广告位暂缺,图片大小(468×61)。
  首页 » 集文总录 » 文汇集萃 » 秋月(心得,笔记) » 家用双无线路由器WDS组网实例及安全使用配置

家用双无线路由器WDS组网实例及安全使用配置

Little White(站长) 没有评论   /  2017-07-30

组网背景

住处有两个单间,每个屋里都有一个网口但只启用了一个,中间隔着一条公共走廊,三维空间内一共有10来家相邻住户。有两个同品牌同规格的无线路由器,大概6、7年前的产品,现已停产。虽说规格相同,但两个路由器的实际配置却不同:一个是具有完整网络控制功能的标准版,记为A路由器;另一个是针对家用的简配版,缺少部分网络配置功能,记为B路由器。

在开启广域网网口(WAN口)的单间设置路由器,在另一个单间用手机接收其WIFI信号,信号强度较弱,能识别出网络,但连接时断时续,无法正常上网使用。于是希望采用无线分布系统(Wireless Distribution System,WDS)的方式来对网络进行拓展。WDS有无线桥接和无线中继两种模式,前者是一对一的连接,后者是一对多的连接,由于本案例只有两台路由器,加上简配版的家用路由器中未将二者进行区分,所以本例中不对此作说明。如果其他案例中可以选择的话,采用无线中继模式的拓展性更好。

其他方面,可用网络带宽2M,上网设备至少包括一台台式电脑、一台笔记本电脑、一台平板电脑、三部智能手机,除台式电脑用网线直连外,其余设备均采用WIFI连接。通常情况下,同时联网在线的上网设备在3台以上。

常规组网配置

以A为主路由器,连接WAN口,采用PPPoE的方式上网;B为从路由器,开启B的WDS。本例组网是家用的,与公用和商用不同,带宽资源十分有限,因此网络信号质量的改善和防蹭网的安全设置是本例配置的两个重点。

配置初始上网连接

首先为了使网络连通,对A和B进行基本的连接配置。可以使用路由器的设置向导或手动填写,在主路由器A网络参数的WAN口设置中填写PPPoE连接的帐号、密码信息;在无线设置中填写SSID号,即无线网络的名称;在无线安全设置中选择WPA-PSK/WPA2-PSK AES加密算法,并设置其PSK密码。确认一下无线设置中的“无线功能”和“SSID广播”功能都是开启的,后面的B也一样。

在从路由器B中,无线设置开启WDS,并选择上述定义的A的网络进行连接;B自身的网络名和密码在本例中选择与A相同——原意是为了使无线设备在房间之间移动时可以无缝连接和切换网络,但在本例中并未实现,其原因后面会有分析。其他设置暂时按照默认配置。

网络检测之信道选择

信道就是无线电的信号通道,准确一点,在这里是指WIFI协议所使用的2.4GHz频段中用来发射信号的频率。在中国这个频段一般有13个信道可供选择,对应频率2412MHz~2472MHz,相邻信道之间相差5MHz。在路由器无线网络的基本设置中有对应选项,默认为自动,根据厂商不同对应信道1或6或11,这三个信道也是最常用信道,因为相互之间信号重叠小、干扰少。网上很多教程建议手动设置成1或11,却未说明原因,其实是基于环境中其他路由器都使用默认信道6时才有效,如果大家都手动更改过,就不灵光了。本例本着实事求是的出发点,先查验再选择。

首先要弄清楚环境中信道的使用情况,靠路由器自身功能便可实现。在A的无线网络设置中勾选WDS选项,新增的菜单中有一项功能“扫描”,可列出当前环境中所有WIFI信号的列表。本例中高峰时段的WIFI信号不少于50个,其中的1/6/11信道使用率最高,总计已超过30个。而A的自动配置选择的就是1信道,此外列表中与A网络毗邻信号强度的几个WIFI源使用的信道不是1或6,就是11。有鉴于此,按照增大频率间隔和减少重叠的原则,本例中A最终选择了信道13。

网络检测之连接延迟

在A和B的网络连接建立好之后,为保证信号的质量,应对网络的连接延迟进行测试。本例中A连接了台式机,因此可调用Windows的CMD工具,输入命令来“ping”路由器B的局域网IP地址(在LAN口设置中查看和更改),例如“ping 192.168.1.2”,返回的连接延迟时间越小越好。本例中,初始配置之后,A“ping”B的延迟在100+ms的量级,并时常伴有连接超时;经过前文的信道选择并调整了B的摆放位置之后,ping值降到了稳定的10-ms的量级,这是非常理想的。

此处B摆放位置对信号质量改善的贡献也非常大。其基本原则是,B与A的直线距离越小越好;B与A之间的间隔物体数量越少越好。举个例子,如果B放在门后(常开门),那么至少应该让B的天线能伸展到门框通道的范围内,因为在距离信号源距离相同的情况下,相比较于障碍物的背后,开放空间中的无线电信号强度要大得多。

网络检测之无线地址格式

在上文提到的A勾选WDS选项后新增菜单中还有一个有特别意义的选项:无线地址格式。通常有三项可选,分别是自动检测、3地址、4地址,其区别在于:

  • 3地址通信:连接从路由器的终端发送给主路由器的数据,其MAC地址都会转变为从路由器的MAC地址,IP地址为终端的IP地址不变;
  • 4地址通信:连接从路由器的终端发送给主路由器的数据,其IP地址与MAC地址都是以终端的实际IP地址与MAC地址进行通信。

如果路由器没有上述选项,那么是3地址的可能性较大(尤其是老机器),本例中的B就属于这种情况。为了确认,可以利用路由器自带功能将其检验出来。方法是,A、B组网后,用一个终端连接B的网络上网,然后在A的ARP映射表(IP与MAC映射表)中查看,如果是3地址模式,则会有一个MAC地址(其实是A读取的B的无线LAN通讯MAC地址)对应2个不同的IP地址,也就是A只能看见B,而无法看见B的下属子节点;否则MAC与IP表现为一一对应就是4地址模式。(参考文献

该项检测内容对改善网络质量没有帮助,但对后续的安全配置方案有重大影响!

网络安全配置(防蹭网)

为什么特别在意这一点,因为家用的设备多且网络带宽有限,然后就是蹭网、盗网的盗抢软件能力太强、散布太广,不说人手一套,也有十之五六。不仅让看似美好的WPA-PSK/WPA2-PSK AES加密安全设置形同虚设,还可以自行检测网段绑定IP等,如若置之不理,一个被WDS拓展了覆盖范围的无线网络被侵入5、6个外机,被占用一半多的带宽是司空见惯的。所以,在常规组网配置之外,还应增加相应的安全配置。

修改路由器登录帐号和密码

这一条非常简单,但常常被忽略。不管哪个厂家的路由器,默认的登录帐号和密码都差不多,无非就是admin相关的云云。既然盗网软件能轻易地侵入网段,那么也就可以访问路由器主机,然后帐号和密码都是默认的话……尽管万不得已的时候机主可以戳下路由器的复位按钮让一切回到原点。

集中管理与分散管理

集中管理是指组网后由主路由器对整个网段的所有资源和权限进行统一分配管理;分散管理则是各主、从路由器仅对接入自身的终端设备进行管理,而不涉及其他路由器信号覆盖区的终端。无论是从效率、便利性和安全性的角度来说,集中管理都是首选,但是这需要一个前提:主路由器与从路由器之间是4地址通讯,即主路由器应能够读取从从路由器接入网络的终端对应的IP与MAC地址。能识别才能管理,否则在3地址模式下,只能被动采用分散管理的方式。本例既是如此。

集中管理时,各从路由器均可不启用自己的动态主机设置协议(Dynamic Host Configuration Protocol, DHCP),即DHCP服务,以及其他除WDS相关以外的规则、策略或服务,一切交给主路由器即可。而分散管理时,从路由器必须启用自身的DHCP服务来给信号范围内的终端赋予IP,同时配置网关(主路由器局域网地址,如192.168.1.1)和DNS服务器(在主路由器运行状态表中查询),否则终端将因为无法被主路由识别其MAC地址而无法获得IP最终无法上网。

此外,若能满足集中管理的条件,将各路由器信号网络的名称和密码都设置成一样,可以实现终端在整个信号范围内移动时的动态无缝连接。本例中因被迫采用分散管理,最终将B的无线网络名称改为与A不同,以便使用移动终端时能明确识别出当前所连接的信号源。

后文有关配置与策略的内容都是针对本例的分散管理方式给出的,对于集中管理的方式仅需采用主路由器A的配置与策略即可,因为其他从路由器的作用只相当于信号放大而已。

IP的分配:静态、动态与绑定

首先在各个终端上虽然可以自行指定自己的网段IP,但为了方便起见不会这么做,尤其是移动终端,不仅在家里用还要外出用,所以都是默认的自动模式,让路由器去分配。

既然要实现安全管理,启用路由器DHCP服务的动态和自动IP分配当然不合适。本例中A在DHCP服务里使用了静态地址分配,对可能通过A连接上网的终端生成了静态地址列表,并同时启用了静态ARP绑定设置,将各终端的IP与MAC进行了绑定。这样做的目的在于,使各终端在本网段内有唯一固定IP地址,便于识别,同时其IP不会被其他未知设备或病毒程序抢夺。

单靠IP的设置和绑定是不能防蹭网的,因为蹭网终端还可以通过指定自身IP在同一网段来上网,因此还应引入MAC的控制机制。有两种选择:一是开启无线MAC地址过滤,把之前静态IP地址表中的无线设备都列进去,再加上从路由器的MAC,设为仅允许这些设备联网;二是启用上网控制中的规则管理,给出允许上网的主机列表,这里的模式还是优先选择MAC地址,因为IP毕竟不是网络终端的唯一身份编号。

本例中上述工作只算完成了一半,因为是分别管理,B还需做类似配置。由于B的管理功能不全,没有静态地址分配,因此按照可能在B处连接上网的终端数,重新定义和分配一个新的IP地址段(与A中分配的地址不同),IP号和终端的MAC地址也是一一对应的,再开启B中的IP与MAC绑定。然后为了防蹭网(没有无线MAC地址过滤功能),启用上网控制中的行为管理(规则管理),按照MAC指定允许通过本路由器上网的终端。至此,双路由器的安全组网工作已全部完成了。

组网总结

本文组网案例满足了预设需求,但受设备之限仍有少许不便,例如当移动设备从A信号区来到B信号区时,可能需要手动切换网络,而且如果没得到B分配的IP地址就将无法上网,这个过程与IP地址租期有关并伴有延迟。如果认为该问题影响到了设备的使用,可以关闭对应的静态ARP绑定功能。

所以最佳的安全、便利组网方案是选择同型的完整功能路由器,以无线中继+4地址通讯的方式,建立一个可由主路由器集中管理的局域网络系统。

没有评论

评论已关闭。