TL-ER5110 V2.0_1.3.0用户手册

返回 相似
第1页 / 共107页
第2页 / 共107页
第3页 / 共107页
第4页 / 共107页
第5页 / 共107页
点击查看更多>>
资源描述:
高性能网吧路由器 TL-ER5110 用户手册 REV1.3.0 1910040352 -I- 声明 Copyright © 2013 普联技术有限公司 版权所有,保留所有权利 未经普联技术有限公司明确书面许可,任何单位或个人不得擅自仿制、复制、誊抄或转译本书部分或全 部内容。不得以任何形式或任何方式(电子、机械、影印、录制或其他可能的方式)进行商品传播或用 于任何商业、赢利目的。 为普联技术有限公司注册商标。本文档提及的其他所有商标或注册商标,由各自的 所有人拥有。 本手册所提到的产品规格和资讯仅供参考,如有内容更新,恕不另行通知。可随时查阅我们的万维网页 http//www.tp-link.com.cn。除非有特殊约定,本手册仅作为使用指导,本手册中的所有陈述、信息等均 不构成任何形式的担保。 -II- ù 物品清单 1 第 1 章 用户手册简介 .2 1.1 目标读者 2 1.2 本书约定 2 1.3 章节安排 2 第 2 章 产品介绍 .3 2.1 产品描述 3 2.2 产品特性 4 2.3 产品外观 5 2.3.1 前面板 5 2.3.2 后面板 6 第 3 章 配置指南 .7 3.1 登录Web 界面 7 3.2 Web界面简介 8 3.2.1 界面总览 8 3.2.2 界面常见按钮及操作 10 第 4 章 功能设置 .12 4.1 系统维护 12 4.1.1 系统状态 12 4.1.2 接口流量 13 4.1.3 日志 .13 4.1.4 时间设置 14 4.2 系统模式 16 4.3 接口设置 18 4.3.1 WAN设置 .18 4.3.2 LAN设置 26 4.3.3 DMZ设置 .29 4.3.4 MAC设置 .31 4.4 转发规则 32 4.4.1 NAT映射 32 4.4.2 多网段NAT .34 4.4.3 虚拟服务器 36 4.4.4 端口触发 38 4.4.5 ALG服务 40 4.5 安全策略 40 4.5.1 ARP防护 41 4.5.2 访问控制 44 4.5.3 攻击防护 47 -III- 4.5.4 接入过滤 49 4.6 传输控制 51 4.6.1 带宽控制 51 4.6.2 连接数限制 55 4.7 路由设置 57 4.7.1 静态路由 57 4.7.2 RIP服务 .60 4.8 端口设置 61 4.8.1 端口统计 61 4.8.2 端口监控 63 4.8.3 端口流量限制 .64 4.8.4 端口参数 65 4.8.5 端口状态 66 4.8.6 Port VLAN .66 4.9 系统服务 67 4.9.1 UPnP服务 67 4.9.2 动态DNS 68 4.9.3 Web服务器 69 4.10 系统工具 73 4.10.1 设备管理 73 4.10.2 诊断工具 75 4.10.3 流量统计 77 第 5 章 典型配置 .78 5.1 典型配置需求.78 5.2 典型配置方案.78 5.3 典型组网拓扑.79 5.4 典型配置步骤.79 5.4.1 上网方式设置 .79 5.4.2 局域网主机IP 设置 80 5.4.3 局域网ARP 攻击防护设置 .80 5.4.4 广域网ARP 攻击防护设置 .82 5.4.5 网络攻击防护设置 82 5.4.6 带宽控制设置 .83 5.4.7 游戏加速设置 .85 5.4.8 连接数限制设置 .85 5.4.9 端口监控设置 .86 第 6 章 命令行简介 87 6.1 搭建平台 87 6.2 界面模式 90 6.3 在线帮助 91 6.4 命令介绍 92 -IV- 6.4.1 接口设置 92 6.4.2 IP MAC 绑定设置 92 6.4.3 系统管理 93 6.4.4 用户信息管理 .94 6.4.5 历史命令管理 .95 6.4.6 退出CLI 96 附录A 常见问题 97 附录B 术语表 .99 附录C 规格参数 102 -1- 物品清单 请仔细检查包装盒,里面应有以下配件 ¾ 一台TP-LINK ER 系列网吧路由器 ¾ 一根Console 连接线 ¾ 一本安装手册 ¾ 一张保修卡 ¾ 一张光盘 ¾ 两个L 型支架及其他配件 注意 如果发现有配件短缺或损坏的情况,请及时与当地经销商联系。 -2- 第 1章 用户手册简介 本手册旨在帮助您正确使用本款路由器。内容包含对路由器性能特征的描述以及配置路由器的详细 说明。请在操作前仔细阅读本手册。 1.1 目标读者 本手册的目标读者为熟悉网络基础知识、了解网络术语的技术人员。 1.2 本书约定 在本手册中, ¾ 所提到的“路由器” 、 “本产品”等名词,如无特别说明,系指TL-ER5110 高性能网吧路由器, 下面简称为TL-ER5110。 ¾ 用 符号表示配置界面的进入顺序。默认为一级菜单 二级菜单 标签页,其中,部分 功能无二级菜单。 ¾ 正文中出现的 系统状态 图 4-1 系统状态界面 -13- 4.1.2 接口流量 接口流量界面显示路由器所有正在工作的接口的数据接收/ 发送速率,以及WAN 口的附加信息统计。 界面进入方法系统维护 接口流量 图 4-2 接口流量界面 接收/ 发送速率是以千比特每秒为单位进行统计的,通常所说的1M 带宽即1024Kbps 。 WAN口附加信息则是以数据包为单位进行统计。其中, IP分片是指接收到的大小超过WAN 口允许 接收的最大值、需要分片传输的数据包;IP 异常包是指IP 封装字段非正常的数据包。 4.1.3 日志 可以在日志界面查看路由器系统事件的记录信息。 界面进入方法系统维护 日志 图 4-3 日志界面 -14- 日志列表中一条日志内容可分为四个部分 日志配置部分可以对日志系统进行简单的配置。启用自动刷新后,日志列表将每隔 5秒刷新一次; 选择日志等级可使日志列表中仅列出指定等级的日志记录。 各等级描述 致命错误 导致系统不可用的错误,红色显示。 紧急错误 必须对其采取紧急措施的错误,红色显示。 严重错误 导致系统处于危险状态的错误,红色显示。 一般错误 一般性的错误提示,橙色显示。 警告信息 系统仍然正常运行,但可能存在隐患的提示信息,橙色显示。 通知信息 正常状态下的重要提示信息。 消息报告 一般性的提示信息。 调试信息 调试过程产生的信息。 若需要在某台主机上查看路由器日志信息,请首先在这台主机上安装日志服务器,然后勾选路由器 日志页面上的“发送系统日志”选项,并输入这台主机的IP 地址。保存设置后路由器将向指定地址发送 系统日志。 4.1.4 时间设置 时间设置界面允许对路由器的系统时间进行设置。若时间设置发生改变,将会影响一些与其相关的 功能,如防火墙规则的生效时间、PPPoE 定时拨号、日志等。 界面进入方法系统维护 时间设置 -15- 图 4-4 时间设置界面 界面项说明 ¾ 当前时间 此处将显示目前系统时间及时间获取方式信息。如果想对时间进行更改,可以在下方时间设置区 进行改动。 ¾ 时间设置 通过网络获取系统时间 若路由器可以访问互联网,可以选择此项进行网络校时。选择时区后点 击 按钮,路由器将会在内置NTPNetwork Time Protocol, 网络 校时协议 服务器地址列表中搜索可用地址,并获取时间。若获取失败, 请手动设置NTP 服务器地址,由于NTP 服务器并非固定不变,推荐在互 联网上搜索两个不同的地址,分别填入首选、备用NTP 服务器输入框中, 设置完毕后点击 按钮,路由器会通过指定的NTP 服务器获取网络 时间。 手工设置系统时间 若路由器暂时不能访问互联网,可以选择对系统时间进行手动设置,或 者点击 按钮,系统将自动填入当前管理主机时间信 息。最后请注意点击 生效。 -16- 说明 ● 如果不能正常使用 功能,需要在主机的防火墙软件中增加UDP 端口为123 的例 外。 ● 断电重启后,断电之前设置的时间将失效,重新变为“通过网络获取时间”,如果未能连网获取时 间,默认将从2009 年 1月 1日0 时0 分0 秒开始计时。 4.2 系统模式 TL-ER5110路由器可以工作在3 种模式下NAT 模式、路由模式和全模式。 若TL-ER5110需要作为网关应用在局域网与广域网之间,拓扑如图 4-5,可以将TL-ER5110 系统模 式设为NAT 模式; 图 4-5 组网拓扑-NAT 模式 若TL-ER5110在大型组网内用于连接两个不同区域的网络,这两个区域的主机都必须通过路由规则 进行通信,拓扑如图 4-6,可以将TL-ER5110 系统模式设为路由模式; 图 4-6 组网拓扑- 路由模式 -17- 若TL-ER5110应用于混合的组网拓扑中,如 图 4-7,则可以将TL-ER5110 系统模式设为全模式。 图 4-7 组网拓扑- 全模式 界面进入方法系统模式 系统模式 图 4-8 系统模式设置界面 请根据实际网络需要选择路由器的工作模式。 NAT模式。此模式下,由局域网向广域网发送的数据包默认经过NAT 的转换,但路由器对所有源地 址与局域网接口不在同一网段的数据包均不进行处理。例如,路由器LAN 口IP 设置为192.168.1.1 ,子网 掩码为255.255.255.0 , LAN口所处网段为192.168.1.0/24 ,此时,路由器收到源地址为 192.168.1.123 的数据包会进行NAT 转换;但如果收到源地址为20.31.76.80 的数据包则直接丢弃。 路由模式。此模式下,处于不同网段的主机可以通过相应的路由设置 进行通信,但路由器不进行NAT 转换。例如,当路由器DMZ 口处于广域网模式时, DMZ区域内主机需要以路由方式访问广域网中的服务 器,若静态路由规则允许,则可正常通信。此时,局域网内的主机不能访问广域网。 说明 路由模式下,所有转发规则将失效。 -18- 全模式。全模式包含了NAT 模式及路由模式,此模式下,路由器首先对符合NAT 转发条件的数据包 进行NAT 转换;若不符合,则进行静态路由规则匹配,匹配成功的数据包以路由模式进行转发;匹配失 败的数据包直接丢弃。这样,路由器既允许数据包进行NAT 转换,也不阻隔与接口在不同网段的数据包。 4.3 接口设置 通过对TL-ER5110各接口的设置,可以帮助您快速连入互联网。 4.3.1 WAN设置 TL-ER5110提供四种方式接入广域网动态IP 、静态IP 、 PPPoE、 L2TP,请根据ISPInternet Service Provider, 网络服务供应商 提供的服务进行选择。 ¾ 有线宽频一般使用动态IP 连接方式; ¾ 光纤接入以及企业、网吧局域网内组网一般使用静态IP 连接方式; ¾ xDSL拨号上网则使用PPPoE连接方式; ¾ 虚拟专用拨号网络一般使用L2TP 连接方式。 界面进入方法接口设置 WAN 设置 WAN 口设置 1 静态IP 连接 若ISP 提供了固定的IP 地址,请选择静态IP 手动配置WAN 口参数。 图 4-9 WAN口设置界面- 静态IP -19- 界面项说明 ¾ 静态IP 设置 连接方式 选择静态IP 连接方式,进行手动配置。 IP地址 设置路由器WAN 口的IP 地址。 子网掩码 设置路由器WAN 口的子网掩码。 网关地址 设置网关地址。 MTU MTUMaximum Transmission Unit, 最大传输单元 ,可以设置数据包的 最大长度。取值范围是576-1500 之间的整数,默认值为1500 。若ISP 未提供MTU 值,请保持默认值不变。 首选DNS 服务器 设置DNSDomain Name Server, 域名解析服务器 地址,一般由ISP 提 供,如果留空,则无法通过域名访问互联网。 备用DNS 服务器 设置备用DNS 地址,一般由ISP 提供,允许留空。 上行带宽 设置当前WAN 接口数据流出的带宽大小。 下行带宽 设置当前WAN 接口数据流入的带宽大小。 2 动态IP 连接 若ISP 提供DHCP 自动分配地址服务,请选择动态IP 自动获取WAN 口参数。 -20- 图 4-10 WAN口设置界面- 动态IP 界面项说明 ¾ 动态IP 设置 连接方式 选择动态 IP连接方式。点击得到IP 参数,点击则不再使 用现有IP 参数。 主机名 输入用于标识路由器的名称。 MTU MTUMaximum Transmission Unit, 最大传输单元 ,可以设置数据包的 最大长度。取值范围是576-1500 之间的整数,默认值为1500 。若ISP 未提供MTU 值,请保持默认值不变。 手动设置DNS 服务器 如果需要手动设置DNSDomain Name Server, 域名解析服务 地址,请 勾选此项。 首选DNS 服务器 设置DNS 地址,一般由ISP 提供。 备用DNS 服务器 设置备用DNS 地址,一般由ISP 提供,允许留空。 上行带宽 设置当前WAN 接口数据流出的带宽大小。 下行带宽 设置当前WAN 接口数据流入的带宽大小。 -21- ¾ 动态IP 状态 连接状态 显示当前WAN 口DHCP 分配状态。 “未启用”表示当前已选择动态IP 连接方式但未保存生效; “正在连接”表示当前路由器正在向ISP 获取IP 参数; “已连接”表示路由器已成功获取IP 参数; “未连接”表示路由器已发起请求,但未得到响应,请检查连接线路是 否正常,若问题无法解决,请与ISP 联系。 IP地址 显示自动获取到的IP 地址。 子网掩码 显示自动获取到的子网掩码。 网关地址 显示自动获取到的网关地址。 首选DNS 服务器 显示DNS 地址。 备用DNS 服务器 显示备用DNS 地址。 3 PPPoE连接 若使用xDSL/Cable Modem 拨号接入互联网, ISP会提供上网帐号及密码,请选择PPPoE连接方式。 -22- 图 4-11 WAN 口设置界面-PPPoE 界面项说明 ¾ PPPoE设置 连接方式 选择PPPoE 。点击开始拨号并获取IP 参数,点击则取消 与互联网的连接同时释放已获取的IP 参数。 帐号 PPPoE拨号的用户名,由ISP 提供。 密码 PPPoE拨号的密码,由ISP 提供。 手动连接 用户可在需要上网时手动点击 按钮连入互联网,适合按小时计费 的拨号连接上网方式。 -23- 自动连接 每次接通路由器电源,路由器便自动拨号连入互联网,适合不限时间的 包月计费拨号连接上网方式。 定时连接 设置连接时段,在此时段内路由器如果开启则自动拨号连接,适合用于 需要限时上网的场合。 启用PPPoE 高级设置 如果需要手动指定MTU 值、服务名及DNSDomain Name Server, 域名 解析服务 地址,请勾选此项。 MTU MTUMaximum Transmission Unit, 最大传输单元 ,可以设置数据包的 最大长度。取值范围是576-1492 之间的整数,默认值为1480 。若ISP 未提供MTU 值,请保持默认值不变。 服务名 输入服务名称,由ISP 提供。 首选DNS 服务器 设置DNS 地址,一般由ISP 提供。 备用DNS 服务器 设置备用DNS 地址,一般由ISP 提供,允许留空。 上行带宽 设置当前WAN 接口数据流出的带宽大小。 下行带宽 设置当前WAN 接口数据流入的带宽大小。 ¾ PPPoE状态 连接状态 显示当前WAN 口PPPoE 拨号连接状态。 “未启用”表示当前已选择PPPoE 拨号连接方式但未保存生效; “正在连接”表示当前路由器正在向ISP 获取IP 参数; “已连接”表示路由器已成功获取IP 参数; “未连接”表示路由器已发起请求,但未得到响应,请检查用户名密码 是否正确、连接线路是否正常,若问题无法解决,请与ISP 联系。 IP地址 显示通过PPPoE拨号后获取到的IP 地址。 网关地址 显示通过PPPoE拨号后获取到的网关地址。 首选DNS 服务器 显示DNS 地址。 备用DNS 服务器 显示备用DNS 地址。 4 L2TP连接 若使用L2TP 虚拟专用拨号接入网络,ISP 会提供上网帐号及密码,请选择L2TP 连接方式进行设置。 -24- 图 4-12 WAN口设置界面-L2TP 界面项说明 ¾ L2TP设置 连接方式 选择L2TP 。点击 开始拨号并获取IP 参数,点击则取消与 互联网的连接同时释放已获取的IP 参数。 帐号 L2TP拨号的用户名,由ISP 提供。 密码 L2TP拨号的密码,由ISP 提供。 服务器IP L2TP拨号的服务器的IP 地址,由ISP 提供。 -25- MTU MTUMaximum Transmission Unit, 最大传输单元 ,可以设置数据包的 最大长度。取值范围是576-1460 之间的整数,默认值为1460 。若ISP 未提供MTU 值,请保持默认值不变。 静态/ 动态 选择静态或动态获取IP 地址。若选择静态方式,则需要手动设置IP 地址; 若选择动态,则外部的DHCP 服务器将动态分配一个IP 地址。 IP地址 若选择静态,设置路由器WAN 口的IP 地址;若选择动态,显示路由器 WAN口获取到的IP 地址。 子网掩码 若选择静态,设置路由器WAN 口的子网掩码;若选择动态,显示路由 器WAN 口获取到的子网掩码。 网关地址 若选择静态,设置网关地址;若选择动态,显示获取到的网关地址。 首选DNS 服务器 若选择静态,设置DNSDomain Name Server, 域名解析服务器 地址, 一般由ISP 提供,如果留空,则无法通过域名访问互联网;若选择动态, 显示分配到的DNS 地址。 备用DNS 服务器 若选择静态,设置备用DNS 地址,一般由ISP 提供,允许留空;若选择 动态,显示分配到的备用DNS 地址。 手动连接 用户可在需要上网时手动点击 按钮进行连接。 自动连接 每次接通路由器电源,路由器便会进行自动拨号。 上行带宽 设置当前WAN 接口数据流出的带宽大小。 下行带宽 设置当前WAN 接口数据流入的带宽大小。 ¾ L2TP状态 连接状态 显示当前WAN 口L2TP 拨号连接状态。 “未启用”表示当前已选择L2TP 拨号连接方式但未保存生效; “正在连接”表示当前路由器正在向ISP 获取IP 参数; “已连接”表示路由器已成功获取IP 参数; “未连接”表示已手动断开连接,或路由器已发起请求,但未得到响应, 请检查用户名密码是否正确、连接线路是否正常,若问题无法解决,请 与ISP 联系。 IP地址 显示通过L2TP 拨号后获取到的IP 地址。 首选DNS 服务器 显示DNS 地址。 备用DNS 服务器 显示备用DNS 地址。 -26- 4.3.2 LAN设置 4.3.2.1 LAN口设置 在此设置TL-ER5110路由器LAN 口的IP 参数。 界面进入方法接口设置 LAN 设置 LAN 口设置 图 4-13 LAN 口设置界面 界面项说明 ¾ LAN口设置 IP地址 设置路由器LAN 口的IP 地址,默认值为192.168.1.1 ,可根据实际网络情 况修改此值。局域网内部可通过该地址访问路由器。 子网掩码 设置路由器LAN 口的子网掩码,默认为255.255.255.0 ,可根据实际网 络情况修改此值。 注意 若 LAN口 IP地址有修改,必须在保存配置后使用新的LAN 口地址登录路由器Web 管理界面。并且,局域 网内所有计算机网关地址、子网掩码必须与修改后的LAN 口设置保持一致,才能正常通信。 4.3.2.2 DHCP服务 DHCPDynamic Host Configuration Protocol, 动态主机配置协议 。路由器具有DHCP 服务功能, 能够为所有接入TL-ER5110 、并且应用DHCP 服务的网络设备自动分配IP 参数。 界面进入方法接口设置 LAN 设置 DHCP 服务 -27- 图 4-14 DHCP 服务设置界面 界面项说明 ¾ 配置参数 DHCP服务器 选择开启或关闭DHCP 服务。若希望路由器自动为计算机配置 TCP/IP 参数,请选择“启用”。 地址池起始地址 设置DHCP 服务器自动分配IP 地址的起始地址,该地址必须与LAN 口IP 地址设置在同一网段,默认值为192.168.1.100 。 地址池结束地址 设置DHCP 服务器自动分配IP 地址的结束地址,该地址必须与LAN 口IP 地址设置在同一网段,默认值为192.168.1.199 。 地址租期 设置DHCP 分配地址有效时间,超时将重新分配。 网关地址 设置DHCP 分配给客户端的网关地址,推荐设置为LAN 口IP 地址。 缺省域名 设置本地网域名,允许留空。 首选DNS 服务器 设置DNS 地址,推荐设为路由器LAN 口IP 地址,允许留空。 备用DNS 服务器 设置备用DNS 地址,允许留空。 4.3.2.3 客户端列表 客户端列表显示已由DHCP 分配IP 参数的主机信息。 界面进入方法接口设置 LAN 设置 客户端列表 -28- 图 4-15 客户端列表界面 可通过客户端列表查询DHCP 客户端信息。如要获得最新DHCP 服务分配的客户端信息,请点击 按钮。 4.3.2.4 静态地址分配 可根据接入设备的MAC 地址手动分配IP 地址。当对应的客户端设备请求DHCP 服务器分配IP 地址时, DHCP服务器将自动为其分配指定的IP 地址。 界面进入方法接口设置 LAN 设置 静态地址分配 图 4-16 静态地址分配设置界面 界面项说明 ¾ 静态地址 MAC地址 设置待分配IP 地址的客户端的MAC 地址。 IP地址 指定当前MAC 地址所对应的客户端的IP 地址。 备注 添加对本条目的说明信息。 -29- 是否生效 选择当前设置规则是否生效。 ¾ 地址列表 在静态地址列表中,可以对已保存的静态IP 地址分配规则进行相应操作。 图 4-16序号 1规则的含义MAC 地址为00-19-66-83-53-CF 的客户端,指定其 IP地址为 192.168.1.101,该规则已生效。 注意 为了避免冲突,建议先进行IP MAC 绑定,具体操作请参考4.5.1 ARP防护,然后点击图 4-16中的 按钮,直接获取IP MAC 绑定列表中的静态地址条目。 4.3.3 DMZ设置 DMZDemilitarized Zone, 非军事区域 也称隔离区。 TL-ER5110提供一个物理DMZ 接口,允许所有 接入此端口的本地主机暴露在广域网中,进行一些特别的网络应用服务,如各种共享服务器、视频会议 等。 DMZ物理接口可以工作在两种模式下,广域网模式或局域网模式。 广域网模式中, DMZ区域直接以路由模式与广域网之间互相通信。此时DMZ 区域与广域网区域一样 使用公有地址,不能主动访问局域网。 图 4-17 DMZ 口于广域网模式 局域网模式中, DMZ区域访问广域网区域时需要经过NAT 进行地址转换。此时DMZ 区域可以使用与 局域网区域不同网段的私有地址,并且可以主动向局域网区域发起访问连接。 -30- 图 4-18 DMZ 口于局域网模式 4.3.3.1 DMZ口设置 在此控制TL-ER5110的 DMZ口是否启用,并设置其IP 参数。 界面进入方法接口设置 DMZ 设置 DMZ 口设置 图 4-19 DMZ 口设置界面 界面项说明 ¾ DMZ口设置 DMZ口状态 设置是否启用DMZ 口。在不启用的状态下,DMZ 口功能与LAN 口功能 相同。 接口模式 通过选择接口模式,可以控制DMZ 区域与广域网、局域网之间的连接方 式。 IP地址 设置DMZ 口的IP 地址。 子网掩码 设置DMZ 口的子网掩码。 -31- 说明 DMZ口开启后将具有DHCP 服务、客户端列表、及静态地址分配功能设置,具体设置请参考第4.3.2.2 至 4.3.2.4小节。 注意 当 DMZ口开启并处于广域网模式时,若 ISP为 DMZ口提供的是单一广域网IP 地址,请勿开启DMZ 口的 DHCP服务,否则DMZ 区域内的主机分配到的地址不能正常访问广域网。若 ISP提供的是地址段,请按 照地址段范围设置DHCP 地址池。 4.3.4 MAC设置 路由器MAC 地址是它在网络中的身份标志,一般来说无需更改。 LAN口 MAC设置 在一个所有设备都进行了ARP 绑定的复杂拓扑中,如果其中一个网络节点的路由器更换为 TL-ER5110,为避免该节点下面接入的所有网络设备都更新 ARP绑定表,直接将TL-ER5110 的 LAN口 MAC地址设置为原路由器的MAC 地址即可。 WAN口 MAC设置 有些ISP 要求上网帐号与拨号设备的 MAC绑定,若此时拨号设备更换为TL-ER5110 ,只需将路由器 WAN口的MAC 地址设置为原拨号设备的MAC 地址即可。 DMZ口 MAC设置 DMZ口的MAC 应用方式与LAN 口类似。 界面进入方法接口设置 MAC 设置 MAC 设置 图 4-20 MAC设置界面 界面项说明 -32- ¾ MAC设置 接口 显示当前路由器各接口。 当前MAC 地址 显示当前各接口的MAC 地址。 设置 如需恢复初始状态,请点击 按钮。如需将当前 MAC地址设 置为管理主机MAC 地址,即当前登录路由器进行配置管理的主机MAC 地址,请点击按钮;该条目不出现在LAN 口和 DMZ口 设置栏。 注意 为了防止局域网内MAC 地址冲突,路由器LAN 口的MAC 地址不能设置成当前管理主机的MAC 地址。 4.4 转发规则 路由器通过NATNetwork Address Translation, 网络地址转换 技术,可以在局域网主机主动发起对 广域网的访问时实现双方的互相通信。其原理是当通信数据包经过NAT 网关时, NAT技术会将数据包 中的IP 地址在局域网地址与广域网地址间转换,同时也进行端口号的转换。 如今随着计算机的普及,广域网IP 地址已经供不应求,通过NAT 技术,局域网内所有主机在通信时 可以使用一个广域网IP 地址,而局域网内不同的主机使用不同的端口号,解决了IP 地址紧缺的问题。 在应用了NAT 及其扩展技术的网络环境中,局域网主机是不会直接被广域网主机发现的,因此NAT 也为局域网提供了一定的网络安全保障,当有广域网主机需要直接访问局域网主机时,就必须通过转发 规则来实现。 4.4.1 NAT映射 NAT映射,可以将特定的局域网IP 地址与指定的广域网IP 地址唯一对应,多用于局域网内的服务器 搭建。可在此设置NAT 的端口范围和NAT 映射关系。 界面进入方法转发规则 NAT 映射 -33- 图 4-21 NAT 映射设置界面 界面项说明 ¾ NAT服务设置 源端口范围 设置作为NAT 源端口的端口范围,范围跨度必须大于或等于100 。可设 置范围为2049-65000 。 ¾ NAT映射 映射地址 设置局域网IP 地址和广域网IP 地址的一对一映射。第一个输入框中应填 写局域网IP 地址,第二个输入框中应填写广域网IP 地址。 TL-ER5110只 允许LAN 口到WAN 口的映射。 DMZ转发 设置是否开启该条NAT 映射条目的DMZ 转发。开启后所有广域网中发往 映射后地址的数据报将被转发至映射前地址。 备注 添加对本条目的说明信息。 启用/ 禁用规则 设置该条NAT 映射条目是否生效。 ¾ 映射列表 在映射表中,可以对已保存的NAT 映射条目进行相应设置。 图 4-21序号 1条目的含义局域网主机host1 的IP 地址为 192.168.1.101,指 定 经 NAT映射后的广域 网IP 地址为222.135.48.52 ,映射设置已启用,当host1 与广域网通信时,发出的数据包源IP 地址将 被 NAT转换为广域网IP 地址222.135.48.52 ,而从广域网返回的数据包目的IP 地址会被NAT 转换为 局域网IP 地址 192.168.1.101。 -34- 注意 NAT映射只适用于WAN 口使用静态IP 连接方式的场合。若 WAN口连接方式从静态IP 切换为动态 IP、 PPPoE或者L2TP ,以前设置的NAT 映射都将失效,直接在动态IP 、 PPPoE和 L2TP连接状态下设置的NAT 映射也都不起作用。 4.4.2 多网段NAT 多网段NAT 支持路由器LAN 或DMZ 接口下多个网段的IP 通过NAT 转换访问外网。 界面进入方法转发规则 多网段NAT 图 4-22 多网段NAT 设置界面 界面项说明 ¾ 多网段NAT 规则 网段地址 设置需要进行NAT 转换的网段地址,以子网掩码值划分地址范围。 接口 在下拉列表中设置网段所在的接口,可选择LAN 或者DMZ 。 启用/ 禁用规则 设置是否启用多网段NAT 规则 备注 添加对本条目的说明信息。 ¾ 规则列表 图 4-22序号1 规则的含义路由器LAN 口下一个名为tplink1 的网段220.181.6.0/24 开启了多网段 NAT功能。在进行相应的路由设置后,该网段将可以通过本路由器的NAT 转发访问广域网。 -35- 注意 ● 多网段NAT 功能需要同时配置静态路由才能生效。 ● 只有当DMZ 口开启时,DMZ 选项才在接口的下拉菜单中显示。 ● 如果要指定所有IP ,其地址范围是“0.0.0.0 / 32 ”。 ● 子网掩码值的相关设置请参考附录A 常见问题中的问题5 。 应用举例 某网吧的网络结构如下 TL-ER5110的LAN 网段为192.168.1.0 /24 ,三层交换机下VLAN2 网段为192.168.2.0 /24 , VLAN3网 段为192.168.3.0 /24 ,三层交换机与TL-ER5110 的 LAN口级联 VLAN IP为 192.168.1.2。现要 VLAN2和 VLAN3网段可以访问互联网。 可以通过如下设置来实现 1. 首先设置多网段NAT 规则,分别添加VLAN2 与VLAN3 的网段地址。 -36- 设置完成后的规则如下 2. 然后设置相应的静态路由规则,指定下一跳为网段地址所属三层交换机与本路由器LAN 口直接 相连的接口IP 。 界面进入方法路由设置 静态路由 设置完成后的静态路由如下 4.4.3 虚拟服务器 在路由器默认设置下,广域网中的主机不能直接与局域网主机进行通信。为了方便广域网的合法用 户访问本地主机,又要保护局域网内部不受侵袭,路由器提供了虚拟服务器功能。 可以通过虚拟服务器定义一个服务端口,并以IP 地址指定其对应的局域网服务器,则广域网所有对 此端口的服务请求都将被重定位到该服务器上。这样广域网的用户便能成功访问局域网中的服务器,同 时不影响局域网内部的网络安全。 -37- 界面进入方法转发规则 虚拟服务器 图 4-23 虚拟服务器设置界面 界面项说明 ¾ NAT DMZ服务 NAT DMZ服务 设置是否启用NAT DMZ 服务。NAT DMZ 是NAT 应用的一种特殊服务, 相当于一条默认的转发规则。若主机开启了NAT DMZ 服务,路由器会将 所有由广域网发起的、不符合所有现有连接和转发规则的数据全部转发 至指定的主机,因此,动态DNS 、网络诊断工具、获取网络时间、远程 管理服务将失效。 主机地址 指定作为NAT DMZ 服务器的主机IP 地址。 ¾ 虚拟服务 服务名称 用户自定义,标识一条虚拟服务器规则。名称长度需在28 个字符以内, 中英文均可,一个中文占用2 个字符空间。 外部端口 为本条虚拟服务器规则指定路由器提供给广域网的服务端口,广域网对 该端口的访问都将被重定位到局域网中指定的服务器。 内部端口 指定局域网内虚拟服务器主机的实际服务端口。 服务协议 指定应用本条虚拟服务器规则的数据包协议类型。 -38- 内部服务器IP 为本条虚拟服务器规则指定局域网服务器的IP 地址。外网对局域网指定 端口的访问都将发送到该主机。 启用/ 禁用规则 设置是否应用本条虚拟服务器规则。 注意 ● 外部端口与内部端口的取值范围均为1-65535 之间的任意整数。 ● 不同虚拟服务器规则的外部端口取值不能相同,内部端口取值可相同。 ● 外部端口段包含的端口数必须和内部端口段包含的端口数相等。 ¾ 服务列表 在服务列表中,可以对已保存的虚拟服务器规则进行相应设置。 图 4-23序号1 规则的含义这是一条名为apply1 的虚拟服务器规则,由广域网向路由器 12892-12893端口发起的TCP/UDP 数据都将转发到局域网 IP地址为192.168.1.103 主机的 12892-12893端口上,本条规则已启用。 应用举例 某网吧在局域网内的游戏服务器192.168.1.254 上搭建了CS 服务器, CS服务器使用的是UDP 27015 端口,现要实现广域网的玩家能连接到局域网内的这台服务器上联机游戏。 可以通过虚拟服务器实现这个需求,首先需要添加虚拟服务器规则,将路由器外部端口27015 映射 到内网CS 服务器192.168.1.254 的UDP 端口27015 上,使用的服务协议是UDP 协议,设置如下图。点击 按钮保存设置。设置完成后,广域网的玩家就可以连接到网吧局域网内的CS 服务器进行游戏了。 4.4.4 端口触发 由于防火墙的存在,一些如网络游戏、视频会议、网络电话、P2P 下载等应用程序需要通过设置转 发规则才能正常工作,而这些应用程序又要求多个端口连接,针对单一端口的虚拟服务器功能已不能满 足需求,此时就需要应用端口触发功能。 当一个应用程序向触发端口发起连接时,对应开放端口中的所有端口就会打开,以备后续连接。 -39- 界面进入方法转发规则 端口触发 图 4-24 端口触发设置界面 界面项说明 ¾ 端口触发 服务名称 用户自定义,标识一条端口触发规则。名称长度需在28个字符以内,中 英文均可,一个中文占用2 个字符空间。 触发端口 应用程序首先发起连接的端口。只有该端口发起连接时,对应开放端口 中的所有端口才可以开放,并为应用程序提供服务,否则开放端口中的 所有端口是不会开放的。 触发协议 设定在触发端口上使用的数据包协议类型。 开放端口 为应用程序提供服务的一个或多个端口。当触发端口上发起连接后,开 放端口打开,之后应用程序便可以通过这些开放端口发起后续连接。 开放协议 设定在开放端口上使用的数据包协议类型。 启用/ 禁用规则 设置是否应用本条端口触发规则。 注意 ● 触发端口与开放端口的取值范围均为1-65535 之间的任意整数。端口取值均可以指定一个连续的范 围,如8690-8696 。 ● 路由器支持 16条端口触发规则,每条规则最多支持5 组开放端口,每条规则的开放端口数总和需小 于或等于100 。 -40- ¾ 触发列表 在触发列表中,可以对已保存的端口规则进行相应设置。 图 4-24序号 1规则的含义这是一条名为apply1 的端口触发服务规则,当局域网内发起端口为5354 的TCP 访问时,对TCP 和UDP 协议开放5355-5358 端口。 4.4.5 ALG服务 ALGApplication Layer Gateway, 应用层网关 。为了保证一些应用程序的正常使用,请开启ALG服 务。 界面进入方法转发规则 ALG 服务 图 4-25 ALG 服务设置界面 界面项说明 ¾ ALG服务 FTP ALG服务 选择启用或禁用FTP ALG 服务,默认为启用,如无特殊需求请保持默认 配置不变。 H.323 ALG服务 选择启用或禁用H.323 ALG 服务,默认为启用,如无特殊需求请保持默 认配置不变。H.323多媒体协议
展开阅读全文