TL-ER6110 V2.0_2.1.1用户手册

返回 相似
第1页 / 共175页
第2页 / 共175页
第3页 / 共175页
第4页 / 共175页
第5页 / 共175页
点击查看更多>>
资源描述:
企业VPN路由器 TL-ER6110 用户手册 REV2.1.1 1910040361 -I- 声明 Copyright © 2013 普联技术有限公司 版权所有,保留所有权利 未经普联技术有限公司明确书面许可,任何单位或个人不得擅自仿制、复制、誊抄或转译本书部分或全 部内容。不得以任何形式或任何方式(电子、机械、影印、录制或其他可能的方式)进行商品传播或用 于任何商业、赢利目的。 为普联技术有限公司注册商标。本文档提及的其他所有商标或注册商标,由各自的 所有人拥有。 本手册所提到的产品规格和资讯仅供参考,如有内容更新,恕不另行通知。可随时查阅我们的万维网页 http//www.tp-link.com.cn。除非有特殊约定,本手册仅作为使用指导,本手册中的所有陈述、信息等均 不构成任何形式的担保。 -II- 目录 物品清单 .1 第 1 章 用户手册简介 2 1.1 目标读者 .2 1.2 本书约定 .2 1.3 章节安排 .2 第 2 章 产品介绍 4 2.1 产品描述 .4 2.2 产品特性 .5 2.3 产品外观 .7 2.3.1 前面板 7 2.3.2 后面板 8 第 3 章 配置指南 9 3.1 登录Web 界面 .9 3.2 Web界面简介 .11 3.2.1 界面总览 11 3.2.2 界面常见按钮及操作 12 第 4 章 功能设置 15 4.1 基本设置 .15 4.1.1 系统状态 15 4.1.2 系统模式 16 4.1.3 WAN设置 .18 4.1.4 LAN设置 .29 4.1.5 DMZ设置 33 4.1.6 MAC设置 34 4.1.7 交换机设置 .36 4.2 对象管理 .41 4.2.1 用户管理 41 -III- 4.2.2 时间管理 45 4.3 传输控制 .46 4.3.1 转发规则 46 4.3.2 带宽控制 55 4.3.3 连接数限制 .58 4.3.4 路由设置 60 4.4 安全管理 .64 4.4.1 ARP防护 64 4.4.2 攻击防护 67 4.4.3 MAC过滤 69 4.4.4 访问策略 70 4.5 行为管控 .74 4.5.1 应用限制 74 4.5.2 网址过滤 84 4.5.3 网页安全 90 4.5.4 行为审计 92 4.5.5 策略库升级 .92 4.6 VPN93 4.6.1 IKE.93 4.6.2 IPsec96 4.6.3 L2TP 102 4.6.4 PPTP .107 4.7 系统服务 . 111 4.7.1 PPPoE服务器 111 4.7.2 电子公告 116 4.7.3 动态DNS 118 4.7.4 UPnP服务 122 4.8 系统工具 .123 -IV- 4.8.1 设备管理 123 4.8.2 流量统计 128 4.8.3 诊断工具 130 4.8.4 时间设置 132 4.8.5 系统日志 134 第 5 章 典型配置 136 5.1 典型配置需求 .136 5.2 典型配置方案 .136 5.3 典型组网拓扑 .137 5.4 典型配置步骤 .137 5.4.1 系统模式设置 .137 5.4.2 上网方式设置 .138 5.4.3 IPsec VPN设置 138 5.4.4 上网行为管理 .141 5.4.5 局域网ARP 攻击防护设置 .147 5.4.6 广域网ARP 攻击防护设置 .148 5.4.7 网络攻击防护设置 149 5.4.8 带宽控制设置 .149 5.4.9 连接数限制设置 151 5.4.10 内网流量监控 .151 第 6 章 命令行简介 .153 6.1 搭建平台 .153 6.2 界面模式 .156 6.3 在线帮助 .157 6.4 命令介绍 .158 6.4.1 接口设置 158 6.4.2 IP MAC 绑定设置 159 6.4.3 系统管理 159 -V- 6.4.4 用户信息管理 .161 6.4.5 历史命令管理 .161 6.4.6 退出CLI 162 附录A 常见问题 163 附录B 术语表 .165 附录C 规格参数 169 -1- 物品清单 请仔细检查包装盒,里面应有以下配件 ¾ 一台TP-LINK 企业VPN 路由器 ¾ 一根Console 连接线 ¾ 一根电源线 ¾ 一本安装手册 ¾ 一张保修卡 ¾ 一张光盘 ¾ 两个L 型支架及其他配件 注意 如果发现有配件短缺或损坏的情况,请及时与当地经销商联系。 -2- 第 1章 用户手册简介 本手册旨在帮助您正确使用本款路由器。内容包含对路由器性能特征的描述以及配置路由器的详细 说明。请在操作前仔细阅读本手册。 1.1 目标读者 本手册的目标读者为熟悉网络基础知识、了解网络术语的技术人员。 1.2 本书约定 在本手册中, ¾ 所提到的“路由器” 、 “本产品”等名词,如无特别说明,系指TL-ER6110 企业VPN 路由器,下 面简称为TL-ER6110。 ¾ 用 符号表示配置界面的进入顺序。默认为一级菜单 二级菜单 标签页,其中,部分 功能无二级菜单。 ¾ 正文中出现的 系统状态 系统状态 图 4-1 系统状态界面 -16- 4.1.2 系统模式 TL-ER6110路由器可以工作在3 种模式下NAT 模式、路由模式和全模式。 若TL-ER6110需要作为网关应用在局域网与广域网之间,拓扑如图 4-2,可以将TL-ER6110 系统模 式设为NAT 模式; 图 4-2 组网拓扑-NAT 模式 若TL-ER6110在大型组网内用于连接两个不同区域的网络,这两个区域的主机都必须通过路由规则 进行通信,拓扑如图 4-3,可以将TL-ER6110 系统模式设为路由模式; 图 4-3 组网拓扑- 路由模式 若TL-ER6110应用于混合的组网拓扑中,如 图 4-4,则可以将TL-ER6110 系统模式设为全模式。 -17- 图 4-4 组网拓扑- 全模式 界面进入方法基本设置 系统模式 系统模式 图 4-5 系统模式设置界面 请根据实际网络需要选择路由器的工作模式。 NAT模式。此模式下,由局域网向广域网发送的数据包默认经过NAT 转换,但路由器对所有源地址 与局域网接口不在同一网段的数据包均不进行处理。例如,路由器LAN 口IP 设置为192.168.1.1 ,子网掩 码为255.255.255.0 , LAN口所处网段为192.168.1.0/24 ,此时,路由器收到源地址为192.168.1.123 的数 据包会进行NAT 转换;但如果收到源地址为20.31.76.80 的数据包则直接丢弃。 路由模式。此模式下,处于不同网段的主机可以通过相应的路由设置 进行通信,但路由器不进行NAT 转换。例如,当路由器DMZ 口处于广域网模式时, DMZ区域内主机需要以路由方式访问广域网中的服务 器,若静态路由规则允许,则可正常通信。此时,局域网内的主机不能访问广域网。 说明 路由模式下,所有转发规则将失效。 全模式。全模式包含了NAT 模式及路由模式,此模式下,路由器首先对符合NAT 转发条件的数据包 进行NAT 转换;若不符合,则进行静态路由规则匹配,匹配成功的数据包以路由模式进行转发;匹配失 败的数据包直接丢弃。这样,路由器既允许数据包进行NAT 转换,也不阻隔与接口在不同网段的数据包。 -18- 4.1.3 WAN设置 TL-ER6110提供五种方式接入广域网静态IP 、动态IP 、 PPPoE、 L2TP、 PPTP,请根据 ISPInternet Service Provider, 网络服务提供商 提供的服务进行选择。 ¾ 有线宽频一般使用动态IP 连接方式; ¾ 光纤接入以及企业、网吧局域网内组网一般使用静态IP 连接方式; ¾ xDSL拨号上网则使用PPPoE连接方式; ¾ 虚拟专用拨号网络一般使用L2TP 或PPTP连接方式。 界面进入方法基本设置 WAN 设置 WAN 设置 1 静态IP 连接 若ISP 提供了固定的IP 地址,请选择静态IP 手动配置WAN 口参数。 图 4-6 WAN口设置界面- 静态IP 界面项说明 ¾ 静态IP 设置 连接方式 选择静态IP 连接方式,进行手动配置。 IP地址 设置路由器WAN 口的IP 地址。 子网掩码 设置路由器WAN 口的子网掩码。 -19- 网关地址 设置网关地址。 MTU MTUMaximum Transmission Unit, 最大传输单元 ,可以设置数据包的 最大长度。取值范围是576-1500 之间的整数,默认值为1500 。若ISP 未提供MTU 值,请保持默认值不变。 首选DNS 服务器 设置DNSDomain Name Server, 域名解析服务器 地址,一般由ISP 提 供,如果留空,则无法通过域名访问互联网。 备用DNS 服务器 设置备用DNS 地址,一般由ISP 提供,允许留空。 上行带宽 设置当前WAN 接口数据流出的带宽大小。 下行带宽 设置当前WAN 接口数据流入的带宽大小。 2 动态IP 连接 若ISP 提供DHCP 自动分配地址服务,请选择动态IP 自动获取WAN 口参数。 图 4-7 WAN口设置界面- 动态IP -20- 界面项说明 ¾ 动态IP 设置 连接方式 选择动态 IP连接方式。点击得到IP 参数,点击则不再使 用现有IP 参数。 主机名 输入用于标识路由器的名称。 MTU MTUMaximum Transmission Unit, 最大传输单元 ,可以设置数据包的 最大长度。取值范围是576-1500 之间的整数,默认值为1500 。若ISP 未提供MTU 值,请保持默认值不变。 手动设置DNS 服务器 如果需要手动设置DNSDomain Name Server, 域名解析服务 地址,请 勾选此项。 首选DNS 服务器 设置DNS 地址,一般由ISP 提供。 备用DNS 服务器 设置备用DNS 地址,一般由ISP 提供,允许留空。 上行带宽 设置当前WAN 接口数据流出的带宽大小。 下行带宽 设置当前WAN 接口数据流入的带宽大小。 ¾ 动态IP 状态 连接状态 显示当前WAN 口DHCP 分配状态。 “未启用”表示当前已选择动态IP 连接方式但未保存生效; “正在连接”表示当前路由器正在向ISP 获取IP 参数; “已连接”表示路由器已成功获取IP 参数; “未连接”表示已手动释放连接,或路由器已发起请求,但未得到响应, 请检查连接线路是否正常,若问题无法解决,请与ISP 联系。 IP地址 显示自动获取到的IP 地址。 子网掩码 显示自动获取到的子网掩码。 网关地址 显示自动获取到的网关地址。 -21- 首选DNS 服务器 显示DNS 地址。 备用DNS 服务器 显示备用DNS 地址。 3 PPPoE连接 若使用xDSL/Cable Modem 拨号接入互联网, ISP会提供上网帐号及密码,请选择PPPoE连接方式。 图 4-8 WAN口设置界面-PPPoE -22- 界面项说明 ¾ PPPoE设置 连接方式 选择PPPoE 。点击开始拨号并获取IP 参数,点击则取消 与互联网的连接同时释放已获取的IP 参数。 帐号 PPPoE拨号的用户名,由ISP 提供。 密码 PPPoE拨号的密码,由ISP 提供。 手动连接 用户可在需要上网时手动点击 按钮连入互联网,适合按小时计费 的拨号连接上网方式。 自动连接 每次接通路由器电源,路由器便自动拨号连入互联网,适合不限时间的 包月计费拨号连接上网方式。 定时连接 设置连接时段,在此时段内路由器如果开启则自动拨号连接,适合用于 需要限时上网的场合。 启用PPPoE 高级设置 可以在此手动指定MTU 值、服务名及DNSDomain Name Server, 域名 解析服务 地址。如果不清楚这些参数,请勿勾选此项。 MTU MTUMaximum Transmission Unit, 最大传输单元 ,可以设置数据包的 最大长度。取值范围是576-1492 之间的整数,默认值为1480 。若ISP 未提供MTU 值,请保持默认值不变。 服务名 输入服务名称,由ISP 提供。 首选DNS 服务器 设置DNS 地址,一般由ISP 提供。 备用DNS 服务器 设置备用DNS 地址,一般由ISP 提供,允许留空。 上行带宽 设置当前WAN 接口数据流出的带宽大小。 下行带宽 设置当前WAN 接口数据流入的带宽大小。 -23- ¾ PPPoE状态 连接状态 显示当前WAN 口PPPoE 拨号连接状态。 “未启用”表示当前已选择PPPoE 拨号连接方式但未保存生效; “正在连接”表示当前路由器正在向ISP 获取IP 参数; “已连接”表示路由器已成功获取IP 参数; “未连接”表示已手动断开连接,或路由器已发起请求,但未得到响应, 请检查用户名密码是否正确、连接线路是否正常,若问题无法解决,请 与ISP 联系。 IP地址 显示通过PPPoE拨号后获取到的IP 地址。 网关地址 显示通过PPPoE拨号后获取到的网关地址。 首选DNS 服务器 显示DNS 地址。 备用DNS 服务器 显示备用DNS 地址。 -24- 4 L2TP连接 若使用L2TP 虚拟专用拨号接入网络,ISP 会提供上网帐号及密码,请选择L2TP 连接方式进行设置。 图 4-9 WAN口设置界面-L2TP 界面项说明 ¾ L2TP设置 连接方式 选择L2TP 。点击 开始拨号并获取IP 参数,点击则取消与 互联网的连接同时释放已获取的IP 参数。 -25- 帐号 L2TP拨号的用户名,由ISP 提供。 密码 L2TP拨号的密码,由ISP 提供。 服务器IP/ 域名 L2TP拨号的服务器的IP 地址或域名,由ISP 提供。 MTU MTUMaximum Transmission Unit, 最大传输单元 ,可以设置数据包的 最大长度。取值范围是576-1460 之间的整数,默认值为1460 。若ISP 未提供MTU 值,请保持默认值不变。 静态/ 动态 选择静态或动态获取IP 地址。若选择静态方式,则需要手动设置IP 地址; 若选择动态,则外部的DHCP 服务器将动态分配一个IP 地址。 IP地址 若选择静态,设置路由器WAN 口的IP 地址;若选择动态,显示路由器 WAN口获取到的IP 地址。 子网掩码 若选择静态,设置路由器WAN 口的子网掩码;若选择动态,显示路由 器WAN 口获取到的子网掩码。 网关地址 若选择静态,设置网关地址;若选择动态,显示获取到的网关地址。 首选DNS 服务器 若选择静态,设置DNSDomain Name Server, 域名解析服务器 地址, 一般由ISP 提供,如果留空,则无法通过域名访问互联网;若选择动态, 显示分配到的DNS 地址。 备用 DNS服务器 若选择静态,设置备用DNS 地址,一般由ISP 提供,允许留空;若选择 动态,显示分配到的备用DNS 地址。 手动连接 用户可在需要上网时手动点击 按钮进行连接。 自动连接 每次接通路由器电源,路由器便会进行自动拨号。 上行带宽 设置当前WAN 接口数据流出的带宽大小。 下行带宽 设置当前WAN 接口数据流入的带宽大小。 -26- ¾ L2TP状态 连接状态 显示当前WAN 口L2TP 拨号连接状态。 “未启用”表示当前已选择L2TP 拨号连接方式但未保存生效; “正在连接”表示当前路由器正在向ISP 获取IP 参数; “已连接”表示路由器已成功获取IP 参数; “未连接”表示已手动断开连接,或路由器已发起请求,但未得到响应, 请检查用户名密码是否正确、连接线路是否正常,若问题无法解决,请 与ISP 联系。 IP地址 显示通过L2TP 拨号后获取到的IP 地址。 首选DNS 服务器 显示DNS 地址。 备用DNS 服务器 显示备用DNS 地址。 -27- 5 PPTP连接 若使用PPTP 虚拟专用拨号接入网络, ISP会提供上网帐号及密码,请选择PPTP连接方式进行设置。 图 4-10 WAN口设置界面-PPTP 界面项说明 ¾ PPTP设置 连接方式 选择PPTP。点击 开始拨号并获取IP 参数,点击 则取消与 互联网的连接同时释放已获取的IP 参数。 -28- 帐号 PPTP拨号的用户名,由ISP 提供。 密码 PPTP拨号的密码,由ISP 提供。 服务器IP/ 域名 PPTP拨号的服务器的IP 地址或域名,由ISP 提供。 MTU MTUMaximum Transmission Unit, 最大传输单元 ,可以设置数据包的 最大长度。取值范围是576-1460 之间的整数,默认值为1460 。若ISP 未提供MTU 值,请保持默认值不变。 静态/ 动态 选择静态或动态获取IP 地址。若选择静态方式,则需要手动设置IP 地址; 若选择动态,则外部的DHCP 服务器将动态分配一个IP 地址。 IP地址 若选择静态,设置路由器WAN 口的IP 地址;若选择动态,显示路由器 WAN口获取到的IP 地址。 子网掩码 若选择静态,设置路由器WAN 口的子网掩码;若选择动态,显示路由 器WAN 口获取到的子网掩码。 网关地址 若选择静态,设置网关地址;若选择动态,显示获取到的网关地址。 首选DNS 服务器 若选择静态,设置DNSDomain Name Server, 域名解析服务器 地址, 一般由ISP 提供,如果留空,则无法通过域名访问互联网;若选择动态, 显示分配到的DNS 地址。 备用 DNS服务器 若选择静态,设置备用DNS 地址,一般由ISP 提供,允许留空;若选择 动态,显示分配到的备用DNS 地址。 手动连接 用户可在需要上网时手动点击 按钮进行连接。 自动连接 每次接通路由器电源,路由器便会进行自动拨号。 上行带宽 设置当前WAN 接口数据流出的带宽大小。 下行带宽 设置当前WAN 接口数据流入的带宽大小。 -29- ¾ PPTP状态 连接状态 显示当前WAN 口PPTP拨号连接状态。 “未启用”表示当前已选择PPTP拨号连接方式但未保存生效; “正在连接”表示当前路由器正在向ISP 获取IP 参数; “已连接”表示路由器已成功获取IP 参数; “未连接”表示已手动断开连接,或路由器已发起请求,但未得到响应, 请检查用户名密码是否正确、连接线路是否正常,若问题无法解决,请 与ISP 联系。 IP地址 显示通过PPTP拨号后获取到的IP 地址。 首选DNS 服务器 显示DNS 地址。 备用DNS 服务器 显示备用DNS 地址。 4.1.4 LAN设置 4.1.4.1 LAN口设置 在此设置TL-ER6110路由器LAN 口的IP 参数。 界面进入方法基本设置 LAN 设置 LAN 口设置 图 4-11 LAN 口设置界面 界面项说明 ¾ LAN口设置 IP地址 设置路由器LAN 口的IP 地址,默认值为192.168.1.1 ,可根据实际网络情 况修改此值。局域网内部可通过该地址访问路由器。 子网掩码 设置路由器LAN 口的子网掩码,默认为255.255.255.0 ,可根据实际网 络情况修改此值。 -30- 注意 若 LAN口 IP地址有修改,必须在保存配置后使用新的LAN 口地址登录路由器Web 管理界面。并且,局域 网内所有计算机网关地址、子网掩码必须与修改后的LAN 口设置保持一致,才能正常通信。 4.1.4.2 DHCP服务 DHCPDynamic Host Configuration Protocol, 动态主机配置协议 。路由器具有DHCP 服务功能, 能够为所有接入TL-ER6110 并且应用 DHCP服务的网络设备自动分配IP 参数。 界面进入方法基本设置 LAN 设置 DHCP 服务 图 4-12 DHCP 服务设置界面 界面项说明 ¾ 配置参数 DHCP服务器 选择开启或关闭DHCP 服务。若希望路由器自动为计算机配置 TCP/IP 参数,请选择“启用”。 地址池起始地址 设置DHCP 服务器自动分配IP 地址的起始地址,该地址必须与LAN 口IP 地址设置在同一网段,默认值为192.168.1.100 。 地址池结束地址 设置DHCP 服务器自动分配IP 地址的结束地址,该地址必须与LAN 口IP 地址设置在同一网段,默认值为192.168.1.199 。 地址租期 设置DHCP 分配地址有效时间,超时将重新分配。 网关地址 设置DHCP 分配给客户端的网关地址,推荐设置为LAN 口IP 地址。 -31- 缺省域名 设置本地网域名,允许留空。 首选DNS 服务器 设置DNS 地址,推荐设为路由器LAN 口IP 地址,允许留空。 备用DNS 服务器 设置备用DNS 地址,允许留空。 4.1.4.3 客户端列表 客户端列表显示已由DHCP 分配IP 参数的主机信息。 界面进入方法基本设置 LAN 设置 客户端列表 图 4-13 客户端列表界面 可通过客户端列表查询DHCP 客户端信息。如要获得最新DHCP 服务分配的客户端信息,请点击 按钮。 4.1.4.4 静态地址分配 可根据接入设备的MAC 地址手动分配IP 地址。当对应的客户端设备请求DHCP 服务器分配IP 地址时, DHCP服务器将自动为其分配指定的IP 地址。 界面进入方法基本设置 LAN 设置 静态地址分配 -32- 图 4-14 静态地址分配设置界面 界面项说明 ¾ 静态地址 MAC地址 设置待分配IP 地址的客户端的MAC 地址。 IP地址 指定当前MAC 地址所对应的客户端的IP 地址。 备注 添加对本条目的说明信息。 启用/ 禁用规则 选择启用或禁用本条静态地址分配规则。 ¾ 地址列表 在静态地址列表中,可以对已保存的静态IP 地址分配规则进行相应操作。 图 4-14序号 1规则的含义MAC 地址为00-19-66-83-53-CF 的客户端,指定其 IP地址为 192.168.1.101,该规则已禁用。 注意 为了避免冲突,建议先进行IP MAC 绑定,具体操作请参考4.4.1 ARP防护,然后点击图 4-14静态地址分 配设置界面中的 按钮,直接获取IP MAC 绑定列表中的静态地址条目。 -33- 4.1.5 DMZ设置 DMZDemilitarized Zone, 非军事区域 也称隔离区。 TL-ER6110提供一个物理DMZ 接口,允许所有 接入此端口的本地主机暴露在广域网中,进行一些特别的网络应用服务,如各种共享服务器、视频会议 等。 DMZ物理接口可以工作在两种模式下,广域网模式或局域网模式。 广域网模式中, DMZ区域直接以路由模式与广域网之间通信。此时DMZ 区域与广域网区域一样使用 公有地址,不能主动访问局域网。 图 4-15 DMZ 口于广域网模式 局域网模式中, DMZ区域访问广域网区域时需要经过NAT 进行地址转换。此时DMZ 区域可以使用与 局域网区域不同网段的私有地址,并且可以主动向局域网区域发起访问连接。 图 4-16 DMZ 口于局域网模式 4.1.5.1 DMZ口设置 在此控制TL-ER6110的 DMZ口是否启用,并设置其IP 参数。 界面进入方法基本设置 DMZ 设置 DMZ 口设置 -34- 图 4-17 DMZ 口设置界面 界面项说明 ¾ DMZ口设置 DMZ口状态 设置是否启用DMZ 口。在不启用的状态下,DMZ 口功能与LAN 口功能 相同。 接口模式 通过选择接口模式,可以控制DMZ 区域与广域网、局域网之间的连接方 式。 IP地址 设置DMZ 口的IP 地址。 子网掩码 设置DMZ 口的子网掩码。 说明 DMZ口开启后将具有 DHCP服务、客户端列表及静态地址分配功能设置,具体设置请参考第 4.1.4.2至 4.1.4.4小节。 注意 当 DMZ口开启并处于广域网模式时,若 ISP为 DMZ口提供的是单一广域网IP 地址,请勿开启DMZ 口的 DHCP服务,否则DMZ 区域内的主机分配到的地址不能正常访问广域网。若 ISP提供的是地址段,请按 照地址段范围设置DHCP 地址池。 4.1.6 MAC设置 路由器MAC 地址是它在网络中的身份标志,一般来说无需更改。 -35- LAN口 MAC设置 在一个所有设备都进行了ARP 绑定的复杂拓扑中,如果其中一个网络节点的路由器更换为 TL-ER6110,为避免该节点下面接入的所有网络设备都更新 ARP绑定表,直接将TL-ER6110 的 LAN口 MAC地址设置为原路由器的MAC 地址即可。 WAN口 MAC设置 有些ISP 要求上网帐号与拨号设备的 MAC绑定,若此时拨号设备更换为TL-ER6110 ,只需将路由器 WAN口的MAC 地址设置为原拨号设备的MAC 地址即可。 DMZ口 MAC设置 DMZ口的MAC 应用方式与LAN 口类似。 界面进入方法基本设置 MAC 设置 MAC 设置 图 4-18 MAC设置界面 界面项说明 ¾ MAC设置 接口 显示当前路由器各接口。 当前MAC 地址 显示当前各接口的MAC 地址。 设置 如需恢复初始状态,请点击 按钮。如需将当前 MAC地址设 置为管理主机MAC 地址,即当前登录路由器进行配置管理的主机MAC 地址,请点击按钮;该条目不出现在LAN 口和 DMZ口 设置栏。 注意 为了防止局域网内MAC 地址冲突,路由器LAN 口的MAC 地址不能设置成当前管理主机的MAC 地址。 -36- 4.1.7 交换机设置 TL-ER6110路由器具备一些简单的交换机端口管理功能。在此可以实时查看路由器各端口的数据流 通状况,并进行相应的控制和管理。 4.1.7.1 端口统计 用于交换信息的数据包在数据链路层通常称为“帧”。可以通过此功能查看各个端口收发数据帧的统 计信息。 界面进入方法基本设置 交换机设置 端口统计 图 4-19 端口统计界面 界面项说明 ¾ 统计列表 单播帧 目的MAC 地址为单播MAC 地址的正常数据帧数目。 广播帧 目的MAC 地址为广播MAC 地址的正常数据帧数目。 -37- 流控帧 接收/ 发送的流量控制数据帧数目。 多播帧 目的MAC 地址为多播MAC 地址的正常数据帧数目。 所有帧 接收/ 发送所有的数据帧的总字节数(包含校验和错误的帧)。 过小帧 收到的长度小于64字节的数据帧数目(包含校验和错误的帧)。 正常帧 收到的长度在64字节到最大帧长之间的数据帧数目(包含错误帧)。对于不 带tag 标签的帧,路由器支持的最大帧长为1518 字节;对于带tag 标签的帧, 路由器支持的最大帧长为1522 字节。 过大帧 收到的长度大于最大帧长的数据帧数目(包含错误帧)。 勾选最后一行的复选框后,点击 按钮,即可清空该列对应端口的统计数据。点击 按钮可以一次清空所有统计数据。 4.1.7.2 端口监控 可以在此开启和设置端口监控功能。被监控端口的报文会被自动复制到监控端口,以便网络管理人 员实时查看被监控端口传输状况的详细资料,对其进行流量监控、性能分析和故障诊断。 界面进入方法基本设置 交换机设置 端口监控 图 4-20 端口监控设置界面 界面项说明 -38- ¾ 功能设置 启用端口监控 勾选即启用端口监控。推荐勾选,方便及时了解路由器端口报文信息。 监控模式 选择对数据包进行“输出监控”或者“输入输出监控”。 ¾ 监控列表 监控端口 只能选择一个端口做监控端口。 被监控端口 被监控端口可以为多个,但不包含当前的监控端口。 图 4-20监控列表的含义是LAN1 被选作监控端口,它将对LAN2 进行输入输出监控。 说明 如果监控端口为LAN 口,被监控端口中有其他LAN 口,则这些LAN 口必须属于同一个Port VLAN 中,端 口监控功能才能生效。 应用举例 某企业网络出现异常状况,需要利用端口监控功能捕获网络中的所有数据进行分析。 可通过端口监控实现此需求。勾选“启用端口监控” ,并选择“输入输出监控”的监控模式,设置 LAN2为监控端口,监控其它端口的输入输出数据,如下图。设置完成后,点击 按钮。 4.1.7.3 端口流量限制 可以在此开启各端口的流量限制功能并进行相应设置。 界面进入方法基本设置 交换机设置 端口流量限制 -39- 图 4-21 端口流量限制设置界面 界面项说明 ¾ 功能设置 端口 显示所有物理端口,需要对某个端口进行流量限制时,在其对应行设置即可。 入口限制状态 勾选“启用”后,后续设置的入口限制模式和速率才会生效。 入口限制模式 有“所有帧” 、“ FLOOD” (端口的广播、多播帧以及目的MAC 地址不存在 于地址表的帧)、“广播和多播”和“广播”四种模式,选择其一。 入口限制速率 有从小到大128Kbps/ 256Kbps/ 512Kbps/ 1Mbp s/ 2Mbps/ 4Mbps/ 8Mbps 七种速率,选择其一。 出口限制状态 勾选“启用”,后续设置的出口限制速率才会生效。 出口限制速率 有从小到大128Kbps/ 256Kbps/ 512Kbps/ 1Mbp s/ 2Mbps/ 4Mbps/ 8Mbps 七种速率,选择其一。 图 4-21第一行的含义是开启WAN 口的入口和出口限制状态,设置WAN 口的入口限制模式为 FLOOD,并将其入口/ 出口速率均设为128Kbps 。设置完成后, WAN口的FLOOD 模式入口数据帧的接收 速率及所有出口数据帧的发送速率将不会超过128Kbps 。 4.1.7.4 端口参数 可以在此启用各物理端口及其流量限制,并根据需要设定其协商模式。 界面进入方法基本设置 交换机设置 端口参数 -40- 图 4-22 端口参数设置界面 界面项说明 ¾ 功能设置 端口状态 只有勾选了“启用”该端口才会有数据包的传输,即物理意义上的开启。 流量控制 推荐勾选“启用”以控制调节各端口数据包转发的速率,避免出现拥塞。 协商模式 有10M 全/ 半双工、100M 全/ 半双工、自协商5 种模式可选,择需使用。 所有端口 这一栏可对以上所有端口进行统一设置,比如同时启用或禁用。 4.1.7.5 端口状态 可以在此查看各个端口的基本状态。 界面进入方法基本设置 交换机设置 端口状态 图 4-23 端口状态界面 -41- 4.1.7.6 Port VLAN VLANVirtual Local Area Network, 虚拟局域网 是从逻辑上而非物理上,将整个局域网分割成几个 不同的广播域,数据只能在VLAN 内进行交换。 一个稍具规模的网络如果只有一个广播域,那么在网络内不断发送的广播包很容易造成广播风暴, 消耗网络整体带宽,并给网络中的主机带来额外的负担。划分VLAN 以后,数据只会在自己所属的VLAN 内广播,所以可以控制广播风暴,同时还能增强网络安全,简化网络管理。 TL-ER6110提供基于端口划分VLAN 的Port VLAN 功能,可以把路由器的若干LAN 口从逻辑上划分为 多个VLAN 。 界面进入方法基本设置 交换机设置 Port VLAN 图 4-24 Port VLAN 设置界面 界面项说明 ¾ 功能设置 VLAN 配置各端口所属VLAN 。 说明 ● Port VLAN的划分只能在LAN 口中进行。 ● 当DMZ 接口的状态改变的时候,会影响到原先Port VLAN 的配置。当改变DMZ 接口的状态后,建议 检查Port VLAN 的配置,必要时重新设置。 4.2 对象管理 4.2.1 用户管理 4.2.1.1 组设置 可以在此创建、修改或者删除组。 界面进入方法对象管理 用户管理 组设置 -42- 图 4-25 组设置界面 界面项说明 ¾ 组设置 组名称 输入一个名称来标识一个组,可以输入1-28个字符。 备注 添加对当前组的说明信息。 ¾ 组列表 在组列表中,可以对已创建的组进行相应设置。 说明 当删除组时,所有引用该组的规则都会被删除。 4.2.1.2 用户设置 可以在此添加、修改或者删除用户。 界面进入方法对象管理 用户管理 用户设置 -43- 图 4-26 用户设置界面 界面项说明 ¾ 用户设置 用户名 输入一个名称来标识一个用户,可以输入1-28 个字符。 IP 输入当前用户的IP 地址。此处只能输入单个IP 地址,如果需要设置IP 地 址段,请点击页面下方 按钮进行操作。批量增加用户时,如 果新增用户的IP 地址与某个已有用户的IP 地址重复,那么已有用户的信 息将会被删除。 备注 添加对当前用户的说明信息。 ¾ 用户列表 在用户列表中,可以对已创建的用户进行相应设置。 4.2.1.3 视图 可以在此设置用户视图或者组视图。 界面进入方法对象管理 用户管理 视图 -44- 图 4-27 视图界面 界面项说明 ¾ 视图设置 视图选择 选择需要设置的视图。可以选择“用户视图”为用户指定所属组,也可 以选择“组视图”为组添加用户或子组。 用户名 选择“用户视图”,可在下拉菜单中选择所需设置的用户。 可选组 显示可以包含该用户的组。 所属组 显示已经包含该用户的组。 组名 选择“组视图”,可在下拉菜单中选择所需设置的组。 查看该组结构 可以查看以该组为根节点组成的树,树中包含该组的所有子组和用户, 其中组名以粗体显示。 可选用户 显示该组可以包含的用户和子组。 包含用户 显示该组已经包含的用户和子组。 -45- 4.2.2 时间管理 4.2.2.1 时间组 可以在此创建、修改或者删除时间组。 界面进入方法对象管理 时间管理 时间组 图 4-28 时间组界面 界面项说明 ¾ 时间组设置 名称 输入一个名称来标识一个时间组,可以输入1-28 个字符。 备注 添加对当前时间组的说明信息。 星期 选择周循环的具体日期。 时间段 设置一天24 小时内的工作时间段。通过输入起止时间进行同一天内的时 间段添加。时间段由两个部分组成 开始时间时间段的起始时间,由时分组成,格式为(0000 )。 结束时间时间段的截止时间,由时分组成,格式为(0000 )。 可以输入时间段的范围为0000-2400 ,时间段的每个设置框最多允许输 入两位数字,一个设置框中输入完两位数字后,将自动跳转到下一个设 -46- 置框。输入完成后,点击 按钮可以添加时间段,点击可以删除 已经添加的时间段。最多可以设置12个不同时间段,各个时间段之间不 能有交叠。 ¾ 时间组列表 在时间组列表中,可以对已创建的时间组进行相应设置。 图 4-28序号1 中名称为“ ANY”的时间组,是路由器预定义的一个时间组,表示任何时间,此时 间组不可修改、删除。序号2 规则的含义每一天上午8 点到11 点。 说明 若时间组被其他规则引用,则该时间组无法删除。 4.3 传输控制 4.3.1 转发规则 路由器通过NATNetwork Address Translation, 网络地址转换 技术,可以在局域网主机主动发起对 广域网的访问时实现双方的互相通信。其原理是当通信数据包经过路由器时,NAT 技术会将数据包中 的IP 地址在局域网地址与广域网地址间转换,同时也进行端口号的转换。 如今随着计算机的普及,广域网IP 地址已经供不应求,通过NAT 技术,局域网内所有主机在通信时 可以使用一个广域网IP 地址,而局域网内不同的主机使用不同的端口号,解决了IP 地址紧缺的问题。 在应用了NAT 及其扩展技术的网络环境中,局域网主机是不会直接被广域网主机发现的,因此NAT 也为局域网提供了一定的网络安全保障。当有广域网主机需要主动访问局域网主机时,就必须通过转发 规则来实现。 4.3.1.1 NAT映射 NAT映射,可以将特定的局域网IP 地址与指定的广域网IP 地址唯一对应,多用
展开阅读全文