 |
配置环境
用户使用HiPER宽带安全网关,申请两条固定IP线路接入Internet,一条电信线路,一条网通线路。
假设如下:
主线路:电信线路
IP地址:218.18.18.1-218.18.18.177,共177个IP地址
子网掩码:255.255.255.0
网关:218.18.18.178
备份线路:网通线路
IP地址:221.10.170.2
子网掩码:255.255.255.252
网关:221.10.170.1
内网:
主机的IP地址:218.18.18.1-218.18.18.177
子网掩码:255.255.255.0
适用产品型号:HiPER 2300NBII、HiPER 2520NB、HiPER 3300NB、HiPER 3300VF、 HiPER4520NB、HiPER4240NB、HiPER4540NB
适用HiPER ReOS软件版本:05年9月29号以后的537版本。图二
 |
配置思路
1、 根据用户需求,我们可以考虑将用户分配下来的电信的IP地址分为2段,一段地址配置在路由器的LAN口和内网主机上;另外一段配置在路由器的WAN口和静态网关上。那为什么要分段呢?我们都知道路由器对数据包的转发依靠路由选择,路由选择的依据就是路由器内的路由表。而路由表的内容就是为每一个不同的目的地址(网段)的数据包指定一个路径。可以想象如果路由器的LAN口和WAN口的网段是同一个网段,那么会造成路由混乱,这个时候路由器就不会知道到达同一个网段到底是走LAN口还是走WAN口,所以为了实现用户的目的:即希望内网的用户依然使用电信分配的IP地址,那么我们就可以将电信分配下来的地址分成2个网段,一段地址做内网使用;另外一段地址做连接外网使用,这样就不会造成路由混乱。那这样做有哪些优点和缺点呢?优点就是通过较为简单的子网划分的方法来实现用户的需求;缺点就是:1、子网划分浪费用户的IP地址,最起码的LAN口和WAN口就占用了2个IP地址了,而进一步的子网划分也会浪费用户的IP地址。
2、 如何划分子网呢?本着最小浪费的原则,1、先看接入IP地址。接入IP地址只需要2个IP地址,一个配置在WAN口,一个配置成网关。那么就可以将接入IP地址的掩码设置为255.255.255.252,这样正好在这个网段内只有2个有效的IP地址,这样就尽可能少的浪费。2、内网的划分。首先要清楚一点,HiPER的LAN口可以设置2个IP地址,那么也就是我们可以划分出两段IP地址接入到路由器的LAN口上面,而且划分子网中要尽可能的容纳越多的主机就能避免造成浪费。那么子网划分C类网段的掩码最大的是255.255.255.128,此时就可以划分出来2个子网,每个子网中可以容纳的主机数就是126台主机。我们用掉第一个子网中的126个IP,那么还剩126个IP,我们可以在剩下的主机中继续划分,把其掩码设置为255.255.255.224,那么又可以划分出来3个子网,每个子网中可以容纳的主机数就是30台主机。我们用掉第一个子网的30个IP,再加上第一次划分得到的126个IP,一共是126+30=156个IP地址。到了这里有人要问,为什么在剩下126个IP地址中划分子网的时候,掩码不设置为255.255.255.192?因为如果我们划分成255.255.255.192的话,这个时候它会把剩下的126个IP划分成2个子网,每个子网62个IP地址,这个时候我们算一下:从第一次子网划分后,第二个子网的初始IP是218.18.18.129,那么能容纳62个IP地址就是129+62=192,也就是划分出来的 网段就是218.18.18.129-218.18.18.191,这个时候路由器WAN口的IP地址和网关就和你划分的第二段的内网IP地址在同一个网段了,所以必须要把掩码更改为255.255.255.224。
3、 划分子网出来以后,网络配置就如下所示了HIPER的LAN口:
LAN口的IP:218.18.18.1,子网掩码:255.255.255.128,网段:218.18.18.1-218.18.18.126
LAN口的IP2:218.18.18.129,子网掩码:255.255.255.224,网段:192.168.0.129-192.168.0.159
共计容纳主机数目:126+30=156个
HIPER的WAN口:WAN口的IP地址:218.18.18.177,子网掩码:255.255.255.252,网关:218.18.18.178
4、 根据用户的需求,我们把电信的线路当成主线路来配置,而且用户希望内网的主机使用的是实际的电信分配的公网IP,那么主线路此时就不能启用NAT功能了,因为做成NAT模式后,其NAT在路由器后的IP地址可以说是假公网IP,所以这里我们必须要做成路由模式。我们必须要添加一条默认路由,指向上层电信的网关。
5、 做到这里以后,我们想一下数据包从内网主机发送出来的过程,数据包从主机(假设218.18.18.3)出来后被转发到默认的网关218.18.18.1(LAN口)上,此时路由器会检查自己的路由表发现默认网关是上层的电信,也就是218.18.18.178,那么数据包就被转发到电信的网关,至此完成了数据包到达公网的目的;当公网上的服务器对我的请求回应后,数据包会传送到电信的网关处,也就是218.18.18.178的时候,问题来了,218.18.18.178(电信网关)不知道218.18.18.3(主机)在哪里,因为在其只能看到218.18.18.177(WAN口),看不到218.18.18.3(主机),那这个时候怎么办?2种办法,1、你到电信的网关上面去加条路由,目的网段就是218.18.18.3(主机)的网段,网关就是路由器的WAN口(218.18.18.177),但是我相信你很难很难很难求到电信去给你加这条路由。所以我们采用办法2、在路由器的WAN口启用ARP代理功能。什么是ARP代理,ARP代理是通过使用一个主机(通常为router),来作为指定的设备对另一设备作出ARP请求的应答。
6、 配置网通线路,按照常规的配置步骤配置网通线路即可。
7、 配置内网主机,将内网主机的IP地址设置成218.18.18.1-218.18.18.126和192.168.0.129-192.168.0.159中任意一IP地址,网关统一设置为LAN口的第一个IP地址218.18.18.1。
1、 设备安装
将HiPER宽带安全网关接通电源,电信线路接入WAN端口,网通线路接入WAN2端口,LAN端口和内网交换机或者主机相连。
2、 软件生成网通路由
使用“网通路由配置生成”软件生成网通路由配置文件。
(下载页面:http://www.utt.com.cn/downloadcenter.php?filetypeid=6&productmodelid=-1)
网关IP地址:填入网通线路的网关221.10.170.1
绑定连接名:选择eth3
单击“生成路由配置”,在“网通路由配置生成”软件所在目录生成名称为“艾泰路由配置”的文本文件。如下图三:
 |
3、 将网通路由导入HiPER宽带安全网关
登录HiPER宽带安全网关的Web管理界面,在WebUI管理界面?系统管理?配置管理?恢复配置,单击“浏览”找到上一步生成的“艾泰路由配置”的文件,单击“加载”。如下图四:
 |
4、 配置电信、网通线路
在WebUI管理界面?基本配置?端口配置,将路由器LAN口配置完毕,如下图五
 |
在WebUI管理界面?基本配置?ISP配置? ISP配置,配置主线路接入上网图六
 |
在WebUI管理界面?高级配置?NAT和DMZ配置?NAT规则配置,编辑名称为ETHbind的默认NAT绑定,将其“绑定”选项设置为空图七
 |
在WebUI管理界面?基本配置?端口配置?WAN端口配置中,修改ARP代理为Enabled图八
 |
在WebUI管理界面?基本配置?ISP配置,选择“备份线路”,配置网通线路“固定IP接入”相关参数,并且“保存”。如下图九:
 |
5、 配置线路组合
在WebUI管理界面?基本配置?线路组合,线路组合方式选择“线路备份”,检测次数配置“8”(线路检测次数建议根据线路质量情况配置在3-15之间,线路质量越好配置的次数越小),其他参数不变。单击“保存”,如下图十:
 |
6、 配置内网主机
将内网主机的IP地址设置成218.18.18.1-218.18.18.126和192.168.0.129-192.168.0.159中任意一IP地址,网关统一设置为LAN口的第一个IP地址218.18.18.1。图十一
 |
7、 打开远程管理
为了方便对HiPER宽带安全网关进行远程管理,建议打开相关远程管理功能。
1)注意:按照此方法配置好主线路以后,默认的可以在Interner上面使用telnet和http来进行管理。图十二
 |
2)配置允许Internet用户通过网通线路IP地址访问HiPER安全网关:
在WebUI管理界面?基本配置?端口配置?LAN端口配置,查看当前LAN口配置,如下图,这里我们采用第二个IP地址218.18.18.129,当然您也可以采用第一个IP地址。图十三
 |
在WebUI管理界面?高级配置?NAT和DMZ配置?NAT静态映射,添加名称为“http1”的静态映射。单击“保存”,如下图:
NAT静态映射名:http1
协议:TCP
外部起始端口:8081
内部IP地址:218.18.18.129(填写上一步配置的LAN端口“IP地址2”)
内部起始端口:80
端口数量:1
NAT绑定:备份线路图十四
 |
在WebUI管理界面?高级配置?NAT和DMZ配置?NAT静态映射,添加名称为“telnet1”的静态映射。单击“保存”,如下图:
NAT静态映射名:telnet1
协议:TCP
外部起始端口:23
内部IP地址:192.168.200.1(填写上一步配置的LAN端口“IP地址2”)
内部起始端口:23
端口数量:1
NAT绑定:备份线路图十五
 |
8、 其他配置
1)修改默认管理员密码:
在WebUI管理界面?系统管理?管理员配置,在“管理员列表”中单击“Default”用户的“编辑,在“管理员配置中”两次输入新的管理员密码,其他配置不变。单击“保存”,如下图十六:
 |
2)校正系统时钟:
在WebUI管理界面?系统管理?时钟管理,选中“网络时钟同步”,其他配置不变。单击“保存”,如下图十七:
 |
注意事项
网通路由地址段信息处于不断增加过程中,艾泰科技会随时更新“网通路由配置生成”软件,并且更新在艾泰科技网站下载中心提供下载。
下载页面:(http://www.utt.com.cn/downloadcenter.php?filetypeid=6&productmodelid=-1)
新的“网通路由配置生成”生成的网通路由信息,可以通过命令行方式导入HiPER宽带安全网关。将新的“艾泰路由配置”文本文件的内容,复制到Windows的剪贴板中,在命令行模式下(附件1,怎样进入HiPER的命令行模式),粘贴刚才复制的内容。粘贴完毕后输入write命令并且回车,保存配置。如下图十八:
 |
附录1 怎样进入HiPER的命令行模式
1通过超级终端进入
(1)将串口线和计算机串口相连。
(2)运行windows?单击开始?程序?附件?通讯?超级终端,即可进入超级终端窗口。
(3)进入后超级终端后,请输入新建连接名称,单击确定。
(4)进入下一窗口,在“连接时使用”一项根据实际连接状况选择,单击确定。
(5)进入下一窗口,单击还原为默认值,如下:
每秒位数(B) 9600
数据位(D) 8
奇偶校验(P) 无
停止位(S) 1
数据流控制(F) 无
(6)进入下一窗口,直接输入回车键后,系统会显示欢迎信息和Login:提示符,输入正确的用户名和密码后,系统会显示提示符号和输入光标(hiper%_),表示登录成功。如输入错误的用户名/口令,系统会再次提示要求输入用户名/口令;如用户连续3 次输入用户名/口令错误,系统会断开本次连接。系统缺省的超级用户名为Default (区分大小写), 口令为空(或者用户自定义的密码),该用户拥有最高的权限。输入正确用户名和密码后,回车进入路由器配置界面。
2通过Telnet方式进入
将控制主机的IP地址设置成和HiPER路由器(出厂IP地址:192.168.16.1)在同一个网段,在DOS提示符下输入telnet 192.168.16.1(路由器的LAN口IP地址或者用户自定义的LAN口的IP地址),系统会显示欢迎信息和Login:提示符,输入正确的用户名和密码后,系统会显示提示符号和输入光标(hiper%_),表示登录成功。如输入错误的用户名/口令,系统会再次提示要求输入用户名/口令;如用户连续3 次输入用户名/口令错误,系统会断开本次连接。系统缺省的超级用户名为Default (区分大小写), 口令为空(或者用户自定义的密码),该用户拥有最高的权限。输入正确用户名和密码后,回车进入路由器配置界面。
