2023年12月24日发(作者:)
高速宽带路由器
TL-R4148
用户手册
1910040194
Rev: 4.1.0
声明
Copyright © 2011 深圳市普联技术有限公司
版权所有,保留所有权利
未经深圳市普联技术有限公司明确书面许可,任何单位或个人不得擅自仿制、复制、誊抄或转译本书部分或全部内容。不得以任何形式或任何方式(电子、机械、影印、录制或其他可能的方式)进行商品传播或用于任何商业、赢利目的。
为深圳市普联技术有限公司注册商标。本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
本手册所提到的产品规格和资讯仅供参考,如有内容更新,恕不另行通知。除非有特殊约定,本手册仅作为使用指导,本手册中的所有陈述、信息等均不构成任何形式的担保。
目录
物品清单......................................................................................................................................... 1
第1章 用户手册简介 ................................................................................................................... 2
1.1
1.2
约定 ............................................................................................................................... 2
用户手册概述 ................................................................................................................. 2
第2章 产品概述........................................................................................................................... 3
2.1
2.2
产品简介 ........................................................................................................................ 3
主要特性 ........................................................................................................................ 3
第3章 硬件安装........................................................................................................................... 4
3.1 面板布置 ........................................................................................................................ 4
3.1.1
3.1.2
3.2
3.3
3.4
前面板................................................................................................................ 4
后面板................................................................................................................ 5
系统需求 ........................................................................................................................ 5
安装环境 ........................................................................................................................ 5
硬件安装步骤 ................................................................................................................. 5
第4章 快速安装指南 ................................................................................................................... 7
4.1
4.2
建立正确的网络设置 ...................................................................................................... 7
快速安装指南 ................................................................................................................. 8
第5章 配置指南......................................................................................................................... 11
5.1
5.2
5.3
5.4
启动和登录................................................................................................................... 11
运行状态 ...................................................................................................................... 12
设置向导 ...................................................................................................................... 12
网络参数 ...................................................................................................................... 13
5.4.1
5.4.2
5.4.3
5.4.4
5.5
LAN口设置 ....................................................................................................... 13
WAN口设置 ...................................................................................................... 13
MAC地址克隆 .................................................................................................. 17
WAN端口参数 .................................................................................................. 18
DHCP服务器................................................................................................................ 19
5.5.1 DHCP服务 ....................................................................................................... 19
5.5.2
5.5.3
5.6
客户端列表 ....................................................................................................... 20
静态地址分配 ................................................................................................... 21
转发规则 ...................................................................................................................... 22
5.6.1
5.6.2
5.6.3
5.6.4
5.6.5
虚拟服务器 ....................................................................................................... 22
特殊应用程序 ................................................................................................... 24
DMZ主机 .......................................................................................................... 25
UPnP设置 ........................................................................................................ 26
ALG服务 .......................................................................................................... 27
5.7 安全设置 ...................................................................................................................... 27
5.7.1
5.7.2
5.7.3
5.7.4
5.7.5
防火墙设置 ....................................................................................................... 28
IP地址过滤 ....................................................................................................... 28
域名过滤 .......................................................................................................... 30
MAC地址过滤 .................................................................................................. 31
攻击防护 .......................................................................................................... 33
5.8 路由功能 ...................................................................................................................... 36
5.8.1 静态路由表 ....................................................................................................... 37
5.9 连接数限制................................................................................................................... 37
5.9.1
5.9.2
连接数设置 ....................................................................................................... 38
连接数列表 ....................................................................................................... 38
5.10 应用限制 ...................................................................................................................... 39
5.10.1
5.10.2
5.10.3
5.10.4
策略管理 .......................................................................................................... 39
用户管理 .......................................................................................................... 41
用户组管理 ....................................................................................................... 42
时间表管理 ....................................................................................................... 43
5.11 QoS ............................................................................................................................. 47
5.11.1
5.11.2
QoS设置 .......................................................................................................... 47
QoS规则 .......................................................................................................... 47
5.12 IP与MAC绑定 .............................................................................................................. 49
5.12.1
5.12.2
5.12.3
静态ARP绑定设置............................................................................................ 49
IP与MAC扫描 .................................................................................................. 52
ARP映射表 ...................................................................................................... 52
5.13 花生壳DDNS ................................................................................................................ 53
5.14 交换机功能................................................................................................................... 54
5.14.1 端口统计 .......................................................................................................... 54
5.14.2
5.14.3
5.14.4
5.14.5
5.14.6
端口监控 .......................................................................................................... 56
端口流量限制 ................................................................................................... 56
端口参数 .......................................................................................................... 57
端口状态 .......................................................................................................... 58
Port VLAN ........................................................................................................ 58
5.15 系统工具 ...................................................................................................................... 59
5.15.1
5.15.2
5.15.3
5.15.4
5.15.5
5.15.6
5.15.7
5.15.8
5.15.9
时间设置 .......................................................................................................... 59
诊断工具 .......................................................................................................... 60
软件升级 .......................................................................................................... 61
恢复出厂设置 ................................................................................................... 61
备份和载入配置 ............................................................................................... 62
重启路由器 ....................................................................................................... 64
修改登录口令 ................................................................................................... 64
系统日志 .......................................................................................................... 65
Syslog设置 ....................................................................................................... 65
5.15.10 远端WEB管理 .................................................................................................. 65
5.15.11 流量统计 .......................................................................................................... 66
5.15.12 IP地址转换表 ................................................................................................... 67
5.15.13 NAT源端口设置................................................................................................ 68
5.15.14 证书设置 .......................................................................................................... 68
附录A FAQ ................................................................................................................................. 69
附录B TCP/IP的详细设置........................................................................................................... 71
附录C 技术参数表格................................................................................................................... 72
物品清单
请小心打开包装盒,里面应有以下配件:
¾
¾
¾
¾
¾
¾
¾
一台路由器
一根串口线
一根电源线
一本安装手册
一张保修卡
一张光盘
两个用来固定在机架上的L型支架及其它配件
ᓖፀǖ
如果发现有配件短缺或损坏的情况,请及时和当地经销商联系。
1
TL-R4148Ⴅࡒവᎅઓ၄ݿ
第1章
1.1
用户手册简介
在准备安装使用本产品之前,请先仔细阅读本手册,以全面利用本产品的所有功能。
约定
本手册中所提到的路由器,如无特别说明,系指TL-R4148路由器,下面简称为TL-R4148。
本手册采用的图片中都配有相关参数,实际产品的配置界面并没有提供,请根据实际需要设置这些参数。
本手册中网络拓扑图中所采用的产品图片制作为组网时的参考,与产品实物可能有所差别,请以产品实物图为准。
用户在本用户手册中将会看到几种特殊的图形符号(图标),指出标识中的内容很重要,需要引起关注,本用户手册中使用的图标说明如下:
ᓖፀǖ
该图标表示这部分内容很重要,提醒您对设备的某些功能设置引起注意,如果设置错误可能导致数据丢失,设备损坏等不良后果。
该图标为提醒您某些问题出现的可能原因。
该图标举例说明本设备,具体功能设置的步骤。
ᄋာǖ
ಿǖ
1.2
用户手册概述
第1章:用户手册简介。
第2章:产品概述。简述路由器的功能及主要特性。
第3章:硬件安装。帮助进行路由器的硬件安装。
第4章:快速安装指南。帮助配置路由器的基本网络参数。
第5章:配置指南。帮助配置路由器的高级特性。
附录A:FAQ。
附录B:TCP/IP的详细设置。
附录C:技术参数表格。2
2ᐺ ޘອগၤ
第2章 产品概述
2.1
产品简介
TL-R4148是TP-LINK公司开发的高速宽带路由器产品,采用网络专用处理器,具备强劲的数据转发能力,同时支持应用限制、URL过滤、IP带宽控制、连接数限制、IP/MAC绑定、Dos攻击防护等丰富的功能特性,并采用全中文Web管理方式,特别适合部署在中小型企业/网吧/出租屋/酒店/社区等网络环境中,组建高效、安全且易管理的网络。
2.2
主要特性
• 支持TCP/IP,DHCP,ICMP,NAT,PPPoE,SNTP,HTTP,DNS等协议
•
提供1个WAN口和4个LAN口,所有端口均支持10/100Mbps自适应和端口自动翻转(Auto
MDI/MDIX)
• 支持针对QQ、MSN、迅雷、炒股软件、游戏等常见上网行为的一键管控
• 支持基于IP或基于端口的QoS设置,可限制单机带宽
• 内置简单管理交换机,支持端口带宽控制和端口镜像等功能
• 支持VPN Pass-through、UPnP和DDNS
• 支持UPnP和DDNS
• 支持虚拟服务器、特殊应用程序、DMZ主机和静态路由等功能
• 支持连接数设置,可限制单机连接数
• 内建防火墙,支持IP地址过滤、域名过滤、MAC地址过滤
• 提供攻击防护,可对网络攻击和病毒攻击进行防范
• 支持IP与MAC地址绑定,有效防范ARP攻击
• 支持MAC地址修改和克隆
• 提供系统日志功能,支持外挂Syslog服务器记录信息
• 支持Web和远程管理,全中文配置界面,支持在线升级
• 支持配置文件备份与载入
• 内置电源,1U钢壳,可装19英寸标准机架,工业级设计
3
TL-R4148Ⴅࡒവᎅઓ၄ݿ
第3章 硬件安装
3.1
3.1.1
面板布置
前面板
图 3.1 前面板示意图
指示灯:
指示灯
PWR
描述
电源指示灯 常亮表示系统正在运行
闪烁表示系统正常
SYS
系统指示灯
常亮或不亮表示系统不正常
常亮表示相应端口已正常连接
Link/Act
状态指示灯
闪烁表示相应端口正在进行数据传输
常亮表示相应端口位于100M工作模式
100M
速度指示灯
不亮表示相应端口位于10M工作模式或未接入设备
¾ WAN
¾
局域网端口
¾
Reset
1个广域网端口(RJ45)。连接xDSL/Cable Modem或以太网。
4个10/100Mbps自适应RJ45接口,计算机和集线器/交换机通过这个端口连入局域网。
复位按钮,可以将设备恢复为出厂设置。复位方式:通电状态下长按Reset键,待系统指示灯闪烁5次后松开Reset键,路由器将自动恢复出厂设置并重启。恢复出厂设置后,默认管理地址为192.168.1.1,默认用户名和密码均为admin。
功能
ᓖፀǖ
在路由器未完全启动前,不能关闭电源,否则,配置有可能没有恢复到出厂默认值。
4
3ᐺ ፮ୈڔᓤ
3.1.2 后面板
图 3.4 后面板示意图
¾ 电源插孔 这个插孔用于插接电源。电源规格为:100-240V~ 50/60Hz 0.3A。如果使用不匹配的电源,可能会导致路由器损坏。
位于电源接口左侧,请使用导线接地,以防雷击。详细防雷措施请参见《防雷安装手册》。
¾ 防雷接地柱
3.2
系统需求
• 宽带Internet服务(接入方式为xDSL/Cable Modem或以太网)
• 具有以太网RJ45连接器的调制解调器(直接接入以太网时不需要此物件)
• 每台PC的以太网连接(网卡和网线)
• TCP/IP网络软件(Windows 95/98/ME/NT/2000/XP自带)
• Internet Explorer 5.0 或更高版本
3.3
安装环境
安装环境要求:
1. 将路由器水平放置。
2. 尽量将路由器放置在远离发热器件处。
3. 不要将路由器置于太脏或潮湿的地方。
4. 电源插座请安装在设备附近便于触及的位置,以方便操作。
路由器推荐使用环境:
• 温度:0 ºC~40 ºC
• 湿度:5%~90%RH,无凝结
3.4
硬件安装步骤
在安装路由器前,请确认是否能通过宽带服务访问网络。如果无法访问,请先和网络服务商(ISP)联系解决问题。成功访问网络后,请遵循以下步骤安装路由器。安装时拔除电源插头,保持双手干燥。
5
TL-R4148Ⴅࡒവᎅઓ၄ݿ
1) 建立局域网连接
用一根网线连接路由器的LAN口和局域网中的集线器或交换机,如下图所示。也可以用一根网线将路由器与计算机网卡直接相连。
2) 建立广域网连接
用网线将路由器WAN口与Internet相连,如下图所示。
图 3.7 建立局域网和广域网连接
ᓖፀǖ
以上网络拓扑图为您进行网络设置的参照用例,您可以根据实际情况,实际需求配置适合您的网络构架。
3) 连接电源
将电源连接好,路由器将自行启动。
6
4ᐺ!Ⴅڔᓤᒎฉ
第4章 快速安装指南
如果对路由器进行基本配置,请阅读本章内容;如果进行高级配置,请继续阅读第5章内容。
4.1
建立正确的网络设置
路由器默认IP地址是192.168.1.1,默认子网掩码是255.255.255.0。这些值可以根据实际需要而改变,但本用户手册上将按默认值说明。
首先请将计算机接到路由器的局域网端口,接下来可以使用两种方法为计算机设置IP地址。
方法一:手动设置IP地址。
设置计算机的TCP/IP协议。如果已经正确设置完成,请跳过第一步。
设置计算机的IP地址为(xxx范围是2至254),子网掩码为255.255.255.0,默认网关为192.168.1.1。
方法二:利用路由器内置DHCP服务器自动设置IP地址。
设置计算机的TCP/IP协议为“自动获取IP地址”。
在设置好TCP/IP协议后,使用Ping命令检查计算机和路由器之间是否连通。下面的例子为一个在Windows XP环境中,执行Ping命令,操作步骤如下:
首先请点击桌面的“开始”菜单,再选择“运行”选项,并在随后出现的运行输入框内输入cmd命令,然后回车或点击“确认”键即可进入下图所示界面。
最后在该界面中输入命令Ping 192.168.1.1,其结果显示如下。
如果屏幕显示为:
那么计算机已与路由器成功建立连接。如果屏幕显示为:
7
TL-R4148Ⴅࡒവᎅઓ၄ݿ
这说明设备还未安装好,请按照下列顺序检查:
1)
硬件连接是否正确?
ᄋာǖ
路由器面板上对应局域网端口的Link/Act指示灯和您计算机上的网卡灯必须亮。
2)
您的计算机的TCP/IP设置是否正确?
ᄋာǖ
如果路由器的IP地址为192.168.1.1, 那么您的计算机IP地址必须为(xxx范围是2~254)。
4.2
快速安装指南
本产品提供基于浏览器(Internet Explorer或Netscape Communicator)的配置界面,这种配置方案适宜于任何MS Windows,Macintosh或UNIX平台。
激活浏览器,取消“使用代理服务器”选项或者将路由器的IP地址添加到“代理服务器设置”中的“例外”栏中(在IE中选择“工具-Internet选项-连接-局域网设置”,就可以找到这些设置)。接着在浏览器的地址栏里输入路由器的IP地址,例如192.168.1.1。
连接建立后将会看到下图所示登录界面。输入用户名和密码(用户名和密码的出厂设置均为“admin”),然后单击确定按钮。
成功登录后会弹出一个设置向导的画面(如果没有自动弹出,可以单击管理员模式画面左边“设置向导”菜单将它激活)。
8
4ᐺ!Ⴅڔᓤᒎฉ
单击“下一步”,进入上网方式选择画面。
以上画面显示了最常用的三种上网方式,可以根据自身情况进行选择,然后单击“下一步”填写上网所需的基本网络参数。
1) 如果上网方式为PPPoE,即ADSL虚拟拨号方式,则需要填写以下内容:
¾ 上网帐号
¾ 上网口令
填入ISP指定的ADSL上网帐号,不清楚可以向ISP询问。
填入ISP指定的ADSL上网口令,不清楚可以向ISP询问。
2) 如果上网方式为动态IP,即可以自动从网络服务商获取IP地址,则不需要填写任何内容即可直接上网。
3) 如果上网方式为静态IP,即拥有网络服务商提供的固定IP地址,则需要填写以下内容:
9
TL-R4148Ⴅࡒവᎅઓ၄ݿ
¾ IP地址 本路由器对广域网的IP地址,即ISP提供的IP地址,不清楚可以向ISP询问。
本路由器对广域网的子网掩码,即ISP提供的子网掩码,一般为255.255.255.0。
填入ISP提供的网关,不清楚可以向ISP询问。
填入ISP提供的DNS服务器地址,不清楚可以向ISP询问。
可选项,如果ISP提供了两个DNS服务器地址,则可以把另一个DNS服务器地址的IP地址填于此处。
¾ 子网掩码
¾ 网关
¾ DNS服务器
¾ 备用DNS服务器
在填写完上网所需的基本网络参数之后,会出现设置向导完成界面。
10
5ᐺ!ᒙᒎฉ
第5章 配置指南
5.1
启动和登录
在启动和登录成功以后,浏览器会显示管理员模式下的路由器配置页面。
在左侧菜单栏中,共有“运行状态”、“设置向导”、“网络参数”、“DHCP服务器”、“转发规则”、“安全设置”、“路由功能”、“连接数限制”、“应用限制”、“QoS”、“IP与MAC绑定”、“花生壳DDNS”、“交换机功能”和“系统工具”十四个菜单。单击某个菜单项,即可进行相应的功能设置。
在使用过程中,如果对本产品的功能有任何疑问,只需单击该页面的“帮助”按钮,即可获得详细的联机帮助。
下面将详细讲解各个菜单的功能。
11
TL-R4148Ⴅࡒവᎅઓ၄ݿ
5.2
运行状态
本页显示路由器的工作状态。
¾ ۈ۾ቧᇦ
¾ LANాᓨზ
¾ WANాᓨზ
此处显示当前的软、硬件版本。
此处显示当前LAN口的MAC地址、IP地址和子网掩码。
此处显示当前WAN口的MAC地址、IP地址、子网掩码、网关和DNS服务器。同时IP地址右侧将显示用户上网方式(PPPoE/动态IP/静态IP)。如果用户的上网方式为PPPoE(ADSL拨号上网)的话,当用户已经连接上Internet时,此处将会显示用户的上网时间和“断线”按钮,单击此按钮可以进行即时的断线操作,当用户未连接Internet时,此处将会显示“连接”按钮,单击此按钮可以进行即时的连接操作。
¾ WANాഗᄻଐ
此处显示当前WAN口接收和发送的数据流量信息。
5.3
设置向导
请参考第4章的快速安装指南。
12
5ᐺ!ᒙᒎฉ
5.4
网络参数
在“网络参数”菜单下面,共有“LAN口设置”、“WAN口设置”、“MAC地址克隆”、和“WAN端口参数”四个子项。单击其中某个子项,即可进行相应的功能设置,下面将详细讲解各子项的功能。
5.4.1 LAN口设置
选择网络参数下的LAN口设置项,将进入LAN口的设置界面,如下图示。请按照下面各子项说明设置该LAN口的参数。
¾ MACᒍ
¾ IPᒍ
设置路由器对局域网的MAC地址。
请输入本路由器对局域网的IP地址。该IP地址出厂默认值为192.168.1.1,请根据实际需要设置该值。
本路由器对局域网的子网掩码,可以在下拉列表中选择B类(255.255.0.0)或者C类(255.255.255.0)地址的子网掩码,还可以选择其他掩码选项,在随后出现的方框中输入所需子网掩码。一般情况下选择255.255.255.0即可。
¾ ᔇᆀዚ൩
ᓖፀǖ
如果您改变了此处LAN口的IP地址,则您必须用新的IP地址才能登录路由器管理界面,并且局域网中所有计算机的默认网关也必须设置为该IP地址,这样才能正常上网。
局域网中所有计算机的子网掩码必须与此处子网掩码相同。
5.4.2 WAN口设置
选择网络参数下的WAN口设置项,将进入WAN口的设置界面(默认为动态IP设置界面),如下图示。首先请选择WAN口的连接类型,即上网方式。本路由器默认上网方式为“动态IP”。
13
TL-R4148Ⴅࡒവᎅઓ၄ݿ
5.4.2.1 动态IP
如果选择的WAN口连接类型是“动态IP”,即可以从网络服务商(ISP)自动获取IP地址,其设置界面如下图示。请按照下面各子项说明,设置相应的参数。
¾ WAN口连接类型 上图中选择的是“动态IP”上网方式。本路由器支持三种常用的上网方式:动态IP、静态IP、PPPoE方式,请根据实际情况选择。
显示从ISP的DHCP服务器动态得到的IP地址,它是路由器对广域网的地址。
显示从ISP的DHCP服务器动态得到的子网掩码。
显示从ISP的DHCP服务器动态得到的网关。
请输入需要限制的数据包的最大长度(MTU),可以输入的范围是576~1500,默认值为1500。若非必要,请不要修改该默认值。
选择该复选框,可以手动设置自己想要的DNS服务器地址。
显示从ISP的DHCP服务器动态得到的DNS服务器地址,也可以在此处手动设置想要的DNS服务器地址。
显示从ISP的DHCP服务器动态得到的备用DNS服务器地址,也可以在此手动设置想要的备用DNS服务器地址,可以不选。
如果的ISP服务器支持以单播方式获取IP地址,请选择该复选框,将以单播的方式从ISP获取IP地址。
¾ IP地址
¾ 子网掩码
¾ 网关
¾ 数据包MTU
¾ 手动设置DNS服务器
¾ DNS服务器
¾ 备用DNS服务器
¾ 单播方式获取IP
ᓖፀǖ
单播方式获取IP是指主机以点对点的单播包向指定的DHCP服务器请求分配IP地址。大多数网络服务商的DHCP服务器支持广播的请求方式,只有少数是支持单播的请求方式。如果您在网络连接正常的情况下无法获取IP地址,可以选择单播的方式(一般情况下不要选择此项)。
¾ 按钮功能 包括“更新”和“释放”按钮。
14
5ᐺ!ᒙᒎฉ
¾ 更新 单击此按钮,可以从ISP的DHCP服务器更新WAN口的IP地址、子网掩码、网关、DNS服务器等设置。
单击此按钮,本路由器将发送DHCP释放操作到ISP的DHCP服务器,释放IP设置。
¾ 释放
设置完上面的参数后,点击保存按钮,设置的参数将生效。
5.4.2.2 静态IP
如果选择的WAN口连接类型是“静态IP”,即拥有网络服务商(ISP)提供的固定IP地址,其设置界面如下图示。请按照下面各子项说明设置相应的参数。
¾ IP地址 请输入ISP提供的固定IP地址,它是路由器对广域网的IP地址,不清楚可以向ISP询问。
请输入ISP提供的子网掩码,它是路由器对广域网的子网掩码,一般为255.255.255.0。
请输入ISP提供的网关,不清楚可以向ISP询问。
请输入需要限制的数据包的最大长度(MTU),可以输入的范围是576~1500,默认值为1500。若非必要,请不要修改该默认值。
请输入ISP提供的一个DNS服务器地址,不清楚可以向ISP询问,也可以不填。
请输入ISP提供的另一个DNS服务器地址,也可以不填。
¾ 子网掩码
¾ 网关
¾ 数据包MTU
¾ DNS服务器
¾ 备用DNS服务器
5.4.2.3 PPPoE
如果选择的WAN口连接类型是“PPPoE”,即可以从网络服务商(ISP)自动获取IP地址时,其设置界面如下图示。请按照下面各子项说明设置相应的参数。
15
TL-R4148Ⴅࡒവᎅઓ၄ݿ
¾ 上网帐号
¾ 上网口令
¾ 按需连接
请输入ISP指定的ADSL上网帐号,不清楚可以向ISP询问。
请输入ISP指定的ADSL上网口令,不清楚可以向ISP询问。
选中该复选框,则表示将采用按需连接模式,即当有局域网的网络访问请求时,系统将自动连接网络。
若选择上面的按需连接模式,则还需在此输入自动断线等待时间(T)。如果T不等于0,则在检测到连续T分钟内,若没有网络访问流量系统则会自动断开网络连接,节省上网资源。若T等于0,则表示系统不会自动断线。
选中该复选框,则表示将采用自动连接模式,即在开机后系统会自动进行连接操作。在使用过程中,如果由于外部原因,网络被断开,则系统会每隔一段时间(30秒)尝试进行连接,直到连接成功为止。
选中该复选框,则表示将采用定时连接模式,即系统在“连接时段”指定的起始时间进行连接操作,在指定的终止时间自动进行断线操作。
若选择上面的定时连接,则还需在此设置连接时段,即定时连接的起始和终止时间。
选中该复选框,则表示将采用手动连接模式,即在需要连接网络时,自己手动进行ADSL拨号连接。与此同时,还需在此输入自动断线等待时间(T)。具体设置同上面所述。
包括“连接”和“断线”两个按钮。
单击此按钮,进行即时的连接操作。
单击此按钮,进行即时的断开操作。
¾ 自动断线等待时间
¾ 自动连接
¾ 定时连接
¾ 连接时段
¾ 手动连接
¾ 按钮功能
¾ 连接
¾ 断线
16
5ᐺ!ᒙᒎฉ
ᓖፀǖ
只有当您在“系统工具”的“时间设置”项,设置了当前时间后,“定时连接”功能才能生效。
您可以根据需要选择上面4种连接方式中的任意一种,设置完后可以点击保存按钮,使设置生效。
您还可以根据实际需要,进入到“高级设置”界面对相关设置项进行设置、调整。其设置界面如下图示,您可以按照下面各子项说明设置相应的参数。
¾ 数据包MTU 请输入需要限制的数据包的最大长度(MTU),默认值为1492。若非必要,请不要修改该默认值。
Service Name,若不是ISP特别要求,请不要填写。
AC Name,如果不是ISP特别要求,请不要填写。
选中复选框,可以设置ISP提供的指定IP地址。
¾ 服务名
¾ 服务器名
¾ 使用ISP指定的IP地址
¾ ISP指定的IP地址¾ 在线检测时间间隔
请输入ISP提供的指定IP地址。
请根据需要填写所需的在线检测时间间隔。路由器将根据该时间间隔发送检测信号,以检测服务器是否在线。若该值为0,则表示不发送检测信号。如果在系统日志中经常发现有“接收PADT,服务端请求断开本次连接”这样的日志信息时,请将该值设为0。
请输入ISP提供的一个DNS服务器地址,不清楚可以向ISP询问,也可以不填。
请输入ISP提供的另一个DNS服务器地址,也可以不填。
¾ DNS服务器
¾ 备用DNS服务器
5.4.3 MAC地址克隆
选择网络参数下的MAC地址克隆项,将进入下面的设置界面,如下图示。请按照下面各子项说明正确使用该功能。
17
TL-R4148Ⴅࡒവᎅઓ၄ݿ
¾ MAC地址 显示当前路由器对广域网的MAC地址,此值一般不用更改。但某些
ISP可能要求对MAC地址进行绑定,此时ISP会提供一个有效的MAC地址给用户,只要根据它所提供的值,输入到“MAC地址”栏,然后单击“保存”,即可根据ISP的要求更改本路由器对广域网的MAC地址。若要恢复本路由器对广域网的出厂默认MAC地址,则可以单击此按钮来恢复。
显示当前正在进行管理操作的计算机的MAC地址。
¾ 恢复出厂MAC
¾ 当前管理PC的
MAC地址
¾ 克隆 单击此按钮,即可把当前管理PC的MAC地址克隆到WAN口。
ᓖፀǖ
只有局域网中的计算机能使用“克隆MAC地址”功能。
5.4.4 WAN端口参数
选择网络参数下的WAN端口参数,将进入下面的设置界面。该页面提供端口状态、端口流量控制、端口速率等设置。请按照下面各子项说明正确设置这些参数。
¾ 端口状态表
¾ 端口状态
¾ 流量控制
该项用来设置并显示WAN端口的状态信息。
请根据需要设置WAN口的状态,启用或禁用。
请根据需要启用或禁用流控模式。启用表示对该端口的数据流量进行控制,反之则不加控制。
请根据需要选择协商模式:自协商、10M半双工、10M全双工、100M半双工或100M全双工模式。
¾ 协商模式
18
5ᐺ!ᒙᒎฉ
¾ 协商状态表
¾ 端口状态
¾ 连接速率
¾ 双工模式
¾ 流量控制
¾ 端口限制信息表
¾ 入口限制模式
该项用来显示端口的协商状态信息。
显示端口连接状态,即是否已经连接上。
显示端口连接采用的速率。
显示端口通信采用的双工模式,全双工或半双工。
显示端口是否启用了流量控制。
该项用来设置并显示端口的各种限制信息。
该项用来选择对进入该WAN口的数据包采用的限制类型:所有帧、广播和多播、广播或不限制。
该项用来限制进入该WAN口的数据包速率,其中可选项有128Kbps、256Kbps、512Kbps、1Mbps、2 Mbps、4 Mbps、8Mbps。
选中该复选框表示启用出口限制,即对该WAN口转发的数据包进行限制,不选中该复选框则表示不启用出口限制。
该项用来限制从该WAN口转发的数据包速率,其中可选项有128Kbps、256Kbps、512Kbps、1Mbps、2Mbps、4Mbps、8Mbps。
¾ 入口限制速率
¾ 出口限制
¾ 出口限制速率
5.5
DHCP服务器
DHCP服务器主要用来自动配置和管理网络内部主机的TCP/IP参数。在“DHCP服务器”菜单下面,有“DHCP服务”、“客户端列表”和“静态地址分配”三个子项。单击某个子项,即可进行相应的功能设置,下面将详细讲解各子项的功能。
5.5.1 DHCP服务
选择DHCP服务器下的DHCP服务,将进入下面的设置界面。使用本路由器的DHCP服务器功能可以让DHCP服务器自动配置局域网中各计算机的TCP/IP协议。请按照下面各子项说明正确设置这些参数。
19
TL-R4148Ⴅࡒവᎅઓ၄ݿ
¾ DHCP服务器
¾ 地址池开始地址
¾ 地址池结束地址
¾ 地址租期
¾ 网关
¾ 缺省域名
¾ 主DNS服务器
若想使用DHCP的自动配置TCP/IP参数功能,请选择启用。
请输入DHCP服务器自动分配IP地址的起始地址。
请输入DHCP服务器自动分配IP地址的结束地址。
请输入所分配IP地址的有效使用时间,超时将重新分配。
请输入路由器LAN口的IP地址,本路由器缺省是192.168.1.1。
请输入本地网域名,也可以不填。
请输入ISP提供的DNS服务器地址,不清楚可以向ISP询问,也可以不填。
如果ISP提供了两个DNS服务器地址,则请输入另一个DNS服务器的IP地址,也可以不填。
¾ 备用DNS服务器
ᓖፀǖ
为了使用本路由器的DHCP服务器功能,局域网中计算机的TCP/IP协议必须设置为“自动获得IP地址”。
5.5.2 客户端列表
选择DHCP服务器下的客户端列表,将进入下面界面。该客户端列表罗列了所有通过DHCP获得IP的主机信息,具体如下图示:
¾ 客户端名
¾ MAC地址
¾ IP地址
显示分配到IP地址的客户端的计算机名。
显示分配到IP地址的客户端的计算机的MAC地址。
显示DHCP服务器分配给客户端的计算机的IP地址。
20
5ᐺ!ᒙᒎฉ
¾ 有效时间 显示主机通过DHCP获得IP地址后,该IP地址剩余的有效时间。客户端软件会在租期到期前自动续约。
5.5.3 静态地址分配
选择DHCP服务器下的静态地址分配,将进入下面的设置界面。为了方便对局域网中计算机的IP地址进行控制,本路由器内置了静态地址分配功能。它可以为指定MAC地址的计算机预留静态IP地址。之后,若此计算机请求DHCP服务器分配IP地址时,DHCP服务器将自动给它分配此预留的IP地址。具体设置见下图示:
¾ MAC地址
¾ IP地址
¾ 状态
¾ 配置
¾ 添加新条目
¾ 使所有条目生效
¾ 使所有条目失效
¾ 删除所有条目
显示预留了IP地址的计算机的MAC地址。
显示预留的IP地址
显示该条目是否生效。
显示对该条目进行的超级链接——编辑或删除。
单击该按钮,可以增加新的静态地址条目,详见后面所述。
单击该按钮,可以使所有静态条目生效。
单击该按钮,可以使所有静态条目失效。
单击该按钮,可以删除当前列表中的所有启用或未启用的静态条目。
ᓖፀǖ
此功能需要在重启路由器后才能生效。
5.5.3.1 添加或编辑静态地址
点击上图所示界面中的添加新条目或条目右侧的编辑按钮,将进入下面的设置界面。该页用来设置静态地址条目。
¾ MAC地址 请输入预留了IP地址的计算机的MAC地址。
21
TL-R4148Ⴅࡒവᎅઓ၄ݿ
¾ IP地址
¾ 状态
请输入要预留的IP地址。
请选择该条目是否生效。
设置完以上三项后,点击保存按钮,该设置将会在静态地址条目表中显示。
5.6
转发规则
在“转发规则”菜单下面,有“虚拟服务器”、“特殊应用程序”、“DMZ主机”、“UPnP设置”和“ALG服务”五个子项。单击某个子项,即可进行相应的功能设置,下面将详细讲解各子项的功能。
5.6.1 虚拟服务器
选择转发规则下的虚拟服务器,将进入下面的设置界面。本路由器自身集成了防火墙功能,在路由器默认设置下,广域网中的计算机不能通过本路由器访问局域网中的某些服务器。但是,为了让路由器既保护局域网内部不被侵袭,又方便广域网中合法的用户访问,路由器提供了虚拟服务器功能。虚拟服务器可以定义一个服务端口,外网所有对此端口的服务请求都将被重新定位给路由器指定的局域网中的服务器(通过IP地址指定),这样外网的用户便能成功访问局域网中的服务器,而不影响局域网内部的网络安全。具体设置界面如下图示。
¾ 服务端口 显示WAN端服务端口,即路由器提供给广域网的服务端口,外网对该端口的访问都将重定位到局域网中指定的服务器。
显示局域网中指定为服务器的计算机的IP地址。外网对该局域网的访问都将重定位到该指定的计算机。
显示数据包的协议类型。
显示条目的状态。只有生效时,该条目的设置才起作用。
显示对该条目操作的超级链接——编辑或删除。
点击该按钮,可以添加新的虚拟服务器条目。
点击该按钮,可以使所有虚拟服务器条目生效。
¾ IP地址
¾ 协议
¾ 状态
¾ 配置
¾ 添加新条目
¾ 使所有条目生效
22
5ᐺ!ᒙᒎฉ
¾ 使所有条目失效
¾ 删除所有条目
点击该按钮,可以使所有虚拟服务器条目失效。
点击该按钮,可以删除所有已设的虚拟服务器条目。
5.6.1.1 添加或编辑虚拟服务器
点击上图所示界面中的添加新条目或条目右侧的编辑按钮,将进入下面的设置界面。下面以添加新的虚拟服务器条目为例。
¾ 服务端口号 请输入单个端口值或端口段。端口段输入格式为“开始端口-结束端口”,中间用“-”隔开。如上界面所示。
请在该项选择服务端口号。在“常用服务端口”中,列出了常用协议的端口,可以直接从其中选择一个,系统会直接将选中的端口填入服务端口号中。对于常用服务端口中没有列出的端口,也可以在服务端口号处手动输入。
¾ 常用服务端口号
设置完成后,请点击保存按钮,然后在局域网服务器上进行相应的设置,这样,广域网中的计算机便可以成功访问局域网中的服务器了。
ಿǖ
如果您的FTP服务器(端口号为21)IP地址为192.168.1.2,Web服务器(端口号为80)地址为
192.168.1.3,POP3服务器(端口号为110)IP地址为192.168.1.6,这时您需要指定如下的虚拟服务器映射表:
23
TL-R4148Ⴅࡒവᎅઓ၄ݿ
ᓖፀǖ
如果设置了服务端口为80的虚拟服务器,则需要将“系统工具”菜单中的“远端WEB管理”项的WEB管理端口设置为80以外的值,如8080。否则会发生冲突,从而导致虚拟服务器设置无效。
5.6.2 特殊应用程序
选择转发规则下的特殊应用程序,将进入下面的设置界面。某些程序需要多条连接,如Internet网络游戏、视频会议、网络电话等。由于防火墙的存在,这些程序无法在简单的NAT路由器下工作。然而,特殊应用程序使得某些这样的应用程序能够在NAT路由器下工作。当一个应用程序给触发端口上发起连接时,对应开放端口中的所有端口就会打开,以备后续连接。
¾ 触发端口 显示应用程序首先发起连接的端口,即触发端口。
ᓖፀǖ
触发端口是为应用程序申请建立连接时,路由器指定的用于触发应用程序的端口。只有给该端口发起连接时,对应开放端口中的所有端口才可以开放,并为应用程序提供服务,否则开放端口中的所有端口是不会开放的。
¾ 触发协议
¾ 开放端口
显示触发端口上使用的协议,选项有ALL、UDP和TCP。
显示该特殊应用程序条目采用的开放端口。
ᓖፀǖ
开放端口是为应用程序提供服务的多个端口。当给触发端口上发起连接后,开放端口打开,之后应用程序便可以给这些开放端口上发起后续的连接。
¾ 开放协议
¾ 状态
¾ 配置
¾ 添加新条目
¾ 使所有条目生效
显示开放端口采用的协议,选项有ALL、UDP和TCP。
显示该条目状态,只有状态为生效时,本条目所设的规则才能生效。
显示对该条目的超级链接——编辑或删除。
点击该按钮,可以在列表中添加新的条目,详见下面章节所述。
点击该按钮,可以将该列表中的所有条目的状态设为“生效”。
24
5ᐺ!ᒙᒎฉ
¾ 使所有条目失效
¾ 删除所有条目
点击该按钮,可以将该列表中的所有条目的状态设为“失效”。
点击该按钮,可以删除当前已设的所有条目。
5.6.2.1 添加或编辑特殊应用程序
点击上图所示界面中的添加新条目或条目右侧的编辑按钮,将进入下面的设置界面。
¾ 触发端口
¾ 开放端口
请输入应用程序首先发起连接的端口触发号,如上图示。
请输入为应用程序提供服务的开发端口号,如上图示。可以输入一个或者多个端口或端口段,端口段输入格式为“开始端口-结束端口”,中间用“-”隔开,不同的端口段用“,”隔开。
请在该项选择应用程序。在“常用应用程序”中,列出了常用的应用程序,可以直接在其中选中一个,系统会直接将选中的应用程序的触发端口和开发端口号自动填入到对应项中。对于“常用应用程序”中没有列出的端口,也可以在触发端口和开放端口处手动输入。
¾ 常用应用程序
5.6.3 DMZ主机
选择转发规则下的DMZ主机,将进入下面的设置界面。在某些特殊情况下,我们需要让局域网中的一台计算机完全暴露给广域网,以实现双向通信,此时可以把该计算机设置为DMZ主机。设置界面如下。
、
¾ DMZ主机IP地址
请输入局域网中指定为DMZ主机的IP地址。
25
TL-R4148Ⴅࡒവᎅઓ၄ݿ
ಿǖ
DMZ主机设置步骤如下:
首先在DMZ主机IP地址栏内输入欲设为DMZ主机的局域网计算机的IP地址,然后选中“启用”,最后单击“保存”按钮,即可完成DMZ主机的设置。
ᓖፀǖ
设置DMZ主机之后,与该IP相关的防火墙设置将不起作用。
5.6.4 UPnP设置
选择转发规则下的UPnP设置,将进入下面的设置界面。依靠UPnP(Universal Plug and Play)协议,局域网中的主机可以请求路由器进行特定的端口转换,使得外部主机能够在需要时访问内部主机上的资源,例如,Windows XP和Windows ME系统上安装的MSN Messenger,在使用音频和视频通话时就可以利用UPnP协议,这样原本受限于NAT的功能便可以恢复正常使用。
¾ 应用描述
¾ 外部端口
¾ 协议类型
¾ 内部端口
¾ IP地址
¾ 状态
显示应用程序通过UPnP向路由器请求端口转换时的描述。
显示端口转换时采用的路由器端口号。
表明是对TCP还是UDP进行端口转换。
显示需要进行端口转换的主机端口号。
显示需要进行端口转换的主机IP地址。
显示条目状态。“Enabled”表示应用程序请求并启用了端口转换;"Disabled"表示应用程序请求了端口转换,但并没有启用。
ಿǖ
使用UPnP的方法如下:
如果您的电脑开启了防火墙功能,请您在Windows 防火墙界面的例外项中,选则启用UPnP框架程序。具体操作方法步骤为:开始→控制面板→安全中心→ Windows 防火墙→例外→选中UPnP框架。若例外项中没有UPnP项,则点击添加程序,再选中UPnP功能即可。
1.
2.
在路由器UPnP界面中点击“启用UPnP”按钮开启UPnP功能。
当MSN Messenger等程序在运行中使用本功能时,按“刷新”按钮可以看到端口转换信息。端口转换信息由应用程序发出请求时提供。
26
5ᐺ!ᒙᒎฉ
ᓖፀǖ
• 不使用时请单击“关闭UPnP”按钮,关闭UPnP功能。
• 因为现阶段版本的UPnP协议的安全性还未得到充分保证,所以在不需要时请关闭UPnP功能。
• 只有支持UPnP协议的应用程序才能使用本功能,MSN Messenger还需要操作系统的支持(如Windows XP/ME)。
5.6.5 ALG服务
选择转发规则下的ALG服务,将进入下面的设置界面。ALG(Application Layer Gateway,应用层网关)。为了保证一些应用程序的正常使用,请开启ALG服务。
¾ FTP ALG
选择启用或禁用FTP ALG服务,默认为启用,如无特殊需求请保持默认配置不变。
选择启用或禁用H.323 ALG服务,默认为启用,如无特殊需求请保持默认配置不变。H.323多媒体协议多用于视频会议、IP电话等场合。
选择启用或禁用PPTP ALG服务,默认为启用,如无特殊需求请保持默认配置不变。
选择启用或禁用IPsec ALG服务,默认为启用,如无特殊需求请保持默认配置不变。
¾ H.323 ALG
¾ PPTP ALG
¾ IPsec ALG
5.7
安全设置
在“安全设置”菜单下面,共有“防火墙设置”、“IP地址过滤”、“域名过滤”、“MAC地址过滤”和“攻击防护”五个子项。单击某个子项,即可进行相应的功能设置,下面将详细讲解各子项的功能。
27
TL-R4148Ⴅࡒവᎅઓ၄ݿ
5.7.1 防火墙设置
选择安全设置下的防火墙设置,将进入下面的设置界面。本节介绍防火墙的各个过滤功能的开启与关闭设置。只有防火墙的总开关是开启的时候,后续的“IP地址过滤”、“域名过滤”、“MAC地址过滤”才能够生效,反之,则失效。
¾ 开启防火墙 请选择是否开启防火墙功能。这是防火墙的总开关,当该开关关闭时,“IP地址过滤”、“域名过滤”、“MAC地址过滤”功能将全部失效。
请选择是否开启防火墙的IP地址过滤功能,只有选择该项时,IP地址过滤设置才能生效。
请选择是否开启防火墙的域名过滤功能,只有选择该项时,域名过滤设置才能生效。
请选择是否开启防火墙的MAC地址过滤功能,只有选择该项时,MAC地址过滤设置才能生效。
请选择是否开启防火墙的攻击防护功能。
¾ 开启IP地址过滤
¾ 开启域名过滤
¾ 开启MAC地址过滤
¾ 开启攻击防护
5.7.2 IP地址过滤
选择安全设置下的IP地址过滤,将进入下面的设置界面。本页显示已设的IP地址过滤列表。可以利用按钮—“添加新条目”来增加新的过滤规则;或者通过“编辑”、“删除”链接来修改或删除旧的过滤规则;甚至可以通过按钮—“移动”来调整各条过滤规则的顺序,以达到不同的过滤优先级。
28
5ᐺ!ᒙᒎฉ
¾ 生效时间 显示规则生效的起始时间和终止时间。格式为hhmm,例如0803,表示8时3分。
显示局域网中被控制的计算机的IP地址,为空表示对局域网中所有计算机进行控制。这里可以是一个IP地址段,例如192.168.1.100-192.168.1.200。
显示局域网中被控制的计算机的服务端口,为空表示对该计算机所有服务端口进行控制。这也可以是一个端口段,例如1024-8080。
显示广域网中被控制的网站的IP地址,为空表示对整个广域网进行控制。这也可以是一个IP地址段,例如222.88.88.20-222.88.88.222。
显示广域网中被控制的网站的服务端口,为空表示对该网站的所有服务端口进行控制。这也可以是一个端口段,例如:10-110。
显示被控制的数据包所使用的协议。
显示符合本条目设置规则的数据包是否可以通过路由器。
显示本条目状态,即是否使本条过滤规则生效。
显示对该条目操作的超级链接——编辑或删除。
点击该按钮,可以在过滤列表中添加新的过滤条目。详见后面所述。点击该按钮,可以设置表中所有过滤条目的状态为“生效”。
点击该按钮,可以设置表中所有过滤条目的状态为“失效”。
点击该按钮,可以删除当前表中已设的所有过滤条目。
通过条目序号,可以将某条记录移动到另一个位置,以达到不同的过滤优先级。
¾ 局域网IP地址
¾ (局域网)端口
¾ 广域网IP地址
¾ (广域网)端口
¾ 协议
¾ 通过
¾ 状态
¾ 配置
¾ 添加新条目
¾ 使所有条目生效
¾ 使所有条目失效
¾ 删除所有条目
¾ 移动
5.7.2.1 添加或编辑IP地址过滤规则
点击上图所示界面中的添加新条目或条目右侧的编辑按钮,将进入下面的设置界面。界面中的各参数说明,请见上面IP地址过滤条目表所述。
29
TL-R4148Ⴅࡒവᎅઓ၄ݿ
若需要添加新的IP地址过滤条目或修改已存的条目,只需要正确设置上面各参数,然后点击保存按钮即可。下面将举例说明。
ಿǖ
设置局域网中IP地址为192.168.1.7的计算机在8:00-21:00时段内不能收发邮件;IP地址为192.168.1.8的计算机全天均不能访问IP为202.96.134.12 的网站,对局域网中的其它计算机则不做任何限制。
设置步骤:
首先请您在“防火墙设置”中打开防火墙总开关,然后再开启“IP地址过滤”,并设置“缺省过滤规则”为“凡是不符合已设IP地址过滤规则的数据包,允许通过本路由器”。最后,在添加或编辑界面中按照以上数据要求添加新的过滤条目,添加设置界面如上图所示。下面为添加后的IP地址过滤条目表。
5.7.3 域名过滤
选择安全设置下的域名过滤,将进入下面的设置界面。本页显示已设的域名过滤列表。可以利用按钮—“添加新条目”来增加新的过滤规则;或者通过“编辑”、“删除”链接来修改或删除旧的过滤规则。
30
5ᐺ!ᒙᒎฉ
¾ 生效时间 显示规则生效的起始时间和终止时间。格式为hhmm,例如0803,表示8时3分。
显示希望控制的域名。
显示本条目状态,即过滤规则是否生效。
显示对该条目操作的超级链接——编辑或删除。
点击该按钮,可以添加新的过滤条目。
点击该按钮,可以将列表中的所有过滤条目的状态设置为“生效”。
点击该按钮,可以将列表中的所有过滤条目的状态设为“失效”。
点击该按钮,可以删除该列表中的所有过滤条目。
¾ 域名
¾ 状态
¾ 配置
¾ 添加新条目
¾ 使所有条目生效
¾ 使所有条目失效
¾ 删除所有条目
5.7.3.1 添加或编辑域名过滤规则
点击上图所示界面中的添加新条目或条目右侧的编辑按钮,将进入下面的设置界面,界面中各参数说明见前面域名过滤条目表中所述。
ಿǖ
设置局域网中的计算机在08:00-21:00时段内不能访问“. ”,08:00-24:00时段内不能访问“”,全天不能访问所有以“.net”结尾的网站,这时您需要设置如下的域名过滤表:
设置步骤:
首先在“防火墙设置”中打开防火墙总开关,然后开启“域名过滤”,设置“缺省过滤规则”为“禁止访问域名列表中已启用的域名,允许访问其它的域名”。最后,点击添加新按钮,在添加或编辑界面中按照以上数据要求设置新的域名过滤条目,设置界面如上图所示。下面为添加后的IP地址过滤条目表。
5.7.4 MAC地址过滤
选择安全设置下的域名过滤,将进入下面的设置界面。本页显示已设的MAC地址过滤列表。可以利用按钮—“添加新条目”来增加新的过滤规则;或者通过“编辑”、“删除”链接来修改或删除旧的过滤规则。
31
TL-R4148Ⴅࡒവᎅઓ၄ݿ
¾ MAC地址
¾ 描述
¾ 状态
¾ 配置
¾ 添加新条目
¾ 使所有条目生效
¾ 使所有条目失效
¾ 删除所有条目
显示希望控制的计算机的MAC地址。
显示对该计算机的适当描述。
显示本条目状态,即本条过滤规则是否生效。
显示对该条目操作的超级链接——编辑或删除。
点击该按钮,可以在过滤列表中添加新的过滤条目。
点击该按钮,可以将该列表中所有过滤条目的状态设为“生效”。
点击该按钮,可以将该列表中所有过滤条目的状态设为“失效”。
点击该按钮,可以删除当前已设的所有过滤条目。
5.7.4.1 添加或编辑MAC地址过滤规则
点击上图所示界面中的添加新条目或条目右侧的编辑按钮,将进入下面的设置界面,界面中各参数说明见前面MAC地址过滤条目表中所述。
ಿǖ
设置局域网中MAC地址为00-13-8F-A9-E6-CB和 00-13-96-6B-6E-A9的计算机不能访问Internet,局域网中的其它计算机能访问Internet,这时您需要设置如下的MAC地址过滤表。
设置步骤:
首先在“防火墙设置”中打开防火墙总开关,然后开启“MAC地址过滤”,设置“缺省过滤规则”为“禁止已设MAC地址列表中已启用的MAC地址访问Internet,允许其它MAC地址访问Internet”。然后,点击添加新条目按钮,类似上面界面所示设置各条目参数,设置完后点击保存。最后形成的MAC地址过滤条目表为:
32
5ᐺ!ᒙᒎฉ
5.7.5 攻击防护
选择安全设置下的攻击防护,将进入下面的攻击防护的设置界面。攻击防护是防火墙通过对数据包的检查,以应对一些恶意的攻击。攻击检查和防护分为四类:
¾ 扫描类攻击防护
¾ 拒绝服务(DoS)攻击防护
¾ 可疑包攻击防护
¾ 含有IP选项的包的攻击防护
如果在数据包中查到符合指定的攻击模式,则进行相应的防护处理。设置界面如下图所示。
33
TL-R4148Ⴅࡒവᎅઓ၄ݿ
5.7.5.1 区域设置
区域设置表明,后续的攻击防护设置项,是对应来自指定区域的数据包进行监控。如选中LAN,则表示对来自局域网的数据包进行监控,如上图。
5.7.5.2 扫描类攻击防护
扫描类攻击防护包括三种类型:IP扫描、端口扫描、IP欺骗。
IPྸහ
该项用来检查在小于规定的时间内,是否存在从一个源IP地址发送ICMP请求包到50个不同的目的IP地址的现象。如果有,则认为此源IP正在进行IP扫描攻击。选中IP扫描复选框,表明对来自指定区域(见区域设置节)的包进行IP扫描攻击的检查,设置阈值指明规定的时间间隔。阈值选择范围为15微秒。如果欲取消对来自指定区域的包进行IP扫描攻击的检查,则清除IP扫描选择即可。
࣡ాྸහ
该项用来检查在小于规定的时间内,是否存在从一个源IP地址发送TCP SYN包到同一目的地址的50个不同端口的现象。如果有,则认为此源IP正在进行端口扫描攻击。选中端口扫描复选框,表明对来自指定区域的包进行端口扫描攻击检查,设置阈值指明规定的时间间隔,阈值选择范围为15微秒。如果欲取消对来自指定区域的包进行端口扫描攻击检查,则清除端口扫描选择即可。
IP໑ຣDŽஞᑣ࣪ᎮᆀDž
发出攻击的主机通常使用假IP地址作为自己的源地址,从而使得被攻击方不能查到真正的攻击者。选中IP欺骗复选框,表明对来自指定区域的包进行IP欺骗检查。如果欲取消对来自指定区域的包进行IP欺骗检查,则清除IP欺骗选择即可。
ᓖፀǖ
本功能仅在区域为LAN时有效,在区域为WAN时是无效的。
5.7.5.3 DoS类攻击防护
DoS类攻击防护包括五种类型:ICMP Flood、UDP Flood、SYN Flood、Land Attack、WinNuke。
ICMP Floodૣ
该项用来检查在一秒钟内,一个目的IP是否收到超过规定数量的ICMP请求包。如果收到超过规定数量的包,则认为此目的IP正受到ICMP Flood的攻击。选中ICMP Flood复选框,表明对来自指定区域的包进行ICMP Flood攻击检查。设置阈值指明一秒内收到的包数(Packets Per
Second),其范围为10-99999 PPS。如果欲取消对来自指定区域的包进行ICMP Flood攻击检查,则清除ICMP Flood选择即可。
UDP Floodૣ
该项用来检查在一秒钟内,一个目的IP的某一端口是否收到超过规定数量的UDP包。如果收到超过规定数量的包,则认为此目的IP的此端口正受到UDP Flood的攻击。选中UDP Flood复选框,表明对来自指定区域的包进行UDP Flood攻击检查。设置阈值指明一秒内收到的包数,范围为10-34
5ᐺ!ᒙᒎฉ
99999 PPS。如果欲取消对来自指定区域的包进行UDP Flood攻击检查,则清除UDP Flood选择即可。
SYN Floodૣ
该项用来检查在一秒钟内,一个IP是否收到超过规定数量的TCP SYN包。对于区域为LAN时,如果一个源IP发出超过规定数量的TCP SYN包,则认为此源IP正在进行SYN Flood攻击;对于区域为WAN时,如果一个目的IP收到超过规定数量的TCP SYN包,则认为此目的IP正受到SYN Flood攻击。选中SYN Flood复选框,表明对来自指定区域的包进行SYN Flood攻击检查。设置阈值指明一秒内收到的包数,范围为10-99999 PPS。如果欲取消对来自指定区域的包进行SYN Flood攻击检查,则清除SYN Flood选择即可。
LANDૣ
该项用来检查将SYN Flood攻击和IP欺骗结合在一起的攻击,当攻击者发送含有受害者IP地址的欺骗性SYN封包,将其作为目的和源IP地址时,就发生了LAND攻击。选中LAND Attack复选框,表明对来自指定区域的包进行Land 攻击检查。如果欲取消对来自指定区域的包进行LAND攻击检查,则清除LAND Attack选择即可。
WinNuke
WinNuke是针对网上运行Windows的任何计算机的DoS攻击。攻击者将TCP片段(通常给设置了紧急[URG]标志的NetBIOS端口139)发送给已建连接的主机。这样就产生NetBIOS碎片重叠,从而导致运行Windows的机器崩溃。选中WinNuke复选框,表明对来自指定区域的包进行WinNuke攻击检查。如果欲取消对来自指定区域的包进行WinNuke攻击检查,则清除WinNuke选择即可。
5.7.5.4 可疑包类防护
可疑包类防护包括六类:大的ICMP包(大于1024字节)、WAN口防PING、没有Flag的TCP包、同时设置SYN和FIN的TCP包、仅设置FIN而没有设置ACK的TCP包、未知协议。
ࡍࡼICMP۞DŽࡍ᎖1024ᔊஂDž
正常的ICMP数据包长度较小,一般不会大于1024字节。选中大的ICMP包(大于1024字节)复选框,表明对来自指定区域的包进行ICMP包合法性检查。如果欲取消对来自指定区域的包进行大的ICMP包(大于1024字节)检查,则清除相应选项的选择即可。
WANాऴPING
启用该选项,WAN口外的网络向WAN口发送ICMP请求时(PING WAN口),WAN口将其忽略而不进行回复。本功能仅在区域为WAN时有效,在区域为LAN时是无效的。
ᎌFlagࡼTCP۞
正常的TCP包的包头至少设置有一个标志(flag)。未设置任何控制标志的TCP包是一个可疑包。选中没有Flag的TCP包复选框,表明对来自指定区域的包进行没有Flag的TCP包检查。如果欲取消对来自指定区域的包进行没有Flag的TCP包检查,则清除相应选项的选择即可。
ᄴဟᒙSYNਜ਼FINࡼTCP۞
TCP包头的SYN标志同步发起TCP连接的序列号,FIN标志表示完成TCP连接的数据传输的结束。两个标志的用途是互相排斥的。在同一TCP片段包头中同时设置SYN和FIN控制标志是异常的TCP包。选中同时设置SYN和FIN的TCP包复选框,表明对来自指定区域的包进行同时设置35
TL-R4148Ⴅࡒവᎅઓ၄ݿ
SYN和FIN的TCP包检查。如果欲取消对来自指定区域的包进行同时设置SYN和FIN的TCP包检查,则清除相应选项的选择即可。
ஞᒙFINऎᎌᒙACKࡼTCP۞
含有ACK标志的TCP包是确认接收到的前一个包。含有FIN标志的TCP包是发送会话结束信号并终止连接,它通常也设置了ACK标志。设置了FIN标志,而未设置ACK标志的TCP包是异常的TCP包。选中仅设置FIN而没有设置ACK的TCP包复选框,表明对来自指定区域的包进行仅设置FIN而没有设置ACK的TCP包检查。如果欲取消对来自指定区域的包进行仅设置FIN而没有设置ACK的TCP包检查,则清除相应选项的选择即可。
ᆚᒀፇ
目前,IP包头的协议类型(protocol type)字段保留大于135(包括135)的数值未定义。正是由于这些协议未定义,就无法事先知道某一特定的未知协议是善意的还是恶意的。对这些非标准协议,谨慎的态度是封锁这类未知的元素进入受保护网络。选中未知协议复选框,表明对来自指定区域的包进行未知协议检查。如果欲取消对来自指定区域的包进行未知协议检查,则清除相应选项的选择即可。
5.7.5.5 含有IP选项的包防护
在Internet Protocol 协议(RFC 791)中,指定了一组选项以提供特殊路由控制、诊断工具和安全性。它是在IP包头中的目的地址之后。协议认为这些选项“对最常用的通信是不必要的”。在实际使用中,它们也很少出现在IP包头中。这些选项经常被用于某些恶意用途。
IP选项包括:
¾ IP Timestamp Option
表明是否检查来自指定区域的IP包含有Internet
Timestamp项
表明是否检查来自指定区域的IP包含有Security项
表明是否检查来自指定区域的IP包含有Stream ID项
表明是否检查来自指定区域的IP包含有Record Route项
表明是否检查来自指定区域的IP包含有 Loose
Source Route项
表明是否检查来自指定区域的IP包含有Strict Source
Route项
表明是否检查来自指定区域的IP包的完整性或正确性
¾ IP Security Option
¾ IP Stream Option
¾ IP Record Route Option
¾ IP Loose Source Route Option
¾ IP Strict Source Route Option
¾ 非法IP选项
选中一项IP选项的复选框,则检查;清除选项的选择,则取消检查。
5.8
路由功能
在“路由功能”菜单下面,只有“静态路由表”一个子项。单击该子项,即可进行静态路由功能设置,下面将详细讲解静态路由功能的设置。
36
5ᐺ!ᒙᒎฉ
5.8.1 静态路由表
选择路由功能下的静态路由表项,将进入下面所示界面。本页设置路由器的静态路由功能,可以利用按钮—“添加新条目”来增加新的过滤规则;或者通过“编辑”、“删除”链接来修改或删除旧的过滤规则。
¾ 目的IP地址
¾ 子网掩码
¾ 网关
¾ 状态
¾ 配置
¾ 添加新条目
¾ 使所有条目生效
¾ 使所有条目失效
¾ 删除所有条目
显示欲访问的主机的IP地址。
显示子网掩码,一般为255.255.255.0。
显示数据包被发往的路由器或主机的IP地址。
显示本条目的状态,即本条目是否生效。
显示对本条目操作的超级链接——编辑或删除。
点击该按钮,可以在路由列表中添加新的条目。
点击该按钮,可以将列表中所有条目的状态设为“生效”。
点击该按钮,可以将列表中所有条目的状态设为“失效”。
点击该按钮,可以删除当前列表中已设的所有条目。
当点击“添加新条目”或点击“编辑”链接界面时,将进入下面的设置界面。
5.9
连接数限制
在“连接数限制”菜单下面,共有“连接数设置”、“连接数列表”两个子项。单击某个子项,即可进行相应的功能设置,下面将详细讲解各子项的功能。
37
TL-R4148Ⴅࡒവᎅઓ၄ݿ
5.9.1 连接数设置
选择连接数限制下的连接数设置,将进入连接数设置界面。本页设置单机的连接数限制,对指定IP地址的计算机连接数进行限制,超过限制的新连接不允许通过路由器,未设置限制的计算机可以不受限制的建立连接。可以利用按钮—“添加新条目”来增加新的过滤规则;或者通过“编辑”、“删除”链接来修改或删除旧的过滤规则。如下图示:
¾ 连接数限制
¾ 局域网IP地址
可以选择是否开启连接数限制功能。
显示希望限制的计算机的IP地址。可以输入一个IP地址段,例如:192.168.1.20-192.168.1.30,也可以只输入一个IP地址,例如:192.168.1.40。
显示允许该计算机建立的最大连接数。
显示该条目的限制是否生效。
点击该按钮,可以在列表中添加新的条目。
点击该按钮,可以删除列表中的所有条目。
¾ 最大连接数
¾ 启用
¾ 添加新条目
¾ 删除所有条目
点击“添加新条目”或点击“编辑”链接时的界面,将进入下面的设置界面。可以添加一条新的连接数限制条目,也可以编辑已经存在的限制条目。
5.9.2 连接数列表
选择连接数限制下的连接数列表,将进入下面所示界面。本页显示已设置的连接数和当前通过路由器的所有连接数,下图只显示了连接数列表中的部分数据。
38
5ᐺ!ᒙᒎฉ
¾ 局域网IP地址
¾ 最大连接数
¾ 当前连接数
客户端的IP地址。
设定的连接数限制,如果没有设置限制则显示“无限制”。
该客户端当前有效的连接数。
5.10
应用限制
单击“应用限制”菜单下面某个子项,即可进行相应的功能设置,下面将详细讲解各子项的功能。
5.10.1 策略管理
选择应用限制下的策略管理,将进入下面所示界面。本页将显示策略列表,用户可以对策略进行启用/禁用、删除、移动等操作。
¾ 启用应用限制功能请选择是否开启应用限制功能,选中该复选框则表示启用该功能。设置完成后,单击“保存”按钮使设置生效。
单击该按钮,可以增加新的策略管理条目,详见后面所述。
显示该条目策略的名字。
显示该条目策略对应的应用限制操作内容。
显示对该条目进行的超级链接——编辑、复制或删除。其中,“复制”是为方便用户进行相似策略编辑,实际为添加操作,所以需要对策略名字进行修改。
显示该条目是否生效。
¾ 添加策略
¾ 策略名
¾ 应用限制
¾ 配置
¾ 状态
39
TL-R4148Ⴅࡒവᎅઓ၄ݿ
¾ 移动 通过对策略移动,完成策略优先级的配置。默认排在前面的策略优先级较高,不同的策略可以进行叠加,具体应用可参考本节末尾的举例。此选项可设置策略移到任意策略之前,对应操作请按照提示框进行。
ᓖፀǖ
应用限制位于防火墙之后,故此处定义的策略只对防火墙允许通过的数据包生效。
5.10.1.1 添加或编辑策略
点击上图所示界面中的添加策略或条目右侧的编辑按钮,将进入下面的设置界面。本页可以添加或者对已有策略进行编辑。
¾ 策略名 请输入策略的名字。添加新策略后,可以通过勾选“加在最前面”选项选择添加新策略的位置。勾选此选项,新策略加在最前面,优先级最高;不勾选时将默认加在最后,优先级最低。此选项只在添加策略时显示,编辑策略时不显示。
请选择该策略作用的用户对象,可以单选一个用户,也可以点击“复选”按钮,进行多用户添加。
请选择该策略作用的用户组对象,可以单选一个用户组,也可以点击“复选”按钮,进行多用户组添加。
请选择该策略作用的时间表对象,可以单选一个时间表,策略在时间表规定的时间内与“生效状态”共同作用生效,也可以置空,策略由“生效状态”作用生效。
¾ 用户
¾ 用户组
¾ 时间表
40
5ᐺ!ᒙᒎฉ
¾ 是否生效
¾ 应用限制
请选择该策略是否生效。
请选择应用限制内容。可以进行单独勾选或全选。具体作用效果与下面“限制策略”选项有关。
可以对部分主流的即时通信软件进行应用限制。
可以对部分主流的P2P软件进行应用限制。
可以对部分主流的金融软件进行应用限制。
可以对部分主流的网络游戏进行应用限制。
可以对部分主流的基础应用进行应用限制。
“禁请选择对勾选的应用进行限制设置,分为“禁止”和“允许”两项。止”含义为对勾选的应用进行禁止,对未勾选的设置进行默认处理,“允许”含义同理。
¾ IM软件
¾ P2P软件
¾ 金融软件
¾ 网络游戏
¾ 基础应用
¾ 限制策略
ᓖፀǖ
完成策略配置后,为了达到更好的限制效果,建议重启一次路由器,中断已经建立连接的应用。
如果要实现对勾选的应用进行限制,对未勾选的应用允许其正常运行,则应该选择“禁止”操作;如果要在已有策略基础上对特殊用户或用户组进行特别处理,则应该选择“允许”操作。限制策略的默认处理为“允许”。
5.10.2 用户管理
选择应用限制下的用户管理,将进入用户管理界面。本页可以进行单个IP的用户设置,便于在策略管理中使用。如下图示:
¾ 选择
¾ 用户名
¾ IP地址
¾ 所在的组
¾ 策略
¾ 配置
¾ 添加用户
勾选相应条目,点击“删除选中”按钮可以进行批量删除。
显示用户设置的用户名。
显示用户名对应的IP地址。
如果当前用户条目被加入了用户组,则会在此显示用户组名称。
点击“查看”了解当前用户条目所应用的策略设置。
点击相应按钮对条目进行配置。
单击该按钮,可以增加新的用户条目。
41
TL-R4148Ⴅࡒവᎅઓ၄ݿ
¾ 删除选中
¾ 删除所有
单击该按钮,可以删除选中的用户条目。
单击该按钮,可以删除所有未被用户组或策略引用的用户。如需删除被用户组或策略引用的用户,请先在用户组管理或策略管理中删除相关引用。
5.10.2.1 添加或编辑用户
点击上图所示界面中的添加用户或条目右侧的编辑按钮,将进入下面的设置界面。该页可以设置用户条目。
¾ 用户名
¾ IP地址
请输入用户名称。
请输入对应的IP地址。
点击保存按钮,该设置将会在用户管理条目表中显示。
5.10.3 用户组管理
选择应用限制下的用户组管理,将进入下面所示界面。本页可以进行多个独立IP地址以及IP地址段的用户组设置。如下图所示:
¾ 选择
¾ 组名
¾ 成员
¾ 策略
¾ 配置
¾ 添加组
¾ 删除选中
¾ 删除所有
勾选相应条目,点击“删除选中”按钮可以进行批量删除。
显示用户组名称。
显示用户组包含的用户成员或IP地址段。
点击“查看”了解当前用户组条目所应用的策略设置。
点击相应按钮对条目进行配置。
单击该按钮,可以增加新的用户组。
单击该按钮,可以删除选中的用户组。
单击该按钮,可以删除所有未被策略引用的用户组。如需删除被策略引用的用户组,请先在策略管理中删除相关引用。
42
5ᐺ!ᒙᒎฉ
5.10.3.1 添加或编辑用户组
点击上图所示界面中的添加组或条目右侧的编辑按钮,将进入下面的设置界面。该页可以设置用户组条目。
¾ 用户组名
¾ IP段设置
¾ 用户数量
¾ 用户设置
请输入用户组名称。
勾选“启用”,可以进行IP地址段的设置。
显示添加到用户组中的单个用户数量。
在备选栏中会自动列出已设置的用户,可以单击用户名,点击“ >> ”按钮将其添加到已选栏中。同理可以从已选栏中点击“ << ”按钮删除选定用户。
点击保存按钮,该用户组设置将生效。
5.10.4 时间表管理
选择应用限制下的时间表管理,将进入下面所示界面。本页将显示时间表列表,时间表可以决定关联策略的生效时间,为周期性的策略规划提供服务。
¾ 选择
¾ 时间表名
¾ 说明
¾ 配置
¾ 添加时间表
勾选相应条目,点击“删除选中”按钮可以进行批量删除。
显示时间表名称。
显示时间表的相关说明信息。
点击相应按钮对条目进行配置。
单击该按钮,可以增加新的时间表。
43
TL-R4148Ⴅࡒവᎅઓ၄ݿ
¾ 删除选中
¾ 删除所有
单击该按钮,可以删除选中的时间表。
单击该按钮,可以删除所有未被策略引用的时间表。如需删除被策略引用的时间表,请先在策略管理中删除相关引用。
5.10.4.1 添加或编辑时间表
点击上图所示界面中的添加时间表或条目右侧的编辑按钮,将进入下面的设置界面。该页可以设置时间表条目。
¾ 时间表名
¾ 说明
¾ 星期
请输入时间表名称。
可选填项,为该时间表提供注释说明。
包括每周的星期日至星期六,每天可以设置一个时间段。可以选择部分日期进行填写。
包括开始时间和结束时间,正确的时间范围为00:00至24:00,开始时间不能小于结束时间,每一天的开始时间和结束时间必须全部填写或者全部不填写。
¾ 时期
ಿǖ
设置局域网中192.168.1.100 - 192.168.1.250 IP段的主机星期六和星期日全天不能使用QQ和迅雷软件,但IP地址为192.168.1.123的主机、以及IP地址在192.168.1.200 – 192.168.1.205范围内的主机除外。
设置步骤如下:
首先,请在用户管理界面添加用户user1,IP地址为192.168.1.123:
44
发布评论