无线局域网综合实训.ppt

计算机网络技术实训教程 第9章无线局域网综合实训 第9章无线局域网综合实训 9 1无线局域网概述IEEE802 11是IEEE 电机电子工程师协会 TheInstituteofElectricalandElectronicsEngineers 公布的无线区域网路标准 适用于有线站台与无线用户或无线用户之间的沟通连结 目前传输速率为54MbpIEEE802 11g标准已得广泛应用 下面介绍802 11家族的发展历程 9 1无线局域网概述 IEEE802 11IEEE802 11标准于1997年6月公布 是第一代无线局域网标准 工作在2 4GHz开放频段 支持1Mbps和2Mbps的数据传输速率 IEEE802 11b1999年9月通过的IEEE802 11b工作在2 4 2 483GHz频段 数据速率可以为11Mbps 5 5Mbps 2Mbps 1Mbps或更低 可以根据噪音状况自动调整速率 9 1无线局域网概述 IEEE802 11a与802 11b相比 IEEE802 11a在整个覆盖范围内提供了更高的速度 其速率高达54Mbps 它工作在5GHz频段 与802 11b一样采用CSMA CA协议 IEEE802 11g为了解决IEEE802 11a与802 11b的产品因为频段 物理层调制方式不同而无法兼容的问题 IEEE又在2001年11月批准了新的802 11g标准 9 1无线局域网概述 本实训以常见的无线路由器TP LINKTL WR641G为例 9 2无线局域网综合实训 9 2 1无线局域网的架设9 2 2路由功能的实现9 2 3防火墙功能的实现9 2 4域名过滤9 2 5MAC地址过滤9 2 6通过NAT实现虚拟服务器9 2 7DMZ主机的设置9 2 8无线路由器远程管理 9 2 1无线局域网的架设 任务现公司需要建立10个独立的具有wep安全认证功能的无线局域网 每个无线局域网给定ssid号分别为 subnet1 subnet10 各无线路由器的Lan默认ip地址为192 168 1 1 24 其管理页的用户名和密码分别是 admin admin 9 2 1无线局域网的架设 无线路由器的无线部分应用体现在它的AP 无线接入点 功能上 在实训前我们先了解几点专用的名词 ssid号 每一只无线路由器都由唯一ssid号标识 形成该无线局域网标识名称 ssid号可以使用英文字母和数字 频段 用于确定本无线路由器使用的无线频率段 选择范围从1到11 相邻无线路由器设定不同的频段 可以缓解无线路由器之间相互干扰 模式 传输速率模式 9 2 1无线局域网的架设 安全认证类型 是指接入该无线网络的登录安全认证方式 由于无线局域网的 无线 特殊性 我们一定要重视其安全性 根据无线路由器的种类的不同其选项可能会发生变化 一般包括以下选项 允许任何访问的开放系统模式 基于wep加密机制的共享密钥模式 自动选择方式 9 2 1无线局域网的架设 密钥 如果该无线路由器设定了安全认证类型 就必须具有正确的密钥才能登录网络 密钥长度可以选择64位或128位 密钥格式可以选择ASCII码或者16进制数 MAC地址过滤 是一种的防火墙技术 利用此功能 可以设定只有MAC地址匹配的主机才可以登录到本无线网络 大大增强了无线局域网的安全性 9 2 1无线局域网的架设 在实训前 我们将所有网络适配器的 Internet协议 TCP IP 属性 页设置成 自动获得IP地址 这样我们可以通过无线路由器已提供的DHCP服务获得正确的IP地址 在默认情况下 无线路由器的DHCP服务已经开启 9 2 1无线局域网的架设 步骤路由器复位首先对无线路由器进行 复位 操作 一般无线路由器都提供了 Reset 按钮 用于将其初始化成 出厂默认值 9 2 1无线局域网的架设 登录到路由器管理页用直连线缆 RJ45 连接一台电脑的网络适配器和无线路由器的Lan接口 默认情况无线路由器已开启DHCP服务 已接入的电脑将自动分配IP地址 192 168 1 100 子网掩码为 255 255 255 0 在该电脑浏览器地址栏中输入 http 192 168 1 1 输入用户名和密码 即可登录 注意 用户终端IP地址应与路由器内网ip地址192 168 1 1应在同一网段 9 2 1无线局域网的架设 9 2 1无线局域网的架设 9 2 1无线局域网的架设 设置ssid号和频段以 号无线路由器为例 找到 无线网络参数设置 页面 将ssid号改为 subnet8 并将频段改为 保存后重启路由器 拔掉网线 至此 一个没有安全认证的无线局域网 subnet8 已建成 9 2 1无线局域网的架设 9 2 1无线局域网的架设 测试连通性此时 我们已可以通过无线网络适配器登录到路由器 在无线网络适配器的服务软件 一般出现在屏幕的右下角的 任务栏 图标中 中查看 可用无线网络 即能找到 subnet8 选择连接即可接入无线局域网 我们可以通过 ping192 168 1 1 测试网络的连通性 9 2 1无线局域网的架设 9 2 1无线局域网的架设 设置安全认证在无线情况下 任选一台电脑输入 http 192 168 1 1 输入用户名和密码 登录到路由器管理页 选择 无线局域网设置 本无线局域网需要进行安全认证 基于Wep加密 共享密钥模式 密钥格式为 ASCII码 密钥长度为 64位 输入5个字符的密码并记录密码 保存后重启路由器 9 2 1无线局域网的架设 9 2 1无线局域网的架设 无线网络适配器设置由于安全认证的启用 原先能够无线登录 subnet8 的电脑已无法进入网络 因此要分别对相应电脑的无线网络适配器的服务软件进行设置 一般设置如下 新建无线连接 设置ssid为 subnet8 设置 通道 或 频段 为 基于Wep加密 共享密钥模式 输入5个字符的密码 设置完成 9 2 2路由功能的实现 常见的无线路由器通常提供了一个广域网 WAN RJ45接口和若干个局域网 LAN RJ45接口 其路由功能体现在它的广域网接口与局域网接口之间的路径选择 无线路由器通常作为Internet接入路由器使用 9 2 2路由功能的实现 无线路由器的设置主要是对广域网 WAN 接口的设置 其接入方式一般有以下几种 PPPoE协议 即为Adsl虚拟拨号方式 连线方式是从 adslModen 输出至广域网 WAN 接口 适用于家庭Adsl宽带用户 在 上网账号 中填入ISP为您指定的adsl上网帐号 在 上网口令 中填入ISP为您指定的adsl上网密码 9 2 2路由功能的实现 动态ip方式 适用于非Adsl小区宽带用户 您可以从网络服务商自动获取ip地址 静态ip方式 适用于专用用户 您拥有网络服务商提供的固定ip地址 必须填写ip地址 子网掩码 网关 DNS服务器 假定广域网网络号为 192 168 212 0 24网关为192 168 212 2 DNS为202 96 107 29 我们开始做以下实训 9 2 2路由功能的实现 步骤登录到路由器管理页在无线局域网中任选一台电脑 输入 http 192 168 1 1 输入用户名和密码 登录到路由器管理页 WAN设置点击进入 WAN设置 页 设置WAN接入方式为 静态ip方式 设置WAN口IP地址为 192 168 212 228 设置子网掩码为 255 255 255 0 设置网关为 192 168 212 2 设置DNS为 202 96 107 29 保存设置 9 2 2路由功能的实现 9 2 2路由功能的实现 DHCP设置点击进入 DHCP设置 页 设置网关为 192 168 212 2 设置子网掩码为 255 255 255 0 设置DNS为 202 96 107 29 保存设置 重启路由器 9 2 2路由功能的实现 9 2 2路由功能的实现 思考题 为什么我们在设置WAN口后要进行DHCP设置 试问外部网络可否访问到内部网络的资源 为什么 9 2 3防火墙功能的实现 三种基本的防火墙类型 包括软件防火墙 硬件路由器和无线路由器 无线路由器的防火墙功能并没有特别强的安全主动性 但它可以很好的完成自己的份内工作 无线路由器的防火墙设置规则和策略 限制登录用户的数量和访问权限 屏蔽那些可能成为黑客入侵途径的端口 9 2 3防火墙功能的实现 常见无线路由器具有 IP地址过滤 域名过滤 MAC地址过滤 等防火墙功能 有些可甚至可以防范和过滤DOS攻击 ICMP flood攻击 UDP flood攻击等等 9 2 3防火墙功能的实现 IP地址过滤IP地址过滤可以实现禁止 或允许 一个 或一组 局域网 或广域网 IP地址的数据包通过路由器 要使用该功能 就必须把工作站设成固定IP地址 任务 由于特殊原因需禁止IP地址为192 168 1 101的电脑访问公司Intranet和Internet 9 2 3防火墙功能的实现 步骤登录到路由器管理页在无线局域网中任选一台电脑 输入 http 192 168 1 1 输入用户名和密码 登录到路由器管理页 开启防火墙在 防火墙设置 中打开防火墙总开关 然后开启 ip地址过滤 9 2 3防火墙功能的实现 设置缺省的过滤规则设置 缺省过滤规则 为 凡是不符合已设ip地址过滤规则的数据包 允许通过本路由器 9 2 3防火墙功能的实现 添加新的过滤规则在 IP地址过滤 中 添加新条目 设置 局域网IP地址 为 192 168 1 101 保存设置 重启路由器 9 2 3防火墙功能的实现 测试IP地址为192 168 1 101的电脑能否访问公司Intranet和Internet 注意 我们可以根据需要把 局域网IP地址 设置成一个IP地址区间 设置相应的局域网端口 同理 我们也可以对广域网IP地址进行过滤 达到禁止或允许访问某个IP地址的目的 9 2 3防火墙功能的实现 思考题 如果我们将IP地址为192 168 1 101的电脑的IP地址改为192 168 1 106 此时该电脑能否访问公司Intranet和Internet 我们利用IP地址过滤能否实现 非本地IP地址不能访问该网站 9 2 4域名过滤 我们通过域名过滤来限制局域网中的计算机对某些网站的访问 域名过滤并不保险 例如 如果我们已经知道该网站的IP地址 或者该网站存在多个域名 那么域名过滤防火墙将不起作用 9 2 4域名过滤 任务 最近网络Internet流量很大 造成速度慢丢包率高 经查实 发现部分员工在 三味影院 里看电影 已知三味影院的域名是 希望采用域名过滤功能实现该无线局域网中用户不能访问到域名 和所有以 net 结尾的网站 9 2 4域名过滤 登录到路由器管理页在无线局域网中任选一台电脑 输入 http 192 168 1 1 输入用户名和密码 登录到路由器管理页 开启防火墙在 防火墙设置 中打开防火墙总开关 然后开启 域名过滤 9 2 4域名过滤 添加新的过滤规则在 域名过滤 中 添加新条目 设置 域名 为 保存设置 添加新条目 设置 域名 为 net 保存设置 重启路由器 9 2 4域名过滤 思考题 如果本无线局域网中的电脑还能够通过 访问到 三味影院 为什么会产生这种情况 怎样在根本上解决这个问题呢 9 2 5MAC地址过滤 我们可以通过MAC地址过滤来控制局域网中计算机对Internet的访问 由于MAC地址伪造和欺骗技术具有较高的难度 一般不容易实现 所以MAC地址过滤相对比较安全 9 2 5MAC地址过滤 任务 前面我们已经利用IP地址过滤的方法 取消了IP地址为192 168 1 101的电脑访问公司Intranet和Internet 由于该电脑使用者将IP地址为192 168 1 106 IP地址过滤已对其失去作用 MAC地址过滤将帮助网络管理员解决这一问题 假定该电脑的MAC地址为00 E0 4C 00 07 5F 除此台之外 我们希望局域网中的其它计算机都能访问Internet 9 2 5MAC地址过滤 步骤登录到路由器管理页在无线局域网中任选一台电脑 输入 http 192 168 1 1 输入用户名和密码 登录到路由器管理页 开启防火墙在 防火墙设置 中打开防火墙总开关 然后开启 ip地址过滤 设置缺省的过滤规则设置 缺省过滤规则 为 禁止已设MAC地址列表中已启用的MAC地址访问Internet 允许其它MAC地址访问Internet 9 2 5MAC地址过滤 添加新的过滤规则在 MAC地址过滤 中 添加新条目 设置 MAC地址 为 00 E0 4C 00 07 5F 保存设置 重启路由器 9 2 5MAC地址过滤 思考题 在实际网络管理应用中 我们往往采用MAC地址过滤防火墙功能 而且把本地网络的所有MAC地址添加到过滤规则的列表中 这样做有什么好处 9 2 6通过NAT实现虚拟服务器 一般无线路由器都具有网络地址转换 NetworkAddressTranslation 以下简称NAT 功能 NAT允许一个私有网络的全部IP地址以一个公用IP地址出现在Internet上 顾名思义 它是一种把内部私有网络地址 IP地址 翻译成合法网络IP地址的技术 通过这种方法 您可以只申请一个外部IP地址 就把整个局域网中的计算机接入Internet中 9 2 6通过NAT实现虚拟服务器 NAT有三种类型 静态NAT StaticNAT 动态地址NAT PooledNAT 网络地址端口转换NAPT Port LevelNAT 静态NAT 设置起来最为简单 也最容易实现 内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址 动态地址NAT 是在外部网络中定义了多个合法地址 采用动态分配的方法映射到内部网络 此时 内部网络可能使用不同的外部地址连接外部网络 这种类型较少采用 9 2 6通过NAT实现虚拟服务器 NAPT NetworkAddressPortTranslation 是常见的转换方式 它把内部地址映射到外部网络的一个IP地址的不同端口上 NAPT与动态地址NAT不同 它将内部连接映射到外部网络中的一个单独的IP地址上 同时在该地址上加上一个由NAT设备选定的TCP端口号 所以这种转换方式也叫端口 Port 映射 9 2 6通过NAT实现虚拟服务器 我们可以利用NAT技术将局域网内不同IP地址的多个网络服务变成在一个外部IP地址上的虚拟服务 这些架设在局域网内提供外部网络服务的服务器 称为虚拟服务器 这种虚拟服务器是由端口 Port 映射技术来实现的 9 2 6通过NAT实现虚拟服务器 端口映射分为静态端口映射和动态端口映射 静态端口映射 端口和IP地址的映射关系是固定的 用于外部网络访问内部网络服务器资源 动态端口映射 端口和IP地址的映射关系并不是固定的 用于内部网络访问外部网络 9 2 6通过NAT实现虚拟服务器 任务 由于业务的需要 网管中心决定在10个无线局域网中每个都分别设立两台服务器 一台为Web服务器 另一台是FTP服务器 接入公司Intranet 以减轻单台服务器承担多个网络服务的负荷 将一台电脑安装设置成Web服务器 192 168 1 10 另一台安装设置成FTP服务器 192 168 1 11 该无线路由器的外网IP为192 168 212 228 9 2 6通过NAT实现虚拟服务器 登录到路由器管理页在无线局域网中任选一台电脑 输入 http 192 168 1 1 输入用户名和密码 登录到路由器管理页 设置虚拟服务器在管理页左边目录树中找到 虚拟服务器 选择第一条映射关系 设置 服务端口 为 8080 设置 IP地址 为 192 168 1 10 选择 启用 激活本条映射关系 点击 保存 同理可建立FTP服务器 192 168 1 11 服务端口为21的映射关系 9 2 6通过NAT实现虚拟服务器 思考题 利用端口映射的技术 外部网络能访问到无线路由器的管理页吗 为什么 9 2 7DMZ主机的设置 由于端口开放数量上的限制 利用虚拟服务器技术 我们只能开放少数几个端口进行端口映射 在某些特殊情况下 我们需要让局域网中的一台计算机完全暴露给广域网 以实现双向通信 此时可以把该计算机设置为DMZ 非军事区 主机 9 2 7DMZ主机的设置 登录到路由器管理页在无线局域网中任选一台电脑 输入 http 192 168 1 1 输入用户名和密码 登录到路由器管理页 设置DMZ主机在管理页左边目录树中找到 DMZ主机 在DMZ主机IP地址栏内输入欲设为DMZ主机的内部网络计算机的IP地址 选中 启用 激活 单击 保存 完成DMZ主机的设置 9 2 7DMZ主机的设置 9 2 8无线路由器远程管理 一般无线路由器都具有远程管理的功能 从外部网络接入内部网络执行远端WEB管理需要一个特殊的Web管理端口 其管理方式与内部管理方式相同 都是路由器Web管理页 其工作原理也与虚拟服务器类似 都是利用端口映射的技术实现的 不同的是它增加了对远端WEB管理主机的IP地址进行限制 9 2 8无线路由器远程管理 路由器默认的远端WEB管理IP地址为0 0 0 0 在此默认状态下 外部网络中所有计算机都不能登录路由器执行远端WEB管理 如果将远端WEB管理IP地址设为255 255 255 255 那么 外部网络中所有的计算机都可以登录路由器执行远端WEB管理 9 2 8无线路由器远程管理 Web管理端口的端口号默认为 80 我们一般情况需重新定义此端口号 如 改为 6180 如果您改变了默认的WEB管理端口号 那么不管是远程管理也好 本地管理也好 在登录管理页时您必须使用 IP地址 端口 的方式 例如http 192 168 1 1 6180 才能登录路由器执行WEB界面管理 9 2 8无线路由器远程管理 任务 为了方便网络管理员的工作 现要将各个无线路由器的远程管理功能开启 要求外部网络的所有计算机都可以登录到执行远端WEB管理 Web管理端口的端口号统一设为 6280 9 2 8无线路由器远程管理 登录到路由器管理页在无线局域网中任选一台电脑 输入 http 192 168 1 1 输入用户名和密码 登录到路由器管理页 开启远端WEB管理在左边的目录树中找到 远端WEB管理 设置 web管理端口 为6280 设置 远端web管理ip地址 为 255 255 255 255 保存设置 重启路由器 9 2 8无线路由器远程管理