无线路由器

【IT168 术语】无线路由器：就是带有无线覆盖功能的路由器，它主要应用于用户上网和无线覆盖。市场上流行的无线路由器一般都支持专线xdsl/ cable，动态xdsl ，pptp 四种接入方式，它还具

【IT168 术语】无线路由器：就是带有无线覆盖功能的路由器，它主要应用于用户上网和无线覆盖。市场上流行的无线路由器一般都支持专线xdsl/ cable，动态xdsl ，pptp 四种接入方式，它还具有其它一些网络管理的功能，如dhcp 服务、nat 防火墙、mac 地址过滤等等功能。

无线路由器（Wireless Router）好比将单纯性无线AP 和宽带路由器合二为一的扩展型产品，它不仅具备单纯性无线AP 所有功能如支持DHCP 客户端、支持VPN 、防火墙、支持WEP 加密等等，而且还包括了网络地址转换（NAT ）功能，可支持局域网用户的网络连接共享。可实现家庭无线网络中的Internet 连接共享，实现ADSL 和小区宽带的无线共享接入。

无线路由器可以与所有以太网接的ADSL MODEM或CABLE MODEM直接相连，也可以在使用时通过交换机/集线器、宽带路由器等局域网方式再接入。其内置有简单的虚拟拨号软件，可以存储用户名和密码拨号上网，可以实现为拨号接入Internet 的ADSL 、CM 等提供自动拨号功能，而无需手动拨号或占用一台电脑做服务器使用。此外，无线路由器一般还具备相对更完善的安全防护功能。 此外，大多数无线路由器还包括一个4个端口的交换机，可以连接n 台使用有线网卡的电脑，从而实现有线和无线网络的顺利过渡。

在接入速度上，目前符合11Mbps 、54Mbps 、108Mbps 的无线路由器产品皆有。 无线路由器适合于不带路由的ADSL 、CM 猫等用户以及带路由的ADSL 、CM 猫。无线路由器将多种设备合而为一，亦比较适合于初次建网的用户，其集成化的功能可以使用户只用一个设备而满足所有的有线和无线网络需求。

无线路由参数详解

● WAN 口

WAN （Wide Area Network）也就是广域网（也被称为公网、外网等等），WAN 是一种跨地区的数据通讯网络，通常包含一或数个国家或地区。广域网通常由两

个或多个局域网组成。计算机常常使用电信运营商提供的设备作为信息传输帄台，例如通过公用网，如电话网，连接到广域网，也可以通过专线或卫星连接。 国际互联网（Internet ）是目前最大的WAN 。所以无线路由器上的WAN 接口就是连接Internet 设备、直接接入Internet 的接口，广域网上的每一台电脑（或其他网络设备）都有一个或多个广域网IP 地址（或者说公网、外网IP 地址），广域网IP 地址一般要到ISP 处交费之后才能申请到，广域网IP 地址不能重复。WAN 与局域网（LAN ）电脑交换数据要通过路由器或网关的NAT （网络地址转换）进行。目前无线路由器所提供的WAN 口一般是10/100Mbps自适应RJ45端口，可连接xDSL/Cable MODEM等设备或以太网。

● LAN 口

LAN （Local Area Network）局域网（又叫私网、内网等等），LAN 是在一个相对有限的地理范围内，由一组电脑、服务器、打印机和类似的设备连接组成的网络，我们目前应用的各种多机网络都属于此范畴。

LAN 上的每一台电脑（或其他网络设备）都有一个或多个局域网IP 地址，局域网IP 地址是局域网内部分配的，不同局域网的IP 地址可以重复，不会相互影响。目前无线路由器上所带的LAN 口一般是10/100Mbps自适应RJ45端口，可连接网卡、交换机/集线器等设备。

● NAT 网络地址转换

NAT （Network Address Translation）就是网络地址转换，是一个Internet 工程任务组IETF 标准，用于允许LAN 网络上的多台PC （使用LANIP 地址段，例如10.0.x.x 、192.168.x.x 、172.x.x.x ）共享单个、全局路由的WAN 地址（即IPV4），将LAN 网络地址（如企业内部网Intranet ）转换为WAN 地址（如互联网Internet ），从而对外隐藏了内部管理的IP 地址。

NAT 设备（或软件）维护一个状态表，用来把内部网络的私有IP 地址映射到外部网络的合法IP 地址上去。每个包在NAT 设备（或软件）中都被翻译成正确的IP 地址发往下一级。与普通路由器不同的是，NAT 设备实际上对包头进行修改，将内部网络的源地址变为NAT 设备自己的外部网络地址，而普通路由器仅在将数据包转发到目的地前读取源地址和目的地址。

这样，通过在内部使用非注册的IP 地址，并将它们转换为一小部分外部注册的IP 地址，从而减少了IP 地址注册的费用以及节省了目前越来越缺乏的地址空间（即IPV4）。同时，这也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险。

NAT 原理拓扑图

NAT 功能通常被集成到各种路由器、防火墙或单独的NAT 设备中，目前Windows 中的“Internet 连接共享（ICS ）”、WINROUTE 等网关/代理服务器软件大多也有着NAT 的功能，尤其是在通过xDSL 或电缆调制解调器连接宽带的情况下。 NAT 分为三种类型：静态NAT （staticNAT ）、NAT 池（pooledNAT ）和端口NAT （PAT ）。

① 静态NAT 将内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址，适用于个人用户或企业内部服务器向企业网外部提供服务（如WEB 、FTP 等），需要建立服务器内部地址到固定合法地址的静态映射；

② 而NAT 池则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络，建立一种内外部地址的动态转换机制，常适用于租用的地址数量较多的情况，个人用户或企业可以根据访问需求，建立多个地址池，绑定到不同的部门，这样既增强了管理的粒度，又简化了排错的过程；

③ 端口NAT 则是把内部地址映射到外部网络的一个IP 地址的不同端口上，适用于地址数很少，多个用户需要同时访问互联网的情况。

● DHCP 服务器

DHCP （Dynamic Host Configuration Protocol）是动态的主机配置协议的缩写，它承担着IP 地址和相应的信息的动态的地址的自动配置任务。DHCP 提供安全、可靠而且简单的TCP/IP网络设置，避免地址冲突，并且通过地址分配的集中的管

理帮助保存对IP 地址的使用。

固定IP 对管理者而言必须随时掌握网络中每一个空出来的IP 地址，以便再分配给别人使用，但这种方式还是很容易造成IP 地址的重复使用。另外的缺点是固定的IP 必须在每一台机器上设定，对管理者来说加重了工作的繁杂程度和工作量。而DHCP 的服务则是由DHCP 服务器来集中管理且以动态分配IP 地址的方式，让使用者能自动取得IP 地址，而不必另外费时费力的去一一设定。

DHCP 服务

DHCP 提供了三种IP 地址分配机制：

① 自动分配，给客户机分配永久的地址；

② 动态分配，给客户机分配有一定租用期限的地址；

③ 手工分配，由网络管理员给客户机分配地址，并通过DHCP 传达给客户机。 家用/办公无线网络或网吧等用户，一般情况下建议使用动态分配（启用“DHCP 服务器”功能），以减轻网络管理的难度。

DHCP 除了能动态的设定IP 地址之外，还可以将一些IP 保留下来给一些特殊用途的机器使用，它可以按照硬件地址来固定的分配IP 地址，这样可以给您更大的设计空间。同时，DHCP 还可以帮客户端指定router 、netmask 、DNS Server、WINS Server等等项目，而您在客户端上面，除了将DHCP 选项打上勾之外，几乎无需做任何的IP 环境设定就可使用共享上网或使用这些功能。

● DNS

DNS 就是域名服务器（Domain Name Server）的简称，什么是域或域名（domain name ）呢？虽然我们可以直接通过IP 地址来访问www 上的每一台主机，但是由32比特的二进制代码组成的IP 地址非常难记，为了便于记忆，按照一定的规则给Internet 上的计算机起的名字就叫做域名。域名前加上传输协议信息及主机类型信息就构成了网址（url ）。

比如www.it168.com 网址就是一个域名，它对应的IP 地址是211.147.3.80。而域名服务就是把域名转换成计算机能够理解的IP 地址，用户只要使用域名地址，该系统就会自动把域名地址转为IP 地址，如想访问www.it168.com 网站，DNS

便可将www.it168.com 转换成IP 地址211.147.3.80，这样您就可不用记难记的公网IP 地址，只需在IE 地址栏输入www.it168.com 便可很方便的找到存放www.it168.com 网站内容的网络服务器。

而在日常应用中我们需要填入的DNS 服务器IP 地址，一般是指ISP （网络运营商，如电信、网通等）服务器或本地路由器的IP 地址，一般可以设置多个DNS 服务器IP 地址，DNS 会依序访问较近的DNS 服务器。

DNS 服务器

● MAC 地址克隆

网卡在使用中有两类地址，一类是IP 地址，另一类就是MAC 地址。MAC （Media Access Control，介质访问控制）地址也就是网卡的物理地址，是识别LAN （局域网）电脑的标识。其长度为48位二进制数，由12个00~0FFH的16进制数组成，每个16进制数之间用“-”隔开，如一块网卡的MAC 地址为“00-00-07-FF-FH-FF ”。IEEE 将以太网地址，也就是48比特的不同组合，分为若干独立的连续地址组，生产以太网网卡的厂家就购买其中一组，具体生产时，逐个将“唯一地址”赋予网卡。

正是由于MAC 地址就如同我们的身份证一样是网卡自身的惟一标识，所以近几年来ISP 宽带接入商常常可以根据MAC 地址而判断出家用局域网电脑的接入数量，而因此封杀家庭中更多的接入电脑。

目前无线路由器普遍具备的MAC 地址克隆功能，通俗的说就是使用MAC 地址欺骗功能，将你所在ISP 端绑定的某一台电脑的网卡MAC 地址故意暴露给ISP 服务器看，让ISP 服务器认准你只使用了单台的电脑，而实际上多台电脑在共享上网。

MAC 地址克隆

要实现MAC 地址克隆功能很简单，只需进入无线路由器的WEB 设置页面，找到“广域网MAC 地址”或“Clone MAC（MAC 地址克隆）”栏，在下面的文本框中将被绑定的网卡MAC 地址填入，然后选择“Clone MAC（克隆MAC 地址）”便可，保存后重新启动无线路由器即可。

● 虚拟服务器

虚拟服务器（Virtual Server）：对外它是单一的入口，对内有很多台计算机为它服务。对使用它的人来说，它是一台机器，有单一的入口点。具体的实现技术包括两种——应用层的虚拟服务器，网络层的虚拟服务器。应用层的虚拟服务器是利用应用层的转发实现的，相当于一台代理服务器，这正是经常提到的虚拟服务器。

以无线路由器来说，无线路由器一般都集成了防火墙功能，这样WAN （广域网）中的计算机要想通过无线路由器访问LAN （局域网）中的某些服务器，在默认情况下无法通过防火墙的保护，这就出现了矛盾——路由器即要保护LAN 网络不被侵扰，又要方便WAN 合法的访问，而虚拟服务器正可以解决这种矛盾，虚拟服务器可定义一个服务端口，所有对此端口的广域网服务请求都将被重新定位给通过IP 指定的LAN 中的服务器。

要使用虚拟服务器功能，需要在无线路由器中设定以下项目：WAN 端服务端口，也就是路由器提供给广域网的服务端口，可输入单个端口值或端口段，端口段输入格式为“开始端口-结束端口”；局域网中做为服务器的电脑的IP 地址；选择协议数据包的类型，如TCP 、UDP 等。

虚拟服务器

以TP-LINK 的无线路由器为例，在“常用服务端口”中列出了常用的协议的端口，你可以直接在其中选择一个，然后在ID 中选择一个序列号，再点“填空到”就能将这个端口自动添加到列表中。例如您的FTP 服务器IP 地址为191.168.1.2（端口号为21），HTTP 服务器地址为191.168.1.3（端口号为80），POP3服务器地址为191.168.1.4（端口号为110），便可在虚拟服务器填上相应的值即可。设置好后，在LAN 做服务器的那台电脑上进行相应的设置，WAN 中的电脑就可访问到您LAN 中的服务器上了。

● DMZ 主机

DMZ （Demilitarized Zone）不设防区域，也被称为非防护区、非军事区，使用DMZ 主机窗口可把局域网上的一台或者多台计算机开放给因特网。这个功能在局域网内其它重要电脑需要更好的安全，该计算机设置为DMZ 主机后，不再受到防火墙的保护，但其它计算机则相对更为安全；而在P2P 下载（BT 等）、游戏中也要经常使用DMZ 功能，因为P2P 和游戏应用常常要求不受限制的双向通讯，通过把一台电脑开放为DMZ 主机而轻松的实现了LAN 网内的那一台电脑与WAN 的全方位连接。

DMZ 主机

每个DMZ 电脑都需要一个不同的广域网IP 地址，多数无线路由器只支持1台DMZ 主机，少数中高档无线路由器支持多台DMZ 主机，但需要需要有多个广域网IP 地址。各种无线路由器的DMZ 主机设置都很简单，只需在无线路由器的WEB 页面中找到DMZ 选项，然后“启用”DMZ 功能，在DMZ 主机的IP 地址栏中输入你想设为DMZ 主机的那台LAN 内电脑的IP 地址，“保存”设置即可。 ● UPnP

UPnP 通用即插即用（Universal Plug and Play）是基于TCP/IP协议和针对设备彼此间通讯而制订的新的Internet 协议。它是一种用于PC 机和智能设备或仪器的常见对等网络连接的体系结构，尤其是在个人和办公应用中颇为实用。UPnP 以Internet 标准和技术（例如TCP/IP、HTTP 和XML ）为基础，使相关的设备和软件通过自动端口映射彼此可自动连接和更好的协同工作，从而使LAN 网络在使用时更方便更便捷。

对无线路由器组成的小型LAN 网络的设置来说，通过在无线路由器中开启UPnP 功能进行自动端口转换，使得WAN 上的外部主机能够按需防问本地LAN 主机上的内部资源并加快传送速度，这项设置对于BT 、MSN 等P2P 软件和Internet 网上的TCP/IP游戏十分有用，而其可使局域网内的电脑都享受到这项服务，所以其在功能要比单开一台的DMZ 主机更强。

开启UPnP 后让BT 、eMule 等P2P 软件更畅通无阻

UPnP 的设置很简单，只需选择“开启”即可，开启后BT 、MSN 等P2P 软件再使用UPnP 功能时点击“刷新”按钮可以看到端口映射信息。当然，要实现，UPnP 功能除了路由器和软件支持外，还需操作系统支持（Windows ME/2000/XP/2003皆可）。

● 防火墙

无线路由器都具备简单的防火墙功能。什么是防火墙呢？防火墙就是一个位于内部LAN 网络与Internet 之间的网络安全系统，是按照一定的安全策略建立起来的硬件或软件的有机组成体，以防止黑客的攻击，保护内部网络的安全运行。

防火墙设置

防火墙可以被安装在一个单独的路由器中，用来过滤不想要的信息包，也可以被安装主机中，发挥更直接的网络安全保护作用。防火墙被广泛用来让用户在一个安全屏障后接入互联网，可把一家企业的公共网络服务器和企业内部网络隔开，也可被用来保护企业内部网络某一个部分的安全。无线路由器中要使用防火墙功能很简单，只需将防火墙选项选上打上勾和设为“开启”即可。 ● IP 地址过滤

IP 地址过滤是在网络的适当位置对数据IP 包实施有选择的过滤和转发的简单技术，可用来阻挡某些特定的对网络有损害的外部IP 地址，也可以设置限制内部网对外部的访问权限。在互联网上使用的防火墙内容过滤技术主要是DNS 过滤和IP 地址过滤，过滤的依据由系统事先设定或者根据需要临时确定，具体形式一般是设置一张过滤逻辑表（也称接入控制表），对通过防火墙的IP 包的地址、TCP/UDP的Port ID（端口号）及ICMP 进行检查，规定哪些数据包可以通过防火墙等等。只有满足过滤逻辑的数据包才被转发，否则被过滤丢弃。例如对端口

23即Telnet 加以限制，可以防止黑客利用不安全的服务对内部网络进行攻击。

IP 地址过滤

IP 地址过滤即可以对LAN 和WAN 单个IP 地址及端口号进行过滤，也可对一个或整个IP 地址段和端口段进行过滤，例如过滤202.98.78.1-202.98.78.254或

192.168.1.101-192.168.1.131/端口段25-110。也可单独或整个禁止LAN 的IP 地址访问某个网站（IP 地址）或整个互联网，或通过端口封杀设定单个或所有LAN 中的计算机禁用收发邮件、FTP 、浏览网页等功能。

● MAC 地址过滤

MAC 地址就是网卡的物理地址（网卡的身份证），无线AP 或无线路由器的MAC 地址过滤（网卡物理地址过滤控制）是采用硬件控制的机制来实现对接入无线终端识别的功能。由于无线网卡都具备唯一的MAC 地址，因此可以通过检查无线网卡数据包的源MAC 地址来识别无线终端的合法性，在小型局域网中MAC 地址过滤是一项非常实用的简单过滤技术。

当然有利也会有弊，对于重要的LAN 网络而言，比如无线网卡的MAC 地址较容易被非法入侵者从开放的无线电波中截获并识别，从而被非法入侵者伪装。此外，对于较大型的LAN 网络，电脑台数过多、新增电脑不断让MAC 地址列表更新成为一件较繁琐的事。