无线路由器基本配置.docx
《无线路由器基本配置.docx》由会员分享,可在线阅读,更多相关《无线路由器基本配置.docx(28页珍藏版)》请在冰豆网上搜索。
无线路由器基本配置
无线路由器基本配置
(一)——静态路由功能设置
静态路由是在路由器中手工设置的固定的路由条目。
我司路由器静态路由是基于ICMP重定向原理,与其他公司宣传的“静态路由”有所区别。
ICMP重定向是在特定情况下,路由器向主机发送ICMP重定向报文请求主机改变路由,并转发该主机发出的分组到相应目的地的过程。
下面我们以实例来进行说明。
典型应用:
在一个公司网络中,不仅可以通过无线路由器B连接外网,还可以通过无线路由器A来连接公司内网服务器。
在不修改本地连接的IP地址及网关情况下,公司电脑需要能够同时访问外网和内网服务器。
配置实例如下图:
PC默认将不与自己在同一网段的数据发送给网关192.168.1.1,即无线路由器B。
路由器B接收到数据后,检查数据包的目的地址。
如果发现目的IP为10.70.1.0的数据包,则路由器会发送一个ICMP重定向数据包给PC,告知PC后续发往10.70.1.0网段的数据包,都发送给192.168.1.2,即路由器A即可。
这样PC就可以直接访问公司内网服务器了。
在我司TL-WR541G+无线路由器中的详细配置过程如下:
步骤1:
使用路由器管理地址登陆路由器B管理界面,点击“路由功能”菜单,选择“静态路由表”,如下图:
步骤2:
点击“添加新条目”按钮,在静态路由表中填写相应的参数。
步骤3:
点击“保存”按钮后,在静态路由表中可以查看已有配置。
步骤4:
在PC上访问内网服务器,检测静态路由条目是否生效。
如果能访问,则说明静态路由配置成功.
无线路由器基本配置
(二)——ARP欺骗的防护操作
ARP(AddressResolutionProtocol),即地址解析协议,具体来说就是将IP地址解析为数据链路(数据链路层,位于OSI模型的第二层)的MAC(MediaAccessControl)地址。
而ARP欺骗则会扰乱网络设备间的正常通信。
通过伪造IP地址和MAC地址实现ARP欺骗,对网络的正常传输和安全都是一个很严峻的考验。
目前知道的带有ARP欺骗功能的软件有“QQ第六感”、“网络执法官”、“P2P终结者”、“网吧传奇杀手”等,这些软件中,有些是人为手工操作来破坏网络的,有些是作为病毒或者木马出现,使用者可能根本不知道它的存在,所以更加扩大了ARP攻击的杀伤力。
从影响网络连接通畅的方式来看,ARP欺骗有两种攻击可能,一种是对路由器ARP表的欺骗;另一种是对内网电脑ARP表的欺骗,当然也可能两种攻击同时进行。
不管怎么样,欺骗发送后,电脑和路由器之间发送的数据可能就被送到错误的MAC地址上,从表面上来看,就是“上不了网”,“访问不了路由器”,“路由器死机了”,因为一重启路由器,ARP表会重建,如果ARP攻击不是一直存在,就会表现为网络正常,所以用户更加确定是路由器“死机”了,而不会想到其他原因。
为此,宽带路由器背了不少“黑锅”,但实际上应该ARP协议本身的问题。
下面我们来看看如何来防范ARP欺骗。
上面也已经说了,欺骗形式有欺骗路由器ARP表和欺骗电脑ARP两种,我们的防护当然也是两个方面的,首先在路由器上进行设置,来防止路由器的ARP表被恶意的ARP数据包更改;其次,我们也会在电脑上进行一下设置,来防止电脑的ARP表受恶意更改。
两个方面的设置都是必须的,不然,如果您只设置了路由器的防止ARP欺骗功能而没有设置电脑,电脑被欺骗后就不会把数据包发送到路由器上,而是发送到一个错误的地方,当然无法上网和访问路由器了。
我司路由器上IP与MAC地址绑定的方式有两种模式,普通绑定与强制绑定。
SOHO级路由器上模式为普通绑定,而企业级的路由器上既有普通绑定,也有强制绑定。
普通绑定是在路由器上记录了局域网内计算机MAC地址对应的IP地址,建立了一个对应关系,不会受到ARP欺骗,导致无法正常通讯。
对于没有进行IP与MAC地址绑定的计算机就可能受到ARP攻击。
普通绑定只是设置了一个IP与MAC的对应关系,若计算机更改了其IP地址,路由器仍然能进行ARP映射表自动学习,扫描到计算机新的对应关系,该计算机仍能与路由器进行通讯。
强制绑定是通过添加IP与MAC对应的关系来进行数据的通讯的,没有自动学习ARP映射表的能力,若没有添加计算机IP与MAC的对应关系,该计算机是无法与路由器进行通讯的。
所以在设置了强制绑定后,新接入路由器的计算机,若没有添加IP与MAC地址对应关系,该计算机是不能通讯的。
或者路由器下的计算机更改了其IP地址,导致与路由器上记录的IP与MAC对应关系不一致,也无法进行通讯。
下面就对SOHO级路由器上的普通绑定设置,进行详细地介绍,以及如何设置来防止ARP欺骗。
一、设置前准备
设置IP和MAC绑定功能,请给电脑手动设定静态IP地址,若为动态获取,电脑可能获取到和IP与MAC绑定条目不同的IP,会导致通信异常。
1、把路由器的DHCP功能关闭:
打开路由器管理界面,“DHCP服务器”->“DHCP服务”,把状态由默认的“启用”更改为“不启用”,保存并重启路由器。
2、给电脑手工指定IP地址、网关、DNS服务器地址,如果您不是很清楚当地的DNS地址,可以咨询您的网络服务商。
二、设置路由器防止ARP欺骗
打开路由器的管理界面,在左侧的菜单中可以看到:
“IP与MAC绑定”,在该项来设置IP和MAC绑定。
打开“静态ARP绑定设置”窗口如下:
注意:
默认情况下ARP绑定功能是关闭,请选中启用后,点击保存来启用。
在添加IP与MAC地址绑定的时候,可以手工进行条目的添加,也可以通过“ARP映射表”查看IP与MAC地址的对应关系,通过导入后,进行绑定。
1、手工进行添加,单击“增加单个条目”。
填入电脑的MAC地址与对应的IP地址,然后保存,就实现了IP与MAC地址绑定。
2、通过“ARP映射表”,导入条目,进行绑定。
打开“ARP映射表”窗口如下:
这是路由器动态学习到的ARP表,可以看到状态这一栏显示为“未绑定”。
如果确认这一个动态学习的表正确无误,也就是说当时网络中不存在ARP欺骗,把条目导入,并且保存为静态表。
若存在许多计算机,可以点击“全部导入”,自动导入所有计算机的IP与MAC信息。
导入成功以后,即已完成IP与MAC绑定的设置。
如下:
可以看到状态中显示为已绑定,此时路由器已经具备了防止ARP欺骗的功能,上述示范中只有一个条目,如果您的电脑数量较多,操作过程也是类似的。
除了这种利用动态学习到的ARP表来导入外,也可以使用手工添加的方式,只要知道电脑的MAC地址,手工添加相应条目即可。
在“ARP映射表”中可以看到,此计算机的IP地址与MAC地址已经绑定,在路由器重启以后,该条目仍然生效。
三、设置电脑防止ARP欺骗
路由器端已经设置了ARP绑定功能,接下来我们就来设置电脑端的ARP绑定了。
Windows操作系统中都带有ARP命令行程序,我们可以在其命令提示符界面来进行配置。
WindowsXP系统的设置方法:
点击“开始”,选择“运行”,输入“cmd”,打开Windows的命令行提示符
通过“arp–s路由器IP+路由器MAC”这一条命令来实现对路由器的ARP条目的静态绑定,如输入:
arp–s192.168.1.100-0a-eb-d5-60-80,然后通过arp-a命令输出,可以看到已经有了我们刚才添加的条目,Type类型为static表示是静态添加的。
至此,我们也已经设置了电脑的静态ARP条目,这样电脑发送到路由器的数据包就不会发送到错误的地方去了。
怎么知道路由器的MAC地址是多少呢?
可以打开路由器的管理界面,进入“网络参数”->“LAN口设置”:
LAN口的MAC地址就是电脑的网关的MAC地址。
细心的人可能已经发现了,如果使用上面的方法,电脑每次在重启后都需要输入上面的命令来实现防止ARP欺骗,有没有更简单的方法自动来完成,不用手工输入呢?
有!
我们可以新建一个批处理文件如static_arp.bat,注意后缀名为bat。
编辑它,在里面加入我们刚才的命令:
保存就可以了,以后可以通过双击它来执行这条命令,还可以把它放置到系统的启动目录下来实现启动时自己执行。
打开电脑“开始”->“程序”,双击“启动”打开启动的文件夹目录,把刚才建立的static_arp.bat复制到里面去:
好了,以后电脑每次启动时就会自己执行arp–s命令了,在以后使用网络的时候,不再受到ARP攻击的干扰。
WindowsVista和Windows7系统的设置方法:
1、管理员身份运行命令提示符。
2、命令:
netsh-ciishowin查看网络连接准确名称。
如:
本地连接、无线网络连接。
3、执行绑定:
netsh-ciiaddneighbors"网络连接名称""IP地址""MAC地址"。
4、绑定完成,电脑重启静态ARP不失效,不用像XP一样建批处理文件。
如图所示:
无线路由器基本配置(三)——路由器软件升级
路由器在进行升级的时候,主要有两种方式进行升级:
1、TFTP升级方式,该方式需要先开启TFTP服务,然后登陆路由器的管理界面,进行升级。
1)运行TFTP32软件,请确保升级软件位于升级软件目录中。
2)登陆到路由器管理界面,选择“系统工具”→“软件升级”,点击升级按钮进行生机操作。
2、WEB升级方式,该方式通过登陆路由器的管理界面,通过浏览载入升级文件的方式对路由器进行升级
注意:
不论是TFTP还是WEB方式对路由器进行升级,升级过程中不能关闭设备电源,否则将导致设备损坏而无法使用。
升级完成后路由器会自动重启。
无线路由器基本配置(四)——IP带宽控制应用举例
SOHO级路由器应用
(一)—IP带宽限制应用举例
IP带宽控制功能可实现对带宽资源进行分配和限制,是网络带宽资源得到更有效合理的利用,从而解决因带宽分配不足带来的问题。
下面以TL-R860+为例介绍IP带宽控制的设置。
IP带宽控制界面:
?
线路类型:
ADSL或者是以太网接入,请按照您的实际情况填写线路类型以及带宽大小
?
IP地址段:
填写IP地址段时,既可以设置为单个IP地址,也可以设置为一个IP地址段,当设置为一个IP地址段时,意味着该地址段中的所有IP地址将共享使用其后设置的带宽大小,它们能使用的总带宽受后面设置的模式及带宽大小的约束。
?
模式:
有两个选择模式:
保障最小带宽、限制最大带宽,在设置时推荐使用限制最大带宽的模式。
?
带宽大小:
带宽大小设置的值并不是固定的,需根据网络实际应用情况填写。
u配置前请仔细阅读配置界面中的注意事项
IP带宽控制规则配置例图:
上图的设置表示:
1.用户的接入类型为ADSL,其带宽大小2M(2000kbps)
2.限制192.168.1.100能使用的最大带宽为600Kbps;192.168.1.101-192.168.1.105这5个IP地址共享使用带宽,限制它们所能使用的带宽之和最大为1500Kbps。
下面举例说明IP带宽控制的应用:
某用户开通的ADSL线路是2M带宽,路由器下接了四台电脑,电脑的IP地址范围是:
192.168.1.100-192.168.1.103。
192.168.1.100-192.168.1.102这三台电脑要经常上网,而192.168.1.103这台电脑偶尔才会上网。
用户遇到的烦恼是:
因192.168.1.100这台电脑频繁使用迅雷、BT等下载工具进行网络下载或观看在线视频,经常导致192.168.1.101和192.168.1.102这两台电脑因带宽不够,打开网页非常慢,甚至打不开。
于是考虑通过IP带宽控制功能来解决这一问题。
考虑到这几台电脑上网时的不同应用:
192.168.1.100经常要下载和观看在线视频,需要的带宽比较大;192.168.1.101和192.168.1.102上网只是浏览网页和QQ聊天,需要的带宽相对要小些。
准备这样设置:
①限制192.168.1.100最大使用带宽为1000Kbps
②192.168.1.101-192.168.1.102共享使用带宽,限制共享的带宽最大为800Kbps
③限制192.168.1.103最大使用带宽为300Kbps
u此处要注意:
虽然192.168.1.103不经常上网,但是也要对它进行设置,因为如果这个IP没有被设置它的话,就意味着它将会不受限制地使用线路总带宽,所以在设置IP带宽控制时,最好将路由器下所有的IP地址都进行设置。
综合考虑,设置如下:
当然,上面带宽大小设置的值并不是固定的,设定时可根据实际使用情况来适当更改,调节到恰当应用的情况即可。
这篇文档就TP-LINK企业级路由器的IPQoS功能的详细设置过程。
首先简单介绍一下企业级路由器IPQOS功能与SOHO级路由器IP带宽控制不同之处。
下面两个图中上图是SOHO级路由器R460IP带宽控制的设置界面,下图是R4299G的QOS规则设置界面:
比较上面的两个设置界面可以看到企业级路由器IPQOS功能与SOHO级路由器IP带宽控制不同之处:
1)设置带宽控制规则时,SOHO级路由器只能选择“保障最小带宽”和“限制最大带宽”二者中的一个,也就是只能设置上限或者下限,不可以同时对二者进行限制。
相反的企业级路由器在设置的时候既可设置最小带宽,又可设置最大带宽的值。
2)当一条规则的IP地址是一个地址段时,SOHO级路由器是此地址段内的所有电脑共享填写在“带宽大小”里的值。
而企业级路由器则可以选择“独立带宽”和“共享带宽”。
独立带宽是此地址段内每一台电脑分配最大和最小的带宽值,当我们要设置的内网电脑数目比较多时,利用独立带宽可以方便快捷的设置QOS规则;共享带宽是此地址段内所有电脑共享所分配最大和最小的带宽值。
可以理解为SOHO级路由器只有共享带宽模式
点击“QoS设置”界面如下图:
上图中红线勾勒部分的信息重要性就不强调了,下面有“上行总带宽”和“下行总带宽”两项参数,点击页面“帮助”按钮可以看到下图信息:
可以将“上行总带宽”和“下行总带宽”理解为用户申请的宽带线路的实际上下行带宽,上面是10M光纤接入的数值。
需要注意的是,普通的ADSL接入方式,上带宽会远远小于下行带宽的值,往往我们申请宽带是的ADSL2M或者6M这些值指的都仅仅是下行总带宽,上行总带宽要向运行商咨询具体数值。
注意:
如果是多WAN口路由器,此处填写数值因为各个WAN口上下行带宽之和。
如上图,在这里强调的是:
必须先开启这里的开关“开启QoS”并填入线路实际的上下行带宽,然后才能在IPQoS页面继续配置,否则会提示错误。
下面来具体添加QOS规则,点击QOS规则出现如下界面:
举例添加如下新条目,如下图:
相关参数解释如下:
1)“地址段”——包含了从.100到.190总共100个IP地址。
另:
这里的地址段允许输入和路由器LAN口IP地址不在同一网段的IP地址,意味着用户内网如果采用三层交换设备规划了不同子网的方案下,我们的路由器也可以支持对不同网段IP的带宽限制。
2)“模式”——独立带宽,顾名思义下面的“最大带宽”“最小带宽”是针对这段IP地址里面的每一个IP而言,如果模式选择了“共享带宽”也就是这段IP共享下面的参数。
3)“上行/下行”——我们都知道网络上传输的数据流是有方向的,比如BT下载,可以从Internet上的服务器下载数据,自身也作为服务器上传数据,我司路由器IPQoS就是根据这种“有方向性的数据流”来分别进行限制。
4)这里有100个IP地址,每个IP地址保障的最小带宽是100K,总数是100*100K=10000K。
也就是所有IP地址最小带宽的和不能超过QOS设置中的上行总带宽和下行总带宽。
如果这里超过10000K就会报错。
路由器非常准确的对上/下行数据流分开来进行了限制。
就上图填写的参数,假设配置了192.168.1.100这个IP地址的主机正在进行BT下载,那么这台主机的数据流量会比较大,这台主机的数据流分两部分:
一部分是它从别的服务器下载数据,一部分是它上传数据给别的主机。
路由器的IPQoS将会对这台192.168.1.100的主机下载和上传两个方向的数据流量分别进行规定限制。
按照上面填写的参数,192.168.1.100主机在上行方向(上传数据)的数据流量最小保证100Kbps、最大不超过500Kbps的带宽,下行方向(下载数据)的数据流量最小保证100Kbps、最大不超过500Kbps的带宽。
这里上行数据和下行数据的可用带宽是以线路实际上/下行带宽作为参考的。
那么QOS规则到底是怎么工作的呢?
是不是我设置了最小保障100K的带宽,这100K就永远“预留”给我,无论网络多么繁忙别的主机也不可能用到这100K的带宽呢?
很明显这样是很不合理的,会造成对带宽的巨大浪费。
我公司路由器是用优先级的方法分配带宽资源的。
如果现在192.168.1.100—192.168.1.149这50台主机都在进行网络活动,而线路的实际下行带宽是有限的10Mbps,可能发生带宽争用,按照我们上面设置的参数路由器优先给每一个IP地址分配最小100Kbps的带宽,也就是说在第一轮的资源分配中,带宽占用未达到100K的主机在使用带宽时就会优先处理,待所有需求不到100K的主机分配到了自己需要的值,所有需求大于100K的主机分配到了100K的值之后,那么此时50台主机总共使用了不到5000Kbps的带宽资源,这条线路总的下行带宽资源10000Kbps还余留超过5000Kbps的带宽,这5000Kbps的剩余带宽资源就会被仍然需求带宽的主机竞争使用。
在此期间每台电脑又有最大带宽的限制,当主机占用的带宽达到最大带宽时它将退出竞争。
举例如下:
如上图红色标注,现在假设线路的下行带宽是10Mbps,配置了192.168.1.10和192.168.1.11这两台主机的“下行带宽”最小都是100Kbps,最大却不同分别是1000Kbps和2000Kbps,那么带宽在分配的时候:
路由器先保证两台主机的“下行带宽”最小可以使用到100Kbps。
最小带宽保证后,两台主机进一步还有下行带宽的需求,那么超过100Kbps的流量后,路由器采用“轮询”方式,开始增大两台主机占用的有效带宽,当192.168.1.10这台主机的下行数据流占用的带宽达到最大1000Kbps的时候,路由器将不会载转发超过1000Kbps带宽的数据包。
但是192.168.1.11这台主机在争用带宽的时候,数据流达到1000Kbps后这台主机仍然需要更大的带宽,路由器会一直增大它占用的有效下行带宽至2000Kbps后,将不再继续转发超过这个带宽范围的数据包。
剩余的下行7Mbps的带宽资源将闲置,不会分配给.10和.11,除非将其最大可用“下行带宽”改为更大,否则它们将不能使用剩余带宽。
配置IPQoS的时候,“模式”选择为“共享带宽”,则是地址段内包含的所有IP地址共享设置的上下行最大最小带宽。
上面我们用了较长篇幅来描述企业级路由器新增的IPQoS功能的使用,是不是看似很复杂?
不过即使您看的不是太懂的话也没有关系,您只需要按照下面的步骤来设置您的网络即可:
1、将内网的电脑的IP手工指定,并且是连续的,如192.168.1.2~192.168.1.100,这样方便后面的设置;
2、在IPQOS设置开关处设置您的线路的带宽,分别设置线路的上行带宽和下行带宽,如10M的光纤线路需要填入10000;然后开启QOS总开关;
3、进入IPQOS规则设置页面,添加新条目,设置:
4、IP地址段如192.168.1.2~192.168.1.100;模式选择为“独立”;
5、上行最小带宽:
线路真实上行带宽/内网电脑数,在此例中为10000/99=101;最大带宽的设置关系不大,推荐设置800或1000或2000;
6、下行最小带宽:
线路真实下行带宽/内网电脑数,在此例中为10000/99=101;最大带宽的设置关系不大,推荐设置800或1000或2000;
7、保存,设置完成
无线路由器基本配置(五)——11n无线路由器上网控制功能应用举例
路由器的上网控制功能可以对内部主机上网行为进行控制。
通过“主机列表”、“日程计划”和“访问目标”三个参数,灵活设置上网控制规则,从而可以在某个时间段内允许/禁止某台内部主机访问外网的某些行为。
通过下面例子来说明上网控制功能的使用,例如:
在周一至周五的上班时间段(8:
30--18:
00),仅允许张三(MAC地址为00-11-22-33-33-33)浏览网页,其他人都不能上网。
非上班时间段所有人都可以上网。
则需要做如下设置:
◆设置上网控制的缺省过滤规则
◆设置张三在上班时间段内可以浏览网页
◆设置上班时间段其他人都不能上网
◆设置非上班时间段所有人都可以上网
◆启用上网控制功能
步骤一:
设置上网控制的缺省过滤规则
缺省过滤规则有两个选项,某些功能使用两个选项都可以实现。
本例中我们设定“凡是不符合已设上网控制规则的数据包,禁止通过路由器”,同时上网控制功能暂时不启用(设置过程中若有不明确处,可点击当前页面的“帮助”按钮查看帮助信息)
步骤二:
设置张三在上班时间段内可以浏览网页
1、添加主机列表:
在“上网控制”中选择“主机列表”,点击“填加单个条目”,以张三为例:
2、添加日程计划:
在“上网控制”中选择“日程计划”,点击“增加单个条目”,设置星期一到星期五的时间段:
3、添加访问目标
在“上网控制”中选择“访问目标”,点击“增加单个条目”,以添加DNS服务为例:
由于打开网页需要用到http或https服务,因此同理增加80,443端口
4、添加上网控制规则
缺省规则中选择了“凡是不符合已设上网控制规则的数据包,禁止通过路由器”,因此现在需要添加能让张三上网的条目。
在“上网控制”中选择“规则管理”,点击“增加单个条目”。
如下,以添加DNS规则为例:
同理添加用于http和https服务的80、443端口,具体设置规则如下:
步骤三:
设置上班时间段其他人都不能上网
1、添加主机列表:
在“上网控制”中选择“主机列表”,点击“填加单个条目”,添加整个内网的IP地址:
2、添加日程计划:
步骤二中已添加一个上网时间,因此这里无需再添加日程计划
3、添加访问目标:
路由器缺省带有任何目标,因此这里也无需再添加访问目标
4、添加上网控制规则:
在“上网控制”中选择“规则管理”,点击“增加单个条目”,添加一个在上班时间段内所有主机都禁止通过的条目,添加后的条目如下:
由于路由器过滤规则是从上往下匹配条目,因此这里所有人虽然包括张三,但是不影响张三在上班时间段内浏览网页
步骤四:
设置非上班时间段所有人都可以上网
1、添加主机列表:
步骤三中已添加内网所有主机,因此这里无需再添加主机条目
2、添加日程计划:
由于非上班时间需要划分为周一至周五的00:
00-08:
30、18:
00-24:
00以及周末,因此这些时间段都需要添加。
在“上网控制”中选择“日程计划”,点击“增加单个条目”,添加后的条目如下:
3、添加访问目标:
非上班时间段能访问所有目标,而路由器缺省带有任何目标,因此这里也无需再添加访问目标
4、添加上网控制规则:
在“上网控制”中选择“规则管理”,点击“增加单个条目”,添加非上班时间段内所有主机都能够上网的条目,添加后的条目如下:
步骤五:
启用上网控制功能
所有条目都设置好后,启用上网控制功能,使所有条目都生效
上述通过对“
升级会员 