Kingnet ESR-6400G User Manual

千兆安全接入网关

ESR-6400G

具负载平衡，LAN口千兆接入，带宽管理，与网络安全功能

1

目录

物品清单····················································3

第一章 用户手册简介

1.1 用途·····························································4

1.2 约定

1.3 用户手册概述
第二章 产品概述······················································5

2.1 产品简介························································5

2.2 产品特性和规格说明···············································5

2.2.1 产品特性························································5

2.2.2 规格
第三章 硬件安装··············································6

3.1 面板布置·························································6

3.1.1 前面板··························································6

3.1.2 后面板··························································6

3.2 连接到你的网络上
第四章 配置指南···············································8

4.1 概述···························································8

4.2 WEB 管理的连接···················································8

4.2.1 准备工作························································8

4.2.2 连接

4.3 WEB 管理界面及操作方法············································1 3

4.3.1 系统信息························································1 5

4.3.2 网口配置

4.3.3 网络配置······················································20

4.3.4 防火墙

4.3.5 VPN 配置························································34

4.3.6 服务管理

4.3.7 流量管理·······················································41

4.3.8 系统日志······················································42

4.3.9 修改账号·····················································43

4.3.10 重新启动·······················································43
附录·············································································4 4

·····························································4

···························································5

···························································12

······················································26

···················································4

······················································4

·················································6

······················································15

························································3 9

2

物 品 清 单

小心打开包装盒，检查包装盒里应有以下配件：
一台ESR系列路由器
一条电源线
一张产品说明光盘
一张保修卡

注意
如果打开包装时发现产品有所损坏或者任何配件短缺的情况，请及时和当地经销商联系。

3

第一章 用户手册简介(Introduction)

感谢您购买本公司的千兆安全接入网关 ESR-6400G。千兆安全接入网关具备有 4 个千兆 LAN
连接端口，4 个百兆 WA N 连接端口，允许局域网以千兆速度进行转发，允许多台计算机共享 4
条宽带连接和 4 个不同的 ISP 帐号同时连接因特网，几倍于普通路由器的带宽。可混合使用不同
的因特网连接方式，如 Cable Modem，ADSL，ADSL PPPoE，LAN PPPoE 或 LAN to LAN 的高
带宽网络连接，通过线路负载平衡设置将 4 条宽带连接达到最高效率的使用。

千兆安全接入网关是为用户提供高度网络安全和网络资源共享的极好产品。由于它包含强大
的防火墙引擎， 所以能够防 DDOS/DOS 攻击，同时因为包含了数据包过滤，可以关闭特殊端口，
可以防止用户的私人网络免受因特网黑客袭击。

通过基于 WEB 页面的配置方式 ，此千兆安全接入网关易于安装和维护。所有的功能均可通
过网络浏览器，如 Netscape Communicator 和 Internet Explorer 来配置业务。

本产品除了具有高效能的传输速率之外，更结合简易的设置接口，让用户在使用上本产品只
需要极短的时间，便能完成基本的设置步骤，让用户使用起来更轻松更方便。

1.1 用途

本手册的用途是帮助您熟悉和正确使用千兆安全接入网关。

1.2 约定

在本手册中所提到的路由器，指千兆安全接入网关。

1.3 用户手册概述

第一章： 用户手册简介。
第二章： 产品概述。简述路由器的主要特性和规格。
第三章： 硬件安装。帮助您进行路由器的硬件安装。
第四章： 配置指南。帮助您配置路由器的基本网络参数和高级特性。

4

第二章 产品概述

感谢您购买千兆安全接入网关。本手册将会帮助您正确的安装、使用本产品。

2.1 产品简介

千兆安全接入网关专为企业和网吧用户设计，采用 Intel IXP 网络专用处理器，基于 Intel
XSCale 技术，主频最高达 533MHz，多 CPU 分布式处理，性能优越，并内置高冗余电源模块，
充分保证整机的稳定可靠。

金浪千兆安全接入网关除支持宽带路由器常见的功能外，还支持带宽控制、系统安全日志等
高级功能，内建先进防火墙功能，数据包控制策略功能，可防止 DoS 攻击、扫描、嗅探式攻击，
有效防止 Nimda、冲击波、木马等病毒攻击，能灵活指定 IP、用户或应用分配带宽和设定优先级，
保证特殊用户、特殊应用（如 Vo I P 等）的服务质量，全中文配置界面，配置简单，全面满足企业、
机关、大型网吧、大型宽带社区、校园网等对网络的高性能、多功能、高可靠性、高安全性的需
求。

2.2 产品特性和规格说明

2.2.1 产品特性

¾ 采用 Intel IXP 网络专用处理器,多 CPU 分布式处理,主频 533MHz
¾ 符合 IEEE 802.3,IEEE 802.3u,IEEE 802.3ab 标准
¾ 支持 TCP/IP,DHCP,ICMP,NAT,PPPoE,SNTP,HTTP,DNS,TFTP 等协议
¾ 提供4个10/100M自适应WAN口
¾ 提供 4 个 10/100/1000M 自适应 RJ45 端口
¾ 支持 NAT 模式,路由模式,透明桥模式
¾ 可根据线路情况自动选择最优线路
¾ 不同 ISP 数据流选择对应 WAN 口线路传输
¾ 支持基于 IP 和基于端口的 QoS 设置,可限制单机带宽
¾ 端口镜像功能(LAN1 为镜像口,LAN4 为被镜像口)
¾ 支持 VPN Pass-through
¾ 内建防火墙,支持 IP 地址过滤,域名过滤,MAC 地址过滤
¾ 支持虚拟服务器,特殊应用程序,DMZ 主机和静态路由等功能
¾ 支持连接数设置,可限制单机连接数
¾ 提供线路状态显示和联机检测功能
¾ 提供攻击防护,有效防范网络攻击和病毒攻击
¾ 支持 IP 与 MAC 地址绑定,有效防范 ARP 攻击
¾ 提供配置文件备份与载入
¾ 提供 Https 安全管理
¾ 提供系统日志功能,支持外挂 Syslog 服务器记录信息
¾ 支持 Web 和远程管理,全中文配置界面,支持在线升级
¾ 内置电源,1U 钢壳,19 英寸标准机架结构设计

2.2.2 规格

产品型号 千兆安全接入网关

支持的标准和协议

WAN 4 个 10/100M 自适应 RJ45 端口

端口

网络介质 10Base-T:3 类或 3 类上 UTP 100Base-T：5 类 UTP 1000Base－T；CAT-5E

LAN 4 个 100/1000M 自适应 RJ45 端口

其他 LAN1:镜像口;LAN4:被镜像口

IEEE802.3、IEEE802.3u、IEEE802.3x、TCP/IP、FTP、PPPoE、PPTP、HTTP、
TFTP、DHCP、NAT、IPSec

5

UTP 或 6 类 UTP

过滤和转发速率 10Mbps:14880pps；100Mbps:148800pps； 1000Mbps：1488100

LED

指示

外形尺寸（L×W

×H）单位（mm）

WAN Link/Act(连接/工作)、100M

LAN Link/Act(连接/工作)、1000M

其它 M1（系统灯），Power（电源）

使用环境

输入电源

功耗

工作温度：0ºC 到 40ºC；工作湿度：10%到 90%不凝结
存储温度：-40ºC 到 70ºC；存储湿度：5%到 90%不凝结
输入：220VAC，50Hz
功耗：最大 15W

440×290×44

第三章 硬件安装

3.1 面板布置

3.1.1 前面板

LED 灯号说明

LED 描述 意义

Power 电源状态指示灯

Status 系统状态指示灯

Link/Act

1000M

端口连接/ 传输指示灯 绿灯常亮：以太网络联机正常

端口 1000M 传输速率
指示灯

3.1.2 后面板

交换机后面板有—个电源接口。电源工作范围：180-260V～50Hz-60Hz。

¾ 电源插座

这是—个二相三线电源插座，把电源线阴性插头接到这个插座上，阳性插头接到交流电源上。

提示：如果您忘记了路由器的密码或IP地址，您可通过此按钮恢复出厂设置。路

由器通电状态下，按住此按钮10秒以上，直到St a t u s 灯常亮后，松开按钮，即可恢
复出厂设置。

3.2 连接到你的网络上

首先，请您参考以下步骤完成千兆安全接入网关的网络连接。

1) 建立局域网连接
用一根网线连接路由器的 LAN 口和局域网中的集线器或交换机。您也可以用一根网线将路由器
LAN 口与您的计算机网卡直接相连。

2) 建立广域网连接

用两根网线连接路由器和 xDSL Modem／Cable Modem 或以太网。

绿灯常亮： 电源开启连接
绿灯常亮：路由器非正常工作
绿灯闪烁：路由器工作正常

绿灯闪烁：以太网络端口正在传送/接收封包数据传输
绿灯常亮：以太网络端口传输速率为 1000M

6

3) 连接电源

将电源连接好，路由器将自行启动。

设备连接图：

7

第四章 配置指南

4.1 概 述

本路由器采用 WEB 方式进行管理。用户可以使用 WEB 浏览器登录路由器，友好、直观的管
理界面将让您觉得配置路由器是一件轻松的事。

4.2 WEB 管理的连接

4.2.1 准备工作

首先，必须确保管理电脑安装了网页浏览器软件(比如 Microsoft Internet Explorer，简称 IE)，
而且浏览器必须支持 JavaScript 脚本功能。由于不同的浏览器对网页代码的解释不尽相同，为保
证配置操作的准确无误，建议您使用微软的 Internet Explorer 浏览器，如果您使用 Netscape 浏览
器，请确保其为最新版本。如果您使用 Internet Explorer 浏览器，请确保其版本在 5.0 以上，建议
使用 6.0 版本。为了达到良好的浏览效果，建议您将显示分辨率设为 1024×768 或者更高。

如果您在配置本宽带路由器的时候，WEB 页面不能正常使用或者不能正常配置路由器，需要
按照以下的说明来初始化操作系统的浏览器配置。一般情况下如果能够正确配置路由器的话，不
需要更改浏览器的设置，此时请跳过以下几步。

为了使 WEB 方式的管理能正常进行，我们需要对所使用的网页浏览器软件进行配置，下面
以 Windows XP 下 IE 6.0 为例说明。

第一步在 IE 菜单中选择“工具”→“Internet 选项”，会弹出 Internet 选项对话框：

图：Internet 选项设置

第二步：点击“删除文件”，清除浏览器的缓存记录；特别需要时点击“删除 Cookies”清除
自动登录记录（慎用）。

点击“设置”按钮，进入设置对话框，如下图所示：

8

图：设置对话框

如果您使用 Internet Explorer 5.0 版本的浏览器，请您务必选择“每次访问此页时检查”一项。
否则将可能导致某些页面显示的路由器配置信息错误。

如果您使用 Internet Explorer 6.0 版本的浏览器，可以选择“每次访问此页时检查”项或“自
动”项，建议选择后者。

选择完成后点击“确定”按钮即可。

注 意：

选择“每次访问此页时检查”项将使 Internet Explorer 浏览器在每次刷新时都会从路由器取完
整的页面文件，而不是读取磁盘中的临时文件。这将保证配置信息的正确无误，但同时也可能导
致页面的显示速度变慢。如果您选择了此项，在完成对路由器的 WEB 配置后，将其改为“自动”
一项，否则您访问其它网页时显示速度将可能受到较大影响。Internet Explorer 6.0 对此问题处理
较好，可以放心使用“自动”项(默认选项)。

第三步：请选择 Internet 选项对话框的“安全”标签，然后点击“自定义级别”按钮，如下
图所示：

9

图：Internet 选项设置

第四步如果上述操作正确无误，就会弹出以下的对话框：

10

图：安全设置

请选择活动脚本中的“启用”或者将“重置”下拉文本框设置成“安全级-中”，点击“重置”
按钮，最后点击“确定”按钮。

第五步：在桌面上单击鼠标右键，选择弹出菜单中“属性”选项，将弹出显示属性对话框，
如下图所示：

11

图：分辨率设置

请选择“设置”标签，将屏幕区域设置为 1024×768，并单击“应用”按钮。如果修改分辨
率后感觉屏幕较为闪烁，请单击上图的“高级”按钮，在弹出窗口的“监视器”页面中调高显示
刷新率，具体细节此处略过。

经过了以上设置，您就可以畅通无阻地通过 WEB 对交换机进行配置了。

注意：

将屏幕的分辨率设为 1024×768 是对 PC 硬件设备有一定要求的，对于硬件配置较低的 PC 可
以不按此设置。

4．2．2 连接

将路由器的LAN口用一根网线联到本地的交换机上，或是直接联到一台普通PC的网卡接口
上。将该PC的网卡IP地址设为192.168.0.X（X为1～253）网段，掩码为255.255.255.0，即可进行
首次登陆。

在 IE 的地址栏输入 https://192.168.0.254:10000 打开管理界面登陆。

在进入登录界面前会弹出如下对话框，

12

点击“是”，会弹出如下界面：

点击“是”，就可以进入登录界面了，如下图：

默认登陆界面用户名是“admin”，初始密码是“888888”。

在指定的用户名和密码输入框中输入用户名和密码，点击“登录”按钮，就进入 WEB 管理
路由器主页了。
注 意：

路由器的缺省密码是出厂时设置的。您也可以在路由器的修改帐号设置页面中修改密码。为
了安全，我们强烈建议您务必在登录之后更改管理密码！密码请牢记，若是密码忘记，将无法再
登录至路由器的设定画面，必须恢复到出厂值。

4.3 WEB管理界面及操作方法

在页面左侧，本公司商标的正下方，是功能菜单界面，它呈树状目录结构；本公司商标的右
下方大面积的蓝色区域是用于功能配置的主窗口。

13

左侧的功能菜单呈树状目录结构，整个目录分成两层，如果点击某一主项，就会展开这一主
项下的所有子项；如果想要设置其子项，只需要点击相应子选项，主窗口就会切换到被点击子项
的设置页。

在一个主项被展开的情况下，如果点击其它主项，以前展开的主项会闭合，被点击的主项将
展开，此时主窗口仍然会显示上一次设置的子项的设置页，只有点击了新的设置子项，配置页面
才会更改；如果点击已打开的主项，此主项会闭合，此时没有打开的主项，主窗口仍然会显示上
一次设置的子项的设置页。由于受到网络速度和路由器工作负荷影响，可能菜单会将两次间隔时
间较短的点击作一次点击来响应，此时只要注意适当延长点击时间间隔即可。

以下列出了功能菜单以及其子项：
系统信息：无

网口配置：模式选择、WAN1 口配置、WAN2 口配置、WAN3 口配置、WAN4 口配置、内网配置
网络配置：内网 DHCP、DNS&DDNS 配置、静态路由设置、VLAN 设置、内网 IP 绑定
防火墙：设置选项、时间表、IP 管理、服务、端口映射、IP 地址映射、数据包控制策略、会话

列表
VPN 配置：VPN 配置列表、VPN 状态、PPTP 设置、PPTP 用户
服务管理：时间设置、命令行工具、系统升级、配置备份与恢复、恢复默认值
流量管理：IP 流量控制
配置向导：无
系统日记：无
修改帐号：无
重新启动：无
注意：

针对路由器设置所做的修改，只有在点击“保存”按钮（有些项目可能还需要路由器系统重

启）后才会生效。

4.3.1 系统信息

14

¾ 系统信息：主要显示系统的相关信息如软件版本、系统当前时间等。
¾ 端口信息：显示端口的所有信息如内网、外网的流入、流出数据包的数据量。
¾ 资源状态：显示本路由器的资源信息。

注意：
系统信息中的系统时间只有在“服务管理”中的“时间设置”项中正确设置后才能反映正确时间。

4.3.2 网口配置

在“网口配置”菜单下面，有“模式选择、WAN1 口配置、WAN2 口配置、WAN3 口配置、
WAN4 口配置、内网配置”六个子项。单击某个子项，您即可进行相应的功能设置，下面将详细
讲解各子项的功能。

4.3.2.1 模式选择

4.3.2.1.1 路由模式

选择路由模式，假如和其它的路由器同在一个网络上运作，这里包括了一个分别处理上网的
网关，假如选择路由模式，您需要设置另一个路由器作为网关，以便让接入的电脑也能够上网。

点击“保存”按钮保存选择的路由模式。使配置生效必须重新启动本机，点击“重启”按钮，

等待重启完成，重新连接才能进入配置界面。

4.3.2.1.2 透明桥模式

15

透明桥模式是用来连通两个大型的网络。您的网络管理人应该填入网络段的信息，包括IP地
址，子网掩码，和外置的网关地址。

¾ IP地址： 所有的WAN口和LAN口会分享这个IP地址。
¾ 子网掩码：所有的WAN口和LAN口会在这个子网里。
¾ 外置网关：外置网关指的是已在网络内部运行且被设置为网关的设备。
¾ NAT模式: 从WAN口出去的数据会被NAT成此处配置的IP地址.
¾ 带宽：

z 上行带宽：此 WA N 口分配上行数据的速率。路由器默认值为 102400k

bps(100M)。这一配置对上行数据缓存调节和权重来说很重要。如果你使用上行
速率为 0.5Mbps 的 DSL 服务，那么上行速率设置为 500K bit/s。

z 下行带宽：此 WA N 口分配下行数据的速率。路由器默认值为 102400k

bps(100M)。这一配置对下行数据缓存调节很重要。如果你使用下行速率为
2Mbps 的 DSL 服务，那么下行速率设置为 2000K bit/s。

点击“保存”按钮保存选择的透明桥模式。使配置生效必须重新启动本机，点击“重启”按
钮，等待重启完成，重新连接才能进入配置界面。

4.3.2.1.3 网关模式

一般的宽带连接使用网关模式。

16

如果使用多条同一运营商的 ADSL,可以选择自动负载均衡，则不需要在 wan 口配置中使用静
态路由表，流量会自动使用多 wan 口传递数据，如果既不选择自动负载均衡,也不设置 wan 口的
静态路由表,在多 wan 的环境中,wan1 为主线路,wan2 等为备份线路, 如果在 wan 口配置静态路由
表,则变为策略路由模式, 流量会根据路由表来选择走那条线路, 则点击“保存”按钮保存选择的
网关模式。使配置生效必须重新启动本机，点击“重启”按钮，等待重启完成，重新连接才能进
入配置界面。

4.3.2.2 WAN1口配置

设定WAN1口的配置信息。先选择WAN口的配置方式，然后再输入对应的参数即可。

17

¾ WAN 口的配置方式：用户可以根据自己的方式进行选择“固定 IP、ADSL 拨号连接、电话

拨号连接、DHCP 连接、关闭连接”。

¾ 固定 IP 配置选项：固定 IP 时，由 ISP 提供相应的地址数据，DNS 必须手动填写。
¾ 拨号连接配置选项：ADSL 拨号连接、电话拨号连接时的用户上网账号和密码由当地 ISP 提

供商提供。

 登陆用户名：输入当地 ISP 提供商提供的用户名。
 使用密码登陆：输入当地 ISP 提供商提供的密码。
 从 ISP 得到 DNS 配置：选择是否要从 ISP 处自动获得 DNS 服务器。
 尝试连接时间：尝试连接时间一栏默认设置为 40 秒（取值 40 到 90

之间）。若选择了尝试连接的时间选项且使用默认设置，PPPoE 连接
就从开始拨号 40 秒如果没有连接上，就会开始新的 PPPoE 进程。

 是否限制包尺寸：选择是否限制包尺寸选项。
¾ DHCP 连接：直接由 ISP 提供商进行动态的 IP 地址分配。
¾ WAN1 静态路由：显示手动设置的 WAN1 口的静态路由表项，所有在此网络段中的数据包,

都会走 wan1, 静态路由的表达格式为：202.104.25.33/16，前者为目的

IP 地址或网段，后面

为 32 分段表达方式子网掩码，16 对应的子网掩码为 255.255.255.0。

¾ 带宽管理：

z 上行带宽：此 WA N 口分配上行数据的速率。路由器默认值为 102400k

18

bps(100M)。这一配置对上行数据缓存调节和权重来说很重要。如果你使用上行
速率为 0.5Mbps 的 DSL 服务，那么上行速率设置为 500K bit/s。

z 下行带宽：此 WA N 口分配下行数据的速率。路由器默认值为 102400k

bps(100M)。这一配置对下行数据缓存调节很重要。如果你使用下行速率为
2Mbps 的 DSL 服务，那么下行速率设置为 2000K bit/s。

¾ 使用 DNS 查询断线检测：对于多线路系统,如果需要检测连接的状态，可以选择此项,在线路

断掉时,可以自动将流量转到另一条线路,恢复正常时,有可以将流量转过来. 另外如果不选择

adsl 的 lcp 检查, 也可以用这个办法检查 adsl 的断线情况。
小知识：
什么是 DNS？

DNS 是域名系统 (Domain Name System) 的缩写，该系统用于命名组织到域层次结构中的计
算机和网络服务。DNS 命名用于 Internet 等 TCP/IP 网络中，通过用户友好的名称查找计算机
和服务。当用户在应用程序中输入 DNS 名称时，DNS 服务可以将此名称解析为与之相关的其
他信息，如 IP 地址。因为，你在上网时输入的网址，是通过域名解析系解析找到相对应的 IP 地
址，这样才能上网。其实，域名的最终指向是 IP。

比如您在浏览器中输入
似于 218.107.213.22 的IP地址，由于ISP的服务差异，使得每次解析结果都不一定相同。

WWW.KINGNET.COM.CN，那么DNS服务器将会将此域名解析成类

4.3.2.3 WAN2口配置

WAN2口配置与WAN1口配置相同，此处略。

4.3.2.4 WAN3口配置

WAN2口配置与WAN1口配置相同，此处略。

4.3.2.5 WAN4口配置

WAN2口配置与WAN1口配置相同，此处略。

4.3.2.6 内网配置

LAN 口地址配置及网段参数；依照用户需求设定。示例：

点击“内网”输入路由器的 IP 地址和子网掩码。

¾ IP地址：路由器对于内网的IP地址。
¾ 子网掩码：内网的IP掩码。

点击“保存”按钮保存设置。使配置生效必须重新启动本机，等待重启完成，重新连接才能
进入配置界面。

¾ 广播ARP信息（防止ARP网关欺骗）：每秒钟发送一次网关的IP与MAC地址信息广播包。为

了保证局域网中的电脑不被感染病毒和木马的电脑欺骗，可以选中此项，使得每台电脑能获

得正确的网关信息。
注意：

19

此处设置的路由器内网IP必须与第4.3.2.5 内网DHCP章节中设置的网关IP保持一致。

小知识：

什么是ARP？

ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的低层协议，
负责将某个IP地址解析成对应的MAC地址。从影响网络连接通畅的方式来看，ARP网关欺骗主要
分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

第一种ARP网关欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地
址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器
的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP网关欺骗的原理
是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的
路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

上面已经说了，ARP网关欺骗形式有对路由器ARP表的欺骗和对内网PC的网关欺骗两种，我
们的防护当然也是两个方面的，首先在路由器上进行设置，来防止路由器的ARP表被恶意的ARP
数据包更改，通过IP与MAC地址的绑定来实现，如在内网DHCP设置中的“自动应用于绑定MAC
地址的IP用户”（第4.3.2.5章节）和内网IP绑定设置中手动设置内网IP与MAC地址的绑定（第4.3.2.9
章节）；其次，我们也可以通过广播网关IP与MAC的正确信息来防止对内网PC的网关欺骗，如内
网&DMZ端口设置中的广播ARP信息（第4.3.2.4章节）。

其他还有很多不同形式的ARP欺骗，要解决局域网的其他ARP欺骗，您可以使用金浪网络提
供的安全交换机，它能够提供对ARP包的过滤，实现
欺骗数据包的目的。

IP、MAC、PORT之间的绑定，以达到阻止

4.3.3网络配置

4.3.3.1 内网DHCP

DHCP服务器默认值是关闭的，开启DHCP服务器功能可以提供局域网络内的计算机自动取得
IP的功能，（如同NT服务器中的DHCP服务），好处是每台PC不用去记录与设定其IP位置，当计
算机开机后，就可自动取得IP地址，管理方便。

¾ 打开DHCP服务器：开启DHCP功能，使路由器作为DHCP Server为局域网自动分配IP地址。
¾ 自动应用于绑定MAC地址的IP用户：此选项可以使得在DHCP服务打开时，PC的MAC地址和

所获取的IP有确定关系，而不是递加和随机的。

¾ 网关IP：可选, 该设置为路由器对局域网的IP地址。该IP地址出厂设置为192.168.0.254，用户

可以根据需要改变它。

¾ DNS服务器：可选, 手动输入DNS服务器地址后，DHCP服务器将此DNS服务器地址分配给PC,

20

不设置的话使用系统的DNS。

¾ 内网IP地址起点：该设置为路由器的DHCP服务器为局域网内电脑分配IP地址时开始的值，若

设置为192.168.0.2.也就是说，第一台发出申请的电脑，获取的IP是192.168.0.2，第二台则会

是192.168.0.3.依此类推。如果需要，您可以改变该数值。

¾ 内网IP地址终点：该设置为路由器的DHCP服务器为局域网内电脑分配IP地址时最后的值。若

设置为192.168.0.150，则IP地址从开始值分配至此值时，即不再分配IP地址。

¾ 内网IP网络掩码：该设置为路由器对局域网的子网掩码。

注 意：

1. 为了使用本路由器 DHCP 功能，局域网中计算机的 TCP/IP 协议必须设置为“自动获取 IP

地址”。

2. 设置完成后，请点击“确定”按钮使用户的设置生效。

3. 当WAN处于拨号模式且没有从ISP处获取DNS服务时，可在此处填入DNS服务器地址，

且需与“DNS&DDNS配置”中DNS服务器设置第一栏保持一致。

4. “自动应用于绑定MAC地址的IP用户”功能启用后，会将路由器下所带设备的IP与MAC

地址对应表记录在第4.3.2.9 内网IP绑定设置的ARP列表中。

4.3.3.2 DNS&DDNS配置

DDNS（动态DNS）服务让您分配一个固定的网域名给一个动态WAN IP地址。

在还没有设置DDNS之前，您需要访问
服务商并且注册一个网域名。（DDNS服务是

DDNS 服务：在默认下 DDNS 功能是没有启动的。要激活此功能，只要从下拉式菜单中选择一个
DDNS 服务商，并且在您和 DDNS 服务商设置的帐户里输入用户名，密码，和主机名。

选择启动 DDNS 后，每次拨号连接都会自动更改本域名的 IP 地址，则客户端即可通过动态
域名访问到服务器。

WWW.DTDNS.COM， WWW.3322.org 或其它的DDNS

DTDNS.COM等服务商提供的）

¾ DNS服务器：输入IP地址到DNS服务器1栏，如果连接成功这个DNS IP地址会先被采用。 输

入IP地址到DNS服务器2和3栏作为备份。DNS服务器2会被采用如果无法连接上DNS服务器1。

然后以此类推，DNS服务器3会被采用如果DNS服务器1和2都无法连接上。

¾ DDNS动态服务商：可以选择3322.org、dtdns.com、congle.com、vier.cn、webddns。

21

¾ 主机名：向DDNS服务提供者所申请的使用者名称。
¾ DDNS的用户名：向DDNS所注册的网址，如abc.dyndns.org orabc.dtdns.net。
¾ 密码：向DDNS服务提供者所申请的与使用者名称对应的密码。
¾
¾ 是否启动：点击“是”将启动此选项，点击“否”将不启动此选项。
¾ 确定：按下此按钮“确定”即会储存刚才所变动的修改设定内容参数。

小知识：

何谓 DDNS 服务？

所谓 DNS 是域名解析服务器的意思，即把域名转换成为网络可以识别的 IP 地址，使得互联
网用户可以通过名称访问这个 IP 所指向的服务。对于通过 ADSL 上网的电脑而言，每次上网的
时候有不同的 IP 地址，一般无法通过 DDNS 将域名固定指向这个固定的电脑。而 DDNS 服务（动
态域名解析服务）就是把域名与这个动态的 IP 地址对应起来。
DDNS 的用途是什么？

简单而言，DDNS 可以将你的电脑变成一个互联网上的用户都可以访问的服务器，不过这个
服务器是在你的家中或者单位里罢了。使用 DDNS 让您的电脑可用于

z Web 服务器——发布自己的网站并不受限制
z Mail 服务器——构建自己的邮件服务器收发邮件
z FTP 服务器——文件的上传或者下载
z VPN 服务器——不需要固定 IP 就可实现企业网之间的连接
z 远程访问服务器——随时随地管理自己的电脑

DDNS 如何实现？

需要一个能够提供 DDNS 服务的服务商，以便能够为你提供 DNS 解析服务。当你的 IP 发生
变化的时候，能够立刻更改域名的指向，让全世界的用户都访问您新的 IP 所指向的电脑。其次，
你的电脑上需要安装一个客户端软件，能够在你的电脑的 IP 地址发生变化的时候通过 DDNS 服
务器进行新的解析服务。

本宽带路由器的 DDNS 服务就是在路由器上内置了对应的客户端软件，使得用户在宽带路由
器内部不需要客户端软件就能享受 DDNS 服务。

4.3.3.3 静态路由设置

通过配置静态路由，用户可以人为地指定对某一网络访问时所要经过的路径， 在网络结构比
较简单，且一般到达某一网络所经过的路径唯一的情况下采用静态路由。

假如好几个路由器连接到您的网络，为了确保您方便快捷的与那几个路由器所在网络的通讯，
您会需要配置静态路由。静态路由的功能决定数据在您网络上流动的路线。这是一个高级的功能，
请小心地进行。

22

点击“新增”按钮增加一个路由表格。输入下面的数据，创立静态路由表格：

¾ 目的地IP：输入远距离LAN 分段的网络地址。
¾ 子网掩码：输入目的地LAN IP网域的子网掩码。基于Class C IP 网域标准，子网掩码是

255.255.255.0或其他设定的值。

¾ 默认网关：通到目的ip的网关ip,一般是内网或外网的一个ip地址,

点击：“保存”按钮保存静态路由设置。

4.3.3.4 VLAN设置

这里所谓的VLAN，就是在单个网络接口上绑定多个虚拟接口和不同的网段。也就是说，被

VLAN隔离的用户可以同时接到单个网络接口，在经过网关上网访问的同时，也可以在不同的
VLAN之间彼此互访。因为户上网的同时可以成为VLAN用户之间互访的桥梁，额外的网络接口
就不需要了。

23

点击“新增”按钮增加VLAN设置。输入下面的数据，创立新的VLAN设置：

¾ 网络地址：输入本地网络地址。
¾ 子网掩码：输入本地子网掩码。
¾ 网络接口：从下拉式菜单中选择一个端口透明桥、LAN，WAN1或WAN2。

点击“保存”按钮保存VLAN 设置。

4.3.3.5网IP绑定

用户可以在LAN口上绑定多个局域网IP/MAC地址，还可对绑定IP进行增减操作，在绑定的IP

栏里面可以查看IP对应的绑定地址。

24

点击“ARP列表”

1、在当前启动机器列表当中会显示扫描到的IP/MAC地址。
2、拷贝所有显示的IP/MAC对,粘贴到界面上,
3 可以手工添加,格式为IP和MAC对之间以空格符号分开每行一条。

输入完毕之后，点击“保存”按钮保存列表。

说明：
实现路由器下所带设备IP与MAC地址绑定的步骤：

1. 添加IP与MAC地址对应表（ARP列表）。对于路由器下所带设备的IP与MAC地址对应表我们

可以手动添加，也可以通过路由器自动添加。

¾ 手动添加：在“绑定的IP”栏中手动输入MAC与IP的对应列表。

¾ 自动添加：点击“ARP列表”就可以显示出所有路由器下所带设备的IP与MAC地址对应

25

表，复制这个列表到“绑定的IP”栏中。

2. 点击“内网IP绑定”中的“启用”按钮就可以把ARP列表中的IP与MAC实现一对一的绑定。

3.

4.3.4.防火墙

4.3.4.1 设置选项

从防火墙功能的一般设定选项当中，您可以控制开启(Enable)或是关闭(Disable)这些选项功能。

出厂默认值是将防火墙开启，并关闭不必要的响应。

¾ DOS（拒绝服务）

为了保护内网，在这里您可以设定阻止从 Internet 来的攻击，例如 SYN 攻击，UDP 攻击，

Ping of Death 和 Tear Drop 等，并设置相应参数。

¾ IP攻击

z IP Spoofing：即 IP 欺骗。
¾ 常风攻击特征防范

过滤常见的攻击包，例如根据tnk2k，ddoser等的指纹特征进行防范。

¾ 限制用户每秒新建连接数

当内网IP中病毒时可能会快速的向外网发起会话链接,影响网络的使用,启动这一项可以防范

此攻击.默认数是20/每秒/每用户

¾ 限制用户最大连接数

限制单个用户的并发连接数是为了防止病毒伪装“会话”而造成对网关的攻击。

¾ 日志服务器地址：在日志服务器地址栏中填入日志服务器的IP就可以保存VPN中的日志，为

以后的查询工作，问题的解决提供便利。
说明：

防火墙的设置相对复杂，而且对于网络性能的影响也比较大,建议使用系统默认值,
打开告警日志可以看到详细的中文攻击告警, 对诊断问题比较有用.

注意:
在日志服务器地址栏中填入日志服务器的IP就可以保存路由器中的日志，为以后的查询工作，问
题的解决提供便利。

26

4.3.4.2 时间表

对局域网用户进行时间管控，以便于管理。时间表，即此条规则只应用于所选的时间段中有

效，可以定义用户在一个星期的某几天能连接网络，或者在一天中的某几个小时能连接网络等。

点击“增加”

启用循环操作后在这个固定的时间内设置都生效，无需重复设置；
启用单次操作后只能在这个时间段内生效，超出这个时间段管控无效；
两者可以结合使用

¾ 名称：输入用户自定义的名称；
¾ 启用循环操作：开始时间：设置时间管控开始时间；

结束时间：设置时间管控结束时间；

星期： 设置一个星期内需要管控的日期

¾ 启用单次操作：时间起始于：设置起始时间

时段终止于：设置结束时间

4.3.4.3 IP管理

对用户名及IP等进行定义，与数据包控制策略结合使用以便于管理。可以定义一个用户，也
可以定义一组用户。用户定义后即可针对该用户设定相应的防火墙规则。当所定义的用户已被防
火墙规则使用时，要删除该用户必须在删除对应防火墙的规则后，才可被删除。下图为本说明示
例：

27

点击“创建”可新建用户，点击用户名可以对已有的原用户进行编辑：

¾ 单个IP：设置某一个IP为受控制IP，可以点击“*”来选择，子网掩码必须为255.255.255.255
¾ 一组IP：设置某个网段为受控制IP
¾ 一段IP：输入一个IP段，在此IP段内的IP地址都为受控制IP地址
¾ 其他IP或域名：可以填入任意你想控制的IP地址，还可以控制域名

网络掩码可以表示一段地址，也可以表示一个地址，而MAC码表示一个地址。当表示一个地
址时，可以和MAC地址一起用。输入MAC 地址时需要用冒号“：”隔开。

28

4.3.4.4 服务

对网络端口进行定义，与数据包控制策略结合起来使用，以便于管理。可以定义数个端口，
也可以定义一段连续的端口。

端口定义后即可针对该用户设定相应的防火墙规则。当针对端口设定了相应的防火墙规则后，
则不能再直接删除所定义的端口，如需删除，需先删除定义的规则。下图为本说明示例：

点击“手动”再点击“创建”建立新端口名

注意：
定义数个端口和定义一段连续的端口不能同时使用。

4.3.4.5 端口映射

端口映射用于建立web 站点、Email、FTP 服务器等服务。

端口映射功能被用来在网络上设置公共服务。当在您网络外的用户（Internet上的用户）向您
的网络提出请求，路由器能转发那些请求到已装备好处理这些请求的电脑。例如说，您转发端口

29

号80（HTTP）到IP地址192.168.0.2，那么所有从外而来的HTTP请求会被转发到192.168.0.2。

您可以使用此功能经由IP网关建立Web站点、Email、FTP服务器等服务。例：将192.168.0.2
的Server 端口8080映射为WAN口公网IP的80端口。确定您输入了一个有效的IP地址。（为了适当
地操作一个Internet服务器也许您需要建立静态的IP地址）为了增加安全，那些在您网络之外的（例
如Internet）用户会能够和服务器相通，但他们事实上不会连接到服务器。那些信息包只是经过路
由器转发而已。

例：将服务器端口33映射为WAN口公网IP的33端口,则外部端口号为33，映射端口为33。

您若要编辑端口映射，点击在操作栏里的“修改”按钮。这修改屏幕看起来很像新增端口映
射屏幕。输入您的变更并且点击“保存”按钮保存端口映射的设置或点击“取消”按钮取消变更。

4.3.4.6 IP地址映射

物理网络不能直接识别IP地址，必须经过一定的转换才能将IP地址映射为网络的物理地址。
将外网的IP 地址（192.168.1.1）直接映射到内部服务器的IP 地址（192.168.2.1）让外网用户可以
充分利用内部网络的资源。

30

例如：物理网络不能直接识别IP地址，必须经过一定的转换，将IP地址映射为网络的物理地址。
外网IP：1.1.1.1直接映射到内部服务器192.168.0.1可以充分利用网络资源 .配置界面与端口映射类
似.此处略.

4.3.4.7 数据包控制策略

针对性的网络规则，注意：序列号小则优先级高，当检测到数据包符合某条规则后，该规则
被执行，防火墙将不再检测后续规则。“用户、端口”，需在“网络配置”内的“网络用户管理、
网络端口管理”内先定义。

按照顺序，当某条数据包符合某个规则的时候，执行这条规则，此时后面的规则将对此数据
包不起作用。

¾ 序列号：填写策略序号，小的优先级高
¾ 日志标记：在日志上做特殊标记
¾ 内容过滤：选择需要过滤的内容，如，需要过滤非法的网站，则可以选择“域名”，需

要过滤不同的文件，则可以选择“文件后缀名”

31

¾ 方向：选择是对流进的数据包进行控制还是对流出的数据包进行控制
¾ 内网IP: 选择需要控制的IP，与IP管理有关
¾ 外网IP: 选择需要控制的IP，与IP管理有关
¾ 服务：可以选择服务类型，路由器已经列出了常用的一些服务，可以直接选取，如果没

则可以在服务中手动添加

¾ IP类型：根据不同的应用可以选择UDP,TCP,ICMP等
¾ 带宽控制：控制这条策略的带宽
¾ 时间表：控制策略生效的时间
¾ 以上策略负荷条件时：可以选择通过，决绝，日志，决绝日志，外网线路

第一条是针对用户管理内定义的“总经理”使其不受任何限制，其设置如下图：

第二条是不允许“受限用户”上班时间上QQ并且记录日志，其设置如下图：

32

第三条是不允许所有用户访问HTTP服务，其设置如下图：

注意：
端口的相关信息是与“服务”中的端口信息一致的。

33

4.3.4.8 会话列表

本页显示当前的会话及每个IP的会话数，由此可以判断每个IP的状态；
查找：用户可以通过此输入端口或IP查找会话信息。比如你可以填写IP地址，可以列出这个IP的
会话信息。

4.3.5 VPN配置

配置VPN用户规则等

4.3.5.1 VPN配置列表

上图共有四条配置：
第一条：分支机构（guangzhou）作为子网通过同类型设备通过VPN 接入本网。

34

第二条：设定移动用户用guest 作为帐号登陆进来。本系统同一VPN 帐号，可同时联接多个
用户，如本例中，可以多人同时使用guest 帐号登陆进来，也可以在系统中设置不同的帐号归不
同人使用。移动办公用户，可以在其电脑（win2000，Win2003，或winXP 操作系统）上，安装配
套的VPN 客户端软件，其客户端登陆界面设置如下：

点击更新连接，状态为已连接的情况下，即可登陆到公司网络上，进行远程办公。
第三条：本设备作为客户端，连接使用动态域名的test1.21door.com（上海子网）。
第四条：本设备作为客户端，连接使用固定IP 的其它设备。
需要说明的是在VPN 的网络中，可以把多个子网联系到一起， 路由是靠子网的地址来区分的，所
以所有连进VPN SERVER 的客户端的子网不能冲突，也不能与服务器端的子网冲突。

1) 增加VPN客户端
用本设备作为客户端，来主动的连接其它设备,从而进入其局域网。如图：

35

用户名（本地ID）：即所要连接的VPN服务器分配给主动连接方的账户。
本地子网：即本地VPN 连接的用户地址信息。
对方子网：对方的子网信息。
对方IP 或域名：所要连接的VPN 服务器的信息。
模式选择：选择加密模式，加密算法等。设置的模式与加密算法需要与对方一致。

2) 增加VPN服务器
将本设备作为服务器，增加账号，使得其它用户能连接进来。其配置界面如图：

36

用户名（对方ID）：分配给登录方的的账户。
本地子网：即对方登陆后，可连通本公司的用户设定。
对方IP 或域名:登陆方的IP或域名，当要连进的用户为动态IP 时，则不需输入。
注意：需要通过VPN 登陆进来的用户一定要和本处VPN设定的数据一致才能接通。
对方子网：当连进来的用户为一子网时，一定要选择其对应的子网数据。可以在网络用户管理内
定义好，亦可在此输入。
模式选择：选择加密模式，加密算法等。设置的模式与加密算法需要与对方一致。
3） 增加客户端软件服务器
提供给移动办公用户，用户可以在其电脑（win2000，Win2003，或winXP 操作系统）上，安装配
套的VPN 客户端软件接入VPN.

37

用户名（对方ID）：即所要连接的VPN服务器分配给主动连接方的账户。
本地子网：即本地VPN 连接的用户地址信息。
对方子网：默认为私有网段客户端(不可配)。
对方IP 或域名：所要连接的VPN 服务器的信息
模式选择：选择加密模式，加密算法等。设置的模式与加密算法需要与对方一致。

4.3.5.2 VPN的状态

显示VPN的连接状态，包括对方IP，本地子网，对方子网，状态，通讯包数量。

4.3.5.3 PPTP设置

用户可以设置PPTP的起始IP与终止IP。

38

4.3.5.4 PPTP用户

¾ PPTP用户名：填入系统提供的上网帐号。
¾ PPTP密码：填入系统提供的上网密码.

4.3.6 服务管理

4.3.6.1 时间设置

利用时间服务器设置时间到每件日志事件，自动地更新内容过滤目录，或为其它与时间有关
的功能提供服务。

39

¾ 系统时间：输入年月日及时间。点击“保存”按钮使刚输入的时间生效。
¾ 时间服务器：输入NTP服务器的主机名和地址。点击“保存”按钮同步本地和NTP服务器

的时间。

¾ 启用：打开或关闭从时间服务器自动获取间的开关。

4.3.6.2 命令行工具

执行命令：在此输入您要执行的命令进行，可以执行的命令有 ping ， route ，free，ifconfig。

¾ ping ：此命令用于检测网络的连通。
¾ route ：此命令用于测试网络的路由功能和路由表。
¾ free：此命令用于显示内存的资源分配情况。
¾ ifconfig：此命令用于显示路由器的所有网络接口的连接信息和状态。

4.3.6.3 升级系统

升级功能使您可以保持金浪发布的最新版本的系统软件。当您使用升级功能时，您必须到金
浪的网站下载本路由器的系统软件，保存到您的计算机的某个文件夹下面。

单击“浏览”按钮选择升级文件，然后单击“开始升级”按钮，文件将被上载到设备上，升
级完成后，并重新启动。
注：在升级过程中，请不要断电。升级完后介面将会自动出现“升级成功，请断电重新启动”。

4.3.6.4 配置备份与恢复

此选项可以将用户对路由器的设置进行备份。如恢复出厂设置后要恢复到用户所做的设置，
可以通过此项恢复配置。

40

点击“backup.vpn”将路由器的配置文件保存到PC上，当需要恢复配置时点击“浏览”按钮，

弹出如下界面：

然后选择保存到PC上的配置文件，点击“打开”按钮，点击“开始恢复配置”，当弹出“恢复

配置成功”的界面即可。

注意：
备份的设置最好不要包含IP与MAC地址绑定设置，因为在另一个环境恢复了包含IP与MAC地

址绑定设置的配置文件，很有可能会使路由器下连的PC无法与路由器相连。

4.3.6.5 恢复默认值

若是选择“确定”，会将所有的设定清除，并重新开机。我们建议在做版本升级前请先将Router
现在的设定值存在计算机，等做完版本升级后，使用此功能将机器做出厂值设定以确保机器升级
后的稳定行，然后再将刚才存在计算机的设定值存回设备 (如何储存设定数据及升级完成后如何
存回，请参考“配置备份与恢复”说明)。

4.3.7 流量管理

4.3.7.1 IP流量控制

点击IP流量控制选项，可以输入一段IP地址进行上行和下行带宽的限制，输入完毕之后点击
“保存”按钮保存生效。

41

¾ 起始IP、终止IP：此为选择你所要限制的使用者为何?若您只限制单一IP，则直接将此IP 填

入，如：192.168.1.100 to 100，则此规则就是针对192.168.1.100 此IP 做控制。若是要限制一

组IP 范围，则填入如192.168.1.100 to 150，这样此规则就是针对192.168.1.100 到150 做限制。

若是此条带宽限制是针对所有人也就是接在内网的所有User 则可在IP 的字段皆填入0，也就

是192.168.1.0 to 0，这样就表示所有IP 都受此规则限制。

¾ 上行带宽：指对每台内网IP 的上传带宽。
¾ 下行带宽：指对每台内网IP 的下载带宽。
¾ 启用队列管理: 启用队列管理功能才可以使用保障最小带宽.
¾ 保障最小带宽&限制最大带宽： (Kbit/Sec)

z 保障最小带宽：此为限制或保证此条规则的最小可使用带宽。也就是动态的调整带宽,

在流量有空闲时,尽量分配给用户使用, 流量用完是尽量保证每台机器有一个最小的带
宽.

z 限制最大带宽：此为限制此条规则的最大可使用带宽，也就是每台机器最大不会超过此

设定值。

¾ 列出正在使用的IP速度: 可以显示当前正在上网的机器的上下行速度.

由于网吧的外网带宽是有限的，现在国内提供的有10M，20M等多种，甚至个别为100M，
但是这些带宽可以完全被下载软件所占用，从而严重影响到网络的速度。因此我们首先要将外网
带宽的速度设置正确。如网络的上行带宽、下行带宽要填好。根据我们在实际工作中的摸索，建
议一般的网吧上行设置为700K bit／s以下为佳。特别是上行带宽,最好设置为下行带宽的1/3.
建议上行带宽：

带机量
带宽

10M
20M

100M

100台 200台 300台

<500K bit／s <400K bit／s <300K bit／s
<700K bit／s <600K bit／s <500K bit／s

<1000K bit／s <700K bit／s <600K bit／s

4.3.8 系统日志

42

系统日志服务器：提供了外部系统日志服务器收集系统信息功能。Syslog为一项工业标准通讯协
议，于网络上动态撷取有关的系统信息。系统日志提供了包含动作中的联机来源位置(Source IP
Address)与目地(Destination IP Address)位置，服务编号(Port Number)以及型态(IP service)。输入您
要接收系统日志的服务器名称或是IP地址于“系统日志服务器” 的空格字段内。

4.3.9 修改帐号

当您每次登入至设定画面时，必须输入密码。ESR系列路由器的密码出厂值为“888888”。
为了安全理由，我们建议您务必在第一次登入并完成设定之后更改管理密码！密码请牢记，若是
密码忘记，将无法再登入至路由器的设定画面，必须回复到出厂值(Factory Default)。

¾ 修改登录密码：填写所更改密码。
¾ 确认登录密码：再填写一次更改密码。
¾ 修改：按下此按钮“修改”即会储存修改的密码。

4.3.10 重新启动

您可以在此工具中选择系统重新启动，请按下“确定”按钮即可重新启动路由器。

43

附 录

一、静态路由设置

下面就以几个典型应用为例，来说明一下什么情况需要设置静态路由，静态路由条目的组成，以
及静态路由的具体作用。
例一：最简单的串连式双路由器型环境

这种情况多出现于中小企业在原有的路由器共享Internet的网络中，由于扩展的需要，再接入
一台路由器以便连接另一个新加入的网段。而家庭中也很可能出现这种情况，如用一台宽带路由
器共享宽带后，又加入了一台无线路由器满足无线客户端的接入。

图1

（注：图中省略了可能存在的交换层设备）

如图1所示，LAN 1为192.168.0.0这个标准C类网段，路由器R1为原有路由器，它的WA N口接
入宽带，LAN口（IP为192.168.0.1）挂着192.168.0.0网段（子网掩码255.255.255.0的C类网）主机
和路由器R2（新添加）的WA N 口（IP为192.168.0.100）。R2的LAN口（IP为192.168.1.1）下挂着新
加入的LAN 2这个192.168.1.0的C类不同网段的主机。

如果按照共享Internet的方式简单设置，此时应将192.168.0.0的主机网关都指向R1的LAN口
（192.168.0.1），192.168.1.0网段的主机网关指向R2的LAN口（192.168.1.1），那么只要R2的WA N
口网关指向192.168.0.1，192.168.1.0的主机就都能访问192.168.0.0网段的主机并能通过宽带连接上
网。这是因为前面所说的宽带路由器中一条默认路由在起作用，它将所有非本网段的目的IP包都
发到WA N口的网关（即路由器R1），再由R1来决定信息包应该转发到它自己连的内网还是发到外
网去。但是192.168.0.0网段的主机网关肯定要指向192.168.0.1，而 R1这时并不知道192.168.1.0这个
LAN 2的正确位置，那么此时只能上网以及本网段内的互访，不能访问到192.168.1.0网段的主机。
这时就需要在R1上指定一条静态路由，使目的IP为192.168.1.0网段的信息包能转发到路由器R2去。

一条静态路由条目一般由3部分组成：1.目的IP地址或者叫信宿网络、子网；2.子网掩码；3.
网关或叫下一跳。

例1中R1上设定的静态路由条目就应该为：目的IP地址192.168.1.0（代表1.x这个网段），子网
掩码255.255.255.0（因为是C类网段），下一跳192.168.0.100。如 图 2，此图为TP-LINK R410中的静
态路由表配置项，保存后即可生效。

44

注意：其中的网关IP必须是与WA N或LAN口属于同一个网段。那条默认路由写出来就是：目
的IP为 0.0.0.0，子网掩码0.0.0.0，下一跳为WA N 口上的默认网关，有时我们也称它为“8个0的默
认路由”。另外，如果目的IP是一个具体的主机IP（如192.168.1.2），那么路由条目应为：目的IP

192.168.1.2，子网掩码255.255.255.255，下一跳或网关192.168.0.100。

例二：两台平级并连的路由器，下挂子网中主机需要互相通信的环境

这种情况，两台平行并连的路由器上层应该还有一个总的出口网关，而这个网关有可能因某
种原因不便设置路由，而此时网络中存在3个不同的网段。

图中内网网关就是小区的网关，R1和R3分别为两户的宽带路由器，它们之间一般通过楼层的
接入交换机和小区的骨干交换机连接在一起，此图省略了这一部分。图4的这种情况，只要在网关
设备上按例一的方式添加两条路由就能实现两个子网中主机的互访，而且其10.0.0.0这个A类网段
中存在的主机也都能通过这两条路由访问到R1和R3下的内网机。但是如果是小区的网关设备，那
肯定是不会让用户随便配置路由条目的，而且你应该也不想小区内的所有用户都能直接访问到你
的内网主机。这时，我们可以在R1和R3上各添加一条路由指向对方来实现R1和R3下主机直接互
访的效果。

在R1上：目的IP地址172.16.0.0，子网掩码255.255.0.0（B类网段），下一跳10.1.1.3

在R3上：目的IP地址192.168.0.0，子网掩码255.255.255.0（C类网段），下一跳10.1.1.2

注：有些新型小区中使用了P-VLAN技术，这种网络的情况比较复杂，这样上面简单的静态
路由设置有可能无法达到目的。
例三：既串且并，网络中有多级路由设备的环境。

这种情况可以说是例一和例二两种应用的整合和延伸，看似复杂其实简单

45

既然拓扑图是例一、例二的结合，那将例一、例二中的路由条目加在一起是不是就可以了呢？
当然也不是这么简单，如果只是配置了前两例的路由条目，R3下的主机是无法直接访问到R2下的

192.168.1.0这个子网的。所以在R3上还要加一条到192.168.1.0这个子网的路由。静态路由条目配
置如下：
R1：目的IP地址192.168.1.0，子网掩码255.255.255.0，下一跳192.168.0.100。

目的IP地址172.16.0.0，子网掩码255.255.0.0，下一跳10.1.1.3。
R3：目的IP地址192.168.0.0，子网掩码255.255.255.0，下一跳10.1.1.2。

目的IP地址192.168.1.0，子网掩码255.255.255.0，下一跳10.1.1.2。

如例三中，R3上的第一条：目的IP为192.168.0.0；第二条：目的IP为192.168.1.0。我们只提取
了前面的两段192.168，而后面的第三段网络位中还是有相同的部分的。192.168.0.0中第三段写成
二进制数为00000000（8位0），182.168.1.0中第三段写成二进制数为00000001（7位0，1位1），那
么它们的前7位是相同的，在对应的子网掩码位置上就应该是11111110（7位1，1位0），合成十进
制为254。所以这条汇总路由应该写成：目的IP为192.168.0.0，子网掩码255.255.254.0，下一跳

10.1.1.2。这样，这条汇总路由只包含192.168.0.0和192.168.1.0两个子网，是一条精确的汇总路由。
如图6中，R3下172.16.0.0的主机发送到192.168.2.0网段的信息包，其第三段网络位写成二进制为
00000010（前6位0），就不包含在这条精确的汇总路由内了。

这时我们在R3上静态路由条目应该为

1.目的IP地址192.168.0.0，子网掩码255.255.254.0，下一跳10.1.1.2。

2.目的IP地址192.168.2.0，子网掩码255.255.255.0，下一跳10.1.1.4。

46

二、分位表示法 子网掩码

分位表示法 子网掩码

1 128.0.0.0
2 192.0.0.0
3 224.0.0.0
4 240.0.0.0
5 248.0.0.0
6 252.0.0.0
7 254.0.0.0
8 255.0.0.0

9 255.128.0.0
10 255.192.0.0
11 255.224.0.0
12 255.240.0.0
13 255.248.0.0
14 255.252.0.0
15 255.254.0.0
16 255.255.0.0
17 255.255.128.0
18 255.255.192.0
19 255.255.224.0
20 255.255.240.0
21 255.255.248.0
22 255.255.252.0
23 255.255.254.0
24 255.255.255.0
25 255.255.255.128
26 255.255.255.192
27 255.255.255.224
28 255.255.255.240
29 255.255.255.248
30 255.255.255.252
31 255.255.255.254
32 255.255.255.255

47