網件路由器防火牆怎麼設定

　　網件netgear長期致力於為企業使用者與SOHO使用者提供簡便易用並具有強大功能的網路綜合解決方案，那麼你知道嗎?下面是小編整理的一些關於網件路由器防火牆設定的相關資料，供你參考。

　　網件路由器防火牆設定的方法

　　IPv6定義於RFC2460，對於NETGEAR防火牆裝置，需要進入管理介面Network Configuration > WAN Settings > WAN Mode 選中IPv4 / IPv6 mode 以開啟雙棧***Dual-stack***模式，再行設定IPv6相關功能;對於家用路由器裝置，僅需在ADVANCED > Advanced Setup > IPv6下將預設的 Disabled 選為對應模式即可.可支援的接入模式按對應關係列表如下:

SOHO Router	Firewall
DHCP/ Auto Config	DHCPv6
Fixed	Static IPv6
PPPoE	PPPoE
6to4 Tunnel	6to4 Tunneling
--	ISATAP Tunnels
Pass Through	--
Auto Detect	--

　　對於NETGEAR家用路由器，有兩個特殊模式：Pass Through， Auto Detect 我們將放在本文的最後介紹，以下每個段落將對應一個功能.

　　首先是隧道 6to4 Tunneling

　　IPv6to4適用於將IPv6孤島通過純IPv4網路接入其他IPv6區域，這是一種點到多點連線.6to4的定義由RFC3056提供。

　　對於防火牆裝置

　　進入Network Configuration > WAN Settings > WAN Mode 選中IPv4 / IPv6 mode 以開啟雙棧***Dual-stack***模式

　　在開啟 6to4 前要保證裝置WAN口為靜態IP地址.進入Network Configuration > WAN Settings > Broadband ISP Settings 設定。

　　開啟 6to4 隧道，進入 Network Configuration > WAN Settings > 6to4 Tunneling

　　勾選 Enable Automatic Tunneling

　　點選APPLY以應用

　　如果內網沒有部署狀態化DHCPv6伺服器，需要啟用防火牆的RADVD守護程序***Router Advertisement Daemon***，設定過程參考附錄7，本例中，Type選為6to4，此時Prefix將以IANA對6to4的分配方式生成， SLA ID與Lifetime可以手工輸入。

　　防火牆LAN側收到上述Prefix宣告後會根據EUI-64規則生成Interface ID.

　　最後要做的是寫一個發往6to4對端ipv6地址的靜態路由

　　進入 Network Configuration > Routing

　　單選IPv6

　　點選Add新增

　　Destination可以寫成2002::/16或按需填寫

　　Interface 要選擇sit Tunnel

　　Gateway填寫Tunnel對端IPv6地址

　　點選APPLY以應用

　　對於家用路由器

　　進入 ADVANCED > Advanced Setup > IPv6

　　選擇 6to4 Tunnel

　　Remote 6to4 Relay Router，如果您的ISP支援其自己的中繼路由器地址，您可以在Static IP Address 輸入地址.也可以保留"Auto"，路由器將使用任何可用的地址.

　　LAN Setup可以選擇IP Address Assignment方式***DHCPv6或Auto Config***，此處設定的是您希望的內網裝置獲取IP地址的方式.

　　LAN Setup的另一個選項是Use This Interface ID，可以在勾選複選框後將自定義介面ID輸入文字框內.

　　路由器將自動建立隧道並生成路由條目，毋需手工設定.

　　需要說明的是

　　IETF定義的6to4是一種點對多點隧道，應允許使用更少的配置步驟自動連線多個IPv6孤島，既然6to4不像手工隧道***手工隧道技術不在NETGEAR裝置支援範圍內***一樣需要配置對端IP地址，那麼6to4隧道的IPv6地址一定與其出口IPv4地址存在某種關聯;

　　根據IANA的分配，2002::/16被保留給6to4隧道，並按照2002:

　　由於上述兩個原因，被連線的多個IPv6孤島在IPv4層面上必須路由可達。也就是說，如果您試圖連線的是一個在廣域網上的IPv6孤島或IPv6中繼裝置，則您正在配置的路由器或防火牆的WAN口必須有一個廣域網地址。

　　例子

　　第一個例子我們將使用如下拓撲

　　本例中我們連線到某跨國公司提供的公共6to4中繼路由器***RelayServer***，這是一個非典型應用，可以理解為是例子二的一個特殊情。

　　這個例子考慮的場景是您的WNDR3700v3只能接入到IPv4網路，我們借用6to4技術與中繼伺服器訪問IPv6資源。另外在附錄8中可以看到關於本例的詳細解釋和擴充套件資料。

　　考慮到安全***避免洩露MAC地址***與管理需求，也可以使用自定義路由器LAN的interface ID以代替使用EUI-64規則生成的介面ID，本例中我們將介面ID改為17e7:9ea2，此時接入LAN側的PC有2種方式獲取IPv6地址，一個是預設的自動配置，另一種是使用熟悉的DHCPv6***實際上這與IPv4版本的DHCP有所不同***，後文我們將討論這兩個選項間的差異，目前需要注意的是，此時路由器並不作為完整的DHCPv6伺服器，其沒有地址池與其他選項可以設定.最後我們驗證連通性：

　　第二個例子我們將使用如下拓撲

　　這個例子是6to4技術最開始計劃的樣子，通過純粹的IPv4網路連線幾個IPv6孤島，本例中兩個路由裝置的出口地址在同一網段，在實際環境中這兩個地址僅需路由可達.

　　本拓撲的配置方式與技術引數與例子一併無明顯差別，此處不再敷述.可以關注的是PC1在ping WNDR4000時WAN側抓包的情況。

　　此時IPv6被封裝在IPv4包中並傳輸，對等裝置會在收到資料包後解封成IPv6包繼續傳輸。

　　可以在PC1上驗證連通性

　　另一個隧道ISATAP***Intra-Site Automatic Tunnel Addressing Protocol*** Tunnels

　　ISATAP Tunnels的支援情況目前僅限於FVS318N與SRX5308，家用裝置暫不支援.其為兩個雙棧裝置的連通提供隧道，主要為雙棧主機提供通過IPv4網路接入IPv6的服務，並如該協議的名字Intra-Site一樣，僅為站內提供隧道，每個IPv4地址均與IPv6地址有某種對應關係***IPv4地址被用於IPv6地址介面ID的一部分***.定義於RFC5214。

　　配置方式

　　進入Network Configuration > WAN Settings > WAN Mode 選中IPv4 / IPv6 mode 以開啟雙棧***Dual-stack***模式

　　進入 Network Configuration > WAN Settings > ISATAP Tunnels

　　點選 Add 新增條目

　　在ISATAP Subnet Prefix處輸入一個64位的字首，這將成為邏輯ISATAP子網的字首。

　　Local End Point Address 選擇為隧道節點路由器側的IPv4地址，”LAN”意為使用Default VLAN虛介面地址，選擇Other IP則手工輸入。

　　如果 Local End Point Address 選擇了Other IP，則在IPv4 Address處手工填寫。

　　例子

　　拓撲圖如下

　　此拓撲應用的場景是出口防火牆外網連線IPv6網路，

　　內網是IPv4環境，大部分終端裝置為IPv4裝置，部分裝置如PC1是雙棧裝置，這些雙棧裝置希望通過ISATAP隧道連線到IPv6網路。

　　在FVS318N開通IPv6/IPv4雙棧後，進入Network Configuration > WAN Settings > ISATAP Tunnels新增條目，本例中我們設定隧道的字首為2002: Vlan IPv4地址，完成配置：

　　此時PC要對應設定ISATAP隧道以無狀態生成IPv6地址，本例中PC1我們使用一臺Win XP，根據實際使用OS不同，操作命令略有差異，在此實驗環境中，我們同樣嘗試使用了Win 7與Win 8，均運轉正常：

netsh interface ipv6 isatap>set sta enable
確定。

netsh interface ipv6 isatap>ipv6
netsh interface ipv6>show address
正在查詢活動狀態...

介面 6：Teredo Tunneling Pseudo-Interface

地址型別 DAD 狀態有效壽命首選壽命地址
--------- ---------- ------------ ------------ -----------------------------
連結首選項 infinite infinite fe80::

介面 5：本地連線 14

地址型別 DAD 狀態有效壽命首選壽命地址
--------- ---------- ------------ ------------ -----------------------------
連結首選項 infinite infinite fe80::2ff:32ff:

介面 4：無線網路連線 16

地址型別 DAD 狀態有效壽命首選壽命地址
--------- ---------- ------------ ------------ -----------------------------
連結暫時的 infinite infinite fe80::219:

介面 2: Automatic Tunneling Pseudo-Interface

地址型別 DAD 狀態有效壽命首選壽命地址
--------- ---------- ------------ ------------ -----------------------------
公用首選項 29d23h59m43s 6d23h59m43s 2002::
192.168.1.2
連結首選項 infinite infinite fe80::5efe:192.168.1.2
連結首選項 infinite infinite fe80::5efe:192.168.0.12

介面 1：Loopback Pseudo-Interface

地址型別 DAD 狀態有效壽命首選壽命地址
--------- ---------- ------------ ------------ -----------------------------
環回首選項 infinite infinite ::1
連結首選項 infinite infinite fe80::1

netsh interface ipv6>

　　靜態或手工指定地址Fixed***Static IPv6***

　　這意味著要手工指定LAN與WAN側的IPv6地址。需要注意的是，由於IPv6擁有足夠多的地址空間，已經不再需要NAT或PAT，IPv6消除了地址轉換，雖然在過渡期有4與6的地址轉換技術***例如NAT64，NAT-PT，TRT，6RD或DS-Lite***，但NETGEAR的路由器暫不對上述技術提供支援，此時裝置只作為IPv6路由器。

　　對於防火牆

　　進入Network Configuration > WAN Settings > WAN Mode 選中IPv4 / IPv6 mode 以開啟雙棧***Dual-stack***模式

　　進入Network Configuration > WAN Settings > Broadband ISP Settings

　　在螢幕右上角單選IPv6以切換到WAN IPv6設定模式

　　將IPv6下拉選單選為Static IPv6

　　在Static IP Address處填寫IPv6 Address;IPv6 Prefix Length; Default IPv6 Gateway; Primary DNS Server; Secondary DNS Server

　　點選Apply應用配置。

　　對於家用路由裝置

　　點選進入 ADVANCED > Advanced Setup > IPv6

　　在 Internet Connection Type下拉選單中選擇 Fixed

　　填寫 IPv6 Address/Prefix Length; Default IPv6 Gateway;Primary DNS; Secondary DNS

　　對於LAN的設定可以參考前文中6to4隧道部分例子一的相關內容。