多 WAN 口企业 VPN 路由器
TL-ER6120
用户手册
Rev1.0.0
1910040135
声明
Copyright © 2010 深圳市普联技术有限公司
版权所有,保留所有权利
未经深圳市普联技术有限公司明确书面许可,任何单位或个人不得擅自仿制、复制、誊抄或转译本书部
分或全部内容。不得以任何形式或任何方式(电子、机械、影印、录制或其他可能的方式)进行商品传
播或用于任何商业、赢利目的。
为深圳市普联技术有限公司注册商标。本文档提及的其他所有商标或注册商标,由
各自的所有人拥有。
本手册所提到的产品规格和资讯仅供参考,如有内容更新,恕不另行通知。可随时查阅我们的万维网页
http://www.tp-link.com.cn。除非有特殊约定,本手册仅作为使用指导,本手册中的所有陈述、信息等均
不构成任何形式的担保。
-I-
目录
物品清单 .............................................................................................................................1
第 1 章 用户手册简介
1.1 目标读者.................................................................................................................................2
1.2 本书约定.................................................................................................................................2
1.3 章节安排.................................................................................................................................2
第 2 章 产品介绍
2.1 产品描述.................................................................................................................................4
2.2 产品特性.................................................................................................................................5
2.3 产品外观.................................................................................................................................6
2.3.1 前面板........................................................................................................................6
2.3.2 后面板........................................................................................................................8
第 3 章 配置指南
3.1 登录Web界面 .........................................................................................................................9
..........................................................................................................2
................................................................................................................4
................................................................................................................9
3.2 Web界面简介 .......................................................................................................................10
3.2.1 界面总览 ..................................................................................................................10
3.2.2 界面常见按钮及操作 ................................................................................................12
第 4 章 功能设置
4.1 基本设置...............................................................................................................................15
4.1.1 系统状态 ..................................................................................................................15
4.1.2 系统模式 ..................................................................................................................16
4.1.3 WAN设置 .................................................................................................................18
4.1.4 LAN设置...................................................................................................................29
4.1.5 DMZ设置..................................................................................................................32
4.1.6 MAC设置..................................................................................................................34
4.1.7 交换机设置...............................................................................................................35
..............................................................................................................15
4.2 传输控制...............................................................................................................................41
4.2.1 转发规则 ..................................................................................................................41
-II-
4.2.2 带宽控制 ..................................................................................................................48
4.2.3 连接数限制...............................................................................................................51
4.2.4 流量均衡 ..................................................................................................................53
4.2.5 路由设置 ..................................................................................................................59
4.3 安全策略...............................................................................................................................63
4.3.1 ARP防护 ..................................................................................................................63
4.3.2 攻击防护 ..................................................................................................................66
4.3.3 MAC过滤..................................................................................................................68
4.3.4 访问策略 ..................................................................................................................69
4.3.5 组管理......................................................................................................................75
4.4 VPN......................................................................................................................................78
4.4.1 IKE...........................................................................................................................79
4.4.2 IPsec........................................................................................................................82
4.4.3 L2TP/PPTP..............................................................................................................87
4.5 系统服务...............................................................................................................................91
4.5.1 电子公告 ..................................................................................................................91
4.5.2 动态DNS ..................................................................................................................93
4.5.3 UPnP服务 ................................................................................................................95
4.6 系统工具...............................................................................................................................96
4.6.1 设备管理 ..................................................................................................................96
4.6.2 流量统计 ................................................................................................................102
4.6.3 诊断工具 ................................................................................................................103
4.6.4 时间设置 ................................................................................................................106
4.6.5 系统日志 ................................................................................................................107
第 5 章 典型配置
5.1 典型配置需求 ..................................................................................................................... 110
5.2 典型配置方案 ..................................................................................................................... 110
5.3 典型组网拓扑 ..................................................................................................................... 111
............................................................................................................110
-III-
5.4 典型配置步骤 ..................................................................................................................... 111
5.4.1 系统模式设置 ......................................................................................................... 111
5.4.2 WAN模式设置 ........................................................................................................112
5.4.3 上网方式设置 .........................................................................................................112
5.4.4 IPsec VPN设置 ......................................................................................................112
5.4.5 上网行为管理 .........................................................................................................115
5.4.6 局域网ARP攻击防护设置 ....................................................................................... 116
5.4.7 广域网ARP攻击防护设置 ....................................................................................... 118
5.4.8 网络攻击防护设置 .................................................................................................. 118
5.4.9 带宽控制设置 .........................................................................................................119
5.4.10 连接数限制设置......................................................................................................120
5.4.11 内网流量监控 .........................................................................................................121
第 6 章 命令行简介
6.1 搭建平台.............................................................................................................................123
6.2 界面模式.............................................................................................................................126
6.3 在线帮助.............................................................................................................................127
6.4 命令介绍.............................................................................................................................128
6.4.1 接口设置 ................................................................................................................128
6.4.2 IP MAC 绑定设置 ..................................................................................................129
6.4.3 系统管理 ................................................................................................................129
6.4.4 用户信息管理 .........................................................................................................131
6.4.5 历史命令管理 .........................................................................................................132
6.4.6 退出CLI ..................................................................................................................132
.........................................................................................................123
附录A 常见问题
附录B 术语表
附录C 规格参数
...............................................................................................................135
............................................................................................................133
............................................................................................................139
-IV-
物品清单
请仔细检查包装盒,里面应有以下配件:
¾ 一台 TP-LINK 多 WAN 口企业 VPN 路由器
¾ 一根 Console 连接线
¾ 一根电源线
¾ 一本安装手册
¾ 一张保修卡
¾ 一张光盘
¾ 两个 L 型支架及其他配件
注意:
如果发现有配件短缺或损坏的情况,请及时与当地经销商联系。
-1-
第1章 用户手册简介
本手册旨在帮助您正确使用本款路由器。内容包含对路由器性能特征的描述以及配置路由器的详细
说明。请在操作前仔细阅读本手册。
1.1 目标读者
本手册的目标读者为熟悉网络基础知识、了解网络术语的技术人员。
1.2 本书约定
在本手册中,
¾ 所提到的“路由器”、“本产品”等名词,如无特别说明,系指 TL-ER6120 多 WAN 口企业 VPN
路由器,下面简称为 TL-ER6120。
¾ 用 >> 符号表示配置界面的进入顺序。默认为一级菜单 >> 二级菜单 >> 标签页,其中,部分
功能无二级菜单。
¾ 正文中出现的<>尖括号标记文字,表示 Web 界面的按钮名称,如<确定>。
¾ 正文中出现的“”双引号标记文字,表示 Web 界面出现的除按钮外名词,如“ARP 绑定”界
面。
本手册中使用的特殊图标说明如下:
图标 含义
该图标提醒您对设备的某些功能设置引起注意,如果设置错误可能导致数据
注意:
说明:
丢失,设备损坏等不良后果。
该图标表示此部分内容是对相应设置、步骤的补充说明。
1.3 章节安排
第 1 章:用户手册简介。帮助快速掌握本手册的结构、了解本手册的约定,从而更有效地使用本手册。
第 2 章:产品介绍。介绍本产品特性、应用以及外观。
第 3 章:配置指南。指导如何登录 TL-ER6120 的 Web 管理界面,并简要介绍界面特点。
第 4 章:功能设置。介绍 TL-ER6120 的所有功能,帮助您更充分地使用本产品。
第 5 章:典型配置。以真实的企业网络应用为例,解决实际需求。
第 6 章:命令行简介。介绍路由器 Console 口登录方法及配置中常用的 CLI 命令。
-2-
附录 A:常见问题。
附录 B:术语表。
附录 C:规格参数。
-3-
第2章 产品介绍
2.1 产品描述
TL-ER6120 是一款多 WAN 口企业 VPN 路由器,是 TP-LINK 公司全新开发的高性能 VPN 路由器
产品,具备强大的数据处理能力,并且支持丰富的软件功能,包括 VPN、IP/MAC 地址绑定、常见攻击
防护、访问控制、IP 带宽控制、连接数限制、QQ/MSN/迅雷/金融软件限制及电子公告等功能,适合中
小型企业、机关单位、酒店、小区等组建安全、高效、易管理的网络。
强大的数据处理能力
采用 64 位网络专用处理器,128MB DDRII 高速内存,数据包处理能力得到大幅提升,可实现 LAN、
WAN 口间数据的线速转发。
支持多种 VPN,保障远程接入安全
提供标准的 IPsec VPN 功能,支持数据完整性校验、数据源认证、防数据包重放和数据加密功能
(DES、3DES、AES128、AES152、AES256 等加密算法);支持 IKE 和手动模式建立 VPN 隧道,并
支持通过域名方式配置 VPN 连接。
提供 L2TP/PPTP VPN 功能,支持 L2TP/PPTP VPN 服务器模式,允许出差员工或分支结构远程安
全接入公司网络。
多种方式管控员工上网行为
支持基本的访问控制列表,可限制包括 FTP 下载、收发邮件、Web 浏览,视频及语音通信等在内
的各种网络应用,并支持基于用户组和时间段分配访问控制规则。
支持针对 IM 软件(QQ/Web QQ/MSN)、P2P 软件(迅雷)和金融软件(大智慧、分析家、同花顺)
三大类应用的一键限制功能,并可根据用户组配置限制策略,可针对不同用户分配不同权限,保证关键
用户的正常使用。
支持基于网站黑白名单及用户组的过滤策略,避免访问恶意网站带来的潜在危害。
多 WAN 口负载均衡与线路备份
提供 1 个 10/100M 固定 WAN 口、1 个 10/100M 固定 LAN 口和 3 个 10/100M WAN/LAN 可配置端
口,用户可根据实际网络需求灵活配置 WAN 口数量,满足多条线路接入的组网需求;支持多种负载均
衡策略,包括智能均衡、特殊应用程序选路、ISP 选路、策略选路等,充分利用 WAN 口带宽,保护用
户投资;支持 WAN 口备份功能,一旦主线路出现故障,流量将迅速切换至备份线路,保证网络正常运
作。同时支持定时备份和故障备份两种备份模式。
全面的攻击防护能力
提供 IP 与 MAC 地址自动扫描及一键绑定功能,能够同时绑定 LAN 口(内网)、WAN 口(外网)
主机的 IP 与 MAC 地址信息,防止内/外网 ARP 欺骗;支持发送免费 GARP 包,在遭受 ARP 欺骗时,
可按照指定频率主动发送 ARP 更正信息,及时恢复网络正常状态。
-4-
支持内/外网攻击防护功能,可防范各种常见的 DoS 攻击、扫描类攻击、可疑包攻击行为,如:TCP
Syn Flood、UDP Flood、ICMP Flood、WinNuke 攻击、分片报文攻击、WAN 口 ping、TCP Scan(Stealth
FIN/Xmas/Null)、IP 欺骗等。
支持基于 MAC 地址的过滤功能,阻断非法主机的接入。
灵活的带宽管理策略
可通过 IP 地址对网络中每一台主机进行双向带宽控制,有效抑制 BT、迅 雷 等 P2P 应用过度占用带
宽,避免造成上网速度慢的问题,保障网络时刻畅通;提供基于 IP 的连接数限制功能,可限制每一台电
脑的连接数占有量,合理利用有限的 NAT 连接数资源,防止少数用户过度占用大量连接数,确保上网、
视频语音会议等顺畅进行。
2.2 产品特性
硬件特性
¾ 采用 64 位网络专用处理器,主频 500MHz;
¾ 配备容量为 128MB 的 DDRII-533 高速内存;
¾ 提供 1 个百兆固定 WAN 口,1 个百兆固定 LAN 口和 3 个百兆 WAN/LAN 可变端口;
¾ 提供 1 个硬件 DMZ 接口;
¾ 提供 1 个 Console 口;
¾ 内置高品质开关电源,无风扇静音设计;
¾ 1U 钢壳,可安装于 19 英寸标准机架,工业级设计。
支持协议
¾ 符合 IEEE 802.3、IEEE 802.3u 标准;
¾ 支持 AH、ESP、IKE、PPP 等协议;
¾ 支持 TCP/IP,DHCP,ICMP,NAT,NAPT 等协议;
¾ 支持 PPPoE,SNTP,HTTP,DDNS、UPnP,NTP 等协议。
基本功能
¾ 支持静态 IP、动态 IP、PPPoE、L2TP、PPTP 多种接入方式;
¾ 支持虚拟服务器、端口触发、ALG、静态路由、RIP 动态路由等功能;
¾ 内置简单管理交换机,支持 VLAN 设置和端口监控等交换机功能;
¾ 支持 LAN 口、WAN 口以及 DMZ 口的 MAC 地址修改;
¾ 支持配置文件备份与导入;
¾ 支持系统日志、日志服务器、流量统计、系统时间设置等功能;
-5-
¾ 支持 Web 和远程管理,全中文配置界面;
¾ 提供诊断工具(Ping、Tracert),支持 WAN 口在线检测功能。
VPN
¾ 支持基于 AH/ESP 封装的 IPsec VPN,允许建立最多 64 条 VPN 隧道;
¾ 支持 MD5、SHA1 验证算法和 DES、3DES、AES128、AES152、AES256 等加密算法;
¾ 支持 IKE 协商加密密钥,支持预共享密钥认证,支持 DH1/DH2/DH5 密钥交换算法;
¾ 支持 L2TP/PPTP VPN,支持服务器与客户端模式。
带宽管理
¾ 支持基于 IP 的带宽控制,可限制单机带宽;
¾ 支持连接数设置,可限制单机连接数。
网络安全
¾ 内建防火墙,支持 URL、MAC 地址过滤;
¾ 支持访问控制,可自定义服务类型;
¾ 支持攻击防护功能,可对网络攻击和病毒攻击进行防范;
¾ 支持局域网 IP/MAC 地址绑定,防范局域网 ARP 攻击;
¾ 支持广域网 IP/MAC 地址绑定,防范广域网 ARP 攻击;
¾ 支持定时发送免费 ARP 包功能,防范局域网 ARP 欺骗。
2.3 产品外观
2.3.1 前面板
TL-ER6120 的前面板由 5 个 10/100M接口、1 个Console接口、指示灯和Reset键组成。如图 2-1所
示。
图 2-1 TL-ER6120 前面板示意图
-6-
¾ 5 个 10/100Mbps 自适应 RJ45 接口
TL-ER6120 支持 10Mbps/100Mbps带宽的连接设备。每个接口对应一组指示灯,即 Link/Act 和 100M
指示灯。
¾ 1 个 Console 接口
Console接口位于面板最右边,使用此接口可以对路由器进行命令行配置,详见第 6 章命令行简介。
¾ Reset 键
如果需要将路由器恢复到出厂默认设置,请在路由器通电的情况下,使用尖状物按住路由器前面板
的 Reset 键,等待 5-10 秒后,见到 M1 长亮 2-5 秒,松开按键,待 M1 和 M2 两灯同时快闪约 1 秒,此
时路由器已成功恢复出厂配置。路由器出厂默认管理地址是 192.168.1.1 ,默认用户名/密码是
admin/admin。
¾ 指示灯
指示灯包括电源 PWR 指示灯,系统状态 M1/M2 指示灯,连接状态 Link/Act 指示灯,100M 速率指
示灯,DMZ 接口状态指示灯。通过指示灯可以监控路由器的工作状态,下表将详细说明指示灯工作状态:
指示灯 名称 状态描述
常亮表示系统供电正常
PWR 电源指示灯
常灭表示电源关闭或电源故障
按下 Reset 键时常亮表示正在恢复出厂配置,与
M1 系统状态指示灯
M2 同时快闪约 1 秒表示恢复出厂配置成功
系统正常工作时常灭,其他状态表示系统异常
按下 Reset 键后,与 M1 同时快闪约 1 秒表示恢
复出厂配置成功
M2 系统状态指示灯
系统正常工作时以每秒 1 次的频率闪烁,其他状
态表示系统异常
常亮表示相应端口已正常连接
Link/Act 广域网和局域网状态指示灯
100M 速率指示灯
DMZ DMZ 接口状态指示灯
闪烁表示相应端口正在传输数据
常灭表示相应端口未建立连接
常亮表示端口速率为 100Mbps
常灭表示端口速率为 10Mbps 或者未接入设备
常亮表示 DMZ 接口已启用
常灭表示 DMZ 接口已关闭
-7-
2.3.2 后面板
路由器后面板由电源接口和防雷接地柱组成,如图 2-2所示:
图 2-2 后面板示意图
¾ 电源接口
位于后面板右侧,接入电源需为 100-240V~ 50/60Hz 0.6A 的交流电源。
¾ 防雷接地柱
请使用黄绿双色外皮的铜芯导线接地,以防雷击,具体请参考《设备防雷安装手册》。
注意:
● 请使用原装电源线。
● 电源插座请安装在设备附近便于触及的位置,以方便操作。
-8-
第3章 配置指南
3.1 登录Web界面
第一次登录时,需要确认以下几点:
1) 路由器已正常加电启动,任一 LAN 口已与管理主机相连。
2) 管理主机已正确安装有线网卡及该网卡的驱动程序、并已正确安装 IE 6.0 或以上版本的浏览器。
3) 管理主机 IP 地址已设为与路由器 LAN 口同一网段,即 192.168.1.X(X 为 2 至 254 之间的任
意整数),子网掩码为 255.255.255.0,默认网关为路由器管理地址 192.168.1.1。也可选择“自
动获得 IP 地址”来通过路由器 DHCP 自动分配 IP 地址。
4) 为保证能更好地体验 Web 界面显示效果,建议将显示器的分辨率调整到 1024×768 或以上像
素。
打开IE浏览器,在地址栏输入http://192.168.1.1
路由器登录界面如图 3-1所示。
登录TL-ER6120 的Web管理界面。
图 3-1 路由器登录界面
在此界面输入路由器管理帐号的用户名和密码,出厂缺省值为admin/admin。成功登录后将看到路
由器的系统状态信息,如图 3-2。
-9-
图 3-2 TL-ER6120 系统状态
3.2 Web界面简介
3.2.1 界面总览
TL-ER6120 路由器典型的Web界面如图 3-3所示。
-10-
图 3-3 典型 Web 界面
在图 3-4 Web界面区域划分中可以看到,左侧为一级、二级菜单栏,右侧上方长条区域为菜单下的
标签页,当一个菜单包含多个标签页时,可以通过点击标签页的标题在同级菜单下切换标签页。右侧标
签页下方区域可分为两部分,条目配置区以及列表管理区。
图 3-4 Web 界面区域划分
-11-
3.2.2 界面常见按钮及操作
¾ 条目配置区常见按钮
按钮 含义
说明:
<修改>按钮只有当编辑列表中的规则/条目时才会出现,取代原本的<新增>按钮。
保存当前配置信息。
新增当前配置信息。
修改并保存编辑后的配置信息。
快速清除当前配置项中已输入的所有信息。
打开当前功能的帮助界面。
¾ 列表管理区常见按钮
按钮 含义
选中当前列表中所有规则/条目。
启用选中的规则/条目,可批量操作。
禁用选中的规则/条目,可批量操作。
使选中的规则/条目生效,可批量操作。
-12-
¾ 列表管理区扩展按钮
按照指定关键字段搜索相应的规则。
使选中的规则/条目不生效,可批量操作。
删除选中的规则/条目,可批量操作。
刷新列表。
列名 选择当前列表中任一表头字段。
内容 输入关键字。
状态 指定搜索范围为“启用”、“禁用”或者任意状态下的规则/条目。
¾ 列表管理区常见操作
按钮 名称 含义
编辑
点击后,需要编辑的规则/条目内容会出现在列表上方的配置管理区,
原<新增>按钮同时变为<修改>按钮。在配置管理区修改当前配置后,
点击<修改>按钮保存生效。该操作不可批量进行。
启用/生效 点击后,修改当前规则/条目状态。该操作不可批量进行。
-13-
禁用/不生效 点击后,修改当前规则/条目状态。该操作不可批量进行。
删除 点击后,删除当前规则/条目。该操作不可批量进行。
-14-
第4章 功能设置
4.1 基本设置
4.1.1 系统状态
系统状态界面显示路由器当前硬件和软件版本信息、各接口配置信息以及系统资源使用情况。
界面进入方法:基本设置 >> 系统状态 >> 系统状态
图 4-1 系统状态界面
-15-
4.1.2 系统模式
TL-ER6120 路由器可以工作在 3 种模式下:NAT 模式、路由模式和全模式。
若TL-ER6120 需要作为网关应用在局域网与广域网之间,拓扑如图 4-2,可以将TL-ER6120 系统
模式设为NAT模式;
图 4-2 组网拓扑-NAT 模式
若TL-ER6120 在大型组网内用于连接两个不同区域的网络,这两个区域的主机都必须通过路由规则
进行通信,拓扑如图 4-3,可以将TL-ER6120 系统模式设为路由模式;
图 4-3 组网拓扑-路由模式
若TL-ER6120 应用于混合的组网拓扑中,如图 4-4,则可以将TL-ER6120 系统模式设为全模式。
-16-
图 4-4 组网拓扑-全模式
界面进入方法:基本设置 >> 系统模式 >> 系统模式
图 4-5 系统模式设置界面
请根据实际网络需要选择路由器的工作模式。
NAT 模式。此模式下,由局域网向广域网发送的数据包默认经过 NAT 转换,但路由器对所有源地
址与局域网接口不在同一网段的数据包均不进行处理。例如,路由器 LAN 口 IP 设置为 192.168.1.1,子
网掩码为 255.255.255.0,LAN 口所处网段为 192.168.1.0/24,此时,路由器收到源地址为 192.168.1.123
的数据包会进行 NAT 转换;但如果收到源地址为 20.31.76.80 的数据包则直接丢弃。
路由模式。此模式下,处于不同网段的主机可以通过相应的路由设置进行通信,但路由器不进行NAT
转换。例如,当路由器DMZ口处于广域网模式时,DMZ区域内主机需要以路由方式访问广域网中的服务
器,若静态路由规则允许,则可正常通信。此时,局域网内的主机不能访问广域网。
说明:
路由模式下,所有转发规则将失效。
全模式。全模式包含了 NAT 模式及路由模式,此模式下,路由器首先对符合 NAT 转发条件的数据
包进行 NAT 转换;若不符合,则进行静态路由规则匹配,匹配成功的数据包以路由模式进行转发;匹配
失败的数据包直接丢弃。这样,路由器既允许数据包进行 NAT 转换,也不阻隔与接口在不同网段的数据
包。
-17-
4.1.3 WAN设置
4.1.3.1 WAN模式
TL-ER6120 支持多种 WAN 口模式:单 WAN 口、双 WAN 口、三 WAN 口、四 WAN 口。
界面进入方法:基本设置 >> WAN 设置 >> WAN 模式
图 4-6 WAN 模式设置界面
请根据实际需求选择路由器的WAN模式。路由器会根据不同的WAN口模式对各物理端口做出相应
配置,具体请参考图 4-6中的产品接口示意图。
注意:
TL-ER6120 出厂默认为双 WAN 口模式,切换 WAN 口模式可能导致配置信息丢失。若有重要配置信息,
请在切换模式前备份。此外,若选择了四 WAN 口模式,DMZ 口将无法使用。
4.1.3.2 WAN1 设置
TL-ER6120 提供五种方式接入广域网:静态 IP、动态 IP、PPPoE、L2TP、PPTP,请根据 ISP(Internet
Service Provider, 网络服务提供商)提供的服务进行选择。
¾ 有线宽频一般使用动态 IP 连接方式;
¾ 光纤接入以及企业、网吧局域网内组网一般使用静态 IP 连接方式;
¾ xDSL 拨号上网则使用 PPPoE 连接方式;
¾ 虚拟专用拨号网络一般使用 L2TP 或 PPTP 连接方式。
说明:
● TL-ER6120 允许设置多个 WAN 口的 IP 地址为同一个网段,但需保证这些 WAN 口能连通到同一个
网域,比如都连通到因特网或同一个局域网,否则可能会导致通信异常。
● 根据 WAN 口数量的不同,对 WAN 口进行设置的标签页个数也会不同。其他 WAN 口的设置方法请
参考本节。
-18-
界面进入方法:基本设置 >> WAN 设置 >> WAN1 设置
1) 静态 IP 连接
若 ISP 提供了固定的 IP 地址,请选择静态 IP 手动配置 WAN 口参数。
图 4-7 WAN 口设置界面-静态 IP
界面项说明:
¾ 静态 IP 设置
连接方式 选择静态 IP 连接方式,进行手动配置。
IP 地址 设置路由器 WAN 口的 IP 地址。
子网掩码 设置路由器 WAN 口的子网掩码。
网关地址 设置网关地址。
MTU
MTU(Maximum Transmission Unit, 最大传输单元),可以设置数据包的
最大长度。取值范围是 576-1500 之间的整数,默认值为 1500。若 ISP
未提供 MTU 值,请保持默认值不变。
首选 DNS 服务器 设置 DNS(Domain Name Server, 域名解析服务器)地址,一般由 ISP
提供,如果留空,则无法通过域名访问互联网。
备用 DNS 服务器 设置备用 DNS 地址,一般由 ISP 提供,允许留空。
-19-
上行带宽 设置当前 WAN 接口数据流出的带宽大小。
下行带宽 设置当前 WAN 接口数据流入的带宽大小。
2) 动态 IP 连接
若 ISP 提供 DHCP 自动分配地址服务,请选择动态 IP 自动获取 WAN 口参数。
图 4-8 WAN 口设置界面-动态 IP
界面项说明:
¾ 动态 IP 设置
连接方式 选择动态 IP 连接方式。点击<获取>得到 IP 参数,点击<释放>则不再
使用现有 IP 参数。
主机名 输入用于标识路由器的名称。
-20-
MTU
MTU(Maximum Transmission Unit, 最大传输单元),可以设置数据包的
最大长度。取值范围是 576-1500 之间的整数,默认值为 1500。若 ISP
未提供 MTU 值,请保持默认值不变。
手动设置 DNS 服务器 如果需要手动设置 DNS(Domain Name Server, 域名解析服务)地址,
请勾选此项。
首选 DNS 服务器 设置 DNS 地址,一般由 ISP 提供。
备用 DNS 服务器 设置备用 DNS 地址,一般由 ISP 提供,允许留空。
上行带宽 设置当前 WAN 接口数据流出的带宽大小。
下行带宽 设置当前 WAN 接口数据流入的带宽大小。
¾ 动态 IP 状态
连接状态 显示当前 WAN 口 DHCP 分配状态。
“未启用”表示当前已选择动态 IP 连接方式但未保存生效;
“正在连接”表示当前路由器正在向 ISP 获取 IP 参数;
“已连接”表示路由器已成功获取 IP 参数;
“未连接”表示已手动释放连接,或路由器已发起请求,但未得到响应,
请检查连接线路是否正常,若问题无法解决,请与 ISP 联系。
IP 地址 显示自动获取到的 IP 地址。
子网掩码 显示自动获取到的子网掩码。
网关地址 显示自动获取到的网关地址。
首选 DNS 服务器 显示 DNS 地址。
备用 DNS 服务器 显示备用 DNS 地址。
3) PPPoE 连接
若使用 xDSL/Cable Modem 拨号接入互联网,ISP 会提供上网帐号及密码,请选择 PPPoE 连接方
式。
-21-
图 4-9 WAN 口设置界面-PPPoE
界面项说明:
¾ PPPoE 设置
连接方式 选择 PPPoE。点击<连接>开始拨号并获取 IP 参数,点击<断开>则取
消与互联网的连接同时释放已获取的 IP 参数。
帐号 PPPoE 拨号的用户名,由 ISP 提供。
密码 PPPoE 拨号的密码,由 ISP 提供。
-22-
手动连接 用户可在需要上网时手动点击<连接>按钮连入互联网,适合按小时计费
的拨号连接上网方式。
自动连接 每次接通路由器电源,路由器便自动拨号连入互联网,适合不限时间的
包月计费拨号连接上网方式。
定时连接 设置连接时段,在此时段内路由器如果开启则自动拨号连接,适合用于
需要限时上网的场合。
启用 PPPoE 高级设置 可以在此手动指定 MTU 值、服务名及 DNS(Domain Name Server, 域
名解析服务)地址。如果不清楚这些参数,请勿勾选此项。
MTU
MTU(Maximum Transmission Unit, 最大传输单元),可以设置数据包的
最大长度。取值范围是 576-1492 之间的整数,默认值为 1480。若 ISP
未提供 MTU 值,请保持默认值不变。
服务名 输入服务名称,由 ISP 提供。
首选 DNS 服务器 设置 DNS 地址,一般由 ISP 提供。
备用 DNS 服务器 设置备用 DNS 地址,一般由 ISP 提供,允许留空。
上行带宽 设置当前 WAN 接口数据流出的带宽大小。
下行带宽 设置当前 WAN 接口数据流入的带宽大小。
¾ PPPoE 状态
连接状态 显示当前 WAN 口 PPPoE 拨号连接状态。
“未启用”表示当前已选择 PPPoE 拨号连接方式但未保存生效;
“正在连接”表示当前路由器正在向 ISP 获取 IP 参数;
“已连接”表示路由器已成功获取 IP 参数;
“未连接”表示已手动断开连接,或路由器已发起请求,但未得到响应,
请检查用户名密码是否正确、连接线路是否正常,若问题无法解决,请
与 ISP 联系。
IP 地址 显示通过 PPPoE 拨号后获取到的 IP 地址。
-23-
网关地址 显示通过 PPPoE 拨号后获取到的网关地址。
首选 DNS 服务器 显示 DNS 地址。
备用 DNS 服务器 显示备用 DNS 地址。
4) L2TP 连接
若使用 L2TP 虚拟专用拨号接入网络,ISP 会提供上网帐号及密码,请选择 L2TP 连接方式进行设
置。
图 4-10 WAN 口设置界面-L2TP
-24-
界面项说明:
¾ L2TP 设置
连接方式 选择 L2TP。点击<连接>开始拨号并获取 IP 参数,点击<断开>则取消
与互联网的连接同时释放已获取的 IP 参数。
帐号 L2TP 拨号的用户名,由 ISP 提供。
密码 L2TP 拨号的密码,由 ISP 提供。
服务器 IP L2TP 拨号的服务器的 IP 地址,由 ISP 提供。
MTU
MTU(Maximum Transmission Unit, 最大传输单元),可以设置数据包的
最大长度。取值范围是 576-1460 之间的整数,默认值为 1460。若 ISP
未提供 MTU 值,请保持默认值不变。
静态/动态 选择静态或动态获取 IP 地址。若选择静态方式,则需要手动设置 IP 地
址;若选择动态,则外部的 DHCP 服务器将动态分配一个 IP 地址。
IP 地址 若选择静态,设置路由器 WAN 口的 IP 地址;若选择动态,显示路由
器 WAN 口获取到的 IP 地址。
子网掩码 若选择静态,设置路由器 WAN 口的子网掩码;若选择动态,显示路由
器 WAN 口获取到的子网掩码。
网关地址 若选择静态,设置网关地址;若选择动态,显示获取到的网关地址。
首选 DNS 服务器 若选择静态,设置 DNS(Domain Name Server, 域名解析服务器)地址,
一般由 ISP 提供,如果留空,则无法通过域名访问互联网;若选择动态,
显示分配到的 DNS 地址。
备用 DNS 服务器 若选择静态,设置备用 DNS 地址,一般由 ISP 提供,允许留空;若选
择动态,显示分配到的备用 DNS 地址。
手动连接 用户可在需要上网时手动点击<连接>按钮进行连接。
自动连接 每次接通路由器电源,路由器便会进行自动拨号。
上行带宽 设置当前 WAN 接口数据流出的带宽大小。
-25-
下行带宽 设置当前 WAN 接口数据流入的带宽大小。
¾ L2TP 状态
连接状态 显示当前 WAN 口 L2TP 拨号连接状态。
“未启用”表示当前已选择 L2TP 拨号连接方式但未保存生效;
“正在连接”表示当前路由器正在向 ISP 获取 IP 参数;
“已连接”表示路由器已成功获取 IP 参数;
“未连接”表示已手动断开连接,或路由器已发起请求,但未得到响应,
请检查用户名密码是否正确、连接线路是否正常,若问题无法解决,请
与 ISP 联系。
IP 地址 显示通过 L2TP 拨号后获取到的 IP 地址。
首选 DNS 服务器 显示 DNS 地址。
备用 DNS 服务器 显示备用 DNS 地址。
5) PPTP 连接
若使用 PPTP 虚拟专用拨号接入网络,ISP 会提供上网帐号及密码,请选择 PPTP 连接方式进行设
置。
-26-
图 4-11 WAN 口设置界面-PPTP
界面项说明:
¾ PPTP 设置
连接方式 选择 PPTP。点击<连接>开始拨号并获取 IP 参数,点击<断开>则取消
与互联网的连接同时释放已获取的 IP 参数。
帐号 PPTP 拨号的用户名,由 ISP 提供。
密码 PPTP 拨号的密码,由 ISP 提供。
-27-
服务器 IP PPTP 拨号的服务器的 IP 地址,由 ISP 提供。
MTU
MTU(Maximum Transmission Unit, 最大传输单元),可以设置数据包的
最大长度。取值范围是 576-1460 之间的整数,默认值为 1460。若 ISP
未提供 MTU 值,请保持默认值不变。
静态/动态 选择静态或动态获取 IP 地址。若选择静态方式,则需要手动设置 IP 地
址;若选择动态,则外部的 DHCP 服务器将动态分配一个 IP 地址。
IP 地址 若选择静态,设置路由器 WAN 口的 IP 地址;若选择动态,显示路由
器 WAN 口获取到的 IP 地址。
子网掩码 若选择静态,设置路由器 WAN 口的子网掩码;若选择动态,显示路由
器 WAN 口获取到的子网掩码。
网关地址 若选择静态,设置网关地址;若选择动态,显示获取到的网关地址。
首选 DNS 服务器 若选择静态,设置 DNS(Domain Name Server, 域名解析服务器)地址,
一般由 ISP 提供,如果留空,则无法通过域名访问互联网;若选择动态,
显示分配到的 DNS 地址。
备用 DNS 服务器 若选择静态,设置备用 DNS 地址,一般由 ISP 提供,允许留空;若选
择动态,显示分配到的备用 DNS 地址。
手动连接 用户可在需要上网时手动点击<连接>按钮进行连接。
自动连接 每次接通路由器电源,路由器便会进行自动拨号。
上行带宽 设置当前 WAN 接口数据流出的带宽大小。
下行带宽 设置当前 WAN 接口数据流入的带宽大小。
¾ PPTP 状态
连接状态 显示当前 WAN 口 PPTP 拨号连接状态。
“未启用”表示当前已选择 PPTP 拨号连接方式但未保存生效;
“正在连接”表示当前路由器正在向 ISP 获取 IP 参数;
-28-
IP 地址 显示通过 PPTP 拨号后获取到的 IP 地址。
首选 DNS 服务器 显示 DNS 地址。
备用 DNS 服务器 显示备用 DNS 地址。
4.1.4 LAN设置
4.1.4.1 LAN口设置
“已连接”表示路由器已成功获取 IP 参数;
“未连接”表示已手动断开连接,或路由器已发起请求,但未得到响应,
请检查用户名密码是否正确、连接线路是否正常,若问题无法解决,请
与 ISP 联系。
在此设置 TL-ER6120 路由器 LAN 口的 IP 参数。
界面进入方法:基本设置 >> LAN 设置 >> LAN 口设置
图 4-12 LAN 口设置界面
界面项说明:
¾ LAN 口设置
IP 地址 设置路由器 LAN 口的 IP 地址,默认值为 192.168.1.1,可根据实际网
络情况修改此值。局域网内部可通过该地址访问路由器。
子网掩码 设置路由器 LAN 口的子网掩码,默认为 255.255.255.0,可根据实际网
络情况修改此值。
注意:
若 LAN 口 IP 地址有修改,必须在保存配置后使用新的 LAN 口地址登录路由器 Web 管理界面。并且,
局域网内所有计算机网关地址、子网掩码必须与修改后的 LAN 口设置保持一致,才能正常通信。
-29-
4.1.4.2 DHCP服务
DHCP(Dynamic Host Configuration Protocol, 动态主机配置协议)。路由器具有 DHCP 服务功能,
能够为所有接入 TL-ER6120 并且应用 DHCP 服务的网络设备自动分配 IP 参数。
界面进入方法:基本设置 >> LAN 设置 >> DHCP 服务
图 4-13 DHCP 服务设置界面
界面项说明:
¾ 配置参数
DHCP 服务器 选择开启或关闭 DHCP 服务。若希望路由器自动为计算机配置 TCP/IP
参数,请选择“启用”。
地址池起始地址 设置 DHCP 服务器自动分配 IP 地址的起始地址,该地址必须与 LAN
口 IP 地址设置在同一网段,默认值为 192.168.1.100。
地址池结束地址 设置 DHCP 服务器自动分配 IP 地址的结束地址,该地址必须与 LAN
口 IP 地址设置在同一网段,默认值为 192.168.1.199。
地址租期 设置 DHCP 分配地址有效时间,超时将重新分配。
网关地址 设置 DHCP 分配给客户端的网关地址,推荐设置为 LAN 口 IP 地址。
缺省域名 设置本地网域名,允许留空。
首选 DNS 服务器 设置 DNS 地址,推荐设为路由器 LAN 口 IP 地址,允许留空。
-30-
备用 DNS 服务器 设置备用 DNS 地址,允许留空。
4.1.4.3 客户端列表
客户端列表显示已由 DHCP 分配 IP 参数的主机信息。
界面进入方法:基本设置 >> LAN 设置 >> 客户端列表
图 4-14 客户端列表界面
可通过客户端列表查询 DHCP 客户端信息。如要获得最新 DHCP 服务分配的客户端信息,请点击<
刷新>按钮。
4.1.4.4 静态地址分配
可根据接入设备的 MAC 地址手动分配 IP 地址。当对应的客户端设备请求 DHCP 服务器分配 IP 地
址时,DHCP 服务器将自动为其分配指定的 IP 地址。
界面进入方法:基本设置 >> LAN 设置 >> 静态地址分配
图 4-15 静态地址分配设置界面
-31-
界面项说明:
¾ 静态地址
MAC 地址 设置待分配 IP 地址的客户端的 MAC 地址。
IP 地址 指定当前 MAC 地址所对应的客户端的 IP 地址。
备注 添加对本条目的说明信息。
是否生效 选择当前设置规则是否生效。
¾ 地址列表
在静态地址列表中,可以对已保存的静态 IP 地址分配规则进行相应操作。
图 4-15序号 1 规则的含义:MAC地址为 00-19-66-83-53-CF的客户端,指定其IP地址为
192.168.1.101,该规则未生效。
注意:
为了避免冲突,建议先进行IP MAC绑定,具体操作请参考4.3.1ARP防护,然后点击图 4-15静态地址分
配设置界面中的<导入>按钮,直接获取IP MAC绑定列表中的静态地址条目。
4.1.5 DMZ设置
DMZ(Demilitarized Zone, 非军事区域)也称隔离区。TL-ER6120 提供一个物理 DMZ 接口,允许所
有接入此端口的本地主机暴露在广域网中,进行一些特别的网络应用服务,如各种共享服务器、视频会
议等。
DMZ 物理接口可以工作在两种模式下,广域网模式或局域网模式。
广域网模式中,DMZ 区域直接以路由模式与广域网之间通信。此时 DMZ 区域与广域网区域一样使
用公有地址,不能主动访问局域网。
-32-
图 4-16 DMZ 口于广域网模式
局域网模式中,DMZ 区域访问广域网区域时需要经过 NAT 进行地址转换。此时 DMZ 区域可以使
用与局域网区域不同网段的私有地址,并且可以主动向局域网区域发起访问连接。
图 4-17 DMZ 口于局域网模式
4.1.5.1 DMZ口设置
在此控制 TL-ER6120 的 DMZ 口是否启用,并设置其 IP 参数。
界面进入方法:基本设置 >> DMZ 设置 >> DMZ 口设置
图 4-18 DMZ 口设置界面
-33-
界面项说明:
¾ DMZ 口设置
DMZ 口状态 设置是否启用 DMZ 口。在不启用的状态下,DMZ 口功能与 LAN 口功
接口模式 通过选择接口模式,可以控制 DMZ 区域与广域网、局域网之间的连接
IP 地址 设置 DMZ 口的 IP 地址。
子网掩码 设置 DMZ 口的子网掩码。
说明:
能相同。
方式。
DMZ口开启后将具有DHCP服务、客户端列表及静态地址分配功能设置,具体设置请参考第4.1.4.2至
4.1.4.4小节。
注意:
当 DMZ 口开启并处于广域网模式时,若 ISP 为 DMZ 口提供的是单一广域网 IP 地址,请勿开启 DMZ
口的 DHCP 服务,否则 DMZ 区域内的主机分配到的地址不能正常访问广域网。若 ISP 提供的是地址段,
请按照地址段范围设置 DHCP 地址池。
4.1.6 MAC设置
路由器 MAC 地址是它在网络中的身份标志,一般来说无需更改。
LAN 口 MAC 设置:
在一个所有设备都进行了 ARP 绑定的复杂拓扑中,如果其中一个网络节点的路由器更换为
TL-ER6120,为避免该节点下面接入的所有网络设备都更新 ARP 绑定表,直接将 TL-ER6120 的 LAN
口 MAC 地址设置为原路由器的 MAC 地址即可。
WAN 口 MAC 设置:
有些 ISP 要求上网帐号与拨号设备的 MAC 绑定,若此时拨号设备更换为 TL-ER6120,只需将路由
器 WAN 口的 MAC 地址设置为原拨号设备的 MAC 地址即可。
DMZ 口 MAC 设置:
DMZ 口的 MAC 应用方式与 LAN 口类似。
-34-
界面进入方法:基本设置 >> MAC 设置 >> MAC 设置
图 4-19 MAC 设置界面
界面项说明:
¾ MAC 设置
接口 显示当前路由器各接口。
当前 MAC 地址 显示当前各接口的 MAC 地址。
设置 如需恢复初始状态,请点击<出厂 MAC>按钮。如需将当前 MAC 地址
设置为管理主机 MAC 地址,即当前登录路由器进行配置管理的主机
MAC 地址,请点击<管理主机 MAC>按钮;该条目不出现在 LAN 口和
DMZ 口设置栏。
注意:
为了防止局域网内 MAC 地址冲突,路由器 LAN 口的 MAC 地址不能设置成当前管理主机的 MAC 地址。
4.1.7 交换机设置
TL-ER6120 路由器具备一些简单的交换机端口管理功能。在此可以实时查看路由器各端口的数据流
通状况,并进行相应的控制和管理。
4.1.7.1 端口统计
用于交换信息的数据包在数据链路层通常称为“帧”。可以通过此功能查看各个端口收发数据帧的统
计信息。
界面进入方法:基本设置 >> 交换机设置 >> 端口统计
-35-
图 4-20 端口统计界面
界面项说明:
¾ 统计列表
单播帧 目的 MAC 地址为单播 MAC 地址的正常数据帧数目。
广播帧 目的 MAC 地址为广播 MAC 地址的正常数据帧数目。
流控帧 接收/发送的流量控制数据帧数目。
多播帧 目的 MAC 地址为多播 MAC 地址的正常数据帧数目。
所有帧 接收/发送所有的数据帧的总字节数(包含校验和错误的帧)。
过小帧 收到的长度小于 64 字节的数据帧数目(包含校验和错误的帧)。
-36-
正常帧 收到的长度在 64 字节到最大帧长之间的数据帧数目(包含错误帧)。对于
不带 tag 标签的帧,路由器支持的最大帧长为 1518 字节;对于带 tag 标签
的帧,路由器支持的最大帧长为 1522 字节。
过大帧 收到的长度大于最大帧长的数据帧数目(包含错误帧)。
勾选最后一行的复选框后,点击<清空统计>按钮,即可清空该列对应端口的统计数据。点击<清空
所有>按钮可以一次清空所有统计数据。
4.1.7.2 端口监控
可以在此开启和设置端口监控功能。被监控端口的报文会被自动复制到监控端口,以便网络管理人
员实时查看被监控端口传输状况的详细资料,对其进行流量监控、性能分析和故障诊断。
界面进入方法:基本设置 >> 交换机设置 >> 端口监控
图 4-21 端口监控设置界面
界面项说明:
¾ 功能设置
启用端口监控 勾选即启用端口监控。推荐勾选,方便及时了解路由器端口报文信息。
监控模式 选择对数据包进行“输出监控”或者“输入输出监控”。
¾ 监控列表
监控端口 只能选择一个端口做监控端口。
-37-
被监控端口 被监控端口可以为多个,但不包含当前的监控端口。
图 4-21监控列表的含义是:端口 4 被选作监控端口,它将对端口 1、2、3、5 进行输出监控。
说明
如果监控端口为 LAN 口,被监控端口中有其他 LAN 口,则这些 LAN 口必须属于同一个 Port VLAN。比
如端口 3 和端口 4 都设置成 LAN 口,端口 3 为监控端口,端口 4 为被监控端口,那么端口 3 和端口 4
必须处于相同的 Port VLAN 中,端口监控功能才能生效。
应用举例
某企业网络出现异常状况,需要利用端口监控功能捕获网络中的所有数据进行分析。
可通过端口监控实现此需求。勾选“启用端口监控”,并选择“输入输出监控”的监控模式,设置端
口 3 为监控端口,监控其它端口的输入输出数据,如下图。设置完成后,点击<保存>按钮。
4.1.7.3 端口流量限制
可以在此开启各端口的流量限制功能并进行相应设置。
界面进入方法:基本设置 >> 交换机设置 >> 端口流量限制
-38-
界面项说明:
¾ 功能设置
图 4-22 端口流量限制设置界面
端口 显示所有物理端口,需要对某个端口进行流量限制时,在其对应行设置即可。
入口限制状态 勾选“启用”后,后续设置的入口限制模式和速率才会生效。
入口限制模式 有“所有帧”、“FLOOD”(端口的广播、多播帧以及目的 MAC 地址不存在
于地址表的帧)、“广播和多播”和“广播”四种模式,选择其一。
入口限制速率 有从小到大 128Kbps/ 256Kbps/ 512Kbps/ 1Mbps/ 2Mbps/ 4Mbps/ 8Mbps
七种速率,选择其一。
出口限制状态 勾选“启用”,后续设置的出口限制速率才会生效。
出口限制速率 有从小到大 128Kbps/ 256Kbps/ 512Kbps/ 1Mbps/ 2Mbps/ 4Mbps/ 8Mbps
七种速率,选择其一。
图 4-22第一行的含义是:开启端口 1 的入口和出口限制状态,设置端口 1 的入口限制模式为
FLOOD,并将其入口/出口速率均设为 256Kbps。设置完成后,端口 1 的FLOOD模式入口数据帧的接收
速率及所有出口数据帧的发送速率将不会超过 256Kbps。
4.1.7.4 端口参数
可以在此启用各物理端口及其流量限制,并根据需要设定其协商模式。
界面进入方法:基本设置 >> 交换机设置 >> 端口参数
-39-
界面项说明:
图 4-23 端口参数设置界面
¾ 功能设置
端口状态 只有勾选了“启用”该端口才会有数据包的传输,即物理意义上的开启。
流量控制 推荐勾选“启用”以控制调节各端口数据包转发的速率,避免出现拥塞。
协商模式 有 10M 全/半双工、100M 全/半双工、自协商 5 种模式可选,择需使用。
所有端口 这一栏可对以上所有端口进行统一设置,比如同时启用或禁用。
4.1.7.5 端口状态
可以在此查看各个端口的基本状态。
界面进入方法:基本设置 >> 交换机设置 >> 端口状态
图 4-24 端口状态界面
-40-
4.1.7.6 Port VLAN
VLAN(Virtual Local Area Network, 虚拟局域网)是从逻辑上而非物理上,将整个局域网分割成几个
不同的广播域,数据只能在 VLAN 内进行交换。
一个稍具规模的网络如果只有一个广播域,那么在网络内不断发送的广播包很容易造成广播风暴,
消耗网络整体带宽,并给网络中的主机带来额外的负担。划分 VLAN 以后,数据只会在自己所属的 VLAN
内广播,所以可以控制广播风暴,同时还能增强网络安全,简化网络管理。
TL-ER6120 提供基于端口划分 VLAN 的 Port VLAN 功能,可以把路由器的若干 LAN 口从逻辑上划
分为多个 VLAN。
界面进入方法:基本设置 >> 交换机设置 >> Port VLAN
图 4-25 Port VLAN 设置界面
界面项说明:
¾ 功能设置
网络 标识各个物理端口此时属于的逻辑网络。
VLAN
说明
● Port VLAN 的划分只能在 LAN 口中进行。
● 当 DMZ 接口的状态改变的时候,会影响到原先 Port VLAN 的配置。当改变 DMZ 接口的状态后,
建议检查 Port VLAN 的配置,必要时重新设置。
配置各端口所属 VLAN。
4.2 传输控制
4.2.1 转发规则
路由器通过 NAT(Network Address Translation, 网络地址转换)技术,可以在局域网主机主动发起对
广域网的访问时实现双方的互相通信。其原理是:当通信数据包经过路由器时,NAT 技术会将数据包中
的 IP 地址在局域网地址与广域网地址间转换,同时也进行端口号的转换。
-41-
如今随着计算机的普及,广域网 IP 地址已经供不应求,通过 NAT 技术,局域网内所有主机在通信
时可以使用一个广域网 IP 地址,而局域网内不同的主机使用不同的端口号,解决了 IP 地址紧缺的问题。
在应用了 NAT 及其扩展技术的网络环境中,局域网主机是不会直接被广域网主机发现的,因此 NAT
也为局域网提供了一定的网络安全保障。当有广域网主机需要主动访问局域网主机时,就必须通过转发
规则来实现。
4.2.1.1 NAT映射
NAT 映射,可以将特定的局域网 IP 地址与指定的广域网 IP 地址唯一对应,多用于局域网内的服务
器搭建。可在此设置 NAT 的端口范围和 NAT 映射关系。
界面进入方法:传输控制 >> 转发规则 >> NAT 映射
图 4-26 NAT 映射设置界面
界面项说明:
¾ NAT 服务设置
源端口范围 设置作为 NAT 源端口的端口范围,范围跨度必须大于或等于 100。可
设置范围为 2049-65000。
¾ NAT 映射
映射地址 设置局域网 IP 地址和广域网 IP 地址的一对一映射。第一个输入框中应
填写局域网 IP 地址,第二个输入框中应填写广域网 IP 地址。TL-ER6120
只允许 LAN 口到 WAN 口的映射。
-42-
出接口 设定数据包发送出去的接口。
DMZ 转发 设置是否开启该条 NAT 映射条目的 DMZ 转发。开启后所有广域网中发
往映射后地址的数据报将被转发至映射前地址。
备注 添加对本条目的说明信息。
启用/禁用规则 设置该条 NAT 映射条目是否生效。
¾ 映射列表
在映射表中,可以对已保存的 NAT 映射条目进行相应设置。
图 4-26序号 1 条目的含义:局域网主机host1 的IP地址为 192.168.1.101,指 定 经 NAT映射后的广
域网IP地址为 222.135.48.52,数据包从WAN1 口发送出去,DMZ转发已开启,映射设置已启用。
当host1 与广域网通信时,从WAN1 口发出的数据包源IP地址将被NAT 转换为广域网IP地址
222.135.48.52 ,而从广域网返回的数据包目的IP 地址会被NAT 转换为局域网IP 地址
192.168.1.101。
注意:
NAT 映射只适用于 WAN 口使用静态 IP 连接方式的场合。若 WAN 口连接方式从静态 IP 切换为动态 IP、
PPPoE、L2TP 或 PPTP,以前设置的 NAT 映射都将失效,直接在动态 IP、PPPoE、L2TP 或 PPTP 连
接状态下设置的 NAT 映射也都不起作用。
4.2.1.2 虚拟服务器
在路由器默认设置下,广域网中的主机不能直接与局域网主机进行通信。为了方便广域网的合法用
户访问本地主机,又要保护局域网内部不受侵袭,路由器提供了虚拟服务器功能。
可以通过虚拟服务器定义一个服务端口,并以 IP 地址指定其对应的局域网服务器,则广域网所有对
此端口的服务请求都将被重定位到该服务器上。这样广域网的用户便能成功访问局域网中的服务器,同
时不影响局域网内部的网络安全。
界面进入方法:传输控制 >> 转发规则 >> 虚拟服务器
-43-
图 4-27 虚拟服务器设置界面
界面项说明:
¾ NAT DMZ 服务
NAT DMZ 服务 设置是否启用 NAT DMZ 服务。NAT DMZ 是 NAT 应用的一种特殊服务,
相当于一条默认的转发规则。若主机开启了 NAT DMZ 服务,路由器会
将所有由广域网发起的、不符合所有现有连接和转发规则的数据全部转
发至指定的主机。
主机地址 指定作为 NAT DMZ 服务器的主机 IP 地址。
¾ 虚拟服务
服务名称 用户自定义,标识一条虚拟服务器规则。名称长度需在 28 个字符以内,
中英文均可,一个中文占用 2 个字符空间。
外部端口 为本条虚拟服务器规则指定路由器提供给广域网的服务端口或端口范
围,广域网对该端口或端口范围的访问都将被重定位到局域网中指定的
服务器。
-44-
内部端口 指定局域网内虚拟服务器主机的实际服务端口。
服务协议 指定应用本条虚拟服务器规则的数据包协议类型。
内部服务器 IP 为本条虚拟服务器规则指定局域网服务器的 IP 地址。外网对局域网指
定端口的访问都将发送到该主机。
启用/禁用规则 设置是否应用本条虚拟服务器规则。
注意:
● 外部端口与内部端口的取值范围均为 1-65535 之间的任意整数。
● 不同虚拟服务器规则的外部端口取值不能相同,内部端口取值可相同。
¾ 服务列表
在服务列表中,可以对已保存的虚拟服务器规则进行相应设置。
图 4-27序号 1 规则的含义:这是一条名为apply1 的虚拟服务器规则,由广域网向路由器端口 8080
发起的TCP数据都将转发到局域网IP地址为 192.168.1.102 主机的 80 端口上,本条规则已启用。
4.2.1.3 端口触发
由于防火墙的存在,一些如网络游戏、视频会议、网络电话、P2P 下载等应用程序需要通过设置转
发规则才能正常工作,而这些应用程序又要求多个端口连接,针对单一端口的虚拟服务器功能已不能满
足需求,此时就需要使用端口触发功能。
当一个应用程序向触发端口发起连接时,对应开放端口中的所有端口就会打开,以备后续连接。
界面进入方法:传输控制 >> 转发规则 >> 端口触发
-45-
图 4-28 端口触发设置界面
界面项说明:
¾ 端口触发
服务名称 用户自定义,标识一条端口触发规则。名称长度需在 28 个字符以内,中
英文均可,一个中文占用 2 个字符空间。
触发端口 应用程序首先发起连接的一个或多个端口。只有该端口发起连接时,对
应开放端口中的所有端口才可以开放,并为应用程序提供服务,否则开
放端口中的所有端口是不会开放的。
触发协议 设定在触发端口上使用的数据包协议类型。
开放端口 为应用程序提供服务的一个或多个端口。当触发端口上发起连接后,开
放端口打开,之后应用程序便可以通过这些开放端口发起后续连接。
开放协议 设定在开放端口上使用的数据包协议类型。
启用/禁用规则 设置是否应用本条端口触发规则。
-46-
注意:
● 触发端口与开放端口的取值范围均为 1-65535 之间的任意整数。开放端口取值可以指定一个连续的
范围,如 8690-8696。
● 路由器支持 16 条端口触发规则,每条规则最多支持 5 组触发端口,且这些触发端口不能重叠。
● 每条规则最多支持 5 组开放端口,每条规则的开放端口数总和需小于或等于 100。
¾ 触发列表
在触发列表中,可以对已保存的端口规则进行相应设置。
图 4-28序号 1 规则的含义:这是一条名为apply1 的端口触发服务规则,当局域网内发起端口为
5350 和 5354 的TCP访问时,对TCP和UDP协议开放 5355-5358 端口。
4.2.1.4 ALG服务
ALG(Application Layer Gateway, 应用层网关)。为了保证一些应用程序的正常使用,请开启 ALG
服务。
界面进入方法:传输控制 >> 转发规则 >> ALG 服务
图 4-29 ALG 服务设置界面
界面项说明:
¾ ALG 服务
FTP ALG 服务 选择启用或禁用 FTP ALG 服务,默认为启用,如无特殊需求请保持默
认配置不变。
H.323 ALG 服务 选择启用或禁用 H.323 ALG 服务,默认为启用, H.323 多媒体协议多
用于视频会议、IP 电话等场合。
-47-
SIP ALG 服务 选择启用或禁用 SIP ALG 服务,默认为启用,如无特殊需求请保持默
认配置不变。
IPsec ALG 服务 选择启用或禁用 IPsec ALG 服务,默认为启用,如无特殊需求请保持
默认配置不变。
PPTP ALG 服务 选择启用或禁用 PPTP ALG 服务,默认为启用,如无特殊需求请保持
默认配置不变。
4.2.2 带宽控制
带宽控制功能通过对各种数据流设置相应的限制规则,实现对数据传输的带宽控制,从而使有限的
带宽资源得到合理分配,达到有效利用现有带宽的目的。
4.2.2.1 基本设置
界面进入方法:传输控制 >> 带宽控制 >> 基本设置
图 4-30 带宽控制基本设置界面
界面项说明:
¾ 功能设置
启用带宽控制 勾选此项以启用带宽控制功能。不勾选时,所有带宽控制设置均不生效。
-48-
¾ 各接口带宽
接口 显示路由器当前已启用的 WAN 口,以及总 WAN 口。总 WAN 口的带宽为
已启用接口带宽之和。
上行带宽 显示对应WAN口数据流出的带宽上限,如需调整,请至WAN设置页面修改
相应WAN口参数。
下行带宽 显示对应WAN口数据流入的带宽上限,如需调整,请至WAN设置页面修改
相应WAN口参数。
¾ 默认规则带宽
数据流向 “上行”表示由局域网发送数据到广域网,如局域网内计算机向广域网上的
FTP 服务器上传文件;“下行”表示由广域网发送数据到局域网,如局域网
内计算机从广域网上的 FTP 服务器下载文件。
最小保证带宽 设置对应数据流向的带宽下限。
最大限制带宽 设置对应数据流向的带宽上限。
说明:
● WAN 口的出入带宽必须小于或者等于 ISP 提供的参数。如果超过实际物理带宽,则带宽控制功能
失效。
● 若有数据由 A 接口流入路由器后由 B 接口流出,而 A 接口入口带宽与 B 接口出口带宽不同时,以
两者带宽的最小值为有效带宽。
● 通过页面上的<查看 IP 流量统计>按钮,可跳转至 IP 流量统计页面。
4.2.2.2 带宽控制规则
可以在此设置带宽控制规则的参数。
界面进入方法:传输控制 >> 带宽控制 >> 带宽控制规则
-49-
图 4-31 带宽控制规则设置界面
界面项说明:
¾ 带宽控制规则
数据流向 选择控制规则的数据流向。箭头方向代表数据流向和受控主机所在的域。只
有当 DMZ 口开启时,DMZ 口选项才在下拉菜单中显示。
受控地址范围 设置受控数据包发出的源地址范围。
端口范围 设置受控数据包发出的端口范围。
协议类型 设置受控数据包的协议类型。
带宽模式 独立模式即受控地址范围内每一个 IP 地址都将应用当前规则所设置的带宽
限制;共享模式即受控地址范围内所有 IP 地址带宽总和为当前规则所设置
的带宽限制。
上行最小保证带宽 设置上行最小保证带宽,即在物理带宽不足的前提下,上行数据流至少能够
享有的最小带宽。
上行最大限制带宽 设置上行最大限制带宽,即上行数据流所能享有的最大带宽。
下行最小保证带宽 设置下行最小保证带宽,即在物理带宽不足的前提下,下行数据流至少能够
享有的最小带宽。
-50-
下行最大限制带宽 设置下行最大限制带宽,即下行数据流所能享有的最大带宽。
规则生效时间表 指定规则生效时间,其他时间规则不生效。时间以 24 小时制进行设定,精
确到分钟,下方可勾选生效的日期,以一周为单位。
备注 添加对本条规则的说明信息。
启用/禁用规则 选择启用或禁用本条带宽控制规则。
¾ 规则列表
在规则列表中,可以对已保存的带宽控制规则进行相应设置。
图 4-31序号 1 规则的含义:与LAN口连接的IP地址为 192.168.1.2 - 192.168.1.254 范围的主机共
享带宽,当这些主机通过路由器 1-65535 端口向WAN1 口发送所有协议格式的数据包,保证上行
和下行的最小带宽各为 5000Kbps,最大带宽各为 10000Kbps。该规则周一至周五 8 点至 22 点生
效。
说明:
● 单条规则生效的前提是:这条带宽控制规则所属接口的物理带宽足够大,且尚未被用尽。
● 异常情况:各带宽控制规则的最小保证带宽之和大于总物理带宽。当某接口所有带宽控制规则的最
小保证带宽之和大于此接口的物理带宽时,意味着无论如何都无法同时满足所有带宽控制规则的最
小保证带宽。
● 在 DMZ 口关闭状态下,不提供与 DMZ 口相关规则的新增、修改、启用或禁用操作,仅提供对该规
则的删除操作。
4.2.3 连接数限制
作为局域网的统一出口,路由器支持的 TCP 和 UDP 连接数是有限的,如果局域网内有部分主机向
广域网发起的 TCP 和 UDP 数目过多,影响局域网其他计算机的通信质量,就有必要对这部分计算机进
行连接数限制。
4.2.3.1 连接数限制规则
可以在此对指定 IP 的计算机连接数限制进行设置。
界面进入方法:传输控制 >> 连接数限制 >> 连接数限制规则
-51-
图 4-32 连接数限制规则设置界面
界面项说明:
¾ 功能设置
启用连接数限制 勾选此项以启用连接数控制。不勾选时,所有连接数限制均不生效。
¾ 连接数限制规则
IP 地址段 设置需要进行连接数限制的主机的 IP 地址段。
最大连接数 为本条规则设置相应的最大连接数。
备注 添加对本条规则的说明信息。
启用/禁用规则 选择启用或禁用本条规则。
¾ 规则列表
在规则列表中,可以对已保存的连接数限制规则进行相应设置。
图 4-32序号 1 规则的含义:IP地址为 192.168.1.101 的主机向广域网发起的最大连接数被限制为
100 条,该条规则已启用。
-52-
4.2.3.2 连接数监控
监控列表显示局域网主机的连接数限制情况。
界面进入方法:传输控制 >> 连接数限制 >> 连接数监控
图 4-33 连接数监控界面
可通过监控列表搜索、查询局域网主机的连接数限制情况。如需获取最新局域网主机的连接数限制
情况,请点击<刷新>按钮。
4.2.4 流量均衡
合理设置流量均衡,可以使路由器在多 WAN 口模式下更安全、有效地收发数据。
4.2.4.1 基本设置
界面进入方法:传输控制 >> 流量均衡 >> 基本设置
图 4-34 流量均衡基本设置界面
勾选“启用特殊应用程序选路功能”,路由器会将数据包的源 IP 地址与目的 IP 地址作为一个整体,记
录其通过的 WAN 口信息。后续如果有同一源 IP 地址和目的 IP 地址的数据包通过,则优先转发至上次记
录的 WAN 口。该功能主要用于保证多连接应用程序的正常工作。
勾选“启用智能均衡”,并在下方选定 WAN 口,在没有任何选路规则的情况下,指定 WAN 口将自动
进行流量均衡。
设置完成后点击<保存>按钮生效。
-53-
注意:
在实际应用中,如果某些 WAN 口没有连接到因特网,那么这些 WAN 口将不会参与智能均衡,请勿勾
选。
4.2.4.2 策略选路
在此可以通过指定协议、地址范围、端口、WAN 口、生效时间,更精确地控制路由选路。
界面进入方法:传输控制 >> 流量均衡 >> 策略选路
图 4-35 策略选路设置界面
界面项说明:
¾ 选路规则设置
协议类型 在下拉列表中选择本条规则所针对的协议类型,不属于指定范围内的协议
将不会应用选路规则。如果列表中没有您想指定的协议类型,可以参见
4.2.4.5 协议类型进行添加,您可通过下拉列表旁边的<协议类型>按钮快速
进入设置界面。
源地址范围 输入需要应用选路规则的源地址范围。输入 0.0.0.0 - 0.0.0.0 时表示匹配所
有 IP。
目的地址范围 输入需要应用选路规则的目的地址范围。输入 0.0.0.0 - 0.0.0.0 时表示匹配
所有 IP。
-54-
源端口范围 输入需要应用选路规则的源端口范围。只有当协议类型为 TCP、UDP、
TCP/UDP 时可以指定范围,默认为 1 - 65535,表示匹配所有端口。
目的端口范围 输入需要应用选路规则的目的端口范围。只有当协议类型为 TCP、UDP、
TCP/UDP 时可以指定范围,默认为 1 - 65535,表示匹配所有端口。
WAN 接口 在下拉列表中选择数据流通过的 WAN 口。
规则生效时间表 指定规则生效时间,其他时间规则不生效。时间以 24 小时制进行设定,精
确到分钟,下方可勾选生效的日期,以一周为单位。
启用/禁用规则 选择启用或禁用本条策略选路规则。
¾ 规则列表
在规则列表中,您可以对已保存的选路规则进行相应设置。
图 4-35序号 1 规则的含义:路由器收到源地址在 192.168.1.100 - 192.168.1.199 范围内,且发往
目的地址 116.10.20.28 的数据包,不论端口与协议,全部从WAN1 接口进行转发,该规则已启用,
周一至周五早上 8 点到晚上 20 点生效。
4.2.4.3 ISP选路
通过 ISP 选路功能,可以将数据包转发至对应的 ISP 线路上,从而减少数据包在网络中被转发的次
数,提高网络性能。
界面进入方法:传输控制 >> 流量均衡 >> ISP 选路
-55-
图 4-36 ISP 选路设置界面
界面项说明:
¾ 选路功能设置
勾选“启用 ISP 地址段选路功能”,点击<保存>按钮,下方的选路设置才能生效。
¾ 导入 ISP 数据库
ISP 数据库即各 ISP 所拥有的 IP 地址段的数据库,通过匹配数据包目的 IP 地址与 ISP 数据库,
路由器会将数据包从相应 ISP 所对应的 WAN 口转发。您可以在我司官方网站
(http://www.tp-link.com.cn)上下载 ISP 数据库。
¾ ISP 选路设置
可选 ISP 列表 系统定义的 ISP 列表。选中合适的 ISP,点击< >> >按钮将其移至“已
选 ISP 列表”中,一 个 WAN 口可以选择多个 ISP。如果某 WAN 口对应的
ISP 不在可选列表中,则不需要设置该 WAN 口的 ISP 选路。
已选 ISP 列表 显示已经选择的 ISP。如果需要删除某个已选 ISP,请选中后点击< << >
按钮将其移回“可选 ISP 列表”。
-56-
¾ 选路列表
在选路列表中,您可以对已保存的 ISP 选路进行相应设置。
图 4-36序号 1 规则的含义:WAN1 接口对应电信ISP,所有通过电信线路进入广域网的数据包将
从WAN1 口转发。
注意:
智能均衡、策略选路、ISP 选路三个功能可以同时工作,但当三个功能设置有冲突时,路由器执行的优
先顺序为:策略选路 > ISP 选路 > 智能均衡。
4.2.4.4 线路备份
路由器默认所有 WAN 口都处于自动备份模式,当有 WAN 口发生故障时,其流量会均衡到其他 WAN
口上,当故障 WAN 口恢复后系统会再次均衡所有 WAN 口的流量。
根据实际需要合理设置线路备份,可以减轻 WAN 口流量负担,提高网络效率。
界面进入方法:传输控制 >> 流量均衡 >> 线路备份
图 4-37 备份配置界面
-57-
界面项说明:
¾ 备份配置
WAN 口列表 显示当前路由器所有正在工作的 WAN 口,可以拖动浅蓝色的 WAN 口图标,
将其添加至下方的主 WAN 组或备 WAN 组中,若 WAN 口图标变为灰色,则表
示该 WAN 口已经存在主备关系。
主备组设置 备 WAN 组中的 WAN 口将在指定条件下分担主 WAN 组中 WAN 口的流量。主
WAN 组可以包含一个或多个 WAN 口,备 WAN 组只能指定一个 WAN 口。
备份模式 可以选择定时备份或故障备份。选择定时备份时,下方可进行备份生效时间设
置;选择故障备份时,下方可进行故障备份设置。
备份生效时间 指定备份生效时间,在生效时间内启动备份 WAN 口,关闭主 WAN 口。时间
以 24 小时制进行设定,精确到分钟,下方可勾选生效的日期,以一周为单位。
如果不勾选星期,则生效时间以一天为单位,若开始时间大于结束时间,则默
认时间跨度是从当天到次日。
故障备份 指定故障备份条件。在主 WAN 口正常工作时备份 WAN 口不工作,只有当符
合故障备份条件时才会启动备份 WAN 口。
启用/禁用规则 选择启用或禁用本条主备配置规则。
¾ 主备组列表
在主备组列表中,您可以对已保存的主备规则进行相应设置。
图 4-37序号 1 规则的含义:WAN1 口与WAN2 口为主备关系,当WAN1 口发生故障时启用WAN2
口,该规则已启用。
注意:
主 WAN 组和备 WAN 组中不能放置相同的 WAN 口,且一个 WAN 口只能置入一个主备组中。
4.2.4.5 协议类型
为了让您能够在定制选路策略时比较方便地指定应用选路规则的协议,设备提供了协议类型管理功
能。每一个协议类型由协议名称和协议号两部分构成。系统已经预定义了 TCP、UDP、TCP/UDP 三种
常用协议类型,您也可以根据需要添加自定义协议类型。
界面进入方法:传输控制 >> 流量均衡 >> 协议类型
-58-
图 4-38 协议类型设置界面
界面项说明:
¾ 协议类型
协议名称 用户自定义,标识一条协议类型。该名称将显示在“访问规则”设置的服
务类型下拉列表中。
协议号 IP 数据包中协议字段的内容,取值范围为 0 - 255。
¾ 协议列表
在协议列表中,您可以对自定义的协议类型条目进行相应设置。
注意:
系统预定义的协议类型不可进行配置操作。
4.2.5 路由设置
4.2.5.1 静态路由
路由,是选择一条最佳路径把数据从源地点传送到目的地点的行为。静态路由则是由网络管理员手
动配置的一种特殊路由,具有简单、高效、可靠等优点。
静态路由不随着网络拓扑的改变而自动变化,多用于网络规模较小,拓扑结构固定的网络中。当网
络的拓扑结构或链路的状态发生变化时,网络管理员需要手动修改路由表中相关的静态路由信息。
界面进入方法:传输控制 >> 路由设置 >> 静态路由
-59-
图 4-39 静态路由设置界面
界面项说明:
¾ 静态路由规则
目的地址 设定数据报包需要到达的目的 IP 地址。
子网掩码 设定目的 IP 地址的子网掩码。
下一跳 指定一个 IP 地址,路由器下一步会将符合条件的数据包转发到该地址上。
出接口 设定数据包发送出去的接口。
备注 添加对本条规则的说明信息。
¾ 规则列表
在规则列表中,可以对已保存的静态路由规则进行相应设置。
序号 1 规则的含义:如果有数据包发往一个 IP 地址为 192.168.3.56,子网掩码为 255.255.255.255
的设备,则路由器会将数据包从 LAN 口转发至下一跳地址 192.168.3.1,该路由规则已启用。
-60-
应用举例
某拓扑结构如下图所示:
TL-ER6120 的 LAN 口连接 LAN1(192.168.1.0/24)网段,另一路由器 R1 的 LAN 口连接 LAN2
(192.168.2.0/24)网段,两个路由器的 WAN 口互连,WAN 口 IP 地址处于同一网段。现在 TL-ER6120
下 LAN1 网段中的一台主机需要访问 LAN2 网段的主机。
可以通过在路由器上设置一条静态路由来实现。在 TL-ER6120 静态路由界面设置到 LAN2 网段的
下一跳地址为路由器 R1 的 WAN 口地址 116.31.88.16,如下图。最后点击<新增>按钮保存规则。
4.2.5.2 RIP服务
RIP(Routing Information Protocol, 路由信息协议),是一种采用距离向量算法选择最优路径的动态
路由协议,因其易于配置、管理和实现,被广泛应用于如校园网等中小规模的网络中。
RIP 的距离是数据包发往目的站点需经过的路由跳数,取值为 1 - 15,超 过 15 则是无穷大,表示目的
地无法到达。最优路径即所经跳数最少的网络链路。RIP 每隔 30 秒通过 UDP 报文以广播形式交换一次路
由信息。如果某一路由在 180 秒内未发送路由信息,则其他路由上的 RIP 协议就会将到该路由的距离设定
成无穷大,并删除路由表中相关信息。
RIP 协议在应用中不断地被完善,从最初的 RIPv1 版本基础上逐渐发展出了 RIPv2 版本的协议。RIPv2
相较 RIPv1 还支持 VLSM(Variable Length Subnet Mask, 可变长子网掩码)、简单明文认证、MD5 密文认
证、CIDR(Classless Inter-Domain Routing, 无类型域间选路)和多播,相对于 RIPv1 应用更加灵活。
TL-ER6120 同时支持 RIPv1 和 RIPv2 两种版本的协议,可以根据实际的网络需求设置,以提高网络
性能。
-61-
界面进入方法:传输控制 >> 路由设置 >> RIP 服务
图 4-40 RIP 服务设置界面
界面项说明:
¾ RIP 服务设置
接口 显示目前路由器所有存在物理连接或是已经分配静态 IP 的接口。
接口状态 选择是否启用 RIP 协议。
输出版本 选择是以何种形式向外发送路由信息。其中 RIPv2 支持多播和广播两种形式。
密码认证 如果应用 RIPv2,可以根据实际网络情况设置密码认证,认证密码不超过 15 位。
所有接口 在此可以对所有接口进行批量操作。接口状态增加“禁用”一项,选择后所有接
口都不应用 RIP 协议。
¾ RIP 路由表
启用 RIP 协议后,路由器收到数据包后经 RIP 协议转发的信息将会显示在列表中。
图 4-40序号 1 条目的含义:当收到目的地址在 116.20.10.0/24 网段的数据包时,路由器将选择与
目的地址同网段的WAN1 口作为下一跳,并转发数据,此时下一跳IP地址为 116.20.10.116.。数
据包经过的跳数为 1,该条目的生存时间为 0 秒,表示永久生效。
注意:
-62-
● 当系统模式为 NAT 模式时不支持 RIP 路由设置,若需设置 RIP 路由,请将当前系统模式更改为路
由模式或全模式。
● 仅当 WAN 口的连接方式为静态 IP 时,该 WAN 口的 RIP 服务才会生效。
4.3 安全策略
4.3.1 ARP防护
一台主机向局域网内另一台主机发送 IP 数据包,此时设备需要通过 MAC 地址确定目的接口才能进
行通信,而 IP 数据包中不包含有 MAC 地址信息,因此需要将 IP 地址解析为 MAC 地址。ARP(Address
Resolution Protocol, 地址解析协议)正是用来实现这一目的的网络协议。网络中的所有设备,包括路由
器和计算机在内,都各自维护一份 ARP 列表,该列表建立了主机 IP 地址和 MAC 地址一一对应关系。
按照 ARP 协议的设计,设备通过数据包的交互学习到其他设备的 IP 地址和 MAC 地址信息,并将
这些信息添加至自身的 ARP 表中。每次通信时会先通过该表查找对应地址,减少网络上过多的 ARP 通
信量。但设备同时也会接收不是自己主动请求的 ARP 应答,这就为“ARP 欺骗”创造了条件。
ARP 欺骗是局域网的攻击主机发送 ARP 欺骗包,将伪造的 IP 与 MAC 对应关系替换设备 ARP 列
表中的记录,从而导致局域网内计算机不能正常上网。这类 ARP 攻击严重影响了局域网内部通信,由
此便产生了 ARP 防护技术。
4.3.1.1 IP MAC绑定
IP MAC 绑定是一种防护技术,能够防止 ARP 列表被伪造的 IP MAC 对应信息替换。
界面进入方法:安全策略 >> ARP 防护 >> IP MAC 绑定
-63-
图 4-41 IP MAC 绑定设置界面
界面项说明:
¾ 功能设置
推荐勾选所有项目,以便最大程度地防范 ARP 攻击。在勾选“仅允许 IP MAC 绑定的数据包通过
路由器”选项前,请先将管理主机的 IP MAC 信息导入绑定列表中,并设置生效。
当路由器受到 ARP 攻击时,路由器会将自身正确的 ARP 列表信息以 GARP(Gratuitous ARP, 免
费 ARP)包的方式主动发送给被攻击的设备,从而替换该设备错误的 ARP 列表信息。可在发包间
隔处指定发包速率。
勾选“启用ARP日志记录”后路由器会将ARP日志发送到指定的日志服务器中。日志服务器地址
即4.6.5系统日志中设置的服务器地址。
¾ IP MAC 绑定
IP 地址 手动输入需要进行绑定的 IP 地址。
MAC 地址 手动输入与 IP 地址正确对应的 MAC 地址。
备注 添加对本条目的说明信息。
-64-
是否生效 设定当前绑定条目是否生效。
¾ 绑定列表
在绑定列表中,可以对已保存的 ARP 绑定条目进行相应设置。
图 4-41序号 1 条目的含义:目前路由器已将IP地址 192.168.1.101 与MAC地址 00-19-66-83-53-CF
进行绑定,该绑定规则已生效。
注意:
若当前绑定列表中所有条目都未生效,在勾选“仅允许 IP MAC 绑定数据包通过路由器”的功能设置选
项并保存后,将无法登录路由器 Web 管理界面,此时必须将路由器恢复出厂配置才能再次登录。
4.3.1.2 ARP扫描
ARP 扫描界面可以将指定范围内的 IP 与其对应 MAC 地址全部扫描出来,在扫描列表中显示。
界面进入方法:安全策略 >> ARP 防护 >> ARP 扫描
图 4-42 ARP 扫描界面
在扫描范围填入起始 IP 与结束 IP 后,点击<开始扫描>按钮,路由器将扫描该范围内所有正在工作
的主机,并将它们对应的 IP MAC 地址信息显示在扫描列表中。
扫描结果中显示的 IP MAC 地址对应信息条目并不代表已经被绑定,在“状态”一列中会标识当前
状态:
符号“---”表示当前条目未被绑定,可能会被错误的 ARP 信息更替掉;
图片
图片
若现在需要绑定扫描列表中未绑定的条目,可以在“选择”一列勾选这些条目,然后点击<导入>按
钮,在与已绑定条目不冲突的情况下,导入后绑定立即生效。
表示当前条目已导入“IP MAC 绑定”界面的绑定列表中,但还未绑定生效;
表示当前条目已进行绑定,可以防御 ARP 攻击。
-65-
注意:
若局域网内已经存在 ARP 攻击导致部分主机通信异常,则不可通过扫描方式添加绑定,请在“IP MAC
绑定”界面进行手动绑定。
4.3.1.3 ARP列表
路由器会将近期与其通信过的主机 IP MAC 对应信息保存在 ARP 列表中。
界面进入方法:安全策略 >> ARP 防护 >> ARP 列表
图 4-43 ARP 列表界面
ARP列表条目的操作可参考4.3.1.2 ARP扫描的扫描列表。
列表中未绑定的条目并不是一直存在,除了会被新的 IP MAC 对应信息更替之外,还会由于长时间
未通信而自动从列表中删除,这个时间段就是 ARP 信息的老化时间。
4.3.2 攻击防护
攻击防护可防止广域网对路由器或局域网内计算机进行端口扫描和恶意攻击,以此来保证它们的安
全运行。
界面进入方法:安全策略 >> 攻击防护 >> 攻击防护
-66-
图 4-44 攻击防护设置界面
界面项说明:
¾ 功能设置
启用防护攻击日志 勾选此项后路由器会记录相关的防护日志。
防 DoS 类攻击 DoS(Denial of Service, 拒绝服务)是一种利用发送大量的请求服务占用
过多的资源,让目的路由器和服务器忙于应答请求或等待不存在的连接
回复,而使正常的用户请求无法得到响应的攻击方式。常使用的 DoS
攻击为洪水攻击,包括 TCP SYN,UDP,ICMP 等。推荐勾选界面上所
有防 DoS 攻击选项并设定相应阈值,如不确定,请保持默认设置不变。
-67-
防扫描类攻击 扫描一般是发起攻击的第一步,攻击者可以利用各种扫描手段来获取目
标网络的主机信息及端口开放情况,便于发起下一步攻击。推荐勾选界
面上所有防扫描类攻击选项。
防可疑包类 可疑包即非正常数据包,有可能是病毒或攻击者的试探。推荐勾选界面
上所有防可疑包选项。
4.3.3 MAC过滤
在此可以通过指定 MAC 地址对部分局域网主机进行过滤。
界面进入方法:安全策略 >> MAC 过滤 >> MAC 过滤
图 4-45 MAC 过滤设置界面
界面项说明:
¾ 功能设置
若需要严格控制局域网内某些计算机访问广域网,推荐勾选“启用 MAC 地址过滤功能”,并根据
实际情况选择一种过滤规则。
¾ MAC 地址过滤规则
MAC 地址 输入需要控制的局域网主机 MAC 地址。
备注 添加对本条规则的说明信息。
-68-
¾ 规则列表
在规则列表中,可以对已保存的 MAC 地址条目进行相应设置。
4.3.4 访问策略
4.3.4.1 应用限制
可以在此启用并设置应用限制功能。
界面进入方法:安全策略 >> 访问策略 >> 应用限制
图 4-46 应用限制设置界面
界面项说明:
¾ 功能设置
勾选“启用应用限制功能”后,应用限制的相关设置才会生效,应用限制生效后局域网指定用户
对指定软件的网络应用将受到限制。
¾ 应用限制设置
用户组 在下拉菜单中选择要指定的用户组。如需新建组,请参考4.3.5组管理。
IM 软件 可以对部分主流的即时通信软件进行应用限制。
下载软件 可以对部分主流的下载软件进行应用限制。
金融软件 可以对部分主流的金融软件进行应用限制。
说明
用户组及组内成员的管理操作、组导入等功能请参考4.3.5组管理。
-69-
4.3.4.2 URL过滤
URL(Uniform Resource Locator, 统一资源定位符),即广域网中标识资源位置的网络地址。URL 过
滤能够实现对广域网网址的过滤,方便对局域网访问广域网的通信进行管理。
界面进入方法:安全策略 >> 访问策略 >> URL 过滤
图 4-47 URL 过滤设置界面
界面项说明:
¾ 功能设置
若需要严格控制局域网对广域网的访问,推荐勾选“启用 URL 地址过滤功能”,并根据实际情况
选择一种过滤规则。
¾ URL 地址过滤规则
受控地址 指定受规则控制的 IP 地址范围。可以选定“所有地址”对所有 IP 起效,
选定“用户组”则可以在出现的用户组下拉菜单中进行选择。
URL 地址 输入指定的关键字字符,或完整的广域网 URL 地址。
备注 添加对本条规则的说明信息。
-70-
过滤方式 选择一种过滤方式。“关键字”过滤即所有包含指定字符的 URL 地址全
都进行过滤;“完整 URL”过滤则仅当 URL 地址完全匹配您输入的完整
URL 地址时才能进行过滤。
¾ 规则列表
在规则列表中,可以对已保存的 URL 地址条目进行相应设置。
应用举例
某企业希望禁止局域网内的主机访问网站:www.aabbcc.com,同时还禁止下载“.exe”后缀的文
件。
可以通过设置 URL 过滤实现此需求。您需要设置完整 URL 过滤“www.aabbcc.com”,以及关键字
过滤“.exe”,如下图,设置完成后点击<新增>按钮保存生效。
-71-
4.3.4.3 访问规则
界面进入方法:安全策略 >> 访问策略 >> 访问规则
图 4-48 访问规则设置界面
界面项说明:
¾ 访问规则
策略类型 在下拉列表中选择适用于本条规则的策略类型,可选择阻塞或者允许。
若选择阻塞,则符合该条规则的所有数据包将无法通过路由器;若选择
允许,则符合该条规则的数据包能通过路由器。
服务类型 在下拉列表中选择本条规则所针对的服务类型,不属于指定范围内的服
务将不会应用过滤规则。例如在策略为阻塞的前提下,只选定了FTP一
种服务类型时,其他服务类型的数据包仍旧可以通过路由器。如果列表
中没有合适的服务类型,可以参见4.3.4.4服务类型进行添加,可通过下
拉列表旁边的<服务类型>按钮快速进入设置界面。
源地址范围 选择指定地址范围的方式,若选择“IP地址”方式,则应输入需要管理
的地址,以子网掩码值划分地址范围;若选择“用户组”方式,则应选
择相应的组来指定地址范围,其中,组可以在4.3.5组管理中进行设置。
-72-
目的地址范围 选择指定地址范围的方式,若选择“IP地址”方式,则应输入需要限制
规则生效时间表 指定规则生效时间,其他时间规则不生效。时间以 24 小时制进行设定,
备注 添加对本条规则的说明信息。
指定位置 勾选该项后,可以将当前设置的条目添加到访问规则列表中指定序号的
¾ 规则列表
访问的地址,以子网掩码值划分地址范围;若选择“用户组”方式,则
应选择相应的组来指定地址范围,其中,组可以在4.3.5组管理中进行设
置。
精确到分钟,下方可勾选生效的日期,以一周为单位。
位置。默认情况下,规则新增生效后会显示在访问规则列表的最后。
在规则列表中,可以对已保存的访问规则进行相应设置。在规则列表中,序号数字越小的规则,
执行的优先级越高。
图 4-48序号 1 规则的含义:192.168.1.0/24 网段的主机在周二至周六每天 08:00-20:00 时间范围
内向广域网 116.10.20.0/24 网段发送的TELNET服务数据包将无法通过路由器。
说明
● 局域网内没有设置规则的 IP 段,默认的策略类型是允许。
● 如果要指定所有 IP,其地址范围是“0.0.0.0 / 32”。
● 子网掩码值的相关设置请参考附录A 常见问题中的问题 5。
4.3.4.4 服务类型
为了能够在定制防火墙策略时比较方便地指定需要过滤的协议和端口号,设备提供了服务类型管理
功能。每一个服务类型由协议类型和端口范围两部分构成。系统已经预定义了如 HTTP、FTP、TELNET
等常用服务类型,也可以根据需要添加自定义服务类型。
界面进入方法:安全策略 >> 访问策略 >> 服务类型
-73-
图 4-49 服务类型设置界面
界面项说明:
¾ 服务类型
服务名称 用户自定义,标识一条服务类型。名称长度需在 28 个字符以内,中英
文均可,一个中文占用 2 个字符空间。该名称将显示在“访问规则”设
置的服务类型下拉列表中。
协议类型 设置协议类型,可供用户定义的协议类型有 TCP、UDP、TCP/UDP。
目的端口范围 设定该服务所使用的端口号范围。起始端口号不能大于结束端口号。
¾ 服务列表
在服务列表中,可以对自定义的服务类型条目进行相应设置。
注意:
系统预定义的服务类型不可进行配置操作。
-74-
应用举例
需求:某企业为使网络顺畅运行,希望实现在上网高峰期(每天上午 10 点到晚上 22 点)禁止
192.168.1.0/24 网段内某下载工具(端口 6322-6325)的使用,而在其它时间不限制该下载工具的使用。
此需求依旧可以通过设置访问规则来实现。首先,同样需要新增一个服务类型,设置 6322-6325 为
服务端口,设置完成后点击<新增>按钮保存生效。
选择刚设置的“禁止下载”服务类型,新增一条禁止 192.168.1.0/24 网段通过 6322-6325 端口访问
广域网的访问规则。最后点击<新增>按钮保存生效,完成设置。
4.3.5 组管理
通过组管理功能可将多个连续或不连续的 IP 地址编为一组进行统一管理。
4.3.5.1 用户组管理
在此可以创建、修改或者删除组。
界面进入方法:安全策略 >> 组管理 >> 用户组管理
-75-
图 4-50 用户组管理界面
界面项说明:
¾ 组设置
组名称 输入一个名称来标识一个组,可以输入 1~28 个字符。
备注 添加对当前组的说明信息。
¾ 组列表
在组列表中,可以对已创建的组进行相应设置。
4.3.5.2 用户管理
在此可对组成员进行添加、修改或删除等操作。
界面进入方法:安全策略 >> 组管理 >> 用户管理
-76-
图 4-51 用户管理界面
界面项说明:
¾ 用户设置
用户组 选择一个已经创建的组。如果下拉菜单中没有想选择的条目,请点击旁
边的<用户组管理>按钮,进入4.3.5.1用户组管理页面创建新组。
用户名 输入当前组成员的用户名,可以输入 1~28 个字符,可留空。
IP
输入当前组成员的 IP 地址。此处只能输入单个 IP 地址,如果需要设置
IP 地址段,请点击页面下方<批量处理>按钮进行操作。一个 IP 只能属
于一个用户组。
备注 添加对当前组成员的说明信息。
¾ 选择组名称
组名称 选择在下方用户列表中显示的组。
-77-
¾ 用户列表
用户列表将根据选择的组名称列出组成员。在此可对这些成员进行相应设置。
4.3.5.3 组导入
如果在其他应用中已经设定了用户与组,并且和安全策略所需要的用户与组相同,则可以在此直接
导入,无需重复设置。
界面进入方法:安全策略 >> 组管理 >> 组导入
图 4-52 组导入界面
界面项说明:
¾ 组导入
导入组来源 路由器中可以在两个不同的模块处设置组信息,这两个模块分别是位于
本章节的“安全策略”模块,以及位于4.5系统服务章节的“电子公告”
模块。在其中任何一个模块处都可以导入另外一处设定的组信息。
注意:
导入组信息时,当前模块中原有的用户及组数据都将被删除。
4.4 VPN
VPN (Virtual Private Network, 虚拟专用网)是一个建立在公用网(通常是因特网)上的专用网络,
但因为这个专用网络只是逻辑存在并没有实际物理线路,故称为虚拟专用网。
随着因特网的发展壮大,越来越多的数据需要在因特网上进行传输共享,不过当企业将自身网络接
入因特网时,虽然各地的办事处等外部站点可以很方便地访问企业网络,但同时也把企业内部的私有数
据暴露给因特网上的所有用户。于是在这种开放的网络环境上搭建专用线路的需求日益强烈,VPN 应运
而生。
VPN 通过隧道技术在两个站点间建立一条虚拟的专用线路,使用端到端的认证和加密保证数据的安
全性。典型拓扑图如所示。
-78-
图 4-53 VPN 典型拓扑
隧道是通过对数据报的封装实现的,因为数据报封装和解封的过程都是在路由器上完成,所以对于
用户来说是透明的。TL-ER6120 支持的隧道协议包括三层隧道协议 IPsec 和二层隧道协议 L2TP/PPTP。
4.4.1 IKE
在 IPsec VPN 中,为了保证信息的私密性,通信双方需要使用彼此都知道的信息来对数据进行加密
和解密,所以在通信建立之初双方需要协商安全性密钥,这一过程便由 IKE (Internet Key Exchange, 互
联网密钥交换)协议完成。
IKE 其实并非一个单独的协议,而是三个协议的混合体。这三个协议分别是 ISAKMP (Internet
Security Association and Key Management Protocol, 互联网安全性关联和密钥管理协议),该协议为交
换密钥和 SA (Security Association, 安全联盟)协商提供了一个框架;Oakley 密钥确定协议,该协议描
述了密钥交换的具体机制;SKEME 安全密钥交换机制,该协议描述了与 Oakley 不同的另一种密钥交换
机制。
整个 IKE 协商过程被分为两个阶段。第一阶段,通信双方将协商交换验证算法、加密算法等安全提
议,并建立一个 ISAKMP SA,用于在第二阶段中安全交换更多信息。第二阶段,使用第一阶段中建立
的 ISAKMP SA 为 IPsec 的安全性协议协商参数,创建 IPsec SA,用于对双方的通信数据进行保护。至
此,IKE 协商完毕。
4.4.1.1 IKE安全策略
在 TL-ER6120 路由器上,可以对 IKE 协商过程的相关参数进行设置。
界面进入方法:VPN >> IKE >> IKE 安全策略
-79-
图 4-54 IKE 安全策略设置界面
界面项说明:
¾ IKE 安全策略设置
安全策略名称 为 IKE 安全策略命名。设置好的 IKE 安全策略可以被应用在 IPsec 安全策
略中。
协商模式 选择 IKE 的协商模式,通信双方必须使用相同的协商模式。在 IKE 协商的
第一阶段定义了两种操作模式:主模式和野蛮模式。主模式中进行交换和
认证的报文较多,并提供身份保护,适用于高安全性需求场合;野蛮模式
中进行交换和认证的报文较少,不提供身份保护,但是协商速度快。
本地/对端 ID 类型 当协商模式选择“野蛮模式”时,需要设置本地和对端的 ID(Identity, 身份
标识)类型,用于进行 ID 的交换与验证,通信双方的设置需保持一致。
本地/对端 ID ID 类型选择“IP 地址”时,无需进行设置;ID 类型选择“NAME”时,
可自定义本地/对端的 ID。路由器的“本地 ID”需与通信对端的“对端 ID”
保持一致,而“对端 ID”则需与通信对端的“本地 ID”保持一致。
-80-
安全提议 选择用于IKE协商第一阶段的安全提议,如果下拉菜单中没有想选择的条
目,请进入4.4.1.2 IKE安全提议页面创建新条目。主模式下,最多可以选
择四条不同的安全提议;野蛮模式下,可以选择一条安全提议。
预共享密钥 当 IKE 协商模式选择“主模式”时,需设置通信双方互相认证的密钥,双
方必须使用同一个预共享密钥。
生存时间 设定 ISAKMP SA 的生存时间。
DPD 检测开启 DPD (Dead Peer Detect,对端存活检测)开启后,IKE 一端能够定时主动检
测对端的在线状态。
DPD 检测周期 当开启 DPD 检测时可设置检测周期。
¾ IKE 安全策略列表
在 IKE 安全策略列表中,可以对已保存的 IKE 安全策略进行相应设置。
4.4.1.2 IKE安全提议
界面进入方法:VPN >> IKE >> IKE 安全提议
图 4-55 IKE 安全提议设置界面
界面项说明:
¾ IKE 安全提议设置
安全提议名称 为 IKE 安全提议命名。设置好的 IKE 安全提议可以被应用在 IKE 安全策略中。
-81-
验证算法 选择应用于 IKE 会话的验证算法。路由器支持以下验证算法:
MD5(Message Digest Algorithm, 消息摘要算法):对一段消息产生 128bit 的
消息摘要,防止消息被篡改。
SHA1(Secure Hash Algorithm, 安全散列算法):对一段消息产生 160bit 的消
息摘要,比 MD5 更难破解。
加密算法 选择应用于 IKE 会话的加密算法。路由器支持以下加密算法:
DES(Data Encryption Standard, 数据加密标准):使用 56bit 的密钥对 64bit
数据进行加密,64bit 的最后 8 位用于奇偶校验。3DES 则为三重 DES,使 用
三个 56bit 的密钥进行加密。
AES(Advanced Encryption Standard, 高级加密标准):AES128/192/256 表
示使用长度为 128/192/256 bit 的密钥进行加密。
DH 组 Diffie-Hellman 算法的组信息,用于产生加密 IKE 隧道的会话密钥。DH1/2/5
分别对应着 768/1024/1536 bit 的 DH 组。
¾ IKE 安全提议列表
在 IKE 安全提议列表中,可以对已保存的 IKE 安全提议进行相应设置。
4.4.2 IPsec
IPsec(IP Security, IP 安全性) 是一系列服务和协议的集合,在 IP 网络中保护端对端通信的安全性、
防止网络攻击。
为了实现安全通信,通信双方的 IPsec 协议必须协商确定用于编码数据的具体算法、用于理解对方
数据格式的安全协议,并通过 IKE 交换解密编码数据所需的密钥。
在 IPsec 中有两个重要的安全性协议 AH(Authentication Header, 鉴别首部)和 ESP(Encapsulating
Security Payload, 封装安全性载荷)。AH 协议用于保证数据的完整性,若数据报文在传输过程中被篡改,
报文接收方将在完整性验证时丢弃报文;ESP 协议用于数据完整性检查以及数据加密,加密后的报文即
使被截取,第三方也难以获取真实信息。
4.4.2.1 IPsec安全策略
界面进入方法:VPN >> IPsec >> IPsec 安全策略
-82-
图 4-56 IPsec 安全策略设置界面
界面项说明:
¾ 启用 IPsec 功能
只有勾选“启用”后,路由器才能应用 IPsec。
¾ IPsec 安全策略设置
安全策略名称 为 IPsec 安全策略命名。
启用安全策略 选择启用或禁用当前策略条目。
本地子网范围 设定本地子网地址,以子网掩码值划分地址范围。
对端子网范围 设定对方子网地址,以子网掩码值划分地址范围。
-83-
选择 WAN 口 指定本地使用的 WAN 口。在通信对端的路由器上设置“对端网关”时必
须填入该 WAN 口 IP 地址或域名。
对端网关 输入通信对端的路由器相应 WAN 口的 IP 地址或域名。
协商方式 建立 IPsec 安全隧道可以有两种协商方式。IKE 为自动协商,手动模式则
需手动设定相关的安全参数。
IKE 安全策略 选择“IKE协商”时,可以指定相应的IKE安全策略。如果下拉菜单中没有
想选择的条目,请进入4.4.1.1 IKE安全策略页面创建新条目。
安全提议 指定相应的IPsec安全提议。如果下拉菜单中没有想选择的条目,请进入
4.4.2.2 IPsec安全提议页面创建新条目。
PFS
PFS(Perfect Forward Secrecy, 完善的前向安全性) 特性使得 IKE 第二阶
段协商生成一个新的密钥材料,该密钥材料与第一阶段协商生成的密钥材
料没有任何关联,这样即使 IKE 第一阶段的密钥被破解,第二阶段的密钥
仍然安全。如果没有使用 PFS,第二阶段的密钥将根据第一阶段生成的密
钥材料来产生,一旦第一阶段的密钥被破解,用于保护通信数据的第二阶
段密钥也岌岌可危,这将严重威胁到双方的通信安全。PFS 是通过 DH 算
法实现的,通信双方的 PFS 设置需保持一致。
生存时间 设定 IPsec SA 的生存时间。
入 SPI 选择“手动模式”时,可以设定 SPI 参数。SPI 与隧道对端网关地址、协
议类型三个参数共同标识一个 IPsec 安全联盟,通信对端的“出 SPI”值
必须与此值相同。
入 AH MD5 密钥 当安全提议指定 IPsec 使用“AH”协议时,可以设定 AH MD5 验证算法
的密钥。通信对端的“出 AH MD5 密钥”必须与此值相同。
入 ESP MD5 密钥 当安全提议指定 IPsec 使用“ESP”协议时,可以设定 ESP MD5 验证算
法的密钥。通信对端的“出 ESP MD5 密钥”必须与此值相同。
入 ESP 3DES 密钥 当安全提议指定 IPsec 使用“ESP”协议时,可以设定 ESP 3DES 加密算
法的密钥。通信对端的“出 ESP 3DES 密钥”必须与此值相同。
出 SPI 选择“手动模式”时,可以设定 SPI 参数。SPI 参数唯一标识一个 IPsec
安全联盟,通信对端的“入 SPI”值必须与此值相同。
-84-
出 AH MD5 密钥 当安全提议指定 IPsec 使用“AH”协议时,可以设定 AH MD5 验证算法
的密钥。通信对端的“入 AH MD5 密钥”必须与此值相同。
出 ESP MD5 密钥 当安全提议指定 IPsec 使用“ESP”协议时,可以设定 ESP MD5 验证算
法的密钥。通信对端的“入 ESP MD5 密钥”必须与此值相同。
出 ESP 3DES 密钥 当安全提议指定 IPsec 使用“ESP”协议时,可以设定 ESP 3DES 加密算
法的密钥。通信对端的“入 ESP 3DES 密钥”必须与此值相同。
¾ IPsec 安全策略列表
在 IPsec 安全策略列表中,可以对已保存的 IPsec 安全策略进行相应设置。
图 4-56序号 1 条目的含义:这是一条IPsec的隧道,本地子网范围是 192.168.1.0/24,对端子网
范围是 192.168.3.0/24,隧道使用IKE自动协商,该隧道已启用。
说明
● 如果要指定所有 IP,其地址范围是“0.0.0.0 / 32”。
● 子网掩码值的相关设置请参考附录A 常见问题中的问题 5。
4.4.2.2 IPsec安全提议
界面进入方法:VPN >> IPsec >> IPsec 安全提议
图 4-57 IPsec 安全提议设置界面
-85-
界面项说明:
¾ IPsec 安全提议设置
安全提议名称 为 IPsec 安全提议命名。设置好的 IPsec 安全提议可以被应用在 IPsec 安
全策略中。
安全协议 选择要使用的协议。
AH 验证算法 当选择 AH 安全协议时可设定 AH 验证算法。路由器支持以下验证算法:
MD5(Message Digest Algorithm, 消息摘要算法):对一段消息产生 128bit
的消息摘要,防止消息被篡改。
SHA1(Secure Hash Algorithm, 安全散列算法):对一段消息产生 160bit
的消息摘要,比 MD5 更难破解。
ESP 验证算法 当选择 ESP 安全协议时可设定 ESP 验证算法。路由器支持以下验证算法:
ESP 加密算法 当选择 ESP 安全协议时可设定 ESP 加密算法。路由器支持以下加密算法:
¾ IPsec 安全提议列表
MD5(Message Digest Algorithm, 消息摘要算法):对一段消息产生 128bit
的消息摘要,防止消息被篡改。
SHA1(Secure Hash Algorithm, 安全散列算法):对一段消息产生 160bit
的消息摘要,比 MD5 更难破解。
DES(Data Encryption Standard, 数据加密标准):使用 56bit的密钥对64bit
数据进行加密,64bit 的最后 8 位用于奇偶校验。3DES 则为三重 DES,
使用三个 56bit 的密钥进行加密。
AES(Advanced Encryption Standard, 高级加密标准):AES128/192/256
表示使用长度为 128/192/256bit 的密钥进行加密。
在 IPsec 安全提议列表中,可以对已保存的 IPsec 安全提议进行相应设置。
4.4.2.3 IPsec安全联盟
在此将列出路由器上所有已成功建立的 IPsec 安全联盟相关信息。
界面进入方法:VPN >> IPsec >> IPsec 安全联盟
-86-
图 4-58 IPsec 安全联盟界面
图 4-58中显示的是图 4-56中IPsec安全策略列表序列 1 条目的连接情况。在本例中路由器使用
WAN2 接口进行隧道连接,WAN2 接口的IP地址为 172.30.70.151,对端网关地址为 172.30.70.161。IPsec
隧道的安全提议等相关设置需与对端路由设置相同。
由于安全联盟是单向的,所以当 IPsec 隧道成功建立后,每条隧道会产生一对出和入的安全联盟。
出和入的 SPI 值是不同的,但与对端的入和出 SPI 值相同,即本端方向 in 的 SPI 值与对端方向 out 的
SPI 值相同。这条隧道在对端的连接信息如下图所示,SPI 值为 IKE 自动协商得出。
说明
NAT 穿透
在实际网络应用中,IPsec VPN 通信双方的物理连接线路中可能存在着 NAT 网关,当数据包经过 NAT
网关时,其 IP 地址或端口号会改变,这就导致 VPN 隧道对端收到数据包后验证失败,数据包被直接丢
弃。NAT 穿透功能可以解决这一问题,实现方法为在原 ESP 协议的报文外添加新的 IP 首部和 UDP 首
部。这样数据包的格式为:新 IP/UDP 首部 | ESP 首部 | IP 首部 |数据 。由于 NAT 网关只会改变最外
层的 IP 首部,而且 ESP 校验不包含 IP 首部,所以此时 IPsec VPN 的通信不会受到影响。但是 NAT 穿
透只适用于 ESP 协议,AH 协议的校验包含了 IP 首部,因此无法与 NAT 共存。
TL-ER6120 目前仅在 IKE 协商模式为野蛮模式,且本地和对端的 ID 类型都为 NAME 的情况下支持 NAT
穿透。
4.4.3 L2TP/PPTP
二层 VPN 隧道协议包含 L2TP(Layer 2 Tunneling Protocol, 第二层隧道协议)和 PPTP(Point to
Point Tunneling Protocol, 点到点隧道协议)。
-87-
L2TP 和 PPTP 都是使用 PPP(Point to Point Protocol, 点到点协议)进行数据封装,并都为数据增添
额外首部。两者的区别如下表所示:
协议 介质 隧道 首部长度 隧道认证
PPTP IP 网络 单隧道 至少 6 字节 不支持
L2TP
使用 UDP 的 IP 网络、帧中继虚
多隧道 至少 4 字节 支持
电路、X.25 虚电路等
4.4.3.1 L2TP/PPTP隧道设置
界面进入方法:VPN >> L2TP/PPTP >> L2TP/PPTP 隧道设置
图 4-59 L2TP/PPTP 隧道设置界面
界面项说明:
¾ 全局管理设置
链路维护时间间隔 设置发送链路维护检测报文的时间间隔。
¾ 隧道设置
启用/禁用 选择启用或禁用当前 L2TP/PPTP 隧道条目。
-88-
协议类型 选择使用的隧道协议类型。
工作模式 选择当前路由器的工作模式。根据选择的工作模式不同,后续需要设置的
参数也会不同。
用户名 设置 L2TP/PPTP认证的用户名。客户端与服务器端的设置需一致。
密码 设置 L2TP/PPTP认证的密码。客户端与服务器端的设置需一致。
组网模式 当连入隧道的用户为接入路由器的一个网段时,请选择“站点到站点”模
式;当连入隧道的用户是单个计算机时,请选择“PC 到站点”模式。
最大连接数 当工作模式为“服务器”、组网模式选择“PC 到站点”时,可进行隧道容
纳最大连接数的设置。
地址池名称 当工作模式为“服务器”时,可以选择分配给客户端的静态IP地址范围。
如果下拉菜单中没有想选择的条目,请进入4.4.3.3隧道地址池管理页面创
建新条目。
WAN 接口 当工作模式为“客户端”时,可以选择通过隧道传输报文的 WAN 接口。
隧道服务器地址 当工作模式为“客户端”时,需设置隧道服务器地址。若服务器端为路由
器则填入其 WAN 口 IP 地址。
对端子网范围 输入隧道对端的地址,以子网掩码值划分地址范围。当工作模式为“服务
器”、组网模式为“PC 到站点”时,该项无需填写。
¾ 隧道设置列表
在隧道设置列表中,可以对已保存的 L2TP/PPTP 隧道信息进行相应设置。
图 4-59序号 1 条目的含义:这条隧道使用L2TP协议进行封装,隧道用户名为test,密码自设,路
由器工作模式为“客户端”,隧道对端服务器地址为 172.30.70.161,对端子网为 192.168.3.0/24,
目前该条目已生效。
-89-
4.4.3.2 L2TP/PPTP隧道信息
在此将列出路由器上所有 L2TP/PPTP 隧道的相关信息。
界面进入方法:VPN >> L2TP/PPTP >> L2TP/PPTP 隧道信息
图 4-60 L2TP/PPTP 隧道信息界面
图 4-60中显示的是图 4-59中隧道设置列表序列 1 条目的连接情况。目前这条隧道已成功建立,每
条隧道会产生隧道ID数值对和会话ID数值对,每个数值对都由两个数字ID组成,客户端和服务器端显示
的数值对是对应的。这条隧道在服务器端的连接信息如下图所示。
每次建立隧道连接时都会生成一组隧道 ID 和一组会话 ID,一般情况下,同一路由器上不同隧道的
ID 数值对不会相同,即使是同一条隧道,在断开已有连接后重新建立连接,也可能会产生不同的 ID 数
值对。
4.4.3.3 隧道地址池管理
界面进入方法:VPN >> L2TP/PPTP >> 隧道地址池管理
图 4-61 隧道地址池管理界面
-90-
界面项说明:
¾ 地址池设置
地址池名称 为地址池命名。设置好的地址池名称可以被应用在隧道设置中。
地址池范围 设置非配给客户端的 IP 地址范围。此地址池不能与当前路由器 LAN 网段
及 DMZ 网段、对端路由器 LAN 网段及 DMZ 网段重复。
¾ 地址池列表
在地址池列表中,可以对已保存的地址池进行相应设置。
4.5 系统服务
4.5.1 电子公告
通过电子公告功能可向局域网内指定用户组发送公告消息。
4.5.1.1 公告设置
可以在此启用电子公告功能,编辑公告内容并向指定用户发送。
界面进入方法:系统服务 >> 电子公告 >> 公告设置
-91-
图 4-62 公告设置界面
界面项说明:
¾ 综合设置
勾选“启用电子公告功能”后,设置的公告才会生效,局域网用户在访问外网网页时将会收到公
告消息。公告周期可以让路由器每隔指定的时间发布一次公告,周期时常不能小于 5 分钟。
勾选“启用日志记录”后路由器会记录相关的公告日志。
¾ 公告设置
标题 输入公告的标题。
内容 输入公告的内容。
-92-
公告对象 通过用户组选定被公告的局域网内对象。如果需要添加用户组,请选中组
并点击< >> >按钮将其移至“已选用户组列表”中,如果需要删除某个
已选用户组,请选中组后点击< << >按钮将其移回“可选用户组列表”。
如需新建组请参考4.3.5组管理。
生效时间 指定规则生效时间,其他时间规则不生效。时间以 24 小时制进行设定,精
确到分钟,下方可勾选生效的日期,以一周为单位。
发布者 输入公告发布者名称。
备注 添加对本条规则的说明信息。
是否生效 选择当前设置规则是否生效。
¾ 公告列表
在公告列表中,可以对已保存的公告规则进行相应设置。
图 4-62序号 1 规则的含义:这是一条由管理员发布的公告,路由器在周四和周五的早上 8 点至晚
上 20 点时间段内,每隔一个公告周期的时间(图中的公告周期为 30 分钟)就对研发组发布一次
公告,本条规则已生效。
说明
用户组及组内成员的管理操作、组导入等功能请参考4.3.5组管理。
4.5.2 动态DNS
4.5.2.1 花生壳动态域名
广域网中,许多 ISP 使用 DHCP 分配公共 IP 地址,因此用户端获得的公网 IP 是不固定的。当其它
用户需要访问此类 IP 动态变化的用户端时,很难实时获取它的最新 IP 地址。
DDNS(Dynamic DNS,动态域名解析服务)服务器则为此类用户端提供了一个固定的域名,并将其与
用户端最新的 IP 地址进行关联。当服务运行时,DDNS 用户端把最新的 IP 地址通知 DDNS 服务器,服
务器会更新 DNS 数据库中域名与 IP 的映射关系。而对于访问它的用户端,将会得到正确的 IP 地址并成
功访问服务端。DDNS 常用于 Web 服务器搭建个人网站、FTP 服务器提供文件共享等,访问的用户可
以便捷地获取服务。
路由器作为动态 DNS 客户端,本身并不提供动态 DNS 服务。因此,在使用此功能之前,必须进入
动态 DNS 服务提供商的官方主页注册,以获得用户名、密码和域名等信息。TL-ER6120 路由器提供花
生壳动态 DNS 客户端。
-93-
界面进入方法:系统服务 >> 动态 DNS >> 花生壳动态域名
图 4-63 花生壳动态域名设置界面
界面项说明:
¾ 功能设置
用户名 填入在花生壳网站注册的用户名。若还没有注册,请点击右边的链接“注
册用户名”登录花生壳网站进行注册。
密码 填入在花生壳网站注册该用户名时所设置的密码。
服务开关 选择启用或禁用花生壳动态域名服务。
接口名 显示启用花生壳动态域名服务的 WAN 口。
服务类型 服务启用之后,显示当前登录的 DDNS 账号是属于专业服务还是标准服
务。这取决于您在注册时选择的服务类型。
连接状态 显示 DDNS 的工作状态。
“服务没有运行”表示 DDNS 功能未启用;
“服务连接中,请等候”表示系统正在连接 DDNS 服务器;
-94-
“服务已运行”表示 DDNS 工作正常;
“用户名或密码错误”表示输入的用户名或密码有误,请重新输入正确的
值后再启用 DDNS。
域名信息 显示当前登录的 DDNS 用户所拥有的域名。用户可以申请多个域名,点击
“查看所有域名”显示当前用户申请的所有域名,但最多显示 16 条。
¾ 管理列表
在管理列表中,可以对当前的 DDNS 条目进行相应设置。
图 4-63 条目 1 的含义:应用于WAN1 口的花生壳用户名是uername1 ,对应的域名是
user1.oray.net,该服务已运行。
4.5.3 UPnP服务
UPnP(Universal Plug and Play, 通用即插即用)协议,遵循此协议的不同厂商的各种设备可以自动
发现对方并进行连接。
如果应用程序支持 UPnP 协议,而局域网中的主机安装了 UPnP 组件,路由器开启了 UPnP 服务后,
局域网中的主机就可以根据软件的需要自动地在路由器上打开相应的端口,使得外部主机上的应用程序
在需要时能够通过打开的端口访问内部主机上的资源,这样原本受限于 NAT 的功能便可以正常使用。例
如,Windows XP 和 Windows ME 系统上安装的 MSN Messenger,在使用音频和视频通话时就可以利
用 UPnP 协议。
相对于转发规则而言,UPnP 的应用不需要用户手动设置任何规则,对于一些端口不固定的应用会
更加方便。
界面进入方法:系统服务 >> UPnP 服务 >> UPnP 服务
图 4-64 UPnP 服务设置界面
-95-
Loading...