什么是实IP DMZ?

1. 实IP DMZ 简介

通常我们说，Vigor路由器的DMZ功能是指拥有特定私网IP地址的主机作为DMZ主机。数据包在DMZ主机和Internet之间传输时源端口和目标端口都将保持不变，只有DMZ的私网IP地址被改换成路由器的WAN IP地址。例如，对于多重NAT功能来说，如果路由器有多个WAN IP地址，那么每个WAN IP地址都能被匹配一个唯一的DMZ主机。

可是尽管端口不被NAT转换，但由于IP地址被封装在数据包的负载里经过NAT时有些应用程序仍然可能遇到麻烦。对于那些尤其是疯狂游戏玩家运行一些比较大的游戏程序或使用多媒体应用程序比较多的用户来说，这个问题是显而易见的。例如,在中国的一些城市，在使用宽带网服务之前需要做严格地Web登录注册或验证，这时ISP提供的WAN IP 需要通过NAT被直接分配给一个真实的DMZ主机才能使其正常运行相关服务。

这里我们所描述的Vigor路由器直接分配WAN IP地址给DMZ主机称作实IP DMZ。为了更方便客户使用,我们限制路由器只能使用一个WAN IP地址(固定IP或动态IP)才能启用实IP DMZ功能，这将满足大部分网络环境的需要。如果路由器配置了多个WAN IP地址，那么实IP DMZ功能将自动取消。



2. 实IP DMZ设定

点击DMZ主机设定，在设置页面的下拉菜单中将出现三个选项。



无: 如果选择"无"，表示DMZ功能未启用。

私有IP: 如果选择“私有IP”，表示指定一个私有IP地址作为DMZ主机。点击选PC将会有一个窗口跳出，其中包含了您的内部私网的所有开启主机的IP地址，选择其中之一作为DMZ主机。


启用实IP: 如果选择“启用实IP”，表示指定一个实IP DMZ主机的MAC地址。


注意：如果路由器配置了多个WAN IP地址（WAN IP 别名 或 双WAN口），那么实IP DMZ功能将自动关闭。



3. 实IP DMZ应用情景

那么，说了这么多，实IP DMZ主要用在什么环境中呢？接下来我们将介绍两个常用的范例供大家参考。

范例1:

假设 Vigor2104使用静态或动态IP地址，在 Vigor2104后面的用户想通过L2TP Over IPSec VPN连到办公室网络的文件共享服务器。网络构架如下图所示：

由于NAT与IPSec、L2TP over IPSec VPN的不兼容性导致无法建立VPN通道。(假设VPN客户端和服务器端都不支持NAT穿越功能）而启用实IP DMZ功能，这台PC就可以通过被直接分配的公网IP地址与远端的办公网络建立起一条L2TP over IPSec VPN。

步骤1：设定实IP DMZ主机

实IP DMZ主机通过DHCP客户端获取IP地址。Vigor路由器将检查DHCP回应的源MAC地址来定义实IP DMZ主机。这里我们将用Windows XP举例说明，选择Internet协议TCP/IP，点击属性，然后选择自动获取IP地址。


通过点击开始－》运行－》输入CMD－》进入到命令提示符视窗，然后输入ipconfig/all命令并记录下物理地址00-E0-4C-51-91-AA 。
注意：这台PC从Vigor2104 DHCP服务器自动获取的一个私网IP地址。


步骤2：设定Vigor 2104 WAN

选择快速设定 ->> Internet接入设定，然后点击静态或动态IP，选择启用。
如果您使用静态IP地址，点选指定一个IP地址。然后输入IP地址、子网掩码及网关。同时输入至少一个DNS服务器IP地址。如果您使用动态IP地址，点选自动获取IP地址。
然后点击确定，重启路由器。


步骤3：在Vigor 里设定实IP DMZ

选择高级设定－》NAT设定，然后点击DMZ主机设定。
在下拉栏中选择启用实IP，输入DMZ 主机的MAC地址，然后点击确定，重启路由器。


步骤4: 获取公网IP地址

打开命令行（cmd）窗口，输入ipconfig/release，然后在输入ipconfig/renew 。
您将会发现实IP DMZ主机的WAN IP地址和网关是Vigor直接分配的。
同时可以通过Ping 命令查看是否PC已经连接上网。




范例2:

有时候，ISP要求用户在使用宽带网服务之前需要做严格的Web登录注册或验证，这种情况下，需要将ISP提供的WAN IP 透过NAT直接分配给NAT后的一台主机才能使其正常运行相关服务。

步骤1:  设定实IP DMZ主机

请参考范例1的步骤1

步骤2:  设定Vigor WAN

通过快速设定 ->> Internet接入设定，然后点击PPPoE，选择启用。
输入用户名、密码，同时启用一直在线。


步骤3:  设定实IP DMZ

请参考范例1的步骤3

步骤4:

在路由器重启之后，通过在线状态栏确认路由器已经连到ISP。虽然路由器获取了一个公网IP地址，但是由于ISP要求严格的Web登陆注册或验证，因此现在仍然不能访问Internet。


这时，打开命令行（cmd）窗口，输入ipconfig/release，然后在输入ipconfig/renew 。 您将会发现实IP DMZ主机直接获取到了WAN IP地址和网关。


打开Web浏览器，访问ISP的Web网页去注册验证。然后通过Ping 命令查看是否PC已经连接上网。