家庭无线局域网的组建与安全设计

家庭无线局域网的组建与安全设计摘要通俗地说，无线局域网（Wirelesslocal-areanetwork，WLAN）就是在不采用传统缆线的同时，提供以太网或者令牌网络的功能。正正因为无线局域网的组建方便，因此无限局域网也开始逐渐走进家庭。但是在享受家庭无线局域网所带来的便捷上网生活之余，我们也应该注意一下它背后所隐藏的安全问题，毕竟无线网络比有线网络更容易受到入侵。关键词：无线局域网，WLAN，家庭，安全目录前言 1第一章组建无线局域网的准备工作 21.1现有设备统计 21.2网络接入方式 21.3无线路由的安放位置 21.4设备选购 31.5无线局域网的使用情况预计 3第二章如何组建无线局域网 42.1设备的连接 42.2无线局域网的配置 52.2.1配置上网的方式 72.2.2配置DHCP服务 92.2.3配置无线网路 10使用何种无线标准 10选择加密方式与设置密码 112.3测试无线网络 12第三章无线局域网的安全配置 143.1更改默认配置 143.2IP与MAC的相互绑定 153.3防火墙 173.4增强无线路由的安全性 19第四章日常维护 214.1备份 214.2密码变更 224.3设备维护 224.4家庭无线局域网的优与缺 22个人体会 23致谢 24参考文献 25附录 26前言在这个“网络就是计算机”的时代，伴随着有线网络的广泛应用，以快捷高效，组网灵活为优势的无线网络技术也在飞速发展。无线局域网是计算机网络与无线通信技术相结合的产物。从专业角度讲，无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信，并为通信的移动化、个性化和多媒体应用提供了可能。通俗地说，无线局域网（Wirelesslocal-areanetwork，WLAN）就是在不采用传统缆线的同时，提供以太网或者令牌网络的功能。通常计算机组网的传输媒介主要依赖铜缆或光缆，构成有线局域网。但有线网络在某些场合要受到布线的限制：布线、改线工程量大；线路容易损坏；网中的各节点不可移动。特别是当要把相离较远的节点连接起来时，敷设专用通信线路的布线施工难度大、费用高、耗时长,对正在迅速扩大的联网需求形成了严重的瓶颈阻塞。无线局域网就是解决有线网络以上问题而出现的。另外在享受到家庭上网带给我们的乐趣的同时，我们也了解到在网络的背后还潜在着很多看不见的安全问题，例如家庭中计算机上的文件和其他数据安全么?会不会遭到黑客攻击?还有网络上的信息良莠不齐，精华与糟粕并存，怎么让我的家人远离这些垃圾信息?也就是说，如何打造一个安全、健康的家庭网络成为每一个家庭上网的用户所关心的问题。对于家庭中是无线上网的用户，无线网络比有线网络更容易受到入侵，因为被攻击端的电脑与攻击端的电脑并不需要网线设备上的连接，他只要在你无线宽带路由器或无线AP的有效范围内，就可以进入你的内部网络，访问你的资源。因此，为了让每个家庭都能够方便快捷地享受上网，而且不用考虑在网络背后潜伏的安全问题，我们有必要组建一个既便捷又安全的无线局域网。第一章组建无线局域网的准备工作1.1现有设备统计一个普通的3人家庭，现有2台PC机，1台Notebook，以及1个ADSLModem。1.2网络接入方式这个家庭是的上网方式是中国电信ADSL2M包月套餐。换句话说，就是以PPPoE协议来进行拨号上网。1.3无线路由的安放位置如图A，房屋的面积约为75㎡，而且墙体的厚度不大，因此对无线信号的覆盖和质量的影响也不大，故决定将无线路由器安放在ADSLModem附近。图A房屋平面图1.4设备选购因为无线网络的覆盖范围不大，所以设备的要求也相应较低，一方面可以使组建变得简单，另一方面也可以节省成本。要购买的设备有：无线路由器TP-LINKWR542G、无线网卡TP-LINKTL-WN322G+、超五类网线百通0.514。详细设备参数如下：名称图片介绍单价数量

无线路由器TP-LINKWR542G广域网端口1个

局域网端口4个

支持协议：CSMA/CA、CSMA/CD、TCP/IP、DHCP、ICMP、NAT、PPPoE

无线标准IEEE802.11b,IEEE802.11g

安全标准支持64/128/152位WEP加密；支持WPA、IEEE802.1X、TKIP、AES等加密与安全机制

覆盖范围：室内最远200米，室外最远830米（因环境而异）190元1个

无线网卡TP-LINKTL-WN322G+主要参数：支持Windows98,ME,2000,XP,64bitXP,2003/提供64,128,256位WEP数据加密/支持WPA/WPA-PSK,WPA2/WPA2-PSK安全机制/具有模拟AP功能,支持PSP连接模式/内置智能天线

支持协议：CSMA/CAwithACK

无线标准：IEEE802.11b,IEEE802.11g

接口类型：USB2.0接口

覆盖范围：室内最远100米、外最远300米(环境而异)120元1个

超五类网线百通0.514规格:0.514，300米/箱1.5元/米4米总价316元1.5无线局域网的使用情况预计一个普通家庭，即使在搞派对的是时候，人数也只会在15人左右。所以将接入点的最大值定为20个，相信应该足够家庭使用了。而能够使用无线网络的设备，预计有这些：NoteBook、带无线网卡的PC、PDA、手机、掌上娱乐设备。第二章如何组建无线局域网现在，我们要准备好上面提到过的设备。至于它们有什么用，就让我简单地说说他们的用处。首先，要将无线路由和ADSLModem放在一齐；而无线网卡就拿到房间2，与该房的PC联合使用；至于网线就要做2条，1条1m，1条3m。好了，简要介绍到此为止，下面我们开始动手组建无线局域网。预计组建的无线局域网拓扑图1：图1网络拓扑2.1设备的连接（1）将ADSLModem与TP-LINKWR542G分贝放好，并预留一定空间散热，两台设备最好不要叠放。（2）ADSLModem接上电话线，并用1m长的网线将ADSLModem的任一LAN端口与TP-LINKWR542G的WAN端口相连。（3）用2m长的网线将TP-LINKWR542G的任一LAN端口与房间1里面的PC100M网卡相连。（4）确认所有线路都插好后接通电源，启动房间1的PC、ADSLModem和路由器。2.2无线局域网的配置当所有设备都连接好并启动之后，接下来就只剩配置了。其实配置一点都不难，不需要像ciscoCiscoCiscoSystems,Inc.思科系统公司是全球领先的互联网设备供应商。那些高级路由器一条条命令输入。我想这就是SOHO式路由器的优势――简单、方便、快捷的配置系统――CiscoCiscoSystems,Inc.思科系统公司是全球领先的互联网设备供应商。现在马上进行配置。快则5分钟，慢的就半小时，配置就可以完成了。首先要登录路由器。打开浏览器，在地址栏上输入“”想过为什么路由器的默认IP地址是“想过为什么路由器的默认IP地址是“”呢，为什么不是“172.16.X.X”呢，如果想知道为什么，配置好之后看“个人体会”就会知道了。图2输入登录IP地址然后会有一个登录界面弹出，输入用户名和密码“admin”，如图3。之后就可以顺利登录到Web管理系统的页面了。图3登录界面如果不能登录成功的话，给几个建议：（1）检查物理设备的连接情况；（2）在房间1的PC上使用Ping命令检查连通性；（3）重新找再做一条超五类网线；（4）更换一线LAN的接口；（5）在路由器的背部有一个“reset”的小口，先按着它3秒，然后启动路由器，把路由还原成出厂的设置。把这些都做了的话，应该可以正常登录的了；如果还不行，就去更换一个新的路由器好了。好了，言归正转，当你第一次成功登录时，Web管理系统会默认代开一个向导程序，在那里几步就可以将路由器配好。如果你没有兴趣将路由器配置得更好的话，你就按着向导提示，将相关信息填好，然后“下一步、下一步”就行了，如图4、5、6、7、8。下面的内容也不用看好了。图4设置向导界面1图5设置向导界面2图6设置向导界面3图7设置向导界面4图8设置向导界面5这样就把路由器基本配置好了，如果想更好的配置路由器，就请继续看下去吧～～2.2.1配置上网的方式如图9，在WAN端口的页面理，先选择使用的协议，由于我们使用的是ADSL，所以我们选择PPPoE协议（如果上网方式不同，则根据实际情况选择），然后就将中国电信提供的帐号密码，分别填到“上网帐号”和“上网口令”，如图10。之后把目光下移，就可以发现几个选项，分别是“按需连接”、“自动连接”、“定时连接”、“手动连接”，如图11。根据自己的上网情况，来决定选那个好了。这里我们选择“自动连接”好了，包月就是方便，不用担心上网超时，总能保持网络连接。对了，相信大家都发现有3项叫“XX拨号模式”的选项，说实话，我也不是到那个干吗的，反正我每项都试过，每项都很正常，网络速度也没有影响，所以这几项随便选就好了，不用太认真考虑。图9WAN端口设置1图10WAN端口设置2图11WAN端口设置3到这里，我们就完成了第一步，也是最基础的一步了，这步也做不好的话就别上网好了。2.2.2配置DHCP服务如图12，来到DHCP服务的配置界面。按规范来说，接入量只有20个的话，填一个C类的地址就足够有余了。但是这只是家庭局域网，用这么讲究吗？只要是1～254之间，填一些自己喜欢的数字在“地址池开始地址”与“地址池结束地址”里，填写格式是“XXX.XXX.XXX.XXX”；至于“地址租期”的意思就是指在地址池的范围里，每个被使用的IP的有效时间是多少。图12DHCP服务配置界面另外，那些“网关”、“缺省域名”、“主DNS服务器”、“备有DNS服务器”，家庭ADSL用户是根本不用理的，因为那些东西都是由中国电信的服务器提供。2.2.3配置无线网路到这里，一个最普通的局域网算是完成了，只要用网线连接到路由器里，PC就可以上网了。但是这些都只是前奏而已，真正的核心还在后面吖～～使用何种无线标准如图13，在无线网络的页面了。首先我们要选择无线网络要应用的标准，也就是模式那里。在此说明一下，由于设备的问题，这里只能在802.11b和802.11g这两种标准，它们都是IEEEIEEEInstituteofElectricalandElectronicsEngineers美国电气和电子工程师协会所订立的无线网络标准。在这里我们选802.11gIEEEInstituteofElectricalandElectronicsEngineers美国电气和电子工程师协会802.11g是IEEE订立的一个无线网络标准，想知道为什么选它，请看个人心得图13无线局域网配置界面1图14无线局域网配置界面2接着，下面有两个选项，如图15。一个是无线功能开启的开关，这个一定要选上，不选的话如下的组建就边的没有意义了；另外一个就是是否广播SSIDSSIDSSIDServiceSetIdentifier，用来区分不同的网络。详细请看个人心得图15无线局域网配置界面选择加密方式与设置密码之后，就是安全设置了，如图16。对了，问一下各位“你为人慷慨大方，而且对网络速度要求不高，再加上对自己的电脑安全有绝对的自信吗？”如果YES，那就跳到下一节吧。为了避免因为完全开放无线网络在空气中，从而带来不必要损失的危机，安全设置是必须的。这里只需要选择无线网络的加密类型、密钥的格式就可以给你一个较安全的无线网络了。另外为了达到方便而且安全的目的，我们就选择最简单的WEP好了，密钥的格式是64位。补充一下，16进制与ASCII制在不同数位上，对密码的长度要求是不同的，详细要求如何，看图16就会清楚了。图16无线局域网配置界面4之后把一切都设置好之后，将设置保存一下，无线网络就算基本配置好了。现在就可以用Notebook来测试一下了。不过，回过头一想，应该会有这样的疑问吧“为什么要选择最简单的WEP呢？”还是老规矩――请看个人体会吧。对了，假如你同时搜索到多个无线网络，那怎样才能识别那个是自家用的呢？还记得无线网络设置那里不是有一个SSID的栏目吗，就在那里为自家用的无线网络改个容易识别的名字吧，但是不能用中文字体哦～～另外，还有信道的问题，其实不用刻意去选一个的，因为选择信道只是为了避免信号的重叠，影响信号的质量。但是现在只不过是家庭内使用，覆盖范围不大，所以让它默认就好。2.3测试无线网络下面，我们就看看无线网络的连接测试情况吧，如图17、18、19、20。我已经预先把路由设好了，SSID是Fox-Basaka，选用WEP，16进制64位密钥，IP地址范围在“0～254”，IP地址范围只要符合规则就行，我就用了自己的生日来作地址段的开头了。图17无线网络测试1图18无线网络测试2图19无线网络测试3看，顺利地在路由器里的DHCP服务中得到了IP地址，也成功接受到SSID，当然也顺利地在多个无线网络中找到自家用的无线网络，一句到未，测试成功！！对了，如果日后无线网络的验证密码变更的话，客户端可以在图17中的“更改首选网络的顺序”中，然后对已变更的无线网络进行编辑，从而更换验证密码，如图20。图20无线网络测试4第三章无线局域网的安全配置你对网络质量有要求吗？想在有限的设备下改善网络吗？想更好地管理无线局域网吗？现在就来看看如何进行优化无线局域网吧！！3.1更改默认配置为什么要改默认配置呢？道理很简单，就是因为它是默认。凡是默认的东西，就意味着差不多每个人都知道，也就是每个进入局域网的用户，都有可能进入路由器随意修改。我们不用去想这样会对你的局域网带来何种危机，光是想到有限的带宽被人莫名其妙地占据一部分，这样多少也会感到不爽吧。你想这样的网络会稳定吗，你想要这样的网络吗？所以还是建议改改默认的设置吧。方法也很简单，只要到Web管理系统里面，将LAN端口设置、登录口令这两个地方改改就好了，如图21、22。图21LAN口设置图22登录口令修改3.2IP与MAC的相互绑定绑了网络就会更稳定，绑了就可以减少遭受ARP攻击之苦，我这样说会有理由不做吗？方法可能有点麻烦，因为IP绑MAC与MAC绑IP的步骤有点不同。不过前提条件都是一样的，就是要得到要进行绑定的MAC地址。如果是PC、NoteBook这类可以使用“ipconfig”这类命令行的设备还好，要是不能使用的设备（如PSP、手机等）该怎办呢，告诉你一个办法吧，可以查看DHCP服务的客户端列表，就如图23，这样就一目了然了。图23客户端列表看，这样前期工作就完成了。接下来我们就开始绑定的步骤。先是IP绑MAC吧，到DHCP服务的“静态地址分配”，如图24。图24静态地址分配1然后选择“添加新条目”，如图25。图25静态地址分配2把要绑定的MAC和IP填入之后保存即可添加成功。下一步就反过来，将MAC绑IP，这次我们要到“静态ARP绑定设置”，如图26.图26静态地址分配3然后就像IP绑MAC那样，点击“增加单个条目”，如图27。图27静态地址分配4如果操作正确的话就会在“ARP映射表”中，看到刚才设置的信息，如图28。图28ＡＲＰ映射表到此为止，IP与MAC的相互绑定就完成了，相信经过这样配置之后，无线局域网的稳定性和安全性都会有一定程度的提高。3.3防火墙由于设备的原因，直接影响着防火墙的性能。但是对以普通家庭来说，这种程度的防御也是足够的。我先来介绍一下路由器的防火墙性能好了。它的主要功能有3个“IP地址过滤”、“域名过滤”和“MAC地址过滤”。先从“IP地址过滤”开始吧，在配置界面上点击“添加新条目”，如图29。图29ＩＰ地址过滤１然后就是设定过滤的生效时间；局域网的IP地址以及端口过滤范围；在广域网上的某些地址端口的过滤；还有就协议的过滤，如图30。但是要警告的是，如果这里设置不当的话，有可能会影响某些IP范围的正常访问，所以没有一定网络基础的人不要随便设定。图30ＩＰ地址过滤２接下来这个配置就相对简单很多，那就是“域名过滤”，如图31。在这里，我们只需要知道要进行过滤的域名地址，然后填写到相应的位置就行了，如图32。不用理会IP地址是什么，最适合用来阻止浏览一些不良网站。图31域名过滤1图32域名过滤2最后就是介绍“MAC地址过滤”，顾名思义就是对列表中的MAC地址进行过滤操作，而且过滤只有允许访问Internet和禁止访问Internet两个，如图33。这样就可以有效防止非法盗链的现象，因为即使你攻破了验证密码，得到了IP地址，但是没有符合过滤条件，路由器都一律禁止访问Internet，这样一刀切的方法真是简单方便快捷有效吖！图33MAC地址过滤3.4增强无线路由的安全性说到这里其实已经没有什么可以说的了，因为前面那些防火墙、IP与MAC的相互绑定、更改默认配置、选择加密方式以及密钥的长度，这些都可以算是增强无线路由的安全性的一部分。但是这一切都是建立于管理权的唯一性上面。如果管理权不唯一，那么谁都可以修改配置，那配置还有吗？光改密码还是不够的，要将唯一进行到底的话就要连管理的设备也要唯一，也就是说关闭远程管理功能，要管理路由器的，就必须同果网线来配置。因此，我们就要改改，如图34，将端口改变，而地址就不改，这样要登录路由器的话，就必须加上端口号，而且必须是局域网内的设备才行。图34远端WEB管理好了好了，来到这里配置应该告一段落了，相信这种程度的配置，虽然不能说是最好最安全，但是我相信足够保障局域网安全稳定的，因为我深信没有人会花费大量的时间，从外部破解一个已经加密，而且已经尽可能做好安全配置的无线局域网吧。第四章日常维护终于到了最后一章了，到了这里首先恭喜你，因为你应该已经成功组建了一个安全的无线局域网了，接下来要做的就是定期对路由器等设备进行维护而已，不要小看日常维护的重要性吖，它可以令你在遭到毁灭性攻击后，将损失降到最低吖。4.1备份这个是最简单，只要在图35那里按一下“备份配置文件”，之后就会弹出一个备份程序，只要选择好路径就可以了，如图36。之后如果要恢复设置，直接选择备份好的文件后，点击“载入配置文件”就行了。图35备份图36备份文件保存4.2密码变更养成定期更换密码的习惯，可以有效保障网络的安全。至于是改登录路由器的登录口令，还是无线网络的验证密码呢？这个就自己决定好了。4.3设备维护这里的设备维护不单单是指路由器的维护，而是全网络的维护。刚才也说，这个无线局域网的最大缺点就是对来自局域网内部攻击的防御缺陷，因此除了必要的路由器安全设置外，客户端设备也要就行维护。就好像定期对操作系统的更新，防病毒软件的升级，对系统优化配置，定期查杀病毒等，这些工作都可以有效减少局域网内部攻击的发生。对了，如果有一定基础的话，当感觉网络质量突然严重下降的话，可以查看一下进程，可能会有以外的“收获”哦。4.4家庭无线局域网的优与缺经过了上述一系列的配置之后，可以说该做的可以做的事都做了，但是基于硬件的局限，无线局域网还是不够完美的。现在就让我们来讨论下家庭无相局域网的优与缺：先从优点开始，这次组建的无线局域网，不仅组建简单，而且管理也比较方便；另外，还能够很好的防止非法盗链无线网络；对于家长来说，一定程度的网络监控，有助于防止浏览一些不良网站。至于缺点就是防毒防攻击的性能不强，尤其是对与来至局域网内部的攻击，所以要将防御的工作落实到每一个客户端设备上面。个人体会总算把无线局域网组建起来了。总的来说，组建还真的方便快捷简单，只是连连网线，点几下鼠标，填一些信息就完成了。但是如果真的要把无线局域网变得更安全，就的确要下一点功夫才行。对了，还记得前面我插入的那些闲话吗？其实那些是我在组建过程中的突发奇想来的，在组建完成后，我不断地想着那些问题，到底答案是什么呢？最后经过自己在网上搜索以及听一些权威人士的讲解，终于找到了自己满意的答案了，下面就由我来说说吧。首先，就是为什么绝大多数的路由器默认的IP地址都是“”呢？据我了解，“”是C类内部私有地址，是免费使用的IP地址段。另外私有地址有A、B、C三类，它们的范围分别是“A类～55”、“B类～55”、“C类～55”。既然这样，那为什么一定要默认地址选用C类的呢，而不用A类或者B类呢？这个问题，相信会有很多人答不上或者说“人家喜欢！”真的是这样回事吗？为此，我请教了一些CCIE，答案终于出来了。原来这是与路由器的启动速度有关的。因为路由器每次启动都会接受同一网段内所有广播信息，想一下A类B类网段的IP地址数量有多大，就可以想象到路由器启动时要处理的信息量是多少了。因此，为了减少路由器的负担，从而选择C类地址。这就是我找到的答案，还算满意吧。对了，在找答案的时候，我又听到一个未经证实但又有几分可信的答案，就让我再说说吧。大家都知道IPV4的地址是有限的，如今就所剩无几，但是地址的需求还是很大，故一些厂商就向IANA（互联网编号分配机构，Internet

Assigned接下来，我们来想想为什么要用802.11g标准，而不使用802.11b标准呢？还有它们与同系列的标准区别在那呢？详细的对比资料，请参考附录1。由于802.11a受到了自身的缺点（如传输距离短，容易被吸收等），加上部分地区的限制，使它得不到普及；随之而来的是802.11b的性能卓越，限制条件也较少，因而得到广泛的应用；而802.11g更是802.11b的升级，最大特点就是全面兼容使用802.11b设备，加上我们选购的设备也只支持802.11b和802.11g两种标准，为了能够更好地支持设备，所以选择使用802.11g标准。最后，就让我来说说为什么要允许SSID广播吧。其实理由很简单，就是为了日后使用方便，古语说的好“针，没有两头锋利”,代价就是减少了一条安全防线。其实SSID广播的功能，就是给网络取名，用于标识在有多个无线网络时，能够找到自家用的无线网络。倘若把SSID广播的功能关闭，安全性的确会提高，因为搜索网络时，自家用的会表示为隐性WLAN，而每次登录时都要将SSID号输入一次，然后再按正常程序进入。但是这只是在当前只搜索到一个隐性WLAN前提下，如果同时搜索到多个或者全部都是的话，你就要逐个去试，这样使用起来就会变得不灵活、不方便了。所以将这一条安全防线放弃，而换来方便快捷的使用还是值得的。宁愿在防火墙方面下多一点苦功，将MAC地址过滤、IP地址过滤、域名过滤三者都配置好，使用好。这样总比加多一条麻烦的防线要好吧，我就这样认为了，你呢？到此为止，整编《无线局域网的组建与完全设计――组建安全的家庭无线局域网》就到此结束，希望你能顺利组建好属于自己的无线局域网，还有享受组建的过程，研究组建时遇到的问题。致谢感谢白艳宇老师一直以来的指导，由设计到论文的完成，白老师都给了我很多宝贵的意见。白老师不仅为我的实验提供设备，而且多次为我点评论文，指出我的不足之处，使我可以及时修改。参考文献[1]作者:佚名来源:网页教学网《家庭无线网络保证安全七点小技巧》[Z]/Get/wxwl/0691909540335409.shtml[2]作者:peater来源:赛迪网社区《无线局域网是如何进行安全防护》[Z]HYPERLINK"/Ge