2012年11月19日 星期一

原廠沒教的事:Vigor2960雙WAN口安全防火牆路由器-multi-WAN設定和切內部VLAN

Vigor2960雙WAN口安全防火牆路由器

  • 管理高速網路
  • 支援雙WAN口並作網路負載平衡/備援
  • 強大的防火牆提供企業更大的保障
  • 支援200條VPN虛擬通道
  • 支援IPv6
  • 支援 Smart Monitor網路側錄功能 (可管理100台PC)
  • 支援TR-069 相容VigorACSSI中央管理系統

gigaipv6vpncsmwcf

firewallbandwidth-mgmt

本次的操作重點:

1.HiNet光纖固6 IP與HiNet ADSL固4 IP建立Failover。

2.建VLAN,切開內部上網和對外網頁伺服器。

3.內部電腦接在Port 1 ,透過FTTx上網。對外網頁伺服器接在Port 4,透過FTTx提供網站服務。互相走的IP不同。

init-1

一、建立WAN 1和WAN 2的Failover備援

Fail over是當Router偵測到WAN 1斷線後,會即時切換到WAN 2,讓內部的電腦可以繼續使用聯外網路,不致於停擺。建議盡量不要使用同一家的線路,例如WAN1是中華電信光纖,WAN2就可以拉有線電視網路或ADSL。如果兩個WAN都要拉光纖,可先詢問兩家ISP業者是否連線到同一機房。以避免機房跳機造成無法備援。

登入管理介面,輸入帳號密碼

2012-11-19_144102

目前使用的版本

2012-11-19_144134

點擊WAN,基本設定

2012-11-19_144145

先設定好WAN 1和WAN 2的IP

2012-11-19_153951

左邊WAN,點擊”負載平衡”

2012-11-19_152242

配置量,點擊新增

2012-11-19_152307

設定檔名稱自己取,模式選Failover

2012-11-19_152320

備援,如下圖。當wan1斷線時自動切換到wan2

2012-11-19_152337

完成後按下套用,設定值生效。


二、建立multi-wan,切開內部電腦上網和網頁伺服器

multi-wan的好處是同一個wan port可以模擬出許多的實體wan port,不需額外加裝switch或hub。

首先要來設定multi-wan,點擊WAN的基本設定。

2012-11-19_144145

(1)點一下wan1 (2)按下編輯

2012-11-19_144509

固定,輸入IP地址,這是要給內部電腦上網用的IP,下方的IP別名,新增後輸入給網頁伺服器用的IP。因為申請的是光世代固6 IP,所以可以在IP別名中輸入5個IP,但目前僅用來做網頁服務,所以填入一個就可以了。完成後按下套用。

2012-11-19_144803

到此完成multi-wan的設定


三、建立VLAN,切開內部電腦上網和網頁伺服器

VLAN的好處是讓內部的電腦和網頁伺服器分開走不同的網段,可避免駭客透過網頁伺服器當跳板攻擊內部的電腦。也可避免內部電腦中毒後持續攻擊網頁伺服器。

最上方的圖示,將內部電腦群組設定在VLAN 1,透過Port 1,連接FTTx的固定210.66.210.51連線上網。網頁伺服器放在VLAN 2,透過Port 4,連接FTTx的固定210.66.210.50對外服務。

點擊LAN,基本設定。

2012-11-19_150634

預設已經有一個lan1,無需動他,按下新增。

2012-11-19_150651

輸入設定檔名稱,這裡為lan2,輸入VLAN ID,IP位址的地方輸入v2960要使用的,例如192.168.2.1。其餘不需輸入,按下套用。

2012-11-19_150719

接著到交換器的地方

2012-11-19_160645

點一下預設的VLAN,按下編輯

2012-11-19_160605

成員裡面LAN_Port_4取消打勾,未標記裡面LAN_Port_4取消打勾。按下套用。LAN_Port1~4分別指向2960上的實體埠

2012-11-19_1608192012-11-19_160834

回過頭來,按下新增。

2012-11-19_160605

輸入VLAN ID,在此是輸入15。成員的地方僅留LAN_Port_4,其餘皆不打勾。下方位標記亦同。完成後按下套用。

2012-11-19_161158

到此完成內部VLAN的建立,port1~3為VLAN10,port4為VLAN15。設定好了後設備必須重新啟動以生效。

2012-11-19_161355


四、分開內部電腦上網和網頁伺服器走的IP

接下來我們要讓內部的電腦使用210.66.210.51上網,而網頁伺服器使用的是210.66.210.50聯外,各走各的路。

LAN,點擊固定路由

2012-11-19_161737

點擊新增

2012-11-19_161949

設定檔名稱自己取,啟用打勾,目標IP位址輸入網頁伺服器的內部IP,閘道輸入之前設定好的2960位址,WAN/LAN設定檔下拉選取lan2,Metric輸入任意數字,在此輸入10,表示10公尺。按下套用。

2012-11-19_162614

回到下圖,真實網路-虛擬網路互通路由,這裡啟用不打勾。如果啟用的話,LAN1和LAN2就可以互通,目前無此需求。

2012-11-19_162956

接下來到NAT,點擊通訊埠重導向。

2012-11-19_163821

我們要將80 port從外部210.66.210.50轉到內部的192.168.2.2。按下新增。

2012-11-19_163937

設定檔名稱自己取,啟用打勾,介面wan1,IP別名下拉選取Single_Alias,別名IP選取剛剛設定好的,虛擬IP輸入192.168.2.2,對應模式為One-to-One 一對一,起始埠號80,內部的虛擬埠號80,按下套用。

2012-11-19_164106

回來看已經增加一筆設定

2012-11-19_164426

接著到NAT,位址對應

2012-11-19_164822

新增一筆設定

2012-11-19_164910

設定檔名稱自己取,虛擬IP的地方輸入192.168.2.1,通訊協定為All,使用IP別名,下方的ip別名下拉選取,然後按下套用。

2012-11-19_164950

這樣從192.168.2.X來的資料就會從210.66.210.50出去了。

2012-11-19_165203

到此完成設定,並達到我們的要求,讓內部電腦VLAN1使用210.66.210.51連上網,192.168.2.X網段VLAN2的電腦使用210.66.210.50連上網,網頁伺服器透過轉port的方式將80port提供給外部連網站。

此設定方式原廠並未提供,故若有疏漏的部分,請依照原廠公布設定值為依據。

6 則留言:

  1. 你好~可否跟您請教一下,因為原本此台的韌體跟您一樣,所以照您的設定都可以剛剛好OK,可是最近因SSL VPN問題,官方建議我升級到1.0.9,並且重新恢復預設值,結果設定到最後,就是找不到"NAT底下的位址對應",不知您有碰到此問題,因為還是想設定成跟教學一樣,特定VLAN就從某固IP出去~

    回覆刪除
  2. 我的也已經升級到1.0.9,不過沒有重新恢復預設值。"NAT的位址對應"名稱已經改為"通訊埠重導向",其他設定步驟不變。

    回覆刪除
    回覆
    1. Max兄,請教一下,您說名稱已改成"通訊埠重導向",是指上面步驟裡將"將80 port從外部210.66.210.50轉到內部的192.168.2.2",所以只要做完這步驟就已經可以達到您文末說的"讓內部電腦VLAN1使用210.66.210.51連上網,192.168.2.X網段VLAN2的電腦使用210.66.210.50連上網,網頁伺服器透過轉port的方式將80port提供給外部連網站。"是嗎?

      刪除
    2. 是的,只是"通訊埠重導向"的名稱改變了,內容設定步驟仍一樣。

      刪除
  3. 因為公司內的環境剛好與您的範例相同,因此之前都照著步驟之前就OK了,小弟是設定好後,利用那種偵測對外連線IP的網頁去測試,而所顯示出來的IP是原本要設定為上網的那組,而並非是別名中的那組,但從外部做遠端連線或網頁部分,都是有正確的~(利用別名那組連)

    回覆刪除
    回覆
    1. 用外部連線測試是最準的,內部的測試需開啟"路由設定->固定路由",啟用web的設定檔,就可以從192.168.1.x去連192.168.2.2,一般我是關掉有需要才去開啟。避免當web server被攻陷後當跳板進入192.168.1.x的網段。

      刪除