网件路由器防火墙怎么设置
网件路由器防火墙怎么设置
网件netgear长期致力于为企业用户与SOHO用户提供简便易用并具有强大功能的网络综合解决方案,那么你知道网件路由器防火墙怎么设置吗?下面是学习啦小编整理的一些关于网件路由器防火墙设置的相关资料,供你参考。
网件路由器防火墙设置的方法
IPv6定义于RFC2460,对于NETGEAR防火墙设备,需要进入管理界面Network Configuration > WAN Settings > WAN Mode 选中IPv4 / IPv6 mode 以开启双栈(Dual-stack)模式,再行设置IPv6相关功能;对于家用路由器设备,仅需在ADVANCED > Advanced Setup > IPv6下将默认的 Disabled 选为对应模式即可.可支持的接入模式按对应关系列表如下:
SOHO Router | Firewall |
DHCP/ Auto Config | DHCPv6 |
Fixed | Static IPv6 |
PPPoE | PPPoE |
6to4 Tunnel | 6to4 Tunneling |
-- | ISATAP Tunnels |
Pass Through | -- |
Auto Detect | -- |
对于NETGEAR家用路由器,有两个特殊模式:Pass Through, Auto Detect 我们将放在本文的最后介绍,以下每个段落将对应一个功能.
首先是隧道 6to4 Tunneling
IPv6to4适用于将IPv6孤岛通过纯IPv4网络接入其他IPv6区域,这是一种点到多点连接.6to4的定义由RFC3056提供。
对于防火墙设备
进入Network Configuration > WAN Settings > WAN Mode 选中IPv4 / IPv6 mode 以开启双栈(Dual-stack)模式
在开启 6to4 前要保证设备WAN口为静态IP地址.进入Network Configuration > WAN Settings > Broadband ISP Settings 设置。
开启 6to4 隧道,进入 Network Configuration > WAN Settings > 6to4 Tunneling
勾选 Enable Automatic Tunneling
点击APPLY以应用
如果内网没有部署状态化DHCPv6服务器,需要启用防火墙的RADVD守护进程(Router Advertisement Daemon),设置过程参考附录7,本例中,Type选为6to4,此时Prefix将以IANA对6to4的分配方式生成, SLA ID与Lifetime可以手工输入。
防火墙LAN侧收到上述Prefix宣告后会根据EUI-64规则生成Interface ID.
最后要做的是写一个发往6to4对端ipv6地址的静态路由
进入 Network Configuration > Routing
单选IPv6
点击Add添加
Destination可以写成2002::/16或按需填写
Interface 要选择sit Tunnel
Gateway填写Tunnel对端IPv6地址
点击APPLY以应用
对于家用路由器
进入 ADVANCED > Advanced Setup > IPv6
选择 6to4 Tunnel
Remote 6to4 Relay Router, 如果您的ISP支持其自己的中继路由器地址,您可以在Static IP Address 输入地址.也可以保留"Auto",路由器将使用任何可用的地址.
LAN Setup可以选择IP Address Assignment方式(DHCPv6或Auto Config),此处设置的是您希望的内网设备获取IP地址的方式.
LAN Setup的另一个选项是Use This Interface ID,可以在勾选复选框后将自定义接口ID输入文本框内.
路由器将自动创建隧道并生成路由条目,毋需手工设置.
需要说明的是
IETF定义的6to4是一种点对多点隧道,应允许使用更少的配置步骤自动连接多个IPv6孤岛,既然6to4不像手工隧道(手工隧道技术不在NETGEAR设备支持范围内)一样需要配置对端IP地址,那么6to4隧道的IPv6地址一定与其出口IPv4地址存在某种关联;
根据IANA的分配,2002::/16被保留给6to4隧道,并按照2002:IPv4address:EUI-64(或2002:IPv4address:ManuallyInterfaceID)的规则生成IPv6地址(定义于RFC2056)。
由于上述两个原因,被连接的多个IPv6孤岛在IPv4层面上必须路由可达。也就是说,如果您试图连接的是一个在广域网上的IPv6孤岛或IPv6中继设备,则您正在配置的路由器或防火墙的WAN口必须有一个广域网地址。
例子
第一个例子我们将使用如下拓扑
本例中我们连接到某跨国公司提供的公共6to4中继路由器(RelayServer),这是一个非典型应用,可以理解为是例子二的一个特殊情。
这个例子考虑的场景是您的WNDR3700v3只能接入到IPv4网络,我们借用6to4技术与中继服务器访问IPv6资源。另外在附录8中可以看到关于本例的详细解释和扩展资料。
考虑到安全(避免泄露MAC地址)与管理需求,也可以使用自定义路由器LAN的interface ID以代替使用EUI-64规则生成的接口ID,本例中我们将接口ID改为17e7:9ea2,此时接入LAN侧的PC有2种方式获取IPv6地址,一个是默认的自动配置,另一种是使用熟悉的DHCPv6(实际上这与IPv4版本的DHCP有所不同),后文我们将讨论这两个选项间的差异,目前需要注意的是,此时路由器并不作为完整的DHCPv6服务器,其没有地址池与其他选项可以设置.最后我们验证连通性:
第二个例子我们将使用如下拓扑
这个例子是6to4技术最开始计划的样子,通过纯粹的IPv4网络连接几个IPv6孤岛,本例中两个路由设备的出口地址在同一网段,在实际环境中这两个地址仅需路由可达.
本拓扑的配置方式与技术参数与例子一并无明显差别,此处不再敷述.可以关注的是PC1在ping WNDR4000时WAN侧抓包的情况。
此时IPv6被封装在IPv4包中并传输,对等设备会在收到数据包后解封成IPv6包继续传输。
可以在PC1上验证连通性
另一个隧道ISATAP(Intra-Site Automatic Tunnel Addressing Protocol) Tunnels
ISATAP Tunnels的支持情况目前仅限于FVS318N与SRX5308,家用设备暂不支持.其为两个双栈设备的连通提供隧道, 主要为双栈主机提供通过IPv4网络接入IPv6的服务,并如该协议的名字Intra-Site一样,仅为站内提供隧道,每个IPv4地址均与IPv6地址有某种对应关系(IPv4地址被用于IPv6地址接口ID的一部分).定义于RFC5214。
配置方式
进入Network Configuration > WAN Settings > WAN Mode 选中IPv4 / IPv6 mode 以开启双栈(Dual-stack)模式
进入 Network Configuration > WAN Settings > ISATAP Tunnels
点击 Add 添加条目
在ISATAP Subnet Prefix处输入一个64位的前缀,这将成为逻辑ISATAP子网的前缀。
Local End Point Address 选择为隧道节点路由器侧的IPv4地址,”LAN”意为使用Default VLAN虚接口地址,选择Other IP则手工输入。
如果 Local End Point Address 选择了Other IP, 则在IPv4 Address处手工填写。
例子
拓扑图如下
此拓扑应用的场景是出口防火墙外网连接IPv6网络,
内网是IPv4环境,大部分终端设备为IPv4设备,部分设备如PC1是双栈设备,这些双栈设备希望通过ISATAP隧道连接到IPv6网络。
在FVS318N开通IPv6/IPv4双栈后,进入Network Configuration > WAN Settings > ISATAP Tunnels添加条目,本例中我们设置隧道的前缀为2002:b72f:f475:e473::/64,IPv4设置成Default Vlan IPv4地址,完成配置:
此时PC要对应设置ISATAP隧道以无状态生成IPv6地址,本例中PC1我们使用一台Win XP,根据实际使用OS不同,操作命令略有差异,在此实验环境中,我们同样尝试使用了Win 7与Win 8,均运转正常:
C:\Documents and Settings\ vicissi > C:\Documents and Settings\vicissi>netsh netsh>interface ipv6 isatap netsh interface ipv6 isatap>set router 192.168.1.1 确定。 netsh interface ipv6 isatap>set sta enable netsh interface ipv6 isatap>ipv6
接口 6:Teredo Tunneling Pseudo-Interface 地址类型 DAD 状态 有效寿命 首选寿命 地址 接口 5:本地连接 14 地址类型 DAD 状态 有效寿命 首选寿命 地址 接口 4:无线网络连接 16 地址类型 DAD 状态 有效寿命 首选寿命 地址 接口 2: Automatic Tunneling Pseudo-Interface 地址类型 DAD 状态 有效寿命 首选寿命 地址 接口 1:Loopback Pseudo-Interface 地址类型 DAD 状态 有效寿命 首选寿命 地址 netsh interface ipv6> |
静态或手工指定地址Fixed(Static IPv6)
这意味着要手工指定LAN与WAN侧的IPv6地址。需要注意的是,由于IPv6拥有足够多的地址空间,已经不再需要NAT或PAT,IPv6消除了地址转换,虽然在过渡期有4与6的地址转换技术(例如NAT64,NAT-PT,TRT,6RD或DS-Lite),但NETGEAR的路由器暂不对上述技术提供支持,此时设备只作为IPv6路由器。
对于防火墙
进入Network Configuration > WAN Settings > WAN Mode 选中IPv4 / IPv6 mode 以开启双栈(Dual-stack)模式
进入Network Configuration > WAN Settings > Broadband ISP Settings
在屏幕右上角单选IPv6以切换到WAN IPv6设置模式
将IPv6下拉菜单选为Static IPv6
在Static IP Address处填写IPv6 Address;IPv6 Prefix Length; Default IPv6 Gateway; Primary DNS Server; Secondary DNS Server
点击Apply应用配置。
对于家用路由设备
点击进入 ADVANCED > Advanced Setup > IPv6
在 Internet Connection Type下拉菜单中选择 Fixed
填写 IPv6 Address/Prefix Length; Default IPv6 Gateway;Primary DNS; Secondary DNS
对于LAN的设置可以参考前文中6to4隧道部分例子一的相关内容。
点击Apply应用配置。
例子
这个拓扑使用纯IPv6网络,地址的前48位为2001:17e7:9ea2,意为NETGEAR(参考附录8),接下来的16位从左到右为2,0和1,代表区域,各个设备使用设备型号318和3700,两台PC以1和2作为接口ID。