|
作者:朱正超 联系email:zhuzheng217@163.com 目录 Tomato DualWAN 特殊功能: 1. 带宽合并/负载均衡,可以将两条线路的带宽合并实现快速下载 2. 智能路由,自动根据目标IP所属ISP选择最优线路出去,加快用户访问速度 3. QoS/IP限速,合理分配网络带宽 4. 设备流量实时查看,了解每台电脑的流量状况 5. ARP绑定,可以阻止非法用户使用网络 6. IPID防电信网络尖兵 7. ×××(PPTP)服务器和客户端,可以将分布在不同地方的办公室组成一个局域网 8. 支持Apple(Mac OS X)的NAT-PMP(UPnP的另外一种) 9. BT脱机下载功能(路由器需要有USB接口),睡觉前或者上班的时候让路由器帮你下载喜欢的游戏或者电影,而不需要开着电脑 10. Samba服务器(路由器需要有USB接口),提供文件共享功能,以便直接在PC上播放路由器下载好的电影 11. FTP服务器(路由器需要有USB接口) 12. 3G上网功能(路由器需要有USB接口),插上USB接口的3G上网卡或者智能手机后,路由器就变成一个3G路由器,团队出差的时候多人共享上网很方便 13. 上网通告功能 网络设置: 1 选择基本设置中的网络设置 2 配置一wan1连接口,这个就是你的一个外网端口, 2.1 若果你是电信、联通的上网请选择PPPOE上网模式,将你的上网用户名和密码填入(大小写要区别) 2.2 若你是东方有线网络请选择动态获取ip 3 配置第二个wan2的信息,请参考配置配置一 4 双WAN模式设置 提供负载均衡,智能路由和自定义脚本三种模式 1) 负载均衡===>就是我们口中常说的带宽叠加,建议WAN1和WAN2是同一ISP的选用,如 WAN1是电信 WAN2也是电信; 选用负载均衡可以使下载叠加带宽,下面还有一个权重设置,数字越大优先级越高,如WAN1是4M宽带,WAN2是2 M宽带,WAN1与WAN2的比应该填2:1 2) 智能路由===>自动根据目的IP归属的ISP来自动选择对应的线路出口,以加快访问速度,建议WAN1和WAN2不是同一ISP的用户选用,如WAN1的为电信,WAN2为网通;使用智能路由可以解决网通电信互访慢的问题,选择智能路由模式后下面有一个WAN2路由表选项,包含了国内常见的ISP路由表,请根据你实际情况选择WAN2的路由表。如你WAN2的ISP不在路由表列表中,你可以自己收集属于你ISP的路由表,然后按指定的格式(网络/子网掩码值)添加到自定义里去,如下面的219.156.0.0/15 219.158.0.0/16 219.159.0.0/18 3) 自定义脚本===>只适合高级玩家使用,普通玩家可以忽视 2基本设置中的其他设置 这些配置可以默认无需更改 如图 2-1 图2-1 1. 名称设置 设置次路由器的名称,如 淮海贸易公司 。 2. 时间设置 设置路由器的时间。 3. 动态域名 动态域名解释,高级用途需要花生壳软件支持。 4. 静态DHCP 给固定的电脑保留固定的IP,需要电脑的MAC地址和设置成需要单独占用的IP。 5. 无线过滤 选择固定的SSID信号。 注意: 以上设置完了就可以上网了。 如下图 1. 连接追踪/包过滤 支持最大10240个连接数,大家根据你带宽和路由器所能承受的连接数进行设置 过滤包 2. DHCP/DNS 开启DNS快取快发,注意:DNS是用来解析域名的。建议打开; 3. 防火墙设置 1) 允许回应 ICMP Ping 默认不启用,启用该选项后外部可以ping通WAN口的IP,如无必要请不要启用该选项,可以提高路由器的安全性 2) 允许多播(multicast) 建议不要开启,这个很多的病毒就通过多播进行传播的。 3) NAT Loopback 如果想局域网内的PC能访问路由器WAN口的IP,那么请将该选项选择为“全部”,否则选择为“只有被转送的封包” 4)启用该选项可以抵御SYN Flood攻击 4. MAC 地址设置 用于修改路由器的MAC地址,当有些ISP绑定了你的PC MAC后,此时你就需要将WAN口的MAC地址设置成PC的MAC来上网 可以修改WAN1 WAN2和无线的MAC,不能修改LAN的MAC 5. 其他设置 6. 路由表设置 显示路由器当前的路由表和静态路由的管理,一般用户无视该功能 7. 无线设置 可以设置无线的各项参数,通常情况下只调下'发射功率'和发送接收的天线 最常用的为DMZ端口和端口触发 1. 基本设置 2. DMZ设置 设置成你的内网的一台计算机,这样外网就可以直接访问你了。 3. 端口触发 做TCP或者UDP的转发,入80的TCP端口转发给192.168.0.100 4. UPnP设置 QoS设置 解释:QoS是对流量进行管理配置如下,注意不熟悉的用户请不要配置 进入: 1、 给予优先标志 ACK为网络通信的三次握手发,这个可以考虑优先保障,所有的TCP通信都必须要用次协议。 SYS,很多网络攻击就是利用了此协议,入泛洪攻击 FIN和RST这个在windows上很少见到。 2、 ICMP给予优先权 这个是ping 的协议 3、 FLV视频网站给予优先权 这个是看视频网站入 优酷网 土豆网 4、 惩罚设置 即到用户操作违反了记录,就需要接受次惩罚。 注意: 同时有个新功能 惩罚机制 可以把下载的用户降级限制速度。(注:时间设置那里不能少于5秒) 惩罚机制 设置 第一个 是 当用户传输文件超过 设定大小 的文件时,列入惩罚。 第二个 是 当TCP 连接 超过 设定大小 时,列入惩罚。 第三个 是 当UDP 连接 超过 设定大小 时,列入惩罚 第四个 是 惩罚时间 。 进入惩罚后进入限制超过 设定大小 时间才能恢复正常速度。 第五个 是 IP白名单,那里写着 zd 赠送的免死金牌,不会受上面控制而接受惩罚。 进入后如图 如: 你要禁止访问gz.pconline.com.cn这个网站的所有页面,那就写 ^gz.pconline.com.cn 如果你只是要禁止访问gz.pconline.com.cn/abc.html这个页面,那就写 ^gz.pconline.com.cn/abc.html 上面这个规则的意思是匹配以gz.pconline.com.cn/abc.html开头的,gz.pconline.com.cn/abc.html?123也一样匹配到 如果写成(注意后面的$符号) ^gz.pconline.com.cn/abc.html$ 那么就只匹配gz.pconline.com.cn/abc.html,而gz.pconline.com.cn/abc.html?123就没有被匹配到了。 ×××设置 这个功能是其他路由器无法媲美的, 这个路由器,既可以当×××的服务器端也可以当×××的客户端,但是二者只能选择其中的一个。, 1、×××的服务器端得设置。 上图中,×××本地IP、×××客户端IP段用于跟×××客户端组成一个×××网络,其中×××本地IP是给×××服务器的,×××客户端IP段是分配给客户端的。 MS DNS1、MS DNS2是给Windows ×××客户端使用的,如果指定了这2个值,那么当Windows通过×××接入到Tomato DualWan的PPTP服务器时,Windows将自动将这2个DNS设置为客户端PC的DNS服务。如果不想设置这两个值,则输入0.0.0.0就可以。 MTU、MRT一般保持默认1450就可以。 PPTP用户列表是允许接入到PPTP服务器中的用户清单,用户名密码我就不废话了。其中××× IP Address是客户端的×××进来后分配给它的IP,如果输入*则从上面的×××客户端IP段里动态分配,否则分配给客户端指定的IP。客户端办公网络、子网掩码分别是客户端那边的局域网的IP和掩码,如果PPTP服务器中没有输入客户端办公网络和子网掩码,那么就只有拓扑图中蓝色虚线的访问路径。如果在PPTP服务器中设置了客户端办公网络和子网掩码,那么就会有拓扑图中蓝色和红色虚线表示的访问路径。如果出现做了设置,但是还是无法访问的问题,那么一般是被某端的防火墙(路由器、PC等)阻止掉了。简单拓扑图如下 1) ×××本地的IP是你的内网中安装了×××服务器的机器IP地址 2) ×××客户端得IP,是当往外的用户通过×××拨入你的×××服务器后自动DPCP到的地址网段 3) MS DNS1、MS DNS2是给Windows ×××客户端使用的,如果指定了这2个值,那么当Windows通过×××接入到Tomato DualWan的PPTP服务器时,Windows将自动将这2个DNS设置为客户端PC的DNS服务。这个可以不配置的。小编建议不要配置,如果配置不正确会导致×××客户端无法通过你的网络解析地址。 4) PPTP用户列表,这个是分配给×××的外网用户的用户名和密码。 ×××客户端拨号PPTP连接参考附件一 2、×××客户端设置 注意: 服务器地址为你要连接的×××服务器的地址 将×××设置成默认路由,这个在有些情况下需要关闭,入你的服务器还有另外一个服务入IIS服务,可以用ROUT/PRINT查看本地路由表 1、指定出口 用于指定某些流量走哪根线路 Q: AssignOUT的负载均衡有什么局限吗?如何解决? A: 有,在一些有检验来源IP的网站、论坛、程序等环境下使用AssignOUT的负载均衡将可能导致身份验证失败或者断线。解决办法是根据这些网站的IP或者端口添加一条或多条规则,将其强制指定走某个WAN口出去,要注意的是这些规则应该放在负载均衡规则的前面。 Q: AssignOUT的规则匹配流程是怎么样的? A: AssignOUT的规则匹配是自上而下的,匹配到规则就不再匹配后面的规则。 Q: 我访问有些网站、使用某些软件时经常掉线或者身份认证失败,该如何解决? A: 因为负载均衡的作用会导致出去时的WAN口不固定,在一些网站或软件服务端有对来源IP做检查时匹配,解决的办法是在AssignOUT中添加一条针对该网站IP段的规则,Assign to指定为WAN1或WAN2。 Q: 带宽合并后,只能用迅雷下载有效吗?网络盒子mss下载宽带合并有效吗? A: 首先纠正一个误解,我之所以老提迅雷是因为这东西比较吸血,很短的时间内就能跑满带宽,如果用eMule或者Bt之类的,可能要20来分钟才能跑满带宽。MSS下载最好了,你可以在AssignOUT里指定From: MSS_IP, AssignTO: Balance,这样MSS下载东西无论是FTP、HTTP、BT、eMule等都有负载均衡(带宽合并)的效果。 Q: 规则里端口可以同时指定多个吗?IP地址可以指定网段吗? A: 可以指定多个端口,如22,3389,52000-53000就表示端口为22或3389或52000到53000。IP地址可以输入IP/NETMASK的形式来输入网段,如123.123.123.0/255.255.255.0就表示123.123.123.1-123.123.123.255,也可以输入123.123.123.100-123.123.123.200等形式 Q: PPTP客户端里设置“将×××线路设置为默认路由”后,AssignOUT的规则如何处理 A: AssignOUT的优先级比×××线路设为默认路由高,如果在AssignOUT里指定了,那么符合规则的访问将从AssingOUT指定的出口出去。 Q: 静态路由与AssignOUT的规则有冲突时,谁的优先级高? A: 静态路由的优先级比AssignOUT高。 AssignOUT示例 规则自上而下分别是 招行网银的规则1 招行网银的规则2 恩山论坛的规则 所有SSH、HTTPS、DEMO都走WAN1 所有访问HTTP的请求使用负载均衡 2、智能QOS 注意:智能QoS不能与其他QoS同时开,如同时开则智能QoS将不工作。 智能QOS说明: 1. 自动根据当前活动主机数分配最低保证带宽(总带宽80%/主机数),上限75%,如1M带宽,当前4台主机,那么每台主机保证最少200Kbit,上限750Kbit 2. 当所有主机的流量达到80%时,开启限速,对占用带宽最大者降速20%;只有1台主机活动时,允许全速下载、上传 3. 当所有主机的上行、下行流量持续1分钟都低于50%时,取消所有限速主机的限速,上限恢复到75% 4. 当有主机P2P下载时,该主机下载速度可能会低于最低保障值,之所以这么做是要尽最大限度保证下行不丢包以保障其他主机的正常上网 5. P2P停止(退出P2P程序)后2分钟左右恢复下载机的网速 6.可以单独对IP或者IP段进行设置 智能QoS 隐藏控制变量说明 SQ_upper_pct 下行超过SQ_upper_pct就进行限速,默认该值是80 SQ_lower_pct 下行低于SQ_lower_pct并且上行低于SQ_out_lower_pct 并持续一定时间(默认60秒)后取消所有主机的限速,默认该值是50 SQ_out_upper_pct 上行超过SQ_out_upper_pct就进行限速,默认该值是80 SQ_out_lower_pct SQ_out_lower_pct和SQ_lower_pct同时控制,见上面的SQ_lower_pct说明,默认该值是50 下面的例子是把上行的限制条件由默认的80%改为70%,把上行的停止条件由默认的50%改为40% 先TELNET登陆到路由器 nvram set SQ_out_upper_pct=70 nvram set SQ_out_lower_pct=40 nvram commit service smartqos restart 自定义设置说明: 上行保证、上行限制、下行保证、下行限制单位为百分比,可选值为:1-100和自动,一般情况下建议上行保证和上行限制选择自动 如果选择自动则该参数由智能QoS自动设置,否则该参数将使用用户设定的值 TCP限制是限制一个IP的总连接数(不是每秒连接数),UDP限制是限制一个IP的每秒发包数 IP地址如果输入IP范围(如192.168.1.100-192.168.1.199),则该IP范围内IP是独享设定的上/下行保证带宽,竞争上/下行限制带宽 3、QOS限速 注意:QoS限速不能与其他QoS同时开 用于IP限速,能有效限制速度,但在线主机少的时候容易浪费带宽,所以推荐使用智能QOS 启用QOS限制===>QOS限速的开关 下载带宽===>你的总下行带宽 上传带宽===>你的总上行带宽 4、ARP绑定 这个功能主要用作防止内网ARP攻击,还可以防止客户端随便擅自更改IP上网,给管理员造成管理混乱 启用ARP绑定===>这个当然是ARP绑定的开关啦 使用静态DHCP列表===>这个指的是在'基本设置'下的'静态DHCP'里面的列表,选上这个以后,'静态DHCP'列表里的就绑定好ARP了,不需手工添加 限制列表外的机器===>这个选上后只有进行了ARP绑定的电脑才能进行上网,其余的一律禁止 下面还可以手动添加绑定 5、通告设置 注意:通告功能暂时没完善,存在的BUG比较多,目前版本不推荐使用,且暂不提供技术支持 首先简单介绍一下这通告的功能和作用:通告 可对网内所有机器发布一个通告页面,通告页内容可以自行定义,让客户即使了解到最新的动态。支持URL转向功能,能在指定用户打开网站转向到您定义的网址,极大方便了小区、酒店、咖啡厅等公共场合。收到通告的机器需要点通告页的按钮后,放能使用网络。(认证) 网关名称: 你自己起的名称 zd说了 想写什么写什么 强制定向: 当用户点 登陆网络后,会强制指定到你设置的页面。(比如:你设定了强制定向 同时 定向主页设置为 www.dualwa.cn 时 那么用户点登陆网络 后 会强制把那页面转为 www.dualwan.cn 页) 文档根目录: 指的是 通告页的目录,可以自行修改。(不建议乱改) Splash Url: 设定通告页从此地址读取。(默认没有,如果设置了,通告页将从设置地址读取而不读取上面目录文件)。 登陆过期: 设置用户的登陆时效,超过设置时间将转为未登陆。 空闲过期: 设置后,在设定时间内 用户没有数据流量通过,将转为未登陆。 禁用端口: 设置端口禁止通过,没设置端口可以通过。 允许端口: 设置端口允许通过,没设置端口禁止通过。(其功能不能与上面同时使用) 主机白名单: 设置域名主机,直接通过不需要验证。(在打开列表地址时,不会出现通告页,只限80 443 端口 网页类型) MAC白名单: 设置网卡MAC地址 不受通告限制。(包括不出现通告页) 1、访问方式 2、备份恢复 用于备份和恢复配置文件,只能恢复到原来的设备,不能恢复到其他设备,并且需要同一版本固件,MAC地址需跟原来一样 3、恢复出厂默认值 可以清除NVRAM或恢复出厂设置 4、固件升级 用于升级固件,不同开发人员的固件升级建议升级前后都执行一次清除nvram 5、定时重启/连接 可以使路由器定时执行某些命令 service 服务名称 动作 服务器名称为下列下面的英文名字,动作为start或stop或restart start是启动 stop是停止 restart是先stop再start pptp_client PPTP客户端 pptpd PPTP服务器 qoslimit 新功能里的QoS applimit 新功能里的应用程序限制 assignout 指定出口 qos 原版QoS wan 所有WAN口 wan1link WAN1口 wan2link WAN2口 splashd 通告 iptraffic 设备流量 smartqos 智能QoS 1、Ping 用于判断路由器到IP或域名的连接 相当于cmd 下面的ping IP地址 2、追踪路由 用于查看目的IP或域名所经过的网关 相当于cmd 下面的tracert ip 3、无线搜寻 用于搜索附件无线路由器发出的信号,能看到信号质量,信道,加密方式,SSID等信息 点击更新新即可搜索 4网络唤醒 通过网络唤醒路由器局域网内处于关机状态的电脑,目标电脑的网卡及主板需要支持WOL功能 在MAC地址列表中点击一下即可实现网络开机 也可以把MAC填进'MAC地址列表'然后点击'立刻唤醒' 当前状态 显示 使用中(In ARP)===>表示该电脑与路由器已经在连接上 显示 - ===>表示该电脑与路由器断开连接
|
|
|
来自: 新用户30192489 > 《待分类》
