第五章 详细安装指南
5.1启动和登录
本产品默认IP地址为:192.168.0.1,子网掩码为:255.255.255.0,管理帐户是:admin,密码是:admin。在启动和登录以后,浏览器会显示本产品的WEB管理界面。如下图:
界面左侧菜单栏里有如下选项:“系统状态”、“基础设置”、“上网行为管理”、“网络安全”、“QoS流量控制”、“高级选项”、“虚拟专网”、“系统工具”等,单击某个选项,即可进行相应的功能设置。下面将详细讲解各个选项的功能。
5.2系统状态
5.2.1系统信息
通过“系统信息”界面可观察路由器的状态信息、版本信息、连接数排行等。
路由器运行时间:路由器的连续工作时间。本例中显示路由器已经工作了1天0小时6分钟。
路由器负荷:路由器运行过程中当前的系统负荷。本例中显示当前系统负荷很小,是5%,负荷在0%-40%之间属于正常,在40%-100%之间属于繁忙。
当前网络连接数:当路由器工作在NAT模式时,内网计算机出访会在路由器上产生NAT连接。NAT连接数和网络流量是影响路由器负荷最关键的两个指标。
本例中当前的NAT连接数是275条,由TCP协议构成的NAT连接数是262条,构成这种连接的主要网络应用有:网页浏览、下载等;由UDP协议构成的NAT连接数是13条,构成这种连接的主要网络应用有:域名查询、QQ等。
当前活动主机数:显示当前内网通过路由器NAT以后访问外网的机器的数量。
网络连接限制:打开,表示“启用网络连接数限制”。该功能对内网每台主机能够占用的最大网络连接数进行限制,以保证内网整体的可靠性和可用性。
网络防御拦截到:当在“网络安全”→“攻击防御”→“内网防御”中启用“内网病毒防御”和“广播风暴抑制”功能以后,路由器会显示当前拦截到的内网病毒包和广播包的数量,拦截这些包的主要目的是保证内网整体的可靠性和可用性。
网络攻击报警:路由器一旦遭遇来自内网或者外网的网络攻击,便会在此做出相应提示。方便网络管理员排查故障。
产品型号:路由器的型号。本例是VE1560 [V4N]。
版本型号:路由器的当前固件版本。本例是Beta 1005[2008-12-15 02:22:30 PM]。
产品序列号:路由器的序列号。路由器序列号是每个路由器的唯一标识。
策略库版本:路由器内置的电信策略包和网通策略包,当前版本是081031。点击“立即更新”按钮可以自动更新策略路由包的版本。
客户机网络连接数排行:在这里可以显示当前占用网络连接数最多的10台内网主机的排行情况。在正常使用情况下,单台内网主机的网络连接数在300以内,如果某台内网主机网络连接数长时间明显大于这个值,请检查该主机是否感染网络病毒。一旦某台内网主机作为服务器对外开放,则网络连接数会显著上升。可以通过“网络安全”→“攻击防御”→“网络连接数限制”功能对每台内网主机能够占用的最大网络连接数进行限制,以保证网络整体的可靠性和可用性。
在实际应用中,一台计算机正常情况下一般只有10-50条NAT连接。某些感染了蠕虫病毒或滥用P2P下载工具的内网计算机会对外发起众多的连接请求,严重干扰网络的正常运行,通过查看客户机网络连接数排行榜,可以轻松定位到染毒主机,为网络故障的排查带来方便。如果染毒的内网主机网络连接数过大,需要及时将染毒主机断网并杀毒,从而保护其他主机的正常网络使用。
5.2.2网络接口
显示路由器当前网络接口详细信息。
可以通过本界面观察路由器的广域网和局域网的连接状态以及接口信息。其中包括:设备接口的物理地址(MAC地址),IP地址,子网掩码,网关地址,接受/发送数据量等信息。对于ADSL PPPoE拨号线路,提供手动断开与连接按钮,并显示已连接的时间。
通过使用飞鱼星独有的“流量实时监测”功能,相应的WAN口带宽使用情况便一目了然地展现出来。下图是查看WAN1口“十分钟”的带宽使用情况:
5.2.3系统日志
本界面提供的功能是将网络日志和系统日志通过标准协议传输到日志服务器上进行保存。日志服务器运行“飞鱼星日志管理服务器软件”接收日志信息。
启用系统日志服务:启用并保存后,重启路由器,将会在本界面中的“系统日志”选项看到系统日志。
启用日志服务器:指定日志服务器的IP地址,在日志服务器上结合飞鱼星日志管理服务器软件接收路由器产生的日志信息。请在官方网站下载该软件。
在路由器上查看系统日志信息,点击“系统日志”即可。如下图所示:
5.2.4网络检测
本界面提供两个使用频率最高的网络命令,ping和tracert,命令的发起端都是路由器。使用ping可以检测目标地址是否可以到达。比如,ping 61.139.2.69的结果如下图所示:(ping包个数选择3个)
由于61.139.2.69是一个外网地址,根据使用ping命令的结果得出的结论是:从路由器发出的数据包可以到达外网,并且路由器可以收到外网回应的数据包,说明外网是通的;只要路由器没有配置任何限制规则,内网的用户就可以通过路由器上网。
再举个例子来说明tracert的使用情况, tracert 61.139.2.69的结果如下图所示:
根据使用tracert命令的结果,得出的结论是:从路由器发出的数据包在到达61.139.2.69(电信地址)之前经过了4个网关的转发。通常我们只关心所到达的第一个网关,在这里是221.237.64.1,它是WAN口电信线路的网关,本例是在使用电信和网通双线接入的情况下测试tracert,输出结果验证了访问电信的资源从电信的线路出访,实现了策略路由。
5.2.5内网监控
内网监控功能采用高速网络流量采集和分析技术,精确统计内网每个IP的累计流量、实时速度、网络连接数等关键指标,并可以按任意指标排名分析;实时分析各IP的网络连接详情,轻松掌握网络资源分配情况,定位问题易如反掌。
内网监控的“管控”功能可以一键禁止内网异常活动IP上网。
启用内网分析:将分析服务状态选择为“启用”,并保存。如下图所示:
排序方式:可以将内网的活动主机按照累计下载、累计上传、下载速度、上传速度、网络连接数等指标排名,本例是按照主机IP地址排名。点击蓝色字体“主机”即可。
管控:当您发现某个IP活动异常时,可以使用管控功能,单击管控列的绿色按钮即可一键阻断其访问外网。
当您阻断某个IP地址上网后,您可以在禁止列表中看到该IP:
当您删除所有规则以后,此IP地址又可以正常上网了。
刷新:点击“刷新”按钮后,路由器每5秒刷新一次排序列表。
通过点击相应的主机IP地址或者该主机的网络连接数,可以查看该主机的NAT连接数详情。点击“192.168.0.61”出现如下图所示的界面:
5.2.6报文捕获
报文捕获功能提供在路由器上直接抓取经过路由器LAN口或WAN口的数据包,便于分析当前网络运行情况。如下图所示:
数据包文件:点击“开始抓包”后,被捕获的数据包会形成名为packet.cap的文件,该文件可以使用wireshark(ethereal)等软件打开。
类型:希望捕获哪种类型的数据包。可选项有,ARP、ICMP、TCP、UDP或者ALL(全部类型)。默认捕获全部类型的数据包。
源IP地址:被捕获的数据包的源地址。
目标IP地址:被捕获的数据包的目的地址。
源端口与目标端口:被捕获的数据包的源端口与目的端口。
接口:希望捕获哪个接口的数据包。可选项有LAN、WAN、ALL(全部)。
数量:每次捕获数据包的个数,每次最多可以捕获1000个数据包。设置并点击“开始抓包”后,系统会提示剩余包个数,当剩余包为0个时,系统自动停止本次抓包。
5.3基础设置
5.3.1配置向导
通过快速配置向导可以轻松地完成上网所需要的基本设置,直接点击“下一步”进行操作,按照系统提示正确输入参数即可。
5.3.2基本选项
本界面包含路由器系统的一些基本配置信息,通常情况下,基本选项保持默认配置即可。如下图所示:
注意:如果您将本界面的配置参数(除手动设置时间)做了修改以后需要重新启动路由器才生效。
主机名称:路由器的名称。可以在这里给路由器设定一个名称,默认是volans
域名:路由器作为内网DHCP服务器时所使用的名称。
时间服务器地址:路由器通过时间服务器获取准确的系统时间。
手动设置时间:如果时间服务器故障导致不能正常更新路由器系统时间,用户可以自己设置时间。
最大数据分段:对于某些特殊地区的ISP,用户只有手动设置最大数据分段以后才能更流畅地使用网络。最大数据分段的范围是536-1460字节,通常情况下保持默认即可,错误的数据分段会导致您的网络无法正常使用。
支持端口回流:当您访问内网主机对公网提供的服务时,可能出于习惯使用路由器WAN口IP地址进行访问,此时就需要端口回流功能来支持您的应用,打勾表示启用此功能;如果不启用此功能您只能使用服务器内网IP地址访问内网服务器。
要试试远程的问题 是不是这样做了 我就可以远程公网ip地址来管理了
5.3.3内网配置
本界面用于配置内网接口参数,如下图所示:
注意:如果您将本界面的配置参数做了修改以后需要重新启动路由器才生效。
IP地址:设置路由器内网口的IP地址,这个地址就是内网计算机的网关地址。该地址出厂时设置为192.168.0.1,可以根据需要改变它,如果改变了路由器内网IP地址,重新启动路由器后才能生效。重启成功后,必须用新设置的IP地址才能登录路由器进行WEB界面管理。局域网中所有主机的IP地址需与路由器内网口IP地址在同一网段,并且默认网关设置为路由器内网口IP地址才能正常上网。
子网掩码:根据内网规模选择,一般填255.255.255.0即可。路由器默认使用的子网掩码是255.255.255.0,可以根据需要更改。
内网扩展IP地址:本路由器内网口允许配置多个IP地址,当内部有多于一个子网时可能会使用到该功能。可以在“内网扩展IP地址”中添加3个地址,其功能与路由器内网地址基本一致,通常作为相应子网的网关使用。
5.3.4 外网配置
本界面用于配置WAN口的接口参数。每个WAN口都支持三种连接方式,静态地址线路,PPPOE拨号线路,动态获取地址线路。
注意:如果您将本界面的配置参数做了修改以后需要重新启动路由器才生效。
1.静态地址线路
IP地址:申请的线路的广域网IP地址,由网络服务商提供,可以向网络服务商询问获得。
子网掩码:当前IP所对应的子网掩码,由网络服务商提供,可以向网络服务商询问获得。
缺省网关:当前IP所对应的网关,由网络服务商提供,可以向网络服务商询问获得。
DNS服务器1/DNS服务器2:填入网络服务商提供的DNS服务器IP地址,可以向网络服务商询问获得。
网络服务商:您申请线路的ISP,比如中国网通或者中国电信。如果选择“不指定”,则该线路需与静态路由功能配合使用。
线路带宽:申请的WAN1口静态线路的带宽,可以向网络服务商询问获得。
MTU设置:MTU(最大传输单元),系统默认使用1500字节。通常情况下这个参数不用设置,保留“自动”即可。不恰当的MTU设置可能导致网络性能变差甚至无法使用。
工作模式:本路由器对于WAN1口提供四种工作模式。
1.NAT(网络地址转换)模式。如果内网使用了一个私有的网络地址段,比如10.x.x.x/172.16.x.x/192.168.x.x,并且需要访问互联网,则路由器需要工作在NAT模式下。路由器工作在NAT模式时,内网中的出访数据包的源地址将被转换为路由器WAN口配置的合法IP地址。目前绝大多数用户使用的是这种工作模式。
2.路由模式。如果内网的主机全部是合法的公网地址,可以配置路由器工作在路由模式下。路由器工作在路由模式时,内网中出访数据包的源地址将使用本机的合法公网地址,不会被转换为路由器WAN口配置的IP地址。目前使用这种工作模式的客户比较少。
3.透明桥模式。该模式只针对WAN1使用;如果内网每台主机都是同一ISP(比如网通)公网地址,又增加一条宽带线路(比如电信),电信线路具备一个或多个公网地址,在这种情况下,可以配置路由器工作在透明桥模式。路由器工作在透明桥模式时,内网的主机不需要修改任何配置,就可以实现“访问电信数据走电信线路,访问网通数据走网通线路”的策略路由,还可以实现线路备份等功能。目前使用这种工作模式的客户也比较少。
4.桥接模式。启用该模式后,路由器的LAN口和WAN1口实现纯桥功能。LAN侧PC的网关应指到WAN侧的真实网关地址,路由器可对LAN侧的PC进行流控和上网行为管理等控制。
通断检测:如果为不启用,则路由器不对此条线路的通断作判断。
网关检测:如果WAN口到网关这一跳有故障,则选择网关检测效率最高。这个也是默认配置,推荐大多数客户使用。
ARP检测:与网关检测功能几乎一样,用于特殊地区的ISP。
DNS检测:用于第N(N>=1)跳的故障。使用时必须正确配置静态线路的DNS地址,并填写检测域名。
定时切换:某些地区ISP存在零点断网问题。比如双线接入,WAN1线路每天凌晨0:00断网,早上7:00通网,则配置定时切换断线时间为:23:59,上线时间为:7:02。在断线期间,内网所有的上网数据全部由另外一条未断的线路出访,内网不会产生由于零点断网引起的“掉线”问题。
试试 ? 看看还可以设置时间段的
2.PPPOE拨号线路
PPPOE帐号:填入网络服务商提供的PPPOE线路帐号,可以向网络服务商询问获得。
PPPOE口令:填入网络服务商提供的PPPOE线路口令,可以向网络服务商询问获得。
按需拨号:当使用计时收费类型的PPPOE线路时,可以配置这个功能。配置该功能后,如果内网有上网请求,路由器会自动拨号连接,无需人工干预;PPPOE线路空闲的时间达到设定的值后,系统自动切断PPPOE线路,节省费用。这个值应大于30秒,通常设置为300秒(5分钟)。
网络服务商:您申请线路的ISP,比如中国网通或者中国电信。如果选择“不指定”,则该线路需与静态路由功能配合使用。
线路带宽:申请的WAN1口PPPOE线路的带宽,可以向网络服务商询问获得。
工作模式:参考静态线路说明,默认使用“NAT模式”。
通断检测:参考静态线路说明。
3.动态获取地址线路
主机名:某些提供以太网动态获取地址线路的网络服务商可能需要,可以向服网络务商询问获得。
网络服务商:您申请线路的ISP,比如中国网通或者中国电信。如果选择“不指定”,则该线路需与静态路由功能配合使用。
线路带宽:申请的WAN1口以太网动态获取地址线路的带宽,可以向网络服务商询问获得。
MTU设置:MTU(最大传输单元),系统默认使用1500字节。通常情况下这个参数不用设置,保留“自动”即可。不恰当的MTU设置可能导致网络性能变差甚至无法使用。
工作模式:参考静态线路说明,默认使用“NAT模式”。
通断检测:参考静态线路说明。
WAN2、WAN3、WAN4线路的参数说明与配置方法与WAN1线路的相同。
当多WAN配置完毕以后,点击“外网设置”→“智能均衡策略”,将模式设置为“智能均衡”:
智能均衡是飞鱼星路由器的一大特色,路由器将自动识别线路并调用路由策略,使多条线路工作在最佳状态下。
● 默认线路类型可选项有电信和网通。比如WAN1和WAN2口分别是网通与电信接入,此时如果内网访问教育网的资源,并且选择默认网络服务商“电信”,则访问教育网的数据从电信线路出访。
● 自定义策略,通过使用源地址路由、静态路由等选项来配置策略路由的高级路由方案,请参考源地址路由、静态路由的介绍。
保存后如下图所示:
5.3.5 DHCP服务器
本界面主要提供DHCP服务器功能。如果内网计算机的TCP/IP协议配置为“自动获得IP地址”,并且在内网没有DHCP服务器的情况下,可以使用该功能。
DHCP是Dynamic Host Configuration Protocol(动态主机配置协议)的缩写,它是TCP/IP协议簇中的一种,主要是用来给网络客户机分配IP地址。这些被分配的IP地址都是DHCP服务器预先保留的一个由多个地址组成的地址集,此地址集一般是一段连续的地址。
起始IP地址:DHCP服务器自动分配的内部IP的起始地址。
结束IP地址:DHCP服务器自动分配的内部IP的结束地址。
默认网关:路由器给PC分配的网关地址。通常为路由器的LAN口IP。
DNS服务器1/DNS服务器2:分配的DNS服务器地址。
租期(小时):设定DHCP服务器为客户端租用IP地址保留的过期时间,系统默认留空。如果留空,租期默认为12小时。
绑定:启用自动绑定IP/MAC功能后,路由器会自动绑定已分配的IP地址与相应主机的MAC地址,避免内网由于ARP欺骗所带来的掉线问题。
当前内网DHCP服务器:
当此路由器作为一台DHCP服务器时,他它会主动探测同一局域网是否也存在其他DHCP服务器,如果有则显示其IP和MAC地址,避免DHCP服务冲突。
DHCP服务器支持静态IP地址分配。如果希望内网某台主机每次启动以后都会获取DHCP服务器分配的同一IP地址,可以使用此功能。
比如:内网有台计算机的MAC地址是00:01:02:03:04:05,希望它每次启动以后都会获取IP 192.168.0.2。首先,点击“添加新规则”添加一条规则;然后填写相应的IP地址与MAC地址,并保存。配置的结果如下图所示:
您也可以批量的添加静态地址,如下图:
添加好保存以后显示:
5.3.6 DHCP地址池
DHCP地址池显示路由器的DHCP服务当前状态。可以看到的信息有,已经分配的IP地址、该IP所对应的MAC地址、获取该IP的计算机名称、IP地址租约到期时间。如下图所示:
5.3.7端口管理
本界面提供的功能是调整路由器WAN口的工作模式,改变路由器内网口与外网口的MAC地址。
注意:如果您将本界面的配置参数做了修改以后需要重新启动路由器才生效。
接口模式:可以调整路由器WAN口的工作模式。提供四种工作模式供选择:10M全双工模式、10M半双工模式、100M全双工模式、100M半双工模式。通常情况下网络接口之间自动协商工作模式,用户不需要手动配置,保留“自动模式”即可。也可查看其中某一端口的数据统计:
MAC克隆:可以修改LAN口和WAN口的MAC地址,留空表示使用系统默认的MAC地址。某些网络服务商将提供给您的线路同某一个固定的MAC地址绑定起来,在这种情况下,MAC地址克隆就非常有用。
5.4上网行为管理
上网行为管理应用示例
5.4.1 IP地址组
IP 地址组:用于将IP地址进行分组管理。这个IP组可以是内网的IP 段,也可以是公网的某些IP 段。设置好的IP组将与上网行为管理的各个子功能配合使用,可用于定义源IP或者目的IP。
比如企业研发部的IP段:192.168.0.20-192.168.0.30,将研发部配置为一个IP组的方法是,点击“添加新规则”。
1、 组名称:yanfabu
2、 IP段:192.168.0.20-192.168.0.50,点击“添加”按钮。
3、 描述:添加注释“研发部”。
4、 点击“保存”后出现如下的界面。
类似地,可以添加企业行政部、市场部,或者添加一组外网的不安全IP段221.50.50.0-221.50.50.254。
5.4.2 网址分类管理
网址分类管理功能将大多数热门网站进行分类,用于对外网网站的访问进行管控,杜绝员工访问与工作无关网站。比如:市场部同事由于业务需要,工作时间可以访问所有网站;但是在工作时间只允许其他部门员工访问合作伙伴网站www.abc.com,而不允许访问其他网站。配置如下:
1、 将“启用网址分类管理功能”打勾。
2、 在白名单中添加www.abc.com。
3、 将“休闲娱乐”→ “其他网址”的所有分类全部“阻断”。
4、 点击“保存”按钮。
阻断:启用后,禁止用户访问“被阻断网站”,并将网址自动跳转到指定页面。
记录:启用后,日志会记录某个IP什么时候访问过哪些网站。
警告:启用后,当用户访问“被警告网站”时,浏览器会显示警告信息。
在例外IP地址组,可以添加不受以上规则约束的IP地址组。如:市场部
此时,市场部同事可以访问所有的网站,而其他组的同事只能访问www.abc.com。
5.4.3域名安全
域名安全功能可以禁止内网的计算机访问某些网站和不安全的IP地址组,并记录访问日志。
比如禁止内网的除了市场部(shichangbu)的所有计算机访问目的IP是virus组(221.50.50.0-221.50.50.254)和www.bbs.com,www.mop.com。配置方法如下:
1、 将“启用域名安全功能”打勾。
2、 将“shichangbu”添加到例外IP地址组。
3、 将“virus”添加到过滤目的IP组。
4、 将“启用DNS访问日志”打勾。
5、 添加www.bbs.com和www.mop.com,每行填写一个网址。
6、 点击“保存”按钮。
5.4.4 WEB安全
WEB安全可以实现禁止内网用户在论坛发帖子、防止企业信息外泄;禁止用户下载指定扩展名(比如exe;torrent)的文件、禁止用户访问URL包含指定关键字的网站等功能。
比如禁止除了市场部(shichangbu)的所有计算机在论坛发帖、下载扩展文件名为.exe、.torrent的文件、访问URL包含bbs、org的网站。配置方法如下:
1、 将“启用WEB安全功能”打勾。
2、 将“shichangbu”添加到例外IP地址组。
3、 将“禁用WEB页面提交”打勾。
4、 过滤文件扩展类型填写:torrent,exe。(用英文的逗号分隔)
5、 过滤的URL关键字填写:bbs,org。(用英文的逗号分隔)
6、 点击“保存”按钮。
5.4.5 电子公告
电子公告功能将按照管理员设置的公告周期定时向用户发送公告内容,内网用户可以通过浏览器查看到公告内容。
聊天软件过滤、P2P软件过滤和股票软件过滤采用深度协议分析技术,可以有效限制内网计算机使用MSN、飞信、skype、迅雷、电驴、BT、VAGAA、KUGOO、PPLIVE、PPSTREAM、股票行情软件等应用程序。对于QQ的封锁,除了可以封锁QQ通过代理登陆外,还可以针对QQ号码封锁,允许例外的QQ号码登陆。
注意:由于某些P2P软件或者聊天软件的版本不同或是有更新,可能应用软件过滤功能会对该版本的软件失效,飞鱼星科技会不定期更新软件特征库,确保过滤功能对绝大多数的软件版本有效。
1、聊天软件过滤
聊天软件过滤提供对QQ、MSN、飞信、SKYPE、阿里旺旺软件的过滤。比如禁止所有计算机使用QQ、MSN、skype、飞信、阿里旺旺等聊天软件,并且只允许市场部登陆工作QQ12345678、23456789,其余私人QQ不能登陆。配置方法很简单,首先启用“聊天软件过滤”,然后对禁止使用的聊天软件选择“开启”,并保存即可。如下所示:
1、 点击“例外的QQ号”,添加新规则。
2、 输入允许使用的QQ号码12345678和23456789,并添加注释。
3、 点击“保存”按钮。
完成后界面如下图所示:
2、股票软件过滤
提供了对股票行情软件大智慧、钱龙、同花顺、证券之星、指南针,以及运用了以上这些软件特征代码的其他“衍生”行情软件,都具有过滤作用,杜绝了员工上班炒股的行为。
比如,禁止所有的电脑使用股票行情软件。即IP地址不设例外就行了。
3、P2P软件过滤
比如禁止内网的所有用户组使用迅雷、电驴、BT、VAGAA、KUGOO、PPLIVE/PPSTREAM等P2P软件。按照如下图所示配置即可:
5.4.5 游戏过滤
游戏过滤功能可以阻止内网用户登录当前一些热门游戏。详细的游戏列表如下图所示:
5.4.6 防火墙设置
本界面提供了飞鱼星路由器内置的高性能防火墙的配置。防火墙访问控制规则一旦设置后,路由器将运用所配置的规则来匹配报文中的相关信息,决定允许或者拒绝报文通过。
比如禁止市场部(shichangbu)的计算机在每周二、周三的9:00-10:00禁止访问virus组的所有服务。点击“添加新规则”,在出现的界面中这样配置:
1、 不使用:保持默认,不勾选。若勾选,则本条规则配置后不生效。
2、 动作:禁止。
3、 接口:LAN。
4、 协议:ALL[ALL/1-65535]
5、 目的端口范围:当协议为ALL时,目的端口范围默认为所有端口。
6、 目的地址组:选择下拉菜单“virus”
7、 源地址组:选择下拉菜单“shichangbu”
8、 时间:9:00-10:00
9、 工作日期:周二、周三
完成后点击“保存”即可。如下图所示:
注意:规则的匹配顺序是从上到下,一旦匹配了一条规则就会马上执行,下面的规则不再进行匹配。因此一般将比较细化的规则放在上面,可以使用“上下移动”键来调整规则顺序。
防火墙的一键添加按钮可以很方便地实现一些网络访问控制功能。比如配置行政部的计算机只能浏览网页和收发邮件,禁止其他互联网应用,如下图所示:
5.4.7 邮件监控
当内网计算机使用邮件客户端(如foxmail),通过POP3/SMTP 协议收发邮件时,进行收发的邮件可以被路由器监控,并将邮件内容抄送到指定日志查看工具或指定的邮箱。该功能可分两种方式进行邮件监控:
1、启用“邮件日志监控服务”,通过VE日志查看软件监控邮件。
2、通过配置“Web邮件监控服务”实现邮件的监控。
方式一:启用“邮件日志监控服务”,通过VE日志查看软件监控邮件。
1、通过此方式实现邮件监控时,必须首先开启路由器的系统日志功能,然后运行日志服务器软件,并在路由器上指定接收日志的服务器的IP地址。如图所示:
2、开启上网行为管理功能中的邮件监控功能,如图所示:
3、此时在内网一台PC上使用foxmail邮件客户端,采用POP3/SMTP 协议收发邮件时,在日志服务器192.168.100.221上安装的日志查看工具中可以监控到内网用户经过路由器接收和发送的邮件。
(注意:若邮件中携带有附件,该附件小于20Mbyte,也可以一并监控到。)
方式二:通过配置“Web邮件监控服务”实现邮件的监控。取消方式一中的“启动邮件监控服务”,点击展开“Web邮件监控服务”,并勾中“启用邮件监控功能”如图所示:
比如监控除了市场部(shichangbu)的计算机收发邮件情况,并将监控的邮件内容抄送到邮箱test@163.com。路由器上使用test1@163.com发送被监控邮件,该邮箱的SMTP服务器为smtp.163.com,该邮箱的用户名为test1,密码为test1。注意,所配置的邮箱必须是一个已被申请,并可以正常使用的邮箱。
1、 将“启用邮件监控功能”打勾。
2、 将“shichangbu”添加到例外地址组。
3、 接收邮箱:被监控的邮件将会发送到该邮箱,本例为test@163.com
4、 SMTP服务器:发件邮箱的SMTP服务器地址,本例为smtp.163.com
5、 SMTP发件邮箱:发件邮箱的地址,本例为:test1@163.com
6、 SMTP用户:发件邮箱的用户名,本例为:test1
7、 SMTP用户密码:发件邮箱的密码,本例为:test1
完成后点击“保存”即可。如下图所示:
5.5网络安全
5.5.1 攻击防御
本界面提供全新网络自防御体系配置。飞鱼星网络自防御机制能够侦测及阻挡ARP欺骗,源路由攻击,IP/端口扫描,DoS等网络攻击,可以有效防止多种病毒攻击。即使内网存在恶意流量,飞鱼星独有的“网络自防御”技术可以杜绝整个网络的瘫痪,以保证其他主机浏览、聊天、游戏等的正常应用,确保网络整体的正常运营。
ARP欺骗防御保护:内网ARP欺骗保护功能,请使用默认配置。
广播风暴抑制:在一个布局不合理的局域网中或者局域网有某些病毒时,内网会有很大比例的广播包,大量广播包会导致内网速度变慢,运行不稳定。此功能通过拦截内网的大量广播包来保证内网的稳定运行。
内网病毒防御:此功能可以阻断来自内网中毒计算机对路由器的攻击。在一个比较复杂的内网环境中,使用飞鱼星路由器,可以在“系统信息”看到路由器一天拦截到几百万个数据包,内网运行状况稳定;在同样环境下,如果使用其他路由器,内网几乎无法运行。
过滤未知协议:如果“启用”,路由器可以阻止来自LAN口的特殊类型的乱包攻击。
Syn-flood攻击防御/ udp-flood攻击防御/ icmp-flood攻击防御:飞鱼星独有的防御来自内网的针对路由器的DoS攻击。后面的参数都是飞鱼星根据当前攻击类型的特点做的优化设计,请保持默认配置。
响应外网ping请求:出于安全考虑,请保持默认“禁止”。选项如果启用,外网用户将可以ping通路由器的WAN口地址,这样配置会增加风险。
远程诊断/升级:默认选择“启用”。这样,飞鱼星工程师可以通过外网远程连接到路由器上,帮您进行网络故障诊断。
试试?????
阻断外网请求:默认选择“禁止”。如果启用,外网用户将不能访问内网的虚拟服务器。
外部开放端口保护:保护内网的虚拟服务器。使内网虚拟服务器在受到来自外网的恶意攻击的情况下,不至于瘫痪,确保网络整体的正常运营。
5.5.2连接限制
通过网络连接数限制功能,可以设置内网每台计算机能够使用的最大连接数,每台主机300条连接数是一个标准值,其中UDP连接数建议限制为50条。
连接限制功能既可以统一对内网的所有计算机进行最大NAT连接数限制,也可以单独限制某些特殊功能计算机(比如服务器)的最大连接数,还可以启用高级连接数限制,保证某些游戏更加快速地连接到服务器。该功能针对网络实际的应用情况,更加合理地分配连接数资源,有效的保证内网整体的可用性与可靠性。
比如配置内网每台计算机的连接数为300条,并且启用高级连接数限制,内网DMZ主机192.168.0.99连接数为2000条,UDP连接限制为300条;内网段192.168.0.22-192.168.0.24的几台web服务器的连接数为1000条,UDP连接限制为50条。结果如下图所示:
5.5.3 IP/MAC绑定
本功能用于实现内网计算机的IP地址与MAC地址之间的绑定。路由器的ARP映射表如果被更改,整个网络将陷于瘫痪。使用飞鱼星集成的IP-MAC扫描工具,一键绑定内网计算机的IP和MAC,可以极大降低因ARP欺骗造成的“掉线”故障。
网络管理人员总是希望网络是秩序良好、运行稳定,但事实往往不尽人意:IP地址被随意改动导致IP 地址冲突而使合法的主机不能上网;无法限制某些IP 地址的主机访问互联网等,飞鱼星提供的地址绑定功能可以很好的解决这些问题。
地址绑定一旦配置完成后,指定的IP 地址就只能被指定的计算机使用,解决了局域网中IP 地址被随意改动而导致的IP 地址冲突。另外也可以通过选中“禁止未绑定ARP信息的主机通过”选项来禁止所有未被绑定的计算机出访互联网。
点击“动态列表”→“扫描MAC”,可以扫描出内网活动主机的IP/MAC地址,如下图所示:
该扫描列表中的主机可以被单台绑定或者全部绑定(点击“绑定所有IP/MAC项”)。
点击“批量绑定”,在此手动添加内网主机的IP/MAC项,IP和MAC之间用一个空格分开。点击“保存”按钮,可以将绑定内容添加到绑定列表。
点击“绑定列表”,该列表显示目前已被绑定的内网主机的IP/MAC信息。
可以通过点击“编辑”图标为每条IP/MAC添加注释内容。
如果将“禁止未绑定IP/MAC的主机通过”打勾,则内网未被路由器绑定IP/MAC的计算机不能通过该路由器上网。
5.5.4 ARP信任机制
ARP信任设置的基本选项如下图:
启用ARP信任检测功能:启用ARP信任检测功能,路由器将自动对学习的ARP信息进行验证,保证路由器学习到正确的ARP信息。
启用ARP超时机制:在启用ARP信任检测功能后,可以开启超时机制,使路由器定期对已经学习到的ARP信息进行重新学习和验证,大大提高了路由器自动对IP/MAC表维护的正确性。
启用“ARP信任检测功能”后,可以在信任列表里查看当前已被路由器信任的IP/MAC信息。“绑定所有IP/MAC项”可以将已信任的IP/MAC添加到绑定列表中,“删除所有IP/MAC项”可以清空该列表内容。
5.5.5 MAC地址过滤
本界面提供的MAC地址过滤功能可以禁止内网计算机上网。有时候可能需要禁止内网某些计算机上网,只要找到该计算机的MAC地址,在MAC地址过滤里添加一条规则,便可以实现。
比如:想禁止MAC地址是00:01:02:03:04:05的计算机上网。首先,点击“添加新规则”并填写计算机MAC地址,然后点击“保存”按钮,配置结果如下图所示:
5.6 QoS流量控制
5.6.1 QoS流量控制
本功能可对内网每个IP或者网段进行带宽限制。它基于飞鱼星第三代智能流控技术,可以有效地防止P2P应用过渡消耗带宽资源。独特的流控算法灵活分配剩余带宽,在“保障带宽”的前提下充分利用带宽总资源,进退自如的“弹性流控”即使在高负荷的大型网络中,也能充分体现其灵敏,高效,弹性的特点,且不影响路由器的整体性能。
在“功能配置”界面可以对流量控制的一些特性进行配置:
启用流量控制:流量控制功能总开关,启用该选项流量控制功能才会生效。
启用优先级流控:启用优先级流控之后可以在优先级流控规则中配置优先保障的重要应用,从而保证单机在带宽达到限制峰值的情况下部分数据优先传输,以保障企业关键业务的正常开展。
启用分接口的流控:启用分接口的流控可以对不同的WAN口线路设置不同的流控规则,使得各线路在带宽不同的情况下更加合理的利用总带宽。
比如配置优先级流控,要求内网所有计算机访问网页的数据优先传输,配置的方法如下图所示:
不使用:本条规则配置后不生效,但规则并不被删除。
协议:可选项有TCP、UDP、TCP/UDP或者ALL。本例为TCP。
端口:目的端口范围。本例为80端口。
地址:规则生效的IP地址范围。本例为内网所有主机。
描述:可以为本规则添加注释。
完成后,点击“保存”,将出现如下所示的界面:
流量控制功能的典型应用
比如:内网有253台计算机,IP地址范围是192.168.0.2-192.168.0.254,申请的带宽是6M,控制内网每台计算机的最大使用带宽为上行50KB,下行50KB,当下行带宽有剩余时,可使用更多带宽,且规则生效时间为上午9:00-下午18:00。
点击“规则列表”→“添加新规则”,在出现的界面中做如下的配置:
不使用:打勾表示不使用本条规则,规则并不被删除。
地址:需要做流量控制的计算机的IP地址。“类型”下拉菜单可以选择为一个网段或者一台主机。
上行限制:设置流量控制的上行流量,默认单位为KB。
下行限制:设置流量控制的下行流量,默认单位为KB。
上行模式、下行模式:在地址类型为“网段”的情况下,可以设置本网段的计算机每一IP地址使用设定的带宽或者本网段的计算机所有IP共享设定的带宽。
上行策略、下行策略:即是否选择“弹性流控”。
举个例子,内网100台计算机,申请的带宽是10M,限制内网所有计算机上下行流量均是80KB,策略配置为“仅能使用设定的带宽”,在只有5台计算机上网并且这5台计算机都在下载软件的情况下,总带宽最多使用5×80KB=400KB。也就是说还有接近6M带宽没有被使用,白白“浪费”了。如果策略配置为“当带宽有剩余时,可使用更多带宽”,这5台计算机就会充分利用之前“不属于”他们的6M带宽,于是获得更快的下载速度,当有其他计算机上网时,他们会将这6M带宽“公平地”交出,每台计算机在保证总带宽没有被占满的情况下,可以使用多余带宽,直到可使用带宽达到给它设定的最大值。
接口:是否需要配置分接口流控。如果选择任意,则为不分接口流控,此时使用非弹性流控,则单机下载最大速度约等于所设定的值;如果选择WAN1,则为对WAN1进行流控,此时使用非弹性流控,则单机使用WAN1带宽下载速度约等于所设定的值,但是单机下载总带宽可能会大于所设定的值。
时间:本规则生效的时间段范围。
描述:添加对于本条规则的注释。
点击“保存”按钮,出现如下的界面:
5.7 高级选项
5.7.1端口映射
本界面提供端口映射的配置。端口映射又称虚拟服务器,当内网使用私有地址时,比如10.x.x.x/172.16.x.x/192.168.x.x,外部网络无法直接访问内网中的服务器。通过在路由器上做端口映射,配置内网服务器的IP与端口以后,外部网络便可以访问内网服务器,从而使用内网提供的服务。
比如:内网有100台计算机,已经配置好一台FTP服务器,它的IP地址是192.168.0.5,如果想让外网用户也可以访问此服务器,可以这样操作:
点击“添加新规则”,做如下的配置:
不使用:打勾表示不使用本条规则,规则并不被删除。
外部端口:指定一个对外开放的端口,映射到内部服务器开放的端口上,外部端口可以指定为一个连续的端口范围,但是需与内部开放端口相对应。如果不指定,则外部端口与内部端口相同。填写范围1-65535。
内部IP:内网的服务器的IP地址。
内部端口:内网服务器提供的服务所使用的端口。内部端口可以指定为一个连续的端口范围,但是需与外部开放端口相对应。请参考“常见的端口和服务对照表”。
协议:服务器提供的服务所使用的协议,如不清楚是哪种协议,可以选择“TCP/UDP”。请参考“常见的端口和服务对照表”。
映射线路:如果是双WAN接入,在这里选择外网用户通过哪条线路进来访问内网的服务器,系统默认选择“WAN1/WAN2”。若外网用户从WAN1访问,就用WAN1口的IP地址,否则,用WAN2口的IP地址。
注释:可以在这里简单备注一下本条规则。
点击“保存”按钮,出现如下的界面:
常见的端口和服务对照表
5.7.2静态路由
静态路由就是静态的路由表信息。在某些网络环境下,需要修改静态路由表,指定静态路由信息来实现正常通信。
比如:指定内网的主机访问221.12.12.0/24这个网络的资源从WAN1出去,WAN1的网关地址是61.121.13.1,可以按此操作:
点击添加新规则,做如下的配置:
不使用:打勾表示不使用本条规则,规则并不被删除。
目标网络地址:输入目标网络的网络地址。
掩码:目标网络地址的子网掩码,可以根据实际情况选择。
网关:输入与目标网络匹配的数据交付的网关地址,在本例是WAN1口的网关。
接口:指定数据交付的接口,在本例是WAN1口。
描述:可以在这里简单备注一下本条规则。
点击“保存”按钮,出现如下的界面:
静态路由的批量添加功能可以快速地一次性添加多条静态路由规则。使用批量添加时请注意书写格式,例如233.233.233.0 233.233.234.255 WAN1 每个条目之间用一个空格隔开,尤其注意IP地址一定要填写正确,否则错误的静态路由规则会导致您的网络不流畅,甚至无法使用。
点击“保存”按钮以后,所添加的静态路由信息会自动加载到规则列表中。
5.7.3源地址路由
源地址路由就是指定具体的主机从具体的WAN口访问外网。此功能可以根据实际情况灵活调度多WAN的使用,实现负载均衡。
比如:指定内网IP地址为192.168.0.2-192.168.0.100这个段的主机访问外网从WAN2出去。可以按此操作:
点击“添加新规则”,做如下的配置:
不使用:打勾表示不使用本条规则,规则并不被删除。
源地址:指定内网的一个地址段,或者一个IP地址。
接口:选择该地址(段)访问外网从哪个接口出去。
描述:可以在这里简单备注一下本条规则。
点击“保存”按钮,出现如下的界面:
5.7.4应用调度
应用调度用来配置具体的应用程序访问外网时通过哪个WAN口出去。此功能可以根据实际情况灵活调度多WAN的使用,实现负载均衡。
比如:指定内网的所有用户浏览网页的流量从WAN2口出去,假设内网的所有计算机的IP地址范围是从192.168.0.2到192.168.0.254。
详细的配置方法是:首先在功能配置页面,启用“应用调度”功能,并点击“保存”按钮。然后点击添加规则,做如下的配置:
不使用:打勾表示不使用本条规则,规则并不被删除。
协议:应用程序所使用的协议,请根据实际情况选择。可以是TCP、UDP或者二者兼有,这种情况下需要指定端口的范围;也可以是具体的应用协议,比如HTTP、POP3,这种情况下不需要指定端口的范围。
端口:当协议选择TCP、UDP或者TCP/UDP的情况下,指定端口的范围。
地址:填写内网的一个地址(段)。
接口:指定通过哪个接口出访。
描述:可以在这里备注一下本规则。
点击“保存”按钮,出现如下的界面:
5.7.5地址转换
随着Internet网络爆炸性的膨胀,IP地址短缺及路由规模越来越大已成为一个相当严重的问题。为了解决这个日益严重的问题,出现了多种方案。目前在应用中最有效的解决方案为网络地址转换(NAT)。
一个组织网络内部可以自定义其IP地址(不需要经过申请,即私有的IP地址,如10.x.x.x/172.16.x.x/192.168.x.x),在本组织内部,各计算机之间通过私有IP地址进行通讯。而当组织内部的计算机要与外部Internet网络进行通讯时,具有NAT功能的设备负责将私有的IP地址转换为公网IP地址(即申请的合法IP地址)进行通信。简单地说,NAT就是通过将私有IP地址转换为公网IP地址。
本界面的地址转换功能提供多对一转换和一对一转换两种模式。
1. NAT外出规则
比如:内网有主网段192.168.0.0/24,有一个扩展网段192.168.1.0/24(已经在内网设置→内网扩展IP里配置)。外网单WAN接入,WAN口光纤有2个IP地址,218.6.90.34和218.6.90.35,WAN1口已经配置了一个IP地址218.6.90.34,默认情况下主网段和扩展网段的计算机NAT以后都用218.6.90.34出访;但是,如果想让扩展网段的计算机NAT以后用IP地址218.6.90.35出访,可以按此操作:
点击添加新规则,做如下的配置:
不使用:打勾表示不使用本条规则,规则并不被删除。
源地址:内网扩展地址已经在内网设置里面配置,所以不需要将“设为内网扩展地址”打勾。IP地址和掩码请填写需要NAT转换的计算机的网段和掩码,本例是192.168.1.1/24。
目标地址:需要访问的目的地址。“类型”可以选择“任意”或者“子网”。如果选择“任意”,表示源地址出访到任意目标地址的数据包都需要用转换地址做NAT出访。如果选择“子网”,则表示源地址出访到指定目标地址段的数据包才用转换地址做NAT出访。通常情况下这里保持默认配置。
转换接口:如果选择“不指定接口”,则必须填写转换地址,该地址是ISP提供的合法IP地址;如果指定相应的WAN口,则转换地址自动为当前WAN口IP(仅用于WAN口是PPPoE情况)。本例选择“不指定接口”。
转换地址:NAT以后,源地址使用填写的转换地址访问外网。这里可以填写一个地址或一个地址段,设置地址段时,最大长度为16个地址。
注释:可以在这里简单备注一下本条规则。
点击“保存”按钮,出现如下的界面:
2.NAT一对一
本路由器通过NAT一对一的方式支持DMZ功能。这个功能可以使内网某台特定计算机向互联网完全开放,支持更多的网络应用。本路由器支持DMZ主机的数量只取决于您所拥有的合法IP地址的数量,如果一台PC设置成DMZ主机后,就完全暴露在公网上,这时候这台PC失去了NAT防火墙的保护,所以请谨慎使用。
比如:内网有网段192.168.0.0/24,外网单WAN接入,WAN口光纤有2个IP地址,218.6.90.34和218.6.90.35,WAN1口已经配置了一个IP地址218.6.90.34,将内网计算机192.168.0.4 作NAT一对一转换,外部地址选择 218.6.90.35,可以按此操作:
将标签切换到“NAT一对一”,点击添加新规则,做如下的配置:
不使用:打勾表示不使用本条规则,规则并不被删除。
内部地址:填写主机的内部IP地址。
外部地址:填写一个外网IP地址用来作一对一的映射。请注意:填写的外网地址必须是网络服务商已经提供的合法的静态地址,否则NAT一对一功能无法实现。
转换接口:规则作用于哪个WAN口。
规则描述:可以在这里简单备注一下本条规则。
点击“保存”按钮,出现如下的界面:
5.7.6 域名转发
本界面提供域名服务功能,路由器直接向内网的计算机转发其域名缓存列表中的域名地址。域名转发工作的前提是“启用DNS缓存转发”功能。通过域名转发规则,可以将指定的域名同指定的IP地址绑定起来,在内网中生效,这个设置同外部网络的DNS解析没有关系。
比如:内网有台WEB服务器,IP地址为192.168.0.3,设定域名为www.myweb.com 。设置内网所有的计算机的DNS值和内网网关相同。然后点击添加新规则,做如下的配置:
名称:填写内部主机的名称。
域名:指定内部主机的域名,注意:这个域名仅在局域网内网生效,并且需要开启DNS缓存转发功能。
IP地址:填写内部主机的IP地址。
描述:可以在这里简单备注一下本条规则。
点击“保存”按钮,出现如下的界面:
重启路由器使域名转发功能生效后,您就可以在内网计算机的浏览器上输入www.myweb.com来访问内网的WEB服务器了。
5.7.7 动态域名
Internet上的域名解析一般是静态的,即一个域名所对应的IP地址是静态的,长期不变的。动态域名的功能,就是实现固定域名到动态IP地址之间的解析。 因为ADSL PPPoE用户上网的时候分配到的IP地址都是动态的(每次重新拨号所获取的IP地址不同),用传统的静态域名解析方法,ADSL用户想把自己上网的计算机做成一个有固定域名的网站,是不可能的。而有了动态域名,这个美梦就可以成真。用户可以申请一个域名,利用动态域名解析服务,把域名与自己上网的计算机联系在一起,这样就可以很方便地搭建自己的网站。
飞鱼星路由器对于每个WAN口都提供动态DNS配置,其配置方法完全相同。动态域名客户端支持多种服务类型,可以参看“服务类型”中的列表数据。动态域名服务目前很多机构都有提供,某些还是免费的。
比如在www.3322.org上申请了一个动态域名xxxx.3322.org,用户名xxxx,密码1234。具体的配置方法为:
点击“编辑”按钮添加一条规则,按照如下图所示的格式填写:
WAN1:启用动态DNS客户端后,本条规则才生效。
服务类型:选择提供动态域名服务的服务商类型,在本例是3322.org
主机名称:申请的主机名称。
时限:某些服务商可能要求填写,本例中的服务商无时限要求。
用户名:申请动态域名时使用的用户名称。
口令:申请动态域名时使用的口令。
点击“保存”按钮,出现如下的界面:
5.7.8端口镜像
端口镜像就是通过配置交换端口来把经过一个或多个端口的数据同步复制到某一个端口来实现对网络的监听。
目前我国的文化部和公安部要求网络服务场所等安装监控软件,他们通过该软件采集相关数据,分析用户使用网络的情况。飞鱼星提供的端口镜像功能可以与监控软件完美结合,在降低网络服务场所业主投资成本的情况下满足文化部和公安部的需求。其配置方法十分简单。
比如安装监控软件的计算机接到路由器的LAN2口,路由器LAN1口与LAN3口接主交换机,需要实现LAN2口监听内网数据,具体的配置方法如下图所示:
启用:打勾表示启用该功能。
选择监听端口:安装监控软件的计算机所使用的端口,本例是LAN2。
选择被监听端口:主交换机所使用的端口,本例是LAN1、LAN3。
5.7.9 VLAN设置 试试????
VLAN(Virtual Local Area Network),即虚拟局域网。VLAN是一种将局域网从逻辑上划分(注意,不是从物理上划分)成一个个网段(或者说是更小的局域网LAN)。这样划分主要有以下3个好处:
1、 端口的分隔。即便在同一个交换机上,处于不同VLAN的端口也是不能通信的。这样一个物理的交换机可以当作多个逻辑的交换机使用。
2、 网络的安全。不同VLAN不能直接通信,保护重要资料的安全。
3、 灵活的管理。更改用户所属的网络不必换端口和连线,只更改软件配置就可以了。
飞鱼星VE系列上网行为管理路由器提供基于端口的VLAN,比如设置LAN1口,LAN2口,LAN3口分别归属于不同的VLAN,这时候,接到三个LAN口下面的计算机互相不可以通信。具体的配置方法如下图所示:
5.7.10 UPnP设置
UPnP(Universal Plug and Play),通用即插即用,是一组协议的统称,不能简单理解为UPnP=“自动端口映射”。在BitComet下载中,UPnP包含了2层意思: 1、对于一台内网电脑,BitComet的UPnP功能可以使网关或路由器的NAT模块做自动端口映射,将BitComet监听的端口从网关或路由器映射到内网电脑上。 2、网关或路由器的网络防火墙模块开始对Internet上其他电脑开放这个端口。
通过使用UPnP,BitComet等P2P软件可以获得更快的下载速度。
UPnP的配置方法如下,点击“UPnP”设置,将“使用UPnP”打勾,并保存。
点击“允许IP列表”,并“添加新规则”,在这里设置使用UPnP的计算机IP地址范围。例如设置192.168.0.1-192.168.0.254范围的计算机使用UPnP功能,配置的结果如下所示:
点击“UPnP”使用信息,可以查看当前的UPnP服务状态:
5.8虚拟专网
VPN(Virtual Private Network),即虚拟专用网络。它是通过一个公用网络(通常是因特网)在两个局域网或者工作站之间建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
有两种方法建立VPN连接,第一种是从计算机到VPN路由器,第二种是从VPN路由器到VPN路由器。
飞鱼星路由器均支持这两种方法建立VPN连接。
5.8.1 PPTP 客户端
PPTP客户端支持从VPN路由器客户端连接到VPN路由器服务端。比如:企业分支机构A与企业总部之间需要实现简单安全的信息互访,可以在分支机构路由器中使用PPTP客户端完成上述操作。具体配置方法如下:
启用PPTP客户端:打勾表示启用PPTP客户端功能。
PPTP服务器地址:需要拨入的PPTP服务端地址。
用户名:使用的PPTP用户名,由服务端分配。
密码:用户名所对应的密码,由服务端分配。
是否启用加密:根据服务端配置选择是否启用加密,保证服务器和客户端配置相同才可以正常通信。
PPTP网段:通过PPTP隧道访问的网段,一般配置为PPTP服务端内网地址段。
PPTP掩码:PPTP服务端内网地址段掩码。
做好上述配置之后,还需要在服务端配置“PPTP用户管理”,客户端内网主机才可以通过PPTP隧道来访问服务端内网主机,从而实现内网互访。
5.8.2 PPTP 服务端
如果PPTP客户端要拨入服务端内网,则必须配置PPTP服务端。比如:企业员工出差在外,需要每天晚上将出差报告发送到主管的企业内部邮箱,同时收取企业内部邮箱里面的邮件,这时候就需要用到PPTP VPN,出差员工通过VPN拨号进入企业内网来完成上述操作。具体的配置方法如下图所示:
启用PPTP服务:打勾表示启用PPTP VPN服务端。
最大PPTP连接数:服务端最多支持同时拨入的PPTP客户端数量。系统允许64个不同用户同时拨入。
PPTP服务端地址:服务端LAN口的IP地址。
PPTP客户端地址范围:客户通过VPN拨进来以后,服务端给它随机分配的内网IP地址范围。此地址段设置应当与服务端内网地址在同一网段并且不要与内网产生地址冲突。
启用128-bit数据加密:支持128-bit数据加密功能,此配置必须服务端同客户端保持一致才能正常通信。打勾表示两端的通信会以128-bit密钥加密的方式进行。
拨入列表:您将在这里看到哪些用户拨入了VPN,以及分配到的IP地址和他的拨入地址。
5.8.3 PPTP用户
以上配置完成后,还需要在服务端新建PPTP用户。方法是点击“PPTP 用户”,点击添加用户。比如,用户名为user1,密码1234,如图所示:
点击“保存”按钮,出现如下的界面:
这时候,出差员工通过在自己的电脑上启动VPN客户端程序,使用PPTP服务端当前WAN口IP和相应的用户名、密码配置客户端,就可以通过拨入公司内网。
若企业分支机构A需要通过VPN拨入公司总部局域网,实现分支机构A内的所有计算机可以访问公司总部内网资源。可以通过如下的配置实现,在服务端配置用户名user2,密码1234,勾选“用户所在客户端为一个网络”,客户端网段与掩码分别填写分支机构A的内网网段和掩码。如下图所示:
5.8.4 IPSec VPN
IPSec协议是网络层协议,是为保障IP通信安全而提供的一系列协议族。IPSec针对数据在通过公共网络时的数据完整性、安全性和合法性等问题设计了一整套隧道、加密和认证方案。IPSec能为IPv4网络提供能共同使用的、高品质的、基于加密的安全机制。提供包括存取控制、无连接数据的完整性、数据源认证、防止重发攻击、基于加密的数据机密性和受限数据流的机密性服务。
IPSec VPN的配置方法如下:
启用IPsec VPN ,并保存。
点击“IPSec VPN隧道列表”,并添加新规则。
名称:IPSec 隧道名,请用英文字母开头。
主动连接:若在两个路由器之间建立IPSec VPN隧道,只需在其中一个启用主动连接即可。
本地隧道接口:选择使用哪个WAN口进行IPSec VPN连接。
本地网络/掩码:与该路由器的内网网段/掩码一致。
远程隧道地址:对端WAN口的当前IP地址,可以填写域名。
远程网络/掩码:与对端路由器的内网网段/掩码一致。
IKE验证模式:默认为IKE-PSK,两端的验证模式必须相同。
PSK密钥:密钥由数字和英文字母组成,两端的PSK密钥必须相同。
保存后如下图所示:
在两端都配置完毕并保存后,IPSec VPN会自动拨号。可以查看“隧道状态”,下图为IPSec VPN拨号成功后的状态:
5.8.5 L2TP IPSec
飞鱼星路由器支持L2TP IPSec VPN,这种方式的VPN与PPTP VPN相比,安全性更高。具体配置方法与拨号方法如下所示:
启用该功能,设置PSK密钥为123456,客户端地址段为192.168.0.100-192.168.0.110,与路由器的LAN口在同一个网段。
添加用户名test,密码test。
保存用户名和密码。
在PC机上的配置方法如下,注意“网络”标签下的“VPN的类型”必须选择为“L2TP IPSec VPN”。
“安全”标签下的IPSec设置,密钥设置为123456,与路由器上的设置保持一致。
“常规”标签下的目的地址设置为路由器的WAN1口IP地址。
填写用户名和密码,开始拨号。
拨号成功后,路由器上的拨入列表状态如下图所示:
5.9系统工具
5.9.1 管理选项
本界面提供修改路由器的WEB管理密码和WEB管理端口功能。
修改路由器WEB管理密码界面如下图所示:
点击“保存”后,所做的修改立即生效。
WEB管理选项提供WEB管理端口的修改,WEB管理IP的添加等功能。
管理地址:需要增加对路由器WEB界面访问的安全性时可以使用此配置。如果设置了管理地址,则除管理地址以外的其他地址不能访问路由器的WEB界面,如果此地址留空则所有地址主机都可以访问路由器的WEB界面。
WEB管理端口:修改路由器的WEB管理端口(在路由器重新启动后生效)。系统默认使用80端口,如果要修改WEB管理端口,请注意不要用系统中已经使用的标准端口,比如53等,建议使用8000-60000之间的端口号。更改WEB管理端口后请牢记端口号。
允许外部使用WEB管理:如果希望外网可以通过WEB管理路由器,将“是否允许外部主机使用WEB管理”打勾,保存即可。请注意:开放路由器的外网WEB管理存在一定风险,请谨慎使用。系统默认不允许对外部主机开放WEB管理功能。
登陆保留时间:若设置时间为5分钟,使用admin打开路由器的WEB界面,5分钟内不做任何操作,则再次访问路由器WEB时,系统要求重新认证。
5.9.2 系统诊断
启用诊断模式会关闭路由器所有的上网行为管理,防火墙规则和防御模块,通常用于调试设备才启用系统诊断。默认情况下该开关保持禁止状态。
5.9.3 用户管理
本界面提供的功能是添加user组,以便对路由器的访问权限实行分级管理。路由器将管理用户划分为admin组与user组。admin组对路由器的配置有修改的权限,user组只能查看路由器在运行过程中的重要参数,不能修改路由器的配置。这样大大提高了管理的安全性,减少了由于配置不当而引起的网络故障。
配置方法是,首先点击添加新规则,添加用户名,密码等;然后点击“保存”按钮,如下图所示,添加了一个用户名为user1的用户。通过使用user1用户与相应的密码登陆路由器的WEB管理界面,就可以查看路由器在运行过程中的一些参数。
5.9.4 策略升级
本界面提供的功能是升级路由器的策略库,如策略路由引擎库、聊天软件特征库、P2P软件特征库、网址分类信息库等,确保路由器对于聊天软件,P2P软件的较新版本达到最佳封锁效果。建议配置为自动更新,并设置自动更新时间。
比如设置自动更新时间为每月的1号上午10时,可以做如下图所示的配置:
5.9.5 固件升级
本界面提供路由器的固件升级功能。路由器需要相应的软件才能提供各种丰富的功能。在厂家发布路由器的升级固件后,会提供一个固件升级包。通常情况下,新的固件升级包都可以得到更多的功能和更好的性能。在厂家的官方网站下载得到最新的固件升级包后,就可以使用“固件升级”功能给路由器升级固件。升级成功并自动重启后,就可以看到“当前固件版本”已经发生了变化。界面如下图所示:
当前固件版本:显示路由器的当前固件版本号。
升级文件:点击“浏览”按钮,指定路由器固件升级包在本地电脑中的位置。确定后,点击“开始升级”按钮。在升级的过程中系统有提示,大概2分钟完成升级,升级成功后路由器会自动重启。
注意事项:
1. 固件升级之前请确认固件升级包与设备之间是否匹配,不同型号的设备使用不同的固件升级包。
2. 升级过程请不要断开电源,否则升级无法完成。
3. 升级之前请重新启动路由器,启动正常后,断开外网连线。内网仅连接一台PC机,使用IE正常打开路由器WEB升级界面,选择正确的升级包操作。
5.9.6 备份恢复配置
本界面提供的功能是将路由器的所有配置保存为文件,如果因为操作不当导致配置出现错误时,可以使用原先保存的配置文件恢复配置。界面如下图所示:
保存配置:点击“保存配置”按钮,将路由器的所有配置保存为文件。
恢复配置:点击“浏览”按钮,指定原先保存的配置文件在本地电脑中的位置,确定后,点击“恢复配置”按钮开始恢复配置,恢复成功后路由器自动重启。
5.9.7恢复出厂配置
本界面提供将路由器的所有配置清空,恢复到出厂配置的功能。它的效果和按一下路由器前面板上的“RST”键(复位按钮)相同。界面如下图所示:
提示:路由器恢复出厂配置后,所有的配置都将被清空。可以通过http://192.168.0.1来重新配置路由器,登录用户名和密码都是admin
5.9.8 重新启动
本界面提供的功能是从软件上重启路由器,它的效果和使用路由器后面板的电源开关相同。通过的WEB管理界面重启路由器在某些时侯可能非常方便,比如路由器放置在一个无法触及到的地方时。路由器的重启过程大概需要40秒。界面如下图所示:
附录A 路由器选配电缆说明
1,以太网接口电缆
路由器的以太网接口电缆为8 芯非屏蔽双绞线,1、2 脚为发送端,3、6 脚为接收端;和计算机网卡的10BASE-T 接口相同,可以与HUB 直接相连。
附录B WindowsXP环境下的TCP/IP配置
本章介绍如何为您的个人计算机配置TCP/IP协议。首先请您确认在计算机中已经正确安装了网卡。以下步骤将指导您正确设置计算机与路由器连接时的TCP/IP配置。
1、依次点击:开始 → 控制面板 → 网络连接。
2、双击“网络连接”,选中“本地连接”击右键选择“属性”。
3、双击Internet协议(TCP/IP)。
4、现在,您有两种设置方法:
● 第一种,手工设置IP地址
1) 选中“使用下面的IP地址”,在IP地址栏中填写IP地址:192.168.0.249,子网掩码:255.255.255.0,缺省网关: 192.168.0.1(因为路由器的默认IP地址为192.168.0.1)。
2) 选中“使用下面的DNS服务器地址”,在DNS设置栏中,首选DNS服务器填写ISP为您提供的DNS服务器地址,备用DNS服务器填写路由器的默认IP地址。
3) 单击“确定”即可。配置结果如下图所示:
● 第二种,通过DHCP服务器设置IP地址
1)选中“自动获得IP地址”;
2)选中“自动获得DNS服务器地址”,
3)单击“确定”即可。配置结果如下图所示:
本文来源:https://www.2haoxitong.net/k/doc/f09becc9a1c7aa00b52acbee.html
文档为doc格式