无线企业VPN路由器系列


无线企业VPN路由器系列 TL-WVR450G/ TL-WVR458G/ TL-WVR600G/ TL-WVR1750G 用户手册 REV1.1.0 1910040467 -I- 声明 Copyright © 2014 普联技术有限公司 版权所有,保留所有权利 未经普联技术有限公司明确书面许可,任何单位或个人不得擅自仿制、复制、誊抄或转译本书部分或全 部内容。不得以任何形式或任何方式(电子、机械、影印、录制或其他可能的方式)进行商品传播或用 于任何商业、赢利目的。 为普联技术有限公司注册商标。本文档提及的其他所有商标或注册商标,由各自的 所有人拥有。 本手册所提到的产品规格和资讯仅供参考,如有内容更新,恕不另行通知。可随时查阅我们的万维网页 http://www.tp-link.com.cn。除非有特殊约定,本手册仅作为使用指导,本手册中的所有陈述、信息等均 不构成任何形式的担保。 -II- ෹ഺ 第 1 章 用户手册简介..........................................................................................................1 1.1 目标读者.................................................................................................................................1 1.2 本书约定.................................................................................................................................1 1.3 章节安排.................................................................................................................................1 第 2 章 产品介绍 ................................................................................................................2 2.1 产品描述.................................................................................................................................2 2.2 产品特性.................................................................................................................................2 2.3 产品外观.................................................................................................................................6 2.3.1 TL-WVR450G ............................................................................................................6 2.3.2 TL-WVR458G ............................................................................................................8 2.3.3 TL-WVR600G ..........................................................................................................10 2.3.4 TL-WVR1750G ........................................................................................................12 第 3 章 配置指南 ..............................................................................................................15 3.1 快速安装指南 .......................................................................................................................15 3.2 Web 界面简介 ......................................................................................................................20 3.2.1 界面总览 ..................................................................................................................20 3.2.2 界面常见按钮及操作 ................................................................................................21 第 4 章 功能设置 ..............................................................................................................24 4.1 运行状态...............................................................................................................................24 4.1.1 系统状态 ..................................................................................................................24 4.1.2 流量统计 ..................................................................................................................24 4.2 快速配置...............................................................................................................................27 4.3 基本设置...............................................................................................................................27 4.3.1 接口模式 ..................................................................................................................27 4.3.2 WAN 设置 ................................................................................................................28 4.3.3 LAN 设置..................................................................................................................42 4.3.4 MAC 设置.................................................................................................................45 -III- 4.3.5 交换机设置...............................................................................................................46 4.4 无线设置...............................................................................................................................52 4.4.1 无线网络设置 ...........................................................................................................52 4.4.2 无线 MAC 过滤.........................................................................................................66 4.4.3 无线主机状态 ...........................................................................................................67 4.5 对象管理...............................................................................................................................68 4.5.1 地址管理 ..................................................................................................................68 4.5.2 时间管理 ..................................................................................................................72 4.5.3 IP 地址池..................................................................................................................73 4.5.4 服务类型 ..................................................................................................................74 4.6 传输控制...............................................................................................................................75 4.6.1 NAT 设置..................................................................................................................75 4.6.2 带宽控制 ..................................................................................................................86 4.6.3 连接数限制...............................................................................................................88 4.6.4 流量均衡 ..................................................................................................................89 4.6.5 路由设置 ..................................................................................................................95 4.7 安全管理...............................................................................................................................98 4.7.1 ARP 防护 .................................................................................................................98 4.7.2 攻击防护 ................................................................................................................101 4.7.3 MAC 过滤...............................................................................................................103 4.7.4 访问策略 ................................................................................................................104 4.8 行为管控.............................................................................................................................106 4.8.1 应用限制 ................................................................................................................106 4.8.2 网址过滤 ................................................................................................................116 4.8.3 网页安全 ................................................................................................................122 4.8.4 行为审计 ................................................................................................................124 4.8.5 策略库升级.............................................................................................................124 4.9 VPN....................................................................................................................................125 -IV- 4.9.1 IKE.........................................................................................................................125 4.9.2 IPSec .....................................................................................................................129 4.9.3 PPTP .....................................................................................................................135 4.9.4 L2TP ......................................................................................................................137 4.10 系统服务.............................................................................................................................140 4.10.1 动态 DNS ...............................................................................................................140 4.10.2 UPnP .....................................................................................................................143 4.10.3 打印服务器.............................................................................................................144 4.11 系统工具.............................................................................................................................146 4.11.1 管理账户 ................................................................................................................146 4.11.2 设备管理 ................................................................................................................149 4.11.3 诊断工具 ................................................................................................................152 4.11.4 时间设置 ................................................................................................................154 4.11.5 系统日志 ................................................................................................................156 附录 A 常见问题............................................................................................................158 附录 B 术语表 ...............................................................................................................160 附录 C 规格参数 ............................................................................................................164 -1- 第1章 用户手册简介 本手册旨在帮助您正确使用本系列路由器。内容包含对路由器性能特征的描述以及配置路由器的详 细说明。请在操作前仔细阅读本手册。 1.1 目标读者 本手册的目标读者为熟悉网络基础知识、了解网络术语的技术人员。 1.2 本书约定 在本手册中, ¾ 所提到的“路由器”、“本产品”等名词,如无特别说明,系指无线企业VPN路由器; ¾ 全文如无特殊说明,Web界面以TL-WVR450G机型为例; ¾ 用 >> 符号表示配置界面的进入顺序。默认为一级菜单 >> 二级菜单 >> 标签页,其中,部分 功能无二级菜单; ¾ 正文中出现的<>尖括号标记文字,表示Web界面的按钮名称,如<确定>; ¾ 正文中出现的“”双引号标记文字,表示Web界面出现的除按钮外名词,如“ARP绑定”界面。 本手册中使用的特殊图标说明如下: 图标 含义 注意: 该图标提醒您对设备的某些功能设置引起注意,如果设置错误可能导致数据 丢失,设备损坏等不良后果。 说明: 该图标表示此部分内容是对相应设置、步骤的补充说明。 1.3 章节安排 第1章:用户手册简介。帮助快速掌握本手册的结构、了解本手册的约定,从而更有效地使用本手册。 第2章:产品介绍。介绍本系列产品特性、应用以及外观。 第3章:配置指南。指导如何登录路由器Web管理界面,并简要介绍界面特点。 第4章:功能设置。介绍路由器所有功能,帮助您更充分地使用本系列产品。 附录A:常见问题。 附录B:术语表。 附录C:规格参数。 -2- 第2章 产品介绍 2.1 产品描述 TL-WVR450G/TL-WVR458G/TL-WVR600G/TL-WVR1750G是TP-LINK公司针对企业无线组网需 求而全新开发的无线路由器产品,支持高速无线接入,并提供IPSec/PPTP/L2TP VPN、上网行为管理 (应用限制/网址过滤/网页安全/行为审计)、防火墙(ARP防护/攻击防护/访问策略)、智能IP带宽控制、 双WAN口负载均衡等丰富的软件功能,主要定位于中小企业、办公室等需要高速无线接入的中小型网络 环境。 本用户手册包含产品型号如下: 产品机型 产品名称 TL-WVR450G 450M无线企业VPN路由器 TL-WVR458G 450M无线企业VPN路由器 TL-WVR600G 600M双频无线企业VPN路由器 TL-WVR1750G 1.75G 11AC双频无线企业VPN路由器 2.2 产品特性 硬件特性 TL-WVR450G ¾ 采用高性能网络专用处理器,数据处理能力强劲; ¾ 高通专业无线解决方案,采用独立功放及低噪声放大器,无线性能优异; ¾ 配备容量为128MB的DDR SDRAMⅡ 高速内存; ¾ 采用3x3 MIMO架构,配置3根5dBi可拆卸高增益全向天线,无线速率高达450Mbps; ¾ 内置高品质开关电源,无风扇静音设计; ¾ 提供2个固定WAN口和3个固定LAN口,所有端口均支持10/100/1000Mbps自适应和端口自动翻转 (Auto MDI/MDIX); ¾ 桌面型壳体。 -3- TL-WVR458G ¾ 采用高性能网络专用处理器,数据处理能力强劲; ¾ 高通专业无线解决方案,采用独立功放及低噪声放大器,无线性能优异; ¾ 配备容量为128MB的DDRⅡSDRAM高速内存; ¾ 采用3x3 MIMO架构,配置3根5dBi可拆卸高增益全向天线,无线速率高达450Mbps; ¾ 内置高品质开关电源,无风扇静音设计; ¾ 提供1个固定WAN口和7个固定LAN口,一个WAN/LAN可变口,所有端口均支持10/100/1000Mbps 自适应和端口自动翻转(Auto MDI/MDIX); ¾ 桌面型壳体。 TL-WVR600G ¾ 采用高性能网络专用处理器,数据处理能力强劲; ¾ 配备容量为128MB的DDR SⅡ DRAM高速内存; ¾ 高通专业无线解决方案,支持双频并发技术,采用独立功放及低噪声放大器,无线性能优异; ¾ 配置2根2.4GHz 5dBi和2根5GHz 5dBi可拆卸高增益全向天线,无线速率高达600Mbps; ¾ 内置高品质开关电源,无风扇静音设计; ¾ 提供2个固定WAN口和3个固定LAN口,所有端口均支持10/100/1000Mbps自适应和端口自动翻转 (Auto MDI/MDIX); ¾ 桌面型壳体。 TL-WVR1750G ¾ 采用高性能网络专用处理器,数据处理能力强劲; ¾ 配备容量为256MB的DDR3 SDRAM高速内存; ¾ 高通专业无线解决方案,支持新一代11AC无线技术,支持双频并发技术,采用独立功放及低噪声放 大器,无线性能优异; ¾ 配置3根2.4GHz 5dBi和3根5GHz 5dBi可拆卸高增益全向天线,无线速率高达1750Mbps; ¾ 内置高品质开关电源,无风扇静音设计; ¾ 提供2个固定WAN口和3个固定LAN口,所有端口均支持10/100/1000Mbps自适应和端口自动翻转 (Auto MDI/MDIX); ¾ 桌面型壳体。 -4- 丰富的功能特性 无线功能 ¾ TL-WVR450G和TL-WVR458G基于IEEE 802.11n(2.4GHz频段)无线标准,同时兼容IEEE 802.11b 和IEEE 802.11g标准,无线传输速率最高可达450Mbps; ¾ TL-WVR600G基于IEEE 802.11n标准,同时兼容IEEE 802.11a、IEEE 802.11b和IEEE 802.11g标 准,支持5GHz和2.4GHz双频段同时工作,无线传输速率最高可达600Mbps; ¾ TL-WVR1750G支持5GHz和2.4GHz双频段同时工作,5GHz频段支持下一代IEEE 802.11ac标准, 向下兼容IEEE 802.11a、IEEE 802.11n技术,无线传输速率最高可达1300Mbps,2.4GHz频段基于 IEEE 802.11n标准,同时兼容IEEE 802.11b和IEEE 802.11g标准,无线传输速率最高可达450Mbps; ¾ 支持WDS无线桥接功能,轻松扩展无线网络; ¾ 支持SSID隐藏、无线MAC地址过滤、WEP加密及WPA/WPA2、WPA-PSK/WPA2-PSK安全机制, 保障无线网络安全; ¾ 支持多个SSID,可为公司不同部门设置不同的SSID,并可通过启用访客网络功能,使得来访宾客 使用的无线网络与公司内网完全隔离。 双WAN口 ¾ TL-WVR450G/TL-WVR600G/TL-WVR1750G 提供2个固定WAN口,TL-WVR458G提供1个固定 WAN口,1个WAN/LAN可变口,满足企业双线接入的组网需求; ¾ 支持双线路负载均衡,通过采用智能均衡、特殊应用程序选路、ISP选路、策略选路等多种均衡策 略,充分利用WAN口带宽,保护用户投资; ¾ 支持WAN口备份功能,提供故障备份和时间备份两种备份模式,可在主线路中断后迅速将流量切换 至备份线路,保障网络正常运行。 上网行为管理 ¾ 应用限制:支持针对聊天类、P2P类、金融类、游戏类、代理类及基础类等数十种常见应用的一键 管控,有效限制可能降低企业员工工作效率的上网行为;同时支持基于用户组和时间段配置管控策 略,方便灵活分配上网权限,保障关键用户的正常上网。 ¾ 网址过滤:通过配置网站过滤和URL过滤规则,可对员工访问各种网站的权限进行管控,除了可以 禁止/允许员工访问各种网站外,还可以记录其访问历史信息,甚至可以弹出警告页面。此外还支持 网站分组功能,可方便地将庞杂的网站进行归类,供过滤规则调用,灵活而实用,同时路由器出厂 默认提供十多种网站分组,对于网管资源有限的中小型企业用户,可节省不少配置工作。 ¾ 网页安全:支持禁止网页提交,可限制员工登录各种基于网页的论坛、网站、邮箱等发表信息,避 免企业敏感数据外泄;支持过滤文件扩展类型,用户可方便地过滤内嵌在网页中的各种小文件,如 exe、rar、swf文件等,避免病毒、木马等通过这些小文件侵入企业网络,危害网络安全。 -5- ¾ 行为审计:路由器可根据网络管理员的要求实时记录企业员工的各类上网行为,并上传至行为审计 服务器。配合使用TP-LINK上网行为审计软件,可对上传至服务器的上网行为数据进行汇总分析, 并提供简洁明了的审计结果,便于网管人员及时了解员工上网行为,调整管控策略。 防火墙 ¾ 访问策略:通过配置访问控制策略,可允许或禁止特定应用数据流通过路由器,比如FTP下载、收 发邮件、Web浏览等,同时支持基于用户组和时间段配置策略,实现精细化管理。 ¾ ARP防护:支持IP与MAC地址自动扫描及一键绑定功能,有效防止ARP欺骗和非法接入;在遭受 ARP欺骗时,路由器可按照指定频率发送ARP更正信息,及时恢复网络正常状态。 ¾ 攻击防护:支持内外网攻击防护功能,可有效防范各种常见的DoS攻击、扫描类攻击、可疑包攻击 行为,如:TCP Syn Flood、UDP Flood、ICMP Flood、WinNuke攻击、分片报文攻击、WAN口ping、 TCP Scan(Stealth FIN/Xmas/Null)、IP欺骗等。 带宽控制 ¾ 支持智能带宽控制功能,可根据实际的带宽利用率灵活启用带宽控制策略,可针对网络中每一台主 机(IP)进行双向带宽控制,有效抑制BT、迅雷等P2P应用过度占用带宽,避免造成网络游戏卡、 上网速度慢的问题,保障网络时刻畅通。 连接数限制 ¾ 提供基于IP的连接数限制功能,可限制每一台电脑的连接数占有量,合理利用有限的NAT连接数资 源,防止少数用户过度占用大量连接数,确保游戏、上网、聊天、视频语音等顺畅进行。 VPN ¾ 提供标准的IPSec VPN功能,支持数据完整性校验、防数据包重放和数据加密功能(DES、3DES、 AES128、AES192、AES256等加密算法),支持IKE和手动模式建立VPN隧道,并支持通过域名方 式配置VPN连接; ¾ 提供L2TP/PPTP VPN功能,支持L2TP/PPTP VPN服务器和客户端模式:服务器模式通常部署在企 业总部,允许出差员工或分支结构远程安全接入公司网络;客户端模式通常部署在企业分支,可将 分支机构网络远程安全接入到公司网络。 端口镜像 ¾ 内置简单管理交换机,支持端口带宽控制和端口镜像等功能,满足公安部门的数据监控需求。 简单易用的管理 ¾ 支持全中文WEB网管,所有功能均可通过图形化界面进行配置,简单方便; ¾ 每一项配置均提供必要的帮助说明信息,有效降低配置难度。 灵活便捷的维护 ¾ 提供系统日志与日志服务器功能,详尽的日志信息便于快速发现网络异常并及时定位问题原因; -6- ¾ 支持本地及远程管理路由器,方便远程协助; ¾ 支持Ping检测及Tracert检测,方便快速确认网络连通状态。 2.3 产品外观 2.3.1 TL-WVR450G TL-WVR450G前面板如图 2-1所示: 图 2-1 TL-WVR450G前面板示意图 指示灯 指示灯 名称 状态描述 常亮表示系统供电正常 PWR 电源指示灯 不亮表示电源关闭或电源故障 闪烁表示系统工作正常 SYS 系统状态指示灯 常亮或不亮表示系统工作异常 快闪表示有无线数据传输 慢闪表示正常工作,无数据传输 常亮表示系统故障 WLAN 无线状态指示灯 不亮表示无线功能关闭 常亮表示相应端口已正常连接 闪烁表示相应端口正在传输数据 Link/Act 广域网和局域网状态指示灯 不亮表示相应端口未建立连接 绿色常亮表示端口工作在1000Mbps模式 黄色常亮表示端口工作在100Mbps模式 1000M/100M 速率指示灯 不亮表示端口工作在10Mbps模式或链路未建立 -7- Reset键 如果需要将路由器恢复到出厂默认设置,请在路由器通电的情况下,使用尖状物按住Reset键,待 系统指示灯快速闪烁5次后松开按键,路由器将自动恢复出厂设置并重启。恢复出厂设置后,默认管理 地址为http://192.168.1.1,默认用户名和密码均为admin。 5个10/100/1000Mbps自适应RJ45接口 TL-WVR450G支持10/100/1000Mbps带宽的连接设备。提供2个固定WAN口和3个固定LAN口,每 个接口对应一组指示灯,即Link/Act和1000M/100M指示灯。 TL-WVR450G后面板如图 2-2所示: 图 2-2 TL-WVR450G后面板示意图 天线 共三根,用于收发无线数据。 电源接口 位于后面板右侧,接入电源需为100-240V~ 50/60Hz 0.6A的交流电源。 肯辛通锁孔 TL-WVR450G提供一个安全锁孔,可以将肯辛通锁插入锁孔以防路由器被盗。 防雷接地柱 位于电源接口左侧,请使用导线接地,以防雷击。详细防雷措施请参见《设备防雷安装手册》。 -8- 注意: y 请使用原装电源线。 y 电源插座请安装在设备附近便于触及的位置,以方便操作。 2.3.2 TL-WVR458G TL-WVR458G前面板如图 2-3所示: 图 2-3 TL-WVR458G前面板示意图 指示灯 指示灯 名称 状态描述 常亮表示系统供电正常 PWR 电源指示灯 不亮表示电源关闭或电源故障 闪烁表示系统工作正常 SYS 系统状态指示灯 常亮或不亮表示系统工作异常 常亮表示已连接USB设备 USB USB设备连接状态指示灯 不亮表示未连接设备 快闪表示有无线数据传输 慢闪表示正常工作,无数据传输 常亮表示系统故障 WLAN 无线状态指示灯 不亮表示无线功能关闭 常亮表示相应端口已正常连接 闪烁表示相应端口正在传输数据 Link/Act 广域网和局域网状态指示灯 不亮表示相应端口未建立连接 绿色常亮表示端口工作在1000Mbps模式 黄色常亮表示端口工作在100Mbps模式 1000M/100M 速率指示灯 不亮表示端口工作在10Mbps模式或链路未建立 -9- Reset键 如果需要将路由器恢复到出厂默认设置,请在路由器通电的情况下,使用尖状物按住Reset键,待 系统指示灯快速闪烁5次后松开按键,路由器将自动恢复出厂设置并重启。恢复出厂设置后,默认管理 地址为http://192.168.1.1,默认用户名和密码均为admin。 9个10/100/1000Mbps自适应RJ45接口 TL-WVR458G支持10/100/1000Mbps带宽的连接设备。提供1个固定WAN口和7个固定LAN口,一 个WAN/LAN可变口,每个端口对应一组指示灯,即Link/Act和1000M/100M指示灯。 TL-WVR458G后面板如图 2-4所示: 图 2-4 TL-WVR458G后面板示意图 天线 共三根,用于收发无线数据。 电源接口 位于后面板右侧,接入电源需为100-240V~ 50/60Hz 0.6A的交流电源。 肯辛通锁孔 TL-WVR458G提供一个安全锁孔,可以将肯辛通锁插入锁孔以防路由器被盗。 防雷接地柱 位于电源接口左侧,请使用导线接地,以防雷击。详细防雷措施请参见《设备防雷安装手册》。 注意: y 请使用原装电源线。 y 电源插座请安装在设备附近便于触及的位置,以方便操作。 -10- 2.3.3 TL-WVR600G TL-WVR600G前面板如图 2-5所示: 图 2-5 TL-WVR600G前面板示意图 指示灯 指示灯 名称 状态描述 常亮表示系统供电正常 PWR 电源指示灯 不亮表示电源关闭或电源故障 闪烁表示系统工作正常 SYS 系统状态指示灯 常亮或不亮表示系统工作异常 快闪表示2.4GHz频段有无线数据传输 慢闪表示2.4GHz频段正常工作,无数据传输 常亮表示系统故障 2.4GHz 2.4GHz无线状态指示灯 不亮表示2.4GHz频段未工作 快闪表示5GHz频段有无线数据传输 慢闪表示5GHz频段正常工作,无数据传输 常亮表示系统故障 5GHz 5GHz无线状态指示灯 不亮表示5GHz频段未工作 常亮表示相应端口已正常连接USB设备 USB USB设备连接状态指示灯 不亮表示相应端口未建立连接 常亮表示相应端口已正常连接 闪烁表示相应端口正在传输数据 Link/Act 广域网和局域网状态指示灯 不亮表示相应端口未建立连接 -11- 指示灯 名称 状态描述 绿色常亮表示端口工作在1000Mbps模式 黄色常亮表示端口工作在100Mbps模式 1000M/100M 速率指示灯 不亮表示端口工作在10Mbps模式或链路未建立 Reset键 如果需要将路由器恢复到出厂默认设置,请在路由器通电的情况下,使用尖状物按住Reset键,待 系统指示灯快速闪烁5次后松开按键,路由器将自动恢复出厂设置并重启。恢复出厂设置后,默认管理 地址为http://192.168.1.1,默认用户名和密码均为admin。 5个10/100/1000Mbps自适应RJ45接口 TL-WVR600G支持10/100/1000Mbps带宽的连接设备。提供2个固定WAN口和3个固定LAN口,每 个接口对应一组指示灯,即Link/Act和1000M/100M指示灯。 1个USB接口 TL-WVR600G提供一个标准USB 2.0接口,位于面板左边,对应一个USB指示灯。 TL-WVR600G后面板如图 2-6所示: 图 2-6 TL-WVR600G后面板示意图 天线 TL-WVR600G有四根天线,可拆卸,用于收发无线数据。 -12- 电源接口 位于后面板右侧,接入电源需为100-240V~ 50/60Hz 0.6A的交流电源。 肯辛通锁孔 TL-WVR600G提供一个安全锁孔,可以将肯辛通锁插入锁孔以防路由器被盗。 防雷接地柱 位于电源接口左侧,请使用导线接地,以防雷击。详细防雷措施请参见《设备防雷安装手册》。 注意: y 请使用原装电源线。 y 电源插座请安装在设备附近便于触及的位置,以方便操作。 2.3.4 TL-WVR1750G TL-WVR1750G前面板如图 2-7所示: 图 2-7 TL-WVR1750G前面板示意图 指示灯 指示灯 名称 状态描述 常亮表示系统供电正常 PWR 电源指示灯 不亮表示电源关闭或电源故障 闪烁表示系统工作正常 SYS 系统状态指示灯 常亮或不亮表示系统工作异常 快闪表示2.4GHz频段有无线数据传输 慢闪表示2.4GHz频段正常工作,无数据传输 常亮表示系统故障 2.4GHz 2.4GHz无线状态指示灯 不亮表示2.4GHz频段未工作 -13- 指示灯 名称 状态描述 快闪表示5GHz频段有无线数据传输 慢闪表示5GHz频段正常工作,无数据传输 常亮表示系统故障 5GHz 5GHz无线状态指示灯 不亮表示5GHz频段未工作 常亮表示相应端口已正常连接 闪烁表示相应端口正在传输数据 Link/Act 广域网和局域网状态指示灯 不亮表示相应端口未建立连接 绿色常亮表示端口工作在1000Mbps模式 黄色常亮表示端口工作在100Mbps模式 1000M/100M 速率指示灯 不亮表示端口工作在10Mbps模式或链路未建立 常亮表示相应端口已正常连接USB设备 USB USB设备连接状态指示灯 不亮表示相应端口未建立连接 Reset键 如果需要将路由器恢复到出厂默认设置,请在路由器通电的情况下,使用尖状物按住Reset键,待 系统指示灯快速闪烁5次后松开按键,路由器将自动恢复出厂设置并重启。恢复出厂设置后,默认管理 地址为http://192.168.1.1,默认用户名和密码均为admin。 5个10/100/1000Mbps自适应RJ45接口 TL-WVR1750G支持10/100/1000Mbps带宽的连接设备。提供2个固定WAN口和3个固定LAN口,每 个接口对应一组指示灯,即Link/Act和1000M/100M指示灯。 1个USB接口 TL-WVR1750G提供一个标准USB 2.0接口,位于面板最右边,对应一个USB指示灯。 -14- TL-WVR1750G后面板如图 2-8所示: 图 2-8 TL-WVR1750G后面板示意图 天线 侧面板左右各三根,用于收发无线数据。 电源接口 位于后面板右侧,接入电源需为100-240V~ 50/60Hz 0.6A的交流电源。 肯辛通锁孔 TL-WVR1750G提供一个安全锁孔,可以将肯辛通锁插入锁孔以防路由器被盗。 防雷接地柱 位于电源接口左侧,请使用导线接地,以防雷击。详细防雷措施请参见《设备防雷安装手册》。 注意: y 请使用原装电源线。 y 电源插座请安装在设备附近便于触及的位置,以方便操作。 -15- 第3章 配置指南 3.1 快速安装指南 第一次登录时,需要确认以下几点: 1) 路由器已正常加电启动,任一LAN口已与管理主机相连。 2) 管理主机已正确安装有线网卡及该网卡的驱动程序、并已正确安装IE 6.0或以上版本的浏览器。 3) 管理主机IP地址已设为与路由器LAN口同一网段,即192.168.1.X(X为2至254之间的任意整 数),子网掩码为255.255.255.0,默认网关为路由器管理地址192.168.1.1。也可选择“自动获 得IP地址”来通过路由器DHCP自动分配IP地址。 4) 为保证能更好地体验Web界面显示效果,建议将显示器的分辨率调整到1024×768或以上像素。 打开IE浏览器,在地址栏输入http://192.168.1.1登录路由器的Web管理界面。 路由器登录界面如图 3-1所示。在此界面输入路由器管理账号的用户名和密码,出厂缺省值为 admin/admin。 图 3-1 路由器登录界面 -16- 成功登录后会弹出设置向导界面,如图 3-2所示。如果没有自动弹出,可以单击主页左侧快速配置 菜单进入。单击<下一步>,开始设置。 图 3-2 设置向导 在图 3-2所示界面,单击<下一步>,进入无线设置界面,如图 3-3所示。 图 3-3 TL-WVR450G无线设置 无线功能 开启无线功能,接入本无线网络的主机将可以访问现有网络资源。 SSID SSID(Service Set Identifier,服务集标识),是无线局域网用于身份验证 的登录名,只有通过身份验证的用户才可以访问本无线网络。 描述 对该SSID的描述。 -17- 安全选项 为保障网络安全,推荐选择WPA-PSK/WPA2-PSK AES加密。如选择“不修 改无线安全设置”,路由器将保持原本的加密设置。 PSK密码 该项是WPA-PSK/WPA2-PSK的初始设置密钥,设置时,要求为8-63个 ASCII字符或8-64个十六进制字符。 请在如图 3-4所示的界面选择要设置的WAN口,然后单击<下一步>,进入上网方式选择界面。 图 3-4 WAN口选择 如图 3-5所示,上网方式选择界面提供了三种最常用的上网方式,请根据ISP(Internet Service Provider,网络服务提供商)提供的服务进行选择,然后单击<下一步>进行设置。 图 3-5 上网方式 -18- 1) 如果上网方式为PPPoE,即ADSL虚拟拨号方式,则需要填写以下内容: 图 3-6 上网方式-PPPoE 上网账号 填入ISP指定的ADSL上网账号,不清楚可以向ISP询问。 上网密码 填入ISP指定的ADSL上网密码,不清楚可以向ISP询问。 2) 如果上网方式为动态IP,即可以自动从网络服务商处获取IP地址,则不需要填写任何内容。 3) 如果上网方式为静态IP,即拥有网络服务商提供的固定IP地址,则需要填写以下内容: 图 3-7 上网方式-静态IP IP地址 填入ISP提供的IP地址,不清楚可以向ISP询问。 -19- 子网掩码 填入ISP提供的子网掩码,一般为255.255.255.0。 网关地址 填入ISP提供的网关地址,不清楚可以向ISP询问。允许留空。 首选DNS服务器 填入ISP提供的DNS服务器地址,不清楚可以向ISP询问。允许留空。 备用DNS服务器 如果ISP提供了两个DNS服务器地址,则可以把另一个DNS服务器的IP地 址填于此处。允许留空。 设置完成后,单击<下一步>,如果更改了无线设置,将出现图 3-8所示的配置完成界面,单击<保 存并重启>使无线设置生效,或者单击<继续>进行其他WAN口的设置。如果没有更改无线设置,将出现 图 3-9所示的配置完成界面,单击<完成>退出设置向导,或者单击<继续>进行其他WAN口的设置。 图 3-8 配置完成-重启 图 3-9 配置完成-完成 -20- 3.2 Web界面简介 3.2.1 界面总览 无线企业VPN路由器典型的Web界面如图 3-10所示。 图 3-10 典型Web界面 在图 3-11中可以看到,左侧为一级、二级菜单栏,右侧上方长条区域为菜单下的标签页,当一个菜 单包含多个标签页时,可以通过点击标签页的标题在同级菜单下切换标签页。右侧标签页下方区域可分 为两部分,条目配置区以及列表管理区。 -21- 图 3-11 Web界面区域划分 3.2.2 界面常见按钮及操作 按钮 含义 保存最终的配置。 说明: 更改每一个配置后,<新增>和<设置>按钮只能使当前配置在设备未重启前生效;若需要在重启设备后配 置依旧生效,则需要点击<保存配置>按钮。建议在断电重启前<保存配置>,以免丢失配置信息。 ¾ 条目配置区常见按钮 按钮 含义 添加当前配置条目。 提交当前的配置。 修改并保存编辑后的配置信息。 -22- 按钮 含义 快速清空当前配置项中已输入的所有信息。 打开当前功能的帮助页面。 说明: <修改>按钮只有当编辑列表中的规则/条目时才会出现,取代原本的<新增>按钮。 ¾ 列表管理区常见按钮 按钮 含义 选中当前列表中所有规则/条目。 启用选中的规则/条目,可批量操作。 禁用选中的规则/条目,可批量操作。 删除选中的规则/条目,可批量操作。 刷新列表。 按照指定关键字段搜索相应的规则。 ¾ 列表管理区常见操作 按钮 名称 含义 编辑 点击后,需要编辑的规则/条目内容会出现在列表上方的配置管理区, 原<新增>按钮同时变为<修改>按钮。在配置管理区修改当前配置后, 点击<修改>按钮保存生效。该操作不可批量进行。 -23- 按钮 名称 含义 启用/生效 点击后,修改当前规则/条目状态。该操作不可批量进行。 禁用/不生效 点击后,修改当前规则/条目状态。该操作不可批量进行。 删除 点击后,删除当前规则/条目。该操作不可批量进行。 -24- 第4章 功能设置 4.1 运行状态 4.1.1 系统状态 系统状态界面显示路由器当前系统资源使用情况、各接口配置信息以及无线状态。 界面进入方法:运行状态 >> 系统状态 >> 系统状态 图 4-1 系统状态界面 4.1.2 流量统计 4.1.2.1 IP流量统计 流量统计界面将显示接入路由器LAN口的局域网设备向广域网发出数据的流量统计。 界面进入方法:运行状态 >> 流量统计 >> IP流量统计 -25- 图 4-2 IP流量统计界面 界面项说明: ¾ 功能设置 勾选“启用流量统计”,IP流量统计功能才会生效; 勾选“启用自动刷新”,路由器每隔10秒刷新一次该页面。 ¾ 流量统计列表 IP地址 显示进行IP流量统计的IP地址。 当前传输速率 路由器最近统计的数据传输速率,单位为KB/s。 上行:每秒从LAN口向WAN口发送的数据量。 下行:每秒从WAN口向LAN口发送的数据量。 当前包速率 路由器最近统计的每秒发包个数,单位为Pkt/s。 上行:每秒从LAN口向WAN口发送的数据包个数。 下行:每秒从WAN口向LAN口发送的数据包个数。 总包数 路由器总共统计的数据包,具体为从上一次清零到最近一次统计的结果。 上行:总共从LAN口向WAN口发送的数据包个数。 下行:总共从WAN口向LAN口发送的数据包个数。 -26- 总字节数 路由器总共统计的字节数,具体为从上一次清零到最近一次统计的结果。 上行:总共从LAN口向WAN口发送的字节数。 下行:总共从WAN口向LAN口发送的字节数。 当前连接数 该IP目前的连接数目。 说明: 在流量统计列表中,可以按照不同的表头对流量统计列表进行排序,方法是点击列表中带下划线的表头 文字,例如IP地址,默认排序方式为,按IP地址排序从小到大,再点击一次IP地址,排序方式将变为, 按IP地址排序从大到小。 4.1.2.2 接口流量统计 接口流量界面显示路由器所有正在工作的接口的数据接收/发送速率,以及接收的IP分片数据包和IP 异常包统计。 界面进入方法:运行状态 >> 流量统计 >> 接口流量统计 图 4-3 接口流量统计界面 界面项说明: ¾ 功能设置 勾选“启用流量统计”,接口流量统计功能才会生效; 勾选“启用自动刷新”,路由器每隔10秒刷新一次该页面。 ¾ 接口流量统计 接口 显示当前统计的接口名称。 -27- 接收速率 接口接收数据帧速率,单位为Kbps。 发送速率 接口发送数据帧速率,单位为Kbps。 接收总包数 接口接收数据包个数,单位为Pkt。 发送总包数 接口发送数据包个数,单位为Pkt。 接收总字节数 接口接收总字节数,单位为Byte。 发送总字节数 接口发送总字节数,单位为Byte。 接收IP分片 接口接收到的IP分片个数,单位为Pkt。IP分片是指接收到的大小超过 WAN口允许接收的最大值,需要分片传输的数据包。 接收IP异常包 接口接收到的IP异常包个数,单位为Pkt。IP异常包是指IP封装字段非正 常的数据包。 4.2 快速配置 详见 3.1快速安装指南。 4.3 基本设置 4.3.1 接口模式 TL-WVR458G提供1个WAN/LAN可变口,可以选择WAN口模式为单WAN口或双WAN口。 说明: TL-WVR450G/TL-WVR600G/TL-WVR1750G没有此功能。 TL-WVR458G出厂默认为双WAN口模式,切换WAN口模式可能导致配置信息丢失。若有重要配置 信息,请在切换模式前备份。 -28- 界面进入方法:基本设置 >> 接口模式 >> 接口模式 图 4-4 接口模式设置界面 请根据实际需求选择路由器的WAN模式。路由器会根据不同的WAN口模式对各物理端口做出相应 配置,具体请参考图 4-4中的产品接口示意图。 4.3.2 WAN设置 4.3.2.1 WAN1设置 无线企业VPN路由器提供五种方式接入广域网:静态IP、动态IP、PPPoE、L2TP、PPTP,请根据 ISP(Internet Service Provider,网络服务提供商)提供的服务进行选择。 ¾ 有线宽频一般使用动态IP连接方式; ¾ 光纤接入以及企业、网吧局域网内组网一般使用静态IP连接方式; ¾ xDSL拨号上网则使用PPPoE连接方式; ¾ 虚拟专用拨号网络一般使用L2TP或PPTP连接方式。 界面进入方法:基本设置 >> WAN设置 >> WAN1设置 -29- 1) 静态IP连接 若ISP提供了固定的IP地址,请选择静态IP手动配置WAN口参数。 图 4-5 WAN口设置界面-静态IP 界面项说明: ¾ 静态IP设置 连接方式 选择静态IP连接方式,进行手动配置。 IP地址 设置路由器WAN口的IP地址。 子网掩码 设置路由器WAN口的子网掩码。 网关地址 设置网关地址,允许留空。 首选DNS服务器 设置DNS(Domain Name Server,域名解析服务器)地址,一般由ISP 提供,允许留空。 备用DNS服务器 设置备用DNS地址,一般由ISP提供,允许留空。 -30- 上行带宽 设置当前WAN接口数据流出的带宽大小。 下行带宽 设置当前WAN接口数据流入的带宽大小。 参与流量均衡 勾选此项,该接口将参与流量均衡。当此连接方式用于上网时,建议勾 选本项,以实现带宽叠加。 高级配置 点击此项,将展开静态IP的高级参数配置项。 接口名称 设置当前WAN口的名称。 MTU MTU(Maximum Transmission Unit,最大传输单元),可以设置数据 包的最大长度。取值范围是576-1500之间的整数,默认值为1500。若 ISP未提供MTU值,请保持默认值不变。 开放端口池 设置作为NAT源端口的端口范围,范围跨度必须大于或等于100。可设 置范围为2049-65000。NAT功能请参考 4.6.1 NAT设置。 自动配置NAPT规则 默认勾选此项,系统自动为该接口配置相应NAPT规则。 ¾ 静态IP状态 接口名称 显示当前WAN口的名称。 IP地址 显示路由器WAN口的IP地址。 子网掩码 显示路由器WAN口的子网掩码。 网关地址 显示网关地址。 首选DNS服务器 显示DNS地址。 备用DNS服务器 显示备用DNS地址。 MAC地址 显示接口的MAC地址。 ¾ 静态IP连接列表 显示当前WAN口设置的静态IP连接条目。 -31- 2) 动态IP连接 若ISP提供DHCP自动分配地址服务,请选择动态IP自动获取WAN口参数。 图 4-6 WAN口设置界面-动态IP 界面项说明: ¾ 动态IP设置 连接方式 选择动态IP连接方式。 主机名 输入用于标识路由器的名称。 首选DNS服务器 设置DNS地址,一般由ISP提供,允许留空。 备用DNS服务器 设置备用DNS地址,一般由ISP提供,允许留空。 上行带宽 设置当前WAN接口数据流出的带宽大小。 下行带宽 设置当前WAN接口数据流入的带宽大小。 参与流量均衡 勾选此项,该接口将参与流量均衡。当此连接方式用于上网时,建议勾 选本项,以实现带宽叠加。 -32- 高级配置 点击此项,将展开动态IP的高级参数配置项。 接口名称 设置当前WAN口的名称。 MTU MTU(Maximum Transmission Unit,最大传输单元),可以设置数据 包的最大长度。取值范围是576-1500之间的整数,默认值为1500。若 ISP未提供MTU值,请保持默认值不变。 开放端口池 设置作为NAT源端口的端口范围,范围跨度必须大于或等于100。可设 置范围为2049-65000。NAT功能请参考 4.6.1 NAT设置。 自动配置NAPT规则 默认勾选此项,系统自动为该接口配置相应NAPT规则。 ¾ 动态IP状态 接口名称 显示当前WAN口的名称。 连接状态 显示当前WAN口DHCP分配状态。 “物理未连接”表示接口物理链路未建立,请检查网线接口连接是否正确, 网线是否完好; “未启用”表示当前已选择动态IP连接方式但未保存生效; “正在连接”表示当前路由器正在向ISP获取IP参数; “已连接”表示路由器已成功获取IP参数; “未连接”表示已手动释放连接,或路由器已发起请求,但未得到响应, 请检查连接线路是否正常,若问题无法解决,请与ISP联系。 IP地址 显示自动获取到的IP地址。 子网掩码 显示自动获取到的子网掩码。 网关地址 显示自动获取到的网关地址。 首选DNS服务器 显示DNS地址。 备用DNS服务器 显示备用DNS地址。 -33- MAC地址 显示接口的MAC地址。 ¾ 动态IP连接列表 显示当前WAN口设置的动态IP连接条目。 3) PPPoE连接 若使用xDSL/Cable Modem拨号接入互联网,ISP会提供上网账号及密码,请选择PPPoE连接方式。 图 4-7 WAN口设置界面-PPPoE -34- 界面项说明: ¾ PPPoE拨号设置 用户名 PPPoE拨号的用户名,由ISP提供。 密码 PPPoE拨号的密码,由ISP提供。 上行带宽 设置当前WAN接口数据流出的带宽大小。 下行带宽 设置当前WAN接口数据流入的带宽大小。 特殊拨号 请根据需求选择拨号模式。如果正常拨号模式下无法连接成功,请依次 尝试不同的特殊拨号模式。默认为自动选择特殊拨号模式,路由器会自 动尝试不同的特殊拨号模式。 连接方式 • 手动连接:用户可在需要上网时手动点击<连接>按钮连入互联网, 适合按小时计费的拨号连接上网方式。 • 自动连接:每次接通路由器电源,路由器便自动拨号连入互联网, 适合不限时间的包月计费拨号连接上网方式。 • 定时连接:设置连接时段,在此时段内路由器如果开启则自动拨号 连接,适合用于需要限时上网的场合。 参与流量均衡 勾选此项,该接口将参与流量均衡。当此拨号方式用于上网时,建议勾 选本项,以实现带宽叠加。 高级配置 点击此项,将展开PPPoE拨号的高级参数配置项。 接口名称 设置当前接口的名称。 检测间隔时间 设置检测间隔时间,路由器将会按照指定的间隔时间向ISP发送Keep Alive数据包,用于检测链路是否正常。默认值为0,表示不检测链路。 检测重试次数 设置检测重试次数,路由器按照指定的检测间隔时间向ISP发送Keep Alive数据包,如果没有收到ISP回应包的连续重试次数达到设置的值, 路由器会断开连接。 -35- MTU MTU(Maximum Transmission Unit,最大传输单元),可以设置数据 包的最大长度。取值范围是576-1492之间的整数,默认值为1460。若 ISP未提供MTU值,请保持默认值不变。 开放端口池 设置作为NAT源端口的端口范围,范围跨度必须大于或等于100。可设 置范围为2049-65000。NAT功能请参考 4.6.1 NAT设置。 服务名 输入服务名称,由ISP提供。 首选DNS服务器 设置DNS地址,一般由ISP提供,允许留空。 备用DNS服务器 设置备用DNS地址,一般由ISP提供,允许留空。 自动配置NAPT规则 默认勾选此项,系统自动为该接口配置相应NAPT规则。 ¾ PPPoE拨号状态 接口名称 显示当前接口的名称。 连接状态 显示当前WAN口PPPoE拨号连接状态。 “物理未连接”表示接口物理链路未建立,请检查网线接口连接是否正确, 网线是否完好; “未启用”表示当前已选择PPPoE拨号连接方式但未保存生效; “正在连接”表示当前路由器正在向ISP获取IP参数; “已连接”表示路由器已成功获取IP参数; “未连接”表示已手动断开连接,或路由器已发起请求,但未得到响应, 请检查用户名密码是否正确、连接线路是否正常,若问题无法解决,请 与ISP联系。 IP地址 显示通过PPPoE拨号后获取到的IP地址。 网关地址 显示通过PPPoE拨号后获取到的网关地址。 首选DNS服务器 显示DNS地址。 备用DNS服务器 显示备用DNS地址。 -36- MAC地址 显示接口的MAC地址。 ¾ PPPoE拨号连接列表 显示当前WAN口设置的PPPoE拨号连接条目,可以在此对已存在的条目进行相关操作。 4) L2TP连接 若使用L2TP虚拟专用拨号接入网络,ISP会提供上网账号及密码,请选择L2TP连接方式进行设置。 图 4-8 WAN口设置界面-L2TP 界面项说明: ¾ L2TP拨号设置 用户名 L2TP拨号的用户名,由ISP提供。 -37- 密码 L2TP拨号的密码,由ISP提供。 出接口 选择出接口,L2TP客户端和L2TP服务端通过此接口建立连接。 服务器地址 L2TP拨号的服务器的IP地址或域名,由ISP提供。 上行带宽 设置当前WAN接口数据流出的带宽大小。 下行带宽 设置当前WAN接口数据流入的带宽大小。 连接方式 • 手动连接:用户可在需要上网时手动点击<连接>按钮连入互联网, 适合按小时计费的拨号连接上网方式。 • 自动连接:每次接通路由器电源,路由器便自动拨号连入互联网, 适合不限时间的包月计费拨号连接上网方式。 • 定时连接:设置连接时段,在此时段内路由器如果开启则自动拨号 连接,适合用于需要限时上网的场合。 加密方式 是否对隧道进行加密。若启用,则使用IPSec对L2TP隧道加密。选择的 IPSec策略必须是IKE协商方式,且IKE安全策略必须为传输模式,若需 要主动发起协商,请选择初始者模式。 参与流量均衡 勾选此项,该接口将参与流量均衡。当此拨号方式用于上网时,建议勾 选本项,以实现带宽叠加。 高级配置 点击此项,将展开L2TP拨号的高级参数配置项。 接口名称 可以指定要创建接口的名字,当前最多可以输入15个英文字符。 MTU MTU(Maximum Transmission Unit,最大传输单元),可以设置数据 包的最大长度。取值范围是576-1460之间的整数,默认值为1460。若 ISP未提供MTU值,请保持默认值不变。 开放端口池 设置作为NAT源端口的端口范围,范围跨度必须大于或等于100。可设 置范围为2049-65000。NAT功能请参考 4.6.1 NAT设置。 添加默认路由 默认勾选此项,系统自动为该接口添加默认路由规则。 自动配置NAPT规则 默认勾选此项,系统自动为该接口配置相应NAPT规则。 -38- ¾ L2TP拨号状态 接口名称 显示当前接口的名称。 连接状态 显示当前WAN口L2TP拨号连接状态。 “物理未连接”表示接口物理链路未建立,请检查网线接口连接是否正确, 网线是否完好; “未启用”表示当前已选择L2TP拨号连接方式但未保存生效; “正在连接”表示当前路由器正在向ISP获取IP参数; “已连接”表示路由器已成功获取IP参数; “未连接”表示已手动断开连接,或路由器已发起请求,但未得到响应, 请检查用户名密码是否正确、连接线路是否正常,若问题无法解决,请 与ISP联系。 IP地址 显示通过L2TP拨号后获取到的IP地址。 网关地址 显示通过L2TP拨号后获取到的网关地址。 首选DNS服务器 显示DNS地址。 备用DNS服务器 显示备用DNS地址。 MAC地址 显示接口的MAC地址。 ¾ L2TP拨号连接列表 显示当前WAN口设置的L2TP拨号连接条目,可以在此对已存在的条目进行相关操作。 -39- 5) PPTP连接 若使用PPTP虚拟专用拨号接入网络,ISP会提供上网账号及密码,请选择PPTP连接方式进行设置。 图 4-9 WAN口设置界面-PPTP 界面项说明: ¾ PPTP拨号设置 用户名 PPTP拨号的用户名,由ISP提供。 密码 PPTP拨号的密码,由ISP提供。 出接口 选择出接口,PPTP客户端和PPTP服务端通过此接口建立连接。 服务器地址 PPTP拨号的服务器的IP地址或域名,由ISP提供。 -40- 上行带宽 设置当前WAN接口数据流出的带宽大小。 下行带宽 设置当前WAN接口数据流入的带宽大小。 连接方式 • 手动连接:用户可在需要上网时手动点击<连接>按钮连入互联网, 适合按小时计费的拨号连接上网方式。 • 自动连接:每次接通路由器电源,路由器便自动拨号连入互联网, 适合不限时间的包月计费拨号连接上网方式。 • 定时连接:设置连接时段,在此时段内路由器如果开启则自动拨号 连接,适合用于需要限时上网的场合。 参与流量均衡 勾选此项,该接口将参与流量均衡。当此拨号方式用于上网时,建议勾 选本项,以实现带宽叠加。 高级配置 点击此项,将展开PPTP拨号的高级参数配置项。 接口名称 可以指定要创建接口的名字,当前最多可以输入15个英文字符。 MTU MTU(Maximum Transmission Unit,最大传输单元),可以设置数据 包的最大长度。取值范围是576-1460之间的整数,默认值为1460。若 ISP未提供MTU值,请保持默认值不变。 开放端口池 设置作为NAT源端口的端口范围,范围跨度必须大于或等于100。可设 置范围为2049-65000。NAT功能请参考 4.6.1 NAT设置。 添加默认路由 默认勾选此项,系统自动为该接口添加默认路由规则。 自动配置NAPT规则 默认勾选此项,系统自动为该接口配置相应NAPT规则。 MPPE加密 默认勾选此项,表示使用MPPE对PPTP隧道进行加密。 -41- ¾ PPTP拨号状态 接口名称 显示当前接口的名称。 连接状态 显示当前WAN口PPTP拨号连接状态。 “物理未连接”表示接口物理链路未建立,请检查网线接口连接是否正确, 网线是否完好; “未启用”表示当前已选择PPTP拨号连接方式但未保存生效; “正在连接”表示当前路由器正在向ISP获取IP参数; “已连接”表示路由器已成功获取IP参数; “未连接”表示已手动断开连接,或路由器已发起请求,但未得到响应, 请检查用户名密码是否正确、连接线路是否正常,若问题无法解决,请 与ISP联系。 IP地址 显示通过PPTP拨号后获取到的IP地址。 网关地址 显示通过PPTP拨号后获取到的网关地址。 首选DNS服务器 显示DNS地址。 备用DNS服务器 显示备用DNS地址。 MAC地址 显示接口的MAC地址。 ¾ PPTP拨号连接列表 显示当前WAN口设置的PPTP拨号连接条目,可以在此对已存在的条目进行相关操作。 4.3.2.2 WAN2设置 设置方式同WAN1口,详见 4.3.2.1 WAN1设置。 -42- 4.3.3 LAN设置 4.3.3.1 LAN设置 在此设置路由器LAN口的IP参数。 界面进入方法:基本设置 >> LAN设置 >> LAN设置 图 4-10 LAN口设置界面 界面项说明: ¾ 接口设置 IP地址 设置路由器LAN口的IP地址,默认值为192.168.1.1,可根据实际网络情 况修改此值。局域网内部可通过该地址访问路由器。 子网掩码 设置路由器LAN口的子网掩码,默认为255.255.255.0,可根据实际网 络情况修改此值。 修改LAN口属性后自动 配置DHCP服务 如果选择此项,系统会自动生成LAN的地址池。 说明: 若LAN口IP地址有修改,必须在保存配置后使用新的LAN口地址登录路由器Web管理界面。并且,局域 网内所有计算机网关地址、子网掩码必须与修改后的LAN口设置保持一致,才能正常通信。 -43- 4.3.3.2 DHCP服务 路由器具有DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)服务功能,能够为 所有接入路由器并且应用DHCP服务的网络设备自动分配IP参数。 界面进入方法:基本设置 >> LAN设置 >> DHCP服务 图 4-11 DHCP服务设置界面 界面项说明: ¾ 服务设置 地址池 DHCP服务器地址池的范围。由对象管理中的IP地址池来进行配置管 理。 地址租期 设置DHCP分配地址有效时间,超时将重新分配。 网关地址 设置DHCP分配给客户端的网关地址,推荐设置为LAN口IP地址,允许 留空。 缺省域名 设置本地网域名,允许留空。 首选DNS服务器 设置DNS地址,推荐设为路由器LAN口IP地址,允许留空。 备用DNS服务器 设置备用DNS地址,允许留空。 启用/禁用服务 选择开启或关闭DHCP服务。若希望路由器自动为计算机配置TCP/IP 参数,请选择“启用”。 -44- 4.3.3.3 客户端列表 客户端列表显示已由DHCP分配IP参数的主机信息。 界面进入方法:基本设置 >> LAN设置 >> 客户端列表 图 4-12 客户端列表界面 可通过客户端列表查询DHCP客户端信息。如要获得最新DHCP服务分配的客户端信息,请点击<刷 新>按钮。 4.3.3.4 静态地址分配 可根据接入设备的MAC地址手动分配IP地址。当对应的客户端设备请求DHCP服务器分配IP地址时, DHCP服务器将自动为其分配指定的IP地址。 界面进入方法:基本设置 >> LAN设置 >> 静态地址分配 图 4-13 静态地址分配设置界面 -45- 界面项说明: ¾ 静态地址 MAC地址 设置待分配IP地址的客户端的MAC地址。 IP地址 指定当前MAC地址所对应的客户端的IP地址。 备注 添加对本条目的说明信息。 是否生效 选择是否使本条目生效。 ¾ 地址列表 在静态地址列表中,可以对已保存的静态IP地址分配规则进行相应操作。 图 4-13 序号1 规则的含义:MAC 地址为00-19-66-83-53-CF 的客户端,指定其IP 地址为 192.168.1.101,该规则已禁用。 说明: <导入>是指从IP MAC绑定列表中导入静态地址条目。为了避免冲突,建议先进行IP MAC绑定,具体操 作请参考 4.7.1ARP防护,然后点击图 4-13静态地址分配设置界面中的<导入>按钮,直接获取IP MAC 绑定列表中的静态地址条目。在<导入>过程中,如果提示IP/MAC条目与静态地址条目有冲突,发生冲 突的条目不会被导入,没有发生冲突的条目会继续被导入。 4.3.4 MAC设置 路由器MAC地址是它在网络中的身份标志,一般来说无需更改。 LAN口MAC设置: 在一个所有设备都进行了ARP绑定的复杂拓扑中,如果其中一个网络节点的路由器更换为无线企业 VPN路由器,为避免该节点下面接入的所有网络设备都更新ARP绑定表,直接将无线企业VPN路由器的 LAN口MAC地址设置为原路由器的MAC地址即可。 WAN口MAC设置: 有些ISP要求上网账号与拨号设备的MAC绑定,若此时拨号设备更换为无线企业VPN路由器,只需 将路由器WAN口的MAC地址设置为原拨号设备的MAC地址即可。 界面进入方法:基本设置 >> MAC设置 >> MAC设置 -46- 图 4-14 MAC设置界面 界面项说明: ¾ MAC设置 接口 显示当前路由器各接口。 当前MAC地址 显示当前各接口的MAC地址。 设置 如需恢复初始状态,请点击<恢复出厂MAC>按钮。如需将当前MAC地 址设置为管理主机MAC地址,即当前登录路由器进行配置管理的主机 MAC地址,请点击<克隆管理主机MAC>按钮。 说明: 为了防止局域网内MAC地址冲突,路由器LAN口的MAC地址不能设置成当前管理主机的MAC地址。 4.3.5 交换机设置 无线企业VPN路由器具备一些简单的交换机端口管理功能。在此可以实时查看路由器各端口的数据 流通状况,并进行相应的控制和管理。 -47- 4.3.5.1 端口统计 用于交换信息的数据包在数据链路层通常称为“帧”。可以通过此功能查看各个端口收发数据帧的统 计信息。 界面进入方法:基本设置 >> 交换机设置 >> 端口统计 图 4-15 端口统计界面 界面项说明: ¾ 统计列表 单播帧 目的MAC地址为单播MAC地址的正常数据帧数目。 广播帧 目的MAC地址为广播MAC地址的正常数据帧数目。 流控帧 接收/发送的流量控制数据帧数目。 多播帧 目的MAC地址为多播MAC地址的正常数据帧数目。 过小帧 收到的长度小于64字节的数据帧数目(包含校验和错误的帧)。 正常帧 收到的长度在64字节到1518字节之间的数据帧数目(包含错误帧)。 过大帧 收到的长度大于1518字节的数据帧数目(包含错误帧)。 点击<清空所有>按钮可以一次清空所有统计数据。 -48- 4.3.5.2 端口监控 可以在此开启和设置端口监控功能。被监控端口的报文会被自动复制到监控端口,以便网络管理人 员实时查看被监控端口传输状况的详细资料,对其进行流量监控、性能分析和故障诊断。 界面进入方法:基本设置 >> 交换机设置 >> 端口监控 图 4-16 端口监控设置界面 界面项说明: ¾ 功能设置 启用端口监控 勾选即启用端口监控。推荐勾选,方便及时了解路由器端口报文信息。 监控模式 选择对数据包进行“输入监控”、“输出监控”或者“输入输出监控”。 ¾ 监控列表 监控端口 只能选择一个端口做监控端口。 被监控端口 被监控端口可以为多个,但不包含当前的监控端口。 图 4-16监控列表的含义是:端口4被选作监控端口,它将对其他端口进行输出监控。 应用举例 某企业网络出现异常状况,需要利用端口监控功能捕获网络中的所有数据进行分析。 可通过端口监控实现此需求。勾选“启用端口监控”,并选择“输入输出监控”的监控模式,设置端口3 为监控端口,监控其它端口的输入输出数据,如图 4-17所示。设置完成后,点击<设置>按钮。 -49- 图 4-17 端口监控应用设置界面 4.3.5.3 端口流量限制 可以在此开启各端口的流量限制功能并进行相应设置。 界面进入方法:基本设置 >> 交换机设置 >> 端口流量限制 图 4-18 端口流量限制设置界面 界面项说明: ¾ 功能设置 端口 显示所有物理端口,需要对某个端口进行流量限制时,在其对应行设置即可。 入口限制状态 勾选“启用”后,后续设置的入口限制模式和速率才会生效。 入口限制模式 有“所有帧”、“广播和多播”和“广播”三种模式,选择其一。 -50- 入口限制速率 设置入口限制速率。 出口限制状态 勾选“启用”,后续设置的出口限制速率才会生效。 出口限制速率 设置出口限制速率。 4.3.5.4 端口参数 可以在此启用各物理端口及其流量限制,并根据需要设定其协商模式。 界面进入方法:基本设置 >> 交换机设置 >> 端口参数 图 4-19 端口参数设置界面 界面项说明: ¾ 功能设置 端口状态 只有勾选了“启用”该端口才会有数据包的传输,即物理意义上的开启。 流量控制 推荐勾选“启用”以控制调节各端口数据包转发的速率,避免出现拥塞。 协商模式 有10M全/半双工、100M全/半双工、1000M全双工、自协商6种模式可选, 择需使用。 所有端口 这一栏可对以上所有端口进行统一设置,比如同时启用或禁用。 4.3.5.5 端口状态 可以在此查看各个端口的基本状态。 界面进入方法:基本设置 >> 交换机设置 >> 端口状态 -51- 图 4-20 端口状态界面 4.3.5.6 Port VLAN VLAN(Virtual Local Area Network,虚拟局域网)是从逻辑上而非物理上,将整个局域网分割成几 个不同的广播域,数据只能在VLAN内进行交换。 一个稍具规模的网络如果只有一个广播域,那么在网络内不断发送的广播包很容易造成广播风暴, 消耗网络整体带宽,并给网络中的主机带来额外的负担。划分VLAN以后,数据只会在自己所属的VLAN 内广播,所以可以控制广播风暴,同时还能增强网络安全,简化网络管理。 无线企业VPN路由器提供基于端口划分VLAN的Port VLAN功能,可以把路由器的若干LAN口从逻辑 上划分为多个VLAN。 界面进入方法:基本设置 >> 交换机设置 >> Port VLAN 图 4-21 Port VLAN设置界面 界面项说明: ¾ 功能设置 网络 标识各个物理端口此时属于的逻辑网络。 VLAN 配置各端口所属VLAN。 -52- 说明 Port VLAN的划分只能在LAN口中进行。 4.4 无线设置 4.4.1 无线网络设置 无线网络与有线网络相对应,其使用无线信号通讯,无需连接网线。路由器允许多个无线终端设备 同时接入到无线网络,减少对接口的需求。 注意: • 本手册中Web界面都以TL-WVR450G机型为例介绍。TL-WVR450G/TL-WVR458G为单频无线产品。 TL-WVR600G/TL-WVR1750G 为双频无线产品,无线设置分为2.4GHz 和 5GHz 两部分,与 TL-WVR450G/TL-WVR458G有所不同,但基本配置方式类似,配置时请以实际情况为准。 • 本系列路由器中无线功能设置完成后需要重启路由器才能生效,且在路由器重启完成前请保证电源稳 定,避免强行断电。 4.4.1.1 基本设置 可以在此进行无线网络的基本设置,组建无线局域网,并可以为无线网络加密,保障其安全性。 界面进入方法:无线设置 >> 无线网络设置 >> 基本设置 图 4-22 无线网络基本设置界面 -53- 界面项说明: ¾ 功能设置 无线功能 选择“启用”可以开启无线功能,接入本无线网络的主机将可以访问现有 网络资源。 信道 以无线信号作为传输媒体的数据信号传送的通道,选择范围从1到13。 若选自动,则路由器会根据周围的环境自动选择一个最少被使用的信 道。 模式 该项用于设置路由器的无线工作模式。推荐使用11bgn mixed模式。 频段带宽 设置无线数据传输时所占用的信道宽度,可选项有:自动、20MHz和 40MHz。该设置是11n模式所特有的配置,只有模式为11n only或者 11bgn mixed时,频段带宽才可配置。若是路由器设置了频段带宽,但 是连接路由器的客户端网卡为11a/b/g系列,此设置将不生效。 说明: 关于模式选择,如果选择11b only,则只有支持11b模式的设备才可以连接上路由器,11g only和11n only 类似。如果选择11bg mixed,则只有支持11b或者11g模式的设备才可以连接上路由器。因此,若是所有 与路由器连接的无线设备都使用同一种传输模式,则可以选择only模式,否则需要选择mixed模式。 ¾ 无线参数 SSID SSID(Service Set Identifier,服务集标识),是无线局域网用于身份验 证的登录名,只有通过身份验证的用户才可以访问本无线网络。 描述 对该SSID的描述。 SSID广播 选择“启用”可以开启SSID广播,路由器将向无线网络中的主机广播 SSID,这样主机就能搜索到其无线信号,并可以加入该SSID标识的无 线网络。 AP内部隔离 选择此项可以隔离关联到AP的各个无线站点。 -54- 安全选项 设置该SSID的安全选项。如果不需要对无线网络加密,能够让任意主机 接入无线网络,则可以选择“关闭无线安全选项”;如果需要对无线网络 加密,请选择页面中三种安全类型中的一种进行无线安全设置。为保障 网络安全,推荐开启安全设置。 本路由器提供三种安全类型:WPA-PSK/WPA2-PSK、WPA/WPA2以及 WEP,推荐使用WPA-PSK/WPA2-PSK AES加密方法。不同的安全类型 下,安全设置项不同,下面将详细介绍。 1) WPA-PSK/WPA2-PSK WPA-PSK/WPA2-PSK安全类型是基于共享密钥的WPA模式,安全性很高,设置也比较简单, 适合普通家庭用户和小型企业使用。 认证类型 该项用来选择系统采用的安全模式,即自动、WPA-PSK、WPA2-PSK。 默认选项为自动,路由器会根据主机请求自动选择WPA-PSK或 WPA2-PSK安全模式。 加密算法 该项用来选择对无线数据进行加密的安全算法,选项有自动、TKIP、 AES。以下为选项的详细介绍。 自动:选择该项后,路由器将根据网卡端的加密方式自动选择TKIP或 AES加密方式。 TKIP(Temporal Key Integrity Protocol,暂时密钥集成协议):负责处 理无线安全问题的加密部分。 AES(Advanced Encryption Standard,高级加密标准):是美国国家 标准与技术研究所用于加密电子数据的规范。该算法汇聚了设计简单、 密钥安装快、需要的内存空间少、在所有的平台上运行良好、支持并 行处理并且可以抵抗所有已知攻击等优点。 PSK密码 该项是WPA-PSK/WPA2-PSK的初始设置密钥,设置时,要求为8-63 个ASCII字符或8-64个十六进制字符。 -55- 组密钥更新周期 该项设置广播和组播密钥的定时更新周期,以秒为单位,最小值为30, 若该值为0,则表示不进行更新。 2) WPA/WPA2 WPA/WPA2是采用Radius服务器进行身份认证并得到密钥的WPA或WPA2安全模式。由于要 架设一台专用的认证服务器,代价比较昂贵且维护也很复杂,所以不推荐普通用户使用此安 全类型。 认证类型 该项用来选择系统采用的安全模式,即自动、WPA、WPA2。默认选 项为自动,选择该项后,路由器会根据主机请求自动选择WPA或WPA2 安全模式。 加密算法 该项用来选择对无线数据进行加密的安全算法,选项有自动、TKIP、 AES。以下为选项的详细介绍。 自动:选择该项后,路由器将根据网卡端的加密方式自动选择TKIP或 AES加密方式。 TKIP(Temporal Key Integrity Protocol,暂时密钥集成协议):负责处 理无线安全问题的加密部分。 AES(Advanced Encryption Standard,高级加密标准):是美国国家 标准与技术研究所用于加密电子数据的规范。该算法汇聚了设计简单、 密钥安装快、需要的内存空间少、在所有的平台上运行良好、支持并 行处理并且可以抵抗所有已知攻击等优点。 Radius服务器IP Radius服务器用来对无线网络内的主机进行身份认证,此项用来设置 该服务器的IP地址。 -56- Radius端口 Radius服务器用来对无线网络内的主机进行身份认证,此项用来设置 该Radius认证服务采用的端口号。 Radius密码 该项用来设置访问Radius服务的密码。 组密钥更新周期 该项设置广播和组播密钥的定时更新周期,以秒为单位,最小值为30, 若该值为0,则表示不进行更新。 3) WEP WEP是Wired Equivalent Privacy的缩写,它是一种基本的加密方法,其安全性不如另外两种 安全类型高。选择WEP安全类型,路由器将使用802.11基本的WEP安全模式。 认证类型 该项用来选择系统采用的安全模式,即自动、开放系统、共享密钥。以 下为选项的详细介绍。 自动:选择该项后,路由器会根据主机请求自动选择开放系统或共享密 钥方式。 开放系统:选择该项后,路由器将采用开放系统方式。此时,无线网络 内的主机可以在不提供认证密码的前提下,通过认证并关联上无线网 络,但是若要进行数据传输,必须提供正确的密码。 共享密钥:选择该项后,路由器将采用共享密钥方式。此时,无线网络 内的主机必须提供正确的密码才能通过认证,否则无法关联上无线网 络,也无法进行数据传输。 密钥格式 该项用来选择即将设置的密钥的形式,包括16进制、ASCII码。若采用 16进制,则密钥字符只能为0-9,A、B、C、D、E、F;若采用ASCII 码,则密钥字符可以是键盘上的任意字符。 密钥选择 可以预先配置4条密钥,并根据需要选择当前生效的WEP密钥。 -57- WEP密钥 请输入需要设置的密钥。密钥的长度和有效字符范围受密钥类型的影 响。如果没有设置任何密钥,无线数据将不进行加密。 密钥类型 可以选择使用64位、128位或152位的WEP密钥,选择“禁用”将不使用该 密钥。以下为密钥长度详细说明。 64位密钥:需输入16进制字符10个,或者ASCII码字符5个。 128位密钥:需输入16进制字符26个,或者ASCII码字符13个。 152位密钥:需输入16进制字符32个,或者ASCII码字符16个。 说明: y 无线网络内的主机若想连接该路由器,其无线参数必须与此处设置一致。 y 802.11n 不支持 WEP 加密方式,若选择 WEP 加密,路由器可能工作在较低的传输速率上。 y 802.11n 不支持 TKIP 算法,如果选择了 11n only 模式,则无法选择 TKIP 算法;如果模式选择为 bgn mixed 且选择 TKIP 算法,则路由器不会连接在 11n 模式上。TKIP 是 WPA-PSK/WPA2-PSK 和 WPA/WPA2 加密方式中加密算法的选项。 4.4.1.2 Multi-SSID设置 可以在此建立多个无线局域网。 界面进入方法:无线设置 >> 无线网络设置 >> Multi-SSID设置 -58- 图 4-23 Multi-SSID设置界面 界面项说明: ¾ 功能设置 Multi-SSID 选择“启用”可以开启Multi-SSID功能,路由器能建立多个无线局域网。 SSID间隔离 选择“启用”可以开启SSID间隔离功能,则连接在不同SSID上的主机之间 不能互相通信,从而限制不同无线局域网之间的访问。 ¾ Multi-SSID设置 SSID SSID(Service Set Identifier,服务集标识),是无线局域网用于身份验 证的登录名,只有通过身份验证的用户才可以访问本无线网络。 -59- 描述 对该SSID的描述。 安全选项 设置该SSID的安全选项。如果不需要对无线网络加密,能够让任意主机 接入无线网络,则可以选择“关闭无线安全选项”;如果需要对无线网络加 密,请选择页面中三种安全类型中的一种进行无线安全设置。为保障网 络安全,推荐开启安全设置。 本路由器提供三种安全类型:WPA-PSK/WPA2-PSK、WPA/WPA2以及 WEP,推荐使用WPA-PSK/WPA2-PSK AES加密方法。不同的安全类型 下,安全设置项不同,下面将详细介绍。 SSID广播 选择“启用”可以开启该SSID广播,路由器将向无线网络中的主机广播该 SSID,这样主机就能搜索到其无线信号,并可以加入该SSID标识的无线 网络。 访客网络 选择该SSID是否为访客网络。访客网络中的主机将不能与LAN口或其他 SSID的主机通信。 AP内部隔离 选择此项可以隔离关联到AP的各个无线站点。 启用/禁用此SSID 选择该SSID是否启用。 1) WPA-PSK/WPA2-PSK WPA-PSK/WPA2-PSK安全类型是基于共享密钥的WPA模式,安全性很高,设置也比较简单, 适合普通家庭用户和小型企业使用。 认证类型 该项用来选择系统采用的安全模式,即自动、WPA-PSK、WPA2-PSK。 默认选项为自动,路由器会根据主机请求自动选择WPA-PSK或 WPA2-PSK安全模式。 -60- 加密算法 该项用来选择对无线数据进行加密的安全算法,选项有自动、TKIP、 AES。以下为选项的详细介绍。 自动:选择该项后,路由器将根据网卡端的加密方式自动选择TKIP或 AES加密方式。 TKIP(Temporal Key Integrity Protocol,暂时密钥集成协议):负责 处理无线安全问题的加密部分。 AES(Advanced Encryption Standard,高级加密标准):是美国国家 标准与技术研究所用于加密电子数据的规范。该算法汇聚了设计简单、 密钥安装快、需要的内存空间少、在所有的平台上运行良好、支持并 行处理并且可以抵抗所有已知攻击等优点。 PSK密码 该项是WPA-PSK/WPA2-PSK的初始设置密钥,设置时,要求为8-63 个ASCII字符或8-64个十六进制字符。 组密钥更新周期 该项设置广播和组播密钥的定时更新周期,以秒为单位,最小值为30, 若该值为0,则表示不进行更新。 2) WPA/WPA2 WPA/WPA2是采用Radius服务器进行身份认证并得到密钥的WPA或WPA2安全模式。由于要 架设一台专用的认证服务器,代价比较昂贵且维护也很复杂,所以不推荐普通用户使用此安 全类型。 认证类型 该项用来选择系统采用的安全模式,即自动、WPA、WPA2。默认选 项为自动,选择该项后,路由器会根据主机请求自动选择WPA或WPA2 安全模式。 -61- 加密算法 该项用来选择对无线数据进行加密的安全算法,选项有自动、TKIP、 AES。以下为选项的详细介绍。 自动:选择该项后,路由器将根据网卡端的加密方式自动选择TKIP或 AES加密方式。 TKIP(Temporal Key Integrity Protocol,暂时密钥集成协议):负责 处理无线安全问题的加密部分。 AES(Advanced Encryption Standard,高级加密标准):是美国国家 标准与技术研究所用于加密电子数据的规范。该算法汇聚了设计简单、 密钥安装快、需要的内存空间少、在所有的平台上运行良好、支持并 行处理并且可以抵抗所有已知攻击等优点。 Radius服务器IP Radius服务器用来对无线网络内的主机进行身份认证,此项用来设置 该服务器的IP地址。 Radius端口 Radius服务器用来对无线网络内的主机进行身份认证,此项用来设置 该Radius认证服务采用的端口号。 Radius密码 该项用来设置访问Radius服务的密码。 组密钥更新周期 该项设置广播和组播密钥的定时更新周期,以秒为单位,最小值为30, 若该值为0,则表示不进行更新。 3) WEP WEP是Wired Equivalent Privacy的缩写,它是一种基本的加密方法,其安全性不如另外两种 安全类型高。选择WEP安全类型,路由器将使用802.11基本的WEP安全模式。 -62- 认证类型 该项用来选择系统采用的安全模式,即自动、开放系统、共享密钥。以 下为选项的详细介绍。 自动:选择该项后,路由器会根据主机请求自动选择开放系统或共享密 钥方式。 开放系统:选择该项后,路由器将采用开放系统方式。此时,无线网络 内的主机可以在不提供认证密码的前提下,通过认证并关联上无线网络, 但是若要进行数据传输,必须提供正确的密码。 共享密钥:选择该项后,路由器将采用共享密钥方式。此时,无线网络 内的主机必须提供正确的密码才能通过认证,否则无法关联上无线网络, 也无法进行数据传输。 密钥格式 该项用来选择即将设置的密钥的形式,包括16进制、ASCII码。若采用16 进制,则密钥字符只能为0-9,A、B、C、D、E、F;若采用ASCII码, 则密钥字符可以是键盘上的任意字符。 密钥选择 可以预先配置4条密钥,并根据需要选择当前生效的WEP密钥。 WEP密钥 请输入需要设置的密钥。密钥的长度和有效字符范围受密钥类型的影响。 如果没有设置任何密钥,无线数据将不进行加密。 密钥类型 可以选择使用64位、128位或152位的WEP密钥,选择“禁用”将不使用该 密钥。以下为密钥长度详细说明。 64位密钥:需输入16进制字符10个,或者ASCII码字符5个。 128位密钥:需输入16进制字符26个,或者ASCII码字符13个。 152位密钥:需输入16进制字符32个,或者ASCII码字符16个。 说明: y 无线网络内的主机若想连接该路由器,其无线参数必须与此处设置一致。 y 802.11n不支持WEP加密方式,若选择WEP加密,路由器可能工作在较低的传输速率上。 y 802.11n不支持TKIP算法,如果选择了11n only模式,则无法选择TKIP算法;如果模式选择为bgn mixed且选择TKIP算法,则路由器不会连接在11n 模式上。TKIP是WPA-PSK/WPA2-PSK和 WPA/WPA2加密方式中加密算法的选项。 -63- ¾ Multi-SSID列表 在Multi-SSID列表中,可以对已保存的Multi-SSID条目进行相应设置。序号1条目不可在此设置, 如需修改,请至 4.4.1.1 基本设置页面进行。 图 4-23序号2条目的含义:SSID为tplink的无线网络没有加密,并且已启用,任何主机都可以通过 无线连接到此无线网络。 说明: y 开启 Multi-SSID 后,WDS 功能将失效。 y Multi-SSID 设置中,TL-WVR600G/TL-WVR1750G 最多可添加 15 个 SSID,加上基本设置里的主 SSID 则最多为 16 个;TL-WVR450G/TL-WVR458G 最多可添加 7 个 SSID,加上基本设置里的主 SSID 则最多为 8 个。 y 本路由器仅允许一个 SSID 使用 WEP 加密。 4.4.1.3 WDS设置 WDS(Wireless Distribution System,无线分布式系统),是可以让无线AP(Access Point,访问 接入点)或者无线路由器之间通过无线进行桥接或中继,而在此过程中并不影响其无线设备覆盖效果的 功能。通过在路由器上开启WDS功能,可以让其延伸扩展无线信号,扩大无线网络覆盖范围,方便无线 上网。 图 4-24 WDS典型拓扑 界面进入方法:无线设置 >> 无线网络设置 >> WDS设置 -64- 图 4-25 WDS设置界面 界面项说明: ¾ 功能设置 WDS 勾选“启用”可以开启WDS功能,则能够桥接多个无线局域网。 (桥接的)SSID 要桥接的AP的SSID。 (桥接的)BSSID 要桥接的AP的BSSID(Basic Service Set Identity,基础服务集标识), 即AP的MAC地址。 扫描 点击<扫描>按钮,可以扫描路由器周围的无线局域网。 (桥接的)信道 以无线信号作为传输媒体的数据信号传送的通道,输入范围从1到13。 密钥类型 这个选项需要根据桥接的AP的加密类型来设定,最好保持此加密方式 和您AP的加密方式相同。 WEP密钥序号 如果是WEP加密的情况,这个选项需要根据桥接的AP的WEP密钥的序 号来设定。 -65- 认证类型 如果是WEP加密的情况,这个选项需要根据桥接的AP的认证类型来设 定。 密钥 根据桥接的AP的密钥设置来设置该项。 说明: y 开启 WDS 后,Multi-SSID 功能将失效。 y 与路由器进行 WDS 连接的 AP,只需要工作在 AP 模式且支持 IPv4 地址即可,不需要额外的配置。 4.4.1.4 高级设置 此界面用于设置路由器的高级无线功能,建议这些操作由专业人员进行,因为不正确的设置可能会 降低路由器的无线性能。对于一般用户而言,出厂配置的高级设置已经可以满足需求。 界面进入方法:无线设置 >> 无线网络设置 >> 高级设置 图 4-26 无线网络高级设置界面 界面项说明: ¾ 功能设置 WMM 选择“启用”WMM后路由器具有无线服务质量功能,可以对音频、视频 数据优先处理,保证音频、视频数据的优先传输。推荐勾选此项。 发射功率 设置路由器发射功率的大小。 -66- Beacon时槽 Beacon帧是无线路由的广播包,用于发布无线路由支持的SSID无线网 络。STA(Station,站)通过收到的Beacon帧判断该SSID是否还存在, 如果长时间都没有收到该SSID的Beacon帧,则STA可以认为该SSID已 经不存在,STA就会自动断开与该SSID的连接,从而实现无线网络连接 同步。 Beacon时槽表示路由器发送Beacon广播的频率。默认值为100毫秒, 取值范围是40-1000毫秒。 说明: TL-WVR1750G 机型 5GHz 频段的高级设置界面没有发射功率设置选项。 4.4.2 无线MAC过滤 4.4.2.1 无线MAC地址过滤 在此可以通过指定MAC地址对部分无线网络内主机进行过滤。 界面进入方法:无线设置 >> 无线MAC过滤 >> 无线MAC地址过滤 图 4-27 无线MAC地址过滤设置界面 -67- 界面项说明: ¾ 功能设置 每个SSID都能分别独立配置无线MAC地址过滤规则,可以在“作用域”下拉菜单中选择已经设置的 SSID,选择某个SSID后将进入对应的无线MAC地址过滤规则配置页面。如需新建SSID,请至 4.4.1.2 Multi-SSID设置页面进行。 若需要严格控制无线局域网内某些计算机访问无线网络,推荐勾选“启用无线MAC地址过滤”,并根 据实际情况选择一种过滤规则。 设置完成后点击<设置>按钮生效。 ¾ MAC地址过滤规则 MAC地址 输入被管理的计算机的MAC地址。 备注 添加对本条目的说明信息。 ¾ 规则列表 在规则列表中,可以对已保存的MAC地址过滤规则条目进行相应设置。 4.4.3 无线主机状态 此页面显示连接到本无线网络中的所有主机的基本信息。点击<刷新>按钮,可以更新列表中的条目 信息。点击<清空>按钮,可以清空列表中主机收发数据包的统计值。 界面进入方法:无线设置 >> 无线主机状态 >> 无线主机状态 图 4-28 无线主机状态设置界面 -68- 界面项说明: ¾ 功能设置 可以在“主机状态列表显示范围”下拉菜单中选择已经设置的SSID,默认为“ALL”,显示范围为所有无 线网络。如需新建SSID,请至 4.4.1.2 Multi-SSID设置页面进行。 ¾ 主机状态 MAC地址 显示当前已经连接到无线网络的主机的MAC地址。 所属SSID 显示当前主机所连接的无线SSID名称。 当前状态 显示当前主机的运行状态。 发送总包数 显示当前主机发送的数据包总数。 接收总包数 显示当前主机接收的数据包总数。 发送总字节数 显示当前主机发送的字节总数。 接收总字节数 显示当前主机接收的字节总数。 上传速率 显示当前主机的上传速率。 下载速率 显示当前主机的下载速率。 4.5 对象管理 说明: 对象管理中所有功能的条目,一旦添加,出现在列表管理区,将不能修改条目名称。 4.5.1 地址管理 4.5.1.1 地址组 可以在此创建、修改或者删除组。 界面进入方法:对象管理 >> 地址管理 >> 地址组 -69- 图 4-29 组设置界面 界面项说明: ¾ 组设置 名称 输入一个名称来标识一个组,可以输入1-28个字符。 备注 添加对当前组的说明信息。 ¾ 组列表 在组列表中,可以对已创建的组进行相应设置。序号1条目为系统自动添加条目,表示所有IP地址, 该条目不可操作。序号2条目也是系统自动添加条目,表示LAN网段所有IP地址,该条目不可操作。 说明: 若地址组正被其他规则引用,则该地址组无法删除。 4.5.1.2 地址 可以在此添加、修改或者删除用户。 界面进入方法:对象管理 >> 地址管理 >> 地址 -70- 图 4-30 地址设置界面 界面项说明: ¾ 地址设置 名称 输入一个名称来标识地址,可以输入1~50个字符。 IP类型 在此建立源地址范围。主要有以下2种表示方式。 IP段:由起始IP地址到结束IP地址确定IP地址范围。 IP/MASK:由IP地址和子网掩码确定IP地址范围。 备注 添加对当前地址的说明信息。 ¾ 地址列表 在地址列表中,可以对已创建的条目进行相应设置。序号1条目为系统自动添加条目,表示所有IP 地址,该条目不可操作。序号2条目也是系统自动添加条目,表示LAN网段所有IP地址,该条目不 可操作。 4.5.1.3 视图 可以在此设置地址组视图。 界面进入方法:对象管理 >> 地址管理 >> 视图 -71- 图 4-31 视图设置界面 界面项说明: ¾ 视图设置 组名 在下拉菜单中选择所需设置的地址组。 可选地址 显示该组可以包含的地址或子组。在可选地址列表中,选择一个地址或 子组,点击< >> >按钮将其移至包含地址列表中后,此地址或子组就包 含在所选的组中。 包含地址 显示该组已经包含的地址或子组。在包含地址列表中,选择一个地址或 子组,点击< << >按钮将其移至可选地址列表中后,此地址或子组就会 从该组中被移除。 -72- 4.5.2 时间管理 4.5.2.1 时间组 可以在此创建、修改或者删除时间组。 界面进入方法:对象管理 >> 时间管理 >> 时间组 图 4-32 时间组设置界面 界面项说明: ¾ 时间组 名称 自定义的时间对象名称。注意不能与已有的时间对象的名称重复,且名 称长度不能超过50个字符。 备注 添加对当前时间组的说明信息。 星期 选择周循环的具体日期。 -73- 时间段 设置一天24小时内的工作时间段。通过输入起止时间进行同一天内的时 间段添加。时间段由两个部分组成: 开始时间:时间段的起始时间,由时分组成,格式为(00:00)。 结束时间:时间段的截止时间,由时分组成,格式为(00:00)。 可以输入时间段的范围为00:00-24:00,时间段的每个设置框最多允许输 入两位数字,一个设置框中输入完两位数字后,将自动跳转到下一个设 置框。输入完成后,点击< + >按钮可以添加时间段,点击< - >可以删除 已经添加的时间段。最多可以设置12个不同时间段,各个时间段之间不 能有交叠。 ¾ 时间组列表 在时间组列表中,可以对已创建的时间组进行相应设置。 图 4-32序号1条目是路由器预定义的一个时间组,表示所有时间,此时间组不可编辑、删除。序 号2条目的含义是:这个时间组的名称为time1,表示的时间范围是每一天上午8点到11点。 说明: 若时间组正被其他规则引用,则该时间组无法删除。 4.5.3 IP地址池 可以通过本页面设置IP地址池条目,进行地址池的管理。 界面进入方法:对象管理 >>IP地址池 >> IP地址池 图 4-33 IP地址池设置界面 -74- 界面项说明: ¾ 地址池设置 地址池名称 自定义地址池的名称。 地址池范围 由地址池起始IP和地址池结束IP组成,且地址池起始IP必须不大于地址 池结束IP,而且不能与已有的地址池范围重叠。当前一个地址池最多可 以包含1024个IP地址。 启用/禁用 选择启用或禁用IP地址池条目。 ¾ 地址池列表 在地址池列表中,可以对已创建的条目进行相应设置。 4.5.4 服务类型 可以在本页面设置自定义服务类型。 界面进入方法:对象管理 >> 服务类型 >> 服务类型 图 4-34 服务类型设置界面 -75- 界面项说明: ¾ 服务类型 服务名称 自定义服务的名称。 协议类型 在此选择服务所使用的协议。 源端口范围 输入服务所使用的源端口范围,仅TCP或UDP协议需要设置。 目的端口范围 输入服务所使用的目的端口范围,仅TCP或UDP协议需要设置。 ICMP 当协议类型选择为ICMP时,请输入ICMP协议的类型(Type)和编码 (Code),填充255时表明所有类型/编码。 备注 输入对服务类型的具体描述。 ¾ 规则列表 在规则列表中,可以对已创建的条目进行相应设置。 4.6 传输控制 4.6.1 NAT设置 路由器通过NAT(Network Address Translation,网络地址转换)技术,可以在局域网主机主动发 起对广域网的访问时实现双方的互相通信。其原理是:当通信数据包经过路由器时,NAT技术会将数据 包中的IP地址在局域网地址与广域网地址间转换,同时也进行端口号的转换。 如今随着计算机的普及,广域网IP地址已经供不应求,通过NAT技术,局域网内所有主机在通信时 可以使用一个广域网IP地址,而局域网内不同的主机使用不同的端口号,解决了IP地址紧缺的问题。 在应用了NAT及其扩展技术的网络环境中,局域网主机是不会直接被广域网主机发现的,因此NAT 也为局域网提供了一定的网络安全保障。当有广域网主机需要主动访问局域网主机时,就必须通过转发 规则来实现。 4.6.1.1 一对一NAT 一对一NAT,可以将局域网IP地址与广域网IP地址唯一对应,通常用于局域网内的服务器搭建。用 户可以通过一对一NAT映射后的广域网地址访问局域网中的服务器,配置动态DNS功能则可以通过域名 来访问服务器。 界面进入方法:传输控制 >> NAT设置 >> 一对一NAT -76- 图 4-35 一对一NAT界面 界面项说明: ¾ NAT映射 映射名称 输入该映射条目的名称,例如可以根据服务器提供的服务特性命名。 映射地址 输入服务器的局域网IP地址和提供NAT地址转换的IP地址。第一个输入 框中应填写局域网IP地址,第二个输入框中应填写映射后的IP地址。 出接口 选择此一对一NAT映射规则的生效接口。当数据包从该接口转发时,设 备根据映射后的地址对数据包进行地址转换;对映射后地址的访问请求 将转发到局域网中的服务器上。 DMZ转发 设置是否开启该条NAT映射条目的DMZ转发。开启DMZ转发后,规则 生效接口收到目的IP地址为映射后地址的数据包时,将把数据包转发给 局域网服务器。如果广域网用户需要自由的访问局域网服务器,需要开 启DMZ转发,若不开启,路由器将拒绝用户对服务器的访问。 备注 添加对本条目的说明信息,非必填项。 启用/禁用规则 选择“启用”,则使该规则条目生效; 选择“禁用”,则使该规则条目失效。 -77- ¾ 映射列表 在映射表中,可以对已保存的NAT映射条目进行相应设置。 图 4-35序号1条目的含义:路由器通过接口“wan1_eth”转发来自设备192.168.1.10的数据包时, 将对数据包做NAT地址转换,将源IP地址转换为201.0.0.1;此条目没有开启DMZ转发,“wan1_eth” 接口收到目的地址为201.0.0.1的访问请求时,会拒绝处理。 说明: 只有当接口的IP地址为手动设置的静态IP地址时,才能够配置成一对一NAT功能的出接口。 4.6.1.2 NAPT 当局域网中多台设备需要访问广域网时,而网络中只有少量接口连接到Internet时,需要配置NAPT 功能,使多台设备能够共享ISP接口上网。设置本功能后,源地址范围内主机发出的数据包通过指定出 接口转发时,将对数据包源IP地址和传输协议端口的NAPT地址转换,使用出接口的IP地址和传输协议 端口与内网主机应用对应。 界面进入方法:传输控制 >> NAT设置 >> NAPT 图 4-36 NAPT界面 -78- 界面项说明: ¾ NAPT规则 规则名称 输入该规则条目的名称。 源地址范围 设置IP地址范围,相应的NAPT规则条目只对源地址为设定范围内的数 据包生效。 出接口 选择该NAPT规则的生效接口,当数据包的源IP地址在源地址内,且从 该接口转发时,路由器将对数据包进行NAPT地址转换。默认选中下拉 列表中显示的第一个接口。 备注 添加对本条目的说明信息,非必填项。 启用/禁用规则 选择“启用”,则使该规则条目生效; 选择“禁用”,则使该规则条目失效。 ¾ 映射列表 在映射列表中,可以对已保存的NAPT规则进行相应设置。序号1和2条目为系统自动添加条目,不 可操作。 说明: y 当局域网中所有主机均需要访问 Internet 时,需要为所有子网都建立 NAPT 规则,此时可以通过设 置全 0 规则快速设置,源地址范围设置为 0.0.0.0/0 即可。设置全 0 规则时,请不要设置其他 NAPT 规则,否则会引起范围冲突导致无法配置成功。 y 设置 NAPT 规则时,请注意出接口相同的 NAPT 规则源地址范围不互相重叠,否则会引起范围冲突 导致无法配置成功。 y 如果 NAPT 中添加非 LAN 网段的 IP 源地址范围,需要在静态路由中添加对应路由条目。 应用举例 如图 4-37所示,在企业原有网络中,利用三层交换机组建一个交换式网络,但因网络需求变更,网 络中192.168.2.0/24网段和192.168.10.0/24网段需要访问网络,并从电信和联通各申请了一条线路同时 提供上网服务,两条线路实现负载均衡,网络通过路由器上网。 分析如下: 1) 针对192.168.2.0/24网段和192.168.10.0/24网段,需要创建NAPT规则,保证路由器从电信和 联通外线接口转发这两个网段的数据包时做NAPT地址转换。 -79- 2) 针对192.168.10.0/24网段,当路由器从电信和联通外线接口收到发往192.168.10.0/24网段的 数据包时需要从192.168.1.1/24接口发送,因此需要在路由器上创建路由规则。 图 4-37 NAPT功能组网应用 配置步骤: 路由器要完成上述网络需求,需要配置NAPT功能和路由功能,配置步骤如下: 1) 设置NAPT规则,必须操作。界面进入方法:传输控制 >> NAT设置 >> NAPT。配置 192.168.2.0/24和192.168.10.0/24两个网段的数据从电信和联通两个接口转发时做NAPT地址 转换,分别需要建立两个NAPT规则条目。 2) 设置静态路由,必须操作。界面进入方法:传输控制 >> 路由设置 >> 静态路由。对于网段 192.168.10.0/24,其通过三层交换机连接到路由器的192.168.1.1/24接口,因此需要在路由器 上建立静态路由条目,使网络192.168.10.0/24在路由器上路由可达。静态路由条目配置如图 4-38所示。 -80- 图 4-38 静态路由设置 其中目的地址和子网掩码表示此静态路由条目指向的目标网络,下一跳指通往目标网络的路径上下 一个网络节点的IP地址,出接口表示从路由器上的哪个接口转发数据包,Metric表示该路径的度量值, 请保持为0,以保证该静态路由条目为最优路径。静态路由相关配置方法请参考 4.6.5 路由设置。 4.6.1.3 虚拟服务器 在路由器默认设置下,广域网中的主机不能直接与局域网主机进行通信。为了方便广域网的合法用 户访问本地主机,又要保护局域网内部不受侵袭,路由器提供了虚拟服务器功能。 可以通过虚拟服务器定义一个服务端口,并以IP地址指定其对应的局域网服务器,则广域网所有对 此端口的服务请求都将被重定位到该服务器上。这样广域网的用户便能成功访问局域网中的服务器,同 时不影响局域网内部的网络安全。 界面进入方法:传输控制 >> NAT设置 >> 虚拟服务器 -81- 图 4-39 虚拟服务器设置界面 界面项说明: ¾ 虚拟服务 接口 选择规则生效接口,当此处设置的接口收到特定外部端口的访问请求时 将把数据发给局域网服务器。 服务名称 输入该虚拟服务器的名称,例如可以根据服务器提供的服务特性命名。 外部端口 输入路由器提供给广域网访问时使用的端口,本例中使用12892端口。 内部端口 输入局域网服务器提供服务的端口,如本例中是80端口。 服务协议 选择TCP,UDP协议,或者可以都选,(根据内网服务器提供的服务类 型而定)。 内部服务器IP 输入服务器的局域网IP地址。 启用/禁用规则 选择“启用”,则使该规则条目生效; 选择“禁用”,则使该规则条目失效。 -82- 说明: y 外部端口与内部端口的取值范围均为 1-65535 之间的任意整数。 y 不同虚拟服务器规则的外部端口取值不能相同,内部端口取值可相同。 ¾ 服务列表 在服务列表中,可以对已保存的虚拟服务器规则进行相应设置。 图 4-39序号1规则的含义:广域网用户向接口“isp1”的12892端口发送访问请求时,该请求将被转 发给局域网中的服务器192.168.100.5的80端口上,并由真实的服务器192.168.100.5提供服务。 4.6.1.4 端口触发 由于防火墙的存在,一些如网络游戏、视频会议、网络电话、P2P下载等应用程序需要通过设置转 发规则才能正常工作,而这些应用程序又要求多个端口连接,针对单一端口的虚拟服务器功能已不能满 足需求,此时就需要使用端口触发功能。 当一个应用程序向触发端口发起连接时,对应开放端口中的所有端口就会打开,以备后续连接。 界面进入方法:传输控制 >> NAT设置 >> 端口触发 图 4-40 端口触发设置界面 -83- 界面项说明: ¾ 端口触发 接口 选择规则生效接口。当路由器收到触发端口的访问请求时,将从此接口 转发数据包,以接口IP地址做NAT地址转换,但不转换传输层协议端口, 同时打开此接口的相关开放端口。 服务名称 输入服务条目的名称,名称长度需在28个字符以内,中英文均可,一个 中文占用2个字符空间。 触发端口 输入触发端口,即应用程序首先发起连接的一个或多个端口。只有该端 口发起连接时,对应开放端口中的所有端口才可以开放,并为应用程序 提供服务,否则开放端口中的所有端口是不会开放的。 触发协议 选择在触发端口上使用的数据包传输层协议类型。 开放端口 输入为应用程序提供服务的一个或多个端口。当触发端口上收到连接后, 出接口的开放端口打开,应用程序便可以通过这些开放端口发起后续连 接。 开放协议 选择在开放端口上使用的数据包传输层协议类型。 启用/禁用规则 选择“启用”,则使该规则条目生效; 选择“禁用”,则使该规则条目失效。 说明: y 触发端口与开放端口的取值范围均为 1-65535 之间的任意整数。开放端口取值可以指定一个连续的 范围,如 8690-8696。 y 路由器支持 16 条端口触发规则,每条规则最多支持 5 组触发端口,且这些触发端口不能重叠。 y 每条规则最多支持 5 组开放端口,每条规则的开放端口数总和需小于或等于 100。 y 请根据实际需要配置端口触发功能,避免黑客利用开放的端口进行网络攻击。 ¾ 触发列表 在触发列表中,可以对已保存的端口规则进行相应设置。 -84- 图 4-40序号1规则的含义:当路由器收到TCP或UDP端口为554的访问请求时,通过“isp1”接口转 发数据包,使用接口地址对数据包进行地址转换但不转换传输层协议端口,同时打开“isp1”接口的 传输层协议端口6970-6999。 4.6.1.5 ALG服务 ALG(Application Layer Gateway,应用层网关)。为了保证一些应用程序的正常使用,请开启ALG 服务。 界面进入方法:传输控制 >> NAT设置 >> ALG服务 图 4-41 ALG服务设置界面 界面项说明: ¾ ALG服务 FTP ALG 选择启用或禁用FTP ALG服务,默认为启用,如无特殊需求请保持默认 配置不变。 H.323 ALG 选择启用或禁用H.323 ALG服务,默认为启用, H.323多媒体协议多用 于视频会议、IP电话等场合。 SIP ALG 选择启用或禁用SIP ALG服务,默认为启用,如无特殊需求请保持默认 配置不变。 IPSec ALG 选择启用或禁用IPSec ALG服务,默认为启用,如无特殊需求请保持默 认配置不变。 PPTP ALG 选择启用或禁用PPTP ALG服务,默认为启用,如无特殊需求请保持默 认配置不变。 -85- 4.6.1.6 NAT DMZ DMZ(Demilitarized Zone,非军事区域)也称隔离区。位于 DMZ 区的主机完全暴露在广域网中, 通常多用于放置一些必须公开的服务器设施,如企业 Web 服务器、FTP 服务器和论坛等。 NAT DMZ即DMZ主机的NAT转发规则,指定接口收到数据包时,查看所有的NAT规则,如果没有匹 配项,则将数据包进行NAT地址转换后发往位于DMZ区指定的局域网计算机上。 界面进入方法:传输控制 >> NAT设置 >> NAT DMZ 图 4-42 NAT DMZ设置界面 界面项说明: ¾ NAT DMZ服务 服务名称 输入该NAT转发规则的名称,例如可以根据DMZ主机特性命名。 主机地址 输入NAT DMZ服务指向的主机地址,必须为局域网段IP地址。 接口 选择规则生效接口,当此处设置的接口收到的访问请求无法匹配现有的 NAT规则时,将把数据发给DMZ主机。 启用/禁用规则 选择“启用”,则使该规则条目生效; 选择“禁用”,则使该规则条目失效。 ¾ 服务列表 在服务列表中,可以对已保存的服务规则进行相应设置。 -86- 上图中序号为1的规则的含义:接口“isp1”收到访问请求时,如果该请求无法匹配到其他NAT功能 设置的NAT规则,将被转发到局域网中IP地址为192.168.200.10的DMZ主机上。 4.6.2 带宽控制 带宽控制功能通过对各种数据流设置相应的限制规则,实现对数据传输的带宽控制,从而使有限的 带宽资源得到合理分配,达到有效利用现有带宽的目的。 界面进入方法:传输控制 >> 带宽控制 >> 带宽控制规则 图 4-43 带宽控制规则设置界面 界面项说明: ¾ 功能设置 勾选“启用带宽控制”,点击<设置>按钮,下方的带宽控制规则才能生效。 启用带宽控制功能后,还可以勾选设置仅当带宽利用率达到某个百分比以上时,才使带宽控制功 能生效。 ¾ 带宽控制规则 规则名称 输入该规则条目的名称。 -87- 数据流向 选择此带宽控制规则生效的数据流向。 受控地址类型 选择此带宽控制规则生效对象的源或目的IP地址。 受控地址组 设置受控的IP地址范围,此处的地址组与上面的受控地址类型共同指定此规 则的控制对象。如需新建地址组,请参考 4.5.1 地址管理。 带宽模式 独立模式即受控地址范围内每一个IP地址都将应用当前规则所设置的带宽 限制; 共享模式即受控地址范围内所有IP地址带宽总和为当前规则所设置的带宽 限制。 最大限制带宽 设置受控计算机所能使用的最大限制带宽。 规则生效时间 选择规则生效时间,其他时间规则不生效。如需新建时间组,请参考 4.5.2 时 间管理。 添加到指定位置 勾选该项后,可以将当前设置的规则添加到规则列表中指定序号的位置。默 认情况下,新增规则显示在规则列表的最后。规则条目在规则列表中的位置 越靠前,即规则序号数字越小,该规则优先级越高。 启用/禁用规则 选择“启用”,则使该规则条目生效; 选择“禁用”,则使该规则条目失效。 ¾ 规则列表 在规则列表中,可以对已保存的带宽控制规则进行相应设置。 图 4-43序号1规则的含义:局域网中IP地址在“group1”地址组内的计算机发往WAN口的通信数据 将共享1000Kbps的最大带宽,此规则在“time1”时间段内生效。 说明: y 单条规则生效的前提是:这条带宽控制规则所属接口的物理带宽足够大,且尚未被用尽。 y 异常情况:各带宽控制规则的最小保证带宽之和大于总物理带宽。当某接口所有带宽控制规则的最 小保证带宽之和大于此接口的物理带宽时,意味着无论如何都无法同时满足所有带宽控制规则的最 小保证带宽。 -88- 4.6.3 连接数限制 作为局域网的统一出口,路由器支持的TCP和UDP连接数是有限的,如果局域网内有部分主机向广 域网发起的TCP和UDP数目过多,影响局域网其他计算机的通信质量,就有必要对这部分计算机进行连 接数限制。 4.6.3.1 连接数限制 可以在此对指定IP的计算机连接数限制进行设置。 界面进入方法:传输控制 >> 连接数限制 >> 连接数限制 图 4-44 连接数限制设置界面 界面项说明: ¾ 功能设置 勾选“启用连接数控制”,点击<设置>按钮,下方的连接数控制规则才能生效。 ¾ 连接数限制规则 名称 输入该规则条目的名称。 -89- 受控地址范围 选择需要进行连接数限制的计算机的IP地址范围,由对象管理中的地址组来 表示。如需新建地址组,请参考 4.5.1 地址管理。 最大连接数 设置受控地址范围中每台计算机所能使用的最大连接总数。 启用/禁用规则 选择“启用”,则使该规则条目生效; 选择“禁用”,则使该规则条目失效。 ¾ 规则列表 在规则列表中,可以对已保存的连接数限制规则进行相应设置。 图 4-44序号1规则的含义:IP地址范围在“group1”地址组中的计算机分别能够通过路由器成功建立 TCP或UDP的连接数是100条。该规则已启用。 4.6.3.2 连接数监控 监控列表显示局域网主机的连接数限制情况。 界面进入方法:传输控制 >> 连接数限制 >> 连接数监控 图 4-45 连接数监控界面 可通过监控列表搜索、查询已设置连接数限制规则的地址组主机连接数信息。如需获取最新信息, 请点击<刷新>按钮。 4.6.4 流量均衡 合理设置流量均衡,可以使路由器更安全、有效地收发数据。 4.6.4.1 基本设置 界面进入方法:传输控制 >> 流量均衡 >> 基本设置 -90- 图 4-46 流量均衡基本设置界面 勾选“启用特殊应用程序选路功能”,路由器会将数据包的源IP地址与目的IP地址,或者源IP地址与目 的端口地址作为一个整体,记录其通过的WAN口信息。后续如果有同一源IP地址和目的IP/端口地址的数 据包通过,则优先转发至上次记录的WAN口。该功能主要用于保证多连接应用程序的正常工作。 勾选“启用智能均衡”,并在下方选定生效的WAN口,在没有任何选路规则的情况下,指定WAN口将自 动进行流量均衡。在实际应用中,如果某些WAN口没有连接到因特网,那么这些WAN口将不会参与智能 均衡,请勿勾选。 设置完成后点击<设置>按钮生效。 说明: y 若要使“智能均衡”生效,请先到基本设置 >> WAN 设置页面设置各接口的带宽,再到系统工具 >> 诊断工具 >> 在线检测页面设置各接口的在线检测。 y “智能均衡”各接口的流量比等于设置的各接口带宽比。如果接口 1 和接口 2 带宽比为 2:1,那么对 接口 1 和接口 2 启用“智能均衡”后,通过接口 1 和接口 2 的流量比约为 2:1。 4.6.4.2 策略选路 在此可以通过指定协议、地址范围、端口、WAN口、生效时间,更精确地控制路由选路。 界面进入方法:传输控制 >> 流量均衡 >> 策略选路 -91- 图 4-47 策略选路设置界面 界面项说明: ¾ 选路规则设置 策略名称 用户自定义,标识一条选路规则。 服务类型 在下拉列表中选择本条规则所针对的服务类型,不属于指定范围内的协议 将不会应用选路规则。如需新建服务类型,请参考 4.5.4 服务类型。 源地址 在下拉列表中选择需要应用选路规则的源地址范围。如需新建地址组,请 参考 4.5.1 地址管理。 目的地址 在下拉列表中选择需要应用选路规则的目的地址范围。如需新建地址组, 请参考 4.5.1 地址管理。 生效接口 选择指定数据包转发接口。 生效时间 选择规则生效的时间。如需新建时间组,请参考 4.5.2 时间管理。 添加到指定位置 勾选该项后,可以将当前设置的规则添加到规则列表中指定序号的位置。 默认情况下,新增规则显示在规则列表的最后。规则条目在规则列表中的 位置越靠前,即规则序号数字越小,该规则优先级越高。 -92- 备注 添加对本条规则的说明信息。 启用/禁用规则 选择启用或禁用本规则。 ¾ 规则列表 在规则列表中,可以对已保存的选路规则进行相应设置。 4.6.4.3 ISP选路 通过ISP选路功能,可以将数据包转发至对应的ISP线路上,从而减少数据包在网络中被转发的次数, 提高网络性能。 界面进入方法:传输控制 >> 流量均衡 >> ISP选路 图 4-48 ISP选路设置界面 界面项说明: ¾ 选路功能设置 勾选“启用ISP地址段选路功能”,点击<设置>按钮,下方的选路设置才能生效。 -93- ¾ 导入ISP数据库 ISP数据库即各ISP所拥有的IP地址段的数据库,通过匹配数据包目的IP地址与ISP数据库,路由器 会将数据包从相应ISP所对应的WAN口转发。请在我司官方网站下载最新ISP数据库,单击<选择 文件>按钮,选择保存路径下的文件,点击<导入>即可。 ¾ ISP选路设置 接口选择 选择进行ISP选路的接口。 ISP设置 在下拉列表中选择ISP。 ¾ 选路列表 在选路列表中,可以对已保存的ISP选路进行相应设置。图 4-48序号1规则的含义:wan1_eth接 口对应电信ISP,所有通过电信线路进入广域网的数据包将从WAN1口转发。 说明: 智能均衡、策略选路、ISP选路三个功能可以同时工作,但当三个功能设置有冲突时,路由器执行的优 先顺序为:策略选路 > ISP选路 > 智能均衡。 4.6.4.4 线路备份 路由器默认所有WAN口都处于自动备份模式,当有WAN口发生故障时,其流量会均衡到其他WAN 口上,当故障WAN口恢复后系统会再次均衡所有WAN口的流量。 根据实际需要合理设置线路备份,可以减轻WAN口流量负担,提高网络效率。 界面进入方法:传输控制 >> 流量均衡 >> 线路备份 -94- 图 4-49 备份配置界面 界面项说明: ¾ 备份配置 主接口选择 选择主接口。接口设置请参考错误!未找到引用源。 错误!未找到引用源。。 备接口选择 选择备份接口。接口设置请参考错误!未找到引用源。 错误!未找到引用源。。 备份模式 可以选择定时备份或故障备份。选择定时备份时,下方可进行备份生效时间设 置;选择故障备份时,下方可进行故障备份设置。 备份生效时间 当备份模式为定时备份时,需要在此指定生效时间。在生效时间内启动备份接 口,关闭主接口。时间设置请参考 4.5.2 时间管理。 故障备份 当备份模式为故障备份时,需要在此选择故障备份条件,在主接口正常工作时 备份接口不工作,只有当符合故障备份条件时才会启动备份接口。 启用/禁用规则 选择启用或禁用本条线路备份规则。 ¾ 主备组列表 在主备组列表中,可以对已保存的主备规则进行相应设置。 图 4-49序号1规则的含义:wan1_eth口为主接口,wan2_eth口为备份接口,任何时间,当wan1_eth 口发生故障时启用wan2_eth口,该规则已启用。 -95- 说明: 主WAN组和备WAN组中不能放置相同的WAN口,且一个WAN口只能置入一个主备组中。 4.6.5 路由设置 路由,是选择一条最佳路径把数据从源地点传送到目的地点的行为。静态路由则是由网络管理员手 动配置的一种特殊路由,具有简单、高效、可靠等优点。 静态路由不随着网络拓扑的改变而自动变化,多用于网络规模较小,拓扑结构固定的网络中。当网 络的拓扑结构或链路的状态发生变化时,网络管理员需要手动修改路由表中相关的静态路由信息。 界面进入方法:传输控制 >> 路由设置 >> 静态路由 图 4-50 静态路由设置界面 界面项说明: ¾ 静态路由规则 名称 输入该规则条目的名称。 目的地址 设置静态路由规则条目指向的目标网络地址。 子网掩码 设置静态路由规则条目指向的目标网络的子网掩码。 -96- 下一跳 设置通往目标网络的路由路径上下一个节点的IP地址。 出接口 设置数据从本地发出的出接口. Metric 设置路由规则的优先级,数值越低则优先级越高,0为最高优先级。当网络 中存在多条路由可以到达同一目的地址,可以通过调整Metric来调整路由规 则的优先级,数据包将按照Metric值最小的路径转发。 备注 添加对本条规则的说明信息。 启用/禁用规则 选择“启用”,则使该规则条目生效; 选择“禁用”,则使该规则条目失效。 ¾ 规则列表 在规则列表中,可以对已保存的静态路由规则进行相应设置。 图 4-50序号1规则的含义:发往目标网络192.168.3.0/24 的数据可以通过接口eth0发往 192.168.1.2节点上,节点192.168.1.2将执行下一个转发任务,此静态路由规则的Metric值为0拥 有最高优先级。 应用举例 路由器下的 LAN1 网段为 192.168.1.0 /24,三层交换机下 LAN2 网段为 192.168.2.0 /24,LAN3 网 段为 192.168.3.0 /24,三层交换机与路由器的 LAN 口级联 IP 为 192.168.1.2。现要实现 LAN1 网段的 主机访问 LAN2/LAN3 网段的主机。 -97- 图 4-51 静态路由功能组网应用 配置步骤: 路由器要完成上述网络需求,需要配置静态路由功能,配置步骤如下: 1) 创建静态路由规则,设置到LAN2网段的下一跳地址为三层交换机的级联口IP地址192.168.1.2。界 面进入方法:传输控制 >> 路由设置 >> 静态路由。规则设置如下,点击<新增>按钮完成。 名称 rule1 目的地址 192.168.2.0 子网掩码 255.255.255.0 下一跳 192.168.1.2 出接口 lan Metric 0 -98- 备注 LAN2 启用/禁用规则 选择“启用” 2) 创建静态路由规则,设置到LAN3网段的下一跳地址为三层交换机的级联口IP地址192.168.1.2。界 面进入方法:传输控制 >> 路由设置 >> 静态路由。规则设置如下,点击<新增>按钮完成。 名称 rule2 目的地址 192.168.3.0 子网掩码 255.255.255.0 下一跳 192.168.1.2 出接口 lan Metric 0 备注 LAN3 启用/禁用规则 选择“启用” 4.7 安全管理 4.7.1 ARP防护 一台主机向局域网内另一台主机发送IP数据包,此时设备需要通过MAC地址确定目的接口才能进行 通信,而IP数据包中不包含有MAC地址信息,因此需要将IP地址解析为MAC地址。ARP(Address Resolution Protocol,地址解析协议)正是用来实现这一目的的网络协议。网络中的所有设备,包括路 由器和计算机在内,都各自维护一份ARP列表,该列表建立了主机IP地址和MAC地址一一对应关系。 按照ARP协议的设计,设备通过数据包的交互学习到其他设备的IP地址和MAC地址信息,并将这些 信息添加至自身的ARP表中。每次通信时会先通过该表查找对应地址,减少网络上过多的ARP通信量。 但设备同时也会接收不是自己主动请求的ARP应答,这就为“ARP欺骗”创造了条件。 ARP欺骗是局域网的攻击主机发送ARP欺骗包,将伪造的IP与MAC对应关系替换设备ARP列表中的 记录,从而导致局域网内计算机不能正常上网。这类ARP攻击严重影响了局域网内部通信,由此便产生 了ARP防护技术。 -99- 4.7.1.1 IP MAC绑定 IP MAC绑定是一种防护技术,能够防止ARP列表被伪造的IP MAC对应信息替换。 界面进入方法:安全管理 >> ARP防护 >> IP MAC绑定 图 4-52 IP MAC绑定设置界面 界面项说明: ¾ 功能设置 推荐勾选所有项目,以便最大程度地防范ARP攻击。在勾选“仅允许IP MAC绑定的数据包通过路 由器”选项前,请先将管理主机的IP MAC信息导入绑定列表中,并设置生效。 当路由器受到ARP攻击时,路由器会将自身正确的ARP列表信息以GARP(Gratuitous ARP,免 费ARP)包的方式主动发送给被攻击的设备,从而替换该设备错误的ARP列表信息。可在发包间 隔处指定发包速率。 勾选“启用ARP日志记录”后路由器会将ARP日志发送到指定的日志服务器中。日志服务器地址即 4.11.5 系统日志中设置的服务器地址。 -100- ¾ IP MAC绑定 IP地址 手动输入需要进行绑定的IP地址。 MAC地址 手动输入与IP地址正确对应的MAC地址。 出接口 选择绑定的接口。 备注 添加对本条目的说明信息,非必填项。 启用/禁用规则 选择启用或禁用本条绑定规则。 ¾ 绑定列表 在绑定列表中,可以对已保存的ARP绑定条目进行相应设置。 图 4-52序号1条目的含义:目前路由器已将IP地址192.168.1.109与MAC地址40-61-86-FC-75-C4 进行绑定,该绑定规则已启用。 说明: 若当前绑定列表中所有条目都未启用,在勾选“仅允许IP MAC绑定数据包通过路由器”的功能设置选项并 保存后,将无法登录路由器Web管理界面,此时必须将路由器恢复出厂配置才能再次登录。 4.7.1.2 ARP扫描 ARP扫描界面可以将指定范围内的IP与其对应MAC地址全部扫描出来,在扫描列表中显示。 界面进入方法:防火墙 >> ARP防护 >> ARP扫描 图 4-53 ARP扫描界面 -101- 在扫描范围填入起始IP与结束IP后,点击<开始扫描>按钮,路由器将扫描该范围内所有正在工作的 主机,并将它们对应的IP MAC地址信息显示在扫描列表中。 扫描结果中显示的IP MAC地址对应信息条目并不代表已经被绑定,在“状态”一列中会标识当前状 态: 显示“未绑定”表示当前条目未被绑定,可能会被错误的ARP信息更替掉; 图片 表示当前条目已导入“IP MAC绑定”界面的绑定列表中,但还未绑定生效; 图片 表示当前条目已进行绑定,可以防御ARP攻击。 若现在需要绑定扫描列表中未绑定的条目,可以在“选择”一列勾选这些条目,然后点击<导入>按钮, 在与已绑定条目不冲突的情况下,导入后绑定立即生效。 说明: y 扫描前请关闭 IP MAC 绑定页面“仅允许 IP MAC 绑定的数据包通过路由器”选项。 y 若局域网内已经存在 ARP 攻击导致部分主机通信异常,则不可通过扫描方式添加绑定,请在“IP MAC 绑定”界面进行手动绑定。 4.7.1.3 ARP列表 路由器会将近期与其通信过的主机IP MAC对应信息保存在ARP列表中。 界面进入方法:安全管理 >> ARP防护 >> ARP列表 图 4-54 ARP列表界面 ARP列表条目的操作可参考 4.7.1.2 ARP扫描的扫描列表。 列表中未绑定的条目并不是一直存在,除了会被新的IP MAC对应信息更替之外,还会由于长时间未 通信而自动从列表中删除,这个时间段就是ARP信息的老化时间。 4.7.2 攻击防护 攻击防护可防止广域网对路由器或局域网内计算机进行端口扫描和恶意攻击,以此来保证它们的安 全运行。 界面进入方法:安全管理 >> 攻击防护 >> 攻击防护 -102- 图 4-55 攻击防护设置界面 界面项说明: ¾ 功能设置 启用防护攻击日志 勾选此项后路由器会记录相关的防护日志。 -103- 防Flood类攻击 Flood类攻击是DoS攻击的一种常见形式。DoS(Denial of Service,拒 绝服务)是一种利用发送大量的请求服务占用过多的资源,让目的路由 器和服务器忙于应答请求或等待不存在的连接回复,而使正常的用户请 求无法得到响应的攻击方式。常使用的Flood洪水攻击包括TCP SYN, UDP,ICMP等。推荐勾选界面上所有防Flood类攻击选项并设定相应阈 值,如不确定,请保持默认设置不变。 防可疑包类 可疑包即非正常数据包,有可能是病毒或攻击者的扫描试探。推荐勾选 界面上所有防可疑包选项。 4.7.3 MAC过滤 在此可以通过指定MAC地址对部分局域网主机进行过滤。 界面进入方法:安全管理 >> MAC过滤 >> MAC过滤 图 4-56 MAC过滤设置界面 -104- 界面项说明: ¾ 功能设置 若需要严格控制局域网内某些计算机访问广域网,推荐勾选“启用MAC地址过滤功能”,并根据实 际情况选择一种过滤规则。 ¾ MAC地址过滤规则 名称 输入该规则条目的名称。 MAC 地址 输入需要控制的局域网主机MAC地址。 ¾ 规则列表 在规则列表中,可以对已保存的MAC地址条目进行相应设置。 4.7.4 访问策略 界面进入方法:安全管理 >> 访问策略 >> 访问策略 图 4-57 访问规则设置界面 -105- 界面项说明: ¾ 访问规则 数据流向 选择本条规则所针对的数据流向。 名称 输入一个名称来标识该访问规则。 策略类型 在下拉列表中选择适用于本条规则的策略类型,可选择阻塞或者允许。 选择“阻塞”,则符合该条规则的所有数据包将无法通过路由器; 选择“允许”,则符合该条规则的数据包能通过路由器。 服务类型 在下拉列表中选择本条规则所针对的服务类型,不属于指定范围内的服 务将不会应用该规则。例如策略类型选择为“阻塞”,只选定了FTP一种 服务类型时,其他服务类型的数据包仍旧可以通过路由器。如需新建服 务类型,请参考 4.5.4 服务类型。 源地址范围 在下拉列表中选择本条规则限制的源地址范围。如需新建地址组,请参 考 4.5.1 地址管理。 目的地址范围 在下拉列表中选择本条规则限制的目的地址范围。如需新建地址组,请 参考 4.5.1 地址管理。 规则生效时间 在下拉列表中选择本条规则生效的时间表。如需新建时间表,请参考 4.5.2 时间管理。 添加到指定位置 勾选该项后,可以将当前设置的访问规则添加到规则列表中指定序号的 位置。默认情况下,新增规则显示在规则列表的最后。规则条目在规则 列表中的位置越靠前,即规则序号数字越小,该规则优先级越高。 ¾ 规则列表 在规则列表中,可以对已保存的访问规则进行相应设置。 图 4-57序号1规则的含义:在“time1”时间组设置的时间段内,“group1”地址组内的主机向广域网 中“group2”地址组内的主机发送的TELNET服务数据包无法通过路由器。 说明 局域网内没有设置规则的IP段,默认的策略类型是允许。 -106- 4.8 行为管控 4.8.1 应用限制 4.8.1.1 应用限制 可以在此启用并设置应用限制功能。本路由器可限制的应用包括即时通信、P2P软件、金融软件、 游戏软件、视频软件、音乐软件、网页游戏、基础应用和代理。同时,可以对这些功能的使用情况做日 志记录。 界面进入方法:行为管控 >> 应用限制 >> 应用限制 图 4-58 应用限制设置界面 -107- 界面项说明: ¾ 功能设置 勾选“启用应用限制功能”后,应用限制的相关设置才会生效,应用限制生效后局域网指定用户对指 定软件的网络应用将受到限制。 ¾ 应用限制设置 受控地址组 选择受控地址组,使规则仅对该组生效。如需新建地址组,请参考 4.5.1 地 址管理。 禁用列表 选择禁止使用的应用。可以设置的应用包括即时通信、P2P软件、金融软 件、游戏软件、视频软件、音乐软件、网页游戏、基础应用和代理。默认 为对除了基础应用和代理的所有应用进行限制。 记录列表 选择需要进行日志记录的应用。可以设置的应用包括即时通信、P2P软件、 金融软件、游戏软件、视频软件、音乐软件、网页游戏、基础应用和代理。 默认为对除了基础应用和代理的所有应用进行记录。 生效时间 设置规则的生效时间。由时间管理的时间组来表示。如需新建时间组,请 参考 4.5.2 时间管理。 备注 添加对本条规则的说明信息。 启用/禁用规则 选择启用或禁用本条规则。 ¾ 规则列表 在规则列表中,可以对已保存的应用限制进行相应设置。在此列表中,序号数字越小的规则,执 行的优先级越高。 4.8.1.2 QQ黑白名单 可以在此对特殊QQ号码进行相关设置,实现不同用户、不同时间登录QQ的需求。同时,可以将用 户使用QQ的情况,记录到系统日志。 界面进入方法:行为管控 >> 应用限制 >> QQ黑白名单 -108- 图 4-59 QQ黑白名单界面 界面项说明: ¾ 全局设置 勾选“启用QQ黑白名单功能”后,QQ黑白名单的相关设置才会生效。 -109- ¾ 规则设置 用户组 选择受控地址组,使规则仅对该组生效。如需新建地址组,请参考 4.5.1 地 址管理。 规则类型 可以选择白名单,使规则中的号码不被限制;也可以选择黑名单,使规则 中的号码被限制。 QQ号码 在此输入QQ号码,可以同时输入多个QQ号码进行批量添加,通过使用空 格、逗号或者回车换行来表示不同的QQ号码。 当使用上述QQ时 可以勾选“记录到系统日志”,系统将记录上述号码的使用情况;如果不勾选, 系统将不对上述号码作记录。 生效时间 设置规则的生效时间。由时间管理的时间组来表示。如需新建时间组,请 参考 4.5.2 时间管理。 备注 添加对本条规则的说明信息。 启用/禁用规则 选择启用或禁用本条规则。 添加到指定位置 勾选该项后,可以将当前设置的访问规则添加到规则列表中指定序号的位 置。默认情况下,新增规则显示在规则列表的最后。规则条目在规则列表 中的位置越靠前,即规则序号数字越小,该规则优先级越高。 ¾ 规则列表 在规则列表中,可以对已保存的规则进行相应设置。 图 4-59序号1规则的含义:该规则已经启用,地址组“group1”内的主机在时间组“time1”设置的时 间段内,被设置的QQ号码不可以登录。 说明: 在没有配置应用限制规则和QQ黑名单的情况下,路由器默认所有用户所有QQ在任意时间都可登录。 应用举例 应用需求: 某企业有多名员工,该企业需要设置IP地址为10.1.1.30 - 10.1.1.35的员工可以在星期一到星期五的 08:00到18:00登录QQ,禁止其余所有员工任何时间登录QQ。 -110- 实现方法: 有两种配置方法可以实现此需求。 方法一:配置一条QQ黑名单规则禁止所有员工任何时间登录QQ,再配置一条QQ白名单规则允许IP 地址为10.1.1.30 - 10.1.1.35的员工可以在星期一到星期五的08:00到18:00登录QQ。QQ白名单规则 序号要在QQ黑名单规则之前。 方法二:配置一条应用限制规则禁止所有员工任何时间登录QQ,再配置一条QQ白名单规则允许IP 地址为10.1.1.30 - 10.1.1.35的员工可以在星期一到星期五的08:00到18:00登录QQ。 配置步骤: 在配置应用限制规则或者QQ黑白名单规则之前,需要先设置所需用户组与时间组,设置如下: 1. 设置用户组,组内成员IP地址为10.1.1.30 - 10.1.1.35。 界面进入方法:对象管理 >> 地址管理 进入标签页地址组,设置地址组名称: 组名称 可使用QQ组 进入标签页地址,设置用户IP地址,此处可进行批量添加,批量添加内容如下: 名称 可使用QQ用户 起始IP地址 10.1.1.30 结束IP地址 10.1.1.35 操作 新增 进入标签页视图,将可使用QQ用户移到可使用QQ组中。 组名 选择可使用QQ组 包含用户 将可使用QQ用户由可选用户移至包含用户。 2. 设置时间组,时间选择为星期一到星期五的08:00到18:00。 界面进入方法:对象管理 >> 时间管理 >> 时间组 时间组设置内容如下: 名称 上班时间 -111- 星期 一、二、三、四、五 日时间段 08:00 - 18:00 设置完成后的时间组如下: 图 4-60 时间组设置完成示意图 方法一设置如下: 界面进入方法:行为管控 >> 应用限制 >> QQ黑白名单 全局设置如下: 勾选“启用QQ黑白名单功能”,点击<设置>按钮使设置生效。 QQ黑名单规则设置内容如下: 用户组 IP组_所有IP 规则类型 黑名单:禁止下列QQ号码登录 QQ号码 禁止登录的员工的QQ号码 当使用上述QQ时 勾选“记录到系统日志” 生效时间 所有时间 启用/禁用规则 启用 QQ白名单规则设置内容如下: 用户组 可使用QQ组 规则类型 白名单:允许下列QQ号码登录 -112- QQ号码 允许登录的员工的QQ号码 当使用上述QQ时 勾选“记录到系统日志” 生效时间 上班时间 启用/禁用规则 启用 指定位置 勾选,输入1 设置完成后的规则如下: 图 4-61 方法一设置完成示意图 方法二设置如下: 1. 设置应用限制,限制任何用户在任意时间登录QQ。 界面进入方法:行为管控 >> 应用限制 >> 应用限制 功能设置如下: 勾选“启用应用限制功能”,点击<设置>按钮使设置生效。 应用限制设置内容如下: 受控地址组 IP组_所有IP 禁用列表 腾讯QQ 记录列表 腾讯QQ 生效时间 所有时间 启用/禁用规则 启用 -113- 设置完成后的规则如下: 图 4-62 方法二步骤一设置完成示意图 2. 设置QQ白名单,允许可使用QQ组在上班时间登录QQ。 界面进入方法:行为管控 >> 应用限制 >> QQ黑白名单 全局设置如下: 勾选“启用QQ黑白名单功能”,点击<设置>按钮使设置生效。 QQ白名单规则设置内容如下: 用户组 可使用QQ组 规则类型 白名单:允许下列QQ号码登录 QQ号码 允许登录的员工的QQ号码 当使用上述QQ时 勾选“记录到系统日志” 生效时间 上班时间 启用/禁用规则 启用 设置完成后的规则如下: 图 4-63 方法二步骤二设置完成示意图 4.8.1.3 MSN黑白名单 可以在此对特殊MSN账号进行相关设置,实现不同用户、不同时间登录MSN账号的需求。同时,可 以将用户使用MSN账号的情况,记录到系统日志。 界面进入方法:行为管控 >> 应用限制 >> MSN黑白名单 -114- 图 4-64 MSN黑白名单界面 界面项说明: ¾ 全局设置 勾选“启用MSN黑白名单功能”后,MSN黑白名单的相关设置才会生效。 -115- ¾ 规则设置 用户组 选择受控地址组,使规则仅对该组生效。如需新建地址组,请参考 4.5.1 地 址管理。 规则类型 可以选择白名单,使规则中的账号不被限制;也可以选择黑名单,使规则 中的账号被限制。 MSN账号 在此输入MSN账号,可以同时输入多个MSN账号进行批量添加,通过使用 空格、逗号或者回车换行来表示不同的MSN账号。 当使用上述MSN时 可以勾选“记录到系统日志”,系统将记录上述账号的使用情况;如果不勾选, 系统将不对上述账号作记录。 生效时间 设置规则的生效时间。由时间管理的时间组来表示。如需新建时间组,请 参考 4.5.2 时间管理。 备注 添加对本条规则的说明信息。 启用/禁用规则 选择启用或禁用本条规则。 添加到指定位置 勾选该项后,可以将当前设置的访问规则添加到规则列表中指定序号的位 置。默认情况下,新增规则显示在规则列表的最后。规则条目在规则列表 中的位置越靠前,即规则序号数字越小,该规则优先级越高。 ¾ 规则列表 在规则列表中,可以对已保存的规则进行相应设置。 图 4-64序号1规则的含义:该规则已经启用,在用户组“group1”内的主机在时间组“time1”设置的 时间段内,被设置的MSN账号不可以登录。 说明: y 在没有配置应用限制规则和MSN黑名单的情况下,路由器默认所有用户所有MSN账号在任意时间都 可登录。 y 该功能应用与QQ黑白名单应用类似,可参考QQ黑白名单介绍后的应用举例。 -116- 4.8.2 网址过滤 4.8.2.1 网站分组 可以在此对网站进行分组,以便设置网站过滤规则。 界面进入方法:行为管控 >> 网址过滤 >> 网站分组 图 4-65 网站分组设置界面 界面项说明: ¾ 网站分组设置 组名称 输入一个名称来标识一个网站组,可以输入1-28个字符。 -117- 组成员 在此输入网站分组成员。组成员可以为域名,如www.tp-link.com.cn,也可 以在域名前面加通配符“*”,如*.tp-link.com.cn,但“*”只允许输入在域名最 前面,而不能夹杂在域名中间或后面。可以同时输入多个网站进行批量添 加,通过使用空格、逗号或者回车换行来表示不同的网站。每组最多可以 输入200个网站。 文件路径 可以通过上传txt文件添加组成员,txt文件内容需按照组成员添加的格式进 行编辑,上传完成后,文件内容将显示在组成员文本框中。 ¾ 网站分组列表 在网站分组列表中,可以对已保存的网站分组进行相应设置。路由器预定义了部分网站分组,可 以在此查看、编辑。 4.8.2.2 网站过滤 可以在此对不同的用户组设置网站过滤规则,限制不同用户、不同时间登录的网站,同时,可以将 用户登录网站的情况,记录到系统日志。还可以设置当用户登录禁止的网站时,弹出警告或者重定向至 所设网站。 界面进入方法:行为管控 >> 网址过滤 >> 网站过滤 -118- 图 4-66 网站过滤设置界面 界面项说明: ¾ 功能设置 勾选“启用网站过滤功能”后,网站过滤的相关设置才会生效。 ¾ 网站过滤设置 受控地址范围 选择受控地址组,使规则仅对该组生效。如需新建地址组,请参考 4.5.1 地 址管理。 规则类型 选择允许或禁止访问下列网站分组。 -119- 选择网站 可以选择“所有网站”,使规则对任意网站生效;也可以选择并且点击<网站 分组>,在弹出的选择框中对已有的网站分组进行勾选。如需新建网站分组, 请参考 4.8.2.1 网站分组。 访问上述网站时 勾选“记录到系统日志”,规则条目生效时,符合规则的网站访问操作会被记 录到系统日志; 勾选“弹出警告”,规则条目生效时,符合规则的网站访问操作发生时会弹出 警告窗; 勾选“重定向至”并输入网站,规则条目生效时,符合规则的网站访问操作发 生时会重定向到相应的网站。 生效时间 设置规则的生效时间。由时间管理的时间组来表示。如需新建时间组,请 参考 4.5.2 时间管理。 备注 添加对本条规则的说明信息。 启用/禁用规则 选择启用或禁用本条规则。 添加到指定位置 勾选该项后,可以将当前设置的访问规则添加到规则列表中指定序号的位 置。默认情况下,新增规则显示在规则列表的最后。规则条目在规则列表 中的位置越靠前,即规则序号数字越小,该规则优先级越高。 ¾ 规则列表 在规则列表中,可以对已保存的规则进行相应设置。 图 4-66序号1规则的含义:对用户组“group1”内的主机进行了网站过滤,过滤规则是禁止访问网 站分组,点击“查看”可在弹出的选择框中看到被禁止访问的网站分组。在时间组“time1”设置的时间 段内网站过滤生效。该规则已启用。 说明: 网站过滤、URL过滤及网页安全三个功能可以同时工作,但当三个功能设置有冲突时,路由器执行的优 先顺序为:URL过滤 > 网页安全 > 网站过滤。当访问请求可以匹配优先级高的规则,并被“允许”通过 时,将跳过后续的网址匹配功能检查。 4.8.2.3 URL过滤 URL(Uniform Resource Locator,统一资源定位符),即广域网中标识资源位置的网络地址。URL 过滤能够实现对广域网网址的过滤,方便对局域网访问广域网的通信进行管理。 -120- 界面进入方法:行为管控 >> 网址过滤 >> URL过滤 图 4-67 URL过滤设置界面 界面项说明: ¾ 功能设置 勾选“启用URL地址过滤功能”,URL过滤的相关设置才会生效。 -121- ¾ URL地址过滤规则 受控地址范围 选择受控地址组,使规则仅对该组生效。如需新建地址组,请参考 4.5.1 地址管理。 规则类型 选择允许或禁止访问下列的URL地址。 允许访问下列的URL地址:表示路由器将允许在URL过滤表中的URL地 址数据包通过,而不受其他应用管理的限制。 禁止访问下列的URL地址:表示路由器将禁止在URL过滤表中的URL地 址数据包通过。 过滤方式 选择一种过滤方式。“关键字”过滤即所有包含指定字符的URL地址全都 进行过滤;“完整URL”过滤则仅当URL地址完全匹配输入的完整URL地 址时才能进行过滤。 可以同时输入多个关键字或完整URL进行批量添加,通过使用空格、逗 号或者回车换行来表示不同的关键字或完整URL。最多可以添加10个关 键字或完整URL,每一个关键字或完整URL的可输入长度为1-64个字 符,但输入的总字符数不能超过300个(包括相邻两条关键字或URL地 址之间的分隔符)。 关键字 当过滤方式为“关键字”的时候,可在此输入指定的关键字字符。 URL地址 当过滤方式为“完整URL”的时候,可在此输入完整的广域网URL地址。 访问上述URL时 勾选“记录到系统日志”,规则条目生效时,符合规则的URL访问操作会 被记录到系统日志; 勾选“弹出警告”,规则条目生效时,符合规则的网站访问操作发生时会 弹出警告窗; 勾选“重定向至”并输入网站,规则条目生效时,符合规则的URL访问操 作发生时会重定向到相应的网站。 规则生效时间 设置规则的生效时间。由时间管理的时间组来表示。如需新建时间组, 请参考 4.5.2 时间管理。 备注 添加对本条规则的说明信息。 启用/禁用规则 选择启用或禁用本条规则。 -122- 添加到指定位置 勾选该项后,可以将当前设置的访问规则添加到规则列表中指定序号的 位置。默认情况下,新增规则显示在规则列表的最后。规则条目在规则 列表中的位置越靠前,即规则序号数字越小,该规则优先级越高。 ¾ 规则列表 在规则列表中,可以对已保存的规则进行相应设置。 图 4-67序号1规则的含义:用户组“group1”内的主机,在时间组“time1”设置的时间段内,禁止访 问带“360buy.com”字符的所有网站。该规则已启用。 应用举例 某企业希望任何时间都禁止局域网内的主机访问网站:www.baidu.com以及sina。 可以通过设置URL过滤实现此需求。需要设置完整URL过滤“www.baidu.com”,以及关键字过滤 “sina”,设置完成后点击<新增>按钮保存生效。 设置完成后的规则如下: 图 4-68 URL过滤应用设置完成示意图 4.8.3 网页安全 可以在此对不同的用户组设置网页安全规则,限制不同用户、不同时间可进行的网页操作。可以直 接禁止所有的HTTP POST提交,使得所有页面上的请求按钮失效,点击页面链接,不会有页面返回。 也可以针对网页请求中的文件类型,例如:exe、java、htm等,限制用户网页操作。 界面进入方法:行为管控 >> 网页安全 >> 网页安全 -123- 图 4-69 网页安全设置界面 界面项说明: ¾ 全局设置 勾选“启用网页安全功能”后,网页安全的相关设置才会生效。 ¾ 规则设置 受控地址范围 选择受控地址组,使规则仅对该组生效。如需新建地址组,请参考 4.5.1 地 址管理。 禁止网页提交 勾选“启用”,可以禁止所有的HTTP POST提交。 -124- 过滤文件扩展类型 可以在过滤文件扩展类型编辑框内输入多个扩展名,并以空格、逗号或者 回车换行来分隔。 规则生效时间 设置规则的生效时间。由时间管理的时间组来表示。如需新建时间组,请 参考 4.5.2 时间管理。 备注 添加对本条规则的说明信息。 启用/禁用 选择启用或禁用本条规则。 ¾ 规则列表 在规则列表中,可以对已保存的规则进行相应设置。 图 4-69序号1规则的含义:对用户组“group1”内的主机设置了网页安全,组内所有主机在“time1” 设置的时间段内,都不能访问扩展类型为exe的网页。该规则已启用。 4.8.4 行为审计 可以在此查看行为审计参数配置。 界面进入方法:行为管控 >> 行为审计 >> 行为审计 图 4-70 行为审计界面 若需要在某台主机上查看用户上网行为信息,请首先在这台主机上安装TP-LINK上网行为审计软件, 然后在图 4-70行为审计界面输入该服务器IP地址,点击<开始上传>按钮之后,路由器会立即将用户上 网行为信息实时上传至该服务器,并通过TP-LINK上网行为审计软件输出审计结果。 本产品随机附带的光盘内有TP-LINK上网行为审计软件,可以通过光盘直接安装该软件。如不慎遗 失或光盘内没有此软件,请联系TP-LINK售后服务人员。 4.8.5 策略库升级 可以在此进行应用特征数据库的升级。 界面进入方法:行为管控 >> 策略库升级 >> 策略库升级 -125- 图 4-71 策略库升级界面 应用特征数据库即“应用限制”界面限制列表中的所有应用,请在我司官方网站下载最新数据库,点 击<选择文件>按钮,选择保存路径下的文件,点击<升级>进行数据库升级。 4.9 VPN VPN(Virtual Private Network,虚拟专用网)是一个建立在公用网(通常是因特网)上的专用网络, 但因为这个专用网络只是逻辑存在并没有实际物理线路,故称为虚拟专用网。 随着因特网的发展壮大,越来越多的数据需要在因特网上进行传输共享,不过当企业将自身网络接 入因特网时,虽然各地的办事处等外部站点可以很方便地访问企业网络,但同时也把企业内部的私有数 据暴露给因特网上的所有用户。于是在这种开放的网络环境上搭建专用线路的需求日益强烈,VPN应运 而生。 VPN通过隧道技术在两个站点间建立一条虚拟的专用线路,使用端到端的认证和加密保证数据的安 全性。典型拓扑图如所示。 图 4-72 VPN典型拓扑 隧道是通过对数据报的封装实现的,因为数据报封装和解封的过程都是在路由器上完成,所以对于 用户来说是透明的。无线企业VPN路由器支持的隧道协议包括三层隧道协议IPSec和二层隧道协议 L2TP/PPTP。 4.9.1 IKE 在IPSec VPN中,为了保证信息的私密性,通信双方需要使用彼此都知道的信息来对数据进行加密 和解密,所以在通信建立之初双方需要协商安全性密钥,这一过程便由IKE(Internet Key Exchange, 互联网密钥交换)协议完成。 -126- IKE其实并非一个单独的协议,而是三个协议的混合体。这三个协议分别是ISAKMP(Internet Security Association and Key Management Protocol,互联网安全性关联和密钥管理协议),该协议为交 换密钥和SA(Security Association,安全联盟)协商提供了一个框架;Oakley密钥确定协议,该协议描 述了密钥交换的具体机制;SKEME安全密钥交换机制,该协议描述了与Oakley不同的另一种密钥交换 机制。 整个IKE协商过程被分为两个阶段。第一阶段,通信双方将协商交换验证算法、加密算法等安全提 议,并建立一个ISAKMP SA,用于在第二阶段中安全交换更多信息。第二阶段,使用第一阶段中建立的 ISAKMP SA为IPSec的安全性协议协商参数,创建IPSec SA,用于对双方的通信数据进行保护。至此, IKE协商完毕。 4.9.1.1 IKE安全策略 在无线企业VPN路由器上,可以对IKE协商过程的相关参数进行设置。 界面进入方法:VPN >> IKE >> IKE安全策略 图 4-73 IKE安全策略设置界面 -127- 界面项说明: ¾ IKE安全策略设置 安全策略名称 为IKE安全策略命名。设置好的IKE安全策略可以被应用在IPSec安全策略 中。 交换模式 设置IKE第一阶段协商的交换模式,该交换模式必须与对端相同。交换模 式有以下两种: 主模式(Main mode):该模式双方交换报文多,提供身份保护,适用于对 身份保护要求较高的场合。 野蛮模式(Aggressive mode):又称主动模式,该模式不提供身份保护, 双方交换报文少,协商速度快,适用于对身份保护要求不高的场合。 封装模式 设置IKE第一阶段协商的封装模式,该封装模式必须与对端相同。封装模 式有以下两种: 隧道模式(Tunnel mode):在该模式下,AH或ESP插在原始IP报文头之 前,另外生成一个新的报文头放到AH或ESP之前。从安全性来讲,隧道模 式优于传输模式。适用于更普遍的VPN应用。 传输模式(Transport mode):在该模式下,AH或ESP被插入到IP报文头 之后但在所有传输层协议之前,或所有其他IPSec协议之前。适用于主机 直接访问设备时之间的加密传输。 协商模式 设置IKE协商的模式,该协商模式不必与对端相同。协商模式有以下两种: 初始者模式(Initiator mode):配置该模式后,IKE才能主动发起协商。 响应者模式(Responder mode):配置该模式后,IKE不会主动发起协商, 需要等待对端发起协商。 模式配置 设置是否开启模式配置。开启模式配置后,当VPN客户端请求IP地址时, 将会从配置的IP地址池里分配IP给客户端。 本地/对端 ID 类型 设置本地和对端的ID(Identity,身份标识)类型,用于进行ID的交换与验 证,可以选择“IP地址”或“NAME”,通信双方的设置需保持一致。 本地/对端 ID ID类型选择“IP地址”时,无需进行设置;ID类型选择“NAME”时,可自定义 本地/对端的ID。路由器的“本地ID”需与通信对端的“对端ID”保持一致,而“对 端ID”则需与通信对端的“本地ID”保持一致。 -128- 安全提议 选择用于IKE协商第一阶段的安全提议,如果下拉菜单中没有想选择的条 目,请进入 4.9.1.2 IKE安全提议页面创建新条目。主模式下,最多可以选 择四条不同的安全提议;野蛮模式下,可以选择一条安全提议。 预共享密钥 设置通信双方互相认证的密钥,双方必须使用同一个预共享密钥。 生存时间 设定ISAKMP SA的生存时间。 DPD 检测开启 DPD (Dead Peer Detect,对端存活检测)开启后,IKE一端能够定时主 动检测对端的在线状态。 DPD 检测周期 当开启DPD检测时可设置检测周期。 ¾ IKE安全策略列表 在IKE安全策略列表中,可以对已保存的IKE安全策略进行相应设置。 4.9.1.2 IKE安全提议 界面进入方法:VPN >> IKE >> IKE安全提议 图 4-74 IKE安全提议设置界面 -129- 界面项说明: ¾ IKE安全提议设置 安全提议名称 为IKE安全提议命名。设置好的IKE安全提议可以被应用在IKE安全策略中。 验证算法 选择应用于IKE会话的验证算法。路由器支持以下验证算法: MD5(Message Digest Algorithm, 消息摘要算法):对一段消息产生128bit 的消息摘要,防止消息被篡改。 SHA1(Secure Hash Algorithm, 安全散列算法):对一段消息产生160bit 的消息摘要,比MD5更难破解。 加密算法 选择应用于IKE会话的加密算法。路由器支持以下加密算法: DES(Data Encryption Standard, 数据加密标准):使用56bit的密钥对64bit 数据进行加密,64bit的最后8位用于奇偶校验。3DES则为三重DES,使用三 个56bit的密钥进行加密。 AES(Advanced Encryption Standard, 高级加密标准):AES128/192/256 表示使用长度为128/192/256 bit的密钥进行加密。 DH 组 Diffie-Hellman算法的组信息,用于产生加密IKE隧道的会话密钥。DH1/2/5分 别对应着768/1024/1536 bit的DH组。 ¾ IKE安全提议列表 在IKE安全提议列表中,可以对已保存的IKE安全提议进行相应设置。 4.9.2 IPSec IPSec(IP Security,IP安全性)是一系列服务和协议的集合,在IP网络中保护端对端通信的安全性、 防止网络攻击。 为了实现安全通信,通信双方的IPSec协议必须协商确定用于编码数据的具体算法、用于理解对方 数据格式的安全协议,并通过IKE交换解密编码数据所需的密钥。 在IPSec中有两个重要的安全性协议AH(Authentication Header, 鉴别首部)和ESP(Encapsulating Security Payload, 封装安全性载荷)。AH协议用于保证数据的完整性,若数据报文在传输过程中被篡 改,报文接收方将在完整性验证时丢弃报文;ESP协议用于数据完整性检查以及数据加密,加密后的报 文即使被截取,第三方也难以获取真实信息。 -130- 4.9.2.1 IPSec安全策略 界面进入方法:VPN >> IPSec >> IPSec安全策略 图 4-75 IPSec安全策略设置界面 界面项说明: ¾ 启用IPSec功能 只有勾选“启用”后,路由器才能应用IPSec。 -131- ¾ IPSec安全策略设置 安全策略名称 为IPSec安全策略命名。 启用安全策略 选择启用或禁用当前策略条目。 本地子网范围 设定本地子网地址,以子网掩码值划分地址范围。 对端子网范围 设定对方子网地址,以子网掩码值划分地址范围。 选择接口 指定本地使用的接口;对端网关设置的"对端网关地址"必须与该接口的IP 地址相同。 对端网关 设置对端网关,可以填写对端的IP地址或域名。可配置"0.0.0.0",表示任 意地址。 协商方式 建立IPSec安全隧道可以有两种协商方式。IKE为自动协商,手动模式则需 手动设定相关的安全参数。 IKE 安全策略 选择“IKE协商”时,可以指定相应的IKE安全策略。如果下拉菜单中没有想 选择的条目,请进入 4.9.1.1 IKE安全策略页面创建新条目。 安全提议 指定相应的IPSec安全提议。如果下拉菜单中没有想选择的条目,请进入 4.9.2.2 IPSec安全提议页面创建新条目。 PFS PFS(Perfect Forward Secrecy,完善的前向安全性)特性使得IKE第二 阶段协商生成一个新的密钥材料,该密钥材料与第一阶段协商生成的密钥 材料没有任何关联,这样即使IKE第一阶段的密钥被破解,第二阶段的密 钥仍然安全。如果没有使用PFS,第二阶段的密钥将根据第一阶段生成的 密钥材料来产生,一旦第一阶段的密钥被破解,用于保护通信数据的第二 阶段密钥也岌岌可危,这将严重威胁到双方的通信安全。PFS是通过DH算 法实现的,通信双方的PFS设置需保持一致。 生存时间 设定IPSec SA的生存时间。 入 SPI 选择“手动模式”时,可以设定SPI参数。SPI与隧道对端网关地址、协议类 型三个参数共同标识一个IPSec安全联盟,通信对端的“出SPI”值必须与此 值相同。 -132- 入 ESP MD5 密钥 当安全提议指定IPSec使用“ESP”协议时,可以设定ESP MD5验证算法的 密钥。通信对端的“出 ESP MD5密钥”必须与此值相同。 入 ESP 3DES 密钥 当安全提议指定IPSec使用“ESP”协议时,可以设定ESP 3DES加密算法的 密钥。通信对端的“出 ESP 3DES密钥”必须与此值相同。 出 SPI 选择“手动模式”时,可以设定SPI参数。SPI参数唯一标识一个IPSec安全 联盟,通信对端的“入SPI”值必须与此值相同。 出 ESP MD5 密钥 当安全提议指定IPSec使用“ESP”协议时,可以设定ESP MD5验证算法的 密钥。通信对端的“入 ESP MD5密钥”必须与此值相同。 出 ESP 3DES 密钥 当安全提议指定IPSec使用“ESP”协议时,可以设定ESP 3DES加密算法的 密钥。通信对端的“入 ESP 3DES密钥”必须与此值相同。 ¾ IPSec安全策略列表 在IPSec安全策略列表中,可以对已保存的IPSec安全策略进行相应设置。 说明 子网掩码值的相关设置请参考附录A 常见问题中的问题5。 -133- 4.9.2.2 IPSec安全提议 界面进入方法:VPN >> IPSec >> IPSec安全提议 图 4-76 IPSec安全提议设置界面 界面项说明: ¾ IPSec安全提议设置 安全提议名称 为IPSec安全提议命名。设置好的IPSec安全提议可以被应用在IPSec安全 策略中。 安全协议 选择要使用的协议。 AH验证算法 当选择AH安全协议时可设定AH验证算法。路由器支持两种验证算法,以 下为其详细介绍。 MD5(Message Digest Algorithm,消息摘要算法):对一段消息产生128bit 的消息摘要,防止消息被篡改。 SHA1(Secure Hash Algorithm,安全散列算法):对一段消息产生160bit 的消息摘要,比MD5更难破解。 -134- ESP验证算法 当选择ESP安全协议时可设定ESP验证算法。路由器支持两种验证算法, 以下为其详细介绍。 MD5(Message Digest Algorithm,消息摘要算法):对一段消息产生128bit 的消息摘要,防止消息被篡改。 SHA1(Secure Hash Algorithm,安全散列算法):对一段消息产生160bit 的消息摘要,比MD5更难破解。 ESP加密算法 当选择ESP安全协议时可设定ESP加密算法。路由器支持两种加密算法, 以下为其详细介绍。 DES(Data Encryption Standard,数据加密标准):使用56bit的密钥对64bit 数据进行加密,64bit的最后8位用于奇偶校验。3DES则为三重DES,使用 三个56bit的密钥进行加密。 AES(Advanced Encryption Standard,高级加密标准):AES128/192/256 表示使用长度为128/192/256bit的密钥进行加密。 ¾ IPSec安全提议列表 在IPSec安全提议列表中,可以对已保存的IPSec安全提议进行相应设置。 4.9.2.3 IPSec安全联盟 在此将列出路由器上所有已成功建立的IPSec安全联盟相关信息。 界面进入方法:VPN >> IPSec >> IPSec安全联盟 图 4-77 IPSec安全联盟界面一 在图 4-77中路由器使用eth2接口进行隧道连接,eth2接口的IP地址为192.168.10.100,对端网关地 址为172.29.85.199。IPSec隧道的安全提议等相关设置需与对端路由设置相同。 由于安全联盟是单向的,所以当IPSec隧道成功建立后,每条隧道会产生一对出和入的安全联盟。 出和入的SPI值是不同的,但与对端的入和出SPI值相同,即本端方向in的SPI值与对端方向out的SPI值 相同。这条隧道在对端的连接信息如图 4-78所示,SPI值为IKE自动协商得出。 -135- 图 4-78 IPSec安全联盟界面二 说明 NAT穿透 在实际网络应用中,IPSec VPN通信双方的物理连接线路中可能存在着NAT网关,当数据包经过NAT网 关时,其IP地址或端口号会改变,这就导致VPN隧道对端收到数据包后验证失败,数据包被直接丢弃。 NAT穿透功能可以解决这一问题,实现方法为在原ESP协议的报文外添加新的IP首部和UDP首部。这样 数据包的格式为:新IP/UDP首部 | ESP首部 | IP首部 | 数据 。由 于 NAT网关只会改变最外层的IP首部, 而且ESP校验不包含IP首部,所以此时IPSec VPN的通信不会受到影响。但是NAT穿透只适用于ESP协 议,AH协议的校验包含了IP首部,因此无法与NAT共存。 无线企业VPN路由器目前仅在IKE协商模式为野蛮模式,且本地和对端的ID类型都为NAME的情况下支 持NAT穿透。 4.9.3 PPTP PPTP(Point to Point Tunneling Protocol,点到点隧道协议)是二层VPN隧道协议,使用PPP(Point to Point Protocol,点到点协议)进行数据封装,并都为数据增添额外首部。 4.9.3.1 PPTP服务器设置 界面进入方法:VPN >> PPTP >> PPTP服务器设置 -136- 图 4-79 PPTP服务器设置界面 界面项说明: ¾ 全局管理设置 PPTP 隧道维护时间 间隔 设置PPTP隧道维护的时间间隔。范围是60秒至1000秒。 PPP 链路维护时间间 隔 设置PPTP隧道里的PPP隧道维护的时间间隔。范围是0秒至120秒,0代表 不发送。 ¾ 隧道设置 用户名 设置PPTP认证的用户名。客户端与服务器端的设置需一致。 密码 设置PPTP认证的密码。客户端与服务器端的设置需一致。 本地地址 设置PPTP隧道本端使用的IP地址。 -137- DNS 地址 设置DNS服务器的地址。 加密方式 选择是否对隧道进行加密。若启用,则使用MPPE对PPTP隧道加密。 地址池 服务器分配给客户端的地址范围,由地址池名称所对应的IP地址范围确定。 组网模式 当连入隧道的用户为接入路由器的一个网段时,请选择“站点到站点”模式; 当连入隧道的用户是单个计算机时,请选择“PC到站点”模式。 最大会话数 当组网模式选择“PC到站点”时,可进行隧道容纳最大会话数的设置。 对端子网 PPTP隧道对端局域网所使用的IP地址范围(一般可以填VPN隧道对端设 备的LAN口IP地址范围),由IP和子网掩码组成。 启用/禁用 选择启用或禁用本PPTP隧道。 ¾ 隧道设置列表 在隧道设置列表中,可以对已保存的PPTP隧道信息进行相应设置。 4.9.3.2 PPTP服务器隧道信息 在此将列出路由器上所有PPTP隧道的相关信息。 界面进入方法:VPN >> PPTP >> PPTP服务器隧道信息 图 4-80 PPTP服务器隧道信息界面 图 4-80中显示的条目1表示目前这条隧道已成功建立,每条隧道会产生会话ID数值对,每个数值对 都由两个数字ID组成,客户端和服务器端显示的数值对是对应的。 4.9.4 L2TP L2TP(Layer 2 Tunneling Protocol,第二层隧道协议)是二层VPN隧道协议,使用PPP(Point to Point Protocol,点到点协议)进行数据封装,并都为数据增添额外首部。 4.9.4.1 L2TP服务器设置 界面进入方法:VPN >> L2TP >> L2TP服务器设置 -138- 图 4-81 L2TP服务器设置界面 界面项说明: ¾ 全局管理设置 L2TP 隧道维护时间 间隔 设置L2TP隧道维护的时间间隔。范围是60秒至1000秒。 PPP 链路维护时间间 隔 设置L2TP隧道里的PPP隧道维护的时间间隔。范围是0秒至120秒。0代表 不发送。 ¾ 隧道设置 用户名 设置L2TP认证的用户名。客户端与服务器端的设置需一致。 密码 设置L2TP认证的密码。客户端与服务器端的设置需一致。 本地地址 设置L2TP隧道本端使用的IP地址。 -139- DNS 地址 设置DNS服务器的地址。 加密方式 选择是否对隧道进行加密。若启用,则使用IPSec对L2TP隧道加密。 地址池 服务器分配给客户端的地址范围,由地址池名称所对应的IP地址范围确定。 组网模式 当连入隧道的用户为接入路由器的一个网段时,请选择“站点到站点”模式; 当连入隧道的用户是单个计算机时,请选择“PC到站点”模式。 最大会话数 当组网模式选择“PC到站点”时,可进行隧道容纳最大会话数的设置。 对端子网 L2TP隧道对端局域网所使用的IP地址范围(一般可以填VPN隧道对端设备 的LAN口IP地址范围),由IP和子网掩码组成。 启用/禁用 选择启用或禁用本L2TP隧道。 ¾ 隧道设置列表 在隧道设置列表中,可以对已保存的L2TP隧道信息进行相应设置。 说明: 当开启L2TP服务器的加密功能时,选择的IPSec策略对应的IKE安全策略必须为传输模式和响应者模式。 4.9.4.2 L2TP服务器隧道信息 在此将列出路由器上所有L2TP隧道的相关信息。 界面进入方法:VPN >> L2TP >> L2TP服务器隧道信息 图 4-82 L2TP服务器隧道信息界面 图 4-80中显示1条目表示目前这条隧道已成功建立,每条隧道会产生隧道ID数值对和会话ID数值 对,每个数值对都由两个数字ID组成,客户端和服务器端显示的数值对是对应的。 每次建立隧道连接时都会生成一组隧道ID和一组会话ID,一般情况下,同一路由器上不同隧道的ID 数值对不会相同,即使是同一条隧道,在断开已有连接后重新建立连接,也可能会产生不同的ID数值对。 -140- 4.10 系统服务 4.10.1 动态DNS 广域网中,许多ISP使用DHCP分配公共IP地址,因此用户端获得的公网IP是不固定的。当其它用户 需要访问此类IP动态变化的用户端时,很难实时获取它的最新IP地址。 DDNS(Dynamic DNS,动态域名解析服务)服务器则为此类用户端提供了一个固定的域名,并将 其与用户端最新的IP地址进行关联。当服务运行时,DDNS用户端把最新的IP地址通知DDNS服务器, 服务器会更新DNS数据库中域名与IP的映射关系。而对于访问它的用户端,将会得到正确的IP地址并成 功访问服务端。DDNS常用于Web服务器搭建个人网站、FTP服务器提供文件共享等,访问的用户可以 便捷地获取服务。 路由器作为动态DNS客户端,本身并不提供动态DNS服务。因此,在使用此功能之前,必须进入动 态DNS服务提供商的官方主页注册,以获得用户名、密码和域名等信息。本路由器提供花生壳动态DNS 客户端、科迈动态DNS客户端、3322动态DNS客户端。 4.10.1.1 花生壳动态域名 界面进入方法:系统服务 >> 动态 DNS >> 花生壳动态域名 图 4-83 花生壳动态域名设置界面 界面项说明: ¾ 功能设置 服务接口 选择登录花生壳动态域名服务器的接口。 -141- 用户名 填入在花生壳网站注册的用户名。若还没有注册,请点击右边的链接“注册 用户名”登录花生壳网站进行注册。 密码 填入在花生壳网站注册该用户名时所设置的密码。 服务开关 选择启用或禁用花生壳动态域名服务。 域名信息 显示当前登录的DDNS用户所拥有的域名。用户可以申请多个域名,点击 “查看所有域名”显示当前用户申请的所有域名,但最多显示16条。 ¾ 管理列表 在管理列表中,可以对当前的DDNS条目进行相应设置。 4.10.1.2 科迈动态域名 界面进入方法:系统服务 >> 动态 DNS >> 科迈动态域名 图 4-84 科迈动态域名设置界面 界面项说明: ¾ 功能设置 服务接口 选择登录科迈动态域名服务器的接口。 用户名/域名 填入在科迈网站注册的用户名。若还没有注册,请点击右边的链接“注册用 户名”登录科迈网站进行注册。 -142- 密码 填入在科迈网站注册该用户名时所设置的密码。 服务开关 选择启用或禁用科迈动态域名服务。 域名信息 显示当前登录的DDNS用户所拥有的域名。用户可以申请多个域名,点击 “查看所有域名”显示当前用户申请的所有域名,但最多显示16条。 ¾ 管理列表 在管理列表中,可以对当前的DDNS条目进行相应设置。 4.10.1.3 3322动态域名 界面进入方法:系统服务 >> 动态 DNS >> 3322 动态域名 图 4-85 3322动态域名设置界面 界面项说明: ¾ 功能设置 服务接口 选择登录3322动态域名服务器的接口。 用户名 填入在3322网站注册的用户名。若还没有注册,请点击右边的链接“注册 用户名”登录3322网站进行注册。 密码 填入在3322网站注册该用户名时所设置的密码。 -143- 域名信息 显示当前登录的DDNS用户所拥有的域名。用户可以申请多个域名,点击 “查看所有域名”显示当前用户申请的所有域名,但最多显示16条。 服务开关 选择启用或禁用3322动态域名服务。 ¾ 管理列表 在管理列表中,可以对当前的DDNS条目进行相应设置。 4.10.2 UPnP UPnP(Universal Plug and Play,通用即插即用)协议,遵循此协议的不同厂商的各种设备可以自 动发现对方并进行连接。 如果应用程序支持UPnP协议,而局域网中的主机安装了UPnP组件,路由器开启了UPnP服务后, 局域网中的主机就可以根据软件的需要自动地在路由器上打开相应的端口,使得外部主机上的应用程序 在需要时能够通过打开的端口访问内部主机上的资源,这样原本受限于NAT的功能便可以正常使用。例 如,Windows XP和Windows ME系统上安装的MSN Messenger,在使用音频和视频通话时就可以利用 UPnP协议。 相对于转发规则而言,UPnP的应用不需要用户手动设置任何规则,对于一些端口不固定的应用会 更加方便。 界面进入方法:系统服务 >> UPnP >> UPnP 图 4-86 UPnP服务设置界面 -144- 界面项说明: ¾ 功能设置 对外生效接口 指定一组接口集,该集合包含的接口将被配置以端口映射的功能。 启用/禁用服务 选择启用或禁用UPnP服务。 ¾ 服务列表 启用UPnP后,所有应用到UPnP的连接规则会显示在服务列表中。 说明: y 应用时不仅要在路由器上启用 UPnP 服务,还需要确认主机操作系统和应用程序也支持此服务,即 Windows XP 系统需安装 UPnP 组件;应用程序本身需支持 UPnP,如 MSN 最新版、电驴、迅雷 等。 y 一些木马、病毒可能会利用 UPnP 服务打开特定的端口,使局域网主机成为黑客的攻击目标,因此 需谨慎应用 UPnP 服务。 4.10.3 打印服务器 TL-WVR458G/TL-WVR600G/TL-WVR1750G提供打印服务器功能,可以实现局域网电脑共享打印 机的需求,其网络拓扑如图 4-87所示。 图 4-87 共享打印机网络拓扑 -145- 界面进入方法:系统服务 >> 打印服务器 >> 打印服务器 图 4-88 打印服务器设置界面 界面项说明: ¾ 功能设置 打印服务器共有两种状态: 在线:表示打印服务器功能已开启,用户可以使用打印功能。此状态下,点击<停用>按钮可关闭 打印服务器功能。 离线:表示打印服务器功能已停用,用户禁止使用打印功能。此状态下,点击<启用>按钮可开启 打印服务器功能。 使用方法: 说明: 此功能仅 TL-WVR458G/TL-WVR600G/TL-WVR1750G 有,下面提到的路由器仅指这三个机型。 1. 将打印机连接到路由器的 USB 接口,将需要共享打印机的主机接入到路由器。 2. 在主机上安装连接到路由器的打印机驱动程序。路由器随机附带的光盘内有打印服务器客户端软件, 也可到TP-LINK官方网站(http://www.tp-link.com.cn)下载该软件。 3. 打印机驱动程序安装完成后,打开此软件,该驱动程序会自动识别路由器 USB 接口连接的打印机, 此时,打印机可正常工作。如需打印机保持工作状态,请确保打印机驱动程序一直运行。 4. 进入路由器管理界面:系统服务 >> 打印服务器 >> 打印服务器,确认打印服务器状态为“在线”, 如图 4-88所示。此时,局域网中的电脑可以通过路由器的打印服务器功能,实现共享打印。 -146- 4.11 系统工具 4.11.1 管理账户 4.11.1.1 修改管理账号 在此可以修改登录时使用的用户名和密码。 界面进入方法:系统工具 >> 管理账户 >> 修改管理账号 图 4-89 修改管理账号界面 界面项说明: ¾ 用户名密码修改 原用户名 本次登录路由器的用户名。 原密码 本次登录路由器使用的密码。 新用户名 重新设置登录路由器的用户名。 新密码 重新设置登录路由器的密码。 确认新密码 再次输入新密码。 说明 出厂的用户名/密码是 admin/admin。更改用户名及密码并保存生效后,后续登录时请使用新用户名及新 密码。用户名和密码最多支持 31 个字符,且只能是“_”和“-”字符与数字和字母,区分大小写。 -147- 4.11.1.2 远程管理 可以在远程管理界面对允许远程登录的IP地址范围进行设置和修改。 界面进入方法:系统工具 >> 管理账号 >> 远程管理 图 4-90 远程管理设置界面 界面项说明: ¾ 远程管理地址 远程地址范围 设置需要从外部网络登录路由器的主机地址,可指定单个IP或一个网段。 启用/禁用规则 选择启用或禁用该规则。 ¾ 地址列表 在地址列表中,可以对已保存的远程管理地址条目进行相应设置。 上图中序号1条目的含义:允许IP地址属于182.168.2.0/24网段的主机登录路由器Web界面,该规 则已启用。 4.11.1.3 系统管理设置 可以在服务端口界面对Web服务的端口进行设置和修改。 界面进入方法:系统工具 >>管理账号>> 系统管理设置 -148- 图 4-91 系统管理设置界面 界面项说明: ¾ 功能设置 Web服务端口 设置路由器的Web服务端口。 Web会话超时时间 设置通过Web页面访问路由器的超时时间。登录Web界面后,用户在该设 定时间内如无任何操作,路由器将自动断开连接。 说明: y 路由器默认的 Web 服务端口为 80。如果改为其它值,在局域网或广域网都必须用“http://IP 地址: 端口”的方式才能登录路由器。例如,将 Web 管理端口更改为 88,在局域网内登录时的 URL 地址 应为 http://192.168.1.1:88。 y 设置超时时间后,新的超时时间将在下一次登录时生效。 应用举例: 某企业路由器WAN口地址为210.10.10.50,为方便管理,希望广域网210.10.10.0/24网段的IP地址 能对路由器进行远程管理。 可以通过设置Web服务器实现此需求。首先需要设置远端访问路由器的地址段,并选择启用该访问 规则,如图 4-92所示: 图 4-92 系统管理设置应用-远程管理设置 -149- 在服务端口界面为Web服务器开放相应的服务端口,设置如图 4-93所示: 图 4-93 系统管理设置应用-系统管理设置 在浏览器地址栏输入路由器地址210.10.10.50登录路由器Web界面。 4.11.2 设备管理 4.11.2.1 恢复出厂配置 界面进入方法:系统工具 >> 设备管理 >> 恢复出厂配置 图 4-94 恢复出厂配置界面 点击<恢复出厂配置>按钮,路由器将会恢复所有设置的默认值。建议在网络配置错误、组网环境变 更等情况时使用此功能。 路由器出厂默认LAN口IP地址为192.168.1.1,用户名/密码为admin/admin。 -150- 4.11.2.2 备份与导入配置 界面进入方法:系统工具 >> 设备管理 >> 备份与导入配置 图 4-95 备份与导入配置界面 界面项说明: ¾ 版本信息 显示当前路由器软件版本。 ¾ 备份配置信息 单击<备份配置信息>按钮,路由器会将目前所有已保存配置导出为文件。建议在修改配置或升级 软件前备份当前的配置信息。 ¾ 导入配置信息 单击<选择文件>按钮,选择已备份的配置文件;或者在文件路径输入框中填写完整的配置文件路 径,然后点击<导入配置文件>按钮,将路由器恢复到以前备份的配置状态。 说明: y 备份及导入文件过程中请保持电源稳定,避免强行断电。 y 导入的配置文件版本与路由器当前配置版本差距过大,将有可能导致路由器现有配置信息丢失,如 果有重要的配置信息,请谨慎操作。 -151- 4.11.2.3 重启路由器 界面进入方法:系统工具 >> 设备管理 >> 重启路由器 图 4-96 重启路由器界面 单击<重启路由器>按钮,路由器将会重新启动。 重新启动不会丢失已保存的配置,在重启的过程中,网络连接将会暂时中断。 注意: 路由器重启过程中请保证电源稳定,避免强行断电。 4.11.2.4 软件升级 界面进入方法:系统工具 >> 设备管理 >> 软件升级 图 4-97 软件升级界面 TP-LINK官方网站(http://www.tp-link.com.cn)会不定期更新无线企业VPN路由器的软件升级文件, 可将升级文件下载保存在本地。登录路由器后进入软件升级界面,单击<选择文件>按钮,选择保存路径 下的升级文件,点击<升级>进行软件升级。 注意: y 软件升级成功后路由器将会自动重启,在路由器重启完成前请保证电源稳定,避免强行断电。 y 软件升级后由于新旧版本软件的差异可能会恢复出厂默认配置,如有重要配置信息,请在升级前备 份。 -152- 4.11.3 诊断工具 4.11.3.1 诊断工具 可在诊断工具界面通过PING通信检测或路由跟踪检测诊断当前路由器的网络连接状态。 界面进入方法:系统工具 >> 诊断工具 >> 诊断工具 图 4-98 诊断工具界面 -153- 界面项说明: ¾ PING通信检测 目的IP/域名 输入目的地址,可以是一个合法IP地址,也可以是一个合法域名,如果输 入地址无效将提示重新输入。在下拉菜单中选择目的地址所属接口。点击 <开始>按钮后,路由器将发送ping包检测目的地址是否可以到达,并将检 测结果显示在下面的方框中。 ¾ 路由跟踪检测 目的IP/域名 输入目的地址,可以是一个合法IP地址,也可以是一个合法域名,如果输 入地址无效将提示重新输入。在下拉菜单中选择目的地址所属接口。点击 <开始>按钮后,路由器将发送tracert包检测经过哪些路由到达目的地址, 并将检测结果显示在下面的方框中。 4.11.3.2 在线检测 该页面用于检测WAN口是否在线。 界面进入方法:系统工具 >> 诊断工具 >> 在线检测 图 4-99 在线检测界面 -154- 界面项说明: ¾ 检测设置 接口名 显示接口名称。 检测开关 选择开启或关闭在线检测。开启在线检测时,路由器将综合PING检测和 DNS检测的结果判断是否在线;关闭在线检测时,路由器只根据WAN接口 的物理连接状态和拨号状态判断是否在线。 检测模式 选择自动在线检测或者手动在线检测。自动模式下,PING检测选择网关作 为目的地址,DNS检测选择WAN口DNS服务器作为目的地址;手动模式下, 可以自己设置PING检测和DNS检测的目的地址。 PING检测 在手动在线检测模式下,可以输入PING检测的目的IP地址。输入0.0.0.0 表示不进行PING检测。 DNS检测 在手动在线检测模式下,可以输入DNS服务器的IP地址。输入0.0.0.0表示 不进行DNS检测。 ¾ 接口状态列表 接口状态列表中的条目是创建接口时系统自动添加的,在此可以对现有条目进行相应设置。 说明: y 接口的状态和流量均衡功能有关,不在线的接口将不分担流量。 y 页面显示的接口状态可能有延迟,请及时刷新页面以获取接口的实时状态。 4.11.4 时间设置 时间设置界面允许对路由器的系统时间进行设置。若时间设置发生改变,将会影响一些与其相关的 功能,如防火墙规则的生效时间、PPPoE定时拨号、日志等。 界面进入方法:系统工具 >> 时间设置 >> 时间设置 -155- 图 4-100 时间设置界面 界面项说明: ¾ 当前时间 此处将显示目前系统时间及时间获取方式信息。如果想对时间进行更改,可以在下方时间设置区 进行改动。 ¾ 时间设置 通过网络获取系统时间 若路由器可以访问互联网,可选择此项进行网络校时。选择时区后点击 <设置>按钮,路由器将在内置NTP(Network Time Protocol,网络校 时协议)服务器地址列表中搜索可用地址,并获取时间。若获取失败, 请手动设置NTP服务器地址,由于NTP服务器并非固定不变,推荐搜索 两个不同的地址,分别填入首选、备用NTP服务器输入框,NTP服务器 地址可以为IP地址也可以为域名。设置完毕后点击<设置>按钮,路由器 会通过指定的NTP服务器获取网络时间。 -156- 手工设置系统时间 若路由器暂时不能访问互联网,可以选择对系统时间进行手动设置,或 者点击<获取管理主机时间>按钮,系统将自动填入当前管理主机时间信 息。设置完毕后点击<设置>生效。 说明 y 如果不能正常使用<获取管理主机时间>功能,请在主机的防火墙软件中增加一条 UDP 端口为 123 的例外条目。 y 断电重启后,断电之前设置的时间将失效,重新变为“通过网络获取时间”,如果未能连网获取时间, 将从系统默认时间开始计时。 4.11.5 系统日志 可以在日志界面查看路由器系统事件的记录信息。 界面进入方法:系统工具 >> 系统日志 >> 系统日志 图 4-101 日志界面 日志设置区可以对日志系统进行简单的配置。启用自动刷新后,日志列表将每隔5秒刷新一次;选 择日志等级可使日志列表中仅列出指定等级的日志记录。 各等级描述: <0> 致命错误 导致系统不可用的错误,红色显示。 <1> 紧急错误 必须对其采取紧急措施的错误,红色显示。 -157- <2> 严重错误 导致系统处于危险状态的错误,红色显示。 <3> 一般错误 一般性的错误提示,橙色显示。 <4> 警告信息 系统仍然正常运行,但可能存在隐患的提示信息,橙色显示。 <5> 通知信息 正常状态下的重要提示信息。 <6> 消息报告 一般性的提示信息。 <7> 调试信息 调试过程产生的信息。 若需要在某台主机上查看路由器日志信息,请首先在这台主机上安装日志服务器,然后勾选路由器 日志页面上的“发送系统日志”选项,并输入这台主机的IP地址。保存设置后路由器将向指定地址发送系 统日志。 -158- 附录 A 常见问题 问题1:无法登录路由器Web管理界面该如何处理? 1. 如果第一次使用此路由器,请参考以下步骤: 1) 确认网线已正常连接到了路由器的LAN口,对应的指示灯闪烁或者常亮。 2) 访问设置界面前,建议将计算机设置成“自动获取IP地址”,由开启DHCP服务的路由器自动给计 算机分配IP地址。如果需要给计算机指定静态IP地址,请将计算机的IP与路由器LAN口IP设置 在一网段,路由器默认LAN口IP地址为:192.168.1.1,子网掩码:255.255.255.0,计算机的IP 地址应设置为:192.168.1.X (X为2至254之间任意整数),子网掩码为:255.255.255.0。 3) 使用ping命令检测计算机与路由器之间的连通性。 4) 若上述提示仍不能帮助您登录到路由器管理界面,请将路由器恢复为出厂配置。 2. 如果修改过路由器的管理端口,则注意下次登录时需要以“http://管理IP:XX”的方式登录,XX为修改 后的端口号,如http://192.168.1.1:8080。 3. 如果之前可以正常登录,现在不能登录,则有可能是他人修改了路由器的配置导致的(尤其在开启 了远程Web管理的情况下),建议恢复出厂配置,修改路由器的管理端口、修改用户名和密码,做好 保密措施。 4. 如果恢复出厂配置后仍然无法登录或开始一段时间能登录,但过一段时间后又不能登录,则可能是 遭受了ARP欺骗,建议查找欺骗源、查杀病毒或将其隔离。 5. 请检查是否设置了IE代理,如果设置了IE代理,请先将代理取消。 问题2:忘记路由器用户名和密码怎么办?如何恢复出厂配置? 忘记用户名密码时可以将路由器通过Reset键恢复至出厂配置。需要注意的是:恢复出厂配置时路 由器原有配置信息将丢失。 恢复出厂配置操作方法:通电状态下,长按Reset键,待系统指示灯闪烁5次后松开Reset键,路由 器将自动恢复出厂设置并重启。恢复出厂设置后,默认管理地址是http://192.168.1.1,默认用户名和密 码分别为admin/admin。 问题3:忘记路由器管理端口怎么办? 出于对路由器管理安全的考虑,如在不知道路由器管理IP或者端口的情况下,需要对路由器进行管 理,建议将路由器恢复出厂配置。 问题4:为什么开启了远端管理后,非局域网段不能登录管理路由器? 1. 请检查非局域网段要登录路由器的IP地址是否被允许远端访问路由器。 2. 路由器的管理端口是否已经修改过,如果修改过,则应以“http://WAN口IP:XX”的方式登录,XX为修 改后的管理端口,如http://202.160.58.67:8080。 -159- 3. 路由器的管理端口是否已经在虚拟服务器中被映射为局域网主机的某个服务端口,如果已经被映射 为主机的服务端口,则应更改主机服务的端口或更改路由器的管理端口为其它端口。 4. 路由器虚拟服务器的NAT DMZ服务是否启用,如需远程管理路由器,请禁用NAT DMZ服务。 问题5:路由器某些功能设置需要填写子网掩码值划分地址范围,一般子网掩码都有哪些值? 子网掩码是一个32位的二进制地址,以此来区别网络地址和主机地址。子网划分时,子网掩码不同, 所得到的子网不同,每个子网能容纳的主机数目不同。 常用的子网掩码值有8(即A类网络的缺省子网掩码255.0.0.0)、16(即B类网络的缺省子网掩码 255.255.0.0)、24(即C类网络的缺省子网掩码255.255.255.0)、32(即单个IP地址的缺省子网掩码 255.255.255.255)。 -160- 附录 B 术语表 英文术语 中文名称 定义或描述 ADSL(Asymmetrical Digital Subscriber Line) 非对称数字用户线路 非对称数字用户线路,是一种宽带接入技术, 是目前应用最广的宽带接入方式。它利用双绞 铜线向用户提供两个方向上速率不对称的宽 带信息业务。 AES(Advanced Encryption Standard) 高级加密标准 美国国家标准与技术研究所用于加密电子数 据的规范。 ALG(Application Layer Gateway) 应用层网关 工作在应用层的网关,通过处理应用层的数据 使穿透网关进行的网络应用能够正常工作。 AP(Access Point) 访问接入点 相当于一个连接有线网和无线网的桥梁,其主 要作用是将各个无线网络客户端连接到一起, 然后将无线网络接入以太网。 ARP(Address Resolution Protocol) 地址解析协议 一种把IP地址转换成物理地址的协议。 A AH(Authentication Header) 鉴别首部 用于保证数据的完整性。 B BSSID(Basic Service Set Identity) 基础服务集标识 AP的MAC地址。 DDNS(Dynamic Domain Name Server) 动态域名解析服务器 实现将固定域名解析为动态变化的IP地址的域 名解析服务器。 DHCP(Dynamic Host Configuration Protocol) 动态主机配置协议 为网络中的主机动态分配IP地址、子网掩码、 网关、DNS等信息。 DMZ(Demilitarized Zone) 非军事区 路由器对此区域主机不进行保护,广域网主机 可主动访问这些主机。 DNS(Domain Name Server) 域名解析服务器 实现将域名解析为IP地址的域名解析服务器。 D DTIM(Delivery Traffic Indication Message) 传输指示消息 一种倒数计时作业,用以告知下一个要接收广 播及多播的客户端窗口。 E ESP(Encapsulating Security Payload) 封装安全性载荷 用于数据完整性检查以及数据加密。 F Flood 洪泛 是攻击程序大量快速模仿某种连接请求,导致 CPU繁忙或网络瘫痪。 -161- 英文术语 中文名称 定义或描述 F FTP(File Transfer Protocol) 文件传输协议 在基于TCP/IP网络和互联网的联网计算机之 间传送文件的标准协议。 GMT(Greenwich Mean Time) 格林威治标准时间 以经过格林威治的本初子午线为标准的国际 统一时间。 G GARP(gratuitous ARP) 免费地址解析协议 主机通过GARP向广播域发送不期望回复的 ARP包以广播自己的IP对应的MAC地址,或者 检测以太网内是否有IP冲突。 H.323 - H.323为现有的分组网络PBN(如IP网络)提 供多媒体通信标准。它规定了不同的音频、视 频或数据终端协同工作所需的操作模式。 H HTTP(Hypertext Transfer Protocol) 超文本传输协议 常用于WWW服务器与客户端之间传输文件。 ICMP(Internet Control Messages Protocol) 网间控制报文协议 ICMP传递差错报文以及其他需要注意的信 息。ICMP报文通常被IP层或更高层协议(TCP 或UDP)使用。 Internet 因特网/国际互联网/网 际网 是使用公用语言互相通信的,许多路由器和公 共互联网连接而成的全球网络。 IP(Internet Protocol) 网际协议/互联网协议 IP是TCP/IP协议族中最为核心的协议。所有的 TCP、UDP、ICMP及IGMP数据都以IP数据报 格式传输。 I ISP(Internet Service Provider) 互联网服务提供商 提供因特网接入服务的提供商。 L LAN(Local Area Network) 局域网/本地网 指将位于相对有限区域内的一组计算机、打印 机和其他设备连接起来的通讯网络。LAN 内部 连接的设备都能与其中的其他设备交互。 MAC address(Media Access Control address) 介质访问控制地址 MAC协议主要负责控制与连接物理层的物理 介质,协议中定义的MAC地址是由厂商指定的 用来标识网络节点的全球唯一的硬件地址。由 6组编码组成,每组编码表示为2个16进制数。M MTU(Maximum Transmission Unit) 最大传输单元 网络中传输数据包的最大长度。 -162- 英文术语 中文名称 定义或描述 NAT(Network Address Translator) 网络地址转换 将局域网的IP地址转换成用于互联网的外部IP 地址。 NAT DMZ/pseudo DMZ(NAT Demilitarized Zone) 非军事区域/隔离区 是在NAT网关应用上的一种特殊服务。开启 NAT DMZ服务后,网关会将所有外网发起的、 不符合所有现有连接和转发规则的数据全部 转发向你设置的NAT DMZ主机地址。 N NTP Server 网络时间服务器 用于互联网上的计算机时间同步。 POP3(Post Office Protocol 3) 邮局协议第3版本 规定了将个人计算机连接到互联网的邮件服 务器和下载电子邮件的方法的一种协议。 Port VLAN 基于端口的VLAN 基于同一路由器端口划分的VLAN,即不可以 跨越路由器划分VLAN。 PPPoE(Point-to-Point Protocol over Ethernet) 点对点以太网承载协 议 点对点以太网承载协议在以太网上承载 PPP 协议封装的报文,它是目前使用较多的业务形 式。 Private 私有的 用于表示网络是局域网(私有网络)。 P Public 共有的,公共的 用于表示网络是广域网(公有网络)。 Short GI(Short Guard Interval) 短保护间隔 是802.11n针对802.11a/g所做的改进,11a/g 的GI时长为800us,而Short GI时长为400us, 在使用Short GI的情况下,可提高10%的速率。 SMTP(Simple Mail Transfer Protocol) 简单邮件传输协议 用于电子邮件的传输。 SSID(Service Set Identifier) 服务集标识 无线局域网用于身份验证的登录名。 S STA(Station) 站 站在无线局域网中一般为客户端,可以是装有 无线网卡的计算机,也可以是有WiFi模块的智 能手机。站可以是移动的,也可以是固定的, 是无线局域网的最基本组成单元。 TCP-ACK (ACKnowledgment) 确认 TCP首部中的确认标志。 TCP-FIN(Finish) 结束 TCP首部中的结束标志。 T TCP-SYN(SYNchronous) 同步 TCP首部中的同步序号标志。 -163- 英文术语 中文名称 定义或描述 TCP(Transfer Control Protocol) 传输控制协议 传输控制协议是一种面向连接的、可靠的传输 层协议。 TCP/IP(Transmission Control Protocol/ Internet Protocol) 传输控制协议和互连 网协议 用于网络的一组通讯协议,IP提供无连接的数 据报传输机制,TCP提供一种面向连接的、可 靠的字节流服务。 Telnet(Telecommunication Network protocol) 远程终端协议 是在TCP/IP网络上,标准的提供远程登录功能 的应用。 T TKIP(Temporal Key Integrity Protocol) 暂时密钥集成协议 负责处理无线安全问题的加密部分。 UDP(User Datagram Protocol) 用户数据报协议 面向无连接的、不可靠的传输层协议。 UPnP(Universal Plug and Play) 通用即插即用 通用即插即用是一种用于PC机和智能设备(或 仪器)的常见对等网络连接的体系结构。 U URL(Uniform Resource Locator) 统一资源定位符 互联网上的资源地址。 V VLAN(Virtual Local Area Network) 虚拟局域网 组成局域网的逻辑子组。一个VLAN是一个按 功能、组、或者应用被逻辑分段的交换网络, 并不考虑使用者的物理位置。一个端口上接受 到的包被发往属于同一个VLAN的接收端口, 不同VLAN的网络设备无法通讯。 WAN(Wide Area Network) 广域网 在很宽的地理区域内为用户服务的数据通信 网络,此网络通常使用由公共设备商提供的传 输设备。 WDS(Wireless Distribution System) 无线分布式系统 是可以让无线AP或者无线路由器之间通过无 线进行桥接(中继),而在中继的过程中并不 影响其无线设备覆盖效果的功能。 WEP(Wired Equivalent Privacy) 有线等效保密 对在两台设备间无线传输的数据进行加密的 方式。 WLAN(Wireless Local Area Network) 无线局域网 WLAN是以无线方式构成的局域网,主要由站、 接入点、无线介质和分布式系统组成。 W WMM(Wi-Fi MultiMedia) 无线多媒体 是802.11e标准的一个子集。WMM允许无线通 信根据数据类型定义一个优先级范围。 -164- 附录 C 规格参数 TL-WVR450G技术规格参数 参数项 参数内容 支持的标准和协议 IEEE 802.11n、IEEE 802.11g、IEEE 802.11b、IEEE 802.3、IEEE 802.3u、 IEEE 802.3x、IEEE 802.11e、IEEE 802.3ab、IEEE 802.11i、CSMA/CA、 CSMA/CD、TCP/ IP、DHCP、ICMP、NAT、PPPoE、SNTP、HTTP、 DNS、L2TP、PPTP、IPSec LAN口 3个10M/100M/1000M自适应RJ45端口(Auto MDI/MDIX) 端口 WAN口 2个10M/100M/1000M自适应RJ45端口(Auto MDI/MDIX) 频率范围 2.4~2.4835GHz 传输速率 11b:1/2/5.5/11Mbps 11g:6/9/12/18/24/36/48/54Mbps 11n:最高可达450Mbps 工作信道数 13 天线数目 3根 无线参数 天线类型 偶极子全向天线 10Base-T:3类或3类以上UTP 100Base-TX:5类UTP 网络介质 1000 Base-T:5类(推荐使用超5类)UTP/STP LAN/WAN口 Link/Act(连接/工作)、1000M/100M(速率) LED 指示灯 其它 PWR(电源)、SYS(系统状态)、WLAN(无线状态) 外形尺寸(L x W x H) 250mm×158mm×44mm 散热方式 自然散热 -165- 参数项 参数内容 工作温度:0ºC~40ºC 存储温度:-40ºC~70ºC 工作湿度:10%~90%RH 不凝结 使用环境 存储湿度:5%~90%RH 不凝结 电源输入 100-240V~ 50/60Hz 0.6A -166- TL-WVR458G技术规格参数 参数项 参数内容 支持的标准和协议 IEEE 802.11n、IEEE 802.11g、IEEE 802.11b、IEEE 802.3、IEEE 802.3u、 IEEE 802.3x、IEEE 802.11e、IEEE 802.3ab、IEEE 802.11i、CSMA/CA、 CSMA/CD、TCP/ IP、DHCP、ICMP、NAT、PPPoE、SNTP、HTTP、 DNS、L2TP、PPTP、IPSec LAN口 7个10M/100M/1000M自适应RJ45端口(Auto MDI/MDIX) WAN口 1个10M/100M/1000M自适应RJ45端口(Auto MDI/MDIX) WAN/LAN口 1个10M/100M/1000M自适应RJ45端口(Auto MDI/MDIX) 端口 USB口 1个标准USB 2.0接口 频率范围 2.4~2.4835GHz 传输速率 11b:1/2/5.5/11Mbps 11g:6/9/12/18/24/36/48/54Mbps 11n:最高可达450Mbps 工作信道数 13 天线数目 3根 无线参数 天线类型 偶极子全向天线 10Base-T:3类或3类以上UTP 100Base-TX:5类UTP 网络介质 1000 Base-T:5类(推荐使用超5类)UTP/STP LAN/WAN口 Link/Act(连接/工作)、1000M/100M(速率) LED 指示灯 其它 PWR(电源)、SYS(系统状态)、USB(USB设备连接状态)、 WLAN(无线状态) 外形尺寸(L x W x H) 250mm×158mm×44mm 散热方式 自然散热 -167- 参数项 参数内容 工作温度:0ºC~40ºC 存储温度:-40ºC~70ºC 工作湿度:10%~90%RH 不凝结 使用环境 存储湿度:5%~90%RH 不凝结 电源输入 100-240V~ 50/60Hz 0.6A -168- TL-WVR600G技术规格参数 参数项 参数内容 支持的标准和协议 IEEE 802.11n、IEEE 802.11g、IEEE 802.11b、IEEE 802.3、IEEE 802.3u、 IEEE 802.3x、IEEE 802.11e、IEEE 802.3ab、IEEE 802.11i、CSMA/CA、 CSMA/CD、TCP/ IP、DHCP、ICMP、NAT、PPPoE、SNTP、HTTP、 DNS、L2TP、PPTP、IPSec LAN口 3个10/100M自适应RJ45端口(Auto MDI/MDIX) WAN口 2个10/100M自适应RJ45端口(Auto MDI/MDIX) 端口 USB口 1个标准USB 2.0接口 频率范围 2.4GHz频段:2.4~2.4835GHz;5GHz频段:5.180~5.825GHz 传输速率 2.4GHz频段: 11b:1/2/5.5/11Mbps 11g:6/9/12/18/24/36/48/54Mbps 11n:最高可达300Mbps 5GHz频段: 11a:6/9/12/18/24/36/48/54Mbps 11n:最高可达300Mbps 工作信道数 2.4GHz频段:13;5GHz频段:5 天线数目 4根 无线参数 天线类型 偶极子全向天线 10Base-T:3类或3类以上UTP 100Base-TX:5类UTP 网络介质 1000 Base-T:5类(推荐使用超5类)UTP/STP LAN/WAN口 Link/Act(连接/工作)、1000M/100M(速率) LED 指示灯 其它 PWR(电源)、SYS(系统状态)、2.4GHz(2.4GHz无线状态)、5GHz (5GHz无线状态)、USB(USB设备连接状态) 外形尺寸(L x W x H) 250mm×158mm×44mm -169- 参数项 参数内容 散热方式 自然散热 工作温度:0ºC~40ºC 存储温度:-40ºC~70ºC 工作湿度:10%~90%RH 不凝结 使用环境 存储湿度:5%~90%RH 不凝结 电源输入 100-240V~ 50/60Hz 0.6A -170- TL-WVR1750G技术规格参数 参数项 参数内容 支持的标准和协议 IEEE 802.11ac、IEEE 802.11n、IEEE 802.11g、IEEE 802.11b、IEEE 802.3、IEEE 802.3u、IEEE 802.3x、IEEE 802.11e、IEEE 802.3ab、IEEE 802.11i、CSMA/CA、CSMA/CD、TCP/ IP、DHCP、ICMP、NAT、PPPoE、 SNTP、HTTP、DNS、L2TP、PPTP、IPSec LAN口 3个10M/100M/1000M自适应RJ45端口(Auto MDI/MDIX) WAN口 2个10M/100M/1000M自适应RJ45端口(Auto MDI/MDIX) 端口 USB口 1个标准USB 2.0接口 频率范围 2.4GHz频段:2.4~2.4835GHz;5GHz频段:5.180~5.825GHz 传输速率 2.4GHz频段: 11b:1/2/5.5/11Mbps 11g:6/9/12/18/24/36/48/54Mbps 11n:最高可达450Mbps 5GHz频段: 11a:6/9/12/18/24/36/48/54Mbps 11n:最高可达450Mbps 11ac:最高可达1300Mbps 工作信道数 2.4GHz频段:13;5GHz频段:5 天线数目 6根 无线参数 天线类型 偶极子全向天线 10Base-T:3类或3类以上UTP 100Base-TX:5类UTP 网络介质 1000 Base-T:5类(推荐使用超5类)UTP/STP LAN/WAN口 Link/Act(连接/工作)、1000M/100M(速率) LED 指示灯 其它 PWR(电源)、SYS(系统状态)、2.4GHz(2.4GHz无线状态)、5GHz (5GHz无线状态)、USB(USB设备连接状态) 外形尺寸(L x W x H) 294mm×207mm×44mm -171- 参数项 参数内容 散热方式 自然散热 工作温度:0ºC~40ºC 存储温度:-40ºC~70ºC 工作湿度:10%~90%RH 不凝结 使用环境 存储湿度:5%~90%RH 不凝结 电源输入 100-240V~ 50/60Hz 0.6A
还剩175页未读

继续阅读

下载pdf到电脑,查找使用更方便

pdf的实际排版效果,会与网站的显示效果略有不同!!

需要 10 金币 [ 分享pdf获得金币 ] 0 人已下载

下载pdf

pdf贡献者

samjt1026

贡献于2016-07-19

下载需要 10 金币 [金币充值 ]
亲,您也可以通过 分享原创pdf 来获得金币奖励!
下载pdf