SOHO路由器的设置与应用

SOHO路由器的设置与应用2024年11月

目录TOC\o"1-3"\h\u24809引言 312216一、静态IP地址与动态IP地址方案的设置与实现 3313321．静态IP地址与动态IP地址概述 3224712．静态IP地址与动态IP地址的实现 38029二、小型宿舍内网规划配置 585861．LAN口规划 5265322．WAN口规划 6269103．NAT（网络地址转换）配置 631816三、路由器端口映射机制的工作原理及配置 78191．端口映射机制原理 7224442．端口映射配置 724390四、路由器远程管理功能的实现与安全性探讨 8141651．路由器远程管理功能概述 8104362．路由器远程管理的实现 8217773．路由器远程管理的安全性分析 917932五、实验步骤 10272381．ikuai路由器准备 10196232．window7虚拟机 13226353．路由器配置 14317994．端口映射 1524442六、参考文献 17

引言随着互联网技术的飞速发展，家庭和小型办公环境（SOHO,SmallOffice/HomeOffice）中对网络连接的需求日益增加。在这种环境下，路由器作为网络通信的核心设备，承担着连接互联网与内网的桥梁作用。对于SOHO网络而言，路由器的配置、管理和安全性尤为重要。本次实验将探讨SOHO路由器的设置与应用，包括静态IP和动态IP地址的配置、内部IP地址规划与NAT方案、端口映射机制的原理及实施，以及路由器远程管理功能的实现与安全性分析。静态IP地址与动态IP地址方案的设置与实现静态IP地址与动态IP地址概述在网络中，IP地址用于标识每个设备。根据IP地址的分配方式，IP地址可以分为两种：静态IP和动态IP。静态IP地址：静态IP地址是手动配置的固定IP地址，分配给特定设备。该地址在设备每次重新启动或重新连接时不会改变，通常用于需要长期稳定访问的设备，如服务器、打印机或监控摄像头等。动态IP地址：动态IP地址是由网络中的DHCP（动态主机配置协议）服务器自动分配的IP地址。每次设备连接到网络时，都会自动从DHCP服务器获得一个可用的IP地址，且该地址可能在设备重新连接时发生变化。静态IP地址与动态IP地址的实现在SOHO路由组网的网络中，静态IP地址与动态IP地址分别有WAN口配置及LAN口终端配置两种概念，即静态IP地址和动态IP地址，分别可配置在SOHO路由器的WAN口、SOHO路由器的LAN口所对应的终端网卡上。在实际的SOHO组网中，由于缺乏专业的网络管理员，通常情况下不对LAN进行单独配置，从而规避终端电脑IP冲突、操作繁琐等问题。本次实验中的静态IP地址及动态IP地址实践，使用WAN为目标端口。本次实验选用的SOHO路由器为iKuai3.7.1，WAN口静态设置需点击SOHO路由器web配置页面的“网络设置”-“内外网设置”，在内网网设置中，点击“外网网口”，接入方式选择静态IP地址即可。图SEQ图\*ARABIC1静态IP地址配置点击SOHO路由器web配置页面的“网络设置”-“内外网设置”，在内网网设置中，点击“外网网口”，接入方式选择DHCP动态获取即可切换为动态IP地址（此时需要wan口网线对端的设备开启DHCP服务，在家用宽度中，SOHO路由器对端设备通常为运营商光猫LAN口，默认开启DHCP服务）。图SEQ图\*ARABIC2动态IP地址配置小型宿舍内网规划配置按照国内最多人数宿舍8人进行规划，宿舍内通常包含设备为PC电脑8台、手机8部、增加打印机等设备。LAN口规划考虑舍友间终端电脑IP地址可能冲突、手机配置IP繁琐的问题、共享打印机的问题，本次设计中，内网使用动态IP地址与静态IP地址结合的方式进行规划。SOHO路由器开启DHCP服务，DHCP地址池设置为-00，供上网设备使用。01-54保留给打印机、门锁等物联网设备使用，不进行动态下发，网关为54，子网掩码。图SEQ图\*ARABIC3配置DHCP服务，运行终端获取动态IP地址WAN口规划SOHO路由器的WAN口需要连接宿舍墙壁网口，该网口上联由运营商配置开通，默认为DHCP动态IP模式，故SOHO路由器WAN口配置为DHCP动态获取模式。图SEQ图\*ARABIC4配置WAN口动态IP地址NAT（网络地址转换）配置技术允许多个内部设备共享一个公网IP地址，从而有效地节省公网IP资源并增强网络安全性。在SOHO环境中，NAT通常由路由器完成。路由器端口映射机制的工作原理及配置端口映射机制原理端口映射（PortMapping）是一种将外部请求路由到内部设备的技术。当外部设备通过公网访问路由器时，路由器根据配置的端口号将请求转发到指定的内部IP地址和端口。端口映射：通过端口映射，可以使外部用户访问内部网络中的特定服务。例如，用户可以通过公网IP的80端口访问内部Web服务器。DMZ（DemilitarizedZone）：DMZ是一种通过配置端口映射实现的隔离区域，它使得内网中指定的设备可以直接暴露给外部访问，但同时保持内网的其他设备安全。端口映射配置我需要将笔记本搭建的HTTP服务进行映射，供其他同学访问，我提供的服务端口为80，IP地址为3，操作步骤如下：

进入路由器管理界面：登录路由器后台管理界面。找到端口映射设置：在“网络设置”中找到端口映射设置选项。配置映射规则：映射外部端口8088到内网的Web服务器（IP：3,端口80）。测试映射：通过外部设备访问路由器的公网IP和指定端口，检查是否能够正确访问到内部设备。图SEQ图\*ARABIC5配置端口映射路由器远程管理功能的实现与安全性探讨路由器远程管理功能概述远程管理功能使得管理员可以通过互联网从远程地点访问和管理路由器。通过浏览器输入路由器公网IP和端口号（如:8080）来访问管理界面。目前主流的SOHO路由器，支持开启远程管理功能，通过品牌小程序、APP等方式，绑定设备后可直接进行管理。路由器远程管理的实现在ikuai路由器中，默认集成有远程访问功能，设备开启远程访问功能后，可通过ikuai云平台对路由器进行网络管理。登录路由器管理页面，点击“应用工具”-“登录管理”-“远程访问”，即可配置开启远程管理。图SEQ图\*ARABIC6开启路由器远程管理路由器远程管理的安全性分析尽管远程管理功能提供了便利，但它也带来了潜在的安全风险。攻击者通过猜测或者暴力破解管理界面的用户名和密码，利用路由器的已知软件漏洞，就可能获得对路由器的完全控制，从而对内网PC电脑、手机等设备进行攻击，导致个人隐私泄露、财产受损。为了提高远程管理的安全性，应采取以下措施：强密码策略：设置复杂且唯一的密码，避免使用默认密码或简单密码（如“admin”或“123456”）。密码应包含字母、数字以及特殊字符。定期更新固件：确保路由器的固件始终是最新版本。厂商常常会发布安全更新，以修复已知的漏洞，因此定期检查和更新固件非常重要。限制远程访问源IP：通过配置IP地址过滤或VPN，限制只有特定的IP地址或内部网络才能访问路由器的远程管理功能。这样，即使攻击者知道远程管理端口和密码，没有授权的IP也无法访问。实验步骤本次实验使用虚拟机的方式搭建局域网络，模拟一个小型宿舍内网。实验环境：VmwareWorkstation17Window11宿主机（模拟运营商网络，充当ikuai路由器wan口上联）Ikuai虚拟机（模拟SOHO路由器）Window7虚拟机（模拟宿舍内终端电脑，上网并实验端口映射对外提供服务）实验拓扑图：图SEQ图\*ARABIC7实验拓扑图ikuai路由器准备使用VMwareworkstation新建ikuai虚拟机，虚拟硬件需要使用两个网络设配器。网络适配器一，使用NAT模式，充当路由器wan口，与运营商网络进行相连（实验中NAT模式自动连接至宿主机网卡）。网络适配器二选则仅主机模式，充当路由器lan口，与宿舍终端设备相连，ISO选择路由器镜像。图SEQ图\*ARABIC8新建ikuai路由器虚拟机虚拟机光驱挂载ikuai路由器系统镜像后，打开虚拟机电源，进入虚拟机操作系统安装页面。按照提示，选择指定的硬盘进行系统自动安装。图SEQ图\*ARABIC9安装ikuai路由器操作系统系统安装完毕后，会自动重启进入菜单页面，此时，路由器系统安装完毕。图SEQ图\*ARABIC10安装完毕路由器按照菜单提示，选择1，指定网络适配器二（eth1）为路由器lan口，进行宿舍上网使用。图SEQ图\*ARABIC11设置路由器lan口window7虚拟机使用VMwareworkstation新建虚拟机，光驱挂载window7.iso，网络适配器设置为仅主机模式，表示连接至路由器lan口，接入宿舍局域网络。图SEQ图\*ARABIC12新建宿舍内终端设备虚拟机开机后，使用浏览器，安装ikuai浏览器提示，使用浏览器访问即可初始化维护路由器。图SEQ图\*ARABIC13路由器初始化页面路由器配置使用admin、admin默认用户名及密码登录路由器后，即可进行初始化配置。首先对路由器wan口进行配置，由于上联运营商提供dhcp服务，本端路由器选择dhcp动态获取IP即可。登陆路由器，点击“网络设置”-“内外网设置”-“wan口设置”，将接入方式选择为“DHCP动态获取”。可见路由器wan口获取到的IP为30,状态为已连接，表示运营商分配公网IP为30，且状态正常。图SEQ图\*ARABIC14设置wan口为动态IP地址由于该路由器默认开启NAT模式，允许内网主机使用公网地址访问互联网，所以该win7虚拟机仅主机模式可访问百度等外网资源。图SEQ图\*ARABIC15开启NAT后，内网设备可正常上网端口映射使用window7安装IIS，开启一个http页面，模拟对外提供服务。图SEQ图\*ARABIC16安装IIS服务器在路由器中，点击“网络设置”-“端口映射”，新增端口映射记录，内网IP为window7虚拟机的IP地址，端口为IIS端口80，外网选择外网网卡wan2，端口8080。图SEQ图\*ARABIC17配置端口映射端口映射添加完毕后，代表将内网主机的80端口，映射给外网公网地