UBLink技術團隊討論區

您好！對於Vigor 2920有些設定上的問題要麻煩門神大大您指導在下一番。

網路: 中華電信光世代10M/2M共2條，均分給36間套房使用。
(目前是買一台來打算先試用在其中的18間套房。)

架構:
Vigor 2920 接Zyxel ES-1124交換器(2台)，每1台交換器分給9間房客使用。

問題:
1. 以學生宿舍來說，DoS攻擊防禦功能是否需要全部都開啟？
會否讓路由器負擔很大？或者開啟哪些必須功能即可？


2. 關於防火牆基本設定的「開始過濾器組別」預設是選在組別1、組別2，請問這項功能指的是什麼意思？
是指分別對其左方的呼叫過濾器(使用組別1)、資料過濾器(使用組別2)嗎？


3. 關於阻擋P2P：
(1) 當我在「過濾器設定」裡新增了組別3(要阻擋P2P)，回到「基本設定」頁該在哪邊的選項選上組別3套用？
「IM/P2P過濾器」那項只有先前在CSM所設定的規則檔可套用(無組別3).

(2) 過濾器動作設定應選「立刻封鎖」或「若無符合其餘規則即通過」？(說明書看了不是很完全明白差異。)

(3) 當開啟IM/P2P過濾器時，若要在網頁下載某種子，會出現訊息阻擋訊息(The requested Web page has been blocked
by Application Enforcement CSM…)，請問此訊息能否關閉或修改？

(4) 利用已先下載到電腦的一些種子，分別使用eMule 0.48a、BitTorrent 7.1、BitComet 1.24、迅雷Thunder v5.9.24.1506
測試四種P2P封鎖狀況時(P2P物件設定檔勾選封鎖全部且選擇上述之「立刻封鎖」)，發現除了eMule能有效封鎖(連不上)外，
其他的BT軟體依然能下載，不過速度很慢就是了(大約1X左右不超過30kb/s)，不知是何原因？跟上傳速率設限有關嗎？

(5) 頻寬管理設置: (下載8000Kbps上傳400Kbps NAT連線數1000)，當連線數超過1000時，上述BT軟體關閉後，
為何連線數還是降得非常慢，過了20分鐘依然高達800上下，即使PC重開機依然？(除非路由器重啟)


4. 關於頻寬管理：
(1) 10M/2M網路由18間套房所分，如開放P2P下載的話，下載、上傳、NAT連線數建議該設置多少才能讓網路穩定運作？
若封鎖不開放P2P的話，又該設置多少才好呢？

(2) 另外，當連線數超過所設定數目時(ex.設1000)，開啟IE只有出現普通的
「無法開啟網頁...」，並沒有出現範例所提到的紅牌(紅字)敘述？


5. 若我想要在自家住宅遠端登入管理路由器是否如」遠端撥入使用者如何利用 PPTP Tunnel 撥入 Vigor 路由器」
等等網頁所教的利用PPTP 或IPSec VPN即可達成？


6. 若要讓兩台路由器底下的兩個內網互通是要用VPN裡的LAN to LAN功能嗎？


7. Vigor 2920這台有類似網頁通告的功能嗎？


以上是這兩天使用上所遇到的問題，還望大大指導一番，謝謝。

麻煩您將

IP帳號跟密碼
Mail到help@ublink.org

我們先看過設定再解說

謝謝

您好,今早整理一下您的問題,我們回答如下
此問答適用機型有些部份僅適用在Vigor 2920系列機型上面
其他機型請不要如法使用

一般學生宿舍我們建議是管越少越好
但是有許多業者觀念不同

他們認為第一關
先跟即將租屋的學生說明限制使用P2P的原則
當學生要租屋時就先挑選過學生了
這是他們的想法

不過在學生宿舍網路管理確實是需要注意幾個地方
1.學生電腦中毒問題
http://www.ublink.org/index.php/2010-02 ... -2008.html
2.網路Log記錄的問題
http://www.ublink.org/index.php/2010-02 ... yslog.html
3.網路內容記錄的問題
http://www.ublink.org/index.php/2010-02 ... nitor.html
4.網路電信警察要求調閱記錄的問題
http://www.ublink.org/index.php/2010-02 ... yslog.html
5.學生密碼被盜的問題
http://www.ublink.org/index.php/2010-02 ... -2008.html


您的問題如下
我們將回答放在問題的下方
-------------------
問題:
1. 以學生宿舍來說，DoS攻擊防禦功能是否需要全部都開啟？
會否讓路由器負擔很大？或者開啟哪些必須功能即可？

------>我們的建議是不需要開啟,他的原理是計次阻擋
比如TCP封包,每秒超過150個就阻擋
或是UDP封包,每秒超過150也是阻擋
比較常會碰到的問題是
DNS查詢被擋掉
因為學生常用很多的P2P軟體
或是網路看電視的軟體
因此UDP一般都會超量
如果堅持要開
我們建議將Enable UDP flood defense的每秒偵測數字調高到1000以上

2. 關於防火牆基本設定的「開始過濾器組別」預設是選在組別1、組別2，請問這項功能指的是什麼意思？
是指分別對其左方的呼叫過濾器(使用組別1)、資料過濾器(使用組別2)嗎？

------>呼叫過濾器(使用組別1)、資料過濾器(使用組別2)我們用英為來解說字義
Call Filter:意思是還沒進入資料傳輸程序的都算他,比如是PPPoE撥接的動作
因為這是Router/Firewall自己本身要連接上ISP,所以都算在Call Filter
Data Filter:這邊的意思是當Router/Firewall已經連上ISP
開始處理後端電腦比如192.168.1.10傳給168.95.192.1 UDP 53 Port要求查www.ublink.org的封包
這都開始視為是Data Filter
要注意的地方是
Default的處理順序是Data Filter處理從2-1到2-7就結束了
他並沒有自動往3-1前進
因此要手動在第2組的最後一條
一定要挑選跳往第3組


3. 關於阻擋P2P：
(1) 當我在「過濾器設定」裡新增了組別3(要阻擋P2P)，回到「基本設定」頁該在哪邊的選項選上組別3套用？
「IM/P2P過濾器」那項只有先前在CSM所設定的規則檔可套用(無組別3).

------>建議參考範例說明:Vigor 2910系列和Vigor2920系列如何設定阻擋MSN登入
http://www.ublink.org/index.php/demo/15 ... 20msn.html
套用到防火牆的基本設定
就是沒有在1-2,2-2以後管理的
通通都算Firewall的Default Rule(防火牆>>基本設定)


(2) 過濾器動作設定應選「立刻封鎖」或「若無符合其餘規則即通過」？(說明書看了不是很完全明白差異。)

------>立刻封鎖就是符合條例的馬上就阻擋下來
若無符合其餘規則即通過,意思是:比如您定義192.168.1.10在2-2是此條例
但是2-3是通過
那麼192.168.1.10是以2-3為準
範例如:如何設定Vigor系列防火牆條例---先封鎖再開放(David提供)
http://www.ublink.org/index.php/demo/158-vigor-.html


(3) 當開啟IM/P2P過濾器時，若要在網頁下載某種子，會出現訊息阻擋訊息(The requested Web page has been blocked
by Application Enforcement CSM…)，請問此訊息能否關閉或修改？

------>目前CSM沒有
目前可以定義的是CSM >> URL Content Filter Profile 和CSM >> Web Content Filter Profile

(4) 利用已先下載到電腦的一些種子，分別使用eMule 0.48a、BitTorrent 7.1、BitComet 1.24、迅雷Thunder v5.9.24.1506
測試四種P2P封鎖狀況時(P2P物件設定檔勾選封鎖全部且選擇上述之「立刻封鎖」)，發現除了eMule能有效封鎖(連不上)外，
其他的BT軟體依然能下載，不過速度很慢就是了(大約1X左右不超過30kb/s)，不知是何原因？跟上傳速率設限有關嗎？

------>設定錯誤也會造成通過
比如您在那個地方又開了那一個Port讓他對外
版本都是會變更的
不知道您目前的是那一版v3.3.3.1或是v3.3.6??

(5) 頻寬管理設置: (下載8000Kbps上傳400Kbps NAT連線數1000)，當連線數超過1000時，上述BT軟體關閉後，
為何連線數還是降得非常慢，過了20分鐘依然高達800上下，即使PC重開機依然？(除非路由器重啟)

------>一般TCP回收會比較快
UDP回收會比較慢
這都有Default的定義時間
有興趣可以搜尋本討論區
可以將Session改為3000 TEST


4. 關於頻寬管理：
(1) 10M/2M網路由18間套房所分，如開放P2P下載的話，下載、上傳、NAT連線數建議該設置多少才能讓網路穩定運作？
若封鎖不開放P2P的話，又該設置多少才好呢？

------>可以參考範例:Vigor2920在學生宿舍的使用範例
http://www.ublink.org/index.php/demo/84 ... house.html
連線數3000可以不區分


(2) 另外，當連線數超過所設定數目時(ex.設1000)，開啟IE只有出現普通的
「無法開啟網頁...」，並沒有出現範例所提到的紅牌(紅字)敘述？

------>這應該是Lan DNS沒設定
或是Firewall的DoS本身的UDP已經超過150
所以網頁已經來不及跳警告視窗了


5. 若我想要在自家住宅遠端登入管理路由器是否如」遠端撥入使用者如何利用 PPTP Tunnel 撥入 Vigor 路由器」
等等網頁所教的利用PPTP 或IPSec VPN即可達成？

------>建議使用PPTP方式
範例說明:04. 遠端撥入使用者如何利用 PPTP Tunnel 撥入 Vigor 路由器 ?
http://www.draytek.com.tw/user/SupportF ... .php?ID=43


6. 若要讓兩台路由器底下的兩個內網互通是要用VPN裡的LAN to LAN功能嗎？

------>Yes
範例說明:Vigor VPN的設定,如何設定一邊固定IP,一邊是浮動的動態IP建立起IPSec 或是PPTP VPN
http://www.ublink.org/index.php/compone ... p-vpn.html


7. Vigor 2920這台有類似網頁通告的功能嗎？

------>版本v3.3.6有
範例說明:Windows 2008 Server NPS網路原則與存取服務(Radius Server)研究與教學
http://www.ublink.org/index.php/compone ... erver.html

以上
如果還有其他問題
我們還是建議將IP和帳號和密碼
給我們help@ublink.org