1.外网访问

如何在外网远程管理(控制)路由器,在”系统工具 >> 系统管理 >> 远程管理”,新增一条 0.0.0.0/0 的条目, (0.0.0.0/0 代表所有外网电脑均可以访问路由器)

在”高级功能 >> 动态 DNS >> TP-LINK 动态域名”中创建和绑 定 WAN 口

2.多WAN口路由器负载均衡的设置

进入路由器,点击“基本设置 >> WAN 设置 >> 流量均衡"

多 WAN 口企业路由器可以通过设置流量均衡策略,充分利用各 WAN 口的带宽。

均衡模式分为连接均衡和宽带均衡两种。

如果玩游戏,浏览网页和服务器的行为较多,建议选择连 接均衡模式。

如果看视频,下载和上传大文件的行为较多,建议选择带宽均衡模式。

3.路由转发模块

3.1 策略路由设置

3.1.1 需求介绍 

某企业接入了两条外网线路,WAN1 口接运营商拨号宽带线路,用于连接 Internet,无法 访问企业内部专网;WAN2 口接企业内部专网,专网网络是 10.17.0.0/16,只能用于访问 内网资源,无法访问互联网。需要实现下接的终端既能访问互联网,也能正常访问企业内部 网络。

3.1.2 设置方法

第一步、设置WAN口参数登录到路由器界面 , 

点 击 “基 本 设 置 >> WAN 设 置 ”, 分 别 设 置 WAN1 和 WAN2 的上网参数。

第二步、设置策略路由 登录到路由器界面,点击“高级功能 >> 路由设置 >> 策略路由”,点击<新增>,进行设置。

(1)设置规则:访问专网 10.17.0.0/16 的数据只能从WAN2口转发

(2)再设置一条规则:访问外网的数据只能从 WAN1 口转发

注意:策略路由规则是由上往下逐条匹配的,两条规则必须按照以上添加顺序添加。 

至此,策略路由功能设置完成,路由器 LAN 网段的终端访问企业内网或访问 Internet 都将 按照规则来实现。

设置策略路由后,访问专网或上网还是有问题,怎么办?

需要检查确认以下三点:路由器单独连接该网络的时候,确认局域网可以正常 访问该网络;确认规则设置正确(比如生效接口、目的地址等),WAN 口状态均显示在线。

3.2 ISP 选路设置

如果接入的多条宽带线路不是同一运营商(宽带服务商),则可能引起访问 瓶颈(例如访问电信网络的数据走联通网络),导致网络延迟大、丢包等现象。多 WAN 口 路由器的 ISP 选路功能可以避免以上问题发生,实现访问对应 ISP 网络的数据走正确的出 接口。

路由器 ISP 选路功能默认开启,仅需 要在 WAN 口设置时选择 WAN 口宽带对应的运营商即可。

访问电信站点的流量由电信线路转发,访问联通站点的流量 由联通线路转发。实现更快速的访问网络资源。

3.3 静态路由设置

静态路由是在路由器中手工设置的固定的路由条目 ,当数据包与静态路由条目匹配成功时, 将按照指定的出接口进行转发。

3.3.1 需求介绍 

某企业使用 R 系列路由器,下接三层交换机,交换机划分了 VLAN10,需要实现路由器 LAN 网段的终端可以与三层交换机下的 VLAN10 网段的终端进行互访。

3.3.2 设置方法

登录到路由器界面,点击“高级功能 >> 路由设置 >> 静态路由”,点击<新增>,进行设置。

3.4 线路备份设置

多 WAN 口路由器的线路备份功能可以在其中某一个 WAN 口出现异常时,路由器能及时 地把数据切换到其它正常的 WAN 口上,为网络稳定性提供强大保证。

3.4.1 需求介绍 

某企业接了两条外网线路,WAN1 口接运营商专线,WAN2 口接运营商普通宽带。需要实 现当专线正常时所有数据都走专线线路,当专线故障时数据才走普通宽带线路。

3.4.2 设置方法

在路由器界面,点击“高级功能 >> 路由设置 >> 策略路由”。

 (1)设置规则:访问所有外网数据都从 WAN1 口转发,且当 WAN1 口不在线时,规则不生效

(2)再设置一条规则,用于第一条规则不生效时,访问外网的数据从 WAN2 口转发

至此,策略路由功能设置完成,路由器 LAN 网段的终端访问企业内网或访问 Internet 都将 按照规则来实现。

注意: 策略路由规则是由上往下逐条匹配的,两条规则必须按照以上添加顺序添加。

3.5 虚拟服务器设置 (单个服务器,单个端口)

企业在内部搭建各种服务器,如 FTP 服务器、WEB 服务器、邮件服务器、监控服务器等。 而这些服务器并不仅仅是针对内网用户开放的,外网的用户也需要通过互联网来访问。虚拟 服务器功能可以实现将内网的服务器映射到 Internet,从而实现外网的访问。

登录路由器的管理界面,点击“高级功能 >> 虚拟服务器" 

如果您的宽带并非静态 IP 地址,可以在“动态 DNS”中申请域名账号并在路由器中登录该账 号,登录成功后使用域名和开放的端口访问服务器。

3.6 NAT-DMZ 功能设置 (整个服务器,所有端口)

企业在内部搭建各种服务器,如 FTP 服务器、WEB 服务器、邮件服务器、监控服务器等。 而这些服务器并不仅仅是针对内网用户开放的,外网的用户也需要通过互联网来访问。NATDMZ 功能可以实现将内网的服务器映射到 Internet,从而实现外网的访问。

登录路由器的管理界面,点击“高级功能 >> 虚拟服务器 >> NAT-DMZ”

3.7 一对一 NAT 功能设置

企业路由器的一对一 NAT 功能,也指静态 NAT 映射,可以将局域网指定电脑的 IP 映射为 相应的公网 IP。对应主机访问 Internet 时使用映射后的公网 IP,Internet 中的用户可以通 过映射后的公网 IP 地址访问到该主机。当用户有多个公网 IP 地址时,如果需要为局域网内 的服务器分配一个专用的公网 IP 地址,为外网用户提供访问服务。可以使用一对一 NAT 功 能实现。

登录路由器的管理界面,点击“高级功能>>NAT 设置>>一对一 NAT”

4.AP和易展管理

4.1 搭配 AP 无线组网设置

4.1.1 需求介绍 

某企业使用无线 AP 进行无线组网,通过主路由器集中管理无线 AP。需要设置员工无线网络供企业员工使用。

4.1.2 设置

登录到路由器界面,点击“AP 管理 >> AP 设置”,启用“AP 管理功能”,显示类型选择为“在线 AP 设备”,列表中将会显示当前在线的 AP,确认路由器已经发现 AP,并可以对 AP 进行管理

若部分 AP 无法发现,请确认 AP 的模式开关已拨到 FIT 模式、同时检查 AP 与交换机之间的网线已接 好。 

点击“AP 管理 >> 无线网络设置”,点击<新增>,设置员工无线网络

如果您新建的无线网络名称是绑定需要绑定到所有 AP,请选择“自动绑定所有 AP”的选项,则接入的 所有 AP 都将自动绑定该无线网络,也就不需要进行下面第三步的操作;

如果您新建的无线网络名称 是只绑定部分 AP,请选择“手动选择 AP”的选项,并进行下面的第三步的 AP 绑定操作。

如果您的无 线网络中无线连接的客户端设备之间没有通过局域网互相访问的需求,建议开启“内部隔离”选项,可以提高无线网络稳定性;

如果有互相访问的需求,建议关闭“内部隔离”选项。

4.2 易展AP设置

随着互联网技术的快速发展,需求无线网络覆盖的地方越来越多,此时出现了一些传统网络 无法解决的复杂区域和快速完成组网的需要,也有个人用户不想破坏原有的装修环境来进行 网络覆盖。对于一些区域来说传统网络的组网方案不仅复杂且成本较高。为了解决这些问题, TP-LINK 新推出了带有“易展”功能的 AP,能够实现快速组网,无需布线,简单实现组网, 且可以替换某些传统组网,优化整个网络。

4.2.1 需求介绍 

某多层写字楼想要在已有的 AP 组网中增加部分区域的无线覆盖范围,但是想要覆盖的区域 不方便布线,区域的终端接入数和流量不大。

4.2.2 设置

需要使用 FIT 模式下进行多个 MESH 单元组网,出厂状态下,将设备接入局域网中,若局 域网中存在开启 AP 管理功能 R 系列路由器,易展 AP 将自动识别并工作在 FIT 模式;同时 路由器需要开启易展管理功能,即可发现并管理易展 AP。

添加易展 AP 子设备,点击设备列表或拓扑结构页面右上角的<添加易展设备>按钮,此时 主 AP 会自动搜索周围待配对的子 AP,发现设备后点击全部添加,等待一会儿即可完成配对。 

主设备冗备,可以通过此功能,将某个主 AP 的设备备份到新加入的主 AP,主要是用于主 AP 故障/替换的场景。

子设备更换主设备,灵活调整组网,可以通过手动设置将子 AP 关联到信号更好的主 AP 上。 

注意:  只有开启 AP 管理功能才能使用易展管理功能,开启易展管理功能才能使用 FIT 模式的 易展功能。

5.行为管控

防火墙-内容安全:

https://b.htmltoo.com/blog-p2414.html

5.1 连接数限制

路由器的连接总数是固定值(有上限的),如果其中的一部分电脑消耗了过多 的连接数(如 BT、迅雷下载等),可能会导致其余的电脑无法正常上网。连接数限制功能可 以控制主机占用的连接数,从而均衡网络应用,确保平稳使用。 

登录到路由器界面,点击“行为管控 >> 连接数限制”,点击<新增>,添加连接数限制规则。

如设置 300,所有受控用户的最大连接数均为 300。

普通上网应用,建议设置最大连接数为 200-300。至此,连接数限制功能设置完成。

5.2 访问控制设置

企业办公网络环境中,需要对内部办公电脑进行网络权限差异化设置,从而提升办公效率和 网络安全。访问控制功能通过对源/目的 IP 地址、端口及访问时间进行控制,实现上网权限 的差异化设置,满足企业用户的需求。

点击“行为管控 >> 访问控制”,点击<新增>,

5.2.1 添加策略规则:允许市场部访问所有网络应用

5.2.2 设置其它部门的访问控制规则,

其它部门的员工,只允许浏览网页,即需要开放 HTTP、HTTPS、以及 DNS 服务

5.2.3 设置阻塞规则 

由于访问控制规则默认为“允许”,所以需要再添加禁止访问一切的规则才可以实现需求

5.3 应用限制设置

企业网络环境中,经常需要实现对一些常见上网应用(如迅雷下载、QQ、电驴等)进行限 制,通俗的理解就是实现“一键屏蔽”。通过企业路由器的应用控制功能可以实现管控。

点击“对象管理 >> 地址 管理 >> 地址”,点击<新增>,添加市场部地址组。

点击“行为管控 >> 应用控制”,点击<新增>,为市场部设置如下规则:

点击“行为管控 >> 应用控制 >> QQ 白名单”,点击<新增>

5.4 网址过滤设置

点击“行为管控 >> 网站访问 >> 网站分组”,

在组成员中可以使用通配符(*)的方式来添加网站(例如*.baidu.com,即可匹配 www.baidu.com、news.baidu.com、mp3.baidu.com 等网页。

在“行为管控 >> 网站访问 >> 网站访问”,点击<新增>

5.5 网页安全设置

企业网络环境中,对于访问网络的安全性的要求较高,对上传和下载有严格的要求,尤其是 对于一些 exe、rar、txt 等类型文件有严格限制。网页安全功能可以限制内网用户通过网络 提交信息,同时可以对下载文件的扩展类型进行管控,对常见扩展类型的文件的下载权限进 行限制,从而实现网络应用安全。

登录路由器的管理界面,点击 “行为管控 >> 网页安全”,选择相应的地址组,选择禁止网 页提交(禁止上传和网站、论坛等用户名密码的登录),填写需要过滤文件的扩展类型,设 置完成后,点击确定。

6. ARP 防护设置

6.1 ARP 防护设置

有两种添加方法:手动逐条添加和扫描添加。

手动指定绑定电脑的 IP 地址

建议查看对应电脑的 MAC 地址,制作 IP、MAC、电脑的表格,便于后续维护

登录路由器的管理界面,点击“安全管理 >> ARP 防护 >> IP-MAC 绑定”

在“安全管理 >> ARP 防护 >> ARP 防护” 中,确认已勾选“启用 ARP 防欺骗功能”

如果勾选“禁止非 IP-MAC 绑定的数据包通过路由器”,则不在绑定列表或与绑定列表冲突的电脑不能 上网或管理路由器。

6.2 MAC 地址过滤设置

在路由器界面,点击“安全管理 >> MAC 地址过滤”,“启用”MAC 地址过滤功能,选择对应 的规则类型,此处选择“白名单”,表示仅允许规则列表中的设备访问外网,点击<保存>。

7.VPN设置

IPSec VPN配置指南: 

https://b.htmltoo.com/blog-p2410.html

PPTP VPN PC到站点配置方法:

https://b.htmltoo.com/blog-p2411.html

PPTP 站点到站点VPN配置指南:

https://b.htmltoo.com/blog-p2413.html 

L2TP VPN客户端拨号操作步骤:

https://b.htmltoo.com/blog-p2412.html 

8.认证管理

8.1 一键上网

点击“AP 管理 >> 无线网络设置”,设置酒店 SSID

点击“认证管理 >> 认证设置 >> 全局参数”,配置认证老化时间和认证模式,

点击“认证管理 >> 认证设置 >> 跳转页面”,根据实际需求设置跳转页面标题、欢迎 信息等,背景图片和 Logo 可以自助上传

点击“认证管理 >> 认证设置 >> 组合认证”,点击<新增>,认证方式选择一键上网

8.2 短信认证设置

点击“认证管理 >> 认证设置 >> 组合认证”,点击<新增>,选择短信认证,根据实 际需要设置免费上网时长和验证码有效期等信息

8.3 Portal 认证设置

8.3.1 内置web服务器,内置认证服务器

点击“认证管理 >> 认证设置 >> 组合认证”,点击<新增>,认证服务器类型选择本地服务器.

点击“认证管理 >> 用户管理 >> 认证用户管理”,点击<新增>,设置认证用户名和密码, 根据实际需求可以设置免费用户和正式用户,并设置其他参数,

8.3.2 内置web服务器,外部认证服务器

点击“认证服务器 >> Radius 服务器”,根据自己设置的外部认证服务器在路由器添加 条目。

点击“认证管理 >> 认证设置 >> 组合认证”,点击新增,认证服务器类型选择远程服务器

8.3.3 外部web服务器,外部认证服务器

8.3.3 外部web服务器,内置认证服务器

8.3.4 免认证策略

1)特定终端无需认证即可上网

进入路由器界面,点击“认证管理 >> 认证设置 >> 免认证策略”,添加免认证策略

由于终端上网可能即需要使用 UDP 协议又需要使用 TCP 协议,所以一个终端设备需要建立两条免认证策略服务协议分别选择 UDP 和 TCP。

以上设置可以实现固定设备无需认证就可以上网

2)无需认证即可访问到指定的外网服务器

进入路由器界面,点击“认证管理 >> 认证设置 >> 免认证策略”,添加免认证策略

以上设置可以实现局域网的所有电脑,无需认证即可访问 121.202.33.100 的外网服务器。

3)无需认证即可访问到指定的网站

以上设置可以实现局域网的所有电脑,无需认证即可访问公司网站。

9.其他功能

9.1 地址组的设置与管理

路由器的应用控制、网站访问、网页安全、带宽控制、访问控制等行为管控功能均是 基于地址组的,将需要进行同一管控策略的一个或多个 IP 添加到同一地址组,就可以针对 该地址组内的所有 IP 来进行上网行为的管控。

9.2 带宽控制设置

点击“行为管控 >> 带宽限制”,点击<新增>

智能带宽控制表示仅当前带宽利用率超过设置的百分比时,带宽控制功能才开始生效。

例如公司总带宽为 10M 光纤,A 部门 10 台电脑需要下载、上传、收发邮 件,那么每台主机建议限制上下行最大值为 1500~2000Kbps。

上篇： FW防火墙-配置实例
下篇： 企业交换机-配置