Vigor-路由器中文使用手册

Vigor 全系列中文说明书（版本1）第一章 基本设置 (Basic Setup)1管理员密码设置(Administrator Password Setup)-22. 配置局域网IP和DHCP(Lan TCP/IP and DHCP Setup)-2第二章 快速设置 (Quick Setup)1互联网访问设置(Internet Access Setup)-5第三章 高级设置 (Advanced Setup)1动态域名设置(Dynamic DDNS Setup)-112拨号时间表设置(Call Schedule Setup)-133NAT(网络地址翻译)设置(NAT Setup)-164静态路由设置(Static Route Setup)-225IP过虑和防火墙设置(IP Filter/Firewall Setup)-256VPN和远程访问设置(VPN and Remote Access Setup)-317UPnP服务设置(UpnP Service Setup)-478VoIP设置(VoIP Setup)-489VLAN和流量控制(VLAN/Rate Control)-5310.QoS控制设置(QoS Control Setup)-54第四章 系统管理（System Management）1.在线状态(Online Status)-592.VPN连接状态(VPN Connection Management)-593.配置备份与导入(Configuration Backup/Restoration)-604.系统日志与邮件警报(Syslog/Mail Alert Setup)-615.时间设置(Time Setup)-626.管理设置(Management Setup)-627.诊断工具(Diagnostic Tools)-638.重启系统(Reboot System)-679.软件版本升级(Firmware Upgrade)-68第一章 基本设置（Basic Setup）功能介绍：在基本设置组中，你能改变管理员密码和内网（LAN）接口的IP配置，以及本地DHCP服务器设置1管理员密码设置(Administrator Password Setup)因为安全性的原因，我们强烈建议你为路由器设置一个管理员密码。路由器初始是没有密码的。如果你不设置密码，任何用户都能从本地网络或者Internet登陆到路由器并改变配置。单击Administrator Password Setup，打开如下所以的屏幕。Old Password（原始密码)：输入当前的管理员密码。如果是第一次设置密码，该行为空。New Password（新密码）：属于一个新的管理员密码。Retype New Password（确认新密码）：再次输入新的密码进行确认。单击OK。2.配置局域网IP和DHCP（Lan TCP/IP and DHCP Setup）对于LAN接口，有两个IP地址设置组合。1st IP address/netmask是为私网用户或NAT用户使用，2nd IP address/netmask是为具有公网地址的用户使用。为了使用公网地址，你应该向你的ISP申请一个公网IP段。例如，ISP会给某些DSL帐户分配少许公网IP地址给你的本地网络使用。你能给你的路由器使用一个IP，2nd IP address/netmask应该配置为公网IP。其他的本地PC应该设置路由器的IP作为默认网关。当DSL建立到ISP的连接后，每个本地PC将直接路由到Internet。同时你可以使用1st IP address/netmask连接其他的私网用户。这些用户的IP地址将被路由器转换为2nd IP地址并通过DSL连接发送出去。For NAT Usage：（默认：总是启用）1st IP Address：连接到本地私网的私有IP地址（默认：）。1st Subnet Mask：本地私网的子网掩码（默认：/24）。For IP Routing Usage：（默认：不启用）Enable：启用第二个IP地址设置。Disable：不启用第二个IP地址设置。2nd IP Address：设置一个公网IP地址。2nd Subnet Mask：公网地址的子网掩码。RIP Protocol Control：Disable：屏蔽LAN接口上的RIP包交换。1st Subnet：设置第一个子网与连接到LAN接口的相邻路由器交换RIP数据包。2nd Subnet：设置第二个子网与连接到LAN接口的相邻路由器交换RIP数据包。配置DHCP服务器DHCP（动态主机配置协议）。为任何配置为DHCP客户端的本地用户分派相关的IP设置Activate：（默认：yes）。Yes：启用DHCP服务器。No：不启用DHCP服务器。Start IP Address：设置IP地址池的起始IP地址。IP Pool Counts：设置IP地址池中的IP数量。Gateway IP Address：为DHCP服务器设置网关IP地址。通常，当路由器作为默认网关时，这个地址应该与LAN口的第一个IP地址相同。DNS Server IP Address：（默认：没有）。DNS（域名系统）。每个Internet主机必须有一个唯一的IP地址，他们也可以有一个人类所熟悉的容易记忆的名字，如：。DSN服务器的功能是翻译这个名字到他的等价的IP地址。Primary IP Address：设置第一个DNS服务器的IP地址。Secondary IP Address：设置第二个DNS服务器的IP地址。注释：如果第一和第二个DNS服务器IP地址都没有设置，路由器在向本地用户分配IP地址时使用路由器自己的IP地址作为客户的DNS代理服务器，并维护一个DNS缓存。如果域名对应的IP地址已经在DNS缓存中，路由器立即解析这个域名。否则，路由器转发DNS查询包到外部DNS服务器。第二章 快速设置1互联网访问设置（Internet Access Setup）功能介绍：在快速设置组中，你能配置路由器使用不同的方式访问Internet（如：PPPoE、PPTP或动态/静态IP）。对于大多数用户来说，Internet访问是最主要的应用。本路由器支持通过以太网的广域网（WAN）接口访问Internet。下面的部分将详细说明不同的宽带访问设置。当你从快速设置组中点击Internet Access Setup时，出现如下设置页。有三种可用的方法访问Internet。PPPoE：大多数DSL modem用户使用的方法。所有本地用户能共享一个PPPoE连接访问Internet。PPTP：某些DSL服务供应商提供一个特殊的DSL modem(如：阿尔卡特的DSL modem)。这种类型的modem仅支持使用PPTP隧道的方法去访问Internet。在这些方法中，你创建一个PPTP隧道来承载PPP会话并在DSL modem处终止。一旦隧道建立，这种类型的DSL modem将转发PPP会话到ISP。当PPP会话建立时，所有的本地用户将能共享这个PPP会话去访问Internet。Static or Dynamic IP：在这个页面你可以配置WAN口使用静态（固定）IP或者动态（DHCP客户端）IP地址。大多数的Cable用户将使用动态IP地址的方式从Cable头端系统获取公网地址。在你连接一个宽带访问设备（如：DSL/Cable modem）到路由器之前，你需要知道你的ISP提供的是哪种类型的Internet访问方式。一下部分涉及到广泛使用的四种宽带访问服务。他们是PPPoE客户端、PPTP客户端、DSL使用静态IP、Cable使用的动态IP（DHCP客户端）。大多数情况，你将从宽带访问服务提供商处得到DSL或Cable modem。路由器是连接到宽带设备之后的并作为一个NAT或IP路由器进行宽带连接。配置：（ADSL设置）PPPoE：单击Internet Access Setup-PPPoE进入设置页PPPoE SetupPPPoE Link：选取Enable，在WAN口启用PPPoE客户端协议。ISP Access SetupISP Name：输入ISP名字。Username：输入ISP提供的用户名。Password：输入ISP提供的密码。Scheduler（115）：输入时间表的序号，按时间表计划控制Internet访问。PPP/MP SetupPPP Autherntication：选择PAP or CHAP获得最大的兼容性。Always On：选取它，强制Internet访问总是在线，你将看到Idle Timeout设置框变为不可用。Idle Timeout：空闲超时意味着在预设的空闲时间到期后路由器会断掉连接。默认是180秒。如果你设置为0，PPP会话将不会自己中断。IP Address Assignment Method（IPCP）Fixed IP：选择No（动态IP）。除非你的ISP给你提供了一个静态IP地址，才选择Yes。Fixed IP Address：如果你的ISP给你提供了一个静态IP地址，在这里输入。点击OK。PPTP设置单击Internet Access Setup-PPTP进入设置页。以下的设置页面仅做示例，你的DSL服务提供商会给你提供精确的设置参数。PPTP SetupPPTP Link：选取Enable，启用PPTP客户端建立一个到连接到WAN口的DSL modem的通道。PPTP Server IP Address：指定为DSL Modem的IP地址，该Modem必须已经启用PPTP。参考DSL Modem的用户手册。ISP Access SetupISP Name：输入ISP的名称。Username：输入ISP提供的用户名。Password：输入ISP提供的密码。Scheduler（1-15）：输入时间表的序号，按计划的时间控制访问到Internet。PPP/MP SetupPPP Authentication：选择PAP or CHAP获得最大的兼容性。Always On：选取它，强制Internet访问总是在线，你将看到Idle Timeout设置框变为不可用。Idle Timeout：空闲超时意味着在预设的空闲时间到期后路由器会断掉连接。默认是180秒。如果你设置为0，PPP会话将不会自己中断。IP Address Assignment Method（IPCP）Fixed IP：选择No（动态IP）。除非你的ISP给你提供了一个静态IP地址，才选择Yes。Fixed IP Address：如果你的ISP给你提供了一个静态IP地址，在这里输入。WAN IP Network SettingsObtain an IP address automatically：设置WAN接口作为DHCP客户端，它将从DHCP服务器或者启用PPTP的DSL Modem获得IP网络设置参数。Specify an IP address：如果你不能确定是否在LAN2/WAN接口上有DHCP服务可用，你也可以手动的给接口指定一个IP地址。需要注意的是IP地址和子网掩码设置必须与Modem在同一个网络。单击OK。使用DSL/Cable Modem指派一个或多个静态IP在这种应用中，从你的DSL或Cable ISP处得到一个固定公网IP地址或者一段公网地址。大多数情况下，Cable ISP提供一个固定的IP，而DSL ISP会提供一段地址。如果你有一个公网的IP地址段，你可以选择将一个或者多个IP地址指派给WAN口。单击Internet Access Setup-Static or Dynamic IP进入设置页。Access ControlBroadband Access：选取Enable，打开宽带访问功能。Keep WAN ConnectionEnable PING to keep alive：通常这个功能主要用在动态IP环境。RIP ProtocolEnable RIP：选取它可以打开在WAN口上进行RIP信息交换。对于大多数Internet访问，你并不需要使用这个选项。WAN IP Network SettingsSpecify an IP address：当我们使用静态IP的时候，必须选择该项，指定IP地址，子网掩码以及网关地址。单击OK。如果你有多个公网IP指派到WAN接口。单击WAN IP Alias，弹出如下的窗口，你可以在这个页面指派附加的IP。使用DSL/Cable Modem的动态IP配置Cable ISP通常使用这种应用方式。单击Internet Access Setup-Static or Dynamic IP进入设置页。Access ControlBroadband Access：选取Enable，打开宽带访问功能。Keep WAN ConnectionEnable PING to keep alive：通常这个功能主要用在动态IP环境。RIP ProtocolEnable RIP：选取它可以打开在WAN口上进行RIP信息交换。对于大多数Internet访问，你并不需要使用这个选项。WAN IP Network SettingsObtain an IP address automatically：使用动态IP必须启用该选项。Router Name：根据你的提供商的不同，该项可填可不填。某些ISP会要求这个名字做访问验证。Domain Name：根据你的提供商的不同，该项可填可不填。Default MAC Address&Specify a MAC Address：这两个选项是互斥的。某些ISP使用一个指定的MAC地址做访问验证，这种情况下你需要选取Specify a MAC Address，并输入指定的MAC地址。单击OK并重启路由器后该项设置生效。第三章 高级设置（Advanced Setup）1动态域名设置（Dynamic DDNS Setup）功能介绍：在配置动态域名功能之前，你应该先向动态域名提供商申请一个免费的域名。路由器可支持到3个动态域名帐号，并支持如下的一些提供商：、、、、、。动态域名功能允许路由器到指定的动态域名服务器更新自己的当前在线WAN 口地址。只要路由器在线，你就可以使用注册的域名从Internet访问路由器或者路由器内部的虚拟服务器。配置启用动态域名功能并增加帐号1 假定你有一个注册的域名：，注册用户名：test，密码：test。2 登陆到路由器Web配置界面，单击Dynamic DNS Setup，如下所示。3 选取Enable Dynamic DNS Setup并点击帐户序号Index1，给路由器增加一个帐号。4 选取Enable Dynamic DNS Account，并选择正确的服务提供商：，输入注册的主机名：hostname，在Domain Name中输入域名后缀：。下面的两个空格输入你的帐户名Login Name：test和密码Password：test。5 单击OK按钮激活刚才的设置。注意：不是所有的动态域名提供商都支持Wildcard和Backup MX特性的。你应该到他们的站点获取更多的信息。关闭动态域名功能并清除所有帐户1 登陆到Web配置界面，单击Dynamic DNS Setup。2 清除Enable Dynamic DNS Setup的选择。单击Clear All按钮关闭动态域名功能并清除所有帐户。删除一个动态域名帐号1 登陆到Web配置界面，单击Dynamic DNS Setup。2 单击你想要删除的帐户的序号Index ？，点击Clear All按钮删除该帐号。检查动态域名功能是否正常的方法使用ping命令1 路由器在线后，使用ping命令去ping你注册的域名，检查它是否工作正常。2 登陆到Web界面，点击Online Status，检查你的动态域名解析的IP地址与路由器的WAN口地址是否一致。查看DDNS日志1 登陆到Web界面，单击Dynamic DNS Setup。2 按下View Log按钮将显示如下的DDNS更新日志A：登陆名H：不带后缀的域名Return Code= good 45注意：如果你的DDNS更新有任何问题，日志能帮助你找到问题的所在。3 单击Online Status可知道当前的WAN口IP地址你可以看到橙色的框中显示的IP和日志中的Return Code一致，表示动态域名更新成功。附：某些帐户在更新日志中的Return code不显示IP地址。2拨号时间表设置（Call Schedule Setup）功能介绍通过使用拨号时间表配置，可以控制路由器在指定的时间拨号上网、断线，以及在指定的时间控制VPN连接通道的建立和断开。配置拨号时间表之前，你应该适当配置路由器的时间功能，并为指定的Internet访问排列时间表。时间表是与路由器的时间协同工作的。路由器可支持最多15个时间表配置。单击Call Shcedule Setup，你将看到如下的配置页面点击Clear All按钮将清除所有的时间表配置增加一个时间表1 点击任一序号，进入如下的时间表详细设置页2 每一设置项的详细说明如下：Enable Schedule Setup：选取，启用时间表。Start Date(yyyy-mm-dd)：指定时间表的开始日期。Start Time(hh:mm)：指定时间表的开始时间。Duration Time(hh:mm)：指定时间表的持续时间。Action：指定在时间表的作用期间应该应用采取哪种动作。-Force On：建立连接。-Force Down：指定断开连接。-Enable Dial-On-Demand：指定连接为按需拨号，应在Idle Timeout中指定空闲超时时间值。-Disable Dial-On-Demand：当有流量时保持连接。一旦没有流量的空闲超时到期，连接就会断开，并且在时间表的作用期内再也不能建立连接。How Often：指定时间表的周期-Once：指定时间表仅运行一次。-Weekdays：指定按周为周期运行时间表。3 指定适当的持续时间和动作，并点击OK按钮应用改变。4 给特定的Internet访问配置指定时间表。删除一个拨号时间表1 单击Call Schedule Setup和你想要删除的时间表序号。2 单击Clear按钮清除当前配置。使用示例我想控制PPPoE的连接在一周的每天9:00到18:00总是在线（Force On）。其他时间Internet访问连接应该关闭（Force Down）。1 确保PPPoE连接和时间设置（Time Setup）工作正常。2 配置PPPoE在一周的每天9:00到18:00总是在线。3 配置从18:00到第二天9:00期间强制关闭连接（Force Down）。4 将上两个配置指定到PPPoE配置中。现在PPPoE连接将按照在时间表中预定的时间计划执行强制在线（Force On）和强制关闭（Force Down）的动作。3NAT（网络地址翻译）设置功能介绍NAT（网络地址翻译）是映射一个或多个IP地址和IP服务端口到不同的指定地址和端口的一个方法。NAT具有如下两个功能：它允许局域网内部的许多PC的私有IP地址翻译到由ISP提供的一个或多个公网IP地址，节省用户的成本。它能隐藏重要机器的真实地址，实现安全特性以防止Internet上的潜在黑客攻击。NAT配置通常你使用路由器时会启用NAT功能。NAT代表网络地址翻译。工作机制如下：路由器从ISP哪里获得一个或多个全球可路由的公网IP地址。本地主机使用RFC-1918所定义的私有网络地址与路由器通信。路由器翻译私有地址到可路由的公网地址，然后使用这个地址访问Internet。下面详细说明特定应用的NAT特性。点击NAT Setup打开设置页面。你可以在页面上看到RFC-1918中所定义的私有地址段。通常我们给路由器使用/24子网段。设置通过公网可访问本地内部服务器端口重定向表可以用来向公网开放内部服务器，或者开放一个特定的端口给内部主机。Internet上的主机可以使用路由器WAN口的IP地址访问到内部网络的服务，如：FTP、WWW等。下面的例子说明了内部的一个FTP服务器是如何对公网开放的。该内部FTP服务器运行在主机0上。如上图所示，端口重定向表给内部主机提供了10个端口映射项。Service Name：指定特定的网络服务的名称。Protocol：指定传输层协议（TCP或UDP）。Public Port：指定哪个端口被重定向到内部主机。Private IP：指定提供服务的内部主机的私有IP地址。Private Port：指定内部主机提供服务的私有端口号。Active：选取，激活该项端口映射条目。点击OK注释：端口转发只能应用到外部用户，在你的局域网中的内部用户不能访问你的外部公网IP地址来访问内部服务。内部用户应通过本地私有地址访问服务器，或者你能在widows主机文件中设置一个别名来访问。请仅重定向你知道的必须转发的端口，而不是转发全部端口。否则会影响到NAT设备所具有的防火墙安全性。DMZ主机设置点击DMZ Host Setup打开设置页。DMZ主机设置允许一个指定的内部用户暴露到Internet中，使用某些特定目的的应用程序，如：Netmeeting或Internet游戏等。DMZ Enable：选取它启用DMZ功能。DMZ Host IP：输入DMZ主机的IP地址。开放端口设置Vigor路由器能支持如下的三种不同的端口映射方法：端口重定向（Port Redirection）：如果端口号匹配，数据包被转发到指定的本地PC。一个用户也能翻译一个端口到本地的另一个端口。开放端口（Open Ports）：类似端口重定向，但你可以定义一个端口范围。DMZ主机（DMZ host）：完全开放一个PC。所有向内的数据包将转发到你指定的本地PC。对于从内部其他PC向外请求所接收到的响应数据包和匹配上面两个方法的到来数据包例外。当你同时使用这三个系统时，有一个优先级结构可用。Port Redirection Open Ports DMZ例如：如果到来的数据包的端口号匹配端口重定向和开放端口的规则，数据包将被转发到端口重定向所指定的本地地址。众所周知的端口号列表（View Well-Known Ports List）该页提供了常见的众所周知的端口号，你可以参考。多NAT（Mutli-NAT）设置如果你有一组静态IP，那么你能使用多NAT特性设置多个DMZ主机或多个开放端口主机。下面将向你示例怎样设置多NAT特性当你点击WAN IP Alias按钮时，将打开一个窗口，你可以输入你的公网IP。加入NAT地址池（Join NAT IP Pool）选择框的意思是本地用户能使用这个IP连接到Internet。如果你没有选取它，本地用户将不能使用这个IP。设置好WAN口的多IP后，你就能设置多DMZ或多开放端口，如下所示：4静态路由设置（Static Route Setup）功能介绍如果你在路由器后面有许多私有子网，或者你想通过内部路由器访问另外的公共子网，你都可以配置路由器路由IP数据包到那些内部IP网络。他们使用LAN TCP/IP and DHCP Setup中的1st IP地址和子网掩码域。路由器默认也有内置的RIP（路由信息协议）。如果相邻路由器有相同的协议，RIP将被用来交换路由信息。在这里，静态路由设置仅提供一个方法，指导特定的IP数据包通过特定的路由器。配置-增加静态路由到内部私有和公共网络假定Internet访问已经配置并工作正常。你使用1st子网地址/24冲浪Internet，也有一个内部私有子网/24通过一个内部路由器（/24）和一个内部公共子网/24通过一个内部路由器（/24）。并且路由器/24是路由器/24的默认网关。1 点击LAN TCP/IP and DHCP Setup，选择RIP Protocol Control为1st Subnet，点击OK按钮。注释：设置RIP Protocol Control为1st Subnet有两个不同的意思。第一个意思是LAN口能通过1st子网(/24)与相邻路由器交换RIP包。第二个意思是那些内部私网（如：/24）访问Internet时能通过本地路由器使用NAT，但互相之间进行IP路由。2 增加一个静态路由条目，到内部私网/24通过内部路由器/24。点击Static Route Setup-Index Number如下所示增加到目的子网/24的静态路由。3 增加到内部公共子网/28的静态路由，通过路由器/24。注释：你也应该在路由器/24中增加静态路由条目，路由到/24和/24子网的IP数据包通过路由器/24。4 点击Static Route Setup-View Routing Table查看当前的路由表。-删除或关闭一个静态路由条目1 点击Static Route Setup选择你想要删除的序号。2 选择Status/Action为Empty/Clear。点击Ok按钮删除路由。5IP过虑和防火墙设置（IP Filter/Firewall Setup）功能介绍IP过虑和防火墙功能可帮助你保护本地网络免遭来自外部的攻击。它也提供一个方法限制本地用户访问Internet。另外，它能过虑特定的外出数据包触发路由器建立外出连接。防火墙概述IP过滤器/防火墙包括两种类型的过滤器：呼叫过滤器（Call Filter）和数据过滤器（Data Filter）。前一个（Call Filter）是用来阻止或允许能触发路由器建立外出连接的IP数据包。后一个（Data Filter）是当WAN连接已经建立后，用来阻止或允许能通过路由器的IP数据包类型。在概念上，当一个外出数据包被路由到WAN口时，IP过滤器将决定是否应该将数据包转发到呼叫过滤器或数据过滤器。如果WAN链路是关闭的，数据包将进入呼叫过滤器。如果不允许数据包触发路由器拨号，该数据包被丢弃。否则，它将发起一个呼叫建立WAN连接。如果路由器的WAN链路是通的，数据包将穿过数据过滤器。如果数据包类型是被设置为阻止，它将被丢弃。否则，它将被发往WAN口。另外，如果到来的数据包从WAN口进入，它将直接穿过数据过滤器。如果数据包的类型被设置为阻止，它将被丢弃。否则，它将被发送到LAN口。过滤器架构如下所示：以下的部分将更多的阐述有关使用Web配置界面设置IP过滤器/防火墙的问题。过滤器有12个过滤器组合，每个组合有7个过滤器规则。总共有84个过滤器规则。默认情况下，呼叫过滤器定义在过滤器组合1（Set 1），数据过滤器定义在过滤器组合2（Set 2）。General Setup：某些通用设置可用。Filter Setup：这里是IP过滤器配置的12个过滤器组合。Set to Factory Default：点击这里恢复过滤器规则到默认值。通用设置（General Setup）在通用设置页，你能启用/关闭呼叫过滤器或数据过滤器，为每个过滤器指定开始过滤器组合，配置日志设置，为日志数据包复制设定MAC地址。呼叫过滤器（Call Filter）：选取Enable激活呼叫过滤器功能。为呼叫过滤器指定一个开始位置。数据过滤器（Data Filter）：选取Enable激活数据过滤器功能，为数据过滤器指定一个开始位置。日志标记（Log Flag）：为排解问题的需要，你能在这里指定过滤器日志。None：日志功能不启用。Block：所有被阻止的数据包将被记录。Pass：所有通过的数据包将被记录。No Match：日志功能将记录所有没有匹配的数据包。注释：当你在Telnet终端输入“log -f”时将显示过滤器日志。MAC Address for Packet Duplication：记录的数据包也可以通过以太网记录到另外的地方。如果你想要从路由器复制记录的数据包到其他的网络设备，你必须输入那个设备的MAC地址（16进制格式）。输入“0”屏蔽这个特性。这个特性在以太网环境下很有帮助作用。编辑过滤器组合Comments：输入过滤器组合的描述。最大长度22个字符。Filter Rule：点击编号为17的按钮，编辑过滤器规则。Active：启用或屏蔽过滤器规则。Next Filter Set：指定当前过滤器后链接的下一个过滤器组合。过滤器不能循环连接。下面的设置页显示了呼叫过滤器和数据过滤器的默认设置。你将看到呼叫过滤器被指派到组合1，数据包过滤器被指派到组合2。 编辑过滤器规则点击过滤器规则序号按钮进入每个过滤器的规则设置页。下面详细说明每个配置单元。Comments：输入过滤器组合描述，最大长度14个字符。Check to enable the Filter Rule：启用过滤器规则。Pass or Block：指定当数据包匹配规则时的动作。 Block Immediately：匹配规则的数据包将被立即丢掉。 Pass Immediately：匹配规则的数据包将立即通过。 Block If No Further Match：一个匹配当前规则且不匹配后续规则的数据包将被丢弃。 Pass If No Further Match：一个匹配当前规则且不匹配后续规则的数据包将通过路由器。Branch to Other Filter Set：如果数据包匹配过滤器规则，将链接到指定的下一个过滤器规则组合进行匹配检查。Duplicate to LAN：如果你想要记录匹配的数据包到另一个网络设备，选取这个选项启用它。MAC地址是在General Setup -MAC Address for Logged Packets Duplication中定义的。Log：选取这个选项启用日志功能。使用Telnet命令：log f查看日志。Direction：设置数据包流动的方向。对于呼叫过滤器，这个设置是不起作用的。数据过滤器：IN：指定这个规则过虑进入的数据包。OUT：指定这个规则过虑外出的数据包。Protocol：指定这个规则将应用的协议。IP Address：指定这个过滤器规则应用的源和目的IP地址。在一个特定的IP地址前加上符号“！”将防止这个规则应用到那个IP地址。它等同于逻辑操作符NOT。Subnet Mask：指定过滤器规则应用到的IP地址栏的子网掩码。Operator：“Operator”栏指定端口号的设置。如果开始端口（Start Port）是空，忽略开始端口和结束端口（End Port）栏。过滤器规则将过虑外出的任何端口。 =：如果结束端口（End Port）是空，过滤器规则将设置端口号为开始端口（Start Port）的值。否则，端口号范围在开始端口和结束端口之间（包括开始端口和结束端口）。!=：如果结束端口是空，端口号为不等于开始端口的值。否则，端口号为非开始端口和结束端口之间的端口值（不包括开始端口和结束端口）。：指定端口号是大于开始端口的值（包括开始端口）。：指定端口号是小于开始端口的值（包括开始端口）。Keep State：当选取时，IP过滤器/防火墙将保持有关TCP/UDP/ICMP通信会话的协议信息（这个选项要求正确选择操作协议）。Fragments：指定一个分片数据包的动作。 （Do not Care）：指定过滤器规则不使用分片选项。 Unfragmented：应用这个规则到未分片的数据包。 Fragmented：应用这个规则到分片的数据包。 Too Short：仅应用这个规则到非常短的包含完整包头的数据包。限制未授权访问Internet服务这部分将显示一个简单的例子，限制某人访问www服务。在这个例子中，我们假定受限访问用户的IP地址是0。过滤器规则在数据过滤器组合中创建，如下图示：端口80是www服务所使用的HTTP协议的端口号6VPN和远程访问设置（VPN and Remote Access Setup） 功能介绍VPN-虚拟专用网（Virtual Private Network）是专用网络在公共网络如Internet上的扩展。VPN通过私有隧道技术在公共网络上仿真一条点到点的专线，从而达到安全的数据传输目的。Remote Access Control Setup 远程访问控制设置通过这里的选项可以开启或者关闭允许访问的VPN服务.PPP General Setup 点对点通用设置Dial-In PPP Authentication 选择点对点认证方法Dial-In PPP Encryption(MPPE) 选择点对点加密算法Mutual Authentication(PAP) 手动认证，仅当连接某些服务器(Cisco)时需要手动认证时才启用，默认是NoIP Address Assignment for Dial-In Users 给远程拨入用户分配的IP起始地址例 VPN WIN2000-Vigor Router (PPTP)a. 远端服务器（Vigor Router）设置1. 在Vigor WEB设置页面里面, 点击 VPN and Remote access Setup - Remote Dial-in Users Setup.2.填写好为远端用户拨入使用的用户名和密码，然后点击OK.3. 当有用户成功拨入VPN后您可以在 System Management - VPN Connection Management.看但连接状态b.客户端设置:1. 在网络和拨号连接中新建一个连接2. 选择通过Internet连接到专用网络3. 根据您是否已连接上Inetnet来选择是否要拨初始连接（如果您在Inernet上了就选择不拨初始连接）.4.输入服务器的IP地址或者域名,然后点击下一步。.5. 选择这个拨号连接是否要给其他用户使用.6. 完成连接向导，并为此连接取个名字7.在网络和拨号连接中，双击刚建立好的虚拟专用连接8.电脑成功连接后会出现如下提示（完）VPN IKE/IPSec General Setup VPN IKE/IPSec通用设置如果远程用户使用IPSec拨入时，这里可以设置一个公共的密钥.Remote User Profile Setup(Teleworker) 远程用户管理设置根据不同的型号可以设置不同通道数的VPNIndex: 点击Index号码可以打开一个远程拨入用户的设置界面,如下图User: ?代表这个帐号可能还没被用过Status: X代表禁用，V代表启用User account and Authentication Enable this account: 启用这个帐号 Idle Timeout: 超过指定时间连接就断开 Username: 拨入时的用户名 Password:拨入时的密码Allowed Dial-In Type: 允许拨入的类型(老型号是指定PPTP的) Specify Remote Node/Remote Client IP or Peer ISDN Number: 此功能开启后只有指定的IP或者ID或者ISDN号码才可以拨入.Callback Function: 回拨功能Check to enable Callback function: 开启回拨功能 Specfiy the callback number: 一旦开启了这个选项,路由器就指回拨下面所指定的ISDN号码 Callback Number:输入指定的ISDN号码 Check to enable Callback Budget Control: 设置回拨的超时时间LAN-to-LAN Profile Setup 局域网对局域网VPN设置每个LAN-to-LAN Profile有4个部分:1 Common Settings2 Dial-out Settings3 Dial-In Settings4 TCP/IP SettingsCommon Settings Profile Name: VPN隧道名称Enable this profile: 选中代表启用Call Direction: 连接方式,Both代表既可以拨出也可以拨入.Dial-Out代表拨出,Dial-In代表拨入Always on: 选中时表永久在线,即使掉线也会自动重拨(选中时只能作为拨出端)Idle Timeout: 当没有数据时超过指定时间就断开连接Enable PING to keep alive: PING指定主机保持一直在线防止虚连接（仅对IPSec有效）PING to the IP: 指定PING的IPDial-out SettingsType of Server I am calling: 选择拨出的方式,有ISDN, PPTP, IPSec Tunnel, L2TP with IPSec Policy加入选择了L2TP with IPSec里面可以选择none不加密, Nice