2023年11月28日发(作者:)
. . . .
第五章详细安装指南
5.1启动和登录
本产品默认IP地址为:192.168.0.1,子网掩码为:255.255.255.0,管理是:admin,密
码是:admin。在启动和登录以后,浏览器会显示本产品的WEB管理界面。如下图:
界面左侧菜单栏里有如下选项:"系统状态"、"基础设置"、"上网行为管理"、"网络安
全"、"QoS流量控制"、"高级选项"、"虚拟专网"、"系统工具"等,单击某个选项,即可进行
相应的功能设置。下面将详细讲解各个选项的功能。
5.2系统状态
系统信息
通过"系统信息"界面可观察路由器的状态信息、版本信息、连接数排行等。
路由器运行时间:路由器的连续工作时间。本例中显示路由器已经工作了1天0小时6分钟。
路由器负荷:路由器运行过程中当前的系统负荷。本例中显示当前系统负荷很小,是5%,负
荷在0%-40%之间属于正常,在40%-100%之间属于繁忙。
当前网络连接数:当路由器工作在NAT模式时,网计算机出访会在路由器上产生NAT连接。
NAT连接数和网络流量是影响路由器负荷最关键的两个指标。
本例中当前的NAT连接数是275条,由TCP协议构成的NAT连接数是262条,构成这种
连接的主要网络应用有:网页浏览、下载等;由UDP协议构成的NAT连接数是13条,构成这
种连接的主要网络应用有:域名查询、QQ等。
当前活动主机数:显示当前网通过路由器NAT以后访问外网的机器的数量。
网络连接限制:打开,表示"启用网络连接数限制"。该功能对网每台主机能够占用的最大网
络连接数进行限制,以保证网整体的可靠性和可用性。
网络防御拦截到:当在"网络安全""攻击防御""网防御"中启用"网病毒防御"和"广播风
暴抑制"功能以后,路由器会显示当前拦截到的网病毒包和广播包的数量,拦截这些包的主要
目的是保证网整体的可靠性和可用性。
1 / 30
. . . .
网络攻击报警:路由器一旦遭遇来自网或者外网的网络攻击,便会在此做出相应提示。方便
网络管理员排查故障。
产品型号:路由器的型号。本例是VE1560 [V4N]。
版本型号:路由器的当前固件版本。本例是Beta 1005[2008-12-15 02:22:30 PM]。
产品序列号:路由器的序列号。路由器序列号是每个路由器的唯一标识。
策略库版本:路由器置的电信策略包和网通策略包,当前版本是081031。点击"立即更新"按
钮可以自动更新策略路由包的版本。
客户机网络连接数排行:在这里可以显示当前占用网络连接数最多的10台网主机的排行情
况。在正常使用情况下,单台网主机的网络连接数在300以,如果某台网主机网络连接数长时
间明显大于这个值,请检查该主机是否感染网络病毒。一旦某台网主机作为服务器对外开放,
则网络连接数会显著上升。可以通过"网络安全""攻击防御""网络连接数限制"功能对每
台网主机能够占用的最大网络连接数进行限制,以保证网络整体的可靠性和可用性。
在实际应用中,一台计算机正常情况下一般只有10-50条NAT连接。某些感染了蠕虫病毒或
滥用P2P下载工具的网计算机会对外发起众多的连接请求,严重干扰网络的正常运行,通过
查看客户机网络连接数排行榜,可以轻松定位到染毒主机,为网络故障的排查带来方便。如果
染毒的网主机网络连接数过大,需要及时将染毒主机断网并杀毒,从而保护其他主机的正常
网络使用。
网络接口
显示路由器当前网络接口详细信息。
可以通过本界面观察路由器的广域网和局域网的连接状态以及接口信息。其中包括:设
备接口的物理地址〔MAC地址,IP地址,子网掩码,网关地址,接受/发送数据量等信息。对于
ADSL PPPoE拨号线路,提供手动断开与连接按钮,并显示已连接的时间。
通过使用飞鱼星独有的"流量实时监测"功能,相应的WAN口带宽使用情况便一目了然地
展现出来。下图是查看WAN1口"十分钟"的带宽使用情况:
系统日志
本界面提供的功能是将网络日志和系统日志通过标准协议传输到日志服务器上进行保
存。日志服务器运行"飞鱼星日志管理服务器软件"接收日志信息。
启用系统日志服务:启用并保存后,重启路由器,将会在本界面中的"系统日志"选项看到系统
日志。
启用日志服务器:指定日志服务器的IP地址,在日志服务器上结合飞鱼星日志管理服务器软
件接收路由器产生的日志信息。请在官方下载该软件。
2 / 30
. . . .
在路由器上查看系统日志信息,点击"系统日志"即可。如下图所示:
网络检测
本界面提供两个使用频率最高的网络命令,ping和tracert,命令的发起端都是路由器。
使用ping可以检测目标地址是否可以到达。比如,ping 61.1的结果如下图所示: 个数选择3个> 由于是一个外网地址,根据使用ping命令的结果得出的结论是:从路由器发出的数据包 可以到达外网,并且路由器可以收到外网回应的数据包,说明外网是通的;只要路由器没有配 置任何限制规则,网的用户就可以通过路由器上网。 再举个例子来说明tracert的使用情况,的结果如下图所示: 根据使用tracert命令的结果,得出的结论是:从路由器发出的数据包在到达〔电信地 址之前经过了4个网关的转发。通常我们只关心所到达的第一个网关,在这里是,它是WAN 口电信线路的网关,本例是在使用电信和网通双线接入的情况下测试tracert,输出结果验 证了访问电信的资源从电信的线路出访,实现了策略路由。 网监控 网监控功能采用高速网络流量采集和分析技术,精确统计网每个IP的累计流量、实时速 度、网络连接数等关键指标,并可以按任意指标排名分析;实时分析各IP的网络连接详情, 轻松掌握网络资源分配情况,定位问题易如反掌。 网监控的"管控"功能可以一键禁止网异常活动IP上网。 启用网分析:将分析服务状态选择为"启用",并保存。如下图所示: 排序方式:可以将网的活动主机按照累计下载、累计上传、下载速度、上传速度、网络连接 数等指标排名,本例是按照主机IP地址排名。点击蓝色字体"主机"即可。 管控:当您发现某个IP活动异常时,可以使用管控功能,单击管控列的绿色按钮即可一键阻 断其访问外网。 当您阻断某个IP地址上网后,您可以在禁止列表中看到该IP: 当您删除所有规则以后,此IP地址又可以正常上网了。 刷新:点击"刷新"按钮后,路由器每5秒刷新一次排序列表。 通过点击相应的主机IP地址或者该主机的网络连接数,可以查看该主机的NAT连接数详 情。点击""出现如下图所示的界面: 3 / 30 . . . . 报文捕获 报文捕获功能提供在路由器上直接抓取经过路由器LAN口或WAN口的数据包,便于分析当前 网络运行情况。如下图所示: 数据包文件:点击"开始抓包"后,被捕获的数据包会形成名为的文件,该文件可 以使用wireshark〔ethereal等软件打开。 类型:希望捕获哪种类型的数据包。可选项有,ARP、ICMP、TCP、UDP或者ALL〔全部类型。 默认捕获全部类型的数据包。 源IP地址:被捕获的数据包的源地址。 目标IP地址:被捕获的数据包的目的地址。 源端口与目标端口:被捕获的数据包的源端口与目的端口。 接口:希望捕获哪个接口的数据包。可选项有LAN、WAN、ALL〔全部。 数量:每次捕获数据包的个数,每次最多可以捕获1000个数据包。设置并点击"开始抓包" 后,系统会提示剩余包个数,当剩余包为0个时,系统自动停止本次抓包。 5.3基础设置 配置向导 通过快速配置向导可以轻松地完成上网所需要的基本设置,直接点击"下一步"进行操作, 按照系统提示正确输入参数即可。 基本选项 本界面包含路由器系统的一些基本配置信息,通常情况下,基本选项保持默认配置即可。 如下图所示: 注意:如果您将本界面的配置参数〔除手动设置时间做了修改以后需要重新启动路由器 才生效。 主机名称:路由器的名称。可以在这里给路由器设定一个名称,默认是volans 域名:路由器作为网DHCP服务器时所使用的名称。 时间服务器地址:路由器通过时间服务器获取准确的系统时间。 手动设置时间:如果时间服务器故障导致不能正常更新路由器系统时间,用户可以自己设置 时间。 4 / 30 . . . . 最大数据分段:对于某些特殊地区的ISP,用户只有手动设置最大数据分段以后才能更流畅 地使用网络。最大数据分段的围是536-1460字节,通常情况下保持默认即可,错误的数据分 段会导致您的网络无常使用。 支持端口回流:当您访问网主机对公网提供的服务时,可能出于习惯使用路由器WAN口IP 地址进行访问,此时就需要端口回流功能来支持您的应用,打勾表示启用此功能;如果不启用 此功能您只能使用服务器网IP地址访问网服务器。 要试试远程的问题 是不是这样做了 我就可以远程公网ip 地址来管理了 网配置 本界面用于配置网接口参数,如下图所示: 注意:如果您将本界面的配置参数做了修改以后需要重新启动路由器才生效。 IP地址:设置路由器网口的IP地址,这个地址就是网计算机的网关地址。该地址出厂时设 置为,可以根据需要改变它,如果改变了路由器网IP地址,重新启动路由器后才能生效。重启 成功后,必须用新设置的IP地址才能登录路由器进行WEB界面管理。局域网中所有主机的 IP地址需与路由器网口IP地址在同一网段,并且默认网关设置为路由器网口IP地址才能正 常上网。 子网掩码:根据网规模选择,一般填即可。路由器默认使用的子网掩码是.0,可以根据需要更 改。 网扩展IP地址:本路由器网口允许配置多个IP地址,当部有多于一个子网时可能会使用到 该功能。可以在"网扩展IP地址"中添加3个地址,其功能与路由器网地址基本一致,通常作 为相应子网的网关使用。 外网配置 本界面用于配置WAN口的接口参数。每个WAN口都支持三种连接方式,静态地址线 路,PPPOE拨号线路,动态获取地址线路。 注意:如果您将本界面的配置参数做了修改以后需要重新启动路由器才生效。 1.静态地址线路 IP地址:申请的线路的广域网IP地址,由网络服务商提供,可以向网络服务商询问获得。 子网掩码:当前IP所对应的子网掩码,由网络服务商提供,可以向网络服务商询问获得。 缺省网关:当前IP所对应的网关,由网络服务商提供,可以向网络服务商询问获得。 5 / 30 . . . . DNS服务器1/DNS服务器2:填入网络服务商提供的DNS服务器IP地址,可以向网络服务商 询问获得。 网络服务商:您申请线路的ISP,比如中国网通或者中国电信。如果选择"不指定",则该线路 需与静态路由功能配合使用。 线路带宽:申请的WAN1口静态线路的带宽,可以向网络服务商询问获得。 MTU设置:MTU〔最大传输单元,系统默认使用1500字节。通常情况下这个参数不用设置,保 留"自动"即可。不恰当的MTU设置可能导致网络性能变差甚至无法使用。 工作模式:本路由器对于WAN1口提供四种工作模式。 1.NAT〔网络地址转换模式。如果网使用了一个私有的网络地址段,比如,并且需要访 问互联网,则路由器需要工作在NAT模式下。路由器工作在NAT模式时,网中的出访数据包的 源地址将被转换为路由器WAN口配置的合法IP地址。目前绝大多数用户使用的是这种工作 模式。 2.路由模式。如果网的主机全部是合法的公网地址,可以配置路由器工作在路由模式 下。路由器工作在路由模式时,网中出访数据包的源地址将使用本机的合法公网地址,不会被 转换为路由器WAN口配置的IP地址。目前使用这种工作模式的客户比较少。 3.透明桥模式。该模式只针对WAN1使用;如果网每台主机都是同一ISP〔比如网通 公网地址,又增加一条宽带线路〔比如电信,电信线路具备一个或多个公网地址,在这种情况 下,可以配置路由器工作在透明桥模式。路由器工作在透明桥模式时,网的主机不需要修改任 何配置,就可以实现"访问电信数据走电信线路,访问网通数据走网通线路"的策略路由,还可 以实现线路备份等功能。目前使用这种工作模式的客户也比较少。 4.桥接模式。启用该模式后,路由器的LAN口和WAN1口实现纯桥功能。LAN侧PC的 网关应指到WAN侧的真实网关地址,路由器可对LAN侧的PC进行流控和上网行为管理等控 制。 通断检测:如果为不启用,则路由器不对此条线路的通断作判断。 网关检测:如果WAN口到网关这一跳有故障,则选择网关检测效率最高。这个也是默认 配置,推荐大多数客户使用。 ARP检测:与网关检测功能几乎一样,用于特殊地区的ISP。 DNS检测:用于第N〔N>=1跳的故障。使用时必须正确配置静态线路的DNS地址,并填 写检测域名。 定时切换:某些地区ISP存在零点断网问题。比如双线接入,WAN1线路每天凌晨0:00 断网,早上7:00通网,则配置定时切换断线时间为:23:59,上线时间为:7:02。在断线期间, 网所有的上网数据全部由另外一条未断的线路出访,网不会产生由于零点断网引起的"掉线" 问题。 试试 ? 看看还可以设置时间段的 6 / 30 . . . . 2.PPPOE拨号线路 PPPOE:填入网络服务商提供的PPPOE线路,可以向网络服务商询问获得。 PPPOE口令:填入网络服务商提供的PPPOE线路口令,可以向网络服务商询问获得。 按需拨号:当使用计时收费类型的PPPOE线路时,可以配置这个功能。配置该功能后,如果网 有上网请求,路由器会自动拨号连接,无需人工干预;PPPOE线路空闲的时间达到设定的值后, 系统自动切断PPPOE线路,节省费用。这个值应大于30秒,通常设置为300秒〔5分钟。 网络服务商:您申请线路的ISP,比如中国网通或者中国电信。如果选择"不指定",则该线路 需与静态路由功能配合使用。 线路带宽:申请的WAN1口PPPOE线路的带宽,可以向网络服务商询问获得。 工作模式:参考静态线路说明,默认使用"NAT模式"。 通断检测:参考静态线路说明。 3.动态获取地址线路 主机名:某些提供以太网动态获取地址线路的网络服务商可能需要,可以向服网络务商询问 获得。 网络服务商:您申请线路的ISP,比如中国网通或者中国电信。如果选择"不指定",则该线路 需与静态路由功能配合使用。 线路带宽:申请的WAN1口以太网动态获取地址线路的带宽,可以向网络服务商询问获得。 MTU设置:MTU〔最大传输单元,系统默认使用1500字节。通常情况下这个参数不用设置,保 留"自动"即可。不恰当的MTU设置可能导致网络性能变差甚至无法使用。 工作模式:参考静态线路说明,默认使用"NAT模式"。 通断检测:参考静态线路说明。 WAN2、WAN3、WAN4线路的参数说明与配置方法与WAN1线路的相同。 当多WAN配置完毕以后,点击"外网设置""智能均衡策略",将模式设置为"智能均衡": 智能均衡是飞鱼星路由器的一大特色,路由器将自动识别线路并调用路由策略,使多条线路 工作在最佳状态下。 默认线路类型可选项有电信和网通。比如WAN1和WAN2口分别是网通与电信接入,此 时如果网访问教育网的资源,并且选择默认网络服务商"电信",则访问教育网的数 据从电信线路出访。 自定义策略,通过使用源地址路由、静态路由等选项来配置策略路由的高级路由方案, 请参考源地址路由、静态路由的介绍。 保存后如下图所示: 7 / 30 . . . . DHCP服务器 本界面主要提供DHCP服务器功能。如果网计算机的TCP/IP协议配置为"自动获得IP 地址",并且在网没有DHCP服务器的情况下,可以使用该功能。 DHCP是Dynamic Host Configuration Protocol〔动态主机配置协议的缩写,它是TCP /IP协议簇中的一种,主要是用来给网络客户机分配IP地址。这些被分配的IP地址都是 DHCP服务器预先保留的一个由多个地址组成的地址集,此地址集一般是一段连续的地址。 起始IP地址:DHCP服务器自动分配的部IP的起始地址。 结束IP地址:DHCP服务器自动分配的部IP的结束地址。 默认网关:路由器给PC分配的网关地址。通常为路由器的LAN口IP。 DNS服务器1/DNS服务器2:分配的DNS服务器地址。 租期〔小时:设定DHCP服务器为客户端租用IP地址保留的过期时间,系统默认留空。如果 留空,租期默认为12小时。 绑定:启用自动绑定IP/MAC功能后,路由器会自动绑定已分配的IP地址与相应主机的MAC 地址,避免网由于ARP欺骗所带来的掉线问题。 当前网DHCP服务器: 当此路由器作为一台DHCP服务器时,他它会主动探测同一局域网是否也存在其他DHCP服务 器,如果有则显示其IP和MAC地址,避免DHCP服务冲突。 DHCP服务器支持静态IP地址分配。如果希望网某台主机每次启动以后都会获取DHCP 服务器分配的同一IP地址,可以使用此功能。 比如:网有台计算机的MAC地址是00:01:02:03:04:05,希望它每次启动以后都会获取 IP。首先,点击"添加新规则"添加一条规则;然后填写相应的IP地址与MAC地址,并保存。 配置的结果如下图所示: 您也可以批量的添加静态地址,如下图: 添加好保存以后显示: DHCP地址池 DHCP地址池显示路由器的DHCP服务当前状态。可以看到的信息有,已经分配的IP 地址、该IP所对应的MAC地址、获取该IP的计算机名称、IP地址租约到期时间。如下图 所示: 8 / 30 . . . . 端口管理 本界面提供的功能是调整路由器WAN口的工作模式,改变路由器网口与外网口的MAC地 址。 注意:如果您将本界面的配置参数做了修改以后需要重新启动路由器才生效。 接口模式:可以调整路由器WAN口的工作模式。提供四种工作模式供选择:10M全双工模式、 10M半双工模式、100M全双工模式、100M半双工模式。通常情况下网络接口之间自动协商 工作模式,用户不需要手动配置,保留"自动模式"即可。也可查看其中某一端口的数据统计: MAC克隆:可以修改LAN口和WAN口的MAC地址,留空表示使用系统 默认的MAC地址。某些网络服务商将提供给您的线路同某一个固定的 MAC地址绑定起来,在这种情况下,MAC地址克隆就非常有用。 5.4上网行为管理 上网行为管理应用示例 IP地址组 IP 地址组:用于将IP地址进行分组管理。这个IP组可以是网的IP 段,也可以是公网的 某些IP 段。设置好的IP组将与上网行为管理的各个子功能配合使用,可用于定义源IP或 者目的IP。 比如企业研发部的IP段:192.30,将研发部配置为一个IP组的方法是,点击"添加新规则"。 1、组名称:yanfabu 2、IP段:192.168.0.20-192.168.0.50,点击"添加"按钮。 3、描述:添加注释"研发部"。 4、点击"保存"后出现如下的界面。 9 / 30 . . . . 类似地,可以添加企业行政部、市场部,或者添加一组外网的不安全IP段 221.50.50.0-221.50.50.254。 网址分类管理 网址分类管理功能将大多数热门进行分类,用于对外网的访问进行管控,杜绝员工访问 与工作无关。比如:市场部同事由于业务需要,工作时间可以访问所有;但是在工作时间只 允许其他部门员工访问合作伙伴abc.,而不允许访问其他。配置如下: 1、将"启用网址分类管理功能"打勾。 2、在白中添加abc.。 3、将"休闲娱乐" "其他网址"的所有分类全部"阻断"。 4、点击"保存"按钮。 阻断:启用后,禁止用户访问"被阻断",并将网址自动跳转到指定页面。 记录:启用后,日志会记录某个IP什么时候访问过哪些。 警告:启用后,当用户访问"被警告"时,浏览器会显示警告信息。 在例外IP地址组,可以添加不受以上规则约束的IP地址组。如:市场部 此时,市场部同事可以访问所有的,而其他组的同事只能访问abc.。 域名安全 域名安全功能可以禁止网的计算机访问某些和不安全的IP地址组,并记录访问日志。 比如禁止网的除了市场部〔shichangbu的所有计算机访问目的IP是virus组〔和 bbs.,.mop.。配置方法如下: 1、将"启用域名安全功能"打勾。 2、将"shichangbu"添加到例外IP地址组。 3、将"virus"添加到过滤目的IP组。 4、将"启用DNS访问日志"打勾。 5、添加和mop.,每行填写一个网址。 6、点击"保存"按钮。 10 / 30 . . . . WEB安全 WEB安全可以实现禁止网用户在论坛发帖子、防止企业信息外泄;禁止用户下 载指定扩展名〔比如exe;torrent的文件、禁止用户访问URL包含指定关键字的等功 能。 比如禁止除了市场部〔shichangbu的所有计算机在论坛发帖、下载扩展文件名 为.exe、.torrent的文件、访问URL包含bbs、org的。配置方法如下: 1、将"启用WEB安全功能"打勾。 2、将"shichangbu"添加到例外IP地址组。 3、将"禁用WEB页面提交"打勾。 4、过滤文件扩展类型填写:torrent,exe。〔用英文的逗号分隔 5、过滤的URL关键字填写:bbs,org。〔用英文的逗号分隔 6、点击"保存"按钮。 电子公告 电子公告功能将按照管理员设置的公告周期定时向用户发送公告容,网用户可以通过浏览器 查看到公告容。 聊天软件过滤、P2P软件过滤和股票软件过滤采用深度协议分析技术,可以有效限制网计算 机使用MSN、飞信、skype、迅雷、电驴、BT、VAGAA、KUGOO、PPLIVE、PPSTREAM、股票行 情软件等应用程序。对于QQ的封锁,除了可以封锁QQ通过代理登陆外,还可以针对QQ封锁, 允许例外的QQ登陆。 注意:由于某些P2P软件或者聊天软件的版本不同或是有更新,可能应用软件过滤功能会对 该版本的软件失效,飞鱼星科技会不定期更新软件特征库,确保过滤功能对绝大多数的软件 版本有效。 1、聊天软件过滤 聊天软件过滤提供对QQ、MSN、飞信、SKYPE、阿里旺旺软件的过滤。比如禁止所有计算机 使用QQ、MSN、skype、飞信、阿里旺旺等聊天软件,并且只允许市场部登陆工作QQ12345678、 23456789,其余私人QQ不能登陆。配置方法很简单,首先启用"聊天软件过滤",然后对禁止使 用的聊天软件选择"开启",并保存即可。如下所示: 1、点击"例外的QQ号",添加新规则。 2、输入允许使用的QQ12345678和23456789,并添加注释。 3、点击"保存"按钮。 完成后界面如下图所示: 11 / 30 . . . . 2、股票软件过滤 提供了对股票行情软件大智慧、钱龙、同花顺、证券之星、指南针,以及运用了以上这 些软件特征代码的其他"衍生"行情软件,都具有过滤作用,杜绝了员工上班炒股的行为。 比如,禁止所有的电脑使用股票行情软件。即IP地址不设例外就行了。 3、P2P软件过滤 比如禁止网的所有用户组使用迅雷、电驴、BT、VAGAA、KUGOO、PPLIVE/PPSTREAM等P2P 软件。按照如下图所示配置即可: 游戏过滤 游戏过滤功能可以阻止网用户登录当前一些热门游戏。详细的游戏列表如下图所示: 防火墙设置 本界面提供了飞鱼星路由器置的高性能防火墙的配置。防火墙访问控制规则一旦设置后, 路由器将运用所配置的规则来匹配报文中的相关信息,决定允许或者拒绝报文通过。 比如禁止市场部〔shichangbu的计算机在每周二、周三的9:00-10:00禁止访问virus组的 所有服务。点击"添加新规则",在出现的界面中这样配置: 1、不使用:保持默认,不勾选。若勾选,则本条规则配置后不生效。 2、动作:禁止。 3、接口:LAN。 4、协议:ALL[ALL/1-65535] 5、目的端口围:当协议为ALL时,目的端口围默认为所有端口。 6、目的地址组:选择下拉菜单"virus" 7、源地址组:选择下拉菜单"shichangbu" 8、时间:9:00-10:00 9、工作日期:周二、周三 完成后点击"保存"即可。如下图所示: 注意:规则的匹配顺序是从上到下,一旦匹配了一条规则就会马上执行,下面的规则不再进行 匹配。因此一般将比较细化的规则放在上面,可以使用"上下移动"键来调整规则顺序。 防火墙的一键添加按钮可以很方便地实现一些网络访问控制功能。比如配置行政部的计算机 只能浏览网页和收发,禁止其他互联网应用,如下图所示: 12 / 30 . . . . 监控 当网计算机使用客户端〔如foxmail,通过POP3/SMTP 协议收发时,进行收发的可以被路由器 监控,并将容抄送到指定日志查看工具或指定的。该功能可分两种方式进行监控: 1、启用"日志监控服务",通过VE日志查看软件监控。 2、通过配置"Web监控服务"实现的监控。 方式一:启用"日志监控服务",通过VE日志查看软件监控。 1、通过此方式实现监控时,必须首先开启路由器的系统日志功能,然后运行日志服务器 软件,并在路由器上指定接收日志的服务器的IP地址。如图所示: 2、开启上网行为管理功能中的监控功能,如图所示: 3、此时在网一台PC上使用foxmail客户端,采用POP3/SMTP 协议收发时,在日志服务 器192.168.100.221上安装的日志查看工具中可以监控到网用户经过路由器接收和发送 的。 〔注意:若中携带有附件,该附件小于20Mbyte,也可以一并监控到。 方式二:通过配置"Web监控服务"实现的监控。取消方式一中的"启动监控服务",点击 展开"Web监控服务",并勾中"启用监控功能"如图所示: 比如监控除了市场部〔shichangbu的计算机收发情况,并将监控的容抄送到test163.。 路由器上使用test1163发送被监控,该的SMTP服务器为smtp.163.,该的用户名为test1, 密码为test1。注意,所配置的必须是一个已被申请,并可以正常使用的。 1、将"启用监控功能"打勾。 2、将"shichangbu"添加到例外地址组。 3、接收:被监控的将会发送到该,本例为test163. 4、SMTP服务器:发件的SMTP服务器地址,本例为smtp.163. 5、SMTP发件:发件的地址,本例为:test1163. 6、SMTP用户:发件的用户名,本例为:test1 7、SMTP用户密码:发件的密码,本例为:test1 完成后点击"保存"即可。如下图所示: 5.5网络安全 攻击防御 本界面提供全新网络自防御体系配置。飞鱼星网络自防御机制能够侦测及阻挡ARP欺 骗,源路由攻击,IP/端口扫描,DoS等网络攻击,可以有效防止多种病毒攻击。即使网存在恶 13 / 30 . . . . 意流量,飞鱼星独有的"网络自防御"技术可以杜绝整个网络的瘫痪,以保证其他主机浏览、聊 天、游戏等的正常应用,确保网络整体的正常运营。 ARP欺骗防御保护:网ARP欺骗保护功能,请使用默认配置。 广播风暴抑制:在一个布局不合理的局域网中或者局域网有某些病毒时,网会有很大比例的 广播包,大量广播包会导致网速度变慢,运行不稳定。此功能通过拦截网的大量广播包来保证 网的稳定运行。 网病毒防御:此功能可以阻断来自网中毒计算机对路由器的攻击。在一个比较复杂的网环境 中,使用飞鱼星路由器,可以在"系统信息"看到路由器一天拦截到几百万个数据包,网运行状 况稳定;在同样环境下,如果使用其他路由器,网几乎无法运行。 过滤未知协议:如果"启用",路由器可以阻止来自LAN口的特殊类型的乱包攻击。 Syn-flood攻击防御/ udp-flood攻击防御/ icmp-flood攻击防御:飞鱼星独有的防御来自 网的针对路由器的DoS攻击。后面的参数都是飞鱼星根据当前攻击类型的特点做的优化设计, 请保持默认配置。 响应外网ping请求:出于安全考虑,请保持默认"禁止"。选项如果启用,外网用户将可以ping 通路由器的WAN口地址,这样配置会增加风险。 远程诊断/升级:默认选择"启用"。这样,飞鱼星工程师可以通过外网 远程连接到路由器上,帮您进行网络故障诊断。 试试????? 阻断外网请求:默认选择"禁止"。如果启用,外网用户将不能访问网的虚拟服务器。 外部开放端口保护:保护网的虚拟服务器。使网虚拟服务器在受到来自外网的恶意攻击的情 况下,不至于瘫痪,确保网络整体的正常运营。 连接限制 通过网络连接数限制功能,可以设置网每台计算机能够使用的最接数,每台主机300条连接 数是一个标准值,其中UDP连接数建议限制为50条。 连接限制功能既可以统一对网的所有计算机进行最大NAT连接数限制,也可以单独限制 某些特殊功能计算机〔比如服务器的最接数,还可以启用高级连接数限制,保证某些游戏更加 快速地连接到服务器。该功能针对网络实际的应用情况,更加合理地分配连接数资源,有效的 保证网整体的可用性与可靠性。 比如配置网每台计算机的连接数为300条,并且启用高级连接数限制,网DMZ主机连接数 为2000条,UDP连接限制为300条;网段的几台web服务器的连接数为1000条,UDP连接限 制为50条。结果如下图所示: 14 / 30 . . . . IP/MAC绑定 本功能用于实现网计算机的IP地址与MAC地址之间的绑定。路由器的ARP映射表如 果被更改,整个网络将陷于瘫痪。使用飞鱼星集成的IP-MAC扫描工具,一键绑定网计算机的 IP和MAC,可以极大降低因ARP欺骗造成的"掉线"故障。 网络管理人员总是希望网络是秩序良好、运行稳定,但事实往往不尽人意:IP地址被 随意改动导致IP 地址冲突而使合法的主机不能上网;无法限制某些IP 地址的主机访问互 联网等,飞鱼星提供的地址绑定功能可以很好的解决这些问题。 地址绑定一旦配置完成后,指定的IP 地址就只能被指定的计算机使用,解决了局域网 中IP 地址被随意改动而导致的IP 地址冲突。另外也可以通过选中"禁止未绑定ARP信息的 主机通过"选项来禁止所有未被绑定的计算机出访互联网。 点击"动态列表""扫描MAC",可以扫描出网活动主机的IP/MAC地址,如下图所示: 该扫描列表中的主机可以被单台绑定或者全部绑定〔点击"绑定所有IP/MAC项"。 点击"批量绑定",在此手动添加网主机的IP/MAC项,IP和MAC之间用一个空格分开。点击" 保存"按钮,可以将绑定容添加到绑定列表。 点击"绑定列表",该列表显示目前已被绑定的网主机的IP/MAC信息。 可以通过点击"编辑"图标为每条IP/MAC添加注释容。 如果将"禁止未绑定IP/MAC的主机通过"打勾,则网未被路由器绑定IP/MAC的计算机不能通 过该路由器上网。 5.5.4 ARP信任机制 ARP信任设置的基本选项如下图: 启用ARP信任检测功能:启用ARP信任检测功能,路由器将自动对学习的ARP信息进行验证, 保证路由器学习到正确的ARP信息。 启用ARP超时机制:在启用ARP信任检测功能后,可以开启超时机制,使路由器定期对已经学 习到的ARP信息进行重新学习和验证,大大提高了路由器自动对IP/MAC表维护的正确性。 启用"ARP信任检测功能"后,可以在信任列表里查看当前已被路由器信任的IP/MAC信 息。"绑定所有IP/MAC项"可以将已信任的IP/MAC添加到绑定列表中,"删除所有IP/MAC项" 可以清空该列表容。 15 / 30 . . . . MAC地址过滤 本界面提供的MAC地址过滤功能可以禁止网计算机上网。有时候可能需要禁止网某些计 算机上网,只要找到该计算机的MAC地址,在MAC地址过滤里添加一条规则,便可以实现。 比如:想禁止MAC地址是00:01:02:03:04:05的计算机上网。首先,点击"添加新规则" 并填写计算机MAC地址,然后点击"保存"按钮,配置结果如下图所示: 5.6 QoS流量控制 QoS流量控制 本功能可对网每个IP或者网段进行带宽限制。它基于飞鱼星第三代智能流控技术,可以 有效地防止P2P应用过渡消耗带宽资源。独特的流控算法灵活分配剩余带宽,在"保障带宽" 的前提下充分利用带宽总资源,进退自如的"弹性流控"即使在高负荷的大型网络中,也能充 分体现其灵敏,高效,弹性的特点,且不影响路由器的整体性能。 在"功能配置"界面可以对流量控制的一些特性进行配置: 启用流量控制:流量控制功能总开关,启用该选项流量控制功能才会生效。 启用优先级流控:启用优先级流控之后可以在优先级流控规则中配置优先保障的重要应用, 从而保证单机在带宽达到限制峰值的情况下部分数据优先传输,以保障企业关键业务的正常 开展。 启用分接口的流控:启用分接口的流控可以对不同的WAN口线路设置不同的流控规则,使得 各线路在带宽不同的情况下更加合理的利用总带宽。 比如配置优先级流控,要求网所有计算机访问网页的数据优先传输,配置的方法如下图 所示: 不使用:本条规则配置后不生效,但规则并不被删除。 协议:可选项有TCP、UDP、TCP/UDP或者ALL。本例为TCP。 端口:目的端口围。本例为80端口。 地址:规则生效的IP地址围。本例为网所有主机。 描述:可以为本规则添加注释。 完成后,点击"保存",将出现如下所示的界面: 流量控制功能的典型应用 比如:网有253台计算机,IP地址围是-,申请的带宽是6M,控制网每台计算机的最大使 用带宽为上行50KB,下行50KB,当下行带宽有剩余时,可使用更多带宽,且规则生效时间为上 午9:00-下午18:00。 16 / 30 . . . . 点击"规则列表""添加新规则",在出现的界面中做如下的配置: 不使用:打勾表示不使用本条规则,规则并不被删除。 地址:需要做流量控制的计算机的IP地址。"类型"下拉菜单可以选择为一个网段或者一台 主机。 上行限制:设置流量控制的上行流量,默认单位为KB。 下行限制:设置流量控制的下行流量,默认单位为KB。 上行模式、下行模式:在地址类型为"网段"的情况下,可以设置本网段的计算机每一IP地址 使用设定的带宽或者本网段的计算机所有IP共享设定的带宽。 上行策略、下行策略:即是否选择"弹性流控"。 举个例子,网100台计算机,申请的带宽是10M,限制网所有计算机上下行流量均是80KB, 策略配置为"仅能使用设定的带宽",在只有5台计算机上网并且这5台计算机都在下载软件 的情况下,总带宽最多使用5×80KB=400KB。也就是说还有接近6M带宽没有被使用,白白"浪 费"了。如果策略配置为"当带宽有剩余时,可使用更多带宽",这5台计算机就会充分利用之 前"不属于"他们的6M带宽,于是获得更快的下载速度,当有其他计算机上网时,他们会将这 6M带宽"公平地"交出,每台计算机在保证总带宽没有被占满的情况下,可以使用多余带宽, 直到可使用带宽达到给它设定的最大值。 接口:是否需要配置分接口流控。如果选择任意,则为不分接口流控,此时使用非弹性流控, 则单机下载最大速度约等于所设定的值;如果选择WAN1,则为对WAN1进行流控,此时使用非 弹性流控,则单机使用WAN1带宽下载速度约等于所设定的值,但是单机下载总带宽可能会大 于所设定的值。 时间:本规则生效的时间段围。 描述:添加对于本条规则的注释。 点击"保存"按钮,出现如下的界面: 5.7 高级选项 端口映射 本界面提供端口映射的配置。端口映射又称虚拟服务器,当网使用私有地址时,比如,外 部网络无法直接访问网中的服务器。通过在路由器上做端口映射,配置网服务器的IP与端口 以后,外部网络便可以访问网服务器,从而使用网提供的服务。 比如:网有100台计算机,已经配置好一台FTP服务器,它的IP地址是,如果想让外网用 户也可以访问此服务器,可以这样操作: 点击"添加新规则",做如下的配置: 17 / 30 . . . . 不使用:打勾表示不使用本条规则,规则并不被删除。 外部端口:指定一个对外开放的端口,映射到部服务器开放的端口上,外部端口可以指定为一 个连续的端口围,但是需与部开放端口相对应。如果不指定,则外部端口与部端口相同。填写 围1-65535。 部IP:网的服务器的IP地址。 部端口:网服务器提供的服务所使用的端口。部端口可以指定为一个连续的端口围,但是需 与外部开放端口相对应。请参考"常见的端口和服务对照表"。 协议:服务器提供的服务所使用的协议,如不清楚是哪种协议,可以选择"TCP/UDP"。请参考" 常见的端口和服务对照表"。 映射线路:如果是双WAN接入,在这里选择外网用户通过哪条线路进来访问网的服务器,系统 默认选择"WAN1/WAN2"。若外网用户从WAN1访问,就用WAN1口的IP地址,否则,用WAN2口的 IP地址。 注释:可以在这里简单备注一下本条规则。 点击"保存"按钮,出现如下的界面: 网络服务 使用协议 端口 ftp 文件传输 TCP 21 Ssh 安全远程管理 TCP 22 telnet 远程登录 TCP 23 Smtp 简单传输 TCP 25 Time 时间同步 TCP 37 DNS 域名解析 UDP 53 网页浏览 TCP 80 POP3 邮局协议3 TCP 110 Snmp 简单网络管理协议 UDP 161 CS server CS网络游戏 TCP 27015 常见的端口和服务对照表 静态路由 静态路由就是静态的路由表信息。在某些网络环境下,需要修改静态路由表,指定静态路 由信息来实现正常通信。 18 / 30 . . . . 比如:指定网的主机访问这个网络的资源从WAN1出去,WAN1的网关地址是,可以按此操 作: 点击添加新规则,做如下的配置: 不使用:打勾表示不使用本条规则,规则并不被删除。 目标网络地址:输入目标网络的网络地址。 掩码:目标网络地址的子网掩码,可以根据实际情况选择。 网关:输入与目标网络匹配的数据交付的网关地址,在本例是WAN1口的网关。 接口:指定数据交付的接口,在本例是WAN1口。 描述:可以在这里简单备注一下本条规则。 点击"保存"按钮,出现如下的界面: 静态路由的批量添加功能可以快速地一次性添加多条静态路由规则。使用批量添加时请 注意书写格式,例如233.233.233.0 233.233.234.255 WAN1 每个条目之间用一个空格隔开, 尤其注意IP地址一定要填写正确,否则错误的静态路由规则会导致您的网络不流畅,甚至无 法使用。 点击"保存"按钮以后,所添加的静态路由信息会自动加载到规则列表中。 源地址路由 源地址路由就是指定具体的主机从具体的WAN口访问外网。此功能可以根据实际情况灵活调 度多WAN的使用,实现负载均衡。 比如:指定网IP地址为-这个段的主机访问外网从WAN2出去。可以按此操作: 点击"添加新规则",做如下的配置: 不使用:打勾表示不使用本条规则,规则并不被删除。 源地址:指定网的一个地址段,或者一个IP地址。 接口:选择该地址〔段访问外网从哪个接口出去。 描述:可以在这里简单备注一下本条规则。 点击"保存"按钮,出现如下的界面: 应用调度 应用调度用来配置具体的应用程序访问外网时通过哪个WAN口出去。此功能可以根据 实际情况灵活调度多WAN的使用,实现负载均衡。 比如:指定网的所有用户浏览网页的流量从WAN2口出去,假设网的所有计算机的IP地 址围是从到。 19 / 30 . . . . 详细的配置方法是:首先在功能配置页面,启用"应用调度"功能,并点击"保存"按钮。然 后点击添加规则,做如下的配置: 不使用:打勾表示不使用本条规则,规则并不被删除。 协议:应用程序所使用的协议,请根据实际情况选择。可以是TCP、UDP或者二者兼有,这种 情况下需要指定端口的围;也可以是具体的应用协议,比如HTTP、POP3,这种情况下不需要 指定端口的围。 端口:当协议选择TCP、UDP或者TCP/UDP的情况下,指定端口的围。 地址:填写网的一个地址〔段。 接口:指定通过哪个接口出访。 描述:可以在这里备注一下本规则。 点击"保存"按钮,出现如下的界面: 地址转换 随着Internet网络爆炸性的膨胀,IP地址短缺及路由规模越来越大已成为一个相当严 重的问题。为了解决这个日益严重的问题,出现了多种方案。目前在应用中最有效的解决方 案为网络地址转换 一个组织网络部可以自定义其IP地址〔不需要经过申请,即私有的IP地址,如,在本组 织部,各计算机之间通过私有IP地址进行通讯。而当组织部的计算机要与外部Internet网 络进行通讯时,具有NAT功能的设备负责将私有的IP地址转换为公网IP地址〔即申请的合 法IP地址进行通信。简单地说,NAT就是通过将私有IP地址转换为公网IP地址。 本界面的地址转换功能提供多对一转换和一对一转换两种模式。 1.NAT外出规则 比如:网有主网段,有一个扩展网段〔已经在网设置网扩展IP里配置。外网单WAN 接入,WAN口光纤有2个IP地址,和,WAN1口已经配置了一个IP地址,默认情况下主网段和扩 展网段的计算机NAT以后都用出访;但是,如果想让扩展网段的计算机NAT以后用IP地址出 访,可以按此操作: 点击添加新规则,做如下的配置: 不使用:打勾表示不使用本条规则,规则并不被删除。 源地址:网扩展地址已经在网设置里面配置,所以不需要将"设为网扩展地址"打勾。IP地址 和掩码请填写需要NAT转换的计算机的网段和掩码,本例是。 目标地址:需要访问的目的地址。"类型"可以选择"任意"或者"子网"。如果选择"任意",表 示源地址出访到任意目标地址的数据包都需要用转换地址做NAT出访。如果选择"子网",则 20 / 30 . . . . 表示源地址出访到指定目标地址段的数据包才用转换地址做NAT出访。通常情况下这里保持 默认配置。 转换接口:如果选择"不指定接口",则必须填写转换地址,该地址是ISP提供的合法IP地址; 如果指定相应的WAN口,则转换地址自动为当前WAN口IP〔仅用于WAN口是PPPoE情况。本 例选择"不指定接口"。 转换地址:NAT以后,源地址使用填写的转换地址访问外网。这里可以填写一个地址或一个 地址段,设置地址段时,最大长度为16个地址。 注释:可以在这里简单备注一下本条规则。 点击"保存"按钮,出现如下的界面: 2.NAT一对一 本路由器通过NAT一对一的方式支持DMZ功能。这个功能可以使网某台特定计算机向互联网 完全开放,支持更多的网络应用。本路由器支持DMZ主机的数量只取决于您所拥有的合法IP 地址的数量,如果一台PC设置成DMZ主机后,就完全暴露在公网上,这时候这台PC失去了NAT 防火墙的保护,所以请谨慎使用。 比如:网有网段,外网单WAN接入,WAN口光纤有2个IP地址,和,WAN1口已经配置了一 个IP地址,将网计算机192.168.0.4 作NAT一对一转换,外部地址选择,可以按此操作: 将标签切换到"NAT一对一",点击添加新规则,做如下的配置: 不使用:打勾表示不使用本条规则,规则并不被删除。 部地址:填写主机的部IP地址。 外部地址:填写一个外网IP地址用来作一对一的映射。请注意:填写的外网地址必须是网 络服务商已经提供的合法的静态地址,否则NAT一对一功能无法实现。 转换接口:规则作用于哪个WAN口。 规则描述:可以在这里简单备注一下本条规则。 点击"保存"按钮,出现如下的界面: 域名转发 本界面提供域名服务功能,路由器直接向网的计算机转发其域名缓存列表中的域名地 址。域名转发工作的前提是"启用DNS缓存转发"功能。通过域名转发规则,可以将指定的域 名同指定的IP地址绑定起来,在网中生效,这个设置同外部网络的DNS解析没有关系。 比如:网有台WEB服务器,IP地址为,设定域名为myweb. 。设置 网所有的计算机的DNS值和网网关相同。然后点击添加新规则,做如 下的配置: 21 / 30 . . . . 名称:填写部主机的名称。 域名:指定部主机的域名,注意:这个域名仅在局域网网生效,并且需要开启DNS缓存转发功 能。 IP地址:填写部主机的IP地址。 描述:可以在这里简单备注一下本条规则。 点击"保存"按钮,出现如下的界面: 重启路由器使域名转发功能生效后,您就可以在网计算机的浏览器上输入来访问网的 WEB服务器了。 动态域名 Internet上的域名解析一般是静态的,即一个域名所对应的IP地址是静态的,长期不变 的。动态域名的功能,就是实现固定域名到动态IP地址之间的解析。因为ADSL PPPoE用户 上网的时候分配到的IP地址都是动态的〔每次重新拨号所获取的IP地址不同,用传统的静 态域名解析方法,ADSL用户想把自己上网的计算机做成一个有固定域名的,是不可能的。而 有了动态域名,这个美梦就可以成真。用户可以申请一个域名,利用动态域名解析服务,把域 名与自己上网的计算机联系在一起,这样就可以很方便地搭建自己的。 飞鱼星路由器对于每个WAN口都提供动态DNS配置,其配置方法完全相同。动态域名客 户端支持多种服务类型,可以参看"服务类型"中的列表数据。动态域名服务目前很多机构都 有提供,某些还是免费的。 比如在.上申请了一个动态域名g,用户名xxxx,密码1234。具体的配置方法为: 点击"编辑"按钮添加一条规则,按照如下图所示的格式填写: WAN1:启用动态DNS客户端后,本条规则才生效。 服务类型:选择提供动态域名服务的服务商类型,在本例是 主机名称:申请的主机名称。 时限:某些服务商可能要求填写,本例中的服务商无时限要求。 用户名:申请动态域名时使用的用户名称。 口令:申请动态域名时使用的口令。 点击"保存"按钮,出现如下的界面: 端口镜像 端口镜像就是通过配置交换端口来把经过一个或多个端口的数据同步复制到某一个端 口来实现对网络的监听。 22 / 30 . . . . 目前我国的文化部和公安部要求网络服务场所等安装监控软件,他们通过该软件采集相 关数据,分析用户使用网络的情况。飞鱼星提供的端口镜像功能可以与监控软件完美结合, 在降低网络服务场所业主投资成本的情况下满足文化部和公安部的需求。其配置方法十分简 单。 比如安装监控软件的计算机接到路由器的LAN2口,路由器LAN1口与LAN3口接主交换机, 需要实现LAN2口监听网数据,具体的配置方法如下图所示: 启用:打勾表示启用该功能。 选择监听端口:安装监控软件的计算机所使用的端口,本例是LAN2。 选择被监听端口:主交换机所使用的端口,本例是LAN1、LAN3。 VLAN设置 试试???? VLAN〔Virtual Local Area Network,即虚拟局域网。VLAN是一种将局域网从逻辑上划 分〔注意,不是从物理上划分成一个个网段〔或者说是更小的局域网LAN。这样划分主要有 以下3个好处: 1、端口的分隔。即便在同一个交换机上,处于不同VLAN的端口也是不能通信的。这样一个 物理的交换机可以当作多个逻辑的交换机使用。 2、网络的安全。不同VLAN不能直接通信,保护重要资料的安全。 3、灵活的管理。更改用户所属的网络不必换端口和连线,只更改软件配置就可以了。 飞鱼星VE系列上网行为管理路由器提供基于端口的VLAN,比如设置LAN1口,LAN2 口,LAN3口分别归属于不同的VLAN,这时候,接到三个LAN口下面的计算机互相不可以通信。 具体的配置方法如下图所示: UPnP设置 UPnP〔Universal Plug and Play,通用即插即用,是一组协议的统称,不能简单理解 为UPnP="自动端口映射"。在BitComet下载中,UPnP包含了2层意思: 1、对于一台网电脑,BitComet的UPnP功能可以使网关或路由器的NAT模块做自动 端口映射,将BitComet监听的端口从网关或路由器映射到网电脑上。 2、网关或路由器的网络防火墙模块开始对Internet上其他电脑开放这个端口。 通过使用UPnP,BitComet等P2P软件可以获得更快的下载速度。 UPnP的配置方法如下,点击"UPnP"设置,将"使用UPnP"打勾,并保存。 点击"允许IP列表",并"添加新规则",在这里设置使用UPnP的计算机IP地址围。例如设置 围的计算机使用UPnP功能,配置的结果如下所示: 23 / 30 . . . . 点击"UPnP"使用信息,可以查看当前的UPnP服务状态: 5.8虚拟专网 VPN〔Virtual Private Network,即虚拟专用网络。它是通过一个公用网络〔通常是因 特网在两个局域网或者工作站之间建立一个临时的、安全的连接,是一条穿过混乱的公用网 络的安全、稳定的隧道。通常,VPN是对企业部网的扩展,通过它可以帮助远程用户、公司分 支机构、商业伙伴及供应商同公司的部网建立可信的安全连接,并保证数据的安全传输。 有两种方法建立VPN连接,第一种是从计算机到VPN路由器,第二种是从VPN路由器到 VPN路由器。 飞鱼星路由器均支持这两种方法建立VPN连接。 5.8.1 PPTP 客户端 PPTP客户端支持从VPN路由器客户端连接到VPN路由器服务端。比如:企业分支机构A 与企业总部之间需要实现简单安全的信息互访,可以在分支机构路由器中使用PPTP客户端 完成上述操作。具体配置方法如下: 启用PPTP客户端:打勾表示启用PPTP客户端功能。 PPTP服务器地址:需要拨入的PPTP服务端地址。 用户名:使用的PPTP用户名,由服务端分配。 密码:用户名所对应的密码,由服务端分配。 是否启用加密:根据服务端配置选择是否启用加密,保证服务器和客户端配置相同才可以正 常通信。 PPTP网段:通过PPTP隧道访问的网段,一般配置为PPTP服务端网地址段。 PPTP掩码:PPTP服务端网地址段掩码。 做好上述配置之后,还需要在服务端配置"PPTP用户管理",客户端网主机才可以通过 PPTP隧道来访问服务端网主机,从而实现网互访。 5.8.2 PPTP 服务端 如果PPTP客户端要拨入服务端网,则必须配置PPTP服务端。比如:企业员工出差在外, 需要每天晚上将出差报告发送到主管的企业部,同时收取企业部里面的,这时候就需要用到 PPTP VPN,出差员工通过VPN拨号进入企业网来完成上述操作。具体的配置方法如下图所示: 启用PPTP服务:打勾表示启用PPTP VPN服务端。 24 / 30 . . . . 最大PPTP连接数:服务端最多支持同时拨入的PPTP客户端数量。系统允许64个不同用户 同时拨入。 PPTP服务端地址:服务端LAN口的IP地址。 PPTP客户端地址围:客户通过VPN拨进来以后,服务端给它随机分配的网IP地址围。此地 址段设置应当与服务端网地址在同一网段并且不要与网产生地址冲突。 启用128-bit数据加密:支持128-bit数据加密功能,此配置必须服务端同客户端保持一致 才能正常通信。打勾表示两端的通信会以128-bit密钥加密的方式进行。 拨入列表:您将在这里看到哪些用户拨入了VPN,以及分配到的IP地址和他的拨入地址。 5.8.3 PPTP用户 以上配置完成后,还需要在服务端新建PPTP用户。方法是点击"PPTP 用户",点击添加 用户。比如,用户名为user1,密码1234,如图所示: 点击"保存"按钮,出现如下的界面: 这时候,出差员工通过在自己的电脑上启动VPN客户端程序,使用PPTP服务端当前WAN 口IP和相应的用户名、密码配置客户端,就可以通过拨入公司网。 若企业分支机构A需要通过VPN拨入公司总部局域网,实现分支机构A的所有计算机可 以访问公司总部网资源。可以通过如下的配置实现,在服务端配置用户名user2,密码1234, 勾选"用户所在客户端为一个网络",客户端网段与掩码分别填写分支机构A的网网段和掩 码。如下图所示: IPSec VPN IPSec协议是网络层协议,是为保障IP通信安全而提供的一系列协议族。IPSec针对数 据在通过公共网络时的数据完整性、安全性和合法性等问题设计了一整套隧道、加密和认证 方案。IPSec能为IPv4网络提供能共同使用的、高品质的、基于加密的安全机制。提供包 括存取控制、无连接数据的完整性、数据源认证、防止重发攻击、基于加密的数据性和受限 数据流的性服务。 IPSec VPN的配置方法如下: 启用IPsec VPN ,并保存。 点击"IPSec VPN隧道列表",并添加新规则。 名称:IPSec 隧道名,请用英文字母开头。 主动连接:若在两个路由器之间建立IPSec VPN隧道,只需在其中一个启用主动连接即 可。 25 / 30 . . . . 本地隧道接口:选择使用哪个WAN口进行IPSec VPN连接。 本地网络/掩码:与该路由器的网网段/掩码一致。 远程隧道地址:对端WAN口的当前IP地址,可以填写域名。 远程网络/掩码:与对端路由器的网网段/掩码一致。 IKE验证模式:默认为IKE-PSK,两端的验证模式必须相同。 PSK密钥:密钥由数字和英文字母组成,两端的PSK密钥必须相同。 保存后如下图所示: 在两端都配置完毕并保存后,IPSec VPN会自动拨号。可以查看"隧道状态",下图为IPSec VPN拨号成功后的状态: L2TP IPSec 飞鱼星路由器支持L2TP IPSec VPN,这种方式的VPN与PPTP VPN相比,安全性更高。具体配 置方法与拨号方法如下所示: 启用该功能,设置PSK密钥为123456,客户端地址段为192.,与路由器的LAN口在同一个网 段。 添加用户名test,密码test。 保存用户名和密码。 在PC机上的配置方法如下,注意"网络"标签下的"VPN的类型"必须选择为"L2TP IPSec VPN"。 "安全"标签下的IPSec设置,密钥设置为123456,与路由器上的设置保持一致。 "常规"标签下的目的地址设置为路由器的WAN1口IP地址。 填写用户名和密码,开始拨号。 拨号成功后,路由器上的拨入列表状态如下图所示: 5.9系统工具 管理选项 本界面提供修改路由器的WEB管理密码和WEB管理端口功能。 修改路由器WEB管理密码界面如下图所示: 点击"保存"后,所做的修改立即生效。 WEB管理选项提供WEB管理端口的修改,WEB管理IP的添加等功能。 26 / 30 . . . . 管理地址:需要增加对路由器WEB界面访问的安全性时可以使用此配置。如果设置了管理地 址,则除管理地址以外的其他地址不能访问路由器的WEB界面,如果此地址留空则所有地址 主机都可以访问路由器的WEB界面。 WEB管理端口:修改路由器的WEB管理端口〔在路由器重新启动后生效。系统默认使用80 端口,如果要修改WEB管理端口,请注意不要用系统中已经使用的标准端口,比如53等,建议 使用8000-60000之间的端口号。更改WEB管理端口后请牢记端口号。 允许外部使用WEB管理:如果希望外网可以通过WEB管理路由器,将"是否允许外部主机使用 WEB管理"打勾,保存即可。请注意:开放路由器的外网WEB管理存在一定风险,请谨慎使用。 系统默认不允许对外部主机开放WEB管理功能。 登陆保留时间:若设置时间为5分钟,使用admin打开路由器的WEB界面,5分钟不做任何操 作,则再次访问路由器WEB时,系统要求重新认证。 系统诊断 启用诊断模式会关闭路由器所有的上网行为管理,防火墙规则和防御模块,通常用于调试设 备才启用系统诊断。默认情况下该开关保持禁止状态。 用户管理 本界面提供的功能是添加user组,以便对路由器的访问权限实行分级管理。路由器将 管理用户划分为admin组与user组。admin组对路由器的配置有修改的权限,user组只能查 看路由器在运行过程中的重要参数,不能修改路由器的配置。这样大大提高了管理的安全性, 减少了由于配置不当而引起的网络故障。 配置方法是,首先点击添加新规则,添加用户名,密码等;然后点击"保存"按钮,如下图 所示,添加了一个用户名为user1的用户。通过使用user1用户与相应的密码登陆路由器的 WEB管理界面,就可以查看路由器在运行过程中的一些参数。 策略升级 本界面提供的功能是升级路由器的策略库,如策略路由引擎库、聊天软件特征库、P2P软件 特征库、网址分类信息库等,确保路由器对于聊天软件,P2P软件的较新版本达到最佳封锁效 果。建议配置为自动更新,并设置自动更新时间。 比如设置自动更新时间为每月的1号上午10时,可以做如下图所示的配置: 27 / 30 . . . . 固件升级 本界面提供路由器的固件升级功能。路由器需要相应的软件才能提供各种丰富的功能。 在厂家发布路由器的升级固件后,会提供一个固件升级包。通常情况下,新的固件升级包都可 以得到更多的功能和更好的性能。在厂家的官方下载得到最新的固件升级包后,就可以使用" 固件升级"功能给路由器升级固件。升级成功并自动重启后,就可以看到"当前固件版本"已经 发生了变化。界面如下图所示: 当前固件版本:显示路由器的当前固件版本号。 升级文件:点击"浏览"按钮,指定路由器固件升级包在本地电脑中的位置。确定后,点击"开 始升级"按钮。在升级的过程中系统有提示,大概2分钟完成升级,升级成功后路由器会自动 重启。 注意事项: 1.固件升级之前请确认固件升级包与设备之间是否匹配,不同型号的设备使用不同的固 件升级包。 2.升级过程请不要断开电源,否则升级无法完成。 3.升级之前请重新启动路由器,启动正常后,断开外网连线。网仅连接一台PC机,使用 IE正常打开路由器WEB升级界面,选择正确的升级包操作。 备份恢复配置 本界面提供的功能是将路由器的所有配置保存为文件,如果因为操作不当导致配置出现 错误时,可以使用原先保存的配置文件恢复配置。界面如下图所示: 保存配置:点击"保存配置"按钮,将路由器的所有配置保存为文件。 恢复配置:点击"浏览"按钮,指定原先保存的配置文件在本地电脑中的位置,确定后,点击" 恢复配置"按钮开始恢复配置,恢复成功后路由器自动重启。 恢复出厂配置 本界面提供将路由器的所有配置清空,恢复到出厂配置的功能。它的效果和按一下路由 器前面板上的"RST"键〔复位按钮相同。界面如下图所示: 提示:路由器恢复出厂配置后,所有的配置都将被清空。可以通过来重新配置路由器, 登录用户名和密码都是admin 28 / 30 . . . . 重新启动 本界面提供的功能是从软件上重启路由器,它的效果和使用路由器后面板的电源开关相 同。通过的WEB管理界面重启路由器在某些时侯可能非常方便,比如路由器放置在一个无法 触及到的地方时。路由器的重启过程大概需要40秒。界面如下图所示: 附录A 路由器选配电缆说明 1,以太网接口电缆 路由器的以太网接口电缆为8 芯非屏蔽双绞线,1、2 脚为发送端,3、6 脚为接收端;和计 算机网卡的10BASE-T 接口相同,可以与HUB 直接相连。 RJ-45 管脚号 信号 信号描述 1 TxData+ 发送数据 2 TxData- 发送数据 3 RxData+ 接收数据 4 --- 接头 5 --- 接头 6 RxData- 接收数据 7 --- 网络测试 8 --- 网络测试 附录B WindowsXP环境下的TCP/IP配置 本章介绍如何为您的个人计算机配置TCP/IP协议。首先请您确认在计算机中已经正确 安装了网卡。以下步骤将指导您正确设置计算机与路由器连接时的TCP/IP配置。 1、依次点击:开始控制面板网络连接。 2、双击"网络连接",选中"本地连接"击右键选择"属性"。 3、双击Internet协议〔TCP/IP。 4、现在,您有两种设置方法: 第一种,手工设置IP地址 1 选中"使用下面的IP地址",在IP地址栏中填写IP地址:,子网掩码:,缺省网关:〔因 为路由器的默认IP地址为。 29 / 30 . . . . 2 选中"使用下面的DNS服务器地址",在DNS设置栏中,首选DNS服务器填写ISP为您提供 的DNS服务器地址,备用DNS服务器填写路由器的默认IP地址。 3 单击"确定"即可。配置结果如下图所示: 第二种,通过DHCP服务器设置IP地址 1选中"自动获得IP地址"; 2选中"自动获得DNS服务器地址", 3单击"确定"即可。配置结果如下图所示: 30 / 30
发布评论