SOHO路由器的設(shè)置與應(yīng)用2024年11月

目錄TOC\o"1-3"\h\u24809引言 312216一、靜態(tài)IP地址與動(dòng)態(tài)IP地址方案的設(shè)置與實(shí)現(xiàn) 3313321．靜態(tài)IP地址與動(dòng)態(tài)IP地址概述 3224712．靜態(tài)IP地址與動(dòng)態(tài)IP地址的實(shí)現(xiàn) 38029二、小型宿舍內(nèi)網(wǎng)規(guī)劃配置 585861．LAN口規(guī)劃 5265322．WAN口規(guī)劃 6269103．NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）配置 631816三、路由器端口映射機(jī)制的工作原理及配置 78191．端口映射機(jī)制原理 7224442．端口映射配置 724390四、路由器遠(yuǎn)程管理功能的實(shí)現(xiàn)與安全性探討 8141651．路由器遠(yuǎn)程管理功能概述 8104362．路由器遠(yuǎn)程管理的實(shí)現(xiàn) 8217773．路由器遠(yuǎn)程管理的安全性分析 917932五、實(shí)驗(yàn)步驟 10272381．ikuai路由器準(zhǔn)備 10196232．window7虛擬機(jī) 13226353．路由器配置 14317994．端口映射 1524442六、參考文獻(xiàn) 17

引言隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，家庭和小型辦公環(huán)境（SOHO,SmallOffice/HomeOffice）中對(duì)網(wǎng)絡(luò)連接的需求日益增加。在這種環(huán)境下，路由器作為網(wǎng)絡(luò)通信的核心設(shè)備，承擔(dān)著連接互聯(lián)網(wǎng)與內(nèi)網(wǎng)的橋梁作用。對(duì)于SOHO網(wǎng)絡(luò)而言，路由器的配置、管理和安全性尤為重要。本次實(shí)驗(yàn)將探討SOHO路由器的設(shè)置與應(yīng)用，包括靜態(tài)IP和動(dòng)態(tài)IP地址的配置、內(nèi)部IP地址規(guī)劃與NAT方案、端口映射機(jī)制的原理及實(shí)施，以及路由器遠(yuǎn)程管理功能的實(shí)現(xiàn)與安全性分析。靜態(tài)IP地址與動(dòng)態(tài)IP地址方案的設(shè)置與實(shí)現(xiàn)靜態(tài)IP地址與動(dòng)態(tài)IP地址概述在網(wǎng)絡(luò)中，IP地址用于標(biāo)識(shí)每個(gè)設(shè)備。根據(jù)IP地址的分配方式，IP地址可以分為兩種：靜態(tài)IP和動(dòng)態(tài)IP。靜態(tài)IP地址：靜態(tài)IP地址是手動(dòng)配置的固定IP地址，分配給特定設(shè)備。該地址在設(shè)備每次重新啟動(dòng)或重新連接時(shí)不會(huì)改變，通常用于需要長(zhǎng)期穩(wěn)定訪問的設(shè)備，如服務(wù)器、打印機(jī)或監(jiān)控?cái)z像頭等。動(dòng)態(tài)IP地址：動(dòng)態(tài)IP地址是由網(wǎng)絡(luò)中的DHCP（動(dòng)態(tài)主機(jī)配置協(xié)議）服務(wù)器自動(dòng)分配的IP地址。每次設(shè)備連接到網(wǎng)絡(luò)時(shí)，都會(huì)自動(dòng)從DHCP服務(wù)器獲得一個(gè)可用的IP地址，且該地址可能在設(shè)備重新連接時(shí)發(fā)生變化。靜態(tài)IP地址與動(dòng)態(tài)IP地址的實(shí)現(xiàn)在SOHO路由組網(wǎng)的網(wǎng)絡(luò)中，靜態(tài)IP地址與動(dòng)態(tài)IP地址分別有WAN口配置及LAN口終端配置兩種概念，即靜態(tài)IP地址和動(dòng)態(tài)IP地址，分別可配置在SOHO路由器的WAN口、SOHO路由器的LAN口所對(duì)應(yīng)的終端網(wǎng)卡上。在實(shí)際的SOHO組網(wǎng)中，由于缺乏專業(yè)的網(wǎng)絡(luò)管理員，通常情況下不對(duì)LAN進(jìn)行單獨(dú)配置，從而規(guī)避終端電腦IP沖突、操作繁瑣等問題。本次實(shí)驗(yàn)中的靜態(tài)IP地址及動(dòng)態(tài)IP地址實(shí)踐，使用WAN為目標(biāo)端口。本次實(shí)驗(yàn)選用的SOHO路由器為iKuai3.7.1，WAN口靜態(tài)設(shè)置需點(diǎn)擊SOHO路由器web配置頁面的“網(wǎng)絡(luò)設(shè)置”-“內(nèi)外網(wǎng)設(shè)置”，在內(nèi)網(wǎng)網(wǎng)設(shè)置中，點(diǎn)擊“外網(wǎng)網(wǎng)口”，接入方式選擇靜態(tài)IP地址即可。圖SEQ圖\*ARABIC1靜態(tài)IP地址配置點(diǎn)擊SOHO路由器web配置頁面的“網(wǎng)絡(luò)設(shè)置”-“內(nèi)外網(wǎng)設(shè)置”，在內(nèi)網(wǎng)網(wǎng)設(shè)置中，點(diǎn)擊“外網(wǎng)網(wǎng)口”，接入方式選擇DHCP動(dòng)態(tài)獲取即可切換為動(dòng)態(tài)IP地址（此時(shí)需要wan口網(wǎng)線對(duì)端的設(shè)備開啟DHCP服務(wù)，在家用寬度中，SOHO路由器對(duì)端設(shè)備通常為運(yùn)營(yíng)商光貓LAN口，默認(rèn)開啟DHCP服務(wù)）。圖SEQ圖\*ARABIC2動(dòng)態(tài)IP地址配置小型宿舍內(nèi)網(wǎng)規(guī)劃配置按照國內(nèi)最多人數(shù)宿舍8人進(jìn)行規(guī)劃，宿舍內(nèi)通常包含設(shè)備為PC電腦8臺(tái)、手機(jī)8部、增加打印機(jī)等設(shè)備。LAN口規(guī)劃考慮舍友間終端電腦IP地址可能沖突、手機(jī)配置IP繁瑣的問題、共享打印機(jī)的問題，本次設(shè)計(jì)中，內(nèi)網(wǎng)使用動(dòng)態(tài)IP地址與靜態(tài)IP地址結(jié)合的方式進(jìn)行規(guī)劃。SOHO路由器開啟DHCP服務(wù)，DHCP地址池設(shè)置為-00，供上網(wǎng)設(shè)備使用。01-54保留給打印機(jī)、門鎖等物聯(lián)網(wǎng)設(shè)備使用，不進(jìn)行動(dòng)態(tài)下發(fā)，網(wǎng)關(guān)為54，子網(wǎng)掩碼。圖SEQ圖\*ARABIC3配置DHCP服務(wù)，運(yùn)行終端獲取動(dòng)態(tài)IP地址WAN口規(guī)劃SOHO路由器的WAN口需要連接宿舍墻壁網(wǎng)口，該網(wǎng)口上聯(lián)由運(yùn)營(yíng)商配置開通，默認(rèn)為DHCP動(dòng)態(tài)IP模式，故SOHO路由器WAN口配置為DHCP動(dòng)態(tài)獲取模式。圖SEQ圖\*ARABIC4配置WAN口動(dòng)態(tài)IP地址NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）配置技術(shù)允許多個(gè)內(nèi)部設(shè)備共享一個(gè)公網(wǎng)IP地址，從而有效地節(jié)省公網(wǎng)IP資源并增強(qiáng)網(wǎng)絡(luò)安全性。在SOHO環(huán)境中，NAT通常由路由器完成。路由器端口映射機(jī)制的工作原理及配置端口映射機(jī)制原理端口映射（PortMapping）是一種將外部請(qǐng)求路由到內(nèi)部設(shè)備的技術(shù)。當(dāng)外部設(shè)備通過公網(wǎng)訪問路由器時(shí)，路由器根據(jù)配置的端口號(hào)將請(qǐng)求轉(zhuǎn)發(fā)到指定的內(nèi)部IP地址和端口。端口映射：通過端口映射，可以使外部用戶訪問內(nèi)部網(wǎng)絡(luò)中的特定服務(wù)。例如，用戶可以通過公網(wǎng)IP的80端口訪問內(nèi)部Web服務(wù)器。DMZ（DemilitarizedZone）：DMZ是一種通過配置端口映射實(shí)現(xiàn)的隔離區(qū)域，它使得內(nèi)網(wǎng)中指定的設(shè)備可以直接暴露給外部訪問，但同時(shí)保持內(nèi)網(wǎng)的其他設(shè)備安全。端口映射配置我需要將筆記本搭建的HTTP服務(wù)進(jìn)行映射，供其他同學(xué)訪問，我提供的服務(wù)端口為80，IP地址為3，操作步驟如下：

進(jìn)入路由器管理界面：登錄路由器后臺(tái)管理界面。找到端口映射設(shè)置：在“網(wǎng)絡(luò)設(shè)置”中找到端口映射設(shè)置選項(xiàng)。配置映射規(guī)則：映射外部端口8088到內(nèi)網(wǎng)的Web服務(wù)器（IP：3,端口80）。測(cè)試映射：通過外部設(shè)備訪問路由器的公網(wǎng)IP和指定端口，檢查是否能夠正確訪問到內(nèi)部設(shè)備。圖SEQ圖\*ARABIC5配置端口映射路由器遠(yuǎn)程管理功能的實(shí)現(xiàn)與安全性探討路由器遠(yuǎn)程管理功能概述遠(yuǎn)程管理功能使得管理員可以通過互聯(lián)網(wǎng)從遠(yuǎn)程地點(diǎn)訪問和管理路由器。通過瀏覽器輸入路由器公網(wǎng)IP和端口號(hào)（如:8080）來訪問管理界面。目前主流的SOHO路由器，支持開啟遠(yuǎn)程管理功能，通過品牌小程序、APP等方式，綁定設(shè)備后可直接進(jìn)行管理。路由器遠(yuǎn)程管理的實(shí)現(xiàn)在ikuai路由器中，默認(rèn)集成有遠(yuǎn)程訪問功能，設(shè)備開啟遠(yuǎn)程訪問功能后，可通過ikuai云平臺(tái)對(duì)路由器進(jìn)行網(wǎng)絡(luò)管理。登錄路由器管理頁面，點(diǎn)擊“應(yīng)用工具”-“登錄管理”-“遠(yuǎn)程訪問”，即可配置開啟遠(yuǎn)程管理。圖SEQ圖\*ARABIC6開啟路由器遠(yuǎn)程管理路由器遠(yuǎn)程管理的安全性分析盡管遠(yuǎn)程管理功能提供了便利，但它也帶來了潛在的安全風(fēng)險(xiǎn)。攻擊者通過猜測(cè)或者暴力破解管理界面的用戶名和密碼，利用路由器的已知軟件漏洞，就可能獲得對(duì)路由器的完全控制，從而對(duì)內(nèi)網(wǎng)PC電腦、手機(jī)等設(shè)備進(jìn)行攻擊，導(dǎo)致個(gè)人隱私泄露、財(cái)產(chǎn)受損。為了提高遠(yuǎn)程管理的安全性，應(yīng)采取以下措施：強(qiáng)密碼策略：設(shè)置復(fù)雜且唯一的密碼，避免使用默認(rèn)密碼或簡(jiǎn)單密碼（如“admin”或“123456”）。密碼應(yīng)包含字母、數(shù)字以及特殊字符。定期更新固件：確保路由器的固件始終是最新版本。廠商常常會(huì)發(fā)布安全更新，以修復(fù)已知的漏洞，因此定期檢查和更新固件非常重要。限制遠(yuǎn)程訪問源IP：通過配置IP地址過濾或VPN，限制只有特定的IP地址或內(nèi)部網(wǎng)絡(luò)才能訪問路由器的遠(yuǎn)程管理功能。這樣，即使攻擊者知道遠(yuǎn)程管理端口和密碼，沒有授權(quán)的IP也無法訪問。實(shí)驗(yàn)步驟本次實(shí)驗(yàn)使用虛擬機(jī)的方式搭建局域網(wǎng)絡(luò)，模擬一個(gè)小型宿舍內(nèi)網(wǎng)。實(shí)驗(yàn)環(huán)境：VmwareWorkstation17Window11宿主機(jī)（模擬運(yùn)營(yíng)商網(wǎng)絡(luò)，充當(dāng)ikuai路由器wan口上聯(lián)）Ikuai虛擬機(jī)（模擬SOHO路由器）Window7虛擬機(jī)（模擬宿舍內(nèi)終端電腦，上網(wǎng)并實(shí)驗(yàn)端口映射對(duì)外提供服務(wù)）實(shí)驗(yàn)拓?fù)鋱D：圖SEQ圖\*ARABIC7實(shí)驗(yàn)拓?fù)鋱Dikuai路由器準(zhǔn)備使用VMwareworkstation新建ikuai虛擬機(jī)，虛擬硬件需要使用兩個(gè)網(wǎng)絡(luò)設(shè)配器。網(wǎng)絡(luò)適配器一，使用NAT模式，充當(dāng)路由器wan口，與運(yùn)營(yíng)商網(wǎng)絡(luò)進(jìn)行相連（實(shí)驗(yàn)中NAT模式自動(dòng)連接至宿主機(jī)網(wǎng)卡）。網(wǎng)絡(luò)適配器二選則僅主機(jī)模式，充當(dāng)路由器lan口，與宿舍終端設(shè)備相連，ISO選擇路由器鏡像。圖SEQ圖\*ARABIC8新建ikuai路由器虛擬機(jī)虛擬機(jī)光驅(qū)掛載ikuai路由器系統(tǒng)鏡像后，打開虛擬機(jī)電源，進(jìn)入虛擬機(jī)操作系統(tǒng)安裝頁面。按照提示，選擇指定的硬盤進(jìn)行系統(tǒng)自動(dòng)安裝。圖SEQ圖\*ARABIC9安裝ikuai路由器操作系統(tǒng)系統(tǒng)安裝完畢后，會(huì)自動(dòng)重啟進(jìn)入菜單頁面，此時(shí)，路由器系統(tǒng)安裝完畢。圖SEQ圖\*ARABIC10安裝完畢路由器按照菜單提示，選擇1，指定網(wǎng)絡(luò)適配器二（eth1）為路由器lan口，進(jìn)行宿舍上網(wǎng)使用。圖SEQ圖\*ARABIC11設(shè)置路由器lan口window7虛擬機(jī)使用VMwareworkstation新建虛擬機(jī)，光驅(qū)掛載window7.iso，網(wǎng)絡(luò)適配器設(shè)置為僅主機(jī)模式，表示連接至路由器lan口，接入宿舍局域網(wǎng)絡(luò)。圖SEQ圖\*ARABIC12新建宿舍內(nèi)終端設(shè)備虛擬機(jī)開機(jī)后，使用瀏覽器，安裝ikuai瀏覽器提示，使用瀏覽器訪問即可初始化維護(hù)路由器。圖SEQ圖\*ARABIC13路由器初始化頁面路由器配置使用admin、admin默認(rèn)用戶名及密碼登錄路由器后，即可進(jìn)行初始化配置。首先對(duì)路由器wan口進(jìn)行配置，由于上聯(lián)運(yùn)營(yíng)商提供dhcp服務(wù)，本端路由器選擇dhcp動(dòng)態(tài)獲取IP即可。登陸路由器，點(diǎn)擊“網(wǎng)絡(luò)設(shè)置”-“內(nèi)外網(wǎng)設(shè)置”-“wan口設(shè)置”，將接入方式選擇為“DHCP動(dòng)態(tài)獲取”。可見路由器wan口獲取到的IP為30,狀態(tài)為已連接，表示運(yùn)營(yíng)商分配公網(wǎng)IP為30，且狀態(tài)正常。圖SEQ圖\*ARABIC14設(shè)置wan口為動(dòng)態(tài)IP地址由于該路由器默認(rèn)開啟NAT模式，允許內(nèi)網(wǎng)主機(jī)使用公網(wǎng)地址訪問互聯(lián)網(wǎng)，所以該win7虛擬機(jī)僅主機(jī)模式可訪問百度等外網(wǎng)資源。圖SEQ圖\*ARABIC15開啟NAT后，內(nèi)網(wǎng)設(shè)備可正常上網(wǎng)端口映射使用window7安裝IIS，開啟一個(gè)http頁面，模擬對(duì)外提供服務(wù)。圖SEQ圖\*ARABIC16安裝IIS服務(wù)器在路由器中，點(diǎn)擊“網(wǎng)絡(luò)設(shè)置”-“端口映射”，新增端口映射記錄，內(nèi)網(wǎng)IP為window7虛擬機(jī)的IP地址，端口為IIS端口80，外網(wǎng)選擇外網(wǎng)網(wǎng)卡wan2，端口8080。圖SEQ圖\*ARABIC17配置端口映射端口映射添加完畢后，代表將內(nèi)網(wǎng)主機(jī)的80端口，映射給外網(wǎng)公網(wǎng)地