无线级联应用与安全分析

摘要：针对无线Wi-Fi的扩展应用需求，提供了级联解决方案，并对技术要点与安全防范方法进行了探讨分析。

关键词：Wi-Fi；网络安全；WDS；桥接；中继器

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）30-6727-03

1 概述

计算机网络已普及到人们的居家、学习与办公场所，人们的生活已离不开网络，除了传统的台式PC机、笔记本电脑，越来越多的新型终端设备都有上网需求，如：平板电脑、智能手机等。在众多上网方式中，最方便最经济的方式是Wi-Fi无线上网，Wi-Fi是目前能够将个人电脑、手持设备等通用终端以无线方式实现互相连接并得到广泛支持的技术，它省去了繁琐的网络布线，使人们不再为上网的端口位置与交换设备端口数量所烦恼。但Wi-Fi的安全性和有效距离都是要重视的问题，掌握相关应用方法可使无线路由器实现较高的安全性、通过多路由器级联方式可有效延伸信号覆盖范围，解决了这些问题，上网既方便又放心。

2 无线应用架构

2.1 简单应用架构

3 无线路由器基本使用方法

3.1 无线路由器的接口

常用无线路由器背面有多个RJ45网线接口，其中标记为WAN的是广域网接口，用于连接外网，其余的网线接口属LAN口，用于连接内网设备。

内网包含用网线连接到内网接口的PC机，还包括通过Wi-Fi与无线路由器建立连接的无线设备。

外网接口通常是用双绞线连接到ADSL调制解调器，调制解调器通过电话线与接入商网络连接。

是否需要接无线路由器外网接口，取决于无线路由器是只完成交换功能还是兼做路由功能。只有当路由器需要跨接两个IP网段时才使用外网接口，其它情况都应使用内网接口。内网交换速度更快，内网间的电脑方便实现数据共享。例如，对于双绞线或光纤到桌面的用户，如果不需要无线路由器完成拨号认证功能，就可以将外网进线连接到内网接口（光纤需要使用收发器转换为双绞线），各终端自己完成上网认证。

部分型号无线路由器支持外网介质为Wi-Fi，这时路由器通过Wi-Fi与服务商网络或其它AP（无线访问点）建立外网连接（需设置服务商的无线认证信息），再通过内网有线接口及Wi-Fi与内网终端建立连接。

3.2无线路由器基本软件设置

要让无线路由器正常工作，需要对路由器进行软件设置，如：ADSL用户名和密码、加密选项等。因无线尚未设置好，最好通过网线使笔记本电脑与路由器内网连接，就可以通过浏览器访问无线路由器的设置页面。

无线路由器缺省内网IP地址通常是：192.168.1.1（说明书中可查到）。将笔记本电脑的IP设成同一网段，如192.168.1.10，在IE地址栏中输入http：//192.168.1.1即可访问路由器设置页面。系统会提示输入登录用户名和密码，大多数路由器用户名是admin，密码也是admin。

首先要设置ADSL虚拟拨号（PPPoE），输入服务商提供的ADSL用户名与密码，保存，以便路由器自动拨号与外网建立连接。

SSID号（ServiceSetIdentifier），用来区分不同的无线网络，最多可以有32个字符，终端设备选择不同的SSID连接就可以进入不同网络，SSID通常由无线路由器广播出来，通过终端的无线连接扫描功能可以查看到有效区域内的SSID号。无线路由器出厂时已经配置了SSID号，用户自己可以设置修改该SSID号，以方便识别。

进入到“安全设置”，这里面主要是用来设置无线访问密码的，初步调试时，也可设置开放式不需要安全认证，调试成功后再设置安全认证。无线路由器基本设置部分完成，打开笔记本的无线网络连接，搜寻到刚才设置的无线网络，点击连接，输入设置的密码（设置无安全认证时不需输入密码），提示连接成功则可测试各网址的访问。

DHCP动态主机配置协议（Dynamic Host Configuration Protocol）设置，通常应开启无线路由器DHCP服务，为连接到该路由器的终端自动分配IP地址、设置网关及DNS服务器等信息，省去各终端自行设置的麻烦。

通过无线路由器外网接口上网，所有内网终端只能使用内部网的私有地址，其它外网用户只能访问外网IP及端口，无法直接访问内网设备，这样会使一些互联网应用受到限制。虚拟服务器定义了广域网服务端口和局域网网络服务器之间的映射关系，所有对该广域网服务端口的访问将会被重定位给通过IP地址指定的局域网网络服务器。例如，我们把路由器外网IP地址对应的80端口WWW服务，映射到内网IP地址为192.168.1.100的终端设备，则对外网地址80端口的访问实际上是访问的内网192.168.1.100的80端口服务。

4 提高无线网络安全性措施

4.1 认证选项与加密算法

Wi-Fi无线认证主要有三种方式：WEP、WPA、WPA2。

WEP是Wired Equivalent Privacy有线等效保密协议的简称，是无线接入的一种认证方式，用以防止非法用户窃听或侵入无线网络。但WEP 有一些弱点，能够轻易被BT3等软件破解，于是需要推出新的认证方式。

WPA是 Wi-Fi Protected Access（Wi-Fi保护接入）的简称，它通过使用可扩展认证协议提高WEP安全功能来确保网络使用的安全性。WPA可使用802.1X认证服务器给每个用户分配不同的密钥，也可使用预先共享密钥 （PSK） 模式。PSK用于家庭和小型办公室网络，每个用户都有同样的密码口令，WPA-PSK也叫做“WPA个人”方式，相对应的采用认证服务器方式称为“WPA企业”方式。

WPA进一步完善的版本称为 WPA2（WPA第二版），安全性进一步提高。

对于传递的数据，WPA-PSK使用TKIP或AES加密算法，WPA2-PSK使用AES加密算法。

TKIP是 Temporal Key Integrity Protocol（临时密钥完整性协议）的简称，是一种加密方法。AES是Advanced Encryption Standard（高级加密标准）的简称。大部分无线路由器都提供了这两种加密算法。TKIP安全性不如AES，而且在使用TKIP算法时路由器的吞吐量会下降，因此推荐使用AES加密算法。WPA-PSK/WPA2-PSK使用的预先共享密钥（PSK），字符长度应在8和63字节之间，密码字符最好混合字母数字与特殊符号，位数越长安全性越高。

4.2其它通信安全性设置

WPA/WPA2设置中组密钥更新周期用于确定数据加密密钥（不是指初始的认证密钥）多长时间有效，若设置成60分钟，那么该密钥在使用了60分钟后，无线路由器和终端无线网卡将产生一个新的密钥用于传送数据的加密。如果某黑客破解了该密钥，60分钟后它就失效了，黑客将不得不重新破解。因此，更新周期设置短些相对更安全，但对通信速率可能带来负面影响。

无线路由器的SSID号，既方便了合法用户的查询，也为非法用户的窥视与攻击提供了便利，为了防止非法用户的入侵与蹭网，设置无特定含义的SSID号，并定期更改，同时关闭SSID广播。在终端的“无线网络设置”中，添加相应SSID为首选网络，并勾选“即使该网络未广播，也进行连接”项目。

无线网络MAC物理地址过滤，该项设置是为了防止未授权的用户接入无线网络，用户可以根据需要，允许或禁止某些MAC地址的终端访问该无线网络。无论有线还是无线的网络接口设备都有唯一的MAC物理地址，MAC地址过滤比数据加密更有效，而且不影响无线网络的传输性能。在无线路由器的“主机状态”项中，可以查看已接入该无线路由器的终端的MAC地址，在PC机中，通过在命令提示符下运行ipconfig /all可获取网卡的MAC地址。

5 多路由器级联

一般的无线路由器无线信号传送距离理论值可达300米，但这是室外空旷场所没有干扰与障碍物情况下的理想值。实际应用中，因为墙的遮挡信号衰减很快，可能隔几间房距离十来米信号就不稳定了。因此，无线路由器的安放位置很重要，应选择离各终端距离都较近的中心开阔位置安放。如果信号覆盖仍不能令人满意，如横向跨度很远或纵向跨几个楼层，这时就要选择无线级联方案。

5.1 级联技术

目前大多数无线路由器都支持WDS（Wireless Distribution System，无线分布式系统）级联技术。

WDS级联又可分为两种模式，一是桥接模式（Bridge），二是中继模式（Repeater）。

桥接模式下每个无线路由器仍保留自己原来的SSID标识号，但是实现了路由器及各自终端的互联互通。中继模式相当于对上级路由器信号的延伸放大，下级路由器使用上级路由器相同的SSID标识。

目前常见无线路由器有的只提供了桥接功能、有的只提供了中继功能，有的两者都提供让用户进行模式选择。为终端提供无线访问的无线路由器称为AP（Access Point，无线访问点），有些无线路由器设置为桥接模式后就不能作为AP被终端访问，只提供有线联接的功能，另一些无线路由器则提供WDS+AP功能，可以同时充当桥接器和无线访问点。

5.2 路由器设置为桥接或中继器的具体方法

进入路由器的管理界面，选择高级设置、无线设置、WDS设置、WDS模式，选择Bridge桥接模式或Repeater中继模式。接着运行无线访问点扫描，搜索到前级路由器的SSID，选择相应SSID，系统提示需使用与前级路由器相同的信道，点确定。检查前级路由器的SSID名称及MAC地址是否已经填入到相应项目中，保存设置并重启路由器。若桥接或中继成功，从PC机可ping通各路由器的IP地址及已接入网络的其它终端的IP地址。

5.3 构建级联无线网络注意事项

1）级联的无线路由器的认证方式、加密算法、密钥都设为相同；

2）DHCP功能最好只保留最上级的，下级的路由器关闭DHCP；

3）级联的无线路由器要工作在相同的信道，频道带宽选自动；

4）级联的无线路由器应配置在相同的网段，分配不同的IP地址，构成一个局域网；

5）在无线路由器配置过程中，需要多次保存与重启，无线连接会掉线，所以配置时最好采用有线方法连接到路由器的内网端口。

6 结束语

本文所述的无线路由器的相关设置与应用在TP-LINK TL-WR845N、TP-LINK TL-WR841N、TP-LINK TL-MR10U、Tenda W303R等系列无线路由器得到验证。TP-LINK TL-WR845N、TP-LINK TL-WR841N系列支持WDS的桥接模式，TP-LINK TL-MR10U 可设置桥接、中继器等多种方式，TP-LINK级联只需设置后级无线路由器。Tenda W303R系列支持WDS的中继器模式、且级联双方需要分别设置绑定对方的MAC地址。根据需求与设备参数进行选型与配置，就能达到好的应用效果。

参考文献：

[1] 张涛.网络安全管理技术专家门诊[M].北京：清华大学出版社，2005.40-70.

[2] 董诺为.北电网络无线网状网方案[J].上海现代通信，2005（6）.

[3] 张圣，陈伟.基于WLAN技术的无线校园网组网研究[J].武汉信息技术，2005（7）.