SL1000 cẩm-nang
Cẩm nang AsusSL1000

Cẩm nang hướng dẫn sử dụng của Asus SL1000 trong Trung Quốc. Cẩm nang hướng dẫn sử dụng PDF này có 167 trang.

PDF 167 1.1mb

Xem hướng dẫn sử dụng của Asus SL1000 phía dưới. Tất cả các hướng dẫn sử dụng trên ManualsCat.com có thể được xem hoàn toàn miễn phí. Khi sử dụng nút 'Chọn ngôn ngữ', bạn có thể chọn ngôn ngữ của cẩm nang hướng dẫn sử dụng bạn muốn xem.

MANUALSCAT | VI

Các câu hỏi & câu trả lời

Bạn có câu hỏi về Asus SL1000 nhưng không thể tìm thấy câu trả lời trong hướng dẫn sử dụng? Có lẽ người dùng ManualsCat.com có thể giúp trả lời câu hỏi của bạn. Khi điền vào biểu mẫu bên dưới, câu hỏi của bạn sẽ xuất hiện bên dưới hướng dẫn sử dụng của Asus SL1000. Hãy đảm bảo rằng bạn mô tả vấn đề của mình với Asus SL1000 chính xác nhất có thể. Câu hỏi của bạn càng cụ thể thì khả năng bạn nhận được câu trả lời nhanh chóng từ người dùng khác càng cao. Bạn sẽ tự động nhận được email thông báo khi ai đó đã phản hồi về câu hỏi của bạn.

Đặt câu hỏi về Asus SL1000

Trang: 1
vii 8.4 設定 HTTP DDNS 用戶端 ..................................................................................44 9 設定防火牆/NAT ....................................45 9.1 防火牆概述..........................................................................................................45 9.1.1 靜態封包檢查 ...........................................................................................45 9.1.2 拒絕服務(DoS,Denial of Service)保護.............................................45 9.1.3 防火牆及訪問控制列表 (ACL,Access Control List).........................45 9.1.3.1 ACL 優先順序規則.......................................................................45 9.1.3.2 追蹤連線狀態...............................................................................46 9.1.4 預設的 ACL 規則......................................................................................46 9.2 NAT 總覽 ............................................................................................................46 9.2.1 靜態 (一對一)NAT...............................................................................46 9.2.2 動態 NAT..................................................................................................47 9.2.3 NAPT (Network Address and Port Translation,網路位址和埠轉換) 或 PAT (Port Address Translation,埠位址轉換)..............................48 9.2.4 反向靜態 NAT...........................................................................................49 9.2.5 反向 NAPT / 虛擬伺服器..........................................................................49 9.3 設定入站 ACL 規則.............................................................................................49 9.3.1 入站 ACL 規則設定參數...........................................................................49 9.3.2 訪問入站 ACL 規則設定頁面 – (防火牆 Î 入站 ACL) ......................52 9.3.3 增加入站 ACL 規則 ..................................................................................52 9.3.4 修改入站 ACL 規則 ..................................................................................53 9.3.5 刪除入站 ACL 規則 ..................................................................................53 9.3.6 入站 ACL 規則展示..................................................................................53 9.4 設定出站 ACL 規則.............................................................................................53 9.4.1 出站 ACL 規則設定參數...........................................................................54 9.4.2 訪問出站 ACL 規則設定頁面 – (防火牆 Î 出站 ACL) ......................56 9.4.3 增加出站 ACL 規則 ..................................................................................57 9.4.4 修改出站 ACL 規則 ..................................................................................57 9.4.5 刪除出站 ACL 規則 ..................................................................................58 9.4.6 出站 ACL 規則展示..................................................................................58 9.5 設定 URL 篩檢程式 ............................................................................................58 9.5.1 URL 篩檢程式設定參數 ...........................................................................58 9.5.2 訪問 URL 篩檢程式設定頁面 – (防火牆 Î URL 篩檢程式) ..............58
Trang: 2
網際網路安全路由器用戶手冊 第六章 設定廣域網 WAN 33 選項 說明 主機名稱 主機名稱可選,但某些 ISP 可能有特定要求。 Primary/ Secondary DNS Primary 和/或 Secondary DNS 的 IP 位址可選,並且 DHCP 將自動偵測您的 ISP 設定的 DNS IP 位址。然而,如果您使用了其他的 DNS 伺服器,請輸入 空間提供的 IP 位址。 MAC Cloning 預設的使用 WAN 介面的 MAC 位址。然而,如果您事先已經在 ISP 註冊了 MAC 位址,您需要在這裏輸入這個 MAC 位址。 6.3.2 爲廣域網(WAN)設定動態 IP 請按照下列步驟來設定動態 IP: 1. 從圖 6.2 所示的連線模式列表中選擇動態。 2. (可選)若 ISP 要求,請輸入空間提供的主機名稱。 3. (可選)如果您希望使用您喜愛的 DNS 伺服器,請輸入 Primary 和 Secondary DNS 伺服器 IP 位 址;否則,跳過此步驟。 4. 如果您已經事先在 ISP 註冊了特別的 MAC 位址來接入網際網路,,請確認您已經把 MAC cloning 打勾。 5. 當您完成設定後,點選 以保存動態 IP 設定。您將在設定頁面的下半頁看到 WAN 設定的摘 要。注意:若預設閘道位址沒有立即顯示,請點選 WAN 功能表再次打開 WAN 設定頁面。 圖 6.2. WAN 動態 IP (DHCP 用戶端) 設定頁面 Connection Mode drop- down list
Trang: 3
網際網路安全路由器用戶手冊 第八章 設定 DDNS 43 選項 說明 HTTP DDNS 特殊設定 DDNS 服務 [僅對 HTTP DDNS] dyndns 請訪問 http://www.dyndns.org 以獲得更多資訊。 zoneedit 請訪問 http://www.zoneedit.com 以獲得更多資訊。 dyn-tokyo 請訪問 http://www.dns-tokyo.jp 以獲得更多資訊。 DDNS Username [僅對HTTP DDNS] 在本選項中輸入DDNS服務提供商提供的Username。 DDNS Password [僅對HTTP DDNS] 在本選項中輸入DDNS服務提供商提供的Password。 8.2 訪問 DDNS 設定頁面 以管理員身份登入設定管理器,然後點選 DDNS 功能表。DDNS 設定頁面如圖 8.3 所示。 注意,當您打開 DDNS 設定頁面時,現有的 DDNS 設定將在設定頁面的下半頁顯示,如圖 8.3 所示。 8.3 設定 RFC-2136 DDNS 用戶端 圖 8.3. RFC-2136 DDNS 設定頁面 請按照下列步驟來設定 RFC-2136 DDNS: 1. 首先您需要要求系統管理員在 DNS 伺服器上開啓 DNS 動態更新功能。如果您正在運行 Windows 2000/XP/2003 DNS 伺服器,請參考 Microsoft 基礎知識文章 “Q317590: Configure DNS Dynamic Update in Windows 2000”。 2. 請確認您擁有爲路由器設定的主機名稱;若沒有,請至系統資訊設定頁面(系統管理Î系統認證) 進行設定。 3. 打開 DDNS 設定頁面(參考第 8.2 節 訪問)。
Trang: 4
網際網路安全路由器用戶手冊 第九章 設定防火牆/NAT 51 選項 說明 Range and IP 位址 池 Source Port 本選項允許您設定本規則得以應用的來源埠。請在下表的選項中選擇: Any 如果您希望將本規則應用到所有任意來源埠號的應用程式上,請選擇本選 項。 Single 本選項允許您將本規則應用到某一指定來源埠號的應用程式上。 Port Number 輸入來源埠號 Range 如果您希望將本規則應用到本埠範圍的應用程式上,請選擇本選項。當選 擇了本選項時,下列欄目可選: Begin 輸入範圍的起始埠號 End 輸入範圍的結束埠號 Destination Port 本選項允許您設定能應用本規則的目標埠。請在下表的選項中選擇: Any 本選項允許您將規則應用到所有任意來源埠號的應用程式上。 Single, Range 請按照上文Source Port部分的說明選擇任一選項,並輸入詳細資訊。 Service 本選項允許您選擇任何預先設定好的服務(請從下表中選擇),而不是目 標埠。下面列出了一些服務選項: BATTLE-NET, PC-ANYWHERE, FINGER, DIABLO-II, L2TP, H323GK, CUSEEME, MSN-ZONE, ILS, ICQ_2002, ICQ_2000, MSN, AOL, RPC, RTSP7070, RTSP554, QUAKE, N2P, PPTP, MSG2, MSG1, IRC, IKE, H323, IMAP4, HTTPS, DNS, SNMP, NNTP, POP3, SMTP, HTTP, FTP, TELNET. 注意: 服務是協定與埠號的結合。它們將在您把它們增加進設定頁面的 “Firewall Service” 後出現。 Protocol 本選項允許您從下表中選擇協定的類型。可供選擇的設定爲All, TCP, UDP, ICMP, AH 和 ESP。注 意,如果您爲目標埠選擇 “service” ,本選項將不可用。 NAT 本選項允許您選擇入站資訊NAT的類型。 None 如果您不想在入站ACL規則裏啓用NAT,請選擇此選項。 IP Address 選擇本選項以指定您期望入站資訊流向的電腦(通常是區域網路中的伺服 器)的IP位址。注意,此選項被稱爲反向NAPT 或虛擬伺服器。 NAT 位址池 選擇本選項來將預先設定好的NAT域接入規則。注意,只有反向靜態NAT和 反向NAPT域才能用來連線入站ACL的規則 。
Trang: 5
網際網路安全路由器用戶手冊 第九章 設定防火牆/NAT 53 4. 改動任一或所有下列欄目:source/destination IP, source/destination port, protocol, port mapping, time ranges, application filtering, log, 和 VPN。請參考表 9.1 中對這些欄目的解釋。 5. 透過選擇 “Move to” 表中的序號來爲規則指定優先順序。注意,序號 1 表示優先勸最高。防火牆將 按照優先勸的高低進行檢查。 6. 點選 按鈕以建立新的 ACL 規則。新的 ACL 規則同時在入站 ACL 設定頁面下半頁的“入站訪 問控制表”中出現。 圖 9.8 說明了如何建立接受入站 HTTP (例如,網頁伺服器) 服務的規則。 此規則允許入站 HTTP 資訊 流向 IP 位址 192.168.1.28 的主機。 9.3.4 修改入站 ACL 規則 想要修改入站 ACL 規則,請參考下列步驟: 1. 打開入站 ACL 規則設定頁面(請參考第 9.3.2 節 訪問入站 ACL)。 2. 點選 圖示,修改入站 ACL 表的規則或從“ID”表中選擇規則序號。 3. 改動任一或所有下列欄目:action, source/destination IP, source/destination port, protocol, port mapping, time ranges, application filtering, log, 和 VPN。請參看表 9.1 中對這些欄目的解釋。 4. 點選 按鈕以修改 ACL 規則。新的 ACL 規則設定同時在入站 ACL 設定頁面下半頁的“入站訪 問控制表”中出現。 9.3.5 刪除入站 ACL 規則 想要刪除入站 ACL 規則,請點選待刪規則前面的 圖示,並參考下列步驟: 1. 打開入站 ACL 規則設定頁面(請參考第 9.3.2 節 訪問入站 ACL)。 2. 點選 圖示,刪除待刪的入站 ACL 表的規則或從“ID”表中選擇規則序號。 3. 點選 按鈕以刪除 ACL 規則。新的 ACL 規則設定同時在入站 ACL 設定頁面下半頁的“入站 訪問控制表”中出現。 9.3.6 入站 ACL 規則展示 想要參看現有的入站 ACL 規則,您只需打開入站 ACL 規則設定頁面,如第 9.3.2 節 訪問入站 ACL 所 示。 9.4 設定出站 ACL 規則 在出站ACL設定頁面建立ACL規則,如圖 9.9所示,您可控制對您區域網路電腦對網際網路或外部網路的 訪問(允許或拒絕)。 本設定頁面的選項有: 增加規則,並設定參數 修改現有的規則 刪除現有的規則 檢查設定的 ACL 規則
Trang: 6
第九章 設定防火牆/NAT 網際網路安全路由器用戶手冊 56 選項 說明 Single, Range 請按照上文Source Port部分的說明選擇任一選項,並輸入詳細資訊。 Service 本選項允許您選擇任何預先設定好的服務(請從下表中選擇),而不是目 標埠。下面列出了一些服務選項: BATTLE-NET, PC-ANYWHERE, FINGER, DIABLO-II, L2TP, H323GK, CUSEEME, MSN-ZONE, ILS, ICQ_2002, ICQ_2000, MSN, AOL, RPC, RTSP7070, RTSP554, QUAKE, N2P, PPTP, MSG2, MSG1, IRC, IKE, H323, IMAP4, HTTPS, DNS, SNMP, NNTP, POP3, SMTP, HTTP, FTP, TELNET. 注意: 服務是協定與埠號的結合。它們將在您把它們增加進設定頁面的 “Firewall Service” 後出現。 Protocol 本選項允許您從下表中選擇協定的類型。可供選擇的設定爲All, TCP, UDP, ICMP, AH 和 ESP。注 意,如果您爲目標埠選擇 “service” ,本選項將不可用。 NAT 本選項允許您選擇出站資訊NAT的類型。 None 如果您不想在出站ACL規則裏啓用NAT,請選擇此選項。 IP Address 選擇本選項以指定您期望出站資訊流向的電腦(通常是區域網路中的伺服 器)的IP位址。注意,此選項被稱爲反向NAPT 或虛擬伺服器。 NAT 位址池 選擇本選項來將預先設定好的NAT域接入規則。注意,只有反向靜態NAT和 反向NAPT域才能用來連線出站ACL的規則。 Interface 選擇本選項爲出站資訊選擇WAN介面IP位址。注意,WAN IP必須事先設定 再選擇此項。 Time Ranges 選擇預先設定好的規則起作用的時間範圍。選擇“Always”來使規則一直起作用。 Application Filtering 本選項允許您選擇下表中預先設定好的FTP, HTTP, RPC 和/或 SMTP 應用程式篩檢程式。 Log 點選 “Enable” 或 “Disable” 按鈕來開啓或關閉ACL規則logging功能。 VPN 若您想要資訊流經VPN,請點選 “Enable” 按鈕;否則,點選 “Disable” 按鈕。 9.4.2 訪問出站 ACL 規則設定頁面 – (防火牆 Î 出站 ACL) 以管理員身份登入設定管理器,點選 Firewall 功能表,然後點選 Outbound ACL 子功能表。防火牆出站 ACL 規則設定頁面將如圖 9.9 所示。
Trang: 7
網際網路安全路由器用戶手冊 第九章 設定防火牆/NAT 65 選項 說明 SYN flooding攻擊,您可選擇此項。SYN Flood保護預設爲開啓狀態。 Winnuke 打勾或不打勾本選項以開啓或關閉防止Winnuke攻擊的保護功能。一些 Microsoft Windows作業系統的較老版本易遭受此項攻擊。如果區域網路電 腦的作業系統沒有及時下載最新的版本/補丁來更新,那麽我們建議您開啓 此項保護功能。 MIME Flood 打勾或不打勾本選項以開啓或關閉防止MIME攻擊的保護功能。您可選擇本 選項以保護您網路內的郵件伺服器免受MIME flooding的攻擊。 FTP Bounce 打勾或不打勾本選項以開啓或關閉防止FTP Bounce攻擊的保護功能。簡言 之,攻擊在誤用FTP協定中的PORT命令時才發生。攻擊者能建立FTP伺服 器與另一系統中任意埠的連線。此連線可被用來繞開訪問控制。 IP Unaligned Time Stamp 打勾或不打勾本選項以開啓或關閉防止unaligned IP time stamp攻擊的保護 功能。 某些作業系統在接收到未在32位邊界內的IP timestamp選項時會崩 潰。 Sequence Number Prediction Check 打勾或不打勾本選項以開啓或關閉防止TCP Sequence Number Prediction 攻擊的保護功能。對於TCP封包而言,Sequence Number 是被用來阻止對 任意資料的接收或當Initial Sequence Number(ISN)隨意産生時被攻擊者 惡意使用。因為擁有有效的Sequence Number的僞造封包可騙取接收主機 的信任。如此一來,攻擊者就能夠進入系統。請注意!此種攻擊只影響開 始或終止於網際網路安全路由器的TCP封包。 Sequence Number Out of Range Check 打勾或不打勾本選項以開啓或關閉防止TCP out of range sequence number 攻擊的保護功能。攻擊者可送出一個TCP封包,導致入侵偵測系統(IDS) 在連線中變得與資料不同步。後來在此連線中發出的信框就可能被IDS忽 略。這可能暗示著一次不成功的對TCP對話的搶奪企圖。 ICMP Verbose 打勾或不打勾本選項以開啓或關閉防止ICMP錯誤消息攻擊的保護功能。 ICMP訊息可使用非期望的通信量來泛流您的網路。本選項預設值爲開啓狀 態。 Maximum IP Fragment Count 輸入防火牆允許每個IP封包的片段的最大數目。當您與ISP的連線透過 PPPoE進行時,本選項十分需要。此資料在傳輸或接收IP片段時使用。當 大尺寸的封包透過路由器送出時,封包被分解爲最大傳輸單元(MTU, Maximum Transmission Unit)大小的片段。分解的數目預設爲45。如果介 面的MTU爲1500(乙太網預設),那麽每個IP封包的最大片段數爲45。如 果MTU越小,那麽片段的數目會越大。 Minimum IP Fragment Size 輸入防火牆允許每個IP封包的片段的最小數目。此限制不會在封包最後的片 段上強制執行。如果網際網路通信量在産生了很多小的片段時,此數值將 變小。此種情況在有多個封包遺失、速度變慢和日誌(log)經常産生的情 況下(片段的大小比設定好的最小片段的大小還要小)常常出現。
Trang: 8
第九章 設定防火牆/NAT 網際網路安全路由器用戶手冊 76 圖 9.27. IP 位址池實例 – 增加兩個 IP 位址池 – MISgroup1 和 MISgroup2 2. 透過從來源 IP 類型下拉表中選擇“IP 位址池”,把 IP 位址池聯合到防火牆 ACL 規則 – 入站、出站 或者群組 ACL,然後從 IP 位址池下拉表中選擇 IP 位址池。在這個實例,IP 位址池被用來與來源 IP 相聯合;另外,它還可被用來與目的地 IP 聯合。正如圖 9.28,MISgroup1 不允許玩網路遊戲, Quake-II 何時都行。 圖 9.28. IP 位址池實例 – 拒絕 QUAKE-II 與 MISgroup1 的連線 9.7.3 設定 NAT 位址池 9.7.3.1 NAT 位址池設定參數 表 9.9 說明了NAT位址池可供使用的設定參數。 表 9.9. NAT 位址池設定參數 選項 說明 NAT Pool Name 輸入NAT位址池的名字。 NAT Pool Type 選擇NAT位址池的類型並建立合適的IP位址的條目。 Source IP Type drop-down list IP 位址池 drop-down list
Trang: 9
網際網路安全路由器用戶手冊 第九章 設定防火牆/NAT 77 選項 說明 Static 選擇 NAT 類型以設定網際網路位址與外部位址之間一對一的映射。 LAN IP range 爲網際網路位址而設 Start IP 輸入起始的IP位址。 End IP 輸入終止的IP位址。 Internet IP Range 爲外部位址而設 Start IP 輸入起始的IP位址。 End IP 輸入終止的IP位址。 Dynamic 選擇本 NAT 類型以對應一套從內部(企業)電腦到公共IP位址的映射。請確保LAN IP範圍與網際 網路IP範圍如上所述。 Overload 選擇本 NAT 類型以使用單一的公共IP位址來連接多個內部(LAN)電腦到外部(網際網路)網 路。 NAT IP Address 對於overload,輸入NAT IP位址。 Interface 選擇本NAT類型以指定動態介面IP位址,這個位址應該被用來使資訊傳到NAT。 9.7.3.2 訪問 NAT 地址池設定頁面 – (防火牆 Î 規則列表 Î NAT 位址池) 以管理員身份登入設定管理器,點選 Firewall 功能表,點選 Policy List 子功能表,然後點選 NAT Pool 子功能表。NAT 位址池設定頁面將如圖 9.9 所示。 注意,當您打開 NAT 位址池設定頁面時,現有的 NAT 位址池同時在設定頁面的下半頁出現,如圖 9.929 所示。
Trang: 10
網際網路安全路由器用戶手冊 第十章 設定 VPN 85 10 設定 VPN 本章包含了對利用自動鍵或手動鍵設定 VPN 連線的說明。 10.1 預設的參數 網際網路安全路由器已經預先設定好了預設的建議(proposal)/連線。它們涵蓋了大多數典型配置遊戲 場景經常使用的參數。我們推薦您使用這些預先設定好的建議/連線以簡化 VPN 連線的設定步驟。路由器預 設的參數如下: 預設的連線 每個連線都代表了被用於起始/終止于路由器流量的規則。它包含的參數有:本地/遠端 IP-位址和埠 。 表 10.1 列出了閘道提供的預設的連線: 表 10.1. 網際網路安全路由器內預設的連線 名稱 類型 埠 協定 狀態 用途 allow-ike-io passby 500 UDP Enabled 允許 IKE 流向路由器 allow-all passby Enabled 允許一般流量(無加密) 小心 不要刪除或修改預設的 VPN 規則。 建議 每個建議都代表了一套認証(authentication)/加密(Encryption)參數。一旦設置好了,建議能被試用 於連線。在建立時期,指定的一個建議將被用於隧道(tunnel)。 注意,多個建議能被指定用於連線。如果您不指定建議被於連線,那麽,所有的預先設定好的建議將被 包含在連線內。 預先設定的 IKE 建議 IKE 建議決定了將被用於建立隧道端點間的金鑰的加密、hash 演算及認證方法的類型。 表 10.2. 預先設定好的路由器內的 IKE 建議 名稱 Encryption Algorithm Authentication Algorithm Diffie-Hellman Group 管理 Key 持續時間 (秒) ike-preshared- 3des-sha1-dh2 3DES SHA-1 2 Pre-shared Keys 3600 ike-preshared- 3des-md5-dh2 3DES MD5 2 Pre-shared Keys 3600
Trang: 11
網際網路安全路由器用戶手冊 第十章 設定 VPN 93 4. 點選 “Enable” 或者 “Disable” 按鈕以開啓或關閉本規則。 5. 請改變任一或所有下列欄目:local/remote secure group, remote gateway, key management type (請選 Preshared Key), pre-shared key for IKE, encryption/authentication algorithm for IKE, lifetime for IKE, encryption/authentication algorithm for IPSec, operation mode for IPSec, PFS group for IPSec and lifetime for IPSec。請參看表 10.4 獲得上述欄目的詳細解釋。 6. 點選 按鈕以建立新的 VPN 規則。新的 VPN 規則設定同時在 VPN 隧道設定頁面下半頁的 VPN 連線狀態表中出現。 10.3.3 刪除 VPN 規則 想要刪除 VPN 規則,請參考下列步驟: 1. 以管理員身份登入設定管理器,點選 VPN 功能表,然後點選 VPN Tunnel 子功能表。 2. 在增加 VPN 規則之前,請確認 VPN 服務已在系統服務設定頁面中開啓。 3. 從 “ID” 下拉表中選擇規則序號,或者點選 VPN 連線狀態表中需要刪除的規則的 圖示。 4. 點選 按鈕以創刪除這個 VPN 規則。注意,已刪除 VPN 規則同時從 VPN 設定頁面下半頁 的 VPN 連線狀態表中移除。 10.3.4 VPN 規則展示 想要參看現有的 VPN 規則,請參考下列步驟: 1. 以管理員身份登入設定管理器,點選 VPN 功能表,然後點選 VPN Tunnel 子功能表。 2. 位於 VPN 設定頁面的下半頁 VPN 規則表向您顯示了所有設定好的 VPN 規則。 10.4 使用手動金鑰設立 VPN 連線 本部分說明瞭使用手動金鑰設立 VPN 隧道的步驟。手動金鑰是當為了簡化設定或兩個VPN閘道器之間因相 容性問題不適合採用自動金鑰時, 達到資料傳輸安全的一種方法。然而,這是一個脆弱的安全性選項,因爲 所有的封包都使用相同的金鑰,除非您作爲網路管理員使用不同的金鑰來進行確認。 10.4.1 使用手動金鑰爲 VPN 連線增加規則 VPN 隧道設定頁面如圖 10.1所示,被用來爲使用手動金鑰的VPN連線設定規則。 想要爲 VPN 連線增加規則,請參考下列步驟: 1. 以管理員身份登入設定管理器,點選 VPN 功能表,然後點選 VPN Tunnel 子功能表。VPN 隧道設 定頁面將如圖 9.9 所示。 注意,當您打開 VPN 隧道設定頁面時,現有的 VPN 連線同時在設定頁面的下半頁出現,如圖 9.9 所 示。
Trang: 12
網際網路安全路由器用戶手冊 第十章 設定 VPN 99 圖 10.5. 企業內部網際網路 ISR1 的 VPN 規則設定 Step 1: 設定 VPN 連線規則 請參考第10.3節 使用自動金鑰設立 VPN 使用自動金鑰爲 ISR1設定 VPN 規則。 Step 2: 設定防火牆規則 1. 設定出站防火牆規則以允許封包不透過任何 NAT 就從 192.168.1.0/255.255.255.0 流向 192.168.2.0/255.255.255.0。 2. 設定入站防火牆規則以允許封包不透過任何 NAT 就從 192.168.2.0/255.255.255.0 流向 192.168.1.0/255.255.255.0。 表 10.6 和表 10.7 提供了爲出站和入站防火牆規則欄目而設定的參數。在對設定任何入站/出站防火牆規 則的總的描述中,請參考第 9.3 節和第 9.4節。 表 10.6. ISR1 VPN 封包的出站未轉換的防火牆規則 選項 值 Type 子網 Address 192.168.1.0 Source IP Mask 255.255.255.0 Type 子網 Address 192.168.2.0 Destination IP Mask 255.255.255.0 NAT 無 Action 允許 VPN 開啓 注意:出站未轉換的防火牆規則必須增加至現有的規則ID 1001。 表 10.7. ISR1 VPN 封包的入站未轉換的防火牆規則 選項 值 Type 子網 Address 192.168.2.0 Source IP Mask 255.255.255.0 Type Subnet Address 192.168.1.0 Destination IP Mask 255.255.255.0 NAT 無 Action 允許 VPN 開啓
Trang: 13
網際網路安全路由器用戶手冊 第十章 設定 VPN 101 選項 值 Type 子網 Address 192.168.1.0 Destination IP Mask 255.255.255.0 NAT 無 Action 允許 VPN 開啓 注意:出站未轉換的防火牆規則必須增加至現有的規則ID 1001。 表 10.9. ISR2 VPN 封包的入站未轉換的防火牆規則 選項 值 Type 子網 Address 192.168.1.0 Source IP Mask 255.255.255.0 Type 子網 Address 192.168.2.0 Destination IP Mask 255.255.255.0 NAT 無 Action 允許 VPN 開啓 10.6.1.3 建立隧道及校驗 資訊及其回應連續地從 ISR1 後區域網路中的主機流向 ISR2 後區域網路中的主機。第一批資訊的流 動可能會失敗。幾秒鐘之後,ISR1 後區域網路中的主機開始接受回應。 10.6.2 外部網路 腳本 – 防火牆 + 靜態 NAT +爲 VPN 通信而設的 VPN 假設由路由器保護的外部網路腳本可處於不同的管理權威之下,那麽就有可能所有網路的IP位址都處於 相同的子網。典型的外部網路的建立請參考圖圖 10.7。
Trang: 14
網際網路安全路由器用戶手冊 第十一章 設定遠端存取 117 6. 點選 以保存虛擬 IP 設定。注意,現有的虛擬 IP 分配表同時在 VPN 虛擬 IP 設定頁面的下 半頁出現。 11.6.3 爲遠端存取用戶改變虛擬 IP 分配 想要爲遠端用戶改變 VPN 虛擬 IP 位址,請參考下列步驟: 1. 點選 Remote Access 功能表,打開 VPN 虛擬 IP 設定頁面,然後點選 VPN Virtual IP 子功能表。 VPN 虛擬 IP 設定頁面將如圖 11.9 所示。注意,您在爲路由器進行任何設定時必須以管理員的身 份登入 。 2. 如需要,在虛擬網路位址欄目內改變虛擬網路位址。注意,路由選項必須出現在虛擬網路與區域網 路之間。 3. 點選虛擬 IP 列表中的現有虛擬 IP 分配的 圖示,或從用戶名下拉表中選擇一個用戶。 4. 在 IP 位址欄目中改變虛擬 IP 位址。 5. 點選 以保存虛擬 IP 設定。注意,現有的虛擬 IP 分配表同時在 VPN 虛擬 IP 設定頁面的下 半頁出現。 6. 重復步驟 3, 4 和 5 ,直到所有的改變都已完成。 11.6.4 爲遠端存取用戶刪除虛擬 IP 位址 您需要在用戶群組設定頁面中刪除遠端用戶以爲未來的用戶刪除虛擬 IP 分配。請參考第 11.2.5 節 獲得 詳細資訊。 Internet ISR User Name: Richard Virtual IP: 192.168.221.4 Private Network 192.168.1.0/24 FTP Server: 192.168.1.200 LAN Port 192.168.1.1 WAN Port 61.222.32.38 User Name: Gloria Virtual IP: 192.168.221.5 Remote Access VPN Client Remote Access VPN Client 圖 11.10. 爲 VPN 遠端存取進行的網路診斷
Trang: 15
網際網路安全路由器用戶手冊 第十一章 設定遠端存取 119 圖 11.12. 主要模式遠端存取實例 – 設定虛擬 IP 位址 3. 爲 Richard 和 Gloria 建立一個 VPN 規則。規則的設定如圖 11.13 所示。注意,只有一個規則爲 Richard 和 Gloria 共同需要,因爲他們屬於同一群組——RoadWarrior。如果 Richard 和 Gloria 屬 於不同的群組,那麽每人都需要一個 VPN 規則。 圖 11.13. 主要模式遠端存取實例 – 爲“RoadWarrior”群組進行的遠端 VPN 連線設定
Trang: 16
網際網路安全路由器用戶手冊 第十一章 設定遠端存取 121 3. 爲 Richard 和 Gloria 建立一個 VPN 規則。規則的設定如圖 11.13 所示。注意,只有一個規則爲 Richard 和 Gloria 共同需要,因爲他們屬於同一群組——RoadWarrior。如果 Richard 和 Gloria 屬 於不同的群組,那麽每人都需要一個 VPN 規則。 圖 11.16. 挑戰模式遠端存取實例 – 爲“RoadWarrior”群組進行的遠端 VPN 連線設定
Trang: 17
網際網路安全路由器用戶手冊 附錄 17 索引 143 16 術語表 10BASE-T 乙太網路使用的配線的名稱,資料傳輸率爲 10 Mbps。又被稱爲 Category 3(CAT 3) 配線。又見資料傳輸率,Ethernet。 100BASE-T 乙太網路使用的配線的名稱,資料傳輸率爲 100 Mbps。又被稱爲 Category 5(CAT 5) 配線。又見資料傳輸率, Ethernet。 ADSL Asymmetric Digital Subscriber Line,非對稱式數位用戶迴路 對於家庭用戶來說最常用的 DSL。Asymmetrical 非對稱性指的是它不平衡的下載與上 載資料傳輸率(下載速率要比上載速率快)。非對稱性有益於家庭用戶,因爲他們通常 下載的資料量要比上載的多得多。 authenticate 用來檢驗用戶的身份,例如提示輸入密碼。 binary 二進位,兩個最基礎的數位系統之一,僅使用兩個數位(0 和 1)來代表所有的數位。在 二進位裏,數位 1 寫成 1,2 寫成 10, 3 寫成 11,4 寫成 100,如此類推。儘管爲方便 起見,IP 位址常常用十進位的數位來表達,但實際上,IP 位址是二進位數字字;例 如,209.191.4.240 在二進位內是 11010001.10111111.00000100.11110000。又見 bit, IP address, network mask。 bit 比特,"binary digit,二進位數字字" 的簡寫,一個 bit 其實是有 0 或 1 兩個值的數位。又 見 binary。 bps 每秒比特數 broadband 寬頻,一種通訊技術,能夠透過相同的媒介傳送不同類型的資料。DSL 就是寬頻技術的 一種。 broadcast 廣播,把資料傳送到網路中所有的電腦上。 DHCP Dynamic Host Configuration Protocol,動態主機配置協定 DHCP 自動進行位址分配與管理。當電腦連線上區域網路(LAN),DHCP 從共用的 IP 位址位址池中指派 IP 位址;在指定的時間界限結束之後,DHCP 又將位址歸還給了位 址池。 DHCP relay Dynamic Host Configuration Protocol relay,動態主機配址協定中繼 DHCP relay 是指在要求 IP 位址的電腦與指派位址的 DHCP 伺服器之間傳遞 DHCP 資 訊的電腦。路由器的每個介面都能設定成 DHCP relay。詳見 DHCP 章節。 DHCP server Dynamic Host Configuration Protocol server,動態主機配址協定伺服器 DHCP 伺服器是指負責爲 LAN 中的電腦指派 IP 位址的電腦。詳見 DHCP 章節。 DNS Domain Name System,領域名稱系統 DNS 將網域名稱對應到 IP 位址上去。DNS 資訊按等級穿過網際網路分配給稱作 DNS 伺服器的電腦。當您開始訪問網頁站點時,DNS 伺服器會檢查被要求的網域名稱,以 找到相應的 IP 位址。如果 DNS 伺服器不能找到 IP 位址,那麽它將與更高一級的 DNS 伺服器聯絡,以確定 IP 位址。又見 domain name。 domain name 網域名稱,是代替與之相對應的用戶容易掌握使用的 IP 地址名稱。例如,www.hinet.net 與 IP 位址 168.95.1.88 相關聯的網域名稱。網域名稱必須是獨一無二的;它們被國際指 派名稱與序號的網際網路公司(ICANN)進行分配 。網域名稱並非 URL 的要素,URL 在網頁站點確認特定的檔案,例如, http://www.asus.com。詳見 DNS 章節。
Thương hiệu:
Asus
Sản phẩm:
Routers
Mẫu/tên:
SL1000
Loại tệp:
PDF
Các ngôn ngữ có sẵn:
Trung Quốc