1705宽带端口限速和ARP新功能说明书.doc

1705宽带路由器 端口限速和ARP新功能说明书 一、 端口限速 R1705路由器端口限速功能提供了丰富组合方式，限速对象可以是同一端口下所有主机可以是某一特定网段内的各个主机，并且可以针对端口出入的两个方向进行流量控制，限速范围容纳了从8k~1000000kbps的广大区域。 图1和图2即为端口限速的配置界面，限速类型选择共有两个可选项，他们是“针对所有报文”和“指定网段”，“针对所有报文”意指对选定端口下某方向上所有主机的流量总和进行控制，“指定网段”是指对选定端口下某一方向上针对某一特定网段内各主机进行流量控制。“限制方向”包括了IN和OUT，即入路由器和出路由器方向。“限速端口”单选框中会列出局域网口和广域网口。分别填入上述各表单后，点击“应用”按钮，就会生成一条相应的端口限速规则，此外，“编辑”和“删除”使我们能够方便的修改和去除指定的限速规则，如图3所示。 图1 针对所有报文的流量限制配置界面 图2 针对指定网段的流量限制配置界面 如有需要，我们还可以点击“添加”继续创建新的端口限速规则，如图3中红圈所示。 图3 限速规则显示界面 使用限速功能时需要注意以下几点： 针对某一特定网段限速，其他网段IN和OUT方向上的数据传输速率都不受影响。 针对所有数据包的限速限制的是此接口连接的所有主机的总通信流量，并不是限制某一台主机在此接口上的流量大小。而针对某一网段的限速限制的是这一网段内每台主机的流量。 限速单位是kbps，即千比特每秒。 ARP静态绑定 为了防止ARP欺骗，我们可以通过设置ARP静态绑定功能形成IP地址和MAC地址准确的一一对应关系。 图4 ARP绑定配置界面 将需要绑定的IP地址和主机MAC地址填入表项中，单击应用按钮即完成此IP和MAC的绑定，相当于路由器命令ARP A.B.C.D(主机IP) H:H:H:H:H:H (MAC地址) ，该绑定条目会同时显示在下方的静态ARP表中。想修改此绑定条目，先在下方静态ARP表中选中要修改的条目，在IP地址或者MAC地址表项填入新参数。删除操作与修改类似，先在ARP静态表中选中该表项，选择删除按钮，点击应用即可。 三、ARP 扫描 （ARP SCAN） 此功能是在整个局域网的设备都刚刚启动初始化完成之后，通过指令让路由器把当前动态学习到的ARP表转换为静态，这种方法简化了路由器静态ARP的设置和维护工作量。 如图5 ARP 扫描配置界面 ARP扫描栏下会列出路由器的广域网口和以太网口，需开启某端口的ARP扫描功能，点击该端口后的启用按钮并提交应用，随后路由器会将从此端口学习到的ARP条目即MAC和IP地址对应条目填入上方的静态ARP表中，同时在路由器中完成关于这些条目的ARP静态绑定，如图5所示，在上图的实例中开启了TP1端口的ARP扫描，路由器从此端口学习到一个ARP对应项1.1.1.1(00:16:d3:41:dc:eb)，此条目被自动填入静态ARP表中。此外，我们可以把通过ARP扫描填入静态ARP表中的条目做进一步的处理，例如选中后进行修改，删除操作。也可以通过单击表右方的“单选”、“全选”按钮将ARP绑定条目移至ARP访问控制表中，以便开启ARP+MAC地址的访问控制功能（此功能会在后面的章节中介绍）。“单选”值得是将我们的选中的某一表项移至ARP访问控制表中，全选与之不同之处在于是将静态ARP表中所有扫描到的ARP条目一次性的全部转移至ARP访问控制表中。需要注意的一点是，被移至ARP访问控制表中的ARP条目路由器会默认自动将其转变为IP＋MAC地址的访问控制项并设置过滤规则为允许，但是此时数据过滤功能并不生效，因为其没有被应用到实际接口上。 四 、ARP+IP地址过滤 IMP Filter就是基于IP和MAC的组合信息来进行IP数据包的过滤其功能和灵活程度都非常高，限制起来也非常方便，这里先介绍一下IMP Filter在命令行方式下的相关配置： imp access-list 1 permit ip 1.1.1.1 mac 1:1:1:1:1:1 //只允许IP地址为1.1.1.1、MAC地址为1:1:1:1:1:1的IP/MAC对 permit ip 2.2.2.2 mac 2:2:2:2:2:2 other-ip //只要MAC地址匹配即可获得允许 permit ip 3.3.3.3 mac 3:3:3