6.1 静态路由设置

    用户可以使用静态路由功能来指定静态路由信息。

   

    点击高级-] 静态路由，将显示下面的设置页面。

   

    6.1.1 编辑

    点击编辑在静态路由表中添加或编辑一个条目。

   

   

    点击应用以完成设置。

    6.1.2 删除选项

    点击删除用来删除路由表中的一个条目

   

    图6-4 删除选项

    检查表中的项目以确认是否要删除此记录

    当用户想要执行编辑或删除操作时，用户必须点击索引号前面的单选框。

    点击确定完成删除。

    6.2 nat 设置

    nat（网络地址转换）是用来映射一个或多个ip 地址以及服务端口到不同服务的方法。

    它使lan 中拥有私网ip 的多个计算机能够转换到公网ip 地址以便节省公网ip地址的资源。它同时也充当了一个“保安”的角色用来隐藏的pc 的真实ip 来防止internet 上的黑客攻击。vigor3300 默认情况下启用nat 并用静态，pppoe， 或dhcp的机制从isp 获得一个能够路由的ip 地址。vigor3300 根据rfc-1918 定义的私网ip 来指定私网的ip 地址，并且将私网的ip 地址转换为一个能够路由的ip 地址以实现internet 访问。

    点击高级设置-]nat，将显示如下页面。

   

    6.2.1 端口重定向设置

    端口重定向用来开放内部的服务器到互联网或是为内部主机开放指定的端口。

    internet 上的主机可以用wan ip 地址来访问内部的服务，例如ftp，www 等。下面的例子显示如何开放ftp 服务器到公网。内部的ftp server 是运行在192.168.1.2的一台本地的主机上。如果端口满足表中定义的端口，数据包将转发到指定的内网主机。用户也可以进行不同端口之间的转换。

    点击高级设置-]nat-]端口重定向，将显示如下页面。

   

    点击编辑以添加或修改一条规则

   

   

    点击应用以结束设置。

    端口重定向只对外部用户有效。内部的用户不能通过访问外部公有ip 的方法来访问内部的服务器。内部的用户只能通过私有的ip 来访问内部的服务器，或者你可以在windows 上午hosts 文件中设置一个alias.请只重定向你所需要的端口而不要定向所有的端口，否则nat 所固有的防火墙功能将受到影响。

    另外，用户可以点击删除来删除一个nat 条目

    6.2.2 地址映射（multi-nat）设置

    如果您有一组静态的ip 地址，那您就能使用地址映射的功能在vigor3300 上为特定的一台或多台指定nat 使用的公网地址。下面的内容告诉您如何设置地址映射

   

    点击高级 nat 地址映射，将显示如下页面。

   

    点击编辑来添加或者修改一条规则。

   

   

    点击应用以结束设置。

    另外，用户能点击删除来删除一个nat 条目

    6.2.3 dmz 主机

    在计算机网络中，dmz 是一个介于公司私有网络和外部公有网络之间的中性区域的主机或小型网络。它防止外部用户直接访问公司内部的服务器。

    dmz 是可选的并且有接近防火墙一样的安全性，它也能做代理服务器。

    在一个典型的小型公司的dmz 设置中，一个主机将接受来自私网内部用户的访问请求来访问web 站点或其他公网上可以访问的公司。然后dmz 主机在公网上发起相应的请求。但是dmz 主机不能向私网初始请求，它只是转发已经请求的报文。

    公司外部的公网用户只能访问dmz 主机。dmz 比较典型的应用是构建公司的web页以便于所有的外部网络能够访问。如果外部用户突破dmz 主机的安全防线，web页将会被破坏但是公司的其他信息并不会因此而暴露。

   

    点击dmz 主机，将会显示如下页面。

   

    点击编辑添加一个新条目到dmz 主机表中。

   

   

    点击应用以结束设置。

    点击删除来删除dmz 主机表中的条目。

   

    点击应用以结束设置。

    6.3 端口阻挡设置

    端口阻挡功能能让用户设置一些端口号，如果外部网络报文的端口与这些指定的端口号相同，这些网络报文将被丢弃。

    这功能优点在于能够过滤一些不必要的报文或者是internet 上攻击的攻击报文。

   

    vigor3300 系列支持阻挡10 个端口。

    点击端口阻挡，将会显示如下页面。

   

   

    点击应用来完成设置。

    6.4 upnp 设置

    upnp（通用即插即用）协议服务于网络中的即插即用设备。windows 的即插即用系统为一些pc 设备提供了此功能。

    对于nat 路由器，vigor3300 上的upnp 的主要作用是“nat 穿越”，它意味着防火墙内部的应用程序自动开放端口来穿透路由器。这种机制比路由器自己指定开放端口更加具可行性。而且，用户也不必用手工设置端口映射或是dmz。

   

    由于使用了upnp 功能，vigor3300 为windows xp 用户提供了便捷的msn messenger 的声音，视频和消息的通讯功能。

    点击upnp，将会显示下面的页面。

   

   

    点击应用以完成设置

    在windows xp 的网络连接中点击router 上的ip broadband connection可以查看连接状态或控制状态。如图6-19。

   

    nat 的穿越特征将使您更加方便的启用应用程序的多媒体功能。

    没有upnp，您将不得不设置端口映射或手工做其他类似的设置。下面的截图是一个例子。

   

    图6-20 连接状态

   

    vigor3300 的upnp 功能可以让支持upnp 的应用程序（例如msn messenger）

    发现外部路由器ip 地址并为路由器配置端口映射。最后，路由器的upnp 工具会重新定向外部端口的报文到内部的端口以满足应用程序的需要。

    6.5 动态域名服务设置

    动态dns 功能允许路由器到指定的动态dns 的服务器实时更新wan 接口的在线ip 地址，这些wan 的ip 地址由isp 或dhcp 分配，一旦路由器在线，你就能用注册的域名从internet 上来访问路由器或是内部的虚拟服务器。对于动态ip 的用户来说，ddns 是非常受欢迎的。这些动态ip 的用户一般是从他们的isp 那里接收动态的，频繁改变的ip 地址。

    在你设置动态的dns 功能之前，你必须从动态dns 服务提供者那里预定一个免费的域名。路由器支持最多10 个帐户，并支持下面的dns 服务提供商：

    www.dynsns.org， www.no-ip.com，www.dtdns.com，www.changeip.com，www.dynamic- nameserver.com。您应该访问他们的网站去注册属于自己的路由器的域名。

   

    点击动态域名服务，将显示如下页面。

   

    点击刷新以重新显示整个页面信息。

    点击相应编号以修改ddns 表中相应项的设定。

   

   

   

    1. 通配符和backup mx功能并不是所有的动态dns提供商都支持。请从他们的网站获得更详细的信息。

    2. 如果您的主邮件服务器因为某种原因不在线的话，backup mx将提供给您第二个邮件服务器来保留email。一旦你恢复连线，你的email将递送给您。

    点击应用以完成设定。

   

    6.6 radius设定

    radius安全的服务器/客户端验证协议并被isp 广泛使用于其他的远程访问服务。radius 是验证并授权拨号和隧道用户的最常见的方法。

    内建的radius客户端功能允许你扩充远程拨入用户的帐号到radius的服务器上。你的用户帐号不会仅仅局限于内建的帐号。它也能让你在网络里集中管理远程访问的验证。

    radius是管理远程用户验证和计帐的服务器。它主要用于isp，不过它也被用于需要集中管理验证和计帐服务的网络。

    radius支持广泛的验证机制。用户可以通过直接回答终端服务器的登录/密码提示，使用pap或chap协议等方式来提供验证数据。

    vigor3300为用户提供radius 客户端。我们能配置一些验证信息让radius服务器来进行验证。在vigor 3300 中只用于vpn-]pptp 功能。

   

    点击radius 项，将显示如下页面。

   

   

    单击应用以完成设定。

    6.7 拨号计划时间表设定

    拨号计划时间表用配置文件的设置来控制路由器的拨号或连接管理连线或断线的时间。在配置拨号计划时间表功能前，用户必须正确的设置时间，并为internet访问的配置或lan-to-lan的配置安排时间表。

    vigor 3300支持配置大量的拨号计划时间表配置。

   

    点击拨号计划时间表，将显示如下页面。

   

    6.7.1 编辑选项

    点击编辑添加一项记录。

   

   

    点击应用以完成设置。

    6.7.2 删除选项

    点击删除以删除一个选中的项。

   

    点击确定以完成删除。

    6.8 vlan设定

    vlan即虚拟局域网，通过对物理端口分组来管理主机。通过vlan可以让同一网段之间的机器在限制的范围内进行互访，在网络规模较大时，通过划分vlan可以减少广播风暴，提高网络使用效率。

   

    点击局域网vlan，将显示如下页面。

   

   

    启用该功能，并勾选相应的物理端口，就可以定义vlan。例如将p1和p2的所有pc作为一个vlan，则在vlano中选中p1和p2即可。点击应用以完成设置。

    6.9 wan端口镜像

    wan 端口镜像是一种用来协助网络管理员进行网段诊断的工具。该功能的工作方式是，将一个wan口作为镜像端口，将其他wan口的流量全部复制到该wan口，在此wan口连接一台pc，通过封包抓取工具，即可抓到所有指定wan口的数据流。使用wan端口镜像功能时，抓到的数据包不会出现私网地址。

   

    点击wan端口镜像，将显示如下页面。

   

   

    范例：

    wan1和wan2处于启用状态，管理员想要抓取wan1和wan2的封包进行诊断，则可以做如下设置：

   

    勾选wan1和wan2在被映射端口栏，然后选择映射端口为wan3即可。

    6.10 lan端口镜像

    lan 端口镜像是一种用来协助网络管理员进行网段诊断的工具。该功能的工作方式是，将一个lan口作为镜像端口，将其他lan口的流量全部复制到该wan口，在此lan口连接一台pc，通过封包抓取工具，即可抓到所有指定lan 口的数据流。

   

    点击wan 端口镜像，将显示如下页面。

   

   

    范例：

    处于网络监控的目的，要求将所有局域网数据全部抓取到专用的监控计算机软件上。

    将所有的网内计算机通过交换机连接到路由器的p1，p2，p3，然后连接pc到p4进行监控，进行如下设置：

   

    勾选端口1，2，3 在被映射端口栏，然后选择映射端口为端口4即可。