TP路由器双线上网图文实例教程.docx

TP路由器双线上网图文实例教程.docx

《TP路由器双线上网图文实例教程.docx》由会员分享，可在线阅读，更多相关《TP路由器双线上网图文实例教程.docx（22页珍藏版）》请在冰豆网上搜索。

TP路由器双线上网图文实例教程

第一步，准备两台TP-LINK480单WAN口路由器，分别接入网通线路和电信线路，再把路由器接入主交换机。

在设置路由器时，设置外网IP时正常设置即可。

详细步骤：

1找一台与路由器连接的客户机，客户IP设置为192.168.1.11、子网掩码为255.255.255.0，网关和DNS为192.168.1.1。

2打开IE浏览器，再地址处键入“192.168.1.1”，输入路由器管理账号、密码，进入路由器设置界面。

3先点击左边的“网络参数”，再点击“LAN口设置”，在右边的“IP地址设置”中设为“192.168.1.1”，点“保存”。

4先点击左边的“网络参数”，再点击“WAN口设置”，在右边的“WAN口连接类型”设为“静态IP”，“IP地址、子网掩码、网关，DNS服务器、备用DNS服务器”，分别设为“221.135.239.10、255.255.255.128、222.135.239.1、218.56.57.58、202.102.152.3”，点“保存”。

（根据互联网接入商提供的参数填写即可）

5同理，设置另外一台路由器，不同的是，在“LAN口设置”中设为“192.168.1.2”

路由器设置完毕。

第二步，设置内部服务器。

1设置计费机，“IP地址”设为“192.168.1.20”、“子网掩码”为“255.255.255.0”、“网关”为“192.168.1.1”，“DNS服务器”为“192.168.1.1”、“备用DNS服务器”为空，

铁通电信

||

猫猫

||

路由路由

||

————

交换机

|||||

电脑电脑电脑

TPlink478+——

      两个24口交换机要互连应该在同一网段。

默认是：

192.168.1.100～200。

然后开启一个24交换机将整组的MAC与IP：

192.168.1.100～123绑定，在“流量均衡控制”添加IP地址调度规则“来自LAN口－192.168.1.100-192.168.1.123  ALL端口协议”数据包“只能”从WAN口“1”转发

         剩下的那个24交换机的MAC和IP可以不绑定，只要在“流量均衡控制”添加IP地址调度规则“来自LAN口－192.168.1.124-192.168.1.200  ALL端口协议”数据包“只能”从WAN口“2”转发注意是：

只能！

不是优先！

      这样两个24交换机内的机子就只从指定的WAN口上网等于是两个路由带两个交换机

　　TL-R478+内网默认IP地址是192.168.1.1，用户名及密码均为admin，使用IE登录成功后会弹出快捷配置窗口，这也是TP-LINK产品的惯例，小编称其为是“开门两板斧”：

　　一、介绍之…

　　二、宽带接入类型，相信使用ADSL的用户占绝大多数。

　　三、填入用户名及密码。

　　四、完成之…

　　小编接触过一些TP-LINK的低端产品，全部都有提供上面所说的“开门两板斧”，虽说仅单单进行这些设置是远远不够的，还有许多具体的功能需要进行分别设置，但对于一些用户来讲，只需简单几步，填上用户名及密码就可以使用，路由器具有简单快捷的设置向导功能还是非常必要的，由其对于低端产品来讲。

　　由于浏览器的原因，某些时候，“设置向导”窗口可能不会在用户登录路由器配置页面时弹出，如果需要，用户可以点击如下图中左侧功能栏中的“设置向导”，启动向导并完成设置操作。

TL-R478+的“首页”

　　运行状态

点击运行状态我们可以了解到TL-R478+LAN口及WAN口的的置配信息

网络参数

　　在WAN口设置页面中，用户可以分别设置WAN1与WAN2的参数，接入方式包括：

“静态IP”、“动态IP”、PPPoE。

在这里说一下PPPoE接入方式，有些ISP提供的不是ADSL接入，但使用的同样是PPPoE验证接入，像北京的“长城宽带”。

当然我们接触更多的应该还是电信与网通的ADSL，采用的均为PPPoE验证接入方式。

　　WAN口在线检测功能可用于检测WAN1或WAN2的连通性。

当路由器采用双线接入时，使用这一机制，可以在短时间内判断出当前线路是否工作正常，因为PING包的发送间隔是比较短的，如果PING超时，路由器可以在比较短的时间内将会话由WAN1转移至WAN2，或由WAN2转移至WAN1。

　　但这里也存在一个问题，因为PING的是某一IP地址，试想如果目标地址出现问题，而接入线路其实是工作正常的，这时路由器也会报告相应WAN口存在问题，从而导至网络工作异常。

如下图中所示，小编填写了一个不存在的IP地址。

果然TL-R478+对于线路工作状态的判断就出现了问题，并且导致网络不通，其实此时WAN1上的接入线路是正常的。

对于这一功能，小编以为，如果用户使用的是单线接入，还是就不要对其进行任何设置了，当然如果用户使用的是双线接入，可以考虑启用这一功能，但必须保证目标IP是一个绝对可靠的IP地址。

　　流量均衡控制，这里提供了对网络流量的精细管理功能，首先“开启/禁用WAN口”是路由器WAN口的“总开关”，可以在这里启用或禁用WAN端口，小编试着将WAN1禁用掉，并观察TL-R478+前面板上的WAN1指示灯，禁用前后并无变化，依然处于“活动”状态。

　　附加IP地址调度规则，在这里可以设置内网用户通过哪个WAN口访问INTERNET，可以设置基于内网IP（端口）的规则，也可以设置基于外网IP（端口）的规则，规则优先级基于每条规则的上下排列顺序。

规则内容可以重复，优先级是“上者为先”，例如小例编写的两条规则，此时WAN2是没有连接网络的，当排列顺序如上图时192.168.1.100可以访问INTERNET，而顺序颠倒后则不可以。

点击“添加新条目”打开如下图页面，用于添加规则。

　　如果用户使用网通与电信双ISP接入，可以在“ISP均衡控制”页面中指定相应WAN口的ISP线路。

　　均衡策略页面用来设置路由器多WAN口的数据包转发策略，这些策略主要依据3种原则，速度优先、IP地址对优先、应用程序优先。

可以通过4个数据表来查询，它们分别是速度检测表、快速连接表、IP地址对表、应用程序表。

就这一功能产品手册中也给出了明确的说明：

以上的时间间隔缺省值都是经过测试的，如果您对该值不是很确定的话，请您不要随意修改。

如果因为特殊原因，用户确实需要对这些参数进行修改，可以参见产品手册或查看此页面中的“帮助”来详细了解每项功能。

　　“WAN端口参数”页面。

当端口状态选为“禁用”时，路由器面板上的指示灯将熄灭。

对于入站广播帧TL-R478+也提供了抵制功能。

　　TL-R478+ DHCP服务设置页面。

在这里小编说一下关于“地址租期”长短设置问题，打个比方，如果在机场，小编会将DHCP租期设置得短一些，比如就保持默认的120分钟，因为在机场这样的场合多是移动笔记本用户，用户离开后短时间内所占用的IP地址被释放，这对IP地址的使用是比较有效的。

换一个环境，如果是在网吧或办公室中，小编建议将DHCP租期延长，因为这里使用的都是固定设备，IP被分配出去，基本上就相当于和终端设备签了“无固定期合同”。

如果“租期”过短，内网会产生过多的DHCP数据帧，产生不必要的流量开销。

当然并不是说“租期”设置得越长越好，但对于像办公室，网吧这样的环境，建议适当延长租期。

　　如何限制迅雷、BT这类“连接数杀手”？

在路由器上为每个IP设置最大连接数是个不错的为法，虽然此时客户端依然可以使用这类软件，但连接数得到了限制，如上图所示，如果分配给小编的20个连接数被占满会如何？

后果就是无法使用IE上网，网游总是掉线，因为程序访问INTERNET至少需要建立一条“连接”，连接数被BT占去，自然会影响到客户端的正常使用，这样用户也会“自发”的自觉一些。

根据小编以前做的测试，为每个IP分配60左右的连接数就完全够用了。

TL-R478+提供的QoS功能是基于IP地址及端口的

动态DNS设置页面

安全功能介绍及验证测试

　　防火墙设置页面是TL-R478+各个过滤功能启用/禁用的“总控制处”。

下面我们逐一来介绍。

　　如上图所示，小编设置的默认规则，包括第2条规则都是禁止数据包通过本路由器，而第一条规则则是允许一个地址段的数据包通过。

在某些环境下，管理者可能只希望特定PC可以访问INTERNET，而不对其它PC开放上网权限，使用类似上面的设置便可达到这一目的。

TL-R478+域名过滤页面

　　TL-R478+MAC地址过滤页面，小编觉得这一功能易用性方面设计得有些不足，试想一个局域网中最少也会有十几台PC，查找并输入这些PC的MAC地址确实是件麻烦事，在这个页面上如果TL-R478+设计有“收集”MAC地址功能，并且将收集结果以“选择题”的形式供用户“勾选”就会方便许多，尤其对于稍大一些网络。

　　攻击防护是防火墙通过对数据包的检查，以应对一些恶意的攻击。

攻击检查和防护分为四类：

扫描类攻击防护；拒绝服务（DoS）攻击防护；可疑包攻击防护；含有IP选项的包的攻击防护。

如果在数据包中查到符合指定的攻击模式，则进行相应的防护处理。

针对LAN与WAN的攻击防护选项是一样的，只是前者较后者多了一项“IP欺骗”防护。

　　小编使用Mir这个程序测试了一下TL-R478+的防护能力，Mir是一个内网TCP半连接洪水攻击程序，也就是通常所说的SYNFlood攻击，在内网主机A上对路由器发起攻击，测试从内网主机B上可否访问外部网络，果然…..TL-R478+没有招架得住。

其实这很正常，小编测过的几款低端宽带路由器都没能幸免过。

SYNFlood是DOS攻击的一种，低端路由设备基本上是无能为力的。

　　下面的截图是使用Mir攻击一台PC，并在被攻击PC上使用Wireshark抓得的数据包：

　　ICMPFlood也是DOS攻击的一种，小编使用kn-Ping这个工具对TL-R478+进行了测试，TL-R478+所采用的防护机制是通过限制每秒钟收到的ICMP数据包数量来抑制ICMPFlood产生DOS效果。

虽然在路由器上无法看到相关统计信息，且由于小编设置每秒仅允许通过20个ICMP数据包，所以路由器本身运行是正常的，不像使用Mir测试SYNFlood时那么“反应强烈”。

TL-R478+对于抑制ICMPFlood是否有效，在kn-Ping运行时可以看得出来。

当kn-Ping每秒向目标发送超过20个ICMP数据包时程序会报错，调节该项阈值，kn-Ping会在相应的情况下报错，这证明抑制ICMPFlood是有效的。

　　ARP攻击对局域网造成的危害也是很大的，由于TCP/IP协议本身固有一些缺陷，实际上ARP攻击并不能得到根本性的解决，不同厂家所使用的防护手段也各不相同，但坦白说效果都不尽理想。

TL-R478+在这方面表现也并不理想。

小编在主机A上使用NetRobocop攻击路由器，此时主机B访问INTERNET便出现了异常。

　　接下来小编测试了TL-R478+的“大的ICMP包（大于1024字节）”防护功能，结果如下图，证明是有效的。

性能测试

　　性能测试使用的是IxChariot，在测试TL-R478+吞吐量之前，小编首先对测试环境进行了“摸底”，两块网卡（endpoint1与endpoint2）用一根网线直接相连，使用High_Performance_Throughput脚本，测得的结果是93.805Mbps。

　　接下来将endpoint1连接LAN口，endpoint2连接WAN口，启用路由器中所有安全过滤选项。

TL-R478+三层大包吞吐量测试结果如上图所示，将两次测试结果相比较可以看出，TL-R478+的三层大包转发性能还是非常不错的。

　　测试完大包吞吐量，下面我们来看一下TL-R478+的小包转发性能。

通过修改IxChariot的脚本可以产生64字节大小的数据帧，这点可以使用Wireshark看到，如下图：

　　Endpoint1（192.168.1.100）向endpoing2（10.1.1.100）发送了一个64字节的数据帧，随后endpoint2会向endpoint1返回一个60字节的数据帧，如此重复，再将测试时间适当延长，便可以测得设备转发小包时的性能。

　　首先还是要做一个“摸底”测试，在IxChariot中逐步增加用于产生64字节数据帧的Pair，在达到15Pairs时，TL-R478+两个LAN端口间的吞吐量达到峰值1.085Mbps，换算成包转发率是1613.09pps。

　　接下来将endpoint1连接LAN口，endpoint2连接WAN口，启用路由器中所有安全过滤选项，IxChariot运行相同的15个pairs。

这时TL-R478+三层小包吞吐量为0.518Mbps，换算成包转发率是770.83pps。

　　测试完TL-R478+的大小包转发性能，接下来要测试的是真实应用环境下的性能。

依然使用IxChariot，使用不同应用类型的脚本组成一个脚本集，尽量摸拟产生真实数据流量，脚本组成如下图：

　　此脚本集的“摸底”测试结果为24.862Mbps，测试三层转发性能时启用路由器的安全防护功能，三层转发性能测试结果为14.536Mbps，详见下图：

LANToLAN

LANToWAN

　　注：

由于所有测试都是单点对单点进行的，所以得出的结果可视为是端口对端口间的性能表现，而非路由器整机性能。

　　总结：

易用性方面，TL-R478+不乏设计亮点，例如方便设置的INTERNET访问策略，登录时的配置向导，详细的帮忙文档，全图形中文界面，做为低端产品，功能设计上关注易用性还是非常有必要的。

硬件配置方面采用IntelIXP网络专用处理器，主频266MHz，并配备32M内存，性能表现不俗。

机身坚固，使用附送的支架，TL-R478+可安装在标准机柜中，占1U空间。

双WAN口设计支持链路冗余，带宽汇聚，出口优先选择，支持基于IP（端口）的QoS，支持基于端口的VLAN，支持基于IP的连接数限制等。

不过TL-R478+也有些不足，例如基于IP地址的带宽限制功能是通过设置QoS策略实现的，TL-R478+没有提供独立的功能设置页面；个别功能在使用上易用性略显不足，例如“MAC地址过滤”页面没有“收集”MAC地址的功能。

　　考虑到篇幅限制，DMZ主机，UPnP功能，虚拟服务器，端口触发，静态路由，IP与MAC绑定，PortVlan（基于端口的VLAN），LAN端口流量统计、端口启用/禁用等这些宽带路由器的基本功能小编并没有在本次测试中进行介绍。