多WAN口双核全千兆网吧路由器

TL-ER5520G用户手册REV1.
1.
01910040356-I-声明Copyright2013普联技术有限公司版权所有,保留所有权利未经普联技术有限公司明确书面许可,任何单位或个人不得擅自仿制、复制、誊抄或转译本书部分或全部内容.
不得以任何形式或任何方式(电子、机械、影印、录制或其他可能的方式)进行商品传播或用于任何商业、赢利目的.
为普联技术有限公司注册商标.
本文档提及的其他所有商标或注册商标,由各自的所有人拥有.
本手册所提到的产品规格和资讯仅供参考,如有内容更新,恕不另行通知.
可随时查阅我们的万维网页http://www.
tp-link.
com.
cn.
除非有特殊约定,本手册仅作为使用指导,本手册中的所有陈述、信息等均不构成任何形式的担保.
-II-物品清单1第1章用户手册简介.
21.
1目标读者.
21.
2本书约定.
21.
3章节安排.
2第2章产品介绍32.
1产品描述.
32.
2产品特性.
42.
3产品外观.
52.
3.
1前面板.
52.
3.
2后面板.
6第3章配置指南73.
1登录Web界面73.
2Web界面简介93.
2.
1界面总览93.
2.
2界面常见按钮及操作10第4章功能设置124.
1系统维护.
124.
1.
1系统状态124.
1.
2接口流量134.
1.
3日志134.
1.
4时间设置154.
2系统模式.
164.
3接口设置.
184.
3.
1WAN模式184.
3.
2WAN1设置194.
3.
3LAN设置.
284.
3.
4DMZ设置.
314.
3.
5MAC设置.
334.
4转发规则.
344.
4.
1NAT映射.
344.
4.
2多网段NAT.
364.
4.
3虚拟服务器.
384.
4.
4端口触发404.
4.
5ALG服务424.
5安全策略.
434.
5.
1ARP防护434.
5.
2访问控制46-III-4.
5.
3攻击防护494.
5.
4接入过滤514.
6传输控制.
534.
6.
1带宽控制534.
6.
2连接数限制.
574.
7流量均衡.
584.
7.
1综合设置594.
7.
2策略选路594.
7.
3ISP选路.
604.
7.
4线路备份624.
7.
5协议类型634.
8路由设置.
644.
8.
1静态路由644.
8.
2RIP服务.
674.
9端口设置.
684.
9.
1端口统计684.
9.
2端口监控704.
9.
3端口流量限制714.
9.
4端口参数724.
9.
5端口状态724.
9.
6PortVLAN.
734.
10系统服务.
744.
10.
1UPnP服务744.
10.
2动态DNS.
754.
10.
3Web服务器.
774.
11系统工具.
804.
11.
1设备管理804.
11.
2诊断工具824.
11.
3流量统计85第5章典型配置.
865.
1典型配置需求865.
2典型配置方案865.
3典型组网拓扑875.
4典型配置步骤875.
4.
1系统模式设置875.
4.
2WAN模式设置885.
4.
3上网方式设置885.
4.
4局域网主机IP设置895.
4.
5局域网ARP攻击防护设置895.
4.
6广域网ARP攻击防护设置905.
4.
7网络攻击防护设置.
91-IV-5.
4.
8带宽控制设置925.
4.
9游戏加速设置935.
4.
10连接数限制设置.
945.
4.
11端口监控设置94第6章命令行简介.
956.
1搭建平台.
956.
2界面模式.
986.
3在线帮助.
996.
4命令介绍.
1006.
4.
1接口设置1006.
4.
2IPMAC绑定设置1006.
4.
3系统管理1016.
4.
4用户信息管理1026.
4.
5历史命令管理1036.
4.
6退出CLI.
104附录A常见问题105附录B术语表107附录C规格参数110-1-物品清单请仔细检查包装盒,里面应有以下配件:一台TP-LINK多WAN口双核全千兆网吧路由器一根Console连接线一根电源线一本安装手册一张保修卡一张光盘两个L型支架及其他配件注意:如果发现有配件短缺或损坏的情况,请及时与当地经销商联系.
-2-第1章用户手册简介本手册旨在帮助您正确使用本款路由器.
内容包含对路由器性能特征的描述以及配置路由器的详细说明.
请在操作前仔细阅读本手册.
1.
1目标读者本手册的目标读者为熟悉网络基础知识、了解网络术语的技术人员.
1.
2本书约定在本手册中,所提到的"路由器"、"本产品"等名词,如无特别说明,系指TL-ER5520G多WAN口双核全千兆网吧路由器,下面简称为TL-ER5520G.
用>>符号表示配置界面的进入顺序.
默认为一级菜单>>二级菜单>>标签页,其中,部分功能无二级菜单.
正文中出现的尖括号标记文字,表示Web界面的按钮名称,如.
正文中出现的""双引号标记文字,表示Web界面出现的除按钮外名词,如"ARP绑定"界面.

本手册中使用的特殊图标说明如下:图标含义注意:该图标提醒您对设备的某些功能设置引起注意,如果设置错误可能导致数据丢失,设备损坏等不良后果.
说明:该图标表示此部分内容是对相应设置、步骤的补充说明.
1.
3章节安排第1章:用户手册简介.
帮助快速掌握本手册的结构、了解本手册的约定,从而更有效地使用本手册.

第2章:产品介绍.
介绍本产品特性、应用以及外观.
第3章:配置指南.
指导如何登录TL-ER5520G的Web管理界面,并简要介绍界面特点.

第4章:功能设置.
介绍TL-ER5520G的所有功能,帮助您更充分地使用本产品.
第5章:典型配置.
以真实的网吧应用为例,解决实际需求.
第6章:命令行简介.
介绍路由器Console口登录方法及配置中常用的CLI命令.

附录A:常见问题.
附录B:术语表.
附录C:规格参数.
-3-第2章产品介绍2.
1产品描述TL-ER5520G是一款多WAN口双核全千兆网吧路由器,是TP-LINK公司专门为大中型网吧、小区、酒店等网络环境提供高速稳定宽带接入而设计的路由器产品,具有高性能、高稳定、高安全、高灵活等特点.
高性能与高稳定TL-ER5520G采用双核MIPS64位网络处理器,主频达500MHz,搭配容量为128MB的DDRII-533高速内存,具备强大的数据转发能力.
TL-ER5520G采用创新导热式自然散热,无风扇静音设计,内置高品质开关电源,外部采用1U钢壳,19英寸标准机架设计,充分保证整机长时间稳定可靠运行.
高安全TL-ER5520G具有强大的攻击防护功能,不仅能够防御来自局域网的病毒攻击、ARP攻击和欺骗,还能够防御来自广域网的ARP病毒、DoS等攻击,防止黑客的恶意攻击,保证网吧网络长时间稳定安全运行.
防局域网攻击:TL-ER5520G支持对局域网内主机的IP/MAC信息绑定功能,能有效防范局域网内的ARP攻击;同时支持GARP包定时发送机制,有效避免局域网内的ARP欺骗,杜绝局域网内的ARP病毒攻击.

TL-ER5520G内置高级防火墙和过滤规则,不仅支持基于IP、MAC、URL的过滤规则,用户也可以根据协议、端口号来自定义病毒类型,对数据包进行双向检测和过滤,防止Nimda、冲击波、木马等病毒攻击,为网吧提供可靠的局域网安全保障.
防广域网攻击:TL-ER5520G支持对连接WAN口网关的IP与MAC信息绑定功能,可防范来自广域网的ARP攻击;并提供扫描类、DoS类、可疑包类等丰富的攻击防护,能侦测及阻挡IP地址欺骗、源路由攻击、IP/端口扫描、DoS等来自广域网的网络攻击.
多种广域网防攻击功能全面保障网吧网络安全.

高灵活灵活的带宽管理:TL-ER5520G支持基于IP的带宽管理功能,提供"普通带宽控制"和"智能带宽控制"两种策略,灵活管控网络带宽;支持游戏优先策略,可分配给游戏独立的带宽,保证游戏的畅通;支持连接数限制功能,防止BT、迅雷等P2P软件过度占用带宽.
灵活的多WAN口策略:TL-ER5520G提供1个10/100/1000M固定WAN口、1个10/100/1000M固定LAN口和3个10/100/1000MWAN/LAN可配置端口,用户可根据实际网络需求灵活配置WAN口数量,满足多条线路接入的组网需求;支持多种负载均衡策略,包括智能均衡、特殊应用程序选路、ISP选路、策略选路等,充分利用WAN口带宽,保护用户投资;支持WAN口备份功能,一旦主线路出现故障,流量将迅速切换至备份线路,保证网络正常运作.
同时支持定时备份和故障备份两种备份模式.

灵活的设备配置管理:TL-ER5520G支持配置文件导入导出,配置简单,大大缩短配置时间,保证网吧正常运行;同时采用全中文Web管理界面,支持远程管理,支持多种系统检测工具和丰富的日志功能,-4-设备管理维护灵活;支持WAN口、LAN口和DMZ口的MAC地址修改,网络组建、设备升级更新灵活方便.
2.
2产品特性硬件特性采用双核64位网络专用处理器,主频500MHz;配备容量为128MB的DDRII-533高速内存;提供5个10/100/1000M自适应以太网接口;提供1个硬件DMZ接口;提供1个Console口;内置高品质开关电源,无风扇静音设计;1U钢壳,可安装于19英寸标准机架,工业级设计.
支持协议符合IEEE802.
3、IEEE802.
3u、IEEE802.
3ab标准;支持TCP/IP,DHCP,ICMP,NAT,NAPT等协议;支持PPPoE,SNTP,HTTP,DDNS、UPnP,NTP等协议.
基本功能支持静态IP、动态IP、PPPoE、L2TP、PPTP多种接入方式;支持虚拟服务器、端口触发、ALG、静态路由、RIP动态路由等功能;内置简单管理交换机,支持VLAN设置和端口监控等交换机功能;支持LAN口、WAN口以及DMZ口的MAC地址修改;支持配置文件备份与导入;支持系统日志、日志服务器、流量统计、系统时间设置等功能;支持Web和远程管理,全中文配置界面;提供诊断工具(Ping、Tracert),支持WAN口在线检测功能.
带宽管理支持基于IP的带宽控制,可限制单机带宽;支持连接数设置,可限制单机连接数;提供游戏加速功能,保障游戏小包数据的带宽.
-5-网络安全内建防火墙,支持URL、MAC地址过滤;支持访问控制,可自定义服务类型;支持攻击防护功能,可对网络攻击和病毒攻击进行防范;支持局域网IP/MAC地址绑定,防范局域网ARP攻击;支持广域网IP/MAC地址绑定,防范广域网ARP攻击;支持定时发送免费ARP包功能,防范局域网ARP欺骗.
2.
3产品外观2.
3.
1前面板TL-ER5520G的前面板由5个10/100/1000M接口、1个Console接口、指示灯和Reset键组成.
如图2-1所示.
图2-1TL-ER5520G前面板示意图5个10/100/1000Mbps自适应RJ45接口TL-ER5520G支持10Mbps/100Mbps/1000Mbps带宽的连接设备.
每个接口对应一组指示灯,即Link/Act和1000M指示灯.

1个Console接口Console接口位于面板最右边,使用此接口可以对路由器进行命令行配置,详见第6章命令行简介.

Reset键如果需要将路由器恢复到出厂默认设置,请在路由器通电的情况下,使用尖状物按住路由器前面板的Reset键,等待3-5秒后,见到M1长亮2-5秒,松开按键,待M1和M2两灯同时快闪约1秒,此时路由器已成功恢复出厂配置.
路由器出厂默认管理地址是192.
168.
1.
1,默认用户名/密码是admin/admin.

指示灯指示灯包括电源PWR指示灯,系统状态M1/M2指示灯,连接状态Link/Act指示灯,1000M速率指示灯,DMZ接口状态指示灯.
通过指示灯可以监控路由器的工作状态,下表将详细说明指示灯工作状态:-6-指示灯名称状态描述常亮表示系统供电正常PWR电源指示灯常灭表示电源关闭或电源故障按下Reset键时常亮表示正在恢复出厂配置,与M2同时快闪约1秒表示恢复出厂配置成功M1系统状态指示灯系统正常工作时常灭,其他状态表示系统异常M2系统状态指示灯系统正常工作时闪烁(1次/秒),其他状态表示系统异常常亮表示相应端口已正常连接闪烁表示相应端口正在传输数据Link/Act广域网和局域网状态指示灯常灭表示相应端口未建立连接常亮表示端口速率为1000Mbps1000M速率指示灯常灭表示端口速率为10/100Mbps或者未接入设备常亮表示DMZ接口已启用DMZDMZ接口状态指示灯常灭表示DMZ接口已关闭2.
3.
2后面板路由器后面板由电源接口和防雷接地柱组成,如图2-2所示:图2-2后面板示意图电源接口位于后面板右侧,接入电源需为100-240V~50/60Hz0.
6A的交流电源.
防雷接地柱请使用黄绿双色外皮的铜芯导线接地,以防雷击,具体请参考《设备防雷安装手册》.
注意:请使用原装电源线.
电源插座请安装在设备附近便于触及的位置,以方便操作.
-7-第3章配置指南3.
1登录Web界面第一次登录时,需要确认以下几点:1)路由器已正常加电启动,任一LAN口已与管理主机相连.
2)管理主机已正确安装有线网卡及该网卡的驱动程序、并已正确安装IE6.
0或以上版本的浏览器.
3)管理主机IP地址已设为与路由器LAN口同一网段,即192.
168.
1.
X(X为2至254之间的任意整数),子网掩码为255.
255.
255.
0,默认网关为路由器管理地址192.
168.
1.
1.
也可选择"自动获得IP地址"来通过路由器DHCP自动分配IP地址.
4)为保证能更好地体验Web界面显示效果,建议将显示器的分辨率调整到1024*768或以上像素.
打开IE浏览器,在地址栏输入http://192.
168.
1.
1登录TL-ER5520G的Web管理界面.
路由器登录界面如图3-1所示.
图3-1路由器登录界面在此界面输入路由器管理帐号的用户名和密码,出厂缺省值为admin/admin.
成功登录后将看到路由器的系统状态信息,如图3-2.
-8-图3-2TL-ER5520G系统状态-9-3.
2Web界面简介3.
2.
1界面总览TL-ER5520G路由器典型的Web界面如图3-3所示.
图3-3典型Web界面在图3-4Web界面区域划分中可以看到,左侧为一级、二级菜单栏,右侧上方长条区域为菜单下的标签页,当一个菜单包含多个标签页时,可以通过点击标签页的标题在同级菜单下切换标签页.
右侧标签页下方区域可分为两部分,条目配置区以及列表管理区.
图3-4Web界面区域划分-10-3.
2.
2界面常见按钮及操作条目配置区常见按钮按钮含义保存当前配置信息.
新增当前配置信息.
修改并保存编辑后的配置信息.
快速清除当前配置项中已输入的所有信息.
打开当前功能的帮助界面.
说明:按钮只有当编辑列表中的规则/条目时才会出现,取代原本的按钮.
列表管理区常见按钮按钮含义选中当前列表中所有规则/条目.
启用选中的规则/条目,可批量操作.
禁用选中的规则/条目,可批量操作.
使选中的规则/条目生效,可批量操作.
使选中的规则/条目不生效,可批量操作.
删除选中的规则/条目,可批量操作.
刷新列表.
-11-列表管理区扩展按钮按照指定关键字段搜索相应的规则.
列名选择当前列表中任一表头字段.
内容输入关键字.
状态指定搜索范围为"启用"、"禁用"或者任意状态下的规则/条目.
列表管理区常见操作按钮名称含义编辑点击后,需要编辑的规则/条目内容会出现在列表上方的配置管理区,原按钮同时变为按钮.
在配置管理区修改当前配置后,点击按钮保存生效.
该操作不可批量进行.
启用/生效点击后,修改当前规则/条目状态.
该操作不可批量进行.
禁用/不生效点击后,修改当前规则/条目状态.
该操作不可批量进行.
删除点击后,删除当前规则/条目.
该操作不可批量进行.
-12-第4章功能设置4.
1系统维护系统维护提供路由器系统的最新信息,方便网络管理、故障分析等操作.

4.
1.
1系统状态系统状态界面显示路由器当前硬件和软件版本信息、各接口配置信息以及系统资源使用情况.

界面进入方法:系统维护>>系统状态图4-1系统状态界面-13-4.
1.
2接口流量接口流量界面显示路由器所有正在工作的接口的数据接收/发送速率,以及WAN口的附加信息统计.

界面进入方法:系统维护>>接口流量图4-2接口流量界面接收/发送速率是以千比特每秒为单位进行统计的,通常所说的1M带宽即1024Kbps.
接收/发送总包数统计的是数据包的总个数.
接收/发送总字节数统计的则是所有数据包的总字节数.

WAN口附加信息则是以数据包为单位进行统计.
其中,IP分片是指接收到的大小超过WAN口允许接收的最大值,需要分片传输的数据包;IP异常包是指IP封装字段非正常的数据包.

4.
1.
3日志可以在日志界面查看路由器系统事件的记录信息.
界面进入方法:系统维护>>日志-14-图4-3日志界面日志列表中一条日志内容可分为四个部分:日志配置部分可以对日志系统进行简单的配置.
启用自动刷新后,日志列表将每隔5秒刷新一次;选择日志等级可使日志列表中仅列出指定等级的日志记录.
各等级描述:致命错误导致系统不可用的错误,红色显示.
紧急错误必须对其采取紧急措施的错误,红色显示.
严重错误导致系统处于危险状态的错误,红色显示.
一般错误一般性的错误提示,橙色显示.
警告信息系统仍然正常运行,但可能存在隐患的提示信息,橙色显示.
通知信息正常状态下的重要提示信息.
消息报告一般性的提示信息.
调试信息调试过程产生的信息.
-15-若需要在某台主机上查看路由器日志信息,请首先在这台主机上安装日志服务器,然后勾选路由器日志页面上的"发送系统日志"选项,并输入这台主机的IP地址.
保存设置后路由器将向指定地址发送系统日志.
4.
1.
4时间设置时间设置界面允许对路由器的系统时间进行设置.
若时间设置发生改变,将会影响一些与其相关的功能,如防火墙规则的生效时间、PPPoE定时拨号、日志等.
界面进入方法:系统维护>>时间设置图4-4时间设置界面界面项说明:当前时间此处将显示目前系统时间及时间获取方式信息.
如果想对时间进行更改,可以在下方时间设置区进行改动.
时间设置通过网络获取系统时间若路由器可以访问互联网,可以选择此项进行网络校时.
选择时区后点击按钮,路由器将会在内置NTP(NetworkTimeProtocol,网络校时协议)服务器地址列表中搜索可用地址,并获取时间.
若获取失败,请手动设置NTP服务器地址,由于NTP服务器并非固定不变,推荐在互联网上搜索两个不同的地址,分别填入首选、备用NTP服务器输入框中,-16-设置完毕后点击按钮,路由器会通过指定的NTP服务器获取网络时间.
手工设置系统时间若路由器暂时不能访问互联网,可以选择对系统时间进行手动设置,或者点击按钮,系统将自动填入当前管理主机时间信息.
最后请注意点击生效.
说明如果不能正常使用功能,需要在主机的防火墙软件中增加UDP端口为123的例外.
断电重启后,断电之前设置的时间将失效,重新变为"通过网络获取时间",如果未能连网获取时间,默认将从2011年3月1日0时0分0秒开始计时.
4.
2系统模式TL-ER5520G路由器可以工作在3种模式下:NAT模式、路由模式和全模式.
若TL-ER5520G需要作为网关应用在局域网与广域网之间,拓扑如图4-5,可以将TL-ER5520G系统模式设为NAT模式;图4-5组网拓扑-NAT模式若TL-ER5520G在大型组网内用于连接两个不同区域的网络,这两个区域的主机都必须通过路由规则进行通信,拓扑如图4-6,可以将TL-ER5520G系统模式设为路由模式;-17-图4-6组网拓扑-路由模式若TL-ER5520G应用于混合的组网拓扑中,如图4-7,则可以将TL-ER5520G系统模式设为全模式.
图4-7组网拓扑-全模式界面进入方法:系统模式>>系统模式图4-8系统模式设置界面请根据实际网络需要选择路由器的工作模式.
-18-NAT模式.
此模式下,由局域网向广域网发送的数据包默认经过NAT转换,但路由器对所有源地址与局域网接口不在同一网段的数据包均不进行处理.
例如,路由器LAN口IP设置为192.
168.
1.
1,子网掩码为255.
255.
255.
0,LAN口所处网段为192.
168.
1.
0/24,此时,路由器收到源地址为192.
168.
1.
123的数据包会进行NAT转换;但如果收到源地址为20.
31.
76.
80的数据包则直接丢弃.

路由模式.
此模式下,处于不同网段的主机可以通过相应的路由设置进行通信,但路由器不进行NAT转换.
例如,当路由器DMZ口处于广域网模式时,DMZ区域内主机需要以路由方式访问广域网中的服务器,若静态路由规则允许,则可正常通信.
此时,局域网内的主机不能访问广域网.

说明:路由模式下,所有转发规则将失效.
全模式.
全模式包含了NAT模式及路由模式,此模式下,路由器首先对符合NAT转发条件的数据包进行NAT转换;若不符合,则进行静态路由规则匹配,匹配成功的数据包以路由模式进行转发;匹配失败的数据包直接丢弃.
这样,路由器既允许数据包进行NAT转换,也不阻隔与接口在不同网段的数据包.

4.
3接口设置通过对TL-ER5520G各接口的设置,可以帮助您快速连入互联网.
4.
3.
1WAN模式TL-ER5520G支持多种WAN口模式:单WAN口、双WAN口、三WAN口、四WAN口.
界面进入方法:接口设置>>WAN模式>>WAN模式图4-9WAN模式设置界面请根据实际需求选择路由器的WAN模式.
路由器会根据不同的WAN口模式对各物理端口做出相应配置,具体请参考图4-9中的产品接口示意图.
注意:TL-ER5520G出厂默认为双WAN口模式,切换WAN口模式可能导致配置信息丢失.
若有重要配置信息,请在切换模式前备份.
此外,若选择了四WAN口模式,DMZ口将无法使用.
-19-4.
3.
2WAN1设置TL-ER5520G提供五种方式接入广域网:静态IP、动态IP、PPPoE、L2TP、PPTP,请根据ISP(InternetServiceProvider,网络服务提供商)提供的服务进行选择.
有线宽频一般使用动态IP连接方式;光纤接入以及企业、网吧局域网内组网一般使用静态IP连接方式;xDSL拨号上网则使用PPPoE连接方式;虚拟专用拨号网络一般使用L2TP或PPTP连接方式.
说明:TL-ER5520G允许设置多个WAN口的IP地址为同一个网段,但需保证这些WAN口能连通到同一个网域,比如都连通到因特网或同一个局域网,否则可能会导致通信异常.
根据WAN口数量的不同,对WAN口进行设置的标签页个数也会不同.
其他WAN口的设置方法请参考本节.
界面进入方法:接口设置>>WAN设置>>WAN1设置1)静态IP连接若ISP提供了固定的IP地址,请选择静态IP手动配置WAN口参数.
图4-10WAN口设置界面-静态IP界面项说明:静态IP设置连接方式选择静态IP连接方式,进行手动配置.
-20-IP地址设置路由器WAN口的IP地址.
子网掩码设置路由器WAN口的子网掩码.
网关地址设置网关地址.
MTUMTU(MaximumTransmissionUnit,最大传输单元),可以设置数据包的最大长度.
取值范围是576-1500之间的整数,默认值为1500.
若ISP未提供MTU值,请保持默认值不变.
首选DNS服务器设置DNS(DomainNameServer,域名解析服务器)地址,一般由ISP提供,如果留空,则无法通过域名访问互联网.

备用DNS服务器设置备用DNS地址,一般由ISP提供,允许留空.
上行带宽设置当前WAN接口数据流出的带宽大小.
下行带宽设置当前WAN接口数据流入的带宽大小.
2)动态IP连接若ISP提供DHCP自动分配地址服务,请选择动态IP自动获取WAN口参数.
图4-11WAN口设置界面-动态IP-21-界面项说明:动态IP设置连接方式选择动态IP连接方式.
点击得到IP参数,点击则不再使用现有IP参数.
主机名输入用于标识路由器的名称.
MTUMTU(MaximumTransmissionUnit,最大传输单元),可以设置数据包的最大长度.
取值范围是576-1500之间的整数,默认值为1500.
若ISP未提供MTU值,请保持默认值不变.
手动设置DNS服务器如果需要手动设置DNS(DomainNameServer,域名解析服务)地址,请勾选此项.
首选DNS服务器设置DNS地址,一般由ISP提供.
备用DNS服务器设置备用DNS地址,一般由ISP提供,允许留空.
上行带宽设置当前WAN接口数据流出的带宽大小.
下行带宽设置当前WAN接口数据流入的带宽大小.
动态IP状态连接状态显示当前WAN口DHCP分配状态.
"未启用"表示当前已选择动态IP连接方式但未保存生效;"正在连接"表示当前路由器正在向ISP获取IP参数;"已连接"表示路由器已成功获取IP参数;"未连接"表示路由器已发起请求,但未得到响应,请检查连接线路是否正常,若问题无法解决,请与ISP联系.
IP地址显示自动获取到的IP地址.
子网掩码显示自动获取到的子网掩码.
网关地址显示自动获取到的网关地址.
首选DNS服务器显示DNS地址.
备用DNS服务器显示备用DNS地址.
3)PPPoE连接若使用xDSL/CableModem拨号接入互联网,ISP会提供上网帐号及密码,请选择PPPoE连接方式.
-22-图4-12WAN口设置界面-PPPoE界面项说明:PPPoE设置连接方式选择PPPoE.
点击开始拨号并获取IP参数,点击则取消与互联网的连接同时释放已获取的IP参数.
帐号PPPoE拨号的用户名,由ISP提供.
密码PPPoE拨号的密码,由ISP提供.
手动连接用户可在需要上网时手动点击按钮连入互联网,适合按小时计费的拨号连接上网方式.
-23-自动连接每次接通路由器电源,路由器便自动拨号连入互联网,适合不限时间的包月计费拨号连接上网方式.
定时连接设置连接时段,在此时段内路由器如果开启则自动拨号连接,适合用于需要限时上网的场合.
启用PPPoE高级设置可以在此手动指定MTU值、服务名及DNS(DomainNameServer,域名解析服务)地址.
如果不清楚这些参数,请勿勾选此项.
MTUMTU(MaximumTransmissionUnit,最大传输单元),可以设置数据包的最大长度.
取值范围是576-1492之间的整数,默认值为1480.
若ISP未提供MTU值,请保持默认值不变.
服务名输入服务名称,由ISP提供.
首选DNS服务器设置DNS地址,一般由ISP提供.
备用DNS服务器设置备用DNS地址,一般由ISP提供,允许留空.
上行带宽设置当前WAN接口数据流出的带宽大小.
下行带宽设置当前WAN接口数据流入的带宽大小.
PPPoE状态连接状态显示当前WAN口PPPoE拨号连接状态.
"未启用"表示当前已选择PPPoE拨号连接方式但未保存生效;"正在连接"表示当前路由器正在向ISP获取IP参数;"已连接"表示路由器已成功获取IP参数;"未连接"表示路由器已发起请求,但未得到响应,请检查用户名密码是否正确、连接线路是否正常,若问题无法解决,请与ISP联系.
IP地址显示通过PPPoE拨号后获取到的IP地址.
网关地址显示通过PPPoE拨号后获取到的网关地址.
首选DNS服务器显示DNS地址.
备用DNS服务器显示备用DNS地址.
4)L2TP连接若使用虚拟专用拨号接入网络,ISP会提供上网帐号及密码,请选择L2TP连接方式.

-24-图4-13WAN口设置界面-L2TP界面项说明:L2TP设置连接方式选择L2TP.
点击开始拨号并获取IP参数,点击则取消与互联网的连接同时释放已获取的IP参数.
帐号L2TP拨号的用户名,由ISP提供.
密码L2TP拨号的密码,由ISP提供.
服务器IPL2TP拨号的服务器的IP地址,由ISP提供.
-25-MTUMTU(MaximumTransmissionUnit,最大传输单元),可以设置数据包的最大长度.
取值范围是576-1460之间的整数,默认值为1460.
若ISP未提供MTU值,请保持默认值不变.
静态/动态选择静态或动态获取与L2TP服务器进行通信的IP地址.
若选择静态方式,则需要手动设置IP地址;若选择动态,则外部的DHCP服务器将动态分配一个IP地址.
IP地址若选择静态,设置路由器WAN口的IP地址;若选择动态,显示路由器WAN口获取到的IP地址.
子网掩码若选择静态,设置路由器WAN口的子网掩码;若选择动态,显示路由器WAN口获取到的子网掩码.
网关地址若选择静态,设置网关地址;若选择动态,显示获取到的网关地址.
首选DNS服务器若选择静态,设置DNS(DomainNameServer,域名解析服务器)地址,一般由ISP提供,如果留空,则无法通过域名访问互联网;若选择动态,显示分配到的DNS地址.
备用DNS服务器若选择静态,设置备用DNS地址,一般由ISP提供,允许留空;若选择动态,显示分配到的备用DNS地址.
手动连接用户可在需要上网时手动点击按钮连入互联网,适合按小时计费的拨号连接上网方式.
自动连接每次接通路由器电源,路由器便自动拨号连入互联网,适合不限时间的包月计费拨号连接上网方式.
上行带宽设置当前WAN接口数据流出的带宽大小.
下行带宽设置当前WAN接口数据流入的带宽大小.
L2TP状态连接状态显示当前WAN口L2TP拨号连接状态.
"未启用"表示当前已选择L2TP拨号连接方式但未保存生效;"正在连接"表示当前路由器正在向ISP获取IP参数;"已连接"表示路由器已成功获取IP参数;"未连接"表示路由器已发起请求,但未得到响应,请检查用户名密码是否正确、连接线路是否正常,若问题无法解决,请与ISP联系.
IP地址显示通过PPPoE拨号后获取到的IP地址.
-26-首选DNS服务器显示DNS地址.
备用DNS服务器显示备用DNS地址.
5)PPTP连接若使用PPTP虚拟专用拨号接入网络,ISP会提供上网帐号及密码,请选择PPTP连接方式进行设置.

图4-14WAN口设置界面-PPTP界面项说明:-27-PPTP设置连接方式选择PPTP.
点击开始拨号并获取IP参数,点击则取消与互联网的连接同时释放已获取的IP参数.
帐号PPTP拨号的用户名,由ISP提供.
密码PPTP拨号的密码,由ISP提供.
服务器IPPPTP拨号的服务器的IP地址,由ISP提供.
MTUMTU(MaximumTransmissionUnit,最大传输单元),可以设置数据包的最大长度.
取值范围是576-1460之间的整数,默认值为1460.
若ISP未提供MTU值,请保持默认值不变.
静态/动态选择静态或动态获取IP地址.
若选择静态方式,则需要手动设置IP地址;若选择动态,则外部的DHCP服务器将动态分配一个IP地址.
IP地址若选择静态,设置路由器WAN口的IP地址;若选择动态,显示路由器WAN口获取到的IP地址.
子网掩码若选择静态,设置路由器WAN口的子网掩码;若选择动态,显示路由器WAN口获取到的子网掩码.
网关地址若选择静态,设置网关地址;若选择动态,显示获取到的网关地址.
首选DNS服务器若选择静态,设置DNS(DomainNameServer,域名解析服务器)地址,一般由ISP提供,如果留空,则无法通过域名访问互联网;若选择动态,显示分配到的DNS地址.
备用DNS服务器若选择静态,设置备用DNS地址,一般由ISP提供,允许留空;若选择动态,显示分配到的备用DNS地址.
手动连接用户可在需要上网时手动点击按钮进行连接.
自动连接每次接通路由器电源,路由器便会进行自动拨号.
上行带宽设置当前WAN接口数据流出的带宽大小.
下行带宽设置当前WAN接口数据流入的带宽大小.
PPTP状态连接状态显示当前WAN口PPTP拨号连接状态.
"未启用"表示当前已选择PPTP拨号连接方式但未保存生效;"正在连接"表示当前路由器正在向ISP获取IP参数;-28-"已连接"表示路由器已成功获取IP参数;"未连接"表示已手动断开连接,或路由器已发起请求,但未得到响应,请检查用户名密码是否正确、连接线路是否正常,若问题无法解决,请与ISP联系.

IP地址显示通过PPTP拨号后获取到的IP地址.
首选DNS服务器显示DNS地址.
备用DNS服务器显示备用DNS地址.
4.
3.
3LAN设置4.
3.
3.
1LAN口设置在此设置TL-ER5520G路由器LAN口的IP参数.
界面进入方法:接口设置>>LAN设置>>LAN口设置图4-15LAN口设置界面界面项说明:LAN口设置IP地址设置路由器LAN口的IP地址,默认值为192.
168.
1.
1,可根据实际网络情况修改此值.
局域网内部可通过该地址访问路由器.
子网掩码设置路由器LAN口的子网掩码,默认为255.
255.
255.
0,可根据实际网络情况修改此值.
注意:若LAN口IP地址有修改,必须在保存配置后使用新的LAN口地址登录路由器Web管理界面.
并且,局域网内所有计算机网关地址、子网掩码必须与修改后的LAN口设置保持一致,才能正常通信.

4.
3.
3.
2DHCP服务DHCP(DynamicHostConfigurationProtocol,动态主机配置协议).
路由器具有DHCP服务功能,能够为所有接入TL-ER5520G并且应用DHCP服务的网络设备自动分配IP参数.
界面进入方法:接口设置>>LAN设置>>DHCP服务-29-图4-16DHCP服务设置界面界面项说明:配置参数DHCP服务器选择开启或关闭DHCP服务.
若希望路由器自动为计算机配置TCP/IP参数,请选择"启用".
地址池起始地址设置DHCP服务器自动分配IP地址的起始地址,该地址必须与LAN口IP地址设置在同一网段,默认值为192.
168.
1.
100.
地址池结束地址设置DHCP服务器自动分配IP地址的结束地址,该地址必须与LAN口IP地址设置在同一网段,默认值为192.
168.
1.
199.
地址租期设置DHCP分配地址有效时间,超时将重新分配.
网关地址设置DHCP分配给客户端的网关地址,推荐设置为LAN口IP地址.
缺省域名设置本地网域名,允许留空.
首选DNS服务器设置DNS地址,推荐设为路由器LAN口IP地址,允许留空.
备用DNS服务器设置备用DNS地址,允许留空.
4.
3.
3.
3客户端列表客户端列表显示已由DHCP分配IP参数的主机信息.
界面进入方法:接口设置>>LAN设置>>客户端列表-30-图4-17客户端列表界面可通过客户端列表查询DHCP客户端信息.
如要获得最新DHCP服务分配的客户端信息,请点击按钮.

4.
3.
3.
4静态地址分配可根据接入设备的MAC地址手动分配IP地址.
当对应的客户端设备请求DHCP服务器分配IP地址时,DHCP服务器将自动为其分配指定的IP地址.
界面进入方法:接口设置>>LAN设置>>静态地址分配图4-18静态地址分配设置界面界面项说明:静态地址MAC地址设置待分配IP地址的客户端的MAC地址.
IP地址指定当前MAC地址所对应的客户端的IP地址.
备注添加对本条目的说明信息.
是否生效选择当前设置规则是否生效.
-31-地址列表在静态地址列表中,可以对已保存的静态IP地址分配规则进行相应操作.

图4-18序号1规则的含义:MAC地址为00-19-66-83-53-CF的客户端,指定其IP地址为192.
168.
1.
101,该规则未生效.
注意:为了避免冲突,建议先进行IPMAC绑定,具体操作请参考4.
5.
1ARP防护,然后点击图4-18静态地址分配设置界面中的按钮,直接获取IPMAC绑定列表中的静态地址条目.
4.
3.
4DMZ设置DMZ(DemilitarizedZone,非军事区域)也称隔离区.
TL-ER5520G提供一个物理DMZ接口,允许所有接入此端口的本地主机暴露在广域网中,进行一些特别的网络应用服务,如各种共享服务器、视频会议等.
DMZ物理接口可以工作在两种模式下,广域网模式或局域网模式.
广域网模式中,DMZ区域直接以路由模式与广域网之间通信.
此时DMZ区域与广域网区域一样使用公有地址,不能主动访问局域网.
图4-19DMZ口于广域网模式局域网模式中,DMZ区域访问广域网区域时需要经过NAT进行地址转换.
此时DMZ区域可以使用与局域网区域不同网段的私有地址,并且可以主动向局域网区域发起访问连接.

-32-图4-20DMZ口于局域网模式4.
3.
4.
1DMZ口设置在此控制TL-ER5520G的DMZ口是否启用,并设置其IP参数.
界面进入方法:接口设置>>DMZ设置>>DMZ口设置图4-21DMZ口设置界面界面项说明:DMZ口设置DMZ口状态设置是否启用DMZ口.
在不启用的状态下,DMZ口功能与LAN口功能相同.
接口模式通过选择接口模式,可以控制DMZ区域与广域网、局域网之间的连接方式.
IP地址设置DMZ口的IP地址.
子网掩码设置DMZ口的子网掩码.
说明:DMZ口开启后将具有DHCP服务、客户端列表及静态地址分配功能设置,具体设置请参考第4.
3.
3.
2至4.
3.
3.
4小节.

-33-注意:当DMZ口开启并处于广域网模式时,若ISP为DMZ口提供的是单一广域网IP地址,请勿开启DMZ口的DHCP服务,否则DMZ区域内的主机分配到的地址不能正常访问广域网.
若ISP提供的是地址段,请按照地址段范围设置DHCP地址池.
4.
3.
5MAC设置路由器MAC地址是它在网络中的身份标志,一般来说无需更改.
LAN口MAC设置:在一个所有设备都进行了ARP绑定的复杂拓扑中,如果其中一个网络节点的路由器更换为TL-ER5520G,为避免该节点下面接入的所有网络设备都更新ARP绑定表,直接将TL-ER5520G的LAN口MAC地址设置为原路由器的MAC地址即可.
WAN口MAC设置:有些ISP要求上网帐号与拨号设备的MAC绑定,若此时拨号设备更换为TL-ER5520G,只需将路由器WAN口的MAC地址设置为原拨号设备的MAC地址即可.
DMZ口MAC设置:DMZ口的MAC应用方式与LAN口类似.
界面进入方法:接口设置>>MAC设置>>MAC设置图4-22MAC设置界面界面项说明:MAC设置接口显示当前路由器各接口.
当前MAC地址显示当前各接口的MAC地址.
-34-设置如需恢复初始状态,请点击按钮.
如需将当前MAC地址设置为管理主机MAC地址,即当前登录路由器进行配置管理的主机MAC地址,请点击按钮;该条目不出现在LAN口和DMZ口设置栏.
注意:为了防止局域网内MAC地址冲突,路由器LAN口的MAC地址不能设置成当前管理主机的MAC地址.

4.
4转发规则路由器通过NAT(NetworkAddressTranslation,网络地址转换)技术,可以在局域网主机主动发起对广域网的访问时实现双方的互相通信.
其原理是:当通信数据包经过NAT网关时,NAT技术会将数据包中的IP地址在局域网地址与广域网地址间转换,同时也进行端口号的转换.

如今随着计算机的普及,广域网IP地址已经供不应求,通过NAT技术,局域网内所有主机在通信时可以使用一个广域网IP地址,而局域网内不同的主机使用不同的端口号,解决了IP地址紧缺的问题.

在应用了NAT及其扩展技术的网络环境中,局域网主机是不会直接被广域网主机发现的,因此NAT也为局域网提供了一定的网络安全保障,当有广域网主机需要主动访问局域网主机时,就必须通过转发规则来实现.
4.
4.
1NAT映射NAT映射,可以将特定的局域网IP地址与指定的广域网IP地址唯一对应,多用于局域网内的服务器搭建.
可在此设置NAT的端口范围和NAT映射关系.
界面进入方法:转发规则>>NAT映射-35-图4-23NAT映射设置界面界面项说明:NAT服务设置源端口范围设置作为NAT源端口的端口范围,范围跨度必须大于或等于100.
可设置范围为2049-65000.
NAT映射映射地址设置局域网IP地址和广域网IP地址的一对一映射.
第一个输入框中应填写局域网IP地址,第二个输入框中应填写广域网IP地址.
TL-ER5520G只允许LAN口到WAN口的映射.
出接口设定数据包发送出去的接口.
DMZ转发勾选开启选项,DMZ转发功能生效.
可以将发送到映射后地址的报文全部转发到映射前地址的主机.
备注添加对本条目的说明信息.
启用/禁用规则设置该条NAT映射条目是否生效.
映射列表在映射表中,可以对已保存的NAT映射条目进行相应设置.
图4-23序号1条目的含义:局域网主机host1的IP地址为192.
168.
1.
101,指定经NAT映射后的广域网IP地址为222.
135.
48.
52,数据包从WAN1口发送出去,映射设置已启用.
当host1与广域网通信-36-注意:NAT映射只适用于WAN口使用静态IP连接方式的场合.
若WAN口连接方式从静态IP切换为动态IP、PPPoE、L2TP、PPTP,以前设置的NAT映射都将失效,直接在动态IP、PPPoE、L2TP、PPTP连接状态下设置的NAT映射也都不起作用.
4.
4.
2多网段NAT多网段NAT,可以支持LAN或者DMZ接口下多个网段的IP通过NAT转换访问广域网.

界面进入方法:转发规则>>多网段NAT图4-24多网段NAT设置界面界面项说明:多网段NAT规则网段地址设置需要进行NAT转换的网段地址,以子网掩码值划分地址范围.
接口在下拉列表中选择网段所在的接口,可选择LAN或者DMZ.
启用/禁用规则设置该条多网段NAT规则是否生效.
备注添加对本条规则的说明信息.
规则列表在规则列表中,可以对已保存的多网段NAT规则进行相应设置.
-37-图4-24序号1规则的含义:这是一条名为tplink1的多网段NAT规则,路由器LAN口下的网段为220.
181.
6.
0/24,本条规则已启用.
在进行相应的静态路由规则设置后,该网段将可以通过本路由器进行NAT转换之后访问广域网.
注意:多网段NAT功能需要同时配置静态路由才能生效.
只有当DMZ口开启时,DMZ选项才在接口的下拉菜单中显示.
如果要指定所有IP,其地址范围是"0.
0.
0.
0/32".
子网掩码值的相关设置请参考附录A常见问题中的问题5.
应用举例某网吧的网络结构如下:TL-ER5520G的LAN网段为192.
168.
1.
0/24,三层交换机下VLAN2网段为192.
168.
2.
0/24,VLAN3网段为192.
168.
3.
0/24,三层交换机与TL-ER5520G的LAN口级联VLANIP为192.
168.
1.
2.
现要实现VLAN2和VLAN3网段可以访问互联网.
可以通过如下设置来实现:-38-1.
首先设置多网段NAT规则,分别添加VLAN2与VLAN3的网段地址.
设置完成后的规则如下:2.
然后设置相应的静态路由规则,指定下一跳为网段地址所属三层交换机与本路由器LAN口直接相连的接口IP.
界面进入方法:路由设置>>静态路由设置完成后的静态路由如下:4.
4.
3虚拟服务器在路由器默认设置下,广域网中的主机不能直接与局域网主机进行通信.
为了方便广域网的合法用户访问本地主机,又要保护局域网内部不受侵袭,路由器提供了虚拟服务器功能.

-39-可以通过虚拟服务器定义一个服务端口,并以IP地址指定其对应的局域网服务器,则广域网所有对此端口的服务请求都将被重定位到该服务器上.
这样广域网的用户便能成功访问局域网中的服务器,同时不影响局域网内部的网络安全.
界面进入方法:转发规则>>虚拟服务器图4-25虚拟服务器设置界面界面项说明:NATDMZ服务NATDMZ服务设置是否启用NATDMZ服务.
NATDMZ是NAT应用的一种特殊服务,相当于一条默认的转发规则.
若主机开启了NATDMZ服务,路由器会将所有由广域网发起的、不符合所有现有连接和转发规则的数据全部转发至指定的主机.
主机地址指定作为NATDMZ服务器的主机IP地址.
虚拟服务服务名称用户自定义,标识一条虚拟服务器规则.
名称长度需在28个字符以内,中英文均可,一个中文占用2个字符空间.
外部端口为本条虚拟服务器规则指定路由器提供给广域网的服务端口或端口范围,广域网对该端口或端口范围的访问都将被重定位到局域网中指定的服务器.
-40-内部端口指定局域网内虚拟服务器主机的实际服务端口或端口范围.
服务协议指定应用本条虚拟服务器规则的数据包协议类型.
内部服务器IP为本条虚拟服务器规则指定局域网服务器的IP地址.
外网对局域网指定端口的访问都将发送到该主机.
启用/禁用规则设置是否应用本条虚拟服务器规则.
注意:外部端口与内部端口的取值范围均为1-65535之间的任意整数.
不同虚拟服务器规则的外部端口取值不能相同,内部端口取值可相同.
服务列表在服务列表中,可以对已保存的虚拟服务器规则进行相应设置.
图4-25序号1规则的含义:这是一条名为apply1的虚拟服务器规则,由广域网向路由器端口8080发起的TCP数据都将转发到局域网IP地址为192.
168.
1.
102主机的80端口上,本条规则已启用.

应用举例某网吧在局域网内的游戏服务器192.
168.
1.
254上搭建了CS服务器,CS服务器使用的是UDP27015端口,现要实现广域网的玩家能连接到局域网内的这台服务器上联机游戏.

可以通过虚拟服务器实现这个需求.
首先需要添加虚拟服务器规则,将路由器外部端口27015映射到内网CS服务器192.
168.
1.
254的UDP端口27015上,使用的服务协议是UDP协议,设置如下图.
点击按钮保存设置.
设置完成后,广域网的玩家就可以连接到网吧局域网内的CS服务器进行游戏了.

4.
4.
4端口触发由于防火墙的存在,一些如网络游戏、视频会议、网络电话、P2P下载等应用程序需要通过设置转发规则才能正常工作,而这些应用程序又要求多个端口连接,针对单一端口的虚拟服务器功能已不能满足需求,此时就需要使用端口触发功能.
-41-当一个应用程序向触发端口发起连接时,对应开放端口中的所有端口就会打开,以备后续连接.

界面进入方法:转发规则>>端口触发图4-26端口触发设置界面界面项说明:端口触发服务名称用户自定义,标识一条端口触发规则.
名称长度需在28个字符以内,中英文均可,一个中文占用2个字符空间.
触发端口应用程序首先发起连接的端口.
只有该端口发起连接时,对应开放端口中的所有端口才可以开放,并为应用程序提供服务,否则开放端口中的所有端口是不会开放的.
触发协议设定在触发端口上使用的数据包协议类型.
开放端口为应用程序提供服务的一个或多个端口.
当触发端口上发起连接后,开放端口打开,之后应用程序便可以通过这些开放端口发起后续连接.
开放协议设定在开放端口上使用的数据包协议类型.
启用/禁用规则设置是否应用本条端口触发规则.
-42-注意:触发端口与开放端口的取值范围均为1-65535之间的任意整数.
开放端口取值可以指定一个连续的范围,如8690-8696.
路由器支持32条端口触发规则,每条规则最多支持5组开放端口,每条规则的开放端口数总和需小于或等于100.
触发列表在触发列表中,可以对已保存的端口规则进行相应设置.
图4-26序号1规则的含义:这是一条名为apply1的端口触发服务规则,当局域网内发起端口为5354的TCP访问时,对TCP和UDP协议开放5355-5358端口.
4.
4.
5ALG服务ALG(ApplicationLayerGateway,应用层网关).
为了保证一些应用程序的正常使用,请开启ALG服务.
界面进入方法:转发规则>>ALG服务图4-27ALG服务设置界面界面项说明:ALG服务FTPALG服务选择启用或禁用FTPALG服务,默认为启用,如无特殊需求请保持默认配置不变.
H.
323ALG服务选择启用或禁用H.
323ALG服务,默认为启用,如无特殊需求请保持默认配置不变.
H.
323多媒体协议多用于视频会议、IP电话等场合.
SIPALG服务选择启用或禁用SIPALG服务,默认为启用,如无特殊需求请保持默认配置不变.
-43-IPsecALG服务选择启用或禁用IPsecALG服务,默认为启用,如无特殊需求请保持默认配置不变.
PPTPALG服务选择启用或禁用PPTPALG服务,默认为启用,如无特殊需求请保持默认配置不变.
4.
5安全策略安全策略主要用于防御当今互联网环境中多种类型的攻击,并消除潜在的安全隐患.

4.
5.
1ARP防护一台主机向局域网内另一台主机发送IP数据包,此时设备需要通过MAC地址确定目的接口才能进行通信,而IP数据包中不包含有MAC地址信息,因此需要将IP地址解析为MAC地址.
ARP(AddressResolutionProtocol,地址解析协议)正是用来实现这一目的的网络协议.
网络中的所有设备,包括路由器和计算机在内,都各自维护一份ARP列表,该列表建立了主机IP地址和MAC地址一一对应关系.
按照ARP协议的设计,主机也会接收不是自己主动请求的ARP应答,并将应答的IP地址和MAC地址添加到ARP表中.
每次通信时会先通过该列表查找对应地址,减少网络上过多的ARP通信量,但同时也为"ARP欺骗"创造了条件.
ARP欺骗是局域网的攻击主机发送ARP欺骗包,将伪造的IP与MAC对应关系替换设备ARP列表中的记录,就会导致局域网内计算机不能正常上网.
这类ARP攻击严重影响了局域网内部通信,由此便产生了ARP防护技术.
4.
5.
1.
1IPMAC绑定IPMAC绑定是一种防护技术,能够防止ARP列表被伪造的IPMAC对应信息替换.
界面进入方法:安全策略>>ARP防护>>IPMAC绑定-44-图4-28IPMAC绑定设置界面界面项说明:功能设置推荐勾选所有项目,以便最大程度地防范ARP攻击.
在勾选"仅允许IPMAC绑定的数据包通过路由器"选项前,请先将管理主机的IPMAC信息导入绑定列表中,并设置生效.
当路由器受到ARP攻击时,路由器会将自身正确的ARP列表信息以GARP(GratuitousARP,免费ARP)包的方式主动发送给被攻击的设备,从而替换该设备错误的ARP列表信息.
可在发包间隔处指定发包速率.
勾选"启用ARP日志记录"后路由器会将ARP日志发送到指定的日志服务器中.
日志服务器即4.
1.
3日志中设置的服务器地址.
IPMAC绑定IP地址手动输入需要进行绑定的IP地址.
MAC地址手动输入与IP地址正确对应的MAC地址.
备注添加对本条目的说明信息.
是否生效设定当前绑定条目是否生效.
绑定列表在绑定列表中,可以对已保存的ARP绑定条目进行相应设置.
-45-图4-28序号1条目的含义:目前路由器已将IP地址192.
168.
1.
101与MAC地址00-19-66-83-53-CF进行绑定,该绑定规则已生效.
注意:若当前绑定列表中所有条目都未生效,在勾选"仅允许IPMAC绑定数据包通过路由器"的功能设置选项并保存后,将无法登录路由器Web管理界面,此时必须将路由器恢复出厂配置才能再次登录.

4.
5.
1.
2ARP扫描ARP扫描界面可以将指定范围内的IP与其对应MAC地址全部扫描出来,在扫描列表中显示.

界面进入方法:安全策略>>ARP防护>>ARP扫描图4-29ARP扫描界面在扫描范围填入起始IP与结束IP后,点击按钮,路由器将扫描该范围内所有正在工作的主机,并将它们对应的IPMAC地址信息显示在扫描列表中.
扫描结果中显示的IPMAC地址对应信息条目并不代表已经被绑定,在"状态"一列中会标识当前状态:符号"---"表示当前条目未被绑定,可能会被错误的ARP信息更替掉;图片表示当前条目已导入"IPMAC绑定"界面的绑定列表中,但还未绑定生效;图片表示当前条目已进行绑定,可以防御ARP攻击.
若现在需要绑定扫描列表中未绑定的条目,可以在"选择"一列勾选这些条目,然后点击按钮,在与已绑定条目不冲突的情况下,导入后绑定立即生效.

注意:若局域网内已经存在ARP攻击导致部分主机通信异常,则不可通过扫描方式添加绑定,请在"IPMAC绑定"界面进行手动绑定.
-46-4.
5.
1.
3ARP列表路由器会将曾经与其通信过的主机IPMAC对应信息保存在ARP列表中.
界面进入方法:安全策略>>ARP防护>>ARP列表图4-30ARP列表界面ARP列表条目的操作可参考4.
5.
1.
2ARP扫描的扫描列表.
列表中未绑定的条目并不是一直存在,除了会被新的IPMAC对应信息更替之外,还会由于长时间未通信而自动从列表中删除,这个时间段就是ARP信息的老化时间.
4.
5.
2访问控制访问控制是一种针对IP地址和端口的过滤方式,合理设置访问控制可以消除潜在的安全隐患.

4.
5.
2.
1访问规则界面进入方法:安全策略>>访问控制>>访问规则图4-31访问规则设置界面界面项说明:-47-访问规则策略类型在下拉列表中选择适用于本条规则的策略类型,可选择阻塞或者允许.
若选择阻塞,则符合该条规则的所有数据包将无法通过路由器;若选择允许,则符合该条规则的数据包能通过路由器.
服务类型在下拉列表中选择本条规则所针对的服务类型,不属于指定范围内的服务将不会应用过滤规则.
例如在策略为阻塞的前提下,只选定了FTP一种服务类型时,其他服务类型的数据包仍旧可以通过路由器.
如果列表中没有合适的服务类型,可以参见4.
5.
2.
2服务类型进行添加,可通过下拉列表旁边的按钮快速进入设置界面.
生效接口域在下拉列表中选择本条规则所针对的接口域,可选择WAN或者LAN或者DMZ.
选择WAN(或者LAN或者DMZ)时表示所有WAN(或者LAN或者DMZ)接口.
当接收报文的接口为指定接口域时,该规则生效.

源地址范围输入需要管理的地址,以子网掩码值划分地址范围.
目的地址范围输入需要限制访问的地址,以子网掩码值划分地址范围.
规则生效时间表指定规则生效时间,其他时间规则不生效.
时间以24小时制进行设定,精确到分钟,下方可勾选生效的日期,以一周为单位.
备注添加对本条规则的说明信息.
指定位置勾选该项后,可以将当前设置的条目添加到访问规则列表中指定序号的位置.
默认情况下,规则新增生效后会显示在访问规则列表的最后.
规则列表在规则列表中,可以对已保存的访问规则进行相应设置.
在规则列表中,序号数字越小的规则,执行的优先级越高.
图4-31序号1规则的含义:192.
168.
1.
0/24网段的主机在一周中的每天08:00-20:00时间范围内向广域网116.
10.
1.
0/24网段发送的ICMP服务数据包将无法通过路由器.
说明局域网内没有设置规则的IP段,默认的策略类型是允许.
如果要指定所有IP,其地址范围是"0.
0.
0.
0/32".
子网掩码值的相关设置请参考附录A常见问题中的问题5.
-48-4.
5.
2.
2服务类型为了能够在定制防火墙策略时比较方便地指定需要过滤的协议和端口号,设备提供了服务类型管理功能.
每一个服务类型由协议类型和端口范围两部分构成.
系统已经预定义了如HTTP、FTP、TELNET等常用服务类型,也可以根据需要添加自定义服务类型.
界面进入方法:安全策略>>访问控制>>服务类型图4-32服务类型设置界面界面项说明:服务类型服务名称用户自定义,标识一条服务类型.
名称长度需在28个字符以内,中英文均可,一个中文占用2个字符空间.
该名称将显示在"访问规则"设置的服务类型下拉列表中.
协议类型设置协议类型,可供用户定义的协议类型有TCP、UDP、TCP/UDP.
目的端口范围设定该服务所使用的端口号范围.
起始端口号不能大于结束端口号.
服务列表在服务列表中,可以对自定义的服务类型条目进行相应设置.
-49-注意:系统预定义的服务类型不可进行配置操作.
应用举例需求:某网吧为使网络顺畅运行,希望实现在上网高峰期(每天上午10点到晚上24点)禁止某下载工具(端口6322-6325)的使用,而在其它时间不限制该下载工具的使用.
此需求依旧可以通过设置访问规则来实现.
首先,同样需要新增一个服务类型,设置6322-6325为服务端口,设置完成后点击按钮保存生效.
选择刚设置的"禁止下载"服务类型,新增一条禁止局域网通过6322-6325端口访问广域网的访问规则.
最后点击按钮保存生效,完成设置.
4.
5.
3攻击防护攻击防护可防止广域网对路由器或局域网内计算机进行端口扫描和恶意攻击,以此来保证它们的安全运行.
界面进入方法:安全策略>>攻击防护>>攻击防护-50-图4-33攻击防护设置界面界面项说明:功能设置启用防护攻击日志勾选此项后路由器会记录相关的防护日志.
防DoS类攻击DoS(DenialofService,拒绝服务)是一种利用发送大量的请求服务占用过多的资源,让目的路由器和服务器忙于应答请求或等待不存在的连接回复,而使正常的用户请求无法得到响应的攻击方式.
常使用的DoS攻击为洪水攻击,包括TCPSYN,UDP,ICMP等.
推荐勾选界面上所有防DoS攻击选项.
防扫描类攻击扫描一般是发起攻击的第一步,攻击者可以利用各种扫描手段来获取目标网络的主机信息及端口开放情况,便于发起下一步攻击.
推荐勾选界面上所有防扫描类攻击选项.
-51-防可疑包类可疑包即非正常数据包,有可能是病毒或攻击者的试探.
推荐勾选界面上所有防可疑包选项.
4.
5.
4接入过滤接入过滤是针对MAC地址和URL地址的过滤方式,与其他安全策略共同配合,保护局域网安全.

4.
5.
4.
1MAC过滤在此可以通过指定MAC地址对部分局域网主机进行过滤.
界面进入方法:安全策略>>接入过滤>>MAC过滤图4-34MAC过滤设置界面界面项说明:功能设置若需要严格控制局域网内某些计算机访问广域网,推荐勾选"启用MAC地址过滤功能",并根据实际情况选择一种过滤规则.
MAC地址过滤规则MAC地址输入需要控制的局域网主机MAC地址.
备注添加对本条规则的说明信息.
规则列表在规则列表中,可以对已保存的MAC地址条目进行相应设置.
-52-4.
5.
4.
2URL过滤URL(UniformResourceLocator,统一资源定位符),即广域网中标识资源位置的网络地址.
URL过滤能够实现对广域网网址的过滤,方便对局域网访问广域网的通信进行管理.

界面进入方法:安全策略>>接入过滤>>URL过滤图4-35URL过滤设置界面界面项说明:功能设置若需要严格控制局域网对广域网的访问,推荐勾选"启用URL地址过滤功能",并根据实际情况选择一种过滤规则.
URL地址过滤规则URL地址输入指定的关键字字符,或完整的广域网URL地址.
备注添加对本条规则的说明信息.
过滤方式选择一种过滤方式.
"关键字"过滤即所有包含指定字符的URL地址全都进行过滤;"完整URL"过滤则仅当URL地址完全匹配您输入的完整URL地址时才能进行过滤.
规则列表在规则列表中,可以对已保存的URL地址条目进行相应设置.
-53-应用举例某网吧希望禁止局域网内的主机访问网站:www.
aabbcc.
com,同时还禁止下载".
exe"后缀的文件.
可以通过设置URL过滤实现此需求.
您需要设置完整URL过滤"www.
aabbcc.
com",以及关键字过滤".
exe",如下图,设置完成后点击按钮保存生效.
4.
6传输控制传输控制功能主要对带宽和连接数进行控制,以保证网络通信质量.
4.
6.
1带宽控制带宽控制功能通过对各种数据流设置相应的限制规则,实现对数据传输的带宽控制,从而使有限的带宽资源得到合理分配,达到有效利用现有带宽的目的.
4.
6.
1.
1综合设置可以在此限定各接口间互相发送数据包的最大带宽及预留带宽.
界面进入方法:传输控制>>带宽控制>>综合设置-54-图4-36综合设置界面界面项说明:功能设置不启用带宽控制勾选此项时,所有带宽控制设置均不生效.
启用普通带宽控制勾选此项以启用普通带宽控制功能.
启用智能带宽控制勾选此项以启用智能带宽控制功能.
当带宽利用率达到指定的值时,带宽控制功能生效.
各接口带宽接口显示路由器当前已启用的WAN口,以及总WAN口.
总WAN口的带宽为已启用接口带宽之和.
上行带宽设置对应WAN口数据流出的带宽上限,如需调整,请至WAN1设置页面修改相应WAN口参数.
下行带宽设置对应WAN口数据流入的带宽上限,如需调整,请至WAN1设置页面修改相应WAN口参数.
-55-默认规则带宽数据流向"上行"表示由局域网发送数据到广域网,如局域网内计算机向广域网上的FTP服务器上传文件;"下行"表示由广域网发送数据到局域网,如局域网内计算机从广域网上的FTP服务器下载文件.
最小保证带宽设置对应数据流向的带宽下限.
最大限制带宽设置对应数据流向的带宽上限.
说明:WAN口的出入带宽必须小于或者等于ISP提供的参数.
如果超过实际物理带宽,则带宽控制功能失效.
若有数据由A接口流入路由器后由B接口流出,而A接口入口带宽与B接口出口带宽不同时,以两者带宽的最小值为有效带宽.
4.
6.
1.
2带宽控制规则可以在此设置带宽控制规则的参数.
界面进入方法:传输控制>>带宽控制>>带宽控制规则图4-37带宽控制规则设置界面界面项说明:带宽控制规则数据流向选择控制规则的数据流向.
箭头方向代表数据流向和受控主机所在的域.
补充说明:只有当DMZ口开启时,DMZ口选项才在下拉菜单中显示.
受控地址范围设置受控数据包发出的源地址范围.
-56-带宽模式独立模式即受控地址范围内每一个IP地址都将应用当前规则所设置的带宽限制;共享模式即受控地址范围内所有IP地址带宽总和为当前规则所设置的带宽限制.
上行最小保证带宽设置上行最小保证带宽,即在物理带宽不足的前提下,上行数据流至少能够享有的最小带宽.
上行最大限制带宽设置上行最大限制带宽,即上行数据流所能享有的最大带宽下行最小保证带宽设置下行最小保证带宽,即在物理带宽不足的前提下,下行数据流至少能够享有的最小带宽.
下行最大限制带宽设置下行最大限制带宽,即下行数据流所能享有的最大带宽规则生效时间表设置规则的生效时间.
备注添加对本条规则的说明信息.
启用/禁用规则选择启用或禁用本条带宽控制规则.
规则列表在规则列表中,可以对已保存的带宽控制规则进行相应设置.
图4-37序号1规则的含义:与LAN口连接的IP地址为192.
168.
1.
2-192.
168.
1.
254范围的主机在WAN1口上共享带宽,保证上行的最小带宽为10000Kbps,最大带宽为50000Kbps;下行的最小带宽为100000Kbps,最大带宽为500000Kbps.
说明:单条规则生效的前提是:这条带宽控制规则所属接口的物理带宽足够大,且尚未被用尽.

异常情况:各带宽控制规则的最小保证带宽之和大于总物理带宽.
当某接口所有带宽控制规则的最小保证带宽之和大于此接口的物理带宽时,意味着无论如何都无法同时满足所有带宽控制规则的最小保证带宽.
在DMZ口关闭状态下,不提供与DMZ口相关规则的新增、修改、启用或禁用操作,仅提供对该规则的删除操作.
4.
6.
1.
3游戏加速游戏加速可优化游戏的速度体验,提高路由器通信即时、高效的特性.
界面进入方法:传输控制>>带宽控制>>游戏加速-57-图4-38游戏加速设置界面界面项说明:功能设置启用游戏加速勾选此项以启用游戏加速.
不勾选时,设置不生效.
保证带宽设置百分比数值,保证带宽将以数据流向上最小带宽的百分比生效.
4.
6.
2连接数限制作为局域网的统一出口,路由器支持的TCP和UDP连接数是有限的,如果局域网内有部分主机向广域网发起的TCP和UDP数目过多,影响局域网其他计算机的通信质量,就有必要对这部分计算机进行连接数限制.
4.
6.
2.
1连接数限制规则可以在此对指定IP的计算机连接数限制进行设置.
界面进入方法:传输控制>>连接数限制>>连接数限制规则图4-39连接数限制规则设置界面-58-界面项说明:功能设置启用连接数限制勾选此项以启用连接数控制.
不勾选时,所有连接数限制均不生效.
连接数限制规则IP地址段设置需要进行连接数限制的主机的IP地址段.
最大连接数为本条规则设置相应的最大连接数.
备注添加对本条规则的说明信息.
启用/禁用规则选择启用或禁用本条规则.
规则列表在规则列表中,可以对已保存的连接数限制规则进行相应设置.
图4-39序号1规则的含义:IP地址为192.
168.
1.
101的主机向广域网发起的最大连接数被限制为100条,该条规则已启用.
4.
6.
2.
2连接数监控监控列表显示局域网主机的连接数限制情况.
界面进入方法:传输控制>>连接数限制>>连接数监控图4-40连接数监控界面可通过监控列表搜索、查询局域网主机的连接数限制情况.
如需获取最新局域网主机的连接数限制情况,请点击按钮.
可通过监控列表搜索、查询局域网主机的连接数限制情况.
如需获取最新局域网主机的连接数限制情况,请点击按钮.
4.
7流量均衡合理设置流量均衡,可以使路由器在多WAN口模式下更安全、有效地收发数据.

-59-4.
7.
1综合设置界面进入方法:流量均衡>>综合设置图4-41综合设置界面勾选"启用特殊应用程序选路功能",路由器会将数据包的源IP地址与目的IP地址作为一个整体,记录其通过的WAN口信息.
后续如果有同一源IP地址和目的IP地址的数据包通过,则优先转发至上次记录的WAN口.
该功能主要用于保证多连接应用程序的正常工作.
勾选"启用智能均衡",并在下方选定WAN口,在没有任何选路规则的情况下,指定WAN口将自动进行流量均衡.
设置完成后点击按钮生效.
注意:在实际应用中,如果某些WAN口没有连接到因特网,那么这些WAN口将不会参与智能均衡,请勿勾选.

4.
7.
2策略选路在此可以通过指定协议、地址范围、端口、WAN口、生效时间,更精确地控制路由选路.

界面进入方法:流量均衡>>策略选路图4-42策略选路设置界面界面项说明:-60-选路规则设置协议类型在下拉列表中选择本条规则所针对的协议类型,不属于指定范围内的协议将不会应用选路规则.
如果列表中没有您想指定的协议类型,可以参见4.
7.
5协议类型进行添加,您可通过下拉列表旁边的按钮快速进入设置界面.
源地址范围输入需要应用选路规则的源地址范围.
输入0.
0.
0.
0-0.
0.
0.
0时表示匹配所有IP.
目的地址范围输入需要应用选路规则的目的地址范围.
输入0.
0.
0.
0-0.
0.
0.
0时表示匹配所有IP.
源端口范围输入需要应用选路规则的源端口范围.
只有当协议类型为TCP、UDP、TCP/UDP时可以指定范围,默认为1-65535,表示匹配所有端口.
目的端口范围输入需要应用选路规则的目的端口范围.
只有当协议类型为TCP、UDP、TCP/UDP时可以指定范围,默认为1-65535,表示匹配所有端口.
WAN接口在所列WAN口选项中选择数据流通过的WAN口.
规则生效时间表指定规则生效时间,其他时间规则不生效.
时间以24小时制进行设定,精确到分钟,下方可勾选生效的日期,以一周为单位.
启用/禁用规则选择启用或禁用本条策略选路规则.
规则列表在规则列表中,您可以对已保存的选路规则进行相应设置.
图4-42序号1规则的含义:路由器收到源地址在192.
168.
1.
100-192.
168.
1.
199范围内,且发往目的地址在116.
30.
10.
1-116.
30.
1.
20范围内的数据包,不论端口与协议,全部从WAN1接口进行转发,该规则已启用,永久生效.
4.
7.
3ISP选路通过ISP选路功能,可以将数据包转发至对应的ISP线路上,从而减少数据包在网络中被转发的次数,提高网络性能.
界面进入方法:流量均衡>>ISP选路-61-图4-43ISP选路设置界面界面项说明:选路功能设置勾选"启用ISP地址段选路功能",点击按钮,下方的选路设置才能生效.
导入ISP数据库ISP数据库即各ISP所拥有的IP地址段的数据库,通过匹配数据包目的IP地址与ISP数据库,路由器会将数据包从相应ISP所对应的WAN口转发.
您可以在我司官方网站(http://www.
tp-link.
com.
cn)上下载ISP数据库.
ISP选路设置可选ISP列表系统定义的ISP列表.
选中合适的ISP,点击>>按钮将其移至"已选ISP列表"中,一个WAN口可以选择多个ISP.
如果某WAN口对应的ISP不在可选列表中,则不需要设置该WAN口的ISP选路.
已选ISP列表显示已经选择的ISP.
如果需要删除某个已选ISP,请选中后点击按钮将其移回"可选ISP列表".
选路列表在选路列表中,您可以对已保存的ISP选路进行相应设置.
-62-图4-43序号1规则的含义:WAN1接口对应电信ISP,所有从WAN1转发的数据包将通过电信线路进入广域网.
注意:智能均衡、策略选路、ISP选路三个功能可以同时工作,但当三个功能设置有冲突时,路由器执行的优先顺序为:策略选路>ISP选路>智能均衡.
4.
7.
4线路备份路由器默认所有WAN口都处于自动备份模式,当有WAN口发生故障时,其流量会均衡到其他WAN口上,当故障WAN口恢复后系统会再次均衡所有WAN口的流量.
根据实际需要合理设置线路备份,可以减轻WAN口流量负担,提高网络效率.

界面进入方法:流量均衡>>线路备份图4-44备份配置界面界面项说明:备份配置WAN口列表显示当前路由器所有正在工作的WAN口,可以拖动浅蓝色的WAN口图标,将其添加至下方的主WAN组或备WAN组中,若WAN口图标变为灰色,则表示该WAN口已经存在主备关系.
-63-主备组设置备WAN组中的WAN口将在指定条件下分担主WAN组中WAN口的流量.
主WAN组可以包含一个或多个WAN口,备WAN组只能指定一个WAN口.

备份模式可以选择定时备份或故障备份.
选择定时备份时,下方可进行备份生效时间设置;选择故障备份时,下方可进行故障备份设置.
备份生效时间指定备份生效时间,在生效时间内启动备份WAN口,关闭主WAN口.
时间以24小时制进行设定,精确到分钟,下方可勾选生效的日期,以一周为单位.
如果不勾选星期,则生效时间以一天为单位,若开始时间大于结束时间,则默认时间跨度是从当天到次日.
故障备份指定故障备份条件.
在主WAN口正常工作时备份WAN口不工作,只有当符合故障备份条件时才会启动备份WAN口.
启用/禁用规则选择启用或禁用本条主备配置规则.
主备组列表在主备组列表中,您可以对已保存的主备规则进行相应设置.
图4-44序号1规则的含义:WAN1口与WAN2口为主备关系,当WAN1口发生故障时启用WAN2口,该规则已启用.
注意:主WAN组和备WAN组中不能放置相同的WAN口,且一个WAN口只能置入一个主备组中.

4.
7.
5协议类型为了让您能够在定制选路策略时比较方便地指定应用选路规则的协议,设备提供了协议类型管理功能.
每一个协议类型由协议名称和协议号两部分构成.
系统已经预定义了TCP、UDP、TCP/UDP三种常用协议类型,您也可以根据需要添加自定义协议类型.
界面进入方法:流量均衡>>协议类型-64-图4-45协议类型设置界面界面项说明:协议类型协议名称用户自定义,标识一条协议类型.
该名称将显示在"访问规则"设置的服务类型下拉列表中.
协议号IP数据包中协议字段的内容,取值范围为0-255.
协议列表在协议列表中,您可以对自定义的协议类型条目进行相应设置.
注意:系统预定义的协议类型不可进行配置操作.
4.
8路由设置4.
8.
1静态路由路由,是选择一条最佳路径把数据从源地点传送到目的地点的行为.
静态路由则是由网络管理员手动配置的一种特殊路由,具有简单、高效、可靠等优点.
静态路由不随着网络拓扑的改变而自动变化,多用于网络规模较小,拓扑结构固定的网络中.
当网络的拓扑结构或链路的状态发生变化时,网络管理员需要手动修改路由表中相关的静态路由信息.

界面进入方法:路由设置>>静态路由-65-图4-46静态路由表设置界面界面项说明:静态路由规则目的地址设定数据报包需要到达的目的IP地址.
子网掩码设定目的IP地址的子网掩码.
下一跳指定一个IP地址,路由器下一步会将符合条件的数据包转发到该地址上.
出接口设定数据包发送出去的接口.
备注添加对本条规则的说明信息.
规则列表在规则列表中,可以对已保存的静态路由规则进行相应设置.
序号1规则的含义:如果有数据包从LAN口发往一个IP地址为192.
168.
3.
56,子网掩码为255.
255.
255.
255的设备,则路由器会将数据包转发至下一跳地址192.
168.
3.
1,该路由规则已启用.
-66-应用举例某网吧的网络结构如下:路由器下的LAN1网段为192.
168.
1.
0/24,三层交换机下LAN2网段为192.
168.
2.
0/24,LAN3网段为192.
168.
3.
0/24,三层交换机与路由器的LAN口级联IP为192.
168.
1.
2.
现要实现LAN1网段的主机访问LAN2/LAN3网段的主机.
可以通过在路由器上设置静态路由来实现.
在路由器静态路由界面设置到LAN2网段的下一跳地址为三层交换机的级联口IP地址192.
168.
1.
2,如下图所示.
最后点击按钮保存规则.
以同样的方式可以添加到LAN3网段的静态路由.
-67-设置完成后的静态路由如下:4.
8.
2RIP服务RIP(RoutingInformationProtocol,路由信息协议),是一种采用距离向量算法选择最优路径的动态路由协议,因其易于配置、管理和实现,被广泛应用于如校园网等中小规模的网络中.

RIP的距离是数据包发往目的站点需经过的路由跳数,取值为1-15,超过15则是无穷大,表示目的地无法到达.
最优路径即所经跳数最少的网络链路.
RIP每隔30秒通过UDP报文以广播形式交换一次路由信息.
如果某一路由在180秒内未发送路由信息,则其他路由上的RIP协议就会将到该路由的距离设定成无穷大,并删除路由表中相关信息.
RIP协议在应用中不断地被完善,从最初的RIPv1版本基础上逐渐发展出了RIPv2版本的协议.
RIPv2相较RIPv1还支持VLSM(VariableLengthSubnetMask,可变长子网掩码)、简单明文认证、MD5密文认证、CIDR(ClasslessInter-DomainRouting,无类型域间选路)和多播,相对于RIPv1应用更加灵活.
TL-ER5520G同时支持RIPv1和RIPv2两种版本的协议,可以根据实际的网络需求设置,以提高网络性能.
界面进入方法:路由设置>>RIP服务图4-47RIP服务设置界面界面项说明:RIP服务设置接口显示目前路由器所有存在物理连接或是已经分配静态IP的接口.
-68-接口状态选择是否启用RIP协议.
输出版本选择是以何种形式向外发送路由信息.
其中RIPv2支持多播和广播两种形式.
密码认证如果应用RIPv2,可以根据实际网络情况设置密码认证,认证密码不超过15位.
所有接口在此可以对所有接口进行批量操作.
接口状态增加"禁用"一项,选择后所有接口都不应用RIP协议.
RIP路由表启用RIP协议后,路由器收到数据包后经RIP协议转发的信息将会显示在列表中.

图4-47序号1条目的含义:当收到目的地址在116.
20.
10.
0/24网段的数据包时,路由器将选择与目的地址同网段的WAN1口作为下一跳,并转发数据,此时下一跳IP地址为116.
20.
10.
116.
.
数据包经过的跳数为1,该条目的生存时间为0秒,表示永久生效.
注意:当系统模式为NAT模式时不支持RIP路由设置,若需设置RIP路由,请更改当前系统模式.

仅当WAN口的连接方式为静态IP时,该WAN口的RIP服务才会生效.
4.
9端口设置TL-ER5520G路由器具备一些简单的交换机端口管理功能.
在此可以实时查看路由器各端口的数据流通状况,并进行相应的控制和管理.
4.
9.
1端口统计用于交换信息的数据包在数据链路层通常称为"帧".
可以通过此功能查看各个端口收发数据帧的统计信息.
界面进入方法:端口设置>>端口统计-69-图4-48端口统计界面界面项说明:统计列表单播帧目的MAC地址为单播MAC地址的正常数据帧数目.
广播帧目的MAC地址为广播MAC地址的正常数据帧数目.
流控帧接收/发送的流量控制数据帧数目.
多播帧目的MAC地址为多播MAC地址的正常数据帧数目.
所有帧接收/发送所有的数据帧的总字节数(包含校验和错误的帧).
过小帧收到的长度小于64字节的数据帧数目(包含校验和错误的帧).
正常帧收到的长度在64字节到最大帧长之间的数据帧数目(包含错误帧).
对于不带tag标签的帧,路由器支持的最大帧长为1518字节;对于带tag标签的帧,路由器支持的最大帧长为1522字节.
过大帧收到的长度大于最大帧长的数据帧数目(包含错误帧).
点击按钮可以一次清空所有统计数据.
-70-4.
9.
2端口监控可以在此开启和设置端口监控功能.
被监控端口的报文会被自动复制到监控端口,以便网络管理人员实时查看被监控端口传输状况的详细资料,对其进行流量监控、性能分析和故障诊断.

界面进入方法:端口设置>>端口监控图4-49端口监控设置界面界面项说明:功能设置启用端口监控勾选即启用端口监控.
推荐勾选,方便及时了解路由器端口报文信息.
监控模式选择对数据包进行"输入监控"、"输出监控"或者"输入输出监控".
监控列表监控端口只能选择一个端口做监控端口.
被监控端口被监控端口可以为多个,但不包含当前的监控端口.
图4-49监控列表的含义是:端口4被选作监控端口,它将对端口1、2、3、5进行输出监控.

说明如果监控端口为LAN口,被监控端口中有其他LAN口,则这些LAN口必须属于同一个PortVLAN.
比如端口3和端口4都设置成LAN口,端口3为监控端口,端口4为被监控端口,那么端口3和端口4必须处于相同的PortVLAN中,端口监控功能才能生效.
-71-应用举例某网吧网络出现异常状况,需要利用端口监控功能捕获网络中的所有数据进行分析.

可通过端口监控实现此需求.
勾选"启用端口监控",并选择"输入输出监控"的监控模式,设置端口3为监控端口,监控其它端口的输入输出数据,如下图.
设置完成后,点击按钮.

4.
9.
3端口流量限制可以在此开启各端口的流量限制功能并进行相应设置.
界面进入方法:端口设置>>端口流量限制图4-50端口流量限制设置界面界面项说明:功能设置端口显示所有物理端口,需要对某个端口进行流量限制时,在其对应行设置即可.
-72-入口限制状态勾选"启用"后,后续设置的入口限制模式和速率才会生效.
入口限制模式有"所有帧"、"广播和多播"和"广播"三种模式,选择其一.
入口限制速率设置入口速率的最大值,单位为Mbps.
出口限制状态勾选"启用",后续设置的出口限制速率才会生效.
出口限制速率设置出口速率的最大值,单位为Mbps.
4.
9.
4端口参数可以在此启用各物理端口及其流量限制,并根据需要设定其协商模式.
界面进入方法:端口设置>>端口参数图4-51端口参数设置界面界面项说明:功能设置端口状态只有勾选了"启用"该端口才会有数据包的传输,即物理意义上的开启.
流量控制推荐勾选"启用"以控制调节各端口数据包转发的速率,避免出现拥塞.
协商模式有10M全/半双工、100M全/半双工、1000M全双工和自协商6种模式可选,择需使用.
所有端口这一栏可对以上所有端口进行统一设置,比如同时启用或禁用.
4.
9.
5端口状态可以在此查看各个端口的基本状态.
界面进入方法:端口设置>>端口状态-73-图4-52端口状态界面4.
9.
6PortVLANVLAN(VirtualLocalAreaNetwork,虚拟局域网)是从逻辑上而非物理上,将整个局域网分割成几个不同的广播域,数据只能在VLAN内进行交换.
一个稍具规模的网络如果只有一个广播域,那么在网络内不断发送的广播包很容易造成广播风暴,消耗网络整体带宽,并给网络中的主机带来额外的负担.
划分VLAN以后,数据只会在自己所属的VLAN内广播,所以可以控制广播风暴,同时还能增强网络安全,简化网络管理.

TL-ER5520G提供基于端口划分VLAN的PortVLAN功能,可以把路由器的若干LAN口从逻辑上划分为多个VLAN.
界面进入方法:端口设置>>PortVLAN图4-53PortVLAN设置界面界面项说明:功能设置网络标识各个物理端口此时属于的逻辑网络.
VLAN配置各端口所属VLAN.
-74-说明PortVLAN的划分只能在LAN口中进行.
当DMZ接口的状态改变的时候,会影响到原先PortVLAN的配置.
当改变DMZ接口的状态后,建议检查PortVLAN的配置,必要时重新设置.
4.
10系统服务可在此便捷地应用UPnP、DDNS服务,并可通过Web服务器功能实现远程管理路由器.

4.
10.
1UPnP服务UPnP(UniversalPlugandPlay,通用即插即用)协议,遵循此协议的不同厂商的各种设备可以自动发现对方并进行连接.
如果应用程序支持UPnP协议,而局域网中的主机安装了UPnP组件,路由器开启了UPnP服务后,局域网中的主机就可以根据软件的需要自动地在路由器上打开相应的端口,使得外部主机上的应用程序在需要时能够通过打开的端口访问内部主机上的资源,这样原本受限于NAT的功能便可以正常使用.
例如,WindowsXP和WindowsME系统上安装的MSNMessenger,在使用音频和视频通话时就可以利用UPnP协议.
相对于转发规则而言,UPnP的应用不需要用户手动设置任何规则,对于一些端口不固定的应用会更加方便.
界面进入方法:系统服务>>UPnP服务>>UPnP服务图4-54UPnP服务设置界面界面项说明:功能设置UPnP服务选择启用或禁用UPnP服务.
-75-服务列表启用UPnP后,所有应用到UPnP的连接规则会显示在服务列表中,TL-ER5520G可以同时支持64条UPnP服务,并对已有规则进行相应设置.
图4-54序号1条目的含义:在路由器WAN口的12856端口接收到的TCP数据,将转发到局域网服务器192.
168.
1.
101的12856端口上.
注意:应用时不仅要在路由器上启用UPnP服务,还需要确认主机操作系统和应用程序也支持此服务,即WindowsXP系统需安装UPnP组件;应用程序本身需支持UPnP,如MSN最新版、电驴、迅雷等.

一些木马、病毒可能会利用UPnP服务打开特定的端口,使局域网主机成为黑客的攻击目标,因此需谨慎应用UPnP服务.
4.
10.
2动态DNS4.
10.
2.
1花生壳动态域名广域网中,许多ISP使用DHCP分配公共IP地址,因此用户端获得的公网IP是不固定的.
当其它用户需要访问此类IP动态变化的用户端时,很难实时获取它的最新IP地址.
DDNS(DynamicDNS,动态域名解析服务)服务器则为此类用户端提供了一个固定的域名,并将其与用户端最新的IP地址进行关联.
当服务运行时,DDNS用户端把最新的IP地址通知DDNS服务器,服务器会更新DNS数据库中域名与IP的映射关系.
而对于访问它的用户端,将会得到正确的IP地址并成功访问服务端.
DDNS常用于Web服务器搭建个人网站、FTP服务器提供文件共享等,访问的用户可以便捷地获取服务.
路由器作为动态DNS客户端,本身并不提供动态DNS服务.
因此,在使用此功能之前,必须进入动态DNS服务提供商的官方主页注册,以获得用户名、密码和域名等信息.
TL-ER5520G路由器提供花生壳动态DNS客户端.
界面进入方法:系统服务>>动态DNS>>花生壳动态域名-76-图4-55花生壳动态域名设置界面界面项说明:功能设置用户名填入在花生壳网站注册的用户名.
若还没有注册,请点击右边的链接"注册用户名"登录花生壳网站进行注册.
密码填入在花生壳网站注册该用户名时所设置的密码.
服务开关选择启用或禁用花生壳动态域名服务.
接口名显示启用花生壳动态域名服务的WAN口.
服务类型服务启用之后,显示当前登录的DDNS账号是属于专业服务还是标准服务.
这取决于您在注册时选择的服务类型.
连接状态显示DDNS的工作状态.
"服务没有运行"表示DDNS功能未启用;"服务连接中,请等候"表示系统正在连接DDNS服务器;"服务已运行"表示DDNS工作正常;"用户名或密码错误"表示输入的用户名或密码有误,请重新输入正确的值后再启用DDNS.
-77-域名信息显示当前登录的DDNS用户所拥有的域名.
用户可以申请多个域名,点击"查看所有域名"显示当前用户申请的所有域名,但最多显示16条.
管理列表在管理列表中,可以对当前的DDNS条目进行相应设置.
图4-55条目1的含义:应用于WAN1口的花生壳用户名是uername1,对应的域名是user1.
oray.
net,该服务已运行.
4.
10.
3Web服务器TL-ER5520G内置Web服务器,您可以非常方便地通过Web浏览器登录TL-ER5520G的Web管理界面.
即使在外部网络,同样也可以登录Web界面管理路由器.
这只需要在Web服务器界面设置一些相关参数:访问路由器的用户名密码、允许远端登录的IP地址范围以及服务端口等.

4.
10.
3.
1用户设置在此可以修改登录时使用的用户名和密码.
界面进入方法:系统服务>>Web服务器>>用户设置图4-56用户设置界面界面项说明:用户名密码修改原用户名本次登录路由器的用户名.
原密码本次登录路由器使用的密码.
新用户名重新设置登录路由器的用户名.
新密码重新设置登录路由器的密码.
确认新密码再次输入新密码.
-78-说明出厂的用户名/密码是admin/admin.
更改用户名密码并保存生效后,后续登录时请使用新用户名及密码.
用户名和密码最大支持31个字符,且只能是数字和字母,区分大小写.
4.
10.
3.
2远程管理可以在远程管理界面对允许远程登录的IP地址范围进行设置和修改.
界面进入方法:系统服务>>Web服务器>>远程管理图4-57远程管理设置界面界面项说明:远程管理地址远程地址范围设置需要从外部网络登录路由器的主机地址,可指定单个IP或一个网段.

启用/禁用规则选择启用或禁用该规则.
地址列表在地址列表中,可以对已保存的远程管理地址条目进行相应设置.
图4-57序号1条目的含义:允许IP地址属于192.
168.
2.
0/24网段的主机登录路由器Web界面,该规则已启用.
4.
10.
3.
3服务设置可以在服务端口界面对Web、Telnet服务的端口进行设置和修改.
界面进入方法:系统服务>>Web服务器>>服务端口-79-图4-58服务端口设置界面界面项说明:功能设置Web服务端口设置路由器的Web服务端口.
Telnet服务端口设置路由器的Telnet服务端口.
Web会话超时时间设置通过Web页面访问路由器的超时时间,当用户登录Web界面后在设定时间内无任何操作将会自动丢失连接.
Telnet会话超时时间设置通过Telnet远程访问路由器的超时时间,当用户远程登录路由器后在设定时间内无任何指令将会自动丢失连接.
注意:路由器默认的Web服务端口为80.
如果改为其它值,在局域网或广域网都必须用"http://IP地址:端口"的方式才能登录路由器.
例如,将Web管理端口更改为88,在局域网内登录时的URL地址应为http://192.
168.
1.
1:88.
应用举例:某网吧路由器地址为210.
10.
10.
50,为方便管理,希望广域网210.
10.
10.
0/24网段的IP地址能对路由器进行远程管理.
可以通过设置Web服务器实现此需求.
首先需要设置远端访问路由器的地址段,并选择启用该访问规则,如下图所示:在服务端口界面为Web服务器开放相应的服务端口,设置如下图所示(以默认值为例):-80-在浏览器地址栏输入路由器地址210.
10.
10.
50登录路由器Web界面.
4.
11系统工具系统工具可帮助您对路由器系统进行全局管理,以及测试网络连通性.
4.
11.
1设备管理4.
11.
1.
1恢复出厂配置界面进入方法:系统工具>>设备管理>>恢复出厂配置图4-59恢复出厂配置界面点击按钮,路由器将会恢复所有设置的默认值.
建议在网络配置错误、组网环境变更等情况时使用此功能.
恢复出厂配置后,路由器将自动重启.
4.
11.
1.
2备份与导入配置界面进入方法:系统工具>>设备管理>>备份与导入配置图4-60备份与导入配置界面-81-界面项说明:版本信息显示当前路由器软件版本.
备份配置信息单击按钮,路由器会将目前所有已保存配置导出为文件.
建议在修改配置或升级软件前备份当前的配置信息.
导入配置信息单击按钮,选择已备份的配置文件;或者在文件路径输入框中填写完整的配置文件路径,然后点击按钮,将路由器恢复到以前备份的配置状态.
导入配置后,路由器将自动重启.
注意:备份及导入文件过程中请保持电源稳定,避免强行断电.
导入的配置文件版本与路由器当前配置版本差距过大,将有可能导致路由器现有配置信息丢失,如果有重要的配置信息,请谨慎操作.
4.
11.
1.
3重启路由器界面进入方法:系统工具>>设备管理>>重启路由器图4-61重启路由器界面单击按钮,路由器将会重新启动.
重新启动不会丢失已保存的配置,在重启的过程中,网络连接将会暂时中断.

注意:路由器重启过程中请保证电源稳定,避免强行断电.
4.
11.
1.
4软件升级界面进入方法:系统工具>>设备管理>>软件升级-82-图4-62软件升级界面TP-LINK官方网站(http://www.
tp-link.
com.
cn)会不定期更新TL-ER5520G的软件升级文件,可将升级文件下载保存在本地.
登录TL-ER5520G路由器后进入软件升级界面,单击按钮,选择保存路径下的升级文件,点击进行软件升级.
注意:软件升级成功后路由器将会自动重启,在路由器重启完成前请保证电源稳定,避免强行断电.

软件升级后由于新旧版本软件的差异可能会恢复出厂默认配置,如有重要配置信息,请在升级前备份.
4.
11.
2诊断工具4.
11.
2.
1诊断工具可在诊断工具界面通过ping命令或tracert命令来诊断当前路由器的网络连接状态.

界面进入方法:系统工具>>诊断工具>>诊断工具-83-图4-63诊断工具界面界面项说明:Ping通信检测目的IP/域名输入目的地址,可以是一个合法IP地址,也可以是一个合法域名,如果输入地址无效将提示重新输入.
在下拉菜单中选择目的地址所属接口.
点击按钮后,路由器将发送ping包检测目的地址是否可以达到,并在下面的方框中显示检测结果.
路由跟踪检测目的IP/域名输入目的地址,可以是一个合法IP地址,也可以是一个合法域名,如果输入地址无效将提示重新输入.
在下拉菜单中选择目的地址所属接口.
点击按钮后,路由器将发送tracert包检测目的地址经过哪些路由到达,并在下面的方框中显示检测结果.
-84-4.
11.
2.
2在线检测该页面用于检测WAN口是否在线.
界面进入方法:系统工具>>诊断工具>>在线检测界面项说明:检测设置接口名选择需要在线检测的WAN口.
检测开关选择是否启用在线检测.
禁用在线检测时,路由器只根据WAN接口的物理连接状态和拨号状态判断是否在线;启用在线检测时,路由器将综合PING检测和DNS检测的结果判断是否在线.
检测模式选择自动在线检测或者手动在线检测.
自动模式下,PING检测选择网关作为目的地址,DNS检测选择WAN口DNS服务器作为目的地址;手动模式下,您可以自己设置PING检测和DNS检测的目的地址.
PING检测在手动在线检测模式下,可以输入PING检测的目的IP地址.
输入0.
0.
0.
0表示不进行PING检测.
DNS检测在手动在线检测模式下,可以输入DNS服务器的IP地址.
输入0.
0.
0.
0表示不进行DNS检测.
WAN口状态列表WAN口显示所检测的WAN口.
检测显示选择的检测开关,即启用或禁用.
WAN口状态显示PING检测或DNS检测的结果.
-85-4.
11.
3流量统计流量统计界面将显示接入路由器LAN口或DMZ口的局域网设备向广域网发出数据的流量统计.

界面进入方法:系统工具>>流量统计图4-64流量统计界面路由器默认勾选"启用流量统计"、"启用自动刷新"选项,启用自动刷新时,路由器每隔5秒刷新一次.
在下拉菜单中选择流量统计接口类型后,相应的流量统计信息将显示在流量统计列表中.
可以按照不同的表头对表格进行排序,默认排序方式为从小到大.
-86-第5章典型配置5.
1典型配置需求某网吧配置需求如下:两条电信100M光纤接入,共有400台电脑,网吧分为普通区和特殊区.
需要防范局域网内的ARP攻击和ARP欺骗.
需要防范广域网的ARP攻击.
需要防范DoS攻击等常见网络攻击.
需要针对普通区和特殊区进行不同的带宽设置,给予不同的带宽享受,同时防止个别用户过度占用带宽而影响其它用户的正常上网.
需要保证游戏顺畅,满足网吧以游戏客户为主的客户群.
需要进行连接数限制,以防止某台电脑过度占用连接数影响其他电脑的正常上网.

需要保证公安局网络监控软件能够对所有局域网到广域网的信息进行监控.

5.
2典型配置方案为满足上面的典型配置需求,使用TP-LINK多WAN口双核全千兆网吧路由器TL-ER5520G进行组网,以下面的具体组网方案为例进行说明:电信光纤线路通过光纤收发器接入路由器,WAN口接入方式采用静态IP接入方式;禁用ER系列网吧路由器的DHCP服务器功能,手动给局域网内电脑分配静态IP地址;使用IPMAC地址绑定功能,绑定局域网主机的IP与MAC信息,实现局域网ARP攻击防护;开启发送免费ARP包功能,实现局域网ARP防欺骗功能;使用IPMAC地址绑定功能,绑定WAN口网关的IP与MAC信息,实现广域网ARP攻击防护;设置攻击防护功能,实现DoS类、扫描等攻击防护;设置带宽控制条目,分配给普通区每台主机的最小保障带宽为100kbps,最大限制带宽为800Kbps;分配给特殊区每台主机的最小保障带宽为100kbps,最大限制带宽为1000Kbps;开启游戏加速功能,为游戏数据预留专用通道;设置连接数限制条目,限制每台主机的最大连接数为250条;设置端口5为监控端口,端口3和端口4为被监控端口.
端口5连接到装有公安局监控软件的电脑上.
(如果中心交换机支持端口镜像功能,建议在中心交换机上做监控)-87-5.
3典型组网拓扑图5-1网吧典型应用组网拓扑5.
4典型配置步骤可以通过连接到路由器LAN口的计算机对路由器进行配置.
计算机的IP地址可以自动获取,也可以手动设置.
手动设置时请确保计算机IP地址与路由器LAN口在同一网段(默认路由器LAN口处于为192.
168.
1.
0/24网段),然后在Web浏览器的地址栏中输入"http://192.
168.
1.
1"(如果您已修改路由器LAN口IP地址,请输入新地址),按下回车键后出现登录窗口,在登录窗口中输入用户名:admin,密码:admin(如果您已修改密码,请输入新密码),点击按钮即可进入路由器Web配置界面.
5.
4.
1系统模式设置设置系统模式为NAT模式.
设置界面进入方法:系统模式>>系统模式.
选择"NAT模式"后点击按钮.
-88-图5-2系统模式设置5.
4.
2WAN模式设置设置路由器为双WAN口模式.
设置界面进入方法:接口设置>>WAN模式>>WAN模式.
选择"双WAN口"模式后点击按钮,此时接口1和接口2成为路由器的两个WAN口.
图5-3系统模式设置5.
4.
3上网方式设置设置两个WAN口的连接方式为静态IP.
设置界面进入方法:接口设置>>WAN设置>>WAN1设置.
选择"静态IP",填入电信提供的IP地址、子网掩码、网关地址等信息,设置上下行带宽均为100000Kbps,如图5-4.
点击按钮即可,WAN2口的设置方法相同.
图5-4WAN口设置静态IP连接方式-89-5.
4.
4局域网主机IP设置为了能将网吧内所有主机的IP与MAC绑定、防止IP参数被他人随意修改,建议禁用DHCP功能,为每台主机手动分配IP参数,分配时可以将IP地址号与座位编号对应起来,方便网络管理和维护.
例如,座位编号100,其主机对应IP地址分配为192.
168.
1.
100.
图5-5禁用LAN口的DHCP功能5.
4.
5局域网ARP攻击防护设置可以采用ARP扫描和手动设置两种方式绑定IP与MAC信息.
首次设置时,请先使用扫描方式绑定大部分的ARP信息,如果还有个别特殊条目,还可以通过手动设置绑定.
1.
扫描并将条目导入ARP绑定列表指定范围进行ARP动态扫描.
设置界面进入方法:安全策略>>ARP防护>>ARP扫描.
进行ARP扫描的前提是当前局域网内不存在ARP攻击.
设置如图5-6.
图5-6设置ARP扫描的地址范围开启网吧中需要进行ARP绑定的所有主机,点击按钮,得到扫描结果如图5-7.
图5-7ARP扫描结果列表选中需绑定的ARP条目,或点击按钮,再点击按钮即完成ARP绑定.
ARP绑定列表如图5-8.
界面进入方法:安全策略>>ARP防护>>IPMAC绑定.
-90-图5-8导入后生效的ARP绑定列表2.
手动设置ARP绑定条目手动设置IP与MAC绑定信息并新增至ARP绑定列表.
设置界面进入方法:安全策略>>ARP防护>>ARP绑定>>IPMAC绑定.
假设现在需要添加座位号为200的主机IPMAC信息,该主机MAC地址为00-11-22-33-44-aa,则填入相应的IP、MAC地址,备注处标明"200座",如图5-9.
选择"生效"后点击按钮,则条目绑定成功.
其他待绑定的条目也可依次手动添加.
图5-9手动设置200号座位主机的IPMAC信息3.
设置ARP防欺骗功能进入IPMAC绑定界面,进入方法:安全策略>>ARP防护>>IPMAC绑定.
在"功能设置"处勾选所有条目,并将路由自动发送GARP包的发包间隔设置为1ms,如图5-10.
点击按钮即启用ARP防欺骗功能.
图5-10开启ARP防欺骗功能5.
4.
6广域网ARP攻击防护设置可通过绑定WAN口网关及MAC地址来进行广域网ARP攻击防护.
-91-首先,需要通过ARP扫描获取网关MAC地址,设置界面进入方法:安全策略>>ARP防护>>ARP扫描.
在扫描范围填入WAN口网关IP地址58.
51.
128.
254,点击按钮,如图5-11.
扫描结束后,在扫描结果中,就能看到网关对应的MAC地址.
图5-11设置动态扫描ARP的地址范围为WAN口网关IP在扫描结果列表中获得WAN口网关MAC地址后,勾选此条目,点击按钮,完成绑定操作.

5.
4.
7网络攻击防护设置设置界面进入方法:安全策略>>攻击防护>>攻击防护.
勾选所需开启的攻击防护选项,如图5-12.
点击按钮即可.
图5-12启用网络攻击防护功能-92-5.
4.
8带宽控制设置带宽控制需要通过设置接口总带宽和具体的带宽控制规则来实现.
1.
接口总带宽设置设置界面进入方法:传输控制>>带宽控制>>综合设置.
勾选"启用智能带宽控制",并设置当带宽利用率达到80%时带宽控制功能生效.
WAN1口和WAN2口的出口与入口带宽均为100000Kbps.
如图5-13.
点击按钮即可.

图5-13启用带宽控制2.
带宽控制规则设置假设现已手动设置网吧普通区主机IP地址范围:192.
168.
1.
2-192.
168.
1.
101,特殊区主机IP地址范围:192.
168.
1.
102-192.
168.
1.
151,您可以通过以下步骤设置带宽控制规则.
设置界面进入方法:传输控制>>带宽控制>>带宽控制规则.
首先为普通区IP地址为192.
168.
1.
2-192.
168.
1.
101的主机设置带宽控制规则.
选择数据流量为LAN->WAN-ALL,带宽模式为独立,上行最小保证带宽为500Kbps,最大限制带宽为1000Kbps,下行最小保证带宽为800Kbps,最大限制带宽为2000Kbps,其余项目保持默认设置,选择启用,如图5-14.
点击按钮,则普通区所有主机带宽控制设置成功.
-93-图5-14设置普通区主机的带宽控制规则参考普通区的设置方法为特殊区IP地址为192.
168.
1.
102-192.
168.
1.
151的主机设置带宽控制规则.
选择数据流向为LAN->WAN-ALL,带宽模式为独立,上行与下行最小保证带宽各为1000Kbps,最大限制带宽各为10000Kbps,其余项目保持默认设置,选择启用,如图5-15.
点击按钮,则单机带宽控制设置成功.
图5-15设置特殊区主机的带宽控制规则5.
4.
9游戏加速设置设置界面进入方法:传输控制>>带宽控制>>游戏加速.
勾选"启用游戏加速",保证带宽大小为25%,如图5-16.
点击按钮即完成游戏加速设置.
图5-16启用游戏加速功能-94-5.
4.
10连接数限制设置设置界面进入方法:传输控制>>连接数限制>>连接数限制规则.
设置192.
168.
1.
2-192.
168.
1.
151范围内的IP地址发起的最大连接数为250,勾选启用,如图5-17.
点击按钮完成设置.
图5-17启用连接数限制功能5.
4.
11端口监控设置设置界面进入方法:端口设置>>端口监控.
勾选"启用端口监控",监控模式为输入输出监控,监控端口选择端口5,被监控端口选择端口3、端口4,如图5-18.
点击按钮即完成端口监控设置.
图5-18设置端口监控功能以上所有步骤设置完成后,网吧就可以按规划正常运营了.
-95-第6章命令行简介CLI(CommandLineInterface,命令行接口)即命令行,TL-ER5520G路由器提供了一个用于CLI配置的Console口.
可以通过控制台(比如超级终端)和在局域网内通过Telnet进入命令行界面进行设置.

以下介绍通过超级终端访问CLI的具体步骤和一些常用的CLI命令.
6.
1搭建平台首先,使用Console线连接路由器和计算机的Console口.
选择开始>所有程序>>通讯>超级终端,打开超级终端.
图6-1打开超级终端弹出如图6-2所示的连接描述窗口,在名称处键入一个名称,点击.
-96-图6-2连接描述窗口在图6-3中选择连接串口(单串口默认COM1口),点击.
图6-3连接参数窗口在图6-4中对端口进行参数设置,每秒位数115200,数据位8,奇偶校验无,停止位1,数据流控制无,点击.
-97-图6-4端口属性设置在图6-6超级终端主窗口选择文件>属性>设置,在图6-5中选择终端仿真类型为VT100或自动检测,点击.
图6-5连接属性设置-98-在超级终端主窗口中按下回车键,就可以看到"TP-LINK>"的提示符了.
如图6-6所示.
图6-6命令行主窗口6.
2界面模式TL-ER5520G的CLI提供了两个界面模式:用户模式和特权模式.
用户模式下只具有基本的权限,比如查看系统的信息等.
特权模式下则拥有管理路由器的权限,可以进行各种配置操作等.
这样就可以对不同的用户进行适当的权限管理.
用户模式:Telnet登录时,需输入路由器的用户名和密码,默认为admin/admin,Console连接登录时不需要密码.
登录后,用户处于用户模式下,拥有的权限为参观级.
可以进行简单的查询操作,不能修改路由器的各种配置信息.
特权模式:用户在用户模式下进行密码验证,验证通过就可以进入特权模式.
拥有管理级的权限,可以对路由器进行各种配置操作.
默认情况下,CLI用户处于用户模式下.
用户可以自由的在用户模式和特权模式之间进行切换,方式如下:模式访问方法提示符离开或访问下一模式用户模式与路由器建立连接即进入该模式.
TP-LINK>输入exit命令断开与路由器的连接(Console连接时无法断开)要进入特权模式,输入enable命令.
特权模式在用户模式下,使用enable命令进入该模式,初始密码admin.
TP-LINK#输入exit命令断开与路由器连接(Console连接时无法断开)要返回到用户模式,输入disable命令.
如图6-7所示:-99-图6-7用户模式与特权模式切换6.
3在线帮助TL-ER5520G提供了命令行在线帮助:1)在任一模式下,键入""获取该视图下所有的命令及其简单描述.
TP-LINK>←键入""键disable-Exittheprivilegedmodeenable-Entertheprivilegedmodeexit-ExittheCLI(onlyfortelnet)history-Showcommandhistoryip-DisplayorSettheIPconfigurationip-mac-DisplayorSettheIPmacbindconfigurationsys-Systemmanageruser-Userconfiguration2)键入一命令,后接以空格分隔的"",如果该命令行位置有关键字,则列出全部关键字及其简单描述.
例如:TP-LINK>ip←按下"空格"""键get-Gettheipconfiguration3)键入一字符串,其后紧接"",列出以该字符串开头的所有命令.
例如:TP-LINK>dis←按下""键disable-100-4)键入命令的某个关键字的前几个字母,按下键,如果以输入字母开头的关键字唯一,则可以显示出完整的关键字.
例如:TP-LINK>dis←按下"Tab"键disable5)命令的输入完成之后,后接以空格分隔的"",会显示出一个回车符,表示此时可以执行该命令.
例如:TP-LINK#enable←按下"空格"""键6.
4命令介绍TL-ER5520G提供了一些CLI命令,通过这些命令可以管理路由器和用户信息.
为便于您理解,每条命令后面会注释该条命令的含义.
6.
4.
1接口设置ip命令.
可以使用该命令查看或设置当前系统中相关接口的IP地址和子网掩码,查看命令可以在用户模式和特权模式下使用,设置功能只能在特权模式下使用.
TP-LINK>ipgetlanLanIp:192.
168.
1.
1LanMask:255.
255.
255.
0获取LAN口配置信息的命令.
TP-LINK#ipsetlanaddress192.
168.
1.
20设置路由器LAN口IP地址为192.
168.
1.
20.
如果返回Operationsucceeded!
表示操作成功,如发生错误会有提示.
TP-LINK#ipsetlanmask255.
255.
0.
0设置路由器LAN口子网掩码为255.
255.
0.
0.
6.
4.
2IPMAC绑定设置ip-mac命令.
可以使用该命令查看或设置当前系统中IPMAC绑定的模式.
设置功能只能在特权模式下使用,查看命令可以在用户模式和特权模式下使用.
IPMAC绑定的模式有两种:普通绑定模式(normal)和强制绑定模式(restrict).
TP-LINK>ip-macgetmodeIp-macBindMode:normal获取当前IPMAC绑定模式.
-101-TP-LINK#ip-macsetmoderestrict设置当前IPMAC绑定模式为强制绑定模式.
6.
4.
3系统管理sys命令.
可以使用该命令进行相关的系统管理操作,包括配置文件的导入导出、恢复出厂配置、重启系统和升级软件等.
TP-LINK#sysrebootThiscommandwillrebootsystem,Continue[Y/N]重启系统.
Y即YES,表确认;N即NO,表取消.
TP-LINK#sysrestoreThiscommandwillrestoresystem,Continue[Y/N]恢复出厂配置.
Y即YES,表确认;N即NO,表取消.
TP-LINK#sysexportconfigServeraddress:[192.
168.
1.
101]192.
168.
1.
100Username:[admin]ftpPassword:[admin]ftpFilename:[config.
bin]配置文件导出.
举例:现有一台IP地址为192.
168.
1.
100的FTP服务器,服务的用户名/密码是ftp/ftp,如需将当前配置文件以默认文件名config.
bin保存到该FTP服务器上,设置如左.
Trytosavetheconfigurationfile.
.
.
Saveconfigurationfilesucceed,filesizeis7104bytes.
说明配置文件的导出、导入、系统升级都需要使用FTP服务.
在需设置的参数中,Serveraddress是提供FTP服务的主机IP地址,Username/Password是该FTP服务的登录名/密码,Filename是配置文件名(如果已存在同名的配置文件,请更改文件名).
中括号内是默认设置,可在其后输入实际参数,如果无需改动直接回车确认即可.

TL-ER5520G默认连接到使用21端口的FTP服务器.
由于导出、导入、系统升级等功能需要在FTP服务器上进行读写操作,因此特别需要注意您指定的帐号必须具有相应权限.
-102-TP-LINK#sysimportconfigServeraddress:[192.
168.
1.
101]Username:[admin]Password:[admin]Filename:[config.
bin]配置文件导入.
说明同上.
Trytogettheconfigurationfile.
.
.
Getconfigurationfilesucceed,filesizeis7104bytes.
TP-LINK>sysshowCPUUsedRate:1%查看系统信息.
该命令将会显示当前系统的CPU利用率.
TP-LINK#sysupdateServeraddress:[192.
168.
1.
101]Username:[admin]Password:[admin]Filename:[update.
bin]系统软件升级.
Trytogettheupdatefile.
.
.
Getupdatefilesucceed,filesizeis2298608bytes.
6.
4.
4用户信息管理user命令.
可以使用该命令查询或修改登录CLI的用户名和密码.
在用户模式下,可以修改参观级用户的密码,由于参观级用户和管理员用户共用一个用户名,因此在用户模式下不能修改用户名;在特权模式下可以修改管理员级用户的用户名和密码.
TP-LINK>usergetUsername:adminPassword:admin查询当前参观级用户的用户名及密码.
-103-TP-LINK>usersetpasswordEnteroldpassword:Enternewpassword:Confirmnewpassword:修改参观级用户的密码.
TP-LINK#usergetUsername:adminPassword:admin查询当前管理员级用户的用户名及密码.
TP-LINK#usersetpasswordEnteroldpassword:Enternewpassword:Confirmnewpassword:修改管理员级用户的密码.
TP-LINK#usersetusernameEnternewusername:tplink修改管理员级用户的用户名.
注意:用户名和密码长度为1-31个字符,用户名和密码只能使用字母和数字,且区分大小写.

6.
4.
5历史命令管理history命令.
可以使用该命令查看或清除系统中的历史命令.
TP-LINK>history1.
history2.
sysshow3.
history查看历史命令.
-104-TP-LINK>historyclear1.
history2.
sysshow3.
history4.
historyclear清除历史命令.
6.
4.
6退出CLIexit命令.
可以使用该命令退出系统.
但仅限于Telnet环境,Console环境下不会退出.

TP-LINK>exit退出系统.
-105-附录A常见问题问题1:无法登录路由器Web管理界面该如何处理1.
如果您是第一次使用此路由器,请参考以下步骤:1)确认网线已正常连接到了路由器的LAN口,对应的指示灯闪烁或者常亮.
2)访问设置界面前,建议您将计算机设置成"自动获取IP地址",由开启DHCP服务的路由器自动给计算机分配IP地址.
如果需要给计算机指定静态IP地址,请将计算机的IP与路由器LAN口IP设置在一网段,路由器默认LAN口IP地址为:192.
168.
1.
1,子网掩码:255.
255.
255.
0,计算机的IP地址应设置为:192.
168.
1.
X(X为2至254之间任意整数),子网掩码为:255.
255.
255.
0.
3)使用ping命令检测计算机与TL-ER5520G之间的连通性.
4)若上述提示仍不能帮助您登录到路由器管理界面,请您将路由器恢复为出厂配置.

2.
如果您修改过路由器的管理端口,则注意下次登录时您需要以"http://管理IP:XX"的方式登录,XX为修改后的端口号,如http://192.
168.
1.
1:8080.
3.
如果您之前可以正常登录,现在不能登录,则有可能是他人修改了路由器的配置导致的(尤其在开启了远程Web管理的情况下),建议恢复出厂配置,修改路由器的管理端口、修改用户名和密码,做好保密措施.
4.
如果恢复出厂配置后仍然无法登录或开始一段时间能登录,但过一段时间后又不能登录,则可能是遭受了ARP欺骗,建议查找欺骗源、查杀病毒或将其隔离.
5.
请您检查是否设置了IE代理,如果设置了IE代理,请先将代理取消.
问题2:忘记路由器用户名和密码怎么办如何恢复出厂配置忘记用户名密码时可以将TL-ER5520G通过Reset键恢复至出厂配置.
需要注意的是:恢复出厂配置时路由器原有配置信息将丢失.
恢复出厂配置操作方法:在路由器通电的情况下,使用尖状物按住路由器前面板的Reset键,等待3-5秒后,见到M1灯长亮2-5秒,松开按键,待M1和M2两灯同时快闪约1秒,路由器开始自动重启,重启完成后路由器便已成功恢复出厂配置.
路由器出厂默认管理地址是http://192.
168.
1.
1,默认用户名/密码是admin/admin.
问题3:忘记路由器管理端口怎么办可尝试使用第三方端口扫描工具,扫描路由器LAN口开放的TCP端口,根据扫描出的端口依次尝试登录.
如果通过这种方法没有达到预期效果,那么只能将路由器恢复为出厂配置.

问题4:为什么开启了远端管理后,非局域网段不能登录管理路由器1.
非局域网段要登录路由器的IP地址是否是被允许远端访问路由器的.
2.
路由器的管理端口是否已经修改过,如果修改过,则应以"http://WAN口IP:XX"的方式登录,XX为修改后的管理端口,如http://202.
160.
58.
67:8080.
3.
路由器的管理端口是否已经在虚拟服务器中被映射为局域网主机的某个服务端口,如果已经被映射为主机的服务端口,则应更改主机服务的端口或更改路由器的管理端口为其它端口.