无线局域网综合实训.ppt

《无线局域网综合实训.ppt》由会员分享，可在线阅读，更多相关《无线局域网综合实训.ppt（65页珍藏版）》请在三一办公上搜索。

1、计算机网络技术实训教程,第9章 无线局域网综合实训,第9章 无线局域网综合实训,9.1无线局域网概述 IEEE 802.11是IEEE（电机电子工程师协会，The Institute of Electrical and Electronics Engineers）公布的无线区域网路标准，适用于有线站台与无线用户或无线用户之间的沟通连结。目前传输速率为54Mbp IEEE 802.11g标准已得广泛应用，下面介绍802.11家族的发展历程。,9.1无线局域网概述,IEEE 802.11 IEEE 802.11标准于1997年6月公布，是第一代无线局域网标准。工作在2.4GHz开放频段，支持1Mb

2、ps和2Mbps的数据传输速率。IEEE802.11b 1999年9月通过的IEEE802.11b工作在2.42.483GHz频段，数据速率可以为11Mbps，5.5Mbps，2Mbps，1Mbps或更低，可以根据噪音状况自动调整速率。,9.1无线局域网概述,IEEE 802.11a 与802.11b相比，IEEE 802.11a在整个覆盖范围内提供了更高的速度，其速率高达54Mbps。它工作在5GHz频段，与802.11b一样采用CSMACA协议。IEEE 802.11g 为了解决IEEE802.11a与802.11b的产品因为频段、物理层调制方式不同而无法兼容的问题，IEEE又在2001年

3、11月批准了新的802.11g标准。,9.1无线局域网概述,本实训以常见的无线路由器TP-LINK TL-WR641G为例。,9.2无线局域网综合实训,9.2.1无线局域网的架设9.2.2路由功能的实现9.2.3防火墙功能的实现9.2.4域名过滤9.2.5MAC地址过滤9.2.6通过NAT实现虚拟服务器9.2.7DMZ主机的设置9.2.8无线路由器远程管理,9.2.1无线局域网的架设,任务 现公司需要建立10个独立的具有wep安全认证功能的无线局域网。每个无线局域网给定ssid号分别为“subnet1subnet10”。各无线路由器的Lan默认ip地址为192.168.1.1/24，其管理页的

4、用户名和密码分别是“admin”“admin”,9.2.1无线局域网的架设,无线路由器的无线部分应用体现在它的AP（无线接入点）功能上。在实训前我们先了解几点专用的名词。ssid号：每一只无线路由器都由唯一ssid号标识，形成该无线局域网标识名称。ssid号可以使用英文字母和数字。频段：用于确定本无线路由器使用的无线频率段，选择范围从1到11，相邻无线路由器设定不同的频段，可以缓解无线路由器之间相互干扰。模式：传输速率模式。,9.2.1无线局域网的架设,安全认证类型：是指接入该无线网络的登录安全认证方式。由于无线局域网的“无线”特殊性，我们一定要重视其安全性。根据无线路由器的种类的不同其选项可

5、能会发生变化，一般包括以下选项：允许任何访问的开放系统模式；基于wep加密机制的共享密钥模式；自动选择方式。,9.2.1无线局域网的架设,密钥：如果该无线路由器设定了安全认证类型，就必须具有正确的密钥才能登录网络。密钥长度可以选择64位或128位，密钥格式可以选择ASCII码或者16进制数。MAC地址过滤：是一种的防火墙技术，利用此功能，可以设定只有MAC地址匹配的主机才可以登录到本无线网络，大大增强了无线局域网的安全性。,9.2.1无线局域网的架设,在实训前，我们将所有网络适配器的“Internet协议（TCP/IP）属性”页设置成“自动获得IP地址”，这样我们可以通过无线路由器已提供的DH

6、CP服务获得正确的IP地址。在默认情况下，无线路由器的DHCP服务已经开启。,9.2.1无线局域网的架设,步骤路由器复位 首先对无线路由器进行“复位”操作。一般无线路由器都提供了“Reset”按钮，用于将其初始化成“出厂默认值”；,9.2.1无线局域网的架设,登录到路由器管理页用直连线缆（RJ45）连接一台电脑的网络适配器和无线路由器的Lan接口，默认情况无线路由器已开启DHCP服务，已接入的电脑将自动分配IP地址：192.168.1.100，子网掩码为：255.255.255.0。在该电脑浏览器地址栏中输入“http:/192.168.1.1”，输入用户名和密码，即可登录；注意：用户终端IP

7、地址应与路由器内网ip地址192.168.1.1应在同一网段。,9.2.1无线局域网的架设,9.2.1无线局域网的架设,9.2.1无线局域网的架设,设置ssid号和频段 以号无线路由器为例，找到“无线网络参数设置”页面，将ssid号改为“subnet8”，并将频段改为“”，保存后重启路由器，拔掉网线。至此，一个没有安全认证的无线局域网“subnet8”已建成。,9.2.1无线局域网的架设,9.2.1无线局域网的架设,测试连通性 此时，我们已可以通过无线网络适配器登录到路由器，在无线网络适配器的服务软件（一般出现在屏幕的右下角的“任务栏”图标中）中查看“可用无线网络”即能找到“subnet8”，

8、选择连接即可接入无线局域网。我们可以通过“ping 192.168.1.1”测试网络的连通性。,9.2.1无线局域网的架设,9.2.1无线局域网的架设,设置安全认证 在无线情况下，任选一台电脑输入“http:/192.168.1.1”，输入用户名和密码，登录到路由器管理页，选择“无线局域网设置”“本无线局域网需要进行安全认证”“基于Wep加密”“共享密钥模式”密钥格式为“ASCII码”密钥长度为“64位”输入5个字符的密码并记录密码。保存后重启路由器。,9.2.1无线局域网的架设,9.2.1无线局域网的架设,无线网络适配器设置 由于安全认证的启用，原先能够无线登录“subnet8”的电脑已无法

9、进入网络，因此要分别对相应电脑的无线网络适配器的服务软件进行设置。一般设置如下：新建无线连接设置ssid为“subnet8”设置“通道”或“频段”为“基于Wep加密”“共享密钥模式”输入5个字符的密码。设置完成。,9.2.2路由功能的实现,常见的无线路由器通常提供了一个广域网（WAN）RJ45接口和若干个局域网（LAN）RJ45接口。其路由功能体现在它的广域网接口与局域网接口之间的路径选择。无线路由器通常作为Internet接入路由器使用。,9.2.2路由功能的实现,无线路由器的设置主要是对广域网（WAN）接口的设置，其接入方式一般有以下几种：PPPoE协议，即为Adsl虚拟拨号方式。连线方式

10、是从“adsl Moden”输出至广域网（WAN）接口，适用于家庭Adsl宽带用户。在“上网账号”中填入ISP为您指定的adsl上网帐号。在“上网口令”中填入ISP为您指定的adsl上网密码。,9.2.2路由功能的实现,动态ip方式，适用于非Adsl小区宽带用户。您可以从网络服务商自动获取ip地址。静态ip方式，适用于专用用户。您拥有网络服务商提供的固定ip地址，必须填写ip地址、子网掩码、网关、DNS服务器。假定广域网网络号为：192.168.212.0/24网关为192.168.212.2，DNS为202.96.107.29，我们开始做以下实训。,9.2.2路由功能的实现,步骤登录到路由器

11、管理页 在无线局域网中任选一台电脑，输入“http:/192.168.1.1”，输入用户名和密码，登录到路由器管理页；WAN设置 点击进入“WAN设置”页设置WAN接入方式为“静态ip方式”设置WAN口IP地址为“192.168.212.228”设置子网掩码为“255.255.255.0”设置网关为“192.168.212.2”设置DNS为“202.96.107.29”保存设置；,9.2.2路由功能的实现,9.2.2路由功能的实现,DHCP设置 点击进入“DHCP设置”页 设置网关为“192.168.212.2”设置子网掩码为“255.255.255.0”设置DNS为“202.96.107.2

12、9”保存设置，重启路由器；,9.2.2路由功能的实现,9.2.2路由功能的实现,【思考题】为什么我们在设置WAN口后要进行DHCP设置？试问外部网络可否访问到内部网络的资源？为什么？,9.2.3防火墙功能的实现,三种基本的防火墙类型，包括软件防火墙、硬件路由器和无线路由器。无线路由器的防火墙功能并没有特别强的安全主动性，但它可以很好的完成自己的份内工作。无线路由器的防火墙设置规则和策略，限制登录用户的数量和访问权限，屏蔽那些可能成为黑客入侵途径的端口。,9.2.3防火墙功能的实现,常见无线路由器具有“IP地址过滤”、“域名过滤”、“MAC地址过滤”等防火墙功能，有些可甚至可以防范和过滤DOS攻

13、击、ICMP-flood攻击、UDP-flood攻击等等。,9.2.3防火墙功能的实现,IP地址过滤 IP地址过滤可以实现禁止（或允许）一个（或一组）局域网（或广域网）IP地址的数据包通过路由器。要使用该功能，就必须把工作站设成固定IP地址。【任务】由于特殊原因需禁止IP地址为192.168.1.101的电脑访问公司Intranet和Internet。,9.2.3防火墙功能的实现,步骤登录到路由器管理页 在无线局域网中任选一台电脑，输入“http:/192.168.1.1”，输入用户名和密码，登录到路由器管理页；开启防火墙 在“防火墙设置”中打开防火墙总开关，然后开启“ip地址过滤”；,9.2

14、.3防火墙功能的实现,设置缺省的过滤规则 设置“缺省过滤规则”为“凡是不符合已设ip地址过滤规则的数据包，允许通过本路由器”。,9.2.3防火墙功能的实现,添加新的过滤规则 在“IP地址过滤”中“添加新条目”设置“局域网IP地址”为“192.168.1.101”保存设置，重启路由器。,9.2.3防火墙功能的实现,测试IP地址为192.168.1.101的电脑能否访问公司Intranet和Internet。【注意】我们可以根据需要把“局域网IP地址”设置成一个IP地址区间，设置相应的局域网端口；同理，我们也可以对广域网IP地址进行过滤，达到禁止或允许访问某个IP地址的目的。,9.2.3防火墙功能

15、的实现,【思考题】如果我们将IP地址为192.168.1.101的电脑的IP地址改为192.168.1.106,此时该电脑能否访问公司Intranet和Internet。我们利用IP地址过滤能否实现“非本地IP地址不能访问该网站”？,9.2.4域名过滤,我们通过域名过滤来限制局域网中的计算机对某些网站的访问。域名过滤并不保险，例如，如果我们已经知道该网站的IP地址，或者该网站存在多个域名，那么域名过滤防火墙将不起作用。,9.2.4域名过滤,【任务】最近网络Internet流量很大，造成速度慢丢包率高。经查实，发现部分员工在“三味影院”里看电影。已知三味影院的域名是“”，希望采用域名过滤功能实现

16、该无线局域网中用户不能访问到域名“”和所有以“.net”结尾的网站。,9.2.4域名过滤,登录到路由器管理页 在无线局域网中任选一台电脑，输入“http:/192.168.1.1”，输入用户名和密码，登录到路由器管理页；开启防火墙 在“防火墙设置”中打开防火墙总开关，然后开启“域名过滤”；,9.2.4域名过滤,添加新的过滤规则 在“域名过滤”中“添加新条目”设置“域名”为“”保存设置“添加新条目”设置“域名”为“.net”保存设置，重启路由器。,9.2.4域名过滤,【思考题】如果本无线局域网中的电脑还能够通过“”访问到“三味影院”，为什么会产生这种情况？怎样在根本上解决这个问题呢？,9.2.5

17、MAC地址过滤,我们可以通过MAC地址过滤来控制局域网中计算机对Internet的访问。由于MAC地址伪造和欺骗技术具有较高的难度，一般不容易实现，所以MAC地址过滤相对比较安全。,9.2.5MAC地址过滤,【任务】前面我们已经利用IP地址过滤的方法，取消了IP地址为192.168.1.101的电脑访问公司Intranet和Internet，由于该电脑使用者将IP地址为192.168.1.106，IP地址过滤已对其失去作用。MAC地址过滤将帮助网络管理员解决这一问题。假定该电脑的MAC地址为00-E0-4C-00-07-5F，除此台之外，我们希望局域网中的其它计算机都能访问Internet。,

18、9.2.5MAC地址过滤,步骤登录到路由器管理页 在无线局域网中任选一台电脑，输入“http:/192.168.1.1”，输入用户名和密码，登录到路由器管理页；开启防火墙 在“防火墙设置”中打开防火墙总开关，然后开启“ip地址过滤”；设置缺省的过滤规则 设置“缺省过滤规则”为“禁止已设MAC地址列表中已启用的MAC地址访问Internet，允许其它MAC地址访问Internet”。,9.2.5MAC地址过滤,添加新的过滤规则 在“MAC地址过滤”中“添加新条目”设置“MAC地址”为“00-E0-4C-00-07-5F”保存设置，重启路由器。,9.2.5MAC地址过滤,【思考题】在实际网络管理应

19、用中，我们往往采用MAC地址过滤防火墙功能，而且把本地网络的所有MAC地址添加到过滤规则的列表中，这样做有什么好处？,9.2.6通过NAT实现虚拟服务器,一般无线路由器都具有网络地址转换（NetworkAddressTranslation,以下简称NAT）功能。NAT允许一个私有网络的全部IP地址以一个公用IP地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。通过这种方法，您可以只申请一个外部IP地址，就把整个局域网中的计算机接入Internet中。,9.2.6通过NAT实现虚拟服务器,NAT有三种类型：静态NAT(Static NAT

20、)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT（PortLevel NAT）。静态NAT，设置起来最为简单，也最容易实现。内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。动态地址NAT，是在外部网络中定义了多个合法地址，采用动态分配的方法映射到内部网络。此时，内部网络可能使用不同的外部地址连接外部网络。这种类型较少采用。,9.2.6通过NAT实现虚拟服务器,NAPT（Network Address Port Translation），是常见的转换方式。它把内部地址映射到外部网络的一个IP地址的不同端口上。NAPT与 动态地址NAT不同，它将内部连接映射到外部

21、网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。所以这种转换方式也叫端口（Port）映射。,9.2.6通过NAT实现虚拟服务器,我们可以利用NAT技术将局域网内不同IP地址的多个网络服务变成在一个外部IP地址上的虚拟服务。这些架设在局域网内提供外部网络服务的服务器，称为虚拟服务器。这种虚拟服务器是由端口（Port）映射技术来实现的。,9.2.6通过NAT实现虚拟服务器,端口映射分为静态端口映射和动态端口映射。静态端口映射，端口和IP地址的映射关系是固定的，用于外部网络访问内部网络服务器资源。动态端口映射，端口和IP地址的映射关系并不是固定的，用于内部网络访问

22、外部网络。,9.2.6通过NAT实现虚拟服务器,【任务】由于业务的需要，网管中心决定在10个无线局域网中每个都分别设立两台服务器，一台为Web服务器，另一台是FTP服务器，接入公司Intranet，以减轻单台服务器承担多个网络服务的负荷。将一台电脑安装设置成Web服务器（192.168.1.10），另一台安装设置成FTP服务器（192.168.1.11），该无线路由器的外网IP为192.168.212.228。,9.2.6通过NAT实现虚拟服务器,登录到路由器管理页 在无线局域网中任选一台电脑，输入“http:/192.168.1.1”，输入用户名和密码，登录到路由器管理页；设置虚拟服务器 在

23、管理页左边目录树中找到“虚拟服务器”选择第一条映射关系设置“服务端口”为“8080”设置“IP地址”为“192.168.1.10”选择“启用”激活本条映射关系点击“保存”；同理可建立FTP服务器（192.168.1.11）服务端口为21的映射关系。,9.2.6通过NAT实现虚拟服务器,【思考题】利用端口映射的技术，外部网络能访问到无线路由器的管理页吗？为什么？,9.2.7DMZ主机的设置,由于端口开放数量上的限制，利用虚拟服务器技术，我们只能开放少数几个端口进行端口映射。在某些特殊情况下，我们需要让局域网中的一台计算机完全暴露给广域网，以实现双向通信，此时可以把该计算机设置为DMZ“非军事区”

24、主机。,9.2.7DMZ主机的设置,登录到路由器管理页 在无线局域网中任选一台电脑，输入“http:/192.168.1.1”，输入用户名和密码，登录到路由器管理页；设置DMZ主机 在管理页左边目录树中找到“DMZ主机”在DMZ主机IP地址栏内输入欲设为DMZ主机的内部网络计算机的IP地址选中“启用”激活单击“保存”完成DMZ主机的设置。,9.2.7DMZ主机的设置,9.2.8无线路由器远程管理,一般无线路由器都具有远程管理的功能。从外部网络接入内部网络执行远端WEB管理需要一个特殊的Web管理端口，其管理方式与内部管理方式相同，都是路由器Web管理页，其工作原理也与虚拟服务器类似，都是利用端

25、口映射的技术实现的，不同的是它增加了对远端WEB管理主机的IP地址进行限制。,9.2.8无线路由器远程管理,路由器默认的远端WEB管理IP地址为0.0.0.0，在此默认状态下，外部网络中所有计算机都不能登录路由器执行远端WEB管理，如果将远端WEB管理IP地址设为255.255.255.255，那么，外部网络中所有的计算机都可以登录路由器执行远端WEB管理。,9.2.8无线路由器远程管理,Web管理端口的端口号默认为“80”，我们一般情况需重新定义此端口号，如：改为“6180”。如果您改变了默认的WEB管理端口号，那么不管是远程管理也好，本地管理也好，在登录管理页时您必须使用“IP地址：端口”

26、的方式（例如http:/192.168.1.1:6180）才能登录路由器执行WEB界面管理。,9.2.8无线路由器远程管理,【任务】为了方便网络管理员的工作，现要将各个无线路由器的远程管理功能开启，要求外部网络的所有计算机都可以登录到执行远端WEB管理。Web管理端口的端口号统一设为“6280”。,9.2.8无线路由器远程管理,登录到路由器管理页 在无线局域网中任选一台电脑，输入“http:/192.168.1.1”，输入用户名和密码，登录到路由器管理页；开启远端WEB管理 在左边的目录树中找到“远端WEB管理”设置“web管理端口”为6280设置“远端web管理ip地址”为“255.255.255.255”保存设置，重启路由器。,9.2.8无线路由器远程管理,