[求助]宿舍網路之Vigor 2920設定問題
整理一下您的問題,我們回答如下
此問答適用機型有些部份僅適用在Vigor 2920系列機型上面
其他機型請不要如法使用
一般學生宿舍我們建議是管越少越好
但是有許多業者觀念不同
他們認為第一關
先跟即將租屋的學生說明限制使用P2P的原則
當學生要租屋時就先挑選過學生了
這是他們的想法
不過在學生宿舍網路管理確實是需要注意幾個地方
1.學生電腦中毒問題
http://www.ublink.org/index.php/2010-02-27-09-11-23/switch/ubs-2008.html
2.網路Log記錄的問題
http://www.ublink.org/index.php/2010-02-27-09-11-23/vigor/draytek-syslog.html
3.網路內容記錄的問題
http://www.ublink.org/index.php/2010-02-27-09-11-23/vigor-other/vigor-smartmonitor.html
4.網路電信警察要求調閱記錄的問題
http://www.ublink.org/index.php/2010-02-27-09-11-23/vigor/draytek-syslog.html
5.學生密碼被盜的問題
http://www.ublink.org/index.php/2010-02-27-09-11-23/switch/ubs-2008.html
您的問題如下
我們將回答放在問題的下方
-------------------
問題:
1. 以學生宿舍來說,DoS攻擊防禦功能是否需要全部都開啟?
會否讓路由器負擔很大?或者開啟哪些必須功能即可?
------>我們的建議是不需要開啟,他的原理是計次阻擋
比如TCP封包,每秒超過150個就阻擋
或是UDP封包,每秒超過150也是阻擋
比較常會碰到的問題是
DNS查詢被擋掉
因為學生常用很多的P2P軟體
或是網路看電視的軟體
因此UDP一般都會超量
如果堅持要開
我們建議將Enable UDP flood defense的每秒偵測數字調高到1000以上
2. 關於防火牆基本設定的「開始過濾器組別」預設是選在組別1、組別2,請問這項功能指的是什麼意思?
是指分別對其左方的呼叫過濾器(使用組別1)、資料過濾器(使用組別2)嗎?
------>呼叫過濾器(使用組別1)、資料過濾器(使用組別2)我們用英為來解說字義
Call Filter : 意思是還沒進入資料傳輸程序的都算他,比如是PPPoE撥接的動作
因為這是 Router / Firewall 自己本身要連接上 ISP , 所以都算在 Call Filter
Data Filter : 這邊的意思是當 Router / Firewall 已經連上ISP
開始處理後端電腦比如192.168.1.10傳給168.95.192.1 UDP 53 Port要求查www.ublink.org的封包
這都開始視為是Data Filter
要注意的地方是
Default 的處理順序是 Data Filter 處理從2-1到2-7就結束了
他並沒有自動往3-1前進
因此要手動在第2組的最後一條
一定要挑選跳往第3組
3. 關於阻擋P2P:
(1) 當我在「過濾器設定」裡新增了組別3(要阻擋P2P),回到「基本設定」頁該在哪邊的選項選上組別3套用?
「IM/P2P過濾器」那項只有先前在CSM所設定的規則檔可套用(無組別3).
------>建議參考範例說明:Vigor 2910系列和Vigor2920系列如何設定阻擋MSN登入
http://www.ublink.org/index.php/demo/151-vigor-2910vigor2920msn.html
套用到防火牆的基本設定
就是沒有在1-2,2-2以後管理的
通通都算Firewall的Default Rule(防火牆>>基本設定)
(2) 過濾器動作設定應選「立刻封鎖」或「若無符合其餘規則即通過」?(說明書看了不是很完全明白差異。)
------>立刻封鎖就是符合條例的馬上就阻擋下來
若無符合其餘規則即通過,意思是:比如您定義192.168.1.10在2-2是此條例
但是2-3是通過
那麼192.168.1.10是以2-3為準
範例如:如何設定Vigor系列防火牆條例---先封鎖再開放(David提供)
http://www.ublink.org/index.php/demo/158-vigor-.html
(3) 當開啟IM/P2P過濾器時,若要在網頁下載某種子,會出現訊息阻擋訊息(The requested Web page has been blocked
by Application Enforcement CSM…),請問此訊息能否關閉或修改?
------>目前CSM沒有
目前可以定義的是CSM >> URL Content Filter Profile 和CSM >> Web Content Filter Profile
(4) 利用已先下載到電腦的一些種子,分別使用eMule 0.48a、BitTorrent 7.1、BitComet 1.24、迅雷Thunder v5.9.24.1506
測試四種P2P封鎖狀況時(P2P物件設定檔勾選封鎖全部且選擇上述之「立刻封鎖」),發現除了eMule能有效封鎖(連不上)外,
其他的BT軟體依然能下載,不過速度很慢就是了(大約1X左右不超過30kb/s),不知是何原因?跟上傳速率設限有關嗎?
------>設定錯誤也會造成通過
比如您在那個地方又開了那一個Port讓他對外
版本都是會變更的
不知道您目前的是那一版v3.3.3.1或是v3.3.6??
(5) 頻寬管理設置: (下載8000Kbps上傳400Kbps NAT連線數1000),當連線數超過1000時,上述BT軟體關閉後,
為何連線數還是降得非常慢,過了20分鐘依然高達800上下,即使PC重開機依然?(除非路由器重啟)
------>一般TCP回收會比較快
UDP回收會比較慢
這都有Default的定義時間
有興趣可以搜尋本討論區
可以將Session改為3000 TEST
4. 關於頻寬管理:
(1) 10M/2M網路由18間套房所分,如開放P2P下載的話,下載、上傳、NAT連線數建議該設置多少才能讓網路穩定運作?
若封鎖不開放P2P的話,又該設置多少才好呢?
------>可以參考範例:Vigor2920在學生宿舍的使用範例
http://www.ublink.org/index.php/demo/84-vigor2920-house.html
連線數3000可以不區分
(2) 另外,當連線數超過所設定數目時(ex.設1000),開啟IE只有出現普通的
「無法開啟網頁...」,並沒有出現範例所提到的紅牌(紅字)敘述?
------>這應該是Lan DNS沒設定
或是Firewall的DoS本身的UDP已經超過150
所以網頁已經來不及跳警告視窗了
5. 若我想要在自家住宅遠端登入管理路由器是否如」遠端撥入使用者如何利用 PPTP Tunnel 撥入 Vigor 路由器」
等等網頁所教的利用PPTP 或IPSec VPN即可達成?
------>建議使用PPTP方式
範例說明:04. 遠端撥入使用者如何利用 PPTP Tunnel 撥入 Vigor 路由器 ?
http://www.draytek.com.tw/user/SupportFAQDetail.php?ID=43
6. 若要讓兩台路由器底下的兩個內網互通是要用VPN裡的LAN to LAN功能嗎?
------>Yes
範例說明:Vigor VPN的設定,如何設定一邊固定IP,一邊是浮動的動態IP建立起IPSec 或是PPTP VPN
http://www.ublink.org/index.php/component/content/article/7-vigor/155-vigor-vpnipipipsec-pptp-vpn.html
7. Vigor 2920這台有類似網頁通告的功能嗎?
------>版本v3.3.6有
範例說明:Windows 2008 Server NPS網路原則與存取服務(Radius Server)研究與教學
http://www.ublink.org/index.php/component/content/article/7-vigor/166-windows-2008-server-npsradius-server.html
以上
如果還有其他問題
我們還是建議將IP和帳號和密碼
給我們help@ublink.org
沒有留言:
張貼留言
注意:只有此網誌的成員可以留言。