 地址转换。默认选中
下拉列表中显示的第一个接口。
添加对本条目的说明信息,非必填项。
选择“启用”,则使该规则条目生效;
选择“禁用”,则使该规则条目失效。
表 8.1 NAPT 界面条目项说明
新增的条目会在映射列表中显示出来,如下图所示。
图 8.3 NAPT 界面-映射列表
如图所示,“eth0”和“isp1”接口连接到广域网,图中 4 条规则分别表示含义:
1) 序号为 1 和 2 的规则表示 192.168.0.0/24 和 192.168.1.0/24 两个子网中的计算机通过
“eth0”接口访问外部网络时均需要进行 NAPT 地址转换,共用接口的 IP 地址上网;
2) 序号为 3 的规则表示计算机 192.168.3.56 通过“eth0”接口上网时需要进行 NAT 地址转
换,使用接口的 IP 地址上网;
3) 当网络中存在多条外线接口时,如图中“eth0”和“isp1”,访问 Internet 的数据包有可
能通过其他接口直接转发到 Internet 中,在这种情况下,需要在路由器上设置多个 NAPT
条目来保证数据包转发到 Internet 时均做 NAPT 地址转换。图中序号为 2 和 4 的规则表
示,192.168.1.0/24 子网中的计算机通过“eth0”和“isp1”两条外线访问网络时本设备
均会对数据包做 NAPT 地址转换。
4) 当局域网中所有主机均需要访问 Internet 时,您需要为所有子网都建立 NAPT 规则,此时
可以通过设置全 0 规则快速设置,源地址范围设置为 0.0.0.0/0 即可,如下图所示,图中
创建的规则表示所有从“isp1”接口转发的数据均做地址转换。
- 76 -
双核全千兆企业 VPN 路由器
如有需要,可以点击条目后的< >按钮进行编辑,点击< >按钮启用条目,点击< >
按钮禁用条目。
图 8.4 NAPT 界面-全 0 规则
说明:
设置 NAPT 规则时,请注意出接口相同的 NAPT 规则源地址范围不互相重叠,否则会引起范围
冲突导致无法配置成功。
设置全 0 规则时,请不要设置其他 NAPT 规则,否则会引起范围冲突导致无法配置成功。
2. 应用环境
如图 8.5所示,在企业原有网络中,利用三层交换机组建一个交换式网络,但因网络需求
变更,网络中 192.168.2.0/24 网段和 192.168.10.0/24 网段需要访问网络,并从电信和联通各
申请了一条线路同时提供上网服务,两条线路实现负载均衡,网络通过TL-ER6520G上网。
分析如下:
1) 针对 192.168.2.0/24 网段和 192.168.10.0/24 网段,需要创建 NAPT 规则,保证路由器从
电信和联通外线接口转发这两个网段的数据包时做 NAPT 地址转换。
2) 针对 192.168.10.0/24 网段,当路由器从电信和联通外线接口收到发往 192.168.10.0/24
网段的数据包时需要从 192.168.1.1/24 接口发送,因此需要在路由器上创建路由规则。
- 77 -
双核全千兆企业 VPN 路由器
图 8.5 NAPT 功能组网应用
配置步骤:
TL-ER6520G 路由器要完成上述网络需求,需要配置 NAPT 功能和路由功能,配置步骤
如下:
1) 设置 NAPT 规则,必须操作。创建界面:传输控制 >> NAT 设置 >> NAPT。配置
192.168.2.0/24 和 192.168.10.0/24 两个网段的数据从电信和联通两个接口转发时做
NAPT 地址转换,分别需要建立两个 NAPT 规则条目。
2) 设置静态路由,必须操作。创建界面:传输控制 >> 路由设置 >> 静态路由。对于网段
192.168.10.0/24,其通过三层交换机连接到路由器的 192.168.1.1/24 接口,因此需要在
路由器上建立静态路由条目,使网络 192.168.10.0/24 在路由器上路由可达。静态路由条
- 78 -
双核全千兆企业 VPN 路由器
图 8.6 静态路由设置
其中目的地址和子网掩码表示此静态路由条目指向的目标网络,下一跳指通往目标网络
的路径上下一个网络节点的IP地址,出接口表示从路由器上的哪个接口转发数据包,Metric表
示该路径的度量值,请保持为 0,以保证该静态路由条目为最优路径。静态路由相关配置方法
8.1.2
一对一NAT
一对一 NAT,可以将局域网 IP 地址与广域网 IP 地址唯一对应,通常用于局域网内的服务
器搭建。用户可以通过一对一 NAT 映射后的广域网地址访问局域网中的服务器,配置动态 DNS
功能则可以通过域名来访问服务器。
1. 配置一对一 NAT
进入界面:传输控制 >> NAT 设置 >> 一对一 NAT
在界面的一对一 NAT 映射区域,填入映射规则地址参数并选择数据包转发接口,点击<
新增>按钮手动添加条目。
图 8.7 一对一 NAT 界面-设置 NAT 规则
- 79 -
双核全千兆企业 VPN 路由器
映射名称
映射地址
出接口
DMZ 转发
备注
启用/禁用规则
输入该映射条目的名称,例如可以根据服务器提供的服务特性命名。
输入服务器的局域网 IP 地址和提供 NAT 地址转换的 IP 地址。第一个
输入框中应填写局域网 IP 地址,第二个输入框中应填写映射后的 IP 地
址。
选择此一对一 NAT 映射规则的生效接口。当数据包从该接口转发时,
设备根据映射后的地址对数据包进行地址转换;对映射后地址的访问
请求将转发到局域网中的服务器上。
设置是否开启该条 NAT 映射条目的 DMZ 转发。开启 DMZ 转发后,规
则生效接口收到目的 IP 地址为映射后地址的数据包时,将把数据包转
发给局域网服务器。如果广域网用户需要自由的访问局域网服务器,
需要开启 DMZ 转发,若不开启,路由器将拒绝用户对服务器的访问。
添加对本条目的说明信息,非必填项。
选择“启用”,则使该规则条目生效;
选择“禁用”,则使该规则条目失效。
表 8.2 一对一 NAT 界面条目项说明
新增的条目会在映射列表中显示出来,如下图所示。
图 8.8 一对一 NAT 界面-映射列表
如图所示,虚线框中的条目表示:路由器通过接口“isp1”转发来自设备 192.168.1.10
的数据包时,将对数据包做 NAT 地址转换,将源 IP 地址转换为 201.0.0.1;路由器的“isp1”
接口收到目的地址为 201.0.0.1 的响应数据时,将转发给局域网中的设备 192.168.1.10。
没有开启 DMZ 转发,则“isp1”接口收到目的地址为 201.0.0.1 的访问请求时,会拒绝
处理;如果开启了 DMZ 转发,则表示“isp1”接口收到目的地址为 201.0.0.1 的数据包时都
转发给设备 192.168.1.10。
如有需要,可以点击条目后的< >按钮进行编辑,点击< >按钮启用条目,点击< >
按钮禁用条目。
- 80 -
双核全千兆企业 VPN 路由器
说明:
只有当接口的 IP 地址为手动设置静态 IP 地址时,才能够配置成一对一 NAT 功能的出接口。
2. 应用环境
如图 8.9所示,某企业向电信申请了两个公网IP“201.1.1.1”和“201.1.1.2”,其中地
址“201.1.1.1”用于为局域网计算机共享上网,而地址“201.1.1.2”则用于企业服务器
192.168.100.5 为广域网提供服务。
分析如下:
1) 针对服务器 192.168.100.5,需要创建一对一 NAT 规则,保证数据从电信接口转发到广
域网时使用固定的 IP 地址进行转换,同时广域网用户可以通过固定的 IP 地址访问服务器。
2) 针对需要上网的网段,需要创建NAPT规则,请参考8.1.1 NAPT进行配置。
图 8.9 一对一 NAT 功能组网应用
配置步骤:
TL-ER6520G 路由器要完成上述网络需求,需要为服务器配置一对一 NAT 功能,为其他
上网区段配置 NAPT 功能和路由功能,配置步骤如下:
1) 设置一对一 NAT 规则。必须操作。创建界面:传输控制 >> NAT 设置 >> 一对一 NAT。
配置 192.168.100.5 服务器的数据从电信接口转发时,将做一对一 NAT 映射再转发,映
射后地址为 201.1.1.2。
- 81 -
双核全千兆企业 VPN 路由器
2) 设置 NAPT 规则。必须操作。创建界面:传输控制 >> NAT 设置 >> NAPT。配置
192.168.10.0/24 和 192.168.20.0/24 两个网段的数据从电信接口转发时做 NAPT 地址转
换。
3) 设置静态路由。必须操作。创建界面:传输控制 >> 路由设置 >> 静态路由。对于网段
192.168.10.0/24 和 192.168.20.0/24,其通过三层交换机连接到路由器的 192.168.1.1/24
接 口 , 因 此 需 要 在 路 由 器 上 建 立 静 态 路 由 条 目 , 使 网 络 192.168.10.0/24 和
192.168.20.0/24 在路由器上路由可达。静态路由条目配置参考8.5 路由设置。
8.1.3
虚拟服务器
在路由器上设置了 NAPT 特性的接口,因防火墙的限制,会拒绝用户向此接口发起的访
问请求。当网络中搭建了服务器需要为所有用户开放时,NAPT 特性接口下的用户将无法获得
服务。通过虚拟服务器功能,在设置了 NAPT 特性的接口上开放固定的传输层协议端口,当
开放端口收到访问请求时,将把访问请求转发到指定的服务器上,此接口中的用户便能成功
访问网络中的服务器,同时不影响网络安全。
1. 配置虚拟服务器
进入界面:传输控制 >> NAT 设置 >> 虚拟服务器
在界面的虚拟服务区域,填写服务器的 IP 地址和服务端口信息以及路由器开放端口,点
击<新增>按钮手动添加条目。
接口
服务名称
外部端口
图 8.10 虚拟服务器界面-设置虚拟服务器
选择规则生效接口,当此处设置的接口收到特定外部端口的访问请求
时将把数据发给局域网服务器。
输入该虚拟服务器的名称,例如可以根据服务器提供的服务特性命名。
输入路由器提供给广域网访问时使用的端口,本例中使用 12892 端口。
- 82 -
双核全千兆企业 VPN 路由器
内部端口
服务协议
内部服务器 IP
启用/禁用规则
输入局域网服务器提供服务的端口,如本例中是 80 端口。
选择 TCP,UDP 协议,或者可以都选,(根据内网服务器提供的服务
类型而定)。
输入服务器的局域网 IP 地址。
选择“启用”,则使该规则条目生效;
选择“禁用”,则使该规则条目失效。
表 8.3 虚拟服务器界面条目项说明
新增的条目会在服务列表中显示出来,如下图所示。
图 8.11 虚拟服务器界面-服务列表
如图所示,虚线框中的条目表示:广域网用户向接口“isp1”的 12892 端口发送访问请
求时,该请求将被转发给局域网中的服务器 192.168.100.5 的 80 端口上,并由真实的服务器
192.168.100.5 提供服务。
如有需要,可以点击条目后的< >按钮进行编辑,点击< >按钮启用条目,点击< >
按钮禁用条目。
2. 应用环境
如图 8.12所示,某企业网络存在普通用户子网和服务器子网,同时向电信运营商申请了
一条宽带接入线,子网 192.168.1.0/24 中的用户通过电信接口访问Internet,而web服务器
192.168.100.5 则需要通过电信接口给广域网中的用户提供web服务,服务端口为 80。
分析如下:
1) 普通用户可以通过 NAPT 功能共享一条宽带接入线上网。
2) 服务器通过宽带接入线向广域网发送数据时,为了避免私有网络信息发送到广域网,因
此针对服务器子网也需要设置 NAPT。
- 83 -
双核全千兆企业 VPN 路由器
3) 为服务器配置虚拟服务器功能,向广域网用户开放一个传输层端口,供广域网用户访问
服务器。
图 8.12 虚拟服务器功能组网应用
配置步骤:
本路由器要完成上述网络需求,需要配置 NAPT 功能和虚拟服务器功能,配置步骤如下:
1) 设置 NAPT 规则。必须操作。创建界面:传输控制 >> NAT 设置 >> NAPT。配置普通用
户子网 192.168.1.0/24 和服务器子网的数据从“电信接口”上网时做 NAPT 地址转换。
2) 设置虚拟服务器功能。必须操作。创建界面:传输控制 >> NAT 设置 >> 虚拟服务器。
在“电信接口”上为服务器开放一个端口,供广域网用户访问服务器,当开放端口收到
来自广域网用户的访问请求时,将把访问请求转发到内网服务器的服务端口上。此处假
设开放的外部端口为 8080,局域网服务器提供的服务端口为 80。
3) 访问服务器。可选操作。广域网用户访问网络时,可以通过地址加端口的方式访问服务
器。例如本例中的web服务器则可以通过网页浏览器进行访问,地址格式为http://接口地
址:开放端口,根据本例中的实际参数则地址为http://201.1.1.1:8080,路由器收到访问请
求时将地址转换成http://192.168.100.5:80后转发给服务器。
说明:
若服务器对外开放的服务端口是 80 端口,则需要在设置虚拟服务器前更改路由器的管理端口,
更改地址:管理界面 >> 系统工具 >> 管理帐号 >> 系统管理设置 >> Web 服务端口,将默认
的 80 端口修改为其他端口。修改后登陆路由器管理界面的方法为:http://管理接口 IP 地址:新端
口。
通过申请花生壳动态域名,可以使用域名来访问内部服务器。花生壳动态域名功能设置界面:
管理界面 >> 系统服务 >> 动态DNS,详细的配置步骤请参考
如果希望通过广域网监控局域网中的网络摄像头,除了需要配置虚拟服务器功能,还要确保网
络摄像头的网关设置正确。
如果上述设置完成后仍然无法访问服务器,请查看: http://www.tp-link.com.cn/pages/article-detail.asp?result=faq&d=130
- 84 -
双核全千兆企业 VPN 路由器
8.1.4
端口触发
当局域网内的客户端访问因特网上的服务器时,对于某些应用,比如网络游戏 Sudden
Strike、IP 电话和视频会议等,客户端向服务器主动发起连接的同时,也需要服务器向客户端
发起连接请求。而缺省情况下,路由器上面向广域网的接口启用了 NAPT 特性后,会拒绝此
接口收到的主动连接请求,此时通信会被中断。
通过设置端口触发功能,在局域网用户向广域网设备发起访问请求时,如果端口为触发
端口,则打开数据包转发接口的开放端口,供后续通信使用。当客户端和路由器长时间没有
数据交互时,路由器会自动关闭因通信而对外开放的端口,最大限度地保证了局域网的安全。
下表是常见的可能用到端口触发功能的网络应用,当此类应用无法正常运行时请根据下
表设置端口触发功能。如果网络应用不在下表统计范围内,请咨询相关应用服务商。
程序名称 开放端口 触发端口
Dialpad
ICU II
7175
2019
51200-51201, 51210
2000-2038, 2050-2051, 2069, 2085, 3010-3030
MSN Gaming Zone
PC-to-Phone
Quick Time 4
AOE II Client
Sudden Strike
Baldurs Gate II
47624
12053
554
47624
47624
47624
2300-2400, 28800-29000
12120, 12122, 24150-24220
6970-6999
2300-2400, 28800-29000
2300-2400
2300-2400
表 8.4 特殊网络应用传输端口列表
1. 配置端口触发
进入界面:传输控制 >> NAT 设置 >> 端口触发
在界面的端口触发区域,填入网络应用的开放端口和触发端口,点击<新增>按钮手动添
加条目。
- 85 -
双核全千兆企业 VPN 路由器
图 8.13 端口触发界面-设置端口触发
接口
服务名称
触发端口
触发协议
开放端口
开放协议
启用/禁用规则
选择规则生效接口。当路由器收到触发端口的访问请求时,将从此接
口转发数据包,以接口 IP 地址做 NAT 地址转换,但不转换传输层协议
端口,同时打开此接口的相关开放端口。
输入服务条目的名称,名称长度需在 28 个字符以内,中英文均可,一
个中文占用 2 个字符空间。
输入触发端口,即应用程序首先发起连接的一个或多个端口。只有该
端口发起连接时,对应开放端口中的所有端口才可以开放,并为应用
程序提供服务,否则开放端口中的所有端口是不会开放的。
选择在触发端口上使用的数据包传输层协议类型。
输入为应用程序提供服务的一个或多个端口。当触发端口上收到连接
后,出接口的开放端口打开,应用程序便可以通过这些开放端口发起
后续连接。
选择在开放端口上使用的数据包传输层协议类型。
选择“启用”,则使该规则条目生效;
选择“禁用”,则使该规则条目失效。
表 8.5 端口触发界面条目项说明
新增的条目会在触发列表中显示出来,如下图所示。
- 86 -
双核全千兆企业 VPN 路由器
图 8.14 端口触发界面-触发列表
如图所示,图中的规则表示当路由器收到 TCP 或 UDP 端口为 554 的访问请求时,通过
“isp1”接口转发数据包,使用接口地址对数据包进行地址转换但不转换传输层协议端口,同
时打开“isp1”接口的传输层协议端口 6970-6999;
如有需要,可以点击条目后的< >按钮进行编辑,点击< >按钮启用条目,点击< >
按钮禁用条目。
说明:
触发端口与开放端口的取值范围均为 1-65535 之间的任意整数。开放端口取值可以指定一个连
续的范围,如 8690-8696。
路由器支持 16 条端口触发规则,每条规则最多支持 5 组触发端口,且这些触发端口不能重叠。
每条规则最多支持 5 组开放端口,每条规则的开放端口数总和需小于或等于 100。
请根据实际需要配置端口触发功能,避免黑客利用开放的端口进行网络攻击。
8.1.5 ALG
服务
通常情况下,局域网中的计算机共享公网地址上网时,路由器均会对数据包做 NAT 地址
转换。然而,对于一些特殊的协议,例如访问服务器 FTP、VPN 隧道连接等,此类应用的数
据包中的内容可能包含 IP 地址或端口信息,这些内容不能被 NAT 进行有效地转换,因此此类
应用在通过路由器 NAT 时就可能会出现问题。
例如,FTP 应用是由数据连接和控制连接共同完成的,而且数据连接基于的传输层端口由
控制连接过程中的数据包内容动态地决定,这就需要 ALG 特性来完成数据包内容的转换,来
保证后续数据连接的正确建立。
- 87 -
双核全千兆企业 VPN 路由器
下表为常见的需要 ALG 的一些应用层协议。
应用名称 应用场景
FTP
H.323
SIP
IPsec
PPTP
用于局域网设备使用 FTP 协议访问广域网设备时,如访问 FTP 服务器,
此时需要启用 FTP ALG。
局域网中的 IP 电话与广域网中的 IP 电话使用 H.323 协议进行通信时,
需要启用 H.323 ALG。
局域网中存在 Internet 多媒体会议、IP 电话等应用是基于 SIP 协议的,
需要启用 SIP ALG。
当 IPsec 隧道需要通过本路由器时,需要启用 IPsec ALG。
用于路由器使用 PPTP 方式进行拨号,或者提供 PPTP 隧道连接服务时,
需要启用 PPTP ALG。
表 8.6 ALG 应用列表
配置 ALG
进入界面:传输控制 >> NAT 设置 >> ALG 服务
在界面的 ALG 服务区域,针对特殊应用类型开启 ALG 服务。
图 8.15 ALG 服务界面-设置 ALG 服务
路由器支持五种特殊应用的 ALG 服务。默认情况下,五种 ALG 服务均已经启用,建议保
持默认值不做改变。
8.1.6 NAT DMZ
DMZ(Demilitarized Zone,非军事区域)也称隔离区。位于 DMZ 区的主机完全暴露在
广域网中,通常多用于放置一些必须公开的服务器设施,如企业 Web 服务器、FTP 服务器和
论坛等。
NAT DMZ 即 DMZ 主机的 NAT 转发规则,指定接口收到数据包时,查看所有的 NAT 规
则,如果没有匹配项,则将数据包进行 NAT 地址转换后发往位于 DMZ 区指定的局域网计算
机上。
- 88 -
双核全千兆企业 VPN 路由器
1. 配置 NAT DMZ
进入界面:传输控制 >> NAT 设置 >> NAT DMZ
在界面的 NAT DMZ 服务区域,填写 DMZ 主机的局域网 IP 地址以及数据包转发接口,点
击<新增>按钮手动添加条目。
图 8.16 NAT DMZ 界面-设置 DMZ 区
服务名称
内部服务器 IP
接口
启用/禁用规则
输入该 NAT 转发规则的名称,例如可以根据 DMZ 主机特性命名。
输入 DMZ 主机的局域网 IP 地址。
选择规则生效接口,当此处设置的接口收到的访问请求无法匹配现有
的 NAT 规则时,将把数据发给 DMZ 主机。
选择“启用”,则使该规则条目生效;
选择“禁用”,则使该规则条目失效。
表 8.7 虚拟服务器界面条目项说明
新增的条目会在服务列表中显示出来,如下图所示。
图 8.17 NAT DMZ 界面-服务列表
- 89 -
双核全千兆企业 VPN 路由器
如图所示,虚线框中的条目表示:接口“isp1”收到访问请求时,如果该请求无法匹配到
其他 NAT 功能设置的 NAT 规则,将被转发到局域网中 IP 地址为 192.168.200.10 的 DMZ 主
机上。
如有需要,可以点击条目后的< >按钮进行编辑,点击< >按钮启用条目,点击< >
按钮禁用条目。
8.2
带宽控制
带宽控制功能通过对各种数据流设置相应的限制规则,实现对数据传输的带宽控制,从
而使有限的带宽资源得到合理分配,达到有效利用现有带宽的目的。
1. 配置智能带宽控制
进入界面:传输控制 >> 带宽控制 >> 带宽控制规则
在界面的功能设置区域,设置智能带宽控制功能,点击<设置>按钮保存配置。
图 8.18 带宽控制规则界面-功能设置
勾选此项启用智能带宽控制,仅当带宽利用率达到指定百分比时,所有带宽控制规则生
效。若不勾选,则所有带宽控制规则实时生效。
2. 配置带宽控制规则
进入界面:传输控制 >> 带宽控制 >> 带宽控制规则
在界面的带宽控制规则区域,设置带宽控制规则的对象,包括生效时间、数据流向、IP
地址范围等,点击<新增>按钮手动添加条目。
- 90 -
双核全千兆企业 VPN 路由器
图 8.19 带宽控制规则界面-设置带宽控制规则
规则名称
数据流向
受控地址类型
受控地址范围
带宽模式
最大限制带宽
规则生效时间
启用/禁用规则
输入该规则条目的名称。
设置此带宽控制规则生效的数据流向。第一个框选择发送数据的源区
段,假设为区段 1;第二个框表示数据转发的目标区段,假设为区段 2。
则此带宽控制规则对从区段 1 发往区段 2 的数据包生效。
选择此带宽控制规则生效对象的源或目的计算机的 IP 地址。
设置 IP 地址范围,此处的 IP 地址范围与上面的受控地址类型共同指定
此带宽控制规则的面向对象。例如,设置此规则的生效对象为 IP 地址
范围 192.168.10.100-192.168.10.200 的计算机发出的数据包。
独立模式即受控地址范围内每一个 IP 地址都将应用当前规则所设置的
带宽限制;共享模式即受控地址范围内所有 IP 地址带宽总和为当前规
则所设置的带宽限制。
设置受控计算机所能使用的最大限制带宽。
选择规则生效时间,其他时间规则不生效。Any 为系统默认设置的时
间对象,表示所有时间。请在对象管理章节设置时间对象。
选择“启用”,则使该规则条目生效;
选择“禁用”,则使该规则条目失效。
表 8.8 带宽控制规则界面条目项说明
新增的条目会在规则列表中显示出来,如下图所示。
- 91 -
双核全千兆企业 VPN 路由器
图 8.20 带宽控制规则界面-规则列表
如图所示,此带宽控制规则表示:RD 区段中 IP 地址为 192.168.10.100 到 192.168.10.200
的计算机发往 default 区段的通信数据将共享 1000Kbps 的最大带宽,没有时间限制。
如有需要,可以点击条目后的< >按钮进行编辑,点击< >按钮启用条目,点击< >
按钮禁用条目。
配置步骤:
配置带宽控制规则时,需要按照下面步骤进行配置:
1) 设置时间对象。必须操作。创建界面:对象管理 >> 时间管理。设置时间对象以便配置
带宽控制规则的生效时间。
2) 设置区段的带宽控制属性。必须操作。创建界面:基本设置 >> 区段设置。根据受控对
象的所属接口,在各接口界面中设置是否参与带宽控制。对于每一条带宽控制规则,源
区段和目的区段相应的接口均需要参与带宽控制。
3) 设置带宽控制规则。必须操作。创建界面:传输控制 >> 带宽控制 >> 带宽控制规则。
根据受控对象的网络参数设置带宽控制规则。
8.3
连接数限制
作为网络的统一出口,路由器支持的 TCP 和 UDP 连接数为固定值,能够满足局域网设备
正常的访问需求。如果局域网内有部分主机向广域网发起的 TCP 和 UDP 数目过多,将可能影
响局域网其他计算机的通信质量。通过设置连接数限制功能,可以限制每台计算机通过路由
器建立的连接数。
- 92 -
双核全千兆企业 VPN 路由器
1. 配置连接数限制全局特性
进入界面:传输控制 >> 连接数限制 >> 连接数限制
在界面的功能设置区域,全局启用连接数限制功能,点击<设置>按钮保存配置。
图 8.21 连接数限制界面-功能设置
勾选此项以启用连接数控制。不勾选时,所有连接数限制均不生效。
2. 配置连接数限制规则
进入界面:传输控制 >>连接数限制 >> 连接数限制
在界面的连接数限制规则区域,选择连接数限制规则生效的地址范围以及能够获得的最
大连接数,点击<新增>按钮手动添加条目。
- 93 -
双核全千兆企业 VPN 路由器
图 8.22 连接数限制界面-设置连接数限制规则
规则名称
受控地址范围
最大连接数
启用/禁用规则
输入该规则条目的名称。
选择需要进行连接数限制的计算机的 IP 地址范围,由对象管理中的地
址组来表示。IPGROUP_ANY 为系统默认设置的地址组,表示所有计
算机。请在对象管理章节设置地址组。
设置受控地址范围中每台计算机所能使用的最大连接总数。
选择“启用”,则使该规则条目生效;
选择“禁用”,则使该规则条目失效。
表 8.9 连接数限制规则界面条目项说明
新增的条目会在规则列表中显示出来,如下图所示。
- 94 -
双核全千兆企业 VPN 路由器
图 8.23 连接数限制界面-规则列表
如图所示,连接数限制规则“rule1”表示:IP 地址范围在“RD”用户组中的计算机分别
能够通过路由器成功建立 TCP 或 UDP 的连接数是 1000 条。
如有需要,可以点击条目后的< >按钮进行编辑,点击< >按钮启用条目,点击< >
按钮禁用条目。
3. 监控连接数
进入界面:传输控制 >>连接数限制 >> 连接数监控
在界面的监控列表区域,查看网络中通过路由器建立的 TCP/UDP 连接数限制规则生效的
地址范围以及能够获得的最大连接数,点击<新增>按钮手动添加条目。
图 8.24 连接数监控界面-监控现有连接数
图中的监控条目 1 表示:IP_LAN 地址组的计算机分别能够使用的最大连接数 TCP/UDP
为 100 条,其中 IP 地址为 10.1.1.2 的计算机当前已通过路由器建立了两条连接数。
配置步骤:
配置连接数限制规则时,需要按照下面步骤进行配置:
- 95 -
双核全千兆企业 VPN 路由器
1) 设置受控地址组。必须操作。创建界面:对象管理 >> 地址管理。对于连接数限制功能
的受控地址范围,需要先在对象管理中进行设置,在设置连接数限制时将直接选择。
2) 启用连接数限制功能并设置规则。必须操作。创建界面:传输控制 >> 连接数限制 >>
连接数限制规则。根据受控对象的需要设置不同的最大连接数。
8.4
流量均衡
本路由器提供多种负载均衡策略,包括特殊应用程序选路,智能均衡,ISP选路,策略选
路等,同时支持线路备份功能。要使流量均衡中功能生效,首先必须开启在线检测。本章节
将详细介绍流量均衡的功能实现和配置方法。
8.4.1
基本设置
1. 特殊应用程序选路
启用此功能后,路由器会将数据包的源 IP 地址与目的 IP 地址,或者源 IP 地址与特殊目
的端口作为一个整体,记录其通过的接口信息。后续一定时间内如果有同一源 IP 地址和目的
IP/端口地址的数据包通过,则优先转发至上次记录的接口。该功能主要用于保证多连接应用
程序的正常工作。
进入界面:传输控制 >>流量均衡 >> 基本设置
在界面的功能设置区域,可以选择启用特殊应用程序选路功能,设置完成后需点击<设置
>按钮使配置生效。
图 8.25 基本设置-特殊应用程序选路功能界面
设置完成后,路由器就会为一些多连接应用程序的数据包选择最优线路。
2. 智能均衡
若要使“智能均衡”生效,必须先在基本设置 >> 区段设置界面设置接口带宽。
进入界面:基本设置 >> 区段设置
在界面的接口设置区域选择将要参与智能均衡的接口,并设置接口上行带宽和下行带宽,
且勾选参与流量均衡选项。
- 96 -
双核全千兆企业 VPN 路由器
图 8.26 智能均衡 - 接口设置
进入界面:传输控制 >> 流量均衡 >> 基本设置
在界面的功能设置区域,可以选择启用智能均衡,并勾选要参与智能均衡的接口,设置
完成后需点击<设置>按钮使配置生效。
图 8.27 智能均衡设置界面
说明:
在实际应用中,如果某些接口没有连接到因特网,那么这些接口将不会参与到智能均衡,请勿勾选。
设置完成后,在路由器没有设置其它选路规则的情况下,路由器将自动进行流量均衡。
8.4.2
策略选路
通过对服务类型、源地址、目的地址、生效接口和生效时间的设置,可以更加精确的控
制路由器进行选路。
- 97 -
双核全千兆企业 VPN 路由器
1. 策略选路设置
进入界面:传输控制 >> 流量均衡 >> 策略选路
在界面的选路规则设置区域填入策略名称,并选择服务类型、源地址、目的地址、生效
接口和生效时间,选择启用规则并点击<新增>按钮手动添加条目。
图 8.28 策略选路设置界面
策略名称
服务类型
源地址
目的地址
生效接口
生效时间
备注
启用/禁用规则
用户自定义,标识一条选路规则。
在下拉列表中选择本条规则所针对的服务类型,不属于指定范
围内的协议将不会应用选路规则。如果列表中没有您想指定的
协议类型,可以在对象管理 >> 服务类型界面设置,详细配置
在下拉列表中选择需要应用选路规则的源地址范围。源地址可以在
对象管理 >> 地址管理 >> 地址界面设置。详细配置过程请
在下拉列表中选择需要应用选路规则的目的地址范围。源地址可以
在对象管理 >> 地址管理 >> 地址界面设置。详细配置过程请
选择指定数据包转发接口。
选择规则生效的时间。生效时间可以在对象管理 >> 时间管理
添加对本条规则的说明信息。
选择启用或禁用本条策略选路规则。
表 8.10 策略选路功能设置界面项说明
新增的条目会在规则列表里显示出来,如下图所示。
图 8.29 策略选路设置界面-规则列表
- 98 -
双核全千兆企业 VPN 路由器
如有需要,可以点击条目后的< >按钮进行编辑,点击< >按钮启用条目,点击< >
按钮禁用条目。
2. 策略选路典型应用
某企业的网络需求如下:
TL-ER6520G 为中心路由器,使 FTP 数据包和 HTTP 数据包通过不同的接口转发。
配置步骤
如果要完成上述网络需求,需要按如下顺序配置 TL-ER6520G 路由器:
1) 创建VLAN。必须操作,具体操作步骤请参考VLAN章节
如VLAN10,VLAN20。
2) 创建区段,同时配置区段下的网络接口。必须操作。创建界面:基本设置 >> 区段设置 >>
区段设置,在此界面的左列点击< + >按钮,在弹出的添加区段对话框中输入新区段的名
称,点击<确定>按钮完成。
3) 创建 eth 接口 eth1 和 eth2。注意设置网络参数时必须勾选参与流量均衡选项。
4) 在传输控制 >> 流量均衡 >> 策略选路界面创建如下两条规则:
5) 指定 FTP 数据包由“eth1”接口转发。
指定 HTTP 数据包由“eth2”接口转发。
- 99 -
双核全千兆企业 VPN 路由器
8.4.3 ISP
选路
在 ISP 选路中,通过选择接口和 ISP,可以将数据包转发至对应的 ISP 线路上,从而减少
数据包在网络中被转发的次数,提高网络性能。
1. ISP 选路设置
进入界面:传输控制 >> 流量均衡 >> ISP 选路
启用 ISP 选路功能
在界面的选路功能设置区域,勾选“启用 ISP 地址段选路功能”,并手动点击<设置>按钮
使设置生效。
图 8.30 ISP 选路界面-启用 ISP 选路功能
导入 ISP 数据库
ISP 数据库即各 ISP 所拥有的 IP 地址段的数据库,通过匹配数据包目的 IP 地址与 ISP 数
据库,路由器会将数据包从相应 ISP 所对应的接口转发。请在我司官方网站下载最新 ISP 数据
库,单击<浏览>按钮,选择保存路径下的文件,点击<导入>即可。
图 8.31 ISP 选路界面-导入 ISP 数据库
- 100 -
双核全千兆企业 VPN 路由器
ISP 选路设置
在界面的 ISP 选路设置区域选择接口和 ISP,点击<新增>手动添加 ISP 选路条目。
图 8.32 ISP 选路界面-ISP 选路设置
接口选择
ISP 设置
选择进行 ISP 选路的接口。
在下拉列表中选择 ISP。
表 8.11 ISP 选路功能设置界面项说明
新增的条目会在选路列表里显示出来,如下图所示。
图 8.33 ISP 选路界面-选路列表
如有需要,可以点击条目后的< >按钮进行编辑。
说明:
智能均衡、策略选路、ISP 选路三个功能可以同时工作,但当三个功能设置有冲突时,路由器执行的
优先顺序为:策略选路 > ISP 选路 > 智能均衡。
2. ISP 选路典型应用
某网吧使用电信和联通双线接入,带宽分别为 10M,现需要使用 TL-ER6520G 来实现网
络中所有去往电信服务器的流量走电信线路,所有去往联通服务器的流量走联通线路。
配置步骤
如果要完成上述网络需求,需要按如下顺序配置 TL-ER6520G 路由器:
1) 创建VLAN。必须操作,具体操作步骤请参考VLAN章节
如VLAN10,VLAN20。
- 101 -
双核全千兆企业 VPN 路由器
2) 创建区段,同时配置区段下的网络接口。必须操作。创建界面:基本设置 >> 区段设置 >>
区段设置,在此界面的左列点击< + >按钮,在弹出的添加区段对话框中输入新区段的名
称,点击<确定>按钮完成。
3) 创建 eth 接口 eth1 和 eth2,并连接到 ISP 网络。注意设置网络参数时必须勾选参与流量
均衡选项。
4) 在传输控制 >> 流量均衡 >> 基本设置界面,启用特殊应用程序选路功能和智能均衡。
5) 在传输控制 >> 流量均衡 >> 基本设置界面,启用 ISP 选路功能。TL-ER6520G 内嵌了
ISP 数据库,启用 ISP 选路功能后,并添加下图所示的条目后,访问电信站点的流量由电
信线路转发,访问网通站点的流量由网通线路转发,可以提高访问速度。
8.4.4
线路备份
根据实际需要合理设置线路备份,可以减轻接口流量负担,提高网络效率。当一个接口
出现故障时,路由器能够及时地把数据切换到其它正常的接口上,为网络稳定性提供强大保
证。
1. 设置线路备份
进入界面:传输控制 >> 流量均衡 >>线路备份
在界面的备份设置区域,设置主备接口并选择备份模式,点击<新增>按钮手动添加条目。
- 102 -
双核全千兆企业 VPN 路由器
图 8.34 线路备份界面-备份设置
主接口选择
备接口选择
备份模式
备份生效时间
故障备份
启用/禁用规则
可以选择定时备份或故障备份。选择定时备份时,下方可进行
备份生效时间设置;选择故障备份时,下方可进行故障备份设
置。
当备份模式为定时备份时,需要在此指定生效时间。在生效时
。
当备份模式为故障备份时,需要在此选择故障备份条件,在主
接口正常工作时备份接口不工作,只有当符合故障备份条件时
才会启动备份接口。
选择启用或禁用本条线路备份规则。
表 8.12 线路备份功能设置界面项说明
新增的条目会在主备组列表里显示出来,如下图所示。
图 8.35 线路备份界面-主备组列表
如有需要,可以点击条目后的< >按钮进行编辑,点击< >按钮启用条目,点击< >
按钮禁用条目。
说明:
要使线路备份生效,首先需要在保证相应接口的在线检测已开启。具体可以在系统工具 >> 诊
断工具 >> 在线检测界面进行设置。
每个主备组中,主/备接口必须处于同一区段。
- 103 -
双核全千兆企业 VPN 路由器
2. 线路备份举例
某网吧使用双线接入,线路 1 为包年的电信静态 IP 接入,10M 带宽。线路 2 为联通的
PPPOE 拨号上网,2M 带宽,按上网时间收费。现在需要将线路 2 设为备份线路,既保证线
路 1 出现故障时用户不会掉线,又保证了较低的成本。
配置步骤
如果要完成上述网络需求,需要按如下顺序配置 TL-ER6520G 路由器:
1) 创建VLAN。必须操作,具体操作步骤请参考VLAN章节
如VLAN10,VLAN20。
2) 创建区段,同时配置区段下的网络接口。必须操作。创建界面:基本设置 >> 区段设置 >>
区段设置,在此界面的左列点击< + >按钮,在弹出的添加区段对话框中输入新区段的名
称,点击<确定>按钮完成。
3) 创建 eth 接口 eth1 和 eth2,并分别连接到线路 1 和线路 2。注意设置接口网络参数时必
须勾选参与流量均衡选项。
4) 开启在线检测。必须操作。创建界面:系统工具 >> 检测工具 >> 在线检测,开启对 eth1
接口和 eth2 接口的在线检测。
5) 在传输控制 >> 流量均衡 >> 策略选路界面添加下图所示条目后,当 eth1 接口发生故
障时,路由器将自动切换到 eth2 接口。
8.5
路由设置
路由是指路由器根据数据包的目的 IP 地址选择最优路径,并转发到通往目标网络的下一
个网络节点的过程。
在一次路由过程中选择最优路径是路由器需要完成的最重要的工作。路由器通过维护一
张路由表来记录网络中的路径信息,并根据一定的路由选择协议在路由表中选择一条最优路
- 104 -
双核全千兆企业 VPN 路由器
径进行数据转发。路由表中的每一个路由条目基本都包含如下四种基本属性,路由转发时将
根据数据包的目的 IP 地址查找最优路径:
1) 目的网络地址:用于标识该条路由条目所指向的目标网络。
2) 子网掩码:用于标识目标网络的子网掩码。
3) 下一跳地址:用于指定通往目标网络的下一跳路由节点,路由器将数据转发给下一跳路
由节点后,由下一跳路由节点将数据发往再下一跳路由节点或目标网络。下一跳路由必
须是本地可达的,配置路由条目时可以通过 ping 工具测试是否可达。
4) 下一跳接口:用于标识数据从本地发出的出接口。
路由器根据路由表进行数据转发,而路由条目的来源有三种,分别为直连路由、静态路
由和动态路由,以下是三种路由的特点。
直连路由:通过数据链路层协议发现的,通常指向与路由器直接连接的网络,如 VLAN。
静态路由:由网络管理员手动配置的一种特殊路由,不随着网络拓扑的改变而自动变化,
多用于网络规模较小,拓扑结构固定的网络中。当网络的拓扑结构或链路的状态发生变
化时,网络管理员需要手动修改路由表中相关的静态路由信息。
动态路由:通过相互连接的路由器之间交换彼此的路由信息,然后通过路由选择协议计
算出自身的路由表信息,可随着网络拓扑的改变而自动变化,简化了网络管理工作。常
用的动态路由选择协议有 RIP、OSPF 和 BGP 等等,不同的协议有不同的算法,对于发
往同一目标网络的路径选择结果也可能不一样。
本路由器主要支持直连路由、静态路由和RIP三种路由特性。直连路由无需配置,路由器
可以自动建立直连网络的路由条目,下面将详细介绍
。
8.5.1
静态路由
静态路由是由网络管理员手动设置的路由,一般在规模不大、拓扑结构固定的网络中配
置,网络管理员只需配置少量静态路由即可实现网络互通。在网络中使用合适的静态路由可
以减少路由选择问题,提高数据包的转发速度。当网络发生改变时则需要网络管理员手动修
改路由配置以保证网络正常通信。
1. 配置静态路由
进入界面:传输控制 >> 路由设置 >> 静态路由
在界面的静态路由规则区域,输入静态路由各项参数,点击<新增>按钮手动添加条目。
- 105 -
双核全千兆企业 VPN 路由器
图 8.36 静态路由界面-设置静态路由
名称
目的地址
子网掩码
下一跳
出接口
Metric
备注
启用/禁用规则
输入该规则条目的名称。
设置静态路由规则条目指向的目标网络地址。
设置静态路由规则条目指向的目标网络的子网掩码。
设置通往目标网络的路由路径上下一个节点的 IP 地址。
设置数据从本地发出的出接口.
设置路由规则的优先级,数值越低则优先级越高,0 为最高优先级。当
网络中存在多条路由可以到达同一目的地址,可以通过调整 Metric 来
调整路由规则的优先级,数据包将按照 Metric 值最小的路径转发。
添加对本条规则的说明信息。
选择“启用”,则使该规则条目生效;
选择“禁用”,则使该规则条目失效。
表 8.13 静态路由界面条目项说明
新增的静态路由条目会在规则列表中显示出来,如下图所示。
- 106 -
双核全千兆企业 VPN 路由器
图 8.37 静态路由界面-规则列表
如图所示,静态路由规则“rule1”表示:发往目标网络 192.168.3.0/24 的数据可以通过
接口 eth0 发往 192.168.1.2 节点上,节点 192.168.1.2 将执行下一个转发任务,此静态路由规
则的 Metric 值为 0 拥有最高优先级。
如有需要,可以点击条目后的< >按钮进行编辑,点击< >按钮启用条目,点击< >
按钮禁用条目。
2. 应用环境
某企业分为两个办公区,两个办公区网络分别为 192.168.10.0/24 和 192.168.20.0/24 网
段,并通过两台TL-ER6520G路由器连接两个办公区,如图 8.38所示。
分析:若要完成两个局域网能够互相通信,则需要在两台路由器上建立路由进行转发。
图 8.38 静态路由功能组网应用
- 107 -
双核全千兆企业 VPN 路由器
配置步骤:
TL-ER6520G 路由器要完成上述网络需求,需要配置静态路由功能,配置步骤如下:
1) 在路由器 A 上配置指向 192.168.20.0/24 网段的静态路由。必须操作。创建界面:传输控
制 >> 路由设置 >> 静态路由。配置路由条目的目标网络/子网掩码为 192.168.20.0/24,
从 IP 地址为 116.31.88.1/24 的接口发出,发往下一跳网络节点 116.31.88.5,同时设置
Metric 值为 0。
2) 在路由器 B 上配置指向 192.168.10.0/24 网段的静态路由。详细配置方法同第一步。
8.5.2 RIP
服务
RIP(Routing Information Protocol,路由信息协议),是一种采用距离向量算法选择最优
路径的动态路由协议,因其易于配置、管理和实现,被广泛应用于如校园网等中小规模的网
络中。
RIP 协议报文在传输层都以 UDP 协议进行封装,源和目的端口都使用 520。RIP 定义了
两种报文类型:请求报文和响应报文。请求报文用来向邻居发送一个路由请求,响应报文用
来传送路由更新。RIP 的度量是基于“跳”数的,1 跳表示与发出报文的路由器直接连接的网
络,16 跳表示网络不可达。最优路径即跳数最少的网络链路。如果到相同目标有二个不等速
或不同带宽的路由器,但跳跃计数相同,则 RIP 认为两个路由是等距离的,此时路由器将执
行等价路径的负载均衡。
开始时,RIP 从每个启用 RIP 协议的接口广播请求报文。接着,RIP 程序进入一个循环状
态,不断地侦听来自其他路由器的 RIP 请求或响应报文,而收到请求的邻居路由器则应答包
含它们的路由表的响应报文。RIP 每隔 30 秒通过 UDP 报文以广播形式交换一次路由信息,并
以此更新自己的路由表。如果在 180 秒内未收到某一路由条目的信息,则 RIP 协议就会将该
条路由的距离设定成无穷大,并删除路由表中相关信息。
RIP 协议在应用中不断地被完善,从最初的 RIPv1 版本基础上逐渐发展出了 RIPv2 版本
的协议。RIPv2 相较 RIPv1 还支持 VLSM(Variable Length Subnet Mask,可变长子网掩码)、
简单明文认证、MD5 密文认证、CIDR(Classless Inter-Domain Routing,无类型域间选路)
和多播,相对于 RIPv1 应用更加灵活。详细的 RIP 协议内容请参考 RFC 1058。
TL-ER6520G 同时支持 RIPv1 和 RIPv2 两种版本的协议,可以根据实际的网络需求设置,
以提高网络性能。
1. 配置 RIP 服务
进入界面:传输控制 >> 路由设置 >> RIP 服务
在界面的 RIP 服务设置区域,设置 RIP 协议相关特性,点击<新增>按钮手动添加条目。
- 108 -
双核全千兆企业 VPN 路由器
接口
接口状态
输出版本
密码认证
图 8.39 RIP 服务界面-设置 RIP 服务
选择需要运行 RIP 协议的接口,例如,局域网规模较大且是三层交换
式网络时,可以在连接局域网的接口上运行 RIP 协议。
选择“启用”,则使该接口启用 RIP 协议;
选择“禁用”,则使该接口禁用 RIP 协议。
选择相应接口的 RIP 协议版本。其中 RIPv2 支持多播和广播两种形式。
如果应用 RIPv2 协议版本,可以根据实际网络情况设置密码认证,认
证密码不超过 15 位。由于 RIP 协议报文没有加密且多数协议分析器都
提供 RIP 报文的封装格式,因此 RIP 路由器很容易被虚假的 RIP 报文
欺骗。密码认证是防止这类攻击的最佳方法。RIP 提供简单认证和 MD5
两种认证方法,启用密码认证后,接口上收到的所有未经认证的 RIP
协议报文都会被丢弃。
表 8.14 RIP 服务界面条目项说明
说明:
当接口连接到了 ISP 网络,请勿开启 RIP 协议。
只有 eth 接口才可以设置 RIP 服务。
网络中的路由器需要运行于相同的 RIP 协议版本,才能有效地进行路由信息交互。
新增的 RIP 服务接口信息会在 RIP 服务条目中显示出来,如下图所示。
- 109 -
双核全千兆企业 VPN 路由器
图 8.40 RIP 服务界面-RIP 服务条目
如图所示,序号为 1 的 RIP 服务条目表示:启用接口“dmz_eth1”的 RIP 服务,使用协
议版本为 v2 多播,且不进行密码认证。如有需要,可以点击条目后的< >按钮进行编辑。
接口运行了 RIP 服务后,将自动开始路由信息交互,接口直连网络的路由条目也会在 RIP
路由表中显示出来,如下图所示。
图 8.41 RIP 服务界面-RIP 路由表
如图所示,RIP 路由表中的两条路由条目分别表示如下含义:
- 110 -
双核全千兆企业 VPN 路由器
RIP 路由条目 1:网络 1.2.2.0/24 可以通过接口“dmz_eth1”到达,跳数为 1 即表示该网
络是接口“dmz_eth1”直接连接的网络,下一跳地址 1.2.2.1 则是接口的 IP 地址;
RIP 路由条目 2:网络 192.168.1.0/24 可以通过接口“dmz_eth1”转发到网络节点 1.2.2.2
上,跳数为 2,即表示从本地接口“dmz_eth1”发往该网络的数据包需要经过 1 个网络
节点来转发。
- 111 -
双核全千兆企业 VPN 路由器
第9章 安全管理
9.1 ARP
防护
9.1.1 ARP
简介
ARP(Address Resolution Protocol,地址解析协议),是一种将主机的 IPv4 地址解析成
MAC 地址的网络协议。
在同一个局域网中,一台主机要与其他主机直接通信,必须确定目的主机的 MAC 地址。
在已知目的主机 IP 地址的情况下,通过 ARP 协议可以获取目的主机的 MAC 地址信息。
1. ARP 报文格式
ARP 报文的格式如下图所示:
硬件类型
协议类型
硬件地址长度
协议地址长度
OP
2 2
ARP 首部
(8 字节)
源 MAC 地址
6
源 IP 地址
4
以太网 ARP 字段
(28 字节)
图 9.1 ARP 报文格式
目的 MAC 地址 目的 IP 地址
6 4
硬件类型
协议类型
硬件地址长度
协议地址长度
应用 ARP 的网络类型,对于以太网该值为 1。
要映射的协议类型,对于 IP 协议该值为 0x0800(0x 表示十六进制)。
硬件地址即 MAC 地址,共 48 位,长度为 6 个字节,该值为 6。
协议地址即 IP 地址,共 32 位,长度为 4 个字节,该值为 4。
OP
源 MAC 地址
OP 为操作码,1 表示 ARP 请求;2 表示 ARP 应答。
发送报文一方的 MAC 地址。
源 IP 地址 发送报文一方的 IP 地址。
目的 MAC 地址 接收报文一方的 MAC 地址(ARP 请求报文中该字段全 0)。
目的 IP 地址 接收报文一方的 IP 地址。
表 9.1 ARP 报文字段含义
- 112 -
双核全千兆企业 VPN 路由器
2. ARP 解析过程
在一次 ARP 通信中,源主机会首先向自己所在网段广播一个 ARP 请求报文,网段中的所
有主机都会收到这个请求报文,但只有符合请求报文中目的 IP 地址的主机会做出回应,回应
的 ARP 应答报文将会携带该主机的 MAC 地址信息,以单播形式发送给源主机。如下图所示:
图 9.2 ARP 解析过程
网络中的所有主机,包括路由器和计算机在内,都各自维护一份 ARP 列表,该列表建立
了主机 IP 地址和 MAC 地址一一对应关系。主机通过数据包的交互学习到其他主机的 IP 地址
和 MAC 地址信息,并将这些信息添加至自身的 ARP 表中。每次通信时会先根据 IP 地址在表
中查找对应 MAC 地址,减少网络上的 ARP 通信量。
9.1.2 ARP
攻击简介
按照 ARP 协议的设计,主机在接收 ARP 应答报文时只会机械地使用最新 ARP 信息替换
自身 ARP 列表,这就为“ARP 攻击”创造了条件。
ARP 攻击的主要形式为 ARP 欺骗,通常由局域网中的攻击主机发送 ARP 欺骗包,将伪
造的 IP 与 MAC 对应关系替换主机 ARP 列表中的记录,共有三种欺骗方式:欺骗主机、欺骗
网关、双向欺骗。
欺骗主机:仿冒网关给主机发送错误的 ARP 报文,通常欺骗报文中会伪造发送者 MAC
地址。
- 113 -
双核全千兆企业 VPN 路由器
图 9.3 ARP 欺骗-欺骗主机
欺骗网关:仿冒主机向网关发送错误的 ARP 报文,通常欺骗报文中会伪造发送者 IP 或
MAC 地址。
图 9.4 ARP 欺骗-欺骗网关
双向欺骗:前面两种欺骗方式的结合,伪造不同的 ARP 报文,同时发送给主机和网关。
图 9.5 ARP 欺骗-双向欺骗
ARP 欺骗可能会造成局域网内部分主机无法访问网络,还可能造成通信数据被非法窃听
或篡改,严重影响了局域网内部通信及安全,由此便产生了 ARP 防护技术。ARP 防护的根源
在于杜绝伪造的 ARP 报文刷新 ARP 列表。绑定正确的 IP MAC 地址信息可以有效防止 ARP
欺骗。
- 114 -
双核全千兆企业 VPN 路由器
9.1.3 ARP
攻击防护
1. 绑定局域网内主机的 IP 与 MAC 地址信息
路由器提供多种绑定方法,包括
说明:
使用批量绑定时请不要勾选 IP MAC 绑定页面上的“仅允许 IP MAC 绑定数据包通过路由器”
选项。
若局域网内已经存在 ARP 攻击导致部分主机通信异常,则不可批量绑定,请在 IP MAC 绑定界
面进行手动绑定。
手动单条绑定指定主机的 IP MAC 地址信息
进入界面:安全策略 >> ARP 防护 >> IP MAC 绑定
在界面的 IP MAC 绑定区域,填入需进行绑定的局域网主机 IP、MAC 地址信息,点击<
新增>按钮手动添加条目。
IP 地址
MAC 地址
出接口
图 9.6 IP MAC 绑定界面-IP MAC 绑定
输入一个 IPv4 地址。
输入与上方 IP 地址正确对应的主机 MAC 地址。
选择绑定的接口。
- 115 -
双核全千兆企业 VPN 路由器
备注
启用/禁用规则
添加对本条目的说明信息,非必填项。
选择“启用”,则使该绑定条目生效;
选择“禁用”,则使该绑定条目失效。
表 9.2 IP MAC 绑定界面条目项说明
新增的条目会在绑定列表中显示出来。此时,以 图 9.6中的配置为例,MAC地址为
40-61-86-FC-75-C4 的主机如果擅自修改了IP地址,便会无法访问网络;反之亦然。
图 9.7 IP MAC 绑定界面-绑定列表
批量绑定局域网内活动主机的 IP MAC 地址信息
进入界面:安全策略 >> ARP 防护 >> ARP 扫描
首先,通过 ARP 扫描界面得到局域网内活动主机的 IP MAC 对应信息。
- 116 -
双核全千兆企业 VPN 路由器
图 9.8 ARP 扫描界面
在扫描范围中填入起始及结束的 IP 地址,点击<开始扫描>按钮,路由器会将该范围内所
有正在工作主机的 IP MAC 地址信息显示在扫描结果中。
如需将扫描结果全部绑定,请点击<全选>按钮,然后单击<导入>按钮,在与已绑定条目
不冲突的情况下,导入后绑定立即生效,这些批量绑定的条目会出现在 IP MAC 绑定界面的绑
定列表中。
图 9.9 ARP 绑定列表
批量导入的条目备注一栏默认为 import,如有需要,可以点击条目后的< >按钮进行编
辑。完成批量绑定后再次扫描,会发现之前的 IP MAC 条目状态发生了改变。
图 9.10 ARP 扫描状态变更
未绑定 表示当前条目未进入绑定列表,可能会被错误的 ARP 信息更替。
表示当前条目已进入绑定列表,但还未生效。
表示当前条目已绑定并生效,可以防御 ARP 攻击。
表 9.3 ARP 绑定图标说明
批量绑定正与路由器通信的主机 IP MAC 地址信息
进入界面:安全策略 >> ARP 防护 >> ARP 列表
- 117 -
双核全千兆企业 VPN 路由器
首先,进入 ARP 列表界面得到正在与路由器进行通信的主机的 IP MAC 对应信息。
图 9.11 ARP 列表界面
列表中未绑定的条目并不是一直存在,除了会被新的 IP MAC 对应信息更替之外,还会由
于长时间未通信或物理连接中断而自动从列表中删除。
如需将列表中的条目全部绑定,请点击<全选>按钮,然后单击<导入>按钮,在与已绑定
条目不冲突的情况下,导入后绑定立即生效,列表中的条目状态也会随之变更。
图 9.12 ARP 列表状态变更
未绑定 表示当前条目未进入绑定列表,可能会被错误的 ARP 信息更替。
表示当前条目已进入绑定列表,但还未生效。
表示当前条目已绑定并生效,可以防御 ARP 攻击。
表 9.4 ARP 绑定图标说明
这些批量绑定的条目会出现在 IP MAC 绑定界面的绑定列表中。
图 9.13 ARP 绑定列表
批量导入的条目备注一栏默认为 import,如有需要,可以点击条目后的< >按钮进行编
辑。
若路由器此时已连入外网,也可以通过 ARP 列表获取网关的 IP MAC 地址信息,并进行
绑定,以抵御来自外网的 ARP 攻击。
2. 开启 ARP 防护相关功能
进入界面:安全策略 >> ARP 防护 >> IP MAC 绑定
- 118 -
双核全千兆企业 VPN 路由器
在界面的功能设置区域,可以开启路由器 ARP 防护相关功能,设置完成后需点击<设置>
按钮使配置生效。
图 9.14 IP MAC 绑定界面-功能设置
启用 ARP 防欺骗功能
仅允许 IP MAC 绑定的
数据包通过路由器
允许路由器在发现
ARP 攻击时发送
GARP 包
启用 ARP 日志记录
全局功能开关。在开启此项之后,所有的 ARP 防护设置才会生
效。推荐勾选。
强制局域网内主机进行 IP MAC 绑定,没有绑定的主机将无法访
问网络。推荐在需要防止非法客户端接入时勾选,勾选条目前请
确认已绑定包含管理主机在内的指定主机的 IP MAC 地址信息。
需要在下方选择生效区段。
当路由器发现局域网内主机存在 ARP 冲突时,路由器会将自身
正确的 IP MAC 地址信息以 GARP(Gratuitous ARP,免费 ARP)
包的方式主动发送给被攻击的主机,替换该主机错误的 ARP 列
表信息。可在发包间隔处指定发包速率。推荐勾选。
路由器会将 ARP 日志发送到指定的日志服务器中。日志服务器
地址即
系统日志
章节中设置的服务器地址。推荐勾选。
表 9.5 ARP 功能设置界面项说明
至此,在路由器上的 ARP 绑定操作就完成了。为了更好地防御 ARP 攻击,还可以分别在
局域网各主机上绑定路由器接口的 IP 和 MAC 地址,具体地址信息可以在基本设置 >> 系统
状态页面中查看。
- 119 -
双核全千兆企业 VPN 路由器
9.2
攻击防护
攻击防护可防止广域网对路由器或局域网内计算机进行端口扫描和恶意攻击,以此来保
证它们的安全运行。
进入界面:安全管理 >> 攻击防护
图 9.15 攻击防护设置界面
启用防护攻击日
志
防 Flood 类攻击
勾选此项后路由器会记录相关的防护日志。
Flood 类攻击是 DoS 攻击的一种常见形式。DoS(Denial of Service,
拒绝服务)是一种利用发送大量的请求服务占用过多的资源,让目
的路由器和服务器忙于应答请求或等待不存在的连接回复,而使正
常的用户请求无法得到响应的攻击方式。常使用的 Flood 洪水攻击
包括 TCP SYN,UDP,ICMP 等。推荐勾选界面上所有防 Flood 类
攻击选项并设定相应阈值,如不确定,请保持默认设置不变。
- 120 -
双核全千兆企业 VPN 路由器
防可疑包攻击
可疑包即非正常数据包,有可能是病毒或攻击者的扫描试探。推荐
勾选界面上所有防可疑包选项。
表 9.6 攻击防护设置界面项说明
9.3 MAC
过滤
在此可以通过指定 MAC 地址对部分局域网主机进行过滤。
进入界面:安全策略 >> MAC 过滤
图 9.16 MAC 过滤设置界面
功能设置
若需要严格控制局域网内某些计算机访问广域网,推荐勾选“启用 MAC 地址过滤功能”,
并根据实际情况选择一种过滤规则,且选择生效区段。
MAC 地址过滤规则
名称
MAC 地址
输入该规则条目的名称。
输入需要控制的局域网主机 MAC 地址。
表 9.7 MAC 过滤设置界面项说明
规则列表
在规则列表中,可以对已保存的 MAC 地址条目进行相应设置。
- 121 -
双核全千兆企业 VPN 路由器
9.4
访问策略
9.4.1
基本概念
TL-ER6520G 能够保障网络安全,具体做法是先检查要求从一个区段到另一区段的通路
的所有连接尝试,然后予以允许或拒绝。
本路由器的默认行为是允许所有区段的所有接口直接通信,如图 9.17所示,路由器默认
为全局路由模式。如需阻塞区段间的通信,可通过设置访问策略实现。同样,为了防止选定
的区段内部信息流通过本路由器,也需要创建访问策略。
图 9.17 策略概念示意图一
在实际应用中,常常希望局域网内的主机可以共享上网,而广域网内的设备无法主动访
问局域网内主机,即局域网与广域网之间的通信模式为 NAT 模式。这就需要在路由器上创建
相应的策略。
如果DMZ区域以路由模式与广域网通信,则DMZ区域与广域网区域一样使用公有地址,
不能主动访问局域网。那么,局域网与DMZ区域之间的通信应该为NAT模式,如图 9.18所示。
图 9.18 策略概念示意图二
此时,需要在路由器上创建局域网区段到广域网区段和局域网区段到DMZ区段的NAT规
则,以及广域网区段到局域网区段和DMZ区段到局域网区段的阻塞策略,如图 9.19所示。
- 122 -
双核全千兆企业 VPN 路由器
图 9.19 策略概念示意图三
如果DMZ区域以路由模式与局域网之间通信,则DMZ区域与局域网区域一样使用私有地
址,广域网不能主动访问DMZ区域。那么,DMZ区域与广域网之间的通信应该为NAT模式,
图 9.20 策略概念示意图四
此时,需要在路由器上创建局域网区段到广域网区段和DMZ区段到广域网区段的NAT规
则,以及广域网区段到局域网区段和广域网区段到DMZ区段的阻塞策略,如图 9.21所示。
图 9.21 策略概念示意图五
1. 策略生效范围
在创建策略时,需要引用路由器对象管理中的以下模块:
服务类型:指定策略生效的协议和端口号。设置界面:对象管理 >> 服务类型。
地址管理:指定策略生效的地址范围。设置界面:对象管理 >> 地址管理。
时间管理:指定策略生效的时间范围。设置界面:对象管理 >> 时间管理。
- 123 -
双核全千兆企业 VPN 路由器
本路由器提供允许和阻塞两种行为控制信息流,其连同服务类型、源地址、目的地址、
时间以及区段,构成了访问策略所必需的几个元素。通过创建策略,定义允许或阻塞在预定
时间通过指定源地址到达指定目的地址的信息流的种类,可以控制区段间的信息流。控制范
围最大时,可以阻塞所有类型的信息流从一个区段中的任何源地址到其它所有区段中的任何
目的地址,而且没有任何预定时间限制。控制范围最小时,可以创建一个策略,只允许一种
信息流在预定的时间段内、在一个区段中的指定主机与另一区段中的指定主机之间流动。可
图 9.22 策略生效范围示意图
2. 策略类型
TL-ER6520G 的策略分为区段内策略和区段间策略:
区段内策略:可以控制从指定区段到任意地址及设备本身的信息流。
区段间策略:可以控制从一个指定区段到另一个指定区段的信息流。
两者配置方式基本一致。可以为策略指定优先级,路由器会先处理优先级高的策略。区
段内的策略对来自此区段的所有报文生效,因此其优先级高于区段间的策略。
9.4.2
区段内策略
区段内策略提供对指定区段报文的限制。源地址是指定区段内的地址,目的地址可以是
任意区段内的任意地址,包括设备本身的地址。区段内策略控制信息流单向流动,主要是控
制本区段发送的信息流。
进入界面:安全管理 >> 访问策略 >> 区段内访问规则
- 124 -
双核全千兆企业 VPN 路由器
在图 9.23界面的访问规则区域,设置规则名称,选择所需的策略类型、服务类型、区段、
源地址范围、目的地址范围、规则生效时间,然后指定规则的优先级,点击<新增>按钮手动
添加条目。
名称
策略类型
服务类型
区段
源地址范围
目的地址范围
规则生效时间
添加到指定位
置
图 9.23 区段内访问规则设置界面-访问规则
输入一个名称来标识该访问规则。
在下拉列表中选择适用于本条规则的策略类型,可选择阻塞或者允许。
选择“阻塞”,则符合该条规则的所有数据包将无法通过路由器;
选择“允许”,则符合该条规则的数据包能通过路由器。
在下拉列表中选择本条规则所针对的服务类型,不属于指定范围内的
服务将不会应用该规则。例如策略类型选择为“阻塞”,只选定了FTP
一种服务类型时,其他服务类型的数据包仍旧可以通过路由器。如需
在下拉列表中选择本条规则限制的区段。如需新建区段,请参考4.2区
在下拉列表中选择本条规则限制的源地址范围。源地址必须是限制区
段内的地址。路由器预定义“IPGROUP_ANY”地址组表示所有地址。
在下拉列表中选择本条规则限制的目的地址范围。目的地址可以是任
意区段内的任意地址。路由器预定义“IPGROUP_ANY”地址组表示
所有地址。路由器预定义“Me”地址组表示本路由器所有接口的地址。
在下拉列表中选择本条规则生效的时间表。如需新建时间表,请参考
勾选该项后,可以将当前设置的访问规则添加到规则列表中指定序号
的位置。默认情况下,新增规则显示在规则列表的最后。规则条目在
规则列表中的位置越靠前,即规则序号数字越小,该规则优先级越高。
表 9.8 区段内访问规则设置界面条目项说明
- 125 -
双核全千兆企业 VPN 路由器
说明:
除了“IPGROUP_ANY”地址组,路由器会为每个地址组自动添加一个与其相对应的“!”(非)地
址组,表示除了该地址组内地址之外的所有地址。
新增规则信息会在规则列表中显示出来。图 9.24中规则效果是:任何时间,区段WAN1
内的主机,都不能访问路由器Web界面,此例为9.4.3 区段内策略应用中应用一。如需了解区
图 9.24 区段内访问规则设置界面-规则列表
配置区段内访问规则步骤:
1) 创建服务类型。非必须操作。路由器预定义了如HTTP、FTP、TELNET等常用服务类型,
如果需要使用的服务类型为预定义的,则不必此项操作。具体操作步骤请参考7.4服务类
2) 创建区段。非必须操作,如果在已有区段上创建策略,则不必此项操作。创建界面:基
本设置 >> 区段设置 >> 区段设置,在此界面的左列点击< + >按钮,在显示的新增区
段里设置区段名称,点击<确定>按钮完成。
3) 创建地址组。非必须操作。路由器已预定义部分地址组,如果需要限制的地址组为预定
4) 创建时间组。非必须操作。路由器已预定义“Any”时间组,表示任何时间,如果需要限
制的时间为此,则不必此项操作。具体操作步骤请参考7.2时间管理。
5) 创建区段内访问规则。必须操作。创建界面:安全管理 >> 访问策略 >> 区段内访问规
则,在此界面的访问规则区域,设置规则名称,选择所需的策略类型、服务类型、区段、
- 126 -
双核全千兆企业 VPN 路由器
源地址范围、目的地址范围、规则生效时间,然后指定规则的优先级,点击<新增>按钮
完成。
6) 编辑区段内访问规则。非必须操作。编辑界面:安全管理 >> 访问策略 >> 区段内访问
规则,在此界面的规则列表区域,可以查看、编辑和删除策略。
9.4.3
区段内策略应用
1. 控制到路由器本身的报文
应用一:
创建策略,使 WAN1 区段内的主机,不能以任何形式访问路由器。
配置步骤:
1) 创建区段 WAN1。创建界面:基本设置 >> 区段设置 >> 区段设置。WAN1 区段具体设
置请根据实际需求进行。
2) 创建区段内访问规则。创建界面:安全管理 >> 访问策略 >> 区段内访问规则。规则设
置如下,点击<新增>按钮完成。
名称
策略类型
服务类型
WAN1 策略 1
阻塞
ALL
区段
源地址范围
目的地址范围
规则生效时间
WAN1
IPGROUP_ANY
Me
Any
表 9.9 区段内策略应用一设置区段内访问规则
应用二:
与应用一相对应,可以创建策略,使 WAN1 区段内的主机,只能访问路由器,而不能向
其它区段发送报文。
配置步骤:
1) 创建区段 WAN1。创建界面:基本设置 >> 区段设置 >> 区段设置。WAN1 区段具体设
置请根据实际需求进行。
2) 创建区段内访问规则。创建界面:安全管理 >> 访问策略 >> 区段内访问规则。规则设
置如下,点击<新增>按钮完成。
名称 WAN1 策略 2
策略类型 阻塞
- 127 -
双核全千兆企业 VPN 路由器
服务类型
区段
源地址范围
目的地址范围
规则生效时间
ALL
WAN1
IPGROUP_ANY
!Me
Any
表 9.10 区段内策略应用二设置区段内访问规则
2. 控制某区段到某个地址组的报文
应用三:
创建策略,使得 IP 地址为 1.1.1.1 的主机无论接入任何区段,WAN1 区段的报文都不能
到达该主机。该策略生效效果如下所示:
图 9.25 区段内策略应用三
配置步骤:
1) 创建区段 WAN1。创建界面:基本设置 >> 区段设置 >> 区段设置。WAN1 区段具体设
置请根据实际需求进行。
2) 创建地址组。创建界面:对象管理 >> 地址管理。
进入标签页地址组,设置地址组名称为主机,点击<新增>按钮完成。
名称 主机
表 9.11 区段内策略应用三设置地址组
进入标签页地址,设置地址名称为主机 IP,选择 IP 类型为 IP/Mask,输入 1.1.1.1/32,
点击<新增>按钮完成。
名称 主机 IP
IP 类型
IP/Mask
1.1.1.1/32
表 9.12 区段内策略应用三设置地址
- 128 -
双核全千兆企业 VPN 路由器
进入标签页视图,组名选择主机,在可选用户中,选中主机 IP,点击< >> >按钮,将主
机 IP 移到包含用户中,点击<设置>按钮完成。
3) 创建区段内访问规则。创建界面:安全管理 >> 访问策略 >> 区段内访问规则。规则设
置如下,点击<新增>按钮完成。
名称 WAN1 策略 3
策略类型
服务类型
阻塞
ALL
区段
源地址范围
目的地址范围
规则生效时间
WAN1
IPGROUP_ANY
主机
Any
表 9.13 区段内策略应用三设置区段内访问规则
应用四:
现有一个区段 LAN,包含了多个网段,其中有 LAN1 网段 IP 为 10.1.1.0/24,LAN2 网段
IP 为 10.1.2.0/24。默认情况 LAN 区段内的主机都可以互相通信,现在需要阻塞 LAN1 网段和
LAN2 网段之间的通信。可以创建策略,阻塞 LAN1 网段访问 LAN2 网段。
图 9.26 区段内策略应用四
配置步骤:
1) 创建区段 LAN。创建界面:基本设置 >> 区段设置 >> 区段设置。LAN 区段具体设置
请根据实际需求进行。
2) 创建地址组。创建界面:对象管理 >> 地址管理。
进入标签页地址组,定义两个地址组:LAN1 网段和 LAN2 网段。设置地址组名称,点击
<新增>按钮完成。
- 129 -
双核全千兆企业 VPN 路由器
LAN1 网段设置如下:
名称 LAN1 网段
表 9.14 区段内策略应用四设置地址组 1
LAN2 网段设置如下:
名称 LAN2 网段
表 9.15 区段内策略应用四设置地址组 2
进入标签页地址,定义两个地址名称:LAN1 网段 IP 和 LAN2 网段 IP。LAN1 网段 IP,
选择 IP 类型为 IP/Mask,输入 10.1.1.0/24。LAN2 网段 IP,选择 IP 类型为 IP/Mask,输
入 10.1.2.0/24。
LAN1 网段 IP 设置如下:
名称
IP 类型
LAN1 网段 IP
IP/Mask
10.1.1.0/24
表 9.16 区段内策略应用四设置地址 1
LAN2 网段 IP 设置如下:
名称 LAN2 网段 IP
IP 类型
IP/Mask
10.1.2.0/24
表 9.17 区段内策略应用四设置地址 2
进入标签页视图,组名选择 LAN1 网段,在可选用户中,选中 LAN1 网段 IP,点击< >> >
按钮,将 LAN1 网段 IP 移到包含用户中,点击<设置>按钮完成。
组名选择 LAN2 网段,在可选用户中,选中 LAN2 网段 IP,点击< >> >按钮,将 LAN2
网段 IP 移到包含用户中,点击<设置>按钮完成。
3) 创建区段内访问规则。创建界面:安全管理 >> 访问策略 >> 区段内访问规则。规则设
置如下,点击<新增>按钮完成。
名称 LAN 策略 1
策略类型
服务类型
区段
源地址范围
目的地址范围
规则生效时间
阻塞
ALL
LAN
LAN1 网段
LAN2 网段
Any
表 9.18 区段内策略应用四设置区段内访问规则
- 130 -
双核全千兆企业 VPN 路由器
说明:
本应用中,按照以上设置完成之后,LAN1 网段内的主机,不仅不能访问 LAN 区段内 IP 为 10.1.2.0/24
的主机,也不能访问其他任何区段内 IP 为 10.1.2.0/24 的主机。如果还有其他需求,请根据实际应用
配置其他策略。
9.4.4
区段间策略
区段间策略可以控制从一个区段传递到另一个区段的信息。源地址和目的地址在不同区
段中。区段间策略是有流向的,例如要阻塞区段 A 和区段 B 之间的通信,需要配置两条策略,
一条策略阻塞区段 A 发送信息到区段 B,另外一条策略阻塞区段 B 发送信息到区段 A。
同时,区段间策略只在控制的两个区段内生效,例如一条策略为:阻塞区段 A 发送信息
到区段 B 地址组 1,假设区段 C 内也有地址组 1,那么,区段 A 的信息不可以发送到区段 B
地址组 1,但可以发送到区段 C 地址组 1。
说明:
在设置区段间访问规则之前,必须设置区段。区段设置请参考4.2区段设置。
进入界面:安全管理 >> 访问策略 >> 区段间访问规则
在图 9.27界面的区段选择区域,在区段选择下拉列表中勾选要设置的区段,点击<显示>
按钮,将出现该区段间访问规则设置项。
图 9.27 区段间访问规则设置界面-区段选择
在图 9.28界面的访问规则区域,设置规则名称,选择所需的数据流向、策略类型、服务
类型、源地址范围、目的地址范围、规则生效时间,然后指定规则的优先级,点击<新增>按
钮手动添加条目。
- 131 -
双核全千兆企业 VPN 路由器
图 9.28 区段间访问规则设置界面-访问规则
数据流向
名称
策略类型
服务类型
源地址范围
目的地址范围
规则生效时间
箭头方向代表数据流向和受控地址所在的区段。箭头起始方向表示源
地址所在区段,终止方向表示目的地址所在区段。点击转换按钮,可
以改变数据流向。
输入一个名称来标识该访问规则。
在下拉列表中选择适用于本条规则的策略类型,可选择阻塞或者允许。
选择“阻塞”,则符合该条规则的所有数据包将无法通过路由器;
选择“允许”,则符合该条规则的数据包能通过路由器。
在下拉列表中选择本条规则所针对的服务类型,不属于指定范围内的
服务将不会应用该规则。例如策略类型选择为“阻塞”,只选定了FTP
一种服务类型时,其他服务类型的数据包仍旧可以通过路由器。如需
新建服务类型,请参考
在下拉列表中选择本条规则限制的源地址范围。源地址必须是数据流
向起始方向区段内的地址。路由器预定义“IPGROUP_ANY”地址组
表示所有地址。如需新建地址组,请参考
在下拉列表中选择本条规则限制的目的地址范围。目的地址必须是数
据流向终止方向区段内的地址。路由器预定义“IPGROUP_ANY”地
址组表示所有地址。如需新建地址组,请参考
在下拉列表中选择本条规则生效的时间表。如需新建时间表,请参考
- 132 -
双核全千兆企业 VPN 路由器
添加到指定位
置
勾选该项后,可以将当前设置的访问规则添加到规则列表中指定序号
的位置。默认情况下,新增规则显示在规则列表的最后。规则条目在
规则列表中的位置越靠前,即规则序号数字越小,该规则优先级越高。
表 9.19 区段间访问规则设置界面条目项说明
说明:
除了“IPGROUP_ANY”地址组,路由器会为每个地址组自动添加一个与其相对应的“!”(非)地
址组,表示除了该地址组内地址之外的所有地址。
新增规则信息会在规则列表中显示出来。图 9.29中规则效果是:任何时间,default区段
内的主机,都不能访问dmz区段mail_svr地址组内的地址,此例为9.4.5 区段间策略应用中应
用二的一条策略。如需了解区段间访问规则更多应用,可参考9.4.5 区段间策略应用。
图 9.29 区段间访问规则设置界面-规则列表
配置区段间访问规则步骤:
1) 创建服务类型。非必须操作。路由器预定义了如HTTP、FTP、TELNET等常用服务类型,
如果需要使用的服务类型为预定义的,则不必此项操作。具体操作步骤请参考7.4服务类
2) 创建区段。非必须操作,如果在已有区段上创建策略,则不必此项操作。创建界面:基
本设置 >> 区段设置 >> 区段设置,在此界面的左列点击< + >按钮,在显示的新增区
段里设置区段名称,点击<确定>按钮完成。
- 133 -
双核全千兆企业 VPN 路由器
3) 创建地址组。非必须操作。路由器已预定义部分地址组,如果需要限制的地址组为预定
4) 创建时间组。非必须操作。路由器已预定义“Any”时间组,表示任何时间,如果需要限
制的时间为此,则不必此项操作。具体操作步骤请参考7.2时间管理。
5) 创建区段间访问规则。必须操作。创建界面:安全管理 >> 访问策略 >> 区段间访问规
则,在区段选择下拉列表中勾选所需区段,点击<显示>按钮;再在显示的访问规则区域,
设置规则名称,选择所需的数据流向、策略类型、服务类型、源地址范围、目的地址范
围、规则生效时间,然后指定规则的优先级,点击<新增>按钮完成。
6) 编辑区段间访问规则。非必须操作。编辑界面:安全管理 >> 访问策略 >> 区段间访问
规则,在此界面的规则列表区域,可以查看、编辑和删除策略。
9.4.5
区段间策略应用
1. 应用一
应用需求:
创建策略,使区段 WAN1 的报文不能到达区段 LAN1 内 IP 地址为 1.1.1.1 的主机。该策
略生效效果如下所示:
图 9.30 区段间策略应用一
配置步骤:
1) 创建区段 WAN1 和 LAN1。创建界面:基本设置 >> 区段设置 >> 区段设置。区段具体
设置请根据实际需求进行。
2) 创建地址组。创建界面:对象管理 >> 地址管理。
进入标签页地址组,设置地址组名称为主机,点击<新增>按钮完成。
名称 主机
表 9.20 区段间策略应用一设置地址组
- 134 -
双核全千兆企业 VPN 路由器
进入标签页地址,设置地址名称为主机 IP,选择 IP 类型为 IP/Mask,输入 1.1.1.1/32,
点击<新增>按钮完成。
名称 主机 IP
IP 类型
IP/Mask
1.1.1.1/32
表 9.21 区段间策略应用一设置地址
进入标签页视图,组名选择主机,在可选用户中,选中主机 IP,点击< >> >按钮,将主
机 IP 移到包含用户中,点击<设置>按钮完成。
3) 创建区段间访问规则。创建界面:安全管理 >> 访问策略 >> 区段间访问规则。在区段
选择下拉列表中勾选 WAN1 <-> LAN1,点击<显示>按钮,然后按照如下所示设置规则,
点击<新增>按钮完成。
数据流向 WAN1 -> LAN1
名称
策略类型
服务类型
源地址范围
目的地址范围
规则生效时间
WAN1 到 LAN1 策略 1
阻塞
ALL
IPGROUP_ANY
主机
Any
表 9.22 区段间策略应用一设置区段间访问规则
2. 应用二
应用需求:
如图 9.31所示,要将dmz区段中IP地址为 1.2.2.5/32 的服务器 1 仅作本地邮件服务器使
用。
所需策略:
图 9.31 区段间策略应用二
- 135 -
双核全千兆企业 VPN 路由器
在此应用中,需要创建八个策略以控制电子邮件信息流,前四个策略阻塞本地邮件服务
器的所有对外访问和被访问,后四个策略允许本地邮件服务器进行邮件相关通讯。因策略具
有优先级,添加中需保证后四个策略的优先级高于前四个策略。
第一个策略:禁止 default 区段中的用户访问 dmz 区段的本地邮件服务器。
第二个策略:禁止 dmz 区段中的本地邮件服务器访问 default 区段的用户。
第三个策略:禁止 wan1 区段中的用户访问 dmz 区段的本地邮件服务器。
第四个策略:禁止 dmz 区段中的本地邮件服务器访问 wan1 区段的所有地址。
第五,六个策略:允许 default 区段中的内部用户发送并检索来自 dmz 区段中本地邮件服
务器的电子邮件。
第七,八个策略:允许 dmz 区段中的本地邮件服务器发送并检索来自 wan1 区段中远程
邮件服务器的电子邮件。
应用策略所需环境:
在创建策略控制区段间信息流之前,必须先设计应用上述策略的环境。
通过快速配置设置区段:
设置 wan1 区段并将其 IP 地址指派为 1.1.1.1/24,网关设置为 1.1.1.250;
设置 default 区段并将其 IP 地址指派为 10.1.1.1/24;
设置 dmz 区段并将其 IP 地址指派为 1.2.2.1/24。
创建在策略中使用的地址:
设置名称为 mail_svr 的地址组并将其 IP 地址指派为 1.2.2.5/32;
设置名称为 r-mail_svr 的地址组并将其 IP 地址指派为 2.2.2.5/32。
创建静态路由:
设置到 1.2.2.5/32 的静态路由,出接口为 dmz_eth1。
完成以上设置后,即可创建必需的策略,使受保护的网络内外可传输、检索和发送电子
邮件。
配置步骤:
1) 通过快速配置设置区段。创建界面:快速配置 >> 快速配置。在此界面单击<下一步>,
可以开始设置,每一步设置内容如下。在完成快速配置向导界面检查配置参数无误之后,
单击<完成>,使配置生效。
系统模式设置 NAT 网关模式
- 136 -
双核全千兆企业 VPN 路由器
NAT 模式-接口
模式设置
NAT 模式
-NAT-WAN1
NAT 模式
-NAT-LAN 设
置
NAT 模式
-NAT-DMZ 设
置
WAN 数量:单 WAN 口
硬件 DMZ:开启
连接方式:静态 IP
IP 地址:1.1.1.1
子网掩码:255.255.255.0
网关地址:1.1.1.250
其他项保持默认。
IP 地址:10.1.1.1
子网掩码:255.255.255.0
DHCP 服务器:开启
地址池起始地址:10.1.1.2
地址池结束地址:10.1.1.254
DMZ 模式:广域网
IP 地址:1.2.2.1
子网掩码:255.255.255.0
DHCP 服务器:关闭
表 9.23 区段间策略应用二设置区段
2) 创建地址组。创建界面:对象管理 >> 地址管理。
进入标签页地址组,定义两个地址组:mail_svr 和 r-mail_svr。设置地址组名称,点击<
新增>按钮完成。 mail_svr 设置如下:
名称 mail_svr
表 9.24 区段间策略应用二设置地址组 1 r-mail_svr 设置如下:
名称 r-mail_svr
表 9.25 区段间策略应用二设置地址组 2
进入标签页地址,定义两个地址名称:mail_svr_ip 和 r-mail_svr_ip。mail_svr_ip 选择 IP
类型为 IP/Mask,输入 1.2.2.5/32。r-mail_svr_ip 选择 IP 类型为 IP/Mask,输入 2.2.2.5/32。 mail_svr_ip 设置如下:
名称 mail_svr_ip
IP 类型
IP/Mask
1.2.2.5/32
表 9.26 区段间策略应用二设置地址 1 r-mail_svr_ip 设置如下:
名称 r-mail_svr_ip
IP 类型
IP/Mask
2.2.2.5/32
表 9.27 区段间策略应用二设置地址 2
- 137 -
双核全千兆企业 VPN 路由器
进入标签页视图,组名选择 mail_svr,在可选用户中,选中 mail_svr_ip,点击< >> >按
钮,将 mail_svr_ip 移到包含用户中,点击<设置>按钮完成。
组名选择 r-mail_svr,在可选用户中,选中 r-mail_svr_ip,点击< >> >按钮,将 r-mail_svr_ip 移到包含用户中,点击<设置>按钮完成。
3) 创建静态路由。创建界面:传输控制 >> 路由设置 >> 静态路由。规则设置如下,点击
<新增>按钮完成。
名称 DMZ 静态路由 1
目的地址
子网掩码
下一跳
出接口
Metric
备注
启用/禁用规则
1.2.2.5
255.255.255.255
1.2.2.1 dmz_eth1
0
邮件服务器
启用
表 9.28 区段间策略应用二设置静态路由
4) 创建区段间访问规则。创建界面:安全管理 >> 访问策略 >> 区段间访问规则。在区段
选择下拉列表中勾选 default <-> dmz 和 wan1 <-> dmz,点击<显示>按钮,然后按照
如下所示设置规则,点击<新增>按钮完成。
说明:
以下设置中出现的“IPGROUP_LAN”地址组,是快速配置完成后,路由器自动添加的一个地址组,
其包含 IP 地址为 default 区段的 eth0 接口 IP:10.1.1.1/24。 default <-> dmz 区段间访问规则设置如下:
数据流向 default -> dmz
名称
策略类型
服务类型
源地址范围
目的地址范围
规则生效时间
Policy1
阻塞
ALL
IPGROUP_LAN mail_svr
Any
表 9.29 区段间策略应用二设置区段间访问规则 1
数据流向
名称
策略类型
服务类型 dmz -> default
Policy2
阻塞
ALL
- 138 -
双核全千兆企业 VPN 路由器
源地址范围
目的地址范围
规则生效时间 mail_svr
IPGROUP_LAN
Any
表 9.30 区段间策略应用二设置区段间访问规则 2
数据流向
名称
策略类型
服务类型
源地址范围
目的地址范围
规则生效时间 default -> dmz
Policy5
允许
SMTP
IPGROUP_LAN mail_svr
Any
表 9.31 区段间策略应用二设置区段间访问规则 3
数据流向
名称
策略类型
服务类型
源地址范围
目的地址范围
规则生效时间 default -> dmz
Policy6
允许
POP3
IPGROUP_LAN mail_svr
Any
表 9.32 区段间策略应用二设置区段间访问规则 4 wan1 <-> dmz 区段间访问规则设置如下:
数据流向 wan1 -> dmz
名称
策略类型
服务类型
源地址范围
目的地址范围
规则生效时间
Policy3
阻塞
ALL r-mail_svr
IPGROUP_ANY
Any
表 9.33 区段间策略应用二设置区段间访问规则 5
数据流向
名称
策略类型
服务类型
源地址范围 dmz -> wan1
Policy4
阻塞
ALL
IPGROUP_ANY
- 139 -
双核全千兆企业 VPN 路由器
目的地址范围
规则生效时间 r-mail_svr
Any
表 9.34 区段间策略应用二设置区段间访问规则 6
数据流向
名称
策略类型
服务类型
源地址范围
目的地址范围
规则生效时间
数据流向
名称
策略类型
服务类型
源地址范围
目的地址范围
规则生效时间 dmz -> wan1
Policy7
允许
SMTP mail_svr r-mail_svr
Any
表 9.35 区段间策略应用二设置区段间访问规则 7 wan1 -> dmz
Policy8
允许
POP3 mail_svr r-mail_svr
Any
表 9.36 区段间策略应用二设置区段间访问规则 8
9.4.6 URL
过滤
URL(Uniform Resource Locator,统一资源定位符),即广域网中标识资源位置的网络
地址。URL 过滤能够实现对广域网网址的过滤,方便对局域网访问广域网的通信进行管理。
- 140 -
双核全千兆企业 VPN 路由器
进入界面:安全管理 >> 访问策略 >> URL 过滤
图 9.32 URL 过滤设置界面
功能设置
若需要严格控制局域网对广域网的访问,推荐勾选“启用 URL 地址过滤功能”,并根据实
际情况选择一种过滤规则。
URL 地址过滤规则
名称
组
过滤方式
关键字
URL 地址
输入该规则条目的名称。
选择受规则控制的IP地址范围,由对象管理中的地址组表示。
IPGROUP_ANY为系统默认设置的地址组,表示所有计算机,如需
选择一种过滤方式。“关键字”过滤即所有包含指定字符的 URL 地
址全都进行过滤;“完整 URL”过滤则仅当 URL 地址完全匹配您输
入的完整 URL 地址时才能进行过滤。
当过滤方式为“关键字”的时候,可在此输入指定的关键字字符。
当过滤方式为“完整 URL”的时候,可在此输入完整的广域网 URL
地址。
表 9.37 URL 过滤设置界面项说明
规则列表
在规则列表中,可以对已保存的 URL 地址条目进行相应设置。
- 141 -
双核全千兆企业 VPN 路由器
应用举例
某企业希望禁止局域网内的主机访问网站:www.aabbcc.com,同时还禁止下载“.exe”
后缀的文件。
可以通过设置 URL 过滤实现此需求。您需要设置完整 URL 过滤“www.aabbcc.com”,
以及关键字过滤“.exe”,如下图,设置完成后点击<新增>按钮保存生效。
9.5
应用控制
9.5.1
应用限制
可以在此启用并设置应用限制功能。
进入界面:安全管理 >> 应用控制 >> 应用限制
- 142 -
双核全千兆企业 VPN 路由器
图 9.33 应用限制设置界面
功能设置
勾选“启用应用限制功能”后,应用限制的相关设置才会生效,应用限制生效后局域网
指定用户对指定软件的网络应用将受到限制。
应用限制设置
受控地址组
限制应用
生效时间
备注
启用/禁用规则
在下拉菜单中选择所需限制的组。如需新建组,请参考7.1地址管理
。
可以点击“设置列表”在弹出的选择框中对应用进行设置。可以设
置的应用包括即时通信、P2P 软件、金融软件、游戏、视频软件、
网页游戏、基础应用和代理。默认为对除了基础应用和代理的所有
应用进行限制。
添加对本条规则的说明信息。
选择启用或禁用本条规则。
表 9.38 应用限制设置界面项说明
规则列表
在规则列表中,可以对已保存的应用限制进行相应设置。
图 9.33序号 1 规则的含义:组IPGROUP_ANY进行了应用限制,点击“查看”可在弹出
的选择框中看到受限制的应用。应用限制时间为所有时间。该规则已启用。
- 143 -
双核全千兆企业 VPN 路由器
9.5.2
例外管理
可以在此对例外 QQ 号码进行相关设置,使其不受应用限制的约束。
进入界面:安全管理 >> 应用控制 >> 例外管理
图 9.34 例外管理界面
启用例外 QQ 号设置
勾选“启用例外 QQ 号码功能”后,例外 QQ 号的相关设置才会生效,才可以使设置的
例外 QQ 号码不受应用限制的约束。
例外 QQ 号设置
QQ 号
备注
指定不受应用限制约束的 QQ 号码,可以同时输入多个 QQ 号码进
行批量添加。
添加对本条规则的说明信息。
表 9.39 例外 QQ 号设置界面项说明
例外 QQ 号列表
在例外 QQ 号列表中,可以查看例外 QQ 信息,也可以对已保存的例外 QQ 号码进行相
应设置。
9.5.3
数据库
可以在此进行应用特征数据库的升级。
进入界面:安全管理 >> 应用控制 >> 数据库
- 144 -
双核全千兆企业 VPN 路由器
图 9.35 数据库界面
应用特征数据库即“应用限制”界面限制列表中的所有应用,请在我司官方网站下载最
新数据库,单击<选择文件>按钮,选择保存路径下的文件,点击<升级>进行数据库升级。
- 145 -
双核全千兆企业 VPN 路由器
第10章 VPN
VPN (Virtual Private Network,虚拟专用网)是一个建立在公用网(通常是因特网)上
的专用网络,但因为这个专用网络只是逻辑存在并没有实际物理线路,故称为虚拟专用网。
随着因特网的发展壮大,越来越多的数据需要在因特网上进行传输共享,不过当企业将
自身网络接入因特网时,虽然各地的办事处等外部站点可以很方便地访问企业网络,但同时
也把企业内部的私有数据暴露给因特网上的所有用户。于是在这种开放的网络环境上搭建专
用线路的需求日益强烈,VPN 应运而生。
VPN 通过隧道技术在两个站点间建立一条虚拟的专用线路,使用端到端的认证和加密保
证数据的安全性。典型拓扑图如所示。
图 10.1 VPN 典型拓扑
隧道是通过对数据报的封装实现的,因为数据报封装和解封的过程都是在路由器上完成,
所以对于用户来说是透明的。TL-ER6520G 支持的隧道协议包括三层隧道协议 IPsec 和二层
隧道协议 L2TP/PPTP。
10.1 IKE
在 IPsec VPN 中,为了保证信息的私密性,通信双方需要使用彼此都知道的信息来对数
据进行加密和解密,所以在通信建立之初双方需要协商安全性密钥,这一过程便由 IKE
(Internet Key Exchange,互联网密钥交换)协议完成。
IKE 其实并非一个单独的协议,而是三个协议的混合体。这三个协议分别是 ISAKMP
(Internet Security Association and Key Management Protocol,互联网安全性关联和密钥管
理协议),该协议为交换密钥和 SA(Security Association,安全联盟)协商提供了一个框架;
Oakley 密钥确定协议,该协议描述了密钥交换的具体机制;SKEME 安全密钥交换机制,该协
议描述了与 Oakley 不同的另一种密钥交换机制。
整个 IKE 协商过程被分为两个阶段。第一阶段,通信双方将协商交换验证算法、加密算
法等安全提议,并建立一个 ISAKMP SA,用于在第二阶段中安全交换更多信息。第二阶段,
使用第一阶段中建立的 ISAKMP SA 为 IPsec 的安全性协议协商参数,创建 IPsec SA,用于
对双方的通信数据进行保护。至此,IKE 协商完毕。
- 146 -
双核全千兆企业 VPN 路由器
10.1.1 IKE
安全策略
在 TL-ER6520G 路由器上,可以对 IKE 协商过程的相关参数进行设置。
进入界面:VPN >> IKE >> IKE 安全策略
安全策略名称
交换模式
封装模式
图 10.2 IKE 安全策略设置界面
为 IKE 安全策略命名。设置好的 IKE 安全策略可以被应用在 IPsec
安全策略中。
设置 IKE 第一阶段协商的交换模式,该交换模式必须与对端相同。
交换模式有以下两种:
主模式(Main mode):该模式双方交换报文多,提供身份保护,适
用于对身份保护要求较高的场合。
野蛮模式(Aggressive mode):又称主动模式,该模式不提供身份
保护,双方交换报文少,协商速度快,适用于对身份保护要求不高
的场合。
设置 IKE 第一阶段协商的封装模式,该封装模式必须与对端相同。
封装模式有以下两种:
隧道模式(Tunnel mode):在该模式下,AH 或 ESP 插在原始 IP
报文头之前,另外生成一个新的报文头放到 AH 或 ESP 之前。从安
全性来讲,隧道模式优于传输模式。适用于更普遍的 VPN 应用。
传输模式(Transport mode):在该模式下,AH 或 ESP 被插入到 IP
报文头之后但在所有传输层协议之前,或所有其他 IPSec 协议之前。
适用于主机直接访问设备时之间的加密传输。
- 147 -
双核全千兆企业 VPN 路由器
协商模式
模式配置
本地/对端 ID 类型
本地/对端 ID
安全提议
预共享密钥
生存时间
DPD 检测开启
DPD 检测周期
设置 IKE 协商的模式,该协商模式不必与对端相同。协商模式有以
下两种:
初始者模式(Initiator mode):配置该模式后,IKE 才能主动发起协
商。
响应者模式(Responder mode):配置该模式后,IKE 不会主动发
起协商,需要等待对端发起协商。
设置是否开启模式配置。开启模式配置后,当 VPN 客户端请求 IP
地址时,将会从配置的 IP 地址池里分配 IP 给客户端。
设置本地和对端的 ID(Identity,身份标识)类型,用于进行 ID 的
交换与验证,可以选择“IP 地址”或“NAME”,通信双方的设置需
保持一致。
ID 类型选择“IP 地址”时,无需进行设置;ID 类型选择“NAME”
时,可自定义本地/对端的 ID。路由器的“本地 ID”需与通信对端
的“对端 ID”保持一致,而“对端 ID”则需与通信对端的“本地 ID”
保持一致。
选择用于IKE协商第一阶段的安全提议,如果下拉菜单中没有想选择
的条目,请进入10.1.2 IKE安全提议页面创建新条目。主模式下,最
多可以选择四条不同的安全提议;野蛮模式下,可以选择一条安全
提议。
设置通信双方互相认证的密钥,双方必须使用同一个预共享密钥。
设定 ISAKMP SA 的生存时间。
DPD (Dead Peer Detect,对端存活检测)开启后,IKE 一端能够
定时主动检测对端的在线状态。
当开启 DPD 检测时可设置检测周期。
表 10.1 IKE 安全策略界面项说明
新增的条目会在 IKE 安全策略列表中显示出来,如下图所示。
图 10.3 IKE 策略列表
如有需要,可以点击条目后的< >按钮进行编辑。
10.1.2 IKE
安全提议
进入界面:VPN >> IKE >> IKE 安全提议
- 148 -
双核全千兆企业 VPN 路由器
图 10.4 IKE 安全提议设置界面
安全提议名称
验证算法
加密算法
DH 组
为 IKE 安全提议命名。设置好的 IKE 安全提议可以被应用在 IKE 安全
策略中。
选择应用于 IKE 会话的验证算法。路由器支持以下验证算法:
MD5(Message Digest Algorithm, 消息摘要算法):对一段消息产生
128bit 的消息摘要,防止消息被篡改。
SHA1(Secure Hash Algorithm, 安全散列算法):对一段消息产生
160bit 的消息摘要,比 MD5 更难破解。
选择应用于 IKE 会话的加密算法。路由器支持以下加密算法:
DES(Data Encryption Standard, 数据加密标准):使用 56bit 的密
钥对 64bit 数据进行加密,64bit 的最后 8 位用于奇偶校验。3DES 则为
三重 DES,使用三个 56bit 的密钥进行加密。
AES ( Advanced Encryption Standard , 高 级 加 密 标 准 ):
AES128/192/256 表示使用长度为 128/192/256 bit 的密钥进行加密。
Diffie-Hellman 算法的组信息,用于产生加密 IKE 隧道的会话密钥。
DH1/2/5 分别对应着 768/1024/1536 bit 的 DH 组。
表 10.2 IKE 安全提议界面项说明
新增的条目会在 IKE 安全提议列表中显示出来,如下图所示。
图 10.5 IKE 安全提议列表
如有需要,可以点击条目后的< >按钮进行编辑。
10.2 IPsec
IPsec(IP Security,IP 安全性)是一系列服务和协议的集合,在 IP 网络中保护端对端通
信的安全性、防止网络攻击。
- 149 -
双核全千兆企业 VPN 路由器
为了实现安全通信,通信双方的 IPsec 协议必须协商确定用于编码数据的具体算法、用
于理解对方数据格式的安全协议,并通过 IKE 交换解密编码数据所需的密钥。
在 IPsec 中有两个重要的安全性协议 AH(Authentication Header, 鉴别首部)和 ESP
(Encapsulating Security Payload, 封装安全性载荷)。AH 协议用于保证数据的完整性,若
数据报文在传输过程中被篡改,报文接收方将在完整性验证时丢弃报文;ESP 协议用于数据
完整性检查以及数据加密,加密后的报文即使被截取,第三方也难以获取真实信息。
10.2.1 IPsec
安全策略
进入界面:VPN >> IPsec >> IPsec 安全策略
图 10.6 IPsec 安全策略设置界面
启用 IPsec 功能
只有勾选“启用”后,路由器才能应用 IPsec。
- 150 -
双核全千兆企业 VPN 路由器
IPsec 安全策略设置
安全策略名称
启用安全策略
本地子网范围
对端子网范围
选择接口
对端网关
协商方式
IKE 安全策略
安全提议
PFS
生存时间
入 SPI
入 ESP MD5 密钥
入 ESP 3DES 密钥
出 SPI
出 ESP MD5 密钥
出 ESP 3DES 密钥
为 IPsec 安全策略命名。
选择启用或禁用当前策略条目。
设定本地子网地址,以子网掩码值划分地址范围。
设定对方子网地址,以子网掩码值划分地址范围。
指定本地使用的接口;对端网关设置的"对端网关地址"必须与该接
口的 IP 地址相同。
设置对端网关,可以填写对端的 IP 地址或域名。可配置"0.0.0.0",
表示任意地址。
建立 IPsec 安全隧道可以有两种协商方式。IKE 为自动协商,手动
模式则需手动设定相关的安全参数。
选择“IKE协商”时,可以指定相应的IKE安全策略。如果下拉菜单
中没有想选择的条目,请进入10.1.1 IKE安全策略页面创建新条目。
指定相应的IPsec安全提议。如果下拉菜单中没有想选择的条目,请
PFS(Perfect Forward Secrecy, 完善的前向安全性) 特性使得 IKE
第二阶段协商生成一个新的密钥材料,该密钥材料与第一阶段协商
生成的密钥材料没有任何关联,这样即使 IKE 第一阶段的密钥被破
解,第二阶段的密钥仍然安全。如果没有使用 PFS,第二阶段的密
钥将根据第一阶段生成的密钥材料来产生,一旦第一阶段的密钥被
破解,用于保护通信数据的第二阶段密钥也岌岌可危,这将严重威
胁到双方的通信安全。PFS 是通过 DH 算法实现的,通信双方的 PFS
设置需保持一致。
设定 IPsec SA 的生存时间。
选择“手动模式”时,可以设定 SPI 参数。SPI 与隧道对端网关地
址、协议类型三个参数共同标识一个 IPsec 安全联盟,通信对端的
“出 SPI”值必须与此值相同。
当安全提议指定 IPsec 使用“ESP”协议时,可以设定 ESP MD5
验证算法的密钥。通信对端的“出 ESP MD5 密钥”必须与此值相
同。
当安全提议指定 IPsec 使用“ESP”协议时,可以设定 ESP 3DES
加密算法的密钥。通信对端的“出 ESP 3DES 密钥”必须与此值相
同。
选择“手动模式”时,可以设定 SPI 参数。SPI 参数唯一标识一个
IPsec 安全联盟,通信对端的“入 SPI”值必须与此值相同。
当安全提议指定 IPsec 使用“ESP”协议时,可以设定 ESP MD5
验证算法的密钥。通信对端的“入 ESP MD5 密钥”必须与此值相
同。
当安全提议指定 IPsec 使用“ESP”协议时,可以设定 ESP 3DES
加密算法的密钥。通信对端的“入 ESP 3DES 密钥”必须与此值相
同。
表 10.3 IPsec 安全策略界面项说明
新增的条目会在 IPsec 安全策略列表中显示出来,如下图所示。
- 151 -
双核全千兆企业 VPN 路由器
图 10.7 IPsec 安全策略列表
如有需要,可以点击条目后的< >按钮进行编辑,点击< >按钮启用条目,点击< >
按钮禁用条目。
说明:
子网掩码值的相关设置请参考附录 A 常见问题中的问题 4。
10.2.2 IPsec
安全提议
进入界面:VPN >> IPsec >> IPsec 安全提议
安全提议名称
安全协议
AH 验证算法
图 10.8 IPsec 安全提议设置界面
为 IPsec 安全提议命名。设置好的 IPsec 安全提议可以被应用在
IPsec 安全策略中。
选择要使用的协议。
当选择 AH 安全协议时可设定 AH 验证算法。路由器支持以下验证算
法:
MD5(Message Digest Algorithm,消息摘要算法):对一段消息产
生 128bit 的消息摘要,防止消息被篡改。
SHA1(Secure Hash Algorithm,安全散列算法):对一段消息产生
160bit 的消息摘要,比 MD5 更难破解。
- 152 -
双核全千兆企业 VPN 路由器
ESP 验证算法
ESP 加密算法
当选择 ESP 安全协议时可设定 ESP 验证算法。路由器支持以下验证
算法:
MD5(Message Digest Algorithm,消息摘要算法):对一段消息产
生 128bit 的消息摘要,防止消息被篡改。
SHA1(Secure Hash Algorithm,安全散列算法):对一段消息产生
160bit 的消息摘要,比 MD5 更难破解。
当选择 ESP 安全协议时可设定 ESP 加密算法。路由器支持以下加密
算法:
DES(Data Encryption Standard,数据加密标准):使用 56bit 的密
钥对 64bit 数据进行加密,64bit 的最后 8 位用于奇偶校验。3DES
则为三重 DES,使用三个 56bit 的密钥进行加密。
AES ( Advanced Encryption Standard , 高 级 加 密 标 准 ):
AES128/192/256 表示使用长度为 128/192/256bit 的密钥进行加密。
表 10.4 IPsec 安全提议界面项说明
新增的条目会在 IPsec 安全提议列表中显示出来,如下图所示。
图 10.9 IPsec 安全提议列表
如有需要,可以点击条目后的< >按钮进行编辑。
10.2.3 IPsec
安全联盟
在此将列出路由器上所有已成功建立的 IPsec 安全联盟相关信息。
进入界面:VPN >> IPsec >> IPsec 安全联盟
图 10.10 IPsec 安全联盟界面
在图 10.10中路由器使用eth2 接口进行隧道连接,eth2 接口的IP地址为 192.168.10.100,
对端网关地址为 172.29.85.199。IPsec隧道的安全提议等相关设置需与对端路由设置相同。
由于安全联盟是单向的,所以当 IPsec 隧道成功建立后,每条隧道会产生一对出和入的
安全联盟。出和入的 SPI 值是不同的,但与对端的入和出 SPI 值相同,即本端方向 in 的 SPI
值与对端方向 out 的 SPI 值相同。这条隧道在对端的连接信息如下图所示,SPI 值为 IKE 自动
协商得出。
- 153 -
双核全千兆企业 VPN 路由器
10.2.4 NAT
穿透
在实际网络应用中,IPsec VPN 通信双方的物理连接线路中可能存在着 NAT 网关,当数
据包经过 NAT 网关时,其 IP 地址或端口号会改变,这就导致 VPN 隧道对端收到数据包后验
证失败,数据包被直接丢弃。NAT 穿透功能可以解决这一问题,实现方法为在原 ESP 协议的
报文外添加新的 IP 首部和 UDP 首部。数据包的格式为:新 IP/UDP 首部|ESP 首部|IP 首部|数
据。由于 NAT 网关只会改变最外层的 IP 首部,而且 ESP 校验不包含 IP 首部,所以此时 IPsec
VPN 的通信不会受到影响。但是 NAT 穿透只适用于 ESP 协议,AH 协议的校验包含了 IP 首部,
因此无法与 NAT 共存。
10.3 PPTP
PPTP(Point to Point Tunneling Protocol,点到点隧道协议)是二层 VPN 隧道协议,使
用 PPP(Point to Point Protocol, 点到点协议)进行数据封装,并都为数据增添额外首部。
10.3.1 PPTP
服务器设置
进入界面:VPN >>PPTP >> PPTP 服务器设置
- 154 -
双核全千兆企业 VPN 路由器
图 10.11 PPTP 服务器设置界面
全局管理设置
PPTP 隧道维护时间间隔
PPP 链路维护时间间隔
设置 PPTP 隧道维护的时间间隔。范围是 60 秒至 1000 秒。
设置 PPTP 隧道里的 PPP 隧道维护的时间间隔。范围是 0 秒
至 120 秒,0 代表不发送。
表 10.5 PPTP 服务器设置-全局管理设置界面项说明
隧道设置
用户名
密码
本地地址
DNS 地址
绑定区段
加密方式
地址池
组网模式
最大会话数
对端子网
设置 PPTP 认证的用户名。客户端与服务器端的设置需一致。
设置 PPTP 认证的密码。客户端与服务器端的设置需一致。
设置 PPTP 隧道本端使用的 IP 地址。
设置 DNS 服务器的地址。
请选择绑定的区段。当前用户仅对绑定的区段提供 PPTP 服务。
选择是否对隧道进行加密。若启用,则使用 MPPE 对 PPTP 隧道加
密。
服务器分配给客户端的地址范围,由地址池名称所对应的 IP 地址范
围确定。
当连入隧道的用户为接入路由器的一个网段时,请选择“站点到站
点”模式;当连入隧道的用户是单个计算机时,请选择“PC 到站点”
模式。
当组网模式选择“PC 到站点”时,可进行隧道容纳最大会话数的
设置。
PPTP 隧道对端局域网所使用的 IP 地址范围(一般可以填 VPN 隧道
对端设备的 LAN 口 IP 地址范围),由 IP 和子网掩码组成。
- 155 -
双核全千兆企业 VPN 路由器
启用/禁用 选择启用或禁用本 PPTP 隧道。
表 10.6 PPTP 服务器设置-隧道设置界面项说明
新增的条目会在隧道设置列表中显示出来,如下图所示。
图 10.12 PPTP 隧道设置列表
如有需要,可以点击条目后的< >按钮进行编辑,点击< >按钮启用条目,点击< >
按钮禁用条目。
10.3.2 PPTP
服务器隧道信息
在此将列出路由器上所有 PPTP 隧道的相关信息。
进入界面:VPN >> PPTP >> PPTP 服务器隧道信息
图 10.13 PPTP 隧道信息界面
图 10.13中显示 1 条目表示目前这条隧道已成功建立,每条隧道会产生会话ID数值对,
每个数值对都由两个数字ID组成,客户端和服务器端显示的数值对是对应的。
10.4 L2TP
L2TP(Layer 2 Tunneling Protocol, 第二层隧道协议)是二层 VPN 隧道协议,使用 PPP
(Point to Point Protocol, 点到点协议)进行数据封装,并都为数据增添额外首部。
10.4.1 L2TP
服务器设置
进入界面:VPN >>L2TP >> L2TP 服务器设置
- 156 -
双核全千兆企业 VPN 路由器
隧道设置
用户名
密码
本地地址
DNS 地址
绑定区段
加密方式
地址池
组网模式
最大会话数
图 10.14 L2TP 服务器设置界面
全局管理设置
L2TP 隧道维护时
间间隔
PPP 链路维护时
间间隔
设置 L2TP 隧道维护的时间间隔。范围是 60 秒至 1000 秒。
设置 L2TP 隧道里的 PPP 隧道维护的时间间隔。范围是 0 秒至 120
秒。0 代表不发送。
表 10.7 L2TP 服务器设置-全局管理设置界面项说明
设置 L2TP 认证的用户名。客户端与服务器端的设置需一致。
设置 L2TP 认证的密码。客户端与服务器端的设置需一致。
设置 L2TP 隧道本端使用的 IP 地址。
设置 DNS 服务器的地址。
请选择绑定的区段。当前用户仅对绑定的区段提供 L2TP 服务。
选择是否对隧道进行加密。若启用,则使用 IPsec 对 L2TP 隧道加
密。
服务器分配给客户端的地址范围,由地址池名称所对应的 IP 地址范
围确定。
当连入隧道的用户为接入路由器的一个网段时,请选择“站点到站
点”模式;当连入隧道的用户是单个计算机时,请选择“PC 到站点”
模式。
当组网模式选择“PC 到站点”时,可进行隧道容纳最大会话数的设
置。
- 157 -
双核全千兆企业 VPN 路由器
对端子网
启用/禁用
L2TP 隧道对端局域网所使用的 IP 地址范围(一般可以填 VPN 隧道
对端设备的 LAN 口 IP 地址范围),由 IP 和子网掩码组成。
选择启用或禁用本 L2TP 隧道。
表 10.8 L2TP 服务器设置-隧道设置界面项说明
新增的条目会在隧道设置列表中显示出来,如下图所示。
图 10.15 L2TP 服务器设置界面
如有需要,可以点击条目后的< >按钮进行编辑,点击< >按钮启用条目,点击< >
按钮禁用条目。
10.4.2 L2TP
服务器隧道信息
在此将列出路由器上所有里 L2TP 隧道的相关信息。
进入界面:VPN >> L2TP >> L2TP 服务器隧道信息
图 10.16 L2TP 隧道信息界面
图 10.16中显示 1 条目表示目前这条隧道已成功建立,每条隧道会产生隧道ID数值对和
会话ID数值对,每个数值对都由两个数字ID组成,客户端和服务器端显示的数值对是对应的。
每次建立隧道连接时都会生成一组隧道 ID 和一组会话 ID,一般情况下,同一路由器上不
同隧道的 ID 数值对不会相同,即使是同一条隧道,在断开已有连接后重新建立连接,也可能
会产生不同的 ID 数值对。
- 158 -
双核全千兆企业 VPN 路由器
第11章 系统服务
11.1
电子公告
通过电子公告功能可向局域网内指定用户组发送公告消息。可以在此启用电子公告功能,
编辑公告内容并向指定用户发送。
进入界面:系统服务 >> 电子公告
公告设置
公告名称
标题
图 11.1 公告设置界面
综合设置
勾选“启用电子公告功能”后,设置的公告才会生效。设置生效区段,路由器仅对生效
区段上符合规则的主机发布电子公告。局域网用户在访问外网网页时将会收到公告消息。公
告周期可以让路由器每隔指定的时间发布一次公告,周期时长不能小于 5 分钟。
勾选“启用日志记录”后路由器会记录相关的公告日志。
输入公告的名称。
输入公告的标题,该项将作为所发布公告的标题。
- 159 -
双核全千兆企业 VPN 路由器
内容
公告对象
生效时间
发布者
备注
是否生效
输入公告的内容。
指定被公告的局域网内对象。可以选择“地址组”作为公告对象,
也可以不选择,则默认所有IP为公告对象,在条目中显示为Any。如
输入公告发布者名称。
添加对本条规则的说明信息。
选择当前设置规则是否生效。
表 11.1 公告设置界面项说明
新增的条目会在公告列表里显示出来,如下图所示。
图 11.2 公告列表界面
如有需要,可以点击条目后的< >按钮进行编辑,点击< >按钮启用条目,点击< >
按钮禁用条目。
11.2
动态DNS
广域网中,许多 ISP 使用 DHCP 分配公共 IP 地址,因此用户端获得的公网 IP 是不固定
的。当其它用户需要访问此类 IP 动态变化的用户端时,很难实时获取它的最新 IP 地址。
DDNS(Dynamic DNS,动态域名解析服务)服务器则为此类用户端提供了一个固定的
域名,并将其与用户端最新的 IP 地址进行关联。当服务运行时,DDNS 用户端把最新的 IP 地
址通知 DDNS 服务器,服务器会更新 DNS 数据库中域名与 IP 的映射关系。而对于访问它的
用户端,将会得到正确的 IP 地址并成功访问服务端。DDNS 常用于 Web 服务器搭建个人网站、
FTP 服务器提供文件共享等,访问的用户可以便捷地获取服务。
路由器作为动态 DNS 客户端,本身并不提供动态 DNS 服务。因此,在使用此功能之前,
必须进入动态 DNS 服务提供商的官方主页注册,以获得用户名、密码和域名等信息。
TL-ER6520G 路由器提供花生壳动态 DNS 客户端。
进入界面:系统服务 >> 动态 DNS >> 花生壳动态域名
- 160 -
双核全千兆企业 VPN 路由器
服务接口
用户名
密码
服务开关
域名信息
图 11.3 花生壳动态域名登录界面
选择登录花生壳动态域名服务器的接口。
填入在花生壳网站注册的用户名。若还没有注册,请点击右边的链
接“注册用户名”登录花生壳网站进行注册。
填入在花生壳网站注册该用户名时所设置的密码。
选择启用或禁用花生壳动态域名服务。
显示当前登录的 DDNS 用户所拥有的域名。用户可以申请多个域名,
点击“查看所有域名”显示当前用户申请的所有域名,但最多显示
16 条。
表 11.2 花生壳动态域名登录界面项说明
11.3 UPnP
服务
UPnP(Universal Plug and Play, 通用即插即用)协议,遵循此协议的不同厂商的各种
设备可以自动发现对方并进行连接。
如果应用程序支持 UPnP 协议,而局域网中的主机安装了 UPnP 组件,路由器开启了 UPnP
服务后,局域网中的主机就可以根据软件的需要自动地在路由器上打开相应的端口,使得外
部主机上的应用程序在需要时能够通过打开的端口访问内部主机上的资源,这样原本受限于
NAT 的功能便可以正常使用。例如,Windows XP 和 Windows ME 系统上安装的 MSN
Messenger,在使用音频和视频通话时就可以利用 UPnP 协议,而无需设置 NAT 相关转发规
则,对于此类传输层协议端口不固定的应用会更加方便。
进入界面:系统服务 >> UPnP 服务 >> UPnP 服务
- 161 -
双核全千兆企业 VPN 路由器
图 11.4 UPnP 服务设置界面
服务接口
对外生效接口
启用/禁用服务
指定一组接口集,所设置的接口将会开放 UPnP 服务。
指定一组接口集,该集合包含的接口将被配置以端口映射的功能。
选择启用或禁用 UPnP 服务。
表 11.3 UPnP 服务设置界面项说明
启用 UPnP 后,所有应用到 UPnP 的连接规则会显示在服务列表中,TL-ER6520G 可以
同时支持 64 条 UPnP 服务,并对已有规则进行相应设置。
说明:
应用时不仅要在路由器上启用 UPnP 服务,还需要确认主机操作系统和应用程序也支持此服务,
即 Windows XP 系统需安装 UPnP 组件;应用程序本身需支持 UPnP,如 MSN 最新版、电驴、
迅雷等。
一些木马、病毒可能会利用 UPnP 服务打开特定的端口,使局域网主机成为黑客的攻击目标,
因此需谨慎应用 UPnP 服务。
11.4 DNS
代理
可以通过本页面设置接口的 DNS 代理功能。
图 11.5 DNS 代理设置界面
- 162 -
双核全千兆企业 VPN 路由器
服务接口
出接口
选择在哪些接口上面使用 Dns proxy 功能。
指定转发的 dns 请求报文发往哪一个接口上的 dns server,如果
选择的是 auto,路由器将提供一套默认规则来选择 server(当指
定出接口时,请确认该接口有配置 dns 地址)。
表 11.4 DNS 代理设置界面项说明
新增的条目会在 DNS Proxy 规则列表里显示出来,如下图所示。
图 11.6 DNS 代理设置界面
- 163 -
双核全千兆企业 VPN 路由器
第12章 系统工具
12.1
管理账号
12.1.1
修改管理帐号
在此可以修改登录时使用的用户名和密码。
进入界面:系统工具 >> 管理账号 >> 修改管理帐号
原用户名
原密码
新用户名
新密码
确认新密码
图 12.1 修改管理帐号界面
本次登录路由器的用户名。
本次登录路由器使用的密码。
重新设置登录路由器的用户名。
重新设置登录路由器的密码。
再次输入新密码。
表 12.1 修改管理帐号界面项说明
说明:
出厂的用户名/密码是 admin/admin。更改用户名及密码并保存生效后,后续登录时请使用新用户名
及新密码。用户名和密码最多支持 50 个字符,且只能是数字和字母,区分大小写。
12.1.2
远程管理
可以在远程管理界面对允许远程登录的 IP 地址范围进行设置和修改。
进入界面:系统工具 >> 管理账号 >> 远程管理
- 164 -
双核全千兆企业 VPN 路由器
图 12.2 远程管理设置界面
远程地址范围
启用/禁用规则
设置需要从外部网络登录路由器的主机地址,可指定单个 IP 或一个
网段。
选择启用或禁用该规则。
表 12.2 远程管理设置界面项说明
新增的条目会在地址列表里显示出来,如下图所示。
图 12.3 远程管理设置界面-地址列表
如有需要,可以点击条目后的< >按钮进行编辑,点击< >按钮启用条目,点击< >
按钮禁用条目。
应用举例
某企业路由器地址为 210.10.10.50,为方便管理,希望广域网 210.10.10.0/24 网段的 IP
地址能对路由器进行远程管理。
可以通过设置 Web 服务器实现此需求。首先需要设置远端访问路由器的地址段,并选择
启用该访问规则,如下图所示:
在服务端口界面为 Web 服务器开放相应的服务端口,设置如下图所示:
- 165 -
双核全千兆企业 VPN 路由器
在浏览器地址栏输入路由器地址 210.10.10.50 登录路由器 Web 界面。
12.1.3
系统管理设置
可以在服务端口界面对 Web、Telnet 服务的端口进行设置和修改。
进入界面:系统工具 >> 管理账号 >> 系统管理设置
图 12.4 系统管理设置界面
Web 服务端口
Telnet 服务端口
Web 会话超时时间
Telnet 会话超时时
间
设置路由器的 Web 服务端口。
设置路由器的 Telnet 服务端口。
设置通过 Web 页面访问路由器的超时时间。登录 Web 界面后,用
户在该设定时间内如无任何操作,路由器将自动断开连接。
设置通过 Telnet 远程访问路由器的超时时间,远程登录路由器后,
用户在该设定时间内如无任何指令,路由器将自动断开连接。
表 12.3 系统管理设置界面项说明
说明:
设置超时时间后,新的超时时间将在下一次登录时生效。
- 166 -
双核全千兆企业 VPN 路由器
12.2
设备管理
12.2.1
恢复出厂配置
进入界面:系统工具 >> 设备管理 >> 恢复出厂配置
图 12.5 恢复出厂配置界面
点击<恢复出厂配置>按钮,路由器将会恢复所有设置的默认值。建议在网络配置错误、
组网环境变更等情况时使用此功能。
路由器出厂默认 IP 地址为 192.168.1.1,用户名/密码为 admin/admin。
12.2.2
备份与导入配置
进入界面:系统工具 >> 设备管理 >> 备份与导入配置
图 12.6 备份与导入配置界面
版本信息
显示当前路由器软件版本。
备份配置信息
单击<备份配置信息>按钮,路由器会将目前所有已保存配置导出为文件。建议在修改配
置或升级软件前备份当前的配置信息。
- 167 -
双核全千兆企业 VPN 路由器
导入配置信息
单击<浏览>按钮,选择已备份的配置文件;或者在文件路径输入框中填写完整的配置文
件路径,然后点击<导入配置文件>按钮,将路由器恢复到以前备份的配置状态。
说明:
备份及导入文件过程中请保持电源稳定,避免强行断电。
导入的配置文件版本与路由器当前配置版本差距过大,将有可能导致路由器现有配置信息丢失,
如果有重要的配置信息,请谨慎操作。
12.2.3
重启路由器
进入界面:系统工具 >> 设备管理 >> 重启路由器
图 12.7 重启路由器界面
单击<重启路由器>按钮,路由器将会重新启动。
重新启动不会丢失已保存的配置,在重启的过程中,网络连接将会暂时中断。
说明:
重启过程中请保持电源稳定,避免强行断电。
12.2.4
软件升级
进入界面:系统工具 >> 设备管理 >> 软件升级
图 12.8 软件升级界面
TP-LINK 官方网站(http://www.tp-link.com.cn)会不定期更新 TL-ER6520G 的软件升
级文件,可将升级文件下载保存在本地。登录 TL-ER6520G 路由器后进入软件升级界面,单
击<浏览>按钮,选择保存路径下的升级文件,点击<升级>进行软件升级。
- 168 -
双核全千兆企业 VPN 路由器
说明:
软件升级成功后路由器将会自动重启,在路由器重启完成前请保证电源稳定,避免强行断电。
软件升级后由于新旧版本软件的差异可能会恢复出厂默认配置,如有重要配置信息,请在升级
前备份。
12.3
流量统计
12.3.1
接口流量统计
接口流量界面显示路由器所有正在工作的接口的数据接收/发送速率,以及 WAN 口的附
加信息统计。
进入界面:系统工具 >> 流量统计 >> 接口流量统计
图 12.9 接口流量统计界面
接收/发送速率是以千比特每秒为单位进行统计的,通常所说的 1M 带宽即 1024Kbps。
接收/发送总包数统计的是数据包的总个数。接收/发送总字节数统计的则是所有数据包的总字
节数。IP 分片是指接收到的大小超过 WAN 口允许接收的最大值,需要分片传输的数据包;IP
异常包是指 IP 封装字段非正常的数据包。
12.3.2 IP
流量统计
IP 流量统计界面将显示区段与区段之间各个 IP 的即时流量信息
进入界面:系统工具 >> 流量统计 >> IP 流量统计
图 12.10 IP 流量统计界面
路由器默认勾选“启用流量统计”、“启用自动刷新”选项,启用自动刷新时,路由器每
隔 10 秒刷新一次。选择源区段与目的区段后,相应的流量统计信息将显示在流量统计列表中。
- 169 -
双核全千兆企业 VPN 路由器
12.4
诊断工具
12.4.1
诊断工具
可在诊断工具界面通过 ping 命令或 tracert 命令来诊断当前路由器的网络连接状态。
进入界面:系统工具 >> 诊断工具 >> 诊断工具
Ping 通信检测
目的 IP/域名
路由跟踪检测
目的 IP/域名
图 12.11 诊断工具界面
输入目的地址,可以是一个合法 IP 地址,也可以是一个合法域名,
如果输入地址无效将提示重新输入。在下拉菜单中选择目的地址所
属接口。点击<开始>按钮后,路由器将发送 ping 包检测目的地址
是否可以到达,并将检测结果显示在下面的方框中。
输入目的地址,可以是一个合法 IP 地址,也可以是一个合法域名,
如果输入地址无效将提示重新输入。在下拉菜单中选择目的地址所
属接口。点击<开始>按钮后,路由器将发送 tracert 包检测经过哪
些路由到达目的地址,并将检测结果显示在下面的方框中。
- 170 -
双核全千兆企业 VPN 路由器
12.4.2
在线检测
该页面用于检测接口是否在线。
进入界面:系统工具 >> 诊断工具 >> 在线检测
图 12.12 在线检测界面
接口名
检测开关
检测模式
PING 检测
DNS 检测
选择需要在线检测的接口。
选择开启或关闭在线检测。开启在线检测时,路由器将综合 PING
检测和 DNS 检测的结果判断接口是否在线.
选择自动在线检测或者手动在线检测。自动模式下,PING 检测选
择网关作为目的地址,DNS 检测选择接口 DNS 服务器作为目的地
址;手动模式下,您可以自己设置 PING 检测和 DNS 检测的目的地
址。
在手动在线检测模式下,可以输入 PING 检测的目的 IP 地址。输入
0.0.0.0 表示不进行 PING 检测。
在手动在线检测模式下,可以输入 DNS 服务器的 IP 地址。输入
0.0.0.0 表示不进行 DNS 检测。
表 12.4 在线检测界面项说明
新增的条目会在接口状态列表里显示出来,如下图所示。
图 12.13 在线检测界面-接口状态列表
如有需要,可以点击条目后的< >按钮进行编辑。
- 171 -
双核全千兆企业 VPN 路由器
12.5
时间设置
12.5.1
时间设置
时间设置界面允许对路由器的系统时间进行设置。若时间设置发生改变,将会影响一些
与其相关的功能,如防火墙规则的生效时间、PPPoE 定时拨号、日志等。
进入界面:系统工具 >> 时间设置 >> 时间设置
图 12.14 时间设置界面
当前时间
此处将显示目前系统时间及时间获取方式信息。如果想对时间进行更改,可以在下方时
间设置区进行改动。
时间设置
通过网络获取系统时
间
若路由器可以访问互联网,可选择此项进行网络校时。选择时区
后点击<设置>按钮,路由器将在内置 NTP(Network Time
Protocol, 网络校时协议)服务器地址列表中搜索可用地址,并
获取时间。若获取失败,请手动设置 NTP 服务器地址,由于 NTP
服务器并非固定不变,推荐搜索两个不同的地址,分别填入首选、
备用 NTP 服务器输入框,NTP 服务器地址可以为 IP 地址也可以
为域名。设置完毕后点击<设置>按钮,路由器会通过指定的 NTP
服务器获取网络时间。
- 172 -
双核全千兆企业 VPN 路由器
手工设置系统时间
若路由器暂时不能访问互联网,可以选择对系统时间进行手动设
置,或者点击<获取管理主机时间>按钮,系统将自动填入当前管
理主机时间信息。设置完毕后点击<设置>生效。
表 12.5 时间设置界面项说明
说明:
如果不能正常使用<获取管理主机时间>功能,请在主机的防火墙软件中增加一条 UDP 端口为
123 的例外条目。
断电重启后,断电之前设置的时间将失效,重新变为“通过网络获取时间”
时间,请手动设置系统时间。
如果夏令时被启用,那么您所设置的时间将会受到夏令时的影响。因此,您需要决定是否需要
先关闭夏令时模块再进行时间的设置。
12.5.2
夏令时设置
可以通过本页面对夏令时进行设置。
状态
启用/禁用
模式
图 12.15 夏令时设置界面
用于显示当前夏令时的运行状态。
夏令时未启用:说明夏令时功能被禁用。如果您要使用夏令时功
能,请选择开启此功能。
夏令时未生效:表明当前系统没有按照夏令时来工作。
夏令时生效:表明当前系统按照夏令时来工作。
选择是否开启夏令时功能。
您可以选择进行设置夏令时的方式。
自动设置:系统将会采用内置夏令时进行设置。
手动设置:您可以选择自己设置夏令时的开始和结束时间。
表 12.6 夏令时设置界面项说明
- 173 -
双核全千兆企业 VPN 路由器
手动设置
时间偏移量
开始时间
结束时间
每年生效
输入需要把时钟拨快的时间。
输入夏令时生效的时间。
输入夏令时结束的时间。
勾选此选项,表明每一年都按照设置的时间设置夏令时。
表 12.7 夏令时设置界面项说明-手动设置
自动设置
目前内置的国家和地区包括:欧洲,澳大利亚,俄罗斯,新西兰,美国。具体夏令时信
息见下表。
欧洲
澳大利亚
俄罗斯
新西兰
美国
每年 3 月份最后一个星期天 1 点至 10 月最后一个星期天 1 点,
时间拨快 1 个小时
每年 10 月第一个星期天 2 点至次年 4 月第一个星期天 3 点,时
间拨快一个小时
全年永久夏令时,时间拨快 1 个小时。
每年 10 月第一个星期天 2 点至次年 3 月最后一个星期天 3 点,
时间拨快 1 个小时
每年 3 月第二个星期天 2 点至 11 月第一个星期天 2 点,时间拨
快 1 个小时
表 12.8 夏令时设置界面项说明-自动设置
12.6
系统日志
可以在日志界面查看路由器系统事件的记录信息。
进入界面:系统工具 >> 系统日志 >> 系统日志
图 12.16 日志界面
日志配置部分可以对日志系统进行简单的配置。启用自动刷新后,日志列表将每隔 5 秒
刷新一次;选择日志等级可使日志列表中仅列出指定等级的日志记录。
各等级描述:
- 174 -
双核全千兆企业 VPN 路由器
<0> 致命错误
<1> 紧急错误
<2> 严重错误
<3> 一般错误
<4> 警告信息
<5> 通知信息
<6> 消息报告
<7> 调试信息
导致系统不可用的错误,红色显示。
必须对其采取紧急措施的错误,红色显示。
导致系统处于危险状态的错误,红色显示。
一般性的错误提示,橙色显示。
系统仍然正常运行,但可能存在隐患的提示信息,橙色显示。
正常状态下的重要提示信息。
一般性的提示信息。
调试过程产生的信息。
若需要在某台主机上查看路由器日志信息,请首先在这台主机上安装日志服务器,然后
勾选路由器日志页面上的“发送系统日志”选项,并输入这台主机的 IP 地址。保存设置后路
由器将向指定地址发送系统日志。
12.7
系统参数
您可以通过本页面设置逻辑接口的路由 Metric 信息。
MANUAL 接口
DHCP 接口
PPPoE 接口
PPTP 接口
L2TP 接口
图 12.17 系统参数设置界面
填写静态拨号时的路由 Metric 信息。
填写动态拨号时的路由 Metric 信息。
填写 PPPoE 拨号时的路由 Metric 信息。
填写 PPTP 拨号时的路由 Metric 信息。
填写 L2TP 拨号时的路由 Metric 信息。
表 12.9 系统参数界面项说明
- 175 -
双核全千兆企业 VPN 路由器
第13章 典型配置举例
13.1
组网需求
某 IT 企业约有 500 人,年初新建了办公大楼,需要组建一个安全、稳定的网络来保证办
公环境的私密性,详细需求如下:
1) 企业有产品处和研发处两个部门,研发处分为软件和硬件两个小部门,为了信息安全要
求各部门网络相互隔离;
2) 各地分公司需要将业务数据实时传输到总部服务器,为了保证传输数据不被其他机构获
取,与总部网络通过 IPsec 隧道连接;
3) 公司从电信、联通各办理了 10M 光纤接入,为产品处员工提供上网服务,同时要求对上
网流向做选路,实现“电信走电信,联通走联通”;
4) 公司有两个服务器群,一个位于广域网区,对广域网用户和产品处职员全天候开放,对
研发职员在非工作时间开放;另一个位于工作区,供公司职工工作中使用;
5) 需要防范来自企业内部的 ARP 欺骗和攻击;
6) 需要防范 DoS 等常见攻击;
7) 需要防止某些某些员工使用迅雷、BT 等 P2P 软件占用网络资源;
8) 需要对网络各种流量进行实时监控以确保网络稳定运行;
13.2
组网方案及特点
为满足上述网络需求,使用TL-ER6520G进行组网,网络拓扑图如图 8.5所示。
- 176 -
双核全千兆企业 VPN 路由器
图 13.1 企业整体组网应用
现根据网络需求做简单的分析:
1) 为了实现各部门网络相互隔离,可以设置各部门属于不同的网段,在各交换机上通过
VLAN 相互隔离,在 TL-ER6520G 上分别属于不同区段下的接口并通过访问策略功能进
一步限制各区段之间的网络通信,如以“RD”区段表示研发区段,区段下包含两个接口
分别指向软件部门和硬件部门;
2) 从电信、联通办理的 10M 光纤接入,可通过光纤转换器直接与路由器相连,假设电信链
路为静态 IP 接入 IP 地址为 201.1.1.1/24,联通为 pppoe 拨号,账号/密码分别为 user
/12345。为了保证数据流能够快速选路,启用路由器的 ISP 选路功能并进行智能均衡;
- 177 -
双核全千兆企业 VPN 路由器
3) 在本地路由器上与远端客户端上配置 IPsec VPN 策略,双方将建立起安全的 VPN 连接进
行信息交互;
4) 面向公网的 6 台服务器使用广域网 IP 地址为广域网用户提供服务,使用局域网 IP 地址为
局域网用户提供服务,需要为服务器群申请 6 个广域网 IP 地址,并在路由器上配置一对
一 NAT 映射规则;
5) 配置路由器的应用限制功能,禁止某些员工使用 QQ、MSN 及迅雷软件;
6) 使用 IP/MAC 地址绑定功能,绑定局域网内主机的 IP、MAC 地址信息,实现局域网 ARP
攻击防护;
7) 启用发送免费 ARP 包功能,实现局域网 ARP 防欺骗;
8) 启用攻击防护功能,实现 DoS 类、扫描类、可疑包类等常见攻击的防护;
9) 设置 IP 带宽限制和连接数限制,防止某些应用程序过度占用网络资源;
10) 设置路由器端口 5 为监控端口,端口 3 和端口 4 为被监控端口,并启用流量统计功能,
实时监控内网访问广域网的流量;
13.3
配置步骤
为了方便后续描述配置,现模拟必须的网络参数如表 13.1,在后面的配置步骤中将使用
表格中的参数进行举例。
区段 接口名称 描述 物理端口 VLAN 网段
RD soft_dep 研发软件部门 hard_dep 研发硬件部门
PRODUCT product
SERVER server
产品部门
办公服务器群
DMZ
ISP1
ISP2 dmz isp1 isp2
公网服务器群
电信
联通
2
3
4
1
1
1
1
6
10
20
100
110
30
5
192.168.100.0/24
192.168.110.0/24
192.168.30.0/24
192.168.5.0/24
192.168.6.0/24
201.1.1.1/24
表 13.1 网络参数说明
初始状态下计算机可以连接到路由器的端口 1-5 来对路由器进行配置。请确保计算机 IP
地址与路由器的管理接口在同一网段。出厂情况下,路由器上已建立有唯一的管理接口 eth0,
IP 地址为 192.168.1.1/24,请将管理计算机的 IP 地址设为同一网段。访问路由器时,在 Web
浏览器的地址栏中输入“http://192.168.1.1”,按下回车键后出现登录窗口,输入用户名: admin,密码:admin,点击<登录>按钮即可进入路由器 Web 配置界面。
- 178 -
双核全千兆企业 VPN 路由器
说明:
在配置过程中,管理计算机连接的端口其所属的接口必须为管理接口,可以是出厂时默认的管理接口 eth0,也可以是新创建的管理接口。例如,在本例中为了保证整个过程中配置正常,管理计算机可以
和监控服务器通过交换机连接到端口 5,端口 5 所属的接口可以保持在出厂默认的管理接口。
根据13.2组网方案及特点的内容,本组网需要配置路由器的多个功能,在实际组网配置中,
可以参考此处介绍的顺序进行配置。
13.3.1
配置VLAN
由表 13.1可知,本组网需要创建VLAN 5 /6 /10 /20 /30 /100 /110,此处将统一进行介绍。
1. 配置端口链路类型
进入界面:基本设置 >> VLAN 设置 >> 端口设置
由表 13.1可知,端口 1 需要处理多个VLAN的数据,且中心交换机需要通过数据包中的
VLAN TAG来转发数据包,因此端口 1 需要配置为trunk,端口 2/3/4 只需处理一个VLAN的数
据,则可以设置为access,或保持不变。
图 13.2 端口设置界面-设置端口 1 链路类型
2. 创建 VLAN
进入界面:基本设置 >> VLAN 设置 >> VLAN 设置
根据表 13.1,依次创建VLAN 5 /6 /10 /20 /30 /100 /110,其中VLAN 5 /30 /100 /110,四
个VLAN的成员端口均包含端口 1,VLAN6 的成员端口为端口 2,VLAN10 的成员端口为端口
3,VLAN20 的成员端口为端口 4,下面以创建VLAN5 为例。
- 179 -
双核全千兆企业 VPN 路由器
图 13.3 VLAN 设置界面-创建办公服务器群 VLAN
根据表 13.1的VLAN参数,创建所有VLAN后,应该可以在下方的VLAN列表查看已创建
的VLAN,如下图所示。
图 13.4 VLAN 设置界面-查看网络中 VLAN 列表
13.3.2
配置区段和接口
根据网络分析可知,本组网需要根据业务特性将网络划分成 RD、PRODUCT、SERVER、
DMZ、ISP1 和 ISP2 六个区段。其中 RD 区段需要创建两个 eth 类型接口,分别指向局域网中
的软件部门和硬件部门,而 ISP1 和 ISP2 区段则分别需要根据网络接入方式来创建接口,下
面将详细介绍此组网中所需要建立的区段和接口。
1. 创建区段
进入界面:基本设置 >> 区段设置
点击页面左边的区段栏的< >按钮,在弹出的区段名称页面中输入需要创建的区段
名称,点击<确定>按钮后即可完成创建,如图 13.5和图 13.6所示操作,即可创建区段“RD”。
- 180 -
双核全千兆企业 VPN 路由器
图 13.5 区段设置界面-创建新区段
图 13.6 区段设置界面-设置新区段名称 RD
由表 13.1可知,需要创建六个区段,重复上述操作后即可在左边的区段栏查看所有已创
建区段,如下图所示。
图 13.7 区段设置界面-查看网络中所有区段
2. 创建 eth 接口
进入界面:基本设置 >> 区段设置
点击页面左边区段栏的区段名称,即可弹出相应区段的参数信息界面,可以创建接口或
修改接口参数。点击接口设置区域的< >按钮,即可在新增接口页面中创建接口,如下图所
示操作,点击<设置>按钮后,即可在区段“RD”中创建“soft_dep”接口。
- 181 -
双核全千兆企业 VPN 路由器
图 13.8 区段设置界面-创建软件部门 eth 接口
根据表 13.1中的参数,重复上述操作为各网段创建eth类型接口,此处将不重复介绍。
说明:
创建连接电信的 eth 类型接口时,请注意勾选“参与流量均衡”选项,因为两个指向 Internet 的接口
需要进行流量均衡。
3. 创建其他接口
进入界面:基本设置 >> 区段设置
需要设置一个 pppoe 类型接口接入联通网络。点击接口设置区域的< >按钮,如下图所
示操作,点击<设置>按钮完成配置。
- 182 -
双核全千兆企业 VPN 路由器
图 13.9 区段设置界面-创建联通网络接口
设置两个指向 Internet 的接口时,上下行带宽设置需要根据 ISP 实际提供的带宽大小填写。
13.3.3
配置流量均衡
为了保证访问广域网的数据能够得到快速转发到达目的地,网络申请的两条外线需要进
行 ISP 选路,同时进行智能均衡避免网络拥塞。
1. 配置智能均衡
进入界面:传输控制 >> 流量均衡 >> 基本设置
在界面中选择两个外线接口进行流量均衡,点击<设置>按钮完成配置。
- 183 -
双核全千兆企业 VPN 路由器
图 13.10 设置智能均衡
2. 配置 ISP 选路
进入界面:传输控制 >> 流量均衡 >> ISP 选路
在界面的选路功能设置区域,勾选启用 ISP 地址段选路功能选项,点击<设置>按钮使 ISP
选路功能生效。在界面的 ISP 选路设置区域,将“isp1”接口设置为电信,将“isp2”设置为
联通,如下图所示进行操作,点击<新增>按钮后完成配置。如有需要,请从我司网站上下载
最新版本的 ISP 数据库。
图 13.11 设置 ISP 选路
3. 配置在线检测
进入界面:系统工具 >> 诊断工具 >> 在线检测
两个进行流量均衡和 ISP 选路的外线接口,需要配置在线检测功能来保证流量均衡和 ISP
选路功能生效。在界面的检测设置区域,选择外线接口开启在线检测。如下图所示,开启接
口 isp1 和 isp2 的在线检测功能。
- 184 -
双核全千兆企业 VPN 路由器
图 13.12 设置在线检测
13.3.4
配置对象
在后续的功能配置中,需要用到的用户对象和时间对象均需要单独进行配置,下面将简
单进行介绍。
1. 创建用户对象
进入界面:对象管理 >> 地址管理 >> 地址组
输入新创建地址组的名称,点击<新增>按钮完成配置。
图 13.13 地址组设置界面-创建地址组
进入界面:对象管理 >> 地址管理 >> 地址
输入用户地址段名称,设置地址段,如下图所示操作,点击<新增>按钮完成配置。
- 185 -
双核全千兆企业 VPN 路由器
图 13.14 地址设置界面-创建软件职员地址段
进入界面:对象管理 >> 地址管理 >> 视图
在本页面中将用户地址段加入地址组中,其他应用涉及的用户对象参数将直接引用地址
组。如下图所示,选择可选用户,点击<
完成配置。
>按钮将用户移入地址组,点击<设置>按钮
图 13.15 视图设置界面-设置 RD 用户组
通常情况下,我们可能需要为每个接口以及区段都配置一个用户组对象,请根据实际网
络需要进行配置。
2. 创建时间对象
进入界面:对象管理 >> 时间管理 >> 工作日历
输入工作日历名称,选择日期设置工作日历,点击<新增>按钮完成配置。
- 186 -
双核全千兆企业 VPN 路由器
图 13.16 工作日历设置界面-创建日常工作日历
进入界面:对象管理 >> 时间管理 >> 工作时间
输入工作时间名称,设置具体时间段,如下图所示操作,点击<新增>按钮完成配置。
图 13.17 工作时间设置界面-设置日常工作时间
- 187 -
双核全千兆企业 VPN 路由器
进入界面:对象管理 >> 时间管理 >> 时间管理
在本页面中输入时间对象名称,选择包含的工作日历和工作时间,如下图所示,点击<新
增>按钮完成配置。
图 13.18 时间对象设置界面-设置工作时间对象
13.3.5
配置访问策略
在本网络中,对各网段间的访问有严格的限制,因此需要设置丰富的访问策略规则。
1. 配置区段间访问规则
由网络的需求分析可知,RD 区段不能与 PRODUCT、ISP1 和 ISP2 区段通信,同时在工
作时间内不能与 DMZ 区段通信;PRODUCT 区段不能与 RD 区段区段通信;SERVER 区段不
能与 DMZ、ISP1 和 ISP2 区段通信;ISP1 和 ISP2 区段不能与 SERVER、RD 区段通信;DMZ
区段不能与 SERVER 区段通信,工作时间不能与 RD 区段通信。
进入界面:安全管理 >> 访问策略 >> 区段间访问规则
在区段选择下拉列表中勾选需要进行通信限制的区段组,点击<显示>按钮弹出相应区段
组的配置框,可多选。如本例中我们选择 RD 区段和其他区段进行限制。
图 13.19 区段间访问规则设置界面-选择区段组
以RD区段和DMZ区段为例,要求RD区段用户在工作时间内不能访问DMZ区段中的服务
器。选中RD和DMZ区段的规则设置界面,按图 13.20进行配置,点击<新增>按钮后完成配置。
- 188 -
双核全千兆企业 VPN 路由器
图 13.20 区段间访问规则设置界面-设置 RD/DMZ 区段间访问规则
此规则表示在“worktime”时间范围内,来源于RD区段发往DMZ区段的任意数据包均将
被丢弃不做转发。“worktime”时间对象即13.3.4配置对象介绍的工作时间内的时间对象。
为了信息安全,还需要保证在工作时间内,来源于DMZ区段发往RD区段的任意数据包均
>按钮改变数据流向后再次点击
<新增>按钮提交即可。下图为RD区段和DMZ区段之间需要设置的区段间访问规则列表。
图 13.21 区段间访问规则设置界面-查看 RD/DMZ 区段间访问规则列表
任意区段间的访问规则配置方法同上,此处不再重复。请根据网络需要设置更详细的访
2. 配置区段内访问规则
由网络的需求分析可知,RD 区段中的软件部门和硬件部门不能够直接通信,需要设置区
段内访问规则进行限制。
进入界面:安全管理 >> 访问策略 >> 区段内访问规则
RD 区段中,需要限制软件部门和硬件部门之间的直接通信,如下图所示内容进行配置,
点击<新增>按钮后完成配置。
- 189 -
双核全千兆企业 VPN 路由器
图 13.22 区段内访问规则设置界面-设置 RD 区段内访问规则
此规则表示,来源于RD区段中“soft_ip”地址段范围发往目标地址范围是“hard_ip”的
数据包,均将被路由器丢弃不做转发。“soft_ip”和“hard_ip”地址对象即13.3.4配置对象介
绍的地址对象。
为了信息安全,还需要保证来源于RD区段中“hard_ip”地址段范围发往目标地址范围是
“soft_ip”的数据包均将被丢弃不做转发。配置方法同图 13.22所示,只需修改源地址范围和
目的地址范围参数后再次点击<新增>按钮提交即可。下图为RD区段需要设置的区段内访问规
则列表。
图 13.23 区段内访问规则设置界面-查看 RD 区段内访问规则列表
13.3.6
配置NAT
本组网案例中,产品部职员需要共享两个 ISP 接入访问网络,因此需要配置 NAPT 转发
规则;而 DMZ 区的公网服务器则需要通过一对一 NAT 映射规则向 Internet 提供服务。
1. 配置 NAPT
进入界面:传输控制 >> NAT 设置 >> NAPT
在界面的设置区域,设置产品部门从电信接入接口“isp1”访问 Internet 资源时做 NAPT
地址转换,如下图所示内容进行配置,点击<新增>按钮后完成配置。
- 190 -
双核全千兆企业 VPN 路由器
图 13.24 NAPT 设置界面-设置产品部共享上网
因网络存在两个外线接口,产品部门访问 Internet 的数据有可能通过其他指向 Internet
的接口转发,因此需要在路由器上设置多个 NAPT 条目来保证数据包从任意外线接口转发到
Internet 时均做 NAPT 地址转换。在本组网案例中,需要建立两条 NAPT 规则,分别从 isp1
接口和 isp2 接口转发,下图为 NAPT 规则列表。
图 13.25 NAPT 设置界面-查看产品部门 NAPT 转发规则
2. 配置一对一 NAT
进入界面:传输控制 >> NAT 设置 >> 一对一 NAT
在界面的设置区域,设置从电信接入接口“isp1”转发来自服务器 192.168.6.5 的数据时
做一对一 NAT 映射,映射后地址为 211.1.1.5,如下图所示内容进行配置,点击<新增>按钮
后完成配置。
图 13.26 一对一 NAT 设置界面-设置公网服务器的一对一 NAT 规则
当网络中存在多台服务器需要向 Internet 提供服务时,请向 ISP 申请足够的 IP 资源,同
时分别设置一对一 NAT 规则。若服务器提供的服务比较单一,可通过虚拟服务器功能实现。
- 191 -
双核全千兆企业 VPN 路由器
说明:
请向 ISP 申请合法的映射后地址,建议映射后地址和出接口 IP 地址属于同一网段。
13.3.7
配置VPN
该企业有多个分公司,假设某分公司的路由器 WAN 口地址为 116.31.85.133,LAN 网段
为 172.31.10.0/24。分支机构中的主机希望能访问企业总部服务器,则可以通过在总部和分支
机构部署 TP-LINK 企业 VPN 路由器来搭建 VPN 隧道,实现安全通信的需求。本文中以 IPsec
为例进行企业总部的 VPN 设置说明,以本地路由器的 isp1 接口与分公司的路由器配置 IPsec
隧道。
1. 设置 IKE 安全提议
进入界面:VPN >> IKE >> IKE 安全提议
在界面的设置区域,输入安全提议名称,选择合适的加密、验证算法及 DH 组,如下图所
示进行操作,点击<新增>按钮后完成配置。
图 13.27 设置 IKE 安全提议
2. 设置 IKE 安全策略
进入界面:VPN >> IKE >> IKE 安全策略
在界面的设置区域,输入安全策略名称,选择交换模式、封装模式和协商模式,并选择
刚才创建的“proposal_IKE_1”IKE安全提议,然后输入预共享密钥,设置生存时间,并开启
DPD检测。如图 13.28所示进行操作,点击<新增>按钮后完成配置。
说明:
远端分支机构的 VPN 路由器上也需要做相同的 IKE 设置。其中“协商模式”可以不一致:如果本路
由器设置为初始者模式,远端分支机构的路由器既可以设置为初始者模式,也可以设置为响应者模式;
如果本路由器设置为响应者模式,远端分支机构的路由器必须设置为初始者模式。
- 192 -
双核全千兆企业 VPN 路由器
图 13.28 设置 IKE 安全策略
3. 设置 IPsec 安全提议
进入界面:VPN >> IPSec >> IPSec 安全提议
在界面的设置区域,输入安全提议名称,选择合适的安全协议及算法,如下图所示进行
操作,点击<新增>按钮后完成配置。
图 13.29 设置 IPSec 安全提议
4. 设置 IPsec 安全策略
进入界面:VPN >> IPSec >> IPSec 安全策略
- 193 -
双核全千兆企业 VPN 路由器
在界面的启用 IPSec 功能区域,点选启用,点击<设置>按钮使 IPSec 功能生效。在界面
的 IPSec 安全策略设置区域,输入安全策略名称,启用安全策略,设置本地子网范围
192.168.6.0/24,对端子网范围 172.31.10.0/24,对端网关 116.31.85.133。然后选择“IKE
协商”,使用刚才创建的“IKE_1”IKE 安全策略和“proposal_IPsec_1”IPsec 安全提议,PFS
选择 DH1 组,并设置生存时间。如下图所示进行操作,点击<新增>按钮后完成配置。
图 13.30 设置 IPSec 安全策略
说明:
分公司的 VPN 路由器上也需要做对应的 IPsec 设置,其中“IPsec 安全提议”等设置需与总部保持
一致,而“对端网关”则需填写总部路由器 VPN 接口的 IP 地址,即图中的 isp1 接口。
5. 查看 IPsec 安全联盟
进入界面:VPN >> IPSec >> IPSec 安全联盟
两端 IPsec VPN 连接成功后,可进入“IPsec 安全联盟”标签页查看连接信息。
- 194 -
双核全千兆企业 VPN 路由器
图 13.31 查看 IPSec 安全联盟
13.3.8
配置应用限制
对于产品部职员的上网需求,为了保证职员工作效率,需要配置路由器的应用限制功能,
禁止使用 QQ、招商证券及迅雷下载等工作无关软件。
1. 配置用户组
进入界面:对象管理 >> 地址管理 >> 地址组
输入产品部职员地址组的名称为 PRODUCT,点击<新增>按钮完成配置。
图 13.32 地址组设置界面-创建产品部职员地址组
进入界面:对象管理 >> 地址管理 >> 地址
输入产品部职员地址段名称为 group1,设置地址段为 192.168.30.0/24,如下图所示操作,
点击<新增>按钮完成配置。
图 13.33 地址设置界面-创建产品部职员地址段
进入界面:对象管理 >> 地址管理 >> 视图
在本页面中将产品部职员地址段“group1”加入产品部职员地址组成员列表中,如下图
所示,点击<设置>按钮完成配置。
- 195 -
双核全千兆企业 VPN 路由器
图 13.34 视图设置界面-设置产品部职员用户组
2. 配置应用限制
进入界面:安全管理 >> 应用限制 >> 应用限制
在界面的功能设置区域,勾选启用应用限制功能选项,点击<设置>按钮使应用限制功能
生效。在界面的应用限制设置区域,选择受控地址组为“PRODUCT”;点击<设置列表>按钮,
在显示的界面中勾选需要禁止使用的软件,点击<确定>按钮;最后设置规则生效时间段为所
有时段生效,启用规则,如下图所示进行操作,点击<新增>按钮后完成配置。
图 13.35 设置应用限制
- 196 -
双核全千兆企业 VPN 路由器
13.3.9
配置局域网ARP攻击防护
通过在路由器上绑定局域网设备的 IP 地址和 MAC 地址,可以避免局域网中的 ARP 攻击。
在本路由器上,可以采用 ARP 扫描和手动设置两种方式绑定 IP 与 MAC 信息。首次设置时,
可以使用 ARP 扫描来获取局域网大部分的 ARP 信息,然后通过手动设置绑定个别特殊条目。
1. ARP 扫描并绑定
进入界面:安全管理 >> ARP 防护 >> ARP 扫描
在界面的功能设置区域输入需要扫描的网段,点击<开始扫描>按钮,稍候片刻即可在扫
描结果中查看扫描结果,勾选需要 IP/MAC 绑定的条目,点击<导入>按钮即可将条目进行绑
定。
图 13.36 ARP 扫描并绑定
2. 手动绑定 ARP 信息
进入界面:安全管理 >> ARP 防护 >> IP MAC 绑定
在界面的 IP MAC 绑定区域输入需要绑定的用户的 IP 地址和 MAC 地址信息,选择用户
接入的接口,点击<新增>按钮即可将条目进行绑定。
图 13.37 手动绑定 ARP 信息
3. 设置 ARP 攻击防护功能
进入界面:安全管理 >> ARP 防护 >> IP MAC 绑定
- 197 -
双核全千兆企业 VPN 路由器
在界面的功能设置区域,勾选“启用 ARP 防欺骗功能”选项和“允许路由器在发现 ARP
攻击时发送 GARP 包”选项,将发送 GARP 包的时间间隔设置为 100 毫秒;勾选“仅允许 IP
MAC 绑定的数据包通过路由器”选项并选择生效区段,本组网中,需要将 RD、PRODUCT
和 SERVER 区段的设备进行 ARP 防护,根据需要勾选“启用 ARP 日志记录”选项,如下图
所示进行操作,点击<设置>按钮完成配置。
图 13.38 设置 ARP 防护功能
13.3.10
配置攻击防护
进入界面:安全管理 >> 攻击防护 >> 攻击防护
在界面的功能设置区域勾选所需开启的攻击防护选项,如下图所示进行操作,点击<设置
>按钮完成配置。
- 198 -
双核全千兆企业 VPN 路由器
图 13.39 设置攻击防护功能
13.3.11
配置内网流量监控
1. 设置端口监控
进入界面:基本设置 >> 交换机设置 >> 端口监控
在界面的功能设置区域,勾选“启用端口监控”选项并设置监控模式为“输入输出监控”;
在监控列表区域,将端口 5 设置为监控端口,端口 5 连接监控服务器,能够捕获分析网络中
的数据,勾选端口 1-4 为被监控端口,如下图所示进行操作,点击<设置>按钮完成配置。
- 199 -
双核全千兆企业 VPN 路由器
图 13.40 设置端口监控功能
2. 流量统计
进入界面:系统工具 >> 流量统计 >> 接口流量统计
在界面中,可以查看路由器各接口的流量统计结果,如下图所示。
图 13.41 查看接口流量统计结果
进入界面:系统工具 >> 流量统计 >> IP 流量统计
在界面的功能设置区域,勾选“启用流量统计”选项并设置需要统计的数据包的源区段
和目的区段,并勾选“启用自动刷新”选项,如下图所示配置,点击<设置>按钮即可完成配
置。在统计列表区域可查看相应的 IP 流量统计结果,如下图所示。
图 13.42 查看 IP 流量统计结果
- 200 -
双核全千兆企业 VPN 路由器
第14章 命令行简介
CLI(Command Line Interface, 命令行接口) 即命令行,TL-ER6520G 路由器提供了
一个用于 CLI 配置的 Console 口。可以通过控制台(比如超级终端)和在局域网内通过 Telnet
进入命令行界面进行设置。
以下介绍通过超级终端访问 CLI 的具体步骤和一些常用的 CLI 命令。
14.1
搭建平台
首先,使用 Console 线连接路由器和计算机的 Console 口。
选择 开始>所有程序>附件>通讯>超级终端,打开超级终端。
图 14.1 打开超级终端
弹出如下图所示的连接描述窗口,在名称处键入一个名称,点击<确定>。
- 201 -
双核全千兆企业 VPN 路由器
图 14.2 连接描述窗口
在图 14.3中选择连接串口(单串口默认COM1 口),点击<确定>。
图 14.3 连接参数窗口
在图 14.4中对端口进行参数设置,每秒位数 115200,数据位 8,奇偶校验无,停止位 1,
数据流控制无,点击<确定>。
- 202 -
双核全千兆企业 VPN 路由器
图 14.4 端口属性设置
在图 14.6超级终端主窗口选择 文件>属性>设置,在图 14.5中选择终端仿真类型为
VT100 或自动检测,点击<确定>。
图 14.5 连接属性设置
- 203 -
双核全千兆企业 VPN 路由器
在超级终端主窗口中按下回车键,就可以看到“TP-LINK>”的提示符了。如图 14.6所
示。
14.2
界面模式
TL-ER6520G 的 CLI 提供了两个界面模式:用户模式和特权模式。用户模式下只具有基
本的权限,比如查看系统的信息等。特权模式下则拥有管理路由器的权限,可以进行各种配
置操作等。这样就可以对不同的用户进行适当的权限管理。
用户模式:Telnet 登录时,需输入路由器的用户名和密码,默认为 admin/admin,Console
连接登录时不需要密码。登录后,用户处于用户模式下,拥有的权限为参观级。可以进行简
单的查询操作,不能修改路由器的各种配置信息。
特权模式:用户在用户模式下进行密码验证,验证通过就可以进入特权模式。拥有管理
级的权限,可以对路由器进行各种配置操作。
默认情况下,CLI 用户处于用户模式下。用户可以自由的在用户模式和特权模式之间进行
切换,方式如下:
模式 访问方法 提示符 离开或访问下一模式
用户模式 与路由器建立连接即进入
该模式。
TP-LINK > 输入 exit 命令断开与路由器的连接。
(Console 连接时无法断开)
要进入特权模式,输入 enable 命令。
特权模式 在 用 户 模 式 下 , 使 用 enable 命令进入该模式,
TP-LINK # 输 入 exit 命 令 断 开 与 路 由 器 连 接
(Console 连接时无法断开)
初始密码 admin。
要返回到用户模式,输入 disable 命令。
如下图所示:
图 14.6 模式切换
14.3
在线帮助
TL-ER6520G 提供了命令行在线帮助:
- 204 -
双核全千兆企业 VPN 路由器
1) 在任一模式下,键入“?”获取该视图下所有的命令及其简单描述。例如在用户模式下直
接键入问号“?”,可以获得下面提示内容: disable Exit the privileged mode enable exit history port sys user vlan zone
Enter the privileged mode
Exit the CLI (only for telnet)
Show command history
Configure port
System manager
User configuration
Specify vlan setting zone
Configure zone
2) 键入一命令,后接以空格分隔的“?”,如果该命令行位置有关键字,则列出全部关键字
及其简单描述。例如在 tp-link > history 命令后键入问号“?”,将会弹出”clear”命令
关键字提示。
3) 键入一字符串,其后紧接“?”,将列出以该字符串开头的所有命令。例如在 tp-link > dis
命令后键入问号“?”,将会弹出完整的命令提示 disable。
4) 键入命令的某个关键字的前几个字母,按下<Tab>键,如果以输入字母开头的关键字唯
一,则可以显示出完整的关键字。例如在 tp-link > dis 命令后键入问号“?”,将会补全
命令为 tp-link > disable。
5) 命令的输入完成之后,后接以空格分隔的“?”,会显示出一个回车符<cr>,表示此时命
令已正确无误,可以执行。
14.4
命令介绍
TL-ER6520G 提供了一些 CLI 命令,通过这些命令可以管理路由器和用户信息。为便于
您理解,每条命令后面会注释该条命令的含义。
14.4.1 VLAN
配置命令
通过 VLAN 相关配置命令可以配置 VLAN 相关功能。
TP-LINK # port config portId:[ 1-5 ] 1 opType:[ 0:linktype;1:pvid ] 0
Linktype:[ 0:access;1:trunk;2:hybrid ] 0
设置端口的链路类型或者 PVID。
TP-LINK # port show all
TP-LINK# port show id 1
TP-LINK # port vlan show
显示所有端口的链路类型和 PVID。
显示指定端口的链路类型和 PVID。
显示端口和 VLAN 之间的关联表。
- 205 -
双核全千兆企业 VPN 路由器
TP-LINK # vlan config add 3 vlan3 portlist 4
TP-LINK # vlan config delete id 2
TP-LINK # vlan config show all
TP-LINK # vlan config show id 5
添加 vlan 条目,指定相关的端口
删除指定 vlanId 的条目
显示所有 vlan 条目
显示指定 VLAN ID 的条目
14.4.2
区段和接口命令
可以使用该组命令查看或设置区段和接口。
TP-LINK # zone show all
TP-LINK # zone show zone wan1
TP-LINK # zone add wan1
TP-LINK # zone delete zonename wan1
TP-LINK # zone delete all
TP-LINK # zone inf add wan1.dhcp wan1 eth
TP-LINK # zone inf add wan1.pppoe wan1 pppoe
TP-LINK # zone inf add pptp1 default pptp
TP-LINK # zone show infname eth0
TP-LINK # zone inf connect wan1_pppoe
TP-LINK # zone inf disconnect wan1_pppoe
TP-LINK # zone inf delete pptp1
获取当前所有区段信息列表。
获取属于指定区段的接口信息列表。
添加指定名称的区段。如果无法完成添加操作,
则会有相应提示信息返回。
删除指定名称的区段。如果该区段因为某种原因
无法被删除,将会有相应的提示信息返回。
尽可能多地删除所有的区段。如果有某些区段无
法删除,则会有相应的提示信息返回。
指定接口名称、所属的区段以及接口的类型,创
建一个新的接口。输入创建接口命令后,根据接
口类型交互询问相关参数配置,请按照提示输入。
查看指定接口的详细信息,包括:接口的配置信
息、运行时间和接口特有参数。
连接指定的接口。
断开指定的接口。
删除指定的接口。如果该接口因为某种原因无法
被删除,将会有相应的提示信息。
14.4.3
系统管理
sys 命令。可以使用该命令进行相关的系统管理操作,包括配置文件的导入导出、恢复出
厂配置、重启系统和升级软件等。
TP-LINK # sys save config
保存系统配置。
配置完成后,请使用保存配置命令,当重启设备
时可以保证当前所有配置持续生效。
TP-LINK # sys reboot
This command will reboot system,
Continue?[Y/N]
TP-LINK # sys restore
This command will restore system,
Continue?[Y/N]
重启系统。Y 即 YES,表确认;N 即 NO,表取消。
恢复出厂配置。Y 即 YES,表确认;N 即 NO,表
取消。
- 206 -
双核全千兆企业 VPN 路由器
TP-LINK # sys export config
Server address: [192.168.1.101]192.168.1.100
Username: [admin]ftp
Password: [admin]ftp
File name: [config.bin]
Try to save the configuration file < config.bin > ...
Save configuration file < config bin > succeed, file size is 7104 bytes.
TP-LINK # sys import config
Server address: [192.168.1.101]
Username: [admin]
Password: [admin]
File name: [config.bin]
Try to get the configuration file < config.bin > ...
Get configuration file < config bin > succeed, file size is 7104 bytes.
TP-LINK > sys show
CPU Used Rate: 1%
TP-LINK # sys update
Server address: [192.168.1.101]
Username: [admin]
Password: [admin]
File name: [update.bin]
Try to get the update file < update.bin > ...
Get update file < update bin > succeed, file size is 2298608 bytes.
配置文件导出。
举例:现有一台 IP 地址为 192.168.1.100 的 FTP
服务器,服务的用户名/密码是 ftp/ftp,如需将当
前配置文件以默认文件名 config.bin 保存到该
FTP 服务器上,设置如左。
配置文件导入。说明同上。
查看系统信息。该命令将会显示当前系统的 CPU
利用率。
系统软件升级。
说明:
配置文件的导出、导入、系统升级都需要使用 FTP 服务。在需设置的参数中,Server address
是提供 FTP 服务的主机 IP 地址,Username/Password 是该 FTP 服务的登录名/密码,File name
中括号内是默认设置,可在其后输入实际参数,如果无需改动直接回车确认即可。
本路由器默认连接到使用 21 端口的 FTP 服务器。
由于导出、导入、系统升级等功能需要在 FTP 服务器上进行读写操作,因此特别需要注意您指
定的帐号必须具有相应权限。
14.4.4
用户信息管理
user 命令。可以使用该命令查询或修改登录 CLI 的用户名和密码。在用户模式下,可以
修改参观级用户的密码,由于参观级用户和管理员用户共用一个用户名,因此在用户模式下
不能修改用户名;在特权模式下可以修改管理员级用户的用户名和密码。
TP-LINK > user get
Username: admin
Password: admin
查询当前参观级用户的用户名及密码。
- 207 -
双核全千兆企业 VPN 路由器
TP-LINK > user set password
Enter old password:
Enter new password:
Confirm new password:
TP-LINK # user get
Username: admin
Password: admin
TP-LINK # user set password
Enter old password:
Enter new password:
Confirm new password:
TP-LINK # user set username
Enter new username: tplink
说明:
修改参观级用户的密码。
查询当前管理员级用户的用户名及密码。
修改管理员级用户的密码。
修改管理员级用户的用户名。
用户名和密码长度为 1-31 个字符,用户名和密码只能使用字母和数字,且区分大小写。
14.4.5
历史命令管理
history 命令。可以使用该命令查看或清除系统中的历史命令。
TP-LINK > history
1. history
2. sys show
3. history
查看历史命令。
TP-LINK > history clear
1. history
2. sys show
3. history
4. history clear
清除历史命令。
14.4.6
退出CLI
exit 命令。可以使用该命令退出系统。但仅限于 Telnet 环境,Console 环境下不会退出。
TP-LINK > exit 退出系统。
- 208 -
双核全千兆企业 VPN 路由器
附录 A 常见问题
问题 1:无法登录路由器 Web 管理界面该如何处理?
1) 观察指示灯的状态,检查相应端口线缆是否正常连接,同时确认端口没有被禁用,可以
换另外一个物理端口登录路由器;
2) 如果是通过本地计算机管理路由器,请确保计算机 IP 地址与路由器 IP 地址处于同一网段;
3) 通过 Ping 命令检查网络连接。通过“开始”“运行”输入“cmd”命令,点击“确定”
后,可以打开命令窗口。输入 ping 127.0.0.1 检查计算机的 TCP/IP 协议是否安装;输入 ping 192.168.1.1(路由器管理接口的 IP 地址,如果路由器设有多个管理接口,也可以 ping 其它管理接口的 IP 地址)检查计算机与路由器的连接是否正常;
4) 如果确认物理连接正常,但是还是无法管理,建议通过console口管理路由器,检查路由
器VLAN和管理IP相关配置信息,console口登录方法详见第 14 章命令行简介;
5) 如果修改过路由器的管理端口,则注意下次登录时需要以“http://管理 IP:XX”的方式登
录,XX 为修改后的端口号,如 http://192.168.1.1:8080;
6) 如果恢复出厂配置后仍然无法登录或开始一段时间能登录,但过一段时间后又不能登录,
则可能是遭受了 ARP 欺骗,建议查找欺骗源、查杀病毒或或将其他所有网络设备移除,
电脑单机接路由器尝试。
问题 2:忘记路由器用户名和密码怎么办?
建议通过console口管理路由器,在用户模式下输入user get获取当前Web管理的用户名
和密码。console口登录方法详见第 14 章命令行简介。
问题 3:忘记路由器管理 IP 或管理端口怎么办?
出于对路由器管理安全的考虑,在用户不知道路由器管理 IP 或者端口的情况下,需要对
路由器进行管理,建议使用 Reset 键将路由器恢复出厂设置。需要注意的是:恢复出厂配置
时路由器原有配置信息将丢失。
恢复出厂配置操作方法:在路由器通电的情况下,使用尖状物按住路由器的 Reset 键,
等待 2-5 秒后,见到系统指示灯快速闪烁 1-2 秒,松开按键,路由器将自动恢复出厂设置并
重启。路由器出厂默认管理地址是 http://192.168.1.1,默认用户名/密码是 admin/admin。
问题 4:路由器某些功能设置需要填写子网掩码值划分地址范围,一般子网掩码都有哪些值?
子网掩码是一个 32 位的二进制地址,以此来区别网络地址和主机地址。子网划分时,子
网掩码不同,所得到的子网不同,每个子网能容纳的主机数目不同。
- 209 -
双核全千兆企业 VPN 路由器
常用的子网掩码值有 8(即 A 类网络的缺省子网掩码 255.0.0.0)、16(即 B 类网络的缺
省子网掩码 255.255.0.0)、24(即 C 类网络的缺省子网掩码 255.255.255.0)、32(即单个 IP
地址的缺省子网掩码 255.255.255.255)。
- 210 -
双核全千兆企业 VPN 路由器
附录 B 规格参数
参数项
支持的标准和协议
网络介质
参数内容
IEEE 802.3、IEEE 802.3u、IEEE 802.3ab、IEEE 802.3x、IEEE 802.1x、
TCP/ IP、DHCP、ICMP、NAT、PPPoE、SNTP、HTTP、DNS、L2TP、PPTP、
IPsec
10BASE-T:3 类或以上 UTP/STP(≤100m)
100BASE-TX:5 类或以上 UTP/STP(≤100m)
LED 指示
尺寸(L x W x H)
1000BASE-T:超 5 类或以上 UTP/STP(≤100m)
PWR 电源指示灯、SYS 系统指示灯、Link/Act 指示灯、Speed 速率指示灯
440mm x 227mm x 44mm
电源输入
工作温度
存储温度
工作湿度
存储湿度
100-240V~ 50/60Hz
0ºC ~ 40ºC
-40ºC ~ 70ºC
10% ~ 90%RH 不凝结
5% ~ 90%RH 不凝结
- 211 -
advertisement
* Your assessment is very important for improving the workof artificial intelligence, which forms the content of this project
Related manuals
advertisement