TPLINK路由器应用与IP和MAC绑定.docx

《TPLINK路由器应用与IP和MAC绑定.docx》由会员分享，可在线阅读，更多相关《TPLINK路由器应用与IP和MAC绑定.docx（11页珍藏版）》请在三一办公上搜索。

1、宽带路由器应用（三）一ARP欺骗防护功能的使用企业级路由器应用（二）一IP QoS功能应用举例这篇文档就TP-LINK企业级路由器的IP QoS功能的详细设置过程。首先简单介绍一下企业级路由器IP QOS功能与SOHO级路由器IP带宽控制不同之处。下面两个图中上图是SOHO级路由器R460IP带宽控制的设置界面，下图是R4299G的QOS规则设置界面:本更通过P够规则来进行蒂宽控制.01启用ALL v独衣带宽V晶小带宽fE端口段：（只首选中胡口段，该域才有效）模式:上行：10下行；QQ最大蒂宽 KbpiS甘回-O1比较上面的两个设置界面可以看到企业级路由器IP QOS功能与SOHO级路由器IP

2、带宽控制不同之处:1）设置带宽控制规则时，SOHO级路由器只能选择保障最小带宽和限制最大带宽二者中的一个， 也就是只能设置上限或者下限，不可以同时对二者进行限制。相反的企业级路由器在设置的时候既可设置 最小带宽，又可设置最大带宽的值。2）当一条规则的IP地址是一个地址段时，SOHO级路由器是此地址段内的所有电脑共享填写在带 宽大小里的值。而企业级路由器则可以选择独立带宽和共享带宽。独立带宽是此地址段内每一台电脑 分配最大和最小的带宽值，当我们要设置的内网电脑数目比较多时，利用独立带宽可以方便快捷的设置 QOS规则；共享带宽是此地址段内所有电脑共享所分配最大和最小的带宽值。可以理解为SOHO级路

3、由 器只有共享带宽模式*运行状态设置向导网洛参数 DHCF服务器转发规则安全设置+路由功能连接数限制-QoS QqS设置* QoS规则点击QoS设置界面如下图:上图中红线勾勒部分的信息重要性就不强调了，下面有上行总带宽和下行总带宽两项参数，点击 页面帮助按钮可以看到下图信息：帮助-如，设置您需要设置的SS条目如下:开启功能：上行总带宽:下行总带宽:如果开启，如E规则将起作用。通过WAN 口可以提供的上佳速度。通过WAN 口可以提供的下载速度。可以将上行总带宽和下行总带宽理解为用户申请的宽带线路的实际上下行带宽，上面是10M光纤 接入的数值。需要注意的是，普通的ADSL接入方式，上带宽会远远小于

4、下行带宽的值，往往我们申请宽 带是的ADSL2M或者6M这些值指的都仅仅是下行总带宽，上行总带宽要向运行商咨询具体数值。注意：如果是多WAN 口路由器，此处填写数值因为各个WAN 口上下行带宽之和。如上图，在这里强调的是：必须先开启这里的开关开启QoS并填入线路实际的上下行带宽，然后才 能在IP QoS页面继续配置，否则会提示错误。下面来具体添加QOS规则，点击QOS规则出现如下界面：举例添加如下新条目，如下图:如诚则配置0启用地址况端口段：册谀；模式,本页通过如3规则来进行带宽斐制*|1於.168. 1.1（0- 竺 L盛【暨 AU- * 1只有选中嘛口段，遂城才有兢1独立带宽V最小带宽（K

5、bps）最大带宽C Kbps ）上行：100500下ij：10D500相关参数解释如下：1） 地址段一一包含了从.100到.190总共100个IP地址。另：这里的地址段允许输入和路由器LAN 口 IP地址不在同一网段的IP地址，意味着用户内网如果 采用三层交换设备规划了不同子网的方案下，我们的路由器也可以支持对不同网段IP的带宽限制。2） 模式独立带宽，顾名思义下面的最大带宽 最小带宽是针对这段IP地址里面的每一个IP 而言，如果模式选择了共享带宽也就是这段IP共享下面的参数。3）上行/下行我们都知道网络上传输的数据流是有方向的，比如BT下载，可以从Internet上 的服务器下载数据，自身也

6、作为服务器上传数据，我司路由器IP QoS就是根据这种有方向性的数据流 来分别进行限制。4）这里有100个IP地址，每个IP地址保障的最小带宽是100K，总数是100*100K=10000K。也 就是所有IP地址最小带宽的和不能超过QOS设置中的上行总带宽和下行总带宽。如果这里超过10000K 就会报错。路由器非常准确的对上/下行数据流分开来进行了限制。就上图填写的参数，假设配置了 192.168.1.100这个IP地址的主机正在进行BT下载，那么这台主机的数据流量会比较大，这台主机的数 据流分两部分：一部分是它从别的服务器下载数据，一部分是它上传数据给别的主机。路由器的IP QoS 将会对这

7、台192.168.1.100的主机下载和上传两个方向的数据流量分别进行规定限制。按照上面填写的参数，192.168.1.100主机在上行方向（上传数据）的数据流量最小保证100Kbps、 最大不超过500Kbps的带宽，下行方向（下载数据）的数据流量最小保证100Kbps、最大不超过500Kbps 的带宽。这里上行数据和下行数据的可用带宽是以线路实际上/下行带宽作为参考的。那么QOS规则到底是怎么工作的呢？是不是我设置了最小保障100K的带宽，这100K就永远预留 给我，无论网络多么繁忙别的主机也不可能用到这100K的带宽呢？很明显这样是很不合理的，会造成对 带宽的巨大浪费。我公司路由器是用优

8、先级的方法分配带宽资源的。如果现在192.168.1.100 192.168.1.149这50台主机都在进行网络活动，而线路的实际下行带宽是有限的10Mbps，可能发生带 宽争用，按照我们上面设置的参数路由器优先给每一个IP地址分配最小100Kbps的带宽，也就是说在第 一轮的资源分配中，带宽占用未达到100K的主机在使用带宽时就会优先处理，待所有需求不到100K的 主机分配到了自己需要的值，所有需求大于100K的主机分配到了 100K的值之后，那么此时50台主机总 共使用了不到5000Kbps的带宽资源，这条线路总的下行带宽资源10000Kbps还余留超过5000Kbps的带 宽，这5000

9、Kbps的剩余带宽资源就会被仍然需求带宽的主机竞争使用。在此期间每台电脑又有最大带宽 的限制，当主机占用的带宽达到最大带宽时它将退出竞争。举例如下：如上图红色标注，现在假设线路的下行带宽是10Mbps，配置了 192.168.1.10和192.168.1.11这 两台主机的下行带宽最小都是100Kbps，最大却不同分别是1000Kbps和2000Kbps，那么带宽在分配 的时候：路由器先保证两台主机的下行带宽最小可以使用到100Kbps。最小带宽保证后，两台主机进一步还有下行带宽的需求，那么超过100Kbps的流量后，路由器采用轮 询方式，开始增大两台主机占用的有效带宽，当192.168.1.

10、10这台主机的下行数据流占用的带宽达到最 大1000Kbps的时候，路由器将不会载转发超过1000Kbps带宽的数据包。但是192.168.1.11这台主机在 争用带宽的时候，数据流达到1000Kbps后这台主机仍然需要更大的带宽，路由器会一直增大它占用的有 效下行带宽至2000Kbps后，将不再继续转发超过这个带宽范围的数据包。剩余的下行7Mbps的带宽资源将闲置，不会分配给.10和.11，除非将其最大可用下行带宽改为更 大，否则它们将不能使用剩余带宽。配置IP QoS的时候，模式选择为共享带宽，则是地址段内包含的所有IP地址共享设置的上下行 最大最小带宽。上面我们用了较长篇幅来描述企业级路

11、由器新增的IP QoS功能的使用，是不是看似很复杂？不过即 使您看的不是太懂的话也没有关系，您只需要按照下面的步骤来设置您的网络即可：1、将内网的电脑的IP手工指定，并且是连续的，如192.168.1.2192.168.1.100,这样方便后面的设置；2、在IP QOS设置开关处设置您的线路的带宽，分别设置线路的上行带宽和下行带宽，如10M的光 纤线路需要填入10000；然后开启QOS总开关；3、进入IP QOS规则设置页面，添加新条目，设置：4、IP地址段如192.168.1.2192.168.1.100； 模式选择为 独立；5、上行最小带宽：线路真实上行带宽内网电脑数，在此例中为10000

12、/99 = 101；最大带宽的设置关 系不大，推荐设置800或1000或2000；6、下行最小带宽：线路真实下行带宽内网电脑数，在此例中为10000/99 = 101；最大带宽的设置关 系不大，推荐设置800或1000或2000；7、保存，设置完成企业级路由器应用（三）一ARP欺骗防护功能的使用在局域网中，通信前必须通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）。ARP协 议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，对网络的正常传输和安全 都是一个很严峻的考验。目前知道的带有ARP欺骗功能的软件有QQ第六感、网络执法官、P2P终结者、网吧传奇杀手

13、等，这些软件中，有些是人为手工操作来破坏网络的，有些是作为病毒或者木马出现，使用者可能根本不 知道它的存在，所以更加扩大了 ARP攻击的杀伤力。从影响网络连接通畅的方式来看，ARP欺骗有两种攻击可能，一种是对路由器ARP表的欺骗；另一 种是对内网电脑ARP表的欺骗，当然也可能两种攻击同时进行。不管怎么样，欺骗发送后，电脑和路由器 之间发送的数据可能就被送到错误的MAC地址上，从表面上来看，就是上不了网，访问不了路由器，路 由器死机了，因为一重启路由器，ARP表会重建，如果ARP攻击不是一直存在，就会表现为网络正常， 所以网吧业主会更加确定是路由器死机了，而不会想到其他原因。为此，宽带路由器背了

14、不少黑锅，但 实际上应该ARP协议本身的问题。我们来看看如何来防止ARP欺骗。上面也已经说了，欺骗形式有欺骗路由器ARP表和欺骗电脑ARP两种，我们的防护当然也是两个 方面的，首先在路由器上进行设置，来防止路由器的ARP表被恶意的ARP数据包更改；其次，我们也会 在电脑上进行一下设置，来防止电脑的ARP表受恶意更改。两个方面的设置都是必须的，不然，如果您只 设置了路由器的防止ARP欺骗功能而没有设置电脑，电脑被欺骗后就不会把数据包发送到路由器上，而是 发送到一个错误的地方，当然无法上网和访问路由器了。我司路由器上主要的IP与MAC地址绑定的方式有两种，普通绑定与强制绑定。SOHO级路由器上 主

15、要进行的是普通绑定，企业级的路由器上有普通绑定，也有强制绑定。普通绑定是在路由器上记录了局域网内计算机MAC地址对应的IP地址，建立了一个对应关系，不 会受到ARP欺骗，导致无法正常通讯。对于没有进行IP与MAC地址绑定的计算机就可能受到ARP攻击。 SOHO级路由器普通绑定只是设置了一个IP与MAC的对应关系，若计算机更改了其IP地址，路由器仍 然能进行ARP映射表自动学习，扫描到计算机新的对应关系，该计算机仍能与路由器进行通讯；而企业级 路由器在普通绑定之后IP和MAC地址就是一一对应的关系了，若计算机更改了其IP地址，路由器会认为 其IP地址错误，从而不能与路由器进行通信。强制绑定:是指

16、关闭路由器的学习IP与MAC地址能力，手动在路由器中添加计算机IP与MAC地 址。所以在设置了强制绑定后，新接入路由器的计算机，若没有添加IP与MAC地址对应关系，该计算机 是不能与路由器进行通讯的。或者路由器下的计算机更改了其IP地址，导致与路由器上记录的IP与MAC 对应关系不一致，也无法进行通讯。下面就以TL-4299G为例对企业级级路由器上的普通绑定和强制绑定的设置，进行详细地介绍，以 及如何设置来防止ARP欺骗。一、设置前准备当使用了防止ARP欺骗功能（IP和MAC绑定功能）后，最好是不要使用动态IP，因为电脑可能获 取到和IP与MAC绑定条目不同的IP，这时候可能会无法上网，通过下

17、面的步骤来避免这一情况发生吧。1）把路由器的DHCP功能关闭：打开路由器管理界面，DHCP服务器”一DHCP服务”，把状态 由默认的启用”更改为不启用”，保存并重启路由器。2）给电脑手工指定IP地址、网关、DNS服务器地址，如果您不是很清楚当地的DNS地址，可以咨 询您的网络服务商。二、设置路由器防止ARP欺骗打开路由器的管理界面，在左侧的菜单中可以看到：+ QoS-IF与MAC绑定*静态AEP绑定设置* IF与MAC扫描*淄映射表IP与MAC绑定”的功能，这个功能除了可以实现IP和MAC绑定外，还可以实现防止ARP欺骗功 能。打开静态ARP绑定设置”窗口如下：注意，默认情况下ARP绑定功能是

18、关闭，请选中启用后，点击保存来启用。在添加IP与MAC地址绑定的时候，可以手工进行条目的添加，也可以通过ARP映射表”查看IP与 MAC地址的对应关系，通过导入后，进行绑定。1、手工进行添加，单击“增加单个条目”。填入电脑的MAC地址与对应的IP地址，然后保存，就实现了 IP与MAC地址绑定。2、通过“ARP映射表”，导入条目，进行绑定。打开ARP映射表”窗口如下：这是路由器动态学习到的ARP表，可以看到状态这一栏显示为未绑定。如果确认这一个动态学 习的表没有错误，也就是说当时不存在arp欺骗的情况下，把条目导入，并且保存为静态表，这 样路由器重启后这些条目都会存在，实现绑定的效果。若存在许多

19、计算机，可以点击全部导入，自动导入所有计算机的IP与MAC信息。导入成功以后，即已完成IP与MAC绑定的设置。如下：静态ABP绑定设置本页设置单机的MAC地址和IF地址的匹配规则注意：开启强制绑定功能时必须保证上网主机条目已被导入并且选择了绑定。瑚绑定：O禁用。普通绑定强制绑定|保存IDMAC地址IF地址绑定配置100-19-66-65-98-B8192.168.0.100E编辑删除200-1C-23-35-A4-84192.168.0.101凹编辑ilffi增加单个条目使所有条目生效册除所有条目查找指定条目*一页| |下页|当前第|1 -I页可以看到状态中已经为已绑定，这时候，路由器已经具备

20、了防止ARP欺骗的功能，上面的示范中只 有一个条目，如果您的电脑多，操作过程也是类似的。有些条目如果没有添加，也可以下次补充上去。除 了这种利用动态学习到的ARP表来导入外，也可以使用手工添加的方式，只要知道电脑的MAC地址，手 工添加相应条目就可。在ARP映射表中可以看到，此计算机的IP地址与MAC地址已经绑定，在路由器重启以后，该条 目仍然生效全部导入刷新 帮助IDMAC地址IF地址状态配置100-19-66-65-98-B8192. 168.0. 100已绑定导入册除200-1C-23-35-A4-84192. 168.0. 101已绑定导人册臃三、设置电脑防止ARP欺骗路由器已经设置了

21、防止ARP欺骗功能，接下来我们就来设置电脑的防止ARP欺骗了。微软的操作 系统中都带有ARP这一命令行程序，我们可以在windows的命令行界面来进行配置。Windows XP系统的设置方法:点击开始，选择运行，输入cmd，打开windows的命令行提示符如下:通过arp - s路由器IP+路由器MAC这一条命令来实现对路由器的ARP条目的静态绑定，如:arp -s 192.168.1.1 00-0a-eb-d5-60-80；可以看到在arp -a命令的输出中，已经有了我们刚才添加的条目，Type 类型为static表示是静态添加的。至此，我们也已经设置了电脑的静态ARP条目，这样电脑发送到路

22、由器 的数据包就不会发送到错误的地方去了。怎么知道路由器的MAC地址是多少呢？可以打开路由器的管理界面，进入网络参数一LAN 口设LAN 口设置本页设置LAN 口的基本网貉参数o虻地址：W-CikEB-DS-GD习矽IF地址：|1 能.168. 1. 1子网掩玛:255. 255. 255.口注意：当LAN口 IF参数（包括IF地址、子网掩码）发生变更时,为确保DHCF 获mr能够正常工作，应保证DHCF gg中设置的地址池、静态地址与新 的LAN 口 IF是处于同一网段的，并请重启路由器。保存 帮助LAN 口的MAC地址就是电脑的网关的MAC地址。细心的人可能已经发现了，如果使用上面的方法，

23、电脑每次在重启后都需要输入上面的命令来实现 防止ARP欺骗，有没有更简单的方法自动来完成，不用手工输入呢？有！我们可以新建一个批处理文件如static_arp.bat，注意后缀名为bat。编辑它，在里面加入我们刚才的 命令：通 static_arp.bat -记事本文件旧编辑旧格式。帮助|arp -s 192.168.1.1 B0-0a-eb-d5-60-80保存就可以了，以后可以通过双击它来执行这条命令，还可以把它放置到系统的启动目录下来实现 启动时自己执行。打开电脑开始一 程序，双击启动打开启动的文件夹目录，把刚才建立的 static_arp.bat复制到里面去：行启动文件（E）编辑（目查

24、看团收藏（由工具帮助后退 囱I理搜索 聆文件夹 园I旧弟 X 牵I图，地址（囚旧 口心匚uments and 5舐in时AdministrmtM开始菜单程序1启动* l3 面 启动static_arp.batstatic_arp.batM5-DO5批处理文件好了，以后电脑每次启动时就会自己执行arp -s命令了，在以后使用网络的时候，不再受到ARP攻 击的干扰。Windows Vista和Windows 7系统的设置方法：1、管理员身份运行命令提示符。2、命令：netsh -c i i show in查看网络连接准确名称。如：本地连接、无线网络连接。3、执行绑定:netsh -c i i ad

25、d neighbors 网络连接名称IP地址MAC地址。4、绑定完成，电脑重启静态ARP不失效，不用像XP 一样建批处理文件。如图所示：D;netsh -c i inJds Het MTtl 状态名称150 42949&7395 conniCtcd LouphAck Pseu.dOi-InteKfacc 195 LS00 discorinectcd 无线网器连接B SR 15BB connected木地逢辑:JneCsh -c i i ad 祯hbflm B 1YAL6矶1 SB-Hl-02-03-0-05t M!inclow5Xsystem32f寅: 169.2S4.16.199 tixSntrnt地址物理地址类型1差.1础.1丽的股-33-84=35静态首先以管理员身份运行CMD打开命令行程序（开始-程序-附件-命令提示符击右 键选择“以管理员身份运行”）