您好!對於Vigor 2920有些設定上的問題要麻煩門神大大您指導在下一番。
網路: 中華電信光世代10M/2M共2條,均分給36間套房使用。
(目前是買一台來打算先試用在其中的18間套房。)
架構:
Vigor 2920 接Zyxel ES-1124交換器(2台),每1台交換器分給9間房客使用。
問題:
1. 以學生宿舍來說,DoS攻擊防禦功能是否需要全部都開啟?
會否讓路由器負擔很大?或者開啟哪些必須功能即可?
2. 關於防火牆基本設定的「開始過濾器組別」預設是選在組別1、組別2,請問這項功能指的是什麼意思?
是指分別對其左方的呼叫過濾器(使用組別1)、資料過濾器(使用組別2)嗎?
3. 關於阻擋P2P:
(1) 當我在「過濾器設定」裡新增了組別3(要阻擋P2P),回到「基本設定」頁該在哪邊的選項選上組別3套用?
「IM/P2P過濾器」那項只有先前在CSM所設定的規則檔可套用(無組別3).
(2) 過濾器動作設定應選「立刻封鎖」或「若無符合其餘規則即通過」?(說明書看了不是很完全明白差異。)
(3) 當開啟IM/P2P過濾器時,若要在網頁下載某種子,會出現訊息阻擋訊息(The requested Web page has been blocked
by Application Enforcement CSM…),請問此訊息能否關閉或修改?
(4) 利用已先下載到電腦的一些種子,分別使用eMule 0.48a、BitTorrent 7.1、BitComet 1.24、迅雷Thunder v5.9.24.1506
測試四種P2P封鎖狀況時(P2P物件設定檔勾選封鎖全部且選擇上述之「立刻封鎖」),發現除了eMule能有效封鎖(連不上)外,
其他的BT軟體依然能下載,不過速度很慢就是了(大約1X左右不超過30kb/s),不知是何原因?跟上傳速率設限有關嗎?
(5) 頻寬管理設置: (下載8000Kbps上傳400Kbps NAT連線數1000),當連線數超過1000時,上述BT軟體關閉後,
為何連線數還是降得非常慢,過了20分鐘依然高達800上下,即使PC重開機依然?(除非路由器重啟)
4. 關於頻寬管理:
(1) 10M/2M網路由18間套房所分,如開放P2P下載的話,下載、上傳、NAT連線數建議該設置多少才能讓網路穩定運作?
若封鎖不開放P2P的話,又該設置多少才好呢?
(2) 另外,當連線數超過所設定數目時(ex.設1000),開啟IE只有出現普通的
「無法開啟網頁...」,並沒有出現範例所提到的紅牌(紅字)敘述?
5. 若我想要在自家住宅遠端登入管理路由器是否如」遠端撥入使用者如何利用 PPTP Tunnel 撥入 Vigor 路由器」
等等網頁所教的利用PPTP 或IPSec VPN即可達成?
6. 若要讓兩台路由器底下的兩個內網互通是要用VPN裡的LAN to LAN功能嗎?
7. Vigor 2920這台有類似網頁通告的功能嗎?
以上是這兩天使用上所遇到的問題,還望大大指導一番,謝謝。
[求助]宿舍網路之Vigor 2920設定問題
3 篇文章
• 第 1 頁 (共 1 頁)
[求助]宿舍網路之Vigor 2920設定問題
由 goetia » 週四 12月 9日, 2010年 12:55 am
- goetia
- 文章: 1
- 註冊時間: 週二 12月 7日, 2010年 12:45 pm
- 來自: 桃園
- 送出感謝: 0 次
- 擁有感謝: 0 次
Re: [求助]宿舍網路之Vigor 2920設定問題
由 門神 » 週四 12月 9日, 2010年 10:06 pm
麻煩您將
IP帳號跟密碼
Mail到help@ublink.org
我們先看過設定再解說
謝謝
IP帳號跟密碼
Mail到help@ublink.org
我們先看過設定再解說
謝謝
ps:求助順序請直接
(1)電洽 04-2260-5121 / 0963-685-121
(2)http://line.naver.jp/ti/p/%40xat.0000132120.jmw 技術客服 LINE
(3)問題請優先洽詢 help@ublink.org
Telegram 頻道 Channel https://t.me/ublinkorg 韌體更新發佈
其他線上聯絡方式,http://www.ublink.org/index.php/contact
(1)電洽 04-2260-5121 / 0963-685-121
(2)http://line.naver.jp/ti/p/%40xat.0000132120.jmw 技術客服 LINE
(3)問題請優先洽詢 help@ublink.org
Telegram 頻道 Channel https://t.me/ublinkorg 韌體更新發佈
其他線上聯絡方式,http://www.ublink.org/index.php/contact
Re: [求助]宿舍網路之Vigor 2920設定問題
由 門神 » 週五 12月 10日, 2010年 11:35 am
您好,今早整理一下您的問題,我們回答如下
此問答適用機型有些部份僅適用在Vigor 2920系列機型上面
其他機型請不要如法使用
一般學生宿舍我們建議是管越少越好
但是有許多業者觀念不同
他們認為第一關
先跟即將租屋的學生說明限制使用P2P的原則
當學生要租屋時就先挑選過學生了
這是他們的想法
不過在學生宿舍網路管理確實是需要注意幾個地方
1.學生電腦中毒問題
http://www.ublink.org/index.php/2010-02 ... -2008.html
2.網路Log記錄的問題
http://www.ublink.org/index.php/2010-02 ... yslog.html
3.網路內容記錄的問題
http://www.ublink.org/index.php/2010-02 ... nitor.html
4.網路電信警察要求調閱記錄的問題
http://www.ublink.org/index.php/2010-02 ... yslog.html
5.學生密碼被盜的問題
http://www.ublink.org/index.php/2010-02 ... -2008.html
您的問題如下
我們將回答放在問題的下方
-------------------
問題:
1. 以學生宿舍來說,DoS攻擊防禦功能是否需要全部都開啟?
會否讓路由器負擔很大?或者開啟哪些必須功能即可?
------>我們的建議是不需要開啟,他的原理是計次阻擋
比如TCP封包,每秒超過150個就阻擋
或是UDP封包,每秒超過150也是阻擋
比較常會碰到的問題是
DNS查詢被擋掉
因為學生常用很多的P2P軟體
或是網路看電視的軟體
因此UDP一般都會超量
如果堅持要開
我們建議將Enable UDP flood defense的每秒偵測數字調高到1000以上
2. 關於防火牆基本設定的「開始過濾器組別」預設是選在組別1、組別2,請問這項功能指的是什麼意思?
是指分別對其左方的呼叫過濾器(使用組別1)、資料過濾器(使用組別2)嗎?
------>呼叫過濾器(使用組別1)、資料過濾器(使用組別2)我們用英為來解說字義
Call Filter:意思是還沒進入資料傳輸程序的都算他,比如是PPPoE撥接的動作
因為這是Router/Firewall自己本身要連接上ISP,所以都算在Call Filter
Data Filter:這邊的意思是當Router/Firewall已經連上ISP
開始處理後端電腦比如192.168.1.10傳給168.95.192.1 UDP 53 Port要求查www.ublink.org的封包
這都開始視為是Data Filter
要注意的地方是
Default的處理順序是Data Filter處理從2-1到2-7就結束了
他並沒有自動往3-1前進
因此要手動在第2組的最後一條
一定要挑選跳往第3組
3. 關於阻擋P2P:
(1) 當我在「過濾器設定」裡新增了組別3(要阻擋P2P),回到「基本設定」頁該在哪邊的選項選上組別3套用?
「IM/P2P過濾器」那項只有先前在CSM所設定的規則檔可套用(無組別3).
------>建議參考範例說明:Vigor 2910系列和Vigor2920系列如何設定阻擋MSN登入
http://www.ublink.org/index.php/demo/15 ... 20msn.html
套用到防火牆的基本設定
就是沒有在1-2,2-2以後管理的
通通都算Firewall的Default Rule(防火牆>>基本設定)
(2) 過濾器動作設定應選「立刻封鎖」或「若無符合其餘規則即通過」?(說明書看了不是很完全明白差異。)
------>立刻封鎖就是符合條例的馬上就阻擋下來
若無符合其餘規則即通過,意思是:比如您定義192.168.1.10在2-2是此條例
但是2-3是通過
那麼192.168.1.10是以2-3為準
範例如:如何設定Vigor系列防火牆條例---先封鎖再開放(David提供)
http://www.ublink.org/index.php/demo/158-vigor-.html
(3) 當開啟IM/P2P過濾器時,若要在網頁下載某種子,會出現訊息阻擋訊息(The requested Web page has been blocked
by Application Enforcement CSM…),請問此訊息能否關閉或修改?
------>目前CSM沒有
目前可以定義的是CSM >> URL Content Filter Profile 和CSM >> Web Content Filter Profile
(4) 利用已先下載到電腦的一些種子,分別使用eMule 0.48a、BitTorrent 7.1、BitComet 1.24、迅雷Thunder v5.9.24.1506
測試四種P2P封鎖狀況時(P2P物件設定檔勾選封鎖全部且選擇上述之「立刻封鎖」),發現除了eMule能有效封鎖(連不上)外,
其他的BT軟體依然能下載,不過速度很慢就是了(大約1X左右不超過30kb/s),不知是何原因?跟上傳速率設限有關嗎?
------>設定錯誤也會造成通過
比如您在那個地方又開了那一個Port讓他對外
版本都是會變更的
不知道您目前的是那一版v3.3.3.1或是v3.3.6??
(5) 頻寬管理設置: (下載8000Kbps上傳400Kbps NAT連線數1000),當連線數超過1000時,上述BT軟體關閉後,
為何連線數還是降得非常慢,過了20分鐘依然高達800上下,即使PC重開機依然?(除非路由器重啟)
------>一般TCP回收會比較快
UDP回收會比較慢
這都有Default的定義時間
有興趣可以搜尋本討論區
可以將Session改為3000 TEST
4. 關於頻寬管理:
(1) 10M/2M網路由18間套房所分,如開放P2P下載的話,下載、上傳、NAT連線數建議該設置多少才能讓網路穩定運作?
若封鎖不開放P2P的話,又該設置多少才好呢?
------>可以參考範例:Vigor2920在學生宿舍的使用範例
http://www.ublink.org/index.php/demo/84 ... house.html
連線數3000可以不區分
(2) 另外,當連線數超過所設定數目時(ex.設1000),開啟IE只有出現普通的
「無法開啟網頁...」,並沒有出現範例所提到的紅牌(紅字)敘述?
------>這應該是Lan DNS沒設定
或是Firewall的DoS本身的UDP已經超過150
所以網頁已經來不及跳警告視窗了
5. 若我想要在自家住宅遠端登入管理路由器是否如」遠端撥入使用者如何利用 PPTP Tunnel 撥入 Vigor 路由器」
等等網頁所教的利用PPTP 或IPSec VPN即可達成?
------>建議使用PPTP方式
範例說明:04. 遠端撥入使用者如何利用 PPTP Tunnel 撥入 Vigor 路由器 ?
http://www.draytek.com.tw/user/SupportF ... .php?ID=43
6. 若要讓兩台路由器底下的兩個內網互通是要用VPN裡的LAN to LAN功能嗎?
------>Yes
範例說明:Vigor VPN的設定,如何設定一邊固定IP,一邊是浮動的動態IP建立起IPSec 或是PPTP VPN
http://www.ublink.org/index.php/compone ... p-vpn.html
7. Vigor 2920這台有類似網頁通告的功能嗎?
------>版本v3.3.6有
範例說明:Windows 2008 Server NPS網路原則與存取服務(Radius Server)研究與教學
http://www.ublink.org/index.php/compone ... erver.html
以上
如果還有其他問題
我們還是建議將IP和帳號和密碼
給我們help@ublink.org
此問答適用機型有些部份僅適用在Vigor 2920系列機型上面
其他機型請不要如法使用
一般學生宿舍我們建議是管越少越好
但是有許多業者觀念不同
他們認為第一關
先跟即將租屋的學生說明限制使用P2P的原則
當學生要租屋時就先挑選過學生了
這是他們的想法
不過在學生宿舍網路管理確實是需要注意幾個地方
1.學生電腦中毒問題
http://www.ublink.org/index.php/2010-02 ... -2008.html
2.網路Log記錄的問題
http://www.ublink.org/index.php/2010-02 ... yslog.html
3.網路內容記錄的問題
http://www.ublink.org/index.php/2010-02 ... nitor.html
4.網路電信警察要求調閱記錄的問題
http://www.ublink.org/index.php/2010-02 ... yslog.html
5.學生密碼被盜的問題
http://www.ublink.org/index.php/2010-02 ... -2008.html
您的問題如下
我們將回答放在問題的下方
-------------------
問題:
1. 以學生宿舍來說,DoS攻擊防禦功能是否需要全部都開啟?
會否讓路由器負擔很大?或者開啟哪些必須功能即可?
------>我們的建議是不需要開啟,他的原理是計次阻擋
比如TCP封包,每秒超過150個就阻擋
或是UDP封包,每秒超過150也是阻擋
比較常會碰到的問題是
DNS查詢被擋掉
因為學生常用很多的P2P軟體
或是網路看電視的軟體
因此UDP一般都會超量
如果堅持要開
我們建議將Enable UDP flood defense的每秒偵測數字調高到1000以上
2. 關於防火牆基本設定的「開始過濾器組別」預設是選在組別1、組別2,請問這項功能指的是什麼意思?
是指分別對其左方的呼叫過濾器(使用組別1)、資料過濾器(使用組別2)嗎?
------>呼叫過濾器(使用組別1)、資料過濾器(使用組別2)我們用英為來解說字義
Call Filter:意思是還沒進入資料傳輸程序的都算他,比如是PPPoE撥接的動作
因為這是Router/Firewall自己本身要連接上ISP,所以都算在Call Filter
Data Filter:這邊的意思是當Router/Firewall已經連上ISP
開始處理後端電腦比如192.168.1.10傳給168.95.192.1 UDP 53 Port要求查www.ublink.org的封包
這都開始視為是Data Filter
要注意的地方是
Default的處理順序是Data Filter處理從2-1到2-7就結束了
他並沒有自動往3-1前進
因此要手動在第2組的最後一條
一定要挑選跳往第3組
3. 關於阻擋P2P:
(1) 當我在「過濾器設定」裡新增了組別3(要阻擋P2P),回到「基本設定」頁該在哪邊的選項選上組別3套用?
「IM/P2P過濾器」那項只有先前在CSM所設定的規則檔可套用(無組別3).
------>建議參考範例說明:Vigor 2910系列和Vigor2920系列如何設定阻擋MSN登入
http://www.ublink.org/index.php/demo/15 ... 20msn.html
套用到防火牆的基本設定
就是沒有在1-2,2-2以後管理的
通通都算Firewall的Default Rule(防火牆>>基本設定)
(2) 過濾器動作設定應選「立刻封鎖」或「若無符合其餘規則即通過」?(說明書看了不是很完全明白差異。)
------>立刻封鎖就是符合條例的馬上就阻擋下來
若無符合其餘規則即通過,意思是:比如您定義192.168.1.10在2-2是此條例
但是2-3是通過
那麼192.168.1.10是以2-3為準
範例如:如何設定Vigor系列防火牆條例---先封鎖再開放(David提供)
http://www.ublink.org/index.php/demo/158-vigor-.html
(3) 當開啟IM/P2P過濾器時,若要在網頁下載某種子,會出現訊息阻擋訊息(The requested Web page has been blocked
by Application Enforcement CSM…),請問此訊息能否關閉或修改?
------>目前CSM沒有
目前可以定義的是CSM >> URL Content Filter Profile 和CSM >> Web Content Filter Profile
(4) 利用已先下載到電腦的一些種子,分別使用eMule 0.48a、BitTorrent 7.1、BitComet 1.24、迅雷Thunder v5.9.24.1506
測試四種P2P封鎖狀況時(P2P物件設定檔勾選封鎖全部且選擇上述之「立刻封鎖」),發現除了eMule能有效封鎖(連不上)外,
其他的BT軟體依然能下載,不過速度很慢就是了(大約1X左右不超過30kb/s),不知是何原因?跟上傳速率設限有關嗎?
------>設定錯誤也會造成通過
比如您在那個地方又開了那一個Port讓他對外
版本都是會變更的
不知道您目前的是那一版v3.3.3.1或是v3.3.6??
(5) 頻寬管理設置: (下載8000Kbps上傳400Kbps NAT連線數1000),當連線數超過1000時,上述BT軟體關閉後,
為何連線數還是降得非常慢,過了20分鐘依然高達800上下,即使PC重開機依然?(除非路由器重啟)
------>一般TCP回收會比較快
UDP回收會比較慢
這都有Default的定義時間
有興趣可以搜尋本討論區
可以將Session改為3000 TEST
4. 關於頻寬管理:
(1) 10M/2M網路由18間套房所分,如開放P2P下載的話,下載、上傳、NAT連線數建議該設置多少才能讓網路穩定運作?
若封鎖不開放P2P的話,又該設置多少才好呢?
------>可以參考範例:Vigor2920在學生宿舍的使用範例
http://www.ublink.org/index.php/demo/84 ... house.html
連線數3000可以不區分
(2) 另外,當連線數超過所設定數目時(ex.設1000),開啟IE只有出現普通的
「無法開啟網頁...」,並沒有出現範例所提到的紅牌(紅字)敘述?
------>這應該是Lan DNS沒設定
或是Firewall的DoS本身的UDP已經超過150
所以網頁已經來不及跳警告視窗了
5. 若我想要在自家住宅遠端登入管理路由器是否如」遠端撥入使用者如何利用 PPTP Tunnel 撥入 Vigor 路由器」
等等網頁所教的利用PPTP 或IPSec VPN即可達成?
------>建議使用PPTP方式
範例說明:04. 遠端撥入使用者如何利用 PPTP Tunnel 撥入 Vigor 路由器 ?
http://www.draytek.com.tw/user/SupportF ... .php?ID=43
6. 若要讓兩台路由器底下的兩個內網互通是要用VPN裡的LAN to LAN功能嗎?
------>Yes
範例說明:Vigor VPN的設定,如何設定一邊固定IP,一邊是浮動的動態IP建立起IPSec 或是PPTP VPN
http://www.ublink.org/index.php/compone ... p-vpn.html
7. Vigor 2920這台有類似網頁通告的功能嗎?
------>版本v3.3.6有
範例說明:Windows 2008 Server NPS網路原則與存取服務(Radius Server)研究與教學
http://www.ublink.org/index.php/compone ... erver.html
以上
如果還有其他問題
我們還是建議將IP和帳號和密碼
給我們help@ublink.org
ps:求助順序請直接
(1)電洽 04-2260-5121 / 0963-685-121
(2)http://line.naver.jp/ti/p/%40xat.0000132120.jmw 技術客服 LINE
(3)問題請優先洽詢 help@ublink.org
Telegram 頻道 Channel https://t.me/ublinkorg 韌體更新發佈
其他線上聯絡方式,http://www.ublink.org/index.php/contact
(1)電洽 04-2260-5121 / 0963-685-121
(2)http://line.naver.jp/ti/p/%40xat.0000132120.jmw 技術客服 LINE
(3)問題請優先洽詢 help@ublink.org
Telegram 頻道 Channel https://t.me/ublinkorg 韌體更新發佈
其他線上聯絡方式,http://www.ublink.org/index.php/contact
3 篇文章
• 第 1 頁 (共 1 頁)
誰在線上
正在瀏覽這個版面的使用者:沒有註冊會員 和 32 位訪客