企业路由器基本配置

第六组实验报告田熠蒋凌峰张哲皓张勇周祥【组网环境】某小型IT企业现有员工50余人，总经理1名，部门4个，分别是研发部，技术支持部，财务部和人事部。

研发部分为研发1部和研发2部，共有员工30人，分别位于不同的办公区域；技术支持部共有员工15人；财务部共有员工2名；人事部共有员工3名。

另有3层交换机2台，不可配置2层交换机数台。

【组网要求】1.所有部门独立工作，相互之间不能互访，且都不能访问总经理的主机；(20分)2.每个部门的员工实现动态地址分配；（20分）3.实现研发部员工内部的互访；(20分)4.实现研发部员工和技术支持部员工的互访；(20分)5.禁止所有部门对财务部的访问，但允许总经理访问财务部。

(20分)网络拓扑图路由器0/1接交换机1/0/11.所有部门独立工作，相互之间不能互访，且都不能访问总经理的主机实现这项要求可以在交换机上划分vlan实现,因为研发部分为两个部分,所以划分成两个vlan。

交换机配置<H3C>system-viewSystem View: return to User View with Ctrl+Z.[H3C]vlan 2[H3C-vlan2]port e1/0/2[H3C-vlan2]quit[H3C]vlan 3[H3C-vlan3]port e1/0/3[H3C-vlan3]quit[H3C]vlan 4[H3C-vlan4]port e1/0/4[H3C-vlan4]quit[H3C]vlan 5[H3C-vlan5]port e1/0/5[H3C-vlan5]quit[H3C]vlan 6[H3C-vlan6]port e1/0/6[H3C-vlan6]quit2.实现所有部门的动态地址分配对路由器进行DHCP配置,为每个vlan分配相应的子接口,指向地址池路由器配置<H3C>system-viewSystem View: return to User View with Ctrl+Z.[H3C]dhcp enableDHCP task has already been started![H3C]dhcp server ip-pool 2[H3C-dhcp-pool-2]network 192.168.2.0 mask 255.255.255.0[H3C-dhcp-pool-2]gateway-list 192.168.2.1[H3C-dhcp-pool-2]dns-list 192.168.2.2[H3C-dhcp-pool-2]domain-name [H3C-dhcp-pool-2]quit[H3C]int eth0/1[H3C-Ethernet0/1]int eth0/1.2[H3C-Ethernet0/1.2]ip address 192.168.2.1 255.255.255.0[H3C-Ethernet0/1.2]vlan-type dot1q vid 2//设置子接口封装与vlan2关联[H3C-Ethernet0/1.2]%Dec 26 16:20:39:518 2013 H3C IFNET/5/UPDOWN:Line protocol on the interface Ethernet0/0.2 is UP[H3C-Ethernet0/1.2]quit[H3C]dhcp server forbidden-ip 192.168.2.1 192.168.2.2//保存默认网关以及DNS地址不被分配(以下四个vlan配置类似)[H3C]quit交换机配置[H3C]int eth1/0/1[H3C-Ethernet1/0/1]port link-type trunk[H3C-Ethernet1/0/1]port trunk permit vlan all3.实现研发部员工内部的互访DHCP配置完毕后,已可以实现研发部vlan2与vlan3互访4.实现研发部员工和技术支持部员工的互访DHCP配置完毕后,已可以实现研发部与技术支持部互访5.禁止所有部门对财务部的访问，但允许总经理访问财务部设置高级ACL,在其余部门端口上应用。

声明Copyright © 2021 普联技术有限公司版权所有，保留所有权利未经普联技术有限公司明确书面许可，任何单位或个人不得擅自仿制、复制、誊抄或转译本手册部分或全部内容，且不得以营利为目的进行任何方式（电子、影印、录制等）的传播。

为普联技术有限公司注册商标。

本手册提及的所有商标，由各自所有人拥有。

本手册所提到的产品规格和资讯仅供参考，如有内容更新，恕不另行通知。

除非有特殊约定，本手册仅作为使用指导，所作陈述均不构成任何形式的担保。

目录第1章前言 (1)1.1 目标读者 (1)1.2 本书约定 (1)1.3 适用机型 (1)第2章基础联网设置 (3)2.1 企业路由器基本设置指南 (3)2.1.1 应用介绍 (3)2.1.2 需求介绍 (3)2.1.3 设置方法 (3)2.1.4 注意事项 (7)2.2 企业路由器IPv6上网配置指导 (8)2.2.1 应用介绍 (8)2.2.2 需求介绍 (8)2.2.3 设置方法 (8)2.2.4 疑问解答 (15)第3章设备管理 (17)3.1 如何在外网远程管理（控制）路由器？ (17)3.1.1 应用介绍 (17)3.1.2 需求介绍 (17)3.1.3 设置方法 (17)3.1.4 注意事项 (20)3.1.5 疑问解答 (21)3.2 如何设置自动重启？ (22)3.2.1 应用介绍 (22)3.2.2 需求介绍 (22)3.2.3 设置方法 (22)3.2.4 注意事项 (23)第4章负载均衡 (24)4.1 多WAN口路由器负载均衡的设置指南 (24)4.1.1 应用介绍 (24)4.1.2 需求介绍 (24)4.1.3 工作原理 (24)4.1.4 设置方法 (25)第5章路由转发模块 (27)5.1 策略路由设置指南 (27)5.1.1 应用介绍 (27)5.1.2 需求介绍 (27)5.1.3 设置方法 (28)5.1.4 疑问解答 (31)5.2 ISP选路设置指南 (33)5.2.1 应用介绍 (33)5.2.2 需求介绍 (33)5.2.3 设置方法 (34)5.3 静态路由设置指南 (36)5.3.1 应用介绍 (36)5.3.2 需求介绍 (36)5.3.3 设置方法 (37)5.4 线路备份设置指南 (38)5.4.1 应用介绍 (38)5.4.2 需求介绍 (38)5.4.3 设置方法 (38)5.4.4 注意事项 (40)5.5 虚拟服务器设置指南 (41)5.5.1 应用介绍 (41)5.5.2 需求介绍 (41)5.5.3 设置方法 (42)5.5.4 疑问解答 (43)5.6 NAT-DMZ功能设置指南 (44)5.6.1 应用介绍 (44)5.6.2 需求介绍 (44)5.6.3 设置方法 (45)第6章AP和易展管理 (47)6.1 AP管理设置指南 (47)6.1.1 应用介绍 (47)6.1.2 需求介绍 (47)6.1.3 设置方法 (47)6.2 易展AP设置指南 (53)6.2.1 应用介绍 (53)6.2.2 需求介绍 (53)6.2.3 设置方法 (54)6.2.4 注意事项 (58)第7章行为管控 (59)7.1 连接数限制设置指南 (59)7.1.1 应用介绍 (59)7.1.2 需求介绍 (59)7.1.3 设置方法 (59)7.1.4 疑问解答 (60)7.2 访问控制设置指南 (61)7.2.1 应用介绍 (61)7.2.2 需求介绍 (61)7.2.3 设置方法 (61)7.2.4 疑问解答 (67)7.3 应用限制设置指南 (68)7.3.1 应用介绍 (68)7.3.2 需求介绍 (68)7.3.3 设置方法 (68)7.4 网址过滤设置指南 (71)7.4.1 应用介绍 (71)7.4.2 需求介绍 (71)7.4.3 设置方法 (71)7.4.4 疑问解答 (75)7.5 网页安全设置指南 (76)7.5.1 应用介绍 (76)7.5.2 需求介绍 (76)7.5.3 设置方法 (76)第8章安全防护 (78)8.1 ARP防护设置指南 (78)8.1.1 应用介绍 (78)8.1.2 需求介绍 (78)8.1.3 设置方法 (78)8.1.4 疑问解答 (84)8.2 MAC地址过滤设置指南 (86)8.2.1 应用介绍 (86)8.2.2 需求介绍 (86)8.2.3 设置方法 (86)第9章VPN模块 (88)9.1 IPSec VPN设置指南 (88)9.1.1 应用介绍 (88)9.1.2 需求介绍 (88)9.1.3 设置方法 (89)9.2 L2TP VPN设置指南 (96)9.2.1 应用介绍 (96)9.2.2 需求介绍 (96)9.2.3 设置方法 (97)9.3 PPTP VPN设置指南 (105)9.3.1 应用介绍 (105)9.3.2 需求介绍 (105)9.3.3 设置方法 (106)9.4 L2TP VPN代理上网设置指南 (115)9.4.1 应用介绍 (115)9.4.2 需求介绍 (115)9.4.3 设置方法 (115)9.5 PPTP VPN代理上网设置指南 (120)9.5.1 应用介绍 (120)9.5.2 需求介绍 (120)9.5.3 设置方法 (120)第10章认证管理 (125)10.1 一键上网设置指南 (125)10.1.1 应用介绍 (125)10.1.2 需求介绍 (125)10.1.3 设置方法 (126)10.2 短信认证设置指南 (130)10.2.1 应用介绍 (130)10.2.2 需求介绍 (130)10.2.3 设置方法 (131)10.3 Portal认证设置指南—使用内置WEB服务器和内置认证服务器 (136)10.3.1 应用介绍 (136)10.3.2 需求介绍 (136)10.3.3 设置方法 (137)10.4 Portal认证设置指南—使用内置WEB服务器和外部认证服务器 (141)10.4.1 应用介绍 (141)10.4.2 需求介绍 (141)10.4.3 设置方法 (142)10.5 Portal认证设置指南—使用外置WEB服务器和内置认证服务器 (146)10.5.1 应用介绍 (146)10.5.2 需求介绍 (146)10.5.3 设置方法 (147)10.6 Portal认证设置指南—使用外置WEB服务器和外置认证服务器 (150)10.6.1 应用介绍 (150)10.6.2 需求介绍 (150)10.6.3 设置方法 (151)10.7 免认证策略的使用方法 (154)10.7.1 应用介绍 (154)10.7.2 需求介绍 (154)10.7.3 设置方法 (155)10.8 Portal认证中，外部WEB服务器建立规范 (158)10.8.1 应用介绍 (158)10.8.2 流程规范 (159)第11章工业级特性 (163)11.1 如何使用工业级路由器？ (163)11.1.1 产品介绍 (163)11.1.2 需求介绍 (163)11.1.3 设置方法 (164)第12章其它功能 (168)12.1 地址组的设置与管理 (168)12.1.1 应用介绍 (168)12.1.2 需求介绍 (168)12.1.3 设置方法 (168)12.1.4 疑问解答 (170)12.2 带宽控制设置指南 (172)12.2.1 应用介绍 (172)12.2.2 需求介绍 (172)12.2.3 设置方法 (172)12.2.4 疑问解答 (175)12.3 PPPOE服务器应用设置指南 (177)12.3.1 应用介绍 (177)12.3.2 需求介绍 (177)12.3.3 设置方法 (178)12.3.4 疑问解答 (181)12.4 网络唤醒功能使用指南 (183)12.4.1 应用介绍 (183)12.4.2 需求介绍 (183)12.4.3 设置方法 (183)12.5 诊断工具使用指南 (186)12.5.1 应用介绍 (186)12.5.2 需求介绍 (186)12.5.3 设置方法 (187)第1章前言本手册旨在帮助您正确使用R系列企业级路由器。

企业路由器PPPOE服务器的配置方法PPPoE可以防范ARP欺骗，同时为客户端统一分配IP以及DNS 等参数，有效避免了静动态IP方式因地址冲突或者参数设置不当导致无法访问外网的问题，店铺为大家整理了企业路由器PPPOE服务器的配置方法，供大家参考阅读!企业路由器PPPOE服务器的配置方法1、 PPPoE服务器全局设置：系统服务----PPPoE服务器----全局设置，进入“全局设置”标签界面：◆ PPPoE服务器：启用或者禁用PPPOE服务器，这里选择启用。

◆ 强制PPPoE拨号：启用该功能，只有PPPoE拨号用户以及例外IP(白名单)可以使用网络，如果禁用该功能，则所有用户都可以使用网络。

这里选择启用该功能。

◆ 拨号用户互访：是否允许拨号之后的用户互相访问。

建议选择禁止。

◆ 首选DNS服务器/备用DNS服务器地址：服务商提供的当地DNS地址。

建议如实填写。

◆ 系统最大会话数：PPPoE可同时在线的的最大用户数。

建议填写30。

◆ 最大未应答LCP包数：PPPoE拨号成功之后，服务器会发送LCP数据包检测线路是否正常，如果超过设置的最大未应答数据包数，服务器即认为PPPoE线路断开连接。

建议填写10。

◆ 空闲断线时间：如果在填写的时间范围内没有进行上网操作，路由器即认为客户端PPPoE断开连接。

建议填写30。

◆ 认证方式：分为本地认证和远程认证。

建议选择本地认证。

本地认证：通过本地服务器(即路由器)进行认证，需要选择本地认证想要支持的认证方式。

远程认证：通过远程Radius服务器进行认证授权计费，需要填写Radius服务器地址和认证服务器提供的与共享密钥。

◆ 本地认证：本地认证所支持的认证方式。

建议全部勾选。

◆ Radius服务器地址：远程Radius服务器的IP地址。

◆ 预共享密钥：远程Radius服务器提供的预共享密钥。

2、设置例外IP：系统服务----PPPOE服务器----例外IP管理，进入“例外IP管理”标签界面：◆ IP地址范围：填写不需要通过拨号就可以访问网络的用户IP地址范围。

D-Link DI-7001 路由器用户手册VER: 20101013声 明Copyright ©1986-2010友讯电子设备(上海)有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。

由于产品版本升级或其它原因，本手册内容会不定期进行更新，为获得最新版本的信息，请定时访问公司网站。

我司试图在本资料中提供准确的信息，但对于可能出现的疏漏概不负责。

除非另有约定，本手册仅作为使用指导，本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。

物品清单在包装箱完整的情况下，开启包装箱。

箱内应包含如下各项：z一台路由器主机z一条电源线z一条网线z一本快速安装手册z一张安装指导光盘z一张保修卡z一张产品合格证注意：z如果发现有任何配件损坏或遗漏，请及时与经销商联系。

z本手册为D-Link DI系列路由器通用用户操作指导文档，具体包括的产品型号有： DI-7001目 录第一章网络基础知识 (7)1.1 局域网入门 (7)1.2 IP地址 (7)1.3子网掩码 (7)第二章快速安装指南 (8)2.1认识和连接路由器 (8)2.1.1面板布置 (8)2.1.2设备安装 (8)2.2配置您计算机网络设置 (9)2.3配置您的路由器 (10)2.3.1内网设置 (11)2.3.2外网设置 (12)2.3.3重新启动路由器 (15)第三章详细安装指南 (16)3.1启动和登录 (16)3.2系统状态 (17)3.2.1系统信息 (17)3.2.2网络接口 (19)3.2.3系统日志 (20)3.2.4网络检测 (21)3.2.5内网监控 (23)3.2.6报文捕获 (25)3.3基础设置 (27)3.3.1配置向导 (27)3.3.2基本选项 (27)3.3.3内网配置 (30)3.3.4 外网配置 (31)3.3.5 DHCP服务器 (35)3.3.6 DHCP地址池 (38)3.3.7端口管理 (38)3.4 上网行为管理 (40)3.4.1 IP地址组 (40)3.4.2WEB访问控制 (40)3.4.3 WEB安全 (43)3.4.4电子公告 (44)3.4.5聊天软件过滤 (45)3.4.6 股票软件过滤 (47)3.4.7 P2P软件过滤 (48)3.4.8 网页游戏过滤 (49)3.4.9 防火墙设置 (49)3.5网络安全 (51)3.5.1 攻击防御 (51)3.5.2连接限制 (53)3.5.3 IP/MAC绑定 (54)3.5.4 ARP信任机制 (56)3.5.5 MAC地址过滤 (57)3.6 流量控制 (58)3.6.1 QoS流量控制 (58)3.7 高级选项 (61)3.7.1端口映射 (61)3.7.2静态路由 (63)3.7.3地址转换 (65)3.7.4 域名转发 (70)3.7.5 动态域名 (71)3.7.6 UPnP设置 (72)3.8 VPN (73)3.8.1 PPTP 客户端 (74)3.8.2 PPTP 服务端 (75)3.9系统工具 (78)3.9.1 管理选项 (78)3.9.2 用户管理 (79)3.9.3 策略升级 (80)3.9.4 固件升级 (81)3.9.5 备份恢复配置 (81)3.9.6恢复出厂配置 (82)3.9.7 重新启动 (83)附录A 路由器选配电缆说明 (84)附录B WindowsXP环境下的TCP/IP配置 (85)附录C 路由器固件升级失败恢复步骤 (87)第一章网络基础知识1.1 局域网入门路由器是指能将两个网络连接起来的设备，路由器能连接局域网或者一组电脑到互联网，处理并校验在网络中传输的数据。

路由器IPSEC配置在当今数字化的时代，网络安全变得至关重要。

为了保护数据在网络中的传输安全，IPSEC（Internet Protocol Security）技术应运而生。

IPSEC 是一种广泛应用于网络通信的安全协议，通过对数据包进行加密和认证，确保数据的机密性、完整性和真实性。

而在网络架构中，路由器作为连接不同网络的关键设备，其 IPSEC 配置是保障网络安全的重要环节。

首先，我们来了解一下为什么需要在路由器上进行 IPSEC 配置。

随着企业业务的扩展和移动办公的普及，员工需要通过互联网访问企业内部网络资源，这就带来了数据泄露的风险。

IPSEC 可以在公共网络上建立一个安全的隧道，使得数据在传输过程中如同在一个私有网络中一样安全。

此外，对于企业之间的数据交换，IPSEC 也能确保双方通信的保密性和完整性，防止敏感信息被窃取或篡改。

接下来，让我们详细了解路由器 IPSEC 配置的步骤。

第一步，确定 IPSEC 策略。

这包括定义哪些流量需要进行保护，例如特定的 IP 地址范围、端口号或应用程序。

同时，还需要确定加密和认证的算法，常见的加密算法有 AES（Advanced Encryption Standard），认证算法有 SHA-1（Secure Hash Algorithm 1）等。

第二步，配置 IKE（Internet Key Exchange）。

IKE 用于在通信双方之间协商安全参数，如加密密钥、认证密钥等。

在路由器上，需要设置 IKE 的版本（通常为 IKEv2）、认证方式（如预共享密钥或数字证书）以及协商模式（主模式或积极模式）。

第三步，定义 IPSEC 变换集。

变换集指定了对数据包进行加密和认证所使用的具体算法和模式。

例如，可以选择使用 AES-128 加密算法和 SHA-256 认证算法。

第四步，创建 IPSEC 策略。

将前面定义的流量、IKE 和变换集组合成一个完整的IPSEC 策略。