繁體中文使用手冊
5WAN 5LAN Gigabit SSL/IPSec
VPN Firewall
網路安全路由器
具負載平衡,頻寬管理,網路安全等功能
I
Gigabit 網路安全路由器
目 錄
一、簡介 .......................................................................................................................................................... 4
二、多 WAN 路由器配置操作流程 ............................................................................................................... 6
2.1 系統性配置流程的需要 ................................................................................................................................... 6
2.2 配置流程表 ....................................................................................................................................................... 6
三、硬體安裝 .................................................................................................................................................. 8
3.1 路由器前面板以及 LED 顯示燈 ...................................................................................................................... 8
3.2 連接 Gigabit 路由器到您的網路上 ................................................................................................................ 10
四、登錄路由器 ............................................................................................................................................ 11
五、確定設備規格、狀態顯示以及登錄密碼和時間的設定 .................................................................... 13
5.1 首頁顯示 ......................................................................................................................................................... 13
5.2 登錄密碼及時間的修改和設定 ...................................................................................................................... 18
六、進行廣域網路連線配置 ........................................................................................................................ 21
6.1 網路設定 ......................................................................................................................................................... 21
6.2 多 WAN 設定 .................................................................................................................................................. 37
七、內部區域網路配置 ................................................................................................................................ 58
7.1 網路埠管理配置 ............................................................................................................................................. 58
7.2 網路埠狀態即時顯示 ..................................................................................................................................... 60
7.3 DHCP 發放 IP 伺服器 ................................................................................................ ................................ ..... 62
7.4 DHCP 狀態顯示 ................................................................................................ ................................ .............. 64
7.5 IP 及 MAC 地址綁定 ................................................................ ................................ ....................................... 65
7.6 IP 與服務通訊埠 群組管理 ............................................................................................................................ 68
7.7 服務通訊埠 群組管理 ................................................................................................................................... 71
八、QoS 頻寬管理功能 ............................................................................................................................... 73
8.1 頻寬設置(QoS) ................................................................................................................................................ 74
8.2 連線數管控 ..................................................................................................................................................... 84
8.3 硬體加速服務(未來支援) ............................................................................................................................... 87
九、防火牆配置 ............................................................................................................................................ 89
9.1 基本設置 ......................................................................................................................................................... 89
9.2 訪問規則設置 ................................................................................................................................................. 97
9.3 網頁內容管制 ............................................................................................................................................... 102
十、VPN 虛擬專用網設置 ......................................................................................................................... 107
10.1. VPN 虛擬專用網(VPN) ......................................................................................................................... 107
10.2. QnoKey ................................ ................................................................................................ ........................ 143
II
Gigabit 網路安全路由器
10.3 QVM VPN 功能設定 ................................................................................................................................... 150
十一、SSL VPN ......................................................................................................................................... 155
11.1 連線狀態 ..................................................................................................................................................... 155
11.2 群組設定一覽表.......................................................................................................................................... 156
11.3 群組管理 ..................................................................................................................................................... 158
11.4 認證管理 ..................................................................................................................................................... 177
11.5 使用者管理 ................................................................................................................................................. 183
11.6 服務資源管理.............................................................................................................................................. 186
11.7 聯機至入口網站.......................................................................................................................................... 188
11.8 進階設定 ..................................................................................................................................................... 190
十二、其他進階高級功能設置 .................................................................................................................. 199
12.1 DMZ/虛擬服務主機 .................................................................................................................................... 199
12.2 UPnP 通訊協定 ............................................................................................................................................ 203
12.3 路由通訊協定 ............................................................................................................................................. 205
12.4 一對一 NAT 對應 ........................................................................................................................................ 208
12.5 DDNS-動態網域名稱解析 .......................................................................................................................... 211
12.6 廣域網界面 MAC 位址設定 ...................................................................................................................... 214
十三、工具程式功能設定 .......................................................................................................................... 215
13.1 自我診斷-線上連線測試.......................................................................................................................... 215
13.2 系統韌體升級 ............................................................................................................................................. 217
13.3 系統設定參數存儲 ..................................................................................................................................... 218
13.4 SNMP 網路管理設定................................................................................................................................... 219
13.5 系統恢復 ..................................................................................................................................................... 221
13.6 備援功能 ..................................................................................................................................................... 223
十四、日誌功能設定 .................................................................................................................................. 227
14.1 系統日誌 ..................................................................................................................................................... 227
14.2 系統狀態即時監控 ..................................................................................................................................... 230
14.3 流量統計 ..................................................................................................................................................... 231
14.4 特定 IP 及埠狀態 ........................................................................................................................................ 233
14.5 QRTG (Qno Router Traffic Grapher) ................................................................................................. 235
十五、登出 .................................................................................................................................................. 240
附錄一、配置界面及使用手冊章節對照 .................................................................................................. 241
附錄二:常見問題解決 .............................................................................................................................. 244
(1) 擋基本 BT 下載方式 ............................................................................................................................... 244
(2) 衝擊波及蠕蟲病毒的防制 ...................................................................................................................... 245
III
Gigabit 網路安全路由器
(3) 阻止 QQLive 視屏直播設定 ................................................................ .................................................. 247
(4) ARP 病毒攻擊防制 ................................................................................................................................. 249
附錄三:Qno 技術支援資訊 ................................................................................................................... 257
2
Gigabit 網路安全路由器
產品功能說明手冊使用許可協定
《產品功能說明手冊(以下稱”手冊”)使用許可協定》(以下稱”協定”)是用戶與俠諾科技股份有限公司(以
下稱”俠諾”)關於手冊許可使用及相關方面的權利義務、以及免除或者限制俠諾責任的免責條款。直接或間
接取得本手冊檔案以及享有相關服務的用戶,都必須遵守此協定。
重要須知:俠諾在此提醒用戶在下載、閱讀手冊前閱讀本《協定》中各條款。請您審閱並選擇接受或不接受本
《協定》。除非您接受本《協定》條款,否則請您退回本手冊及其相關服務。您的下載、閱讀等使用行為將視為
對本《協定》的接受,並同意接受本《協定》各項條款的約束。
【1】知識產權聲明
手冊內任何文字表述及其組合、圖示、介面設計、印刷材料、或電子檔等均受我國著作權法和國際著作權條約
以及其他知識產權法律法規的保護。當用戶複製"手冊"時,也必須複製並標示此知識產權聲明。否則,俠諾視
其為侵權行為,將適時予以依法追究。
【2】"手冊"授權範圍:
用戶可以在配套使用的電腦上安裝、使用、顯示、閱讀本"手冊"。
【3】用戶使用須知
用戶在遵守法律及本協定的前提下可依本《協定》使用本"手冊"。用戶若是違反本《協定》,俠諾將中止其使用
權力並立即銷毀此"手冊"的複本。本手冊"紙質或電子檔案",僅限於為資訊和非商業或個人之目的使用,並且
不得在任何網路電腦上複製或公佈,也不得在任何媒體上傳播;及不得對任何"檔案"作任何修改。為任何其他目
的之使用,均被法律明確禁止,並可導致嚴重的民事及刑事處罰。違反者將在可能的最大程度上受到指控。
【4】法律責任與免責聲明
【4-1】俠諾將全力檢查文字及圖片中的錯誤,但對於可能出現的疏漏,用戶或相關人士因此而遭受的直接或
間接的經濟損失、資料損毀或其他連帶的商業損失,俠諾及其經銷商與供應商不承擔任何責任。
【4-2】俠諾為了保障公司業務發展和調整的自主權,俠諾擁有隨時自行修改或中斷軟體 / 手冊授權而不需通
知用戶的權利,產品升級或技術規格如有變化,恕不另行通知,如有必要,修改或中斷會以通告形式公佈於俠
諾網站的相關區塊。
【4-3】所有設定參數均為範例,僅供參考,您也可以對本手冊提出意見或建議,我們會參考並在下一版本作
出修正。
【4-4】本手冊為解說同系列產品所有的功能設定方式,產品功能會按實際機種型號不同而有部份差異,因此
部分功能可能不會出現在您所購買的產品上。
【4-5】俠諾保留此手冊檔案內容的修改權利,並且可能不會即時更新手冊內容,欲進一步瞭解產品相關更新
3
Gigabit 網路安全路由器
訊息,請至俠諾官方網站流覽。
【4-6】俠諾(和/或)其各供應商特此聲明,對所有與該資訊有關的保證和條件不負任何責任,該保證和條件
包括關於適銷性、符合特定用途、所有權和非侵權的所有默示保證和條件。所提到的真實公司和產品的名稱可
能是其各自所有者的商標,俠諾(和/或)其各供應商不提供其他公司之產品或軟體等。在任何情況下,在由於
使用或檔案上的資訊所引起的或與該使用或運行有關的訴訟中, 俠諾和/或其各供應商就因喪失使用、資料或利
潤所導致的任何特別的、間接的或衍生性的損失或任何種類的損失,均不負任何責任,無論該訴訟是合同之訴、
疏忽或其他侵權行為之訴。
【5】其他條款
【5-1】本協定高於任何其他口頭的說明或書面紀錄,所定的任何條款的部分或全部無效者,不影響其他條款
的效力。
【5-2】本協定的解釋、效力及糾紛的解決,適用於臺灣法律。若用戶和俠諾之間發生任何糾紛或爭議,首先
應友好協商解決。若協商未果,用戶在完全同意將糾紛或爭議提交俠諾所在地法院管轄。中國則以「中國國際
經濟貿易仲裁委員會」為仲裁機構。
4
Gigabit 網路安全路由器
一、簡介
SSL/IPSec VPN 防火牆 (以下稱防火牆) 是因應高速 Gigabit 網路的 VPN、防火牆需求,所研發的一款全
功能 VPN 防火牆。以高速 Gigabit 骨幹為基礎,支援 IPSec、PPTP 以及 SSL VPN,針對企業的分支部、協力
廠商、行動外點、家庭辦公等各式 VPN 運用環境,提供全面性的解決方案。
適用於各國多 ISP 及不同的頻寬環境,並提供硬體鏡像埠口、智慧型頻寬管理、多 WAN 負載均衡、線路
備援、強效防火牆、虛擬路由等功能。此路由器採用 64 位元多核心硬體加速高階網路專用處理器,雙向轉發速
率 2Gbps,封包處理快速穩定。內建高規格大容量記憶體,長時間高負載運作穩定可靠。
具備 5 個 Gigabit WAN連接埠,並具有高效能線路負載平衡模式的功能,達到對外連線的流量負載平衡。WAN
端的對外連線能力滿足絕大多數寬頻市場都適用的規格。此外,硬體 DMZ 埠可以連接具有公網 IP 位址的對外
伺服器。區域端內建 5 個 Gigabit 骨幹 LAN 連接埠,Auto MDI/MDI-X 10/100/1000Mbps 乙太網路交換器,每
個埠都可以連接額外的交換器以連接更多的上網設備,方便建立千兆骨幹,加速企業網路效能,頻寬成長空間
大。
強效的防火牆系統,以滿足多數企業對防禦外部網路攻擊的市場需求。主動式封包檢測功能,經由對網路
層連線的動態檢測,拒絕或阻擋非標準通信協定的連線要求。只需單向啟動各式駭客攻擊、蠕蟲病毒、ARP 攻
擊防護功能,即可簡易完成配置,有效防止內外網惡意攻擊,確保網路安全。防火牆系統除了 NAT 之外,還具
備有防止阻斷服務攻擊。功能完整的存取規則設定,可讓管理者選擇應該禁止或開放存取的網路服務,限制或
禁止區域網內使用者的網路使用權限,以避免佔用網路資源或是不當使用而遭受潛在的危機。
獨特的 QoS 頻寬管理功能,可以讓管理者對有限的網路資源做合理而且有效的分配。功能強大但是設定簡
單,用戶可以直接在「動態智能 QoS」功能中,簡單完成平時的頻寬限制,彈性的「動態智能 QoS」不僅能在
網路巔峰時期限制頻寬,還能在網路空閒時自動釋放頻寬,達到頻寬的最佳分配。如此之外,也能夠在「QoS
頻寬管理」依據 IP、服務、通訊埠做更細緻的設定。簡單的說,就是在維持頻寬秩序的前提下,將頻寬做最大
的利用,達到最佳的效果。
支援智能型、指定路由與策略路由等三種頻寬負載均衡模式,提供彈性靈活的網路連線需求設置,來進行
流量的負載均衡控制,可保證所有線路暢通。策略路由設置簡化,自動判別對外網路封包,並依據不同網路 ISP
分流,確保跨網連線反應快速、通行無礙,可匯聚不同運營商的線路頻寬,作負載均衡控制,大大提升網路資
5
Gigabit 網路安全路由器
源運用的靈活度。
網路位址轉換(NAT) 除了可以做 Private IP 與 Public IP 轉換,讓您只需要一個 Private IP 就可以讓多人同
時連上網路。區域網內的 IP 位址支援 4 個 Class C 等級,DHCP 自動分配 IP,以及簡單勾選的 IP 與 MAC 位
址綁定讓網路環境架構具有彈性,易於規劃管理。
SSL VPN 具有用戶端無需安裝軟體,零配置、無需維護的特點,只要會使用流覽器,就可通過身份認證訪
問企業內部資源。伺服器端可根據用戶群組,控制細緻的訪問權限,因此不同的用戶群組,各自擁有不同權限
的入口介面。SSL VPN 提供網路服務、微軟終端服務、遠端桌面服務、網路芳鄰、安全隧道等功能,而用戶端
則通過 Web 流覽器登錄即可接入中心端伺服器進行工作,滿足企業外點與移動用戶安全辦公需求。Qno 提供完
整 VPN 協議,提供目前企業所廣泛應用的虛擬私有網路硬體加速模式。
IPSec VPN 支援 DES、3DES、AES-128 加密,MD5、SH1 認證,IKE Pre-Share Key、或是手動設定的密鑰
交換。支援 Aggressive Mode,斷線後自動重新連線,以及網路芳鄰透通。支持群組式浮動 IP 用戶端與總部進
行虛擬私有網連線。
另具備 PPTP 伺服器功能,具備連線狀態顯示。每個 WAN 口可同時建立多種 DDNS 設定,可使用動態 IP 建立
VPN 連線。
而 QVM 是 Qno 專為商用環境所研發的-SmartLink IPSec VPN。只需輸入 VPN 伺服器 IP、用戶名、密碼等
三個參數,即可完成 IPSec VPN 建置。讓企業享有 VPN 的優點,而不必顧慮技術及管理上的困難。中央控制
的功能,可以隨時通過此功能遠端登錄到用戶端進行中央控管,安全及保密性絕對符合 IPSec 精神。支援備援
功能,斷線可從另一個 WAN 自動建立連線,確保 VPN 服務永不斷線。
此說明書用以說明每一個功能的設定方法與細節,若是您對於路由器如何連上網路的設定並不十分清楚,
建議您先閱讀 “快速安裝說明”,可以讓您快速的將路由器連上網路,並在必要時取得技術人員的遠端支援。
您可上網 www.Qno.com.tw 進行線上登錄,以取得最新俠諾產品資訊及應用實例,更加善用您的俠諾產品。
_____________________________________________________________________________________________________
此為 FCC Class A 級產品,在生活環境中該產品可能會造成無線電干擾,在這種情況下可能需要使用者對其
干擾採取確實可行措施。
_____________________________________________________________________________________________________
6
#
配置
內容
目的
1
硬體安裝
構造用戶需要的網路
根據用戶實地網路的要求來安裝路由器硬體。
Gigabit 網路安全路由器
二、多 WAN 路由器配置操作流程
本章節介紹用戶整體配置多 WAN 路由器操作流程,通過對路由器多 WAN 配置流程的瞭解可以很輕鬆的配
置我們的網路,來有效的管理我們的網路,使路由器達到應有的功能,使路由器的效能達到最高。
2.1 系統性配置流程的需要
用戶可以通過以下操作流程配置我們的網路,能夠使我們的網路能夠有效利用頻寬,網路效能達到理想的
效果,同時可以阻斷一些攻擊與預防一些安全隱患,通過流程配置更加方便用戶的安裝與操作,簡化維護管理
的難度,使得用戶的網路配置一次到位。配置主要流程如下:
1、 硬體安裝。
2、 登錄配置視窗。
3、 確定設備規格及進行密碼和時間設置。
4、 進行廣域網連線的配置:進行內部連線的配置。
5、 進行內部連線的配置:實體線路配置及 IP 位址配置
6、 進行 QoS 頻寬管理配置:防止頻寬佔用情況。
7、 進行防火牆配置:預防攻擊及不當存取網路資源。
8、 其他特別配置:開放伺服器、UPnP、DDNS、MAC Clone。
9、 管理維護的配置系統日誌、SNMP、及設定參數備份登出配置視窗。
10、 登出配置視窗
2.2 配置流程表
下表主要闡述每個配置流程相對應的路由器管理內容以及此配置所達到的目的,如需詳細瞭解每步過程以
及後面章節介紹所對應的內容可參考(附錄一、配置界面及使用手冊章節對照)。
7
2
登錄配置視窗
從計算器 Web 接入路由
器配置視窗,瞭解系統資
訊
登錄路由器的 Web 管理頁面。
3
確定設備規格
確定產品軟體版本以及
路由工作情況
確定路由器規格,系統軟體版本,以及路由器工
作狀況。
進行密碼及時間設置
設定時間及修改密碼
安全的考慮修改登錄密碼。
設定路由器時間與廣域網路同步。
4
進行廣域網連線的配
置
確定廣域網線路配置、頻
寬調配、及協定綁定
連接廣域網路,通過頻寬的配置等能更好的利用
頻寬,優化資料轉發能力。
5
進行內部連線的配
置:實體線路配置及
IP 位址配置
埠鏡像及 VLAN 配置。內
部用戶 IP 的分配群組及
管理
應地區需求提供埠鏡像功能,同時改進埠管理及
VLAN 的配置滿足內網相關需求,彈性提供固定
IP/DHCP 自動 IP 位址分配,方便用戶在不同網
路環境的需要。IP 群組管理對一組 IP 位址做相
同配置,簡化管理工作。
6
進行 QoS 頻寬管理配
置,防止頻寬佔用情
況的發生
廣域網埠、內部用戶或應
用流量及連線數的限制
確保網路重要資訊不致延遲、確保網路重要應用
服務連線順暢;進一步針對現有的頻寬進行管理
運用,讓有限的頻寬資源發揮最大的效用。
7
進行防火牆配置,預
防攻擊及不當存取網
路資源
攻擊阻擋、訪問規則及網
頁存取限制
當內網用戶使用 BT、點點通影響其他人上網、
員工上班時間不正當上網以及使用 MSN、QQ、
Skype 影響工作效率;當網速因被駭客攻擊而受
影響或內網用戶常被蠕蟲及 ARP 軟體所苦;網
管可依據需求設置內外網路存取規則,以進一步
管控員工個別上網行為。
8
其他特別配置:開放
伺服器、UPnP、
DDNS、MAC 克隆
針對內部設定開放伺服
器、UPnP、路由模式、
多廣域網 IP、DDNS、
Mac 克隆
高級管理配置完成對網路的更高一步要求,構建
內部開放伺服器,虛擬伺服器,UPnP 通訊協定
的設置,配置動態路由或者靜態路由,一對一
NAT 配置,動態網域名稱解析服務與 Mac 位址
克隆。
9
管理維護的配置:系
統日誌、SNMP、及設
定參數備份
路由器工作情況監測、系
統參數的備份
網管可藉此功能查看系統日誌、即時監控系統狀
態及內外流量,確保內網運作無誤。
10
登出配置視窗
離開配置視窗
登出退出路由器 Web 管理頁面。
Gigabit 網路安全路由器
下面我們就根據這個流程來配置完成我們的網路設置。
8
LED
顏色
意義
Power-電源
綠燈
綠燈亮:電源開啟連接
DIAG-自我測試
橘燈
橘燈亮:系統尚未完成開機自我檢測功能.
橘燈熄滅:系統已經正常完成開機自我檢測功能.
DMZ-DMZ 口連線狀態
綠燈
綠燈亮:乙太網路連線正常
綠燈閃爍:乙太網路埠正在傳送/接收封包資料傳輸
100M
橘燈
橘燈亮:乙太網路連線在 100Mbps 的速度
1000M
綠燈
綠燈亮:乙太網路連線在 1000Mbps 的速度
WAN 廣域埠
綠燈
綠燈亮:廣域埠 WAN 已經連線並取得 IP 位址
動作
意義
按住 Reset 按鈕 5 秒
熱開機,重新啟動 Gigabit 路由器
DIAG 燈號:橘色燈號慢慢閃爍
按住 Reset 按鈕 10 秒以上
恢復原出廠預設值
DIAG 燈號:橘色燈號快閃
注意!
為了產品的正常運行,請勿自行更換電池,以免造成產品無法恢復的損壞!
三、硬體安裝
本章介紹產品的硬體界面以及實體安裝。
3.1 路由器前面板以及 LED 顯示燈
LED 燈號說明
Gigabit 網路安全路由器
硬體恢復 (Reset) 按鍵
系統內建電池
Gigabit 路由器內建有系統時間的電池,此電池的壽命約為 1~2 年,當電池已經無法充電或是使用壽命到
達後,Gigabit 路由器將無法記錄時間或是連接互聯網同步 NTP 時間伺服器。您必須與您的供應商聯繫,以便
取得更換電池技術。
將 Gigabit 路由器安裝在 19”標準機架上
建議您可以將 Gigabit 路由器放置於桌上使用,或是您有機房專用 19 吋標準機架的話,可以將 Gigabit 路
9
注意!
為了產品的穩定運行,無論您是如何放置路由器,請不要阻塞產品兩側通風口的任何一側,並保持
通風口有 10 釐米以上的通風空間!
Gigabit 網路安全路由器
由器安裝於機架上,每一台 Gigabit 路由器都有配備專用連接機架配件。當您安裝 Gigabit 路由器於機架上的時
候,請注意不要將其他過重的物品堆疊或是放置於機器上,以免因重量過重無法承受而發生危險或是損傷機器
本體。
每一台 Gigabit 路由器都有配備專用連接機架配件,包含 2 只 L 型鎖附架以及八顆專用螺絲,用來將 Gigabit
路由器安裝在機架上使用。安裝於您的 19 吋標準機架上的方法如下圖所示:
10
3.2 連接 Gigabit 路由器到您的網路上
Gigabit 網路安全路由器
廣域網路連線:WAN 埠可以連接如 xDSL Modem 等接入互聯網。
區域網路連線:LAN 埠可以連接如 Switch HUB 或是 PC 連線及內部伺服器。LAN 1 埠可以設定為鏡像埠,
請在“網路埠管理”中做設定,設定完成即可直接將監控或過濾伺服器接在此埠使用。
DMZ 埠:此埠可以連接如 Switch HUB 或是具有外部合法 IP 位址的伺服器,如網頁伺服器以及電子郵件
伺服器等。
11
注意!
當 “ipconfig” 不能獲得 IP 位址以及預設閘道的情況,或者獲得的 IP 地址為 0.0.0.0 以及 169.X.X.X
的情況,就是路由器並沒有分配到 IP 地址,建議用戶檢查線路是否有問題,電腦網卡是否接好等。
Gigabit 網路安全路由器
四、登錄路由器
本章主要是在客戶連接好路由器後,通過連接路由器的電腦登錄路由器的 Web 管理頁。
首先在連接到路由器 LAN 端的電腦(確定電腦是自動獲得 IP 地址)上的 DOS 下查找路由器的 IP 位址,
點開始→運行,輸入 cmd 進入 DOS 操作,再輸入 ipconfig→確認,查到預設閘道(Default Gateway)地址如
圖,192.168.1.1。確認預設閘道也就是路由器的預設 IP 地址。
12
注意!
為了安全,我們強烈建議您務必在登錄之後更改管理密碼!密碼請牢記,若是密碼忘記,將無法再
登錄至路由器的設定視窗,必須點擊面板上的 Reset 按鍵十秒以上,恢復到出廠值,其所有配置將需要
重新設定。
Gigabit 網路安全路由器
然後開啟網頁流覽器 (如 IE),在網址欄輸入 192.168.1.1 (路由器的預設閘道),會出現以下的登錄視窗:
Gigabit 路由器路由器預設的使用者名稱(User Name)與使用者密碼(Password)皆為“admin”,您可以於稍後
設定時更改此登錄密碼。
登錄後,就會顯示路由器的 Web 管理頁面,在其頁面的右上角選擇路由器操作的語言模式,選中的圖示將
變成藍色,這裏選擇“繁體”(繁體中文版本),如圖。
13
廣域網 P 地址:
此為顯示 Gigabit 路由器路由器的 WAN 端目前的 IP 位址資訊。
預設閘道 IP 地址:
此為顯示 ISP 分配給 Gigabit 路由器路由器 WAN1~WAN5 的閘道 IP
位址資訊。
DNS 解析服務位址:
此為顯示路由器的 DNS 的 IP 位址資訊。
連線狀態:
此為顯示 Gigabit 路由器路由器每個 WAN 目前的連線數目。
下載頻寬使用率:
此為顯示 Gigabit 路由器路由器每個 WAN 目前的下載頻寬使用比例。
上傳頻寬使用率:
此為顯示 Gigabit 路由器路由器每個 WAN 目前的上傳頻寬使用比例。
DDNS 動態網域名稱服務:
此為顯示路由器的 DDNS 是否啟動的狀態資訊。系統預設此功能為關
Gigabit 網路安全路由器
五、確定設備規格、狀態顯示以及登錄密碼和時間的設定
本章介紹登錄軟體設定視窗後進入首頁可以瞭解到的設備規格以及設備工作狀態資訊,還有因安全考慮需
要用戶即時修改登錄密碼與系統時間設定。
5.1 首頁顯示
首頁顯示 Gigabit 路由器防火牆路由器目前系統所有參數以及狀態顯示資訊。
5.1.1 系統資訊
14
閉。
網路品質服務配置(QoS):
此為顯示路由器的網路品質服務(QoS)是否開啟。
手動連線:
當使用者選擇自動取得 IP 位址時,他會顯示二個按鈕分別為釋放與更
新。使用者可以點擊釋放按鈕去做釋放 ISP 端所核發的 IP 位址,以及
點擊更新按鈕去做更新 ISP 端所核發的 IP 位址。當選擇 WAN 端連線
使用如 PPPoE 或是 PPTP 的話,它會變為顯示“連機”與“中斷”。
DMZ (WAN5/DMZ共用) IP地址:
此為顯示路由器 DMZ 目前的 IP 位址設定資訊。
5.1.2 硬體埠狀態即時顯示
Gigabit 網路安全路由器
此視窗會顯示系統各埠目前即時狀態:(連線-已經連接,啟動-此埠處於開啟狀態,關閉-此埠處於關閉狀態)。
您可以點擊此狀態按鈕,在彈出的視窗中查看各埠更詳細的資料顯示。如下圖:
15
Gigabit 網路安全路由器
此表會顯示目前該埠設定狀態,如網路連接狀態(10Base-T/100Base-TX/1000Base-T),界面位置(廣域網
1~5/局域網1~5/DMZ),線路連接狀態(啟動/關閉),埠配置狀態(埠啟動/埠關閉),高低優先權(高級/一般),
網路連接速率(10Mbps/100Mbps/1000Mbps),工作模式(半雙工/全雙工),乙太網自動偵測(啟動/關閉) 。 於此
專案表格中,會顯示此埠的接收和傳送的封包數以及封包傳送 Byte 數及封包錯誤率等並計算總數量。
5.1.3 本機信息
16
Gigabit 網路安全路由器
區域網界面 IP位址: 此為顯示 Gigabit路由器路由器本身的 LAN 端目前 IP 位址,系統預設為 192.168.1.1。
工作模式: 此為顯示路由器的目前工作模式(可為 NAT 模式或是路由模式)。系統預設此功能為 NAT
Gateway 模式。
主機工作時間:此為顯示 Gigabit 路由器 目前已經開機的時間。
主機序列號:此為顯示 Gigabit 路由器 的產品序號。
韌體版本資訊: 此為顯示 Gigabit 路由器 目前使用的韌體版本。
目前正確時間:此顯示 Gigabit 路由器 目前正確時間,但必須注意,您需要正確設定與遠端 NTP 伺服器的
時間同步後才會正確顯示。
CPU 使用率:顯示目前路由器系統所使用的 CPU 百分比。
實體記憶體使用率:顯示目前路由器系統所使用的實體記憶體百分比。
目前總連線數量:目前路由器網路連線 (Session) 總數。
5.1.4 網路安全資訊
SPI 封包狀態偵測: 此為顯示路由器的 SPI 封包偵測過濾防火牆功能選項是否啟動(啟動/關閉)。系統預設
此功能為關閉。
防止 DoS 攻擊: 此為顯示路由器的阻斷來自網路上的 DoS 攻擊功能選項是否開啟(啟動/關閉)。系統預設
此功能為關閉。
不回應廣域網路端請求: 此為顯示路由器的阻斷來自網路 上的 ICMP-Ping 的回應功能選項是否啟動(啟動
/關閉)。系統預設此功能為關閉。
17
傳送日誌到:
此為顯示您所設定路由器的日誌記錄接收的伺服器。
E-mail 傳送日誌:
(未來支援)
此為顯示您所設定的 E-mail 位址,路由器的日誌記錄經由此 E-mail 傳送出去。
Gigabit 網路安全路由器
防止 ARP 攻擊: 此為顯示路由器防止 ARP 攻擊的功能選項是否啟動(啟動/關閉)。系統預設此功能為關閉。
遠距管理: 此為顯示路由器的遠端管理功能選項是否啟動(啟動/關閉)。系統預設此功能為關閉。
訪問規則設定: 此為顯示路由器的訪問規則設置的數目。
5.1.5 日誌記錄配置狀態顯示
E-Mail 的鏈結將會連到系統日誌設定視窗中:
1. 若您沒有設定電子郵件伺服器于系統日誌設定中, 將顯示 “郵件無法傳送,因為沒有配置 SMTP 伺
服器正確位址”——表示您沒設定電子郵件伺服器所以無法發送系統日誌電子郵件。
2. 若您已經設定電子郵件伺服器于系統日誌設定中, 但是日誌尚未達到設定傳送的條件時,將顯示“郵
件設定已經配置”——表示您的電子郵件伺服器已經設置,但是日誌尚未達到設定傳送的條件時。
3. 若您已經設定電子郵件伺服器于系統日誌設定中,日誌也已經傳送出去時,它將顯示 “郵件設定已
經配置並正常發送”——表示您的電子郵件伺服器已經設置,並且已經發送。
4. 若您已經設定電子郵件伺服器于系統日誌設定中, 但是日誌無法正確傳送出去時,它將顯示 “郵件
不能發送,請使用正確的配置”——電子郵件伺服器已經設置,但是無法傳送出去,可能是設定有問
題。
18
使用者名稱:
出廠初始值預設為 admin。
密碼:
填寫原本舊密碼(出廠初始值預設為“admin”)。
輸入新使用者名稱:
輸入新用戶名,如 Qno。
輸入新密碼:
填寫要更改的新密碼。
再次輸入新密碼:
再次填寫更改的新密碼以確認。
確定:
點擊此按鈕“確定”存儲剛才所修改設定的內容參數。
取消:
點擊此按鈕“取消”清除剛才所修改設定的內容參數,此操作必須於“確定” 存儲動
作之前才會有效。
Gigabit 網路安全路由器
5.2 登錄密碼及時間的修改和設定
5.2.1 密碼設定
當您每次登錄 Gigabit 路由器的設定視窗時,必須輸入密碼。Gigabit 路由器的用戶名和密碼出廠值均為
“admin”。考慮安全因素,我們強烈建議您務必在第一次登錄並完成設定之後更改管理密碼!密碼請牢記,若是
密碼忘記,將無法再登錄路由器的設定窗口,必須點擊 Gigabit 路由器前面板上的 Reset 按鍵十秒以上,恢復
到出廠值,所有設定值將需要重新設定。
如果用戶已經修改了用戶名以及密碼,需要恢復到出廠時的用戶名及密碼,需要用現有用戶名登錄後輸入
新用戶名以及新密碼分別為“admin”, 再點擊按鈕“確定”即會存儲剛才所變動的修改設定內容參數;點擊 “取消”
按鈕即會清除剛才所變動的修改設定內容參數,此操作必須於確認存儲動作之前才會有效。如下圖:
19
時區選擇:
點開下拉功能表選擇您所在地點的時區以正確顯示當地時間。
日光節約時間:
若是您所的地區有實施日光節約時間,可以輸入實施的日期範圍,路由器會在此日
期範圍自動調整時間。
時間伺服器地址:
若是您自己有偏愛使用的時間伺服器,可以輸入該伺服器的位址。
確定:
點擊此按鈕即會存儲剛才所變動的修改設定內容參數。
Gigabit 網路安全路由器
5.2.2 系統時間設定
Gigabit 路由器 可以設定時間,讓您在查看 Gigabit 路由器的系統紀錄或設置網路存取的時間設定時,可以
瞭解事件發生的正確時間,以及作為關閉存取或是開放存取網路資源的依據條件。您可以選擇與 Gigabit 路由器
內建的外部時間伺服器(NTP 伺服器)取得時間同步,或自己設定正確時間參數。
設定自動與網路上的 NTP 伺服器同步時間:Gigabit 路由器 有內建的網路時間伺服器,會自動同步時間。
20
取消:
點擊此按鈕即會清除剛才所變動的修改設定內容參數,此操作必須於確認存儲動作
之前才會有效。
手動輸入日期時間參數: 在這輸入正確的時間:小時、分鐘、秒、月份、日與年份。
Gigabit 網路安全路由器
點擊“確認”按鈕即會存儲剛才所修改的設定內容參數,點擊此按鈕“取消”即會清除剛才所修改的設定內容參
數,此操作必須於確認存儲動作之前才會有效。
21
Gigabit 網路安全路由器
六、進行廣域網路連線配置
本章節講述基本的廣域網路設置,對大多數的用戶來說,通過本章節完成基本的設定已經足夠連接網路。
網路的連接需要一些 ISP 所提供的進一步詳細資訊。其詳細項目設定,請參考以下各節說明:
6.1 網路設定
6.1.1 主機名稱及網域名稱
22
Gigabit 網路安全路由器
可輸入路由器的名稱(主機名稱)以及網域名稱,此設定在大多數環境中不需要做任何設定即可使用,除
非特殊 ISP 需求!
6.1.2 局域 LAN 界面配置
為顯示並設定路由器的 LAN 端內部網路的設定。LAN 端 MAC 位址可以做修改,通常用在替換舊的路由器
設備時,將 LAN 端的 MAC 地址改為與舊的路由器相同,LAN 端 PC 所做的 Gateway ARP 綁定就不需要再重
新設定過。若要做修改,請按下”IP 整合管理”,在彈出視窗做設定。
IP 整合管理:
IP 整合管理的設置視窗可以設定局域網路(LAN) IP、動態 IP(DHCP)發放範圍。
23
Gigabit 網路安全路由器
局域網路(LAN)設定:
系統預設 LAN IP 為 192.168.1.1,子網路遮罩為 255.255.255.0,您可以依照實際網路架構做變動。
Multiple-Subnet 多子網配置:
勾選“多個子網”,並填入您想要增加的子網路 IP 地址以及子網路遮罩,即可增加新的子網在局域網路。此
功能是將不同于路由器局域網段的其他網段 IP 加入到路由器認可的局域網段中,這樣局域網中的 PC 若是已經
設定的 IP 所在的網段不同于路由器的局域網段也可以直接上網。舉例來說,原來內部環境已經有多組不同的 IP
網段,例如 192.168.3.0, 192.168.20.0, 192.168.150.0 等等,將這些網段加入到子網中,則這些網段的內
部電腦不需做任何修改就可以上網,這裏可以依照您的實際網路架構運作。
動態 IP:
24
起始 IP 位址:
系統預設為四個網段從 192.168.1.100、192.168.2.100、192.168.3.100、
192.168.4.100 的 IP 位址開始發放。您可以依照實際需求來設定。
終止 IP 地址:
系統預設為四個網段 192.168.1.149、192.168.2.149、192.168.3.149、
192.168.4.149IP 位址為最後發放 IP,也就是說出廠設定值每個網段可供
50 台電腦自動取得 IP 位址,四個網段共 200 台電腦自動取得 IP 位址。您
可以依照實際需求來設定。
Gigabit 網路安全路由器
路由器有四組 Class C 的 DHCP 伺服器,預設值是啟動,可以提供區域網路內的電腦自動取得 IP 的功能,
(如同 NT 伺服器中的 DHCP 服務), 好處是每台 PC 不用去記錄與設定其 IP 位址,當電腦開機後,就可從路
由器自動取得 IP 位址,管理方便。
6.1.3 廣域網路 WAN 及非軍事區設定
廣域網網路連線型態設定:
界面位置:廣域網連線所在 WAN 界面位置。
線路連線狀態:此項顯示該廣域網口目前設定的連線狀態。Gigabit路由器提供五種連線狀態設定:自動取
得 IP 位址;固定 IP 地址;PPPoE 撥號連線;PPTP 撥號連線以及透明橋接模式。
配置:點擊“編輯”按鈕可以進入廣域網連線狀態的設置視窗。各類型的連線狀態設定請參考以下的說明,並
選擇配合 ISP 所給您的連線狀態來做設置。
自動取得 IP 位址:
此為路由器系統預設的連線方式,此連線方式為 DHCP 用戶端自動取得 IP 模式,多為應用於如線纜數據
機或是 DHCP 用戶端連線狀態等連接,若您的連線為其他不同的方式,請選取相關的設定並參考以下的介紹做
設置。
在自動取得 IP 模式,您可以使用自定 DNS 的 IP 位址,勾選此選項並填入您要使用的 DNS 伺服器 IP 位
址。
25
使用以下的 DNS 伺服器 IP 位址:
選擇使用自定的 DNS 伺服器 IP 位址。
DNS 伺服器:
輸入您的 ISP 所提供的網域名稱解析伺服器 IP 位址,最少填入一組,最
多可填二組。
啟用掉線排程:
勾選此功能會啟用廣域網中斷連線排程的機制。在某些區域,廣域網的連
線服務會有時間的限制,例如從淩晨 12:00 到清晨 6:00 之間六個小
時,光纖連線服務會中斷。雖然路由器有備援機制,此操作當此廣域網斷
線的瞬間,所有經由該廣域網對外訪問的連線也會因此中斷,重新連接
時,才會經由備援機制走其他廣域網出去。因此,為了避免在廣域網斷線
的瞬間大量的連線被切斷,您可以啟用此機制在此廣域網斷線前一段時
間,先將新增的連線經由其他廣域網出去外網訪問,可以減少此廣域網斷
線時的衝擊。
廣域網掉線時間:
輸入此廣域網中斷連接服務的規則時間。
掉線排程:
輸入您希望在此廣域網中斷連接服務之前多長時間開始將新增的連線經
由其他廣域網出去外網訪問。
備援線路接口位置:
若是此廣域網有設定通訊埠綁定,請選擇要由哪一個廣域網口做備援。通
常您應該選擇與此廣域網同一個 ISP 連線的廣域網口。
Gigabit 網路安全路由器
點擊此按鈕“確認”即會存儲剛才所變動的修改設定內容參數,點擊此按鈕“取消”即會清除剛才所變動的修改
設定內容參數,此操作必須於確認存儲動作之前才會有效。
固定 IP 位址連線:
若您的 ISP 有核發固定的 IP 地址給您(如 1 個 IP 或是 8個 IP 等),請您選擇此種方式連線,將 ISP 所核發
26
IP 地址:
輸入您的 ISP 所核發的可使用固定 IP 位址的其中一個。
子網路遮罩:
輸入您的 ISP 所核發的可使用固定 IP 位址的子網路遮罩,如:
發放 8 個固定 IP 地址:255.255.255.248
發放 16 個固定 IP 地址:255.255.255.240
預設閘道:
輸入您的 ISP 所核發的可使用固定 IP 位址的預設閘道,若您是使用 ADSL 的話,
一般說來都是 ADSL 資料機(ATU-R)的 IP 位址。
DNS 伺服器:
輸入您的 ISP 所規定的名稱解析伺服器 IP 地址,最少填入一組,最多可填二組。
啟用掉線排程:
勾選此功能會啟用廣域網中斷連線排程的機制。在某些區域,廣域網的連線服務
會有時間的限制,例如從淩晨 12:00 到清晨 6:00 之間六個小時,光纖連線
服務會中斷。雖然路由器有備援機制,此操作當此廣域網斷線的瞬間,所有經由
該廣域網對外訪問的連線也會因此中斷,重新連接時,才會經由備援機制走其他
廣域網出去。因此,為了避免在廣域網斷線的瞬間大量的連線被切斷,您可以啟
用此機制在此廣域網斷線前一段時間,先將新增的連線經由其他廣域網出去外網
訪問,可以減少此廣域網斷線時的衝擊。
廣域網掉線時間:
輸入此廣域網中斷連接服務的規則時間。
掉線排程:
輸入您希望在此廣域網中斷連接服務之前多長時間開始將新增的連線經由其他
廣域網出去外網訪問。
備援線路接口位置:
若是此廣域網有設定通訊埠綁定,請選擇要由哪一個廣域網口做備援。通常您應
該選擇與此廣域網同一個 ISP 連線的廣域網口。
的 IP 資訊分別參照以下介紹填入相關設定參數中。
Gigabit 網路安全路由器
27
使用者名稱:
輸入您的 ISP 所核發的使用者名稱。
密碼:
輸入您的 ISP 所核發的使用密碼。
閒置斷線:
此功能能夠讓您的 PPPoE 撥接連線能夠使用自動撥號功能,當使用端若是
有上網需求時,Gigabit 路由器 會自動向預設的 ISP 自動撥號連線,當網路
一段時間閒置無使用時,則系統會自動離線。您可以自行輸入所需要的無封
包傳送自動離線等待時間,預設為 5 分鐘。
保持連線:
此功能能夠讓您的 PPPoE 撥接連線能夠斷線自動重撥,您可以自行設定重
新撥接的時間,預設值為 30 秒。
Gigabit 網路安全路由器
點擊此按鈕“確認”即會存儲剛才所變動的修改設定內容參數,點擊此按鈕“取消”即會清除剛才所變動的修改
設定內容參數,此操作必須於確認存儲動作之前才會有效。
PPPoE 撥號連線:
此項為 ADSL 虛擬撥號使用(適用於 ADSL PPPoE),填入 ISP 給予的使用者連線名稱與密碼並以路由器內
建的 PPP Over Ethernet 軟體連線,若是您的 PC 之前已經有安裝由 ISP 所給予的 PPPoE 撥號軟體的話,請
將其移除,不需要再使用此個別連接網路。
28
啟用掉線排程:
勾選此功能會啟用廣域網中斷連線排程的機制。在某些區域,廣域網的連線
服務會有時間的限制,例如從淩晨 12:00 到清晨 6:00 之間六個小時,
光纖連線服務會中斷。雖然路由器有備援機制,此操作當此廣域網斷線的瞬
間,所有經由該廣域網對外訪問的連線也會因此中斷,重新連接時,才會經
由備援機制走其他廣域網出去。因此,為了避免在廣域網斷線的瞬間大量的
連線被切斷,您可以啟用此機制在此廣域網斷線前一段時間,先將新增的連
線經由其他廣域網出去外網訪問,可以減少此廣域網斷線時的衝擊。
廣域網掉線時間:
輸入此廣域網中斷連接服務的規則時間。
掉線排程:
輸入您希望在此廣域網中斷連接服務之前多長時間開始將新增的連線經由
其他廣域網出去外網訪問。
備援線路接口位置:
若是此廣域網有設定通訊埠綁定,請選擇要由哪一個廣域網口做備援。通常
您應該選擇與此廣域網同一個 ISP 連線的廣域網口。
Gigabit 網路安全路由器
點擊此按鈕“確認”即會存儲剛才所變動的修改設定內容參數,點擊此按鈕“取消”即會清除剛才所變動的修改
設定內容參數,此操作必須於確認存儲動作之前才會有效。
PPTP 撥號連線:
此項為 PPTP (Point to Point Tunneling Protocol) 計時制使用,填入 ISP 給予的使用者連線名稱與密碼並
以路由器內建的 PPTP 軟體連線。
29
IP 地址:
輸入您的 ISP 所核發的可使用固定 IP 位址的其中一個。
子網路遮罩:
輸入您的 ISP 所核發的可使用固定 IP 位址的子網路遮罩。
預設閘道:
輸入您的 ISP 所核發的可使用固定 IP 位址的預設閘道,若您是使用 ADSL
的話,一般說來都是 ATU-R 的 IP 位址。
使用者名稱:
輸入您的 ISP 所核發的使用者名稱。
密碼:
輸入您的 ISP 所核發的使用密碼。
閒置斷線:
此功能能夠讓您的 PPTP 撥接連線能夠使用自動撥號功能,當使用端若是有
上網需求時,Gigabit 路由器 會自動向預設的 ISP 自動撥號連線,當網路一
段時間閒置無使用時,則系統會自動離線。無封包傳送的自動離線時間預設
為 5 分鐘,您可以自行輸入所需要的自動離線等待時間。
保持連線:
此功能能夠讓您的 PPTP 撥接連線能夠斷線自動重撥,而且可以自行設定重
新撥接的時間,預設值為 30 秒。
Gigabit 網路安全路由器
30
啟用掉線排程:
勾選此功能會啟用廣域網中斷連線排程的機制。在某些區域,廣域網的連線
服務會有時間的限制,例如從淩晨 12:00 到清晨 6:00 之間六個小時,
光纖連線服務會中斷。雖然路由器有備援機制,此操作當此廣域網斷線的瞬
間,所有經由該廣域網對外訪問的連線也會因此中斷,重新連接時,才會經
由備援機制走其他廣域網出去。因此,為了避免在廣域網斷線的瞬間大量的
連線被切斷,您可以啟用此機制在此廣域網斷線前一段時間,先將新增的連
線經由其他廣域網出去外網訪問,可以減少此廣域網斷線時的衝擊。
廣域網掉線時間:
輸入此廣域網中斷連接服務的規則時間。
掉線排程:
輸入您希望在此廣域網中斷連接服務之前多長時間開始將新增的連線經由
其他廣域網出去外網訪問。
備援線路接口位置:
若是此廣域網有設定通訊埠綁定,請選擇要由哪一個廣域網口做備援。通常
您應該選擇與此廣域網同一個 ISP 連線的廣域網口。
Gigabit 網路安全路由器
點擊此按鈕“確認”即會存儲剛才所變動的修改設定內容參數,點擊此按鈕“取消”即會清除剛才所變動的修改
設定內容參數,此操作必須於確認存儲動作之前才會有效。
透明橋接模式:
當您內網的電腦 IP 已經都是公網 IP 而不希望將內網都改成私網 IP(例如 192.168.1.X)時,此功能可以讓您
不需更動原有架構,立即整合到既有網路中。選擇廣域網連線方式為透明橋接模式,這樣您可以保留內網電腦
的 IP 設定為原本的公網 IP 仍然可以正常上網。
當您設定兩個廣域網時,廣域網的連線模式選擇此種透明橋接模式,還是可以做到負載均衡。
31
IP 地址:
輸入您的 ISP 所核發的可使用固定 IP 位址的其中一個。
子網路遮罩:
輸入您的 ISP 所核發的可使用固定 IP 位址的子網路遮罩,如:
255.255.255.240
預設閘道:
輸入您的 ISP 所核發的可使用固定 IP 位址的預設閘道,若您是使用
ADSL 的話,一般說來都是 ATU-R 的 IP 位址。
DNS 伺服器:
輸入您的 ISP 所規定的名稱解析伺服器 IP 地址,最少填入一組,最多
可填二組。
內部 IP 位址:
輸入您的 ISP 所核發的可使用固定 IP 範圍。若是您的 ISP 分給您兩個
不連續的 IP 位址範圍,您可以分別填入“內部 IP 位址 1 ~ 5”。
Gigabit 網路安全路由器
32
啟用掉線排程:
勾選此功能會啟用廣域網中斷連線排程的機制。在某些區域,廣域網
的連線服務會有時間的限制,例如從淩晨 12:00 到清晨 6:00 之間
六個小時,光纖連線服務會中斷。雖然路由器有備援機制,此操作當
此廣域網斷線的瞬間,所有經由該廣域網對外訪問的連線也會因此中
斷,重新連接時,才會經由備援機制走其他廣域網出去。因此,為了
避免在廣域網斷線的瞬間大量的連線被切斷,您可以啟用此機制在此
廣域網斷線前一段時間,先將新增的連線經由其他廣域網出去外網訪
問,可以減少此廣域網斷線時的衝擊。
廣域網掉線時間:
輸入此廣域網中斷連接服務的規則時間。
掉線排程:
輸入您希望在此廣域網中斷連接服務之前多長時間開始將新增的連線
經由其他廣域網出去外網訪問。
備援線路接口位置:
若是此廣域網有設定通訊埠綁定,請選擇要由哪一個廣域網口做備
援。通常您應該選擇與此廣域網同一個 ISP 連線的廣域網口。
Gigabit 網路安全路由器
點擊此按鈕“確認”即會存儲剛才所變動的修改設定內容參數,點擊此按鈕“取消”即會清除剛才所變動的修改
設定內容參數,此操作必須於確認存儲動作之前才會有效。
路由 NAT 混合模式:
當您申請的線路連線方式是使用公網 IP 而且必須使用路由模式來與局端連線,此功能可以讓您內網電腦的
IP 設定為這條線路所需要使用的公網 IP 來正常上網,其餘設為私有 IP 的電腦一樣可以經由 NAT 方式來正常上
網。
當您設定多個廣域網時,廣域網的連線模式選擇此種路由 NAT 混合模式,還是可以做到負載均衡。
33
廣域網路 IP 地址:
輸入您的 ISP 所提供與局端連線的路由 IP 位址。
子網路遮罩:
輸入您的 ISP 所提供與局端連線的路由 IP 位址的子網路遮罩,如:
255.255.255.240
廣域網預設閘道:
輸入您的 ISP 所所提供與局端連線的路由 IP 位址的預設閘道。
DNS 伺服器:
輸入您的 ISP 所規定的名稱解析伺服器 IP 地址,最少填入一組,最多
可填二組。
局域網路由預設閘道:
輸入您的 ISP 所核發的可使用固定 IP 範圍的其中一個 IP 地址作為預
設閘道。
Gigabit 網路安全路由器
34
局域網 IP 地址範圍:
輸入您的 ISP 所核發的可使用固定 IP 範圍。若是您的 ISP 分給您兩個
不連續的 IP 位址範圍,您可以分別填入“局域網 IP 位址範圍 1”以及“局
域網 IP 位址範圍 2”。
若是您的 ISP 分給您多個不同子網段的 IP 位址範圍,您可以填入其他
的”局域網路由預設閘道”以及” 局域網 IP 位址範圍”。
Gigabit 網路安全路由器
點擊此按鈕“確認”即會存儲剛才所變動的修改設定內容參數,點擊此按鈕“取消”即會清除剛才所變動的修改
設定內容參數,此操作必須於確認存儲動作之前才會有效。
非軍事區(DMZ):
對於某些網路環境應用來說,可能會需要用到獨立的 DMZ 非軍事管制區界面來置放對外服務伺服器,如
WWW 網頁伺服器與 Mail 電子郵件伺服器等等。Gigabit 路由器 提供您獨立的 DMZ 界面來設定連接有合法 IP
位址的伺服器。此 DMZ 界面是從網路或局域網存取對外伺服器內容的溝通橋樑。
在某些型號上,WAN5 與 DMZ 端口是互相切換。您可以依據實際需要來選擇使用 WAN5 或是獨立的 DMZ
端口。
IP 地址:此項顯示您給予 DMZ 埠的 IP 地址或範圍。
配置:點擊“編輯”按鈕可以進入 DMZ 的設置視窗。請參考以下的設定說明。
此 DMZ 的設定可分為 Subnet、Range、以及 與路由 NAT 混合模式局域網 IP 同網段 三種:
子網路
Subnet:
DMZ 與廣域網路 WAN 要在不同的子網路 Subnet 中。
就是若 ISP 端分配給您 16 個合法 IP 如:220.243.230.1-16/子網路遮罩:255.255.255.240 時,您必須將
此 16 個 IP 再切兩組變成 220.243.230.1-8 /子網路遮罩:255.255.255.248 及另一組 220.243.230.9-16/子網路
遮罩:255.255.255.248,然後路由器及閘道是在同一組,再將另一組設定在 DMZ 中。
35
DMZ IP 地址:
输入在 DMZ 端口的 IP 代表地址。
子網路遮罩:
输入在 DMZ 端口的 IP 子网掩码。
界面:
選擇 DMZ 是與哪一個 WAN 口的 IP 位址在相同的子網路遮罩。
IP 地址範圍:
輸入在 DMZ 埠的 IP 範圍。
Gigabit 網路安全路由器
範圍:
DMZ
DMZ 與廣域網路 WAN IP 地址在相同的子網路 Subnet。
與路由
DMZ 與路由 NAT 混合模式的局域網 IP 地址在相同的子網路 Subnet。
NAT
混合模式局域網IP同網段:
36
局域網路由預設閘道:
輸入您在”路由 NAT 混合模式”所設定的局域網路由預設閘道。
局域網 IP 地址範圍:
輸入您的 ISP 所核發的可使用固定 IP 範圍中您要用來作為 DMZ 服務
器的 IP 範圍。
若是您的 ISP 分給您多個不同子網段的 IP 位址範圍,您可以填入其他
的”局域網路由預設閘道”以及” 局域網 IP 位址範圍”。
Gigabit 網路安全路由器
點擊此按鈕“確認”即會存儲剛才所變動的修改設定內容參數,點擊此按鈕“取消”即會清除剛才所變動的修改
設定內容參數,此操作必須於確認存儲動作之前才會有效。
37
Gigabit 網路安全路由器
6.2 多 WAN 設定
當用戶的連線是採用多 WAN 的線路設計,管理人員可以進入網路連線配置流量管理以及協定綁定欄目對
路由器的負載均衡模式等進行配置,使路由器達到最優資料轉發是網路頻寬效能達到最高。
38
Gigabit 網路安全路由器
39
提示!
不論是連線數均衡或是 IP 負載均衡方式,搭配“通訊協定綁定”可以有更彈性運用您的頻寬,您可將
特定的內網 IP,使用特定應用服務埠作訪問,或特定的目的地 IP 經由您指定的廣域網來訪問外網。
譬如您希望指定 IP 192.168.1.100 訪問外網的時候走廣域網 1,或內網所有 IP 去訪問服務埠 80 時
都是經過廣域網 2,或是內網所有 IP 去目的地 IP 211.1.1.1 訪問時要從廣域網 1 去訪問等等,都可以經
由設定此“通訊協定綁定”功能來達到您的需求。請注意,當使用智慧負載均衡方式搭配“通訊協定綁定”功
能時,除了您指定的訪問會按照您的規則出去訪問外網,其他未被指定的 IP 或服務埠的訪問還是按照路
由器的機制做智慧負載均衡。
關於如何設定“通訊協定綁定”功能,以及智慧負載均衡方式搭配 “通訊協定綁定” 的範例,請參考
(6.2.3 節的通訊協定綁定設定說明)。
Gigabit 網路安全路由器
6.2.1 負載均衡模式
智慧型負載均衡模式:
當您選用智慧負載均衡模式,路由器將以連線數或是 IP 連線數為基礎,並依據您廣域網線路的頻寬來自動
分配連線,達到對外連線的負載均衡。線路的頻寬是依據您所填入的頻寬設定(請參考下一小節設定說明),例如
當兩條廣域網都為上行 512Kbit/sec 時,其自動負載比例為 1:1,當一條線路的上行頻寬為 1024kbit/sec 另一條
為 512kbit/sec 時,則此自動負載比例為 2:1,所以為了確保您的路由器達到實際線路負載能夠均衡,請填入實
際上行下載頻寬(請參考下一小節頻寬設定說明)。
連線數均衡:
配連線,達到連線的負載均衡。
IP
均衡:
分配連線,達到連線的負載均衡。
當您選用連線數均衡模式,路由器將以連線數為基礎,並依據您廣域網線路的頻寬來自動分
當您選用 IP 負載均衡模式,路由器將以連線的 IP 數為基礎,並依據您廣域網線路的頻寬來自動
40
提示!
此指定路由必須配合“通訊協定綁定”功能才能發揮作用。例如指定讓內網去訪問服務埠 80 時都要從
廣域網 1 去訪問,或內網去目的地 IP 211.1.1.1 訪問時要從廣域網 1 去訪問等等,必須要在“通訊協定綁
定”功能中做設定。要注意,當使用指定路由(Specify WAN Binding)模式,以上述的例子來看,除了您指
定的訪問必須按照您的規則出去訪問外網都走廣域網 1 以外,其他未被指定的 IP 或服務埠則經由路由器
負載均衡的機制使用其他的廣域網出去。
關於如何設定“通訊協定綁定”功能,以及指定路由模式搭配“通訊協定綁定”的範例,請參考(6.2.3
節的通訊協定綁定設定說明)。
Gigabit 網路安全路由器
指定路由:
這個模式讓您對特定的內網 IP、特定要訪問的應用服務埠、或特定目的地 IP 經由您指定的廣域網對外網做
訪問。且一經指定後,該廣域網也只能讓這些指定的內網 IP、特定要訪問的應用服務埠、或特定目的地 IP 使用。
其他不在這些指定的內網 IP、特定要訪問的應用服務埠、或特定目的地 IP 都會從其他的廣域網出去訪問。對於
沒有被指定的廣域網,您可以選擇他們的負載均衡模式是以連線數作為負載均衡的基礎,還是以 IP 連線數作為
負載均衡的基礎。
未綁定界面均衡模式:
服務埠、或目的 IP 來使用,這些廣域網埠(廣域網 3 與 4)仍然會依據路由器的負載均衡機制來分配連線。均衡
機制如下:
連機數均衡:
配連線,達到連線的負載均衡。
IP
均衡:
分配連線,達到連線的負載均衡。
當您選用連線數均衡模式,路由器將以連線數為基礎,並依據您廣域網線路的頻寬來自動分
當您選用 IP 負載均衡模式,路由器將以連線的 IP 數為基礎,並依據您廣域網線路的頻寬來自動
若是有部分廣網埠並沒有被指定,例如廣域網 3 與廣域網 4 並沒有指定特定的 IP、
策略路由:
當您選用策略路由模式,路由器會依照內建的策略(電信網通分流,用在中國大陸的環境)自動分配連線。您
只需選擇網通線路接入的廣域網口(或廣域網組合),路由器會自動將該走網通線路去外網訪問的流量都從網通的
廣域網出去,對該走電信線路去外網訪問的流量也都會往電信的廣域網出去,達到 “電信走電信,網通走網通”
的分流策略。
廣域網組合:
當您所接的網通線路不只一條,則需要做廣域網的組合,以便將兩個以上的廣域網口合在一起做相同的策
略分流。點擊“廣域網組合”會彈出以下的對話視窗。
41
名稱:
在此自定的廣域網組合名稱,如“教育”等,用來辨識廣域網群組。
界面位置:
在此勾選要設在此組合的廣域網口。
增加到對應列表:
增加到廣域網組合列表。
刪除所選服務:
刪除所選擇的廣域網組合內容。
確定:
點擊此按鈕“確認”即會存儲剛才所變動的修改設定內容參數。
取消:
點擊此按鈕“取消”即會清除剛才所變動的修改設定內容參數,此操作必須
於確認存儲動作之前才會有效。
離開:
離開此功能設定視窗。
Gigabit 網路安全路由器
設定完成後,您就可以在網通策略的選擇中選取您的網通界面的廣域網組合。
匯入IP區間:
此外,您也可以自己建立分流策略。在“自定策略”中選擇要指定的廣域網口或廣域網組合(例如廣域網 1),
然後點擊“更新網段”的按鍵,會出現匯入策略檔的對話視窗。策略檔是一個可編輯的文字檔案,應含有您指定的
目的 IP 位址。將檔匯入路徑選擇好之後,點擊“匯入”,並在設定窗口的最下方點擊“確定”,路由器就會將要往
指定目的 IP 的流量從您指定的廣域網(例如廣域網 1)或廣域網組合出去。
42
Gigabit 網路安全路由器
策略檔的建立可以用純文本編輯軟體來撰寫,例如使用 Windows 系統內建的 “記事本”來建立。將您要指
定的目的 IP 位址按照下圖的格式寫入,例如您要指定的目的 IP 位址範圍是從 140.115.1.1 到 140.115.1.255,
則在“記事本”中輸入 140.115.1.1~140.115.1.255。下一個目的 IP 位址範圍則要換行輸入。請注意!若是只有
一個目的 IP 位址,也需要以同樣的格式來書寫。例如指定的目的 IP 位址是 210.66.161.54,則必須寫成
210.66.161.54~210.66.161.54 格式。存儲檔後(副檔名應該是.txt)即可匯入自定策略的更新網段。
提示!
網通策略與自定策略可以同時存在,但當某一個目的 IP 同時在網通策略以及自定策略中,則會以網通策略優先
執行。也就是說要往該目的 IP 的流量會從網通策略的廣域網(或廣域網組合)出去外網。
連線數平衡進階設定
一般連線數平衡是平均與隨機分配每個內網 IP 的連線數量,但是某些較特殊的連線例如網路銀行的加密連線
(Https、TCP443) 需要固定從同一個 WAN IP 建立才能夠正常操作,所以當同一個內網 IP 訪問網路銀行網
站,訪問操作動作被連線數均衡機制分配到不同 WAN IP 去建立連線時,有可能就會在操作過程中發生斷線
或不正常的狀況,而連線平衡的進階設定功能就是用來解決這個問題。
43
Gigabit 網路安全路由器
進階設定可以設定同一個內網 IP,在以某個特殊的服務通訊埠建立連線時,固定從某一個 WAN IP 去建立,
其他類型的服務通訊埠連線仍然照原來的平衡機制隨機平均分配,除了可達成原來連線數平衡所帶來的效用之
外,也可確定一些較特殊的服務通訊埠連線時能正常運作。
點選進階設定進入設定選單:
44
目的地聯機登入自動綁定:
選擇此選項表示到目的地 IP 位址位於同一個 Class B 範圍子網時,就固
定從同一個 WAN IP 建立連線。
舉例來說,總共兩個 WAN1 200.10.10.1 與 WAN2 200.10.10.2,內網兩個 IP 192.168.1.100 與
192.168.1.101 , 192.168.1.100 首 次 去 訪 問 外 網 61.222.81.100 時 , 被 隨 機 分 配 到 以 WAN1
200.10.10.1 建立連線,當 192.168.1.100 有下一筆連線目的地是 61.222.81.101 (在同一個 Class B 子
網 範圍 ) 時, 也 一 樣 會 以 WAN1 200.10.10.1 去建 立 連 線 , 但 是 若 是 去 到 別 的 目 的地 IP ( 不在
61.222.81.100 同一個 Class B 子網範圍) 則依然以原來連線數平衡的機制隨機平均分配
另一個內網 IP 192.168.1.101,首次去訪問外網 61.222.81.101 時,被隨機分配到以 WAN2 200.10.10.2
建立連線,當 192.168.1.101 有下一筆連線目的地是 61.222.81.100 (在同一個 Class B 子網範圍) 時,
也一樣會以 WAN2 200.10.10.2 去建立連線,但是若是去到別的目的地 IP (不在 61.222.81.100 同一個
Class B 子網範圍) 則依然以原來連線數平衡的機制隨機平均分配
※請注意!
並不是「所有內網 IP」到某一「相同 Class B 範圍」都固定以某個 WAN IP 進行連線,而是看「每一個內網
Gigabit 網路安全路由器
45
IP」第一次被隨機分配到以那一個 WAN IP 進行連線,之後遇到目的地是相同 Class B 範圍,再「個別」按
照同一個 WAN IP 進行連線。
用戶自定義目的地及服務端口綁
定:
這邊是設定單一內網 IP,以某個自定義的特殊服務通訊向某個目的地 IP
(或 IP 範圍) 進行連線時,固定以同一個 WAN IP 進行連線。
您可以自行設定服務通訊埠與目的地 IP 內容 (目的地 IP 範圍若設定成
0.0.0.0 到 0 表示到「任何一個目的地 IP 範圍」
※請注意!
「用戶自定義目的地及服務端口綁定」與「目的地聯機登入自動綁定」兩
者只能同時使用其中一種!
以出廠預設已有設定的規則舉例:
(如下圖)
表示內網任何單一 IP,在以 TCP 443 Port 與任何目的地 (0.0.0.0 到 0 表示任何目的地) 進行連線時,都
固定以同一個 WAN IP 進行連線,至於各個內網 IP 的選擇是固定在那一個 WAN IP,則是以第一次被原本連
線數平衡機制所隨機分配到的 WAN IP 為準,舉例來說兩個內網 IP 192.168.100.1 與 192.168.100.2,
Gigabit 網路安全路由器
46
當個 別第一次進行 TCP 443 Port 連 線 時,192.168.100.1 被隨機平均分配到以 WAN 1 IP 連線,
192.168,100.2 被隨機分配到以 WAN2 IP 連線,則只要之後 192.168.100.1 有任何 TCP 443 Port 的連
線,就會固定以 WAN 1 IP 連線;192.168.100.2 有任何 TCP 443 Port 的連線,就會固定以 WAN 2 IP
連線。
此預設規則雖然出廠預設值就有,但是您可以視自己的需求取消/刪除此規則的應用,或新增其他新的規則以
符合實際的連線需求。
界面:
選擇您要設定線路偵測的廣域網口。
啟用:
啟用線路偵測機制。
重新偵測次數:
對外連線偵測重試次數,預設值為五次。如果連線偵測重試次數超過設定次
數,網路沒有回應的話,則判斷為對外線路中斷!
重新偵測時間間隔:
對外連線偵測逾時時間(秒),預設值為 30 秒。於此設定秒數之後重新測試對
外連線。
Gigabit 網路安全路由器
6.2.2 線路偵測機制
若勾選此項設定,則會顯示出重新發起測試次數,回應延長時間等資訊。當使用兩條廣域網做對外聯結線
路時一定將此 NSD 啟用,以避免因為廣域埠流量過大時造成路由器的誤判將此線路判斷為斷線。
47
斷線時:
線路連接失敗時的處理方式,有兩種:
(1)只選擇存儲到日誌記錄檔:當偵測到與 ISP 連結失敗時,系統就會在系
統日誌中將這項錯誤資訊紀錄下來,但保持此線路不會移除,所以會導致有
些原來使用此條線路上的用戶無法正常使用。
此選項適用在當某條廣域網連線失敗時,從這個廣域網去訪問的目的地
位址是無法從另一條線路去訪問的時候,就可以用此選項。例如若是要訪問
10.0.0.1 到 10.254.254.254 時一定要走廣域網 1 去訪問,而且廣域網 2 是無
法訪問到此網段,那就可以使用此選項。因為若廣域網 1 掉線後走廣域網 2
也無法去訪問到 10.0.0.1 到 10.254.254.254,就不需要在廣域網 1 斷線時將
此線路移除。
(2)刪除該線路:當偵測到與 ISP 連結失敗時,系統不會在系統日誌中將這
項錯誤資訊紀錄下來,原本使用此 WAN 端的封包傳遞會自動轉換到另一條
廣域埠.等到原本斷線的廣域埠恢復後會自行重新連結,則封包傳遞會自動轉
換回來。
此選項適用在當某條廣域網連線失敗時,從這個廣域網去訪問的目的地
位置是可以從另一條線路去訪問的時候,就要用此選項。如此可以讓任何一
條廣域網斷線的時候,另一條可以做備援,將流量轉移到還在連線的廣域網。
有流量時不進行偵測:
當下載 或 / 與 上傳流量超過頻寬的百分之( )時,表示線路仍在連線運
作,不必再一直送出 NSD 偵測要求資料封包。
偵測以下可回應的伺服器:
預設閘道:
近端的預設通訊網關位置,如 ADSL 路由器的 IP 位址,此為路由自動填入,
所以只須打勾選擇是否啟用。
注意!
有部分的 ADSL 線路的閘道是不會回應偵測封包,或是當您是使用光纖
盒,或是運營商發給您的是固定的公網 IP,且閘道就是在您網吧這端而不
是在運營商那端時,此選項不要啟動。
ISP 伺服器:
ISP 端的偵測位置,如 ISP 的 DNS 伺服器 IP 地址等。在設定此 IP位址時請
確認此 IP 位址是可以且穩定快速的得到回應 (建議填入 ISP 端 DNS IP)。
遠端伺服器:
遠端的網路節點偵測位置,此 Remote Host IP位址最好也是可以且穩定快速
的得到回應(建議填入 ISP 端 DNS IP)。
使用 DNS 伺服器
做網域名稱解析:
網域名稱解析服務 DNS 的偵測位置(此欄位只許填入網址如
“www.hinet.net”,請勿填 IP 地址)。另外,兩條 WAN 的此欄位不可以填入相
同的網址。
確定:
點擊此按鈕“確認”即會存儲剛才所變動的修改設定內容參數。
Gigabit 網路安全路由器
48
取消:
點擊此按鈕“取消”即會清除剛才所變動的修改設定內容參數,此操作必須於確
認存儲動作之前才會有效。
注意!
在“ 指 定 路由 ”的負載均衡模式下,第一個廣域網口會保 留 給 沒 有 指定到其他廣域網口 (WAN2~
WAN5)的 IP 或應用服務埠(服務埠)經由此廣域網(WAN1)進出。因此建議您在此模式下將您的其中一條線
路接在第一個廣域網口。當您其他的廣域網口(WAN2~WAN5)斷線時,而您在線路偵測機制下選擇移除
有問題線路,流量就會轉移到第一個廣域網口(WAN1)。此外,若是第一個廣域網口(WAN1)斷線,則流
量會依次轉移到其他廣域網口,例如轉移到 WAN2,WAN2 也斷線則轉移到 WAN3 等等。
6.2.3 WAN 口頻寬與協議綁定設置
界面配置
Gigabit 網路安全路由器
Gigabit 路由器最多可以設置四個廣域網界面,每個廣域網的頻寬以及是否真正可以對外連線會影響路由器
的負載均衡機制,因此您需要分別對每個廣域網口做頻寬設定,並正確的設置該廣域網口的線路偵測機制。
在“界面配置”中,點擊“編輯”按鈕即可進入該廣域網口的配置視窗。
頻寬設定
Gigabit 路由器路由器會依照您實際輸入的上傳頻寬資料作為兩條廣域埠自動負載平衡的比例依據。例如當
兩條廣域網都為上傳 512Kbit/sec 時,其自動負載比例為 1:1。當一條線路的上傳頻寬為 1024kbit/sec 另一條
為 512kbit/sec 時,則此自動負載比例為 2:1。所以為了確保您的路由器達到實際線路負載能夠均衡,請填入
實際上下載頻寬。另外,此欄位也關係到 QoS 的設定,請參考相關 QoS 設定章節。
49
注意!
在“指定路由”的負載均衡模式下,第一個廣域網口(WAN1)是不能被指定的,保留給沒有指定到其他
廣域網口(WAN2~WAN5)的 IP 或應用服務埠(服務埠)經由此廣域網(WAN1)進出。也就是說第一個廣域
網口(WAN1)不能設置通訊協定綁定的規則,以避免所有的廣域網口都被指定有特定的內網 IP、應用服務
埠、目的地 IP,導致其他的 IP 或應用服務埠沒有廣域網口可以使用。
Gigabit 網路安全路由器
協議綁定
使用者可將特定的 IP 或特定的應用服務埠(服務埠)經由您限定的 WAN 出去。其他沒有做綁定的 IP 或伺服
器還是會進行廣域網的負載平衡。
50
服務端:
在此選擇欲開啟的綁定服務埠,從下拉式選單中可以選擇預設列表(如 All
-TCP&UDP 0~65535, WWW 為 80~80, FTP 為 21~21 等等),預設的
服務為 All 0~65535。
點擊“服務端新增或刪除表”按鈕可以進入服務埠設定視窗,進行新增或刪除
選單中預設的服務埠。
Gigabit 網路安全路由器
51
來源 IP 地址:
您可以指定特定的內部虛擬 IP 位址的封包經由特定的廣域埠出去。在此填上
內部虛擬 IP 位址範圍,例如 192.168.1.100 到 150.則 IP 地址 100 到 150
為綁定範圍。如果使用者只需要設定特定的服務埠而不需指定特定的 IP 位
址, 則在 IP 的欄位皆填入 0。您也可以選擇 IP 群組的方式來指定來源 IP。
關於 IP 群組的設定,請參考(“7.6 IP 群組管理”的說明)。
目的 IP 位址:
在此填上外部固定 IP 位址,例如若有一目標位址 210.11.1.1,要連接此位址
的使用者限定只能從廣域埠 1 到達此目標位址,則在此填上外部固定 IP 位址
210.11.1.1 到 210.11.1.1。如果使用者要設定一個範圍的目的地位置,則填
入方式可以為 210.11.1.1 到 210.11.255.254,則表示整組 210.11.x.x 的
Class C 網段都限制走某一條廣域網,若只需要設定特定的應用而不需指定
特定的 IP 位址,則在 IP 的欄位皆填入 0.0.0.0。
界面位置:
選擇您所要綁定此條規則在哪一個 WAN 埠。
啟動:
啟用此規則。
增加到對應列表:
增加此條規則到列表。
刪除所選服務:
刪除在服務列表裏所選擇的規則。
上移 & 下移:
由於每條規則執行的優先順序為由列表的最上面那條往下執行,也就是越後
面設定的規則會越後執行,所以您可以自行調整每條規則先後執行順序。
確定:
點擊此按鈕“確認”即會存儲剛才所變動的修改設定內容參數。
取消:
點擊此按鈕“取消”即會清除剛才所變動的修改設定內容參數,此操作必須於
確認存儲動作之前才會有效。
注意!
通訊綁定協定所設的規則在路由器執行時也有優先順序的,由上到下,在列表上最上方那條會先執
行,然後依序往下。
Gigabit 網路安全路由器
優先權:
面位置”來顯示排列的順序。點擊“更新”可以重新顯示視窗,點擊“關閉”將結束這個對話視窗。
點擊右上方的“優先權”按鈕,會出現以下的對話視窗。您可以選擇以“優先權”來顯示排列的順序,或是以“界
52
服務埠名稱:
在此自定欲開啟的服務埠號名稱加入列表中,如 BT 等。
通訊協定:
在此選擇欲開啟的服務埠號的封包格式為 TCP 或 UDP。
服務埠的位置範圍:
填入您將新增加的服務埠範圍。
增加到對應列表:
增加到開啟服務專案內容列表,最多可新增 100組。
刪除所選服務埠列表:
刪除所選擇的開啟服務專案內容。
確定:
點擊此按鈕“確認”即會存儲剛才所變動的修改設定內容參數。
取消:
點擊此按鈕“取消”即會清除剛才所變動的修改設定內容參數,此操作必須
於確認存儲動作之前才會有效。
離開:
離開此功能設定視窗。
Gigabit 網路安全路由器
新增或刪除管理服務埠號
若您欲開啟的服務埠專案沒有在表列中,您可以點擊“服務端新增或刪除表”按鈕,新增或刪除管理服務埠號
列表,如以下所述:
使用“智慧型”負載均衡模式時其通訊協定綁定協定設定方式:
智慧負載均衡方式搭配“通訊協定綁定”可以有更彈性運用您的頻寬,您可將特定的內網 IP,使用特定應用
服務埠作訪問,或特定的目的地 IP 經由您指定的廣域網來訪問外網。
範例一:若要指定內網
IP 192.168.1.100
去外網訪問都走廣域網2,那通訊協定綁定設定方式
?
如以下範例所示,服務端選擇“所有埠”,在來源 IP 位址填入 192.168.1.100 到 100,目的 IP 位址保留原本
53
Gigabit 網路安全路由器
的數值 0.0.0.0 (表示所有的外網位址)。界面位置選則廣域網 2,然後勾選啟動。最後點擊“新增”即可將此規則
加入。
範例二:若要指定內網
設定方式是怎樣設定
如以下範例所示,服務端選擇“HTTP[TCP/80~80]”,在來源 IP 位址填入 192.168.1.150 到 200,目的 IP
位址保留原本的數值 0.0.0.0 (表示所有的外網位址)。界面位置選則廣域網 2,然後勾選啟動。最後點擊“新增”
即可將此規則加入。
IP192.168.1.150到200
?
去外網訪問80埠都走只能走廣域網2去訪問,那通訊協定綁定
54
Gigabit 網路安全路由器
範例三:若要指定內網所有IP去外網訪問80埠都走只能走廣域網2,但其餘服務都走廣域網1時,通訊協定
綁定設定方式是怎樣設定
如以下範例所示,要設置兩條規則:
第一條規則服務端選擇“HTTP[TCP/80~80]”,在來源 IP 位址填入 192.168.1.0 到 0(表示所有的內網位址),
目的 IP 位址保留原本的數值 0.0.0.0 (表示所有的外網位址)。界面位置選則廣域網 2,然後勾選啟動。最後點擊
“新增”即可將此規則加入。路由器會將所有用 80 埠去外網訪問的流量都走廣域網 2,但是不是用 80 埠的流量
根據路由器的自動負載平衡演算,還是有可能會走廣域網 2,因此還需要再設第二條規則。
第二條規則,服務端選擇“所有埠[TCP&UDP/1~65535]”,在來源 IP 位址填入 192.168.1.2 到 254,目的 IP
位址保留原本的數值 0.0.0.0 (表示所有的外網位址)。界面位置選則廣域網 1,然後勾選啟動。最後點擊“新增”
即可將此規則加入。這時路由器會將不是用 80埠去外網訪問的流量都走廣域網 1。
?
55
Gigabit 網路安全路由器
使用“指定路由”的負載均衡模式時其通訊協定綁定協定設定方式:
IP 群組-依使用者(IP Group)的模式讓您對特定的內網 IP、特定要訪問的應用服務埠或特定目的地 IP 經由
您指定的廣域網對外網做訪問。且一經指定後,該廣域網也只能讓這些指定的內網 IP、特定要訪問的應用服務
埠、或特定目的地 IP 使用。其他不在這些指定內的內網 IP、特定要訪問的應用服務埠或特定目的地 IP 都會從
另一條廣域網出去訪問。此模式必須配合“通訊協定綁定”功能才能發揮作用。
範例一:若要指定內網所有IP去外網訪問80埠都走只能走廣域網2,但其餘服務都走廣域網1時,通訊協定
綁定設定方式是怎樣設定
如以下範例所示設置規則,服務端選擇“HTTP[TCP/80~80]”,在來源 IP 位址填入 192.168.1.0 到 0(表示所
有的內網位址),目的 IP 位址保留原本的數值 0.0.0.0 (表示所有的外網位址)。界面位置選則廣域網 2,然後勾
選啟動。最後點擊“新增”即可將此規則加入。此時廣域網 2 只會有訪問外網 80 埠的流量,其餘流量都只走廣域
網 1。
?
56
Gigabit 網路安全路由器
範例二:若要指定內網所有IP去外網訪問
IP 211.1.1.1到211.254.254.254
還有
60.1.1.1到60.254.254.254
整組A類段時都走走廣域網2去訪問,但去其餘不是這幾個目的地IP段時都走廣域網1時,那通訊協定綁定
設定方式如何設定
如以下範例所示設置兩條規則:
第一條規則中服務端選擇“所有埠[TCP&UDP/1~65535]”,在來源 IP 位址填入 192.168.1.0 到 0(表示所有
的內網位址),目的 IP 位址填入 211.1.1.1 到 211.254.254.254。界面位置選則廣域網 2,然後勾選啟動。最後
點擊“新增”即可將此規則加入。
第二條規則中服務端選擇“所有埠[TCP&UDP/1~65535]”,在來源 IP 位址填入 192.168.1.0 到 0(表示所有
的內網位址),目的 IP 位址填入 60.1.1.1 到 60.254.254.254。界面位置選則廣域網 2,然後勾選啟動。最後點
擊“新增”即可將此規則加入。此時,除了上述兩條規則所涵蓋的目的 IP,其餘去外網訪問的流量都只走廣域網 1。
?
57
Gigabit 網路安全路由器
58
關閉:
此為設定乙太網路的 LAN 埠開啟或是關閉的功能,若是打勾的話,則此乙太
網路埠立即被關閉無法連接使用。預設為開啟無打勾。
Gigabit 網路安全路由器
七、內部區域網路配置
通過本章節可以對埠進行配置管理,瞭解如何配置內部區域網路的 IP 位址。
7.1 網路埠管理配置
Gigabit 路由器路由器中,管理者可以設定網路實體連線於每一個乙太網路埠,如連接速率,工作模式,優
先權,自動偵測或是 VLAN 等乙太網路埠的功能。
鏡像端口:勾選“啟用區域網路 1 為鏡像端口”可以將局域網的第一個埠設定為鏡射埠,所有從內網到外網
訪問的流量都會複製到鏡射埠。因此您可以將監控或是過濾伺服器直接接在鏡射埠,來達到監控或是過濾網路
封包的目的。
59
優先權設定:
此為設定此乙太網路的 LAN 埠封包傳送優先權設定,若是此埠設定為高的
話,則最優先使用傳送封包的權利,預設優先順序為一般。
連線速度:
此為設定此乙太網路的埠網路實體連接速率選項,您可以設定為 10Mbps 或
是 100Mbps 連接速度。預設為自動偵測。
半雙/全雙工模式:
此為設定此乙太網路的埠網路實體連接速率工作模式選項,您可以設定為半
雙工模式或是全雙工模式運作。預設為自動偵測。
自動偵測模式:
此為設定乙太網路的埠網路實體連接速率自動偵測模式,若是勾選的話,自
動偵測所有連接埠的信號與調整。
VLAN:
此功能可以讓網管人員在自己的局域網內將每一個局域網埠設定 1 個或多個
不同網段且無法互通的局域網埠,但都可以通過 Gigabit 路由器上網路。在同
一個網段內的成員(在同一個 VLAN 區域網路內)可互相溝通並看得到對方,若
不在同一個 VLAN 群組內的成員則無法得知其他成員的存在。使用者可為每
一個 LAN 埠選定為哪一個 VLAN 區域網路群組, 最多可設定為 8 個區域網
路群組。
VLAN All:
當網管人員在內網設定了多個 VALN 埠,且不在同一個 VLAN 群組內無法互
訪,可是內網又需要架設服飾器讓內網所有 VLAN 群組都可以訪問此伺服器。
此時可以將某一局域網埠設定為 VLAN All,將此伺服器接入此 VLAN All 的
埠,這樣就可以讓所有不同 VLAN 群組的電腦都可以訪問到此伺服器。
Gigabit 網路安全路由器
60
7.2 網路埠狀態即時顯示
此項功能可以讓網路管理者查看每個實體埠的詳細資訊。
Gigabit 網路安全路由器
摘要:
網路連接狀態(10Base-T / 100Base-TX /1000Base-T), 界面位置(局域網/廣域網路 1~5/DMZ), 線路
連 線 狀 態 ( 啟動/關閉), 埠 配 置 狀 態 ( 埠啟動/埠 關 閉 ), 優 先 權 設 定 ( 高級/一般), 網 路 連 接 速 率
(10Mbps/100Mbps/1000Mbps), 半雙/全雙工模式(半雙工/全雙工),自動 偵測模式(啟動/關閉), VLAN
(VLAN1~5/ VLAN All)。
61
Gigabit 網路安全路由器
流量統計:
即時顯示路由器工作狀態下的接收和傳送封包計算、封包接收和傳送 Byte 數以及錯誤封包統計實際數值。
62
Gigabit 網路安全路由器
7.3 DHCP 發放 IP 伺服器
Gigabit 路由器有四組 Class C 的 DHCP 伺服器,預設值是啟動,可以提供區域網路內的電腦自動取得 IP
的功能,( 如同 NT 伺服器中的 DHCP 服務), 好處是每台 PC 不用去記錄與設定其 IP 位址,當電腦開機後,就
可從 Gigabit 路由器自動取得 IP 位址,管理方便。
63
租約時間:
此設定為發給 PC 端 IP 地址的租約時間,預設為 1440 分鐘(代表時間為一
天),當租約時間到後,PC 端會重新跟路由再申請一次。您可以依照實際
需求來設定。
起始 IP 位址:
系統預設為四個網段從 192.168.0.100、192.168.1.100、192.168.2.100、
192.168.3.100 的 IP 位址開始發放。您可以依照實際需求來設定。
終止 IP 地址:
系統預設為四個網段 192.168.0.149、192.168.1.149、192.168.2.149、
192.168.3.149IP 位址為最後發放 IP,也就是說出廠設定值每個網段可供
50 台電腦自動取得 IP 位址,四個網段共 200 台電腦自動取得 IP 位址。您
可以依照實際需求來設定。
網域名稱伺服器(DNS) (主要):
輸入 DNS 網域伺服器的 IP 位置。
網域名稱伺服器(DNS) (次要):
輸入 DNS 網域伺服器的 IP 位置。
WINS 伺服器:
輸入 WINS 網域伺服器的 IP 位置。
確定:
點擊此按鈕“確認”即會存儲剛才所變動的修改設定內容參數。
取消:
點擊此按鈕“取消”即會清除剛才所變動的修改設定內容參數,此操作必須於確
認存儲動作之前才會有效。
Gigabit 網路安全路由器
動態 IP 服務:
網域名稱解析服務 (DNS) 伺服器位址:
此設定為發給 PC 端 IP 位址的 DNS 網域伺服器查詢位址,若您有特定使用的 DNS 伺服器,可以直接輸入
此伺服器的 IP 位址,則 PC 端從 DHCP 取得 IP地址時,也會一併取得指定的 DNS 伺服器地址。
WINS 伺服器:
若您的網路上有解析 Windows 電腦名稱的伺服器,您可以直接輸入此伺服器的 IP 位址。
顯示列表:
此功能可以列出所有現在已經設定好的 MAC 綁定及 IP 綁定的狀態,並且可以選擇“編輯”做修改。
64
DHCP 伺服器 IP 地址:
目前 DHCP 伺服器的 IP 地址。
已經使用 IP 數量:
目前 DHCP 伺服器已經發放動態 IP 的數量。
發放固定 IP 數量:
目前 DHCP 伺服器已經發放固定 IP 的數量。
尚可使用的 IP 位址:
目前 DHCP 伺服器可以還可發放的 IP 數量。
配發 DHCP IP 地址總量:
目前 DHCP 伺服器所設定可發放的 IP 總數量。
主機名稱:
目前此台電腦的電腦名稱。
IP 地址:
目前此台電腦所取得的 IP 位址。
MAC 地址:
目前此台電腦的 MAC 網路實體位置。
目前租約時間:
DHCP 目前核發 IP 地址的租約時間。
刪除:
刪除此筆核發 IP 紀錄。
Gigabit 網路安全路由器
7.4 DHCP 狀態顯示
此狀態表為顯示 DHCP 伺服器的目前使用狀態與設定紀錄等,以便提供管理人員需要時做網路設定參考資
料。
65
Gigabit 網路安全路由器
7.5 IP 及 MAC 地址綁定
在許多的大中型網吧及企業網路中,網管人員可以設定 Gigabit 路由器所提供的 IP & MAC 綁定功能,達到
用戶不能自行添加電腦來使用對外網路或是私自擅改 IP 上網影響他人。另外通過此功能也可以將每台電腦或伺
服器的 MAC 位址綁定,達到電腦或伺服器每次開機或重新要 IP 時,都分配給它相同的一組 IP 位址。
您可以以兩種方式來設定這個功能:
限定可以使用網路的 MAC 位址
此功能主要目的是限制只有在列表裏面的 MAC 位址才可以得到 DHCP 分配的 IP 位址上網,未在此列表的
電腦都無法取得 IP 上網。當使用此功能時,切記要將靜態 IP 位址填 0.0.0.0 不可以空白,另外將“封鎖不在對
應列表中的 MAC 位址”選項勾選才可以執行。如下圖中範例所示:
66
固定 IP 位址設定:
此欄位有兩種填入方式:
1. 若您只要限制 MAC 位址可以跟 DHCP 要 IP 而不一定是指定
的那一個 IP,請在此欄位填 0.0.0.0,不可為空白。
2. 若要求每次此台電腦都要分配到同一個 IP,則將您所要求分
配給此台電腦的 IP 位址輸入。這樣所要綁定伺服器或 PC 端每次
重啟都會要到固定的同一個虛擬 IP。
加入 IP 時相對應 MAC 位址:
輸入要綁定的伺服器或 PC 端固定實體 MAC(網路卡上的位址)。
名稱:
填入您所綁定此用戶的名字或位址做辨識,可輸入 12 個字元,
中英文皆可以。
Gigabit 網路安全路由器
IP 及 MAC 地址綁定
此功能主要目的是讓指定的 MAC 位址電腦在每次開機都會要到同一個指定 IP。此外,若將“封鎖在對應列
表中 IP 位址錯誤的 MAC 位址” 功能啟用,那麼設定為固定 IP 的電腦或通過此功能已發給特定 IP 的電腦擅自
更改 IP 為非指定的 IP 地址時,則會無法上網。
67
啟動:
啟用此組設定。
增加到對應列表:
增加或修正此設定到列表中。
刪除所選擇對應項目:
刪除列表中所選擇的綁定。
新增:
當列表中有綁定規則後,右下角會出現此按鈕,可點擊增加新的
綁定。
名稱:
可以填入您所綁定此用戶的名字或位址做辨識,可輸入 12 個字元。
啟動
勾選您所要綁定的目標。
確定:
將您所選定好的目標綁定到 IP & MAC 綁定列表。
全選
選擇所有在此列表中的目標做綁定。
更新:
更新此列表。
關閉:
關閉此列表。
Gigabit 網路安全路由器
封鎖在對應列表中 IP 位址錯誤的 MAC 位址: 此選項打勾後,只要是 User 自行更改電腦的 IP 或不是列表
設定的 IP 將無法上網。
封鎖不在對應列表中的 MAC 地址: 此選項打勾後,只要不在列表中的 MAC 地址都無法上網。
顯示出還未做綁定或新加入的 IP 及其 MAC 位址:
此功能的主要目的是為了減少網管人員需一一查詢每台電腦的 MAC 位址後才能進行綁定,因為會非常耗
時且困難。再者,將 MAC 位址手動填入列表也很容易出錯。所以只需要查詢此表格,就可以看到所有進出 Gigabit
路由器且還未綁定的 MAC 位址,然後直接在此表格做綁定動作即可。另外,若您發現此表格出現已經綁定的
某組 MAC 又出現在此表格,則表示此用戶試圖修改不是您指定的 IP 上網。
68
用戶 IP 編輯:
除了原本在左下方就會出現的自動學習 IP 清單,也可以自行手動設定 IP 位址。
名稱:
輸入下方輸入 IP 地址 (或範圍) 所代表的名稱。
IP 位址:
輸入 IP 位址 (或範圍) 內容。例如 192.168.1.200 到 250。
Gigabit 網路安全路由器
7.6 IP 與服務通訊埠 群組管理
IP 群組功能可以讓您將數個 IP 位址或 IP 位址範圍組合成一個群組。當您以 IP 位址來管理使用者的網路存
取許可權的時候,您可以將具有相同使用權限的使用者設定在同一個 IP 群組裏,並在各個管理功能中選擇以 IP
群組的方式來做設定,可以減少以單一 IP 來做設定的規則數。例如在“通訊協定綁定”的設定,“頻寬管理(QoS)”
的設定,以及“訪問規則”的設定中,都可以選擇以 IP 群組的方式來做設定,如此就不需要再以單一 IP 來設定,
減少所需要的規則數。
IP 群組有分成本地 IP 群組與遠端 IP 群組,本地群組是指局域網內的來源 IP 群組,遠端群組是指廣域網外
的目的地 IP 群組;本地群組的用戶 IP 編輯清單,會自動學習有流量經過防火牆的 IP 位址,並且如果用戶更動
IP,清單內的 IP 也會跟著變動,但是已經加入群組的 IP 資料,不會隨著左方 IP 清單的改變而自動變更群組內
容,必須由管理使用者手動進行更改。
69
加入 IP 列表:
設定完 IP 位址的名稱與內容後,按下此按鈕將資料加入下方 IP 列表,若此 IP (或
範圍) 已在列表中是無法加入的。
本地群組設定:
設定本地 IP 群組,可以直接從左方的 IP 清單中拉選成 IP 群組組合。
IP 群組:
在此欄位選擇您要修改的 IP 群組內容名稱,若是要新增群組,請按下旁邊的「新
增群組」按鈕。
群組名稱:
會在此欄位顯示群組名稱內容,在新增群組的時候,也請注意要輸入群組名稱在
該欄位中。
刪除群組:
從下拉式選單選擇欲刪除的群組內容,並按下「刪除群組」按鈕,此時系統會再
確認一次是否刪除該群組,按下確認後就會刪除該群組內容。
按鈕:
可以由左方 IP 清單一次點選多個 IP 後,按下此按鈕加入右方的群組內容清單中。
delete :
將自定義的 IP 或是 IP 範圍進行刪除。
確定:
點擊此按鈕“確認”即會存儲剛才所變動的修改設定內容參數。
取消:
點擊此按鈕“取消”即會清除剛才所變動的修改設定內容參數,此操作必須於“確定”
存儲動作之前才會有效。
Gigabit 網路安全路由器
遠端 IP 組管理:
基本上遠端 IP 組設定的方式與本地 IP 組管理設定方式完全相同,但由於是遠端 IP,所以並沒有自動學習功
能,並需自己手動定義遠端的 IP 地址、範圍與群組,例如 220.130.188.1 到 200 (範圍)。
70
Gigabit 網路安全路由器
設定方式一樣也是設定好左方單一遠端 IP 位址或範圍的內容後,於右方設定拉選要加入某群組的 IP 位址資料。
71
用戶端口編輯:
針對所需的服務埠手動進行設定,依序為名稱、通訊協定、服務埠範圍。
名稱:
將此服務埠命名以識別其屬性。例如:Virus135
通訊協定:
設定服務埠屬於 TCP 或 UDP 或 TCP&UDP 那種通訊協定。
服務埠範圍:
設定服務埠 (Port) 範圍。例如 135 到 135
加到端口列表:
設定服務埠的名稱、通訊協定與埠範圍後,按下此按鈕就會加入到下方的埠列表,
並且此埠可以成為某個埠群組的內容。
群組名稱:
會在此欄位顯示埠群組名稱內容,在新增群組的時候,也請注意要輸入群組名稱
在該欄位中。例如 Virus。
刪除群組:
從下拉式選單選擇欲刪除的群組內容,並按下「刪除群組」按鈕,此時系統會再
確認一次是否刪除該群組,按下確認後就會刪除該群組內容。
按鈕:
可以由左方服務埠清單一次點選多個服務埠後,按下此按鈕加入右方的群組內容
清單中。
Gigabit 網路安全路由器
7.7 服務通訊埠 群組管理
除了 IP 位址可以成為群組設定外,服務埠也可以群組起來,方便對於 QoS、防火牆訪問規則設置等功能的設定。
72
delete :
將自定義的服務埠或是服務埠範圍進行刪除。
確定:
點擊此按鈕“確認”即會存儲剛才所變動的修改設定內容參數。
取消:
點擊此按鈕“取消”即會清除剛才所變動的修改設定內容參數,此操作必須於“確定”
存儲動作之前才會有效。
Gigabit 網路安全路由器
73
Gigabit 網路安全路由器
八、QoS 頻寬管理功能
頻寬管理 QoS 為 Quality of Service 縮寫,其功能主要為限制某些服務及 IP 的頻寬使用量,以滿足特定應
用程式或服務所需要的頻寬或優先權,並讓其餘的使用者共用頻寬,才能有比較穩定、可靠的資料傳送服務。
網路管理人員應該針對網吧、企業等的實際需求,對各種不同網路環境、應用程式或服務來進行頻寬管理,才
能充分且有效率的達到網路頻寬使用。
74
8.1 頻寬設置(QoS)
Gigabit 網路安全路由器
75
注意!
這裏的數值單位是 kbit,有些應用軟體顯示下載/上傳速度單位為 KB,兩個數值之間的換算方式為
1KB=8kbit。
Gigabit 網路安全路由器
8.1.1 頻寬設定
WAN 的頻寬資料請填入您所申請的寬頻網路實際上傳及下載頻寬,QoS 的頻寬控制會依照您所填入的頻
寬作為計算依據。例如每個 IP 及服務埠(服務埠)可以保障使用的上傳或下載的最小頻寬會依照此 WAN1 及
WAN2 的實際頻寬相加來換算實際可保障的大小。例如上傳頻寬若兩條都為 512Kbit/Sec,那實際上傳頻寬就
為 WAN1+WAN2=1024Kbit/Sec,所以若有 50 個 IP 在內部網路,若要保證每人最小可使用的上傳頻寬,則就
把 1024Kbit/50=20Kbit,這樣每人可以保證的最小頻寬就可以填 20kbit/Sec,下載同此換算方式。
8.1.2 QoS 設定
QoS 可以選擇兩種方式,無法同時使用,一為流量控制(頻寬管理),另一個為優先權控制,設定人員可以
依照自己內網需求做兩種模式靈活運用。
頻寬控制 (頻寬管理) - 依使用量做管理:
網管人員可依照您現有的頻寬大小做每一個 IP 或一個範圍的 IP 的使用量限制或保障頻寬。另外也可以針
對服務埠去做頻寬控制。若是內部有架設伺服器的話,也可控制或保障其對外頻寬。
76
界面位置:
勾選此條 QoS 設定要控制在哪條 WAN 執行,可單獨或全部勾選。
服務端:
選擇此條 QoS 所要設定的頻寬控制為哪個,若您是要針對每個 IP 的所有服務的
使用頻寬,則將此選擇在 All(TCP&UDP)1~65535。若您只要針對譬如 FTP 上
傳或下載,其餘服務不限制,則選擇 FTP Port21~21,可參考服務號碼預設列
表。
Gigabit 網路安全路由器
77
IP 地址:
此為選擇您所要限制的使用者為哪些?若您只限制單一 IP,則直接將此 IP 填入,
如:192.168.1.100 到 100,則此規則就是針對 192.168.1.100 此 IP 做控制。
若是要限制一組 IP 範圍,則填入如 192.168.1.100 到 150,這樣此規則就是針
對 192.168.1.100 到 150 做限制。若是此條頻寬限制是針對所有人也就是接在
Gigabit 路由器內網的所有 User 則可在 IP 的欄位皆填入 0,也就是 192.168.1.0
到 0,這樣就表示所有 IP 都受此規則限制。另外此 QoS 是可以控制到 Class C
的範圍。
您也可以選擇 IP 群組的方式來指定來源 IP。關於 IP 群組的設定,請參考(“5.4
IP 群組管理”的說明)。
目的:
上傳:指對內網 IP 的上傳頻寬
下載:指對內網 IP 的下載頻寬
虛擬伺服器上傳(Server in LAN,上傳):若您有架設對外的 Server 網站在路由
器內部,則此選項為控制外部訪問此 Server 的頻寬控制。
虛擬伺服器下載(Server in LAN,下載):若您有架設網站在路由器內網,則此選
項為控制外部對此伺服器上傳資料時的頻寬控制,例如網吧很多都有架設遊戲伺
服器,若外部要來做此遊戲伺服器做資料升級時,可以用此控制做頻寬管理,才
不會影響內部使用者上網打遊戲。
最小頻寬 & 最大
頻寬:(Kbit/Sec)
最小頻寬:此為限制或保證此條規則的最小可使用頻寬。
最大頻寬:此為限制此條規則的最大可使用頻寬,也就是最大不會超過此設定值。
請注意!這裏填入的數值單位是 kbit,有些應用軟體顯示下載/上傳速度單位為
KB,兩個數值之間的換算方式為 1KB=8kbit。
管制時間:
選擇“全部”,此 QoS 設定在所有時間都有效果,如果選擇“從___:___到___:___”
填入時間段(24 小時記時制,例如 19:00 到 24:00), 以及勾選“每天/周日/
週一/週二/週三/週四/週五/週六”的某一天或者幾天,其 QoS 設定只在所勾選設
定的特定時間段內有效。
Gigabit 網路安全路由器
78
頻寬共用方式:
所有 IP 範圍分享總頻寬:
若選擇此規則的話,其表示所有 IP 或此服務埠共用這段(最小頻寬到最大頻寬)
頻寬範圍。
指定每一 IP 之可用頻寬:
若選擇此規則的話,其表示每一個 IP 或這一段服務埠都可以有此(Mini 到
Max.Rtae)頻寬範圍,例如若是針對每台電腦 (IP 位址)做的規則設定,則每台電
腦(IP 位址)都可以有這麼大的頻寬。
請注意!當您選擇頻寬的共用方式時,要留意實際應用的情況,以避免選擇不恰
當的方式而造成頻寬太小無法正常使用網路。例如,內網多人使用 FTP 做檔下
載,若是您希望 FTP 不會佔用掉大部分的頻寬,您就可以選擇共用頻寬,不論
內網有多少人使用 FTP 做檔下載,總和所佔用的頻寬是固定的。
啟用:
啟用此規則。
增加到對應列表:
增加此條規則到列表。
上移 &下移:
由於 QoS 的每條規則執行的優先順序為由列表的最下面那條往上執行,也就是
越後面設定的規則會優先執行,所以您可以自行調整每條規則先後執行順序。通
常將要限制頻寬的服務埠移至最下方如 BT,e-mule 等,然後將針對限制 IP 頻
寬的規則往上移。
刪除所選服務:
刪除在服務列表裏所選擇的專案內容。
顯示開啟表:
可以顯示出您所有在頻寬管理設定的規則,並可直接點擊“編輯”做修改(見表後
詳解)。
確認:
點擊此按鈕“確認”即會存儲剛才所變動的修改設定內容參數。
取消:
點擊此按鈕“取消”即會清除剛才所變動的修改設定內容參數,此操作必須於確認
存儲動作之前才會有效。
Gigabit 網路安全路由器
顯示列表:
點擊左下方的“顯示開啟表”按鈕,會出現以下的對話視窗。您可以選擇以“規則”來顯示已設定的規則,或是
以“界面位置”來顯示已設定的規則。點擊“更新”可以重新顯示視窗,點擊“關閉”將結束這個對話視窗。可直接點
擊“編輯”做修改。
79
Gigabit 網路安全路由器
範例一:若希望內網去做
如以下範例所示設置規則,界面位置勾選廣域網 1、2、3、4、5,服務端選擇“ FTP[TCP /21~21”,在 IP
位址填入 0.0.0.0 到 0(表示所有的位址),目的選擇下載。最小頻寬填入 2 kbit/sec,表示 FTP下載保證有 2kbit/sec
的頻寬。最大頻寬填入 50kbit/sec,表示 FTP 下載最多只能使用到 50kbit/sec 的頻寬。頻寬共用方式選擇“此 IP
位址共用此設定頻寬”,如此不論內網有多少人使用 FTP,所有 FTP 下載的頻寬總和最多只能使用 50kbit/sec。
勾選啟動,最後點擊“新增”即可將此規則加入。
ftp
下載都只能共同使用
50kbit
下載頻寬要如何設定
?
範例二:若希望內網所有IP每人最大下載使用頻寬只能有
不需要一個 IP 一個 IP 設定。如以下範例所示設置規則,界面位置勾選廣域網 1、2、3、4、5,服務端選
擇“No Check Port[TCP&UDP /0~0”,在 IP 地址填入 192.168.1.2 到 254(要作限制的位址範圍),目的選擇下載。
最小頻寬填入 2 kbit/sec,表示每個 IP 保證有 2kbit/sec 的頻寬。最大頻寬填入 512kbit/sec,表示每個 IP 最多
512Kbit
,需要一個IP一個IP設定嗎
?
80
Gigabit 網路安全路由器
只能使用到 512kbit/sec 的頻寬。頻寬共用方式選擇“此範圍每一 IP 位址最大及最小可用頻寬”,如此每一個 IP
最小一定有 2kbit/sec 的保證。勾選啟動,最後點擊“新增”即可將此規則加入。
請注意!QoS 頻寬管理的執行順序為由列表最下面那一條往上做執行動作,所以要將先執行的規則往最下
面移。
8.1.3 動態智慧 QoS
動態智慧 QoS 無需網管對每一個 IP 或是一個範圍的 IP 位址進行配置,又可以達到頻寬管理的效果。這個
功能可以在內網使用人數少的時候可以使用較大的頻寬,內網使用人數多的時候自動壓抑佔用頻寬用戶,非常
具有彈性又同時簡化網管的管理工作,並讓內網所有的人都可以有頻寬可以使用。
81
啟動動態智慧 QoS:
勾選啟動動態智慧 QoS。
總頻寬利用率達到___%時,啟動
動態智慧型 QoS:
當頻寬使用率到達實際頻寬的一個%比時,將啟動活智慧 QoS,您
可輸入需要的數值,系統預設是 60%。
內網 IP 在所有廣域網最大容忍上
傳頻寬 :
填入內網 IP 上行最大容忍使用頻寬。
內網 IP 在所有廣域網最大容忍下
載頻寬 :
填入內網 IP 下載最大容忍使用頻寬。
當任一 IP 使用超過上述設定上傳
或下載頻寬時, 此 IP 則使用下列
指定頻寬(頻寬):
當任一 IP 使用超過上述設定上傳或下載頻寬時,就實行懲罰措施,
並以各個廣域網路的上傳 / 下載分別設定,懲罰後允許使用的頻寬
是多少
啟動二次性懲罰:
點擊勾選“啟動二次性懲罰:”後,內部設置好二次懲罰條件,當內
部網路上網用戶上網過程中的上傳與下載達到內部條件將執行二次
懲罰。
顯示處罰列表:
點擊後,在彈出的對話方塊中將會顯示懲罰中的 IP,上行限制中,
下載限制中以及二次懲罰資訊。
Gigabit 網路安全路由器
8.1.4 時間管理排程
在每天以及一周內不同的時間可能需要根據頻寬的運用來採用不同的頻寬管理方式,網管可以使用這個功
能來排出不同的時間區段的頻寬管理模式,讓有限的頻寬可以發揮最大的效用。
82
啟用頻寬管理時間排程:
勾選啟用頻寬管理時間排程。
日期:
從周日到週六的一周內,每天都可以依據情況設置管理時間。
管理時間(時間表示為 24 小時制):
每天可以指定三個時段的管理時間,時間的填入方式必須為 24
小時制。若是在第一個時間段裏選擇 “全天”,則當天其餘時
間段會呈現灰色不能再做選擇。每個段的時間範圍不能重複。每
段管理時間可以選擇“關閉”、 “QoS”、 “智慧 QoS”的頻寬管理
模式。
其餘時間(時間管理以外) :
除了指定的管理時間之內,剩餘的時間也可以選擇“關閉”、
“QoS”、 “智慧 QoS”的頻寬管理模式。
確認:
點擊此按鈕“確認”即會存儲剛才所變動的修改設定內容參數。
取消:
點擊此按鈕“取消”即會清除剛才所變動的修改設定內容參數,此
操作必須於確認存儲動作之前才會有效。
離開:
點擊此按鈕“離開”即不存儲剛才所變動的修改設定內容參數,並
離開此設定頁面。
Gigabit 網路安全路由器
8.1.5 不受限制的 IP 地址
若是有內網的使用者不需要受到 QoS 的限制,可以用這個功能將這個使用者的 IP 排除再頻寬管理的限制
之內。
83
廣域網:
勾選哪些廣域網口不受限制。
來源 IP 地址/群組:
輸入不受限制的 IP 位址範圍,或者選擇不受限制的 IP 群組。
不管制的方向:
可以選擇不管制上傳、不管制下載,或是雙向都不管制。
啟用:
選擇啟動這個規則設定。
增加到對應列表:
將添加的規則增加到列表中。
刪除所選服務:
選擇列表中的規則,刪除選中的規則。
確認:
點擊此按鈕“確認”即會存儲剛才所變動的修改設定內容參數。
取消:
點擊此按鈕“取消”即會清除剛才所變動的修改設定內容參數,此操作必須於
確認存儲動作之前才會有效。
Gigabit 網路安全路由器
84
關閉:
不使用此連線數管控功能。
每一內網 IP 最大對外連
線數限制不可超過:
此選項為限制每一台內網的電腦最大可建立的對外連線數,當用戶電腦使用
連線數到達此限制值時,要建立新的連線必須等到之前的連線結束後才能再
建立。例如,當用戶使用 BT 或 P2P 等下載時且連線數超過此設定值後,當
用戶又要再開其他服務時會無法使用,除非將使用中的 BT 或 P2P 軟體關閉。
當單一個 IP 連線數到達:
阻擋此 IP 新連線
5
分鐘:此選項為當用戶端電腦使用的連線數到達您
的設定數值時,此用戶在 5 分鐘之內將不能再增加新連線,就算舊連線已經
結束,也必須等到設定時間過後才能再建立新的連線。
封鎖此 IP 所有連線
5
分鐘:此選項為當用戶端電腦使用的連線數到達
您的設定數值時,此用戶正在使用的所有連線都將被清除,且在 5 分鐘之內
將不能建立任何連線(不能上網),必須等到設定時間過後才能再建立新的連
線。
Gigabit 網路安全路由器
8.2 連線數管控
連線數管控可以控制內網的計算器最多能同時建立的連線數。這個功能對網管人員在控制內網使用 P2P 軟
體如 BT、迅雷、emule 等會造成大量發出連線數的軟體提供了非常有效的管理。設置恰當的容許連線數可以有
效控制 P2P 軟體時所能產生的連線數,相對也使頻寬使用量達到一定的限制。
另外,若電腦中了類似衝擊波的病毒而產生大量對外發連線請求時,也可以達到抑制做用。
連線管制設定以及時間管制
85
時間管制設定:
選擇“全部”,此 QoS 設定在所有時間都有效果,如果選擇“從___:___到
___:___”填入時間段(24 小時記時制,例如 19:00 到 24:00), 以及勾
選“每天/周日/週一/週二/週三/週四/週五/週六”的某一天或者幾天,其 QoS 設
定在所勾選設定的特定時間段內有效。
確定:
點擊此按鈕“確認”即會存儲剛才所變動的修改設定內容參數。
取消:
點擊此按鈕“取消”即會清除剛才所變動的修改設定內容參數,此操作必須於
確認存儲動作之前才會有效。
服務端:
選擇不受限制的服務埠。
來源 IP 地址:
輸入不受限制的 IP 位址範圍,或者選擇不受限制的 IP 群組。
啟動:
啟用此規則。
增加到對應列表:
將添加的規則增加到列表中。
刪除所選服務:
選擇列表中的規則,刪除選中的規則。
確定:
點擊此按鈕“確認”即會存儲剛才所變動的修改設定內容參數。
Gigabit 網路安全路由器
不受限制的服務或 IP 位址
當有的用戶以及 IP(比如公司管理層等),或者是特定需要不受限制的服務(公司財務資料的傳輸,郵件
的傳輸等),管理人員可以設定這些服務或者 IP 不受連線管制。
86
取消:
點擊此按鈕“取消”即會清除剛才所變動的修改設定內容參數,此操作必須於確
認存儲動作之前才會有效。
Gigabit 網路安全路由器
87
MAC 地址:
下拉式選單內容選擇意義如下
【1】來源 MAC 地址:流量條件需符合所設定來源 MAC 位址內容,保障優先流量硬體
Gigabit 網路安全路由器
8.3 硬體加速服務(未來支援)
本系列 Gigabit 旗艦路由,除了原本就具有極高的處理效能外,也提供了頻寬控管、流量優化相關的「硬體
加速」功能,此功能的主要目的在於直接使用硬體來處理、加速不同頻寬管理相關的功能,優化流量的分配使
用,完全不會消耗到 CPU 與系統整體的資源,使路由器的整體處理速度更快,更能承受大量的連線數量與電腦
數量,提供絕佳且穩定的網路使用環境。
(1) 影音遊戲加速:
將網路遊戲或是影音軟體所使用的服務埠,做流量的最高優先保證,這可以路由器在流量滿載的狀況下,優先
處理這些最高優先權的遊戲或影音流量,使遊戲與影音軟體即使是在流量滿載的狀況下仍然使用順暢不斷線。
88
加速功能才會生效。
【2】目的 MAC 位址:流量條件需符合所設定來目的 MAC 位址內容,保障優先流量硬
體加速功能才會生效。
【3】無或不需檢查:流量條件不需要符合、也不檢查任何 MAC 位址內容。
IP 位址:
下拉式選單內容選擇意義如下
【1】來源 IP 位址:流量條件需符合所設定來源 IP 位址內容,保障優先流量硬體加速功
能才會生效。
【2】目的 IP 位址:流量條件需符合所設定目的 IP 位址內容,保障優先流量硬體加速功
能才會生效。
【3】無或不需檢查:流量條件不需要符合、也不檢查任何 IP 位址內容。
通訊協議:
需優先保障、加速的遊戲、影音或是其他網路應用的服務埠協定。
可選擇 TCP 或 UDP 其中一種協議。
通訊埠:
輸入需優先保障、加速的遊戲、影音或是其他網路應用的服務通訊埠號,範圍為 1~65535。
啟用:
勾選表示啟動此條規則,取消勾選表示不啟動此條規則
增加到對應列表:
將添加的規則增加到列表中。
刪除所選項目:
選擇列表中的規則,刪除選中的規則。
Gigabit 網路安全路由器
89
Gigabit 網路安全路由器
九、防火牆配置
本章節介紹防火牆設定的選項,以及網路存取控制的設定,保證網路的安全性。
9.1 基本設置
從防火牆功能的一般設定選項當中, 您可以控制開啟或是關閉這些選項功能。出廠預設值是將防火牆開
啟,並關閉不必要的回應。
90
Gigabit 網路安全路由器
91
防火牆功能:
此為選擇開啟或關閉防火牆功能。預設啟動。
SPI 封包狀態檢測功能:
此為封包主動偵測檢驗技術,防火牆主要運作在網路層,但是藉由執行對每個
連結的動態檢驗,也擁有應用程式的警示功能。同時,封包檢驗型防火牆可以
拒絕非標準的通訊協定所使用的連結。預設啟動。
防止 DoS 攻擊:
此為保護 DoS 攻擊,如 SYN Flooding, Smurf, LAND, Ping of Death,
IP Spoofing 等。預設啟動。
不回應廣域網路端請求:
若是選擇啟動的話,則 Gigabit 路由器 會關閉對外的 ICMP 與不正常連線的封
包回應,所以若是您從外部去 ping 此台 Gigabit 路由器的 WAN IP 是無法 ping
通的,預設值為開啟拒絕對外回應的功能。
遠距管理功能:
遠端管理功能,若您要通過遠端網路 直接連線進入路由器的設定視窗,必需將
此功能開啟,並于遠端於流覽器網址填入 Gigabit 路由器的外部合法 IP 位址
(WAN IP),並加上預設可修改的控制埠(預設為 80,可更改)。
允許 Multicast 封包穿透模式:
網路上有許多影音串流媒體,使用廣播方式可以讓用戶端接收此類封包訊息格
式。預設為關閉
ARP 攻擊防禦:
此功能為防止內網遭受 ARP 欺騙攻擊而造成電腦無法上網,此 ARP 病毒欺騙
大多在網吧環境發生,會讓所有上網電腦一瞬間掉線或部份電腦無法上網。開
啟此功能可以避免此種病毒攻擊。
Gigabit 網路安全路由器
92
Gigabit 網路安全路由器
93
高級設定
封包類型: 路由器提供三種資料封包傳輸類型,包括 TCP-SYN-Flood、
UDP-Flood 以及 ICMP-Flood。
廣域網值設定:防止來自外部網路的攻擊。設定“所有封包閥值”(即外部攻擊
的所有封包資料),當其達到一個最大值(預設 15000pakets/Sec),路由器將
只允許通過所設定最大值的封包數。當單一封包閥值(外部單一一個 IP 位址
攻擊的封包資料)達到一個最大值(預設 2000pakets/Sec),就會阻擋此 IP
上網 (預設是 5 分鐘),禁止其訪問伺服器,限制其流量和連接數,
從而有效保證網路的安全。這裏您可以根據需要調整你的閥值以及阻擋時間來
達到對外網攻擊的有效防護,建議其閥值從大到小來調節,避免閥值過小影響
正常網路的運行。
區域網路閥值設定:防止來自內部網路的攻擊。同樣,當所有封包閥值(即外
部攻擊的所有封包資料)達到一個最大值(預設 15000pakets/Sec),路由器
將只允許通過所設定最大值的封包數。當單一封包閥值(內部單一一個 IP 位
址攻擊的封包資料)達到一個最大值(預設 2000pakets/Sec),就會阻擋此 IP
上網 (預設是 5 分鐘),禁止其訪問伺服器,限制其流量和連接數,
從而有效保證網路的安全。您可以根據需要調整你的閥值以及阻擋時間來達到
對內網攻擊的有效防護,建議其閥值從大到小來調節,避免閥值過小影響正常
網路的運行。
例外的來源 IP:指定某些來源端的 IP 地址/群組 不受到閾值的限制。
例外的目的 IP:指定某些目的端的 IP 位址/群組 不受到閾值的限制。
確認:
點擊此按鈕“確定”即會存儲剛才所變動的修改設定內容參數。
取消:
點擊此按鈕“取消”即會清除剛才所變動的修改設定內容參數,此操作必須於“確
定”存儲動作之前才會有效。
阻擋特定服務:
針對目前較多人使用的應用服務進行封鎖管制,例如即時通訊 IM、P2P 下載軟
體或網路視訊軟體等。
Gigabit 網路安全路由器
94
Gigabit 網路安全路由器
95
Skype-不受限制的目的地 IP
網域:
進行 Skype 封鎖,有可能會影響部分網站的正常訪問或登錄,所以當封鎖 Skype
應用程式後,建議將常會用到的網站或是必要的網站加入例外清單之中,以避
免無法正常訪問網站或是登錄該網站相關服務。
QQ-不受限制的 QQ 號碼:
進行 QQ 封鎖之後,仍可以針對不需受到限制的使用者開放 QQ服務,此時就
要將這些使用者 QQ 號碼加入到不受限制的 QQ 號碼清單之中,如下圖:
內網不受限制的 IP 位址:
針對以上所封鎖的服務,開放內網不受限制的使用者 IP / IP 範圍。
特定服務:
選擇某個封鎖的服務應用,進行不受限制的內網 IP 設定。
不受限制的 IP 位址:
針對上方所選的已封鎖的應用服務,設定那些 IP可以開放使用不受限制。
Block Filte Type:
封鎖一些常用的檔案格式傳輸,例如 exe 執行檔、zip 壓縮檔等。
Gigabit 網路安全路由器
96
內網不受限制的 IP 位址:
針對以上所封鎖的特殊檔案格式,開放內網不受限制的使用者 IP / IP 範圍。
Gigabit 網路安全路由器
97
Gigabit 網路安全路由器
9.2 訪問規則設置
Gigabit 路由器設計有簡而易懂的網路存取規則條例工具,管理者可以用來對不同的使用者設定不同的存取
規則條件,來管理使用者對網路的存取許可權。存取規則可以依據不同的條件來過濾,例如可以設定封包要管
制的進出方向是從內部到外部還是從外部到內部,或是設定以使 IP 位址、目地端 IP 位址、IP 通訊協定狀態等
條件來做管制,管理者可以依照實際的需求調性設置。
9.2.1 預設管制規則
管理者定訂的網路存取規則條例,可以選擇關閉或是允許來調整使用者對網路的存取。以下就針對 Gigabit
路由器的網路存取規則條例做一說明:
Gigabit 路由器預設的網路存取規則條例:
*從 LAN 端到 WAN 端的所有封包可以通過-All traffic from the LAN to the WAN is allowed
*從 WAN 端到 LAN 端的所有封包不可以通過-All traffic from the WAN to the LAN is denied
*從 LAN 端到 DMZ 端的所有封包不可以通過-All traffic from the LAN to the DMZ is denied
*從 DMZ 端到 LAN 端的所有封包不可以通過-All traffic from the DMZ to the LAN is denied
*從 WAN 端到 DMZ 端的所有封包不可以通過-All traffic from the WAN to the DMZ is denied
*從 DMZ 端到 WAN 端的所有封包不可以通過-All traffic from the DMZ to the WAN is denied
管理者可以自定存取規則並且超越 Gigabit 路由器的預設存取條件規則,但是以下的四種額外服務專案
為永遠開啟,不受其他自定規則所影響:
* HTTP 的服務從 LAN 端到 Gigabit 路由器 預設為開啟的 (為了管理 Gigabit 路由器使用)。
* DHCP 的服務從 LAN 端到 Gigabit 路由器 預設為開啟的 (為了從 Gigabit 路由器自動取得 IP 位址
使用)。
* DNS 的服務從 LAN 端到 Gigabit 路由器 預設為開啟的 (為了解析 DNS 服務使用)。
* Ping 的服務從 LAN 端到 Gigabit 路由器 預設為開啟的 ( 為了連通測試 Gigabit 路由器使用)。
Loading...