admin管理员组文章数量:1532440
2024年1月12日发(作者:)
双核全千兆网吧路由器
TL-ER5510G
用户手册
Rev1.0.0
1910040174
声明
Copyright © 2011 深圳市普联技术有限公司
版权所有,保留所有权利
未经深圳市普联技术有限公司明确书面许可,任何单位或个人不得擅自仿制、复制、誊抄或转译本书部分或全部内容。不得以任何形式或任何方式(电子、机械、影印、录制或其他可能的方式)进行商品传播或用于任何商业、赢利目的。
为深圳市普联技术有限公司注册商标。本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
本手册所提到的产品规格和资讯仅供参考,如有内容更新,恕不另行通知。可随时查阅我们的万维网页。除非有特殊约定,本手册仅作为使用指导,本手册中的所有陈述、信息等均不构成任何形式的担保。
-I-
ഺ
物品清单 .............................................................................................................................1
第1章
1.1
1.2
1.3
第2章
2.1
2.2
2.3
用户手册简介..........................................................................................................2
目标读者.................................................................................................................................2
本书约定.................................................................................................................................2
章节安排.................................................................................................................................2
产品介绍................................................................................................................4
产品描述.................................................................................................................................4
产品特性.................................................................................................................................5
产品外观.................................................................................................................................6
2.3.1
2.3.2
第3章
3.1
3.2
前面板........................................................................................................................6
后面板........................................................................................................................7
配置指南................................................................................................................8
登录Web界面........................................................................................................................8
Web界面简介........................................................................................................................9
3.2.1
3.2.2
界面总览....................................................................................................................9
界面常见按钮及操作................................................................................................11
第4章
4.1
功能设置..............................................................................................................13
系统维护...............................................................................................................................13
4.1.1
4.1.2
4.1.3
4.1.4
系统状态..................................................................................................................13
接口流量..................................................................................................................14
日志.........................................................................................................................14
时间设置..................................................................................................................15
4.2
4.3
系统模式...............................................................................................................................17
接口设置...............................................................................................................................19
4.3.1
4.3.2
4.3.3
4.3.4
WAN设置................................................................................................................19
LAN设置..................................................................................................................29
DMZ设置.................................................................................................................32
MAC设置.................................................................................................................34
NAT映射..................................................................................................................35
多网段36
虚拟服务器...............................................................................................................39
端口触发..................................................................................................................41
ALG服务.................................................................................................................43
ARP防护.................................................................................................................44
访问控制..................................................................................................................47
攻击防护..................................................................................................................50
-II-
4.4 转发规则...............................................................................................................................35
4.4.1
4.4.2
4.4.3
4.4.4
4.4.5
4.5 安全策略...............................................................................................................................44
4.5.1
4.5.2
4.5.3
4.5.4
4.6
4.6.1
4.6.2
4.7
4.7.1
4.7.2
4.8
4.8.1
4.8.2
4.8.3
4.8.4
4.8.5
4.8.6
4.9
4.9.1
4.9.2
4.9.3
4.10.1
4.10.2
4.10.3
第5章
5.1
5.2
5.3
5.4
接入过滤..................................................................................................................52
带宽控制..................................................................................................................54
连接数限制...............................................................................................................58
静态路由..................................................................................................................59
RIP服务...................................................................................................................61
端口统计..................................................................................................................63
端口监控..................................................................................................................64
端口流量限制...........................................................................................................65
端口参数..................................................................................................................66
端口状态..................................................................................................................67
67
UPnP服务...............................................................................................................68
动态69
Web服务器..............................................................................................................71
设备管理..................................................................................................................74
诊断工具..................................................................................................................76
流量统计..................................................................................................................78
传输控制...............................................................................................................................54
路由设置...............................................................................................................................59
端口设置...............................................................................................................................63
系统服务...............................................................................................................................68
4.10 系统工具...............................................................................................................................73
典型配置..............................................................................................................79
典型配置需求.......................................................................................................................79
典型配置方案.......................................................................................................................79
典型组网拓扑.......................................................................................................................80
典型配置步骤.......................................................................................................................80
5.4.1
5.4.2
5.4.3
5.4.4
5.4.5
5.4.6
5.4.7
5.4.8
5.4.9
5.4.10
系统模式设置...........................................................................................................80
上网方式设置...........................................................................................................81
局域网主机IP设置..................................................................................................81
局域网ARP攻击防护设置.......................................................................................82
广域网ARP攻击防护设置.......................................................................................83
网络攻击防护设置....................................................................................................84
带宽控制设置...........................................................................................................84
游戏加速设置...........................................................................................................86
连接数限制设置........................................................................................................86
端口监控设置...........................................................................................................87
第6章
6.1
6.2
6.3
命令行简介...........................................................................................................88
搭建平台...............................................................................................................................88
界面模式...............................................................................................................................91
在线帮助...............................................................................................................................92
-III-
6.4 命令介绍...............................................................................................................................93
6.4.1
6.4.2
6.4.3
6.4.4
6.4.5
6.4.6
附录A
附录B
附录C
接口设置..................................................................................................................93
IP MAC 绑定设置....................................................................................................93
系统管理..................................................................................................................94
用户信息管理...........................................................................................................95
历史命令管理...........................................................................................................96
退出97
常见问题..............................................................................................................98
术语表...............................................................................................................100
规格参数............................................................................................................103
-IV-
物品清单
请仔细检查包装盒,里面应有以下配件:
¾
¾
¾
¾
¾
¾
¾
一台TP-LINK 双核全千兆网吧路由器
一根Console连接线
一根电源线
一本安装手册
一张保修卡
一张光盘
两个L型支架及其他配件
注意:
如果发现有配件短缺或损坏的情况,请及时与当地经销商联系。
-1-
第1章 用户手册简介
本手册旨在帮助您正确使用本款路由器。内容包含对路由器性能特征的描述以及配置路由器的详细说明。请在操作前仔细阅读本手册。
1.1
目标读者
本手册的目标读者为熟悉网络基础知识、了解网络术语的技术人员。
1.2 本书约定
在本手册中,
¾ 所提到的“路由器”、“本产品”等名词,如无特别说明,系指TL-ER5510G双核全千兆网吧路由器,下面简称为TL-ER5510G。
¾ 用 >> 符号表示配置界面的进入顺序。默认为一级菜单 >> 二级菜单 >> 标签页,其中,部分功能无二级菜单。
¾
¾
正文中出现的<>尖括号标记文字,表示Web界面的按钮名称,如<确定>。
正文中出现的“”双引号标记文字,表示Web界面出现的除按钮外名词,如“ARP绑定”界面。
本手册中使用的特殊图标说明如下:
图标 含义
该图标提醒您对设备的某些功能设置引起注意,如果设置错误可能导致数据注意:
丢失,设备损坏等不良后果。
该图标表示此部分内容是对相应设置、步骤的补充说明。
说明:
1.3 章节安排
第1章:用户手册简介。帮助快速掌握本手册的结构、了解本手册的约定,从而更有效地使用本手册。
第2章:产品介绍。介绍本产品特性、应用以及外观。
第3章:配置指南。指导如何登录TL-ER5510G的Web管理界面,并简要介绍界面特点。
第4章:功能设置。介绍TL-ER5510G的所有功能,帮助您更充分地使用本产品。
第5章:典型配置。以真实的网吧应用为例,解决实际需求。
第6章:命令行简介。介绍路由器Console口登录方法及配置中常用的CLI命令。
附录A:常见问题。
-2-
附录B:术语表。
附录C:规格参数。
-3-
第2章 产品介绍
2.1 产品描述
TL-ER5510G是一款双核全千兆网吧路由器,是TP-LINK公司专门为大中型网吧、小区、酒店等网络环境提供高速稳定宽带接入而设计的路由器产品,具有高性能、高稳定、高安全、高灵活等特点。
高性能与高稳定
TL-ER5510G采用双核MIPS 64位网络处理器,主频达500MHz,搭配容量为128MB的DDRII-533高速内存,具备强大的数据转发能力。
TL-ER5510G采用创新导热式自然散热,无风扇静音设计,内置高品质开关电源,外部采用1U钢壳,19英寸标准机架设计,充分保证整机长时间稳定可靠运行。
高安全
TL-ER5510G具有强大的攻击防护功能,不仅能够防御来自局域网的病毒攻击、ARP攻击和欺骗,还能够防御来自广域网的ARP病毒、DoS等攻击,防止黑客的恶意攻击,保证网吧网络长时间稳定安全运行。
防局域网攻击:TL-ER5510G支持对局域网内主机的IP/MAC信息绑定功能,能有效防范局域网内的ARP攻击;同时支持GARP包定时发送机制,有效避免局域网内的ARP欺骗,杜绝局域网内的ARP病毒攻击。TL-ER5510G内置高级防火墙和过滤规则,不仅支持基于IP、MAC、URL的过滤规则,用户也可以根据协议、端口号来自定义病毒类型,对数据包进行双向检测和过滤,防止Nimda、冲击波、木马等病毒攻击,为网吧提供可靠的局域网安全保障。
防广域网攻击:TL-ER5510G支持对连接WAN口网关的IP与MAC信息绑定功能,可防范来自广域网的ARP攻击;并提供扫描类、DoS类、可疑包类等丰富的攻击防护,能侦测及阻挡IP地址欺骗、源路由攻击、IP/端口扫描、DoS等来自广域网的网络攻击。多种广域网防攻击功能全面保障网吧网络安全。
高灵活
灵活的带宽管理:TL-ER5510G支持基于IP的带宽管理功能,提供“普通带宽控制”和“智能带宽控制”两种策略,灵活管控网络带宽;支持游戏优先策略,可分配给游戏独立的带宽,保证游戏的畅通;支持连接数限制功能,防止BT、迅雷等P2P软件过度占用带宽。
灵活的设备配置管理:TL-ER5510G支持配置文件导入导出,配置简单,大大缩短配置时间,保证网吧正常运行;同时采用全中文Web管理界面,支持远程管理,支持多种系统检测工具和丰富的日志功能,设备管理维护灵活;支持WAN口、LAN口和DMZ口的MAC地址修改,网络组建、设备升级更新灵活方便。
-4-
2.2
硬件特性
¾
¾
¾
¾
¾
¾
产品特性
采用双核64位网络专用处理器,主频500MHz;
配备容量为128MB的DDRII-533高速内存;
提供5个10/100/1000M自适应以太网接口;
提供1个硬件DMZ接口;
提供1个Console口;
内置高品质开关电源,无风扇静音设计;
¾ 1U钢壳,可安装于19英寸标准机架,工业级设计。
支持协议
¾
¾
¾
符合IEEE 802.3、IEEE 802.3u、IEEE 802.3ab标准;
支持TCP/IP,DHCP,ICMP,NAT,NAPT等协议;
支持PPPoE,SNTP,HTTP,DDNS、UPnP,NTP等协议。
基本功能
¾
¾
¾
¾
¾
¾
¾
¾
支持静态IP、动态IP、PPPoE、L2TP、PPTP多种接入方式;
支持虚拟服务器、端口触发、ALG、静态路由、RIP动态路由等功能;
内置简单管理交换机,支持VLAN设置和端口监控等交换机功能;
支持LAN口、WAN口以及DMZ口的MAC地址修改;
支持配置文件备份与导入;
支持系统日志、日志服务器、流量统计、系统时间设置等功能;
支持Web和远程管理,全中文配置界面;
提供诊断工具(Ping、Tracert),支持WAN口在线检测功能。
带宽管理
¾
¾
¾
支持基于IP的带宽控制,可限制单机带宽;
支持连接数设置,可限制单机连接数;
提供游戏加速功能,保障游戏小包数据的带宽。
-5-
网络安全
¾
¾
¾
¾
¾
¾
内建防火墙,支持URL、MAC地址过滤;
支持访问控制,可自定义服务类型;
支持攻击防护功能,可对网络攻击和病毒攻击进行防范;
支持局域网IP/MAC地址绑定,防范局域网ARP攻击;
支持广域网IP/MAC地址绑定,防范广域网ARP攻击;
支持定时发送免费ARP包功能,防范局域网ARP欺骗。
2.3
2.3.1
产品外观
前面板
TL-ER5510G的前面板由5个10/100/1000M接口、1个Console接口、指示灯和Reset键组成。如图
2-1所示。
图 2-1 TL-ER5510G前面板示意图
¾ 5个10/100/1000Mbps自适应RJ45接口
TL-ER5510G支持10Mbps/100Mbps/1000Mbps带宽的连接设备。每个接口对应一组指示灯,即Link/Act和1000M指示灯。
¾ 1个Console接口
Console接口位于面板最右边,使用此接口可以对路由器进行命令行配置,详见第6章命令行简介。
¾ Reset键
如果需要将路由器恢复到出厂默认设置,请在路由器通电的情况下,使用尖状物按住路由器前面板的Reset键,等待3-5秒后,见到M1长亮2-5秒,松开按键,待M1和M2两灯同时快闪约1秒,此时路由器已成功恢复出厂配置。路由器出厂默认管理地址是192.168.1.1,默认用户名/密码是admin/admin。
-6-
¾ 指示灯
指示灯包括电源PWR指示灯,系统状态M1/M2指示灯,连接状态Link/Act指示灯,1000M速率指示灯,DMZ接口状态指示灯。通过指示灯可以监控路由器的工作状态,下表将详细说明指示灯工作状态:
指示灯
PWR
名称
电源指示灯
状态描述
常亮表示系统供电正常
常灭表示电源关闭或电源故障
按下Reset键时常亮表示正在恢复出厂配置,与M1 系统状态指示灯
M2同时快闪约1秒表示恢复出厂配置成功
系统正常工作时常灭,其他状态表示系统异常
M2 系统状态指示灯
系统正常工作时闪烁(1次/秒),其他状态表示系统异常
常亮表示相应端口已正常连接
Link/Act 广域网和局域网状态指示灯
闪烁表示相应端口正在传输数据
常灭表示相应端口未建立连接
1000M 速率指示灯
常亮表示端口速率为1000Mbps
常灭表示端口速率为10/100Mbps或者未接入设备常亮表示DMZ接口已启用
常灭表示DMZ接口已关闭
DMZ DMZ接口状态指示灯
2.3.2
后面板
路由器后面板由电源接口和防雷接地柱组成,如图 2-2所示:
图 2-2 后面板示意图
¾ 电源接口
位于后面板右侧,接入电源需为100-240V~ 50/60Hz 0.6A的交流电源。
¾ 防雷接地柱
请使用黄绿双色外皮的铜芯导线接地,以防雷击,具体请参考《设备防雷安装手册》。
注意:
●
●
请使用原装电源线。
电源插座请安装在设备附近便于触及的位置,以方便操作。
-7-
第3章 配置指南
3.1
登录Web界面
第一次登录时,需要确认以下几点:
1) 路由器已正常加电启动,任一LAN口已与管理主机相连。
2) 管理主机已正确安装有线网卡及该网卡的驱动程序、并已正确安装IE 6.0或以上版本的浏览器。
3) 管理主机IP地址已设为与路由器LAN口同一网段,即192.168.1.X(X为2至254之间的任意整数),子网掩码为255.255.255.0,默认网关为路由器管理地址192.168.1.1。也可选择“自动获得IP地址”来通过路由器DHCP自动分配IP地址。
4) 为保证能更好地体验Web界面显示效果,建议将显示器的分辨率调整到1024×768或以上像素。
打开IE浏览器,在地址栏输入192.168.1.1登录TL-ER5510G的Web管理界面。
路由器登录界面如图 3-1所示。
图 3-1 路由器登录界面
在此界面输入路由器管理帐号的用户名和密码,出厂缺省值为admin/admin。成功登录后将看到路由器的系统状态信息,如图 3-2。
-8-
图 3-2 TL-ER5510G系统状态
3.2
3.2.1
Web界面简介
界面总览
TL-ER5510G路由器典型的Web界面如图 3-3所示。
-9-
图 3-3 典型Web界面
在图 3-4 Web界面区域划分中可以看到,左侧为一级、二级菜单栏,右侧上方长条区域为菜单下的标签页,当一个菜单包含多个标签页时,可以通过点击标签页的标题在同级菜单下切换标签页。右侧标签页下方区域可分为两部分,条目配置区以及列表管理区。
图 3-4 Web界面区域划分
-10-
3.2.2 界面常见按钮及操作
¾ 条目配置区常见按钮
按钮 含义
保存当前配置信息。
新增当前配置信息。
修改并保存编辑后的配置信息。
快速清除当前配置项中已输入的所有信息。
打开当前功能的帮助界面。
说明:
<修改>按钮只有当编辑列表中的规则/条目时才会出现,取代原本的<新增>按钮。
¾ 列表管理区常见按钮
按钮 含义
选中当前列表中所有规则/条目。
启用选中的规则/条目,可批量操作。
禁用选中的规则/条目,可批量操作。
使选中的规则/条目生效,可批量操作。
使选中的规则/条目不生效,可批量操作。
删除选中的规则/条目,可批量操作。
刷新列表。
-11-
¾ 列表管理区扩展按钮
按照指定关键字段搜索相应的规则。
列名
内容
状态
¾ 列表管理区常见操作
按钮 名称 含义
点击后,需要编辑的规则/条目内容会出现在列表上方的配置管理区,
编辑 原<新增>按钮同时变为<修改>按钮。在配置管理区修改当前配置后,点击<修改>按钮保存生效。该操作不可批量进行。
启用/生效 点击后,修改当前规则/条目状态。该操作不可批量进行。
选择当前列表中任一表头字段。
输入关键字。
指定搜索范围为“启用”、“禁用”或者任意状态下的规则/条目。
禁用/不生效 点击后,修改当前规则/条目状态。该操作不可批量进行。
删除 点击后,删除当前规则/条目。该操作不可批量进行。
-12-
第4章 功能设置
4.1
系统维护
系统维护提供路由器系统的最新信息,方便网络管理、故障分析等操作。
4.1.1
系统状态
系统状态界面显示路由器当前硬件和软件版本信息、各接口配置信息以及系统资源使用情况。
界面进入方法:系统维护 >> 系统状态
图 4-1 系统状态界面
-13-
4.1.2
接口流量
接口流量界面显示路由器所有正在工作的接口的数据接收/发送速率,以及WAN口的附加信息统计。
界面进入方法:系统维护 >> 接口流量
图 4-2 接口流量界面
接收/发送速率是以千比特每秒为单位进行统计的,通常所说的1M带宽即1024Kbps。接收/发送总包数统计的是数据包的总个数。接收/发送总字节数统计的则是所有数据包的总字节数。
WAN口附加信息则是以数据包为单位进行统计。其中,IP分片是指接收到的大小超过WAN口允许接收的最大值,需要分片传输的数据包;IP异常包是指IP封装字段非正常的数据包。
4.1.3
日志
可以在日志界面查看路由器系统事件的记录信息。
界面进入方法:系统维护 >> 日志
图 4-3 日志界面
-14-
日志列表中一条日志内容可分为四个部分:
日志配置部分可以对日志系统进行简单的配置。启用自动刷新后,日志列表将每隔5秒刷新一次;选择日志等级可使日志列表中仅列出指定等级的日志记录。
各等级描述:
<0> 致命错误 导致系统不可用的错误,红色显示。
<1> 紧急错误 必须对其采取紧急措施的错误,红色显示。
<2> 严重错误 导致系统处于危险状态的错误,红色显示。
<3> 一般错误 一般性的错误提示,橙色显示。
<4> 警告信息 系统仍然正常运行,但可能存在隐患的提示信息,橙色显示。
<5> 通知信息 正常状态下的重要提示信息。
<6> 消息报告 一般性的提示信息。
<7> 调试信息 调试过程产生的信息。
若需要在某台主机上查看路由器日志信息,请首先在这台主机上安装日志服务器,然后勾选路由器日志页面上的“发送系统日志”选项,并输入这台主机的IP地址。保存设置后路由器将向指定地址发送系统日志。
4.1.4
时间设置
时间设置界面允许对路由器的系统时间进行设置。若时间设置发生改变,将会影响一些与其相关的功能,如防火墙规则的生效时间、PPPoE定时拨号、日志等。
界面进入方法:系统维护 >> 时间设置
-15-
图 4-4 时间设置界面
界面项说明:
¾ 当前时间
此处将显示目前系统时间及时间获取方式信息。如果想对时间进行更改,可以在下方时间设置区进行改动。
¾ 时间设置
通过网络获取系统时间
若路由器可以访问互联网,可以选择此项进行网络校时。选择时区后点击<保存>按钮,路由器将会在内置NTP(Network Time Protocol, 网络校时协议)服务器地址列表中搜索可用地址,并获取时间。若获取失败,请手动设置NTP服务器地址,由于NTP服务器并非固定不变,推荐在互联网上搜索两个不同的地址,分别填入首选、备用NTP服务器输入框中,设置完毕后点击<保存>按钮,路由器会通过指定的NTP服务器获取网络时间。
手工设置系统时间 若路由器暂时不能访问互联网,可以选择对系统时间进行手动设置,或者点击<获取管理主机时间>按钮,系统将自动填入当前管理主机时间信息。最后请注意点击<保存>生效。
-16-
说明
● 如果不能正常使用<获取管理主机时间>功能,需要在主机的防火墙软件中增加UDP端口为123的例外条目。
● 断电重启后,断电之前设置的时间将失效,重新变为“通过网络获取时间”,如果未能连网获取时间,默认将从2011年3月1日0时0分0秒开始计时。
4.2 系统模式
TL-ER5510G路由器可以工作在3种模式下:NAT模式、路由模式和全模式。
若TL-ER5510G需要作为网关应用在局域网与广域网之间,拓扑如图 4-5,可以将TL-ER5510G系统模式设为NAT模式;
图 4-5 组网拓扑-NAT模式
若TL-ER5510G在大型组网内用于连接两个不同区域的网络,这两个区域的主机都必须通过路由规则进行通信,拓扑如图 4-6,可以将TL-ER5510G系统模式设为路由模式;
图 4-6 组网拓扑-路由模式
-17-
若TL-ER5510G应用于混合的组网拓扑中,如图 4-7,则可以将TL-ER5510G系统模式设为全模式。
图 4-7 组网拓扑-全模式
界面进入方法:系统模式 >> 系统模式
图 4-8 系统模式设置界面
请根据实际网络需要选择路由器的工作模式。
NAT模式。此模式下,由局域网向广域网发送的数据包默认经过NAT转换,但路由器对所有源地址与局域网接口不在同一网段的数据包均不进行处理。例如,路由器LAN口IP设置为192.168.1.1,子网掩码为255.255.255.0,LAN口所处网段为192.168.1.0/24,此时,路由器收到源地址为192.168.1.123的数据包会进行NAT转换;但如果收到源地址为20.31.76.80的数据包则直接丢弃。
路由模式。此模式下,处于不同网段的主机可以通过相应的路由设置进行通信,但路由器不进行NAT转换。例如,当路由器DMZ口处于广域网模式时,DMZ区域内主机需要以路由方式访问广域网中的服务器,若静态路由规则允许,则可正常通信。此时,局域网内的主机不能访问广域网。
说明:
路由模式下,所有转发规则将失效。
-18-
全模式。全模式包含了NAT模式及路由模式,此模式下,路由器首先对符合NAT转发条件的数据包进行NAT转换;若不符合,则进行静态路由规则匹配,匹配成功的数据包以路由模式进行转发;匹配失败的数据包直接丢弃。这样,路由器既允许数据包进行NAT转换,也不阻隔与接口在不同网段的数据包。
4.3
接口设置
通过对TL-ER5510G各接口的设置,可以帮助您快速连入互联网。
4.3.1 WAN设置
TL-ER5510G提供五种方式接入广域网:静态IP、动态IP、PPPoE、L2TP、PPTP,请根据ISP(Internet
Service Provider, 网络服务提供商)提供的服务进行选择。
¾
¾
有线宽频一般使用动态IP连接方式;
光纤接入以及企业、网吧局域网内组网一般使用静态IP连接方式;
¾ xDSL拨号上网则使用PPPoE连接方式;
¾ 虚拟专用拨号网络一般使用L2TP或PPTP连接方式。
说明:
● TL-ER5510G允许设置多个WAN口的IP地址为同一个网段,但需保证这些WAN口能连通到同一个网域,比如都连通到因特网或同一个局域网,否则可能会导致通信异常。
● 根据WAN口数量的不同,对WAN口进行设置的标签页个数也会不同。其他WAN口的设置方法请参考本节。
界面进入方法:接口设置 >> WAN设置 >> WAN设置
1) 静态IP连接
若ISP提供了固定的IP地址,请选择静态IP手动配置WAN口参数。
-19-
图 4-9 WAN口设置界面-静态IP
界面项说明:
¾ 静态IP设置
连接方式
IP地址
子网掩码
网关地址
MTU
选择静态IP连接方式,进行手动配置。
设置路由器WAN口的IP地址。
设置路由器WAN口的子网掩码。
设置网关地址。
MTU(Maximum Transmission Unit, 最大传输单元),可以设置数据包的最大长度。取值范围是576-1500之间的整数,默认值为1500。若ISP未提供MTU值,请保持默认值不变。
首选DNS服务器 设置DNS(Domain Name Server, 域名解析服务器)地址,一般由ISP提供,如果留空,则无法通过域名访问互联网。
备用DNS服务器
上行带宽
下行带宽
2) 动态IP连接
若ISP提供DHCP自动分配地址服务,请选择动态IP自动获取WAN口参数。
设置备用DNS地址,一般由ISP提供,允许留空。
设置当前WAN接口数据流出的带宽大小。
设置当前WAN接口数据流入的带宽大小。
-20-
图 4-10 WAN口设置界面-动态IP
界面项说明:
¾ 动态IP设置
连接方式
选择动态IP连接方式。点击<获取>得到IP参数,点击<释放>则不再使用现有IP参数。
主机名
MTU
输入用于标识路由器的名称。
MTU(Maximum Transmission Unit, 最大传输单元),可以设置数据包的最大长度。取值范围是576-1500之间的整数,默认值为1500。若ISP未提供MTU值,请保持默认值不变。
手动设置DNS服务器 如果需要手动设置DNS(Domain Name Server, 域名解析服务)地址,请勾选此项。
首选DNS服务器
备用DNS服务器
上行带宽
下行带宽
设置DNS地址,一般由ISP提供。
设置备用DNS地址,一般由ISP提供,允许留空。
设置当前WAN接口数据流出的带宽大小。
设置当前WAN接口数据流入的带宽大小。
-21-
¾ 动态IP状态
连接状态
显示当前WAN口DHCP分配状态。
“未启用”表示当前已选择动态IP连接方式但未保存生效;
“正在连接”表示当前路由器正在向ISP获取IP参数;
“已连接”表示路由器已成功获取IP参数;
“未连接”表示路由器已发起请求,但未得到响应,请检查连接线路是否正常,若问题无法解决,请与ISP联系。
IP地址
子网掩码
网关地址
首选DNS服务器
备用DNS服务器
3) PPPoE连接
若使用xDSL/Cable Modem拨号接入互联网,ISP会提供上网帐号及密码,请选择PPPoE连接方显示自动获取到的IP地址。
显示自动获取到的子网掩码。
显示自动获取到的网关地址。
显示DNS地址。
显示备用DNS地址。
式。
-22-
图 4-11 WAN口设置界面-PPPoE
界面项说明:
¾ PPPoE设置
连接方式
选择PPPoE。点击<连接>开始拨号并获取IP参数,点击<断开>则取消与互联网的连接同时释放已获取的IP参数。
帐号
密码
手动连接
PPPoE拨号的用户名,由ISP提供。
PPPoE拨号的密码,由ISP提供。
用户可在需要上网时手动点击<连接>按钮连入互联网,适合按小时计费的拨号连接上网方式。
-23-
自动连接 每次接通路由器电源,路由器便自动拨号连入互联网,适合不限时间的包月计费拨号连接上网方式。
定时连接 设置连接时段,在此时段内路由器如果开启则自动拨号连接,适合用于需要限时上网的场合。
启用PPPoE高级设置 可以在此手动指定MTU值、服务名及DNS(Domain Name Server, 域名解析服务)地址。如果不清楚这些参数,请勿勾选此项。
MTU
MTU(Maximum Transmission Unit, 最大传输单元),可以设置数据包的最大长度。取值范围是576-1492之间的整数,默认值为1480。若ISP未提供MTU值,请保持默认值不变。
服务名
首选DNS服务器
备用DNS服务器
上行带宽
下行带宽
¾ PPPoE状态
连接状态
显示当前WAN口PPPoE拨号连接状态。
“未启用”表示当前已选择PPPoE拨号连接方式但未保存生效;
“正在连接”表示当前路由器正在向ISP获取IP参数;
“已连接”表示路由器已成功获取IP参数;
“未连接”表示路由器已发起请求,但未得到响应,请检查用户名密码是否正确、连接线路是否正常,若问题无法解决,请与ISP联系。
IP地址
网关地址
首选DNS服务器
备用DNS服务器
4) L2TP连接
若使用虚拟专用拨号接入网络,ISP会提供上网帐号及密码,请选择L2TP连接方式。
显示通过PPPoE拨号后获取到的IP地址。
显示通过PPPoE拨号后获取到的网关地址。
显示DNS地址。
显示备用DNS地址。
输入服务名称,由ISP提供。
设置DNS地址,一般由ISP提供。
设置备用DNS地址,一般由ISP提供,允许留空。
设置当前WAN接口数据流出的带宽大小。
设置当前WAN接口数据流入的带宽大小。
-24-
图 4-12 WAN口设置界面-L2TP
界面项说明:
¾ L2TP设置
连接方式
选择L2TP。点击<连接>开始拨号并获取IP参数,点击<断开>则取消与互联网的连接同时释放已获取的IP参数。
帐号
密码
服务器IP
L2TP拨号的用户名,由ISP提供。
L2TP拨号的密码,由ISP提供。
L2TP拨号的服务器的IP地址,由ISP提供。
-25-
MTU
静态/动态
IP地址
子网掩码
网关地址
首选DNS服务器备用DNS服务器手动连接
自动连接
上行带宽
下行带宽
¾ L2TP状态
连接状态
IP地址
MTU(Maximum Transmission Unit, 最大传输单元),可以设置数据包的最大长度。取值范围是576-1460之间的整数,默认值为1460。若ISP未提供MTU值,请保持默认值不变。
选择静态或动态获取与L2TP服务器进行通信的IP地址。若选择静态方式,则需要手动设置IP地址;若选择动态,则外部的DHCP服务器将动态分配一个IP地址。
若选择静态,设置路由器WAN口的IP地址;若选择动态,显示路由器WAN口获取到的IP地址。
若选择静态,设置路由器WAN口的子网掩码;若选择动态,显示路由器WAN口获取到的子网掩码。
若选择静态,设置网关地址;若选择动态,显示获取到的网关地址。
若选择静态,设置DNS(Domain Name Server, 域名解析服务器)地址,一般由ISP提供,如果留空,则无法通过域名访问互联网;若选择动态,显示分配到的DNS地址。
若选择静态,设置备用DNS地址,一般由ISP提供,允许留空;若选择动态,显示分配到的备用DNS地址。
用户可在需要上网时手动点击<连接>按钮连入互联网,适合按小时计费的拨号连接上网方式。
每次接通路由器电源,路由器便自动拨号连入互联网,适合不限时间的包月计费拨号连接上网方式。
设置当前WAN接口数据流出的带宽大小。
设置当前WAN接口数据流入的带宽大小。
显示当前WAN口L2TP拨号连接状态。
“未启用”表示当前已选择L2TP拨号连接方式但未保存生效;
“正在连接”表示当前路由器正在向ISP获取IP参数;
“已连接”表示路由器已成功获取IP参数;
“未连接”表示路由器已发起请求,但未得到响应,请检查用户名密码是否正确、连接线路是否正常,若问题无法解决,请与ISP联系。
显示通过PPPoE拨号后获取到的IP地址。
-26-
首选DNS服务器
备用DNS服务器
5) PPTP连接
若使用PPTP虚拟专用拨号接入网络,ISP会提供上网帐号及密码,请选择PPTP连接方式进行设显示DNS地址。
显示备用DNS地址。
置。
图 4-13 WAN口设置界面-PPTP
界面项说明:
¾ PPTP设置
-27-
连接方式
帐号
密码
服务器IP
MTU
静态/动态
IP地址
子网掩码
网关地址
首选DNS服务器备用DNS服务器手动连接
自动连接
上行带宽
下行带宽
¾ PPTP状态
连接状态
选择PPTP。点击<连接>开始拨号并获取IP参数,点击<断开>则取消与互联网的连接同时释放已获取的IP参数。
PPTP拨号的用户名,由ISP提供。
PPTP拨号的密码,由ISP提供。
PPTP拨号的服务器的IP地址,由ISP提供。
MTU(Maximum Transmission Unit, 最大传输单元),可以设置数据包的最大长度。取值范围是576-1460之间的整数,默认值为1460。若ISP未提供MTU值,请保持默认值不变。
选择静态或动态获取IP地址。若选择静态方式,则需要手动设置IP地址;若选择动态,则外部的DHCP服务器将动态分配一个IP地址。
若选择静态,设置路由器WAN口的IP地址;若选择动态,显示路由器WAN口获取到的IP地址。
若选择静态,设置路由器WAN口的子网掩码;若选择动态,显示路由器WAN口获取到的子网掩码。
若选择静态,设置网关地址;若选择动态,显示获取到的网关地址。
若选择静态,设置DNS(Domain Name Server, 域名解析服务器)地址,一般由ISP提供,如果留空,则无法通过域名访问互联网;若选择动态,显示分配到的DNS地址。
若选择静态,设置备用DNS地址,一般由ISP提供,允许留空;若选择动态,显示分配到的备用DNS地址。
用户可在需要上网时手动点击<连接>按钮进行连接。
每次接通路由器电源,路由器便会进行自动拨号。
设置当前WAN接口数据流出的带宽大小。
设置当前WAN接口数据流入的带宽大小。
显示当前WAN口PPTP拨号连接状态。
“未启用”表示当前已选择PPTP拨号连接方式但未保存生效;
“正在连接”表示当前路由器正在向ISP获取IP参数;
“已连接”表示路由器已成功获取IP参数;
-28-
“未连接”表示已手动断开连接,或路由器已发起请求,但未得到响应,请检查用户名密码是否正确、连接线路是否正常,若问题无法解决,请与ISP联系。
IP地址
首选DNS服务器
备用DNS服务器
显示通过PPTP拨号后获取到的IP地址。
显示DNS地址。
显示备用DNS地址。
4.3.2
4.3.2.1
LAN设置
LAN口设置
在此设置TL-ER5510G路由器LAN口的IP参数。
界面进入方法:接口设置 >> LAN设置 >> LAN口设置
图 4-14 LAN口设置界面
界面项说明:
¾ LAN口设置
IP地址 设置路由器LAN口的IP地址,默认值为192.168.1.1,可根据实际网络情况修改此值。局域网内部可通过该地址访问路由器。
子网掩码 设置路由器LAN口的子网掩码,默认为255.255.255.0,可根据实际网络情况修改此值。
注意:
若LAN口IP地址有修改,必须在保存配置后使用新的LAN口地址登录路由器Web管理界面。并且,局域网内所有计算机网关地址、子网掩码必须与修改后的LAN口设置保持一致,才能正常通信。
4.3.2.2
DHCP服务
DHCP(Dynamic Host Configuration Protocol, 动态主机配置协议)。路由器具有DHCP服务功能,能够为所有接入TL-ER5510G并且应用DHCP服务的网络设备自动分配IP参数。
界面进入方法:接口设置 >> LAN设置 >> DHCP服务
-29-
图 4-15 DHCP服务设置界面
界面项说明:
¾ 配置参数
DHCP服务器
选择开启或关闭DHCP服务。若希望路由器自动为计算机配置TCP/IP参数,请选择“启用”。
地址池起始地址 设置DHCP服务器自动分配IP地址的起始地址,该地址必须与LAN口IP地址设置在同一网段,默认值为192.168.1.100。
地址池结束地址 设置DHCP服务器自动分配IP地址的结束地址,该地址必须与LAN口IP地址设置在同一网段,默认值为192.168.1.199。
地址租期
网关地址
缺省域名
首选DNS服务器
备用DNS服务器
设置DHCP分配地址有效时间,超时将重新分配。
设置DHCP分配给客户端的网关地址,推荐设置为LAN口IP地址。
设置本地网域名,允许留空。
设置DNS地址,推荐设为路由器LAN口IP地址,允许留空。
设置备用DNS地址,允许留空。
4.3.2.3
客户端列表
客户端列表显示已由DHCP分配IP参数的主机信息。
界面进入方法:接口设置 >> LAN设置 >> 客户端列表
-30-
图 4-16 客户端列表界面
可通过客户端列表查询DHCP客户端信息。如要获得最新DHCP服务分配的客户端信息,请点击<刷新>按钮。
4.3.2.4
静态地址分配
可根据接入设备的MAC地址手动分配IP地址。当对应的客户端设备请求DHCP服务器分配IP地址时,DHCP服务器将自动为其分配指定的IP地址。
界面进入方法:接口设置 >> LAN设置 >> 静态地址分配
图 4-17 静态地址分配设置界面
界面项说明:
¾ 静态地址
MAC地址
IP地址
备注
是否生效
设置待分配IP地址的客户端的MAC地址。
指定当前MAC地址所对应的客户端的IP地址。
添加对本条目的说明信息。
选择当前设置规则是否生效。
-31-
¾ 地址列表
在静态地址列表中,可以对已保存的静态IP地址分配规则进行相应操作。
图 4-17序号1规则的含义:MAC地址为00-19-66-83-53-CF的客户端,指定其IP地址为192.168.1.101,该规则未生效。
注意:
为了避免冲突,建议先进行IP MAC绑定,具体操作请参考4.5.1ARP防护,然后点击图 4-17静态地址分配设置界面中的<导入>按钮,直接获取IP MAC绑定列表中的静态地址条目。
4.3.3 DMZ设置
DMZ(Demilitarized Zone, 非军事区域)也称隔离区。TL-ER5510G提供一个物理DMZ接口,允许所有接入此端口的本地主机暴露在广域网中,进行一些特别的网络应用服务,如各种共享服务器、视频会议等。
DMZ物理接口可以工作在两种模式下,广域网模式或局域网模式。
广域网模式中,DMZ区域直接以路由模式与广域网之间通信。此时DMZ区域与广域网区域一样使用公有地址,不能主动访问局域网。
图 4-18 DMZ口于广域网模式
局域网模式中,DMZ区域访问广域网区域时需要经过NAT进行地址转换。此时DMZ区域可以使用与局域网区域不同网段的私有地址,并且可以主动向局域网区域发起访问连接。
-32-
图 4-19 DMZ口于局域网模式
4.3.3.1
DMZ口设置
在此控制TL-ER5510G的DMZ口是否启用,并设置其IP参数。
界面进入方法:接口设置 >> DMZ设置 >> DMZ口设置
图 4-20 DMZ口设置界面
界面项说明:
¾ DMZ口设置
DMZ口状态 设置是否启用DMZ口。在不启用的状态下,DMZ口功能与LAN口功能相同。
接口模式 通过选择接口模式,可以控制DMZ区域与广域网、局域网之间的连接方式。
IP地址
子网掩码
设置DMZ口的IP地址。
设置DMZ口的子网掩码。
说明:
DMZ口开启后将具有DHCP服务、客户端列表及静态地址分配功能设置,具体设置请参考第4.3.2.2至4.3.2.4小节。
-33-
注意:
当DMZ口开启并处于广域网模式时,若ISP为DMZ口提供的是单一广域网IP地址,请勿开启DMZ口的DHCP服务,否则DMZ区域内的主机分配到的地址不能正常访问广域网。若ISP提供的是地址段,请按照地址段范围设置DHCP地址池。
4.3.4
MAC设置
路由器MAC地址是它在网络中的身份标志,一般来说无需更改。
LAN口MAC设置:
在一个所有设备都进行了ARP绑定的复杂拓扑中,如果其中一个网络节点的路由器更换为TL-ER5510G,为避免该节点下面接入的所有网络设备都更新ARP绑定表,直接将TL-ER5510G的LAN口MAC地址设置为原路由器的MAC地址即可。
WAN口MAC设置:
有些ISP要求上网帐号与拨号设备的MAC绑定,若此时拨号设备更换为TL-ER5510G,只需将路由器WAN口的MAC地址设置为原拨号设备的MAC地址即可。
DMZ口MAC设置:
DMZ口的MAC应用方式与LAN口类似。
界面进入方法:接口设置 >> MAC设置 >> MAC设置
图 4-21 MAC设置界面
界面项说明:
¾ MAC设置
接口
当前MAC地址
显示当前路由器各接口。
显示当前各接口的MAC地址。
-34-
设置 如需恢复初始状态,请点击<出厂MAC>按钮。如需将当前MAC地址设置为管理主机MAC地址,即当前登录路由器进行配置管理的主机MAC地址,请点击<管理主机MAC>按钮;该条目不出现在LAN口和DMZ口设置栏。
注意:
为了防止局域网内MAC地址冲突,路由器LAN口的MAC地址不能设置成当前管理主机的MAC地址。
4.4
转发规则
路由器通过NAT(Network Address Translation, 网络地址转换)技术,可以在局域网主机主动发起对广域网的访问时实现双方的互相通信。其原理是:当通信数据包经过NAT网关时,NAT技术会将数据包中的IP地址在局域网地址与广域网地址间转换,同时也进行端口号的转换。
如今随着计算机的普及,广域网IP地址已经供不应求,通过NAT技术,局域网内所有主机在通信时可以使用一个广域网IP地址,而局域网内不同的主机使用不同的端口号,解决了IP地址紧缺的问题。
在应用了NAT及其扩展技术的网络环境中,局域网主机是不会直接被广域网主机发现的,因此NAT也为局域网提供了一定的网络安全保障,当有广域网主机需要主动访问局域网主机时,就必须通过转发规则来实现。
4.4.1 NAT映射
NAT映射,可以将特定的局域网IP地址与指定的广域网IP地址唯一对应,多用于局域网内的服务器搭建。可在此设置NAT的端口范围和NAT映射关系。
界面进入方法:转发规则 >> NAT映射
图 4-22 NAT映射设置界面
-35-
界面项说明:
¾ NAT服务设置
源端口范围
设置作为NAT源端口的端口范围,范围跨度必须大于或等于100。可设置范围为2049-65000。
¾ NAT映射
映射地址
设置局域网IP地址和广域网IP地址的一对一映射。第一个输入框中应填写局域网IP地址,第二个输入框中应填写广域网IP地址。TL-ER5510G只允许LAN口到WAN口的映射。
出接口
DMZ转发
设定数据包发送出去的接口。
勾选开启选项,DMZ转发功能生效。可以将发送到映射后地址的报文全部转发到映射前地址的主机。
备注
启用/禁用规则
¾ 映射列表
添加对本条目的说明信息。
设置该条NAT映射条目是否生效。
在映射表中,可以对已保存的NAT映射条目进行相应设置。
图 4-22序号1条目的含义:局域网主机host1的IP地址为192.168.1.101,指定经NAT映射后的广域网IP地址为222.135.48.52,映射设置已启用。当host1与广域网通信时,发出的数据包源IP地址将被NAT转换为广域网IP地址222.135.48.52,而从广域网接收的数据包目的IP地址会被NAT转换为局域网IP地址192.168.1.101。
注意:
NAT映射只适用于WAN口使用静态IP连接方式的场合。若WAN口连接方式从静态IP切换为动态IP、PPPoE、L2TP、PPTP,以前设置的NAT映射都将失效,直接在动态IP、PPPoE、L2TP、PPTP连接状态下设置的NAT映射也都不起作用。
4.4.2 多网段NAT
多网段NAT,可以支持LAN或者DMZ接口下多个网段的IP通过NAT转换访问广域网。
界面进入方法:转发规则 >> 多网段NAT
-36-
图 4-23 多网段NAT设置界面
界面项说明:
¾ 多网段NAT规则
网段地址
接口
启用/禁用规则
备注
¾ 规则列表
设置需要进行NAT转换的网段地址,以子网掩码值划分地址范围。
在下拉列表中选择网段所在的接口,可选择LAN或者DMZ。
设置该条多网段NAT规则是否生效。
添加对本条规则的说明信息。
在规则列表中,可以对已保存的多网段NAT规则进行相应设置。
图 4-23序号1规则的含义:这是一条名为tplink1的多网段NAT规则,路由器LAN口下的网段为220.181.6.0/24,本条规则已启用。在进行相应的静态路由规则设置后,该网段将可以通过本路由器进行NAT转换之后访问广域网。
注意:
●
●
●
●
-37-
多网段NAT功能需要同时配置静态路由才能生效。
只有当DMZ口开启时,DMZ选项才在接口的下拉菜单中显示。
如果要指定所有IP,其地址范围是“0.0.0.0 / 32”。
子网掩码值的相关设置请参考附录A 常见问题中的问题5。
应用举例
某网吧的网络结构如下:
TL-ER5510G的LAN网段为192.168.1.0 /24,三层交换机下VLAN2网段为192.168.2.0 /24,VLAN3网段为192.168.3.0 /24,三层交换机与TL-ER5510G的LAN口级联VLAN IP为192.168.1.2。现要实现VLAN2和VLAN3网段可以访问互联网。
可以通过如下设置来实现:
1. 首先设置多网段NAT规则,分别添加VLAN2与VLAN3的网段地址。
设置完成后的规则如下:
-38-
2. 然后设置相应的静态路由规则,指定下一跳为网段地址所属三层交换机与本路由器LAN口直接相连的接口IP。
界面进入方法:路由设置 >> 静态路由
设置完成后的静态路由如下:
4.4.3
虚拟服务器
在路由器默认设置下,广域网中的主机不能直接与局域网主机进行通信。为了方便广域网的合法用户访问本地主机,又要保护局域网内部不受侵袭,路由器提供了虚拟服务器功能。
可以通过虚拟服务器定义一个服务端口,并以IP地址指定其对应的局域网服务器,则广域网所有对此端口的服务请求都将被重定位到该服务器上。这样广域网的用户便能成功访问局域网中的服务器,同时不影响局域网内部的网络安全。
界面进入方法:转发规则 >> 虚拟服务器
-39-
图 4-24 虚拟服务器设置界面
界面项说明:
¾ NAT DMZ服务
NAT DMZ服务
设置是否启用NAT DMZ服务。NAT DMZ是NAT应用的一种特殊服务,相当于一条默认的转发规则。若主机开启了NAT DMZ服务,路由器会将所有由广域网发起的、不符合所有现有连接和转发规则的数据全部转发至指定的主机。
主机地址
¾ 虚拟服务
服务名称
用户自定义,标识一条虚拟服务器规则。名称长度需在28个字符以内,中英文均可,一个中文占用2个字符空间。
外部端口 为本条虚拟服务器规则指定路由器提供给广域网的服务端口或端口范围,广域网对该端口或端口范围的访问都将被重定位到局域网中指定的服务器。
内部端口
服务协议
指定局域网内虚拟服务器主机的实际服务端口或端口范围。
指定应用本条虚拟服务器规则的数据包协议类型。
-40-
指定作为NAT DMZ服务器的主机IP地址。
内部服务器IP 为本条虚拟服务器规则指定局域网服务器的IP地址。外网对局域网指定端口的访问都将发送到该主机。
启用/禁用规则 设置是否应用本条虚拟服务器规则。
注意:
●
●
外部端口与内部端口的取值范围均为1-65535之间的任意整数。
不同虚拟服务器规则的外部端口取值不能相同,内部端口取值可相同。
¾ 服务列表
在服务列表中,可以对已保存的虚拟服务器规则进行相应设置。
图 4-24序号1规则的含义:这是一条名为apply1的虚拟服务器规则,由广域网向路由器端口8080发起的TCP数据都将转发到局域网IP地址为192.168.1.102主机的80端口上,本条规则已启用。
应用举例
某网吧在局域网内的游戏服务器192.168.1.254上搭建了CS服务器,CS服务器使用的是UDP
27015端口,现要实现广域网的玩家能连接到局域网内的这台服务器上联机游戏。
可以通过虚拟服务器实现这个需求。首先需要添加虚拟服务器规则,将路由器外部端口27015映射到内网CS服务器192.168.1.254的UDP端口27015上,使用的服务协议是UDP协议,设置如下图。点击<新增>按钮保存设置。设置完成后,广域网的玩家就可以连接到网吧局域网内的CS服务器进行游戏了。
4.4.4
端口触发
由于防火墙的存在,一些如网络游戏、视频会议、网络电话、P2P下载等应用程序需要通过设置转发规则才能正常工作,而这些应用程序又要求多个端口连接,针对单一端口的虚拟服务器功能已不能满足需求,此时就需要使用端口触发功能。
当一个应用程序向触发端口发起连接时,对应开放端口中的所有端口就会打开,以备后续连接。
-41-
界面进入方法:转发规则 >> 端口触发
图 4-25 端口触发设置界面
界面项说明:
¾ 端口触发
服务名称
用户自定义,标识一条端口触发规则。名称长度需在28个字符以内,中英文均可,一个中文占用2个字符空间。
触发端口 应用程序首先发起连接的端口。只有该端口发起连接时,对应开放端口中的所有端口才可以开放,并为应用程序提供服务,否则开放端口中的所有端口是不会开放的。
触发协议
开放端口
设定在触发端口上使用的数据包协议类型。
为应用程序提供服务的一个或多个端口。当触发端口上发起连接后,开放端口打开,之后应用程序便可以通过这些开放端口发起后续连接。
开放协议
启用/禁用规则
设定在开放端口上使用的数据包协议类型。
设置是否应用本条端口触发规则。
注意:
● 触发端口与开放端口的取值范围均为1-65535之间的任意整数。开放端口取值可以指定一个连续的范围,如8690-8696。
● 路由器支持32条端口触发规则,每条规则最多支持5组开放端口,每条规则的开放端口数总和需小于或等于100。
-42-
¾ 触发列表
在触发列表中,可以对已保存的端口规则进行相应设置。
图 4-25序号1规则的含义:这是一条名为apply1的端口触发服务规则,当局域网内发起端口为5354的TCP访问时,对TCP和UDP协议开放5355-5358端口。
4.4.5 ALG服务
ALG(Application Layer Gateway, 应用层网关)。为了保证一些应用程序的正常使用,请开启ALG服务。
界面进入方法:转发规则 >> ALG服务
图 4-26 ALG服务设置界面
界面项说明:
¾ ALG服务
FTP ALG服务
选择启用或禁用FTP ALG服务,默认为启用,如无特殊需求请保持默认配置不变。
H.323 ALG服务 选择启用或禁用H.323 ALG服务,默认为启用,如无特殊需求请保持默认配置不变。H.323多媒体协议多用于视频会议、IP电话等场合。
SIP ALG服务 选择启用或禁用SIP ALG服务,默认为启用,如无特殊需求请保持默认配置不变。
IPsec ALG服务 选择启用或禁用IPsec ALG服务,默认为启用,如无特殊需求请保持默认配置不变。
PPTP ALG服务 选择启用或禁用PPTP ALG服务,默认为启用,如无特殊需求请保持默认配置不变。
-43-
4.5
安全策略
安全策略主要用于防御当今互联网环境中多种类型的攻击,并消除潜在的安全隐患。
4.5.1
ARP防护
一台主机向局域网内另一台主机发送IP数据包,此时设备需要通过MAC地址确定目的接口才能进行通信,而IP数据包中不包含有MAC地址信息,因此需要将IP地址解析为MAC地址。ARP(Address
Resolution Protocol, 地址解析协议)正是用来实现这一目的的网络协议。
网络中的所有设备,包括路由器和计算机在内,都各自维护一份ARP列表,该列表建立了主机IP地址和MAC地址一一对应关系。按照ARP协议的设计,主机也会接收不是自己主动请求的ARP应答,并将应答的IP地址和MAC地址添加到ARP表中。每次通信时会先通过该列表查找对应地址,减少网络上过多的ARP通信量,但同时也为“ARP欺骗”创造了条件。
ARP欺骗是局域网的攻击主机发送ARP欺骗包,将伪造的IP与MAC对应关系替换设备ARP列表中的记录,就会导致局域网内计算机不能正常上网。这类ARP攻击严重影响了局域网内部通信,由此便产生了ARP防护技术。
4.5.1.1 IP MAC绑定
IP MAC绑定是一种防护技术,能够防止ARP列表被伪造的IP MAC对应信息替换。
界面进入方法:安全策略 >> ARP防护 >> IP MAC绑定
图 4-27 IP MAC绑定设置界面
-44-
版权声明:本文标题:TP-LINK TL-ER5510G路由器 说明书 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1705031213a119922.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论