思科RV130/RV130W边缘路由器
管理指南
思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。
要查看思科的商标列表,请访问此URL:/go/trademarks。
文中提及的第三方商标为其相应所有人的财产。
使用“合作伙伴”一词并不暗示思科和任何其他公司之间存在合作关系。
(1110R) 第1章:简介 验证硬件安装使用设置向导 配置后续步骤 使用GettingStarted页面连接到您的无线网络 第2章:查看设备状态 查看控制面板查看系统摘要查看活动TCP/IP服务查看无线统计信息查看强制网络门户状态查看站点到站点IPsecVPN连接状态查看IPsecVPN服务器状态查看PPTP服务器查看日志查看连接的设备查看端口统计信息查看移动网络状态 第3章:配置网络 配置WAN设置 配置有线WAN连接 配置DHCP配置静态IP配置PPPoE配置PPTP配置L2TP配置可选设置 配置移动网络 配置全局移动网络设置 思科RV130/RV130W边缘路由器管理指南 目录 6 67 7 89 10 101112131313131414151516 17 17 17 171819202223 25 25
1 手动配置移动网络设置带宽上限设置电子邮件设置 设置故障切换和恢复 配置LAN设置 更改设备管理IP地址配置DHCP服务器配置VLAN配置静态DHCP查看租用DHCP的客户端配置DMZ主机配置RSTP端口管理配置链路聚合 复制MAC地址配置路由 配置操作模式配置动态路由配置VLAN间路由配置静态路由 查看路由表配置动态DNS配置IP模式配置IPv6 配置IPV6WAN连接配置IPv6LAN连接配置IPv6静态路由配置路由(RIPng)配置隧道查看IPv6隧道状态配置路由器通告配置通告前缀 思科RV130/RV130W边缘路由器管理指南 目录 252627 27 28 282930313233333536 3637 37373838 39404142 4245474848505152
2 第4章:配置无线网络 无线安全性 无线安全性提示一般网络与安全性准则 设备上的无线网络配置基本无线设置 编辑无线网络设置配置安全模式配置MAC过滤配置每天固定时间访问 配置高级无线设置检测恶意接入点 导入授权AP列表 配置WDS配置WPS配置强制网络门户配置设备模式 第5章:配置防火墙 防火墙功能配置基本防火墙设置 配置远程管理配置通用即插即用 管理防火墙时间表 添加或编辑防火墙时间表 配置服务管理配置访问规则 添加访问规则 创建互联网访问策略 添加或编辑互联网访问策略 配置一对一网络地址转换(NAT) 思科RV130/RV130W边缘路由器管理指南 目录 54 54 5456 5657 58596262 6365 66 69707073 74 7475 7778 78 78 7980 81 83 83 84
3 配置端口转发 配置单端口转发配置端口范围转发配置端口范围触发 第6章:配置VPN VPN隧道类型配置基本站点到站点IPsecVPN 查看默认值 配置站点到站点IPsecVPN高级参数 管理IKE策略管理VPN策略 配置IPsecVPN服务器 配置IPsecVPN服务器配置IPsecVPN用户帐户 配置PPTP 配置PPTP服务器创建和管理PPTP用户 配置VPN通道SSL证书VPN设置向导 第7章:配置服务质量(QoS) 配置带宽管理 配置带宽配置带宽优先权 配置基于端口的QoS设置配置CoS设置配置DSCP设置 思科RV130/RV130W边缘路由器管理指南 目录 85 858686 88 8888 89 90 9091 93 9394 95 9595 96969797 99 99 99100 101102102
4 第8章:CiscoSmallBusinessCiscoSmallBusiness管理设备 设置设备属性设置密码复杂性配置用户帐户 导入用户帐户 设置会话超时值配置简单网络管理(SNMP) 配置SNMP系统信息编辑SNMPv3用户配置SNMP陷阱 使用诊断工具 网络工具配置端口镜像 配置日志和电子邮件设置 配置日志设置配置日志电子邮件 配置Bonjour配置日期和时间设置备份和恢复系统 备份配置设置恢复配置设置复制配置设置生成加密密钥 升级固件或更改语言重新启动设备恢复出厂默认设置 第9章:Web过滤 配置Web过滤 思科RV130/RV130W边缘路由器管理指南 目录 103 103104105 105 106107 107108110 110 110112 112 112115 116117118 118119120120 120122122 123 123
5 1 简介 本章提供的信息用于指导您完成安装过程并开始使用基于浏览器的设备管理器。
•验证硬件安装,第6页•使用设置向导,第7页•使用GettingStarted页面,第8页•连接到您的无线网络,第9页 验证硬件安装 按照《思科RV130/130W边缘路由器快速入门指南》配置设备,使其连接至您的有线和无线网络。
!
注意请使用设备附带的12伏、2安电源。
使用其他电源可能会降低性能或损坏设备。
要对硬件安装和互联网连接进行验证,请完成以下任务:•检查LED的状态。
有关详情,请参阅设备附带的《思科RV130/130W边缘路由器快速入门指南》。
•将计算机连接至可用的LAN端口并确认您可以连接至互联网上的网站,如。
•使用具有无线功能的PC连接至互联网上的网站,如。
要配置无线功能,请参阅连接到您的无线网络。
思科RV130/RV130W边缘路由器管理指南
6 简介 使用设置向导
1 使用设置向导 设置向导和设备管理器受以下浏览器支持:MicrosoftExplorer6.0或更高版本、MozillaFirefox3.0或更高版本,以及AppleSafari3.0或更高版本。
要使用设置向导,请执行以下操作: 步骤1启动连接至LAN端口的计算机。
该计算机将成为设备的DHCP客户端,并将获得192.168.1.xxx范围内的IP地址。
步骤2启动Web浏览器,然后在地址栏中输入192.168.1.1。
此地址为设备的默认IP地址。
系统将显示一条关于站点安全证书的消息。
设备使用自签名安全证书,系统显示该消息是由于设备对计算机来说是未知设备。
步骤3单击继续浏览此网站(在您的特定Web浏览器上可能显示为其他选项)来继续访问网站。
此时将显示登录页面。
步骤4输入用户名和密码。
默认用户名为cisco。
默认密码为cisco。
密码区分大小写。
步骤5单击LogIn。
系统将启动设置向导。
步骤6按照屏幕上所显示的说明来设置设备。
设置向导将尝试自动检测和配置您的连接。
如果无法进行检测和配置,设置向导会要求您提供有关您互联网连接的信息。
您可能需要联系您的ISP来获取该信息。
设置向导完成设备的配置后,系统将要求您更改默认密码。
按照屏幕上的说明进行操作。
更改默认密码之后,系统将显示GettingStarted页面。
配置后续步骤 虽然设置向导会自动配置设备,不过我们建议对一些设置进行自定义,以便提供更好的安全性和性能: •如果您已在网络上使用了DHCP服务器,而又不希望设备充当网络DHCP服务器,请禁用该服务器。
请参阅配置LAN设置。
•要配置虚拟专用网络(VPN),请参阅配置VPN。
•设备最多可支持四个无线网络。
使用设置向导只能设置一个无线网络(或SSID)。
要配置其他无线网络,请使用基于Web的设备管理器。
请参阅配置无线网络。
思科RV130/RV130W边缘路由器管理指南
7 简介 使用GettingStarted页面
1 使用GettingStarted页面 GettingStarted页面显示设备上一些最常见的配置任务。
单击网页上的链接可访问相关配置页面。
此页面在每次启动设备管理器时都会出现。
要更改此行为,请选中Don’tshowonstartup。
InitialSettings ChangeDefaultAdministratorPasswordLaunchSetupWizardConfigureWANSettings ConfigureLANSettings ConfigureWirelessSettings 显示Users页面,用于更改管理员密码以及设置访客帐户。
请参阅配置用户帐户。
启动设置向导。
按照屏幕上的说明进行操作。
打开Setup页面以更改参数。
例如,设备主机名。
请参阅配置WAN设置。
打开LANConfiguration页面以修改LAN参数。
例如,管理IP地址。
请参阅配置LAN设置。
打开BasicSettings页面以管理无线功能。
请参阅配置无线网络。
Quickess UpgradeRouterFirmwareAddVPNClients ConfigureRemoteManagementess 打开Firmware/LanguageUpgrade页面以升级设备固件或语言包。
请参阅升级固件或更改语言。
打开PPTPServer页面以设置和管理VPN隧道。
请参阅配置PPTP。
打开BasicSettings页面以启用设备的基本功能。
请参阅配置基本防火墙设置。
思科RV130/RV130W边缘路由器管理指南
8 简介 连接到您的无线网络
1 DeviceStatusSystemSummary WirelessStatusVPNStatus OtherResourcesSupportForums 显示SystemSummary页面,其中显示设备的固件状态、IPv4和IPv6配置状态以及无线功能和防火墙的状态。
请参阅查看系统摘要。
显示WirelessStatistics页面,其中显示无线功能的状态。
请参阅查看无线统计信息。
显示IPsecVPNServer页面,其中列出此设备所管理的VPN。
请参阅查看站点到站点IPsecVPN连接状态。
单击可打开思科支持页面。
单击可访问思科在线支持论坛。
连接到您的无线网络 要将某个客户端设备(例如计算机)连接到您的无线网络,请使用通过设置向导配置路由器时使用的无线安全性信息,在该客户端设备上配置无线连接。
以下步骤仅作举例之用;您配置设备时的操作可能与这些步骤有所出入。
有关具体说明,请查看相应客户端设备的相关文档。
步骤1打开设备的无线连接设置窗口或程序。
您的计算机可能已安装了用于管理无线连接的专门软件;您也可以在“控制面板”下的网络连接或网络和窗口中找到无线连接。
(具体位置视您的操作系统而定。
) 步骤2输入您在设置向导中为网络选择的网络名称(SSID)。
步骤3选择加密类型,然后输入在设置向导中指定的安全密钥。
如果没有启用安全性功能(不推荐),请将使用安全类型和密码短语配置的无线加密字段留空。
步骤4验证您的无线连接并保存您的设置。
思科RV130/RV130W边缘路由器管理指南
9 2 查看设备状态 使用Status菜单中的页面可查看设备上VPN、无线、活动的TCP/IP服务、强制网络门户设置以及事件日志的实时统计信息和配置设置。
要确保数据和统计信息在Status页面上经常更新,请从RefreshRate下拉列表中选择刷新速率。
查看控制面板 选择Status>Dashboard可查看设备配置的静态视图。
Dashboard页面显示有关设备固件版本、CPU和内存利用率、错误记录设置、LAN、WAN、无线、站点到站点IPsecVPN以及PPTPVPN服务器设置的信息。
要修改显示的信息,请单击details链接以访问相应部分的配置页面。
有关管理Dashboard页面上显示的设置的详情,请参阅: •配置日志设置•配置基本站点到站点IPsecVPN•配置LAN设置•配置有线WAN连接•配置基本无线设置在RefreshRate下拉列表中,选择用于在控制面板上刷新最新统计信息和参数值的速率。
当您单击ShowPanelView时,Dashboard页面还显示设备后面板的交互式视图。
将鼠标悬停在每个端口上方可查看端口连接信息。
思科RV130/RV130W边缘路由器管理指南 10 查看设备状态 查看系统摘要
2 查看系统摘要 选择Status>SystemSummary可显示设备属性、IP地址模式间的网络设置、防火墙、无线和VPN设置的详情。
单击Refresh可查看最新信息。
单击带下划线的链接可访问相关配置窗口。
例如,要修改LANIP地址,请单击LANIP。
此时将显示LANConfiguration窗口。
SystemSummary页面分为以下部分显示信息:SystemInformation •FirmwareVersion-设备运行的当前软件版本。
•FirmwareMD5Checksum-用于验证文件完整性的消息摘要算法。
•Locale-路由器上安装的语言。
•LanguageVersion-安装的语言包版本。
语言包版本应与当前安装的固件兼 容。
在某些情况下,较旧的语言包可以用于较新的固件映像。
路由器会检查语言包版本是否与当前固件版本兼容。
•LanguageMD5Checksum-语言包的MD5校验和。
•CPUModel-当前使用的CPU芯片集。
•SerialNumber-设备的序列号。
•SystemUpTime-系统已经运行的时间长度。
•CurrentTime-当天时间。
•PIDVID-设备的产品ID和版本ID。
IPv4Configuration •LANIP-设备的LANIP地址。
•WANIP-设备的WANIP地址。
要释放当前IP地址并获取新地址,请单击 Release或Renew。
•Gateway-设备所连接的网关(例如有线调制解调器)的IP地址。
•Mode-如果启用了NAT,则显示Gateway,否则显示Router。
•DNS1-WAN端口的主DNS服务器IP地址。
•DNS2-WAN端口的辅助DNS服务器IP地址。
•DDNS-表示是启用还是禁用了DynamicDNS(动态DNS)。
思科RV130/RV130W边缘路由器管理指南 11 查看设备状态 查看活动TCP/IP服务
2 IPv6Configuration•LANIP-设备的LANIP地址。
•WANIP-设备的WANIP地址。
•Gateway-设备所连接的网关(例如有线调制解调器)的IP地址。
•NTP-网络时间协议服务器(主机名或IPv6地址)。
•PrefixDelegation-从ISP处的设备返回的前缀,该前缀提供给设备上的IPv6地址。
•DNS1-主DNS服务器的IP地址。
•DNS2-辅助DNS服务器的IP地址。
WirelessSummary显示在Wireless>BasicSettings页面上配置的无线网络的公用名称和安全设置。
有关详情,请参阅配置基本无线设置。
FirewallSettingStatus显示Firewall>BasicSettings页面上配置的DoS、WAN请求和远程管理设置。
有关详情,请参阅配置基本防火墙设置。
VPNSettingStatus显示可用IPsec和PPTPVPN连接,以及每种VPN类型的已连接用户。
•IPSecVPNConnectionsAvailable-可用IPsecVPN连接数。
•PPTPVPNConnectionsAvailable-可用PPTPVPN连接数。
•ConnectedIPSecVPNUsers-已连接的IPSecVPN用户数。
•ConnectedPPTPVPNUsers-已连接的PPTPVPN用户数。
有关配置VPN服务器连接和用户帐户的详情,请参阅配置基本站点到站点IPsecVPN和配置PPTP。
查看活动TCP/IP服务 选择Status>ActiveTCP/IPServices可查看设备上处于活动状态的IPv4和IPv6TCP/IP连接。
IPv4和IPv6的ActiveServiceList部分显示设备上处于活动状态的协议和服务。
思科RV130/RV130W边缘路由器管理指南 12 查看设备状态 查看无线统计信息
2 查看无线统计信息 选择Status>WirelessStatistics可查看设备无线功能的无线统计信息数据。
在RefreshRate字段中,选择希望用于显示最新统计信息的速率。
要以千字节(KB)为单位显示四舍五入后的字节数,请选中ShowSimplifiedStatisticData复选框并单击Save。
默认情况下,字节数据以字节为单位显示,其他数字数据以长整型显示。
要重置无线统计信息计数器,请单击ClearCount。
计数器会在设备重启时重置。
查看强制网络门户状态 选择Status>CaptivePortal可查看有关连接的强制网络门户用户的信息。
有关在设备上配置强制网络门户的详情,请参阅配置强制网络门户。
查看站点到站点IPsecVPN连接状态 选择Status>Site-to-SiteIPsecVPN可查看设备上活动站点到站点IPsecVPN策略的连接状态。
有关配置VPN策略的信息,请参阅配置基本站点到站点IPsecVPN。
要更改最新和实时连接状态的显示速率,请从RefreshRate下拉列表中选择刷新速率。
默认情况下,字节数据以字节为单位显示,其他数字数据以长整型显示。
要以千字节(KB)为单位显示四舍五入后的字节数,请选中ShowSimplifiedStatisticData框并单击Save。
要终止活动VPN连接,请单击Disconnect。
查看IPsecVPN服务器状态 选择Status>IPsecVPNServer可查看各IPsecVPN连接及连接持续时间的列表。
有关配置IPsecVPN连接的详情,请参阅配置IPsecVPN服务器。
思科RV130/RV130W边缘路由器管理指南 13 查看设备状态 查看PPTP服务器
2 查看PPTP服务器 选择Status>PPTPServer可查看各PPTPVPN连接、连接持续时间以及可以对此连接执行的操作的列表。
有关配置PPTPVPN连接的详情,请参阅配置PPTP。
查看日志 选择Status>ViewLogs。
单击RefreshLogs可显示最新日志条目。
要过滤日志或指定要显示的日志的严重性,请选中日志类型旁的框,然后单击Go。
请注意,将自动包含所选日志类型之上的所有日志类型,并且不能取消选择这些类型。
例如,选中Error复选框可自动包含紧急、警报和严重日志以及错误日志。
下面按照从高到低的顺序列出了事件的严重性级别: •Emergency-系统无法使用。
•Alert-需要采取措施。
•Critical-系统处于高危状态。
•Error-系统出错。
•Warning-系统已发出警告。
•Notification-系统能够正常工作,但系统已发出通知。
•Informational-设备信息。
•Debugging-提供关于事件的详情。
要删除日志窗口中的所有条目,请单击ClearLogs。
要将所有日志消息从设备保存到本地硬盘驱动器,请单击SaveLogs。
要指定每页显示的条目数,请从下拉菜单中选择数字。
要在日志页面之间移动,请使用页面导航按钮。
思科RV130/RV130W边缘路由器管理指南 14 查看设备状态 查看连接的设备
2 查看连接的设备 ConnectedDevices页面显示有关连接到您路由器的活动客户端设备的信息。
要查看连接的设备,请选择Status>ConnectedDevices。
要指定要显示的接口类型,请从Filter下拉菜单中选择值: •All-连接到路由器的所有设备。
•Wireless-通过无线接口连接的所有设备。
•Wired-通过路由器上的以太网端口连接的所有设备。
•WDS-连接到路由器的无线分布式系统(WDS)设备。
IPv4ARPTable显示来自响应设备地址解析协议(ARP)请求的其他路由器的信息。
如果某个设备未响应请求,则该设备将从列表中移除。
IPv6NDPTable显示连接到设备本地链路的所有IPv6邻居发现协议(NDP)设备。
查看端口统计信息 PortStatistics页面显示详细端口活动。
要查看端口统计信息,请选择Status>PortStatistics。
要定期刷新页面,请从RefreshRate下拉列表中选择刷新速率。
要以千字节(KB)为单位显示四舍五入后的字节数,请选中ShowSimplifiedStatisticData框并单击Save。
默认情况下,字节数据以字节为单位显示,其他数字数据以长整型显示。
要重置端口统计信息计数器,请单击ClearCount。
PortStatistics页面显示以下信息: InterfacePacketByteError 网络接口的名称。
已接收/发送的数据包数。
每秒接收/发送的信息字节数。
已接收/发送的数据包错误数。
思科RV130/RV130W边缘路由器管理指南 15 查看设备状态 查看移动网络状态
2 DroppedMulticastCollisions 已接收/发送但丢弃的数据包数。
通过此无线功能发送的组播数据包数。
此端口上发生的信号冲突数。
如果端口与连接至此端口的另一个路由器或计算机上的端口同时尝试发送数据,则会发生冲突。
查看移动网络状态 有关设备上配置的移动3G/4G网络和通信设备(装置)的移动网络统计信息。
要查看移动网络状态,请选择Status>MobileNetwork。
系统将显示以下信息: •Connection-连接至访客网络的设备。
•IPAddress-分配给USB设备的IP地址。
•Mask-USB设备的子网掩码。
•DefaultGateway-默认网关的IP地址。
•ConnectionUpTime-链路已运行的时间长度。
•CurrentSessionUsage-移动链路上所接收(Rx)和发射(Tx)的数据量。
•MonthlyUsage-每月下载的数据和带宽使用情况。
•Manufacturer-卡制造商名称。
•CardModel-卡型号。
•CardFirmware-卡固件版本。
•SIMStatus-用户标识模块(SIM)状态。
•IMS-与GSM、UMTS或LTE网络移动电话用户关联的唯一标识。
•Carrier-移动网络运营商。
•ServiceType-访问的服务类型。
•SignalStrength-无线移动网络信号的强度。
•CardStatus-数据卡的状态。
思科RV130/RV130W边缘路由器管理指南 16
3 配置网络 本章介绍如何在设备上配置网络设置。
•配置WAN设置,第17页•配置LAN设置,第28页•复制MAC地址,第36页•配置路由,第37页•配置动态DNS,第40页•配置IP模式,第41页•配置IPv6,第42页 配置WAN设置 可以通过WAN端口或USB端口上安装的无线调制解调器来建立互联网连接。
本节介绍如何配置WAN、移动网络以及故障切换和恢复。
配置有线WAN连接 根据您所拥有的互联网连接类型,IPv4网络WAN属性的配置会有所不同。
配置DHCP 如果您的互联网服务提供商(ISP)使用动态主机控制协议(DHCP)为您分配IP地址,您会在每次登录时收到动态生成的IP地址。
配置DHCPWAN设置的步骤: 步骤1选择Networking>WAN。
思科RV130/RV130W边缘路由器管理指南 17 配置网络 配置WAN设置
3 步骤2从ConnectionType下拉列表中,选择AutomaticConfigurationDHCP。
步骤3从DNSServerSource下拉列表中,选择以下方式之一设置DNS服务器地址: •如果已拥有ISP提供的DNS服务器地址,请选择UsetheseDNSServers,然后输入主地址和辅助地址。
•如果没有ISP提供的DNS服务器地址,请选择GetDynamicallyfromISP。
•要使用OpenDNS提供的DNS服务器(208.67.222.222、208.67.220.220)解析Web地址,请选择UseOpenDNS。
步骤4单击Save。
配置静态IP 如果ISP分配给您的是永久IP地址,请执行以下步骤来配置WAN设置: 步骤1选择Networking>WAN。
步骤2从ConnectionType下拉菜单中,选择StaticIP。
步骤3输入以下信息: IPAddressmaskDNSServerSource DefaultGateway步骤4单击Save。
WAN端口的IP地址。
WAN端口的子网掩码。
DNS服务器地址。
如果已拥有ISP提供的DNS服务器地址,请选择UsetheseDNSServers,然后在StaticDNS1和StaticDNS2字段中输入主地址和辅助地址。
要使用OpenDNS提供的DNS服务器(208.67.222.222、208.67.220.220)解析Web地址,请选择UseOpenDNS。
默认网关的IP地址。
思科RV130/RV130W边缘路由器管理指南 18 配置网络 配置WAN设置
3 配置PPPoE 配置基于以太网的点对点协议(PPPoE)设置的步骤: 步骤1选择Networking>WAN。
步骤2从ConnectionType下拉菜单中,选择PPPoE。
步骤3选择PPPoE简档,或单击ConfigureProfile创建新的简档。
步骤4在PPPoEProfiles页面上,输入以下信息(可能需要联系ISP,以获取PPPoE登录 信息): ProfileNameUsernamePasswordDNSServerSource PPPoE简档的唯一名称。
ISP分配的用户名。
ISP分配的密码。
DNS服务器地址。
如果已拥有ISP提供的DNS服务器地址,请选择UsetheseDNSServers,然后输入主地址和辅助地址。
如果没有,请选择GetDynamicallyfromISP。
要使用OpenDNS提供的DNS服务器(208.67.222.222、208.67.220.220)解析Web地址,请选择UseOpenDNS。
思科RV130/RV130W边缘路由器管理指南 19 配置网络 配置WAN设置
3 ConnectonDemandKeepAliveAuthenticationType 步骤5单击Save。
如果ISP根据您连接的时长收费,请选择此选项。
选择此选项时,只有存在流量时,才打开互联网连接。
如果连接处于空闲状态(即没有流量),则关闭连接。
如果单击ConnectonDemand,请在MaxIdleTime字段中输入关闭连接之前等待的分钟数。
选择此选项时,互联网连接始终打开。
在redialperiod字段中,输入设备在断开连接后尝试重新连接之前等待的秒数。
Auto-negotiation-服务器发送指明其安全算法设置的配置请求。
设备随后发送回与服务器所发送的安全类型一致的鉴权凭证。
PAP-点对点协议用于连接至ISP的密码鉴别协议(PAP)。
CHAP-询问握手鉴权协议(CHAP)要求客户端和服务器都知道安全密钥明文才能使用ISP服务。
MS-CHAP或MS-CHAPv2-用于访问ISP服务的Microsoft版本的CHAP。
配置PPTP 配置PPTP设置的步骤: 步骤1选择Networking>WAN。
步骤2从ConnectionType下拉菜单中,选择PPTP。
步骤3输入以下信息: IPAddressmaskDefaultGatewayPPTPServer WAN端口的IP地址。
WAN端口的子网掩码。
默认网关的IP地址。
点对点隧道协议服务器的IP地址。
思科RV130/RV130W边缘路由器管理指南 20 配置网络 配置WAN设置
3 UsernamePasswordConnectonDemand KeepAliveAuthenticationType ServiceNameMPPEEncryptionDNSServerSource ISP分配给您的用户名。
ISP分配给您的密码。
如果ISP根据您连接的时长收费,请选择此选项。
选择此选项时,只有存在流量时,才打开互联网连接。
如果连接处于空闲状态(即没有流量),则关闭连接。
如果单击ConnectonDemand,请在MaxIdleTime字段中输入关闭连接之前等待的分钟数。
选择此选项时,互联网连接始终打开。
在Redialperiod字段中,输入设备在断开连接后尝试重新连接之前等待的秒数。
选择鉴权类型: Auto-negotiation-服务器发送指明其安全算法设置的配置请求。
设备随后发送回服务器之前所发送的安全类型的鉴权凭证。
PAP-设备使用密码鉴别协议(PAP)连接至ISP。
CHAP-设备在连接至ISP时使用询问握手鉴权协议(PAP)。
MS-CHAP或MS-CHAPv2-设备在连接至ISP时使用Microsoft询问握手鉴权协议。
输入新PPTP服务的名称。
选中Enable复选框可为PPTP连接启用Microsoft点对点加密。
DNS服务器地址。
如果已拥有ISP提供的DNS服务器地址,请选择UsetheseDNSServers,然后在StaticDNS1和StaticDNS2字段中输入主地址和辅助地址。
要从ISP获取DNS服务器地址,请选择GetDynamicallyfromISP。
要使用OpenDNS提供的DNS服务器(208.67.222.222、208.67.220.220)解析Web地址,请选择UseOpenDNS。
步骤4(可选)要配置可选设置,请参阅配置可选设置。
思科RV130/RV130W边缘路由器管理指南 21 配置网络 配置WAN设置
3 步骤5单击Save。
配置L2TP 配置L2TP设置的步骤: 步骤1选择Networking>WAN。
步骤2从ConnectionType下拉菜单中,选择L2TP。
步骤3输入以下信息: IPAddressmaskDefaultGatewayL2TPServerVersion CookieLength VendorID VirtualCircuitID UsernamePasswordConnectonDemand WAN端口的IP地址。
WAN端口的子网掩码。
默认网关的IP地址。
L2TP服务器的IP地址。
要使用的L2TP版本。
如果选择版本
3,请输入供应商ID和虚拟电路ID。
L2TPv3数据包中用于识别L2TP会话的Cookie的大小。
L2TP的AVP编码格式中包含的供应商ID。
要在AVP中使用接受IETF属性值,请选择Standard。
要实施思科的L2TP扩展和专用属性值,请选择Cisco。
用于传输L2TP数据包的第2层电路的标识符。
如果选择Cisco作为L2TPv3的VendorID,则需要此信息。
输入ISP分配给您的用户名。
输入ISP分配给您的密码。
如果ISP根据您连接的时长收费,请选择此选项。
选择此选项时,只有存在流量时,才打开互联网连接。
如果连接处于空闲状态(即没有流量),则关闭连接。
如果单击ConnectonDemand,请在MaxIdleTime字段中输入关闭连接之前等待的分钟数。
思科RV130/RV130W边缘路由器管理指南 22 配置网络 配置WAN设置
3 KeepAliveAuthenticationType ServiceNameMPPEEncryptionDNSServerSource 步骤4单击Save。
选择此选项时,互联网连接始终打开。
在redialperiod字段中,输入设备在断开连接后尝试重新连接之前等待的秒数。
Auto-negotiation-服务器发送指明其安全算法设置的配置请求。
设备随后发送回与服务器所发送的安全类型一致的鉴权凭证。
PAP-使用密码鉴别协议(PAP)连接至ISP。
CHAP-使用询问握手鉴权协议(PAP)连接至ISP。
MS-CHAP或MS-CHAPv2-使用Microsoft询问握手鉴权协议连接至ISP。
输入新L2TP服务的名称。
选中Enable可为L2TP连接启用Microsoft点对点加密。
DNS服务器地址。
如果已拥有ISP提供的DNS服务器地址,请选择UsetheseDNSServers,然后在PrimaryDNSServer和SecondaryDNSServer字段中输入主地址和辅助地址。
要从ISP获取DNS服务器地址,请选择GetDynamicallyfromISP。
要使用OpenDNS提供的DNS服务器(208.67.222.222、208.67.220.220)解析Web地址,请选择UseOpenDNS。
配置可选设置 配置可选设置的步骤:步骤1在OptionalSettings部分中,配置以下设置: 思科RV130/RV130W边缘路由器管理指南 23 配置网络 配置WAN设置
3 MTU SizeUntaggedVLAN UntaggedVLANIDAPManagementVLAN步骤2单击Save。
最大传输单位(MTU)是可在网络中发送的最大数据包的大小。
除非ISP要求更改,否则建议选择Auto。
默认MTU大小为1500字节。
如果ISP要求自定义MTU设置,请选择Manual并输入MTU大小。
自定义MTU大小。
以太网网络的MTU标准值通常为1500字节。
对于PPPoE连接,该值为1492字节。
选中此框可启用VLAN标记功能。
启用(默认设置)时,所有流量都使用VLANID进行标记。
默认情况下,设备上的所有流量都使用VLAN1(默认的非标记VLAN)。
所有流量都是不加标记的,直至您禁用非标记VLAN、更改非标记流量VLANID或更改VLANID。
非标记VLAN的ID为介于1与4094之间的数字。
默认值为
1。
在此字段中指定的VLAN上的流量在转发到网络时,不使用VLANID进行标记。
VLAN1是默认的非标记VLAN。
与用于访问配置为接入点的设备的IP地址关联的VLAN。
如果创建其他VLAN,为了安全起见,请选择与在网络中其他交换机上配置的VLAN对应的值。
可能需要更改管理VLAN以限制对设备管理器的访问。
思科RV130/RV130W边缘路由器管理指南 24 配置网络 配置移动网络
3 配置移动网络 选择Networking>WAN>MobileNetwork可将设备配置为连接至移动宽带USB调制解调器(连接至其USB接口)。
配置全局移动网络设置 为受支持的USB设备配置全局设置的步骤: 步骤1连接USB调制解调器。
如果支持调制解调器,则系统会自动检测它并将其显示在MobileNetwork页面上。
步骤2选择Auto或Manual连接模式。
仅当连接模式设置为Auto时,以太网连接恢复才起作用。
•要使调制解调器能够自动建立连接,请选择Auto模式。
如果选择Auto,请设置ConnectonDemand时间或选择KeepAlive。
在互联网连接非活动时间达到MaxIdleTime字段中指定的时间段之后,ConnectonDemand会终止连接。
如果互联网连接由于非活动而被终止,则调制解调器会在用户尝试访问互联网时自动重新建立连接。
在MaxIdleTime字段中,输入互联网连接终止前空闲的分钟数。
选择KeepAlive可使连接始终保持活动状态。
•要手动连接或断开调制解调器连接,请选择Manual模式。
设备显示当前调制解调器连接状态,包括正在初始化、正在连接、正在断开连接或已断开连接。
步骤3确认CardStatus字段显示您的移动卡为Connected。
手动配置移动网络设置 要在MobileNetworkSetup区域中更改移动网络参数,请单击Manual单选按钮。
设备会自动检测支持的调制解调器并列出相应的配置参数。
要覆盖全局参数,请选择Manual。
步骤1在以下字段中输入信息: 字段essPointName(APN) DialNumber 说明 移动设备连接至的互联网网络。
输入移动网络服务提供商提供的接入点名称。
如果不知道接入点的名称,请与服务提供商联系。
移动网络服务提供商提供的用于连接互联网的拨号号码。
思科RV130/RV130W边缘路由器管理指南 25 配置网络 配置移动网络
3 字段UserNamePasswordSIMCheckSIMPIN ServerNameAuthentication ServiceType LTEService 说明 移动网络服务提供商提供的用户名和密码。
启用或禁用SIM卡检查。
与SIM卡关联的PIN码。
只有GSMSIM卡才显示此字段。
可以在Auto或Manual模式下修改SIMPIN。
用于互联网连接的服务器的名称(如果服务器提供商提供)。
服务提供商使用的鉴权。
可以通过从下拉列表中选择鉴权类型来更改该值。
默认为Auto。
如果不知道要使用的鉴权类型,请选择Auto。
最常用的移动数据服务连接类型(基于区域服务信号)。
如果您的位置仅支持一种移动数据服务,则可以限制首选选项,从而减少连接设置时间。
第一选择始终搜索HSPDA/3G/UMTS服务,并在GPRS可用时自动切换为GPRS。
长期演进(LTE)服务设置。
Auto基于区域服务信号选择信号。
4Gonly仅搜索4G信号。
3Gonly仅搜索3G信号。
步骤2单击Save保存设置。
带宽上限设置 设备会监控移动网络链路上的数据活动,并在达到给定阈值时发出通知。
启用或禁用BandwidthCapTracking并设置上限的步骤: 步骤1单击Enabled或Disabled。
步骤2从下拉列表中选择MonthlyRenewalDate以指示每月重置带宽上限的日期。
步骤3在MonthlyBandwidthCap字段中,以兆字节为单位输入在设备执行操作(如向管 理员发送电子邮件)之前允许通过的最大数据量。
思科RV130/RV130W边缘路由器管理指南 26 配置网络 配置移动网络
3 电子邮件设置 当达到带宽数据上限时,可以向管理员发送电子邮件消息。
要设置目标电子邮件地址,请参阅配置日志电子邮件。
通过选中框来启用之后,将在以下时间发送电子邮件: •移动网络使用率超过给定百分比。
•设备故障切换到备份路径并恢复。
•移动网络链路处于活动状态期间,每经过指定间隔时。
设置故障切换和恢复 虽然以太网和移动网络链路都可用,但是一次只能使用一个连接建立WAN链路。
当某个WAN连接中断时,设备会尝试在其他接口上建立连接。
此功能称为故障切换。
当主WAN连接恢复后,连接将恢复至原始路径并结束备份连接。
此功能称为恢复。
步骤1选择Networking>WAN>Failover&Recovery以显示Failover&Recovery窗口。
步骤2选择EnableFailoverto3GWAN以启用移动网络链路并将其设置为从以太网链路进行故障切换。
当以太网WAN链路处于不活动状态时,设备尝试在USB接口上启用移动网络链路。
(如果故障切换未启用,则移动网络链路始终禁用。
) 步骤3选择EnableRecoverybacktoWAN以使链路可以返回为以太网链路,从而中断移动网络链路。
WAN>MobileNetwork连接模式必须设置为Auto才能使用以太网WAN连接恢复。
步骤
4 在FailoverCheckInterval字段中,输入设备必须尝试检测移动网络链路上的物理连接或是否存在流量的频率(以秒为单位)。
如果链路处于空闲状态,则设备按此间隔尝试对目标执行Ping命令。
如果没有回复Ping数据包,则设备认为链路中断并重试以太网WAN接口。
步骤
5 在RecoveryCheckInterval字段中,输入设备必须尝试检测以太网WAN链路上的物理连接或是否存在流量的频率(以秒为单位)。
如果链路处于空闲状态,则设备按此间隔尝试对目标执行Ping命令。
如果回复了Ping数据包,则设备认为链路处于连接状态,然后尝试禁用移动网络链路并启用以太网WAN接口。
步骤6单击Switchbacktoimmediatelywhenisavailable,或单击Switchbacktoinaspecifictimerange,然后输入范围的开始和结束时间。
步骤7在ConnectionValidationSite字段中,选择要从中执行故障切换验证的站点。
使用下一个步跳网关(默认情况下设备会对默认网关执行Ping命令),或选择自定义站点并输入站点IPv4或IPv6地址。
步骤8单击Save保存设置。
思科RV130/RV130W边缘路由器管理指南 27 配置网络 配置LAN设置
3 WAN接口表显示与互联网连接的以太网WAN和移动网络链路的状态。
单击Status超链接以查看端口详情。
配置LAN设置 默认的DHCP和TCP/IP设置适用于大多数应用。
如果希望网络上的另一个PC作为DHCP服务器,或如果要手动配置所有设备的网络设置,请禁用DHCP。
您还可以使用Windows互联网命名服务(WINS)服务器,而不是使用将互联网域名(例如)映射到IP地址的DNS服务器。
WINS服务器与DNS服务器等效,只是使用NetBIOS协议解析主机名。
设备在其发送给DHCP客户端的DHCP配置中包含WINS服务器的IP地址。
如果您的设备连接至调制解调器,或连接至在相同子网(192.168.1.x)上配置了网络的另一个设备,它会自动将LAN子网更改为基于10.x.x.x的随机子网,避免与路由器WAN端的子网冲突。
更改设备管理IP地址 设备的本地设备管理IP地址是静态地址,默认为192.168.1.1。
更改本地设备管理IP地址的步骤: 步骤1选择Networking>LAN>LANConfiguration。
步骤2在IPv4部分中,输入以下信息: VLANLocalIPAddressmask 步骤3单击Save。
VLAN编号。
设备的本地LANIP地址。
确保此IP地址未被其他设备使用。
本地IP地址的子网掩码。
默认子网掩码为255.255.255.0。
思科RV130/RV130W边缘路由器管理指南 28 配置网络 配置LAN设置
3 更改设备的IP地址之后,您的PC将无法再显示设备管理器。
要显示设备管理器,请执行以下操作之一: •如果在设备上配置DHCP,请释放并更新PCIP地址。
•手动给PC分配IP地址。
分配的地址必须与设备位于同一子网。
例如,如果将 设备IP地址更改为10.0.0.1,分配的PCIP地址必须在10.0.0.2到10.0.0.255范围内。
打开新浏览器窗口,然后输入要重新连接的设备的新IP地址。
配置DHCP服务器 默认情况下,本设备用作无线LAN(WLAN)或有线LAN上的主机的DHCP服务器。
它分配IP地址,并提供DNS服务器地址。
启用DHCP时,设备从IPv4地址池中为LAN上的其他网络设备分配IP地址。
分配之前,设备会先对每个地址进行测试,以避免LAN上出现重复地址。
默认IP地址池为192.168.1.100到192.168.1.149。
要在网络设备上设置静态IP地址,请使用该池之外的IP地址。
例如,假设DHCP池设置为默认参数,IP地址池中从192.168.1.2到192.168.1.99的静态IP地址可以用于避免与DHCPIP地址池冲突。
配置DHCP设置的步骤: 步骤1选择Networking>LAN>LANConfiguration。
步骤2(可选)从下拉列表中选择要编辑的VLAN。
步骤3在DHCPServer字段中,选择以下选项之一: EnableDisable DHCPRelay 允许设备充当网络中的DHCP服务器。
如果您想要手动配置所有网络设备的IP地址,请在设备上禁用DHCP。
将另一个DHCP服务器分配的IP地址中继到网络设备。
思科RV130/RV130W边缘路由器管理指南 29 配置网络 配置LAN设置
3 如果启用了设备DHCP服务器,请输入以下信息: StartingIPAddress MaximumNumberofDHCPUsersIPAddressRangeClientLeasetimeStaticDNS1StaticDNS2StaticDNS3WINS IP地址池中的第一个地址。
加入LAN的任何DHCP客户端都将分配到一个此范围内的IP地址。
最大DHCP客户端数。
(只读)对DHCP客户端可用的IP地址范围。
IP地址租用给客户端的持续时间(以小时为单位)。
主DNS服务器的IP地址。
辅助DNS服务器的IP地址。
三级DNS服务器的IP地址。
主WINS服务器的IP地址。
步骤4如果选择了DHCPRelay,请在RemoteDHCPServer字段中输入中继网关的地址。
中继网关会将DHCP消息传输给网络设备,包括其他子网上的设备。
步骤5单击Save。
配置VLAN 虚拟LAN(VLAN)是网络中按功能或其他共享特性联合起来的一组端点。
与通常基于地理特性的LAN不同,VLAN可以不按设备或用户的物理位置对端点进行分组。
设备有一个不能删除的默认VLAN(VLAN1)。
您最多可在设备上另外创建4个VLAN。
创建VLAN的步骤: 步骤1选择Networking>LAN>VLANMembership。
步骤2单击AddRow。
思科RV130/RV130W边缘路由器管理指南 30 配置网络 配置LAN设置
3 步骤3输入以下信息: VLANID DescriptionPort1Port2Port3Port4 步骤4单击Save。
要分配给VLAN成员关系中的端点的数字形式的VLANID。
输入的数字必须在3到4094之间。
VLANID1保留为默认VLAN,用于接口上接收到的非标记帧。
标识VLAN的说明。
可以将设备上的VLAN关联到设备上的LAN端口。
默认情况下,所有LAN端口都属于VLAN1。
您可以编辑这些端口,以将它们与其他VLAN关联。
为每个端口选择传出帧类型: Untagged-接口为VLAN的非标记成员。
VLAN帧以不带标记的方式发送到端口VLAN。
Tagged-端口是VLAN的标记成员。
VLAN帧以带标记的方式发送到端口VLAN。
Excluded-端口当前不是VLAN的成员。
这是首次创建VLAN时所有端口的默认选项。
要编辑VLAN的设置,请选择VLAN并单击Edit。
要删除所选VLAN,请单击Delete。
单击Save应用更改。
配置静态DHCP 可以配置路由器,以将特定的IP地址分配给具有特定MAC地址的客户端设备。
配置静态DHCP的步骤: 步骤1选择Networking>LAN>StaticDHCP。
步骤2从VLAN下拉菜单中选择VLAN编号。
步骤3单击AddRow。
步骤4输入以下信息: 思科RV130/RV130W边缘路由器管理指南 31 配置网络 配置LAN设置
3 DescriptionIPAddress MACAddress 客户端说明。
要分配给客户端设备的IP地址。
分配的IP地址应在DHCP地址池之外。
静态DHCP分配意味着每当客户端设备连接至网络时,DHCP服务器都会为一个已定义的MAC地址分配同一个IP地址。
当使用相应MAC地址的客户端设备请求IP地址时,DHCP服务器会为其分配保留的IP地址。
客户端设备的MAC地址。
MAC地址的格式是XX:XX:XX:XX:XX:XX,其中X是从0到9(包含0和9)的数字或介于A与F(包含A和F)的字母。
要编辑静态DHCP客户端的设置,请选择客户端并单击Edit。
要删除所选DHCP客户端,请单击Delete。
单击Save应用更改。
查看租用DHCP的客户端 可以查看网路上的端点(通过主机名、IP地址或MAC地址进行标识)列表,并查看由DHCP服务器分配给这些端点的IP地址。
还会显示端点的VLAN。
要查看DHCP客户端,请选择Networking>LAN>DHCPLeasedClient。
对于设备上定义的每个VLAN,会以表格的形式显示与相应VLAN关联的客户端列表。
将静态IP地址分配给连接的设备之一的步骤: 步骤1在连接的设备对应行中,选中AddtoStaticDHCP。
步骤2单击Save。
设备上的DHCP服务器会始终分配设备请求IP地址时显示的IP地址。
思科RV130/RV130W边缘路由器管理指南 32 配置网络 配置LAN设置
3 配置DMZ主机 设备支持非军事区(DMZ)。
DMZ是一个子网,向公众开放但位于防火墙后面。
可以使用DMZ将传输到WAN端口IP地址的数据包重定向到LAN中特定IP地址。
建议将必须向WAN公开的主机(例如Web或电子邮件服务器)置于DMZ网络中。
您可以将防火墙规则配置为允许从LAN或WAN访问DMZ中的特定服务和端口。
倘若DMZ节点遭到攻击,LAN不一定会受到攻击。
必须为指定为DMZ主机的端点配置一个固定(静态)IP地址。
向DMZ主机分配的IP地址应处于与设备LANIP地址相同的子网中,但是该地址不能与分配给此网关LAN接口的IP地址相同。
配置DMZ的步骤: 步骤1选择Networking>LAN>DMZHost。
步骤2选中Enable以在网络上启用DMZ。
步骤3从VLAN下拉菜单中选择启用了DMZ的VLAN的ID。
步骤4在HostIPAddress字段中,输入DMZ主机的IP地址。
DMZ主机是接收重定向的数据包的端点。
步骤5单击Save。
配置RSTP 快速生成树协议(RSTP)是一种网络协议,可避免网络中的循环并动态重新配置应转发帧的物理链路。
配置快速生成树协议(RTSP)的步骤: 步骤1选择Networking>LAN>RSTP。
思科RV130/RV130W边缘路由器管理指南 33 配置网络 配置LAN设置
3 步骤2输入以下信息: SystemPriority HelloTimeMaxAgeForwardDelayForceVersion 从下拉菜单中选择系统优先级。
系统优先级可选范围为0至61440(增量为4096)。
有效值有0、4096、8192、12288、16384、20480、24576、28672、32768、40960、45056、49152、53248、57344和61440。
系统优先级越低,设备便更可能成为生成树中的根。
默认值为327688。
问候时间是生成树的根在发送问候消息之前等待的时间段。
输入1到10之间的数字。
默认值为
2。
最长时间是路由器等待接收问候消息的时间段。
如果达到最大时间,路由器会尝试更改生成树。
输入6到40之间的数字。
默认值为20。
转发延迟是接口从阻塞变为转发状态之间的间隔。
输入4到30之间的数字。
默认值为15。
选择要使用的默认协议版本。
选择Normal(使用RSTP)或Compatible(与旧STP兼容)。
默认值为Normal。
步骤3在SettingTable中,配置以下设置: ProtocolEnableEdgePathCost步骤4单击Save。
选中可在关联端口上启用RSTP。
RSTP在默认情况下为禁用状态。
选中可指定关联端口为边缘端口(终端站)。
取消选中可指定关联端口为指向其他STP设备的链路(网桥)。
边缘端口在默认情况下为启用状态。
为指定端口输入RSTP路径成本。
默认值为0(设备自动确定路径值)。
也可以输入2到200000000之间的数字。
思科RV130/RV130W边缘路由器管理指南 34 配置网络 配置LAN设置
3 端口管理 可以配置设备LAN端口的速度和流量控制设置。
配置端口速度和流量控制的步骤: 步骤1选择Networking>PortManagement。
步骤2配置以下信息: PortLinkMode JumboFrameFlowControl步骤3单击Save。
端口号。
端口速度。
如果没有设备连接至端口,则此字段显示Down。
从下拉菜单中选择以下端口速度之一: •AutoNegotiation-设备和连接的设备选择公用速度。
•10MbpsHalf-两个方向都为10Mbps,但一次只能在一个方向上传输。
•10MbpsFull-两个方向上同时为10Mbps。
•100MbpsHalf-个方向都为100Mbps,但一次只能在一个方向上传输。
•100MbpsFull-两个方向上同时为100Mbps。
选中可在设备上启用巨型帧并在LAN上发送帧(每帧最多包含9,000字节数据)。
标准以太网帧包含1,500字节数据。
选中可启用此端口的流量控制。
流量控制是管理两个节点之间数据传输速率,以防止较快发送者速度超过较慢接收者的过程。
它为接收者提供了一种控制传输速度的机制,避免接收节点从传输节点接收到过量数据。
思科RV130/RV130W边缘路由器管理指南 35 配置网络 复制MAC地址
3 配置链路聚合 使用LinkAggregation页面可将多个以太网链路分组为单个逻辑信道。
链路聚合组可增加累积带宽而无需硬件升级,从而提高了设备的成本效益,并可在出现单个端口或电缆故障时促进实现简单重新路由。
向链路聚合组分配端口的步骤: 步骤1选择Networking>LAN>LinkAggregation。
PortStatus部分显示与设备上每个端口关联的模式以及状态。
步骤2在LinkAggregationSettingTable部分中,选中各个端口对应的复选框以将其包含在组中。
步骤3单击Save。
复制MAC地址 有时,可能需要将设备WAN端口的MAC地址设置为与您的PC或其他MAC地址相同的MAC地址。
这称为MAC地址复制。
例如,一些ISP会在首次安装服务时注册您的计算机卡的MAC地址。
将路由器置于有线调制解调器或DSL调制解调器之后时,ISP无法识别来自设备WAN端口的MAC地址。
在这种情况下,要将设备配置为可被ISP识别,需要将WAN端口的MAC地址复制为与计算机MAC地址相同。
配置MAC地址复制的步骤: 步骤1选择Networking>MACAddressClone。
步骤2在MACAddressClone字段中,选中Enable。
步骤3要设置设备WAN端口的MAC地址,请执行以下操作之一: •要将WAN端口的MAC地址设置为PCMAC地址,请单击CloneMyPC'sMAC。
•要指定另一个MAC地址,请在MACAddress字段中输入。
步骤4单击Save。
思科RV130/RV130W边缘路由器管理指南 36 配置网络 配置路由
3 配置路由 使用Routing页面可为设备配置操作模式和其他路由选项。
配置操作模式 配置操作模式的步骤: 步骤1选择Networking>Routing。
步骤2在OperatingMode字段中,选择以下选项之一: GatewayRouter 步骤3单击Save。
用于将设备作为网关使用。
(推荐) 如果设备要同时用于承载互联网网络连接并执行路由功能,请保留此默认设置。
(仅限高级用户)用于将设备作为路由器使用。
如果设备所在的网络中存在其他路由器,请选择此选项。
启用Router模式会在设备上禁用NAT(网络地址转换)。
配置动态路由 路由信息协议(RIP)是内部网络中常用的内部网关协议(IGP)。
路由器通过此协议可彼此自动交换路由信息,并动态调整路由表以适应网络中的变化。
设备通过动态路由(RIP)可以自动调整,以适应网络布局的物理更改,并与其他路由器交换路由表。
路由器会以源与目标之间的步跳数最少为原则,确定网络数据包的路由。
注默认情况下,RIP在设备上为禁用状态。
思科RV130/RV130W边缘路由器管理指南 37 配置网络 配置路由
3 配置动态路由的步骤: 步骤1选择Networking>Routing。
步骤2配置以下设置: RIPRIPSendPacketVersion RIPRecvPacketVersion 选中Enable可启用RIP。
设备将可以使用RIP来路由流量。
选择RIP发送数据包版本(RIPv1或RIPv2)。
用于向网络中其他路由器发送路由更新的RIP的版本会取决于其他路由器的配置设置。
RIPv2向后兼容RIPv1。
选择RIP接收数据包版本。
步骤3单击Save。
配置VLAN间路由 要允许一个VLAN的终端站与另一个VLAN的终端站通信,请选中InterVLANRoutingEnable复选框。
配置静态路由 您可以配置静态路由,以将数据包定向到目标网络。
静态路由是数据包为到达特定主机或网络而必须经过的预定路径。
一些ISP会要求使用静态路由而非动态路由协议来构建您的路由表。
静态路由与对等路由器交换路由信息时,不占用CPU资源。
您也可以使用静态路由来访问不支持动态路由协议的对等路由器。
静态路由可同动态路由一起使用。
本设备最多可支持30个静态路由。
请注意,不要在您的网络中引入路由环路。
思科RV130/RV130W边缘路由器管理指南 38 配置网络 查看路由表
3 配置静态路由的步骤: 步骤1选择Networking>Routing。
步骤2从RouteEntries下拉菜单中选择路由条目。
要删除路由条目,请单击DeleteThisEntry。
步骤3为所选路由条目配置以下设置: EnterRouteNameDestinationLANIPMaskGatewayInterface 步骤4单击Save。
输入路由的名称。
输入目标LAN的IP地址。
输入目标网络的子网掩码。
输入用于此路由的网关的IP地址。
选择此路由将数据包发送到的接口: •LAN&Wireless-单击此按钮可将数据包定向到LAN和无线网络。
•(WAN)-单击此按钮可将数据包定向到互联网(WAN)。
查看路由表 路由表包含有关其直接关联网络的拓扑的信息。
要查看网络上的路由信息,请选择Networking>RoutingTable并选择以下选项之一: •ShowIPv4RoutingTable-路由表显示时包含在Networking>Routing页面上配置的字段。
•ShowIPv6RoutingTable-路由表显示时包含在Networking>IPv6页面上配置的字段。
思科RV130/RV130W边缘路由器管理指南 39 配置网络 配置动态DNS
3 配置动态DNS 动态DNS(DDNS)是一种互联网服务,可支持使用互联网域名来定位具有不同公共IP地址的路由器。
要使用DDNS,必须通过DDNS提供商(如、、或)设置帐户。
路由器将WANIP地址的变化通知给动态DNS服务器,从而可以使用域名访问网络上的任何公共服务。
配置DDNS的步骤: 步骤1选择Networking>DynamicDNS。
步骤2从下拉菜单中选择UpdateInterval。
步骤3DDNSServiceTable部分列出可在设备上启用的DDNS服务。
步骤4选中要启用的服务的复选框,然后单击Edit。
步骤5选中服务的Enable复选框。
步骤6配置以下信息: Username/E-mailAddressPasswordHost/DomainNameIPAddressStatus DDNS帐户的用户名或用于创建DDNS帐户的电子邮件地址。
DDNS帐户的密码。
DDNS服务器的主机名或用于访问网络的域的名称 (只读)设备的互联网IP地址。
(只读)指示DDNS更新已成功完成或发送到DDNS服务器的帐户更新信息失败。
步骤7单击TestConfiguration以测试DDNS配置。
步骤8单击Save。
思科RV130/RV130W边缘路由器管理指南 40 配置网络 配置IP模式
3 配置IP模式 针对IPv4和IPv6网络,可以配置广域网配置属性。
您可以在这些页面中输入有关互联网连接类型的信息以及其他参数。
选择IP模式的步骤: 步骤1选择Networking>IPMode。
步骤2从IPMode下拉菜单中选择以下选项之一: LAN:IPv4,WAN:IPv4LAN:IPv6,WAN:IPv4 LAN:IPv6,WAN:IPv6LAN:IPv4+IPv6,WAN:IPv4LAN:IPv4+IPV6,WAN:IPv4+IPv6LAN:IPv4,WAN:IPv6 用于在LAN和WAN端口上使用IPv4。
用于在LAN端口上使用IPv6,并在WAN端口上使用IPv4。
用于在LAN和WAN端口上使用IPv6。
用于在LAN端口上使用IPv4和IPv6,在WAN端口上使用IPv4。
用于在LAN和WAN端口上使用IPv4和IPv6。
用于在LAN端口上使用IPv4,在WAN端口上使用IPv6。
步骤3(可选)如果使用了6to4隧道(可支持在IPv4网络上传输IPv6数据包),请执行以下操作: a.单击ShowStatic6to4DNSEntry。
b.在Domain和IP字段中,输入最多五个域到IP的映射。
当站点或最终用户要使用现有IPv4网络连接至IPv6互联网时,通常会使用6to4隧道功能。
步骤4单击Save。
思科RV130/RV130W边缘路由器管理指南 41 配置网络 配置IPv6
3 配置IPv6 互联网协议版本6(IPv6)是用于接替互联网协议版本4(IPv4)的互联网协议(IP)版本。
请根据您所拥有的互联网连接类型来配置IPv6网络的WAN属性。
配置IPV6WAN连接 您可以对配置进行配置,使其作为此WAN的ISP的DHCPv6客户端或使用ISP提供的静态IPv6地址。
要在设备上配置IPv6WAN设置,必须先将IP模式设置为以下模式之一: •LAN:IPv6,WAN:IPv6•LAN:IPv4+IPv6,WAN:IPv4•LAN:IPv4+IPv6,WAN:IPv4+IPv6有关如何设置IP模式的说明,请参阅配置IP模式。
配置SLAAC请将设备配置为使用无状态地址自动配置(SLAAC)进行IPv6客户端地址分配。
使用SLAAC的步骤: 步骤1选择Networking>IPv6>IPv6WANConfiguration。
步骤2在WANConnectionType字段中,选择SLAAC。
对于无状态DHCP,ISP无需提 供DHCPv6服务器。
取而代之的是,源自设备的ICMPv6发现消息将被用于执行自动配置。
步骤3单击Save。
配置DHCPv6如果ISP为您提供动态分配的地址,请将设备配置为DHCPv6客户端。
将设备配置为DHCPv6客户端的步骤: 步骤1选择Networking>IPv6>IPv6WANConfiguration。
步骤2在WANConnectionType字段中,选择AutomaticConfiguration-DHCPv6。
网 关连接至ISP的DHCPv6服务器以获取租用地址。
思科RV130/RV130W边缘路由器管理指南 42 配置网络 配置IPv6
3 步骤3要自动将前缀分配给设备(DHCP客户端),请选择PrefixDelegationEnable单选按钮。
步骤4单击Save。
配置静态IPv6WAN地址如果ISP为您分配固定地址用于访问WAN,请将设备配置为使用静态IPv6地址。
配置静态IPv6WAN地址的步骤: 步骤1选择Networking>IPv6>IPv6WANConfiguration。
步骤2在WANConnectionType菜单,选择StaticIPv6。
步骤3输入以下信息: IPv6AddressIPv6PrefixLength DefaultIPv6GatewayStaticDNS1StaticDNS2步骤4单击Save。
WAN端口的IPv6地址。
IPv6前缀长度(通常由ISP定义)。
IPv6网络(子网)由地址的初始位(称为前缀)标识。
子网中的所有主机都具有相同前缀。
例如,在IPv6地址2001:0DB8:AC10:FE01::中,前缀为2001。
默认网关的IPv6地址。
此地址通常是ISP端服务器的IP地址。
主IPv6DNS服务器的IP地址。
辅助IPv6DNS服务器的IP地址。
配置PPPoEIPv6设置 您可以分别或同时运行IPv4PPPoE、IPv6PPPoE。
如果同时运行,则IPv6WANPPPoE设置必须与IPv4WANPPPoE设置匹配。
如果不匹配,则会显示一条消息,询问您是否要将IPv6协议设置为与IPv4协议匹配。
请参阅配置PPPoE。
思科RV130/RV130W边缘路由器管理指南 43 配置网络 配置IPv6
3 配置PPPoEIPv6设置的步骤: 步骤1选择Networking>IPv6>IPv6WANConfiguration。
步骤2在WANConnectionType字段中,选择PPPoEIPv6。
步骤3输入以下信息(可能需要联系ISP以获取PPPoE登录信息): UsernamePasswordConnectonDemand KeepAliveAuthenticationType ServiceNameMTU Size ISP分配给您的用户名。
ISP分配给您的密码。
如果ISP根据您连接的时长收费,请选择此单选按钮。
如果选择,仅当存在流量时,互联网连接才处于活动状态。
如果连接处于空闲状态(即没有流量),则关闭连接。
在MaxIdleTime字段中,输入从在链路上检测不到流量到关闭链路所需经过的分钟数。
通过端口发送“保持活动”消息,使WAN链路保持连接。
在redialperiod字段中,输入设备在断开连接后尝试重新连接之前等待的秒数。
鉴权类型: Auto-negotiation-服务器发送指明其安全算法设置的配置请求。
设备使用鉴权凭证进行回复,其中包含服务器所发送的安全类型。
PAP-使用密码鉴别协议(PAP)连接至ISP。
CHAP-使用询问握手鉴权协议(PAP)连接至ISP。
MS-CHAP或MS-CHAPv2-使用Microsoft询问握手鉴权协议连接至ISP。
登录PPPoE服务器时,ISP可能要求提供的名称。
最大传输单位是可在网络中发送的最大数据包的大小。
除非ISP要求更改,否则建议选择Auto。
以太网网络的标准MTU值为1500字节。
对于PPPoE连接,该值为1492字节。
如果ISP要求自定义MTU设置,请选择Manual。
MTU大小。
如果ISP要求自定义MTU设置,请输入MTU大小。
思科RV130/RV130W边缘路由器管理指南 44 配置网络 配置IPv6
3 AddressMode IPv6PrefixLengthDefaultIPv6GatewayStaticDNS1StaticDNS2步骤4单击Save。
动态或静态地址模式。
如果选择静态模式,请在下一个字段中输入IPv6地址。
IPv6前缀长度。
默认IPv6网关的IP地址。
主DNS服务器的IP地址。
辅助DNS服务器的IP地址。
配置IPv6LAN连接 在IPv6模式下,LANDHCP服务器默认情况下为启用状态(与IPv4模式类似)。
DHCPv6服务器分配来自配置的地址池中的IPv6地址,这些地址使用分配给LAN的IPv6前缀长度。
要在设备上配置IPv6LAN设置,必须先将IP模式设置为以下模式之一: •LAN:IPv6,WAN:IPv4•LAN:IPv6,WAN:IPv6•LAN:IPv4+IPv6,WAN:IPv4•LAN:IPv4+IPv6,WAN:IPv4+IPv6有关如何设置IP模式的详情,请参阅配置IP模式。
配置IPv6LAN设置的步骤: 步骤1选择Networking>IPv6>IPv6LANConfiguration。
步骤2输入以下信息以配置IPv6LAN地址: 思科RV130/RV130W边缘路由器管理指南 45 配置网络 配置IPv6
3 IPv6AddressIPv6PrefixLength 输入设备的IPv6地址。
网关的默认IPv6地址为fec0::1(或FEC0:0000:0000:0000:0000:0000:0000:0001)。
可以基于网络要求更改此128位IPv6地址。
输入IPv6前缀长度。
IPv6网络(子网)由地址的初始位(称为前缀)标识。
默认情况下,前缀长度为64位。
对于IPv6地址,网络中的所有主机都具有相同的初始位;在此字段中输入网络地址中公共初始位的位数。
步骤3单击Save或继续配置IPv6DHCPLAN设置。
步骤4输入以下信息以配置DHCPv6设置: DHCPStatus DomainNameServerPreference StaticDNS1StaticDNS2ClientLeaseTime 选中可启用DHCPv6服务器。
启用时,设备分配指定范围内的IP地址,并向请求DHCP地址的任何LAN端点提供其他信息。
(可选)DHCPv6服务器的域名。
此DHCP服务器的服务器偏好级别。
发送到LAN主机的具有最高服务器偏好值的DHCP通告消息优先于其他DHCP服务器通告消息。
默认值为255。
ISPIPv6网络上主DNS服务器的IPv6地址。
ISPIPv6网络上辅助DNS服务器的IPv6地址。
向LAN上的端点租用IPv6的客户端租用持续时间(以秒为单位)。
步骤5选择Networking>IPv6>IPv6LANConfiguration。
步骤6在IPv6AddressPoolsTable中,单击AddRow。
思科RV130/RV130W边缘路由器管理指南 46 配置网络 配置IPv6
3 步骤7输入以下信息: StartAddressEndAddressIPv6PrefixLength 步骤8单击Save。
池的起始IPv6地址。
池的结束IPv6地址。
确定网络地址中公共初始位的位数的前缀长度。
要编辑池的设置,请选择池并单击Edit。
要删除所选池,请单击Delete。
单击Save应用更改。
配置IPv6静态路由 可以配置静态路由以将数据包定向到目标网络。
静态路由是数据包为到达特定主机或网络而必须经过的预定路径。
一些ISP需要静态路由而非使用动态路由协议来构建您的路由表。
静态路由与对等路由器交换路由信息时,不占用CPU资源。
您也可以使用静态路由来访问不支持动态路由协议的对等路由器。
静态路由可同动态路由一起使用。
请注意,不要在您的网络中引入路由环路。
创建静态路由的步骤: 步骤1选择Networking>IPv6>IPv6StaticRouting。
步骤2在静态路由列表中,单击AddRow。
步骤3输入以下信息: NameDestinationPrefixLengthGateway 路由名称。
此路由的目标主机或网络的IPv6地址。
IPv6地址中定义目标子网的前缀位的位数。
用于访问目标主机或网络网关的IPv6地址。
思科RV130/RV130W边缘路由器管理指南 47 配置网络 配置IPv6
3 InterfaceMetricActive 步骤4单击Save。
路由的接口:LAN、WAN或6to4。
路由的优先级。
选择介于2与15之间的值。
如果存在指向相同目标的多个路由,则使用具有最低度量标准的路由。
选中可使路由处于活动状态。
添加非活动状态路由时,该路由会在路由表中列出,但是不被设备使用。
如果添加路由时路由不可用,则输入非活动路由十分有用。
当网络变为可用时,您可以启用路由。
要编辑路由的设置,请选择路由并单击Edit。
要删除所选路由,请单击Delete。
单击Save应用更改。
配置路由(RIPng) 下一代RIP(RIPng)是基于距离矢量(D-V)算法的路由协议。
RIPng使用UDP数据包,通过端口521交换路由信息。
RIPng使用步跳数测量与目标之间的距离。
步跳数称为度量标准(或成本)。
从路由器到直接连接网络的步跳数为
0。
两个直接连接路由器之间的步跳数为
1。
当步跳数大于或等于16时,不可抵达目标网络或主机。
默认情况下,每30秒发送一次路由更新。
如果路由器在180秒后还未从相邻路由器收到任何路由更新,则会将从相邻路由器获知的路由视为不可达。
再经过240秒之后,如果还未收到任何路由更新,则路由器将从路由表中移除这些路由。
在设备上,RIPng在默认情况下为禁用状态。
配置RIPng的步骤: 步骤1选择Networking>IPv6>Routing(RIPng))。
步骤2选中Enable。
步骤3单击Save。
配置隧道 思科RV130/RV130W边缘路由器管理指南 48 配置网络 配置IPv6
3 通过IPv6到IPv4隧道(6-to-4隧道)可以在IPv4网络上传输IPv6数据包。
通过IPv4到IPv6隧道(4-to-6隧道)可以在IPv6网络上传输IPv4数据包。
6-to-4隧道6当站点或最终用户要使用现有IPv4网络连接至IPv6互联网时,通常会使用6-to-4隧道。
配置6-to-4隧道的步骤: 步骤1选择Networking>IPv6>Tunneling。
步骤2在6to4Tunneling字段中,选中Enable。
步骤3选择隧道类型: •6to4•6RD(快速部署)•ISATAP(站内自动隧道寻址协议)-选择Auto或Manual。
步骤4对于6RD隧道,选择Auto或Manual。
如果选择Manual,请输入以下信息:•IPv6Prefix•IPv6PrefixLength•BorderRelay•IPv4MaskLength步骤5对于ISATAP隧道,选择Auto或Manual。
如果选择Manual,请输入以下信息:•IPv6Prefix•IPv6PrefixLength步骤6单击Save。
4-to-6隧道配置4-to-6隧道的步骤: 步骤1选择Networking>IPv6>Tunneling。
步骤2在4to6Tunneling字段中,选中Enable框。
步骤3输入设备的本地WANIPv6地址。
思科RV130/RV130W边缘路由器管理指南 49 配置网络 配置IPv6 步骤4输入远程IPv6地址,或远程端点的IP地址。
步骤5单击Save。
3 查看IPv6隧道状态 查看IPv6隧道状态的步骤:步骤1选择Networking>IPv6>IPv6TunnelsStatus。
步骤2单击Refresh可更新最新信息。
此页面显示有关通过专用WAN接口设置的自动隧道的信息。
该表显示在设备上创建的隧道名称和IPv6地址。
思科RV130/RV130W边缘路由器管理指南 50 配置网络 配置IPv6
3 配置路由器通告 设备上的路由器通告常驻程序(RADVD)会侦听IPv6LAN上的路由器请求,并根据需要使用路由器通告进行回复。
这属于无状态IPv6自动配置,设备将IPv6前缀分发给网络上的所有节点配置RADVD的步骤: 步骤1选择Networking>IPv6>RouterAdvertisement。
步骤2输入以下信息: RADVDStatusAdvertiseMode AdvertiseInterval RAFlags 选中Enable可启用RADVD。
选择以下模式之一: UnsolicitedMulticast-将路由器通告(RA)发送至属于组播组的所有接口。
Unicastonly-将通告仅限为已知IPv6地址(RA仅发送至属于已知地址的接口)。
UnsolicitedMulticast的通告间隔(4–1800)。
默认值为30。
通告间隔为介于最短路由器通告间隔(MinRtrAdvInterval)与最长路由器通告间隔(MaxRtrAdvInterval)之间的随机值。
MinRtrAdvInterval=0.33*MaxRtrAdvInterval 选中Managed可将管理/有状态协议用于地址自动配置。
选中Other可将管理/有状态协议用于其他的非地址自动配置。
思科RV130/RV130W边缘路由器管理指南 51 配置网络 配置IPv6
3 RouterPreference MTURouterLifeTime步骤3单击Save。
从下拉菜单中选择low、medium或high。
默认值为medium。
路由器偏好为默认路由器提供偏好度量标准。
low、medium和high值在RA消息中的未使用位中形成信号。
此扩展对于路由器(设置路由器偏好值)和主机(解释路由器偏好版本)可向后兼容。
对于未实施路由器偏好的主机,可以忽略这些值。
如果LAN上存在其他支持RADVD的设备,则此功能将十分有用。
MTU大小(0或1280到1500)。
默认值为1500字节。
最大传输单位(MTU)是可在网络中发送的最大数据包的大小。
MTU在RA中用于确保在LANMTU未众所周知时网络上的所有节点都使用相同的MTU值。
路由器有效寿命或通告消息在路由上存在的时间(以秒为单位)。
默认值为3600秒。
配置通告前缀 配置RADVD可用前缀的步骤: 步骤1选择Networking>IPv6>AdvertisementPrefixes。
步骤2单击AddRow。
思科RV130/RV130W边缘路由器管理指南 52 配置网络 配置IPv6 步骤3输入以下信息:IPv6PrefixType SLAID IPv6PrefixIPv6PrefixLengthPrefixLifetime步骤4单击Save。
3 选择以下类型之一:6to4-可用于在IPv4网络上传输IPv6数据包。
当最终用户要使用现有IPv4连接来连接至IPv6互联网时,该会类型十分有用。
Global/Local-可以在专用IPv6网络中使用的本地唯一的IPv6地址,或全局唯一的IPv6互联网地址。
如果选择6to4作为IPv6前缀类型,请输入站点级别聚合标识符(SLAID)。
6to4地址前缀中的SLAID设置为用于发送通告的接口ID。
如果选择Global/Local作为IPv6前缀类型,请输入IPv6前缀。
IPv6前缀指定IPv6网络地址。
如果选择Global/Local作为IPv6前缀类型,请输入前缀长度。
前缀长度变量是一个十进制值,指示组成地址网络部分的地址连续高位的位数。
前缀有效期限,或允许请求路由器使用前缀的时间长度。
思科RV130/RV130W边缘路由器管理指南 53
4 配置无线网络 无线安全性 本章介绍如何在设备上配置无线网络。
•无线安全性,第54页•设备上的无线网络,第56页•配置基本无线设置,第57页•配置高级无线设置,第63页•检测恶意接入点,第65页•配置WDS,第69页•配置WPS,第70页•配置强制网络门户,第70页•配置设备模式,第73页 无线网络使用方便、易于安装。
因为无线网络的工作方式是通过无线电波发送信息,所以和传统有线网络相比更容易遭受入侵程序的危害。
无线安全性提示 虽然无法在物理上阻止某人连接至您的无线网络,但是可以采取以下措施来保证网络安全: •更改默认无线网络名称或SSID。
无线设备有默认的无线网络名称或SSID。
这是无线网络的名称,长度最多为32个字符。
思科RV130/RV130W边缘路由器管理指南 54 配置无线网络 无线安全性
4 要保护您的网络,请将默认无线网络名称更改为唯一名称以将您的无线网络与您周围可能存在的其他无线网络区分开来。
更改名称时,请勿使用个人信息,因为任何人在浏览无线网络时都可查看此信息。
•更改默认密码。
对于无线产品(如接入点、路由器和网关),在您更改其设置时会要求输入密码。
这些设备有一个默认密码。
默认密码通常为cisco。
黑客知道这些默认值,就可能尝试利用它们访问您的无线设备并更改网络设置。
要阻止未授权访问,请自定义设备密码,以便难以猜到。
•启用MAC地址过滤。
使用思科路由器和网关时可以启用MAC地址过滤。
MAC地址是分配给每个联网设备的唯一的数字和字母序列。
启用MAC地址过滤之后,只有特定MAC地址的无线设备才能访问无线网络。
例如,可以指定网络中每个计算机的MAC地址,以便只有这些计算机才能访问您的无线网络。
•启用加密。
加密可保护在无线网络中传输的数据。
Wi-Fi保护访问(WPA/WPA2)和有线等效加密(WEP)可为无线通信提供不同级别的安全性。
当前,经过Wi-Fi认证的设备需要支持WPA2,但是无需支持WEP。
使用WPA/WPA2加密的网络比使用WEP加密的网络更加安全,因为WPA/WPA2使用动态密钥加密。
要在信息通过电波传输时被保护,请启用网络设备支持的最高级别加密。
WEP是一种比较老的加密标准,可能是一些不支持WPA的较旧设备上的唯一选项。
•使无线路由器、接入点或网关远离外墙和窗户。
•不使用无线路由器、接入点或网关时(夜间、休假期间),请将它们关闭。
•使用长度不少于八个字符的安全性较强的密码。
混合使用字母和数字,避免使用可在字典中找到的标准单词。
思科RV130/RV130W边缘路由器管理指南 55 配置无线网络 设备上的无线网络
4 一般网络与安全性准则 如果基础网络不安全,则无线网络再安全也无济于事。
建议采取以下预防措施:•对网络上的所有计算机进行密码保护,并单独对敏感文件进行密码保护。
•定期更改密码。
•安装防病毒软件和个人防火墙软件。
•禁用文件共享(对等)以防应用程序在未经您同意的情况下使用文件共享。
设备上的无线网络 设备可提供四个虚拟无线网络或四个SSID(服务集标识符):ciscosb1、ciscosb2、ciscosb3和ciscosb4。
这些是这些网络的默认名称或SSID,不过可以将这些名称更改为更有意义的名称。
下表介绍这些网络的默认设置: SSID名称 Enabled SSIDBroadcast SecurityMode MACFilter VLAN WirelessIsolationwithSSID WMM WPSHardwareButton ciscosb1是已启用 已禁用
1 已禁用1已禁用 已启用已启用 ciscosb2否已禁用 已禁用 已禁用1已禁用 已启用已禁用 ciscosb3否已禁用 已禁用 已禁用1已禁用 已启用已禁用 ciscosb4否已禁用 已禁用 已禁用1已禁用 已启用已禁用
1.使用设置向导时,选择BestSecurity或BetterSecurity可防止对设备进行未授权访问。
思科RV130/RV130W边缘路由器管理指南 56 配置无线网络 配置基本无线设置
4 配置基本无线设置 选择Wireless>BasicSettings可配置基本无线设置。
配置基本无线设置的步骤: 步骤1选择Wireless>BasicSettings。
步骤2在Radio字段中,选中Enable框以打开无线功能。
默认情况下仅启用ciscosb1这 一个无线网络。
步骤3在WirelessNetworkMode字段中,从下拉菜单中选择以下选项之一: B/G/N-Mixed BOnlyGOnlyNOnlyB/G-MixedG/N-Mixed 如果网络中有Wireless-
N、Wireless-B和Wireless-G设备。
这是默认设置(推荐)。
如果网络中只有Wireless-B设备,请选择此选项。
如果网络中只有Wireless-G设备,请选择此选项。
如果网络中只有Wireless-N设备,请选择此选项。
如果网络中有Wireless-B和Wireless-G设备,请选择此选项。
如果网络中有Wireless-G和Wireless-N设备,请选择此选项。
步骤4如果在WirelessBandSelection字段中选择了B/G/N-Mixed、N-Only或G/NMixed,请选择网络中的无线带宽(20MHz或20/40MHz)。
如果选择N-Only,则必须在网络中应用WPA2安全性。
请参阅配置安全模式。
步骤5在WirelessChannel字段中,从下拉菜单中选择无线信道。
步骤6在APManagementVLAN字段中,如果使用默认设置,请选择VLAN1。
如果创建其他VLAN,请选择与在网络中其他交换机上配置的VLAN对应的值。
这样做是为了安全起见。
可能需要更改管理VLAN以限制对设备管理器的访问。
步骤7(可选)在U-APSD(WMMPowerSave)字段中,选择Enable以启用计划外自动节能(U-APSD)功能(也称为WMM节能),无线功能可使用该功能节省电能。
U-APSD是针对实时应用(如VoIP、在WLAN上传输全双工数据)而优化的节能方案。
通过将传出IP流量分类为语音数据,这些类型的应用可以将电池使用寿命延长约25%并最大程度减小传输延迟。
步骤8(可选)配置四个无线网络的设置(请参阅编辑无线网络设置)。
步骤9单击Save。
思科RV130/RV130W边缘路由器管理指南 57 配置无线网络 配置基本无线设置
4 编辑无线网络设置 BasicSettings页面上的WirelessTable会列出设备上支持的四个无线网络的设置。
配置无线网络设置的步骤: 步骤1选中要配置的网络的对应框。
步骤2单击Edit。
步骤3配置以下设置: EnableSSIDSSIDNameSSIDBroadcast SecurityModeMACFilterVLANWirelessIsolationwithSSIDWMM(Wi-FiMultimedia)MaxAssociatedClients WPS PortalProfile 单击On可启用该网络。
输入网络的名称。
选中此框可启用SSID广播。
如果启用了SSID广播,则无线路由器会将其可用性通告给路由器范围内配有无线功能的设备。
请参阅配置安全模式。
请参阅配置MAC过滤。
选择与网络关联的VLAN。
选中此框可启用SSID中的无线隔离。
选中此框可启用WMM。
可以连接至所选无线网络的最大客户端数。
输入介于1与64之间的数字。
选中此框可将设备前面板上的WPS按钮映射到此网络。
请参阅配置强制网络门户。
步骤4单击Save。
思科RV130/RV130W边缘路由器管理指南 58 配置无线网络 配置基本无线设置
4 配置安全模式 可以为无线网络配置以下安全模式之一:•配置WEP•配置WPA-Personal、WPA2-Personal和WPA2-PersonalMixed•配置WPA-Enterprise、WPA2-Enterprise和WPA2-EnterpriseMixed 配置WEPWEP安全模式的安全性较弱,使用的是基本的加密方式,没有WPA安全。
当网络设备不支持WPA时,需要使用WEP。
NOTE如果不必使用WEP,我们建议您使用WPA2。
如果正在使用的只有Wireless-N模式,则必须使用WPA2。
配置WEP安全模式的步骤: 步骤1选择Wireless>BasicSettings。
在WirelessTable中,选中要配置的网络的对应框。
步骤2单击EditSecurityMode。
系统将显示SecuritySettings页面。
步骤3在SelectSSID字段中,选择要为其配置安全设置的SSID。
步骤4在SecurityMode菜单中,选择WEP。
步骤5在AuthenticationType字段中,选择以下选项之一: •OpenSystem-这是默认选项。
•SharedKey-如果网络管理员建议使用此设置,请选择此选项。
如果您不确 定,请选择默认选项。
在这两种情况下,无线客户端都必须提供正确的共享密钥(密码)才能访问无线网络。
步骤6在Encryption字段中,选择加密类型: •10/64-bit(10hexdigits)-提供40位密钥。
•26/128-bit(26hexdigits)-提供104位密钥,可实现更强的加密,使密钥更 难解密。
建议使用128位加密。
步骤7(可选)在Passphrase字段中,输入字母数字短语(长于八个字符,以实现最佳安 全性),然后单击GenerateKey以在WEPKey字段中生成四个唯一的WEP密钥。
思科RV130/RV130W边缘路由器管理指南 59 配置无线网络 配置基本无线设置
4 如果要提供自己的密钥,请直接在Key1字段中输入(推荐)。
密钥长度对于64位WEP应为5个ASCII字符(或10个十六进制字符),对于128位WEP应为13个ASCII字符(或26个十六进制字符)。
有效的十六进制字符为0到9和A到
F。
步骤8在TXKey字段中,选择将哪个密钥用作设备访问无线网络时必须使用的共享密钥。
步骤9单击Save保存设置。
步骤10单击Back返回BasicSettings页面。
配置WPA-Personal、WPA2-Personal和WPA2-PersonalMixed WPAPersonal、WPA2Personal和WPA2PersonalMixed安全模式可提供可替代WEP的强安全性。
•WPA-Personal-WPA属于由Wi-Fi联盟标准化的无线安全标准(802.11i)的一部分,用于在准备802.11i标准期间代替WEP。
WPA-Personal支持临时密钥完整性协议(TKIP)和高级加密标准(AES)加密。
•WPA2-Personal-(推荐)WPA2是在最终802.11i标准中指定的实施的安全标准。
WPA2支持AES加密,此选项使用预先共享密钥(PSK)进行鉴权。
•WPA2-PersonalMixed-允许WPA和WPA2客户端同时使用PSK鉴权进行连接。
个人鉴权是PSK,这是与无线对等方共享的字母数字密码短语。
配置WPAPersonal安全模式的步骤: 步骤1在WirelessTable(Wireless>BasicSettings)中,选中要配置的网络的对应框。
步骤2单击EditSecurityMode。
系统将显示SecuritySettings页面。
步骤3在SelectSSID字段中,选择要为其配置安全设置的SSID。
步骤4在SecurityMode菜单中,选择三个WPAPersonal选项之
一。
步骤5(仅限WPA-Personal)在Encryption字段中,选择以下选项之一: •TKIP/AES-选择TKIP/AES可确保与可能不支持AES的较旧无线设备兼容。
•AES-此选项更安全。
步骤6在SecurityKey字段中,输入字母数字短语(8–63个ASCII字符或64个十六进制数字)。
密码强度计显示密钥的安全程度:belowminimum、weak、strong、verystrong或secure。
建议使用强度计指示为安全的安全密钥。
步骤7要在输入时显示安全密钥,请选中UnmaskPassword框。
思科RV130/RV130W边缘路由器管理指南 60 配置无线网络 配置基本无线设置
4 步骤8在KeyRenewal字段中,输入密钥更新之间的持续时间(600–7200秒)。
默认值为3600。
步骤9单击Save保存设置。
单击Back返回BasicSettings页面。
配置WPA-Enterprise、WPA2-Enterprise和WPA2-EnterpriseMixedWPAEnterprise、WPA2Enterprise和WPA2EnterpriseMixed安全模式允许使用RADUIS服务器鉴权。
•WPA-Enterprise-允许将WPA与RADIUS服务器鉴权一起使用。
•WPA2-Enterprise-允许将WPA2与RADIUS服务器鉴权一起使用。
•WPA2-EnterpriseMixed-允许WPA和WPA2客户端同时使用RADIUS鉴权 进行连接。
配置WPAEnterprise安全模式的步骤: 步骤1在WirelessTable(Wireless>BasicSettings)中,选中要配置的网络的对应框。
步骤2单击EditSecurityMode。
步骤3在SelectSSID字段中,选择要为其配置安全设置的SSID。
步骤4在SecurityMode菜单中,选择三个WPAEnterprise选项之
一。
步骤5(仅限WPA-Enterprise)在Encryption字段中,选择以下选项之一: •TKIP/AES-选择TKIP/AES可确保与可能不支持AES的较旧无线设备兼容。
•AES-此选项更安全。
步骤6在RADIUSServer字段中,输入RADIUS服务器的IP地址。
步骤7在RADIUSPort字段中,输入用于访问RADIUS服务器的端口。
步骤8在SharedKey字段中,输入字母数字短语。
步骤9在KeyRenewal字段中,输入密钥更新之间的持续时间(600–7200秒)。
默认值为3600。
步骤10单击Save保存设置。
步骤11单击Back返回BasicSettings页面。
思科RV130/RV130W边缘路由器管理指南 61 配置无线网络 配置基本无线设置
4 配置MAC过滤 可以使用MAC过滤,根据请求设备的MAC(硬件)地址来允许或拒绝访问无线网络。
例如,可以输入一组计算机的MAC地址,仅允许这些计算机访问网络。
可以为每个网络或SSID配置MAC过滤。
配置MAC过滤的步骤: 步骤1在WirelessTable(Wireless>BasicSettings)中,选中要配置的网络的对应框。
步骤2单击EditMACFiltering。
系统将显示WirelessMACFilter页面。
步骤3在EditMACFiltering字段中,选中Enable框为此SSID启用MAC过滤。
步骤4在ConnectionControl字段中,选择对无线网络的访问类型: •Prevent-选择此选项可阻止具有MACAddressTable中列出的MAC地址的设备访问无线网络。
此选项为默认选项。
•Permit-选择此选项可允许具有MACAddressTable中列出的MAC地址的设备访问无线网络。
步骤5要显示无线网络中的计算机和其他设备,请单击ShowClientList。
步骤6在SavetoMACAddressFilterList字段中,选中对应框以将设备添加到将被添加到 MACAddressTable的设备的列表中。
步骤7单击AddtoMAC以将ClientListTable中所选设备添加到MACAddressTable。
步骤8单击Save保存设置。
步骤9单击Back返回BasicSettings页面。
配置每天固定时间访问 要进一步保护您的网络,可以通过指定用户访问网络的时间来限制对网络的访问。
配置每天固定时间访问的步骤: 步骤1在WirelessTable(Wireless>BasicSettings)中,选中要配置的网络的对应框。
步骤2单击TimeofDayess。
系统将显示TimeofDayess页面。
步骤3在ActiveTime字段中,选中Enable启用每天固定时间访问。
思科RV130/RV130W边缘路由器管理指南 62 配置无线网络 配置高级无线设置
4 步骤4在StartTime和Time字段中,指定每天允许访问网络的时间。
步骤5单击Save。
配置高级无线设置 高级无线设置只应由经验丰富的管理员进行调整;不正确的设置可能会降低无线性能。
配置高级无线设置的步骤:步骤1选择Wireless>AdvancedSettings。
系统将显示AdvancedSettings页面。
步骤2配置以下设置: FrameBurst WMMNoAcknowledgementBasicRate 启用此选项可为无线网络提供更高性能,具体取决于无线产品的制造商。
如果不确定如何使用此选项,请保留默认值(启用)。
启用WMMNoAcknowledgement可以实现更高效的吞吐量,但是在杂乱的无线电频率(RF)环境下可能会出现较高的错误率。
默认情况下,此设置为禁用状态。
BasicRate设置不是传输速率,而是服务准备平台可以用于传输的一系列速率。
设备会将其基本速率通告给网络中的其他无线设备,让它们知道将使用的速率。
服务准备平台也会通告它将自动选择传输的最佳速率。
当设备可以按所有标准无线速率(1Mbps、2Mbps、5.5Mbps、11Mbps、18Mbps、24Mbps、36Mbps、48Mbps和54Mbps)传输时,默认设置为Default。
除了B和G速度之外,设备还支持N速度。
其他选项有1-2Mbps(用于较旧无线技术)和All(设备可以按所有无线速率传输)。
BasicRate不是数据传输的实际速率。
如果要指定设备数据传输速率,请配置TransmissionRate设置。
思科RV130/RV130W边缘路由器管理指南 63 配置无线网络 配置高级无线设置
4 TransmissionRate NTransmissionRate CTSProtectionMode BeaconInterval 应根据无线网络速度设置数据传输速率。
可以从一系列传输速度中选择,也可以选择Auto让设备自动使用可能最快的数据速率并启用自动回退功能。
自动回退会在设备与无线客户端之间协商最佳可能连接速度。
默认为Auto。
应根据Wireless-N网络速度设置数据传输速率。
可以从一系列传输速度中选择,也可以选择Auto让设备自动使用可能最快的数据速率并启用自动回退功能。
自动回退会在设备与无线客户端之间协商最佳可能连接速度。
默认为Auto。
当Wireless-N和Wireless-G设备遇到严重问题,在具有大量802.11b流量的环境中无法传输到设备时,设备自动使用CTS(清除发送)保护模式。
此功能提升了设备捕获所有Wireless-N和Wireless-G传输的能力,但是会严重降低性能。
默认为Auto。
BeaconInterval值指示信标的频率间隔。
信标是设备为同步无线网络而广播的数据包。
输入介于40与3,500毫秒之间的值。
默认值为100。
思科RV130/RV130W边缘路由器管理指南 64 配置无线网络 检测恶意接入点
4 DTIMInterval FragmentationThresholdRTSThreshold 步骤3单击Save。
此值(介于1与255之间)指示发送流量指示消息(DTIM)的间隔。
DTIM字段是倒计时字段,用于向客户端告知下一个窗口以便侦听广播和组播消息。
当设备缓冲了关联客户端的广播或组播消息时,它会发送包含DTIMInterval值的下一个DTIM。
其客户端会收到信标并被唤醒,以接收广播和组播消息。
默认值为
1。
此值指定在数据分为多个数据包之前的最大数据包大小。
如果遇到较高数据包错误率,则可以稍微增大FragmentationThreshold。
将FragmentationThreshold设置得太低可能会导致网络性能变差。
建议仅稍微减小默认值。
在大多数情况下,应保留其默认值2346。
如果遇到了不一致的数据流,请仅稍微减小一点。
建议使用的默认值为2347。
如果网络数据包小于预设的请求发送(RTS)阈值大小,则不会启用RTS/允许发送(CTS)机制。
服务准备平台会将RTS帧发送给特定接收站并协商数据帧的发送。
接收RTS之后,无线站使用CTS帧进行响应以认可开始传输的权限。
检测恶意接入点 恶意接入点是未经系统管理员授权的、安装在安全网络上的接入点(AP)。
恶意AP会形成安全威胁,因为可以访问内部部署的任何人都可以安装能够在未授权的情况下访问网络的无线AP。
使用RogueAPDetection页面能够使设备显示其在网络附近检测到的所有AP的信息。
如果被列为恶意接入点的接入点实际上是合法接入点,则可以将其添加到AuthorizedAPTable。
选择刷新速率以确保RogueAPDetection页面始终显示最新信息。
启用恶意AP检测的步骤: 思科RV130/RV130W边缘路由器管理指南 65 配置无线网络 检测恶意接入点
4 步骤1选择Wireless>RogueAP。
步骤2单击RogueAPDetectionOn单选按钮。
步骤3单击Save。
向检测到的接入点授权的步骤: 步骤1在RogueAPDetectedTable中,选中要授权的接入点的对应框。
步骤2单击Authorize。
将接入点添加到AuthorizedAPTable的步骤:步骤1单击AddRow。
步骤2输入要授权的接入点的MAC地址。
步骤3输入标识无线网络的SSID或名称。
步骤4选择与接入点关联的安全模式。
步骤5选择TKIP(临时密钥完整性协议)或CCMP(计数器密码模式协议)作为与接入点 关联的加密算法。
步骤6选择RADIUS服务器或PSK(预先共享密钥)以对接入点进行鉴权。
步骤7选择接入点使用的无线网络模式。
步骤8选择接入点使用的无线电频率。
步骤9单击Save。
导入授权AP列表 可以使用CSV文件导入授权接入点的列表。
创建CSV文件时,可使用以下值作为参考。
思科RV130/RV130W边缘路由器管理指南 66 配置无线网络 检测恶意接入点 字段Security NetworkMode 值•0-打开•1-WEP•2-WPA-Personal•3-WPA-Enterprise•4-WPA2-Personal•5-WPA2-Enterprise•0-BOnly•1-GOnly•2-NOnly•3-BG-Mixed•4-GN-Mixed•5-BGN-Mixed
4 思科RV130/RV130W边缘路由器管理指南 67 配置无线网络 检测恶意接入点
4 字段Channel EncryptionAuthentication 值•0-Auto•1-2.412•2-2.417•3-2.422•4-2.427•5-2.432•6-2.437•7-2.442•8-2.447•9-2.452•10-2.457•11-2.462•2-TKIP•4-CCMP•2-PSK•1-RADIUS 确保CSV文件内容的组织方式如下所示: BSSID00:1C:10:CE:44:48 SecurityEncryption
4 2 Authentication2 WirelessNetwork
3 ChannelSSID
1 Auth_Guest 导入授权AP列表的步骤: 步骤1单击Merge可将要导入的接入点列表添加到AuthorizedAPTable中显示的接入点中。
单击Replace可将表中的AP替换为要导入的列表中的AP。
步骤2单击Browse以查找要导入的文件。
思科RV130/RV130W边缘路由器管理指南 68 配置无线网络 配置WDS
4 步骤3单击Save。
配置WDS 无线分布式系统(WDS)是在网络中实现接入点无线互连的系统。
通过该系统可以使用多个接入点扩展无线网络,而无需使用有线骨干网来链接它们。
要建立WDS链路,本设备和其他远程WDS对等方必须设置相同的无线网络模式、无线信道、无线频段选择和加密类型(None或WEP)。
可以在网桥模式(其中一个AP充当多个AP之间的通用链路)或中继模式(其中一个AP使用无线连接重复信号来连接两个AP,无需使用有线连接到LAN)下配置WDS。
WDS仅支持一个SSID。
在网桥模式下配置WDS的步骤: 步骤1选择Wireless>WDS。
步骤2要启用WDS,请选中Enable复选框。
步骤3选择WDSBridge单选按钮。
步骤4在RemoteWirelessBridge'sMACAddress部分中,在MAC1、MAC2、MAC 3和MAC4字段中输入要用作网桥的最多四个接入点的MAC地址。
步骤5单击Save。
在中继模式下配置WDS的步骤: 步骤1选择Wireless>WDS。
步骤2选中WDS复选框。
步骤3选择中继模式。
如果选择Allowwirelesssignaltoberepeatedbyarepeater,请 在MAC1、MAC2和MAC3字段中输入用作中继的最多三个接入点的MAC地址。
步骤4如果选择Repeatwirelesssignalofaremoteesspoint: •在MAC字段中输入无线接入点的MAC地址。
•单击ShowAvailableNetworks以显示AvailableNetworksTable。
单击 Connect以将所选接入点的MAC地址添加到MAC字段。
思科RV130/RV130W边缘路由器管理指南 69 配置无线网络 配置WPS
4 步骤5单击Save。
配置WPS 配置WPS可允许启用WPS的设备方便且安全地连接至无线网络。
有关在客户端设备上设置WPS的其他说明,请参阅客户端设备文档。
配置WPS的步骤: 步骤1选择Wireless>WPS。
系统将显示Wi-FiProtectedSetup页面。
步骤2从下拉菜单中选择SSID选项。
步骤3采用以下三种方式之一在客户端设备上配置WPS: a.单击或按客户端设备上的WPS按钮,然后单击此页面上的WPS图标。
b.输入客户端的WPSPIN号码,然后单击Register。
c.客户端设备需要来自此路由器的PIN号码,使用指示的路由器PIN号码。
DevicePINStatus-WPA设备个人标识号(PIN)状态。
DevicePIN-标识尝试连接的设备的PIN。
PINLifetime-密钥的有效期限。
如果有效期限到期,系统将协商新的密钥。
配置WPS之后,以下信息会出现在WPS页面底部:Wi-FiProtectedSetupStatus、NetworkName(SSID)和Security。
配置强制网络门户 使用强制网络门户可提供对互联网和网络资源的受控、经鉴权访问,对安全性无任何影响。
强制网络门户显示一个特殊网页,用于对客户端进行鉴权,然后客户端才能使用互联网。
可以配置强制网络门户验证以便允许访客和经鉴权的网络用户访问。
通过将设备上的每个虚拟无线网络与门户简档关联,来为这些网络配置强制网络门户实例。
思科RV130/RV130W边缘路由器管理指南 70 配置无线网络 配置强制网络门户
4 创建强制网络门户简档 创建强制网络门户简档的步骤: 步骤1选择Wireless>CaptivePortal>PortalProfile。
在PortalProfileTable部分中,单击AddRow。
要修改设备上提供的门户简档,请选中Default_Portal_Profile框并单击Edit。
步骤2输入强制网络门户简档的名称。
步骤3选择是否使用该简档对网络上的访客用户或用户进行鉴权。
步骤4要在鉴权之后将用户重定向到某个URL,请启用AutoRedirectURL,然后在RedirectURL字段中输入完全合格域名或IP地址。
例如,在URL中包含http://。
步骤5在SessionTimeout字段中,指定设备保持打开与关联的无线客户端鉴权会话的分钟数。
默认超时为60分钟。
步骤6为要在页面上显示的文本选择字体颜色。
步骤7指定要显示的文本,如组织名称、用户名和密码字段的标签文本以及登录按钮上的标签。
步骤8输入与公司关联的标准版权文本。
步骤9在Error1和Error2字段中,输入在登录失败时和超过最大连接数时要向客户端显示的错误消息。
步骤10要使用复选框允许用户接受使用条款之后才继续,请启用Agreement。
AgreementText字段中的文本将显示为复选框的标签。
步骤11在eptanceUsePolicy字段中输入要显示给用户的接受条款。
步骤12在UploadFiles部分中,选择文件以上传符合公司品牌准则的公司徽标和背景文件。
保存简档。
要预览此简档,请选择CaptivePortal>PortalPagePreview,然后从PortalProfile下拉列表中选择简档。
思科RV130/RV130W边缘路由器管理指南 71 配置无线网络 配置强制网络门户
4 配置强制网络门户实例为设备配置强制网络门户实例的步骤: 步骤1选择Wireless>BasicSettings。
步骤2在WirelessTable部分中,对要为其配置强制网络门户的SSID选中Enable框。
单击 Edit。
步骤3为该SSID选择门户简档。
可以使用SSID为设备创建最多四个强制网络门户。
要创建新门户简档,请从下拉列表中选择CreateanewPortalProfile。
选择Default_Portal_Profile可使用设备上提供的门户简档。
步骤4选中Enable框为SSID启用强制网络门户。
步骤5保存强制网络门户实例。
创建强制网络门户用户帐户创建强制网络门户用户帐户的步骤: 步骤1选择Wireless>CaptivePortal>Userounts。
步骤2单击AddRow。
步骤3输入用户名和密码。
重新输入密码进行验证。
建议密码不包含任何语言中的字典单词,应由字母(包含大写和小写字母)、数字和符号组成。
密码长度最多为64个字符。
步骤4在essTime(Minutes)字段中,指定鉴权会话超时之前的持续时间。
步骤5要从CSV文件导入文件名和密码,请单击Import。
系统将显示Administration>Users页面。
在ImportUsernameandPassword部分中,单击Browse找到文件,然后单击Import。
有关详情,请参阅导入用户帐户。
步骤6保存用户帐户。
思科RV130/RV130W边缘路由器管理指南 72 配置无线网络 配置设备模式
4 配置设备模式 可以将本设备配置为以下工作模式:•Router-用于充当无线路由器。
•AP(接入点)-用于向客户端提供无线连接并将Wi-Fi功能扩展到现有有线网络。
当本设备用作接入点时,所有LAN端口都为禁用状态。
确保在Networking>WAN>WANConfiguration页面上配置AP管理VLAN信息。
有关详情,请参阅配置可选设置。
配置设备模式的步骤: 步骤1选择Wireless>DeviceMode,然后选择设备的工作模式。
步骤2单击Save。
思科RV130/RV130W边缘路由器管理指南 73
5 配置防火墙 本章介绍如何配置本设备的防火墙属性。
•防火墙功能,第74页•配置基本防火墙设置,第75页•管理防火墙时间表,第78页•配置服务管理,第79页•配置访问规则,第80页•创建互联网访问策略,第83页•配置一对一网络地址转换(NAT),第84页•配置端口转发,第85页 防火墙功能 可以通过创建并应用规则,使设备有选择性地阻止和允许入站和出站互联网流量,从而保护您的网络。
随后指定如何以及在哪些设备上应用这些规则。
为此,必须指定以下设置: •路由器应允许或阻止的服务或流量类型。
例如,Web浏览、VoIP、其他标准服务和您定义的自定义服务。
•流量方向(通过指定流量的源和目标);流量方向的指定需通过指定源区域(LAN/WAN/DMZ)和目标区域(LAN/WAN/DMZ)来完成。
•关于路由器应在何时应用规则的时间表。
•路由器应允许或阻止的关键字(域名中或网页的URL中)。
•用于按指定时间表对指定服务允许或阻止入站和出站互联网流量的规则。
•路由器应阻止入站访问网络的设备的MAC地址。
思科RV130/RV130W边缘路由器管理指南 74 配置防火墙 配置基本防火墙设置
5 •发信号给路由器以允许或阻止访问按端口号定义的指定服务的端口触发器。
•希望路由器发送给您的报告和警报。
例如,可以基于每天固定时间、Web地址和Web地址关键字建立受限访问策略。
可以阻止LAN上的应用程序和服务(如聊天室或游戏)访问互联网。
可以阻止WAN或公共DMZ网络访问您网络上的特定PC组。
入站(WAN到LAN/DMZ)规则限制对进入网络的流量的访问,可有选择性地仅允许特定外部用户访问特定本地资源。
默认情况下,会阻止来自不安全WAN端所有的对安全LAN(除了响应来自LAN或DMZ的请求)的访问。
要允许外部设备访问安全LAN上的服务,必须为每个服务创建防火墙规则。
如果要允许传入流量,必须向公开路由器WAN端口的IP地址。
这称为“公开主机”。
如何公开地址取决于WAN端口配置;如果设备的WAN端口分配的是静态地址,则可以使用IP地址,如果WAN地址是动态地址,则可以使用DDNS(动态DNS)名称。
出站(LAN/DMZ到WAN)规则限制离开您网络的流量的访问,可有选择性地仅允许特定本地用户访问特定外部资源。
默认出站规则是允许安全区域(LAN)访问公共DMZ或不安全WAN。
要阻止安全LAN上的主机访问外部(不安全WAN)服务,必须为每个服务创建防火墙规则。
配置基本防火墙设置 配置基本防火墙设置的步骤:步骤1选择Firewall>BasicSettings。
步骤2配置以下防火墙设置: IPAddressSpoofingProtectionDoSProtectionBlockWANRequestLAN/VPNWebess 要防止网络受到IP地址欺骗,请选中Enable复选框。
选中Enable可启用拒绝服务防护。
阻止从WAN对设备进行的Ping请求。
选择可用于连接至防火墙的Web访问类型:HTTP或HTTPS(安全HTTP)。
思科RV130/RV130W边缘路由器管理指南 75 配置防火墙 配置基本防火墙设置
5 RemoteManagementRemoteessRemoteUpgradeAllowedRemoteIPAddressRemoteManagementPort 请参阅配置远程管理。
IPv4MulticastPassthrough(IGMPProxy) 选中Enable可为IPv4启用组播通道。
IPv6MulticastPassthrough(IGMPProxy) 选中Enable可为IPv6启用组播通道。
SIPALG 要允许会话启动协议(SIP)流量穿过防火墙,请选中SIPALG复选框。
设备最多支持256个会话。
UPnPAllowUserstoConfigureAllowUserstoDisableess 请参阅配置通用即插即用。
BlockJava 选中可阻止Java程序。
Java程序是嵌入在网页中的小程序,可实现网页的动态功能。
可能会有恶意程序用于损害或感染计算机。
启用此设置可阻止下载Java程序。
单击Auto以自动阻止Java,或单击Manual并输入在其上阻止Java的特定端口。
BlockCookies 选中可阻止Cookie。
Cookie由经常要求登录的网站用于存储会话信息。
但是,有些网站使用Cookie存储跟踪信息和浏览习惯。
启用此选项可过滤掉网站创建的Cookie。
许多网站要求接受Cookie才能正常访问站点。
阻止Cookie可能会导致许多网站不能正常工作。
单击Auto以自动阻止Cookie,或单击Manual并输入在其上阻止Cookie的特定端口。
思科RV130/RV130W边缘路由器管理指南 76 配置防火墙 配置基本防火墙设置 BlockActiveX BlockProxy 步骤3单击Save。
5 选中可阻止ActiveX内容。
与Java程序类似,ActiveX控件安装在运行Explorer的Windows计算机上。
可能会有恶意ActiveX控件被用来损害或感染计算机。
启用此设置可阻止下载ActiveX程序。
单击Auto以自动阻止ActiveX,或单击Manual并输入在其上阻止ActiveX的特定端口。
选中可阻止代理服务器。
代理服务器(或代理)允许计算机通过代理将连接路由到其他计算机,从而绕过某些防火墙规则。
例如,如果某个防火墙规则阻止指向特定IP地址的连接,则请求可以通过该规则不阻止的代理进行路由,使限制鞭长莫及。
启用此功能可阻止代理服务器。
单击Auto以自动阻止代理服务器,或单击Manual并输入在其上阻止代理服务器的特定端口。
配置远程管理 可以启用远程管理,以便可以从远程WAN网络访问本设备。
要配置远程管理,请在BasicSettings页面上配置以下设置: RemoteManagementRemoteess RemoteUpgradeAllowedRemoteIPAddress 选中Enable可启用远程管理。
选择可用于连接至防火墙的Web访问类型:HTTP或HTTPS(安全HTTP)。
要允许进行设备的远程升级,请选中Enable。
单击AnyIPAddress按钮可允许从任何IP地址进行远程管理,或在地址字段中输入特定IP地址。
思科RV130/RV130W边缘路由器管理指南 77 配置防火墙 管理防火墙时间表
5 RemoteManagementPort 输入允许进行远程访问的端口。
默认端口为443。
远程访问路由器时,必须在IP地址中输入远程管理端口。
例如: https://<远程ip>:<远程端口>,或https://168.10.1.11:443 !
注意启用远程管理之后,知道路由器IP地址的任何人都可访问路由器。
因为恶意WAN用户可能重新配置设备并用于不正当的用途,所以强烈建议在继续操作之前更改管理员和所有访客密码。
配置通用即插即用 通用即插即用(UPnP)允许自动发现可以与本设备通信的设备。
要配置UPnP,请在BasicSettings页面上配置以下设置: UPnPAllowUserstoConfigure AllowUserstoDisableess 选中Enable可启用UPnP。
选中此框可允许在其计算机或其他支持UPnP的设备上启用了UPnP支持的用户设置UPnP端口映射规则。
如果禁用,则设备不允许应用程序添加转发规则。
选中此框可允许用户禁用互联网访问。
管理防火墙时间表 可以创建防火墙时间表,以在特定日期或每天的特定时间应用防火墙规则。
添加或编辑防火墙时间表 添加或编辑防火墙时间表的步骤:步骤1选择Firewall>ScheduleManagement。
步骤2单击AddRow。
思科RV130/RV130W边缘路由器管理指南 78 配置防火墙 配置服务管理
5 步骤3在Name字段中输入用于标识时间表的唯一名称。
此名称显示在SelectSchedule列表中的FirewallRuleConfiguration页面上。
(请参阅配置访问规则。
) 步骤4在ScheduledDays部分中,选择要将计划表应用于Alldays还是SpecificDays。
如果选择SpecificDays,请选中要包含在时间表中的日期旁的框。
步骤5在ScheduledTimeofDay部分中,选择要应用计划表的时间。
如果选择SpecificTime,请输入开始和结束时间。
步骤6单击Save。
配置服务管理 创建防火墙规则时,可以指定受规则控制的服务。
可以选择常用类型的服务,也可以创建自定义服务。
通过ServicesManagement页面可以创建应用防火墙规则的自定义服务。
定义之后,新服务将出现在AvailableCustomServices表的列表中。
创建自定义服务的步骤: 步骤1选择Firewall>ServiceManagement。
步骤2单击AddRow。
步骤3在ServiceName字段中,输入服务名称以用于标识和管理。
步骤4在Protocol字段中,从下拉菜单中选择服务使用的第4层协议: ?
TCP?
UDP?
TCP&UDP?
ICMP步骤5在StartPort字段中,输入服务使用的TCP或UDP端口范围中的第一个端口。
步骤6在EndPort字段中,输入服务使用的TCP或UDP端口范围中的最后一个端口。
步骤7单击Save。
要编辑条目,请选择该条目,然后单击Edit。
进行更改,然后单击Save。
思科RV130/RV130W边缘路由器管理指南 79 配置防火墙 配置访问规则
5 配置访问规则 配置默认出站策略通过essRules页面可以针对从安全网络(LAN)定向到不安全网络(专用WAN/可选)的流量配置默认出站策略。
针对从不安全区域到安全区域的流量的默认入站策略是始终阻止,且不能更改。
NOTE互联网访问策略可覆盖访问规则(在设备上都已配置时)。
配置默认出站策略的步骤: 步骤1选择Firewall>essRules。
步骤2选择Allow或Deny。
注:确保在设备上启用IPv6支持以配置IPv6防火墙。
请参阅配置IPv6。
步骤3单击Save。
重新排序访问规则访问规则表中规则的显示顺序即为规则的应用顺序。
您可能希望对该表进行重新排序,以便能够在其他规则之前优先应用某些规则。
例如,您可能希望先应用允许某些类型流量的规则,然后阻止其他类型的流量。
重新排序访问规则的步骤: 步骤1选择Firewall>essRules。
步骤2单击Reorder。
步骤3选中要上移或下移的规则所在行中的框,然后单击向上或向下箭头以将规则上移或下 移一行,或在下拉列表中选择规则的所需位置,然后单击Moveto。
步骤4单击Save。
思科RV130/RV130W边缘路由器管理指南 80 配置防火墙 配置访问规则
5 添加访问规则 设备上配置的所有防火墙规则都显示在essRulesTable中。
此列表还指示规则是否启用(活动)并提供源/目标区域的摘要以及受规则影响的服务和用户。
创建访问规则的步骤: 步骤1选择Firewall>essRules。
步骤2单击AddRow。
步骤3在ConnectionType字段中,选择流量的源: ?
Outbound(LAN>WAN)-选择此选项可创建出站规则。
?
Inbound(WAN>LAN)-选择此选项可创建入站规则。
?
Inbound(WAN>DMZ)-选择此选项可创建入站规则。
步骤4从Action下拉菜单中选择操作:?
AlwaysBlock-始终阻止所选类型的流量。
?
AlwaysAllow-从不阻止所选类型的流量。
?
Blockbyschedule-根据时间表阻止所选类型的流量。
?
Allowbyschedule-根据时间表允许所选类型的流量。
步骤5从Services下拉菜单中,选择此规则允许或阻止的服务。
选择AllTraffic以允许将规则应用于所有应用程序和服务,或选择要阻止的单个应用程序:?
域名系统(DNS)、UDP或TCP?
文件传输协议(FTP)?
超文本传输协议(HTTP)?
安全超文本传输协议(HTTPS)?
简易文件传输协议(TFTP)?
互联网消息访问协议(IMAP)?
网络新闻传输协议(NNTP)?
邮局协议(POP3)?
简单网络管理协议(SNMP)?
简单邮件传输协议(SMTP) 思科RV130/RV130W边缘路由器管理指南 81 配置防火墙 配置访问规则
5 ?
?
STRMWORKS ?
终端接入控制器接入控制系统(TACACS)?
(命令)?
辅助?
SSL ?
语音(SIP)步骤6在SourceIP字段中,选择对其应用防火墙规则的用户: ?
Any-规则应用于源自本地网络中任何主机的流量。
?
SingleAddress-规则应用于源自本地网络中单个IP地址的流量。
在Start字 段中输入地址。
?
AddressRange-规则应用于源自位于地址范围中的IP地址的流量。
在Start字段输入起始IP地址,在Finish字段输入结束IP地址。
步骤7在Log字段中,指定是否应记录此规则的数据包。
要记录与此规则匹配的所有数据包的详情,请从下拉菜单中选择Always。
例如,如果某个时间表的出站规则选择为BlockAlways,则对于尝试针对该服务建立出站连接的每个数据包,会在日志中记录包含数据包源地址和目标地址(以及其他信息)的消息。
启用记录会生成大量日志消息,建议仅用于调试。
选择Never可禁用记录。
注:当流量从LAN或DMZ发送到WAN时,系统要求在传入IP数据包通过防火墙时重写这些数据包的源或目标IP地址。
步骤8选中RuleStatusEnable复选框以启用新访问规则。
步骤9单击Save。
思科RV130/RV130W边缘路由器管理指南 82 配置防火墙 创建互联网访问策略
5 创建互联网访问策略 设备支持多个用于阻止互联网访问的选项。
可以阻止所有互联网流量、阻止发送到特定PC或端点的互联网流量,或是通过指定要阻止的关键字来阻止对互联网站点的访问。
如果在站点名称(例如网站URL或新闻组名称)中找到这些关键字,则站点将被阻止。
添加或编辑互联网访问策略 创建互联网访问策略的步骤: 步骤1选择Firewall>essPolicy。
步骤2单击AddRow。
步骤3选中StatusEnable复选框。
步骤4输入策略名称以用于标识和管理。
步骤5从Action下拉菜单中选择所需访问限制类型: ?
Alwaysblock-始终阻止互联网流量。
这会阻止与所有端点之间的互联网流量。
如果要阻止所有流量,但是允许特定端点接收互联网流量,请参阅步骤
7。
?
Alwaysallow-始终允许互联网流量。
可以细化此选项以阻止与指定端点之间的互联网流量;请参阅步骤
7。
还可以允许除特定网站之外的所有互联网流量;请参阅步骤
8。
?
Blockbyschedule-根据时间表阻止互联网流量(例如,如果要在工作日办公时间内阻止互联网流量,但是在办公时间之后和周末时允许互联网流量)。
?
Allowbyschedule-根据时间表允许互联网流量。
如果选择Blockbyschedule或Allowbyschedule,请单击ConfigureSchedules以创建时间表。
请参阅管理防火墙时间表。
步骤6从下拉菜单中选择时间表。
步骤7(可选)将访问策略应用于特定PC以允许或阻止来自特定设备的流量:a.在ApplyessPolicytotheFollowingPCs表中,单击AddRow。
b.从Type下拉菜单中,选择如何标识PC(按MAC地址、按IP地址或通过提供IP 地址范围)。
思科RV130/RV130W边缘路由器管理指南 83 配置防火墙 配置一对一网络地址转换(NAT)
5 c.在Value字段中,根据上一步中的选择,输入以下内容之一: ?
对其应用策略的PC的MAC地址(xx:xx:xx:xx:xx:xx)。
?
对其应用策略的PC的IP地址。
?
要阻止的地址范围的起始和结束IP地址(例如,192.168.1.2192.168.1.253)。
步骤8阻止来自特定网站的流量的步骤: a.在WebsiteDomainName&Keyword表中,单击AddRow。
b.从Type下拉菜单中,选择如何阻止网站(通过指定域名或通过指定URL中出现的关键字)。
c.在Value字段中,输入用于阻止网站的URL或关键字。
例如,要阻止URL,请从下拉菜单中选择URLAddress,然后在Value字段中输入。
例如,要阻止URL中包含关键字“example”的URL,请从下拉菜单中选择Keyword,然后在Value字段中输入example。
步骤9单击Save。
配置一对一网络地址转换(NAT) 使用One-to-oneNAT页面可将位于防火墙之后的本地IP地址映射到全局IP地址。
一对一NAT是使配置有专用IP地址(位于防火墙之后)的系统表现为具有公共IP地址。
设置一对一NAT规则的步骤: 步骤1选择Firewall>One-to-OneNAT。
步骤2单击AddRow。
步骤3在PrivateRangeBegin字段中,输入专用(LAN)IP地址范围的起始IP地址。
步骤4在PublicRangeBegin字段中,输入公共(WAN)IP地址范围的起始IP地址。
步骤5在RangeLength中,输入应映射到专用地址的公共IP地址数。
思科RV130/RV130W边缘路由器管理指南 84 配置防火墙 配置端口转发
5 步骤6在Service字段中,选择对其应用规则的服务。
通过用于一对一NAT的服务可以配置服务,使其在流量发送到对应公共IP地址时由专用IP(LAN)地址接受。
当对应公共IP地址上存在流量时,会接受范围内专用IP地址上配置的服务。
步骤7单击Save。
配置端口转发 端口转发用于将来自互联网的流量从WAN上的一个端口重定向到LAN上的另一个端口。
可使用常用服务,也可以定义自定义服务及关联端口进行转发。
SinglePortForwardingRules和PortRangeForwardingRules页面列出此设备的所有可用端口转发规则,用于配置端口转发规则。
NOTE端口转发不适用于LAN上的服务器,因为需根据建立传出连接的LAN设备来打开传入端口。
某些应用要求在外部设备连接至它们时,在特定端口或端口范围上接收数据才能正常运行。
路由器必须仅在所需端口或端口范围上发送这类应用的所有传入数据。
网关具有要打开对应出站和入站端口的常用应用程序和游戏的列表。
也可以通过定义流量类型(TCP或UDP)以及要在启用时打开的传入和传出端口范围,来指定端口转发规则。
配置单端口转发 添加单端口转发规则的步骤: 步骤1选择Firewall>SinglePortForwarding。
系统将显示预先存在的应用程序列表。
步骤2在Application字段中,输入要为其配置端口转发的应用程序的名称。
步骤3在ExternalPort字段中,输入在从传出流量进行连接请求时触发此规则的端口号。
步骤4在InternalPort字段中,输入远程系统用于响应所接收的请求的端口号。
步骤5在Interface下拉菜单中,选择Both(&3G)、或3G。
步骤6在Protocol下拉菜单中选择协议(TCP、UDP或TCP&UDP)。
步骤7在IPAddress字段中,输入特定IP流量将转发到的LAN端主机的IP地址。
例如, 可以将HTTP流量转发到LAN端Web服务器的IP地址的端口80。
思科RV130/RV130W边缘路由器管理指南 85 配置防火墙 配置端口转发 步骤8在Enable字段中,选中Enable框以启用规则。
步骤9单击Save。
5 配置端口范围转发 添加端口范围转发规则的步骤: 步骤1选择Firewall>PortRangeForwarding。
步骤2在Application字段中,输入要为其配置端口转发的应用程序的名称。
步骤3在ExternalPort字段中,指定当传出流量发出连接请求时将触发此规则的端口号。
步骤4在Start字段中,指定进行转发的端口范围的起始端口号。
步骤5在End字段中,指定进行转发的端口范围的结束端口号。
步骤6在Interface下拉菜单中,选择Both(&3G)、或3G。
步骤7在Protocol下拉菜单中选择协议(TCP、UDP或TCP&UDP)。
步骤8在IPAddress字段中,输入特定IP流量将转发到的LAN端主机的IP地址。
步骤9在Enable字段中,选中Enable框以启用规则。
步骤10单击Save。
配置端口范围触发 LAN或DMZ上的设备通过端口触发可以请求一个或多个端口转发给他们。
端口触发等待来自某一指定端口上LAN/DMZ的出站请求,然后为该指定类型的流量打开传入端口。
端口触发是一种动态端口转发形式,而应用程序通过打开的传出或传入端口传输数据。
端口触发为指定的传出端口上的指定类型流量打开传入端口。
端口触发比静态端口转发(配置防火墙规则时可用)更灵活,因为规则不必引用特定LANIP或IP范围。
此外,端口在未使用时不会保留为打开状态,这样可提供端口转发所不具备的安全级别。
思科RV130/RV130W边缘路由器管理指南 86 配置防火墙 配置端口转发
5 NOTE端口触发不适用于LAN上的服务器,因为需根据建立传出连接的LAN设备来打开传入端口。
某些应用要求在外部设备连接至它们时,在特定端口或端口范围上接收数据才能正常运行。
路由器必须仅在所需端口或端口范围上发送这类应用的所有传入数据。
网关具有要打开对应出站和入站端口的常用应用程序和游戏的列表。
也可以通过定义流量类型(TCP或UDP)以及要在启用时打开的传入和传出端口范围,来指定端口触发规则。
添加端口触发规则的步骤: 步骤1选择Firewall>PortRangeTriggering。
步骤2在Application字段中,输入要为其配置端口转发的应用程序的名称。
步骤3在TriggeredRange字段中,输入当传出流量发出连接请求时将触发此规则的端口号或端口号范围。
如果传出连接仅使用一个端口,请在两个字段中输入相同端口号。
步骤4在ForwardedRange字段中,输入远程系统用于响应所接收的请求的端口号或端口号范围。
如果传入连接仅使用一个端口,请在两个字段中指定相同端口号。
步骤5在Interface下拉菜单中,选择Both(&3G)、或3G。
步骤6在Enable字段中,选中Enable框以启用规则。
步骤7单击Save。
思科RV130/RV130W边缘路由器管理指南 87
6 配置VPN 本章介绍如何配置设备的VPN和安全性。
•VPN隧道类型,第88页•配置基本站点到站点IPsecVPN,第88页•配置站点到站点IPsecVPN高级参数,第90页•配置IPsecVPN服务器,第93页•配置PPTP,第95页•配置VPN通道,第96页 VPN隧道类型 可以在设备上配置VPN以提供以下两者之间的安全通信信道或隧道:•两个网关路由器•一个远程客户端设备和一个网关路由器 配置基本站点到站点IPsecVPN 设备对单个网关到网关VPN隧道支持站点到站点IPsecVPN。
配置这些基本VPN设置之后,您就能够安全地连接至另一个支持VPN的路由器。
例如,可以将分支站点处的设备配置为连接至连接企业站点处站点到站点VPN隧道的路由器,以便分支站点具有针对企业网络的安全访问。
思科RV130/RV130W边缘路由器管理指南 88 配置VPN 配置基本站点到站点IPsecVPN
6 为站点到站点IPsec连接配置基本VPN设置的步骤: 步骤1选择VPN>Site-to-SiteIPsecVPN>BasicVPNSetup。
步骤2在NewConnectionName字段中,输入VPN隧道的名称。
步骤3在Pre-SharedKey字段中,输入预先共享密钥,或将在两个路由器之间交换的密码。
必须是8至49个字符。
步骤4在EndpointInformation字段中输入以下信息: •RemoteEndpoint-选择对设备将连接的路由器的标识是通过其IP地址还是通过完全合格域名。
例如,IP地址如192.168.1.1,完全合格域名如。
•RemoteWAN()IPAddress-输入远程端点的公共IP地址或域名。
•LocalWAN()IPAddress-输入您的设备的公共IP地址或域名。
步骤5在SecureConnectionRemoteessibility字段中输入以下信息: •RemoteLAN(LocalNetwork)IPAddress-远程端点的专用网络(LAN)地址。
这是远程站点处的内部网络IP地址。
•RemoteLANMask-远程端点的专用网络(LAN)子网掩码。
•LocalLAN(LocalNetwork)IPAddress-本地网络的专用网络(LAN)地址。
这是设备上的内部网络IP地址。
•LocalLAN(LocalNetwork)Mask-本地网络的专用网络(LAN)子网掩码。
注:远程WAN和远程LANIP地址不能共存于同一子网中。
例如,当流量通过VPN路由时,远程LANIP地址192.168.1.100和本地LANIP地址192.168.1.115会导致冲突。
第三个八位字节必须不同,从而使IP地址位于不同子网上。
例如,远程LANIP地址192.168.1.100和本地LANIP地址192.168.2.100即可接受。
步骤6单击Save。
查看默认值 单击ViewDefaultSettings可查看基本VPN设置中使用的默认值。
这些值由VPNConsortium推荐,假设您使用预先共享密钥或设备和远程端点都知道的密码。
思科RV130/RV130W边缘路由器管理指南 89 配置VPN 配置站点到站点IPsecVPN高级参数
6 配置站点到站点IPsecVPN高级参数 高级VPN参数(如IKE和其他VPN策略)控制设备如何启动和接收VPN连接。
要配置高级VPN参数,请选择VPN>Site-to-SiteIPsecVPN>AdvancedVPNSetup。
管理IKE策略 互联网密钥交换(IKE)协议在两个IPsec主机之间动态地交换密钥。
可以创建IKE策略以定义在通过IPsecVPN连接与远程路由器交换数据时要使用的安全参数。
例如,可以创建IKE策略以便为对等鉴权和加密算法定义参数。
确保VPN策略中的加密、鉴权和密钥组参数与远程路由器上的设置兼容。
添加IKE策略的步骤: 步骤1在AdvancedVPNSetup页面上,单击AddRow。
步骤2为IKE策略输入唯一名称以便能够方便地识别和管理策略。
步骤3在ExchangeMode字段中,为策略选择以下模式之一: •Main-协商安全性较高但较慢的隧道。
•Aggressive-建立较快但安全性较低的连接。
步骤4在LocalIdentifier和RemoteIdentifier字段中,指明是要按其真实IP地址还是公共IP地址来标识设备和远程路由器。
如果选择IP地址,请输入设备和远程路由器的真实IP地址。
步骤5在IKESAParameters部分中,配置各个参数,以便定义设备与远程路由器之间协商安全关联(SA)的强度和模式。
a.在EncryptionAlgorithm字段中,选择用于加密数据的算法。
b.在AuthenticationAlgorithm字段中,为VPN报头指定鉴权算法。
确保在VPN隧道两端配置相同的鉴权算法。
c.在Pre-SharedKey字段中,输入密钥或密码。
确保密码不包含双引号(")。
d.在Diffie-Hellman(DH)Group字段中,指定交换预先共享密钥时使用的DH组算法。
DH组按位设置算法强度。
确保在IKE策略两端配置相同的DH组。
e.在SA-Lifetime字段中,输入安全关联变为无效之前的时间间隔(以秒为单位)。
思科RV130/RV130W边缘路由器管理指南 90 配置VPN 配置站点到站点IPsecVPN高级参数
6 f.要启用DeadPeerDetection功能,请选中Enable框。
失效对等体检测(DPD)用于检测对等体是否为活动状态。
如果检测到对等体已失效,则设备会删除IPsec和IKE安全关联。
如果启用此功能,请同时输入以下设置: -DPDDelay-连续DPDR-U-THERE消息之间的间隔(以秒为单位)。
DPDR-U-THERE消息仅当IPsec流量空闲时才发送。
-DPDTimeout-设备在将对等体视为失效之前应等待接收DPD消息回复的最长时间。
步骤6单击Save。
NOTE如果已配置了VPN连接,则必须删除现有VPN连接才能添加另一个连接。
管理VPN策略 NOTE创建自动VPN策略之前,请确保创建作为自动VPN策略创建基础的IKE策略。
管理VPN策略的步骤: 步骤1选择VPN>Site-to-SiteIPsecVPN>AdvancedVPNSetup。
单击AddRow。
步骤2在Add/EditVPNPolicyConfiguration部分中: a.在PolicyName字段中,输入用于标识策略的唯一名称。
b.在PolicyType字段中,选择以下选项之一: •AutoPolicy-自动生成VPN隧道的一些参数。
这要求将互联网密钥交换(IKE)协议用于两个VPN端点之间的协商。
•ManualPolicy-为每个终端点手动输入VPN隧道的所有参数(包括密钥)。
不涉及第三方服务器或组织。
c.RemoteEndpoint-选择要在远程端点处为网关提供的标识符类型:IPAddress或FQDN(完全合格域名)。
输入IP地址或FQDN。
步骤3在LocalTrafficSelection和RemoteTrafficSelection部分中:•在LocalIP和RemoteIP字段中,指出VPN策略将包含的端点数:-Single-将策略限制到一个主机上。
在IPAddress字段中输入属于VPN的主机的IP地址。
思科RV130/RV130W边缘路由器管理指南 91 配置VPN 配置站点到站点IPsecVPN高级参数
6 --允许整个子网连接至VPN。
在IPAddress字段中输入网络地址,并在Mask字段中输入子网掩码。
在IPAddress字段中输入子网的网络IP地址。
在Mask字段中输入子网掩码,如255.255.255.0。
该字段基于IP地址自动显示默认子网地址。
NOTE请勿将重叠子网用于远程或本地流量选择器。
使用这些子网需要在路由器和要使用的主机上添加静态路由。
例如,请避免以下情况: 本地流量选择器:192.168.1.0/24 远程流量选择器:192.168.0.0/16 步骤4对于Manual策略类型,在ManualPolicyParameters部分中输入设置: •ing、SPI-Outgoing-输入介于3与8个字符之间的十六进制值;例如,0x1234。
安全参数索引(SPI)标识传入和传出流量流的安全关联。
•ManualEncryptionAlgorithm-选择用于加密数据的算法。
•Key-In、Key-Out-输入入站和出站策略的加密密钥。
密钥长度取决于所选加密算法: -DES-8个字符 -3DES-24个字符 -AES-128-16个字符 -AES-192-24个字符 -AES-256-32个字符 •ManualIntegrityAlgorithm-选择用于验证数据完整性的算法。
•Key-In、KeyOut-输入入站和出站策略的完整性密钥(用于具有完整性模式的ESP)。
密钥长度取决于所选算法: -MD5-16个字符 -SHA-1-20个字符 -SHA2-256-32个字符 步骤5对于Auto策略类型,在AutoPolicyParameters部分中输入设置。
•SA-Lifetime-输入安全关联的持续时间(以秒为单位)。
指定秒数过后,重新协商安全关联。
默认值为3600秒。
最小值为300秒。
•EncryptionAlgorithm-选择用于加密数据的算法。
•IntegrityAlgorithm-选择用于验证数据完整性的算法。
思科RV130/RV130W边缘路由器管理指南 92 配置VPN 配置IPsecVPN服务器
6 •PFSKeyGroup-选中Enable框可启用完全向前保密(PFS)以提高安全性。
速度较慢时,此协议可通过确保对每个第2阶段协商执行Diffie-Hellman交换,帮助防止窃听。
•DHGroup-指定交换预先共享密钥时使用的DH组算法。
DH组按位设置算法强度。
确保在IKE策略两端配置相同的DH组。
•SelectIKEPolicy-选择定义SA协商特性的IKE策略。
步骤6单击Save。
配置IPsecVPN服务器 使用IPsecVPN可建立跨互联网的加密隧道,实现对企业资源的安全远程访问。
设备支持以下IPsecVPN客户端: •TheGreenBow•ShrewSoft 配置IPsecVPN服务器 配置IPsecVPN服务器的步骤: 步骤1选择VPN>IPsecVPNServer>Setup。
步骤2选中ServerEnable复选框。
步骤3在Phase1部分中,配置设置以使两个VPN端点相互鉴权并协商IKE安全关联 (SA),从而使安全信道在第2阶段协商SA。
a.在Pre-SharedKey字段中,输入预先共享密钥,或将在设备与远程端点之间交 换的密码。
该密码必须是8至49个字符。
b.在ExchangeMode字段中,为IPsecVPN连接选择以下模式之一: -Main-协商隧道时的安全性较高,但速度较慢。
-Aggressive-建立连接较快,但安全性较低。
c.选择EncryptionAlgorithm以加密数据并为VPN报头选择AuthenticationAlgorithm。
确保在设备和远程端点上配置相同的鉴权算法。
思科RV130/RV130W边缘路由器管理指南 93 配置VPN 配置IPsecVPN服务器
6 d.在Diffie-Hellman(DH)Group字段中,指定交换预先共享密钥以按位设置算法强度时使用的Diffie-Hellman组算法。
确保在设备和远程端点上配置相同的DH组。
e.在IKESA-Lifetime字段中,输入重新协商VPN连接的安全关联之前的持续时间(以秒为单位)。
步骤4在Phase2Configuration部分中,配置参数以协商IPsec隧道的IPsec安全关联(SA): a.在LocalIP字段中,指示VPN策略将包含的端点数: -Single-将策略限制到一个主机上。
在IPAddress字段中输入属于VPN的主机的IP地址。
--允许整个子网连接至VPN。
在IPAddress字段中输入网络地址,并在Mask字段中输入子网掩码。
在IPAddress字段中输入子网的网络IP地址。
在Mask字段中输入子网掩码,如255.255.255.0。
该字段基于IP地址自动显示默认子网地址。
b.在IPsecSALifetime字段中,输入重新协商VPN连接的安全关联之前的持续时间(以秒为单位)。
c.选择EncryptionAlgorithm以加密数据并为VPN报头选择AuthenticationAlgorithm。
确保在设备和远程端点上配置相同的鉴权算法。
d.要创建更安全的IPsecVPN连接,请选中PFSKeyGroupEnable复选框,从而确保在第2阶段进行新的Diffie-Hellman密钥交换。
完全向前保密(PFS)可在第1阶段中生成的DH密钥在传输中受损时使用新密钥保护数据,从而提供额外的一层保护。
确保两个IPsec端点都启用了PFS。
步骤5单击Save。
配置IPsecVPN用户帐户 步骤1选择VPN>IPsecVPNServer>User。
步骤2单击AddRow。
步骤3输入用户名和密码。
建议密码不包含任何语言中的字典单词,应由字母(包含大写和小写字母)、数字和符号组成。
密码长度最多为64个字符。
步骤4要从.CSV文件导入文件名和密码,请单击Import。
系统将显示Administration>Users页面。
在ImportUsernameandPassword部分中,单击Browse找到文件,然后单击Import。
步骤5保存用户帐户。
思科RV130/RV130W边缘路由器管理指南 94 配置VPN 配置PPTP
6 配置PPTP 点对点隧道协议(PPTP)是一种网络协议,可跨公共网络(如互联网)创建安全VPN连接,实现从远程客户端到企业网络的安全数据传输。
配置PPTP服务器 配置PPTPVPN服务器的步骤: 步骤1选择VPN>PPTPServer。
步骤2在PPTPServerConfiguration部分中,配置PPTPVPN设置: a.选中PPTPServerEnable复选框。
b.输入PPTP服务器的IP地址。
c.输入PPTP客户端的IP地址范围。
d.要对通过PPTPVPN连接的数据进行加密,请选中MPPEEncryptionEnable复 选框。
步骤3单击Save。
创建和管理PPTP用户 创建和启用PPTP用户的步骤: 步骤1选择VPN>PPTPServer。
在PPTPUserountTable中,单击AddRow。
步骤2输入用于对PPTP用户进行鉴权的用户名和密码。
输入长度为4到32个字符的值。
步骤3选中用户的Enable复选框。
步骤4要从.CSV文件导入文件名和密码,请单击Import。
系统将显示Administration> Users页面。
在ImportUsernameandPassword部分中,单击Browse找到文件,然后单击Import。
步骤5保存用户帐户。
思科RV130/RV130W边缘路由器管理指南 95 配置VPN 配置VPN通道
6 配置VPN通道 源自VPN客户端的VPN流量使用VPN通道可以通过设备。
配置VPN通道的步骤: 步骤1选择VPN>VPNPassthrough。
步骤2选中Enable复选框以选择允许通过设备的流量类型。
步骤3单击Save。
SSL证书 思科RV130/RV130W支持适用于IPsecVPN的证书身份验证。
安全套接字层(SSL)证书可提供数据加密,并在SSL会话建立之前对服务器进行身份验证。
要管理SSL证书,请单击VPN>SSLCertificate。
•受信任证书(CA证书)表 -单击Upload转到Certificates页面。
单击Browse,从您的本地驱动器上选择一个受信任证书,然后单击Import。
•活动自签证书 -单击Upload转到Certificates页面。
单击Browse,从您的本地驱动器上选择一个活动自签证书,然后单击Import。
•自签证书请求 自签证书是由标识您设备的CA签发的证书(或者如果您不需要CA的身份保护,也可以进行自签名)。
要请求由CA签署的自签证书,您可以通过输入身份识别参数从网关生成证书签名请求,并将其发送给相关CA签署。
完成签署后,上传CA的受信任证书和CA签署的证书,以激活此网关的自签证书身份验证。
这样一来,自签证书便可用于与对等点的IPsec连接,从而使网关的验证生效。
思科RV130/RV130W边缘路由器管理指南 96 配置VPN VPN设置向导
6 -GenerateCertificate-要生成SSL证书请求,请单击GenerateCertificate,系统将显示新的证书信息请求页面。
Name-输入新证书的名称。
Subject-请使用以下格式:“CN=xxx”(“CN”必须大写)。
HashAlgorithm-从下拉列表中选择所需的哈希算法。
SignatureAlgorithm-从下拉列表中选择所需的签名算法。
SignatureKeyLength-从下拉列表中选择所需的签名密钥长度。
(可选)IPAddress-输入路由器的IP地址。
(可选)DomainName-输入路由器的域名。
(可选)EmailAddress-输入请求者的电子邮件地址。
-ExportforAdmin-要将证书请求导出到本地驱动器,请选择此项。
•ExportCertificate-要下载路由器证书,请单击ExportforClient按钮。
单击Save可保存配置,单击Cancel可撤销设置。
VPN设置向导 要使用VPN设置向导,请执行以下操作: 步骤1单击VPN>VPNSetupWizard。
步骤2屏幕上将弹出向导窗口。
按照屏幕上所显示的说明来设置设备。
思科RV130/RV130W边缘路由器管理指南 97 配置VPN
6 思科RV130/RV130W边缘路由器管理指南 98
7 配置服务质量(QoS) 本章介绍如何配置以下服务质量(QoS)功能:•配置带宽管理,第99页•配置基于端口的QoS设置,第101页•配置CoS设置,第102页•配置DSCP设置,第102页 服务质量(QoS)向各个应用程序、用户或数据流分配优先权,或保证数据流达到某个性能级别。
当网络容量不足时,这些保证十分重要。
例如,对于实时流多媒体应用程序(如IP网络语音、在线游戏和IP-TV,因为它们需要固定比特率并且对延迟十分敏感),以及容量受限的网络。
配置带宽管理 可以使用设备带宽管理功能管理从安全网络(LAN)流向不安全网络(WAN)的流量的带宽。
配置带宽 可以限制带宽以降低设备传输数据的速率。
还可以使用带宽简档限制出站流量,这样可防止LAN用户占用所有互联网链路带宽。
设置上游和下游带宽的步骤: 步骤1选择QoS>BandwidthManagement。
步骤2在BandwidthManagement字段中,选中Enable。
ISP提供的最大带宽显示在 Bandwidth部分中。
思科RV130/RV130W边缘路由器管理指南 99 配置服务质量(QoS) 配置带宽管理
7 步骤3在BandwidthTable中,输入WAN接口的以下信息: UpstreamDownstream 步骤4单击Save。
用于向互联网发送数据的带宽(kb/s)。
用于从互联网接收数据的带宽(kb/s)。
(仅适用于默认VLAN) 配置带宽优先权 在BandwidthPriorityTable中,可以向服务分配优先权以管理带宽使用情况。
配置带宽优先权的步骤: 步骤1在BandwidthPriorityTable中,单击AddRow。
步骤2在以下字段中输入信息: EnableDirectionCategory ServiceVLAN/SSIDIPAddressMaskPriorityRemarking DSCP 选中可启用此服务的带宽管理。
选择要为入站还是出站流量设置优先权。
选择是为服务、VLAN/SSID、源IP(入站流量)还是目标IP(出站流量)设置带宽优先权。
选择要为其设置优先权的服务。
选择要为其设置优先权的VLAN或SSID。
如果在Category字段中选择SourceIP或DestinationIP,请输入源或目标的IP地址和子网掩码。
为所选类别设置优先权(low、medium或high)。
选中可对差分服务代码点(DSCP)启用重新标记。
启用此功能可基于DSCPSettings页面上的DSCP队列映射,对LAN上的网络流量设置优先权。
为此网络上的数据包输入重新标记值。
思科RV130/RV130W边缘路由器管理指南 100 配置服务质量(QoS) 配置基于端口的QoS设置
7 步骤3单击Save。
要编辑表中条目的设置,请选中相关框并单击Edit。
完成更改之后,单击Save。
要从表中删除条目,请选中相关框并单击Delete。
单击Save。
要添加新服务定义,请单击ServiceManagement按钮。
可以定义新服务以用于所有防火墙和QoS定义。
请参阅配置服务管理。
配置基于端口的QoS设置 可以为设备上的每个端口配置QoS设置。
设备支持四个优先权队列,用于对每个端口进行流量优先权设置。
为设备上的端口配置QoS设置的步骤: 步骤1选择QoS>QoSPort-BasedSettings。
步骤2对于QoSPort-BasedSettings表中的每个端口,输入以下信息: TrustMode DefaultTrafficForwardingQueueforUntrustedDevices步骤3单击Save。
从下拉菜单中选择以下选项之一: •Port-启用基于端口的QoS设置。
随后可以为特定端口设置流量优先权。
流量队列优先权从最低优先权1开始,到最高优先权3结束。
•DSCP-差分服务代码点(DSCP)。
启用此功能可基于DSCPSettings页面上的DSCP队列映射,对LAN上的网络流量设置优先权。
•CoS-服务等级(CoS)。
为出站流量选择优先权级别(1至3)。
要恢复默认基于端口的QoS设置,请单击RestoreDefault并保存更改。
思科RV130/RV130W边缘路由器管理指南 101 配置服务质量(QoS) 配置CoS设置
7 配置CoS设置 使用QoSPort-BasedSettings页面的链接可将CoS优先权设置映射到QoS队列。
将CoS优先权设置映射到流量转发队列的步骤:步骤1选择QoS>CoSSettings。
步骤2对于CoSSettingsTable中的每个CoS优先权级别,请从TrafficForwardingQueue下拉菜单中选择优先权值。
这些值根据流量类型,使用较高或较低流量优先权值进行标记。
步骤3单击Save。
要恢复默认基于端口的QoS设置,请单击RestoreDefault然后单击Save。
配置DSCP设置 可以使用DSCPSettings页面配置DSCP到QoS队列映射。
配置DSCP到QoS队列映射的步骤:步骤1选择QoS>DSCPSettings。
步骤2通过单击相关按钮,选择在DSCPSettingsTable中是仅列出RFC值还是列出所有DSCP值。
步骤3对于DSCPSettingsTable中的每个DSCP值,请从Queue下拉菜单中选择优先权级别。
这会将DSCP值映射到所选QoS队列。
步骤4单击Save。
要恢复默认DSCP设置,请依次单击RestoreDefault和Save。
思科RV130/RV130W边缘路由器管理指南 102
8 CiscoSmallBusinessCiscoSmallBusiness管理设备 本章介绍设备的管理功能,包括用户创建、网络管理、系统诊断和日志、日期和时间以及其他设置。
•设置密码复杂性,第104页•配置用户帐户,第105页•设置会话超时值,第106页•配置简单网络管理(SNMP),第107页•使用诊断工具,第110页•配置日志和电子邮件设置,第112页•配置Bonjour,第116页•配置日期和时间设置,第117页•备份和恢复系统,第118页•升级固件或更改语言,第120页•重新启动设备,第122页•恢复出厂默认设置,第122页 设置设备属性 向设备分配名称和域名可确保其他设备可方便地识别它。
设置设备属性的步骤: 步骤1选择Administration>DeviceProperties。
思科RV130/RV130W边缘路由器管理指南 103 CiscoSmallBusinessCiscoSmallBusiness管理设备 设置密码复杂性
8 步骤2在Hostname字段中输入用于在网络上唯一标识设备的名称。
例如RTR141。
步骤3在DomainName字段中,输入设备所在的域。
例如。
如果不知道组织的域名,请联系网络管理员。
步骤4保存更改。
设置密码复杂性 对于密码更改,可强制实施密码复杂性最低要求。
配置密码复杂性设置的步骤: 步骤1选择Administration>PasswordStrength。
步骤2在PasswordComplexitySettings字段中,选中Enable。
步骤3配置密码复杂性设置: MinimumPasswordLengthMinimumnumberofcharacterclasses ThenewpasswordmustbedifferentthanthecurrentonePasswordAgingPasswordagingtime 输入最小密码长度(0-64个字符)。
输入表示以下字符类别之一的数字:•大写字母。
•小写字母。
•数字。
•标准键盘上有的特殊字符。
默认情况下,密码必须包含以上至少三种类别的字符。
选中Enable可要求新密码与当前密码不同。
选中Enable可使密码在指定时间之后过期。
输入密码过期之前的天数(1-365)。
默认值为180天。
思科RV130/RV130W边缘路由器管理指南 104 CiscoSmallBusinessCiscoSmallBusiness管理设备 配置用户帐户 步骤4单击Save。
8 配置用户帐户 设备支持两个用于管理和查看设置的用户帐户:管理用户(默认用户名和密码:cisco)和访客用户(默认用户名:guest)。
访客帐户拥有只读访问权限。
可以为管理员和访客帐户设置和管理用户名和密码。
配置用户帐户的步骤: 步骤1选择Administration>Users。
步骤2在ountActivation字段中,选中要激活的帐户的框。
(admin帐户必须为活动 状态。
)步骤3(可选)要编辑管理员帐户,请在AdministratorountSetting下选中Edit AdministratorSettings。
要编辑访客帐户,请在GuestSettings下选中EditGuestSettings。
输入以下信息: NewUsernameOldPasswordNewPassword RetypeNewPassword步骤4单击Save。
输入新用户名。
输入当前密码。
输入新密码。
建议密码不包含任何语言中的字典单词,应由字母(包含大写和小写字母)、数字和符号组成。
密码长度最多为64个字符。
重新输入新密码。
导入用户帐户 可以使用CSV文件同时导入多个用户。
思科RV130/RV130W边缘路由器管理指南 105 CiscoSmallBusinessCiscoSmallBusiness管理设备 设置会话超时值 确保CSV文件中的数据的组织方式如下所示: TYPEAdminGuest USERNAMEAdmin123Guest123 PASSWORDAdmin123Guest123
8 TYPEPPTPPPTP USERNAMEPPTP-user-1PPTP-user-
2 PASSWORD12345678345123678 ENABLEenabledisable TYPEVPNServerVPNServer USERNAMEvpn-user-1vpn-user-
2 PASSWORD1234567833245678 TYPE USERNAME-user-1-user-
2 PASSWORD1234567833245678 NOTE各列的名称区分大小写。
请勿更改各列的顺序或名称。
从CSV文件导入用户帐户的步骤: 步骤1在ImportUserName&Password字段中,单击Browse。
步骤2找到文件,然后单击Open。
步骤3单击Import。
ACCESS_TIME144060 设置会话超时值 思科RV130/RV130W边缘路由器管理指南 106 CiscoSmallBusinessCiscoSmallBusiness管理设备 配置简单网络管理(SNMP)
8 超时值是设备管理器会话结束之前允许处于不活动状态的分钟数。
可以为Admin和Guest帐户配置超时。
配置会话超时的步骤: 步骤1选择Administration>SessionTimeout。
步骤2在AdministratorInactivityTimeout字段中,输入会话由于处于不活动状态而超时之前的分钟数。
选择Never可允许管理员永久保持登录状态。
步骤3在GuestInactivityTimeout字段中,输入会话由于处于不活动状态而超时之前的分钟数。
选择Never可允许管理员永久保持登录状态。
步骤4单击Save。
配置简单网络管理(SNMP) 通过简单网络管理协议(SNMP)可以从SNMP管理器监控和管理路由器。
SNMP提供了一种远程方法,用于监控和控制网络设备,并用于管理配置、统计信息收集、性能和安全性。
配置SNMP系统信息 NOTE需要先在计算机上安装SNMP软件,然后才能使用SNMP。
设备仅支持用于SNMP管理的SNMPv3以及用于SNMP陷阱消息的SNMPv1/2/3。
启用SNMP的步骤: 步骤1选择Administration>SNMP。
步骤2选中Enable可启用SNMP。
步骤3对于Allowuseressvia或AllowuseressviaVPN,选中相应的 Enable复选框可允许用户通过互联网访问或允许用户通过VPN访问。
步骤4在Mode字段中选择SNMP版本。
步骤5输入以下信息: 思科RV130/RV130W边缘路由器管理指南 107 CiscoSmallBusinessCiscoSmallBusiness管理设备 配置简单网络管理(SNMP)
8 SysContactSysLocationSysName 步骤6单击Save。
输入此设备的联系人姓名。
例如,网络管理员。
输入设备的物理位置。
例如,Rack#2,4thFloor。
输入用于方便标识设备的名称。
例如RTR141。
编辑SNMPv3用户 可以为设备的两个默认用户帐户(Admin和Guest)配置SNMPv3参数。
配置SNMPv3设置的步骤: 步骤1选择Administration>SNMP。
步骤2在SNMPv3UserConfiguration下配置以下设置: UserNameessPrivilegeSecurityLevel AuthenticationAlgorithmServerAuthenticationPassword 选择要配置的帐户(admin或guest)。
显示所选用户帐户的访问权限。
选择SNMPv3安全级别:NoAuthenticationandNoPrivilege-不需要任何鉴权和私密性。
AuthenticationandNoPrivilege-仅提交鉴权算法和密码。
AuthenticationandPrivilege-提交鉴权和私密性算法以及密码。
选择鉴权算法类型(MD5或SHA)。
输入鉴权密码。
思科RV130/RV130W边缘路由器管理指南 108 CiscoSmallBusinessCiscoSmallBusiness管理设备 配置简单网络管理(SNMP)
8 PrivacyAlgorithmPrivacyPassword步骤3单击Save。
选择私密性算法类型(DES或AES)。
输入私密性密码。
思科RV130/RV130W边缘路由器管理指南 109 CiscoSmallBusinessCiscoSmallBusiness管理设备 使用诊断工具
8 配置SNMP陷阱 通过SNMPTrapConfiguration部分中的字段可以配置设备将陷阱消息(通知)发送到的SNMP代理。
配置陷阱的步骤: 步骤1选择Administration>SNMP。
步骤2在TrapConfiguration下配置以下设置: IPAddressPortCommunity SNMPVersionSNMPTrapSeverityLevel步骤3单击Save。
输入SNMP管理器或陷阱代理的IP地址。
输入将陷阱消息发送到的IP地址的SNMP陷阱端口。
输入代理所属的社区字符串。
大多数代理配置为监听公共社区中的陷阱。
选择SNMP版本:v1、v2c或v3。
选择设备必须发送陷阱消息时的严重性级别。
使用诊断工具 设备提供了几个诊断工具来帮助对网络问题进行故障排除。
•网络工具•配置端口镜像 网络工具 使用网络工具可对网络进行故障排除。
思科RV130/RV130W边缘路由器管理指南 110 CiscoSmallBusinessCiscoSmallBusiness管理设备 使用诊断工具
8 使用PING可以使用PING实用程序测试此路由器与网络中其他设备之间的连接。
还可以使用Ping工具测试互联网连接,方法是对完全合格域名(例如)执行Ping命令。
使用PING的步骤: 步骤1选择Administration>Diagnostics>NetworkTools。
步骤2在IPAddress/DomainName字段中,输入要对其执行Ping命令的设备IP地址或 完全合格域名,如。
步骤3单击Ping。
系统将显示Ping结果。
这些结果可说明设备是否可访问。
使用TracerouteTraceroute实用程序显示目标IP地址与此路由器之间存在的所有路由器。
路由器显示此路由器与目标之间的最多30个步跳(中间路由器)。
使用Traceroute的步骤: 步骤1选择Administration>Diagnostics>NetworkTools。
步骤2在IPAddress/DomainName字段中,输入要追踪的IP地址。
步骤3单击Traceroute。
系统将显示Traceroute结果。
执行DNS查找可以使用查找工具查找互联网上的主机(例如,Web、FTP或邮件服务器)的IP地址。
要检索互联网上的Web、FTP、邮件或任何其他服务器的IP地址,请在文本框中键入互联网名称并单击Lookup。
如果主机或域条目存在,则您会看到包含IP地址的响应。
未知主机消息指示指定互联网名称不存在。
使用查找工具的步骤: 步骤1选择Administration>Diagnostics>NetworkTools。
步骤2在Name字段中,输入主机的互联网名称。
步骤3单击Lookup。
系统将显示nslookup结果。
思科RV130/RV130W边缘路由器管理指南 111 CiscoSmallBusinessCiscoSmallBusiness管理设备 配置日志和电子邮件设置
8 配置端口镜像 端口镜像通过从一个端口向监控端口发送所有传入和传出数据包的副本来监控网络流量。
可以使用端口镜像作为诊断或调试工具,尤其是在躲避攻击或查看从LAN到WAN的用户流量以了解用户是否在访问不应访问的信息或网站时。
LAN主机(PC)应使用静态IP地址避免与端口镜像有关的任何问题。
如果没有为LAN主机配置静态IP地址,则DHCP租用可能会对LAN主机过期,可能会导致端口镜像失败。
配置端口镜像的步骤: 步骤1选择Administration>Diagnostics>PortMirroring。
步骤2在MirrorSource字段中,选择要镜像的端口。
步骤3从MirrorPort下拉菜单中选择镜像端口。
如果使用某个端口进行镜像,请勿将该端口用于任何其他流量。
步骤4单击Save。
配置日志和电子邮件设置 配置日志可监控指示设备状况和性能的活动。
配置日志设置 配置记录的步骤: 步骤1选择Administration>Logging>LogSettings。
步骤2在LogMode字段中,选中Enable。
步骤3选中EmailAlertEnable复选框可将设备配置为针对可能影响设备的性能、操作和安 全性的事件或行为,或是为了进行调试,向特定电子邮件地址发送警报电子邮件。
选中相应框可针对以下事件启用电子邮件警报: 思科RV130/RV130W边缘路由器管理指南 112 CiscoSmallBusinessCiscoSmallBusiness管理设备 配置日志和电子邮件设置
8 WAN连接/中断 站点到站点IPsecVPN隧道连接/中断CPU过载 系统启动新固件可用 当WAN链路中断时发送一封电子邮件,当链路再次连接时发送另一封电子邮件。
当站点到站点IPsecVPN隧道中断时发送一封电子邮件,当隧道再次连接时发送另一封电子邮件。
当CPU利用率高于阈值时发送一封警报电子邮件,当CPU利用率回落到正常值时发送另一封警报电子邮件。
当设备正在启动时发送电子邮件警报。
当有新固件可供设备使用时发送电子邮件警报。
步骤4单击AddRow。
思科RV130/RV130W边缘路由器管理指南 113 CiscoSmallBusinessCiscoSmallBusiness管理设备 配置日志和电子邮件设置
8 步骤5配置以下设置: RemoteLogServerLogSeverityforLocalLogandEmail Enable 输入将维护日志的日志服务器的IP地址。
选择要对其维护日志并将这些日志发送到特定电子邮件地址的事件的严重性。
严重性高于所选日志类型的所有日志类型将自动包含在内,您不能排除这些类型。
例如,如果选择Error日志,则也会选择Emergency、Alert和Critical。
下面按照从高到低的顺序列出了事件的严重性级别: •Emergency-系统无法使用。
•Alert-需要采取措施。
•Critical-系统处于高危状态。
•Error-系统出错。
•Warning-系统已发出警告。
•Notification-系统能够正常工作,但系统已发出通知。
•Information-设备信息。
•Debugging-详细事件信息。
选择此日志严重性可生成较长的日志列表,不建议在正常路由器操作过程中使用。
要启用这些记录设置,请选中此框。
步骤6单击Save。
步骤7单击ViewLogs查看系统日志表。
要编辑LoggingSettingTable中的条目,请选择条目并单击Edit。
进行更改,然后单击Save。
思科RV130/RV130W边缘路由器管理指南 114 CiscoSmallBusinessCiscoSmallBusiness管理设备 配置日志和电子邮件设置
8 配置日志电子邮件 可以将设备配置为通过电子邮件发送日志。
建议为发送和接收日志而设置单独的电子邮件帐户。
必须先设置要捕获的日志的严重性;请参阅配置日志设置。
配置日志电子邮件的步骤: 步骤1选择Administration>Logging>E-mailSettings。
步骤2要启用日志事件的电子邮件,请选中Enable。
系统将显示要捕获的日志的最低电子邮件日志严重性。
要更改此设置,请单击ConfigureSeverity。
步骤3配置以下设置: E-mailServerAddress E-mailServerPort ReturnE-mailAddress SendtoE-mailAddress
(1)SendtoE-mailAddress
(2)(Optional)SendtoE-mailAddress
(3)(Optional)E-mailEncryption AuthenticationwithSMTPServer 输入SMTP服务器的地址。
这是与设置的电子邮件帐户关联的邮件服务器(例如,)。
输入SMTP服务器端口。
如果电子邮件提供商要求将专用端口用于电子邮件,请在此处输入。
否则,请使用默认设置(25)。
输入在从路由器到发送目标电子邮件地址的日志无法送达时设备将消息发送到的返回电子邮件地址。
输入将日志发送到的电子邮件地址(例如,)。
选择SSL或TSL作为电子邮件加密方法。
如果不想使用电子邮件加密方法,请选择Disable。
如果SMTP(邮件)服务器要求进行鉴权之后才接受连接,请从下拉菜单中选择鉴权类型:None、LOGIN、PLAIN和CRAM-MD5。
思科RV130/RV130W边缘路由器管理指南 115 CiscoSmallBusinessCiscoSmallBusiness管理设备 配置Bonjour
8 E-mailAuthenticationUsername E-mailAuthenticationPassword E-mailAuthenticationTest 输入电子邮件鉴权用户名(例如,)。
输入电子邮件鉴权密码(例如,用于访问将日志发送到的已设置电子邮件帐户的密码)。
单击Test可测试电子邮件鉴权。
步骤4在SendE-MailLogsbySchedule部分中,配置以下设置: UnitDayTime步骤5单击Save。
选择日志的时间单位(Never、Hourly、Daily或Weekly)。
如果选择Never,则不发送日志。
如果选择每周时间表来发送日志,请选择在星期几发送日志。
如果选择每天或每周时间表来发送日志,请选择一天中发送日志的时间。
配置Bonjour Bonjour是一种服务通告和发现协议。
在设备上,Bonjour仅通告启用Bonjour时在设备上配置的默认服务。
启用Bonjour的步骤: 步骤1选择Administration>Bonjour。
步骤2选中Enable可启用Bonjour。
步骤3要为BonjourInterfaceControlTable中列出的VLAN启用Bonjour,请选中对应的 EnableBonjour框。
思科RV130/RV130W边缘路由器管理指南 116 CiscoSmallBusinessCiscoSmallBusiness管理设备 配置日期和时间设置
8 可以为特定VLAN启用Bonjour。
通过在VLAN上启用Bonjour,VLAN上存在的设备可以发现路由器上可用的Bonjour服务(如HTTP/HTTPS)。
例如,如果VLAN配置的ID为
2,则除非为VLAN2启用Bonjour,否则VLAN2上存在的设备和主机无法发现在路由器上运行的Bonjour服务。
步骤4单击Save。
配置日期和时间设置 您可以配置时区、是否针对夏令时进行调整,以及使用哪个网络定时协议(NTP)服务器同步日期和时间。
然后路由器从NTP服务器获取日期和时间信息。
配置NTP和时间设置的步骤: 步骤1选择Administration>TimeSettings。
系统将显示当前时间。
步骤2在以下字段中输入信息: TimeZoneAdjustforDaylightSavingsTime DaylightSavingMode 选择与格林威治标准时间(GMT)相关的时区。
如果您所在区域支持,请选中AdjustforDaylightSavingsTime框。
如果在SetDateandTime字段中单击Manual,则此复选框为灰色。
如果选择Bydate,请输入夏令时模式开始时的指定日期。
如果选择Recurring,请输入夏令时开始时的月份、周、星期几和时间。
在From和To字段中输入相应信息。
思科RV130/RV130W边缘路由器管理指南 117 CiscoSmallBusinessCiscoSmallBusiness管理设备 备份和恢复系统
8 DaylightSavingOffsetSetDateandTimeNTPServer 步骤3单击Save。
从下拉菜单中选择与协调世界时(UTC)之间的偏移。
选择要手动还是自动设置设备上的日期和时间。
如果选择Manual,请在EnterDateandTime字段中输入日期和时间。
要使用默认NTP服务器,请单击UseDefault按钮。
要使用特定NTP服务器,请单击UserDefinedNTPServer,然后在两个可用字段中输入NTP服务器的完全合格域名或IP地址。
备份和恢复系统 可以通过Administration>Backup/RestoreSettings页面,备份自定义配置设置以供将来恢复或从以前的备份进行恢复。
当防火墙按配置方式工作时,可以备份配置以供将来恢复。
在备份过程中,设置会保存为PC上的文件。
可以从此文件恢复防火墙设置。
!
注意在恢复操作过程中,请勿在操作完成之前尝试上线、关闭防火墙、关闭PC或使用防火墙。
这大约需要一分钟。
当测试指示灯熄灭时,多等待几秒,然后再使用防火墙。
备份配置设置 备份或恢复配置的步骤: 步骤1选择Administration>Backup/RestoreSettings。
步骤2选择要备份或清除的配置: 思科RV130/RV130W边缘路由器管理指南 118 CiscoSmallBusinessCiscoSmallBusiness管理设备 备份和恢复系统
8 Startupconfiguration MirrorconfigurationBackupconfiguration 选择此选项可下载启动配置。
启动配置是设备使用的最新运行配置。
如果路由器启动配置丢失,请使用此页面将备份配置复制到启动配置,使以前的所有配置信息保持完整。
可以将启动配置下载到其他RV130/RV130W设备以进行方便部署。
如果设备在启动配置未进行更改的情况下运行24小时之后必须备份启动配置,请选择此选项。
选择此选项可备份当前配置设置。
步骤3要基于所选配置选项下载备份文件,请单击Download。
默认情况下,文件(startup.cfg、mirror.cfg或backup.cfg)会下载到默认Downloads文件夹中;例如,C:\DocumentsandSettings\admin\MyDocuments\Downloads\。
步骤4要清除所选配置,请单击Clear。
恢复配置设置 恢复以前保存的简档的步骤: 步骤1选择Administration>Backup/RestoreSettings。
步骤2在ConfigurationUpload字段中,选择要上传的配置(StartupConfiguration或 BackupConfiguration)。
步骤3单击Browse以查找文件。
步骤4选择文件,然后单击Open。
步骤5单击StarttoUpload。
设备上传简档并使用其中包含的设置更新启动配置。
设备随后重新启动并使用新配置。
思科RV130/RV130W边缘路由器管理指南 119 CiscoSmallBusinessCiscoSmallBusiness管理设备 升级固件或更改语言
8 复制配置设置 将启动配置复制到备份配置可确保具有备份副本,以防您忘记用户名和密码,被锁定在设备管理器外部。
要返回设备管理器,请将设备重置为出厂默认设置。
备份简档保留在内存中,可用于将备份的配置信息复制到启动配置,这会恢复所有设置。
复制配置(例如,将启动配置复制到备份配置)的步骤: 步骤1选择Administration>Backup/RestoreSettings。
步骤2在Copy字段中,从下拉菜单中选择源和目标配置。
步骤3单击StarttoCopy。
生成加密密钥 路由器允许生成加密密钥来保护备份文件。
生成加密密钥的步骤: 步骤1选择Administration>Backup/RestoreSettings。
步骤2单击ShowAdvancedSettings。
步骤3在框中,输入用于生成密钥的种子短语。
步骤4单击Save。
升级固件或更改语言 可以使用Administration>Firmware/LanguageUpgrade页面升级到较新版本的固件或更改路由器的语言。
!
注意在固件升级过程中,请勿在操作完成之前尝试上线、关闭设备、关闭PC或以任何方式中断过程。
此过程大约需要一分钟(包括重新启动过程)。
在正向闪存写入的特定时间点中断升级过程可能会损坏闪存并使路由器无法使用。
思科RV130/RV130W边缘路由器管理指南 120 CiscoSmallBusinessCiscoSmallBusiness管理设备 升级固件或更改语言
8 升级固件使用较新版本的固件升级路由器的步骤: 步骤1选择Administration>Firmware/LanguageUpgrade。
步骤2(可选)单击Download以下载最新版本的固件。
步骤3在FileType字段中,单击FirmwareImage按钮。
步骤4单击Browse以查找并选择下载的固件。
步骤5(可选)要在固件升级之后将设备重置为默认出厂设置,请选中Resetall configurations/settingstofactorydefaults。
!
注意将设备重置为默认出厂设置可擦除所有配置设置。
步骤6单击StartUpgrade。
验证了新固件映像之后,新映像会写入闪存,路由器会使用新固件自动重新启动。
步骤7选择Status>SystemSummary以确保路由器安装了新固件版本。
更改语言在设备上更改语言的步骤: 步骤1选择Administration>Firmware/LanguageUpgrade。
步骤2在FileType字段中,单击LanguageFile按钮。
步骤3单击Browse以查找并选择语言文件。
步骤4(可选)要将设备配置参数重置为出厂默认值,请选中Resetallconfiguration/ settingstofactorydefaults。
步骤5单击StartUpgrade。
思科RV130/RV130W边缘路由器管理指南 121 CiscoSmallBusinessCiscoSmallBusiness管理设备 重新启动设备 重新启动设备 重新启动路由器的步骤:步骤1选择Administration>Reboot。
步骤2单击Reboot。
8 恢复出厂默认设置 !
注意在恢复操作过程中,请勿在操作完成之前尝试上线、关闭路由器、关闭PC或使用路由器。
这大约需要一分钟。
当测试指示灯熄灭时,多等待几秒,然后再使用路由器。
将出厂默认设置恢复到路由器的步骤: 步骤1选择Administration>RestoreFactoryDefaults。
步骤2单击Default。
思科RV130/RV130W边缘路由器管理指南 122
9 Web过滤 Web过滤是路由器的一项功能,可用于管理对不当网站的访问。
此功能可以筛选客户端的Web访问请求,决定是允许还是拒绝访问该网站,确保已经受到安全保护的网络更加安全,并提高工作场所的工作效率。
对于一般网络安全、物联网,以及/或者需要在特定部门的定制网络中实施的规则,管理员可能有一套指导原则。
管理员可以创建自定义的计划规则,并将这些规则绑定到例外列表,从而在特定时间允许特定用户访问特定网站,或实现类似目的。
配置Web过滤 本节介绍如何在路由器中配置Web过滤功能,并着重说明此功能的重要性。
要在路由器上启用并配置Web过滤功能,请按照以下步骤操作: 步骤1单击Web过滤。
步骤2在“Web过滤”部分,从下列选项中选择一项: •始终开启-始终启用Web过滤功能•计划-制定计划来决定何时启用Web过滤功能•始终关闭-禁用Web过滤功能注默认情况下,Web过滤功能设置为“始终关闭”。
步骤3在“Web信誉”部分,选中启用可根据所选的过滤类别来启用过滤功能。
步骤4单击各个类别,然后从下列选项中选择一项,以管理和应用过滤器。
•低-可从“成人内容”和“安全”类别中进行选择。
选择和选取可用选项,对 您的过滤器进行自定义。
•中-可从“成人内容”、“非法/可疑”和“安全”类别中进行选择。
选择和选 取可用选项,对您的过滤器进行自定义。
思科RV130管理指南 123 Web过滤 配置Web过滤
9 •高-可从“成人内容”、“商业/投资”、“娱乐”、“非法/可疑”、“IT资源”、“时尚/文化”和“安全”类别中进行选择。
选择和选取可用选项,对您的过滤器进行自定义。
•自定义-无默认设置,允许自定义Web过滤。
步骤5单击保存和后退,返回“过滤”页面继续进行设置。
步骤6选中启用HTTPS过滤可根据网站的IP地址(而非URL)过滤内容。
采用安全HTTP(HTTPS)的网站将可以访问。
如果需要将使用安全URL的网站作为拦截对象,请勿选中启用HTTPS过滤。
注HTTPS过滤的依据是Web服务器的IP地址,而非URL,因为URL是加密的。
多个网站使用同一个Web服务器IP地址的情形十分常见。
在这种情况下,如果某个IP地址有多个关联的网站类别,路由器不会对相关页面进行拦截。
但是,如果该IP地址托管了成人内容,或者该IP地址与已知的恶意软件托管或分发网站相关联,路由器会拦截相关页面。
步骤7如果在设置Web过滤选项时选择计划,屏幕将显示“计划表”。
在“计划表”下,单击添加行创建一项计划规则或计划策略。
步骤8在“计划表”的“名称和描述”字段中,输入名称和描述。
步骤9然后选择每周在哪天或哪几天启用该规则或策略,以便在指定日期启用过滤功能。
步骤10接下来,使用24小时格式输入规则生效的时间。
步骤11最后,单击激活启用计划规则。
注系统对所要执行的规则没有数量上的限制。
步骤12单击保存。
步骤13(可选)创建过滤过程中使用的允许、拒绝或排除网站/内容列表。
从下列选项中选择一种类型: •白名单-单击添加行,然后从下拉列表中选择域名或关键字。
根据所选内容,输入用于识别此策略的值。
•黑名单-单击添加行,然后从下拉列表中选择域名或关键字。
根据所选内容,输入用于识别此策略的值。
•排除列表-单击添加行,然后从下拉列表中选择域名或关键字。
根据所选内容,输入用于识别此策略的值。
步骤14如需编辑或删除Web过滤策略,请从列表中选择相关策略,然后单击编辑或删除。
步骤15单击保存。
思科RV130管理指南 124
A 快速索引 支持 思科支持社区思科支持和资源电话支持联系人名单 思科固件下载 /go/smallbizsupport/go/smallbizhelp/en/US/support/tsd_cisco_small_business_support_center_contacts.html/cisco/software/navigator.html?
i=!
ch 思科开源请求 思科合作伙伴中心(需要合作伙伴登录) 产品文档 思科RV130/RV130W边缘路由器 选择一个链接,以下载所需固件。
无需登录。
/go/smallbiz_opensource_request/web/partners/sell/smb /en/US/products/ps9923/tsd_products_support_series_home.html 有关欧洲批次26的相关测试结果,请查看此网页:/go/eu-lot26-results。
思科RV130/RV130W边缘路由器管理指南 125
要查看思科的商标列表,请访问此URL:/go/trademarks。
文中提及的第三方商标为其相应所有人的财产。
使用“合作伙伴”一词并不暗示思科和任何其他公司之间存在合作关系。
(1110R) 第1章:简介 验证硬件安装使用设置向导 配置后续步骤 使用GettingStarted页面连接到您的无线网络 第2章:查看设备状态 查看控制面板查看系统摘要查看活动TCP/IP服务查看无线统计信息查看强制网络门户状态查看站点到站点IPsecVPN连接状态查看IPsecVPN服务器状态查看PPTP服务器查看日志查看连接的设备查看端口统计信息查看移动网络状态 第3章:配置网络 配置WAN设置 配置有线WAN连接 配置DHCP配置静态IP配置PPPoE配置PPTP配置L2TP配置可选设置 配置移动网络 配置全局移动网络设置 思科RV130/RV130W边缘路由器管理指南 目录 6 67 7 89 10 101112131313131414151516 17 17 17 171819202223 25 25
1 手动配置移动网络设置带宽上限设置电子邮件设置 设置故障切换和恢复 配置LAN设置 更改设备管理IP地址配置DHCP服务器配置VLAN配置静态DHCP查看租用DHCP的客户端配置DMZ主机配置RSTP端口管理配置链路聚合 复制MAC地址配置路由 配置操作模式配置动态路由配置VLAN间路由配置静态路由 查看路由表配置动态DNS配置IP模式配置IPv6 配置IPV6WAN连接配置IPv6LAN连接配置IPv6静态路由配置路由(RIPng)配置隧道查看IPv6隧道状态配置路由器通告配置通告前缀 思科RV130/RV130W边缘路由器管理指南 目录 252627 27 28 282930313233333536 3637 37373838 39404142 4245474848505152
2 第4章:配置无线网络 无线安全性 无线安全性提示一般网络与安全性准则 设备上的无线网络配置基本无线设置 编辑无线网络设置配置安全模式配置MAC过滤配置每天固定时间访问 配置高级无线设置检测恶意接入点 导入授权AP列表 配置WDS配置WPS配置强制网络门户配置设备模式 第5章:配置防火墙 防火墙功能配置基本防火墙设置 配置远程管理配置通用即插即用 管理防火墙时间表 添加或编辑防火墙时间表 配置服务管理配置访问规则 添加访问规则 创建互联网访问策略 添加或编辑互联网访问策略 配置一对一网络地址转换(NAT) 思科RV130/RV130W边缘路由器管理指南 目录 54 54 5456 5657 58596262 6365 66 69707073 74 7475 7778 78 78 7980 81 83 83 84
3 配置端口转发 配置单端口转发配置端口范围转发配置端口范围触发 第6章:配置VPN VPN隧道类型配置基本站点到站点IPsecVPN 查看默认值 配置站点到站点IPsecVPN高级参数 管理IKE策略管理VPN策略 配置IPsecVPN服务器 配置IPsecVPN服务器配置IPsecVPN用户帐户 配置PPTP 配置PPTP服务器创建和管理PPTP用户 配置VPN通道SSL证书VPN设置向导 第7章:配置服务质量(QoS) 配置带宽管理 配置带宽配置带宽优先权 配置基于端口的QoS设置配置CoS设置配置DSCP设置 思科RV130/RV130W边缘路由器管理指南 目录 85 858686 88 8888 89 90 9091 93 9394 95 9595 96969797 99 99 99100 101102102
4 第8章:CiscoSmallBusinessCiscoSmallBusiness管理设备 设置设备属性设置密码复杂性配置用户帐户 导入用户帐户 设置会话超时值配置简单网络管理(SNMP) 配置SNMP系统信息编辑SNMPv3用户配置SNMP陷阱 使用诊断工具 网络工具配置端口镜像 配置日志和电子邮件设置 配置日志设置配置日志电子邮件 配置Bonjour配置日期和时间设置备份和恢复系统 备份配置设置恢复配置设置复制配置设置生成加密密钥 升级固件或更改语言重新启动设备恢复出厂默认设置 第9章:Web过滤 配置Web过滤 思科RV130/RV130W边缘路由器管理指南 目录 103 103104105 105 106107 107108110 110 110112 112 112115 116117118 118119120120 120122122 123 123
5 1 简介 本章提供的信息用于指导您完成安装过程并开始使用基于浏览器的设备管理器。
•验证硬件安装,第6页•使用设置向导,第7页•使用GettingStarted页面,第8页•连接到您的无线网络,第9页 验证硬件安装 按照《思科RV130/130W边缘路由器快速入门指南》配置设备,使其连接至您的有线和无线网络。
!
注意请使用设备附带的12伏、2安电源。
使用其他电源可能会降低性能或损坏设备。
要对硬件安装和互联网连接进行验证,请完成以下任务:•检查LED的状态。
有关详情,请参阅设备附带的《思科RV130/130W边缘路由器快速入门指南》。
•将计算机连接至可用的LAN端口并确认您可以连接至互联网上的网站,如。
•使用具有无线功能的PC连接至互联网上的网站,如。
要配置无线功能,请参阅连接到您的无线网络。
思科RV130/RV130W边缘路由器管理指南
6 简介 使用设置向导
1 使用设置向导 设置向导和设备管理器受以下浏览器支持:MicrosoftExplorer6.0或更高版本、MozillaFirefox3.0或更高版本,以及AppleSafari3.0或更高版本。
要使用设置向导,请执行以下操作: 步骤1启动连接至LAN端口的计算机。
该计算机将成为设备的DHCP客户端,并将获得192.168.1.xxx范围内的IP地址。
步骤2启动Web浏览器,然后在地址栏中输入192.168.1.1。
此地址为设备的默认IP地址。
系统将显示一条关于站点安全证书的消息。
设备使用自签名安全证书,系统显示该消息是由于设备对计算机来说是未知设备。
步骤3单击继续浏览此网站(在您的特定Web浏览器上可能显示为其他选项)来继续访问网站。
此时将显示登录页面。
步骤4输入用户名和密码。
默认用户名为cisco。
默认密码为cisco。
密码区分大小写。
步骤5单击LogIn。
系统将启动设置向导。
步骤6按照屏幕上所显示的说明来设置设备。
设置向导将尝试自动检测和配置您的连接。
如果无法进行检测和配置,设置向导会要求您提供有关您互联网连接的信息。
您可能需要联系您的ISP来获取该信息。
设置向导完成设备的配置后,系统将要求您更改默认密码。
按照屏幕上的说明进行操作。
更改默认密码之后,系统将显示GettingStarted页面。
配置后续步骤 虽然设置向导会自动配置设备,不过我们建议对一些设置进行自定义,以便提供更好的安全性和性能: •如果您已在网络上使用了DHCP服务器,而又不希望设备充当网络DHCP服务器,请禁用该服务器。
请参阅配置LAN设置。
•要配置虚拟专用网络(VPN),请参阅配置VPN。
•设备最多可支持四个无线网络。
使用设置向导只能设置一个无线网络(或SSID)。
要配置其他无线网络,请使用基于Web的设备管理器。
请参阅配置无线网络。
思科RV130/RV130W边缘路由器管理指南
7 简介 使用GettingStarted页面
1 使用GettingStarted页面 GettingStarted页面显示设备上一些最常见的配置任务。
单击网页上的链接可访问相关配置页面。
此页面在每次启动设备管理器时都会出现。
要更改此行为,请选中Don’tshowonstartup。
InitialSettings ChangeDefaultAdministratorPasswordLaunchSetupWizardConfigureWANSettings ConfigureLANSettings ConfigureWirelessSettings 显示Users页面,用于更改管理员密码以及设置访客帐户。
请参阅配置用户帐户。
启动设置向导。
按照屏幕上的说明进行操作。
打开Setup页面以更改参数。
例如,设备主机名。
请参阅配置WAN设置。
打开LANConfiguration页面以修改LAN参数。
例如,管理IP地址。
请参阅配置LAN设置。
打开BasicSettings页面以管理无线功能。
请参阅配置无线网络。
Quickess UpgradeRouterFirmwareAddVPNClients ConfigureRemoteManagementess 打开Firmware/LanguageUpgrade页面以升级设备固件或语言包。
请参阅升级固件或更改语言。
打开PPTPServer页面以设置和管理VPN隧道。
请参阅配置PPTP。
打开BasicSettings页面以启用设备的基本功能。
请参阅配置基本防火墙设置。
思科RV130/RV130W边缘路由器管理指南
8 简介 连接到您的无线网络
1 DeviceStatusSystemSummary WirelessStatusVPNStatus OtherResourcesSupportForums 显示SystemSummary页面,其中显示设备的固件状态、IPv4和IPv6配置状态以及无线功能和防火墙的状态。
请参阅查看系统摘要。
显示WirelessStatistics页面,其中显示无线功能的状态。
请参阅查看无线统计信息。
显示IPsecVPNServer页面,其中列出此设备所管理的VPN。
请参阅查看站点到站点IPsecVPN连接状态。
单击可打开思科支持页面。
单击可访问思科在线支持论坛。
连接到您的无线网络 要将某个客户端设备(例如计算机)连接到您的无线网络,请使用通过设置向导配置路由器时使用的无线安全性信息,在该客户端设备上配置无线连接。
以下步骤仅作举例之用;您配置设备时的操作可能与这些步骤有所出入。
有关具体说明,请查看相应客户端设备的相关文档。
步骤1打开设备的无线连接设置窗口或程序。
您的计算机可能已安装了用于管理无线连接的专门软件;您也可以在“控制面板”下的网络连接或网络和窗口中找到无线连接。
(具体位置视您的操作系统而定。
) 步骤2输入您在设置向导中为网络选择的网络名称(SSID)。
步骤3选择加密类型,然后输入在设置向导中指定的安全密钥。
如果没有启用安全性功能(不推荐),请将使用安全类型和密码短语配置的无线加密字段留空。
步骤4验证您的无线连接并保存您的设置。
思科RV130/RV130W边缘路由器管理指南
9 2 查看设备状态 使用Status菜单中的页面可查看设备上VPN、无线、活动的TCP/IP服务、强制网络门户设置以及事件日志的实时统计信息和配置设置。
要确保数据和统计信息在Status页面上经常更新,请从RefreshRate下拉列表中选择刷新速率。
查看控制面板 选择Status>Dashboard可查看设备配置的静态视图。
Dashboard页面显示有关设备固件版本、CPU和内存利用率、错误记录设置、LAN、WAN、无线、站点到站点IPsecVPN以及PPTPVPN服务器设置的信息。
要修改显示的信息,请单击details链接以访问相应部分的配置页面。
有关管理Dashboard页面上显示的设置的详情,请参阅: •配置日志设置•配置基本站点到站点IPsecVPN•配置LAN设置•配置有线WAN连接•配置基本无线设置在RefreshRate下拉列表中,选择用于在控制面板上刷新最新统计信息和参数值的速率。
当您单击ShowPanelView时,Dashboard页面还显示设备后面板的交互式视图。
将鼠标悬停在每个端口上方可查看端口连接信息。
思科RV130/RV130W边缘路由器管理指南 10 查看设备状态 查看系统摘要
2 查看系统摘要 选择Status>SystemSummary可显示设备属性、IP地址模式间的网络设置、防火墙、无线和VPN设置的详情。
单击Refresh可查看最新信息。
单击带下划线的链接可访问相关配置窗口。
例如,要修改LANIP地址,请单击LANIP。
此时将显示LANConfiguration窗口。
SystemSummary页面分为以下部分显示信息:SystemInformation •FirmwareVersion-设备运行的当前软件版本。
•FirmwareMD5Checksum-用于验证文件完整性的消息摘要算法。
•Locale-路由器上安装的语言。
•LanguageVersion-安装的语言包版本。
语言包版本应与当前安装的固件兼 容。
在某些情况下,较旧的语言包可以用于较新的固件映像。
路由器会检查语言包版本是否与当前固件版本兼容。
•LanguageMD5Checksum-语言包的MD5校验和。
•CPUModel-当前使用的CPU芯片集。
•SerialNumber-设备的序列号。
•SystemUpTime-系统已经运行的时间长度。
•CurrentTime-当天时间。
•PIDVID-设备的产品ID和版本ID。
IPv4Configuration •LANIP-设备的LANIP地址。
•WANIP-设备的WANIP地址。
要释放当前IP地址并获取新地址,请单击 Release或Renew。
•Gateway-设备所连接的网关(例如有线调制解调器)的IP地址。
•Mode-如果启用了NAT,则显示Gateway,否则显示Router。
•DNS1-WAN端口的主DNS服务器IP地址。
•DNS2-WAN端口的辅助DNS服务器IP地址。
•DDNS-表示是启用还是禁用了DynamicDNS(动态DNS)。
思科RV130/RV130W边缘路由器管理指南 11 查看设备状态 查看活动TCP/IP服务
2 IPv6Configuration•LANIP-设备的LANIP地址。
•WANIP-设备的WANIP地址。
•Gateway-设备所连接的网关(例如有线调制解调器)的IP地址。
•NTP-网络时间协议服务器(主机名或IPv6地址)。
•PrefixDelegation-从ISP处的设备返回的前缀,该前缀提供给设备上的IPv6地址。
•DNS1-主DNS服务器的IP地址。
•DNS2-辅助DNS服务器的IP地址。
WirelessSummary显示在Wireless>BasicSettings页面上配置的无线网络的公用名称和安全设置。
有关详情,请参阅配置基本无线设置。
FirewallSettingStatus显示Firewall>BasicSettings页面上配置的DoS、WAN请求和远程管理设置。
有关详情,请参阅配置基本防火墙设置。
VPNSettingStatus显示可用IPsec和PPTPVPN连接,以及每种VPN类型的已连接用户。
•IPSecVPNConnectionsAvailable-可用IPsecVPN连接数。
•PPTPVPNConnectionsAvailable-可用PPTPVPN连接数。
•ConnectedIPSecVPNUsers-已连接的IPSecVPN用户数。
•ConnectedPPTPVPNUsers-已连接的PPTPVPN用户数。
有关配置VPN服务器连接和用户帐户的详情,请参阅配置基本站点到站点IPsecVPN和配置PPTP。
查看活动TCP/IP服务 选择Status>ActiveTCP/IPServices可查看设备上处于活动状态的IPv4和IPv6TCP/IP连接。
IPv4和IPv6的ActiveServiceList部分显示设备上处于活动状态的协议和服务。
思科RV130/RV130W边缘路由器管理指南 12 查看设备状态 查看无线统计信息
2 查看无线统计信息 选择Status>WirelessStatistics可查看设备无线功能的无线统计信息数据。
在RefreshRate字段中,选择希望用于显示最新统计信息的速率。
要以千字节(KB)为单位显示四舍五入后的字节数,请选中ShowSimplifiedStatisticData复选框并单击Save。
默认情况下,字节数据以字节为单位显示,其他数字数据以长整型显示。
要重置无线统计信息计数器,请单击ClearCount。
计数器会在设备重启时重置。
查看强制网络门户状态 选择Status>CaptivePortal可查看有关连接的强制网络门户用户的信息。
有关在设备上配置强制网络门户的详情,请参阅配置强制网络门户。
查看站点到站点IPsecVPN连接状态 选择Status>Site-to-SiteIPsecVPN可查看设备上活动站点到站点IPsecVPN策略的连接状态。
有关配置VPN策略的信息,请参阅配置基本站点到站点IPsecVPN。
要更改最新和实时连接状态的显示速率,请从RefreshRate下拉列表中选择刷新速率。
默认情况下,字节数据以字节为单位显示,其他数字数据以长整型显示。
要以千字节(KB)为单位显示四舍五入后的字节数,请选中ShowSimplifiedStatisticData框并单击Save。
要终止活动VPN连接,请单击Disconnect。
查看IPsecVPN服务器状态 选择Status>IPsecVPNServer可查看各IPsecVPN连接及连接持续时间的列表。
有关配置IPsecVPN连接的详情,请参阅配置IPsecVPN服务器。
思科RV130/RV130W边缘路由器管理指南 13 查看设备状态 查看PPTP服务器
2 查看PPTP服务器 选择Status>PPTPServer可查看各PPTPVPN连接、连接持续时间以及可以对此连接执行的操作的列表。
有关配置PPTPVPN连接的详情,请参阅配置PPTP。
查看日志 选择Status>ViewLogs。
单击RefreshLogs可显示最新日志条目。
要过滤日志或指定要显示的日志的严重性,请选中日志类型旁的框,然后单击Go。
请注意,将自动包含所选日志类型之上的所有日志类型,并且不能取消选择这些类型。
例如,选中Error复选框可自动包含紧急、警报和严重日志以及错误日志。
下面按照从高到低的顺序列出了事件的严重性级别: •Emergency-系统无法使用。
•Alert-需要采取措施。
•Critical-系统处于高危状态。
•Error-系统出错。
•Warning-系统已发出警告。
•Notification-系统能够正常工作,但系统已发出通知。
•Informational-设备信息。
•Debugging-提供关于事件的详情。
要删除日志窗口中的所有条目,请单击ClearLogs。
要将所有日志消息从设备保存到本地硬盘驱动器,请单击SaveLogs。
要指定每页显示的条目数,请从下拉菜单中选择数字。
要在日志页面之间移动,请使用页面导航按钮。
思科RV130/RV130W边缘路由器管理指南 14 查看设备状态 查看连接的设备
2 查看连接的设备 ConnectedDevices页面显示有关连接到您路由器的活动客户端设备的信息。
要查看连接的设备,请选择Status>ConnectedDevices。
要指定要显示的接口类型,请从Filter下拉菜单中选择值: •All-连接到路由器的所有设备。
•Wireless-通过无线接口连接的所有设备。
•Wired-通过路由器上的以太网端口连接的所有设备。
•WDS-连接到路由器的无线分布式系统(WDS)设备。
IPv4ARPTable显示来自响应设备地址解析协议(ARP)请求的其他路由器的信息。
如果某个设备未响应请求,则该设备将从列表中移除。
IPv6NDPTable显示连接到设备本地链路的所有IPv6邻居发现协议(NDP)设备。
查看端口统计信息 PortStatistics页面显示详细端口活动。
要查看端口统计信息,请选择Status>PortStatistics。
要定期刷新页面,请从RefreshRate下拉列表中选择刷新速率。
要以千字节(KB)为单位显示四舍五入后的字节数,请选中ShowSimplifiedStatisticData框并单击Save。
默认情况下,字节数据以字节为单位显示,其他数字数据以长整型显示。
要重置端口统计信息计数器,请单击ClearCount。
PortStatistics页面显示以下信息: InterfacePacketByteError 网络接口的名称。
已接收/发送的数据包数。
每秒接收/发送的信息字节数。
已接收/发送的数据包错误数。
思科RV130/RV130W边缘路由器管理指南 15 查看设备状态 查看移动网络状态
2 DroppedMulticastCollisions 已接收/发送但丢弃的数据包数。
通过此无线功能发送的组播数据包数。
此端口上发生的信号冲突数。
如果端口与连接至此端口的另一个路由器或计算机上的端口同时尝试发送数据,则会发生冲突。
查看移动网络状态 有关设备上配置的移动3G/4G网络和通信设备(装置)的移动网络统计信息。
要查看移动网络状态,请选择Status>MobileNetwork。
系统将显示以下信息: •Connection-连接至访客网络的设备。
•IPAddress-分配给USB设备的IP地址。
•Mask-USB设备的子网掩码。
•DefaultGateway-默认网关的IP地址。
•ConnectionUpTime-链路已运行的时间长度。
•CurrentSessionUsage-移动链路上所接收(Rx)和发射(Tx)的数据量。
•MonthlyUsage-每月下载的数据和带宽使用情况。
•Manufacturer-卡制造商名称。
•CardModel-卡型号。
•CardFirmware-卡固件版本。
•SIMStatus-用户标识模块(SIM)状态。
•IMS-与GSM、UMTS或LTE网络移动电话用户关联的唯一标识。
•Carrier-移动网络运营商。
•ServiceType-访问的服务类型。
•SignalStrength-无线移动网络信号的强度。
•CardStatus-数据卡的状态。
思科RV130/RV130W边缘路由器管理指南 16
3 配置网络 本章介绍如何在设备上配置网络设置。
•配置WAN设置,第17页•配置LAN设置,第28页•复制MAC地址,第36页•配置路由,第37页•配置动态DNS,第40页•配置IP模式,第41页•配置IPv6,第42页 配置WAN设置 可以通过WAN端口或USB端口上安装的无线调制解调器来建立互联网连接。
本节介绍如何配置WAN、移动网络以及故障切换和恢复。
配置有线WAN连接 根据您所拥有的互联网连接类型,IPv4网络WAN属性的配置会有所不同。
配置DHCP 如果您的互联网服务提供商(ISP)使用动态主机控制协议(DHCP)为您分配IP地址,您会在每次登录时收到动态生成的IP地址。
配置DHCPWAN设置的步骤: 步骤1选择Networking>WAN。
思科RV130/RV130W边缘路由器管理指南 17 配置网络 配置WAN设置
3 步骤2从ConnectionType下拉列表中,选择AutomaticConfigurationDHCP。
步骤3从DNSServerSource下拉列表中,选择以下方式之一设置DNS服务器地址: •如果已拥有ISP提供的DNS服务器地址,请选择UsetheseDNSServers,然后输入主地址和辅助地址。
•如果没有ISP提供的DNS服务器地址,请选择GetDynamicallyfromISP。
•要使用OpenDNS提供的DNS服务器(208.67.222.222、208.67.220.220)解析Web地址,请选择UseOpenDNS。
步骤4单击Save。
配置静态IP 如果ISP分配给您的是永久IP地址,请执行以下步骤来配置WAN设置: 步骤1选择Networking>WAN。
步骤2从ConnectionType下拉菜单中,选择StaticIP。
步骤3输入以下信息: IPAddressmaskDNSServerSource DefaultGateway步骤4单击Save。
WAN端口的IP地址。
WAN端口的子网掩码。
DNS服务器地址。
如果已拥有ISP提供的DNS服务器地址,请选择UsetheseDNSServers,然后在StaticDNS1和StaticDNS2字段中输入主地址和辅助地址。
要使用OpenDNS提供的DNS服务器(208.67.222.222、208.67.220.220)解析Web地址,请选择UseOpenDNS。
默认网关的IP地址。
思科RV130/RV130W边缘路由器管理指南 18 配置网络 配置WAN设置
3 配置PPPoE 配置基于以太网的点对点协议(PPPoE)设置的步骤: 步骤1选择Networking>WAN。
步骤2从ConnectionType下拉菜单中,选择PPPoE。
步骤3选择PPPoE简档,或单击ConfigureProfile创建新的简档。
步骤4在PPPoEProfiles页面上,输入以下信息(可能需要联系ISP,以获取PPPoE登录 信息): ProfileNameUsernamePasswordDNSServerSource PPPoE简档的唯一名称。
ISP分配的用户名。
ISP分配的密码。
DNS服务器地址。
如果已拥有ISP提供的DNS服务器地址,请选择UsetheseDNSServers,然后输入主地址和辅助地址。
如果没有,请选择GetDynamicallyfromISP。
要使用OpenDNS提供的DNS服务器(208.67.222.222、208.67.220.220)解析Web地址,请选择UseOpenDNS。
思科RV130/RV130W边缘路由器管理指南 19 配置网络 配置WAN设置
3 ConnectonDemandKeepAliveAuthenticationType 步骤5单击Save。
如果ISP根据您连接的时长收费,请选择此选项。
选择此选项时,只有存在流量时,才打开互联网连接。
如果连接处于空闲状态(即没有流量),则关闭连接。
如果单击ConnectonDemand,请在MaxIdleTime字段中输入关闭连接之前等待的分钟数。
选择此选项时,互联网连接始终打开。
在redialperiod字段中,输入设备在断开连接后尝试重新连接之前等待的秒数。
Auto-negotiation-服务器发送指明其安全算法设置的配置请求。
设备随后发送回与服务器所发送的安全类型一致的鉴权凭证。
PAP-点对点协议用于连接至ISP的密码鉴别协议(PAP)。
CHAP-询问握手鉴权协议(CHAP)要求客户端和服务器都知道安全密钥明文才能使用ISP服务。
MS-CHAP或MS-CHAPv2-用于访问ISP服务的Microsoft版本的CHAP。
配置PPTP 配置PPTP设置的步骤: 步骤1选择Networking>WAN。
步骤2从ConnectionType下拉菜单中,选择PPTP。
步骤3输入以下信息: IPAddressmaskDefaultGatewayPPTPServer WAN端口的IP地址。
WAN端口的子网掩码。
默认网关的IP地址。
点对点隧道协议服务器的IP地址。
思科RV130/RV130W边缘路由器管理指南 20 配置网络 配置WAN设置
3 UsernamePasswordConnectonDemand KeepAliveAuthenticationType ServiceNameMPPEEncryptionDNSServerSource ISP分配给您的用户名。
ISP分配给您的密码。
如果ISP根据您连接的时长收费,请选择此选项。
选择此选项时,只有存在流量时,才打开互联网连接。
如果连接处于空闲状态(即没有流量),则关闭连接。
如果单击ConnectonDemand,请在MaxIdleTime字段中输入关闭连接之前等待的分钟数。
选择此选项时,互联网连接始终打开。
在Redialperiod字段中,输入设备在断开连接后尝试重新连接之前等待的秒数。
选择鉴权类型: Auto-negotiation-服务器发送指明其安全算法设置的配置请求。
设备随后发送回服务器之前所发送的安全类型的鉴权凭证。
PAP-设备使用密码鉴别协议(PAP)连接至ISP。
CHAP-设备在连接至ISP时使用询问握手鉴权协议(PAP)。
MS-CHAP或MS-CHAPv2-设备在连接至ISP时使用Microsoft询问握手鉴权协议。
输入新PPTP服务的名称。
选中Enable复选框可为PPTP连接启用Microsoft点对点加密。
DNS服务器地址。
如果已拥有ISP提供的DNS服务器地址,请选择UsetheseDNSServers,然后在StaticDNS1和StaticDNS2字段中输入主地址和辅助地址。
要从ISP获取DNS服务器地址,请选择GetDynamicallyfromISP。
要使用OpenDNS提供的DNS服务器(208.67.222.222、208.67.220.220)解析Web地址,请选择UseOpenDNS。
步骤4(可选)要配置可选设置,请参阅配置可选设置。
思科RV130/RV130W边缘路由器管理指南 21 配置网络 配置WAN设置
3 步骤5单击Save。
配置L2TP 配置L2TP设置的步骤: 步骤1选择Networking>WAN。
步骤2从ConnectionType下拉菜单中,选择L2TP。
步骤3输入以下信息: IPAddressmaskDefaultGatewayL2TPServerVersion CookieLength VendorID VirtualCircuitID UsernamePasswordConnectonDemand WAN端口的IP地址。
WAN端口的子网掩码。
默认网关的IP地址。
L2TP服务器的IP地址。
要使用的L2TP版本。
如果选择版本
3,请输入供应商ID和虚拟电路ID。
L2TPv3数据包中用于识别L2TP会话的Cookie的大小。
L2TP的AVP编码格式中包含的供应商ID。
要在AVP中使用接受IETF属性值,请选择Standard。
要实施思科的L2TP扩展和专用属性值,请选择Cisco。
用于传输L2TP数据包的第2层电路的标识符。
如果选择Cisco作为L2TPv3的VendorID,则需要此信息。
输入ISP分配给您的用户名。
输入ISP分配给您的密码。
如果ISP根据您连接的时长收费,请选择此选项。
选择此选项时,只有存在流量时,才打开互联网连接。
如果连接处于空闲状态(即没有流量),则关闭连接。
如果单击ConnectonDemand,请在MaxIdleTime字段中输入关闭连接之前等待的分钟数。
思科RV130/RV130W边缘路由器管理指南 22 配置网络 配置WAN设置
3 KeepAliveAuthenticationType ServiceNameMPPEEncryptionDNSServerSource 步骤4单击Save。
选择此选项时,互联网连接始终打开。
在redialperiod字段中,输入设备在断开连接后尝试重新连接之前等待的秒数。
Auto-negotiation-服务器发送指明其安全算法设置的配置请求。
设备随后发送回与服务器所发送的安全类型一致的鉴权凭证。
PAP-使用密码鉴别协议(PAP)连接至ISP。
CHAP-使用询问握手鉴权协议(PAP)连接至ISP。
MS-CHAP或MS-CHAPv2-使用Microsoft询问握手鉴权协议连接至ISP。
输入新L2TP服务的名称。
选中Enable可为L2TP连接启用Microsoft点对点加密。
DNS服务器地址。
如果已拥有ISP提供的DNS服务器地址,请选择UsetheseDNSServers,然后在PrimaryDNSServer和SecondaryDNSServer字段中输入主地址和辅助地址。
要从ISP获取DNS服务器地址,请选择GetDynamicallyfromISP。
要使用OpenDNS提供的DNS服务器(208.67.222.222、208.67.220.220)解析Web地址,请选择UseOpenDNS。
配置可选设置 配置可选设置的步骤:步骤1在OptionalSettings部分中,配置以下设置: 思科RV130/RV130W边缘路由器管理指南 23 配置网络 配置WAN设置
3 MTU SizeUntaggedVLAN UntaggedVLANIDAPManagementVLAN步骤2单击Save。
最大传输单位(MTU)是可在网络中发送的最大数据包的大小。
除非ISP要求更改,否则建议选择Auto。
默认MTU大小为1500字节。
如果ISP要求自定义MTU设置,请选择Manual并输入MTU大小。
自定义MTU大小。
以太网网络的MTU标准值通常为1500字节。
对于PPPoE连接,该值为1492字节。
选中此框可启用VLAN标记功能。
启用(默认设置)时,所有流量都使用VLANID进行标记。
默认情况下,设备上的所有流量都使用VLAN1(默认的非标记VLAN)。
所有流量都是不加标记的,直至您禁用非标记VLAN、更改非标记流量VLANID或更改VLANID。
非标记VLAN的ID为介于1与4094之间的数字。
默认值为
1。
在此字段中指定的VLAN上的流量在转发到网络时,不使用VLANID进行标记。
VLAN1是默认的非标记VLAN。
与用于访问配置为接入点的设备的IP地址关联的VLAN。
如果创建其他VLAN,为了安全起见,请选择与在网络中其他交换机上配置的VLAN对应的值。
可能需要更改管理VLAN以限制对设备管理器的访问。
思科RV130/RV130W边缘路由器管理指南 24 配置网络 配置移动网络
3 配置移动网络 选择Networking>WAN>MobileNetwork可将设备配置为连接至移动宽带USB调制解调器(连接至其USB接口)。
配置全局移动网络设置 为受支持的USB设备配置全局设置的步骤: 步骤1连接USB调制解调器。
如果支持调制解调器,则系统会自动检测它并将其显示在MobileNetwork页面上。
步骤2选择Auto或Manual连接模式。
仅当连接模式设置为Auto时,以太网连接恢复才起作用。
•要使调制解调器能够自动建立连接,请选择Auto模式。
如果选择Auto,请设置ConnectonDemand时间或选择KeepAlive。
在互联网连接非活动时间达到MaxIdleTime字段中指定的时间段之后,ConnectonDemand会终止连接。
如果互联网连接由于非活动而被终止,则调制解调器会在用户尝试访问互联网时自动重新建立连接。
在MaxIdleTime字段中,输入互联网连接终止前空闲的分钟数。
选择KeepAlive可使连接始终保持活动状态。
•要手动连接或断开调制解调器连接,请选择Manual模式。
设备显示当前调制解调器连接状态,包括正在初始化、正在连接、正在断开连接或已断开连接。
步骤3确认CardStatus字段显示您的移动卡为Connected。
手动配置移动网络设置 要在MobileNetworkSetup区域中更改移动网络参数,请单击Manual单选按钮。
设备会自动检测支持的调制解调器并列出相应的配置参数。
要覆盖全局参数,请选择Manual。
步骤1在以下字段中输入信息: 字段essPointName(APN) DialNumber 说明 移动设备连接至的互联网网络。
输入移动网络服务提供商提供的接入点名称。
如果不知道接入点的名称,请与服务提供商联系。
移动网络服务提供商提供的用于连接互联网的拨号号码。
思科RV130/RV130W边缘路由器管理指南 25 配置网络 配置移动网络
3 字段UserNamePasswordSIMCheckSIMPIN ServerNameAuthentication ServiceType LTEService 说明 移动网络服务提供商提供的用户名和密码。
启用或禁用SIM卡检查。
与SIM卡关联的PIN码。
只有GSMSIM卡才显示此字段。
可以在Auto或Manual模式下修改SIMPIN。
用于互联网连接的服务器的名称(如果服务器提供商提供)。
服务提供商使用的鉴权。
可以通过从下拉列表中选择鉴权类型来更改该值。
默认为Auto。
如果不知道要使用的鉴权类型,请选择Auto。
最常用的移动数据服务连接类型(基于区域服务信号)。
如果您的位置仅支持一种移动数据服务,则可以限制首选选项,从而减少连接设置时间。
第一选择始终搜索HSPDA/3G/UMTS服务,并在GPRS可用时自动切换为GPRS。
长期演进(LTE)服务设置。
Auto基于区域服务信号选择信号。
4Gonly仅搜索4G信号。
3Gonly仅搜索3G信号。
步骤2单击Save保存设置。
带宽上限设置 设备会监控移动网络链路上的数据活动,并在达到给定阈值时发出通知。
启用或禁用BandwidthCapTracking并设置上限的步骤: 步骤1单击Enabled或Disabled。
步骤2从下拉列表中选择MonthlyRenewalDate以指示每月重置带宽上限的日期。
步骤3在MonthlyBandwidthCap字段中,以兆字节为单位输入在设备执行操作(如向管 理员发送电子邮件)之前允许通过的最大数据量。
思科RV130/RV130W边缘路由器管理指南 26 配置网络 配置移动网络
3 电子邮件设置 当达到带宽数据上限时,可以向管理员发送电子邮件消息。
要设置目标电子邮件地址,请参阅配置日志电子邮件。
通过选中框来启用之后,将在以下时间发送电子邮件: •移动网络使用率超过给定百分比。
•设备故障切换到备份路径并恢复。
•移动网络链路处于活动状态期间,每经过指定间隔时。
设置故障切换和恢复 虽然以太网和移动网络链路都可用,但是一次只能使用一个连接建立WAN链路。
当某个WAN连接中断时,设备会尝试在其他接口上建立连接。
此功能称为故障切换。
当主WAN连接恢复后,连接将恢复至原始路径并结束备份连接。
此功能称为恢复。
步骤1选择Networking>WAN>Failover&Recovery以显示Failover&Recovery窗口。
步骤2选择EnableFailoverto3GWAN以启用移动网络链路并将其设置为从以太网链路进行故障切换。
当以太网WAN链路处于不活动状态时,设备尝试在USB接口上启用移动网络链路。
(如果故障切换未启用,则移动网络链路始终禁用。
) 步骤3选择EnableRecoverybacktoWAN以使链路可以返回为以太网链路,从而中断移动网络链路。
WAN>MobileNetwork连接模式必须设置为Auto才能使用以太网WAN连接恢复。
步骤
4 在FailoverCheckInterval字段中,输入设备必须尝试检测移动网络链路上的物理连接或是否存在流量的频率(以秒为单位)。
如果链路处于空闲状态,则设备按此间隔尝试对目标执行Ping命令。
如果没有回复Ping数据包,则设备认为链路中断并重试以太网WAN接口。
步骤
5 在RecoveryCheckInterval字段中,输入设备必须尝试检测以太网WAN链路上的物理连接或是否存在流量的频率(以秒为单位)。
如果链路处于空闲状态,则设备按此间隔尝试对目标执行Ping命令。
如果回复了Ping数据包,则设备认为链路处于连接状态,然后尝试禁用移动网络链路并启用以太网WAN接口。
步骤6单击Switchbacktoimmediatelywhenisavailable,或单击Switchbacktoinaspecifictimerange,然后输入范围的开始和结束时间。
步骤7在ConnectionValidationSite字段中,选择要从中执行故障切换验证的站点。
使用下一个步跳网关(默认情况下设备会对默认网关执行Ping命令),或选择自定义站点并输入站点IPv4或IPv6地址。
步骤8单击Save保存设置。
思科RV130/RV130W边缘路由器管理指南 27 配置网络 配置LAN设置
3 WAN接口表显示与互联网连接的以太网WAN和移动网络链路的状态。
单击Status超链接以查看端口详情。
配置LAN设置 默认的DHCP和TCP/IP设置适用于大多数应用。
如果希望网络上的另一个PC作为DHCP服务器,或如果要手动配置所有设备的网络设置,请禁用DHCP。
您还可以使用Windows互联网命名服务(WINS)服务器,而不是使用将互联网域名(例如)映射到IP地址的DNS服务器。
WINS服务器与DNS服务器等效,只是使用NetBIOS协议解析主机名。
设备在其发送给DHCP客户端的DHCP配置中包含WINS服务器的IP地址。
如果您的设备连接至调制解调器,或连接至在相同子网(192.168.1.x)上配置了网络的另一个设备,它会自动将LAN子网更改为基于10.x.x.x的随机子网,避免与路由器WAN端的子网冲突。
更改设备管理IP地址 设备的本地设备管理IP地址是静态地址,默认为192.168.1.1。
更改本地设备管理IP地址的步骤: 步骤1选择Networking>LAN>LANConfiguration。
步骤2在IPv4部分中,输入以下信息: VLANLocalIPAddressmask 步骤3单击Save。
VLAN编号。
设备的本地LANIP地址。
确保此IP地址未被其他设备使用。
本地IP地址的子网掩码。
默认子网掩码为255.255.255.0。
思科RV130/RV130W边缘路由器管理指南 28 配置网络 配置LAN设置
3 更改设备的IP地址之后,您的PC将无法再显示设备管理器。
要显示设备管理器,请执行以下操作之一: •如果在设备上配置DHCP,请释放并更新PCIP地址。
•手动给PC分配IP地址。
分配的地址必须与设备位于同一子网。
例如,如果将 设备IP地址更改为10.0.0.1,分配的PCIP地址必须在10.0.0.2到10.0.0.255范围内。
打开新浏览器窗口,然后输入要重新连接的设备的新IP地址。
配置DHCP服务器 默认情况下,本设备用作无线LAN(WLAN)或有线LAN上的主机的DHCP服务器。
它分配IP地址,并提供DNS服务器地址。
启用DHCP时,设备从IPv4地址池中为LAN上的其他网络设备分配IP地址。
分配之前,设备会先对每个地址进行测试,以避免LAN上出现重复地址。
默认IP地址池为192.168.1.100到192.168.1.149。
要在网络设备上设置静态IP地址,请使用该池之外的IP地址。
例如,假设DHCP池设置为默认参数,IP地址池中从192.168.1.2到192.168.1.99的静态IP地址可以用于避免与DHCPIP地址池冲突。
配置DHCP设置的步骤: 步骤1选择Networking>LAN>LANConfiguration。
步骤2(可选)从下拉列表中选择要编辑的VLAN。
步骤3在DHCPServer字段中,选择以下选项之一: EnableDisable DHCPRelay 允许设备充当网络中的DHCP服务器。
如果您想要手动配置所有网络设备的IP地址,请在设备上禁用DHCP。
将另一个DHCP服务器分配的IP地址中继到网络设备。
思科RV130/RV130W边缘路由器管理指南 29 配置网络 配置LAN设置
3 如果启用了设备DHCP服务器,请输入以下信息: StartingIPAddress MaximumNumberofDHCPUsersIPAddressRangeClientLeasetimeStaticDNS1StaticDNS2StaticDNS3WINS IP地址池中的第一个地址。
加入LAN的任何DHCP客户端都将分配到一个此范围内的IP地址。
最大DHCP客户端数。
(只读)对DHCP客户端可用的IP地址范围。
IP地址租用给客户端的持续时间(以小时为单位)。
主DNS服务器的IP地址。
辅助DNS服务器的IP地址。
三级DNS服务器的IP地址。
主WINS服务器的IP地址。
步骤4如果选择了DHCPRelay,请在RemoteDHCPServer字段中输入中继网关的地址。
中继网关会将DHCP消息传输给网络设备,包括其他子网上的设备。
步骤5单击Save。
配置VLAN 虚拟LAN(VLAN)是网络中按功能或其他共享特性联合起来的一组端点。
与通常基于地理特性的LAN不同,VLAN可以不按设备或用户的物理位置对端点进行分组。
设备有一个不能删除的默认VLAN(VLAN1)。
您最多可在设备上另外创建4个VLAN。
创建VLAN的步骤: 步骤1选择Networking>LAN>VLANMembership。
步骤2单击AddRow。
思科RV130/RV130W边缘路由器管理指南 30 配置网络 配置LAN设置
3 步骤3输入以下信息: VLANID DescriptionPort1Port2Port3Port4 步骤4单击Save。
要分配给VLAN成员关系中的端点的数字形式的VLANID。
输入的数字必须在3到4094之间。
VLANID1保留为默认VLAN,用于接口上接收到的非标记帧。
标识VLAN的说明。
可以将设备上的VLAN关联到设备上的LAN端口。
默认情况下,所有LAN端口都属于VLAN1。
您可以编辑这些端口,以将它们与其他VLAN关联。
为每个端口选择传出帧类型: Untagged-接口为VLAN的非标记成员。
VLAN帧以不带标记的方式发送到端口VLAN。
Tagged-端口是VLAN的标记成员。
VLAN帧以带标记的方式发送到端口VLAN。
Excluded-端口当前不是VLAN的成员。
这是首次创建VLAN时所有端口的默认选项。
要编辑VLAN的设置,请选择VLAN并单击Edit。
要删除所选VLAN,请单击Delete。
单击Save应用更改。
配置静态DHCP 可以配置路由器,以将特定的IP地址分配给具有特定MAC地址的客户端设备。
配置静态DHCP的步骤: 步骤1选择Networking>LAN>StaticDHCP。
步骤2从VLAN下拉菜单中选择VLAN编号。
步骤3单击AddRow。
步骤4输入以下信息: 思科RV130/RV130W边缘路由器管理指南 31 配置网络 配置LAN设置
3 DescriptionIPAddress MACAddress 客户端说明。
要分配给客户端设备的IP地址。
分配的IP地址应在DHCP地址池之外。
静态DHCP分配意味着每当客户端设备连接至网络时,DHCP服务器都会为一个已定义的MAC地址分配同一个IP地址。
当使用相应MAC地址的客户端设备请求IP地址时,DHCP服务器会为其分配保留的IP地址。
客户端设备的MAC地址。
MAC地址的格式是XX:XX:XX:XX:XX:XX,其中X是从0到9(包含0和9)的数字或介于A与F(包含A和F)的字母。
要编辑静态DHCP客户端的设置,请选择客户端并单击Edit。
要删除所选DHCP客户端,请单击Delete。
单击Save应用更改。
查看租用DHCP的客户端 可以查看网路上的端点(通过主机名、IP地址或MAC地址进行标识)列表,并查看由DHCP服务器分配给这些端点的IP地址。
还会显示端点的VLAN。
要查看DHCP客户端,请选择Networking>LAN>DHCPLeasedClient。
对于设备上定义的每个VLAN,会以表格的形式显示与相应VLAN关联的客户端列表。
将静态IP地址分配给连接的设备之一的步骤: 步骤1在连接的设备对应行中,选中AddtoStaticDHCP。
步骤2单击Save。
设备上的DHCP服务器会始终分配设备请求IP地址时显示的IP地址。
思科RV130/RV130W边缘路由器管理指南 32 配置网络 配置LAN设置
3 配置DMZ主机 设备支持非军事区(DMZ)。
DMZ是一个子网,向公众开放但位于防火墙后面。
可以使用DMZ将传输到WAN端口IP地址的数据包重定向到LAN中特定IP地址。
建议将必须向WAN公开的主机(例如Web或电子邮件服务器)置于DMZ网络中。
您可以将防火墙规则配置为允许从LAN或WAN访问DMZ中的特定服务和端口。
倘若DMZ节点遭到攻击,LAN不一定会受到攻击。
必须为指定为DMZ主机的端点配置一个固定(静态)IP地址。
向DMZ主机分配的IP地址应处于与设备LANIP地址相同的子网中,但是该地址不能与分配给此网关LAN接口的IP地址相同。
配置DMZ的步骤: 步骤1选择Networking>LAN>DMZHost。
步骤2选中Enable以在网络上启用DMZ。
步骤3从VLAN下拉菜单中选择启用了DMZ的VLAN的ID。
步骤4在HostIPAddress字段中,输入DMZ主机的IP地址。
DMZ主机是接收重定向的数据包的端点。
步骤5单击Save。
配置RSTP 快速生成树协议(RSTP)是一种网络协议,可避免网络中的循环并动态重新配置应转发帧的物理链路。
配置快速生成树协议(RTSP)的步骤: 步骤1选择Networking>LAN>RSTP。
思科RV130/RV130W边缘路由器管理指南 33 配置网络 配置LAN设置
3 步骤2输入以下信息: SystemPriority HelloTimeMaxAgeForwardDelayForceVersion 从下拉菜单中选择系统优先级。
系统优先级可选范围为0至61440(增量为4096)。
有效值有0、4096、8192、12288、16384、20480、24576、28672、32768、40960、45056、49152、53248、57344和61440。
系统优先级越低,设备便更可能成为生成树中的根。
默认值为327688。
问候时间是生成树的根在发送问候消息之前等待的时间段。
输入1到10之间的数字。
默认值为
2。
最长时间是路由器等待接收问候消息的时间段。
如果达到最大时间,路由器会尝试更改生成树。
输入6到40之间的数字。
默认值为20。
转发延迟是接口从阻塞变为转发状态之间的间隔。
输入4到30之间的数字。
默认值为15。
选择要使用的默认协议版本。
选择Normal(使用RSTP)或Compatible(与旧STP兼容)。
默认值为Normal。
步骤3在SettingTable中,配置以下设置: ProtocolEnableEdgePathCost步骤4单击Save。
选中可在关联端口上启用RSTP。
RSTP在默认情况下为禁用状态。
选中可指定关联端口为边缘端口(终端站)。
取消选中可指定关联端口为指向其他STP设备的链路(网桥)。
边缘端口在默认情况下为启用状态。
为指定端口输入RSTP路径成本。
默认值为0(设备自动确定路径值)。
也可以输入2到200000000之间的数字。
思科RV130/RV130W边缘路由器管理指南 34 配置网络 配置LAN设置
3 端口管理 可以配置设备LAN端口的速度和流量控制设置。
配置端口速度和流量控制的步骤: 步骤1选择Networking>PortManagement。
步骤2配置以下信息: PortLinkMode JumboFrameFlowControl步骤3单击Save。
端口号。
端口速度。
如果没有设备连接至端口,则此字段显示Down。
从下拉菜单中选择以下端口速度之一: •AutoNegotiation-设备和连接的设备选择公用速度。
•10MbpsHalf-两个方向都为10Mbps,但一次只能在一个方向上传输。
•10MbpsFull-两个方向上同时为10Mbps。
•100MbpsHalf-个方向都为100Mbps,但一次只能在一个方向上传输。
•100MbpsFull-两个方向上同时为100Mbps。
选中可在设备上启用巨型帧并在LAN上发送帧(每帧最多包含9,000字节数据)。
标准以太网帧包含1,500字节数据。
选中可启用此端口的流量控制。
流量控制是管理两个节点之间数据传输速率,以防止较快发送者速度超过较慢接收者的过程。
它为接收者提供了一种控制传输速度的机制,避免接收节点从传输节点接收到过量数据。
思科RV130/RV130W边缘路由器管理指南 35 配置网络 复制MAC地址
3 配置链路聚合 使用LinkAggregation页面可将多个以太网链路分组为单个逻辑信道。
链路聚合组可增加累积带宽而无需硬件升级,从而提高了设备的成本效益,并可在出现单个端口或电缆故障时促进实现简单重新路由。
向链路聚合组分配端口的步骤: 步骤1选择Networking>LAN>LinkAggregation。
PortStatus部分显示与设备上每个端口关联的模式以及状态。
步骤2在LinkAggregationSettingTable部分中,选中各个端口对应的复选框以将其包含在组中。
步骤3单击Save。
复制MAC地址 有时,可能需要将设备WAN端口的MAC地址设置为与您的PC或其他MAC地址相同的MAC地址。
这称为MAC地址复制。
例如,一些ISP会在首次安装服务时注册您的计算机卡的MAC地址。
将路由器置于有线调制解调器或DSL调制解调器之后时,ISP无法识别来自设备WAN端口的MAC地址。
在这种情况下,要将设备配置为可被ISP识别,需要将WAN端口的MAC地址复制为与计算机MAC地址相同。
配置MAC地址复制的步骤: 步骤1选择Networking>MACAddressClone。
步骤2在MACAddressClone字段中,选中Enable。
步骤3要设置设备WAN端口的MAC地址,请执行以下操作之一: •要将WAN端口的MAC地址设置为PCMAC地址,请单击CloneMyPC'sMAC。
•要指定另一个MAC地址,请在MACAddress字段中输入。
步骤4单击Save。
思科RV130/RV130W边缘路由器管理指南 36 配置网络 配置路由
3 配置路由 使用Routing页面可为设备配置操作模式和其他路由选项。
配置操作模式 配置操作模式的步骤: 步骤1选择Networking>Routing。
步骤2在OperatingMode字段中,选择以下选项之一: GatewayRouter 步骤3单击Save。
用于将设备作为网关使用。
(推荐) 如果设备要同时用于承载互联网网络连接并执行路由功能,请保留此默认设置。
(仅限高级用户)用于将设备作为路由器使用。
如果设备所在的网络中存在其他路由器,请选择此选项。
启用Router模式会在设备上禁用NAT(网络地址转换)。
配置动态路由 路由信息协议(RIP)是内部网络中常用的内部网关协议(IGP)。
路由器通过此协议可彼此自动交换路由信息,并动态调整路由表以适应网络中的变化。
设备通过动态路由(RIP)可以自动调整,以适应网络布局的物理更改,并与其他路由器交换路由表。
路由器会以源与目标之间的步跳数最少为原则,确定网络数据包的路由。
注默认情况下,RIP在设备上为禁用状态。
思科RV130/RV130W边缘路由器管理指南 37 配置网络 配置路由
3 配置动态路由的步骤: 步骤1选择Networking>Routing。
步骤2配置以下设置: RIPRIPSendPacketVersion RIPRecvPacketVersion 选中Enable可启用RIP。
设备将可以使用RIP来路由流量。
选择RIP发送数据包版本(RIPv1或RIPv2)。
用于向网络中其他路由器发送路由更新的RIP的版本会取决于其他路由器的配置设置。
RIPv2向后兼容RIPv1。
选择RIP接收数据包版本。
步骤3单击Save。
配置VLAN间路由 要允许一个VLAN的终端站与另一个VLAN的终端站通信,请选中InterVLANRoutingEnable复选框。
配置静态路由 您可以配置静态路由,以将数据包定向到目标网络。
静态路由是数据包为到达特定主机或网络而必须经过的预定路径。
一些ISP会要求使用静态路由而非动态路由协议来构建您的路由表。
静态路由与对等路由器交换路由信息时,不占用CPU资源。
您也可以使用静态路由来访问不支持动态路由协议的对等路由器。
静态路由可同动态路由一起使用。
本设备最多可支持30个静态路由。
请注意,不要在您的网络中引入路由环路。
思科RV130/RV130W边缘路由器管理指南 38 配置网络 查看路由表
3 配置静态路由的步骤: 步骤1选择Networking>Routing。
步骤2从RouteEntries下拉菜单中选择路由条目。
要删除路由条目,请单击DeleteThisEntry。
步骤3为所选路由条目配置以下设置: EnterRouteNameDestinationLANIPMaskGatewayInterface 步骤4单击Save。
输入路由的名称。
输入目标LAN的IP地址。
输入目标网络的子网掩码。
输入用于此路由的网关的IP地址。
选择此路由将数据包发送到的接口: •LAN&Wireless-单击此按钮可将数据包定向到LAN和无线网络。
•(WAN)-单击此按钮可将数据包定向到互联网(WAN)。
查看路由表 路由表包含有关其直接关联网络的拓扑的信息。
要查看网络上的路由信息,请选择Networking>RoutingTable并选择以下选项之一: •ShowIPv4RoutingTable-路由表显示时包含在Networking>Routing页面上配置的字段。
•ShowIPv6RoutingTable-路由表显示时包含在Networking>IPv6页面上配置的字段。
思科RV130/RV130W边缘路由器管理指南 39 配置网络 配置动态DNS
3 配置动态DNS 动态DNS(DDNS)是一种互联网服务,可支持使用互联网域名来定位具有不同公共IP地址的路由器。
要使用DDNS,必须通过DDNS提供商(如、、或)设置帐户。
路由器将WANIP地址的变化通知给动态DNS服务器,从而可以使用域名访问网络上的任何公共服务。
配置DDNS的步骤: 步骤1选择Networking>DynamicDNS。
步骤2从下拉菜单中选择UpdateInterval。
步骤3DDNSServiceTable部分列出可在设备上启用的DDNS服务。
步骤4选中要启用的服务的复选框,然后单击Edit。
步骤5选中服务的Enable复选框。
步骤6配置以下信息: Username/E-mailAddressPasswordHost/DomainNameIPAddressStatus DDNS帐户的用户名或用于创建DDNS帐户的电子邮件地址。
DDNS帐户的密码。
DDNS服务器的主机名或用于访问网络的域的名称 (只读)设备的互联网IP地址。
(只读)指示DDNS更新已成功完成或发送到DDNS服务器的帐户更新信息失败。
步骤7单击TestConfiguration以测试DDNS配置。
步骤8单击Save。
思科RV130/RV130W边缘路由器管理指南 40 配置网络 配置IP模式
3 配置IP模式 针对IPv4和IPv6网络,可以配置广域网配置属性。
您可以在这些页面中输入有关互联网连接类型的信息以及其他参数。
选择IP模式的步骤: 步骤1选择Networking>IPMode。
步骤2从IPMode下拉菜单中选择以下选项之一: LAN:IPv4,WAN:IPv4LAN:IPv6,WAN:IPv4 LAN:IPv6,WAN:IPv6LAN:IPv4+IPv6,WAN:IPv4LAN:IPv4+IPV6,WAN:IPv4+IPv6LAN:IPv4,WAN:IPv6 用于在LAN和WAN端口上使用IPv4。
用于在LAN端口上使用IPv6,并在WAN端口上使用IPv4。
用于在LAN和WAN端口上使用IPv6。
用于在LAN端口上使用IPv4和IPv6,在WAN端口上使用IPv4。
用于在LAN和WAN端口上使用IPv4和IPv6。
用于在LAN端口上使用IPv4,在WAN端口上使用IPv6。
步骤3(可选)如果使用了6to4隧道(可支持在IPv4网络上传输IPv6数据包),请执行以下操作: a.单击ShowStatic6to4DNSEntry。
b.在Domain和IP字段中,输入最多五个域到IP的映射。
当站点或最终用户要使用现有IPv4网络连接至IPv6互联网时,通常会使用6to4隧道功能。
步骤4单击Save。
思科RV130/RV130W边缘路由器管理指南 41 配置网络 配置IPv6
3 配置IPv6 互联网协议版本6(IPv6)是用于接替互联网协议版本4(IPv4)的互联网协议(IP)版本。
请根据您所拥有的互联网连接类型来配置IPv6网络的WAN属性。
配置IPV6WAN连接 您可以对配置进行配置,使其作为此WAN的ISP的DHCPv6客户端或使用ISP提供的静态IPv6地址。
要在设备上配置IPv6WAN设置,必须先将IP模式设置为以下模式之一: •LAN:IPv6,WAN:IPv6•LAN:IPv4+IPv6,WAN:IPv4•LAN:IPv4+IPv6,WAN:IPv4+IPv6有关如何设置IP模式的说明,请参阅配置IP模式。
配置SLAAC请将设备配置为使用无状态地址自动配置(SLAAC)进行IPv6客户端地址分配。
使用SLAAC的步骤: 步骤1选择Networking>IPv6>IPv6WANConfiguration。
步骤2在WANConnectionType字段中,选择SLAAC。
对于无状态DHCP,ISP无需提 供DHCPv6服务器。
取而代之的是,源自设备的ICMPv6发现消息将被用于执行自动配置。
步骤3单击Save。
配置DHCPv6如果ISP为您提供动态分配的地址,请将设备配置为DHCPv6客户端。
将设备配置为DHCPv6客户端的步骤: 步骤1选择Networking>IPv6>IPv6WANConfiguration。
步骤2在WANConnectionType字段中,选择AutomaticConfiguration-DHCPv6。
网 关连接至ISP的DHCPv6服务器以获取租用地址。
思科RV130/RV130W边缘路由器管理指南 42 配置网络 配置IPv6
3 步骤3要自动将前缀分配给设备(DHCP客户端),请选择PrefixDelegationEnable单选按钮。
步骤4单击Save。
配置静态IPv6WAN地址如果ISP为您分配固定地址用于访问WAN,请将设备配置为使用静态IPv6地址。
配置静态IPv6WAN地址的步骤: 步骤1选择Networking>IPv6>IPv6WANConfiguration。
步骤2在WANConnectionType菜单,选择StaticIPv6。
步骤3输入以下信息: IPv6AddressIPv6PrefixLength DefaultIPv6GatewayStaticDNS1StaticDNS2步骤4单击Save。
WAN端口的IPv6地址。
IPv6前缀长度(通常由ISP定义)。
IPv6网络(子网)由地址的初始位(称为前缀)标识。
子网中的所有主机都具有相同前缀。
例如,在IPv6地址2001:0DB8:AC10:FE01::中,前缀为2001。
默认网关的IPv6地址。
此地址通常是ISP端服务器的IP地址。
主IPv6DNS服务器的IP地址。
辅助IPv6DNS服务器的IP地址。
配置PPPoEIPv6设置 您可以分别或同时运行IPv4PPPoE、IPv6PPPoE。
如果同时运行,则IPv6WANPPPoE设置必须与IPv4WANPPPoE设置匹配。
如果不匹配,则会显示一条消息,询问您是否要将IPv6协议设置为与IPv4协议匹配。
请参阅配置PPPoE。
思科RV130/RV130W边缘路由器管理指南 43 配置网络 配置IPv6
3 配置PPPoEIPv6设置的步骤: 步骤1选择Networking>IPv6>IPv6WANConfiguration。
步骤2在WANConnectionType字段中,选择PPPoEIPv6。
步骤3输入以下信息(可能需要联系ISP以获取PPPoE登录信息): UsernamePasswordConnectonDemand KeepAliveAuthenticationType ServiceNameMTU Size ISP分配给您的用户名。
ISP分配给您的密码。
如果ISP根据您连接的时长收费,请选择此单选按钮。
如果选择,仅当存在流量时,互联网连接才处于活动状态。
如果连接处于空闲状态(即没有流量),则关闭连接。
在MaxIdleTime字段中,输入从在链路上检测不到流量到关闭链路所需经过的分钟数。
通过端口发送“保持活动”消息,使WAN链路保持连接。
在redialperiod字段中,输入设备在断开连接后尝试重新连接之前等待的秒数。
鉴权类型: Auto-negotiation-服务器发送指明其安全算法设置的配置请求。
设备使用鉴权凭证进行回复,其中包含服务器所发送的安全类型。
PAP-使用密码鉴别协议(PAP)连接至ISP。
CHAP-使用询问握手鉴权协议(PAP)连接至ISP。
MS-CHAP或MS-CHAPv2-使用Microsoft询问握手鉴权协议连接至ISP。
登录PPPoE服务器时,ISP可能要求提供的名称。
最大传输单位是可在网络中发送的最大数据包的大小。
除非ISP要求更改,否则建议选择Auto。
以太网网络的标准MTU值为1500字节。
对于PPPoE连接,该值为1492字节。
如果ISP要求自定义MTU设置,请选择Manual。
MTU大小。
如果ISP要求自定义MTU设置,请输入MTU大小。
思科RV130/RV130W边缘路由器管理指南 44 配置网络 配置IPv6
3 AddressMode IPv6PrefixLengthDefaultIPv6GatewayStaticDNS1StaticDNS2步骤4单击Save。
动态或静态地址模式。
如果选择静态模式,请在下一个字段中输入IPv6地址。
IPv6前缀长度。
默认IPv6网关的IP地址。
主DNS服务器的IP地址。
辅助DNS服务器的IP地址。
配置IPv6LAN连接 在IPv6模式下,LANDHCP服务器默认情况下为启用状态(与IPv4模式类似)。
DHCPv6服务器分配来自配置的地址池中的IPv6地址,这些地址使用分配给LAN的IPv6前缀长度。
要在设备上配置IPv6LAN设置,必须先将IP模式设置为以下模式之一: •LAN:IPv6,WAN:IPv4•LAN:IPv6,WAN:IPv6•LAN:IPv4+IPv6,WAN:IPv4•LAN:IPv4+IPv6,WAN:IPv4+IPv6有关如何设置IP模式的详情,请参阅配置IP模式。
配置IPv6LAN设置的步骤: 步骤1选择Networking>IPv6>IPv6LANConfiguration。
步骤2输入以下信息以配置IPv6LAN地址: 思科RV130/RV130W边缘路由器管理指南 45 配置网络 配置IPv6
3 IPv6AddressIPv6PrefixLength 输入设备的IPv6地址。
网关的默认IPv6地址为fec0::1(或FEC0:0000:0000:0000:0000:0000:0000:0001)。
可以基于网络要求更改此128位IPv6地址。
输入IPv6前缀长度。
IPv6网络(子网)由地址的初始位(称为前缀)标识。
默认情况下,前缀长度为64位。
对于IPv6地址,网络中的所有主机都具有相同的初始位;在此字段中输入网络地址中公共初始位的位数。
步骤3单击Save或继续配置IPv6DHCPLAN设置。
步骤4输入以下信息以配置DHCPv6设置: DHCPStatus DomainNameServerPreference StaticDNS1StaticDNS2ClientLeaseTime 选中可启用DHCPv6服务器。
启用时,设备分配指定范围内的IP地址,并向请求DHCP地址的任何LAN端点提供其他信息。
(可选)DHCPv6服务器的域名。
此DHCP服务器的服务器偏好级别。
发送到LAN主机的具有最高服务器偏好值的DHCP通告消息优先于其他DHCP服务器通告消息。
默认值为255。
ISPIPv6网络上主DNS服务器的IPv6地址。
ISPIPv6网络上辅助DNS服务器的IPv6地址。
向LAN上的端点租用IPv6的客户端租用持续时间(以秒为单位)。
步骤5选择Networking>IPv6>IPv6LANConfiguration。
步骤6在IPv6AddressPoolsTable中,单击AddRow。
思科RV130/RV130W边缘路由器管理指南 46 配置网络 配置IPv6
3 步骤7输入以下信息: StartAddressEndAddressIPv6PrefixLength 步骤8单击Save。
池的起始IPv6地址。
池的结束IPv6地址。
确定网络地址中公共初始位的位数的前缀长度。
要编辑池的设置,请选择池并单击Edit。
要删除所选池,请单击Delete。
单击Save应用更改。
配置IPv6静态路由 可以配置静态路由以将数据包定向到目标网络。
静态路由是数据包为到达特定主机或网络而必须经过的预定路径。
一些ISP需要静态路由而非使用动态路由协议来构建您的路由表。
静态路由与对等路由器交换路由信息时,不占用CPU资源。
您也可以使用静态路由来访问不支持动态路由协议的对等路由器。
静态路由可同动态路由一起使用。
请注意,不要在您的网络中引入路由环路。
创建静态路由的步骤: 步骤1选择Networking>IPv6>IPv6StaticRouting。
步骤2在静态路由列表中,单击AddRow。
步骤3输入以下信息: NameDestinationPrefixLengthGateway 路由名称。
此路由的目标主机或网络的IPv6地址。
IPv6地址中定义目标子网的前缀位的位数。
用于访问目标主机或网络网关的IPv6地址。
思科RV130/RV130W边缘路由器管理指南 47 配置网络 配置IPv6
3 InterfaceMetricActive 步骤4单击Save。
路由的接口:LAN、WAN或6to4。
路由的优先级。
选择介于2与15之间的值。
如果存在指向相同目标的多个路由,则使用具有最低度量标准的路由。
选中可使路由处于活动状态。
添加非活动状态路由时,该路由会在路由表中列出,但是不被设备使用。
如果添加路由时路由不可用,则输入非活动路由十分有用。
当网络变为可用时,您可以启用路由。
要编辑路由的设置,请选择路由并单击Edit。
要删除所选路由,请单击Delete。
单击Save应用更改。
配置路由(RIPng) 下一代RIP(RIPng)是基于距离矢量(D-V)算法的路由协议。
RIPng使用UDP数据包,通过端口521交换路由信息。
RIPng使用步跳数测量与目标之间的距离。
步跳数称为度量标准(或成本)。
从路由器到直接连接网络的步跳数为
0。
两个直接连接路由器之间的步跳数为
1。
当步跳数大于或等于16时,不可抵达目标网络或主机。
默认情况下,每30秒发送一次路由更新。
如果路由器在180秒后还未从相邻路由器收到任何路由更新,则会将从相邻路由器获知的路由视为不可达。
再经过240秒之后,如果还未收到任何路由更新,则路由器将从路由表中移除这些路由。
在设备上,RIPng在默认情况下为禁用状态。
配置RIPng的步骤: 步骤1选择Networking>IPv6>Routing(RIPng))。
步骤2选中Enable。
步骤3单击Save。
配置隧道 思科RV130/RV130W边缘路由器管理指南 48 配置网络 配置IPv6
3 通过IPv6到IPv4隧道(6-to-4隧道)可以在IPv4网络上传输IPv6数据包。
通过IPv4到IPv6隧道(4-to-6隧道)可以在IPv6网络上传输IPv4数据包。
6-to-4隧道6当站点或最终用户要使用现有IPv4网络连接至IPv6互联网时,通常会使用6-to-4隧道。
配置6-to-4隧道的步骤: 步骤1选择Networking>IPv6>Tunneling。
步骤2在6to4Tunneling字段中,选中Enable。
步骤3选择隧道类型: •6to4•6RD(快速部署)•ISATAP(站内自动隧道寻址协议)-选择Auto或Manual。
步骤4对于6RD隧道,选择Auto或Manual。
如果选择Manual,请输入以下信息:•IPv6Prefix•IPv6PrefixLength•BorderRelay•IPv4MaskLength步骤5对于ISATAP隧道,选择Auto或Manual。
如果选择Manual,请输入以下信息:•IPv6Prefix•IPv6PrefixLength步骤6单击Save。
4-to-6隧道配置4-to-6隧道的步骤: 步骤1选择Networking>IPv6>Tunneling。
步骤2在4to6Tunneling字段中,选中Enable框。
步骤3输入设备的本地WANIPv6地址。
思科RV130/RV130W边缘路由器管理指南 49 配置网络 配置IPv6 步骤4输入远程IPv6地址,或远程端点的IP地址。
步骤5单击Save。
3 查看IPv6隧道状态 查看IPv6隧道状态的步骤:步骤1选择Networking>IPv6>IPv6TunnelsStatus。
步骤2单击Refresh可更新最新信息。
此页面显示有关通过专用WAN接口设置的自动隧道的信息。
该表显示在设备上创建的隧道名称和IPv6地址。
思科RV130/RV130W边缘路由器管理指南 50 配置网络 配置IPv6
3 配置路由器通告 设备上的路由器通告常驻程序(RADVD)会侦听IPv6LAN上的路由器请求,并根据需要使用路由器通告进行回复。
这属于无状态IPv6自动配置,设备将IPv6前缀分发给网络上的所有节点配置RADVD的步骤: 步骤1选择Networking>IPv6>RouterAdvertisement。
步骤2输入以下信息: RADVDStatusAdvertiseMode AdvertiseInterval RAFlags 选中Enable可启用RADVD。
选择以下模式之一: UnsolicitedMulticast-将路由器通告(RA)发送至属于组播组的所有接口。
Unicastonly-将通告仅限为已知IPv6地址(RA仅发送至属于已知地址的接口)。
UnsolicitedMulticast的通告间隔(4–1800)。
默认值为30。
通告间隔为介于最短路由器通告间隔(MinRtrAdvInterval)与最长路由器通告间隔(MaxRtrAdvInterval)之间的随机值。
MinRtrAdvInterval=0.33*MaxRtrAdvInterval 选中Managed可将管理/有状态协议用于地址自动配置。
选中Other可将管理/有状态协议用于其他的非地址自动配置。
思科RV130/RV130W边缘路由器管理指南 51 配置网络 配置IPv6
3 RouterPreference MTURouterLifeTime步骤3单击Save。
从下拉菜单中选择low、medium或high。
默认值为medium。
路由器偏好为默认路由器提供偏好度量标准。
low、medium和high值在RA消息中的未使用位中形成信号。
此扩展对于路由器(设置路由器偏好值)和主机(解释路由器偏好版本)可向后兼容。
对于未实施路由器偏好的主机,可以忽略这些值。
如果LAN上存在其他支持RADVD的设备,则此功能将十分有用。
MTU大小(0或1280到1500)。
默认值为1500字节。
最大传输单位(MTU)是可在网络中发送的最大数据包的大小。
MTU在RA中用于确保在LANMTU未众所周知时网络上的所有节点都使用相同的MTU值。
路由器有效寿命或通告消息在路由上存在的时间(以秒为单位)。
默认值为3600秒。
配置通告前缀 配置RADVD可用前缀的步骤: 步骤1选择Networking>IPv6>AdvertisementPrefixes。
步骤2单击AddRow。
思科RV130/RV130W边缘路由器管理指南 52 配置网络 配置IPv6 步骤3输入以下信息:IPv6PrefixType SLAID IPv6PrefixIPv6PrefixLengthPrefixLifetime步骤4单击Save。
3 选择以下类型之一:6to4-可用于在IPv4网络上传输IPv6数据包。
当最终用户要使用现有IPv4连接来连接至IPv6互联网时,该会类型十分有用。
Global/Local-可以在专用IPv6网络中使用的本地唯一的IPv6地址,或全局唯一的IPv6互联网地址。
如果选择6to4作为IPv6前缀类型,请输入站点级别聚合标识符(SLAID)。
6to4地址前缀中的SLAID设置为用于发送通告的接口ID。
如果选择Global/Local作为IPv6前缀类型,请输入IPv6前缀。
IPv6前缀指定IPv6网络地址。
如果选择Global/Local作为IPv6前缀类型,请输入前缀长度。
前缀长度变量是一个十进制值,指示组成地址网络部分的地址连续高位的位数。
前缀有效期限,或允许请求路由器使用前缀的时间长度。
思科RV130/RV130W边缘路由器管理指南 53
4 配置无线网络 无线安全性 本章介绍如何在设备上配置无线网络。
•无线安全性,第54页•设备上的无线网络,第56页•配置基本无线设置,第57页•配置高级无线设置,第63页•检测恶意接入点,第65页•配置WDS,第69页•配置WPS,第70页•配置强制网络门户,第70页•配置设备模式,第73页 无线网络使用方便、易于安装。
因为无线网络的工作方式是通过无线电波发送信息,所以和传统有线网络相比更容易遭受入侵程序的危害。
无线安全性提示 虽然无法在物理上阻止某人连接至您的无线网络,但是可以采取以下措施来保证网络安全: •更改默认无线网络名称或SSID。
无线设备有默认的无线网络名称或SSID。
这是无线网络的名称,长度最多为32个字符。
思科RV130/RV130W边缘路由器管理指南 54 配置无线网络 无线安全性
4 要保护您的网络,请将默认无线网络名称更改为唯一名称以将您的无线网络与您周围可能存在的其他无线网络区分开来。
更改名称时,请勿使用个人信息,因为任何人在浏览无线网络时都可查看此信息。
•更改默认密码。
对于无线产品(如接入点、路由器和网关),在您更改其设置时会要求输入密码。
这些设备有一个默认密码。
默认密码通常为cisco。
黑客知道这些默认值,就可能尝试利用它们访问您的无线设备并更改网络设置。
要阻止未授权访问,请自定义设备密码,以便难以猜到。
•启用MAC地址过滤。
使用思科路由器和网关时可以启用MAC地址过滤。
MAC地址是分配给每个联网设备的唯一的数字和字母序列。
启用MAC地址过滤之后,只有特定MAC地址的无线设备才能访问无线网络。
例如,可以指定网络中每个计算机的MAC地址,以便只有这些计算机才能访问您的无线网络。
•启用加密。
加密可保护在无线网络中传输的数据。
Wi-Fi保护访问(WPA/WPA2)和有线等效加密(WEP)可为无线通信提供不同级别的安全性。
当前,经过Wi-Fi认证的设备需要支持WPA2,但是无需支持WEP。
使用WPA/WPA2加密的网络比使用WEP加密的网络更加安全,因为WPA/WPA2使用动态密钥加密。
要在信息通过电波传输时被保护,请启用网络设备支持的最高级别加密。
WEP是一种比较老的加密标准,可能是一些不支持WPA的较旧设备上的唯一选项。
•使无线路由器、接入点或网关远离外墙和窗户。
•不使用无线路由器、接入点或网关时(夜间、休假期间),请将它们关闭。
•使用长度不少于八个字符的安全性较强的密码。
混合使用字母和数字,避免使用可在字典中找到的标准单词。
思科RV130/RV130W边缘路由器管理指南 55 配置无线网络 设备上的无线网络
4 一般网络与安全性准则 如果基础网络不安全,则无线网络再安全也无济于事。
建议采取以下预防措施:•对网络上的所有计算机进行密码保护,并单独对敏感文件进行密码保护。
•定期更改密码。
•安装防病毒软件和个人防火墙软件。
•禁用文件共享(对等)以防应用程序在未经您同意的情况下使用文件共享。
设备上的无线网络 设备可提供四个虚拟无线网络或四个SSID(服务集标识符):ciscosb1、ciscosb2、ciscosb3和ciscosb4。
这些是这些网络的默认名称或SSID,不过可以将这些名称更改为更有意义的名称。
下表介绍这些网络的默认设置: SSID名称 Enabled SSIDBroadcast SecurityMode MACFilter VLAN WirelessIsolationwithSSID WMM WPSHardwareButton ciscosb1是已启用 已禁用
1 已禁用1已禁用 已启用已启用 ciscosb2否已禁用 已禁用 已禁用1已禁用 已启用已禁用 ciscosb3否已禁用 已禁用 已禁用1已禁用 已启用已禁用 ciscosb4否已禁用 已禁用 已禁用1已禁用 已启用已禁用
1.使用设置向导时,选择BestSecurity或BetterSecurity可防止对设备进行未授权访问。
思科RV130/RV130W边缘路由器管理指南 56 配置无线网络 配置基本无线设置
4 配置基本无线设置 选择Wireless>BasicSettings可配置基本无线设置。
配置基本无线设置的步骤: 步骤1选择Wireless>BasicSettings。
步骤2在Radio字段中,选中Enable框以打开无线功能。
默认情况下仅启用ciscosb1这 一个无线网络。
步骤3在WirelessNetworkMode字段中,从下拉菜单中选择以下选项之一: B/G/N-Mixed BOnlyGOnlyNOnlyB/G-MixedG/N-Mixed 如果网络中有Wireless-
N、Wireless-B和Wireless-G设备。
这是默认设置(推荐)。
如果网络中只有Wireless-B设备,请选择此选项。
如果网络中只有Wireless-G设备,请选择此选项。
如果网络中只有Wireless-N设备,请选择此选项。
如果网络中有Wireless-B和Wireless-G设备,请选择此选项。
如果网络中有Wireless-G和Wireless-N设备,请选择此选项。
步骤4如果在WirelessBandSelection字段中选择了B/G/N-Mixed、N-Only或G/NMixed,请选择网络中的无线带宽(20MHz或20/40MHz)。
如果选择N-Only,则必须在网络中应用WPA2安全性。
请参阅配置安全模式。
步骤5在WirelessChannel字段中,从下拉菜单中选择无线信道。
步骤6在APManagementVLAN字段中,如果使用默认设置,请选择VLAN1。
如果创建其他VLAN,请选择与在网络中其他交换机上配置的VLAN对应的值。
这样做是为了安全起见。
可能需要更改管理VLAN以限制对设备管理器的访问。
步骤7(可选)在U-APSD(WMMPowerSave)字段中,选择Enable以启用计划外自动节能(U-APSD)功能(也称为WMM节能),无线功能可使用该功能节省电能。
U-APSD是针对实时应用(如VoIP、在WLAN上传输全双工数据)而优化的节能方案。
通过将传出IP流量分类为语音数据,这些类型的应用可以将电池使用寿命延长约25%并最大程度减小传输延迟。
步骤8(可选)配置四个无线网络的设置(请参阅编辑无线网络设置)。
步骤9单击Save。
思科RV130/RV130W边缘路由器管理指南 57 配置无线网络 配置基本无线设置
4 编辑无线网络设置 BasicSettings页面上的WirelessTable会列出设备上支持的四个无线网络的设置。
配置无线网络设置的步骤: 步骤1选中要配置的网络的对应框。
步骤2单击Edit。
步骤3配置以下设置: EnableSSIDSSIDNameSSIDBroadcast SecurityModeMACFilterVLANWirelessIsolationwithSSIDWMM(Wi-FiMultimedia)MaxAssociatedClients WPS PortalProfile 单击On可启用该网络。
输入网络的名称。
选中此框可启用SSID广播。
如果启用了SSID广播,则无线路由器会将其可用性通告给路由器范围内配有无线功能的设备。
请参阅配置安全模式。
请参阅配置MAC过滤。
选择与网络关联的VLAN。
选中此框可启用SSID中的无线隔离。
选中此框可启用WMM。
可以连接至所选无线网络的最大客户端数。
输入介于1与64之间的数字。
选中此框可将设备前面板上的WPS按钮映射到此网络。
请参阅配置强制网络门户。
步骤4单击Save。
思科RV130/RV130W边缘路由器管理指南 58 配置无线网络 配置基本无线设置
4 配置安全模式 可以为无线网络配置以下安全模式之一:•配置WEP•配置WPA-Personal、WPA2-Personal和WPA2-PersonalMixed•配置WPA-Enterprise、WPA2-Enterprise和WPA2-EnterpriseMixed 配置WEPWEP安全模式的安全性较弱,使用的是基本的加密方式,没有WPA安全。
当网络设备不支持WPA时,需要使用WEP。
NOTE如果不必使用WEP,我们建议您使用WPA2。
如果正在使用的只有Wireless-N模式,则必须使用WPA2。
配置WEP安全模式的步骤: 步骤1选择Wireless>BasicSettings。
在WirelessTable中,选中要配置的网络的对应框。
步骤2单击EditSecurityMode。
系统将显示SecuritySettings页面。
步骤3在SelectSSID字段中,选择要为其配置安全设置的SSID。
步骤4在SecurityMode菜单中,选择WEP。
步骤5在AuthenticationType字段中,选择以下选项之一: •OpenSystem-这是默认选项。
•SharedKey-如果网络管理员建议使用此设置,请选择此选项。
如果您不确 定,请选择默认选项。
在这两种情况下,无线客户端都必须提供正确的共享密钥(密码)才能访问无线网络。
步骤6在Encryption字段中,选择加密类型: •10/64-bit(10hexdigits)-提供40位密钥。
•26/128-bit(26hexdigits)-提供104位密钥,可实现更强的加密,使密钥更 难解密。
建议使用128位加密。
步骤7(可选)在Passphrase字段中,输入字母数字短语(长于八个字符,以实现最佳安 全性),然后单击GenerateKey以在WEPKey字段中生成四个唯一的WEP密钥。
思科RV130/RV130W边缘路由器管理指南 59 配置无线网络 配置基本无线设置
4 如果要提供自己的密钥,请直接在Key1字段中输入(推荐)。
密钥长度对于64位WEP应为5个ASCII字符(或10个十六进制字符),对于128位WEP应为13个ASCII字符(或26个十六进制字符)。
有效的十六进制字符为0到9和A到
F。
步骤8在TXKey字段中,选择将哪个密钥用作设备访问无线网络时必须使用的共享密钥。
步骤9单击Save保存设置。
步骤10单击Back返回BasicSettings页面。
配置WPA-Personal、WPA2-Personal和WPA2-PersonalMixed WPAPersonal、WPA2Personal和WPA2PersonalMixed安全模式可提供可替代WEP的强安全性。
•WPA-Personal-WPA属于由Wi-Fi联盟标准化的无线安全标准(802.11i)的一部分,用于在准备802.11i标准期间代替WEP。
WPA-Personal支持临时密钥完整性协议(TKIP)和高级加密标准(AES)加密。
•WPA2-Personal-(推荐)WPA2是在最终802.11i标准中指定的实施的安全标准。
WPA2支持AES加密,此选项使用预先共享密钥(PSK)进行鉴权。
•WPA2-PersonalMixed-允许WPA和WPA2客户端同时使用PSK鉴权进行连接。
个人鉴权是PSK,这是与无线对等方共享的字母数字密码短语。
配置WPAPersonal安全模式的步骤: 步骤1在WirelessTable(Wireless>BasicSettings)中,选中要配置的网络的对应框。
步骤2单击EditSecurityMode。
系统将显示SecuritySettings页面。
步骤3在SelectSSID字段中,选择要为其配置安全设置的SSID。
步骤4在SecurityMode菜单中,选择三个WPAPersonal选项之
一。
步骤5(仅限WPA-Personal)在Encryption字段中,选择以下选项之一: •TKIP/AES-选择TKIP/AES可确保与可能不支持AES的较旧无线设备兼容。
•AES-此选项更安全。
步骤6在SecurityKey字段中,输入字母数字短语(8–63个ASCII字符或64个十六进制数字)。
密码强度计显示密钥的安全程度:belowminimum、weak、strong、verystrong或secure。
建议使用强度计指示为安全的安全密钥。
步骤7要在输入时显示安全密钥,请选中UnmaskPassword框。
思科RV130/RV130W边缘路由器管理指南 60 配置无线网络 配置基本无线设置
4 步骤8在KeyRenewal字段中,输入密钥更新之间的持续时间(600–7200秒)。
默认值为3600。
步骤9单击Save保存设置。
单击Back返回BasicSettings页面。
配置WPA-Enterprise、WPA2-Enterprise和WPA2-EnterpriseMixedWPAEnterprise、WPA2Enterprise和WPA2EnterpriseMixed安全模式允许使用RADUIS服务器鉴权。
•WPA-Enterprise-允许将WPA与RADIUS服务器鉴权一起使用。
•WPA2-Enterprise-允许将WPA2与RADIUS服务器鉴权一起使用。
•WPA2-EnterpriseMixed-允许WPA和WPA2客户端同时使用RADIUS鉴权 进行连接。
配置WPAEnterprise安全模式的步骤: 步骤1在WirelessTable(Wireless>BasicSettings)中,选中要配置的网络的对应框。
步骤2单击EditSecurityMode。
步骤3在SelectSSID字段中,选择要为其配置安全设置的SSID。
步骤4在SecurityMode菜单中,选择三个WPAEnterprise选项之
一。
步骤5(仅限WPA-Enterprise)在Encryption字段中,选择以下选项之一: •TKIP/AES-选择TKIP/AES可确保与可能不支持AES的较旧无线设备兼容。
•AES-此选项更安全。
步骤6在RADIUSServer字段中,输入RADIUS服务器的IP地址。
步骤7在RADIUSPort字段中,输入用于访问RADIUS服务器的端口。
步骤8在SharedKey字段中,输入字母数字短语。
步骤9在KeyRenewal字段中,输入密钥更新之间的持续时间(600–7200秒)。
默认值为3600。
步骤10单击Save保存设置。
步骤11单击Back返回BasicSettings页面。
思科RV130/RV130W边缘路由器管理指南 61 配置无线网络 配置基本无线设置
4 配置MAC过滤 可以使用MAC过滤,根据请求设备的MAC(硬件)地址来允许或拒绝访问无线网络。
例如,可以输入一组计算机的MAC地址,仅允许这些计算机访问网络。
可以为每个网络或SSID配置MAC过滤。
配置MAC过滤的步骤: 步骤1在WirelessTable(Wireless>BasicSettings)中,选中要配置的网络的对应框。
步骤2单击EditMACFiltering。
系统将显示WirelessMACFilter页面。
步骤3在EditMACFiltering字段中,选中Enable框为此SSID启用MAC过滤。
步骤4在ConnectionControl字段中,选择对无线网络的访问类型: •Prevent-选择此选项可阻止具有MACAddressTable中列出的MAC地址的设备访问无线网络。
此选项为默认选项。
•Permit-选择此选项可允许具有MACAddressTable中列出的MAC地址的设备访问无线网络。
步骤5要显示无线网络中的计算机和其他设备,请单击ShowClientList。
步骤6在SavetoMACAddressFilterList字段中,选中对应框以将设备添加到将被添加到 MACAddressTable的设备的列表中。
步骤7单击AddtoMAC以将ClientListTable中所选设备添加到MACAddressTable。
步骤8单击Save保存设置。
步骤9单击Back返回BasicSettings页面。
配置每天固定时间访问 要进一步保护您的网络,可以通过指定用户访问网络的时间来限制对网络的访问。
配置每天固定时间访问的步骤: 步骤1在WirelessTable(Wireless>BasicSettings)中,选中要配置的网络的对应框。
步骤2单击TimeofDayess。
系统将显示TimeofDayess页面。
步骤3在ActiveTime字段中,选中Enable启用每天固定时间访问。
思科RV130/RV130W边缘路由器管理指南 62 配置无线网络 配置高级无线设置
4 步骤4在StartTime和Time字段中,指定每天允许访问网络的时间。
步骤5单击Save。
配置高级无线设置 高级无线设置只应由经验丰富的管理员进行调整;不正确的设置可能会降低无线性能。
配置高级无线设置的步骤:步骤1选择Wireless>AdvancedSettings。
系统将显示AdvancedSettings页面。
步骤2配置以下设置: FrameBurst WMMNoAcknowledgementBasicRate 启用此选项可为无线网络提供更高性能,具体取决于无线产品的制造商。
如果不确定如何使用此选项,请保留默认值(启用)。
启用WMMNoAcknowledgement可以实现更高效的吞吐量,但是在杂乱的无线电频率(RF)环境下可能会出现较高的错误率。
默认情况下,此设置为禁用状态。
BasicRate设置不是传输速率,而是服务准备平台可以用于传输的一系列速率。
设备会将其基本速率通告给网络中的其他无线设备,让它们知道将使用的速率。
服务准备平台也会通告它将自动选择传输的最佳速率。
当设备可以按所有标准无线速率(1Mbps、2Mbps、5.5Mbps、11Mbps、18Mbps、24Mbps、36Mbps、48Mbps和54Mbps)传输时,默认设置为Default。
除了B和G速度之外,设备还支持N速度。
其他选项有1-2Mbps(用于较旧无线技术)和All(设备可以按所有无线速率传输)。
BasicRate不是数据传输的实际速率。
如果要指定设备数据传输速率,请配置TransmissionRate设置。
思科RV130/RV130W边缘路由器管理指南 63 配置无线网络 配置高级无线设置
4 TransmissionRate NTransmissionRate CTSProtectionMode BeaconInterval 应根据无线网络速度设置数据传输速率。
可以从一系列传输速度中选择,也可以选择Auto让设备自动使用可能最快的数据速率并启用自动回退功能。
自动回退会在设备与无线客户端之间协商最佳可能连接速度。
默认为Auto。
应根据Wireless-N网络速度设置数据传输速率。
可以从一系列传输速度中选择,也可以选择Auto让设备自动使用可能最快的数据速率并启用自动回退功能。
自动回退会在设备与无线客户端之间协商最佳可能连接速度。
默认为Auto。
当Wireless-N和Wireless-G设备遇到严重问题,在具有大量802.11b流量的环境中无法传输到设备时,设备自动使用CTS(清除发送)保护模式。
此功能提升了设备捕获所有Wireless-N和Wireless-G传输的能力,但是会严重降低性能。
默认为Auto。
BeaconInterval值指示信标的频率间隔。
信标是设备为同步无线网络而广播的数据包。
输入介于40与3,500毫秒之间的值。
默认值为100。
思科RV130/RV130W边缘路由器管理指南 64 配置无线网络 检测恶意接入点
4 DTIMInterval FragmentationThresholdRTSThreshold 步骤3单击Save。
此值(介于1与255之间)指示发送流量指示消息(DTIM)的间隔。
DTIM字段是倒计时字段,用于向客户端告知下一个窗口以便侦听广播和组播消息。
当设备缓冲了关联客户端的广播或组播消息时,它会发送包含DTIMInterval值的下一个DTIM。
其客户端会收到信标并被唤醒,以接收广播和组播消息。
默认值为
1。
此值指定在数据分为多个数据包之前的最大数据包大小。
如果遇到较高数据包错误率,则可以稍微增大FragmentationThreshold。
将FragmentationThreshold设置得太低可能会导致网络性能变差。
建议仅稍微减小默认值。
在大多数情况下,应保留其默认值2346。
如果遇到了不一致的数据流,请仅稍微减小一点。
建议使用的默认值为2347。
如果网络数据包小于预设的请求发送(RTS)阈值大小,则不会启用RTS/允许发送(CTS)机制。
服务准备平台会将RTS帧发送给特定接收站并协商数据帧的发送。
接收RTS之后,无线站使用CTS帧进行响应以认可开始传输的权限。
检测恶意接入点 恶意接入点是未经系统管理员授权的、安装在安全网络上的接入点(AP)。
恶意AP会形成安全威胁,因为可以访问内部部署的任何人都可以安装能够在未授权的情况下访问网络的无线AP。
使用RogueAPDetection页面能够使设备显示其在网络附近检测到的所有AP的信息。
如果被列为恶意接入点的接入点实际上是合法接入点,则可以将其添加到AuthorizedAPTable。
选择刷新速率以确保RogueAPDetection页面始终显示最新信息。
启用恶意AP检测的步骤: 思科RV130/RV130W边缘路由器管理指南 65 配置无线网络 检测恶意接入点
4 步骤1选择Wireless>RogueAP。
步骤2单击RogueAPDetectionOn单选按钮。
步骤3单击Save。
向检测到的接入点授权的步骤: 步骤1在RogueAPDetectedTable中,选中要授权的接入点的对应框。
步骤2单击Authorize。
将接入点添加到AuthorizedAPTable的步骤:步骤1单击AddRow。
步骤2输入要授权的接入点的MAC地址。
步骤3输入标识无线网络的SSID或名称。
步骤4选择与接入点关联的安全模式。
步骤5选择TKIP(临时密钥完整性协议)或CCMP(计数器密码模式协议)作为与接入点 关联的加密算法。
步骤6选择RADIUS服务器或PSK(预先共享密钥)以对接入点进行鉴权。
步骤7选择接入点使用的无线网络模式。
步骤8选择接入点使用的无线电频率。
步骤9单击Save。
导入授权AP列表 可以使用CSV文件导入授权接入点的列表。
创建CSV文件时,可使用以下值作为参考。
思科RV130/RV130W边缘路由器管理指南 66 配置无线网络 检测恶意接入点 字段Security NetworkMode 值•0-打开•1-WEP•2-WPA-Personal•3-WPA-Enterprise•4-WPA2-Personal•5-WPA2-Enterprise•0-BOnly•1-GOnly•2-NOnly•3-BG-Mixed•4-GN-Mixed•5-BGN-Mixed
4 思科RV130/RV130W边缘路由器管理指南 67 配置无线网络 检测恶意接入点
4 字段Channel EncryptionAuthentication 值•0-Auto•1-2.412•2-2.417•3-2.422•4-2.427•5-2.432•6-2.437•7-2.442•8-2.447•9-2.452•10-2.457•11-2.462•2-TKIP•4-CCMP•2-PSK•1-RADIUS 确保CSV文件内容的组织方式如下所示: BSSID00:1C:10:CE:44:48 SecurityEncryption
4 2 Authentication2 WirelessNetwork
3 ChannelSSID
1 Auth_Guest 导入授权AP列表的步骤: 步骤1单击Merge可将要导入的接入点列表添加到AuthorizedAPTable中显示的接入点中。
单击Replace可将表中的AP替换为要导入的列表中的AP。
步骤2单击Browse以查找要导入的文件。
思科RV130/RV130W边缘路由器管理指南 68 配置无线网络 配置WDS
4 步骤3单击Save。
配置WDS 无线分布式系统(WDS)是在网络中实现接入点无线互连的系统。
通过该系统可以使用多个接入点扩展无线网络,而无需使用有线骨干网来链接它们。
要建立WDS链路,本设备和其他远程WDS对等方必须设置相同的无线网络模式、无线信道、无线频段选择和加密类型(None或WEP)。
可以在网桥模式(其中一个AP充当多个AP之间的通用链路)或中继模式(其中一个AP使用无线连接重复信号来连接两个AP,无需使用有线连接到LAN)下配置WDS。
WDS仅支持一个SSID。
在网桥模式下配置WDS的步骤: 步骤1选择Wireless>WDS。
步骤2要启用WDS,请选中Enable复选框。
步骤3选择WDSBridge单选按钮。
步骤4在RemoteWirelessBridge'sMACAddress部分中,在MAC1、MAC2、MAC 3和MAC4字段中输入要用作网桥的最多四个接入点的MAC地址。
步骤5单击Save。
在中继模式下配置WDS的步骤: 步骤1选择Wireless>WDS。
步骤2选中WDS复选框。
步骤3选择中继模式。
如果选择Allowwirelesssignaltoberepeatedbyarepeater,请 在MAC1、MAC2和MAC3字段中输入用作中继的最多三个接入点的MAC地址。
步骤4如果选择Repeatwirelesssignalofaremoteesspoint: •在MAC字段中输入无线接入点的MAC地址。
•单击ShowAvailableNetworks以显示AvailableNetworksTable。
单击 Connect以将所选接入点的MAC地址添加到MAC字段。
思科RV130/RV130W边缘路由器管理指南 69 配置无线网络 配置WPS
4 步骤5单击Save。
配置WPS 配置WPS可允许启用WPS的设备方便且安全地连接至无线网络。
有关在客户端设备上设置WPS的其他说明,请参阅客户端设备文档。
配置WPS的步骤: 步骤1选择Wireless>WPS。
系统将显示Wi-FiProtectedSetup页面。
步骤2从下拉菜单中选择SSID选项。
步骤3采用以下三种方式之一在客户端设备上配置WPS: a.单击或按客户端设备上的WPS按钮,然后单击此页面上的WPS图标。
b.输入客户端的WPSPIN号码,然后单击Register。
c.客户端设备需要来自此路由器的PIN号码,使用指示的路由器PIN号码。
DevicePINStatus-WPA设备个人标识号(PIN)状态。
DevicePIN-标识尝试连接的设备的PIN。
PINLifetime-密钥的有效期限。
如果有效期限到期,系统将协商新的密钥。
配置WPS之后,以下信息会出现在WPS页面底部:Wi-FiProtectedSetupStatus、NetworkName(SSID)和Security。
配置强制网络门户 使用强制网络门户可提供对互联网和网络资源的受控、经鉴权访问,对安全性无任何影响。
强制网络门户显示一个特殊网页,用于对客户端进行鉴权,然后客户端才能使用互联网。
可以配置强制网络门户验证以便允许访客和经鉴权的网络用户访问。
通过将设备上的每个虚拟无线网络与门户简档关联,来为这些网络配置强制网络门户实例。
思科RV130/RV130W边缘路由器管理指南 70 配置无线网络 配置强制网络门户
4 创建强制网络门户简档 创建强制网络门户简档的步骤: 步骤1选择Wireless>CaptivePortal>PortalProfile。
在PortalProfileTable部分中,单击AddRow。
要修改设备上提供的门户简档,请选中Default_Portal_Profile框并单击Edit。
步骤2输入强制网络门户简档的名称。
步骤3选择是否使用该简档对网络上的访客用户或用户进行鉴权。
步骤4要在鉴权之后将用户重定向到某个URL,请启用AutoRedirectURL,然后在RedirectURL字段中输入完全合格域名或IP地址。
例如,在URL中包含http://。
步骤5在SessionTimeout字段中,指定设备保持打开与关联的无线客户端鉴权会话的分钟数。
默认超时为60分钟。
步骤6为要在页面上显示的文本选择字体颜色。
步骤7指定要显示的文本,如组织名称、用户名和密码字段的标签文本以及登录按钮上的标签。
步骤8输入与公司关联的标准版权文本。
步骤9在Error1和Error2字段中,输入在登录失败时和超过最大连接数时要向客户端显示的错误消息。
步骤10要使用复选框允许用户接受使用条款之后才继续,请启用Agreement。
AgreementText字段中的文本将显示为复选框的标签。
步骤11在eptanceUsePolicy字段中输入要显示给用户的接受条款。
步骤12在UploadFiles部分中,选择文件以上传符合公司品牌准则的公司徽标和背景文件。
保存简档。
要预览此简档,请选择CaptivePortal>PortalPagePreview,然后从PortalProfile下拉列表中选择简档。
思科RV130/RV130W边缘路由器管理指南 71 配置无线网络 配置强制网络门户
4 配置强制网络门户实例为设备配置强制网络门户实例的步骤: 步骤1选择Wireless>BasicSettings。
步骤2在WirelessTable部分中,对要为其配置强制网络门户的SSID选中Enable框。
单击 Edit。
步骤3为该SSID选择门户简档。
可以使用SSID为设备创建最多四个强制网络门户。
要创建新门户简档,请从下拉列表中选择CreateanewPortalProfile。
选择Default_Portal_Profile可使用设备上提供的门户简档。
步骤4选中Enable框为SSID启用强制网络门户。
步骤5保存强制网络门户实例。
创建强制网络门户用户帐户创建强制网络门户用户帐户的步骤: 步骤1选择Wireless>CaptivePortal>Userounts。
步骤2单击AddRow。
步骤3输入用户名和密码。
重新输入密码进行验证。
建议密码不包含任何语言中的字典单词,应由字母(包含大写和小写字母)、数字和符号组成。
密码长度最多为64个字符。
步骤4在essTime(Minutes)字段中,指定鉴权会话超时之前的持续时间。
步骤5要从CSV文件导入文件名和密码,请单击Import。
系统将显示Administration>Users页面。
在ImportUsernameandPassword部分中,单击Browse找到文件,然后单击Import。
有关详情,请参阅导入用户帐户。
步骤6保存用户帐户。
思科RV130/RV130W边缘路由器管理指南 72 配置无线网络 配置设备模式
4 配置设备模式 可以将本设备配置为以下工作模式:•Router-用于充当无线路由器。
•AP(接入点)-用于向客户端提供无线连接并将Wi-Fi功能扩展到现有有线网络。
当本设备用作接入点时,所有LAN端口都为禁用状态。
确保在Networking>WAN>WANConfiguration页面上配置AP管理VLAN信息。
有关详情,请参阅配置可选设置。
配置设备模式的步骤: 步骤1选择Wireless>DeviceMode,然后选择设备的工作模式。
步骤2单击Save。
思科RV130/RV130W边缘路由器管理指南 73
5 配置防火墙 本章介绍如何配置本设备的防火墙属性。
•防火墙功能,第74页•配置基本防火墙设置,第75页•管理防火墙时间表,第78页•配置服务管理,第79页•配置访问规则,第80页•创建互联网访问策略,第83页•配置一对一网络地址转换(NAT),第84页•配置端口转发,第85页 防火墙功能 可以通过创建并应用规则,使设备有选择性地阻止和允许入站和出站互联网流量,从而保护您的网络。
随后指定如何以及在哪些设备上应用这些规则。
为此,必须指定以下设置: •路由器应允许或阻止的服务或流量类型。
例如,Web浏览、VoIP、其他标准服务和您定义的自定义服务。
•流量方向(通过指定流量的源和目标);流量方向的指定需通过指定源区域(LAN/WAN/DMZ)和目标区域(LAN/WAN/DMZ)来完成。
•关于路由器应在何时应用规则的时间表。
•路由器应允许或阻止的关键字(域名中或网页的URL中)。
•用于按指定时间表对指定服务允许或阻止入站和出站互联网流量的规则。
•路由器应阻止入站访问网络的设备的MAC地址。
思科RV130/RV130W边缘路由器管理指南 74 配置防火墙 配置基本防火墙设置
5 •发信号给路由器以允许或阻止访问按端口号定义的指定服务的端口触发器。
•希望路由器发送给您的报告和警报。
例如,可以基于每天固定时间、Web地址和Web地址关键字建立受限访问策略。
可以阻止LAN上的应用程序和服务(如聊天室或游戏)访问互联网。
可以阻止WAN或公共DMZ网络访问您网络上的特定PC组。
入站(WAN到LAN/DMZ)规则限制对进入网络的流量的访问,可有选择性地仅允许特定外部用户访问特定本地资源。
默认情况下,会阻止来自不安全WAN端所有的对安全LAN(除了响应来自LAN或DMZ的请求)的访问。
要允许外部设备访问安全LAN上的服务,必须为每个服务创建防火墙规则。
如果要允许传入流量,必须向公开路由器WAN端口的IP地址。
这称为“公开主机”。
如何公开地址取决于WAN端口配置;如果设备的WAN端口分配的是静态地址,则可以使用IP地址,如果WAN地址是动态地址,则可以使用DDNS(动态DNS)名称。
出站(LAN/DMZ到WAN)规则限制离开您网络的流量的访问,可有选择性地仅允许特定本地用户访问特定外部资源。
默认出站规则是允许安全区域(LAN)访问公共DMZ或不安全WAN。
要阻止安全LAN上的主机访问外部(不安全WAN)服务,必须为每个服务创建防火墙规则。
配置基本防火墙设置 配置基本防火墙设置的步骤:步骤1选择Firewall>BasicSettings。
步骤2配置以下防火墙设置: IPAddressSpoofingProtectionDoSProtectionBlockWANRequestLAN/VPNWebess 要防止网络受到IP地址欺骗,请选中Enable复选框。
选中Enable可启用拒绝服务防护。
阻止从WAN对设备进行的Ping请求。
选择可用于连接至防火墙的Web访问类型:HTTP或HTTPS(安全HTTP)。
思科RV130/RV130W边缘路由器管理指南 75 配置防火墙 配置基本防火墙设置
5 RemoteManagementRemoteessRemoteUpgradeAllowedRemoteIPAddressRemoteManagementPort 请参阅配置远程管理。
IPv4MulticastPassthrough(IGMPProxy) 选中Enable可为IPv4启用组播通道。
IPv6MulticastPassthrough(IGMPProxy) 选中Enable可为IPv6启用组播通道。
SIPALG 要允许会话启动协议(SIP)流量穿过防火墙,请选中SIPALG复选框。
设备最多支持256个会话。
UPnPAllowUserstoConfigureAllowUserstoDisableess 请参阅配置通用即插即用。
BlockJava 选中可阻止Java程序。
Java程序是嵌入在网页中的小程序,可实现网页的动态功能。
可能会有恶意程序用于损害或感染计算机。
启用此设置可阻止下载Java程序。
单击Auto以自动阻止Java,或单击Manual并输入在其上阻止Java的特定端口。
BlockCookies 选中可阻止Cookie。
Cookie由经常要求登录的网站用于存储会话信息。
但是,有些网站使用Cookie存储跟踪信息和浏览习惯。
启用此选项可过滤掉网站创建的Cookie。
许多网站要求接受Cookie才能正常访问站点。
阻止Cookie可能会导致许多网站不能正常工作。
单击Auto以自动阻止Cookie,或单击Manual并输入在其上阻止Cookie的特定端口。
思科RV130/RV130W边缘路由器管理指南 76 配置防火墙 配置基本防火墙设置 BlockActiveX BlockProxy 步骤3单击Save。
5 选中可阻止ActiveX内容。
与Java程序类似,ActiveX控件安装在运行Explorer的Windows计算机上。
可能会有恶意ActiveX控件被用来损害或感染计算机。
启用此设置可阻止下载ActiveX程序。
单击Auto以自动阻止ActiveX,或单击Manual并输入在其上阻止ActiveX的特定端口。
选中可阻止代理服务器。
代理服务器(或代理)允许计算机通过代理将连接路由到其他计算机,从而绕过某些防火墙规则。
例如,如果某个防火墙规则阻止指向特定IP地址的连接,则请求可以通过该规则不阻止的代理进行路由,使限制鞭长莫及。
启用此功能可阻止代理服务器。
单击Auto以自动阻止代理服务器,或单击Manual并输入在其上阻止代理服务器的特定端口。
配置远程管理 可以启用远程管理,以便可以从远程WAN网络访问本设备。
要配置远程管理,请在BasicSettings页面上配置以下设置: RemoteManagementRemoteess RemoteUpgradeAllowedRemoteIPAddress 选中Enable可启用远程管理。
选择可用于连接至防火墙的Web访问类型:HTTP或HTTPS(安全HTTP)。
要允许进行设备的远程升级,请选中Enable。
单击AnyIPAddress按钮可允许从任何IP地址进行远程管理,或在地址字段中输入特定IP地址。
思科RV130/RV130W边缘路由器管理指南 77 配置防火墙 管理防火墙时间表
5 RemoteManagementPort 输入允许进行远程访问的端口。
默认端口为443。
远程访问路由器时,必须在IP地址中输入远程管理端口。
例如: https://<远程ip>:<远程端口>,或https://168.10.1.11:443 !
注意启用远程管理之后,知道路由器IP地址的任何人都可访问路由器。
因为恶意WAN用户可能重新配置设备并用于不正当的用途,所以强烈建议在继续操作之前更改管理员和所有访客密码。
配置通用即插即用 通用即插即用(UPnP)允许自动发现可以与本设备通信的设备。
要配置UPnP,请在BasicSettings页面上配置以下设置: UPnPAllowUserstoConfigure AllowUserstoDisableess 选中Enable可启用UPnP。
选中此框可允许在其计算机或其他支持UPnP的设备上启用了UPnP支持的用户设置UPnP端口映射规则。
如果禁用,则设备不允许应用程序添加转发规则。
选中此框可允许用户禁用互联网访问。
管理防火墙时间表 可以创建防火墙时间表,以在特定日期或每天的特定时间应用防火墙规则。
添加或编辑防火墙时间表 添加或编辑防火墙时间表的步骤:步骤1选择Firewall>ScheduleManagement。
步骤2单击AddRow。
思科RV130/RV130W边缘路由器管理指南 78 配置防火墙 配置服务管理
5 步骤3在Name字段中输入用于标识时间表的唯一名称。
此名称显示在SelectSchedule列表中的FirewallRuleConfiguration页面上。
(请参阅配置访问规则。
) 步骤4在ScheduledDays部分中,选择要将计划表应用于Alldays还是SpecificDays。
如果选择SpecificDays,请选中要包含在时间表中的日期旁的框。
步骤5在ScheduledTimeofDay部分中,选择要应用计划表的时间。
如果选择SpecificTime,请输入开始和结束时间。
步骤6单击Save。
配置服务管理 创建防火墙规则时,可以指定受规则控制的服务。
可以选择常用类型的服务,也可以创建自定义服务。
通过ServicesManagement页面可以创建应用防火墙规则的自定义服务。
定义之后,新服务将出现在AvailableCustomServices表的列表中。
创建自定义服务的步骤: 步骤1选择Firewall>ServiceManagement。
步骤2单击AddRow。
步骤3在ServiceName字段中,输入服务名称以用于标识和管理。
步骤4在Protocol字段中,从下拉菜单中选择服务使用的第4层协议: ?
TCP?
UDP?
TCP&UDP?
ICMP步骤5在StartPort字段中,输入服务使用的TCP或UDP端口范围中的第一个端口。
步骤6在EndPort字段中,输入服务使用的TCP或UDP端口范围中的最后一个端口。
步骤7单击Save。
要编辑条目,请选择该条目,然后单击Edit。
进行更改,然后单击Save。
思科RV130/RV130W边缘路由器管理指南 79 配置防火墙 配置访问规则
5 配置访问规则 配置默认出站策略通过essRules页面可以针对从安全网络(LAN)定向到不安全网络(专用WAN/可选)的流量配置默认出站策略。
针对从不安全区域到安全区域的流量的默认入站策略是始终阻止,且不能更改。
NOTE互联网访问策略可覆盖访问规则(在设备上都已配置时)。
配置默认出站策略的步骤: 步骤1选择Firewall>essRules。
步骤2选择Allow或Deny。
注:确保在设备上启用IPv6支持以配置IPv6防火墙。
请参阅配置IPv6。
步骤3单击Save。
重新排序访问规则访问规则表中规则的显示顺序即为规则的应用顺序。
您可能希望对该表进行重新排序,以便能够在其他规则之前优先应用某些规则。
例如,您可能希望先应用允许某些类型流量的规则,然后阻止其他类型的流量。
重新排序访问规则的步骤: 步骤1选择Firewall>essRules。
步骤2单击Reorder。
步骤3选中要上移或下移的规则所在行中的框,然后单击向上或向下箭头以将规则上移或下 移一行,或在下拉列表中选择规则的所需位置,然后单击Moveto。
步骤4单击Save。
思科RV130/RV130W边缘路由器管理指南 80 配置防火墙 配置访问规则
5 添加访问规则 设备上配置的所有防火墙规则都显示在essRulesTable中。
此列表还指示规则是否启用(活动)并提供源/目标区域的摘要以及受规则影响的服务和用户。
创建访问规则的步骤: 步骤1选择Firewall>essRules。
步骤2单击AddRow。
步骤3在ConnectionType字段中,选择流量的源: ?
Outbound(LAN>WAN)-选择此选项可创建出站规则。
?
Inbound(WAN>LAN)-选择此选项可创建入站规则。
?
Inbound(WAN>DMZ)-选择此选项可创建入站规则。
步骤4从Action下拉菜单中选择操作:?
AlwaysBlock-始终阻止所选类型的流量。
?
AlwaysAllow-从不阻止所选类型的流量。
?
Blockbyschedule-根据时间表阻止所选类型的流量。
?
Allowbyschedule-根据时间表允许所选类型的流量。
步骤5从Services下拉菜单中,选择此规则允许或阻止的服务。
选择AllTraffic以允许将规则应用于所有应用程序和服务,或选择要阻止的单个应用程序:?
域名系统(DNS)、UDP或TCP?
文件传输协议(FTP)?
超文本传输协议(HTTP)?
安全超文本传输协议(HTTPS)?
简易文件传输协议(TFTP)?
互联网消息访问协议(IMAP)?
网络新闻传输协议(NNTP)?
邮局协议(POP3)?
简单网络管理协议(SNMP)?
简单邮件传输协议(SMTP) 思科RV130/RV130W边缘路由器管理指南 81 配置防火墙 配置访问规则
5 ?
?
STRMWORKS ?
终端接入控制器接入控制系统(TACACS)?
(命令)?
辅助?
SSL ?
语音(SIP)步骤6在SourceIP字段中,选择对其应用防火墙规则的用户: ?
Any-规则应用于源自本地网络中任何主机的流量。
?
SingleAddress-规则应用于源自本地网络中单个IP地址的流量。
在Start字 段中输入地址。
?
AddressRange-规则应用于源自位于地址范围中的IP地址的流量。
在Start字段输入起始IP地址,在Finish字段输入结束IP地址。
步骤7在Log字段中,指定是否应记录此规则的数据包。
要记录与此规则匹配的所有数据包的详情,请从下拉菜单中选择Always。
例如,如果某个时间表的出站规则选择为BlockAlways,则对于尝试针对该服务建立出站连接的每个数据包,会在日志中记录包含数据包源地址和目标地址(以及其他信息)的消息。
启用记录会生成大量日志消息,建议仅用于调试。
选择Never可禁用记录。
注:当流量从LAN或DMZ发送到WAN时,系统要求在传入IP数据包通过防火墙时重写这些数据包的源或目标IP地址。
步骤8选中RuleStatusEnable复选框以启用新访问规则。
步骤9单击Save。
思科RV130/RV130W边缘路由器管理指南 82 配置防火墙 创建互联网访问策略
5 创建互联网访问策略 设备支持多个用于阻止互联网访问的选项。
可以阻止所有互联网流量、阻止发送到特定PC或端点的互联网流量,或是通过指定要阻止的关键字来阻止对互联网站点的访问。
如果在站点名称(例如网站URL或新闻组名称)中找到这些关键字,则站点将被阻止。
添加或编辑互联网访问策略 创建互联网访问策略的步骤: 步骤1选择Firewall>essPolicy。
步骤2单击AddRow。
步骤3选中StatusEnable复选框。
步骤4输入策略名称以用于标识和管理。
步骤5从Action下拉菜单中选择所需访问限制类型: ?
Alwaysblock-始终阻止互联网流量。
这会阻止与所有端点之间的互联网流量。
如果要阻止所有流量,但是允许特定端点接收互联网流量,请参阅步骤
7。
?
Alwaysallow-始终允许互联网流量。
可以细化此选项以阻止与指定端点之间的互联网流量;请参阅步骤
7。
还可以允许除特定网站之外的所有互联网流量;请参阅步骤
8。
?
Blockbyschedule-根据时间表阻止互联网流量(例如,如果要在工作日办公时间内阻止互联网流量,但是在办公时间之后和周末时允许互联网流量)。
?
Allowbyschedule-根据时间表允许互联网流量。
如果选择Blockbyschedule或Allowbyschedule,请单击ConfigureSchedules以创建时间表。
请参阅管理防火墙时间表。
步骤6从下拉菜单中选择时间表。
步骤7(可选)将访问策略应用于特定PC以允许或阻止来自特定设备的流量:a.在ApplyessPolicytotheFollowingPCs表中,单击AddRow。
b.从Type下拉菜单中,选择如何标识PC(按MAC地址、按IP地址或通过提供IP 地址范围)。
思科RV130/RV130W边缘路由器管理指南 83 配置防火墙 配置一对一网络地址转换(NAT)
5 c.在Value字段中,根据上一步中的选择,输入以下内容之一: ?
对其应用策略的PC的MAC地址(xx:xx:xx:xx:xx:xx)。
?
对其应用策略的PC的IP地址。
?
要阻止的地址范围的起始和结束IP地址(例如,192.168.1.2192.168.1.253)。
步骤8阻止来自特定网站的流量的步骤: a.在WebsiteDomainName&Keyword表中,单击AddRow。
b.从Type下拉菜单中,选择如何阻止网站(通过指定域名或通过指定URL中出现的关键字)。
c.在Value字段中,输入用于阻止网站的URL或关键字。
例如,要阻止URL,请从下拉菜单中选择URLAddress,然后在Value字段中输入。
例如,要阻止URL中包含关键字“example”的URL,请从下拉菜单中选择Keyword,然后在Value字段中输入example。
步骤9单击Save。
配置一对一网络地址转换(NAT) 使用One-to-oneNAT页面可将位于防火墙之后的本地IP地址映射到全局IP地址。
一对一NAT是使配置有专用IP地址(位于防火墙之后)的系统表现为具有公共IP地址。
设置一对一NAT规则的步骤: 步骤1选择Firewall>One-to-OneNAT。
步骤2单击AddRow。
步骤3在PrivateRangeBegin字段中,输入专用(LAN)IP地址范围的起始IP地址。
步骤4在PublicRangeBegin字段中,输入公共(WAN)IP地址范围的起始IP地址。
步骤5在RangeLength中,输入应映射到专用地址的公共IP地址数。
思科RV130/RV130W边缘路由器管理指南 84 配置防火墙 配置端口转发
5 步骤6在Service字段中,选择对其应用规则的服务。
通过用于一对一NAT的服务可以配置服务,使其在流量发送到对应公共IP地址时由专用IP(LAN)地址接受。
当对应公共IP地址上存在流量时,会接受范围内专用IP地址上配置的服务。
步骤7单击Save。
配置端口转发 端口转发用于将来自互联网的流量从WAN上的一个端口重定向到LAN上的另一个端口。
可使用常用服务,也可以定义自定义服务及关联端口进行转发。
SinglePortForwardingRules和PortRangeForwardingRules页面列出此设备的所有可用端口转发规则,用于配置端口转发规则。
NOTE端口转发不适用于LAN上的服务器,因为需根据建立传出连接的LAN设备来打开传入端口。
某些应用要求在外部设备连接至它们时,在特定端口或端口范围上接收数据才能正常运行。
路由器必须仅在所需端口或端口范围上发送这类应用的所有传入数据。
网关具有要打开对应出站和入站端口的常用应用程序和游戏的列表。
也可以通过定义流量类型(TCP或UDP)以及要在启用时打开的传入和传出端口范围,来指定端口转发规则。
配置单端口转发 添加单端口转发规则的步骤: 步骤1选择Firewall>SinglePortForwarding。
系统将显示预先存在的应用程序列表。
步骤2在Application字段中,输入要为其配置端口转发的应用程序的名称。
步骤3在ExternalPort字段中,输入在从传出流量进行连接请求时触发此规则的端口号。
步骤4在InternalPort字段中,输入远程系统用于响应所接收的请求的端口号。
步骤5在Interface下拉菜单中,选择Both(&3G)、或3G。
步骤6在Protocol下拉菜单中选择协议(TCP、UDP或TCP&UDP)。
步骤7在IPAddress字段中,输入特定IP流量将转发到的LAN端主机的IP地址。
例如, 可以将HTTP流量转发到LAN端Web服务器的IP地址的端口80。
思科RV130/RV130W边缘路由器管理指南 85 配置防火墙 配置端口转发 步骤8在Enable字段中,选中Enable框以启用规则。
步骤9单击Save。
5 配置端口范围转发 添加端口范围转发规则的步骤: 步骤1选择Firewall>PortRangeForwarding。
步骤2在Application字段中,输入要为其配置端口转发的应用程序的名称。
步骤3在ExternalPort字段中,指定当传出流量发出连接请求时将触发此规则的端口号。
步骤4在Start字段中,指定进行转发的端口范围的起始端口号。
步骤5在End字段中,指定进行转发的端口范围的结束端口号。
步骤6在Interface下拉菜单中,选择Both(&3G)、或3G。
步骤7在Protocol下拉菜单中选择协议(TCP、UDP或TCP&UDP)。
步骤8在IPAddress字段中,输入特定IP流量将转发到的LAN端主机的IP地址。
步骤9在Enable字段中,选中Enable框以启用规则。
步骤10单击Save。
配置端口范围触发 LAN或DMZ上的设备通过端口触发可以请求一个或多个端口转发给他们。
端口触发等待来自某一指定端口上LAN/DMZ的出站请求,然后为该指定类型的流量打开传入端口。
端口触发是一种动态端口转发形式,而应用程序通过打开的传出或传入端口传输数据。
端口触发为指定的传出端口上的指定类型流量打开传入端口。
端口触发比静态端口转发(配置防火墙规则时可用)更灵活,因为规则不必引用特定LANIP或IP范围。
此外,端口在未使用时不会保留为打开状态,这样可提供端口转发所不具备的安全级别。
思科RV130/RV130W边缘路由器管理指南 86 配置防火墙 配置端口转发
5 NOTE端口触发不适用于LAN上的服务器,因为需根据建立传出连接的LAN设备来打开传入端口。
某些应用要求在外部设备连接至它们时,在特定端口或端口范围上接收数据才能正常运行。
路由器必须仅在所需端口或端口范围上发送这类应用的所有传入数据。
网关具有要打开对应出站和入站端口的常用应用程序和游戏的列表。
也可以通过定义流量类型(TCP或UDP)以及要在启用时打开的传入和传出端口范围,来指定端口触发规则。
添加端口触发规则的步骤: 步骤1选择Firewall>PortRangeTriggering。
步骤2在Application字段中,输入要为其配置端口转发的应用程序的名称。
步骤3在TriggeredRange字段中,输入当传出流量发出连接请求时将触发此规则的端口号或端口号范围。
如果传出连接仅使用一个端口,请在两个字段中输入相同端口号。
步骤4在ForwardedRange字段中,输入远程系统用于响应所接收的请求的端口号或端口号范围。
如果传入连接仅使用一个端口,请在两个字段中指定相同端口号。
步骤5在Interface下拉菜单中,选择Both(&3G)、或3G。
步骤6在Enable字段中,选中Enable框以启用规则。
步骤7单击Save。
思科RV130/RV130W边缘路由器管理指南 87
6 配置VPN 本章介绍如何配置设备的VPN和安全性。
•VPN隧道类型,第88页•配置基本站点到站点IPsecVPN,第88页•配置站点到站点IPsecVPN高级参数,第90页•配置IPsecVPN服务器,第93页•配置PPTP,第95页•配置VPN通道,第96页 VPN隧道类型 可以在设备上配置VPN以提供以下两者之间的安全通信信道或隧道:•两个网关路由器•一个远程客户端设备和一个网关路由器 配置基本站点到站点IPsecVPN 设备对单个网关到网关VPN隧道支持站点到站点IPsecVPN。
配置这些基本VPN设置之后,您就能够安全地连接至另一个支持VPN的路由器。
例如,可以将分支站点处的设备配置为连接至连接企业站点处站点到站点VPN隧道的路由器,以便分支站点具有针对企业网络的安全访问。
思科RV130/RV130W边缘路由器管理指南 88 配置VPN 配置基本站点到站点IPsecVPN
6 为站点到站点IPsec连接配置基本VPN设置的步骤: 步骤1选择VPN>Site-to-SiteIPsecVPN>BasicVPNSetup。
步骤2在NewConnectionName字段中,输入VPN隧道的名称。
步骤3在Pre-SharedKey字段中,输入预先共享密钥,或将在两个路由器之间交换的密码。
必须是8至49个字符。
步骤4在EndpointInformation字段中输入以下信息: •RemoteEndpoint-选择对设备将连接的路由器的标识是通过其IP地址还是通过完全合格域名。
例如,IP地址如192.168.1.1,完全合格域名如。
•RemoteWAN()IPAddress-输入远程端点的公共IP地址或域名。
•LocalWAN()IPAddress-输入您的设备的公共IP地址或域名。
步骤5在SecureConnectionRemoteessibility字段中输入以下信息: •RemoteLAN(LocalNetwork)IPAddress-远程端点的专用网络(LAN)地址。
这是远程站点处的内部网络IP地址。
•RemoteLANMask-远程端点的专用网络(LAN)子网掩码。
•LocalLAN(LocalNetwork)IPAddress-本地网络的专用网络(LAN)地址。
这是设备上的内部网络IP地址。
•LocalLAN(LocalNetwork)Mask-本地网络的专用网络(LAN)子网掩码。
注:远程WAN和远程LANIP地址不能共存于同一子网中。
例如,当流量通过VPN路由时,远程LANIP地址192.168.1.100和本地LANIP地址192.168.1.115会导致冲突。
第三个八位字节必须不同,从而使IP地址位于不同子网上。
例如,远程LANIP地址192.168.1.100和本地LANIP地址192.168.2.100即可接受。
步骤6单击Save。
查看默认值 单击ViewDefaultSettings可查看基本VPN设置中使用的默认值。
这些值由VPNConsortium推荐,假设您使用预先共享密钥或设备和远程端点都知道的密码。
思科RV130/RV130W边缘路由器管理指南 89 配置VPN 配置站点到站点IPsecVPN高级参数
6 配置站点到站点IPsecVPN高级参数 高级VPN参数(如IKE和其他VPN策略)控制设备如何启动和接收VPN连接。
要配置高级VPN参数,请选择VPN>Site-to-SiteIPsecVPN>AdvancedVPNSetup。
管理IKE策略 互联网密钥交换(IKE)协议在两个IPsec主机之间动态地交换密钥。
可以创建IKE策略以定义在通过IPsecVPN连接与远程路由器交换数据时要使用的安全参数。
例如,可以创建IKE策略以便为对等鉴权和加密算法定义参数。
确保VPN策略中的加密、鉴权和密钥组参数与远程路由器上的设置兼容。
添加IKE策略的步骤: 步骤1在AdvancedVPNSetup页面上,单击AddRow。
步骤2为IKE策略输入唯一名称以便能够方便地识别和管理策略。
步骤3在ExchangeMode字段中,为策略选择以下模式之一: •Main-协商安全性较高但较慢的隧道。
•Aggressive-建立较快但安全性较低的连接。
步骤4在LocalIdentifier和RemoteIdentifier字段中,指明是要按其真实IP地址还是公共IP地址来标识设备和远程路由器。
如果选择IP地址,请输入设备和远程路由器的真实IP地址。
步骤5在IKESAParameters部分中,配置各个参数,以便定义设备与远程路由器之间协商安全关联(SA)的强度和模式。
a.在EncryptionAlgorithm字段中,选择用于加密数据的算法。
b.在AuthenticationAlgorithm字段中,为VPN报头指定鉴权算法。
确保在VPN隧道两端配置相同的鉴权算法。
c.在Pre-SharedKey字段中,输入密钥或密码。
确保密码不包含双引号(")。
d.在Diffie-Hellman(DH)Group字段中,指定交换预先共享密钥时使用的DH组算法。
DH组按位设置算法强度。
确保在IKE策略两端配置相同的DH组。
e.在SA-Lifetime字段中,输入安全关联变为无效之前的时间间隔(以秒为单位)。
思科RV130/RV130W边缘路由器管理指南 90 配置VPN 配置站点到站点IPsecVPN高级参数
6 f.要启用DeadPeerDetection功能,请选中Enable框。
失效对等体检测(DPD)用于检测对等体是否为活动状态。
如果检测到对等体已失效,则设备会删除IPsec和IKE安全关联。
如果启用此功能,请同时输入以下设置: -DPDDelay-连续DPDR-U-THERE消息之间的间隔(以秒为单位)。
DPDR-U-THERE消息仅当IPsec流量空闲时才发送。
-DPDTimeout-设备在将对等体视为失效之前应等待接收DPD消息回复的最长时间。
步骤6单击Save。
NOTE如果已配置了VPN连接,则必须删除现有VPN连接才能添加另一个连接。
管理VPN策略 NOTE创建自动VPN策略之前,请确保创建作为自动VPN策略创建基础的IKE策略。
管理VPN策略的步骤: 步骤1选择VPN>Site-to-SiteIPsecVPN>AdvancedVPNSetup。
单击AddRow。
步骤2在Add/EditVPNPolicyConfiguration部分中: a.在PolicyName字段中,输入用于标识策略的唯一名称。
b.在PolicyType字段中,选择以下选项之一: •AutoPolicy-自动生成VPN隧道的一些参数。
这要求将互联网密钥交换(IKE)协议用于两个VPN端点之间的协商。
•ManualPolicy-为每个终端点手动输入VPN隧道的所有参数(包括密钥)。
不涉及第三方服务器或组织。
c.RemoteEndpoint-选择要在远程端点处为网关提供的标识符类型:IPAddress或FQDN(完全合格域名)。
输入IP地址或FQDN。
步骤3在LocalTrafficSelection和RemoteTrafficSelection部分中:•在LocalIP和RemoteIP字段中,指出VPN策略将包含的端点数:-Single-将策略限制到一个主机上。
在IPAddress字段中输入属于VPN的主机的IP地址。
思科RV130/RV130W边缘路由器管理指南 91 配置VPN 配置站点到站点IPsecVPN高级参数
6 --允许整个子网连接至VPN。
在IPAddress字段中输入网络地址,并在Mask字段中输入子网掩码。
在IPAddress字段中输入子网的网络IP地址。
在Mask字段中输入子网掩码,如255.255.255.0。
该字段基于IP地址自动显示默认子网地址。
NOTE请勿将重叠子网用于远程或本地流量选择器。
使用这些子网需要在路由器和要使用的主机上添加静态路由。
例如,请避免以下情况: 本地流量选择器:192.168.1.0/24 远程流量选择器:192.168.0.0/16 步骤4对于Manual策略类型,在ManualPolicyParameters部分中输入设置: •ing、SPI-Outgoing-输入介于3与8个字符之间的十六进制值;例如,0x1234。
安全参数索引(SPI)标识传入和传出流量流的安全关联。
•ManualEncryptionAlgorithm-选择用于加密数据的算法。
•Key-In、Key-Out-输入入站和出站策略的加密密钥。
密钥长度取决于所选加密算法: -DES-8个字符 -3DES-24个字符 -AES-128-16个字符 -AES-192-24个字符 -AES-256-32个字符 •ManualIntegrityAlgorithm-选择用于验证数据完整性的算法。
•Key-In、KeyOut-输入入站和出站策略的完整性密钥(用于具有完整性模式的ESP)。
密钥长度取决于所选算法: -MD5-16个字符 -SHA-1-20个字符 -SHA2-256-32个字符 步骤5对于Auto策略类型,在AutoPolicyParameters部分中输入设置。
•SA-Lifetime-输入安全关联的持续时间(以秒为单位)。
指定秒数过后,重新协商安全关联。
默认值为3600秒。
最小值为300秒。
•EncryptionAlgorithm-选择用于加密数据的算法。
•IntegrityAlgorithm-选择用于验证数据完整性的算法。
思科RV130/RV130W边缘路由器管理指南 92 配置VPN 配置IPsecVPN服务器
6 •PFSKeyGroup-选中Enable框可启用完全向前保密(PFS)以提高安全性。
速度较慢时,此协议可通过确保对每个第2阶段协商执行Diffie-Hellman交换,帮助防止窃听。
•DHGroup-指定交换预先共享密钥时使用的DH组算法。
DH组按位设置算法强度。
确保在IKE策略两端配置相同的DH组。
•SelectIKEPolicy-选择定义SA协商特性的IKE策略。
步骤6单击Save。
配置IPsecVPN服务器 使用IPsecVPN可建立跨互联网的加密隧道,实现对企业资源的安全远程访问。
设备支持以下IPsecVPN客户端: •TheGreenBow•ShrewSoft 配置IPsecVPN服务器 配置IPsecVPN服务器的步骤: 步骤1选择VPN>IPsecVPNServer>Setup。
步骤2选中ServerEnable复选框。
步骤3在Phase1部分中,配置设置以使两个VPN端点相互鉴权并协商IKE安全关联 (SA),从而使安全信道在第2阶段协商SA。
a.在Pre-SharedKey字段中,输入预先共享密钥,或将在设备与远程端点之间交 换的密码。
该密码必须是8至49个字符。
b.在ExchangeMode字段中,为IPsecVPN连接选择以下模式之一: -Main-协商隧道时的安全性较高,但速度较慢。
-Aggressive-建立连接较快,但安全性较低。
c.选择EncryptionAlgorithm以加密数据并为VPN报头选择AuthenticationAlgorithm。
确保在设备和远程端点上配置相同的鉴权算法。
思科RV130/RV130W边缘路由器管理指南 93 配置VPN 配置IPsecVPN服务器
6 d.在Diffie-Hellman(DH)Group字段中,指定交换预先共享密钥以按位设置算法强度时使用的Diffie-Hellman组算法。
确保在设备和远程端点上配置相同的DH组。
e.在IKESA-Lifetime字段中,输入重新协商VPN连接的安全关联之前的持续时间(以秒为单位)。
步骤4在Phase2Configuration部分中,配置参数以协商IPsec隧道的IPsec安全关联(SA): a.在LocalIP字段中,指示VPN策略将包含的端点数: -Single-将策略限制到一个主机上。
在IPAddress字段中输入属于VPN的主机的IP地址。
--允许整个子网连接至VPN。
在IPAddress字段中输入网络地址,并在Mask字段中输入子网掩码。
在IPAddress字段中输入子网的网络IP地址。
在Mask字段中输入子网掩码,如255.255.255.0。
该字段基于IP地址自动显示默认子网地址。
b.在IPsecSALifetime字段中,输入重新协商VPN连接的安全关联之前的持续时间(以秒为单位)。
c.选择EncryptionAlgorithm以加密数据并为VPN报头选择AuthenticationAlgorithm。
确保在设备和远程端点上配置相同的鉴权算法。
d.要创建更安全的IPsecVPN连接,请选中PFSKeyGroupEnable复选框,从而确保在第2阶段进行新的Diffie-Hellman密钥交换。
完全向前保密(PFS)可在第1阶段中生成的DH密钥在传输中受损时使用新密钥保护数据,从而提供额外的一层保护。
确保两个IPsec端点都启用了PFS。
步骤5单击Save。
配置IPsecVPN用户帐户 步骤1选择VPN>IPsecVPNServer>User。
步骤2单击AddRow。
步骤3输入用户名和密码。
建议密码不包含任何语言中的字典单词,应由字母(包含大写和小写字母)、数字和符号组成。
密码长度最多为64个字符。
步骤4要从.CSV文件导入文件名和密码,请单击Import。
系统将显示Administration>Users页面。
在ImportUsernameandPassword部分中,单击Browse找到文件,然后单击Import。
步骤5保存用户帐户。
思科RV130/RV130W边缘路由器管理指南 94 配置VPN 配置PPTP
6 配置PPTP 点对点隧道协议(PPTP)是一种网络协议,可跨公共网络(如互联网)创建安全VPN连接,实现从远程客户端到企业网络的安全数据传输。
配置PPTP服务器 配置PPTPVPN服务器的步骤: 步骤1选择VPN>PPTPServer。
步骤2在PPTPServerConfiguration部分中,配置PPTPVPN设置: a.选中PPTPServerEnable复选框。
b.输入PPTP服务器的IP地址。
c.输入PPTP客户端的IP地址范围。
d.要对通过PPTPVPN连接的数据进行加密,请选中MPPEEncryptionEnable复 选框。
步骤3单击Save。
创建和管理PPTP用户 创建和启用PPTP用户的步骤: 步骤1选择VPN>PPTPServer。
在PPTPUserountTable中,单击AddRow。
步骤2输入用于对PPTP用户进行鉴权的用户名和密码。
输入长度为4到32个字符的值。
步骤3选中用户的Enable复选框。
步骤4要从.CSV文件导入文件名和密码,请单击Import。
系统将显示Administration> Users页面。
在ImportUsernameandPassword部分中,单击Browse找到文件,然后单击Import。
步骤5保存用户帐户。
思科RV130/RV130W边缘路由器管理指南 95 配置VPN 配置VPN通道
6 配置VPN通道 源自VPN客户端的VPN流量使用VPN通道可以通过设备。
配置VPN通道的步骤: 步骤1选择VPN>VPNPassthrough。
步骤2选中Enable复选框以选择允许通过设备的流量类型。
步骤3单击Save。
SSL证书 思科RV130/RV130W支持适用于IPsecVPN的证书身份验证。
安全套接字层(SSL)证书可提供数据加密,并在SSL会话建立之前对服务器进行身份验证。
要管理SSL证书,请单击VPN>SSLCertificate。
•受信任证书(CA证书)表 -单击Upload转到Certificates页面。
单击Browse,从您的本地驱动器上选择一个受信任证书,然后单击Import。
•活动自签证书 -单击Upload转到Certificates页面。
单击Browse,从您的本地驱动器上选择一个活动自签证书,然后单击Import。
•自签证书请求 自签证书是由标识您设备的CA签发的证书(或者如果您不需要CA的身份保护,也可以进行自签名)。
要请求由CA签署的自签证书,您可以通过输入身份识别参数从网关生成证书签名请求,并将其发送给相关CA签署。
完成签署后,上传CA的受信任证书和CA签署的证书,以激活此网关的自签证书身份验证。
这样一来,自签证书便可用于与对等点的IPsec连接,从而使网关的验证生效。
思科RV130/RV130W边缘路由器管理指南 96 配置VPN VPN设置向导
6 -GenerateCertificate-要生成SSL证书请求,请单击GenerateCertificate,系统将显示新的证书信息请求页面。
Name-输入新证书的名称。
Subject-请使用以下格式:“CN=xxx”(“CN”必须大写)。
HashAlgorithm-从下拉列表中选择所需的哈希算法。
SignatureAlgorithm-从下拉列表中选择所需的签名算法。
SignatureKeyLength-从下拉列表中选择所需的签名密钥长度。
(可选)IPAddress-输入路由器的IP地址。
(可选)DomainName-输入路由器的域名。
(可选)EmailAddress-输入请求者的电子邮件地址。
-ExportforAdmin-要将证书请求导出到本地驱动器,请选择此项。
•ExportCertificate-要下载路由器证书,请单击ExportforClient按钮。
单击Save可保存配置,单击Cancel可撤销设置。
VPN设置向导 要使用VPN设置向导,请执行以下操作: 步骤1单击VPN>VPNSetupWizard。
步骤2屏幕上将弹出向导窗口。
按照屏幕上所显示的说明来设置设备。
思科RV130/RV130W边缘路由器管理指南 97 配置VPN
6 思科RV130/RV130W边缘路由器管理指南 98
7 配置服务质量(QoS) 本章介绍如何配置以下服务质量(QoS)功能:•配置带宽管理,第99页•配置基于端口的QoS设置,第101页•配置CoS设置,第102页•配置DSCP设置,第102页 服务质量(QoS)向各个应用程序、用户或数据流分配优先权,或保证数据流达到某个性能级别。
当网络容量不足时,这些保证十分重要。
例如,对于实时流多媒体应用程序(如IP网络语音、在线游戏和IP-TV,因为它们需要固定比特率并且对延迟十分敏感),以及容量受限的网络。
配置带宽管理 可以使用设备带宽管理功能管理从安全网络(LAN)流向不安全网络(WAN)的流量的带宽。
配置带宽 可以限制带宽以降低设备传输数据的速率。
还可以使用带宽简档限制出站流量,这样可防止LAN用户占用所有互联网链路带宽。
设置上游和下游带宽的步骤: 步骤1选择QoS>BandwidthManagement。
步骤2在BandwidthManagement字段中,选中Enable。
ISP提供的最大带宽显示在 Bandwidth部分中。
思科RV130/RV130W边缘路由器管理指南 99 配置服务质量(QoS) 配置带宽管理
7 步骤3在BandwidthTable中,输入WAN接口的以下信息: UpstreamDownstream 步骤4单击Save。
用于向互联网发送数据的带宽(kb/s)。
用于从互联网接收数据的带宽(kb/s)。
(仅适用于默认VLAN) 配置带宽优先权 在BandwidthPriorityTable中,可以向服务分配优先权以管理带宽使用情况。
配置带宽优先权的步骤: 步骤1在BandwidthPriorityTable中,单击AddRow。
步骤2在以下字段中输入信息: EnableDirectionCategory ServiceVLAN/SSIDIPAddressMaskPriorityRemarking DSCP 选中可启用此服务的带宽管理。
选择要为入站还是出站流量设置优先权。
选择是为服务、VLAN/SSID、源IP(入站流量)还是目标IP(出站流量)设置带宽优先权。
选择要为其设置优先权的服务。
选择要为其设置优先权的VLAN或SSID。
如果在Category字段中选择SourceIP或DestinationIP,请输入源或目标的IP地址和子网掩码。
为所选类别设置优先权(low、medium或high)。
选中可对差分服务代码点(DSCP)启用重新标记。
启用此功能可基于DSCPSettings页面上的DSCP队列映射,对LAN上的网络流量设置优先权。
为此网络上的数据包输入重新标记值。
思科RV130/RV130W边缘路由器管理指南 100 配置服务质量(QoS) 配置基于端口的QoS设置
7 步骤3单击Save。
要编辑表中条目的设置,请选中相关框并单击Edit。
完成更改之后,单击Save。
要从表中删除条目,请选中相关框并单击Delete。
单击Save。
要添加新服务定义,请单击ServiceManagement按钮。
可以定义新服务以用于所有防火墙和QoS定义。
请参阅配置服务管理。
配置基于端口的QoS设置 可以为设备上的每个端口配置QoS设置。
设备支持四个优先权队列,用于对每个端口进行流量优先权设置。
为设备上的端口配置QoS设置的步骤: 步骤1选择QoS>QoSPort-BasedSettings。
步骤2对于QoSPort-BasedSettings表中的每个端口,输入以下信息: TrustMode DefaultTrafficForwardingQueueforUntrustedDevices步骤3单击Save。
从下拉菜单中选择以下选项之一: •Port-启用基于端口的QoS设置。
随后可以为特定端口设置流量优先权。
流量队列优先权从最低优先权1开始,到最高优先权3结束。
•DSCP-差分服务代码点(DSCP)。
启用此功能可基于DSCPSettings页面上的DSCP队列映射,对LAN上的网络流量设置优先权。
•CoS-服务等级(CoS)。
为出站流量选择优先权级别(1至3)。
要恢复默认基于端口的QoS设置,请单击RestoreDefault并保存更改。
思科RV130/RV130W边缘路由器管理指南 101 配置服务质量(QoS) 配置CoS设置
7 配置CoS设置 使用QoSPort-BasedSettings页面的链接可将CoS优先权设置映射到QoS队列。
将CoS优先权设置映射到流量转发队列的步骤:步骤1选择QoS>CoSSettings。
步骤2对于CoSSettingsTable中的每个CoS优先权级别,请从TrafficForwardingQueue下拉菜单中选择优先权值。
这些值根据流量类型,使用较高或较低流量优先权值进行标记。
步骤3单击Save。
要恢复默认基于端口的QoS设置,请单击RestoreDefault然后单击Save。
配置DSCP设置 可以使用DSCPSettings页面配置DSCP到QoS队列映射。
配置DSCP到QoS队列映射的步骤:步骤1选择QoS>DSCPSettings。
步骤2通过单击相关按钮,选择在DSCPSettingsTable中是仅列出RFC值还是列出所有DSCP值。
步骤3对于DSCPSettingsTable中的每个DSCP值,请从Queue下拉菜单中选择优先权级别。
这会将DSCP值映射到所选QoS队列。
步骤4单击Save。
要恢复默认DSCP设置,请依次单击RestoreDefault和Save。
思科RV130/RV130W边缘路由器管理指南 102
8 CiscoSmallBusinessCiscoSmallBusiness管理设备 本章介绍设备的管理功能,包括用户创建、网络管理、系统诊断和日志、日期和时间以及其他设置。
•设置密码复杂性,第104页•配置用户帐户,第105页•设置会话超时值,第106页•配置简单网络管理(SNMP),第107页•使用诊断工具,第110页•配置日志和电子邮件设置,第112页•配置Bonjour,第116页•配置日期和时间设置,第117页•备份和恢复系统,第118页•升级固件或更改语言,第120页•重新启动设备,第122页•恢复出厂默认设置,第122页 设置设备属性 向设备分配名称和域名可确保其他设备可方便地识别它。
设置设备属性的步骤: 步骤1选择Administration>DeviceProperties。
思科RV130/RV130W边缘路由器管理指南 103 CiscoSmallBusinessCiscoSmallBusiness管理设备 设置密码复杂性
8 步骤2在Hostname字段中输入用于在网络上唯一标识设备的名称。
例如RTR141。
步骤3在DomainName字段中,输入设备所在的域。
例如。
如果不知道组织的域名,请联系网络管理员。
步骤4保存更改。
设置密码复杂性 对于密码更改,可强制实施密码复杂性最低要求。
配置密码复杂性设置的步骤: 步骤1选择Administration>PasswordStrength。
步骤2在PasswordComplexitySettings字段中,选中Enable。
步骤3配置密码复杂性设置: MinimumPasswordLengthMinimumnumberofcharacterclasses ThenewpasswordmustbedifferentthanthecurrentonePasswordAgingPasswordagingtime 输入最小密码长度(0-64个字符)。
输入表示以下字符类别之一的数字:•大写字母。
•小写字母。
•数字。
•标准键盘上有的特殊字符。
默认情况下,密码必须包含以上至少三种类别的字符。
选中Enable可要求新密码与当前密码不同。
选中Enable可使密码在指定时间之后过期。
输入密码过期之前的天数(1-365)。
默认值为180天。
思科RV130/RV130W边缘路由器管理指南 104 CiscoSmallBusinessCiscoSmallBusiness管理设备 配置用户帐户 步骤4单击Save。
8 配置用户帐户 设备支持两个用于管理和查看设置的用户帐户:管理用户(默认用户名和密码:cisco)和访客用户(默认用户名:guest)。
访客帐户拥有只读访问权限。
可以为管理员和访客帐户设置和管理用户名和密码。
配置用户帐户的步骤: 步骤1选择Administration>Users。
步骤2在ountActivation字段中,选中要激活的帐户的框。
(admin帐户必须为活动 状态。
)步骤3(可选)要编辑管理员帐户,请在AdministratorountSetting下选中Edit AdministratorSettings。
要编辑访客帐户,请在GuestSettings下选中EditGuestSettings。
输入以下信息: NewUsernameOldPasswordNewPassword RetypeNewPassword步骤4单击Save。
输入新用户名。
输入当前密码。
输入新密码。
建议密码不包含任何语言中的字典单词,应由字母(包含大写和小写字母)、数字和符号组成。
密码长度最多为64个字符。
重新输入新密码。
导入用户帐户 可以使用CSV文件同时导入多个用户。
思科RV130/RV130W边缘路由器管理指南 105 CiscoSmallBusinessCiscoSmallBusiness管理设备 设置会话超时值 确保CSV文件中的数据的组织方式如下所示: TYPEAdminGuest USERNAMEAdmin123Guest123 PASSWORDAdmin123Guest123
8 TYPEPPTPPPTP USERNAMEPPTP-user-1PPTP-user-
2 PASSWORD12345678345123678 ENABLEenabledisable TYPEVPNServerVPNServer USERNAMEvpn-user-1vpn-user-
2 PASSWORD1234567833245678 TYPE USERNAME-user-1-user-
2 PASSWORD1234567833245678 NOTE各列的名称区分大小写。
请勿更改各列的顺序或名称。
从CSV文件导入用户帐户的步骤: 步骤1在ImportUserName&Password字段中,单击Browse。
步骤2找到文件,然后单击Open。
步骤3单击Import。
ACCESS_TIME144060 设置会话超时值 思科RV130/RV130W边缘路由器管理指南 106 CiscoSmallBusinessCiscoSmallBusiness管理设备 配置简单网络管理(SNMP)
8 超时值是设备管理器会话结束之前允许处于不活动状态的分钟数。
可以为Admin和Guest帐户配置超时。
配置会话超时的步骤: 步骤1选择Administration>SessionTimeout。
步骤2在AdministratorInactivityTimeout字段中,输入会话由于处于不活动状态而超时之前的分钟数。
选择Never可允许管理员永久保持登录状态。
步骤3在GuestInactivityTimeout字段中,输入会话由于处于不活动状态而超时之前的分钟数。
选择Never可允许管理员永久保持登录状态。
步骤4单击Save。
配置简单网络管理(SNMP) 通过简单网络管理协议(SNMP)可以从SNMP管理器监控和管理路由器。
SNMP提供了一种远程方法,用于监控和控制网络设备,并用于管理配置、统计信息收集、性能和安全性。
配置SNMP系统信息 NOTE需要先在计算机上安装SNMP软件,然后才能使用SNMP。
设备仅支持用于SNMP管理的SNMPv3以及用于SNMP陷阱消息的SNMPv1/2/3。
启用SNMP的步骤: 步骤1选择Administration>SNMP。
步骤2选中Enable可启用SNMP。
步骤3对于Allowuseressvia或AllowuseressviaVPN,选中相应的 Enable复选框可允许用户通过互联网访问或允许用户通过VPN访问。
步骤4在Mode字段中选择SNMP版本。
步骤5输入以下信息: 思科RV130/RV130W边缘路由器管理指南 107 CiscoSmallBusinessCiscoSmallBusiness管理设备 配置简单网络管理(SNMP)
8 SysContactSysLocationSysName 步骤6单击Save。
输入此设备的联系人姓名。
例如,网络管理员。
输入设备的物理位置。
例如,Rack#2,4thFloor。
输入用于方便标识设备的名称。
例如RTR141。
编辑SNMPv3用户 可以为设备的两个默认用户帐户(Admin和Guest)配置SNMPv3参数。
配置SNMPv3设置的步骤: 步骤1选择Administration>SNMP。
步骤2在SNMPv3UserConfiguration下配置以下设置: UserNameessPrivilegeSecurityLevel AuthenticationAlgorithmServerAuthenticationPassword 选择要配置的帐户(admin或guest)。
显示所选用户帐户的访问权限。
选择SNMPv3安全级别:NoAuthenticationandNoPrivilege-不需要任何鉴权和私密性。
AuthenticationandNoPrivilege-仅提交鉴权算法和密码。
AuthenticationandPrivilege-提交鉴权和私密性算法以及密码。
选择鉴权算法类型(MD5或SHA)。
输入鉴权密码。
思科RV130/RV130W边缘路由器管理指南 108 CiscoSmallBusinessCiscoSmallBusiness管理设备 配置简单网络管理(SNMP)
8 PrivacyAlgorithmPrivacyPassword步骤3单击Save。
选择私密性算法类型(DES或AES)。
输入私密性密码。
思科RV130/RV130W边缘路由器管理指南 109 CiscoSmallBusinessCiscoSmallBusiness管理设备 使用诊断工具
8 配置SNMP陷阱 通过SNMPTrapConfiguration部分中的字段可以配置设备将陷阱消息(通知)发送到的SNMP代理。
配置陷阱的步骤: 步骤1选择Administration>SNMP。
步骤2在TrapConfiguration下配置以下设置: IPAddressPortCommunity SNMPVersionSNMPTrapSeverityLevel步骤3单击Save。
输入SNMP管理器或陷阱代理的IP地址。
输入将陷阱消息发送到的IP地址的SNMP陷阱端口。
输入代理所属的社区字符串。
大多数代理配置为监听公共社区中的陷阱。
选择SNMP版本:v1、v2c或v3。
选择设备必须发送陷阱消息时的严重性级别。
使用诊断工具 设备提供了几个诊断工具来帮助对网络问题进行故障排除。
•网络工具•配置端口镜像 网络工具 使用网络工具可对网络进行故障排除。
思科RV130/RV130W边缘路由器管理指南 110 CiscoSmallBusinessCiscoSmallBusiness管理设备 使用诊断工具
8 使用PING可以使用PING实用程序测试此路由器与网络中其他设备之间的连接。
还可以使用Ping工具测试互联网连接,方法是对完全合格域名(例如)执行Ping命令。
使用PING的步骤: 步骤1选择Administration>Diagnostics>NetworkTools。
步骤2在IPAddress/DomainName字段中,输入要对其执行Ping命令的设备IP地址或 完全合格域名,如。
步骤3单击Ping。
系统将显示Ping结果。
这些结果可说明设备是否可访问。
使用TracerouteTraceroute实用程序显示目标IP地址与此路由器之间存在的所有路由器。
路由器显示此路由器与目标之间的最多30个步跳(中间路由器)。
使用Traceroute的步骤: 步骤1选择Administration>Diagnostics>NetworkTools。
步骤2在IPAddress/DomainName字段中,输入要追踪的IP地址。
步骤3单击Traceroute。
系统将显示Traceroute结果。
执行DNS查找可以使用查找工具查找互联网上的主机(例如,Web、FTP或邮件服务器)的IP地址。
要检索互联网上的Web、FTP、邮件或任何其他服务器的IP地址,请在文本框中键入互联网名称并单击Lookup。
如果主机或域条目存在,则您会看到包含IP地址的响应。
未知主机消息指示指定互联网名称不存在。
使用查找工具的步骤: 步骤1选择Administration>Diagnostics>NetworkTools。
步骤2在Name字段中,输入主机的互联网名称。
步骤3单击Lookup。
系统将显示nslookup结果。
思科RV130/RV130W边缘路由器管理指南 111 CiscoSmallBusinessCiscoSmallBusiness管理设备 配置日志和电子邮件设置
8 配置端口镜像 端口镜像通过从一个端口向监控端口发送所有传入和传出数据包的副本来监控网络流量。
可以使用端口镜像作为诊断或调试工具,尤其是在躲避攻击或查看从LAN到WAN的用户流量以了解用户是否在访问不应访问的信息或网站时。
LAN主机(PC)应使用静态IP地址避免与端口镜像有关的任何问题。
如果没有为LAN主机配置静态IP地址,则DHCP租用可能会对LAN主机过期,可能会导致端口镜像失败。
配置端口镜像的步骤: 步骤1选择Administration>Diagnostics>PortMirroring。
步骤2在MirrorSource字段中,选择要镜像的端口。
步骤3从MirrorPort下拉菜单中选择镜像端口。
如果使用某个端口进行镜像,请勿将该端口用于任何其他流量。
步骤4单击Save。
配置日志和电子邮件设置 配置日志可监控指示设备状况和性能的活动。
配置日志设置 配置记录的步骤: 步骤1选择Administration>Logging>LogSettings。
步骤2在LogMode字段中,选中Enable。
步骤3选中EmailAlertEnable复选框可将设备配置为针对可能影响设备的性能、操作和安 全性的事件或行为,或是为了进行调试,向特定电子邮件地址发送警报电子邮件。
选中相应框可针对以下事件启用电子邮件警报: 思科RV130/RV130W边缘路由器管理指南 112 CiscoSmallBusinessCiscoSmallBusiness管理设备 配置日志和电子邮件设置
8 WAN连接/中断 站点到站点IPsecVPN隧道连接/中断CPU过载 系统启动新固件可用 当WAN链路中断时发送一封电子邮件,当链路再次连接时发送另一封电子邮件。
当站点到站点IPsecVPN隧道中断时发送一封电子邮件,当隧道再次连接时发送另一封电子邮件。
当CPU利用率高于阈值时发送一封警报电子邮件,当CPU利用率回落到正常值时发送另一封警报电子邮件。
当设备正在启动时发送电子邮件警报。
当有新固件可供设备使用时发送电子邮件警报。
步骤4单击AddRow。
思科RV130/RV130W边缘路由器管理指南 113 CiscoSmallBusinessCiscoSmallBusiness管理设备 配置日志和电子邮件设置
8 步骤5配置以下设置: RemoteLogServerLogSeverityforLocalLogandEmail Enable 输入将维护日志的日志服务器的IP地址。
选择要对其维护日志并将这些日志发送到特定电子邮件地址的事件的严重性。
严重性高于所选日志类型的所有日志类型将自动包含在内,您不能排除这些类型。
例如,如果选择Error日志,则也会选择Emergency、Alert和Critical。
下面按照从高到低的顺序列出了事件的严重性级别: •Emergency-系统无法使用。
•Alert-需要采取措施。
•Critical-系统处于高危状态。
•Error-系统出错。
•Warning-系统已发出警告。
•Notification-系统能够正常工作,但系统已发出通知。
•Information-设备信息。
•Debugging-详细事件信息。
选择此日志严重性可生成较长的日志列表,不建议在正常路由器操作过程中使用。
要启用这些记录设置,请选中此框。
步骤6单击Save。
步骤7单击ViewLogs查看系统日志表。
要编辑LoggingSettingTable中的条目,请选择条目并单击Edit。
进行更改,然后单击Save。
思科RV130/RV130W边缘路由器管理指南 114 CiscoSmallBusinessCiscoSmallBusiness管理设备 配置日志和电子邮件设置
8 配置日志电子邮件 可以将设备配置为通过电子邮件发送日志。
建议为发送和接收日志而设置单独的电子邮件帐户。
必须先设置要捕获的日志的严重性;请参阅配置日志设置。
配置日志电子邮件的步骤: 步骤1选择Administration>Logging>E-mailSettings。
步骤2要启用日志事件的电子邮件,请选中Enable。
系统将显示要捕获的日志的最低电子邮件日志严重性。
要更改此设置,请单击ConfigureSeverity。
步骤3配置以下设置: E-mailServerAddress E-mailServerPort ReturnE-mailAddress SendtoE-mailAddress
(1)SendtoE-mailAddress
(2)(Optional)SendtoE-mailAddress
(3)(Optional)E-mailEncryption AuthenticationwithSMTPServer 输入SMTP服务器的地址。
这是与设置的电子邮件帐户关联的邮件服务器(例如,)。
输入SMTP服务器端口。
如果电子邮件提供商要求将专用端口用于电子邮件,请在此处输入。
否则,请使用默认设置(25)。
输入在从路由器到发送目标电子邮件地址的日志无法送达时设备将消息发送到的返回电子邮件地址。
输入将日志发送到的电子邮件地址(例如,)。
选择SSL或TSL作为电子邮件加密方法。
如果不想使用电子邮件加密方法,请选择Disable。
如果SMTP(邮件)服务器要求进行鉴权之后才接受连接,请从下拉菜单中选择鉴权类型:None、LOGIN、PLAIN和CRAM-MD5。
思科RV130/RV130W边缘路由器管理指南 115 CiscoSmallBusinessCiscoSmallBusiness管理设备 配置Bonjour
8 E-mailAuthenticationUsername E-mailAuthenticationPassword E-mailAuthenticationTest 输入电子邮件鉴权用户名(例如,)。
输入电子邮件鉴权密码(例如,用于访问将日志发送到的已设置电子邮件帐户的密码)。
单击Test可测试电子邮件鉴权。
步骤4在SendE-MailLogsbySchedule部分中,配置以下设置: UnitDayTime步骤5单击Save。
选择日志的时间单位(Never、Hourly、Daily或Weekly)。
如果选择Never,则不发送日志。
如果选择每周时间表来发送日志,请选择在星期几发送日志。
如果选择每天或每周时间表来发送日志,请选择一天中发送日志的时间。
配置Bonjour Bonjour是一种服务通告和发现协议。
在设备上,Bonjour仅通告启用Bonjour时在设备上配置的默认服务。
启用Bonjour的步骤: 步骤1选择Administration>Bonjour。
步骤2选中Enable可启用Bonjour。
步骤3要为BonjourInterfaceControlTable中列出的VLAN启用Bonjour,请选中对应的 EnableBonjour框。
思科RV130/RV130W边缘路由器管理指南 116 CiscoSmallBusinessCiscoSmallBusiness管理设备 配置日期和时间设置
8 可以为特定VLAN启用Bonjour。
通过在VLAN上启用Bonjour,VLAN上存在的设备可以发现路由器上可用的Bonjour服务(如HTTP/HTTPS)。
例如,如果VLAN配置的ID为
2,则除非为VLAN2启用Bonjour,否则VLAN2上存在的设备和主机无法发现在路由器上运行的Bonjour服务。
步骤4单击Save。
配置日期和时间设置 您可以配置时区、是否针对夏令时进行调整,以及使用哪个网络定时协议(NTP)服务器同步日期和时间。
然后路由器从NTP服务器获取日期和时间信息。
配置NTP和时间设置的步骤: 步骤1选择Administration>TimeSettings。
系统将显示当前时间。
步骤2在以下字段中输入信息: TimeZoneAdjustforDaylightSavingsTime DaylightSavingMode 选择与格林威治标准时间(GMT)相关的时区。
如果您所在区域支持,请选中AdjustforDaylightSavingsTime框。
如果在SetDateandTime字段中单击Manual,则此复选框为灰色。
如果选择Bydate,请输入夏令时模式开始时的指定日期。
如果选择Recurring,请输入夏令时开始时的月份、周、星期几和时间。
在From和To字段中输入相应信息。
思科RV130/RV130W边缘路由器管理指南 117 CiscoSmallBusinessCiscoSmallBusiness管理设备 备份和恢复系统
8 DaylightSavingOffsetSetDateandTimeNTPServer 步骤3单击Save。
从下拉菜单中选择与协调世界时(UTC)之间的偏移。
选择要手动还是自动设置设备上的日期和时间。
如果选择Manual,请在EnterDateandTime字段中输入日期和时间。
要使用默认NTP服务器,请单击UseDefault按钮。
要使用特定NTP服务器,请单击UserDefinedNTPServer,然后在两个可用字段中输入NTP服务器的完全合格域名或IP地址。
备份和恢复系统 可以通过Administration>Backup/RestoreSettings页面,备份自定义配置设置以供将来恢复或从以前的备份进行恢复。
当防火墙按配置方式工作时,可以备份配置以供将来恢复。
在备份过程中,设置会保存为PC上的文件。
可以从此文件恢复防火墙设置。
!
注意在恢复操作过程中,请勿在操作完成之前尝试上线、关闭防火墙、关闭PC或使用防火墙。
这大约需要一分钟。
当测试指示灯熄灭时,多等待几秒,然后再使用防火墙。
备份配置设置 备份或恢复配置的步骤: 步骤1选择Administration>Backup/RestoreSettings。
步骤2选择要备份或清除的配置: 思科RV130/RV130W边缘路由器管理指南 118 CiscoSmallBusinessCiscoSmallBusiness管理设备 备份和恢复系统
8 Startupconfiguration MirrorconfigurationBackupconfiguration 选择此选项可下载启动配置。
启动配置是设备使用的最新运行配置。
如果路由器启动配置丢失,请使用此页面将备份配置复制到启动配置,使以前的所有配置信息保持完整。
可以将启动配置下载到其他RV130/RV130W设备以进行方便部署。
如果设备在启动配置未进行更改的情况下运行24小时之后必须备份启动配置,请选择此选项。
选择此选项可备份当前配置设置。
步骤3要基于所选配置选项下载备份文件,请单击Download。
默认情况下,文件(startup.cfg、mirror.cfg或backup.cfg)会下载到默认Downloads文件夹中;例如,C:\DocumentsandSettings\admin\MyDocuments\Downloads\。
步骤4要清除所选配置,请单击Clear。
恢复配置设置 恢复以前保存的简档的步骤: 步骤1选择Administration>Backup/RestoreSettings。
步骤2在ConfigurationUpload字段中,选择要上传的配置(StartupConfiguration或 BackupConfiguration)。
步骤3单击Browse以查找文件。
步骤4选择文件,然后单击Open。
步骤5单击StarttoUpload。
设备上传简档并使用其中包含的设置更新启动配置。
设备随后重新启动并使用新配置。
思科RV130/RV130W边缘路由器管理指南 119 CiscoSmallBusinessCiscoSmallBusiness管理设备 升级固件或更改语言
8 复制配置设置 将启动配置复制到备份配置可确保具有备份副本,以防您忘记用户名和密码,被锁定在设备管理器外部。
要返回设备管理器,请将设备重置为出厂默认设置。
备份简档保留在内存中,可用于将备份的配置信息复制到启动配置,这会恢复所有设置。
复制配置(例如,将启动配置复制到备份配置)的步骤: 步骤1选择Administration>Backup/RestoreSettings。
步骤2在Copy字段中,从下拉菜单中选择源和目标配置。
步骤3单击StarttoCopy。
生成加密密钥 路由器允许生成加密密钥来保护备份文件。
生成加密密钥的步骤: 步骤1选择Administration>Backup/RestoreSettings。
步骤2单击ShowAdvancedSettings。
步骤3在框中,输入用于生成密钥的种子短语。
步骤4单击Save。
升级固件或更改语言 可以使用Administration>Firmware/LanguageUpgrade页面升级到较新版本的固件或更改路由器的语言。
!
注意在固件升级过程中,请勿在操作完成之前尝试上线、关闭设备、关闭PC或以任何方式中断过程。
此过程大约需要一分钟(包括重新启动过程)。
在正向闪存写入的特定时间点中断升级过程可能会损坏闪存并使路由器无法使用。
思科RV130/RV130W边缘路由器管理指南 120 CiscoSmallBusinessCiscoSmallBusiness管理设备 升级固件或更改语言
8 升级固件使用较新版本的固件升级路由器的步骤: 步骤1选择Administration>Firmware/LanguageUpgrade。
步骤2(可选)单击Download以下载最新版本的固件。
步骤3在FileType字段中,单击FirmwareImage按钮。
步骤4单击Browse以查找并选择下载的固件。
步骤5(可选)要在固件升级之后将设备重置为默认出厂设置,请选中Resetall configurations/settingstofactorydefaults。
!
注意将设备重置为默认出厂设置可擦除所有配置设置。
步骤6单击StartUpgrade。
验证了新固件映像之后,新映像会写入闪存,路由器会使用新固件自动重新启动。
步骤7选择Status>SystemSummary以确保路由器安装了新固件版本。
更改语言在设备上更改语言的步骤: 步骤1选择Administration>Firmware/LanguageUpgrade。
步骤2在FileType字段中,单击LanguageFile按钮。
步骤3单击Browse以查找并选择语言文件。
步骤4(可选)要将设备配置参数重置为出厂默认值,请选中Resetallconfiguration/ settingstofactorydefaults。
步骤5单击StartUpgrade。
思科RV130/RV130W边缘路由器管理指南 121 CiscoSmallBusinessCiscoSmallBusiness管理设备 重新启动设备 重新启动设备 重新启动路由器的步骤:步骤1选择Administration>Reboot。
步骤2单击Reboot。
8 恢复出厂默认设置 !
注意在恢复操作过程中,请勿在操作完成之前尝试上线、关闭路由器、关闭PC或使用路由器。
这大约需要一分钟。
当测试指示灯熄灭时,多等待几秒,然后再使用路由器。
将出厂默认设置恢复到路由器的步骤: 步骤1选择Administration>RestoreFactoryDefaults。
步骤2单击Default。
思科RV130/RV130W边缘路由器管理指南 122
9 Web过滤 Web过滤是路由器的一项功能,可用于管理对不当网站的访问。
此功能可以筛选客户端的Web访问请求,决定是允许还是拒绝访问该网站,确保已经受到安全保护的网络更加安全,并提高工作场所的工作效率。
对于一般网络安全、物联网,以及/或者需要在特定部门的定制网络中实施的规则,管理员可能有一套指导原则。
管理员可以创建自定义的计划规则,并将这些规则绑定到例外列表,从而在特定时间允许特定用户访问特定网站,或实现类似目的。
配置Web过滤 本节介绍如何在路由器中配置Web过滤功能,并着重说明此功能的重要性。
要在路由器上启用并配置Web过滤功能,请按照以下步骤操作: 步骤1单击Web过滤。
步骤2在“Web过滤”部分,从下列选项中选择一项: •始终开启-始终启用Web过滤功能•计划-制定计划来决定何时启用Web过滤功能•始终关闭-禁用Web过滤功能注默认情况下,Web过滤功能设置为“始终关闭”。
步骤3在“Web信誉”部分,选中启用可根据所选的过滤类别来启用过滤功能。
步骤4单击各个类别,然后从下列选项中选择一项,以管理和应用过滤器。
•低-可从“成人内容”和“安全”类别中进行选择。
选择和选取可用选项,对 您的过滤器进行自定义。
•中-可从“成人内容”、“非法/可疑”和“安全”类别中进行选择。
选择和选 取可用选项,对您的过滤器进行自定义。
思科RV130管理指南 123 Web过滤 配置Web过滤
9 •高-可从“成人内容”、“商业/投资”、“娱乐”、“非法/可疑”、“IT资源”、“时尚/文化”和“安全”类别中进行选择。
选择和选取可用选项,对您的过滤器进行自定义。
•自定义-无默认设置,允许自定义Web过滤。
步骤5单击保存和后退,返回“过滤”页面继续进行设置。
步骤6选中启用HTTPS过滤可根据网站的IP地址(而非URL)过滤内容。
采用安全HTTP(HTTPS)的网站将可以访问。
如果需要将使用安全URL的网站作为拦截对象,请勿选中启用HTTPS过滤。
注HTTPS过滤的依据是Web服务器的IP地址,而非URL,因为URL是加密的。
多个网站使用同一个Web服务器IP地址的情形十分常见。
在这种情况下,如果某个IP地址有多个关联的网站类别,路由器不会对相关页面进行拦截。
但是,如果该IP地址托管了成人内容,或者该IP地址与已知的恶意软件托管或分发网站相关联,路由器会拦截相关页面。
步骤7如果在设置Web过滤选项时选择计划,屏幕将显示“计划表”。
在“计划表”下,单击添加行创建一项计划规则或计划策略。
步骤8在“计划表”的“名称和描述”字段中,输入名称和描述。
步骤9然后选择每周在哪天或哪几天启用该规则或策略,以便在指定日期启用过滤功能。
步骤10接下来,使用24小时格式输入规则生效的时间。
步骤11最后,单击激活启用计划规则。
注系统对所要执行的规则没有数量上的限制。
步骤12单击保存。
步骤13(可选)创建过滤过程中使用的允许、拒绝或排除网站/内容列表。
从下列选项中选择一种类型: •白名单-单击添加行,然后从下拉列表中选择域名或关键字。
根据所选内容,输入用于识别此策略的值。
•黑名单-单击添加行,然后从下拉列表中选择域名或关键字。
根据所选内容,输入用于识别此策略的值。
•排除列表-单击添加行,然后从下拉列表中选择域名或关键字。
根据所选内容,输入用于识别此策略的值。
步骤14如需编辑或删除Web过滤策略,请从列表中选择相关策略,然后单击编辑或删除。
步骤15单击保存。
思科RV130管理指南 124
A 快速索引 支持 思科支持社区思科支持和资源电话支持联系人名单 思科固件下载 /go/smallbizsupport/go/smallbizhelp/en/US/support/tsd_cisco_small_business_support_center_contacts.html/cisco/software/navigator.html?
i=!
ch 思科开源请求 思科合作伙伴中心(需要合作伙伴登录) 产品文档 思科RV130/RV130W边缘路由器 选择一个链接,以下载所需固件。
无需登录。
/go/smallbiz_opensource_request/web/partners/sell/smb /en/US/products/ps9923/tsd_products_support_series_home.html 有关欧洲批次26的相关测试结果,请查看此网页:/go/eu-lot26-results。
思科RV130/RV130W边缘路由器管理指南 125
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。
相关文章
