Igmp snooping что это в роутере tp link

TL-WR802N V4 User Guide

This chapter presents how to configure the various features of the router working as a standard wireless router.

It contains the following sections:

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to Status . You can view the current status information of the router.

• Firmware Version — The version information of the router’s firmware.

• Hardware Version — The version information of the router’s hardware.

• LAN — This field displays the current settings of the LAN, and you can configure them on the Network > LAN page.

• MAC address — The physical address of the router.

• IP address — The LAN IP address of the router.

• Subnet Mask — The subnet mask associated with the LAN IP address.

• Wireless — This field displays the basic information or status of the wireless function, and you can configure them on the Wireless > Basic Settings page.

• Operation Mode — The current wireless working mode in use.

• Wireless Radio — Indicates whether the wireless radio feature of the router is enabled or disabled.

• Name(SSID) — The SSID of the router.

• Mode — The current wireless mode which the router works on.

• Channel — The current wireless channel in use.

• Channel Width — The current wireless channel width in use.

• MAC Address — The physical address of the router.

• WAN — This field displays the current settings of the WAN, and you can configure them on the Network > WAN page.

• MAC Address — The physical address of the WAN port.

• IP Address — The current WAN (Internet) IP Address. This field will be blank or 0.0.0.0 if the IP Address is assigned dynamically and there is no internet connection.

• Subnet Mask — The subnet mask associated with the WAN IP Address.

• Default Gateway — The Gateway currently used is shown here. When you use Dynamic IP as the internet connection type, click Renew or Release here to obtain new IP parameters dynamically from the ISP or release them.

• DNS Server — The IP addresses of DNS (Domain Name System) server.

• System Up Time — The length of the time since the router was last powered on or reset.

Click Refresh to get the latest status and settings of the router.

2. Operation Mode

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to Operation Mode .

3. Select the working mode as needed and click Save .

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to Network > WAN .

3. Configure the IP parameters of the WAN and click Save .

If your ISP provides the DHCP service, please select Dynamic IP , and the router will automatically get IP parameters from your ISP.

Click Renew to renew the IP parameters from your ISP.

Click Release to release the IP parameters.

• MTU(Bytes) — The normal MTU (Maximum Transmission Unit) value for most Ethernet networks is 1500 Bytes. It is not recommended that you change the default MTU size unless required by your ISP.

• Enable IGMP Proxy — IGMP (Internet Group Management Protocol) is used to manage multicasting on TCP/IP networks. Some ISPs use IGMP to perform remote configuration for client devices, such as the modem router. The default value is enabled, and if you are not sure, please contact your ISP or just leave it.

• Get IP with Unicast — A few ISPs’ DHCP servers do not support the broadcast applications. If you cannot get the IP address normally, you can choose this option. (It is rarely required.)

• Set DNS server manually — If your ISP gives you one or two DNS addresses, select Set DNS server manually and enter the primary and secondary addresses into the correct fields. Otherwise, the DNS servers will be assigned automatically from your ISP.

• Host Name -This option specifies the name of the router.

If your ISP provides a static or fixed IP address, subnet mask, default gateway and DNS setting, please select Static IP .

• IP Address — Enter the IP address in dotted-decimal notation provided by your ISP.

• Subnet Mask — Enter the subnet mask in dotted-decimal notation provided by your ISP. Normally 255.255.255.0 is used as the subnet mask.

• Gateway — Enter the gateway IP address in dotted-decimal notation provided by your ISP.

• Primary/Secondary DNS Server — (Optional) Enter one or two DNS addresses in dotted-decimal notation provided by your ISP.

• MTU (Bytes) — The normal MTU (Maximum Transmission Unit) value for most Ethernet networks is 1500 Bytes. It is not recommended that you change the default MTU size unless required by your ISP.

If your ISP provides PPPoE connection, select PPPoE .

• PPP Username/Password — Enter the user name and password provided by your ISP. These fields are case-sensitive.

• Confirm Password — Enter the Password provided by your ISP again to ensure the password you entered is correct.

• Secondary Connection — It’s available only for PPPoE connection. If your ISP provides an extra connection type, select Dynamic IP or Static IP to activate the secondary connection.

• Always On — In this mode, the internet connection will be active all the time.

• Connect on Demand — In this mode, the internet connection can be terminated automatically after a specified inactivity period (Max Idle Time) and be re-established when you attempt to access the internet again. If you want to keep your internet connection active all the time, please enter 0 in the Max Idle Time field. Otherwise, enter the number of minutes you want to have elapsed before your internet access disconnects.

• Connect Manually — You can click Connect/Disconnect to connect/disconnect immediately. This mode also supports the Max Idle Time function as Connect on Demand mode. The internet connection can be disconnected automatically after a specified inactivity period (Max Idle Time) and not be able to re-establish when you attempt to access the internet again.

• Authentication Type — Choose an authentication type.

Sometimes the connection cannot be terminated although you have specified the Max Idle Time because some applications are visiting the internet continually in the background.

• Service Name/Server Name — The service name and server name should not be configured unless you are sure it is necessary for your ISP. In most cases, leaving these fields blank will work.

• MTU(Bytes) — The default MTU size is 1480 bytes. It is not recommended that you change the default MTU size unless required by your ISP.

• ISP Specified IP Address — If your ISP does not automatically assign IP addresses to the router, please select Use IP address specified by ISP and enter the IP address provided by your ISP in dotted-decimal notation.

• Echo Request Interval — The router will detect Access Concentrator online at every interval. The default value is 0. You can input the value between 0 and 120. The value 0 means no detect.

• DNS Server/Secondary DNS Server — If your ISP does not automatically assign DNS addresses to the router, please select Set DNS server manually and enter the IP address in dotted-decimal notation of your ISP’s primary DNS server. If a secondary DNS server address is available, enter it as well.

If your ISP provides L2TP connection, please select L2TP .

• Username/Password — Enter the username and password provided by your ISP. These fields are case-sensitive.

• Addressing Type — Choose the addressing type given by your ISP, either Dynamic IP or Static IP. Click the Connect button to connect immediately. Click the Disconnect button to disconnect immediately.

• MTU(Bytes) — The default MTU size is “1460” bytes, which is usually fine. It is not recommended that you change the default MTU Size unless required by your ISP.

• Always On — In this mode, the internet connection will be active all the time.

Sometimes the connection cannot be terminated although you have specified the Max Idle Time because some applications are visiting the internet continually in the background.

If your ISP provides PPTP connection, please select PPTP .

• Username/Password — Enter the username and password provided by your ISP. These fields are case-sensitive.

• MTU(Bytes) — The default MTU size is “1420” bytes, which is usually fine. It is not recommended that you change the default MTU Size unless required by your ISP.

• Always On — In this mode, the internet connection will be active all the time.

Sometimes the connection cannot be terminated although you have specified the Max Idle Time because some applications are visiting the internet continually in the background.

If your ISP provides BigPond cable connection, please select BigPond Cable .

• Username/Password — Enter the username and password provided by your ISP. These fields are case-sensitive.

• Auth Server — Enter the authenticating server IP address or host name.

• Auth Domain — Type in the domain suffix server name based on your location.

• MTU(Bytes) — The default MTU size is 1500 bytes. It is not recommended that you change the default MTU size unless required by your ISP.

• Always On — In this mode, the internet connection will be active all the time.

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to Network > LAN .

3. Configure the IP parameters of the LAN and click Save .

• MAC Address — The physical address of the LAN ports. The value can not be changed.

• IP Address — Enter the IP address in dotted-decimal notation of your router (the default one is 192.168.0.1).

• Subnet Mask — An address code that determines the size of the network. Normally 255.255.255.0 is used as the subnet mask.

• Enable IGMP Snooping — IGMP snooping is designed to prevent hosts on a local network from receiving traffic for a multicast group they have not explicitly joined. IGMP snooping is especially useful for bandwidth-intensive IP multicast applications such as IPTV.

• If you have changed the IP address, you must use the new IP address to log in.

• If the new IP address you set is not in the same subnet as the old one, the IP address pool in the DHCP Server will be configured automatically, but the Virtual Server and DMZ Host will not take effect until they are re-configured.

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to Network > MAC Clone .

3. Configure the WAN MAC address and click Save .

• WAN MAC Address — This field displays the current MAC address of the WAN port. If your ISP requires you to register the MAC address, please enter the correct MAC address in this field. Click Restore Factory MAC to restore the MAC address of WAN port to the factory default value.

• Your PC’s MAC Address — This field displays the MAC address of the PC that is managing the router. If the MAC address is required, you can click Clone MAC Address and this MAC address will be filled in the WAN MAC Address field.

• You can only use the MAC Address Clone function for PCs on the LAN.

• If you have changed the WAN MAC address when the WAN connection is PPPoE, it will not take effect until the connection is re-established.

4.1. Basic Settings

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to Wireless > Basic Settings .

3. Configure the basic settings for the wireless network and click Save .

• Wireless — Enable or disable wireless network.

• Wireless Network Name — Enter a value of up to 32 characters. The same Name (SSID) must be assigned to all wireless devices in your network.

• Mode — You can choose the appropriate “Mixed” mode.

• Channel — This field determines which operating frequency will be used. The default channel is set to Auto . It is not necessary to change the wireless channel unless you notice interference problems with another nearby access point.

• Channel Width — This field determines which operating frequency will be used. It is not necessary to change the wireless channel unless you notice interference problems with another nearby access point. If you select auto, then AP will choose the best channel automatically.

• Enable SSID Broadcast — If enabled, the router will broadcast the wireless network name (SSID).

WPS (Wi-Fi Protected Setup) can help you to quickly and securely connect to a network. This section will guide you to add a new wireless device to your router’s network quickly via WPS.

The WPS function cannot be configured if the wireless function of the router is disabled. Please make sure the wireless function is enabled before configuration.

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to Wireless > WPS .

3. Follow one of the following three methods to connect your client device to the router’s Wi-Fi network.

Method ONE: Press the WPS Button on Your Client Device

1. Keep the WPS Status as Enabled and click Add Device .

2. Select Press the WPS button of the new device within the next two minutes and click Connect .

3. Within two minutes, press the WPS button on your client device.

4. A success message will appear on the WPS page if the client device has been successfully added to the router’s network.

Method TWO: Enter the Client’s PIN

1. Keep the WPS Status as Enabled and click Add Device .

2. Select Enter new device PIN , enter your client device’s current PIN in the PIN filed and click Connect .

3. A success message will appear on the WPS page if the client device has been successfully added to the router’s network.

Method Three: Enter the Router’s PIN

1. Keep the WPS Status as Enabled and get the Current PIN of the router.

2. Enter the router’s current PIN on your client device to join the router’s Wi-Fi network.

4.3. Wireless Security

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to Wireless > Wireless Security .

3. Configure the security settings of your wireless network and click Save .

• Disable Wireless Security — The wireless security function can be enabled or disabled. If disabled, wireless clients can connect to the router without a password. It’s strongly recommended to choose one of the following modes to enable security.

• WPA-PSK/WPA2-Personal — It’s the WPA/WPA2 authentication type based on pre-shared passphrase.

• Version — Select Auto , WPA-PSK or WPA2-PSK .

• Encryption — Select Auto , TKIP or AES .

• Wireless Password — Enter ASCII or Hexadecimal characters. For Hexadecimal, the length should be between 8 and 64 characters; for ASCII, the length should be between 8 and 63 characters.

• Group Key Update Period — Specify the group key update interval in seconds. The value can be 0 or at least 30. Enter 0 to disable the update.

• WPA /WPA2-Enterprise — It’s based on Radius Server.

• Version — Select Auto , WPA or WPA2 .

• Encryption — Select Auto , TKIP or AES .

• RADIUS Server IP — Enter the IP address of the Radius server.

• RADIUS Server Port — Enter the port that Radius server used.

• RADIUS Server Password — Enter the password for the Radius server.

• Group Key Update Period — Specify the group key update interval in seconds. The value should be 30 or above. Enter 0 to disable the update.

• WEP — It is based on the IEEE 802.11 standard.

• Authentication Type — The default setting is Auto , which can select Shared Key or Open System authentication type automatically based on the wireless client’s capability and request.

• WEP Key Format — Hexadecimal and ASCII formats are provided here. Hexadecimal format stands for any combination of hexadecimal digits (0-9, a-f, A-F) in the specified length. ASCII format stands for any combination of keyboard characters in the specified length.

• WEP Key — Select which of the four keys will be used and enter the matching WEP key. Make sure these values are identical on all wireless clients in your network.

• Key Type — Select the WEP key length (64-bit, 128-bit or 152-bit) for encryption. Disabled means this WEP key entry is invalid.

• 64-bit — Enter 10 hexadecimal digits (any combination of 0-9, a-f and A-F. Null key is not permitted) or 5 ASCII characters.

• 128-bit — Enter 26 hexadecimal digits (any combination of 0-9, a-f and A-F. Null key is not permitted) or 13 ASCII characters.

4.4. Wireless MAC Filtering

Wireless MAC Filtering is used to deny or allow specific wireless client devices to access your network by their MAC addresses.

Deny or allow specific wireless client devices to access my network by their MAC addresses.

For example , you want the wireless client A with the MAC address 00:0A:EB:B0:00:0B and the wireless client B with the MAC address 00:0A:EB:00:07:5F to access the router, but other wireless clients cannot access the router

How can I do that?

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to Wireless > Wireless MAC Filtering .

3. Click Enable to enable the Wireless MAC Filtering function.

4. Select Allow the stations specified by any enabled entries in the list to access as the filtering rule.

5. Delete all or disable all entries if there are any entries already.

6. Click Add New and fill in the blank.

1 ) Enter the MAC address 00:0A:EB:B0:00:0B / 00:0A:EB:00:07:5F in the MAC Address field.

2 ) Enter wireless client A/B in the Description field.

3 ) Select Enabled in the Status drop-down list.

4 ) Click Save and click Back .

7. The configured filtering rules should be listed as the picture shows below.

Now only client A and client B can access your network.

4.5. Wireless Advanced

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to Wireless > Wireless Advanced .

3. Configure the advanced settings of your wireless network and click Save .

If you are not familiar with the setting items on this page, it’s strongly recommended to keep the provided default values; otherwise it may result in lower wireless network performance.

• Transmit Power — Select High , Middle or Low which you would like to specify for the router. High is the default setting and recommended.

• Beacon Interval — Enter a value between 40-1000 milliseconds for Beacon Interval here. Beacon Interval value determines the time interval of the beacons. The beacons are the packets sent by the router to synchronize a wireless network. The default value is 100.

• RTS Threshold — Here you can specify the RTS (Request to Send) Threshold. If the packet is larger than the specified RTS Threshold size, the router will send RTS frames to a particular receiving station and negotiate the sending of a data frame. The default value is 2346.

• Fragmentation Threshold — This value is the maximum size determining whether packets will be fragmented. Setting a low value for the Fragmentation Threshold may result in poor network performance because of excessive packets. 2346 is the default setting and is recommended.

• DTIM Interval — This value determines the interval of the Delivery Traffic Indication Message (DTIM). A DTIM field is a countdown field informing clients of the next window for listening to broadcast and multicast messages. When the router has buffered broadcast or multicast messages for associated clients, it sends the next DTIM with a DTIM Interval value. You can specify the value between 1-255 Beacon Intervals. The default value is 1, which indicates the DTIM Interval is the same as Beacon Interval.

• Enable Short GI — It is recommended to enable this function, for it will increase the data capacity by reducing the guard interval time.

• Enable Client Isolation — This function isolates all connected wireless stations so that wireless stations cannot access each other through WLAN. This function will be disabled if WDS/Bridge is enabled.

• Enable WMM — WMM function can guarantee the packets with high-priority messages being transmitted preferentially. It is strongly recommended to enable this function.

4.6. Wireless Statistics

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to Wireless > Wireless Statistics to check the data packets sent and received by each client device connected to the router.

• MAC Address — The MAC address of the connected wireless client.

• Current Status — The running status of the connected wireless client.

• Received Packets — Packets received by the wireless client.

• Sent Packets — Packets sent by the wireless client.

• SSID — SSID that the station associates with.

5. Guest Network

Guest Network allows you to provide Wi-Fi access for guests without disclosing your host network. When you have guests in your house, apartment, or workplace, you can create a guest network for them. In addition, you can customize guest network settings to ensure network security and privacy.

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to Guest Network .

3. Enable the Guset Network function.

4. Create a network name for your guest network.

5. Select the Security type and create the Password of the guest network.

6. Select Schedule from the Access Time drop-down list and customize it for the guest network.

• Allow Guest To Access My Local Network — If enabled, guests can access the local network and manage it.

• Guest Network Isolation — If enabled, guests are isolated from each other.

• Enable Guest Network Bandwidth Control — If enabled, the Guest Network Bandwidth Control rules will take effect.

The range of bandwidth for guest network is calculated according to the setting of Bandwidth Control on the Bandwidth Control page.

By default, the DHCP (Dynamic Host Configuration Protocol) Server is enabled and the router acts as a DHCP server; it dynamically assigns TCP/IP parameters to client devices from the IP Address Pool. You can change the settings of DHCP Server if necessary, and you can reserve LAN IP addresses for specified client devices.

6.1. DHCP Settings

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to DHCP > DHCP Settings .

3. Specify DHCP server settings and click Save .

• DHCP Server — Enable or disable the DHCP server. If disabled, you must have another DHCP server within your network or else you must configure the computer manually.

• Start IP Address — Specify an IP address for the DHCP Server to start with when assigning IP addresses. 192.168.0.100 is the default start address.

• End IP Address — Specify an IP address for the DHCP Server to end with when assigning IP addresses. 192.168.0.199 is the default end address.

• Address Lease Time — The Address Lease Time is the amount of time a network user will be allowed to connect to the router with the current dynamic IP Address. When time is up, the user will be automatically assigned a new dynamic IP address. The range of the time is 1

2880 minutes. The default value is 120.

• Default Gateway (Optional) — It is suggested to input the IP address of the LAN port of the router. The default value is 192.168.0.1.

• Default Domain (Optional) — Input the domain name of your network.

• DNS Server (Optional) — Input the DNS IP address provided by your ISP.

• Secondary DNS Server (Optional) — Input the IP address of another DNS server if your ISP provides two DNS servers.

To use the DHCP server function of the router, you must configure all computers on the LAN as Obtain an IP Address automatically .

6.2. DHCP Clients List

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to DHCP > DHCP Clients List to view the information of the clients connected to the router.

• Client Name — The name of the DHCP client.

• MAC Address — The MAC address of the DHCP client.

• Assigned IP — The IP address that the outer has allocated to the DHCP client.

• Lease Time — The time of the DHCP client leased. After the dynamic IP address has expired, a new dynamic IP address will be automatically assigned to the user.

You cannot change any of the values on this page. To update this page and show the current attached devices, click Refresh .

6.3. Address Reservation

You can reserve an IP address for a specific client. When you specify a reserved IP address for a PC on the LAN, this PC will always receive the same IP address each time when it accesses the DHCP server.

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to DHCP > Address Reservation .

3. Click Add New and fill in the blanks.

1 ) Enter the MAC address (in XX:XX:XX:XX:XX:XX format.) of the client for which you want to reserve an IP address.

2 ) Enter the IP address (in dotted-decimal notation) which you want to reserve for the client.

3 ) Leave the Status as Enabled .

The router’s NAT (Network Address Translation) feature makes the devices on the LAN use the same public IP address to communicate on the internet, which protects the local network by hiding IP addresses of the devices. However, it also brings about the problem that external hosts cannot initiatively communicate with the specified devices in the local network.

With the forwarding feature, the router can traverse the isolation of NAT so that clients on the internet can reach devices on the LAN and realize some specific functions.

The TP-Link router includes four forwarding rules. If two or more rules are set, the priority of implementation from high to low is Virtual Servers, Port Triggering, UPNP and DMZ.

7.1. Virtual Server

When you build up a server in the local network and want to share it on the internet, Virtual Servers can realize the service and provide it to internet users. At the same time virtual servers can keep the local network safe as other services are still invisible from the internet.

Virtual Servers can be used to set up public services in your local network, such as HTTP, FTP, DNS, POP3/SMTP and Telnet. Different service uses different service port. Port 80 is used in HTTP service, port 21 in FTP service, port 25 in SMTP service and port 110 in POP3 service. Please verify the service port number before the configuration.

Share my personal website I’ve built in local network with my friends through the internet.

For example , the personal website has been built in my home PC (192.168.0.100). I hope that my friends on the internet can visit my website in some way. My PC is connected to the router with the WAN IP address 218.18.232.154.

1. Set your PC to a static IP address, for example 192.168.0.100.

2. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

3. Go to Forwarding > Virtual Server .

4. Click Add New . Select HTTP from the Common Service Port list. The service port, internal port and protocol will be automatically filled in. Enter the PC’s IP address 192.168.0.100 in the IP Address field.

5. Leave the status as Enabled and click Save .

• It is recommended to keep the default settings of Internal Port and Protocol if you are not clear about which port and protocol to use.

• If the service you want to use is not in the Common Service Port list, you can enter the corresponding parameters manually. You should verify the port number that the service needs.

• You can add multiple virtual server rules if you want to provide several services in a router. Please note that the Service Port should not be overlapped.

Users on the internet can enter http:// WAN IP (in this example: http:// 218.18.232.154) to visit your personal website.

• If you have changed the default Service Port , you should use http:// WAN IP: Service Port to visit the website.

• Some specific service ports are forbidden by the ISP, if you fail to visit the website, please use another service port.

7.2. Port Triggering

Port triggering can specify a triggering port and its corresponding external ports. When a host in the local network initiates a connection to the triggering port, all the external ports will be opened for subsequent connections. The router can record the IP address of the host. When the data from the internet return to the external ports, the router can forward them to the corresponding host. Port triggering is mainly applied to online games, VoIPs, video players and common applications including MSN Gaming Zone, Dialpad, Quick Time 4 players and more.

Follow the steps below to configure the port triggering rules:

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to Forwarding > Port Triggering .

3. Click Add New . Select the desired application from the Common Service Port list. The Trigger Port amd Open Port will be automatically filled in. The following picture takes application MSN Gaming Zone as an example.

4. Leave the status as Enabled and click Save .

• You can add multiple port triggering rules as needed.

• The triggering ports can not be overlapped.

• If the application you need is not listed in the Common Service Port list, please enter the parameters manually. You should verify the open ports the application uses first and enter them in Open Port field. You can input at most 5 groups of ports (or port sections). Every group of ports must be set apart with “,”. For example, 2000-2038, 2050-2051, 2085, 3010-3030.

When a PC is set to be a DMZ (Demilitarized Zone) host in the local network, it is totally exposed to the internet, which can realize the unlimited bidirectional communication between internal hosts and external hosts. The DMZ host becomes a virtual server with all ports opened. When you are not clear about which ports to open in some special applications, such as IP camera and database software, you can set the PC to be a DMZ host.

DMZ is more applicable in the situation that users are not clear about which ports to open. When it is enabled, the DMZ host is totally exposed to the internet, which may bring some potential safety hazards. If DMZ is not in use, please disable it in time.

Make the home PC join the internet online game without port restriction.

For example , due to some port restriction, when playing the online games, you can log in normally but cannot join a team with other players. To solve this problem, set your PC as a DMZ host with all ports opened.

https://amdy.su/wp-admin/options-general.php?page=ad-inserter.php#tab-8

How can I do that?

1. Assign a static IP address to your PC, for example 192.168.0.100.

2. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

3. Go to Forwarding > DMZ .

4. Select Enable and enter the IP address 192.168.0.100 in the DMZ Host IP Address filed.

You’ve set your PC to a DMZ host and now you can make a team to game with other players.

The UPnP (Universal Plug and Play) protocol allows the applications or host devices to automatically find the front-end NAT device and send request to it to open the corresponding ports. With UPnP enabled, the applications or host devices on the local network and the internet can freely communicate with each other realizing the seamless connection of the network. You may need to enable the UPnP if you want to use applications for multiplayer gaming, peer-to-peer connections, real-time communication (such as VoIP or telephone conference) or remote assistance, etc.

• UPnP is enabled by default in this router.

• Only the application supporting UPnP protocol can use this feature.

• UPnP feature needs the support of operating system (e.g. Windows Vista/ Windows 7/ Windows 8, etc. Some of operating system need to install the UPnP components).

For example, when you connect your Xbox to the router which is connected to the internet to play online games, UPnP will send request to the router to open the corresponding ports allowing the following data penetrating the NAT to transmit. Therefore, you can play Xbox online games without a hitch.

If necessary, you can follow the steps to change the status of UPnP.

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to Forwarding > UPnP .

3. Click Disable or Enable according to your needs.

This function allows you to protect your home network from cyber attacks and unauthorized users by implementing these network security functions.

8.1. Basic Security

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to Security > Basic Security , and you can enable or disable the security functions.

• Firewall — A firewall protects your network from internet attacks.

• Enable SPI Firewall — SPI (Stateful Packet Inspection, also known as dynamic packet filtering) helps to prevent cyber attacks by tracking more state per session. It validates that the traffic passing through the session conforms to the protocol. SPI Firewall is enabled by default.

• VPN — VPN Passthrough must be enabled if you want to allow VPN tunnels using IPSec, PPTP or L2TP protocols to pass through the router’s firewall.

• PPTP Pass-through — Point-to-Point Tunneling Protocol (PPTP) allows the Point-to-Point Protocol (PPP) to be tunneled through an IP network. If you want to allow PPTP tunnels to pass through the router, you can keep the default (Enabled).

• L2TP Pass-through — Layer 2 Tunneling Protocol (L2TP) is the method used to enable Point-to-Point sessions via the internet on the Layer 2 level. If you want to allow L2TP tunnels to pass through the router, you can keep the default (Enabled).

• IPSec Pass-through — Internet Protocol Security (IPSec) is a suite of protocols for ensuring private, secure communications over Internet Protocol (IP) networks, through the use of cryptographic security services. If you want to allow IPSec tunnels to pass through the router, you can keep the default (Enabled).

• ALG — It is recommended to enable Application Layer Gateway (ALG) because ALG allows customized Network Address Translation (NAT) traversal filters to be plugged into the gateway to support address and port translation for certain application layer “control/data” protocols such as FTP, TFTP, H323 etc.

• FTP ALG — To allow FTP clients and servers to transfer data across NAT, keep the default Enable .

• TFTP ALG — To allow TFTP clients and servers to transfer data across NAT, keep the default Enable .

• H323 ALG — To allow Microsoft NetMeeting clients to communicate across NAT, keep the default Enable.

• SIP ALG — To allow some multimedia clients to communicate across NAT, click Enable .

• RTSP ALG — To allow some media player clients to communicate with some streaming media servers across NAT, click Enable .

8.2. Advanced Security

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to Security > Advanced Security , and you can protect the router from being attacked by ICMP-Flood, UDP Flood and TCP-SYN Flood.

• DoS Protection — Denial of Service protection. Select Enable or Disable to enable or disable the DoS protection function. Only when it is enabled, will the flood filters be enabled.

Dos Protection will take effect only when the Statistics in System Tools > Statistics is enabled.

• Enable ICMP-FLOOD Attack Filtering — Tick the checkbox to enable or disable this function.

• ICMP-FLOOD Packets Threshold (5

3600) — The default value is 50. Enter a value between 5

3600. When the number of the current ICMP-FLOOD packets is beyond the set value, the router will startup the blocking function immediately.

• Enable UDP-FLOOD Filtering — Tick the checkbox to enable this function.

• UDP-FLOOD Packets Threshold (5

3600) — The default value is 500. Enter a value between 5

3600. When the number of the current UPD-FLOOD packets is beyond the set value, the router will startup the blocking function immediately.

• Enable TCP-SYN-FLOOD Attack Filtering -Tick the checkbox to enable or disable this function.

• TCP-SYN-FLOOD Packets Threshold (5

3600) — The default value is 50. Enter a value between 5

3600. When the number of the current TCP-SYN-FLOOD packets is beyond the set value, the router will startup the blocking function immediately.

• Ignore Ping Packet From WAN Port — The default setting is disabled. If enabled, the ping packet from the internet cannot access the router.

• Forbid Ping Packet From LAN Port — The default setting is disabled. If enabled, the ping packet from LAN cannot access the router. This function can be used to defend against some viruses.

4. Click Blocked DoS Host List to display the DoS host table by blocking.

9. Parental Controls

Parental Controls allows you to block inappropriate and malicious websites, and control access to specific websites at specific time for your children’s devices.

For example, you want the children’s PC with the MAC address 00:11:22:33:44:AA can access www.tp-link.com on Saturday only while the parent PC with the MAC address 00:11:22:33:44:BB is without any restriction.

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to Parental Controls .

3. Tick the Enable Parental Controls checkbox, enter the MAC address 00:11:22:33:44:BB in the MAC Address of Parental PC field and then click Save .

4. Enter 00:11:22:33:44:AA in the MAC Address 1 field.

5. Select Each Week from the Apply To drop-down list, and select Sat. Select 00:00 as the Start Time and Select 24:00 as the End Time . And then click Add .

6. Enter www.tp-link.com in the Add URL field. Click Add .

10. Access Control

Access Control is used to deny or allow specific client devices to access your network with access time and content restrictions.

Deny or allow specific client devices to access my network with access tiem and content restrictions.

For example , If you want to restrict the internet activities of host with MAC address 00:11:22:33:44:AA on the LAN to access www.tp-link.com only, please follow the steps below:

How can I do that?

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to Access Control > Host and configure the host settings:

1 ) Click Add New .

2 ) Select MAC Address as the mode type. Create a unique description (e.g. host_1 ) for the host in the Description field and enter 00:11:22:33:44:AA in the MAC Address filed.

3. Go to Access Control > Target and configure the target settings:

1 ) Click Add New .

2 ) Select URL Address as the mode type. Create a unique description (e.g. target_1 ) for the target in the Target Description field and enter the domain name, either the full name or the keywords (for example TP-Link) in the Add URL Address field. And then Click Add .

Any URL address with keywords in it (e.g. www.tp-link.com) will be blocked or allowed.

4. Go to Access Control > Schedule and configure the schedule settings:

1 ) Click Add New .

2 ) Create a unique description (e.g. schedule_1 ) for the schedule in the Schedule Description field and set the day(s) and time period. And then click Add .

5. Go to Access Control > Rule and add a new access control rule.

1 ) Click Add New .

2 ) Give a name for the rule in the Description field. Select host_1 from the LAN host drop-down list; select target_1 from the target drop-down list; select schedule_1 from the schedule drop-down list.

3 ) Leave the status as Enabled as click Save .

When Target is set to be URL Address mode, the Direction field is OUT and not editable, which means the host can only visit or is not allowed to visit the URL address you set.

6. Select Enable Internet Access Control to enable Access Control function.

7. Select Allow the packets specified by any enabled access control policy to pass through the Router as the default filter policy and click Save .

Now only the specific host(s) can visit the target(s) within the scheduled time period.

When LAN Host and Target are both set to be the MAC Address mode, you need to set Protocol : ALL, TCP, UDP, ICMP. The default setting is ALL and it is recommended to keep the default setting.

11. Advanced Routing

Static Routing is a form of routing that is configured manually by a network administrator or a user by adding entries into a routing table. The manually-configured routing information guides the router in forwarding data packets to the specific destination.

11.1. Static Route List

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to Advanced Routing > Static Route List .

• To add static routing entries:

1. Click Add New .

2. Enter the following information .

• Destination IP Address — The Destination Network is the address of the network or host that you want to assign to a static route.

• Subnet Mask — The Subnet Mask determines which portion of an IP address is the network portion, and which portion is the host portion.

• Gateway — This is the IP address of the default gateway device that allows the contact between the router and the network or host.

3. Select Enabled or Disabled for this entry on the Status drop-down list.

11.2. System Routing Table

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to Advanced Routing > System Routing Table , and you can view all the valid route entries in use.

• Destination Network — The Destination Network is the address of the network or host to which the static route is assigned.

• Subnet Mask — The Subnet Mask determines which portion of an IP address is the network portion, and which portion is the host portion.

• Gateway — This is the IP address of the gateway device that allows for contact between the Router and the network or host.

• Interface — This interface tells you whether the Destination IP Address is on the LAN & WLAN (internal wired and wireless networks), or the WAN (Internet).

Click Refresh to refresh the data displayed.

12. Bandwidth Control

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to Bandwidth Control .

3. Tick the Enable Bandwidth Control checkbox, and configure the Egress Bandwidth and Ingress Bandwidth , and then click Save . The Egress/Ingress Bandwidth is the upload/download speed through the WAN port. The value should be less than 100,000Kbps.

4. Click Add New , fill in the blanks and click Save .

• IP Range — Interior PC address range. If both are blank or 0.0.0.0, the domain is noneffective.

• Port Range — The port range which the Interior PC access the outside PC. If all are blank or 0, the domain is noneffective.

• Protocol — Transport layer protocol, here there are ALL, TCP, UDP.

• Priority — Priority of Bandwidth Control rules. ‘1’ stands for the highest priority while ‘8’ stands for the lowest priority. The total Upstream/ Downstream Bandwidth is first allocated to guarantee all the Min Rate of Bandwidth Control rules. If there is any bandwidth left, it is first allocated to the rule with the highest priority, then to the rule with the second highest priority, and so on.

• Egress Bandwidth — The max and the min upload speed which through the WAN port.

• Ingress Bandwidth — The max and the min download speed through the WAN port.

13. IP & MAC Binding

IP & MAC Binding, namely, ARP (Address Resolution Protocol) Binding, is used to bind a network device’s IP address to its MAC address. This will prevent ARP spoofing and other ARP attacks by denying network access to a device with a matching IP address in the ARP list, but with an unrecognized MAC address.

13.1. Binding Settings

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to IP & MAC Binding > Binding Settings .

3. Select Enable for ARP Binding and click Save .

• To add IP & MAC Binding entries:

1. Click Add New .

2. Enter the MAC address and IP address.

3. Tick the Bind checkbox and click Save .

• To modify or delete an existing entry:

1. Select the desired entry in the table.

2. Click Edit or Delete Selected .

To manage a device, you can observe the device on the LAN by checking its MAC address and IP address on the ARP list, and you can also configure the items. This page displays the ARP list which shows all the existing IP & MAC Binding entries.

• MAC Address — The MAC address of the listed computer on the LAN.

• IP Address — The assigned IP address of the listed computer on the LAN.

• Status — Indicates whether or not the MAC and IP addresses are bound.

• Click the Load Selected button to load the selected items to the IP & MAC Binding list.

• Click the Delete Selected button to delete the selected items to the IP & MAC Binding list.

• Click the Refresh button to refresh all items.

An item can not be loaded to the IP & MAC Binding list if the IP address of the item has been loaded before.

The router offers the DDNS (Dynamic Domain Name System) feature, which allows the hosting of a website, FTP server, or e-mail server with a fixed domain name (named by yourself) and a dynamic IP address. Thus your friends can connect to your server by entering your domain name no matter what your IP address is. Before using this feature, you need to sign up for DDNS service providers such as www.comexe.cn, www.dyndns.org, or www.noip.com. The Dynamic DNS client service provider will give you a password or key.

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to Dynamic DNS .

If the dynamic DNS Service Provider you select is dyn.com/dns , the following page will appear.

To set up for DDNS, follow these instructions:

1. Enter the Domain Name you received from dynamic DNS service provider here.

2. Enter the Username for your DDNS account.

3. Enter the Password for your DDNS account.

• Connection Status — The status of the DDNS service connection is displayed here.

• Logout — Click Logout to log out of the DDNS service.

If the dynamic DNS Service Provider you select is www.noip.com , the following page will appear.

To set up for DDNS, follow these instructions:

1. Enter the Domain Name you received from dynamic DNS service provider.

2. Enter the Username for your DDNS account.

3. Enter the Password for your DDNS account.

• Connection Status — The status of the DDNS service connection is displayed here.

• Logout — Click Logout to log out of the DDNS service.

If the dynamic DNS Service Provider you select is www.comexe.cn , the following page will appear.

To set up for DDNS, follow these instructions:

1. Enter the Domain Name received from your dynamic DNS service provider.

2. Enter the Username for your DDNS account.

3. Enter the Password for your DDNS account.

• Connection Status — The status of the DDNS service connection is displayed here.

• Logout — Click Logout to log out of the DDNS service.

This function allows you to enable IPv6 function and set up the parameters of the router’s Wide Area Network (WAN) and Local Area Network (LAN).

15.1. IPv6 Status

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to IPv6 > IPv6 Status , and you can view the current IPv6 status information of the router.

• WAN — This section shows the current IPv6 Connection Type .

• TPv6 LAN — This section shows the current IPv6 information of the router’s LAN port, including IPv6 Address Type , Prefix Length and IPv6 Address .

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to IPv6 > IPv6 WAN . Select Enable IPv6 .

3. Select the WAN Connection Type and fill in the blanks according to your ISP, and then click Save .

• Dynamic IPv6 — Connections which use dynamic IPv6 address assignment.

• Static IPv6 — Connections which use static IPv6 address assignment.

• PPPoEv6 — Connections which use PPPoEv6 that requires a username and password.

• Tunnel 6to4 — Connections which use 6to4 address assignment.

• IPv6 Address — The IPv6 address assigned by your ISP dynamically.

• Prefix Length — The length of IPv6 address prefix.

• IPv6 Gateway — Enter the default gateway provided by your ISP.

• Addressing Type — There are two types of assignation for IPv6 address: SLAAC (Stateless address auto-configuration) and DHCPv6 (Dynamic Host Configuration Protocol for IPv6) Server.

• MTU(Bytes) — The normal MTU (Maximum Transmission Unit) value for most Ethernet networks is 1500 Bytes. For some ISPs, you may need to modify the MTU. But this is rarely required, and should not be done unless you are sure it is necessary for your ISP connection.

• Enable MLD Proxy — Enable the Multicast Listener Discovery (MLD) Proxy function if you need.

• Set IPv6 DNS Server manually — If your ISP gives you one or two DNS IPv6 addresses, select Set IPv6 DNS Server manually and enter the IPv6 DNS Server and Secondary IPv6 DNS Server into the correct fields. Otherwise, the DNS servers will be assigned from ISP dynamically.

If you get Address not found error when you access a Web site, it is likely that your DNS servers are set up improperly. You should contact your ISP to get DNS server addresses.

• IPv6 Address — Enter the IPv6 address provided by your ISP.

• Prefix Length — The length of IPv6 address prefix.

• IPv6 Gateway — Enter the default gateway provided by your ISP.

• IPv6 DNS Server — Enter the DNS IPv6 address provided by your ISP.

• Secondary IPv6 DNS Server — Enter another DNS IPv6 address provided by your ISP.

• Enable MLD Proxy — Enable the Multicast Listener Discovery (MLD) Proxy function if you need.

• PPP Username/Password — Enter the User Name and Password provided by your ISP. These fields are case-sensitive.

• Authentication Type – Choose one authentication type from AUTO-AUTH, PAP, CHAP and MS-CHAP.

• Addressing Type — There are two types of assignation for IPv6 address: SLAAC (Stateless address auto-configuration) and DHCPv6 (Dynamic Host Configuration Protocol for IPv6) Server.

• Enable MLD Proxy — Enable the Multicast Listener Discovery (MLD) Proxy function if you need.

• Use IPv6 address specified by ISP — Input a static IPv6 address from the ISP.

• Set IPv6 DNS Server manually — Enter the IP address of the IPv6 DNS server and secondary IPv6 DNS server.

• WAN Connection — Display the available wan connection.

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to IPv6 > IPv6 LAN and configure the IPv6 LAN settings as needed.

• Address Auto-Configuration Type — Select a type to assign IPv6 addresses to the computers in your LAN. RADVD and DHCPv6 Server are provided. I

• Site Prefix Configuration Type — The type of IPv6 address prefix.

• Delegated — Get the IPv6 address prefix from the ISP automatically, and the device will delegate it to the LAN.

• Static — Configure the Site Prefix and Site Prefix Length manually. Please contact your ISP to get more information before you configure them.

If your IPv6 wan connection type is “Tunnel 6to4”, the Site Prefix Configuration Type should be “Static” to make sure “Tunnel 6to4” works properly.

16. System Tools

16.1. Time Settings

This page allows you to set the time manually or to configure automatic time synchronization. The router can automatically update the time from an NTP server via the internet.

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to System Tools > Time Settings .

• To set time manually:

1. Select your local Time Zone .

2. Enter the Date in Month/Day/Year format.

3. Enter the Time in Hour/Minute/Second format.

• To set time automatically:

5. Select your local Time Zone .

6. Enter the address or domain of the NTP Server 1 or NTP Server 2 .

7. Click Get GMT to get time from the internet if you have connected to the internet.

• To set Daylight Saving Time:

1. Select Enable Daylight Saving .

2. Select the start time from the drop-down list in the Start fields.

3. Select the end time from the drop-down list in the End fields.

This setting will be used for some time-based functions such as firewall. You must specify your time zone once you log in to the router successfully; otherwise, time-based functions will not take effect.

Diagnostic is used to test the connectivity between the router and the host or other network devices.

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to System Tools > Diagnostic .

• Diagnostic Tool — Select one diagnostic tool.

• Ping — This diagnostic tool troubleshoots connectivity, reachability, and name resolution to a given host or gateway.

• Tracerouter — This diagnostic tool tests the performance of a connection.

You can use ping/traceroute to test both numeric IP address or domain name. If pinging/tracerouting the IP address is successful, but pinging/tracerouting the domain name is not, you might have a name resolution problem. In this case, ensure that the domain name you are specifying can be resolved by using Domain Name System (DNS) queries.

• IP Address/Domain Name — Enter the destination IP address (such as 192.168.0.1) or Domain name (such as www.tp-link.com).

• Pings Count — The number of Ping packets for a Ping connection.

• Ping Packet Size — The size of Ping packet.

• Ping Timeout — Set the waiting time for the reply of each Ping packet. If there is no reply in the specified time, the connection is overtime.

• Traceroute Max TTL — The max number of hops for a Traceroute connection.

3. Click Start to check the connectivity of the internet.

4. The Diagnostic Results page displays the diagnosis result. If the result is similar to the following figure, the connectivity of the internet is fine.

16.3. Firmware Upgrade

TP-Link is dedicated to improving and richening the product features, giving users a better network experience. We will release the latest firmware at TP-Link official website
www.tp-link.com . You can download the lastest firmware file from the Support page of our website and upgrade the firmware to the latest version.

1. Download the latest firmware file for the router from our website www.tp-link.com .

2. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

3. Go to System Tools > Firmware Upgrade .

4. Click Choose File to locate the downloaded firmware file, and click Upgrade .

16.4. Factory Defaults

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to System Tools > Factory Defaults . Click Restore to reset all settings to the default values.

• Default Username : admin

• Default Password : admin

• Default IP Address : 192.168.0.1

• Default Subnet Mask : 255.255.255.0

16.5. Backup & Restore

The configuration settings are stored as a configuration file in the router. You can backup the configuration file in your computer for future use and restore the router to the previous settings from the backup file when needed.

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to System Tools > Backup & Restore .

• To backup configuration settings:

Click Backup to save a copy of the current settings in your local computer. A “.bin“ file of the current settings will be stored in your computer.

• To restore configuration settings:

1. Click Choose File to locate the backup configuration file stored in your computer, and click Restore .

2. Wait a few minutes for the restoring and rebooting.

During the restoring process, do not power off or reset the router.

Some settings of the router will take effect only after rebooting, including:

• Change the LAN IP Address (system will reboot automatically).

• Change the DHCP Settings.

• Change the Working Modes.

• Change the Web Management Port.

• Upgrade the firmware of the router (system will reboot automatically).

• Restore the router to its factory defaults (system will reboot automatically).

• Update the configuration with the file (system will reboot automatically).

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to System Tools > Reboot .

• To reboot manually

Click Reboot , and wait a few minutes for the router to rebooting.

• To reboot automatically

• Select Timeout in the drop-down list of Enable Auto Reboot and specify a time period (1-72hours), then the router will reboot automatically after every this interval.

• Select Schedule in the drop-down list of Enable Auto Reboot and specify the Time when the router reboots and Day which to decide how often it reboots.

16.7. Account Management

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to System Tools > Administrator , and focus on the Account Management section. You can change the factory default username and password of the router.

It is strongly recommended that you change the default username and password of the router, for all users that try to access the router’s web-based utility or Quick Setup will be prompted for the router’s username and password.

The new username and password must not exceed 15 characters and not include any spacing.

16.8. Local Management

This feature allows you to block computers on the LAN from accessing the router by using the MAC/IP-based authentication.

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to System Tools > Administrator , and focus on the Service Configuration section.

• Allow all LAN conencted devices to manage the router locally

1. Keep the Available Host (IP/MAC) empty, which means you don’t specify any host to manage the router.

2. If you want to access the router via both HTTPS and HTTP, please tick the Enable checkbox in HTTPS Service column. Otherwise, keep it disbled.

3. Keep the local management port as default if you don’t know which port to use.

If the web management port conflicts with the one used for Virtual Server entry, the entry will be automatically disabled after the setting is saved.

• Allow a specific device to manage the router locally

1. Enter the IP or MAC address of the host that you want to manage the router in the Available Host (IP/MAC) entry . The format of the MAC address is XX:XX:XX:XX:XX:XX (X is any hexadecimal digit).

2. If you want to access the router via both HTTPS and HTTP, please tick the Enable box in HTTPS Service column. Otherwise, keep it disbled.

3. Keep the Port as default if you don’t know which port to use.

If your PC is blocked but you want to access the router again, press and hold the Reset button to reset the router to the factory defaults.

Download and install the certificate for management via HTTPS if you need it. Once the certificate is installed, warnings will not pop up when you access the router via HTTPS.

16.9. Remote Management

This feature allows you to manage your router from a remote location via the internet.

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to System Tools > Administrator , and focus on the Service Configuration section.

• Forbid all devices to manage the router remotely

Do not tick the Enable checkbox in both HTTP Service and HTTPS Service .

• Allow all devices to manage the router remotely

1. Tick the Enable checkbox in HTTP Service .

2. If you want to access the router via both HTTPS and HTTP, please tick the Enable checkbox in HTTPS Service column. Otherwise, keep it disbled.

3. For higher security, you can c hange the remote management web port by entering a number between 1024 and 65534.

• Allow a specific device to manage the router remotely

1. Tick the Enable checkbox in HTTP Service .

2. If you want to access the router via both HTTPS and HTTP, please tick the Enable checkbox in HTTPS Service column. Otherwise, keep it disbled.

3. For higher security, you can c hange the remote management web port by entering a number between 1024 and 65534.

4. Enter the IP or MAC address of the host that you want to manage the router in the Available Host (IP/MAC) entry . The format of the MAC address is XX:XX:XX:XX:XX:XX (X is any hexadecimal digit).

Download and install the certificate for management via HTTPS if you need it. Once the certificate is installed, warnings will not pop up when you access the router via HTTPS.

• To access the router, enter your router’s WAN IP address in your browser’s address bar, followed by a colon and the custom port number. For example, if your router’s WAN address is 202.96.12.8, and the port number used is 8080, please enter http://202.96.12.8:8080 in your browser. Later, you may be asked for the router’s password. After successfully entering the username and password, you will be able to access the router’s web management page.

• Be sure to change the router’s default password for security purposes.

16.10. System Log

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to System Tools > System Log , and you can view the logs of the router.

• Loge Type -By selecting the log type, only logs of this type will be shown.

• Log Level — By selecting the log level, only logs of this level will be shown.

• Refresh — Refresh the page to show the latest log list.

• Clear Log — All the logs will be deleted from the router permanently, not just from the page.

1. Visit http://tplinkwifi.net , and log in with the username and password you set for the router.

2. Go to System Tools > Traffic Statistics .

3. Select Enable and click Save . You can view the network traffic of each PC on the LAN, including total traffic and the value of the last Packets Statistic interval in seconds.

Click Logout at the bottom of the main menu, and you will log out of the web management page and return to the login window.

Что такое IGMP snooping?

Image from FS Community media library

Традиционный режим одноадресной передачи по сети не отвечает современным требованиям к передаче данных, поскольку вместо этого он увеличивает нагрузку на сеть и значительно потребляет пропускную способность сети. Чтобы решить эту проблему, разработан Snooping IGMP (Internet Group Management Protocol), который теперь широко настраивается в режиме многоадресной передачи по сети. Что такое IGMP Snooping? Как работает многоадресная IGMP Snooping? И что вы должны знать о конфигурациях IGMP Snooping? Все эти вопросы будут объяснены в этом посте.

Что такое IGMP Snooping?

IGMP ( Internet Group Management) Protocol – протокол управления сетью мультивещания, который организует несколько устройств в группы. Он основан на протоколе IP и применяется в интернете повсеместно, эффективно используя ресурсы сети.

IGMP snooping – процесс отслеживания multicast-трафика между группой потребителей и хостом. Включенная функция snooping начинает анализировать запросы пользователя на соединение с мультивещательной группой и добавляет порт в список IGMP-вещания. После завершения использования мультитрафика, пользователь оставляет запрос и протокол, удаляет порт из списка групповой передачи данных. Таким образом snooping исключает передачу пользователю ненужных данных через multicast каналы.

Как работает IGMP Snooping?

В локальной сети многоадресные пакеты должны проходить через коммутаторы уровня 2 между маршрутизатором и пользователями многоадресной рассылки. Однако многоадресные пакеты могут транслироваться всем хостам в широковещательном домене, включая не входящих членов группы без многоадресной рассылки, так как коммутатор уровня 2 не может узнать многоадресные MAC-адреса. Это приводит к потере пропускной способности сети и угрожает информационной безопасности сети.

IGMP Snooping решает эту проблему. Как показано на рисунке выше, когда IGMP Snooping не выполняется на коммутаторе, многоадресные пакеты передаются на Хост A, B, C. Но когда IGMP Snooping включено, коммутатор Snooping IGMP может прослушивать и анализировать сообщение IGMP и устанавливать Записи многоадресной пересылки уровня 2 для управления пересылкой многоадресных данных. Таким образом, пакеты многоадресной рассылки являются только членами групп многоадресной рассылки для получателей A и C, а не шировещательными всем узлам.

Виды IGMP snooping

Существуют две вида IGMP snooping: активный и пассивный.

Пассивный IGMP snooping просто прослушивает IGMP трафик, никак не фильтруя его, не интерферируя с IGMP никоим образом.

Активное отслеживание. Не только пассивно прослушивает трафик, но и фильтрует его с целью эффективного использования мультивещания в сети. Активный IGMP snooping минимизирует обмен информацией, отсеивая запросы к роутеру на подключение и отключение. Идеальное состояние коммутатора – наличие одного потребителя на каждую мультикастовую группу вещания, к чему стремится алгоритм протокола.

Snooping с активным алгоритмом ускоряет передачу данных и улучшает качество сети, но при этом создаёт дополнительную нагрузку на коммутатор. Фильтрация требует от устройства определённых затрат ресурсов памяти и CPU, тогда как простое отслеживание или ретрансляция – менее требовательная процедура. При этом активное отслеживание передаёт маршрутизатору данные только о самом последнем участнике группы, чтобы устройство не определило это, как отсутствие потребителей в канале, и не исключило порт из списка.

Каковы функции и приложения IGMP Snooping?

Как упоминалось ранее, два основных преимущества коммутатора IGMP Snooping — это предотвращение потери пропускной способности и утечки сетевой информации.

Multicast Snooping помогает сетевым коммутаторам поддерживающим IGMP Snooping, и маршрутизаторам эффективно передавать многоадресные пакеты данных назначенным получателям. Его важные значения становятся более понятными, когда отсутствует метод фильтрации многоточечной передачи: входящие многоадресные пакеты транслируются всем хостам в широковещательном домене. Особенно в больших сетях коммутатор IGMP Snooping уменьшает чрезмерно высокий трафик, который может даже привести к перегрузке сети. Преступники могут воспользоваться этой безопасной утечкой и залить отдельные хосты или всю сеть многоадресными пакетами, чтобы сломать их, как при обычной DoS / DDoS-атаке.

Если команда IGMP snooping включена, пропускная способность и такие враждебные атаки будут значительно оптимизированы. Все нисходящие хосты получают только многоадресные пакеты, для которых они ранее зарегистрированы через групповые запросы. Поэтому использование сетевого коммутатора с поддержкой IGMP Snooping целесообразно везде, где требуется большая пропускная способность. Примеры включают IPTV и другие потоковые сервисы, а также решения для веб-конференций. Однако сети с небольшим количеством подписчиков и едва ли многоадресным трафиком не получают выгоды от процедуры фильтрации. Даже если коммутатор или маршрутизатор предлагает функцию многоадресной IGMP Snooping, она должна оставаться отключенной, чтобы предотвратить ненужное прослушивание.

Соображения по конфигурациям IGMP Snooping

Основные функции IGMP Snooping позволяют устройству создавать и поддерживать таблицу многоадресной пересылки уровня 2 и осуществлять многоадресную передачу данных по требованию на канальном уровне. Перед настройкой функций IGMP Snooping вы должны рассмотреть следующие элементы.

IGMP Snooping Querier

Для включения IGMP Snooping, многоадресный маршрутизатор должен быть развернут в топологии сети для генерации запросов IGMP. Без запроса отчеты о членстве в IGMP и таблицы членства в группах не могут регулярно извлекаться и обновляться, что приводит к нестабильной работе IGMP Snooping. Когда IGMP Snooping Querier настроен, он отправляет запросы IGMP через определенный интервал времени, чтобы генерировать сообщения отчетов IGMP от сетевого коммутатора с многоадресным членством. И IGMP Snooping прослушивает эти отчеты IGMP для установления соответствующей переадресации.

IGMP Snooping Proxy

IGMP Snooping proxy — расширенная функция. При включении коммутатора IGMP Snooping начинает работать так же, как и IGMP Snooping, а затем, когда коммутатор получает запрос IGMP от маршрутизатора, он незамедлительно отвечает в соответствии со своим состоянием. Если этот параметр отключен, запросы IGMP в VLAN и отчеты с узлов затопляются. Таким образом, прокси-сервер IGMP Snooping предотвращает внезапный всплеск трафика отчетов IGMP в ответ на запросы и уменьшает количество запросов IGMP, необходимых для обработки. Однако задержка вводится при распространении состояния IGMP через VLAN.

Версия IGMP Snooping

IGMP имеет три версии протокола: V1, V2 и V3. Соответственно, вы можете выбрать версию IGMP Snooping на устройстве уровня 2 для обработки сообщений IGMP в разных версиях. Обычно IGMPv1 идентифицирует запрашиваемый маршрутизатор на основе протокола многоадресной маршрутизации. IGMPv2 добавляет возможность групповых запросов, позволяя запрашивающему отправлять сообщения хостам в многоадресной группе. IGMPv3 приносит больше улучшений для поддержки фильтрации определенных источников

Заключение

IGMP Snooping является важной особенностью сетевых коммутаторов. Когда он включен, потребление полосы пропускания будет уменьшено в среде локальной сети с множественным доступом, чтобы избежать переполнения всей VLAN, и в то же время можно повысить безопасность информации о сети. Таким образом, выяснение конфигураций и функций IGMP Snooping поможет вам построить оптимизированную сеть.

Enable IGMP Snooping On or Off

IGMP Snooping is a common advanced option available on most of the routers. In this Layman’s IGMP Snooping guide, we will go over what IGMP Snooping does, and when you might need to enable IGMP Snooping configuration.

What is IGMP Snooping

From the default router advanced settings tooltip on an Asus branded router:
When enabled, IGMP Snooping monitors IGMP communications among devices and optimizes wireless multicast traffic.

This definition does not really explain much. However, a simpler way to put it is that IGMP Snooping can be enabled so that your router acts as a mailman or gate for the multicast traffic.

When your network has plenty of multicast traffic, the performance for the entire network can take a hit because of excessive false flooding. IGMP Snooping optimizes that performance overhead. The Router decides which devices will receive the applicable multicast traffic to improve the overall network speed.

But if you have little multicast traffic to begin with, say your home based wireless network where you just use it for basic internet and gaming use. IGMP Snooping will not help with any of the wifi performance issue. It will in fact be wasted resources for your router to listen or monitor for nonexistent type of traffic on your wifi setup.

When to Enable IGMP Snooping for Home Use

For a home based network, you should enable it when you frequently use any kind of streaming or mirroring from your devices to stream to Apple TV or Chromecast. In some brand firmware such as Asus, enabling IGMP Snooping can fix some of the Apple TV Airplay mirroring issues.

One of the most commonly reported problem is that Apple TV’s streaming function does not work when you stream with Airplay mirroring from a device such as iphone, ipad, or mac connected with a 5 Ghz frequency. (However you can still use mirroring with a 2.4 Ghz frequency).

You should generally leave the IGMP Snooping option as disabled if you do not use mirroring functions or other type of multicast traffic. In this case, leaving IGMP Snooping as “enabled” has no advantage and can waste some of the processing power since your router will be constantly monitoring applicable multicast transmissions that simply do not exist on your network.

Оптимизация передачи multicast-трафика в локальной сети с помощью IGMP snooping

Всем привет! Сегодня хотел бы затронуть тему передачи multicast-трафика в локальной корпоративной сети, а именно работу технологии IGMP snooping на коммутаторах. Так получилось, что за последнюю неделю ко мне обратилось несколько человек с вопросами по этой технологии. И я решил подготовить небольшую статью с описанием данной технологии. Но в процессе подготовки, выяснилось, что краткостью здесь не отделаешься, так как есть о чём написать. Кому интересен вопрос работы IGMP snooping, добро пожаловать под кат.

Достаточно часто мы не особенно задумываемся над тем, как передаётся multicast-трафик в пределах нашего L2-домена корпоративной сети. Напомню, multicast-трафик (он же «многоадресный трафик») предназначен для передачи данных определённой группе устройств. По умолчанию коммутатор передаёт multicast-трафик как broadcast (широковещательный), т.е. на все порты без исключения. Это обусловлено тем, что в пакете multicast в качестве MAC-адреса получателя использует специально сформированный адрес, никому не принадлежащий в сети. Если multicast-трафика не много, это не создаёт больших проблем и чаще всего администратор не предпринимает никаких мер по оптимизации его передачи. Если же такого трафика много или хочется просто «причесать» сеть, встаёт задача ограничить его распространение. Тут на помощь приходят различные технологии оптимизации передачи multicast-трафика на канальном уровне (IGMP snooping, CGMP и пр.). Наиболее распространённой и мультивендорной является технология IGMP snooping. IGMP snooping на многих устройствах включён по умолчанию. Например, это справедливо для коммутаторов Cisco. Но как часто бывает, счастье из коробки получить удаётся далеко не во всех случаях. Включённый IGMP snooping не всегда даёт предполагаемый результат и multicast-трафик в ряде случаев почему-то продолжает литься из всех портов. Давайте попробуем со всем этим разобраться.

Начать стоит с аббревиатуры IGMP. Всем нам известно, что когда в сети появляется устройство, которое хочет получать определённый multicast-трафик, это устройство сообщает о своём желании по средствам протокола IGMP (Internet Group Management Protocol). На многих устройствах по умолчанию используется IGMP версии 2. Обмен сообщениями данного протокола в самом простом случае выглядит следующим образом:

IGMP Membership Report

Так как все сообщения IGMP проходят через коммутатор, он мог бы их анализировать, чтобы определить за какими портами находятся те или иные получатели multicast-трафика. И далее на основании этой информации передавать трафик только туда, куда это необходимо. Собственно, именно этим и занимается технология IGMP snooping.

Реализация IGMP snooping у разных производителей сетевого оборудования в каких-то нюансах может отличается. Но в целом схема работы похожа. Предлагаю в общих чертах рассмотреть её работу на примере коммутаторов Cisco. Далее мы посмотрим на весь процесс более детально:

Далее коммутатор отправляет в сторону маршрутизатора IGMP Report, содержащий такую же информацию, как была получена от устройства.

IGMP Leave

Источник и получатель потокового multicast-трафика будет реализован через VLC media player (далее VLC проигрыватель).

IGMP snooping отключён, источник multicast-трафика находится в другой сети

Начнём с того, что рассмотрим передачу multicast-трафика без использования технологии IGMP snooping. Для начала отключим IGMP snooping. Как мы помним, на оборудовании Cisco он включён по умолчанию:

На роутере включаем маршрутизацию multicast-трафика и запускаем протокол маршрутизации multicast-трафика PIM (Protocol Independent Multicast) в режиме dense-mode. Нам не принципиален режим. Главное, чтобы маршрутизатор запустил IGMP на нужном нам интерфейсе и обеспечил передачу через себя multicast-трафика.

На источнике включаем VLC проигрыватель в режиме передачи потокового трафика. Это и будет наш источник multicast-трафика. В качестве адреса группы будем использовать 230.255.0.1. Передавать по сети будем только аудио. В качестве передаваемой композиции выбираем Adele Rolling in the Deep. Момент важный, так как именно она лучше всего передаётся по сети (факт проверен).

С проблемой маршрутизации multicast-трафика я столкнулся уже при настройке первого компьютера, который должен был стать источником. В качестве подопытных я взял несколько ноутбуков, которыми пользуются инженеры компании.

Я установил VLC проигрыватель, настроил передачу потокового аудио и… ничего не увидел в дампе Wireshark на внешнем интерфейсе данного компьютера.

Заглянув в таблицу маршрутизации, я увидел два маршрута в сеть 224.0.0.0/4 с абсолютно одинаковой метрикой 276. Причем первым в списке шёл маршрут через некий интерфейс с адресом 169.254.55.11. И только вторым шёл маршрут через нормальный интерфейс данного компьютера (172.17.16.11).

В связи с этим все multicast-пакеты заворачивались на непонятный интерфейс. Заглянув в сетевые подключения, я обнаружил активированный интерфейс Cisco Systems VPN Adapter. Данный интерфейс появляется в системе, когда на компьютер устанавливается Cisco VPN client. Это достаточно старое решение для подключения по VPN и, видимо, его просто забыли удалить.

Отключение данного интерфейса решило проблему.

Далее на клиенте включаем VLC проигрыватель в режиме получения потокового аудио для группы 230.255.0.1.

Когда я перешёл к настройке получателя потокового аудио, у меня сходу не заработало. Тут я нисколечко не удивился, а сразу полез в таблицу маршрутизации. На этом компьютере симптомы были идентичные: multicast-пакеты не появлялись на проводном интерфейсе.

И опять я обнаружил два маршрута в сеть 224.0.0.0/4 с абсолютно одинаковой метрикой 306. Но теперь первым был стандартный маршрут loopback интерфейса. Обычно метрика маршрута для этого интерфейса больше, метрики через другие интересы. По какой-то причине в моём случае они были равны.

Как оказалось, кто-то на данном ноутбуке в ручном режиме выставил метрику проводного интерфейса.

После того, как я установил галочку «Автоматическое изучение метрики», multicast-пакеты стали нормально уходить с данного компьютера.

В итоге на обоих компьютерах была проблема с маршрутизацией multicast-трафика, но в каждом случае источник проблемы был свой.

Сразу видим, как пошёл multicast-трафик. В нашем случае это пакеты потокового вещания, на транспортном уровне использующее протокол UDP.

По дампу видно, что получатель запросил трафик (отправил сообщение IGMP Report) и маршрутизатор сразу же начал транслировать в сеть нужный multicast-трафик. Сообщений IGMP Report целых два. Видимо, второе VLC проигрыватель отправляет для верности. Одного сообщения вполне было бы достаточно.

Проверяем таблицу маршрутизации multicast-трафика на маршрутизаторе. В ней появились записи, свидетельствующие о том, откуда и куда передаётся трафик:

Видим, что источником multicast-трафика является хост 172.17.16.11. При этом получатели находятся за интерфейсом GigabitEthernet0/0/1.115. Маршрутизатор запоминает только, куда слать трафик. Базу самих получателей он не ведёт (такая возможность есть в IGMPv3).

Давайте посмотрим на дамп трафика на клиенте, отфильтрованный по сообщениям IGMP:

«Воспроизведение»

Получив данное сообщение, маршрутизатор начинает трансляцию multicast-трафика (потокового аудио) в локальную сеть и на нашем клиенте мы начинаем слышать передаваемую по сети музыку.

Дамп трафика с компьютера в том же сегменте сети, но не участвующего в получении потокового трафика:

Точно также будут обстоять дела со всеми IGMP сообщениями. Они будут рассылаться на все порты без исключения. Что является абсолютно логичным, так как во всех этих сообщениях в качестве адреса получателя используется multicast-адрес.

IGMP snooping включён, источник multicast-трафика находится в другой сети

Теперь перейдём к рассмотрению ситуации, когда на коммутаторе включен IGMP snooping. Запускаем IGMP snooping на Cisco 2960x:

Для начала проверяем, удалось ли коммутатору обнаружить маршрутизатор. Как мы помним, это первый пункт в списке задач IGMP snooping:

Видим, что за портом Gi1/0/19 спрятался наш маршрутизатор. Как мы ранее обсуждали, коммутатор подсматривает за наличием в сети пакетов, свидетельствующих о присутствии маршрутизатора. В случае 2960x коммутатор ждёт пакеты IGMP General Query, PIM или DVMRP.

Коммутатор увидел сообщение PIMV2 Hello от маршрутизатора на порту Gi1/0/19 и добавил себе об этом информацию.

Снова запускаем нашу трансляцию потокового аудио и смотрим, что мы имеем на маршрутизаторе:

Появился источник трафика — 172.17.16.11. Получателей пока нет, о чём свидетельствует строка: Outgoing interface list: Null.

Запускаем клиент VLC, нажимаем кнопку «Воспроизведение» и наслаждаемся музыкой. Параллельно смотрим Wireshark, где видим, как идут multicast-пакеты потокового вещания:

Теперь самое интересное. Анализируем сообщения IGMP на стыке получатель-коммутатор и коммутатор-маршрутизатор.

Пройдём по основным шагам:

1. После нажатия кнопки «Воспроизведение» в проигрывателе VLC, наш компьютер запрашивает получение multicast-трафика для группы 230.255.0.1, отправив сообщение IGMP Report.

Прим. Пакеты на получателе

Коммутатор, когда получил сообщение IGMP Report, заносит себе информацию, о том, что за его портом (в нашем случае – это порт GE0/0/15) есть получатель трафика для группы с MAC-адресом 01:00:5e:7f:00:01.

2. IGMP Report попадает на маршрутизатор. Если мы заглянем в само сообщение, то увидим, что это оригинальное сообщение от нашего ПК. Коммутатор его просто переслал на порт, куда подключен маршрутизатор:

Прим. Пакеты на маршрутизаторе. Подчёркнутый MAC адрес принадлежит ПК

Если бы на коммутаторе уже был клиент, который получал трафик для группы 230.255.0.1, коммутатор бы просто начал трансляцию трафика через наш порт (GE0/0/15) и больше ничего не предпринимал бы. Это логично, так как у коммутатора уже был бы нужный трафик, который следовало просто завернуть на ещё один порт. Но в нашем примере, данный клиент первый.

3. Маршрутизатор начинает трансляцию потокового трафика в локальную сеть.

Прим. Пакеты на маршрутизаторе

4. Коммутатор в свою очередь передаёт трафик на порт GE0/0/15, куда подключен наш ПК.

Прим. Пакеты на получателе

5. Компьютер отправляет повторный запрос на получение multicast-трафика (специфика реализации поддержки IGMP на VLC проигрывателе).

Прим. Пакеты на получателе

Так как оно не очень вписывается в нормальное поведение, коммутатор данное сообщение сбрасывает. В связи с этим на маршрутизаторе мы его уже не видим.

6. Периодически маршрутизатор рассылает сообщения IGMP General Query.

7. Коммутатор транслирует их без изменений на все свои порты.

Прим. Пакеты на получателе. Подчёркнутый MAC адрес принадлежит маршрутизатору

8. Компьютер откликается на данное сообщение, отправляя в обратную сторону IGMP Report для группы 230.255.0.1.

9. Коммутатор пересылает первое полученное сообщение IGMP Report (а в данном примере сообщение от нашего компьютера и является первым) в сторону маршрутизатора.

Прим. Пакеты на маршрутизаторе. Подчёркнутый MAC адрес принадлежит получателю

Коммутатор, получив первое сообщение IGMP Report пересылает его только в сторону маршрутизатора. Другим получателям данное сообщение не передаётся, в отличии от обычной схемы работы без IGMP snooping. Т.е. механизм Report Suppression нарушается. Таким образом каждый получатель вынужден будет отправить своё сообщение IGMP Report в ответ на IGMP General Query. Получив такие сообщения, коммутатор актуализирует свою базу соответствия получателей multicast-трафика и внутренних портов.

10. Наживаем кнопку «Остановить» в проигрывателе VLC. Компьютер отправляет сообщение IGMP Leave, о том, что он больше не хочет получать multicast-трафик для группы 230.255.0.1.

Прим. Пакеты на получателе

11. На компьютер приходит сообщение IGMP Group-Specific Query для группы 230.255.0.1. Если мы его развернём, мы увидим, что данное сообщение отправил коммутатор:

Прим. Пакеты на получателе. Подчёркнутый MAC адрес принадлежит коммутатору. При этом IP-адрес отправителя коммутатор использовал 172.17.15.1 (это адрес маршрутизатора)

Т.е. коммутатор, получив сообщение IGMP Leave, выполняет проверку, нет ли других устройств за данным портом, желающих получать multicast-трафика для группы 230.255.0.1.

В сторону маршрутизатора коммутатор ничего не отправляет. Пока коммутатор никак не тревожит маршрутизатор, так как он ещё не уверен, что нужно что-то делать с multicast-трафиком.

12. Ровно через одну секунду коммутатор отправляет повторное сообщение IGMP Group-Specific Query.

13. И ещё через одну секунду, не получив в ответ ни одного IGMP Report, прекращает передавать multicast-трафик на данный порт.

Прим. Пакеты на получателе. Трансляция прекратилась в 13:32:58:58

14. После того, как коммутатор понял, что за портом, где было принято сообщение IGMP Leave, больше нет получателей, он проверяет, а есть ли у него получатели за другими портами. Для этого он смотрит у себя в таблице MAC-адресов наличие записей для MAC-адреса 01:00:5e:7f:00:01 (как мы помним, это MAC-адрес группы 230.255.0.1). Если бы к данному коммутатору были подключены другие получатели, коммутатор на этом бы остановился и продолжил передавать multicast-трафик. Но в нашем случае, других получателей нет. Поэтому он отправляет маршрутизатору сообщение IGMP Leave.

Прим. Пакеты на маршрутизаторе. Подчёркнутый MAC адрес принадлежит коммутатору

15. Получив сообщение IGMP Leave, маршрутизатор, начинает проверку наличия других получателей трафика. Он же не знает, что коммутатор уже сам всё проверил. Маршрутизатор отправляет сообщение IGMP Group-Specific Query для группы 230.255.0.1.

16. Это сообщение коммутатор транслирует на все свои порты. В том числе на порт, куда подключён наш компьютер. Как видно из дампа теперь данное сообщение отправлено маршрутизатором:

Прим. Пакеты на получателе. Подчёркнутый MAC адрес принадлежит маршрутизатору

17. Через одну секунду после отправки первого сообщения маршрутизатор отправляет повторное сообщение IGMP Group-Specific Query.

18. И ещё через одну секунду, не получив в ответ ни одного IGMP Report (что ожидаемо, так как мы уже знаем, что коммутатору до этого никто не откликнулся), маршрутизатор прекращает передавать потоковый трафик в данный сегмент локальной сети.

Прим. Пакеты на маршрутизаторе. Трансляция прекратилась в 13:33:00:65

19. Маршрутизатор продолжает раз в минуту рассылать сообщение IGMP General Query.

20. Коммутатор в свою очередь транслирует его на все свои порты.

Я специально отфильтровал дампы таким образом, чтобы было точно видно, в какой момент начинается трансляция трафика, а в какой завершается. Большую часть UDP пакетов я убрал для большей наглядности.

Дамп на получателе (получатель-коммутатор):

Дамп на маршрутизаторе (коммутатор-маршрутизатор):

Резюмируя, можно сказать следующее. Коммутатор перехватывает все сообщения IGMP от клиентов. Анализирует их. И в зависимости от ситуации пересылает эти сообщения на маршрутизатор или же удаляет. Так же коммутатор сам участвует в процессе создания IGMP сообщений. Когда последний клиент решает прекратить получать multicast-трафик, мы имеем две проверки наличия получателей. Первую выполняет коммутатор, а вторую – маршрутизатор. Во всей этой схеме маршрутизатор ведёт себя абсолютно также, как в случае, когда у нас на коммутаторе нет IGMP snooping. Т.е. маршрутизатор никак не догадывается о наличии коммутатора с включенной технологией IGMP snooping.

Давайте ещё посмотрим на дамп трафика компьютера, который не участвует в получении потокового трафика, но находится в той же локальной сети.

Прим. Подчёркнутый MAC адрес принадлежит маршрутизатору

Из дампа видно, что данный компьютер за всё время получил только два вида сообщений и ни одного multicast-пакета потокового вещания:

Сообщение IGMP Group-Specific Query, которое отправил маршрутизатор, когда в сети больше не осталось ни одного получателя multicast-трафика.
Сообщение IGMP General Query, которое периодически рассылает маршрутизатор.

Во-вторых, уменьшает количество IGMP сообщений в сторону маршрутизатора. Фактически маршрутизатор узнаёт только о присутствии первого и об отключении последнего получателей multicast-трафика. Подключение и отключение остальных получателей полностью регулируется коммутатором, что является логичным.

В-третьих, существенно уменьшает количество IGMP сообщений, которые попадают на все порты коммутатора, не вовлечённые в передачу multicast-трафика. Как мы помним, в случае отсутствия IGMP snooping все пакеты IGMP без исключения рассылаются на все порты.

Осталось посмотреть, что мы увидим на самом коммутаторе:

Мы видим, что получатели multicast-трафика для группы 230.255.0.1 находятся за портами Gi1/0/14, Gi1/0/15 и Gi1/0/19. За портом Gi1/0/19 находится сам маршрутизатор. Коммутатор автоматически добавил порт с маршрутизатором. Для получения более детальной информации на коммутаторе можно запустить отладчик debug ip igmp snooping.

IGMP snooping включён, источник multicast-трафика находится в той же сети

И так, когда источник находится где-то в другом месте нашей сети, всё прекрасно работает. Но давайте теперь перенесём наш источник multicast-трафика в тот же сегмент сети, где находятся получатели. Ситуация вполне себе житейская. Например, мы имеем систему приёма телевизионных каналов со спутника и несколько STB-приставок. Или же используем VLC проигрыватель или, например, камеры-видео наблюдения, передающие данные сразу нескольким потребителям, находящимся в том же сегменте сети. Ещё один кейс – передача multicast-трафика между контроллером беспроводной сети и точками доступа. Как в этой ситуации отработает IGMP snooping?

Для чистоты эксперимента на маршрутизаторе отключаем PIM, так как теперь нам не нужно больше маршрутизировать multicast-трафик.

Рассматривать вариант с отключённым IGMP snooping смысла нет: весь трафик будет просто передаваться как широковещательный. Поэтому проверяем, что IGMP snooping включён, и запускаем потоковую трансляцию на нашем импровизированном сервере. На клиенте пока VLC проигрыватель не запускаем (т.е. клиент никаких IGMP сообщений не отправляет).

Видим, что на наш компьютер, выполняющий роль клиента, стал сразу же сыпаться multicast-трафик:

Странно, ведь IGMP snooping включен. Посмотрим, как изменится ситуация, если на клиенте запустить VLC проигрыватель и подключиться к группе 230.255.0.1 (именно её мы продолжаем использовать для трансляции нашего потокового аудио). Нажимаем кнопку «Воспроизведение», видим, как наш компьютер отправил сообщение IGMP Report, начинаем слышать музыку. Понятное дело, что multicast-трафик на компьютер приходил всё время. Просто теперь клиент VLC стал его обрабатывать:

Теперь нужно убедиться, продолжает ли коммутатор рассылать multicast-трафик через все остальные порты. Или наконец заработал IGMP snooping и коммутатор стал слать трафик только туда, где есть клиенты. Но нет. Ничего не поменялось. На другом компьютере, который никак не участвует в нашем эксперименте, мы видим multicast-трафик (сам дамп приводить не буду, multicast-пакеты мы уже хорошо знаем в лицо). Стоит отметить, в дампе мы не обнаружим ни одного сообщения IGMP Report, которые ранее отправил наш клиент, и которые, по идее, должны были также рассылаться на все порты. Значит IGMP snooping на коммутаторе всё-таки частично работает: как минимум коммутатор перехватывает IGMP сообщения.

Впору заглянуть в консоль коммутатора. Информация о получателях для различных групп пуста:

Запустив отладчик (debug), видим:

Из этих сообщений единственно, что становится ясным, — коммутатор получил сообщение IGMPv3 Report, при этом версия некого Querier не советует IGMPv3 (о Querier поговорим немного позже). А что мы получим, если переключим IGMPv3 на нашем компьютере на IGMPv2 (данная процедура делается через реестр). Вдруг заведётся.

Проверяем. Поведение коммутатора осталось таким же, но вот сообщения в отладчике поменялись:

Из этих сообщений становится понятно, что коммутатор игнорирует информацию в сообщениях IGMP (и более того их удаляет), так как у него нет «mroute». И тут мы начинаем вспоминать, что первым пунктом программы IGMP snooping является определение, где находится маршрутизатор. И не важно собираемся ли мы маршрутизировать multicast-трафик или нет. В предыдущем разделе мы проверяли вывод команды «show ip igmp snooping mrouter». Там был указан номер порта, куда был подключен наш маршрутизатор, рассылающий сообщения IGMP General Query. Так вот, коммутатору с IGMP snooping обязательно нужно знать, где находится маршрутизатор multicast-трафика. Порт на коммутаторе, куда будет подключен такой маршрутизатор, как раз и получает название mrouter-порт (multicast router port). Без mrouter-порта IGMP snooping работать нормально не будет. А у нас такого порта нет, так как мы отключили на маршрутизаторе IGMP.

Включаем обратно IGMP на маршрутизаторе (для этого активируем на интерфейсе протокол PIM). Проверяем, что на коммутаторе появился mrouter-порт:

И снова запускаем наш источник потокового аудио. Пока VLC проигрыватель не включаем. Проверяем, рассылается ли трафик по всем портам коммутатора. Нет. Единственно, куда коммутатор теперь транслирует multicast-трафик – это через mrouter-порт. Делается он это всегда, так как маршрутизатор в нормальных условиях никогда не отсылает сообщений IGMP Report для групп, multicast-трафик которых он будет маршрутизировать. А значит коммутатор никак не сможет узнать, нужен или нет маршрутизатору тот или иной multicast-трафик.

Как только мы запускаем VLC проигрыватель, коммутатор сразу начинает передавать multicast-трафик на данный компьютер. В целом схема взаимодействия между клиентом-коммутатором-маршрутизатором в рамках протокола IGMP не отличается от того, что мы рассматривали ранее, когда источник находился в другой сети. Но есть небольшой нюанс.

Взглянем на дамп, полученный с маршрутизатора (часть UDP-пакетов было отфильтровано для большей наглядности):

Из дампа видно, следующее:

На маршрутизатор, как и ожидалось, постоянно поступает multicast-трафик.
Маршрутизатор продолжает отрабатывать логику работы IGMP для группы 230.255.0.1. На сообщение IGMP Leave, он отсылает сообщения IGMP Specific-Group Query.
Но в отличии от предыдущего случая, когда маршрутизатор выясняет, что больше нет получателей для группы 230.255.0.1, маршрутизатор не может прекратить передавать multicast-трафик. Его инициатором в данном сегменте сети является совсем другое устройство (это хост с адресом 172.17.15.12).

И так, мы поняли, что для корректной работы IGMP snooping на коммутаторе Cisco нам нужен маршрутизатор. Но можно ли получить на коммутаторе mrouter-порт без запуска протокола IGMP на маршрутизаторе? Да и вообще, можно ли обойтись совсем без маршрутизатора? Да, для это существует несколько способов. Первый вариант – статически прописать mrouter-порт. Смотреть он может, куда угодно. Главное, чтобы был. Безусловно, это не самый элегантный способ. Второй вариант – запустить на коммутаторе режим IGMP Querier. В этом режиме коммутатор вообразит себя multicast-маршрутизатором и начнёт рассылать и обрабатывать сообщения IGMP. При этом в качестве mrouter-порта будет указывать сам на себя:

Наш коммутатор будет отсылать в том числе от своего имени сообщения IGMP General Query. Это большой плюс. Остальные коммутаторы в сети, получив его, решат, что наш коммутатор – это multicast-маршрутизатор, а значит у них появятся свои mrouter-порты. Таким образом, IGMP snooping будет работать корректно во всей сети.

Подытожу. Для того чтобы на коммутаторах Cisco корректно работал IGMP snooping, необходимо, чтобы на нём был хотя бы один mrouter-порт. Если на коммутаторе нет ни одного mrouter-порта:

IGMP snooping и 224.0.0.X

Когда я первый раз познакомился с IGMP snooping, первое о чём я подумал, можно ли ограничить с помощью данной технологии multicast-трафик, адресованный группам из диапазона 224.0.0.0-255 (224.0.0.0/24).

Как мы помним, данный диапазон адресов используется только для локальных коммуникаций внутри одного сегмента сети (широковещательного домена). Многие IP-адреса из него зарезервированы под различные служебные протоколы. Например, адрес 224.0.0.5 используется протоколом OSPF, а адрес 224.0.0.10 – протоколом EIGRP. Но так как эти адреса используются сугубо для локально взаимодействия никакие механизмы присоединения/отключения к этим группам не используются. Т.е. для этих адресов не будет сообщений IGMP Report. Поэтому все они полностью исключены из процесса IGMP snooping и коммутатор Cisco будет рассылать трафик для данных групп на все порты.

Бывают исключения в плане отсылки сообщений IGMP Report. Например, мой компьютер пытается присоединиться к группам 224.0.0.251 и 224.0.0.252. Это сервисы Multicast DNS и Link-Local Multicast Name Resolution, которые в своей работе используют механизм присоединения к группе.

Правда коммутатор Cisco считает такое поведение не достойным для сервисов, которые используют адреса, начинающееся с «224.0.0.». В связи с чем игнорирует сообщение IGMP Report.

В заключение

Мы разобрали общие аспекты работы IGMP snooping на примере оборудования Cisco. Причём рассмотренное поведение является поведением «по умолчанию». За кадром остались вопросы, связанные с тюнингом различных параметров данной технологии (например, тайм аутов между посылками сообщений IGMP Group-Specific Query), изменением схемы работы коммутатора в случае получения от клиентов сообщений IGMP Leave (например, мы знаем, что за портом точно нет других устройств), взаимодействием с протоколом STP (точнее, что делать, когда происходит перестройка топологии сети) и пр. Обычно данные элементы являются уже более вендоро зависимыми и хорошо описаны в документации.

Если мы посмотрим на коммутаторы других производителей, на многих из них мы также найдём технологию IGMP snooping. Конечно же, будут отличия в синтаксисе настройки, каких-то терминах (например, вместо mrouter-порта у многих используется просто router-порт), различных дополнениях и параметрах, которые можно подкрутить. Но по большей части общая схема работы IGMP snooping будет сходной с тем, что мы рассмотрели.

Igmp snooping что это в роутере tp link

TL-WR802N V4 User Guide

Что такое IGMP snooping?

Что такое IGMP Snooping?

Как работает IGMP Snooping?

Виды IGMP snooping

Каковы функции и приложения IGMP Snooping?

Соображения по конфигурациям IGMP Snooping

IGMP Snooping Querier

IGMP Snooping Proxy

Версия IGMP Snooping

Заключение

Enable IGMP Snooping On or Off

What is IGMP Snooping

When to Enable IGMP Snooping for Home Use

Оптимизация передачи multicast-трафика в локальной сети с помощью IGMP snooping

В заключение

Добавить комментарий Отменить ответ