用TL-R478+路由器设置双线上网图文实例

admin管理员组

文章数量:1565358

2024年7月22日发(作者：)

第一步，准备两台TP-LINK480单WAN口路由器，分别接入网通线路和电信线路，再

把路由器接入主交换机。在设置路由器时，设置外网IP时正常设置即可。详细步骤：

1 找一台与路由器连接的客户机，客户IP设置为192.168.1.11、子网掩码为

255.255.255.0，网关和DNS为192.168.1.1。

2 打开IE浏览器，再地址处键入“192.168.1.1”，输入路由器管理账号、密码，进入

路由器设置界面。

3 先点击左边的“网络参数”，再点击“LAN口设置”，在右边的“IP地址设置”中

设为“192.168.1.1”，点“保存”。

4先点击左边的“网络参数”，再点击“WAN口设置”，在右边的“WAN口连接类

型”设为“静态IP”， “IP地址、子网掩码、网关，DNS服务器、备用DNS服务器”，分

别设为“221.135.239.10、255.255.255.128、 222.135.239.1、218.56.57.58、

202.102.152.3”，点“保存”。（根据互联网接入商提供的参数填写即可）

5 同理，设置另外一台路由器，不同的是，在“LAN口设置”中设为“192.168.1.2”

路由器设置完毕。

第二步，设置内部服务器。

1 设置计费机，“IP地址”设为“192.168.1.20”、“子网掩码”为

“255.255.255.0”、“网关”为“192.168.1.1”，“DNS服务器”为“192.168.1.1”、

“备用DNS服务器”为空，

铁通电信

| |

猫 猫

| |

路由 路由

| |

————

交换机

|||||

电脑电脑电脑

TPlink 478+ ——

两个24口交换机要互连应该在同一网段。默认是：192.168.1.100～200。然后

开启一个24交换机将整组的MAC与IP：192.168.1.100～123绑定，在“流量均衡控

制”添加IP地址调度规则“来自LAN口－192.168.1.100-192.168.1.123 ALL端口

协议”数据包“只能”从WAN口“1”转发

剩下的那个24交换机的MAC和IP可以不绑定，只要在“流量均衡控制”添加

IP地址调度规则“来自LAN口－192.168.1.124-192.168.1.200 ALL端口协议”数据

包“只能”从WAN口“2”转发 注意是：只能！不是优先！

这样两个24交换机内的机子就只从指定的WAN口上网等于是两个路由带两个交

换机

TL-R478+内网默认IP地址是192.168.1.1，用户名及密码均为admin，使用IE登

录成功后会弹出快捷配置窗口，这也是TP-LINK产品的惯例，小编称其为是“开门两板

斧”：

一、介绍之…

二、宽带接入类型，相信使用ADSL的用户占绝大多数。

三、填入用户名及密码。

四、完成之…

小编接触过一些TP-LINK的低端产品，全部都有提供上面所说的“开门两板斧”，虽

说仅单单进行这些设置是远远不够的，还有许多具体的功能需要进行分别设置，但对于一

些用户来讲，只需简单几步，填上用户名及密码就可以使用，路由器具有简单快捷的设置

向导功能还是非常必要的，由其对于低端产品来讲。

由于浏览器的原因，某些时候，“设置向导”窗口可能不会在用户登录路由器配置页

面时弹出，如果需要，用户可以点击如下图中左侧功能栏中的“设置向导”，启动向导并

完成设置操作。

TL-R478+的“首页”

运行状态

点击运行状态我们可以了解到TL-R478+ LAN口及WAN口的的置配信息

网络参数

在WAN口设置页面中，用户可以分别设置WAN1与WAN2的参数，接入方式包括：

“静态IP”、“ 动态IP”、PPPoE。在这里说一下PPPoE接入方式，有些ISP提供的不

是ADSL接入，但使用的同样是PPPoE验证接入，像北京的“长城宽带”。当然我们接触

更多的应该还是电信与网通的ADSL，采用的均为PPPoE验证接入方式。

WAN口在线检测功能可用于检测WAN1或WAN2的连通性。当路由器采用双线接

入时，使用这一机制，可以在短时间内判断出当前线路是否工作正常，因为PING包的发

送间隔是比较短的，如果PING超时，路由器可以在比较短的时间内将会话由WAN1转移

至WAN2，或由WAN2转移至WAN1。

但这里也存在一个问题，因为PING的是某一IP地址，试想如果目标地址出现问题，

而接入线路其实是工作正常的，这时路由器也会报告相应WAN口存在问题，从而导至网

络工作异常。如下图中所示，小编填写了一个不存在的IP地址。果然TL-R478+对于线路

工作状态的判断就出现了问题，并且导致网络不通，其实此时WAN1上的接入线路是正常

的。对于这一功能，小编以为，如果用户使用的是单线接入，还是就不要对其进行任何设

置了，当然如果用户使用的是双线接入，可以考虑启用这一功能，但必须保证目标IP是一

个绝对可靠的IP地址。

流量均衡控制，这里提供了对网络流量的精细管理功能，首先“开启/禁用WAN口”

是路由器WAN口的“总开关”，可以在这里启用或禁用WAN端口，小编试着将WAN1

禁用掉，并观察TL-R478+前面板上的WAN1指示灯，禁用前后并无变化，依然处于“活

动”状态。

附加IP地址调度规则，在这里可以设置内网用户通过哪个WAN口访问INTERNET，

可以设置基于内网IP（端口）的规则，也可以设置基于外网IP（端口）的规则，规则优先

级基于每条规则的上下排列顺序。规则内容可以重复，优先级是“上者为先”，例如小例

编写的两条规则，此时WAN2是没有连接网络的，当排列顺序如上图时192.168.1.100

可以访问INTERNET，而顺序颠倒后则不可以。点击“添加新条目”打开如下图页面，用

于添加规则。

如果用户使用网通与电信双ISP接入，可以在“ISP均衡控制”页面中指定相应WAN

口的ISP线路。

均衡策略页面用来设置路由器多WAN 口的数据包转发策略，这些策略主要依据3 种

原则，速度优先、IP 地址对优先、应用程序优先。可以通过4 个数据表来查询，它们分

别是速度检测表、快速连接表、IP 地址对表、应用程序表。就这一功能产品手册中也给出

了明确的说明：以上的时间间隔缺省值都是经过测试的，如果您对该值不是很确定的话，

请您不要随意修改。如果因为特殊原因，用户确实需要对这些参数进行修改，可以参见产

品手册或查看此页面中的“帮助”来详细了解每项功能。

“WAN端口参数”页面。当端口状态选为“禁用”时，路由器面板上的指示灯将熄

灭。对于入站广播帧TL-R478+也提供了抵制功能。

TL-R478+ DHCP服务 设置页面。在这里小编说一下关于“地址租期”长短设置问

题，打个比方，如果在机场，小编会将DHCP租期设置得短一些，比如就保持默认的120

分钟，因为在机场这样的场合多是移动笔记本用户，用户离开后短时间内所占用的IP地址

被释放，这对IP地址的使用是比较有效的。换一个环境，如果是在网吧或办公室中，小编

建议将DHCP租期延长，因为这里使用的都是固定设备，IP被分配出去，基本上就相当于

和终端设备签了“无固定期合同”。如果“租期”过短，内网会产生过多的DHCP数据帧，

产生不必要的流量开销。当然并不是说“租期”设置得越长越好，但对于像办公室，网吧

这样的环境，建议适当延长租期。

如何限制迅雷、BT这类“连接数杀手”？在路由器上为每个IP设置最大连接数是个

不错的为法，虽然此时客户端依然可以使用这类软件，但连接数得到了限制，如上图所示，

如果分配给小编的20个连接数被占满会如何？后果就是无法使用IE上网，网游总是掉线，

因为程序访问INTERNET至少需要建立一条“连接”，连接数被BT占去，自然会影响到

客户端的正常使用，这样用户也会“自发”的自觉一些。根据小编以前做的测试，为每个

IP分配60左右的连接数就完全够用了。

TL-R478+ 提供的QoS功能是基于IP地址及端口的

动态DNS设置页面

安全功能介绍及验证测试

防火墙设置页面是TL-R478+各个过滤功能启用 / 禁用的“总控制处”。下面我们逐

一来介绍。

如上图所示，小编设置的默认规则，包括第2条规则都是禁止数据包通过本路由器，

而第一条规则则是允许一个地址段的数据包通过。在某些环境下，管理者可能只希望特定

PC可以访问INTERNET，而不对其它PC开放上网权限，使用类似上面的设置便可达到这

一目的。

TL-R478+ 域名过滤页面

TL-R478+ MAC地址过滤页面，小编觉得这一功能易用性方面设计得有些不足，试想

一个局域网中最少也会有十几台PC，查找并输入这些PC的MAC地址确实是件麻烦事，

在这个页面上如果TL-R478+设计有“收集”MAC地址功能，并且将收集结果以“选择

题”的形式供用户“勾选”就会方便许多，尤其对于稍大一些网络。

攻击防护是防火墙通过对数据包的检查，以应对一些恶意的攻击。攻击检查和防护分

为四类：扫描类攻击防护；拒绝服务（DoS）攻击防护；可疑包攻击防护；含有IP 选项的

包的攻击防护。如果在数据包中查到符合指定的攻击模式，则进行相应的防护处理。针对

LAN与WAN的攻击防护选项是一样的，只是前者较后者多了一项“IP欺骗”防护。

小编使用Mir这个程序测试了一下TL-R478+的防护能力，Mir是一个内网TCP半连

接洪水攻击程序，也就是通常所说的SYN Flood攻击，在内网主机A上对路由器发起攻

击，测试从内网主机B上可否访问外部网络，果然….. TL-R478+没有招架得住。其实这很

正常，小编测过的几款低端宽带路由器都没能幸免过。SYN Flood是DOS攻击的一种，

低端路由设备基本上是无能为力的。

下面的截图是使用Mir攻击一台PC，并在被攻击PC上使用Wireshark抓得的数据

包：

ICMP Flood也是DOS攻击的一种，小编使用kn-Ping这个工具对TL-R478+进行了

测试，TL-R478+所采用的防护机制是通过限制每秒钟收到的ICMP数据包数量来抑制

ICMP Flood产生DOS效果。虽然在路由器上无法看到相关统计信息，且由于小编设置每

秒仅允许通过20个ICMP数据包，所以路由器本身运行是正常的，不像使用Mir测试SYN

Flood时那么“反应强烈”。TL-R478+对于抑制ICMP Flood是否有效，在kn-Ping运

行时可以看得出来。当kn-Ping每秒向目标发送超过20个ICMP数据包时程序会报错，

调节该项阈值，kn-Ping会在相应的情况下报错，这证明抑制ICMP Flood是有效的。

ARP攻击对局域网造成的危害也是很大的，由于TCP/IP协议本身固有一些缺陷，实

际上ARP攻击并不能得到根本性的解决，不同厂家所使用的防护手段也各不相同，但坦白

说效果都不尽理想。TL-R478+在这方面表现也并不理想。小编在主机A上使用

NetRobocop攻击路由器，此时主机B访问INTERNET便出现了异常。

接下来小编测试了TL-R478+的“大的ICMP包（大于1024字节）”防护功能，结

果如下图，证明是有效的。

性能测试

性能测试使用的是IxChariot，在测试TL-R478+吞吐量之前，小编首先对测试环境进

行了“摸底”，两块网卡(endpoint1与endpoint2)用一根网线直接相连，使用

High_Performance_Throughput脚本，测得的结果是93.805Mbps。

接下来将endpoint1连接LAN口，endpoint2连接WAN口，启用路由器中所有安

全过滤选项。TL-R478+三层大包吞吐量测试结果如上图所示，将两次测试结果相比较可

以看出，TL-R478+的三层大包转发性能还是非常不错的。

测试完大包吞吐量，下面我们来看一下TL-R478+的小包转发性能。通过修改

IxChariot的脚本可以产生64字节大小的数据帧，这点可以使用Wireshark看到，如下图：

Endpoint1(192.168.1.100)向endpoing2(10.1.1.100)发送了一个64字节的数据帧，

随后endpoint2会向endpoint1返回一个60字节的数据帧，如此重复，再将测试时间适

当延长，便可以测得设备转发小包时的性能。

首先还是要做一个“摸底”测试，在IxChariot中逐步增加用于产生64字节数据帧的

Pair，在达到15Pairs时，TL-R478+两个LAN端口间的吞吐量达到峰值1.085Mbps，换

算成包转发率是1613.09pps。

接下来将endpoint1连接LAN口，endpoint2连接WAN口，启用路由器中所有安

全过滤选项，IxChariot运行相同的15个pairs。这时TL-R478+三层小包吞吐量为

0.518Mbps，换算成包转发率是770.83pps。

测试完TL-R478+的大小包转发性能，接下来要测试的是真实应用环境下的性能。依

然使用IxChariot，使用不同应用类型的脚本组成一个脚本集，尽量摸拟产生真实数据流量，

脚本组成如下图：

此脚本集的“摸底”测试结果为24.862Mbps，测试三层转发性能时启用路由器的安

全防护功能，三层转发性能测试结果为14.536Mbps，详见下图：

LAN To LAN

LAN To WAN

注：由于所有测试都是单点对单点进行的，所以得出的结果可视为是端口对端口间的

性能表现，而非路由器整机性能。

总结：易用性方面，TL-R478+不乏设计亮点，例如方便设置的INTERNET访问策略，

登录时的配置向导，详细的帮忙文档，全图形中文界面，做为低端产品，功能设计上关注

易用性还是非常有必要的。硬件配置方面采用Intel IXP 网络专用处理器，主频266MHz，

并配备32M内存，性能表现不俗。机身坚固，使用附送的支架，TL-R478+可安装在标准

机柜中，占1U空间。双WAN口设计支持链路冗余，带宽汇聚，出口优先选择，支持基

于IP（端口）的QoS，支持基于端口的VLAN，支持基于IP的连接数限制等。不过TL-R478+

也有些不足，例如基于IP地址的带宽限制功能是通过设置QoS策略实现的，TL-R478+

没有提供独立的功能设置页面；个别功能在使用上易用性略显不足，例如“MAC地址过

滤”页面没有“收集”MAC地址的功能。

考虑到篇幅限制，DMZ主机，UPnP功能，虚拟服务器，端口触发，静态路由，IP

与MAC绑定，Port Vlan（基于端口的VLAN），LAN端口流量统计、端口启用/禁用等这

些宽带路由器的基本功能小编并没有在本次测试中进行介绍。

本文标签： 设置路由器使用功能攻击