管理指南
首次发布日期:年月日上次修改日期:年月日
AmericasHeadquarters
CiscoSystems,Inc.170WestTasmanDriveSanJose,CA95134-1706USATel:408526-4000
800553-NETS(6387)Fax:408527-0883
本手册中有关产品的规格和信息如有更改,恕不另行通知。
本手册中的所有声明、信息和建议均准确可靠,但我们不为其提供任何明示或暗示的担保。
用户必须承担使用产品的全部责任。
随附产品的软件许可和有限担保在随产品一起提供的信息包中提供,且构成本文的一部分。
如果您无法找到软件许可或有限保证,请向您的思科代表索取。
以下是符合FCC规则的A类设备的相关信息:经测试,本设备符合FCC规则第15部分对A类数字设备的限制规定。
这些限制旨在提供合理的保护,防止设备在商业环境中运行时产生有害干扰。
本设备可以产生、利用并发射无线射频能量。
如果不按说明手册中的要求安装和使用本设备,有可能对无线电通信产生有害干扰。
在居民区运行此设备可能会造成有害干扰,在这种情况下,用户需要自费消除干扰。
以下是符合FCC规则的B类设备的相关信息:经测试,本设备符合FCC规则第15部分对B类数字设备的限制规定。
设置这些限制的目的是在设备安装于居所时,提供合理保护以避免干扰。
本设备可以产生、利用并发射无线射频能量。
如果不按说明中的要求安装和使用本设备,有可能对无线电通信产生有害干扰。
不过,我们不能保证在任何安装中都不会产生干扰。
如果本设备确实对无线电或电视接收造成干扰(可以通过打开和关闭设备来确定),建议用户采取以下一种或多种措施来消除干扰: •重新调整接收天线的方向或位置。
•增大设备和接收器之间的距离。
•将设备和接收器连接到不同的电路插座上。
•咨询经销商或有经验的无线电/电视技术人员,以寻求帮助。
在未经思科授权的情况下修改本产品,可能使FCC的批准失效,并失去运行本产品的许可。
TCP报头压缩的思科设计是美国加州大学伯克利分校(UCB)所开发计划的修订版-作为UNIX操作系统的UCB公共领域版本。
保留所有权利。
版权所有©1981,RegentsoftheUniversityofCalifornia。
即使有任何其他担保,这些供应商的所有文档文件和软件均“按原样”提供,包含其原有的所有瑕疵。
思科和上面所提及的提供商拒绝所有明示或暗示担保,包括(但不限于)适销性、特定用途适用性和无侵权担保,或者因买卖或使用以及商业惯例所引发的担保。
在任何情况下,对于任何间接、特殊、连带发生或偶发的损坏,包括(但不限于)因使用或无法使用本手册而导致的任何利润损失或数据损失或损坏,思科及其供应商概不负责,即使思科及其供应商已获知此类损坏的可能性也不例外。
本文档中使用的任何协议(IP)地址和电话号码并非实际地址和电话号码。
此文档中的所有示例、命令显示输出、网络拓扑图和其它图形仅供说明之用。
说明性内容中用到的任何真实IP地址或电话号码纯属巧合,并非有意使用。
思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。
要查看思科商标列表,请访问此网址:/go/trademarks。
文中提及的第三方商标为其相应所有者的财产。
“合作伙伴”一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系。
(1110R) ©2016CiscoSystems,Inc.Allrightsreserved. 目录 简介1使用入门1启动设置向导3故障排除提示4用户界面
4 状态和统计信息7系统摘要7TCP/IP服务9端口流量9WANQoS统计信息10应用统计信息11已连接的设备12路由状态12DHCP绑定13移动网络13VPN状态14查看日志16 管理17重启17文件管理18手动升级19自动更新19诊断20许可证21智能许可证使用21证书21导入证书22 RV340W管理指南iii 目录 生成CSR/证书22配置管理23系统配置25初始设置向导26系统27时间27日志28 电子邮件服务器30远程系统日志服务器30电子邮件30用户帐户31远程验证服务32用户组33IP地址组34SNMP35发现Bonjour36LLDP36自动更新37服务管理38计划表38WAN39WAN设置39多WAN42移动网络44移动网络设置44带宽上限设置45动态DNS45硬件DMZ46IPv6转换46IPv6的IPv4封装隧道(6in4)47IPv6快速部署(6rd)47QoS49流量类49 RV340W管理指南iv 目录 WAN队列50WAN监管51WAN带宽管理51交换机分类52交换机队列53LAN55端口设置55VLAN设置56LAN/DHCP设置57静态DHCP60802.1X配置60DNS本地数据库61路由器通告61无线63基本设置63 配置2.4GHz无线电66配置5GHz无线电67高级设置68CaptivePortal69WPS71路由73IGMP代理73RIP74静态路由75防火墙77基本设置77访问规则78网络地址转换80静态NAT80端口转发81端口触发82会话超时83DMZ主机84 RV340W管理指南v 目录 VPN85VPN设置向导(站点到站点)85IPSec配置文件87站点到站点89创建站点到站点VPN连接90创建安全GRE隧道93客户端到站点95远程工作人员VPN客户端98PPTP服务器100L2TP服务器100SSLVPN101VPN通道103 安全105应用控制向导105应用控制106Web过滤107内容过滤108IP源防护108 快速索引111快速索引111 RV340W管理指南vi 第1章 简介 。
感谢您选择思科RV340W路由器。
本指南介绍如何安装和管理路由器。
本章包括的信息可以帮助您开始使用您的设备。
思科RV340W自带默认设置,但互联网服务提供商(ISP)可能要求您修改设置。
您可以使用Explorer(版本10和更高版本)、Firefox或Chrome(PC版)或Safari(Mac版)等Web浏览器修改设置。
本节包含以下主题: •使用入门,第1页•启动设置向导,第3页•用户界面,第4页 使用入门 此页面显示设备上最常见的配置任务。
要启动路由器,请按照以下步骤操作: 步骤
1 步骤2步骤
3 步骤4步骤
5 将PC连接到设备上带编号的LAN端口。
如果将PC配置为DHCP客户端,则系统会将192.168.1.x范围内的IP地址分配到该PC。
启动Web浏览器。
在地址栏中输入设备的默认IP地址,即192.168.1.1。
浏览器可能会发出警告,指出这是不受信任的网站。
继续访问此网站。
在系统显示登录页面时,输入默认用户名cisco和默认密码cisco(小写)。
单击登录。
RV340W管理指南
1 简介使用入门 注释在系统启动的过程中,会有越来越多的电源LED持续闪烁,直至系统启动完成。
启动时,PWR、LINK/ACT和LAN1的GIGIBITLED将闪烁。
启动到25%时,PWR、LINK/ACT和LAN1与2的GIGIBITLED将闪烁。
启动到50%时,PWR、LINK/ACT和LAN1、2与3的GIGIBITLED将闪烁。
启动到75%时,PWR、LINK/ACT和LAN1、2、3与4的GIGIBITLED将闪烁。
系统启动时间通常不到3分钟。
如果路由器完全配置,且所有功能均配置为最高设置,可能需要7分钟才能完成系统启动。
表1:路由器的LED细节 PWR(电源) 熄灭表示设备电源关闭。
绿色常亮表示设备电源开启且设备已启动。
绿色闪烁表示设备正在启动。
DIAG(诊断) 熄灭表示系统正在启动。
红色慢闪(1Hz)表示系统正在进行固件升级。
红色快闪(3Hz)表示系统固件升级失败。
红色常亮表示系统在使用活动映像和非活动映像时或在救援模式下启动失败。
LINK/ACT(链路/活动)(WAN1、熄灭表示端口未建立以太网连接。
WAN2和LAN1-4) 绿色常亮表示端口已建立千兆以太网链路。
绿色闪烁表示端口的千兆以太网链路正在发送或接收数据。
GIGABIT(千兆)(WAN1、WAN2和LAN1-4) 绿色常亮表示数据传输速度为1000M。
熄灭表示数据传输速度不是1000M。
DMZ(隔离区) 绿色常亮表示已启用DMZ。
熄灭表示已禁用DMZ VPN(虚拟专用网络) 熄灭表示设备没有定义VPN隧道,或者所有定义的VPN隧道都被禁用。
绿色常亮表示至少有一条VPN隧道处于活动状态。
绿色闪烁表示正在通过VPN隧道发送和接收数据。
琥珀色常亮表示已启用的VPN隧道处于非活动状态。
RV340W管理指南
2 简介 USB1和USB2 Reset(重置)Wireless(无线) 启动设置向导 熄灭表示端口未连接USB设备或无法识别已插入的USB设备。
USB装置成功连接到服务提供商(ISP)(已分配IP地址),以及USB存储装置已被识别时,指示灯呈绿色常亮状态。
绿色闪烁表示端口正在发送和接收数据。
琥珀色常亮表示USB装置已被识别,但未能连接至ISP(未分配IP地址)。
USB存储装置访问出现错误。
要重新启动路由器,请使用曲别针或笔尖按住Reset(重置)按钮不超过10秒。
要将路由器重置为出厂默认设置,请按住Reset(重置)按钮10秒。
LED亮起表示已启用内部接入点。
LED熄灭表示已禁用内部接入点。
启动设置向导 “启动设置向导”页面中的说明可以指引您完成设备配置过程。
要打开此页面,请在导航树中选择“启动设置向导”,然后按照屏幕上的说明继续操作。
有关设置互联网连接所需的信息,请咨询ISP。
启动设置向导 初始设置向导 将您定向至初始设置向导。
VPN设置向导应用控制向导 将您定向至VPN状态向导。
将您定向至应用控制向导。
初始配置更改管理员密码 配置WAN设置配置USB设置配置LAN设置 将您定向至用户帐户页面,您可以在其中更改管理员密码和设置访客帐户。
将您定向至WAN设置页面,您可以在其中修改WAN参数。
将您定向至移动网络页面,您可以在其中修改USB配置。
将您定向至VLAN成员关系页面,您可以在其中配置VLAN。
RV340W管理指南
3 简介故障排除提示 快速访问 升级路由器固件 将您定向至文件管理页面,您可以在其中更新设备固件。
配置远程管理访问权限备份设备配置 将您定向至防火墙>基本设置页面,您可以在其中启用设备的基本功能。
将您定向至配置管理页面,您可以在其中管理路由器配置。
设备状态系统摘要 VPN状态端口统计信息流量统计信息 查看系统日志 将您定向至系统摘要页面,其中显示设备的IPv4和IPv6配置以及防火墙状态。
将您定向至VPN状态页面,其中显示此设备管理的VPN的状态。
将您定向至端口流量页面,其中显示设备的端口状态和端口流量。
将您定向至TCP/IP服务页面,其中显示设备的端口监听状态和已建立的连接的状态。
将您定向至查看日志页面,其中显示设备的日志。
故障排除提示 如果连接到互联网或基于Web的Web界面时出现问题,请执行以下操作:•确保Web浏览器未设置为脱机工作。
•检查以太网适配器的局域网连接设置。
PC应该通过DHCP获得IP地址。
或者,也可以为PC指定192.168.1.x范围内的静态IP地址,并将默认网关设置为192.168.1.1(设备的默认IP地址)。
•确保在向导中输入正确设置互联网连接所需的设置。
•通过关闭调制解调器和设备的电源,重置这两个设备。
接下来,接通调制解调器的电源,使其闲置约2分钟。
然后,接通设备的电源。
现在,您应该能够接收WANIP地址。
•如果您有DSL调制解调器,请要求ISP将DSL调制解调器设置为网桥模式。
用户界面 用户界面旨在便于您设置和管理设备。
导航Web界面的主要模块以左侧导航窗格中的按钮形式表示。
单击按钮可查看更多选项。
单击选项可打开页面。
RV340W管理指南
4 简介用户界面 弹出窗口单击某些链接和按钮会启动弹出窗口,这些窗口会显示详细信息或相关配置页面。
如果Web浏览器显示关于弹出窗口的警告消息,请允许显示被阻止的内容。
帮助要查看有关所选配置页面的信息,请单击Web界面右上角的帮助。
如果Web浏览器显示关于弹出窗口的警告消息,请允许显示被阻止的内容。
退出要退出Web界面,请单击Web界面右上角附近的退出。
系统将显示登录页面。
RV340W管理指南
5 简介用户界面 RV340W管理指南
6 第2章 状态和统计信息 本节提供有关设备的各种配置设置的信息,包含以下主题:•系统摘要,第7页•TCP/IP服务,第9页•端口流量,第9页•WANQoS统计信息,第10页•应用统计信息,第11页•已连接的设备,第12页•路由状态,第12页•DHCP绑定,第13页•移动网络,第13页•VPN状态,第14页•查看日志,第16页 系统摘要 “系统摘要”提供设备上设置的快照视图。
它显示设备的固件、序列号、端口流量、路由状态、移动网络,以及VPN服务器设置。
要查看此系统摘要,请单击状态和统计信息>系统摘要。
系统信息 •主机名—主机的名称。
•序列号—设备的序列号。
•系统运行时间—设备处于活动状态的时间,以年-月-日、小时数和分钟数表示。
•当前时间—当前的日期和时间。
RV340W管理指南
7 系统摘要 状态和统计信息 •PIDVID—硬件的版本号。
固件信息•固件版本—所安装固件的版本号。
•固件MD5校验和—用于文件验证的值。
端口状态•端口ID—定义的端口名称和编号。
•接口—用于连接的端口的名称。
•已启用—端口的状态。
•速度—自动协商后设备的速度(以Mbps为单位)。
IPv4和IPv6•接口—接口的名称。
•IP地址—分配给接口的IP地址。
•默认网关—接口的默认网关。
•DNS—DNS服务器的IP地址。
•动态DNS—接口DDNS(动态DNS)的IP地址:“已启用”或“已禁用”。
•更新—单击可更新IP地址。
•释放—单击可释放接口。
VPN状态•类型—VPN隧道的类型。
•活动—已启用或已禁用。
•已配置—VPN隧道的状态(是否已配置)。
•最大支持会话数—设备上支持的隧道的最大数量。
•已连接会话—隧道的状态。
防火墙设置状态•状态数据包检测(SPI)—又称为动态数据包过滤,能够监控活动连接的状态,并使用这些信息确定哪些网络数据包可通过防火墙。
•拒绝服务(Dos)—Dos过滤器服务的状态为已启用(打开)或已禁用(关闭)。
DoS攻击是指企图使目标用户无法使用机器或网络资源。
RV340W管理指南
8 状态和统计信息 TCP/IP服务 •阻止WAN请求—通过向互联网设备隐藏网络端口并阻止其他互联网用户检测网络,使得外部用户难以顺利进入网络。
•远程管理—表示是否允许通过远程连接管理设备。
•访问规则—已设置的访问规则的数量。
日志设置状态•系统日志服务器—系统日志的状态。
•电子邮件日志—要使用电子邮件发送的日志的状态。
TCP/IP服务 “TCP/IP服务”页面显示协议、端口和IP地址的统计信息。
要查看TCP/IP服务,请单击状态和统计信息>TCP/IP服务。
端口监听状态•协议—用于通信的协议的类型。
•监听IP地址—设备上的监听IP地址。
•监听端口—设备上的监听端口。
已建立的连接的状态•协议—用于通信的协议的类型。
•本地IP地址—系统的IP地址。
•本地端口—不同服务的监听端口。
•外部地址—已连接的设备的IP地址。
•外部端口—已连接的设备的端口。
•状态—会话的连接状态。
端口流量 “端口流量”页面显示设备接口的统计信息和状态。
要查看设备的“端口流量”页面,请单击状态和统计信息>端口流量。
端口流量•端口ID—定义的端口名称和编号。
RV340W管理指南
9 WANQoS统计信息 状态和统计信息 •链路状态—接口的状态。
•接收的数据包—端口上接收的数据包数量。
•接收的字节—接收的数据包数量(以字节为单位)。
•发送的数据包—端口上发送的数据包数量。
•发送的字节—发送的数据包数量(以字节为单位)。
•数据包错误—有关错误数据包的详细信息。
•刷新—刷新显示的统计信息。
•重置计数器—将所有值重置为零。
端口状态•端口ID—定义的端口名称和编号。
•链路状态—接口的状态。
•端口活动—端口的状态(例如:端口已启用、已禁用或已连接)。
•速度状态—自动协商后设备的速度(以Mbps为单位)。
•双工状态—双工模式:“半双工”或“全双工”。
•自动协商—自动协商参数的状态。
启用自动协商后,即自动协商参数的状态为打开时,它会检测双工模式。
如果连接需要交叉,它会自动选择MDI(介质相关接口)或MDIX(具有正反接线自适应功能的介质相关接口)配置,以与链路另一端相匹配。
WANQoS统计信息 “WANQoS统计信息”页面显示出站和入站WANQoS的统计信息。
要查看设备的“WANQoS统计信息”页面,请单击状态和统计信息>WANQoS统计信息。
•接口—接口的名称。
•策略名称—策略的名称。
•说明—WANQoS统计信息的说明。
•清除计数器—单击可清除计数器。
出站QoS统计信息•队列—出站队列的数量。
•流量类—分配给队列的流量类的名称。
•已发送的数据包—已发送的流量类的出站数据包的数量。
•已丢弃的数据包—已丢弃的出站数据包的数量。
RV340W管理指南10 状态和统计信息 应用统计信息 入站QoS统计信息•队列—入站队列的数量。
•流量类—分配给队列的流量类的名称。
•已发送的数据包—已发送的流量类的入站数据包的数量。
•已丢弃的数据包—已丢弃的入站数据包的数量。
应用统计信息 “应用统计信息”显示路由器的使用情况数据。
要查看“应用统计信息”页面,请单击状态和统计信息>应用统计信息。
•清除计数器—重置表中的所有统计信息。
最大流量生成应用(按类别)•类别—访问过的应用类别的列表。
•流量—流量(以兆字节为单位)。
最大流量生成应用(按名称)•应用—访问过的应用的列表。
•流量—流量(以兆字节为单位)。
最大流量生成者•流量生成者—访问过的IP地址的列表。
•流量—流量(以兆字节为单位)。
最大流量生成者(按设备类型)•设备—访问过的设备的列表。
•流量—流量(以兆字节为单位)。
最大流量生成者(按操作系统类型)•操作系统—使用过的操作系统的列表。
•流量—流量(以兆字节为单位)。
RV340W管理指南11 已连接的设备 状态和统计信息 注释如果AVC被禁用或许可过期,系统可能会弹出一个窗口,说明AVC被禁用或许可过期。
已连接的设备 “已连接的设备”页面列出路由器上连接的所有设备。
要查看此“已连接的设备”页面,请单击状态和统计信息>已连接设备。
IPv4•主机名—连接的设备的名称。
•IPv4地址—连接的设备的IP地址。
•MAC地址—连接的设备的MAC地址。
•类型—设备IP地址的类型。
•接口—连接设备的接口。
IPv6•IPv6地址—连接的设备的IPv6地址。
•MAC地址—连接的设备的MAC地址。
路由状态 路由是在网络中将数据包从一台主机移动至另一台主机的过程。
此过程的路由状态显示在路由表中。
路由表包含有关其直接关联网络的拓朴的信息。
要查看设备的IPv4和IPv6路由状态,请单击状态和统计信息>路由状态。
IPv4和IPv6路由•目标—连接的IP地址和子网掩码。
•下一步跳—下一步跳的IP地址。
数据包经过的步跳的最大数量(最多为15步跳)。
•度量标准—确定发送网络流量的最佳路由时使用的路由算法数量。
•接口—路由连接的接口的名称。
•源—路由的源。
RV340W管理指南12 状态和统计信息 DHCP绑定 DHCP绑定 “DHCP绑定”页面显示IP地址、MAC地址、租用到期时间和绑定类型(静态或动态)等DHCP客户端信息的统计信息。
要查看设备的“DHCP绑定”页面,请单击状态和统计信息>DHCP绑定。
“DHCP绑定表”显示以下内容: •IPv4地址—分配的IP地址。
•MAC地址—客户端分配的IP地址的MAC地址。
•租用到期—客户端系统的租用时间。
•类型—连接状态(静态或动态)。
移动网络 移动网络可让路由器及其子网具备移动性,同时继续保持IP连接对通过该移动路由器连接到网络的IP主机的透明度。
要查看路由器的移动网络,请单击状态和统计信息>移动网络。
接下来,从下拉列表中选择接口(USB1或USB2)。
单击刷新可刷新移动网络状态。
连接•互联网IP地址—服务提供商提供的IP地址。
•子网掩码—服务提供商提供的掩码。
•默认网关—服务提供商提供的默认网关。
•连接运行时间—连接设备的持续时间。
•当前拨号会话数据流量使用情况—每个会话的数据流量使用情况。
•月度数据流量使用情况—月度数据流量使用情况。
数据卡状态•制造商—设备的制造商。
•卡固件—制造商提供的固件版本。
•SIM状态—SIM的状态。
•IMSI—设备的唯一编号。
•运营商—数据网络运营商的名称或类型。
•服务类型—数据服务类型。
•信号强度—数据信号的强度。
•卡状态—卡状态(“断开连接”或“已连接”)。
RV340W管理指南13 VPN状态 状态和统计信息 VPN状态 “VPN状态”显示站点到站点、客户端到站点、SSLVPN、PPTP、L2TP和远程工作人员VPN客户端的隧道状态。
要查看设备的VPN状态,请单击状态和统计信息>VPN状态。
站点到站点隧道状态•已使用的隧道—正在使用的VPN隧道。
•可用隧道—可用的VPN隧道。
•已启用的隧道—已启用的VPN隧道。
•已定义的隧道—定义的VPN隧道。
在连接表中,您可以添加、编辑、删除或刷新隧道。
(请参阅站点到站点,第89页)。
您还可以单击列显示选择,以选择在连接表中显示的列标题。
客户端到站点隧道状态在此模式下,互联网中的客户端连接到服务器,以访问服务器后的企业网络/LAN。
为确保安全连接,您可以实施客户端到站点VPN。
您可以查看所有的客户端到隧道连接,并在连接表中添加、编辑或删除连接。
(请参阅客户端到站点,第95页)。
连接表显示以下信息: •组或隧道名称—VPN隧道的名称。
此名称仅供参考,不一定与隧道另一端使用的名称相匹配。
•连接—连接的状态。
•第2阶段加密/验证/组—第2阶段加密类型(NULL/DES/3DES/AES-128/AES-192/AES-256)、验 证方法(NULL/MD5/SHA1)和DH组号(1/2/5)。
•本地组—本地组的IP地址和子网掩码。
SSLVPN状态通过安全套接字层虚拟专用网络(SSLVPN),用户可以使用Web浏览器建立通向此设备的安全远程访问VPN隧道。
使用SSLVPN可以从互联网上的几乎所有计算机安全、轻松地访问各类Web资源和支持Web的应用。
您可以在此处查看SSLVPN隧道的状态。
•已使用的隧道—用于连接的SSLVPN隧道。
•可用隧道—可用于SSLVPN连接的隧道。
连接表显示已建立的隧道的状态。
您还可以添加、编辑或删除连接。
•策略名称—在隧道上应用的策略的名称。
•会话—会话的数量。
您还可以添加、编辑或删除SSLVPN。
(请参阅SSLVPN,第101页)。
RV340W管理指南14 状态和统计信息 VPN状态 PPTP隧道状态点对点隧道协议可使用128位密钥加密数据。
它用于确保将消息从一个VPN节点安全地发送到另一个节点。
•已使用的隧道—用于VPN连接的PPTP隧道。
•可用隧道—可用于PPTP连接的隧道。
连接表—显示已建立的隧道的状态。
您还可以建立或断开以上连接。
•会话ID—建议的连接或当前连接的会话ID。
•用户名—已连接的用户的名称。
•远程访问—远程连接或建议连接的IP地址。
•隧道IP—隧道的IP地址。
•连接时间—隧道连接的时间。
•操作—连接隧道或断开隧道连接。
L2TP隧道状态第2层隧道协议是一种通过在第2层上使用互联网来启用点对点会话的方法。
您可以查看L2TP隧道状态的状态。
•已使用的隧道—用于VPN连接的L2TP隧道。
•可用隧道—可用于L2TP连接的隧道。
连接表—显示已建立的隧道的状态。
您还可以建立或断开以上连接。
•会话ID—建议的连接或当前连接的会话ID。
•用户名—已连接的用户的名称。
•远程访问—远程连接或建议连接的IP地址。
•隧道IP—隧道的IP地址。
•连接时间—隧道连接的时间。
•操作—连接隧道或断开隧道连接。
RV340W管理指南15 查看日志 状态和统计信息 查看日志 “查看日志”页面显示设备的所有日志。
您可以根据类别、严重程度或关键字过滤这些日志。
您还可以刷新、清除这些日志,并将这些日志导出到PC或USB中。
要查看设备日志,请按照以下步骤操作: 步骤1步骤
2 依次单击状态和统计信息>查看日志。
在“日志过滤条件”下选择相应的选项。
类别 单击以下任意选项即可查看日志: •全部—显示所有日志。
•类别—显示所选类别的日志。
严重程度关键字 选择显示的某个选项,以查看根据严重程度显示的日志。
输入关键字,使系统根据关键字显示日志。
步骤3步骤
4 单击显示日志。
注释要配置日志设置,请参阅日志,第28 页。
单击以下任意选项: •刷新—单击可刷新日志。
•清除日志—单击可清除日志。
•日志导出到PC—单击可将日志导出到PC。
•日志导出到USB—单击可将日志导出到USB存储设备。
RV340W管理指南16 重启 第3章 管理 本节介绍设备的管理功能,其中包含以下主题:•重启,第17页•文件管理,第18页•诊断,第20页•许可证,第21页•证书,第21页•配置管理,第23页 借助重启功能,用户可使用活动映像或非活动映像重新启动设备。
要访问“重启”页面,请按照以下步骤操作: 步骤1步骤2步骤
3 步骤
4 单击管理>重启。
在“重启后的活动映像”部分,从下拉列表中选择一个选项(活动映像x.x.xx.xx或非活动映像x.x.xx.xx)选择首选重启选项。
•重新启动设备。
•重启后还原为出厂默认设置。
•重启后还原为出厂默认设置(包括证书)。
单击重启以重新启动设备。
RV340W管理指南17 管理文件管理 文件管理 “文件管理”提供设备的快照视图。
要查看“文件管理”信息,请按照以下步骤操作: 步骤
1 单击管理>文件管理以查看以下信息:系统信息 •设备型号—设备的型号。
•PIDVID—路由器的PID和VID号。
•当前固件版本—当前固件版本。
•最近更新—最近一次固件更新的日期。
•上可用的最新版本—最新固件版本。
•最近检查—最近一次检查的日期。
签名•当前签名版本—签名的版本。
•最近更新—执行最近一次更新的日期。
•上可用的最新版本—最新签名版本。
•最近检查—最近一次检查的日期。
USB装置驱动程序•当前装置驱动程序版本—内置USB装置驱动程序的版本。
•最近更新—执行最近一次更新的日期。
•上可用的最新版本—最新装置驱动程序版本。
•最近检查—最近一次检查的日期。
语言包•当前语言包版本—语言包的版本。
•最近更新—最近一次更新的日期。
•上可用的最新版本—最新语言包版本。
•最近检查—最近一次检查的日期。
手动升级在“手动升级”部分,可以将固件、签名文件、USB装置驱动程序或语言文件上传和升级至更新版本。
RV340W管理指南18 管理手动升级 步骤
2 注意在固件升级过程中,请勿在操作完成之前尝试上线、关闭设备、关闭PC或以任何方式中断过程。
此过程大约需要一分钟(包括重新启动过程)。
在正向闪存写入的特定时间点中断升级过程可能会损坏闪存并使路由器无法使用。
如果选择从USB驱动器升级,路由器将搜索USB闪存驱动器以查找固件映像文件,这类文件的名称包含以下一项或多项内容:PID、MAC地址和序列号。
如果USB闪存驱动器中有多个固件文件,路由器将选择名称中包含最具体信息的文件,即根据具体程度,优先级从高到低。
手动升级使用较新版本的固件更新路由器的步骤。
步骤1步骤2步骤3步骤4步骤
5 选择管理>文件管理。
在“手动升级”部分,选择文件类型(固件映像、签名文件、USB装置驱动程序或语言文件)。
在“升级方式”部分,选择一个选项(、PC或USB)并单击刷新。
选中将所有配置/设置重置为出厂默认设置可重置所有配置并应用出厂默认设置。
单击升级可将选中的映像上传至设备。
自动更新 如果在系统启动期间使用了U盘,路由器将支持从USB闪存驱动器中加载固件。
路由器将搜索USB闪存驱动器,查找名称中包含以下一种或多种信息的固件映像文件:PID、MAC地址和序列号。
如果USB闪存驱动器中有多个固件文件,路由器将选择名称中包含最具体信息的文件,即根据具体程度,优先级从高到低。
•PID-MAC-SN.IMG•PID-SN.IMG•PID-MAC.IMG•PID.IMG 使用其他名称的文件将被忽略。
如果固件映像版本高于固件当前版本,固件将升级至此映像,DUT将会重启。
然后,升级过程将重新开始。
如果路由器未在USB1中找到更新的映像,那么它将会使用同一逻辑查看USB2。
路由器还支持在系统启动期间,从USB闪存驱动器中加载配置文件。
•这种行为仅在路由器处于出厂默认设置状态,且在接通电源前连接了USB闪存驱动器时出现。
RV340W管理指南19 管理诊断 诊断 •路由器将搜索USB闪存驱动器,查找名称中包含以下一种或多种信息的配置文件:PID、MAC地址和序列号。
如果USB闪存驱动器中有多个固件文件,路由器将选择名称中包含最具体信息的文件,即根据具体程度,优先级从高到低。
PID-MAC-SN.xmlPID-SN.xmlPID-MAC.xmlPID.xml 使用其他名称的文件将被忽略。
自动固件回退机制路由器在闪存中包含两份固件文件并提供自动回退机制。
当将要启动的固件有损坏或启动五次失败后,设备可以自动切换到备份的固件来启动。
自动回退机制的工作流程如下:
1.路由器首先尝试用当前的固件启动2如果当前的固件有损坏,自动启动五次均失败后会切换到备份固件启动。
如果路由器卡在启动过 程中,不能自动重启,可以手动断电再上电,等上电30秒后再次断电,这样操作5次后设备也会切到备份的固件。
3当设备用份份的固件启动后,请检查原来的主固件是否有问题。
4如果确认主固件有问题,请重新上传主固件。
设备提供了几个诊断工具来帮助对网络问题进行故障排除。
使用下列诊断工具监视网络的整体状况。
使用Ping或Trace可以使用Ping或Trace实用程序测试此路由器与网络中其他设备之间的连接。
要使用Ping或Trace,请按照以下步骤操作: 步骤1步骤2步骤
3 步骤
4 选择管理>诊断。
在“Ping或Trace一个IP地址”部分的“IP地址/域名”字段中输入IP地址或域名。
单击Ping。
系统将显示Ping结果。
这些结果可说明设备是否可访问。
或单击跟踪路由。
系统将显示追踪路由结果。
要执行DNS查找,请在“执行DNS查找”>“IP地址/域名”字段中输入IP地址或域名,并单击查找。
RV340W管理指南20 管理许可证 许可证 在“许可证”部分,您可以配置许可证或注册路由器。
它可以简化思科软件体验,并帮助您了解思科软件的使用方式。
智能软件许可状态“智能软件许可状态”部分显示设备的许可证信息。
注册状态—“已注册”或“未注册”,以及注册日期。
许可证授权状态—“已授权”、“评估模式”、“不合规”、“授权已到期”或“评估期已到期”,以及许可证授权日期。
受控导出功能—默认情况下不允许。
智能许可证使用 您可以选择要用于路由器的智能许可证。
请确保您的路由器虚拟帐户中有足够的许可证,否则会产生不合规问题。
要配置智能许可证,请按照以下步骤操作: 步骤1步骤2步骤3步骤
4 在“智能许可证使用”下,单击选择许可证。
选中适用的许可证并在帐户下输入许可证号。
单击保存。
此时会显示“许可证授权更新”弹出窗口,单击确定。
证书 证书在通信过程中具有重要作用。
由受信任的证书颁发机构(CA)签名的证书可以确保证书持有者的真实身份。
如果数据没有受信任的签名证书,则可能会被加密,但是与您通信的对方可能并非您预期的通信对象。
此页显示证书列表及证书详细信息。
您可以导出自签名证书、本地证书和CSR证书,也可以导入CA证书、本地证书或PKCS#12证书。
您还可以将PC/USB中的证书文件导入新证书。
如果导入了设备证书,它将会取代对应的CSR证书。
“证书表”中显示与路由器相关联的证书。
对于“证书表”中所列的证书,您可以执行删除、导出、查看详细信息或证书导入操作。
RV340W管理指南21 管理导入证书 导入证书要导入证书,请按照以下步骤操作: 步骤1步骤
2 步骤3步骤4步骤5步骤
6 单击导入证书。
从下拉列表中选择要导入的证书类型: •本地证书•CA证书•PKCS#12编码文件。
输入证书名称。
(对于PKCS#12,必须输入密码。
)选中从PC导入,单击选择文件以从特定位置上传并导入证书。
选中从USB导入,单击刷新以从USBKey上传并导入证书。
单击上传。
生成CSR/证书 步骤1步骤2步骤
3 单击生成CSR/证书。
从下拉列表中选择要生成的证书类型。
输入以下信息: 证书名称 输入证书名称。
证书名称不能包含空格或特殊字符。
主题备选名称 输入名称,并选择以下选项之一:IP地址、FQDN或电子邮件。
国家/地区名称 从下拉列表中选择国家/地区。
省/直辖市/自治区名称 输入省/直辖市/自治区。
地区名称 输入地区名称。
组织名称 输入组织名称。
组织单元名称 输入组织单元名称。
通用名称 输入通用名称。
电子邮件地址 输入电子邮件地址。
RV340W管理指南22 管理配置管理 密钥加密长度有效期 步骤4单击生成。
从下拉菜单中选择密钥加密长度。
应为512或2048。
输入天数(范围1-10950,默认值:360)。
配置管理 “配置管理”页面提供路由器文件配置详细信息。
配置文件名称“配置文件名称”显示以下内容的最后更改时间详细信息: •运行配置•启动配置•镜像配置•备份配置 复制/应用配置“复制/应用配置”部分显示使用运行配置文件的设备的默认配置,该文件并不稳定,且重启后不会保留设置。
您可以将此运行配置文件保存到启动配置文件。
•源文件名—从下拉列表中选择源文件名。
•目标文件名—从下拉列表中选择目标文件名。
•保存图标闪烁—表明在有未保存的数据时,图标是否会闪烁。
要禁用/启用该功能,可单击禁 用保存图标闪烁。
RV340W管理指南23 管理配置管理 RV340W管理指南24 第4章 系统配置 系统配置向导可在安装和配置路由器时提供指导。
本节包含以下主题:•初始设置向导,第26页•系统,第27页•时间,第27页•日志,第28页•电子邮件,第30页•用户帐户,第31页•用户组,第33页•IP地址组,第34页•SNMP,第35页•发现Bonjour,第36页•LLDP,第36页•自动更新,第37页•服务管理,第38页•计划表,第38页 RV340W管理指南25 初始设置向导 系统配置 初始设置向导 在“初始设置向导”页面中,您可以检查连接并配置基本路由器设置。
运行设置向导页面中的说明可以指引您完成设备配置过程。
步骤1步骤2步骤3步骤4步骤5步骤6步骤
7 单击系统配置>初始设置向导。
单击下一步进入“检查连接”页面。
如果路由器检测到连接,此页面将显示连接详细信息。
从下拉列表中选择接口。
单击下一步。
在配置路由器选择连接类型下,选择互联网连接类型。
如果选择动态IP或DHCP,单击下一步。
如果选择静态IP地址,单击下一步并配置以下设置。
静态IP地址 输入静态IP地址。
子网掩码 输入子网掩码。
网关IP 输入网关IP。
DNS 输入DNS的IP地址。
步骤
8 如果选择PPPoE,单击下一步并配置以下设置。
帐户名称 输入帐户名称。
密码 输入密码。
确认密码 确认密码。
步骤
9 如果选择PPTP或L2TP,单击下一步并配置以下设置。
帐户名称 输入帐户名称。
密码 输入密码。
确认密码 确认密码。
静态IP地址 输入静态IP地址。
子网掩码 输入子网掩码。
网关IP 输入网关IP。
远程服务器 输入远程服务器。
DNS 输入DNS的IP地址。
RV340W管理指南26 系统配置系统 步骤10步骤11 从“时区”下拉列表中选择路由器的时区。
选择以下选项之一: •启用网络时间协议同步,可自动设置日期和时间。
•手动设置日期和时间,可手动设置日期和时间。
输入日期和时间。
步骤12步骤13 单击下一步。
在“选择MAC地址”部分,选择以下选项之一: •使用默认地址(推荐)。
•使用本计算机的地址。
•使用此地址—输入一个MAC地址。
步骤14步骤15 单击下一步。
在“摘要”部分,检查设置并单击提交。
系统 您的ISP可能会分配一个主机名和一个域名以识别您的设备,或要求您指定同样的信息。
如果是前一种情况,您可以根据需要更改默认值。
按照下面这些步骤分配主机名和域名。
步骤1步骤2步骤3步骤
4 单击系统配置>系统。
在“主机名”字段中输入主机名。
在“域名”字段中输入域名。
单击应用。
时间 设置时间对网络设备至关重要,因为这样每个系统日志和错误消息可以获取时间戳,以便准确跟踪并与其他网络设备同步数据传输。
您可以配置时区(根据需要调整夏令时),并选择网络时间协议(NTP)服务器以同步日期和时间。
RV340W管理指南27 系统配置日志 要配置时间和NTP服务器设置,请按照以下步骤操作: 步骤1步骤2步骤
3 步骤4步骤
5 单击系统配置>时间。
设置时区—选择与格林威治标准时间(GMT)相关的时区。
设置日期和时间—选择自动或手动。
a)自动—选中默认或用户定义并输入符合条件的NTP服务器名称。
b)手动—输入日期和时间。
设置夏令时—选中此项可启用夏令时时间。
您可以选择夏令时模式—按日期或循环,然后输入开始日期和结束日期。
您还可以指定夏令时偏移量(以分钟为单位)。
单击应用。
日志 系统日志(Syslog)是网络设备的基本设置之
一,它用于记录设备数据。
您可以定义应生成日志的实例。
只要发生此类定义的实例,系统都将生成包含时间和事件的日志。
日志将被发送至系统日志服务器或以电子邮件的形式发送。
然后,可以使用系统日志对网络进行分析和故障排除,以及提高网络的安全性。
配置日志设置要配置日志设置,请按照以下步骤操作: 步骤1步骤2步骤3步骤
4 单击系统配置>日志。
在“日志”部分的日志设置下,选中启用。
在日志缓存字段中,输入以KB为单位的值(范围:1KB至4096KB,默认值:1024KB)。
严重性-从下拉列表中选择相应的日志严重性级别。
下面按照从高到低的顺序列出了严重性级别。
紧急 0级,表示系统无法使用。
警报 1级,表示需要立即采取措施。
严重 2级,表示系统处于高危状态。
错误 3级,表示设备中存在错误,例如单个端口离线。
警告 4级,表示在记录警告消息时设备能够正常工作,但已经发生操作问题。
通知 5级,表示发生了虽在正常范围之内,但却值得注意的情况。
在记录通知时,设 备能够正常工作,但系统已发出通知。
信息 6级,表示算不上错误,但需要特殊处理的状态。
RV340W管理指南28 系统配置日志 调试 7级,表示调试消息包含通常只在调试问题时使用的信息。
步骤
5 类别—选中全部或要在设备上记录的任意必需事件类别。
内核 涉及内核代码的日志。
许可证 涉及许可证违规的日志。
系统 与用户空间应用(例如,NTP、会话和DHCP)相关的日志。
Web过滤 与触发Web过滤的事件相关的日志。
防火墙 与防火墙规则、攻击和内容过滤相关的日志。
应用控制 与应用控制相关的日志。
网络 与路由、DHCP、WAN、LAN和QoS相关的日志。
用户 与用户活动相关的日志。
VPN 与VPN相关的日志包含VPN隧道建立失败、VPN网关故障等实例。
3G/4G 来自插入路由器的3G/4G装置的日志。
SSLVPN 与SSLVPN相关的日志。
步骤6在自动保存至USB中,选中启用以自动保存日志。
RV340W管理指南29 电子邮件服务器 系统配置 电子邮件服务器 电子邮件服务器可以配置为电子邮件帐户。
电子邮件服务器日志会定期发送至特定电子邮件地址,因此管理员始终能够掌握网络的最新动态。
路由器支持SMTP邮件帐户配置。
例如:电子邮件地址、密码、报文摘要、可选参数、SMTP服务器端口号、SSL及TLS。
步骤1步骤2步骤3步骤4步骤5步骤6步骤
7 在电子邮件服务器部分,选中电子邮件系统日志,以启用在记录事件时,路由器发送电子邮件警报的功能。
在电子邮件设置部分,单击链接到电子邮件设置页面,以配置电子邮件设置。
在电子邮件主题部分输入主题。
在严重性部分,从下拉列表中选择严重性级别。
在日志队列长度部分,输入在1至1000范围之内的长度。
默认值为50。
在日志时间阈值部分,从下拉列表中选择时间阈值。
在实时电子邮件警报部分,选中“全部”或您希望设备记录的任意电子邮件警报类别。
远程系统日志服务器 远程系统日志服务器用于将生成消息和事件的软件与存储和分析这些消息和事件的系统分隔开。
启用远程系统日志服务器后,网络驱动程序会通过VPN隧道向本地内联网或互联网中的系统日志服务器发送消息。
通过指定名称或IP地址,可对系统日志服务器进行配置。
步骤1步骤2步骤3步骤
4 在系统日志服务器部分中,选中启用以启用向远程服务器发送系统日志的功能。
在系统日志服务器1字段中,输入日志消息应发送到的系统日志服务器的IP地址。
在系统日志服务器2字段中,输入日志消息应发送到的系统日志服务器的IP地址。
单击应用。
电子邮件 您可以按自己的规格要求配置设备的电子邮件服务器。
配置电子邮件 RV340W管理指南30 系统配置 用户帐户 要配置电子邮件服务器,请按照以下步骤操作: 步骤1步骤
2 选择系统配置>电子邮件。
在电子邮件服务器下,输入以下信息: SMTP服务器 输入SMTP服务器的地址。
SMTP端口 输入SMTP端口。
电子邮件加密 选择无或TLS/SSL作为电子邮件加密方法。
验证 从下拉列表中选择验证类型:无,登录,纯文本或MD5。
电子邮件收件人
1 输入收件人的电子邮件地址。
电子邮件收件人
2 输入收件人的电子邮件地址(可选)。
电子邮件发件人地址 输入发件人的电子邮件地址。
步骤3步骤
4 单击测试与电子邮件服务器的连接以测试连接。
单击应用。
用户帐户 您可以创建、编辑和删除本地用户,并使用适用于各种服务(例如PPTP、VPN客户端、WebGUI登录和SSLVPN)的本地数据库验证这些用户的身份。
如此一来,管理员能够进行控制,并仅允许本地用户访问网络。
要创建本地用户并确定密码复杂性,请按照以下步骤操作: 步骤1步骤2步骤
3 依次选择系统配置>用户帐户。
在本地用户密码复杂性下,选中启用以启用密码复杂性。
配置密码复杂性设置。
最短密码长度 输入最短密码长度以创建新密码(范围:0到64,默认为8)。
最少字符类别数 输入应该用于新密码的最少字符类别数(范围:0到
4,默认为3)。
使用以下四个类别中的三种构成密码:(大写字母、小写字母、数字或特殊字符)。
新密码不得与当前密码相同如果启用此选项,在当前密码过期后,系统会要求用户输入与当前密码不同的密码。
RV340W管理指南31 远程验证服务 步骤4步骤
5 在本地用户成员列表表中,单击“添加”以向路由器添加用户。
在添加用户帐户页面,输入以下信息: 用户名 输入用户名。
新密码 输入密码。
新密码确认 确认密码。
密码强度计 显示密码强度。
组 从下拉列表中选择组(管理员或访客)。
步骤6步骤7步骤
8 单击应用。
单击编辑或删除以编辑或删除现有的用户。
在编辑用户帐户页面,输入以下信息: 旧密码 输入旧密码。
新密码 输入新密码。
新密码确认 确认密码。
组 从下拉列表中选择组(管理员或访客)。
步骤9步骤10步骤11 单击应用。
依次单击导入和选择文件,以导入用户名和密码CSV文件。
单击下载用户模板以下载用户模板。
远程验证服务 要使用RADIUS和LDAP启用外部用户验证,可使用远程验证服务。
步骤
1 在远程验证服务表中,单击添加并输入以下信息: 名称 指定域的名称。
系统配置 RV340W管理指南32 系统配置 用户组 验证类型 主服务器备份服务器预共享密钥确认预共享密钥 从下拉列表中选择验证类型:•RADIUS—为连接并使用网络服务的用户提供验证、授权和记帐(AAA)集中式管理的网络协议。
•活动目录—有助于统一使用相互关联、复杂和不同的网络资源的WindowsOS目录服务。
•LDAP—轻型目录访问协议。
输入主服务器的IP地址。
端口—输入服务器的主端口。
输入备份服务器的IP地址。
端口—输入服务器的备份端口。
如果验证类型已选为RADIUS,则输入RADIUS服务器的预共享密钥。
重新输入RADIUS服务器的预共享密钥以进行确认。
步骤
2 单击应用保存设置。
单击编辑或删除可编辑或删除现有的域。
注释外部数据库优先级始终为RADIUS/LDAP/AD/本地。
如果您在路由器上添加Radius服务器,则Web 登录服务和其他服务将使用RADIUS外部数据库对用户进行验证。
不提供单独为Web登录服务启用外部数据库并为其他服务配置其他数据库的选项。
在路由器上创建并启用RADIUS后,路由器将使用RADIUS服务作为Web登录、站点到站点VPN、EzVPN/第三方VPN、SSLVPN、PPTP/L2TPVPN、802.1x的外部数据库。
用户组 管理员可以为共享同一组服务的一群用户创建用户组。
此类用户组可被授权访问多项服务,例如Web登录、PPTP、L2TP和EzVPN。
要创建用户组,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤
5 依次选择系统配置>用户组。
在“用户组表”下,单击添加创建新用户组。
在“组名称”字段中,输入组的名称。
在“本地用户成员关系列表”下,在“加入”列中选中所需的复选框,以将用户列表添加到组。
在“服务”下,选择用户组有权访问的服务,并输入以下信息。
RV340W管理指南33 IP地址组 系统配置 Web登录 站点到站点VPN EzVPN/第三方 SSLVPNPPTPVPNL2TP802.1x 指定向添加到组的用户授予的Web登录权限:•已禁用—用户组的任何成员都不能使用Web浏览器登录配置实用程序。
•只读—用户组的成员登录后只能读取系统状态。
他们无法编辑任何设置。
•管理员—用户组的所有成员均拥有配置和读取系统状态的完整权限。
选中授予此组权限以便访问站点到站点VPN策略。
•单击添加打开添加功能列表弹出窗口。
•从下拉列表中选择配置文件,然后单击添加。
选中授予此组权限以便访问站点到站点VPN策略。
•单击添加打开添加功能列表弹出窗口。
•从下拉列表中选择配置文件,然后单击添加。
从下拉列表中选择配置文件。
选中允许可启用PPTP验证。
选中允许可启用L2TP验证。
选中允许可启用802.1x验证。
步骤
6 单击应用。
注释802.1x仅支持RADIUS验证。
PPTP/L2TP支持RADIUS和本地数据库。
如果您选择本地数据库,则 只支持使用密码验证协议(PAP)进行本地验证。
IP地址组 为了配置和管理应用控制策略与Web过滤,必须设置IP地址组。
要配置IP地址组,请按照以下步骤操作: 步骤1步骤2步骤
3 单击系统配置>IP地址组。
在IP地址组表中单击添加,以添加组并输入名称。
要删除组,请单击删除。
单击添加并输入以下信息。
协议 从下拉列表中选择IPv4或IPv6。
RV340W管理指南34 系统配置 SNMP 类型和地址详细信息 从下拉列表中选择组类型,并输入地址详细信息:•IP地址—在“IP地址”字段中输入IP地址。
•IP地址子网—在“IP地址”字段中输入IP地址,在“掩码”字段中输入其子网掩码。
•IP地址范围—输入“起始IP地址”和“结束IP地址”。
步骤4单击应用。
SNMP 简单网络管理协议(SNMP)是一种互联网标准协议,它用于收集和组织有关IP网络中托管设备的信息,并修改这一信息以改变设备行为。
步骤
1 要配置路由器的SNMP,请输入以下信息: SNMP启用 选中此选项可启用SNMP。
允许来自互联网的用户访问选中此选项可允许来自互联网的用户访问。
允许来自VPN的用户访问选中此选项可允许来自VPN的用户访问。
版本 从下拉列表中选择版本。
系统名称 输入系统名称。
系统联系人 输入系统联系人。
系统位置 输入系统位置。
获取社区 输入社区的名称。
设置社区 输入社区的名称。
步骤
2 陷阱配置 使用陷阱配置,您可以设置路由器(无论从哪个传出接口)向单个地址发送的每个SNMP陷阱数据包的源地址。
要配置SNMP陷阱,请输入以下信息。
陷阱接收器IP地址 输入IP地址。
RV340W管理指南35 发现Bonjour 系统配置 陷阱接收器端口 输入端口号。
步骤3完成设置后,单击应用。
发现Bonjour Bonjour是一项服务发现协议,用于定位LAN上的计算机和服务器等网络设备。
启用此功能之后,设备会定期向LAN组播Bonjour服务记录,以通告此服务的存在。
注释为了发现思科S系列产品,思科提供了一种通过Web浏览器上的简单工具栏即可工作的实用程序,称为FindIt。
此实用程序可发现网络中的思科设备并显示序列号和IP地址等基本信息。
如需了解更多信息并下载此实用程序,请访问/go/findit。
要启用“发现Bonjour”,请按照以下步骤操作: 步骤1步骤2步骤
3 选择系统配置>发现Bonjour。
选中启用以全局启用“发现Bonjour”。
(默认情况下,此功能处于启用状态。
)选中应用。
LLDP 链路层发现协议(LLDP)是网络设备使用的互联网协议套件中的供应商中立协议,用于在IEEE802局域网通告其身份、功能和邻居。
LLDP信息由设备以固定时间间隔,从其接口以以太网帧的形式进行发送。
每个帧包含一个LLDP数据单元(LLDPDU)。
每个LLDPDU都由类型-长度-值(TLV)结构序列构成。
要配置LLDP,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤
5 选择系统配置>LLDP。
在LLDP部分,选中启用。
(默认情况下,此功能处于启用状态。
)在LLDP端口设置表中,选中启用LLDP以在接口上启用LLDP。
单击应用。
LLDP邻居设置表中显示以下信息: RV340W管理指南36 系统配置 自动更新 步骤6步骤
7 •本地端口—端口标识符。
•机箱ID子类型—机箱ID的类型(例如,MAC地址)。
•机箱ID—机箱的标识符。
如果机箱ID子类型为MAC地址,则屏幕上会显示设备的MAC地址。
•端口ID子类型—端口标识符的类型。
•端口ID—端口标识符。
•系统名称—设备的名称。
•存活时间—发送LLDP通告更新的速率(以秒为单位)。
要查看关于LLDP端口的详细信息,请选择“本地端口”并单击详细信息。
要刷新“LLDP邻居设置表”,请单击刷新。
自动更新 升级至最新固件版本有助于修复路由器上的故障和其他偶发性问题。
为此,可以配置路由器,从而在您的设备有重要固件更新时,通过电子邮件向您发送通知。
通过配置,可以针对特定类型的网络事件,以指定时间间隔发送信息。
您需要先配置电子邮件服务器,然后才能配置这些通知。
要配置“自动更新”,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤
5 步骤
6 选择系统配置>自动更新。
从检查频率下拉列表中,选择设备自动检查可能固件版本的频率(从不、每周一次或每月一次)。
单击立即检查可立即执行检查。
在通知方式字段中,选中“电子邮件收件人”并输入电子邮件地址。
通知将发送至配置的电子邮件地址。
如果您尚未配置电子邮件服务器,应单击电子邮件字段旁边给出的说明中的链接,并配置电子邮件服务器。
在自动更新下,选择通知以接收更新通知。
从下拉列表中选择自动更新固件的时间。
您可以选择接收通知,并为以下项目配置更新: •系统固件•USB调制解调器固件•安全签名 单击应用。
RV340W管理指南37 服务管理 系统配置 服务管理 “服务管理”部分显示有关系统配置的信息。
您可以向“服务管理”列表添加新条目或更改条目。
要配置服务管理,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤5步骤6步骤7步骤
8 单击系统配置>服务管理。
在“服务表”中,单击添加。
在应用名称字段中,输入名称以用于标识和管理。
在“协议”字段中,从下拉列表中选择该服务使用的第4层协议:(TCP和UDP、TCP、UDP、IP、ICMP)。
在起始端口/ICMP类型/IP协议中,输入端口号、ICMP类型或IP协议。
在结束端口字段中,输入端口号。
单击应用。
要编辑条目,请选择该条目,然后单击编辑。
进行更改,然后单击应用。
计划表 网络设备应得到保护,从而抵御可能损害机密性或导致数据损坏或拒绝服务的蓄意攻击和病毒。
创建计划表可以在特定的日期或时间应用防火墙或端口转发规则。
要配置计划表,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤
5 步骤
6 选择系统配置>计划表。
在计划表中,单击添加创建新的计划表。
选择计划表并单击编辑可编辑计划表。
在名称列中输入名称以查找计划表。
输入所需的计划表开始时间和结束时间。
选中每天可将计划表应用到周内的每一天。
如果您只需要在某几天应用计划表,则取消选中此选项。
在这种情况下,请再选中您要在星期几应用计划表。
您也可以选择工作日或周末。
单击应用。
RV340W管理指南38 第5章 WAN 本节介绍广域网(WAN),包含以下主题:•WAN设置,第39页•多WAN,第42页•移动网络,第44页•动态DNS,第45页•硬件DMZ,第46页•IPv6转换,第46页 WAN设置 路由器上有两个可以配置的物理WAN和VLAN接口。
要配置WAN设置,请按照以下步骤操作: 步骤1步骤2步骤
3 步骤4步骤5步骤
6 步骤7步骤
8 依次选择WAN>WAN设置。
在WAN表中单击添加。
选择接口(WAN1或WAN2)。
选择接口后,相应的子接口名称将会显示在下方。
将该子接口添加至“多WAN”表,以转发默认的路由流量,否则它将根据路由表仅转发已连接的路由流量。
输入VLANID。
配置IPv4、IPv6或高级协议设置。
单击应用。
IPv4和IPv6连接 对于IPv4连接,请单击IPv4选项卡。
从列表中选择连接类型:当IPv4或IPv6连接使用DHCP时 RV340W管理指南39 WAN设置 WAN 在“DCHP设置”部分输入以下信息: DNS服务器 选择使用DHCP提供的DNS服务器或使用如下DNS。
静态DNS1和静态DNS2在字段中输入主要和/或辅助静态DNS的IP地址。
DHCP-PD(仅限IPv6)选中即可启用并输入前缀名称。
当IPv4或IPv6连接使用静态IP时 在静态IP设置部分输入以下信息: WANIP地址 输入IP地址。
子网掩码 输入子网掩码。
默认网关 输入默认网关的IP地址。
此接口上必须有默认网关,才能参与负载平衡和故障切换(多WAN)。
静态DNS1和静态DNS2在字段中输入主要和/或辅助静态DNS的IP地址。
DHCP-PD(仅限IPv6)选中即可启用并输入前缀名称。
当IPv4或IPv6连接使用PPPoE时 在“PPPoE设置”部分输入以下信息: 用户名 ISP分配给您的用户名。
密码 ISP分配给您的密码。
DNS服务器 选择使用PPPoE提供的DNS服务器或使用DNS。
静态DNS1和静态DNS2在字段中输入主要和/或辅助静态DNS的IP地址。
连接模式 如果ISP收取连接费用,请选择按需连接。
输入由于处于不活动状态而终止连接之前,等待的最大空闲时间(以秒为单位)。
默认值为5分钟。
选择保持活动以定期检查连接,并在连接断开后自动重新建立连接。
验证类型服务名称DHCP-PD(仅限IPv6) 从下拉列表中选择验证类型(自动、PAP、CHAP、MS-CHAP、MS-CHAPv2)。
输入服务的名称。
选中即可启用并输入前缀名称。
注释某些服务提供商不允许ping默认网关,特别是PPPoE连接的网关。
请转至“多WAN”页面禁用“网络服务检测”功能,或选择有效的主机进行检测。
否则,设备不会转发流量。
当IPv4通过PPTP连接时在“PPTP”部分输入以下信息: RV340W管理指南40 WAN WAN设置 IP分配 对于DCHP,请选择此选项以使DHCP提供IP地址。
对于静态IP,请选择此选项,并提供IP地址、子网掩码和默认网关的IP地址。
PPTP服务器IP/FQDN输入服务器的名称。
用户名 ISP分配给您的用户名。
密码 ISP分配给您的密码。
DNS服务器 选择使用PPTP提供的DNS服务器或使用DNS。
静态DNS1和静态DNS2在字段中输入主要和/或辅助静态DNS的IP地址。
连接模式 如果ISP收取连接费用,请选择按需连接。
输入由于处于不活动状态而终止连接之前,等待的最大空闲时间(以秒为单位)。
默认值为5分钟。
选择保持活动以定期检查连接,并在连接断开后自动重新建立连接。
。
验证类型MPPE加密 从下拉列表中选择验证类型(自动、PAP、CHAP、MS-CHAP、MS-CHAPv2)。
选中即可启用MPPE加密。
当IPv4连接使用L2TP时 在“L2TP设置”部分输入以下信息。
IP分配 对于DCHP,请选择此选项以使DHCP提供IP地址。
对于静态IP,请选择此选项,并提供IP地址、子网掩码和默认网关的IP地址。
L2TP服务器IP/FQDN输入服务器的名称。
用户名 ISP分配给您的用户名。
密码 ISP分配给您的密码。
DNS服务器 选择使用L2TP提供的DNS服务器或使用DNS。
静态DNS1和静态DNS2在字段中输入主要和/或辅助静态DNS的IP地址。
连接模式 如果ISP收取连接费用,请选择按需连接。
输入由于处于不活动状态而终止连接之前,等待的最大空闲时间(以秒为单位)。
默认值为5分钟。
选择保持活动以定期检查连接,并在连接断开后自动重新建立连接。
验证类型 从下拉列表中选择验证类型(自动、PAP、CHAP、MS-CHAP、MS-CHAPv2)。
当IPv6连接使用网桥时网桥设置桥接至 IP地址 系统默认为VLAN1。
输入IP地址。
RV340W管理指南41 多WAN WAN 子网掩码 输入子网掩码。
默认网关 输入默认网关。
静态DNS1和静态DNS2在字段中输入主要和/或辅助静态DNS的IP地址。
当IPv6连接使用SLAAC时在“SLAAC设置”部分输入以下信息:静态DNS1和静态DNS2在字段中输入主要和/或辅助静态DNS的IP地址。
DHCP-PD(仅限IPv6)选中即可启用并输入前缀名称。
步骤9步骤10 步骤11 单击应用。
对于高级协议单击“高级”选项卡,配置以下内容: MTU(最大传输单位)MAC地址克隆 选择自动可自动设置大小。
要手动设置MTU大小,请选择手动并输入MTU大小。
(该层可以传递的最大协议数据单元的大小,以字节为单位。
) 选中MAC地址克隆,然后输入MAC地址。
单击克隆我的PC的MAC地址可将计算机的MAC地址用作设备的克隆MAC地址。
注释启用“MAC地址克隆”后,端口镜像无法工作。
单击应用。
注释将这些子接口中的任意接口添加至“多WAN”表,以转发默认路由流量。
否则,它将根据路由表,仅转发已连接的路由流量。
多WAN WAN故障切换和负载平衡功能可实现多个WAN接口的高效利用。
根据配置,此功能可用于多个接口之间的流量分配。
多WAN功能基于权值分配,提供多个WAN接口(WAN和USB)之间的出站WAN流量和负载平衡。
它还使用重复的Ping测试监控每个WAN连接,并在连接断开时将出站流量自动路由至另一个WAN接口。
由于采用5元组连接,还可以配置特定的出站流量规则。
它对每个IP连接执行出站网络负载平衡,而不是单个连接同时使用多个WAN连接的通道捆合。
为实现负载平衡或故障切换,它还可以为WAN配置VLAN接口。
RV340W管理指南42 WAN 多WAN 要配置多WAN设置,请按照以下步骤操作: 步骤1步骤
2 步骤
3 步骤4步骤5步骤
6 选择WAN>多WAN。
在“接口设置表”中,配置以下设置: •接口—应用负载平衡和故障切换配置的WAN接口名称。
选择并检查所需接口(WAN1、WAN2、USB1或USB2)。
•优先级(用于故障切换)—为接口输入优先级值,用于在其他接口上建立另一个连接。
•加权百分比或加权带宽(用于负载平衡)—输入每个连接的加权百分比或值。
在尝试平衡带宽负载时, 如果主连接过载,接口会将流量路由至辅助连接。
为确保两个连接的充分利用,两个连接的负载平衡权值之比应反映连接的带宽之比。
单击高级配置,并配置以下设置:a)启用网络服务检测—选中此选项以允许设备通过Ping特定的设备检测网络连接,然后输入下述设置。
•重试计数—Ping设备的次数。
范围为1至10,默认值为
3。
•重试超时—两次Ping操作之间的等待时间(以秒为单位)。
范围为1至300,默认值为5秒。
•检测目标—选择默认网关或远程主机—如果选择远程主机,则输入主机。
单击应用。
启用基于策略的路由—选中以启用该功能。
然后,单击添加或编辑,并配置以下设置: 优先级 输入优先级值。
源IP 输入源IP地址。
目标IP 输入目标IP地址。
服务 从下拉列表中选择服务。
如果某服务未列出,可以单击服务管理添加服务。
传出接口 从下拉列表中选择传出接口(WAN1、WAN2、USB1或USB2)。
故障切换至备份WAN状态 从“故障切换至备份WAN”下拉列表中选择打开或关闭。
注释如果选择关闭,当绑定接口离线或断开时,流量将被丢 弃。
选择启用或禁用以启用或禁用策略的状态。
步骤7步骤
8 还可通过单击编辑或删除以编辑或删除配置。
单击应用。
注释某些服务提供商不允许Ping默认网关。
请选择有效的远程主机以检测网络连接,或者直接禁用检测。
否则,设备不会转发流量。
RV340W管理指南43 移动网络 WAN 移动网络 移动宽带调制解调器是一种允许笔记本电脑、个人电脑或路由器使用移动宽带连接(而不是电话或数据电缆)获取互联网接入的调制解调器。
要配置移动网络,请按照以下步骤操作: 步骤1步骤2步骤3步骤
4 选择WAN>移动网络。
在“全局设置”部分,选择接口(USB1或USB2)以应用设置。
在“卡状态”部分,单击连接以建立连接。
在“服务类型”部分,从下拉列表中选择服务类型。
移动网络设置 要配置移动网络设置,请按照以下步骤操作: 步骤1步骤2步骤
3 步骤
4 在“配置模式”中,选择自动以自动连接到网络。
输入SIMPIN-与SIM卡关联的PIN码。
或者,选择手动以手动连接到网络,并配置以下设置: •接入点名称—输入移动网络服务提供商提供的接入点名称。
•拨号号码—输入移动网络服务提供商提供的用于连接互联网的号码。
•用户名和密码—输入移动网络服务提供商提供的用户名和密码。
•SIMPIN—输入与SIM卡关联的PIN码。
•服务器名称—输入服务器的名称。
•验证—选择要验证的选项。
从以下连接模式中选择一种。
•按需连接—指定连接定时器,如果定时结束且这段时间内无活动,则终止连接。
输入以秒为单位的“最长空闲时间”,即在因无活动而终止连接前的等待时间。
默认值为5分钟。
•保持活动—定期检查与路由器的连接,以便在连接断开时重新建立连接。
在“重拨周期”中,输入路由器自动检查连接的时间间隔(以秒为单位)。
默认周期为30秒。
RV340W管理指南44 WAN 带宽上限设置 带宽上限设置 “带宽上限跟踪”将一段时间内传输的数据量限制在指定值。
它又被称为带宽上限或数据上限。
要配置带宽上限设置,请按照以下步骤操作: 步骤1步骤
2 选中带宽上限跟踪,输入以下信息:•每月更新日期—选择应用带宽上限设置的天数。
•每月带宽上限—输入数据的大小。
•当3G/4G流量达到每月带宽上限的某个百分比时向管理员发送电子邮件—选择每月带宽上限的数据百分比。
当达到上限时,向管理员发送电子邮件警告。
完成设置后,单击应用。
动态DNS 并非所有计算机都使用静态IP地址,而动态域名系统(DDNS)就是一种能确保域名链接到变化的IP地址的方法。
DDNS通过服务器主机名、地址或其他信息的主动配置自动更新DNS中的服务器。
DDNS将固定域名分配给动态的WANIP地址。
因此,您可以在LAN上托管自己的WebFTP或其他类型的TCP/IP服务器。
有多种DDNS服务可供选择,其中大部分免费,或者以很低的价格提供。
最受欢迎的是DynDNS。
RV340W管理指南45 硬件DMZ WAN 要配置动态DNS策略,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤5步骤6步骤7步骤8步骤9步骤10 选择WAN>动态DNS。
在“动态DNS表”中,选择要添加到动态DNS策略的接口(WAN1、WAN2、USB1或USB2)。
单击编辑。
选中启用该动态DNS策略以启用策略配置。
从“提供商”下拉列表中选择服务提供商的名称。
输入DDNS帐户的用户名和密码。
在“完全限定域名”中输入设备全称,包括域名。
选中启用以接收动态DNS提供商的更新,并选择周期。
单击应用。
单击刷新以刷新动态DNS表。
硬件DMZ 隔离区(DMZ)接受所有传入流量并允许所有传出流量。
DMZ是一个子网,向公众开放但位于防火墙之后。
可以使用DMZ将传输到WAN端口的数据包重定向到特定IP地址。
您可以配置防火墙规则,从而允许从LAN和WAN访问DMZ中的特定服务和端口。
倘若任意DMZ节点遭到攻击,LAN不一定会受到攻击。
建议将必须向WAN公开的主机(例如Web或电子邮件服务器)置于DMZ网络中。
要配置硬件DMZ,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤
5 选择WAN>硬件DMZ。
单击启用,将LAN4更改为DMZ端口。
选择子网以确定DMZ服务的子网,然后输入DMZIP地址和子网掩码。
选择范围(DMZ和WAN位于同一子网内),并输入IP范围。
单击应用。
IPv6转换 要从IPv4迁移至IPv6,可以使用名为6in4的互联网转换机制。
6in4使用隧道,将IPv6流量封装进配置的IPv4链接。
6in4流量通过IPv4发送,使用IPv4数据包报头。
其后为IPv6数据包,其IP报头的IP协议编号设置为41。
RV340W管理指南46 WAN IPv6的IPv4封装隧道(6in4) 要配置IPv6转换,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤5步骤
6 选择WAN>IPv6转换。
在“隧道表”中,选择要配置的接口,并单击编辑。
选中启用。
输入说明。
从下拉列表中选择本地接口(WAN1或WAN2)。
“本地IPv4地址”显示选中接口的地址。
IPv6的IPv4封装隧道(6in4) 要添加IPv4隧道(6in4),请输入以下信息: 步骤1步骤2步骤3步骤4步骤
5 单击IPv6的IPv4封装隧道(6in4)选项卡。
输入远程IPv4地址。
输入本地IPv6地址。
输入远程IPv6地址。
完成设置后,单击应用。
IPv6快速部署(6rd) 在IPv6快速部署(6rd)中,每个ISP使用其自有的IPv6前缀之
一,而不是6to4的标准化特殊2002::/16前缀。
因此,对于可接入IPv6网络的所有本征IPv6主机,均可保证提供商6rd主机的可用性。
要添加IPv6快速部署(6rd),请输入以下信息: 步骤1步骤2步骤
3 单击“IPv6快速部署(6rd)”选项卡。
单击从DHCP自动获取,以使用DHCP(选项212)获取6rd前缀、中继IPv4地址和IPv4掩码长度。
或者,选择手动并设置以下6rd参数。
a)输入中继的IPv4地址。
b)输入IPv4通用前缀长度。
RV340W管理指南47 IPv6快速部署(6rd) WAN 步骤
4 c)输入IPv6前缀/长度。
IPv6网络(子网)通过前缀进行标识。
网络中所有主机的IPv6地址具有相同的初始位。
输入网络地址中常见初始位的位数。
默认值为64。
单击应用。
RV340W管理指南48 第6章 QoS 本节介绍服务质量(QoS),此功能用于优化网络流量,从而提升用户体验。
QoS通过在网络中设置特定数据类型(视频、音频、文件)的优先级,来控制和管理网络资源。
此功能专门应用于为视频点播、IPTV、IP电话、流媒体、视频会议和在线游戏生成的网络流量。
本节包含以下主题; •流量类,第49页•WAN队列,第50页•WAN监管,第51页•WAN带宽管理,第51页•交换机分类,第52页•交换机队列,第53页 流量类 流量类根据服务将互联网流量引导至所需队列。
服务可以是第4层TCP或UDP端口应用、源或目标IP地址、DSCP、接收接口、操作系统和设备类型。
要配置流量类,请按照以下步骤操作: 步骤1步骤
2 步骤
3 依次单击QoS>流量类。
在“流量表”中,单击添加(或选择相应行,然后单击编辑),并输入以下信息: •类名称—输入定义的类的名称。
•说明—输入类说明。
•使用中—队列策略正在使用的流量类记录。
在“服务”表中,单击添加(或选择相应行,然后单击编辑),并输入以下信息: RV340W管理指南49 QoSWAN队列 服务名称接收接口IP版本源IP目标IP服务/应用 设备类型操作系统类型匹配DSCP 重写DSCP 步骤4单击应用。
输入服务的名称。
从下拉列表中选择接口(WAN1、WAN2、USB1、USB2、LAN1、LAN2、LAN3、LAN4或VLAN1)。
选择IPv4、IPv6或任意一个(如果您不清楚流量版本)。
输入流量的源IP地址。
输入流量的目标IP地址。
•服务:选择要应用于流量记录的服务的名称。
提供源和目标端口。
•应用:选择要应用于流量记录的应用。
选择应用行为和类别。
注释用户在“安全/应用控制”页面中启用应用控制之前,无法配置应用规则。
从下拉列表中选择产生流量的设备所属的类型。
从下拉列表中选择产生流量的设备运行的操作系统。
DSCP匹配IPv6流量的IPv6标头中的流量类值。
流量类值是配置的值的4倍。
例如,如果用户将匹配的DSCP配置为10,然后将DSCP重写为18。
此规则会匹配流量类值为40的IPv6流,并将DSCP重写为72。
从下拉列表中选择与传入数据包中的DSCP值匹配的DSCP值。
从下拉列表中选择传入数据包中要替换成的DSCP值。
WAN队列 可在三个相互排斥的模式(速率控制、优先级和低延迟)中对来自LAN到WAN的网络流量进行控制。
RV340W管理指南50 QoSWAN监管 要配置WAN队列,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤
5 步骤6步骤
7 单击QoS>WAN队列。
在“WAN队列表”中,选择所需的队列引擎(优先级、速率控制或低延迟)。
在“WAN队列表”中,单击添加,然后输入策略名称并提供说明。
如果选择“优先级队列”,则在“排队优先级表”中从下拉列表中选择每个队列的流量类。
如果选择“速率控制队列”,则在“队列速率控制表”中选择“流量类”,然后输入每个队列的最小和最大速率。
如果选择“低延迟队列”,则在“队列低延迟表”中选择“流量类”,然后配置每个队列的带宽共享值。
单击应用。
WAN监管 在“WAN监管”中,速率控制模式可支持八个队列。
每个队列均可配置为使用最大速率。
要配置“WAN监管”页面,请按照以下步骤操作: 步骤1步骤2步骤
3 单击QoS>WAN监管。
选中在WAN接口上启用流量监管。
在“策略类表”中,为每个队列配置以下设置: 流量类 选择未指定或默认。
最大速率 输入队列的最大带宽速率(以百分数表示)以限制从WAN到LAN的传入流量。
步骤4单击应用。
WAN带宽管理 WAN接口可以使用ISP提供的最大带宽进行配置。
对此值(以KBP/S为单位的传输速率)进行配置后,可以定义的速率对进入端口的流量进行整形。
RV340W管理指南51 QoS交换机分类 要配置WAN带宽管理,请按照以下步骤操作: 步骤1步骤
2 单击QoS>WAN带宽管理。
在“WAN带宽管理表”中,选择接口,然后配置以下设置: 上游(kb/s) 输入上游流量速率(以kb/s为单位)。
下游(kb/s) 输入下游流量速率(以kb/s为单位)。
*您将需要为下游带宽启用WAN监管功能,否则下游带宽不会生效。
出站排队策略 选择要向WAN接口应用的出站排队策略。
步骤3单击应用。
交换机分类 在基于端口、基于DSCP和基于CoS等QoS模式下,数据包是向外发送的。
要配置交换机分类,请单击QoS>交换机分类,并按照以下步骤操作: 步骤
1 选择所需的交换机QoS模式(基于端口、基于DSCP或基于CoS)。
基于端口 在每个LAN端口上,传入数据包基于映射关系映射到特定队列。
•LAN端口队列—选择“LAN端口队列”,以映射各个LAN端口上的传入流量。
•LAG端口队列—启用LAG后,系统会使用配置的队列映射进入此LAG接口的所有流量。
基于DSCP 对于IPv6流量,DSCP会匹配IPv6标头中的流量类值,并将其放置在不同的队列中。
流量类值是DSCP值的4倍。
例如,如果用户的配置是DSCP值10映射至队列
1,那么系统会将流量类值为40的IPv6流放入队列
1。
交换机必须使用传入数据包的DSCP字段,并使用映射表优先安排数据包进入特定队列。
•根据传入数据包的DSCP值,将流量映射至不同的队列。
基于CoS 交换机使用传入数据包优先级“CoS”位,并将数据包划分到用户配置的队列。
•根据传入数据包的CoS值,通过从下拉列表中选择队列将流量映射至不同的队列。
RV340W管理指南52 QoS交换机队列 步骤2单击应用。
交换机队列 在“交换机队列”中,可以通过为每个队列分配加权,配置每个端口上所有四个队列的队列加权。
加权的范围是1到100。
启用LAG后,用户可以定义所有四个队列的队列加权。
注释如果加权为
0,则意味着相应队列在优先级最高的队列中。
要配置LAN端口队列加权,请单击“QoS>交换机队列”,并完成以下操作: 步骤1步骤2步骤3步骤
4 在“LAN端口队列加权”中,为每个队列选择相应的加权。
单击应用。
单击恢复默认设置,恢复系统默认设置。
“LAG端口队列加权”表会显示LAG端口及其队列加权。
RV340W管理指南53 QoS交换机队列 RV340W管理指南54 第7章 LAN 本节介绍局域网(LAN),这是一种覆盖面积相对较小区域(例如办公大楼、学校或家庭)的计算机网络。
本节包含以下主题: •端口设置,第55页•VLAN设置,第56页•LAN/DHCP设置,第57页•静态DHCP,第60页•802.1X配置,第60页•DNS本地数据库,第61页•路由器通告,第61页 端口设置 “端口设置”页面显示EEE、流量控制、模式、端口镜像和链路聚合的端口。
要配置LAN的端口设置,请按照以下步骤操作: 步骤1步骤
2 选择LAN>端口设置。
在各基本端口配置表中,配置以下设置: 端口 列出路由器上当前可用的端口。
已启用 选中此选项可启用端口并对端口进行设置。
禁用此复选框后,端口上的所有设置将全部丢失。
EEE(节能以太网) 选中此选项可降低端口在数据活动量较少时的功耗。
RV340W管理指南55 LANVLAN设置 流量控制模式 选中此选项可启用对称流量控制。
流量控制用于在连接到设备的LANPC之间收发暂停帧和对应的暂停帧。
从下拉列表中选择端口设置模式。
步骤
3 在“端口镜像配置”部分,输入以下信息: 启用 选中启用可启用端口镜像配置。
目标端口 从下拉列表中选择任一LAN(LAN1到LAN4)。
受监控端口 对发送用于映射的流量进行监控所用的端口。
从下拉列表中选择任一LAN(LAN1到LAN4)。
步骤
4 在链路聚合配置表中,输入以下信息: 组名称 列出链路组的名称。
未分配 选中此选项可将端口从LAG表中删除。
从下拉列表中选择任一LAN(LAN1到LAN4)。
LAG1 选择在适当的端口上对流量应用链路聚合。
从下拉列表中选择任一LAN(LAN1到LAN4)。
步骤
5 警告端口(将成为LAG的一部分)上现有的配置会全部丢失。
单击应用。
VLAN设置 通过应用指定的VLAN,可以为端口上的流量加标记。
这种标记有助于区分和转发流量。
系统中仅有32个VLAN。
如果WAN使用了少数VLAN,那么LAN可以使用剩余的VLAN。
RV340W管理指南56 LANLAN/DHCP设置 要配置VLAN设置,请输入以下信息: 步骤1步骤2步骤3步骤4步骤5步骤6步骤7步骤
8 步骤
9 选择LAN>VLAN设置。
在VLAN表中,单击添加。
输入VLANID。
(范围为1-4093)。
选中可启用Inter-VLAN。
输入IPv4地址。
输入前缀、前缀长度和接口标识符。
单击编辑或删除可编辑或删除VLAN表配置。
在“VLAN到端口表”中,单击编辑可向LAN端口分配VLAN。
为表中所列的每个VLAN指定以下信息。
•不标记—从下拉列表中选择不标记可取消端口标记。
•标记—从下拉列表中选择标记可将端口添加为所选VLAN的成员。
从这一指向所选VLAN的端口发送的数据包将具备VLANID标记。
如果端口上没有非标记的VLAN,接口将自动加入VLAN1。
•排除—从下拉列表中选择排除可将端口从所选VLAN中排除。
从端口排除非标记VLAN后,端口会自动加入默认的VLAN。
单击应用。
LAN/DHCP设置 DHCP设置为中继配置DHCP服务器,或为LAN客户端配置选项82(DHCP中继代理信息选项),以获取IP地址。
DHCP服务器维持本地池和租用。
它还允许LAN客户端连接到远程服务器以获取IP地址。
利用选项82,DHCP中继代理在将客户端发起的DHCP数据包转发至DHCP服务器时,可以包含有关自身的信息。
DHCP服务器可以使用此信息实施IP寻址或其他参数分配策略。
要配置LAN/DHCP设置,请按照以下步骤操作: 步骤1步骤2步骤3步骤
4 选择LAN>LAN/DHCP设置。
在“LAN/DHCP设置表”中,单击添加。
如果选择接口,请从下拉列表中选择一个VLAN,并单击下一步。
要为IPv4配置DHCP,请为IPv4选择DHCP类型。
已禁用 在该设备上为IPv4禁用DHCP服务器。
不需要填写其他参数。
服务器 DHCP服务器将地址分配给对应池中的客户端。
RV340W管理指南57 LANLAN/DHCP设置 中继 通过设备发送DHCP请求和其他DHCP服务器的回复。
输入远程DHCP服务器 IPv4地址以配置DHCP中继代理。
步骤
5 为IPv4配置DHCP 单击下一步,并配置以下设置: 客户端租用时间 网络用户可以使用当前IP地址连接到路由器的时间(以分钟为单位)。
有效值为5至43,200分钟。
默认为1440分钟(即24小时)。
范围起始值和范围结束值 可以动态分配IP地址的范围起始值和结束值。
该范围内的IP地址数可以达到服务器在不覆盖PPTP和SSLVPN时能够分配的最大数目。
DNS服务器 DNS服务类型;在此可获取DNS服务器IP地址。
静态DNS1和静态DNS2DNS服务器的静态IP地址。
(可选)如果输入第二个DNS服务器,设备将使用第一个DNS服务器响应请求。
WINS服务器DHCP选项 Windows互联网命名服务(WINS)服务器的可选IP地址,用于将NetBIOS名称解析为IP地址。
默认为0.0.0.0。
•选项66—输入单个TFTP服务器的IP地址或主机名。
•选项150—输入一系列TFTP服务器的IP地址。
•选项67—输入启动文件名。
步骤
6 为IPv6配置DHCP类型 要为IPv6配置DHCP模式,请输入以下信息: 禁用 在该设备上禁用DHCP。
不需要填写其他参数。
服务器 该DHCP服务器将地址分配给对应池中的客户端。
步骤
7 单击下一步,并配置以下设置: 客户端租用时间 网络用户可以使用当前IP地址连接到路由器的时间。
输入时间(以分钟为单位)。
有效值为5至43,200分钟。
默认为1460分钟(24小时)。
例如,如果路由器使用默认的LANIP地址192.168.1.1,则起始值必须为192.168.1.2或更大。
范围起始值 IPv6地址池的起始地址。
范围结束值 IPv6地址池的结束地址。
DNS服务器 ISP提供的DNS(服务器静态)、代理或DNS服务器的类型。
RV340W管理指南58 LANLAN/DHCP设置 静态DNS1和DNS2 (可选)DNS服务器的IP地址。
如果输入第二个DNS服务器,设备将使用第一个DNS服务器进行响应。
与使用动态分配的DNS服务器相比,指定DNS服务器可以提供更快的访问速度。
默认为0.0.0.0。
步骤
8 配置选项82电路 若要配置选项82电路,请输入以下信息。
说明 输入选项82客户端的说明。
电路ID 加强验证安全,以确定选项82电路ID中提供的信息。
输入电路ID及其格式。
步骤
9 单击下一步,并输入以下信息: IP地址和子网掩码 输入设备的IP地址和子网掩码。
步骤10步骤11 单击下一步。
要添加新的DHCP配置,请配置以下设置: 客户端租用时间 网络用户可以使用当前IP地址连接到路由器的时间。
输入时间(以分钟为单位)。
有效值为5至3200分钟。
默认为1460分钟(24小时)。
范围起始值和范围结束值 可以动态分配IP地址的范围起始值和结束值。
该范围内的IP地址数可以达到服务器在不覆盖PPTP和SSLVPN时能够分配的最大数目。
例如,如果路由器使用默认的LANIP地址192.168.1.1,则起始值必须为192.168.1.2或更大。
DNS服务器 DNS服务类型;在此可获取DNS服务器IP地址。
静态DNS1和静态DNS2DNS服务器的静态IP地址。
(可选)如果输入第二个DNS服务器,设备将使用第一个DNS服务器响应请求。
WINS服务器 Windows互联网命名服务(WINS)服务器的可选IP地址,用于将NetBIOS名称解析为IP地址。
默认为0.0.0.0。
DHCP选项 •选项66—输入单个TFTP服务器的IP地址或主机名。
•选项150—输入一系列TFTP服务器的IP地址。
•选项67—输入启动文件名。
步骤12单击确定,然后单击应用。
RV340W管理指南59 LAN静态DHCP 静态DHCP 利用静态DHCP,可使用指向定义的MAC的IPv4地址。
要配置静态DHCP,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤5步骤
6 选择LAN>静态DHCP。
单击添加。
在“静态DHCP表”中,在“名称”字段中输入名称。
在相应的字段中输入IPv4地址和MAC地址。
选中启用。
单击应用。
802.1X配置 IEEE802.1X基于端口的验证可防止未经授权的设备(客户端)访问网络。
该网络访问控制使用IEEE802LAN基础设施的物理访问特性,对连接到LAN端口(具有点对点连接特性)的设备进行验证和授权。
在此环境中,一个端口是LAN基础设施的一个单独连接点。
设备支持多主机模式。
在该模式下,在连接的主机中,只需一台主机成功获得授权,所有主机即可获得网络访问权限。
如果端口未经授权(重新授权失败或收到了EAPOL-logoff消息),系统将拒绝所有连接的客户端访问网络。
配置基于端口的验证的步骤: 步骤1步骤2步骤
3 步骤
4 选择LAN>802.1X配置。
选中启用基于端口的验证以启用该功能。
注释802.1X要求使用RADIUS进行验证。
确保在用户帐户,第31页中定义了RADIUS服务 器。
从“802.1X配置表”的下拉列表中选择“管理状态”。
•强制授权—无需授权。
必须强制为至少一个LAN端口授权。
•自动—启用基于端口的验证。
接口根据设备与客户端之间的验证交换在授权状态和未经授权状态之间转换。
单击应用。
注释在启用基于端口的验证之前,确保相应的配置处于活动状态且正确无 误。
RV340W管理指南60 LANDNS本地数据库 DNS本地数据库 一种本地域名服务(DNS)服务器,用于加速的DNS服务响应。
DNS将域名与其可路由IP地址进行匹配。
对于常用域名,相比于使用外部DNS服务器,使用DNS本地数据库充当本地DNS服务器可以更快给出结果。
如果请求的域名不在本地数据库中,则该请求将转发至在“设置”页面上指定的DNS服务器。
要配置DNS本地数据库,请按照以下步骤操作: 步骤1步骤2步骤
3 选择LAN>DNS本地数据库。
单击添加,并输入主机名和IPv4或IPv6地址。
您还可以编辑或删除DNS:单击应用。
路由器通告 路由器通告常驻程序(RADVD)用于定义接口设置、前缀、路由和通知。
主机依靠其本地网络中的路由器来实现与其他所有主机(本地网络中的主机除外)的通信。
路由器定期发送并响应路由器通告消息。
通过启用此功能,消息会由路由器定期发送并响应请求。
主机使用该信息了解本地网络的前缀和参数。
禁用此功能可以有效禁用自动配置,需要在每台设备上手动配置IPv6地址、子网前缀和默认网关。
要配置路由器通告,请按照以下步骤操作: 步骤1步骤2步骤
3 选择LAN>路由器通告。
从下拉列表中选择VLANID。
选中启用以启用路由器通告,然后配置以下设置: 通告模式 从下拉列表中选择通告模式(单播或主动提供的组播)。
通告间隔 输入发送路由器通告消息的时间间隔(介于10至1800之间,默认为30秒)。
RV340W管理指南61 LAN路由器通告 RA标签 路由器偏好最大传输单位(MTU)路由器有效期限 确定主机是否可以使用DHCPv6获取IP地址和相关信息。
选择并选中以下选项之一: •管理型—主机使用管理型、有状态的配置协议(DHCPv6)通过DHCPv6获取有状态的地址和其他信息。
•其他—使用管理型、有状态的配置协议(DHCPv6)获取其他非地址信息,例如DNS服务器地址。
多宿主主机有权访问多个路由器的网络拓扑中使用的偏好度量标准。
路由器偏好有助于主机选择合适的路由器。
有三种偏好可供选择,即高、中或低。
默认设置为“高”。
从下拉列表中选择偏好。
MTU是可在网络中发送的最大数据包的大小。
它用于路由器通告消息中以确保在LANMTU未众所周知时网络上的所有节点都使用相同的MTU值。
默认设置为1500字节,这是以太网的标准值。
对于PPPoE连接,标准值为1492字节。
除非ISP要求进行其他设置,否则不应更改此设置。
输入介于1280与1500之间的值。
输入路由器通告消息在路由上存在的时间(以秒为单位)。
默认值为3600秒。
步骤4步骤5步骤
6 在“前缀表”中,单击添加并输入前缀的名称。
在“前缀长度和有效期限”字段中输入前缀长度和有效期限。
单击应用。
RV340W管理指南62 第8章 无线 无线局域网(WLAN)是一种无线分布技术,该技术以高频无线电波为媒介构建灵活的数据通信系统,通常会使用无线接入点来实现互联网连接。
此技术通常用于扩展(而不是取代)建筑物或园区内的有线局域网。
由于无线局域网使用射频技术发送和接受数据,所以此类网络无需使用有线连接。
只要是在信号覆盖区域内,即使用户四处移动,也能始终保持网络连接。
本节介绍无线局域网,这是一种典型的本地局域网,通过高频无线电波(而非有线连接)在节点之间进行通信。
本节包含以下主题: •基本设置,第63页•高级设置,第68页•CaptivePortal,第69页•WPS,第71页 基本设置 RV340W可提供无线局域网(WLAN)功能,所有端口(LAN端口和WLAN端口)均在单一广播域中。
此路由器支持802.11ac标准,可同时选择2.4GHz和5GHz两个频段。
根据选择的无线电类型,您可以选择WLAN网络发送和接收数据的频率或通道。
为每个无线电选择合适的通道宽度有助于提高WLAN的吞吐量。
在“基本设置”中,您可以添加、编辑或删除无线SSID设置,也可以选择并配置无线电通道。
您最多可以为每个无线电添加4个独立的虚拟无线网络。
也就是说,您最多只能添加8个SSID(每个无线电4个SSID)。
达到此上限后,“添加”按钮将变成灰色。
要配置无线SSID设置,请按照以下步骤操作: 步骤1步骤2步骤
3 选择无线>基本设置。
在“无线表”中,单击添加或编辑。
然后在“添加/编辑无线SSID设置”页面中配置以下设置: RV340W管理指南63 无线基本设置 SSID名称启用主动应用于无线电 SSID广播 安全模式 此项用于指定网络的名称。
选中启用可启用对应的网络。
选择2.4G或5G频段,可在网络设置和所选频段都满足条件的情况下,将网络连接到所选频段。
系统将在所选的无线电频段中创建此SSID。
选择两者可将此SSID同时配置到两个无线电频段,并将此配置文件关联到具有相应网络设置的可用网络。
如果您希望某个范围内的无线客户端在扫描可用网络时能够检测到此无线网络,可选中此项,以启用SSID广播。
如果您不希望此SSID可被发现,请禁用此功能。
如果禁用此项,无线客户端只有在提供SSID和所需安全凭证的情况下,才能连接到您的无线网络。
此项用于为网络选择安全模式,可用选项如下: •WEP-64:如果您使用不支持WPA或WPA2安全模式的旧型设备,可选择64位WEP安全模式,然后输入WEP密钥。
WEP密钥应由10个十六进制字符组成。
•WEP-128:如果您使用不支持WPA或WPA2安全模式的旧型设备,可选择128位WEP安全模式,然后输入WEP密钥。
WEP密钥应由26个十六进制字符组成。
•WPA2-个人:选择Wi-Fi保护访问第II版(WPA2)安全协议可获得更强的安全保护。
如果选择此项,您需要输入一个字母数字式密码。
•WPA-WPA2-个人:如果您同时允许WPA和WPA2客户端连接到您的无线网络,选择此协议可以获得更强的安全保护。
如果选择此项,您需要输入一个字母数字式密码。
•WPA2-企业:选择此安全协议可使用RADIUS服务器身份验证。
若选择此项,请指定以下值: RADIUS服务器IP地址(用于处理客户端身份验证的RADIUS服务器的IP地址)。
RADIUS服务器端口(用于访问RADIUS服务器的端口)。
RADIUS密码(共享的RADIUS密码)。
•WPA-WPA2-企业:如果您同时允许WPA和WPA2客户端连接到您的无线网络,选择此协议可以使用RADIUS服务器进行身份验证。
如果选择此项,您需要指定“RADIUS服务器IP地址”、“RADIUS服务器端口”和“RADIUS密码”。
RV340W管理指南64 无线基本设置 PMF 1如果“安全模式”设置为“无”,则“PMF”会自动设置为不需要,并会显示为灰色(不可编辑)。
2如果“安全模式”设置为“WPA2-XXX”,则“PMF”默认设置为能够。
•此默认值可以编辑—用户可以将其设置为不需要或需要。
•如果“安全模式”设置为“WPA-XXX”且“PMF”设置为能够,在进行保存时,系统可能会弹出警告,例如“PMF已启用。
但是,一些无线客户端可能无法与PMF完全兼容,并存在不稳定的问题。
” 使用SSID进行无线隔离 注释要设置PMF配置选项,请参阅下面的PMF表。
选中启用可在SSID中启用无线隔离。
启用无线隔离后,连接到同一SSID的无线客户端将无法相互可见或相互通信。
WMM 要根据接入类别(AC)确定流量的优先级并对流量进行排队,请选中启用以启用无线多媒体扩展(WME)。
启用WME可以实现更高效的吞吐量,但是在杂乱的无线电频率(RF)环境下可能会出现较高的错误率。
WPS 选中“启用”可启用Wi-Fi保护设置(WPS)。
此项最多支持两种使用模式:“PIN”和“PushButton”。
如果启用此项,请单击配置,然后在弹出窗口中设置WPS参数。
有关配置WPS的详细信息,请参阅WPS,第71页。
VLAN 此项用于指定SSID所需映射到的VLANID。
连接到此网络的设备将被分配此VLAN中的地址。
默认VLANID为
1,如果所有设备都在同一个网络中,您可以无需更改此设置。
关联的最大客户端数访问时刻 此项用于指定可以同时关联的最大客户端数(对于2.4G频段,默认值为每个SSID50个;对于5G频段,默认值为每个SSID124个)。
注释所有启用的SSID所配置的“关联的最大客户端数”总数不应超过50个客户端(2.4G)或124个客户端(5G)(如果启用MU-MIMO,则不应超过128)。
此项用于指定SSID可用的时间段,如果要使SSID仅在每天的特定时刻或每周的特定日期可用,可以使用此设置。
您还可以指定用户可以访问网络的时间,以限制对网络的访问,从而进一步保护您的网络。
MAC过滤 通过使用MAC过滤,您可以根据请求设备的MAC(硬件)地址来允许或拒绝访问无线网络。
选中“启用”可以为相应的SSID启用MAC过滤。
如果启用此项,请单击配置,为无线网络指定MAC黑名单(禁止访问网络的设备)和白名单(允许访问网络的设备)。
RV340W管理指南65 无线配置2.4GHz无线电 CaptivePortal 表2:PMF表无线接入点设置不需要不需要不需要能够能够能够需要需要需要 选中“启用”可以为SSID启用CaptivePortal验证。
如果启用此项,您需要从下拉列表中选择门户配置文件。
您也可以单击新建,自行配置一个新的配置文件。
有关添加新的CaptivePortal配置文件的详细信息,请参阅CaptivePortal,第69页。
客户端设置不需要能够Required不需要能够需要不需要能够需要 结果不使用PMF连接不使用PMF连接无连接不使用PMF连接使用PMF连接使用PMF连接无连接使用PMF连接使用PMF连接 是否安全 配置2.4GHz无线电 路由器支持双频功能(2.4GHz和5GHz),您可以选择启用或禁用此功能。
您还可以指定每个频段的通道数,或选择自动通道选择。
这些设置将应用到所有虚拟无线网络。
根据选择的无线电频段, RV340W管理指南66 无线 配置5GHz无线电 WLAN网络会以特定频率(或所选通道)收发数据。
为每个无线电选择合适的通道宽度有助于提高WLAN的吞吐量。
要配置并发通道选择参数,请按照以下步骤操作: 配置2.4GHz无线电 步骤1步骤2步骤3步骤4步骤
5 步骤
6 步骤7步骤
8 单击无线>基本设置>2.4G。
单击无线电启用2.4GHz频段。
从“无线网络模式”下拉列表中,选择网络频段模式(“仅B”、“仅G”、“仅N”、“B/G混合”、“G/N混合”或“B/G/N混合”)。
单击20MHz或20/40MHz,选择通道宽度。
单击“较低”或“较高”单选按钮,选择主通道。
注释如果您在步骤4中选择了20MHz带宽,或者从下拉列表中选择了自动,则无法选择主通 道。
从下拉列表中选择适当的无线通道。
您可以选择自动,让系统来选择通道。
如果您选择较低作为主通道设置,则可以选择的通道范围为1至
7。
如果您选择较高,则可以选择的通道范围为5至11。
要启用“非调度自动节能发送”(U-APSD)模式,并允许连接的客户端使用U-APSD功能达到节能目的,请选中U-APSD(WMM节能)。
此设置可以使用802.11e和传统802.11提供的机制调整能耗,实现节能。
单击应用。
配置5GHz无线电 要配置5GHz无线电,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤
5 单击无线>基本设置>5G。
单击无线电启用5GHz频段。
从“无线网络模式”下拉列表中,选择网络频段模式(“仅A”、“N/AC混合”或“A/N/AC混合”)。
单击20MHz、40MHz或80MHz单选按钮,选择通道宽度。
单击较低或较高,选择主通道。
注释只有在选择40MHz带宽的情况下,才能选择主通 道。
RV340W管理指南67 无线高级设置 步骤6步骤
7 步骤
8 步骤
9 从下拉列表中选择适当的无线通道。
您可以选择自动,让系统来选择通道。
如果设备支持省电功能,而且您希望启用“非调度自动节能发送”(U-APSD)模式,请选中U-APSD(WMM节能)。
选中多用户MIMO启用此功能。
多用户多输入多输出(MIMO)功能可以在5G频段上同时支持最多4个平行组。
单击应用。
高级设置 您可以为每个无线电设定高级设置,例如“帧突发”、“WMM无确认”、“基本速率”、“传输速率”、“DTIM间隔”、“RTS阈值”等。
要配置“无线”选项下的高级设置,请按照以下步骤操作: 步骤1步骤
2 依次单击无线>高级设置>2.4G或5G选项卡。
配置以下设置: 帧突发 选中启用可允许以最小帧间隔发送多个帧,从而提高网络效率并减少系统开销。
WMM无确认 选中启用可实现较高的吞吐量。
但是在干扰较多的射频(RF)环境下,启用此项会导致错误率上升。
数据速率 对于“数据速率”,单击设置为默认值为“基本速率”和“传输速率”选择默认值。
基本速率 选择“基本速率”设置—服务准备平台可以达到的传输速率。
设备会向网络中的其他无线设备通告它的基本速率,以确保其他无线设备了解所要使用的速率。
服务准备平台也会通告它将自动选择传输的最佳速率。
传输速率 选择“传输速率”设置—根据无线网络速度决定的数据传输速率。
CTS保护模式 “允许发送”(CTS)保护模式是802.11无线网络协议使用的一种机制,可减少由于隐藏节点问题导致的帧冲突。
默认情况下,此项设置为自动。
要禁用此项,请单击禁用。
信标间隔 此项用于指定信标间隔(信标传输活动的时间间隔),单位为毫秒。
信标是一种由设备广播的数据包,用于与无线网络同步节点(如无线接入点)必须发送信标的时间(也称为“目标信标传输时间”或“TBIT”)。
信标间隔以“时间单位”(TU)表示,可设置的范围介于40至3500毫秒之间,默认值为100。
RV340W管理指南68 无线CaptivePortal DTIM间隔分片阈值RTS阈值发射功率 此项用于指定“发送流量指示图”(DTIM)间隔。
此设置可通知客户端无线接入点中存在缓冲的组播/广播数据。
这些数据包含在按DTIM间隔指定的频率定期生成的信标中。
可设置的范围介于1至255之间,默认值为
1。
此项用于输入“分片阈值”,此值指定在数据分为多个数据包之前的最大数据包大小。
在数据包错误率较高的情况下,可以稍微增大“分片阈值”。
将“分片阈值”设置得过低可能会导致网络性能变差。
可设置的范围介于256至2346之间,默认值为2346。
“RTS阈值”字段用于输入“请求发送”(RTS)的阈值大小。
如果网络数据包小于指定的阈值大小,则RTS/CTS机制不会启用。
可设置的范围介于0至2347之间,默认值为2347。
此项用于在“发射功率”下拉列表中选择所要发送(Tx)的数据量。
步骤3选择所需值后,单击应用。
CaptivePortal CaptivePortal功能为客户端提供经过验证且受控的网络资源访问权限,而且不会影响安全性。
换而言之,连接到WLAN接口的客户端在获得授权之前,会被限制在一个“围墙花园”内。
CaptivePortal会显示一个特殊网页,用于对客户端进行身份验证,然后客户端才能使用互联网。
不过,客户端可以解析DNS,并通过Web浏览器访问专门添加到该“围墙花园”的网站。
身份验证通过用于发起身份验证的CaptivePortal进行。
如果未经过身份验证的客户端试图连接到某个网页(在端口80),守护进程会拦截该请求,并将其重定向到CaptivePortal(UI端口)。
您可以在设备中针对每个虚拟无线网络配置CaptivePortal,只需将虚拟无线网络与门户配置文件关联即可。
您还可以通过选择状态和统计信息>CaptivePortal状态,来查看CaptivePortal的状态。
有关如何启用CaptivePortal配置文件的说明,请参阅基本设置,第63页。
要创建CaptivePortal配置文件,请按照以下步骤操作: 步骤1步骤
2 步骤
3 单击无线>CaptivePortal。
在“CaptivePortal”页面中,单击“门户配置文件表”底部的添加。
要修改现有门户配置文件,请选中相应的复选框,然后单击编辑。
在“添加CaptivePortal配置文件”页面中,配置以下设置: 配置文件名称 输入新CaptivePortal配置文件的名称。
身份验证 选择是启用(身份验证)或禁用(无身份验证)身份验证。
RV340W管理指南69 无线CaptivePortal 更改用户登录请求,重定向可以选择原始URL,也可以选择新URL并在文本字段输入一个URL,以便在 到 完成身份验证后将用户重定向到该URL。
空闲超时 设置身份验证的有效时间,单位为秒,范围介于0-1440之间。
0表示时间无限。
步骤
4 在“门户页面自定义”部分,配置以下设置: 字体颜色 从下拉列表中为页面上显示的文本选择一种字体颜色。
背景图片 单击选择文件,然后选择一张图像作为门户页面显示的背景图片。
公司名称 指定所要显示的公司名称。
公司徽标图片 单击选择文件,然后选择所要显示的公司徽标图像。
欢迎消息 输入登录时显示的欢迎消息。
用户名字段 输入用户名字段显示的文本。
密码字段 输入密码字段显示的文本。
登录按钮名称 输入登录按钮上显示的文本。
版权信息 输入与公司关联的标准版权文本。
身份验证失败时的错误消息输入登录失败时显示的错误消息。
超过最大客户端数时的错误输入在超过最大连接数量时显示的消息文本。
消息 显示协议 选中显示协议可提示用户接受使用协议。
协议标题 输入协议文本的标题。
协议内容 输入所要显示的协议条款。
步骤
5 单击应用。
如需预览此配置文件,请单击预览。
要针对特定用户帐户启用CaptivePortal,请选择系统配置>用户帐户以及系统配置>用户组。
RV340W管理指南70 无线WPS WPS Wi-Fi保护设置(WPS)是一种网络安全功能,可使支持WPS的客户端轻松且安全地连接到无线网络。
您可以通过3种方式连接到支持WPS的无线网络:WPSPushButton、客户端设备的WPSPIN号码,以及在WPS配置页面生成的设备PIN号码。
要配置WPS,请执行以下操作: 步骤1步骤2步骤3步骤
4 依次单击无线>WPS。
系统将显示“Wi-Fi保护设置”页面。
从WPS下拉列表中选择SSID(需要配置WPS的网络对应的SSID)。
从“无线”下拉列表中选择无线电频段(“2.4G”、“5G”或“两者”)。
采用以下三种方式中的一种,在客户端设备上配置WPS:a)在客户端上单击WPS,然后在此WPS配置页面中单击WPS。
b)如果客户端设备具有WPSPIN号码,则在配置页面的文本字段中输入该号码,然后单击注册。
c)如果客户端设备需要使用路由器提供的PIN号码,则单击生成,然后在客户端中输入生成的PIN号码。
在“PIN有效期限”字段中,选择所需的密钥有效期限。
如果有效期限到期,系统将协商新的密钥。
完成上述步骤后,即可完成WPS配置。
RV340W管理指南71 无线WPS RV340W管理指南72 第9章 路由 本节介绍路由,即在网络中选择最佳路径的过程。
动态路由是一种提供最佳数据路由的联网技术。
利用动态路由,路由器可以根据逻辑网络布局的实时变化选择路径。
路由器的路由协议负责在动态路由过程中创建、维护和更新动态路由表。
本节包含以下主题: •IGMP代理,第73页•RIP,第74页•静态路由,第75页 IGMP代理 互联网组管理协议(IGMP)供IP网络上的主机和路由器用于创建组播组成员身份。
IGMP可用于Web资源,并为在线视频流和游戏流等应用提供支持。
利用IGMP代理,路由器可以代表背后的客户端发出IGMP消息。
要启用IGMP代理,请按照以下步骤操作: 步骤1步骤2步骤
3 选择常规>IGMP代理。
选中启用IGMP代理,以允许路由器与节点彼此通信。
从下拉列表中选择上游接口。
•WAN自动—路由器可以支持多WAN。
如果选择WAN自动模式,路由器将选择活动的WAN作为上游端口。
如果多WAN已启用并以负载平衡模式工作,则端口号最小的WAN端口将是上游端口。
例如,如果WAN1和WAN2处于负载平衡模式,那么WAN1将是上游端口。
如果WAN1断开,WAN2将成为上游端口。
•固定接口—固定接口将始终使用选定端口作为上游端口(即使已经断开)。
例如,如果WAN1和WAN2处于负载平衡模式,而您选择WAN2作为上游端口,那么WAN1将不接收组播流量,无论WAN2处于连接还是断开状态。
如果选择固定接口,还请确保选择了WAN1、WAN2或VLAN1。
RV340W管理指南73 路由RIP 步骤4步骤
5 选择“下游接口”WAN或VLAN1。
单击应用。
RIP 路由信息协议(RIP)是在局域网(LAN)中使用的标准IGP(内部网关协议)。
如果一个网络连接离线,RIP可以迅速重新路由网络数据包,从而确保更高的网络稳定性。
RIP处于活动状态时,只要有足够的可用网络资源,用户就几乎或完全不会遇到因单个路由器、交换机或服务器故障导致的服务中断。
要配置RIP,请按照以下步骤操作: 步骤1步骤
2 选择路由>RIP。
要启用RIP,请选中Ipv4或Ipv6或同时选中,然后配置以下设置: 接口 在相应的接口中选中启用以接收来自上游的路由。
注释为接口选中启用会自动为该接口选中RIP第1版、RIP第2版、RIPng (Ipv6)和验证。
反之,取消选中启用会取消选中全部设置。
RIP第1版 此协议使用有类路由,不包含子网信息或验证。
•选中启用可在RIP第1版上启用发送和接收路由信息。
•选中被动可在RIP第1版上禁用发送路由信息。
RIP第2版 注释仅当选中启用时才可激活被动配置。
这是一种使用组播并具有密码验证的无类协议。
•选中启用可在RIP第2版上启用发送和接收路由信息。
•选中被动可在RIP第2版上禁用发送路由信息。
RIPng(IPv6) 注释仅当选中启用时才可激活被动配置。
下一代路由信息协议(RIPng)使用用户数据报数据包(UDP)发送路由信息。
它基于RIP第2版,但用于IPv6路由。
•选中启用可启用RIPIpv6路由。
•选中被动可禁用发送RIPng版本。
注释仅当选中启用时才可激活被动配置。
RV340W管理指南74 路由静态路由 验证步骤3单击应用。
此安全功能在与其他路由器交换路由之前强制验证RIP数据包。
此功能不可用于RIPv1。
•选中启用可启用验证,从而仅与网络中受信任的路由器交换路由。
•密码:选择验证类型—明文(常用的验证方法)或Md5(质询-响应验证机制)—并输入密码。
静态路由 静态路由是手动配置的固定路径,是数据包到达目标位置的必经之处。
如果当前网络拓扑上的路由器之间没有进行通信,那么静态路由可以配置为在路由器之间进行通信。
与动态路由相比,静态路由占用的网络资源较少,因为静态路由不会不断计算下一次要进行的路由。
要配置静态路由,请按照以下步骤操作: 步骤1步骤
2 依次选择路由>静态路由。
对于IPv4路由,请在“路由表”中单击添加或编辑,并配置以下内容: 网络 输入您要向其分配静态路由的目标子网IP地址。
掩码 输入目标地址的子网掩码。
下一步跳 输入最后选择的路由器的IP地址。
度量标准 “度量标准”字段中的值表示网络和目标设备之间的路由器数量。
此为直接连接,因此可以将其设置为最小值:
1。
接口 从下拉列表中选择要用于此静态路由的接口。
步骤3步骤
4 完成设置后,单击应用。
对于IPv6路由,请在“路由”表中单击添加或编辑,并配置以下内容: 前缀 输入IPv6前缀。
长度 输入IP地址的前缀位数。
下一步跳 输入最后选择的路由器的IP地址。
RV340W管理指南75 静态路由 度量标准接口步骤5单击应用。
路由 “度量标准”字段中的值表示网络和目标设备之间的路由器数量。
此为直接连接,因此可以将其设置为最小值:
1。
从下拉列表中选择要用于此静态路由的接口。
RV340W管理指南76 第10章 防火墙 本节介绍防火墙,这是一种旨在防御入侵者攻击,确保网络安全的方法。
防火墙会检查流量,并过滤不符合指定安全条件的传输。
防火墙能决定允许或拒绝哪些数据包进出网络。
本节包含以下主题: •基本设置,第77页•访问规则,第78页•网络地址转换,第80页•静态NAT,第80页•端口转发,第81页•端口触发,第82页•会话超时,第83页•DMZ主机,第84页 基本设置 在“基本设置”页面上,您可以启用和配置基本设置。
您还可以将受信任的域添加到该列表中。
要配置基本设置,请按照以下步骤操作: 步骤
1 单击“防火墙”>“基本设置”,输入以下信息: 防火墙 选中“启用”可启用防火墙设置;取消选中启用可禁用。
DoS(拒绝服务) 选中启用可启用DoS。
DoS可阻止Ping炸弹、SYN泛洪检测率[最大数/秒]、IP欺骗、回音风暴、ICMP泛洪、UDP泛洪和TCP泛洪攻击。
阻止WAN请求 选中启用可阻止对WAN的ICMP回音请求。
RV340W管理指南77 访问规则 防火墙 LAN/VPNWeb管理远程Web管理 选择HTTP或HTTPS。
选中启用启用远程Web管理,并输入端口号(默认值为443,范围为1025-65535)。
•选择HTTP或HTTPS。
允许的远程IP地址 选中任意IP地址或输入远程访问的IP地址范围。
SIPALG(会话初始化协议选中启用以允许SIPALG。
这会嵌入流经具有网络地址转换(NAT)功能的已配 应用层网关) 置设备,从而经过转换并编码为数据包的SIP消息。
该应用层网关(ALG)与NAT 一起,用于转换SIP或会话描述协议(SDP)消息。
FTPALG端口 输入端口号。
默认值为21。
FTPALG端口转换FTP数据包。
UPnP(通用即插即用)选中启用可启用通用即插即用。
限制Web功能 选中可限制下列Web功能: •Java:阻止WebJava功能。
•Cookies:阻止Cookies。
•ActiveX:阻止ActiveX。
•访问HTTP代理服务器:阻止HTTP代理服务器。
例外情况 选中启用将只允许选定的Web功能(例如,Java、Cookies、ActiveX或“访问HTTP代理服务器”)并限制所有其他功能。
步骤2步骤3步骤
4 在受信任的域表中,选中域名以编辑现有域设置。
单击添加、编辑或删除以添加、编辑或删除域。
单击应用。
访问规则 要配置访问规则,请按照以下步骤操作: 步骤1步骤
2 选择防火墙>访问规则。
在访问规则表中,输入以下信息: 单击添加或选择相应行,然后单击编辑,并输入以下信息: 规则状态 选中启用可启用特定访问规则。
取消选中可禁用。
RV340W管理指南78 防火墙 操作服务日志源接口源地址 目标接口目的地址 计划表名称 访问规则 从下拉列表中选择允许或拒绝。
•IPv4—选择要应用IPv4规则的服务。
•IPv6—选择要应用IPv6规则的服务。
•服务—从下拉列表中选择服务。
从下拉列表中选择真或从不。
•真—符合规则。
•从不—无需日志。
从下拉列表中选择源接口(WAN1、WAN2、USB1、USB2、VLAN1或“任意”)。
选择要应用规则的源IP地址并输入以下信息: •任意•单一IP—输入一个IP地址。
•IP范围—输入IP地址的范围。
•子网—输入网络的子网。
从下拉列表中选择源接口(WAN1、WAN2、USB1、USB2、VLAN1或“任意”)。
选择要应用规则的源IP地址并输入以下信息: •任意•单一IP—输入一个IP地址。
•IP范围—输入IP地址的范围。
•子网—输入网络的子网。
从下拉列表中选择商务、夜间、营销或工作,以应用防火墙规则。
然后,单击链接以配置计划表。
RV340W管理指南79 网络地址转换 防火墙 步骤3步骤4步骤5步骤6步骤
7 步骤
8 单击应用。
单击恢复为默认规则以恢复默认规则。
单击服务管理以配置服务。
要添加服务,请单击添加。
要编辑或删除服务,请选择相应行并单击编辑或删除。
配置以下设置: •应用名称—服务或应用的名称。
•协议—所需协议。
请参阅您托管的服务的相关文档。
•起始端口/ICMP类型/IP协议—为此服务预留的端口号范围。
•结束端口—为此服务预留的最后一个端口号。
单击应用。
网络地址转换 通过网络地址转换(NAT),使用未注册IP地址的专用IP网络可以连接网络。
在数据包被转发至公共网络之前,NAT会将内部网络的专用地址转换为公共地址。
要配置NAT,请按照以下步骤操作: 步骤1步骤2步骤
3 单击防火墙>网络地址转换。
在NAT表中,为接口列表中的每个接口选中启用NAT以启用该功能。
单击应用。
静态NAT 静态NAT用于防止LAN设备被发现和遭受攻击。
静态NAT创建了一种关系,将有效的WANIP地址映射到由NAT在WAN(互联网)上隐藏的LANIP地址。
步骤1步骤
2 单击防火墙>静态NAT。
单击添加(或选择相应行,然后单击编辑),并输入相关信息。
专用IP地址范围起始IP地输入要映射到公共范围的内部IP地址范围的起始IP地址。
址 RV340W管理指南80 防火墙 端口转发 公共IP地址范围起始IP地址范围长度 服务 输入ISP提供的公共IP地址范围的起始IP地址。
注释请勿在此范围中包含路由器的WANIP地 址。
输入此范围中IP地址的数量。
注释范围长度不得超过有效IP地址的数量。
要映射单个地址,请输入
1。
从下拉列表中选择适用于静态NAT的服务的名称。
接口 从下拉列表中选择接口名称。
活动 选择活动以启用。
步骤3步骤4步骤
5 步骤
6 单击服务管理。
要添加服务,请单击“服务”表下的添加。
要编辑或删除服务,请选择相应行并单击编辑或删除。
字段打开可以修改。
配置以下服务: •应用名称—服务或应用的名称。
•协议—输入协议。
•起始端口/ICMP类型/IP协议—输入为此服务保留的端口号的范围。
•结束端口—输入为此服务保留的最后一个端口号。
单击应用。
端口转发 利用端口转发功能,通过为某个服务打开特定端口或端口范围,可以公开访问LAN网络设备上的服务。
要配置端口转发,请按照以下步骤操作: 步骤1步骤
2 单击防火墙>端口转发。
在端口转发表中,单击添加(或选择某一行并单击编辑),并配置以下设置: 外部服务 从下拉列表中选择外部服务。
(如果服务未列出,可以按照“服务管理”部分中的说明添加或修改列表。
) 内部服务 从下拉列表中选择内部服务。
(如果服务未列出,可以按照“服务管理”部分中的说明添加或修改列表。
) RV340W管理指南81 端口触发 防火墙 内部IP地址接口状态 输入服务器的内部IP地址。
从下拉列表中选择要应用端口转发的接口。
启用或禁用端口转发规则。
步骤3步骤
4 步骤5步骤
6 单击服务管理。
在服务表中,单击添加(或选择某一行并单击编辑),并配置以下设置: •应用名称—服务或应用的名称。
•协议—所需协议。
请参阅您托管的服务的相关文档。
•起始端口/ICMP类型/IP协议—为此服务预留的端口号范围。
•结束端口—为此服务预留的最后一个端口号。
单击应用。
注释通过UPnP应用动态添加UPnP的端口转发规 则。
在UPnP端口转发表中,单击刷新以刷新UPnP列表。
端口触发 端口触发可在用户通过触发端口发送出站流量后为入站流量打开指定端口或端口范围。
利用端口触发功能,设备可以监视特定端口号的传出数据。
设备能记住发送匹配数据的客户端的IP地址。
当请求的数据通过设备返回时,设备将使用IP寻址和端口映射规则将数据发送到正确的客户端。
要向端口触发表添加服务或编辑服务,请配置以下设置: 步骤
1 单击添加(或选择相应行,然后单击编辑)并输入以下信息: 应用名称 输入应用的名称。
触发服务 从下拉列表中选择服务。
(如果服务未列出,可以按照“服务管理”部分中的说明添加或修改列表。
) 传入服务 从下拉列表中选择服务。
(如果服务未列出,可以按照“服务管理”部分中的说明添加或修改列表。
) 接口 从下拉列表中选择接口。
状态 启用或禁用端口触发规则。
RV340W管理指南82 防火墙 会话超时 步骤2步骤
3 步骤
4 单击服务管理,以添加或编辑服务列表上的条目。
在服务表中,单击添加或编辑,然后配置以下设置: •应用名称—服务或应用的名称。
•协议—所需协议。
请参阅您托管的服务的相关文档。
•起始端口/ICMP类型/IP协议—为此服务预留的端口号范围。
•结束端口—为此服务预留的最后一个端口号。
单击应用。
会话超时 借助会话超时功能,您可以为TCP/UDP/ICMP流量配置会话超时和最大并发连接设置。
会话超时设置的是TCP或UDP会话闲置多长时间后会超时。
要配置会话超时,请按照以下步骤操作: 步骤1步骤
2 单击防火墙>会话超时。
输入以下信息:TCP会话超时 UDP会话超时 ICMP会话超时 最大并发连接数量当前连接清除连接 输入TCP会话的超时值(以秒为单位)。
这段时间之后,系统将从会话表中删除不活动的TCP会话。
输入UDP会话的超时值(以秒为单位)。
这段时间之后,系统将从会话表中删除不活动的UDP会话。
输入ICMP会话的超时值(以秒为单位)。
这段时间之后,系统将从会话表中删除不活动的ICMP会话。
输入允许的最大并发连接数量。
显示当前连接的数量。
单击该按钮可清除当前连接。
步骤3单击应用。
RV340W管理指南83 DMZ主机 防火墙 DMZ主机 DMZ是一个子网,向公众开放但位于防火墙之后。
使用DMZ可以将传输到WAN端口的数据包重新定向到LAN中特定的IP地址。
DMZ主机允许LAN中的一个主机连接到互联网以使用服务,例如互联网游戏、视频会议、Web或电子邮件服务器。
可使用防火墙访问规则限制从互联网访问DMZ主机。
建议将必须连接WAN以使用服务的主机置于DMZ网络中。
要配置DMZ,请按照以下步骤操作: 步骤1步骤2步骤3步骤
4 选择防火墙>DMZ。
在DMZ主机中,选中启用。
输入DMZ主机IP地址。
单击应用。
RV340W管理指南84 第11章 VPN 本节介绍虚拟专用网络(VPN),它用于在安全性较低的网络中建立加密连接。
虚拟专用网络确保安全连接到底层网络基础设施。
隧道建立的专用网络可使用加密和验证安全地发送数据。
本节包含以下主题: •VPN设置向导(站点到站点),第85页•IPSec配置文件,第87页•站点到站点,第89页•客户端到站点,第95页•远程工作人员VPN客户端,第98页•PPTP服务器,第100页•L2TP服务器,第100页•SSLVPN,第101页•VPN通道,第103页 VPN设置向导(站点到站点) 借助VPN,远程主机可以像位于同一局域网中一样工作。
路由器可支持50个隧道。
VPN设置向导引导用户为站点到站点IPSec隧道设置安全的连接。
这可以避免设置复杂和可选的参数,从而简化配置,让任何用户都可以快速、高效地设置IPSec隧道。
RV340W管理指南85 VPNVPN设置向导(站点到站点) 要启动VPN设置向导,请单击VPN>VPN设置向导。
请按照以下步骤配置向导。
步骤1步骤2步骤3步骤
4 步骤5步骤
6 步骤
7 步骤8步骤9步骤10步骤11 在“开始使用”部分,在为此连接命名框中输入连接名称。
从下拉列表中选择接口(WAN1、WAN2、USB1或SB2)。
单击下一步。
在“远程路由器设置”部分,从下拉列表中选择远程连接类型。
如果选择IP地址,则输入IP地址;如果选择完全限定域名(FQDN),则输入名称。
单击下一步进入下一个屏幕。
在“本地和远程网络”部分,在“本地流量选择”下,从下拉列表中选择本地IP(IP地址或子网)。
如果选择IP地址,则输入IP地址;如果选择子网,则输入IP地址和子网掩码。
在“远程流量选择”下,从下拉列表中选择远程IP(IP地址或子网)。
如果选择IP地址,则输入IP地址;如果选择子网,则输入IP地址和子网掩码。
单击下一步。
在“IPSec配置文件”中,从下拉列表中选择IPSec配置文件。
如果选择默认,则单击下一步。
如果选择新配置文件,则配置以下设置:第1阶段选项 Diffie-Hellman(DH)组 从下拉列表中选择DH组(第2组或第5组)。
DH是一种密钥交换协议,有两组不同的主密钥长度:第2组最长1,024位,第5组最长1,536位。
若要较快的速度和较低的安全性,请选择第2组。
若要较慢的速度和较高的安全性,请选择第5组。
默认情况下选择第2组。
加密验证 安全关联持续时间(秒)完全向前保密(PFS) 从下拉列表中选择加密选项(3DES、AES-128、AES-192或AES-256)。
加密方法决定了对ESP/ISAKMP数据包进行加密或解密的算法。
验证方法决定了封装安全载荷协议(ESP)报头数据包生效的方法。
MD5是一种可生成128位摘要的单向散列算法。
SHA1是一种可生成160位摘要的单向散列算法。
推荐使用SHA1,因为这种方法更加安全。
确保VPN隧道两端使用相同的验证方法。
选择验证方法(MD5、SHA1或SHA2-256)。
IKESA在此阶段处于活动状态的时间。
第1阶段的默认值为28,800秒。
选中启用以启用PFS,并输入持续时间(秒),或者取消选中启用以禁用。
当PFS启用时,IKE第2阶段协商将为IPSec流量加密和验证生成新密钥。
建议启用此功能。
预先共享密钥 用于验证远程IKE对端的预先共享密钥。
最多可以输入30位键盘字符或十六进制值,例如My_@123或4d795f40313233。
VPN隧道两端必须使用相同的预先共享密钥。
建议定期更改预先共享密钥,以便最大限度地提高VPN的安全性。
RV340W管理指南86 VPNIPSec配置文件 第2阶段选项Diffie-Hellman(DH)组 协议选项 从下拉列表中选择DH组(第2组或第5组)。
DH是一种密钥交换协议,有两组不同的主密钥长度:第2组最长1,024位,第5组最长1,536位。
若要较快的速度和较低的安全性,请选择第2组。
若要较慢的速度和较高的安全性,请选择第5组。
默认情况下选择第2组。
注释仅当在第1阶段选项下启用完全向前保密时才启用此功能。
从下拉列表中选择协议。
•ESP:选择ESP进行数据加密,并输入加密选项。
•AH:在数据不需要保密但必须进行验证的情况下,选择此选项以确保数据完整性。
加密 验证安全关联持续时间(秒) 从下拉列表中选择加密选项(3DES、AES-128、AES-192或AES-256)。
加密方法决定了对ESP/ISAKMP数据包进行加密或解密的算法。
选择验证方法(MD5、SHA1或SHA2-256)。
VPN隧道(IPSecSA)在此阶段处于活动状态的时间。
第2阶段的默认值为3600秒。
步骤12步骤13 单击下一步查看所有配置的摘要。
单击提交。
IPSec配置文件 IPSec配置文件包含与算法相关的信息,例如自动模式下第I和第II阶段协商的加密、验证和DH组。
如果秘钥模式为手动,这些配置文件还包含相应算法的密钥。
任何IPsecVPN记录(例如,站点到站点、客户端到站点或远程工作人员VPN客户端)均引用IPsec配置文件。
要配置IPSec配置文件,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤
5 选择VPN>IPsec配置文件。
在“IPSec配置文件表”中,单击添加。
在“添加新IPSec配置文件”下的“配置文件名称”部分输入名称。
选择秘钥模式。
对于自动秘钥模式,配置以下设置: RV340W管理指南87 VPNIPSec配置文件 第1阶段选项Diffie-Hellman(DH)组 从下拉列表中选择DH组(第2组或第5组)。
DH是一种密钥交换协议,有两组不同的主密钥长度:第2组最长1,024位,第5组最长1,536位。
若要较快的速度和较低的安全性,请选择第2组。
若要较慢的速度和较高的安全性,请选择第5组。
默认情况下选择第2组。
加密验证 安全关联持续时间(秒) 从下拉列表中选择加密选项(3DES、AES-128、AES-192或AES-256)。
加密方法决定了对ESP/ISAKMP数据包进行加密或解密的算法。
验证方法决定了封装安全载荷协议(ESP)报头数据包生效的方法。
MD5是一种可生成128位摘要的单向散列算法。
SHA1是一种可生成160位摘要的单向散列算法。
推荐使用SHA1,因为这种方法更加安全。
确保VPN隧道两端使用相同的验证方法。
选择验证方法(MD5、SHA1或SHA2-256)。
IKESA在此阶段处于活动状态的时间。
第1阶段的默认值为28,800秒。
完全向前保密(PFS) 选中启用以启用PFS,并输入持续时间(秒),或者取消选中启用以禁用。
当PFS启用时,IKE第2阶段协商将为IPSec流量加密和验证生成新密钥。
建议启用此功能。
第2阶段选项协议选项 从下拉列表中选择协议。
•ESP:选择ESP进行数据加密,并输入加密选项。
•AH:在数据不需要保密但必须进行验证的情况下,选择此选项以确保数据 完整性。
加密验证安全关联持续时间(秒)Diffie-Hellman(DH)组 从下拉列表中选择加密选项(3DES、AES-128、AES-192或AES-256)。
加密方法决定了对ESP/ISAKMP数据包进行加密或解密的算法。
选择验证方法(MD5、SHA1或SHA2-256)。
VPN隧道(IPSecSA)在此阶段处于活动状态的时间。
第2阶段的默认值为3600秒。
从下拉列表中选择DH组(第2组或第5组)。
DH是一种密钥交换协议,有两组不同的主密钥长度:第2组最长1,024位,第5组最长1,536位。
若要较快的速度和较低的安全性,请选择第2组。
若要较慢的速度和较高的安全性,请选择第5组。
默认情况下选择第2组。
步骤
6 对于手动密钥模式,配置以下设置:IPSec配置 RV340W管理指南88 VPN站点到站点 安全参数索引(SPI)传入 输入一个数字(范围:100-FFFFFFFF,默认值:100)。
SPI是一种在使用IPsec进行IP流量隧道传输时添加到报头的标识标记。
此标记帮助内核识别两种流量流,这二者可能使用了不同的加密规则和算法。
SPI传出加密密钥输入密钥输出验证 安全关联持续时间(秒)密钥输入密钥输出 输入一个数字(范围:100-FFFFFFFF,默认值:100)。
从下拉列表中选择加密选项(3DES、AES-128、AES-192或AES-256)。
加密方法决定了对ESP/ISAKMP数据包进行加密或解密的算法。
输入一个数字(十六进制,48个字符)。
十六进制格式的密钥,用于解密接收到的ESP数据包。
输入一个数字(十六进制,48个字符)。
十六进制格式的密钥,用于加密普通数据包。
验证方法决定了封装安全载荷协议(ESP)报头数据包生效的方法。
MD5是一种可生成128位摘要的单向散列算法。
SHA1是一种可生成160位摘要的单向散列算法。
推荐使用SHA1,因为这种方法更加安全。
确保VPN隧道两端使用相同的验证方法。
选择验证方法(MD5、SHA1或SHA2-256)。
IKESA在此阶段处于活动状态的时间。
第1阶段的默认值为28,800秒。
输入一个数字(十六进制,32个字符)。
十六进制格式的密钥,用于解密接收到的ESP数据包。
输入一个数字(十六进制,32个字符)。
十六进制格式的密钥,用于加密普通数据包。
步骤7步骤8步骤
9 选择IPsec配置文件,并单击编辑或删除。
要复制现有配置文件,请选择配置文件并单击复制。
单击应用。
站点到站点 在站点到站点VPN中,一个位置的本地路由器可以通过VPN隧道连接到远程路由器。
客户端设备可以访问网络资源,如同它们都在同一个站点一样。
此模式可用于远程位置中的多个用户。
要想成功连接,则要求至少其中一个路由器可通过静态IP地址或动态DNS主机名标识。
如果某个路由器仅有一个动态IP地址,您可使用任何电子邮件地址(用户FQDN)或FQDN来确认是否已建立连接。
隧道两端的两个LAN子网不能在相同的网络中。
例如,如果站点ALAN使用192.168.1.x/24子网,则站点B可以使用192.168.2.x/24。
RV340W管理指南89 VPN创建站点到站点VPN连接 要配置隧道,请在配置这两个路由器时输入相应的设置(将本地和远程反向)。
假设此路由器标识为路由器
A。
请在“本地组设置”部分输入其设置;在“远程组设置”部分输入另一路由器(路由器B)的设置。
配置另一个路由器(路由器B)时,请在“本地组设置”部分输入其设置,并在“远程组设置”部分输入路由器A的设置。
要配置站点到站点VPN,请按照以下步骤操作: 步骤1步骤
2 单击VPN>站点到站点。
站点到站点表中将显示以下选项: 连接名称 使用VPN设置向导创建的VPN隧道连接的名称。
无需与隧道另一端使用的名称相匹配。
远程端点 VPN连接的目标远程端点的IP地址。
可以是FQDN或IP地址。
接口 用于隧道的接口。
IPSec配置文件 用于VPN隧道的IPSec配置文件。
本地流量选择 产生流量的流量选择器。
远程流量选择 流量去往的流量选择器。
状态 隧道的状态。
操作•编辑—单击可编辑连接,系统导航至“站点到站点-添加或编辑新连接”页面。
•删除—单击可删除连接。
•连接—单击可连接并建立隧道。
•断开连接—单击可断开连接。
创建站点到站点VPN创建安全的GRE隧道 单击可创建新的站点到站点隧道。
单击可创建新的GRE隧道。
创建站点到站点VPN连接 步骤1在“基本设置”选项卡中,提供以下信息: RV340W管理指南90 VPN创建站点到站点VPN连接 启用连接名称 IPSec配置文件接口远程端点 IKE验证方法预先共享密钥 证书 适用于本地组设置本地标识符类型本地标识符本地IP类型IP地址子网掩码 远程组设置远程标识符类型远程标识符远程IP类型IP地址子网掩码 单击启用以启用配置。
输入VPN隧道的连接名称。
此名称仅供参考;不一定与隧道另一端使用的名称相匹配。
默认-已选择“自动配置文件”。
从下拉列表中选择用于该隧道的接口(WAN1、WAN2、USB1或USB2)。
从下拉列表中选择静态IP或FQDN。
IKE对端彼此进行验证的方式是,计算并发送含预先共享密钥的秘钥数据散列。
如果接收端能够使用预先共享密钥独立创建相同散列,表明两个对端必定共享相同秘钥,以此验证另一个对端。
预先共享密钥不能很好地扩展,因为配置每个IPSec对端时,必须使用与其建立会话的其余每一个对端的预先共享密钥。
输入预先共享密钥,单击启用以启用“预先共享密钥最小复杂度”。
数字证书是一个数据包,包含证书持有人身份(姓名或IP地址、证书序列号、证书有效日期,以及证书持有人公共密钥的副本)等信息。
X.509标准定义了标准数字证书的格式。
X.509标准第3版定义了证书的数据结构。
从下拉列表中选择证书。
从下拉列表中选择“本地WANIP”、“本地FQDN”或“本地用户FQDN”根据您的选择输入标识符名称或IP地址从下拉列表中选择IP地址或子网。
输入可使用该隧道的设备的IP地址。
输入子网掩码。
从下拉列表中选择“本地WANIP”、“本地FQDN”或“本地用户FQDN”。
根据您的选择输入标识符名称或IP地址从下拉列表中选择IP地址或子网。
输入可使用该隧道的设备的IP地址。
输入子网掩码。
RV340W管理指南91 VPN创建站点到站点VPN连接 步骤
2 在“高级设置”选项卡中,提供以下信息: 积极模式 IKESA协商有两种模式—主模式和积极模式。
如果注重网络安全,建议使用主模式。
如果注重网络速度,建议使用积极模式。
选中启用可启用积极模式,取消选中启用将使用主模式。
如果“远程安全网关类型”是一种动态IP类型,则必须使用积极模式。
系统将自动选中此复选框,并且此设置无法更改。
压缩 一种可减小IP数据报大小的协议。
选中“压缩”后,路由器将在启动连接时提 议压缩。
如果应答器拒绝此提议,则路由器不会实施压缩。
将路由器用作应答 器时,它将接受压缩,即使是在压缩未启用的情况下。
如果在该路由器上启用 此功能,则在隧道另一端的路由器上也应该启用此功能。
NetBIOS广播 广播消息用于Windows网络中的名称解析,以标识计算机、打印机和文件服务器等资源。
某些软件应用程序和“网上邻居”等Windows功能将使用这些消息。
LAN广播流量通常不会通过VPN隧道进行转发。
但是,选中此复选框后,NetBIOS广播就可从隧道的一端转播到另一端。
持久连接 以固定时间间隔尝试重新建立VPN连接。
对端无响应检测(DPD)启用 单击DPD以启用DPD。
该功能定期发送HELLO/ACK消息以检查VPN隧道的状态。
必须在VPN隧道两端同时启用DPD选项。
在“间隔”字段中,输入以下信息以指定HELLO/ACK消息之间的时间间隔: •延时:输入每条HELLO消息之间的延时。
•检测超时:输入宣布对端无响应前的超时时间。
•延迟操作:DPD超时后要采取的操作。
从下拉列表中选择清除或重启。
扩展验证拆分DNS 选中扩展验证以启用该功能。
对于单个用户,选择用户并输入用户名和密码。
对于组,选择组名称,并从下拉列表中选择管理员或访客。
选中拆分DNS以启用该功能。
根据指定的域名,将一些DNS请求发送至一个DNS服务器,将其他DNS请求发送至另一个DNS服务器。
路由器收到地址解析请求时,将检查域名。
如果该域名与“拆分DNS”设置中的某个域名匹配,路由器会将此请求传递至指定的DNS服务器。
否则,路由器会将此请求传递至WAN接口设置中指定的DNS服务器。
DNS服务器1和DNS服务器2—输入用于指定域的DNS服务器的IP地址。
作为可选操作,您也可以在“DNS服务器2”字段中指定辅助DNS服务器。
域名1至6—输入DNS服务器的域名。
域的请求将被传递至指定的DNS服务器。
RV340W管理指南92 VPN创建安全GRE隧道 步骤
3 要启用站点到站点故障切换,应在“高级设置”选项卡中启用“持久连接”。
然后,在“故障切换”选项卡中提供以下信息: 隧道备份 选中隧道备份以启用该功能。
当主隧道故障时,该功能使路由器能够使用远程对端的备用IP地址或者备用的本地WAN接口重新建立VPN隧道。
仅当DPD启用时,此功能才可用。
远程备用IP地址 输入远程对端的IP地址,或者重新输入已为远程网关设置的WANIP地址。
本地接口 从下拉列表中选择本地接口(WAN1、WAN2、USB1或USB2)。
步骤
4 注释要启用站点到站点故障切换,必须在“高级设置”选项卡中启用“持久连接”。
单击应用。
创建安全GRE隧道 通用路由封装(GRE)是一种可用的隧道机制,它使用IP作为传输协议,并承载许多不同的乘客协议。
隧道相当于虚拟点对点链接,具有两个端点,这两个端点分别由隧道源地址和隧道目的地址标识。
步骤1步骤
2 单击创建安全GRE隧道。
单击启用以启用配置,并输入以下信息:适用于GRE隧道信息 接口名称 输入用于连接隧道的接口的名称。
隧道源 从下拉列表中选择隧道源(WAN1、WAN2、USB1或USB2)。
隧道目标 从下拉列表中选择隧道目标(静态IP或FQDN)。
GRE隧道的IP地址 输入承载传输协议的隧道的IP地址。
子网掩码 输入GRE隧道的子网掩码。
适用于IPSec隧道连接名称IPSec配置文件 本地标识符类型 连接的名称。
从下拉列表中选择IPSec配置文件(默认、IPSecProfileAuto、IPSecProfileManual、手动1或自动)。
从下拉列表中选择“本地WANIP”、“本地FQDN”或“本地用户FQDN”。
RV340W管理指南93 VPN创建安全GRE隧道 本地标识符远程标识符类型远程标识符适用于IKE验证方法预先共享密钥 证书 适用于路由协议静态路由 IP地址子网掩码组播转发积极模式 根据选定项输入标识符名称或IP地址。
从下拉列表中选择本地WANIP、本地FQDN或本地用户FQDN。
根据选定项输入标识符名称或IP地址。
IKE对端彼此进行验证的方式是,计算并发送含预先共享密钥的秘钥数据散列。
如果接收端能够使用预先共享密钥独立创建相同散列,表明两个对端必定共享相同秘钥,以此验证另一个对端。
预先共享密钥不能很好地扩展,因为配置每个IPSec对端时,必须使用与其建立会话的其余每一个对端的预先共享密钥。
输入预先共享密钥,单击启用以启用“预先共享密钥最小复杂度”。
数字证书是一个数据包,包含证书持有人身份(姓名或IP地址、证书序列号、证书有效日期,以及证书持有人公共密钥的副本)等信息。
X.509标准定义了标准数字证书的格式。
X.509标准第3版定义了证书的数据结构。
从下拉列表中选择证书。
选中“静态路由”以启用静态路由,并从下拉列表中选择以下选项。
•拆分隧道—允许移动用户使用相同或不同网络连接同时访问不同的安全域,例如公共网络和LAN或WAN。
•隧道传输所有流量—允许通过隧道传输所有流量。
单击添加并输入IP地址。
还可通过单击编辑或删除,编辑或删除现有记录。
输入子网掩码。
选择组播转发以允许路由器将组播流量转发至包含其他接收组播设备的网络。
组播转发可防止向没有接收节点的网络转发组播流量。
单击链接以配置IGMP代理接口。
单击以启用积极模式。
步骤3单击应用。
RV340W管理指南94 VPN客户端到站点 客户端到站点 互联网上的客户端可以连接服务器,以访问服务器后的企业网络或LAN。
使用此功能可以创建新的VPN隧道,使远程工作人员和商务旅行人员可使用第三方VPN客户端软件访问网络。
要配置客户端到站点,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤
5 单击VPN>客户端到站点。
单击添加。
系统将显示“IPsec客户端到站点组”表。
要添加客户端到站点连接,请单击添加。
在添加新组部分,选择一个选项(“思科VPN客户端”或“第三方客户端”)。
对于“思科VPN客户端”,配置以下设置: 启用 单击启用以启用配置。
组名称 输入组名称。
在IKE协商期间,该组名称用作该组所有成员的标识。
接口 从下拉列表中选择接口(WAN1、WAN2、USB1或USB2)。
IKE验证方法 在基于IKE的隧道中用于IKE协商的验证方法。
•预先共享密钥:IKE对端彼此进行验证的方式是,计算并发送含预先共享密钥的秘钥数据散列。
如果接收端能够使用预先共享密钥独立创建相同散列,表明两个对端必定共享相同秘钥,以此验证另一个对端。
预先共享密钥不能很好地扩展,因为配置每个IPSec对端时,必须使用与其建立会话的其余每一个对端的预先共享密钥。
输入预先共享密钥,单击启用以启用“预先共享密钥最小复杂度”。
•证书:数字证书是一个数据包,包含证书持有人身份(姓名或IP地址、证书序列号、证书有效日期,以及证书持有人公共密钥的副本)等信息。
X.509标准定义了标准数字证书的格式。
X.509标准第3版定义了证书的数据结构。
从下拉列表中选择证书。
用户组模式 单击组名称并选择用户组(“管理员”或“访客”)。
单击添加或删除可修改用户组。
选择模式选项。
•客户端—客户端请求IP地址,服务器提供配置的地址范围以内的IP地址。
选择客户端,并输入客户端LAN的起始和结束IP地址。
•网络扩展模式(NEM)—客户端提出子网建议,对于这些子网,服务器后的LAN和客户端建议的子网之间的流量需应用VPN服务。
客户端LAN的池范围 起始IP—输入池范围的起始IP地址。
结束IP—输入池范围的结束IP地址。
RV340W管理指南95 VPN客户端到站点 适用于模式配置 主DNS 输入主DNS服务器的IP地址。
辅助DNS 输入辅助DNS服务器的IP地址。
主Windows互联网名称服输入主WINS的IP地址。
务(WINS)服务器 辅助WINS服务器 输入辅助WINS的IP地址。
默认域 输入要在远程网络中使用的默认域的名称。
备用服务器1、2和3拆分隧道 输入备用服务器1、2和3的IP地址或域名。
当与主IPSecVPN服务器的连接失败时,安全设备可启动与备用服务器的VPN连接。
备用服务器1的优先级最高,备用服务器3的优先级最低。
选中可启用拆分隧道。
然后,单击添加,输入拆分隧道的IP地址和子网掩码。
您可以添加、编辑或删除拆分隧道。
拆分DNS 选中可启用拆分DNS。
然后,单击添加,输入拆分DNS的域名。
您可以添加、编辑或删除拆分隧道。
步骤
6 适用于第三方客户端 在“基本设置”选项卡中,配置以下设置: 启用 单击启用以启用配置。
隧道名称接口IKE验证方法 VPN隧道的名称。
此名称仅供参考,不一定与隧道另一端使用的名称相匹配。
从下拉列表中选择接口(WAN1、WAN2、USB1或USB2)。
在基于IKE的隧道中用于IKE协商的验证方法。
•预先共享密钥:IKE对端彼此进行验证的方式是,计算并发送含预先共享密钥的秘钥数据散列。
如果接收端能够使用预先共享密钥独立创建相同散列,表明两个对端必定共享相同秘钥,以此验证另一个对端。
预先共享密钥不能很好地扩展,因为配置每个IPSec对端时,必须使用与其建立会话的其余每一个对端的预先共享密钥。
输入预先共享密钥,单击“启用”以启用“预先共享密钥最小复杂度”。
•证书:数字证书是一个数据包,包含证书持有人身份(姓名或IP地址、证书序列号、证书有效日期,以及证书持有人公共密钥的副本)等信息。
X.509标准定义了标准数字证书的格式。
X.509标准第3版定义了证书的数据结构。
从下拉列表中选择证书。
RV340W管理指南96 VPN客户端到站点 本地标识符 远程标识符扩展验证客户端LAN的池范围 从下拉列表中选择本地标识符类型(IP地址、FQDN或用户FQDN),并输入标识符。
从下拉列表中选择远程标识符类型(远程IP或用户FQDN),并输入标识符。
选中扩展验证以启用该功能。
单击添加以添加扩展验证,并选择管理员或访客。
起始IP—输入池范围的起始IP地址。
结束IP—输入池范围的结束IP地址。
步骤
7 在“高级设置”选项卡中,配置以下设置: IPSec配置文件 设为默认。
远程端点 从下拉列表中选择远程端点(静态IP、FQDN或动态IP)。
适用于本地组设置本地IP类型IP地址子网掩码 从下拉列表中选择本地IP类型(IP地址或子网)。
输入设备的IP地址。
输入子网掩码。
适用于模式配置 主DNS 输入主DNS服务器的IP地址。
辅助DNS 输入辅助DNS服务器的IP地址。
主Windows互联网名称服输入主WINS的IP地址。
务(WINS)服务器 辅助WINS服务器 输入辅助WINS的IP地址。
默认域 输入要在远程网络中使用的默认域的名称。
备用服务器1、2和3拆分隧道 输入备用服务器1、2和3的IP地址或域名。
当与主IPSecVPN服务器的连接失败时,安全设备可启动与备用服务器的VPN连接。
备用服务器1的优先级最高,备用服务器3的优先级最低。
选中可启用拆分隧道。
然后,单击添加,输入拆分隧道的IP地址和子网掩码。
您可以添加、编辑或删除拆分隧道。
拆分DNS 选中可启用拆分DNS。
然后,单击添加,输入拆分DNS的域名。
您可以添加、编辑或删除拆分隧道。
更多设置 RV340W管理指南97 VPN远程工作人员VPN客户端 积极模式 选中积极模式以启用该功能。
“积极模式”功能用于为IP安全(IPsec)对端指定RADIUS隧道属性,并发起与隧道属性的互联网密钥交换(IKE)积极模式协商。
压缩(支持IP负载压缩协议[IPCamp]) 选中压缩,可启用路由器在开始连接时提议压缩的功能。
如果应答器拒绝此提议,则路由器不会实施压缩。
将路由器用作应答器时,它将接受压缩,即使是在压缩未启用的情况下。
如果在该路由器上启用此功能,则在隧道另一端的路由器上也应该启用此功能。
步骤8完成设置后,单击应用。
远程工作人员VPN客户端 远程工作人员VPN客户端功能可允许设备以思科VPN硬件客户端的形式运行,从而最大程度地降低远程位置的配置要求。
当远程工作人员VPN客户端启动VPN连接后,IPSecVPN服务器会将IPSec策略推送至远程工作人员VPN客户端,并创建相应的隧道。
要配置远程工作人员VPN客户端,请按照以下步骤操作: 步骤
1 单击VPN>远程工作人员VPN客户端,并配置以下内容: 远程工作人员VPN客户端选中打开或关闭。
启动时,只有一个远程工作人员VPN客户端的连接可以处于活动状态。
如果您在启动时启用了一个远程工作人员VPN客户端,那么它会禁用与其他客户端规则有关的此选项。
自动启动重试 选中打开或关闭。
重试间隔 输入以秒为单位的时间(范围:120到1800)。
重试限制 输入重试次数上限(范围:0到16)。
步骤2步骤3步骤
4 单击应用。
在“远程工作人员VPN客户端”表中,单击添加。
在“基本设置”部分提供以下信息: 名称 输入配置文件的名称。
服务器(远程地址) 输入远程服务器的IP地址。
启动时的活动连接 在启动时启动连接。
无论何时,都只能有一个配置文件处于“打开”状态,以便在启动时开始协商 RV340W管理指南98 VPN远程工作人员VPN客户端 IKE验证方法 模式 VLAN用户名用户密码确认用户密码适用于高级设置备用服务器1、2和3对端超时 在基于IKE的隧道中用于IKE协商的验证方法。
•预先共享密钥:IKE对端彼此进行验证的方式是,计算并发送含预先共享密钥的秘钥数据散列。
如果接收端能够使用预先共享密钥独立创建相同散列,表明两个对端必定共享相同秘钥,以此验证另一个对端。
预先共享密钥不能很好地扩展,因为配置每个IPSec对端时,必须使用与其建立会话的其余每一个对端的预先共享密钥。
选中预先共享密钥,并在指定的字段中输入组名称和密码。
•证书:数字证书是一个数据包,包含证书持有人身份(姓名或IP地址、证书序列号、证书有效日期,以及证书持有人公共密钥的副本)等信息。
X.509标准定义了标准数字证书的格式。
X.509版本3定义了证书的数据结构。
选中证书,然后选择默认。
•客户端—客户端请求IP地址,服务器提供配置的地址范围以内的IP地址。
选择客户端,并输入用户名和密码。
•网络扩展模式(NEM)—客户端提出子网建议,对于这些子网,服务器后的LAN和客户端建议的子网之间的流量需应用VPN服务。
ezvpn客户端NEM模式仅支持LANIP10.0.0.0/8、172.16.0.0/12或192.168.0.0/16。
此外,当处于NEM模式下时,服务器后的LAN和客户端应位于不同的子网。
选择NEM,并从下拉列表中选择VLAN,然后输入用户名和密码。
选择一个VLAN。
输入用户名。
输入密码。
确认密码。
输入备用服务器1、2和3的IP地址或域名。
当与主IPSecVPN服务器的连接失败时,安全设备可启动与备用服务器的VPN连接。
备用服务器1的优先级最高,备用服务器3的优先级最低。
输入以秒为单位的时间(范围:30到480)。
步骤5单击应用。
RV340W管理指南99 VPNPPTP服务器 PPTP服务器 点对点隧道协议(PPTP)是实施虚拟专用网络的一种方法。
PPTP使用TCP控制通道和通用路由封装(GRE)隧道操作封装PPP数据包。
最多可为运行PPTP客户端软件的用户启用25个PPTP(点对点隧道协议)VPN隧道。
在向导中,用户选择该选项可使用VPN连接创建指向工作场所的连接。
要配置PPTP服务器,请按照以下步骤操作: 步骤
1 单击VPN>PPTP服务器,然后提供以下信息: PPTP服务器 选择打开或关闭可启用或禁用PPTP服务器。
起始和结束IP地址 如果已启用PPTP,可输入起始和结束IP地址。
DNS1和DNS2IP地址输入主要和辅助DNS服务器的IP地址。
用户验证 选择用户验证(Admin或默认)。
Microsoft点对点加密(MPPE) MPPE可对基于PPP的拨号连接或PPTPVPN连接中的数据进行加密。
支持128位密钥MPPE加密方案。
从下拉列表中选择MPPE加密(无或128位)。
步骤2单击应用。
L2TP服务器 第2层隧道协议(L2TP)是PPTP的延伸,互联网服务提供商(ISP)使用该协议实现互联网上的VPN。
L2TP不会为它传输的数据提供加密。
要对数据进行加密,需要使用其他安全协议(如IPsec)。
L2TP隧道建立在L2TP访问集中器(LAC)和L2TP网络服务器(LNS)之间。
这些设备之间也建立了IPsec隧道,并且所有L2TP隧道流量均使用IPsec加密。
要配置L2TP服务器,请按照以下步骤操作: 步骤1步骤
2 单击VPN>L2TP服务器。
提供以下信息: L2TP服务器 选中打开或关闭以启用或禁用L2TP服务器。
最大传输单位 可通过L2TP隧道发送的最大数据包的大小。
如果L2TP已启用,输入数据包的大小(范围:128-1400,默认值:1400)。
用户验证 选择用户验证(组名称或管理员)。
RV340W管理指南100 VPNSSLVPN 地址池 •起始IP地址—输入起始IP地址。
•结束IP地址—输入结束IP地址。
DNS1和DNS2IP地址IPSecIPSec配置文件预先共享密钥 确认预先共享密钥 输入DNS1和DNS2服务器的主IP和辅助IP地址。
选中打开为L2TP隧道启用IPSec安全。
默认 输入用于验证远程IKE对端的预先共享密钥。
最多可以输入30位键盘字符或十六进制值,例如My_@123或4d795f40313233。
VPN隧道两端必须使用相同的预先共享密钥。
建议定期更改预先共享密钥,以便最大限度地提高VPN的安全性。
重新输入预先共享密钥进行确认。
步骤3单击应用。
SSLVPN 利用安全套接字层虚拟专用网络(SSLVPN),用户可以通过对网络流量进行加密,使用安全且经过验证的路径远程访问受限制的网络。
路由器支持思科AnyConnectVPN客户端(可在[http:///go/anyconnect/]下载)。
默认情况下,路由器支持2个SSLVPN隧道,用户可通过注册许可证使路由器最多支持50个通道。
完成安装和激活后,SSLVPN将创建一个安全的远程访问VPN隧道。
注释此外,如需在您的设备上安装和使用思科AnyConnect安全移动客户端,必须具有思科AnyConnect安全移动客户端许可证。
有关如何订购思科AnyConnect安全移动客户端许可证的详情,请访问/c/dam/en/us/products/collateral/security/anyconnect-og.pdf。
我们推荐适合25-99名用户的AnyConnectPlus许可证。
要配置SSLVPN,请按照以下步骤操作: 步骤1步骤
2 单击VPN>SSLVPN。
在“常规配置服务器”选项卡中,提供以下信息: 思科SSLVPN服务器 选择打开或关闭以启用或禁用服务器。
RV340W管理指南101 VPNSSLVPN 强制网关设置网关接口网关端口证书文件客户端地址池客户端子网掩码客户端域登录横幅 可选网关设置空闲超时会话超时 客户端DPD超时 网关DPD超时 保持活动 租用期限最大MTU中继间隔 从下拉列表中选择网关接口(WAN1、WAN2、USB1或USB2)。
输入网关端口号(范围:1到65535)。
默认。
输入客户端地址池的IP地址。
输入客户端子网掩码。
输入客户端域名。
输入要显示为登录横幅的文本。
输入以秒为单位的空闲超时值(范围:60到86,400)。
TCP或UDP会话闲置多长时间后会超时。
输入以秒为单位的会话超时值(范围:60到1,209,600)。
定期发送HELLO/ACK消息以检查VPN隧道的状态。
必须在VPN隧道两端同时启用此功能。
在“间隔”字段中指定HELLO/ACK消息之间的时间间隔。
输入以秒为单位的客户端DPD超时值(范围:0到3600)。
定期发送HELLO/ACK消息以检查VPN隧道的状态。
必须在VPN隧道两端同时启用此功能。
在“间隔”字段中指定HELLO/ACK消息之间的时间间隔。
输入以秒为单位的网关DPD超时值(范围:0到3600)。
确保路由器始终连接到互联网。
如果连接断开,则尝试重新建立VPN连接。
输入以秒为单位的保持活动状态值(范围:0到600)。
输入以秒为单位的隧道连接时间值(范围:600到1,209,600)。
以字节为单位,输入可以通过网络发送的数据包大小(范围:576到1406)。
以秒为单位,输入中继间隔时间值(范围:0到43,200)。
步骤3步骤
4 单击应用。
在“组策略服务器”标签中,单击添加并提供以下信息。
基本设置 策略名称 输入策略名称。
将整组属性应用于一组用户,而不是分别为每个用户指定各个属性的组策略。
主DNS 输入主DNS服务器的IP地址。
RV340W管理指南102 VPNVPN通道 辅助DNS主WINS辅助WINS说明 IE代理设置IE代理策略 输入辅助DNS服务器的IP地址。
输入主WINS的IP地址。
输入辅助WINS的IP地址。
输入说明。
用于建立VPN隧道的Explorer代理设置。
从下拉列表中选择IE代理策略(无、自动、绕过本地或已禁用)。
如果您选择自动或绕过本地,请输入以下信息: •地址—IP地址或域名。
•端口—输入端口号(范围:1到65,535)。
步骤
5 在“IE例外情况代理”表中,单击添加、编辑或删除,以添加、编辑或删除IE例外情况。
拆分隧道设置 启用拆分隧道拆分选项 选中启用拆分隧道以允许互联网预定的流量未经加密直接发送至互联网。
“全隧道”将所有流量发送至终端设备,然后在该处路由至目标资源(消除了通过Web访问企业网络路径)。
应用拆分隧道时,您可以选择包含流量以包含流量,也可以选择排除流量。
步骤6步骤7步骤
8 在“拆分网络”表中,单击添加、编辑或删除,以添加、编辑或删除DNS例外情况。
配置IP和子网掩码。
单击应用。
VPN通道 借助“VPN通道”,VPN客户端可通过路由器顺利连接至VPN端点。
默认情况下,此功能处于启用状态。
RV340W管理指南103 VPNVPN通道 要配置VPN通道,请按照以下步骤操作: 步骤1步骤
2 步骤
3 选择VPN>VPN通道。
要启用VPN通道,请为获得批准的各个协议选中启用: •IPSec通道—互联网协议安全(IPSec)是一套用于在IP层实现数据包安全交换的协议。
•PPTP通道—点对点隧道协议(PPTP)允许通过IP网络传输点对点协议(PPP)。
•L2TP通道—第2层隧道协议是一种通过第2层上的互联网来启用点对点会话的方法。
单击应用。
RV340W管理指南104 第12章 安全 本节介绍网络安全,其中涵盖用于防止和监控未授权访问、误用、修改或拒绝计算机网络的策略。
本节包含以下主题: •应用控制向导,第105页•应用控制,第106页•Web过滤,第107页•内容过滤,第108页•IP源防护,第108页 应用控制向导 要添加、配置或修改应用控制策略,请按照以下步骤操作: 步骤1步骤2步骤
3 步骤4步骤
5 单击安全>应用控制向导。
在“应用控制”页面上,选择打开,并输入策略名称。
单击下一步,并在“应用列表”上方单击编辑,以配置需要过滤(或者需要阻止或记录到日志)的应用名称。
选择需要过滤的内容后,单击应用。
单击下一步,并从下拉列表中选择计划表,以阻止应用。
单击提交。
RV340W管理指南105 安全应用控制 应用控制 要添加、配置或修改应用控制策略,请按照以下步骤操作: 步骤1步骤2步骤3步骤
4 单击安全>应用控制。
在“应用控制”页面上,选择打开,并单击应用。
要创建新的应用控制策略,请在“应用控制策略”表下单击添加。
在“策略配置文件-添加/编辑”部分指定以下信息: 策略名称 输入名称。
说明 输入说明。
启用 选中可执行应用控制策略。
应用 单击编辑,从列表中选择需要过滤(或者需要阻止或记录到日志)的内容,然 后单击应用。
应用列表 显示已配置的过滤器的“类别”、“应用”和“行为”的列表。
设备类型 从下拉列表中选择设备类型。
操作系统类型 从下拉列表中选择操作系统。
IP组 从下拉列表中选择一个IP组以应用策略。
排除列表 在“排除列表”下,单击添加并配置以下设置:•类型(选择“Mac”或“IP组”)•IP/MAC—输入MAC地址•设备类型—选择设备类型•操作系统类型—选择操作系统类型 计划表 此项用于指定应用控制策略何时处于活动状态,可从下拉列表中选择计划表,也可以单击始终开启应用Web过滤。
步骤5完成设置后,单击应用。
RV340W管理指南106 安全Web过滤 Web过滤 Web过滤功能可防止您访问不当网站。
它可以筛查客户端的Web访问请求,确定允许还是拒绝该网页。
要启用并配置Web过滤,请按照以下步骤操作: 步骤1步骤2步骤3步骤
4 单击安全>Web过滤。
在“Web过滤”部分,选择打开或关闭,然后单击应用。
在“Web过滤策略”表中,单击添加。
要编辑现有的策略,可单击编辑对其进行修改。
在“Web过滤—添加/编辑策略”页面中,输入以下信息: 策略名称 为您正在创建的Web过滤策略指定名称。
说明 输入对策略的简要说明。
启用 选中启用以激活策略。
类别•单击编辑并选择所需的过滤级别(选择要过滤的适当Web类别)。
选择高、中、低或自定义,以定义过滤范围。
还可以从成人内容、商业/投资、娱乐、非法/可疑、IT资源、时尚/文化、其他和安全类别中选择项目。
系统会阻止属于所选项目的传入URL。
•单击应用可回到Web过滤-添加/编辑策略页面。
您可以看到所选Web内容已列在类别下的申请列表中。
•单击恢复为默认类别可恢复默认设置。
设备类型操作系统类型Web信誉在IP组中应用例外情况列表 计划表 从下拉列表中选择应应用策略的设备类型。
从下拉列表中选择应应用策略的操作系统。
选中可启用Web信誉分析。
从下拉列表中选择应应用此策略的IP组。
单击编辑,然后添加并定义以下设置: •白名单—单击添加可定义绕过此策略的域名或关键词。
•黑名单—单击添加可定义应阻止的域名或关键词。
•例外情况列表—单击添加可指定从此策略中排除的IP地址。
单击应用。
从下拉列表中选择所需的计划表。
单击始终开启,应用Web过滤。
RV340W管理指南107 安全内容过滤 步骤5单击确定,保存相关配置。
内容过滤 内容过滤用于限制某些不希望的网站,阻止它们访问客户端。
它可以根据域名和关键字阻止访问网站,还可以通过计划表设置内容过滤的生效时间。
要配置和启用内容过滤,请按照以下步骤操作: 步骤1步骤2步骤
3 单击安全>内容过滤。
选中启用内容过滤以启用该功能。
选择所需单选按钮。
阻止匹配的URL 选中阻止匹配的URL以阻止特定的域和关键字。
仅允许匹配的URL 选中仅允许匹配的URL以仅允许指定的域和关键字。
步骤4步骤5步骤6步骤7步骤8步骤
9 步骤10 在“按域过滤”表下,单击添加。
在“域名”列中输入要过滤/允许的域。
要指定内容过滤规则的生效时间,请从“计划表”下拉列表中选择计划表。
在“按关键字过滤”下,单击添加。
在“关键字名称”列中输入要阻止/允许的关键字。
要指定内容过滤规则的生效时间,请从“计划表”下拉列表中选择计划表。
通过选择名称并单击编辑,可修改现有域名或关键字名称。
单击应用。
IP源防护 IP源防护是一种安全功能,它根据配置的IPMAC绑定过滤流量,从而限制不受信任的IP和MAC地址上的IP流量。
这是一种过滤器,仅当每个数据包的IP地址和MAC地址与IP-MAC绑定表中的条目匹配时,才允许LAN端口上的流量。
当一台主机尝试仿冒和使用另一台主机的IP地址时,此功能可以帮助防止IP欺骗攻击。
RV340W管理指南108 安全IP源防护 要配置IP源防护,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤5步骤
6 单击安全>IP源防护。
如果需要IP和MAC绑定,选中启用IP源防护。
如果只需要过滤MAC地址而不需要考虑IP地址,选中阻止未知MAC地址。
在“IP和MAC绑定表”中,单击添加,并输入静态IPv4地址和MAC地址进行绑定。
单击应用。
单击编辑或删除以编辑或删除现有地址。
注释“DHCP租用表”列出了DHCP服务器/中继的所有可用的静态DHCP和动态租用。
单击添加到IP和 MAC绑定表,以将可用租用添加到绑定表。
您必须手动将DHCP租借条目添加到IP和MAC绑定表。
只有IPMAC绑定表中的条目将工作。
注释IPSourceGuard仅在RV340W的有线主机上工作,而不是 无线 RV340W管理指南109 安全IP源防护 RV340W管理指南110 第13章 快速索引 本节包含以下主题:•快速索引,第111页 快速索引 支持思科支持社区思科支持和资源电话支持联系人名单 思科固件下载 /go/smallbizsupport /go/smallbizhelp /c/en/us/support/web/tsd-cisco-small-business-support-center-contacts.html /go/smallbizfirmware选择链接,可下载相应思科产品的固件。
无需登录。
思科开源请求 如果希望接收在适用的免费/开源许可证(例如GNU宽松/通用公共许可证)下您有权获得的源代码副本,请将您的请求发送至:external-opensource-requests@。
请在您的请求中提供思科产品名称、版本和18位参考号(例如:7XEEX17D99-3X49X081),此参考号可以在产品的开源文档中找到。
思科合作伙伴中心(需要合作伙伴登录) 思科RV340W路由器 /en/US/products/ps9923/tsd_products_support_series_home.html RV340W管理指南111 快速索引 快速索引 RV340W管理指南112
本手册中的所有声明、信息和建议均准确可靠,但我们不为其提供任何明示或暗示的担保。
用户必须承担使用产品的全部责任。
随附产品的软件许可和有限担保在随产品一起提供的信息包中提供,且构成本文的一部分。
如果您无法找到软件许可或有限保证,请向您的思科代表索取。
以下是符合FCC规则的A类设备的相关信息:经测试,本设备符合FCC规则第15部分对A类数字设备的限制规定。
这些限制旨在提供合理的保护,防止设备在商业环境中运行时产生有害干扰。
本设备可以产生、利用并发射无线射频能量。
如果不按说明手册中的要求安装和使用本设备,有可能对无线电通信产生有害干扰。
在居民区运行此设备可能会造成有害干扰,在这种情况下,用户需要自费消除干扰。
以下是符合FCC规则的B类设备的相关信息:经测试,本设备符合FCC规则第15部分对B类数字设备的限制规定。
设置这些限制的目的是在设备安装于居所时,提供合理保护以避免干扰。
本设备可以产生、利用并发射无线射频能量。
如果不按说明中的要求安装和使用本设备,有可能对无线电通信产生有害干扰。
不过,我们不能保证在任何安装中都不会产生干扰。
如果本设备确实对无线电或电视接收造成干扰(可以通过打开和关闭设备来确定),建议用户采取以下一种或多种措施来消除干扰: •重新调整接收天线的方向或位置。
•增大设备和接收器之间的距离。
•将设备和接收器连接到不同的电路插座上。
•咨询经销商或有经验的无线电/电视技术人员,以寻求帮助。
在未经思科授权的情况下修改本产品,可能使FCC的批准失效,并失去运行本产品的许可。
TCP报头压缩的思科设计是美国加州大学伯克利分校(UCB)所开发计划的修订版-作为UNIX操作系统的UCB公共领域版本。
保留所有权利。
版权所有©1981,RegentsoftheUniversityofCalifornia。
即使有任何其他担保,这些供应商的所有文档文件和软件均“按原样”提供,包含其原有的所有瑕疵。
思科和上面所提及的提供商拒绝所有明示或暗示担保,包括(但不限于)适销性、特定用途适用性和无侵权担保,或者因买卖或使用以及商业惯例所引发的担保。
在任何情况下,对于任何间接、特殊、连带发生或偶发的损坏,包括(但不限于)因使用或无法使用本手册而导致的任何利润损失或数据损失或损坏,思科及其供应商概不负责,即使思科及其供应商已获知此类损坏的可能性也不例外。
本文档中使用的任何协议(IP)地址和电话号码并非实际地址和电话号码。
此文档中的所有示例、命令显示输出、网络拓扑图和其它图形仅供说明之用。
说明性内容中用到的任何真实IP地址或电话号码纯属巧合,并非有意使用。
思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。
要查看思科商标列表,请访问此网址:/go/trademarks。
文中提及的第三方商标为其相应所有者的财产。
“合作伙伴”一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系。
(1110R) ©2016CiscoSystems,Inc.Allrightsreserved. 目录 简介1使用入门1启动设置向导3故障排除提示4用户界面
4 状态和统计信息7系统摘要7TCP/IP服务9端口流量9WANQoS统计信息10应用统计信息11已连接的设备12路由状态12DHCP绑定13移动网络13VPN状态14查看日志16 管理17重启17文件管理18手动升级19自动更新19诊断20许可证21智能许可证使用21证书21导入证书22 RV340W管理指南iii 目录 生成CSR/证书22配置管理23系统配置25初始设置向导26系统27时间27日志28 电子邮件服务器30远程系统日志服务器30电子邮件30用户帐户31远程验证服务32用户组33IP地址组34SNMP35发现Bonjour36LLDP36自动更新37服务管理38计划表38WAN39WAN设置39多WAN42移动网络44移动网络设置44带宽上限设置45动态DNS45硬件DMZ46IPv6转换46IPv6的IPv4封装隧道(6in4)47IPv6快速部署(6rd)47QoS49流量类49 RV340W管理指南iv 目录 WAN队列50WAN监管51WAN带宽管理51交换机分类52交换机队列53LAN55端口设置55VLAN设置56LAN/DHCP设置57静态DHCP60802.1X配置60DNS本地数据库61路由器通告61无线63基本设置63 配置2.4GHz无线电66配置5GHz无线电67高级设置68CaptivePortal69WPS71路由73IGMP代理73RIP74静态路由75防火墙77基本设置77访问规则78网络地址转换80静态NAT80端口转发81端口触发82会话超时83DMZ主机84 RV340W管理指南v 目录 VPN85VPN设置向导(站点到站点)85IPSec配置文件87站点到站点89创建站点到站点VPN连接90创建安全GRE隧道93客户端到站点95远程工作人员VPN客户端98PPTP服务器100L2TP服务器100SSLVPN101VPN通道103 安全105应用控制向导105应用控制106Web过滤107内容过滤108IP源防护108 快速索引111快速索引111 RV340W管理指南vi 第1章 简介 。
感谢您选择思科RV340W路由器。
本指南介绍如何安装和管理路由器。
本章包括的信息可以帮助您开始使用您的设备。
思科RV340W自带默认设置,但互联网服务提供商(ISP)可能要求您修改设置。
您可以使用Explorer(版本10和更高版本)、Firefox或Chrome(PC版)或Safari(Mac版)等Web浏览器修改设置。
本节包含以下主题: •使用入门,第1页•启动设置向导,第3页•用户界面,第4页 使用入门 此页面显示设备上最常见的配置任务。
要启动路由器,请按照以下步骤操作: 步骤
1 步骤2步骤
3 步骤4步骤
5 将PC连接到设备上带编号的LAN端口。
如果将PC配置为DHCP客户端,则系统会将192.168.1.x范围内的IP地址分配到该PC。
启动Web浏览器。
在地址栏中输入设备的默认IP地址,即192.168.1.1。
浏览器可能会发出警告,指出这是不受信任的网站。
继续访问此网站。
在系统显示登录页面时,输入默认用户名cisco和默认密码cisco(小写)。
单击登录。
RV340W管理指南
1 简介使用入门 注释在系统启动的过程中,会有越来越多的电源LED持续闪烁,直至系统启动完成。
启动时,PWR、LINK/ACT和LAN1的GIGIBITLED将闪烁。
启动到25%时,PWR、LINK/ACT和LAN1与2的GIGIBITLED将闪烁。
启动到50%时,PWR、LINK/ACT和LAN1、2与3的GIGIBITLED将闪烁。
启动到75%时,PWR、LINK/ACT和LAN1、2、3与4的GIGIBITLED将闪烁。
系统启动时间通常不到3分钟。
如果路由器完全配置,且所有功能均配置为最高设置,可能需要7分钟才能完成系统启动。
表1:路由器的LED细节 PWR(电源) 熄灭表示设备电源关闭。
绿色常亮表示设备电源开启且设备已启动。
绿色闪烁表示设备正在启动。
DIAG(诊断) 熄灭表示系统正在启动。
红色慢闪(1Hz)表示系统正在进行固件升级。
红色快闪(3Hz)表示系统固件升级失败。
红色常亮表示系统在使用活动映像和非活动映像时或在救援模式下启动失败。
LINK/ACT(链路/活动)(WAN1、熄灭表示端口未建立以太网连接。
WAN2和LAN1-4) 绿色常亮表示端口已建立千兆以太网链路。
绿色闪烁表示端口的千兆以太网链路正在发送或接收数据。
GIGABIT(千兆)(WAN1、WAN2和LAN1-4) 绿色常亮表示数据传输速度为1000M。
熄灭表示数据传输速度不是1000M。
DMZ(隔离区) 绿色常亮表示已启用DMZ。
熄灭表示已禁用DMZ VPN(虚拟专用网络) 熄灭表示设备没有定义VPN隧道,或者所有定义的VPN隧道都被禁用。
绿色常亮表示至少有一条VPN隧道处于活动状态。
绿色闪烁表示正在通过VPN隧道发送和接收数据。
琥珀色常亮表示已启用的VPN隧道处于非活动状态。
RV340W管理指南
2 简介 USB1和USB2 Reset(重置)Wireless(无线) 启动设置向导 熄灭表示端口未连接USB设备或无法识别已插入的USB设备。
USB装置成功连接到服务提供商(ISP)(已分配IP地址),以及USB存储装置已被识别时,指示灯呈绿色常亮状态。
绿色闪烁表示端口正在发送和接收数据。
琥珀色常亮表示USB装置已被识别,但未能连接至ISP(未分配IP地址)。
USB存储装置访问出现错误。
要重新启动路由器,请使用曲别针或笔尖按住Reset(重置)按钮不超过10秒。
要将路由器重置为出厂默认设置,请按住Reset(重置)按钮10秒。
LED亮起表示已启用内部接入点。
LED熄灭表示已禁用内部接入点。
启动设置向导 “启动设置向导”页面中的说明可以指引您完成设备配置过程。
要打开此页面,请在导航树中选择“启动设置向导”,然后按照屏幕上的说明继续操作。
有关设置互联网连接所需的信息,请咨询ISP。
启动设置向导 初始设置向导 将您定向至初始设置向导。
VPN设置向导应用控制向导 将您定向至VPN状态向导。
将您定向至应用控制向导。
初始配置更改管理员密码 配置WAN设置配置USB设置配置LAN设置 将您定向至用户帐户页面,您可以在其中更改管理员密码和设置访客帐户。
将您定向至WAN设置页面,您可以在其中修改WAN参数。
将您定向至移动网络页面,您可以在其中修改USB配置。
将您定向至VLAN成员关系页面,您可以在其中配置VLAN。
RV340W管理指南
3 简介故障排除提示 快速访问 升级路由器固件 将您定向至文件管理页面,您可以在其中更新设备固件。
配置远程管理访问权限备份设备配置 将您定向至防火墙>基本设置页面,您可以在其中启用设备的基本功能。
将您定向至配置管理页面,您可以在其中管理路由器配置。
设备状态系统摘要 VPN状态端口统计信息流量统计信息 查看系统日志 将您定向至系统摘要页面,其中显示设备的IPv4和IPv6配置以及防火墙状态。
将您定向至VPN状态页面,其中显示此设备管理的VPN的状态。
将您定向至端口流量页面,其中显示设备的端口状态和端口流量。
将您定向至TCP/IP服务页面,其中显示设备的端口监听状态和已建立的连接的状态。
将您定向至查看日志页面,其中显示设备的日志。
故障排除提示 如果连接到互联网或基于Web的Web界面时出现问题,请执行以下操作:•确保Web浏览器未设置为脱机工作。
•检查以太网适配器的局域网连接设置。
PC应该通过DHCP获得IP地址。
或者,也可以为PC指定192.168.1.x范围内的静态IP地址,并将默认网关设置为192.168.1.1(设备的默认IP地址)。
•确保在向导中输入正确设置互联网连接所需的设置。
•通过关闭调制解调器和设备的电源,重置这两个设备。
接下来,接通调制解调器的电源,使其闲置约2分钟。
然后,接通设备的电源。
现在,您应该能够接收WANIP地址。
•如果您有DSL调制解调器,请要求ISP将DSL调制解调器设置为网桥模式。
用户界面 用户界面旨在便于您设置和管理设备。
导航Web界面的主要模块以左侧导航窗格中的按钮形式表示。
单击按钮可查看更多选项。
单击选项可打开页面。
RV340W管理指南
4 简介用户界面 弹出窗口单击某些链接和按钮会启动弹出窗口,这些窗口会显示详细信息或相关配置页面。
如果Web浏览器显示关于弹出窗口的警告消息,请允许显示被阻止的内容。
帮助要查看有关所选配置页面的信息,请单击Web界面右上角的帮助。
如果Web浏览器显示关于弹出窗口的警告消息,请允许显示被阻止的内容。
退出要退出Web界面,请单击Web界面右上角附近的退出。
系统将显示登录页面。
RV340W管理指南
5 简介用户界面 RV340W管理指南
6 第2章 状态和统计信息 本节提供有关设备的各种配置设置的信息,包含以下主题:•系统摘要,第7页•TCP/IP服务,第9页•端口流量,第9页•WANQoS统计信息,第10页•应用统计信息,第11页•已连接的设备,第12页•路由状态,第12页•DHCP绑定,第13页•移动网络,第13页•VPN状态,第14页•查看日志,第16页 系统摘要 “系统摘要”提供设备上设置的快照视图。
它显示设备的固件、序列号、端口流量、路由状态、移动网络,以及VPN服务器设置。
要查看此系统摘要,请单击状态和统计信息>系统摘要。
系统信息 •主机名—主机的名称。
•序列号—设备的序列号。
•系统运行时间—设备处于活动状态的时间,以年-月-日、小时数和分钟数表示。
•当前时间—当前的日期和时间。
RV340W管理指南
7 系统摘要 状态和统计信息 •PIDVID—硬件的版本号。
固件信息•固件版本—所安装固件的版本号。
•固件MD5校验和—用于文件验证的值。
端口状态•端口ID—定义的端口名称和编号。
•接口—用于连接的端口的名称。
•已启用—端口的状态。
•速度—自动协商后设备的速度(以Mbps为单位)。
IPv4和IPv6•接口—接口的名称。
•IP地址—分配给接口的IP地址。
•默认网关—接口的默认网关。
•DNS—DNS服务器的IP地址。
•动态DNS—接口DDNS(动态DNS)的IP地址:“已启用”或“已禁用”。
•更新—单击可更新IP地址。
•释放—单击可释放接口。
VPN状态•类型—VPN隧道的类型。
•活动—已启用或已禁用。
•已配置—VPN隧道的状态(是否已配置)。
•最大支持会话数—设备上支持的隧道的最大数量。
•已连接会话—隧道的状态。
防火墙设置状态•状态数据包检测(SPI)—又称为动态数据包过滤,能够监控活动连接的状态,并使用这些信息确定哪些网络数据包可通过防火墙。
•拒绝服务(Dos)—Dos过滤器服务的状态为已启用(打开)或已禁用(关闭)。
DoS攻击是指企图使目标用户无法使用机器或网络资源。
RV340W管理指南
8 状态和统计信息 TCP/IP服务 •阻止WAN请求—通过向互联网设备隐藏网络端口并阻止其他互联网用户检测网络,使得外部用户难以顺利进入网络。
•远程管理—表示是否允许通过远程连接管理设备。
•访问规则—已设置的访问规则的数量。
日志设置状态•系统日志服务器—系统日志的状态。
•电子邮件日志—要使用电子邮件发送的日志的状态。
TCP/IP服务 “TCP/IP服务”页面显示协议、端口和IP地址的统计信息。
要查看TCP/IP服务,请单击状态和统计信息>TCP/IP服务。
端口监听状态•协议—用于通信的协议的类型。
•监听IP地址—设备上的监听IP地址。
•监听端口—设备上的监听端口。
已建立的连接的状态•协议—用于通信的协议的类型。
•本地IP地址—系统的IP地址。
•本地端口—不同服务的监听端口。
•外部地址—已连接的设备的IP地址。
•外部端口—已连接的设备的端口。
•状态—会话的连接状态。
端口流量 “端口流量”页面显示设备接口的统计信息和状态。
要查看设备的“端口流量”页面,请单击状态和统计信息>端口流量。
端口流量•端口ID—定义的端口名称和编号。
RV340W管理指南
9 WANQoS统计信息 状态和统计信息 •链路状态—接口的状态。
•接收的数据包—端口上接收的数据包数量。
•接收的字节—接收的数据包数量(以字节为单位)。
•发送的数据包—端口上发送的数据包数量。
•发送的字节—发送的数据包数量(以字节为单位)。
•数据包错误—有关错误数据包的详细信息。
•刷新—刷新显示的统计信息。
•重置计数器—将所有值重置为零。
端口状态•端口ID—定义的端口名称和编号。
•链路状态—接口的状态。
•端口活动—端口的状态(例如:端口已启用、已禁用或已连接)。
•速度状态—自动协商后设备的速度(以Mbps为单位)。
•双工状态—双工模式:“半双工”或“全双工”。
•自动协商—自动协商参数的状态。
启用自动协商后,即自动协商参数的状态为打开时,它会检测双工模式。
如果连接需要交叉,它会自动选择MDI(介质相关接口)或MDIX(具有正反接线自适应功能的介质相关接口)配置,以与链路另一端相匹配。
WANQoS统计信息 “WANQoS统计信息”页面显示出站和入站WANQoS的统计信息。
要查看设备的“WANQoS统计信息”页面,请单击状态和统计信息>WANQoS统计信息。
•接口—接口的名称。
•策略名称—策略的名称。
•说明—WANQoS统计信息的说明。
•清除计数器—单击可清除计数器。
出站QoS统计信息•队列—出站队列的数量。
•流量类—分配给队列的流量类的名称。
•已发送的数据包—已发送的流量类的出站数据包的数量。
•已丢弃的数据包—已丢弃的出站数据包的数量。
RV340W管理指南10 状态和统计信息 应用统计信息 入站QoS统计信息•队列—入站队列的数量。
•流量类—分配给队列的流量类的名称。
•已发送的数据包—已发送的流量类的入站数据包的数量。
•已丢弃的数据包—已丢弃的入站数据包的数量。
应用统计信息 “应用统计信息”显示路由器的使用情况数据。
要查看“应用统计信息”页面,请单击状态和统计信息>应用统计信息。
•清除计数器—重置表中的所有统计信息。
最大流量生成应用(按类别)•类别—访问过的应用类别的列表。
•流量—流量(以兆字节为单位)。
最大流量生成应用(按名称)•应用—访问过的应用的列表。
•流量—流量(以兆字节为单位)。
最大流量生成者•流量生成者—访问过的IP地址的列表。
•流量—流量(以兆字节为单位)。
最大流量生成者(按设备类型)•设备—访问过的设备的列表。
•流量—流量(以兆字节为单位)。
最大流量生成者(按操作系统类型)•操作系统—使用过的操作系统的列表。
•流量—流量(以兆字节为单位)。
RV340W管理指南11 已连接的设备 状态和统计信息 注释如果AVC被禁用或许可过期,系统可能会弹出一个窗口,说明AVC被禁用或许可过期。
已连接的设备 “已连接的设备”页面列出路由器上连接的所有设备。
要查看此“已连接的设备”页面,请单击状态和统计信息>已连接设备。
IPv4•主机名—连接的设备的名称。
•IPv4地址—连接的设备的IP地址。
•MAC地址—连接的设备的MAC地址。
•类型—设备IP地址的类型。
•接口—连接设备的接口。
IPv6•IPv6地址—连接的设备的IPv6地址。
•MAC地址—连接的设备的MAC地址。
路由状态 路由是在网络中将数据包从一台主机移动至另一台主机的过程。
此过程的路由状态显示在路由表中。
路由表包含有关其直接关联网络的拓朴的信息。
要查看设备的IPv4和IPv6路由状态,请单击状态和统计信息>路由状态。
IPv4和IPv6路由•目标—连接的IP地址和子网掩码。
•下一步跳—下一步跳的IP地址。
数据包经过的步跳的最大数量(最多为15步跳)。
•度量标准—确定发送网络流量的最佳路由时使用的路由算法数量。
•接口—路由连接的接口的名称。
•源—路由的源。
RV340W管理指南12 状态和统计信息 DHCP绑定 DHCP绑定 “DHCP绑定”页面显示IP地址、MAC地址、租用到期时间和绑定类型(静态或动态)等DHCP客户端信息的统计信息。
要查看设备的“DHCP绑定”页面,请单击状态和统计信息>DHCP绑定。
“DHCP绑定表”显示以下内容: •IPv4地址—分配的IP地址。
•MAC地址—客户端分配的IP地址的MAC地址。
•租用到期—客户端系统的租用时间。
•类型—连接状态(静态或动态)。
移动网络 移动网络可让路由器及其子网具备移动性,同时继续保持IP连接对通过该移动路由器连接到网络的IP主机的透明度。
要查看路由器的移动网络,请单击状态和统计信息>移动网络。
接下来,从下拉列表中选择接口(USB1或USB2)。
单击刷新可刷新移动网络状态。
连接•互联网IP地址—服务提供商提供的IP地址。
•子网掩码—服务提供商提供的掩码。
•默认网关—服务提供商提供的默认网关。
•连接运行时间—连接设备的持续时间。
•当前拨号会话数据流量使用情况—每个会话的数据流量使用情况。
•月度数据流量使用情况—月度数据流量使用情况。
数据卡状态•制造商—设备的制造商。
•卡固件—制造商提供的固件版本。
•SIM状态—SIM的状态。
•IMSI—设备的唯一编号。
•运营商—数据网络运营商的名称或类型。
•服务类型—数据服务类型。
•信号强度—数据信号的强度。
•卡状态—卡状态(“断开连接”或“已连接”)。
RV340W管理指南13 VPN状态 状态和统计信息 VPN状态 “VPN状态”显示站点到站点、客户端到站点、SSLVPN、PPTP、L2TP和远程工作人员VPN客户端的隧道状态。
要查看设备的VPN状态,请单击状态和统计信息>VPN状态。
站点到站点隧道状态•已使用的隧道—正在使用的VPN隧道。
•可用隧道—可用的VPN隧道。
•已启用的隧道—已启用的VPN隧道。
•已定义的隧道—定义的VPN隧道。
在连接表中,您可以添加、编辑、删除或刷新隧道。
(请参阅站点到站点,第89页)。
您还可以单击列显示选择,以选择在连接表中显示的列标题。
客户端到站点隧道状态在此模式下,互联网中的客户端连接到服务器,以访问服务器后的企业网络/LAN。
为确保安全连接,您可以实施客户端到站点VPN。
您可以查看所有的客户端到隧道连接,并在连接表中添加、编辑或删除连接。
(请参阅客户端到站点,第95页)。
连接表显示以下信息: •组或隧道名称—VPN隧道的名称。
此名称仅供参考,不一定与隧道另一端使用的名称相匹配。
•连接—连接的状态。
•第2阶段加密/验证/组—第2阶段加密类型(NULL/DES/3DES/AES-128/AES-192/AES-256)、验 证方法(NULL/MD5/SHA1)和DH组号(1/2/5)。
•本地组—本地组的IP地址和子网掩码。
SSLVPN状态通过安全套接字层虚拟专用网络(SSLVPN),用户可以使用Web浏览器建立通向此设备的安全远程访问VPN隧道。
使用SSLVPN可以从互联网上的几乎所有计算机安全、轻松地访问各类Web资源和支持Web的应用。
您可以在此处查看SSLVPN隧道的状态。
•已使用的隧道—用于连接的SSLVPN隧道。
•可用隧道—可用于SSLVPN连接的隧道。
连接表显示已建立的隧道的状态。
您还可以添加、编辑或删除连接。
•策略名称—在隧道上应用的策略的名称。
•会话—会话的数量。
您还可以添加、编辑或删除SSLVPN。
(请参阅SSLVPN,第101页)。
RV340W管理指南14 状态和统计信息 VPN状态 PPTP隧道状态点对点隧道协议可使用128位密钥加密数据。
它用于确保将消息从一个VPN节点安全地发送到另一个节点。
•已使用的隧道—用于VPN连接的PPTP隧道。
•可用隧道—可用于PPTP连接的隧道。
连接表—显示已建立的隧道的状态。
您还可以建立或断开以上连接。
•会话ID—建议的连接或当前连接的会话ID。
•用户名—已连接的用户的名称。
•远程访问—远程连接或建议连接的IP地址。
•隧道IP—隧道的IP地址。
•连接时间—隧道连接的时间。
•操作—连接隧道或断开隧道连接。
L2TP隧道状态第2层隧道协议是一种通过在第2层上使用互联网来启用点对点会话的方法。
您可以查看L2TP隧道状态的状态。
•已使用的隧道—用于VPN连接的L2TP隧道。
•可用隧道—可用于L2TP连接的隧道。
连接表—显示已建立的隧道的状态。
您还可以建立或断开以上连接。
•会话ID—建议的连接或当前连接的会话ID。
•用户名—已连接的用户的名称。
•远程访问—远程连接或建议连接的IP地址。
•隧道IP—隧道的IP地址。
•连接时间—隧道连接的时间。
•操作—连接隧道或断开隧道连接。
RV340W管理指南15 查看日志 状态和统计信息 查看日志 “查看日志”页面显示设备的所有日志。
您可以根据类别、严重程度或关键字过滤这些日志。
您还可以刷新、清除这些日志,并将这些日志导出到PC或USB中。
要查看设备日志,请按照以下步骤操作: 步骤1步骤
2 依次单击状态和统计信息>查看日志。
在“日志过滤条件”下选择相应的选项。
类别 单击以下任意选项即可查看日志: •全部—显示所有日志。
•类别—显示所选类别的日志。
严重程度关键字 选择显示的某个选项,以查看根据严重程度显示的日志。
输入关键字,使系统根据关键字显示日志。
步骤3步骤
4 单击显示日志。
注释要配置日志设置,请参阅日志,第28 页。
单击以下任意选项: •刷新—单击可刷新日志。
•清除日志—单击可清除日志。
•日志导出到PC—单击可将日志导出到PC。
•日志导出到USB—单击可将日志导出到USB存储设备。
RV340W管理指南16 重启 第3章 管理 本节介绍设备的管理功能,其中包含以下主题:•重启,第17页•文件管理,第18页•诊断,第20页•许可证,第21页•证书,第21页•配置管理,第23页 借助重启功能,用户可使用活动映像或非活动映像重新启动设备。
要访问“重启”页面,请按照以下步骤操作: 步骤1步骤2步骤
3 步骤
4 单击管理>重启。
在“重启后的活动映像”部分,从下拉列表中选择一个选项(活动映像x.x.xx.xx或非活动映像x.x.xx.xx)选择首选重启选项。
•重新启动设备。
•重启后还原为出厂默认设置。
•重启后还原为出厂默认设置(包括证书)。
单击重启以重新启动设备。
RV340W管理指南17 管理文件管理 文件管理 “文件管理”提供设备的快照视图。
要查看“文件管理”信息,请按照以下步骤操作: 步骤
1 单击管理>文件管理以查看以下信息:系统信息 •设备型号—设备的型号。
•PIDVID—路由器的PID和VID号。
•当前固件版本—当前固件版本。
•最近更新—最近一次固件更新的日期。
•上可用的最新版本—最新固件版本。
•最近检查—最近一次检查的日期。
签名•当前签名版本—签名的版本。
•最近更新—执行最近一次更新的日期。
•上可用的最新版本—最新签名版本。
•最近检查—最近一次检查的日期。
USB装置驱动程序•当前装置驱动程序版本—内置USB装置驱动程序的版本。
•最近更新—执行最近一次更新的日期。
•上可用的最新版本—最新装置驱动程序版本。
•最近检查—最近一次检查的日期。
语言包•当前语言包版本—语言包的版本。
•最近更新—最近一次更新的日期。
•上可用的最新版本—最新语言包版本。
•最近检查—最近一次检查的日期。
手动升级在“手动升级”部分,可以将固件、签名文件、USB装置驱动程序或语言文件上传和升级至更新版本。
RV340W管理指南18 管理手动升级 步骤
2 注意在固件升级过程中,请勿在操作完成之前尝试上线、关闭设备、关闭PC或以任何方式中断过程。
此过程大约需要一分钟(包括重新启动过程)。
在正向闪存写入的特定时间点中断升级过程可能会损坏闪存并使路由器无法使用。
如果选择从USB驱动器升级,路由器将搜索USB闪存驱动器以查找固件映像文件,这类文件的名称包含以下一项或多项内容:PID、MAC地址和序列号。
如果USB闪存驱动器中有多个固件文件,路由器将选择名称中包含最具体信息的文件,即根据具体程度,优先级从高到低。
手动升级使用较新版本的固件更新路由器的步骤。
步骤1步骤2步骤3步骤4步骤
5 选择管理>文件管理。
在“手动升级”部分,选择文件类型(固件映像、签名文件、USB装置驱动程序或语言文件)。
在“升级方式”部分,选择一个选项(、PC或USB)并单击刷新。
选中将所有配置/设置重置为出厂默认设置可重置所有配置并应用出厂默认设置。
单击升级可将选中的映像上传至设备。
自动更新 如果在系统启动期间使用了U盘,路由器将支持从USB闪存驱动器中加载固件。
路由器将搜索USB闪存驱动器,查找名称中包含以下一种或多种信息的固件映像文件:PID、MAC地址和序列号。
如果USB闪存驱动器中有多个固件文件,路由器将选择名称中包含最具体信息的文件,即根据具体程度,优先级从高到低。
•PID-MAC-SN.IMG•PID-SN.IMG•PID-MAC.IMG•PID.IMG 使用其他名称的文件将被忽略。
如果固件映像版本高于固件当前版本,固件将升级至此映像,DUT将会重启。
然后,升级过程将重新开始。
如果路由器未在USB1中找到更新的映像,那么它将会使用同一逻辑查看USB2。
路由器还支持在系统启动期间,从USB闪存驱动器中加载配置文件。
•这种行为仅在路由器处于出厂默认设置状态,且在接通电源前连接了USB闪存驱动器时出现。
RV340W管理指南19 管理诊断 诊断 •路由器将搜索USB闪存驱动器,查找名称中包含以下一种或多种信息的配置文件:PID、MAC地址和序列号。
如果USB闪存驱动器中有多个固件文件,路由器将选择名称中包含最具体信息的文件,即根据具体程度,优先级从高到低。
PID-MAC-SN.xmlPID-SN.xmlPID-MAC.xmlPID.xml 使用其他名称的文件将被忽略。
自动固件回退机制路由器在闪存中包含两份固件文件并提供自动回退机制。
当将要启动的固件有损坏或启动五次失败后,设备可以自动切换到备份的固件来启动。
自动回退机制的工作流程如下:
1.路由器首先尝试用当前的固件启动2如果当前的固件有损坏,自动启动五次均失败后会切换到备份固件启动。
如果路由器卡在启动过 程中,不能自动重启,可以手动断电再上电,等上电30秒后再次断电,这样操作5次后设备也会切到备份的固件。
3当设备用份份的固件启动后,请检查原来的主固件是否有问题。
4如果确认主固件有问题,请重新上传主固件。
设备提供了几个诊断工具来帮助对网络问题进行故障排除。
使用下列诊断工具监视网络的整体状况。
使用Ping或Trace可以使用Ping或Trace实用程序测试此路由器与网络中其他设备之间的连接。
要使用Ping或Trace,请按照以下步骤操作: 步骤1步骤2步骤
3 步骤
4 选择管理>诊断。
在“Ping或Trace一个IP地址”部分的“IP地址/域名”字段中输入IP地址或域名。
单击Ping。
系统将显示Ping结果。
这些结果可说明设备是否可访问。
或单击跟踪路由。
系统将显示追踪路由结果。
要执行DNS查找,请在“执行DNS查找”>“IP地址/域名”字段中输入IP地址或域名,并单击查找。
RV340W管理指南20 管理许可证 许可证 在“许可证”部分,您可以配置许可证或注册路由器。
它可以简化思科软件体验,并帮助您了解思科软件的使用方式。
智能软件许可状态“智能软件许可状态”部分显示设备的许可证信息。
注册状态—“已注册”或“未注册”,以及注册日期。
许可证授权状态—“已授权”、“评估模式”、“不合规”、“授权已到期”或“评估期已到期”,以及许可证授权日期。
受控导出功能—默认情况下不允许。
智能许可证使用 您可以选择要用于路由器的智能许可证。
请确保您的路由器虚拟帐户中有足够的许可证,否则会产生不合规问题。
要配置智能许可证,请按照以下步骤操作: 步骤1步骤2步骤3步骤
4 在“智能许可证使用”下,单击选择许可证。
选中适用的许可证并在帐户下输入许可证号。
单击保存。
此时会显示“许可证授权更新”弹出窗口,单击确定。
证书 证书在通信过程中具有重要作用。
由受信任的证书颁发机构(CA)签名的证书可以确保证书持有者的真实身份。
如果数据没有受信任的签名证书,则可能会被加密,但是与您通信的对方可能并非您预期的通信对象。
此页显示证书列表及证书详细信息。
您可以导出自签名证书、本地证书和CSR证书,也可以导入CA证书、本地证书或PKCS#12证书。
您还可以将PC/USB中的证书文件导入新证书。
如果导入了设备证书,它将会取代对应的CSR证书。
“证书表”中显示与路由器相关联的证书。
对于“证书表”中所列的证书,您可以执行删除、导出、查看详细信息或证书导入操作。
RV340W管理指南21 管理导入证书 导入证书要导入证书,请按照以下步骤操作: 步骤1步骤
2 步骤3步骤4步骤5步骤
6 单击导入证书。
从下拉列表中选择要导入的证书类型: •本地证书•CA证书•PKCS#12编码文件。
输入证书名称。
(对于PKCS#12,必须输入密码。
)选中从PC导入,单击选择文件以从特定位置上传并导入证书。
选中从USB导入,单击刷新以从USBKey上传并导入证书。
单击上传。
生成CSR/证书 步骤1步骤2步骤
3 单击生成CSR/证书。
从下拉列表中选择要生成的证书类型。
输入以下信息: 证书名称 输入证书名称。
证书名称不能包含空格或特殊字符。
主题备选名称 输入名称,并选择以下选项之一:IP地址、FQDN或电子邮件。
国家/地区名称 从下拉列表中选择国家/地区。
省/直辖市/自治区名称 输入省/直辖市/自治区。
地区名称 输入地区名称。
组织名称 输入组织名称。
组织单元名称 输入组织单元名称。
通用名称 输入通用名称。
电子邮件地址 输入电子邮件地址。
RV340W管理指南22 管理配置管理 密钥加密长度有效期 步骤4单击生成。
从下拉菜单中选择密钥加密长度。
应为512或2048。
输入天数(范围1-10950,默认值:360)。
配置管理 “配置管理”页面提供路由器文件配置详细信息。
配置文件名称“配置文件名称”显示以下内容的最后更改时间详细信息: •运行配置•启动配置•镜像配置•备份配置 复制/应用配置“复制/应用配置”部分显示使用运行配置文件的设备的默认配置,该文件并不稳定,且重启后不会保留设置。
您可以将此运行配置文件保存到启动配置文件。
•源文件名—从下拉列表中选择源文件名。
•目标文件名—从下拉列表中选择目标文件名。
•保存图标闪烁—表明在有未保存的数据时,图标是否会闪烁。
要禁用/启用该功能,可单击禁 用保存图标闪烁。
RV340W管理指南23 管理配置管理 RV340W管理指南24 第4章 系统配置 系统配置向导可在安装和配置路由器时提供指导。
本节包含以下主题:•初始设置向导,第26页•系统,第27页•时间,第27页•日志,第28页•电子邮件,第30页•用户帐户,第31页•用户组,第33页•IP地址组,第34页•SNMP,第35页•发现Bonjour,第36页•LLDP,第36页•自动更新,第37页•服务管理,第38页•计划表,第38页 RV340W管理指南25 初始设置向导 系统配置 初始设置向导 在“初始设置向导”页面中,您可以检查连接并配置基本路由器设置。
运行设置向导页面中的说明可以指引您完成设备配置过程。
步骤1步骤2步骤3步骤4步骤5步骤6步骤
7 单击系统配置>初始设置向导。
单击下一步进入“检查连接”页面。
如果路由器检测到连接,此页面将显示连接详细信息。
从下拉列表中选择接口。
单击下一步。
在配置路由器选择连接类型下,选择互联网连接类型。
如果选择动态IP或DHCP,单击下一步。
如果选择静态IP地址,单击下一步并配置以下设置。
静态IP地址 输入静态IP地址。
子网掩码 输入子网掩码。
网关IP 输入网关IP。
DNS 输入DNS的IP地址。
步骤
8 如果选择PPPoE,单击下一步并配置以下设置。
帐户名称 输入帐户名称。
密码 输入密码。
确认密码 确认密码。
步骤
9 如果选择PPTP或L2TP,单击下一步并配置以下设置。
帐户名称 输入帐户名称。
密码 输入密码。
确认密码 确认密码。
静态IP地址 输入静态IP地址。
子网掩码 输入子网掩码。
网关IP 输入网关IP。
远程服务器 输入远程服务器。
DNS 输入DNS的IP地址。
RV340W管理指南26 系统配置系统 步骤10步骤11 从“时区”下拉列表中选择路由器的时区。
选择以下选项之一: •启用网络时间协议同步,可自动设置日期和时间。
•手动设置日期和时间,可手动设置日期和时间。
输入日期和时间。
步骤12步骤13 单击下一步。
在“选择MAC地址”部分,选择以下选项之一: •使用默认地址(推荐)。
•使用本计算机的地址。
•使用此地址—输入一个MAC地址。
步骤14步骤15 单击下一步。
在“摘要”部分,检查设置并单击提交。
系统 您的ISP可能会分配一个主机名和一个域名以识别您的设备,或要求您指定同样的信息。
如果是前一种情况,您可以根据需要更改默认值。
按照下面这些步骤分配主机名和域名。
步骤1步骤2步骤3步骤
4 单击系统配置>系统。
在“主机名”字段中输入主机名。
在“域名”字段中输入域名。
单击应用。
时间 设置时间对网络设备至关重要,因为这样每个系统日志和错误消息可以获取时间戳,以便准确跟踪并与其他网络设备同步数据传输。
您可以配置时区(根据需要调整夏令时),并选择网络时间协议(NTP)服务器以同步日期和时间。
RV340W管理指南27 系统配置日志 要配置时间和NTP服务器设置,请按照以下步骤操作: 步骤1步骤2步骤
3 步骤4步骤
5 单击系统配置>时间。
设置时区—选择与格林威治标准时间(GMT)相关的时区。
设置日期和时间—选择自动或手动。
a)自动—选中默认或用户定义并输入符合条件的NTP服务器名称。
b)手动—输入日期和时间。
设置夏令时—选中此项可启用夏令时时间。
您可以选择夏令时模式—按日期或循环,然后输入开始日期和结束日期。
您还可以指定夏令时偏移量(以分钟为单位)。
单击应用。
日志 系统日志(Syslog)是网络设备的基本设置之
一,它用于记录设备数据。
您可以定义应生成日志的实例。
只要发生此类定义的实例,系统都将生成包含时间和事件的日志。
日志将被发送至系统日志服务器或以电子邮件的形式发送。
然后,可以使用系统日志对网络进行分析和故障排除,以及提高网络的安全性。
配置日志设置要配置日志设置,请按照以下步骤操作: 步骤1步骤2步骤3步骤
4 单击系统配置>日志。
在“日志”部分的日志设置下,选中启用。
在日志缓存字段中,输入以KB为单位的值(范围:1KB至4096KB,默认值:1024KB)。
严重性-从下拉列表中选择相应的日志严重性级别。
下面按照从高到低的顺序列出了严重性级别。
紧急 0级,表示系统无法使用。
警报 1级,表示需要立即采取措施。
严重 2级,表示系统处于高危状态。
错误 3级,表示设备中存在错误,例如单个端口离线。
警告 4级,表示在记录警告消息时设备能够正常工作,但已经发生操作问题。
通知 5级,表示发生了虽在正常范围之内,但却值得注意的情况。
在记录通知时,设 备能够正常工作,但系统已发出通知。
信息 6级,表示算不上错误,但需要特殊处理的状态。
RV340W管理指南28 系统配置日志 调试 7级,表示调试消息包含通常只在调试问题时使用的信息。
步骤
5 类别—选中全部或要在设备上记录的任意必需事件类别。
内核 涉及内核代码的日志。
许可证 涉及许可证违规的日志。
系统 与用户空间应用(例如,NTP、会话和DHCP)相关的日志。
Web过滤 与触发Web过滤的事件相关的日志。
防火墙 与防火墙规则、攻击和内容过滤相关的日志。
应用控制 与应用控制相关的日志。
网络 与路由、DHCP、WAN、LAN和QoS相关的日志。
用户 与用户活动相关的日志。
VPN 与VPN相关的日志包含VPN隧道建立失败、VPN网关故障等实例。
3G/4G 来自插入路由器的3G/4G装置的日志。
SSLVPN 与SSLVPN相关的日志。
步骤6在自动保存至USB中,选中启用以自动保存日志。
RV340W管理指南29 电子邮件服务器 系统配置 电子邮件服务器 电子邮件服务器可以配置为电子邮件帐户。
电子邮件服务器日志会定期发送至特定电子邮件地址,因此管理员始终能够掌握网络的最新动态。
路由器支持SMTP邮件帐户配置。
例如:电子邮件地址、密码、报文摘要、可选参数、SMTP服务器端口号、SSL及TLS。
步骤1步骤2步骤3步骤4步骤5步骤6步骤
7 在电子邮件服务器部分,选中电子邮件系统日志,以启用在记录事件时,路由器发送电子邮件警报的功能。
在电子邮件设置部分,单击链接到电子邮件设置页面,以配置电子邮件设置。
在电子邮件主题部分输入主题。
在严重性部分,从下拉列表中选择严重性级别。
在日志队列长度部分,输入在1至1000范围之内的长度。
默认值为50。
在日志时间阈值部分,从下拉列表中选择时间阈值。
在实时电子邮件警报部分,选中“全部”或您希望设备记录的任意电子邮件警报类别。
远程系统日志服务器 远程系统日志服务器用于将生成消息和事件的软件与存储和分析这些消息和事件的系统分隔开。
启用远程系统日志服务器后,网络驱动程序会通过VPN隧道向本地内联网或互联网中的系统日志服务器发送消息。
通过指定名称或IP地址,可对系统日志服务器进行配置。
步骤1步骤2步骤3步骤
4 在系统日志服务器部分中,选中启用以启用向远程服务器发送系统日志的功能。
在系统日志服务器1字段中,输入日志消息应发送到的系统日志服务器的IP地址。
在系统日志服务器2字段中,输入日志消息应发送到的系统日志服务器的IP地址。
单击应用。
电子邮件 您可以按自己的规格要求配置设备的电子邮件服务器。
配置电子邮件 RV340W管理指南30 系统配置 用户帐户 要配置电子邮件服务器,请按照以下步骤操作: 步骤1步骤
2 选择系统配置>电子邮件。
在电子邮件服务器下,输入以下信息: SMTP服务器 输入SMTP服务器的地址。
SMTP端口 输入SMTP端口。
电子邮件加密 选择无或TLS/SSL作为电子邮件加密方法。
验证 从下拉列表中选择验证类型:无,登录,纯文本或MD5。
电子邮件收件人
1 输入收件人的电子邮件地址。
电子邮件收件人
2 输入收件人的电子邮件地址(可选)。
电子邮件发件人地址 输入发件人的电子邮件地址。
步骤3步骤
4 单击测试与电子邮件服务器的连接以测试连接。
单击应用。
用户帐户 您可以创建、编辑和删除本地用户,并使用适用于各种服务(例如PPTP、VPN客户端、WebGUI登录和SSLVPN)的本地数据库验证这些用户的身份。
如此一来,管理员能够进行控制,并仅允许本地用户访问网络。
要创建本地用户并确定密码复杂性,请按照以下步骤操作: 步骤1步骤2步骤
3 依次选择系统配置>用户帐户。
在本地用户密码复杂性下,选中启用以启用密码复杂性。
配置密码复杂性设置。
最短密码长度 输入最短密码长度以创建新密码(范围:0到64,默认为8)。
最少字符类别数 输入应该用于新密码的最少字符类别数(范围:0到
4,默认为3)。
使用以下四个类别中的三种构成密码:(大写字母、小写字母、数字或特殊字符)。
新密码不得与当前密码相同如果启用此选项,在当前密码过期后,系统会要求用户输入与当前密码不同的密码。
RV340W管理指南31 远程验证服务 步骤4步骤
5 在本地用户成员列表表中,单击“添加”以向路由器添加用户。
在添加用户帐户页面,输入以下信息: 用户名 输入用户名。
新密码 输入密码。
新密码确认 确认密码。
密码强度计 显示密码强度。
组 从下拉列表中选择组(管理员或访客)。
步骤6步骤7步骤
8 单击应用。
单击编辑或删除以编辑或删除现有的用户。
在编辑用户帐户页面,输入以下信息: 旧密码 输入旧密码。
新密码 输入新密码。
新密码确认 确认密码。
组 从下拉列表中选择组(管理员或访客)。
步骤9步骤10步骤11 单击应用。
依次单击导入和选择文件,以导入用户名和密码CSV文件。
单击下载用户模板以下载用户模板。
远程验证服务 要使用RADIUS和LDAP启用外部用户验证,可使用远程验证服务。
步骤
1 在远程验证服务表中,单击添加并输入以下信息: 名称 指定域的名称。
系统配置 RV340W管理指南32 系统配置 用户组 验证类型 主服务器备份服务器预共享密钥确认预共享密钥 从下拉列表中选择验证类型:•RADIUS—为连接并使用网络服务的用户提供验证、授权和记帐(AAA)集中式管理的网络协议。
•活动目录—有助于统一使用相互关联、复杂和不同的网络资源的WindowsOS目录服务。
•LDAP—轻型目录访问协议。
输入主服务器的IP地址。
端口—输入服务器的主端口。
输入备份服务器的IP地址。
端口—输入服务器的备份端口。
如果验证类型已选为RADIUS,则输入RADIUS服务器的预共享密钥。
重新输入RADIUS服务器的预共享密钥以进行确认。
步骤
2 单击应用保存设置。
单击编辑或删除可编辑或删除现有的域。
注释外部数据库优先级始终为RADIUS/LDAP/AD/本地。
如果您在路由器上添加Radius服务器,则Web 登录服务和其他服务将使用RADIUS外部数据库对用户进行验证。
不提供单独为Web登录服务启用外部数据库并为其他服务配置其他数据库的选项。
在路由器上创建并启用RADIUS后,路由器将使用RADIUS服务作为Web登录、站点到站点VPN、EzVPN/第三方VPN、SSLVPN、PPTP/L2TPVPN、802.1x的外部数据库。
用户组 管理员可以为共享同一组服务的一群用户创建用户组。
此类用户组可被授权访问多项服务,例如Web登录、PPTP、L2TP和EzVPN。
要创建用户组,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤
5 依次选择系统配置>用户组。
在“用户组表”下,单击添加创建新用户组。
在“组名称”字段中,输入组的名称。
在“本地用户成员关系列表”下,在“加入”列中选中所需的复选框,以将用户列表添加到组。
在“服务”下,选择用户组有权访问的服务,并输入以下信息。
RV340W管理指南33 IP地址组 系统配置 Web登录 站点到站点VPN EzVPN/第三方 SSLVPNPPTPVPNL2TP802.1x 指定向添加到组的用户授予的Web登录权限:•已禁用—用户组的任何成员都不能使用Web浏览器登录配置实用程序。
•只读—用户组的成员登录后只能读取系统状态。
他们无法编辑任何设置。
•管理员—用户组的所有成员均拥有配置和读取系统状态的完整权限。
选中授予此组权限以便访问站点到站点VPN策略。
•单击添加打开添加功能列表弹出窗口。
•从下拉列表中选择配置文件,然后单击添加。
选中授予此组权限以便访问站点到站点VPN策略。
•单击添加打开添加功能列表弹出窗口。
•从下拉列表中选择配置文件,然后单击添加。
从下拉列表中选择配置文件。
选中允许可启用PPTP验证。
选中允许可启用L2TP验证。
选中允许可启用802.1x验证。
步骤
6 单击应用。
注释802.1x仅支持RADIUS验证。
PPTP/L2TP支持RADIUS和本地数据库。
如果您选择本地数据库,则 只支持使用密码验证协议(PAP)进行本地验证。
IP地址组 为了配置和管理应用控制策略与Web过滤,必须设置IP地址组。
要配置IP地址组,请按照以下步骤操作: 步骤1步骤2步骤
3 单击系统配置>IP地址组。
在IP地址组表中单击添加,以添加组并输入名称。
要删除组,请单击删除。
单击添加并输入以下信息。
协议 从下拉列表中选择IPv4或IPv6。
RV340W管理指南34 系统配置 SNMP 类型和地址详细信息 从下拉列表中选择组类型,并输入地址详细信息:•IP地址—在“IP地址”字段中输入IP地址。
•IP地址子网—在“IP地址”字段中输入IP地址,在“掩码”字段中输入其子网掩码。
•IP地址范围—输入“起始IP地址”和“结束IP地址”。
步骤4单击应用。
SNMP 简单网络管理协议(SNMP)是一种互联网标准协议,它用于收集和组织有关IP网络中托管设备的信息,并修改这一信息以改变设备行为。
步骤
1 要配置路由器的SNMP,请输入以下信息: SNMP启用 选中此选项可启用SNMP。
允许来自互联网的用户访问选中此选项可允许来自互联网的用户访问。
允许来自VPN的用户访问选中此选项可允许来自VPN的用户访问。
版本 从下拉列表中选择版本。
系统名称 输入系统名称。
系统联系人 输入系统联系人。
系统位置 输入系统位置。
获取社区 输入社区的名称。
设置社区 输入社区的名称。
步骤
2 陷阱配置 使用陷阱配置,您可以设置路由器(无论从哪个传出接口)向单个地址发送的每个SNMP陷阱数据包的源地址。
要配置SNMP陷阱,请输入以下信息。
陷阱接收器IP地址 输入IP地址。
RV340W管理指南35 发现Bonjour 系统配置 陷阱接收器端口 输入端口号。
步骤3完成设置后,单击应用。
发现Bonjour Bonjour是一项服务发现协议,用于定位LAN上的计算机和服务器等网络设备。
启用此功能之后,设备会定期向LAN组播Bonjour服务记录,以通告此服务的存在。
注释为了发现思科S系列产品,思科提供了一种通过Web浏览器上的简单工具栏即可工作的实用程序,称为FindIt。
此实用程序可发现网络中的思科设备并显示序列号和IP地址等基本信息。
如需了解更多信息并下载此实用程序,请访问/go/findit。
要启用“发现Bonjour”,请按照以下步骤操作: 步骤1步骤2步骤
3 选择系统配置>发现Bonjour。
选中启用以全局启用“发现Bonjour”。
(默认情况下,此功能处于启用状态。
)选中应用。
LLDP 链路层发现协议(LLDP)是网络设备使用的互联网协议套件中的供应商中立协议,用于在IEEE802局域网通告其身份、功能和邻居。
LLDP信息由设备以固定时间间隔,从其接口以以太网帧的形式进行发送。
每个帧包含一个LLDP数据单元(LLDPDU)。
每个LLDPDU都由类型-长度-值(TLV)结构序列构成。
要配置LLDP,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤
5 选择系统配置>LLDP。
在LLDP部分,选中启用。
(默认情况下,此功能处于启用状态。
)在LLDP端口设置表中,选中启用LLDP以在接口上启用LLDP。
单击应用。
LLDP邻居设置表中显示以下信息: RV340W管理指南36 系统配置 自动更新 步骤6步骤
7 •本地端口—端口标识符。
•机箱ID子类型—机箱ID的类型(例如,MAC地址)。
•机箱ID—机箱的标识符。
如果机箱ID子类型为MAC地址,则屏幕上会显示设备的MAC地址。
•端口ID子类型—端口标识符的类型。
•端口ID—端口标识符。
•系统名称—设备的名称。
•存活时间—发送LLDP通告更新的速率(以秒为单位)。
要查看关于LLDP端口的详细信息,请选择“本地端口”并单击详细信息。
要刷新“LLDP邻居设置表”,请单击刷新。
自动更新 升级至最新固件版本有助于修复路由器上的故障和其他偶发性问题。
为此,可以配置路由器,从而在您的设备有重要固件更新时,通过电子邮件向您发送通知。
通过配置,可以针对特定类型的网络事件,以指定时间间隔发送信息。
您需要先配置电子邮件服务器,然后才能配置这些通知。
要配置“自动更新”,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤
5 步骤
6 选择系统配置>自动更新。
从检查频率下拉列表中,选择设备自动检查可能固件版本的频率(从不、每周一次或每月一次)。
单击立即检查可立即执行检查。
在通知方式字段中,选中“电子邮件收件人”并输入电子邮件地址。
通知将发送至配置的电子邮件地址。
如果您尚未配置电子邮件服务器,应单击电子邮件字段旁边给出的说明中的链接,并配置电子邮件服务器。
在自动更新下,选择通知以接收更新通知。
从下拉列表中选择自动更新固件的时间。
您可以选择接收通知,并为以下项目配置更新: •系统固件•USB调制解调器固件•安全签名 单击应用。
RV340W管理指南37 服务管理 系统配置 服务管理 “服务管理”部分显示有关系统配置的信息。
您可以向“服务管理”列表添加新条目或更改条目。
要配置服务管理,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤5步骤6步骤7步骤
8 单击系统配置>服务管理。
在“服务表”中,单击添加。
在应用名称字段中,输入名称以用于标识和管理。
在“协议”字段中,从下拉列表中选择该服务使用的第4层协议:(TCP和UDP、TCP、UDP、IP、ICMP)。
在起始端口/ICMP类型/IP协议中,输入端口号、ICMP类型或IP协议。
在结束端口字段中,输入端口号。
单击应用。
要编辑条目,请选择该条目,然后单击编辑。
进行更改,然后单击应用。
计划表 网络设备应得到保护,从而抵御可能损害机密性或导致数据损坏或拒绝服务的蓄意攻击和病毒。
创建计划表可以在特定的日期或时间应用防火墙或端口转发规则。
要配置计划表,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤
5 步骤
6 选择系统配置>计划表。
在计划表中,单击添加创建新的计划表。
选择计划表并单击编辑可编辑计划表。
在名称列中输入名称以查找计划表。
输入所需的计划表开始时间和结束时间。
选中每天可将计划表应用到周内的每一天。
如果您只需要在某几天应用计划表,则取消选中此选项。
在这种情况下,请再选中您要在星期几应用计划表。
您也可以选择工作日或周末。
单击应用。
RV340W管理指南38 第5章 WAN 本节介绍广域网(WAN),包含以下主题:•WAN设置,第39页•多WAN,第42页•移动网络,第44页•动态DNS,第45页•硬件DMZ,第46页•IPv6转换,第46页 WAN设置 路由器上有两个可以配置的物理WAN和VLAN接口。
要配置WAN设置,请按照以下步骤操作: 步骤1步骤2步骤
3 步骤4步骤5步骤
6 步骤7步骤
8 依次选择WAN>WAN设置。
在WAN表中单击添加。
选择接口(WAN1或WAN2)。
选择接口后,相应的子接口名称将会显示在下方。
将该子接口添加至“多WAN”表,以转发默认的路由流量,否则它将根据路由表仅转发已连接的路由流量。
输入VLANID。
配置IPv4、IPv6或高级协议设置。
单击应用。
IPv4和IPv6连接 对于IPv4连接,请单击IPv4选项卡。
从列表中选择连接类型:当IPv4或IPv6连接使用DHCP时 RV340W管理指南39 WAN设置 WAN 在“DCHP设置”部分输入以下信息: DNS服务器 选择使用DHCP提供的DNS服务器或使用如下DNS。
静态DNS1和静态DNS2在字段中输入主要和/或辅助静态DNS的IP地址。
DHCP-PD(仅限IPv6)选中即可启用并输入前缀名称。
当IPv4或IPv6连接使用静态IP时 在静态IP设置部分输入以下信息: WANIP地址 输入IP地址。
子网掩码 输入子网掩码。
默认网关 输入默认网关的IP地址。
此接口上必须有默认网关,才能参与负载平衡和故障切换(多WAN)。
静态DNS1和静态DNS2在字段中输入主要和/或辅助静态DNS的IP地址。
DHCP-PD(仅限IPv6)选中即可启用并输入前缀名称。
当IPv4或IPv6连接使用PPPoE时 在“PPPoE设置”部分输入以下信息: 用户名 ISP分配给您的用户名。
密码 ISP分配给您的密码。
DNS服务器 选择使用PPPoE提供的DNS服务器或使用DNS。
静态DNS1和静态DNS2在字段中输入主要和/或辅助静态DNS的IP地址。
连接模式 如果ISP收取连接费用,请选择按需连接。
输入由于处于不活动状态而终止连接之前,等待的最大空闲时间(以秒为单位)。
默认值为5分钟。
选择保持活动以定期检查连接,并在连接断开后自动重新建立连接。
验证类型服务名称DHCP-PD(仅限IPv6) 从下拉列表中选择验证类型(自动、PAP、CHAP、MS-CHAP、MS-CHAPv2)。
输入服务的名称。
选中即可启用并输入前缀名称。
注释某些服务提供商不允许ping默认网关,特别是PPPoE连接的网关。
请转至“多WAN”页面禁用“网络服务检测”功能,或选择有效的主机进行检测。
否则,设备不会转发流量。
当IPv4通过PPTP连接时在“PPTP”部分输入以下信息: RV340W管理指南40 WAN WAN设置 IP分配 对于DCHP,请选择此选项以使DHCP提供IP地址。
对于静态IP,请选择此选项,并提供IP地址、子网掩码和默认网关的IP地址。
PPTP服务器IP/FQDN输入服务器的名称。
用户名 ISP分配给您的用户名。
密码 ISP分配给您的密码。
DNS服务器 选择使用PPTP提供的DNS服务器或使用DNS。
静态DNS1和静态DNS2在字段中输入主要和/或辅助静态DNS的IP地址。
连接模式 如果ISP收取连接费用,请选择按需连接。
输入由于处于不活动状态而终止连接之前,等待的最大空闲时间(以秒为单位)。
默认值为5分钟。
选择保持活动以定期检查连接,并在连接断开后自动重新建立连接。
。
验证类型MPPE加密 从下拉列表中选择验证类型(自动、PAP、CHAP、MS-CHAP、MS-CHAPv2)。
选中即可启用MPPE加密。
当IPv4连接使用L2TP时 在“L2TP设置”部分输入以下信息。
IP分配 对于DCHP,请选择此选项以使DHCP提供IP地址。
对于静态IP,请选择此选项,并提供IP地址、子网掩码和默认网关的IP地址。
L2TP服务器IP/FQDN输入服务器的名称。
用户名 ISP分配给您的用户名。
密码 ISP分配给您的密码。
DNS服务器 选择使用L2TP提供的DNS服务器或使用DNS。
静态DNS1和静态DNS2在字段中输入主要和/或辅助静态DNS的IP地址。
连接模式 如果ISP收取连接费用,请选择按需连接。
输入由于处于不活动状态而终止连接之前,等待的最大空闲时间(以秒为单位)。
默认值为5分钟。
选择保持活动以定期检查连接,并在连接断开后自动重新建立连接。
验证类型 从下拉列表中选择验证类型(自动、PAP、CHAP、MS-CHAP、MS-CHAPv2)。
当IPv6连接使用网桥时网桥设置桥接至 IP地址 系统默认为VLAN1。
输入IP地址。
RV340W管理指南41 多WAN WAN 子网掩码 输入子网掩码。
默认网关 输入默认网关。
静态DNS1和静态DNS2在字段中输入主要和/或辅助静态DNS的IP地址。
当IPv6连接使用SLAAC时在“SLAAC设置”部分输入以下信息:静态DNS1和静态DNS2在字段中输入主要和/或辅助静态DNS的IP地址。
DHCP-PD(仅限IPv6)选中即可启用并输入前缀名称。
步骤9步骤10 步骤11 单击应用。
对于高级协议单击“高级”选项卡,配置以下内容: MTU(最大传输单位)MAC地址克隆 选择自动可自动设置大小。
要手动设置MTU大小,请选择手动并输入MTU大小。
(该层可以传递的最大协议数据单元的大小,以字节为单位。
) 选中MAC地址克隆,然后输入MAC地址。
单击克隆我的PC的MAC地址可将计算机的MAC地址用作设备的克隆MAC地址。
注释启用“MAC地址克隆”后,端口镜像无法工作。
单击应用。
注释将这些子接口中的任意接口添加至“多WAN”表,以转发默认路由流量。
否则,它将根据路由表,仅转发已连接的路由流量。
多WAN WAN故障切换和负载平衡功能可实现多个WAN接口的高效利用。
根据配置,此功能可用于多个接口之间的流量分配。
多WAN功能基于权值分配,提供多个WAN接口(WAN和USB)之间的出站WAN流量和负载平衡。
它还使用重复的Ping测试监控每个WAN连接,并在连接断开时将出站流量自动路由至另一个WAN接口。
由于采用5元组连接,还可以配置特定的出站流量规则。
它对每个IP连接执行出站网络负载平衡,而不是单个连接同时使用多个WAN连接的通道捆合。
为实现负载平衡或故障切换,它还可以为WAN配置VLAN接口。
RV340W管理指南42 WAN 多WAN 要配置多WAN设置,请按照以下步骤操作: 步骤1步骤
2 步骤
3 步骤4步骤5步骤
6 选择WAN>多WAN。
在“接口设置表”中,配置以下设置: •接口—应用负载平衡和故障切换配置的WAN接口名称。
选择并检查所需接口(WAN1、WAN2、USB1或USB2)。
•优先级(用于故障切换)—为接口输入优先级值,用于在其他接口上建立另一个连接。
•加权百分比或加权带宽(用于负载平衡)—输入每个连接的加权百分比或值。
在尝试平衡带宽负载时, 如果主连接过载,接口会将流量路由至辅助连接。
为确保两个连接的充分利用,两个连接的负载平衡权值之比应反映连接的带宽之比。
单击高级配置,并配置以下设置:a)启用网络服务检测—选中此选项以允许设备通过Ping特定的设备检测网络连接,然后输入下述设置。
•重试计数—Ping设备的次数。
范围为1至10,默认值为
3。
•重试超时—两次Ping操作之间的等待时间(以秒为单位)。
范围为1至300,默认值为5秒。
•检测目标—选择默认网关或远程主机—如果选择远程主机,则输入主机。
单击应用。
启用基于策略的路由—选中以启用该功能。
然后,单击添加或编辑,并配置以下设置: 优先级 输入优先级值。
源IP 输入源IP地址。
目标IP 输入目标IP地址。
服务 从下拉列表中选择服务。
如果某服务未列出,可以单击服务管理添加服务。
传出接口 从下拉列表中选择传出接口(WAN1、WAN2、USB1或USB2)。
故障切换至备份WAN状态 从“故障切换至备份WAN”下拉列表中选择打开或关闭。
注释如果选择关闭,当绑定接口离线或断开时,流量将被丢 弃。
选择启用或禁用以启用或禁用策略的状态。
步骤7步骤
8 还可通过单击编辑或删除以编辑或删除配置。
单击应用。
注释某些服务提供商不允许Ping默认网关。
请选择有效的远程主机以检测网络连接,或者直接禁用检测。
否则,设备不会转发流量。
RV340W管理指南43 移动网络 WAN 移动网络 移动宽带调制解调器是一种允许笔记本电脑、个人电脑或路由器使用移动宽带连接(而不是电话或数据电缆)获取互联网接入的调制解调器。
要配置移动网络,请按照以下步骤操作: 步骤1步骤2步骤3步骤
4 选择WAN>移动网络。
在“全局设置”部分,选择接口(USB1或USB2)以应用设置。
在“卡状态”部分,单击连接以建立连接。
在“服务类型”部分,从下拉列表中选择服务类型。
移动网络设置 要配置移动网络设置,请按照以下步骤操作: 步骤1步骤2步骤
3 步骤
4 在“配置模式”中,选择自动以自动连接到网络。
输入SIMPIN-与SIM卡关联的PIN码。
或者,选择手动以手动连接到网络,并配置以下设置: •接入点名称—输入移动网络服务提供商提供的接入点名称。
•拨号号码—输入移动网络服务提供商提供的用于连接互联网的号码。
•用户名和密码—输入移动网络服务提供商提供的用户名和密码。
•SIMPIN—输入与SIM卡关联的PIN码。
•服务器名称—输入服务器的名称。
•验证—选择要验证的选项。
从以下连接模式中选择一种。
•按需连接—指定连接定时器,如果定时结束且这段时间内无活动,则终止连接。
输入以秒为单位的“最长空闲时间”,即在因无活动而终止连接前的等待时间。
默认值为5分钟。
•保持活动—定期检查与路由器的连接,以便在连接断开时重新建立连接。
在“重拨周期”中,输入路由器自动检查连接的时间间隔(以秒为单位)。
默认周期为30秒。
RV340W管理指南44 WAN 带宽上限设置 带宽上限设置 “带宽上限跟踪”将一段时间内传输的数据量限制在指定值。
它又被称为带宽上限或数据上限。
要配置带宽上限设置,请按照以下步骤操作: 步骤1步骤
2 选中带宽上限跟踪,输入以下信息:•每月更新日期—选择应用带宽上限设置的天数。
•每月带宽上限—输入数据的大小。
•当3G/4G流量达到每月带宽上限的某个百分比时向管理员发送电子邮件—选择每月带宽上限的数据百分比。
当达到上限时,向管理员发送电子邮件警告。
完成设置后,单击应用。
动态DNS 并非所有计算机都使用静态IP地址,而动态域名系统(DDNS)就是一种能确保域名链接到变化的IP地址的方法。
DDNS通过服务器主机名、地址或其他信息的主动配置自动更新DNS中的服务器。
DDNS将固定域名分配给动态的WANIP地址。
因此,您可以在LAN上托管自己的WebFTP或其他类型的TCP/IP服务器。
有多种DDNS服务可供选择,其中大部分免费,或者以很低的价格提供。
最受欢迎的是DynDNS。
RV340W管理指南45 硬件DMZ WAN 要配置动态DNS策略,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤5步骤6步骤7步骤8步骤9步骤10 选择WAN>动态DNS。
在“动态DNS表”中,选择要添加到动态DNS策略的接口(WAN1、WAN2、USB1或USB2)。
单击编辑。
选中启用该动态DNS策略以启用策略配置。
从“提供商”下拉列表中选择服务提供商的名称。
输入DDNS帐户的用户名和密码。
在“完全限定域名”中输入设备全称,包括域名。
选中启用以接收动态DNS提供商的更新,并选择周期。
单击应用。
单击刷新以刷新动态DNS表。
硬件DMZ 隔离区(DMZ)接受所有传入流量并允许所有传出流量。
DMZ是一个子网,向公众开放但位于防火墙之后。
可以使用DMZ将传输到WAN端口的数据包重定向到特定IP地址。
您可以配置防火墙规则,从而允许从LAN和WAN访问DMZ中的特定服务和端口。
倘若任意DMZ节点遭到攻击,LAN不一定会受到攻击。
建议将必须向WAN公开的主机(例如Web或电子邮件服务器)置于DMZ网络中。
要配置硬件DMZ,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤
5 选择WAN>硬件DMZ。
单击启用,将LAN4更改为DMZ端口。
选择子网以确定DMZ服务的子网,然后输入DMZIP地址和子网掩码。
选择范围(DMZ和WAN位于同一子网内),并输入IP范围。
单击应用。
IPv6转换 要从IPv4迁移至IPv6,可以使用名为6in4的互联网转换机制。
6in4使用隧道,将IPv6流量封装进配置的IPv4链接。
6in4流量通过IPv4发送,使用IPv4数据包报头。
其后为IPv6数据包,其IP报头的IP协议编号设置为41。
RV340W管理指南46 WAN IPv6的IPv4封装隧道(6in4) 要配置IPv6转换,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤5步骤
6 选择WAN>IPv6转换。
在“隧道表”中,选择要配置的接口,并单击编辑。
选中启用。
输入说明。
从下拉列表中选择本地接口(WAN1或WAN2)。
“本地IPv4地址”显示选中接口的地址。
IPv6的IPv4封装隧道(6in4) 要添加IPv4隧道(6in4),请输入以下信息: 步骤1步骤2步骤3步骤4步骤
5 单击IPv6的IPv4封装隧道(6in4)选项卡。
输入远程IPv4地址。
输入本地IPv6地址。
输入远程IPv6地址。
完成设置后,单击应用。
IPv6快速部署(6rd) 在IPv6快速部署(6rd)中,每个ISP使用其自有的IPv6前缀之
一,而不是6to4的标准化特殊2002::/16前缀。
因此,对于可接入IPv6网络的所有本征IPv6主机,均可保证提供商6rd主机的可用性。
要添加IPv6快速部署(6rd),请输入以下信息: 步骤1步骤2步骤
3 单击“IPv6快速部署(6rd)”选项卡。
单击从DHCP自动获取,以使用DHCP(选项212)获取6rd前缀、中继IPv4地址和IPv4掩码长度。
或者,选择手动并设置以下6rd参数。
a)输入中继的IPv4地址。
b)输入IPv4通用前缀长度。
RV340W管理指南47 IPv6快速部署(6rd) WAN 步骤
4 c)输入IPv6前缀/长度。
IPv6网络(子网)通过前缀进行标识。
网络中所有主机的IPv6地址具有相同的初始位。
输入网络地址中常见初始位的位数。
默认值为64。
单击应用。
RV340W管理指南48 第6章 QoS 本节介绍服务质量(QoS),此功能用于优化网络流量,从而提升用户体验。
QoS通过在网络中设置特定数据类型(视频、音频、文件)的优先级,来控制和管理网络资源。
此功能专门应用于为视频点播、IPTV、IP电话、流媒体、视频会议和在线游戏生成的网络流量。
本节包含以下主题; •流量类,第49页•WAN队列,第50页•WAN监管,第51页•WAN带宽管理,第51页•交换机分类,第52页•交换机队列,第53页 流量类 流量类根据服务将互联网流量引导至所需队列。
服务可以是第4层TCP或UDP端口应用、源或目标IP地址、DSCP、接收接口、操作系统和设备类型。
要配置流量类,请按照以下步骤操作: 步骤1步骤
2 步骤
3 依次单击QoS>流量类。
在“流量表”中,单击添加(或选择相应行,然后单击编辑),并输入以下信息: •类名称—输入定义的类的名称。
•说明—输入类说明。
•使用中—队列策略正在使用的流量类记录。
在“服务”表中,单击添加(或选择相应行,然后单击编辑),并输入以下信息: RV340W管理指南49 QoSWAN队列 服务名称接收接口IP版本源IP目标IP服务/应用 设备类型操作系统类型匹配DSCP 重写DSCP 步骤4单击应用。
输入服务的名称。
从下拉列表中选择接口(WAN1、WAN2、USB1、USB2、LAN1、LAN2、LAN3、LAN4或VLAN1)。
选择IPv4、IPv6或任意一个(如果您不清楚流量版本)。
输入流量的源IP地址。
输入流量的目标IP地址。
•服务:选择要应用于流量记录的服务的名称。
提供源和目标端口。
•应用:选择要应用于流量记录的应用。
选择应用行为和类别。
注释用户在“安全/应用控制”页面中启用应用控制之前,无法配置应用规则。
从下拉列表中选择产生流量的设备所属的类型。
从下拉列表中选择产生流量的设备运行的操作系统。
DSCP匹配IPv6流量的IPv6标头中的流量类值。
流量类值是配置的值的4倍。
例如,如果用户将匹配的DSCP配置为10,然后将DSCP重写为18。
此规则会匹配流量类值为40的IPv6流,并将DSCP重写为72。
从下拉列表中选择与传入数据包中的DSCP值匹配的DSCP值。
从下拉列表中选择传入数据包中要替换成的DSCP值。
WAN队列 可在三个相互排斥的模式(速率控制、优先级和低延迟)中对来自LAN到WAN的网络流量进行控制。
RV340W管理指南50 QoSWAN监管 要配置WAN队列,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤
5 步骤6步骤
7 单击QoS>WAN队列。
在“WAN队列表”中,选择所需的队列引擎(优先级、速率控制或低延迟)。
在“WAN队列表”中,单击添加,然后输入策略名称并提供说明。
如果选择“优先级队列”,则在“排队优先级表”中从下拉列表中选择每个队列的流量类。
如果选择“速率控制队列”,则在“队列速率控制表”中选择“流量类”,然后输入每个队列的最小和最大速率。
如果选择“低延迟队列”,则在“队列低延迟表”中选择“流量类”,然后配置每个队列的带宽共享值。
单击应用。
WAN监管 在“WAN监管”中,速率控制模式可支持八个队列。
每个队列均可配置为使用最大速率。
要配置“WAN监管”页面,请按照以下步骤操作: 步骤1步骤2步骤
3 单击QoS>WAN监管。
选中在WAN接口上启用流量监管。
在“策略类表”中,为每个队列配置以下设置: 流量类 选择未指定或默认。
最大速率 输入队列的最大带宽速率(以百分数表示)以限制从WAN到LAN的传入流量。
步骤4单击应用。
WAN带宽管理 WAN接口可以使用ISP提供的最大带宽进行配置。
对此值(以KBP/S为单位的传输速率)进行配置后,可以定义的速率对进入端口的流量进行整形。
RV340W管理指南51 QoS交换机分类 要配置WAN带宽管理,请按照以下步骤操作: 步骤1步骤
2 单击QoS>WAN带宽管理。
在“WAN带宽管理表”中,选择接口,然后配置以下设置: 上游(kb/s) 输入上游流量速率(以kb/s为单位)。
下游(kb/s) 输入下游流量速率(以kb/s为单位)。
*您将需要为下游带宽启用WAN监管功能,否则下游带宽不会生效。
出站排队策略 选择要向WAN接口应用的出站排队策略。
步骤3单击应用。
交换机分类 在基于端口、基于DSCP和基于CoS等QoS模式下,数据包是向外发送的。
要配置交换机分类,请单击QoS>交换机分类,并按照以下步骤操作: 步骤
1 选择所需的交换机QoS模式(基于端口、基于DSCP或基于CoS)。
基于端口 在每个LAN端口上,传入数据包基于映射关系映射到特定队列。
•LAN端口队列—选择“LAN端口队列”,以映射各个LAN端口上的传入流量。
•LAG端口队列—启用LAG后,系统会使用配置的队列映射进入此LAG接口的所有流量。
基于DSCP 对于IPv6流量,DSCP会匹配IPv6标头中的流量类值,并将其放置在不同的队列中。
流量类值是DSCP值的4倍。
例如,如果用户的配置是DSCP值10映射至队列
1,那么系统会将流量类值为40的IPv6流放入队列
1。
交换机必须使用传入数据包的DSCP字段,并使用映射表优先安排数据包进入特定队列。
•根据传入数据包的DSCP值,将流量映射至不同的队列。
基于CoS 交换机使用传入数据包优先级“CoS”位,并将数据包划分到用户配置的队列。
•根据传入数据包的CoS值,通过从下拉列表中选择队列将流量映射至不同的队列。
RV340W管理指南52 QoS交换机队列 步骤2单击应用。
交换机队列 在“交换机队列”中,可以通过为每个队列分配加权,配置每个端口上所有四个队列的队列加权。
加权的范围是1到100。
启用LAG后,用户可以定义所有四个队列的队列加权。
注释如果加权为
0,则意味着相应队列在优先级最高的队列中。
要配置LAN端口队列加权,请单击“QoS>交换机队列”,并完成以下操作: 步骤1步骤2步骤3步骤
4 在“LAN端口队列加权”中,为每个队列选择相应的加权。
单击应用。
单击恢复默认设置,恢复系统默认设置。
“LAG端口队列加权”表会显示LAG端口及其队列加权。
RV340W管理指南53 QoS交换机队列 RV340W管理指南54 第7章 LAN 本节介绍局域网(LAN),这是一种覆盖面积相对较小区域(例如办公大楼、学校或家庭)的计算机网络。
本节包含以下主题: •端口设置,第55页•VLAN设置,第56页•LAN/DHCP设置,第57页•静态DHCP,第60页•802.1X配置,第60页•DNS本地数据库,第61页•路由器通告,第61页 端口设置 “端口设置”页面显示EEE、流量控制、模式、端口镜像和链路聚合的端口。
要配置LAN的端口设置,请按照以下步骤操作: 步骤1步骤
2 选择LAN>端口设置。
在各基本端口配置表中,配置以下设置: 端口 列出路由器上当前可用的端口。
已启用 选中此选项可启用端口并对端口进行设置。
禁用此复选框后,端口上的所有设置将全部丢失。
EEE(节能以太网) 选中此选项可降低端口在数据活动量较少时的功耗。
RV340W管理指南55 LANVLAN设置 流量控制模式 选中此选项可启用对称流量控制。
流量控制用于在连接到设备的LANPC之间收发暂停帧和对应的暂停帧。
从下拉列表中选择端口设置模式。
步骤
3 在“端口镜像配置”部分,输入以下信息: 启用 选中启用可启用端口镜像配置。
目标端口 从下拉列表中选择任一LAN(LAN1到LAN4)。
受监控端口 对发送用于映射的流量进行监控所用的端口。
从下拉列表中选择任一LAN(LAN1到LAN4)。
步骤
4 在链路聚合配置表中,输入以下信息: 组名称 列出链路组的名称。
未分配 选中此选项可将端口从LAG表中删除。
从下拉列表中选择任一LAN(LAN1到LAN4)。
LAG1 选择在适当的端口上对流量应用链路聚合。
从下拉列表中选择任一LAN(LAN1到LAN4)。
步骤
5 警告端口(将成为LAG的一部分)上现有的配置会全部丢失。
单击应用。
VLAN设置 通过应用指定的VLAN,可以为端口上的流量加标记。
这种标记有助于区分和转发流量。
系统中仅有32个VLAN。
如果WAN使用了少数VLAN,那么LAN可以使用剩余的VLAN。
RV340W管理指南56 LANLAN/DHCP设置 要配置VLAN设置,请输入以下信息: 步骤1步骤2步骤3步骤4步骤5步骤6步骤7步骤
8 步骤
9 选择LAN>VLAN设置。
在VLAN表中,单击添加。
输入VLANID。
(范围为1-4093)。
选中可启用Inter-VLAN。
输入IPv4地址。
输入前缀、前缀长度和接口标识符。
单击编辑或删除可编辑或删除VLAN表配置。
在“VLAN到端口表”中,单击编辑可向LAN端口分配VLAN。
为表中所列的每个VLAN指定以下信息。
•不标记—从下拉列表中选择不标记可取消端口标记。
•标记—从下拉列表中选择标记可将端口添加为所选VLAN的成员。
从这一指向所选VLAN的端口发送的数据包将具备VLANID标记。
如果端口上没有非标记的VLAN,接口将自动加入VLAN1。
•排除—从下拉列表中选择排除可将端口从所选VLAN中排除。
从端口排除非标记VLAN后,端口会自动加入默认的VLAN。
单击应用。
LAN/DHCP设置 DHCP设置为中继配置DHCP服务器,或为LAN客户端配置选项82(DHCP中继代理信息选项),以获取IP地址。
DHCP服务器维持本地池和租用。
它还允许LAN客户端连接到远程服务器以获取IP地址。
利用选项82,DHCP中继代理在将客户端发起的DHCP数据包转发至DHCP服务器时,可以包含有关自身的信息。
DHCP服务器可以使用此信息实施IP寻址或其他参数分配策略。
要配置LAN/DHCP设置,请按照以下步骤操作: 步骤1步骤2步骤3步骤
4 选择LAN>LAN/DHCP设置。
在“LAN/DHCP设置表”中,单击添加。
如果选择接口,请从下拉列表中选择一个VLAN,并单击下一步。
要为IPv4配置DHCP,请为IPv4选择DHCP类型。
已禁用 在该设备上为IPv4禁用DHCP服务器。
不需要填写其他参数。
服务器 DHCP服务器将地址分配给对应池中的客户端。
RV340W管理指南57 LANLAN/DHCP设置 中继 通过设备发送DHCP请求和其他DHCP服务器的回复。
输入远程DHCP服务器 IPv4地址以配置DHCP中继代理。
步骤
5 为IPv4配置DHCP 单击下一步,并配置以下设置: 客户端租用时间 网络用户可以使用当前IP地址连接到路由器的时间(以分钟为单位)。
有效值为5至43,200分钟。
默认为1440分钟(即24小时)。
范围起始值和范围结束值 可以动态分配IP地址的范围起始值和结束值。
该范围内的IP地址数可以达到服务器在不覆盖PPTP和SSLVPN时能够分配的最大数目。
DNS服务器 DNS服务类型;在此可获取DNS服务器IP地址。
静态DNS1和静态DNS2DNS服务器的静态IP地址。
(可选)如果输入第二个DNS服务器,设备将使用第一个DNS服务器响应请求。
WINS服务器DHCP选项 Windows互联网命名服务(WINS)服务器的可选IP地址,用于将NetBIOS名称解析为IP地址。
默认为0.0.0.0。
•选项66—输入单个TFTP服务器的IP地址或主机名。
•选项150—输入一系列TFTP服务器的IP地址。
•选项67—输入启动文件名。
步骤
6 为IPv6配置DHCP类型 要为IPv6配置DHCP模式,请输入以下信息: 禁用 在该设备上禁用DHCP。
不需要填写其他参数。
服务器 该DHCP服务器将地址分配给对应池中的客户端。
步骤
7 单击下一步,并配置以下设置: 客户端租用时间 网络用户可以使用当前IP地址连接到路由器的时间。
输入时间(以分钟为单位)。
有效值为5至43,200分钟。
默认为1460分钟(24小时)。
例如,如果路由器使用默认的LANIP地址192.168.1.1,则起始值必须为192.168.1.2或更大。
范围起始值 IPv6地址池的起始地址。
范围结束值 IPv6地址池的结束地址。
DNS服务器 ISP提供的DNS(服务器静态)、代理或DNS服务器的类型。
RV340W管理指南58 LANLAN/DHCP设置 静态DNS1和DNS2 (可选)DNS服务器的IP地址。
如果输入第二个DNS服务器,设备将使用第一个DNS服务器进行响应。
与使用动态分配的DNS服务器相比,指定DNS服务器可以提供更快的访问速度。
默认为0.0.0.0。
步骤
8 配置选项82电路 若要配置选项82电路,请输入以下信息。
说明 输入选项82客户端的说明。
电路ID 加强验证安全,以确定选项82电路ID中提供的信息。
输入电路ID及其格式。
步骤
9 单击下一步,并输入以下信息: IP地址和子网掩码 输入设备的IP地址和子网掩码。
步骤10步骤11 单击下一步。
要添加新的DHCP配置,请配置以下设置: 客户端租用时间 网络用户可以使用当前IP地址连接到路由器的时间。
输入时间(以分钟为单位)。
有效值为5至3200分钟。
默认为1460分钟(24小时)。
范围起始值和范围结束值 可以动态分配IP地址的范围起始值和结束值。
该范围内的IP地址数可以达到服务器在不覆盖PPTP和SSLVPN时能够分配的最大数目。
例如,如果路由器使用默认的LANIP地址192.168.1.1,则起始值必须为192.168.1.2或更大。
DNS服务器 DNS服务类型;在此可获取DNS服务器IP地址。
静态DNS1和静态DNS2DNS服务器的静态IP地址。
(可选)如果输入第二个DNS服务器,设备将使用第一个DNS服务器响应请求。
WINS服务器 Windows互联网命名服务(WINS)服务器的可选IP地址,用于将NetBIOS名称解析为IP地址。
默认为0.0.0.0。
DHCP选项 •选项66—输入单个TFTP服务器的IP地址或主机名。
•选项150—输入一系列TFTP服务器的IP地址。
•选项67—输入启动文件名。
步骤12单击确定,然后单击应用。
RV340W管理指南59 LAN静态DHCP 静态DHCP 利用静态DHCP,可使用指向定义的MAC的IPv4地址。
要配置静态DHCP,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤5步骤
6 选择LAN>静态DHCP。
单击添加。
在“静态DHCP表”中,在“名称”字段中输入名称。
在相应的字段中输入IPv4地址和MAC地址。
选中启用。
单击应用。
802.1X配置 IEEE802.1X基于端口的验证可防止未经授权的设备(客户端)访问网络。
该网络访问控制使用IEEE802LAN基础设施的物理访问特性,对连接到LAN端口(具有点对点连接特性)的设备进行验证和授权。
在此环境中,一个端口是LAN基础设施的一个单独连接点。
设备支持多主机模式。
在该模式下,在连接的主机中,只需一台主机成功获得授权,所有主机即可获得网络访问权限。
如果端口未经授权(重新授权失败或收到了EAPOL-logoff消息),系统将拒绝所有连接的客户端访问网络。
配置基于端口的验证的步骤: 步骤1步骤2步骤
3 步骤
4 选择LAN>802.1X配置。
选中启用基于端口的验证以启用该功能。
注释802.1X要求使用RADIUS进行验证。
确保在用户帐户,第31页中定义了RADIUS服务 器。
从“802.1X配置表”的下拉列表中选择“管理状态”。
•强制授权—无需授权。
必须强制为至少一个LAN端口授权。
•自动—启用基于端口的验证。
接口根据设备与客户端之间的验证交换在授权状态和未经授权状态之间转换。
单击应用。
注释在启用基于端口的验证之前,确保相应的配置处于活动状态且正确无 误。
RV340W管理指南60 LANDNS本地数据库 DNS本地数据库 一种本地域名服务(DNS)服务器,用于加速的DNS服务响应。
DNS将域名与其可路由IP地址进行匹配。
对于常用域名,相比于使用外部DNS服务器,使用DNS本地数据库充当本地DNS服务器可以更快给出结果。
如果请求的域名不在本地数据库中,则该请求将转发至在“设置”页面上指定的DNS服务器。
要配置DNS本地数据库,请按照以下步骤操作: 步骤1步骤2步骤
3 选择LAN>DNS本地数据库。
单击添加,并输入主机名和IPv4或IPv6地址。
您还可以编辑或删除DNS:单击应用。
路由器通告 路由器通告常驻程序(RADVD)用于定义接口设置、前缀、路由和通知。
主机依靠其本地网络中的路由器来实现与其他所有主机(本地网络中的主机除外)的通信。
路由器定期发送并响应路由器通告消息。
通过启用此功能,消息会由路由器定期发送并响应请求。
主机使用该信息了解本地网络的前缀和参数。
禁用此功能可以有效禁用自动配置,需要在每台设备上手动配置IPv6地址、子网前缀和默认网关。
要配置路由器通告,请按照以下步骤操作: 步骤1步骤2步骤
3 选择LAN>路由器通告。
从下拉列表中选择VLANID。
选中启用以启用路由器通告,然后配置以下设置: 通告模式 从下拉列表中选择通告模式(单播或主动提供的组播)。
通告间隔 输入发送路由器通告消息的时间间隔(介于10至1800之间,默认为30秒)。
RV340W管理指南61 LAN路由器通告 RA标签 路由器偏好最大传输单位(MTU)路由器有效期限 确定主机是否可以使用DHCPv6获取IP地址和相关信息。
选择并选中以下选项之一: •管理型—主机使用管理型、有状态的配置协议(DHCPv6)通过DHCPv6获取有状态的地址和其他信息。
•其他—使用管理型、有状态的配置协议(DHCPv6)获取其他非地址信息,例如DNS服务器地址。
多宿主主机有权访问多个路由器的网络拓扑中使用的偏好度量标准。
路由器偏好有助于主机选择合适的路由器。
有三种偏好可供选择,即高、中或低。
默认设置为“高”。
从下拉列表中选择偏好。
MTU是可在网络中发送的最大数据包的大小。
它用于路由器通告消息中以确保在LANMTU未众所周知时网络上的所有节点都使用相同的MTU值。
默认设置为1500字节,这是以太网的标准值。
对于PPPoE连接,标准值为1492字节。
除非ISP要求进行其他设置,否则不应更改此设置。
输入介于1280与1500之间的值。
输入路由器通告消息在路由上存在的时间(以秒为单位)。
默认值为3600秒。
步骤4步骤5步骤
6 在“前缀表”中,单击添加并输入前缀的名称。
在“前缀长度和有效期限”字段中输入前缀长度和有效期限。
单击应用。
RV340W管理指南62 第8章 无线 无线局域网(WLAN)是一种无线分布技术,该技术以高频无线电波为媒介构建灵活的数据通信系统,通常会使用无线接入点来实现互联网连接。
此技术通常用于扩展(而不是取代)建筑物或园区内的有线局域网。
由于无线局域网使用射频技术发送和接受数据,所以此类网络无需使用有线连接。
只要是在信号覆盖区域内,即使用户四处移动,也能始终保持网络连接。
本节介绍无线局域网,这是一种典型的本地局域网,通过高频无线电波(而非有线连接)在节点之间进行通信。
本节包含以下主题: •基本设置,第63页•高级设置,第68页•CaptivePortal,第69页•WPS,第71页 基本设置 RV340W可提供无线局域网(WLAN)功能,所有端口(LAN端口和WLAN端口)均在单一广播域中。
此路由器支持802.11ac标准,可同时选择2.4GHz和5GHz两个频段。
根据选择的无线电类型,您可以选择WLAN网络发送和接收数据的频率或通道。
为每个无线电选择合适的通道宽度有助于提高WLAN的吞吐量。
在“基本设置”中,您可以添加、编辑或删除无线SSID设置,也可以选择并配置无线电通道。
您最多可以为每个无线电添加4个独立的虚拟无线网络。
也就是说,您最多只能添加8个SSID(每个无线电4个SSID)。
达到此上限后,“添加”按钮将变成灰色。
要配置无线SSID设置,请按照以下步骤操作: 步骤1步骤2步骤
3 选择无线>基本设置。
在“无线表”中,单击添加或编辑。
然后在“添加/编辑无线SSID设置”页面中配置以下设置: RV340W管理指南63 无线基本设置 SSID名称启用主动应用于无线电 SSID广播 安全模式 此项用于指定网络的名称。
选中启用可启用对应的网络。
选择2.4G或5G频段,可在网络设置和所选频段都满足条件的情况下,将网络连接到所选频段。
系统将在所选的无线电频段中创建此SSID。
选择两者可将此SSID同时配置到两个无线电频段,并将此配置文件关联到具有相应网络设置的可用网络。
如果您希望某个范围内的无线客户端在扫描可用网络时能够检测到此无线网络,可选中此项,以启用SSID广播。
如果您不希望此SSID可被发现,请禁用此功能。
如果禁用此项,无线客户端只有在提供SSID和所需安全凭证的情况下,才能连接到您的无线网络。
此项用于为网络选择安全模式,可用选项如下: •WEP-64:如果您使用不支持WPA或WPA2安全模式的旧型设备,可选择64位WEP安全模式,然后输入WEP密钥。
WEP密钥应由10个十六进制字符组成。
•WEP-128:如果您使用不支持WPA或WPA2安全模式的旧型设备,可选择128位WEP安全模式,然后输入WEP密钥。
WEP密钥应由26个十六进制字符组成。
•WPA2-个人:选择Wi-Fi保护访问第II版(WPA2)安全协议可获得更强的安全保护。
如果选择此项,您需要输入一个字母数字式密码。
•WPA-WPA2-个人:如果您同时允许WPA和WPA2客户端连接到您的无线网络,选择此协议可以获得更强的安全保护。
如果选择此项,您需要输入一个字母数字式密码。
•WPA2-企业:选择此安全协议可使用RADIUS服务器身份验证。
若选择此项,请指定以下值: RADIUS服务器IP地址(用于处理客户端身份验证的RADIUS服务器的IP地址)。
RADIUS服务器端口(用于访问RADIUS服务器的端口)。
RADIUS密码(共享的RADIUS密码)。
•WPA-WPA2-企业:如果您同时允许WPA和WPA2客户端连接到您的无线网络,选择此协议可以使用RADIUS服务器进行身份验证。
如果选择此项,您需要指定“RADIUS服务器IP地址”、“RADIUS服务器端口”和“RADIUS密码”。
RV340W管理指南64 无线基本设置 PMF 1如果“安全模式”设置为“无”,则“PMF”会自动设置为不需要,并会显示为灰色(不可编辑)。
2如果“安全模式”设置为“WPA2-XXX”,则“PMF”默认设置为能够。
•此默认值可以编辑—用户可以将其设置为不需要或需要。
•如果“安全模式”设置为“WPA-XXX”且“PMF”设置为能够,在进行保存时,系统可能会弹出警告,例如“PMF已启用。
但是,一些无线客户端可能无法与PMF完全兼容,并存在不稳定的问题。
” 使用SSID进行无线隔离 注释要设置PMF配置选项,请参阅下面的PMF表。
选中启用可在SSID中启用无线隔离。
启用无线隔离后,连接到同一SSID的无线客户端将无法相互可见或相互通信。
WMM 要根据接入类别(AC)确定流量的优先级并对流量进行排队,请选中启用以启用无线多媒体扩展(WME)。
启用WME可以实现更高效的吞吐量,但是在杂乱的无线电频率(RF)环境下可能会出现较高的错误率。
WPS 选中“启用”可启用Wi-Fi保护设置(WPS)。
此项最多支持两种使用模式:“PIN”和“PushButton”。
如果启用此项,请单击配置,然后在弹出窗口中设置WPS参数。
有关配置WPS的详细信息,请参阅WPS,第71页。
VLAN 此项用于指定SSID所需映射到的VLANID。
连接到此网络的设备将被分配此VLAN中的地址。
默认VLANID为
1,如果所有设备都在同一个网络中,您可以无需更改此设置。
关联的最大客户端数访问时刻 此项用于指定可以同时关联的最大客户端数(对于2.4G频段,默认值为每个SSID50个;对于5G频段,默认值为每个SSID124个)。
注释所有启用的SSID所配置的“关联的最大客户端数”总数不应超过50个客户端(2.4G)或124个客户端(5G)(如果启用MU-MIMO,则不应超过128)。
此项用于指定SSID可用的时间段,如果要使SSID仅在每天的特定时刻或每周的特定日期可用,可以使用此设置。
您还可以指定用户可以访问网络的时间,以限制对网络的访问,从而进一步保护您的网络。
MAC过滤 通过使用MAC过滤,您可以根据请求设备的MAC(硬件)地址来允许或拒绝访问无线网络。
选中“启用”可以为相应的SSID启用MAC过滤。
如果启用此项,请单击配置,为无线网络指定MAC黑名单(禁止访问网络的设备)和白名单(允许访问网络的设备)。
RV340W管理指南65 无线配置2.4GHz无线电 CaptivePortal 表2:PMF表无线接入点设置不需要不需要不需要能够能够能够需要需要需要 选中“启用”可以为SSID启用CaptivePortal验证。
如果启用此项,您需要从下拉列表中选择门户配置文件。
您也可以单击新建,自行配置一个新的配置文件。
有关添加新的CaptivePortal配置文件的详细信息,请参阅CaptivePortal,第69页。
客户端设置不需要能够Required不需要能够需要不需要能够需要 结果不使用PMF连接不使用PMF连接无连接不使用PMF连接使用PMF连接使用PMF连接无连接使用PMF连接使用PMF连接 是否安全 配置2.4GHz无线电 路由器支持双频功能(2.4GHz和5GHz),您可以选择启用或禁用此功能。
您还可以指定每个频段的通道数,或选择自动通道选择。
这些设置将应用到所有虚拟无线网络。
根据选择的无线电频段, RV340W管理指南66 无线 配置5GHz无线电 WLAN网络会以特定频率(或所选通道)收发数据。
为每个无线电选择合适的通道宽度有助于提高WLAN的吞吐量。
要配置并发通道选择参数,请按照以下步骤操作: 配置2.4GHz无线电 步骤1步骤2步骤3步骤4步骤
5 步骤
6 步骤7步骤
8 单击无线>基本设置>2.4G。
单击无线电启用2.4GHz频段。
从“无线网络模式”下拉列表中,选择网络频段模式(“仅B”、“仅G”、“仅N”、“B/G混合”、“G/N混合”或“B/G/N混合”)。
单击20MHz或20/40MHz,选择通道宽度。
单击“较低”或“较高”单选按钮,选择主通道。
注释如果您在步骤4中选择了20MHz带宽,或者从下拉列表中选择了自动,则无法选择主通 道。
从下拉列表中选择适当的无线通道。
您可以选择自动,让系统来选择通道。
如果您选择较低作为主通道设置,则可以选择的通道范围为1至
7。
如果您选择较高,则可以选择的通道范围为5至11。
要启用“非调度自动节能发送”(U-APSD)模式,并允许连接的客户端使用U-APSD功能达到节能目的,请选中U-APSD(WMM节能)。
此设置可以使用802.11e和传统802.11提供的机制调整能耗,实现节能。
单击应用。
配置5GHz无线电 要配置5GHz无线电,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤
5 单击无线>基本设置>5G。
单击无线电启用5GHz频段。
从“无线网络模式”下拉列表中,选择网络频段模式(“仅A”、“N/AC混合”或“A/N/AC混合”)。
单击20MHz、40MHz或80MHz单选按钮,选择通道宽度。
单击较低或较高,选择主通道。
注释只有在选择40MHz带宽的情况下,才能选择主通 道。
RV340W管理指南67 无线高级设置 步骤6步骤
7 步骤
8 步骤
9 从下拉列表中选择适当的无线通道。
您可以选择自动,让系统来选择通道。
如果设备支持省电功能,而且您希望启用“非调度自动节能发送”(U-APSD)模式,请选中U-APSD(WMM节能)。
选中多用户MIMO启用此功能。
多用户多输入多输出(MIMO)功能可以在5G频段上同时支持最多4个平行组。
单击应用。
高级设置 您可以为每个无线电设定高级设置,例如“帧突发”、“WMM无确认”、“基本速率”、“传输速率”、“DTIM间隔”、“RTS阈值”等。
要配置“无线”选项下的高级设置,请按照以下步骤操作: 步骤1步骤
2 依次单击无线>高级设置>2.4G或5G选项卡。
配置以下设置: 帧突发 选中启用可允许以最小帧间隔发送多个帧,从而提高网络效率并减少系统开销。
WMM无确认 选中启用可实现较高的吞吐量。
但是在干扰较多的射频(RF)环境下,启用此项会导致错误率上升。
数据速率 对于“数据速率”,单击设置为默认值为“基本速率”和“传输速率”选择默认值。
基本速率 选择“基本速率”设置—服务准备平台可以达到的传输速率。
设备会向网络中的其他无线设备通告它的基本速率,以确保其他无线设备了解所要使用的速率。
服务准备平台也会通告它将自动选择传输的最佳速率。
传输速率 选择“传输速率”设置—根据无线网络速度决定的数据传输速率。
CTS保护模式 “允许发送”(CTS)保护模式是802.11无线网络协议使用的一种机制,可减少由于隐藏节点问题导致的帧冲突。
默认情况下,此项设置为自动。
要禁用此项,请单击禁用。
信标间隔 此项用于指定信标间隔(信标传输活动的时间间隔),单位为毫秒。
信标是一种由设备广播的数据包,用于与无线网络同步节点(如无线接入点)必须发送信标的时间(也称为“目标信标传输时间”或“TBIT”)。
信标间隔以“时间单位”(TU)表示,可设置的范围介于40至3500毫秒之间,默认值为100。
RV340W管理指南68 无线CaptivePortal DTIM间隔分片阈值RTS阈值发射功率 此项用于指定“发送流量指示图”(DTIM)间隔。
此设置可通知客户端无线接入点中存在缓冲的组播/广播数据。
这些数据包含在按DTIM间隔指定的频率定期生成的信标中。
可设置的范围介于1至255之间,默认值为
1。
此项用于输入“分片阈值”,此值指定在数据分为多个数据包之前的最大数据包大小。
在数据包错误率较高的情况下,可以稍微增大“分片阈值”。
将“分片阈值”设置得过低可能会导致网络性能变差。
可设置的范围介于256至2346之间,默认值为2346。
“RTS阈值”字段用于输入“请求发送”(RTS)的阈值大小。
如果网络数据包小于指定的阈值大小,则RTS/CTS机制不会启用。
可设置的范围介于0至2347之间,默认值为2347。
此项用于在“发射功率”下拉列表中选择所要发送(Tx)的数据量。
步骤3选择所需值后,单击应用。
CaptivePortal CaptivePortal功能为客户端提供经过验证且受控的网络资源访问权限,而且不会影响安全性。
换而言之,连接到WLAN接口的客户端在获得授权之前,会被限制在一个“围墙花园”内。
CaptivePortal会显示一个特殊网页,用于对客户端进行身份验证,然后客户端才能使用互联网。
不过,客户端可以解析DNS,并通过Web浏览器访问专门添加到该“围墙花园”的网站。
身份验证通过用于发起身份验证的CaptivePortal进行。
如果未经过身份验证的客户端试图连接到某个网页(在端口80),守护进程会拦截该请求,并将其重定向到CaptivePortal(UI端口)。
您可以在设备中针对每个虚拟无线网络配置CaptivePortal,只需将虚拟无线网络与门户配置文件关联即可。
您还可以通过选择状态和统计信息>CaptivePortal状态,来查看CaptivePortal的状态。
有关如何启用CaptivePortal配置文件的说明,请参阅基本设置,第63页。
要创建CaptivePortal配置文件,请按照以下步骤操作: 步骤1步骤
2 步骤
3 单击无线>CaptivePortal。
在“CaptivePortal”页面中,单击“门户配置文件表”底部的添加。
要修改现有门户配置文件,请选中相应的复选框,然后单击编辑。
在“添加CaptivePortal配置文件”页面中,配置以下设置: 配置文件名称 输入新CaptivePortal配置文件的名称。
身份验证 选择是启用(身份验证)或禁用(无身份验证)身份验证。
RV340W管理指南69 无线CaptivePortal 更改用户登录请求,重定向可以选择原始URL,也可以选择新URL并在文本字段输入一个URL,以便在 到 完成身份验证后将用户重定向到该URL。
空闲超时 设置身份验证的有效时间,单位为秒,范围介于0-1440之间。
0表示时间无限。
步骤
4 在“门户页面自定义”部分,配置以下设置: 字体颜色 从下拉列表中为页面上显示的文本选择一种字体颜色。
背景图片 单击选择文件,然后选择一张图像作为门户页面显示的背景图片。
公司名称 指定所要显示的公司名称。
公司徽标图片 单击选择文件,然后选择所要显示的公司徽标图像。
欢迎消息 输入登录时显示的欢迎消息。
用户名字段 输入用户名字段显示的文本。
密码字段 输入密码字段显示的文本。
登录按钮名称 输入登录按钮上显示的文本。
版权信息 输入与公司关联的标准版权文本。
身份验证失败时的错误消息输入登录失败时显示的错误消息。
超过最大客户端数时的错误输入在超过最大连接数量时显示的消息文本。
消息 显示协议 选中显示协议可提示用户接受使用协议。
协议标题 输入协议文本的标题。
协议内容 输入所要显示的协议条款。
步骤
5 单击应用。
如需预览此配置文件,请单击预览。
要针对特定用户帐户启用CaptivePortal,请选择系统配置>用户帐户以及系统配置>用户组。
RV340W管理指南70 无线WPS WPS Wi-Fi保护设置(WPS)是一种网络安全功能,可使支持WPS的客户端轻松且安全地连接到无线网络。
您可以通过3种方式连接到支持WPS的无线网络:WPSPushButton、客户端设备的WPSPIN号码,以及在WPS配置页面生成的设备PIN号码。
要配置WPS,请执行以下操作: 步骤1步骤2步骤3步骤
4 依次单击无线>WPS。
系统将显示“Wi-Fi保护设置”页面。
从WPS下拉列表中选择SSID(需要配置WPS的网络对应的SSID)。
从“无线”下拉列表中选择无线电频段(“2.4G”、“5G”或“两者”)。
采用以下三种方式中的一种,在客户端设备上配置WPS:a)在客户端上单击WPS,然后在此WPS配置页面中单击WPS。
b)如果客户端设备具有WPSPIN号码,则在配置页面的文本字段中输入该号码,然后单击注册。
c)如果客户端设备需要使用路由器提供的PIN号码,则单击生成,然后在客户端中输入生成的PIN号码。
在“PIN有效期限”字段中,选择所需的密钥有效期限。
如果有效期限到期,系统将协商新的密钥。
完成上述步骤后,即可完成WPS配置。
RV340W管理指南71 无线WPS RV340W管理指南72 第9章 路由 本节介绍路由,即在网络中选择最佳路径的过程。
动态路由是一种提供最佳数据路由的联网技术。
利用动态路由,路由器可以根据逻辑网络布局的实时变化选择路径。
路由器的路由协议负责在动态路由过程中创建、维护和更新动态路由表。
本节包含以下主题: •IGMP代理,第73页•RIP,第74页•静态路由,第75页 IGMP代理 互联网组管理协议(IGMP)供IP网络上的主机和路由器用于创建组播组成员身份。
IGMP可用于Web资源,并为在线视频流和游戏流等应用提供支持。
利用IGMP代理,路由器可以代表背后的客户端发出IGMP消息。
要启用IGMP代理,请按照以下步骤操作: 步骤1步骤2步骤
3 选择常规>IGMP代理。
选中启用IGMP代理,以允许路由器与节点彼此通信。
从下拉列表中选择上游接口。
•WAN自动—路由器可以支持多WAN。
如果选择WAN自动模式,路由器将选择活动的WAN作为上游端口。
如果多WAN已启用并以负载平衡模式工作,则端口号最小的WAN端口将是上游端口。
例如,如果WAN1和WAN2处于负载平衡模式,那么WAN1将是上游端口。
如果WAN1断开,WAN2将成为上游端口。
•固定接口—固定接口将始终使用选定端口作为上游端口(即使已经断开)。
例如,如果WAN1和WAN2处于负载平衡模式,而您选择WAN2作为上游端口,那么WAN1将不接收组播流量,无论WAN2处于连接还是断开状态。
如果选择固定接口,还请确保选择了WAN1、WAN2或VLAN1。
RV340W管理指南73 路由RIP 步骤4步骤
5 选择“下游接口”WAN或VLAN1。
单击应用。
RIP 路由信息协议(RIP)是在局域网(LAN)中使用的标准IGP(内部网关协议)。
如果一个网络连接离线,RIP可以迅速重新路由网络数据包,从而确保更高的网络稳定性。
RIP处于活动状态时,只要有足够的可用网络资源,用户就几乎或完全不会遇到因单个路由器、交换机或服务器故障导致的服务中断。
要配置RIP,请按照以下步骤操作: 步骤1步骤
2 选择路由>RIP。
要启用RIP,请选中Ipv4或Ipv6或同时选中,然后配置以下设置: 接口 在相应的接口中选中启用以接收来自上游的路由。
注释为接口选中启用会自动为该接口选中RIP第1版、RIP第2版、RIPng (Ipv6)和验证。
反之,取消选中启用会取消选中全部设置。
RIP第1版 此协议使用有类路由,不包含子网信息或验证。
•选中启用可在RIP第1版上启用发送和接收路由信息。
•选中被动可在RIP第1版上禁用发送路由信息。
RIP第2版 注释仅当选中启用时才可激活被动配置。
这是一种使用组播并具有密码验证的无类协议。
•选中启用可在RIP第2版上启用发送和接收路由信息。
•选中被动可在RIP第2版上禁用发送路由信息。
RIPng(IPv6) 注释仅当选中启用时才可激活被动配置。
下一代路由信息协议(RIPng)使用用户数据报数据包(UDP)发送路由信息。
它基于RIP第2版,但用于IPv6路由。
•选中启用可启用RIPIpv6路由。
•选中被动可禁用发送RIPng版本。
注释仅当选中启用时才可激活被动配置。
RV340W管理指南74 路由静态路由 验证步骤3单击应用。
此安全功能在与其他路由器交换路由之前强制验证RIP数据包。
此功能不可用于RIPv1。
•选中启用可启用验证,从而仅与网络中受信任的路由器交换路由。
•密码:选择验证类型—明文(常用的验证方法)或Md5(质询-响应验证机制)—并输入密码。
静态路由 静态路由是手动配置的固定路径,是数据包到达目标位置的必经之处。
如果当前网络拓扑上的路由器之间没有进行通信,那么静态路由可以配置为在路由器之间进行通信。
与动态路由相比,静态路由占用的网络资源较少,因为静态路由不会不断计算下一次要进行的路由。
要配置静态路由,请按照以下步骤操作: 步骤1步骤
2 依次选择路由>静态路由。
对于IPv4路由,请在“路由表”中单击添加或编辑,并配置以下内容: 网络 输入您要向其分配静态路由的目标子网IP地址。
掩码 输入目标地址的子网掩码。
下一步跳 输入最后选择的路由器的IP地址。
度量标准 “度量标准”字段中的值表示网络和目标设备之间的路由器数量。
此为直接连接,因此可以将其设置为最小值:
1。
接口 从下拉列表中选择要用于此静态路由的接口。
步骤3步骤
4 完成设置后,单击应用。
对于IPv6路由,请在“路由”表中单击添加或编辑,并配置以下内容: 前缀 输入IPv6前缀。
长度 输入IP地址的前缀位数。
下一步跳 输入最后选择的路由器的IP地址。
RV340W管理指南75 静态路由 度量标准接口步骤5单击应用。
路由 “度量标准”字段中的值表示网络和目标设备之间的路由器数量。
此为直接连接,因此可以将其设置为最小值:
1。
从下拉列表中选择要用于此静态路由的接口。
RV340W管理指南76 第10章 防火墙 本节介绍防火墙,这是一种旨在防御入侵者攻击,确保网络安全的方法。
防火墙会检查流量,并过滤不符合指定安全条件的传输。
防火墙能决定允许或拒绝哪些数据包进出网络。
本节包含以下主题: •基本设置,第77页•访问规则,第78页•网络地址转换,第80页•静态NAT,第80页•端口转发,第81页•端口触发,第82页•会话超时,第83页•DMZ主机,第84页 基本设置 在“基本设置”页面上,您可以启用和配置基本设置。
您还可以将受信任的域添加到该列表中。
要配置基本设置,请按照以下步骤操作: 步骤
1 单击“防火墙”>“基本设置”,输入以下信息: 防火墙 选中“启用”可启用防火墙设置;取消选中启用可禁用。
DoS(拒绝服务) 选中启用可启用DoS。
DoS可阻止Ping炸弹、SYN泛洪检测率[最大数/秒]、IP欺骗、回音风暴、ICMP泛洪、UDP泛洪和TCP泛洪攻击。
阻止WAN请求 选中启用可阻止对WAN的ICMP回音请求。
RV340W管理指南77 访问规则 防火墙 LAN/VPNWeb管理远程Web管理 选择HTTP或HTTPS。
选中启用启用远程Web管理,并输入端口号(默认值为443,范围为1025-65535)。
•选择HTTP或HTTPS。
允许的远程IP地址 选中任意IP地址或输入远程访问的IP地址范围。
SIPALG(会话初始化协议选中启用以允许SIPALG。
这会嵌入流经具有网络地址转换(NAT)功能的已配 应用层网关) 置设备,从而经过转换并编码为数据包的SIP消息。
该应用层网关(ALG)与NAT 一起,用于转换SIP或会话描述协议(SDP)消息。
FTPALG端口 输入端口号。
默认值为21。
FTPALG端口转换FTP数据包。
UPnP(通用即插即用)选中启用可启用通用即插即用。
限制Web功能 选中可限制下列Web功能: •Java:阻止WebJava功能。
•Cookies:阻止Cookies。
•ActiveX:阻止ActiveX。
•访问HTTP代理服务器:阻止HTTP代理服务器。
例外情况 选中启用将只允许选定的Web功能(例如,Java、Cookies、ActiveX或“访问HTTP代理服务器”)并限制所有其他功能。
步骤2步骤3步骤
4 在受信任的域表中,选中域名以编辑现有域设置。
单击添加、编辑或删除以添加、编辑或删除域。
单击应用。
访问规则 要配置访问规则,请按照以下步骤操作: 步骤1步骤
2 选择防火墙>访问规则。
在访问规则表中,输入以下信息: 单击添加或选择相应行,然后单击编辑,并输入以下信息: 规则状态 选中启用可启用特定访问规则。
取消选中可禁用。
RV340W管理指南78 防火墙 操作服务日志源接口源地址 目标接口目的地址 计划表名称 访问规则 从下拉列表中选择允许或拒绝。
•IPv4—选择要应用IPv4规则的服务。
•IPv6—选择要应用IPv6规则的服务。
•服务—从下拉列表中选择服务。
从下拉列表中选择真或从不。
•真—符合规则。
•从不—无需日志。
从下拉列表中选择源接口(WAN1、WAN2、USB1、USB2、VLAN1或“任意”)。
选择要应用规则的源IP地址并输入以下信息: •任意•单一IP—输入一个IP地址。
•IP范围—输入IP地址的范围。
•子网—输入网络的子网。
从下拉列表中选择源接口(WAN1、WAN2、USB1、USB2、VLAN1或“任意”)。
选择要应用规则的源IP地址并输入以下信息: •任意•单一IP—输入一个IP地址。
•IP范围—输入IP地址的范围。
•子网—输入网络的子网。
从下拉列表中选择商务、夜间、营销或工作,以应用防火墙规则。
然后,单击链接以配置计划表。
RV340W管理指南79 网络地址转换 防火墙 步骤3步骤4步骤5步骤6步骤
7 步骤
8 单击应用。
单击恢复为默认规则以恢复默认规则。
单击服务管理以配置服务。
要添加服务,请单击添加。
要编辑或删除服务,请选择相应行并单击编辑或删除。
配置以下设置: •应用名称—服务或应用的名称。
•协议—所需协议。
请参阅您托管的服务的相关文档。
•起始端口/ICMP类型/IP协议—为此服务预留的端口号范围。
•结束端口—为此服务预留的最后一个端口号。
单击应用。
网络地址转换 通过网络地址转换(NAT),使用未注册IP地址的专用IP网络可以连接网络。
在数据包被转发至公共网络之前,NAT会将内部网络的专用地址转换为公共地址。
要配置NAT,请按照以下步骤操作: 步骤1步骤2步骤
3 单击防火墙>网络地址转换。
在NAT表中,为接口列表中的每个接口选中启用NAT以启用该功能。
单击应用。
静态NAT 静态NAT用于防止LAN设备被发现和遭受攻击。
静态NAT创建了一种关系,将有效的WANIP地址映射到由NAT在WAN(互联网)上隐藏的LANIP地址。
步骤1步骤
2 单击防火墙>静态NAT。
单击添加(或选择相应行,然后单击编辑),并输入相关信息。
专用IP地址范围起始IP地输入要映射到公共范围的内部IP地址范围的起始IP地址。
址 RV340W管理指南80 防火墙 端口转发 公共IP地址范围起始IP地址范围长度 服务 输入ISP提供的公共IP地址范围的起始IP地址。
注释请勿在此范围中包含路由器的WANIP地 址。
输入此范围中IP地址的数量。
注释范围长度不得超过有效IP地址的数量。
要映射单个地址,请输入
1。
从下拉列表中选择适用于静态NAT的服务的名称。
接口 从下拉列表中选择接口名称。
活动 选择活动以启用。
步骤3步骤4步骤
5 步骤
6 单击服务管理。
要添加服务,请单击“服务”表下的添加。
要编辑或删除服务,请选择相应行并单击编辑或删除。
字段打开可以修改。
配置以下服务: •应用名称—服务或应用的名称。
•协议—输入协议。
•起始端口/ICMP类型/IP协议—输入为此服务保留的端口号的范围。
•结束端口—输入为此服务保留的最后一个端口号。
单击应用。
端口转发 利用端口转发功能,通过为某个服务打开特定端口或端口范围,可以公开访问LAN网络设备上的服务。
要配置端口转发,请按照以下步骤操作: 步骤1步骤
2 单击防火墙>端口转发。
在端口转发表中,单击添加(或选择某一行并单击编辑),并配置以下设置: 外部服务 从下拉列表中选择外部服务。
(如果服务未列出,可以按照“服务管理”部分中的说明添加或修改列表。
) 内部服务 从下拉列表中选择内部服务。
(如果服务未列出,可以按照“服务管理”部分中的说明添加或修改列表。
) RV340W管理指南81 端口触发 防火墙 内部IP地址接口状态 输入服务器的内部IP地址。
从下拉列表中选择要应用端口转发的接口。
启用或禁用端口转发规则。
步骤3步骤
4 步骤5步骤
6 单击服务管理。
在服务表中,单击添加(或选择某一行并单击编辑),并配置以下设置: •应用名称—服务或应用的名称。
•协议—所需协议。
请参阅您托管的服务的相关文档。
•起始端口/ICMP类型/IP协议—为此服务预留的端口号范围。
•结束端口—为此服务预留的最后一个端口号。
单击应用。
注释通过UPnP应用动态添加UPnP的端口转发规 则。
在UPnP端口转发表中,单击刷新以刷新UPnP列表。
端口触发 端口触发可在用户通过触发端口发送出站流量后为入站流量打开指定端口或端口范围。
利用端口触发功能,设备可以监视特定端口号的传出数据。
设备能记住发送匹配数据的客户端的IP地址。
当请求的数据通过设备返回时,设备将使用IP寻址和端口映射规则将数据发送到正确的客户端。
要向端口触发表添加服务或编辑服务,请配置以下设置: 步骤
1 单击添加(或选择相应行,然后单击编辑)并输入以下信息: 应用名称 输入应用的名称。
触发服务 从下拉列表中选择服务。
(如果服务未列出,可以按照“服务管理”部分中的说明添加或修改列表。
) 传入服务 从下拉列表中选择服务。
(如果服务未列出,可以按照“服务管理”部分中的说明添加或修改列表。
) 接口 从下拉列表中选择接口。
状态 启用或禁用端口触发规则。
RV340W管理指南82 防火墙 会话超时 步骤2步骤
3 步骤
4 单击服务管理,以添加或编辑服务列表上的条目。
在服务表中,单击添加或编辑,然后配置以下设置: •应用名称—服务或应用的名称。
•协议—所需协议。
请参阅您托管的服务的相关文档。
•起始端口/ICMP类型/IP协议—为此服务预留的端口号范围。
•结束端口—为此服务预留的最后一个端口号。
单击应用。
会话超时 借助会话超时功能,您可以为TCP/UDP/ICMP流量配置会话超时和最大并发连接设置。
会话超时设置的是TCP或UDP会话闲置多长时间后会超时。
要配置会话超时,请按照以下步骤操作: 步骤1步骤
2 单击防火墙>会话超时。
输入以下信息:TCP会话超时 UDP会话超时 ICMP会话超时 最大并发连接数量当前连接清除连接 输入TCP会话的超时值(以秒为单位)。
这段时间之后,系统将从会话表中删除不活动的TCP会话。
输入UDP会话的超时值(以秒为单位)。
这段时间之后,系统将从会话表中删除不活动的UDP会话。
输入ICMP会话的超时值(以秒为单位)。
这段时间之后,系统将从会话表中删除不活动的ICMP会话。
输入允许的最大并发连接数量。
显示当前连接的数量。
单击该按钮可清除当前连接。
步骤3单击应用。
RV340W管理指南83 DMZ主机 防火墙 DMZ主机 DMZ是一个子网,向公众开放但位于防火墙之后。
使用DMZ可以将传输到WAN端口的数据包重新定向到LAN中特定的IP地址。
DMZ主机允许LAN中的一个主机连接到互联网以使用服务,例如互联网游戏、视频会议、Web或电子邮件服务器。
可使用防火墙访问规则限制从互联网访问DMZ主机。
建议将必须连接WAN以使用服务的主机置于DMZ网络中。
要配置DMZ,请按照以下步骤操作: 步骤1步骤2步骤3步骤
4 选择防火墙>DMZ。
在DMZ主机中,选中启用。
输入DMZ主机IP地址。
单击应用。
RV340W管理指南84 第11章 VPN 本节介绍虚拟专用网络(VPN),它用于在安全性较低的网络中建立加密连接。
虚拟专用网络确保安全连接到底层网络基础设施。
隧道建立的专用网络可使用加密和验证安全地发送数据。
本节包含以下主题: •VPN设置向导(站点到站点),第85页•IPSec配置文件,第87页•站点到站点,第89页•客户端到站点,第95页•远程工作人员VPN客户端,第98页•PPTP服务器,第100页•L2TP服务器,第100页•SSLVPN,第101页•VPN通道,第103页 VPN设置向导(站点到站点) 借助VPN,远程主机可以像位于同一局域网中一样工作。
路由器可支持50个隧道。
VPN设置向导引导用户为站点到站点IPSec隧道设置安全的连接。
这可以避免设置复杂和可选的参数,从而简化配置,让任何用户都可以快速、高效地设置IPSec隧道。
RV340W管理指南85 VPNVPN设置向导(站点到站点) 要启动VPN设置向导,请单击VPN>VPN设置向导。
请按照以下步骤配置向导。
步骤1步骤2步骤3步骤
4 步骤5步骤
6 步骤
7 步骤8步骤9步骤10步骤11 在“开始使用”部分,在为此连接命名框中输入连接名称。
从下拉列表中选择接口(WAN1、WAN2、USB1或SB2)。
单击下一步。
在“远程路由器设置”部分,从下拉列表中选择远程连接类型。
如果选择IP地址,则输入IP地址;如果选择完全限定域名(FQDN),则输入名称。
单击下一步进入下一个屏幕。
在“本地和远程网络”部分,在“本地流量选择”下,从下拉列表中选择本地IP(IP地址或子网)。
如果选择IP地址,则输入IP地址;如果选择子网,则输入IP地址和子网掩码。
在“远程流量选择”下,从下拉列表中选择远程IP(IP地址或子网)。
如果选择IP地址,则输入IP地址;如果选择子网,则输入IP地址和子网掩码。
单击下一步。
在“IPSec配置文件”中,从下拉列表中选择IPSec配置文件。
如果选择默认,则单击下一步。
如果选择新配置文件,则配置以下设置:第1阶段选项 Diffie-Hellman(DH)组 从下拉列表中选择DH组(第2组或第5组)。
DH是一种密钥交换协议,有两组不同的主密钥长度:第2组最长1,024位,第5组最长1,536位。
若要较快的速度和较低的安全性,请选择第2组。
若要较慢的速度和较高的安全性,请选择第5组。
默认情况下选择第2组。
加密验证 安全关联持续时间(秒)完全向前保密(PFS) 从下拉列表中选择加密选项(3DES、AES-128、AES-192或AES-256)。
加密方法决定了对ESP/ISAKMP数据包进行加密或解密的算法。
验证方法决定了封装安全载荷协议(ESP)报头数据包生效的方法。
MD5是一种可生成128位摘要的单向散列算法。
SHA1是一种可生成160位摘要的单向散列算法。
推荐使用SHA1,因为这种方法更加安全。
确保VPN隧道两端使用相同的验证方法。
选择验证方法(MD5、SHA1或SHA2-256)。
IKESA在此阶段处于活动状态的时间。
第1阶段的默认值为28,800秒。
选中启用以启用PFS,并输入持续时间(秒),或者取消选中启用以禁用。
当PFS启用时,IKE第2阶段协商将为IPSec流量加密和验证生成新密钥。
建议启用此功能。
预先共享密钥 用于验证远程IKE对端的预先共享密钥。
最多可以输入30位键盘字符或十六进制值,例如My_@123或4d795f40313233。
VPN隧道两端必须使用相同的预先共享密钥。
建议定期更改预先共享密钥,以便最大限度地提高VPN的安全性。
RV340W管理指南86 VPNIPSec配置文件 第2阶段选项Diffie-Hellman(DH)组 协议选项 从下拉列表中选择DH组(第2组或第5组)。
DH是一种密钥交换协议,有两组不同的主密钥长度:第2组最长1,024位,第5组最长1,536位。
若要较快的速度和较低的安全性,请选择第2组。
若要较慢的速度和较高的安全性,请选择第5组。
默认情况下选择第2组。
注释仅当在第1阶段选项下启用完全向前保密时才启用此功能。
从下拉列表中选择协议。
•ESP:选择ESP进行数据加密,并输入加密选项。
•AH:在数据不需要保密但必须进行验证的情况下,选择此选项以确保数据完整性。
加密 验证安全关联持续时间(秒) 从下拉列表中选择加密选项(3DES、AES-128、AES-192或AES-256)。
加密方法决定了对ESP/ISAKMP数据包进行加密或解密的算法。
选择验证方法(MD5、SHA1或SHA2-256)。
VPN隧道(IPSecSA)在此阶段处于活动状态的时间。
第2阶段的默认值为3600秒。
步骤12步骤13 单击下一步查看所有配置的摘要。
单击提交。
IPSec配置文件 IPSec配置文件包含与算法相关的信息,例如自动模式下第I和第II阶段协商的加密、验证和DH组。
如果秘钥模式为手动,这些配置文件还包含相应算法的密钥。
任何IPsecVPN记录(例如,站点到站点、客户端到站点或远程工作人员VPN客户端)均引用IPsec配置文件。
要配置IPSec配置文件,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤
5 选择VPN>IPsec配置文件。
在“IPSec配置文件表”中,单击添加。
在“添加新IPSec配置文件”下的“配置文件名称”部分输入名称。
选择秘钥模式。
对于自动秘钥模式,配置以下设置: RV340W管理指南87 VPNIPSec配置文件 第1阶段选项Diffie-Hellman(DH)组 从下拉列表中选择DH组(第2组或第5组)。
DH是一种密钥交换协议,有两组不同的主密钥长度:第2组最长1,024位,第5组最长1,536位。
若要较快的速度和较低的安全性,请选择第2组。
若要较慢的速度和较高的安全性,请选择第5组。
默认情况下选择第2组。
加密验证 安全关联持续时间(秒) 从下拉列表中选择加密选项(3DES、AES-128、AES-192或AES-256)。
加密方法决定了对ESP/ISAKMP数据包进行加密或解密的算法。
验证方法决定了封装安全载荷协议(ESP)报头数据包生效的方法。
MD5是一种可生成128位摘要的单向散列算法。
SHA1是一种可生成160位摘要的单向散列算法。
推荐使用SHA1,因为这种方法更加安全。
确保VPN隧道两端使用相同的验证方法。
选择验证方法(MD5、SHA1或SHA2-256)。
IKESA在此阶段处于活动状态的时间。
第1阶段的默认值为28,800秒。
完全向前保密(PFS) 选中启用以启用PFS,并输入持续时间(秒),或者取消选中启用以禁用。
当PFS启用时,IKE第2阶段协商将为IPSec流量加密和验证生成新密钥。
建议启用此功能。
第2阶段选项协议选项 从下拉列表中选择协议。
•ESP:选择ESP进行数据加密,并输入加密选项。
•AH:在数据不需要保密但必须进行验证的情况下,选择此选项以确保数据 完整性。
加密验证安全关联持续时间(秒)Diffie-Hellman(DH)组 从下拉列表中选择加密选项(3DES、AES-128、AES-192或AES-256)。
加密方法决定了对ESP/ISAKMP数据包进行加密或解密的算法。
选择验证方法(MD5、SHA1或SHA2-256)。
VPN隧道(IPSecSA)在此阶段处于活动状态的时间。
第2阶段的默认值为3600秒。
从下拉列表中选择DH组(第2组或第5组)。
DH是一种密钥交换协议,有两组不同的主密钥长度:第2组最长1,024位,第5组最长1,536位。
若要较快的速度和较低的安全性,请选择第2组。
若要较慢的速度和较高的安全性,请选择第5组。
默认情况下选择第2组。
步骤
6 对于手动密钥模式,配置以下设置:IPSec配置 RV340W管理指南88 VPN站点到站点 安全参数索引(SPI)传入 输入一个数字(范围:100-FFFFFFFF,默认值:100)。
SPI是一种在使用IPsec进行IP流量隧道传输时添加到报头的标识标记。
此标记帮助内核识别两种流量流,这二者可能使用了不同的加密规则和算法。
SPI传出加密密钥输入密钥输出验证 安全关联持续时间(秒)密钥输入密钥输出 输入一个数字(范围:100-FFFFFFFF,默认值:100)。
从下拉列表中选择加密选项(3DES、AES-128、AES-192或AES-256)。
加密方法决定了对ESP/ISAKMP数据包进行加密或解密的算法。
输入一个数字(十六进制,48个字符)。
十六进制格式的密钥,用于解密接收到的ESP数据包。
输入一个数字(十六进制,48个字符)。
十六进制格式的密钥,用于加密普通数据包。
验证方法决定了封装安全载荷协议(ESP)报头数据包生效的方法。
MD5是一种可生成128位摘要的单向散列算法。
SHA1是一种可生成160位摘要的单向散列算法。
推荐使用SHA1,因为这种方法更加安全。
确保VPN隧道两端使用相同的验证方法。
选择验证方法(MD5、SHA1或SHA2-256)。
IKESA在此阶段处于活动状态的时间。
第1阶段的默认值为28,800秒。
输入一个数字(十六进制,32个字符)。
十六进制格式的密钥,用于解密接收到的ESP数据包。
输入一个数字(十六进制,32个字符)。
十六进制格式的密钥,用于加密普通数据包。
步骤7步骤8步骤
9 选择IPsec配置文件,并单击编辑或删除。
要复制现有配置文件,请选择配置文件并单击复制。
单击应用。
站点到站点 在站点到站点VPN中,一个位置的本地路由器可以通过VPN隧道连接到远程路由器。
客户端设备可以访问网络资源,如同它们都在同一个站点一样。
此模式可用于远程位置中的多个用户。
要想成功连接,则要求至少其中一个路由器可通过静态IP地址或动态DNS主机名标识。
如果某个路由器仅有一个动态IP地址,您可使用任何电子邮件地址(用户FQDN)或FQDN来确认是否已建立连接。
隧道两端的两个LAN子网不能在相同的网络中。
例如,如果站点ALAN使用192.168.1.x/24子网,则站点B可以使用192.168.2.x/24。
RV340W管理指南89 VPN创建站点到站点VPN连接 要配置隧道,请在配置这两个路由器时输入相应的设置(将本地和远程反向)。
假设此路由器标识为路由器
A。
请在“本地组设置”部分输入其设置;在“远程组设置”部分输入另一路由器(路由器B)的设置。
配置另一个路由器(路由器B)时,请在“本地组设置”部分输入其设置,并在“远程组设置”部分输入路由器A的设置。
要配置站点到站点VPN,请按照以下步骤操作: 步骤1步骤
2 单击VPN>站点到站点。
站点到站点表中将显示以下选项: 连接名称 使用VPN设置向导创建的VPN隧道连接的名称。
无需与隧道另一端使用的名称相匹配。
远程端点 VPN连接的目标远程端点的IP地址。
可以是FQDN或IP地址。
接口 用于隧道的接口。
IPSec配置文件 用于VPN隧道的IPSec配置文件。
本地流量选择 产生流量的流量选择器。
远程流量选择 流量去往的流量选择器。
状态 隧道的状态。
操作•编辑—单击可编辑连接,系统导航至“站点到站点-添加或编辑新连接”页面。
•删除—单击可删除连接。
•连接—单击可连接并建立隧道。
•断开连接—单击可断开连接。
创建站点到站点VPN创建安全的GRE隧道 单击可创建新的站点到站点隧道。
单击可创建新的GRE隧道。
创建站点到站点VPN连接 步骤1在“基本设置”选项卡中,提供以下信息: RV340W管理指南90 VPN创建站点到站点VPN连接 启用连接名称 IPSec配置文件接口远程端点 IKE验证方法预先共享密钥 证书 适用于本地组设置本地标识符类型本地标识符本地IP类型IP地址子网掩码 远程组设置远程标识符类型远程标识符远程IP类型IP地址子网掩码 单击启用以启用配置。
输入VPN隧道的连接名称。
此名称仅供参考;不一定与隧道另一端使用的名称相匹配。
默认-已选择“自动配置文件”。
从下拉列表中选择用于该隧道的接口(WAN1、WAN2、USB1或USB2)。
从下拉列表中选择静态IP或FQDN。
IKE对端彼此进行验证的方式是,计算并发送含预先共享密钥的秘钥数据散列。
如果接收端能够使用预先共享密钥独立创建相同散列,表明两个对端必定共享相同秘钥,以此验证另一个对端。
预先共享密钥不能很好地扩展,因为配置每个IPSec对端时,必须使用与其建立会话的其余每一个对端的预先共享密钥。
输入预先共享密钥,单击启用以启用“预先共享密钥最小复杂度”。
数字证书是一个数据包,包含证书持有人身份(姓名或IP地址、证书序列号、证书有效日期,以及证书持有人公共密钥的副本)等信息。
X.509标准定义了标准数字证书的格式。
X.509标准第3版定义了证书的数据结构。
从下拉列表中选择证书。
从下拉列表中选择“本地WANIP”、“本地FQDN”或“本地用户FQDN”根据您的选择输入标识符名称或IP地址从下拉列表中选择IP地址或子网。
输入可使用该隧道的设备的IP地址。
输入子网掩码。
从下拉列表中选择“本地WANIP”、“本地FQDN”或“本地用户FQDN”。
根据您的选择输入标识符名称或IP地址从下拉列表中选择IP地址或子网。
输入可使用该隧道的设备的IP地址。
输入子网掩码。
RV340W管理指南91 VPN创建站点到站点VPN连接 步骤
2 在“高级设置”选项卡中,提供以下信息: 积极模式 IKESA协商有两种模式—主模式和积极模式。
如果注重网络安全,建议使用主模式。
如果注重网络速度,建议使用积极模式。
选中启用可启用积极模式,取消选中启用将使用主模式。
如果“远程安全网关类型”是一种动态IP类型,则必须使用积极模式。
系统将自动选中此复选框,并且此设置无法更改。
压缩 一种可减小IP数据报大小的协议。
选中“压缩”后,路由器将在启动连接时提 议压缩。
如果应答器拒绝此提议,则路由器不会实施压缩。
将路由器用作应答 器时,它将接受压缩,即使是在压缩未启用的情况下。
如果在该路由器上启用 此功能,则在隧道另一端的路由器上也应该启用此功能。
NetBIOS广播 广播消息用于Windows网络中的名称解析,以标识计算机、打印机和文件服务器等资源。
某些软件应用程序和“网上邻居”等Windows功能将使用这些消息。
LAN广播流量通常不会通过VPN隧道进行转发。
但是,选中此复选框后,NetBIOS广播就可从隧道的一端转播到另一端。
持久连接 以固定时间间隔尝试重新建立VPN连接。
对端无响应检测(DPD)启用 单击DPD以启用DPD。
该功能定期发送HELLO/ACK消息以检查VPN隧道的状态。
必须在VPN隧道两端同时启用DPD选项。
在“间隔”字段中,输入以下信息以指定HELLO/ACK消息之间的时间间隔: •延时:输入每条HELLO消息之间的延时。
•检测超时:输入宣布对端无响应前的超时时间。
•延迟操作:DPD超时后要采取的操作。
从下拉列表中选择清除或重启。
扩展验证拆分DNS 选中扩展验证以启用该功能。
对于单个用户,选择用户并输入用户名和密码。
对于组,选择组名称,并从下拉列表中选择管理员或访客。
选中拆分DNS以启用该功能。
根据指定的域名,将一些DNS请求发送至一个DNS服务器,将其他DNS请求发送至另一个DNS服务器。
路由器收到地址解析请求时,将检查域名。
如果该域名与“拆分DNS”设置中的某个域名匹配,路由器会将此请求传递至指定的DNS服务器。
否则,路由器会将此请求传递至WAN接口设置中指定的DNS服务器。
DNS服务器1和DNS服务器2—输入用于指定域的DNS服务器的IP地址。
作为可选操作,您也可以在“DNS服务器2”字段中指定辅助DNS服务器。
域名1至6—输入DNS服务器的域名。
域的请求将被传递至指定的DNS服务器。
RV340W管理指南92 VPN创建安全GRE隧道 步骤
3 要启用站点到站点故障切换,应在“高级设置”选项卡中启用“持久连接”。
然后,在“故障切换”选项卡中提供以下信息: 隧道备份 选中隧道备份以启用该功能。
当主隧道故障时,该功能使路由器能够使用远程对端的备用IP地址或者备用的本地WAN接口重新建立VPN隧道。
仅当DPD启用时,此功能才可用。
远程备用IP地址 输入远程对端的IP地址,或者重新输入已为远程网关设置的WANIP地址。
本地接口 从下拉列表中选择本地接口(WAN1、WAN2、USB1或USB2)。
步骤
4 注释要启用站点到站点故障切换,必须在“高级设置”选项卡中启用“持久连接”。
单击应用。
创建安全GRE隧道 通用路由封装(GRE)是一种可用的隧道机制,它使用IP作为传输协议,并承载许多不同的乘客协议。
隧道相当于虚拟点对点链接,具有两个端点,这两个端点分别由隧道源地址和隧道目的地址标识。
步骤1步骤
2 单击创建安全GRE隧道。
单击启用以启用配置,并输入以下信息:适用于GRE隧道信息 接口名称 输入用于连接隧道的接口的名称。
隧道源 从下拉列表中选择隧道源(WAN1、WAN2、USB1或USB2)。
隧道目标 从下拉列表中选择隧道目标(静态IP或FQDN)。
GRE隧道的IP地址 输入承载传输协议的隧道的IP地址。
子网掩码 输入GRE隧道的子网掩码。
适用于IPSec隧道连接名称IPSec配置文件 本地标识符类型 连接的名称。
从下拉列表中选择IPSec配置文件(默认、IPSecProfileAuto、IPSecProfileManual、手动1或自动)。
从下拉列表中选择“本地WANIP”、“本地FQDN”或“本地用户FQDN”。
RV340W管理指南93 VPN创建安全GRE隧道 本地标识符远程标识符类型远程标识符适用于IKE验证方法预先共享密钥 证书 适用于路由协议静态路由 IP地址子网掩码组播转发积极模式 根据选定项输入标识符名称或IP地址。
从下拉列表中选择本地WANIP、本地FQDN或本地用户FQDN。
根据选定项输入标识符名称或IP地址。
IKE对端彼此进行验证的方式是,计算并发送含预先共享密钥的秘钥数据散列。
如果接收端能够使用预先共享密钥独立创建相同散列,表明两个对端必定共享相同秘钥,以此验证另一个对端。
预先共享密钥不能很好地扩展,因为配置每个IPSec对端时,必须使用与其建立会话的其余每一个对端的预先共享密钥。
输入预先共享密钥,单击启用以启用“预先共享密钥最小复杂度”。
数字证书是一个数据包,包含证书持有人身份(姓名或IP地址、证书序列号、证书有效日期,以及证书持有人公共密钥的副本)等信息。
X.509标准定义了标准数字证书的格式。
X.509标准第3版定义了证书的数据结构。
从下拉列表中选择证书。
选中“静态路由”以启用静态路由,并从下拉列表中选择以下选项。
•拆分隧道—允许移动用户使用相同或不同网络连接同时访问不同的安全域,例如公共网络和LAN或WAN。
•隧道传输所有流量—允许通过隧道传输所有流量。
单击添加并输入IP地址。
还可通过单击编辑或删除,编辑或删除现有记录。
输入子网掩码。
选择组播转发以允许路由器将组播流量转发至包含其他接收组播设备的网络。
组播转发可防止向没有接收节点的网络转发组播流量。
单击链接以配置IGMP代理接口。
单击以启用积极模式。
步骤3单击应用。
RV340W管理指南94 VPN客户端到站点 客户端到站点 互联网上的客户端可以连接服务器,以访问服务器后的企业网络或LAN。
使用此功能可以创建新的VPN隧道,使远程工作人员和商务旅行人员可使用第三方VPN客户端软件访问网络。
要配置客户端到站点,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤
5 单击VPN>客户端到站点。
单击添加。
系统将显示“IPsec客户端到站点组”表。
要添加客户端到站点连接,请单击添加。
在添加新组部分,选择一个选项(“思科VPN客户端”或“第三方客户端”)。
对于“思科VPN客户端”,配置以下设置: 启用 单击启用以启用配置。
组名称 输入组名称。
在IKE协商期间,该组名称用作该组所有成员的标识。
接口 从下拉列表中选择接口(WAN1、WAN2、USB1或USB2)。
IKE验证方法 在基于IKE的隧道中用于IKE协商的验证方法。
•预先共享密钥:IKE对端彼此进行验证的方式是,计算并发送含预先共享密钥的秘钥数据散列。
如果接收端能够使用预先共享密钥独立创建相同散列,表明两个对端必定共享相同秘钥,以此验证另一个对端。
预先共享密钥不能很好地扩展,因为配置每个IPSec对端时,必须使用与其建立会话的其余每一个对端的预先共享密钥。
输入预先共享密钥,单击启用以启用“预先共享密钥最小复杂度”。
•证书:数字证书是一个数据包,包含证书持有人身份(姓名或IP地址、证书序列号、证书有效日期,以及证书持有人公共密钥的副本)等信息。
X.509标准定义了标准数字证书的格式。
X.509标准第3版定义了证书的数据结构。
从下拉列表中选择证书。
用户组模式 单击组名称并选择用户组(“管理员”或“访客”)。
单击添加或删除可修改用户组。
选择模式选项。
•客户端—客户端请求IP地址,服务器提供配置的地址范围以内的IP地址。
选择客户端,并输入客户端LAN的起始和结束IP地址。
•网络扩展模式(NEM)—客户端提出子网建议,对于这些子网,服务器后的LAN和客户端建议的子网之间的流量需应用VPN服务。
客户端LAN的池范围 起始IP—输入池范围的起始IP地址。
结束IP—输入池范围的结束IP地址。
RV340W管理指南95 VPN客户端到站点 适用于模式配置 主DNS 输入主DNS服务器的IP地址。
辅助DNS 输入辅助DNS服务器的IP地址。
主Windows互联网名称服输入主WINS的IP地址。
务(WINS)服务器 辅助WINS服务器 输入辅助WINS的IP地址。
默认域 输入要在远程网络中使用的默认域的名称。
备用服务器1、2和3拆分隧道 输入备用服务器1、2和3的IP地址或域名。
当与主IPSecVPN服务器的连接失败时,安全设备可启动与备用服务器的VPN连接。
备用服务器1的优先级最高,备用服务器3的优先级最低。
选中可启用拆分隧道。
然后,单击添加,输入拆分隧道的IP地址和子网掩码。
您可以添加、编辑或删除拆分隧道。
拆分DNS 选中可启用拆分DNS。
然后,单击添加,输入拆分DNS的域名。
您可以添加、编辑或删除拆分隧道。
步骤
6 适用于第三方客户端 在“基本设置”选项卡中,配置以下设置: 启用 单击启用以启用配置。
隧道名称接口IKE验证方法 VPN隧道的名称。
此名称仅供参考,不一定与隧道另一端使用的名称相匹配。
从下拉列表中选择接口(WAN1、WAN2、USB1或USB2)。
在基于IKE的隧道中用于IKE协商的验证方法。
•预先共享密钥:IKE对端彼此进行验证的方式是,计算并发送含预先共享密钥的秘钥数据散列。
如果接收端能够使用预先共享密钥独立创建相同散列,表明两个对端必定共享相同秘钥,以此验证另一个对端。
预先共享密钥不能很好地扩展,因为配置每个IPSec对端时,必须使用与其建立会话的其余每一个对端的预先共享密钥。
输入预先共享密钥,单击“启用”以启用“预先共享密钥最小复杂度”。
•证书:数字证书是一个数据包,包含证书持有人身份(姓名或IP地址、证书序列号、证书有效日期,以及证书持有人公共密钥的副本)等信息。
X.509标准定义了标准数字证书的格式。
X.509标准第3版定义了证书的数据结构。
从下拉列表中选择证书。
RV340W管理指南96 VPN客户端到站点 本地标识符 远程标识符扩展验证客户端LAN的池范围 从下拉列表中选择本地标识符类型(IP地址、FQDN或用户FQDN),并输入标识符。
从下拉列表中选择远程标识符类型(远程IP或用户FQDN),并输入标识符。
选中扩展验证以启用该功能。
单击添加以添加扩展验证,并选择管理员或访客。
起始IP—输入池范围的起始IP地址。
结束IP—输入池范围的结束IP地址。
步骤
7 在“高级设置”选项卡中,配置以下设置: IPSec配置文件 设为默认。
远程端点 从下拉列表中选择远程端点(静态IP、FQDN或动态IP)。
适用于本地组设置本地IP类型IP地址子网掩码 从下拉列表中选择本地IP类型(IP地址或子网)。
输入设备的IP地址。
输入子网掩码。
适用于模式配置 主DNS 输入主DNS服务器的IP地址。
辅助DNS 输入辅助DNS服务器的IP地址。
主Windows互联网名称服输入主WINS的IP地址。
务(WINS)服务器 辅助WINS服务器 输入辅助WINS的IP地址。
默认域 输入要在远程网络中使用的默认域的名称。
备用服务器1、2和3拆分隧道 输入备用服务器1、2和3的IP地址或域名。
当与主IPSecVPN服务器的连接失败时,安全设备可启动与备用服务器的VPN连接。
备用服务器1的优先级最高,备用服务器3的优先级最低。
选中可启用拆分隧道。
然后,单击添加,输入拆分隧道的IP地址和子网掩码。
您可以添加、编辑或删除拆分隧道。
拆分DNS 选中可启用拆分DNS。
然后,单击添加,输入拆分DNS的域名。
您可以添加、编辑或删除拆分隧道。
更多设置 RV340W管理指南97 VPN远程工作人员VPN客户端 积极模式 选中积极模式以启用该功能。
“积极模式”功能用于为IP安全(IPsec)对端指定RADIUS隧道属性,并发起与隧道属性的互联网密钥交换(IKE)积极模式协商。
压缩(支持IP负载压缩协议[IPCamp]) 选中压缩,可启用路由器在开始连接时提议压缩的功能。
如果应答器拒绝此提议,则路由器不会实施压缩。
将路由器用作应答器时,它将接受压缩,即使是在压缩未启用的情况下。
如果在该路由器上启用此功能,则在隧道另一端的路由器上也应该启用此功能。
步骤8完成设置后,单击应用。
远程工作人员VPN客户端 远程工作人员VPN客户端功能可允许设备以思科VPN硬件客户端的形式运行,从而最大程度地降低远程位置的配置要求。
当远程工作人员VPN客户端启动VPN连接后,IPSecVPN服务器会将IPSec策略推送至远程工作人员VPN客户端,并创建相应的隧道。
要配置远程工作人员VPN客户端,请按照以下步骤操作: 步骤
1 单击VPN>远程工作人员VPN客户端,并配置以下内容: 远程工作人员VPN客户端选中打开或关闭。
启动时,只有一个远程工作人员VPN客户端的连接可以处于活动状态。
如果您在启动时启用了一个远程工作人员VPN客户端,那么它会禁用与其他客户端规则有关的此选项。
自动启动重试 选中打开或关闭。
重试间隔 输入以秒为单位的时间(范围:120到1800)。
重试限制 输入重试次数上限(范围:0到16)。
步骤2步骤3步骤
4 单击应用。
在“远程工作人员VPN客户端”表中,单击添加。
在“基本设置”部分提供以下信息: 名称 输入配置文件的名称。
服务器(远程地址) 输入远程服务器的IP地址。
启动时的活动连接 在启动时启动连接。
无论何时,都只能有一个配置文件处于“打开”状态,以便在启动时开始协商 RV340W管理指南98 VPN远程工作人员VPN客户端 IKE验证方法 模式 VLAN用户名用户密码确认用户密码适用于高级设置备用服务器1、2和3对端超时 在基于IKE的隧道中用于IKE协商的验证方法。
•预先共享密钥:IKE对端彼此进行验证的方式是,计算并发送含预先共享密钥的秘钥数据散列。
如果接收端能够使用预先共享密钥独立创建相同散列,表明两个对端必定共享相同秘钥,以此验证另一个对端。
预先共享密钥不能很好地扩展,因为配置每个IPSec对端时,必须使用与其建立会话的其余每一个对端的预先共享密钥。
选中预先共享密钥,并在指定的字段中输入组名称和密码。
•证书:数字证书是一个数据包,包含证书持有人身份(姓名或IP地址、证书序列号、证书有效日期,以及证书持有人公共密钥的副本)等信息。
X.509标准定义了标准数字证书的格式。
X.509版本3定义了证书的数据结构。
选中证书,然后选择默认。
•客户端—客户端请求IP地址,服务器提供配置的地址范围以内的IP地址。
选择客户端,并输入用户名和密码。
•网络扩展模式(NEM)—客户端提出子网建议,对于这些子网,服务器后的LAN和客户端建议的子网之间的流量需应用VPN服务。
ezvpn客户端NEM模式仅支持LANIP10.0.0.0/8、172.16.0.0/12或192.168.0.0/16。
此外,当处于NEM模式下时,服务器后的LAN和客户端应位于不同的子网。
选择NEM,并从下拉列表中选择VLAN,然后输入用户名和密码。
选择一个VLAN。
输入用户名。
输入密码。
确认密码。
输入备用服务器1、2和3的IP地址或域名。
当与主IPSecVPN服务器的连接失败时,安全设备可启动与备用服务器的VPN连接。
备用服务器1的优先级最高,备用服务器3的优先级最低。
输入以秒为单位的时间(范围:30到480)。
步骤5单击应用。
RV340W管理指南99 VPNPPTP服务器 PPTP服务器 点对点隧道协议(PPTP)是实施虚拟专用网络的一种方法。
PPTP使用TCP控制通道和通用路由封装(GRE)隧道操作封装PPP数据包。
最多可为运行PPTP客户端软件的用户启用25个PPTP(点对点隧道协议)VPN隧道。
在向导中,用户选择该选项可使用VPN连接创建指向工作场所的连接。
要配置PPTP服务器,请按照以下步骤操作: 步骤
1 单击VPN>PPTP服务器,然后提供以下信息: PPTP服务器 选择打开或关闭可启用或禁用PPTP服务器。
起始和结束IP地址 如果已启用PPTP,可输入起始和结束IP地址。
DNS1和DNS2IP地址输入主要和辅助DNS服务器的IP地址。
用户验证 选择用户验证(Admin或默认)。
Microsoft点对点加密(MPPE) MPPE可对基于PPP的拨号连接或PPTPVPN连接中的数据进行加密。
支持128位密钥MPPE加密方案。
从下拉列表中选择MPPE加密(无或128位)。
步骤2单击应用。
L2TP服务器 第2层隧道协议(L2TP)是PPTP的延伸,互联网服务提供商(ISP)使用该协议实现互联网上的VPN。
L2TP不会为它传输的数据提供加密。
要对数据进行加密,需要使用其他安全协议(如IPsec)。
L2TP隧道建立在L2TP访问集中器(LAC)和L2TP网络服务器(LNS)之间。
这些设备之间也建立了IPsec隧道,并且所有L2TP隧道流量均使用IPsec加密。
要配置L2TP服务器,请按照以下步骤操作: 步骤1步骤
2 单击VPN>L2TP服务器。
提供以下信息: L2TP服务器 选中打开或关闭以启用或禁用L2TP服务器。
最大传输单位 可通过L2TP隧道发送的最大数据包的大小。
如果L2TP已启用,输入数据包的大小(范围:128-1400,默认值:1400)。
用户验证 选择用户验证(组名称或管理员)。
RV340W管理指南100 VPNSSLVPN 地址池 •起始IP地址—输入起始IP地址。
•结束IP地址—输入结束IP地址。
DNS1和DNS2IP地址IPSecIPSec配置文件预先共享密钥 确认预先共享密钥 输入DNS1和DNS2服务器的主IP和辅助IP地址。
选中打开为L2TP隧道启用IPSec安全。
默认 输入用于验证远程IKE对端的预先共享密钥。
最多可以输入30位键盘字符或十六进制值,例如My_@123或4d795f40313233。
VPN隧道两端必须使用相同的预先共享密钥。
建议定期更改预先共享密钥,以便最大限度地提高VPN的安全性。
重新输入预先共享密钥进行确认。
步骤3单击应用。
SSLVPN 利用安全套接字层虚拟专用网络(SSLVPN),用户可以通过对网络流量进行加密,使用安全且经过验证的路径远程访问受限制的网络。
路由器支持思科AnyConnectVPN客户端(可在[http:///go/anyconnect/]下载)。
默认情况下,路由器支持2个SSLVPN隧道,用户可通过注册许可证使路由器最多支持50个通道。
完成安装和激活后,SSLVPN将创建一个安全的远程访问VPN隧道。
注释此外,如需在您的设备上安装和使用思科AnyConnect安全移动客户端,必须具有思科AnyConnect安全移动客户端许可证。
有关如何订购思科AnyConnect安全移动客户端许可证的详情,请访问/c/dam/en/us/products/collateral/security/anyconnect-og.pdf。
我们推荐适合25-99名用户的AnyConnectPlus许可证。
要配置SSLVPN,请按照以下步骤操作: 步骤1步骤
2 单击VPN>SSLVPN。
在“常规配置服务器”选项卡中,提供以下信息: 思科SSLVPN服务器 选择打开或关闭以启用或禁用服务器。
RV340W管理指南101 VPNSSLVPN 强制网关设置网关接口网关端口证书文件客户端地址池客户端子网掩码客户端域登录横幅 可选网关设置空闲超时会话超时 客户端DPD超时 网关DPD超时 保持活动 租用期限最大MTU中继间隔 从下拉列表中选择网关接口(WAN1、WAN2、USB1或USB2)。
输入网关端口号(范围:1到65535)。
默认。
输入客户端地址池的IP地址。
输入客户端子网掩码。
输入客户端域名。
输入要显示为登录横幅的文本。
输入以秒为单位的空闲超时值(范围:60到86,400)。
TCP或UDP会话闲置多长时间后会超时。
输入以秒为单位的会话超时值(范围:60到1,209,600)。
定期发送HELLO/ACK消息以检查VPN隧道的状态。
必须在VPN隧道两端同时启用此功能。
在“间隔”字段中指定HELLO/ACK消息之间的时间间隔。
输入以秒为单位的客户端DPD超时值(范围:0到3600)。
定期发送HELLO/ACK消息以检查VPN隧道的状态。
必须在VPN隧道两端同时启用此功能。
在“间隔”字段中指定HELLO/ACK消息之间的时间间隔。
输入以秒为单位的网关DPD超时值(范围:0到3600)。
确保路由器始终连接到互联网。
如果连接断开,则尝试重新建立VPN连接。
输入以秒为单位的保持活动状态值(范围:0到600)。
输入以秒为单位的隧道连接时间值(范围:600到1,209,600)。
以字节为单位,输入可以通过网络发送的数据包大小(范围:576到1406)。
以秒为单位,输入中继间隔时间值(范围:0到43,200)。
步骤3步骤
4 单击应用。
在“组策略服务器”标签中,单击添加并提供以下信息。
基本设置 策略名称 输入策略名称。
将整组属性应用于一组用户,而不是分别为每个用户指定各个属性的组策略。
主DNS 输入主DNS服务器的IP地址。
RV340W管理指南102 VPNVPN通道 辅助DNS主WINS辅助WINS说明 IE代理设置IE代理策略 输入辅助DNS服务器的IP地址。
输入主WINS的IP地址。
输入辅助WINS的IP地址。
输入说明。
用于建立VPN隧道的Explorer代理设置。
从下拉列表中选择IE代理策略(无、自动、绕过本地或已禁用)。
如果您选择自动或绕过本地,请输入以下信息: •地址—IP地址或域名。
•端口—输入端口号(范围:1到65,535)。
步骤
5 在“IE例外情况代理”表中,单击添加、编辑或删除,以添加、编辑或删除IE例外情况。
拆分隧道设置 启用拆分隧道拆分选项 选中启用拆分隧道以允许互联网预定的流量未经加密直接发送至互联网。
“全隧道”将所有流量发送至终端设备,然后在该处路由至目标资源(消除了通过Web访问企业网络路径)。
应用拆分隧道时,您可以选择包含流量以包含流量,也可以选择排除流量。
步骤6步骤7步骤
8 在“拆分网络”表中,单击添加、编辑或删除,以添加、编辑或删除DNS例外情况。
配置IP和子网掩码。
单击应用。
VPN通道 借助“VPN通道”,VPN客户端可通过路由器顺利连接至VPN端点。
默认情况下,此功能处于启用状态。
RV340W管理指南103 VPNVPN通道 要配置VPN通道,请按照以下步骤操作: 步骤1步骤
2 步骤
3 选择VPN>VPN通道。
要启用VPN通道,请为获得批准的各个协议选中启用: •IPSec通道—互联网协议安全(IPSec)是一套用于在IP层实现数据包安全交换的协议。
•PPTP通道—点对点隧道协议(PPTP)允许通过IP网络传输点对点协议(PPP)。
•L2TP通道—第2层隧道协议是一种通过第2层上的互联网来启用点对点会话的方法。
单击应用。
RV340W管理指南104 第12章 安全 本节介绍网络安全,其中涵盖用于防止和监控未授权访问、误用、修改或拒绝计算机网络的策略。
本节包含以下主题: •应用控制向导,第105页•应用控制,第106页•Web过滤,第107页•内容过滤,第108页•IP源防护,第108页 应用控制向导 要添加、配置或修改应用控制策略,请按照以下步骤操作: 步骤1步骤2步骤
3 步骤4步骤
5 单击安全>应用控制向导。
在“应用控制”页面上,选择打开,并输入策略名称。
单击下一步,并在“应用列表”上方单击编辑,以配置需要过滤(或者需要阻止或记录到日志)的应用名称。
选择需要过滤的内容后,单击应用。
单击下一步,并从下拉列表中选择计划表,以阻止应用。
单击提交。
RV340W管理指南105 安全应用控制 应用控制 要添加、配置或修改应用控制策略,请按照以下步骤操作: 步骤1步骤2步骤3步骤
4 单击安全>应用控制。
在“应用控制”页面上,选择打开,并单击应用。
要创建新的应用控制策略,请在“应用控制策略”表下单击添加。
在“策略配置文件-添加/编辑”部分指定以下信息: 策略名称 输入名称。
说明 输入说明。
启用 选中可执行应用控制策略。
应用 单击编辑,从列表中选择需要过滤(或者需要阻止或记录到日志)的内容,然 后单击应用。
应用列表 显示已配置的过滤器的“类别”、“应用”和“行为”的列表。
设备类型 从下拉列表中选择设备类型。
操作系统类型 从下拉列表中选择操作系统。
IP组 从下拉列表中选择一个IP组以应用策略。
排除列表 在“排除列表”下,单击添加并配置以下设置:•类型(选择“Mac”或“IP组”)•IP/MAC—输入MAC地址•设备类型—选择设备类型•操作系统类型—选择操作系统类型 计划表 此项用于指定应用控制策略何时处于活动状态,可从下拉列表中选择计划表,也可以单击始终开启应用Web过滤。
步骤5完成设置后,单击应用。
RV340W管理指南106 安全Web过滤 Web过滤 Web过滤功能可防止您访问不当网站。
它可以筛查客户端的Web访问请求,确定允许还是拒绝该网页。
要启用并配置Web过滤,请按照以下步骤操作: 步骤1步骤2步骤3步骤
4 单击安全>Web过滤。
在“Web过滤”部分,选择打开或关闭,然后单击应用。
在“Web过滤策略”表中,单击添加。
要编辑现有的策略,可单击编辑对其进行修改。
在“Web过滤—添加/编辑策略”页面中,输入以下信息: 策略名称 为您正在创建的Web过滤策略指定名称。
说明 输入对策略的简要说明。
启用 选中启用以激活策略。
类别•单击编辑并选择所需的过滤级别(选择要过滤的适当Web类别)。
选择高、中、低或自定义,以定义过滤范围。
还可以从成人内容、商业/投资、娱乐、非法/可疑、IT资源、时尚/文化、其他和安全类别中选择项目。
系统会阻止属于所选项目的传入URL。
•单击应用可回到Web过滤-添加/编辑策略页面。
您可以看到所选Web内容已列在类别下的申请列表中。
•单击恢复为默认类别可恢复默认设置。
设备类型操作系统类型Web信誉在IP组中应用例外情况列表 计划表 从下拉列表中选择应应用策略的设备类型。
从下拉列表中选择应应用策略的操作系统。
选中可启用Web信誉分析。
从下拉列表中选择应应用此策略的IP组。
单击编辑,然后添加并定义以下设置: •白名单—单击添加可定义绕过此策略的域名或关键词。
•黑名单—单击添加可定义应阻止的域名或关键词。
•例外情况列表—单击添加可指定从此策略中排除的IP地址。
单击应用。
从下拉列表中选择所需的计划表。
单击始终开启,应用Web过滤。
RV340W管理指南107 安全内容过滤 步骤5单击确定,保存相关配置。
内容过滤 内容过滤用于限制某些不希望的网站,阻止它们访问客户端。
它可以根据域名和关键字阻止访问网站,还可以通过计划表设置内容过滤的生效时间。
要配置和启用内容过滤,请按照以下步骤操作: 步骤1步骤2步骤
3 单击安全>内容过滤。
选中启用内容过滤以启用该功能。
选择所需单选按钮。
阻止匹配的URL 选中阻止匹配的URL以阻止特定的域和关键字。
仅允许匹配的URL 选中仅允许匹配的URL以仅允许指定的域和关键字。
步骤4步骤5步骤6步骤7步骤8步骤
9 步骤10 在“按域过滤”表下,单击添加。
在“域名”列中输入要过滤/允许的域。
要指定内容过滤规则的生效时间,请从“计划表”下拉列表中选择计划表。
在“按关键字过滤”下,单击添加。
在“关键字名称”列中输入要阻止/允许的关键字。
要指定内容过滤规则的生效时间,请从“计划表”下拉列表中选择计划表。
通过选择名称并单击编辑,可修改现有域名或关键字名称。
单击应用。
IP源防护 IP源防护是一种安全功能,它根据配置的IPMAC绑定过滤流量,从而限制不受信任的IP和MAC地址上的IP流量。
这是一种过滤器,仅当每个数据包的IP地址和MAC地址与IP-MAC绑定表中的条目匹配时,才允许LAN端口上的流量。
当一台主机尝试仿冒和使用另一台主机的IP地址时,此功能可以帮助防止IP欺骗攻击。
RV340W管理指南108 安全IP源防护 要配置IP源防护,请按照以下步骤操作: 步骤1步骤2步骤3步骤4步骤5步骤
6 单击安全>IP源防护。
如果需要IP和MAC绑定,选中启用IP源防护。
如果只需要过滤MAC地址而不需要考虑IP地址,选中阻止未知MAC地址。
在“IP和MAC绑定表”中,单击添加,并输入静态IPv4地址和MAC地址进行绑定。
单击应用。
单击编辑或删除以编辑或删除现有地址。
注释“DHCP租用表”列出了DHCP服务器/中继的所有可用的静态DHCP和动态租用。
单击添加到IP和 MAC绑定表,以将可用租用添加到绑定表。
您必须手动将DHCP租借条目添加到IP和MAC绑定表。
只有IPMAC绑定表中的条目将工作。
注释IPSourceGuard仅在RV340W的有线主机上工作,而不是 无线 RV340W管理指南109 安全IP源防护 RV340W管理指南110 第13章 快速索引 本节包含以下主题:•快速索引,第111页 快速索引 支持思科支持社区思科支持和资源电话支持联系人名单 思科固件下载 /go/smallbizsupport /go/smallbizhelp /c/en/us/support/web/tsd-cisco-small-business-support-center-contacts.html /go/smallbizfirmware选择链接,可下载相应思科产品的固件。
无需登录。
思科开源请求 如果希望接收在适用的免费/开源许可证(例如GNU宽松/通用公共许可证)下您有权获得的源代码副本,请将您的请求发送至:external-opensource-requests@。
请在您的请求中提供思科产品名称、版本和18位参考号(例如:7XEEX17D99-3X49X081),此参考号可以在产品的开源文档中找到。
思科合作伙伴中心(需要合作伙伴登录) 思科RV340W路由器 /en/US/products/ps9923/tsd_products_support_series_home.html RV340W管理指南111 快速索引 快速索引 RV340W管理指南112
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。