SOHO路由器的設(shè)置與應(yīng)用

SOHO路由器的設(shè)置與應(yīng)用2024年11月

目錄TOC\o"1-3"\h\u24809引言 312216一、靜態(tài)IP地址與動態(tài)IP地址方案的設(shè)置與實現(xiàn) 3313321．靜態(tài)IP地址與動態(tài)IP地址概述 3224712．靜態(tài)IP地址與動態(tài)IP地址的實現(xiàn) 38029二、小型宿舍內(nèi)網(wǎng)規(guī)劃配置 585861．LAN口規(guī)劃 5265322．WAN口規(guī)劃 6269103．NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）配置 631816三、路由器端口映射機制的工作原理及配置 78191．端口映射機制原理 7224442．端口映射配置 724390四、路由器遠程管理功能的實現(xiàn)與安全性探討 8141651．路由器遠程管理功能概述 8104362．路由器遠程管理的實現(xiàn) 8217773．路由器遠程管理的安全性分析 917932五、實驗步驟 10272381．ikuai路由器準備 10196232．window7虛擬機 13226353．路由器配置 14317994．端口映射 1524442六、參考文獻 17

引言隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，家庭和小型辦公環(huán)境（SOHO,SmallOffice/HomeOffice）中對網(wǎng)絡(luò)連接的需求日益增加。在這種環(huán)境下，路由器作為網(wǎng)絡(luò)通信的核心設(shè)備，承擔著連接互聯(lián)網(wǎng)與內(nèi)網(wǎng)的橋梁作用。對于SOHO網(wǎng)絡(luò)而言，路由器的配置、管理和安全性尤為重要。本次實驗將探討SOHO路由器的設(shè)置與應(yīng)用，包括靜態(tài)IP和動態(tài)IP地址的配置、內(nèi)部IP地址規(guī)劃與NAT方案、端口映射機制的原理及實施，以及路由器遠程管理功能的實現(xiàn)與安全性分析。靜態(tài)IP地址與動態(tài)IP地址方案的設(shè)置與實現(xiàn)靜態(tài)IP地址與動態(tài)IP地址概述在網(wǎng)絡(luò)中，IP地址用于標識每個設(shè)備。根據(jù)IP地址的分配方式，IP地址可以分為兩種：靜態(tài)IP和動態(tài)IP。靜態(tài)IP地址：靜態(tài)IP地址是手動配置的固定IP地址，分配給特定設(shè)備。該地址在設(shè)備每次重新啟動或重新連接時不會改變，通常用于需要長期穩(wěn)定訪問的設(shè)備，如服務(wù)器、打印機或監(jiān)控攝像頭等。動態(tài)IP地址：動態(tài)IP地址是由網(wǎng)絡(luò)中的DHCP（動態(tài)主機配置協(xié)議）服務(wù)器自動分配的IP地址。每次設(shè)備連接到網(wǎng)絡(luò)時，都會自動從DHCP服務(wù)器獲得一個可用的IP地址，且該地址可能在設(shè)備重新連接時發(fā)生變化。靜態(tài)IP地址與動態(tài)IP地址的實現(xiàn)在SOHO路由組網(wǎng)的網(wǎng)絡(luò)中，靜態(tài)IP地址與動態(tài)IP地址分別有WAN口配置及LAN口終端配置兩種概念，即靜態(tài)IP地址和動態(tài)IP地址，分別可配置在SOHO路由器的WAN口、SOHO路由器的LAN口所對應(yīng)的終端網(wǎng)卡上。在實際的SOHO組網(wǎng)中，由于缺乏專業(yè)的網(wǎng)絡(luò)管理員，通常情況下不對LAN進行單獨配置，從而規(guī)避終端電腦IP沖突、操作繁瑣等問題。本次實驗中的靜態(tài)IP地址及動態(tài)IP地址實踐，使用WAN為目標端口。本次實驗選用的SOHO路由器為iKuai3.7.1，WAN口靜態(tài)設(shè)置需點擊SOHO路由器web配置頁面的“網(wǎng)絡(luò)設(shè)置”-“內(nèi)外網(wǎng)設(shè)置”，在內(nèi)網(wǎng)網(wǎng)設(shè)置中，點擊“外網(wǎng)網(wǎng)口”，接入方式選擇靜態(tài)IP地址即可。圖SEQ圖\*ARABIC1靜態(tài)IP地址配置點擊SOHO路由器web配置頁面的“網(wǎng)絡(luò)設(shè)置”-“內(nèi)外網(wǎng)設(shè)置”，在內(nèi)網(wǎng)網(wǎng)設(shè)置中，點擊“外網(wǎng)網(wǎng)口”，接入方式選擇DHCP動態(tài)獲取即可切換為動態(tài)IP地址（此時需要wan口網(wǎng)線對端的設(shè)備開啟DHCP服務(wù)，在家用寬度中，SOHO路由器對端設(shè)備通常為運營商光貓LAN口，默認開啟DHCP服務(wù)）。圖SEQ圖\*ARABIC2動態(tài)IP地址配置小型宿舍內(nèi)網(wǎng)規(guī)劃配置按照國內(nèi)最多人數(shù)宿舍8人進行規(guī)劃，宿舍內(nèi)通常包含設(shè)備為PC電腦8臺、手機8部、增加打印機等設(shè)備。LAN口規(guī)劃考慮舍友間終端電腦IP地址可能沖突、手機配置IP繁瑣的問題、共享打印機的問題，本次設(shè)計中，內(nèi)網(wǎng)使用動態(tài)IP地址與靜態(tài)IP地址結(jié)合的方式進行規(guī)劃。SOHO路由器開啟DHCP服務(wù)，DHCP地址池設(shè)置為-00，供上網(wǎng)設(shè)備使用。01-54保留給打印機、門鎖等物聯(lián)網(wǎng)設(shè)備使用，不進行動態(tài)下發(fā)，網(wǎng)關(guān)為54，子網(wǎng)掩碼。圖SEQ圖\*ARABIC3配置DHCP服務(wù)，運行終端獲取動態(tài)IP地址WAN口規(guī)劃SOHO路由器的WAN口需要連接宿舍墻壁網(wǎng)口，該網(wǎng)口上聯(lián)由運營商配置開通，默認為DHCP動態(tài)IP模式，故SOHO路由器WAN口配置為DHCP動態(tài)獲取模式。圖SEQ圖\*ARABIC4配置WAN口動態(tài)IP地址NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）配置技術(shù)允許多個內(nèi)部設(shè)備共享一個公網(wǎng)IP地址，從而有效地節(jié)省公網(wǎng)IP資源并增強網(wǎng)絡(luò)安全性。在SOHO環(huán)境中，NAT通常由路由器完成。路由器端口映射機制的工作原理及配置端口映射機制原理端口映射（PortMapping）是一種將外部請求路由到內(nèi)部設(shè)備的技術(shù)。當外部設(shè)備通過公網(wǎng)訪問路由器時，路由器根據(jù)配置的端口號將請求轉(zhuǎn)發(fā)到指定的內(nèi)部IP地址和端口。端口映射：通過端口映射，可以使外部用戶訪問內(nèi)部網(wǎng)絡(luò)中的特定服務(wù)。例如，用戶可以通過公網(wǎng)IP的80端口訪問內(nèi)部Web服務(wù)器。DMZ（DemilitarizedZone）：DMZ是一種通過配置端口映射實現(xiàn)的隔離區(qū)域，它使得內(nèi)網(wǎng)中指定的設(shè)備可以直接暴露給外部訪問，但同時保持內(nèi)網(wǎng)的其他設(shè)備安全。端口映射配置我需要將筆記本搭建的HTTP服務(wù)進行映射，供其他同學訪問，我提供的服務(wù)端口為80，IP地址為3，操作步驟如下：

進入路由器管理界面：登錄路由器后臺管理界面。找到端口映射設(shè)置：在“網(wǎng)絡(luò)設(shè)置”中找到端口映射設(shè)置選項。配置映射規(guī)則：映射外部端口8088到內(nèi)網(wǎng)的Web服務(wù)器（IP：3,端口80）。測試映射：通過外部設(shè)備訪問路由器的公網(wǎng)IP和指定端口，檢查是否能夠正確訪問到內(nèi)部設(shè)備。圖SEQ圖\*ARABIC5配置端口映射路由器遠程管理功能的實現(xiàn)與安全性探討路由器遠程管理功能概述遠程管理功能使得管理員可以通過互聯(lián)網(wǎng)從遠程地點訪問和管理路由器。通過瀏覽器輸入路由器公網(wǎng)IP和端口號（如:8080）來訪問管理界面。目前主流的SOHO路由器，支持開啟遠程管理功能，通過品牌小程序、APP等方式，綁定設(shè)備后可直接進行管理。路由器遠程管理的實現(xiàn)在ikuai路由器中，默認集成有遠程訪問功能，設(shè)備開啟遠程訪問功能后，可通過ikuai云平臺對路由器進行網(wǎng)絡(luò)管理。登錄路由器管理頁面，點擊“應(yīng)用工具”-“登錄管理”-“遠程訪問”，即可配置開啟遠程管理。圖SEQ圖\*ARABIC6開啟路由器遠程管理路由器遠程管理的安全性分析盡管遠程管理功能提供了便利，但它也帶來了潛在的安全風險。攻擊者通過猜測或者暴力破解管理界面的用戶名和密碼，利用路由器的已知軟件漏洞，就可能獲得對路由器的完全控制，從而對內(nèi)網(wǎng)PC電腦、手機等設(shè)備進行攻擊，導(dǎo)致個人隱私泄露、財產(chǎn)受損。為了提高遠程管理的安全性，應(yīng)采取以下措施：強密碼策略：設(shè)置復(fù)雜且唯一的密碼，避免使用默認密碼或簡單密碼（如“admin”或“123456”）。密碼應(yīng)包含字母、數(shù)字以及特殊字符。定期更新固件：確保路由器的固件始終是最新版本。廠商常常會發(fā)布安全更新，以修復(fù)已知的漏洞，因此定期檢查和更新固件非常重要。限制遠程訪問源IP：通過配置IP地址過濾或VPN，限制只有特定的IP地址或內(nèi)部網(wǎng)絡(luò)才能訪問路由器的遠程管理功能。這樣，即使攻擊者知道遠程管理端口和密碼，沒有授權(quán)的IP也無法訪問。實驗步驟本次實驗使用虛擬機的方式搭建局域網(wǎng)絡(luò)，模擬一個小型宿舍內(nèi)網(wǎng)。實驗環(huán)境：VmwareWorkstation17Window11宿主機（模擬運營商網(wǎng)絡(luò)，充當ikuai路由器wan口上聯(lián)）Ikuai虛擬機（模擬SOHO路由器）Window7虛擬機（模擬宿舍內(nèi)終端電腦，上網(wǎng)并實驗端口映射對外提供服務(wù)）實驗拓撲圖：圖SEQ圖\*ARABIC7實驗拓撲圖ikuai路由器準備使用VMwareworkstation新建ikuai虛擬機，虛擬硬件需要使用兩個網(wǎng)絡(luò)設(shè)配器。網(wǎng)絡(luò)適配器一，使用NAT模式，充當路由器wan口，與運營商網(wǎng)絡(luò)進行相連（實驗中NAT模式自動連接至宿主機網(wǎng)卡）。網(wǎng)絡(luò)適配器二選則僅主機模式，充當路由器lan口，與宿舍終端設(shè)備相連，ISO選擇路由器鏡像。圖SEQ圖\*ARABIC8新建ikuai路由器虛擬機虛擬機光驅(qū)掛載ikuai路由器系統(tǒng)鏡像后，打開虛擬機電源，進入虛擬機操作系統(tǒng)安裝頁面。按照提示，選擇指定的硬盤進行系統(tǒng)自動安裝。圖SEQ圖\*ARABIC9安裝ikuai路由器操作系統(tǒng)系統(tǒng)安裝完畢后，會自動重啟進入菜單頁面，此時，路由器系統(tǒng)安裝完畢。圖SEQ圖\*ARABIC10安裝完畢路由器按照菜單提示，選擇1，指定網(wǎng)絡(luò)適配器二（eth1）為路由器lan口，進行宿舍上網(wǎng)使用。圖SEQ圖\*ARABIC11設(shè)置路由器lan口window7虛擬機使用VMwareworkstation新建虛擬機，光驅(qū)掛載window7.iso，網(wǎng)絡(luò)適配器設(shè)置為僅主機模式，表示連接至路由器lan口，接入宿舍局域網(wǎng)絡(luò)。圖SEQ圖\*ARABIC12新建宿舍內(nèi)終端設(shè)備虛擬機開機后，使用瀏覽器，安裝ikuai瀏覽器提示，使用瀏覽器訪問即可初始化維護路由器。圖SEQ圖\*ARABIC13路由器初始化頁面路由器配置使用admin、admin默認用戶名及密碼登錄路由器后，即可進行初始化配置。首先對路由器wan口進行配置，由于上聯(lián)運營商提供dhcp服務(wù)，本端路由器選擇dhcp動態(tài)獲取IP即可。登陸路由器，點擊“網(wǎng)絡(luò)設(shè)置”-“內(nèi)外網(wǎng)設(shè)置”-“wan口設(shè)置”，將接入方式選擇為“DHCP動態(tài)獲取”?？梢娐酚善鱳an口獲取到的IP為30,狀態(tài)為已連接，表示運營商分配公網(wǎng)IP為30，且狀態(tài)正常。圖SEQ圖\*ARABIC14設(shè)置wan口為動態(tài)IP地址由于該路由器默認開啟NAT模式，允許內(nèi)網(wǎng)主機使用公網(wǎng)地址訪問互聯(lián)網(wǎng)，所以該win7虛擬機僅主機模式可訪問百度等外網(wǎng)資源。圖SEQ圖\*ARABIC15開啟NAT后，內(nèi)網(wǎng)設(shè)備可正常上網(wǎng)端口映射使用window7安裝IIS，開啟一個http頁面，模擬對外提供服務(wù)。圖SEQ圖\*ARABIC16安裝IIS服務(wù)器在路由器中，點擊“網(wǎng)絡(luò)設(shè)置”-“端口映射”，新增端口映射記錄，內(nèi)網(wǎng)IP為window7虛擬機的IP地址，端口為IIS端口80，外網(wǎng)選擇外網(wǎng)網(wǎng)卡wan2，端口8080。圖SEQ圖\*ARABIC17配置端口映射端口映射添加完畢后，代表將內(nèi)網(wǎng)主機的80端口，映射給外網(wǎng)公網(wǎng)地